Reaktorsicherheit

Das Risiko von Kernkraftwerken besteht im Wesentlichen im möglichen Austritt radioaktiver Stoffe in die Umgebung. Ein solcher Austritt kommt zum Einen durch die radioaktiven Emissionen im normalen Betrieb zustande. Zum Anderen kann er sich als Folge von kleineren oder größeren Störfällen bzw. Unfällen ergeben. Die Radioaktivitätsfreisetzung im Normalbetrieb ist allerdings so klein, dass darauf zurückzuführende gesundheitliche Schäden noch nie beobachtet wurden und nach heutigem Wissensstand solche Beobachtungen auch zukünftig nicht zu erwarten sind. Im Folgenden wird daher nur auf die Störfallsicherheit von Kernkraftwerken eingegangen.

Einen Austritt radioaktiver Stoffe möglichst zu verhindern, war von Anfang an das Ziel der sicherheitstechnischen Entwicklung von Kernkraftwerken. Dabei geht man von der Erkenntnis aus, dass ein gravierendes Versagen von technischen Einrichtungen nicht rein zufällig eintritt, sondern aufgrund einer Kette von Ursachen und Wirkungen. Sind diese Wirkungsketten bekannt, können sie gezielt unterbrochen werden. Wird ein solches Unterbrechen mehrfach und mit voneinander unabhängigen Maßnahmen vorgesehen, kann man insgesamt eine sehr hohe Sicherheit erreichen, da Fehler in einzelnen Schritten durch Funktionieren der anderen Schritte aufgefangen werden können. Dabei ist es gleichgültig, ob diese Fehler auf ein Versagen von Komponenten oder Systemen („technische Fehler“) oder auf Fehlhandlungen von Menschen („Bedienungsfehler“, „menschliche Fehler“, auch „organisatorische Fehler“) zurückzuführen sind. Man spricht von einem „mehrstufigen, fehlerverzeihenden Sicherheitskonzept“.

Dieser Ansatz wird bei Kernkraftwerken grundsätzlich weltweit verfolgt. Wie erfolgreich er ist, hängt allerdings ganz wesentlich davon ab, wie er umgesetzt wird. Im Folgenden wird das systematische Vorgehen bei modernen, westlichen Leichtwasserreaktoren beschrieben. Vor allem bei Reaktoren aus dem früheren Ostblock liegen zum Teil deutlich andere Verhältnisse vor.

Ausgangspunkt des Sicherheitskonzeptes der westlichen Leichtwasserreaktoren ist der Einschluss der radioaktiven Materialien in mehrfachen, einander umschließenden Barrieren (Mehrbarrierenkonzept) und die Gewährleistung der ausreichenden Integrität und Funktion der Barrieren durch ein System gestaffelter Maßnahmen (Konzept der Sicherheitsebenen). Dabei kommt immer wieder der gleiche Grundgedanke zum Tragen: Versagen die Schutzmaßnahmen in einer Ebene, soll dieses Versagen durch Schutzmaßnahmen auf der nächsten Ebene aufgefangen werden. Nur wenn die Maßnahmen auf allen Ebenen versagen, wird die (planmäßige) Rückhaltefunktion einer Barriere beeinträchtigt oder aufgehoben. Und wenn eine Barriere versagt, aus welchem Grund auch immer, soll die Störung durch die anderen Barrieren aufgefangen werden. Nur wenn alle Barrieren versagen, kann es zum Austritt größerer Mengen radioaktiver Stoffe kommen.

Abgerundet wird dieses Konzept durch vier ergänzende Maßnahmen:

• Den Grundsatz „Qualität trotz Mehrstufigkeit“: Für jede einzelne Barriere und Sicherheitsebene gibt es detaillierte Festlegungen der Funktionen und Aufgaben sowie der erforderlichen Qualität (einschließlich z. B. geforderter Sicherheitszuschläge bei der Auslegung von Systemen und Anlageteilen). Kompromisse gegenüber diesen Anforderungen infolge des Vorhandenseins anderen Barrieren oder Ebenen sind – unabhängig von der Qualität dort - unzulässig.

• Den Grundsatz „Fehler unterstellen trotz Qualität“: Trotz generell hoher Qualität wird grundsätzlich ein (technisches oder menschliches) Versagen unterstellt und entsprechende Auffangmaßnahmen werden vorgesehen.

