Definieren Sie Ihre Mission

Abschnitt 1: Missionsdefinition

Jedes Reaktordesign beginnt mit einer Mission. Die Mission bestimmt jede nachfolgende Entscheidung.

Leistungsausgabe bestimmt die Reaktorgröße, den Brennstoffbestand & die Anforderungen an den Kühlkreislauf. Ein 100 MWe kleiner modularer Reaktor (SMR) hat sehr andere ingenieurtechnische Einschränkungen als ein 1.200 MWe Druckwasserreaktor.

Standort bestimmt die Standortkriterien, die Kühlwasserquelle, die Netzintegration, die Notfallplanung & die seismische Auslegung. Binnensites an Flüssen nutzen Flusswasser zur Kühlung & müssen Flutrisiken berücksichtigen. Küstensites nutzen Meerwasser, müssen aber Tsunamis & Sturmfluten adressieren. Entlegene Insel- oder netzunabhängige Sites können möglicherweise gar nicht ans nationale Netz angeschlossen werden.

Netzintegration vs. isolierte Mikronetze verändert, wie Lastfolgeanforderungen gehandhabt werden & was passiert, wenn das Netz ausfällt (Risiko eines Stations-Blackouts).

Nutzungsdauer beeinflusst Materialermüdungsgrenzen, Inspektionsintervalle, Anforderungen zur Lizenzverlängerung & Rückstellungen für Stilllegungskosten. Die NRC lizenziert derzeit Anlagen für 40 Jahre mit 20-jährigen Verlängerungen. Einige Designs zielen auf eine 80-jährige Nutzungsdauer ab.

Typische Missionsprofile:

- 300 MWe SMR, abgelegene Insel, isoliertes Netz, 60 Jahre Lebensdauer

- 1.100 MWe PWR, Binnengewässerstandort, nationales Netz, 60 Jahre Lebensdauer

- 1.600 MWe EPR, Küstenstandort, nationales Netz, 60 Jahre Lebensdauer

- 2 × 77 MWe NuScale SMR-Anordnung, Binnengewässerstandort, regionales Netz, 40 Jahre Lebensdauer

Ihre Missionserklärung

Definiere die Mission deines Reaktors. Dies bildet die Grundlage für jede folgende Designentscheidung.

Reaktortyp-Trade-off-Analyse

Abschnitt 2: Auswahl des Reaktortyps

Fünf große kommerzielle Reaktortypen werden derzeit ernsthaft in Betracht gezogen. Jeder hat eine andere physikalische Grundlage, einen anderen Brennstoffkreislauf, ein anderes Sicherheitsprofil und einen anderen Reifegrad. Sie müssen sich für einen entscheiden und ihn verteidigen.

Druckwasserreaktor (DWR)

Der weltweit am häufigsten eingesetzte Reaktortyp (etwa 70 % der in Betrieb befindlichen Anlagen). Leichtes Wasser (H₂O) dient sowohl als Kühlmittel als auch als Moderator. Der Primärkreislauf arbeitet bei ca. 155 bar / 325 °C: Der hohe Druck hält das Wasser flüssig. Ein Dampferzeuger überträgt die Wärme auf einen Sekundärkreislauf, der die Turbine antreibt. Radioaktives Wasser bleibt im Primärkreislauf.

Vorteile: Jahrzehntelange Betriebserfahrung, starker negativer Leerräumeffizienzkoeffizient (Wasserverlust führt zu Reaktivitätssenkung), bewährter Sicherheitsnachweis, große industrielle Lieferkette.

Nachteile: Hoher Betriebsdruck (erfordert dickwandige Druckbehälter & robuste Pumpen), Zwei-Kreislauf-Komplexität, Kühlmittelverlustunfall (LOCA) erfordert aktive ECCS-Reaktion.

Siedewasserreaktor (BWR)

Wasser kocht im Reaktordruckbehälter. Dampf geht direkt zur Turbine. Einfacher als PWR: Kein Dampferzeuger erforderlich.

Vorteile: Niedrigerer Betriebsdruck als PWR, einfacheres Ein-Kreislauf-Design, direkter Kreislauf ist effizienter.

Nachteile: Radioaktiver Dampf geht zur Turbine (Turbinengebäude ist Strahlungsgebiet), komplexes ECCS mit mehreren Injektionssystemen, leicht positiver Leerräumeffizienzkoeffizient bei einigen Leistungsstufen erfordert sorgfältiges Design.

CANDU (Canada Deuterium Uranium)

Verwendet schweres Wasser (D₂O) als Moderator und Kühlmittel. Kann natürliches Uran-Brennstoff verwenden (keine Anreicherung erforderlich). Besondere Eigenschaft: Online-Nachbetankung: Brennstoffkanäle können ohne Abschaltung ersetzt werden.

Vorteile: Kein Anreicherungsbedarf (Kosten-Vorteil bei Brennstoff), Online-Nachbetankung bedeutet sehr hohen Kapazitätsfaktor, schweres Wasser als Moderator ermöglicht flexiblen Brennstoffkreislauf.

Nachteile: Schweres Wasser ist teuer herzustellen (~$1000/kg), einige Konfigurationen haben unter bestimmten Bedingungen einen leicht positiven Leerrohrkoeffizienten, der sorgfältiges Sicherheitsdesign erfordert, großer physischer Platzbedarf.

Salzschmelzen-Reaktor (MSR)

Brennstoff ist in geschmolzenem Fluorid- oder Chloridsalz gelöst. Kein fester Brennstoff, der schmelzen könnte: Bei Kühlungsausfall gefriert das Salz oder läuft passiv in einen Einfrierverschluss ab. Kann Thorium-Brennstoffkreislauf verwenden.

Vorteile: Walk-away-sicher (passiver Abfluss macht Kernschmelze physisch unmöglich), arbeitet bei Atmosphärendruck (kein LOCA-Risiko), Online-Nachbetankung, Thorium-Brennstoffkreislauf erzeugt deutlich weniger langlebigen Abfall.

Nachteile: Materialherausforderungen (Baumaterialien müssen heißem, korrosivem, radioaktivem Salz über Jahrzehnte standhalten), präkomerzielle Technologie: kein MSR hat kommerziell betrieben, Tritiumproduktion in Fluoridsalzen ist eine regulatorische Herausforderung.

Kleine modulare Reaktoren (SMR): NuScale/Rolls-Royce-Typ

Fabrikmontierte Druckwasserreaktoren (PWR) oder integrale PWR-Module, typischerweise 50-300 MWe pro Modul. Passive Sicherheit basiert auf natürlicher Zirkulation, keine Pumpen erforderlich. Mehrere Module können für Skalierbarkeit kombiniert werden.

Vorteile: Fabrik-Qualitätskontrolle, passive Sicherheitssysteme (keine Pumpen, keine Wechselstromversorgung für Kühlung erforderlich), skalierbare Leistung, kürzere Bauzeit.

Nachteile: Höhere Kapitalkosten pro kWe im Vergleich zu großen Anlagen, die meisten Designs sind präkommerziell oder treten gerade in den Betrieb ein (NuScale VOYGR 2022 zertifiziert, aber Projekte 2023 abgebrochen), Lieferkette noch nicht im großen Maßstab entwickelt.

Die zentrale Sicherheitsphysik-Frage für jeden Reaktortyp:

Was passiert, wenn die Kühlmitteltemperatur steigt oder Kühlmittel verloren geht? Ein Reaktor mit einem negativen Temperaturkoeffizienten und negativen Voidkoeffizienten reduziert die Leistung automatisch: eine selbstkorrigierende, inhärent sichere Reaktion. Ein Reaktor mit einem positiven Voidkoeffizienten (Leistung steigt bei Verlust von Kühlmittel) benötigt aktive Systeme, um sicher abgeschaltet zu werden. Das machte den RBMK von Tschernobyl so gefährlich.

Wähle deinen Reaktortyp

Sieh dir das obige Reaktortyp-Vergleichsdiagramm an, bevor du dich entscheidest.

Brennstoffdesign-Parameter

Abschnitt 3: Brennstoffdesign

Das Brennstoffdesign bestimmt, wie viel Energie du gewinnst, wie lange der Brennstoff hält und was bei einem Unfall passiert. Jeder Parameter interagiert mit jedem anderen Parameter.

