Logo jurisLogo Bundesregierung

Bekanntmachung der "Sicherheitsanforderungen an Kernkraftwerke"

Zurück zur Teilliste Bundesministerium für Umwelt, Naturschutz und Reaktorsicherheit

Bekanntmachung
der „Sicherheitsanforderungen an Kernkraftwerke“
Vom 22. November 2012



Fundstelle: BAnz AT 24.01.2013 B3





Das Bundesministerium für Umwelt, Naturschutz und Reaktorsicherheit sowie die für die atomrechtliche Genehmigung und Aufsicht der in Betrieb befindlichen Kernkraftwerke zuständigen Landesbehörden sind übereingekommen, die „Sicherheitskriterien für Kernkraftwerke“ vom 21. Oktober 1977 (BAnz. Nr. 206 vom 3. November 1977) sowie die Leitlinien zur Beurteilung der Auslegung von Kernkraftwerken mit Druckwasserreaktoren gegen Störfälle im Sinne des § 28 Absatz 3 der Strahlenschutzverordnung (StrlSchV) – Störfall-Leitlinien – vom 18. Oktober 1983 (BAnz. Nr. 245a vom 31. Dezember 1983) zu überarbeiten, zu aktualisieren und damit fortzuschreiben.



Gleichzeitig werden die „Grundlagen für Sicherheitsmanagementsysteme in Kernkraftwerken vom 29. Juni 2004“ (BAnz. S. 16 275) außer Kraft gesetzt.



Die hiermit veröffentlichten „Sicherheitsanforderungen an Kernkraftwerke“ gelten für Anlagen zur Spaltung von Kernbrennstoffen zur gewerblichen Erzeugung von Elektrizität (Kernkraftwerke). Sie enthalten grundsätzliche und übergeordnete sicherheitstechnische Anforderungen im Rahmen des untergesetzlichen Regelwerks, welche der Konkretisierung der nach dem Stand von Wissenschaft und Technik erforderlichen Vorsorge gegen Schäden durch die Errichtung und den Betrieb der Anlage nach § 7 Absatz 2 Nummer 3 des Atomgesetzes (AtG) sowie von Anforderungen nach § 7d AtG dienen. Im Hinblick auf die in Deutschland betriebenen Kernkraftwerke betrifft dies Änderungsgenehmigungen. Dabei ist die höchstrichterliche Rechtsprechung zur Reichweite der behördlichen Prüfung in Änderungsgenehmigungsverfahren zu beachten.



Die „Sicherheitsanforderungen an Kernkraftwerke“ sind ferner bei sicherheitstechnischen Bewertungen im Rahmen der §§ 17, 19 AtG heranzuziehen; die Veröffentlichung ist jedoch kein Anlass für eine gesonderte Sicherheitsüberprüfung. Die in der jeweiligen Genehmigung getroffenen Festlegungen haben Bestand, soweit diese Festlegungen nicht durch neuere Erkenntnisse in Frage gestellt und somit neu bewertet werden müssen. Ein Eingriff in den Genehmigungsbestand ist nur unter den Voraussetzungen von § 17 AtG möglich.



Die „Sicherheitsanforderungen an Kernkraftwerke“ beinhalten die Sicherheitskriterien und Leitlinien für Kernkraftwerke im Sinne von § 49 Absatz 1 Satz 3 StrlSchV und schreiben diese fort.



Anforderungen an die Anlagensicherung sind nicht enthalten.



Soweit es sicherheitstechnisch erforderlich ist, sind die „Sicherheitsanforderungen an Kernkraftwerke“ auch für Kernkraftwerke, die aufgrund § 7 Absatz 1a AtG die Berechtigung zum Leistungsbetrieb verloren haben oder aufgrund einer Entscheidung des Betreibers im Nachbetrieb sind, heranzuziehen.



Die verwendeten Begriffe sind – soweit erforderlich – in Anhang 1 definiert. Die Anhänge 2, 3, 4 und 5 untersetzen bzw. ergänzen die Sicherheitsanforderungen. Anhang 2 konkretisiert Anforderungen hinsichtlich zu berücksichtigender Ereignisse, Anhang 3 hinsichtlich des Schutzes gegen Einwirkungen von innen und außen sowie aus Notstandsfällen. Anhang 4 konkretisiert die Grundsätze für die Anwendung des Einzelfehlerkriteriums und für die Instandhaltung, Anhang 5 benennt Anforderungen an die Nachweisführung und Dokumentation.



Die „Sicherheitsanforderungen an Kernkraftwerke“ sollen in regelmäßigen Abständen einem Aktualisierungsprozess im Rahmen des Länderausschusses für Atomkernenergie unterzogen werden. Dabei sollen in einem ersten Schritt die den übergeordneten „Sicherheitsanforderungen an Kernkraftwerke“ zuzuordnenden Interpretationen, die im Wesentlichen weitere, jedoch untergeordnete sicherheitstechnische Anforderungen enthalten und die noch nicht in Form von Regeln des Kerntechnischen Ausschusses bestehen, ausgearbeitet werden. Diese sollen so bald wie möglich in Abstimmung mit den zuständigen atomrechtlichen Landesbehörden veröffentlicht werden.



Nachfolgend gebe ich die „Sicherheitsanforderungen an Kernkraftwerke“ mit fünf Anhängen bekannt.



Bonn, den 22. November 2012

RS I 5 - 13303/01





Bundesministerium

für Umwelt, Naturschutz und Reaktorsicherheit



Im Auftrag

Hennenhöfer







Sicherheitsanforderungen an Kernkraftwerke



vom 20. November 2012



Neben dem folgenden Hauptteil umfassen die
„Sicherheitsanforderungen an Kernkraftwerke“ 5 Anhänge



Gliederung



Anwendungsbereich



0

Grundsätze

1

Organisatorische Anforderungen

2

Technisches Sicherheitskonzept

2.1

Konzept der gestaffelten Sicherheitsebenen

2.2

Konzept des gestaffelten Einschlusses der radioaktiven Inventare (Barrierenkonzept)

2.3

Schutzzielkonzept

2.4

Schutzkonzept gegen Einwirkungen von innen und außen sowie gegen Notstandsfälle

2.5

Radiologische Sicherheitsziele

3

Technische Anforderungen

3.1

Übergeordnete Anforderungen

3.2

Anforderungen an den Reaktorkern und die Abschalteinrichtungen

3.3

Anforderungen an die Einrichtungen zur Kühlung der Brennelemente im Reaktorkern

3.4

Anforderungen an die Druckführende Umschließung und die drucktragende Wandung von Komponenten der Äußeren Systeme

3.5

Anforderungen an bauliche Anlagenteile

3.6

Anforderungen an den Sicherheitseinschluss

3.7

Anforderungen an die Leittechnik

3.8

Anforderungen an Warten

3.9

Anforderungen an die elektrische Energieversorgung

3.10

Anforderungen an die Handhabung und Lagerung der Brennelemente

3.11

Anforderungen an den Strahlenschutz

4

Zu berücksichtigende Betriebszustände und Ereignisse

4.1

Betriebszustände, Störungen und Störfälle

4.2

Einwirkungen von innen und außen sowie aus Notstandsfällen

4.3

Ereignisse mit Mehrfachversagen von Sicherheitseinrichtungen

4.4

Unfälle mit schweren Brennelementschäden

5

Anforderungen an die Nachweisführung

6

Anforderungen an das Betriebsreglement

7

Anforderungen an die Dokumentation



Anwendungsbereich



Die „Sicherheitsanforderungen an Kernkraftwerke“ gelten für Anlagen zur Spaltung von Kernbrennstoffen zur gewerblichen Erzeugung von Elektrizität (Kernkraftwerke). Sie enthalten grundsätzliche und übergeordnete sicherheitstechnische Anforderungen im Rahmen des untergesetzlichen Regelwerks, welche der Konkretisierung der nach dem Stand von Wissenschaft und Technik erforderlichen Vorsorge gegen Schäden durch die Errichtung und den Betrieb der Anlage nach § 7 Absatz 2 Nummer 3 des Atomgesetzes (AtG) sowie von Anforderungen nach § 7d AtG dienen. Im Hinblick auf die in Deutschland betriebenen Kernkraftwerke betrifft dies Änderungsgenehmigungen. Dabei ist die höchstrichterliche Rechtsprechung zur Reichweite der behördlichen Prüfung in Änderungsgenehmigungsverfahren zu beachten.



Die „Sicherheitsanforderungen an Kernkraftwerke“ sind ferner bei sicherheitstechnischen Bewertungen im Rahmen der §§ 17, 19 AtG heranzuziehen; die Veröffentlichung ist jedoch kein Anlass für eine gesonderte Sicherheitsüberprüfung. Die in der jeweiligen Genehmigung getroffenen Festlegungen haben Bestand, soweit diese Festlegungen nicht durch neuere Erkenntnisse in Frage gestellt und somit neu bewertet werden müssen. Ein Eingriff in den Genehmigungsbestand ist nur unter den Voraussetzungen von § 17 AtG möglich.



Die „Sicherheitsanforderungen an Kernkraftwerke“ beinhalten die Sicherheitskriterien und Leitlinien für Kernkraftwerke im Sinne von § 49 Absatz 1 Satz 3 der Strahlenschutzverordnung (StrlSchV) und schreiben diese fort.



Anforderungen an die Anlagensicherung sind nicht enthalten.



Soweit es sicherheitstechnisch erforderlich ist, sind die „Sicherheitsanforderungen an Kernkraftwerke“ auch für Kernkraftwerke, die aufgrund § 7 Absatz 1a AtG die Berechtigung zum Leistungsbetrieb verloren haben oder aufgrund einer Entscheidung des Betreibers im Nachbetrieb sind, heranzuziehen.



Die verwendeten Begriffe sind – soweit erforderlich – in Anhang 1 definiert. Die Anhänge 2, 3, 4 und 5 untersetzen bzw. ergänzen die Sicherheitsanforderungen. Anhang 2 konkretisiert Anforderungen hinsichtlich zu berücksichtigender Ereignisse, Anhang 3 hinsichtlich des Schutzes gegen Einwirkungen von innen und außen sowie aus Notstandsfällen. Anhang 4 konkretisiert die Grundsätze für die Anwendung des Einzelfehlerkriteriums und für die Instandhaltung, Anhang 5 benennt Anforderungen an die Nachweisführung und Dokumentation.



Grundsätze


Das grundlegende Sicherheitsziel ist der Schutz von Mensch und Umwelt vor den schädlichen Auswirkungen ionisierender Strahlung. Dieses Ziel gilt für alle Aktivitäten von der Planung über Errichtung und Betrieb bis zum Rückbau eines Kernkraftwerks.



Die Verantwortung für die Gewährleistung der Sicherheit trägt der Genehmigungsinhaber. Er muss der Einhaltung des Sicherheitsziels Vorrang vor der Einhaltung anderer betrieblicher Ziele geben.



Die Grundlage für einen sicheren Betrieb von Kernkraftwerken ist das sicherheitsgerichtete Zusammenwirken personeller, technischer und organisatorischer Faktoren (Mensch-Technik-Organisation). Die Vernetzung dieser Faktoren mit dem Ziel eines sicherheitsgerichteten Handelns ist auch Grundlage für eine hohe Sicherheitskultur. Es ist Aufgabe des Genehmigungsinhabers, eine hohe Sicherheitskultur aufrechtzuerhalten und diese kontinuierlich zu verbessern.



Organisatorische Anforderungen


1 (1) 
Verantwortung der Unternehmensleitung


Die Unternehmensleitung hat die Verantwortung den sicheren Betrieb ihrer Anlage zu gewährleisten.


Im Rahmen dieser Verantwortung hat sie insbesondere die folgenden Anforderungen zu erfüllen:


1.
Entwicklung, Einführung und kontinuierliche Verbesserung eines integrierten, prozessorientierten Managementsystems (IMS).


2.
Festlegung und Umsetzung der Unternehmenspolitik und -ziele, in denen sich das Unternehmen zu hoher Sicherheit und zur Stärkung der Sicherheitskultur verpflichtet. Dabei hat die Unternehmensleitung Vorbildfunktion.


3.
Sicherstellung, dass die Unternehmenspolitik und die Unternehmensziele im Unternehmen kommuniziert und von der Anlagenleitung umgesetzt werden.


4.
Erstellung von Grundsätzen zur Aufbau- und Ablauforganisation.


5.
Bereitstellung der erforderlichen Ressourcen (organisatorisch, administrativ, technisch) für das Unternehmen und die Anlage. Dafür sind dauerhaft angemessene finanzielle und personelle Mittel zur Erfüllung der Pflichten in Bezug auf die Sicherheit vorzusehen und bereitzuhalten. Die Personalentwicklung zum Erhalt der Kernkompetenz und zur Erweiterung der Kompetenzen ist sicherzustellen und periodisch zu überprüfen.


6.
Benennung des Leiters der Anlage, der die Verantwortung für den sicheren Betrieb der Anlage trägt, und der behördlich geforderten Beauftragten.


Diese Verantwortung ist nicht delegierbar. Die Unternehmensleitung hat sicherheitsgerichtetes Handeln vorzuleben und aktiv zu unterstützen.


Die Unternehmensleitung hat sicherzustellen, dass der interne und externe Erfahrungsrückfluss, Änderungen des Standes von Wissenschaft und Technik und der international bewährten Sicherheitspraxis einschließlich der hierzu behördlich veranlassten Informationen auf systematische Weise in einem Prozess des Managementsystems erfasst, ausgewertet und dokumentiert werden.


1 (2) 
Verantwortung der Anlagenleitung


Im Rahmen der Verantwortung der Anlagenleitung hat sie insbesondere die folgenden Anforderungen zu erfüllen:


1.
Erstellung und Umsetzung der Anlagenpolitik und -ziele in Übereinstimmung mit der Unternehmenspolitik und den Unternehmenszielen.


2.
Gewährleistung eines sicheren Betriebs der Anlage.


3.
Einhaltung der gesetzlichen, behördlichen und sicherheitstechnischen Anforderungen.


4.
Entwicklung und Einführung des IMS in der Anlage. Dabei ist das gesamte Personal einzubeziehen.


5.
Umsetzung und kontinuierliche Verbesserung des IMS einschließlich seines Einflusses auf die Sicherheit.


6.
Festlegung und Umsetzung der Aufbau- und Ablauforganisation in der Anlage.


7.
Gewährleistung der notwendigen Personalkompetenzen und Schulung. Dabei hat die Anlagenleitung darauf zu achten, dass neben den fachlichen Aspekten auch Methoden-Kompetenz geschult wird, und die Einstellungen hinsichtlich sicherheitsgerichteten Handelns gefördert werden.


8.
Sicherstellung der Durchführung von sicherheitsrelevanten Tätigkeiten durch Personal, das nachweislich über die erforderliche Qualifikation verfügt.


9.
Erfassung, Auswertung, Kommunikation und Nutzung interner und externer Erfahrungen. Dabei hat die Anlagenleitung darauf zu achten, dass beim kraftwerksinternen Erfahrungsrückfluss den Informationen über Beinahe-Ereignisse besondere Bedeutung einzuräumen ist.


Die Anlagenleitung hat sicherheitsgerichtetes Handeln vorzuleben und aktiv zu unterstützen.


