18.6.2 Mahdollinen kehitys turvallisuuden arviointimenetelmissä (virheet ja rajoitukset todennäköisyysarvioinneissa) ja turvallisuuskriteereissä
Harvinaisen tapahtuman todennäköisyys on saatettu arvioida virheellisesti liian alhaiseksi tiedon puutteen vuoksi. Lisäksi, vaikka harvinaisen tapahtuman todennäköisyys arvioitaisiin oikein ja tapahtuman toistumisaika olisi pitkä (esim. 1000 vuotta, jos todennäköisyys on kerran 1000 vuodessa), yleensä useimmat ihmiset ajattelevat, että tapahtuman toteutumiseen kuluu joka tapauksessa pitkä aika. On olemassa eräänlainen psykologinen ilmiö, jota voitaisiin kutsua ”käänteiseksi näkyharhaksi” (se, mikä voi olla hyvin lähellä, koetaan hyvin kaukaisena), jonka mukaan tapahtumat, joiden palautumisaika on hyvin pitkä, koetaan sijaitsevan kaukana tulevaisuudessa. Todellisuudessa todennäköisyyden määritelmä (tietyn tyyppisen tapahtuman suhde minkä tahansa tyyppisten mahdollisten tapahtumien kokonaismäärään) ei sisällä mitään viittausta sen tapahtuman etäisyyteen tulevassa ajassa, jonka todennäköisyys lasketaan, ja arvioitu todennäköisyys on aina todennäköisyyden keskiarvo monien palautumisaikojen aikana (Moroney, 1951). Ainoastaan aikaväli, joka on hyvin pitkä suhteessa arvioituun paluuajankohtaan, pyrkii kahden peräkkäisen tapahtuman välinen aika olemaan ”keskimäärin” lähellä arvioitua paluuajankohtaa. Tämä tarkoittaa, että tapahtuma, jonka toistumisaika on 1000 vuotta, voi tapahtua myös ensi vuonna. Jotain tällaista lienee tapahtunut Fukushiman tsunamin kohdalla.
Samoin tiedetään, että ”kruuna tai klaava”-pelissä voi tapahtua esimerkiksi sarja kruunuja sen sijaan, että ”kruuna” ja ”klaava” esiintyisivät säännöllisesti vuorotellen.
Harvinaisten tapahtumien arvioitu paluuajankohta on ”keskiarvo” hyvin pitkillä ajanjaksoilla. Päinvastoin, ajankohta, jolloin tapahtuma tapahtuu, on sattuman tai huonon/hyvän tuurin tuote. Satunnaiset tapahtumat, jotka ovat sattuman tuote, ovat monien asiantuntijoiden määritelmän mukaan sellaisia tapahtumia, joiden perusteita emme tiedä. Tämän ajattelutavan mukaan on tietenkin olemassa syitä sille, että harvinainen tapahtuma tapahtuu ennemmin tai myöhemmin, mutta näitä syitä ei useinkaan tunneta.
Jos tarkastellaan toimenpidettä, jossa valitaan kolikko kolikkolaatikosta, voidaan ajatella, että sokeasti kolikkoa poimittaessa lopputulos ”kruuna tai klaava” on satunnainen. Jos kuitenkin tunnetaan operaation alkuehdot (esim. kolikoiden sijainti ja käden asento) yhdessä käden liikkeen nopeuden ja suunnan kanssa sekä säännöt, joita noudatetaan kolikon poimimisessa laatikosta (esim. ensimmäinen kolikko, jota käsi koskettaa, poimitaan kääntämättä sitä), voidaan poiminnan lopputulos arvioida tarkasti. Tosiasia on, että äsken kuvatussa operaatiossa useimmissa tapauksissa kaikki nämä tiedot eivät ole tiedossa ja tulosta on pidettävä ”satunnaisena” tietämättömyytemme vuoksi. ”Sattuma” on tulevaisuuden tapahtumien suuri salaperäinen tekijä yhdessä niiden todennäköisyyden kanssa.
Englantilainen filosofi John Locke sanoi, että ihmiset eivät tee päätöksiään täydellisen tiedon auringonpaisteessa vaan todennäköisyyden rypyssä. Sattuman läsnäolo on tämän uskomuksen syy.
