Beschwerde gegen ENSI: Nukleare Sicherheit nicht nur in den ersten 30 Minuten
Abbildung: Nukleare Sicherheit mit der Eieruhr? Beschwerde dagegen, dass nach 30 Minuten die Regeln für qualifizierte Sicherheitssysteme in AKW aufgehoben werden sollen.
Am 1. Juli 2016 haben wir unsere Beschwerde gegen die Verfügung des ENSI in Sachen „mobilen Pumpen“ eingereicht. Dabei halten wir vollumfänglich daran fest, das ENSI habe seine rechtswidrigen Handlungen festzustellen, in Zukunft zu unterlassen und die Folgen zu beseitigen. Wir Anwohner bedanken uns bei Greenpeace für die Unterstützung.
Überprüfung nach Fukushima
Nach der Fukushima Nuklearkatastrophe mussten die Schweizer AKW-Betreiber nachweisen, dass ihre Anlagen u.a. den Hochwasser-Auslegungsstörfall beherrschen können. Dabei sollten Erfahrungen aus Fukushima berücksichtigt werden, etwa ein langes Ausbleiben von externer Hilfe und die Verstopfung der Kühlwasserfassungen. Nach den nationalen und internationalen Regelwerken ist nachzuweisen, „dass die zur Umsetzung des Konzepts der gestaffelten Sicherheitsvorsorge getroffenen technischen und organisatorischen Schutzmassnahmen wirksam sind“.
Das ENSI stellte damals zwar fest, dass die Kühlwasserzuleitung verstopfen kann, akzeptierte den Nachweis aber trotzdem, indem es mobile Pumpen zur Kühlwasserversorgung anrechnete. Mobile Mittel sind jedoch keine sog. „qualifizierten Sicherheitssysteme“, deshalb ist nach den Regelwerken deren Anrechnung unzulässig. Solche Massnahmen, die das ENSI selber „Accident Management“ nennt, dürfen nach dem direkten Wortlaut der IAEA-Regeln ausdrücklich nicht benutzt werden, um Design-Mängel zu entschuldigen („may not be used to excuse design deficiencies„).
Abbildung: Atomkraftwerk Mühleberg mit Einspeisestelle für mobile Pumpen. Die Einsatzkräfte stehen dort beim postulierten Hochwasser bis zu 80cm tief in der Flut.
Unterstützt von Greenpeace haben wir deshalb rechtliche Schritte gegen das ENSI eingeleitet. Nach einem Umweg über das Bundesgericht mit Niederlage des ENSI erliess dieses nun mehr als vier Jahre später endlich die beschwerdefähige Verfügung.
Nur 30 Minuten Nukleare Sicherheit
Das ENSI stellt sich darin auf den Standpunkt, dass dies alles doch erlaubt sei. Dabei verwendet es im Kern ein einziges Argument, nämlich dass mit der Erlaubnis, nach 30 Minuten Handlungen anzurechnen, auch irgendwie (Zitat) „unausgesprochen“ mobile Ausrüstungen und andere nicht qualifizierte Ausrüstungen und Bauwerke angerechnet werden können. Dass somit—in der Terminologie der gestaffelten Sicherheitsvorsorge—beim Einsatz von organisatorischen Schutzmassnahmen, die strengen Anforderungen an die technischen Schutzmassnahmen gleichsam ihre Gültigkeit verlieren. Das ENSI verfügt:
… Art. 7 Bst. c [Anm.: Auslegung mit Sicherheitssystemen] i.V.m. Art. 10 Abs. 1 Bst. f KEV [Anm.: 30-Minuten Regel] … verlangen nicht, dass der Störfall Extremhochwasser beim KKM einzig mit klassierten Sicherheitssystemen beherrscht werden müsste, wie die Gesuchsteller meinen.
