1.1 Einleitung

Forschungsreaktoren unterliegen während der Errichtung, des Betriebes und der Stilllegung sowie bei Veränderungen an der Anlage und ihrer Betriebsweise in allen sicherheitsrelevanten Bereichen nach § 19 des Atomgesetzes der staatlichen Aufsicht. Im Rahmen der atomrechtlichen Aufsicht werden der Zustand der Anlage und ihre Betriebsweise auf Übereinstimmung mit den Bestimmungen der Genehmigungsbescheide kontrolliert. Darüber hinaus erfolgt die Prüfung der Notwendigkeit der Umsetzung neuer sicherheitstechnischer Erkenntnisse aus Betriebserfahrungen, aus Sicherheitsanalysen sowie nach Stand von Wissenschaft und Technik.

Nach § 19a Absatz 3 des Atomgesetzes sind die Betreiber von Forschungsreaktoren dazu verpflichtet, alle zehn Jahre die nukleare Sicherheit der Anlage zu überprüfen und zu bewerten.

Für die staatlichen Aufsichtsbehörden ergänzt die Periodische Sicherheitsüberprüfung (PSÜ) die Erkenntnisse über den sicherheitstechnischen Anlagenzustand aus der ständigen Aufsicht. Durch die PSÜ muss alle zehn Jahre auf Basis der erteilten Genehmigungen, des Ist-Zustandes der Anlage und der Anforderungen des Standes von Wissenschaft und Technik der Sicherheitsstand von Forschungsreaktoren in Betrieb ganzheitlich erfasst und schutzzielorientiert beurteilt werden. Planung und Durchführung der PSÜ sollen in Abstimmung zwischen dem Genehmigungsinhaber und der zuständigen atomrechtlichen Aufsichtsbehörde erfolgen. Die Aufsichtsbehörden prüfen die eingereichten Dokumente auf eine vorschriftsmäßige Durchführung der PSÜ. Sie prüfen und bewerten, ggf. mit Hilfe von hinzugezogenen Sachverständigen nach § 20 des Atomgesetzes, ob die nach dem Stand von Wissenschaft und Technik erforderliche Vorsorge gegen Schäden durch die Errichtung und den Betrieb weiterhin als getroffen anzusehen ist. Aus den behördlichen Prüfungen können sich Nachforderungen ergeben. Zweck des Leitfadens ist es, eine grundsätzliche Vorgehensweise der PSÜ bei Forschungsreaktoren festzulegen. Der Umfang der PSÜ richtet sich nach dem Gefährdungspotential der Anlage.

Bei endgültig abgeschalteten Anlagen bis zur Stilllegung legen die zuständigen atomrechtlichen Aufsichts- und Genehmigungsbehörden den Umfang und Inhalt einer Überprüfung der Anlagensicherheit unter Betrachtung des veränderten Gefährdungspotentials und den noch zu betrachtenden Schutzzielen und radiologischen Sicherheitszielen fest. Eine Sicherheitsüberprüfung erfolgt beispielsweise im Rahmen eines Genehmigungsverfahrens zur Stilllegung und zum Abbau der Anlage nach § 7 Absatz 3 des Atomgesetzes.

1.2 Ziele und Grundsätze der Periodischen Sicherheitsüberprüfung

Für die bestehenden Forschungsreaktoren wurde im Rahmen des Genehmigungsverfahrens zur Erteilung der Errichtungs- und Betriebsgenehmigung gemäß § 7 des Atomgesetzes die nach dem Stand von Wissenschaft und Technik erforderliche Vorsorge gegen Schäden auf deterministischem Wege nachgewiesen.

Durch die PSÜ soll, als Ergänzung der ständigen Überprüfungen im Rahmen der staatlichen Aufsicht über den Betrieb der Forschungsreaktoren, nach einer längeren Betriebsphase und auf der Basis der erteilten Genehmigungen, des Ist-Zustandes der vorhandenen Anlage und der Anforderungen des Standes von Wissenschaft und Technik der Sicherheitsstatus der Anlagen ganzheitlich erfasst und im Hinblick auf die §§ 17 und 19 des Atomgesetzes beurteilt werden. Im Rahmen der PSÜ soll auch der Blick auf den sicheren Betrieb bis zur nächsten Sicherheitsüberprüfung oder gegebenenfalls bis zum Ende des geplanten Betriebs gerichtet werden. Die Durchführung der PSÜ und die Beurteilung der Ergebnisse soll mittels deterministischer Methoden erfolgen. Die Überprüfung der Ausgewogenheit des Sicherheitskonzepts der Gesamtanlage und die Ermittlung der Gesamthäufigkeit nicht beherrschter Anlagenzustände erfolgt bei Forschungsreaktoren der Klasse 1 (siehe Nummer 1.3) ergänzend mittels einer probabilistischen Sicherheitsanalyse (PSA).

