Granskning av FKA:s ansökan om återstart av Forsmark 3 med anledning av elstörningen den 30 maj 2013

Tillsynsrapport Datum: 2013-06-24 Er referens: FKA-2013-0219 Diarienr: SSM2013-3414 Granska i tillsyn Forsmark 3 Ansvarig handläggare: Björn Gustafsson Arbetsgrupp: Urban Boström, Tage Eriksson, Parviz Ghasemi, Lars Gunsell, Klas Idehaag, Aino Obenius-Mowitz Samråd: Anne Edland, Leif Karlsson Godkänt av: Jan Hanberg Granskning av FKA:s ansökan om återstart av Forsmark 3 med anledning av elstörningen den 30 maj 2013 Sammanfattning Denna rapport utgör en granskning av Forsmarks Kraftgrupps (FKA) hemställan som inkom 2010-06-10 om start efter inträffad händelse för Forsmark 3. SSM:s samlade bedömning är att reaktorn åter kan tas i effektdrift under förutsättning att följande åtgärder genomförs: Kompensatoriska åtgärder nedan genomförs: - Vid bortfall av turbin eller planerad avställning ska subarna A/B eller C/D kopplas till 70 kv. - Då någon av inmatningarna från 70 kv eller 400 kv ej är driftklar skall en diesel startas och köras på eget nät. - Driftkriterier, driftorder, instruktioner för kommande driftsäsong ska uppdateras och berörd personal ska informeras och utbildas i de kompensatoriska åtgärderna. - Utökad övervakning i CKR av huvudspänningar så att alla 3 faser omfattas. Återstående kontroller av utvalda komponenter enligt [13] och [14] ska vara genomförda och ha utfallit med godkänt resultat. Strålsäkerhetsmyndigheten Swedish Radiation Safety Authority SE-171 16 Stockholm Tel:+46 8 799 40 00 E-post: registrator@ssm.se Solna strandväg 96 Fax:+46 8 799 40 10 Webb: stralsakerhetsmyndigheten.se

Sida 2 (31) I samband med föreliggande utredning har SSM identifierat följande frågeställningar som FKA behöver beakta i sina fortsatta utredningar och som behöver noteras som erfarenheter från hanteringen av händelsen: Störningsbeskrivning av händelsen bör kompletteras. (5.1.2, 5.3.4) FKA bör undersöka om felmekanismen i brytaren FT47 kan vara tecken på en begynnande åldring, möjligen vibrationsinducerad. (5.1.2) FKA bör samarbeta med SvK i arbetet med den fördjupade grundorsaksanalysen för att bättre kunna klarlägga grundorsakerna och föreslå motåtgärder. (5.1.2) Grundorsakerna till bristerna i detekteringsfunktionen bör analyseras vidare. (5.1.2) FKA behöver genomföra ytterligare analyser bl.a. för komplettering av SAR. (5.1.2, 5.2.1) FKA i sina fortsatta analyser och utredningar av händelsen behöver omhänderta nationella och internationella erfarenheter av olika typer av el-relaterade händelser för bedömning av hur dessa ska omhändertas i anläggningens konstruktion och säkerhetsanalys. (5.1.2) Lärdomar av arbetet och hanteringen i kontrollrummet, med avseende på - Hur förutsättningarna för tolkning av information i larmlistor och tablåer (specifikt för 10 kv-skena) uppfattades (fanns det t.ex. stöd för mönsterigenkänning). (5.3.1) - Förutsättningar för hantering av liknande händelser med andra personella förutsättningar. (5.3.1) Lärdomar av ledningen och styrningen av arbetet i den direkta hanteringen av händelsen, med avseende på värdering av behov av stöd i kontrollrummet samt övergripande instruktioners tillämpbarhet i liknande situationer. (5.3.2) Den orsaksbeskrivning som anges i kategori 1 rapport och tillhörande underlag behöver kompletteras baserat på resultatet från de fördjupade analyser som planeras. När tillräckliga analyser av orsaker genomförts kan slutsatser dras och sedan kan slutlig kategori 1 rapport tillsändas SSM. (5.3.3, 5.4.2) Kompletterande analyser bör göras för fasobalans orsakad av annan anledning än fel i brytare, t.ex. partiella fasspänningsdegraderingar i 70 eller 400 kv:s-matning p.g.a. hög övergångsresistans, kortslutning eller jordfel. (5.4.1) Tiden under vilket huvuddelarna av bristerna, i förhållande till kraven i SSM:s föreskrifter kvarstår, bör vara starkt begränsad. (5.4.1) FKA bör utreda möjligheten att skapa mer entydiga larm som gör det lättare för operatörerna att identifiera fasobalans i anläggningens elsystem samt latent fasobalans i redundant inmatningsväg (70 kv:s-nätet). (5.4.1) FKA bör överväga att på ett mer detaljerat sätt reglera hur kontrollerna av brytare utförs. (5.4.1) Tidssatt åtgärdsplan för långsiktiga åtgärder bör tillställas SSM. (5.4.2)