1 (3) 
Integriertes Managementsystem (IMS)


Die vorrangigen Zielsetzungen des IMS sind


a)
die Gewährleistung der Sicherheit,


b)
die stetige Verbesserung der Sicherheit sowie


c)
die Förderung der Sicherheitskultur.


Ein IMS muss sämtliche Ziele und Anforderungen, wie zum Beispiel zur Sicherheit, Qualität, Alterung, Arbeitssicherheit, Umwelt und Wirtschaftlichkeit berücksichtigen. Alle Ziele und Anforderungen sind in nachvollziehbarer und transparenter Weise unter Beachtung der Priorität der Sicherheit abzugleichen, zu gewichten und eindeutig festzulegen. Dabei ist das Zusammenwirken personeller, technischer und organisatorischer Faktoren (Mensch-Technik-Organisation) zu berücksichtigen.


In einem IMS sind die Anforderungen zu integrieren, die an ein Kernkraftwerk gestellt werden und die sich aus Gesetzen, Verordnungen, Regeln und Richtlinien z.B. zur Sicherheit, zum Umweltschutz, zum Arbeitsschutz, zur Qualität oder zu Finanzen ergeben.


Die Abgrenzungen und die Schnittstellen sowie das Zusammenwirken und die Wechselwirkungen im IMS sind so festzulegen und zu regeln, dass das grundlegende Sicherheitsziel nicht durch andere Unternehmensziele beeinträchtigt wird.


Alle für den Betrieb der Anlage relevanten Tätigkeiten im Unternehmen und in der Anlage sind zu identifizieren und systematisch in Prozessen zu organisieren. Dies gilt auch für die Tätigkeiten externen Personals. Personalkapazität, -kompetenz und -qualifikation sind dabei zu berücksichtigen. In entsprechender Weise ist das Verhältnis zu externen Organisationen zu regeln.


Mindestens für folgende Prozesse sind Regelungen zu treffen:


Betrieb der Anlage,


Planung, Durchführung und Auswertung der Instandhaltung,


Änderung der Anlage und des Betriebs,


Inbetriebsetzung nach Änderungen,


Organisationsänderung,


Anlagenüberwachung (physikalische Überwachung, chemische und radiochemische Überwachung, radiologische Überwachung),


Festlegung und Umsetzung von Schutzanforderungen (Brandschutz, Anlagensicherung, IT-Sicherheit),


Planung und Implementierung des Notfallschutzes,


Qualifikation und Schulung des Personals,


Planung und Durchführung der Materialwirtschaft,


Handhabung von Brennelementen und anderen Kernbauteilen,


Umgang mit radioaktiven Abfällen,


Durchführung des Erfahrungsrückflusses,


Planung und Durchführung der internen und externen Kommunikation,


Abwicklung und Durchführung von Projekten,


Durchführung von Sicherheitsanalysen und -überprüfungen,


Durchführung der Dokumentation.


Die Schnittstellen zwischen Mensch, Technik und Organisation sind bei der Entwicklung des IMS zu berücksichtigen.


Im Sinne der stetigen Verbesserung ist der PDCA-Zyklus (Plan-Do-Check-Act-Zyklus) bei allen relevanten betrieblichen Tätigkeiten, Teilprozessen, Prozessen und auf das Managementsystem als Ganzes anzuwenden. Die Wirksamkeit des Managementsystems ist durch direkte Prozessbewertungen und durch prozessunabhängige Bewertungen sicherzustellen.


Werden Prozesse durch Informationsverarbeitungssysteme (Betriebsführungssysteme), wie beispielsweise bei der Störungs- und Mängelbeseitigung, Instandhaltung oder Systemfreischaltung unterstützt, sind diese qualitätsgesichert einzuführen. Gemäß ihrer jeweiligen sicherheitstechnischen Bedeutung sind sie regelmäßig und systematisch zu überprüfen und gegebenenfalls anzupassen.


Das Managementsystem ist systematisch zu dokumentieren. Dabei muss die Dokumentation hinsichtlich der in ihr enthaltenen Informationen vollständig, eindeutig und in sich widerspruchsfrei sein.


Es sind geeignete Vorkehrungen zu treffen, um die kompetente ingenieurtechnische und technische Unterstützung, die durch externe Auftragnehmer bereitgestellt wird, in allen sicherheitsrelevanten Bereichen für die gesamte Betriebsdauer der Anlage zu erhalten.


Das Managementsystem muss geeignet sein, frühzeitig Hinweise auf eine mögliche Beeinträchtigung der Sicherheit zu geben.


Technisches Sicherheitskonzept


2 (1) 
Zur Einhaltung der radiologischen Sicherheitsziele (siehe Nummer 2.5) sind die im Kernkraftwerk vorhandenen radioaktiven Stoffe durch technische Barrieren bzw. Rückhaltefunktionen (siehe Nummer 2.2) mehrfach einzuschließen und deren Strahlung ausreichend abzuschirmen. Die Wirksamkeit der Barrieren und Rückhaltefunktionen ist durch die Erfüllung von Schutzzielen (siehe Nummer 2.3) abzusichern. Es ist ein gestaffeltes Sicherheitskonzept zu realisieren, das die Erfüllung der Schutzziele und die Erhaltung der Barrieren und Rückhaltefunktionen auf mehreren gestaffelten Sicherheitsebenen sowie bei Einwirkungen von innen und außen gewährleistet (siehe Nummer 2.1 und 2.4).


2.1
Konzept der gestaffelten Sicherheitsebenen


2.1 (1) 
Der Einschluss der im Kernkraftwerk befindlichen radioaktiven Stoffe sowie die Abschirmung der von diesen Stoffen ausgehenden Strahlung ist sicherzustellen.


Zur Erreichung dieses Ziels ist ein Sicherheitskonzept umzusetzen, bei dem Maßnahmen und Einrichtungen gestaffelten Sicherheitsebenen zugeordnet sind. Die Sicherheitsebenen 1 bis 4a sind durch die folgenden Anlagenzustände charakterisiert:


 

Sicherheitsebene 1:

Normalbetrieb
(Bestimmungsgemäßer Betrieb, ungestört)

 

Sicherheitsebene 2:

anomaler Betrieb
(Bestimmungsgemäßer Betrieb, Störung)

 

Sicherheitsebene 3:

Störfälle

 

Sicherheitsebene 4a:

sehr seltene Ereignisse



Mit den auf diesen Sicherheitsebenen zu installierenden Maßnahmen und Einrichtungen zur Qualitätsgewährleistung, Vermeidung von Ereignissen, Beherrschung von Ereignissen sowie der Auslegung gegen Einwirkungen von innen und außen (siehe Nummer 2.4) muss ein umfassender und zuverlässiger Schutz vor den im Kernkraftwerk befindlichen radioaktiven Stoffen erreicht werden.


Darüber hinaus sind in angemessenem Umfang für Anlagenzustände, die wegen ihrer geringen Eintrittshäufigkeit den o. g. Sicherheitsebenen nicht zugeordnet werden, vorsorglich weitere Maßnahmen und Einrichtungen zur Feststellung und Begrenzung der Folgen solcher Zustände vorzusehen. Deshalb sind im gestaffelten Sicherheitskonzept ergänzend auf den Sicherheitsebenen 4b und 4c Maßnahmen und Einrichtungen des anlageninternen Notfallschutzes vorzuhalten und zu planen. Diese Sicherheitsebenen sind durch die folgenden Anlagenzustände charakterisiert:


 

Sicherheitsebene 4b:

Ereignisse mit Mehrfachversagen von Sicherheitseinrichtungen

 

Sicherheitsebene 4c:

Unfälle mit schweren Brennelementschäden.



2.1 (2) 
Für Unfälle mit schweren Brennelementschäden sind Maßnahmen zur Unterstützung des anlagenexternen Notfallschutzes zu planen, um die Folgen von Unfällen mit potenziellen oder tatsächlich eingetretenen Freisetzungen radioaktiver Stoffe in die Umgebung festzustellen und ihre Auswirkungen auf Mensch und Umwelt soweit wie möglich zu vermindern.


2.1 (3a) 
Das Sicherheitskonzept auf den Sicherheitsebenen 1 bis 4b ist präventiv ausgerichtet. Es sind Maßnahmen und Einrichtungen vorzusehen, die


auf der Sicherheitsebene 1 das Eintreten


von Störungen vermeiden,


auf der Sicherheitsebene 2


eintretende Störungen beherrschen,


das Eintreten von Störfällen vermeiden,


auf der Sicherheitsebene 3


Störfälle beherrschen,


das Eintreten von Ereignissen mit Mehrfachversagen von Sicherheitseinrichtungen verhindern,


auf der Sicherheitsebene 4a


sehr seltene Ereignisse beherrschen.


Auf der Sicherheitsebene 4b sind präventive Maßnahmen des anlageninternen Notfallschutzes vorzusehen, sodass bei Ereignissen mit Mehrfachversagen von Sicherheitseinrichtungen keine schweren Brennelementschäden auftreten.


2.1 (3b) 
Auf der Sicherheitsebene 4c sind mitigative Maßnahmen des anlageninternen Notfallschutzes vorzusehen, mit denen, unter Einschluss aller verfügbaren Maßnahmen und Einrichtungen, bei Unfällen mit schweren Brennelementschäden die Integrität des Sicherheitsbehälters so lange wie möglich erhalten wird, Freisetzungen radioaktiver Stoffe in die Umgebung unter Beachtung von Nummer 2.5 (1) ausgeschlossen oder begrenzt werden und ein langfristig kontrollierbarer Anlagenzustand erreicht werden kann.


Im Falle der Lagerung bestrahlter Brennelemente im Brennelementlagerbecken außerhalb des Sicherheitsbehälters sind mitigative Maßnahmen des anlageninternen Notfallschutzes vorzusehen, mit denen, unter Einschluss aller verfügbaren Maßnahmen und Einrichtungen, die Integrität der umgebenden baulichen Hülle so lange wie möglich erhalten und Freisetzungen radioaktiver Stoffe in die Umgebung unter Beachtung von Nummer 2.5 (1) ausgeschlossen oder begrenzt werden.


2.1 (4) 
Das gestaffelte Sicherheitskonzept ist für alle Anlagenzustände des Leistungs- und Nicht-Leistungsbetriebs unter Berücksichtigung jeweils repräsentativ abdeckender Anlagenzustandsparameter umzusetzen.


2.1 (5) 
Das Sicherheitssystem sowie die Notstandseinrichtungen sind so auszulegen, dass sie bei Einwirkungen von innen und von außen wirksam bleiben.


Einwirkungen aus Notstandsfällen dürfen entweder nicht zu Ausfällen von Sicherheitseinrichtungen derart führen, dass die erforderlichen Sicherheitsfunktionen nicht mehr ausreichend wirksam sind, oder es sind dafür gesondert ausgelegte Einrichtungen vorzusehen, sodass Ereignisabläufe der Sicherheitsebene 4b verhindert werden.


2.1 (6) 
Auf den Sicherheitsebenen 2 und 3 sind Maßnahmen und Einrichtungen derart vorzusehen, dass beim Versagen von Maßnahmen oder Einrichtungen auf den Ebenen 1 oder 2 die Maßnahmen und Einrichtungen auf der nachfolgenden Sicherheitsebene unabhängig von den Maßnahmen und Einrichtungen anderer Sicherheitsebenen den sicherheitstechnisch geforderten Zustand der Anlage herstellen.


Maßnahmen und Einrichtungen, die auf allen oder mehreren dieser Sicherheitsebenen wirksam sein müssen, sind gemäß den Anforderungen auszulegen, die auf der Sicherheitsebene mit den jeweils höchsten Anforderungen gelten.


2.1 (7) 
Durch das Konzept der gestaffelten Sicherheitsebenen ist sicherzustellen, dass ein einzelnes technisches Versagen oder menschliches Fehlverhalten auf einer der Sicherheitsebenen 1 bis 3 die Wirksamkeit der Maßnahmen und Einrichtungen der nächsten Ebenen nicht gefährdet.


2.1 (8) 
Eine Inanspruchnahme von Maßnahmen und Einrichtungen der Sicherheitsebenen 2 oder 3 beim Nachweis der Erfüllung von Anforderungen vorgelagerter Sicherheitsebenen ist dann zulässig, wenn


andere technische Lösungen nicht sinnvoll erreichbar sind und


nachteilige Auswirkungen auf die Zuverlässigkeit und Wirksamkeit der in Anspruch genommenen Maßnahmen und Einrichtungen für die Ereignisbeherrschung nicht zu unterstellen sind.


2.1 (9) 
Maßnahmen des anlageninternen Notfallschutzes sind gemäß Nummern 4.3 und 4.4 so zu planen, dass sie für ein breites Spektrum von Ereignissen mit Mehrfachversagen von Sicherheitseinrichtungen und Phänomenen bei Unfällen mit schweren Brennelementschäden wirksam sind.


2.1 (10) 
Auf der Sicherheitsebene 4 können neben den eigens auf dieser Ebene vorgesehenen Maßnahmen und Einrichtungen auch jeweils geeignete Maßnahmen und Einrichtungen der Sicherheitsebenen 1 bis 3 genutzt werden.


2.1 (11) 
Die auf den Sicherheitsebenen 4b und 4c eigens für den anlageninternen Notfallschutz vorgesehenen Maßnahmen und Einrichtungen dürfen in den Nachweisführungen auf den anderen Sicherheitsebenen nicht herangezogen werden.


2.1 (12) 
Die Maßnahmen und Einrichtungen aller vier Sicherheitsebenen müssen gemäß den Erfordernissen der jeweiligen Betriebsphasen grundsätzlich verfügbar sein. Unverfügbarkeiten von sicherheitstechnisch wichtigen Einrichtungen sind in Abhängigkeit von den Betriebsphasen und von ihren sicherheitstechnischen Auswirkungen zeitlich zu begrenzen. Die dabei einzuhaltenden Bedingungen sind zu spezifizieren.


2.1 (13) 
Die Maßnahmen und Einrichtungen der Sicherheitsebenen 1 bis 4a müssen hohe Anforderungen an die Qualität und Zuverlässigkeit der Planung, Implementierung und Durchführung der Maßnahmen sowie der Auslegung, Fertigung, Errichtung und des Betriebs der Einrichtungen erfüllen. Die Anforderungen an die Qualität und Zuverlässigkeit orientieren sich an der sicherheitstechnischen Bedeutung der Maßnahmen und Einrichtungen.


Für die eigens vorgesehenen Maßnahmen und Einrichtungen der Sicherheitsebenen 4b und 4c gelten abgestufte Anforderungen.


2.2
Konzept des gestaffelten Einschlusses der radioaktiven Inventare (Barrierenkonzept)


2.2 (1) 
 Der Einschluss der im Kernkraftwerk befindlichen radioaktiven Stoffe ist durch gestaffelte Barrieren sowie durch Rückhaltefunktionen sicherzustellen.


Hinweis:


Im Folgenden werden unter Barrieren das Brennstabhüllrohr, die Druckführende Umschließung des Reaktorkühlmittels und der Sicherheitsbehälter verstanden. Ein auslegungsgemäßes Öffnen von Ventilen der Druckführenden Umschließung des Reaktorkühlmittels bedeutet hier keine Unwirksamkeit dieser Barriere.


Rückhaltefunktionen sind Maßnahmen oder Einrichtungen zur Rückhaltung radioaktiver Stoffe, z.B. durch Filterung, Wasserüberdeckung, gerichtete Strömung durch Unterdruckhaltung, Verzögerungsstrecken, Gebäudeabdichtungen, Auffangwannen, Behälter oder sonstige Umschließungen.