Brennstofftyp:

- UO₂ (Uran-Dioxid): Der globale Standard. Keramische Pellets, hoher Schmelzpunkt (~2850°C), chemisch stabil, gut charakterisiert. Leichter Nachteil: geringe Wärmeleitfähigkeit: Wärme staut sich im Pelletzentrum an.

- MOX (Mischoxid): Mischung aus UO₂ & PuO₂. Verbrennt Plutonium aus Waffen oder wiederverarbeitetem abgebranntem Brennstoff. Etwas niedrigerer Schmelzpunkt als UO₂, erfordert lizenzierte MOX-Fertigungseinrichtung.

- TRISO (tri-struktural-isotrop): Mikrosphären aus Brennstoff (UO₂ oder UCO), beschichtet mit mehreren Keramikschichten. Jede Partikel ist ihr eigenes winziges Eindämmungsgefäß. Verwendet in Hochtemperatur-Gasreaktoren und einigen fortschrittlichen Designs. Extrem robust: getestet auf sehr hohe Temperaturen ohne Freisetzung.

Anreicherung:

- Natürliches Uran (0,7% U-235): Verwendet in CANDU. Keine Anreicherungskosten, erfordert aber Schwerwasser als Moderator.

- LEU 3-5% (niederangereichertes Uran): Standard für PWR- und BWR-Brennstoff. Angereichert auf 3-5% U-235.

- HALEU 5-20% (hochgeprüftes niedrigangereichertes Uran): Wird in vielen SMR- und fortschrittlichen Reaktordesigns verwendet. Höhere Anreicherung ermöglicht kleinere, kompaktere Kerne und längere Brennstoffzyklen. Erfordert zusätzliche Sicherheitsvorkehrungen aufgrund der höheren Anreicherung.

- HEU >20%: In kommerziellen Leistungskraftwerken verboten.

Ummantelungsmaterial:

- Zircaloy-4: Standardummantelung weltweit. Geringe Neutronenabsorption, gute mechanische Eigenschaften bis ~400°C. Kritische Schwäche: Oberhalb ~1200°C reagiert es mit Dampf und erzeugt Wasserstoffgas (Zr + 2H₂O → ZrO₂ + 2H₂). Dies war die Wasserstoffquelle in Fukushima.

- M5 (Zr-Nb-Legierung): Bessere Korrosionsbeständigkeit als Zircaloy-4 für hochverbrannte Brennstoffe.

- SiC/SiC-Verbundwerkstoff: Fortschrittliche unfallstolerante Brennstoffummantelung (ATF). Viel höhere Temperaturtoleranz, erzeugt keinen Wasserstoff in Dampf. Aktive Entwicklung, aber noch nicht weit verbreitet im kommerziellen Einsatz.

Abbrandziel:

Standard-LWR-Brennstoff erreicht vor dem Austausch etwa 45–50 GWd/tHM (Gigawatt-Tage pro metrische Tonne Schwermetall). Hochleistungsbrennstoff kann 65–70 GWd/tHM erreichen. Einige fortschrittliche Konzepte zielen auf über 100 GWd/tHM für verlängerte Zyklen ab. Ein höherer Abbrand bedeutet weniger Brennstoffwechsel, erfordert jedoch eine bessere Hüllrohrleistung und eine höhere Anreicherung.

Brennbare Absorber:

Frischer Brennstoff ist hochreaktiv – zu reaktiv, wenn ein ganzer Kern beladen wird. Brennbare Absorber (Gadoliniumoxid, das in die Brennstoffpellets eingemischt wird, oder IFBA: Integral Fuel Burnable Absorber, eine dünne ZrB₂-Beschichtung) absorbieren überschüssige Neutronen zu Beginn der Betriebszeit und brennen mit fortschreitendem Abbrand aus, wodurch die Leistungsverteilung über den Zyklus hinweg abgeflacht wird.

Kernbeladungsmuster:

- Innen-außen-Beladung: Frischer Brennstoff wird in der Mitte geladen, nach außen bewegt, wenn er verbraucht ist. Einfach, aber erzeugt hohe Leistungsspitzen in der Mitte.

- Niedrigleckage-Beladung: Frischer Brennstoff wird außen im Reaktorkern platziert, verbrauchter Brennstoff in der Mitte. Reduziert Neutronenleckage (bessere Brennstoffökonomie) & reduziert die Fluenz auf den Reaktordruckbehälter. Standardpraxis für moderne PWRs.

Geben Sie Ihr Brennstoffdesign an

Berücksichtigen Sie, wie Ihre Brennstoffauswahl mit Ihrem Reaktortyp & Ihrer Mission interagiert. Ein CANDU-Designer braucht keine Anreicherung. Ein SMR-Designer könnte HALEU für einen kompakten Kern wählen. Ein PWR-Designer muss Gehäuse & das Wasserstoffproduktionsrisiko adressieren.

Kühlmittel- und Moderator-Design

Abschnitt 4: Kühlmittel- & Moderator-Kompatibilität

Dein Kühlmittel, Moderator, Brennstoff & Ummantelung müssen chemisch & physikalisch kompatibel sein. Eine Fehlanpassung erzeugt entweder ein Sicherheitsproblem oder ein unmögliches Design.

Leichtes Wasser (H₂O): PWR, BWR, SMR:

Der beste Moderator pro Volumeneinheit. Auch ausgezeichneter Kühlmittel. Arbeitet bei hohem Druck (PWR: ~155 bar, BWR: ~70 bar). Hauptrisiko: Bei hoher Temperatur verdampft es zu Dampf (gleichzeitiger Verlust von Moderation und Kühlung: das LOCA-Szenario). Chemische Kontrolle ist entscheidend: pH-Wert, gelöstes Sauerstoff, Zinkinjektion beeinflussen alle Korrosionsraten der Baustoffe. Zircaloy-Ummantelung kompatibel bis ~400°C Normalbetrieb.

Schweres Wasser (D₂O): CANDU:

Ausgezeichneter Moderator mit viel geringerer Neutronenabsorption als H₂O: Deshalb kann CANDU mit natürlichem Uran betrieben werden. Arbeitet bei ~100 bar in Druckröhren. Schwere Wasser kostet ~1000 $/kg zur Herstellung (via Girdler-Sulfide oder anderem Isotopentrennverfahren). Tritiumproduktion aus D + n → T ist eine betriebliche Herausforderung: Tritium ist ein Beta-Emitter und muss verwaltet werden. Chemie: ähnlich wie bei leichtem Wasser, aber mit anderen Sauerstoff-Isotopen-Betrachtungen.

Graphit: RBMK, HTGR:

Der RBMK verwendete Graphit als Moderator mit Wasser als Kühlmittel: eine gefährliche Kombination wegen des positiven Leerrohraffizienten. Der HTGR (Hochtemperatur-Gasreaktor) verwendet Graphit als Moderator mit Helium als Kühlmittel: eine sichere Kombination, da Graphit mit Gas-Kühlmittel keinen positiven Leerrohraffizienten beiträgt. Graphit kann auch ein Brandrisiko darstellen, wenn er in Luft sehr hohe Temperaturen erreicht: Dies war ein Faktor beim Windscale-Brand von 1957.

Schmelzsalz: MSR:

Das Salz ist sowohl Brennstoffträger als auch Kühlmittel. Kein separater Moderator erforderlich (außer in thermischen MSRs, die Graphit enthalten können). Betriebt bei Atmosphärendruck: kein Risiko eines Hochdruck-LOCA. Wichtige Herausforderungen: Fluoridsalze sind hochkorrosiv gegenüber Baumetallen, Chloridsalze können unter Neutronenfluss aktiviert werden. Materialien müssen Jahrzehnte der Exposition überstehen. Der Gefrierstopfen: ein gefrorener Salzstopfen, der von einem kleinen Ventilator gekühlt wird: schmilzt bei Stromausfall und entleert den Brennstoff in eine subkritische Geometrie. Dies ist ein passives Sicherheitsmerkmal.

