IAEA-Definition

Defense in Depth: Die organisierende Philosophie

Die Internationale Atomenergie-Organisation (IAEA) definiert Defense in Depth als einen mehrschichtigen Ansatz zur Sicherheit, bei dem jede Schicht als Backup für die vorherigen dient. Keine einzelne Schicht wird als perfekt angenommen. Der Sicherheitsnachweis basiert darauf, mehrere unabhängige Schichten zu haben, sodass kein einzelner Ausfall – und keine einzelne Kombination von Ausfällen aus einer einzigen Ursache – zu Schaden führen kann.

Defense in Depth wirkt auf jeder Skala:

Physische Barrieren: Brennstoffmatrix → Brennstoffummantelung → Reaktordruckbehälter → Containment-Gebäude → Reaktorgebäude (4-5 physische Grenzen zwischen Brennstoff & Umwelt)

Sicherheitssysteme: jede Funktion (Kühlung, Abschaltung, Stromversorgung) wird von mindestens 3 unabhängigen Zügen ausgeführt

Verfahren: schriftliche Verfahren regeln jede Evolutionsphase; abnormale & Notfallverfahren für jedes Designbasisereignis

Bedienpersonal: lizenziert, ausgebildet, qualifiziert, ausgeruht; unabhängige Befugnis zur Initiierung der Abschaltung

Management: Nuklearsicherheitskultur, behördliche Aufsicht, unabhängige Sicherheitsüberprüfungen

Regulierung: NRC 10 CFR 50 Designbasisanforderungen, lizenzierter Betrieb, periodische Inspektionen

Grundprinzip: Kein Kredit für fehlgeschlagene Schichten. Wenn Sie nicht bestätigen können, dass eine Barriere intakt ist, gehen Sie davon aus, dass sie es nicht ist. Das gesamte System ist so konzipiert, dass es sicher ist, wenn auch nur eine aktive Komponente ausgefallen ist: Dies wird als Single-Failure-Kriterium bezeichnet.

Redundanz, Vielfalt und Unabhängigkeit

Drei Eigenschaften, die Verteidigung real machen

Kernkraftwerks-Sicherungssysteme müssen drei unterschiedliche Eigenschaften erfüllen. Sie zu verwechseln ist ein häufiger & gefährlicher Fehler.

Redundanz bedeutet, mehr als eines von derselben Sache zu haben. Drei Dieselgeneratoren sind redundant. Aber wenn sie alle denselben Treibstofftank, dieselbe Startlogik oder denselben physischen Raum teilen, schützt Redundanz allein nicht vor einem gemeinsamen Ausfallursache.

Vielfalt bedeutet, unterschiedliche physikalische Prinzipien oder unterschiedliche Ausrüstung zu verwenden, um dieselbe Funktion zu erfüllen. Eine Hochdruck-Injektionspumpe und ein stickstoffgepresster Akkumulator liefern beide Wasser zum Reaktorkern: aber sie arbeiten nach völlig unterschiedlichen Prinzipien. Vielfalt besiegt Ausfallmodi, die alle redundant kopierten Exemplare eines Designs besiegen würden.

Unabhängigkeit bedeutet, dass der Ausfall eines Zugs nicht den Betrieb eines anderen verursachen oder verhindern kann. Unabhängigkeit erfordert:

- Separate Stromschienen (unterschiedliche elektrische Zufuhrleitungen)

- Physische Trennung (Barrieren, unterschiedliche Gebäude, gegenüberliegende Seiten des Reaktors)

- Separate Aktuierungslogik (ein Kurzschluss in Zug A kann Zug B nicht deaktivieren)

- Separate Instrumentierung (Sensoren von Zug A versorgen nicht die Aktuierung von Zug B)

Gemeinsamer Ursachenfehler (CCF) ist das Albtraumszenario: Ein einzelnes Ereignis deaktiviert mehrere redundante Züge gleichzeitig. Fukushima ist das maßgebliche Beispiel: Der Tsunami war nicht nur ein Verlust der externen Stromversorgung. Er deaktivierte gleichzeitig alle drei Notstrom-Dieselgeneratoren, weil sie sich alle in demselben niedrig gelegenen Gebäude befanden. Redundanz ohne Unabhängigkeit ist eine Illusion.

Einzelfehlerkriterium

Das Einzelfehlerkriterium der NRC (10 CFR 50, Appendix A, General Design Criterion 17) besagt, dass Sicherheitssysteme so gestaltet werden müssen, dass kein einzelner aktiver Komponentenausfall das System daran hindert, seine Sicherheitsfunktion zu erfüllen.

Ein „aktiver“ Ausfall ist einer, der einen Zustandswechsel erfordert: eine Pumpe, die nicht startet, ein Ventil, das sich nicht öffnet.

Ein „passiver“ Ausfall (z. B. ein Riss in einem Rohr) wird durch separate Designanforderungen behandelt.

Warum drei Züge?

Jedes sicherheitskritische System: Drei unabhängige Züge

Die Regel der dreifachen Redundanz ist nicht einfach „drei ist sicherer als zwei“. Es handelt sich um ein präzises Ingenieursanforderung mit spezifischen Eigenschaften.

Jeder Zug muss zu 100 % unabhängig die Sicherheitsfunktion übernehmen können. Wenn Zug A die Kühlung übernimmt, übernimmt er die gesamte benötigte Kühlung. Züge B und C sind keine Teilleistungen: Sie sind vollständige Backups.

Züge müssen physisch getrennt sein. Verschiedene Gebäude oder mindestens durch Brandschutzwände getrennt. Verschiedene Kabelrouten. Verschiedene Rohrleitungen. Wenn ein Feuer, eine Überschwemmung oder eine Explosion einen Zug betrifft, darf es die anderen nicht erreichen.

Züge müssen separate Stromversorgungen haben. Verschiedene elektrische Busse, gespeist aus verschiedenen Quellen. Zug A am Bus A, Zug B am Bus B, Zug C am Bus C: jeder Bus mit eigenem Notstrom-Diesel.

Züge müssen separate Aktuatorlogik haben. Ein Relaisausfall im Aktuator-Schaltkreis von Zug A darf nicht verhindern, dass Zug B aktuiert. Idealweise verwenden sie vollständig unterschiedliche Aktuatorprinzipien (Diversität).

Warum drei und nicht zwei? Mit drei Zügen bedeutet die Zwei-aus-Drei-Abstimmungslogik, dass bei Ausfall eines einzelnen Bauteils noch zwei funktionsfähige Züge übrig bleiben: Sie erfüllen sowohl das Kriterium des einzelnen Ausfalls ALS AUCH bieten Schutz vor gemeinsamen Ursachenfehlern. Mit zwei Zügen bleibt bei einem einzelnen Ausfall nur ein Zug übrig: keine Reserve, kein Schutz vor einem zweiten Ausfall.