Zur „Begründung“ besteht die Verfügung zum einen aus einem gebetsmühlenartigen Ablenkungsmanöver weg von den Ausrüstungen hin zu den Handlungen. Obwohl es schwierig sein dürfte, einen Kernreaktor mit blossen Händen („Handlungen“) zu kühlen, versichert die Atomaufsichtsbehörde…
… dass es gerade bei der externen Überflutung zulässig ist, Schutzmassnahmen in Abhängigkeit von Schwellenwerten festzulegen und als Handlungen zuverlässig im Anforderungsfall auszuführen. Darum geht es beim hier betroffenen Realakt.
Zum anderen versucht das ENSI, die zahlreichen nationalen und internationalen Regeln, die klarerweise das Gegenteil vorschreiben, zu zerreden und zu relativieren, wobei es nicht einmal vor unverzeihlichen fachlichen Fehlübersetzungen aus dem Englischen zurückschreckt (s.u.). Angesichts des wörtlich anders lautenden Schweizer Regelwerkstexts, trötzelt das ENSI, es seien …
… unausgesprochen allfällige Ergänzungen durch manuelle Handlungen mit geeigneter Ausrüstung … vorbehalten“ .
Es versichert schliesslich, man habe es gar nicht so gemeint mit dem „Accident Management“ und deshalb sei…
… diese Terminologie für sich allein nicht ausschlaggebend für die Beurteilung der rechtlichen Zulässigkeit des Realakts.
[Hervorhebungen bei Zitaten hinzugefügt]
Wiederholungstat: Das Hochreservoir soll es richten
Abbildung: Hochreservoir Runtigenrain und ungefährer Verlauf der Leitung zum KKM
Das ENSI versucht auch darzulegen, der Fall sei gar nicht mehr aktuell, habe das KKM doch inzwischen eine Einbindung der bestehende Hochreservoir-Leitung nachgerüstet. Nur ist auch dieses Hochreservoir bzw. die Leitung zum KKM wiederum kein qualifiziertes Sicherheitssystem (und kann ausserhalb des Kraftwerksareals auch gar keins sein). Damit begeht das ENSI gleich nochmals dieselbe Rechtswidrigkeit, was aufzeigt, wie richtig und wichtig unser Verfahren nach wie vor ist. Die selbe Kühlwasserversorgung wird übrigens auch nach der Stilllegung 2019 noch weitere fünf Jahre für das Brennelemente-Lagerbecken benötigt.
Schon vor einem Vierteljahrhundert hatte der Bundesrat in der Bewilligung des KKM ggü. Einsprechern versichert, das Hochreservoir werde bei der Störfallanalyse nicht angerechnet. Indem das ENSI dies nun wieder zulässt, versetzt es die Schweiz in die haarsträubendsten Wildwest-Jahre der Atomtechnik zurück.
Der Ablöscher: Total Station Blackout
In der Verfügung dokumentiert das ENSI erstmals seine Annahmen zum Zeitpunkt, wann die Verstopfung der Kühlwasserfassung eintritt. Weil die einzigen verfügbaren Notstrom-Dieselgeneratoren ebenfalls von diesem Wasser gekühlt werden, wird klar, dass tatsächlich ein „Total Station Blackout“, also ein vollständiger Ausfall der Stromversorgung, angenommen wurde. Sämtliche Pumpen und andere Verbraucher mit hoher Leistung fallen aus!
Der Reaktor soll dann durch blosses Abblasen von Dampf gekühlt werden (ohne Neuzufuhr von Kühlwasser). Das AKW siecht so maximal ~14 Stunden auf Batterien vor sich hin, eine haarsträubende, prekäre Situation. Den Stromausfall und die Batterielaufzeit verschweigt (vergisst?) das ENSI in der Verfügung und rechnet stattdessen grosszügiger mit 22 Stunden, bis die Wasservorlage im Torus (wo der abgeblasene Dampf kondensiert wird) zu heiss würde. Bis dann müsse die Kühlung durch die mobilen Pumpen wiederhergestellt sein (und danach als Feuerwehrmassnahme unterbruchsfrei tage- und nächtelang funktionieren).