Yritettäessä ymmärtää, voiko jokin harvinainen tapahtuma tapahtua lähiaikoina, olisi kuitenkin etsittävä ja seurattava kaikkien saatavilla olevien merkkien läsnäoloa välittömästä tuhoisasta tapahtumasta. Tässä tutkimuksessa on hyvin tärkeää aikaväli, johon sovelletaan sanaa ”välitön”. Esimerkkinä mainittakoon, että voi olla mahdollista laatia ennuste useiden vuosien ajanjaksolle (ydinvoimalan suunnittelun kannalta kiinnostava ajanjakso) ja päinvastoin voi olla mahdotonta laatia ennuste päivien ajanjaksolle (kuten väestön ennaltaehkäisevän evakuoinnin kannalta kiinnostava ajanjakso). Tältä osin kiinnostavien ilmiöiden asiantuntijoille on esitettävä oikea kysymys, nimittäin kiinnostavan ajanjakson oikea määrittely tulevaisuudessa. Ongelmana on myös se, että jos edellä mainittuja viitteitä on saatavilla, emme useinkaan usko niihin tai niiden vakavuuteen (ks. esimerkkinä Vajontin tapaus).
Toinen mahdollinen sudenkuoppa todennäköisyysarvioiden käytännön käytössä kuvataan Nassim Nicholas Talebin tuoreessa julkaisussa ”The Black Swan” (Musta joutsen) (Taleb, 2007). Musta joutsen on lyhyesti sanottuna vaikutuksiltaan suuri yksittäinen tapahtuma, joka ei kuulu normaalien odotusten piiriin, koska mikään menneisyydessä ei voi hyvällä todennäköisyydellä viitata sen toteutumisen mahdollisuuteen. Nimi ”musta joutsen” on valittu siksi, että ennen Australian löytämistä vanhan maailman asukkaat olivat vakuuttuneita siitä, että kaikki joutsenet olivat valkoisia. Prof. Taleb osoittaa lisäksi, että mahdollisuuksien maailmassa on kaksi maakuntaa: Mediocristan ja Extremistan. Mediocristan on keskinkertaisten tapahtumien hallitsema maakunta, jossa millään yksittäisellä tapahtumalla ei voi olla merkittävää vaikutusta kokonaisuuteen. Kellonmuotoisen, Gaussin todennäköisyysjakauman käyrän perusta on Mediocristanissa. Extremistan on sitä vastoin mustien joutsenten valtakunta. Kuvassa 18.1 yritetään esittää kuvin esimerkki kahdesta tapahtumatyypistä (tapahtumien intensiteetti eroaa 100-kertaisesti, LOG(100)=2).
Kuva 18.1. Mediocristan ja extremistan.
Kahden maakunnan suurimmat todennäköisyystiheydet ovat mielivaltaisia. Muuttujana voi olla esimerkiksi vahingollisen luonnontapahtuman tai finanssikriisitapahtumien voimakkuus (professori Taleb kuvaa useita tällaisia tapauksia, sillä hänen pääasiallinen erikoisalansa on rahoitus). Kahden tapahtumaluokan likimääräiset integraalitodennäköisyydet (1 ja 5e-11) on esitetty kuvassa.
Yksi yleisimmistä todennäköisyysjakaumien väärinkäytöksistä on jättää huomiotta ekstremististen tapahtumien läsnäolo sen lisäksi, että tapahtumat jakaantuvat enemmän tai vähemmän säännönmukaisesti, kuten Gaussin tai vastaavanlaisen todennäköisyystiheyskäyrän mukaisesti.
Ydinturvallisuuden alalla esimerkkejä alun perin (ainakin osittain) huomiotta jätetyistä tapahtumista ovat kappaleen 18.6.1 alussa luetellut tapahtumat.
Yritetään kuvitella mahdollisia tulevia katastrofitapahtumia, joiden todennäköisyys on hyvin pieni, mutta jotka ovat silti mahdollisia, ja esimerkkeinä voidaan hahmottaa seuraavat tapaukset:
–
Toinen tuhoisa tsunami. Tämä ilmiö on erityisen vaarallinen, koska se voi lähteä liikkeelle paitsi suuren magnitudin maanjäristyksestä myös merenalaisesta tai rannikolla tapahtuvasta maanvyörystä tai merenalaisesta tulivuorenpurkauksesta tai muunlaisesta merenalaisesta räjähdyksestä, ja koska se leviää vahingollisella voimakkuudella satoja kilometrejä tai kauemmas. joidenkin PWR-reaktoreiden osalta lämpöhydrauliikka-asiantuntijoille)
–
Tuhoisa tornadotapahtuma turvallisuuden kannalta merkittävissä laitoksissa, kuten Tshernobyl 4:n sarkofagin uudessa turvasäiliössä (Shelter); Rakenne, sellaisena kuin se kuvattiin julkisesti vuosia sitten (Nuclear News, 2011 ja myöhemmät tiedonannot), on kokonsa ja ”kevytrakenteisuutensa” (29 000 tonnia 42 000 m2:n pohjapinta-alalla) vuoksi todellakin insinööritaidon ihme, mutta se on tiettävästi suunniteltu melko pientä tornadoa varten, kun taas maantieteellisellä alueella, jota asia koskee, on jo esiintynyt voimakkaampia tornadoja (Petrangeli, 2011). Voi kuitenkin hyvin olla, että viime aikoina rakenteen ankkurointia maahan on vahvistettu ja väestönsuojan sisätilojen tuuletusjärjestelmää on parannettu.