Vielfalt vs. Redundanz

Betrachten Sie das Notkernkühlsystem eines PWR. Ein Ansatz: drei identische Hochdruck-Injektionspumpen, jede von einem separaten Dieselgenerator betrieben, in separaten Räumen.

Ein zweiter Ansatz: eine Hochdruck-Injektionspumpe, plus ein stickstoffgepresstes Akkumulator, das keine Stromversorgung benötigt, plus ein gravitationsgespeister Wassertank aus einem erhöhten Reservoir.

Beide bieten drei Mittel, um Wasser zum Kern zu leiten.

ECCS: Die letzte Rettung für den Reaktorkern

Notkernkühlsysteme

Der Auslegungsunfall für einen PWR ist der Kühlmittelverlustunfall (LOCA): ein Bruch im Reaktorkühlkreislauf, der das Entweichen des Primärkühlmittels ermöglicht. Ein Großbruch-LOCA kann den Kern in Sekunden freilegen. Ohne sofortige Flutung steigen die Temperaturen der Brennstoffhüllen über 1.200 °C, Zirkaloy oxidiert und der Brennstoffschaden beginnt.

Das ECCS für einen typischen PWR umfasst vier Unteraussysteme, die jeweils in einer anderen Phase des Unfalls arbeiten:

Hochdruckeinspritzsystem (HPIS): Aktiviert sich sofort bei niedrigem Reaktor-Kühlmitteldruck oder hohem Containment-Druck. Spritzt boratiertes Wasser in das Reaktor-Kühlmittelsystem, solange der Druck noch hoch ist (über ~200 psi). Verwendet motorgetriebene Pumpen, die von Notstromdieseln versorgt werden. Durchflussrate: 500-1.500 gpm je nach Design.

Akkumulatoren (auch Kernflutbehälter genannt): Passive, stickstoffgepresste Behälter mit boratiertem Wasser. Sie spritzen automatisch, wenn der Reaktor-Kühlmitteldruck unter den Stickstoffdruck fällt (typischerweise 600-700 psi). Keine Stromversorgung erforderlich: Der Stickstoffdruck treibt das Wasser in den Kern. Jeder Akkumulator fasst ~1.000 Gallonen.

Niederdruckeinspritzsystem (LPIS): Aktiviert sich bei niedrigem Druck (<200 psi). Bietet hohe Durchflussraten (Tausende gpm) für Großbruch-LOCA. Nachdem der Nachfüllwasser-Speicherbehälter (RWST) leer ist, wechselt das System zu Sumpfumwälzung: Umwälzung von Wasser aus dem Containment-Sumpf zurück durch den Kern. Muss wochenlang weiterlaufen (Zerfalls wärmeerzeugung).

Residualwärmeabfuhr (RHR): Auch Zerfalls wärmeerzeugungssystem genannt. Hauptzweck: Entfernung der Zerfalls wärme nach Erreichen des kalten Stillstands des Reaktors. Arbeitet bei niedrigem Druck & niedriger Temperatur, zirkuliert Kühlmittel durch Wärmetauscher. Bietet auch Niederdruckeinspritzfähigkeit.

Kernsprühsysteme von SWR: Siedewasserreaktoren verwenden Kernsprühdüsen über dem Brennstoff, die Wasser direkt auf die Brennstoffbündel sprühen: eine andere Geometrie als die PWR-Überschwemmung.

Zerfalls wärme-Kurve

Die Zerfallswärme-Kurve ist eine der wichtigsten Zahlen in der nuklearen Sicherheit. Nach Reaktorschutdown:

- t = 0 Sekunden: ~7% der Nennleistung (240 MW für einen 3.400 MW-Reaktor)

- t = 1 Minute: ~3,5%

- t = 1 Stunde: ~1% (~34 MW)

- t = 1 Tag: ~0,3% (~10 MW)

- t = 1 Woche: ~0,1%

- t = 1 Jahr: Brennstoff erzeugt immer noch messbare Wärme aus langlebigen Isotopen

Zehn Megawatt Wärme, unbegrenzt anhaltend, ohne Strom für die Kühlpumpen. Dies war genau die Situation in Fukushima Daiichi am 11. März 2011.

Passive ECCS: AP1000 Design

Nächste Generation: Passive Sicherheit

Der Westinghouse AP1000 (Advanced Passive 1000 MWe) nimmt die Lektionen der aktiven ECCS & kehrt die Designphilosophie um: Statt drei Pumpenzügen, die Strom benötigen, basieren alle Sicherheitsfunktionen auf Schwerkraft, natürlicher Zirkulation, verdichtetem Gas & Verdampfung.

Core Makeup Tanks (CMT): Zwei große Tanks mit kaltem boratiertem Wasser, die über dem Reaktor montiert sind. Normalerweise isoliert. Bei Auslösung fließen sie durch Schwerkraft in das Reaktor-Kühlsystem ab. Jeder Tank enthält genug Wasser, um den Reaktorkern stundenlang bedeckt zu halten.

Akkumulatoren: Wie in konventionellen Anlagen: Stickstoffgepresst, passive Injektion.

In-Containment Refueling Water Storage Tank (IRWST): Ein großer Wasserpool im Containment-Gebäude, oberhalb des Reaktors. Schwerkraftgefüttert. Stellt langfristige Kühlung nach Entleerung der CMTs bereit. Keine Pumpen. Kein Strom.

Passive Residual Heat Removal Heat Exchangers (PRHR HX): Eintauchen im IRWST. Natürliche Zirkulation transportiert Abwärme aus dem Reaktor ins IRWST-Wasser, das erhitzt, kocht und durch einen Schornstein in die Atmosphäre abgeführt wird. Keine Pumpen. Vollständig passiv.

72-Stunden-Fenster: Der AP1000-Sicherheitsnachweis demonstriert 72 Stunden Kernkühlung ohne Betreiberaktion & ohne Strom. Nach 72 Stunden können Betreiber das IRWST mit Wasser aus beliebiger Quelle nachfüllen.

Diese Designvielfalt: passiv vs. aktiv: zeigt, warum Vielfalt wichtig ist. Die Sicherheitssysteme des AP1000 können nicht durch den Ausfallmodus besiegt werden, der Fukushima zerstört hat.

[TITLE containment/]

Letzte Physische Barriere

Kontanzug: Die Endgültige Grenze

Falls jedes andere Sicherheitssystem ausfällt & der Brennstoff beschädigt wird, ist das Kontanzug die letzte Barriere zwischen radioaktivem Material & der Öffentlichkeit. Es muss standhalten: gegen Innen Druck von Dampf, gegen Wasserstoffverbrennung, gegen Geschossimpakte von defekter Ausrüstung, & so lange wie nötig.

