Technisches Forum Kernkraftwerke

Frage 44: KKB Stromversorgung im Erdbebenfall

KKB Stromversorgung im Erdbebenfall

Das Original-PDF bietet eine übersichtliche Darstellung der Hintergrundinformationen und der Fragen.

2.1 Begrifflichkeiten: Definitionen

In der nachfolgenden Darstellung und Fragestellung werden zentral die nachfolgenden Begriffe verwendet, sie seien zum allgemeineren Verständnis gemäss ENSI Glossar und dessen Quellenangaben definiert (ENSI-Glossar, Stand vom 13. Januar 2020, Im Regelwerk zur nuklearen Sicherheit verwendete Begriffe. Bei Mehrfachdefinition wurde die für diese Diskussion geeignetste Definition gewählt. Die Definition von «Einzelfehler» wurde durch das vollständige Zitat gemäss Glossar-Quellenangabe ersetzt):

Fehler: Als Fehler gelten Abweichungen von einem Soll-Zustand oder von einem Soll-Ablauf. (ENSI-B03)
Einzelfehler: Sicherheitsfunktionen müssen auch bei Eintreten eines beliebigen vom auslösenden Ereignis unabhängigen Einzelfehlers wirksam bleiben, und zwar auch dann, wenn eine Komponente wegen Instandhaltung nicht verfügbar ist; als Einzelfehler gilt das zufällige Versagen einer Komponente, das zum Verlust ihrer Fähigkeit führt, die vorgesehene Sicherheitsfunktion zu erfüllen; Folgefehler aus diesem zufälligen Versagen werden als Teil des Einzelfehlers betrachtet. (Art. 10 Abs. 1 Bst. a KEV)
Common Cause Failure (CCF) / systematischer Ausfall: Versagen von zwei oder mehr Strukturen, Systemen oder Komponenten aufgrund eines einzelnen Ereignisses oder einer einzigen Ursache. (IAEA NS-G-1.3)
Diversität:
- Anwendung physikalisch oder technisch verschiedenartiger Prinzipien (Art. 10 Abs. 1 Bst. b KEV)
- Das Vorhandensein von zwei oder mehreren unterschiedlichen Verfahren oder Mitteln, um ein bestimmtes Ziel zu erreichen: Diversität ist besonders geeignet als Schutzmassnahme gegen Common-Cause-Fehler. Sie kann erreicht werden, indem physikalisch unterschiedliche Systeme eingesetzt werden, oder durch funktionale Diversität, bei der gleichartige Systeme ein bestimmtes Ziel über unterschiedliche Verfahren erreichen. (IEC 61226)
Redundanz: das Vorsehen von alternativen (identischen oder diversitären) Elementen oder Teilsystemen, sodass jedes die geforderte Funktion unabhängig vom Zustand der anderen ausführen kann (IAEA NS-G-1.3, HSK-R-46)
Auslegungsüberschreitender Störfall: Störfall, welcher in Bezug auf das auslösende Ereignis oder die Art und Anzahl zusätzlicher Fehler den Rahmen der Auslegung durchbricht: Dabei kann nicht ausgeschlossen werden, dass radioaktive Stoffe in gefährdendem Umfang freigesetzt werden. (SR 732.112.2)

2.2 Begrifflichkeiten: Diskussion

Sicherheitsfunktionen sind typischerweise Teil eines sogenannten «Strangs» und darin in gegenseitiger Abhängigkeit verkettet. Eine Kette ist bekannterweise nur so stark wie ihr schwächstes Glied. Es nützt beispielsweise nichts, wenn trotz Störfallbedingungen Gebäude intakt bleiben, Kühlwasser gefasst werden kann, die Pumpe funktionsbereit bleibt, die Leittechnik korrekt reagiert, Ventile geöffnet und geschlossen werden konnten und der korrekte Befehl zum Pumpen ansteht, aber schliesslich der Strom für die Pumpe fehlt. Aus dieser Erkenntnis heraus gibt es Auflagen hinsichtlich der anzunehmenden Zuverlässigkeit der einzelnen Elemente oder Teilsysteme.

Das Einzelfehlerprinzip ist zunächst eine Auflage in diesem Sinne, welche das Sicherheitsniveau verbessern soll. Weil für jedes (aktive) Element oder Teilsystem, welches der Erfüllung von Sicherheitsfunktionen dient, einzeln der Ausfall durch Einzelfehler postuliert werden muss, zwingt das Einzelfehlerprinzip zur Bildung von Redundanz.

Das Einzelfehlerprinzip ist aber auch eine Begrenzung des erforderlichen Sicherheitsniveaus. Wie der Name bereits sagt, muss jeweils nur ein einzelner Fehler angenommen werden. Mehrfache Fehler werden im Rahmen der Auslegung nicht mehr betrachtet, sie sind sicherheitstechnisch nicht abgedeckt.

Einzelfehler werden bei der Analyse von Auslegungsstörfallen d.h. im Rahmen der Auslegung angewendet, wo im Sinne der Vorsorge alle Vorkehren zu treffen sind, die nach der Erfahrung und dem Stand von Wissenschaft und Technik notwendig sind (2 Art. 4 Abs. 3 Bst. a KEG https://www.fedlex.admin.ch/eli/cc/2004/723/de#art_4
Zitat: Botschaft KEG, SR01.022, Seite 2759).

Nach Buchstabe a müssen Vorkehren, die für den Schutz von Mensch und Umwelt notwendig sind, in jedem Fall und unabhängig von finanziellen Überlegungen getroffen werden. Das Ausmass dieser Vorkehren bestimmt sich nach der Erfahrung und dem Stand von Wissenschaft und Technik. Dabei ist eine Massnahme auch dann zu treffen, wenn sie nur nach dem einen der angeführten Kriterien (Erfahrung bzw. Stand von Wissenschaft und Technik) notwendig ist.

Dies in klarer Abgrenzung zu Vorkehren, die nur noch zu treffen sind, soweit sie angemessen sind (Art. 4 Abs. 3 Bst. b KEG).

Ein Störfall, bei welchem die Art und Anzahl zusätzlicher Fehler den Rahmen der Auslegung durchbricht, wird als auslegungsüberschreitender Störfall bezeichnet. Dabei kann nicht ausgeschlossen werden, dass radioaktive Stoffe in gefährdendem Umfang freigesetzt werden.

Systematischen Ausfälle bzw. Common Cause Failure sind nicht durch das Einzelfehlerprinzip abgedeckt. Es handelt sich naturgemäss um eine Art und Anzahl zusätzlicher Fehler, welche den Rahmen der Auslegung durchbrechen. Man muss folglich mit äusserster Gewissheit ausschliessen können, dass latente oder spontane Common Cause Failure bei Sicherheitsfunktionen in einem AKW in Erscheinung treten können. Kann diese äusserste Gewissheit nicht aufrechterhalten werden, sind die Auslegungskriterien als solche bzw. das im Rahmen der Auslegung erreichte Sicherheitsniveau ernsthaft in Frage zu stellen.

Werden solche Common Cause Failure Befunde bei einem AKW bzw. einer essenziellen Sicherheitsfunktion konkret festgestellt, muss dies entsprechend ernsthafte Fragen aufwerfen.

2.3 KKB Stromversorgung im Erdbebenfall – Vorgeschichte

Am 21. August 2007 kam es im AKW Beznau (KKB) zum Vorkommnis «KKB 1: Nichtverfügbarkeit vom 21.08.2007 des Notstand-Dieselgenerators».

Im Rahmen der Jahresrevision im Block 2 des Kernkraftwerks Beznau wurde die externe 50-kV-An-speisung beider Blöcke für Wartungsarbeiten um 04:40 Uhr abgeschaltet. Um die von dieser Anspeisung versorgte Notstromschiene des im Leistungsbetrieb stehenden Blocks 1 weiterhin mit Spannung zu versorgen, wurde vorschriftsgemäss der Notstand-Dieselgenerator des Blocks 1 in Betrieb genommen und mit geringer Last betrieben. Nach dem Wiederzuschalten der 50-kV-Anspeisung wurde der Notstand-Dieselgenerator aus betrieblichen Gründen mit einer grösseren Last betrieben, worauf er um 17:24 Uhr wegen eines defekten Differenzialschutz-Relais ausfiel.

Gemäss Detailbeschrieb wird die Nichtverfügbarkeit zwischen dem 24. Juli 2007 und dem 21. August 2007 vermutet, eine komplette Nichtverfügbar beider Notstromdiesel war zwischen 14. August 2007 und 21. August 2007 gegeben (HSK: KKW Beznau 1: Nichtverfügbarkeit des Notstand-Dieselgenerators, 14.1.2008; ENSI: Sicherheitstechnische Stellungnahme zur Periodischen Sicherheitsüberprüfung 2012 des Kernkraftwerks Beznau, Seite 72; https://ensi.admin.ch/de/dokumente/sicherheitstechnische-stellungnahme-zur-periodischen-sicherheitsueberpruefung-2012-des-kernkraftwerks-beznau/).

INES 1: Am 21. August 2007 kam es zu einem Ausfall des Notstanddiesels im Block 1. […] Die Nichtverfügbarkeit des Diesels hatte (unter Berücksichtigung der latenten Nichtverfügbarkeit) eine inkrementelle bedingte Kernschadenswahrscheinlichkeit (Incremental Conditional Core Damage Probability, ICCDP) von 4,59·10 -06 gemäss dem zum Zeitpunkt des Vorkommnis gültigen PSA-Modell BERA2005 zur Folge. Eine Nachrechnung mit dem aktuellen Modell BERA2009 ergab eine ICCDP von 7,6·10 -6. Die relativ hohe ICCDP, welche gemäss den Kriterien der Richtlinie ENSI-A06 zur Einstufung INES 1 führte, ergibt sich aus der einsträngigen Ausführung der Notstandsausrüstungen, der gemeinsamen Anbindung beide Blöcke an das 50-kV-Netz sowie den hohen Beiträgen von Erdbeben und Brand zur gesamten Kernschadenshäufigkeit (Core Damage Frequency, CDF). Letzteres bedeutet eine stärkere Erhöhung der CDF bei einem Ausfall von (erdbebensicheren) Notstandsausrüstungen als bei einem Ausfall von Sicherheitssystemen ausserhalb des Notstandsbereichs.

Dieses Vorkommnis wurde auf der Stufe 1 («Anomalie») der internationalen Ereignisskala INES eingeordnet (Anhang 6, Abschnitt B, 2. KEV, «Einstufung auf der internationalen Ereignisskala INES der IAEA»
https://www.admin.ch/opc/de/classified-compilation/20042217/index.html#app6ahref5).

Forderungen des ENSI auf Grund des Vorkommnisses führten zur Nachrüstung der «Autarken Notstromversorgung» AUTANOVE:

Das Eidgenössische Nuklearsicherheitsinspektorat ENSI hat nach einem INES-1-Vorkommnis im August 2007 eine Verbesserung der Notstromversorgung im Kernkraftwerk Beznau gefordert. Diese wird derzeit im Rahmen des Projekts „Autarke Notstromversorgung“ (AUTANOVE) realisiert.

Nach dem Vorkommnis vom 21. August 2007 hat das ENSI vom Kernkraftwerk Beznau gefordert, die Auslegung der Notstromversorgung umfassend zu überprüfen und ein Konzept zu deren Verbesserung vorzulegen. Das Vorkommnis trug einen signifikanten Anteil – im Bereich von 20 Prozent – zur totalen Kernschadenswahrscheinlichkeit im Jahr 2007 bei. Es wurde der Stufe 1 der internationalen Ereignisskala INES zugeordnet. Grund für die Einstufung war, dass die Sicherheitsvorsorge für den Fall eines Sicherheitserdbebens deutlich geschwächt war.

Im Dezember 2015 wurde AUTANOVE in Betrieb genommen:

Grossprojekte abgeschlossen
Neben dem jährlichen Brennelementwechsel sowie diversen Instandhaltungsarbeiten hat die Kraftwerksbetreiberin bei der Jahresrevision insbesondere auch den Deckel des Reaktordruckbehälters ausgetauscht und das System AUTANOVE für die Notstromversorgung angeschlossen.

Am 13. September 2017 wurde bei AUTANOVE ein Fehler in der Auslegung entdeckt:

Im Rahmen des Projekts AUTANOVE waren in beiden Blöcken des KKB autarke Notstromversorgungen nachgerüstet worden, die auf das Sicherheitserdbeben SSE ausgelegt sind. Bei einer Analyse des Systemverhaltens erkannte das KKB einen meldepflichtigen Auslegungsfehler. Demnach hätten Signale aus Teilen der Anlage, die nicht für die Beherrschung des SSE notwendig sind, bei einem solchen Erdbeben dazu geführt, dass der dabei benötigte Notstromdiesel abgeschaltet worden wäre.
[…] Die direkte Ursache war eine Software, die für die autarke Notstromversorgung ungeeignet ist. Diese Software verwendete für den Notstromdiesel das Prinzip „ausgeschaltet ist sicher“. Dies stand im Widerspruch zu den Anforderungen an die autarke Notstromversorgung, für die beim SSE „eingeschaltet ist sicher“ gilt.

Das Vorkommnis wurde unterhalb der INES Skala eingestuft. Die Stromversorgung sei mit dem Notstanddiesel gewährleistet gewesen:

[…] Die Situation entsprach im Wesentlichen derjenigen vor AUTANOVE, als das Wasserkraftwerk, das nicht auf das SSE ausgelegt ist, Teil der Notstromversorgung war. Im Falle eines SSE wäre die Wärmeabfuhr aus dem Reaktor durch das gebunkerte Notstandsystem permanent gewährleistet gewesen. Da sich im Block 1 während des betrachteten Zeitraums keine Brennelemente im Reaktorkern befanden, hätte zusätzlich die gesamte elektrische Leistung des Notstanddiesels des KKB 1 für den Block 2 zur Verfügung gestanden.

Am 9. Dezember 2020 wurden beide Blöcke des Kernkraftwerks Beznau aufgrund eines weiteren meldepflichtigen Vorkommnisses abgeschaltet:

Beide Blöcke des Kernkraftwerks Beznau wurden am Mittwochmorgen kontrolliert abgeschaltet. Sie bleiben vom Netz, bis die Arbeiten an zwei Notstandsdieseln fertiggestellt sind.

Grund für das Abfahren des KKW Beznau 1 und 2 am Mittwochvormittag sind Montageabweichungen bei Schwingungsdämpfern von zwei Notstandsdieseln.

Das ENSI wurde über diesen sicherheitsgerichteten Entscheid vorschriftsgemäss informiert und wird das meldepflichtige Vorkommnis analysieren.

Die KKB Betreiberin Axpo verwies darauf, dass die Sicherheit auch im Falle eines schweren Erdbebens gewährleistet gewesen wäre:

Auch bei einem Ausfall der betroffenen beiden Diesel bei einem schwersten Erdbeben wäre die Sicherheit des KKB aufgrund der verbleibenenden [sic] Notstromdiesel gewährleistet geblieben.

2.4 Medienberichte

Erst in den Medien wurden weitere Details bekannt. Die Aargauer Zeitung schrieb (Aargauer Zeitung,10. Dezember 2020, Phillipp Zimmermann: «Wie kam es zur Montage-Panne im AKW Beznau? – Die 8 wichtigsten Antworten zum Thema» (Ausschnitte), https://www.aargauerzeitung.ch/aargau/zurzach/wie-kam-es-zur-montage-panne-im-akw-beznau-die-8-wichtigsten-antworten-zum-thema-140187936):

Im Kernkraftwerk Beznau (KKB) sind Montage-Fehler bei zwei der sechs Notstromdiesel festgestellt worden. Konkret fehlen bei Schwingungsdämpfern jeweils vier sogenannte Schockabsorber. Sie wurden gar nicht montiert, wie Axpo-Sprecher Antonio Sommavilla der AZ sagt.