• Die Konstruktion des Reaktorkernes so, dass sich ein selbststabilisierendes Verhalten der Kettenreaktion und damit der Leistungserzeugung ergibt (negative Rückkopplung, „inhärente Stabilität“; diese dient insbesondere auch zur Entkopplung der einzelnen Sicherheitsebenen).

• Schließlich wird das gesamte Sicherheitskonzept noch durch probabilistische Sicherheitsanalysen auf Wirksamkeit und Ausgewogenheit überprüft.

In westlichen Kernkraftwerken wurden in bisher rund 10 000 Reaktorbetriebsjahren insgesamt über 40 000 Milliarden kWh Strom erzeugt. Dabei ist es zu keinem einzigen Unfall mit gravierenden radiologischen Auswirkungen auf die Bevölkerung in der (nähern und weiteren) Umgebung gekommen. Das zugrunde gelegte Sicherheitskonzept hat sich als äußerst robust erwiesen.

In westlichen Leichtwasserreaktoren gibt es sechs Barrieren zum Zurückhalten der radioaktiven Stoffe:

• Das Kristallgitter des Brennstoffes

Bei den Kernspaltungen in einem Reaktor entstehen die Spaltprodukte gewissermaßen als Fremdatome im Kristallgitter des Urandioxids. Solange dieses intakt bleibt, werden sie (außer den gasförmigen Spaltprodukten, das sind aber nur ca. 5 %) sehr zuverlässig im Kristallgitter zurückgehalten.

• Die gasdicht verschweißten Hüllrohre der Brennstäbe

Das Urandioxid wird zu Tabletten gepresst, in etwa fingerdicke Rohre aus Zircaloy (Festigkeitseigenschaften ähnlich wie Stahl) eingefüllt und diese Rohre werden dann oben und unten gasdicht verschweißt. Solange alle Schweißnähte dicht sind und auch sonst kein Loch in einem Hüllrohr auftritt, halten die Hüllrohre alle Spaltprodukte in ihrem Inneren sicher zurück. Allerdings entstehen auch im Regelbetrieb trotz hoher Neutronenpermiabilität strukturelle Veränderungen durch Strahleneinwirkung und Korrossion. Somit erhalten ein kleiner Teil der Hüllrohre Risse die zum Austritt der gasförmigen Spaltprodukte führen können. Dies sind i.d.R. Isotope (Jod, Xenonx, Krypton) mit mittlerer Halbwertzeit.

• Den Reaktordruckbehälter mit anschließenden Rohrleitungen

Der Reaktordruckbehälter besteht aus einem ca.20 bis 25 cm dicken Spezialstahl. Zusammen mit den anschließenden Rohrleitungen bildet er ein geschlossenes Kühlsystem, in dem auch eventuell aus den Hüllrohren austretende Spaltprodukte eingeschlossen sind.

• Den thermischen Schild

Dieser dient vor allem der Abschirmung von Direktstrahlung aus dem Reaktorkern. Da er keine vollkommen geschlossene Konstruktion aufweist, kann er Spaltprodukte nur teilweise zurückhalten.

• Den Sicherheitsbehälter

Dieses gasdichte und druckfeste „Containment“ aus ca. 4 cm dickem Stahl (manchmal auch aus Spannbeton) ist so ausgelegt, dass es im Falle eines Lecks im Reaktorkühlkreis das gesamte austretende Wasser/Dampf-Gemisch mit allen darin eventuell enthaltenen Spaltprodukten sicher aufnehmen kann.

• Die umschließende Stahlbetonhülle

Der gesamte Sicherheitsbehälter wird von einer etwa 1,5 bis 2 m dicken Stahlbetonhülle umgeben, die vor allem Einwirkungen von außen – wie z. B. Zerstörungen durch einen Flugzeugabsturz – verhindern soll, aber natürlich auch radioaktive Materialien in seinem Inneren zurückhalten kann.

In anderen Reaktoren, insbesondere in solchen des ehemaligen Ostblockes, sind z. T. weniger und qualitativ schlechtere Barrieren vorhanden.

