18.6.2 A biztonságértékelési módszerek (hibák és korlátok a valószínűségértékelésekben) és a biztonsági kritériumok lehetséges fejlődése
Egy ritka esemény valószínűségét információ hiányában tévesen alulértékelték. Ráadásul még ha egy ritka esemény valószínűségét helyesen értékelik is, és az esemény visszatérési ideje hosszú (pl. 1000 évenként egyszeri valószínűség esetén 1000 év), általában a legtöbb ember úgy gondolja, hogy az esemény bekövetkezéséig mindenképpen hosszú idő telik el. Létezik egyfajta pszichológiai jelenség, amelyet “inverz délibáb-illúziónak” nevezhetünk (ami nagyon közel lehet, azt nagyon távolinak érzékeljük), amelynek révén a nagyon hosszú visszatérési idejű eseményeket a távoli jövőben elhelyezkedőnek érzékeljük. A valóságban a valószínűség definíciója (egy eseménytípus és a bármilyen típusú lehetséges események összessége közötti arány) nem tartalmaz semmilyen utalást annak az eseménynek a jövőbeli időben mért távolságára, amelynek valószínűségét kiszámítják, és az értékelt valószínűség, ismétlem, mindig sok visszatérési időre vonatkozó átlagos valószínűség (Moroney, 1951). Csak olyan időintervallumban, amely az értékelt visszatérési időhöz képest nagyon hosszú, a két egymást követő esemény közötti intervallum “átlagosan” közel lesz az értékelt visszatérési időhöz. Ez azt jelenti, hogy egy 1000 éves visszatérési idővel rendelkező esemény a következő évben is bekövetkezhet. Valami ilyesmi történhetett a fukusimai cunami esetében is.
Hasonlóképpen ismert, hogy a “fej vagy írás” játékban például a “fej” és “írás” szabályos váltakozó előfordulása helyett előfordulhat egy sorozat, például írás.”
A ritka események kiértékelt visszatérési ideje nagyon hosszú idő esetén “átlagos” érték. Ezzel szemben az az időpont, amikor az esemény bekövetkezik, a véletlen vagy a rossz/jó szerencse terméke. A véletlen eseményeket, a véletlen termékét sok szakértő úgy definiálja, hogy azok az események, amelyek alapjait nem ismerjük. Természetesen e gondolatmenet szerint léteznek okok arra, hogy egy ritka esemény előbb vagy utóbb bekövetkezzen, de ezek az okok gyakran nem ismertek.
Ha azt a műveletet nézzük, amikor egy érmét választunk egy érmés dobozban, akkor úgy gondolhatjuk, hogy az érme vakon történő kihúzása esetén a “fej vagy írás” kimenetele véletlenszerű lesz. Ha azonban a művelet kezdeti feltételei ismertek (pl. az érmék helyzete és a kéz pozíciója), a kézmozgás sebességével és irányával, valamint az érme dobozból való kiemelésének követett szabályaival együtt (pl. a kéz által megérintett első érmét forgatás nélkül vesszük fel), akkor a kiemelés kimenetele pontosan kiértékelhető. Tény, hogy az imént ismertetett műveletben a legtöbb esetben mindezek az adatok nem ismertek, és az eredményt tudatlanságunk miatt “véletlennek” kell tekintenünk. A “véletlen” a jövő eseményeinek nagy titokzatos tényezője, azok valószínűségével együtt.”
John Locke angol filozófus szerint az emberek nem a teljes tudás napsugarában hozzák meg döntéseiket, hanem a valószínűség kreálmányában. A Véletlen jelenléte az oka ennek a hitnek.
Amikor azonban megpróbáljuk megérteni, hogy egy ritka esemény bekövetkezhet-e a közeljövőben, a közelgő pusztító eseményre utaló minden rendelkezésre álló jel jelenlétét keresni és figyelni kell. Ebben a kutatásban nagyon fontos az időintervallum, amelyre a “küszöbönálló” szót alkalmazzák. Például lehetséges, hogy előrejelzést lehet készíteni egy több éves jövőbeli időszakra (az atomerőművek tervezése szempontjából érdekes időszak), és éppen ellenkezőleg, lehet, hogy nem lehet előrejelzést készíteni egy napokig tartó jövőbeli időszakra (mivel ez a lakosság megelőző evakuálása szempontjából érdekes). Ebben a tekintetben a megfelelő kérdést kell feltenni az érdeklődésre számot tartó jelenségek szakértőinek, nevezetesen az érdeklődésre számot tartó időszak helyes meghatározásával a jövőben. A probléma az is, hogy ha a fent említett jelzések rendelkezésre állnak, gyakran nem hiszünk bennük vagy azok súlyosságában (lásd példaként a Vajont-ügyet).
