How Accurate Are The Instruments in Nuclear Reactors?
/Accurately measuring the reactor water level in a nuclear power plant is critical to safe operation, yet nuclear power reactor water monitoring systems do not work correctly. What would happen today if your car’s speedometer read 60 miles per hour, but in actuality, you might be driving at 40-mph or even 95-mph? Listen to today’s Fairewinds Energy Education podcast as Dave Lochbaum from the Union of Concerned Scientists discuss the dangerous dilemma reactor operators face when a reactor has an emergency shutdown and operators simply do not know if the reactor has enough water to keep it cool!
Listen
Transcripts
English
MG: Hi this is Maggie Gundersen for Fairewinds Energy Education. Today we’re doing a special show about reactor water level monitoring. We have as our guest Dave Lochbaum, nuclear expert with the Union of Concerned Scientists. This is not one of our typical podcasts in that this is a very technical podcast, but it’s for you geeks out there. A lot of people have written in to us and asked for this kind of material, and even if you’re a layperson I think that you will really, really find this interesting and it’ll give you insight into how difficult it is to operate a nuclear power reactor. Thank you for joining us.
LH: Good afternoon. I’m here today with Dave Lochbaum with the Union of Concerned Scientists, and we’re going to be speaking about what is called the Reactor Water Level Monitoring System at nuclear power plants. Water is used in the nuclear reactor as a critical neutron moderator and coolant. Water levels in a nuclear reactor are not monitored directly, but rather through an indirect monitoring system, which incorporates a reserve tank which is termed a reference leg. There have been some reported flaws with this cooling system throughout the years, some of the most notable being brought forth by Paul Blanche in the early 1990’s. Dave, can you explain to us some of the nature of his findings?
DL: Yes. Paul found some problems with the level instrumentation used in boiling water reactors like Fukushima in Japan and Pilgrim and Browns Ferry here in the United States. As you mentioned, in that type of reactor, the water boils right in the reactor vessel. It’s difficult to measure the level of water that’s vigorously boiling. If you imagine a pot of boiling water on the stove, you see all that froth level at the top, what is the level of water in the pot? So what boiling water reactors do is use the reference leg, which is just a non-boiling column of water, and compare the pressure or the weight of that water to the weight of water in the reactor. And we can judge the density of the water in the reactor vessel easier than we can determine its actual height. And we can use that differential pressure between what the weight of the water in the reactor is versus the weight of the water in that reference column to determine what the level of the water in the reactor vessel is. If you look at a bottle of soda pop and you shake it up and then crack the top, the water level – the beverage level jumps from a nice low level to spewing out the open top. Because the non-condensable gases inside that soda have become freed by the agitation. Likewise, what Paul noted was that if the pressure of a reactor vessel were suddenly to drop, as it could happen during an accident, the non-condensable gases inside the water can cause the water in the reference column to all of a sudden change dramatically as bubbles come out of that water due to the pressure drop, which is similar to cracking a soda pop. Its pressure drops and the bubbles form. We hadn’t accounted for that in the water level instrumentation. As those bubbles formed under that situation, the indications of level to the operator could become vastly wrong – several feet, dozens of feet wrong. And the reactor core is only 12 feet tall and if the level instrumentation is off by 20 feet, you’ve got a big problem.
LH: Is there any other method for operators to determine the water level if the reactor water level monitoring system is not providing accurate data?
DL: The operators are provided about five sets of water level instrumentation for boiling water reactors. They’re calibrated at hot conditions, high pressure, high temperature, as well as cold conditions where the reactor is shut down and the reactor vessel’s head is off, the water is less than 212 degrees. The problem is that during an accident, you go from high temperature, high pressure to high temperature, low pressure as this pipe breaks and water flows out. The operators must choose amongst these five sets of instrumentation to figure out which one is most accurately monitoring the conditions at that moment; and that indication will shift from instrument to instrument, and it’s the operator’s guess as to which one’s providing the most accurate indication. And when you have 100 tons of reactor core to deal with, when you start playing guessing games, a wrong guess comes at a high cost.
LH: If I remember correctly, the NRC had allowed for a 30-inch discrepancy in that reference leg measurement. And sometimes those measurements could be off by more than 20 or 25 feet. Is that correct?
DL: For example, at Brown’s Ferry, we had three level instruments, all with reference legs, and they sometimes would be indicating a foot or more difference between one and the other, and they’re all supposed to be monitoring the same thing.
LH: So now that we’ve discussed the possibilities of operators not being able to accurately assess the water levels in a nuclear reactor due to non-condensable gases building up in the reference leg, I would like to pose another plausible system flaw to you. There has been a common observed phenomenon at nuclear accidents, which I feel may not receive enough attention. Reactor operators have been repeatedly put in situations where they have been unable to trust the very equipment that they rely upon to tell them what is occurring in the nuclear reactor, and have reacted either correctly or incorrectly based on that untrustworthy data. And later, these same reactor operators have been blamed for those accidents due to some form of operator failure. Dave, as an example for this, could you share with us some of the instrumentation difficulties that operators experienced at Three Mile Island?