In modernen deutschen Kernkraftwerken gibt es vier Sicherheitsebenen: Die erste Ebene entspricht dem Normalbetrieb des Kraftwerkes. Hier sollen Störungen möglichst vermieden werden. Trotzdem wird unterstellt, dass Störungen auftreten. In der zweiten Ebene, dem so genannten „anomalen Betrieb“, wird dann das Ziel verfolgt, diese Störungen einzudämmen und zu verhindern, dass sie sich zu Störfällen ausweiten. Auch hier wird wieder systematisch unterstellt, dass dieses Ziel nicht erreicht wird und in der dritten Ebene, der Ebene der Störfallbeherrschung, werden Störfälle durch sehr zuverlässige eigene Sicherheitssysteme möglichst aufgefangen. Doch auch hier wird systematisch ein Versagen unterstellt und in der vierten Ebene wird mit so genannten „anlageninternen Notfallschutzmaßnahmen“ versucht, die Auswirkungen des Störfalles möglichst auf die Anlage selbst zu beschränken und einschneidende Maßnahmen in der Umgebung (insbesondere Evakuierung) nicht notwendig werden zu lassen.

Ein möglicher Mechanismus, der zum Versagen mehrerer Barrieren führen kann, ist eine Überhitzung des Reaktorkerns bis zum Schmelzen der Brennelemente (Kernschmelzunfall). Dadurch würden die vier erstgenannten Barrieren zerstört und längerfristig möglicherweise auch die beiden restlichen Barrieren. Gegen eine solche Überhitzung sind entsprechende Kühleinrichtungen erforderlich. Da ein Kernkraftwerk auch nach dem Abschalten durch den Zerfall der angesammelten radioaktiven Spaltprodukte noch Wärme produziert (sgn. Nachzerfallswärme, unmittelbar nach dem Abschalten sind das noch etwa 5 % der Nennleistung, nach 10 Stunden sind es noch ca. 0,5 % der Nennleistung, auch nach Monaten sind es noch nennenswerte Wärmemengen), müssen diese Kühleinrichtungen langfristig sicher funktionieren (Nachwärmeabfuhr). Auch diese Kühleinrichtungen sind mehrfach vorhanden und nur wenn hinreichend viele von ihnen versagen (und auch nicht durch Notfallmaßnahmen ersetzt werden können), kann es zu einer Kernschmelze kommen. Ein größerer radiologischer Unfall ist nur im Falle einer Kernschmelze möglich. Anderenfalls können höchstens relativ kleine Mengen radioaktiver Substanzen in die Umgebung entweichen.

Ein Fehler, der jedenfalls prinzipiell zur Beeinträchtigung der Nachwärmeabfuhr und damit zu einer Kernschmelze führen kann, ist ein Wasserverlust durch Austreten von Wasser aus einem Leck, z. B. durch Bruch einer Rohrleitung. Durch ausreichende Nachspeisung muss ein solches Leck sicher beherrscht werden. In der Frühzeit der Kernenergienutzung ging man davon aus, dass das schlimmste zu berücksichtigende Ereignis zur Gefährdung der Nachwärmeabfuhr der doppelendige Bruch der größten Rohrleitung sei. Ein solches Leck musste unterstellt werden (größter anzunehmender Unfall, GAU) und dagegen musste das Kernkraftwerk ausgelegt werden (Auslegungsstörfall). Ein GAU war also definitionsgemäß ein Ereignis, das (gerade noch) beherrscht wird, sodass bei seinem Eintritt keine Auswirkungen auf die Umgebung entstehen. Erst ein darüber hinausgehender Unfall, ein Super-GAU, würde die Umgebung beeinträchtigen.

