Die inhärente Sicherheit in Block 1 in Fukushima wurde nie getestet und im Ernstfall „vorsichtshalber“ abgeschaltet

 

In den vielen verfügbaren Post-Fukushima-Analysen gibt es einige Lücken. Sinn und Zweck solcher Analysen ist, Lehren-ziehen zu können, sodass man aus schlechten Erfahrugen (anderswo) klüger wird. Hier scheint allerdings ein noch ungehobener Schatz zu liegen.

Die Kolumne von Hans-Jochen Luhmann

Die Ausgangskonstellation – in Erwartung des Jahrhundert-Tsunamis

Die Kraftwerksanlage in Fukushima I („Dai-ichi“) steht für den Beginn der Kernkraftnutzung in Japan. Block 1 war das erste Kernkraftwerk, das in Japan gebaut wurde, er wurde 1970 fertiggestellt und ging am 26. März 1971 in Betrieb. Es hatte noch eine vergleichsweise geringe Leistung von 0,46 GWel, und diese Kleinheit erlaubte, es für den Notfall mit einem einfachen automatischen Wärmeabfuhrsystem auszustatten, welches ihm noch soetwas wie die berühmte Eigenschaft der inhärenten Sicherheit verliehen beziehungsweise verleihen konnte. Später, in den dann größeren Blöcken der Kraftwerksanlage, fand das keine Verwendung mehr. Im März 2011, nach 40 Jahren Regellaufzeit, sollte Block 1 außer Betrieb gehen.

Dann jedoch wurde die Betriebsgenehmigung von der japanischen Atomaufsicht NISA um zehn Jahre verlängert – nach einer, wie es hieß, „Überprüfung der Sicherheit“. Die NISA aber hielt sich hinsichtlich des über 40 Jahre aufgewachsenen erreichten Wissensstandes über das Tsunami- beziehungsweise Überflutungs-Risiko blind. Auch was die Betriebsbedingungen des einfachen automatischen Wärmeabfuhrsystems betrifft, wurde offenbar nicht hingeschaut. Im Februar 2011 erst wurde über die Verlängerung entschieden, also etwa einen Monat vor dem Unglück. Die berühmt-berüchtigte Sicherheitskultur des sogenannten „japanischen nuklearen Dorfes“ hatte sich durchgesetzt. Dessen Verfasstheit war vorher bekannt, genauso wie die der US-amerikanischen Nuklear-Community. Wenn in den USA der nächste Unglücksfall eintritt, wird man einige Jahre später über diese Community Ähnliches lesen können wie nach Fukushima über die japanische Community. Eine Evaluierung der Tsunami-Sicherheit beziehungsweise, abstrakter, des Fahrens nach totalem Stromausfall, aus welchen – phantasieüberschreitenden – Gründen auch immer, war jedenfalls nicht Teil der Sicherheitsüberprüfung für die Laufzeitverlängerung von Block 1 gewesen.

Der Standort Fukushima I, an der Ostküste der Hauptinsel zum Pazifik hin gelegen, entstand so im Rahmen des massiven Zubaus von Kernkraftwerken, wie er in den 1970er Jahren, nach der Energiekrise 1973, in OECD-Staaten üblich wurde – wie in Frankreich voll realisiert und wie in Deutschland ebenfalls geplant aber nur teilweise realisiert. Schließlich war 1979 an diesem Standort eine geballte Konstellation mit sechs Blöcken und einer Leistung von insgesamt 4,5 GWel erreicht. Eigentümer war TEPCO, der mitteljapanische Strom-Versorger. Weitergebaut hat TEPCO dann in den 1980er Jahren zwölf Kilometer weiter südlich. Der Kraftwerkspark Fukushima II („Dai-ni“) entstand, bis der, mit nur vier Blöcken, dieselbe elektrische Leistung erreicht hatte. Zusammen genommen war das die größte Kraftwerksballung in Japan, so gerechnet größer noch als Kashiwazaki an der Westküste, zu Korea und China hin.