Bei der deterministischen Überprüfung einer Anlage sollen schutzzielorientierte Anforderungen und Vorgaben für ein abdeckendes Spektrum von zu betrachtenden Störfällen, Einwirkungen von innen (EvI) und außen (EvA), Notstandsfällen, sehr seltenen Ereignissen sowie von auslegungsüberschreitenden Anlagenzuständen, die im Rahmen einer PSÜ an eine Anlage zu stellen sind, zugrunde gelegt werden.

Weiterhin ist für den Bereich „Sicherung“ in Abstimmung mit der zuständigen Aufsichtsbehörde der Status der Anlagensicherung darzustellen.

1.3 Abgestufter Ansatz bei der Durchführung einer PSÜ für Forschungsreaktoren

Ausgangspunkt für die sicherheitstechnische Bewertung von Forschungsreaktoren ist grundsätzlich die Einhaltung der nach Stand von Wissenschaft und Technik erforderlichen Vorsorge gegen Schäden durch die Errichtung und den Betrieb des Forschungsreaktors (§ 7 Absatz 2 Nummer 3 des Atomgesetzes). Bei der sicherheitstechnischen Bewertung der Forschungsreaktoren wird das bestehende kerntechnische Regelwerk, das im Wesentlichen für Kernkraftwerke entwickelt wurde, unter Berücksichtigung des Gefährdungspotentials abgestuft bzw. sinngemäß angewendet.

Die Ermittlung des anlagenspezifischen Gefährdungspotentials erfolgt durch eine Analyse spezifischer sicherheitstechnisch relevanter Faktoren. Die thermische Leistung des Forschungsreaktors bietet eine erste einfache Möglichkeit zur Einschätzung des Gefährdungspotentials. Eine weitere Möglichkeit bietet die Orientierung am Schutzziel „Kühlung der Brennelemente“, das heißt eine Unterscheidung nach Art der Wärmeabfuhr. Auf Grundlage des Schutzziels „Einschluss der radioaktiven Stoffe“ kann das radiologische Gefährdungspotential eingeschätzt werden. Die maximal möglichen radiologischen Konsequenzen bei einem Unfall stehen in Abhängigkeit von der Art des Forschungsreaktors (Reaktortyp, Reaktorgröße bzw. -leistung, Nutzung des Reaktors etc.).

Auf dieser Basis werden die in Betrieb befindlichen Forschungsreaktoren in drei Klassen unterschieden:

–

Klasse 1: Hochflussreaktoren, MTR

–

Klasse 2: TRIGA Reaktoren

–

Klasse 3: Unterrichtsreaktoren

Die Sicherheitsüberprüfung erfolgt für diese drei Klassen jeweils nach einem festgelegten, abgestuften Verfahren entsprechend des Gefährdungspotenzials der Klasse.

Die Darlegung des Sicherheitsstatus einer Anlage im Rahmen der PSÜ umfasst grundsätzlich die Ergebnisse folgender Teilbereiche:

–

aktuelle Anlagenbeschreibung (Nummer 2.1)

–

deterministische Sicherheitsstatusanalyse in Form einer schutzzielorientierten Überprüfung des Sicherheitsstatus der Anlage mit Darlegung der Betriebsführung und Auswertung der Betriebserfahrung (Nummer 2.2)

–

probabilistische Sicherheitsanalyse (Nummer 2.3)

–

Überprüfung des Sicherungskonzepts der Anlage (Nummer 2.4)

Die probabilistische Sicherheitsanalyse ist nur für Forschungsreaktoren der Klasse 1 erforderlich. Die deterministische schutzzielorientierte Überprüfung der Sicherheitseinrichtungen kann für Anlagen der Klasse 3 in angemessenem Umfang im Rahmen der aktuellen Anlagenbeschreibung behandelt werden. Die einzelnen Teilbereiche der PSÜ erfordern verschiedene Vorgehensweisen; sie gehören aber hinsichtlich einer sachgerechten Gesamtbewertung der Anlage zusammen. Es kann daher zweckmäßig sein, die einzelnen Teilbereiche zeitlich parallel zu erstellen.

