Für einen individuellen Ausdruck passen Sie bitte dieEinstellungen in der Druckvorschau Ihres Browsers an. Regelwerk
| Für einen individuellen Ausdruck passen Sie bitte die Einstellungen in der Druckvorschau Ihres Browsers an. Regelwerk | |
Bekanntmachung des Leitfadens zur Durchführung der Sicherheitsüberprüfung gemäß § 19a des Atomgesetzes
- Leitfaden Probabilistische Sicherheitsanalyse für Kernkraftwerke in der Bundesrepublik Deutschland
Vom 30. August 2005
(BAnz. Nr. 207a vom 03.11.2005 S. 1)
Das Atomgesetz schreibt in § 19a eine Sicherheitsüberprüfung für alle Kernkraftwerke in der Bundesrepublik Deutschland vor.
Die Sicherheitsüberprüfung nach § 19a des Atomgesetzes dient der Feststellung des aktuellen Sicherheitsstandes der Kernkraftwerke der Bundesrepublik Deutschland als Ergänzung zur laufenden aufsichtlichen Überprüfung der Anlagen zur Spaltung von Kernbrennstoffen zur gewerblichen Erzeugung von Elektrizität und wird in Verantwortung und auf Kosten des Betreibers nach den Leitfäden zur Durchführung von periodischen Sicherheitsüberprüfungen (PSU) für Kernkraftwerke in der Bundesrepublik Deutschland in der Fassung der Bekanntmachung vom 18. August 1997 (BAnz. Nr. 232a vom 11. Dezember 1997) vorgenommen.
Bei der Fortentwicklung der Leitfäden beteiligt das Bundesministerium für Umwelt, Naturschutz und Reaktorsicherheit die Länder, die Reaktor-Sicherheitskommission und die Betreiber der Kernkraftwerke.
Die Reaktor-Sicherheitskommission (RSK) und die Betreiber von Kernkraftwerken sind im Laufe der Erarbeitung des Leitfadens "Sicherheitsüberprüfung für Kernkraftwerke gemäß § 19a des Atomgesetzes - Leitfaden Probabilistische Sicherheitsanalyse -" (Leitfaden Probabilistische Sicherheitsanalyse) mehrfach angehört worden.
Der Hauptausschuss des Länderausschusses für Atomkernenergie hat dem von einer Arbeitsgruppe des Länderausschusses für Atomkernenergie erarbeiteten Leitfaden Probabilistische Sicherheitsanalyse zugestimmt.
Der Leitfaden Probabilistische Sicherheitsanalyse verweist hinsichtlich der festgelegten Einzelheiten auf die Fachbände "Methoden zur probabilistischen Sicherheitsanalyse für Kernkraftwerke" und "Daten zur probabilistischen Sicherheitsanalyse für Kernkraftwerke". Diese Fachbände sind Bestandteil des Leitfadens Probabilistische Sicherheitsanalyse und sind über das Bundesamt für Strahlenschutz beziehbar.
Nachfolgend gebe ich den Leitfaden zur Durchführung der "Sicherheitsüberprüfung für Kernkraftwerke gemäß § 19a des Atomgesetzes - Leitfaden Probabilistische Sicherheitsanalyse -" bekannt.
Sicherheitsüberprüfung für Kernkraftwerke gemäß § 19a des Atomgesetzes
- Leitfaden Probabilistische Sicherheitsanalyse -
31. Januar 2005
1 Einleitung
Zur Sicherheitsüberprüfung, die der Betreiber einer Anlage zur Spaltung von Kernbrennstoffen zur gewerblichen Erzeugung von Elektrizität (Kernkraftwerk) gemäß § 19a Abs. 1 des Atomgesetzes durchzuführen und der Aufsichtsbehörde vorzulegen hat, gehört eine probabilistische Sicherheitsanalyse (PSA).
Probabilistische Sicherheitsanalysen gehören zum Stand von Wissenschaft und Technik bei der Sicherheitsbeurteilung von Kernkraftwerken. PSA werden in Ergänzung der auf deterministischen Grundlagen beruhenden Sicherheitsbeurteilung eingesetzt. Auf diese Weise kann der Einfluss von Komponenten, Systemen und Strukturen sowie von Personalhandlungen auf das sicherheitstechnische Anlagenverhalten ganzheitlich dargestellt und somit das Sicherheitsniveau quantitativ bewertet werden.
2 Aufgaben und Ziele der probabilistischen Sicherheitsanalyse
Probabilistische Analysen können für einen unterschiedlich großen Umfang auslösender Ereignisse (interne und externe Auslöser), für unterschiedliche Betriebszustände wie Leistungs- und Nichtleistungsbetrieb und mit unterschiedlicher Reichweite (Stufen 1 bis 3) 1 durchgeführt werden.
Die PSA ist bis einschließlich der Stufe 2 2 mit Methoden des Standes von Wissenschaft und Technik und unter Verwendung von Daten, die nach Stand von Wissenschaft und Technik vorzugsweise anlagenspezifisch ermittelt wurden, durchzuführen.
Für Ereignisse bei Nichtleistungsbetrieb (einschließlich An- und Abfahrvorgänge der Reaktoranlage) werden die Analysen bis zum Verlust von Reaktivitätskontrolle, des Einschlusses radioaktiver Stoffe oder von Brennelementkühlung (Gefährdungs- bzw. Kernschadenszustände) durchgeführt. Analysen der Stufe 2 für Betriebsphasen des Nichtleistungsbetriebs fordert dieser Leitfaden nicht.
Die PSA dient insbesondere dazu, eventuell bestehende Schwachstellen (Schwachstellenanalyse) einer Anlage qualitativ und quantitativ festzustellen und die Ausgewogenheit des sicherheitstechnischen Anlagenkonzepts zu beurteilen. Dabei wird aufgezeigt, mit welcher Häufigkeit Störungen und Störfälle infolge anlageninterner und -externer Ursachen sowie unter Berücksichtigung möglicher Ausfälle und Fehler der nach deterministischen Kriterien ausgelegten Sicherheitseinrichtungen sowie fehlerhaften Personalhandlungen zu nicht auslegungsgemäß beherrschten Anlagenzuständen führen können. Die Ermittlung von Gefährdungszuständen zusätzlich zu den Kernschadenszuständen erfolgt, um eine Beurteilung der Auslegung gegen Störfälle unabhängig von Maßnahmen und Einrichtungen der 4. Sicherheitsebene vornehmen zu können.
