Gestaffelte Sicherheitsvorsorge: Beherrschung von Abweichungen (4/13)

Im Normalbetrieb wird durch Regelsysteme sichergestellt, dass alle Betriebsparameter im zulässigen Betriebsband liegen. Falls Störungen in der Anlage auftreten, sollen diese möglichst durch ein selbstregulierendes Anlageverhalten oder durch automatische Regeleingriffe aufgefangen werden.

ENSIDurch eine geeignete Auslegung des Reaktorkerns wird ein inhärent sicheres Anlageverhalten angestrebt, das heisst bei einer Störung kommt ein negativer Rückkoppelungsmechanismus zum Tragen. Bei Leichtwasserreaktoren ist beispielsweise bei Volllastbedingungen sichergestellt, dass bei einer ungewollten Leistungsexkursion automatisch (ohne Eingriffe von aussen) durch den negativen Temperatur‑ und Dampfblasenkoeffizienten die Leistungsexkursion von selbst begrenzt wird. Eine beschleunigte, unkontrollierte Leistungsexkursion, wie sie sich beispielsweise beim Unfall in der Anlage Tschernobyl ereignete, kann damit nicht eintreten.

 

Regelsysteme

Regelsysteme wirken einerseits auf der Sicherheitsebene 1, indem sie Regelgrössen im Sollbereich halten. Bis zu einer gewissen Störungsintensität sind Regelsysteme überdies in der Lage, eine Regelgrösse in den Sollbereich zurückzuführen, womit sie auch auf der Sicherheitsebene 2 wirken.

Falls die Regelsysteme eine Messgrösse nicht mehr in den Sollbereich zurückführen können, greifen Begrenzungssysteme ein, damit sich eine Messgrösse nach Möglichkeit nicht so stark vom Sollbereich entfernt, dass der Eingriff eines Sicherheitssystems erforderlich ist.

 

Überwachungs- und Begrenzungssysteme

Allen wichtigen Messgrössen sind Überwachungs- und Begrenzungssysteme zugeordnet. Diese Systeme werden der Sicherheitsebene 2 zugeordnet und bilden – zusammen mit den auch zur Sicherheitsebene 1 gehörenden Regelsystemen – die erste Auffangebene bei Störungen.

Überwachungs- und Begrenzungssysteme lösen normalerweise zuerst Alarme aus, die den Operateur auf das Problem aufmerksam machen, damit er die für solche Fälle vorbereiteten Massnahmen einleitet. Greifen diese Massnahmen nicht, leiten Begrenzungs- oder Schutzsysteme automatische Schutzmassnahmen ein. Zur Begrenzung der Reaktorleistung bei Störungen greifen je nach Anlage beispielsweise folgende Überwachungs- und Begrenzungsfunktionen ein:

Beispiel 1

Beim Anfahren der Anlage wird der Reaktoroperateur ab einem bestimmten Neutronenfluss daran gehindert, die Reaktorleistung weiter zu erhöhen. Dies erfolgt durch das automatische Sperren des Ausfahrens der Steuerelemente.

Beispiel 2

Bei einem Ungleichgewicht zwischen Reaktorleistung und über den Dampf abgeführter Leistung wird bei einem Siedewasserreaktor die Leistung durch eine Reduktion des Durchflusses in den Reaktorumwälzschleifen und das Einschiessen eines Teils der Steuerstäbe reduziert.

Komponentenschutz

Ebenfalls zur Sicherheitsebene 2 gehören Schutzsysteme, die Komponenten vor Beschädigung schützen. Beispielsweise kann eine Pumpe wegen zu hoher Drehzahl oder zu hoher Dichtungstemperatur automatisch abgeschaltet werden. Hier spricht man vom sogenannten Komponentenschutz.

Je nach eingesetzter Technik werden diese Regelungs-, Überwachungs- und Begrenzungssysteme sowie die Komponentenschutzsysteme durch Rechner gesteuert. Diese sind redundant aufgebaut. Das heisst, es sind zwei unabhängige Rechner vorhanden, von denen jeder die Aufgabe voll übernehmen kann.

 

Mindestens drei Messsignale

Damit ein Begrenzungssystem eingreifen kann, muss es über Messwerte der zu begrenzenden Grössen verfügen. Deshalb spricht man auch von einem Überwachungs- und Begrenzungssystem. In der Praxis werden meist mehrere Messwerte desselben physikalischen Parameters erfasst, z. B. wird ein Druck oder eine Temperatur mehrfach gemessen und in einer Auslöselogik werden diese Messwerte zusammengeführt und verknüpft. Mit diesem Vorgehen will man verhindern, dass ein einzelner fehlerhafter Messwert bereits eine Anforderung auslösen kann. Dies ist aber nur dann zulässig, wenn das Auslösesignal aus mindestens drei Messsignalen gebildet wird. Ansonsten muss beim Ansprechen eines Messsignals die sicherheitsgerichtete Massnahme ausgelöst werden.

Kann die Störung durch das Begrenzungssystem nicht beherrscht werden, kommen als nächste Auffangebene die Sicherheitssysteme zum Eingriff. Diese werden durch das Reaktorschutzsystem ausgelöst, das eine Vielzahl sicherheitsrelevanter Grössen überwacht.

Zur Beherrschung von Abweichungen sind neben den technischen Ausrüstungen auch geeignete Vorschriften und Arbeitsunterlagen erforderlich, welche das Personal beim Auftreten von Abweichungen unterstützen.

Die 5 Ebenen der gestaffelten Sicherheitsvorsorge

Vermeidung von Abweichungen vom Normalbetrieb

Mittel:
  • konservative Auslegung und hohe Fertigungsqualität der Betriebssysteme
  • gute Betriebsführung

Beherrschung von Abweichungen vom Normalbetrieb

Mittel:
  • Begrenzungs- und Schutzsysteme
  • Mess- und Alarmsysteme zur Entdeckung von Fehlern

Beherrschung von Auslegungsstörfällen

Mittel:
  • qualifizierte Sicherheitssysteme mit ihren Mess-, Alarm- und Auslöseeinrichtungen

Beherrschung oder Linderung der Auswirkungen auslegungsüberschreitender Störfälle

Mittel:
  • präventives Accident Management
  • mitigatives Accident Management

Linderung der Auswirkungen von Freisetzungen radioaktiver Stoffe

Mittel:
  • Massnahmen zur Minimierung der Strahlendosis der Bevölkerung

 

Dies ist der vierte von 13 Teilen zur gestaffelten Sicherheitsvorsorge. Der nächste Teil behandelt die Beherrschung von Auslegungsstörfällen.