Die Schwingungsdämpfer haben einen Durchmesser von 25 cm und eine Höhe von zirka 20 cm. Die Schockabsorber sind darin eingebaut und haben eine Länge von 24 cm sowie einen Durchmesser von 13 cm. Die beiden Notstromdiesel befinden sich im Maschinenhaus [sic] des KKB und stammen aus den frühen 90er-Jahren. (Die Notstandsdiesel befinden sich nicht im Maschinenhaus, sondern im gebunkerten Notstandsystem (NANO, in Betrieb seit 1992/1993).

Die Schockabsorber würden bei einem Erdbeben dafür sorgen, dass die Notstromdiesel trotz Schwingungen unter Kontrolle bleiben. Bei einem schweren Erdbeben wird das Kernkraftwerk sofort heruntergefahren.

[…]

Seit wann fehlen die Teile?

Das ist zurzeit unklar. Ebenso, wer genau die vermeintliche Montage kontrolliert hat. Die interne Untersuchung des Kernkraftwerks Beznau ist im Gang. Die Notstromdiesel werden gemäss den Vorgaben des Herstellers periodisch gewartet. Die letzte Totalüberholung mit dem Ausbau der Aggregate fand in den Jahren 2009 beziehungsweise 2010 statt. … Das Ensi kann jederzeit Inspektionen durchführen.

Später berichteten TagesAnzeiger/Der Bund (Der Bund, 19. Februar 2021, Seite 31
https://www.derbund.ch/montagefehler-blieb-30-jahre-unentdeckt-355169344994):

Wie sich jetzt herausstellt, handelt es sich um ein lange zurückliegendes Versäumnis: Die zwei Notstrom-Dieselaggregate wurden in den Jahren 1992 und 1993 nachgerüstet. Dabei wurden die sogenannten Schockabsorber nicht eingebaut, wie die Axpo auf Anfrage erklärt. Diese Bauteile federn bei einem Erdbeben die starken Schwingungen ab, sodass die Notstrom-Aggregate unter Kontrolle bleiben. Dieser Montagefehler blieb also fast dreissig Jahre unentdeckt.

2.5 Einordnung aus Sicht der Fragesteller: Technisch

Zur auslegungsgemässen Störfallbewältigung weist das ENSI in allen Stellungnahmen seit 1994 nur noch den Strang des Notstandsystems (von den fehlenden Schockabsorber betroffen) als erdbebenqualifiziert aus (Exemplarisch, HSK 15/130, 1994, Seite 3-23 «Im Falle KKB ist nur der NANO-Strang vollständig auf Erdbeben qualifiziert. Mit diesem Strang allein können aber auslegungsgemäss die Konsequenzen eines Erdbebens beherrscht werden.»). KKB dokumentiert einen Notstands-Strombedarf von 2’243 bzw. 2’195 kW pro Block (Feed-and Bleed bzw. Dampferzeuger-Kühlung). Die Dieselgruppe weist eine Typenleistung von 2’640 kW aus, der Generator 5’000 kVA (HSK 15/130, 1994, Seite 6-195). Bei einem Erdbeben sind beide Blöcke betroffen, folglich sind Zahlen zu verdoppeln. Zum weiteren Vergleich: die neuen AUTANOVE Diesel liefern 4 × 3’750 kW.

Nach Fukushima wurde 2011 für sogenanntes Severe Accident Management (SAM) das Lager Reitnau eingerichtet, von wo per Helikopter (u.a.) Notstromaggregate hergebracht werden können. Im KKB sollen für den einen Block ein 500 kVA Aggregat und für den zweiten Block ein 167 kVA Aggregat zum Einsatz kommen. Drei Helikopterflüge sind allein für die Aggregate notwendig, weitere braucht es für Treibstoff. Der Anschluss soll mit losen Kabeln erfolgen. Noch in der ENSI Stellungnahme 2013 gab es grundlegende offene Fragen (10KEX.APFUKU8 / ENSI-AN-8149, Seite 10. Angesichts der langen Bereitstellungsdauer, der sehr geringen Leistung der Aggregate, den noch 2013 offenen Fragen ist für die Fragesteller nicht nachvollziehbar, wie damit im Erdbebenfall auch nur eine rudimentäre Notstromversorgung der beiden KKB Blöcke hätte hergestellt werden können.

2012/2013 wurden dann vor Ort zwei SAM-Dieselaggregate (je 890 kW) (Sicherheitstechnische Stellungnahme zur Periodischen Sicherheitsüberprüfung 2012 des Kernkraftwerks Beznau, Seite 29) inkl. vorbereitete Anschlüsse aufgebaut (Davide Kurmann et al, 2015, 23rd Conference on Structural Mechanics in Reactor Technology, Paper ID 441
https://repository.lib.ncsu.edu/bitstream/handle/1840.20/34141/SMiRT-23_Paper_441.pdf?sequence=1&isAllowed=y). Auch diese können nur einen Bruchteil der auslegungsmässig benötigten elektrischen Leistung bereitstellen, ein Betrieb der Notstands-Stränge ist damit nicht möglich.

Seit der Inbetriebnahme des KKB 1969 bis zur Behebung des im September 2017 festgestellten Auslegungsfehlers von AUTANOVE musste folglich bei einem starken Erdbeben mit einem TSBO (Total Station Blackout) gerechnet werden. Die Nachrüstung und Inbetriebnahme des NANO (1992) sowie des daran angeschlossen Notspeisewassersystems (1999/2000) hat daran (immer nur auf den Erdbebenfall bezogen) praktisch nichts geändert. Ein schwerer Unfall (Severe Accident) hätte nicht ausgeschlossen werden können. Erst ab 2012/2013 hätte man dessen Verlauf und Auswirkungen allenfalls mittels SAM mildern können.

Vom AKW Beznau ging folglich 40 Jahre lang (~80% der gut 50-jährigen Betriebszeit) ein enorm erhöhtes Risiko aus. Für das Risiko von Kernschmelzen durch Erdbeben wurde mit Einführung von NANO (mit theoretisch vorhandenen Schockabsorbern) eine Reduktion um Faktor 34 dokumentiert (Roland Naegelin, Direktor der HSK (heute ENSI) 1980 bis 1995 in “Geschichte der Sicherheitsaufsicht über die schweizerischen Kernanlagen 1960 – 2003″; Tabelle 6.5-3: Kernschadenshäufigkeiten CDF für das KKW Beznau, S. 321), dies bei einer Erdbebengefährdung, die gemäss heutigen Gefährdungsannahmen ca. vier Mal häufiger überschritten wird (ENSI: Hybrid Model Hazard Figures, May 2016, Fig. 2-2.9, Gefährdungsannahme 0.21g (1977), abgelesen von Mean.
https://ensi.admin.ch/de/dokumente/ensi-hybrid-model-hazard-figures/). Es muss also davon ausgegangen werden, dass die Reduktion um Faktor 34 nun umgekehrt in ähnlicher Grösse als Erhöhungsfaktor für die erdbebenbedingte Kernschadenshäufigkeit wirkt und über all die Jahre kumuliert werden muss. Die erdbebenbedingte Kernschadenshäufigkeit beträgt gemäss aktuellen Angaben 83 % der gesamten Kernschadenshäufigkeit von KKB (Sicherheitstechnische Stellungnahme zur Periodischen Sicherheitsüberprüfung 2012 des Kernkraftwerks Beznau, Seite 303). Insgesamt muss von einer überdeutlichen Korrektur des realen vom AKW Beznau ausgegangen Risikos gerechnet werden.

2.6 Einordnung aus Sicht der Fragesteller: Analytisch

Die Befunde aus dem Vorkommnis vom 13. September 2017 (Softwarefehler „ausgeschaltet ist sicher“) müssen als Common Cause Failure eingeordnet werden. Alle vier AUTANOVE Notstromgeneratoren wären im Falle eines entsprechenden Erdbebens nicht zur Verfügung gestanden. Unabhängig vom auslösenden Ereignis wäre ein Vierfachfehler eingetreten.

Die Befunde aus dem Vorkommnis vom 9. Dezember 2020 (fehlende Schockabsorber) müssen ebenfalls als Common Cause Failure eingeordnet werden. Beide Notstromgeneratoren des gebunkerten Notstandsystems (NANO) wären im Falle eines entsprechenden Erdbebens nicht zur Verfügung gestanden. Unabhängig vom auslösenden Ereignis wäre ein Zweifachfehler eingetreten.

Bemerkenswert ist, dass beim Vorkommnis am 13. September 2017 auf die NANO Notstromgeneratoren verwiesen wurde.

Es «wäre die Wärmeabfuhr aus dem Reaktor durch das gebunkerte Notstandsystem permanent gewährleistet gewesen».

Rückblickend muss nun festgestellt werden, dass sich diese Zusicherung als falsch herausgestellt hat, zu diesem Zeitpunkt fehlten dort die Schockabsorber. Alle sechs Notstromgeneratoren wären im Falle eines entsprechenden Erdbebens nicht zur Verfügung gestanden. Unabhängig vom auslösenden Ereignis wäre ein Sechsfachfehler vorgelegen.

Die dreissig Jahre unentdeckte latente Common Cause Failure bei NANO und insbesondere noch deren Kombination und Überscheidung mit der bei Inbetriebnahme und zwei Jahren Betrieb unentdeckten latenten Common Cause Failure bei AUTANOVE werfen sehr ernsthafte und grundsätzliche Fragen zur nuklearen Vorsorge auf.

2.7 Wirksamkeit und Verbindlichkeit von Überprüfungen

Die Beznau Notstromdiesel Schockabsorber fehlten seit der Inbetriebnahme 1992 (FN 14). Ihr Fehlen wurde selbst in der Totalüberholung 2009 / 2010 mit Ausbau der Aggregate nicht bemerkt (FN 12). Auch im Rahmen der Untersuchungen und Einreichungen bzw. der ENSI Stellungnahme zum Langzeitbetrieb 2010 (ENSI: Sicherheitstechnische Stellungnahme zum Langzeitbetrieb des Kernkraftwerks Beznau Block 1 und Block 2, November 2010
https://ensi.admin.ch/de/wp-content/uploads/sites/2/2011/08/langzeitbetrieb_kkb.pdf) und im Rahmen des Alterungsüberwachungsprogramms scheinen die Schockabsorber keiner Kontrolle zu unterstehen.

Nach den Erkenntnissen aus der Nuklearkatastrophe von Fukushima 2011 (Siehe auch: ENSI « Zehn Jahre nach Fukushima (1/6): Das führte zur Katastrophe 2011 »,
https://ensi.admin.ch/de/2021/02/04/zehn-jahre-nach-fukushima-1-6-das-fuehrte-zur-katastrophe-2011/) mussten gezielt die Erdbeben- und Überflutungsstörfälle (bzw. die Kombination durch ausgelöste Dammbrüche etc.) überprüft werden. Als Sicherheitsfunktionen stand an erster Stelle die Notstromversorgung im Zentrum der Aufmerksamkeit. Exemplarisch die «technische Aufgabenstellung» gemäss EU Stress Test (ENSI: Verfügung: Neubewertung der Sicherheitsmargen des Kernkraftwerks Beznau Im Rahmen der EU-Stresstest
https://ensi.admin.ch/de/dokumente/verfuegung-4-an-beznau/):

Technical scope of the „stress tests“
…
a) lnitlating events
• Earthquake
• Flooding
b) Consequence of lass of safety functions from any initiating event conceivable at the plant site
• Loss of electrical power, including station black out (SBO)
• Loss of the ultimate heat sink (UHS)
• Combination of both

Die folgenden diesbezüglichen Überprüfungen wurden seither durchgeführt:

Massnahmen aufgrund der Ereignisse in Fukushima (ENSI Verfügung: Massnahmen aufgrund der Ereignisse in Fukushima, 18.März 2011,

Verfügung 1 an Beznau

Antwort Kernkraftwerk Beznau auf Verfügung 1, 31. März 2011) https://ensi.admin.ch/de/dokumente/antwort-kernkraftwerk-beznau-auf-verfuegung-1/ ENSI Verfügung: Stellungnahme zu Ihrem Bericht vom 31. März 2011
https://ensi.admin.ch/de/dokumente/verfuegung-3-an-beznau/
Überprüfung der Auslegung bezüglich Erdbeben und Überflutung (ENSI Verfügung: Vorgehensvorgaben zur Überprüfung der Auslegung bezüglich Erdbeben und Überflutung, 1. April 2011

Verfügung 2 an Beznau

Axpo: Deterministischer Nachweis der Beherrschung des 10 000-jährlichen Erdbebens
Stellungnahme des ENSI zum deterministischen Nachweis des KKB zur Beherrschung des 10‘000-jährlichen Erdbebens
Neubewertung der Sicherheitsmargen des Kernkraftwerks Beznau im Rahmen der EU-Stresstest (Verfügung: Neubewertung der Sicherheitsmargen des Kernkraftwerks Beznau Im Rahmen der EU-Stresstests

Verfügung 4 an Beznau

ENSI Verfügung: Stellungnahme zu Ihrem Bericht zum EU-Stresstest, 10.1.2012
https://ensi.admin.ch/de/dokumente/verfuegung-zum-eu-stresstest-an-das-kkw-beznau-vom-10-januar-2012/
Projekt ERSIM zur Erhöhung der Sicherheitsmargen (Zusammenfassung des ENSI zur Erhöhung der Sicherheitsmargen, 24. Juni 2016
https://ensi.admin.ch/de/dokumente/zusammenfassung-des-ensi-zur-erhoehung-der-sicherheitsmargen/)
Periodische Sicherheitsüberprüfung 2012 des Kernkraftwerks Beznau (ENSI: Sicherheitstechnische Stellungnahme zur Periodischen Sicherheitsüberprüfung 2012 des Kernkraftwerks Beznau, 22. Dezember 2016
https://ensi.admin.ch/de/dokumente/sicherheitstechnische-stellungnahme-zur-periodischen-sicherheitsueberpruefung-2012-des-kernkraftwerks-beznau/)
Eingereichte Unterlagen zum aktualisierten Fukushima-Erdbebennachweisen des KKB (Stellungnahme des ENSI zu den aktualisierten Fukushima-Erdbebennachweisen des KKB, 5. Februar 2021, Seite 35 «Walkdown Bericht Rizzo»
https://ensi.admin.ch/de/dokumente/stellungnahme-des-ensi-zu-den-aktualisierten-fukushima-erdbebennachweisen-des-kkb/)

Jedes Mal wurde die Erdbebensicherheit der Notstromsysteme von KKB untersucht und als gegeben ausgewiesen, ohne die fehlenden Schockabsorber festzustellen. Dies trotz des speziellen Augenmerks (nach Fukushima) auf Erdbeben und Notstromversorgung, trotz neuer Erdbeben-Gefährdungsannahmen und -Festigkeitsanalysen. Die Nachweise wurden vom ENSI nach eigenem Bekunden überprüft und akzeptiert (Bei der letzten Stellungnahme war inzwischen das Vorkommnis bekannt).

2.8 Übereinstimmung des realen Anlagenzustands mit den Auslegungsunterlagen

Bei beiden Fehlerursachen war die Übereinstimmung des realen Anlagenzustands mit den Auslegungsunterlagen nicht gegeben. Das theoretische Risikomodell, mit dem die Sicherheit geplant und analysiert wurde, rechnete mit dem Funktionieren der Dieselgeneratoren, während diese in Wahrheit im Anforderungsfall nicht zur Verfügung gestanden hätten.