Im Einzelnen wird die PSA mit den Zielen durchgeführt, um
Mit der Behandlung der Stufe 2 der PSA ist aber keine rechtliche Einordnung, insbesondere im Hinblick auf die erforderliche Vorsorge nach § 7 Abs. 2 Nr. 3 des Atomgesetzes, verbunden.
3 Allgemeine Anforderungen
Als Ausgangsbedingungen sind diejenigen Anlagenzustände anzusetzen, die hinsichtlich der zu analysierenden Ereignisabläufe die Anforderungen an die Sicherheitseinrichtungen realistisch repräsentieren.
Die PSA umfasst die im Ablaufdiagramm aufgezeigten konkreten Arbeitsschritte für eine PSA der Stufe 1 (Abbildung 1 und 2) und der Stufe 2 (Abbildung 3).
Die PSA ist unter maßgeblicher und intensiver Beteiligung anlagen-kundigen Personals des Betreibers durchzuführen.
Bei der Durchführung der PSA können Modelle und Teilergebnisse, einschließlich der Ergebnisse aus Störfall- und Unfallanalysen, aus entsprechenden Analysen für vergleichbare Anlagen übernommen werden, wenn die Übertragbarkeit dieser Modelle und Ergebnisse nachgewiesen ist.
Die Einzelheiten sind in den PSA-Fachbänden "Methoden zur probabilistischen Sicherheitsanalyse für Kernkraftwerke" und "Daten zur probabilistischen Sicherheitsanalyse für Kernkraftwerke" festgelegt. Diese PSA-Fachbände enthalten eine nähere Bestimmung des Standes von Wissenschaft und Technik der PSA.
3.1 PSA der Stufe 1 für den Leistungs- und Nichtleistungsbetrieb
Gegenstand der PSA der Stufe 1 sind Ermittlung und Quantifizierung von Ereignisabläufen, die ausgehend von einem Spektrum auslösender Ereignisse 3 nicht mehr auslegungsgemäß beherrscht werden (Gefährdungszustände 4) oder zu Kernschäden bzw. Kernschmelzen (Kernschadenszustände 5) führen können. Die Häufigkeiten der Gefährdungszustände und der Kernschadenszustände sind explizit auszuweisen.
Technische Einrichtungen und präventive Maßnahmen des anlageninternen Notfallschutzes, die Notfallprozeduren für die Durchführung von Hand- und Reparaturmaßnahmen umfassen können sowie vorhandene technische Einrichtungen nutzen, sind probabilistisch zu bewerten und in die Bestimmung der Häufigkeit von Kernschadenszuständen einzubeziehen.
Für das Spektrum der für die jeweilige Anlage relevanten auslösenden Ereignisse sind Ereignisablauf- und Fehlerbaumanalysen zusammen mit Importanz-, Sensitivitäts- und Unsicherheitsanalysen betriebszustandsbezogen durchzuführen. Wirksamkeitsbedingungen sind abhängig von den Ereignisabläufen zu ermitteln. Die Anlagentechnik sowie die Betriebsweisen der Systeme einschließlich der Personalhandlungen sind zu modellieren; Folgeausfälle, funktionale Abhängigkeiten zwischen Systemfunktionen, gemeinsam verursachte Ausfälle sowie Personalhandlungen sind zu berücksichtigen.
Die Endzustände der Ereignisablaufpfade sind einschließlich Eintrittshäufigkeiten und Ergebnisse der Sensitivitäts- und Unsicherheitsanalysen auszuweisen (siehe Abschnitte 4.1.9 und 4.1.10).
Abb. 1: Ablauf der Probabilistischen Sicherheitsanalyse (PSA) der Stufe 1 im Leistungsbetrieb (mit Hinweisen auf die entsprechenden Abschnitte im vorliegenden Leitfaden)
Abb. 2: Ablauf der Probabilistischen Sicherheitsanalyse (PSA) der Stufe 1 im Nichtleistungsbetrieb (mit Hinweisen auf die entsprechenden Abschnitte im vorliegenden Leitfaden)
Abb. 3: Ablauf der Probabilistischen Sicherheitsanalyse der Stufe 2 (mit Hinweisen auf die entsprechenden Abschnitte im vorliegenden Leitfaden)
3.2 PSA der Stufe 2 für den Leistungsbetrieb
Basis für Analysen der Stufe 2 sind die im Rahmen der PSA der Stufe 1 ermittelten Kernschadenszustände, deren charakteristische Merkmale übernommen werden. Untersucht wird, wie sich aus Kernschadenszuständen 6 verschiedene Unfallabläufe entwickeln und zu Freisetzungen radioaktiver Stoffe in die Umgebung führen können. Hierzu werden unter Berücksichtigung der physikalischen, chemischen, thermodynamischen und strukturmechanischen Phänomene Ereignisbaumanalysen durchgeführt. Sie sind durch Unsicherheits- und Sensitivitätsanalysen zu ergänzen. Die Endzustände (Anlagenschadenszustände 7 der Unfallablaufanalysen werden in Freisetzungskategorien 8 zusammengefasst.
Zu untersuchen ist
Die Analyse soll es ermöglichen, die ergebnisbestimmenden Unfallabläufe zu erkennen und unter Berücksichtigung von Beurteilungsunsicherheiten zu bewerten.
PSA der Stufe 2 können unter Vermeidung der Schnittstelle von Stufe 1 zu Stufe 2 auch integral erstellt werden. Hierbei ist sicherzustellen, dass die für die Bewertung relevanten Zwischenergebnisse zur Stufe 1 - insbesondere die Häufigkeiten von Gefährdungszuständen - angegeben werden können.
