Tag Archives: probabilistisk säkerhetsanalys

Några ord om säkerhetsanalyser


Meltdown_equals_event_tree

För några veckor sen orsakade våra vänner i Greenpeace lite rabalder när dom gastade över hustaken att SSM och den elaka kärnkraftsindustrin mörkar risken för härdsmältor i Sverige (NyTeknik , SVT (1), SVT (2), SVT (3)SVT (4)). Det kan alltså vara på sin plats att diskutera säkerhetsanalyser. Den sortens säkerhetsanalys det handlar om kallas probabilistisk säkerhetsanalys (probabilistic safety assesment eller probabilistic safety analysis på engelska) förkortat PSA. Jag kan gardera mig lite med att säga att jag aldrig har jobbat med probabilistiska säkerhetsanalyser, utan enbart en smula med deterministiska analyser (analyser där man utför en analys för att se konsekvenserna av en händelse oavsett sannolikheten för händelsen). Dock är grundtanken bakom PSA extremt enkel, så enkel att det finns hopp att till och med Rolf Lindahl (som redan förklarat att analyserna är "teknisk obegriplig rappakalja" för honom, ett väldigt intressant uttalande för en person som vill kalla sig sakkunnig om kärnkraft) möjligtvis kan förstå det.

Innan jag börjar beskriva PSA vill jag poängtera en oerhört viktig sak. En PSA-analys ger INTE en realistisk olycksfrekvens, som exempel ger de flesta PSA-analyser risken för härdsmälta i lättvattenreaktorer av storleksordningen en på miljonen driftsår. Men vi har haft 4 härdsmältor (TMI i Harrisburg och 3 i Fukushima) på ca 15 000 reaktorår, dvs en frekvens av en härdsmälta på ca 4000 driftsår. Det är över 200 ggr mer sannolikt än vad PSA-analyserna indikerar! Förklaringen är helt enkelt den att PSA analyserna aldrig kan ta hänsyn till allt som kan ske, speciellt inte "svarta svanar", både positiva och negativa. PSA-analyser är trots det ändå värdefulla och jag kommer beskriva varför, men siffran man får ut har absolut ingenting med verkligheten att göra. I vissa fall kan kanske siffran ligga relativt nära verkligheten, t.ex. vet man att om ett tusenårsregn sker så fixar inte en viss vattendamm det. Risken för dammhaveri ligger då relativt nära en på tusen givet att inga yttre händelser (exempelvis ett attentat) sker. Med yttre händelse menas händelser som inte tagits med i PSA-analysen, antingen för att händelsen är alltför osannolik för att det ska bli meningsfullt att räkna på, eller för att man inte har relevant information för att kunna sätta in den i analysen. I dokumenten för en PSA-analys bör tydligt deklareras vad som tagits med i analysen.

Risken med dammhaveri på grund av sällsynta regn är relativt typiska för PSA-analyser för vattenkraft, men ett kärnkraftverk är mycket mer komplicerat än så. Låt oss titta på ett sanslöst förenklat PSA-exempel:  vi antar att vi har en pump, en ventil, ett rör och en reaktortank med laddad härd. Pumpen och ventilens uppgift är att se till att vattennivån i härden håller sig på en säker nivå. I en PSA-analys lägger man komponenterna i en kedja och ställer sig frågan "vad är sannolikheten att pumpen havererar och om det sker vad är sannolikheten att ventilen havererar och om det sker vad är sannolikheten att tanken töms". Låt oss säga att sannolikheten för att pumpen ska haverera är 10% per driftår, om pumpen havererar är sannolikheten 50% att ventilen havererar och om båda havererat är sannolikheten 70% att tanken töms. Om tanken töms är sannolikheten 100% att härden skadas. Då får vi det enkla uttrycket.

\large Pump_{haveri}*Ventil_{haveri}*Tank_{tommning}=0.1*0.5*0.7= 0.035

Dvs sannolikheten för att härden ska skadas är 3.5% per år. Man kan även tänka sig att om pumpen havererar men ventilen överlever finns det ändå en risk på säg 10% att tanken töms.

\large Pump_{haveri}*Ventil_{fungerar}*Tank_{tommning}=0.1*0.5*0.1= 0.005

Vilket ger 0.5% risk för att tanken töms. Den totala risken för att tanken ska tömmas och härden ska skadas pga att pumpen havererar är då helt enkelt 3.5+0.5% = 4%. De båda stråken ovan representerar grenar på ett sannolikhetsträd. Genom att plocka fram gren efter gren med alla möjliga slags komponenter får man en PSA-analys. Därtill lägger man ett antal starthändelser (initiating events), dvs man antar att något händer och studerar sen sannolikheterna för olika sluthändelser beroende på hur de olika komponenterna i händelsekedjan kan tänkas bete sig.