Weiter nördlich, ebenfalls an der Ostküste, da bereits im Versorgungsgebiet des Unternehmens Tohoku (Electric Power Company) gelegen, wurde der Kraftwerkspark Onagawa errichtet. Dort begann man mit der Konzipierung und dem Bau später, die erste In-Betriebnahme war erst im Jahre 1984. Dort wurde die Anlage auf einem Felssporn errichtet, wie es in Fukushima I ebenfalls die Ausgangssituation war, auf einer Auslegungshöhe von 14,7 Metern. In Fukishima I hatte man die Schutz bietende natürliche Anhöhe vor dem Bau der Reaktoren abgetragen, um Kosten zu sparen – das Heraufpumpen des Kühlwassers aus dem Meer benötigte Elektrizität und ging ins Geld. Das Abtragen des Felssporns schien wirtschaftlich angesichts dessen, dass man damals von einer maximal möglichen Tsunami-Höhe von gut drei Metern ausging. Diese Höhen-Differenz, Ergebnis später gewonnener Einsicht zu Auflaufhöhen von Tsunamis, sollte sich am 11. März 2011 im Kraftwerkspark Onagawa als ein Segen erweisen – die tiefgelegene Stadt Onagawa hingegen wurde bekanntlich völlig zerstört.

Hinzuweisen ist auf die ausgeschlagenen Lehren aus dem in vielen Zügen analogen Geschehen im französischen Kernkraftwerk Blayais am 27. Dezember 1999. Das liegt an der französischen Atlantikküste, im Ästuar der Gironde, nahe Bordeaux. Eine Sturmflut, also die Überlagerung von Hochwasser (Flut) und Wind, führte zu einem Übertritt des Wassers über den Deich der „Nuklearinsel“. Es kam zum Ausfall der externen Stromversorgung und damit zur Schnellabschaltung schließlich aller drei Reaktoren, die dort in Betrieb waren. Dazu trug auch bei, dass eine an der Gironde aufgestellte Pumpe (für die Wärmeabfuhr in den Fluss) durch (sturmbedingtes) Treibgut auf der Gironde außer Betrieb gesetzt wurde. Dieses Geschehen schreckte die Nuklear-Community auf und wurde ausführlich studiert – auch auf Ebene der IAEA, also wie üblich unter Beteiligung von Vertretern anderer Staaten, auch aus Japan. In Frankreich und in Europa wurden erhebliche Konsequenzen gezogen. Es wurde nämlich akzeptiert, dass der Blayais-Unfall einen systemischen Fehler in der bisherigen Risiko-Bewertung offenbart habe. In sämtlichen 19 nuklearen Kraftwerksparks in Frankreich wurde daraufhin das Überflutungsschutz-Management neu bewertet mit Blick auf den Schutz bei Verlust der externen Stromversorgung, der Kommunikationsleitungen und der Wärme-Senken. Hätte Japan diese Lehren damals übernommen, so wäre Fukushima 1 nicht „durchgegangen“. Nebenbei: Auch in den USA scheinen die Lehren aus dem Blayais-Unfall von der dortigen NRS nicht übernommen worden zu sein.

So aufgereiht wie in der Abbildung gezeigt lagen die erwähnten drei Atomkraftwerksparks an der Ostküste der Hauptinsel Honshu, Fukushima 1 & 2 sowie Onagawa, gleichsam beziehungsweise wirklich in Erwartung des großen Erdbebens mit dem Tsunami, das beziehungsweise der dort, plattentektonisch unausweichlich, erwartet wurde. Der weltweit führende seismische Dienst, das japanische „Headquarter for Earthquake Research Promotion“, welches nach dem Kobe-Erdbeben in 1995 gegründet worden war, wiederholte noch am 11. Januar 2011 seine lange zuvor bereits bezogene Position, dass in dieser Region mit 99 Prozent Wahrscheinlichkeit ein sehr schweres Erdbeben innerhalb von 30 Jahren zu erwarten sei – allerdings ‚nur’ mit der Größe 7,5. Am 11. März 2011 trat der Fall der Bewährung ein. Und es kam weit ärger als vorhergesehen. Eingetreten ist es das erwartete schwere Erdbeben mit der Größe 9,0.

