Das grundlegende Sicherheitsziel ist der Schutz von Mensch und Umwelt vor den schädlichen Auswirkungen ionisierender Strahlung. Dieses Ziel gilt für alle Aktivitäten von der Planung über Errichtung und Betrieb bis zum Rückbau eines Kernkraftwerks.

Die Verantwortung für die Gewährleistung der Sicherheit trägt der Genehmigungsinhaber. Er muss der Einhaltung des Sicherheitsziels Vorrang vor der Einhaltung anderer betrieblicher Ziele geben.

Die Grundlage für einen sicheren Betrieb von Kernkraftwerken ist das sicherheitsgerichtete Zusammenwirken personeller, technischer und organisatorischer Faktoren (Mensch-Technik-Organisation). Die Vernetzung dieser Faktoren mit dem Ziel eines sicherheitsgerichteten Handelns ist auch Grundlage für eine hohe Sicherheitskultur. Es ist Aufgabe des Genehmigungsinhabers, eine hohe Sicherheitskultur aufrechtzuerhalten und diese kontinuierlich zu verbessern.

1 (1)

Verantwortung der Unternehmensleitung

Die Unternehmensleitung hat die Verantwortung den sicheren Betrieb ihrer Anlage zu gewährleisten.

Im Rahmen dieser Verantwortung hat sie insbesondere die folgenden Anforderungen zu erfüllen:

1.

Entwicklung, Einführung und kontinuierliche Verbesserung eines integrierten, prozessorientierten Managementsystems (IMS).

2.

Festlegung und Umsetzung der Unternehmenspolitik und -ziele, in denen sich das Unternehmen zu hoher Sicherheit und zur Stärkung der Sicherheitskultur verpflichtet. Dabei hat die Unternehmensleitung Vorbildfunktion.

3.

Sicherstellung, dass die Unternehmenspolitik und die Unternehmensziele im Unternehmen kommuniziert und von der Anlagenleitung umgesetzt werden.

4.

Erstellung von Grundsätzen zur Aufbau- und Ablauforganisation.

5.

Bereitstellung der erforderlichen Ressourcen (organisatorisch, administrativ, technisch) für das Unternehmen und die Anlage. Dafür sind dauerhaft angemessene finanzielle und personelle Mittel zur Erfüllung der Pflichten in Bezug auf die Sicherheit vorzusehen und bereitzuhalten. Die Personalentwicklung zum Erhalt der Kernkompetenz und zur Erweiterung der Kompetenzen ist sicherzustellen und periodisch zu überprüfen.

6.

Benennung des Leiters der Anlage, der die Verantwortung für den sicheren Betrieb der Anlage trägt, und der behördlich geforderten Beauftragten.

Diese Verantwortung ist nicht delegierbar. Die Unternehmensleitung hat sicherheitsgerichtetes Handeln vorzuleben und aktiv zu unterstützen.

Die Unternehmensleitung hat sicherzustellen, dass der interne und externe Erfahrungsrückfluss, Änderungen des Standes von Wissenschaft und Technik und der international bewährten Sicherheitspraxis einschließlich der hierzu behördlich veranlassten Informationen auf systematische Weise in einem Prozess des Managementsystems erfasst, ausgewertet und dokumentiert werden.

1 (2)

Verantwortung der Anlagenleitung

Im Rahmen der Verantwortung der Anlagenleitung hat sie insbesondere die folgenden Anforderungen zu erfüllen:

1.

Erstellung und Umsetzung der Anlagenpolitik und -ziele in Übereinstimmung mit der Unternehmenspolitik und den Unternehmenszielen.

2.

Gewährleistung eines sicheren Betriebs der Anlage.

3.

Einhaltung der gesetzlichen, behördlichen und sicherheitstechnischen Anforderungen.

4.

Entwicklung und Einführung des IMS in der Anlage. Dabei ist das gesamte Personal einzubeziehen.

5.

Umsetzung und kontinuierliche Verbesserung des IMS einschließlich seines Einflusses auf die Sicherheit.

6.

Festlegung und Umsetzung der Aufbau- und Ablauforganisation in der Anlage.

7.

Gewährleistung der notwendigen Personalkompetenzen und Schulung. Dabei hat die Anlagenleitung darauf zu achten, dass neben den fachlichen Aspekten auch Methoden-Kompetenz geschult wird, und die Einstellungen hinsichtlich sicherheitsgerichteten Handelns gefördert werden.

8.

Sicherstellung der Durchführung von sicherheitsrelevanten Tätigkeiten durch Personal, das nachweislich über die erforderliche Qualifikation verfügt.

9.

Erfassung, Auswertung, Kommunikation und Nutzung interner und externer Erfahrungen. Dabei hat die Anlagenleitung darauf zu achten, dass beim kraftwerksinternen Erfahrungsrückfluss den Informationen über Beinahe-Ereignisse besondere Bedeutung einzuräumen ist.

Die Anlagenleitung hat sicherheitsgerichtetes Handeln vorzuleben und aktiv zu unterstützen.

1 (3)

Integriertes Managementsystem (IMS)

Die vorrangigen Zielsetzungen des IMS sind

a)

die Gewährleistung der Sicherheit,

b)

die stetige Verbesserung der Sicherheit sowie

c)

die Förderung der Sicherheitskultur.

Ein IMS muss sämtliche Ziele und Anforderungen, wie zum Beispiel zur Sicherheit, Qualität, Alterung, Arbeitssicherheit, Umwelt und Wirtschaftlichkeit berücksichtigen. Alle Ziele und Anforderungen sind in nachvollziehbarer und transparenter Weise unter Beachtung der Priorität der Sicherheit abzugleichen, zu gewichten und eindeutig festzulegen. Dabei ist das Zusammenwirken personeller, technischer und organisatorischer Faktoren (Mensch-Technik-Organisation) zu berücksichtigen.

In einem IMS sind die Anforderungen zu integrieren, die an ein Kernkraftwerk gestellt werden und die sich aus Gesetzen, Verordnungen, Regeln und Richtlinien z. B. zur Sicherheit, zum Umweltschutz, zum Arbeitsschutz, zur Qualität oder zu Finanzen ergeben.

Die Abgrenzungen und die Schnittstellen sowie das Zusammenwirken und die Wechselwirkungen im IMS sind so festzulegen und zu regeln, dass das grundlegende Sicherheitsziel nicht durch andere Unternehmensziele beeinträchtigt wird.

Alle für den Betrieb der Anlage relevanten Tätigkeiten im Unternehmen und in der Anlage sind zu identifizieren und systematisch in Prozessen zu organisieren. Dies gilt auch für die Tätigkeiten externen Personals. Personalkapazität, -kompetenz und -qualifikation sind dabei zu berücksichtigen. In entsprechender Weise ist das Verhältnis zu externen Organisationen zu regeln.

Mindestens für folgende Prozesse sind Regelungen zu treffen:

–

Betrieb der Anlage,

–

Planung, Durchführung und Auswertung der Instandhaltung,

–

Änderung der Anlage und des Betriebs,

–

Inbetriebsetzung nach Änderungen,

–

Organisationsänderung,

–

Anlagenüberwachung (physikalische Überwachung, chemische und radiochemische Überwachung, radiologische Überwachung),

–

Festlegung und Umsetzung von Schutzanforderungen (Brandschutz, Anlagensicherung, IT-Sicherheit),

–

Planung und Implementierung des Notfallschutzes,

–

Qualifikation und Schulung des Personals,

–

Planung und Durchführung der Materialwirtschaft,

–

Handhabung von Brennelementen und anderen Kernbauteilen,

–

Umgang mit radioaktiven Abfällen,

–

Durchführung des Erfahrungsrückflusses,

–

Planung und Durchführung der internen und externen Kommunikation,

–

Abwicklung und Durchführung von Projekten,

–

Durchführung von Sicherheitsanalysen und -überprüfungen,

–

Durchführung der Dokumentation.

Die Schnittstellen zwischen Mensch, Technik und Organisation sind bei der Entwicklung des IMS zu berücksichtigen.

Im Sinne der stetigen Verbesserung ist der PDCA-Zyklus (Plan-Do-Check-Act-Zyklus) bei allen relevanten betrieblichen Tätigkeiten, Teilprozessen, Prozessen und auf das Managementsystem als Ganzes anzuwenden. Die Wirksamkeit des Managementsystems ist durch direkte Prozessbewertungen und durch prozessunabhängige Bewertungen sicherzustellen.

Werden Prozesse durch Informationsverarbeitungssysteme (Betriebsführungssysteme), wie beispielsweise bei der Störungs- und Mängelbeseitigung, Instandhaltung oder Systemfreischaltung unterstützt, sind diese qualitätsgesichert einzuführen. Gemäß ihrer jeweiligen sicherheitstechnischen Bedeutung sind sie regelmäßig und systematisch zu überprüfen und gegebenenfalls anzupassen.

Das Managementsystem ist systematisch zu dokumentieren. Dabei muss die Dokumentation hinsichtlich der in ihr enthaltenen Informationen vollständig, eindeutig und in sich widerspruchsfrei sein.

Es sind geeignete Vorkehrungen zu treffen, um die kompetente ingenieurtechnische und technische Unterstützung, die durch externe Auftragnehmer bereitgestellt wird, in allen sicherheitsrelevanten Bereichen für die gesamte Betriebsdauer der Anlage zu erhalten.

Das Managementsystem muss geeignet sein, frühzeitig Hinweise auf eine mögliche Beeinträchtigung der Sicherheit zu geben.

2 (1)

Zur Einhaltung der radiologischen Sicherheitsziele (siehe Nummer 2.5) sind die im Kernkraftwerk vorhandenen radioaktiven Stoffe durch technische Barrieren bzw. Rückhaltefunktionen (siehe Nummer 2.2) mehrfach einzuschließen und deren Strahlung ausreichend abzuschirmen. Die Wirksamkeit der Barrieren und Rückhaltefunktionen ist durch die Erfüllung von Schutzzielen (siehe Nummer 2.3) abzusichern. Es ist ein gestaffeltes Sicherheitskonzept zu realisieren, das die Erfüllung der Schutzziele und die Erhaltung der Barrieren und Rückhaltefunktionen auf mehreren gestaffelten Sicherheitsebenen sowie bei Einwirkungen von innen und außen gewährleistet (siehe Nummer 2.1 und 2.4).

2.1

Konzept der gestaffelten Sicherheitsebenen

2.1 (1)

Der Einschluss der im Kernkraftwerk befindlichen radioaktiven Stoffe sowie die Abschirmung der von diesen Stoffen ausgehenden Strahlung ist sicherzustellen.

Zur Erreichung dieses Ziels ist ein Sicherheitskonzept umzusetzen, bei dem Maßnahmen und Einrichtungen gestaffelten Sicherheitsebenen zugeordnet sind. Die Sicherheitsebenen 1 bis 4a sind durch die folgenden Anlagenzustände charakterisiert:

– Sicherheitsebene 1:

Normalbetrieb
(Bestimmungsgemäßer Betrieb, ungestört)

– Sicherheitsebene 2:

anomaler Betrieb
(Bestimmungsgemäßer Betrieb, Störung)

– Sicherheitsebene 3:

Störfälle

– Sicherheitsebene 4a:

sehr seltene Ereignisse

Mit den auf diesen Sicherheitsebenen zu installierenden Maßnahmen und Einrichtungen zur Qualitätsgewährleistung, Vermeidung von Ereignissen, Beherrschung von Ereignissen sowie der Auslegung gegen Einwirkungen von innen und außen (siehe Nummer 2.4) muss ein umfassender und zuverlässiger Schutz vor den im Kernkraftwerk befindlichen radioaktiven Stoffen erreicht werden.

Darüber hinaus sind in angemessenem Umfang für Anlagenzustände, die wegen ihrer geringen Eintrittshäufigkeit den o. g. Sicherheitsebenen nicht zugeordnet werden, vorsorglich weitere Maßnahmen und Einrichtungen zur Feststellung und Begrenzung der Folgen solcher Zustände vorzusehen. Deshalb sind im gestaffelten Sicherheitskonzept ergänzend auf den Sicherheitsebenen 4b und 4c Maßnahmen und Einrichtungen des anlageninternen Notfallschutzes vorzuhalten und zu planen. Diese Sicherheitsebenen sind durch die folgenden Anlagenzustände charakterisiert:

– Sicherheitsebene 4b:

Ereignisse mit Mehrfachversagen von Sicherheitseinrichtungen

– Sicherheitsebene 4c:

Unfälle mit schweren Brennelementschäden.

2.1 (2)

Für Unfälle mit schweren Brennelementschäden sind Maßnahmen zur Unterstützung des anlagenexternen Notfallschutzes zu planen, um die Folgen von Unfällen mit potenziellen oder tatsächlich eingetretenen Freisetzungen radioaktiver Stoffe in die Umgebung festzustellen und ihre Auswirkungen auf Mensch und Umwelt soweit wie möglich zu vermindern.

2.1 (3a)

Das Sicherheitskonzept auf den Sicherheitsebenen 1 bis 4b ist präventiv ausgerichtet. Es sind Maßnahmen und Einrichtungen vorzusehen, die

–

auf der Sicherheitsebene 1 das Eintreten

–

von Störungen vermeiden,

–

auf der Sicherheitsebene 2

–

eintretende Störungen beherrschen,

–

das Eintreten von Störfällen vermeiden,

–

auf der Sicherheitsebene 3

–

Störfälle beherrschen,

–

das Eintreten von Ereignissen mit Mehrfachversagen von Sicherheitseinrichtungen verhindern,

–

auf der Sicherheitsebene 4a

–

sehr seltene Ereignisse beherrschen.

Auf der Sicherheitsebene 4b sind präventive Maßnahmen des anlageninternen Notfallschutzes vorzusehen, sodass bei Ereignissen mit Mehrfachversagen von Sicherheitseinrichtungen keine schweren Brennelementschäden auftreten.

2.1 (3b)

Auf der Sicherheitsebene 4c sind mitigative Maßnahmen des anlageninternen Notfallschutzes vorzusehen, mit denen, unter Einschluss aller verfügbaren Maßnahmen und Einrichtungen, bei Unfällen mit schweren Brennelementschäden die Integrität des Sicherheitsbehälters so lange wie möglich erhalten wird, Freisetzungen radioaktiver Stoffe in die Umgebung unter Beachtung von Nummer 2.5 (1) ausgeschlossen oder begrenzt werden und ein langfristig kontrollierbarer Anlagenzustand erreicht werden kann.

Im Falle der Lagerung bestrahlter Brennelemente im Brennelementlagerbecken außerhalb des Sicherheitsbehälters sind mitigative Maßnahmen des anlageninternen Notfallschutzes vorzusehen, mit denen, unter Einschluss aller verfügbaren Maßnahmen und Einrichtungen, die Integrität der umgebenden baulichen Hülle so lange wie möglich erhalten und Freisetzungen radioaktiver Stoffe in die Umgebung unter Beachtung von Nummer 2.5 (1) ausgeschlossen oder begrenzt werden.

2.1 (4)

Das gestaffelte Sicherheitskonzept ist für alle Anlagenzustände des Leistungs- und Nicht-Leistungsbetriebs unter Berücksichtigung jeweils repräsentativ abdeckender Anlagenzustandsparameter umzusetzen.

2.1 (5)

Das Sicherheitssystem sowie die Notstandseinrichtungen sind so auszulegen, dass sie bei Einwirkungen von innen und von außen wirksam bleiben.

Einwirkungen aus Notstandsfällen dürfen entweder nicht zu Ausfällen von Sicherheitseinrichtungen derart führen, dass die erforderlichen Sicherheitsfunktionen nicht mehr ausreichend wirksam sind, oder es sind dafür gesondert ausgelegte Einrichtungen vorzusehen, sodass Ereignisabläufe der Sicherheitsebene 4b ­verhindert werden.

2.1 (6)

Auf den Sicherheitsebenen 2 und 3 sind Maßnahmen und Einrichtungen derart vorzusehen, dass beim Versagen von Maßnahmen oder Einrichtungen auf den Ebenen 1 oder 2 die Maßnahmen und Einrichtungen auf der nachfolgenden Sicherheitsebene unabhängig von den Maßnahmen und Einrichtungen anderer Sicherheitsebenen den sicherheitstechnisch geforderten Zustand der Anlage herstellen.

Maßnahmen und Einrichtungen, die auf allen oder mehreren dieser Sicherheitsebenen wirksam sein müssen, sind gemäß den Anforderungen auszulegen, die auf der Sicherheitsebene mit den jeweils höchsten Anforderungen gelten.

2.1 (7)

Durch das Konzept der gestaffelten Sicherheitsebenen ist sicherzustellen, dass ein einzelnes technisches Versagen oder menschliches Fehlverhalten auf einer der Sicherheitsebenen 1 bis 3 die Wirksamkeit der Maßnahmen und Einrichtungen der nächsten Ebenen nicht gefährdet.

2.1 (8)

Eine Inanspruchnahme von Maßnahmen und Einrichtungen der Sicherheitsebenen 2 oder 3 beim Nachweis der Erfüllung von Anforderungen vorgelagerter Sicherheitsebenen ist dann zulässig, wenn

–

andere technische Lösungen nicht sinnvoll erreichbar sind und

–

nachteilige Auswirkungen auf die Zuverlässigkeit und Wirksamkeit der in Anspruch genommenen Maßnahmen und Einrichtungen für die Ereignisbeherrschung nicht zu unterstellen sind.

2.1 (9)

Maßnahmen des anlageninternen Notfallschutzes sind gemäß Nummern 4.3 und 4.4 so zu planen, dass sie für ein breites Spektrum von Ereignissen mit Mehrfachversagen von Sicherheitseinrichtungen und Phänomenen bei Unfällen mit schweren Brennelementschäden wirksam sind.

2.1 (10)

Auf der Sicherheitsebene 4 können neben den eigens auf dieser Ebene vorgesehenen Maßnahmen und Einrichtungen auch jeweils geeignete Maßnahmen und Einrichtungen der Sicherheitsebenen 1 bis 3 genutzt werden.

2.1 (11)

Die auf den Sicherheitsebenen 4b und 4c eigens für den anlageninternen Notfallschutz vorgesehenen Maßnahmen und Einrichtungen dürfen in den Nachweisführungen auf den anderen Sicherheitsebenen nicht herangezogen werden.

2.1 (12)

Die Maßnahmen und Einrichtungen aller vier Sicherheitsebenen müssen gemäß den Erfordernissen der jeweiligen Betriebsphasen grundsätzlich verfügbar sein. Unverfügbarkeiten von sicherheitstechnisch wichtigen Einrichtungen sind in Abhängigkeit von den Betriebsphasen und von ihren sicherheitstechnischen Auswirkungen zeitlich zu begrenzen. Die dabei einzuhaltenden Bedingungen sind zu spezifizieren.

2.1 (13)

Die Maßnahmen und Einrichtungen der Sicherheitsebenen 1 bis 4a müssen hohe Anforderungen an die Qualität und Zuverlässigkeit der Planung, Implementierung und Durchführung der Maßnahmen sowie der Auslegung, Fertigung, Errichtung und des Betriebs der Einrichtungen erfüllen. Die Anforderungen an die Qualität und Zuverlässigkeit orientieren sich an der sicherheitstechnischen Bedeutung der Maßnahmen und Einrichtungen.

Für die eigens vorgesehenen Maßnahmen und Einrichtungen der Sicherheitsebenen 4b und 4c gelten abgestufte Anforderungen.

2.2

Konzept des gestaffelten Einschlusses der radioaktiven Inventare (Barrierenkonzept)

2.2 (1)

Der Einschluss der im Kernkraftwerk befindlichen radioaktiven Stoffe ist durch gestaffelte Barrieren sowie durch Rückhaltefunktionen sicherzustellen.

Hinweis:

Im Folgenden werden unter Barrieren das Brennstabhüllrohr, die Druckführende Umschließung des Reaktorkühlmittels und der Sicherheitsbehälter verstanden. Ein auslegungsgemäßes Öffnen von Ventilen der Druckführenden Umschließung des Reaktorkühlmittels bedeutet hier keine Unwirksamkeit dieser Barriere.

Rückhaltefunktionen sind Maßnahmen oder Einrichtungen zur Rückhaltung radioaktiver Stoffe, z. B. durch Filterung, Wasserüberdeckung, gerichtete Strömung durch Unterdruckhaltung, Verzögerungsstrecken, Gebäudeabdichtungen, Auffangwannen, Behälter oder sonstige Umschließungen.

Die Aufrechterhaltung einer ausreichenden Wirksamkeit der Barrieren ist zudem wesentlich für den Erhalt der Kühlung und Kühlbarkeit der Brennelemente.

Die Barrieren sind derart auszulegen, dass sie, soweit technisch möglich, so voneinander unabhängig sind, dass bei Störfällen oder Einwirkungen von innen oder außen eine Barriere nicht als Folge des Ausfalls einer anderen Barriere versagt.

Die Barrieren und Rückhaltefunktionen sind insgesamt so auszulegen und während der gesamten Betriebsdauer in einem solchen Zustand zu halten, dass bei allen Ereignissen oder Anlagenzuständen auf den verschiedenen Sicherheitsebenen im Zusammenwirken mit den Maßnahmen und Einrichtungen der jeweiligen Sicherheitsebenen und den dabei auftretenden mechanischen, thermischen, chemischen und durch Strahlung hervorgerufenen Einwirkungen die jeweiligen sicherheitstechnischen Nachweisziele und Nachweiskriterien (siehe in Anhang 2) sowie die unter der Nummer 2.5 angegebenen radiologischen Sicherheitsziele eingehalten werden.

Die Barrieren und Rückhaltefunktionen müssen auch bei allen Ereignissen, die aus Einwirkungen von innen und außen oder Notstandsfällen resultieren, in ihrer Gesamtheit so zuverlässig wirksam sein, dass die radiologischen Sicherheitsziele nach Nummer 2.5 eingehalten werden.

2.2 (2)

Wenn auf Grund geplanter betrieblicher Vorgänge Barrieren nicht wirksam sind, müssen zur Einhaltung der radiologischen Sicherheitsziele (siehe in der Nummer 2.5 (1)) andere Maßnahmen und Einrichtungen verfügbar sein, die eine den jeweiligen Bedingungen entsprechende wirksame und zuverlässige Rückhaltefunktion sicherstellen.

2.2 (3)

Auf den Sicherheitsebenen 1 und 2 sind neben den Rückhaltefunktionen zur Erfüllung der radiologischen Sicherheitsziele folgende Barrieren wirksam zu halten:

a)

für den Einschluss der radioaktiven Stoffe im Reaktorkern:

1.

die Brennstabhüllrohre, abgesehen von zulässigen, betrieblich bedingten Hüllrohrschäden,

2.

die Druckführende Umschließung des Reaktorkühlmittels, sofern der Reaktorkühlkreislauf nicht plangemäß geöffnet ist und

3.

der Sicherheitsbehälter, sofern dieser nicht plangemäß geöffnet ist. Das plangemäße Öffnen des Sicherheitsbehälters darf nicht vor Erreichen spezifizierter Druck- und Temperaturbedingungen im Reaktorkühlkreislauf erfolgen. Es ist sicherzustellen, dass die Barriere im Anforderungsfall kurzfristig wiederhergestellt werden kann oder wirksame und zuverlässige Rückhaltefunktionen vorhanden sind, sodass eine unzulässige Freisetzung radioaktiver Stoffe verhindert oder rechtzeitig unterbunden wird.

b)

für den Einschluss der radioaktiven Stoffe in bestrahlten Brennelementen, die in der Anlage gehandhabt oder gelagert werden:

1.

während der Betriebsphasen A bis F (Definitionen hierzu siehe in Anhang 2) die Brennstabhüllrohre, abgesehen von zulässigen, betrieblich bedingten Hüllrohrschäden, sowie

2.

der Sicherheitsbehälter, sofern dieser nicht plangemäß geöffnet ist. Werden bestrahlte Brennelemente außerhalb des Sicherheitsbehälters gehandhabt oder gelagert oder ist der Sicherheitsbehälter plan­gemäß geöffnet, so ist das Fehlen dieser Barriere durch Rückhaltefunktionen zu kompensieren.

Der sichere kontrollierte Einschluss der radioaktiven Stoffe an anderen Stellen der Anlage ist in allen Betriebsphasen durch Rückhaltefunktionen sicherzustellen.

2.2 (4)

Auf der Sicherheitsebene 3 sind neben den erforderlichen Rückhaltefunktionen zur Erfüllung der radiologischen Sicherheitsziele folgende Barrieren wirksam zu halten:

a)

für den Einschluss der radioaktiven Stoffe im Reaktorkern:

1.

die Brennstabhüllrohre, außer deren Versagen wird als einleitendes Ereignis postuliert und außer bei Kühlmittelverluststörfällen,

2.

die Druckführende Umschließung des Reaktorkühlmittels, sofern der Reaktorkühlkreislauf nicht plangemäß geöffnet ist oder deren Versagen als einleitendes Ereignis postuliert wird,

3.

der Sicherheitsbehälter, sofern dieser nicht plangemäß geöffnet ist. Ist der Sicherheitsbehälter plangemäß geöffnet, so ist sicherzustellen, dass die Barrierenfunktion des Sicherheitsbehälters bei Ereignissen mit Freisetzungen von radioaktiven Stoffen innerhalb des Sicherheitsbehälters rechtzeitig im erforderlichen Umfang wiederhergestellt werden kann oder wirksame und zuverlässige Rückhaltefunktionen vorhanden sind, sodass eine unzulässige Freisetzung radioaktiver Stoffe verhindert oder rechtzeitig unterbunden wird.

b)

bei der Handhabung und Lagerung von Brennelementen:

1.

die Brennstabhüllrohre (abgesehen von ereignisspezifisch postulierten Hüllrohrschäden) sowie

2.

der Sicherheitsbehälter, sofern dieser nicht plangemäß geöffnet ist. Ist der Sicherheitsbehälter plan­gemäß geöffnet, so ist sicherzustellen, dass die Barrierenfunktion des Sicherheitsbehälters bei Ereignissen mit Freisetzungen von radioaktiven Stoffen innerhalb des Sicherheitsbehälters rechtzeitig im erforderlichen Umfang wiederhergestellt werden kann.

Werden bestrahlte Brennelemente außerhalb des Sicherheitsbehälters gehandhabt oder gelagert, so ist das Fehlen dieser Barriere durch Rückhaltefunktionen zu kompensieren.

Die Erfüllung der radiologischen Sicherheitsziele im Hinblick auf radioaktive Stoffe an anderen Stellen der Anlage ist in allen Betriebsphasen durch Rückhaltefunktionen sicherzustellen.

2.2 (5)

Auf der Sicherheitsebene 4a sind im Hinblick auf den Einschluss der radioaktiven Stoffe und die Kühlbarkeit des Reaktorkerns neben den erforderlichen Rückhaltefunktionen folgende Barrieren wirksam zu halten:

1.

die Brennstabhüllrohre in dem für die Einhaltung der hier geltenden Nachweisziele erforderlichen Umfang,

2.

die Druckführende Umschließung,

3.

der Sicherheitsbehälter.

2.2 (6)

Auf der Sicherheitsebene 4b soll durch die geplanten Maßnahmen des anlageninternen Notfallschutzes zur Erreichung der radiologischen Sicherheitsziele gemäß Nummer 2.5 (1) neben Rückhaltefunktionen für das Aktivitätsinventar des Reaktorkerns mindestens eine der noch vorhandenen Barrieren aufrechterhalten werden.

Für den Einschluss der radioaktiven Stoffe in bestrahlten, gelagerten Brennelementen ist auf der Sicherheitsebene 4b die Integrität mindestens einer Barriere zu gewährleisten. Werden bestrahlte Brennelemente außerhalb des Sicherheitsbehälters gehandhabt oder gelagert, so ist das Fehlen dieser Barriere durch Rückhaltefunktionen zu kompensieren (siehe Nummer 2.2 (4)).

2.2 (7)

Im Hinblick auf die Sicherheitsebene 4c gilt Nummer 2.1 (3b).

