Schockierende AKW-Fehlerkultur

Fast 30 Jahre lang blieb ein Montagefehler in der Notstromversorgung des AKW Beznau unentdeckt. So wurden Risikoanalysen jahrzehntelang unter falschen Annahmen getroffen. Was sagt uns das über die Sicherheitskultur rund um die alten Schweizer Atomkraftwerke?

Von Fabian Lüscher*

Was passiert, wenn die Erde bebt? Diese Frage ist für die Sicherheit von AKW zentral. Zumindest könnte man das meinen. Immerhin gehören Erdbeben laut Risikoanalysen zu den grössten Gefahren für Atomreaktoren. Dennoch entdeckten Mitarbeitende des AKW Beznau erst im Dezember 2020 rein zufällig, dass an mehreren Dieselgeneratoren sogenannte Schockabsorber fehlten. Die Notstromanlagen waren Anfang der 1990er-Jahre installiert worden. Sie sollen – speziell auch im Erdbebenfall – garantieren, dass die sicherheitsrelevanten AKW-Komponenten weiter funktionieren, falls die normale Stromversorgung ausfällt. Denn ohne Strom kann unter Katastrophenbedingungen kein Reaktor heruntergefahren werden. Auch die Wärmeabfuhr aus Reaktorkern und Abklingbecken ist nicht gewährleistet, wenn der Notstrom versagt.

28 Jahre falsch gerechnet

Seit dem Einbau der fehlerhaften Notstromgeneratoren hatte niemand bemerkt, dass das AKW Beznau viel weniger erdbebensicher war als angenommen. 28 Jahre lang rechnete man mit Sicherheitssystemen, die so gar nie existiert hatten. Ohne die Schockabsorber hätte ein kräftiges Erdbeben in Beznau nicht nur einen Störfall ausgelöst, sondern gleichzeitig die Systeme zu dessen Bewältigung ausser Betrieb gesetzt.

Die zufällige Entdeckung der fehlenden Bauteile im letzten Dezember ist mehr als eine Randnotiz. Sie stellt nicht nur die Sicherheitsanalysen der vergangenen Jahrzehnte in Frage, sondern wirft ein schiefes Licht auf die vorherrschende Schweizer Sicherheitskultur: Wie ist es möglich, dass ein gravierender Mangel an einem elementaren Notstandssystem jahrzehntelang nicht bemerkt wird? Wie kann bei zukünftigen Nachrüstungen verhindert werden, dass sowohl die Hersteller als auch die Betreiber und deren Aufsicht in sicherheitsrelevanten Prozessen so grundlegend versagen? Welche weiteren, unentdeckten Altlasten verbergen sich im ältesten AKW-Park der Welt und ihren teilweise ebenfalls jahrzehntealten Nachrüstungen noch? Klar ist: Die Entdeckung der fehlenden Schockabsorber muss Folgen haben, die weit über die inzwischen erfolgte Nachrüstung der Notstromdiesel hinausgehen.

Handlungsbedarf erkannt – Bedeutung heruntergespielt

Das Eidg. Nuklearsicherheitsinspektorat (ENSI) musste in der öffentlichen Stellungnahme zugeben, dass im vorliegenden Fall ein gravierender Fehler erst nach sehr langer Zeit entdeckt wurde. Die Interpretation des Vorfalls durch die Atomaufsichtsbehörde ist allerdings mehr als fragwürdig. Sie ist ein Hinweis darauf, dass die Behörde noch immer eine Kommunikationspolitik verfolgt, die in erster Linie beruhigen soll. Das ENSI stellt sich schützend vor die Betreiber eines Atomkraftwerks, das jahrzehntelang Sicherheitsanalysen auf der Basis falscher Annahmen berechnete.

Seine Argumentation ist legalistisch: starr an Paragrafen und Vorschriften festhaltend. Weil erst nach Fukushima die Erdbebengefährdungsannahmen korrigiert worden seien, hätten die Notstromdiesel bis zum 31. März 2012 die tieferen gesetzlichen Anforderungen erfüllt. Am 25. Mai 2012 seien dann zusätzliche Dieselgeneratoren installiert worden, die den Mangel der alten Anlagen kompensiert hätten. Obwohl diese Aussage aus rein rechtlicher Sicht nicht falsch ist, irritiert sie gewaltig. Sie suggeriert, dass die fehlenden Schockabsorber bis ins Jahr 2012 kein Problem waren, weil man bis dahin mit viel zu optimistischen Erdbebengefährdungsannahmen gearbeitet hat. Tatsächlich interessiert sich ein Erdbeben aber nicht für den legalen Rahmen einer Sicherheitsanalyse. Wenn die Erde bebt, ist einzig und allein entscheidend, ob die Notstromversorgung das aushält; und diese Frage muss für Beznau rückblickend mindestens bis 2012 mit Nein beantwortet werden.