Die Aufrechterhaltung einer ausreichenden Wirksamkeit der Barrieren ist zudem wesentlich für den Erhalt der Kühlung und Kühlbarkeit der Brennelemente.


Die Barrieren sind derart auszulegen, dass sie, soweit technisch möglich, so voneinander unabhängig sind, dass bei Störfällen oder Einwirkungen von innen oder außen eine Barriere nicht als Folge des Ausfalls einer anderen Barriere versagt.


Die Barrieren und Rückhaltefunktionen sind insgesamt so auszulegen und während der gesamten Betriebsdauer in einem solchen Zustand zu halten, dass bei allen Ereignissen oder Anlagenzuständen auf den verschiedenen Sicherheitsebenen im Zusammenwirken mit den Maßnahmen und Einrichtungen der jeweiligen Sicherheitsebenen und den dabei auftretenden mechanischen, thermischen, chemischen und durch Strahlung hervorgerufenen Einwirkungen die jeweiligen sicherheitstechnischen Nachweisziele und Nachweiskriterien (siehe in Anhang 2) sowie die unter der Nummer 2.5 angegebenen radiologischen Sicherheitsziele eingehalten werden.


Die Barrieren und Rückhaltefunktionen müssen auch bei allen Ereignissen, die aus Einwirkungen von innen und außen oder Notstandsfällen resultieren, in ihrer Gesamtheit so zuverlässig wirksam sein, dass die radiologischen Sicherheitsziele nach Nummer 2.5 eingehalten werden.


2.2 (2) 
Wenn auf Grund geplanter betrieblicher Vorgänge Barrieren nicht wirksam sind, müssen zur Einhaltung der radiologischen Sicherheitsziele (siehe in der Nummer 2.5 (1)) andere Maßnahmen und Einrichtungen verfügbar sein, die eine den jeweiligen Bedingungen entsprechende wirksame und zuverlässige Rückhaltefunktion sicherstellen.


2.2 (3) 
Auf den Sicherheitsebenen 1 und 2 sind neben den Rückhaltefunktionen zur Erfüllung der radiologischen Sicherheitsziele folgende Barrieren wirksam zu halten:


a)
für den Einschluss der radioaktiven Stoffe im Reaktorkern:


1.
die Brennstabhüllrohre, abgesehen von zulässigen, betrieblich bedingten Hüllrohrschäden,


2.
die Druckführende Umschließung des Reaktorkühlmittels, sofern der Reaktorkühlkreislauf nicht plangemäß geöffnet ist und


3.
der Sicherheitsbehälter, sofern dieser nicht plangemäß geöffnet ist. Das plangemäße Öffnen des Sicherheitsbehälters darf nicht vor Erreichen spezifizierter Druck- und Temperaturbedingungen im Reaktorkühlkreislauf erfolgen. Es ist sicherzustellen, dass die Barriere im Anforderungsfall kurzfristig wiederhergestellt werden kann oder wirksame und zuverlässige Rückhaltefunktionen vorhanden sind, sodass eine unzulässige Freisetzung radioaktiver Stoffe verhindert oder rechtzeitig unterbunden wird.


b)
für den Einschluss der radioaktiven Stoffe in bestrahlten Brennelementen, die in der Anlage gehandhabt oder gelagert werden:


1.
während der Betriebsphasen A bis F (Definitionen hierzu siehe in Anhang 2) die Brennstabhüllrohre, abgesehen von zulässigen, betrieblich bedingten Hüllrohrschäden, sowie


2.
der Sicherheitsbehälter, sofern dieser nicht plangemäß geöffnet ist. Werden bestrahlte Brennelemente außerhalb des Sicherheitsbehälters gehandhabt oder gelagert oder ist der Sicherheitsbehälter plangemäß geöffnet, so ist das Fehlen dieser Barriere durch Rückhaltefunktionen zu kompensieren.


Der sichere kontrollierte Einschluss der radioaktiven Stoffe an anderen Stellen der Anlage ist in allen Betriebsphasen durch Rückhaltefunktionen sicherzustellen.


2.2 (4) 
Auf der Sicherheitsebene 3 sind neben den erforderlichen Rückhaltefunktionen zur Erfüllung der radiologischen Sicherheitsziele folgende Barrieren wirksam zu halten:


a)
für den Einschluss der radioaktiven Stoffe im Reaktorkern:


1.
die Brennstabhüllrohre, außer deren Versagen wird als einleitendes Ereignis postuliert und außer bei Kühlmittelverluststörfällen,


2.
die Druckführende Umschließung des Reaktorkühlmittels, sofern der Reaktorkühlkreislauf nicht plangemäß geöffnet ist oder deren Versagen als einleitendes Ereignis postuliert wird,


3.
der Sicherheitsbehälter, sofern dieser nicht plangemäß geöffnet ist. Ist der Sicherheitsbehälter plangemäß geöffnet, so ist sicherzustellen, dass die Barrierenfunktion des Sicherheitsbehälters bei Ereignissen mit Freisetzungen von radioaktiven Stoffen innerhalb des Sicherheitsbehälters rechtzeitig im erforderlichen Umfang wiederhergestellt werden kann oder wirksame und zuverlässige Rückhaltefunktionen vorhanden sind, sodass eine unzulässige Freisetzung radioaktiver Stoffe verhindert oder rechtzeitig unterbunden wird.


b)
bei der Handhabung und Lagerung von Brennelementen:


1.
die Brennstabhüllrohre (abgesehen von ereignisspezifisch postulierten Hüllrohrschäden) sowie


2.
der Sicherheitsbehälter, sofern dieser nicht plangemäß geöffnet ist. Ist der Sicherheitsbehälter plangemäß geöffnet, so ist sicherzustellen, dass die Barrierenfunktion des Sicherheitsbehälters bei Ereignissen mit Freisetzungen von radioaktiven Stoffen innerhalb des Sicherheitsbehälters rechtzeitig im erforderlichen Umfang wiederhergestellt werden kann.


Werden bestrahlte Brennelemente außerhalb des Sicherheitsbehälters gehandhabt oder gelagert, so ist das Fehlen dieser Barriere durch Rückhaltefunktionen zu kompensieren.


Die Erfüllung der radiologischen Sicherheitsziele im Hinblick auf radioaktive Stoffe an anderen Stellen der Anlage ist in allen Betriebsphasen durch Rückhaltefunktionen sicherzustellen.


2.2 (5) 
Auf der Sicherheitsebene 4a sind im Hinblick auf den Einschluss der radioaktiven Stoffe und die Kühlbarkeit des Reaktorkerns neben den erforderlichen Rückhaltefunktionen folgende Barrieren wirksam zu halten:


1.
die Brennstabhüllrohre in dem für die Einhaltung der hier geltenden Nachweisziele erforderlichen Umfang,


2.
die Druckführende Umschließung,


3.
der Sicherheitsbehälter.


2.2 (6) 
Auf der Sicherheitsebene 4b soll durch die geplanten Maßnahmen des anlageninternen Notfallschutzes zur Erreichung der radiologischen Sicherheitsziele gemäß Nummer 2.5 (1) neben Rückhaltefunktionen für das Aktivitätsinventar des Reaktorkerns mindestens eine der noch vorhandenen Barrieren aufrechterhalten werden.


Für den Einschluss der radioaktiven Stoffe in bestrahlten, gelagerten Brennelementen ist auf der Sicherheitsebene 4b die Integrität mindestens einer Barriere zu gewährleisten. Werden bestrahlte Brennelemente außerhalb des Sicherheitsbehälters gehandhabt oder gelagert, so ist das Fehlen dieser Barriere durch Rückhaltefunktionen zu kompensieren (siehe Nummer 2.2 (4)).


2.2 (7)
Im Hinblick auf die Sicherheitsebene 4c gilt Nummer 2.1 (3b).


2.3
Schutzzielkonzept


2.3 (1) 
Mit den gemäß der Nummer 2.1 (3a) vorgesehenen Maßnahmen und Einrichtungen unter Beachtung der weiteren Anforderungen in Nummer 2.1 sind für die auf den jeweiligen Sicherheitsebenen geltenden Anforderungen die folgenden Schutzziele zu erfüllen:


a)
Kontrolle der Reaktivität,


b)
Kühlung der Brennelemente und


c)
Einschluss der radioaktiven Stoffe.


2.3 (2) 
Auf den Sicherheitsebenen 1 bis 4a sind folgende Anforderungen einzuhalten:


Zur Kontrolle der Reaktivität:


Reaktivitätsänderungen sind auf zulässige Werte zu beschränken,


der Reaktorkern muss abgeschaltet und langfristig unterkritisch gehalten werden können,


bei der Handhabung sowie Lagerung unbestrahlter und bestrahlter Brennelemente ist Unterkritikalität sicherzustellen.


Zur Kühlung der Brennelemente:


Kühlmittel und Wärmesenken sind stets in ausreichendem Umfang vorzusehen,


der Wärmetransport vom Brennstoff bis zur Wärmesenke ist sicherzustellen,


die Wärmeabfuhr aus dem Brennelementlagerbecken ist sicherzustellen.


Zum Einschluss der radioaktiven Stoffe:


die sich auf den verschiedenen Sicherheitsebenen ergebenden mechanischen, thermischen, chemischen und durch Strahlung hervorgerufenen Einwirkungen auf die Barrieren oder Rückhaltefunktionen sind so zu begrenzen, dass deren Wirksamkeit zur Einhaltung der unter Nummer 2.5 angegebenen radiologischen Sicherheitsziele erhalten bleibt,


die Barrierenfunktionen des Reaktorkühlkreislaufs und des Sicherheitsbehälters müssen erforderlichenfalls ausreichend schnell hergestellt werden können.


2.3 (3) 
Auf der Sicherheitsebene 4b ist durch Maßnahmen des anlageninternen Notfallschutzes die langfristige Wiederherstellung der unter Nummer 2.3 (2) genannten Schutzziele zu erreichen.


2.3 (4) 
Im Hinblick auf die Sicherheitsebene 4c gilt Nummer 2.1 (3b).


2.4
Schutzkonzept gegen Einwirkungen von innen und außen sowie gegen Notstandsfälle


2.4 (1) 
Alle Einrichtungen, die erforderlich sind, den Kernreaktor sicher abzuschalten und in abgeschaltetem Zustand zu halten, die Nachwärme abzuführen oder eine Freisetzung radioaktiver Stoffe zu verhindern, sind so auszulegen und müssen sich dauerhaft in einem solchen Zustand befinden, dass sie ihre sicherheitstechnischen Aufgaben auch bei Einwirkungen von innen und außen sowie bei Notstandsfällen (siehe Anhang 3) erfüllen.


Hinweis:


Anforderungen an diese Einrichtungen, die im Hinblick auf Störmaßnahmen oder sonstige Einwirkungen Dritter zu beachten sind, sind nicht Gegenstand der „Sicherheitsanforderungen an Kernkraftwerke“.


Sofern bei Einwirkungen von innen oder außen spezifische Anforderungen im Hinblick auf die Einhaltung radiologischer Sicherheitsziele gelten, sind diese in Anhang 3 bei den betroffenen Einwirkungen aufgeführt.


2.4 (2) 
Es ist sicherzustellen, dass Ereignisse aus Einwirkungen von innen und außen oder aus Notstandsfällen, die die bestimmungsgemäße Funktion von Sicherheitseinrichtungen unzulässig beeinträchtigen könnten, gemäß Nummer 2.1 (5) entweder verhindert oder in ihren Auswirkungen ausreichend begrenzt werden. Dabei sind vorrangig passive Einrichtungen vorzusehen. Ist eine hinreichend zuverlässige Vermeidung unzulässiger Folgewirkungen durch passive Einrichtungen nicht gegeben, so sind zuverlässige aktive Maßnahmen vorzusehen.


2.4 (3) 
Die zueinander redundanten Teilsysteme von Sicherheitseinrichtungen sind räumlich getrennt aufzustellen oder so zu schützen, dass bei Einwirkungen von innen ein redundanzübergreifender Ausfall verhindert wird.


2.4 (4) 
Alle Sicherheitseinrichtungen sind so auszulegen und müssen sich dauerhaft in einem solchen Zustand befinden, dass sie ihre sicherheitstechnischen Aufgaben auch bei Einwirkungen von außen erfüllen.


2.4 (5) 
Im Hinblick auf Einwirkungen aus Notstandsfällen gilt Nummer 2.1 (5), letzter Absatz.


2.5
Radiologische Sicherheitsziele


2.5 (1) 
Auf den Sicherheitsebenen 1 und 2


ist die Strahlenexposition des Personals bei allen Tätigkeiten unter Berücksichtigung aller Umstände des Einzelfalls auch unterhalb der Grenzwerte der Strahlenschutzverordnung so gering wie möglich zu halten,


hat jede Ableitung radioaktiver Stoffe mit Luft oder Wasser kontrolliert auf den dafür vorgesehenen Ableitungspfaden zu erfolgen; die Ableitungen sind zu überwachen und nach Art und Aktivität zu dokumentieren und zu spezifizieren, und es


ist jede Strahlenexposition oder Kontamination von Mensch und Umwelt durch Direktstrahlung aus der Anlage sowie durch die Ableitung radioaktiver Stoffe unter Berücksichtigung aller Umstände des Einzelfalls auch unterhalb der Grenzwerte der Strahlenschutzverordnung so gering wie möglich zu halten.


Auf der Sicherheitsebene 3


sind bei der Planung von Tätigkeiten zur Beherrschung von Ereignissen, zur Minderung ihrer Auswirkungen oder zur Beseitigung ihrer Folgen für die Strahlenexposition des Personals höchstens die einschlägigen Grenzwerte der Strahlenschutzverordnung zu Grunde zu legen,


sind für die Auslegung der Anlage zum Schutz der Bevölkerung vor freisetzungsbedingten Strahlenexpositionen höchstens die einschlägigen Störfallplanungswerte der Strahlenschutzverordnung zu Grunde zu legen,


hat eine etwaige Freisetzung auf analysierten Freisetzungspfaden zu erfolgen; die Freisetzung ist zu überwachen und nach Art und Aktivität zu dokumentieren und zu spezifizieren, und es


sind die radiologischen Auswirkungen innerhalb und außerhalb der Anlage unter Berücksichtigung aller Umstände des Einzelfalls so gering wie möglich zu halten.


Auf der Sicherheitsebene 4


sind bei der Planung von Tätigkeiten zur Beherrschung von Ereignissen der Sicherheitsebene 4a sowie bei der Planung von Tätigkeiten im Rahmen von Maßnahmen des anlageninternen Notfallschutzes für die voraussichtliche Strahlenexposition des Personals die einschlägigen Vorgaben der Strahlenschutzverordnung zu Grunde zu legen,


ist die Überwachung von Freisetzungen radioaktiver Stoffe aus der Anlage nach Art und Aktivität sicherzustellen und es


sind radiologische Auswirkungen innerhalb und außerhalb der Anlage unter Berücksichtigung aller Umstände des Einzelfalls so gering wie möglich zu halten.


