Risiken des grenznahen AKW1 Cattenom

Autor: Prof. Dr. Manfred Mertins

Auftraggeber: Bundestagsfraktion Bndnis 90/Die Grnen

Kln, Februar 2016

AKW - Atomkraftwerk

Risiken des grenznahen AKW Cattenom

Vorwort
Mit Schreiben vom 12.01.2016 veranlasste die Bundestagsfraktion Bndnis 90/Die
Grnen eine gutachterliche Stellungnahme zum Sicherheitsstand des franzsischen
AKW Cattenom mit der Aufgabe, die in Bezug auf die nukleare Sicherheit vorhandenen
sicherheitstechnischen Defizite festzustellen. Dabei sei insbesondere zu beachten,
dass das AKW Cattenom in einem Risikogebiet in Bezug auf Flugzeugabstrze liegt.
Als sicherheitstechnischer Mastab sollen dabei insbesondere die den Stand von Wissenschaft und Technik bestimmenden internationalen Sicherheitsanforderungen - die
von der Western European Nuclear Regulators Association (WENRA) im September
2014 verffentlichten WENRA Safety Reference Levels for Existing Reactors - dienen.

Inhalt
1

Beschreibung des Auftrags .................................................................... 4

Bewertungsmastab ............................................................................... 4

2.1

Stand von Wissenschaft und Technik ........................................................ 4

2.2

Detaillierte Angaben zu den nach Stand von Wissenschaft und

Technik heranzuziehenden Sicherheitsanforderungen .............................. 7

2.3

Relevante WENRA Ref.-Level ................................................................. 17

Anlagenbeschreibung AKW Cattenom................................................. 21

3.1

Allgemeine Angaben................................................................................ 22

3.2

Angaben zum AKW Cattenom ................................................................. 25

3.2.1

Angaben zur Verfahrenstechnik ............................................................... 27

3.2.2

Angaben zur elektrischen Energieversorgung.......................................... 30

3.3

Angaben zu den Manahmen und Einrichtungen des anlageninternen

Notfallschutzes ........................................................................................ 31

Bewertung des Sicherheitsniveaus ...................................................... 34

4.1

bergreifende anlagenexterne Einwirkungen .......................................... 35

4.1.1

Erdbeben, berflutung ............................................................................. 36

4.1.2

Flugzeugabsturz ...................................................................................... 39

4.1.3

Fazit bergreifende anlagenexterne Einwirkungen .................................. 39

4.2

Elektrische Energieversorgung ................................................................ 40

4.2.1

Ausfall der externen Stromversorgung sowie des Eigenbedarfs eines

Reaktorblockes ........................................................................................ 41

4.2.2

Lnger anhaltender Verlust der externen Stromversorgung sowie des

Eigenbedarfs ........................................................................................... 42

4.2.3

Auslegungsberschreitende Anlagenzustnde ........................................ 43

4.2.4

Fazit elektrische Energieversorgung ........................................................ 47

4.3

Wrmeabfuhr ........................................................................................... 48

4.3.1

Wirksamkeit der Reaktorkhlung ............................................................. 49

4.3.2

Brennelement-Lagerbecken..................................................................... 52

4.3.3

Fazit Wrmeabfuhr .................................................................................. 55

Zusammenfassende Bewertung sicherheitsrelevanter

Schwachstellen ...................................................................................... 58

Literaturverzeichnis ............................................................................... 63

Anhang 1: Structures and Components of the Hardened Safety Core" /39,

40, 41, 42/

Beschreibung des Auftrags

Gem Leistungsbeschreibung der Bundestagsfraktion Bndnis 90/Die Grnen vom

12.01.2016 besteht der Schwerpunkt der beauftragten gutachterlichen Stellungnahme
in der Feststellung und Bewertung der in Bezug auf die nukleare Sicherheit vorhandenen grten sicherheitstechnischen Defizite des AKW Cattenom. Dies ist insbesondere
von Bedeutung da das AKW Cattenom in einem Risikogebiet hinsichtlich des Absturzes von Flugzeugen liegt. Es soll auch eingeschtzt werden, ob solche festgestellten
Defizite durch Nachrstung praktisch zu beheben wren.
Als sicherheitstechnischer Mastab sollen dabei insbesondere die den Stand von Wissenschaft und Technik bestimmenden internationalen Sicherheitsanforderungen - die
von der Western European Nuclear Regulators Association (WENRA) im September
2014 verffentlichten WENRA Safety Reference Levels for Existing Reactors herangezogen werden.

2.1

Bewertungsmastab

Stand von Wissenschaft und Technik

Gem Auftrag sind der Bewertung des Sicherheitsstandes des AKW Cattenom die
Sicherheitsanforderungen zu Grunde zu legen, die dem Stand von Wissenschaft und
Technik entsprechen. Dieser Zielsetzung werden nach dem gegenwrtigen Stand die
WENRA Safety Reference Levels for Existing Reactors /1/ (WENRA Ref.-Level) aus
dem Jahre 2014 gerecht. Die WENRA Ref.-Level basieren inhaltlich auf den Sicherheitsstandards der IAEA2, hier sind an erster Stelle die Specific Safety RequirementsDesign /2/. zu nennen. Die Grundlage der nach Stand von Wissenschaft und Technik
anzuwendenden Sicherheitsanforderungen ist durch das Defence-in-Depth Sicherheitskonzept, dass in erster Linie dem Schutz der Barrieren gegen den Austritt radioaktiver Stoffe dient, gegeben (sh. hierzu detaillierte Ausfhrungen in Kapitel 2.2).

IAEA International Atom Energy Agency

Die WENRA Ref.-Level sind als im Konsens zwischen den Mitgliedern in WENRA3 getroffene Empfehlung fr einen einheitlichen Sicherheitsstandard fr in Betrieb befindliche AKW in Europa zu verstehen. Die ursprngliche Fassung der WENRA Ref.-Level
aus dem Jahre 20084 wurde um die aus dem Unfall im japanischen AKW Fukushima
gewonnenen Erkenntnisse ergnzt und sind in der jetzigen Fassung /2/ als Stand von
Wissenschaft und Technik fr die dort angesprochenen sicherheitstechnischen Sachverhalte zu verstehen. Bei den in den WENRA Ref.-Level nicht angesprochenen sicherheitstechnischen Sachverhalten sind weitere, den Stand von Wissenschaft und
Technik auf dem Gebiet der Sicherheit von AKW reflektieren Anforderungsprofilen, z.B.
/3/, heranzuziehen.
In Deutschland gilt, ausgehend von hchstrichterlicher Rechtsprechung, dass sich die
Vorsorge gegen Schden aus der Errichtung und den Betrieb von AKW nach dem
neuesten Stand von Wissenschaft und Technik richten muss: Es muss diejenige Vorsorge gegen Schden getroffen werden, die nach den neuesten wissenschaftlichen Erkenntnissen fr erforderlich gehalten wird. Lsst sie sich technisch noch nicht verwirklichen, darf die Genehmigung nicht erteilt werden; die erforderliche Vorsorge wird mithin
nicht durch das technisch gegenwrtig Machbare begrenzt.5
In Deutschland wird der aktuelle Stand von Wissenschaft und Technik durch die Sicherheitsanforderungen an Kernkraftwerke /3/ reprsentiert.
Die WENRA Safety Reference Levels for Existing Reactors sind in insgesamt 19 Safety Issues zusammengefasst.
Die hinsichtlich der berprfung der sicherheitstechnischen Auslegung von AKW relevanten Sicherheitsanforderungen (Safety Reference Levels) sind berwiegend in folgenden 7 Safety Issues zu finden:

Issue E: Design Basis Envelope for Existing Reactors

Issue F: Design Extension of Existing Reactors

Liste der Mitglieder und Beobachter in WENRA: http://www.wenra.org/members-and-observers/

http://www.wenra.org/media/filer_public/2012/11/05/list_of_reference_levels_january_2008.pdf

BVerfG 49, 89; sh. auch Roller in /8/, dort Teil 2: Rechtswissenschaftliche Begutachtung der nach Stand
von Wissenschaft und Technik erforderlichen Vorsorge gegen Schden.

Issue G: Safety Classification of Structures, Systems and Components

Issue LM: Emergency Operating Procedures and Severe Accident Management

Guidelines

Issue R: On-site Emergency Preparedness

Issue S: Protection against Internal Fires

Issue T: Natural Hazards

In den weiteren 12 Safety Issues sind im Wesentlichen die Sicherheitsanforderungen

angegeben, die sich mit

dem Sicherheitsmanagement sowie mit Prozessen, deren Gestaltung und berprfung im Rahmen des Sicherheitsmanagements,

der Durchfhrung von probabilistischen und deterministischen Sicherheitsanalysen,

der Organisation und Durchfhrung der Instandhaltung von Komponenten und Einrichtungen einschlielich Alterung usw.

befassen.
Gem Auftrag sind sicherheitstechnische Sachverhalte des AKW Cattenom im Abgleich mit den WENRA Safety Reference Levels for Existing Reactors zu bewerten.
Im Sinne des Auftrages sind die Sicherheitsanforderungen angesprochen, die die sicherheitstechnische Auslegung der Anlage betreffen. Insofern sind also im Wesentlichen die WENRA Ref.-Levels als Bewertungsmastab heranzuziehen, die den o.g. 7
Issues zuzuordnen sind.
Aber auch der Betrieb von AKW hat fr deren Sicherheit eine beraus bestimmende
Bedeutung, was u.a. durch die in den weiteren 12 Issues der WENRA Safety Reference Levels for Existing Reactors angesprochenen Sachverhalten manifestiert ist.
Die Bewertung des Betriebs im Abgleich mit den WENRA Safety Reference Levels for
Existing Reactors ist jedoch nicht Gegenstand des Auftrages. Kritische Anmerkungen
zu Fragen des Betriebs des AKW Cattenom kann man z.B. aus /17/ und /25/ entnehmen.

Gem WENRA Ref.-Level E5.2 (sh. Kapitel 2.3) ist auch der Flugzeugabsturz bei der
Auslegung von AKW zu bercksichtigen. Diesbezgliche Anforderungen sind z.B. auch
in /2/ und /3/ beschrieben. Informationen bezglich konkreter Auslegungsziele sowie
erforderlicher Lastannahmen fr den Lastfall Flugzeugabsturz finden sich hinsichtlich
der in Betrieb befindlichen AKW bei den WENRA Safety Reference Levels for Existing
Reactors /1/ jedoch nicht. In einer Ausarbeitung der RHWG6 /4/ sind entsprechende
Angaben, allerdings bezogen auf die Auslegung neuer Anlagen enthalten. Konkreter ist
hier die IAEA in den Safety Requirements NS-R-3 /6/ sowie dem entsprechenden Safety Standard No. NS-G-1.5 /5/. Im Sinne des Auftrages, nachdem der Stand von Wissenschaft und Technik heranzuziehen ist, sind fr die Bewertung der Sicherheit fr den
Fall des Flugzeugabsturzes die Anforderungen in /2/, /3/ und /6/ ergnzend zu den
WENRA Ref.-Level relevant. Weiterhin sind die Anforderungen heranzuziehen, die
gemeinsam von Frankreich und Deutschland in der zweiten Hlfte der 90-er Jahre fr
den EPR (European Pressurized Reaktor) entwickelt wurden /7/.

2.2

Detaillierte Angaben zu den nach Stand von Wissenschaft und Technik heranzuziehenden Sicherheitsanforderungen

Das AKW Cattenom ist der 1300 MWe P4-Serie von AKW in Frankreich (sog.
frenchyfied" Westinghouse /9/) zuzuordnen. Zu der P4-Serie gehren auerdem noch
die AKW Belleville-sur-Loire, Golfech, Nogent-sur-Seine and Penly. Der Vorlufer der
P4-Serie umfasst die AKW Flamanville, Paluel und St Alban. Es handelt sich dabei um
die sogenannte P4-Serie mit dem Reaktoryp 1.3 GW PWR (Westinghouse Lizenz) /9/.
Die Unterschiede zwischen den P4- und `P4-Serien sind marginal und betreffen keine
sicherheitstechnisch relevanten Sachverhalte /10/.
Zum Zeitpunkt der Auslegung der Westinghouse AKW des 1300 MWe Typs Ende der
1970-er Jahre und dem spteren auf dieser Grundlage errichteten AKW Cattenom,
wurde der Auslegung von AKW ein Sicherheitskonzept mit zunchst drei Sicherheitsebenen zugrunde gelegt /11/, das letztlich auf die Beherrschung eines abdeckenden
grten anzunehmenden Unfalls (GAU) ausgerichtet war:

1. Sicherheitsebene: Basissicherheit und Qualittssicherung

RHWG Reactor Harmonization Working Group

2. Sicherheitsebene: Strfallverhinderung

3. Sicherheitsebene: Folgenbegrenzung von Strfllen

In diesem Sicherheitskonzept sollte nach /12/ bereits gewhrleistet sein, dass die fr
die Nachwrmeabfuhr erforderlichen Manahmen und Einrichtungen auch bei Einwirkungen aus sehr seltenen bergreifenden Einwirkungen funktionsfhig bleiben. Was
als sehr seltene bergreifende Einwirkung einzustufen war blieb jedoch sehr vage
und unsystematisch. Ohne sie jedoch einer spezifischen Sicherheitsebene zuzuordnen
wurde bereits damals die Notwendigkeit weiterer ber die Manahmen und Einrichtungen zur Beherrschung der Auslegungsstrflle hinausgehender erforderlicher Funktionen zur Wrmeabfuhr und Rckhaltung radioaktiver Stoffe diskutiert. Diese Manahmen wurden dann spter einer 4. Sicherheitsebenen im Gestaffelten Sicherheitskonzept (Defence-in-Depth) zugeordnet, die den sog. anlageninternen Notfallschutz zur
Beherrschung auslegungsberschreitender Anlagenzustnde umfasst.
Als Konsequenzen aus Unfllen in AKW, insbesondere aus den Unfllen in TMI 1979,
Tschernobyl 1986 und in Fukushima 2011 wurden wichtige sicherheitstechnische Anforderungen zur Verbesserung der bisherigen Sicherheitskonzepte von AKW entwickelt
und veranlasst. Diese Anforderungen betreffen eine deutliche Verstrkung von Anforderungen an die Wirksamkeit und Zuverlssigkeit von Einrichtungen und Manahmen
auf allen Sicherheitsebenen des Gestaffelten Sicherheitskonzepts. Im Fokus stehen
hier

die Verbesserung der Zuverlssigkeit der Sicherheitssysteme zur Beherrschung

von Strfllen (Sicherheitsebene 3) z.B. durch Sicherstellung der erforderlichen
Redundanz von Sicherheitseinrichtungen auch fr den Fall von Instandhaltungen sowie durch Manahmen zum Schutz redundanter Sicherheitseinrichtungen gegen den Ausfall aus gemeinsamer Ursache (z.B. infolge anlageninterner
Brnde oder berflutungen).

die Gewhrleistung der Wirksamkeit aller Sicherheitsebenen des Gestaffelten

Sicherheitskonzepts fr den Fall anlagenexterner bergreifender Einwirkungen
wie Erdbeben, berflutungen, Flugzeugabsturz. Nicht beherrschbare Anlagenzustnde sowie daraus resultierende unzulssige radiologische Auswirkungen

sollen praktisch ausgeschlossen7 sein. In den diesbezglichen Sicherheitsnachweisen sollen auch auslegungsberschreitende anlagenexterne Einwirkungen Bercksichtigung finden.

die Wirksamkeit der Manahmen und Einrichtungen der 4. Sicherheitsebene

mit dem Ziel des praktischen Ausschlusses unzulssiger radiologischer Auswirkungen im Falle von Kernschmelzunfllen durch Manahmen und Einrichtungen des prventiven und mitigativen anlageninternen Notfallschutzes u.a. zum
Ausschluss des Hochdruckversagens des Reaktordruckbehlters unter Bedingungen des Kernschmelzens.

Unter Beachtung der aktuellen Erkenntnisse lassen sich die Sicherheitsanforderungen

den folgenden Sicherheitsebenen im Defence-in-Depth Konzept zuordnen (Bild 1):

Bild 1: Sicherheitsebenen im Defence-in Depth Konzept

In diesem Sicherheitskonzept sollen durch die Manahmen und Einrichtungen zur
Qualittsgewhrleistung, Vermeidung von Ereignissen und Beherrschung von Ereignissen der ersten drei Sicherheitsebenen sowie die Auslegung gegen Einwirkungen

Das Eintreten eines Ereignisses oder Ereignisablaufs oder Zustands kann als ausgeschlossen angesehen werden, wenn das Eintreten physikalisch unmglich ist oder wenn mit einem hohen Ma an Aussagesicherheit das Eintreten als extrem unwahrscheinlich angesehen werden kann /2/. Wrtlich in /2/: The
possibility of certain conditions occurring is considered to have been practically eliminated if it is physically
impossible for the conditions to occur or if the conditions can be considered with a high level of confidence
to be extremely unlikely to arise.

von innen und auen ein umfassender und zuverlssiger Schutz vor den im Kernkraftwerk befindlichen radioaktiven Stoffen erreicht werden.