DL: Certainly. In March of 1979, the Three Mile Island reactor was operating at about 97 percent power when it experienced an unplanned shutdown – automatic shutdown of the reactor that brought it to a subcritical shutdown condition within seconds. That had happened 13 times in the previous year that the reactor had operated, but the 13th time – this time – proved to be very unlucky. Things were nice and balanced where the plant was operating at 97 percent power, but also in the reactor shutdown, there’s a big transient as an effort to try to rebalance the power being produced by the reactor and the power being carried away by the support systems. During the transient there was a valve that opened at the reactor vessel to allow pressure to be relieved by discharging fluid through that valve into a tank. This time – and that’s normal – that’s the design and the plant handled it – a few seconds of transient while the balance is being restored. But in this situation, that valve stuck open. It was supposed to reclose when the pressure dropped back down, but due to mechanical failure, the valve stayed open. The operators were instructed, trained – the procedures, all the guidance had been geared towards preventing the tank on which that valve sat on top of, from ever becoming filled with water. It was partially filled with water to accommodate the swelling and contraction of water as the reactor heated up and cooled down. It was kind of like the overflow tank in a car engine. Because that valve stuck open, the water level inside that tank was indicating to be out of the top, completely filled. That was not the actual water level, but because the valve was open, kind of like the soda pop bottle earlier, the water level in that tank was falsely out the top, when in fact it was created by a bunch of bubbles being formed in that water by the pressure of the open valve dropping the pressure, kind of like removing the top or cracking the top on the soda bottle. The operators reacted to that false indication by turning off the pumps that had started to provide makeup water to cool the reactor. They turned those pumps off because they falsely thought the reactor had too much water when just the opposite was happening. Over the next two hours, they succeeded in draining more water out of the reactor vessel because they were trying to get the water level in that tank back normal. The false indication continued for nearly two hours to cause them to drain the water out of the reactor vessel until the reactor core was partially uncovered and it melted down. It overheated and melted down. But those operators were doing exactly what they were trained to do; exactly what their procedures told them to do. But they relied on a false indication and were led down a very bad road.
LH: Now were there any indications prior to Three Mile Island that a valve would fail in an open configuration like that?
DL: Shortly over a year earlier, the Davis Bessie plant in Ohio, which was a twin sister to Three Mile Island, experienced a very similar event. They had a shutdown. But at that time, the reactor was operating at about 90 percent power. That valve also opened to handle the pressure transient during a few seconds while things were rebalanced. It also stuck open. But the operators in that case noticed the valve was stuck open and they closed another valve in that same pipe which effectively stopped the flow through there. The pressure inside the tank dropped back to its real level instead of the falsely indicated high, and they came through that no problem. One of the problems was that event was even though it occurred and was successfully dealt with, the owner, the reactor vendor and the Nuclear Regulatory Commission didn’t share that with anybody else so that the operators at Three Mile Island and elsewhere weren’t forewarned about that potential situation. So when they stumbled upon it blindly, they misdiagnosed it with disaster as a result.
LH: And to me, that has connotations of the types of failures that were experienced at Chernobyl as well, where operators were responding in ways that they thought were appropriate, but due to the other configurations on site, were actually not following the procedures that would help them to mitigate the accident.
DL: It’s a common theme. Again and again, we trap the operators. We give them a set of instructions that are intended to handle a wide range of scenarios, but nature follows the same script they’re being led down wrong paths. It happened, as you said, at Chernobyl, it happened at Three Mile Island. To a certain extent it happened at Fukushima. We don’t seem to learn the right lessons from those disasters.
LH: My concerns with this obviously being that with the reactor operators, rather than setting them up for success, we’re putting them in a situation where they can inevitably not do the correct things and are set up for failure. According to Tokyo Electric, the operator of the crippled Fukushima Daiichi power plant, they, too, experienced issues with the reactor water level monitoring system at its reactors during their response to the March 11th earthquake and tsunami. Specifically at unit 1, after the loss of power, operators were scrambling to find backup power supplies with which to power the control room monitoring systems which would allow them to determine what was happening inside of the nuclear reactor. When they temporarily restored power to the reactor water level monitoring system using backup batteries, the gauges told operators the water levels were above the top of active fuel; but in fact, in further analysis, we found that at that time, the whole core was exposed and had been exposed for more than 90 minutes by the time that backup power was restored. Now according to TEPCO, the temperatures in the core had reached the point where fuel damage had started to occur, and had also become so hot that they evaporated the water in that reference leg. Due to the pressure in the reactor pressure vessel, false readings were registered on the gauges when power was temporarily restored. Now to me, this means that the reactor water level monitoring system is capable of providing reliable data for operators during normal operations. But if there’s just one bad day, the system is also capable of failing after the point of core damage. Do you have any comments on this?
DL: I would agree to an extent. The water level instrumentation in other systems at the plant are designed for normal operations and postulated accidents. But when accidents don’t follow the scripts that we’ve written, the indications the operators get or the guidance that they’re given can be more harmful than helpful. And that’s really not the situation we should put them in.
LH: Now at Fukushima Daiichi, we also apparently have observed now that if reactor operators in the future find themselves in a situation where they postulate fuel damage could have occurred, that the temperatures in the reactor itself could have already potentially reached such levels that they evaporate the water in the reference leg, and then the public would be in a position that they’re forced to trust the words of the industry, which would be unable to trust its own data. Is this correct?
DL: Unfortunately, yeah. The way it is now and the way it is for the foreseeable future is the best indication we have whether the water level indications are accurate or not is whether you see a radioactive cloud coming from the plant that would suggest that the indications are false. We need a better indication than a radioactive cloud telling us whether we do or do not know the water level. That’s too big a price tag to pay for knowing that we’re wrong.
LH: Dave, are these same reactor water level monitors used at both PWR and BWR styled reactors?