Abbildung: Betriebspersonal im Kontrollraum Block 1 Fukushima Daiichi bei totalem Ausfall des Stromes (inkl. Batterien), Foto: Nuclear and Industrial Safety Agency (NISA), Japan
Alleine die Tatsache, dass das ENSI einen Total Station Blackout akzeptierte, der nur noch mittels Accident Management behoben werden könnte—sechs Monate nachdem eine wirklich sehr vergleichbare Situation in Fukushima zu drei Kerndurchschmelzen führte—spottet jeder Beschreibung. Die hohe Bedeutung unseres Verfahrens hat sich damit noch weiter erhärtet.
Für Details und Belege möchten wir auf die nachfolgende Vertiefung sowie auf unsere Argumentation in der Beschwerde verweisen.
Beschwerde (mobile Pumpen)- Verfügung des ENSI (mobile Pumpen) [ensi.ch] →
- Gesuch nach Art. 25a VwVG (mobile Pumpen)
- Weiteres zum Thema →
Die Anwohner,
Markus Kühni
+41 79 294 03 31
mailto:markus@energisch.ch
Rainer Burki
+41 79 369 23 21
mailto:rainer.burki@bluewin.ch
Mit herzlichem Dank für die Unterstützung durch Greenpeace.
Hintergründe
Konzept der gestaffelten Sicherheitsvorsorge
Abbildung: aus der Propagandaschrift der Schweizerische Vereinigung für Atomenergie (SVA) „Sicher, Sauber, Unentbehrlich, Unerschöpflich“ von 1971 – Eine Illustration der gestaffelten Sicherheitsvorsorge mit einem hemmungslosen Rechenbeispiel, wie es vor Three Mile Island, Tschernobyl und Fukushima noch herumgeboten wurde.
Das sogenannte Konzept der gestaffelten Sicherheitsvorsorge (engl. Defence in Depth) ist das fundamentale, international anerkannte und völkerrechtlich verbindliche Grundprinzip nuklearer Sicherheit. Es wird bereits seit Jahrzehnten hervorgehoben, so etwa in der Abbildung oben aus der Propagandaschrift der Schweizerische Vereinigung für Atomenergie (SVA) von 1971. Es ist in der Schweiz Teil der Gesetzgebung:
Konzept der gestaffelten Sicherheitsvorsorge: Sicherheitskonzept, das auf mehreren Ebenen aufeinander folgende und voneinander unabhängige Schutzmassnahmen umfasst, die bei Abweichungen vom Normalbetrieb unzulässige radiologische Auswirkungen in der Umgebung verhindern und Freisetzungen in gefährdendem Umfang lindern.
Wenn es um die Einhaltung der grundlegenden Schutzziele geht, gehört es integral dazu (Hervorhebungen hinzugefügt):
- Der … Bewilligungsinhaber für jeden angenommenen Störfall nachzuweisen, dass die zur Umsetzung des Konzepts der gestaffelten Sicherheitsvorsorge getroffenen technischen und organisatorischen Schutzmassnahmen wirksam sind.
- Er hat hierfür insbesondere aufzuzeigen, dass die benötigten Bauwerke und Anlageteile die auf sie wirkenden Störfalllasten abtragen können.
Wie im Absatz 1 angesprochen, geht es sowohl um technische, als auch um organisatorische Schutzmassnahmen; technisch, um die benötigten „Bauwerke und Anlageteile“, organisatorisch um die notwendigen Handlungen des Betriebspersonals. Absatz 2 betont die Wichtigkeit der „Bauwerke und Anlageteile“ beim Nachweis.