In /13/ wird hierzu in Bezug auf die deutsche Sicherheitspraxis hinsichtlich der Aufsicht ber die in Betrieb befindlichen AKW dargelegt: Die Sicherheitsebene 3 dient
der unabhngigen Beherrschung der nach 49 der Strahlenschutzverordnung zugrunde zu legenden Strflle und bildet nach dem deutschen Sicherheitskonzept
die wesentliche Grundlage des praktischen Ausschlusses von nuklearen Schden. Der praktische Ausschluss muss insbesondere durch diversitre, redundante,
qualitativ hochwertige und wiederkehrend geprfte Sicherheitsvorkehrungen so unzweifelhaft gewhrleistet sein, dass qualifizierte Erkenntnisse zu mglichen nicht
unerheblichen (!) Sicherheitsverbesserungen bereits die behrdliche Prfung eines Zustands, aus dem sich Gefahren ergeben knnen ( 19 Abs. 3 AtG), nahelegen drfte.
Gem Specific Safety Requirements-Design /2/, die nach Kapitel 1.2 und 1.3 in /2/
sowohl fr neue als auch fr bestehende Anlagen zur Anwendung kommen sollen, ist
fr bestehende Anlagen ebenfalls vollumfnglich eine 4. Sicherheitsebene vorzusehen.
Ziel der 4. Sicherheitsebene besteht darin, mittels entsprechender Manahmen und
Einrichtungen nicht in der Sicherheitsebene 3 beherrschte Strflle und schwerwiegende anlagenexterne Einwirkungen (in /2/ als Design Extension Conditions bezeichnet) in einem Umfange in solche Zustnde zu berfhren, mittels derer die weiter oben
angegebenen Sicherheitsziele (Kapitel 2.2 in Verbindung mit Funote 7) zu erreichen
sind. Dabei sollen die Manahmen und Einrichtungen der 4. Sicherheitsebene auch
unter den Bedingungen anlagenexterner bergreifender Einwirkungen wirksam sein.
Gem 13 in /2/ kommt der Unabhngigkeit der einzelnen Sicherheitsebenen im Gestaffelten Sicherheitskonzept eine besondere Bedeutung zu. Insbesondere drfen
Manahmen und Einrichtungen der Sicherheitsebene 4 nicht zur Kompensation sicherheitstechnischer Defizite der vorgelagerten Sicherheitsebenen herangezogen werden /3/.
Aktuell gelten in Frankreich u.a. die Sicherheitsanforderungen der "Technical Guidelines for the design and construction of the next generation of nuclear pressurized water plant units", die fr die Auslegung des European Pressurized Reactor (EPR) /7/
entwickelt wurden. In Bezug auf die 4. Sicherheitsebene sind dort die fr die Auslegung

10

relevanten Ereignisse infolge Mehrfachversagen (multiple failures conditions) sowie

die Manahmen und Einrichtungen angegeben, die fr die Begrenzung der Folgen von
Kernschmelzzustnden erforderlich sind (Protection measures against core melt accidents).
In Bezug auf die Anwendbarkeit dieser Sicherheitsanforderungen gibt es z.B. auch eine Verlautbarung der franzsischen Sachverstndigenorganisation IRSN (Institut de
radioprotection et de sret nuclaire"), in der dargelegt ist, dass die franzsischen Anlagen bei einem lngerfristigen Betrieb an das Sicherheitsniveau des EPR anzupassen
wren /14/ bzw. der Abstand dazu zu verringern /23/ wre.
In Jahresbericht 2014 zum Stand der nuklearen Sicherheit der franzsischen AKW /15/
hat diesbezglich die Aufsichtsbehrde ASN die Notwendigkeit weiterer Verbesserungen angemahnt (Improvements must be made to bring it closer into line with the best
safety standards.).
Die in /7/ fr den franzsischen EPR dargelegten Sicherheitsanforderungen sind insofern im Sinne des zu Grunde zu legenden Standes von Wissenschaft und Technik, als
Mastab fr die Bewertung des Sicherheitsstandes des AKW Cattenom mit heranzuziehen.
Wie bereits dargelegt handelt es sich bei den P4 Anlagen, wozu auch das AKW Cattenom zhlt, um AKW, deren sicherheitstechnische Grundlagen auf einer Westinghouse
Lizenz beruhen. Das Sicherheitskonzept der von Westinghouse entwickelten DWR8 ist
in einer in 1984 verffentlichten Dokumentation /11/ umfassend beschrieben.
Die der damaligen Auslegung der Westinghouse DWR zu Grunde gelegten Sicherheitsanforderungen entsprechen in einer Vielzahl nicht mehr dem aktuellen Stand von
Wissenschaft und Technik, wie z.B. in /7/ fr den EPR beschrieben.
An folgenden Beispielen soll diese Aussage demonstriert werden:

Einzelfehlerkonzept (EFK)

DWR - Druckwasserreaktor

11

Die von der USNRC in den 70er Jahren herangezogenen Sicherheitsanforderungen,

die insofern auch fr die Auslegung der Westinghouse Anlagen galten, sind umfassend
in /16/ beschrieben. Danach sind Einrichtungen, die Sicherheitsfunktionen auszufhren
haben, so auszulegen, dass die erforderliche Sicherheitsfunktion auch bei Ausfall einer
fr die Funktion wesentlichen Komponente erfllt werden kann. Es war zu gewhrleisten, dass die Funktionstchtigkeit auch whrend des Betriebs geprft werden kann.
Nach /11/ wurde dieser Ansatz durch eine redundante (n+1) Ausfhrung der jeweiligen
sicherheitstechnischen Einrichtung sichergestellt. Die Forderung nach Prfbarkeit sicherheitstechnischer Einrichtungen whrend des Betriebes wurde durch Regelungen in
den Betriebsvorschriften auf der Grundlage von Zuverlssigkeitsuntersuchungen ermglicht.
Nach aktuellen Sicherheitsanforderungen, z.B WENRA Ref.-Level E10.7 /3/ und /7/, ist
jedoch eine (n+2) Ausfhrung der sicherheitstechnischen Einrichtungen erforderlich.
Hiermit soll auch fr den Fall einer Instandhaltungsmanahme9 an einer Redundanz im
Anforderungsfall die Einzelfehlerfestigkeit der entsprechenden Sicherheitseinrichtung
sichergestellt sein.
Erweiterte administrative Regelungen, wie z.B. zu zulssigen Reparaturzeiten, zu Prfungen whrend des Betriebes usw., die zur Sicherstellung der erforderlichen Redundanz im Anforderungsfall bei einer (n+1) Auslegung erforderlich sind, entfallen bei einer (n+2) Auslegung.

Externe Einwirkungen

Gem WENRA Ref.-Level E5.2 ist die Sicherheit der Anlage in Ergnzung zu den naturbedingten bergreifenden Einwirkungen auch gegen zivilisationsbedingte Einwirkungen zu gewhrleisten. Zu den zivilisationsbedingten Einwirkungen zhlen z.B. der
Flugzeugabsturz, Explosionen, Feuer usw. Im WENRA Ref.-Level F4.7 ist weiterhin
gefordert, dass die Nachwrmeabfuhr aus dem Reaktorkern und dem Brennelementbecken auch fr den Fall auslegungsberschreitender externer Einwirkungen
mglich sein mu.
Im WENRA Ref.-Level T4.2 ist gefordert, dass kerntechnische Anlagen gegen naturbedingte Einwirkungen (z.B. Erdbeben, berflutung) mit einer berschreitungswahr-

Definition sh. /3/

12

scheinlichkeit von 10-4 pro Jahr ausgelegt sein sollen. hnlich gelagerte Anforderungen
sind in /7/ angegeben. Hier ist auch beschrieben, dass alle die Manahmen und Einrichtungen, die zur Erfllung von Sicherheitsfunktionen erforderlich sind, gegen externe
Einwirkungen auszulegen sind. Nicht oder nicht ausreichend ausgelegte Manahmen
und Einrichtungen sind in einem derartigen Anforderungsfall im Rahmen der dazu erforderlichen Nachweisfhrung als ausgefallen zu betrachten.
In den in Deutschland geltenden Sicherheitsanforderungen an Kernkraftwerke /3/ ist
bezglich der Bercksichtigung externer Einwirkungen gefordert, dass der Auslegung
die jeweils folgenschwersten Einwirkungen von auen zu Grunde zu legen sind. Unter
den folgenschwersten Einwirkungen von auen sind dabei diejenigen Einwirkungen zu
unterstellen, die nach dem Stand von Wissenschaft und Technik standortspezifisch anzunehmen sind. Dabei ist auch die zuknftige Entwicklung der Eigenschaften des
Standortes im Hinblick auf die zu betrachtenden Einwirkungen von auen einzubeziehen.
In /11/ wird dargelegt, dass der Auslegung der Westinghouse DWR solche externen
Lasten zu Grunde gelegt sind, die standortbedingt von Bedeutung sind. Dabei handelt
es sich u.a. um Lasten aus einer Druckwelle (resultierend aus einer chemischen Reaktion), Erdbeben sowie Lasten aus meteorologischen Einwirkungen. Aussagen zur Bercksichtigung des Flugzeugabsturzes bei der Auslegung sind dort nicht explizit dargelegt.
Nach /8, 18, 19/ sollen franzsische AKW durch baulichen Schutz gegen Einwirkungen
aus dem Absturz kleinerer Flugzeuge (Cessna 210 oder Lear Jet 23), eines militrischen Jagdflugzeuges vom Typ Phantom IV oder eines Groraumflugzeuges geschtzt sein (sh. hierzu auch Bild 2).

13

Bild 2: Last-Zeit Funktionen fr verschiedene Flugzeugtypen /20/

Bild 3: Last-Zeit Funktion10 nach /5/, /6/, /7/

10

Spezifische Angaben zu C1 und C2 in /7/

14

Letztlich beruhen die konkreten Entscheidungen zur Auslegung von AKW gegen Lasten aus einem Flugzeugabsturz in Frankreich jedoch auf probabilistischen Kriterien. In
/21/ ist diese Vorgehensweise beschrieben:
Finally, the results of the evaluations are compared with levels which relate to hazards of external origin, i.e.:
- Probability of unacceptable release of radioactive substances at site boundary = 10-6
/year. unit . safety function, for the whole of the external hazards associated with human activities,
- Probability of event occurring =10-7 /year . unit . safety function . hazard category
(commercial, military or general aviation aircraft).
These statistical studies lead to the conclusion that, as far as the structures of standard
1300 MWe plants are concerned, the only risk to be provided for in France is that resulting from the crash of a general aviation aircraft. Two types of general aviation aircraft are taken into account in the design of these buildings:
- A 'hard' projectile (with mainly perforating action): engine (0.2 t) of single-engined
CESSNA 210 (1.5 t at 360 km/h);
- A 'soft' projectile (causing mainly shock of impact): twin-engined LEAR JET (5.7 t at
360 km/h).
In den WENRA Ref.-Level finden sich keine Angaben zu den bei der Auslegung anzuwendenden Lastannahmen fr den Flugzeugabsturz.
Nach /19/ wurden die franzsischen AKW somit auf der Grundlage der o.g. probabilistischen Analysen gegen die Einwirkungen aus kleinen Zivilflugzeugen (les petits
avions civils (aviation gnrale, de masse infrieure 5,7 tonnes)) ausgelegt. Inwiefern mittlerweile neuere Betrachtungen zur Bewertung der Anlage Cattenom hinsichtlich des Risikos aus einem Flugzeugabsturz vorliegen ist nicht bekannt.
In Deutschland sind die Anforderungen an den Schutz von AKW gegen Flugzeugabsturz in /3/ beschrieben. Die baulichen Anlagen von AKW mssen demnach einen aus-

15

reichenden Schutz gegen die Auswirkungen eines postulierten zufallsbedingten Absturzes einer schnellfliegenden Militrmaschine gewhrleisten.
Der Stand von Wissenschaft und Technik bezglich der Auslegung von Schutzmanahmen gegen den Flugzeugabsturz ist in Bild 3 dargestellt. Im Sinne des Auftrages,
nachdem der Stand von Wissenschaft und Technik heranzuziehen ist, sind fr die Bewertung der Manahmen und Einrichtungen zum Schutz gegen den Flugzeugabsturz
/4/, /5/, /6/ und /7/ relevant. Danach sind die fr die Sicherheit eines AKW erforderlichen Systeme und Einrichtungen so zu schtzen, dass sie in der fr die Durchfhrung
der sicherheitsgerichteten Aufgaben erforderlichen Wirksamkeit nicht durch direkte
Einwirkungen (Penetration) als auch durch dabei induzierte Schwingungen beeintrchtigt werden.

4. Sicherheitsebene

Im Issue F der WENRA Ref.-Level wird fr die in Betrieb befindlichen AKW, wie auch in
den IAEA Specific Safety Requirements /2/ und in den in Frankreich geltenden Sicherheitsanforderungen /7/, die Beherrschung von auslegungsberschreitenden Anlagenzustnde in einem Umfange gefordert, dass die in Kapitel 2.2 in Verbindung mit Funote 7 angegebenen radiologische Zielwerte erfllt werden. Im deutschen kerntechnischen Regelwerk wird die 4. Sicherheitsebene gefordert. Dabei ist die Funktionsfhigkeit der auf dieser Ebene erforderlichen Manahmen und Einrichtungen auch im Falle
von gleichzeitig auftretenden externen Einwirkungen sicherzustellen /3/.
In den Angaben zur Auslegung der Westinghouse DWR /11/ findet man keine konkreten Hinweise zum Umgang mit auslegungsberschreitenden Anlagenzustnden oder
zu einer Implementierung einer 4. Sicherheitsebene. In Frankreich sind jedoch nach
dem AKW-Unfall TMI 1979 Prozeduren fr den Betrieb von AKW entwickelt worden,
die unter Nutzung einer zustandsorientierten Entscheidungsfindung im Falle von Strungen und Strfllen das Ziel haben, die Anlage in einen sicheren Betriebszustand zu
berfhren. Dabei sind auch auslegungsberschreitende Anlagenzustnde einbezogen
/23/. Fnf sogenannte H Prozeduren (H1 H5) beschreiben das Vorgehen bei Strfllen verbunden mit einem Ausfall von Sicherheitseinrichtungen. Fnf weitere U Pro-

16

zeduren behandeln das Vorgehen zur Begrenzung von Unfallauswirkungen

11

In /23/

wird aber auch darauf hingewiesen, dass die Robustheit der in den Prozeduren angesprochenen Manahmen und Einrichtungen hinsichtlich ihrer Funktionsfhigkeit unter
externen, insbesondere auslegungsberschreitenden Einwirkungen fraglich sei.

2.3

Relevante WENRA Ref.-Level

Wie unter 2.1 ausgefhrt sind hinsichtlich der berprfung der sicherheitstechnischen
Auslegung im Wesentlichen die mehr technisch orientierten Sicherheitsanforderungen
(WENRA Ref.-Level) relevant, die in insgesamt 7 Safety Issues enthalten sind. Aus
dem Gesichtspunkt der berprfung der sicherheitstechnischen Auslegung sind die
folgenden WENRA Ref.-Level von besonderer Bedeutung:
IssueE:

E5.1 Internal events such as loss of coolant accidents, equipment failures,

maloperation and internal hazards, and their consequential events, shall be taken
into account in the design of the plant.12 The list of events shall be plant specific
and take account of relevant experience and analysis from other plants.

E5.2 External hazards shall be taken into account in the design of the plant. In addition to natural hazards, human made external hazards including airplane crash
and other nearby transportation, industrial activities and site area conditions which
reasonably can cause fires, explosions or other threats to the safety of the nuclear

11

.., it was concluded that some additional procedures were needed to manage some accidental situations leading to the loss of some redundant safety systems. Five procedures H were established for the
management of such situations :
H1: loss of heat sink,
H2: loss of normal and emergency steam generator feedwater system,
H3: station black-out,
H4: mutual rescue of containment heat removal system (CHRS) and safety injection systems,
H5: site protection in case of river flooding.
In addition, five other procedures were established to limit the accident consequences
whatever its cause.
U1: use of all water injection means into the vessel for the core cooling,
U2: management of containment leakage,
U3: mobile equipments to cope with the failure of CHRS or safety injection systems,
U4: suppression of leakage paths in the basemat,
U5: management of slow containment overpressurization by a filtered containment venting./23/
12

Bezglich weiterer Anforderungen zur Bercksichtigung interner bergreifender Einwirkungen wird auf
die IAEA Safety Standards NS-G-1.7 and NS-G-1.11. verwiesen

17

power plant shall as a minimum be taken into account in the design of the plant
according to site specific conditions.

E6.1 Credible combinations of individual events, including internal and external

hazards, that could lead to anticipated operational occurrences or design basis accidents, shall be considered in the design. Deterministic and probabilistic assessment as well as engineering judgement can be used for the selection of the event
combinations.

E8.3 Only systems that are suitably safety classified can be credited to carry out a
safety function. Non safety classified systems shall be assumed to operate only if
they aggravate the effect of the initiating event.

E8.5 The safety systems shall be assumed to operate at their performance level
that is most penalising for the initiator.

E9.2 A failure in a system intended for normal operation shall not affect a safety
function.

E9.5 For sites with multiple units, appropriate independence between them shall be
ensured.

E10.6 For times when the main control room is not available, there shall be sufficient monitoring and control equipment available, preferably at a single location
that is physically, electrically and functionally separate from the main control room,
so that, if the main control room is unavailable, the reactor can be placed and
maintained in a shut down state, residual heat can be removed from the reactor
and spent fuel storage, and the essential plant parameters, including the conditions
in the spent fuel storages, can be monitored.

E10.7 Redundancy and independence designed into the protection system shall be
sufficient at least to ensure that:

no single failure results in loss of protection function; and

the removal from service of any component or channel does not result in loss
of the necessary minimum redundancy.

E10.11 It shall be ensured that the emergency power supply is able to supply the
necessary power to systems and components important to safety, in any opera-

18

tional state or in a design basis accident, on the assumption of a single failure and
the coincidental loss of off-site power.
Issue F:

F1.1 As part of defence in depth, analysis of Design Extension Conditions (DEC)

shall be undertaken with the purpose of further improving the safety of the nuclear
power plant by:

enhancing the plants capability to withstand more challenging events or conditions than those considered in the design basis,

minimising radioactive releases harmful to the public and the environment as

far as reasonably practicable, in such events or conditions.