In den folgenden Abschnitten werden die wesentlichen Schritte und Inhalte der obengenannten Teilbereiche erläutert.

Im Hinblick auf eine zielführende und zweckmäßige Durchführung der PSÜ soll die Vorgehensweise von Genehmigungsinhaber, Behörde und ggf. hinzuzuziehendem Sachverständigen aufeinander abgestimmt werden. Die Abstimmung sollte unter anderem folgende Aspekte schriftlich festhalten:

–

Umfang der Sicherheitsüberprüfung

–

Struktur der Dokumentation

–

Methodik und anzuwendender Bewertungsmaßstab

–

Zeitlicher Ablauf mit wesentlichen Meilensteinen

Bei der Durchführung der PSÜ können auch bestehende Dokumente herangezogen werden.

Um bei jeder weiteren PSÜ die Durchführung zu erleichtern und den Aufwand angemessen zu halten, können die Folge-PSÜs als Delta-Überprüfungen zur Erst-PSÜ durchgeführt und die vorliegende PSÜ-Dokumentation fortgeschrieben werden. Neben dem beschriebenen Umfang der PSÜ können in einer PSÜ zudem Einzelaspekte ergänzend vertieft untersucht werden.

2.1 Aktuelle Anlagenbeschreibung

Den Analysen zu den Teilbereichen der PSÜ ist eine Anlagenbeschreibung voranzustellen. Die Anlagenbeschreibung dient dazu, einen aktuellen Überblick über das Sicherheitskonzept, die Auslegungsmerkmale der Anlage und über alle wesentlichen sicherheitstechnischen Maßnahmen zu geben. Hierzu zählen unter anderem die folgenden Informationen:

Allgemeine Informationen, Gesamtanordnung und allgemeine Auslegung

Aktuelle Informationen zum Hersteller, Inhaber der Genehmigung nach § 7 des Atomgesetzes, verantwortlichen Personal der Anlage und weiteren sonst tätigen Personal sollen gegeben werden. Dies beinhaltet unter anderem die Erläuterung der Funktionen des Personals und die Benennung von Verantwortlichen (Betrieb, Strahlenschutzbeauftragte, Sicherheitsbeauftragte sowie weiteren benötigten Funktionen), deren Stellvertretern und sonstigem Fachpersonal.

Der Standort, das Datum des Baubeginns, der ersten Kritikalität und der Inbetriebnahme sollen beschrieben werden. Weiterhin soll eine kurze Beschreibung der Anlage erfolgen. Dies beinhaltet den Reaktortyp (inklusive Kernmaterial, Kernanordnung, Moderator, Reflektor, Kühlung), vorhandene Experimentiereinrichtungen/​-ausstattung, Betriebs-/​Forschungsziele sowie die Zusammenfassung der Betriebshistorie.

Betriebsparameter

Hierzu zählen Angaben zur Reaktorleistung, Neutronenflussdichte, Gammadosisleistung in der Spaltzone sowie vorhandene Menge spaltbaren Materials sowie Betriebsparameter (z. B. Temperaturgrenzwerte) und ggf. die Beschreibung der erzeugten Isotope. Entsprechende Daten beispielsweise aus dem Sicherheitsbericht sollen aktualisiert wiedergegeben werden.

Anlagen- und Systembeschreibungen

Alle für den Betrieb des Reaktors vorhandenen sicherheitstechnisch relevanten Bauwerke, Systeme und Einrichtungen sollen beschrieben werden (u. a. Aufgabe bzw. sicherheitstechnische Funktion des Systems, Beschreibung des Aufbaus, der Anordnung und der Auslegung, Regelungen und Instrumentierung, Zusammenstellung wesentlicher Betriebsdaten und Grenzwerte). Zu den zu betrachtenden Bauwerken, Systemen und Einrichtungen zählen zum Beispiel:

–

Kühlkreislauf

–

Hilfsanlagen

–

Sicherheitseinschluss

–

Kühlwassersysteme

–

Elektrotechnische Anlagen

–

Warten, Meldeanlagen, Instrumentierung

–

Strahlenschutztechnische Anlagen

–

Brandschutztechnische Anlagen

–

Experimentelle Einrichtungen (sofern sicherheitstechnisch relevant)

In der Anlagenbeschreibung sollen sicherheitstechnisch bedeutsame Nachrüstungen und maßgebliche Änderungen der Anlage nach der Inbetriebnahme bzw. der letzten PSÜ dargestellt werden.