Die Kernpunkte der Verletzlichkeit

An diesem schicksalsträchtigen März-Tag des Jahres 2011 heulten um 14:46 h die Sirenen – das Große Tohoku-Chihou-Taiheiyou-Oki Erdbeben war eingetreten. In Fukushima I waren zu diesem Zeitpunkt zum Glück nur drei von sechs Reaktoren „in Betrieb“ – das meint, dass sie ans Netz angeschlossen waren und Strom produzierten. Weitere Reaktoren, die Nummern 5 und 6, waren durchaus noch dabei, Nachzerfallswärme zu produzieren, die abgeführt werden musste. Alle drei mit voller Leistung laufende Reaktoren wurden umgehend, mit dem Erdbeben, regelgerecht schnellabgeschaltet. Das heißt, die Steuerstäbe wurden eingefahren und der Dampf wurde nicht mehr auf die Turbinen geleitet, es wurde kein Strom mehr produziert. „Abgeschaltet“ war aber selbstverständlich nicht die Dampfproduktion. Die fing lediglich an abzufallen, und das auch stark. Doch die abzuführende Abwärmemenge war anfangs enorm. Die galt es abzuleiten, und das gelang auch in der ersten knappen Stunde nach der gewaltigen Erderschütterung, bis 15:41 h. Da waren die Tsunami-Wellen in das Kraftwerk gelangt, da zum Glück erst kam es zum Verlust der Fähigkeit, die produzierte Wärme auch abzuleiten – fast eine Stunde später. Da war die Abwärmeleistung bereits auf unter 10 Prozent der Ausgangsmenge heruntergegangen. „Nur“ die galt es noch abzuführen. Für ein Gelingen bei dieser Aufgabe braucht es Zweierlei:

  • Kraft für die Dampfumwälzung beziehungsweise Wärmeableitung – im Regelfall in Form von Elektrizität – , die nach der Schnellabschaltung nach dem Erdbeben und dem Ausfall der Notstrom-Dieselgeneratoren mit dem Tsunami von außen, aus dem Netz, hätte kommen müssen; und
  • ein Medium, eine Wärmesenke – im Regelfall Wasser, hier Meerwasser; die natürliche Luftkühlung reicht da schwerlich.

Der Verlust einer dieser beiden Funktionen, und sei es auch nur hinreichend lange, also temporär, ist, wenn man so will, ‚der’ Grund für das Durchgehen sämtlicher drei Reaktoren in Fukushima I. „Hinreichend lange“ ist – im Minimum – definiert durch die Zeit, die es braucht, bis der Moderator Wasser, in dem die Kernbrennstäbe stehen, soweit verdampft ist, dass die Brennstäbe mit ihrer verletzlichen, rückkopplungsträchtigen Zirkonium-Umhüllung beginnen, im Trockenen, in der Luft zu stehen – und sich dann erhitzen. Bei einer Schranke von etwa 750-800 Grad Celsius verlieren die ihre mechanische Stabibiltät. Es entstehen zudem, in Reaktion mit dem Wasserdampf, erhebliche Mengen an H2 und zudem, da es sich dabei um eine exotherme Reaktion handelt, ein Temperatursprung, was wiederum die Zirkaloy-Zersetzung und somit die H2-Produktion anreizt. Da ist in der Brennstab-Technologie eine Art potentieller Teufelskreis installiert, der im Falle eines schweren Unfalls, bei Überschreiten der Temperaturschranke, so richtig Fahrt aufnimmt.

Warum in Japan, warum in Fukushima Dai-ichi? Abstellen und dadurch provozierter Ausfall der “automatischen” Kühlung in Block 1 als Schlüsselelement der Versagenskette

Diese Diagnose „eines“ Grundes hat man allerdings zu spezifizieren. Auffällig ist, dass mit der Zeit alle drei Reaktoren, die im Leistungsbetrieb waren, einer nach dem anderen, durchgegangen sind. Das ist ein starkes Indiz dafür, dass es unter der extrem herausfordernden und erstmaligen Situation in Fukushima I, in der Mitarbeiter im Dienste der Sache mehrfach ihr Leben auf’s Spiel gesetzt haben, immer erneut zu Bedienfehlern gekommen ist. Das ist menschlich verständlich und entschuldbar – hatte aber auch zu dem Tabu geführt, dass man darüber nur unter Kollegen und nur hinter vorgehaltener Hand sprach. Mit dem inzwischen eingetretenen zeitlichen Abstand kann das zu Ende zu gehen.