F1.2 There are two categories of DEC:

DEC A for which prevention of severe fuel damage in the core or in the spent
fuel storage can be achieved;

DEC B with postulated severe fuel damage.

The analysis shall identify reasonably practicable provisions that can be implemented for the prevention of severe accidents. Additional efforts to this end shall
be implemented for spent fuel storage with the goal that a severe accident in such
storage becomes extremely unlikely to occur with a high degree of confidence.
In addition to these provisions, severe accidents shall be postulated for fuel in the
core and, if not extremely unlikely to occur with a high degree of confidence, for
spent fuel in storage, and the analysis shall identify reasonably practicable provisions to mitigate their consequences.

F2.2 The selection process for DEC A shall start by considering those events and
combinations of events, which cannot be considered with a high degree of confidence to be extremely unlikely to occur and which may lead to severe fuel damage
in the core or in the spent fuel storage. It shall cover:

Events occurring during the defined operational states of the plant;

Events resulting from internal or external hazards;

Common cause failures.

19

Where applicable, all reactors and spent fuel storages on the site have to be taken
into account. Events potentially affecting all units on the site, potential interactions
between units as well as interactions with other sites in the vicinity shall be covered.

F4.5 The NPP site shall be autonomous regarding supplies supporting safety functions for a period of time until it can be demonstrated with confidence that adequate supplies can be established from off site.

F4.7 There shall be sufficient independent and diverse means including necessary
power supplies available to remove the residual heat from the core and the spent
fuel. At least one of these means shall be effective after events involving external
hazards more severe than design basis events.

F4.12 High pressure core melt scenarios shall be prevented.

F4.13 Containment degradation by molten fuel shall be prevented or mitigated as

far as reasonably practicable.

F4.15 Adequately qualified instrumentation shall be available for DEC for determining the status of plant (including spent fuel storage) and safety functions as far as
required for making decisions.

F4.17 Adequate power supplies during DEC shall be ensured considering the necessary actions and the timeframes defined in the DEC analysis, taking into account
external hazards.

F4.18 Batteries shall have adequate capacity to provide the necessary DC power
until re-charging can be established or other means are in place.

Issue T:

T2.1 All natural hazards that might affect the site shall be identified, including any
related hazards (e.g. earthquake and tsunami). Justification shall be provided that
the compiled list of natural hazards is complete and relevant to the site.

T4.1 Design basis events shall be defined based on the site specific hazard assessment.

T4.2 The exceedance frequencies of design basis events shall be low enough to
ensure a high degree of protection with respect to natural hazards. A common target value of frequency, not higher than 10-4 per annum, shall be used for each de20

sign basis event. Where it is not possible to calculate these probabilities with an
acceptable degree of certainty, an event shall be chosen and justified to reach an
equivalent level of safety. For the specific case of seismic loading, as a minimum, a
horizontal peak ground acceleration value of 0.1g (where g is the acceleration due
to gravity) shall be applied, even if its exceedance frequency would be below the
common target value.

T4.3 The design basis events shall be compared to relevant historical data to verify
that historical extreme events are enveloped by the design basis with a sufficient
margin.

T5.4 For design basis events, SSCs identified as part of the protection concept with
respect to natural hazards shall be considered as important to safety.

T6.1 Events that are more severe than the design basis events shall be identified
as part of DEC analysis. Their selection shall be justified. Further detailed analysis
of an event will not be necessary, if it is shown that its occurrence can be considered with a high degree of confidence to be extremely unlikely.

Anlagenbeschreibung AKW Cattenom

Der Anlagenbeschreibung liegen im Wesentlichen die Informationen aus

Electricite de France: Rapport d'valuation complmentaire de la sret des installations nuclaires au regard de l'accident de Fukushima. 15 September 2011 /24/

Abschlussbericht zum Stresstest fr das Kernkraftwerk Cattenom /25/

Autorit de Sret Nuclaire: Complementary Safety Assessment of the French

Nuclear Power Plants. Report by the French Nuclear Safety Authority, December
2011 /22/

zu Grunde.

21

3.1

Allgemeine Angaben

Die 58 der sich gegenwrtig in Betrieb befindlichen AKW mit DWR13 werden an insgesamt 19 Standorten vom franzsischen Stromkonzern EDF betrieben /26/ (sh. auch
Bild 4). Ein Reaktor vom Typ EPR /27/ ist seit dem 3. Dezember 2007 am Standort
Flamanville im Bau. Die in Frankreich sich in Betrieb befindlichen Anlagen sind in den
Jahren vor 2000 ausgelegt, errichtet und in Betrieb genommen worden. Als letzter
Reaktor wurde Civeaux-2 in 1999 in Betrieb genommen.

Bild 4: AKW in Frankreich (Quelle14)

Als erste Reaktoren der sogenannten CP0-Baulinie wurden 1977 und 1978 die beiden
Blcke des AKW Fessenheim in Betrieb genommen, die vier weiteren CP0-Reaktoren
befinden sich in Bugey. Das Design der CP0-Baulinie geht zurck auf die Westinghouse-Auslegung der 1970-er Jahre unter Verwendung eines "3-loop"-Designs. Die
elektrische Nettoleistung betrgt ca. 900 MW. Alle sechs Reaktoren der CP0-Baureihe

13

DWR Druckwasserreaktor (englisch: Pressurized Water Reaktor PWR))

14

http://www.asn.fr/annual_report/2011gb/files/RA2011%20UK%20Chap%2012.pdf

22

sowie die 28 Reaktoren der danach folgenden CP1- und CP2-Baureihe mit einer Nettoleistung von ca. je 900MW sind in Frankreich nach wie vor in Betrieb.
Die 20 1300 MWe Reaktoren umfassen:

die P4 Reaktoren an den Standorten Flamanville, Paluel and Saint-Alban und

die P4 Reaktoren an den Standorten Belleville-sur-Loire, Cattenom, Golfech, Nogent-sur-Seine und Penly.

Im Gegensatz zu den CPY Reaktoren handelt es sich bei den 1300 MWe Reaktoren
um 4 - loop Anlagen.
Das Containment ist bei diesen Anlagen als doppelwandiges Containment ausgefhrt.
Als Mangel ist hier jedoch das Fehlen eines inneren metallischen Liners anzumerken,
das nach /39/ die Anlage gegen fliegende Bruchstcke oder sonstige Einwirkungen
empfindlich macht.
Der wesentliche konstruktive Unterschied zwischen den P4 und P'4 besteht in der
Baugre der Reaktorgebude und der Maschinenhallen, die bei dem P'4 kleiner ausgelegt wurden, um die Baukosten zu verringern /28/.
Der Bau des ersten Reaktorblockes am Standort des AKW Cattenom wurde am 29.
Oktober 1979 begonnen, dieser ging am 13. November 1986 in Betrieb. Zwischen
1980 und 1983 wurde mit dem Bau dreier weiterer Reaktorblcke begonnen, die dann
am 17. September 1987, am 6. Juli 1990 und am 27. Mai 1991 in Betrieb genommen
wurden.
Mit dem Ziel eines berschwemmungsschutzes wurde der Standort Cattenom ca. 20
Meter oberhalb der Mosel gebaut. Er verfgt ber ein knstliches Rckhaltebecken,
den Lac du Mirgenbach (Mirgenbacher See) mit einem Fassungsvermgen von ca. 7,2
Millionen m, aus dem Khlwasser entnommen wird. Als zustzliche Wasserreserve
von ca. 60 Millionen m dient der Lac du Vieux Pr in den Vogesen. In Notfllen soll
dieses Reservoir als Wasserlieferant genutzt werden, um in der Mosel einen fr die
Khlung ausreichenden Flusspegel aufrechtzuerhalten. Die Talsperre unterliegt mit ihrer Staumauer den rtlich vorhandenen Erdbebenrisiken.

23

Das AKW Cattenom liegt zwlf Kilometer von der deutschen Grenze und neun Kilometer von der luxemburgischen Grenze entfernt. Die nchstgrere franzsische Stadt ist
Thionville. Es ist mit seinen vier Reaktoren das drittstrkste Kernkraftwerk Frankreichs
(siehe auch Bild 5, Bild 6). Das AKW Cattenom produziert jhrlich rund 8% des von
EDF in Frankreich erzeugten Stroms, und ist hinsichtlich der Leistung das siebtgrte
Kraftwerk der Welt /29/.

Bild 5: Lage des AKW Cattenom (Quelle: Google Maps15)

15

https://www.google.de/maps/@49.3934859,6.2226488,18871m/data=!3m1!1e3

24

Bild 6: Das AKW Cattenom (Quelle: http://www.asn.fr/L-ASN/ASN-en-region/Divisionde-Strasbourg/Informationen-auf-Deutsch/Das-Kernkraftwerk-Cattenom

3.2

Angaben zum AKW Cattenom

Bild 7: Sicht auf zwei Blcke des AKW Cattenom (Quelle: Google Maps16 )

16

https://www.google.de/maps/@49.4117532,6.2226488,716a,20y,41.49t/data=!3m1!1e3

25

Die Reaktoren sind in den vier Reaktorgebuden untergebracht (Bild 6). An die Reaktorgebude grenzen die Lagerbeckengebude fr abgebrannte Brennelemente. Die
Brennelement-Lagerbecken befinden sich somit auerhalb der Reaktorgebude in eigenen, an die Reaktorgebude angrenzenden Lagerbeckengebuden (Bild 7, Bild 8).
Das Brennelement-Lagerbeckengebude besteht aus einer metallischen Dachkonstruktion und ca. 30cm dicken Betonwnden. Ein sich in der Lagerbeckenhalle durch
Verdampfung von Khlmittel gegebenenfalls aufbauender berdruck kann durch ein
ffnen einer Entlftungsffnung zur Umgebung abgebaut werden. Das ffnen der Entlastungsffnung ist durch entsprechende Prozeduren geregelt.

Bild 8: Schematische Darstellung der P4 Reaktoren /38/

In deutschen DWR Anlagen hingegen befinden sich die Brennelement-Lagerbecken
innerhalb des Containments im Reaktorgebude. Dies gewhrleistet bei den deutschen
Anlagen einen Schutz gegen Einwirkungen von auen, z.B. im Falle eines Flugzeugabsturzes, sowie die Spaltproduktrckhaltung im Falle von Brennelementschden.

26

3.2.1

Angaben zur Verfahrenstechnik

Eine bersichtsdarstellung zu den verfahrenstechnischen Einrichtungen eines Reaktorblockes des AKW Cattenom ist in Bild 9 verfgbar.
In das Khlwassersystem ist je Reaktorblock ein Khlwasservorratsbehlter (SER)
eingebunden. Die Khlwasservorratsbehlter sind nicht fr seismische Einwirkungen
qualifiziert17.

Bild 9: bersicht zur Verfahrenstechnik (Quelle: EdF/24/)

Fr die sekundrseitige Wrmeabfuhr bei Strfllen dient das Notspeisesystem (ASG).
Dieses umfasst zum einen zwei motorgetriebene Speisewasserpumpen sowie zwei
frischdampfgetriebene Turboeinspeisepumpen. Das System greift auf die Khlwasservorrte eines Notspeisewasserbehlters mit ca. 1700m3 zurck. Dessen Khlwasservorrat kann aus dem Vorratsbehlter (SER) wiederaufgefllt werden. Fr den Betrieb
der Turboeinspeisepumpen wird auch auf den Betrieb des Druckluftsystems (SAR) o-

17

fr seismische Einwirkungen qualifiziert heit, dass die entsprechenden Manahmen und Einrichtungen gegen die Lasten aus dem Erdbeben, dass dem AKW Cattenom zu Grunde gelegt wurde, ausgelegt sind (sh. auch Kapitel 4.2.1). Angaben zur diesbezglichen Auslegung finden sich in /21/, /24/ und
/25/.

27

der des frischdampfgetriebenen Turbogenerator (LLS) zurckgegriffen, eine manuelle

Bedienung des Systems ist ebenfalls mglich. Das System ist notstromgesichert und
seismisch qualifiziert.
Unter bestimmten Druck- und Temperaturbedingungen, bei denen ein Abkhlen des
Primrkreises nicht mehr von den Dampferzeugern erfolgen kann, erfolgt die Wrmeabfuhr durch den Abkhlkreislauf des Primrkreises (RRA) und im Weiteren ber den
Zwischenkhlkreislauf (RRI) und das Nebenkhlwasser (SEC). Das reaktorblockbezogene primrseitige Nachkhlsystem (RRA) besteht im Wesentlichen aus zwei Niederdruck-Pumpen und den Wrmetauschern. Die Wrme des Primrkhlmittels wird ber
das Zwischenkhlwassersystem und im Weiteren ber das Nebenkhlwassersystem
abgefhrt. Das Nachkhlsystem ist notstromgesichert und fr seismische Einwirkungen
qualifiziert.
Das Volumenregel- und Chemikalieneinspeisesystem (RCV) stellt das Aufborieren des
Primrkreislaufs sicher. Das Volumenregel- und Chemikalieneinspeisesystem ist notstromgesichert und fr seismische Einwirkungen qualifiziert. Das Volumenregel- und
Chemikalieneinspeisesystem wird durch das Borsure- und Deionatsystem (REA) mit
Deionat bzw. Borsure versorgt. Das Borsure- und Deionatsystem ist fr seismische
Einwirkungen qualifiziert.
Der Flutbehlter (PTR) dient unter Strfallbedingungen der Khlmittelbereitstellung fr
das Containment-Sprhsystem (EAS) und das Sicherheitseinspeisesystems (RIS). Die
Khlkette wird durch RRI und SEC geschlossen. Die Khlmittelbereitstellung erfolgt anfnglich aus dem PTR, spter dann aus den Gebudesmpfen.
Die Wrmeabfuhr aus dem Zwischenkhlwassersystem erfolgt ber Wrmeaustauscher, die durch das Nebenkhlwasser gekhlt werden. Das Zwischenkhlwassersystem ist notstromgesichert, beide Systeme sind fr seismische Einwirkungen qualifiziert.
Die Khlwasserentnahme fr das Nebenkhlwasser erfolgt im Einlaufbauwerk ber ein
Filtersystem der Khlwasserversorgung.
Das Containment-Sprhsystem (EAS) dient der Wrmeabfuhr aus dem Containment
bei Khlmittelverluststrfllen. Die Hauptkomponenten des Containment-Sprhsystem
sind zwei Niederdruck-Pumpen und die dazugehrigen Wrmetauscher. Die Wrme
wird ber das Zwischenkhlwassersystem und Nebenkhlwasser abgefhrt. Das
28

Khlmittel wird ereignisablaufabhngig aus dem Flutbehlter (PTR) oder dem Sicherheitsbehltersumpf angesaugt und nach entsprechender Wrmeabgabe in das Containment eingesprht. Das Containment- Sprhsystem ist notstromgesichert und seismisch qualifiziert.
Hauptkomponenten des Sicherheitseinspeisesystems (RIS) sind ein Flutbehlter mit
boriertem Khlmittel sowie ein Borsurekonzentratbehlter zur Sicherstellung der Unterkritikalitt. Das Sicherheitseinspeisesystem verfgt weiter ber vier Druckspeicher,
zwei Mitteldruck- und zwei Niederdruckeinspeisepumpen, die sowohl aus dem Flutbehlter als auch aus dem Sicherheitsbehltersumpf ansaugen knnen. Im Falle von
Khlmittelverluststrfllen speisen die zwei Mitteldruckeinspeisepumpen bei ca. 120
bar in den Primrkreislauf. Die vier Druckspeicher speisen ab einem Primrkreisdruck
von 40 bar in den Primrkreislauf. Bei niedrigem Druck (ca. 20 bar) wird die Khlmitteleinspeisung ber zwei Niederdruckeinspeisepumpen wahrgenommen. Das Sicherheitseinspeisesystem ist notstromgesichert sowie fr seismische Einwirkungen qualifiziert.
Zur primrseitigen Druckbegrenzung und -entlastung stehen die Druckhaltersicherheitsventile (SEBIM) zur Verfgung. Zu deren Offenhaltung ist eine elektrische
Stromversorgung und Ansteuerung erforderlich.
Hauptkomponenten des Khlsystems fr das Brennelement-Lagerbecken sind zwei
Niederdruck-Pumpen und die dazugehrigen Wrmetauscher. Die Wrme wird ber
das Zwischenkhlwassersystem und das Nebenkhlwassersystem abgefhrt. Das Beckenkhlsystem ist notstromgesichert und fr seismische Einwirkungen qualifiziert.
Zur Druckabsicherung im Sekundrkreislauf sind Frischdampfsicherheitsventile vorhanden, wobei im Anforderungsfall der Dampf in die Atmosphre abgeblasen wird. Die
Frischdampfabblaseventile sind fr seismische Einwirkungen qualifiziert.
Das Druckluftsystem liefert Druckluft, die fr den Betrieb der Frischdampfabblaseventile und der Turboeinspeisepumpen erforderlich ist. Die Rohrleitungen, Ventile und die
Druckluftvorrte des Druckluftsystems sind fr seismische Einwirkungen qualifiziert.