Strukturelle Probleme…

Abgesehen von der realen Sicherheitslücke, die von den fehlenden Schockabsorbern in Beznau ausging, fördert dieser Vorfall strukturelle Probleme der Fehler- und Sicherheitskultur rund um die Schweizer Altreaktoren zu Tage. Die Qualitätskontrolle und ständige Verbesserung sicherheitsrelevanter Systeme – und das ist die unangenehme Haupterkenntnis aus dem Schockabsorberfall – funktioniert nicht, wie sie sollte. Dieser Zustand ist unhaltbar. Die vom ENSI vorgebrachte Entschuldigung, dass die fehlenden Schockabsorber nicht entdeckt wurden, weil sie auch in der Dokumentation und in den Instandhaltungsvorschriften fehlten, zeigt die wahre Dimension des Problems.

Es geht hier um wesentlich mehr als einen kleinen Fehler. Es geht um eine Sicherheitsphilosophie, die der Komplexität eines AKW im Langzeitbetrieb und der Dynamik wissenschaftlich-technischen Wissens nicht gerecht wird: Beim Einbau von Anlagen, Maschinen und Komponenten werden bisher jeweils verschiedene Dokumente mitgeliefert, anhand derer man dann ihre Qualität und Funktionalität regelmässig überprüft. Diese Qualitätskontrolle inklusive Checklisten, Abläufen und Dokumentationen unterliegt allerdings keinem kontinuierlichen Verbesserungsprozess. Nur so ist zu erklären, dass die Notstromdiesel jahrelang geprüft wurden, ohne dass jemand den gravierenden Mangel entdeckt hätte.

…und Lösungsansätze

Gerade bei AKW, die ihre eigentlich geplante Lebenszeit von 40 Jahren überschritten haben, müsste ein ganz anderes Konzept der Qualitätssicherung umgesetzt werden. Statt immer wieder die potenziell fehlerhaften Checklisten der Hersteller abzuarbeiten, müssten die gesamten Anlagen so kontrolliert werden, als wären sie neu gebaut worden. Eine Qualitätskontrolle im Sinne eines Re-Engineering würde es ermöglichen, grundsätzliche Mängel zu erkennen, auch wenn diese der Dokumentation entsprechen. So umfassende Sicherheitsprüfungen und Instandhaltungsarbeiten würden natürlich mehr Zeit und eine längere Abschaltdauer der Reaktoren bedingen.

Eine solche Lösung für das strukturelle Problem, das dem Schockabsorberfall zu Grunde liegt, kostet nicht nur viel Zeit und Geld, sondern erfordert ein Umdenken in der Sicherheitsphilosophie. Solange man beim ENSI davon ausgeht, dass die Schweizer AKW grundsätzlich sicher sind, reichen die bestehenden Instandhaltungsvorschriften aus. Der erst jüngst entdeckte Sicherheitsmangel an den Notstromgeneratoren in Beznau hat nun eindrücklich gezeigt, dass diese Grundannahme nicht haltbar ist. Stattdessen müsste eine Aufsichtsbehörde davon ausgehen, dass noch weitere unentdeckte Sicherheitsmängel vorliegen und ein Prüfsystem implementieren, das in der Lage ist, diese zu finden.

Bis das passiert, gibt es auf die eingangs gestellte Frage nur eine unbefriedigende Antwort: Wenn die Erde bebt, können wir nur hoffen, dass in den vergangenen 52 Jahren nirgendwo sonst gepfuscht wurde. Denn schon ein kleiner, unentdeckter Fehler kann im Erdbebenfall zur atomaren Katastrophe führen.

 

*Der Autor

Fabian Lüscher

Fabian Lüscher
Leiter Fachbereich Atomenergie

Tel. 044 275 21 20
Mail: fabian.luescher@energiestiftung.ch

Lesen

Ich abonniere das Magazin «Energie und Umwelt» für CHF 30.-/Jahr.

Anrede