4 Methoden der Analyse
4.1 PSA der Stufe 1 für den Leistungs- und Nichtleistungsbetrieb
4.1.1 Anlagenspezifische Eingangsinformationen
Zur Durchführung einer PSA sind detaillierte Informationen über Aufbau, Funktionen und Wirksamkeiten der zu berücksichtigenden Komponenten und Systeme einschließlich von Bedienungsmaßnahmen, Betriebsweisen, Instandhaltungsmaßnahmen, Wiederkehrenden Prüfungen und Notfallmaßnahmen erforderlich. In der Regel sind diese Informationen der vorhandenen anlagenbeschreibenden Dokumentation zu entnehmen. Diese enthält Systembeschreibungen, Schaltpläne, Betriebshandbücher, Prüfhandbücher, Notfallhandbücher und Analysen zu Störfällen, die der Auslegung der sicherheitstechnischen Einrichtungen der Anlage zugrunde liegen. Für den Nichtleistungsbetrieb sind u.a. zusätzlich Angaben zur Komponentenverfügbarkeit bei bestimmten Anlagenbetriebsphasen, Revisionsberichte, Anweisungen zu Arbeitsvorgängen, Freischaltungen etc. während der Revision erforderlich.
Der PSA ist der Anlagenzustand zur Zeit ihrer Erstellung zugrunde zu legen. Der Betreiber gibt den genauen Zeitpunkt an. Der Betreiber weist auch aus, welche Änderungen er während der Erstellung der PSA durchgeführt hat, die Einfluss auf die Ergebnisse der PSA haben. Vorgesehene Anlagenänderungen können zusätzlich in die PSA einbezogen werden, soweit prüffähige Unterlagen vorhanden sind. Der Einfluss vorgesehener Anlagenänderungen auf die Ergebnisse der PSA ist gesondert einzeln auszuweisen.
Wichtige und ergänzende Informationen sind aus Begehungen der Anlage, aus Betriebserfahrungen sowie aus Fachgesprächen mit dem Betriebspersonal (z.B. über spezifische Betriebsabläufe bei Personalhandlungen) heranzuziehen.
4.1.2 Auslösende Ereignisse
Auslösende Ereignisse, die Gegenstand anderer PSA und bisher vorliegender Untersuchungen waren, sind in den Anhängen B1, B2, B3 und B4 zusammengestellt. Bei B1 und B2 handelt es sich um Referenzspektren zu betrachtender auslösender Ereignisse im Leistungsbetrieb für DWR und SWR. B3 enthält beispielhaft Betriebsphasen des Nichtleistungsbetriebs für SWR und DWR.
Die Referenzspektren sind anlagenspezifisch auf Relevanz hin zu überprüfen und gegebenenfalls zu modifizieren (z.B. bezüglich der Leckgröße). Das bei der probabilistischen Analyse zu betrachtende Spektrum auslösender Ereignisse ist anlagenspezifisch hinsichtlich seiner Vollständigkeit unter Beachtung aller in deterministischen Analysen zu betrachtenden Ereignisse zu begründen.
Die Häufigkeit der auslösenden Ereignisse ist anlagenspezifisch zu bestimmen. Bei Verwendung generischer Werte ist die Übertragbarkeit zu bewerten. Wenn auslösende Ereignisse zusammengefasst werden, müssen für die einzelnen Systemfunktionen bzw. Notfall-Systemfunktionen 9 die jeweils ungünstigsten Mindestanforderungen berücksichtigt werden.
Für den Nichtleistungsbetrieb enthält der Anhang B3 eine Unterteilung in verschiedene Betriebsphasen. Für die Erfordernisse der Analyse sind diese Betriebsphasen weiter zu unterteilen, so dass während einer Betriebsphase annähernd konstante Randbedingungen vorliegen.
Auslösende Ereignisse brauchen nicht detailliert untersucht werden, wenn ihr Einfluss auf die Ergebnisse für die Häufigkeit eines Gefährdungs- und Kernschadenszustandes sowie für die Freisetzungshäufigkeiten gering ist. Hier ist eine Abschätzung ausreichend. Voraussetzung für eine Abschätzung zu nicht im Detail untersuchten auslösenden Ereignissen ist die Erfüllung folgender Bedingungen:
Die abgeschätzten Beiträge der nicht im Detail analysierten Ereignisabläufe zu den genannten Ergebnisgrößen sind bei der Bewertung entsprechend zu berücksichtigen.
4.1.3 Ereignisablaufanalysen
In Abhängigkeit vom auslösenden Ereignis und dem jeweils vorliegenden Anlagenbetriebszustand bzw. der Betriebsphase sind diejenigen Sicherheitsfunktionen von Betriebs- und Sicherheitssystemen 10 sowie die Personalhandlungen zu ermitteln, die zur Beherrschung des Ereignisses vorgesehen sind und angefordert werden. Grundlage dieser Ermittlung sind vor allem die Anregekriterien für die Systeme zur Störfallbeherrschung. Daneben sind Handeingriffe des Betriebspersonals zu berücksichtigen. Die Wirksamkeitsbedingungen der einzelnen Systeme sind abhängig vom Ereignisablauf festzustellen. Anlagenzustände, die von den Sicherheitsfunktionen nicht auslegungsgemäß beherrscht werden, sind den Gefährdungszuständen zuzuordnen und auszuweisen.
Vorhandene anlageninterne Notfallschutzmaßnahmen einschließlich Reparaturmaßnahmen sind im auslegungsüberschreitenden Bereich zu berücksichtigen. Ereignisabläufe, die auch nach Berücksichtigung des realistischen Verhaltens der Systeme, Strukturen und Komponenten und anlageninterner Notfallschutzmaßnahmen nicht beherrscht werden und zu Kernschäden führen, werden als Kernschadenszustände ausgewiesen.
Die Analysen werden in Form von Ereignisablaufdiagrammen dargestellt, wesentliche Ergebnisse sind die Endzustände und deren Häufigkeiten. Die Endzustände sind in geeigneter Weise in Kategorien einzuteilen, die den zeitlichen Abläufen und möglichen Auswirkungen auf die Anlage Rechnung tragen, z.B. infolge unterschiedlicher Drücke im Primärkreis.