Die fünf Sicherheitsebenen werden üblicherweise als Tabelle dargestellt (man darf sich bildlich jede Tabellenzeile als Pfanne vorstellen):
| Sicherheitsebene | Ziel | Mittel |
| 1 | Vermeidung von Abweichungen vom Normalbetrieb | konservative Auslegung und hohe Fertigungsqualität der Betriebssysteme, gute Betriebsführung |
| 2 | Beherrschung von Abweichungen vom Normalbetrieb | Begrenzungs- und Schutzsysteme, Mess- und Alarmsysteme zur Entdeckung von Fehlern |
| 3 | Beherrschung von Auslegungsstörfällen | qualifizierte Sicherheitssysteme mit ihren Mess-, Alarm- und Auslöseeinrichtungen |
| 4 | Beherrschung oder Linderung der Auswirkungen auslegungsüberschreitender Störfälle | präventives und mitigatives Accident Management |
| 5 | Linderung der Auswirkungen von Freisetzungen radioaktiver Stoffe | Massnahmen zur Minimierung der Strahlendosis der Bevölkerung und des Personals |
Quelle: Integrierte Aufsicht, ENSI-Bericht zur Aufsichtspraxis, 6 November 2014, Tabelle 3: Ebenen der gestaffelten Sicherheitsvorsorge (Sicherheitsebenen)
Für jede Sicherheitsebene gilt es, spezifische Massnahmen („Mittel“) vorzusehen. Wobei je nach Sicherheitsebene unterschiedliche Regeln gelten, welche die Anforderungen an die technischen und organisatorischen Schutzmassnahmen festlegen. Bei unserem Verfahren geht es um die Sicherheitsebene 3, nämlich die Beherrschung des Auslegungsstörfalles „Niederschlagshochwasser“. Sicherheitsebene 3 ist zweifellos die wichtigste und anforderungsreichste Sicherheitsebene (bei externen Naturereignissen wie dem Hochwasser spielen die Sicherheitsebenen 1 und 2 praktisch keine schützende Rolle).
Indem das ENSI selber seinen mobile-Pumpen-Einsatz als „AM Massnahmen“, also „Accident Management Massnahmen“ bezeichnet, zeigt ein Blick auf die oben dargestellte Tabelle, dass diese erst auf der Sicherheitsebene 4 erlaubt sind. Indem das ENSI also die Sicherheitsebene 3 schlicht überspringt, statt „aufeinander folgende und voneinander unabhängige Schutzmassnahmen„ vorzusehen, verletzt es das fundamentale Prinzip der gestaffelten Sicherheitsvorsorge in gravierender Weise.
Zu Erwähnen ist hierzu der folgende Satz aus den IAEA Regeln zur gestaffelten Sicherheitsvorsorge (INSAG-10, Art. 43):
Accident management may not be used to excuse design deficiencies at prior levels.
Übersetzung:
Accident Management darf nicht eingesetzt werden, um Auslegungsmängel auf vorherigen Ebenen zu entschuldigen.
Das ENSI versucht dies in der Verfügung mit einer unverzeihlichen fachlichen Fehlübersetzung aus dem Englischen „auszugleichen“:
Bedeutsam im vorliegenden Zusammenhang ist auch der Hinweis in Kap. 5.28 von NS-R-1 (bzw. Kap. 5.12 von SSR-2/1), dass gegebenenfalls dafür auch Notfallmassnahmen („emergency procedures“) angerechnet werden dürfen.
In der Fachsprache sind „Notfallmassnahmen“ gleichbedeutend mit „Accident Management“, mit dieser Fehlübersetzung behauptet das ENSI also effektiv, die IAEA erlaube Accident Management auf Sicherheitsebene 3 was wie vorher gezeigt diametral falsch ist.
„Emergency Procedures“ müsste korrekterweise mit „Notfallanweisungen“ übersetzt werden. Bei Notfallanweisungen geht es um Organisatorische Dokumente zur „Organisation und Verantwortlichkeit für den Notfall“. Mit Dokumenten für sich genommen kann man kaum einen Reaktor kühlen, also kann man sie auch nicht als solche „anrechnen“. Es müssen letztlich immer Ausrüstungen und Bauwerke eingesetzt werden, die zwar in den Notfallanweisungen durchaus aufgelistet werden können, was aber selbstverständlich in keiner Weise bedeutet, dass damit plötzlich die gesetzlichen Anforderung an diese technischen Schutzmassnahmen ausgehebelt würden.
