Probabilistische Sicherheitsanalyse

aus Wikipedia, der freien Enzyklopädie
Zur Navigation springen Zur Suche springen

Die Probabilistische Sicherheitsanalyse (PSA), auch Probabilistische Risikoanalyse (PRA) genannt, untersucht die Risiken von Industrieanlagen mittels der Methoden der Wahrscheinlichkeitsrechnung und Systemanalyse.

Die drei wesentlichen Untersuchungsgegenstände der Analyse sind:

  • Was kann versagen?
  • Wie wahrscheinlich ist es?
  • Was sind die Auswirkungen?

Historie der PSA

[Bearbeiten | Quelltext bearbeiten]

Aus dem Erfahrungsstand der Zuverlässigkeitsanalyse der Neunzehnhundertfünfziger- und sechzigerjahre heraus wurde die Methode der quantitativen Risikoanalyse entwickelt. Sie bedient sich damit gleichermaßen der Methoden der Zuverlässigkeit (Technik).

Ein Pionier der quantitativen Risikobewertung war in England Frank Reginald Farmer, der 1967 mit der Risiko-Grenzkurve (auch „Farmer-Kurve“ genannt) die methodische Grundlage für die quantitative Risikobewertung industrieller Anlagen schuf.[1] Die Risiko-Grenzkurve leitet sich aus dem Produkt von Eintrittswahrscheinlichkeit und Schadensausmaß eines Unfalls ab und legt die Überlegung zugrunde, dass, je größer das Schadensausmaß eines Unfalls ist, desto geringer die Eintrittswahrscheinlichkeit sein muss, und entsprechend umgekehrt.[2]

Farmer wies auch darauf hin, dass in der Risikobewertung (z. B. eines Kernkraftwerkes) das gesamte Spektrum möglicher Unfälle zu betrachten ist und nicht nur ein „größter anzunehmender Unfall“ (GAU, englisch „Maximum Credible Accident“ – MCA), wie es bis dahin in der Kerntechnik üblich gewesen war.

In der amerikanischen Reaktorsicherheitsstudie „WASH 1400“ von 1975[3] („Rasmussen-Studie“) wurden die quantitativen Unfallrisiken zweier Kernkraftwerke (KKW) erstmals umfassend analysiert. Die Ereignisbaum- und Fehlerbaumanalyse sind dabei die vorherrschenden analytischen Instrumentarien der PSA, in denen die Gesamtheit der möglichen Unfallabläufe erfasst, modelliert und quantifiziert wird. Die Fehlerbaumanalyse (vgl. Fault Tree Analysis Handbook[4]) stammt aus der Luft- und Raumfahrttechnik. Das in der PSA erstellte Risikomodell der Gesamtanlage besteht danach aus einer Vielzahl ineinander verzahnter Ereignis- und Fehlerbäume. Bei großtechnischen Anlagen wie einem Kernkraftwerk kann das Risikomodell und die dabei anfallenden großen Datenmengen nur noch mittels eines Rechenprogramms quantifiziert und qualitätsgesichert werden.

Mit der Reaktorsicherheitsstudie „WASH 1400“ erfolgte auch eine wesentliche Weiterentwicklung der Methoden der PSA:[3]

  • Ausfallmodelle redundanter Systeme und Komponenten mit redundanzübergreifenden Fehlern (CCF - Analyse, Common Cause Failure).
  • Human Factor Analyse (Übernahme der Erfahrungen aus dem militärischen Bereich).
  • Ermittlung probabilistischer Größen seltener Ereignisse, wie das Versagen von Rohrleitungen oder Behältern, das Bersten der Kraftwerks-Turbine, anlageninterne Überflutungen, Absturz schwerer Lasten, anlagenexterne Ereignisse wie Flugzeugabsturz, Erdbeben und Hochwasser.

Sie setzte damit – nicht nur in der Kerntechnik – Maßstäbe für alle weiteren Risikoanalysen. In Deutschland wurde die „Deutsche Risikostudie für Kernkraftwerke“[5] für das KKW Biblis nach den methodischen Ansätzen von „WASH 1400“ erstellt und gilt in Deutschland als eine Referenzanalyse für Kernkraftwerke.