Die Konsequenz kann natürlich nicht sein, dass man den fehlerlosen Menschen verlangt. Die Konsequenz geht eher in die Richtung der Forderung, eine Kraftwerksballung als solche als ein (Zusatz-)Risiko wahrzunehmen, deren Eintritts-Wahrscheinlichkeit wegen übergreifender Effekte menschlicher Fehlleistungen deutlich höher ist als die Summe der Reaktor-Einzelrisiken. Für die Frage nach „dem“ Grund bedeutet das: Es stehen natürlich immer die Fragen im Raum: Warum in Japan? Warum in Fukushima Dai-ichi?

Die Antwort auf die erste Frage wurde bereits gegeben: Es ist die dortige Sicherheitskultur, die es schaffte, das Überflutungsrisiko auszublenden. Das ist zwar in den USA nicht wirklich anders, insofern ist es Zufall, dass der dritte Nuklearunfall in zivilen Anlagen sich mit drei Kernschmelzen in Japan realisierte; es hätte genau so gut ein „Harrisburg II“ sein können.  War es aber nicht. Warum also in Fukushima I? Für eine Antwort ist der folgende Vergleich hilfreich.

In den Kraftwerksanlagen Fukushima II und, besonders bemerkenswert, Onagawa, welches direkt gegenüber dem Epizentrum auf See gelegen war, ist die hinreichende Ableitung der Abwärme gelungen. In allen drei Kraftwerksanlagen war nach dem Erdbeben ebenfalls die Schnellabschaltung initiiert worden. Über sämtliche drei Anlagen war dann, beginnend etwa eine Stunde später, der Tsunami in mehreren Wellen hinweggegangen – in den beiden Fukushima-Kraftwerksparks massiv auslegungsüberschreitend. In Abhängigkeit vom Küstenverlauf türmten sich die Tsunami-Wellen auf bis zu 23 Metern auf.

  • Onagawa mit (maximal) 14,3 Metern Höhe – ohne das hochgelegene Kraftwerksgelände wesentlich zu erreichen;
  • in Fukushima I mit (maximal) 13,1 Metern Höhe, mit Überschwemmung von Teilen des Kraftwerksgeländes auf gut 5 Meter Höhe, mit mehr als 7 Metern (die Höhe einer Tsunami-Welle ist definiert als Zustand bevor dem Landfall. Daraus folgt, dass an Land, durch den Auflauf, regelmäßig höhere Überschwemmungen resultieren als durch die Tsunami-Wellenhöhe indiziert ist.)
  • in Fukushima II, auf 12 m Höhe errichtet, erlebte einen Tsunami mit 9 Metern Wellenhöhe, der in einer Überschwemmung von Teilen des Kraftwerksgeländes bis auf 12,5 Meter Höhe resultierte.

In beiden Kraftwerksparks Fukushimas waren die meerwärts gelegenen Pumpen beschädigt.

Nur in Fukushima I kam es zur Kernschmelze – da kam es relativ bald, schon nach gut einer Stunde, zum Beginn der dann unaufhaltsamen Fahrt in den Abgrund. Es begann mit der Zersetzung der Umhüllung von Kernbrennstäben wegen sinkenden Wasserstandes. Das geschah ausgerechnet in Block 1, der mit dem „isolation condenser“ als einziger der Reaktoren über das eingangs erwähnte ideale passive, weder auf Stromversorgung noch auf Pumpen angewiesenes Notkühlsystem verfügte. Dort war ein Vorteil „inhärenter Sicherheit“ installiert, kam aber nicht zum Tragen. Doch nicht nur das, er wiegte die Mannschaft auch noch in falscher Sicherheit und schlug so nach hinten aus.

Entscheidend für den Misserfolg war, dass es beim Block 1 gleich zu Beginn, mit dem Eintreten der ersten Tsunami-Wellen, (Eintreffen der ersten Welle um 15:27 h (Ortszeit)), um 15:41 h zu einem Ausfall der Kühlung im ersten Block kam – die bis 4:00 h am Morgen des 12. März anhielt. Um 17 h (11. März) bereits, so weiß man im Nachhinein, kam es zum Beginn der Brennstoff-Freilegung, ab etwa 18 h begann die Zirkaloy-Zerlegung mit der Bildung und Freisetzung von H2 („Knallgas“) – mit der Folge der Explosion im Gebäude von Reaktor 1. Wäre dieser Block nicht gleich zu Beginn, nach dem Tsunami, durchgegangen, dann wären die damit verbundenen besonders erschwerten Bedingungen nicht entstanden – diese erst haben dazu geführt, dass das Management der Mehrfach-Gefahrenkonstellation nicht mehr gelang. Es reihte sich dann Bedienfehler an Bedienfehler – bis schließlich, nach knapp vier Tagen, am 15. März in den Morgenstunden, alle drei Reaktoren durchgegangen waren.

