18.6.2 Mulig udvikling i sikkerhedsvurderingsmetoder (fejl og grænser i sandsynlighedsvurderinger) og i sikkerhedskriterier
Sandsynligheden for en sjælden begivenhed kan være blevet undervurderet fejlagtigt på grund af manglende oplysninger. Selv om sandsynligheden for en sjælden hændelse vurderes korrekt, og hændelsens genkomsttid er lang (f.eks. 1000 år for en sandsynlighed på én gang i 1000 år), mener de fleste mennesker normalt, at der under alle omstændigheder vil gå lang tid, før hændelsen indtræffer. Der findes en slags psykologisk fænomen, som kunne kaldes “omvendt illusion af en luftspejling” (det, der kan være meget tæt på, opfattes som meget langt væk), hvorved begivenheder med meget lang tilbagevendende tid opfattes som værende placeret i en fjern fremtid. I virkeligheden indeholder definitionen af sandsynlighed (forholdet mellem en type begivenhed og alle mulige begivenheder af enhver type) ikke nogen henvisning til afstanden i fremtiden for den begivenhed, hvis sandsynlighed beregnes, og den vurderede sandsynlighed er igen altid en gennemsnitlig sandsynlighed over mange tilbagevendende tider (Moroney, 1951). Kun i et tidsinterval, der er meget langt i forhold til den evaluerede returtid, vil intervallet mellem to på hinanden følgende hændelser have en tendens til “i gennemsnit” at ligge tæt på den evaluerede returtid. Det betyder, at en begivenhed med en tilbagevendende tid på 1000 år også kan ske næste år. Noget lignende må være sket for Fukushima-tsunamien.
Sådan er det velkendt, at der i “plat eller krone”-spillet f.eks. kan ske en serie f.eks. af haler i stedet for en regelmæssig vekslende forekomst af “plat” og “haler.”
Den evaluerede genkomsttid for sjældne begivenheder er en “gennemsnitlig” værdi i meget lange tider. Tværtimod er det tidspunkt, hvor begivenheden vil indtræffe, et produkt af tilfældigheder eller uheld/heldig held. Tilfældige begivenheder, der er et produkt af tilfældigheder, defineres af mange eksperter som de begivenheder, hvis grundlag vi ikke kender. Ifølge denne tankegang findes der naturligvis årsager til, at en sjælden begivenhed vil ske før eller senere, men disse årsager er ofte ikke kendt.
Hvis man ser på den handling, der består i at vælge en mønt i en møntkasse, kan man overveje, at for et blindt udtræk af en mønt vil resultatet “hoved eller hale” være tilfældigt. Hvis man imidlertid kender de indledende betingelser for operationen (f.eks. mønternes position og håndens position), sammen med hastigheden og retningen af håndens bevægelse og de regler, der følges for at vælge mønten fra æsken (f.eks. at den første mønt, som hånden rører ved, tages op uden at vende den), kan resultatet af udtrækket vurderes præcist. Faktum er, at i den operation, der netop er beskrevet, er alle disse data i de fleste tilfælde ikke kendt, og resultatet må betragtes som “tilfældigt” på grund af vores uvidenhed. “Tilfældet” er den store mystiske faktor i fremtidige begivenheder, sammen med deres sandsynlighed.
Den engelske filosof John Locke sagde, at mennesket ikke træffer sine beslutninger i solskin af fuld viden, men i sandsynlighedens crepuscule. Tilstedeværelsen af tilfældigheder er årsagen til denne tro.
Men i forsøget på at forstå, om en sjælden begivenhed kan ske inden for en nær fremtid, bør tilstedeværelsen af alle tilgængelige indikationer på en forestående destruktiv begivenhed søges og overvåges. I denne forskning er tidsintervallet meget vigtigt, som ordet “nært forestående” anvendes på. Det kan f.eks. være muligt at lave en prognose for en fremtidig periode på mange år (den periode, der er af interesse for udformningen af kernekraftværker), og det kan derimod ikke være muligt at lave en prognose for en fremtidig periode på få dage (som er af interesse for forebyggende evakuering af befolkningen). I denne henseende skal det korrekte spørgsmål stilles til eksperter i fænomener af interesse, nemlig med den korrekte specifikation af den periode, der er af interesse i fremtiden. Problemet er også, at hvis ovennævnte indikationer er tilgængelige, tror vi ofte ikke på dem eller på deres alvor (se Vajont-sagen som eksempel).