Eine Beschreibung der Sicherungseinrichtungen und -maßnahmen ist Bestandteil der Darstellung des Sicherungsstatus (siehe Nummer 2.4).

Dokumentationsunterlagen

Die Anlagendokumentation soll auf Vollständigkeit und Aktualität geprüft werden. Es soll beschrieben werden, welche Unterlagen über die verschiedenen Anlagenteile vorhanden sind (z. B. Betriebshandbuch (BHB), Prüfhandbuch (PHB), Sicherheitsbericht, Schalt- und Raumpläne) und von wem und in welchen Abständen die Prüfungen der Unterlagen erfolgen.

Abbau- und Entsorgungskonzept

Gab es Änderungen im Entsorgungsnachweis aus der Erst-Genehmigung, sollen diese beschrieben werden. Sofern vorhanden, soll ebenfalls ein Abbaukonzept (Stilllegungsplan) und ein Entsorgungskonzept für den Brennstoff erläutert werden oder auf entsprechende Unterlagen verwiesen werden.

2.2 Deterministische Sicherheitsstatusanalyse

Ziel der Sicherheitsstatusanalyse ist die Überprüfung der Systemfunktionen aller sicherheitstechnisch relevanten Systeme eines Forschungsreaktors auf deterministischem Wege.

Der Schwerpunkt der deterministischen, schutzzielorientierten Überprüfung liegt auf der Darstellung der Beherrschung zu betrachtender Ereignisse. Es soll dabei überprüft werden, ob die geforderten Sicherheitsfunktionen zur Ereignisbeherrschung mit ausreichender Wirksamkeit und Zuverlässigkeit verfügbar sind und damit die Schutzziele

–

Kontrolle der Reaktivität,

–

Kühlung der Brennelemente,

–

Einschluss der radioaktiven Stoffe

sowie die radiologischen Sicherheitsziele nach dem Stand von Wissenschaft und Technik eingehalten werden.

Für jedes der Schutzziele sowie für die radiologischen Sicherheitsziele können anlagenspezifische Sicherheitsfunktionen definiert werden, die erfüllt sein müssen, um die Einhaltung des Schutzziels nachzuweisen (siehe Anlage A).

Die Darlegung der Betriebsführung und die Auswertung der über eine längere Betriebsperiode gesammelten Betriebserfahrungen ist Bestandteil der Sicherheitsstatusanalyse und soll die Ergebnisse der deterministischen Überprüfung ergänzen und absichern.

Die Ergebnisse der Sicherheitsstatusanalyse sollen Basis für die abschließende Einschätzung der Sicherheit der zu überprüfenden Anlage (siehe Abschnitt 3) bilden.

2.2.1 Schutzzielorientierte Anforderungen und Vorgaben für die Sicherheitsstatusanalyse

Der Startpunkt einer deterministischen Sicherheitsstatusanalyse einer Anlage besteht aus

–

den schutzzielorientierten Anforderungen des bestehenden kerntechnischen Regelwerks,

–

dem Spektrum der zu betrachtenden Störfälle, EvA, EvI und Notstandsfälle,

–

den Vorgaben für Einrichtungen und Maßnahmen für sehr seltene Ereignisse und für das Notfallschutzkonzept.

Das kerntechnische Regelwerk reflektiert überwiegend die Entwicklung der technischen Erfahrungen mit Auslegung, Errichtung und Betrieb von Kernkraftwerken und beschreibt neben den sicherheitstechnisch bedeutsamen Anforderungen auch die Ausführung technischer Detaillösungen. Das bestehende kerntechnische Regelwerk ist für die PSÜ so anzuwenden, dass die Einhaltung der übergeordneten Schutzziele überprüft wird und in einer abgestuften Herangehensweise dem Gefährdungspotential von Forschungsreaktoren Rechnung getragen wird.

Die schutzzielorientierten Anforderungen des kerntechnischen Regelwerks beziehen sich überwiegend auf die Ebene 3 des gestaffelten Sicherheitskonzepts, EvI, EvA und Notstandsfälle, wobei notwendige Anforderungen aus den Ebenen 1 und 2, wie z. B. an den Qualitätszustand von sicherheitsrelevanten Anlagenteilen, ebenfalls berücksichtigt werden.