2.3

Schutzzielkonzept

2.3 (1)

Mit den gemäß der Nummer 2.1 (3a) vorgesehenen Maßnahmen und Einrichtungen unter Beachtung der weiteren Anforderungen in Nummer 2.1 sind für die auf den jeweiligen Sicherheitsebenen geltenden Anforderungen die folgenden Schutzziele zu erfüllen:

a)

Kontrolle der Reaktivität,

b)

Kühlung der Brennelemente und

c)

Einschluss der radioaktiven Stoffe.

2.3 (2)

Auf den Sicherheitsebenen 1 bis 4a sind folgende Anforderungen einzuhalten:

Zur Kontrolle der Reaktivität:

–

Reaktivitätsänderungen sind auf zulässige Werte zu beschränken,

–

der Reaktorkern muss abgeschaltet und langfristig unterkritisch gehalten werden können,

–

bei der Handhabung sowie Lagerung unbestrahlter und bestrahlter Brennelemente ist Unterkritikalität sicherzustellen.

Zur Kühlung der Brennelemente:

–

Kühlmittel und Wärmesenken sind stets in ausreichendem Umfang vorzusehen,

–

der Wärmetransport vom Brennstoff bis zur Wärmesenke ist sicherzustellen,

–

die Wärmeabfuhr aus dem Brennelementlagerbecken ist sicherzustellen.

Zum Einschluss der radioaktiven Stoffe:

–

die sich auf den verschiedenen Sicherheitsebenen ergebenden mechanischen, thermischen, chemischen und durch Strahlung hervorgerufenen Einwirkungen auf die Barrieren oder Rückhaltefunktionen sind so zu begrenzen, dass deren Wirksamkeit zur Einhaltung der unter Nummer 2.5 angegebenen radiologischen Sicherheitsziele erhalten bleibt,

–

die Barrierenfunktionen des Reaktorkühlkreislaufs und des Sicherheitsbehälters müssen erforderlichenfalls ausreichend schnell hergestellt werden können.

2.3 (3)

Auf der Sicherheitsebene 4b ist durch Maßnahmen des anlageninternen Notfallschutzes die langfristige Wiederherstellung der unter Nummer 2.3 (2) genannten Schutzziele zu erreichen.

2.3 (4)

Im Hinblick auf die Sicherheitsebene 4c gilt Nummer 2.1 (3b).

2.4

Schutzkonzept gegen Einwirkungen von innen und außen sowie gegen Notstandsfälle

2.4 (1)

Alle Einrichtungen, die erforderlich sind, den Kernreaktor sicher abzuschalten und in abgeschaltetem Zustand zu halten, die Nachwärme abzuführen oder eine Freisetzung radioaktiver Stoffe zu verhindern, sind so auszulegen und müssen sich dauerhaft in einem solchen Zustand befinden, dass sie ihre sicherheitstechnischen Aufgaben auch bei Einwirkungen von innen und außen sowie bei Notstandsfällen (siehe Anhang 3) erfüllen.

Hinweis:

Anforderungen an diese Einrichtungen, die im Hinblick auf Störmaßnahmen oder sonstige Einwirkungen Dritter zu beachten sind, sind nicht Gegenstand der „Sicherheitsanforderungen an Kernkraftwerke“.

Sofern bei Einwirkungen von innen oder außen spezifische Anforderungen im Hinblick auf die Einhaltung radiologischer Sicherheitsziele gelten, sind diese in Anhang 3 bei den betroffenen Einwirkungen aufgeführt.

2.4 (2)

Es ist sicherzustellen, dass Ereignisse aus Einwirkungen von innen und außen oder aus Notstandsfällen, die die bestimmungsgemäße Funktion von Sicherheitseinrichtungen unzulässig beeinträchtigen könnten, gemäß Nummer 2.1 (5) entweder verhindert oder in ihren Auswirkungen ausreichend begrenzt werden. Dabei sind vorrangig passive Einrichtungen vorzusehen. Ist eine hinreichend zuverlässige Vermeidung unzulässiger Folgewirkungen durch passive Einrichtungen nicht gegeben, so sind zuverlässige aktive Maßnahmen vorzusehen.

2.4 (3)

Die zueinander redundanten Teilsysteme von Sicherheitseinrichtungen sind räumlich getrennt aufzustellen oder so zu schützen, dass bei Einwirkungen von innen ein redundanzübergreifender Ausfall verhindert wird.

2.4 (4)

Alle Sicherheitseinrichtungen sind so auszulegen und müssen sich dauerhaft in einem solchen Zustand befinden, dass sie ihre sicherheitstechnischen Aufgaben auch bei Einwirkungen von außen erfüllen.

2.4 (5)

Im Hinblick auf Einwirkungen aus Notstandsfällen gilt Nummer 2.1 (5), letzter Absatz.

2.5

Radiologische Sicherheitsziele

2.5 (1)

Auf den Sicherheitsebenen 1 und 2

–

ist die Strahlenexposition des Personals bei allen Tätigkeiten unter Berücksichtigung aller Umstände des Einzelfalls auch unterhalb der Grenzwerte der Strahlenschutzverordnung so gering wie möglich zu halten,

–

hat jede Ableitung radioaktiver Stoffe mit Luft oder Wasser kontrolliert auf den dafür vorgesehenen Ableitungspfaden zu erfolgen; die Ableitungen sind zu überwachen und nach Art und Aktivität zu dokumentieren und zu spezifizieren, und es

–

ist jede Strahlenexposition oder Kontamination von Mensch und Umwelt durch Direktstrahlung aus der Anlage sowie durch die Ableitung radioaktiver Stoffe unter Berücksichtigung aller Umstände des Einzelfalls auch unterhalb der Grenzwerte der Strahlenschutzverordnung so gering wie möglich zu halten.

Auf der Sicherheitsebene 3

–

sind bei der Planung von Tätigkeiten zur Beherrschung von Ereignissen, zur Minderung ihrer Auswirkungen oder zur Beseitigung ihrer Folgen für die Strahlenexposition des Personals höchstens die einschlägigen Grenzwerte der Strahlenschutzverordnung zu Grunde zu legen,

–

sind für die Auslegung der Anlage zum Schutz der Bevölkerung vor freisetzungsbedingten Strahlenexpositionen höchstens die einschlägigen Störfallplanungswerte der Strahlenschutzverordnung zu Grunde zu legen,

–

hat eine etwaige Freisetzung auf analysierten Freisetzungspfaden zu erfolgen; die Freisetzung ist zu überwachen und nach Art und Aktivität zu dokumentieren und zu spezifizieren, und es

–

sind die radiologischen Auswirkungen innerhalb und außerhalb der Anlage unter Berücksichtigung aller Umstände des Einzelfalls so gering wie möglich zu halten.

Auf der Sicherheitsebene 4

–

sind bei der Planung von Tätigkeiten zur Beherrschung von Ereignissen der Sicherheitsebene 4a sowie bei der Planung von Tätigkeiten im Rahmen von Maßnahmen des anlageninternen Notfallschutzes für die voraussichtliche Strahlenexposition des Personals die einschlägigen Vorgaben der Strahlenschutzverordnung zu Grunde zu legen,

–

ist die Überwachung von Freisetzungen radioaktiver Stoffe aus der Anlage nach Art und Aktivität sicherzustellen und es

–

sind radiologische Auswirkungen innerhalb und außerhalb der Anlage unter Berücksichtigung aller Umstände des Einzelfalls so gering wie möglich zu halten.

Unter Einbeziehung der Maßnahmen und Einrichtungen des anlageninternen Notfallschutzes der Sicherheitsebenen 4b und 4c sind

–

Freisetzungen radioaktiver Stoffe in die Umgebung der Anlage aufgrund eines frühzeitigen Versagens oder einer Umgehung des Sicherheitsbehälters, die Maßnahmen des anlagenexternen Notfallschutzes erfordern, für deren Umsetzung nicht ausreichend Zeit zur Verfügung steht (frühe Freisetzung) oder

–

Freisetzungen radioaktiver Stoffe in die Umgebung der Anlage, die räumlich umfangreiche und zeitlich langandauernde Maßnahmen des anlagenexternen Notfallschutzes erfordern (große Freisetzung)

auszuschließen¹ oder die radiologischen Auswirkungen soweit zu begrenzen, dass Maßnahmen des anlagenexternen Notfallschutzes nur in räumlich und zeitlich begrenztem Umfang erforderlich werden.

2.5 (2)

Alle sicherheitstechnisch wichtigen Einrichtungen eines Kernkraftwerks müssen so ausgelegt, in einem solchen Zustand gehalten und so gegen Einwirkungen von innen und außen sowie Notstandsfälle geschützt werden, dass sie ihre sicherheitstechnischen Aufgaben zur Einhaltung der Anforderungen gemäß Nummer 2.5 (1) erfüllen.

Alle Einrichtungen eines Kernkraftwerks, die radioaktive Stoffe enthalten oder enthalten können, müssen so beschaffen, angeordnet und abgeschirmt sein, dass bezüglich der Strahlenexposition von Personen bei allen auf den Sicherheitsebenen 1 und 2 erforderlichen Tätigkeiten sowie bei der Planung von Tätigkeiten zur Beherrschung von Ereignissen der Sicherheitsebenen 3 und 4a, bei Einwirkungen von innen und außen, bei Notstandsfällen sowie im Rahmen von Maßnahmen des anlageninternen Notfallschutzes die einschlägigen Anforderungen gemäß Nummer 2.5 (1) erfüllt werden.

3.1

Übergeordnete Anforderungen

3.1 (1)

Bei Auslegung, Fertigung, Errichtung und Prüfung sowie Betrieb und Instandhaltung der sicherheitstechnisch wichtigen Anlagenteile sind Grundsätze und Verfahren anzuwenden, die den besonderen sicherheitstechnischen Erfordernissen der Kerntechnik entsprechen. Bei Anwendung von anerkannten Regeln der Technik sind diese im Einzelfall daraufhin zu überprüfen, ob sie in Bezug auf den Anwendungsfall dem Stand von Wissenschaft und Technik entsprechen.

3.1 (2)

Auf Maßnahmen und Einrichtungen der Sicherheitsebenen 1 bis 4a sind bezüglich aller Betriebsphasen sicherheitsfördernde Auslegungs-, Fertigungs- und Betriebsgrundsätze anzuwenden, wie insbesondere:

a)

begründete Sicherheitszuschläge bei der Auslegung von Komponenten, in Abhängigkeit von deren sicherheitstechnischer Bedeutung; hierbei können in Bezug auf den Anwendungsfall anerkannte Regeln und Standards angewendet werden;

b)

Bevorzugung von inhärent sicher wirkenden Mechanismen bei der Auslegung;

c)

Verwendung qualifizierter Werkstoffe, Fertigungs- und Prüfverfahren sowie betriebsbewährter oder ausreichend geprüfter Einrichtungen;

d)

instandhaltungs- und prüffreundliche Gestaltung von Einrichtungen unter besonderer Berücksichtigung der Strahlenexposition des Personals;

e)

ergonomische Gestaltung der Arbeitsplätze;

f)

Sicherstellung und Erhalt der Qualitätsmerkmale bei Fertigung, Errichtung und Betrieb;

g)

Durchführung von wiederkehrenden Prüfungen in dem sicherheitstechnisch notwendigen Umfang;

h)

zuverlässige Überwachung der in den jeweiligen Betriebsphasen relevanten Betriebszustände;

i)

Aufstellung und Anwendung eines Überwachungskonzepts mit Überwachungseinrichtungen zur Erkennung und Beherrschung betriebs- und alterungsbedingter Schäden;

j)

Aufzeichnung, Auswertung und sicherheitsbezogene Verwertung von Betriebserfahrungen.

3.1 (3)

Zur Gewährleistung einer ausreichenden Zuverlässigkeit der Einrichtungen der Sicherheitsebene 3 (Sicherheitseinrichtungen) sind zusätzlich zu der Nummer 3.1 (2) folgende Auslegungsgrundsätze anzuwenden:

a)

Redundanz;

b)

Diversität;

c)

Entmaschung von redundanten Teilsystemen, soweit dieser sicherheitstechnische Nachteile nicht entgegenstehen;

d)

räumliche Trennung redundanter Teilsysteme;

e)

sicherheitsgerichtetes Systemverhalten bei Fehlfunktion von Teilsystemen oder Anlagenteilen;

f)

Bevorzugung passiver gegenüber aktiven Sicherheitseinrichtungen;

g)

die Hilfs- und Versorgungssysteme der Sicherheitseinrichtungen sind so zuverlässig auszulegen und gegen Einwirkungen zu schützen, dass sie die erforderliche hohe Verfügbarkeit der zu versorgenden Einrichtungen absichern;

h)

Automatisierung (in der Störfallanalyse sind von Hand auszulösende Schutzaktionen grundsätzlich nicht vor Ablauf von 30 Minuten zu kreditieren).

3.1 (4)

Qualität und Zuverlässigkeit aller Einrichtungen des Kernkraftwerks müssen ihrer sicherheitstechnischen Bedeutung entsprechen.

Alle sicherheitstechnisch wichtigen Einrichtungen sind hinsichtlich ihrer sicherheitstechnischen Bedeutung zu klassifizieren. Die in den spezifizierten Klassen geltenden Kriterien für Qualität und Zuverlässigkeit sind zu definieren und müssen insbesondere Angaben über die einzuhaltenden Vorgaben im Hinblick auf Auslegung, Fertigung, Umgebungs- und Wirksamkeitsbedingungen, Notstromversorgung und die dauerhafte Aufrechterhaltung der Qualität enthalten.

1.

Von hoher sicherheitstechnischer Bedeutung und entsprechend zu klassifizieren sind:

a)

Einrichtungen, deren Versagen zu nicht beherrschbaren Ereignisabläufen führt und

b)

Einrichtungen, die zur Störfallbeherrschung erforderlich sind, einschließlich der hierfür notwendigen Hilfs- und Versorgungssysteme, sowie

c)

Notstandseinrichtungen.

2.

Von abgestufter sicherheitstechnischer Bedeutung und entsprechend differenziert zu klassifizieren sind:

a)

Einrichtungen, die zur Störfallvermeidung erforderlich sind, einschließlich der hierfür notwendigen Hilfs- und Versorgungssysteme.

b)

Einrichtungen zur Einhaltung und Überwachung festgelegter radiologischer Werte, insbesondere durch Aufrechterhaltung der erforderlichen Wirksamkeit von Barrieren und Rückhaltefunktionen.

c)

Sonstige Einrichtungen zur Durchführung von Aufgaben mit sicherheitstechnischer Bedeutung.

d)

Einrichtungen des anlageninternen Notfallschutzes.

3.1 (5)

Die Potentiale für Ausfälle infolge gemeinsamer Ursache von Sicherheitseinrichtungen sind zu analysieren. Es sind Vorkehrungen zur Minderung der Eintrittswahrscheinlichkeit solcher Ausfälle derart zu treffen, dass ein Mehrfachausfall von Sicherheitseinrichtungen auf der Sicherheitsebene 3 nicht unterstellt werden muss. Redundante Sicherheitseinrichtungen, bei denen Möglichkeiten für Ausfälle infolge gemeinsamer Ursache identifiziert sind, sind dazu, soweit technisch sinnvoll, diversitär auszuführen.

3.1 (6)

Die Zuverlässigkeit und Wirksamkeit von Sicherheitsfunktionen der Sicherheitsebene 3 sind durch Maßnahmen und Einrichtungen, einschließlich ihrer Hilfs- und Versorgungssysteme, sicherzustellen

–

für alle bei den Ereignisabläufen zu unterstellenden Bedingungen,

–

bei störfallbedingten Folgeausfällen,

–

bei gleichzeitigem oder zeitlich versetztem Ausfall der Eigenbedarfsversorgung sowie

–

bei Ausfällen oder Unverfügbarkeiten gemäß dem Einzelfehlerkonzept nach Nummer 3.1 (7).

Zwischen betrieblichen Grenzwerten und den Grenzwerten, die Sicherheitseinrichtungen auslösen, müssen ausreichende Abstände derart vorhanden sein, dass eine unerwünschte häufige Aktivierung von Sicherheitseinrichtungen nicht erfolgt. Grenzwerte, die Sicherheitseinrichtungen auslösen, müssen konservativ angesetzt werden, damit Unsicherheiten in den Sicherheitsanalysen berücksichtigt werden.

3.1 (7)

Einrichtungen zur Beherrschung von Ereignissen der Sicherheitsebene 3 sind so redundant und entmascht auszuführen, dass die zur Ereignisbeherrschung erforderlichen Sicherheitsfunktionen auch dann ausreichend wirksam sind, wenn im Anforderungsfall

–

ein ungünstigst wirkender Einzelfehler in einer Sicherheitseinrichtung infolge eines zufälligen Ausfalls auftritt und

–

gleichzeitig eine in Kombination mit dem Einzelfehler ungünstigst wirkende Unverfügbarkeit in einer Sicherheitseinrichtung infolge von Instandhaltungsmaßnahmen vorliegt.

Einzelfehler werden grundsätzlich sowohl bei aktiven, als auch bei passiven Einrichtungen unterstellt, Ausnahmen sind zu begründen.

Hinweis:

Konkretisierende Anforderungen zur Anwendung des Einzelfehlerkonzepts enthält Anhang 4 „Grundsätze für die Anwendung des Einzelfehlerkriteriums und für die Instandhaltung“. Anhang 4 enthält darüber hinaus auch Anforderungen zur Planung und Durchführung von Instandhaltungsmaßnahmen soweit diese für die Anwendung und Wirksamkeit des Einzelfehlerkonzepts von Relevanz sind.

3.1 (8)

In Betriebsphasen, in denen Teile von Sicherheitseinrichtungen gemäß den Betriebsvorschriften nicht verfügbar sein müssen, ist die zuverlässige und wirksame Beherrschung der in diesen Phasen zu unterstellenden Ereignisse auch unter diesen Bedingungen zu gewährleisten.

3.1 (9)

Notstandsfälle

Bei Einwirkungen aus Notstandsfällen ist sicherzustellen, dass im Ereignisfall mindestens eine Redundante bei den zur Ereignisbeherrschung erforderlichen Einrichtungen erhalten bleibt. Dabei sind jeweils auch Folgewirkungen zu berücksichtigen.

Bei Notstandsfällen ist die Autarkie der Sicherheitsfunktionen im Hinblick auf die Energieversorgung und alle Kühl- und Betriebsmittel, die notwendig sind, um die Anlage in einen kontrollierten Zustand zu bringen und darin für mindestens 10 Stunden zu halten, sicherzustellen.

Notstandseinrichtungen dürfen keine sicherheitstechnisch nachteiligen Auswirkungen auf Maßnahmen und Einrichtungen der Sicherheitsebene 3 haben.

3.1 (10)

Anlageninterner Notfallschutz

Der anlageninterne Notfallschutz soll präventive und mitigative Notfallmaßnahmen sowie Handlungsempfehlungen für einen im Notfall zu bildenden Notfallstab umfassen.

Die für anlageninterne Notfallmaßnahmen vorgesehenen Einrichtungen dürfen weder den bestimmungsgemäßen Betrieb noch den auslegungsgemäßen Einsatz von Sicherheits- und Notstandseinrichtungen beeinträchtigen. Die Verträglichkeit mit dem Sicherheitskonzept ist zu gewährleisten.

Die Maßnahmen des anlageninternen Notfallschutzes stützen sich auf eigens dafür vorgesehene Maßnahmen und Einrichtungen inklusive nicht fest installierter (mobiler) Einrichtungen sowie auf die flexible Nutzung verfügbarer Sicherheitseinrichtungen, Betriebssysteme und Notstandseinrichtungen ab.

Die Funktionsfähigkeit der für anlageninterne Notfallmaßnahmen vorgesehenen Einrichtungen ist durch Wartung und wiederkehrende Prüfungen sicherzustellen.

3.1 (11)

Die Maßnahmen und Einrichtungen des anlageninternen Notfallschutzes sollen auch im Falle von Einwirkungen von innen und von außen sowie bei Notstandsfällen wirksam bleiben, soweit diese Einwirkungen zu Mehrfachausfällen von in diesen Situationen erforderlichen Sicherheitseinrichtungen führen können und soweit diese Maßnahmen und Einrichtungen zur Minderung der Auswirkungen der jeweiligen Einwirkungen und Notstandsfälle beitragen.

3.1 (12)

Prüfung und Wartung

Alle sicherheitstechnisch wichtigen Einrichtungen müssen so beschaffen und angeordnet sein, dass sie entsprechend ihrer sicherheitstechnischen Bedeutung und Aufgabe vor ihrer Inbetriebnahme und danach in regelmäßigen Zeitabständen in hinreichendem Umfang geprüft und gewartet werden können, um den spezifikationsgerechten Zustand feststellen und sich anbahnende Abweichungen von prüfbaren Qualitätsmerkmalen erkennen zu können.

Die Funktion von sicherheitstechnisch wichtigen Einrichtungen ist unter Bedingungen, die möglichst dem Anforderungsfall entsprechen, im erforderlichen Umfang zu prüfen.

3.1 (12a)

Wenn an Einrichtungen regelmäßig wiederkehrende Prüfungen nach dem Stand der Technik nicht in dem für die Erkennung etwaiger Mängel erforderlichen Umfang durchgeführt werden können, ist sicherzustellen, dass für die nicht oder nur eingeschränkt prüfbaren Bereiche Vorkehrungen gegen ein Versagen durch mögliche Schädigungsmechanismen, wie Ermüdung, Korrosion und andere Alterungsmechanismen, derart getroffen sind, dass aus dem Betrieb und nach dem Stand von Wissenschaft und Technik für diesen Bereich keine sicherheitstechnisch relevante Schädigung zu besorgen ist, eine Herstellungsdokumentation vorliegt und daraus keine Auffälligkeiten oder Abweichungen von den einzuhaltenden Vorgaben abzuleiten sind.

3.1 (12b)

Im Falle einer solchen eingeschränkten Prüfbarkeit sind für die Beherrschung trotz der Vorkehrungen gemäß Nummer 3.1 (12a) zu unterstellender möglicher Folgen aus diesem Mangel Maßnahmen und Einrichtungen derart vorzusehen, dass bei den unter diesen Umständen in Betracht zu ziehenden Ereignissen die Einhaltung der jeweiligen sicherheitstechnischen Nachweisziele und Nachweiskriterien sichergestellt ist.

3.1 (13)

Anforderung an die ergonomische Gestaltung der Voraussetzungen für zuverlässiges Handeln des Personals

a)

Alle absehbaren Tätigkeiten und Maßnahmen mit sicherheitstechnischer Bedeutung in der Anlage auf den Sicherheitsebenen 1 bis 4 sind unter Berücksichtigung ergonomischer Gesichtspunkte so zu gestalten, dass die Voraussetzungen für das sicherheitstechnisch erforderliche Verhalten der in der Anlage tätigen Personen gegeben sind. Dies gilt auch für Tätigkeiten, die in Bezug auf Einwirkungen von innen oder von außen sowie aus Notstandsfällen durchzuführen sind.

Für die Sicherheitsebenen 4b und 4c beziehen sich die Anforderungen auf Durchführbarkeit, Zugänglichkeit und Strahlenschutz.

b)

Der Grundsatz entsprechend der Nummer 3.1 (13) Buchstabe a ist auch auf die Gestaltung aller Arbeitsplätze, an denen diese Tätigkeiten ausgeführt werden, und aller Arbeitsmittel, deren Einsatz für diese Tätigkeiten vorgesehen ist, anzuwenden. Die vorgesehenen Wege, auf denen das Personal mit allen erforderlichen Arbeitsmitteln an den Einsatzort gelangt, sind ebenfalls einzubeziehen.

Hinweis:

Zu den Arbeitsmitteln zählen unter anderem: Informations-, Bedienungs- und Kommunikationseinrichtungen, Mess- und Prüfgeräte, Werkzeuge und andere Arbeitsgeräte, Transportmittel, Hebezeuge und Anschlagmittel sowie Unterlagen mit Anweisungen und weiteren Informationen zu auszuführenden Tätigkeiten.

c)

Bei der Umsetzung des Grundsatzes der Nummer 3.1 (13) Buchstabe a sind alle Einflüsse, denen die Ausführenden bei diesen Tätigkeiten am Arbeitsplatz und auf den vorgesehenen Wegen zum Arbeitsplatz ausgesetzt sein können, zu berücksichtigen. Dazu gehören unter anderem Strahlenexposition, Raumklima, Beleuchtung und Beschallung.

d)

Der Grundsatz entsprechend der Nummer 3.1 (13) Buchstabe a ist auch auf die Gestaltung der Arbeitsabläufe, der Aufgabenverteilung zwischen Mensch und Technik sowie der Arbeitsteilung zwischen den ausführenden Personen bei diesen Tätigkeiten anzuwenden.

3.2

Anforderungen an den Reaktorkern und die Abschalteinrichtungen

3.2 (1)

Die Kontrolle der Reaktivität im Reaktorkern ist auf den Sicherheitsebenen 1 bis 4a sowie bei Einwirkungen von innen und außen sowie bei Notstandsfällen in allen Betriebsphasen sicherzustellen.

3.2 (2)

Der Reaktorkern, die relevanten Einrichtungen zur Überwachung, Regelung und Begrenzung der Reaktorleistung und zur Abschaltung des Reaktors sind so auszulegen, herzustellen und in einem solchen Zustand zu halten, dass im Zusammenwirken mit den Kühlsystemen für den Reaktorkern die jeweiligen Auslegungsgrenzen der Sicherheitsebenen 1 bis 4a eingehalten werden.

3.2 (3)

Der Reaktorkern ist so auszulegen, dass auf Grund inhärenter reaktorphysikalischer Rückkopplungseigenschaften die in Betracht zu ziehenden schnellen Reaktivitätsanstiege so weit abgefangen werden, dass im Zusammenwirken mit den übrigen inhärenten Eigenschaften der Anlage und den Begrenzungs- oder Abschalteinrichtungen die jeweils auf den Sicherheitsebenen geltenden sicherheitstechnischen Nachweisziele und Nachweiskriterien eingehalten werden.

3.2 (4)

Der Reaktorkern ist so auszulegen, dass auf Grund inhärenter reaktorphysikalischer Rückkopplungseigenschaften die zu berücksichtigenden Transienten der Sicherheitsebene 4a mit unterstelltem Ausfall der schnell wirkenden Abschalteinrichtung (Schnellabschaltsystem) so weit abgefangen werden, dass im Zusammenwirken mit ansonsten bestimmungsgemäß wirksamen Maßnahmen und Einrichtungen der Anlage die für diese Ereignisse geltenden sicherheitstechnischen Nachweisziele und Nachweiskriterien eingehalten werden.

3.2 (5)

Der Reaktor ist

–

mit mindestens einer Einrichtung zur schnellen Abschaltung (Schnellabschaltsystem) mittels Steuerelementen sowie

–

mit mindestens einer weiteren, davon unabhängigen und diversitären Abschalteinrichtung zur Herbeiführung und dauerhaften Aufrechterhaltung der Unterkritikalität mittels der Einbringung löslicher Neutronenabsorber in das Kühlmittel

auszustatten.

Die Regelungs- oder Begrenzungseinrichtungen der Reaktorleistung können ganz oder teilweise identisch mit den Abschalteinrichtungen sein, sofern die Wirksamkeit der Abschalteinrichtungen jederzeit im geforderten Maße gegeben bleibt.

3.2 (6)

Das Schnellabschaltsystem muss alleine in der Lage sein, den Reaktor

–

aus jedem Zustand der Sicherheitsebenen 1 bis 3 heraus, auch bei unterstellter Unwirksamkeit des reaktivitätswirksamsten Steuerelements sowie

–

bei Einwirkungen von innen und außen sowie bei Notstandsfällen

so schnell unterkritisch zu machen und hinreichend lange zu halten, dass die jeweils geltenden sicherheitstechnischen Nachweisziele und Nachweiskriterien eingehalten werden.