Solche Fehler sollen in der Theorie durch umfassende und systematische Begehungen der Anlage (sogenannte «walkdowns») gefunden werden (ENSI Richtlinie ENSI-A05/d, Probabilistische Sicherheitsanalyse (PSA): Qualität und Umfang, Kapitel 4.6.2.1.2, insb. Bst. c.
https://ensi.admin.ch/de/dokumente/richtlinie-ensi-a05-deutsch/).

c. Eine umfassende und systematische Begehung der Anlage und der Umgebung entsprechend einer international akzeptierten Vorgehensweise ist durchzuführen, um
1. den Anlagenzustand zu erfassen und zu verifizieren,
2. die Übereinstimmung des realen Anlagenzustands mit den Auslegungsunterlagen zu überprüfen,
…

Im Rahmen des EU Stresstests wurden solche an verschiedenen Stellen gefordert, das ENSI hat diese jeweils bestätigt (ENSI: “EU Stress Test confirms safety of Swiss nuclear power plants”, EU Stress Test: Swiss National Report, 31.Dezember 2011, Seite 18
https://ensi.admin.ch/en/2012/01/10/eu-stress-test-confirms-safety-of-swiss-nuclear-power-plants/).

Tours of inspection of the plants by experienced seismic engineers (seismic walkdowns) are carried out in order to review seismic safety at all the nuclear power plants. These usually take place in conjunction with the PSR or as the basis for assessing the failure probabilities (fragilities) as part of the PSA. Special seismic walkdowns and additional reviews of the seismic safety of the plants were carried out after the events at Fukushima.

Allerdings wurde dann im KKB Fukushima Erdbebennachweis 2012 lediglich auf Walkdowns aus dem Jahr 2007 verwiesen (ENSI 14/1658, Seite 34). Es ist nicht ersichtlich, dass die Übereinstimmung des realen Anlagenzustands mit den Auslegungsunterlagen beim KKB nach Fukushima überhaupt überprüft wurde.

Im aktuellen KKB Erdbebennachweis wird ein Walkdown-Bericht aus dem Dezember 2018 belegt, welcher die fehlenden Schockabsorber aber ebenfalls nicht gefunden hat (entdeckt wurden sie erst im Dezember 2020) (Stellungnahme des ENSI zu den aktualisierten Fukushima-Erdbebennachweisen des KKB, 5. Februar 2021, Seite 35 «Walkdown Bericht Rizzo»
https://ensi.admin.ch/de/dokumente/stellungnahme-des-ensi-zu-den-aktualisierten-fukushima-erdbebennachweisen-des-kkb/).

Bis dahin haben die Überprüfungen hier komplett versagt. Es stellt sich die Frage, warum dem so ist und in welchem Ausmass andere latente Fehler in dieser und anderen Kernanlagen unentdeckt bleiben.

2.9 Periodische Sicherheitsüberprüfung

Im internationalen, völkerrechtlichen (Art. 14 Abs. ii) Übereinkommen über nukleare Sicherheit (https://www.fedlex.admin.ch/eli/cc/1997/2380_2380_2380/de#art_14) und nationalen (Art. 22 Abs. 2 Bst. f KEG
https://www.fedlex.admin.ch/eli/cc/2004/723/de#art_22) Regelwerk sind neben den anlassbezogenen auch periodische Sicherheitsüberprüfungen (PSÜ) vorgesehen. Während es in den anlassbezogenen Überprüfungen nachvollziehbar ist, nur die durch Befund oder Ereignis (Art. 33 Abs. 1 Bst. a, sowie f in Verbindung mit Art. 44 Abs. 1 KEV
https://www.fedlex.admin.ch/eli/cc/2005/68/de#a33
Siehe auch FN 53.), bzw. durch geänderte Gefährdungsannahmen (Art. 8 Abs. 6 KEV
https://www.fedlex.admin.ch/eli/cc/2005/68/de#a8
Umgesetzt insb. in Art. 13 Verordnung des UVEK über die Gefährdungsannahmen und die Bewertung des Schutzes gegen Störfälle in Kernanlagen
https://www.fedlex.admin.ch/eli/cc/2009/444/de#art_13) in Frage gestellten Analysen zu hinterfragen, sollte die periodische Sicherheitsüberprüfung eine umfassenden Wiedererwägung früherer Analysen bedeuten.

Art. 22 Allgemeine Pflichten des Bewilligungsinhabers
1 Der Bewilligungsinhaber ist für die Sicherheit der Anlage und des Betriebs verantwortlich.
2 Dazu muss er insbesondere:
…
e. für ein Kernkraftwerk periodisch eine umfassende Sicherheitsüberprüfung vornehmen;
…

Die PSÜ findet nur alle 10 Jahre statt, es ist gemäss Kernenergiegesetz eine «umfassende Sicherheitsüberprüfung» gefordert, eine klare Begrifflichkeit, welche die Vollständigkeit und den wiederholenden Charakter festlegt. Oder in den Worten des ENSI:

Ziel ist die ganzheitliche sicherheitstechnische Beurteilung des Kernkraftwerks durch den Betreiber.

Zur PSÜ gehört im Rahmen der dazugehörenden probabilistischen Sicherheits-Analyse PSA insbesondere auch die «umfassende und systematische Begehung der Anlage», um die «Übereinstimmung des realen Anlagenzustands mit den Auslegungsunterlagen zu überprüfen».

Aus der Stellungnahme des ENSI zur PSÜ 2012 kann dies aber nicht abgelesen werden. So basiert die PSA in der PSÜ (BERA2013) zwar auf der aktuellen Erdbebenanalyse von 2012(ENSI: Sicherheitstechnische Stellungnahme zur Periodischen Sicherheitsüberprüfung 2012 des Kernkraftwerks Beznau, Dezember 2016, Seite 302), aber diese dokumentiert nicht etwa eine aktualisierte, umfassende und systematische Anlagenbegehung, sondern (wie bereits erwähnt) eine Begehung aus dem Jahr 2007, nota bene von vor Fukushima. Auch diese Begehung scheint nur Teile der Anlage umfasst zu haben. Gewisse Angaben stammen aus den 1980er und 1990er Jahren.

Für die Ermittlung der Fragilities der Primär- und Sekundärleitungen wurde auf Auslegungsberechnungen im Rahmen des REQUA-Projektes zurückgegriffen. […]

Für die Bestimmung der Fragilities für das Steuerstabsantriebssystem wurde auf Berechnungen im Zusammenhang mit dem Langzeitbetrieb aus dem Jahre 1999 /118/ zurückgegriffen.

2.10 Lernen aus Fehlern – «Lessons learnt»

Das internationale, völkerrechtliche (Art 19 Abs. vi) und vii) Übereinkommen über nukleare Sicherheit
https://www.fedlex.admin.ch/eli/cc/1997/2380_2380_2380/de#art_19) und nationale (Art. 22 Abs. 2 Bst. h KEG
https://www.fedlex.admin.ch/eli/cc/2004/723/de#art_22) Regelwerk verpflichtet Betreiber von Kernanlagen, aus Ereignissen und Befunden in eigenen und anderen Anlagen zu lernen und Erfahrungen auszutauschen. Die Erfahrung ist neben dem Stand der Wissenschaft und Technik das zentrale Element der gesetzlichen Grundsätze für die Nutzung der Kernenergie. Es sei nochmals die Botschaft zum Kernenergiegesetz zitiert:

Es gibt brancheneigene Organisationen wie die WANO (World Association of Nuclear Operators), welche gemäss eigenem Bekunden eine gewisse Rolle spielen (WANO: Performance Analysis: Preventing events by learning from others
https://www.wano.info/services/performance-analysis). Darüber hinaus sind aber auch gesetzlich und völkerrechtlich verbindliche Verpflichtungen vorgesehen. Zu diesem Zweck gibt es Dokumentations- und Meldepflichten (Art. 11 KEG, Art. 22 Abs. 2 Bst. f KEG
https://www.fedlex.admin.ch/eli/cc/2004/723/de#art_11, Art. 38 KEV
https://www.fedlex.admin.ch/eli/cc/2005/68/de#art_38). Die Ereignisse oder Befunde werden zudem eingestuft gemäss der internationalen INES-Skala (Art. 5 Abs. 1 KEG
https://www.fedlex.admin.ch/eli/cc/2004/723/de#art_5
KEV Anhang 6, Kapitel 2. Einstufung auf der internationalen Ereignisskala INES der IAEA https://www.fedlex.admin.ch/eli/cc/2005/68/de#annex_6/lvl_d1582e144/lvl_B/lvl_2). Je nach Stufe ergibt sich eine gesetzliche Pflicht zur Überprüfung der Anlage durch die Betreiber (Art. 2 Verordnung des UVEK über die Gefährdungsannahmen und die Bewertung des Schutzes gegen Störfälle in Kernanlagen
https://www.fedlex.admin.ch/eli/cc/2008/269/de#art_2).

Es soll gewährleistet sein, dass beim Auftreten solcher Fehler möglichst weltweit alle Betreiber informiert werden und entsprechende oder analoge Probleme bei ihrem Anlagen überprüfen. Die im KKB festgestellten Fehler («ausgeschaltet ist sicher», nicht montierte Schockabsorber) könnten ja durchaus auch in anderen Anlagen vorhanden sein. Abgesehen vom direkten Nutzen in den anderen Schweizer Anlagen, profitiert bei einem internationalen Austausch die Schweizer Anlagensicherheit reziprok.

2.11 Information der Öffentlichkeit

Neben den «Lessons Learnt» gibt es auch die Verpflichtung zur Information der Öffentlichkeit durch das ENSI (Art. 74 Abs. 2 KEG
https://www.fedlex.admin.ch/eli/cc/2004/723/de#art_74
Art. 76 KEV
https://www.fedlex.admin.ch/eli/cc/2005/68/de#art_76). Die Information der Öffentlichkeit entspricht dem national und völkerrechtlich verbrieften Recht, in Umweltangelegenheiten korrekt über die tatsächlichen Risiken einer Technologie informiert zu werden und somit in Zukunft fundierte politische Entscheidungen über diese Technologie treffen zu können (Präambel, Übereinkommen über den Zugang zu Informationen, die Öffentlichkeitsbeteiligung an Entscheidungsverfahren und den Zugang zu Gerichten in Umweltangelegenheiten (Aarhus-Konvention)
https://www.fedlex.admin.ch/eli/cc/2014/235/de). In diese Kerbe schlägt auch der Leistungsauftrag gemäss ENSI-Rat von 2015, welcher fordert, dass der Bevölkerung eine starke Aufsichtsbehörde zur Seite gestellt wird, welche ihre Anliegen aufnimmt und aktiv über den Zustand der Kernanlagen und über besondere Ereignisse informiert (Leistungsauftrag 2012 – 2015 an das Eidgenössische Nuklearsicherheitsinspektorat
https://ensi.admin.ch/de/wp-content/uploads/sites/2/2012/12/leistungsauftrag-2012-2015_ensi.pdf).

Im vorliegenden Fall können die Fragesteller nicht nachvollziehen, wie das ENSI diesem Auftrag bisher gerecht wurde. Im Vorkommnisbeschrieb wurde von «Montageabweichungen bei Schwingungsdämpfern» gesprochen. Erst Medienberichte legten offen, dass die Schockabsorber ganz und gar fehlten. Zum besseren technischen Verständnis, eine Definition (https://de.wikipedia.org/wiki/Schwingungsd%C3%A4mpfer):

Ein Schwingungsdämpfer ist ein System zur Dämpfung von mechanischen Schwingungen (Vibrationen, Erschütterungen, Stössen). Ziel ist es, Bewegungsenergie in Wärmeenergie umzuwandeln.

Es scheint somit klar, dass ohne Schockabsorber in den Schwingungsdämpfern keine Bewegungsenergie in Wärmeenergie umgewandelt werden kann. Es ist für die Fragesteller daher nicht nachvollziehbar, wie man beim kompletten Fehlen eines sicherheitstechnisch derart wichtigen Teils von einer «Montageabweichung» sprechen kann. Der Begriff lässt sich auch nicht mit der unbedachten Verwendung einer Richtlinien-Floskel erklären. In der entsprechenden Richtlinie (Richtlinie ENSI-B03/d, Meldungen der Kernanlagen, September 2008, Revision 4 vom 28. November 2016, Seite 7
https://ensi.admin.ch/de/dokumente/b03-meldungen-der-kernanlagen-4/) wird (immerhin) der Begriff «Montagefehler» verwendet, «wenn diese Fehler die strukturelle Integrität der Komponente oder ihre Funktion gefährden können».

Auch mit dem Verweis auf eine noch laufende Analyse bleibt (insbesondere nach drei Monaten ohne weitere Meldung) bei den Fragestellern der Eindruck bestehen, man nehme entweder das Vorkommnis nicht gebührend ernst, oder es solle heruntergespielt werden. Dies gerade auch im Kontrast zur sonstigen Kommunikation. Wenn es um positive Meldungen geht, ist das ENSI jeweils nicht darum verlegen, sich auch bei noch laufenden Untersuchungen mit elementaren Vorbehalten vorauseilend festzulegen und dabei absolute, ja propagandistische Aussagen zu machen. Nachfolgend zwei (durch die zwischenzeitliche Erkenntnis über die fehlenden Schockabsorber widerlegte) Mitteilungen:

2.12 Axpo Medienmitteilung

Am 19.02.2021 reagierte die Axpo auf eine Medienmitteilung der SES zum Thema (SES: AKW Beznau jahrzehntelang ohne Erdbebenschutz
https://www.axpo.com/ch/de/ueber-uns/medien-und-politik/medienmitteilungen.detail.html/medienmitteilungen/2021/Zum-Erdbebenschutz-des-Kernkraftwerks-Beznau.html)

19.02.2021 – Stellungnahme der Axpo zur heutigen Medienmitteilung der Schweizerischen Energiestiftung SES «AKW Beznau jahrzehntelang ohne Erdbebenschutz»

In ihrer heutigen Mitteilung behaupten die Verfasser der Mitteilung mit Blick auf die kommunizierten Montageabweichungen bei den beiden in den 1990er Jahren in Betrieb genommenen Notstandsdieseln, dass das Kernkraftwerk Beznau «jahrzehntelang ohne Erdbebenschutz» betrieben worden ist. Diese Darstellung entbehrt jeglicher Grundlage. Axpo hat in den letzten Jahrzehnten rund 2.5 Mrd. CHF in die Zuverlässigkeit und Sicherheit der Anlage investiert, unter anderem in den Erdbebenschutz und die Sicherstellung der Notstromversorgung.

Richtig ist folgendes:

- Die beiden gebunkerten Notstandsdiesel wurden in den Jahren 1992 und 1993 nachgerüstet. Vor der Inbetriebnahme der Notstromdiesel wurde die Notstromversorgung aus dem Hydrokraftwerk Beznau und mit bestehenden Notstromdieseln im Werk sichergestellt.
- Die Sicherheit des Werks war und ist durch redundante Notspeisesysteme für die Kühlung jederzeit gewährleistet. Um die Anlage zu kühlen, reicht ein Dieselaggregat. Dabei kann ein Diesel infolge seiner grossen Kapazität sogar beide Blöcke gleichzeitig versorgen. Hervorzuheben gilt es, dass die am Standort Beznau vorhandenen Dieselaggregate periodisch und systematisch auf ihre Funktionstüchtigkeit geprüft werden.
- Zusätzlich zu den sechs sicherheitstechnisch klassierten Notstromdieseln am Standort Beznau sind zwei weitere einsatzbereite Dieselaggregate für auslegungsüberschreitende Störfälle vorhanden. Im Übrigen kann im Notfall auch auf Aggregate im Lager Reitnau zurückgegriffen werden. Bis zum Eintreffen dieser Aggregate im KKB kann die Anlage auch mit am Standort vorhandenen mobilen Aggregaten gekühlt werden.

