18.6.2 Possible Evolution in Safety Evaluation Methods (Mistakes and Limits in Probability Evaluations) and in Safety Criteria
De waarschijnlijkheid van een zeldzame gebeurtenis kan bij gebrek aan informatie verkeerd ondergewaardeerd zijn. Bovendien, zelfs indien de waarschijnlijkheid van een zeldzame gebeurtenis juist is ingeschat, en de terugkeertijd van de gebeurtenis lang is (b.v. 1000 jaar voor een waarschijnlijkheid van eens in de 1000 jaar), denken de meeste mensen gewoonlijk dat er hoe dan ook een lange tijd zal verstrijken voordat de gebeurtenis zich voordoet. Er bestaat een soort psychologisch verschijnsel, dat “omgekeerde illusie” zou kunnen worden genoemd (wat zeer dichtbij kan zijn, wordt als zeer veraf ervaren), waardoor gebeurtenissen met een zeer lange terugkeertijd worden waargenomen alsof zij zich in de verre toekomst bevinden. In werkelijkheid bevat de definitie van waarschijnlijkheid (verhouding tussen een type gebeurtenis en het totaal van mogelijke gebeurtenissen van om het even welk type) geen enkele verwijzing naar de afstand in de toekomstige tijd van de gebeurtenis waarvan de waarschijnlijkheid wordt berekend en de geëvalueerde waarschijnlijkheid is, nogmaals, altijd een gemiddelde waarschijnlijkheid over vele terugkeertijden (Moroney, 1951). Alleen in een tijdsinterval dat zeer lang is ten opzichte van de geschatte terugkeertijd zal het interval tussen twee opeenvolgende gebeurtenissen de neiging hebben “gemiddeld” dicht bij de geschatte terugkeertijd te liggen. Dit betekent dat een gebeurtenis met een terugkeertijd van 1000 jaar ook volgend jaar kan plaatsvinden. Iets dergelijks moet zijn gebeurd voor de tsunami van Fukushima.
Op soortgelijke wijze is het bekend dat in het “kop of munt”-spel bijvoorbeeld een reeks staarten kan voorkomen in plaats van een regelmatig afwisselend voorkomen van “kop” en “munt.”
De geëvalueerde terugkeertijd van zeldzame gebeurtenissen is een “gemiddelde” waarde in zeer lange tijden. Integendeel, het tijdstip waarop de gebeurtenis zich zal voordoen is een product van toeval of pech/geluk. Toevallige gebeurtenissen, het product van toeval, worden door vele deskundigen gedefinieerd als die gebeurtenissen waarvan wij de basis niet kennen. Natuurlijk bestaan er volgens deze gedachtegang oorzaken voor een zeldzame gebeurtenis om vroeg of laat te gebeuren, maar deze oorzaken zijn vaak niet bekend.
Als men kijkt naar de handeling van het kiezen van een munt in een muntendoos, kan men ervan uitgaan dat, voor een blinde opneming van een munt, de uitkomst “kop of munt” toevallig zal zijn. Indien echter de beginvoorwaarden van de handeling bekend zijn (b.v. positie van de munten en positie van de hand), tezamen met de snelheid en richting van de handbeweging en de gevolgde regels voor het oprapen van de munt uit de doos (b.v. de eerste munt die door de hand wordt aangeraakt, wordt opgeraapt zonder deze te draaien), zou het resultaat van de extractie nauwkeurig kunnen worden geëvalueerd. Feit is dat bij de zojuist beschreven operatie in de meeste gevallen al deze gegevens niet bekend zijn en het resultaat als “toevallig” moet worden beschouwd vanwege onze onwetendheid. “Toeval” is de grote mysterieuze factor in toekomstige gebeurtenissen, samen met hun waarschijnlijkheid.
De Engelse filosoof John Locke zei dat de mens zijn beslissingen niet neemt in het zonlicht van volledige kennis, maar in de crepuscule van waarschijnlijkheid. De aanwezigheid van Kans is de oorzaak van dit geloof.