Hinweis:

Bei Ereignissen der Sicherheitsebene 3 kann im Hinblick auf die einzuhaltende Unterkritikalität die unterstellte Unwirksamkeit des reaktivitätswirksamsten Steuerelements als Einzelfehler gemäß Nummer 3.1 (7) behandelt werden.

3.2 (7)

Der Reaktor muss auf den Sicherheitsebenen 1 bis 4a sowie bei Einwirkungen von innen und außen sowie bei Notstandsfällen bei den für die Reaktivitätsbilanz ungünstigsten Bedingungen hinsichtlich Temperatur, Xenonkonzentration und Zykluszeitpunkt, die unter den in Betracht zu ziehenden Zuständen und Ereignissen möglich sind, langfristig unterkritisch gemacht und dauerhaft unterkritisch gehalten werden können.

Beim DWR müssen die Einrichtungen zur Einbringung löslicher Neutronenabsorber in das Kühlmittel bei den Zuständen oder Ereignissen der Sicherheitsebenen 1 bis 4a sowie bei Einwirkungen von innen und außen sowie bei Notstandsfällen alleine in der Lage sein, den geforderten Betrag der Unterkritikalität zu erbringen.

Beim SWR müssen folgende Einrichtungen in der Lage sein, jeweils alleine den geforderten Betrag der Unterkritikalität zu erbringen:

–

bei den Zuständen oder Ereignissen der Sicherheitsebenen 1 bis 4a, bei Einwirkungen von innen und außen sowie bei Notstandsfällen das elektromotorische Einfahren der Steuerelemente sowie

–

bei den Zuständen der Sicherheitsebene 1 die Einrichtungen zur Einbringung löslicher Neutronenabsorber in das Kühlmittel.

Sofern die dauerhafte Aufrechterhaltung der Unterkritikalität auf den Sicherheitsebenen 1 bis 3 allein durch Steuerelemente sichergestellt wird, ist die Unwirksamkeit des wirksamsten Steuerelements zu unterstellen.

Hinweis:

Auf der Sicherheitsebene 3 kann dies als Einzelfehler gemäß Nummer 3.1 (7) behandelt werden.

3.3

Anforderungen an die Einrichtungen zur Kühlung der Brennelemente im Reaktorkern

3.3 (1)

Die Kühlung der Brennelemente (Wärmeabfuhr aus dem Reaktorkern) ist auf den Sicherheitsebenen 1 bis 4a sowie bei Einwirkungen von innen und außen sowie bei Notstandsfällen in allen Betriebsphasen sicherzustellen.

Dazu muss die im Brennelement erzeugte Wärme derart abgeführt werden, dass die auf den Sicherheitsebenen geltenden sicherheitstechnischen Nachweisziele und Nachweiskriterien für die Brennelemente und die übrigen sicherheitstechnisch wichtigen Einrichtungen während ihrer gesamten Einsatzzeit eingehalten werden.

3.3 (2)

Es müssen Einrichtungen vorhanden sein, mittels derer im bestimmungsgemäßen Betrieb

a)

der Reaktor zuverlässig und anforderungsgerecht ab- und angefahren und

b)

die Nachwärme zuverlässig und anforderungsgerecht abgeführt werden kann, auch unter Berücksichtigung aller Betriebsbedingungen des Brennelementwechsels, gegebenenfalls der gleichzeitigen Erfordernis der Kühlung der Brennelemente im Brennelementlagerbecken sowie während Instandhaltungsmaßnahmen.

3.3 (3)

Es muss ein zuverlässiges und redundant aufgebautes System für die Notkühlung (Notkühlsystem) des Reaktorkerns bei Kühlmittelverluststörfällen vorhanden sein, welches gewährleistet, dass für die in Betracht kommenden Bruchgrößen, Bruchlagen, Betriebszustände und störfallbedingten Transienten im Reaktorkühlsystem

a)

die sicherheitstechnischen Aufgaben auch unter Beachtung der Kriterien von Nummer 3.1 (7) erfüllt werden,

b)

die jeweils geltenden sicherheitstechnischen Nachweisziele und Nachweiskriterien für die Brennelemente, die Kerneinbauten und für den Sicherheitsbehälter eingehalten werden.

3.3 (4)

Es muss ein zuverlässiges, redundant aufgebautes System zum Abfahren des Reaktors und zur Nachwärmeabfuhr bei Störfällen ohne Kühlmittelverlust und nach Einwirkungen von innen und außen vorhanden sein, welches gewährleistet, dass auch nach Unterbrechung oder Störung der Wärmeabfuhr vom Reaktor zur Hauptwärmesenke die sicherheitstechnischen Nachweisziele und Nachweiskriterien auch unter Beachtung der Anforderungen der Nummer 3.1 (7) erfüllt werden.

3.3 (5)

Die Nachwärmeabfuhr aus der Anlage muss in allen Betriebszuständen auch bei Ausfall der primären Wärmesenke aufgrund von Ausfallursachen im Bereich der Kühlwasserentnahmen und Kühlwasserrückführungen durch eine diversitäre Wärmesenke sichergestellt werden (gegebenenfalls auch durch verschiedene Wärmesenken in Kombination). Die hierfür benötigten Einrichtungen müssen mindestens den Anforderungen an Notfallmaßnahmen genügen; deren Wirksamkeit ist nachzuweisen.

Die Verfügbarkeit dieser diversitären Wärmesenke muss auch bei den Einwirkungen von außen gewährleistet sein.

3.4

Anforderungen an die Druckführende Umschließung und die drucktragende Wandung von Komponenten der Äußeren Systeme

3.4 (1)

Die Druckführende Umschließung muss so beschaffen, angeordnet sein und betrieben werden, dass das Auftreten von rasch fortschreitenden Rissen und von spröden Brüchen nicht zu unterstellen ist.

3.4 (2)

Zu diesem Zweck ist bei der Auslegung entsprechend den Anforderungen der Nummer 3.1 (2) ein sicherheitstechnisch begründeter Zuschlag auf die ermittelten Werte der Einwirkungen vorzusehen, um zu gewährleisten, dass die spezifizierten Grenzwerte für die Belastungen aus Einwirkungen der Druckführenden Umschließung im bestimmungsgemäßen Betrieb und bei Störfällen eingehalten werden.

3.4 (3)

Für die Druckführende Umschließung und die drucktragenden Wandungen von Komponenten der Äußeren Systeme mit Nennweiten größer DN 50 muss die Basissicherheit durch die Einhaltung nachfolgender Anforderungen unter Berücksichtigung des Betriebsmediums sichergestellt werden:

–

Einsatz hochwertiger Werkstoffe, insbesondere hinsichtlich Zähigkeit und Korrosionsbeständigkeit,

–

konservative Begrenzung der Spannungen,

–

Vermeidung von Spannungsspitzen durch optimierte Konstruktion und

–

Gewährleistung der Anwendung optimierter Herstellungs- und Prüftechnologien.

Dazu gehören die Kenntnis und Beurteilung gegebenenfalls vorliegender Fehlerzustände.

Hinweis:

Bei Realisierung dieser Anforderungen (Basissicherheit) ist ein katastrophales, aufgrund herstellungsbedingter Mängel eintretendes Versagen dieser Anlagenteile nicht zu unterstellen.

Zur Sicherstellung und Bewertung der erforderlichen Qualität dieser Komponenten im Betrieb ist ein Konzept zur Erhaltung der Integrität aufzustellen. Dazu sind zusätzlich Maßnahmen und Einrichtungen zur Überwachung der Ursachen und Folgen von Schädigungsmechanismen, insbesondere von Leckagen während des Betriebes, festzulegen und zu installieren.

3.4 (4)

Für die Druckführende Umschließung und die drucktragenden Wandungen von Komponenten der Äußeren Systeme sind im Rahmen des Auslegungskonzeptes auf der Sicherheitsebene 3 Leck- und Bruchpostulate zu definieren. Für solche Rohrleitungssysteme und Komponenten dieser Systeme, für die im Rahmen des Auslegungskonzeptes während des Betriebs der Anlage ein katastrophales Versagen nicht unterstellt werden muss, dürfen eingeschränkte Leck- und Bruchannahmen in Anspruch genommen werden. Für diese Rohrleitungssysteme und Komponenten ist eine hohe Aussagesicherheit bezüglich der Einwirkungen auf diese Einrichtungen auf den Sicherheitsebenen 1 bis 4a, bei Einwirkungen von innen und außen sowie bei Notstandsfällen nachzuweisen.

Unter diesen Einwirkungen ist für diese ausgewählten Rohrleitungssysteme und Komponenten zusätzlich nachzuweisen, dass anzunehmende Fehler in der drucktragenden Wandung nicht zu einem Leck oder Bruch der Rohrleitung oder Komponente führen können, die die in Anspruch genommenen eingeschränkten Leck- und Bruchannahmen in Frage stellen. Dabei darf bei basissicher ausgeführten Komponenten von generischen Nachweisen und Ergebnissen von experimentellen Untersuchungen Kredit genommen werden. Weiterhin dürfen für Armaturen- und Pumpengehäuse abdeckende Nachweise für die Gehäuse einschließlich der Stutzenbereiche für anschließende Rohrleitungen geführt werden. Die Einhaltung der dabei zugrunde gelegten Randbedingungen während des Betriebs ist durch geeignete Maßnahmen zur Überprüfung der Einwirkungen und wiederkehrende zerstörungsfreie Prüfungen der Komponenten zu verifizieren.

3.4 (5a)

Zur Verhinderung der Überschreitung des zulässigen Druckes in der Druckführenden Umschließung (bei DWR-Anlagen einschließlich der Sekundärseite des Dampferzeugers) sind wirksame und zuverlässige Einrichtungen zur Druckbegrenzung und zur Überdruckabsicherung vorzusehen.

3.4 (5b)

Es müssen Einrichtungen zur Druckentlastung des Reaktorkühlkreislaufs vorhanden sein, mit denen anlageninterne Notfallmaßnahmen zur Druckentlastung wirksam durchgeführt werden können, sodass ein Kernschmelzen unter hohem Druck nicht eintritt.

3.4 (6)

Das Kernkraftwerk ist so zu betreiben, dass die jeweils zulässigen Werte für Einwirkungen auf die Druckführende Umschließung des Reaktorkühlmittels auf den Sicherheitsebenen 1 bis 4a sowie bei Einwirkungen von innen und außen sowie bei Notstandsfällen nicht überschritten werden. Dabei sind die entsprechend den Anforderungen der Nummer 3.1 (2) angesetzten Zuschläge zu berücksichtigen.

3.4 (7)

Die Komponenten der Druckführenden Umschließung und der Äußeren Systeme sind so anzuordnen und zu verankern, dass bei an ihnen auftretenden Ereignissen der Sicherheitsebene 3 und 4a sowie bei Einwirkungen von innen und außen sowie bei Notstandsfällen keine Folgeschäden an anderen sicherheitstechnisch wichtigen Anlagenteilen verursacht werden können, die die Erfüllung der zur Ereignisbeherrschung erforderlichen Sicherheitsfunktionen gefährden.

3.5

Anforderungen an bauliche Anlagenteile

3.5 (1)

Die baulichen Anlagenteile sind so auszulegen und in einem solchen Zustand zu halten, dass sie

–

den für die jeweilige Sicherheitsebene spezifizierten Lastabtrag der Systeme und Komponenten auf den Sicherheitsebenen 1 bis 4a und nach Einwirkungen von innen und außen sowie bei Notstandsfällen gewährleisten sowie

–

zur Gewährleistung des Schutzes gegen diese Einwirkungen,

–

zur Abschirmung der ionisierenden Strahlung und zur Rückhaltung radioaktiver Stoffe sowie

–

zum Brand- und Blitzschutz der Anlage

im jeweils erforderlichen Umfang beitragen.

3.6

Anforderungen an den Sicherheitseinschluss

3.6 (1)

Das Kernkraftwerk muss einen Sicherheitseinschluss besitzen, bestehend aus dem Sicherheitsbehälter und umgebendem Gebäude sowie den Hilfssystemen zur Rückhaltung und Filterung etwaiger Leckagen aus dem Sicherheitsbehälter.

Der Sicherheitseinschluss muss seine Rückhaltefunktion so erfüllen, dass der Austrag radioaktiver Stoffe in die Umgebung so gering wie möglich gehalten wird und für die Sicherheitsebenen 1 bis 3 vorgegebene Werte nicht überschritten werden.

Der Sicherheitsbehälter muss seine sicherheitstechnischen Aufgaben in den Betriebszuständen, in denen dieser plangemäß geschlossen ist, auf den Sicherheitsebenen 1 bis 3 sowie bei Transienten mit Ausfall der Reaktorschnellabschaltung (Sicherheitsebene 4a) und bei den Einwirkungen von innen und außen sowie bei Notstandsfällen erfüllen.

In den Betriebsphasen, in denen der Sicherheitsbehälter plangemäß geöffnet sein kann, ist sicherzustellen, dass unter den Bedingungen der Sicherheitsebene 1 sowie bei den zu unterstellenden Ereignissen der Sicherheitsebenen 2 und 3 und bei den Einwirkungen von innen und außen sowie bei Notstandsfällen wirksame und zuverlässige Rückhaltefunktionen vorhanden sind und eine unzulässige Freisetzung radioaktiver Stoffe verhindert oder rechtzeitig unterbunden wird.

3.6 (2)

Einrichtungen, die radioaktive Stoffe enthalten, müssen innerhalb des Sicherheitseinschlusses untergebracht sein, soweit eine unzulässige Freisetzung radioaktiver Stoffe in die Umgebung nicht auf andere Weise verhindert werden kann.

Im Sicherheitsbehälter sind grundsätzlich die unter hohem Druck stehenden, Reaktorkühlmittel führenden Komponenten der Anlage unterzubringen. Hiervon können Abschnitte der Frischdampfleitungen und Speisewasserleitungen sowie sonstiger Leitungen ausgenommen werden, soweit dies technisch notwendig ist und sofern gewährleistet ist, dass der Bruch solcher Leitungen nicht zu unzulässiger Strahlenexposition in der Umgebung führt.

3.6 (3)

Ein zuverlässiger, ausreichend schneller und hinreichend langzeitiger Abschluss der Durchdringungen durch den Sicherheitsbehälter ist zu gewährleisten.

Die notwendigen Dichtheitsanforderungen an den Sicherheitsbehälter sind für die Betriebsphasen, in denen der Sicherheitsbehälter geschlossen ist, durch eine maximal zulässige Leckrate zu quantifizieren.

3.6 (4)

Der Sicherheitsbehälter muss von einem Gebäude eingeschlossen sein. Das Gebäude ist so zu gestalten, dass der Zwischenraum zwischen Sicherheitsbehälter und Gebäude bei Betriebsphasen mit geschlossenen Schleusen langfristig auf ausreichendem Unterdruck gehalten werden kann, auch wenn im Sicherheitsbehälter die Bedingungen von Ereignissen der Sicherheitsebene 3 herrschen. Hierfür sind für das umgebende Gebäude bautechnische Einrichtungen vorzusehen, die die lüftungstechnische Dichtheit sicherstellen. Der Zwischenraum muss über Kamin und erforderlichenfalls über Filter entlüftet werden können. Inspektionen an sicherheitstechnisch relevanten Anlagenteilen müssen möglich sein.

3.6 (5)

Der Sicherheitsbehälter ist durch bauliche Entkopplung derart zu schützen, dass direkte Lastübertragungen bei den Notstandsfällen nicht zur Beeinträchtigung seiner Funktion führen. Ebenso muss bei allen Ereignissen der Sicherheitsebene 3 und bei Einwirkungen von innen und außen einschließlich der Wirkung aus Druckdifferenzen die Standsicherheit oder Integrität von Einbauten und Räumen, soweit erforderlich, erhalten bleiben.

3.6 (6)

Das umgebende Gebäude muss Direktstrahlung nach außen in genügendem Maße abschirmen und den Sicherheitsbehälter sowie die darin befindlichen Einrichtungen gegen unzulässige Folgen bei den für die Anlage zu unterstellenden Einwirkungen von außen und Notstandsfällen schützen.

3.6 (7)

Ein langfristiger Temperatur- oder Druckanstieg im Sicherheitsbehälter ist bei Kühlmittelverluststörfällen während des Sumpfbetriebes zu verhindern.

3.6 (8)

Bei Unfällen mit schweren Brennelementschäden (Sicherheitsebene 4c) gilt zusätzlich zu den Anforderungen in Nummer 2.1 (3b):

–

Durch Maßnahmen des anlageninternen Notfallschutzes ist sicherzustellen, dass ein Überdruckversagen des Sicherheitsbehälters durch einen stetigen Druckanstieg nicht eintritt. Ist eine Druckentlastung des Sicherheitsbehälters als Notfallmaßnahme vorgeplant, so muss diese unter den zu erwartenden Unfallbedingungen wirksam sein und über effiziente Filter zur Aerosol- und Jodrückhaltung verfügen. Ein Unterdruckversagen des Sicherheitsbehälters infolge der Druckentlastung ist zu verhindern.

–

Durch Maßnahmen des anlageninternen Notfallschutzes soll erreicht werden, dass bei Unfällen mit schweren Brennelementschäden Verbrennungsvorgänge von Gasen (H₂, CO) innerhalb des Sicherheitsbehälters, die die Integrität des Sicherheitsbehälters gefährden, nicht eintreten.

–

Durch Maßnahmen des anlageninternen Notfallschutzes soll erreicht werden, dass bei Unfällen mit schweren Brennelementschäden im Brennelementlagerbecken Verbrennungsvorgänge von Gasen (H₂), die die Integrität des Sicherheitsbehälters oder der umgebenden baulichen Hülle des Brennelementlagerbeckens gefährden, nicht eintreten.

3.7

Anforderungen an die Leittechnik

3.7 (1)

Das Kernkraftwerk ist mit betrieblichen Steuer- und Regeleinrichtungen mit Leittechnik-Funktionen auf der Sicherheitsebene 1 auszurüsten, die so auszulegen und zu betreiben sind, dass auch ohne Inanspruchnahme von leittechnischen Einrichtungen der Sicherheitsebene 2 ein möglichst störungsfreier Betrieb der Anlage gewährleistet ist.

3.7 (2)

Das Kernkraftwerk ist mit leittechnischen Einrichtungen mit Leittechnik-Funktionen auf der Sicherheitsebene 2 auszurüsten, die geeignet sind, bei Ereignissen der Sicherheitsebene 2 eine Anforderung an die Schutzaktionen der Sicherheitsebene 3 zu vermeiden.

3.7 (3)

Das Kernkraftwerk ist mit zuverlässigen leittechnischen Einrichtungen mit Leittechnik-Funktionen auf der Sicherheitsebene 3, dem Reaktorschutzsystem, auszurüsten, deren Leittechnik-Funktionen bei Erreichen festgelegter Ansprechwerte Schutzaktionen auslösen.

Diese Einrichtungen sind nach folgenden Grundsätzen auszulegen:

–

redundante Auslegung von Komponenten, Baugruppen und Teilsystemen,

–

Diversität (siehe Nummer 3.1 (5)),

–

räumlich getrennte Installation entsprechend dem Wirkungsbereich möglicher versagensauslösender Ereignisse,

–

selbsttätige Überwachung auf einen Ausfall hin,

–

Anpassung der Komponenten an die möglichen Umgebungsbedingungen,

–

einfache Struktur der Software,

–

Begrenzung des Funktionsumfangs von Hard- und Software auf das sicherheitstechnisch notwendige Maß sowie

–

Einsatz fehlervermeidender, fehlerentdeckender und fehlerbeherrschender Maßnahmen und Einrichtungen.

Hinweise:

Für rechnerbasierte oder programmierbare leittechnische Einrichtungen werden zukünftig auch Anforderungen durch das Regelwerk der Sicherung gestellt werden, die auch Auslegungsanforderungen enthalten. Die nachweisliche Erfüllung aller Sicherungsanforderungen ist Voraussetzung für die Genehmigung dieser Systeme.

Rechnerbasierte oder programmierbare leittechnische Einrichtungen werden danach auf der Sicherheitsebene 3 nur eingesetzt werden, wenn für den gesamten Lebenszyklus nachgewiesen werden kann, dass eine Manipulation dieser Einrichtungen durch geeignete Maßnahmen der Auslegung oder der Sicherung verhindert wird, oder wenn verhindert wird, dass Manipulationen einzelner oder verschiedener rechnerbasierter oder programmierbarer Einrichtungen Auswirkungen auf die Sicherheit der Anlage haben.

3.7 (4)

Bei der Auslegung der leittechnischen Einrichtungen gemäß Nummer 3.7 (3) sind die Potentiale für und die Auswirkungen von systematischem Versagen der leittechnischen Einrichtungen auf die Ereignisabläufe der Sicherheitsebene 3 unter Berücksichtigung der verfahrenstechnischen Vorgaben zu analysieren.

Es sind Vorkehrungen gegen systematisches Versagen zur Minderung von dessen Eintrittswahrscheinlichkeit derart zu treffen, dass es auf der Sicherheitsebene 3 nicht mehr unterstellt werden muss.

3.7 (5)

In den Betriebsphasen, in denen die Verfügbarkeit der Reaktorschnellabschaltung erforderlich ist, muss jederzeit eine Reaktorschnellabschaltung von Hand möglich sein, auch beim unterstellten systematischen Versagen rechnerbasierter und programmierbarer leittechnischer Einrichtungen einschließlich systematischen Softwareversagens.

Die manuelle Auslösung von Schutzaktionen ist unabhängig von automatischen leittechnischen Einrichtungen aufzubauen.

3.7 (6)

Die leittechnischen Einrichtungen gemäß Nummer 3.7 (3) sind so auszulegen, dass auch beim Eintreten des zu unterstellenden Einzelfehlers in diesen Einrichtungen keine Aktionen ausgelöst werden, die zu einem Störfall führen können oder die Störfallbeherrschung verhindern.

3.7 (7)

Das Kernkraftwerk muss mit Überwachungs- und Meldeeinrichtungen ausgerüstet sein, die auf den Sicherheitsebenen 1 und 2 jederzeit einen ausreichenden Überblick über den sicherheitsrelevanten Zustand der Anlage und die ablaufenden relevanten Prozesse ermöglichen und alle sicherheitstechnisch wichtigen Betriebsparameter anzeigen und registrieren können.

Es müssen Gefahrenmeldeeinrichtungen vorhanden sein, die Veränderungen des Betriebszustandes, aus denen sich eine Verminderung der Sicherheit ergeben könnte, so frühzeitig anzeigen, dass die Einhaltung der jeweiligen sicherheitstechnischen Nachweisziele gewährleistet werden kann.

3.7 (8)

Das Kernkraftwerk muss mit einer Instrumentierung ausgerüstet sein, die bei Ereignisabläufen und Anlagenzuständen der Sicherheitsebenen 3 und 4 sowie bei Einwirkungen von innen oder außen sowie aus Notstandsfällen

a)

ausreichende Informationen über den Zustand der Anlage liefert, um die erforderlichen Schutzmaßnahmen für Personal und Anlage ergreifen und deren Wirksamkeit feststellen zu können,

b)

die Verfolgung des Ereignisablaufes und die Dokumentation der Ereignisse ermöglicht,

c)

eine Abschätzung der Auswirkungen auf die Umgebung gestattet,

d)

für mindestens 10 Stunden (auch bei Ausfall der nicht durch Batterien gepufferten elektrischen Energieversorgung) stromversorgt wird und

e)

die redundante Signalverarbeitung vornimmt.

Die Einrichtungen zur Erfassung und Aufzeichnung der jeweils erforderlichen Informationen sollen diversitär und störfallfest aufgebaut sein.

Für die Sicherheitsebenen 4b und 4c sollen ausreichende Informationen über den Zustand der Anlage geliefert werden, um die geplanten Notfallmaßnahmen ergreifen und deren Wirksamkeit feststellen zu können sowie eine Abschätzung der Auswirkungen auf die Umgebung zu ermöglichen.

3.7 (9)

Auf den Sicherheitsebenen 4b und 4c dürfen Maßnahmen des anlageninternen Notfallschutzes Vorrang vor konkurrierenden Aktionen der vorgelagerten Sicherheitsebenen haben. Eingriffe in Einrichtungen, die auf den Sicherheitsebenen 1 bis 4a Leittechnikfunktionen ausführen, sind erlaubt, wenn Maßnahmen des anlageninternen Notfallschutzes dies im Anforderungsfall erfordern.

3.7 (10)

Die von leittechnischen Einrichtungen auszuführenden Funktionen sind entsprechend ihrer sicherheitstechnischen Bedeutung gemäß Nummer 3.1 (4) zu klassifizieren. Die Anforderungen an Entwurf, Implementierung, Qualifizierung, Inbetriebsetzung, Betrieb und Modifizierung der Software und an Auslegung, Fertigung, Errichtung und Betrieb der Hardware (Komponenten, Baugruppen und Teilsysteme) für leittechnische Einrichtungen sind entsprechend der sicherheitstechnischen Klassifizierung der von ihnen ausgeführten Funktionen festzulegen.

Für leittechnische Einrichtungen, die nicht kategorisierte Leittechnik-Funktionen ausführen, werden in den „Sicherheitsanforderungen an Kernkraftwerke“ keine Anforderungen aufgestellt.

3.7 (11)

Der unberechtigte Zugriff auf Informations- und Leittechniksysteme der Anlage ist zu verhindern. Die Wirksamkeit und Zuverlässigkeit der hierfür vorgesehenen Maßnahmen müssen der sicherheitstechnischen Bedeutung der Informations- und Leittechniksysteme entsprechen.

3.8

Anforderungen an Warten

3.8 (1)

Es muss eine Warte vorhanden sein, von der aus das Kernkraftwerk sicher betrieben werden kann und von der aus bei Störungen und Störfällen Maßnahmen ergriffen werden können, um das Kernkraftwerk in einem kontrollierten und sicheren Anlagenzustand zu halten oder in einen solchen zu überführen.

3.8 (2)

Außerhalb der Warte ist eine Notsteuerstelle vorzusehen, mit deren Hilfe bei Ausfall der Warte, einschließlich der in Betracht zu ziehenden Wartennebenräume, wie z. B. Rangierverteiler und Elektronikraum, der Reaktor abgeschaltet und unterkritisch gehalten, die Nachwärme abgeführt und die hierfür wesentlichen Betriebsparameter überwacht werden können.

3.8 (3)

Die Warte und die Notsteuerstelle sind so voneinander räumlich zu trennen, voneinander unabhängig mit Energie zu versorgen und derart gegen Einwirkungen von außen sowie aus Notstandsfällen zu schützen, dass Warte und Notsteuerstelle nicht gleichzeitig außer Funktion gesetzt werden können.

3.8 (4)

Die Warte und die Notsteuerstelle sind unter Berücksichtigung ergonomischer Gesichtspunkte so zu gestalten, dass die Voraussetzungen für das sicherheitstechnisch erforderliche Verhalten der Beschäftigten gegeben sind.

3.8 (5)

Es müssen geeignete Alarmierungseinrichtungen und Kommunikationsmittel vorhanden sein, durch die allen in der Anlage anwesenden Personen von mindestens einer zentralen Stelle aus Verhaltensanweisungen bei Ereignissen auf allen Sicherheitsebenen gegeben werden können.

3.8 (6)

Es müssen Rettungswege vorhanden sein zur Rettung und Flucht von Menschen aus allen Gefahrensituationen.

3.8 (7)

Die für den Notfallstab vorgesehenen Räume müssen geeignet ausgestattet sein. Die Warte und die für den Notfallstab vorgesehenen Räume müssen unter den bei Ereignissen der Sicherheitsebenen 4b und 4c zu erwartenden Bedingungen sowie während der Durchführung von geplanten Notfallmaßnahmen zugänglich und nutzbar bleiben.