PWR-Trockenkontanzug: Eine stahlverkleidete Stahlbetonstruktur, typischerweise 140 Fuß im Durchmesser & 200 Fuß hoch. Entwickelt, um den Dampfdruck von einem vollständigen doppelendigen Guillotineschnitt des größten Primärkühlkreisleitungsrohrs zu halten (Design-Druck ~60 psi). Die Stahlverkleidung ist die Druckgrenze; der Beton sorgt für strukturelle Festigkeit & biologischen Schutz.

Eiskühler-Containment: Ein kleineres, niedrigdruckiges PWR-Containment-Design (verwendet in einigen Westinghouse-Anlagen), das Hunderte von Tonnen Eis nutzt, um die Dampfenergie zu absorbieren und den Containment-Druck bei einem LOCA niedrig zu halten. Ermöglicht eine kleinere, günstigere Struktur, erfordert jedoch periodische Eiswartung.

Doppeltes Containment: Einige Designs platzieren ein inneres Stahlcontainment innerhalb eines äußeren Betonsekundär-Containment-Gebäudes. Der Raum zwischen ihnen wird bei leicht negativem Druck gehalten, sodass jegliche Leckage aus dem inneren Containment gesammelt und gefiltert wird, bevor sie freigesetzt wird.

BWR-Containment: Mark I, II, III: General Electric BWR-Containments sind kleiner, da sie einen Drucksuppressionspool (Torus oder Wetwell) verwenden, um Dampf schnell zu kondensieren. Das Mark I (Fukushimas Design) ist eine Trockenraum-Torus-Anordnung: Der Torus ist ein großer donut-förmiger Wasserpool unter dem Trockenraum. Eine Schwäche: Der Torus ist am Boden des Trockenraums befestigt. Wenn der Torus versagt, versagt das Containment. Genau das geschah in Fukushima Unit 1.

Passive autokatalytische Rekombinatoren (PAR): Nach Fukushima enthalten die meisten Containments jetzt PARs: Geräte mit katalytischem Material (Palladium oder Platin), das Wasserstoff mit Sauerstoff zu Wasser reagiert, ohne Zündung, bei niedrigen Konzentrationen. Dies verhindert Wasserstoffansammlungen, die eine Deflagration oder Detonation verursachen könnten.

Gefilterte Eindämmungsentlüftung: Post-Fukushima-Anforderung in Europa & zunehmend in den USA: ein gehärteter Entlüftungsweg mit einem mehrstufigen Filtersystem (Venturi-Scrubber + Metallfaserfilter), das den Betreibern ermöglicht, die Eindämmung bewusst zu entlüften, während >99,9 % der partikulären Radioaktivität zurückgehalten werden. Dies verhindert das unkontrollierte Versagen der Eindämmung durch Überdruck.

Designbasis und darüber hinaus

Wofür die Eindämmung ausgelegt ist

Designbasis-Unfälle (DBA): Die NRC verlangt, dass die Eindämmung gleichzeitig jeden dieser Unfälle übersteht:

- Großer Leckage-Bruch (LOCA): vollständige Durchtrennung des größten Kühlmittelrohrs, maximale Kühlmittelabgabe

- Ausfall der externen Stromversorgung (LOOP) zusammen mit LOCA: kein Netzstrom, wenn man ihn am meisten braucht

- Haupt-Dampfleitungsbruch: Freisetzung von Hochenergie-Dampf im Kontainmentsgebäude

- Brennstoffhandlungsunfall: Gefallene Brennstoffversammlung, Freisetzung von Spaltprodukten aus beschädigtem Brennstoff

Ereignisse jenseits der Auslegungsgrundlage (BDBA): Nach 9/11 & Fukushima müssen Anlagen auch folgendes berücksichtigen:

- Station blackout (SBO): Langfristiger Ausfall aller Wechselstromversorgung (Anforderung nach TMI, nach Fukushima verschärft)

- Überschwemmung jenseits der Auslegungsgrundlage: Fukushima zeigte, dass Auslegungsüberschwemmungshöhen zu niedrig waren

- Flugzeugabsturz: NRC fordert nach 9/11 Analyse eines absichtlichen Flugzeugabsturzes; neue Anlagen müssen strukturelle Überlebensfähigkeit nachweisen

- Ausfall der Kühlung im gebrauchten Brennstoffpool: Fukushima Block 4 gebrauchter Brennstoffpool drohte nahezu trocken zu kochen; nach Fukushima zusätzliche dedizierte Nachfüllanschlüsse für SFP hinzugefügt

Mark I Schwachstelle

Fukushima Daiichi Blocks 1, 2 & 3 hatten alle General Electric Mark I-Behälter. Der Mark I verwendet einen Trockenbrunnen (ein birnenförmiges Stahlfass um den Reaktor), der über Abflussrohre mit einem toroidalen Suppression-Pool (dem Torus) verbunden ist. Dampf aus dem Trockenbrunnen wird in das Torus-Wasser geleitet, um dort zu kondensieren.

Während des Unfalls wurde beim Block 2 der Torus beschädigt, was es Fissionsprodukten ermöglichte, direkt in das Reaktorgebäude und dann in die Atmosphäre zu entweichen, ohne die vollständige Behältergrenze zu durchlaufen.

Stilllegungssysteme

Reaktivitätssteuerung: Drei unabhängige Wege zur Stilllegung

Ein Reaktor muss unter allen Bedingungen stillgelegt werden können und stillgelegt bleiben. Kein einzelner Ausfall darf die Stilllegung verhindern. Das allgemeine Designkriterium (GDC 26) verlangt zwei unabhängige Reaktivitätssteuerungssysteme, die jeweils in der Lage sind, den Reaktor subkritisch zu halten.

Steuerstab-Antriebsmechanismen (CRDMs):

- PWR magnetische Hebezeug-CRDMs: Steuerstäbe werden von Elektromagneten gehalten. Bei Stromausfall (SCRAM-Signal oder Stromausfall) entmagnetisieren sich die Magnete & die Stäbe fallen durch Schwerkraft in den Reaktorkern. Fail-safe: Strom erforderlich, um Stäbe RAUSZUHALTEN. Stromausfall = automatische Einschiebung.

- BWR hydraulische CRDMs: Stäbe werden von unten durch Hochdruckwasser angetrieben. Notfall-Einschiebung verwendet Hochdruck-Stickstoff, um Stäbe schnell einzuschieben. Einige BWR-Designs haben auch eine elektrische Backup für die Stabeinschiebung.

Alternative Stabeinschiebung (ARI): Ein separater, diverser elektrischer Signalweg, der Steuerstäbe unabhängig von der normalen SCRAM-Logik einschieben kann. Wird verwendet, wenn der normale SCRAM-Kreis ausfällt.

Antizipierter Transient ohne SCRAM (ATWS): Das regulatorische Szenario, bei dem die Steuerstäbe auf Abruf nicht einschieben. ATWS-Mitigationssysteme (ATWS-MF) sorgen für Bor-Einspritzung unabhängig vom normalen SCRAM: typischerweise automatische Hochdruck-Bor-Einspritzung, ausgelöst durch einen separaten Sensorsatz.