Tässä jaksossa mustilla joutsenilla tarkoitetaan kaikkia ”käytännöllisesti katsoen mahdottomia”, mutta kuitenkin ”fysikaalisesti mahdollisia” tapahtumia, myös aiempien kokemusten perusteella. Nämä tapahtumat jäävät, kuten esimerkiksi Fukushiman tapahtuma, nykyisen syvyyssuojauksen viiden tason suojausalueen ulkopuolelle. On annettava hyvin poikkeuksellisia säännöksiä, jos pyritään poistamaan tällaisten tapahtumien toistumisen mahdollisuus. Jos sanomme, että jokin tapahtuma on ”käytännössä mahdoton”, emme voi jättää sitä huomiotta tässä yrityksessä.
Ensimmäinen vaatimus, joka vaikuttaa tarpeelliselta, on se, että kun yksi tällaisista tapahtumista on sattunut tai havaittu menneisyydessä, kaikissa muissa altistuneissa laitoksissa on ryhdyttävä toimenpiteisiin, jotta ne kestävät sen. Onko luotava ”kuudes taso” Defense in Depth -järjestelmää, joka huolehtii näistä tapahtumista?
Ajatuksia tämän ”kuudennen tason” määrittelemiseksi ovat seuraavat:
–
Yritetään löytää esiasteilmiöitä, jotka ilmoittavat lähestyvästä katastrofista, ja pidetään niitä tarkkailussa (mutta tämä menetelmä ei yleensä ole riittävän tarkka sen ajan tunnistamisen suhteen, jonka kuluessa ilmiö tapahtuu);
–
Valmistetaan varoitusjärjestelmä, joka pystyy havaitsemaan jo käynnistyneet luonnolliset ja ei-luonnolliset ilmiöt (esim, tsunami, maanjäristys, epäilyttävät lentokoneiden lennot) ja antaa jonkin verran aikaa (tyypillisesti muutamasta minuutista 30 minuuttiin) laitoksen saattamiseksi turvallisiin olosuhteisiin (jos se on mahdollista laitoksen suunnitteluominaisuudet huomioon ottaen);
–
Suunnittele laitos ”suurimman mahdollisen tapahtuman” varalta, jonka suuruus voidaan yleensä määritellä paremmin kuin tapahtuman etäisyys tulevassa ajassa nykyhetkestä (esim. suurin mahdollinen maanjäristys voidaan tunnistaa menneen historian ja alueen tektonisten ominaisuuksien perusteella). 10CFR:n osa 100, jota on nyt tarkistettu vuonna 2017 (ydinvoimalaitosten seismiset ja geologiset sijoituspaikkakriteerit), oli ensimmäinen kriteeristö, jossa omaksuttiin tämä kanta. Maailman absoluuttisen suurimman maanjäristyksen suuruudeksi hyväksytään yleisesti 8,5-9 Richterin magnitudia; L’Aquilan alueella Italiassa suurin mahdollinen maanjäristys voisi olla suuruusluokkaa M=7. Kustannukset voivat tietysti olla korkeat. Ydinvoimaloiden sijoituspaikat valitaan kuitenkin yleensä matalan seismisyyden alueille (esim, Liite 16).
Valinta käyttää laitoksen suunnittelussa suurinta mahdollista tapahtumaa sen sijaan, että käytettäisiin tapahtumaa, jonka arvioitu todennäköisyys on tiettyä lukua pienempi, voitaisiin ulottaa koskemaan myös muita mahdollisesti vahingollisia tapahtumia, kuten tulvia.