DL: They’re used on boiling water reactors. The pressurized water reactors use a similar but slightly different system. On pressurized water reactors, there’s actually not even water level instrumentation for the reactor vessel because, per our accident scripts, we don’t ever drain water out of the primary system. The water level instrumentation is on the steam generators for the pressurized water reactors, which is a secondary loop of water outside the reactor vessel. The steam generators use a system similar to that used in boiling water reactors to monitor the water level inside the steam generators. On pressurized water reactors, except when they’re shut down, there’s really not a system used to monitor the water level inside the reactor vessel.
LH: Are these issues being addressed? And how could they be addressed? And who should be working on the answers to these problems?
DL: We seem to be always fighting yesterday’s battle, which needs to be done. But we need to broaden the scope to look at key parameters that need to be monitored by operators and whether those parameters will be accurate or not during various accident and severe accident scenarios that they may face. We can’t put operators in the position of having to guess what’s going on because they may guess right. But if they guess wrong, a lot of people pay a hard price. So I think the federal government, the national labs and the industry should be looking at every key parameter, whether it’s pressure, water level, temperature, hydrogen concentration or whatever is necessary to be controlled during an accident, we need to insure that the operators get reliable information on those parameters so they can take the right actions at the right times. For example, the poor operators at Fukushima who struggled to repower instrumentation only to be given false indications – they shouldn’t have been in those shoes in the first place, but if we do that again to anybody, that’s shame on us.
LH: The public obviously has a duty to keep themselves informed and to insure that regulators are doing their jobs to address these issues. But how can reactor operators also help the Regulatory Commission as well as the nuclear industry with addressing these problems?
DL: The plant operators – the owners of nuclear power plants, have a multi-billion dollar asset that they don’t want to see lost. So they have every reason in the world to make sure that the operators of those plants are given reliable information. They should not just fix yesterday’s problems. They should look at the instrumentation issue more broadly, to look at how to make things better. For example, many plants are replacing old analog equipment with digital equipment because you just can’t find some of those spare parts any more. As you go to digital equipment, as you replace some of this instrumentation, make it better; make it more reliable. Make it so that it can handle a wider range of scenarios other than the very narrow scripts that we write for accidents. If we don’t do that, we’re just relying on luck to prevent the next Fukushima or Chernobyl or Three Mile Island. And the fact that that list keeps growing shows that luck makes a lousy barrier.
LH: When we’re speaking about upgrading the analog instruments to digital instruments, I’m also reminded of the event at North Ana in 2012, where they had updated some of the earthquake seismic instruments with digital instruments, but they were not capable of recording the actual earth shaking on site. They were forced to rely instead on the scratch plates. What kind of testing is done with these digital instruments to ensure that they’re going to be able to accurately report data in these situations outside of normal operations?
DL: Well, the makers of the instrumentation will say that they do really good testing, but the users of that equipment, are showing that those marketing claims are falling short of reality. The Browns Ferry nuclear plant also had a problem with digital equipment in that the internet traffic was so high that it interfered with controls of two pumps, sending cooling water through the reactor core causing them to trip offline. So we obviously have some more homework to do to make sure the digital equipment is reliable just for day-to-day operations, let alone handling accident situations.
LH: In response to the Fukushima Daiichi accident, the Nuclear Regulator Commission has expanded some safety instrumentations at nuclear power plants also specifically related to the spent fuel pools. Can you share a little bit with us about that?
DL: One of the problems at Fukushima was that there were seven spent fuel pools. During the accident, the water level and the temperature of that water in the spent fuel pools was unknown to the operators in the control room because they had no instrumentation installed to provide that even if power had been available. So the operators were distracted by sending somebody physically up to look at what the water level was or try to figure out what the temperature was. To avoid that situation here at U.S. plants, the Nuclear Regulatory Commission in March of 2012 ordered plant owners to install reliable water level instrumentation. Sounds good. But the order ordering plant owners to install instrumentation monitored the level down to a foot above where the spent fuel assemblies are stored in the pools so if there is a problem and the water level does drop, the operators may not know that the level is now below the top of the fuel and fuel damage may be imminent. All they know is it’s down to within a foot, no lower. There was an opportunity there to measure the water level of the entire pool, not just part of it. Again, we’re assuming that accidents will follow our scripts, we’ll be successful getting water back in before it drops that low and we’ll be setting the operators up for a trap if the water level drops below that. So again, we’re replicating the mistakes of yesterday, not learning the solutions from those disasters.
LH: Thank you so much, Dave. Once again, I’m Lucas Hixson and we’re speaking with Dave Lochbaum with the Union of Concerned Scientists. Once again, I’d like to thank you for joining us for this conversation.
DL: Thank you, Lucas, and thanks the work you’re doing in putting a light on these issues. That’s one of the best ways to try to get some of these problems off the table and into the rearview mirror behind us.
NWJ: Thanks for tuning in to the Fairewinds Energy Education podcast. If you’ve come to depend on Fairewinds for your source for unbiased nuclear news, please consider supporting our work with a contribution so that we can continue to produce high quality energy education programs like this one.
Deutsch
MG: Hallo, hier spricht Maggie Gundersen von Fairewinds Energy Education. Wir machen heute eine sehr spezielle Sendung zur Überwachung des Wasserstandes innerhalb von Atomreaktoren. Unsere Gäste sind der Berichterstatter in Sachen Atomenergie Lucas Hixson (Enformable) und Dave Lochbaum, Nuklearexperte der Vereinigung besorgter Wissenschaftler (Union of Concerned Scientists). Dies ist insofern nicht einer unserer gewohnten Podcasts, als es hier um ein ganz spezifisches technisches Problem geht. Diese Sendung ist für alle jene, die auf vertiefte Informationen warten. Eine ganze Reihe von Ihnen hat uns geschrieben und uns um diese Art von Material gebeten. Aber selbst wenn Sie kein Fachmann sind, glaube ich, dass Sie das Folgende sehr interessant finden werden und so einen Einblick in die Schwierigkeiten gewinnen, die der Betrieb eines Atomreaktors mit sich bringt. Ich danke Ihnen, dass Sie wieder mit dabei sind.