Risikoanalysen kommen heute in allen Industriebereichen, wie der Kerntechnik, Luftfahrt, Bahn, Schifffahrt, Chemie, Petrochemie und Staudämmen, zur Anwendung.

Bedeutende Risiko-Größen

[Bearbeiten | Quelltext bearbeiten]

Mit dem Unfall im amerikanischen Kernkraftwerk Three Mile Island von 1979 wurden diverse Schwächen im Bereich der Mensch-Maschine-Schnittstelle, der Personalqualifikation und des Unfallmanagements sichtbar. Das Unfallereignis löste weltweite Nachrüstungen der KKW sowie eine intensive Weiterentwicklung der Methoden zur Human Factor Analyse aus[6][7].

Anlageninterner Brand

[Bearbeiten | Quelltext bearbeiten]

Im Kernkraftwerk Browns Ferry, in Alabama, USA entwickelte sich 1975 ein schwerer anlageninterner Brand, der zum Ausfall mehrerer Sicherheitssysteme führte. Der Auslöser des Brandes war eine brennende Kerze, die das Instandsetzungspersonal zur Erkennung einer Lüftungsleckage im Kabelkanal des KKW verwendet hatte. Die Risiko-Größe „anlageninterner Brand“ wurde durch dieses Ereignis deutlich, die in dieser Form bisher unterschätzt wurde. In WASH 1400 wurde das Ereignis Brand noch nicht betrachtet. Eine intensive Entwicklung der probabilistischen Brandgefahren-Analyse wurde damit eingeleitet. Sie ist heute Standard in der PSA[6][8].

Sicherheitskultur

[Bearbeiten | Quelltext bearbeiten]

Im russischen Kernkraftwerk Tschernobyl ereignete sich 1986 der bislang schwerste Unfall in der Kernenergieerzeugung. Ausgangspunkt des Unfalls war eine Versuchsdurchführung zur Bestimmung der Sicherheitseigenschaften der Anlage, die während des Abfahrens der Anlage stattfand. Unzulänglichkeiten des Versuchsprogramms, unerwartete Bedingungen während der Versuchsdurchführung und ungeplante Eingriffe des Betriebspersonals führten in der Summe zu einer „prompt überkritischen Leistungsexkursion“ des Reaktors und damit zu seinem katastrophalen Versagen. Die Unfallursachenanalyse offenbarte erhebliche Defizite im Sicherheitsmanagement und in der Aufsicht der Anlage. Die Bedeutung des Anlagenmanagements und der Sicherheitskultur (engl. „safety culture“) auf das Anlagenrisiko wurde offenkundig.

Unfallursachenanalysen in praktisch allen anderen Industriebereichen, aber auch in der Medizin und Pharmazeutik, offenbarten gleichermaßen diese Einflussgröße. In allen Sicherheitsstandards der verschiedenen Industriebereiche finden sich heute entsprechende Anforderungen an ein Sicherheitsmanagement bzw. Risikomanagement.

Methoden zur Bewertung der Risiko-Größe „Sicherheitskultur“ existieren bislang lediglich in qualitativer Form.

Durchführung einer PSA

[Bearbeiten | Quelltext bearbeiten]

Die PSA wird nach folgenden Arbeitsschritten erstellt:[6]