Uusia vaatimuksia laadittaessa on kuitenkin muistettava, että aiempien kokemusten perusteella joidenkin sijoittajien käyttäytymisessä on joskus havaittavissa vallitsevaa vastenmielisyyttä investointitappioita ja korjauskustannuksia kohtaan, vaikka olisi selviä viitteitä lähestyvästä luonnonkatastrofista tai koneisiin liittyvästä katastrofista. Tämä on ollut ilmeistä esimerkiksi Vajontin tapauksessa (aiempi mitattu hidas liukumäki Toc-vuorella, joka kehittyi lopulta nopeaksi katastrofiksi) ja Fukushiman tapauksessa (aiemmat tsunamit Intian valtamerellä).
Eräs mahdollisuus, josta on keskusteltava, on perustaa kullekin ydinvoimalaitokselle tai ydinvoimalaitosten ryhmälle erityinen rahasto, jonka varaan voidaan tehdä säännöllisiä laitos- tai menettelytapojen muutostöitä, jotka ovat seurausta yhdessä laitoksessa tapahtuneista mustista joutsenista. Lisäksi tämä rahasto voitaisiin luoda aina keskusteltavana olevana esimerkkinä siten, että jokaiselta toimintavuodelta säästettäisiin yksi tai kaksi sähkökäyttöpäivää. Edellä käytetyissä luvuissa otetaan huomioon havainto, että mustan joutsenen (luettelo kohdassa 18.6.1) voidaan kokemuksen perusteella olettaa esiintyvän noin kerran kymmenessä vuodessa (Gianni Petrangeli, 2013) ja että laitoksen parannusmuutokset voivat vaatia kymmenien miljoonien eurojen tai vastaavien kustannusten maksamista. Tämä ehdotus tarkoittaa eräänlaista ”itsevakuutusta”. Ehdottomat uudet vaatimukset ja ajattelutavan muutos ovat joka tapauksessa välttämättömiä.
Seuraavassa mainitaan joitakin esimerkkejä mahdollisesti tarvittavista hyvin poikkeuksellisista säännöksistä. Muita ja parempia säännöksiä voidaan kehittää.
Olen tietoinen siitä, että joku voi pitää näitä esimerkkejä liiallisina ja myös haitallisina. Parempia ratkaisuja on varmasti olemassa, mutta kokemukseni osoittaa, että uudet hyvät ideat, varsinkin jos ne ovat kalliita, vievät aikaa (10-20 vuotta) ennen kuin ne nousevat uudelleen esiin alun laiminlyönnin jälkeen (toivon, että näin ei käy tällä hetkellä). Ne sisällytetään yleensä uusiin laitossuunnitelmiin. Teollisuudessa käytetäänkin nykyisin sanontaa, jonka mukaan ”jokainen hyvä uusi vaatimus voidaan hyväksyä, ellei se muuta nykyistä vakiintunutta suunnittelua” (sanonta kuultiin eräässä kansainvälisessä kongressissa). Tämä kanta on ymmärrettävä, elleivät käytettävissä olevat todisteet vaadi poikkeuksellista turvallisuustason nostoa, kuten käsittääkseni tällä hetkellä.
Ensimmäinen esimerkki on uuden suojan luominen jopa olemassa olevaan tai rakenteilla olevaan laitokseen lentokoneen maahansyöksyn, muiden iskujen, tulvimisen tai muun hätätilanteessa tapahtuvan sähköntoimituksen menetyksen varalta. Tämä keskusteluehdotus on karkeasti hahmoteltu kuvassa 18.2, ja sitä on käsitelty laajemmin teoksessa (Petrangeli, 2013).
Kuva 18.2. Erittäin poikkeuksellinen suojaus tsunamin, lentokoneen tai muun iskun ja varavoiman menetyksen varalta.
Tämä lisäsuojaus koostuu laitoksen turvallisuuden kannalta olennaisia osia ympäröivästä raudoitetusta tai esijännitetystä betonisylinteristä. Tuhoisaa tsunamia vastaan suojaavana sylinterin korkeus voi olla 20-50 metriä (ks. IAEA:n opas SSG-18, jossa suositellaan normaalin merenpinnan yläpuolella olevaksi viiteaallonkorkeudeksi 50 metriä, jos ei ole vallitsevaa turvallista näyttöä). Kuvassa 18.2 on esitetty 120 metriä korkea sylinteri (yhtä korkea kuin korkea ydinvoimalaitoksen tai fossiilisia polttoaineita käyttävän voimalaitoksen savupiippu), joka toimii myös suojana lentokoneen törmäystä vastaan (jos voimalaitosrakennukset olisivat syvemmällä maassa, sylinterin korkeus voisi olla pienempi kuin 120 metriä). Törmäävän lentokoneen oletetaan koskettavan laitosta enintään 30 asteen kulmassa horisonttiin nähden (tämä on enemmän kuin poikkeuksellinen noin 24 asteen kulma, jonka Pentagoniin vuonna 2001 törmännyt lentokone saavutti) (Ritter, 2002), ja paljon enemmän kuin tavanomainen 3 asteen laskeutumiskulma.