Technische Schutzmassnahmen – Sicherheitstechnische Klassierung
Als technische Schutzmassnahmen sind auf Sicherheitsebene 3 „qualifizierte Sicherheitssysteme mit ihren Mess-, Alarm- und Auslöseeinrichtungen“ vorzusehen (siehe Tabelle weiter oben). Die „qualifizierten Sicherheitssysteme“ werden bestimmt durch die sog. „sicherheitstechnische Klassierung„, wo Ausrüstungen und Bauwerke „aufgrund ihrer Bedeutung für die nukleare Sicherheit und den Strahlenschutz“ den Sicherheitsklassen (mechanisch SK, elektrisch E) bzw. Bauklassen (BK) zugeordnet werden. Diese Zuordnung erfolgt anhand der Funktion, die eine Ausrüstung erfüllen muss. Ist es eine für die Nukleare Sicherheit wichtige Funktion, nennt man sie „Sicherheitsfunktion„.
Die folgenden Zuordnungen aus der Richtlinie „G01 Sicherheitstechnische Klassierung für bestehende Kernkraftwerke“ illustrieren dies (gleichzeitig handelt es sich um die wichtigsten Sicherheitsfunktionen, die im Verfahren relevant sind):
Folgende Systeme sind der SK 3 zuzuordnen:
a. Wärmeabfuhrsysteme zur Erfüllung der unter Abschnitt 4.1.2 genannten Sicherheitsfunktionen, wie z. B. nukleare Zwischen – und Nebenkühlwassersysteme;
b. Hilfssysteme von Ausrüstungen der SK 1 bis 3 wie z. B. Kühlwasser-,
Sperrwasser- und Ölversorgung, Steuerluft, Hydraulikflüssigkeit, die zur Erfüllung
der Sicherheitsfunktionen dieser Komponenten erforderlich sind.…
c. mechanische Ausrüstungen der Notstromversorgung;
Aufgrund der Sicherheitsklassen ergibt sich die Definition, was „Sicherheitseinrichtungen“ sind. Aus dem ENSI Glossar:
Sicherheitseinrichtungen: Unter Sicherheitseinrichtungen werden Strukturen, Systeme und Komponenten (SSK) verstanden, die gemäss der Richtlinie ENSI-G01 der Bauwerksklasse BK I sowie den Sicherheitsklassen SK 1 bis 3 und 1E zugeordnet sind.
(ENSI-G09)
Die Zuordnung zu einer Sicherheitsklasse hat weitreichende Verpflichtungen zur Folge:
In Abhängigkeit der sicherheitstechnischen Klassierung der Ausrüstungen und Bauwerke werden in anderen Teilen des Regelwerks die Anforderungen an deren Auslegung, Qualität und Instandhaltung sowie die Melde- und Freigabepflichten im Aufsichtsprozess festgelegt.
Es sind diese Anforderungen, welche das „qualifiziert“ bei „qualifizierte Sicherheitssysteme“ ausmachen. Man sieht, wie das Regelwerk eine verbindliche Qualifizierung (man könnte auch sagen Zertifizierung) der Sicherheitssysteme in Abhängigkeit von deren Sicherheitsfunktion fordert. Nur so kann die erforderliche Zuverlässigkeit der Ausrüstung sichergestellt werden — durch die genannten Instandhaltungs-, Melde- und Freigabepflichten auch dauerhaft. Übrigens richtet sich auch die zunehmend wichtige Alterungsüberwachung alleine auf die zu klassierenden Bauwerke und Ausrüstungen.
So ist es wenig erstaunlich, wenn sowohl das Schweizerische Regelwerk, als auch die die internationalen Standards fordern, dass innerhalb einer Störfallanalyse zur Erfüllung von Sicherheitsfunktionen nur diese Sicherheitseinrichtungen angerechnet werden dürfen. Die WENRA Safety Reference Levels for Existing Reactors (SRL) werden diesbezüglich am deutlichsten (Übersetzung):
E8.3 Nur Systeme, die entsprechend sicherheitstechnisch klassiert sind, können kreditiert werden, um eine Sicherheitsfunktion zu erfüllen. Nicht sicherheitstechnisch klassierte Systeme dürfen nur dann als operativ angenommen werden, wenn sie die Auswirkungen des auslösenden Ereignisses verschlimmern25.