3.9

Anforderungen an die elektrische Energieversorgung

3.9 (1)

Die elektrische Energieversorgung des Kernkraftwerks muss so ausgelegt sein, dass die elektrische Versorgung der Verbraucher, die Funktionen auf den Sicherheitsebenen 1 bis 4a, bei Einwirkungen von innen und außen sowie bei Notstandsfällen ausführen, unter Einhaltung ihrer elektrischen Versorgungsbedingungen sichergestellt ist. Die elektrische Energieversorgung muss so zuverlässig ausgelegt sein, dass sie die Nichtverfügbarkeit der zu versorgenden Systeme, deren Ausfall zu sicherheitstechnisch nachteiligen Folgen führen kann, nicht bestimmt.

3.9 (2)

Hierzu müssen mindestens zwei Netzanschlüsse für die elektrische Energieversorgung des Kernkraftwerks vorhanden sein. Diese Netzanschlüsse müssen funktional getrennt sowie schutztechnisch entkoppelt sein. Soweit sich die Schalter der Netzanschlüsse zwischen Kraftwerk und Netz nicht im Verantwortungsbereich des Genehmigungsinhabers befinden, ist durch den Genehmigungsinhaber mittels geeigneter Maßnahmen sicherzustellen, dass die Auslegung der Netzanschlüsse den sicherheitstechnischen Anforderungen des Kernkraftwerkes entspricht.

Zusätzlich zur elektrischen Energieversorgung aus den Netzanschlüssen und dem Blockgenerator müssen für das Sicherheitssystem, die Notstandseinrichtungen und weitere für die Sicherheit erforderliche Einrichtungen zuverlässige Notstromanlagen mit Dieselaggregaten, Batterien, Gleichrichtergeräten und Umformern vorhanden sein, die die elektrische Energieversorgung dieser Einrichtungen bei Ausfall der Netzeinspeisung und des Blockgenerators gewährleisten.

Die Notstromanlagen sind redundant, räumlich getrennt, grundsätzlich unvermascht, voneinander funktionell unabhängig und gegeneinander geschützt aufzubauen. Dabei muss die Redundanz der Notstromanlagen mindestens der Redundanz der zu versorgenden verfahrenstechnischen Einrichtungen entsprechen. Die Kapazität jeder Batterie jeweils einer Redundanz ist so auszulegen, dass eine Entladezeit für mindestens zwei Stunden für die Ereignisse der Sicherheitsebenen 2 bis 4a sichergestellt wird.

Eine Vermaschung der einzelnen Stränge der Notstromanlagen ist im Einzelfall dann zulässig, wenn nachgewiesen ist, dass die Zuverlässigkeit des Notstromsystems dadurch nicht unzulässig gemindert wird. Dabei ist darauf zu achten, dass keine in Betracht zu ziehende Versagensmöglichkeit mehr als einen Strang ausfallen lassen kann.

Zusätzlich dazu ist eine Möglichkeit der elektrischen Energieversorgung vorzusehen, die unabhängig von diesen Versorgungsmöglichkeiten die elektrische Leistung für die Abführung der Nachwärme mit einer Nachkühlredundanz sicherstellt (Notstrom-Netzanschluss).

3.9 (3)

Bei der Auslegung von Komponenten, die elektrische, elektromechanische oder elektromagnetische Bauteile sowie einfach aufgebaute analog-elektronische Baugruppen enthalten, sind die Potentiale für systematische Ausfälle dieser Komponenten zu analysieren. Es sind Vorkehrungen zur Minderung der Eintrittswahrscheinlichkeit systematischer Ausfälle derart zu treffen, dass ein systematischer Ausfall nicht mehr unterstellt werden muss oder aber die Auswirkungen systematischer Ausfälle sind zu beherrschen.

Bei der Auslegung von Komponenten, die komplexe elektronische Baugruppen (programmierbar oder nicht programmierbar) enthalten, sind fehlervermeidende und fehlerbeherrschende Vorkehrungen auf Komponentenebene sowie gegebenenfalls fehlerbeherrschende Vorkehrungen auf Systemebene zu ergreifen, sodass redundanzübergreifende systematische Ausfälle auf Systemebene der jeweils betroffenen Sicherheitsebene verhindert werden.

Hinweis:

Einfach bedeutet hier, dass sowohl die Funktion sowie das Ausfallverhalten der Komponente auf Basis der Gesetzmäßigkeiten der Elektrotechnik deterministisch bestimmbar sind.

Komplex bedeutet hier, dass sowohl die Funktion sowie das Ausfallverhalten der Komponente auf Basis der Gesetzmäßigkeiten der Elektrotechnik nicht mehr deterministisch bestimmbar sind.

3.9 (4)

Die notwendige elektrische Energieversorgung für die Durchführung der geplanten Maßnahmen des anlageninternen Notfallschutzes ist für einen Zeitraum von 10 Stunden ohne externe Hilfe sicherzustellen.

Durch Maßnahmen und Einrichtungen des anlageninternen Notfallschutzes ist die Wiederherstellung der elektrischen Energieversorgung nach einem Ausfall der nicht durch Batterien gepufferten elektrischen Energieversorgung sicherzustellen.

Zur Gewährleistung der elektrischen Energieversorgung bei längerer Nichtverfügbarkeit der o. g. Netzanschlüsse oder aller externen Netze sind Ersatzmaßnahmen vorzusehen, sodass spätestens nach drei Tagen die elektrische Energieversorgung mit diesen übernommen werden kann. Die dafür benötigten Einrichtungen sind entweder auf dem Kraftwerksgelände oder im Nahbereich der Anlage vorzuhalten und gegen Einwirkungen von außen zu schützen. Für diese Einrichtungen der elektrischen Energieversorgung sind mindestens zwei geeignete Einspeisepunkte vorzusehen.

Die bereitzustellende elektrische Leistung muss ausreichen, um die Nachwärme im jeweiligen Anlagenzustand mit den Systemen oder den geplanten Maßnahmen des anlageninternen Notfallschutzes unter Beachtung der Anforderungen der Nummer 2.5 (1) abzuführen.

3.10

Anforderungen an die Handhabung und Lagerung der Brennelemente

3.10 (1)

Die Kontrolle der Reaktivität bei der Brennelementhandhabung und -lagerung ist auf den Sicherheitsebenen 1 bis 4a, bei Einwirkungen von innen und außen sowie bei Notstandsfällen in allen Betriebsphasen sicherzustellen.

3.10 (2)

Es sind Maßnahmen und Einrichtungen zur Handhabung und Lagerung der unbestrahlten und bestrahlten Brennelemente derart vorzusehen, dass ein Kritikalitätsereignis in den Lagereinrichtungen auch unter Störfallbedingungen, bei Einwirkungen von innen und außen sowie bei Notstandsfällen nicht zu unterstellen ist.

3.10 (3)

Die Kühlung der Brennelemente ist auf den Sicherheitsebenen 1 bis 4a, bei Einwirkungen von innen und außen sowie bei Notstandsfällen in allen Betriebsphasen sicherzustellen.

3.10 (4)

Die Nachwärmeabfuhr aus dem Brennelementlagerbecken muss in allen Betriebszuständen auch bei Ausfall der primären Wärmesenke aufgrund von Ausfallursachen im Bereich der Kühlwasserentnahmen und Kühlwasserrückführungen durch eine diversitäre Wärmesenke sichergestellt werden (gegebenenfalls auch durch verschiedene Wärmesenken in Kombination). Die hierfür benötigten Einrichtungen müssen mindestens den Anforderungen an Notfallmaßnahmen genügen; deren Wirksamkeit ist nachzuweisen.

Die Verfügbarkeit dieser diversitären Wärmesenke muss auch bei den Einwirkungen von außen gewährleistet sein.

3.11

Anforderungen an den Strahlenschutz

3.11 (1)

Im Kernkraftwerk müssen die personellen, organisatorischen, räumlichen und apparativen Voraussetzungen gegeben sein, um eine hinreichend genaue und zuverlässige Strahlenschutzüberwachung in der Anlage auf allen Sicherheitsebenen im erforderlichen Umfang gewährleisten zu können.

3.11 (2)

Im Kernkraftwerk müssen die personellen, organisatorischen und apparativen Voraussetzungen gegeben sein, um im jeweils erforderlichen Umfang Art, Menge und Konzentration der mit der Fortluft und dem Abwasser abzuleitenden radioaktiven Stoffe hinreichend genau und zuverlässig zu überwachen, zu registrieren sowie die Ableitung erforderlichenfalls zu begrenzen.

3.11 (3)

Es müssen die personellen, organisatorischen und apparativen Voraussetzungen gegeben sein, um eine Strahlenschutzüberwachung der Umgebung auf den Sicherheitsebenen 1 bis 4 und bei Einwirkungen von innen oder außen sowie bei Notstandsfällen im erforderlichen Umfang hinreichend schnell, genau und zuverlässig durchführen zu können.

3.11 (4)

Im Kernkraftwerk müssen Maßnahmen und Einrichtungen vorgesehen sein, die eine sichere Handhabung, Einschließung und Lagerung der unbestrahlten und bestrahlten Brennelemente und sonstiger radioaktiver Stoffe ermöglichen. Diese Maßnahmen müssen so konzipiert und diese Einrichtungen so beschaffen, angeordnet und abgeschirmt sein, dass eine unzulässige Strahlenexposition des Eigen- und Fremdpersonals und in der Umgebung sowie die Freisetzung radioaktiver Stoffe in die Umgebung verhindert wird.

Dabei sind die Anzahl und Dauer von Tätigkeiten des Personals in Strahlungsfeldern und die Möglichkeiten der Personenkontamination und Inkorporation unter Berücksichtigung aller Umstände des Einzelfalls so gering wie möglich zu halten.

3.11 (5)

Auslegung und Betrieb der Anlage sind so zu planen, dass der Anfall von radioaktiven Abfällen und von schadlos zu verwertenden radioaktiven Stoffen nach Aktivität und Menge unter Berücksichtigung aller Umstände des Einzelfalls so gering wie möglich gehalten wird.

3.11 (6)

Bei der Planung von Maßnahmen des anlageninternen Notfallschutzes sind Maßnahmen zur Reduzierung der voraussichtlichen radiologischen Auswirkungen unter Berücksichtigung aller Umstände des Einzelfalls einzubeziehen, sofern Freisetzungen in die Umgebung zu besorgen sind.

3.11 (7)

Kernkraftwerke müssen so beschaffen sein, dass sie unter Einhaltung der Strahlenschutzbestimmungen stillgelegt werden können. Es muss ein Konzept für eine Beseitigung nach der endgültigen Stilllegung unter Einhaltung der Strahlenschutzbestimmungen vorhanden sein.

4.1

Betriebszustände, Störungen und Störfälle

4.1 (1)

Der Auslegung der gemäß Nummer 2.1 (3a) auf den Sicherheitsebenen 1 bis 3 zu verwirklichenden Maßnahmen und Einrichtungen sind jeweils zu Grunde zu legen:

–

in der Sicherheitsebene 1 zu erwartende Betriebszustände, einschließlich von Prüfzuständen,

–

in der Sicherheitsebene 2 Ereignisse, deren Eintreten während der Betriebsdauer der Anlage zu erwarten ist sowie

–

in der Sicherheitsebene 3 ein abdeckendes Spektrum an Ereignissen, deren Eintreten während der Betriebsdauer der Anlage auf Grund der Zuverlässigkeit und Wirksamkeit der vorhandenen Maßnahmen und Einrichtungen nicht zu erwarten, jedoch dennoch zu unterstellen ist.

4.1 (2)

Die Auslegung der jeweiligen Maßnahmen und Einrichtungen muss derart erfolgen, dass für die zu berücksichtigenden Betriebszustände und Ereignisse unter Berücksichtigung festgelegter Randbedingungen nachgewiesen wird, dass die jeweilig geltenden sicherheitstechnischen Nachweisziele und Nachweiskriterien (siehe Anhang 2) erfüllt werden.

4.1 (3)

Die Vollständigkeit und der abdeckende Charakter der zu betrachtenden Ereignisse sind anlagenspezifisch zu gewährleisten.

Hinweis:

Siehe hierzu Anhang 2.

4.1 (4)

Für definierte Ereignisse können optional Nachweise dahingehend geführt werden, dass durch spezielle Vorsorgemaßnahmen der Eintritt dieser Ereignisse als verhindert bewertet werden kann. Diese Ereignisse sind in den Ereignislisten im Anhang 2 gesondert gekennzeichnet.

Qualität und Zuverlässigkeit der zu treffenden Vorsorgemaßnahmen hat sich an den potentiellen Auswirkungen zu orientieren.

Bei Ereignissen, deren Eintreten bei Vorhandensein spezieller Vorsorgemaßnahmen verhindert ist, ist die Nachweisführung auf die Einhaltung der Anforderungen an die Wirksamkeit und Zuverlässigkeit der hierzu realisierten Vorsorgemaßnahmen zu beziehen.

Hinweis:

Siehe hierzu Anhang 2.

4.2

Einwirkungen von innen und außen sowie aus Notstandsfällen

4.2 (1)

Der Auslegung der Einrichtungen gemäß Nummer 2.4 (1) sind zu Grunde zu legen:

a)

die jeweils folgenschwersten Einwirkungen von innen oder zu unterstellender Einwirkungen von außen;

b)

die Besonderheiten lange andauernder Einwirkungen von außen;

c)

Kombinationen mehrerer zu unterstellender Einwirkungen von außen (z. B. Erdbeben, Hochwasser, Sturm, Blitz) sowie aus Notstandsfällen untereinander oder Kombinationen dieser Einwirkungen mit anlageninternen Ereignissen (z. B. Rohrleitungsbruch, Brände in der Anlage, Notstromfall). Diese Kombinationen müssen dann unterstellt werden, wenn die zu kombinierenden Ereignisse in einem kausalen Zusammenhang stehen können oder wenn ihr gleichzeitiges Eintreten auf Grund der Wahrscheinlichkeit und des Schadensausmaßes in Betracht zu ziehen ist.

4.2 (2)

Als die folgenschwersten Einwirkungen von außen sind diejenigen Einwirkungen zu unterstellen, die nach dem Stand von Wissenschaft und Technik standortspezifisch anzunehmen sind. Dabei ist auch die zukünftige Entwicklung der Eigenschaften des Standortes im Hinblick auf die zu betrachtenden Einwirkungen von außen einzubeziehen.

4.3

Ereignisse mit Mehrfachversagen von Sicherheitseinrichtungen

4.3 (1)

Zur Ermittlung der repräsentativen Ereignisabläufe für die Planung von präventiven Maßnahmen des anlageninternen Notfallschutzes sind im Rahmen einer Gesamtbetrachtung die Ergebnisse aus deterministischen und probabilistischen Sicherheitsanalysen, Betriebserfahrungen sowie Ergebnisse der Reaktorsicherheitsforschung und internationale Empfehlungen heranzuziehen. Dabei sind die Ereignisabläufe, die nach den Ergebnissen probabilistischer Sicherheitsanalysen einen dominierenden Beitrag zur Kernschmelzhäufigkeit liefern und darüber hinaus insbesondere diejenigen, die zur unmittelbaren Freisetzung radioaktiver Stoffe in die Umgebung führen können, zu berücksichtigen.

4.3 (2)

Das der Planung von präventiven Maßnahmen des anlageninternen Notfallschutzes zugrunde zu legende anlagentypspezifische Spektrum von Ereignisabläufen muss mindestens Ereignisse aus den folgenden Ereignisgruppen umfassen:

–

Transienten,

–

Kühlmittelverluststörfälle innerhalb des Sicherheitsbehälters infolge der maximal zu unterstellenden Lecks am Reaktorkühlkreislauf,

–

Kühlmittelverluststörfälle mit Umgehung des Sicherheitsbehälters und

–

Einwirkungen von außen und innen, soweit diese Einwirkungen zu Mehrfachausfällen von Sicherheitseinrichtungen führen können.

Unter Annahme eines Mehrfachversagens von Sicherheitseinrichtungen sind die für die Planung heranzuziehenden repräsentativen Ereignisabläufe zu bestimmen.

4.3 (3)

Für die Planung von präventiven Maßnahmen des anlageninternen Notfallschutzes zur Wiederherstellung und dem Erhalt der Kühlung der Brennelemente im Brennelementlagerbecken sind insbesondere Ereignisabläufe mit

–

vollständigem Ausfall der auf den Sicherheitsebenen 1 bis 3 vorhandenen Systeme zur Wärmeabfuhr aus dem Brennelementlagerbecken sowie

–

Kühlmittelverlust aus dem Brennelementlagerbecken mit Unterschreitung des zum Betrieb der Systeme zur Wärmeabfuhr erforderlichen Mindestfüllstands

zu unterstellen.

4.3 (4)

Für die unter den Nummern 4.3 (2) und 4.3 (3) genannten Ereignisabläufe ist bei der Planung von präventiven Maßnahmen des anlageninternen Notfallschutzes die Möglichkeit des vollständigen Ausfalls jeweils einer der zur Beherrschung der Ereignisse auf der Sicherheitsebene 3 erforderlichen Sicherheitsfunktionen zu analysieren. Dabei sind getrennt jeweils der Ausfall der erforderlichen Sicherheitseinrichtungen sowie zum anderen der Ausfall jeweils einer der für die Sicherheitseinrichtungen gegebenenfalls erforderlichen Versorgungsfunktionen zu analysieren.

4.4

Unfälle mit schweren Brennelementschäden

4.4 (1)

Für die Planung von mitigativen Maßnahmen des anlageninternen Notfallschutzes der Sicherheitsebene 4c ist ein Ereignisspektrum zu Grunde zu legen, das alle relevanten Phänomene bei Unfällen mit schweren Brennelementschäden berücksichtigt.

Dabei sind insbesondere Phänomene zu berücksichtigen, die die Integrität des Sicherheitsbehälters sowie im Falle der Lagerung bestrahlter Brennelemente im Brennelementlagerbecken außerhalb des Sicherheitsbehälters die bauliche Hülle gefährden.

Darüber hinaus sind Phänomene zu berücksichtigen, die Auswirkungen auf die Freisetzung radioaktiver Stoffe und mögliche Freisetzungspfade in die Umgebung haben.

4.4 (2)

Für den Fall, dass für Ereignisabläufe oder Anlagenzustände keine Notfallmaßnahmen vorgeplant wurden oder die implementierten Notfallmaßnahmen nicht wirksam sind, sind Handlungsempfehlungen für den Notfallstab vorzuhalten. Die prinzipielle Eignung der Handlungsempfehlungen zur Erreichung der Schutzziele ist zu zeigen.

5.5 (1)

Der Genehmigungsinhaber muss über Nachweise zur Sicherheit der Anlage verfügen.

Die Nachweisführungen müssen vollständig und nachvollziehbar dokumentiert werden. Sie sind, soweit geboten, zu aktualisieren.

Hinweis:

Konkretisierungen hierzu sind in Anhang 5 dargestellt.

5 (2)

Zur Nachweisführung der Erfüllung der technischen Sicherheitsanforderungen sind deterministische Methoden sowie die probabilistische Sicherheitsanalyse heranzuziehen:

Die deterministischen Methoden umfassen

a)

die rechnerische Analyse von Ereignissen oder Zuständen,

b)

die Messung oder das Experiment,

c)

die ingenieurmäßige Bewertung.

5 (3)

Als Grundlage für Nachweisführungen müssen vorliegen:

a)

eine aktuelle Zusammenstellung der sicherheitstechnisch wichtigen Informationen über den bestehenden Zustand der betroffenen Maßnahmen und Einrichtungen sowie

b)

eine Dokumentation, dass der bestehende Zustand der betroffenen sicherheitstechnisch wichtigen Maßnahmen und Einrichtungen die aktuell geltenden Anforderungen erfüllt.

5 (4)

Bei der rechnerischen Analyse von Ereignisabläufen oder Zuständen müssen

a)

für den jeweiligen Anwendungsbereich validierte Berechnungsverfahren verwendet sowie

b)

mit der Berechnung verbundene Unsicherheiten quantifiziert oder durch geeignete Verfahren abgedeckt werden.

5 (5a)

In Ergänzung der deterministischen Nachweisführungen muss durch probabilistische Sicherheitsanalysen (PSA) die Ausgewogenheit der sicherheitstechnischen Auslegung überprüft werden.

5 (5b)

In Ergänzung der deterministischen Nachweisführungen müssen probabilistische Sicherheitsanalysen zudem durchgeführt werden, um die sicherheitstechnische Relevanz

–

von Änderungen an Maßnahmen, Einrichtungen oder der Betriebsweise der Anlage sowie

–

von Erkenntnissen, die aus aufgetretenen sicherheitsrelevanten Ereignissen oder Phänomenen bekannt geworden sind und deren Übertragbarkeit auf die im Anwendungsbereich der „Sicherheitsanforderungen an KKW“ benannten Kernkraftwerke in Deutschland gegeben ist,

bei denen ein nennenswerter Einfluss auf die Ergebnisse der PSA zu erwarten ist, zu bewerten.

5 (5c)

Durch Änderungen an Maßnahmen, Einrichtungen oder der Betriebsweise der Anlage darf sich die mittlere Kernschadenshäufigkeit und die mittlere Häufigkeit für große und frühe Freisetzungen für den Leistungs- und Nichtleistungsbetrieb, unter Einbeziehung aller anlageninternen Ereignisse sowie aller Einwirkungen von innen und außen sowie aus Notstandsfällen gegenüber dem ungeänderten Zustand der Anlage nicht verschlechtern.

5 (6)

Eine Messung oder ein Experiment kann als Nachweis herangezogen werden, wenn

a)

die Übertragbarkeit der experimentellen Bedingungen auf die Anlagenzustände des jeweiligen Anwendungszusammenhangs qualifiziert ist und

b)

die mit der Messung verbundenen Unsicherheiten quantifiziert sind.

5 (7)

Ingenieurmäßige Bewertungen können bei Nachweisführungen herangezogen werden, wenn hierzu ein Bewertungsmaßstab vorliegt, der auf technisch-wissenschaftlich nachvollziehbaren Grundlagen beruht.

5 (8)

Die ergonomische Gestaltung der Voraussetzungen für zuverlässiges Handeln gemäß Nummer 3.1 (13) muss mit geeigneten Bewertungsverfahren nachgewiesen werden.

6 (1)

Für den sicheren Betrieb einer Anlage sind schriftliche Anweisungen zu erstellen, in denen festgelegt sind:

a)

Ein hinreichend vollständiger Satz an Vorgaben, bei deren Einhaltung gewährleistet ist, dass die Auslegung, die Überwachung und der Betrieb der Anlage den Sicherheitsanforderungen und Bedingungen der Genehmigung entspricht. Die Vorgaben müssen insbesondere verfahrenstechnische Grenzwerte, einzuhaltende Anlagenzustände, Wirksamkeits-, Verfügbarkeits- und relevante Randbedingungen sicherheitstechnisch wichtiger Anlagenteile umfassen (Grenzwerte und Bedingungen des sicheren Betriebs).

Die Festlegung der Grenzwerte und Bedingungen des sicheren Betriebs muss nachvollziehbar auf der Basis der Anlagenauslegung, der Sicherheitsanalysen, der Genehmigungsbedingungen und der Erfahrungen aus Inbetriebnahme und Betrieb begründet sein. Die Festlegung der Grenzwerte und Bedingungen des sicheren Betriebs muss alle Betriebsphasen umfassen.

b)

Handlungsanweisungen für den Fall von Abweichungen von Grenzwerten und Bedingungen des sicheren Betriebs.

c)

Die Vorgaben, die einzuhalten sind, um Ereignisse der Sicherheitsebenen 2 bis 4a, Ereignisse aus Einwirkungen von innen und außen sowie Notstandsfällen zu vermeiden sowie zu beherrschen. Die Vorgaben müssen alle Maßnahmen beinhalten, die zur Erhaltung sowie zum Erreichen eines sicheren Anlagenzustands erforderlich sind.

d)

Die implementierten Notfallmaßnahmen und Handlungsempfehlungen des anlageninternen Notfallschutzes. Die Einstiegskriterien für deren Anwendung sind festzulegen. Es müssen Kriterien festgelegt sein, anhand derer festgestellt werden kann, ob die langfristige Einhaltung der Schutzziele gewährleistet oder ein langfristig kontrollierbarer Anlagenzustand erreicht ist.

e)

Die erforderlichen wiederkehrenden Prüfungen an sicherheitstechnisch wichtigen Maßnahmen und Einrichtungen.

f)

Die für die Gewährleistung eines sicheren Anlagenbetriebs relevanten organisatorischen Regelungen (Aufbau- und Ablauforganisation).

g)

Die Mindestanforderungen an die Anzahl und die Qualifikation des Personals sowie die personellen Mindestverfügbarkeiten in der Anlage zur Sicherstellung eines sicheren Anlagenbetriebs und der Beherrschung von Ereignissen der Sicherheitsebenen 2 bis 4. Dabei sind auch auslösende Ereignisse oder Folgeereignisse von Einwirkungen von innen und außen sowie Notstandsfällen und Personenunfälle zu berücksichtigen.

h)

Die organisatorischen Voraussetzungen für den anlageninternen Notfallschutz.

6 (2)

Die Unterlagen gemäß Nummer 6 (1) müssen für das Personal auf der Warte und gemäß Nummern 6 (1) Buchstabe a bis d auf der Notsteuerstelle in leicht zugänglicher und in übersichtlicher Form bereitgestellt sein.

Alle für die Arbeit des Notfallstabs erforderlichen Unterlagen sind in den Räumen des Notfallstabes verfügbar zu halten.

6 (3)

Die Unterlagen gemäß Nummer 6 (1) sind aktuell zu halten. Für die Aktualisierung oder Änderung der Unterlagen ist ein geregeltes Verfahren vorzusehen, das den Erfahrungsrückfluss und Fortentwicklungen des Standes von Wissenschaft und Technik berücksichtigt.

6 (4)

Entsprechend ihrer sicherheitstechnischen Bedeutung müssen für alle sicherheitstechnisch wichtigen Einrichtungen Spezifikationen, Auslegungsvorschriften, Werkstoffvorschriften, Bauvorschriften und Prüfvorschriften sowie Betriebsvorschriften und Instandhaltungsvorschriften vorhanden sein.

In den Prüfvorschriften sind Vorprüfungen, Werkstoffprüfungen, Bauprüfungen, Druckprüfungen, Abnahmeprüfungen und Funktionsprüfungen sowie regelmäßig wiederkehrende Prüfungen im Einzelnen festzulegen.

Die Einhaltung dieser Vorschriften ist im Rahmen eines Qualitätsgewährleistungsprogramms zu überwachen. Das Ergebnis der Qualitätsüberwachung mit den Ergebnissen der Prüfungen ist zu dokumentieren. Die zur Beurteilung der Qualität notwendigen Unterlagen über Auslegung, Fertigung, Errichtung und Prüfungen sowie Betrieb und Instandhaltung der sicherheitstechnisch wichtigen Einrichtungen sind bis zum Abbau der Einrichtungen verfügbar zu halten.

7 (1)

Der Genehmigungsinhaber muss eine systematische, vollständige, qualifizierte und aktuelle Dokumentation des Zustandes des Kernkraftwerks verfügbar halten.

Hinweis:

Konkretisierungen hierzu sind in Anhang 5 dargestellt.

1 (1)

Für die in den nachfolgenden generischen Ereignislisten für DWR und SWR zusammengestellten Ereignisse (im Folgenden Ereignislisten genannt) ist mittels rechnerischer Analysen nachzuweisen, dass die in den „Sicherheitsanforderungen an Kernkraftwerke“ gestellten Anforderungen erfüllt sind. Insbesondere ist für diese Ereignisse unter Berücksichtigung von Anhang 5 „Anforderungen an die Nachweisführung und Dokumentation“ der „Sicherheitsanforderungen an Kernkraftwerke“ nachzuweisen, dass die auf den verschiedenen Sicherheitsebenen geltenden sicherheitstechnischen Nachweisziele erreicht und die Nachweiskriterien eingehalten werden.