 

Komplexiteten i en sådan analys ligger inte i själva filosofin, den är som vi ser ovan skitenkel. Komplexiteten ligger i den ofantliga mängd komponenter som finns i ett kärnkraftverk och alla tänkbara inledande händelser. Dessutom måste man inhämta statistik för varenda komponent för att se hur ofta dom går sönder. Det är lätt om man använder standardkomponenter med utbredd spridning inom världens industrier, då går det få statistik av bra kvalitet. Men om man har helt unika komponenter är det ett konststycke (stor inblandning av gissning) att lista ut hur dom beter sig. Eftersom en signifikant andel av alla prylar i ett kärnkraftverk är unika pga krav i regelverken blir resultatet förvånansvärt nog att man vet mindre om deras pålitlighet än om man hade använt "off the shelf" komponenter. Det betyder definitivt inte att komponenterna har lägre pålitlighet, bara att osäkerheten kring deras pålitlighet är större.

Men vad är då nyttan med dessa analyser om dom har så låg pålitlighet och dessutom inte har något som helst med verkligheten att göra? Nyttan ligger i att man kan kan räkna igenom alla grenar och identifiera specifika svaga punkter, man kan se att ventil x eller pump y bidrar med en väldigt stor andel till den slutliga frekvensen. Därmed kan man alltså lägga krut på att använda de mest pålitliga prylarna på de ställen där det verkligen behövs, eller se till att deras funktion kan säkerställas av andra komponenter (redundans och diversifiering). Man kan förstå samverkan mellan komponenter på ett sätt som annars kan vara svårt att överskåda. Det gör PSA-analyser till ett väldigt viktigt verktyg och därför används det i alla industrier idag, man hittar PSA-analyser för händelser i raffinaderier, det används flitigt inom flygindustrin, osv.

Gör man PSA-analyserna på ett konsekvent sätt är dom även ett väldigt bra verktyg för att utvärdera mellan flera tekniker (tex olika reaktortyper vid ett nybygge), bara man håller tungan rätt i mun och inte stirrar sig blind på siffrorna, dvs den totala härdskadefrekvensen kanske inte är lika viktig som hur sannolikheterna är fördelat bland komponenterna.

Varför "hemlighåller" då industrin och SSM dessa analyser? Förmodligen för att dom anser att det inte är vettigt att basunera ut var exakt dom relativt sett svagaste punkterna finns på verken. Personligen tycker jag att analyserna gott kan göras offentliga, om taliban-Tore tittar på analyserna kommer han bara slösa sin tid eller snabbt inse att det finns betydligt mjukare mål att attackera. Det kanske till och med kan öka säkerheten om man överröser fanskapen med "teknisk obegriplig rappakalja" som dom kan ödsla tid på att försöka genomtränga.

Om Greenpeace får tag i siffrorna kommer dom givetvis börja säga att "det kraftverket är farligare än det och vi borde stänga rubbet omedelbart" utan att ha den blekaste aning om hur man ska tolka analyserna eller siffrorna. Men det ligger förstås en lång tradition bakom att dom frekvent öppnar käften utan att veta vad dom pratar om. Det fundamentala debattmässiga problemet med PSA-analyser är att dom är missbrukade från båda hållen. Kärnkraftsförespråkare (till och med reaktorleverantörer) använder ibland PSA-siffrorna på ett sätt som antyder att dom tror att frekvensen är en verklig frekvens, det öppnar för åtlöje då motståndarna helt korrekt påpekar att TMI och Fukushima falsifierar det. Motståndarna däremot brukar oftast begripa ännu mindre och förstår inte överhuvudtaget syftet med PSA-analyser, de är enbart ute efter en siffra de kan få att låta farlig utan att veta vad som egentligen ingår i den siffran (förutom att dom förstår att det är tekniskt obegripligt rappakalja...).

/Johan

För mer om PSA

MIT Open Courseware: Probabilistic Safety Analysis

Analysgruppen: Är kärnkraften säker?

NRC: Fact sheet on probabilistic safety assesment

SKI: Probabilistisk säkerhetsanalys  för att finna fel