Auf die einzelnen Punkte wird später im Frageteil eingegangen. Nachfolgend werden vorbereitend Belege dazu angeführt.

Der Behauptung, vor 1992 sei die Notstromversorgung sichergestellt gewesen, werden Darstellungen von Roland Naegelin, Mitglied der KSA 1970-1980, Direktor der HSK (heute ENSI) 1980 bis 1995 aus seinem Buch über die nukleare Sicherheitsaufsicht entgegengestellt (Roland Naegelin, Direktor der HSK (heute ENSI) 1980 bis 1995, Geschichte der Sicherheitsaufsicht über die schweizerischen Kernanlagen 1960-2003, Seiten 319 bzw. 335.). Bereits 1980 wurden Nachrüstungen mit Qualifikation gegen Erdbeben via Betriebsbewilligung erzwungen:

Planung und Bau des KKW Beznau erfolgten in der zweiten Hälfte der Sechzigerjahre, als noch keine allgemeinen Sicherheitsgrundsätze wie die «General Design Criteria» etabliert waren (vgl. 5.3). Auch für nuklear relevante Funktionen wurde weitgehend konventionelle Kraftwerkstechnik angewandt. Dementsprechend sind redundante Stränge nicht separiert oder Teile der sicherheitsrelevanten Stromversorgung durch Räume mit heissen druckführenden Leitungen geführt worden. Für das sichere Funktionieren wichtige periphere Systeme wurden nicht gegen die zu erwartenden äusseren Einwirkungen spezifiziert oder entsprechend qualifiziert. Ende der Siebzigerjahre erkannte die ASK diese Schwachstellen und forderte ein Nachrüsten der beiden Beznau-Blöcke mit Notstandsystemen. Eine entsprechende Auflage wurde 1980 in der Verlängerung der Betriebsbewilligung für das KKB II gemacht.

[…]

Deshalb wurde der Betreiber veranlasst, sowohl für das KKB I als auch für das KKB II ein entsprechend umfangreiches Nachrüstprogramm aufzustellen. Dies betraf in erster Linie den Bau eines Notstandsystems und die Verbesserung der Notstromversorgung. Diese Forderungen wurden in die Verlängerung der Betriebsbewilligung über das Jahr 1980 hinaus als Auflagen aufgenommen. […]

Die durch die Nachrüstung zu behebenden Unzulänglichkeiten betrafen ungenügenden Schutz gegen äussere und innere Ereignisse sowie einige weitere Schwächen der vorliegenden Anlage.

Nötige Massnahmen gegen äussere Ereignisse waren besserer Schutz mit entsprechender Qualifikation gegen Erdbeben, externe Überflutung, Verlust der Stauhaltung, Blitzschlag, Flugzeugabsturz und Einwirkungen Dritter.

3 Fragestellungen

Fragen an das ENSI:

A. Aus Sicht der Fragesteller hat der Befund vom 9. Dezember 2020 zweierlei Bedeutung:

Einerseits ist anzunehmen, dass sich zum Zeitpunkt des Befundes (nach aktuellem Wissenstand) dank der Einsatzbereitschaft der AUTANOVE Diesel die Risikoerhöhung in Grenzen hielt.

Andererseits muss die Nichtverfügbarkeit auch für den Zeitraum von 1992 bis 2012 bzw. bis 2017 betrachtet werden, um dem gesetzlichen Auftrag zum Lernen aus Fehlern (Kap. 2.10), bzw. zur sachgerechten Information der Öffentlichkeit nachzukommen (Kap. 2.11).

Teilt das ENSI diese Ansicht?

B. Welche Erhöhungen der Kernschadenshäufigkeit (ICCDP) liegen für diese Jahre 1992 bis 2012 bzw. bis 2017 vor? Welche Einstufung auf der internationalen Ereignisskala INES der IAEA wird vorgenommen?

C. Welche «Lessons Learnt» Meldungen zuhanden der nationalen und internationalen Betreiber, Aufsichtsbehörden, Hersteller, Lieferanten, Planer etc. hat das ENSI bereits erstellt, veranlasst oder seitens Dritter zur Kenntnis genommen? Welche sind geplant? (Kap. 2.10) Gibt es hierbei Schnittstellen, die sicherstellen, dass analoge Fehler in nicht-nuklearen Infrastruktureinrichtungen mit Notstromversorgung für den Erdbebenfall eliminiert werden (Spitäler etc.)?

D. Welche (unverzüglichen) Überprüfungen mussten die anderen Schweizer Werke durchführen (bezüglich beider Vorkommnisse, 2017 und 2020)?

E. Wie bewertet das ENSI das Vorliegen dieser CCF bis hin zum Sechsfachfehler? Welche Meldungen an den OECD ICDE – International Common Cause Failure Data Exchange haben stattgefunden (https://ensi.admin.ch/de/sicherheitsforschung/reaktorsicherheit/datenbankprojekte-der-oecd/)? An andere Datenbanken?

F. Aus welchen Quellen, wie systematisch und wie verbindlich fliessen CCF Daten in die Schweizer PSA zurück? Kann anhand einer konkreten PSA gezeigt werden, welche Auswirkungen die vorliegenden Updates haben?

G. Welche konkreten Regeln gelten heute hinsichtlich des gesetzlichen Auftrags, dass die PSÜ «umfassend» zu sein hat? Inwiefern ist es im Speziellen (Anlagenbegehung) aber auch im Allgemeinen erlaubt, alte Angaben aller Art wiederzuverwenden (Kap. 2.9)?

H. Bezugnehmend zur Stellungnahme zum Langzeitbetrieb 2010 bzw. dem Alterungsüberwachungsprogramm: Gibt es bei diesen Schockabsorbern keine Alterungsmechanismen? Wie sind diese aufgebaut? Kann man unbesehen davon ausgehen, dass deren Dämpfungseigenschaften nach 20 Jahren unverändert vorhanden sind, so dass man sie auch unter diesem Aspekt nicht überprüfen/überwachen musste?

I. Um die Erdbebenfestigkeit (Fragilities) der Dieselaggregate zu analysieren, mussten die Spezifikationen der Schwingungsdämpfer bzw. deren Schockabsorber in irgendeiner Weise modelliert werden. Gibt es irgendeine formelle Verfahrensvorschrift, dass bei einer nachweistechnischen Inanspruchnahme (Kreditierung) eine physische Verifikation eines solchen Bauteils stattfinden muss?

J. Wie werden umfassende und systematische Begehungen zur Verifikation des Anlagezustandes und zur Übereinstimmung des realen Anlagenzustands mit den Auslegungsunterlagen der Anlage konkret reguliert (Kap. 2.8)? Welche Richtlinien gelten? Täuscht der Eindruck, dass diesbezüglich zwischen druckführenden Leitungen und Behältern (SVTI-Festlegung NE-14, ENSI B06 etc.) und anderer sicherheitsklassierter Ausrüstung ein Ungleichgewicht in der Regulierungsdichte besteht? Sieht das ENSI Handlungsbedarf?

K. Welche sonstigen Schlüsse zieht das ENSI hinsichtlich der Wirksamkeit und Verbindlichkeit von Sicherheitsüberprüfungen (Kap. 2.6)?

L. Der ENSI-Rat hat das ENSI 2012 beauftrag, der Bevölkerung eine starke Aufsichtsbehörde zur Seite zu stellen, welche ihre Anliegen aufnimmt und aktiv über den Zustand der Kernanlagen und über besondere Ereignisse informiert (Leistungsauftrag 2012 – 2015 an das Eidgenössische Nuklearsicherheitsinspektorat
https://ensi.admin.ch/de/wp-content/uploads/sites/2/2012/12/leistungsauftrag-2012-2015_ensi.pdf). Das ENSI hat auch bekräftigt, es wolle das Sicherheitsgefühl der Bevölkerung stärken (https://ensi.admin.ch/de/2012/12/07/das-sicherheitsgefuhl-der-bevolkerung-starken/). Hinsichtlich des Vorkommnisses vom 9. Dezember 2020, stellen die Fragesteller jedoch fest, dass bei ihnen keineswegs das Sicherheitsgefühl gestärkt wurde. Die Meldung des ENSI («Montageabweichung») ist nicht dazu geeignet (Kap. 2.11). Sämtliche inhaltlichen Informationen mussten den Medien entnommen werden (Kap. 2.4). Auch nach drei Monaten fehlen konkrete Hinweise, ob das ENSI die dreissig Jahre andauernden gravierenden Fehlleistungen bei der Vorsorge untersuchen, seine Lehren daraus ziehen und Massnahmen zur Korrektur ergreifen wird. Das ENSI wird gebeten, zur erfolgten (Nicht-) Information der Öffentlichkeit Stellung zu nehmen.

Fragen an die KNS:

M. Bedeutet Art 71 Abs. 2 Bst. a KEG, dass die KNS grundsätzliche Fragen der Vorsorge hinterfragen kann, auch wenn sie derzeit gesetzlich festgeschrieben sind?

N. Falls Nein. Welche Institution macht es dann?

O. Falls Ja. Hält die KNS es nach wie vor für genügend, in jedem Fall nur Einzelfehler zu betrachten, unabhängig von der Bedeutung einer Sicherheitsfunktion für die nukleare Sicherheit bzw. unabhängig davon, wie häufig (gemäss PSA) Mehrfachfehlerszenarien inkl. Common Cause Failure in der Summe der verketteten Komponenten zu erwarten sind? Müsste die Einschränkung auf nur einen einzelnen Fehler nicht probabilistischen Akzeptanz-Kriterien unterstellt werden?

P. Gibt es sonstige Fragestellungen, welche die KNS im vorliegenden Vorkommnis-Zusammenhang betrachtet hat oder noch betrachten wird?

Fragen an die Axpo:

Q. Wie ist es möglich, dass ein Notstromaggregat ausgebaut und totalrevidiert wird und dabei die fehlenden Schockabsorber nicht festgestellt werden?

R. Angesichts der Herausforderungen bei einer seismisch qualifizierten (Rück-) Montage (auch ganz allgemein): welche verbindlichen Anforderungen werden an die Qualifikation der beteiligten Firmen und Personen gestellt?

S. Welche Konsequenzen zieht die Axpo aus diesen Vorkommnissen?

T. Nimmt die Axpo am WANO Programm “Performance Analysis: Preventing events by learning from others” oder anderen “Lessons learnt” Programmen teil? Gibt es hierzu eine Verpflichtung? Falls Ja. Welche Meldungen wurden hinsichtlich der hier besprochenen Vorkommnisse (2007, 2017, 2020) gemacht? In ihrer Medienmitteilung vom 19.02.2021 reagiert die Axpo auf die Mitteilung der SES und behauptet, die Darstellung der SES «entbehre jeder Grundlage» (Kap. 2.12). Dazu einige konkrete Fragen.

U. Zu «Axpo hat in den letzten Jahrzehnten rund 2.5 Mrd. CHF in die Zuverlässigkeit und Sicherheit der Anlage investiert, unter anderem in den Erdbebenschutz und die Sicherstellung der Notstromversorgung.»: Aus Sicht der Fragesteller dokumentiert die Geschichte der befristeten Betriebsbewilligungen (Kap. 2.12), sowie die Nachrüstforderung nach dem INES-1 Vorkommnis von 2007 (Kap. 2.3), dass die hohen Nachrüstinvestitionen keineswegs «freiwillig» erfolgten. Diese Geldbeträge sind folglich keine Belege für die Sicherheit der Anlage, sondern vielmehr dafür, in welchem Masse ein Nachholbedarf bei der Sicherheit dieser Anlage vorlag. Die Axpo wird gebeten, mit Bezug zu Ihrem Zitat hierzu Stellung zu nehmen.

V. (Fortsetzung) Die Fragesteller gehen auch davon aus, dass es nicht der Sicherheitskultur der Axpo, entspricht, grosse Investitionsbeträge gleichsam automatisch als Sicherheitsnachweis gelten zu lassen. Die hier betrachteten Vorkommnisse 2017 und 2020 haben ja gerade eindrücklich gezeigt, dass ein automatischer Zusammenhang zwischen Geld und Sicherheit nicht besteht. Zwei «dumme Fehler» haben Millioneninvestitionen risikotechnisch grösstenteils zunichtegemacht. Bei NANO über Jahrzehnte. Die Axpo wird gebeten, mit Bezug zu Ihrem Zitat hierzu Stellung zu nehmen.

W. Zu «Vor der Inbetriebnahme der Notstromdiesel wurde die Notstromversorgung aus dem Hydrokraftwerk Beznau und mit bestehenden Notstromdieseln im Werk sichergestellt.» Die Fragesteller gehen davon aus, dass die nach aktuellem Stand der Wissenschaft und Technik ermittelten Erdbebengefährdungsannahmen den besten Kenntnisstand über die reale Erdbebengefährdung darstellt und dass man davon ausgehen kann, dass diese auch in den 1960er Jahren bereits so vorherrschte. Es ist ja nicht so, dass sich die tektonischen Spannungen erst im Gleichschritt mit den Neubestimmungen 1977, 2004 und 2015 aufbauten. Es ist zudem dokumentiert, wie die Behörden bereits 1980 als Auflage für eine weitere Verlängerung der Betriebsbewilligung die NANO-Nachrüstung forderten, u.a. ausdrücklich, weil die im Zitat genannte Ausrüstung nicht für Erdbeben qualifiziert ist (Kap. 2.12). Die Axpo wird gebeten, mit Bezug zu Ihrem Zitat hierzu Stellung zu nehmen.

X. Zu «Die Sicherheit des Werks war und ist durch redundante Notspeisesysteme für die Kühlung jederzeit gewährleistet. Um die Anlage zu kühlen, reicht ein Dieselaggregat. Dabei kann ein Diesel infolge seiner grossen Kapazität sogar beide Blöcke gleichzeitig versorgen.» Die Fragesteller gehen davon aus, dass ein Erdbeben in beiden Blöcken bzw. bei beiden NANO Dieselaggregaten (mit jeweils fehlenden Schockabsorbern) stattgefunden hätte. Im Erdbebenfall ist bei den anzunehmenden Auswirkungen eine Gefährdung durch übergreifende Einwirkungen zu berücksichtigen (Art. 1 Bst. f und Art. 5 Abs. 2 Gefährdungsannahmenverordnung
https://www.fedlex.admin.ch/eli/cc/2009/444/de#art_5). Die Störfallbetrachtung muss also einen Bezug zur Realität haben, was auch die Erfahrung in Fukushima (3 Kernschmelzen in 3 gleichermassen exponierten Blöcken) lehrt. Die Axpo wird gebeten, mit Bezug zu Ihrem Zitat hierzu Stellung zu nehmen.