Notfallborierung:

- Hochdruck-Borinjektion aus einem separaten Standrohr (separat von der normalen Ladung)

- Notfallborierung über die ECCS-Borinjektionsleitungen

- Manuelle Borierung aus den Borsäure-Speichertanks

Passive Designs: CANDU-Reaktor: Der CANDU verfügt über zwei vollständig unabhängige Stilllegungssysteme: (1) mechanische Abschaltstangen, die durch Schwerkraft fallen, und (2) Hochdruckinjektion von Gadoliniumnitrat-Lösung in den Moderator: ein separater physischer Kreislauf. Diese sind in jeder Hinsicht unabhängig: unterschiedliche Auslöse-Logik, unterschiedliche physische Systeme, unterschiedliche Prinzipien.

ATWS-Analyse

Während Tests im Jahr 1979 am Three Mile Island Unit 2 verursachte ein Wartungsfehler, dass ein Reaktortrip (SCRAM) während eines Tests ausblieb. Das Ereignis wurde schnell erkannt. Es führte jedoch dazu, dass die NRC ATWS-Mitigationssysteme für alle Anlagen vorschrieb: denn „unmöglich ausfallende“ Systeme waren tatsächlich ausgefallen.

Ein ATWS-Ereignis in einem PWR: Die Reaktorleistung schießt in die Höhe. Die Steuerstäbe können nicht eingefahren werden. Die Notborierung ist die letzte Verteidigungslinie.

Dreischichtige Stromarchitektur

Elektrische Energie eines Kernkraftwerks: Drei unabhängige Schichten

Ein Kernkraftwerk muss seine Sicherheitssysteme mit Strom versorgen, unabhängig davon, was mit dem Netz oder der eigenen Erzeugungsanlage passiert. Die Stromarchitektur hat drei Schichten:

Schicht 1: Normalbetrieb: Das Kraftwerk erzeugt seinen eigenen Strom aus dem Haupt-Turbogenerator. Hilfsverbraucher (Pumpen, Ventilatoren, Steuerungen) werden aus der eigenen Ausgabe des Kraftwerks über Einheitshilfstransformatoren versorgt.

Ebene 2: Externes Stromnetz (bevorzugte Wechselstromquelle): Wenn der Hauptgenerator ausfällt, schließt sich das Kraftwerk über Anlauf-/Reservetransformatoren ans Netz an. Die NRC verlangt mindestens zwei unabhängige Übertragungsleitungen aus verschiedenen Umspannwerken: damit ein einzelner Übertragungsausfall nicht zum vollständigen Verlust des externen Stroms führt.

Ebene 3: Notstrom-Dieselmotoren (EDGs): Wenn das externe Stromnetz ausfällt, starten die EDGs automatisch und versorgen die Sicherheitsbusse innerhalb von 10 Sekunden. NRC-Anforderungen:

- Jeder EDG muss innerhalb von 10 Sekunden nach Erhalt des Startsignals die Nennspannung & -frequenz erreichen

- Kraftstofflagerung: mindestens 7 Tage bei Volllast (NRC Regulatory Guide 1.9)

- Tests: monatlicher Lasttest + 24-Stunden-Ausdauertest alle 24 Monate

- Lastsequenzierung: Sicherheitslasten werden sequenziell angeschlossen, um eine Überlastung des Diesels beim Start zu vermeiden

Stationsbatterien: Gleichstrom für Instrumentierung, Bedienpulte im Kontrollraum, Notbeleuchtung, SCRAM-Auslöseschaltungen, ATWS-Auslösung & Kommunikation. Müssen Lasten für mindestens 2 Stunden versorgen (Class 1E); die meisten Anlagen sind für 4-8 Stunden ausgelegt. Batterieladegeräte laden die Batterien auf, wenn Wechselstrom zurückkehrt.

Post-Fukushima FLEX-Strategie: NRC-Order EA-12-049 verlangt von allen Anlagen, dass tragbare Pumpen & Generatoren innerhalb definierter Zeitrahmen unabhängig von den Standortbedingungen einsetzbar sind. FLEX-Ausrüstung ist an mehreren Stellen gelagert (einige in robusten Gebäuden, einige außerhalb des Standorts) & kann an gehärtete externe Anschlusspunkte an Reaktorkühl- & Brennelementpool-Systemen angeschlossen werden.

Anforderungen an Dieselgeneratoren

Three Mile Island Unit 2, 1979: Die Unfallsequenz umfasste einen Turbinenausfall gefolgt von einem Verlust des Speisewassers, gefolgt von einer komplexen Reihe von Ereignissen, die zu Kernschäden führten. Die Not-Dieselgeneratoren starteten & liefen während des gesamten Ereignisses korrekt.

Fukushima Daiichi, 2011: Das Erdbeben verursachte einen Reaktor-SCRAM. Alle sechs Diesel starteten & liefen. Dann kam der Tsunami. Die Diesel für Blöcke 1-3 befanden sich in Kellerräumen, die überflutet wurden. Der Diesel für Block 6 war an höherer Stelle & überlebte. Blöcke 5 & 6 erlitten keine Kernschäden.

Reaktor-Schutzsystem

Reaktorschutzsystem (RPS)

Das Reaktorschutzsystem ist das automatische System, das einen Reaktor-SCRAM (schnelle Abschaltung) auslöst, wenn überwachte Parameter sichere Grenzwerte überschreiten. Es ist die erste automatische Abwehr gegen Transienten.

Überwachte Parameter, die einen SCRAM auslösen können:

- Hoher Neutronenfluss (hohe Leistung)

- Hohe Reaktor-Kühlmitteltemperatur

- Niedriger Reaktor-Kühlmittel-Druck (potenzieller LOCA)

- Hoher Containment-Druck

- Niedriger Reaktor-Kühlmittel-Durchfluss

- Hoher Kühlmittelstand (BWR)

- Niedrig-niedriger Wasserspiegel (BWR)

- Verlust der externen Stromversorgung

- Manuelles Trip (vom Betreiber ausgelöst)

Abstimmungslogik: Jeder Parameter wird von vier unabhängigen Sensoren gemessen, jeweils in einem separaten Schutzkanal. Ein SCRAM erfordert, dass 2 von 4 Kanälen den Schwellwert überschreiten. Das bedeutet:

- Ein einzelner fehlerhafter Sensor (falsche hohe Anzeige) kann kein unerwünschtes Trip auslösen

- Wenn zwei Kanäle den Sollwert überschreiten, wird der Ausfall ausgelöst

- Ein einzelner ausgefallener Kanal (falsch niedrig lesend) lässt drei Kanäle übrig, immer noch 2-von-3 fähig

Vielfältiges und dediziertes Betätigungssystem (DDAS): Moderne digitale RPS-Systeme haben eine analoge Backup: DDAS, das Sicherheitsfunktionen unabhängig vom digitalen I&C auslösen kann. Dies bietet Vielfalt: die digitalen und analogen Systeme können aus völlig unterschiedlichen Gründen ausfallen, und ein Ausfall verhindert nicht, dass das andere funktioniert.

