KKB: Fehler in der Auslegung der Notstromversorgung vom 13. September 2017

Betroffenes Werk / Titel

KKW Beznau: Auslegungsfehler in der Notstromversorgung

Datum

13. September 2017

Sachverhalt

Im Rahmen des Projekts AUTANOVE waren in beiden Blöcken des KKB autarke Notstromversorgungen nachgerüstet worden, die auf das Sicherheitserdbeben SSE ausgelegt sind. Bei einer Analyse des Systemverhaltens erkannte das KKB einen meldepflichtigen Auslegungsfehler. Demnach hätten Signale aus Teilen der Anlage, die nicht für die Beherrschung des SSE notwendig sind, bei einem solchen Erdbeben dazu geführt, dass der dabei benötigte Notstromdiesel abgeschaltet worden wäre.

Dieser Notstromdiesel versorgt die Notstromschiene, die für die Beherrschung des SSE vorgesehen ist. Damit lag eine Abweichung vom Prinzip der Autarkie vor, welches für die autonome Notstromversorgung bei einem SSE von zentraler Bedeutung ist. Die direkte Ursache war eine Software, die für die autarke Notstromversorgung ungeeignet ist. Diese Software verwendete für den Notstromdiesel das Prinzip „ausgeschaltet ist sicher“. Dies stand im Widerspruch zu den Anforderungen an die autarke Notstromversorgung, für die beim SSE „eingeschaltet ist sicher“ gilt.

Die vorgelagerte Ursache lag in der Kommunikation mit dem Auftragnehmer für die Realisierung des Projekts AUTANOVE. Die Autarkie der Notstromversorgung war in der Ausschreibungsspezifikation nicht klar genug formuliert worden. Bei der Prüfung der Unterlagen des Auftragnehmers, die auf der Basis der Ausschreibungsspezifikation erstellt wurden, wurde die Abweichung vom Prinzip der Autarkie nicht erkannt. Mit der Anpassung der Software wurde der Auslegungsfehler in beiden Blöcken behoben. Im Block 2 erfolgte die Korrektur noch vor dem Wiederanfahren der Anlage.

Einstufung (nach Richtlinie ENSI-B03)

INES: unterhalb der Skala

Massnahmen des Betreibers

Das KKB hat die Software angepasst und so den Auslegungsfehler behoben. Im KKB 2 erfolgte die Korrektur vor dem Wiederanfahren der Anlage nach dem Revisionsstillstand.

Massnahmen des ENSI

Beurteilung und Freigabe der korrektiven Softwareänderung.

Beurteilung durch das ENSI

Sicherheitstechnisch war der Fehler primär für den Block 2 während des Leistungsbetriebs 2016/2017 von Bedeutung. Die Situation entsprach im Wesentlichen derjenigen vor AUTANOVE, als das Wasserkraftwerk, das nicht auf das SSE ausgelegt ist, Teil der Notstromversorgung war. Im Falle eines SSE wäre die Wärmeabfuhr aus dem Reaktor durch das gebunkerte Notstandsystem permanent gewährleistet gewesen. Da sich im Block 1 während des betrachteten Zeitraums keine Brennelemente im Reaktorkern befanden, hätte zusätzlich die gesamte elektrische Leistung des Notstanddiesels des KKB 1 für den Block 2 zur Verfügung gestanden.

Kriterien für die Aufschaltung auf der ENSI-Website

Vorkommnis, das mit einer Wahrscheinlichkeit von mehr als 1 zu 100 Millionen zu einem Kernschaden führt

Das ENSI informiert die Öffentlichkeit in seinem jährlichen Aufsichtsbericht über sämtliche meldepflichtigen Vorkommnisse im Bereich der nuklearen Sicherheit. Über Vorkommnisse, die eines der folgenden Kriterien erfüllen, informiert das ENSI auf der Website laufend:

  • INES-Stufe 1 oder höher
  • Auslösung von Sicherheitssystemen
  • Vorkommnis, das mit einer Wahrscheinlichkeit von mehr als 1 zu 100 Millionen zu einem Kernschaden führt
  • Inkorporation radioaktiver Stoffe mit einer Folgedosis von mehr als 1 mSv

Aktualisiert: 6. Februar 2018