Wenn dieser GAU beherrscht wird, so meinte man damals, würden auch alle anderen Störfälle sicher beherrscht werden. Heute weiß man, dass das nicht immer so sein muss und an Stelle des einen Auslegungsstörfalles ist ein ganzes Spektrum von Auslegungsstörfällen getreten, deren Beherrschung einzeln nachgewiesen werden muss. In Deutschland sind die Anforderungen in den sgn. Sicherheitskriterien und Störfall-Leitlinien detailliert geregelt. Dabei ist auch festgelegt, dass die Beherrschung stets auch dann gewährleistet sein muss, wenn eine Störfallbeherrschungsteileinrichtung durch einen zusätzlichen, vom auslösenden Störereignis unabhängigen (technischen oder menschlichen) Fehler funktionsunfähig sein sollte (Einzelfehlerkriterium) und wenn eine zweite Störfallbeherrschungsteileinrichtung gerade in Reparatur sein sollte (Reparaturkriterium). Diese beiden Kriterien stellen eine Präzisierung des Redundanzprinzips dar, demzufolge stets mehr Einrichtungen zur Störfallbeherrschung vorhanden sein müssen, als eigentlich benötigt werden. Damit sollen Funktionsausfälle abgedeckt werden. Außerdem müssen die Störfallbeherrschungseinrichtungen von den Betriebseinrichtungen getrennt und untereinander entmascht sein, d. h. sie müssen voneinander unabhängig (ohne gemeinsame Komponenten) und räumlich oder baulich getrennt angeordnet sein. Und, um mögliche Ausfälle aus gleicher Ursache zu vermeiden, müssen sie möglichst diversitär ausgeführt sein (Diversitätsprinzip). Zusammen mit anderen Anforderungen, wie Fail Safe Prinzip (ein Fehler wirkt sich möglichst in die sichere Richtung aus) und Automatisierung (Vermeiden von Personalhandlungen unter Zeitdruck), wird insgesamt ein sehr hohes Maß an Zuverlässigkeit der Störfallbeherrschung erreicht.

Natürlich bezieht sich Sicherheit nicht nur auf Ereignisse, die innerhalb der Anlage verursacht werden, sondern auch auf mögliche Einwirkungen von außen. Moderne deutsche Kernkraftwerke sind z. B. unter anderem gegen Erdbeben, Explosionsdruckwellen, Hochwasser, Flugzeugabsturz und terroristische Angriffe geschützt. Die Auslegungsanforderungen werden grundsätzlich standortspezifisch festgelegt und ihre Einhaltung wird in den Genehmigungsverfahren nachgewiesen. Speziell zum Flugzeugabsturz haben sich die Auslegungsanforderungen entsprechend der Weiterentwicklung der Flugzeuge im Laufe der Jahrzehnte verschärft. Bei älteren Kernkraftwerken wurden flugzeugabsturzgesicherte Notsteuerstellen (auch Notstandssysteme genannt) nachgerüstet, von denen die Anlage im Falle einer Zerstörung der Warte sicher abgefahren werden können. Nach dem Terroranschlag auf das World Trade Center wurde die Frage gestellt, ob die vorhandene Auslegung auch ausreichend gegen absichtlich zum Absturz gebrachte Großraumflugzeuge ist. Bei den neuen Anlagen, die gegen den Absturz schnell fliegender Militärmaschinen ausgelegt sind, wurde dies bestätigt. Auch bei älteren Anlagen (einschließlich der nachgerüsteten Notsteuerstellen) sind schwerwiegende Beschädigungen sehr unwahrscheinlich. Zur Zeit wird überlegt, ob die Sicherheit durch Vernebelungsanlagen, die bei Gefahr eines gezielten Flugzeugabsturzes aktiviert werden, weiter verbessert werden kann.

Für ein Kernkraftwerk lassen sich folgende drei Schutzziele definieren:

• Das oberste Schutzziel ist der Einschluss der Radioaktivität. Große radiologische Unfälle sind nur bei hinreichender Verletzung dieses Schutzzieles möglich. Solange die erste Barriere (Kristallgitter des Brennstoffes) erhalten bleibt, wird der weit überwiegende Teil der Radioaktivität sicher zurückgehalten und das Schutzziel ist ausreichend erfüllt. Durch das Vorhandensein der anderen Barrieren bedeutet eine Zerstörung des Kristallgitters aber noch nicht zwangsweise die Freisetzung großer Radioaktivitätsmengen.

• Eine Zerstörung des Kristallgitters in größerem Umfang ist technisch nur durch Schmelzen des Reaktorkerns (oder eines erheblichen Teils davon) möglich. Solange die Brennelemente ausreichend gekühlt werden, ist ein Schmelzen nicht möglich. Daraus ergibt sich das zweite Schutzziel: Kühlung der Brennelemente.

• Da die sicherheitstechnischen Kühlsysteme nur für die Abfuhr der Nachwärme (und nicht für den Leistungsbetrieb) ausgelegt sind, muss der Reaktor immer sicher abschaltbar sein. Daraus lässt sich als drittes Schutzziel ableiten: Kontrolle der Reaktivität (gemeint ist die Unterbrechung der Kettenreaktion von Kernspaltungen).