Sida 3 (31) Innehållsförteckning Sammanfattning... 1 Innehållsförteckning... 3 1 Bakgrund... 4 2 Syfte med granskningen... 4 3 Granskningens genomförande... 4 4 Krav... 5 5 Analys... 6 5.1 Analys av händelsen... 6 5.1.1 Händelseförlopp... 6 5.1.2 Fel, brister och bakomliggande orsaker... 8 5.2 Konsekvenser för anläggningen... 12 5.2.1 Säkerhetsfunktioner... 12 5.2.2 Komponenter med betydelse för säkerheten... 14 5.2.3 Personal... 15 5.3 Hantering av händelsen... 15 5.3.1 Operatörernas hantering av händelsen... 15 5.3.2 Ledningens hantering av händelsen... 16 5.3.3 Klassning och rapportering av händelsen... 17 5.3.4 Egenkontroll... 18 5.4 Åtgärder... 19 5.4.1 Åtgärder före uppgång... 19 5.4.2 Åtgärder på längre sikt... 25 6 Samlad bedömning... 27 Referenser... 29 Använda förkortningar och beteckningar... 30 Systemlista... 31

Sida 4 (31) 1 Bakgrund Torsdagen den 30:e maj inträffade en elstörning på Forsmark 3 som uppstod vid provning av huvudgeneratorns magnetiseringsutrustning med samtidigt fel i en av 400 kvställverkets aggregatbrytare. Forsmarks Kraftgrupp, FKA konstaterade att händelsen var av en sådan karaktär att den gav anledning att ifrågasätta anläggningens säkerhetsredovisning och klassificerade händelsen som kategori 1 enlig SSMFS 2008:1, 2 kap.och som kategori 1 på den internationella skalan för kärnkrafts- och strålningshändelser, INES. Detta innebar att FKA inte kan ta reaktor Forsmark 3 i drift innan de utredningar genomförts och de åtgärder vidtagits som behövs för att identifiera och undanröja eventuella brister, och att dessa är säkerhetsgranskade enligt bestämmelserna i SSMFS 2008:1 samt prövade och godkända av SSM. FKA inkom med en hemställan för återstart av Forsmark 3 måndagen den 10 juni 2013. I föreliggande granskningsrapport redovisas av FKA:s utredning och redovisning av störningen samt ansökan om återstart för Forsmark 3. Det finns även en grundad misstanke om att likartade fel kan inträffa för övriga kärnreaktorer i Sverige. SSM har begärt in en preliminär utvärdering av reaktorer vid Ringhals och Oskarshamn. 2 Syfte med granskningen Syftet med granskning är att ta fram ett underlag som ska ligga till grund för SSM:s ställningstagande och beslut om aktuell ansökan om att få ta anläggningen Forsmark 3 i drift efter den inträffade händelsen. Vidare är syftet att bedöma om ytterligare krav eller villkor bör ställas på FKA med anledning av den inträffade händelsen. 3 Granskningens genomförande Granskningen bygger på genomgång av de störningsanalyser som FKA inlämnat i samband med hemställan om återstart [1] och på SSM:s egna fördjupade analyser av speciellt viktiga frågor. Under granskningens gång har frågor och svar utväxlats mellan SSM och FKA och möten har hållits med syfte att förtydliga händelseförlopp, inträffade fel, genomförda analyser och prov samt åtgärdsförslag. SSM har även haft kontakt med STUK (Finland), Svenska Kraftnät (SvK) och NRC (USA) för att utbyta erfarenheter avseende hantering av liknande händelser. Granskningen är uppdelad på följande områden: - Analys av händelsen. Är händelsen tillräckligt utredd med avseende på vad som förorsakade händelsen, händelsens förlopp och de fel och brister som uppträtt i samband med händelsen? Är felorsakerna analyserade och har några generiska brister konstaterats?

