18.6.2 Mögliche Entwicklungen bei den Methoden der Sicherheitsbewertung (Fehler und Grenzen bei der Wahrscheinlichkeitsbewertung) und bei den Sicherheitskriterien
Die Wahrscheinlichkeit eines seltenen Ereignisses kann aus Mangel an Informationen falsch unterbewertet worden sein. Aber auch wenn die Wahrscheinlichkeit eines seltenen Ereignisses richtig eingeschätzt wird und die Wiederkehrzeit des Ereignisses lang ist (z.B. 1000 Jahre bei einer Wahrscheinlichkeit von einmal in 1000 Jahren), denken die meisten Menschen, dass auf jeden Fall eine lange Zeit vergehen wird, bevor das Ereignis eintritt. Es gibt eine Art psychologisches Phänomen, das man als „inverse Fata Morgana“ bezeichnen könnte (was sehr nahe sein kann, wird als sehr weit entfernt wahrgenommen), durch das Ereignisse mit sehr langer Wiederkehrzeit als in der fernen Zukunft liegend wahrgenommen werden. In Wirklichkeit enthält die Definition der Wahrscheinlichkeit (Verhältnis zwischen einem Ereignistyp und der Gesamtheit der möglichen Ereignisse eines beliebigen Typs) keinen Hinweis auf die Entfernung des Ereignisses in der Zukunft, dessen Wahrscheinlichkeit berechnet wird, und die bewertete Wahrscheinlichkeit ist wiederum immer eine Durchschnittswahrscheinlichkeit über viele Wiederkehrzeiten (Moroney, 1951). Nur in einem Zeitintervall, das im Vergleich zur geschätzten Wiederkehrzeit sehr lang ist, wird das Intervall zwischen zwei aufeinanderfolgenden Ereignissen dazu neigen, „im Durchschnitt“ nahe an der geschätzten Wiederkehrzeit zu liegen. Das bedeutet, dass ein Ereignis mit einer Wiederkehrzeit von 1000 Jahren auch im nächsten Jahr eintreten kann. So etwas muss auch beim Fukushima-Tsunami passiert sein.
Auch beim „Kopf-oder-Schwanz“-Spiel ist bekannt, dass statt eines regelmäßigen abwechselnden Auftretens von „Kopf“ und „Schwanz“ beispielsweise eine Serie von Schwänzen auftreten kann.
Die geschätzte Wiederkehrzeit von seltenen Ereignissen ist ein „Durchschnittswert“ in sehr langen Zeiten. Im Gegenteil, der Zeitpunkt, zu dem das Ereignis eintritt, ist ein Produkt des Zufalls oder von Pech und Glück. Zufällige Ereignisse, die ein Produkt des Zufalls sind, werden von vielen Experten als Ereignisse definiert, deren Grundlagen wir nicht kennen. Natürlich gibt es nach diesem Gedankengang Ursachen dafür, dass ein seltenes Ereignis früher oder später eintritt, aber diese Ursachen sind häufig nicht bekannt.
Betrachtet man den Vorgang des Wählens einer Münze in einem Münzkasten, kann man davon ausgehen, dass bei einer blinden Entnahme einer Münze das Ergebnis „Kopf oder Zahl“ zufällig sein wird. Wenn jedoch die Ausgangsbedingungen des Vorgangs bekannt sind (z. B. die Position der Münzen und die Position der Hand), zusammen mit der Geschwindigkeit und der Richtung der Handbewegung und den Regeln, die bei der Entnahme der Münze aus der Box befolgt werden (z. B. wird die erste Münze, die von der Hand berührt wird, aufgenommen, ohne sie zu drehen), kann das Ergebnis der Entnahme genau bewertet werden. Tatsache ist, dass bei dem soeben beschriebenen Vorgang in den meisten Fällen all diese Daten nicht bekannt sind und das Ergebnis aufgrund unserer Unkenntnis als „zufällig“ betrachtet werden muss. Der „Zufall“ ist der große geheimnisvolle Faktor zukünftiger Ereignisse, zusammen mit ihrer Wahrscheinlichkeit.
Der englische Philosoph John Locke sagte, dass die Menschen ihre Entscheidungen nicht im Sonnenschein des vollen Wissens treffen, sondern im Krepuskül der Wahrscheinlichkeit. Das Vorhandensein des Zufalls ist die Ursache für diese Überzeugung.