En anden mulig faldgrube i den praktiske anvendelse af sandsynlighedsvurderinger er beskrevet i en nyere publikation af Nassim Nicholas Taleb, “The Black Swan” (Taleb, 2007). En sort svane er kort fortalt en isoleret begivenhed af stor betydning, som ikke er omfattet af de normale forventninger, fordi intet i fortiden med en god grad af sandsynlighed kan indikere, at den kan ske. Navnet “sort svane” er valgt, fordi indbyggerne i den gamle verden før opdagelsen af Australien var overbevist om, at alle svaner var hvide. Prof. Taleb anfører endvidere, at der i verden af muligheder findes to provinser: Mediocristan og Extremistan. Mediocristan er den provins, der er domineret af middelmådige begivenheder, hvor ingen enkeltstående begivenhed kan have en betydelig indvirkning på helheden. Den klokkeformede, Gauss-formede sandsynlighedsfordelingskurve har sit fundament i Mediocristan. Extremistan er derimod de sorte svaners rige. Fig. 18.1 forsøger i et billede at vise et eksempel på de to typer af begivenheder (intensiteten af begivenhederne er forskellig med en faktor 100, LOG(100)=2).
Figur 18.1. Mediokristan og ekstremistan.
De maksimale sandsynlighedstætheder for de to provinser er vilkårlige. Variablen kan være intensiteten af en skadelig naturbegivenhed eller en finansiel krisebegivenhed (professor Taleb beskriver forskellige tilfælde af denne art, da hans hovedspecialisering er finans). De omtrentlige integrale sandsynligheder (1 og 5e-11) for de to klasser af begivenheder er vist i figuren.
Et af de mest almindelige misbrug af sandsynlighedsfordelinger er at se bort fra tilstedeværelsen af Extremistan-hændelser ud over begivenheder, der er fordelt på en mere eller mindre regelmæssig måde, som langs en Gaussisk eller lignende kurve af sandsynlighedstæthed.
Eksempler på oprindeligt (i det mindste delvist) ignorerede begivenheder på det nukleare sikkerhedsområde er dem, der er anført i begyndelsen af afsnit 18.6.1.
Ved forsøg på at forestille sig mulige fremtidige katastrofale begivenheder med meget lav sandsynlighed, men stadig mulige, kunne man tænke sig følgende tilfælde som eksempler:
–
En anden ødelæggende tsunami. Dette fænomen er særlig farligt, da det ikke kun kan opstå som følge af et jordskælv med høj styrke, men også som følge af et jordskred under havet eller ved kysten eller et vulkanudbrud under havet eller en undervandseksplosion af anden oprindelse, og fordi det breder sig med skadelig intensitet i hundredvis af kilometer eller mere.
–
Et frivilligt eller utilsigtet flystyrt på et anlæg
–
Sabotage af reaktorbeskyttelsessystemerne
–
Eksplosion af et reaktortrykbeholder eller af en anden stor beholder i anlægget
–
Reaktivitetsudslag som følge af en uboret prop i en PWR under en LOCA (muligheden er velkendt, for nogle PWR’er er kendt af termisk-hydrauliske specialister)
–
Destruktiv tornado på sikkerhedsmæssigt vigtige anlæg som f.eks. den nye sikkerhedsindkapsling (Shelter) i Tjernobyl 4-sarkofagen; strukturen, som den blev offentligt beskrevet for år tilbage (Nuclear News, 2011 og senere meddelelser), er ganske vist et ingeniørmæssigt vidunder af størrelse og “letvægts”-konstruktion (29 000 t på et planareal på 42 000 m2 ), men den er så vidt vides konstrueret til en ret lille tornado, mens der i det geografiske område af interesse allerede er sket tornadoer af højere intensitet (Petrangeli, 2011). Det kan dog godt være, at man i den seneste tid har forstærket strukturens forankring til jorden og installeret et forbedret udluftningssystem af shelterets indre.
I dette afsnit forstås ved sorte svaner alle “praktisk umulige”, men alligevel “fysisk mulige” begivenheder, også på baggrund af tidligere erfaringer. Disse begivenheder falder, som f.eks. Fukushima-hændelsen, uden for beskyttelsesområdet for de nuværende fem niveauer af forsvar i dybden. Der skal vedtages meget usædvanlige bestemmelser, hvis man ønsker at forsøge at fjerne muligheden for, at sådanne hændelser kan gentage sig, yderligere. Hvis vi siger, at en hændelse er “praktisk talt umulig”, kan vi ikke se bort fra den i dette forsøg.