2-von-4 vs 2-von-3 Logik

Das RPS verwendet 2-von-4 Abstimmung zum Auslösen von SCRAM (vier Sensoren, zwei müssen übereinstimmen, um auszulösen). Aber die einzelnen Sensoren melden sich beim Betätigungssystem mit 2-von-3 Abstimmung innerhalb jedes Zuges (drei Messungen, zwei müssen übereinstimmen, um eine spezifische Sicherheitsfunktion wie ECCS zu betätigen).

Das sind nicht dasselbe, & das Verständnis des Unterschieds ist wichtig.

Mindestbesetzung

Menschliche Überwachung: Die Schicht, die denkt

Kernkraftwerksbetriebe erfordern lizenzierte Personalien während der gesamten Schicht. NRC 10 CFR 50.54(m) legt Mindestbesetzungsanforderungen fest. Mindestens umfassen die Betriebsteams:

Reaktoroperator (RO): NRC-lizenziert (10 CFR 55). Betreibt direkt die Reaktorsteuerungen, das Hauptsteuerpult und Sicherheitssysteme. Muss während der Leistungsbetreibsphasen kontinuierlich an den Steuerungen sein.

Senior Reactor Operator (SRO): Höhere NRC-Lizenz. Überwacht den RO. Hat unabhängige Befugnis zur Initiierung eines Abschalts. Prüft und genehmigt die Handlungen des RO während abnormaler Ereignisse. Kann nicht dieselbe Person wie der RO im Schichtdienst sein.

Shift Supervisor (SS): Senior SRO-lizenziert. Verantwortlich für den gesamten Ablauf der Betriebsführung und die Sicherheit des Kraftwerks während der Schicht. Finale Befugnis vor Ort für den Kraftwerksbetrieb.

Shift Technical Advisor (STA): Post-TMI-Anforderung (NUREG-0737). Ein lizenzierter Ingenieur, der jeder Schicht zugewiesen ist, speziell um unabhängige technische Unterstützung während abnormaler Ereignisse zu bieten: nicht abgelenkt durch Bedienungselemente, vollständig auf die Diagnose des Ereignisses fokussiert.

Warum mehrere Personen? Verteidigung in der Tiefe auf menschlicher Ebene. Ein RO unter Stress, der auf die Ausführung von Verfahren fokussiert ist, könnte das große Ganze übersehen. Der SRO bietet unabhängige Überwachung. Der STA bietet unabhängige technische Analyse. Der Schichtleiter erhält situationsbezogenes Bewusstsein. Kein einzelner menschlicher kognitiver Fehler kann verhindern, dass das Kraftwerk sicher kontrolliert wird.

Human Performance Tools

Reduzierung menschlicher Fehler: Systematische Tools

Die Nuklearindustrie hat Fehlerquoten für verschiedene Aufgabentypen quantifiziert. Fehlerquoten für komplexe Entscheidungsfindung unter Stress können 1 zu 10 übersteigen. Die Industrie zielt auf Fehlerquoten von 1 zu 1.000 oder besser für kritische Aufgaben ab: und erreicht diese durch systematische Human-Performance-Tools.

Pre-Job-Briefing: Vor jeder bedeutenden Aufgabe umfasst ein Briefing: Aufgaben-Ziel, Gefahren, erwartete Bedingungen, Schritte zur Überprüfung der Fertigstellung, Stopp-Bedingungen (falls X eintritt, stoppen & Vorgesetzten rufen). Dauert 5-15 Minuten. Reduziert Fehler bei der Aufgabenausführung dramatisch.

STAR (Stop, Think, Act, Review): Selbstüberprüfungstechnik für jede kritische Handlung. Stop: vor der Handlung pausieren. Think: was bin ich im Begriff zu tun, & ist das korrekt? Act: die Handlung ausführen. Review: war das Ergebnis das Erwartete? Die zweisekündige Pause fängt Vertauschungsfehler, falsche Ventil-Auswahlen & kognitive Abkürzungen ab.

Dreifach-Kommunikation: Für alle sicherheitsrelevanten mündlichen Anweisungen: (1) Einleiter gibt die Anweisung: 'Ventil HV-233 in offene Position stellen.' (2) Empfänger wiederholt exakt: 'Ventil HV-233 in offene Position stellen.' (3) Einleiter bestätigt: 'Das ist korrekt.' Ein Kommunikationsfehler, der in diesem Austausch nicht erkannt wird, ist ungewöhnlich: er erfordert, dass beide Seiten falsch hören oder sich falsch erinnern.

Zwei-Personen-Integrität: Für bestimmte operationen mit hohen Konsequenzen (sicherheitsbezogen, Quellenhandhabung) müssen zwei lizenzierte Personen anwesend sein und die Handlungen des anderen gegenseitig überprüfen. Keine Person kann die sensible Handlung allein ausführen: die zweite Person muss physisch anwesend sein und jeden Schritt bestätigen.

Müdigkeitsmanagement: NRC 10 CFR 26 legt Grenzen fest: maximal 16-Stunden-Arbeitstag, mindestens 8 Stunden Ruhe vor Rückkehr zum Dienst, maximal 54 Stunden pro Woche, maximal 72 Stunden pro Woche bei Überstunden. Müdigkeit beeinträchtigt die Entscheidungsfindung ebenso stark wie Alkoholisierung: diese Grenzen sind keine Produktivitätsempfehlungen, sondern Sicherheitsanforderungen.

Notfallbedienungsverfahren

Vor Three Mile Island (1979) verwendeten Kernkraftwerke ereignisbasierte Notfallverfahren: Wenn Ereignis X auftritt, führen Sie Verfahren X aus. Bediener mussten das Ereignis korrekt identifizieren, bevor sie handelten.

Beim TMI erhielten die Betreiber widersprüchliche Anzeigen. Ein Druckentlastungsventil war offen hängen geblieben: Dies war ein Small-Break-LOCA: aber die Betreiber identifizierten das Ereignis falsch und folgten dem falschen Verfahren. Bis zur korrekten Diagnose war erheblicher Kernschaden eingetreten.

Nach TMI entwickelte die Industrie symptomorientierte Notfallbedienverfahren (EOPs). Statt „Ereignis identifizieren, Verfahren auswählen“ folgen die Betreiber: „Symptome beobachten, schützende Maßnahmen für diese Symptome ergreifen, unabhängig davon, was du über das Ereignis denkst.“

Die zentrale symptomorientierte Einstiegsbedingung: jede unerwartete Änderung des Reaktor-Kühlmittelstands, -drucks oder -temperaturs, unabhängig von der Ursache, löst die gleiche Verifikationssequenz zur Kernkühlung aus.