Sylinterin yläosaa peittää teräsvaijeriverkko ja ohuempi verkko, jotta se tarjoaisi suojan erilaisia ajateltavissa olevia ammuksia vastaan (lennokit jne.).
Sylinterin yläosassa sijaitsee iskunkestävä segmentoitu rengasmainen säiliö: se voi onnettomuuden sattuessa syöttää jäähdytysvettä ytimeen yli 4 päivän ajan käyttäen käyttövoimana korkeudesta johtuvaa hydrostaattista painetta (passiivinen järjestelmä).
120 metriä korkean sylinterin tilavuus on noin 120 000 m2 , ja se maksaa yli 15 miljoonaa euroa.
Sylinterin seinämään on asennettava liikuteltavat vedenpitävät laipiot, jotta komponentit voivat liikkua sylinteriin ja sieltä ulos. On arvioitu, että jos sylinterin ulkopinta peitetään aurinkokennoilla, se voisi tuottaa useita Mw sähköenergiaa päivänvalossa. Tarvitaan myös muita apujärjestelmiä (sähköakkuja jne.).
Sylinterin pohjamuoto ei välttämättä ole ympyrän muotoinen, jotta rakenne voidaan sovittaa muihin kuin turvallisuuden kannalta olennaisiin laitosrakennuksiin.
Jos kuvassa esitetyn kaltaiseen ratkaisuun päädytään, nykyisin hyväksyttyjä laitoksen ilmatorjunnan suojausominaisuuksia (esitetty kuvassa 18.2) voitaisiin yksinkertaistaa suunnitteluvaiheessa oleville laitoksille taloudellisesti edullisesti. Jos tällöin käytetään teräksistä suojarakennetta, myös suojarakennuksen jäähdytys voisi olla helpompaa.
Tämä esimerkkinä esitetty ratkaisu voi taas tuntua liioitellulta, kuten ensimmäiset vuodot tiiviit-paineenkestävät suojarakennukset vuosilta 1960 tuntuivat monista terveen järjen insinööreistä. Heidän mielipiteensä kuitenkin muuttui radikaalisti Three Mile Islandin jälkeen.
Muita esimerkkejä ratkaisuista on lueteltu (Petrangeli, 2013): penkereen päälle rakennetut laitokset (tsunamia vastaan) ja passiiviset hätäjäähdytysjärjestelmät (tavanomaisten aktiivisten hätäjäähdytysjärjestelmien menetyksen varalta).
Nykyisin saatavilla olevat tietokonekoodit nestedynamiikasta voivat auttaa simuloimaan hyvällä tarkkuustasolla tsunamin aiheuttaman aaltojen kerääntymisen tietyssä maastotilanteessa olevaan laitokseen nähden (ks. esim, penkereen vaikutus laitoksen korotettuna sijaintina ympäröivän maanpinnan yläpuolella).
Todennäköisyysarviointien yleisestä tehokkuudesta ydinturvallisuusanalyyseissä on muistutettava siitä tunnetusta seikasta, että nämä arvioinnit ovat olennaisen tärkeitä, kun monimutkaisissa järjestelmissä havaitaan ratkaisevan tärkeitä osia tai ilmiöitä. Esimerkkinä voidaan mainita, että laitoksen todennäköisyysarviointi osoittaa yleensä, että laitetilojen ilmastointijärjestelmät ovat ratkaisevan tärkeitä useiden turvallisuusjärjestelmien toiminnalle, ja siksi niiden asianmukainen toiminta on varmistettava suurella todennäköisyydellä tavanomaisin keinoin laatutason, redundanssin ja monipuolistamisen avulla (ks. myös jakso 11.3).
Yllä olevan keskustelun valossa sietämättömien tapahtumien pientä todennäköisyyttä voidaan pitää välttämättömänä mutta ei riittävänä edellytyksenä tällaisilta tapahtumilta suojautumiselle.