חלפה מעל שנה מאז התקרית הקשה בפוקושימה שביפן, במהלכה חלה התכה מוחלטת של ליבות שלושה מתוך שישה כורים גרעיניים עקב פגיעת גל צונאמי ענק, תוך גרימת נזק סביבתי עצום והותרת ציבור עצום ללא קורת גג.
להבדיל מתאונות גרעיניות אחרות - לדוגמה אי שלושת המיילים וצ'רנוביל - בפוקושימה נשברו כל תיאוריות ועקרונות הבטיחות של כורים גרעיניים. בתאונות האחרות או שהנזק לא היה משמעותי הודות למורכבות נמוכה של האירוע (אי שלושת המיילים), או שהנזק היה אדיר אך זה קרה דווקא עקב היעדר אמצעי בטיחות מינימליים (צ'רנוביל). בפוקושימה קרה משהו אחר לגמרי, משהו בלתי צפוי כלל, שכן הכורים כללו שלל מערכות גיבוי ובטיחות ו-"הכל היה לפי הספר" (פחות או יותר, אם כי היו כשלים כמו למשל אחסון כמות כפולה של מוטות דלק משומשים בתוך הכור, מעבר לתקן המותר - אך זה לא היה גורם הכשל אלא רק העצים את הנזק הסביבתי לאחריו).
בכדי להבין את משמעות הטענה - יש להבין את הנחת היסוד העומדת בבסיס תכנון בטיחותם ואבטחתם של כורים גרעיניים. עקרון ההסתברות עקרון ההסתברות עומד בבסיס כל פעולה יום-יומית שלנו וכל החלטה שאנו מקבלים, מושפעת משיקולים של "מהי ההסתברות שיקרה משהו לא מתוכנן?" (קיימת כאן סתירה מסויימת, שכן אם הוא איננו מתוכנן, הכיצד אנו מתכוננים אליו בכל זאת?). מהי הסתברות "סבירה"? זהו מושג סובייקטיבי שבעיקרו, מוגדר כאוסף תרחישים שהציבור יהא מוכן לקבל אותן מבלי לבוא בטענות שלא היתה הערכות הולמת. זה נשמע קצת מוזר, קצת מתחמק וקצת חסר אחריות - אך זהו הבסיס לכל מערך הגנה ובטיחות המקיף אותנו בחיי היום-יום, תחת התשובה ההגיונית ש-"אי אפשר להיות ערוכים עד אינסוף לכל דבר בעולם ויש דברים שמעולם לא נוכל לצפות מראש". עקרון הסתברות זה עומד, בין היתר, בלב הגדרות בטיחות ובטחון בכורים גרעיניים ומבוסס על ההסתברות להתרחשות כשלים שונים במערכות ו/או התרחשות אסון טבע או כזה הנגרם מרשלנות או פיגוע.
כיצד עקרון זה כשל כאן ובעצם שינה את כל התפיסה? בכדי להבין זאת, יש להבין שכל רכיב בכור הדורש הגנה (למשל ליבת הקור הזקוקה לקירור), מוגן באמצעים המוגדרים על פי ההסתברות להתרחשות סוגים שונים של אסונות המשפיעים על הרכיב ועל אותם אמצעים. אם נביט בליבת הכור, הרי שמערכות הקירור האמונות על שמירת טמפרטורה יציבה בה עשויות להתקלקל, ולכן הן מגובות באמצעות משאבות חירום ומשאבות החירום מגובות על ידי גנרטורים המספקים להן חשמל, למקרה שהכור עצמו לא יוכל לספק חשמל עבורן. מדוע הוחלט שתהיינה משאבות חירום וגרנטורי חירום? משום שקיימת הסתברות גבוהה לכשל המשאבות הראשיות וקיימת הסתברות גבוהה לכשל אספקת החשמל האוטונומית של הכור. כשל זה הוא טבעי ועשוי לנבוע מעייפות החומר או מתקלה טכנית כלשהי מעשה ידי אדם וכיוב'. מאחר ואזור פוקושימה ידוע כאזור בלתי יציב גיאולוגית, במסגרת תחשיבי ההסתברות עלה הצורך בהתקנת מספר משאבות ומספר גנרטורים - בכדי להגדיל את כמות הגיבוי ולהקטין לפיכך את ההסתברות לכשל שכן גם אם תקרוסנה המשאבות הראשיות וגם אם תקרוסנה משאבות החירום - הרי שתהיינה עוד משאבות חירום נוספות לגבות אותן ויהיו עוד גנרטורים נוספים לספק חשמל. זהו בעצם גיבוי של הגיבוי. כמו כן, נלקחה בחשבון ההנחה שהכורים מחוברים לרשת החשמל הארצית היפנית וגם במקרה של כשל נוסף - תמיד תהא אספקת חשמל חיצונית וניתן יהא להפעיל את המשאבות.