  1. Identifikation der Gefahrenpotentiale, die in einer Anlage enthalten sind (wie Gefahrstoffe, radioaktive Spaltprodukte).
  2. Beschreibung der Sicherheitstechnik, der Maßnahmen und Barrieren, die die Gefahrenpotentiale einschließen und deren Freisetzung verhindern.
  3. Bestimmung der Störfälle, die zu einer Freisetzung der Gefahrenpotentiale führen können (störfallauslösende Ereignisse, engl. „intitiating events“).
  4. Festlegung des Spektrums der störfallauslösenden Ereignisse.
  5. Analyse der Störfallabläufe und der Wirkungsweise der Systemtechnik unter den Störfallbedingungen sowie Umsetzung der Störfallabläufe in Ereignis- und Fehlerbäume (sie bilden das probabilistische Modell in der PSA, das mit den Methoden der Wahrscheinlichkeitsrechnung quantifiziert werden kann).
  6. Ermittlung der Eingangsgrößen in das probabilistische Modell, den Zuverlässigkeitsdaten, HF-, CCF-Daten (Wahrscheinlichkeitsgrößen) und den Instandsetzungszeiten und Prüfintervallen (Zustandsänderungsgrößen) der Komponenten des Systems.
  7. Quantifizierung des probabilistischen Modells.
  8. Bewertung der Risikoergebnisse, Feststellung der führenden Risikobeiträge (Systemschwachstellen) und der möglichen risikosenkenden Maßnahmen.

Probabilistische Eingangsdaten

[Bearbeiten | Quelltext bearbeiten]

Die probabilistischen Eingangsgrößen in der PSA sind:[9]

Die probabilistischen Eingangsdaten werden entweder aus der Betriebserfahrung der betrachteten Anlage (anlagenspezifische Daten) oder von anderen vergleichbaren Anlagen (generische Daten) übernommen.[10] Die gewonnenen Zuverlässigkeitskenngrößen stellen zugleich Indikatoren (Sicherheitsindikatoren) für das Sicherheitsverhalten einer Anlage dar, insbesondere hinsichtlich systematischer Fehler und Alterungsprozesse. Sie geben frühzeitig Hinweise auf Defizite und Anlass für korrigierende Maßnahmen.

Unschärfe und Grenzen der Analyse

[Bearbeiten | Quelltext bearbeiten]

Die quantitativen Ergebnisse einer probabilistischen Risikoanalyse sind generell mit Unschärfen behaftet. Es werden die folgenden Arten von Unschärfe unterschieden:[6]

Modellunschärfe

[Bearbeiten | Quelltext bearbeiten]

Die Abbildung des realen Systems im Risikomodell unter den Bedingungen der Störfall- oder Unfallsituationen stellt immer nur eine grobe Annäherung an die realen Abläufe dar. Simulationen von Unfallszenarien sowie die Auswertung von Unfallabläufen bei gleichartigen Systemen dienen der Verbesserung der Modellbildung.

Datenunschärfe und Parameterunschärfe

[Bearbeiten | Quelltext bearbeiten]

Die Zuverlässigkeitskenngrößen unterliegen einerseits der „statistischen Streuung“ und anderseits der „technischen Streuung“. Die „statistische Streuung“ kann durch eine möglichst große Stichprobe reduziert werden. Die „technische Streuung“ ergibt sich aus dem Umstand, dass die zur Datenauswertung herangezogenen Komponenten in der Art und in ihrem Betriebsverhalten mit der betrachteten Komponente in der Regel nicht vollständig übereinstimmen. Die dadurch bedingte Unsicherheit ist in der Regel größer als die der „statistischen Streuung“.[9]

Unschärfe durch unzureichenden Kenntnisstand

[Bearbeiten | Quelltext bearbeiten]

Die Unfallerfahrung lehrt, dass der Kenntnisstand über die – in einer komplexen Industrieanlage – möglichen Störfallabläufe in der Regel unvollständig ist (vgl. Abschn. Bedeutende Risiko-Größen), d. h., dass das Risikomodell die Realität nur unvollständig wiedergibt.

Risiko-Bewertung

[Bearbeiten | Quelltext bearbeiten]

Bewertung der absoluten Risikogröße

[Bearbeiten | Quelltext bearbeiten]

Das quantitative Gesamtergebnis der Risikoanalyse, bestehend aus der Eintrittswahrscheinlichkeit und den Auswirkungen der untersuchten Unfallabläufe, gibt Aufschluss über die Kollektiv- und Individualrisiken der Bevölkerung in der Umgebung der Anlage.[11]

Der Bewertungsansatz „MEM“ („Minimale endogene Mortalität“) basiert auf der minimalen Sterberate eines Menschen (im Lebensalter vom 5. bis zum 15. Lebensjahr) von 2·10−4/Jahr. Das zulässige Risiko soll deutlich unter diesem Wert liegen und wird mit 1·10−5/Jahr angesetzt (europäische Bahn-Norm EN 50126, 1997).