4.1.4 Analysen zu Wirksamkeitsbedingungen
Die Wirksamkeitsbedingungen beschreiben die Mindestanforderungen an die angeforderten Sicherheitsfunktionen derjenigen Systeme, die diese Funktionen im Anforderungsfall gewährleisten sollen, zusätzlich werden die zugehörigen verfahrenstechnischen Einsatzzeiten benötigt. Die Ermittlung der Wirksamkeitsbedingungen sollte vorzugsweise auf der Grundlage von Rechnungen mit realistischen Randbedingungen erfolgen, damit die vorhandenen Sicherheitsreserven der Anlage in der Analyse berücksichtigt werden und eine möglichst realitätsnahe Beinteilung der Ausgewogenheit des Sicherheitskonzepts ermöglicht wird. Zur Reduzierung des Untersuchungsaufwandes können vorliegende Rechnungen übernommen werden, falls diese hinsichtlich Ausgangs- und Randbedingungen auf den zu betrachtenden Ereignisablauf über-tragbar sind.
4.1.5 Fehlerbaumanalysen
In den Diagrammen zu den Ereignisablaufanalysen (vgl. Abschnitt 4.1.3) wird aufgezeigt, wie sich die einzelnen Ereignisabläufe abhängig von der Verfügbarkeit der angeforderten Sicherheitsfunktion verzweigen können. Die möglichen Ausfälle der Sicherheitsfunktionen werden mit Hilfe der Fehlerbaumanalyse untersucht.
Die Quantifizierung der Fehlerbäume erfolgt mit den in den Abschnitten 4.1.6 bis 4.1.8 genannten Eingangsdaten.
4.1.6 Zuverlässigkeitskenngrößen für unabhängige Komponentenausfälle
Grundsätzlich sind für die PSA anlagenspezifische Zuverlässigkeitskenngrößen 11 zu verwenden. Für deren Ermittlung sind die notwendigen Informationen aus den Betriebsunterlagen der Anlage zu entnehmen. Im Datenband ist ausgeführt, wie die Kenngrößen bestimmt werden können.
Steht keine hinreichende anlagenspezifische Datenbasis zur Verfügung, können generische Daten verwendet werden. Bei Verwendung von generischen Daten ist jedoch unter Berücksichtigung anlagenspezifischer Gegebenheiten die Anwendbarkeit zu prüfen und zu dokumentieren. Wenn Komponenten, für die generische Daten verwendet wurden, wesentliche Beiträge zur Gesamthäufigkeit der Gefährdungszustände liefern, ist eine anlagenspezifische Auswertung der Übertragbarkeit der zugehörigen generischen Zuverlässigkeitskenngrößen durchzuführen und nachvollziehbar zu begründen.
4.1.7 Personalhandlungen
Die im Zuge eines Ereignisablaufes angeforderten Funktionen können auf verschiedene Weise von Personalhandlungen abhängen. Die Analyse von Personalhandlungen beinhaltet die Identifizierung, Modellierung und probabilistische Bewertung von Handlungen des Betriebspersonals, die Auswirkungen auf Ereignisabläufe haben. Zur Bestimmung des Beitrags von Personalhandlungen in den Ereignisabläufen ist eine Analyse mit eigenständiger Methodik erforderlich. Für die Durchführung einer derartigen Analyse stehen zahlreiche Methoden zur Verfügung. Grundsätzlich sind Methoden zu bevorzugen, die bereits in atomrechtlichen Verfahren eingesetzt und begutachtet wurden, sofern diese dem geltenden Stand von Wissenschaft und Technik genügen. Die Wahl der jeweiligen Methodik ist nachvollziehbar zu begründen. Dies gilt insbesondere für die Personalhandlungen, die sich in der Importanz- und Sensitivitätsanalyse als ergebnisbestimmend erwiesen haben.
4.1.8 Abhängige Ausfälle
Abhängige Ausfälle sind in der Fehlerbaumanalyse zu berücksichtigen. Folgeausfälle und funktionelle Abhängigkeiten (z.B. gemeinsame Abhängigkeit von einem Hilfssystem) werden explizit modelliert, die verbleibenden abhängigen Ausfälle (GVA) können über parametrische Modelle in die Fehlerbäume eingebracht werden.
Entscheidende Bedingung für die Anwendung der Modelle zur Quantifizierung von GVA ist eine ausreichende Abstützung der Modellparameter auf Betriebserfahrung. Dies gilt insbesondere für die Komponentengruppen, die sich in der Importanz- und Sensitivitätsanalyse als ergebnisbestimmend erwiesen haben. Grundsätzlich sind Modelle zu bevorzugen, die bereits in atomrechtlichen Verfahren eingesetzt und begutachtet wurden, sofern diese dem geltenden Stand von Wissenschaft und Technik genügen. Die Wahl der jeweiligen Methodik ist nachvollziehbar zu begründen.
4.1.9 Unsicherheits-, Sensitivitäts- und Importanzanalysen
Die Häufigkeiten auslösender Ereignisse und die Zuverlässigkeit für die Systemkomponenten und die Personalhandlungen werden in der PSA durch Wahrscheinlichkeitsverteilungen beschrieben, aus denen sich der Erwartungswert 12 berechnen lässt und die darüber hinaus Informationen über die Abweichungen dieser Größen vom Erwartungswert beinhalten, so dass die Unsicherheiten zu den Erwartungswerten der Häufigkeiten von Gefährdungs- und Kernschadenszuständen quantifiziert werden können (Unsicherheitsanalyse). Bei der Quantifizierung des Ereignisbaumes sind daher Streubreiten der Zuverlässigkeitskenngrößen, z.B. in der Form von Intervallen zu verwenden, um ein Maß für die Ergebnisunsicherheiten zu erhalten.
Neben der Unsicherheitsanalyse ist auch eine Sensitivitätsanalyse durchzuführen. Mit der Sensitivitätsanalyse ist zu ermitteln, welche der in der Unsicherheitsanalyse berücksichtigten unsicheren Eingabedaten in besonders hohem Maße zur Ergebnisunsicherheit beitragen.
Der Einfluss von Komponenten, Systemen und Personalhandlungen auf die wesentlichen Ergebnisgrößen ist über die entsprechenden Importanzen, insbesondere die diagnostische Importanz 13, zu bewerten.