Hoewel, in een poging om te begrijpen of een zeldzame gebeurtenis in een nabije tijd kan plaatsvinden, moet de aanwezigheid van elke beschikbare aanwijzing voor een op handen zijnde destructieve gebeurtenis worden gezocht en gecontroleerd. In dit onderzoek is het tijdsinterval van groot belang waarop het woord “imminent” wordt toegepast. Het kan bijvoorbeeld mogelijk zijn een voorspelling te doen voor een toekomstige periode van vele jaren (de periode die van belang is voor het ontwerp van kerncentrales) en daarentegen niet voor een toekomstige periode van dagen (zoals die van belang is voor de preventieve evacuatie van de bevolking). In dit verband moet de juiste vraag worden gesteld aan deskundigen op het gebied van de betrokken verschijnselen, namelijk met de juiste specificatie van de periode van belang in de toekomst. Het probleem is ook dat als de bovengenoemde aanwijzingen beschikbaar zijn, we er vaak niet in geloven of in de ernst ervan (zie de zaak Vajont, als voorbeeld).
Een andere mogelijke valkuil in het praktische gebruik van waarschijnlijkheidsevaluaties wordt beschreven in een recente publicatie van Nassim Nicholas Taleb, “The Black Swan” (Taleb, 2007). Een Zwarte Zwaan is, kort gezegd, een op zichzelf staande gebeurtenis met een grote impact die niet tot het domein van de normale verwachtingen behoort, omdat niets in het verleden er met een goede graad van aannemelijkheid op kan wijzen dat hij zich kan voordoen. De naam “Zwarte Zwaan” is gekozen omdat de bewoners van de Oude Wereld, vóór de ontdekking van Australië, ervan overtuigd waren dat alle zwanen wit waren. Prof. Taleb wijst verder op het bestaan, in de wereld van mogelijkheden, van twee provincies: de Mediocristan en de Extremistan. De Mediocristan is de provincie die gedomineerd wordt door middelmatige gebeurtenissen, waar geen enkele gebeurtenis een significante invloed kan hebben op het geheel. De klokvormige Gauss-kromme van de waarschijnlijkheidsverdeling heeft zijn basis in Mediocristan. Extremistan, daarentegen, is het rijk van de Zwarte Zwanen. Fig. 18.1 tracht in een afbeelding een voorbeeld te geven van de twee soorten gebeurtenissen (intensiteit van de gebeurtenissen verschillend met een factor 100, LOG(100)=2).
Figuur 18.1. Mediocristan en extremistan.
De maximale waarschijnlijkheidsdichtheden van de twee provincies zijn arbitrair. De variabele kan de intensiteit van een schadelijke natuurgebeurtenis of van een financiële crisis zijn (Prof. Taleb beschrijft verschillende gevallen van dit soort, aangezien zijn voornaamste specialisatie Financiën is). De benaderde integrale waarschijnlijkheden (1 en 5e-11) van de twee klassen van gebeurtenissen zijn weergegeven in de figuur.
Een van de meest voorkomende misbruiken van kansverdelingen is het negeren van de aanwezigheid van Extremistaanse gebeurtenissen naast gebeurtenissen die op een min of meer regelmatige manier verdeeld zijn, zoals langs een Gaussische of soortgelijke curve van kansdichtheid.
Voorbeelden van gebeurtenissen die aanvankelijk (althans gedeeltelijk) buiten beschouwing werden gelaten op het gebied van nucleaire veiligheid zijn die welke worden genoemd aan het begin van paragraaf 18.6.1.
Terwijl men zich mogelijke toekomstige catastrofale gebeurtenissen met een zeer lage waarschijnlijkheid maar toch mogelijk probeert voor te stellen, zouden de volgende gevallen als voorbeeld kunnen dienen:
–
Nog een vernietigende tsunami. Dit verschijnsel is bijzonder gevaarlijk, omdat het niet alleen kan ontstaan door een aardbeving van grote kracht, maar ook door een aardverschuiving onder zee of langs de kust of door een vulkanische uitbarsting onder zee of een onderzeese explosie van andere oorsprong, en omdat het zich met een schadelijke intensiteit over honderden kilometers of meer voortplant.