Hinweis:

In den Ereignislisten sind den Ereignissen die jeweils betroffenen Schutzziele

–

Kontrolle der Reaktivität (R),

–

Kühlung der Brennelemente (K) und

–

Einschluss radioaktiver Stoffe (B)

zugeordnet. Diejenigen Ereignisse, die für die Nachweisführung zur Einhaltung radiologischer Sicherheitsziele von Bedeutung sind, sind mit (S) gekennzeichnet.

Die den Sicherheitsebenen 2 bis 4a zugeordneten Nachweisziele und -kriterien sind für jedes Schutzziel in den Tabellen 3.1a – c für die Reaktoranlage sowie in Tabelle 3.2 für die Brennelementlagerung und -handhabung tabellarisch dargestellt, für die radiologischen Sicherheitsziele in Tabelle 3.3.

1 (2)

Die Nachweise nach der Nummer 1 (1) erfolgen unter Zugrundelegung der in den Tabellen 4.1 und 4.2 für DWR und SWR definierten Betriebsphasen.

Sofern in den Betriebsvorschriften einer Anlage andere Betriebsphasendefinitionen als die in den vorgenannten Tabellen für die Ereignisanalysen gewählt werden, sind die Ereignislisten und die den Ereignissen zugeordneten Nachweisziele und Nachweiskriterien entsprechend anzupassen.

1 (3)

Bei definierten Ereignissen, deren Eintreten durch spezielle Maßnahmen und Einrichtungen – im Folgenden Vorsorgemaßnahmen genannt – verhindert werden kann, ist die Nachweisführung auf die Einhaltung der Anforderungen für die Wirksamkeit und Zuverlässigkeit dieser Vorsorgemaßnahmen zu beziehen.

Für diese in den Ereignislisten mit VM gekennzeichneten Ereignisse sind rechnerische Analysen dann nicht erforderlich, wenn die angegebenen Vorsorgemaßnahmen als getroffen nachgewiesen sind.

Hinweis:

Weitergehende und ereignisspezifische Anforderungen für diese Vorsorgemaßnahmen sind in Anhang 3 der „Sicherheitsanforderungen an Kernkraftwerke“ enthalten.

2 (1)

Sofern anlagenspezifische Gegebenheiten Abweichungen gegenüber den in den Ereignislisten angegebenen Randbedingungen bei der analytischen Nachweisführung erfordern, sind die Abweichungen begründet darzulegen und nachvollziehbar zu dokumentieren.

2 (2)

Sind bei der Nachweisführung nur Teilaspekte der jeweiligen Ereignisliste von Bedeutung, kann die Nachweisführung auf die betroffenen Teilaspekte beschränkt werden.

2 (3)

Die Nachweisführung muss sich vom Eintritt eines Ereignisses bis zum Erreichen eines kontrollierten Anlagenzustandes erstrecken; bei der Ermittlung eines Quellterms für radiologische Nachweise bis zur Beendigung der Freisetzung.

2 (4)

Bei der anlagenspezifischen Anwendung der Ereignislisten ist für die Sicherheitsebenen 2 bis 4a die Vollständigkeit und der repräsentative Charakter der in den Ereignislisten genannten Ereignisse für alle relevanten Betriebszustände zu überprüfen.

Hierzu sind grundsätzlich folgende Arbeitsschritte durchzuführen:

a)

Abgleich der im Zusammenhang mit Errichtungs-, Betriebs- und Änderungsgenehmigungen sowie Sicherheitsüberprüfungen gemäß § 19a AtG untersuchten Ereignisse mit den in den Ereignislisten (Tabellen 5.1 bis 5.3) zusammengestellten Ereignissen.

b)

Überprüfung des repräsentativen Charakters der Ereignislisten und – falls erforderlich – anlagenspezifische Ergänzung oder Anpassung der Listen.

c)

Soweit für die Sicherheitsebenen 2 bis 4a unter anlagenspezifischen Gesichtspunkten zweckmäßig, kann die aufgelistete Gesamtheit der Ereignisse gemäß Buchstabe b auf für die Nachweisführung repräsentative Ereignisabläufe zurückgeführt werden. Die Rückführung auf repräsentative Ereignisabläufe ist detailliert und nachvollziehbar zu begründen, wobei zu zeigen ist, dass die nicht analysierten Ereignisse durch die repräsentativen Ereignisse abgedeckt sind.

d)

Nachweis der Einhaltung der relevanten Nachweiskriterien sowie der übergeordneten Anforderungen für alle Ereignisse der unter Berücksichtigung der Buchstaben b und c erzeugten anlagenspezifischen Ereignislisten.

2 (5)

Die Nachweise zur Einhaltung der Nachweiskriterien müssen die in Anlage 1 dargelegte Zuordnung von Beanspruchungsstufen der druckführenden Umschließung, der Äußeren Systeme und des Sicherheitsbehälters zu den in den Ereignislisten aufgeführten Ereignissen berücksichtigen.

Tabelle 3.1a:

Sicherheitstechnische Nachweisziele und Nachweiskriterien der Sicherheitsebenen 2 bis 4a für die Reaktoranlage und das Schutzziel „Kontrolle der Reaktivität“

Tabelle 3.1b:

Sicherheitstechnische Nachweisziele und Nachweiskriterien der Sicherheitsebenen 2 bis 4a für die Reaktoranlage und das Schutzziel „Kühlung der Brennelemente“

Tabelle 3.1c:

Sicherheitstechnische Nachweisziele und Nachweiskriterien der Sicherheitsebenen 2 bis 4a für die Reaktoranlage und das Schutzziel „Einschluss der radioaktiven Stoffe“

Tabelle 3.2: Sicherheitstechnische Nachweisziele und -kriterien der Sicherheitsebenen 2 bis 3 für die Brennelementlagerung und -handhabung

Tabelle 3.3: Radiologische Sicherheitsziele der Sicherheitsebenen 2 bis 4a für die Reaktoranlage und die Brennelementlagerung und -handhabung

Tabelle 4.1: Definition der Betriebsphasen für DWR

Tabelle 4.2: Definition der Betriebsphasen für SWR

Hinweis:

Erläuterungen zu den Ereignislisten

Die Ereignislisten umfassen für den Leistungs- und Nichtleistungsbetrieb von DWR und SWR die Sicherheitsebenen 2 bis 4a sowie für das Brennelement-Lagerbecken (bei DWR und SWR) die Sicherheitsebenen 2 bis 3 gemäß den „Sicherheitsanforderungen an Kernkraftwerke“. Für die Sicherheitsebenen 2 bis 4a liegen umfassende Ereignisspektren vor. Bei der anlagenspezifischen Überprüfung kann diese Auflistung mit dokumentierter Begründung gemäß Nummer 2 (4) auf repräsentative Ereignisse kondensiert oder entsprechend der Genehmigungssituation erweitert oder modifiziert werden. Die Vorgehensweise auf den Sicherheitsebenen 4b und 4c ist in gesonderten Regelungen dargestellt.

Ereignisse, die auf Grund von Einwirkungen von innen und außen sowie bei Notstandsfällen zu berücksichtigen sind, sind im Anhang 3 der „Sicherheitsanforderungen an Kernkraftwerke“ aufgelistet.

Ereignisse infolge Störmaßnahmen oder sonstiger Einwirkungen Dritter sind nicht Gegenstand der Ereignislisten.

Die Ereignislisten sind innerhalb der einzelnen Sicherheitsebenen in Ereigniskategorien unterteilt.

Folgende Ereigniskategorien sind zwecks Strukturierung der Listen anlagentypspezifisch gewählt worden, wobei zu beachten ist, dass nicht alle Kategorien in jeder Sicherheitsebene, jedem Betriebszustand oder für jede Betriebsphase von Relevanz sind.

Für den DWR gelten:

–

Veränderung der sekundärseitigen Wärmeabfuhr,

–

sekundärseitige Wärmeabfuhr-Leckstörfälle,

–

Durchsatzänderung im Primärkreislauf,

–

Druckänderung im Primärkreislauf,

–

Zunahme Reaktorkühlmittelinventar,

–

Abnahme Reaktorkühlmittelinventar,

–

Ausfall der Nachwärmeabfuhr,

–

Änderung der Reaktivität und der Leistungsverteilung,

–

Kühlmittelverlust innerhalb des Sicherheitsbehälters,

–

Kühlmittelverlust außerhalb des Sicherheitsbehälters,

–

Freisetzung radioaktiver Stoffe aus nuklearen Hilfssystemen,

–

Ausfall in der Energieversorgung,

–

Ereignisse infolge einer Einwirkung von innen und

–

Betriebstransiente mit unterstelltem Ausfall des Schnellabschaltsystems (ATWS).

Für den SWR gelten:

–

Frischdampf- oder speisewasserseitige Veränderung der Wärmeabfuhr,

–

Durchsatzänderung im Reaktorkühlsystem,

–

Zunahme Reaktorkühlmittelinventar,

–

Abnahme Reaktorkühlmittelinventar,

–

Ausfall der Nachwärmeabfuhr,

–

Änderung der Reaktivität und der Leistungsverteilung,

–

Kühlmittelverlust innerhalb des Sicherheitsbehälters, nicht absperrbar,

–

Kühlmittelverlust außerhalb des Sicherheitsbehälters,

–

Freisetzung radioaktiver Stoffe aus nuklearen Hilfssystemen,

–

Ausfall in der Energieversorgung,

–

Ereignisse infolge einer Einwirkung von innen und

–

Betriebstransiente mit unterstelltem Ausfall des Schnellabschaltsystems (ATWS).

Für das Brennelement-Lagerbecken gelten sowohl für den DWR als auch den SWR die folgenden Ereigniskategorien:

–

Verringerte Wärmeabfuhr aus dem Brennelement-Lagerbecken,

–

Kühlmittelverlust aus dem Brennelement-Lagerbecken,

–

Ausfall in der Energieversorgung,

–

Reaktivitätsänderungen im Brennelement-Lagerbecken und

–

Ereignisse bei Handhabung und Lagerung von Brennelementen.

Der Spaltenaufbau der Ereignislisten beginnt mit der Nummerierung (Xy-x; für X wird D (für DWR), S (für SWR) bzw. B (für Becken) verwendet, y steht für die Sicherheitsebene und x stellt die fortlaufende Nummer der Ereignisse in der jeweiligen Ebene oder Tabelle dar) und der Beschreibung der Ereignisse. Es folgen Spalten für die betroffenen Schutzziele, die relevanten Betriebsphasen, zusätzliche Erläuterungen zu den Nachweiskriterien sowie gegebenenfalls Detailangaben zu ergänzenden Randbedingungen oder ereignisspezifische Hinweise.

Die Kennzeichnungen in der Spalte „betroffene Schutzziele“ geben für jedes Ereignis diejenigen Schutzziele an, für die die Wirksamkeit der Maßnahmen und Einrichtungen nachzuweisen ist. Die generell für die einzelnen Schutzziele geltenden Nachweiskriterien sind – sowohl für den Leistungsbetrieb (Betriebsphase A) und Nichtleistungsbetrieb (Betriebsphasen B–F) von DWR und SWR als auch für das Brennelement-Lagerbecken – in Nummer 3 enthalten. Darin sind die Nachweiskriterien für die Sicherheitsebenen und Betriebsphasen spezifiziert.

Ereignisse, für die anstelle des Nachweises der Wirksamkeit von Maßnahmen und Einrichtungen zur Beherrschung des Ereignisses die Möglichkeit besteht, die Wirksamkeit und Zuverlässigkeit von Vorsorgemaßnahmen nachzuweisen, sodass der Eintritt dieser Ereignisse verhindert ist und somit nicht mehr unterstellt zu werden braucht, sind mit VM gekennzeichnet.

In der rechten Spalte werden bei Bedarf ereignisspezifische Randbedingungen präzisiert und ereignisspezifische Erläuterungen gegeben.

Die Spalte „Betriebsphase“ nennt diejenigen Phasen des Kraftwerksbetriebs, in denen das jeweilige Ereignis auftreten kann und von Bedeutung ist.

Der Zeilenaufbau der Listen beginnt mit der Bezeichnung der Sicherheitsebene. Die darauf folgende Zeile bezeichnet die Ereigniskategorie, aus der die nachfolgend aufgeführten Ereignisse abgeleitet sind.

Bei Ereignissen mit Kühlmittelverlust wird zwischen Leckage sowie Leck oder Bruch unterschieden. Eine Leckage ist grundsätzlich ein Ereignis der Sicherheitsebene 2. Die Leckagerate ist so gering, dass das Sicherheitssystem nicht angefordert wird. Dagegen sind Lecks und Brüche Ereignisse der Sicherheitsebene 3. Die Ausströmrate ist hier so groß, dass das Sicherheitssystem automatisch angeregt wird.

Für Lecks und Brüche ist der untersuchte maximale Ausströmquerschnitt davon abhängig, ob für den zu betrachtenden Leitungsabschnitt der Bruchausschluss nachgewiesen ist oder nicht. Die Vorgaben für die grundsätzlich unterstellten Leckquerschnitte und Brüche sind in Anlage 2 beschrieben.

Tabelle 5.1: Ereignisliste Leistungs- und Nichtleistungsbetrieb DWR

Tabelle 5.2: Ereignisliste Leistungs- und Nichtleistungsbetrieb SWR

Tabelle 5.3: Ereignisliste Brennelement-Lagerbecken DWR und SWR

Hinweis:

Den in den „Sicherheitsanforderungen an Kernkraftwerke“ definierten Sicherheitsebenen sind in den vorliegenden Listen Ereignisse zugeordnet. In den KTA-Regeln werden für die Druckführende Umschließung (DfU) und die Äußeren Systeme Lastfälle oder Lastfallklassen (diese sind Dimensionierungs- oder Auslegungsfälle, Montagefälle, normale und anomale Betriebsfälle, Prüffälle und Störfälle) in Beanspruchungsstufen (0, A, B, C, D, P ) eingruppiert, für die jeweils die zulässigen Spannungen zugeordnet sind, ohne dass bis dato ein Bezug zu Ereignissen oder Sicherheitsebenen hergestellt wurde. Nur in der KTA-Regel zur Auslegung des Sicherheitsbehälters aus Stahl werden auch Ereignisse genannt, die den Beanspruchungsstufen 0, 1, 2, 3 zuzuordnen sind. Diese werden aber auch dort nicht Sicherheitsebenen zugeordnet. Für diejenigen Ereignisse der Ereignislisten mit Schutzziel „Einschluss der radioaktiven Stoffe“ sind die jeweils zutreffenden Beanspruchungsstufen der nachfolgenden Matrix zu entnehmen. Dort sind den Sicherheitsebenen die für die Komponenten in den jeweiligen KTA-Regeln definierten Beanspruchungsstufen zugeordnet. Diese Beanspruchungsstufen sind hinsichtlich der Begrenzung von Folgewirkungen an den durch die postulierten Ereignisse betroffenen Komponenten anzuwenden.

Für die Spalten „DfU“ sowie „Äußere Systeme“ der Matrix stellt bei einer Mehrfachnennung von Beanspruchungsstufen innerhalb einer Zelle die erstgenannte Stufe immer den Regelfall dar. Die anderen genannten Stufen können oder müssen verwendet werden, wenn bestimmte Sonderfälle gegeben sind, die durch die nebenstehenden Fußnoten konkretisiert werden. Die Bedeutung der Be­anspruchungsstufen sowie die dazugehörenden Anforderungssätze sind für die DfU derzeit der KTA-Regel 3201.2 zu entnehmen. Entsprechend ist für die Äußeren Systeme die KTA-Regel 3211.2 heranzuziehen. Für den Sicherheitsbehälter werden in Abhängigkeit der zu berücksichtigenden Lastfälle die zu verwendenden Beanspruchungsstufen in Abhängigkeit der zu betrachtenden Beanspruchungskombinationen bestimmt, sodass in der Matrix keine Fußnoten für den Sicherheitsbehälter Verwendung finden. Die den verschiedenen Beanspruchungskombinationen zuzuordnenden Beanspruchungsstufen sowie die unterlagerten Anforderungssätze sind für den Sicherheitsbehälter aus Stahl in der KTA-Regel 3401.2 genannt. Für Sicherheitsbehälter aus Spannbeton mit Stahlliner existiert keine KTA-Regel, sodass hier keine Beanspruchungsstufen genannt werden.

A1 (1)

Die Zuordnung von Beanspruchungsstufen zu Sicherheitsebenen oder zu übergreifenden Einwirkungen ist anlagenspezifisch jeweils so zu erstellen, dass alle Systeme einschließlich der Systemübergänge und Komponenten erfasst werden. Ausgangspunkt ist die nach Sicherheitsebenen gegliederte Zusammenstellung der Belastungszustände pro System. Daraus sind pro Systemabschnitt die Einwirkungen und die zugehörige ereignisbezogene sicherheitstechnische Aufgabenstellung anzugeben sowie die komponentenbezogenen Nachweisanforderungen in Bezug auf Funktion, Standsicherheit und Barrierenwirksamkeit festzulegen.

1

Grundsätze und Voraussetzungen

2

Druckführende Umschließung von DWR

3

Druckführende Umschließung von SWR

4

Äußere Systeme

5

Behälter, Armaturen- und Pumpengehäuse

1 (1)

Die Leckquerschnitte sind postulierte Größen und sind auf die offene Querschnittsfläche F der jeweiligen Leitung zu beziehen.

Hinweis:

Die Anforderungen in den Nummern 2.1 und 3 sind hinsichtlich folgender Nachweisziele gegliedert:

–

Aufrechterhaltung der Kühlung der Brennelemente durch Ausgleich des Kühlmittelverlustes (Auslegung der Notkühlsysteme),

–

Sicherstellung einer abschalt- und kühlbaren Geometrie des Reaktorkerns,

–

Verhinderung der Schadensausweitung auf die druckführende Umschließung, auf Gebäudeteile und auf benachbarte Systeme, die für die Beherrschung des Ereignisses erforderlich sind, und

–

Erhaltung der Barrierenintegrität des Sicherheitsbehälters, bei SWR auch Erhaltung der Funktion des Druckabbaussystems.

1 (2)

Die Anwendung dieser Anlage setzt die Erfüllung der Anforderungen der „Sicherheitsanforderungen an Kernkraftwerke“, Nummer 3.4 voraus.

1 (3)

Für die im Folgenden nicht behandelten Rohrleitungen ist der 2F-Bruch zu postulieren (F = offene Querschnittsfläche).

2.1

Hauptkühlmittelleitung einschließlich Anschlussleitungen DN > 200

Aufrechterhaltung der Kühlung der Brennelemente durch Ausgleich des Kühlmittelverlustes (Auslegung der Notkühlsysteme)

2.1 (1)

Bei der Analyse der Kernnotkühlwirksamkeit sind Leckquerschnitte in den Hauptkühlmittelleitungen bis einschließlich 2F zu Grunde zu legen. Die Notkühlsysteme sind entsprechend auszulegen.

Sicherstellung einer abschalt- und kühlbaren Geometrie des Reaktorkerns

2.1 (2)

Als Belastungsannahme für die Einbauten des Reaktordruckbehälters und den Reaktorkern ist ein schnell öffnendes Leck (lineares Öffnungsverhalten, Öffnungszeit 15 ms) mit einem Querschnitt von 0,1F in den Hauptkühlmittelleitungen für verschiedene Lecklagen zu unterstellen.

Verhinderung der Schadensausweitung

2.1 (3)

Für die Ermittlung der Einwirkungen aus Strahl- und Reaktionskräften auf Rohrleitungen, Komponenten, Komponenteneinbauten und Gebäudeteile ist ein Leck mit einem Querschnitt von 0,1F der jeweiligen Leitung und mit stationärer Ausströmung für verschiedene anzunehmende Lecklagen zu unterstellen. Dies gilt auch für die Ermittlung der durch Strahlkräfte bewirkten Freisetzung oder Ablösung von Materialien im Hinblick auf mögliche Beeinträchtigungen der Notkühlung durch diese Materialien, wobei hier die ungünstigsten Lecklagen und Leckgrößen (≤ 0,1F) zu unterstellen sind.

2.1 (4)

Zur Beherrschung der Auswirkungen (Druckaufbau in der Reaktorgrube) eines unterstellten Lecks mit dem Querschnitt 0,1F zwischen Reaktordruckbehälter und biologischem Schild sind – soweit notwendig – Vorkehrungen zu treffen, z. B. Doppelrohre im Bereich der Durchführung der Hauptkühlmittelleitungen durch den biologischen Schild.

2.1 (5)

Für den Nachweis der Standsicherheit der Komponenten Reaktordruckbehälter, Dampferzeuger, Hauptkühlmittelpumpen und Druckhalter sind folgende Annahmen zu treffen:

Die Standsicherheit dieser Komponenten ist für die statische Ersatzkraft P_ax, welche mit dem Eigengewicht der Komponente zu überlagern ist, zu gewährleisten:

P_ax = 2 · p · F

mit

p = Betriebsdruck bei Volllastbetrieb

F = offene Querschnittfläche

Angriffspunkt:

Mittelpunkt des Rohrquerschnitts im Bereich der Stutzenrundnaht.

Wirkung:

Stutzenmittelachse in der für die Standsicherheit der Komponente ungünstigsten Richtung.

Die Kraft wirkt jeweils nur an einem Stutzen. Die Standsicherheit ist für jeden Stutzen getrennt nachzuweisen.

Hinweis:

Beim Dampferzeuger ist die Standsicherheit in gleicher Weise für den Anschluss des Sekundärkreislaufs zu gewährleisten. Dies wird unter den Leckpostulaten der Frischdampf- und der Speisewasserleitung behandelt.

2.1 (6)

Auslegungsdruck und Auslegungstemperatur für störfallfeste elektrische Einrichtungen sind für einen Leckquerschnitt von 2F in den Hauptkühlmittelleitungen festzulegen.

Erhaltung der Barrierenintegrität des Sicherheitsbehälters

2.1 (7)

Der Ermittlung des Auslegungsdrucks des Sicherheitsbehälters sowie der Ermittlung der Druckdifferenzen innerhalb des Sicherheitsbehälters sind Leckquerschnitte bis einschließlich 2F in den Hauptkühlmittelleitungen zu Grunde zu legen.

2.2

Reaktordruckbehälter

2.2 (1)

Im Hinblick auf die Verankerung des Reaktordruckbehälters (Begrenzung der Druckbelastung auf Tragstrukturen), die Belastung der Einbauten im Reaktordruckbehälter und die Auslegung des Kernnotkühlsystems ist auch ein Leck am Reaktordruckbehälter von etwa 20 cm² (geometrischer Querschnitt: kreisförmig) unterhalb der Reaktorkernoberkante zu unterstellen.

2.2 (2)

Der Auslegung der Reaktordruckbehälter-Einbauten und der Schutzmaßnahmen für den Sicherheitsbehälter müssen auch die Auswirkungen des plötzlichen Bruchs eines Steuerelementantrieb-, Gehäuserohres oder -stutzens mit dem maximal möglichen Leckquerschnitt am Reaktordruckbehälter zu Grunde gelegt werden.

2.3

Dampferzeuger-Heizrohre

2.3 (1)

Die Belastungen, die bei einem zu unterstellenden Frischdampf- oder Speisewasserleitungsbruch oder bei Offenbleiben eines sekundärseitigen Sicherheitsventils auf die Dampferzeugerheizrohre durch die statische und transiente Beanspruchung (Druckwelle, Strömungskräfte, statische Druckdifferenzen über die Dampferzeugerheizrohre) auftreten, sind zu bestimmen. Es ist nachzuweisen, dass die Dampferzeugerheizrohre diesen Belastungen standhalten.

2.3 (2)

Jedoch ist bei den Störfallanalysen für den Frischdampfleitungsbruch und das Fehlöffnen eines Frischdampf-Sicherheitsventils das Versagen einiger weniger Dampferzeugerheizrohre als zufälliger, nicht als Folge der Ereignisse auftretender zusätzlicher Fehler zu unterstellen, der einhüllend durch die Annahme des vollständigen Bruchs (2F) eines Dampferzeugerheizrohres im betroffenen Dampferzeuger zu berücksichtigen ist. Ein Einzelfehler an anderer Stelle muss bei den beiden Störfallanalysen dann nicht mehr unterstellt werden.

2.3 (3)

Beim Frischdampfleitungsbruch außerhalb der äußeren Absperrarmatur mit zusätzlich unterstelltem „Nichtschließen der Absperrarmatur“ braucht ein Dampferzeugerheizrohrversagen nicht mehr angenommen zu werden, wenn der oben genannte Belastungsnachweis nach Nummer 2.3 (1) positiv geführt worden ist.

2.3 (4)

Beim Speisewasserleitungsbruch braucht ein Dampferzeugerheizrohrversagen nicht unterstellt zu werden.

2.3 (5)

Bei Unterstellung von unterkritischen Rissen oder Abriss einer Kleinleitung braucht kein zusätzliches Dampferzeugerheizrohrversagen überlagert zu werden.

Aufrechterhaltung der Kühlung der Brennelemente durch Ausgleich des Kühlmittelverlustes (Auslegung der Notkühlsysteme)

3 (1)

Bei der Analyse der Kernnotkühlwirksamkeit und der Auslegung der Notkühlsysteme sind folgende Leckquerschnitte zugrunde zu legen:

a)

an den Frischdampf- und Speisewasserleitungen bis zu 2F sowie

b)

am Reaktordruckbehälter einerseits 80 cm² (geometrischer Querschnitt: kreisförmig) unterhalb der Reaktorkernoberkante, andererseits die maximal möglichen Leckquerschnitte durch den Bruch eines Kerninstrumentierungsstutzens, des Gehäuserohres eines Steuerelementantriebs oder der Schweißnaht zwischen Gehäuserohr und Reaktordruckbehälter.

Sicherstellung einer abschalt- und kühlbaren Geometrie des Reaktorkerns

3 (2)

Belastungsannahme für die Einbauten des Reaktordruckbehälters und den Reaktorkern ist ein schnell öffnendes Leck (lineares Öffnungsverhalten, Öffnungszeit 15 ms) mit einem Querschnitt von 2F in den Frischdampf- und Speisewasserleitungen für verschiedene Lecklagen sowie Lecks entsprechend Nummer 3 (1) Buchstabe b.

Verhinderung der Schadensausweitung

3 (3)

Für die Ermittlung der Einwirkungen aus Strahl- und Reaktionskräften auf Rohrleitungen, Komponenten, Komponenteneinbauten und Gebäudeteile ist ein Leck mit einem Querschnitt von 0,1F der jeweiligen Leitung und mit stationärer Ausströmung für verschiedene anzunehmende Lecklagen zu unterstellen. Dies gilt auch für die Ermittlung der durch Strahlkräfte bewirkten Freisetzung oder Ablösung von Materialien im Hinblick auf mögliche Beeinträchtigungen der Notkühlung durch diese Materialien, wobei hier die ungünstigsten Lecklagen und Leckgrößen (≤ 0,1F) zu unterstellen sind.

3 (4)

Zur Verhinderung eines Druckaufbaus im Luftraum der Kondensationskammer durch ein zu unterstellendes Leck im Abblaserohr mit dem Querschnitt 0,1F zwischen Kondensationskammerdecke und dem Ausströmbereich des Abblaserohres im Wasserbereich sind – soweit notwendig – Vorkehrungen zu treffen, z. B. Schutzrohr um das Abblaserohr.

3 (5)

Hinsichtlich dynamischer Belastungen sind einlaufende Entlastungsdruckwellen, die sich aus Brüchen in Leitungsbereichen hinter der äußeren Absperrarmatur (außerhalb des Sicherheitsbehälters) ergeben oder die als Folge äußerer Einwirkungen unterstellt werden, der Bemessung zu Grunde zu legen. Hierzu ist als Eingangsgröße für die Rechnung ein Rundabriss (2F-Bruch) mit einem linearen Öffnungsverhalten und einer Öffnungszeit von 15 ms zu postulieren. Mit dieser Annahme brauchen Analysen von dynamischen Belastungen aus unterkritischen Rissen nicht durchgeführt zu werden.