Natrium: Schnelle Reaktoren (SFR):

Flüssiges Natrium ist ein ausgezeichnetes Kühlmittel für schnelle Reaktoren. Sehr hohe Wärmeleitfähigkeit, Betrieb bei Atmosphärendruck, natürliche Zirkulation ist effektiv. Schwere Gefahr: Natrium brennt heftig bei Kontakt mit Luft und reagiert explosiv mit Wasser. Alle Natriumsysteme erfordern doppelwandige Wärmetauscher und inerte Atmosphäre. Ein Natriumbrand war ein großes Ereignis bei Monju (Japan) und Superphénix (Frankreich).

Kompatibilitätsmatrix (was alles zusammen funktionieren muss):

- Das Kühlmittel darf die Hüllrohre unter Bestrahlung nicht korrodieren

- Der Moderator muss mit dem Kühlmittel chemisch verträglich sein (Schwerwasser und Leichtwasser sind verträglich; Graphit und Wasser verursachen das positive Void-Koeffizienten-Problem des RBMK)

- Der Brennstoff muss im Kühlmittel chemisch stabil sein (UO₂ in Wasser: geeignet. UF₄ in Fluorsalz: geeignet. UO₂ in Natrium: geeignet. Metallisches Uran in Wasser korrodiert jedoch.)

- Betriebstemperatur und -druck müssen innerhalb der qualifizierten Materialgrenzen liegen

Kühlmittel und Moderator begründen

Ihr Reaktortyp bestimmt das Primärkühlmittel. Begründen Sie nun die Verträglichkeit Ihres Gesamtsystems: Kühlmittel, Moderator, Brennstoff und Hüllrohr, und identifizieren Sie die wichtigste chemische oder thermische Gefahr.

Drei unabhängige Kühlschleifen

Abschnitt 5a: Dreifach redundante Kühlsysteme

Warum drei Kühlschleifen?

Fukushima hatte Backup-Kühlung. Sie versagte, weil alle Backups eine gemeinsame Schwachstelle hatten: Sie benötigten Wechselstrom, & derselbe Tsunami, der den Netzstrom ausschaltete, zerstörte auch die Dieselgeneratoren. Einzelne Ausfälle eskalierten zu vollständigem Kühlverlust.

Dreifach-Redundanz ist nicht einfach drei Kopien desselben Systems. Wahre Redundanz erfordert Unabhängigkeit in drei Dimensionen:

- Physische Trennung: Verschiedene Gebäude, verschiedene Quadranten, verschiedene Höhenlagen. Eine Überschwemmung in einem Quadranten kann ein anderes nicht lahmlegen.

- Unterschiedliche Stromquellen: Unterschiedliche elektrische Busse, unterschiedliche Backup-Stromversorgungen. Ein Ausfall eines Busses kann eine andere Kühlschleife nicht deaktivieren.

- Unterschiedliche Aktivierungslogik: Eine Schleife aktiviert sich bei hoher Temperatur, eine andere bei niedrigem Druck, eine andere bei vollständigem Stromausfall. Unterschiedliche Ausfallmodi aktivieren unterschiedliche Schleifen.

Die drei Standard-Kühlschleifen für einen modernen PWR:

Schleife 1: Normale Stillstandskühlung (SCS / Residual Heat Removal, RHR):

Aktives System. Pumpen zirkulieren Kühlmittel durch Wärmetauscher, um Abwärme nach dem Stillstand abzuleiten. Versorgt durch normalen Wechselstrom oder Notwechselstrom. Arbeitet bei niedrigem Druck nach Entdruckung. Aktivierungssollwert: typischerweise wenn RCS-Temperatur unter ~177°C (350°F) & Druck unter ~28 bar (400 psi) fällt. Dies ist das primäre System zur Abwärmeabfuhr während geplanter Stillstände.

Schleife 2: Notfall-Kernkühlsystem (ECCS): Hochdruck- und Niederdruckeinspeisung:

Aktives System. Reagiert auf Kühlmittelverlust-Störfälle. Hochdruckeinspeisung (HPI) wird bei kleinen Lecks ausgelöst: hält den Druck im Reaktorkühlsystem (RCS) aufrecht und speist borierte Wasser ein. Akkumulator-Einspeisung: große Tanks mit boriertem Wasser unter Stickstoffdruck (~40 bar), die passiv entleeren, wenn der RCS-Druck unter den Akkumulatordruck fällt (keine Pumpen, keine Stromversorgung für diese Stufe erforderlich). Niederdruckeinspeisung (LPI) übernimmt, nachdem das RCS vollständig drucklos ist. Die Borkonzentration ist entscheidend: sie muss ausreichen, um den kalten Unterkritikzustand ohne Steuerstäbe zu erreichen und aufrechtzuerhalten.

Schleife 3: Passive Kernkühlung (schwerkraftgespeist oder durch Naturumlauf):

Passives System: keine Pumpen, keine Wechselstromversorgung, kein Eingreifen des Personals erforderlich. Zwei Ansätze:

- AP1000-Bauart (Westinghouse): Großer Wasserbehälter oberhalb des Reaktors (Core-Makeup-Tanks, passive Restwärme-Abfuhr-Wärmetauscher). Schwerkraftgespeist. Bei Störfällen entfernt der Naturumlauf die Nachzerfallswärme vom Primärkreis zum Tankwasser, das verdampft und kondensiert an der Stahl-Sicherheitshülle, die außen durch Luft gekühlt wird. Vollständig passiv.

- NuScale-Bauart: Das Reaktormodul befindet sich in einem Wasserbecken. Der Naturumlauf im Primärsystem überträgt Wärme an das Becken. Keine Pumpen im Primär- oder Sicherheitssystem.

- PRHR HX (Passiver Restwärme-Abfuhr-Wärmetauscher): Eingetaucht in einen großen wassergefüllten Tank (In-Containment Refueling Water Storage Tank, IRWST). Der Naturumlauf durch den PRHR HX entfernt die Nachzerfallswärme ohne Pumpen. Funktioniert 72 Stunden ohne jegliches Eingreifen des Personals.

Unabhängigkeitsprüfung: was muss zutreffen:

- Schleife 1, 2 & 3 müssen Strom aus unterschiedlichen elektrischen Busse beziehen (1A, 1B, 1C oder Div I, II, III)

- Schleife 3 muss bei vollständigem Ausfall der AC-Stromversorgung funktionieren

- Jede Schleife muss in einer anderen physischen Abteilung sein (getrennt durch Barrieren oder Abstand)

- Gemeinsame Ursachenfehler: wie der Tsunami von Fukushima: müssen analysiert und verhindert werden

Analyse gemeinsamer Ursachenfehler:

Welcher einzelne Ausfall könnte alle drei Kreisläufe außer Betrieb setzen? Sie müssen ihn identifizieren und zeigen, wie Ihre Auslegung ihn verhindert.

- Seismische Common-Cause: alle drei Kreisläufe müssen in Seismic-Category-I-Strukturen untergebracht sein, die für das standortspezifische SSE ausgelegt sind

- Hochwasser-Common-Cause: Kreisläufe in unterschiedlichen Höhen oder in hochwassergeschützten Kompartimenten

- Brand-Common-Cause: Brandschutzwände (3-stündig bewertet), getrennte Kabelwege, redundante Trennung

- Ausfall der Wärmesenke als Common-Cause: wenn alle drei Kreisläufe Wärme an dieselbe ultimative Wärmesenke (Fluss, Meer) abgeben, muss ein Ausfall dieser Senke analysiert werden

Auslegung Kreislauf 1: Normale Nachkühlung

Entwerfen Sie Ihren ersten Kühlkreislauf: das normale Nachkühlsystem / RHR-System.

Entwerfen Sie Schleife 2: ECCS Hochdruckeinspritzung

Schleife 2 ist Ihre Notkernkühlung: Wird durch Unfälle aktiviert, nicht durch normale Betriebsabläufe.

Loop 3 auslegen: Passive Kernkühlung

Loop 3 muss ohne Wechselstrom und ohne Bedienereingriff funktionieren. Es ist die letzte Verteidigungslinie: das System, das das Fukushima-Szenario verhindert.

Common Cause Failure Analysis

Du hast drei Kühlschleifen. Beweise nun, dass sie wirklich unabhängig sind.

Drei unabhängige Wege, die Reaktion zu stoppen

Abschnitt 5b: Dreifach redundante Stilllegungssysteme

Das Stoppen einer Kettenreaktion erfordert mehr als nur Steuerstäbe. Ein moderner sicherer Reaktor verfügt über drei vollständig unabhängige Stilllegungsmechanismen, von denen jeder ausreicht, um einen kalten Stillstand zu erreichen & aufrechtzuerhalten.

