You are here

PSA: Risikoanalysen in der Kerntechnik

Printer-friendly version

Für die Prüfung und Bewertung der Sicherheit von Kernkraftwerken (KKW) werden verschiedene Methoden genutzt. In erster Linie folgen solche Prüfungen einem sogenannten „deterministischen“ Ansatz. Diese Methode zeichnet aus, dass das Verhalten der Anlage oder einzelner Komponenten für ein Ereignis untersucht wird, das durch konkrete Annahmen festgelegt ist.

So wird beispielsweise ermittelt, ob die Sicherheitssysteme eines KKW entsprechend seiner Auslegung die Beherrschung eines Lecks im Kühlkreislauf mit einer bestimmten Größe gewährleisten. Daneben kommen auch Risikoanalysen zum Einsatz. Diese weisen zwei wesentliche Unterschiede zu deterministischen Prüfung auf: Zum einen berücksichtigen sie nicht nur einzelne Stör- oder Unfallabläufe, zum anderen bieten sie als Ergebnis eine Aussage über die Häufigkeit, mit der in einem definierten Zeitraum bestimmte Schadenszustände erreicht werden.
Erstmalig wurden Methoden für Risikoanalysen in den 1960er-Jahren für die Luft- und Raumfahrt entwickelt. Die erste Risikoanalyse im Bereich der Kerntechnik wurde 1975 in den USA veröffentlicht (WASH-1400, nach dem Leiter der Studie auch als „Rasmussen Report“ bekannt). Im Auftrag des Bundesforschungsministeriums hat die GRS Ende der 1970er-Jahre in der „Deutschen Risikostudie (Phase A)“  die erste Risikoanalyse für ein deutsches Referenz-KKW (Biblis B) erarbeitet und damit diese Methode in Deutschland eingeführt. Seitdem befasst sich die GRS mit der Durchführung von Risikoanalysen und der Weiterentwicklung ihrer Methoden.
In größerem Umfang werden Risikoanalysen für deutsche KKW seit den 1990er-Jahren durchgeführt. Seit 2002 besteht die rechtliche Verpflichtung, solche Analysen im Rahmen der Periodischen Sicherheitsüberprüfungen für alle KKW vorzulegen.

Seit vielen Jahren werden Risikoanalysen in der Fachsprache als „Probabilistische Sicherheitsanalysen“ – kurz: PSA – bezeichnet. Entsprechend ihrer Prüfreichweite werden PSA in drei Stufen unterteilt.

Stufe 1 – vom auslösenden Ereignis zum Kernschaden
Mit einer PSA der Stufe 1 wird für ein KKW die jährliche Eintrittshäufigkeit eines sogenannten Kernschadens ermittelt. Bei einem Kernschaden erreichen die Brennelemente infolge unzureichender Kühlung eine Temperatur, bei der von einer Beschädigung der Brennstabhüllrohre ausgegangen werden muss. Die Methode zur Berechnung der Kernschadenshäufigkeit nutzt das induktive Verfahren der Ereignisbaum-Analyse. Dieses Verfahren setzt voraus,  dass das zu untersuchende KKW in der Analyse genau nachgebildet wird. Jede PSA ist damit spezifisch für eine bestimmte Anlage. In PSA der Stufe 1 wird – vereinfachend dargestellt – wie folgt vorgegangen:

Zunächst sind alle Szenarien zu finden und zu analysieren, die zu einem Kernschaden führen können. Da die Anzahl aller denkbaren Szenarien sehr groß ist, werden solche mit einem vergleichbaren Ablauf – beispielsweise solche, in denen es an bestimmten Leitungssystemen zu Lecks kommt oder sogenannte Notstromfälle – in Gruppen eingeordnet. Aus jeder Gruppe wird dann für die weitere Analyse das Szenarium ausgewählt, das die größten Herausforderungen an die Sicherheitssysteme stellt und deshalb stellvertretend für die übrigen Szenarien der Gruppe betrachtet wird.

Am Anfang der weiteren Analysen für ein Szenarium steht damit immer ein bestimmmtes Ausgangsereignis.

Beispiel:Beispiel: Ausschnitt aus Ereignis- und Fehlerbaum einer PSA
Das betrachtete KKW erzeugt nach dem Herunterfahren keinen Strom, beispielsweise wegen Arbeiten an den Generatoren. In diesem Zustand wird die Nachkühlung des Reaktorkerns mit  Strom aus dem Landesnetz betrieben. Es kommt zu einem Stromausfall. Entsprechend der vorbeschriebenen Methode wird unterstellt, dass dieser mindestens zwei Stunden andauert; so werden alle kürzer andauernden Stromausfälle mit abgedeckt (länger andauernde werden gesondert berechnet). 