2.2.2 Spektrum der zu betrachtenden Störfälle, Einwirkungen von innen und außen und Notstandsfälle, der sehr seltenen Ereignisse und der auslegungsüberschreitenden Anlagenzustände

Ausgehend von den in der Genehmigung zugrunde gelegten Störfällen, den Einwirkungen von innen und außen, Notstandsfällen, den sehr seltenen Ereignissen und den auslegungsüberschreitenden Anlagenzuständen ist für die Durchführung der Überprüfung ein anlagenspezifisches Spektrum entsprechend dem Stand von Wissenschaft und Technik abzuleiten.

Falls es aus probabilistischer Sicht (Risikorelevanz) unter Berücksichtigung der besonderen Anlagengegebenheiten und der im Genehmigungs- und Aufsichtsverfahren behandelten Ereignisse geboten erscheint, sind weitere Ereignisse in die Überprüfung einzubeziehen.

Eine solche anlagenspezifische Liste soll die Gesamtheit der Ereignisse mit sicherheitsgefährdenden Belastungen für die Anlage abdecken. Die hierzu erforderliche Abstimmung zwischen dem Genehmigungsinhaber und der Behörde sollte zweckmäßigerweise am Beginn der Sicherheitsstatusanalyse vorgenommen werden.

Ereignisgruppen des einhüllenden Ereignisspektrums können sein, sofern für die jeweilige Anlage zutreffend:

Reaktivitätsstörfälle

–

Anfahrstörfall durch Regel- bzw. Abschaltstabfehlfahren

–

Leistungsstörfall durch Regel- bzw. Abschaltstabfehlfahren

–

Fehleinfall des Regel- bzw. Abschaltstabs

–

Auswurf des Regel- bzw. Abschaltstabs

–

Versagen experimenteller Einrichtungen (z. B. Kalte Quelle, Strahlrohre)

Wärmeabfuhrstörfälle ohne Kühlmittelverlust

–

Kerndurchsatzstörungen (z. B. Ausfall einer Primärpumpe, Ausfall der sekundären Wärmesenke)

–

Versagen experimenteller Einrichtungen (z. B. Ausfall Kühlung Konverterplatte)

Kühlmittelverluststörfälle

–

Leckage der Beckenauskleidung

–

Leckage im Reaktorbeckenkühlkreislauf

–

Leckage an Strahlrohren

Aktivitätsstörfälle

–

Aktivitätsfreisetzung in die Reaktorhalle

–

Handhabung und Beschädigung des/​der BE’s

–

Störfälle in experimentellen Einrichtungen mit Aktivitätsfreisetzung

Ereignisse mit potenziell übergreifenden Auswirkungen (Einwirkungen von außen und innen)

–

Erdbeben

–

Anlageninterne Überflutung

–

Anlageninterne Brände

Sehr seltene Ereignisse

–

Betriebstransienten mit unterstelltem Ausfall des Schnellabschaltsystems (ATWS)

Notstandsfälle

–

Explosionsdruckwelle

–

Flugzeugabsturz

Auslegungsüberschreitende Anlagenzustände

2.2.3 Deterministische schutzzielorientierte Überprüfung der Sicherheitseinrichtungen

Die deterministische schutzzielorientierte Überprüfung des Sicherheitsstatus der Anlage beinhaltet

–

die detaillierte Darlegung des Ist-Zustandes der Sicherheitseinrichtungen (Systembeschreibungen),

–

eine Darlegung sicherheitsrelevanter anlagen- bzw. systemübergreifender Bereiche,

–

eine Überprüfung, ob die schutzzielorientierten Anforderungen für das zu betrachtende Ereignisspektrum durch die Systeme erfüllt werden (schutzzielorientierte Systemüberprüfung).

Inhalt und Umfang der deterministischen schutzzielorientierten Überprüfung im Rahmen der Sicherheitsstatusanalyse orientieren sich an den zu betrachtenden Ereignissen gemäß dem abgeleiteten Ereignisspektrum (siehe Nummer 2.2.2) und den für die sicherheitsrelevanten Anlagenteile bestehenden Anforderungen des Sicherheitskonzepts.

Im bestimmungsgemäßen Betrieb (Sicherheitsebenen 1 und 2) betreffen die Anforderungen die zuverlässige Vermeidung von Störfällen. Durch Auswertung der Betriebserfahrungen ist zu zeigen, dass keine Anzeichen für eine unzulässige Erhöhung der Störfallanfälligkeit erkennbar sind, denen nicht entgegengewirkt wurde.