29

3.2.2

Angaben zur elektrischen Energieversorgung

Bild 10: bersicht zur elektrischen Energieversorgung (Quelle: EdF/24/)

Jeder Reaktorblock ist ber einen Haupttransformator (TP) an das 400kV Netz angeschlossen. Weiterhin besteht eine Verbindung ber einen Reserve-Transformator (TA)
mit dem 225kV Netz. ber den Reservenetzanschluss sind eine Versorgung der Eigenbedarfsschienen sowie eine gegenseitige Sttzung der Blcke mglich.
Jeder Reaktorblock verfgt ber zwei Notstromdiesel, wobei die Kapazitt eines Notstromdiesels zur Versorgung einer Redundanz der bei Strfllen erforderlichen sicherheitstechnisch wichtigen Einrichtungen mit elektrischer Energie ausreichen soll.
Im AKW Cattenom ist, wie fr die 1300 MWe P4-Serie von AKW in Frankreich blich,
fr die Notstromversorgung am Standort zustzlich eine Gasturbine (TAC) vorhanden.
Diese Turbine ist im Anforderungsfall manuell auf die Notstromschienen aufschaltbar.
Die Kapazitt soll ausreichend sein, um die bei Strfllen erforderlichen sicherheitstechnisch wichtigen Einrichtungen eines Blockes mit elektrischer Energie zu versorgen.
Die Turbine (TAC) ist nicht fr seismische Einwirkungen qualifiziert.

30

ber einen frischdampfangetriebenen Turbogenerator (LLS) pro Reaktorblock knnen

ausgewhlte elektrische Einrichtungen versorgt werden. Das System ist fr seismische
Einwirkungen qualifiziert.
Zur berbrckung einer spannungslosen Zeit bis zum Hochlaufen der Notstromdiesel
und zur Sicherstellung wichtiger Funktionen auch bei einem vollstndigen Ausfall der
elektrischen Wechselstromversorgung verfgen die Blcke darber hinaus ber batteriegesttzte Gleichstrom- und Wechselstromschienen. Die Batterien sollen Kapazitten
im Bereich von 1 Stunde besitzen. Die Schienen sind fr seismische Einwirkungen
qualifiziert.
ber den Reservenetzanschluss ist auch eine Versorgung des AKW ber externe
Quellen mglich, hierzu gehrt z.B. das Wasserkraftwerk Revin-Saint Niocolas.
Im Fall einer Strung der elektrischen Energieversorgung erfolgt ein Lastabwurf auf Eigenbedarf mit einer Versorgung ber den Eigenbedarfstransformator (TS).
Die Notstromdiesel speisen auf die zwei 6,6 kV Notstromverteilungen des jeweiligen
Reaktorblocks und werden bei Strungen ber den Spannungsabfall auf den Notstromschienen automatisch gestartet. Auf dem Anlagengelnde sollen Dieselvorrte fr
einen Betrieb von 3,5 Tagen vorhanden sein. Die Dieselversorgung soll auch ber diesen Zeitraum hinaus gewhrleistet sein. Hierzu sollen entsprechende nationale Vertrge bestehen.
Die Versorgung der Notstromdiesel mit Khlwasser soll fr einen Betrieb ber einen
Zeitraum von mehr als zwei Wochen sichergestellt sein. Der Druckluftvorrat soll fr
mindestens fnf Startversuche pro Dieselaggregat ausreichend sein, dieselbezogene
Druckluftgeneratoren sorgen fr deren Wiederauffllung. Damit sind die Notstromdiesel
unabhngig vom Druckluftsystem. Die Notstromdiesel und die zugehrigen Notstromschienen sind fr seismische Einwirkungen qualifiziert.

3.3

Angaben zu den Manahmen und Einrichtungen des anlageninternen

Notfallschutzes

Die Reaktorblcke verfgen ber eine gefilterte Druckentlastung des Sicherheitsbehlters. Im Anforderungsfall wird die Druckentlastung des Sicherheitsbehlters ber ma-

31

nuell zu ffnende Ventile eingeleitet. Im Falle einer Druckentlastung wird die Sicherheitsbehlter-Atmosphre ber einen Metallfilter gefhrt, der 90% der Aerosole zurckhalten soll. Dieser Metallfilter ist fr jeden Reaktorblock einfach vorhanden. Ein anschlieender Sandfilter dient fr die weitere Filterung /24/. Der Einsatz der gefilterten
Druckentlastung ist frhestens 24 Stunden nach Erreichen des Auslegungsdrucks des
Containments vorgesehen, der Auslsedruck liegt zwischen 5 und 6 bar. Der Metallfilter und die Rohrleitungen im Inneren des Containments sind fr seismische Einwirkungen qualifiziert, nicht jedoch der Sandfilter.
In den Blcken sollen passive, autokatalytische Rekombinatoren fr einen Abbau von
bei Reaktorunfllen entstehendem Wasserstoff installiert sein.
Fr den Fall eines Verlustes der elektrischen Energieversorgung des AKW sind verschiedene anlageninterne Notfallmanahmen vorgeplant. Dazu gehren die Wiederzuschaltung des externen Netzes, die Nutzung externer Versorger oder die Querverbindung zu einem anderen Reaktorblock. Ebenso sind Manahmen fr den Fall des Verlustes der Wrmesenke am Standort vorgesehen (sh. hierzu die in den U-Prozeduren
angegebenen Vorgehensweisen fr den Fall auslegungsberschreitender Anlagenzustnde /23/).
In /41/ werden Strategien zur Vermeidung von Kernschmelzunfllen und der Linderung
von Folgen aus diesen Unfllen angegeben, ein Durchschmelzen des Reaktordruckbehlters mit anschlieender Freisetzung infolge Zerstrung des Fundamentes (Dicke
2.8m) kann jedoch nicht ausgeschlossen werden. In WENRA Ref.-Level F4.13 werden
hingegen Manahmen zur Verhinderung unfallbedingter Freisetzungen als Folge von
Kernschmelzunfllen gefordert.
WENRA Ref.-Level F 4.12 fordert den Ausschluss des Versagens des Reaktordruckbehlters im Falle eines Kernschmelzens im Zustand eines hohen Druckes im Reaktordruckbehlter. In /41/ wird berichtet, dass zu diesem Zweck die Druckhaltersicherheitsventile (SEBIM) entsprechend qualifiziert wurden. Nhere, prfbare Informationen
bezglich der Eignung der SEBIM-Ventile fr die zuverlssige Wirkung unter Kernschmelzbedingungen liegen hier jedoch nicht vor.
Im Ergebnis der nach Fukushima durchgefhrten Robustheitsanalysen wurde fr das
AKW Cattenom sowie die brigen franzsischen AKW der Aufbau einer nationalen
schnellen Eingreiftruppe (Force d'Action Rapide du Nuclaire, FARN) verfgt /30/. Die
32

FARN soll in der Lage sein, innerhalb von 24 Stunden nach Eintreten eines Ereignisses jeden franzsischen Anlagenstandort zu erreichen und die dort vorhandenen Anlagen mit mobilen Einrichtungen und speziell ausgebildetem Personal zu versorgen.
Weiterhin ist seitens der Behrde ASN fr die AKW in Frankreich der Aufbau eines
Hardened Safety Core gefordert worden /31, 34/. Mit dem Hardened Safety Core
sollen insbesondere folgende Ziele verfolgt werden:

Verhinderung einer Kernschmelze, auch wenn mehrere Blcke einer Anlage

fr lngere Zeit von ueren Einwirkungen betroffen sind.

Begrenzung der Auswirkungen eines schweren Unfalls durch Einrichtungen,

die auch bei ueren Einwirkungen oberhalb der Auslegung in der Lage sind,
die Freisetzung von Radioaktivitt in die Umwelt zu begrenzen.

Zwischenzeitlich, also bis zum Zeitpunkt der Realsierung des Hardened Safety Core
sollen sog. DUS-Dieselgeneratoren (sh. hierzu Kapitel 4.2.3.2) zum Einsatz kommen.
Diese Dieselgeneratoren sollen u.a. die erforderliche Leistung zum Betrieb einer Notspeisewasserpumpe und einer Pumpe zur Einspeisung in den Reaktordruckbehlter
bereitstellen. Weiterhin soll die Leistung ausreichend zur Versorgung der Gebudeabschlussarmaturen sowie der Belftung der Warte, des Hilfsanlagengebudes und des
BE-Lagebeckengebudes sein.
Die zum Hardened Safety Core zuzuordnenden Einrichtungen sollen gegen hhere
anlagenexterne Einwirkungen ausgelegt sein als die, die der Auslegung des AKW zu
Grunde lagen /32, 33, 42/. Genaue Angaben hierzu sind jedoch nicht bekannt.
Mit dem Hardened Safety Core sollen notwendige Funktionen des anlageninternen
Notfallschutzes der Sicherheitsebene 4 (z.B. Funktionen zur primrseitigen und sekundrseitigen Khlmitteleinspeisung) und mit dem in Anlagen in Deutschland praktizierten
Notstandssystem vergleichbaren Vorgehen (z.B. Verbunkerung sicherheitsrelevanter
Einrichtungen) in das Sicherheitskonzept der bestehenden Anlagen in Frankreich eingefgt werden /31/. Eine Auflistung der im Hardened Safety Core insgesamt vereinten sicherheitsrelevanten Einrichtungen ist im Anhang 1 enthalten. Fr die Realisierung

33

des Hardened Safety Core in den franzsischen AKW ist ein lngerer Zeitraum bis
2020 und darber hinaus vorgesehen18 /33/.
Ebenso sind fr die nach WENRA Ref.-Level F4.15 geforderten Einrichtungen zur
Feststellung des Anlagenzustandes sowie zur Ableitung von Manahmen im auslegungsberschreitenden Zustand noch lngere Realisierungszeitrume erforderlich /33/.
Anlagen in Deutschland verfgen ber Manahmen und Einrichtungen des prventiven
und mitigativen anlageninternen Notfallschutzes auf der Sicherheitsebene 4 sowie ber
Notstandseinrichtungen zur Gewhrleistung erforderlicher Sicherheitsfunktionen z.B.
auch fr den Fall eines Flugzeugabsturzes. Anforderungen an die Auslegung, Zuverlssigkeit und Wirksamkeit von Manahmen und Einrichtungen der 4. Sicherheitsebenen sowie von Notstandseinrichtungen sind fr Anlagen in Deutschland in /3/ im Einzelnen angegeben.

Bewertung des Sicherheitsniveaus

Wie im Kapitel 2 beschrieben, entspricht die sicherheitstechnische Auslegung des

AKW Cattenom den Anforderungen, die in den 1970-er Jahren der Sicherheit von AKW
zu Grunde gelegt wurden.
Magebliche Weiterentwicklungen der Anforderungen an die Sicherheit von AKW seither betreffen Anforderungen an das betriebliche Sicherheitsmanagement, die Nachweisfhrung, die Mensch/Maschine-Wechselwirkung, die Einfhrung digitaler Leittechnik sowie die technische Ausfhrung des Sicherheitskonzepts von AKW. Die Anforderungen an die technische Ausfhrung betreffen insbesondere Anforderungen

an die umfassende Erweiterung des Gestaffelten Sicherheitskonzepts um eine weitere, die 4. Sicherheitsebene19

an die erweiterte Bercksichtigung redundanzbergreifender interner Einwirkungen, resultierend z.B. aus internen Brnden 20

18

Anzumerken ist, dass bezglich des Standes der Realisierung der in /33/ aufgelisteten Manahmen keine detaillierten Angaben vorliegen.

19

Siehe hierzu auch WENRA Ref.-Level F1.2 und F2.2 in Kapitel 4.1

34

an die erweiterte Bercksichtigung standortbergreifender, auch auslegungsberschreitender externer Einwirkungen21 aus

Erdbeben

berflutungen

Flugzeugabsturz.

Die standortbezogenen Einwirkungen aus Erdbeben und berflutungen sind in /25/ einer umfassenden Bewertung unterzogen worden. Eine Analyse in Bezug auf die Erfllung der entsprechenden WENRA Ref.-Level erfolgt in Kapitel 4.2.
Wie bereits oben ausgefhrt besteht ein wesentlicher Schwerpunkt bei der Bewertung
des Sicherheitskonzepts in der Frage inwieweit das AKW Cattenom Lasten aus anlagenexternen bergreifenden Einwirkungen bewltigt werden knnen. So knnen aus
Erdbeben, berflutungen oder Flugzeugabsturz Ereignisablufe in der Anlage hervorgerufen werden, zu deren Beherrschung Sicherheitseinrichtungen erforderlich sind (sh.
auch WENRA Ref.-Level F2.2). Diese Einrichtungen selbst mssen gegen Lasten aus
diesen Einwirkungen ausgelegt sein, um den vorgesehenen Beitrag zur Ereignisbeherrschung leisten zu knnen. Solche Einrichtungen, die nicht gegen derartige Lasten
ausgelegt sind, sind im Anforderungsfall als ausgefallen und somit bei der Nachweisfhrung als unwirksam zu betrachten.
Darber hinaus sollen, insbesondere auf Grundlage der Erkenntnisse aus dem Unfall
im japanischen AKW Fukushima, die Anlagen auch gegen auslegungsberschreitende
anlagenexterne Einwirkungen geschtzt sein (WENRA Ref.-Level F1.1, F4.7).

4.1

bergreifende anlagenexterne Einwirkungen

Nach den Angaben in /21, 24/ und der Bewertung in /25/ sind bei der Auslegung des
AKW Cattenom standortbezogene externe Einwirkungen aus Erdbeben und berflutung bercksichtigt worden. Ebenso existiert in Frankreich ein Konzept zur Bercksichtigung von Lasten aus einem Flugzeugabsturz bei der Auslegung von AKW /36/. Inso-

20

Siehe hierzu auch WENRA Rev.-Level E5.1 und /35/

21

Siehe hierzu auch WENRA Rev.-Level E5.2, T2.1, T4.1 und T6.1 in Kapitel 4.1

35

fern kann man hier die Anforderungen aus dem WENRA Ref.-Level E5.2 als grundstzlich erfllt ansehen.

4.1.1

Erdbeben, berflutung

Aus dem die Ergebnisse des Stresstestes fr das AKW Cattenom /24/ bewertenden
Abschlubericht /25/ geht hervor, dass die Auslegung der Anlage gegen Erdbeben etwa einem Erdbeben mit einer berschreitungswahrscheinlichkeit von 10-4 pro Jahr entspricht, und somit den Anforderungen des WENRA Ref.-Level T4.2 grundstzlich gerecht werden wrde. Allerdings wird in /25/ auch dargelegt, dass einzelne wichtige
Einrichtungen wie z. B. Teilsysteme der Khlwasserversorgung aus der Mosel oder
das Druckentlastungssystem fr den Schutz des Containments bei berdruck nicht
gegen das Auslegungserdbeben ausgelegt sind. Es wird auch erwhnt, dass teilweise
Einrichtungen zwar gegen das Auslegungserdbeben ausgelegt sind, die Reserven ber
dieses Erdbeben hinaus teilweise aber sehr gering sind. Dies gilt beispielsweise fr die
Staumauer des Mirgenbachsees.
Im EDF Bericht wird generell von einer Einhaltung der Vorschriften bezglich der Erdbebensicherheit im Auslegungsbereich ausgegangen, Stichproben bei der o.g. Inspektion im August 2011 lassen aber Zweifel aufkommen, ob dies wirklich der Fall ist. Zweifel bestehen insbesondere fr den sogenannten Hochpunkt, das ist die Verbindungsstation zwischen der Wrmesenke Mirgenbachsee und den vier Kernkraftwerksblcken.
Nach den Ausfhrungen in /25/ wre also davon auszugehen, dass die Anforderungen
aus dem WENRA Ref.-Level T4.2 in Bezug Erdbeben nicht umfassend nachgewiesen
sind.
Das gleiche gilt auch fr den Fall der berflutung. Fr die Auslegung des AKW Cattenom wurde ein 1000-jhrliches Hochwasser, auf das ein Zuschlag von 15% in den Abflumengen eingerechnet wurde, zu Grunde gelegt. Inwiefern damit das Auslegungshochwasser dem Niveau eines 10.000-jhrlichen Hochwassers entspricht, kann aus
den verfgbaren Unterlagen nicht entnommen werden. In /25/ wird hierzu festgestellt:
Das sogenannte design basis flood (DBF) ist nicht umfassend ermittelt. Zwar wird
ein sogenanntes erhhtes Sicherheitsma CMS, das angibt wie hoch der Wasserstand
in der unmittelbaren Umgebung des KKW aufgrund der Analysen sein kann, ermittelt.
Die bliche Methode wre aber zu prfen, ob das - im Bericht nicht angegebene - Be-