Y. Zu «Hervorzuheben gilt es, dass die am Standort Beznau vorhandenen Dieselaggregate periodisch und systematisch auf ihre Funktionstüchtigkeit geprüft werden.» Die Fragesteller verweisen darauf, dass eine reine Betriebsprüfung der Dieselaggregate für die Funktionstüchtigkeit bei hier massgeblichen Störfallbedingungen (Auslegungserdbeben) nicht aussagekräftig ist. Die relevanten Versagensmechanismen durch fehlende Schockabsorber werden naturgemäss nicht provoziert, das haben ja auch 30 Jahre diesbezüglich wirkungsloses Testregime gezeigt. Der Fall hat vielmehr gerade aufgezeigt, wie begrenzt die Aussagekraft von Funktionsprüfungen und Störfallnachweisen sein kann, weil naturgemäss oft nicht mir realen Störfallbedingungen und/oder Volllast geprüft werden kann. Die Axpo wird gebeten, mit Bezug zu Ihrem Zitat hierzu Stellung zu nehmen.

Z. Zu «Zwei weitere einsatzbereite Dieselaggregate für auslegungsüberschreitende Störfälle vorhanden».

Die Fragesteller verweisen darauf, dass die SAM-Diesel erst seit 2012/2013 anschlussbereit sind? Es bleiben immer noch gut 40 Jahre, in denen gemäss heutigem Stand des Wissens ein Erdbebenschutz fehlte, davon 20 Jahre trotz Notstandsystem. Die Darstellung der SES, dass das Kernkraftwerk Beznau «jahrzehntelang ohne Erdbebenschutz» betrieben worden ist, erscheint völlig korrekt.

Die Axpo wird gebeten, mit Bezug zu Ihrem Zitat hierzu Stellung zu nehmen.

Thema	Erdbeben	Bereich	Kernkraftwerke
Eingegangen am	4. März 2021	Fragende Instanz	Energiestiftung \| Vertreter von NGOs
Status	beantwortet
Beantwortet am	18. Juni 2021	Beantwortet von	ENSI, KNS, Kernkraftwerk Beznau

Beantwortet von ENSI

A. Aus Sicht der Fragesteller hat der Befund vom 9. Dezember 2020 zweierlei Bedeutung:

Einerseits ist anzunehmen, dass sich zum Zeitpunkt des Befundes (nach aktuellem Wissenstand) dank der Einsatzbereitschaft der AUTANOVE Diesel die Risikoerhöhung in Grenzen hielt.

Teilt das ENSI diese Ansicht?

Das ENSI teilt die in der Frage formulierte Ansicht. Mit den referenzierten Ausführungen, insbesondere in Kap. 2.11 ist das ENSI jedoch nur teilweise einverstanden (siehe insbesondere auch Antwort auf Frage L).

B. Welche Erhöhungen der Kernschadenshäufigkeit (ICCDP) liegen für diese Jahre 1992 bis 2012 bzw. bis 2017 vor? Welche Einstufung auf der internationalen Ereignisskala INES der IAEA wird vorgenommen?

Die offizielle internationale Ereignisskala INES beinhaltet keine risikotechnische Bewertung auf Basis einer PSA. Im Sinne einer integrierten Aufsicht hat das ENSI jedoch mit der Richtlinie ENSI-B03 zusätzlich eine risikotechnische Bewertung von Vorkommnissen eingeführt. Da das Maximum der einzelnen Bewertungskategorien gilt, ist die ENSI-Regelung grundsätzlich strenger als das eigentliche INES-Bewertungsschema.

Die Richtlinie ENSI-A06 regelt die risikotechnische Bewertung von Vorkommnissen. Sie legt fest, dass der Betrachtungszeitraum grundsätzlich ein Jahr ist. Die Betrachtung der Kernschadenshäufigkeit bis 1992 ist damit gemäss schweizerischem Regelwerk wie auch gemäss IAEA nicht relevant für die INES-Einstufung.

Die ICCDP_Vorkommnis ist auch unter konservativen Annahmen kleiner als 1.00∙10^-4, aber grösser als 1.00∙10^-6, weshalb sich aus probabilistischer Sicht für das Vorkommnis ein INES 1 für jeden Block des KKB ergibt. (Die konservative Annahme besteht in der Annahme einer vollständigen Unverfügbarkeit der NANO-Dieselgeneratoren bei allen Erdbeben).

Die probabilistische Bewertung der Betriebserfahrung ist eine Best-Estimate-Analyse und dient der Ergänzung der deterministischen Betrachtung.

Für eine rückblickende Bewertung über viele Jahre ist die Entwicklung separater Modelle notwendig, um die Auswirkungen von Anlageänderungen, Nachrüstungen, wartungsbedingten Unverfügbarkeiten und Vorschriftenänderungen zu betrachten, was mit grossem Aufwand verbunden und damit aus Sicht des ENSI nicht angemessen ist. Da die Erkenntnisse aus den in der Vergangenheit aufgetretenen Vorkommnissen – sofern notwendig – bereits umgesetzt wurden und eine genauere Berechnung des Risikoverlaufs diesbezüglich keine neuen Erkenntnisse liefern würde, wäre der hierfür erforderliche Aufwand unvertretbar hoch. Eine grobe Abschätzung der Entwicklung der CDF ab 1992 ist jedoch vertretbar und wurde im Rahmen der TFK-Sitzung am 19. Juni 2021 vorgestellt.

Zusatzfrage 1 zu Antwort B: Es wird eine ICCDP angegeben. Gehe ich richtig in der Annahme, dass diese für die Verfügbarkeit der AUTANOVE Diesel gilt?

Der in Antwort B angegebene Bereich der ICCDP für das Vorkommnis (Schockabsorber) gilt für das Jahr 2020 und dementsprechend für die aktuelle Anlagenkonfiguration mit nachgerüsteten AUTANOVE-Dieselgeneratoren. In der gemäss Richtlinie ENSI-A06 erfolgten ICCDP-Berechnung wird nicht von einer 100%-igen Verfügbarkeit der AUTANOVE-Dieselgeneratoren ausgegangen, sondern es wurde mit den hierfür bekannten Ausfallwahrscheinlichkeiten gerechnet.

Zusatzfrage 2 zu Antwort B: Bezugnehmend auf die Fragestellung B („für diese Jahre 1992 bis 2012 bzw. bis 2017“): heisst das, dass eben keine ICCDP für die Zeit davor verfügbar ist bzw. eine solche kann allenfalls grob von der Folie 33 abgelesen werden, richtig?

Die Richtlinie ENSI-A06 regelt die risikotechnische Bewertung von Vorkommnissen. Sie legt fest, dass der Betrachtungszeitraum grundsätzlich ein Jahr ist. Deshalb wurde für das Vorkommnis (Schockabsorber) vom 7.12.2020 keine ICCDP für die davor liegenden Jahre bestimmt.

Die CDF und die ICCDP sind zwei verschiedene Risikomasse. Die Kurven in der Folie 33 stellen einen durch Mittelungen stark vereinfachten Verlauf des Einflusses der fehlenden Schockabsorber auf die Kernschadenshäufigkeit (CDF) dar. Der genaue Einfluss bestimmter Unverfügbarkeitskonfigurationen in näher spezifizierten Zeiträumen ist aus den Kurven nicht ablesbar.

Das Vorkommnis wird nach Abschluss der Vorkommnisbearbeitung im Rahmen des Incident Reporting Systems (IRS) der IAEA gemeldet.

Es gibt keine institutionalisierten Schnittstellen, die sicherstellen, dass ähnliche Fehler in nicht-nuklearen Infrastruktureinrichtungen mit Notstromversorgung (Spitäler etc.) für den Erdbebenfall behoben werden. An dieser Stelle ist anzumerken, dass die Erdbebenanforderungen im nuklearen Bereich weit über die im konventionellen Bereich geltenden Anforderungen hinausgehen.

D. Welche (unverzüglichen) Überprüfungen mussten die anderen Schweizer Werke durchführen (bezüglich beider Vorkommnisse, 2017 und 2020)?

Das ENSI hat sich im Rahmen von reaktiven Inspektionen davon überzeugt, dass bei den Dieselgeneratoren der anderen Kernkraftwerke keine Montageabweichungen wie im KKB vorlagen.

Zum Zeitpunkt der Errichtung des Notstandsystems des KKB konzentrierte sich die Aufsicht der HSK im maschinentechnischen Bereich auf Rohrleitungen, Behälter und druckführende Komponenten. Deren Erdbebenauslegung wurde vom damaligen SVDB unabhängig überprüft. Die Überprüfung der übrigen mechanischen Komponenten, wozu auch Dieselgeneratoren zählen, lag im Verantwortungsbereich der Betreiber.

Gemäss heutiger Praxis hat das ENSI die Überprüfung der Erdbebennachweise stark ausgedehnt und prüft heute insbesondere die Erdbebenauslegung von Dieselgeneratoren, Metallkonstruktionen, Elektroschränken, Kabeltragsystemen etc.

Aufgrund der in der Vergangenheit fehlenden unabhängigen Überprüfung einer ganzen Gruppe von mechanischen Komponenten kommt das ENSI zum Schluss, dass bei den genannten Komponenten auch bei den anderen Werken Defizite vorhanden sein könnten.

Das ENSI wird deshalb seine Überprüfungen im genannten Bereich intensivieren.

Zusatzfrage zu Antwort D: „Aufgrund der in der Vergangenheit fehlenden unabhängigen Überprüfung einer ganzen Gruppe von mechanischen Komponenten kommt das ENSI zum Schluss, dass bei den genannten Komponenten auch bei den anderen Werken Defizite vorhanden sein könnten. Das ENSI wird deshalb seine Überprüfungen im genannten Bereich intensivieren.“

Diese Stossrichtung ist sehr zu begrüssen. Es ist schade, dass solche Aussagen in der publikumswirksamen Darstellung (Meldung vom 16. Juni 2021) bisher keinen Platz finden. Es wäre sehr hilfreich, wenn möglichst greifbare Aussagen zu konkreten Schritten kommuniziert werden. Zur öffentlichen Kommunikation von Zwischenerkenntnissen und Massnahmen, siehe auch unten zu Frage L.

Das ENSI hat eine interne Arbeitsgruppe für die Ausarbeitung von Massnahmen und Anpassungen der bestehenden Richtlinien eingesetzt. Die aufgrund der Resultate der Arbeitsgruppe vorgenommenen Richtlinienanpassungen werden selbstverständlich einer öffentlichen Vernehmlassung unterzogen.

Einleitend ist festzuhalten, dass für die Kühlung über die Dampferzeuger eine elektrische Leistung von 440 kW pro Block ausreicht.

Mit der Nachrüstung der Notstandsysteme in den Jahren 1992 und 1993 wurde die Erdbebenfestigkeit des KKB deutlich erhöht. Aufgrund der fehlende Anschlagsbolzen war die Verbesserung weniger gross als damals angenommen. Trotzdem wurden die zur Bauzeit des Notstandsystems und bis zum 31. März 2011 geltenden Erdbebenanforderungen erfüllt.

Am 1. April 2011 verfügte das ENSI die Neubeurteilung der Erdbebensicherheit auf der Basis deutlich erhöhter Erdbebengefährdungsannahmen. Die entsprechenden Nachweise waren dem ENSI bis zum 31. März 2012 einzureichen.

Das KKB hat im Rahmen dieser Nachweisführung nicht erkannt, dass die Erdbebenfestigkeit der Notstanddiesel wegen den fehlenden Anschlagsbolzen reduziert war und hat fälschlicherweise die Erfüllung der Vorgaben zur Neubeurteilung am 30. März 2012 bestätigt.

Am 14. Mai 2012 beantragte das KKB eine Konzept-, Montage- und Inbetriebnahmefreigabe für zwei zusätzliche Accident-Management-Dieselgeneratoren (AM-Dieselgeneratoren). Das ENSI hat diesen Antrag am 1. Juni 2012 genehmigt. Der Inbetriebnahmeversuch wurde am 25. Mai 2012 erfolgreich durchgeführt. Mit den beiden 890 KW starken AM-Dieselgeneratoren kann die sekundärseitige Notstandkühlkette über die Dampferzeuger (Notstand-Speisewasser) versorgt werden. Weil ein AM-Dieselgenerator beide Blöcke versorgen kann, ist diese auf der Sicherheitsebene 4 anzusiedelnde Nachrüstung einzelfehlersicher.

Der Zeitraum, während welchem die erhöhten Anforderungen des ENSI nicht erfüllt waren, beschränkt sich somit auf zwei Monate.

lm Rahmen des Projektes „Autarke Notstromversorgung“ (AUTANOVE) wurden im Jahr 2015 zwei neue Notstromdieselgebäude mit jeweils zwei Notstromdieselgeneratoren für je einen Block in die Anlagen eingebunden. Damit kann zusätzlich zu den Notstandsystemen eine weitere sekundärseitige Kühlkette der Sicherheitsebene 3 (Notspeisewasser) erdbebensicher mit Strom versorgt werden.

Wegen eines Softwarefehlers, welcher am 13. September 2017 dem ENSI gemeldet wurde, wären die AUTANOVE-Dieselgeneratoren nach einem schweren Erdbeben nicht automatisch gestartet. Man hätte sie jedoch manuell wieder starten können. Zudem war während der fraglichen Zeit KKB1 nicht in Betrieb und die AM-Dieselgeneratoren standen uneingeschränkt zur Verfügung.

Zwischen dem 18. September 2017 und dem 8. Dezember 2020 stand auf der Sicherheitsebene 3 das erdbebensichere Notspeisewasser vollumfänglich zur Verfügung. Dieses ist zwar nicht einzelfehlerfest. lm Rahmen der Sicherheitsebene 4 sind jedoch weitere anlageinternen Notfallmassnahmen vorbereitet, um in einem Anforderungsfall eine Wechselstromversorgung der Notstandsysteme resp. Notspeisewassersysteme sicherzustellen. Diese umfassen:

Versorgung der Notstandsysteme mittels Aufschaltung der AM-Dieselgeneratoren
Versorgung der Notstandsysteme mittels Aufschaltung der AUTANOVE-Dieselgeneratoren
Versorgung des Notspeisewassers des einen Blocks durch Aufschaltung des AUTANOVE-Dieselgenerators des anderen Blocks

Zusammenfassend kann festgehalten werden, dass das Notstandsystem des KKB die Erdbebenanforderungen der der Aufsichtsbehörden vom Zeitpunkt seiner Inbetriebnahme bis zum 31. März 2011 auf der Sicherheitsebene 3 einzelfehlerfest erfüllt hat. Die per 1. April 2011 verfügten und per 31. März 2012 nachzuweisenden stark erhöhten Erdbebenanforderungen konnten ohne eingebaute Anschlagbolzen in den Schwingungsdämpfern nicht erfüllt werden.

Nur zwei Monate später, ab dem 1. Juni 2012 stand jedoch auf der Sicherheitsebene 4, eine alternative erdbeben- und einzelfehlerfeste Stromversorgung für die sekundärseitigen Notstandsysteme zur Verfügung. Mit den Nachrüstungen im Rahmen des Projektes AUTANOVE kam 2015 eine weitere erdbebenfeste Kühlkette auf der Sicherheitsebene 3 hinzu.

Mit dem Einbau der Anschlagbolzen in den Schwingungsdämpfer der NS-Dieselgeneratoren stehen seit dem 21. Dezember 2020 drei erdbebensichere Kühlketten auf der Sicherheitsebene 3 zur Verfügung.

Trotz dem Vorliegen eines CCF an den zwei Notstanddieselgeneratoren bewertet das ENSI deren sicherheitstechnische Relevanz im Lichte der jeweils gültigen Erdbebengefährdungsannahmen als Befunde mit sicherheitstechnischer Bedeutung, jedoch mit verbleibenden, wesentlichen Reserven in den gestaffelten Sicherheitsvorkehrungen.