Unter Einbeziehung der Maßnahmen und Einrichtungen des anlageninternen Notfallschutzes der Sicherheitsebenen 4b und 4c sind


Freisetzungen radioaktiver Stoffe in die Umgebung der Anlage aufgrund eines frühzeitigen Versagens oder einer Umgehung des Sicherheitsbehälters, die Maßnahmen des anlagenexternen Notfallschutzes erfordern, für deren Umsetzung nicht ausreichend Zeit zur Verfügung steht (frühe Freisetzung) oder


Freisetzungen radioaktiver Stoffe in die Umgebung der Anlage, die räumlich umfangreiche und zeitlich langandauernde Maßnahmen des anlagenexternen Notfallschutzes erfordern (große Freisetzung)


auszuschließen1 oder die radiologischen Auswirkungen soweit zu begrenzen, dass Maßnahmen des anlagenexternen Notfallschutzes nur in räumlich und zeitlich begrenztem Umfang erforderlich werden.


2.5 (2) 
Alle sicherheitstechnisch wichtigen Einrichtungen eines Kernkraftwerks müssen so ausgelegt, in einem solchen Zustand gehalten und so gegen Einwirkungen von innen und außen sowie Notstandsfälle geschützt werden, dass sie ihre sicherheitstechnischen Aufgaben zur Einhaltung der Anforderungen gemäß Nummer 2.5 (1) erfüllen.


Alle Einrichtungen eines Kernkraftwerks, die radioaktive Stoffe enthalten oder enthalten können, müssen so beschaffen, angeordnet und abgeschirmt sein, dass bezüglich der Strahlenexposition von Personen bei allen auf den Sicherheitsebenen 1 und 2 erforderlichen Tätigkeiten sowie bei der Planung von Tätigkeiten zur Beherrschung von Ereignissen der Sicherheitsebenen 3 und 4a, bei Einwirkungen von innen und außen, bei Notstandsfällen sowie im Rahmen von Maßnahmen des anlageninternen Notfallschutzes die einschlägigen Anforderungen gemäß Nummer 2.5 (1) erfüllt werden.


Technische Anforderungen


3.1
Übergeordnete Anforderungen


3.1 (1) 
Bei Auslegung, Fertigung, Errichtung und Prüfung sowie Betrieb und Instandhaltung der sicherheitstechnisch wichtigen Anlagenteile sind Grundsätze und Verfahren anzuwenden, die den besonderen sicherheitstechnischen Erfordernissen der Kerntechnik entsprechen. Bei Anwendung von anerkannten Regeln der Technik sind diese im Einzelfall daraufhin zu überprüfen, ob sie in Bezug auf den Anwendungsfall dem Stand von Wissenschaft und Technik entsprechen.


3.1 (2) 
Auf Maßnahmen und Einrichtungen der Sicherheitsebenen 1 bis 4a sind bezüglich aller Betriebsphasen sicherheitsfördernde Auslegungs-, Fertigungs- und Betriebsgrundsätze anzuwenden, wie insbesondere:


a)
begründete Sicherheitszuschläge bei der Auslegung von Komponenten, in Abhängigkeit von deren sicherheitstechnischer Bedeutung; hierbei können in Bezug auf den Anwendungsfall anerkannte Regeln und Standards angewendet werden;


b)
Bevorzugung von inhärent sicher wirkenden Mechanismen bei der Auslegung;


c)
Verwendung qualifizierter Werkstoffe, Fertigungs- und Prüfverfahren sowie betriebsbewährter oder ausreichend geprüfter Einrichtungen;


d)
instandhaltungs- und prüffreundliche Gestaltung von Einrichtungen unter besonderer Berücksichtigung der Strahlenexposition des Personals;


e)
ergonomische Gestaltung der Arbeitsplätze;


f)
Sicherstellung und Erhalt der Qualitätsmerkmale bei Fertigung, Errichtung und Betrieb;


g)
Durchführung von wiederkehrenden Prüfungen in dem sicherheitstechnisch notwendigen Umfang;


h)
zuverlässige Überwachung der in den jeweiligen Betriebsphasen relevanten Betriebszustände;


i)
Aufstellung und Anwendung eines Überwachungskonzepts mit Überwachungseinrichtungen zur Erkennung und Beherrschung betriebs- und alterungsbedingter Schäden;


j)
Aufzeichnung, Auswertung und sicherheitsbezogene Verwertung von Betriebserfahrungen.


3.1 (3) 
Zur Gewährleistung einer ausreichenden Zuverlässigkeit der Einrichtungen der Sicherheitsebene 3 (Sicherheitseinrichtungen) sind zusätzlich zu der Nummer 3.1 (2) folgende Auslegungsgrundsätze anzuwenden:


a)
Redundanz;


b)
Diversität;


c)
Entmaschung von redundanten Teilsystemen, soweit dieser sicherheitstechnische Nachteile nicht entgegenstehen;


d)
räumliche Trennung redundanter Teilsysteme;


e)
sicherheitsgerichtetes Systemverhalten bei Fehlfunktion von Teilsystemen oder Anlagenteilen;


f)
Bevorzugung passiver gegenüber aktiven Sicherheitseinrichtungen;


g)
die Hilfs- und Versorgungssysteme der Sicherheitseinrichtungen sind so zuverlässig auszulegen und gegen Einwirkungen zu schützen, dass sie die erforderliche hohe Verfügbarkeit der zu versorgenden Einrichtungen absichern;


h)
Automatisierung (in der Störfallanalyse sind von Hand auszulösende Schutzaktionen grundsätzlich nicht vor Ablauf von 30 Minuten zu kreditieren).


3.1 (4) 
 Qualität und Zuverlässigkeit aller Einrichtungen des Kernkraftwerks müssen ihrer sicherheitstechnischen Bedeutung entsprechen.


Alle sicherheitstechnisch wichtigen Einrichtungen sind hinsichtlich ihrer sicherheitstechnischen Bedeutung zu klassifizieren. Die in den spezifizierten Klassen geltenden Kriterien für Qualität und Zuverlässigkeit sind zu definieren und müssen insbesondere Angaben über die einzuhaltenden Vorgaben im Hinblick auf Auslegung, Fertigung, Umgebungs- und Wirksamkeitsbedingungen, Notstromversorgung und die dauerhafte Aufrechterhaltung der Qualität enthalten.


1.
Von hoher sicherheitstechnischer Bedeutung und entsprechend zu klassifizieren sind:


a)
Einrichtungen, deren Versagen zu nicht beherrschbaren Ereignisabläufen führt und


b)
Einrichtungen, die zur Störfallbeherrschung erforderlich sind, einschließlich der hierfür notwendigen Hilfs- und Versorgungssysteme, sowie


c)
Notstandseinrichtungen.


2.
Von abgestufter sicherheitstechnischer Bedeutung und entsprechend differenziert zu klassifizieren sind:


a)
Einrichtungen, die zur Störfallvermeidung erforderlich sind, einschließlich der hierfür notwendigen Hilfs- und Versorgungssysteme.


b)
Einrichtungen zur Einhaltung und Überwachung festgelegter radiologischer Werte, insbesondere durch Aufrechterhaltung der erforderlichen Wirksamkeit von Barrieren und Rückhaltefunktionen.


c)
Sonstige Einrichtungen zur Durchführung von Aufgaben mit sicherheitstechnischer Bedeutung.


d)
Einrichtungen des anlageninternen Notfallschutzes.


3.1 (5) 
Die Potentiale für Ausfälle infolge gemeinsamer Ursache von Sicherheitseinrichtungen sind zu analysieren. Es sind Vorkehrungen zur Minderung der Eintrittswahrscheinlichkeit solcher Ausfälle derart zu treffen, dass ein Mehrfachausfall von Sicherheitseinrichtungen auf der Sicherheitsebene 3 nicht unterstellt werden muss. Redundante Sicherheitseinrichtungen, bei denen Möglichkeiten für Ausfälle infolge gemeinsamer Ursache identifiziert sind, sind dazu, soweit technisch sinnvoll, diversitär auszuführen.


3.1 (6) 
Die Zuverlässigkeit und Wirksamkeit von Sicherheitsfunktionen der Sicherheitsebene 3 sind durch Maßnahmen und Einrichtungen, einschließlich ihrer Hilfs- und Versorgungssysteme, sicherzustellen


für alle bei den Ereignisabläufen zu unterstellenden Bedingungen,


bei störfallbedingten Folgeausfällen,


bei gleichzeitigem oder zeitlich versetztem Ausfall der Eigenbedarfsversorgung sowie


bei Ausfällen oder Unverfügbarkeiten gemäß dem Einzelfehlerkonzept nach Nummer 3.1 (7).


Zwischen betrieblichen Grenzwerten und den Grenzwerten, die Sicherheitseinrichtungen auslösen, müssen ausreichende Abstände derart vorhanden sein, dass eine unerwünschte häufige Aktivierung von Sicherheitseinrichtungen nicht erfolgt. Grenzwerte, die Sicherheitseinrichtungen auslösen, müssen konservativ angesetzt werden, damit Unsicherheiten in den Sicherheitsanalysen berücksichtigt werden.


3.1 (7) 
Einrichtungen zur Beherrschung von Ereignissen der Sicherheitsebene 3 sind so redundant und entmascht auszuführen, dass die zur Ereignisbeherrschung erforderlichen Sicherheitsfunktionen auch dann ausreichend wirksam sind, wenn im Anforderungsfall


ein ungünstigst wirkender Einzelfehler in einer Sicherheitseinrichtung infolge eines zufälligen Ausfalls auftritt und


gleichzeitig eine in Kombination mit dem Einzelfehler ungünstigst wirkende Unverfügbarkeit in einer Sicherheitseinrichtung infolge von Instandhaltungsmaßnahmen vorliegt.


Einzelfehler werden grundsätzlich sowohl bei aktiven, als auch bei passiven Einrichtungen unterstellt, Ausnahmen sind zu begründen.


Hinweis:


Konkretisierende Anforderungen zur Anwendung des Einzelfehlerkonzepts enthält Anhang 4 „Grundsätze für die Anwendung des Einzelfehlerkriteriums und für die Instandhaltung“. Anhang 4 enthält darüber hinaus auch Anforderungen zur Planung und Durchführung von Instandhaltungsmaßnahmen soweit diese für die Anwendung und Wirksamkeit des Einzelfehlerkonzepts von Relevanz sind.


3.1 (8) 
In Betriebsphasen, in denen Teile von Sicherheitseinrichtungen gemäß den Betriebsvorschriften nicht verfügbar sein müssen, ist die zuverlässige und wirksame Beherrschung der in diesen Phasen zu unterstellenden Ereignisse auch unter diesen Bedingungen zu gewährleisten.


3.1 (9) 
 Notstandsfälle


Bei Einwirkungen aus Notstandsfällen ist sicherzustellen, dass im Ereignisfall mindestens eine Redundante bei den zur Ereignisbeherrschung erforderlichen Einrichtungen erhalten bleibt. Dabei sind jeweils auch Folgewirkungen zu berücksichtigen.


Bei Notstandsfällen ist die Autarkie der Sicherheitsfunktionen im Hinblick auf die Energieversorgung und alle Kühl- und Betriebsmittel, die notwendig sind, um die Anlage in einen kontrollierten Zustand zu bringen und darin für mindestens 10 Stunden zu halten, sicherzustellen.


Notstandseinrichtungen dürfen keine sicherheitstechnisch nachteiligen Auswirkungen auf Maßnahmen und Einrichtungen der Sicherheitsebene 3 haben.


3.1 (10) 
Anlageninterner Notfallschutz


Der anlageninterne Notfallschutz soll präventive und mitigative Notfallmaßnahmen sowie Handlungsempfehlungen für einen im Notfall zu bildenden Notfallstab umfassen.


Die für anlageninterne Notfallmaßnahmen vorgesehenen Einrichtungen dürfen weder den bestimmungsgemäßen Betrieb noch den auslegungsgemäßen Einsatz von Sicherheits- und Notstandseinrichtungen beeinträchtigen. Die Verträglichkeit mit dem Sicherheitskonzept ist zu gewährleisten.


Die Maßnahmen des anlageninternen Notfallschutzes stützen sich auf eigens dafür vorgesehene Maßnahmen und Einrichtungen inklusive nicht fest installierter (mobiler) Einrichtungen sowie auf die flexible Nutzung verfügbarer Sicherheitseinrichtungen, Betriebssysteme und Notstandseinrichtungen ab.


Die Funktionsfähigkeit der für anlageninterne Notfallmaßnahmen vorgesehenen Einrichtungen ist durch Wartung und wiederkehrende Prüfungen sicherzustellen.


3.1 (11) 
Die Maßnahmen und Einrichtungen des anlageninternen Notfallschutzes sollen auch im Falle von Einwirkungen von innen und von außen sowie bei Notstandsfällen wirksam bleiben, soweit diese Einwirkungen zu Mehrfachausfällen von in diesen Situationen erforderlichen Sicherheitseinrichtungen führen können und soweit diese Maßnahmen und Einrichtungen zur Minderung der Auswirkungen der jeweiligen Einwirkungen und Notstandsfälle beitragen.


3.1 (12) 
Prüfung und Wartung


Alle sicherheitstechnisch wichtigen Einrichtungen müssen so beschaffen und angeordnet sein, dass sie entsprechend ihrer sicherheitstechnischen Bedeutung und Aufgabe vor ihrer Inbetriebnahme und danach in regelmäßigen Zeitabständen in hinreichendem Umfang geprüft und gewartet werden können, um den spezifikationsgerechten Zustand feststellen und sich anbahnende Abweichungen von prüfbaren Qualitätsmerkmalen erkennen zu können.


Die Funktion von sicherheitstechnisch wichtigen Einrichtungen ist unter Bedingungen, die möglichst dem Anforderungsfall entsprechen, im erforderlichen Umfang zu prüfen.


3.1 (12a) 
Wenn an Einrichtungen regelmäßig wiederkehrende Prüfungen nach dem Stand der Technik nicht in dem für die Erkennung etwaiger Mängel erforderlichen Umfang durchgeführt werden können, ist sicherzustellen, dass für die nicht oder nur eingeschränkt prüfbaren Bereiche Vorkehrungen gegen ein Versagen durch mögliche Schädigungsmechanismen, wie Ermüdung, Korrosion und andere Alterungsmechanismen, derart getroffen sind, dass aus dem Betrieb und nach dem Stand von Wissenschaft und Technik für diesen Bereich keine sicherheitstechnisch relevante Schädigung zu besorgen ist, eine Herstellungsdokumentation vorliegt und daraus keine Auffälligkeiten oder Abweichungen von den einzuhaltenden Vorgaben abzuleiten sind.


3.1 (12b) 
 Im Falle einer solchen eingeschränkten Prüfbarkeit sind für die Beherrschung trotz der Vorkehrungen gemäß Nummer 3.1 (12a) zu unterstellender möglicher Folgen aus diesem Mangel Maßnahmen und Einrichtungen derart vorzusehen, dass bei den unter diesen Umständen in Betracht zu ziehenden Ereignissen die Einhaltung der jeweiligen sicherheitstechnischen Nachweisziele und Nachweiskriterien sichergestellt ist.


3.1 (13) 
Anforderung an die ergonomische Gestaltung der Voraussetzungen für zuverlässiges Handeln des Personals


a)
Alle absehbaren Tätigkeiten und Maßnahmen mit sicherheitstechnischer Bedeutung in der Anlage auf den Sicherheitsebenen 1 bis 4 sind unter Berücksichtigung ergonomischer Gesichtspunkte so zu gestalten, dass die Voraussetzungen für das sicherheitstechnisch erforderliche Verhalten der in der Anlage tätigen Personen gegeben sind. Dies gilt auch für Tätigkeiten, die in Bezug auf Einwirkungen von innen oder von außen sowie aus Notstandsfällen durchzuführen sind.