36

messungshochwasser in jedem Fall hher ist als das erhhte Sicherheitsma CMS.
Die Problematik der Kombination von berschwemmungsereignissen ist in dem EDF
Bericht nicht ausreichend bercksichtigt.
Nach den Ausfhrungen in /25/ wre auch hier davon auszugehen, dass die Anforderungen aus dem WENRA Ref.-Level T4.2 in Bezug Hochwasser nicht umfassend
nachgewiesen sind.
Selbst der Betreiber EdF sieht die Notwendigkeit weiterer sicherheitstechnischer Ertchtigungen zum Schutz der Anlagen gegen bergreifende anlagenexterne Einwirkungen /24/. Ebenso werden entsprechende Forderungen von ASN erhoben /22/. ASN
besttigt den franzsischen Anlagen zwar, dass die gegenwrtige seismische Auslegung ein Auftreten von Cliff-Edge-Effekten bei Erdbeben mit nur geringfgig hheren
Einwirkungen auf die Anlage als bei der Auslegung unterstellt ausschliet. ASN zeigt in
diesem Zusammenhang aber auch Schwchen und Verzgerungen bei der Bearbeitung notwendiger Anlagenertchtigungen im AKW Cattenom auf /22/.
ASN weist in Zusammenhang mit einer Analyse der Widerstandsfhigkeit gegen externe Einwirkungen /22/ u.a. auf die Notwendigkeit einer weiteren Reduzierung des Risikos eines Wasserverlustes in den Brennelement-Lagerbecken sowie auf die Notwendigkeit einer Erhhung der Widerstandsfhigkeit von Gebudestrukturen, in denen sich
Sicherheitseinrichtungen befinden, hin.
Nach WENRA Ref.-Level T6.1 sind auch auslegungsberschreitende naturbedingte
Ereignisse zu analysieren.
Hinsichtlich der Sicherheitsreserven gegenber Erdbebeneinwirkungen stellt ASN fest,
dass EDF kein Erdbeben ausgewiesen hat, fr das ein Verlust sicherheitstechnisch erforderlicher Funktion zu erwarten ist /22/. Auch wenn ASN der grundstzlichen Vorgehensweise des Betreibers zur Ausweisung von Sicherheitsreserven zustimmen kann,
stellt ASN fest, dass die bislang ausgewiesenen Reserven nicht als ausreichend belastbar angesehen werden knnen. So wrden von EDF insbesondere auch solche
Reserven in der Auslegung belastet, die fr eine konservative Abdeckung von Unsicherheiten im Rahmen der Auslegung eingefhrt wurden.
In /25/ wird zum Sachverhalt auslegungsberschreitendes Erdbeben ergnzend ausgefhrt: Die Sicherheitszuschlge reichen gerade aus, um eine ausreichende Dimen37

sionierung fr den Auslegungsbereich sicherzustellen. Die Robustheit im Hinblick auf

die Erdbebensicherheit ist (jedoch) nur in dem Mae gegeben, in dem die Anlage
nachweislich gegen ein Erdbeben ausgelegt wurde, das strker als das nach dem
Stand von Wissenschaft und Technik ermittelte Auslegungserdbeben ist. Ein solcher
Nachweis kann dem EDF Bericht nicht entnommen werden.
Und in Bezug auf auslegungsberschreitende berschwemmung wird in /25/ ausgesagt, dass derzeit keine Nachrstmanahmen zur Vermeidung einer solchen (auslegungsberschreitenden) berschwemmung wichtiger Sicherheitsbereiche vorgesehen
sind. Stattdessen soll zunchst lediglich eine Wahrscheinlichkeitsanalyse fr das Eintreffen einer solchen (auslegungsberschreitenden) Situation durchgefhrt werden.
Man kann somit auch feststellen, dass sowohl fr den Lastfall Erdbeben als auch fr
den Lastfall berflutung fr das AKW Cattenom nicht die Kriterien des sog. Level 122
erreicht werden, die von der RSK fr die berprfung der deutschen AKW nach
Fukushima herangezogen wurden /43/. Mit diesem Ansatz wurde geprft, ob die Anlagen in Deutschland auch Lasten aus auslegungsberschreitenden Anlagenzustnden
standhalten.
Ergebnisse aus gegebenenfalls mit der RSK-Analyse vergleichbaren Analysen fr den
Standort des AKW Cattenom liegen nicht vor. Auf Grundlage der verfgbaren Unterlagen kann eine Erfllung von WENRA Ref.-Level T6.1 in Bezug auf eine ausreichende
Widerstandsfhigkeit gegen Einwirkungen aus auslegungsberschreitenden anlagenexternen Einwirkungen fr das AKW Cattenom deshalb nicht besttigt werden.

22

Level 1(Erdbeben) /12/

Es werden Auslegungsreserven gegenber dem anlagenspezifisch nach Stand von Wissenschaft und
-5
Technik ermittelten Erdbeben (Basis: berschreitungswahrscheinlichkeit 10 /a), derart ausgewiesen, dass
auch bei einer um eine Intensittsstufe erhhten Intensitt die vitalen Funktionen zur Einhaltung der
Schutzziele sichergestellt sind. Dabei knnen auch wirksame Notfallmanahmen bercksichtigt werden.
Level 1(Hochwasser) /12/
Es werden Auslegungsreserven gegenber dem anlagenspezifisch nach Stand von Wissenschaft und
Technik ermittelten Bemessungshochwasser (10.000 jhrliches Hochwasser) derart ausgewiesen, dass fr
Flussstandorte bei einem um den Faktor 1,5 hheren Abfluss und fr Tide-Standorte bei einem um einen
Meter hherem Hochwasser gegenber dem Bemessungshochwasser sowie bei unterstelltem Versagen
von Staustufen soweit deren Ausflle aufgrund gemeinsamer Ursache begrndbar sind, Deichen o. . und
dem daraus resultierenden Pegel der Erhalt der vitalen Funktionen zur Einhaltung der Schutzziele sichergestellt ist. Dabei knnen auch wirksame Notfallmanahmen bercksichtigt werden.

38

4.1.2

Flugzeugabsturz

Der Stand von Wissenschaft und Technik in Bezug auf die Sicherheit von AKW fr den
Fall eines Flugzeugabsturzes ist in Kapitel 2.2 erlutert. Danach sind die fr die Sicherheit eines AKW erforderlichen Systeme und Einrichtungen in einem Umfange gegen Absturz von Flugzeugen zu schtzen, dass sie in der fr die Durchfhrung der sicherheitsgerichteten Aufgaben erforderlichen Wirksamkeit nicht durch direkte Einwirkungen (Penetration) als auch durch dabei induzierte Schwingungen beeintrchtigt
werden.
Nach /19/ wurden die franzsischen AKW auf der Grundlage der o.g. probabilistischen
Analysen gegen die Einwirkungen aus kleinen Zivilflugzeugen (les petits avions civils
(aviation gnrale, de masse infrieure 5,7 tonnes)) ausgelegt.
Seit der Auslegung des AKW Cattenom sind mehr als 30 Jahre vergangen. Inwiefern
mittlerweile neuere Betrachtungen zur Bewertung der Anlage Cattenom hinsichtlich
des Risikos aus einem Flugzeugabsturz vorliegen ist nicht bekannt.
Der Schutz des AKW Cattenom gegen Einwirkungen aus einem Flugzeugabsturz ist
z.B. in Bezug auf die Lagerung abgebrannter Brennstoffe im Vergleich zu Anlagen in
Deutschland geringer ausgefhrt.
Inwiefern das Hardened Safety Core ber einen hheren Schutz gegen Absturz anderer Flugzeugtypen als fr das AKW auslegungsseitig vorgesehen, besitzt, kann aus
den verfgbaren Unterlagen nicht entnommen werden.

4.1.3

Fazit bergreifende anlagenexterne Einwirkungen

Zusammenfassende Aussagen:

Das AKW Cattenom verfgt nur ber einen bedingten Grundschutz gem
WENRA Ref.-Level E5.2 gegen externe bergreifende Einwirkungen wie Erdbeben und berflutung. Die Einhaltung von Anforderungen nach WENRA Ref.Level T4.2, wonach fr die Auslegung von einer berschreitungswahrscheinlichkeit von 10-4 pro Jahr unter Bercksichtigung aller Unsicherheiten auszugehen ist, ist nicht zweifelsfrei nachvollziehbar.

39

Im Vergleich zu Anlagen in Deutschland ist der Schutz des AKW Cattenom

gegen Einwirkungen aus einem Flugzeugabsturz, z.B. in Bezug auf die Lagerung abgebrannter Brennelemente, geringer ausgefhrt. Die heute geltenden
Anforderungen nach /7/ werden nicht durchgngig erfllt. Inwieweit die auf
probabilistischen Kriterien beruhende Bewertung des Risikos eines Flugzeugabsturzes noch aktuell ist bleibt offen.

Inwiefern das vorgesehene Hardened Safety Core aktuellen Anforderungen

bezglich Flugzeugabsturzes entspricht, ist aus den verfgbaren Unterlagen
nicht ableitbar. Weiterhin knnen aus den verfgbaren Unterlagen keine Aussagen zur Kompatibilitt des Hardened Safety Core mit der bestehenden Anlagenauslegung entnommen werden.

Eine Erfllung von WENRA Ref.-Level T6.1 in Bezug auf eine ausreichende
Widerstandsfhigkeit gegen die Einwirkungen aus auslegungsberschreitenden anlagenexternen Einwirkungen kann auf der Grundlage der verfgbaren
Informationen nicht besttigt werden.

Konkrete Angaben zur Auslegung des Hardened Safety Core gegen auslegungsberschreitende anlagenexterne Einwirkungen sind aus den verfgbaren
Unterlagen nicht ableitbar.

4.2

Elektrische Energieversorgung

Der Aufbau und die Funktionsweise der elektrischen Energieversorgung sind umfassend in /24/ beschrieben. An dieser Stelle wird deshalb nur auf wesentliche sicherheitstechnische Aspekte eingegangen.
Die betrieblichen Einrichtungen zur Versorgung mit elektrischer Energie sind, wie auch
in deutschen AKW, realisiert. Es existieren sowohl ein Hauptnetz- wie ein Reservenetzanschluss, die an unterschiedliche Spannungsebenen der externen Netze angebunden sind (Bild 10).
Fr den Fall des Verlusts der externen Netzanbindung ist ein Abfangen auf Eigenbedarf vorgesehen. In diesem Falle wird die elektrische Energieversorgung ber den Reaktorblockgenerator sichergestellt. Nach Angaben des Betreibers ist eine Netzrckschaltung kurzfristig, in einem Zeitraum von bis zu zwei Stunden, mglich. Zur Versorgung des AKW Cattenom steht auch zustzlich u.a. das Wasserkraftwerk Revin-Saint
40

Niocolas zur Verfgung. Wie bei Mehrblockanlagen blich sind Reaktorblocksttzungsmanahmen zur elektrischen Energieversorgung zwischen den Blcken des
AKW Cattenom vorgesehen.

4.2.1

Ausfall der externen Stromversorgung sowie des Eigenbedarfs eines

Reaktorblockes

Infolge des Ausfalls der externen Stromversorgung sowie des Eigenbedarfs wird auslegungsgem automatisch die Schnellabschaltung des Reaktors (RESA) sowie der
Start der beiden reaktorblockgebundenen Notstromdiesel zur Versorgung der sicherheitstechnisch wichtigen Einrichtungen mit elektrischer Energie ausgelst. Die Kapazitt eines Notstromdiesels soll zur Versorgung mit elektrischer Energie fr die zur Beherrschung des Ereignisses erforderlichen sicherheitstechnisch wichtigen Einrichtungen ausreichend sein.
Die primrseitige Druckhaltung und die Sperrwasserversorgung der Hauptkhlmittelpumpen sowie die beim Abfahren erforderliche Aufborierung werden ber das notstromgesicherte Volumenregel- und Chemikalieneinspeisesystem sichergestellt.
Sekundrseitig erfolgt die Dampferzeuger-Bespeisung durch das Notspeisesystems
(ASG). Die Wrmesenke wird in diesem Fall durch die Frischdampfabgabe ber die
Frischdampfabblaseventile (GCT-a) an die Atmosphre gebildet.
Langfristig erfolgt die Wrmeabfhrung bei diesem Ereignis durch das Nachkhlsystem
(RRA), nachdem durch die sekundrseitige Abkhlung die entsprechenden bernahmebedingungen im Primrkreislauf druck- und temperaturseitig sichergestellt sind. Die
Abfuhr der Nachwrme erfolgt im Weiteren ber das Zwischenkhlwassersystem und
das Nebenkhlwassersystem.
Der Redundanzgrad der Notstromversorgung im AKW Cattenom ist nur einzelfehlerfest
(n+1) ausgefhrt. Nach WENRA Ref.-Level E10.7 und /7/ ist eine (n+2) Ausfhrung der
sicherheitstechnischen Einrichtungen erforderlich. Hiermit soll auch fr den Fall einer
Instandhaltungsmanahme an einer Redundanz im Anforderungsfall die Einzelfehlerfestigkeit (n+1) der entsprechenden Sicherheitseinrichtung sichergestellt sein. In einer
nur (n+1) Auslegung sind erweiterte administrative Regelungen, wie z.B. zu zulssigen
Reparaturzeiten, zu Prfungen whrend des Betriebes usw. zur Sicherstellung der er-

41

forderlichen Redundanz im Anforderungsfall erforderlich. Derartige Regelungen beeinflussen die Zuverlssigkeit der jeweils betroffenen sicherheitstechnischen Einrichtung.

4.2.2

Lnger anhaltender Verlust der externen Stromversorgung sowie des

Eigenbedarfs

Fr diesen Ereignisablauf wird eine Dauer des Verlusts der externen Stromversorgung
von ca. 2 Wochen angenommen. Der Ereignisablauf ist vergleichbar mit dem unter
4.2.1 beschriebenen Ereignisablauf.
Seitens des Betreibers werden bezglich der Beherrschbarkeit des Ereignisablaufes
folgende Angaben gemacht:

auf dem Anlagengelnde sollen Dieselkraftstoff-Vorrte fr einen Betrieb der

Notstromdiesel bis zu 3,5 Tagen vorhanden sein.

zur weiteren Bereitstellung von Dieselkraftstoff soll Vorsorge fr eine kurzfristige Lieferung von Dieselkraftstoff getroffen sein.

Schmierlvorrte sollen fr ca. drei Tage auf der Anlage vorhanden sein, Vorsorge zur Lieferung von Schmierl soll getroffen sein.

die Khlwasserversorgung der Notstromdiesel soll, unter Bercksichtigung der

Khlwasserreserven, ber einen Zeitraum von mehr als zwei Wochen gesichert sein.

Der Druckluftvorrat soll fr mindestens fnf Startversuche pro Dieselaggregat

ausreichend sein, dieselbezogene Druckluftgeneratoren sorgen fr deren Wiederauffllung.

Wesentliche Voraussetzung fr die Beherrschbarkeit dieses Ereignisses besteht insbesondere in der Gewhrleistung eines zuverlssigen Langzeitbetriebs der Diesel. Hierzu
sind Manahmen zur Instandhaltung, d.h. zeitweisen Abschaltung einer Dieselredundanz erforderlich und wohl auch vorgesehen. In diesem Zusammenhang hat die fehlende Redundanz, wie unter 4.2.1 beschrieben, aus sicherheitstechnischer Sicht negative Auswirkungen auf die Beherrschung des hier beschriebenen lnger anhaltenden
Anlagenzustandes.

42

4.2.3

Auslegungsberschreitende Anlagenzustnde

4.2.3.1

Verlust der externen Stromversorgung und der Notstromversorgung

(H3) in einem Reaktorblock

Bei diesem Ereignisablauf wird zustzlich zum Verlust der externen Stromversorgung
der Ausfall der Notstromversorgung eines Reaktorblocks unterstellt /20/.
Dies fhrt im Gegensatz zu dem in 4.2.1 beschriebenen auslegungsgemen Ablauf
dazu, dass die notstromgesicherten Hochdruckeinspeisepumpen, die die Sperrwasserversorgung der Hauptkhlmittelpumpen sowie die Aufborierung des Primrkreises sicherstellen, nun durch den Turbogenerator (LLS) versorgt werden. Infolge eines Ausfalls der Hochdruckeinspeisung besteht ganz generell die Gefahr eines Versagens der
Isolierung der Hauptkhlmittelpumpen und somit die Gefahr eines primrseitigen
Khlmittelverlustes.
Infolge des Ausfalls der Notstromversorgung stehen fr die sekundrseitige Bespeisung der Dampferzeuger nur die frischdampfgetriebenen Turboeinspeisepumpen zur
Verfgung. Die Wrmeabfhrung erfolgt, wie in 4.2.1 beschrieben, ber GCT-a.
Weiterhin stehen das Nachkhlsystem sowie die Khlkette ber den Zwischenkhlkreis
und dem Nebenkhlwasser nicht zur Verfgung.
Es ist somit hier das Ziel der Manahmen, die Anlage in einem Zustand zu halten, bei
dem die Frischdampferzeugung fr den Betrieb der Turboeinspeisepumpen ausreicht
und damit eine sekundrseitige Wrmeabfuhr gewhrleistet bleibt.
Die elektrische Energieversorgung notwendiger Funktionen erfolgt bei diesem Ereignisablauf kurzzeitig durch die Batterien. Der Betreiber gibt fr die Batterien eine Kapazitt von ca. 1 Stunde an.
Um erforderliche Einrichtungen mit elektrischer Energie auch ber die Batterielaufzeiten hinaus zu versorgen ist elektrischerseits der Betrieb des frischdampfgetriebenen
Turbogenerators notwendig. Der Turbogenerator versorgt u. a. auch die Ansteuerung
der Turboeinspeisepumpen und einen Teil der Frischdampfabblaseventile. Nach Angaben des Betreibers soll der Betrieb der Turboeinspeisepumpen und des Turbogene-

43

rators auch bei einem Verlust der Komponentenkhlung durch den Ausfall der gesamten Khlkette ber 24 Stunden mglich sein.
Ein Verlust der sekundrseitigen Khlung droht, wenn die Reserven des Notspeisesystems und insbesondere die verfgbaren Reserven der Khlwasservorratsbehlter zum
Auffllen des Notspeisebehlters erschpft sind. Der Betreiber schtzt den Zeitraum
bis zum Verlust der sekundrseitigen Khlung auf mehrere Tage ein. In einem solchen
Fall wre dann auch mit Schden an den im Reaktor eingesetzten Brennelementen zu
rechnen.
ber die zustzliche Gasturbine kann elektrischerseits die Notstromversorgung fr sicherheitstechnisch wichtige Funktionen sichergestellt werden.
Hierbei ist jedoch von Bedeutung, dass sowohl die Khlwasservorratsbehlter als auch
die zustzliche Gasturbine nicht fr die Einwirkungen aus seismischen Einwirkungen
qualifiziert sind. Falls also das Ereignis Verlust der externen Stromversorgung und der
Notstromversorgung eines Reaktorblocks seine Ursachen in einem Erdbeben hat, ist
die Kernkhlung lngerfristig nicht mehr gewhrleistet.
Tritt das Ereignis bei einem Anlagenzustand mit geffnetem Druckbehlter ein, ist eine
Wrmeabgabe an die Sekundrseite nicht mglich. In diesem Fall erfolgt die Nachwrmeabfuhr ber reine Verdampfungskhlung. Das Khlmittel im Primrkreislauf wird
durch eine passive Einspeisung von Inventaren aus dem Brennelement-Becken ersetzt.