4.1.10 Durchführung der Auswertung und Ermittlung der Ergebnisse der Stufe 1 - Analysen
Die quantitative Auswertung der Ereignisablauf- und Fehlerbaumanalyse erfolgt im Hinblick auf die in Kapitel 2 formulierten Ziele der probabilistischen Sicherheitsanalyse. Als Ergebnis der Analyse sind Eintrittshäufigkeiten für Ereignisabläufe zu ermitteln, die zu Gefährdungs- bzw. Kernschadenszuständen führen und ihre Unsicherheiten sowie relevante Einflüsse auf diese Häufigkeiten aufzuzeigen. Hierbei sind Gefährdungs- und Kernschadenszustände getrennt auszuweisen. Des Weiteren sind die Nichtverfügbarkeiten von Systemfunktionen zu ermitteln.
4.2 PSA der Stufe 2 für den Leistungsbetrieb
4.2.1 Anlagenspezifische Eingangsinformationen der PSA der Stufe 2
Relevante Ereignisabläufe und die ermittelten Kernschadenszustände der PSA der Stufe 1 sowie der Anlagenzustand und die Systemverfügbarkeiten dienen als Eingangsinformation und sind damit Ausgangszustände für die PSA der Stufe 2.
Merkmale und Eigenschaften der Anlagentechnik, die für das Anlagenverhalten unter Unfallbedingungen wichtig sind, sind bei der Modellierung des Anlagenverhaltens zu berücksichtigen. Maßnahmen des anlageninternen Notfallschutzes sind entsprechend den Regelungen des Notfallhandbuchs zu berücksichtigen. Unter sorgfältiger Prüfung ihrer Durchführbarkeit können Reparaturmaßnahmen in einer Unfallsituation in den Analysen berücksichtigt werden, wenn der schwierige Entscheidungsprozess für ihre Durchführung berücksichtigt wird. Der Beitrag ist gesondert auszuweisen.
4.2.2 Festlegung repräsentativer Kernschadenszustände und Unfallabläufe
Auf der Basis der in der PSA der Stufe 1 analysierten auslösenden Ereignisse und deren ermittelten Kernschadenszuständen sind repräsentative Kernschadenszustände, für die jeweils eine gemeinsame Analyse durchführbar ist, auszuwählen und für die Ereignisbaumanalyse aufzubereiten. Unabhängig vom gewählten Verfahren (gestuft oder integral, s. Abschnitt 3.2) ist bei der Zusammenfassung der Kernschadenszustände sicherzustellen, dass die möglichen Anlagenzustände und Systemverfügbarkeiten hinreichend vollständig, z.B. anhand eines definierten Spektrums charakteristischer Merkmale, berücksichtigt werden. Weiterhin sind hier Ereignisabläufe, die für die Belange der Stufe 1 unberücksichtigt bleiben könnten, im Falle einer Ergebnisrelevanz für die Stufe 2 zu berücksichtigen (vgl. Abschnitt 4.1.2).
Die Festlegung der zu untersuchenden Unfallabläufe soll vorrangig hinsichtlich des Integritätsverlusts der druckführenden Umschließung und des Sicherheitseinschlusses unter Berücksichtigung der wesentlichen möglichen unfallbestimmenden Phänomene und der möglichen Freisetzung radioaktiver Stoffe in die Anlagenumgebung erfolgen und im Ergebnis anlagenspezifische Freisetzungspfade ausweisen.
4.2.3 Deterministische Unfallablaufanalysen
Ausgehend von den repräsentativen Kernschadenszuständen werden für die wichtigsten Ereignisabläufe möglichst realistische Szenarien entwickelt, um die unfallbestimmenden Phänomene und Einflussgrößen, die Wirksamkeit von Notfallmaßnahmen, die zeitlichen Abläufe und das Verhalten des Sicherheitseinschlusses unter Einbeziehung seiner aktiven und passiven Funktionen möglichst realistisch abbilden zu können.
Es sind umfassende deterministische Analysen, d. h. Analysen mit festgelegten Rand- und Anfangsbedingungen, durchzuführen, die vom auslösenden Ereignis bis zur Freisetzung reichen. Dabei sind integrale Rechenprogramme zu verwenden, in denen thermohydraulische, physikalische und strukturmechanische Modelle miteinander gekoppelt sind. Zusätzlich sind erforderlichenfalls Detailanalysen zu wesentlichen Phänomenen und Vorgängen durchzuführen, um die Ergebnisse der integralen Rechenprogramme zu ergänzen und abzusichern.
Die in den deterministischen Unfallablaufanalysen ermittelten physikalischen Parameter und Charakteristika von Anlagenzuständen und Anlagenverhalten in den einzelnen Unfallphasen fließen in die Ereignisbaumanalyse ein.
Anhang B4 enthält beispielhaft auslösende Ereignisse für deterministische Unfallabläufe bei DWR und SWR.
4.2.4 Ereignisbaumanalyse
Die probabilistische Ereignisbaumanalyse behandelt die Ereignisse vom Beginn der Kernzerstörung bis zu den Anlagenschadenszuständen, bei denen die Freisetzung von Radionukliden in die Anlagenumgebung im Wesentlichen abgeschlossen ist. Dabei werden die aufgrund der phänomenologischen Komplexität möglichen Variationen im Unfallablauf erfasst. Die Ereignisbaumanalyse ist dabei so zu strukturieren (zu verzweigen), dass die einzelnen Unfallphasen in Verbindung mit den unfallbestimmenden Phänomenen (z.B. Dampfexplosion, Strukturversagen, Wasserstoffverbrennung im Sicherheitsbehälter) und den Notfall-Systemfunktionen, wie z.B. den Funktionen zur Kühlung des teil-zerstörten Kerns, sowie den Funktionen zur Verhinderung großer Freisetzungen abgebildet werden. Die Ermittlung der benötigten Verzweigungswahrscheinlichkeiten ist durch ergänzende Berechnungen und Abschätzungen vorzunehmen und nachvollziehbar zu dokumentieren. Hierbei können auch Modelle und Ergebnisse aus vergleichbaren Analysen verwendet werden, sofern die Übertragbarkeit überprüft und bewertet wird.