ALARA: As Low As Reasonably Achievable

Strahlenschutztechnik

ALARA: As Low As Reasonably Achievable: ist nicht einfach eine Dosisgrenze. Es ist eine Philosophie: Die Dosis sollte so niedrig wie praktikabel gehalten werden, nicht nur unter gesetzlichen Grenzen. Die NRC schreibt ALARA als regulatorische Anforderung vor (10 CFR 20.1101), nicht nur als gute Praxis.

Externe Dosisverwaltung: die drei klassischen Kontrollen:

- Zeit: Halbieren Sie die Zeit im Strahlungsfeld, halbieren Sie die Dosis. Vorgeplante Arbeitsabläufe minimieren unnötige Zeit in Hochdosisbereichen.

- Abstand: Die Dosisleistung folgt dem inversen Quadratgesetz. Verdoppeln Sie den Abstand zu einer Punktquelle, vierteln Sie die Dosisleistung. Arbeiten aus 6 Fuß statt 3 Fuß Entfernung reduziert die Dosis um 75%.

- Abschirmung: Blei, Beton, Wasser und Polyethylen dämpfen unterschiedliche Strahlungsarten. Die Halbwertschicht (HVL) ist die Dicke, die die Intensität halbiert. Blei-HVL für typisches Gamma: ~1 cm. Beton-HVL: ~6 cm. Nach zehn HVLs (10 TVL = Zehntwertschicht) ist die Intensität auf 1/1.000 des Ausgangswerts reduziert.

Management interner Dosis:

- Radioaktives Material im Körper strahlt Organe weiter aus, bis es zerfällt oder ausgeschieden wird

- Wege: Inhalation (Aerosole, Gase), Ingestion (kontaminiertes Essen/Wasser), Absorption durch die Haut (selten)

- Abgeleitete Luftkonzentration (DAC): die Konzentration eines Radionuklids in der Luft, die bei Inhalation über 2.000 Stunden/Jahr die berufliche Dosisgrenze erreicht. Atemschutzgeräte und Unterdruckgehäuse verhindern Inhalationsdosis.

- Jährliche Aufnahmemenge (ALI): Gesamtaufnahme (Inhalation + Ingestion), die die berufliche Dosisgrenze liefert

Berufliche Dosisgrenzen (10 CFR 20):

- 5 rem (50 mSv) pro Jahr Gesamteffektivdosisäquivalent

- 3 rem (30 mSv) pro Quartal

- 15 rem (150 mSv) pro Jahr für die Linse des Auges

- 50 rem (500 mSv) pro Jahr für Haut oder Extremitäten

- Dosisbeschränkung für ALARA-Planung: 2 rem/Jahr (pflanzenspezifische administrative Grenzen oft niedriger)

Kontaminationskontrolle:

- Radiologisch kontrollierte Bereiche (RCAs) haben kontrollierten Zugang, Frisking beim Verlassen

- Step-off-Pads: Papier oder Plastik an RCA-Ausgängen; hier Schuhüberzüge wechseln, um Kontamination nicht zu verteilen

- Ganzkörperzählung: Nach Arbeit in Bereichen mit potenzieller interner Kontamination erkennen Ganzkörper-Gamma-Zählungen interne Aufnahme

- Bioassay-Programme: Urin- & Fäkalanalyse quantifizieren innere Dosis von spezifischen Isotopen

ALARA in der Praxis

Ein Strahlenarbeiter muss ein Ventil in einem Gebiet mit hoher Strahlung austauschen. Die Dosisleistung am Ventilstandort beträgt 500 mrem/Stunde. Die Arbeit erfordert 30 Minuten zur Fertigstellung. Die Jahresdosis des Arbeiters bis dato beträgt 1.200 mrem gegenüber einem administrativen Grenzwert des Kraftwerks von 2.000 mrem/Jahr.

Unter Verwendung der ALARA-Prinzipien & der drei Kontrollen bewerten Sie, ob diese Arbeit durchgeführt werden kann, & nennen Sie mindestens zwei spezifische Maßnahmen zur Dosisreduktion.

Three Mile Island (1979)

Three Mile Island Unit 2: 28. März 1979

TMI war kein Designfehler: Es war ein Versagen der Tiefe der Abwehr auf menschlicher und prozeduraler Ebene.

Was geschah:

- Ein Turbinenausfall verursachte einen Reaktor-SCRAM (automatisch: funktionierte korrekt)

- Ein Druckentlastungsventil (PORV) öffnete sich (korrekt), blieb aber offen hängen (Ausrüstungsfehler)

- Ein Anzeigeinstrument im Kontrollraum zeigte nur an, dass das Ventil ein Schließsignal erhalten hatte: nicht, dass es tatsächlich geschlossen war

- Kühlmittel entwich durch das offen hängende PORV. Druck & Temperatur im Reaktor sanken

- Die Bediener missdeuteten die Symptome als übermäßiges Kühlmittel und reduzierten die Notkühlinjektion: das Gegenteil von dem, was benötigt wurde

- Über zwei Stunden hinweg war der Reaktorkern teilweise freigelegt

- Etwa die Hälfte des Kerns schmolz

Was die Containment tat: Sie hielt. Trotz schwerer Kernschäden und Wasserstoffansammlung im Containment-Inneren behielt die Containment-Struktur nahezu alle Spaltprodukte zurück. Die Dosisfolgen außerhalb der Anlage waren gering: keine Auswirkungen auf die öffentliche Gesundheit durch Strahlung.

Verbesserungen nach TMI (NUREG-0737):

- Symptom-basierte EOPs (ersetzen ereignisbasierte)

- Schicht-Technische Berater in jeder Schicht

- NRC-zertifizierte Vollspektrum-Simulatoren für Crew-Training

- Nach-Unfall-Überwachungsinstrumentierung (PAM): direkte Kennzahlen für Kernkühlung, qualifiziertes Anzeigepult mit AC-unabhängiger Stromversorgung

- Überarbeitete Standards für das Steuerraumdesign (NUREG-0700)

- Verbesserte Anforderungen an Prüfungen für die Betreiberlizenzierung

Tschernobyl (1986)

Tschernobyl Block 4: 26. April 1986

Tschernobyl unterschied sich in der Art von TMI: Es handelte sich primär um einen Konstruktionsmangel in Kombination mit absichtlichen Umgehungen des Sicherheitssystems.