Werden diese drei Schutzziele hinreichend eingehalten, sind große radiologische Unfälle nicht möglich. Umgekehrt bedeutet ihre Verletzung noch nicht zwangsweise einen Unfall, doch ist ein solcher dann nicht mehr zuverlässig ausschließbar. Die Bedeutung dieser Schutzziele wurde insbesondere nach dem Störfall im Kernkraftwerk Harrisburg erkannt. Seitdem werden in westlichen Kernkraftwerken diese Schutzziele unabhängig vom vorliegenden Anlagenzustand und vom auslösenden Ereignis einer Störung gezielt überwacht. Bei Gefährdung der Schutzziele werden Gegenmaßnahmen eingeleitet. Dadurch werden auch solche Fälle abgedeckt, bei denen die Betriebsmannschaft die vorliegende Störung nicht erkennt oder falsch einschätzt.

Das beschriebene Sicherheitskonzept ermöglicht ein sehr hohes Ausmaß an Sicherheit sowohl gegen technisches Versagen als auch gegen menschliche Fehler. Aber Null im mathematischen Sinne kann das Risiko nie werden, da ein gleichzeitiges Versagen noch so vieler Sicherheitsvorkehrungen niemals ganz ausgeschlossen werden kann. Das bei einer gewählten Auslegung verbleibende Risiko bezeichnet man als „Restrisiko“. Bei modernen westlichen Kernkraftwerken ist es sehr viel kleiner, als zahlreiche andere Risiken des täglichen Lebens. Diese Risikobewertung wird in der Öffentlichkeit häufig anders vorgenommen, wird aber von den meisten Fachleuten getragen. Hier weicht die überwiegende wissenschaftliche Ansicht deutlich von der veröffentlichten Meinung ab.

Kernkraftwerke sind komplexe und große Anlagen. Ein modernes Kernkraftwerk z. B. versorgt etwa eine Million Menschen mit dem benötigten Strom. Wie in jeder Technik, ist es auch hier unvermeidbar, dass beim Betrieb immer wieder Störungen auftreten. Anfänglich waren es noch sehr viele Störungen, durch den Lerneffekt wurden es dann immer weniger, aber auch heute noch treten sie auf und auch in der Zukunft werden sie unvermeidbar sein. Aus ihrem Auftreten alleine kann man noch nichts über die Sicherheit einer Anlage aussagen. Das kann man erst aus einer sorgfältigen Analyse der Störungen und ihrer Begleitumstände. Diese sorgfältige Analyse zu betreiben, ist ein wesentlicher Teil der laufenden Überwachung und Verbesserung der Sicherheit. Die Kernenergie unterscheidet sich diesbezüglich grundsätzlich nicht von anderen risikobehafteten Techniken.

In der Geschichte der Kernenergienutzung ragen die beiden Ereignisse von Three Mile Island (Harrisburg) und Tschernobyl heraus. Dabei hat Three Mile Island die Effektivität des Konzeptes mit gestaffelten und voneinander unabhängigen Barrieren und mehrfachen Einrichtungen zum Schutz dieser Barrieren bestätigt: Das Ereignis war so nicht vorgedacht gewesen. Durch eine Verkettung mehrerer unglücklicher Umstände wurden die ersten vier Barrieren zerstört. Die restliche beiden (Sicherheitsbehälter und Stahlbetonhülle) aber hielten Stand und verhinderten schwerwiegende Auswirkungen nach außen. Relativ geringe Mengen Radioaktivität sind trotzdem in die Umgebung gelangt: Eine Rohrleitung des Wasserreinigungssystems aus dem Sicherheitsbehälter heraus ist – vom Betriebspersonal zunächst unbemerkt - von einer Automatik geöffnet worden. Außerdem hat die Abgasbehandlung des Hilfsanlagengebäudes nicht ganz richtig funktioniert und in ihr sind (störfallbedingt) Leckagen aufgetreten. Seitdem werden solche Rohrleitungen nicht mehr automatisch aufgesteuert und die Abgasbehandlungsanlagen wurden verbessert.

Tschernobyl verlief nicht nur ganz anders, sondern in Tschernobyl waren auch die Voraussetzungen ganz andere:

• Die Konstruktion des Reaktors (Typ RBMK) wies gravierende Mängel auf.