Für die Sicherheitsebenen 4b und 4c beziehen sich die Anforderungen auf Durchführbarkeit, Zugänglichkeit und Strahlenschutz.


b)
Der Grundsatz entsprechend der Nummer 3.1 (13) Buchstabe a ist auch auf die Gestaltung aller Arbeitsplätze, an denen diese Tätigkeiten ausgeführt werden, und aller Arbeitsmittel, deren Einsatz für diese Tätigkeiten vorgesehen ist, anzuwenden. Die vorgesehenen Wege, auf denen das Personal mit allen erforderlichen Arbeitsmitteln an den Einsatzort gelangt, sind ebenfalls einzubeziehen.


Hinweis:


Zu den Arbeitsmitteln zählen unter anderem: Informations-, Bedienungs- und Kommunikationseinrichtungen, Mess- und Prüfgeräte, Werkzeuge und andere Arbeitsgeräte, Transportmittel, Hebezeuge und Anschlagmittel sowie Unterlagen mit Anweisungen und weiteren Informationen zu auszuführenden Tätigkeiten.


c)
Bei der Umsetzung des Grundsatzes der Nummer 3.1 (13) Buchstabe a sind alle Einflüsse, denen die Ausführenden bei diesen Tätigkeiten am Arbeitsplatz und auf den vorgesehenen Wegen zum Arbeitsplatz ausgesetzt sein können, zu berücksichtigen. Dazu gehören unter anderem Strahlenexposition, Raumklima, Beleuchtung und Beschallung.


d)
Der Grundsatz entsprechend der Nummer 3.1 (13) Buchstabe a ist auch auf die Gestaltung der Arbeitsabläufe, der Aufgabenverteilung zwischen Mensch und Technik sowie der Arbeitsteilung zwischen den ausführenden Personen bei diesen Tätigkeiten anzuwenden.


3.2
Anforderungen an den Reaktorkern und die Abschalteinrichtungen


3.2 (1) 
Die Kontrolle der Reaktivität im Reaktorkern ist auf den Sicherheitsebenen 1 bis 4a sowie bei Einwirkungen von innen und außen sowie bei Notstandsfällen in allen Betriebsphasen sicherzustellen.


3.2 (2) 
Der Reaktorkern, die relevanten Einrichtungen zur Überwachung, Regelung und Begrenzung der Reaktorleistung und zur Abschaltung des Reaktors sind so auszulegen, herzustellen und in einem solchen Zustand zu halten, dass im Zusammenwirken mit den Kühlsystemen für den Reaktorkern die jeweiligen Auslegungsgrenzen der Sicherheitsebenen 1 bis 4a eingehalten werden.


3.2 (3) 
Der Reaktorkern ist so auszulegen, dass auf Grund inhärenter reaktorphysikalischer Rückkopplungseigenschaften die in Betracht zu ziehenden schnellen Reaktivitätsanstiege so weit abgefangen werden, dass im Zusammenwirken mit den übrigen inhärenten Eigenschaften der Anlage und den Begrenzungs- oder Abschalteinrichtungen die jeweils auf den Sicherheitsebenen geltenden sicherheitstechnischen Nachweisziele und Nachweiskriterien eingehalten werden.


3.2 (4) 
Der Reaktorkern ist so auszulegen, dass auf Grund inhärenter reaktorphysikalischer Rückkopplungseigenschaften die zu berücksichtigenden Transienten der Sicherheitsebene 4a mit unterstelltem Ausfall der schnell wirkenden Abschalteinrichtung (Schnellabschaltsystem) so weit abgefangen werden, dass im Zusammenwirken mit ansonsten bestimmungsgemäß wirksamen Maßnahmen und Einrichtungen der Anlage die für diese Ereignisse geltenden sicherheitstechnischen Nachweisziele und Nachweiskriterien eingehalten werden.


3.2 (5) 
Der Reaktor ist


mit mindestens einer Einrichtung zur schnellen Abschaltung (Schnellabschaltsystem) mittels Steuerelementen sowie


mit mindestens einer weiteren, davon unabhängigen und diversitären Abschalteinrichtung zur Herbeiführung und dauerhaften Aufrechterhaltung der Unterkritikalität mittels der Einbringung löslicher Neutronenabsorber in das Kühlmittel


auszustatten.


Die Regelungs- oder Begrenzungseinrichtungen der Reaktorleistung können ganz oder teilweise identisch mit den Abschalteinrichtungen sein, sofern die Wirksamkeit der Abschalteinrichtungen jederzeit im geforderten Maße gegeben bleibt.


3.2 (6) 
 Das Schnellabschaltsystem muss alleine in der Lage sein, den Reaktor


aus jedem Zustand der Sicherheitsebenen 1 bis 3 heraus, auch bei unterstellter Unwirksamkeit des reaktivitätswirksamsten Steuerelements sowie


bei Einwirkungen von innen und außen sowie bei Notstandsfällen


so schnell unterkritisch zu machen und hinreichend lange zu halten, dass die jeweils geltenden sicherheitstechnischen Nachweisziele und Nachweiskriterien eingehalten werden.


Hinweis:


Bei Ereignissen der Sicherheitsebene 3 kann im Hinblick auf die einzuhaltende Unterkritikalität die unterstellte Unwirksamkeit des reaktivitätswirksamsten Steuerelements als Einzelfehler gemäß Nummer 3.1 (7) behandelt werden.


3.2 (7) 
Der Reaktor muss auf den Sicherheitsebenen 1 bis 4a sowie bei Einwirkungen von innen und außen sowie bei Notstandsfällen bei den für die Reaktivitätsbilanz ungünstigsten Bedingungen hinsichtlich Temperatur, Xenonkonzentration und Zykluszeitpunkt, die unter den in Betracht zu ziehenden Zuständen und Ereignissen möglich sind, langfristig unterkritisch gemacht und dauerhaft unterkritisch gehalten werden können.


Beim DWR müssen die Einrichtungen zur Einbringung löslicher Neutronenabsorber in das Kühlmittel bei den Zuständen oder Ereignissen der Sicherheitsebenen 1 bis 4a sowie bei Einwirkungen von innen und außen sowie bei Notstandsfällen alleine in der Lage sein, den geforderten Betrag der Unterkritikalität zu erbringen.


Beim SWR müssen folgende Einrichtungen in der Lage sein, jeweils alleine den geforderten Betrag der Unterkritikalität zu erbringen:


bei den Zuständen oder Ereignissen der Sicherheitsebenen 1 bis 4a, bei Einwirkungen von innen und außen sowie bei Notstandsfällen das elektromotorische Einfahren der Steuerelemente sowie


bei den Zuständen der Sicherheitsebene 1 die Einrichtungen zur Einbringung löslicher Neutronenabsorber in das Kühlmittel.


Sofern die dauerhafte Aufrechterhaltung der Unterkritikalität auf den Sicherheitsebenen 1 bis 3 allein durch Steuerelemente sichergestellt wird, ist die Unwirksamkeit des wirksamsten Steuerelements zu unterstellen.


Hinweis:


Auf der Sicherheitsebene 3 kann dies als Einzelfehler gemäß Nummer 3.1 (7) behandelt werden.


3.3
Anforderungen an die Einrichtungen zur Kühlung der Brennelemente im Reaktorkern


3.3 (1) 
Die Kühlung der Brennelemente (Wärmeabfuhr aus dem Reaktorkern) ist auf den Sicherheitsebenen 1 bis 4a sowie bei Einwirkungen von innen und außen sowie bei Notstandsfällen in allen Betriebsphasen sicherzustellen.


Dazu muss die im Brennelement erzeugte Wärme derart abgeführt werden, dass die auf den Sicherheitsebenen geltenden sicherheitstechnischen Nachweisziele und Nachweiskriterien für die Brennelemente und die übrigen sicherheitstechnisch wichtigen Einrichtungen während ihrer gesamten Einsatzzeit eingehalten werden.


3.3 (2) 
 Es müssen Einrichtungen vorhanden sein, mittels derer im bestimmungsgemäßen Betrieb


a)
der Reaktor zuverlässig und anforderungsgerecht ab- und angefahren und


b)
die Nachwärme zuverlässig und anforderungsgerecht abgeführt werden kann, auch unter Berücksichtigung aller Betriebsbedingungen des Brennelementwechsels, gegebenenfalls der gleichzeitigen Erfordernis der Kühlung der Brennelemente im Brennelementlagerbecken sowie während Instandhaltungsmaßnahmen.


3.3 (3) 
 Es muss ein zuverlässiges und redundant aufgebautes System für die Notkühlung (Notkühlsystem) des Reaktorkerns bei Kühlmittelverluststörfällen vorhanden sein, welches gewährleistet, dass für die in Betracht kommenden Bruchgrößen, Bruchlagen, Betriebszustände und störfallbedingten Transienten im Reaktorkühlsystem


a)
die sicherheitstechnischen Aufgaben auch unter Beachtung der Kriterien von Nummer 3.1 (7) erfüllt werden,


b)
die jeweils geltenden sicherheitstechnischen Nachweisziele und Nachweiskriterien für die Brennelemente, die Kerneinbauten und für den Sicherheitsbehälter eingehalten werden.


3.3 (4) 
 Es muss ein zuverlässiges, redundant aufgebautes System zum Abfahren des Reaktors und zur Nachwärmeabfuhr bei Störfällen ohne Kühlmittelverlust und nach Einwirkungen von innen und außen vorhanden sein, welches gewährleistet, dass auch nach Unterbrechung oder Störung der Wärmeabfuhr vom Reaktor zur Hauptwärmesenke die sicherheitstechnischen Nachweisziele und Nachweiskriterien auch unter Beachtung der Anforderungen der Nummer 3.1 (7) erfüllt werden.


3.3 (5) 
Die Nachwärmeabfuhr aus der Anlage muss in allen Betriebszuständen auch bei Ausfall der primären Wärmesenke aufgrund von Ausfallursachen im Bereich der Kühlwasserentnahmen und Kühlwasserrückführungen durch eine diversitäre Wärmesenke sichergestellt werden (gegebenenfalls auch durch verschiedene Wärmesenken in Kombination). Die hierfür benötigten Einrichtungen müssen mindestens den Anforderungen an Notfallmaßnahmen genügen; deren Wirksamkeit ist nachzuweisen.


Die Verfügbarkeit dieser diversitären Wärmesenke muss auch bei den Einwirkungen von außen gewährleistet sein.


3.4
Anforderungen an die Druckführende Umschließung und die drucktragende Wandung von Komponenten der Äußeren Systeme


3.4 (1) 
Die Druckführende Umschließung muss so beschaffen, angeordnet sein und betrieben werden, dass das Auftreten von rasch fortschreitenden Rissen und von spröden Brüchen nicht zu unterstellen ist.


3.4 (2) 
 Zu diesem Zweck ist bei der Auslegung entsprechend den Anforderungen der Nummer 3.1 (2) ein sicherheitstechnisch begründeter Zuschlag auf die ermittelten Werte der Einwirkungen vorzusehen, um zu gewährleisten, dass die spezifizierten Grenzwerte für die Belastungen aus Einwirkungen der Druckführenden Umschließung im bestimmungsgemäßen Betrieb und bei Störfällen eingehalten werden.


3.4 (3) 
Für die Druckführende Umschließung und die drucktragenden Wandungen von Komponenten der Äußeren Systeme mit Nennweiten größer DN 50 muss die Basissicherheit durch die Einhaltung nachfolgender Anforderungen unter Berücksichtigung des Betriebsmediums sichergestellt werden:


Einsatz hochwertiger Werkstoffe, insbesondere hinsichtlich Zähigkeit und Korrosionsbeständigkeit,


konservative Begrenzung der Spannungen,


Vermeidung von Spannungsspitzen durch optimierte Konstruktion und


Gewährleistung der Anwendung optimierter Herstellungs- und Prüftechnologien.


Dazu gehören die Kenntnis und Beurteilung gegebenenfalls vorliegender Fehlerzustände.


Hinweis:


Bei Realisierung dieser Anforderungen (Basissicherheit) ist ein katastrophales, aufgrund herstellungsbedingter Mängel eintretendes Versagen dieser Anlagenteile nicht zu unterstellen.


Zur Sicherstellung und Bewertung der erforderlichen Qualität dieser Komponenten im Betrieb ist ein Konzept zur Erhaltung der Integrität aufzustellen. Dazu sind zusätzlich Maßnahmen und Einrichtungen zur Überwachung der Ursachen und Folgen von Schädigungsmechanismen, insbesondere von Leckagen während des Betriebes, festzulegen und zu installieren.


3.4 (4) 
Für die Druckführende Umschließung und die drucktragenden Wandungen von Komponenten der Äußeren Systeme sind im Rahmen des Auslegungskonzeptes auf der Sicherheitsebene 3 Leck- und Bruchpostulate zu definieren. Für solche Rohrleitungssysteme und Komponenten dieser Systeme, für die im Rahmen des Auslegungskonzeptes während des Betriebs der Anlage ein katastrophales Versagen nicht unterstellt werden muss, dürfen eingeschränkte Leck- und Bruchannahmen in Anspruch genommen werden. Für diese Rohrleitungssysteme und Komponenten ist eine hohe Aussagesicherheit bezüglich der Einwirkungen auf diese Einrichtungen auf den Sicherheitsebenen 1 bis 4a, bei Einwirkungen von innen und außen sowie bei Notstandsfällen nachzuweisen.


Unter diesen Einwirkungen ist für diese ausgewählten Rohrleitungssysteme und Komponenten zusätzlich nachzuweisen, dass anzunehmende Fehler in der drucktragenden Wandung nicht zu einem Leck oder Bruch der Rohrleitung oder Komponente führen können, die die in Anspruch genommenen eingeschränkten Leck- und Bruchannahmen in Frage stellen. Dabei darf bei basissicher ausgeführten Komponenten von generischen Nachweisen und Ergebnissen von experimentellen Untersuchungen Kredit genommen werden. Weiterhin dürfen für Armaturen- und Pumpengehäuse abdeckende Nachweise für die Gehäuse einschließlich der Stutzenbereiche für anschließende Rohrleitungen geführt werden. Die Einhaltung der dabei zugrunde gelegten Randbedingungen während des Betriebs ist durch geeignete Maßnahmen zur Überprüfung der Einwirkungen und wiederkehrende zerstörungsfreie Prüfungen der Komponenten zu verifizieren.


3.4 (5a) 
Zur Verhinderung der Überschreitung des zulässigen Druckes in der Druckführenden Umschließung (bei DWR-Anlagen einschließlich der Sekundärseite des Dampferzeugers) sind wirksame und zuverlässige Einrichtungen zur Druckbegrenzung und zur Überdruckabsicherung vorzusehen.


3.4 (5b) 
Es müssen Einrichtungen zur Druckentlastung des Reaktorkühlkreislaufs vorhanden sein, mit denen anlageninterne Notfallmaßnahmen zur Druckentlastung wirksam durchgeführt werden können, sodass ein Kernschmelzen unter hohem Druck nicht eintritt.