Das Ausgangsereignis bildet die Wurzel des Ereignisbaums. Alleine kann es in der Regel noch nicht zu einem Kernschaden führen. Grund hierfür ist, dass nach dem sogenannten gestaffelten Sicherheitskonzept für KKW zur Kompensation des Ausfalls einer sicherheitsrelevanten Funktion weitere, meist mehrfach redundant vorhandene Sicherheitssysteme bereit stehen.

Beispiel:
Um bei einem Stromausfall die Stromversorgung aufrecht zu erhalten, verfügt das betrachtete KKW über mehrere Notstromdiesel, von denen bereits einer die benötigte Leistung liefern können.

Daraus folgt, dass das Ausgangsereignis nur dann zu einem Kernschaden führen kann, wenn auch die zur Beherrschung des Ausgangsereignisses vorgesehenen Sicherheitssysteme oder Notfallmaßnahmen gleichzeitig oder nacheinander ausfallen.

Beispiel:
Während des Anlagenstillstands wird ein Diesel gewartet, von den anderen starten zwei nicht automatisch und der Rest versagt nach kurzer Betriebszeit aus verschiedenen Gründen. Damit liefern nur noch die Batterien Strom und die Nachkühlsysteme können nicht weiter arbeiten.

 Ein solcher Ausfall einer Systemfunktion (im Beispiel also der Ausfall der Stromversorgung über Notstromdiesel) wird als weiteres Ereignis betrachtet, das dann eine eine Verzweigung im Ereignisbaum bildet. In PSA werden dabei sowohl die technischen Abläufe in der Anlage als auch menschliche Handlungen berücksichtigt.

 Die Blätter des Ereignisbaums sind schließlich erreicht, wenn das Ausgangsereignis beherrscht wird oder ein Kernschaden unabwendbar ist.

Beispiel:          
Durch Notfallmaßnahmen gelingt es, den Kernschaden zu verhindern bis der Stromausfall im Landesnetz vorbei ist oder es gelingt, einen der beiden Notstromdiesel, die nicht gestartet sind, rechtzeitig von Hand in Betrieb zu nehmen. („Ereignis beherrscht“)

 Der Ausfall der Notstromversorgung kann nicht rechtzeitig behoben oder kompensiert werden. Durch die fehlende Nachkühlung heizt sich der Reaktorkern nach mehreren Stunden so weit auf, dass es zu Schäden an den Hüllrohren der Brennstäbe kommt. („Kernschaden“)  

 Jedes der Blätter mit Kernschaden trägt mit seiner Häufigkeit zur Kernschadenshäufigkeit für das jeweilige Szenarium bei. Zur Berechnung ist es erforderlich, die Eintrittshäufigkeit für das Ausgangsereignis und die Wahrscheinlichkeiten für alle Verzweigungen des Ereignisbaums zu kennen. Die Grundlage hierfür bilden etwa Fehlerstatistiken für den Ausfall technischer Komponenten, die auf der Grundlage realer Ereignisse beim Betrieb von KKW erhoben werden. Diese gehen auch in die Ausfallwahrscheinlichkeit der Sicherheitssysteme ein, die die Verzweigungen im Ereignisbaum bilden. Hierfür werden dann weitere Modelle gebildet, aus denen die Ausfallkombinationen der Sicherheitssysteme bestimmt werden können.

 Die Summe der Kernschadenshäufigkeiten aller betrachteten Szenarien ergibt schließlich die Gesamthäufigkeit, mit der es – unter den getroffenen Annahmen und im Rahmen der methodischen Begrenzungen einer PSA – in dem untersuchten KKW in einem Jahr zu einem Kernschaden kommen kann. Im Jahr 2001 hat die GRS eine Studie zu neueren deutschen Druckwasserreaktoren veröffentlicht. Für die betrachteten Szenarien (solche für das Brennelementelagerbecken wurden nicht betrachtet) wurde für ein Referenzkernkraftwerk eine mittlere Kernschadenshäufigkeit von etwa 1:200.000 pro Jahr ermittelt.
Als Teil der Periodischen Sicherheitsüberprüfung sind PSA der Stufe 1 in Deutschland sowohl für alle Betriebszustände, d.h. auch für den sogenannten Nichtleistungsbetrieb während einer Revision,  vorzulegen.