4.2.3.2

Verlust der externen Stromversorgung, der Notstromversorgung, des

Turbinengenerators und der Gasturbine

Der Betreiber hat zustzlich zum Verlust der externen Stromversorgung und der Notstromversorgung den Ausfall der zustzlichen Gasturbine und des frischdampfgetriebenen Turbogenerators unterstellt. Nach Angaben des Betreibers fhrt dieses Szenario
innerhalb weniger Stunden zur Kernfreilegung.
Ein derartiges Ereignis, Ausfall aller Stromquellen, ist bisher nicht analysiert worden.
Seitens ASN ist diese Untersuchung aber festgelegt worden, um die Robustheit der

44

Reaktorblcke festzustellen und entsprechende Manahmen bei nicht ausreichender

Robustheit festzulegen.
Der Betreiber schtzt ab, dass ausgehend vom Leistungsbetrieb unter diesen Bedingungen maximal ein Tag Karenzzeit bis zur Kernfreilegung besteht. Ein ungnstigerer
Fall lge bei nur teilweise geffnetem RDB vor. In diesem Fall sei eine Einspeisung in
den Primrkreis nicht mglich, eine Kernfreilegung drohe daher nach ca. 10 Stunden.
Der Betreiber sieht verschiedene Manahmen zur Erhhung der Robustheit der Anlage
unter den Bedingungen dieses auslegungsberschreitenden Anlagenzustandes vor,
u.a.:

Anpassung von Prozeduren, um eine sekundrseitige Druckabsenkung auf ein

Niveau zu begrenzen, bei dem die Versorgung der Turboeinspeisepumpen mit
Frischdampf fr die weitere Einspeisung ausreichend ist.

Manahmen zur Sicherheit der Dichtungen der Hauptkhlmittelpumpen trotz

Verlustes der Khlung und des Sperrwassers.

Manahmen, um die Drucktestpumpe zur Bespeisung einzusetzen.

Installation einer zustzlichen Pumpe, mit der insbesondere bei geffnetem

RDB der RDB aus dem Flutbehlter aufgefllt werden kann.

Wegen der hohen sicherheitstechnischen Bedeutung dieses auslegungsberschreitenden Ereignisablaufes und insbesondere als Reaktion auf die Erkenntnisse aus
Fukushima verlangt die franzsische Behrde ASN die Umsetzung sicherheitstechnischer Manahmen:

Sicherstellung der Autonomie bzw. einer angemessenen Versorgung der Anlage fr 14 Tage, speziell unter Bercksichtigung der Randbedingungen nach
Erdbeben oder berflutung.

Erstellen von Notfallprozeduren fr auslegungsberschreitende Szenarien.

deutliche Strkung der Autonomie der Batterien.

45

Einfhrung eines sogenannten DUS-Diesels23 (sh. hierzu auch Bild 11, Anhang
1) und bis zur Einfhrung des DUS-Diesels Bereitstellung kleinerer Diesel /37/.

Unabhngigkeit des Betriebs der Notstromdiesel vom Druckluftsystem. So wird

in /22/ S. 68 die Forderung nach Unabhngigkeit des zustzlichen BackupDiesels vom Druckluftsystem aufgestellt.

ASN stellt fest, dass das Auftreten von Cliff-Edge-Effekten bei offenem oder teilweise
geffnetem Primrkreislauf zu befrchten ist.
ASN stellt weiterhin fest, dass der Betreiber fr das Ereignis Verlust der externen
Stromversorgung und der Notstromversorgung eines Reaktorblocks als Ursachen keine auslegungsberschreitenden anlagenexternen Einwirkungen unterstellt hat, die zu
krzeren Versagenszeiten fhren oder die Verfgbarkeit der zur Beherrschung dieses
Ereignisses bentigten Einrichtungen gefhrden knnten. Insgesamt resultiert damit
die Forderung der ASN nach einem Hardened Safety Core von Einrichtungen, die
auch gegen auslegungsberschreitende anlagenexterne Einwirkungen ausgelegt sein
sollen (sh. Kapitel 3.3).
Der Hardened Safety Core soll gegen schwerere bergreifende anlagenexterne Einwirkungen als bisher in der Anlagenauslegung unterstellt ausgelegt sein /37/. Bei einer
Einbindung des Hardened Safety Core in die vorhandene Anlage (z.B. auf vorhandene Systeme zur Einspeisung, sh. auch Bild 13, Bild 14 in Anhang 1) wre fr die von
der Einbindung betroffenen Einrichtungen der Anlage auch eine Qualifizierung fr solche auslegungsberschreitende Einwirkungen nachzuweisen.
In der Anlage Cattenom ist eine zustzliche Gasturbine installiert. Damit verfgt der
Standort Cattenom zwar ber eine zur normalen Notstromversorgung diversitre Not-

23

Der Notfalldiesel DUS soll innerhalb von 1 Stunde einsetzbar sein und einen autarken Betrieb fr 48

Stunden garantieren. Er soll die erforderliche Leistung zum Betrieb einer Notspeisewasserpumpe und einer Pumpe zur Einspeisung in den RDB bereitstellen. Weiterhin soll die Leistung ausreichend zur Versorgung der Gebudeabschlussarmaturen sowie der Belftung der Warte, des Hilfsanlagengebudes und
des BE-Lagerbeckengebudes sein. Der DUS soll gegen Erdbeben und berflutung ausgelegt sein. Bis
zu dessen Installation sollen vorlufig kleinere Diesel vorgehalten werden, mit denen die Stromversorgung
fr Leittechnik und Beleuchtung gewhrleistet werden kann.

46

stromanlage. Diese ist jedoch nur einstrngig ausgefhrt und gengt somit nicht den
Anforderungen nach Sicherstellung des Einzelfehlers. Die zustzliche Gasturbine ist
nicht seismisch qualifiziert, und mu insofern im Erdbebenfall als ausgefallen betrachtet werden.
Daneben existiert die Mglichkeit, ber die frischdampfgetriebenen Einrichtungen der
Turboeinspeisepumpen und des Turbogenerators eine Nachwrmeabfuhr ber die Sekundrseite aufrecht zu erhalten. Diese steht jedoch nicht bei allen Anlagenzustnden
zur Verfgung. Auch weist der Betreiber keine zustzlichen Notfallmanahmen aus,
mit denen innerhalb der zur Verfgung stehenden Zeit eine ausreichende Stromversorgung wiederhergestellt werden kann. So ist beispielsweise keine unabhngige dritte
Netzeinspeisung vorhanden.

4.2.4

Fazit elektrische Energieversorgung

WENRA Ref.-Level E10.7 fordert, dass das Einzelfehlerkriterium auch fr den Fall von
Instandhaltungsmanahmen zu gewhrleisten sei. Diesbezglich ist ein wesentlicher
Unterschied der Anlage Cattenom zu der in deutschen Anlagen realisierten Notstromversorgung hinsichtlich des Redundanzgrades festzustellen. Danach ist die Notstromversorgung in Cattenom nur einzelfehlerfest (n+1) ausgefhrt, in deutschen Anlagen
weist die Notstromversorgung einen (n+2) Redundanzgrad auf.
Das sekundrseitige Notspeisesystem wird durch ein von der Notstromversorgung unabhngiges frischdampfgetriebenes System ergnzt, so dass das Notspeissystem hier
eine Diversitt aufweist. Diese Diversitt im Notspeisesystem steht jedoch nicht bei allen Anlagenzustnden zur Verfgung.
Andere sicherheitstechnisch erforderliche Funktionen, z.B. das Zwischenkhlwassersystems, besitzen ber die (n+1) redundante Notstromversorgung hinaus keine weitere
Redundanz (sh. hierzu die Anmerkungen unter Kapitel 4.3.1).
Die Anlage Cattenom verfgt nach den vorliegenden Informationen nicht ber einen
dritten Netzanschluss. Eine Reaktorblocksttzung auf verschiedenen Ebenen der
elektrischen Stromversorgung, die bei einem Verlust der externen und internen elektrischen Energieversorgung in einem der Blcke des Standorts Cattenom eine ausreichende Versorgung durch andere Reaktorblcke ermglichen kann, ist realisiert

47

Der Betreiber gibt die nachgewiesenen Kapazitten der Batterien mit einer Stunde
an24. Damit sind diese Kapazitten geringer als die fr die deutschen Anlagen erforderlichen und geforderten Kapazitten von mindestens 2 Stunden /35/. Insbesondere fr
Anlagenzustnde mit geffnetem Primrkreislauf, bei dem der dampfgetriebene Turbogenerator zur elektrischen Energieversorgung wichtiger Einrichtungen nicht zur Verfgung steht, ist damit die Verfgbarkeit wichtiger Einrichtungen bei einem Verlust der
elektrischen Einrichtungen zeitlich stark begrenzt.
Zusammenfassende Aussagen:

Mit Blick auf die Einrichtungen zur Notstromversorgung ist festzustellen, dass
der Redundanzgrad der Notstromversorgung im AKW Cattenom nur einzelfehlerfest (n+1) ist, nicht jedoch eine gleichzeitige Instandhaltung zulsst, wie dies
nach WENRA Ref.-Level E10.7 und /7/ gefordert wird. Die aktuellen regelwerksseitigen Anforderungen hinsichtlich des erforderlichen Redundanzgrades
sicherheitstechnisch wichtiger Einrichtungen werden somit nicht erfllt.

Wichtige sicherheitsrelevante Einrichtungen sind nicht fr seismische Einwirkungen qualifiziert. Im Lastfall Erdbeben mu ein Ausfall dieser Einrichtungen
unterstellt werden.

Wichtige sicherheitstechnische Merkmale, wie z.B. die Strkung der BatterieAutonomie, sollen lt. /33/ bereits nachgerstet worden sein. Eine endgltige
Lsung, die auch den Schutz gegen anlagenexterne auslegungsberschreitende Einwirkungen miteinschliet, soll aber erst nach Fertigstellung des
"Hardened Safety Core" erreicht werden.

4.3

Wrmeabfuhr

Der Aufbau und die Funktionsweise der sekundr- sowie primrseitigen Manahmen
und Einrichtungen zur Wrmeabfuhr sind umfassend in /24/ beschrieben. An dieser
Stelle wird deshalb nur auf wesentliche sicherheitstechnische Aspekte eingegangen.

24

Nach /33/ soll hier bereits Nachrstung erfolgt sein, belastbare Aussagen, insb. zu den konkreten Auslegungsdaten, liegen jedoch nicht vor.

48

4.3.1

Wirksamkeit der Reaktorkhlung

4.3.1.1

Verlust der Khlwasserversorgung fr einen Reaktorblock

Der Verlust der Khlwasserversorgung (H1) fhrt zu einem Ausfall des Nebenkhlwassersystems, des Zwischenkhlwassersystems, des Nachkhlsystems, des BEBeckenkhlsystems sowie des Containment-Sprhsystems.
Die Beherrschung dieses Ereignisses wird durch die sekundrseitige Wrmeabfuhr mit
dem Notspeisesystem sichergestellt. Dabei stehen sowohl die Khlmittelreserven des
Notspeisesystems sowie die Reserven der Khlwasservorratsbehlter zur Verfgung.
Die Wrmeabfuhr erfolgt durch Frischdampfabgabe ber die Frischdampfabblaseventile an die Atmosphre.
Manahmen sind darauf gerichtet, durch das Volumenregel- und Chemikalieneinspeisesystem die Sperrwasserversorgung und die primrseitige Khlmittelergnzung sowie
das Aufborieren des Primrkreislaufs bei einem Abfahren der Anlage sicherzustellen.
Der Betreiber gibt an, dass der Betrieb der Turboeinspeisepumpen (ASG) und des
Turbogenerators (LLS) bei Ausfall der Khlung inklusive des Lftungssystems fr einen
Zeitraum von bis zu 24 Stunden nachgewiesen und somit sichergestellt ist.
Tritt das Ereignis bei geffnetem Primrkreislauf auf, wird die Wrmeabfuhr durch Verdampfungskhlung sichergestellt. Die Ergnzung des verdampften Khlmittels erfolgt
mit den Vorrten aus dem Flutbehlter. Die langfristige Integritt des Sicherheitsbehlters kann in diesem Fall durch die Mglichkeit der gefilterten Druckentlastung sichergestellt werden. Der Betreiber gibt fr dieses Ereignis eine Karenzzeit von mehreren
Tagen an.
ASN uert sich kritisch hinsichtlich der Beherrschbarkeit des H1-Szenariums ber eine lngere Zeitdauer, insbesondere im Zusammenhang mit externen Einwirkungen wie
Erdbeben oder berflutungen.

49

4.3.1.2

Auslegungsberschreitende Anlagenzustnde

4.3.1.2.1

Verlust der Khlwasserversorgung fr alle Blcke

Als ein Ereignisablauf mit auslegungsberschreitenden Randbedingungen wird der

gleichzeitige Verlust der Khlwasserversorgung fr alle Blcke angenommen.
Gegenber dem der Auslegung zu Grunde gelegten Ausfallszenarium ergeben sich
hier Unterschiede zu den ausgewiesenen Karenzzeiten, da die zur sekundrseitigen
Wrmeabfuhr zur Verfgung stehenden Khlmittelreserven nun fr alle Blcke genutzt
werden mssen. Der Betreiber geht davon aus, dass die Wrmesenke sptestens
nach drei Tagen wieder hergestellt sei, so dass Schden an den Brennstben nicht zu
befrchten wren.
Zur Strkung der Robustheit der Anlage sieht der Betreiber die Erhhung der festgelegten minimalen Wasserreserven in den Khlwasservorratsbehltern vor, um die daraus resultierenden Karenzzeiten fr die sekundrseitige Nachwrmeabfuhr zu vergrern.
Wie aber vorher beschrieben sind die Khlwasservorratsbehlter nicht gegen seismische Einwirkungen qualifiziert. Fr den Fall, dass das hier angegebene Ereignis z.B.
durch Erdbeben verursacht wird, ist ein Rckgriff auf die Reserven der Khlwasservorratsbehlter nicht mglich. Die oben angegebenen Karenzzeiten sind fr diesen hier
besprochenen Fall unrealistisch.
Im 6. Bericht im Rahmen der Nuklearen Sicherheitskonvention berichtet die franzsische Seite ber in 2012 realisierte Manahmen zur langzeitigen Sicherstellung der
Restwrmeabfuhr fr den Fall eines Verlustes der Wrmesenke in /24/ sowie in /26/.
Detaillierte Informationen hierzu wurden nicht mitgeteilt, jedoch wurde auf Fragen im
Zusammenhang mit dem 6. Bericht zur Safety Convention von der franzsischen Seite
ausgefhrt /32/:
In addition, the stress-tests have confirmed the robustness of the existing means to
cope with the combination of a loss of UHS and a loss of electrical power supplies.
Nevertheless, in order to improve the autonomy of the plant in such extreme conditions, it has been decided to implement, as part of new "Hardened Safety Core" SSC:

50

an additional water source and make-up systems, to allow feeding of the steam
generators, RCS injection and spent fuel pools water make-up;

a new ultimate emergency diesel.

An anderer Stelle wird auf entsprechende Fragen ausgefhrt /32/:

Regarding the implementation of emergency measures for long term removal of the
residual heat in the event of loss of the heat sink, the implementation of new source of
water (mainly pumping in aquifers, or new storage tanks) leads to a diversification of
the heat sink which ensures the long term feeding of the steam generators with a new
diversified EFWS and the removal of the residual power in this situation.
Inwiefern die beschriebenen Mglichkeiten vollstndig in der Anlage Cattenom umgesetzt sind ist aus den verfgbaren Unterlagen nicht ableitbar. Aus den Darlegungen
wird weiterhin nicht klar, ob es sich hier um Nachrstungen im Bereich der Strfallbeherrschung oder um Erweiterung des anlageninternen Notfallschutzes handelt.

4.3.1.2.2

berlagerung der Ereignisse Ausfall der Khlwasserversorgung

und Ausfall der externen Stromversorgung und der Notstromversorgung

Es wird eine berlagerung des Ausfalls der Khlwasserversorgung mit einem Ausfall
der externen und internen elektrischen Energieversorgung der Anlage (berlagerung
H1 mit H3) angenommen. Nach Darstellung des Betreibers ergeben sich dabei keine
zustzlichen Implikationen gegenber dem in 4.2.3.2 beschriebenen Ereignisablauf.
Als zustzliche Randbedingung bei einem erdbebenbedingten Auftreten dieses Szenarios wird die Nichtverfgbarkeit der zustzlichen Gasturbine angegeben, was einem
vollstndigen Verlust der Energieversorgung entspricht. Auch bei einer externen berflutung in berlagerung mit dem hier betrachteten Szenario werden keine zustzlich zu
bercksichtigenden Aspekte gesehen. Diese Aussage wre jedoch noch vor dem Hintergrund eines noch zu definierenden, auslegungsberschreitenden Hochwassers, gegen das die entsprechenden Einrichtungen auszulegen wren, zu verifizieren.
Seitens ASN wird eingerumt, dass keine der in Betrieb befindlichen Anlagen ber eine
alternative Wrmesenke verfgt /22/. Im Zusammenhang mit der Realisierung des
51

"Hardened Safety Core" sollen jedoch diesbezglich Nachrstungen erfolgen /33/.