3.4 (6) 
Das Kernkraftwerk ist so zu betreiben, dass die jeweils zulässigen Werte für Einwirkungen auf die Druckführende Umschließung des Reaktorkühlmittels auf den Sicherheitsebenen 1 bis 4a sowie bei Einwirkungen von innen und außen sowie bei Notstandsfällen nicht überschritten werden. Dabei sind die entsprechend den Anforderungen der Nummer 3.1 (2) angesetzten Zuschläge zu berücksichtigen.


3.4 (7) 
Die Komponenten der Druckführenden Umschließung und der Äußeren Systeme sind so anzuordnen und zu verankern, dass bei an ihnen auftretenden Ereignissen der Sicherheitsebene 3 und 4a sowie bei Einwirkungen von innen und außen sowie bei Notstandsfällen keine Folgeschäden an anderen sicherheitstechnisch wichtigen Anlagenteilen verursacht werden können, die die Erfüllung der zur Ereignisbeherrschung erforderlichen Sicherheitsfunktionen gefährden.


3.5
Anforderungen an bauliche Anlagenteile


3.5 (1) 
Die baulichen Anlagenteile sind so auszulegen und in einem solchen Zustand zu halten, dass sie


den für die jeweilige Sicherheitsebene spezifizierten Lastabtrag der Systeme und Komponenten auf den Sicherheitsebenen 1 bis 4a und nach Einwirkungen von innen und außen sowie bei Notstandsfällen gewährleisten sowie


zur Gewährleistung des Schutzes gegen diese Einwirkungen,


zur Abschirmung der ionisierenden Strahlung und zur Rückhaltung radioaktiver Stoffe sowie


zum Brand- und Blitzschutz der Anlage


im jeweils erforderlichen Umfang beitragen.


3.6
Anforderungen an den Sicherheitseinschluss


3.6 (1) 
Das Kernkraftwerk muss einen Sicherheitseinschluss besitzen, bestehend aus dem Sicherheitsbehälter und umgebendem Gebäude sowie den Hilfssystemen zur Rückhaltung und Filterung etwaiger Leckagen aus dem Sicherheitsbehälter.


Der Sicherheitseinschluss muss seine Rückhaltefunktion so erfüllen, dass der Austrag radioaktiver Stoffe in die Umgebung so gering wie möglich gehalten wird und für die Sicherheitsebenen 1 bis 3 vorgegebene Werte nicht überschritten werden.


Der Sicherheitsbehälter muss seine sicherheitstechnischen Aufgaben in den Betriebszuständen, in denen dieser plangemäß geschlossen ist, auf den Sicherheitsebenen 1 bis 3 sowie bei Transienten mit Ausfall der Reaktorschnellabschaltung (Sicherheitsebene 4a) und bei den Einwirkungen von innen und außen sowie bei Notstandsfällen erfüllen.


In den Betriebsphasen, in denen der Sicherheitsbehälter plangemäß geöffnet sein kann, ist sicherzustellen, dass unter den Bedingungen der Sicherheitsebene 1 sowie bei den zu unterstellenden Ereignissen der Sicherheitsebenen 2 und 3 und bei den Einwirkungen von innen und außen sowie bei Notstandsfällen wirksame und zuverlässige Rückhaltefunktionen vorhanden sind und eine unzulässige Freisetzung radioaktiver Stoffe verhindert oder rechtzeitig unterbunden wird.


3.6 (2) 
 Einrichtungen, die radioaktive Stoffe enthalten, müssen innerhalb des Sicherheitseinschlusses untergebracht sein, soweit eine unzulässige Freisetzung radioaktiver Stoffe in die Umgebung nicht auf andere Weise verhindert werden kann.


Im Sicherheitsbehälter sind grundsätzlich die unter hohem Druck stehenden, Reaktorkühlmittel führenden Komponenten der Anlage unterzubringen. Hiervon können Abschnitte der Frischdampfleitungen und Speisewasserleitungen sowie sonstiger Leitungen ausgenommen werden, soweit dies technisch notwendig ist und sofern gewährleistet ist, dass der Bruch solcher Leitungen nicht zu unzulässiger Strahlenexposition in der Umgebung führt.


3.6 (3) 
Ein zuverlässiger, ausreichend schneller und hinreichend langzeitiger Abschluss der Durchdringungen durch den Sicherheitsbehälter ist zu gewährleisten.


Die notwendigen Dichtheitsanforderungen an den Sicherheitsbehälter sind für die Betriebsphasen, in denen der Sicherheitsbehälter geschlossen ist, durch eine maximal zulässige Leckrate zu quantifizieren.


3.6 (4) 
Der Sicherheitsbehälter muss von einem Gebäude eingeschlossen sein. Das Gebäude ist so zu gestalten, dass der Zwischenraum zwischen Sicherheitsbehälter und Gebäude bei Betriebsphasen mit geschlossenen Schleusen langfristig auf ausreichendem Unterdruck gehalten werden kann, auch wenn im Sicherheitsbehälter die Bedingungen von Ereignissen der Sicherheitsebene 3 herrschen. Hierfür sind für das umgebende Gebäude bautechnische Einrichtungen vorzusehen, die die lüftungstechnische Dichtheit sicherstellen. Der Zwischenraum muss über Kamin und erforderlichenfalls über Filter entlüftet werden können. Inspektionen an sicherheitstechnisch relevanten Anlagenteilen müssen möglich sein.


3.6 (5) 
Der Sicherheitsbehälter ist durch bauliche Entkopplung derart zu schützen, dass direkte Lastübertragungen bei den Notstandsfällen nicht zur Beeinträchtigung seiner Funktion führen. Ebenso muss bei allen Ereignissen der Sicherheitsebene 3 und bei Einwirkungen von innen und außen einschließlich der Wirkung aus Druckdifferenzen die Standsicherheit oder Integrität von Einbauten und Räumen, soweit erforderlich, erhalten bleiben.


3.6 (6) 
Das umgebende Gebäude muss Direktstrahlung nach außen in genügendem Maße abschirmen und den Sicherheitsbehälter sowie die darin befindlichen Einrichtungen gegen unzulässige Folgen bei den für die Anlage zu unterstellenden Einwirkungen von außen und Notstandsfällen schützen.


3.6 (7) 
Ein langfristiger Temperatur- oder Druckanstieg im Sicherheitsbehälter ist bei Kühlmittelverluststörfällen während des Sumpfbetriebes zu verhindern.


3.6 (8) 
Bei Unfällen mit schweren Brennelementschäden (Sicherheitsebene 4c) gilt zusätzlich zu den Anforderungen in Nummer 2.1 (3b):


Durch Maßnahmen des anlageninternen Notfallschutzes ist sicherzustellen, dass ein Überdruckversagen des Sicherheitsbehälters durch einen stetigen Druckanstieg nicht eintritt. Ist eine Druckentlastung des Sicherheitsbehälters als Notfallmaßnahme vorgeplant, so muss diese unter den zu erwartenden Unfallbedingungen wirksam sein und über effiziente Filter zur Aerosol- und Jodrückhaltung verfügen. Ein Unterdruckversagen des Sicherheitsbehälters infolge der Druckentlastung ist zu verhindern.


Durch Maßnahmen des anlageninternen Notfallschutzes soll erreicht werden, dass bei Unfällen mit schweren Brennelementschäden Verbrennungsvorgänge von Gasen (H2, CO) innerhalb des Sicherheitsbehälters, die die Integrität des Sicherheitsbehälters gefährden, nicht eintreten.


Durch Maßnahmen des anlageninternen Notfallschutzes soll erreicht werden, dass bei Unfällen mit schweren Brennelementschäden im Brennelementlagerbecken Verbrennungsvorgänge von Gasen (H2), die die Integrität des Sicherheitsbehälters oder der umgebenden baulichen Hülle des Brennelementlagerbeckens gefährden, nicht eintreten.


3.7
Anforderungen an die Leittechnik


3.7 (1) 
Das Kernkraftwerk ist mit betrieblichen Steuer- und Regeleinrichtungen mit Leittechnik-Funktionen auf der Sicherheitsebene 1 auszurüsten, die so auszulegen und zu betreiben sind, dass auch ohne Inanspruchnahme von leittechnischen Einrichtungen der Sicherheitsebene 2 ein möglichst störungsfreier Betrieb der Anlage gewährleistet ist.


3.7 (2) 
Das Kernkraftwerk ist mit leittechnischen Einrichtungen mit Leittechnik-Funktionen auf der Sicherheitsebene 2 auszurüsten, die geeignet sind, bei Ereignissen der Sicherheitsebene 2 eine Anforderung an die Schutzaktionen der Sicherheitsebene 3 zu vermeiden.


3.7 (3) 
Das Kernkraftwerk ist mit zuverlässigen leittechnischen Einrichtungen mit Leittechnik-Funktionen auf der Sicherheitsebene 3, dem Reaktorschutzsystem, auszurüsten, deren Leittechnik-Funktionen bei Erreichen festgelegter Ansprechwerte Schutzaktionen auslösen.


Diese Einrichtungen sind nach folgenden Grundsätzen auszulegen:


redundante Auslegung von Komponenten, Baugruppen und Teilsystemen,


Diversität (siehe Nummer 3.1 (5)),


räumlich getrennte Installation entsprechend dem Wirkungsbereich möglicher versagensauslösender Ereignisse,


selbsttätige Überwachung auf einen Ausfall hin,


Anpassung der Komponenten an die möglichen Umgebungsbedingungen,


einfache Struktur der Software,


Begrenzung des Funktionsumfangs von Hard- und Software auf das sicherheitstechnisch notwendige Maß sowie


Einsatz fehlervermeidender, fehlerentdeckender und fehlerbeherrschender Maßnahmen und Einrichtungen.


Hinweise:


Für rechnerbasierte oder programmierbare leittechnische Einrichtungen werden zukünftig auch Anforderungen durch das Regelwerk der Sicherung gestellt werden, die auch Auslegungsanforderungen enthalten. Die nachweisliche Erfüllung aller Sicherungsanforderungen ist Voraussetzung für die Genehmigung dieser Systeme.


Rechnerbasierte oder programmierbare leittechnische Einrichtungen werden danach auf der Sicherheitsebene 3 nur eingesetzt werden, wenn für den gesamten Lebenszyklus nachgewiesen werden kann, dass eine Manipulation dieser Einrichtungen durch geeignete Maßnahmen der Auslegung oder der Sicherung verhindert wird, oder wenn verhindert wird, dass Manipulationen einzelner oder verschiedener rechnerbasierter oder programmierbarer Einrichtungen Auswirkungen auf die Sicherheit der Anlage haben.


3.7 (4) 
Bei der Auslegung der leittechnischen Einrichtungen gemäß Nummer 3.7 (3) sind die Potentiale für und die Auswirkungen von systematischem Versagen der leittechnischen Einrichtungen auf die Ereignisabläufe der Sicherheitsebene 3 unter Berücksichtigung der verfahrenstechnischen Vorgaben zu analysieren.


Es sind Vorkehrungen gegen systematisches Versagen zur Minderung von dessen Eintrittswahrscheinlichkeit derart zu treffen, dass es auf der Sicherheitsebene 3 nicht mehr unterstellt werden muss.


3.7 (5) 
 In den Betriebsphasen, in denen die Verfügbarkeit der Reaktorschnellabschaltung erforderlich ist, muss jederzeit eine Reaktorschnellabschaltung von Hand möglich sein, auch beim unterstellten systematischen Versagen rechnerbasierter und programmierbarer leittechnischer Einrichtungen einschließlich systematischen Softwareversagens.


Die manuelle Auslösung von Schutzaktionen ist unabhängig von automatischen leittechnischen Einrichtungen aufzubauen.


3.7 (6) 
Die leittechnischen Einrichtungen gemäß Nummer 3.7 (3) sind so auszulegen, dass auch beim Eintreten des zu unterstellenden Einzelfehlers in diesen Einrichtungen keine Aktionen ausgelöst werden, die zu einem Störfall führen können oder die Störfallbeherrschung verhindern.


3.7 (7) 
 Das Kernkraftwerk muss mit Überwachungs- und Meldeeinrichtungen ausgerüstet sein, die auf den Sicherheitsebenen 1 und 2 jederzeit einen ausreichenden Überblick über den sicherheitsrelevanten Zustand der Anlage und die ablaufenden relevanten Prozesse ermöglichen und alle sicherheitstechnisch wichtigen Betriebsparameter anzeigen und registrieren können.


Es müssen Gefahrenmeldeeinrichtungen vorhanden sein, die Veränderungen des Betriebszustandes, aus denen sich eine Verminderung der Sicherheit ergeben könnte, so frühzeitig anzeigen, dass die Einhaltung der jeweiligen sicherheitstechnischen Nachweisziele gewährleistet werden kann.


3.7 (8) 
 Das Kernkraftwerk muss mit einer Instrumentierung ausgerüstet sein, die bei Ereignisabläufen und Anlagenzuständen der Sicherheitsebenen 3 und 4 sowie bei Einwirkungen von innen oder außen sowie aus Notstandsfällen


a)
ausreichende Informationen über den Zustand der Anlage liefert, um die erforderlichen Schutzmaßnahmen für Personal und Anlage ergreifen und deren Wirksamkeit feststellen zu können,


b)
die Verfolgung des Ereignisablaufes und die Dokumentation der Ereignisse ermöglicht,


c)
eine Abschätzung der Auswirkungen auf die Umgebung gestattet,


d)
für mindestens 10 Stunden (auch bei Ausfall der nicht durch Batterien gepufferten elektrischen Energieversorgung) stromversorgt wird und


e)
die redundante Signalverarbeitung vornimmt.


Die Einrichtungen zur Erfassung und Aufzeichnung der jeweils erforderlichen Informationen sollen diversitär und störfallfest aufgebaut sein.


Für die Sicherheitsebenen 4b und 4c sollen ausreichende Informationen über den Zustand der Anlage geliefert werden, um die geplanten Notfallmaßnahmen ergreifen und deren Wirksamkeit feststellen zu können sowie eine Abschätzung der Auswirkungen auf die Umgebung zu ermöglichen.


3.7 (9) 
 Auf den Sicherheitsebenen 4b und 4c dürfen Maßnahmen des anlageninternen Notfallschutzes Vorrang vor konkurrierenden Aktionen der vorgelagerten Sicherheitsebenen haben. Eingriffe in Einrichtungen, die auf den Sicherheitsebenen 1 bis 4a Leittechnikfunktionen ausführen, sind erlaubt, wenn Maßnahmen des anlageninternen Notfallschutzes dies im Anforderungsfall erfordern.


3.7 (10) 
Die von leittechnischen Einrichtungen auszuführenden Funktionen sind entsprechend ihrer sicherheitstechnischen Bedeutung gemäß Nummer 3.1 (4) zu klassifizieren. Die Anforderungen an Entwurf, Implementierung, Qualifizierung, Inbetriebsetzung, Betrieb und Modifizierung der Software und an Auslegung, Fertigung, Errichtung und Betrieb der Hardware (Komponenten, Baugruppen und Teilsysteme) für leittechnische Einrichtungen sind entsprechend der sicherheitstechnischen Klassifizierung der von ihnen ausgeführten Funktionen festzulegen.


Für leittechnische Einrichtungen, die nicht kategorisierte Leittechnik-Funktionen ausführen, werden in den „Sicherheitsanforderungen an Kernkraftwerke“ keine Anforderungen aufgestellt.


