Freitag, 29. März 2024

Archiv


Sicherheitsmängel beim Europäischen Druckwasserreaktor

Kernenergie. - Der Europäische Druckwasserreaktor EPR gerät wegen Sicherheitsdefiziten in die Diskussion. Nach Ansicht der Atomaufsichtsbehörden in Frankreich, Großbritannien und Finnland sind die Sicherheitssysteme des EPR nicht ausreichend von den Kontrollsystemen für den Normalbetrieb isoliert. Im Störfall könnten beide zugleich ausfallen. Die Wissenschaftsjournalistin Dagmar Röhrlich erklärt im Gespräch mit Uli Blumenthal.

04.11.2009
    Blumenthal: Der Bau der ersten Europäischen Druckwasserreaktoren EPR in Frankreich und Finnland hat einen Rückschlag erlitten. Die Atomaufsichtsbehörden in Großbritannien, Frankreich und Finnland fordern wegen Sicherheitsmängeln im Reaktorkontrollsystem eine Nachbesserung des Konzepts. Atomkraftgegner werfen den französischen Behörden schwere Versäumnisse bei der EPR-Genehmigung vor. Für den französischen Hersteller Areva ist die Sicherheit der Reaktoren jedoch nicht infrage gestellt. Das Unternehmen will dafür bis Jahresende den Beweis bringen. Dagmar Röhrlich im Studio, Fachkollegin in Fragen Atomsicherheit und Atomkraftwerke. Bevor wir auf die Details eingehen: Was ist das für ein Reaktortyp, EPR?

    Röhrlich: Das ist der Europäische Druckwasserreaktor und das ist ein Reaktor der sogenannten Generation 3+. Die Generation 3 war erdacht worden, weil sie leistungsfähiger sein soll und sicherer als die derzeitig laufenden Kernkraftwerke. Das Plus soll andeuten: Man ist schon auf dem Weg zur Generation 4, die derzeit nur in Computern existiert und wo dann beispielsweise die Schwerkraft über irgendwelche Wasserströme, die im Ernstfall herunterfallen, die Sicherheit bringen sollen. Bei diesem Reaktor der dritten Generation plus sind jetzt Probleme in der Leittechnik aufgetaucht. Das ist insofern interessant, weil der EPR zum einen der erste Reaktor ist, der komplett von Anfang an dafür gebaut worden ist, dass er von der Software gesteuert wird und nicht mehr von irgendwelchen Transistoren und sonstigen Schaltungen. Und zum anderen ist es wichtig für alle anderen laufenden Reaktoren, weil die demnächst umgerüstet werden sollen auf digitale Steuerung - es gibt einfach die Ersatzteile nicht mehr.

    Blumenthal: Was ist nun das Problem eigentlich? Die Rede ist von Softwarefehlern, von Kreisläufen, wie muss man das zusammenbringen?

    Röhrlich: Also die Briten überprüfen im Moment, ob der EPR prinzipiell bei ihnen im Land genehmigungsfähig ist, und da arbeiten sie natürlich mit den Finnen und den Franzosen, wo der Reaktor ja schon gebaut wird, zusammen. Dabei ist ihnen aufgefallen, dass diese Leittechnik nicht so funktionieren wird, wie man das eigentlich gerne möchte. Die ganzen Systeme für die normale Steuerung und für die Notsteuerung sind nämlich nicht komplett getrennt voneinander, sondern in der Software gibt es ganz viele gemeinsam genutzte komplexe Verbindungen zwischen der Kontroll- und der Steuertechnik, sodass man da fürchtet, dass diese Kontroll- und den Steuersysteme nicht genug auseinandergehen, dass man also nicht verhindern kann, dass es eines Tages dazu kommt, dass die sich gegenseitig behindern im Ernstfall oder dass beispielsweise etwas völlig ausfällt, beide völlig ausfallen und man dann davor steht, dass der Reaktor führerlos ist.

    Blumenthal: Das heißt, ich habe also zwei Kreisläufe, einen normalen und einen Notfallkreislauf, aber die greifen teilweise auf die gleiche Software zurück und damit habe ich ein Problem im Störfall zumindest. Ist das jetzt eigentlich überraschend? An so was muss man eigentlich doch denken? Ich würde ja auch bei meinem Auto sozusagen nur einen Bremskreislauf haben - ich habe ja immer noch - dummes Beispiel - eine Handbremse.

    Röhrlich: Ich glaube, dass es ein so ungeheuer komplexes System ist, so ein neuer Reaktor, wie der da gebaut wird, dass man vieles halt einfach in seiner ganzen Tragweite erst "Learning by Doing" hat. Früher war es ja so: Man hat irgendwelche schönen Transistoren, Verkabelungen, man hat etwas, wo man das Messgerät reinstecken kann und sieht, das funktioniert oder das funktioniert nicht. Selbst dabei kann man noch genug übersehen. Aber jetzt habe ich nur noch ein paar Dutzend Rechner. Die werden vorher geprüft, da laufen Simulationen: Was passiert, wenn. Wenn ich aber einen Störfall übersehe oder ich habe einen Parameter anders gesetzt oder es passiert irgendwas, was ich nicht bedacht habe, dann kann diese Simulation mir natürlich auch nicht zeigen, wo das Problem liegt. Das sind so Sachen, die jetzt zum Tragen kommen könnten, dass da irgendein Zugriff von einem Softwarebaustein ist, den man so nun wirklich nicht haben wollte.

    Blumenthal: Was bedeutet eigentlich für Deutschland? Bei uns wird ja auch die Nachrüstung gerade vor allen Dingen dieser ganzen Steuerungssysteme und der Softwareeinrichtungen diskutiert. Was lernen wir aus Deutschland heraus bei dieser Diskussion?

    Röhrlich: Zurzeit ist es so, dass man darüber nachdenkt: Wie können unsere Reaktoren weiter gehandlet werden, denn es ist so, dass einfach keine analogen Systeme mehr da sind - man muss jetzt umsteigen. Das steht in vielen Ländern an, und kein Land hat bisher sich so richtig da dran gewagt. Denn man hat kaum Auswahl an Chipproduzenten, kaum Auswahl an Softwareherstellen, die halt diese komplexen Systeme schreiben konnten. Es ist zurzeit so, dass man verschiedene Sicherheitssysteme hat, die nicht gleich aufgebaut sein sollten, damit nicht ein Fehler durch Zufall in allen Systemen gleichzeitig ist. Wenn ich aber jetzt eine Hardware habe und ein Programm, dann kann ich die auch achtfach haben: Wenn der Fehler auftritt und der ist wichtig, dann schlägt der durch und ich habe ein Problem. Deshalb ist es so, dass bei der digitalen Nachrüstung zurzeit die Sicherheitsexperten in Deutschland sagen: Wenn man nur diese homogenen Systeme hat, wie es so schön heißt, dann sind die nicht genehmigungsfähig. Man muss da eine Varianz schaffen. Die Frage ist, wie man das jetzt hinbekommen wird.