Warum nicht nur Steuerstäbe?

Die Steuerstäbe konnten den Reaktor von Tschernobyl nicht schnell genug abschalten: Der RBMK hatte einen positiven SCRAM-Koeffizienten: Das Einsetzen von mit Graphit spitzen versehenen Stäben führte zunächst zu einem kurzen Leistungsanstieg, bevor der Abschaltvorgang einsetzte. Bei TMI wurden die Steuerstäbe korrekt eingeführt, aber die Verwirrung der Bediener über den Kühlmittelstand führte dennoch zu einem freigelegten Kern. Die Lehre: Kein einzelnes System sollte das einzige Abschaltmittel sein.

Abschalt-System 1: Steuerstäbe:

Das primäre Abschalt-System. Stäbe mit neutronenabsorbierendem Material (Borcarbid B₄C, Hafnium oder Ag-In-Cd-Legierung) werden in den Kern eingeführt. Die Stäbe werden durch Schwerkraft oder Feder (SCRAM) eingeführt: Bei Stromausfall oder Sicherheitssignal entenergisieren sich die Elektromagnete, die die Stäbe oben halten, und die Stäbe fallen in den Kern. SCRAM-Zeit: Typischerweise sind die Stäbe innerhalb von 2-4 Sekunden vollständig eingeführt.

Designanforderungen: (1) Stabwert: Alle Stäbe zusammen müssen den Reaktor aus jedem Betriebszustand abschalten können, selbst wenn der wertvollste Stab eingeklemmt und zurückgezogen ist. Dies ist das „stuck rod criterion“. (2) SCRAM-Zeit: Wird während der Inbetriebnahme-Tests gemessen und verifiziert. (3) Testfrequenz: Steuerstäbe müssen regelmäßig bewegt (teilweise herausgezogen und wieder eingeführt) werden, um die Funktionsfähigkeit zu überprüfen.

Abschalt-System 2: Not-Boration:

Boratiertes Wasser in das Reaktor-Kühlsystem einspritzen. Bor-10 ist ein ausgezeichneter Neutronenabsorber. Ausreichende Bor-Einspritzung erreicht den Kaltabschaltzustand, selbst wenn alle Steuerstäbe eingeklemmt und zurückgezogen sind. Zwei Mechanismen: (1) Standrohr-Einspritzung: Borsäure-Tank mit dem RCS über Pumpen und Isolationsventile verbunden. (2) ECCS-Bor-Einspritzung: Das ECCS-Akkumulator-Wasser ist bereits boratiert; ECCS-Einspritzung liefert automatisch Bor. Die für Kaltabschaltung mit allen Stäben eingeklemmt erforderliche Bor-Konzentration wird in der Sicherheitsanalyse berechnet und beträgt typischerweise 2000-2500 ppm (als Borsäure, H₃BO₃).

Abschalt-System 3: Passiver Absorberablass (physikbasiert, ohne Stromversorgung):

Ein diverser, passiver Abschaltmechanismus, der ein anderes physikalisches Prinzip nutzt. Beispiele:

- Borkugel-Einspeisung (CANDU-Art): Kugeln aus Absorbermaterial fallen durch Schwerkraft in separate Moderatorkammern, wenn die Stromversorgung ausfällt.

- Passive Bor-Einspeisung aus erhöhtem Tank: Ein erhöhter Tank mit konzentrierter Borsäure entleert sich durch Schwerkraft in das Reaktorkühlsystem, wenn ein fehlöffnendes Ventil bei Stromausfall öffnet. Keine Pumpen, kein Signal erforderlich.

- Schmelzsalz-Ablass in unterkritische Geometrie: Bei MSR schmilzt der Einfrierstopfen bei Ausfall der Kühlleistung und lässt den Brennstoff in eine Geometrie abfließen, die physikalisch nicht in der Lage ist, eine Kettenreaktion aufrechtzuerhalten (unterkritische Geometrie, die in den Ablassbehälter integriert ist).

- Abbrandgiftstäbe mit Federauswurf: In manchen Auslegungen können sekundäre Abschaltstäbe bei Ausfall des Halte­mechanismus federnd nach oben in den Kern ausgestoßen werden.

Test- und Überwachungsanforderungen:

Jedes Abschaltsystem muss unabhängig in regelmäßigen Abständen getestet werden, die Ergebnisse sind zu protokollieren und der NRC zu melden. NRC-Prüfungsergebnisse über nicht funktionsfähige Abschaltsysteme sind meldepflichtige Ereignisse. Die Tests müssen nachweisen, dass jedes System allein den Kaltzustand erreichen kann.

Entwerfen Sie Ihre drei Abschaltsysteme

Entwerfen Sie alle drei Abschaltsysteme für Ihren Reaktor.

Drei unabhängige Stromquellen

Abschnitt 5c: Dreifach redundante Stromquellen

Fukushimas zentrale Lehre: Station Blackout – totaler Ausfall der Wechselstromversorgung – darf nicht zu Kernschäden führen. Die NRC-Anforderungen nach Fukushima (FLEX) schreiben vor, dass die Anlagen nachweisen müssen, dass sie einen längeren Station Blackout mit diversen und unabhängigen Stromquellen überstehen können.

Stromquelle 1: Externes Netz:

Die normale Stromversorgung. Zwei oder mehr unabhängige Übertragungsleitungen von unabhängigen Umspannwerken (unterschiedliche Netzkreise). Transformatorschutz: Schnelldruckrelais, Differentialrelais, Verriegelungsrelais – verhindert, dass ein defekter Transformator auf andere Sammelschienen übergreift. Fällt der Hauptgenerator des Kraftwerks aus, übernimmt das externe Netz automatisch innerhalb von Sekunden über den Hilfstransformator.

Schwäche: Alles, was das Netz beschädigt (schweres Wetter, seismisches Ereignis, Netzinstabilität), kann die externe Stromversorgung unterbrechen. Das externe Netz ist die zuverlässigste normale Quelle, aber die unzuverlässigste Notstromquelle.

Stromquelle 2: Notstrom-Dieselgeneratoren (EDGs):

Die primäre Notstromquelle für Wechselstrom. NRC-Mindestanforderung: 2 EDGs pro Einheit, von denen jeder die vollständigen Notlasten einer Sicherheitsdivision tragen kann. Startanforderung: Der EDG muss innerhalb von 10 Sekunden nach einem Startsignal die Nennspannung und -frequenz erreichen (NRC-Vorgabe). Kraftstoffversorgung: NRC-Mindestanforderung ist ein 7-Tage-Vorrat bei Volllast. Post-Fukushima-Best-Practice: Auslegung für einen 14-Tage-Vorrat mit Kraftstofflieferverträgen zur Sicherstellung der Nachfüllung.

Prüfungen: monatlicher Lasttest (Start bei Nenndrehzahl ohne Last), vierteljährlicher Lasttest (bei Nennlast), 18-monatiger Dauerlauf-Test (Betrieb bei Volllast für die gesamte Prüfdauer).

Ein typisches 1100-MWe-DWR-Kraftwerk verfügt über 2–4 EDGs, die jeweils mit ca. 7.000 bis 9.000 kW ausgelegt sind.

Stromquelle 3: Stationsbatterien (Gleichstrom, Class 1E):

Die ultimative Notstromquelle für Instrumentierung, Steuerung, Notbeleuchtung, Ventilbetätigung und Kommunikation. Die DC-Schienen werden von Batterien gespeist, die im Normalbetrieb aus den AC-Schienen nachgeladen werden. Bei Ausfall aller Wechselstromquellen liefern die Batterien unabhängig Gleichstrom.

Dimensionierung: Jede DC-Schiene muss so ausgelegt sein, dass sie ihre Lastliste mindestens 2 Stunden ohne AC-Nachladung versorgt. Moderne Auslegungen sind für 4–8 Stunden dimensioniert. Die Lastliste umfasst: Steuerstab-Antriebsüberwachung, sicherheitsrelevante Instrumentierung, Notbeleuchtung, Notfallkommunikation und kritische Ventilantriebe.

Batteriewechsel: gemäß Herstellerplan, typischerweise alle 10–20 Jahre. Batterieprüfung: Kapazitätstest jährlich, Entladetest alle 18 Monate.