–
Een vrijwillige of toevallige vliegtuigcrash op een centrale
–
Een sabotage van de reactorbeveiligingssystemen
–
Een explosie van een reactordrukvat of van een ander groot vat van de centrale
–
Reactiviteitsexcursie als gevolg van een ongeboorde plug in een PWR tijdens een LOCA (mogelijkheid welbekend, voor sommige PWR’s, bij thermohydraulische specialisten)
–
Destructieve tornadogebeurtenis op installaties die van belang zijn voor de veiligheid, zoals de New Safety Confinement (Shelter) van de Sarcophagus van Tsjernobyl 4; de constructie zoals zij jaren geleden publiekelijk is beschreven (Nuclear News, 2011 en latere mededelingen) is inderdaad een wonder van techniek wat betreft omvang en “lichtgewicht” constructie (29.000 ton op een grondoppervlakte van 42.000 m2), maar zij is, voor zover bekend, ontworpen voor een vrij kleine tornado, terwijl er in de betrokken geografische regio reeds tornado’s van hogere intensiteit zijn voorgekomen (Petrangeli, 2011). Het is echter goed mogelijk dat in de afgelopen tijd de verankering van de structuur aan de grond is versterkt en een verbeterd ontluchtingssysteem van het interieur van de Shelter is geïnstalleerd.
In dit deel worden met Zwarte Zwanen alle “praktisch onmogelijke”, maar “fysiek mogelijke” gebeurtenissen bedoeld, ook op basis van ervaringen uit het verleden. Deze gebeurtenissen vallen, zoals bijvoorbeeld de gebeurtenis in Fukushima, buiten het beschermingsgebied van de huidige vijf niveaus van verdediging in de diepte. Er moeten zeer uitzonderlijke bepalingen worden vastgesteld als men de mogelijkheid dat dergelijke gebeurtenissen zich opnieuw voordoen, verder wil uitsluiten. Als men zegt dat een gebeurtenis “praktisch onmogelijk” is, kan men deze bij deze poging niet buiten beschouwing laten.
De eerste eis die noodzakelijk lijkt, is dat, zodra een van deze gebeurtenissen zich heeft voorgedaan of in de voorgeschiedenis is ontdekt, op alle andere blootgestelde installaties maatregelen worden genomen om deze te weerstaan. Moet er een “zesde niveau” van “Defense in Depth” worden gecreëerd om deze gebeurtenissen op te vangen?
Ideeën voor de definitie van dit “zesde niveau” zijn de volgende:
–
Proberen precursorverschijnselen te ontdekken die een op handen zijnde ramp aankondigen en deze in het oog houden (maar deze methode is meestal niet nauwkeurig genoeg wat betreft de vaststelling van het tijdstip waarop het verschijnsel zich zal voordoen);
–
Een waarschuwingssysteem opzetten dat reeds begonnen natuurlijke en niet-natuurlijke verschijnselen kan opsporen (b.v, tsunami, aardbeving, verdachte vliegtuigvluchten) kan detecteren en enige tijd kan geven (doorgaans enkele minuten tot 30 minuten) om de installatie in veilige omstandigheden te brengen (indien mogelijk, gegeven de ontwerpkenmerken);
–
Ontwerp de installatie tegen de “maximaal mogelijke gebeurtenis” waarvan de magnitude over het algemeen beter kan worden bepaald dan de afstand van de gebeurtenis in de toekomst ten opzichte van het heden (de maximaal mogelijke aardbeving kan bijvoorbeeld worden bepaald aan de hand van de geschiedenis en de tectonische kenmerken van de regio). 10CFR Part 100, nu herzien in 2017 (seismische en geologische vestigingscriteria voor kerncentrales) was de eerste reeks criteria die dit standpunt innam. Algemeen wordt aangenomen dat de absoluut maximale aardbeving in de wereld een Richter-magnitude van 8,5 tot 9 heeft; voor de zone van L’Aquila, Italië, zou de maximaal mogelijke aardbeving van de orde van M=7 kunnen zijn. Natuurlijk kunnen de kosten hoog oplopen. De locaties voor kerncentrales worden echter meestal gekozen op locaties met een lage seismiciteit (zie bv,
De keuze om voor het ontwerp van de centrale uit te gaan van de maximaal mogelijke gebeurtenis, in plaats van een gebeurtenis met een geschatte waarschijnlijkheid van minder dan een bepaald cijfer, zou kunnen worden uitgebreid tot andere potentieel schadelijke gebeurtenissen, zoals overstromingen.