A valószínűségi értékelések gyakorlati használatának másik lehetséges buktatóját Nassim Nicholas Taleb nemrég megjelent “A fekete hattyú” című publikációja írja le (Taleb, 2007). A fekete hattyú röviden egy olyan elszigetelt, nagy hatású esemény, amely nem tartozik a normális várakozások körébe, mert a múltban semmi sem utalhat kellő valószínűséggel a bekövetkezésének lehetőségére. A “fekete hattyú” elnevezést azért választották, mert Ausztrália felfedezése előtt az Óvilág lakói meg voltak győződve arról, hogy minden hattyú fehér. Taleb professzor jelzi továbbá, hogy a lehetőségek világában két tartomány létezik: a Mediocristan és az Extremistan. A Mediocristan a középszerű események által uralt tartomány, ahol egyetlen eseménynek sem lehet jelentős hatása az egészre. A harang alakú, Gauss-féle valószínűség-eloszlási görbe alapja a Mediocristan. Az Extremistan ezzel szemben a fekete hattyúk birodalma. A 18.1. ábra a két eseménytípusra (az események intenzitása 100-szorosan különbözik, LOG(100)=2) próbál egy képen példát mutatni.
18.1. ábra. Mediokrisztán és Extrémisztán.
A két tartomány maximális valószínűségi sűrűségei tetszőlegesek. A változó lehet egy káros természeti esemény vagy egy pénzügyi válságesemény intenzitása (Taleb professzor számos ilyen esetet ír le, mivel fő szakterülete a pénzügy). A két eseményosztály közelítő integrál valószínűségei (1 és 5e-11) az ábrán láthatóak.
A valószínűségi eloszlások egyik leggyakoribb visszaélése, hogy a többé-kevésbé szabályos módon, például egy Gauss- vagy hasonló valószínűségi sűrűséggörbe mentén eloszló események mellett figyelmen kívül hagyják az Extremistan események jelenlétét.
A nukleáris biztonság területén a kezdetben (legalábbis részben) figyelmen kívül hagyott eseményekre a 18.6.1. szakasz elején felsoroltak a példák.
A nagyon kis valószínűségű, de még mindig lehetséges jövőbeli katasztrofális események elképzelésére a következő eseteket lehet példaként elképzelni:
–
Egy újabb pusztító cunami. Ez a jelenség azért különösen veszélyes, mert nemcsak egy nagy erejű földrengés, hanem egy tenger alatti vagy part menti földcsuszamlás vagy egy más eredetű tenger alatti vulkánkitörés vagy tenger alatti robbanás is elindíthatja, és mert több száz kilométeren át vagy még tovább terjed káros intenzitással.
–
Egy önkéntes vagy véletlen repülőgép lezuhanása egy erőműre
–
A reaktor védelmi rendszerének szabotázsa
–
Egy reaktor nyomástartó edényének vagy más nagy erőművi edénynek a robbanása
–
Reaktivitási kitérés egy PWR-ben lévő, nem bolygatott dugó miatt egy LOCA során (a lehetőség jól ismert, néhány PWR esetében a termohidraulikával foglalkozó szakemberek számára)
–
Roncsolásos tornádóesemény a biztonság szempontjából jelentős létesítményekben, mint például a Csernobil 4 szarkofág új biztonsági zárkájában (Shelter); a szerkezet, ahogyan azt évekkel ezelőtt nyilvánosan leírták (Nuclear News, 2011 és későbbi közlemények), valóban egy mérnöki csoda a méret és a “könnyűszerkezet” tekintetében (29.000 t 42.000 m2 alapterületen), de – amennyire ismert – meglehetősen kis tornádóra tervezték, miközben az érintett földrajzi régióban már előfordultak nagyobb intenzitású tornádók (Petrangeli, 2011). Könnyen lehet azonban, hogy az utóbbi időben megerősítették a szerkezet földhöz való rögzítését, és a menedékház belsejének jobb szellőzőrendszerét építették be.”
A fekete hattyúk alatt ebben a fejezetben minden “gyakorlatilag lehetetlen”, de “fizikailag lehetséges” eseményt értünk, a múltbeli tapasztalatok alapján is. Ezek az események, mint például a fukusimai esemény, kívül esnek a mélységi védelem jelenlegi öt szintjének védelmi körén. Nagyon kivételes rendelkezéseket kell elfogadni, ha megkísérlik az ilyen események megismétlődésének lehetőségét kiküszöbölni. Ha azt mondjuk, hogy egy esemény “gyakorlatilag lehetetlen”, nem hagyhatjuk figyelmen kívül ebben a kísérletben.
Az első követelmény, ami szükségesnek tűnik, hogy ha egy ilyen esemény megtörtént vagy a múltban felfedezték, az összes többi kitett erőműben intézkedéseket kell hozni annak ellenállása érdekében. Létre kell-e hozni a mélységi védelem “hatodik szintjét”, hogy gondoskodni lehessen ezekről az eseményekről?