LH: Einen schönen Nachmittag, ich bin Lucas Hixson, und ich bin heute hier mit Dave Lochbaum von der Vereinigung besorgter Wissenschaftler. Wir wollen über das Überwachungssystem sprechen, welches Auskunft gibt über den Wasserstand innerhalb eines Kernreaktors. Wasser wird in einem Atomreaktor als Neutronenmoderator und als Kühlflüssigkeit verwendet. Die Höhe des Wasserstandes innerhalb eines Reaktors wird nicht direkt gemessen, sondern durch ein indirektes Überwachungssystem, das einen Zusatztank einschließt, ein Rohrleitungssystem, in dem sich der Messabschnitt befindet (reference leg). Über die Jahre hinweg gab es immer wieder einmal Berichte über Schwachstellen bei dieser Art des Kühlsystem[management]s, einige der bedeutsamsten wurden durch Paul Blanche in den 1990er- Jahren bekannt. Dave, kannst du erklären, worin diese Erkenntnisse bestanden?
DL: Ja. Paul deckte Probleme bei den Kontrollgeräten zur Ermittlung des Wasserstandes in Siedewasserreaktoren wie etwa Fukushima in Japan und Pilgrim oder Browns Ferry in den USA auf. Wie du bereits erwähnt hast, ist das Wasser bei diesem Reaktortyp innerhalb des Reaktorgefäßes am Kochen. Es ist aber nicht einfach, den Wasserstand zu bestimmen, wenn das Wasser sprudelnd kocht. Wenn man sich einen Topf mit kochendem Wasser am Herd vorstellt, dann sieht man auf die sprudelnde Oberfläche, aber wie hoch ist nun eigentlich der Wasserstand in diesem Topf?
In Siedewasserreaktoren benutzt man nun eine spezielle Rohrleitung als Messstrecke – im Grunde handelt es sich dabei lediglich um eine Wassersäule unterhalb des Siedepunktes – um dann den Druck bzw das Gewicht dieses Wassers mit dem Gewicht des Wassers im Reaktor zu vergleichen. Wir können die Dichte des Wassers im Reaktorgefäß leichter feststellen als den tatsächlichen Wasserstand. Den Druckunterschied zwischen dem Gewicht des Wassers im Reaktor und dem Gewicht des Wassers in der Messstrecke können wir nun nutzen, um zu bestimmen, wie hoch der Wasserstand im Reaktorgefäß ist. Es ist wie bei einer Flasche mit Sprudelwasser, die man zuerst schüttelt und danach den Schraubverschluss öffnet – plötzlich bleibt das Getränk nicht mehr auf dem vorhergehenden, normalen Niveau, sondern spritzt aus der Flaschenöffnung. Die nicht kondensierbaren Gase wurden durch das Schütteln freigesetzt. Weiters stellte Paul fest, dass umgekehrt im Falle eines plötzlichen Druckabfalls – zu welchem es bei einem Unfall kommen könnte – wie beim Öffnen der Sprudelflasche die austretenden nicht kondensierbaren Gase im Wasser der Messstrecke eben dieses Wasser durch die Blasenentstehung verändern. Der Druck fällt und dabei kommt es zur Blasenbildung. Dies wurde bei der Wasserstandmessapparatur nicht bedacht. Wenn im Betrieb diese Situation eintritt und sich Blasen bilden, dann kann der dem Reaktorfahrer angezeigte Wasserstand völlig falsch sein – und zwar um einige, um mehrere Meter. Wenn nun der Reaktorkern vier Meter hoch ist und die Anzeige liegt sieben Meter daneben, dann hat man ein massives Problem.
LH: Gibt es noch eine andere Möglichkeit für den Reaktorfahrer, die Höhe des Wasserstandes festzustellen, wenn das eigentlich dafür vorgesehene System keine korrekte Anzeige liefert?
DL: Die Reaktorfahrer werden in einem Siedewasserreaktor mit fünf Gruppen von Wasserstandsanzeigen versorgt. Sie sind kalibriert für heiße Betriebszustände mit hohem Druck und hoher Temperatur und für den kalten Betriebszustand, wenn der Reaktor heruntergefahren und der Druckbehälterdeckel geöffnet ist, wenn die Wassertemperatur also unter 100° Celsius liegt. Das Problem besteht darin, dass man bei einem Unfall von einem Zustand, der durch hohe Temperatur und hohen Druck gekennzeichnet ist, zu einem mit hoher Temperatur und niedrigem Druck gelangt, und zwar in dem Maße, in dem Rohrleitungen brechen und Wasserverlust entsteht. Die Reaktorfahrer müssen aus den fünf Anzeigentafeln nun diejenige herausfinden, die den aktuellen Zustand am besten repräsentiert; der entsprechende Hinweis wechselt von einem Instrument zum nächsten, der Reaktorfahrer muss raten, welches Instrument ihm gerade die besten Informationen liefert. Wenn man es aber mit einem Reaktorkern von 100 Tonnen zu tun hat und beginnt, über ihn herumzuraten, dann kann eine Fehleinschätzung ausgesprochen teuer kommen.