In der Störfallebene (Sicherheitsebene 3) ist auf der Basis gültiger Nachweise die Beherrschung der abdeckenden Störfälle und damit die Einhaltung der Schutzziele zu zeigen. Für EvA, EvI und Notstandsfälle ist auf der Basis gültiger Nachweise die Beherrschung der Ereignisse und damit die Einhaltung der Schutzziele zu zeigen. In diesem Bereich soll der inhaltliche Schwerpunkt der deterministischen schutzzielorientierten Überprüfung liegen. Für Anlagen der Klasse 3 kann die deterministische schutzzielorientierte Überprüfung der Sicherheitseinrichtungen in angemessenem Umfang im Rahmen der aktuellen Anlagenbeschreibung behandelt werden.

2.2.3.1 Darlegung des Ist-Zustandes der Sicherheitseinrichtungen (Systembeschreibungen)

Soweit zur Systemüberprüfung erforderlich, sollen detaillierte Beschreibungen der aktiven und passiven Sicherheitseinrichtungen bereitgestellt werden. In Betracht kommen insbesondere solche Informationen (vergleiche Anhang B) wie:

–

Aufgaben des Systems

–

Systemaufbau und räumliche Anordnung

–

Qualifizierung der Komponenten

–

Betriebsweisen des Systems

–

Auslegung

–

Alterung

–

Funktionsprüfungen des Systems und Qualitätszustand

2.2.3.2 Anlagen- und systemübergreifende Bereiche

Ergänzend zur Beschreibung der aktiven und passiven Sicherheitseinrichtungen sollen die sicherheitsrelevanten Bereiche beschrieben werden, die mehrere Anlagenteile oder die Gesamtanlage betreffen, wie:

–

Störfallinstrumentierung/​Störfallfestigkeit

–

Strahlenschutz und Aktivitätsüberwachung

–

Schutz gegen EvI

–

Schutz gegen EvA

–

Melde- und Überwachungseinrichtungen

–

Abfallmanagement

Dargestellt werden sollen technische Einrichtungen und Maßnahmen, die in diesen Bereichen von sicherheitstechnischer Bedeutung sind.

2.2.3.3 Ereignisanalyse und schutzzielorientierte Systemüberprüfung

In der Ereignisanalyse und der schutzzielorientierten Systemüberprüfung soll geprüft werden, inwieweit die relevanten Sicherheitsfunktionen durch die Sicherheitseinrichtungen im Sinne einer ausreichenden Beherrschung des jeweils betrachteten Störfalls, EvI, EvA oder Notstandsfalls verfügbar und wirksam sind und somit die übergeordneten Schutzziele erreicht werden.

Grundsätzlich sollen die aus Genehmigungs- und Aufsichtsverfahren vorhandenen Nachweisquellen (Ablaufanalysen) für die Störfallbeherrschung verwendet werden. Neue Analysen sind im Regelfall nur dann notwendig, wenn begründete Zweifel an der Aussagesicherheit oder der Konservativität vorhandener Nachweise bestehen.

Diese ergänzenden Analysen können unter Verwendung realistischer Anfangs- und Randbedingungen (best-estimate-Verfahren) und unter Berücksichtigung von Betriebserfahrungen durchgeführt werden. Im Falle neuer Analysen von Ereignissen aus dem festgelegten Ereignisspektrum (siehe Nummer 2.2.2) soll eine Ablaufbeschreibung vorgelegt werden. Dabei sind die zu erwartenden Belastungen und Auswirkungen auf die Anlage und auf die Umgebung für das jeweilige Szenario qualitativ und quantitativ darzustellen und die wesentlichen Randbedingungen aufzuführen, die der Ereignisanalyse zugrunde liegen.

Grundsätzlich ist die Ereignisbeherrschung dann gezeigt, wenn bei der Überprüfung der Systeme die den Schutzzielen zugehörigen Schutzzielkriterien und die Sicherheitsfunktionen erfüllt werden, wobei auch Lösungen mit nicht regelwerkskonformer technischer Ausführung zulässig sind.

Die technischen Detaillösungen sind als Beispiellösungen anzusehen. Andere Maßnahmen hierfür sind möglich, wobei aber die Erfüllung der geforderten Sicherheitsfunktionen gezeigt werden muss. Eine entsprechende Vorgehensweise gilt für die schutzzielübergreifenden Anforderungen.