Der ICDE ist ein Forschungsprojekt, welches an langfristigen Mustern und Trends der Ausfalldaten interessiert ist. Insbesondere werden die «root causes» und die Ausfallmechanismen der Ereignisse analysiert. In der Regel werden Daten nicht unverzüglich in die Datenbank des Projekts eingetragen, sondern zusammengefasst nach einigen Jahren. Umfang und Zeitpunkt der Meldungen orientieren sich an der Verfügbarkeit aufbereiteter abschliessender Erkenntnisse aus dem Ereignis. Primäres Instrument für den Erfahrungsaustausch mit Ereignissen in anderen Anlagen ist jedoch das IRS der IAEA und nicht der ICDE.

Zusatzfrage 1 zu Antwort E: «Einleitend ist festzuhalten, dass die Ausführungen der Fragestellenden in den Kap. 2.5 nicht zutreffen. Für die Kühlung über die Dampferzeuger sind nicht wie in Kap. 2.5 angegeben rund 2’200 kW, sondern lediglich 440 kW pro Block nötig.» Es ist hier nicht ersichtlich, warum hier ein Widerspruch vorliegen soll. Die Ausführungen der Fragestellenden (Kap. 2.5) beziehen sich klar auf die auslegungsgemässe Störfallbewältigung bzw. den dokumentierten Notstands-Strombedarf. So wörtlich auch die Aussage in Absatz 3. Unseres Wissens sind andere Fahrweisen nicht öffentlich dokumentiert, auch die Stellungnahme zur PSÜ 2012 (2016) dokumentiert auslegungsgemäss nur die kombinierten Stränge (NANO/AUTANOVE) zur Herstellung der Einzelfehlersicherheit. Die Fragestellung schliesst eine andere Fahrweise auf Sicherheitsebene 4 aber nicht aus.

Ggf. werden wir eine Folgefrage dazu stellen, welche Abstriche man in Kauf nehmen muss, wenn nur ein Fünftel der auslegungsgemäss benötigten Leistung zur Verfügung steht. Es ist für uns tatsächlich nicht nachvollziehbar, wie die von NANO sonst noch erbrachten Sicherheitsfunktionen aufgefangen werden sollen.

Der Verweis auf die Widersprüchlichkeit der Ausführungen der Fragestellenden in Kap. 2.5 wurde in der Antwort auf Frage 44 gestrichen.

Erläuternd ist an dieser Stelle festzuhalten, dass im Erdbebenfall nicht alle Systeme des Notstandsystems benötigt werden. Insbesondere sind bei einem Erdbeben keine Kühlmittelverlust-Störfälle zu unterstellen. Damit entfällt die Notwendigkeit das Notstand-Hochdruck-Einspeisesystem und das Notstand-Rezirkulationssystem in Betrieb zu nehmen. Für die Beherrschung des Störfalls Erdbebens genügt das Notstand-Speisewassersystem und dieses benötigt nicht mehr als die in der ENSI-Antwort angegebenen 440 kW pro Block.

Zusatzfrage 2 zu Antwort E: Bei der rückblickenden Bewertung des Vorkommnisses wird der Stand der Wissenschaft und Technik rückabgewickelt, indem die Erdbebengefährdungsannahmen aus dem Jahr 1977 als Massstab angenommen werden. Es ist nicht ersichtlich, in welcher Weise dies im Sinne der Förderung nuklearer Sicherheit («Erfahrung» = «Lessons Learnt») sicherheitstechnisch zweckdienlich sein kann, bzw. wie dies mit den Grundsätzen für die Nutzung der Kernenergie (Art. 4 KEG) in Einklang zu bringen ist, es seien «alle Vorkehren zu treffen, die nach der Erfahrung und dem Stand von Wissenschaft und Technik notwendig sind». Dass man den einen Erkenntnisgewinn (fehlende Schockabsorber) zwar selektiv rückportiert, den anderen Erkenntnisgewinn (aktuelle Gefährdungsannahme) aber nicht, stellt in Kombination mit dem Schlingerkurs über die Trennlinien der Sicherheitsebenen (dazu später mehr) aus sicherheitstechnischer Optik sowohl eine unzulässige als auch eine sehr gesuchte Konstruktion dar.

Es erschliessen sich uns für diese Darstellung nur folgende Beweggründe: dem ENSI gehe es vor allem darum, das Image der Kernenergie bzw. des KKB zu schonen; bzw. die Fehlerkultur des ENSI – also die Bereitschaft die vorgefallenen Fehler schonungslos anzuerkennen und Verbesserung zu suchen – sei deutlich mangelhaft. Klärungsbedarf: Falls ein anderer, von uns nicht erkannter Grund für diese Darstellung vorliegt, wäre dies die Chance, ihn zu erklären.

Das ENSI hat in seiner ursprünglichen Antwort lediglich die allfällig missverständliche Darstellung des Sachverhaltes der Fragestellenden präzisiert. Inwieweit mittels dieser Korrektur das Image der Kernenergie bzw. des KKB geschont werde und weshalb das ENSI deshalb über eine «deutlich mangelhafte Fehlerkultur» verfügen solle, ist nicht nachvollziehbar.

Zusatzfrage 3 zu Antwort E: Es ist klar, dass es sich (bis 2015/2017) bei den NANO Dieseln um die zentrale Ausrüstung zur Notstromversorgung auf Sicherheitsebene 3 handelt. In der weiteren Antwort E werden dann jedoch Massnahmen der Sicherheitsebene 4 hinzugezogen und es wird so dargestellt, als sei dies einerlei. Dabei werden Wendungen wie „Anforderungen des ENSI erfüllt“ verwendet. Korrekt wäre es, wenn das ENSI seine Ausführungen jeweils auf eine Sicherheitsebene bezieht und auch dort Fazit zieht, also im vorliegenden Fall klar aussagt, dass die Anforderungen auf Sicherheitsebene 3 nicht erfüllt sind, und zwar während der ganzen Zeit bis 2017 (auch die notwendigen Handeingriffe wegen des Software-Fehlers sind ein Auslegungsfehler). Erst in einem zweiten, klar abgetrennten Schritt ist es statthaft, auf die nächste Sicherheitsebene 4 einzugehen. Dies, um klarzumachen, dass eine gravierende Degradation des nuklearen Sicherheitsstatus vorlag. Es handelt sich bei Sicherheitsebene 4 um eine Rückzugsebene, eine Art «Sicherheitsnetz», geplant nach wesentlich geringeren Zuverlässigkeitsmassstäben, wo die Schutzziele nicht mehr eingehalten werden können. Der gesetzlich geforderte Deterministische Störfallnachweis (Art 1 Abs. e Gefährdungsannahmenverordung) hätte mit den noch verfügbaren Mitteln der Sicherheitsebene 3 («aktive und passive Sicherheitssysteme», Art. 7 Abs. c KEV) sicherlich nicht erbracht werden können. Es lag auch eine Nichterfüllung der grundlegenden Schutzziele nach Art. 8 Gefährdungsannahmenverordnung vor (Umsetzung des Konzepts der gestaffelten Sicherheitsvorsorge).

Eine angepasste Terminologie wäre ebenfalls zu begrüssen, von «erfüllten Anforderungen» sollte auf Sicherheitsebene 4 jedenfalls nicht gesprochen werden. Noch gravierender sind diese Unzulänglichkeiten in der Meldung vom 16. Juni 2021: hier wird sogar Herrn Kenzelmann zitiert, es sei die „Erdbebensicherheit des KKW Beznau trotz der Montageabweichung gewährleistet gewesen“. Klärungsbedarf: Es ist für uns von Interesse zu wissen, ob diese Darstellung noch korrigiert wird.

Nein.

Die Richtlinie ENSI-A05 gibt den Mindestumfang an Komponententypen, für welche CCF in der PSA zu berücksichtigen sind, vor (siehe Kap. 4.4.3 Bst. i, Notstromdiesel werden hierbei genannt). Ferner fordert die Richtlinie die Bestimmung anlagenspezifischer Komponentenzuverlässigkeitskenngrössen (siehe Kap. 4.2.3 Entwicklung anlagenspezifischer Zuverlässigkeitskenngrössen und Kap.4.2.4 Entwicklung anlagenspezifischer CCF-Parameter).

Bei der Bestimmung von anlagenspezifischen Komponentenzuverlässigkeitskenngrössen wird die Betriebserfahrung erfasst. Dabei sind gemäss Richtlinie ENSI-A05 u. a. die in der Anlage aufgetretenen Einzelfehler wie auch CCF systematisch zu erfassen (siehe Kap. 4.2.1 und Kap.4.2.4 Bst. c). Um die internationale Erfahrung miteinzubeziehen sowie die Datenbasis für Komponenten mit einer Null-Fehler-Statistik besser abzustützen, werden die generischen, auf internationaler Betriebserfahrung basierenden Daten und die anlagenspezifischen Rohdaten mittels eines Bayes’schen Verfahrens verrechnet.

Zusätzlich zum CCF wird üblicherweise in der Erdbeben-PSA für gleichartige Komponenten mit ähnlichen seismischen Belastungen eine vollständige Korrelation der seismisch bedingten Ausfälle angenommen.

Im vorliegenden Fall beeinflussen die fehlenden Anschlagsbolzen das Risiko viel mehr durch die Reduktion der Mediankapazität in der Fragilityanalyse als durch eine Aktualisierung der CCF-Parameter. Grund hierfür ist, dass im PSA-Modell für alle Erdbeben eine vollständige Korrelation der seismischen Versagenswahrscheinlichkeit der beiden NANO-Dieselgeneratoren angenommen wird (also, wenn ein Dieselgenerator versagt, wird das garantierte Versagen des anderen Dieselgenerators angenommen).

Eine Aktualisierung der CCF-Wahrscheinlichkeit erfolgt u. a. über ein Update der CCF-Parameter (gemäss der MGL-Methode oder der alpha-Methode) sowie auf Basis des Bayes-Verfahrens. Diese Methoden sind nicht nur in der Nukleartechnik etabliert. Die CCF-Parameter sind im Allgemeinen robust, da die internationale Betriebserfahrung von vielen Kernkraftwerken berücksichtigt ist.

Mit der CCF-Modellierung werden in der PSA nicht explizit modellierte Abhängigkeiten erfasst. Da in der Erdbeben-PSA Abhängigkeiten explizit berücksichtigt sind (vollständige Korrelation) ist eine Aktualisierung der CCF für die Vorkommnisbewertung nicht notwendig (bzw. wäre eine Doppelzählung).

Die Anforderungen an die Periodischen Sicherheitsüberprüfungen sind in der Richtlinie ENSI-A03 geregelt.

Im Gegensatz zu den Ausführungen der Fragestellenden im Kap. 2.9 basiert die Pflicht zur Überprüfung der Übereinstimmung des realen Anlagenzustands mit den Auslegungsunterlagen nicht auf Anlagebegehungen im Rahmen der Fragility-Analysen gemäss Kap. 4.6.2.1.2 Bst. c. der Richtlinie ENSI-A05 sondern auf Kap. 5.3.1 Bst. b. der Richtlinie ENSI-A03.

Gemäss letztgenannter Bestimmung ist die korrekte Auslegung der Strukturen, Systeme und Komponenten darzulegen und zu bewerten. Dazu werden insbesondere die ursprünglichen Auslegungsberechnungen herangezogen.

Zusatzfrage 1 zu Antwort G: «Im Gegensatz zu den Ausführungen der Fragestellenden im Kap. 2.9 basiert die Pflicht zur Überprüfung der Übereinstimmung des realen Anlagenzustands mit den Auslegungsunterlagen nicht auf Anlagebegehungen im Rahmen der Fragility-Analysen gemäss Kap. 4.6.2.1.2 Bst. c. der Richtlinie ENSI-A05 sondern auf Kap. 5.3.1 Bst. b. der Richtlinie ENSI-A03.»

Dieser Einwand ist nicht verständlich, denn die ENSI-A03 ihrerseits verlangt ja einerseits direkt die Ausfertigung einer PSA nach ENSI-A05, und andererseits indirekt über die Pflicht der Ausfertigung einer Deterministischen Störfallanalyse nach ENSI-A01, welche ebenfalls auf die ENSI-A05 verweist. Diese hierarchische Komposition bildet auch die methodische Abstützung der Sicherheitsnachweise ab, welche eigentlich dafür sorgen sollte, dass Abweichungen erkannt werden, und zwar im Kontext der Relevanz von Nachweiszielen. Ausserdem verweisen Sie selber in Antwort I auf genau diesen Zusammenhang, wenn auch mit der Relativierung, es habe im konkreten Fall nichts genützt. Allerdings wurde gemäss Vorkommnisbeschrieb KKB am 23.11.2020 die eigentliche Abweichung dennoch letztendlich durch Inspektion vor Ort etabliert.

Umgekehrt wird aus dem Wortlaut von Kap. 5.3.1 Bst. b. der Richtlinie ENSI-A03 nicht ersichtlich, was genau erforderlich ist. Solange die dort angesprochenen Unterlagen untereinander stimmig sind, werden Abweichungen nicht erkannt, so wie das beim KKB auch mehrfach passiert ist (bei Revision etc.) und wie das sogleich von Ihnen in den Antworten zu H (AÜP) und zu K nochmals bestätigt wird.

Klärungsbedarf: Was genau fordert Kap. 5.3.1 Bst. b. der Richtlinie ENSI-A03 in der Praxis? Wird diese Bestimmung noch verdeutlicht? Es muss doch nun eine Überprüfung der Übereinstimmung sowohl aller Dokumente, als auch des realen Anlagezustands konkret geregelt werden, korrekt?

Die Bestimmung in Kap. 5.3.1 Bst. b. der Richtlinie ENSI-A03 ist im Oktober 2014 in Kraft getreten und wurde im Rahmen der Periodischen Sicherheitsüberprüfung (PSÜ) 2017 des Kernkraftwerks Beznau erstmals umgesetzt. Der praktische Umgang mit Kap. 5.3.1 Bst. b. ist in der Stellungnahme des ENSI zur KKB-PSÜ (https://ensi.admin.ch/de/wp-content/uploads/sites/2/2021/11/Sicherheitstechnische_Stellungnahme_web.pdf) verdeutlicht.

Zusatzfrage 2 zu Antwort G: Es muss doch nun eine Überprüfung der Übereinstimmung sowohl aller Dokumente, als auch des realen Anlagezustands konkret geregelt werden, korrekt? Ist das mit dem letzten Absatz bei Antwort J gemeint?

In Bezug auf die in der Antwort J angesprochenen Schlussprüfung: Ja.

Für die Notstanddiesel gibt es ein Alterungsüberwachungsprogramm. In diesem sind für die verschiedenen Komponenten der Dieselaggregate die diversen möglichen Alterungsmechanismen identifiziert sowie die adäquaten Massnahmen festgelegt. Somit wird der Alterungszustand der diversen Komponenten erfasst, überwacht und geprüft. Für Bauteile aus nichtmetallischen Werkstoffen, wie z.B. Elastomere, ist deren Versprödung bzw. Zersetzung als typischer Alterungsmechanismus bekannt. Neben monatlichen visuellen Kontrollen des Zustandes werden diese Bauteile aus Elastomeren daher vorsorglich regelmässig ersetzt. Die in den Wartungsplänen der Notstromdieselaggregate festgelegte Betriebsdauer bis zum Austausch berücksichtigt hierbei die spezifischen Eigenschaften des jeweiligen Werkstoffes, die Umgebungs- und Betriebsbedingungen, sowie die auf der Betriebserfahrung basierenden Empfehlungen des Herstellers.