Nach den Ereignissen in Cruas und Cattenom im Jahr 2009, bei denen es zu einer
Verstopfung der Khlwassereinlaufbauwerke gekommen war, hatte ASN bereits die
berprfung aller Nebenkhlwassersysteme der franzsischen Kernkraftwerke angeordnet. Auch hier sind lt. /33/ Manahmen zur Einrichtung einer unabhngigen Wrmesenke vorgesehen. Die verfgbaren Unterlagen erlauben jedoch keine belastbare
Aussage hinsichtlich ihrer Realisierung. Nach /22/ soll bei der Anlage Cattenom jedoch
infolge des Rckhaltebeckens - Lac du Mirgenbach eine Automie bezglich einer
Wrmesenke von ca. 30 Tagen sichergestellt sein.
Nach Angaben von ASN sind die franzsischen Anlagen bei einem Verlust der Hauptwrmesenke in einem Reaktorblock fr eine Autonomie von mindestens 100 Stunden
ausgelegt, siehe /22/, S. 79.
Zur Erhhung der Robustheit der Anlagen gegenber Szenarien mit einem Verlust der
Khlwasserversorgung fordert ASN die Einfhrung eines Hardened Safety Core von
Einrichtungen, vergleiche Kapitel 3.3.

4.3.2

Brennelement-Lagerbecken

Jeder Reaktorblock der Anlage Cattenom verfgt ber ein Brennelement-Lagerbecken

auerhalb des Reaktorgebudes (Bild 11). Die Lagerbeckengebude sind seismisch
qualifiziert /24/.

52

Bild 11: Prinzipschema Brennelemente-Lagerbecken (Quelle: EdF25)

25

http://www.edf.com/fichiers/fckeditor/Commun/En_Direct_Centrales/Nucleaire/General/Cycle_combustibl
e/documents/Transfert_assemblage_combustible.pdf

53

Bild 12: Parameter Brennelemente-Lagerbecken (Quelle: EdF /24/)

Im Normalbetrieb ist das Brennelement-Lagerbecken bis zu einer Hhe von 22,15 m
gefllt. Der im Normalbetrieb minimal zulssige Fllstand betrgt 21,15 m liegt (Bild
12).
Die Khlung des Brennelement-Lagerbeckens erfolgt durch das zweistrngig ausgefhrte Beckenkhlsystem. Die Khlkette setzt sich im Weiteren aus dem Zwischenkhlwassersystem und dem Nebenkhlwassersystem zusammen. Das Beckenkhlsystem ist fr seismische Einwirkungen qualifiziert und notstromgesichert.
Die Ansaugleitung des Beckenkhlsystems sowie die Becken-Entleerungsleitung werden oberhalb des minimal zulssigen Fllstandes aus dem Becken gefhrt. Nach der
Darstellung des Betreibers in /24/ ist Vorsorge gegen ein Auslaufen des BrennelementLagerbeckens durch einen Saughebeeffekt getroffen.
Auslegungsgem wird fr die Khlung des Brennelement-Lagerbeckens ein Ausfall
der externen elektrischen Energieversorgung unterstellt. Analysiert wurden auch der
Ausfall der externen Stromversorgung und der Notstromversorgung in einem Reaktorblock. Bei den betrachteten Fllen soll Vorsorge gegen eine Freilegung von abgebrannten Brennelementen im Brennelement-Lagerbecken getroffen sein. Im ungnstigsten Falle, Ausfall aller Stromquellen, mu mit Schden an Brennstben nach ca.
1,5 bis 2 Tagen gerechnet werden /22/.
Hohe Bedeutung kommt den Manahmen zur Gewhrleistung der Beckenintegritt,
u.a. bei Einwirkungen von auen, sowie dem Erhalt des Wasserinventars im Becken
(Vermeidung von Wasserverlusten infolge von Lecks angrenzender Rohrleitungen) zu.
ASN fordert in diesem Zusammenhang die Umsetzung von Manahmen zur Strkung
der Robustheit der Anlagen im Rahmen der Einfhrung eines Hardened Safety Core
(vergleiche Kapitel 3.3).
Forderungen seitens ASN sind:

Analyse von Auswirkungen auslegungsberschreitender Einwirkungen von

auen auf die Integritt des Brennelement-Lagerbeckens und der daran anschlieenden Systemen.

54

Untersuchung der Gefhrdung der Brennelement-Lagerbeckenintegritt durch

einen Behlterabsturz sowie Ableitung von Manahmen zum Umgang mit einem derartigen Ereignis26.

Manahmen zur Begrenzung von Wasserverlust aus dem BrennelementLagerbecken bei einem Versagen des Transferkanals wegen der geringen
seismischen Margen.

Manahmen zur Reduzierung des Eintritts von Ereignissen, die zu einem lang
andauernden Siedezustand des Brennelement-Lagerbeckens fhren.

Sicherstellung der Robustheit der Lagerbecken fr den Fall eines langanhaltenden Verlustes der Brennelement-Lagerbeckenkhlung.

Analyse der Notwendigkeit von Notfallmanahmen wie Installation passiver autokatalytischer Rekombinatoren im Brennelement-Lagerbeckengebude.

Mit der zweistrngigen Brennelement-Lagerbeckenkhlung wird das WENRA Ref.Level E10.7 nicht eingehalten. WENRA Ref.-Level E10.7 fordert, dass das Einzelfehlerkriterium auch fr den Fall von Instandhaltungsmanahmen zu gewhrleisten sei.
Im Fall der Brennelement-Lagerbeckenkhlung hat die Nichteinhaltung von WENRARef.-Level E10.7 keine sicherheitstechnisch gravierenden Auswirkungen, da die fehlende Redundanz bei ansonsten intakter Infrastruktur der Anlage durch die Zeit, die bis
zu einer kritischen Aufwrmung des Khlmittels im Falle des kompletten Ausfalls der
Brennelement-Lagerbeckenkhlung vergehen wrde, durch die vorhandenen Systeme,
wie z.B. Feuerlschsystem, kompensiert werden knnte. Der zuletzt beschriebene
Sachverhalt ist auch Gegenstand der Regelungen in den Kapiteln 4 und 5 der Interpretationen zu den Sicherheitsanforderungen an Kernkraftwerke /3/.

4.3.3

26

Fazit Wrmeabfuhr

Sekundrseitige Wrmeabfuhr

In /10/ wird berichtet, dass Analysen zum Ergebnis fhrten, dass ein Transportbehlterabsturz keine Gefhrdung der Behlterintegritt nach sich ziehen soll.

55

Die Anlage Cattenom verfgt zur Gewhrleistung der sekundrseitigen Wrmeabfuhr

ber ein betriebliches System zur Dampferzeuger-Bespeisung sowie ein Notspeisesystem. Das Notspeisesystem ist zweistrngig aufgebaut. In jeder Redundanz befinden
sich eine notstromversorgte Pumpe sowie aus sicherheitstechnischer Sicht gesehen
vorteilhaft - diversitr dazu eine frischdampfangetriebene Pumpe. Alle Notspeisepumpen eines Reaktorblocks der Anlage Cattenom greifen auf einen einzigen Vorratsbehlter, den Notspeisebehlter zurck und sind dadurch miteinander vermascht.
Die noch in Betrieb befindlichen deutschen Druckwasserreaktoren verfgen im Bereich
der sekundrseitigen Wrmeabfuhr ber ein betriebliches System zur DampferzeugerBespeisung, ein betriebliches, zweistrngiges An- und Abfahrsystem und ein vierstrngiges Notspeisesystem. Die Redundanzen des Notspeisesystems greifen auf strangzugeordnete Notspeisebehlter zu. Die einzelnen Notspeiseteilsysteme sind vollstndig rumlich voneinander getrennt und in einem eigenen verbunkerten Gebude gegen
Einwirkungen von auen geschtzt. Im Rahmen der anlageninternen Notfallmanahmen ist unter Nutzung einer mobilen Pumpe eine Prozedur zur sekundrseitigen Druckentlastung und Bespeisung der Dampferzeuger vorgesehen.
Die Abhngigkeit der wichtigen Sicherheitsfunktion der sekundrseitigen Wrmeabfuhr
von jeweils nur einem Vorratsbehlter pro Reaktorblock im AKW Cattenom wird als eine sicherheitstechnisch besonders relevante Schwachstelle angesehen.

Primrseitige Druckentlastung und Einspeisung

Fr die primrseitige Druckabsenkung durch Druckhaltersprhen, die Sperrwasserversorgung der Hauptkhlmittelpumpen, die Aufborierung des Primrkreises und ggf. die
Khlmittelergnzung bei Khlmittelverluststrfllen mit Anlagenzustnden bei hohem
Druck im Primrkreis verfgt die Anlage Cattenom nur ber das blockbezogene Volumenregel- und Chemikalieneinspeisesystem. Alle Hochdruckeinspeisepumpen eines
Reaktorblocks der Anlage Cattenom sowie die fr die Einspeisung bei greren Lecks
vorhandenen Einspeisepumpen greifen auf einen einzigen Vorratsbehlter, den Flutbehlter zurck und sind dadurch vermascht.
Demgegenber verfgen die noch in Betrieb befindlichen deutschen Druckwasserreaktoren im Bereich der primrseitigen Wrmeabfuhr ber ein betriebliches Volumenregelund Chemikalieneinspeisesystem sowie ein als Sicherheitssystem ausgelegtes vierstrngiges Zusatzboriersystem. Zur Khlmittelergnzung bei Leckstrfllen stehen die

56

Sicherheitseinpeisepumpen des vierstrngigen Not- und Nachkhlsystems zur Verfgung.

Die Abhngigkeit der wichtigen Sicherheitsfunktionen der primrseitigen Khlmittelergnzung von jeweils nur einem Vorratsbehlter pro Reaktorblock im AKW Cattenom
wird als eine sicherheitstechnisch besonders relevante Schwachstelle angesehen.

Zusammenfassende Aussagen:

Zur Beherrschung eines lngerfristig anstehenden Ereignisses Verlust der

Khlwasserversorgung eines Reaktorblockes wird Kredit von Khlwasserreserven genommen, die nicht seismisch qualifiziert sind.

Hinsichtlich der Beherrschung des Ereignisses Verlust der Khlwasserversorgung eines Reaktorblockes in Kombination mit einem Verlust der Stromversorgung wird fr dessen langfristige Beherrschung die Verfgbarkeit von Einrichtungen kreditiert, deren Komponentenkhlung fr lngere Zeitrume nicht
sichergestellt ist.

Fr die Nachkhlkette (Zwischenkhlwassersystem und Nebenkhlwassersystem) steht bisher keine diversitre Wrmesenke, wie z.B. durch WENRA Ref.Level F4.7 und in /3/ gefordert, zur Verfgung.

Fr die Dampferzeuger-Bespeisung steht pro Reaktorblock im strfallbedingten Anforderungsfall nur jeweils ein Vorratsbehlter zur Verfgung. Nach
WENRA Ref.-Level E10.7, /3/ und /7/ ist jedoch fr sicherheitstechnisch wichtige Einrichtungen eine vollstndige Unabhngigkeit gefordert, dies ist hier nicht
gewhrleistet.

Die sicherheitsrelevanten Einrichtungen zur primrseitigen langfristigen Wrmeabfuhr sind zweistrngig (n+1) ausgefhrt. Nach WENRA Ref.-Level E10.7,
/3/ und /7/ ist eine (n+2) Ausfhrung gefordert.

Alle primrseitigen Einspeisepumpen eines Reaktorblocks des AKW Cattenom

greifen auf einen einzigen Vorratsbehlter (Flutbehlter) zu. Nach WENRA
Ref.-Level E10.7, /3/ und /7/ ist jedoch fr sicherheitstechnisch wichtige Einrichtungen eine vollstndige Unabhngigkeit gefordert, dies ist hier nicht gewhrleistet.

57

5
Zusammenfassende Bewertung sicherheitsrelevanter
Schwachstellen
Das Konzept der gestaffelten Sicherheitsebenen ist das grundlegende Sicherheitskonzept fr die Auslegung von AKW. Dies bedeutet, dass Manahmen und Einrichtungen
vorgesehen sind, die auf einer ersten Sicherheitsebene das Eintreten von Strungen
und Strfllen vermeiden, auf einer zweiten Sicherheitsebene eintretende Strungen
beherrschen und das Eintreten von Strfllen vermeiden, auf einer dritten Sicherheitsebene Strflle beherrschen. Strflle knnen durch interne Ursachen wie alterungsbedingte Materialfehler, Fehlverhalten des Personals, auslegungsbedingte Ursachen
usw., aber auch durch bergreifende interne oder externe Einwirkungen wie berflutung, Erdbeben usw. ausgelst werden.
Auf einer vierten Sicherheitsebene sollen die Auswirkungen nicht beherrschter Strflle
der dritten Sicherheitsebene begrenzt werden. Im Einzelnen sollen schwere Kernschden durch prventive Manahmen des anlageninternen Notfallschutzes vermieden sowie bei Unfllen mit schweren Kernschden die Freisetzungen radioaktiver Stoffe
durch mitigative Manahmen des anlageninternen Notfallschutzes in die Umgebung so
weit wie mglich begrenzt werden.
Die Manahmen und Einrichtungen einer Sicherheitsebene sollen dabei soweit wie
mglich unabhngig von den Manahmen und Einrichtungen anderer Sicherheitsebenen sein. Manahmen und Einrichtungen der vierten Sicherheitsebene drfen nicht zur
Kompensation von Defiziten auf den vorgelagerten Sicherheitsebenen herangezogen
werden.
Die Wirksamkeit und Zuverlssigkeit der Manahmen und Einrichtungen auf den verschiedenen Sicherheitsebenen soll auch im Falle bergreifender anlageninterner interner oder anlagenexterner Einwirkungen gewhrleistet bleiben.
Insbesondere fr die Manahmen und Einrichtungen der dritten Sicherheitsebene existieren umfangreiche Auslegungsgrundstze, die eine hohe Wirksamkeit und Zuverlssigkeit dieser Systeme gewhrleisten sollen. Diese umfassen u. a. Anforderungen an
Redundanz und Diversitt sowie der Entmaschung und rumlichen Trennung redundanter Teilsysteme.

58

Das AKW Cattenom ist auf der Grundlage der Mitte der 1970-er Jahre geltenden sicherheitstechnischen Grundstze ausgelegt worden. Hierzu ist insbesondere das damals grundlegende Defence-in-Depth Konzept mit drei Sicherheitsebenen zu zhlen.
Insbesondere im Ergebnis von Unfllen in AKW (TMI, Tschernobyl, Fukushima) haben
sich Erfordernisse bezglich deutlich erhhter Sicherheitsanforderungen an AKW ergeben. Diese betreffen neben der allgemeinen Strkung der ersten drei Sicherheitsebenen des Defence-in-Depth Konzepts in allererster Linie den Schutz sicherheitsrelevanter Einrichtungen gegen bergreifende, auch auslegungsberschreitende anlagenexterne Einwirkungen, die Einfhrung von Manahmen und Einrichtungen zur Beherrschung nicht auslegungsgem beherrschbarer Strflle sowie von Manahmen und
Einrichtungen zur Begrenzung der Folgen von Kernschmelzunfllen. Seitens der franzsischen Behrde wird den 1300 MWe Reaktoren im Ergebnis der 10-Jahres berprfungen zwar ein ausreichendes Sicherheitsniveau fr den Zeitraum eines weiteren
10-jhrigen Betriebs bescheinigt, es werden aber gleichzeitig umfangreich notwendige
berprfungen und Nachrstungen angegeben /40/, die alle Bereiche des oben beschriebenen Sicherheitskonzepts betreffen.
Unter Magabe dieser Sicherheitsanforderungen, die auch in den WENRA Safety Reference Levels for Existing Reactors /1/ ihren Niederschlag gefunden haben, ergeben
sich fr das AKW Cattenom die folgenden Feststellungen:

Anforderungen nach Stand von Wissenschaft und Technik an das Sicherheitskonzept von AKW, wie z.B. durch die WENRA Ref.-Level angegeben oder durch die
als Referenz fr den EPR geltenden "Technical Guidelines for the design and
construction of the next generation of nuclear pressurized water plant units" /7/,
werden fr eine Reihe sicherheitstechnisch wesentlicher Sachverhalte nicht erfllt.
Dies betrifft z.B. die erforderliche Zahl und Unabhngigkeit von Redundanzen bei
den Sicherheitseinrichtungen und die umfassende Bercksichtigung anlagenexterner Einwirkungen einschlielich Analyse der Konsequenzen auslegungsberschreitender anlagenexterner Einwirkungen. Das Durchschmelzen des Containments im Falle eines Kernschmelzunfalls kann, wie von WENRA Ref.-Level F4.13
gefordert, nicht verhindert werden. Auch kann der Nachweis, dass im Falle eines
Kernschmelzunfalles eine sichere Druckentlastung des Primrkreis erfolgt (sh.
auch WENRA Ref.-Level F4.14), nicht schlssig gefhrt werden. Die Erfllung dieser Anforderungen ist jedoch unumgnglich hinsichtlich des in Kapitel 2 und in
Verbindung mit Funote 1) angegebenen Ziels, unzulssige radiologische Auswirkungen praktisch auszuschlieen.
59

Abweichungen des AKW Cattenom zu Manahmen zur Strkung des Defence-inDepth

der Redundanzgrad einer Reihe sicherheitsrelevanter Einrichtungen im AKW

Cattenom ist zwar einzelfehlerfest (n+1) ausgefhrt, lsst jedoch in der Regel
keine gleichzeitige Instandhaltung zu, wie dies aber nach dem geltenden Stand
von Wissenschaft und Technik, manifestiert durch WENRA Ref.-Level E10.7
und /7/, gefordert wird. Hierzu wre gem WENRA und /7/ eine (n+2) Ausfhrung erforderlich.

sicherheitsrelevante Einrichtungen sind hufig vermascht. Sowohl fr die DENotbespeisung als auch fr die primrseitige Einspeisung steht nur jeweils ein
Vorratsbehlter bzw. ein Flutbehlter pro Reaktorblock zur Verfgung. Nach
WENRA Ref.-Level E10.7 und /7/ ist jedoch eine vollstndige Unabhngigkeit
einzelner Strnge sicherheitstechnisch wichtiger Einrichtungen gefordert.