[Fussnote] 25 Dies bedeutet, dass nicht sicherheitstechnisch klassierte Systeme entweder als nicht funktionierend nach dem Auslöser, oder als weiterhin funktionierend wie vor dem Auslöser angenommen werden muss, je nachdem welcher der beiden Fälle sich schlimmer auswirkt.
Das ENSI hat im Erläuterungsbericht zur massgeblichen Richtlinie A01 aktenkundig bestätigt, dass diese Regel (in ihrer vorherigen Fassung) auch in der Schweiz gilt (Zitat: „Berücksichtigt in Kap. 4.4.2“).
In der Verfügung versucht das ENSI nun aber diese Regel zu entkräften, indem es einerseits im direkten Widerspruch zu seinem eigenen Erläuterungsbericht behauptet, solche Regeln seien lediglich unverbindlich „als Ziele, die wenn immer möglich erreicht werden sollten“ zu betrachten. Andererseits versucht es allen Ernstes glaubhaft zu machen, die WENRA habe nach den Erfahrungen aus Fukushima Daiichi (durch das 2014 neu geschaffene Kapitel „Issue T“) ausgerechnet eine Aufweichung der Regeln eingeführt:
Diesen Vorschriften lässt sich eine gewichtige Relativierung der Anforderung nach Sicherheitssystemen, wie sie in SRL, lssue E, 8.3 verankert ist, entnehmen.
Selbstredend trifft das Gegenteil zu: nach den bitteren Erfahrungen aus Fukushima wollte man die Regeln verschärfen und erweitern.
Bild: Geringes Hochwasser beim AKW Mühleberg vom 4. Mai 2015 – 
Anklicken für Video→
Organisatorische Schutzmassnahmen – 30 Minuten-Regel und Störfallvorschriften
Nicht nur die technischen, sondern auch die organisatorischen Schutzmassnahmen, also die Handlungen des Betriebspersonals, müssen den spezifischen Regeln der Sicherheitsebene 3 innerhalb der gestaffelten Sicherheitsvorsorge entsprechen, um ihre Zuverlässigkeit zu gewährleisten.
In der ersten Zeit sollen zunächst gar keine Handlungen erforderlich sein:
Sicherheitsfunktionen müssen derart automatisiert werden, dass bei Störfällen … keine sicherheitsrelevanten Eingriffe des Personals innerhalb der ersten 30 Minuten nach dem auslösenden Ereignis erforderlich werden.
Alle erforderlichen Handlungen müssen vorbereitet und in Handlungsvorschriften festgehalten werden:
Die Betriebs- und Störfallvorschriften regeln den sicheren Anlagebetrieb insbesondere im Normalbetrieb und bei Störfällen….
Aber niemand bestreitet es: nach 30 Minuten sind Handlungen erlaubt. Es wäre ja auch völlig illusorisch zu meinen, man könne sämtliche Störfälle längerfristig vollautomatisch von einem Leitrechner abhandeln lassen. Das Betriebspersonal muss die Situation korrekt diagnostizieren und die richtigen Massnahmen einleiten.
Dabei geht es bei diesen Handlungen klarerweise um die Beobachtung der Messinstrumente und Alarme, die korrekte Diagnostizierung des Anlagezustandes und die sich daraus ergebenden Inbetriebnahme, Steuerung und Regelung von Sicherheitssystemen. Dies passiert im Regelfall vom Kontrollraum aus, ggf. können auch Handlungen mit sonstigen Armaturen in der Anlage gemeint sein, jedoch immer mit qualifizierten Sicherheitssystemen.
Das ENSI sieht es freilich ganz anders…
Abbildung: Die SVA-Pfannen à la ENSI: Nukleare Sicherheit nur auf Zeit.
Schreibe einen Kommentar