3 (6)

Für den Nachweis der Standsicherheit des Reaktordruckbehälters sind folgende Annahmen zu treffen:

Die Standsicherheit der Komponenten ist für die statische Ersatzkraft P_ax, welche mit dem Eigengewicht der Komponente zu überlagern ist, zu gewährleisten:

P_ax = 2 · p · F

mit

p = Betriebsdruck bei Volllastbetrieb

F = offene Querschnittfläche

Angriffspunkt:

Mittelpunkt des Rohrquerschnitts im Bereich der Stutzenrundnaht.

Wirkung:

Stutzenmittelachse in der für die Standsicherheit der Komponente ungünstigsten Richtung.

Diese Kraft wirkt jeweils nur an einem Stutzen. Die Standsicherheit ist für jeden Stutzen getrennt nachzuweisen.

3 (7)

Die Verankerung des Reaktordruckbehälters ist so zu bemessen, dass auch die entsprechend der Nummer 3 (1) Buchstabe b unterstellten Lecks mit abgedeckt sind.

3 (8)

Bei der Ermittlung des Auslegungsdrucks und der Auslegungstemperatur für störfallfeste elektrische Einrichtungen muss von einem Leckquerschnitt von 2F in den Frischdampf- und Speisewasserleitungen ausgegangen werden.

Erhaltung der Barrierenfunktion des Sicherheitsbehälters

3 (9)

Der Ermittlung des Auslegungsdrucks des Sicherheitsbehälters sowie der Ermittlung der Druckdifferenzen innerhalb des Sicherheitsbehälters und der Bemessung des Druckabbausystems sind Leckquerschnitte bis einschließlich 2F in den Frischdampf- und Speisewasserleitungen zu Grunde zu legen.

4.1

Frischdampf- und Speisewasserleitung von DWR

4.1 (1)

Für die Frischdampf- und Speisewasserleitungen zwischen Dampferzeuger und Armaturenstation außerhalb des Sicherheitsbehälters sind Lecks aus unterkritischen Rissen zu unterstellen. Diese sind auf der Basis der Bruchmechanik zu ermitteln oder auf 0,1F zu begrenzen.

4.1 (2)

Für die Ermittlung der Einwirkungen aus Strahl- und Reaktionskräften auf die Frischdampf- und Speisewasserleitungen zwischen Dampferzeuger und Armaturenstation außerhalb des Sicherheitsbehälters ist abdeckend eine Lecköffnung von 0,1F und stationäre Ausströmung zu unterstellen.

4.1 (3)

Hinsichtlich dynamischer Belastungen der Frischdampf- und Speisewasserleitungen sind einlaufende Entlastungsdruckwellen, die sich aus Brüchen in Leitungsbereichen hinter der ersten Absperrarmatur außerhalb des Sicherheitsbehälters ergeben, oder als Folge äußerer Einwirkungen unterstellt werden, anzusetzen und der Bemessung zu Grunde zu legen. Hierzu ist als Eingangsgröße für die Rechnung ein Rundabriss (2F-Bruch) mit einem linearen Öffnungsverhalten und einer Öffnungszeit von 15 ms zu postulieren. Mit dieser Annahme sind dann Analysen von dynamischen Belastungen aus unterkritischen Rissen nicht mehr erforderlich.

4.1 (4)

Für den Nachweis der Standsicherheit des Dampferzeugers sind im Hinblick auf den Anschluss des Sekundärkreises folgende Annahmen zu treffen:

Die Standsicherheit des Dampferzeugers ist für die statische Ersatzkraft P_ax, welche mit dem Eigengewicht der Komponente zu überlagern ist, zu gewährleisten:

P_ax = 2 · p · F

mit

p = Betriebsdruck bei Volllastbetrieb

F = offene Querschnittfläche

Angriffspunkt:

Mittelpunkt des Rohrquerschnitts im Bereich der ersten Anschlussschweißnaht.

Wirkrichtung:

Stutzenmittelachse in der für die Standsicherheit der Komponente ungünstigsten Richtung.

Diese Kraft wirkt jeweils nur an einem Stutzen. Die Standsicherheit ist für jeden Stutzen getrennt nachzuweisen.

4.2

Sonstige Rohrleitungen der Äußeren Systeme von DWR und SWR

4.2 (1)

Für andere als in der Nummer 4.1 genannte Rohrleitungen der Äußeren Systeme sind, sofern sie sich im Reaktorgebäude befinden, folgende Leck- und Bruchannahmen zu treffen:

–

Unterkritische Risse in den Schweißnähten. Die dabei entstehenden Leckquerschnitte sind auf der Basis der Bruchmechanik zu ermitteln oder auf 0,1F zu begrenzen.

–

Bei Rohrleitungen mit größer/gleich DN 50 sind zusätzlich überkritische (instabile) Rundrisse an hoch belasteten Rundnähten zu berücksichtigen, wenn eines der Kriterien des Buchstabens a Nummer 1 oder a Nummer 2 zutrifft:

a)

1. Betriebsdruck³⁰≥ 20 bar oder

2. Betriebstemperatur³⁰≥ 100 °C

und zusätzlich die beiden folgenden Kriterien erfüllt sind:

b)

Benutzungszeit größer 2 % und

c)

Betriebsnennspannung größer 50 N/mm².

4.2 (2)

Wenn ein Rundriss gemäß den genannten Kriterien zu unterstellen ist, so ist hinsichtlich der Folgewirkungen wie folgt zu verfahren:

–

Für die Ermittlung von Differenzdrücken und Strahlkräften auf Gebäudeteile ist eine ungehinderte Ausströmung anzunehmen.

–

Bei der Berechnung einer internen Druckwelle zur Ermittlung der Belastung von Einbauten muss eine ungehinderte Ausströmung angenommen werden.

–

Bei der Ermittlung von Reaktionskräften können Begrenzungen des Ausströmquerschnitts auf Grund kons­truktiver Maßnahmen berücksichtigt werden.

4.2 (3)

Für Lecks an der Kondensationskammer des Siedewasserreaktors ist der Rundabriss der größten Anschlussleitung anzunehmen.

4.2 (4)

Bei Rohrleitungen mit kleiner DN 50 und allen Rohrleitungen außerhalb des Reaktorgebäudes sind grundsätzlich doppelendige Brüche zu unterstellen.

Für diejenigen Behälter (nicht Reaktordruckbehälter), Wärmetauscher sowie Armaturen- und Pumpengehäuse, einschließlich der zugehörigen Gehäuse der Antriebsturbinen, die Teil der DfU oder der Äußeren Systeme sind und für die entsprechende Bruchausschluss- oder Bruchsicherheitsnachweise (siehe „Sicherheitsanforderungen an Kernkraftwerke“, Nummer 3.4) vorliegen, sind jeweils die Leck- und Bruchpostulate der anschließenden Rohrleitungen an deren Anschlussstelle anzunehmen. Dabei ist für Behälter, Wärmetauscher und andere Komponenten mit mehreren Anschlüssen in Abhängigkeit des Nachweiszieles das ungünstigste Leck unter Beachtung der Leck- und Bruchpostulate der ausgewählten Anschlussleitung zu berücksichtigen.

Für andere Behälter (nicht Reaktordruckbehälter), Wärmetauscher sowie Armaturen- und Pumpengehäuse ist grundsätzlich das Bersten zu unterstellen.

1 (1)

Alle Einrichtungen, die erforderlich sind, den Kernreaktor sicher abzuschalten und in abgeschaltetem Zustand zu halten, die Nachwärme abzuführen oder eine Freisetzung radioaktiver Stoffe zu verhindern, sind so auszulegen und müssen sich dauerhaft in einem solchen Zustand befinden, dass sie ihre sicherheitstechnischen Aufgaben auch bei Einwirkungen von innen und außen sowie bei Notstandsfällen erfüllen.

Hinweis:

Anforderungen an diese Einrichtungen, die im Hinblick auf Störmaßnahmen oder sonstige Einwirkungen Dritter zu beachten sind, sind nicht Gegenstand der „Sicherheitsanforderungen an Kernkraftwerke“.

1 (2)

Das Sicherheitssystem sowie die Notstandseinrichtungen sind so auszulegen, dass sie bei Einwirkungen von innen und von außen wirksam bleiben. Die grundlegenden Auslegungsanforderungen an Sicherheitseinrichtungen im Falle dieser Einwirkungen sind in den diesbezüglichen Regelungen in Nummer 2.4 der „Sicherheitsanforderungen an Kernkraftwerke“ enthalten.

Vorsorgemaßnahmen

1 (3)

Durch Vorsorgemaßnahmen (VM) ist zu gewährleisten, dass Ereignisse aus Einwirkungen von innen oder außen sowie aus Notstandsfällen, die die bestimmungsgemäße Funktion von Sicherheitseinrichtungen unzulässig beeinträchtigen könnten,

–

entweder verhindert werden

–

oder in ihren Auswirkungen ausreichend begrenzt werden (siehe auch „Sicherheitsanforderungen an Kernkraftwerke“ Nummer 2.1 (5)).

1 (4)

Die Anforderungen an die Wirksamkeit und Zuverlässigkeit der Vorsorgemaßnahmen sind abhängig von der geschätzten Eintrittshäufigkeit der Einwirkung, gegen welche das Schutzkonzept wirksam sein soll, und von den potentiellen Auswirkungen dieser Einwirkung.

1 (5)

Die Analyse eines durch eine Einwirkung von innen oder außen bedingten Ereignisses der Sicherheitsebene 3 ist nicht erforderlich, wenn die in den Nummern 3, 4.2.1 und 4.2.3 genannten Vorsorgemaßnahmen als getroffen nachgewiesen sind. Die Nachweisführung konzentriert sich dabei auf die Einhaltung der Anforderungen an die Wirksamkeit und Zuverlässigkeit der Vorsorgemaßnahmen.

Für dennoch durch solche Einwirkungen als ausgelöst zu unterstellende Ereignisse der Sicherheitsebene 3 gelten die Anforderungen dieser Sicherheitsebene.

1 (6)

Radiologische Auswirkungen sind für die Ereignisse zu ermitteln, die infolge der Einwirkung gemäß Nummer 1 (5) zu einem radiologisch repräsentativen Ereignis der Sicherheitsebene 3 führen.

Hinweis:

Radiologisch repräsentative Ereignisse der Sicherheitsebene 3 sind im Anhang 2 der „Sicherheitsanforderungen an Kernkraftwerke“ aufgelistet. Auf spezielle Festlegungen hinsichtlich der Ermittlung von radiologischen Auswirkungen ist bei den ereignisspezifischen Anforderungen in den folgenden Nummern 3 und 4 hingewiesen.

Notstandsfälle

1 (7)

Sehr seltene zivilisatorisch bedingte Einwirkungen (Notstandsfälle) gemäß Nummer 4.2.2 dürfen entweder nicht zu Ausfällen von Sicherheitseinrichtungen derart führen, dass die erforderlichen Sicherheitsfunktionen nicht mehr ausreichend wirksam sind, oder es sind dafür gesondert ausgelegte Einrichtungen vorzusehen, sodass Ereignisabläufe der Sicherheitsebene 4b verhindert werden.

Bei der Analyse von Notstandsfällen und den dabei zu unterstellenden Folgeereignissen dürfen realistische Anfangs- und Randbedingungen sowie realistische Modelle gewählt werden (siehe auch „Sicherheitsanforderungen an Kernkraftwerke“, Anhang 5 Nummer 3.2.1).

1 (8)

Redundanzanforderungen für Einrichtungen zur Beherrschung von Notstandsfällen und den dabei zu unterstellenden Folgeereignissen sind in den „Sicherheitsanforderungen an Kernkraftwerke“, Anhang 4, Nummer 2.4 angegeben.

1 (9)

Bei Funktionsuntüchtigkeit der Warte infolge von Notstandsfällen ist sicherzustellen, dass die Anlage mit Hilfe von Notstandseinrichtungen ohne Handeingriff in einen kontrollierten Anlagenzustand übergeht und mindestens 10 Stunden darin verbleiben kann. Darüber hinaus muss die Anlage mit Hilfe der Notstandseinrichtungen in einen Zustand gebracht werden können, der die anschließende Nachwärmeabfuhr über ein Nachkühlsystem langfristig sicherstellt. Notstandsmaßnahmen, für die eine hinreichende Karenzzeit besteht oder für deren Auslösung durch administrative Maßnahmen Vorsorge getroffen werden kann, müssen nicht automatisiert werden. Zur Langzeitbeherrschung des Notstandsfalls kann auf vor Ort vorhandene Hilfsmaßnahmen zurückgegriffen werden.

1 (10)

Für Notstandseinrichtungen gelten folgende Anforderungen:

a)

Komponenten und Teilsysteme der Notstandseinrichtungen sind gegen die zu betrachtenden Notstandsfälle zu schützen.

b)

Es ist sicherzustellen, dass die Funktion der Notstandseinrichtungen nicht durch Schäden in ungeschützten Anlagenbereichen unzulässig beeinträchtigt werden kann. Dies gilt sowohl für verfahrenstechnische Systeme als auch für die Energieversorgung und die leittechnischen Einrichtungen.

c)

Es ist sicherzustellen, dass Fremdeingriffe und Fehlbedienungen auf der Warte oder in anderen nicht besonders geschützten Anlagenbereichen nicht zu einer unzulässigen Beeinträchtigung der Funktion der Notstandseinrichtungen führen können.

d)

An den Notstandseinrichtungen dürfen weder aus betrieblichen Gründen noch zu Prüfzwecken Eingriffe vorgenommen werden, die, wenn sie im Notstandsfall nicht mehr zurückgenommen bzw. zu Ende geführt werden können, zu einer unzulässigen Beeinträchtigung der Funktion der Einrichtungen führen können. Dies gilt nicht, wenn gleichwertige Funktionen bereitgestellt sind.

1 (11)

Die Kühlung der Brennelemente ist bei den Notstandsfällen „Flugzeugabsturz“ sowie „Explosionsdruckwelle“ langfristig sicherzustellen. An den langfristig benötigten Einrichtungen müssen erforderlichenfalls rechtzeitig Instandsetzungsmaßnahmen durchgeführt werden können.

Die Zugänglichkeit zu Bereichen, in denen örtliche Betätigungen notwendig werden können, sowie die Kommunikation mit dem dort tätig werdenden Personal sind zu gewährleisten.

2 (1)

Vorsorgemaßnahmen sind hinsichtlich Zuverlässigkeit und Wirksamkeit so zu bemessen, dass die Anforderungen nach den Nummern 1 (2), 1 (3) und 1 (4) erfüllt werden.

2 (2)

Vorsorgemaßnahmen sollen vorrangig auf passiven Einrichtungen basieren. Ist eine hinreichend zuverlässige Vermeidung unzulässiger Folgewirkungen durch passive Einrichtungen nicht gegeben, so sind zuverlässige aktive Einrichtungen vorzusehen. Im Falle der Einbeziehung administrativer Maßnahmen ist ein Zuverlässigkeitsnachweis gemäß Nummer 2 (6) erforderlich. Sofern im Ausnahmefall Vorsorgemaßnahmen ausschließlich auf administrativen Maßnahmen beruhen, ist deren Zuverlässigkeit gesondert zu begründen.

2 (3)

Die Wirksamkeit von Vorsorgemaßnahmen muss auch bei Anwendung des Einzelfehlerkonzepts (siehe Anhang 4 der „Sicherheitsanforderungen an Kernkraftwerke“) sichergestellt sein.

2 (4)

Während der Durchführung von Instandhaltungsmaßnahmen einschließlich Wiederkehrender Prüfungen darf die Zuverlässigkeit und Wirksamkeit der Vorsorgemaßnahmen nicht unzulässig beeinträchtigt sein.

2 (5)

Vorsorgemaßnahmen, die zur Verhinderung von Ereignissen gemäß Anhang 2 sowie gemäß den folgenden Nummern 3 und 4 vorgesehen sind, müssen so beschaffen sein, dass sie bei zu unterstellenden Störungen oder Schäden an ihnen oder bei Fehlbedienung/Fehlhandlung die bestimmungsgemäße Funktion des Sicherheitssystems, der Notstandseinrichtungen und weiterer für die Sicherheit erforderlicher Einrichtungen nicht beeinträchtigen.

2 (6)

Sofern administrative Maßnahmen und daraus abgeleitete Personalhandlungen in Vorsorgemaßnahmen einbezogen werden, ist deren Wirksamkeit und Zuverlässigkeit durch Methoden wie Fehlereffekt- oder Gefahrenanalyse nachzuweisen. Insbesondere sind dabei systematische Fehler zu berücksichtigen.

Folgende Bedingungen sind zu gewährleisten:

–

Es sind eindeutige organisatorische Vorgaben hinsichtlich Zuständigkeit und Verantwortung für die Durchführung und Kontrolle der Vorsorgemaßnahmen zu treffen. Das mit der Durchführung und der Kontrolle von Vorsorgemaßnahmen betraute Personal ist entsprechend der sicherheitstechnischen Bedeutung der Vorsorgemaßnahmen besonders zu qualifizieren.

–

Es müssen eindeutige Ablaufprozeduren sowie Arbeitsanweisungen für die Durchführung und die Kontrolle der Vorsorgemaßnahmen vorhanden sein. Art und Anzahl der Kontrollen sind entsprechend den Vorgaben an die Zuverlässigkeit der jeweiligen Vorsorgemaßnahme festzulegen. Für die Kontrollen sind eindeutige, mess- und quantifizierbare Kriterien festzulegen. Identifizierte Abweichungen von Anforderungen bedürfen der sicherheitstechnischen Bewertung.

–

Die Durchführung der Kontrollen und die erzielten Ergebnisse sind lückenlos zu dokumentieren. Die jeweils beteiligten Personen sind anzugeben.

–

Es muss ausreichend Zeit für die Durchführung der Kontrollen der Vorsorgemaßnahmen zur Verfügung stehen.

–

Die Durchführung und Kontrolle der Vorsorgemaßnahmen dürfen durch die Umgebungsbedingungen nicht beeinträchtigt sein.

–

Die Randbedingungen, unter denen die mit der Durchführung der Vorsorgemaßnahmen betrauten Personen handeln, sind so zu gestalten, dass die Voraussetzungen für ein möglichst fehlerfreies Verhalten vorliegen. Die ergonomischen Anforderungen gemäß Nummer 3.1 (13) der „Sicherheitsanforderungen an Kernkraft­werke“ sind zu beachten.

–

Mögliche Fehler und deren Auswirkungen sind bei der Schulung des Personals zu berücksichtigen.

2 (7)

Die Gültigkeit der Randbedingungen für die Wirksamkeit und Zuverlässigkeit der Vorsorgemaßnahmen ist während der gesamten Betriebszeit der Anlage sicherzustellen.

3.1

Allgemeine Anforderungen

3.1 (1)

Die auf Grund der anlagenspezifischen Gegebenheiten möglichen Einwirkungen von innen sowie deren mög­lichen Kombinationen untereinander oder mit Einwirkungen von außen sowie aus Notstandsfällen sind vollständig zu erfassen.

Hinweis:

Beachte hierzu auch in den „Sicherheitsanforderungen an Kernkraftwerke“ die Nummern 2.4 und 4.2 sowie in Anhang 5 zu den „Sicherheitsanforderungen an Kernkraftwerke“ die Nummern 3.2.1 (3) und 3.2.1 (4).

3.1 (2)

Für jede Einwirkung oder Einwirkungskombination nach Nummer 3.1 (1) sind die sicherheitstechnischen Auswirkungen auf die Anlage unter Berücksichtigung aller zu erwartenden Folgewirkungen zu ermitteln. Insbesondere sind die nachstehend aufgeführten Folgewirkungen zu betrachten:

–

anlageninterne Überflutung,

–

anlageninterne Brände und Explosionen,

–

erhöhte Strahlenpegel,

–

chemische Reaktionen,

–

elektrische, leittechnische oder verfahrenstechnische Fehlfunktionen,

–

Druckaufbau, Druckdifferenzen,

–

Temperatur- und Feuchteanstieg,

–

umherfliegende und fallende Bruchstücke (Trümmer) sowie

–

Strahl- und Reaktionskräfte.

3.1 (3)

Einrichtungen zum Schutz gegen Einwirkungen von innen sind nahe der potentiellen Quelle einer Einwirkung von innen zu errichten, es sei denn, eine andere Positionierung ist sicherheitstechnisch vorteilhafter.

3.2

Ereignisspezifische Anforderungen

3.2.1

Anlageninterner Brand

3.2.1 (1)

Es sind Maßnahmen und Einrichtungen zum Schutz vor anlageninternen Bränden und deren Folgewirkungen sowohl innerhalb als auch außerhalb von Gebäuden vorzusehen. Unzulässige Auswirkungen von Bränden und deren Folgewirkungen sind durch Vorkehrungen des aktiven und passiven Brandschutzes zu verhindern.

3.2.1 (2)

Die Brandschutzmaßnahmen sind so zu planen und auszuführen, dass eine gestaffelte Abwehr realisiert wird:

–

Es müssen geeignete Maßnahmen und Einrichtungen vorhanden sein, die die Entstehung von Bränden vermeiden.

–

Dennoch entstandene Brände müssen frühzeitig erkannt und bekämpft werden.

–

Die Ausbreitung eines nicht gelöschten oder nicht selbst verlöschenden Brandes ist zu begrenzen.

3.2.1 (3)

Es ist ein Brandschutzkonzept zu erstellen und zu dokumentieren. Die Dokumentation ist aktuell zu halten. Bei Änderungen in der Anlage sind deren Rückwirkungen auf das bestehende Brandschutzkonzept zu bewerten und das Brandschutzkonzept ist erforderlichenfalls fortzuschreiben.

3.2.1 (4)

Es ist eine Brandgefahrenanalyse zu erstellen und zu dokumentieren. Die Dokumentation ist aktuell zu halten.

3.2.1 (5)

Die Gesamtheit aller Brandschutzmaßnahmen muss sicherstellen, dass auch bei einem Zufallsausfall einer einzelnen Brandschutzmaßnahme oder -einrichtung die Sicherheitsfunktionen nicht unzulässig beeinträchtigt werden.

3.2.1 (6)

Eine Entzündung vorhandener brennbarer Stoffe ist grundsätzlich zu unterstellen. Von dieser Anforderung darf abgewichen werden, wenn der brennbare Stoff gekapselt ist und die Kapselung im bestimmungsgemäßen Betrieb sowie bei allen anzunehmenden Störfällen funktionsfähig bleibt.

3.2.1 (7)

Brandlasten und mögliche Zündquellen sind auf das für den sicheren Betrieb erforderliche Maß zu begrenzen.

3.2.1 (8)

Unvermeidbare Brandlasten sind dort, wo dies konstruktiv und aufgrund der Anforderungen an den Betrieb der Einrichtungen möglich ist, räumlich ausreichend getrennt von den möglichen Zündquellen anzuordnen, sodass eine Entzündung durch diese Zündquellen vermieden werden kann.

Raumbereiche mit erheblichen Brandlasten sind grundsätzlich durch ausreichend feuerwiderstandsfähige Bauteile abzutrennen.

3.2.1 (9)

Redundante Einrichtungen des Sicherheitssystems sind grundsätzlich durch ausreichend feuerwiderstandsfähige Bauteile so zu trennen, dass ein durch Brand bedingter Ausfall von mehreren Redundanten verhindert werden kann.

Sofern der für einen Brand erforderliche Schutz aus systemtechnischen oder nutzungstechnischen Erfordernissen nicht durch bauliche Brandschutzmaßnahmen realisiert werden kann, muss durch andere Brandschutzmaßnahmen oder durch eine Kombination dieser Maßnahmen ein gleichwertiger Schutzzustand sichergestellt werden.

3.2.1 (10)

Beim Einbringen brennbarer Stoffe im Zusammenhang mit Instandhaltungsarbeiten ist durch gesonderte Maßnahmen oder Einrichtungen sicherzustellen, dass die Sicherheit der Anlage nicht unzulässig beeinträchtigt wird.

3.2.1 (11)

Die sicherheitsrelevanten Funktionen baulicher Anlagenteile im Brandfall sind durch bauliche Brandschutzmaßnahmen sicherzustellen.

3.2.1 (12)

Es sollen grundsätzlich nur nichtbrennbare Bau- und Werkstoffe verwendet werden. Ein Einsatz brennbarer Werkstoffe ist dann zulässig, wenn sie konstruktiv unvermeidbar sind, z. B. Dämmstoffe an kaltgehenden Rohrleitungen, Dekontaminationsbeschichtungen. Es sollen grundsätzlich nur nichtbrennbare Betriebsstoffe verwendet werden. Ausgenommen sind Steuer- und Schmierflüssigkeiten sowie andere aus betrieblichen Gründen unvermeidbare brennbare Stoffe.

3.2.1 (13)

Leitungen und Kabel sind grundsätzlich getrennt von warmgehenden Rohrleitungen oder solchen, die brennbare Medien führen, zu verlegen. Leistungskabel sind grundsätzlich hinreichend getrennt von Signal- und Steuerkabeln zu verlegen.

Bei unvermeidbaren Kreuzungen mit warmgehenden Rohrleitungen oder solchen, die brennbare Medien führen, oder mit Leistungskabeln sind besondere Maßnahmen und Einrichtungen vorzusehen.

Durch geeignete Maßnahmen oder Einrichtungen ist sicherzustellen, dass auch im Brandfall Energieversorgungs-, Signal- und Steuerkabel nicht unzulässig beeinträchtigt werden.

3.2.1 (14)

Bei der Auswahl und Installation der aktiven und passiven Brandschutzmaßnahmen sind die im Kontrollbereich vorhandenen Beschränkungen zu beachten.

3.2.1 (15)

Für den Brandfall ist, insbesondere in Anlagenbereichen mit Sicherheitseinrichtungen und in Kontrollbereichen, durch geeignete Einrichtungen oder Maßnahmen eine zuverlässige, schnelle Branderkennung und Alarmierung sicherzustellen.

3.2.1 (16)

Es ist sicherzustellen, dass durch geeignete Einrichtungen und/oder Maßnahmen zur Branderkennung, -alarmierung und -bekämpfung Brände im Sicherheitsbehälter auch ohne Entrauchung sicher und schnell lokalisiert und wirksam bekämpft werden können.

3.2.1 (17)

Durch geeignete Maßnahmen und Einrichtungen für eine frühzeitige Gefahrenerkennung, Gefahrenmeldung und Aufforderung zur Flucht sowie geeignete Vorkehrungen für einen schnellen Flucht- und Rettungsvorgang über Rettungswege ist sicherzustellen, dass Personen im Gefahrenfall schnell und sicher ins Freie gelangen und von außen gerettet werden können.

3.2.1 (18)

Innerhalb der Gebäude sind Rettungswege anzuordnen. Diese müssen so vor Brandeinwirkungen geschützt werden, dass sie ausreichend lange zur Verfügung stehen, um die Selbstrettung, die Fremdrettung von Personen, die Brandbekämpfung sowie sicherheitstechnisch erforderliche Personalhandlungen zu ermöglichen.

3.2.1 (19)

Ortsfeste Löschanlagen sind grundsätzlich automatisch auszulösen. Fernbediente oder örtlich manuell auszulösende Löschanlagen sind zulässig, wenn die möglichen Brandwirkungen bis zum Zeitpunkt des Wirksamwerdens dieser Löschanlagen beherrscht werden.

3.2.1 (20)

Automatisch auszulösende Löschanlagen müssen so beschaffen und gesichert sein, dass sie ihrerseits nicht bei Störungen oder Schäden an ihnen oder bei Fehlbedienung/Fehlhandlung die bestimmungsgemäße Funktion von Einrichtungen des Sicherheitssystems sowie die baulichen Anlagenteile mit raumabschließender Funktion unzulässig beeinträchtigen.

3.2.1 (21)

Die Brandschutzeinrichtungen müssen regelmäßig Wiederkehrenden Prüfungen im Hinblick auf ihre Funktionsfähigkeit unterzogen werden. Die Prüffristen sind entsprechend der sicherheitstechnischen Bedeutung der zu schützenden Einrichtung festzulegen.