Stufen 2 und 3 – vom Kernschaden zur Strahlendosis
Ein Kernschadenszustand kann zu sehr unterschiedlichen Freisetzungen von Radioaktivität führen – es sind auch Kernschäden mit geringen Freisetzungen möglich –, so dass daraus unterschiedliche Gefährdungen von Mensch und Umwelt resultieren. Um diese zu ermitteln, werden in PSA der Stufe 2 die Häufigkeiten der Szenarien berechnet, die von einem beginnenden Kernschaden über eine Kernschmelze mit Versagen des Sicherheitsbehälters bis zu Freisetzungen von Radioaktivität führen. Zur Bestimmung der Häufigkeit der dabei ablaufenden Ereignisse und Vorgänge muss man sich weitgehend auf die rechnerische Simulation komplexer physikalisch-chemischer Vorgänge und auf Expertenurteile stützen. Solche Szenarien sind bisher – glücklicherweise! -  selten vorgekommen und unmittelbar übertragbare Experimente sind kaum verfügbar. Da auch während einer fortschreitenden Kernzerstörung immer noch vorgeplante Notfallmaßnahmen wirksam werden können, die eine Kernschmelze stoppen oder deren Auswirkungen begrenzen können, werden auch diese Maßnahmen – analog zur Stufe 1 – berücksichtigt und analysiert. PSA der Stufe 2 sind im Rahmen der periodischen Sicherheitsüberprüfung in Deutschland für den Leistungsbetrieb zu erstellen.

 In PSA der Stufe 3 werden in einem weiteren Schritt unterschiedliche Szenarien für die Ausbreitungen freigesetzter radioaktiver Stoffe in die Umwelt berechnet. Erst damit können dann Häufigkeit, Ausmaß und Ausbreitung einer signifikanten radioaktiven Belastung der Umgebung berechnet werden. Unter Berücksichtigung von Strahlenschutzmaßnahmen wie Evakuierungen oder Verzehrverboten kann schließlich auch die unfallbedingte Strahlenbelastung der Bevölkerung in Form konkreter Dosiswerte ermittelt werden. Auch auf dieser Stufe der PSA müssen die dafür benötigten Daten in weitem Umfang durch Simulationsprogramme hergeleitet werden. PSA der Stufe 3 liegen international bislang nur vereinzelt vor. In Deutschland sind sie rechtlich nicht gefordert. Nach der Deutschen Risikostudie Phase A im Jahr 1979 wurde in Deutschland keine durchgehende PSA von der Stufe 1 bis zur Stufe 3  mehr erstellt.

Welche Ereignisse fließen in die Analyse ein?
Ursprünglich wurden in PSA der Stufe 1 vor allem anlageninterne Ausgangsereignisse berücksichtigt, d. h. technische Defekte wie ein Ausfall der Stromversorgung. In neueren Risikoanalysen werden zunehmend Risikobeiträge aus anderen Gefährdungen wie Erdbeben oder Überflutungen berücksichtigt. Solche übergreifenden Einwirkungen auf den Betrieb eines Kernkraftwerks sind dadurch gekennzeichnet, dass sie wie in Fukushima zu einem gleichzeitigen Ausfall mehrerer Sicherheitssysteme führen können. So wurde für ein ausländisches Kernkraftwerk ermittelt, dass starke Erdbeben dort den im Vergleich zu den übrigen untersuchten Szenarien größten Risikobeitrag für einen Kernschaden liefern. Welche externen Gefährdungen in welcher Intensität auftreten können, hängt maßgeblich vom Standort eines KKW ab. Auch insoweit sind die Ergebnisse einer PSA anlagenspezifisch, weil eben standortspezifisch.
Die Methodik der PSA bedingt, dass Ereignisse, deren Eintrittswahrscheinlichkeiten nicht quantifizierbar sind, nicht als Szenarien berücksichtigt werden können. Dies betrifft aus heutiger Sicht vor allem Gefährdungen, die bewusst oder gar vorsätzlich herbeigeführt werden. Beispiele für solche Ereignisse sind etwa terroristische Angriffe oder Kriege. Deshalb wird mit solchen Analysen nicht der Anspruch verfolgt, das „reale Risiko“, also die Gesamtheit aller denkbaren Szenarien, zu ermitteln. Diese methodische Einschränkung ist bei der Beurteilung der Aussagekraft der PSA zu berücksichtigen.