נוסף על כל אלו, ליבת הכור ותא הלחץ הוקפו בעוד שכבת מגן של גוף ההכלה, אשר נועד להכיל את הליבה גם במקרה של קריסה. תא הלחץ תוכנן על פי מודלים של הסתברות כשל ותחשיבים שונים של "טיב הכשל", תוך קיומן של הנחות יסוד לגבי טמפרטורת החומר שיפרוץ מהליבה והסיכוי לכשל בקירור בדרגות מסויימות.
בסה"כ - אפשר לומר שנערכו בכור כמעט לכל תרחיש של כשל, נזק, רעידת אדמה או אף פגיעת גלים - כאשר המבנים והכור הוגבהו במידה מסויימת, תחת הנחת קיומם של גלים עד גובה מסויים. לכאורה - אין לבוא בטענות כלפי הממשלה או חברת TEPCO, שכן בכור באמת היו מערכות גיבוי והכל היה "על פי התקן".
אז מהי בעצם הטעות בבסיס כל זה? עד כמה שזה ישמע לא סביר - עצם הטעות היא ההנחה שישנו אוסף סביר של תרחישים ואליו אנו צריכים להיות מוכנים, תוך פטירת עצמנו מאחריות במידה וקורה אוסף תרחישים שלא צפינו או שלא היה סביר. כור גרעיני איננו יכול להתקיים תחת הנחת ההסתברות הנכונה לתחומים אחרים וכור גרעיני מוכרח להיות נשלט - יהא אשר יהא ויקרה אשר שיקרה.
מה שבעצם קרה בפוקושימה, הוא ששלל מערכות הגיבוי היו מוכנות אך הן כולן היו במקום אחד (במקרה זה מרתף הכורים) ובעצם מעולם לא נלקח בחשבון מקרה שבו גם כל מערכות הקירור הראשיות תכשלנה, *גם* כל מערכות הגיבוי המשניות תפגענה במקביל *וגם* תנותק אספקת החשמל החיצונית. תרחיש זה אולי נשמע בלתי סביר אם מכפילים את ההסתברות שכל אחד מהאירועים יתרחש בפני עצמו (כשל רב מערכתי בבת אחת כמעט בלתי אפשרי), אך לפני שנה הוא הוכח כסביר עד מאוד.
כיצד זה קרה?