Wenn man jedoch versucht zu verstehen, ob ein seltenes Ereignis in naher Zukunft eintreten kann, sollte man nach allen verfügbaren Anzeichen für ein bevorstehendes zerstörerisches Ereignis suchen und diese überwachen. Bei dieser Untersuchung ist das Zeitintervall, auf das das Wort „unmittelbar bevorstehend“ angewendet wird, sehr wichtig. So kann es beispielsweise möglich sein, eine Vorhersage für einen Zeitraum von mehreren Jahren zu treffen (Zeitraum, der für die Planung von Kernkraftwerken von Interesse ist), und im Gegensatz dazu kann es nicht möglich sein, eine Vorhersage für einen Zeitraum von wenigen Tagen zu treffen (wie es für die präventive Evakuierung der Bevölkerung von Interesse ist). In dieser Hinsicht muss den Experten für die interessierenden Phänomene die richtige Frage gestellt werden, und zwar mit der richtigen Spezifizierung des interessierenden Zeitraums in der Zukunft. Das Problem besteht auch darin, dass wir, wenn die oben genannten Hinweise vorhanden sind, oft nicht an sie oder an ihre Schwere glauben (siehe den Fall Vajont als Beispiel).
Eine weitere mögliche Falle bei der praktischen Anwendung von Wahrscheinlichkeitsbewertungen wird in einer kürzlich erschienenen Veröffentlichung von Nassim Nicholas Taleb, „The Black Swan“ (Taleb, 2007), beschrieben. Ein Schwarzer Schwan ist, kurz gesagt, ein isoliertes Ereignis von großer Tragweite, das nicht in den Bereich der normalen Erwartungen fällt, weil nichts in der Vergangenheit mit einem guten Maß an Plausibilität auf seine Eintrittsmöglichkeit hinweist. Der Name „Schwarzer Schwan“ wurde gewählt, weil die Bewohner der Alten Welt vor der Entdeckung Australiens davon überzeugt waren, dass alle Schwäne weiß seien. Prof. Taleb weist ferner darauf hin, dass es in der Welt der Möglichkeiten zwei Provinzen gibt: das Mediokristan und das Extremistan. Das Mediokristan ist die von mittelmäßigen Ereignissen beherrschte Provinz, in der kein einziges Ereignis einen signifikanten Einfluss auf das Ganze haben kann. Die glockenförmige Gaußsche Wahrscheinlichkeitsverteilungskurve hat ihre Grundlage im Mediokristan. Das Extremistan hingegen ist das Reich der Schwarzen Schwäne. Abb. 18.1 versucht, in einem Bild ein Beispiel für die beiden Ereignistypen zu zeigen (Intensität der Ereignisse unterschiedlich um den Faktor 100, LOG(100)=2).
Abbildung 18.1. Mediokristan und Extremistan.
Die maximalen Wahrscheinlichkeitsdichten der beiden Provinzen sind willkürlich. Die Variable könnte die Intensität eines schädlichen Naturereignisses oder eines Finanzkrisenereignisses sein (Prof. Taleb beschreibt verschiedene Fälle dieser Art, da sein Hauptfachgebiet das Finanzwesen ist). Die ungefähren integralen Wahrscheinlichkeiten (1 und 5e-11) der beiden Klassen von Ereignissen sind in der Abbildung dargestellt.
Einer der häufigsten Missbräuche von Wahrscheinlichkeitsverteilungen besteht darin, das Vorhandensein von Extremistan-Ereignissen außer Acht zu lassen, die mehr oder weniger regelmäßig verteilt sind, etwa entlang einer Gaußschen oder ähnlichen Kurve der Wahrscheinlichkeitsdichte.
Beispiele für zunächst (zumindest teilweise) außer Acht gelassene Ereignisse im Bereich der nuklearen Sicherheit sind die zu Beginn des Abschnitts 18.6.1 aufgelisteten.
Bei dem Versuch, sich mögliche zukünftige katastrophale Ereignisse vorzustellen, die zwar sehr unwahrscheinlich, aber dennoch möglich sind, könnten die folgenden Fälle als Beispiele dienen:
–
Ein weiterer zerstörerischer Tsunami. Dieses Phänomen ist besonders gefährlich, weil es nicht nur durch ein Erdbeben hoher Stärke ausgelöst werden kann, sondern auch durch einen unterseeischen oder küstennahen Erdrutsch oder einen unterseeischen Vulkanausbruch oder eine unterseeische Explosion anderen Ursprungs, und weil es sich mit schädlicher Intensität über Hunderte von Kilometern oder mehr ausbreitet.