• Die Barrieren gegen den Austritt radioaktiver Substanzen waren viel weniger und qualitativ schlechter, insbesondere aber fehlten die beiden letztgenannten Barrieren Sicherheitsbehälter und Stahlbetonhülle praktisch vollkommen

• Es gab viel weniger Sicherheitseinrichtungen. Die Meisten waren zudem abgeschaltet/überbrückt um ein gefährliches Experiement zu ermöglichen, das schlussendlich zur Katastophe geführt hat.

• Die Betriebsvorschriften wurden vom Betriebspersonal weder verstanden noch eingehalten.

• Der Reaktor wurde zur Zeit des Störfalles für einen Versuch ausserhalb seiner Spezifikationen betrieben.

Ein Unfall wie in Tschernobyl kann in einem westlichen Kernkraftwerk sicher ausgeschlossen werden. Was in einem westlichen Kernkraftwerk passieren kann, wird durch dessen Konstruktion und die übrigen Randbedingungen bestimmt, nicht durch das Ereignis von Tschernobyl.

Die Sicherheit von Kernkraftwerken ist keine Naturkonstante. Sie ist abhängig davon, wie ein Kernkraftwerk konstruiert, gebaut und betrieben wird. Weltweit ist die Sicherheit von Kernkraftwerken seit ihrer Einführung 1956 durch Erfahrungszuwachs und Nachrüstungen deutlich gestiegen und diese Entwicklung hält noch weiter an. Seit 1994 wird in Deutschland darüber hinaus durch das geänderte Atomgesetz auch gefordert, dass bei neu zu errichtenden Kernkraftwerken auch über die Auslegung hinausgehende Störfälle (Kernschmelzunfälle) soweit eingedämmt werden müssen, dass sich ihre Auswirkungen im Wesentlichen auf das Kraftwerksgelände beschränken und in der Umgebung keine gravierenden Maßnahmen zur Risikobegrenzung (Evakuierungen) notwendig sind. Die neue deutsch/französische Gemeinschaftsentwicklung „European Pressurized Water Reactor“ (EPR) erfüllt diese Bedingungen. Ein solches Kraftwerk wird zur Zeit in Finnland gebaut und in Frankreich ist ein Bau beschlossen worden.

Absolute Sicherheit im mathematischen Sinn kann aber grundsätzlich nirgends, also auch nicht bei Kernkraftwerken erreicht werden. Es kann nur das Risiko als Produkt aus Wahrscheinlichkeit eines Unfalls und Folgen im Eintrittsfalle immer weiter gesenkt werden. Das ist bisher geschehen und wird auch weiter geschehen. Dabei wird sowohl die Sicherheit vorhandener Kernkraftwerke laufend verbessert, als auch werden verbesserte Konstruktionen für neue Kernkraftwerke entwickelt.

Ein Ende im laufenden Verbesserungsprozess ist nicht abzusehen. Seit Mai 2001 arbeiten mittlerweile 11 Länder in einem breit angelegten Gemeinschaftsprojekt unter Führung der USA im Rahmen des "Generation IV International Forum for Advanced Nuclear Technology (GIF)“ an weiterentwickelten Reaktorkonzepten. Mit erheblichem Aufwand werden insgesamt 6 verschiedene Reaktorkonzepte mit dem Ziel einer deutlich weiter erhöhten Sicherheit und verbesserten Wirtschaftlichkeit bei gleichzeitig verbesserter Brennstoffausnutzung und erhöhter Proliferationssicherheit verfolgt, außerdem werden die Möglichkeiten der nuklearen Wasserstofferzeugung untersucht. 2 dieser Konzepte sollen 2015 und die restlichen 4 sollen 2020 die Baureife für Demonstrationsanlagen erreichen. Ein kommerzieller Einsatz könnte dann vielleichrt 10 Jahre später erfolgen. Aber auch bei einem Erfolg dieses Programms wird das Risiko sich nicht auf Null drücken lassen. Die Risiken werden zwar (voraussichtlich) nochmals kleiner sein, aber die Notwendigkeit der Risikoabwägung wird auch dann noch bestehen.