Was geschah:

- Ein Spannungsstabilitätstest erforderte den Betrieb des Reaktors bei niedriger Leistung (~200 MW, im Vergleich zu Nennleistung 3.200 MW)

- Bei niedriger Leistung hatte der RBMK-Reaktor einen positiven Leerrohrkoeffizienten: Dampfblasen im Kühlmittel erhöhten die Reaktivität

- Die Steuerstäbe hatten einen Konstruktionsfehler: Die Graphitspitzen verdrängten Wasser beim ersten Einführen, was zu einem anfänglichen Anstieg der Reaktivität führte, bevor der neutronenabsorbierende Teil in den Kern eintrat

- Der Test wurde verschoben; die Nachtschicht war nicht dafür geschult

- Mehrere Sicherheitssysteme wurden absichtlich deaktiviert, um den Test durchzuführen

- Beim Drücken des Not-Aus-Schaltknopfs (AZ-5) verursachten die Graphitstabspitzen einen Reaktivitätsanstieg statt des beabsichtigten SCRAM

- Leistung schoss in Sekunden auf 30.000 MW: ca. 10x Nennleistung

- Brennstoff & Kühlmittel verdampften blitzartig zu Dampf, was eine Dampfexplosion verursachte, die den Reaktor zerstörte

- Graphitbrand brannte 10 Tage, verteilte Spaltprodukte über Europa

Kein Containment: Der RBMK hatte kein vollständiges Containment-Gebäude. Der Reaktor stand in einem großen Industriegebäude ohne druckhaltende Fähigkeit. Als der Reaktor zerstört wurde, gab es keine letzte Barriere.

Veränderungen nach Tschernobyl:

- RBMK-Designmodifikationen: positiver Leerlaufkoeffizient bei niedriger Leistung entfernt, Spitzen der Steuerstäbe neu gestaltet, zusätzliche Neutronenabsorber hinzugefügt

- Internationale Übereinkommen zur nuklearen Sicherheit gestärkt

- Konzept der Nuklearsicherheitskultur vom IAEA formalisiert (INSAG-7)

- Westliche regulatorische Betonung der Eindämmung als unverzichtbare Anforderung

Drei Unfälle, drei Lehren

Sie kennen nun die drei großen zivilen Kernunfälle: TMI (1979), Tschernobyl (1986) & Fukushima (2011). Jeder enthüllte eine andere Art von Versagen der mehrschichtigen Sicherheit (Defense in Depth).

Risikobewertung quantifizieren

PRA: Vom „Sicher genug“ zum „Wie sicher?“

Die deterministische Sicherheitsanalyse sagt: Entwerfen Sie die Anlage so, dass sie diese spezifischen Unfälle übersteht. Die probabilistische Risikobewertung (PRA) stellt eine andere Frage: Angesichts all der möglichen Wege, auf denen etwas schiefgehen könnte, was ist die Wahrscheinlichkeit, dass es tatsächlich passiert?

Kernschadenshäufigkeit (CDF): Die Wahrscheinlichkeit, dass der Reaktorkern in einem beliebigen Jahr signifikant beschädigt wird. Sicherheitsziel der NRC: CDF < 1×10⁻⁴ pro Reaktor-Jahr (einmal in 10.000 Reaktor-Jahren). Moderne Anlagen erreichen typischerweise CDF < 1×10⁻⁵ (einmal in 100.000 Reaktor-Jahren).

Häufigkeit einer großen frühen Freisetzung (LERF): Die Wahrscheinlichkeit einer großen, frühen Freisetzung von Radioaktivität in die Umwelt (bevor eine Evakuierung abgeschlossen werden könnte). Sicherheitsziel der NRC: LERF < 1×10⁻⁵ pro Reaktor-Jahr.

Fehlerbäume: Grafische Logikdiagramme, die die Kombinationen von Komponentenausfällen zeigen, die zu einem definierten Top-Ereignis führen (z. B. „ECCS liefert kein Wasser zum Reaktorkern“). Verwendet UND-Gatter (alle müssen ausfallen) & ODER-Gatter (ein einzelner Ausfall reicht aus). UND-Gatter reduzieren die Wahrscheinlichkeit (erfordern mehrere gleichzeitige Ausfälle). ODER-Gatter erhöhen die Wahrscheinlichkeit.

Ereignisbäume: Grafische Diagramme, die mit einem initiierenden Ereignis beginnen (z. B. „großer Leckbruch-LOCa tritt auf“) & die Konsequenzen abhängig davon verfolgen, ob Sicherheitsysteme erfolgreich sind oder ausfallen. Jeder Zweig repräsentiert den Erfolg oder Ausfall einer Sicherheitsfunktion. Endknoten sind Unfallsequenzen: sichere Stilllegung, Kernschäden, große Freisetzung.

Bedeutungsmaße: PRA identifiziert, welche Komponenten & Systeme am meisten zum Risiko beitragen.

- Fussel-Vesely (FV) Bedeutung: der Anteil des CDF, der durch Ausfälle einer Komponente beigetragen wird. Hohe FV = diese Komponente ist sehr wichtig.

- Risk Achievement Worth (RAW): wie stark das CDF zunimmt, wenn angenommen wird, dass diese Komponente ausgefallen ist. Hohe RAW = diese Komponente darf nicht lange außer Betrieb sein.

RAW steuert die Planung von Wartung & Tests: Komponenten mit hoher RAW erhalten häufige Tests & kurze erlaubte Ausfallzeiten.

PRA und Wartungsplanung

Ein Kernkraftwerk hat drei Notstrom-Dieselgeneratoren (A, B, C). Die PRA-Analyse zeigt:

- CDF bei allen drei betriebsbereit: 2×10⁻⁵ pro Jahr

- CDF bei Diesel A außer Betrieb für Wartung: 8×10⁻⁵ pro Jahr (4-fache Erhöhung)

- CDF bei Diesels A & B gleichzeitig außer Betrieb: 4×10⁻³ pro Jahr (200-fache Erhöhung)

Das Wartungsteam möchte die Diesels A & B gleichzeitig für eine große Überholung außer Betrieb nehmen, die 30 Tage dauert.

Brennstab-Brennelemente: Die langfristige Verpflichtung

Abgebrannter Brennstoff: Aktives & Passives Management

Wenn der Brennstoff nach 3-5 Jahren Betrieb aus einem Reaktor entfernt wird, ist er hochgradig radioaktiv & thermisch heiß aufgrund von ZerfallsWärme. Die gleiche ZerfallsWärme-Kurve gilt: 7 % der Nennleistung sofort, abnehmend über Jahre.

Abgebrannte-Brennstoff-Pools (SFP): Direkt nach der Entfernung werden abgebrannte Brennstoffelemente in einen Abgebrannte-Brennstoff-Pool gelegt: ein wasser gefülltes Becken, typischerweise 40 Fuß tief, angrenzend an das Reaktorgebäude. Wasser erfüllt doppelte Zwecke: Kühlung und Abschirmung (Wasser über dem Brennstoff absorbiert Strahlung, sodass Arbeiter auf dem Pool-Deck niedrige Dosen erhalten).

Minimale Pool-Kühlzeit vor Trockenbehälter: Etwa 5 Jahre für PWR-Brennstoff. Der Brennstoff muss so weit abkühlen, dass passive Luftkühlung in einem Trockenbehälter die verbleibende ZerfallsWärme ohne Wasser bewältigen kann.