Bij het formuleren van nieuwe eisen mag echter niet uit het oog worden verloren dat, op basis van ervaringen uit het verleden, soms een overheersende afkeer van investeringsverliezen en van herstelkosten blijkt in het gedrag van sommige investeerders, zelfs in aanwezigheid van duidelijke aanwijzingen van een op handen zijnde natuurramp of machine-gerelateerde ramp. Dit is bijvoorbeeld gebleken in het geval van Vajont (eerdere gemeten langzame glijbeweging in de berg Toc die zich uiteindelijk ontwikkelde tot een snelle ramp) en in het geval van Fukushima (eerdere tsunami’s in de Indische Oceaan).
Een mogelijkheid die moet worden besproken is voor elke kerncentrale of voor een groep daarvan een speciaal fonds op te richten voor periodieke aanpassingen van centrales of procedures als gevolg van Zwarte Zwanen in één centrale. Voorts zou dit fonds, steeds bij wijze van voorbeeld, kunnen worden gevormd door voor elk exploitatiejaar één of twee vermogensdagen te besparen. De hierboven gebruikte getallen houden rekening met de vaststelling dat op basis van ervaring kan worden aangenomen dat een zwarte zwaan (lijst in punt 18.6.1) ongeveer eens in de 10 jaar voorkomt (Gianni Petrangeli, 2013) en dat de verbeteringsaanpassingen aan een centrale een uitgave van tientallen miljoenen euro of een equivalent daarvan kunnen vergen. Dit voorstel betekent een soort “zelfverzekering”. Onvoorwaardelijke nieuwe eisen en een mentaliteitsverandering zijn in ieder geval noodzakelijk.
Enkele voorbeelden van zeer uitzonderlijke voorzieningen die mogelijk nodig zijn, worden hieronder genoemd. Andere en betere bepalingen kunnen worden ontwikkeld.
Ik ben mij ervan bewust dat deze voorbeelden door iemand als overdreven en ook als contraproductief kunnen worden beschouwd. Er bestaan zeker betere oplossingen, maar mijn ervaring leert dat nieuwe goede ideeën, vooral als ze kostbaar zijn, tijd nodig hebben (10-20 jaar) om na een aanvankelijke verwaarlozing weer boven water te komen (ik hoop dat dit nu niet het geval zal zijn). Meestal worden ze verwerkt in nieuwe fabrieksontwerpen. Een gangbaar gezegde in de industrie is immers dat “elke goede nieuwe eis aanvaardbaar is, tenzij hij het huidige gevestigde ontwerp verandert” (interventie gehoord op een internationaal congres). Dit standpunt is begrijpelijk, tenzij een uitzonderlijke verhoging van het veiligheidsniveau wordt verlangd door de beschikbare gegevens, zoals, naar ik meen, in de huidige tijd het geval is.
Het eerste voorbeeld is het creëren, zelfs in een bestaande of in aanbouw zijnde centrale, van een nieuwe bescherming tegen neerstortende vliegtuigen, andere inslagen, inundatie, of het uitvallen van andere elektrische noodstroomvoorzieningen. Dit discussievoorstel is ruwweg geschetst in Fig. 18.2 en wordt uitgebreider behandeld in (Petrangeli, 2013).
Figuur 18.2. Zeer uitzonderlijke bescherming tegen tsunami’s, vliegtuigen of andere inslagen en verlies van noodstroomvoorziening.