–
Ein absichtlicher oder unabsichtlicher Flugzeugabsturz auf eine Anlage
–
Eine Sabotage der Reaktorschutzsysteme
–
Eine Explosion eines Reaktordruckbehälters oder eines anderen großen Anlagenbehälters
–
Reaktivitätsexkursion aufgrund eines nicht verschlossenen Pfropfens in einem DWR während eines LOCA (Möglichkeit wohl bekannt,
–
Zerstörendes Tornado-Ereignis an sicherheitstechnisch bedeutsamen Anlagen wie dem New Safety Confinement (Shelter) des Sarkophags von Tschernobyl 4; Die Struktur, wie sie vor Jahren öffentlich beschrieben wurde (Nuclear News, 2011 und spätere Mitteilungen), ist in der Tat ein Wunderwerk der Technik für Größe und „Leichtbau“ (29.000 t auf einer Grundfläche von 42.000 m2), aber sie ist, soweit bekannt, für einen eher kleinen Tornado ausgelegt, während in der geografischen Region, die von Interesse ist, bereits Tornados höherer Intensität aufgetreten sind (Petrangeli, 2011). Es kann aber durchaus sein, dass in jüngster Zeit die Verankerung des Bauwerks im Boden verstärkt und ein verbessertes Belüftungssystem des Shelter-Innenraums installiert wurde.
Unter Schwarzen Schwänen werden in diesem Abschnitt alle „praktisch unmöglichen“, aber „physikalisch möglichen“ Ereignisse verstanden, auch aufgrund von Erfahrungen aus der Vergangenheit. Diese Ereignisse fallen, wie z.B. das Fukushima-Ereignis, außerhalb des Schutzbereiches der derzeitigen fünf Stufen der Defense in Depth. Es müssen sehr außergewöhnliche Maßnahmen ergriffen werden, wenn versucht werden soll, die Möglichkeit, dass sich solche Ereignisse wiederholen, zu beseitigen. Wenn wir sagen, dass ein Ereignis „praktisch unmöglich“ ist, können wir es bei diesem Versuch nicht außer Acht lassen.
Die erste Anforderung, die notwendig erscheint, ist, dass, sobald eines dieser Ereignisse eingetreten ist oder in der Vergangenheit entdeckt wurde, Maßnahmen an allen anderen exponierten Anlagen ergriffen werden, um ihm zu widerstehen. Ist eine „sechste Ebene“ der Defense in Depth zu schaffen, um diese Ereignisse zu bewältigen?
Vorschläge für die Definition dieser „sechsten Ebene“ sind die folgenden:
–
Versuchen Sie, Vorläuferphänomene zu entdecken, die eine bevorstehende Katastrophe ankündigen, und beobachten Sie diese (aber diese Methode ist in der Regel nicht genau genug, was die Identifizierung des Zeitpunkts betrifft, innerhalb dessen das Phänomen eintreten wird);
–
Einrichten Sie ein Warnsystem, das bereits begonnene natürliche und nicht-natürliche Phänomene erkennen kann (z.B., Tsunami, Erdbeben, verdächtige Flugzeugflüge) erkennen kann und eine gewisse Zeit (typischerweise einige Minuten bis 30 Minuten) zur Verfügung stellt, um die Anlage in einen sicheren Zustand zu versetzen (wenn dies angesichts ihrer Konstruktionsmerkmale möglich ist);
–
die Anlage gegen das „maximal mögliche Ereignis“ auslegen, dessen Ausmaß im Allgemeinen besser definiert werden kann als die Entfernung des Ereignisses in der Zukunft im Vergleich zur Gegenwart (z. B. kann das maximal mögliche Erdbeben durch die Vorgeschichte und die tektonischen Merkmale der Region bestimmt werden). Die 2017 überarbeitete Fassung von 10CFR Part 100 (seismische und geologische Standortkriterien für Kernkraftwerke) war die erste Sammlung von Kriterien, die diesen Standpunkt vertrat. Das absolute Höchstbeben in der Welt wird allgemein mit einer Richter-Magnitude von 8,5 bis 9 angenommen; für die Zone von L’Aquila, Italien, könnte das maximal mögliche Erdbeben in der Größenordnung von M=7 liegen. Natürlich können die Kosten hoch sein. Die Standorte für Kernkraftwerke werden jedoch in der Regel an Orten mit geringer Seismizität gewählt (z.B., Anhang 16).