Neben den oben genannten Weiterentwicklungen für KKW-Neubauten wurden auch die bestehenden Anlagen sicherheitstechnisch nachgerüstet, um auch auslegungsüberschreitende Ereignisse beherrschen zu können. Zu den prominentesten Maßnahmen zählen – neben diversen anderen, kleineren Maßnahmen - insbesondere

1. die Inertisierung des Sicherheitsbehälters bei SWR; hier wird während des Reaktorbetriebs der Sicherheitsbehälter mit reinem Stickstoff geflutet, bei einem Unfall mit Wasserstofffreisetzung eine Knallgasexplosion zu verhindern (Sauerstoffmangel).
2. die gefilterte Druckentlastung des Containments bei DWR; dabei kann im Fall eines Druckanstiegs im Containment (in diesem Fall das Reaktorgebäude) der Druck über einen Filter abgelassen werden um ein Übersteigen des Auslegungsdrucks (und damit ein Bersten) zu vermeiden. Durch die Filter wird die Freisetzung von Radioaktivität in einem solchen Fall minimiert. Umgangssprachlich wird die hierfür verwendete Vorrichtung nach dem seinerzeit amtierenden Bundesumweltminister Walter Wallmann als „Wallmann-Ventil“ bezeichnet.
3. der Einbau von kaltalytischen Rekombinatoren zum Wasserstoffabbau. Diese sollen das Wasserstoffgas noch vor dem Erreichen der Explosionsgrenze durch Rekombination abbauen. Alternativ wurden auch Systeme zum Zünden des Wasserstoffs unterhalb der Explosionsgrenze entwickelt, was ebenfalls zu einem „sanften“ Abbau des Wasserstoff führt; letzteres System wird umgangssprachlich nach dem früheren Umweltminister Klaus Töpfer als „Töpfer-Kerze“ bezeichnet.

In so genannten Probabilistischen Sicherheitsanalysen (PSA) wird versucht, das Risiko von Kernkraftwerken zu quantifizieren. Dabei wird mit sehr großem Aufwand ermittelt, mit welcher Zuverlässigkeit sich angenommene Störungen („auslösende Ereignisse“) mit den vorhandenen Sicherheitseinrichtungen „planmäßig beherrschen“ lassen. Für Absolutaussagen zur Sicherheit insgesamt sind die Ergebnisse wenig geeignet, da ein Überschreiten des „planmäßigen Beherrschens“ noch nichts über die dann eintretenden Folgen aussagt. Durch vorhandene Auslegungsreserven (unter anderem entsprechend den Sicherheitszuschlägen in der konventionellen Technik) werden bei geringfügigen Überschreitungen meist gar keine Folgen auftreten, doch wird dieser Bereich in den üblichen PSA nicht untersucht, er kann daher auch nicht quantifiziert werden. Eine PSA liefert insofern stets nur eine obere Grenze für das verbleibende Risiko, beziffert aber nicht das Risiko selbst. Das muss bei einer Bewertung der Ergebnisse stets mit bedacht werden. Wofür sich PSA aber sehr gut bewährt haben, sind vergleichende Sicherheitsbetrachtungen im Sinne vom Erkennen von möglichen Schwachstellen und Bewerten von geplanten Änderungen. Dadurch haben PSA zu vielen kleinen Verbesserungsschritten beigetragen und sind heute ein unverzichtbares Instrument der Weiterentwicklung der Sicherheit.

Nach der Deutschen Risikostudie der Gesellschaft für Reaktorsicherheit (GRS) von 1989 ist für eines der deutschen AKW alle 33.000 Betriebsjahre mit einem schweren Unfall zu rechnen. Werden 17 laufende AKW in Deutschland (Stand 2005) und 30 Betriebsjahre berücksichtigt, liegt die Wahrscheinlichkeit aus dieser Studie bei knapp 2 Prozent. Allerdings bleiben in dieser Studie mehrere Aspekte unberücksichtigt. Sabotagemaßnahmen oder panikbedingte Fehlentscheidungen des Personals wie in Harrisburg fließen nicht in die Berechnungen ein. Auch können unerwartete, da bislang unbekannte physikalische Phänomene nicht berücksichtigt werden. Hierzu zählt etwa die im Sicherheitskonzept seinerzeit nicht vorhergesehene Wasserstoffbildung in Siedewasserreaktoren durch sog. Radiolyse, die bei der Reaktorkatastrophe von Harrisburg eine Rolle spielte. Die GRS-Studie von 1989 wird von Atomexperten des Darmstädter Öko-Instituts dahingehend kritisiert, dass die Wahrscheinlichkeit einen schweren Unfalls hier als zu niedrig eingestuft wird.