FLEX-Strategie: Tragbare Ausrüstung nach Fukushima:

Tragbare Dieselgeneratoren, tragbare Pumpen und Schläuche sind an mehreren Standorten mit unterschiedlichen Zugangswegen vorpositioniert (nicht alle durch dieselbe Flut oder dasselbe Feuer erreichbar). Anschlusspunkte an sicherheitsrelevante Schienen und Kühlsysteme sind vorinstalliert und getestet. FLEX-Ausrüstung kann von den Operatoren ohne Wechselstromversorgung eingesetzt werden. Die NRC verlangt FLEX-Strategien für folgende Szenarien: Station Blackout, Verlust der ultimativen Wärmesenke sowie Kombinationen davon.

Entwerfen Sie Ihre drei Stromquellen

Entwerfen Sie Ihre vollständige Stromarchitektur.

Drei unabhängige Überwachungskanäle

Abschnitt 5d: Dreifach redundante Überwachung & Instrumentierung

Instrumentierungs- und Steuerungsfehler (I&C) haben bei jedem größeren nuklearen Unfall eine Rolle gespielt oder ihn verschlimmert. In TMI wurden die Bediener durch einen einzelnen Indikator (eine Leuchte, die anzeigte, ob ein Pilotventil zum Öffnen angesteuert worden war, nicht aber, ob es tatsächlich offen war) in die Irre geführt und trafen Entscheidungen, die den Kern entwässerten. In Tschernobyl waren wichtige Instrumente während des fatalen Tests deaktiviert oder lieferten irreführende Werte.

Drei unabhängige Messkanäle:

Moderne Reaktoren unterteilen die Sicherheitstechnik in drei (oder vier) unabhängige Kanäle: A, B und C (oder I, II, III, IV). Jeder Kanal verwendet unterschiedliche Sensoren, die über separate Kabeltrassen in getrennten Rohrleitungen geführt und von separaten Sicherheitsnetzteilen versorgt werden.

Warum unterschiedliche Technologien?

Gemeinsame Ursachen für Ausfälle bei Sensoren: Wenn alle drei Kanäle denselben Sensortyp verwenden, kann ein systematischer Fehler in diesem Modell dazu führen, dass alle drei gleichzeitig ausfallen oder dieselbe falsche Messung liefern. Durch den Einsatz unterschiedlicher Hersteller oder unterschiedlicher Messprinzipien wird dieses Risiko verringert.

2-aus-3-Abstimmungslogik:

Drei Kanäle, die jeweils ein Ja/Nein-Signal für eine Sicherheitsfunktion liefern (z. B. „Druck hoch, SCRAM einleiten“). Die Sicherheitsaktion wird ausgelöst, wenn mindestens 2 von 3 Kanälen übereinstimmen. Warum nicht 1-aus-3? Weil ein einzelner fehlerhafter Kanal zu unerwünschten SCRAMs führen würde (zu viele Fehlalarme: die Anlage wäre unzuverlässig). Warum nicht 3-aus-3? Weil ein einzelner ausgefallener Kanal das Auslösen des SCRAMs verhindern würde (zu wenige echte Auslösungen: die Anlage wäre unsicher). 2-aus-3 ist das mathematische Optimum: resistent gegen einen einzelnen Fehlauslöser UND einen einzelnen Ausfall.

Post-Accident-Monitoring: NUREG-0696 Kategorie-1-Variablen:

Die folgenden Variablen müssen nach einem Unfall unabhängig vom normalen Digitalen Kontrollsystem (DCS) überwacht werden, um den Operatoren auch dann verlässliche Messwerte zu liefern, wenn das DCS beschädigt oder unzuverlässig ist:

- Druck des Reaktorkühlsystems

- Temperatur des Reaktorkühlsystems (Heißstrang, Kaltstrang)

- Wasserstand im Reaktorkühlsystem (Pegel im Reaktordruckbehälter)

- Containment-Druck

- Strahlungsniveau im Containment

- Ableitstrahlungsmonitore (Kühlmittel, Dampf, Containment-Atmosphäre)

Umgebungs- und seismische Qualifizierung:

Alle sicherheitsrelevanten I&C-Systeme müssen für die Umgebungsbedingungen qualifiziert sein, denen sie bei einem Störfall ausgesetzt wären: Temperatur bis 150 °C, Feuchtigkeit bis 100 %, Strahlung bis 10⁷ rad (100 kGy) kumuliert, für die Dauer des Störfalls (Monate). Dies wird als Umgebungsqualifizierung nach 10 CFR 50 Appendix B / IEEE 323 bezeichnet. Seismische Qualifizierung (IEEE 344): muss während und nach dem standortspezifischen sicheren Abschaltbeben (SSE) funktionieren.

Entwerfen Sie Ihre Überwachungsarchitektur

Entwerfen Sie Ihre Instrumentierungs- und Steuerungssicherheitsarchitektur.

Sicherheit, die ohne Strom oder Bedienpersonal funktioniert

Abschnitt 6: Passive Sicherheitsmerkmale

Passive Sicherheitsmerkmale funktionieren allein durch Physik: keine Pumpen, keine Stromversorgung, keine Bedienereingriffe. Sie sind immer aktiv, immer wirksam und können durch einen vollständigen Stromausfall nicht deaktiviert werden.

Negativer Doppler-Koeffizient (immer in Uranbrennstoff vorhanden):

Mit steigender Brennstofftemperatur verbreitern sich die Resonanzabsorptionspeaks von U-238 (Doppler-Verbreiterung). Mehr Neutronen werden von U-238 eingefangen, ohne Spaltung auszulösen. Dadurch sinkt die Spaltrate automatisch, sobald der Brennstoff heißer wird: ein selbstbegrenzender, stets vorhandener Rückkopplungsmechanismus. Er wirkt in allen Reaktortypen, die Uranbrennstoff verwenden. Deshalb kann ein Uranreaktor nicht wie eine unkontrollierte chemische Explosion durchgehen: die Physik wirkt dagegen.

Negativer Moderator-Temperaturkoeffizient (für LWRs):

In Leichtwasserreaktoren nimmt mit steigender Kühlmittel-/Moderator-Temperatur die Wasserdichte ab. Weniger dichtes Wasser moderiert weniger Neutronen, sodass weniger Neutronen die für die Spaltung nötigen thermischen Energien erreichen. Die Reaktivität sinkt automatisch. Das erklärt, warum PWRs und BWRs über einen weiten Leistungsbereich inhärent selbstregelnd sind.

Negativer Void-Koeffizient (für die meisten LWRs bei Leistung):

Bilden sich Blasen im Kühlmittel oder geht Kühlmittel verloren, sinkt die Moderation. In LWRs verringert sich dadurch die Reaktivität. Dies ist die Sicherheitsfunktion, die dem RBMK von Tschernobyl fehlte: sein großer positiver Void-Koeffizient bedeutete, dass Kühlmittelverlust die Leistung erhöhte und eine sich aufschaukelnde Rückkopplungsschleife entstand.

Passiver Abfallwärmeabtransport: Naturumlauf:

Heißes Wasser ist weniger dicht als kaltes Wasser. Im Primärkreislauf steigt das heiße Kühlmittel aus dem Kern aufgrund der geringeren Dichte auf. In Anlagen wie dem AP1000 treibt dieser Naturumlauf das Kühlmittel ohne Pumpen durch den PRHR-Wärmetauscher. Die Abfallwärme wird allein durch physikalische Effekte abgeführt.

In-Vessel Retention (IVR): AP1000-Ansatz:

Falls ein schwerer Unfall bis zur Kernschmelze fortschreitet, muss das geschmolzene Corium im Reaktordruckbehälter gehalten werden. Die AP1000-Auslegung flutet den Reaktorraum mit Wasser (schwerkraftgetrieben aus dem IRWST). Das Wasser außerhalb des Behälters kühlt die Behälterwand und hält den Stahlbehälter intakt, sodass geschmolzenes Corium nicht auf den Containment-Boden gelangt. Dies war eine wesentliche Designinnovation: frühere Leichtwasserreaktoren verfügten nicht über diese Funktion.