In der Luftfahrt müssen nach ARP 4761[12] und ARP 4754[13] je nach Schweregrad der Auswirkungen eines Fehlers die folgenden Wahrscheinlichkeiten nachgewiesen werden:

  • 10−5/Flugstunde für die Kategorie „Major“
  • 10−7/Flugstunde für die Kategorie „Hazardous“ bzw. „Severe Major“
  • 10−9/Flugstunde für die Kategorie „Catastrophic“

Vergleichende Risikobewertung

[Bearbeiten | Quelltext bearbeiten]

Eine praktizierte Bewertung der quantitativen Risikoergebnisse ist der Vergleich mit anderen industriellen Risiken oder alternativen Anlagenkonzepten und Systemen.

Das GAMAB-Prinzip (Globalement au moins aussi bon - Generell mindestens so gut): ein neues System soll wenigstens so sicher bzw. risikoarm sein, wie irgendein bereits existierendes vergleichbares System (vgl. europäischen Bahn-Norm EN 50126, 1997). In der chemischen Industrie wird hierfür der Begriff „Best practice“ angewendet.

Das „ALARP“-Prinzip („As low as reasonably practical“) leitet sich aus dem Verhältnismäßigkeitsgrundsatz ab, wonach immer – und soweit möglich und praktikabel – risikosenkende Maßnahmen durchgeführt werden sollen.

Bewertung der Risiko-Importanzen

[Bearbeiten | Quelltext bearbeiten]

Die Risikoanalyse liefert – über das quantitative Gesamtergebnis hinaus – Informationen über einzelne Risikobeiträge (Risiko-Importanzen) der Systemtechnik und Betriebsweise und damit Ansatzpunkte zu deren Optimierung (als Schwachstellenanalyse bezeichnet).[6]

Anwendungsbereiche der PSA

[Bearbeiten | Quelltext bearbeiten]

Sicherheitsüberprüfungen

[Bearbeiten | Quelltext bearbeiten]

In Deutschland müssen kerntechnische Anlagen regelmäßig einer Sicherheitsüberprüfung unterzogen werden. Sie umfasst drei Teile: deterministische Sicherheitsstatusanalyse, probabilistische Sicherheitsanalyse und deterministische Sicherungsanalyse.[14]

In der Risikoanalyse wird üblicherweise der zu analysierende Systemzustand zum Zeitpunkt der Analyse festgelegt, eingefroren (engl. „snapshot in time“). Spätere Veränderungen der Anlagentechnik oder neue Kenntnisstände über Daten und Modelle der PSA bleiben darin unberücksichtigt. Aufgabe der „Living PSA“ ist es daher, die PSA über die Lebensdauer einer Anlage aktuell zu halten. Sie findet Verwendung bei der sicherheitstechnischen Betriebsführung einer Anlage, zur Bewertung von geplanten, technischen Änderungen sowie für Schulungszwecke des Betriebspersonals.[15][16]

Risk Informed Regulation

[Bearbeiten | Quelltext bearbeiten]

In den USA stützt sich das Genehmigungs- und Aufsichtsverfahren für Kernkraftwerke wesentlich auf die PSA ab. Mit dem „Policy Statement der NRC“ von 1995 werden folgende Ziele gesetzt:[17][18]

  • Umfassende Anwendung der PSA in allen Entscheidungsprozessen zur Reaktorsicherheit.
  • Verbesserung der Risikobewertung durch neuere Erkenntnisse aus Ereignissen aus dem Reaktorbetrieb.
  • Optimierung der Verteilung der verfügbaren Ressourcen mittels Risikoanalyse.
  • Bewertung von systemtechnischen Änderungen mittels Risikoanalyse unter Beachtung der allgemeinen Sicherheitsprinzipien.
  • Verbesserung der PSA-Instrumentarien, z. B. durch Schaffung eines PSA-Standards.