Det første krav, der synes nødvendigt, er, at når en af disse hændelser er sket eller opdaget i forhistorien, skal der træffes foranstaltninger på alle andre udsatte anlæg for at modstå den. Skal der oprettes et “sjette niveau” af forsvar i dybden for at tage sig af disse hændelser?
Ideer til definitionen af dette “sjette niveau” er følgende:
–
Forsøg at opdage forløbsfænomener, der varsler en forestående katastrofe, og hold dem under observation (men denne metode er normalt ikke præcis nok med hensyn til identifikation af det tidspunkt, inden for hvilket fænomenet vil indtræffe);
–
Etabler et varslingssystem, der kan opdage de allerede påbegyndte naturlige og ikke-naturlige fænomener (f.eks, tsunami, jordskælv, mistænkelige flyvninger) og give en vis tid (typisk nogle få minutter til 30 minutter) til at bringe anlægget i sikre forhold (hvis det er muligt i betragtning af dets konstruktionsegenskaber);
–
Design anlægget mod den “maksimalt mulige begivenhed”, hvis størrelse generelt kan defineres bedre end begivenhedens afstand i fremtiden i forhold til nutiden (f.eks. kan det maksimalt mulige jordskælv identificeres ud fra fortidens historie og regionens tektoniske karakteristika). 10CFR Part 100, som nu er revideret i 2017 (seismiske og geologiske kriterier for placering af kernekraftværker) var det første sæt kriterier, som indtog denne holdning. Det absolutte maksimale jordskælv i verden accepteres generelt at have en Richter-magnitude på 8,5-9; for L’Aquila-området i Italien kunne det maksimale mulige jordskælv være af størrelsesordenen M=7. Naturligvis kan omkostningerne blive høje. Steder for kernekraftværker vælges imidlertid normalt på steder med lav seismicitet (f.eks, Bilag 16).
Valget af at anvende den størst mulige hændelse til værkdesignet i stedet for en hændelse med en anslået sandsynlighed, der er lavere end et bestemt tal, kan udvides til at omfatte andre potentielt skadelige hændelser som f.eks. oversvømmelser.
Der skal imidlertid ved udformningen af nye krav tages hensyn til, at der på grundlag af tidligere erfaringer undertiden er en fremherskende aversion mod investeringstab og mod afhjælpningsudgifter i nogle investorers adfærd, selv når der er klare tegn på en forestående naturkatastrofe eller maskinrelateret katastrofe. Dette har f.eks. været tydeligt i Vajont-sagen (tidligere målt langsom glidebevægelse i Mount Toc, som i sidste ende udviklede sig til en hurtig katastrofe) og i Fukushima-sagen (tidligere tsunamier i Det Indiske Ocean).
En mulighed, der skal drøftes, er at oprette en særlig fond for hvert enkelt kernekraftværk eller for en gruppe af dem til periodiske ændringer af anlæg eller procedurer som følge af sorte svaner på et enkelt anlæg. Endvidere kunne denne fond, som et eksempel, der skal drøftes, oprettes ved at spare en eller to dage i kraftværksdrift for hvert driftsår. Ovennævnte tal tager hensyn til, at en sort svane (jf. listen i afsnit 18.6.1) erfaringsmæssigt kan antages at forekomme ca. en gang hvert tiende år (Gianni Petrangeli, 2013), og at forbedringsændringer på et anlæg kan kræve udgifter på flere ti millioner euro eller tilsvarende. Dette forslag betyder en slags “selvforsikring”. Ubetingede nye krav og en ændring i tankegangen er under alle omstændigheder nødvendige.
Nedenfor nævnes nogle eksempler på meget ekstraordinære bestemmelser, der muligvis er nødvendige. Der kan udvikles andre og bedre bestemmelser.
Jeg er klar over, at disse eksempler kan blive betragtet som overdrevne og også kontraproduktive af nogen. Der findes helt sikkert bedre løsninger, men min erfaring viser, at nye gode ideer, især hvis de er dyre, tager tid (10-20 år), før de dukker op igen efter en indledende forsømmelse (jeg håber ikke, at det vil være tilfældet i dette øjeblik). De bliver normalt indarbejdet i nye anlægsdesigns. Et almindeligt ordsprog i industrien er faktisk, at “ethvert godt nyt krav er acceptabelt, medmindre det ændrer den nuværende etablerede konstruktion” (et indlæg hørt på en international kongres). Denne holdning er forståelig, medmindre en ekstraordinær opgradering af sikkerhedsniveauet er påkrævet på grund af de foreliggende oplysninger, som det efter min mening er tilfældet i øjeblikket.