LH: Wenn ich mich recht erinnere, hat die Aufsichtsbehörde NRC (Nuclear Regulatory Commission) bis zu 75 cm Abweichung beim Messergebnis mit Hilfe dieser Messstrecke zugelassen. Die Messung kann aber um über sieben Meter daneben liegen, ist das korrekt?
DL: Bei Browns Ferry hatten wir zB drei Instrumente für das Wasserstandniveau, alle mit ihren Messstrecken, und die Instrumente differierten manchmal um bis zu 25 cm und mehr; sie alle maßen aber eigentlich denselben Zustand.
LH: Nachdem wir nun die Möglichkeit besprochen haben, dass Reaktorfahrer unter Umständen nicht im Stande sein könnten, den Wasserstand in einem Atomreaktor korrekt zu bestimmen, auf Grund der nicht kondensierbaren Gase, die gerade innerhalb der Messstrecke auftreten, möchte ich dich mit einem anderen glaubhaften Systemfehler konfrontieren. Allen Atomunfällen ist ein Phänomen gemeinsam, das meiner Meinung nach nicht genügend Beachtung findet: Wiederholt wurden Reaktorfahrer in Situationen gebracht, in denen sie den Instrumenten nicht mehr vertrauen konnten, auf die sie sich aber eigentlich stützen sollten, um zu erfahren, was im Atomreaktor vor sich geht. Sie haben entweder richtig oder falsch gehandelt, aber immer auf der Basis von fehlerhafter Information. Später wurden diese Reaktorfahrer für die Unfälle verantwortlich gemacht, da sie irgendeinen Bedienfehler begangen hätten. Im das zu illustrieren, Dave, könntest du uns etwas zu den Problemen mit den Anzeigen sagen, die bei den Reaktorfahrern in Three Mile Island aufgetreten sind?
DL: Selbstverständlich. Im März 1979 arbeitete der Reaktor von Three Mile Island mit einer Leistung von 97%, als es zu einer unerwarteten Abschaltung kam – einer automatischen Abschaltung, die den Reaktor innerhalb von Sekunden in einen unterkritischen Zustand versetzt. Das war im Vorjahr bereits 13 Mal geschehen, aber dieses, das 13. Mal, entwickelte sich besonders unglücklich. Als das Kraftwerk mit 97% Leistung betrieben wurde, war alles in Ordnung und bestens im Lot, bei einer Abschaltung kommt es aber zu starken Übergangsbelastungen im System, während versucht wird, die Leistung des Reaktors und den Verbrauch durch die Hilfssysteme auszugleichen. Während dieser Übergangsphase hatte sich ein Ventil im Reaktordruckgefäß geöffnet, um Wasser in einen Tank einzuspeisen und so einen Druckabbau zu erlauben. Das ist so weit ganz normal. Die Anlage funktionierte; ein paar Sekunden dauert so ein Übergang, dann ist das Gleichgewicht wieder hergestellt. In diesem Fall verklemmte sich das Ventil jedoch in geöffneter Stellung. Es hätte sich eigentlich wieder schließen sollen, nachdem sich der Druck verringert hatte, aber durch ein technisches Gebrechen blieb das Ventil geöffnet. Die Reaktorfahrer waren angewiesen, sie waren darauf trainiert, auch alle Verfahrensweisen und Anleitungen waren darauf ausgerichtet, dass der Tank, zu dem dieses Ventil den Weg freigab, niemals komplett mit Wasser befüllt sein sollte. Er wird teilweise befüllt, um die wechselnde Ausdehnung des Wassers auszugleichen, wenn sich der Reaktor erhitzt bzw abkühlt, in etwa so wie der Überlauf bei einem Automotor. Weil das Ventil in geöffneter Stellung festsaß, wurde der Wasserstand in seinem Inneren als randvoll, bereits am Überlaufen, angegeben. Das entsprach gar nicht dem tatsächlichen Wasserstand, aber weil das Ventil immer noch offen war, passierte Ähnliches wie vorher bei der Sprudelflasche: der Tank war nicht am Überlaufen, der „Überlauf“ entstand durch das Aufschäumen, ausgelöst durch das Ausgasen infolge des durch das offene Ventil verursachten Druckabfalls – eben ganz ähnlich wie beim Öffnen einer Flasche Sprudel. Die Reaktorfahrer beantworteten dieses falsche Signal, indem sie die Pumpen stilllegten, die sich eingeschaltet hatten, um den Wasserverlust im Reaktor auszugleichen und ihn zu kühlen. Sie schalteten die Pumpen ab, weil sie fälschlicherweise davon ausgingen, im Reaktor wäre zu viel Wasser – das Gegenteil war der Fall. Über die nächsten zwei Stunden gelang es ihnen, noch mehr Wasser aus dem Reaktorgefäß abzuziehen, weil sie ja fortgesetzt versuchten, den Wasserstand in dem einen Tank auf ein normales Niveau abzusenken. Die falsche Anzeige hielt sie dazu an, die nächsten zwei Stunden lang Wasser aus dem Reaktordruckgefäß abzuziehen, bis der Reaktorkern teilweise trocken lag und schmolz. Der Reaktorkern überhitzte und begann zu schmelzen. Diese Reaktorfahrer taten aber nichts weiter, als genau so vorzugehen, wie sie es gelernt hatten, wie es ihnen die Anleitungen vorgaben. Sie vertrauten auf falsche Anzeigewerte und kamen dadurch auf das ganz falsche Gleis.