3.7 (11) 
Der unberechtigte Zugriff auf Informations- und Leittechniksysteme der Anlage ist zu verhindern. Die Wirksamkeit und Zuverlässigkeit der hierfür vorgesehenen Maßnahmen müssen der sicherheitstechnischen Bedeutung der Informations- und Leittechniksysteme entsprechen.


3.8
Anforderungen an Warten


3.8 (1) 
Es muss eine Warte vorhanden sein, von der aus das Kernkraftwerk sicher betrieben werden kann und von der aus bei Störungen und Störfällen Maßnahmen ergriffen werden können, um das Kernkraftwerk in einem kontrollierten und sicheren Anlagenzustand zu halten oder in einen solchen zu überführen.


3.8 (2) 
 Außerhalb der Warte ist eine Notsteuerstelle vorzusehen, mit deren Hilfe bei Ausfall der Warte, einschließlich der in Betracht zu ziehenden Wartennebenräume, wie z.B. Rangierverteiler und Elektronikraum, der Reaktor abgeschaltet und unterkritisch gehalten, die Nachwärme abgeführt und die hierfür wesentlichen Betriebsparameter überwacht werden können.


3.8 (3) 
 Die Warte und die Notsteuerstelle sind so voneinander räumlich zu trennen, voneinander unabhängig mit Energie zu versorgen und derart gegen Einwirkungen von außen sowie aus Notstandsfällen zu schützen, dass Warte und Notsteuerstelle nicht gleichzeitig außer Funktion gesetzt werden können.


3.8 (4) 
 Die Warte und die Notsteuerstelle sind unter Berücksichtigung ergonomischer Gesichtspunkte so zu gestalten, dass die Voraussetzungen für das sicherheitstechnisch erforderliche Verhalten der Beschäftigten gegeben sind.


3.8 (5) 
Es müssen geeignete Alarmierungseinrichtungen und Kommunikationsmittel vorhanden sein, durch die allen in der Anlage anwesenden Personen von mindestens einer zentralen Stelle aus Verhaltensanweisungen bei Ereignissen auf allen Sicherheitsebenen gegeben werden können.


3.8 (6) 
Es müssen Rettungswege vorhanden sein zur Rettung und Flucht von Menschen aus allen Gefahrensituationen.


3.8 (7) 
 Die für den Notfallstab vorgesehenen Räume müssen geeignet ausgestattet sein. Die Warte und die für den Notfallstab vorgesehenen Räume müssen unter den bei Ereignissen der Sicherheitsebenen 4b und 4c zu erwartenden Bedingungen sowie während der Durchführung von geplanten Notfallmaßnahmen zugänglich und nutzbar bleiben.


3.9
Anforderungen an die elektrische Energieversorgung


3.9 (1) 
Die elektrische Energieversorgung des Kernkraftwerks muss so ausgelegt sein, dass die elektrische Versorgung der Verbraucher, die Funktionen auf den Sicherheitsebenen 1 bis 4a, bei Einwirkungen von innen und außen sowie bei Notstandsfällen ausführen, unter Einhaltung ihrer elektrischen Versorgungsbedingungen sichergestellt ist. Die elektrische Energieversorgung muss so zuverlässig ausgelegt sein, dass sie die Nichtverfügbarkeit der zu versorgenden Systeme, deren Ausfall zu sicherheitstechnisch nachteiligen Folgen führen kann, nicht bestimmt.


3.9 (2) 
Hierzu müssen mindestens zwei Netzanschlüsse für die elektrische Energieversorgung des Kernkraftwerks vorhanden sein. Diese Netzanschlüsse müssen funktional getrennt sowie schutztechnisch entkoppelt sein. Soweit sich die Schalter der Netzanschlüsse zwischen Kraftwerk und Netz nicht im Verantwortungsbereich des Genehmigungsinhabers befinden, ist durch den Genehmigungsinhaber mittels geeigneter Maßnahmen sicherzustellen, dass die Auslegung der Netzanschlüsse den sicherheitstechnischen Anforderungen des Kernkraftwerkes entspricht.


Zusätzlich zur elektrischen Energieversorgung aus den Netzanschlüssen und dem Blockgenerator müssen für das Sicherheitssystem, die Notstandseinrichtungen und weitere für die Sicherheit erforderliche Einrichtungen zuverlässige Notstromanlagen mit Dieselaggregaten, Batterien, Gleichrichtergeräten und Umformern vorhanden sein, die die elektrische Energieversorgung dieser Einrichtungen bei Ausfall der Netzeinspeisung und des Blockgenerators gewährleisten.


Die Notstromanlagen sind redundant, räumlich getrennt, grundsätzlich unvermascht, voneinander funktionell unabhängig und gegeneinander geschützt aufzubauen. Dabei muss die Redundanz der Notstromanlagen mindestens der Redundanz der zu versorgenden verfahrenstechnischen Einrichtungen entsprechen. Die Kapazität jeder Batterie jeweils einer Redundanz ist so auszulegen, dass eine Entladezeit für mindestens zwei Stunden für die Ereignisse der Sicherheitsebenen 2 bis 4a sichergestellt wird.


Eine Vermaschung der einzelnen Stränge der Notstromanlagen ist im Einzelfall dann zulässig, wenn nachgewiesen ist, dass die Zuverlässigkeit des Notstromsystems dadurch nicht unzulässig gemindert wird. Dabei ist darauf zu achten, dass keine in Betracht zu ziehende Versagensmöglichkeit mehr als einen Strang ausfallen lassen kann.


Zusätzlich dazu ist eine Möglichkeit der elektrischen Energieversorgung vorzusehen, die unabhängig von diesen Versorgungsmöglichkeiten die elektrische Leistung für die Abführung der Nachwärme mit einer Nachkühlredundanz sicherstellt (Notstrom-Netzanschluss).


3.9 (3) 
Bei der Auslegung von Komponenten, die elektrische, elektromechanische oder elektromagnetische Bauteile sowie einfach aufgebaute analog-elektronische Baugruppen enthalten, sind die Potentiale für systematische Ausfälle dieser Komponenten zu analysieren. Es sind Vorkehrungen zur Minderung der Eintrittswahrscheinlichkeit systematischer Ausfälle derart zu treffen, dass ein systematischer Ausfall nicht mehr unterstellt werden muss oder aber die Auswirkungen systematischer Ausfälle sind zu beherrschen.


Bei der Auslegung von Komponenten, die komplexe elektronische Baugruppen (programmierbar oder nicht programmierbar) enthalten, sind fehlervermeidende und fehlerbeherrschende Vorkehrungen auf Komponentenebene sowie gegebenenfalls fehlerbeherrschende Vorkehrungen auf Systemebene zu ergreifen, sodass redundanzübergreifende systematische Ausfälle auf Systemebene der jeweils betroffenen Sicherheitsebene verhindert werden.


Hinweis:


Einfach bedeutet hier, dass sowohl die Funktion sowie das Ausfallverhalten der Komponente auf Basis der Gesetzmäßigkeiten der Elektrotechnik deterministisch bestimmbar sind.


Komplex bedeutet hier, dass sowohl die Funktion sowie das Ausfallverhalten der Komponente auf Basis der Gesetzmäßigkeiten der Elektrotechnik nicht mehr deterministisch bestimmbar sind.


3.9 (4) 
 Die notwendige elektrische Energieversorgung für die Durchführung der geplanten Maßnahmen des anlageninternen Notfallschutzes ist für einen Zeitraum von 10 Stunden ohne externe Hilfe sicherzustellen.


Durch Maßnahmen und Einrichtungen des anlageninternen Notfallschutzes ist die Wiederherstellung der elektrischen Energieversorgung nach einem Ausfall der nicht durch Batterien gepufferten elektrischen Energieversorgung sicherzustellen.


Zur Gewährleistung der elektrischen Energieversorgung bei längerer Nichtverfügbarkeit der o. g. Netzanschlüsse oder aller externen Netze sind Ersatzmaßnahmen vorzusehen, sodass spätestens nach drei Tagen die elektrische Energieversorgung mit diesen übernommen werden kann. Die dafür benötigten Einrichtungen sind entweder auf dem Kraftwerksgelände oder im Nahbereich der Anlage vorzuhalten und gegen Einwirkungen von außen zu schützen. Für diese Einrichtungen der elektrischen Energieversorgung sind mindestens zwei geeignete Einspeisepunkte vorzusehen.


Die bereitzustellende elektrische Leistung muss ausreichen, um die Nachwärme im jeweiligen Anlagenzustand mit den Systemen oder den geplanten Maßnahmen des anlageninternen Notfallschutzes unter Beachtung der Anforderungen der Nummer 2.5 (1) abzuführen.


3.10
Anforderungen an die Handhabung und Lagerung der Brennelemente


3.10 (1) 
 Die Kontrolle der Reaktivität bei der Brennelementhandhabung und -lagerung ist auf den Sicherheitsebenen 1 bis 4a, bei Einwirkungen von innen und außen sowie bei Notstandsfällen in allen Betriebsphasen sicherzustellen.


3.10 (2) 
Es sind Maßnahmen und Einrichtungen zur Handhabung und Lagerung der unbestrahlten und bestrahlten Brennelemente derart vorzusehen, dass ein Kritikalitätsereignis in den Lagereinrichtungen auch unter Störfallbedingungen, bei Einwirkungen von innen und außen sowie bei Notstandsfällen nicht zu unterstellen ist.


3.10 (3) 
Die Kühlung der Brennelemente ist auf den Sicherheitsebenen 1 bis 4a, bei Einwirkungen von innen und außen sowie bei Notstandsfällen in allen Betriebsphasen sicherzustellen.


3.10 (4) 
Die Nachwärmeabfuhr aus dem Brennelementlagerbecken muss in allen Betriebszuständen auch bei Ausfall der primären Wärmesenke aufgrund von Ausfallursachen im Bereich der Kühlwasserentnahmen und Kühlwasserrückführungen durch eine diversitäre Wärmesenke sichergestellt werden (gegebenenfalls auch durch verschiedene Wärmesenken in Kombination). Die hierfür benötigten Einrichtungen müssen mindestens den Anforderungen an Notfallmaßnahmen genügen; deren Wirksamkeit ist nachzuweisen.


Die Verfügbarkeit dieser diversitären Wärmesenke muss auch bei den Einwirkungen von außen gewährleistet sein.


3.11
Anforderungen an den Strahlenschutz


3.11 (1) 
Im Kernkraftwerk müssen die personellen, organisatorischen, räumlichen und apparativen Voraussetzungen gegeben sein, um eine hinreichend genaue und zuverlässige Strahlenschutzüberwachung in der Anlage auf allen Sicherheitsebenen im erforderlichen Umfang gewährleisten zu können.


3.11 (2) 
 Im Kernkraftwerk müssen die personellen, organisatorischen und apparativen Voraussetzungen gegeben sein, um im jeweils erforderlichen Umfang Art, Menge und Konzentration der mit der Fortluft und dem Abwasser abzuleitenden radioaktiven Stoffe hinreichend genau und zuverlässig zu überwachen, zu registrieren sowie die Ableitung erforderlichenfalls zu begrenzen.


3.11 (3) 
Es müssen die personellen, organisatorischen und apparativen Voraussetzungen gegeben sein, um eine Strahlenschutzüberwachung der Umgebung auf den Sicherheitsebenen 1 bis 4 und bei Einwirkungen von innen oder außen sowie bei Notstandsfällen im erforderlichen Umfang hinreichend schnell, genau und zuverlässig durchführen zu können.


3.11 (4) 
Im Kernkraftwerk müssen Maßnahmen und Einrichtungen vorgesehen sein, die eine sichere Handhabung, Einschließung und Lagerung der unbestrahlten und bestrahlten Brennelemente und sonstiger radioaktiver Stoffe ermöglichen. Diese Maßnahmen müssen so konzipiert und diese Einrichtungen so beschaffen, angeordnet und abgeschirmt sein, dass eine unzulässige Strahlenexposition des Eigen- und Fremdpersonals und in der Umgebung sowie die Freisetzung radioaktiver Stoffe in die Umgebung verhindert wird.


Dabei sind die Anzahl und Dauer von Tätigkeiten des Personals in Strahlungsfeldern und die Möglichkeiten der Personenkontamination und Inkorporation unter Berücksichtigung aller Umstände des Einzelfalls so gering wie möglich zu halten.


3.11 (5) 
Auslegung und Betrieb der Anlage sind so zu planen, dass der Anfall von radioaktiven Abfällen und von schadlos zu verwertenden radioaktiven Stoffen nach Aktivität und Menge unter Berücksichtigung aller Umstände des Einzelfalls so gering wie möglich gehalten wird.


3.11 (6) 
 Bei der Planung von Maßnahmen des anlageninternen Notfallschutzes sind Maßnahmen zur Reduzierung der voraussichtlichen radiologischen Auswirkungen unter Berücksichtigung aller Umstände des Einzelfalls einzubeziehen, sofern Freisetzungen in die Umgebung zu besorgen sind.


3.11 (7) 
Kernkraftwerke müssen so beschaffen sein, dass sie unter Einhaltung der Strahlenschutzbestimmungen stillgelegt werden können. Es muss ein Konzept für eine Beseitigung nach der endgültigen Stilllegung unter Einhaltung der Strahlenschutzbestimmungen vorhanden sein.


Zu berücksichtigende Betriebszustände und Ereignisse


4.1
Betriebszustände, Störungen und Störfälle


4.1 (1) 
 Der Auslegung der gemäß Nummer 2.1 (3a) auf den Sicherheitsebenen 1 bis 3 zu verwirklichenden Maßnahmen und Einrichtungen sind jeweils zu Grunde zu legen:


in der Sicherheitsebene 1 zu erwartende Betriebszustände, einschließlich von Prüfzuständen,


in der Sicherheitsebene 2 Ereignisse, deren Eintreten während der Betriebsdauer der Anlage zu erwarten ist sowie


in der Sicherheitsebene 3 ein abdeckendes Spektrum an Ereignissen, deren Eintreten während der Betriebsdauer der Anlage auf Grund der Zuverlässigkeit und Wirksamkeit der vorhandenen Maßnahmen und Einrichtungen nicht zu erwarten, jedoch dennoch zu unterstellen ist.


4.1 (2) 
 Die Auslegung der jeweiligen Maßnahmen und Einrichtungen muss derart erfolgen, dass für die zu berücksichtigenden Betriebszustände und Ereignisse unter Berücksichtigung festgelegter Randbedingungen nachgewiesen wird, dass die jeweilig geltenden sicherheitstechnischen Nachweisziele und Nachweiskriterien (siehe Anhang 2) erfüllt werden.


4.1 (3) 
Die Vollständigkeit und der abdeckende Charakter der zu betrachtenden Ereignisse sind anlagenspezifisch zu gewährleisten.


Hinweis:


Siehe hierzu Anhang 2.


4.1 (4) 
Für definierte Ereignisse können optional Nachweise dahingehend geführt werden, dass durch spezielle Vorsorgemaßnahmen der Eintritt dieser Ereignisse als verhindert bewertet werden kann. Diese Ereignisse sind in den Ereignislisten im Anhang 2 gesondert gekennzeichnet.


Qualität und Zuverlässigkeit der zu treffenden Vorsorgemaßnahmen hat sich an den potentiellen Auswirkungen zu orientieren.


Bei Ereignissen, deren Eintreten bei Vorhandensein spezieller Vorsorgemaßnahmen verhindert ist, ist die Nachweisführung auf die Einhaltung der Anforderungen an die Wirksamkeit und Zuverlässigkeit der hierzu realisierten Vorsorgemaßnahmen zu beziehen.