3.2.1 (22)

Zur Bekämpfung von Bränden ist eine ausreichend leistungsfähige Werkfeuerwehr nach Landesrecht aufzustellen, auszurüsten und zu unterhalten. Neben dieser ist auch die zuständige anlagenexterne Feuerwehr mit den Räumlichkeiten der Anlagen sowie den besonderen Gegebenheiten eines Kernkraftwerks vertraut zu machen. Diese Einweisung ist regelmäßig zu wiederholen. Einsatzübungen sind in ausreichenden Abständen durchzuführen.

3.2.1 (23)

Es ist sicherzustellen, dass auch im Brandbekämpfungsfall alle erforderlichen Maßnahmen zur Gewährleistung des sicheren Betriebs und zur Beherrschung der Ereignisse der Sicherheitsebenen 3 und 4a durchgeführt werden können.

3.2.2

Anlageninterne Überflutung

3.2.2 (1)

Durch geeignete Maßnahmen oder Einrichtungen sind unzulässige Auswirkungen anlageninterner Überflutungen zu verhindern. Zu diesen Maßnahmen und Einrichtungen gehören:

–

hochwertige Ausführung der Medium führenden Systeme und Komponenten,

–

präzise Vorgaben für Instandhaltungsmaßnahmen an Medium führenden Systemen und Komponenten, insbesondere bei solchen mit hohem Überflutungspotential,

–

hohe Zuverlässigkeit gegen Fehlauslösungen automatisch auszulösender ortsfester Löschanlagen.

3.2.2 (2)

Mögliche auslösende Ereignisse für eine Überflutung innerhalb der Anlage sind im Rahmen einer Überflutungsanalyse zu identifizieren (z. B. Lecks, Aktivierung eines Löschsystems, menschliche Fehlhandlung, Absturz oder Anstoßen von Lasten, Inbetriebnahme eines Systems nach Instandhaltungsmaßnahmen oder nach Anlagenänderungen mit fälschlicherweise nicht eingebauten Absperreinrichtungen). Als Grundlage für die Auslegung von Vorsorgemaßnahmen dürfen abdeckende Ereignisse definiert werden.

3.2.2 (3)

Ansammlungen von Wasser auf hoch gelegenen Strukturen (z. B. Kabelpritschen mit ungenügender Entwässerung) sind in die Überflutungsanalysen einzubeziehen.

3.2.2 (4)

Den Möglichkeiten einer Verstopfung von Entwässerungsstrukturen oder einer Verlagerung von Gegenständen sowie des Anschwemmens von Partikeln ist Rechnung zu tragen.

3.2.2 (5)

Bei der Ermittlung der Überflutungshöhe und der mechanischen Einwirkung auf Komponenten oder Barrieren ist eine mögliche Wellenbildung zu berücksichtigen.

3.2.2 (6)

Für alle unterstellten Überflutungsereignisse ist der zu erwartende Zeitverlauf des Wasserstands im unmittelbar betroffenen Raum und in den möglicherweise betroffenen angrenzenden Räumen zu berücksichtigen.

3.2.2 (7)

Neben den direkten Auswirkungen einer Überflutung sind auch indirekte Effekte wie der Anstieg der Luftfeuchtigkeit zu berücksichtigen.

3.2.2 (8)

Ein möglicher Druckanstieg durch den Kontakt von Wasser mit heißen Komponenten ist zu berücksichtigen.

3.2.2 (9)

Für die zu unterstellenden Überflutungsereignisse müssen Maßnahmen und Einrichtungen zur Verhinderung einer unzulässigen Beeinträchtigung der Einrichtungen des Sicherheitssystems vorhanden sein. Hierbei sind insbesondere die folgenden Maßnahmen und Einrichtungen entsprechend einem gestaffelten Vorgehen zu berücksichtigen:

–

Lecküberwachungseinrichtungen,

–

Maßnahmen zur Feststellung und Isolierung von Leckstellen,

–

erhöhte Aufstellung von sicherheitstechnisch wichtigen Komponenten,

–

bauliche Einrichtungen (z. B. Auffangwannen, Abschottungen) um sicherheitstechnisch wichtige Komponenten,

–

Doppelrohrausführungen,

–

Schwellen oder gleichwertige Einrichtungen zur Verhinderung der Ausbreitung von Wasser, insbesondere in Räume benachbarter Redundanten,

–

aktive oder passive Einrichtungen zur Entwässerung,

–

organisatorische Maßnahmen für den Fall einer Überflutung.

3.2.2 (10)

Werden Instandhaltungsmaßnahmen an Einrichtungen zur Vermeidung von Überflutungsereignissen durchgeführt, so ist sicherzustellen, dass deren Funktion, sofern erforderlich, auch während der Instandhaltungsmaßnahme gewährleistet bleibt oder vorsorglich durch anderweitige Maßnahmen vollwertig kompensiert wird. Insbesondere sind im Zusammenhang mit Instandhaltungsmaßnahmen zu berücksichtigen:

–

die Sumpfansaugleitungen und deren Absperrarmaturen,

–

Systeme mit einem hohen Nachspeisepotential und deren Absperreinrichtungen,

–

Einrichtungen zur Verhinderung von redundanzübergreifenden Überflutungen im Ringraum von DWR-Anlagen sowie

–

Instandhaltungsarbeiten im Bodenbereich des Reaktordruckbehälters von SWR-Anlagen.

3.2.3

Komponentenversagen mit potentiellen Auswirkungen auf sicherheitstechnisch wichtige Einrichtungen

3.2.3 (1)

Sofern ein Komponentenversagen und eine daraus resultierende Gefährdung von Einrichtungen des Sicherheitssystems nicht verhindert werden kann, sind Vorkehrungen zum Schutz dieser Einrichtungen vorzusehen.

3.2.3 (2)

Alle potentiellen sicherheitstechnisch relevanten Quellen für umherfliegende (hochenergetische) und fallende Bruchstücke (Trümmer) sind zu identifizieren und die Parameter (insbesondere Geometrie, Masse und Trajektorie) der bei einem Versagen zu erwartenden Bruchstücke sind zu analysieren oder konservativ abzuschätzen.

Als potentielle Quellen für solche Bruchstücke sind insbesondere zu berücksichtigen:

–

das Versagen von Behältern, Rohrleitungen und sonstigen Komponenten mit hohem Energieinhalt,

Hinweis:

Zu den Leck- und Bruchannahmen siehe in den „Sicherheitsanforderungen an Kernkraftwerke“, Anhang 2, dort Anlage 2.

–

das Versagen beweglicher Armaturenteile,

–

der Auswurf eines Steuerelements oder Steuerstabs und

–

das Versagen rotierender Komponententeile (z. B. Schwungradversagen der Hauptkühlmittelpumpen, Turbinenschaufeln, Turbinenwelle).

3.2.3 (3)

Die bestimmungsgemäße Funktion der Einrichtungen des Sicherheitssystems ist gemäß Nummer 1 (2) bei Einwirkungen aufgrund eines unterstellten Komponentenversagens sicherzustellen. Mögliche Einwirkungen aufgrund eines Komponentenversagens sind:

–

direkte mechanische Einwirkungen (Reaktionskräfte, schlagende Rohrleitungen),

–

hochenergetische Bruchstücke,

–

Strahlkräfte,

–

anlageninterne Überflutung,

–

erhöhte Luftfeuchtigkeit,

–

physikalische oder chemische Einwirkungen,

–

Druckdifferenzen (statisch und dynamisch),

–

erhöhte Raumtemperatur und

–

erhöhter Strahlenpegel.

3.2.3 (4)

Soweit erforderlich, ist bei diesen Einwirkungen auch die Standsicherheit von Anlagenteilen sicherzustellen.

3.2.3 (5)

Die folgenden Maßnahmen und Einrichtungen zum Schutz gegen Einwirkungen aus einem Komponentenversagen sind dabei in Betracht zu ziehen:

–

geeignete Orientierung der als potentielle Quelle von Bruchstücken identifizierten Komponenten im Raum,

–

geeignete räumliche Anordnung der als potentielle Ziele von Bruchstücken identifizierten Einrichtungen des Sicherheitssystems,

–

Wahl der Gebäudeanordnung derart, dass die Einrichtungen des Sicherheitssystems nicht innerhalb der wahrscheinlichen Flugrichtung möglicher Bruchstücke des Turbosatzes liegen; dies gilt auch für Mehrblockanlagen (siehe auch Nummer 3.2.8),

–

bauliche Einrichtungen zum Ablenken oder Zurückhalten von Trümmern,

–

Ausschlagsicherungen,

–

Doppelrohrkonstruktionen bei hochenergetischen Rohrleitungen.

3.2.3 (6)

Schäden am Sicherheitssystem, an Notstandseinrichtungen und weiteren für die Sicherheit der Anlage erforderlichen Einrichtungen durch Rohrausschläge sind vorzugsweise durch bauliche Einrichtungen an den Rohrleitungen zu verhindern.

3.2.3 (7)

Sofern das Versagen rotierender Komponenten mit sicherheitstechnisch relevanten Auswirkungen zu unterstellen ist, sind

–

zuverlässige Einrichtungen zur Drehzahlbegrenzung sowie

–

Schwingungsüberwachungen zur Erkennung sich anbahnender Schäden (z. B. durch Unwuchten)

vorzusehen.

3.2.3 (8)

Durch geeignete Maßnahmen oder Einrichtungen ist sicherzustellen, dass die Schwungräder der Hauptkühlmittelpumpen (DWR) beim Kühlmittelverluststörfall nicht infolge zu hoher Drehzahl zerstört werden.

3.2.3 (9)

Bei der Auslegung baulicher Einrichtungen zum Schutz vor hochenergetischen Bruchstücken sind sowohl das lokale (z. B. Penetration, Abplatzungen) als auch das globale Trag- und Verformungsverhalten der baulichen Einrichtung beim Aufprall hochenergetischer Bruchstücke zu berücksichtigen.

3.2.3 (10)

Sofern hinsichtlich der Beherrschung von Strahl- und Reaktionskräften gemäß den „Sicherheitsanforderungen an Kernkraftwerke“, Anhang 2, dort Anlage 2 ein doppelendiger Bruch zu unterstellen ist, sind Maßnahmen zum Schutz gegen Einwirkungen durch Strahl- und Reaktionskräfte auf sicherheitstechnisch wichtige Einrichtungen gemäß Nummer 3.2.3 (6) unter Berücksichtigung folgender Aspekte zu treffen:

–

Richtung des Rohrausschlags,

–

betroffene sicherheitstechnisch wichtige Einrichtungen,

–

kinetische Energie,

–

Anteil der Energie, der von einer betroffenen Komponente aufgenommen wird,

–

Wirksamkeit von Ausschlagsicherungen und

–

mögliche Folgewirkungen bei der Einwirkung auf andere Komponenten.

3.2.4

Leck/Bruch im Frischdampf- oder Speisewassersystem sowie in anderen hochenergetischen Rohrleitungen im Ringraum und in der Armaturenkammer (DWR) bzw. zwischen Sicherheitsbehälter und erster Absperrmöglichkeit außerhalb des Sicherheitsbehälters (SWR)

3.2.4 (1)

Die Auswirkungen von Lecks

–

im Ringraum und in der Armaturenkammer (DWR) an Frischdampf oder Speisewasser führenden Rohrleitungen,

–

im Bereich zwischen Sicherheitsbehälter und erster äußerer Absperrmöglichkeit (SWR) an Frischdampf oder Speisewasser führenden Rohrleitungen,

–

an einer Dampferzeugerabschlämmleitung (DWR) oder

–

an einer anderen hochenergetischen Leitung

dürfen nicht zu unzulässigen Beeinträchtigungen des Sicherheitsbehälters, einschließlich der Durchführungen, sowie von den im Bereich zwischen Sicherheitsbehälter und Reaktorgebäude (Ringraum) und in der Armaturenkammer (DWR) installierten Einrichtungen des Sicherheitssystems, Notstandseinrichtungen und weiteren für die Sicherheit erforderlichen Einrichtungen oder zu einer unzulässigen Freisetzung radioaktiver Stoffe führen.

3.2.4 (2)

Unzulässige Auswirkungen sind z. B. durch Doppelrohrkonstruktionen zu beherrschen oder durch entsprechende Auslegung der Rohrleitungen in diesem Bereich zu verhindern.

Hinweis:

Siehe auch in den „Sicherheitsanforderungen an Kernkraftwerke“, Anhang 2, Ereignisse D3-06 sowie S3-26.

3.2.5

Absturz und Anprall von Lasten mit potentieller Gefährdung sicherheitstechnisch wichtiger Einrichtungen

3.2.5 (1)

Lasten, die mit Hebe- oder Transportmitteln gehandhabt werden und deren Absturz zum Ausfall von sicherheitstechnisch wichtigen Einrichtungen oder zur Freisetzung radioaktiver Stoffe führen kann, sind zu identifizieren. Zu identifizieren sind auch Lasten, die durch das Umkippen schwerer und das Anschlagen pendelnder Gegenstände, insbesondere auch von Transport- und Lagerbehältern, entstehen.

3.2.5 (2)

Als Ursache für Abstürze von Lasten sind auch Bedienungs- sowie Instandhaltungsfehler am Hebezeug sowie an dessen Trag-, Lastaufnahme- und Lastanschlagmitteln zu betrachten.

3.2.5 (3)

Ein Lastabsturz mit unzulässigen Folgen ist zu verhindern.

3.2.6

Elektromagnetische Einwirkungen

3.2.6.1

Schutz vor elektromagnetischer Störeinwirkung

3.2.6.1 (1)

Das Sicherheitssystem, die Notstandseinrichtungen und weitere für die Sicherheit erforderliche Einrichtungen müssen in ihrem elektromagnetischen Umfeld zuverlässig wirksam sein.

3.2.6.1 (2)

Die elektromagnetische Verträglichkeit (EMV) der in Nummer 3.2.6.1 (1) genannten Einrichtungen ist mittels einer Analyse (EMV-Analyse) nachzuweisen. Diese umfasst unter anderem die elektromagnetische Störaussendung, die Störfestigkeit der Komponenten, die Eigenstörfestigkeit und die notwendigen Prüfungen.

3.2.6.1 (3)

Während der Betriebsdauer der Anlage sind sowohl das Auftreten neuer als auch die Veränderung vorhandener Störquellen zu verfolgen und zu analysieren. Der Schutz der in Nummer 3.2.6.1 (1) genannten Einrichtungen vor elektromagnetischen Störeinflüssen ist bei sich gegebenenfalls verändernden Umgebungsbedingungen anzupassen.

3.2.6.2

Begrenzung elektromagnetischer Störaussendung

3.2.6.2 (1)

Mögliche elektromagnetische Störquellen innerhalb der Anlage, deren Einfluss auf die in Nummer 3.2.6.1 (1) genannten Einrichtungen nicht vermieden werden kann, sind zu identifizieren und die möglichen Einflüsse aus diesen Quellen sind zu bewerten. Soweit möglich, erfolgt die Analyse auf Grundlage abdeckender Störquellen. Die aus dem Betrieb der Störquellen resultierenden Umgebungsbedingungen am Einsatzort dieser Einrichtungen sind zu ermitteln.

3.2.6.2 (2)

Elektromagnetische Störungen sind so zu begrenzen, dass eine ordnungsgemäße Funktion der in Nummer 3.2.6.1 (1) genannten Einrichtungen gewährleistet ist.

3.2.6.2 (3)

Zur Begrenzung elektromagnetischer Einflüsse aus anlageninternen Störquellen sind Maßnahmen und Einrichtungen zum Schutz der Leittechnik gemäß ihrer sicherheitstechnischen Bedeutung vorzusehen (z. B. Abschirmung, Entkopplung, Erdung, räumliche Trennung).

3.2.6.2 (4)

Temporär vorhandene potentielle elektromagnetische Störquellen wie zum Beispiel Mess- und Prüfgeräte, Schweißgeräte oder Mobiltelefone, sind zu berücksichtigen.

3.2.6.2 (5)

Störungsbedingte elektromagnetische Wechselwirkungen (Kurzschluss, Lichtbogen) sind zu berücksichtigen.

3.2.6.3

Qualifizierung der Einrichtungen hinsichtlich des Schutzes vor unzulässigen elektromagnetischen Einwirkungen

3.2.6.3 (1)

Für die in Nummer 3.2.6.1 (1) genannten Einrichtungen, die durch elektromagnetische Einwirkungen beeinträchtigt werden können, ist durch Prüfungen nachzuweisen, dass deren elektromagnetische Verträglichkeit in ihrem Einsatzumfeld gegeben ist (EMV-Nachweis).

3.2.7

Kollision von Fahrzeugen auf dem Anlagengelände mit sicherheitstechnisch wichtigen baulichen Anlagenteilen, Systemen oder Komponenten

3.2.7 (1)

Sicherheitstechnisch wichtige bauliche Anlagenteile, Systeme oder Komponenten auf dem Anlagengelände sind so auszulegen oder durch bauliche Einrichtungen so zu schützen, dass sie durch Kollisionen mit Fahrzeugen auf dem Anlagengelände in ihrer sicherheitstechnischen Funktion nicht beeinträchtigt werden.

3.2.8

Gegenseitige Beeinflussung von Mehrblockanlagen

3.2.8 (1)

Einwirkungen von innen dürfen nicht zu unzulässigen Beeinträchtigungen der Sicherheit eines Nachbarblocks führen.

3.2.9

Anlageninterne Explosionen

3.2.9.1

Allgemeine Anforderungen

3.2.9.1 (1)

Die bestimmungsgemäße Funktion der Einrichtungen des Sicherheitssystems ist durch geeignete Maßnahmen oder Einrichtungen des Explosionsschutzes sicherzustellen.

3.2.9.1 (2)

Durch geeignete Maßnahmen oder Einrichtungen innerhalb und außerhalb von Gebäuden ist eine Verhinderung anlageninterner chemischer und physikalischer Explosionen sicherzustellen, sofern die verursachenden Stoffe in relevanten Mengen im Bereich der Anlage gelagert oder gehandhabt werden oder entstehen können.

3.2.9.1 (3)

Die Explosionsschutzmaßnahmen sind so zu planen und auszuführen, dass eine gestaffelte Abwehr realisiert wird. Die Maßnahmen und Einrichtungen sollen

–

die Entstehung eines explosionsfähigen Gemisches verhindern,

–

die Zündung eines dennoch entstandenen explosiven Gemisches verhindern und

–

die Auswirkungen einer Explosion soweit begrenzen, dass keine unzulässigen sicherheitstechnischen Auswirkungen auftreten.

3.2.9.1 (4)

Ist die Bildung explosionsfähiger Gemische nicht zu verhindern, so ist durch geeignete Maßnahmen oder Einrichtungen sicherzustellen, dass Einrichtungen des Sicherheitssystems infolge einer Explosion des Gemisches nicht unzulässig beeinträchtigt werden. Zu diesen Maßnahmen und Einrichtungen gehören:

–

Minimierung der Menge explosionsfähiger Gemische,

–

Entfernung aller möglichen Zündquellen, gegebenenfalls Kapselung unvermeidbarer Zündquellen (Ausnahme: Einrichtungen zum Abbau explosionsfähiger Gemische),

–

geeignete Belüftung und

–

Verwendung von Einrichtungen und Werkzeugen, insbesondere von elektrischen Geräten, die für den Einsatz in explosionsfähigen Gemischen qualifiziert sind.

3.2.9.1 (5)

Die Auswirkungen einer unterstellten Explosion sind zu minimieren, durch Maßnahmen und Einrichtungen wie:

–

Druckentlastungseinrichtungen,

–

Einhalten von Sicherheitsabständen zu Einrichtungen des Sicherheitssystems und

–

Schutzeinrichtungen, wie z. B. Trennwände.

3.2.9.1 (6)

Alle unterstellten Explosionen sind hinsichtlich ihrer Auswirkungen auf Einrichtungen des Sicherheitssystems zu bewerten.

3.2.9.1 (7)

Ist die Vorhaltung explosionsfähiger Stoffe auf dem Anlagengelände erforderlich, so sind folgende Grundsätze zu beachten:

–

Die Menge explosionsfähiger Stoffe ist zu minimieren.

–

Es ist für eine sachgerechte Lagerung zu sorgen.

–

Es ist ein ausreichender Abstand zu möglichen Zündquellen einzuhalten.

–

Brand- und Gasmeldeeinrichtungen sowie gegebenenfalls automatisch auszulösende Löschanlagen am Lagerungsort sind vorzusehen.

3.2.9.1 (8)

Es sind Druckwellen zu berücksichtigen, deren Ursache nicht in einer chemischen Explosion liegt.

Hinweis:

Dazu gehören beispielsweise Druckwellen resultierend aus Lichtbögen in elektrischen Mittel- und Hochspannungsschaltanlagen.

3.2.9.2

Verhinderung unzulässiger Auswirkungen von Radiolysegasreaktionen in Systemen und Komponenten

Hinweis:

Die nachfolgenden Anforderungen gelten vorrangig für Anlagen mit Siedewasserreaktoren.

3.2.9.2 (1)

Es sind geeignete Maßnahmen und Einrichtungen zur Verhinderung von Radiolysegasansammlungen und gegebenenfalls zur Minimierung der Auswirkungen von Radiolysegasreaktionen vorzusehen.

3.2.9.2 (2)

Bei den nach Nummer 3.2.9.2 (1) vorzusehenden Maßnahmen und Einrichtungen sind alle Systembereiche zu berücksichtigen, die mit Reaktorkühlmitteldampf beaufschlagt werden können.

3.2.9.2 (3)

Bei der Bestimmung betroffener Systembereiche sind alle Betriebszustände, Betriebsvorgänge und gestörten Zustände zu berücksichtigen. Insbesondere ist die Ansammlung von Radiolysegas durch Kondensation von Radiolysegas führendem Dampf an kalten Medien zu berücksichtigen.

3.2.9.2 (4)

Sind Radiolysegasansammlungen aus verfahrenstechnischen Gründen nicht zu verhindern, so sind zur Ermittlung der zu treffenden Vorsorgemaßnahmen Radiolysegasansammlungen sowie Radiolysegasreaktionen zu postulieren.

Der Reaktionsdruck sowie die Auswirkungen auf Einrichtungen des Sicherheitssystems durch Bruchstücke und Druckwellen sowie durch Kühlmittelverlust, Strahlkräfte, erhöhte Strahlenpegel, Reaktionskräfte, Temperatur und Feuchte sind zu ermitteln.

3.2.9.2 (5)

Die Wirksamkeit der getroffenen Maßnahmen und Einrichtungen ist kontinuierlich zu überwachen oder durch wiederkehrende Prüfungen nachzuweisen.

3.2.9.2 (6)

Passiv wirkende Vorkehrungen zur Gewährleistung einer gerichteten Durchströmung sind gegenüber Zwangsdurchströmungen zu bevorzugen.

3.2.9.3

Verhinderung zündfähiger Wasserstoffgemische im Sicherheitsbehälter

3.2.9.3.1

Allgemeine Anforderungen

Im bestimmungsgemäßen Betrieb (Sicherheitsebenen 1 und 2) sowie bei Ereignissen der Sicherheitsebene 3 ist zur Verhinderung einer Wasserstoffexplosion oder eines Wasserstoffbrandes im Sicherheitsbehälter sowohl integral als auch lokal ein Abstand zur Zündgrenze des Wasserstoffs (4 % Wasserstoff in Luft) durchgehend einzuhalten. Alle Quellen der Wasserstofferzeugung sind zu berücksichtigen.

Hinweis:

Die bei der Bestimmung der Wasserstoffbildung und Freisetzung zu berücksichtigenden Vorgaben bei Kühlmittelverluststörfällen sind in den „Sicherheitsanforderungen an Kernkraftwerke“, Anhang 5, dort Anlage 1 enthalten.

3.2.9.3.2

Überwachung der Wasserstoffkonzentration in Räumen des Sicherheitsbehälters nach Kühlmittelverluststörfällen

3.2.9.3.2 (1)

Es muss ein Messsystem vorhanden sein, welches auch unter den nach einem Kühlmittelverluststörfall zu erwartenden Bedingungen eine zuverlässige zeitliche Bestimmung der Wasserstoffverteilung innerhalb der vorrangig beaufschlagten Bereiche des Sicherheitsbehälters sicherstellt.

3.2.9.3.2 (2)

Auf Basis geeigneter Rechenverfahren sind Messstellen festzulegen, die eine zuverlässige Überwachung der Wasserstoffkonzentration ermöglichen.

3.2.9.3.2 (3)

An den Messstellen zur Bestimmung der Wasserstoffkonzentration ist auch die Temperatur im Sicherheitsbehälter zu messen.

3.2.9.3.3

Verhinderung von zündfähigen Wasserstoffkonzentrationen nach Kühlmittelverluststörfällen

3.2.9.3.3 (1)

Für Maßnahmen und Einrichtungen zur Verhinderung zündfähiger Wasserstoffkonzentrationen in der Sicherheitsbehälteratmosphäre nach einem Kühlmittelverluststörfall gelten folgende Grundsätze:

–

Ergeben die Berechnungen, dass lokal die Wasserstoffkonzentration im Sicherheitsbehälter auf Werte oberhalb der Zündgrenze ansteigen kann, so sind Einrichtungen vorzusehen, die eine ausreichende Zwangsdurchmischung der Sicherheitsbehälteratmosphäre sicherstellen.

–

Ergibt die Berechnung der integralen Wasserstoffkonzentration, dass ohne das Vorhandensein von Wasserstoffabbaumaßnahmen ein Erreichen der Zündgrenze langfristig nicht verhindert werden kann, gilt Folgendes:

(i)

Die Abbaurate der Einrichtungen zur Rekombination ist so zu bemessen, dass die integrale Wasserstoffkonzentration bei maximaler Vorbelastung durch Wasserstoff insbesondere aus der Zr-H₂O-Wasser-Reaktion stets unter der Zündgrenze bleibt.

(ii)

Durch die Auslegung der Einrichtungen zur Rekombination ist eine zuverlässige Verfügbarkeit und Funktion, auch unter den Bedingungen, die zum Zeitpunkt der notwendigen Aktivierung innerhalb des Sicherheitsbehälters herrschen, zu gewährleisten. Es ist nachzuweisen, dass die unter konservativen Randbedingungen ermittelte Spaltproduktbeladung der Einrichtungen zur Rekombination durch luftgetragene Halogene und flüchtige Feststoffe und die daraus resultierende Temperaturänderung in den Einrichtungen zur Rekombination deren Funktion unter radiologischen und sicherheitstechnischen Gesichtspunkten nicht unzulässig beeinträchtigen.

(iii)

Der Aufstellungsort der Einrichtungen zur Rekombination außerhalb des Sicherheitsbehälters soll im Hinblick auf die Möglichkeit, dass nach Störfällen u. U. erhebliche Aktivitätsmengen aus dem Sicherheitsbehälter in den Rekombinatorstrang verlagert werden, so nah wie von der Zugänglichkeit her möglich, am Sicherheitsbehälter liegen. Der Aufstellungsort und die Räume, durch die die Zu- und Ableitungen des Rekombinatorsystems geführt werden, müssen über Aerosol- und Jodfilter entlüftet werden, um unzulässige radioaktive Freisetzungen über eventuelle Leckagen zu verhindern. Die Rohrleitungen sind entsprechend abzuschirmen.

3.2.9.3.3 (2)

Aktive Maßnahmen müssen vor Erreichen einer Wasserstoffkonzentration von 4 % Volumengehalt in Betrieb genommen werden können. Die Ansteuerung darf von Hand erfolgen.

3.2.9.3.3 (3)

Im Rahmen der Nachweisführung zur Störfallbeherrschung darf ein Spülen des Sicherheitsbehälters (Einspeisen und Abgabe aus dem Sicherheitsbehälter) als Maßnahme zur Verringerung der integralen Wasserstoffkonzentration nicht kreditiert werden.