LH: Gab es denn vor Three Mile Island irgendwelche Hinweise, dass dieses Ventil einmal in geöffneter Stellung festsitzen könnte?
DL: Wenig mehr als ein Jahr zuvor passierte im AKW von Davis Besse in Ohio, einer Zwillingsanlage von Three Mile Island, ein ganz ähnlicher Vorfall. Es kam zu einer [Schnell-] Abschaltung. Zu diesem Zeitpunkt lief der Reaktor mit 90% Leistung. Auch in diesem Fall öffnete sich das Ventil, um die für wenige Sekunden zu erwartenden raschen Druckveränderungen abzufangen, wonach sich das System wieder in einem stabilen Zustand befände. Es saß jedoch ebenfalls in geöffneter Stellung fest. Die Reaktorfahrer bemerkten aber in diesem Fall, dass das Ventil unplanmäßig geöffnet war, und sie schlossen ein anderes Ventil in der gleichen Rohrleitung, womit der Durchfluss zuverlässig gestoppt wurde. Der Druck im Tank fiel von der fälschlich angezeigten Überfüllung auf das effektiv vorherrschende Niveau zurück, somit wurde die kritische Situation mühelos überwunden. Das Problem dabei war: obwohl es zu diesem Störfall gekommen war und dieser ja auch erfolgreich gemeistert werden konnte, gaben weder der Besitzer noch der Reaktorbauer noch die NRC diese Information weiter, sodass die Bedienungsmannschaften in Three Mile Island und anderswo nicht vor dieser möglicherweise entstehenden Situation gewarnt wurden. Als sie dann ahnungslos hineinstolperten, interpretierten sie den Sachverhalt falsch – mit desaströsen Auswirkungen.
LH: Für mich hat das Anklänge an die Art von Fehlern, zu denen es auch in Tschernobyl kam, als Reaktorfahrer auf eine Weise reagierten, von der sie annahmen, dass sie angemessen war, aber auf Grund von anderen Konstellationen der Anlage eigentlich nicht den Abläufen folgten, die ihnen geholfen hätten, den Unfall abzuschwächen.
DL: Es handelt sich um ein gängiges Thema. Immer wieder stellen wir den Reaktorfahrern eine Falle. Wir geben ihnen ein Set von Anweisungen, die dafür gedacht sind, eine große Spannbreite von Situationen abdecken zu können. Wenn sich der Ablauf aber nicht an diese Drehbücher hält, dann werden die Bedienmannschaften [mit diesen Anweisungen] in die Irre geleitet. Das passierte, wie du sagtest, in Tschernobyl, es passierte in Three Mile Island, in gewisser Weise passierte es auch in Fukushima. Wir scheinen unfähig zu sein, aus diesen Katastrophen die richtigen Lehren zu ziehen.
LH: Meine Besorgnis besteht in dieser Hinsicht offensichtlich darin, dass wir die Bedienungsmannschaften, anstatt ihnen erfolgreiches Handeln zu ermöglichen, im Gegenteil in eine Situation bringen, in der sie unausweichlich das Falsche tun und so versagen müssen. Tokyo Electric zufolge, dem Betreiber des havarierten Kraftwerks Fukushima Daiichi, hatten auch sie Probleme mit der Reaktorwasserstandanzeige in den verschiedenen Blöcken, während sie versuchten, die Folgen des Erdbebens und des Tsunamis vom 11. März 2011 zu bekämpfen. Speziell in Block 1 suchte die Mannschaft nach dem Stromausfall verzweifelt nach Ersatzmöglichkeiten, wie eine Energieversorgung für die Überwachungsinstrumente im Kontrollraum herzustellen wäre, um feststellen zu können, was sich im Reaktor überhaupt abspielte. Als sie zeitweilig die Wasserstandanzeige mit Hilfe von Batterien wieder zum Laufen gebracht hatten, zeigten die Messinstrumente den Reaktorfahrern, dass die Brennelemente noch mit Wasser bedeckt wären. Später fanden wir heraus, dass der Kern zu diesem Zeitpunkt in Wirklichkeit schon völlig trocken lag und bereits 90 Minuten trocken gelegen war, als die provisorische Stromversorgung hergestellt wurde. TEPCO zufolge hatte die Temperatur im Reaktorkern eine Höhe erreicht, bei dem die Kernschmelze einsetzt, und war auch schon so hoch, dass das Wasser in der Messstrecke verdampft sein musste. Auf Grund des Drucks im Reaktorgefäß hatten die Messgeräte während der provisorischen Stromversorgung falsche Werte angezeigt. Das sagt mir, dass diese Art der Feststellung des Wasserniveaus zwar im Normalbetrieb dazu im Stande sein mag, den Reaktorfahrern verlässliche Daten zu liefern; an einem schlechten Tag aber kann das System versagen, wie nach einer Kernschmelze. Kannst du uns dazu etwas berichten?
DL: Ich würde bis zu einem gewissen Grad zustimmen. Die Messgeräte für den Wasserstand und andere Systeme im Kraftwerk wurden in Hinblick auf den Normalbetrieb oder vorgegebene Unfallabläufe entworfen. Wenn Unfälle aber nicht den Drehbüchern folgen, so wie wir sie geschrieben haben, dann können diese Anweisungen und Anleitungen, die man den Reaktorfahrern mitgibt, schließlich mehr hinderlich als förderlich sein. Und das ist eine Situation, der wir sie [die Bedienungsmannschaften] nicht ausliefern sollten.
