Petten: Het risico was een factor 500 hoger

Volkskrant 20 oktober 2014

Volkskrant 20 oktober 2014

 

De kerncentrale in Petten is in het nieuws. De Volkskrant publiceert over de (on)veiligheid van de centrale. Ik heb de informatie daarover uit de krant. De veiligheidsproblematiek die daarin naar voren komt is heel herkenbaar. Ik vat mijn interpretatie van het artikel kort samen:

 

De kerncentrale kent een 2oo3 (‘2 out of 3’) beveiliging voor het alarmeren (en normaal gesproken ook een automatische ingreep) van een mogelijk ontsnappen van radioactief gas naar de atmosfeer. Dat zou ernstig zijn en daarom is een ultiem betrouwbare beveiliging ontworpen en geïnstalleerd. 2oo3 Betekent dat er 3 onafhankelijke metingen zijn geïnstalleerd. Indien twee van de drie de alarmwaarde overschrijden wordt er gealarmeerd en (automatisch) actie genomen die het gevaar moet afwenden. Een dergelijke beveiliging functioneert als een 1oo2 beveiliging. Immers bij zowel 2oo3 als bij 1oo2 wordt er nog ingegrepen als één van de metingen faalt. Aan 2oo3 wordt vaak de voorkeur gegeven boven 1oo2 om de frequentie van vals alarm/ actie te verkleinen. Voor de kenner: deze beveiliging zal zeker (moeten) voldoen aan SIL 2 volgens IEC 61508. Hieraan is een voldoende lage faalkans (gemiddeld lager dan 1:500 bij aanspreken) en een periodiek testinterval gekoppeld.

  • Eén meting van de drie (‘lampje’ nr. 2 volgens de krant) gaf aan dat er een probleem was. Voor een dergelijke beveiliging dient dat dan op korte termijn onderzocht te worden. Dat is niet gebeurd. De Volkskrant daarover:

Dan drukt hij (de operator, CP) nóg een keer op de resetknop, en nog eens. ‘Wel tig keer’, vertelt hij later aan de inspecteurs van de Kernfysische Dienst. Uiteindelijk houdt het geknipper op. Lampje uit: probleem verdwenen. Misschien is er iets mis met de schakeling of met de elektrische spanning op het meetinstrument, denkt de controlekamer. Dat is geen acuut probleem en kan bij de volgende onderhoudsbeurt van de reactor worden bekeken. In de werkvergadering die later die dag door allerlei deskundigen van de Hoge Flux Reactor wordt bijgewoond, spreekt niemand die conclusie tegen.


  • Twee weken later geeft dezelfde meting (die knipperde) een hogere waarde aan dan de andere twee metingen van het 2oo3 systeem.  In onderling overleg komt men tot de conclusie dat nummer 2 stuk moet zijn. Als een maand later  (11 juli) de kerncentrale wordt stilgelegd voor onderhoud blijkt dat niet meting 2, maar juist de metingen 1 en 3 defect zijn. Dat betekent dat de beveiliging als geheel defect was. Immers er moeten twee metingen boven de alarmwaarde zijn om in te kunnen grijpen. Er was nog slechts één meting actief. Bij het niet beschikbaar zijn van een SIL 2 beveiliging gaat het risico gemiddeld met een factor 500 omhoog en komt daarmee boven een acceptabel risico niveau dat de centrale zelf gesteld heeft. We spreken hier over het risico van een radioactief gas ontsnapping naar de atmosfeer. Dit probleem is niet tijdig gemeld aan de toezichthouder KFD (pas op 19 juli).

ANALYSE

Op basis van de schaarse informatie en mijn eigen ervaring kom ik tot de volgende voorlopige analyse:

  • De norm NEN IEC 61508 voor instrumentele beveiligingen is niet goed geïmplementeerd. Kennis erover is blijkbaar ook bij de instrumentatie dienst beperkt.
  •  Er zijn intussen twee stafleden zijn ontslagen omdat zij de veiligheidsprocedures niet hebben gevolgd.  Ik vrees dat het hier vooral gaat om het te laat melden aan de KFD. Dat late melden had trouwens geen gevolg, de centrale was al buiten bedrijf. Het zou natuurlijk moeten gaan over nalatigheid met het volgen van de procedures rond de 2oo3 beveiliging.
  • Het ontslaan van mensen is geen beproefd middel om de veiligheid te verhogen. De problemen in de organisatie blijven bestaan. Wie is daarvoor verantwoordelijk? Niet de stafleden, het gaat altijd om lijn managers. De directie van NRG spreekt achteraf van een tekortschietende veiligheidscultuur. Let wel: Het belangrijkste element van veiligheidscultuur is ‘zichtbaar en betrokken leiderschap’. Over de stand daarvan deed de directie geen uitspraak…
  • In de krant lees ik verder het volgende. De Volkskrant:  ‘Als later de inspecteurs van de Kernfysische Dienst langskomen om te achterhalen wat er in Petten allemaal is misgegaan, vragen ze de operators waarom ze niet naar de meting zelf hebben gekeken. Gewoon, de getallen op de meter beoordelen om te begrijpen wat er aan de hand is. Het verbluffende antwoord is dat geen mens weet wat die cijfers voorstellen. ‘Niemand heeft feeling met de waarden’.  Dit en het bovenstaande betekent op zijn minst dat de volgende achterliggende factoren (‘latente fouten’ volgens Tripod) in de bedrijfsvoering zijn geslopen:

– Onvoldoende kennis bij de operators en instrumentatie afdeling

– Onvoldoende toezicht op het volgen van de procedures

– Onvoldoende risicobewustzijn door routine

– Onvoldoende risico communicatie

Het ontslaan van stafleden helpt niet dit serieuze veiligheidsprobleem aan te pakken. Er zijn structurele veranderingen nodig.

 

Over Chris Pietersen

Na de studie (TU Delft) in dienst bij Shell: process control/ safety. Vervolgens bij TNO werkzaam op het vakgebied risico analyse en veiligheid. Daar gefunctioneerd als internationaal expert. Ter plaatse de rampen in Bhopal en Mexico City onderzocht. In 1993 onderscheiden als TNO Senior Research Fellow. Later lid van de Adviesraad Gevaarlijke Stoffen (AGS) en senior onderzoeker bij de Onderzoeksraad voor Veiligheid. Thans directeur/eigenaar en procesveiligheid consultant bij Safety Solutions Consultants (SSC, een voormalig TNO bedrijf). Boek: 'De twee grootste industriële rampen' (2010). Engelstalige, versie gepubliceerd in India (december 2013).
Dit bericht werd geplaatst in Uncategorized en getagged met , , , , , . Maak dit favoriet permalink.

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit /  Bijwerken )

Google+ photo

Je reageert onder je Google+ account. Log uit /  Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit /  Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit /  Bijwerken )

Verbinden met %s