Die spannenden Fragen sind deshalb: Wieso ging ausgerechnet der erste Block durch? Was war da der Bedienfehler – wenn es denn einer war? Oder war es ein Auslegungsfehler?

Das passive System zur Nachwärmeabfuhr in Block 1 und die Auslegungs-Bedingung, unter der es zur Sicherheit beiträgt

In Block 1 sollte die Kühlung des Reaktors im Notfall durch einen – leider nicht völlig –passiven, sogenannten Notkondensator (englisch „isolation condenser“) sichergestellt werden. Bei diesem System strömt Dampf aus dem Reaktorkern durch Rohrleitungen aus dem Reaktordruckbehälter und dem Sicherheitsbehälter hinaus und gibt in einem Wärmetauscher die im Reaktor entstehende Wärme an einen hoch gelegenen externen Wasserspeicher ab. Dadurch wird der Dampf kondensiert und Wasser als Kühlmittel wieder in den Reaktordruckbehälter zurückgeführt. Das läuft somit in einem geschlossenen Kreislauf allein aufgrund der Kraft der Gravitation, Pumpen braucht es nicht. Die Leistungsfähigkeit des Systems war natürlich darauf beschränkt, die Nachzerfallswärme des Reaktors für einige Stunden nur, konkret acht Stunden etwa, abzuführen, bis der Wasservorrat im externen Speicher eben verdampft sein würde.

Um den isolation condenser, wie er in Block 1 installiert war, zu starten, müssen lediglich die Rohrleitungen, also Ventile, geöffnet werden, die im Normalbetrieb im geschlossenen Zustand sind. Für dieses Betätigen der Ventile (Plural!) braucht es allerdings Energie, zwar wenig nur, aber sie wird benötigt.

Gemäß der zentralen Analysen des Unfall-Ablaufs, der der IAEA, ist nachvollziehbar, dass der isolation condenser zunächst funktionierte. Als erdbebenbedingt bereits der (externe) Strom ausfiel und der Druck anstieg, sprang der isolation condenser druckgesteuert wie vorgesehen an – das war sechs Minuten später (14:52 h).

Der fatale Handbetrieb des Notfallsystems

Den Aufzeichnungen lässt sich entnehmen, dass der isolation condenser seltsamerweise um 15:03 h „abgeschaltet“ wurde, das heißt sämtliche (vier) Ventile wurden geschlossen – vier Ventile, weil der isolation condenser doppelt ausgelegt war, zu zwei externen Wärmesenken führte; und jeder Strang hatte ein innenseitiges und ein außenseitiges Ventil. Zu diesem Zeitpunkt waren die Notstromdiesel inzwischen angesprungen, es stand wieder Strom zur Verfügung. Allerdings gab es weiterhin keine Perspektive, den Reaktor zur Stromproduktion am Laufen zu halten. Das Ziel war weiterhin die umgehende Abkühlung in Richtung „cold shutdown“. Um 15:05 h und 15:11 h wurde der isolation condenser angeblich jeweils neu gestartet – „anschalten“ heißt, dass (nur) eines der Ventile geöffnet wurde. Dazwischen wurde wohl abgeschaltet – diese Schalthandlungen seien dokumentiert. Dies, diese Eingriffe in den automatischen Ablauf qua Schalthandlungen, erwies sich als fatal. Zu dem Kontext und den Motiven dieser Schalthandlungen, die das automatische Geschehen korrigierten, also einen Eingriff in die Notfall-Programmierung darstellte, unten mehr.