4.2.5 Unsicherheits- und Sensitivitätsanalysen
Sofern Eingabedaten für die Ereignisbaumanalyse unsicher sind, sind sie nicht als Punktwert, sondern als entsprechende Verteilung einzugeben. Die übliche Technik zur Berücksichtigung der unsicheren Eingabedaten sind Monte-Carlo-Simulationen. Damit sind folgende Analysen durchzuführen:
In einer Unsicherheitsanalyse ist zu ermitteln, mit welcher Bandbreite die Resultate der Ereignisbaumanalyse (also z.B. die Häufigkeit für Sicherheitsbehälter-Versagen oder für Freisetzungskategorien) versehen sind. Zur Kennzeichnung der Ergebnisunsicherheiten sind für die Kategorien von Anlagenschadenszuständen und den Freisetzungskategorien neben den Erwartungswerten die 5 %-, 50 %- und 95 %-Fraktile anzugeben.
In einer Sensitivitätsanalyse ist festzustellen, welche der unsicheren Eingabedaten (z.B. Phänomene, Zustände) besonders großen Einfluss auf die Bandbreite der Resultate haben.
4.2.6 Durchführung der Auswertung und Ermittlung der Ergebnisse der Stufe 2 - Analysen
Es sind die Häufigkeiten der Anlagenschadenszustände mit den zugehörigen Freisetzungen sowie ihre Unsicherheiten zu ermitteln. Die im Ereignisbaum auftretenden Abläufe sind in zweckmäßiger Weise zu kategorisieren (z.B. nach Kernzustand, Zustand Sicherheitseinschluss, unfallbestimmende Einzelphänomene) und jeweils mit dem auslösenden Ereignis anzugeben. Insbesondere sind die möglichen Freisetzungen zweckmäßig in Kategorien einzuteilen (Freisetzungskategorien) und ihre jeweilige Häufigkeit zu bestimmen.
Der Einfluss der berücksichtigten mitigativen Notfall-Systemfunktionen auf die Häufigkeiten von Anlagenschadenszuständen ist quantitativ zu ermitteln und auszuweisen.
5 Dokumentation
Die Dokumentation der Erstellung und Durchführung der Analysen, der Maßnahmen zur Qualitätssicherung und der Ergebnisse ist nachvollziehbar zu gestalten. Insbesondere müssen Voraussetzungen, Annahmen, Zwischenschritte, Erhebung und Verwendung von Expertenurteilen, Schlussfolgerungen der Analysen und ggf. nach-vollziehbare Begründungen für die Übertragbarkeit aus Referenzanalysen ersichtlich werden.
Die Dokumentation umfasst:
Für die PSA der Stufe 1 sind auszuweisen:
Für die PSA der Stufe 2 soll die Darstellung insbesondere umfassen:
Es ist ein zusammenfassender Bericht zur PSA zu erstellen, der die Annahmen, Begründungen, Modelle, Daten sowie die Ergebnisse und Folgerungen umfasst.
6 Rechenprogramme
Die Analysen der Stufe 1 (für Leistungs- und Nichtleistungsbetrieb) und für die Stufe 2 sind mit Programmen und Analysetools durchzuführen, deren Qualifizierung nachgewiesen ist.
Insbesondere gilt dies für die quantitative Auswertung von Ereignisablaufdiagrammen und Fehlerbäumen sowie für die Unsicherheits-, Importanz- und Sensitivitätsanalysen.
7 Qualitätssicherung
Bei der Durchführung und Auswertung der PSA soll vom Ersteller ein Qualitätssicherungssystem angewendet werden, welches die "Allgemeinen Forderungen an die Qualitätssicherung" der geltenden KTA-Regel 1401 erfüllt oder dieser Regel äquivalent ist. Die qualitätssichernden Maßnahmen und Arbeitsschritte sowie die diesbezüglich erreichten Ergebnisse sind nachvollziehbar und prüffähig zu dokumentieren.
8 Anhänge
| Begriffserläuterungen für verwendete Begriffe Anlagenspezifische Zuverlässigkeitskenngröße | Anhang A |
Zuverlässigkeitskenngrößen sind Größen, die zur Quantifizierung der Zuverlässigkeit von Komponenten oder Systemen herangezogen werden (Ausfallraten, Ausfallwahrscheinlichkeiten). Anlagenspezifische Zuverlässigkeitskenngrößen sind Kenngrößen, die auf Daten und Informationen aus der Anlage basieren.
Ausgewogenheit
Die sicherheitstechnische Auslegung ist in Verbindung mit dem Betriebsreglement als ausgewogen anzusehen, wenn einzelne auslösende Ereignisse, Komponentenausfälle oder Personalhandlungen das jeweilige Ergebnis nicht übermäßig dominieren.
Auslösendes Ereignis
Für den Leistungsbetrieb werden Störungen und Schäden an Komponenten und Anlagenteilen, die eine Anforderung von Sicherheitssystemen auslösen, als "auslösende Ereignisse" bezeichnet. Im Nichtleistungsbetrieb werden solche Ereignisse als "auslösend" bezeichnet, bei denen die Systemfunktionen zur Brennelementkühlung nicht im erforderlichen Umfang verfügbar bzw. bei denen die Systemfunktionen zur Reaktivitätskontrolle nicht ausreichend wirksam sind.
Leistungsbetrieb (LB)
LB, im Sinne der für diesen PSA-Bereich zu berücksichtigenden Betriebszustände für auslösende Ereignisse, umfasst alle Betriebszustände im stationären Leistungsbetrieb.
I.A. wird der Leistungsbetrieb bei Nennleistung mit einer - je nach Analyseziel für PSA der Stufe 1 und Stufe 2 - zyklusrepräsentativen Kernbeladung angesetzt.
Nichtleistungsbetrieb (NLB)
NLB umfasst alle Betriebsphasen beim Abfahren aus dem stationären Leistungsbetrieb (Nennleistung oder Teilleistung), BE-Wechsel und Wiederanfahren in einen stationären Leistungsbetrieb.