1. רעידת האדמה ב-11 למרץ, גרמה נזק כבד לחמש מערכות אספקת החשמל החיצוניות של הכור והשביתה אותן. 2. גל צונאמי חסר תקדים בגובה 15 מטרים הרס את כל משאבות הקירור שישבו לאורך קו החוף והשבית אותן. 3. אותו גל הציף את חדר הטורבינות של הכור והציף את מרתף הכור, בו ישבו גנרטורי דיזל ומצברים שאמורים היו לספק חשמל חירום במקרה כשל. 4. הרס מערכות הקירור הראשיות, גנרטורי החירום ומערכת החשמל החיצונית - ניתקו את הכורים לחלוטין מאספקת חשמל. 5. מערכות גיבוי נוספות שכללו מערכות אוורור, מערכות התזת חומצה בורית (חומר מנטרל ליבה) ומערכות שאיבת מים מחלל הכור - כולן היו שם אך לא פעלו, בהעדר החשמל שהיה נקודת הכשל המשותפת לכל מערכות הגיבוי. 6. כל מערכות הגיבוי היו מערכות כבדות שהתבססו על מים כגורם קירור (גם הגנרטורים) וכל מערכות סילוק החום התבססו על אספקת מים. כשל של מערכות אספקת המים השבית את מערכות הגיבוי. 7. גנרטורי חירום שהובאו למקום, לא יכלו לספק חשמל הן משום שלוחות החשמל אליהם היו אמורים להתחבר היו קבורים תחת מי הים, והן משום שמעגלי החשמל של כורים תוצרת חברת General Electric הם מעגלי 660 וולט, בעוד שגנרטורי החירום היפניים הניידים מספקים כולם 220 וולט. ניסיון לניתוב חשמל מחדר הבקרה שנותר שלם יחסית, עלה בתוהו בדיוק מאותה סיבה. 8. הליבות התחממו יתר על המידה בהעדר כל קירור והזרמת מים (המים שהציפו את הכורים לא הגיעו לליבה שכן הכורים מוקפים תא לחץ אטום). 9. הליבות הותכו תוך התכת מיכל הלחץ הראשי של הכור ומעטפת סגסוגת הזירקוניום של מוטות הדלק התחמצנה במגע עם הקיטור, תוך פליטת כמות אדירה של מימן (תוצר לוואי של ההתחמצנות). 10. החומר הלוהט התיך את מיכל ההכלה שאמור היה להגן על ליבה שהותכה והמימן נפלט לבניין הכור, תוך גרימת פיצוצים עזים במהלך הימים הבאים של האסון. פיצוצים אלו בעצם היו העדות לפריצת מיכל ההכלה, שכן לולא היה נפרץ, לא היה המימן נפלט לאוויר. 11. סוף פסוק - שלושה כורים הותכו, יצאו מכלל שליטה וחומר רדיואקטיבי לוהט נפלט לחלל האוויר ולקרקע ומי התהום תחת מבנה הכור.
למרבה האירוניה ולגמרי במקרה והודות לשיקול דעת מוטעה, נותר גנרטור דיזל אחד מקורר אוויר במקרה בחוץ, על גבעה סמוך לכור מספר 6 והוא היה שם משום שחברת TEPCO נדרשה להתקין מערכות גיבוי נוספות אך ביקשה לחסוך כסף ואז נתברר שגנרטור החירום לא יוכל להכנס למרתף, ולכן מיקמו אותו על גבעה. גנרטור זה שימש לקירור כורים מספר 5 ו-6 ואפשר את כיבויים ההדרגתי באורח נס של ממש - שכן הוא לבדו סיפוק די חשמל כדי להצילם אף כי הוא לא היה מספיק חזק למעשה למשימה זו והחזיק מעמד ממש אפילו כאשר המים הגיעו עד למחצית גובהו. כמו כן, כור מספר 4 בעצם לא הותך היות ומוטות הדלק הוצאו ממנו לרגל תחזוקה זמן מה לפני האסון והפיצוץ במבנה של הכור נבע מחדירת מימן מכור מספר 3 שהותך.
מהי המסקנה המתבקשת מכך?
המסקנה המתבקשת מהאירוע היא שלא משנה עד כמה ננסה לצפות את התרחישים הסבירים, יש להערך לכל תרחיש, בלתי סביר ככל שיהא, תוך שמירת אפשרות כיבוי הכור בכל מקרה ובכל מצב, תחת כל תנאי קשה ככל שיהא.
הכשל הראשי והמוביל בפוקושימה, היה הערכת ההסתברויות להתרחשות רעידת אדמה חזקה וגל צונאמי. הערכה זו הוגבלה בשיאה לרעידת אדמה בעצמה מסויימת ולגל בגובה עד לא יותר מ-10 מטר (שכן זו היתה התצפית המקסימלית בשנים האחרונות). במסגרת ההנחה, היות והסיכוי לאסון טבע קשה יותר מאלו הוא כה נמוך - הרי שהכור הונדס לשרוד תנאים אלו אך לא יותר (בין היתר משיקולים כלכליים) ובוודאי שלא תוכנן לשרוד התרחשות של שני התנאים הללו יחד (רעידת אדמה וצונאמי).