Als die zweite, die höchste, Tsunamiwelle eintraf – sie war der Kraftwerksleitung mit „nur“ sieben Metern, aber damit immerhin auslegungsüberschreitend, angekündigt worden –, war der isolation condenser gerade in der Stellung „aus“. Nach dem Ausfall der Notstromversorgung, sowohl der Notstromdiesel (Wechselstrom) als auch der Batterien (Gleichstrom), war der isolation condenser wegen Strommangels nicht mehr zu bedienen. Er war noch abgeschaltet. Wissen konnte dies das Personal im Leitstand aber nicht aus eigener Überwachung, weil mit dem totalen Stromausfall auch die Zustandsanzeigen ausgefallen waren. Es hätte persönlicher Kommunikation bedurft, um den Zustand „außer Funktion“ dort präsent zu machen. So begann es, so nahm das Drama seinen Lauf.

Es gibt Berichte, die besagen: Die Leitung des Notfallmanagements, sowohl auf Ebene der Gesamtanlage in Fukushima I als auch in der TEPCO-Zentrale, ging nach dem Tsunami am 11. März 2011 davon aus, dass bei Block 1 der Notkondensator das Problem zunächst in Schach hielte, es erlaubt sei, znächst einmal alle Aufmerksamkeit auf Block 2 und 3 zu richten, dessen Abwärme-Leistung deutlich höher war und wo der Status des Notfall-Abwärme-Abfuhr-Systems unbekannt war.

Der Effekt des Handbetriebs – Intention versus doppeltes Ergebnis

Jedenfalls ergab sich in der Zeitspanne zwischen Erdbeben und Eintreffen der Hauptwelle des Tsunami in der Abbildung gezeigte Druckverlauf. Die Aktivierung des isolation condenser führte zu einer Druckminderung in den ersten elf Minuten, die Eingriffe führten zu einem Druckanstieg, in etwa auf das Ausgangsniveau, in ungefähr 13 Minuten. Nun sind, bei geschlossenen Systemen, Druckänderungen Temperaturänderungen äquivalent, die korrespondierende Siedetemperatur ist aus allgemein gültigen Dampfdruck-Tabellen ablesbar.

Der Anlass der Schalthandlungen wird vom Betreiber, von TEPCO, im Nachhinein damit motiviert, dass die Absenkung der Temperatur in Block 1 die nach Maßgabe des Betriebshandbuches maximal erlaubte Absenkgeschwindigkeit von 55oC /h überschritten habe. Das ist faktisch korrekt, die Absenkgeschwindigkeit lag bei 164°C pro Stunde – so die Analyse von David Lochbaum; beziehungsweise bei 169 °C pro Stunde nach einer mir zugänglich gemachten Analyse von ENSI.

Sinn der Maßgabe im Betriebshandbuch ist es, eine höhere Belastung der Materialien – im Regelfall – zu vermeiden. Eine stärkere Geschwindigkeit der Temperaturänderung ist unerwünscht, weil das die Langfrist-Nutzbarkeit des Kraftwerksblocks mindert. TEPCO sagt mit seinem Hinweis implizit, das Eingreifen sei gerechtfertigt gewesen, weil ein Betriebshandbuch-widriges Verhalten des Reaktors beendet werden sollte. TEPCO sagt das aber nicht explizit. Also muss man nach dem Motiv für TEPCOs Schmallippigkeit fragen: Wurde durch den Eingriff per Hand, der sich dann als so fatal erweisen sollte, tatsächlich ein betriebshandbuch-widriges Verhalten des Reaktors beendet?

Das sei entsprechend der Maßgabe des Betriebshandbuchs geschehen, so die in den Analysen im Allgemeinen selbst-formulierte und akzeptierte Begründung, die faktisch aber aus dem Bericht des Unternehmens TEPCO übernommen wurde – ausgerechnet von TEPCO. In der IAEA-Analyse findet sich dazu keine Aussage. Ich habe keine Untersuchung gesehen, in der dieses Verhalten nicht umstandslos als sachgerecht bewertet ist.

Die Aufwärtsbewegung hatte schließlich, exakt zum Zeitpunkt des Tsunami-bedingten Total-Black-outs, wieder in etwa jenes Druckniveau erreicht, bei dem der isolation condenser erstmals automatisch gestartet worden war. Gedauert hat das etwas mehr als 13 Minuten, war also etwas langsamer als die Phase der Abkühlung. Der Anstieg entspricht einer Geschwindigkeit der Temperaturänderung von 138oC /h (nach Lochbaum) beziehungsweise 129oC /h nach ENSI – das ist immer noch oberhalb der Vorgabe aus dem Betriebshandbuch; nur nach oben gerichtet.