Die Ergebnisse der deterministischen Systemüberprüfung können Abweichungen gegenüber den schutzzielorientierten Anforderungen an die Sicherheitseinrichtungen aufzeigen.

Im Anschluss an die deterministische Systemüberprüfung soll eine abschließende Einschätzung der Ergebnisse, ggf. unter Berücksichtigung der Ergebnisse der PSA, der Darlegung der Betriebsführung und der Auswertung der Betriebserfahrung, vorgenommen werden.

2.2.4 Darlegung der Einrichtungen und Maßnahmen für sehr seltene Ereignisse sowie des Notfallschutzkonzepts

Für die sehr seltenen Ereignisse unter Berücksichtigung der anlagenspezifischen Randbedingungen sind die Einrichtungen und Maßnahmen der Anlage darzulegen, die zur Erfüllung punktueller Anforderungen zu treffen sind. Falls angebracht, soll unter Einbeziehung probabilistischer Einzelbetrachtungen gezeigt werden, dass auch für Ereignisse mit sehr geringer Eintrittswahrscheinlichkeit Maßnahmen getroffen wurden.

Für auslegungsüberschreitende Anlagenzustände infolge unterstellten Ausfalls angeforderter Sicherheitseinrichtungen sind anlageninterne Notfallmaßnahmen vorgesehen. Sie sind im wesentlichen schutzzielorientiert aufgebaut und basieren auf der Ausnutzung der Sicherheitsreserven der Anlage, auf der Nutzung von Betriebssystemen und Sicherheitseinrichtungen und auf zusätzlich vorgesehenen Maßnahmen. Alle Maßnahmen und Handlungen sind in der Betriebsdokumentation zusammengestellt.

Die festgelegten Maßnahmen des anlageninternen Notfallschutzes sollen für Anlagen der Klasse 1 und 2 dargestellt werden.

Die Darstellung der Einrichtungen und Maßnahmen für sehr seltene Ereignisse soll zeigen, dass die Anlage in einen sicheren Anlagenzustand überführt werden kann. Die Darlegung der anlageninternen Notfallmaßnahmen für auslegungsüberschreitende Anlagenzustände soll zeigen, dass sie geeignet sind, eine schwere Kernschädigung zu vermeiden bzw. deren Folgen so zu reduzieren, dass die Schutzziele nicht verletzt werden können.

Bei der Darstellung sollen die vorhandenen Unterlagen und Nachweise herangezogen werden. Bei der Analyse der Wirksamkeit von präventiven oder mitigativen Notfallmaßnahmen können für die zu Grunde gelegten Ereignisabläufe realistische Modelle und realistische Anfangs- und Randbedingungen verwendet werden.

2.2.5 Darlegung der Betriebsführung und Auswertung der Betriebserfahrung

Die Darlegung der Betriebsführung und die Auswertung der Betriebserfahrung sind ein weiterer wesentlicher Bestandteil der Sicherheitsstatusanalyse.

Die Darlegung der Betriebsführung soll folgende Bereiche umfassen:

–

Betriebsorganisation

–

Managementsystem

–

Sicherheitskultur

–

Anlagenbetrieb

–

Fachkunde

–

Menschliche Einflussfaktoren

–

Instandhaltung

–

Strahlenschutz

–

Erfahrungsrückfluss (evtl. auch aus bauähnlichen Reaktoren)

–

Notfallschutzplanung

Schwerpunkt für die Einschätzung der Einrichtungen und Maßnahmen zur Einhaltung schutzzielorientierter Anforderungen in den Ebenen 1 und 2 ist die Auswertung der Betriebserfahrung unter den Gesichtspunkten Normalbetrieb, anomaler Betrieb und Störfälle. Die Auswertung der sicherheitsrelevanten Betriebserfahrungen soll mindestens folgende Bereiche umfassen:

–

Wiederkehrende Prüfungen

–

Lastfälle und Ermüdungsanalysen

–

meldepflichtige Ereignisse

Die Auswertung soll darüber hinaus solche repräsentativen sicherheitsrelevanten Ereignisse berücksichtigen, die durch den zeitlichen Verlauf ihrer Eintrittshäufigkeit für die Zuverlässigkeit des bestimmungsgemäßen Betriebs kennzeichnend sind. Hierbei sind sowohl technische Aspekte als auch organisatorische Aspekte und Aspekte der Sicherheitskultur zu berücksichtigen.