הכשל השני בפוקושימה היה הנחה בדבר הסתברות הכשל של אספקת החשמל ממקורות שונים, תוך התקנת גנרטורי חירום והסתמכות עליהם ועל רשת החשמל החיצונית. כשל ברמה שבה גם הם יכשלו וגם רשת החשמל החיצונית תכשל, נראה בלתי סביר.
הכשל השלישי היה הנחה שיש די מערכות קירור וגיבוי קירור, שאיבה ותרסיסי חומצת בורית, ללא התייחסות להסתברות הכשל הראשון של רשת החשמל. תחשיב ההסתברות של כשל מערכות הקירור לא הביא בחשבון את כשל מערכות החשמל ולכן בעצם הניח את אפשרות פעולתן של מערכות הגיבוי בכל מצב - מה שלא התקיים בפועל.
מופרך ככל שזה ישמע - הדרך היחידה להבטיח בטיחות כורים גרעיניים הנה בניית מגוון מערכות גיבוי כה גדול - עד אשר יהא זה בלתי אפשרי להשבית את כולן בבת אחת (למעט כמובן פגיעת מטאור ענק בכור ודברים כה איומים שהתכת הכור תראה משחק ילדים מולם). הנחה שגורסת כי הכור יכול לעמוד רק בפני דברים סבירים היא הנחה מאוד בעייתית שכן ברגע שמגיע משהו פחות סביר - אין לנו מענה לכך.
הפתרון היחיד עבור כורים הנו קיומם של מגוון אמצעי אספקת חשמל (בטכנולוגיות שונות במקביל - דיזל, גז, רוח), באתרים מרובים - הן באתר הכור והן מחוצה לו, במרחק קצר ובמרחק גדול שיגן עליהם בפני פיצוצים מקומיים וכיוב'. על אתרים אלו להיות מחוברים במגוון אפיקי אספקה, מוגנים ברמות שונות של הגנה ותוך קיום מיתוג אוטומטי (מאחר ואין לסמוך על יכולת גישה לאזור הכור או קישור לחדר הבקרה) והעדר תלות זה בזה (כלומר - אסור למשל למערכת ייצור חשמל חירום להיות תלויה בקירור מים שעשוי לכשול עקב היעדר אספקת חשמל...).
על אמצעי הקירור לעמוד בדרישות דומות תוך היעדר תלות הדדית ותוך קיום אמצעי אספקת מים חליפיים במאגר חירום, למקרה של כשל בגישה למאגר המים הראשי וכן תוך קיום מעגל מים משני בתוך הכור, למקרה של כשל מעגל הקירור הראשי. כמו כן, יש לאפשר קירור אוויר או כל אמצעי אחר כחלופה למים, לפחות במערכות המאפשרות זאת.
על ליבת הכור ומיכל ההכלה להיות מתוכננים לעמוד בטמפרטורות מקסימום, ללא הנחת יסוד לגבי קירור סביר או בסיסי של הליבה ותוך עמידה בתנאים השליליים ביותר האפשריים - שכן זהו מעטה הבטחון האחרון שנותר.
ואחרון ברשימה אך החשוב ביותר - על הליבה לאפשר כיבוי מהיר ואוטונומי, גם ובמיוחד במקרה של נתק מחדר הבקרה ואובדן השליטה הישירה בכור, באמצעות מעגל כיבוי וקירור חירום נוסף המופעל באופן מיידי עם אובדן הקשר עם חדר הבקרה, תוך הורדת מוטות בקרת הריאקציה (מוטות גרפיט/בורון הסופגים ניוטרונים ומשמשים לבקרת התגובה בכור) באופן מלא ומיידי לחלל הכור (המתנה עשויה לגרום להתחממות אשר תביא לעיוות מנגנון השליטה במוטות וחוסר יכולת להורידם) ותוך הפעלת קירור חירום מיידי וניקוז הקיטור החוצה מתא הלחץ. עצם הצורך בהפעלת מערך החירום מחדר הבקרה הנו נקודת כשל, שכן פגיעה בתשתיות התקשורת עם חדר הבקרה עשויה להביא לאובדן שליטה וחוסר יכולת הפעלת מערכת הגיבוי.