4.1

Allgemeine Anforderungen

4.1 (1)

Die naturbedingten und zivilisatorischen Einwirkungen von außen sind standortspezifisch zu erfassen und hinsichtlich sich gegebenenfalls verändernder Bedingungen regelmäßig zu überprüfen.

Hinweis:

Beachte hierzu auch in den „Sicherheitsanforderungen an Kernkraftwerke“ die Nummern 2.4 und 4.2 sowie in Anhang 5 zu den „Sicherheitsanforderungen an Kernkraftwerke“ die Nummern 3.2.1 (3) und (4).

4.1 (2)

Bei den gemäß Nummer 4.1 (1) erfassten Einwirkungen ist sicherzustellen, dass alle Einwirkungen in die Analyse einbezogen werden. Falls eine Einwirkung abdeckend für andere Einwirkungen ist, ist dies auszuweisen. Nach Änderungen von Maßnahmen oder Einrichtungen, die gegen eine abdeckende Einwirkung vorgesehen sind, ist die fortbestehende Eignung der Maßnahmen oder Einrichtungen erneut nachzuweisen.

4.1 (3)

Bei der Auslegung der Maßnahmen oder Einrichtungen sind für jede zu betrachtende Einwirkung die Auswirkungen auf die Anlage unter Berücksichtigung des zeitlichen Verlaufs der Einwirkung und aller zu erwartenden Folgewirkungen (wie z. B. Überlagerung mit Berstdruckwelle infolge von Behältern mit großem Energieinhalt im Maschinenhaus bei Erdbeben) im Rahmen eines Schutzkonzeptes zu ermitteln und zu berücksichtigen.

4.1 (4)

Das gegen Einwirkungen von außen und aus Notstandsfällen vorgesehene Schutzkonzept ist in überprüfbarer Form zu dokumentieren. Die Dokumentation ist aktuell zu halten. Die Dokumentation hat mindestens eine Auflistung der berücksichtigten Einwirkungen sowie den Nachweis der Eignung und ausreichenden Zuverlässigkeit der getroffenen Maßnahmen oder Einrichtungen zu enthalten.

4.1 (5)

Grundsätzlich ist durch die Maßnahmen und Einrichtungen ein permanent wirkender Schutz zu verwirklichen. Für Einwirkungen von außen mit ausreichend langsamer zeitlicher Entwicklung kann von zusätzlichen temporären Einrichtungen Kredit genommen werden.

4.1 (6)

Einwirkungen von außen sowie aus Notstandsfällen und sich daraus ergebende Beanspruchungen sind grundsätzlich mit den spezifizierten statischen und dynamischen betrieblichen Beanspruchungen für die jeweiligen Anlagenteile zu kombinieren. Bei kurzzeitigen und sich nicht häufig wiederholenden betrieblichen Beanspruchungen oder Anlagenzuständen kann davon abgewichen werden, sofern nicht ein gleichzeitiges Eintreten auf Grund der Wahrscheinlichkeit und des Schadensausmaßes in Betracht zu ziehen ist.

4.1 (7)

Die Standsicherheit der Transport- und Lagerbehälter ist für alle Abstellpositionen grundsätzlich auch bei Einwirkungen von außen sowie aus Notstandsfällen zu gewährleisten. Ausnahmen beschränken sich auf kurzzeitige, unvermeidbare Abstellungen des Behälters während des Transport- und Handhabungsvorgangs. Die Abstelldauer auf diesen Positionen ist auf die erforderliche Zeit zu begrenzen.

4.1 (8)

Es ist sicherzustellen, dass Einwirkungen von außen sowie aus Notstandsfällen die Zugänglichkeit der Anlage und die Durchführbarkeit sicherheitstechnisch relevanter Maßnahmen, z. B. Maßnahmen des anlageninternen Notfallschutzes oder Feuerwehreinsätze, nicht derart beeinträchtigen, dass diese im benötigten Umfang nicht mehr wirksam durchgeführt werden können.

4.1 (9)

Kontinuierlich oder kurzfristig sich verändernde Parameter von Einwirkungen von außen sowie abgeleitete Prognosen zur weiteren Entwicklung der für die Sicherheit relevanten Parameter sind zu verfolgen und vorausschauend zu berücksichtigen (z. B. Wasserstand und -temperatur im Vorfluter).

4.1 (10)

Es sind, sofern zutreffend, Grenzwerte und vorgelagerte spezifizierte Werte (Interventionswerte) zu definieren, bei deren Überschreitung rechtzeitig Maßnahmen einzuleiten sind.

4.1 (11)

Nach einer Einwirkung, die einen Interventionswert überschritten hat, ist zu überprüfen, ob sich unzulässige Auswirkungen auf sicherheitstechnisch wichtige Anlagenteile ergeben haben.

4.1 (12)

Während lang anhaltender Einwirkungen sind sicherheitstechnische Überprüfungen in angemessenen Abständen durchzuführen.

4.2

Ereignisspezifische Anforderungen

4.2.1

Naturbedingte Einwirkungen

4.2.1.1

Erdbeben

4.2.1.1 (1)

Für den Standort sind ein Bemessungserdbeben und die zugehörigen Einwirkungen auf der Grundlage der Ergebnisse deterministischer und probabilistischer seismologischer Standortgefährdungsanalysen zu ermitteln. Für das Bemessungserdbeben sind die Intensität und entsprechend den zugehörigen seismotektonischen Bedingungen auch maßgebende Magnituden-, Entfernungs- und Herdtiefenbereiche zur Ermittlung der ingenieurseismologischen Kenngrößen anzugeben. Unabhängig von standortspezifischen Festlegungen ist bei der Auslegung mindestens die Intensität VI EMS/MSK zu Grunde zu legen.

4.2.1.1 (2)

In Bezug auf die Auslegungsanforderungen an Sicherheitseinrichtungen für den Fall eines Bemessungserdbebens gelten die diesbezüglichen Regelungen in Nummer 2.4 der „Sicherheitsanforderungen an Kernkraftwerke“.

4.2.1.1 (3)

Neben der Schwingungsanregung von baulichen Anlagenteilen, Systemen und Komponenten sind hierbei auch Untergrundveränderungen (z. B. Bodenverflüssigung oder Setzung) zu berücksichtigen.

4.2.1.1 (4)

Die Anlagenauslegung muss sicherstellen, dass das Versagen von nicht gegen Erdbeben ausgelegten Einrichtungen keine unzulässigen Auswirkungen auf die zur Beherrschung des Bemessungserdbebens benötigten Sicherheitseinrichtungen hat, d. h. dass die erforderliche Wirksamkeit und Zuverlässigkeit dieser Sicherheitseinrichtungen gewährleistet bleibt.

Hinweis:

Hinsichtlich der beim Bemessungserdbeben zu berücksichtigenden Folgeereignisse siehe in den „Sicherheitsanforderungen an Kernkraftwerke“, Anhang 2 insbesondere die Ereignisse D3-39, S3-36, B3-07.

4.2.1.1 (5)

Für die Druckführende Umschließung des Reaktorkühlmittels und für die Äußeren Systeme, die für die Erfüllung der Schutzziele benötigt werden, ist das Verhalten beim Bemessungserdbeben anhand einer strukturdynamischen Analyse zu bewerten und die Erfüllung der Schutzziele sicherzustellen. Eine gleichzeitige Überlagerung der Einwirkungen aus einem Bemessungserdbeben und einem Leck an der Druckführenden Umschließung ist aufgrund ihrer Auslegung und Ausführung nicht zu unterstellen. Eine gleichzeitige Überlagerung eines Lecks an Äußeren Systemen ist nicht zu unterstellen, wenn diese gegen Erdbeben ausgelegt sind.

4.2.1.1 (6)

Bei der Nachweisführung der Sicherstellung der dauerhaften Unterkritikalität nach einem Bemessungserdbeben darf beim DWR neben den gegen das Bemessungserdbeben ausgelegten Borierungseinrichtungen auch von der Wirksamkeit der Reaktorschnellabschaltung Kredit genommen werden. Bei der Nachweisführung ist das Einzelfehlerkonzept anzuwenden.

4.2.1.1 (7)

Bei einem Bemessungserdbeben ist die Einhaltung der der Sicherheitsebene 3 zugeordneten radiologischen Sicherheitsziele nachzuweisen.

4.2.1.1 (8)

Es ist eine seismische Instrumentierung zu installieren, anhand derer die ingenieurseismologischen Parameter relevanter Erdbeben festgestellt werden können. Die seismische Instrumentierung muss in der Lage sein, mehrere aufeinanderfolgende Beben aufzuzeichnen (Vor-, Haupt- und Nachbeben) und eine Überschreitung von Grenzwerten für das Inspektionsniveau der Anlage zuverlässig anzuzeigen. Anhand der Aufzeichnungen der seismischen Instrumentierung muss eine Aussage hinsichtlich aller Sicherheitseinrichtungen möglich sein. Die seismische Instrumentierung muss einen Vergleich zwischen dem Auslegungsspektrum und den Antwortspektren registrierter Erdbeben ermöglichen.

4.2.1.1 (9)

In den Betriebsvorschriften sind Grenzwerte der seismischen Belastung festzulegen, bei deren Überschreitung Anlagenkontrollen und gegebenenfalls Maßnahmen (z. B. Abfahren der Anlage, Prüfung des Anlagenzustands) einzuleiten sind. Es ist sicherzustellen, dass dem Betriebspersonal die relevanten Werte aus der seismischen Instrumentierung zur Verfügung stehen und eine Alarmierung bei der Überschreitung festgelegter Grenzwerte erfolgt.

4.2.1.2

Überflutung

4.2.1.2 (1)

Die möglichen Ursachen für eine Überflutung sind standortspezifisch zu ermitteln und zu berücksichtigen. Für Hochwasserereignisse aufgrund hoher Wasserstände im Vorfluter sind ein Bemessungswasserstand und eine dazugehörige Überflutungsdauer festzulegen. Des Weiteren sind Starkregenereignisse auf dem Anlagengelände zu berücksichtigen.

4.2.1.2 (2)

Anlagenexterne Überflutungen dürfen die Sicherheit der Anlage nicht unzulässig beeinträchtigen. In Bezug auf die Auslegungsanforderungen an Sicherheitseinrichtungen für den Fall eines Bemessungswasserstands gelten die diesbezüglichen Regelungen in Nummer 2.4 der „Sicherheitsanforderungen an Kernkraftwerke“.

4.2.1.2 (3)

Zum Schutz gegen anlagenexterne Überflutung können Maßnahmen und Einrichtungen des permanenten und des temporären Hochwasserschutzes angewendet werden, unter Beachtung der Regelungen in Nummer 4.1 (5).

4.2.1.2 (4)

Neben der statischen Einwirkung durch den Wasserdruck sind auch mögliche dynamische Effekte (z. B. Wellenschlag oder Anprall von Treibgut) zu berücksichtigen.

4.2.1.3

Extreme meteorologische Bedingungen

4.2.1.3 (1)

Insbesondere folgende extreme meteorologische Bedingungen sind standortabhängig zu berücksichtigen:

–

hohe oder niedrige Temperaturen von Außenluft oder Kühlwasser,

–

lang anhaltende Trockenheit und deren Auswirkung auf die Kühlwasserversorgung,

–

Sturm einschließlich Tornado,

–

hohe oder niedrige Luftfeuchtigkeit,

–

Schneefall,

–

Vereisung,

–

Starkregen, Hagel,

–

Blitzschlag,

einschließlich Begleiterscheinungen, wie Salzablagerung auf elektrischen Isolatoren, Eintrag von Sand oder Aufwirbelung von Gegenständen.

4.2.1.3 (2)

Die Möglichkeit eines Ausfalls von Versorgungseinrichtungen (z. B. Einfrieren von Versorgungsleitungen oder Betriebsstoffen) ist zu berücksichtigen.

4.2.1.3 (3)

Durch geeignete Maßnahmen oder Einrichtungen ist sicherzustellen, dass extreme meteorologische Bedingungen die Sicherheit der Anlage nicht unzulässig beeinträchtigen. In den Betriebsvorschriften ist festzulegen innerhalb welcher Grenzen ein Anlagenbetrieb zulässig ist und wie bei Überschreiten dort festgelegter Werte zu verfahren ist.

4.2.1.3 (4)

Es sind insbesondere geeignete Maßnahmen oder Einrichtungen gegen Vereisung im Bereich der sicherheitstechnisch wichtigen Einrichtungen wie Kühlwasserentnahme, Zuluftversorgungen oder Frischdampfabblaseeinrichtungen zu treffen.

4.2.1.3 (5)

Beim Schutz gegen Sturmeinwirkungen sind insbesondere folgende Aspekte zu berücksichtigen:

–

Windstärke,

–

Böigkeit,

–

Sogwirkung,

–

Gesamtdauer der Einwirkung,

–

Wechselwirkung benachbarter Strukturen,

–

windbedingter Wasserstand im Vorfluter.

4.2.1.3 (6)

Beim Schutz gegen Starkregenereignisse sind insbesondere folgende Aspekte zu berücksichtigen:

–

Wasserstand auf dem Anlagengelände,

–

Eindringen von Wasser in Gebäude,

–

fehlende Möglichkeit für temporäre Maßnahmen,

–

Wassereintrag über Entwässerungssysteme und

–

Beeinträchtigung der Entwässerungssysteme.

4.2.1.3 (7)

Es ist ein Blitzschutz vorzusehen, der sicherstellt, dass sicherheitstechnisch wichtige Einrichtungen durch Blitzeinwirkung nicht unzulässig beeinträchtigt werden.

4.2.1.3 (8)

Der Blitzschutz muss entsprechend den anlagentechnischen Erfordernissen aus Maßnahmen zum Einfangen und Ableiten des Blitzes und aus anlageninternen Maßnahmen zur Reduzierung und Begrenzung von Überspannungen bestehen.

4.2.1.3 (9)

Die Blitzschutzeinrichtungen sind soweit wie möglich regelmäßig zu überprüfen.

4.2.1.4

Biologische Einwirkungen

4.2.1.4 (1)

Insbesondere folgende biologische Einwirkungen sind standortspezifisch zu berücksichtigen:

–

Muschelbewuchs,

–

Anfall größerer Mengen von Algen, Quallen oder Fischen,

–

Anfall größerer Mengen von Laub oder Gras als Treibgut,

–

Anfall größerer Mengen biologischen Treibguts infolge von Hochwasser,

–

mikrobiologische Korrosion.

4.2.1.4 (2)

Durch geeignete Maßnahmen oder Einrichtungen ist sicherzustellen, dass biologische Einwirkungen die Sicherheit der Anlage nicht unzulässig beeinträchtigen. Insbesondere ist die Verstopfung von Kühlwasser- und Lüftungssystemen zu verhindern.

4.2.1.4 (3)

Sicherheitstechnisch wichtige Kühlwasser- und Lüftungssysteme müssen einfach zu reinigen und zu warten sein.

4.2.1.4 (4)

Die notwendigen Reinigungseinrichtungen sind in der Anlage vorzuhalten.

4.2.1.4 (5)

Der Vorfluter ist im Hinblick auf eine Veränderung der biologischen Verhältnisse regelmäßig zu überprüfen.

4.2.2

Zivilisatorisch bedingte Einwirkungen (Notstandsfälle)

4.2.2.1

Flugzeugabsturz

4.2.2.1 (1)

Durch geeignete Maßnahmen und Einrichtungen ist sicherzustellen, dass durch einen Flugzeugabsturz die Sicherheit der Anlage nicht unzulässig beeinträchtigt wird.

4.2.2.1 (2)

Die durch den Flugzeugaufprall induzierten Erschütterungen sind zu berücksichtigen.

4.2.2.1 (3)

Die Auswirkungen von Trümmern, Treibstoffbränden, Treibstoffexplosionen und weiteren Folgewirkungen sind zu berücksichtigen, insbesondere:

–

Treibstoffbrand auf dem Anlagengelände,

–

Explosion von Treibstoff außerhalb von Gebäuden,

–

Brand oder Explosion von Treibstoff (flüssig oder als Dampf), der durch permanent vorhandene oder durch den Absturz verursachte Öffnungen in Gebäude eingedrungen ist,

–

Eindringen von Verbrennungsprodukten sowie Ansaugluft mit reduziertem Sauerstoffgehalt infolge von Verbrennungsvorgängen in Lüftungssysteme unter Berücksichtigung der Auswirkungen auf Personalhandlungen, elektrische Einrichtungen und die Dieselgenerator-Zuluft.

Hinweis:

Die Schutzwirkungen vorgelagerter Bauwerke dürfen dabei berücksichtigt werden.

Der Schutz gegen Flugzeugtrümmer kann bei redundanten Systemen auch durch räumliche Trennung erreicht werden.

4.2.2.1 (4)

Es sind auch Einwirkungen (z. B. Trümmer und Brände) aufgrund anlagennaher Flugzeugabstürze zu berücksichtigen.

4.2.2.1 (5)

Der Auslegung sind folgende Lastannahmen zugrunde zu legen:

–

Stoßlast-Zeit-Diagramm:

Stoßzeit [ms]	Stoßlast [MN]
0	0
10	55
30	55
40	110
50	110
70	0

–

Auftrefffläche: 7 m² kreisförmig.

–

Auftreffwinkel: normal auf die Tangentialebene im Auftreffpunkt.

4.2.2.1 (6)

Die Auslegung eines Bauwerks auf Vollschutz hat immer dann zu erfolgen, wenn sich hinter dem Bauwerk oder innerhalb des Bauwerkes Einrichtungen des Sicherheitssystems oder Notstandseinrichtungen für die Beherrschung des Ereignisses Flugzeugabsturz befinden, diese durch Bruchstücke oder Trümmerlasten beschädigt werden könnten und bei Ausfall dieser Anlagenteile das Überführen der Anlage in einen sicheren Zustand nicht mehr sichergestellt sind.

Die permanent vorhandenen Öffnungen von Gebäuden, in denen Einrichtungen des Sicherheitssystems angeordnet sind, sind so anzuordnen und zu schützen, dass bei einem Flugzeugabsturz kein Treibstoff in diese Gebäude eindringen kann.

Sofern durch die Anordnung und den Schutz der permanent vorhandenen Öffnungen das Eindringen von Treibstoff nicht verhindert werden kann, sind diese Öffnungen zumindest so anzuordnen und zu schützen, dass die bestimmungsgemäß erforderlichen Einrichtungen des Sicherheitssystems nicht unzulässig beeinträchtigt werden.

4.2.2.1 (7)

Die Ionenaustauscher der Kühlmittelreinigungsanlage, zugehörige Harzabfallbehälter und andere Komponenten und Systeme, die ähnlich hohe Aktivitäten in grundsätzlich brennbarer Form enthalten, sind durch besondere bauliche Einrichtungen oder brandschutztechnische Maßnahmen gegen Beschädigungen zu schützen, um eine nennenswerte, durch einen Treibstoffbrand verursachte Freisetzung von Radioaktivität zu verhindern.

4.2.2.2

Anlagenexterne Explosion

4.2.2.2 (1)

Durch geeignete Maßnahmen oder Einrichtungen ist sicherzustellen, dass zu unterstellende anlagenexterne Explosionen die Sicherheit der Anlage nicht unzulässig beeinträchtigen. Dabei sind neben chemischen Explosionen auch Explosionen von Dampf-, Gas- oder Flüssigkeitswolken, Deflagrationen mit partieller Detonation (DDT) und physikalische Explosionen zu berücksichtigen.

4.2.2.2 (2)

Es sind lokale und großräumige Explosionswirkungen zu berücksichtigen.

4.2.2.2 (3)

Geeignete Vorkehrungen zum Schutz gegen die Auswirkungen anlagenexterner Explosionen sind insbesondere die Auslegung baulicher Anlagenteile und die Einhaltung von Sicherheitsabständen.

4.2.2.2 (4)

Bei der baulichen Auslegung sind insbesondere die folgenden Einwirkungen zu berücksichtigen:

–

direkte, reflektierte und fokussierte Druckwellen,

–

Zeitverlauf von Über- und Unterdruck,

–

Trümmer,

–

Boden- und Gebäudeschwingungen,

–

thermische Einwirkungen.

4.2.2.2 (5)

Für die bauliche Auslegung ist der in der Richtlinie für den Schutz von Kernkraftwerken gegen Druckwellen aus chemischen Reaktionen (Bekanntmachung des Bundesministerium des Innern vom 1. August 1976 - RS I 4 - 513 145/1) angegebene Druckverlauf anzunehmen, sofern keine Hinweise auf höher zu erwartende Druckverläufe vorliegen.

4.2.2.2 (6)

Zur Beherrschung der Einwirkungen der Explosion erforderliche sicherheitstechnisch wichtige Lüftungsanlagen dürfen durch Explosionseinwirkungen nicht unzulässig beeinträchtigt werden.

4.2.2.3

Gefährliche Stoffe

4.2.2.3 (1)

Unter Gefährlichen Stoffen sind die folgenden Stoffe zu verstehen:

a)

Stoffe, die kurzfristig oder langfristig zum Ausfall der Funktion sicherheitstechnisch wichtiger Anlagenteile führen können. Das sind:

–

explosionsfähige,

–

entzündliche,

–

den in der Dieselzuluft enthaltenen Sauerstoff verdrängende oder verzehrende,

–

verstopfende oder

–

korrosive Stoffe.

b)

Stoffe, die die erforderliche Handlungsfähigkeit des Personals gefährden. Das sind:

–

giftige,

–

narkotische,

–

ätzende,

–

Sauerstoff verdrängende,

–

Sauerstoff verzehrende oder

–

explosionsfähige Stoffe und

–

radioaktive Stoffe.

4.2.2.3 (2)

Durch geeignete Maßnahmen oder Einrichtungen ist sicherzustellen, dass gefährliche Stoffe die Sicherheit der Anlage und die Handlungsfähigkeit des Personals nicht unzulässig beeinträchtigen.

Dabei sind folgende Gesichtspunkte maßgebend:

–

standortspezifisches Vorkommen gefährlicher Stoffe (ortsfest oder auf Verkehrswegen),

–

deren Eindringmöglichkeiten in Gebäude oder Systeme,

–

deren Einwirkungsmechanismen, einschließlich des zeitlichen Verlaufs (z. B. der Konzentration) sowie

–

Möglichkeiten zu deren Erkennung und Überwachung.

4.2.2.3 (3)

Zur Erkennung des Auftretens von gefährlichen Stoffen und zur Einleitung notwendiger Personalhandlungen sind entsprechende organisatorische Maßnahmen zu treffen und, soweit notwendig und möglich, Einrichtungen zu schaffen.

4.2.2.3 (4)

Entsprechend der Einwirkung der gefährlichen Stoffe sind neben der erforderlichen Systemauslegung (z. B. räumliche Trennung der Versorgungsöffnungen für redundante Teilsysteme) insbesondere folgende Maßnahmen und Einrichtungen in Betracht zu ziehen:

Anlagenbezogen:

a)

bei kurzfristig wirkenden gefährlichen Stoffen

–

Unterbrechung der Medienzufuhr (z. B. Lüftungsabschluss),

–

Umstellung der Betriebsweise (z. B. Zuluft-/Abluftbetrieb auf Umluftbetrieb),

b)

bei langfristig wirkenden gefährlichen Stoffen

–

Inspektion potenziell beeinträchtigter bzw. zur Vorsorge erforderlicher Einrichtungen, einschließlich Wiederkehrender Prüfungen sowie

–

Reinigung dieser Einrichtungen.

c)

Organisatorisch:

–

Ausbildung des Personals,

–

Schutz des Personals durch z. B. Bereitstellung von Atemschutzgeräten, Einrichtung von Bereichen mit autarker Medienaufbereitung (z. B. Klimatisierung/Regenerierung).

d)

Zusätzlich:

–

Nachweisgeräte für die jeweiligen gefährlichen Stoffe in den Versorgungsöffnungen, in der Warte, auf dem Kraftwerksgelände und eventuell in der Nähe gefährdeter Anlagenteile, vorrangig aber in der Nähe der potentiellen Gefahrstoffquelle,

–

Nachrichtenverbindungen zu den Orten des Umgangs mit gefährlichen Stoffen,

–

Vermeidung des langfristigen Kontakts mit korrosiven Stoffen,

–

schützende Beschichtungen und

–

Sicherheitsabstände.

4.2.2.3 (5)

Die Zugänglichkeit der Warte oder Notsteuerstelle und der dauerhafte Aufenthalt dort sind auch während der Einwirkung gefährlicher Stoffe im erforderlichen Umfang durch die Bereitstellung von Schutzausrüstung sicherzustellen.

4.2.3

Sonstige zivilisatorisch bedingte Einwirkungen

4.2.3.1

Treibgut, Staustufenversagen und Schiffsunfälle

4.2.3.1 (1)

Die sicherheitstechnisch erforderliche Kühlwasserversorgung ist auch bei

–

Einwirkung von Treibgut,

–

Verlust von Kühlwasser durch Staustufenversagen flussabwärts,

–

Folgen aus Schiffsunfällen und

–

Kollisionen von Schiffen mit Kühlwasserbauwerken

entsprechend den standortspezifischen Erfordernissen sicherzustellen.

4.2.3.1 (2)

Die Auswirkungen von Schiffsunfällen auf die sicherheitstechnisch wichtige Versorgung mit Kühlwasser, z. B. durch Beeinflussung der Qualität infolge der Beimischung von Öl oder von anderen gefährlichen Stoffen, ist zu berücksichtigen.

4.2.3.2

Anlagenexterner Brand

4.2.3.2 (1)

Durch geeignete Maßnahmen oder Einrichtungen ist sicherzustellen, dass anlagenexterne Brände die Sicherheit der Anlage nicht unzulässig beeinträchtigen.

4.2.3.2 (2)

Neben der thermischen Einwirkung sind auch Verbrennungsprodukte wie Aerosole und toxische und/oder korrosive Stoffe zu berücksichtigen.

4.2.3.2 (3)

Die Auswirkungen anlagenexterner Brände auf Lüftungsanlagen und die Ansaugluft der Notstromdiesel sowie der mögliche Eintrag von Verbrennungsprodukten in Gebäude sind zu berücksichtigen.

4.2.3.2 (4)

Ebenerdige Schächte und Öffnungen von unterirdischen Versorgungseinrichtungen oder Gebäuden sind entsprechend ihren sicherheitstechnischen Anforderungen gegen Eindringen brennbarer Flüssigkeiten zu schützen.

4.2.3.3

Elektromagnetische Einwirkungen (außer Blitzschlag)

4.2.3.3 (1)

Elektromagnetische Störquellen außerhalb der Anlage, deren Einfluss auf das Sicherheitssystem, die Notstandseinrichtungen oder weitere für die Sicherheit erforderliche Einrichtungen nicht vermieden werden kann, sind umfassend zu identifizieren und die möglichen Einwirkungen daraus zu bewerten. Die Betrachtung abdeckender Einwirkungen ist zulässig. Eine Analyse der elektromagnetischen Verträglichkeit (EMV-Analyse) ist im erforderlichen Umfang durchzuführen und zur Prüfung vorzulegen.

4.2.3.3 (2)

Sofern elektromagnetische Einflüsse von außerhalb der Anlage die Funktion von in Nummer 4.2.3.3 (1) genannten Einrichtungen beeinträchtigen können, sind Maßnahmen und Einrichtungen zum Schutz ihrer Leittechnik gemäß ihrer sicherheitstechnischen Bedeutung vorzusehen.

4.2.3.3 (3)

Während der Betriebsdauer der Anlage muss der Schutz der in Nummer 4.2.3.3 (1) genannten Einrichtungen vor elektromagnetischer Beeinflussung gegebenenfalls den Veränderungen elektromagnetischer Quellen außerhalb der Anlage angepasst werden.

4.2.3.3 (4)

Für in Nummer 4.2.3.3 (1) genannte Einrichtungen, die durch elektromagnetische Einwirkungen von außerhalb der Anlage beeinträchtigt werden können, ist durch Prüfungen nachzuweisen, dass deren elektromagnetische Verträglichkeit in ihrem Einsatzumfeld gegeben ist (EMV-Nachweis).