Die Entscheidung, für die Auslegung der Anlage das maximal mögliche Ereignis anstelle eines Ereignisses mit einer geschätzten Wahrscheinlichkeit unter einem bestimmten Wert zu verwenden, könnte auf andere potenziell schädliche Ereignisse wie Überschwemmungen ausgedehnt werden.
Bei der Formulierung neuer Anforderungen ist jedoch zu bedenken, dass erfahrungsgemäß bei manchen Anlegern auch bei eindeutigen Hinweisen auf eine drohende Natur- oder Maschinenkatastrophe eine Abneigung gegen Investitionsverluste und gegen Sanierungsaufwendungen vorherrscht. Dies hat sich z.B. im Fall Vajont (vorher gemessene langsame Rutschbewegung im Mount Toc, die sich schließlich zu einer schnellen Katastrophe entwickelte) und im Fall Fukushima (vorhergehende Tsunamis im Indischen Ozean) gezeigt.
Eine zu diskutierende Möglichkeit ist es, für jedes Kernkraftwerk oder für eine Gruppe von Kernkraftwerken einen speziellen Fonds für periodische Anlagen- oder Verfahrensänderungen als Folge von Schwarzen Schwänen in einer Anlage zu schaffen. Weiterhin könnte dieser Fonds, immer als zu diskutierendes Beispiel, durch die Einsparung von ein bis zwei Kraftwerkstagen pro Betriebsjahr gebildet werden. Die oben verwendeten Zahlen berücksichtigen die Beobachtung, dass ein Schwarzer Schwan (Liste in Abschnitt 18.6.1) erfahrungsgemäß etwa einmal in 10 Jahren auftritt (Gianni Petrangeli, 2013) und dass die Verbesserungsmaßnahmen an einer Anlage einen Aufwand von mehreren zehn Millionen Euro oder ähnlichem erfordern können. Dieser Vorschlag bedeutet eine Art „Selbstversicherung“. Unbedingte neue Anforderungen und ein Umdenken sind in jedem Fall notwendig.
Nachfolgend werden einige Beispiele für möglicherweise erforderliche sehr außergewöhnliche Bestimmungen genannt. Andere und bessere Bestimmungen können entwickelt werden.
Ich bin mir bewusst, dass diese Beispiele von einigen als übertrieben und auch als kontraproduktiv angesehen werden könnten. Bessere Lösungen gibt es sicherlich, aber meine Erfahrung zeigt, dass neue gute Ideen, besonders wenn sie kostspielig sind, Zeit brauchen (10-20 Jahre), um nach einer anfänglichen Vernachlässigung wieder aufzutauchen (ich hoffe, dass dies im Moment nicht der Fall sein wird). In der Regel werden sie in neue Anlagenkonzepte integriert. Ein gängiges Sprichwort in der Industrie lautet: „Jede gute neue Anforderung ist akzeptabel, es sei denn, sie ändert die derzeitige bewährte Konstruktion“ (Intervention auf einem internationalen Kongress). Diese Haltung ist verständlich, es sei denn, die vorliegenden Erkenntnisse erfordern eine außergewöhnliche Erhöhung des Sicherheitsniveaus, wie es meines Erachtens derzeit der Fall ist.
Das erste Beispiel ist die Schaffung eines neuen Schutzes gegen Flugzeugabstürze, andere Einwirkungen, Überschwemmungen oder den Ausfall anderer Notstromquellen, auch in einer bestehenden oder in Bau befindlichen Anlage. Dieser Diskussionsvorschlag ist in Abb. 18.2 grob skizziert und wird in (Petrangeli, 2013) ausführlicher behandelt.
Abbildung 18.2. Sehr außergewöhnlicher Schutz gegen Tsunami, Flugzeuge oder andere Einwirkungen und den Ausfall der Notstromversorgung.