Hinweis:


Siehe hierzu Anhang 2.


4.2
Einwirkungen von innen und außen sowie aus Notstandsfällen


4.2 (1) 
Der Auslegung der Einrichtungen gemäß Nummer 2.4 (1) sind zu Grunde zu legen:


a)
die jeweils folgenschwersten Einwirkungen von innen oder zu unterstellender Einwirkungen von außen;


b)
die Besonderheiten lange andauernder Einwirkungen von außen;


c)
Kombinationen mehrerer zu unterstellender Einwirkungen von außen (z.B. Erdbeben, Hochwasser, Sturm, Blitz) sowie aus Notstandsfällen untereinander oder Kombinationen dieser Einwirkungen mit anlageninternen Ereignissen (z.B. Rohrleitungsbruch, Brände in der Anlage, Notstromfall). Diese Kombinationen müssen dann unterstellt werden, wenn die zu kombinierenden Ereignisse in einem kausalen Zusammenhang stehen können oder wenn ihr gleichzeitiges Eintreten auf Grund der Wahrscheinlichkeit und des Schadensausmaßes in Betracht zu ziehen ist.


4.2 (2) 
Als die folgenschwersten Einwirkungen von außen sind diejenigen Einwirkungen zu unterstellen, die nach dem Stand von Wissenschaft und Technik standortspezifisch anzunehmen sind. Dabei ist auch die zukünftige Entwicklung der Eigenschaften des Standortes im Hinblick auf die zu betrachtenden Einwirkungen von außen einzubeziehen.


4.3
Ereignisse mit Mehrfachversagen von Sicherheitseinrichtungen


4.3 (1) 
 Zur Ermittlung der repräsentativen Ereignisabläufe für die Planung von präventiven Maßnahmen des anlageninternen Notfallschutzes sind im Rahmen einer Gesamtbetrachtung die Ergebnisse aus deterministischen und probabilistischen Sicherheitsanalysen, Betriebserfahrungen sowie Ergebnisse der Reaktorsicherheitsforschung und internationale Empfehlungen heranzuziehen. Dabei sind die Ereignisabläufe, die nach den Ergebnissen probabilistischer Sicherheitsanalysen einen dominierenden Beitrag zur Kernschmelzhäufigkeit liefern und darüber hinaus insbesondere diejenigen, die zur unmittelbaren Freisetzung radioaktiver Stoffe in die Umgebung führen können, zu berücksichtigen.


4.3 (2) 
 Das der Planung von präventiven Maßnahmen des anlageninternen Notfallschutzes zugrunde zu legende anlagentypspezifische Spektrum von Ereignisabläufen muss mindestens Ereignisse aus den folgenden Ereignisgruppen umfassen:


Transienten,


Kühlmittelverluststörfälle innerhalb des Sicherheitsbehälters infolge der maximal zu unterstellenden Lecks am Reaktorkühlkreislauf,


Kühlmittelverluststörfälle mit Umgehung des Sicherheitsbehälters und


Einwirkungen von außen und innen, soweit diese Einwirkungen zu Mehrfachausfällen von Sicherheitseinrichtungen führen können.


Unter Annahme eines Mehrfachversagens von Sicherheitseinrichtungen sind die für die Planung heranzuziehenden repräsentativen Ereignisabläufe zu bestimmen.


4.3 (3) 
 Für die Planung von präventiven Maßnahmen des anlageninternen Notfallschutzes zur Wiederherstellung und dem Erhalt der Kühlung der Brennelemente im Brennelementlagerbecken sind insbesondere Ereignisabläufe mit


vollständigem Ausfall der auf den Sicherheitsebenen 1 bis 3 vorhandenen Systeme zur Wärmeabfuhr aus dem Brennelementlagerbecken sowie


Kühlmittelverlust aus dem Brennelementlagerbecken mit Unterschreitung des zum Betrieb der Systeme zur Wärmeabfuhr erforderlichen Mindestfüllstands


zu unterstellen.


4.3 (4) 
Für die unter den Nummern 4.3 (2) und 4.3 (3) genannten Ereignisabläufe ist bei der Planung von präventiven Maßnahmen des anlageninternen Notfallschutzes die Möglichkeit des vollständigen Ausfalls jeweils einer der zur Beherrschung der Ereignisse auf der Sicherheitsebene 3 erforderlichen Sicherheitsfunktionen zu analysieren. Dabei sind getrennt jeweils der Ausfall der erforderlichen Sicherheitseinrichtungen sowie zum anderen der Ausfall jeweils einer der für die Sicherheitseinrichtungen gegebenenfalls erforderlichen Versorgungsfunktionen zu analysieren.


4.4
Unfälle mit schweren Brennelementschäden


4.4 (1) 
Für die Planung von mitigativen Maßnahmen des anlageninternen Notfallschutzes der Sicherheitsebene 4c ist ein Ereignisspektrum zu Grunde zu legen, das alle relevanten Phänomene bei Unfällen mit schweren Brennelementschäden berücksichtigt.


Dabei sind insbesondere Phänomene zu berücksichtigen, die die Integrität des Sicherheitsbehälters sowie im Falle der Lagerung bestrahlter Brennelemente im Brennelementlagerbecken außerhalb des Sicherheitsbehälters die bauliche Hülle gefährden.


Darüber hinaus sind Phänomene zu berücksichtigen, die Auswirkungen auf die Freisetzung radioaktiver Stoffe und mögliche Freisetzungspfade in die Umgebung haben.


4.4 (2) 
 Für den Fall, dass für Ereignisabläufe oder Anlagenzustände keine Notfallmaßnahmen vorgeplant wurden oder die implementierten Notfallmaßnahmen nicht wirksam sind, sind Handlungsempfehlungen für den Notfallstab vorzuhalten. Die prinzipielle Eignung der Handlungsempfehlungen zur Erreichung der Schutzziele ist zu zeigen.


Anforderungen an die Nachweisführung


5.5 (1) 
Der Genehmigungsinhaber muss über Nachweise zur Sicherheit der Anlage verfügen.


Die Nachweisführungen müssen vollständig und nachvollziehbar dokumentiert werden. Sie sind, soweit geboten, zu aktualisieren.


Hinweis:


Konkretisierungen hierzu sind in Anhang 5 dargestellt.


5 (2) 
Zur Nachweisführung der Erfüllung der technischen Sicherheitsanforderungen sind deterministische Methoden sowie die probabilistische Sicherheitsanalyse heranzuziehen:


Die deterministischen Methoden umfassen


a)
die rechnerische Analyse von Ereignissen oder Zuständen,


b)
die Messung oder das Experiment,


c)
die ingenieurmäßige Bewertung.


5 (3) 
Als Grundlage für Nachweisführungen müssen vorliegen:


a)
eine aktuelle Zusammenstellung der sicherheitstechnisch wichtigen Informationen über den bestehenden Zustand der betroffenen Maßnahmen und Einrichtungen sowie


b)
eine Dokumentation, dass der bestehende Zustand der betroffenen sicherheitstechnisch wichtigen Maßnahmen und Einrichtungen die aktuell geltenden Anforderungen erfüllt.


5 (4) 
Bei der rechnerischen Analyse von Ereignisabläufen oder Zuständen müssen


a)
für den jeweiligen Anwendungsbereich validierte Berechnungsverfahren verwendet sowie


b)
mit der Berechnung verbundene Unsicherheiten quantifiziert oder durch geeignete Verfahren abgedeckt werden.


5 (5a) 
 In Ergänzung der deterministischen Nachweisführungen muss durch probabilistische Sicherheitsanalysen (PSA) die Ausgewogenheit der sicherheitstechnischen Auslegung überprüft werden.


5 (5b) 
In Ergänzung der deterministischen Nachweisführungen müssen probabilistische Sicherheitsanalysen zudem durchgeführt werden, um die sicherheitstechnische Relevanz


von Änderungen an Maßnahmen, Einrichtungen oder der Betriebsweise der Anlage sowie


von Erkenntnissen, die aus aufgetretenen sicherheitsrelevanten Ereignissen oder Phänomenen bekannt geworden sind und deren Übertragbarkeit auf die im Anwendungsbereich der „Sicherheitsanforderungen an KKW“ benannten Kernkraftwerke in Deutschland gegeben ist,


bei denen ein nennenswerter Einfluss auf die Ergebnisse der PSA zu erwarten ist, zu bewerten.


5 (5c) 
 Durch Änderungen an Maßnahmen, Einrichtungen oder der Betriebsweise der Anlage darf sich die mittlere Kernschadenshäufigkeit und die mittlere Häufigkeit für große und frühe Freisetzungen für den Leistungs- und Nichtleistungsbetrieb, unter Einbeziehung aller anlageninternen Ereignisse sowie aller Einwirkungen von innen und außen sowie aus Notstandsfällen gegenüber dem ungeänderten Zustand der Anlage nicht verschlechtern.


5 (6) 
Eine Messung oder ein Experiment kann als Nachweis herangezogen werden, wenn


a)
die Übertragbarkeit der experimentellen Bedingungen auf die Anlagenzustände des jeweiligen Anwendungszusammenhangs qualifiziert ist und


b)
die mit der Messung verbundenen Unsicherheiten quantifiziert sind.


5 (7) 
Ingenieurmäßige Bewertungen können bei Nachweisführungen herangezogen werden, wenn hierzu ein Bewertungsmaßstab vorliegt, der auf technisch-wissenschaftlich nachvollziehbaren Grundlagen beruht.


5 (8) 
Die ergonomische Gestaltung der Voraussetzungen für zuverlässiges Handeln gemäß Nummer 3.1 (13) muss mit geeigneten Bewertungsverfahren nachgewiesen werden.


Anforderungen an das Betriebsreglement


6 (1) 
Für den sicheren Betrieb einer Anlage sind schriftliche Anweisungen zu erstellen, in denen festgelegt sind:


a)
Ein hinreichend vollständiger Satz an Vorgaben, bei deren Einhaltung gewährleistet ist, dass die Auslegung, die Überwachung und der Betrieb der Anlage den Sicherheitsanforderungen und Bedingungen der Genehmigung entspricht. Die Vorgaben müssen insbesondere verfahrenstechnische Grenzwerte, einzuhaltende Anlagenzustände, Wirksamkeits-, Verfügbarkeits- und relevante Randbedingungen sicherheitstechnisch wichtiger Anlagenteile umfassen (Grenzwerte und Bedingungen des sicheren Betriebs).


Die Festlegung der Grenzwerte und Bedingungen des sicheren Betriebs muss nachvollziehbar auf der Basis der Anlagenauslegung, der Sicherheitsanalysen, der Genehmigungsbedingungen und der Erfahrungen aus Inbetriebnahme und Betrieb begründet sein. Die Festlegung der Grenzwerte und Bedingungen des sicheren Betriebs muss alle Betriebsphasen umfassen.


b)
Handlungsanweisungen für den Fall von Abweichungen von Grenzwerten und Bedingungen des sicheren Betriebs.


c)
Die Vorgaben, die einzuhalten sind, um Ereignisse der Sicherheitsebenen 2 bis 4a, Ereignisse aus Einwirkungen von innen und außen sowie Notstandsfällen zu vermeiden sowie zu beherrschen. Die Vorgaben müssen alle Maßnahmen beinhalten, die zur Erhaltung sowie zum Erreichen eines sicheren Anlagenzustands erforderlich sind.


d)
Die implementierten Notfallmaßnahmen und Handlungsempfehlungen des anlageninternen Notfallschutzes. Die Einstiegskriterien für deren Anwendung sind festzulegen. Es müssen Kriterien festgelegt sein, anhand derer festgestellt werden kann, ob die langfristige Einhaltung der Schutzziele gewährleistet oder ein langfristig kontrollierbarer Anlagenzustand erreicht ist.


e)
Die erforderlichen wiederkehrenden Prüfungen an sicherheitstechnisch wichtigen Maßnahmen und Einrichtungen.


f)
Die für die Gewährleistung eines sicheren Anlagenbetriebs relevanten organisatorischen Regelungen (Aufbau- und Ablauforganisation).


g)
Die Mindestanforderungen an die Anzahl und die Qualifikation des Personals sowie die personellen Mindestverfügbarkeiten in der Anlage zur Sicherstellung eines sicheren Anlagenbetriebs und der Beherrschung von Ereignissen der Sicherheitsebenen 2 bis 4. Dabei sind auch auslösende Ereignisse oder Folgeereignisse von Einwirkungen von innen und außen sowie Notstandsfällen und Personenunfälle zu berücksichtigen.


h)
Die organisatorischen Voraussetzungen für den anlageninternen Notfallschutz.


6 (2) 
 Die Unterlagen gemäß Nummer 6 (1) müssen für das Personal auf der Warte und gemäß Nummern 6 (1) Buchstabe a bis d auf der Notsteuerstelle in leicht zugänglicher und in übersichtlicher Form bereitgestellt sein.


Alle für die Arbeit des Notfallstabs erforderlichen Unterlagen sind in den Räumen des Notfallstabes verfügbar zu halten.


6 (3) 
 Die Unterlagen gemäß Nummer 6 (1) sind aktuell zu halten. Für die Aktualisierung oder Änderung der Unterlagen ist ein geregeltes Verfahren vorzusehen, das den Erfahrungsrückfluss und Fortentwicklungen des Standes von Wissenschaft und Technik berücksichtigt.


6 (4) 
Entsprechend ihrer sicherheitstechnischen Bedeutung müssen für alle sicherheitstechnisch wichtigen Einrichtungen Spezifikationen, Auslegungsvorschriften, Werkstoffvorschriften, Bauvorschriften und Prüfvorschriften sowie Betriebsvorschriften und Instandhaltungsvorschriften vorhanden sein.


In den Prüfvorschriften sind Vorprüfungen, Werkstoffprüfungen, Bauprüfungen, Druckprüfungen, Abnahmeprüfungen und Funktionsprüfungen sowie regelmäßig wiederkehrende Prüfungen im Einzelnen festzulegen.


Die Einhaltung dieser Vorschriften ist im Rahmen eines Qualitätsgewährleistungsprogramms zu überwachen. Das Ergebnis der Qualitätsüberwachung mit den Ergebnissen der Prüfungen ist zu dokumentieren. Die zur Beurteilung der Qualität notwendigen Unterlagen über Auslegung, Fertigung, Errichtung und Prüfungen sowie Betrieb und Instandhaltung der sicherheitstechnisch wichtigen Einrichtungen sind bis zum Abbau der Einrichtungen verfügbar zu halten.


Anforderungen an die Dokumentation


7 (1) 
Der Genehmigungsinhaber muss eine systematische, vollständige, qualifizierte und aktuelle Dokumentation des Zustandes des Kernkraftwerks verfügbar halten.


Hinweis:


Konkretisierungen hierzu sind in Anhang 5 dargestellt.





Anlagen (nichtamtliches Verzeichnis)

Anlage: Hauptteil der Vorschrift

Anhang 1: Begriffsbestimmungen

Anhang 2: Zu berücksichtigende Ereignisse

Anhang 3: Anforderungen an den Schutz gegen Einwirkungen von innen und außen sowie aus Notstandsfällen

Anhang 4: Grundsätze für die Anwendung des Einzelfehlerkriteriums und für die Instandhaltung

Anhang 5: Anforderungen an die Nachweisführung und Dokumentation