Nach derzeitigem Kenntnisstand wurden die Notstanddiesel ohne die auslegungsgemäss vorgesehenen Schockabsorber verbaut. In der zugehörigen AÜP-Dokumentation waren die Schockabsorber (Anschlagbolzen) auch nicht explizit aufgeführt. Mit Abschluss der Bearbeitung des Vorkommnisses durch den Betreiber werden alle Prozesse und Dokumente die die Wartung, Instand-haltung und Alterungsüberwachung betreffen durch das ENSI überprüft, bewertet und nötigenfalls durch den Betreiber überarbeitet.

Die strukturmechanischen Analysen der Erdbebenfestigkeit erfolgen in erster Linie im Rahmen der Auslegung. Die Überprüfung der Übereinstimmung des realen Anlagenzustands mit den Auslegungsunterlagen ist Teil der Bauüberwachung in der Hierarchiestufe 4 des Freigabeverfahrens (vgl. Antworten J und K).

Im Rahmen der Risikoanalyse als zusätzliches Element der integrierten Aufsicht verlangt die Richtlinie ENSI-A05 zudem die Ermittlung der seismischen Versagenswahrscheinlichkeiten (Fragilities). Gemäss Kapitel 4.6.2.1.2, Bst. c dieser Richtlinie hat der Betreiber eine umfassende und systematische Begehung der Anlage durchzuführen und dabei, unter anderem, nach einer international akzeptierten Vorgehensweise auch die Übereinstimmung des realen Anlagenzustands mit den Auslegungsunterlagen zu überprüfen.

Die Situation mit den fehlenden Schockabsorbern wurde weder bei der Begehung durch die vom KKB beauftragten Sachverständigen noch bei der stichprobenartigen Prüfung durch das ENSI explizit entdeckt. Allerdings wurde die Situation vom KKB während der Umsetzung der vom ENSI als Ergebnis der Prüfung verlangten Nachbesserungen an den Fragilityanalysen der Notstand-Dieselaggregate entdeckt.

Somit ist festzustellen, dass im vorliegenden Fall das seit der Installation der Notstand-Dieselaggregate verschärfte Regelwerk gegriffen hat. Die vom ENSI basierend auf dem Regelwerk verlangte Neubeurteilung der Erdbebensicherheit hat dazu geführt, dass die physische Verifikation vom Betreiber vorgenommen und die Schwächung entdeckt und behoben wurde.

Die Überprüfung der Übereinstimmung des realen Anlagenzustands mit den Auslegungsunterlagen der Anlage erfolgt im Rahmen des sogenannten Bauüberwachungsberichtes in der Hierarchiestufe 4 der Freigabeverfahren. Wie auch in Antwort I dargelegt spielen Begehungen in diesem Zusammenhang eine untergeordnete Rolle. Die von den Fragestellenden angeführten Begehungen (SVTI-Festlegung NE14, Richtlinie ENSI-B06) betreffen ausschliesslich wiederkehrende Prüfungen des Anlagenzustands.

Bei mechanischen Komponenten der Sicherheitsklassen 1 und 2, die der Überwachungspflicht des vom ENSI benannten Sachverständigen unterliegen, erfolgt die Bauüberwachung und Bestätigung der spezifikationsgenässen Herstellung und Montage durch den vom ENSI benannten Sachverständigen (in der Regel der SVTI-N) vor Ort. Bei mechanischen Komponenten der Sicherheitsklasse 3 innerhalb der Überwachungspflicht beschränkt sich die Bauüberwachung des Sachverständigen auf die Vorprüfung und Kontrolle der Dokumentation. Eine Bauüberwachung erfolgt lediglich bei Nachbesserungen und Reparaturen oder auf Verlangen der Aufsichtsbehörde. Bei allen anderen mechanischen Komponenten liegt die Verantwortung für die Bauüberwachung beim Betreiber, der dem ENSI vor der Inbetriebnahme die spezifikationsgemässe Ausführung zu bestätigen hat.

Weil bei den Komponenten der Sicherheitsklassen 1 und 2 druckführende Behälter, Rohrleitungen und Komponenten dominieren, konzentrierte sich die Aufsicht der HSK im maschinentechnischen Bereich in der Vergangenheit auf Rohrleitungen, Behälter und druckführende Komponenten.

Das ENSI hat seine Aufsicht im Bereich Auslegungsüberprüfung in den letzten Jahren intensiviert. Wie unter Frage G. dargelegt ist seit 2014 in Rahmen der PSÜ die korrekte Auslegung der Strukturen, Systeme und Komponenten darzulegen und zu bewerten.

Zudem hat das ENSI in den letzten Jahren die Überprüfung der Erdbebennachweise ausgedehnt und prüft heute, insbesondere die Erdbebenauslegung von Dieselgeneratoren, Metallkonstruktionen, Elektroschränken, Kabeltragsystemen etc.

Diese neue Praxis ist jedoch im heutigen Regelwerk nicht abgebildet. Das ENSI wird deshalb die Notwendigkeit einer Anpassung der einschlägigen Richtlinien prüfen.

K. Welche sonstigen Schlüsse zieht das ENSI hinsichtlich der Wirksamkeit und Verbindlichkeit von Sicherheitsüberprüfungen (Kap. 2.6)?

Die Anschlagbolzen wurden bei den Auslegungsberechnungen der NS-Dieselgeneratoren berücksichtigt, waren aber in den Schwingungsdämpfern nicht eingebaut. Diese Abweichung wurde bei der Bauüberwachung durch das KKB in den Jahren 1992/93 nicht erkannt. Weil diese Überprüfung annähernd dreissig Jahre zurückliegt, kann heute nicht mehr rekonstruiert werden, wo die entscheidenden Informationen zwischen den Auslegungsberechnungen und der Konstruktion und Dokumentation des Dieselaggregats verloren gegangen sind

Auch in der Zeit nach der Errichtung des Notstandsystems wurde die Montageabweichung nicht entdeckt. Dies, weil die Anschlagbolzen auch in der technischen Dokumentation der NS-Dieselgeneratoren fehlten. Sowohl in der Abbildung in der technischen Beschreibung der NS-Dieselgeneratoren als auch im Ersatzteilkatalog sind keine Anschlagbolzen aufgeführt. Auch die für die Wartung der NS-Dieselgeneratoren gültige und verwendete Arbeitsbeschreibung zeigt keine Anschlagbolzen und verlangt diesbezüglich auch keinerlei Kontroll- und Wartungsarbeiten. Einzig im Lauftext der technischen Beschreibung wird an zwei Stellen ein gummierter Anschlagbolzen erwähnt. Dieser schwache Hinweis auf eine Diskrepanz wurde weder vom KKB noch vom Hersteller im Rahmen der Totalüberholung der NS-Dieselgeneratoren im Jahr 2009/10 bemerkt.

Die Diskrepanz fiel erst auf, als im Rahmen der vom ENSI angeordneten Überprüfung der Erdbebensicherheit die Steifigkeit der Schwingungsdämpfer überprüft und hinterfragt wurde. Insofern war die vom ENSI angeordnete Überprüfung sehr erfolgreich. Sie hat dazu beigetragen, dass eine dreissig Jahre lang bestehende Schwächung der Erdbebensicherheit erkannt und behoben werden konnte.

Das ENSI informiert die Öffentlichkeit bei Vorkommnissen von öffentlichem Interesse umgehend über den grundlegenden Sachverhalt. Im vorliegenden Fall ist dies am 9. Dezember 2020 erfolgt. Am 21. Dezember informierte das ENSI über die Wiederinbetriebnahme des KKB nach erfolgreicher Behebung der Montageabweichungen.

Die Frist für die Einreichung des Ereignis- und Folgemassnahmenberichtes beträgt 30 Tage. Am 9. Dezember 2020 beantragte das KKB aufgrund der Feiertage eine Fristerstreckung bis zum 15. Januar 2021, welche vom ENSI gutgeheissen wurde. Der Ereignis- und Folgemassnahmenbericht wurde vom KKB am 12. Januar 2021 beim ENSI eingereicht.

Gemäss Zielvorgabe des ENSI-Rates muss das ENSI die Vorkommnisbearbeitung innerhalb von 100 Tagen nach Einreichung des Ereignis- und Folgemassnahmenberichtes durch das KKW abschliessen. Im vorliegenden Fall war somit der 22. April 2021 der Zieltermin.

Falls umfangreiche Zusatzabklärungen notwendig sind, kann diese Frist bei maximal 20% der Vorkommnisse überschritten werden. Letzteres trifft im vorliegenden Fall zu. Am 18. Mai 2021 hat das ENSI seine Vorkommnisanalyse abgeschlossen und die dabei gewonnen Erkenntnisse im Internet publiziert. Aufgrund der umfangreichen Zusatzabklärungen wurde der 100-Tage-Zieltermin beim vorliegenden Vorkommnis um 24 Tage überschritten. Trotzdem kann das ENSI aus heutiger Sicht die Zielvorgabe des ENSI-Rates für das gesamte Jahr 2021 einhalten.

Im Gegensatz zu den Fragestellenden erkennt das ENSI keine gesetzliche Verpflichtung für eine Information der Öffentlichkeit auf der Basis von vorläufigen und unbestätigten Zwischenergebnissen. Das ENSI hat deshalb auch keine vorläufigen und unbestätigten Zwischenergebnisse kommuniziert.

Die sehr umfangreichen Zusatzfragen der Fragestellenden wurden im Rahmen des Technischen Forums Kernkraftwerke vom 18. Juni 2021 und mit der vorliegenden schriftlichen Antwort detailliert beantwortet.

Das ENSI widerspricht der Darstellung der Fragestellenden, dass es seiner Informationspflicht in ungenügender Weise nachgekommen sei.

Zusatzfrage 1 zu Antwort L: «Im Gegensatz zu den Fragestellenden erkennt das ENSI keine gesetzliche Verpflichtung für eine Information der Öffentlichkeit auf der Basis von vorläufigen und unbestätigten Zwischenergebnissen.»

Diese Argumentation ist nicht nachvollziehbar. Schon im Ansatz sollte es dem ENSI nicht nur um eine minimalste Pflichterfüllung nach dem gesetzlichen Zwang gehen, sondern um die in Fragestellung L angesprochene Zielsetzung: «der Bevölkerung eine starke Aufsichtsbehörde zur Seite zu stellen, welche ihre Anliegen aufnimmt und aktiv über den Zustand der Kernanlagen und über besondere Ereignisse informiert».

Darauf geht Antwort L nicht ein.

Das ENSI hat immer die Möglichkeit bereits gesicherte Sachverhalte zu kommunizieren und trotzdem ein Geschäft noch nicht abzuschliessen. Die per BGÖ vorliegende Vorkommnisbeschreibung KKB zeigt, dass ein umfassender Kenntnisstand bereits am 12.1.2021 vorlag. Es ist kein legitimier Grund erkennbar, warum die Bevölkerung nicht anlässlich der Abgabe dieses Dokuments bereits über diesen Stand hätte informiert werden können. Eine um Offenheit und Transparenz bemühte Behörde schaltet solche Dokumente automatisch umgehend auf. Dazu kommuniziert sie die von ihr in Gang gebrachten Massnahmen, damit ersichtlich wird, wie ernst die Sache genommen wird. Damit wird zudem jedem Eindruck vorgebeugt, die Faktenlage werde nun im Verborgenen mit den Betreibern «vorvernehmlasst» (wie dies in der Vergangenheit geschehen ist), bzw. es werde erst kommuniziert, wenn auch der propagandistische «Spin» zum Vorkommnis ausformuliert sei (vgl. Anmerkungen zu Antwort E).

Spätestens als sich die erwähnte Überschreitung der 100 Tage Frist abzeichnete, hätte doch das ENSI zudem ein (erneutes) Lebenszeichen zur Untersuchung abgeben müssen.

Klärungsbedarf: Erkennt das ENSI wirklich nicht, dass seine initiale Beschreibung des Vorkommnisses dem Sachverhalt ganz und gar nicht gerecht wurde? Als es nachher in Medienberichten hiess (Zitat) «Konkret fehlen bei Schwingungsdämpfern jeweils vier sogenannte Schockabsorber. Sie wurden gar nicht montiert […] Die Schockabsorber würden bei einem Erdbeben dafür sorgen, dass die Notstromdiesel trotz Schwingungen unter Kontrolle bleiben», war dann für das ENSI immer noch kein Informationsbedarf erkennbar? Ist es für das ENSI nicht nachvollziehbar, dass die eigene Meldung vor diesen Aussagen wie eine komplette Verharmlosung aussieht?

Gemäss Art. 8 Abs. 2 des Bundesgesetzes über das Öffentlichkeitsprinzip der Verwaltung (BGÖ) dürfen amtliche Dokumente erst zugänglich gemacht werden, wenn der politische oder administrative Entscheid, für den sie die Grundlage darstellen, getroffen ist. Das ENSI befolgt diese Vorgabe. Für allfällig, von Dritten verzerrt dargestellten Sachverhaltsdarstellungen, kann das ENSI keine Verantwortung übernehmen.

Zusatzfrage 2 zu Antwort L: Klärungsbedarf: Kann die Antwort L noch auf den Auftrag des ENSI-Rates konkret eingehen, insbesondere, warum keine Zwischenberichte und Massnahmenplanungen kommuniziert werden?

Da sich das Vorkommnis mit den Montageabweichungen in den Motorlagern der Notstand-Dieselgeneratoren erst im Dezember 2020 ereignete, konnte es im Tätigkeits- und Geschäftsbericht (TGN) 2020 des ENSI-Rates nicht abschliessend behandelt werden. Allfällige Schlussfolgerungen des ENSI-Rates bezüglich der Erfüllung seines Kommunikationsauftrages werden im TGB des Jahres 2021 adressiert.

Beantwortet von KNS

M. Bedeutet Art 71 Abs. 2 Bst. a KEG, dass die KNS grundsätzliche Fragen der Vorsorge hinterfragen kann, auch wenn sie derzeit gesetzlich festgeschrieben sind?

Ausgangslage und Erwägungen

In der Verordnung über die Eidgenössische Kommission für nukleare Sicherheit (VKNS, SR 732.16) wird der in der Frage angeführte Art. 71 Abs. 2 Bst. a KEG näher ausgeführt. So zählt Art. 3 Abs. 1 VKNS beispielhaft, nicht abschliessend Bereiche auf, in denen die KNS grundsätzliche Fragen der nuklearen Sicherheit prüft.
Art. 4 und 5 KEG befassen sich mit den Grundsätzen der nuklearen Sicherheit. Einer dieser Grundsätze ist die Vorsorge bzw. das Vorsorgeprinzip (Art. 4 Abs. 1 & 3 KEG).
Gemäss Art. 3 Abs. 2 VKNS kann die KNS Empfehlungen zur Erhöhung der nuklearen Sicherheit abgeben.

Aus Art. 71 Abs. 2 Bst. a KEG in Verbindung mit Art. 4 Abs. 1 & 3 KEG kann gefolgert werden, dass es sich auch bei der Vorsorge um einen Bereich handelt, in dem die KNS grundsätzliche Fragen prüfen kann.
Sollte die KNS bei der Prüfung von grundsätzlichen Fragen der nuklearen Sicherheit zum Schluss kommen, dass unter Berücksichtigung der aktuellen regulatorischen Vorgaben im Bereich der Kernenergie Potenzial zur weiteren Erhöhung der nuklearen Sicherheit besteht, kann sie unter Bezug auf Art. 3 Abs. 2 VKNS entsprechende Empfehlungen formulieren.