Dieser zusätzliche Schutz besteht aus einem Stahl- oder Spannbetonzylinder, der die sicherheitsrelevanten Teile einer Anlage umgibt. Als Schutz gegen einen zerstörerischen Tsunami könnte der Zylinder 20-50 m hoch sein (siehe IAEA-Leitfaden SSG-18, in dem eine Referenzwellenhöhe von 50 m über dem normalen Meeresspiegel empfohlen wird, sofern keine sicheren Erkenntnisse vorliegen). Abb. 18.2 zeigt einen 120 m hohen Zylinder (so hoch wie ein hoher Schornstein eines Kernkraftwerks oder eines mit fossilen Brennstoffen betriebenen Kraftwerks), der auch als Schutz vor einem Flugzeugaufprall dient (wären die Gebäude des Kraftwerks stärker in den Boden eingebettet, könnte die Höhe des Zylinders geringer als 120 m sein). Es wird davon ausgegangen, dass das auftreffende Flugzeug die Anlage mit einem maximalen Winkel von 30 Grad zum Horizont berührt (mehr als der außergewöhnliche Winkel von etwa 24 Grad, der beim Einschlag des Flugzeugs in das Pentagon-Gebäude im Jahr 2001 erreicht wurde) (Ritter, 2002) und viel mehr als der übliche Landewinkel von 3 Grad.
Der obere Teil des Zylinders ist mit einem Stahlseilgitter und einem feineren Netz überzogen, um Schutz gegen eine Vielzahl denkbarer Projektile (Drohnen usw.) zu bieten.
Im oberen Teil des Zylinders befindet sich ein stoßfester, segmentierter Ringtank: er kann den Kern im Falle eines Unfalls mehr als 4 Tage lang mit Kühlwasser versorgen, wobei der hydrostatische Druck aufgrund der Höhe als Antriebskraft dient (passives System).
Das Volumen des 120 m hohen Zylinders beträgt etwa 120.000 m2 und kostet mehr als 15 Millionen Euro.
Für die Bewegung von Komponenten in den und aus dem Zylinder müssen bewegliche wasserdichte Schotten in der Zylinderwand vorgesehen werden. Es wird geschätzt, dass die Außenfläche des Zylinders, wenn sie mit Solarzellen bedeckt ist, bei Tageslicht mehrere Mw an elektrischer Energie liefern könnte. Weitere Hilfssysteme werden erforderlich sein (Stromspeicher usw.).
Die Grundrissform des Zylinders darf nicht kreisförmig sein, um die Struktur an andere, nicht sicherheitsrelevante Anlagengebäude anzupassen.
Wenn eine Lösung wie die dargestellte angenommen wird, könnten die derzeit angenommenen Flugschutzmerkmale der Anlage (in Abb. 18.2 dargestellt) für Anlagen im Entwurfsstadium mit wirtschaftlichem Vorteil vereinfacht werden. Wenn dann ein Stahlcontainment verwendet wird, könnte auch die Containmentkühlung einfacher sein.
Diese als Beispiel vorgeschlagene Lösung mag wiederum übertrieben erscheinen, wie die ersten leckdichten, druckfesten Containments der Jahre 1960 vielen Ingenieuren mit gesundem Menschenverstand erschienen. Die Meinung dieser hat sich jedoch nach Three Mile Island radikal geändert.
Weitere Beispiele für Lösungen sind in (Petrangeli, 2013) aufgeführt: über einen Damm gebaute Anlagen (gegen Tsunami) und passive Notkühlsysteme (gegen den Ausfall üblicher aktiver Notkühlsysteme).
Heute verfügbare Computer-Fluiddynamik-Codes können helfen, mit guter Genauigkeit einen Tsunami-Wellenauflauf auf eine gegebene Gelände-Anlagen-Situation zu simulieren (z.B.,
In Bezug auf die allgemeine Effektivität von Wahrscheinlichkeitsbewertungen in der nuklearen Sicherheitsanalyse muss die bekannte Tatsache in Erinnerung gerufen werden, dass diese Bewertungen in komplexen Systemen für die Erkennung entscheidend wichtiger Teile oder Phänomene von wesentlicher Bedeutung sind. So ist z. B. bekannt, dass eine Anlagenwahrscheinlichkeitsbewertung in der Regel darauf hinweist, dass Konditionierungssysteme von Ausrüstungsräumen für den Betrieb mehrerer Sicherheitssysteme von entscheidender Bedeutung sind und daher ihr korrekter Betrieb mit hoher Wahrscheinlichkeit durch die üblichen Mittel des Qualitätsniveaus, der Redundanz und der Diversifizierung sichergestellt werden muss (siehe auch Abschnitt 11.3).
Außerdem kann im Lichte der obigen Diskussion eine niedrige Wahrscheinlichkeit für nicht tolerierbare Ereignisse als notwendige, aber nicht hinreichende Bedingung für den Schutz vor solchen Ereignissen angesehen werden.