Notfall-Systemfunktion
Als Notfall-Systemfunktionen (präventive, mitigative) werden diejenigen in einer Ereignisbaumanalyse eingebundenen Funktionen bezeichnet, die entsprechend dem jeweils vorliegenden Anlagenzustand gemäß Notfallhandbuch (einschließlich schutzzielorientierten Teil des BHB) zur Überführung in einen sicheren (d. h. Kern unterkritisch und langfristig ausreichend gekühlt) Anlagenzustand vorgesehen sind und ergriffen werden können. Hierzu können neben technischen Auslegungsreserven zusätzliche Einrichtungen und Personalhandlungen sowie Reparaturmaßnahmen zur Wiederherstellung ausgefallener Systeme und Komponenten gehören. Präventive N.-S. werden während eines Ereignisablaufs zur Vermeidung eines Kernschadenszustandes (s. o.) einbezogen, mitigative N.-S. werden nach Eintritt eines Kernschadenszustandes zur Verminderung der Folgen einbezogen.
Freisetzungskategorien
Die Freisetzungskategorien sind mit den Häufigkeiten ihres Eintretens ein wesentliches Ergebnis der PSA der Stufe 2. Die Freisetzungskategorien fassen Abläufe aus den Unfallanalysen mit ähnlichen Radionuklidzusammensetzungen unter Berücksichtigung weiterer Charakteristika der Freisetzung (z.B. Nuklideigenschaften, wie insbesondere Radiotoxizität und Flüchtigkeit, Zeit des Ereignisses nach dem Beginn des Unfalls, Dauer, Höhe, Energieinhalt) zusammen.
Erwartungswert
Der Erwartungswert einer Zufallsgröße ist die Summe (Integral) über alle Werte, welche diese Zufallsgröße annehmen kann, gewichtet mit der jeweiligen Wahrscheinlichkeit.
Freisetzung, früh
Als "früh" bezeichnet man eine Freisetzung, wenn wegen des raschen Ereignisablaufes schadenseindämmende Maßnahmen des
Katastrophenschutzes erst nach der Freisetzung und daher mit verminderter Wirkung zum Einsatz kommen können.
Eine Freisetzung innerhalb von wenigen Stunden nach Eintreten des auslösenden Ereignisses wird in der Regel als "früh" anzusehen sein.
Hinweis: Das Merkmal "früh" ist anlagen- und standortspezifisch zu konkretisieren. International werden beispielsweise 10 Stunden als Konkretisierung diskutiert.
Freisetzung, große
Eine Freisetzung wird dann als "groß" bezeichnet, wenn sie Wirkungen in der Umgebung der Anlage zur Folge haben kann, die einschneidende Maßnahmen des Katastrophenschutzes erfordern.
Hinweis: Das Merkmal "groß" ist anlagen- und standortspezifisch zu konkretisieren. International werden beispielsweise 10' Bq für I und Cs diskutiert.
Gefährdungszustand
Anlagenzustand, bei dem die Kühlung der Brennelemente, nicht mehr von dafür auslegungsgemäß vorgesehenen Systemen beherrscht wird. Ohne weitere Maßnahmen tritt ein Kernschadenszustand ein. Ein Gefährdungszustand kann u.U. mittels anlagen-interner Notfallmaßnahmen in einen sicheren Zustand (unter-kritisch, langfristige Kernkühlung) überführt und der Eintritt eines Kernschadenszustands verhindert werden.
Kernschadenszustand
Anlagenzustand, der eintritt, wenn ein auslösendes Ereignis von den auslegungsgemäß vorgesehenen Systemen und von präventiven Notfallmaßnahmen nicht beherrscht wird und Kernmaterial (i.d.R. Steuerstabmaterial) im Reaktor oder im Brennelement-Lagerbecken zu schmelzen beginnt.
Ohne weitere Maßnahmen kann ein Anlagenschadenszustand eintreten.
Anlagenschadenszustand
Endzustand einer Anlage nach einem Kernschmelzablauf, zu einem Zeitpunkt, ab dem keine wesentlichen weiteren Freisetzungen radioaktiver Stoffe in die Umgebung mehr geschehen.
Sicherheitseinschluss
Der Sicherheitseinschluss ist das System aus Sicherheitsbehälter und umgebendem Gebäude sowie den Hilfssystemen zur Rückhaltung und Filterung etwaiger Leckagen aus dem Sicherheitsbehälter.
Sicherheitssystem
Das Sicherheitssystem ist die Gesamtheit aller Einrichtungen einer Reaktoranlage, die die Aufgabe haben, die Anlage vor unzulässigen Beanspruchungen zu schützen und bei auftretenden Störfällen deren Auswirkungen auf das Betriebspersonal, die Anlage und die Umgebung in vorgegebenen Grenzen zu halten.
PSA Stufe 1
Bei einer Analyse der Stufe 1 werden Ereignisabläufe ermittelt und quantifiziert, die zur Gefährdung der Brennelementkühlung führen können; Analyseergebnisse sind Eintrittshäufigkeiten der auslösenden Ereignisse solcher Ereignisabläufe sowie die Häufigkeiten von Gefährdungs- bzw. Kernschadenszuständen.
PSA Stufe 2
Bei einer Analyse der Stufe 2 werden, ausgehend von den Kernschadenszuständen, die möglichen weiteren Ereignisabläufe mit Kernschmelzen bis zur Freisetzung radioaktiver Stoffe in die Anlagenumgebung analysiert. Ergebnisse sind Art und Zeitbereiche des Barriereversagens sowie die Häufigkeiten von Anlagenschadenszuständen in Verbindung mit dem jeweiligen Ort und der Menge freigesetzter radioaktiver Stoffe.