Sida 5 (31) - Konsekvenser för anläggningen. Är händelsens påverkan på anläggningens utrustning och personal analyserad? - Hantering av händelsen. Har händelsen hanterats, utretts, granskats och rapporterats enligt SSMFS 2008:1? - Åtgärder. Är föreslagna åtgärder tillräckliga och underbyggda av erforderliga analyser? Har säkerhetsmässiga förbättringsmöjligheter på längre sikt identifierats? 4 Krav Följande specifika krav i föreskrifterna har tillämpats för SSMs bedömning i föreliggande granskningsrapport: SSMFS 2008:1 2 kap. 8 angående organisation, ledning och styrning SSMFS 2008:1 2 kap. 9 angående beslut i säkerhetsfrågor, förutsättningar för arbete och tillvaratagande av erfarenheter SSMFS 2008:1 3 kap. 1 angående tålighet mot felfunktion och händelse SSMFS 2008:1 3 kap. 3 angående konstruktionens anpassning till personalens förmåga att på ett säkert sätt kunna hantera och övervaka anläggningen SSMFS 2008:1 3 kap. 4 angående konstruktionen och klassningens anpassning efter säkerhetsbetydelsen SSMFS 2008:1 4 kap. 2 angående säkerhetsredoviningens innehåll SSMFS 2008:1 4 kap. 3 angående säkerhetsgranskning SSMFS 2008:1 5 kap. 2 angående instruktioner och deras ändamålsenlighet SSMFS 2008:1 5 kap. 3 angående underhåll, fortlöpande tillsyn och kontroll. SSMFS 2008:1 5 kap. 2 angående verifiering av anläggningens driftklarhet SSMFS 2008:1 5 kap. 4 angående utredning av händelser och förhållanden. SSMFS 2008:17 4 angående konstruktionens utformning inklusive rådrum SSMFS 2008:17 9 angående enkelfelstålighet SSMFS 2008:17 10 angående motverkandet av fel med gemensam orsak SSMFS 2008:17 14 angående dimensionering för att motstå händelser SSMFS 2008:17 18 angående kontrollrummets utformning SSMFS 2008:17 21 angående säkerhetsklassning SSMFS 2008:17 22 angående händelseklassning Utgångspunkten för de åtgärder som skall krävas som villkor för start av anläggningen är att säkerheten är återställd till den nivå som avsågs gälla före händelsen och att identifierade brister omhändertagits. Därtill skall erfarenheter av händelsen utnyttjas till att vidta eller utreda möjligheten att ytterligare förbättra säkerheten. Det senare hänförs till förbättringsmöjligheter på längre sikt.