Die Auswertung der Betriebserfahrungen dient der Überprüfung der betrieblichen Bewährung der sicherheitstechnischen Anlagenauslegung, der Überprüfung der Zuverlässigkeit der sicherheitstechnisch relevanten Systeme sowie der Einhaltung der Schutzziele. Die Ergebnisse sollen die im Rahmen der deterministischen schutzzielorientierten Überprüfung der Sicherheitseinrichtungen, insbesondere bei ergänzenden Analysen und bei der abschließenden Einschätzung des Sicherheitsstatus der Anlage, getroffenen Aussagen ergänzen und absichern.

Inhaltliche Schwerpunkte für die Darstellung der Bereiche der Betriebsführung sowie zur Auswertung der Betriebserfahrungen sind in Anhang C angegeben.

2.3 Probabilistische Sicherheitsanalyse

Ist gemäß der Anwendung eines abgestuften Ansatzes eine probabilistische Sicherheitsanalyse für Anlagen der Klasse 1 durchzuführen, ist hierbei der Leitfaden „Periodische Sicherheitsüberprüfung für Kernkraftwerke – Leitfaden Probabilistische Sicherheitsanalyse“ /​BMU 97/​ heranzuziehen.

2.4 Anlagensicherung

Im Rahmen der Darlegungen zur Sicherung sollen die Maßnahmen zum Schutz gegen Störmaßnahmen oder Einwirkungen Dritter (SEWD) beschrieben und das Sicherungskonzept überprüft werden. Hierbei ist hinsichtlich der Art und des Umfangs der Überprüfung der Anlagensicherung der Leitfaden „Periodische Sicherheitsüberprüfung für Kernkraftwerke – Leitfaden Deterministische Sicherungsanalyse“ /​BMU 98/​ unter Anwendung eines abgestuften Ansatzes entsprechend der Sicherungskategorie der Anlage heranzuziehen.

3.1 Abschließende Einschätzung und Dokumentation durch den Genehmigungsinhaber

Zum Abschluss einer PSÜ soll der Genehmigungsinhaber den Sicherheitsstatus der Anlage einschätzen. Dazu sind die Ergebnisse der Einzelanalysen zu einem aussagefähigen Gesamtbild zusammenzuführen und zu bewerten, inwieweit die nach dem Stand von Wissenschaft und Technik erforderliche Vorsorge gegen Schäden durch die Einhaltung der Schutzziele erfüllt ist und die Ausgewogenheit des Sicherheitskonzepts gegeben ist. In die Einschätzung können vorgesehene sicherheitstechnische Verbesserungen einbezogen werden.

Die Einzelanalysen und Ergebnisse sollen in Berichtsform zusammengestellt und den zuständigen Aufsichtsbehörden als Dokumentation zur PSÜ vorgelegt werden.

Die Inhalte der Berichte sollen nachvollziehbar und prüffähig sein, verwendete Unterlagen sind aufzuführen.

3.2 Bewertung der PSÜ-Ergebnisse

Die atomrechtliche Aufsichtsbehörde beurteilt die mit der Dokumentation zur PSÜ vorgelegte Darlegung des Sicherheitsstatus der Anlage im Hinblick auf die §§ 17 und 19 des Atomgesetzes.

Für die Beurteilung der sicherheitstechnischen Bedeutung der Ergebnisse sollen folgende Kriterien verwendet werden:

–

Zeigt die Auswertung der Betriebserfahrung eine ausreichende Zuverlässigkeit des jeweiligen Systems

–

werden die zu betrachtenden abdeckenden Störfälle mit den vorhandenen Sicherheitseinrichtungen, entsprechend den schutzzielorientierten Anforderungen, mit der geforderten Wirksamkeit und Zuverlässigkeit beherrscht

–

sind für auslegungsüberschreitende Anlagenzustände technische Einrichtungen und Maßnahmen vorhanden

–

wurden Schwachstellen und/​oder eine Unausgewogenheit im Sicherheitskonzept festgestellt

Die Ergebnisse der Periodischen Sicherheitsüberprüfung können ggf. notwendige Nachrüstmaßnahmen oder lebensdauerbegrenzende Merkmale aufzeigen und können damit auch in die Bewertung eines sicheren Langzeitbetriebs einfließen.