Der isolation condenser wurde offenbar von Hand in einer Art stop-and-go-Modus gefahren. Das war vermutlich das Konzept dahinter. Dabei herrscht ein gedanklicher Irrtum beziehungsweise ein Wunschdenken vor, was in der (von mir) gewählten Benennung wiederholt wird: Dass ein „Stopp“ der Temperaturänderung eine verfügbare Handlungsoption gewesen sei. Das ist irrig. In Wahrheit führte das Schließen sämtlicher Ventile des isolation condenser nicht zu einer konstanten Temperatur sondern zu einem Temperaturanstieg in, wenn nicht gleicher, so doch in einer Geschwindigkeit, die den für den Normalbetrieb vorgegebenen Grenzwert erheblich überschritt – mit beinahe gleicher Materialbelastung somit. Mit der unterbrechenden Fahrweise wurde also nichts gewonnen. Es wurde nur, und das auch nur vermeintlich, einer Vorschrift Genüge getan.

Bewertungen der Schalt-Handlungen am “automatisch anspringenden” isolation condenser

Bleibt das Phänomen, dass die Bedienmannschaft die automatisch angesprungene Notkühlung nicht machen ließ, wozu sie eingerichtet war. Sie stellte, so kann man das Geschehen deuten, in der Notsituation einen Auslegungsfehler fest, dass der Betrieb des Notkondensators zu Verhältnissen führte, die gegen das Betriebshandbuch verstießen – und versuchte den in dieser extremen Situation zu korrigieren.

Angesichts dessen liegt es nahe, die Frage zu stellen, wieso diese widersprüchlich programmierte Konstellation nicht frühzeitiger bemerkt worden ist, weshalb es dafür erst der realen Gefahrensituation bedurfte. Es sieht danach aus, als ob dieser Fall – bei TEPCO – vorher nie geübt worden ist. Mich berührt seltsam, dass in den vielen verfügbaren Post-Fukushima-Analysen dazu so gut wie nichts zu lesen ist. Deren Sinn und Zweck ist, dem Lehren-Ziehen zu dienen, auf dass man aus schlechten Erfahrugen (anderswo) klüger wird. Hier scheint, so mein Ergebnis, ein noch ungehobener Schatz zu liegen.

Es wird vom Lion Air Flug am Tag zuvor (28. Oktober 2018) berichtet, dass die Piloten mit demselben Problem zu kämpfen hatten, zufällig aber ein nicht-diensthabender erfahrener Pilot mit im Cockpit war und sagen konnte „Ich kenne das Problem, Ihr müsst den Hebel X drücken.“

Die Untersuchungen in Seattle haben inzwischen etwas weit Ärgeres herausgebracht: Für die gesamte 737-Serie wurde das Duplizitätsprinzip für die Computersteuerung an Bord zwar hardwareseite eingebaut – dann aber wurden die faktisch nicht sinngemäß laufen gelassen, also einer aktiv, éiner im Stand-by, um im Fall des Ausfalls übernehmen zu können. Die beiden Bordcomputer waren vielmehr so eingestellt, dass die pro Flug abwechselnd nur einzeln eingeschaltet wurden.

Vgl. dazu die folgende Meldung vom 6.6.14 (Interfax Ukraine):
<<Interior Minister Arsen Avakov has said. „I have decided that a hundred percent of combat and patrol units of the Interior Ministry will take part in the antiterrorism operation. This is not only a necessity but also a test of their proficiency, spirit and patriotism. The tempering of units with real threats and challenges is a factor of the creation of a new police force which will be trusted by the public,“ … Avakov reported that 21 officers of the Chernihiv special-purpose patrol battalion comprising volunteers refused to go on a patrol mission in Luhansk region. „The battalion was assigned a patrolling mission in Luhansk region the day before yesterday. Eighty-six men departed to the designated sector to do a man’s job and to accomplish a combat mission in the regime of antiterrorism patrols. Twenty-one persons refused to go and submitted their resignations… They were dismissed immediately,„>>