U.S. Nuclear Regulatory Commission (NRC):

  • NUREG-0492, „Fault Tree Handbook“, W. E. Vesely, F. F. Goldberg, N. H. Roberts, D. F. Haasl, 1981[4]
  • NUREG/CR-2300, „PRA Procedures Guide: A Guide to the Performance of Probabilistic Risk Assessments for Nuclear Power Plants“[19]
  • NUREG CR-2815, „Probabilistic Safety Assessment (PSA) Procedure Guide“, 1985[20]
  • American Society of Mechanical Engineers (ASME), „Standard for Probabilistic Risk Assessment for Nuclear Power Plants (NPP) Applications“, ASME RA-S-1999[21]

International Atomic Energy Agency (IAEA):

  • „Development and Application of Level 1 Probabilistic Safety Assessment for Nuclear Power Plants“, Specific Safety Guide Series No. SSG-3, April 27, 2010[22]
  • „Development and Application of Level 2 Probabilistic Safety Assessment for Nuclear Power Plants“, Specific Safety Guide Series No. SSG-4, May 25, 2010[23]

Bundesamt für Strahlenschutz (BfS):

  • „Methoden zur probabilistischen Sicherheitsanalyse für Kernkraftwerke“, Dez. 1996, BfS-KT-16-97[6]
  • „Daten zur Quantifizierung von Ereignisablaufdiagrammen und Fehlerbäumen“, März 1997, BfS-KT-18/97

Die Organisation for Economic Co-operation and Development (OECD-Arbeitskreis Risk Assessment) veröffentlicht „Technical Opinion Paper“, in denen Grundsatzaussagen über die Eigenschaften der probabilistischen Sicherheitsanalyse gemacht werden:

  • The Role of Quantitative PSA Results in NPP Safety Decision-Making
  • The Role of Living PSA in NPP Safety Decision-Making[16]
  • Human Reliability Analysis in PSA[7]
  • Fire Probabilistic Safety Assessment for NPP[8]
  • Seismic PSA[8].

Chemie, Öl- und Gasindustrie

[Bearbeiten | Quelltext bearbeiten]

Health and Safety Executive, „Application of QRA in operational safety issues“, 2002[24]

NORSOK STANDARD Z-013 Risk and emergency preparedness analysis, 1. September 2001[25]

American Petroleum Institute API-Publication 581, Base Resource Document – Risk-Based Inspection[26]

OREDAOffshore and Onshore Reliability Data Handbook[27]

EN 50126: Bahnanwendungen - Spezifikation und Nachweis der Zuverlässigkeit, Verfügbarkeit, Instandhaltbarkeit, Sicherheit (RAMS); Deutsche Fassung:1999

The international handbook on Engineering Safety Management (iESM) (ersetzt das 2012 zurückgezogene Yellow Book – „Engineering Safety Management“)[28][29]