Schlussfolgerung

Die KNS prüft grundsätzliche Fragen der nuklearen Sicherheit und kann Empfehlungen zur Erhöhung der nuklearen Sicherheit abgeben. Entsprechend kann sich die Kommission auch mit Belangen der Vorsorge befassen bzw. diese hinterfragen, auch wenn sie derzeit gesetzlich festgeschrieben sind.

N. Falls Nein. Welche Institution macht es dann?

Siehe Antwort Teilfrage M

Ausgangslage

Eine Kernanlage ist gemäss Art. 7 Bst. c KEV (SR 732.11) zur Beherrschung von Störfällen derart auszulegen, dass keine unzulässigen radiologischen Auswirkungen in der Umgebung der Anlage entstehen. Art. 123 Abs. 1 StSV (SR 814.501) gibt weiter vor, dass die Bewilligungsinhaberin bzw. der Bewilligungsinhaber einer schweizerischen Kernanlage geeignete Massnahmen zur Vermeidung von Störfällen zu treffen hat. Diesbezüglich wird in der Verordnung des UVEK über die Gefährdungsannahmen und die Bewertung des Schutzes gegen Störfälle in Kernanlagen («Gefährdungsannahmenverordnung», SR 732.112.2) ausgeführt, dass anhand der deterministischen Störfallanalyse nachzuweisen ist, dass ein abdeckendes Spektrum von Störfällen durch die getroffenen Schutzmassnahmen wirksam beherrscht wird und damit die grundlegenden Schutzziele eingehalten werden. Ergänzend hierzu ist für Kernkraftwerke anhand der probabilistischen Sicherheitsanalyse (PSA) nachzuweisen, dass die gegen Störfälle getroffenen Schutzmassnahmen ausreichend zuverlässig und ausgewogen sind.

Erwägungen

Die deterministische Störfall- bzw. Sicherheitsanalyse (DSA) bezieht sich im Wesentlichen auf Auslegungsstörfälle. Unter Bezug auf Art. 8 Abs. 4 KEV und Art. 10 Abs. 1 Bst. a KEV ist in der Richtlinie ENSI-A01 «Technische Sicherheitsanalyse für bestehende Kernanlagen: Umfang, Methodik und Randbedingungen» für Auslegungsstörfälle vorgegeben, dass in den Störfallbetrachtungen zusätzlich zum auslösenden Ereignis ein davon unabhängiger Einzelfehler zu unterstellen ist. Fehler mit gemeinsamer Ursache (Common Cause Failures, CCF) sowie Auslegungsfehler werden durch das Einzelfehlerkonzept nicht abgedeckt.

Mittels probabilistischer Nachweise ist zu zeigen, dass auch ein ausreichender Schutz gegen auslegungsüberschreitende Störfälle besteht. In der (Stufe-1-)PSA werden dabei auch Fehler mit gemeinsamer Ursache betrachtet. Hierzu gehört neben der Entwicklung anlagenspezifischer CCF-Parameter unter anderem die Modellierung von CCF auf Ebene von Systemen und Komponenten sowie von systemübergreifenden CCF. Eine PSA ermöglicht die Bewertung der sicherheitstechnischen Bedeutung von Komponenten und Systemen. In die PSA fliessen zudem rückwirkend Daten und Informationen aus tatsächlichen Ausfällen von Komponenten ein.

Szenarien mit CCF gehören bei den bestehenden schweizerischen KKW nicht zu den Auslegungsstörfällen. Gemäss dem Konzept der gestaffelten Sicherheitsvorsorge ist die Beherrschung von Auslegungsstörfällen der Sicherheitsebene 3 (SE3) zugeordnet. Ziel der Sicherheitsebene 4 (SE4) ist die Beherrschung oder Linderung auslegungsüberschreitender Störfälle, wobei eine Unterteilung in die Sicherheitsebene 4a (Beherrschung von sehr seltenen Ereignissen mit Mehrfachversagen von sicherheitsrelevanten Systemen, welche keinen schweren Kernschaden zur Folge haben dürfen) und in die Sicherheitsebene 4b (Begrenzung der Auswirkungen sehr seltener Ereignisse mit folgender Kernschmelze) vorgenommen wird. Auslegungsüberschreitende SE4a-Störfälle, wozu auch Ereignisse mit Mehrfachfehlern bzw. CCF in Sicherheits- oder Notstandsystemen gehören, sind bei den technischen Sicherheitsanalysen der schweizerischen Kernkraftwerke entsprechend zu berücksichtigen.

Schlussfolgerung

Die bestehenden rechtlichen Vorgaben und deren Konkretisierung im aktuellen Regelwerk des ENSI stellen die Basis dar, um die Auswirkungen von CCF in der Sicherheitsanalyse sachgerecht zu berücksichtigen. Diese Vorgehensweise entspricht international akzeptierten Vorgehensweisen bzw. Vorgaben. Die KNS ist der Ansicht, dass dieser methodische Rahmen grundsätzlich weiterhin angemessen ist – auch unter Berücksichtigung der aktuell vorliegenden Erkenntnisse zu den Vorkommnissen betreffend Notstromdiesel im KKB. Die Kommission hat aber keine vertieften Einblicke in die Praxis der Umsetzung von Sicherheitsanalysen in den schweizerischen Kernkraftwerken. Festzuhalten ist, dass die Sicherheitsanalyse für ein Kernkraftwerk ein vergleichsweise komplexer Prozess ist, der auf unterschiedliche Analysen, Ergebnisse und Erkenntnisse zurückgreift. Der Nachweis der Beherrschung von Auslegungsstörfällen unter Einbezug von zusätzlich zum auslösenden Ereignis auftretenden Einzelfehlern ist dabei nur ein Element, das durch weitere, insbesondere probabilistische Analysen, ergänzt wird. Wichtig ist aus Sicht der KNS eine umfassende, komplementäre Sicherheitsbetrachtung unter Einbezug massgebender Ergebnisse aus DSA und PSA sowie der Berücksichtigung der Betriebserfahrung.

Im Hinblick auf die Verminderung bzw. Vermeidung von CCF ist es des Weiteren von zentraler Bedeutung, dass nach entsprechenden Vorkommnissen die ursächlichen Defizite adressiert und analysiert werden, um Verbesserungsmassnahmen abzuleiten zu können. Dies geht über rein technische Belange hinaus und betrifft insbesondere auch organisatorische Aspekte und den Bereich der menschlichen Faktoren.

P. Gibt es sonstige Fragestellungen, welche die KNS im vorliegenden Vorkommnis-Zusammenhang betrachtet hat oder noch betrachten wird?

Wichtige Punkte im Kontext des genannten Vorkommnisses sind nach Einschätzung der KNS die Schnittstellenproblematik Hersteller-Betreiber-Behörde, das Thema Auslegungsdokumentation und Konfigurationsmanagement sowie der Einsatz von Standardkomponenten aus dem nicht nuklearen Bereich und deren Prüfung. Die KNS behält sich vor, diese Punkte in angemessener Form weiter zu verfolgen.

Beantwortet von Kernkraftwerk Beznau

Q. Wie ist es möglich, dass ein Notstromaggregat ausgebaut und totalrevidiert wird und dabei die fehlenden Schockabsorber nicht festgestellt werden?

In den für den Betrieb und Unterhalt relevanten Unterlagen waren weder auf den Zeichnungen noch auf den Ersatzteillisten Schockabsorber aufgeführt.

Die Lieferanten müssen nachweislich über die erforderliche Erfahrung (Ausbildungs- und Fachnachweise), Zertifizierungen und Referenzen (entsprechende Projekte in der Industrie) verfügen. Es gibt auch regulatorische Vorgaben (ENSI B10).

S. Welche Konsequenzen zieht die Axpo aus diesen Vorkommnissen?

Axpo überprüft in den laufenden Projekten die Übereinstimmung der Auslegung mit dem As-Built.
Axpo hat die bestehenden Prozesse (v.a. Abnahme beim Hersteller und im KKB) überprüft.
Axpo thematisiert den Fall im Rahmen der Ausbildungs-, Qualitätssicherungs- und Projektleiter-Zirkel sowie in Branchengremien (CH und international).

T. Nimmt die Axpo am WANO Programm “Performance Analysis: Preventing events by learning from others” oder anderen “Lessons learnt” Programmen teil? Gibt es hierzu eine Verpflichtung? Falls Ja. Welche Meldungen wurden hinsichtlich der hier besprochenen Vorkommnisse (2007, 2017, 2020) gemacht? In ihrer Medienmitteilung vom 19.02.2021 reagiert die Axpo auf die Mitteilung der SES und behauptet, die Darstellung der SES «entbehre jeder Grundlage» (Kap. 2.12). Dazu einige konkrete Fragen.

Ja, Axpo nimmt am WANO Programm und anderen Programmen bezüglich «Lessons Learned» teil. Erfahrungen aus anderen Anlagen werden laufend analysiert und laufend rapportiert. Eigene Erfahrungen werden im Rahmen dieser Programme ausgetauscht. Dies ist nicht nur behördlich gefordert, sondern auch Teil der Axpo-Selbstverpflichtung in der Axpo Nuklearen Sicherheitscharta.

Axpo thematisiert daneben interne Ereignisse (ob meldepflichtig oder nicht) und trifft Massnahmen wo angebracht. Das Ereignis betreffend die Montageabweichung wurde gemeldet. Nicht meldepflichtige/unbedeutende Feststellungen wurden in WANO Peer Reviews thematisiert.

Die Anlage wurde basierend auf dem zu der Zeit höchsten Stand der Sicherheit gebaut. Die Sicherheitsstandards entwickeln sich ständig unter dem Einfluss von neuen Erfahrungen und Entwicklungen im Stand der Technik. Die Investitionen, ob vom ENSI gefordert oder nicht, sind Teil des aktiv im KKB gelebten kontinuierlichen Prozesses, die Sicherheit auf einem hohen Niveau zu halten.

Axpo trifft geeignete Massnahmen, um die Sicherheit auf höchstem Niveau zu halten und sucht kontinuierlich nach Verbesserungen. Massgebliche Verbesserungen in der Sicherheit können nur durch Investitionen realisiert werden. Die Investitionen sind keine Sicherheitsnachweise, wohl aber ein Beweis dafür, dass die Sicherheit bei Axpo den höchsten Stellenwert hat.

Die Aussage, dass «Zwei „dumme Fehler“ (…) Millioneninvestitionen risikotechnisch grösstenteils zunichtegemacht (haben). Bei NANO über Jahrzehnte.» weist Axpo zurück. Die Investitionen haben die Sicherheit massgeblich verbessert – trotz des identifizierten Anpassungsbedarfs blieb das Risiko auf einem sehr tiefen Niveau.

Sicherheitsanforderungen/Regularien/Gefährdungsannahmen sind nicht statisch, sondern dynamisch – sie entwickeln sich ständig weiter. Dies gilt im Übrigen für alle Industrien und Bereiche des Lebens. Axpo als Betreiberin hat die jeweils gültigen Anforderungen erfüllt und dort, wo es Anpassungsbedarf gab, reagiert.

X. Zu «Die Sicherheit des Werks war und ist durch redundante Notspeisesysteme für die Kühlung jederzeit gewährleistet. Um die Anlage zu kühlen, reicht ein Dieselaggregat. Dabei kann ein Diesel infolge seiner grossen Kapazität sogar beide Blöcke gleichzeitig versorgen.» Die Fragesteller gehen davon aus, dass ein Erdbeben in beiden Blöcken bzw. bei beiden NANO Dieselaggregaten (mit jeweils fehlenden Schockabsorbern) stattgefunden hätte. Im Erdbebenfall ist bei den anzunehmenden Auswirkungen eine Gefährdung durch übergreifende Einwirkungen zu berücksichtigen (Art. 1 Bst. f und Art. 5 Abs. 2 Gefährdungsannahmenverordnung https://www.fedlex.admin.ch/eli/cc/2009/444/de#art_5). Die Störfallbetrachtung muss also einen Bezug zur Realität haben, was auch die Erfahrung in Fukushima (3 Kernschmelzen in 3 gleichermassen exponierten Blöcken) lehrt. Die Axpo wird gebeten, mit Bezug zu Ihrem Zitat hierzu Stellung zu nehmen.

Zur Beherrschung der denkbaren Szenarien stehen redundante und diversitäre Systeme zur Verfügung. Zudem erfolgt die Auslegung der Systeme generell mit konservativen Methoden und Sicherheitsmargen. Der Sicherheitsnachweis, dass ein Dieselaggregat beide Blöcke gleichzeitig versorgen kann, wurde erbracht und dem ENSI eingereicht.

Für auslegungsüberschreitende Störfälle gibt es seit den 90er-Jahren Einspeise-Stutzen zur Reaktorkühlung mit mobilen Pumpen. Über diese Stutzen kann der Reaktorkern mit mobilen, am Standort vorhandenen Pumpen gekühlt werden.

Y. Zu «Hervorzuheben gilt es, dass die am Standort Beznau vorhandenen Dieselaggregate periodisch und systematisch auf ihre Funktionstüchtigkeit geprüft werden.» Die Fragesteller verweisen darauf, dass eine reine Betriebsprüfung der Dieselaggregate für die Funktionstüchtigkeit bei hier massgeblichen Störfallbedingungen (Auslegungserdbeben) nicht aus-sagekräftig ist. Die relevanten Versagensmechanismen durch fehlende Schockabsorber werden naturgemäss nicht provoziert, das haben ja auch 30 Jahre diesbezüglich wirkungsloses Testregime gezeigt. Der Fall hat vielmehr gerade aufgezeigt, wie begrenzt die Aussagekraft von Funktionsprüfungen und Störfallnachweisen sein kann, weil naturgemäss oft nicht mir realen Störfallbedingungen und/oder Volllast geprüft werden kann. Die Axpo wird gebeten, mit Bezug zu Ihrem Zitat hierzu Stellung zu nehmen.

Die Funktionstüchtigkeit eines Notstromdieselmotors wird gemäss KTA-Zertifizierung nachgewiesen. Dabei wird ein unter Last laufender Motor inklusive der relevanten Anbaukomponenten geschüttelt (Typenprüfung). Rechnerische Nachweise mit konservativen Methoden ergänzen die KTA-Zertifizierung. Die beiden Verfahren decken zusammen mit den periodischen Funktionsprüfungen die Anforderungsfälle ab.

Z. Zu «Zwei weitere einsatzbereite Dieselaggregate für auslegungsüberschreitende Störfälle vorhanden».

Die Axpo wird gebeten, mit Bezug zu Ihrem Zitat hierzu Stellung zu nehmen.

Die Aussage, dass «das Kernkraftwerk Beznau „jahrzehntelang ohne Erdbebenschutz“ betrieben worden ist» entspricht nicht den Tatsachen und wird von Axpo zurückgewiesen. Das KKB wies über alle Jahrzehnte den geforderten Erdbebenschutz auf. So erfüllten die NS-Diesel trotz fehlender Schockabsorber seit 1992 die Anforderungen des Sicherheitserdbebens SSE. Fakt ist auch, dass Axpo laufend in die Sicherheit investiert, die Belegschaft ausbildet und periodisch Notfälle realistisch übt. Neue Erkenntnisse werden laufend beurteilt und es wird daraus gelernt.

Das ENSI

Organisation

Nukleare Sicherheit und Sicherung

Recht und Regelwerk

International

Kernanlagen

KKW Beznau

KKW Gösgen

KKW Leibstadt

Tiefenlagerung

Strahlenschutz

Radioaktivität

Notfallschutz

Vorsorge

Im Ereignisfall

Forschung

Geologische Tiefenlagerung und Zwischenlagerung

Dokumente