Ez a “hatodik szint” meghatározására a következő ötletek vannak:
–
Kíséreljük meg felfedezni a közelgő katasztrófát jelző előjelző jelenségeket, és tartsuk őket megfigyelés alatt (de ez a módszer általában nem elég pontos a jelenség bekövetkezési idejének azonosítását illetően);
–
Egy olyan figyelmeztető rendszer létrehozása, amely képes a már megindult természeti és nem természeti jelenségek észlelésére (Pl, cunami, földrengés, gyanús légi járatok), és ad némi időt (jellemzően néhány perctől 30 percig) arra, hogy az erőművet biztonságos állapotba hozzák (ha a tervezési jellemzőket figyelembe véve lehetséges);
–
Tervezze az erőművet a “maximálisan lehetséges esemény” ellen, amelynek nagysága általában jobban meghatározható, mint az esemény távolsága a jövőbeni időben a jelenhez képest (pl. a maximálisan lehetséges földrengés azonosítható a múltbeli történelem és a régió tektonikai jellemzői alapján). A most 2017-ben felülvizsgált 10CFR 100. rész (az atomerőművek szeizmikus és geológiai elhelyezési kritériumai) volt az első kritériumrendszer, amely elfogadta ezt az álláspontot. Az abszolút maximális földrengés a világon általában 8,5-9 Richter-magnitúdójúnak van elfogadva; az olaszországi L’Aquila zóna esetében a lehetséges maximális földrengés M=7-es nagyságrendű lehet. Természetesen a költségek magasak lehetnek. Az atomerőművek telephelyeit azonban általában alacsony szeizmicitású helyeken választják ki (pl, Függelék 16).
Az a döntés, hogy az erőmű tervezésénél a maximálisan lehetséges eseményt használják egy bizonyos számnál kisebb becsült valószínűségű esemény helyett, kiterjeszthető más potenciálisan káros eseményekre, például árvizekre is.
Az új követelmények megfogalmazásakor azonban nem szabad megfeledkezni arról, hogy a múltbeli tapasztalatok alapján egyes befektetők magatartásában néha a beruházási veszteségektől és a helyreállítási költségektől való elhatárolódás uralkodik, még a közelgő természeti vagy gépi katasztrófára utaló egyértelmű jelek jelenlétében is. Ez megmutatkozott például a Vajont-ügyben (korábbi mért lassú csúszómozgás a Toc-hegyen, amely végül gyors katasztrófává fajult) és a Fukushima-ügyben (korábbi cunami az Indiai-óceánon).
Az egyik megvitatandó lehetőség, hogy minden egyes atomerőmű vagy azok egy csoportja számára külön alapot hozzanak létre az egy-egy erőműben bekövetkező fekete hattyúk következtében időszakosan bekövetkező erőmű- vagy eljárásmódosításokra. Továbbá, mindig megvitatandó példaként, ezt az alapot úgy lehetne létrehozni, hogy minden egyes üzemévben egy vagy két üzemnap értékű energiát takarítanak meg. A fent használt számok figyelembe veszik azt a megfigyelést, hogy egy fekete hattyú (felsorolás a 18.6.1. szakaszban) a tapasztalatok alapján nagyjából tízévente egyszer fordulhat elő (Gianni Petrangeli, 2013), és hogy egy üzemen végzett javító módosítások több tízmillió eurós vagy azzal egyenértékű kiadást igényelhetnek. Ez a javaslat egyfajta “önbiztosítást” jelent. Feltétel nélküli új követelményekre és szemléletváltásra mindenképpen szükség van.
Az alábbiakban néhány példát említünk az esetleg szükséges nagyon kivételes rendelkezésekre. Más és jobb rendelkezéseket is ki lehet dolgozni.
Tudatában vagyok annak, hogy ezeket a példákat valaki túlzónak és kontraproduktívnak is tarthatja. Bizonyára léteznek jobb megoldások is, de tapasztalataim szerint az új jó ötletek, különösen ha költségesek, időbe telik (10-20 év), mire a kezdeti mellőzés után újra felbukkannak (remélem, hogy ez most nem így lesz). Általában beépülnek az új üzemtervekbe. Valóban, az iparban az egyik jelenlegi mondás szerint “Minden jó új követelmény elfogadható, hacsak nem változtatja meg a jelenlegi, bevett tervezést” (egy nemzetközi kongresszuson elhangzott beavatkozás). Ez az álláspont érthető, kivéve, ha a rendelkezésre álló bizonyítékok a biztonsági szint kivételes emelését követelik meg, mint, azt hiszem, a jelen pillanatban.