והמחיר?
מחיר מערך הגיבוי האמור מעלה גבוה, אך מחיר הכשל גבוה בהרבה.
למרבה האירוניה, גופים כמו TEPCO מגייסים שוב את תורת ההסתברות בתחשיב המחיר ומחשבים את הנזק הכלכלי בטווח הקצר, אל מול ההסתברות לתאונה והעלויות הכרוכות בה. מאחר וההסתברות לתאונה גרעינית נמוכה ביותר, הרי שלא סביר להשקיע כספים כה רבים במניעתה, תחת ההנחה שממילא היא לא תתרחש בזמן הקרוב. הבעיה היא שברגע שזו מתרחשת, החברה איננה ערוכה לכך כלכלית ובעצם השליטה באירוע גרעיני עשויה להפגע היות ומלכתחילה לחברה לא עומדים די כספים בכדי לפעול במהירות והצעד הראשון בו נוקטת החברה היא הכחשה וניסיון טיוח - במקום לגייס מיד את מלא האמצעים ולעצור את המשבר כל עוד ניתן. בדיקה קצרה תעלה לרוב כי הגופים הראשונים אליהם פונה החברה במקרים כאלו, הנם יועצי תקשורת ויועצים משפטיים - בניסיון להכיל את הנזק הכלכלי - במקום לפנות למהנדסים וגופי חירום.
מקרה דומה אירע בחברת General Motors, שנתגלה לגביה לאחר שריפת רכב נוסעים שייצרה, כי זו ערכה סקר הסתברות לכשל במיכל הדלק ועלות זימון כל הרכבים לתיקון, ומסקנות הסקר היו כי לחברה יהא יותר משתלם להתמודד עם תביעות נזיקין (באם תהיינה כאלו) מאשר לזמן את כל הרכבים בעולם לתיקון ולמנוע את אובדן חיי האדם. מופרך, הזוי ומזעזע ככל שזה ישמע - זהו הבסיס לתחשיבי הדרישות של אמצעי בטיחות הנהוגים ברכבים, מטוסים, רכבות, מכשירי מיקרוגל, תרופות ובערך כל מה שאתם משתמשים בו בחיי יום-היום שלכם. אגב - בתביעה נגד GM שהוגשה בגין השריפה נקבע פיצוי של כ-5 מיליארד דולר אשר כמעט והביא להתמוטטות החברה.
למקרה שלמישהו עלתה בראש המחשבה שאז אולי מוטב שכורים גרעיניים יהיו בבעלות ממשלתית - הרי שזהו מקרה אף גרוע יותר, שכן הממשלה הינה גוף המנסה לחסוך עד כמה שניתן ובעצם אין גוף המפקח על הממשלות. בהיעדר גוף המפקח על הממשלות (כמו למשל במקרה של "מפעל הטקסטיל" הגרעיני בדימונה) - אין בעצם כל ערובה לקיום דרישות מינימליות לבטיחות המתקן וגם במקרה של כשל - לעולם לא נדע האם היו כאלו והאם מישהו יתן את הדין (אם בכלל נזכה לראות שמישהו יתן את הדין ולא נמות ממחלת קרינה... ורק למזלנו הכור שם קטן יחסית).
השילוב הטוב ביותר במקרה של כורים ומתקנים דומים, הנו הפעלת הכורים בידי חברה פרטית אך תחת פיקוח ממשלתי ובינלאומי, כאשר כל רמת פיקוח מגבה את הרמה שתחתיה. רק בדרך זו, מושג פיקוח אמיתי וקיימת סנקציה אפשרית כנגד מפעילי הכור היה והם לא יעמדו בדרישות. כמובן שגם כאן יש טעם לפגם בהקשר של הון ושלטון, מה שלמשל קרה בחלק מהכורים ומפעלי הדלק הגרעיני בארה"ב - שם אירעו תאונות שנבעו מרשלנות אך מראש לא נמענו וטויחו עקב כוחן הכלכלי של החברות המנהלות מול הממשל.
ולסיכום אאחל לכולנו יום טוב :) |