Wie werden Unsicherheiten berücksichtigt?
Ergebnisse statistischer Untersuchungen sind immer mit Unsicherheiten behaftet. Ein Teil der Unsicherheit liegt in der zufälligen Natur von Ereignissen, die eintreten können oder nicht – hier spricht man von stochastischen Unsicherheiten. Noch wichtiger ist jedoch der Beitrag zur Unsicherheit, der aus der unvollständigen Kenntnis über die untersuchten Vorgänge resultiert. Dieser hängt beispielsweise von der Größe einer untersuchten Stichprobe ab oder wird durch fehlende Daten über das Durchschmelzen einer Kernschmelze durch den Reaktordruckbehälter bedingt. 
Beide Unsicherheitsquellen sind auch bei einer PSA gegeben und müssen deshalb in deren Ergebnissen berücksichtigt werden. Dies geschieht bereits auf der Ebene der einzelnen Verzweigungen des Ereignisbaums. Dabei wird für die Wahrscheinlichkeit jeder einzelnen Verzweigung die entsprechende Unsicherheit berechnet. Ausgehend von der Wurzel über die Verzweigungen kann so für jedes der Blätter des Ereignisbaums – und damit schließlich auch für die Gesamthäufigkeit – die Ergebnisunsicherheit in Form einer Häufigkeitsverteilung errechnet werden. Für die hier zitierte GRS-Studie aus 2001 wurde beispielsweise festgestellt, dass für das untersuchte KKW die jährliche Kernschadenshäufigkeit mit einer Sicherheit von 90% zwischen 1:1 Million und 1:100000 liegt.

Welchen Nutzen haben die Ergebnisse?
Da in einer PSA der Stufe 1 wegen der beschriebenen methodischen Beschränkungen nicht alle in der Realität möglichen Schadensszenarien berücksichtigt werden können, ist die mit ihr ermittelte Kernschadenshäufigkeit eines KKW nicht als ein absolutes Maß für das Risiko bzw. die Sicherheit zu deuten. Sie bietet aber dennoch ein Indiz für das Sicherheitsniveau der Anlage.

Aus dem Umstand, dass sich eine PSA immer auf ein spezifisches KKW (und dessen konkreten Zustand zum Zeitpunkt der Analyse) bezieht, folgt auch, dass aus einem einzelnen Ergebnis nicht auf das allgemeine Unfallrisiko geschlossen werden kann, das von der Gesamtheit aller betriebenen KKW ausgeht. Anders ausgedrückt: Aus der Kernschadenshäufigkeit eines KKW lässt sich nicht eine allgemeine Häufigkeit „hochrechnen“. Eine genaue probabilistische Aussage über dieses allgemeine Risiko wäre nur möglich, wenn alle KKW innerhalb eines bestimmten zeitlichen Rahmens nach vergleichbaren methodischen Vorgaben einer PSA unterzogen würden.

Ein wesentlicher Nutzen der PSA liegt darin, dass sie durch eine ganzheitliche Betrachtung Aussagen dazu erlaubt, von welchen Szenarien der größte Beitrag zu dem Risiko eines schweren Stör- oder Unfalls der betreffenden Anlage ausgeht. Diese Schwachstellen sind mit herkömmlichen Prüf- und Bewertungsmethoden teilweise nur schwer erkennbar. Damit können PSA-Ergebnisse beispielsweise dabei helfen, die Nachrüstmaßnahmen zu identifizieren, die das Gesamtrisiko am effektivsten vermindern. So gehen beispielsweise nachträgliche Verbesserungen der Notstromversorgung auf solche Analysen zurück. Auch die Entwicklung von Notfallmaßnahmen und die Prüfung ihrer Effektivität wurden durch den Einsatz von PSA erleichtert. PSA-Ergebnisse können dazu beitragen, technische Prüfungen zu optimieren, etwa indem Prüfintervalle für Komponenten mit höheren Risikobeiträgen verkürzt werden. Schließlich können wiederholte PSA dazu beitragen, die Auswirkungen von Veränderungen – z. B. bei einer Leistungserhöhung oder eben durch sicherheitsgerichtete Nachrüstungen – auf die Sicherheit der Anlage zu prüfen und so potenziell risikoerhöhende Änderungen zu erkennen. Damit bietet die PSA eine wertvolle Ergänzung bei der Beurteilung der Sicherheit in Aufsichts- und Genehmigungsverfahren.

Dieser Beitrag diente als Grundlage für einen Gastbeitrag von Michael Türschmann und Andreas Wielenberg (beide GRS), der am 27. April 2011 in der Frankfurter Allgemeinen Zeitung veröffentlicht wurde („Was ist denn eigentlich ein Restrisiko?“)