Az első példa egy új védelem létrehozása, akár egy meglévő vagy építés alatt álló üzemben, a repülőgép lezuhanása, egyéb becsapódás, elöntés vagy egyéb vészhelyzeti villamos energia elvesztése ellen. Ezt a tárgyalási javaslatot nagyjából a 18.2. ábra vázolja fel, és részletesebben tárgyalja (Petrangeli, 2013).
18.2. ábra. Nagyon kivételes védelem cunami, repülőgép vagy egyéb becsapódás és vészhelyzeti áramkimaradás ellen.
Ez a kiegészítő védelem az erőmű biztonság szempontjából lényeges részeit körülvevő vasbeton vagy feszített beton hengerből áll. A romboló cunami elleni védelemként a henger 20-50 m magas lehet (lásd a NAÜ SSG-18 útmutatóját, amely a normál tengerszint feletti 50 m-es referencia-hullámmagasságot ajánlja, amennyiben nem állnak fenn biztonságos bizonyítékok). A 18.2. ábra egy 120 m magas hengert ábrázol (olyan magas, mint egy magas nukleáris vagy fosszilis tüzelésű erőmű kéménye), amely egy repülőgép becsapódása ellen is védelmet nyújt (ha az erőmű épületei jobban beágyazódnának a talajba, a henger magassága 120 m-nél kisebb is lehetne). A becsapódó repülőgép a feltételezések szerint legfeljebb 30 fokos szögben érintené az erőművet a látóhatárral (ez több, mint a Pentagon épületébe 2001-ben becsapódó repülőgép által elért kivételes, kb. 24 fokos szög (Ritter, 2002), és sokkal több, mint a szokásos 3 fokos leszállási szög.
A henger felső részét acélkábelrács és egy finomabb háló borítja, hogy védelmet nyújtson a különféle elképzelhető lövedékek (drónok stb.) ellen.)
A henger felső részén egy ütésálló, szegmentált gyűrűs tartály található: ez baleset esetén több mint 4 napig képes a magot hűtővízzel ellátni, hajtóerőként a magasságból adódó hidrosztatikus nyomást használva (passzív rendszer).
A 120 m magas henger térfogata kb. 120 000 m2 , és több mint 15 millió euróba kerül.
A henger falában mobil vízálló válaszfalakat kell kialakítani az alkatrészek be- és kimozgatásához. Becslések szerint a henger külső felülete, ha napelemekkel borítják, napfényben több Mw elektromos energiát tudna biztosítani. Egyéb segédrendszerekre is szükség lesz (energiaakkumulátorok stb.).
A henger alaprajza nem lehet kör alakú, hogy a szerkezetet más, nem biztonsági szempontból lényeges üzemi épületekhez lehessen igazítani.
Az ábrázolt megoldáshoz hasonló megoldás elfogadása esetén az üzem jelenleg elfogadott légvédelmi jellemzői (a 18.2. ábrán látható) a tervezési fázisban lévő üzemek esetében gazdasági előnnyel egyszerűsíthetők. Ha ekkor acél konténmentet alkalmaznak, akkor a konténment hűtése is egyszerűbbé válhat.
Ez a példaként javasolt megoldás ismét túlzónak tűnhet, ahogyan az 1960-as évek első szivárgásmentes, nyomásálló konténmentjei sok józan ésszel gondolkodó mérnöknek tűntek. Ezek véleménye azonban a Three Mile Island után gyökeresen megváltozott.
Más megoldási példákat sorol fel (Petrangeli, 2013): gát fölé épített erőművek (cunami ellen) és passzív vészhűtőrendszerek (a szokásos aktív vészhűtőrendszerek kiesése ellen).
A ma elérhető számítógépes áramlástani kódok segítségével jó pontossággal lehet szimulálni a cunami hullámfutást egy adott terep-erőmű helyzetre (pl., egy gát, mint a környező talaj fölé emelt erőmű hatása).
A valószínűségi értékelések általános hatékonyságát illetően a nukleáris biztonsági elemzésben emlékeztetni kell arra a jól ismert tényre, hogy ezek az értékelések alapvető fontosságúak az összetett rendszerekben a döntő fontosságú részek vagy jelenségek felderítésében. Példaként jól ismert, hogy az üzem valószínűségi értékelése általában azt jelzi, hogy a berendezési helyiségek kondicionáló rendszerei több biztonsági rendszer működése szempontjából döntő fontosságúak, és ezért helyes működésüket nagy valószínűséggel kell biztosítani a minőségi szint, a redundancia és a diverzifikáció szokásos eszközeivel (lásd még a 11.3. szakaszt).
A fenti értekezés fényében továbbá a tűrhetetlen események alacsony valószínűsége szükséges, de nem elégséges feltételnek tekinthető az ilyen események elleni védelemhez.