Det første eksempel er, at der, selv i et eksisterende anlæg eller i et anlæg under opførelse, indføres en ny beskyttelse mod flystyrt, andre påvirkninger, oversvømmelse eller tab af anden elektrisk nødstrøm. Dette diskussionsforslag er groft skitseret i figur 18.2 og er mere udførligt behandlet i (Petrangeli, 2013).
Figur 18.2. Meget ekstraordinær beskyttelse mod tsunami, fly eller anden påvirkning og tab af nødstrøm.
Denne ekstra beskyttelse består af en cylinder af armeret eller forspændt beton, der omgiver de sikkerhedsvæsentlige dele af et anlæg. Som beskyttelse mod en ødelæggende tsunami kan cylinderen være 20-50 m høj (se IAEA Guide SSG-18, som anbefaler en referencebølgehøjde over normal havniveau på 50 m, hvis der ikke foreligger fremherskende sikre beviser). Fig. 18.2 viser en cylinder, der er 120 m høj (lige så høj som en høj skorsten fra et atomkraftværk eller et fossilfyret værk), og som også fungerer som beskyttelse mod et flystyrt (hvis værkbygningerne var mere indlejret i jorden, kunne cylinderhøjden være mindre end 120 m). Det antages, at det fly, der rammer anlægget, berører anlægget med en maksimal vinkel med horisonten på 30 grader (mere end den usædvanlige vinkel på ca. 24 grader, som det fly, der ramte Pentagon-bygningen i 2001, opnåede) (Ritter, 2002) og meget mere end den sædvanlige landingsvinkel på 3 grader.
Den øverste del af cylinderen er dækket af et stålkabelgitter og af et finere net for at yde beskyttelse mod en række tænkelige projektiler (droner osv.).
I den øverste del af cylinderen er der placeret en slagfast segmenteret ringformet tank: den kan levere kølevand til kernen i tilfælde af en ulykke i mere end 4 dage ved hjælp af det hydrostatiske tryk som følge af højden som drivkraft (passivt system).
Den 120 m høje cylinder har et volumen på ca. 120 000 m2 og koster mere end 15 mio. euro.
Der skal etableres mobile vandtætte skotter i cylindervæggen, så komponenter kan flyttes ind og ud af cylinderen. Det anslås, at den ydre cylinderoverflade, hvis den er dækket med solceller, kan levere flere Mw elektrisk energi i dagslys. Der vil være behov for andre hjælpesystemer (strømakkumulatorer osv.).
Cylinderens planform må ikke nødvendigvis være cirkulær for at tilpasse strukturen til andre ikke-sikkerhedsvigtige fabriksbygninger.
Hvis man vælger en løsning som den illustrerede, kan de nuværende antiluftskytsbeskyttelsesfunktioner i anlægget (vist i fig. 18.2) forenkles for anlæg i konstruktionsfasen med konomisk fordel. Hvis der så anvendes en indeslutning af stål, vil også køling af indeslutningen kunne blive lettere.
Denne løsning, der foreslås som eksempel, kan igen synes overdreven, som de første lækagetætte trykmodstandsdygtige indeslutninger fra 1960’erne forekom mange ingeniører med god sund fornuft. Deres opfattelse ændrede sig dog radikalt efter Three Mile Island.
Andre eksempler på løsninger er anført i (Petrangeli, 2013): anlæg bygget over en dæmning (mod tsunami) og passive nødkølesystemer (mod tab af de sædvanlige aktive nødkølesystemer).
De nu tilgængelige computerfluiddynamiske koder kan hjælpe med at simulere med god nøjagtighed et tsunamibølgeopløb på en given terræn-anlægssituation (f.eks, virkningen af en dæmning som et anlægs forhøjede placering over det omgivende terræn).
Med hensyn til den generelle effektivitet af sandsynlighedsvurderinger i nukleare sikkerhedsanalyser skal man huske på den velkendte kendsgerning, at disse vurderinger er afgørende for, at man i komplekse systemer kan påvise afgørende vigtige dele eller fænomener. Det er f.eks. velkendt, at en sandsynlighedsvurdering af et anlæg normalt viser, at konditioneringssystemer i udstyrsrum er afgørende for driften af flere sikkerhedssystemer, og at deres korrekte funktion derfor skal sikres med høj sandsynlighed ved hjælp af de sædvanlige midler som kvalitetsniveau, redundans og diversificering (se også afsnit 11.3).
På baggrund af ovenstående diskussion kan en lav sandsynlighed for uacceptable hændelser desuden betragtes som en nødvendig, men ikke tilstrækkelig betingelse for beskyttelse mod sådanne hændelser.