Ex-Vessel Core Catcher: EPR-Ansatz:

Eine Alternative zur IVR: Falls Corium den Reaktordruckbehälter verlässt, fällt es in ein Ausbreitungsfach (Core Catcher), das die Schmelze dünn verteilt und von unten und oben kühlt. Der EPR (European Pressurized Reactor) verwendet dieses Konzept. Sowohl IVR als auch Core Catcher adressieren dasselbe Szenario: schwere Unfallprogression nach einem Behälterbruch.

Wasserstoffmanagement: Passive autokatalytische Rekombinatoren (PARs):

Zircaloy-Dampf-Reaktionen erzeugen Wasserstoff. Wasserstoff sammelt sich im Sicherheitsbehälter an. Bei 4–75 % Wasserstoffkonzentration in Luft ist er entflammbar; bei 13–59 % detoniert er. Die Wasserstoffexplosionen in Fukushima zerstörten die Reaktorgebäude der Blöcke 1, 3 und 4. Moderne Sicherheitsbehälter erfordern ein Wasserstoffmanagement: PARs (passive autokatalytische Rekombinatoren) sind Vorrichtungen mit einem Platin- oder Palladium-Katalysator. Wasserstoff und Sauerstoff verbinden sich auf der Katalysatoroberfläche bei Raumtemperatur ohne Zündung zu Wasserdampf. Kein Strom, keine Ventilatoren, kein Eingreifen des Personals. PARs werden im gesamten Sicherheitsbehälter verteilt, um lokale Ansammlungen zu verhindern. Erforderliche Anzahl und Platzierung werden anhand des worst-case Wasserstoffquellterms berechnet.

Vier physikalische Barrieren: Defense in Depth:

Das obige Diagramm zeigt die vier physikalischen Barrieren zwischen dem Brennstoff und der Umwelt:

1. Brennstoffmatrix (UO₂-Keramik): bindet unter Normalbedingungen etwa 95 % der Spaltprodukte

2. Brennstoffhüllrohr (Zircaloy oder SiC): metallische Barriere, erste Einschlussstufe für entwichene Spaltprodukte

3. Reaktorkühlmitteldruckgrenze: dickwandiges Stahlgefäß & Rohrleitungen

4. Sicherheitsbehälter: Stahlbeton, typischerweise 1–1,5 Meter dick, ausgelegt für Druck & Temperatur eines worst-case-LOCA sowie für Flugzeugaufprall

Entwerfen Sie Ihre passiven Sicherheitsmerkmale

Passive Merkmale sind in die Physik und Geometrie Ihres Designs integriert: sie können nicht abgeschaltet werden.

Human Safety Layer

Abschnitt 7: Human Oversight Design

Jeder größere nukleare Unfall hatte einen menschlichen Faktor: nicht, weil Menschen unzuverlässig sind, sondern weil das System der menschlichen Aufsicht schlecht gestaltet war. Gute Gestaltung macht es leicht, das Richtige zu tun, und schwer, das Falsche zu tun.

Mindestens drei qualifizierte Mitarbeiter rund um die Uhr vor Ort:

- Reaktoroperator (RO): NRC-lizenziert (10 CFR Part 55). Bedient die Reaktorkontrollen. Muss eine schriftliche Prüfung und einen Betriebstest am anlagenspezifischen Simulator bestehen. Lizenz gilt nur für diese spezifische Anlage: nicht übertragbar.

- Senior Reactor Operator (SRO): Schichtleiter: NRC-lizenziert. Überwacht den RO. Verfügt über unabhängige SCRAM-Befugnis: kann eine Notabschaltung anordnen, unabhängig von Anweisungen anderer Personen, einschließlich des Managements.

- Strahlenschutztechniker (RP) / Health-Physics-Beauftragter: Überwacht Strahlungswerte, verwaltet die Personendosimetrie, genehmigt den Zutritt zu kontrollierten Bereichen und erfasst kumulierte Dosen.

Unabhängige SCRAM-Befugnis:

Der Schichtleiter hat die gesetzliche Befugnis, jederzeit eine Notabschaltung aufgrund seiner fachlichen Einschätzung einzuleiten, ohne dass eine Genehmigung durch die Betriebsleitung erforderlich ist. Dies ist eine regulatorische Anforderung gemäß 10 CFR 50.54(x). Die Lehre aus TMI: Die Operatoren hätten über die Ausbildung und Befugnis verfügen müssen, ein anormales Kühlmittelverlust-Szenario schnell zu erkennen und selbstbewusst einen SCRAM auszulösen. Stattdessen waren sie durch widersprüchliche Anzeigen verwirrt und versuchten, Symptome zu „beheben“, anstatt die zugrunde liegende Ursache zu erkennen.

Zwei-Personen-Integrität (TPI):

Bestimmte Tätigkeiten – insbesondere der Umgang mit Brennelementen, die Manipulation von Steuerstäben bei bestimmten Tests und der Zugang zu bestimmten vitalen Bereichen – erfordern die Anwesenheit von zwei qualifizierten Personen, die sich gegenseitig beobachten. Keine der Personen darf die Tätigkeit allein durchführen. Technische Kontrollen (Schlüsselschalter, die zwei gleichzeitig betätigte Schlüssel erfordern, Verriegelungen) erzwingen dies, anstatt sich auf die Einhaltung von Verfahren zu verlassen. TPI verhindert individuelle Fehler und Sabotage.

Schichtbegrenzungen: Fatigue-Management:

Gemäß 10 CFR 26 (Fitness for Duty): Die maximale Schichtdauer beträgt 12 Stunden. Die Mindestruhezeit zwischen Schichten beträgt 8 Stunden. Die maximale Wochenarbeitszeit liegt bei 54 Stunden (72 Stunden in Notfällen mit Genehmigung durch die Betriebsleitung). Diese Grenzwerte existieren, weil Schlafmangel die Entscheidungsfähigkeit erheblich beeinträchtigt – ähnlich wie Alkohol – und nukleare Betriebsabläufe eine anhaltende Aufmerksamkeit erfordern.

Schulungsanforderungen:

- NRC-zertifiziertes Schulungsprogramm auf einem anlagenspezifischen Full-Scope-Simulator

- Erstzulassung: schriftliche Prüfung (bestanden/nicht bestanden, Multiple-Choice & Essay) + praktische Prüfung (hands-on Bewertung durch einen NRC-lizenzierten Prüfer)

- Requalifizierung: jährliche schriftliche Prüfung, alle zwei Jahre praktische Prüfung am Simulator

- Bewertete Notfallübungen: vierteljährliche Schichtübungen, jährliche großangelegte Notfallübung mit Beteiligung von Bundesstaat und Landkreis

Notbetriebsanweisungen (EOPs):

Symptom-basierte Verfahren, genehmigt von der NRC. Anstelle von „Wenn du Ereignis X siehst, mache Y“ sagen moderne EOPs: „Wenn du diese Symptome beobachtest (hoher Druck + niedriger Pegel + steigende Temperatur), starte dieses Verfahren.“ Dieser Ansatz: nach TMI entwickelt: ist robuster, weil die Operatoren auf das reagieren, was sie beobachten, und nicht auf das, was sie als Ursache vermuten. [BLOCK_TYPE SECTION/STEP]

[BLOCK_TYPE SECTION/STEP]

Leitwarte-Design: Post-Accident-Monitoring unabhängig vom DCS: [BLOCK_TYPE SECTION/STEP]

Post-Accident-Monitoring-Instrumente müssen auch dann von der Leitwarte ablesbar sein, wenn das digitale Leittechnik-System (DCS) vollständig ausgefallen ist. Es handelt sich um dedizierte festverdrahtete Anzeigen: analoge Messgeräte oder qualifizierte digitale Displays mit separaten Strom- und Signalwegen.

Gestalte dein Human-Oversight-System

Human Oversight ist ein Sicherheitssystem. Entwirf es mit derselben Sorgfalt wie deine Kühlsysteme.

Standortwahl und Auslegung gegen externe Gefahren

Abschnitt 8: Standortwahl & Tiefbau

Der Standort bestimmt die externen Gefahren, denen Ihre Anlage standhalten muss. Die NRC verlangt eine umfassende Analyse externer Gefahren als Teil des FSAR (Final Safety Analysis Report).