Zirkaloy-Brandrisiko: Wenn abgebrannte Brennstoffelemente freigelegt werden (Pool-Wasser verloren), kann die Zirkaloy-Hülle bei hohen Temperaturen in Luft oxidieren. Im Gegensatz zur Dampf-Zirkaloy-Reaktion, die Wasserstoff erzeugt, kann die Luft-Zirkaloy-Oxidation bei glühend heißen Temperaturen einen Zirkaloy-Brand aufrechterhalten: eine selbsttragende exotherme Reaktion. Der Abgebrannte-Brennstoff-Pool von Fukushima Einheit 4 war innerhalb von Tagen bei Temperaturen, bei denen dies hätte eintreten können.

Anforderungen an SFPs nach Fukushima (NRC Order EA-12-051):

- Zuverlässige Instrumentierung für SFP-Wasserstand & -Temperatur

- Möglichkeit, SFP aus diversen Quellen mit Zusatzwasser zu versorgen

- Strategien zur Aufrechterhaltung oder Wiederherstellung der SFP-Kühlung bei langanhaltenden Stromausfällen

Trockenbehälterlagerung: Nach 5+ Jahren im Pool wird der Brennstoff in Trockenbehälter überführt: geschweißte Stahlbehälter, umgeben von Beton- oder hochdichtem Polyethylen-Abschirmung. Kühlung vollständig passiv: natürliche Luftkonvektion durch Lüftungsschlitze in der Außenstruktur. Kein Strombedarf. Entwurflebensdauer: 100+ Jahre. Derzeit über 90.000 Tonnen Schwermetall in Trockenbehälterlagern allein in den USA.

Endlagerung von hochradioaktivem Abfall: Abgebrannter Brennstoff wird als hochradioaktiver Kernabfall klassifiziert. Das US-amerikanische Gesetz (Nuclear Waste Policy Act) bezeichnet Yucca Mountain, Nevada, als permanentes Endlager: Es ist jedoch aufgrund politischer Opposition noch nicht eröffnet worden. Die NRC verlangt, dass ein Endlager 10.000 Jahre Eindämmung bietet (EPA-Standard: 1 Million Jahre für Dosen jenseits von 10.000 Jahren). Tiefgeologische Endlagerung nutzt die Gesteinsformation selbst als primäre Barriere, mit technischen Barrieren (Verglasung, Metallbehälter, Bentonit-Ton) als zusätzliche Schichten.

Niederenergetischer Abfall (LLW): Kontaminierte Kleidung, Werkzeuge, Filter, Harze. Drei NRC-Klassen:

- Klasse A: niedrigste Aktivität, kurzlebige Isotope. Flaches Landbegräbnis, 100-Jahre-Isolationsanforderung

- Klasse B: moderate Aktivität. Flaches Begräbnis mit 300-Jahre-Isolation

- Klasse C: höhere Aktivität, längerlebige Isotope. Erfordert 500-Jahre-Isolation; oberflächennahe Lagerung mit stärkeren technischen Barrieren

Volumenreduktionstechniken (Verbrennung, Verdichtung, Schmelzen) sind verpflichtend, um den Lagerraum zu minimieren

Trockenbehälter-Sicherheitsfall

Ein Kritiker argumentiert, dass Trockenbehälterlagerung unsicher ist, weil die Behälter keine aktive Kühlung haben, keine Stromanschlüsse besitzen und im Freien auf Betonplatten stehen. Ein Kerntechniker erwidert, dass Trockenbehälter tatsächlich sicherer sein könnten als der Abklingpool.

Defense in Depth: Das Gesamtbild

Kerntechnische Sicherheitstechnik: Eine Systemdisziplin

Sie haben nun jede Schicht der kerntechnischen Sicherheitstechnik studiert. Treten Sie einen Schritt zurück & betrachten Sie das System:

Physische Barrieren (Brennstoffmatrix, Ummantelung, Druckbehälter, Containment) sind passiv: Sie erfordern keine Aktion, um zu funktionieren. Sie bilden die Grundlage.

Sicherheitssysteme (ECCS, RPS, EDGs, DDAS) sind aktiv mit passiven Backups (Akkumulatoren, Schwerkrafttanks, Batterien). Jede Funktion hat drei unabhängige Züge. Jeder Zug ist zu 100% fähig. Aktive & passive Ansätze sind vielfältig.

Instrumentation (RPS, ECCS-Auslösung, PAM) überwacht Dutzende von Parametern mit 2-von-4-Abstimmungslogik: widerstandsfähig gegen falsche Auslösungen und Sensorausfälle, die eine Auslösung verhindern würden.

Verfahren (symptomorientierte EOPs) leiten die Betreiber zu Schutzmassnahmen, ohne dass eine korrekte Diagnose erforderlich ist. Nach TMI. Essentiell.

Human Factors (Personalbesetzung, Schulung, Werkzeuge zur Leistungssteigerung, Ermüdungsgrenzen) reduzieren die Wahrscheinlichkeit, dass die menschliche Ebene versagt. Nach TMI STA-Anforderung. Simulator-Schulung. Pre-Job-Briefings. STAR. Drei-Wege-Kommunikation.

Management & Sicherheitskultur stellen sicher, dass Sicherheit nicht für Effizienz geopfert wird. Nach Tschernobyl INSAG-7. Die Lektion von Tschernobyl ist, dass von der Führung deaktivierte Sicherheitssysteme nicht existierende Sicherheitssysteme sind.

Regulierung (NRC 10 CFR 50, IAEA-Standards, periodische Inspektionen) gewährleistet eine unabhängige Aufsicht auf der höchsten Ebene. Ein Regulierungsbehörde, die nicht inspiziert, existiert nicht.

Die drei großen Unfälle zeigten, dass Verteidigung in der Tiefe nicht durch einen einzelnen dramatischen Ausfall scheitert, sondern durch eine Kombination aus kleinen Ausfällen, falschen Annahmen und unzureichenden Sicherheitsmargen in mehreren Schichten gleichzeitig. Der Sicherheitsnachweis ist nur so stark wie seine schwächste gleichzeitige Kombination.

Finale Integration

Finale Frage: Die Schwerste

Ein neu vorgeschlagener Reaktordesign behauptet, so sicher zu sein, dass er nur eine ECCS-Leitung (nicht drei) benötigt, keine Notstromaggregate (nur passive Kühlung) und ein vereinfachtes Personalmodell mit zwei Bedienkräften pro Schicht statt vier.

Der Designer argumentiert: „Passive Kühlung bedeutet, dass keine Stromversorgung benötigt wird, daher sind Dieselmotoren überflüssig. Der Reaktor kann aufgrund der Physik nicht schmelzen, daher ist eine vereinfachte Besetzung gerechtfertigt.“