PSA Stufe 3
Stufe 3 umfasst zusätzlich eine Untersuchung des Transports von radioaktiven Stoffen in der Umgebung der Anlage sowie die daraus folgenden Schäden und ihre zu erwartenden Eintrittshäufigkeiten.
| Referenzspektren auslösender Ereignisse | Anhang B |
| Referenzspektrum auslösender Ereignisse für einen Druckwasserreaktor im Leistungsbetrieb | Anhang B 1 |
| Lecks in einer Hauptkühlmittelleitung | Leckquerschnitt (cm2) | |
| 1 | großes und mittleres Leck | > 200 |
| 2 | kleines Leck 1 | 80 - 200 |
| 3 | kleines Leck 2 | 50 - 80 |
| 4 | kleines Leck 3 | 25 - 50 |
| 5 | kleines Leck 4 | 12 - 25 |
| 6 | kleines Leck 5 | 2 - 12 |
| Lecks am Druckhalter | Leckquerschnitt (cm2) | |
| kleines Leck am Druckhalter durch Transienten: | ||
| 7 | bei Ausfall Hauptspeisewasser | 20 |
| 8 | bei Ausfall Hauptwärmesenke | 20 |
| 9 | bei anderen Transienten | 20 |
| 10 | kleines Leck am Druckhalter bei Fehlöffnen eines Sicherheitsventils | 40 |
| Leck in einer Anschlussleitung im Ringraum | Leckquerschnitt (cm2) | |
| 11 | Leck | 2 - 500 |
| Dampferzeuger-Heizrohrlecks | Leckquerschnitt (cm2) | |
| 12 | kleines Leck 1 | 6 - 12 |
| 13 | kleines Leck 2 | 1 - 6 |
| Betriebstransienten | ||
| 14 | Notstromfall | |
| 15 | Ausfall Hauptspeisewasser ohne Ausfall Hauptwärmesenke (langfristig) | |
| 16 | Ausfall Hauptspeisewasser und Ausfall Hauptwärmesenke | |
| 17 | Ausfall Hauptwärmesenke ohne Ausfall Hauptspeisewasser | |
| 18 | Dampferzeuger-Überspeisung | |
| Transienten durch Frischdampf-Leitungslecks | ||
| großes Leck: | ||
| 19 | innerhalb des SHB (Sicherheitsbehälters) | |
| 20 | außerhalb des SHB | |
| mittleres Leck: | ||
| 21 | innerhalb des SHB | |
| 22 | außerhalb des SHB | |
| Transienten durch Speisewasser-Leitungslecks | ||
| großes Leck: | ||
| 23 | innerhalb des SHB | |
| 24 | außerhalb des SHB | |
| mittleres Leck: | ||
| 25 | innerhalb des SHB | |
| 26 | außerhalb des SHB | |
| Betriebstransienten mit Ausfall der Reaktorschnellabschaltung (ATWS) | ||
| 27 | ATWS bei Ausfall Hauptspeisewasser | |
| 28 | ATWS beim Notstromfall | |
| 29 | ATWS bei Ausfall Hauptwärmesenke und Hauptspeisewasser | |
| 30 | ATWS bei sonstigen Transienten | |
| Anlagenübergreifende Ereignisse | ||
| Interne | ||
| 31 | Überflutung sicherheitstechnisch wichtiger Gebäudeteile auf Grund anlageninterner Ursachen | |
| 32 | Brand | |
| Externe | ||
| 33 | Flugzeugabsturz | |
| 34 | Explosionsdruckwelle | |
| 35 | Hochwasser | |
| 36 | Erdbeben | |
| Referenzspektrum auslösender Ereignisse für einen Siedewasserreaktor im Leistungsbetrieb | Anhang B 2 |
| Leckstörfälle innerhalb SHB | |
| 1 | Frischdampfleitungslecks unterschiedlicher Größe |
| 2 | Speisewasserlecks unterschiedlicher Größe |
| 3 | Leck im RDB-Boden |
| 4 | Lecks im Reaktorwasserreinigungssystem |
| Leckstörfälle außerhalb SHB | |
| 5 | Frischdampfleitungslecks unterschiedlicher Größe |
| 6 | Hilfsdampfleitungslecks unterschiedlicher Größe |
| 7 | Speisewasserleitungslecks unterschiedlicher Größe |
| 8 | Lecks im Reaktorwasserreinigungssystem |
| Sonstige Lecks | |
| 9 | Lecks unterschiedlicher Größe an der Kondensationskammer (z.B. Bruch |
| 10 | einer Anschlussleitung außerhalb SHB)
Leck in einer Nebenkühlwasserleitung |
| 11 | Bruch einer flusswasserführenden Leitung im Maschinenhaus |
| Transienten | |
| 12 | Ausfall der Hauptwärmesenke |
| 13 | Ausfall des Speisewassersystems |
| 14 | Notstromfall |
| 15 | Betriebstransienten mit Ausfall der Reaktorschnellabschaltung (ATWS) |
| 16 | Fehlöffnen oder Offenbleiben eines S+E-Ventils |
| 17 | Fehlöffnen von Turbinen- und Umleitstellventilen |
| 18 | Überspeisungs-Transiente |
| Anlagenübergreifende Ereignisse | |
| Interne | |
| 19 | Überflutung sicherheitstechnisch wichtiger Gebäudeteile auf Grund anlageninterner Ursachen |
| 20 | Brand |
| Externe | |
| 21 | Flugzeugabsturz |
| 22 | Explosionsdruckwelle |
| 23 | Hochwasser |
| 24 | Erdbeben |
| Beispiel für eine Liste der Betriebsphasen für den Druck- und Siedewasserreaktor im Nichtleistungsbetrieb | Anhang B 3 |
Betriebsphasen:
| Beispiel für das Spektrum auslösender Ereignisse für deterministische Unfallabläufe für Druck- und Siedewasserreaktoren im Leistungsbetrieb für PSA der Stufe 2 | Anhang B 4 |
Anlagen mit DWR:
Anlagen mit SWR:
1) Erläuterungen zum Umfang der Stufen siehe Anhang A
2) Es besteht Einvernehmen zwischen den atomrechtlichen Aufsichtsbehörden und den Betreibern der Kernkraftwerke in Deutschland, dass im Zusammenhang mit der Stufe 1 der PSA auch eine Stufe 2 der PSA durchgeführt wird.
3) Begriffserläuterung im Anhang A
4) Begriffserläuterungen im Anhang A
5) Begriffserläuterung im Anhang A
6) Begriffserläuterungen im Anhang A
7) Begriffserläuterungen im Anhang A
8) Begriffserläuterungen im Anhang A
9) Begriffserläuterungen im Anhang A
10) Begriffserläuterung im Anhang A
11) Begriffserläuterung im Anhang A
12) Begriffserläuterungen im Anhang A
13) Definition der Irnportanzmaße siehe Methodenband, Anhang C
 | ENDE | |