Sida 6 (31) 5 Analys 5.1 Analys av händelsen 5.1.1 Händelseförlopp FKA:s redovisning/ SSM:s observationer I Forsmarks hemställan [1] om start efter inträffad kategori 1 bifogas två störningsrapporter [2], [3] med underliggande referenser. Dessa tillsammans med muntlig information [10] ger nedanstående bild av störningen. Bakgrund Under revisionsavställning den 30 maj 2013 befann sig Forsmark 3 i driftläge Kall Avställd Reaktor. Inneslutningskupol och reaktortanklock var demonterat, centralbassängen uppfylld med portar öppna till A- och E-bassäng. Resteffektkylning ombesörjdes av system 321 högtryckskrets kyld av 721/712 B/D-sub och system 324 kyld av 723/713. Driftklarhetskrav rådde på sub A och B medan det i sub C och D pågick underhållsarbete. Nödkraftdieslarna i C- och D-sub var funktionsklara men D enbart för automatisk start. Stationen kraftförsörjdes från yttre nät med 400 kv:s-matning från en av anläggningens parallella aggregatbrytare (AB), T31-E400-S. Den andra AB, T31-D400-S, var avställd liksom den alternativa inmatningsvägen från 70 kv. Fig. 1 Inmatningsvägar Forsmark 3 Reläskyddsprovning pågick av generatorns magnetiseringsutrustning och på grund av att provutrustning kopplades in till fel plint skickades Från-signal till AB som felfungerade genom att bara gå ifrån med 2 av 3 faser. Den kvarvarande tillslagna fasen medförde att övervakningsutrustning för spänning uppfattade spänningen som större än > 65% [11]. Översiktlig beskrivning av händelsen Kl 10:01 erhölls i kontrollrummet indikering för lägesfel på AB (T31-E400-S). När operatör lägger MK-ställare för brytaren i läge FRÅN kvarstår indikeringen för lägefel varvid han kontaktar Svenska Kraftnäts, SvK:s driftcentral som i sin tur kontaktar personal på plats i ställverk FT47. Spänningen på anläggningens 10 kv:s-skenor uppfattades som normal av kontrollrumspersonalen. Strax efter lägefelsindikering på AB (T31-E400-S) erhölls en mängd larm från ställverk och objekt i anläggningen som löste på fasobalans varpå även resteffektkylningen med 321 och 324 stoppade. Någon separering mellan ordinarie nät och dieselnät erhölls inte då skenorna inte har fasobalansskydd. Inte heller skenornas underspänningsskydd, som skall aktivera särskiljning av ordinarie och dieselnätet, trädde ikraft eftersom skyddet

Sida 7 (31) uppfattade det som om spänningsnivån mellan faserna översteg 65%. I kontrollrummet hördes ljud som operatörerna identifierade som typiskt för motorer som drivs med fasfel. Operatör i kontrollrummet lade till brytare för 321-pumparna kl 10.07 och startade mellan kl 10.15-10.26 dieselaggregaten B, A och C manuellt. Detta skedde subvis genom att dieseln startades innan brytare mellan ordinarie nät (ON) och dieselsäkrat nät (DN) lades ifrån varvid automatiken lade till diselgeneratorns brytare. Efter respektive dieselstart återställdes lokalt de utlösta objekt som krävdes för dieseldrift. Även utlösta objekt som krävdes för resteffektkylning med system 321 och med system 324 (t.ex. 713PA1/PB1, 723PA1/PB1) återställdes manuellt. D-dieseln startades kl 10.36 genom att operatör i kontrollrummet lade från brytare mellan ON och DN varvid automatiken för underspänning ombesörjde starten och spänningssättning av DN. Därpå återställdes övriga prioriterade objekt för tryckluft, ventilation och aktivitetsövervakning i normal omfattning. I ställverket FT47 konstaterade personal anlitad av SvK att en av faserna på AB låg till medan de andra två var från. Vid kontroll i ett manöverskåp upptäcktes en lös förbindning till AB som sattes fast. Försök utan framgång gjordes att från såväl kontrollrum som från lokalt kontrollrum slå till de två frånslagna faserna. Istället slogs brytaren ifrån för den kvarvarande fasen på AB (L1) med en direkt manöver på brytarens manöverdon. Detta gav underspänning på ON vilket i sin tur aktiverade underspänningsskydden. Därpå slogs AB till från kontrollrummet. B-subens lågspänningsbrytare på ON fick dock läggas till manuellt eftersom prov/drift-omkopplare för sekvensautomatiken låg kvar i läge prov efter utfört underhåll. Även C-subens lågspänningsbrytare till avfallet fick läggas till manuellt. Kl.10:44 var matningen av ordinarie nät från 400 kv