Deze aanvullende bescherming bestaat uit een cilinder van gewapend of voorgespannen beton die de voor de veiligheid essentiële delen van een centrale omgeeft. Als bescherming tegen een vernietigende tsunami kan de cilinder 20-50 m hoog zijn (zie IAEA-gids SSG-18, waarin een referentiegolfhoogte boven het normale zeeniveau van 50 m wordt aanbevolen, indien er geen veilig bewijs bestaat). Fig. 18.2 toont een cilinder van 120 m hoog (even hoog als een hoge schoorsteen van een kerncentrale of een met fossiele brandstoffen gestookte centrale) die tevens dient als bescherming tegen een inslag van een vliegtuig (indien de gebouwen van de centrale meer in de grond verankerd zouden zijn, zou de hoogte van de cilinder minder dan 120 m kunnen bedragen). Er wordt van uitgegaan dat het neerstortende vliegtuig de centrale raakt onder een maximale hoek met de horizon van 30 graden (meer dan de uitzonderlijke hoek van ongeveer 24 graden die werd bereikt door het vliegtuig dat in 2001 het Pentagon-gebouw trof) (Ritter, 2002) en veel meer dan de gebruikelijke landingshoek van 3 graden.
Het bovenste deel van de cilinder is bedekt met een staalkabelraster en met een fijner net, om bescherming te bieden tegen een verscheidenheid van denkbare projectielen (drones, enz.).
In het bovenste deel van de cilinder bevindt zich een slagvaste gesegmenteerde ringvormige tank: deze kan de kern, in geval van ongeluk, gedurende meer dan 4 dagen van koelwater voorzien, waarbij als drijvende kracht de hydrostatische druk als gevolg van de hoogte wordt gebruikt (passief systeem).
Het volume van de 120 m hoge cilinder bedraagt ongeveer 120.000 m2 en kost meer dan 15 miljoen euro.
In de cilinderwand moeten mobiele waterdichte schotten worden aangebracht voor de verplaatsing van onderdelen in en uit de cilinder. Geschat wordt dat het buitenoppervlak van de cilinder, indien bedekt met zonnecellen, bij daglicht verscheidene Mw aan elektrisch vermogen kan leveren. Andere hulpsystemen zullen nodig zijn (stroomaccumulatoren, enz.).
De plattegrondvorm van de cilinder mag niet cirkelvormig zijn om de structuur aan te passen aan andere, niet voor de veiligheid essentiële fabrieksgebouwen.
Indien voor een oplossing als de afgebeelde wordt gekozen, zouden de thans toegepaste beschermingskenmerken van de installatie tegen luchtaanvallen (afgebeeld in fig. 18.2) kunnen worden vereenvoudigd voor installaties die zich in de ontwerpfase bevinden, met conomisch voordeel. Indien dan een stalen omhulsel wordt gebruikt, zou ook de koeling van het omhulsel eenvoudiger kunnen zijn.
Deze oplossing, die als voorbeeld wordt voorgesteld, kan opnieuw overdreven lijken, zoals de eerste lekdichte-drukbestendige omhullingen van jaren zestig veel ingenieurs met gezond verstand leken. De mening van deze veranderde echter radicaal na Three Mile Island.
Andere voorbeelden van oplossingen worden opgesomd in (Petrangeli, 2013): centrales gebouwd over een dijk (tegen tsunami) en passieve noodkoelsystemen (tegen verlies van gebruikelijke actieve noodkoelsystemen).
Nu beschikbare computer fluid dynamics codes kunnen helpen bij het simuleren met goede nauwkeurigheid van een tsunami golfoploop op een gegeven terrein-centrale situatie (bijv,
Wat betreft de algehele doeltreffendheid van waarschijnlijkheidsevaluaties bij de analyse van de nucleaire veiligheid, moet eraan worden herinnerd dat deze evaluaties van essentieel belang zijn voor de opsporing, in complexe systemen, van onderdelen of verschijnselen die van cruciaal belang zijn. Het is bijvoorbeeld bekend dat uit een waarschijnlijkheidsevaluatie van een installatie meestal blijkt dat conditioneringssystemen van uitrustingsruimten van cruciaal belang zijn voor de werking van verscheidene veiligheidssystemen en dat de goede werking ervan derhalve met een hoge waarschijnlijkheid moet worden verzekerd door de gebruikelijke middelen van kwaliteitsniveau, redundantie en diversificatie (zie ook punt 11.3).
In het licht van de bovenstaande bespreking kan een lage waarschijnlijkheid van ontoelaatbare gebeurtenissen bovendien worden beschouwd als een noodzakelijke, maar niet voldoende voorwaarde voor de bescherming tegen dergelijke gebeurtenissen.