Seismische Auslegung: Safe Shutdown Earthquake (SSE):

Jeder Anlagenstandort hat ein Safe Shutdown Earthquake (SSE): das maximale Erdbeben, für das die Anlage ausgelegt ist, um einen sicheren Abschaltzustand zu erreichen und aufrechtzuerhalten. Sicherheitsrelevante Bauwerke (Reaktorgebäude, Leitwarte, ECCS-Gebäude, EDG-Gebäude) müssen Seismic Category I sein: sie müssen dem SSE standhalten und funktionsfähig bleiben. Das SSE wird aus einer probabilistischen seismischen Gefährdungsanalyse (PSHA) mit einem Zielwert von 10⁻⁴ jährlicher Überschreitungswahrscheinlichkeit ermittelt – ein 10.000-Jahres-Ereignis. Das Auslegungserdbeben von Fukushima hatte eine Magnitude von 6,1; das tatsächliche Erdbeben hatte eine Magnitude von 9,0. Unterschätzen Sie das SSE niemals.

Hochwasser: Probable Maximum Flood (PMF):

Die PMF ist das maximale Hochwasser, das am Standort auf Basis meteorologischer und hydrologischer Analysen auftreten könnte. Die Geländehöhe des Kraftwerks muss über dem PMF-Niveau liegen oder das Kraftwerk muss mit Hochwasserschutzbarrieren (Wände, Türen, Luken) ausgestattet sein, die für die PMF ausgelegt sind. Wichtige Lehre aus Fukushima: Die Schutzmauer war für 5,7 Meter ausgelegt; der tatsächliche Tsunami erreichte 15 Meter. Die PMF-Berechnung muss konservativ sein.

Externe Gefahren: Flugzeugaufprall, extremer Wind, externe Explosionen:

- Flugzeugaufprall: Nach 9/11 verlangt die NRC von großen kommerziellen Anlagen eine Bewertung (nicht unbedingt eine Auslegung) des Flugzeugaufpralls. Neue Designs wie AP1000 und EPR berücksichtigen den Flugzeugaufprallwiderstand bereits in der Auslegung von Containment und Leitwarte.

- Extremer Wind / Tornado: Auslegungstornado für jede Standortregion gemäß Regulatory Guide 1.76. Schutz gegen Flugkörper: Tornadogeschosse (Strommasten, Autos) dürfen sicherheitsrelevante Bauwerke nicht durchdringen können.

- Externe Explosionen: Die Nähe zu Chemiewerken, LNG-Terminals, Pipelines oder Bahnstrecken mit Gefahrgut muss bewertet werden.

Exclusion Area Boundary (EAB): 10 CFR 100:

Der EAB ist der minimale Radius um das Kraftwerk, innerhalb dessen der Betreiber die Kontrolle über das Land hat. Während der zwei Stunden nach einem Worst-Case-Unfall darf die Strahlendosis am EAB 25 rem Ganzkörper (TEDE) nicht überschreiten. Diese Grenze bestimmt die Auslegung des Containments und den Abstand der Standortgrenze. Ein größeres Kraftwerk mit einem größeren Quellterm erfordert einen größeren EAB.

Notfallplanungszonen (EPZ):

Zwei Zonen um jedes Kernkraftwerk:

- Plume-Exposure-Pathway-EPZ: ca. 10 Meilen Radius. Schutzmaßnahmen: Evakuierung, Schutzraumaufenthalt, Verteilung von Kaliumiodid, Verkehrskontrollpläne.

- Ingestion-Pathway-EPZ: ca. 50 Meilen Radius. Schutzmaßnahmen: Beschränkungen des Verzehrs von Lebensmitteln und Wasser, Überwachung von Feldfrüchten und Milchprodukten.

Die Größe der EPZ wird nicht allein durch die Anlagengröße bestimmt: sie ist durch NRC-Vorschriften für alle kommerziellen Reaktoren festgelegt (mit gewisser Flexibilität für sehr kleine SMRs). Notfallpläne müssen gemeinsam mit Landes- und Kommunalbehörden entwickelt und geübt werden.

Verteidigen Sie Ihren Standort

Begründen Sie nun Ihre Standort- und Bauwerksauslegungsentscheidungen.

NRC-Lizenzierungsverfahren

Abschnitt 9: Lizenzierungsweg

Der Bau eines Reaktors ohne Lizenz ist in den Vereinigten Staaten illegal. Das Lizenzierungsverfahren der NRC gemäß 10 CFR Part 52 soll Sicherheitsprobleme bereits auf dem Papier erkennen, bevor Beton gegossen wird. Es ist auch der Mechanismus, über den die Öffentlichkeit, Einsprechende und das technische Personal der NRC die Auslegung anfechten und verbessern können.

10 CFR Part 52: Kombinierte Lizenz (Combined License, COL):

Der primäre moderne Lizenzierungsweg. Eine COL kombiniert die Baugenehmigung und die Betriebsgenehmigung in einem einzigen Verfahren. Der Antragsteller weist nach, dass das Design die NRC-Anforderungen erfüllt und dass der Standort akzeptabel ist. Die NRC erteilt die COL vor Baubeginn. Während der Bauarbeiten werden Inspections, Tests, Analyses, & Acceptance Criteria (ITAAC) verwendet, um zu verifizieren, dass das Errichtete mit dem lizenzierten Design übereinstimmt.

Design Certification (DC):

Ein Reaktordesign kann von der NRC unabhängig von einem bestimmten Standort zertifiziert werden. Eine Design Certification gilt für 15 Jahre. Sobald ein Design zertifiziert ist, kann ein Versorgungsunternehmen, das eine COL-Anlage baut, auf die DC Bezug nehmen und muss das Standarddesign nicht erneut verhandeln. Das AP1000 und der ABWR sind zertifizierte Designs. SMR-Entwickler (NuScale, GEH BWRX-300, Kairos, TerraPower) streben Design-Zertifizierungen für ihre Technologien an.

Final Safety Analysis Report (FSAR): 17 Kapitel:

Das FSAR ist das zentrale technische Dokument jeder Lizenzantrag. Es beschreibt die Anlage und weist nach, dass sie alle NRC-Anforderungen erfüllt. Wichtige Kapitel:

- Kapitel 1: Einleitung und allgemeine Beschreibung

- Kapitel 2: Standortmerkmale (Seismik, Hochwasser, Meteorologie, Bevölkerung)

- Kapitel 4: Reaktor (Brennelementauslegung, Kernphysik, Thermohydraulik)

- Kapitel 5: Reaktorkühlsystem (Primärkreislauf, Druckgrenze, ECCS)

- Kapitel 6: Ausgelegte Sicherheitssysteme (Containment, ECCS, Wasserstoffkontrolle)

- Kapitel 7: Leittechnik & Steuerung

- Kapitel 8: Elektrische Energieversorgung (Außennetz, Innennetz, Batterien, FLEX)

- Kapitel 9: Hilfssysteme

- Kapitel 13: Betriebsführung (Organisation, Ausbildung, EOPs)

- Kapitel 15: Unfallanalyse (Auslegungsstörfälle: Kühlmittelverluststörfall (LOCA), Hauptdampfleitungsbruch, Steuerstabauswurf usw.)

- Kapitel 16: Technische Spezifikationen (Betriebsgrenzen & Prüfanforderungen)

Probabilistische Sicherheitsanalyse (PSA):

Eine quantitative Sicherheitsanalyse, die die Wahrscheinlichkeit von Kernschäden und großer Frühfreisetzung berechnet. Zwei zentrale Kenngrößen:

- Kernschadenshäufigkeit (CDF): Wahrscheinlichkeit pro Reaktorjahr für Kernschäden. NRC-Ziel: < 1×10⁻⁴/Reaktorjahr. Fortschrittliche Reaktoren: < 1×10⁻⁵/Reaktorjahr.

- Häufigkeit großer Frühfreisetzung (LERF): Wahrscheinlichkeit pro Reaktorjahr für eine große, frühe Freisetzung von Radioaktivität, bevor Schutzmaßnahmen ergriffen werden können. NRC-Ziel: < 1×10⁻⁵/Reaktorjahr.

Die PSA identifiziert auch die wichtigsten Unfallabläufe (dominierende Beiträge zur CDF) sowie die wichtigsten Systeme und Komponenten (Wichtigkeitsmaße). Dies lenkt Wartungs-, Prüf- und Designverbesserungsmaßnahmen.