återställd. Anläggningen var nu med avseende på anläggningens elsystem åter fullt spänningssatt. DN var frånkopplat från ON men spänningssatt av dieselgeneratorerna. Återställning gjordes mellan kl 10.45 11.30 av återstående prioriterade objekt som löst. Dieselskenorna behölls på eget nät och den parallella AB (400 kv brytaren T31-D400-S) återställdes så att parallell 400 kv matning erhölls. Efter driftklarhetsverifiering av bägge AB (T31-E400-S och T31-D400-S) togs beslut av driftledningen att återinkoppla matning av dieselskenan från ordinarie nät i samtliga subar. Senare, efter genomfört beslutsmöte (ODM), ändrades driftläggningen till drift med B- diesel på eget nät. SSMFS 2008:1 5 kap. 4 angående utredning av händelser och förhållanden. SSM bedömer att FKA:s redovisning beskriver händelsens förlopp och orsaker. Initieringen av händelsen liksom bidragande fel är klarlagt. Vidare finns tillräcklig beskrivning av anläggningens konstruktion med avseende på att stödja erhållet händelseförlopp. Vad det gäller bakgrunden och händelseförloppet är det beskrivet med en tillräcklig omfattning och ett djup som medför att händelsekedjan kan följas. Det finns dock brister i enskilda händelser som där orsak och/eller åtgärd inte beskrivs eller tillräckligt tydligt lyfts fram: I FT och FMs störningsanalys [3] anges att lågspänningsbrytare i B-sub inte gick till som förväntat per automatik när 10 kv:s-skena på ON spänningssattes. Detta p.g.a. att prov/drift-omkopplare kvarstod i läge prov efter genomfört FU. Några mer detaljerade uppgifter om anledningen till detta anges inte.

Sida 8 (31) Uppgiften om att C-subens lågspänningsbrytare till avfallet inte heller gick till som förväntat per automatik. Här anges att orsak till detta inte kunnat härledas. SSM:s slutsats av ovanstående bedömning är att inga ytterligare krav eller villkor behöver ställas på FKA innan återstart men anser att: Störningsbeskrivning bör kompletteras med uppgifter enligt ovan. 5.1.2 Fel, brister och bakomliggande orsaker Fel, brister och bakomliggande orsaker kan delas upp i följande delar vilka behandlas nedan: Fel i instruktion för mätning av spänningsreglerutrustning i huvudgeneratorns magnetiseringsutrustning. Fel i 400 kv-brytarens brytfunktion. Brist i detekteringsfunktion för underspänning på dieselsäkrat nät. Bristerer i SAR Fel i instruktion för mätning av spänningsreglerutrustning i huvudgeneratorns magnetiseringsutrustning FKA:s redovisning/ SSM:s observationer FKA redovisar i grundorsaksanalysen [11] att signalen från magnetiseringsutrustningen orsakades av att provutrustningen inkopplades till fel punkt. En bakomliggande orsak till felkopplingen var att provutrustningen för att genomföra tillståndskontrollen delvis bytts ut, men instruktionen (UIE-3407-001) hade inte formellt uppdaterats för den nya provutrustning som användes. En manuell anpassning hade gjorts för hand men denna anpassning var inte granskad eller godkänd och innehöll felaktigheter. En formell uppdatering av instruktionen hade nedprioriterats p.g.a. att magnetiseringsutrustningen ska bytas 2014. Arbetsledningen hade dock bedömt att instruktionen var korrekt och s.k. kamratkontroll i samband med uppkoppling upptäckte inte heller felet. SSMFS 2008:1 2 kap. 9 angående förutsättningar för arbete SSMFS 2008:1 5 kap. 3 angående underhåll, fortlöpande tillsyn och kontroll SSMFS 2008:1 5 kap. 4 angående utredning av händelser och förhållanden. SSM bedömer att redovisningen i grundorsaksanalysen [11] på denna punkt är acceptabel men ser fram mot den djupare grundorsaksanalys som FKA i störningsanalysen [2] har angett kommer att utföras senare. SSM bedömer vidare att nedprioriteringen av instruktionens formella uppdatering liksom de felaktigheter som infördes samt bristen i kontroller indikerar bristande kvalitetsmedvetande och brist i sakkunskap. Hur utbrett detta är och vad det bottnar i, liksom möjliga latenta svagheter i andra delar av anläggningen som dessa brister kan ha orsakat samt hur brister och svagheter skulle kunna korrigeras, förväntas framgå av den djupare grundorsaksanalysen. SSM:s slutsats av ovanstående bedömning är att inga ytterligare krav eller villkor behöver ställas på FKA innan återstart.

