AKW Beznau setzte untaugliche Software ein

In den beiden Blöcken des AKW Beznau im Kanton Aargau ist bei der autarken Notstromversorgung eine ungeeignete Software im Einsatz gestanden. Mit der Anpassung der Software wurde der Auslegungsfehler in beiden Blöcken gemäss der Atomaufsichtsbehörde ENSI behoben.
 
Sicherheitstechnisch war der Fehler primär für den Block 2 während des Leistungsbetriebs 2016/2017 von Bedeutung, wie das Eidgenössische Nuklearsicherheitsinspektorat (ENSI) auf seiner Website festhält. Im Block 1 hätten sich im Reaktorkern in diesem Zeitraum keine Brennelemente befunden.
 
Im Rahmen des Projekts "Autanove" waren in beiden Blöcken des AKW Beznau autarke Notstromversorgungen nachgerüstet worden, die auf ein so genanntes Sicherheitserdbeben SSE ausgelegt sind. Bei einem solchen Erdbeben darf das Bauwerk begrenzte Schäden erleiden, aber nicht zusammenbrechen.
 
"Ausgeschaltet ist sicher"
Bei einer Analyse des Systemverhaltens erkannte der AKW-Betreiber den meldepflichtigen Fehler, wie es im Vorkommnisbeschrieb des ENSI heisst. Demnach hätten Signale aus Teilen der Anlage, die nicht für die Beherrschung des SSE notwendig sind, bei einem solchen Erdbeben dazu geführt, dass der dabei benötigte Notstromdiesel abgeschaltet worden wäre.
 
Dieser Notstromdiesel versorge die Notstromschiene, die für die Beherrschung des SSE vorgesehen sei. Damit sei eine Abweichung vom Prinzip der Autarkie vorgelegen, welches für die autonome Notstromversorgung bei einem SSE von zentraler Bedeutung sei.
 
"Die direkte Ursache war eine Software, die für die autarke Notstromversorgung ungeeignet ist", hält das ENSI fest. Diese Software habe für den Notstromdiesel das Prinzip "ausgeschaltet ist sicher" verwendet. Dies im Widerspruch zu den Anforderungen an die autarke Notstromversorgung, für die beim SSE "eingeschaltet ist sicher" gelte.
 
Unklare Spezifikationen als Ursache
Die initiale Ursache lag laut Atomaufsichtsbehörde in der Kommunikation mit dem Auftragnehmer für die Realisierung des Projekts "Autanove". Die Unabhängigkeit der Notstromversorgung sei in der Ausschreibungsspezifikation "nicht klar genug formuliert" worden.
 
Bei der Prüfung der Unterlagen des Auftragnehmers, die auf der Basis der Ausschreibungsspezifikation erstellt worden sei, sei die Abweichung vom Prinzip der Autarkie nicht erkannt worden.
 
Mit der Anpassung der Software sei der Auslegungsfehler in beiden Blöcken behoben worden. Im Block 2 erfolgte die Korrektur noch vor dem Wiederanfahren der Anlage. Der Block 1 ist seit März 2015 abgeschaltet. (mag/sda)