LH: Um auf Fukushima Daiichi zurückzukommen: Wir haben soeben festgestellt, dass Reaktorfahrer in Zukunft, wenn sie sich in einer Situation befinden, in der sie davon ausgehen müssen, dass es zu einem Schaden an den Brennelementen gekommen sein könnte, dass im Inneren des Reaktors bereits Temperaturen herrschen könnten, die ein so hohes Niveau erreicht haben, dass alles Wasser in der Messstrecke verdampft ist, dann würde anschließend die Öffentlichkeit in die Lage kommen, den Aussagen der Industrie vertrauen zu müssen – die aber ihren eigenen Daten nicht vertrauen kann. Stimmt das so?
DL: Unglücklicherweise: Ja! So wie es nun ist – und für die vorhersehbare Zukunft wohl weiter sein wird –, bleibt der beste Hinweis darauf, ob die Messungen des Wasserstandes korrekt oder falsch sind, der Umstand, ob man eine radioaktive Wolke aus dem Kraftwerk bemerkt – in dem Fall dürften die Messergebnisse dann wohl falsch sein. Wir brauchen aber eine bessere Anzeige als eine radioaktive Wolke, um feststellen zu können, ob wir den Wasserstand nun kennen oder nicht. Dieser Preis herauszufinden, dass wir uns geirrt haben, ist jedenfalls zu hoch.
LH: Dave, wird dieselbe Art von Wasserstandanzeigen bei Druck- und Siedewasserreaktoren verwendet?
DL: In dieser Form nur bei Siedewasserreaktoren. Druckwasserreaktoren benutzen ein ähnliches, aber etwas unterschiedliches Konzept. Bei Druckwasserreaktoren (PWR; pressurized water reactors) gibt es gar kein Messinstrument für den Wasserstand innerhalb des Reaktordruckgefäßes, weil wir ja, nach unseren Unfalldrehbüchern, niemals Wasser aus unserem Primärkreislauf verlieren. Die Messgeräte für die Wasserstandanzeige sind bei den PWRs Teil der Dampferzeuger im Sekundärkreislauf, außerhalb des Reaktorgefäßes. Bei den Dampferzeugern wird nun wiederum eine ähnliche Methode benutzt wie bei den Siedewasserreaktoren (BWR; boiling water reactors), um den Wasserstand innerhalb der Dampferzeuger festzustellen. Bei PWRs gibt es also eigentlich gar kein System, mit dem man den Wasserfüllstand im Reaktorgefäß überwachen könnte – nur dann, wenn sie heruntergefahren sind.
LH: Werden diese Probleme von jemandem bearbeitet? Können sie überhaupt gelöst werden? Und wer sollte sich mit Antworten auf diese Fragen befassen?
DL: Wir scheinen immer die vergangene Schlacht zu schlagen – was auch getan werden muss. Aber wir müssen unseren Blickwinkel erweitern, wie wir mit den zentralen Betriebsparametern verfahren, denjenigen, welche die Bedienungsmannschaften unter Kontrolle behalten müssen, und ob diese Parameter während der unterschiedlichen Stör- und Unfallbedingungen, die sich ergeben können, wirklichkeitsgetreu abgebildet werden oder nicht. Wir können die Reaktorfahrer nicht in die Verlegenheit bringen, raten zu müssen, was eigentlich vor sich geht – weil sie ja auch richtig raten könnten. Wenn sie aber falsch raten, dann zahlen eine Menge Leute einen hohen Preis. Meiner Meinung nach sollten die Bundesregierung, die nationalen Forschungseinrichtungen und auch die Atomindustrie jeden der ausschlaggebenden Parameter, sei es nun Druck, Wasserstand, Temperatur, Wasserstoffkonzentration oder was auch immer, welcher in der Unfallsituation kontrolliert werden muss, daraufhin prüfen, ob die Reaktorfahrer verlässliche Informationen über diesen Parameter erhalten, damit sie zur rechten Zeit die richtigen Entscheidungen fällen können. Die armen Reaktorfahrer in Fukushima etwa, die sich abmühten, die Stromversorgung für die Instrumente wiederherzustellen, nur um dann falsche Messwerte geliefert zu bekommen – man hätte sie von Anfang an nicht in diese Lage bringen dürfen; wenn wir es aber dennoch tun, so ist das eine Schande für uns alle.
LH: Die Öffentlichkeit hat die Verpflichtung, sich zu informieren und zu gewährleisten, dass die Aufsichtsbehörden ihre Arbeit tun und sich all dieser Probleme annehmen. Aber wie können die Bedienmannschaften die Aufsichtsbehörde NRC und auch die Atomindustrie darin unterstützen, diese Probleme zu bearbeiten?
DL: Die Betreiber dieser Kraftwerke, die Besitzer der AKWs, haben mit diesen Anlagen eine milliardenteure Veranlagung, die sie nicht verlieren wollen. Sie haben also jeden Grund, dafür zu sorgen, dass die Bedienmannschaften zuverlässige Informationen erhalten. Sie sollten nicht nur die Probleme von gestern regeln. Sie sollten die Sache mit den Anzeigen unter einem breiten Gesichtswinkel betrachten, darauf hinsteuern, die Ausrüstung zu verbessern. Beispielsweise tauschen viele Werke die alten analogen Apparaturen gegen digitale, da schlicht keine Ersatzteile mehr aufzutreiben sind. Wenn man also zu einer digitalen Ausrüstung überwechselt, wenn man einige der Messgeräte austauscht, dann sollte man sie gleichzeitig verbessern, sie zuverlässiger machen, sie so einrichten, dass ein weiterer Bereich an Unfallverläufen abgedeckt ist als durch die äußerst schmächtigen Drehbücher, wie sie derzeit vorliegen. Tun wir das nicht, so verlassen wir uns nur auf das Glück, um das nächste Fukushima oder Tschernobyl oder Three Mile Island zu verhindern. Die Tatsache, dass diese Liste immer länger wird, zeigt, dass Glück nur einen lausigen Schutzwall darstellt.