Einzelnachweise

[Bearbeiten | Quelltext bearbeiten]
  1. F. R. Farmer: Safety Criterion. Containment an Siting of Nuclear Power Reactors. Wien 1967.
  2. Archivierte Kopie (Memento vom 18. Dezember 2012 im Internet Archive), M. Ragheb, The Risk Assessment Methodology, 2011.
  3. a b nrc.gov: Reactor Safety Study: An Assessment of Accident Risks in U.S. Commercial Nuclear Power Plants, abgerufen am 10. Februar 2021.
  4. a b [1], „Fault Tree Handbook“, W. E. Vesely, F. F. Goldberg, N. H. Roberts, D. F. Haasl, 1981, NUREG-0492.
  5. [2] (PDF; 16,6 MB), Gesellschaft für Reaktorsicherheit „Deutsche Risiko-Studie Kernkraftwerke“, Bundesminister für Forschung und Technologie, Phase A: 1980, Phase B: 1989.
  6. a b c d e f [3] (PDF; 2,9 MB), Methoden zur probabilistischen Sicherheitsanalyse für Kernkraftwerke, Dez. 1996, BfS-KT-16-97.
  7. a b [4] (PDF; 71 kB), CSNI Technical Opinion Papers, No. 4: Human Reliability Analysis in Probabilistic Safety Assessment for Nuclear Power Plants.
  8. a b c CSNI Technical Opinion Papers, No. 1: Fire Probabilistic Safety Assessment for Nuclear Power Plants doi:10.1787/2581e46c-en - No. 2: Seismic Probabilistic Safety Assessment for Nuclear Facilities.
  9. a b „Daten zur Quantifizierung von Ereignisablaufdiagrammen und Fehlerbäumen“, März 1997, BfS-KT-18/97.
  10. International Workshop on Reliability Data Collection, Proceedings, 1998, Budapest, Hungary (PDF; 15,5 MB), OECD-Workshops „Reliability Data Collection“, Budapest, 1998, NEA/CSNI/R(98)10, OECD/NEA, Paris.
  11. [5] (PDF; 1,8 MB), L. Bengtsson, J. Holmberg, J. Rossi, M. Knochenhauer, Probabilistic Safety Goals for Nuclear Power Plants, May 2011, NKS-226, ISBN 978-87-7893-296-9.
  12. Society of Automotive Engineers: Aerospace Recommended Practice ARP4761: Guidelines and Methods for Conducting the Safety Assessment Process on Civil Airborne Systems and Equipment, Dezember 1996
  13. Society of Automotive Engineers: Aerospace Recommended Practice ARP4754: Certification Considerations for Highly-Integrated or Complex Aircraft Systems, November 1996
  14. Sicherheit Kerntechnischer Anlagen. Bundesministerium für Umwelt, Naturschutz, Bau und Reaktorsicherheit, 1. Februar 2010, archiviert vom Original (nicht mehr online verfügbar) am 8. April 2014; abgerufen am 3. April 2014.
  15. [6] (PDF; 128 kB), TÜV Nord, „4 th TÜV-Workshop on Living PSA-Application“, TÜV Nord, Mai 1994.
  16. a b [7], OECD Nuclear Energy Agency, „State of Living PSA and Further Development“, NEA/CSNI/R(99)15, Paris, July 1999.
  17. [8], U.S. Nuclear Regulatory Commission: „An Approach for Using Probabilistic Risk Assessment in Risk-Informed Decisions on Plant-Specific Changes to the Licensing Basis“, REGULATORY GUIDE 1.174, 1998.
  18. PSA 02: „Risk-informed decision making at nuclear facility“, American Nuclear Society, International Topical Meeting on Probabilistic Safety Assessment, Detroit, Oct. 2002.
  19. [9], „PRA Procedures Guide: A Guide to the Performance of Probabilistic Risk Assessments for Nuclear Power Plants“, NUREG/CR-2300.
  20. [10], NUREG CR-2815, Probabilistic Safety Assessment (PSA) Procedure Guide, 1985.
  21. [11], American Society of Mechanical Engineers (ASME), „Standard for Probabilistic Risk Assessment for Nuclear Power Plants (NPP) Applications“.
  22. [12] (PDF; 1,8 MB), IAEA: „Development and Application of Level 1 Probabilistic Safety Assessment for Nuclear Power Plants“.
  23. [13] (PDF; 1,1 MB), IAEA: „Development and Application of Level 2 Probabilistic Safety Assessment for Nuclear Power Plants“.
  24. [14] (PDF; 1,6 MB), HSE, „Application of QRA in operational safety issues“, 2002.
  25. [15] (PDF; 716 kB), NORSOK STANDARD Z-013 Risk and emergency preparedness analysis.
  26. [16] (PDF; 71 kB), R. J. Patel, „Risk-Based Inspection“, Middle East Nondestructive Testing Conference & Exhibition, Bahrain, 11.2005, .
  27. Archivierte Kopie (Memento des Originals vom 19. Januar 2021 im Internet Archive)  Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.@1@2Vorlage:Webachiv/IABot/www.oreda.com, Offshore and Onshore Reliability Data Handbook.
  28. The international handbook on Engineering Safety Management.
  29. Engineering safety management, Office of the National Rail Safety Regulator, 28. November 2017.