Wichtige sicherheitsrelevante Einrichtungen sind nicht fr seismische Einwirkungen qualifiziert. Im Lastfall Erdbeben mu ein Ausfall dieser Einrichtungen
unterstellt werden. Es wird Kredit von Khlwasserreserven genommen, die
nicht seismisch qualifiziert sind.
Bei Einhaltung der Anforderungen der WENRA Ref.-Level E8.3 und T5.4 an
sicherheitsrelevante Einrichtungen wre dagegen ein Ausfall, wie oben beschrieben, nicht zu unterstellen.

Die elektrische Energieversorgung notwendiger Funktionen erfolgt bei bestimmten Ereignisablufen kurzzeitig durch Batterien mit einer Zeitdauer von
nur einer Stunde. Nach /3/ werden lngere Entladezeiten der Batterien gefordert, auch nach WENRA Ref.-Level F4.18 ergeben sich lngere Entladezeiten.
Nach /33/ soll hier mittlerweile Nachrstung erfolgt sein, belastbare Aussagen
liegen jedoch nicht vor.

Fr die Nachkhlkette (Zwischenkhlwassersystem und Nebenkhlwassersystem) steht bisher keine diversitre Wrmesenke zur Verfgung. Nach den Anforderungen in WENRA Ref.-Level F4.7 sollen in einem angemessenen Umfange diversitre Einrichtungen zur Nachwrmabfuhr zur Verfgung stehen. In
/3/ ist eine diversitre Wrmesenke explizit gefordert.

Das AKW Cattenom verfgt ber einen bedingten Grundschutz gem WENRA
Ref.-Level E5.2 gegen anlagenexterne bergreifende Einwirkungen. Die heute

60

nach Stand von Wissenschaft und Technik geforderten Anforderungen an den

Schutz gegen anlagenexterne bergreifende Einwirkungen werden jedoch nicht
durchgngig durch die Anlagenauslegung abgedeckt.

Auf der Grundlage vorliegender Informationen ist davon auszugehen, dass mit
den Auslegungsannahmen bezglich Schutzes des AKW Cattenom gegen
Erdbeben und berflutung die Anforderungen aus dem WENRA Ref.-Level
T4.2 (berschreitungswahrscheinlichkeit 10-4 pro Jahr unter Einbeziehung aller
Unsicherheiten) nicht abschlieend und umfassend bewertet sind.

Es fehlen Aussagen zu Ereignissen, resultierend aus auslegungsberschreitenden anlagenexternen Einwirkungen, wie z.B. durch WENRA Ref.-Level T6.1
gefordert.

Im Vergleich zu Anlagen in Deutschland beruhen die Anforderungen an den

Schutz des AKW Cattenom gegen Einwirkungen aus einem Flugzeugabsturz
auf probabilistischen Grundlagen. Inwiefern die Annahmen hinsichtlich des Risikos eines Flugzeugabsturzes heute noch gltig sind bleibt offen. Die heute
geltenden, deterministisch ausgerichteten Anforderungen nach /7/ werden
nicht erfllt.

Mit dem Hardened Safety Core sollen erforderliche Funktionen des anlageninternen Notfallschutzes der Sicherheitsebene 4 (z.B. Funktionen zur primrseitigen
und sekundrseitigen Khlmitteleinspeisung) und eines Notstandssystems (z.B.
Verbunkerung sicherheitsrelevanter Einrichtungen) in das Sicherheitskonzept der
bestehenden Anlagen in Frankreich eingefgt werden:

Inwiefern das vorgesehene Hardened Safety Core aktuellen Anforderungen

bezglich Flugzeugabsturzes entspricht ist nicht belegt.

Aussagen zur Kompatibilitt des Hardened Safety Core mit der bestehenden
Anlagenauslegung sind nicht verfgbar.

Fr die Realisierung des Hardened Safety Core in den franzsischen AKW ist
ein lngerer Zeitraum bis 2020 und darber hinaus vorgesehen. Die Funktionen des Hardened Safety Core stehen vollstndig erst nach diesem Zeitraum
zur Verfgung.

Schlufolgerungen:

61

Sicherheitsrelevante Einrichtungen, die zur Beherrschung von Auslegungsstrfllen des AKW einschlielich des Brennelement-Lagerbeckens erforderlich sind, sollen nach Stand von Wissenschaft und Technik, beschrieben in /1/ und /7/, einzelfehlerfest, unvermascht, diversitr und soweit mglich unter Gesichtspunkten
von Instandhaltung whrend des Betriebes ausgefhrt sein. In der Anlage Cattenom bestehen u.a. bei den sicherheitstechnischen Einrichtungen zur Wrmeabfuhr
primr- und sekundrseitig sowie der Notstromversorgung diesbezglich Defizite in
unterschiedlichen Grade. Diese Defizite sind grtenteils der Sicherheitsebene 3
zuzuordnen. Eine ausreichend zuverlssige Strfallsicherheit ist somit nach
deutscher Rechtsauffassung - nicht gegeben.

Einer erforderlichen Nachrstung zur Beseitigung der angesprochenen Defizite

sind die am Standort mageblichen anlagenexternen Einwirkungen, einschlielich
Flugzeugabsturz, zu Grunde zu legen. Nach Stand von Wissenschaft und Technik
gelten hinsichtlich des Flugzeugabsturzes die Anforderungen in /7/, die hher sind
als bisher der Auslegung zu Grunde gelegt.

Die Beherrschbarkeit von Kernschmelzunfllen hinsichtlich der Erfllung der in Kapitel 2.2 in Verbindung mit Funote 7 angegebenen Zielsetzungen ist nicht nachgewiesen.

Das sich in Vorbereitung befindliche Hardened Safety Core soll erforderliche

Funktionen des anlageninternen Notfallschutzes der Sicherheitsebene 4 und eines
Notstandssystems wahrnehmen. Dabei ist sicherzustellen, dass die Funktionen
des Hardened Safety Core im Sinne der Unabhngigkeit der Sicherheitsebenen
nicht zur Kompensation bei Defiziten im Bereich der Beherrschung von Ereignissen
der Sicherheitsebene 3 herangezogen werden.

Fr den Fall, dass durch das Hardened Safety Core Defizite im Bereich der Beherrschung von Ereignissen der Sicherheitsebene 3 kompensiert werden sollten,
gelten hierfr die Anforderungen an die entsprechenden Manahmen und Einrichtungen der Sicherheitsebene 3, wie z.B. in /7/ beschrieben. Anzumerken ist, dass
die Funktionen des Hardened Safety Core in Gnze erst im Zeitraum bis 2020
und darber hinaus zur Verfgung stehen sollen. Aber auch weitere notwendige,
die Sicherheitsebene 4 betreffende Nachrstungen werden erst in den nchsten
Jahren realisiert /33/.

Das AKW Cattenom ist zu einer Anlagengeneration von AKW mit einem veralteten
Sicherheitsdesign zu zhlen. Konzeptionelle Sicherheitsnachteile uern sich u.a.
62

in der Auslegung sicherheitstechnisch wichtiger Einrichtungen hinsichtlich Art und

Umfang, der Beherrschbarkeit auslegungsberschreitender Anlagenzustnde sowie der Widerstandsfhigkeit der Anlage gegenber auslegungsberschreitender
naturbedingter sowie zivilisationsbedingter Einwirkungen. Mit dem vorgesehenen
Hardened Safety Core wird sicherlich ein Betrag zur Beherrschung von auslegungsberschreitenden Anlagenzustnden sowie zur Begrenzung von Auswirkungen aus diesen Anlagenzustnden geleistet werden knnen. Eine Beseitigung der
konzeptionellen Sicherheitsnachteile im Ganzen, insbesondere im Bereich der
Prvention, ist damit jedoch nicht erreichbar. Hier gilt die in /34/ abgeleitete
Schlufolgerung, dass derartige Sicherheitsnachteile nur begrenzt durch Nachrstungen ausgeglichen werden knnen

6
/1/

Literaturverzeichnis
Report WENRA Safety Reference Levels for Existing Reactors - UPDATE
IN RELATION TO LESSONS LEARNED FROM TEPCO FUKUSHIMA DAIICHI ACCIDENT, WENRA, 24th September 2014

/2/

Specific Safety Requirements No. SSR-2/1, Safety of Nuclear Power

Plants: Design, IAEA, Vienna 2012

/3/

Sicherheitsanforderungen an Kernkraftwerke vom 3. Mrz 2015 (BAnz AT

30.03.2015 B2)

/4/

Safety of new NPP designs, Study by WENRA Reactor Harmonization

Working Group, October 2012, RHWG (Reactor Harmonization Working
Group)

/5/

External Events Excluding Earthquakes in the Design of Nuclear Power

Plants SAFETY GUIDE No. NS-G-1.5, IAEA Vienna 2003

/6/

IAEA, Safety Evaluation for Nuclear Installations, Safety Requirements N

NS-R-3, 2003

63

/7/

"Technical Guidelines for the design and construction of the next generation
of nuclear pressurized water plant units" adopted during plenary meetings
of the GPR and German experts on the 19 and 26 October 2000

/8/

Risikovorsorge auerhalb des Strfallspektrums, GRS-189, 2002

/9/

Grubler, A. (2012). The French Pressurized Water Reactor Program. Historical Case Studies of Energy Technology Innovation in: Chapter 24, The
Global Energy Assessment. Grubler A., Aguayo, F., Gallagher, K.S., Hekkert, M., Jiang, K., Mytelka, L., Neij, L., Nemet, G. & C. Wilson. Cambridge
University Press: Cambridge, UK.

/10/

Sixth French report under the CNS July 2013

/11/

The westinghouse pressurized water reactor nuclear power plant, Copyright

1984 Westinghouse Electric Corporation Water Reactor Divisions

/12/

Smidt, D.: Reaktorsicherheitstechnik, Springer-Verlag, 1979

/13/

Niehaus, Anwendung 7d des Atomgesetzes, Stuttgart 09.10.2012

/14/

Pascal QUENTIN, Jean COUTURIER: IRSN point of view on plant long

term operation assessment, IRSN, EUROSAFE Forum 2010

/15/

ASN REPORT on the state of nuclear safety and radiation protection in

France in 2014

/16/

Code of federal regulations, Atomic Energy, Revised as of January 1, 1972,

Published by the Office of the Federal Register National Archives and Records Service General Services Administration as a Special Edition of the
Federal Register

/17/

REPORT of the OPERATIONAL SAFETY REVIEW TEAM (OSART)

MISSION to CATTENOM NUCLEAR POWER PLANT FRANCE 14 November 01 December 2011, DIVISION OF NUCLEAR INSTALLATION,
IAEA-NSNI/OSART/11/166

64

/18/

LARGE & ASSOCIATES: VULNERABILITY OF FRENCH NUCLEAR

POWER PLANTS TO AIRCRAFT CRASH, REPORT REF NO R3205-A1
(GREENPEACE FRANCE), 27.02.2012

/19/

Protection des installations nuclaires contre les chutes d'avions, ANS,

09/02/2015

/20/

Class I Guidances, Guideline on the categorization and assessment of accidental aircraft crashes in the design of new class I nuclear installations,
FANC, February 2015

/21/

Methodology for coping with accidents of external and internal origin in

PWR power stations, EUR 10782 EN, August 1984

/22/

Autorit de Sret Nuclaire: Complementary Safety Assessment of the

French Nuclear Power Plants, Report by the French Nuclear Safety Authority, December 2011

/23/

E. RAIMOND, J.M. BONNET, G. CENERINO, F. PICHEREAU. F.

DUBREUIL, J.P. VAN-DORSSELAERE, Continued efforts to improve the
robustness of the French Gen II PWRs with respect to the risks of severe
accidents. EUROSAFE 2011- 11- 08

/24/

Electricite de France: Rapport d'valuation complmentaire de la sret des

installations nuclaires au regard de l'accident de Fukushima. 15 September 2011

/25/

Abschlussbericht zum Stresstest fr das Kernkraftwerk Cattenom, Februar

2012,
https://mwkel.rlp.de/fileadmin/mwkel/Abteilung_6/Abschlussbericht_Stresst
est_Cattenom_Endfassung.pdf.pdf

/26/

NUCLEAR POWER REACTORS IN THE WORLD, 2015 Edition,

INTERNATIONAL ATOMIC ENERGY AGENCY, VIENNA, 2015

65

/27/

Design, Safety Technology and Operability Features of EPR, Interregional

Workshop on Advanced Nuclear Reactor Technology for Near Term Development, July 4th, 2011 (Wien)

/28/

International nuclear energy guide. In: Editions TECHNIP, 1987

/29/

Das Kernkraftwerk Cattenom im berblick, EdF 2010

/30/

La centrale nuclaire de Cattenom, Une production dlectricit au coeur de

la rgion Lorraine, EdF, Fvrier 2014

/31/

ASN requires EDF to comply with additional requirements for implementation of the "hardened safety core", ASN, Note d'information, 23/01/2014

/32/

Convention on Nuclear Safety, Questions Posted To France in 2014

/33/

UPDATED NATIONAL ACTION PLAN OF THE FRENCH

NUCLEAR SAFETY AUTHORITY, December 2014

/34/

Annual report: Nuclear Safety and Radiation Protection in France in 2011

(Fukushima: one year later), ASN, 2012ul report 2011: Nuclear Safety and
Radiation Protection in France in 2011

/35/

Bekanntmachung der Interpretationen zu den Sicherheitsanforderungen an

Kernkraftwerke vom 22. November 2012 vom 29. November 2013 (BAnz
AT 10.12.2013 B4), gendert am 3. Mrz 2015 (BAnz AT 30.03.2015 B3)

/36/ /

Stevenson; J.D.: Summary and Comparison of current U.S. Regulatory

Standards and foreign Standards, Nuclear Engineering and Design (1984)
145-160

/37/

French approach to European Stress Test International perspective on lessons learnt from Fukushima Jean-Christophe Niel ASN Director General
(EDO) July 31, 2014

/38/

LAGEN, Chapter 2 Design and Operation of a Pressurised Water Reactor,

IRSN

66

/39/

Critical Review of the Updated National Action Plans (NAcP) of the EU

Stress Tests on Nuclear Power Plants, Study commissioned by Greenpeace Germany, Oda Becker, Patricia Lorenz Vienna, Hannover, June
2015

/40/

Fabien FERON, NPP Periodic Safety Reviews (PSR) in France, French

Nuclear Safety Authority (ASN), ENSREG workshop, April 2015

/41/

France, Peer review country report, Stress tests performed on European

nuclear power plants, ENSREG, Stress Test Peer Review Board

/42/

ASN, Post Fukushima assessment and follow up, French, ENSREG National Action Plan (NAcPs) Workshop held on 22-26, April 2013 in
Brussels

/43/

RSK-Stellungnahme 11. 14.05.2011 (437. RSK-Sitzung) Anlagenspezifische Sicherheitsberprfung (RSK-S) deutscher Kernkraftwerke unter
Bercksichtigung der Ereignisse in Fukushima-I (Japan)TS

BY THE FRENCH NUCLEAR

SAFETY AUTHORITYEPORT
BY THE FRENCH NUCLEAR
SAFETY AUTHORITYMPLEMENTARY
SAFETY ASSESSMENTS
OF THE FRENCH NUCLEAR INSTALLATIONS

REPORT
BY THE FRENCH NUCLEAR
67

SAFETY AUTHORITY
Anhang 1: Structures and Components of the Hardened Safety Core" /22,
39, 42/
The hardened safety core relies on the implantation of additional SSCs or existing
SSCs which are designed or checked against beyond design conditions (external hazards and a plant situation after this external hazard, with consideration of induced effects).
The global function of the hardened safety core is to guarantee ultimately basic safety
function with reinforced means (criticality control, residual power evacuation, radiological confinement).
This hardened safety core relies on additional means. For reactors, this additional
means comprises mainly:

Bunkered diesel generator

New ultimate heat sink

New steam generator water feeding system

Reinforced I&C for the steam generator and steam released valves

Additional primary water feeding circuit

Containment sump heat exchanger and related out-containment cooling system

Related I&C

Reinforced primary pump seal protection system

Containment isolation system

These SSC need the operation of existing systems such as hydrogen recombiners that
are in place on French plants for years.

68

For spent fuel pools, mainly:

Bunkered diesel generator (same as reactors)

New ultimate heat sink (same as reactors)

Related I&C

Reinforced Water feeding circuits

In addition, as part of the hardened safety core, an additional on site emergency response centre will be implemented to cope with multi units accidental situations.
The implementation of the hardened safety core requires that existing SSC that have
safety functions under specific conditions are checked regarding these conditions (reactor containment, PARs), spent fuel pool structural integrity (under extreme hazard
and induced effects such as heavy load drop).
This hardened safety core that relies on fixed means is also designed to be compatible
and to house plugging systems to be supported if necessary by mobile means provided
by some national repository.
On January 2014 ASN issued new resolutions to EDF related to the design and the implementation of the hardened safety core. Once translated in English, these decisions
will be available on ASN web site: http://www.asn.fr.
The implementation of the most significant measures related to the hardened safety
core (typically Bunkered diesel generator, New ultimate heat sink, additional on site
emergency response centre) is forecasted by 2020 for the latest sites.

69

Bild 13: berblick ber das hardened safety core /33/

Bild 14: berblick ber die Einbindung in eine AKW Anlage /33, 42/

70