LH: Wenn wir über die Aufbesserung von analogen zu digitalen Messgeräten sprechen, so erinnert mich das an die Ereignisse in North Anna im Jahr 2012, wo ein paar der seismischen Instrumente digitalisiert worden waren; mit diesen war es dann aber nicht möglich, die tatsächlichen Erdschwingungen in der Anlage aufzuzeichnen. Man war deshalb für die Datengewinnung auf sogenannte „scratch plates“ angewiesen [ein rein mechanisches Gerät, welches Beschleunigungen in allen drei Raumachsen aufzeichnen kann; AdÜ]. Welche Art von Tests werden bei diesen digitalen Messgeräten eingesetzt, um sicherzustellen, dass sie dazu geeignet sind, Daten auch jenseits von normalen Betriebsbedingungen noch verlässlich aufzuzeichnen?
DL: Nun, die Hersteller dieser Messgeräte sagen natürlich, dass ihre Testmethoden hervorragend sind, aber die Anwender der Geräte belegen, dass diese Werbebotschaften die Wirklichkeit nur unzureichend wiedergeben. Das AKW von Browns Ferry hatte ebenfalls Probleme mit digitaler Ausrüstung: Dort war der Internetverkehr so hoch, dass er mit der Ansteuerung zweier Pumpen in Konflikt geriet, sodass Kühlwasser in den Reaktorkern gelangte, was zu einer Abtrennung des AKWs vom Stromnetz führte. Wir haben also ganz offensichtlich noch einige Hausaufgaben vor uns, um sicherzustellen, dass digitale Geräte im Alltagsbetrieb zuverlässig arbeiten – von Unfallsituationen ganz zu schweigen.
LH: Als Antwort auf den Unfall von Fukushima Daiichi hat die NRC die vorgeschriebene Einholung von Sicherheitsinformationen etwas ausgeweitet, insbesondere die Abklingbecken sind davon betroffen. Kannst du uns etwas mehr darüber erzählen?
DL: Eines der Probleme von Fukushima bestand in dem Vorhandensein von sieben Abklingbecken. Während des Unfalls waren sowohl der Wasserstand als auch die Wassertemperatur den Bedienmannschaften im Kontrollraum unbekannt, denn es gab dort keine Messinstrumente, die diese Information hätten liefern können – selbst, wenn Strom zur Verfügung gestanden wäre. Die Bedienungsmannschaften verzettelten sich also darin, jemanden physisch dorthin zu schicken, um den Wasserstand festzustellen oder zu versuchen, einen Temperaturmesswert zu bekommen. Um diese Situation bei US-amerikanischen AKWs zu vermeiden, befahl die NRC den Besitzern im März 2012, zuverlässige Wasserstandmessgeräte zu installieren. Das klingt gut. Aber in dieser Anweisung, die den Besitzern die Anbringung dieser Messfühler auftrug, stand auch, dass die Temperatur nur bis in eine Tiefe von 30 cm oberhalb der Brennelemente gemessen werden muss. Wenn es also zu einem Problem kommt und der Wasserstand wirklich sinkt, dann weiß die Bedienmannschaft unter Umständen nicht, ob der Wasserstand nun unterhalb der Brennelementoberkannte angelangt ist und damit ein Schaden bei den Brennelementen unmittelbar bevorsteht [dass sie also in Brand geraten; AdÜ]. Sie wissen bestenfalls: „Jetzt ist die Wasseroberfläche noch 30 cm darüber“, danach nichts mehr. Es hätte sich hier eine Gelegenheit ergeben, Daten im gesamten Becken zu erheben, nicht nur in einem Teil. Ein weiteres Mal nehmen wir an, dass Unfälle unseren Drehbüchern folgen: „Wir werden das Wasser schon rechtzeitig wieder auffüllen können, bevor es dermaßen weit abfällt!“ Aber wir stellen den Bedienmannschaften hier eine Falle, sollte das Wasserniveau doch stärker absinken. Ein weiteres Mal wiederholen wir unsere früheren Fehler, ziehen keine Lehren aus vergangenen Katastrophen.
LH: Vielen herzlichen Dank, Dave. Nur um zu wiederholen: Ich bin Lucas Hixson und wir sprechen mit David Lochbaum von der Vereinigung besorgter Wissenschaftler. Ich möchte dir noch einmal dafür danken, dass du für dieses Gespräch bei uns gewesen bist.
DL: Danke dir, Lucas, und danke dir für das Licht, das du auf diese Themen wirfst. Das ist einer der besten Wege, wie wir versuchen können, diese Probleme wenigstens teilweise vom Tisch zu bekommen und hinter uns zu bringen.
NWJ: Danke, dass Sie heute diesen Podcast von Fairewinds Energy Education angehört haben. Wenn Sie sich auf Fairewinds als Quelle unparteiischer Information zum Thema Atomindustrie verlassen, dann ziehen Sie bitte in Betracht, unsere Arbeit durch eine Spende zu unterstützen, damit wir auch weiterhin hochwertige Energy Education Programme wie dieses herstellen können.