ITAAC: Inspections, Tests, Analyses, and Acceptance Criteria:

Für jedes sicherheitsrelevante System und jede sicherheitsrelevante Struktur legt die COL die ITAAC fest: was geprüft, getestet oder analysiert werden muss und welches die Annahmekriterien sind. Bevor die NRC die Beladung mit Brennelementen genehmigt, müssen alle ITAAC abgeschlossen und gemeldet sein. Wenn ein ITAAC nicht erfüllt wird, darf das Kraftwerk erst starten, nachdem es korrigiert und das ITAAC erfolgreich bestanden wurde.

Construction & Pre-Operational Testing:

Nach Erteilung der COL beginnt die Errichtung. Die NRC überwacht die Bauarbeiten gemäß den Inspection, Testing, Analysis, & Acceptance Criteria (ITAAC). Vor dem Beladen mit Brennelementen wird durch Pre-Operational Testing sichergestellt, dass jedes System die Auslegungsspezifikation erfüllt. Die Genehmigung zur Brennelementbeladung setzt voraus, dass die NRC-Mitarbeiter feststellen, dass alle ITAAC erfüllt sind.

Chart Your Licensing Path

Walk through the licensing pathway for your specific reactor design.

Präsentieren Sie Ihr vollständiges Design

Abschnitt 10: Abschließende Design-Überprüfung

Sie haben jedes wesentliche System eines Kernkraftwerks entworfen. Präsentieren Sie nun Ihr vollständiges Design so, wie es ein Chief Nuclear Officer dem NRC Safety Review Committee vorstellen würde.

Ihr Design muss folgendes demonstrieren:

Vollständige dreifache Redundanz für alle vier Sicherheitsfunktionen:

1. Kühlung: drei Kreisläufe (aktives RHR, aktives ECCS mit passiven Akkumulatoren, passives PRHR oder Pool)

2. Abschaltung: drei Systeme (Steuerstäbe, Notborierung, passive Absorber-Ableitung)

3. Stromversorgung: drei Quellen (externes Netz, Notstromdiesel, Stationsbatterien) plus FLEX

4. Überwachung: drei unabhängige Kanäle (A/B/C) mit 2-aus-3-Abstimmung, Unfallüberwachung

Passive Sicherheitsmerkmale:

- Negativer Doppler-Koeffizient (immer vorhanden bei Uranbrennstoff)

- Negativer Moderator-/Void-Koeffizient für Ihren Reaktortyp

- Passive Nachwärmeabfuhr (Naturumlauf oder Pool)

- Schwere-Unfall-Management (IVR, Core Catcher oder MSR-Ablass in subkritischen Zustand)

- Wasserstoffmanagement (verteilte PARs im Containment)

Menschliche Überwachung:

- Drei qualifizierte Rollen vor Ort rund um die Uhr

- Zwei-Personen-Prinzip mit physischer Durchsetzung

- Einhaltung von Schichtgrenzen

- Anlagenspezifisches Simulator-Training

- Symptomorientierte EOPs

Standortwahl:

- Auslegungsbasis für Erdbeben (SSE, Seismic Category I-Strukturen)

- Hochwasserschutz (PMF oder Barrieren)

- EAB-Dosisgrenze (25 rem TEDE)

- EPZ (10-Meilen-Plume, 50-Meilen-Ingestion)

Der historische Test:

Ihr Design muss zeigen, wie es die spezifischen Ausfallmodi von TMI, Tschernobyl und Fukushima verhindert.

- TMI: Bessere Überwachung nach einem Unfall (direkter RCS-Füllstand), symptomorientierte EOPs, geschulte Bediener

- Tschernobyl: Negativer Void-Koeffizient (kein positiver Scram-Effekt), unabhängige SCRAM-Befugnis, Deaktivierung von Sicherheitssystemen durch den Bediener nicht erlaubt

- Fukushima: Passive Kühlung (keine Wechselstromversorgung erforderlich), erhöhte FLEX-Ausrüstung, 14-tägiger Dieselkraftstoff, Standort oberhalb des PMF

Vollständige Design-Überprüfung

Dies ist Ihre Design-Verteidigung. Antworten Sie vollständig: jede Auslassung wird hinterfragt.

Wie Ihr Design TMI, Tschernobyl und Fukushima verhindert

Abschnitt 11: Die Vergangenheit verhindern

Die drei großen nuklearen Unfälle haben die modernen Sicherheitsanforderungen für Reaktoren definiert. Jedes Redundanzsystem, das Sie entworfen haben, hat einen spezifischen Vorläufer in einem dieser Unfälle.

Three Mile Island (TMI), 1979: Pennsylvania, USA:

Ein offen stehendes pilotbetriebenes Druckentlastungsventil (PORV) ließ Primärkühlmittel stundenlang abfließen. Die Anzeige zeigte nur an, dass das Ventil GESCHLOSSEN wurde, nicht dass es tatsächlich geschlossen war. Die Operatoren, verwirrt durch widersprüchliche Anzeigen, drosselten die ECCS-Einspeisung, weil sie dachten, das System würde überfüllt. Der Kern wurde freigelegt, überhitzte und schmolz teilweise.

Lessons: (1) Direkte Post-Unfall-Überwachung: Operatoren müssen tatsächliche Ventilposition, tatsächlichen Kühlmittelstand und tatsächliche Kerntemperatur sehen können. (2) Symptom-basierte EOPs: Operatoren reagieren auf das, was sie beobachten, nicht auf das, was sie als Ursache vermuten. (3) Bessere Operator-Schulung zur Erkennung und Reaktion auf Unfälle.

Tschernobyl, 1986: Ukrainische SSR, UdSSR:

Ein Sicherheitstest wurde bei niedriger Leistung (instabiler Bereich) und mit mehreren deaktivierten oder umgangenen Sicherheitssystemen durchgeführt. Der RBMK-Reaktor hatte einen großen positiven Void-Koeffizienten: bei Siedekühlmittel stieg die Reaktivität an. Als die Operatoren versuchten, abzuschalten, verursachten die graphitbestückten Steuerstäbe einen kurzen Leistungsanstieg (positiver SCRAM-Effekt). Ein Leistungsexkurs von etwa 30.000 MW zerstörte den Reaktor in einer Dampfexplosion und einem Graphitbrand.

Lessons: (1) Kein positiver Void-Koeffizient in kommerziellen Reaktoren. (2) Sicherheitssysteme dürfen im Normalbetrieb nicht umgehbar sein. (3) Unabhängige SCRAM-Befugnis: kein Testleiter darf das Sicherheitsurteil des Schichtleiters außer Kraft setzen. (4) Operator-Schulung in Reaktorphysik, nicht nur Verfahrensbefolgung.

Fukushima Daiichi, 2011: Japan:

Ein Erdbeben der Stärke 9,0 löste einen 15 Meter hohen Tsunami aus, der die Notstromdieselgeneratoren im Kernkraftwerk Fukushima Daiichi überflutete und zerstörte. Ohne Wechselstromversorgung und mit zerstörten Dieseln verdampfte die Nachzerfallswärme das Kühlmittel in den Blöcken 1, 2 und 3. Durch die Zircaloy-Dampf-Reaktion entstandener Wasserstoff explodierte in den Reaktorgebäuden. Drei Kerne schmolzen innerhalb von 72 Stunden. [BLOCK_TYPE CONTENT historical_lessons/history_intro]

Lehren: (1) Passive Kühlung, die keine elektrische Energie benötigt. (2) Dieselsätze und Batterien oberhalb der maximalen Fluthöhe oder flutgeschützt angeordnet. (3) FLEX-mobile Ausrüstung an verschiedenen, jederzeit zugänglichen Standorten bereitgestellt. (4) Der Bemessungs-PMF muss konservativ festgelegt werden. (5) Ein langanhaltender vollständiger Stationsausfall muss ausgelegt, nicht nur analysiert werden. [BLOCK_TYPE CONTENT historical_lessons/history_intro]

[BLOCK_TYPE TITLE historical_lessons/history_question]

Connect Your Design to History [BLOCK_TYPE CONTENT historical_lessons/history_question]

Dies ist die letzte Frage des Capstone-Projekts. [BLOCK_TYPE QUESTION historical_lessons/history_question]