Sida 9 (31) Fel i 400 kv-brytarens brytfunktion FKA:s redovisning/ SSM:s observationer FKA redovisar i störningsanalysen [2] att en pol i brytaren T31-E400-S inte öppnade p.g.a. att en signalkabels anslutning mot en kopplingsplint i lokalt placerat manöverskåp för brytaren lossat. I grundorsaksanalysen [11] anges att vid underhållsarbete på brytaren så resistansmättes aktuell signalväg, inklusive plintanslutningar, utan anmärkning men det utfördes ingen kontroll av att kabeln satt fast eller att den aktuella plintens plintskruvar var åtdragna. Det konstateras vidare att det inte kan uteslutas att kabeln lossnat så att den inte längre hade kontakt p.g.a. de skakningar som normalt uppstår vid manöver av brytaren. I det aktuella fallet anges att det är troligt att kabeln lossat i samband med det avslutande driftklarhetsverifierande manöverprov som genomfördes efter genomfört underhållsarbete på brytaren. I störningsanalysen [2] har FKA angett att efter händelsen så kontrolldrogs alla plintar i manöverskåpen för de två aggregatbrytarna T31-400D-S och T31-400E-S och att detta är del i den s.k. skåpskontroll som genomförts efter händelsen. FKA har även informerat om att vid framtida underhållstillfällen så kommer kontrolldragning av alla plintar i motsvarande manöverskåp att ske. SSMFS 2008:1 5 kap. 4 angående utredning av händelser och förhållanden SSMFS 2008:1 2 kap. 9 angående tillvaratagande av erfarenheter SSMFS 2008:1 5 kap. 3 angående underhåll, fortlöpande tillsyn och kontroll En utredning ska enligt SSMFS 2008:1 5 kap.4 klarlägga orsakerna till en händelse så långt det är rimligt och möjligt. SSM bedömer att genomförd grundorsaksanalys [11] på ett trovärdigt sätt beskriver händelsen och bakomliggande orsaker i samband med genomförda arbeten i ställverket FT47. SSM anser även att FKA bör på längre sikt undersöka om felmekanismen kan vara tecken på en begynnande åldring, möjligen vibrationsinducerad. Det kan vara så att denna äldre typ av brytare manövreras relativt frekvent i Forsmark i förhållande till andra applikationer. FKA bör samarbeta med SvK i arbetet med den fördjupade grundorsaksanalysen för att bättre kunna klarlägga grundorsakerna och föreslå motåtgärder. SSM:s slutsats av ovanstående bedömning är att inga ytterligare krav eller villkor behöver ställas på FKA innan återstart men att: FKA bör undersöka om felmekanismen i brytaren FT47 kan vara tecken på en begynnande åldring, möjligen vibrationsinducerad. FKA bör samarbeta med SvK i arbetet med den fördjupade grundorsaksanalysen för att bättre kunna klarlägga grundorsakerna och föreslå motåtgärder. Brist i detekteringsfunktion för underspänning på dieselsäkrat nät FKA:s redovisning/ SSM:s observationer I störningsanalys [2] anger FKA att underspänningsautomatikens detekteringsfunktion inte kan koppla bort yttre matning till dieselsäkrat nät vid den aktuella typen av händelse. I [2] anges att denna typ av fel inte beaktats vid de analyser som initierats p.g.a. händelsen i Forsmark 2006-07-25. FKA har informerat att den aktuella detekteringsfunktionen är baserad på s.k. plusföljdsspänningsmätning av de tre huvudspänningarna. Förenklat kan funktionen beskrivas så att summan av huvudspänningarna bildar insignal till ett

Sida 10 (31) gränsvärdesdon inställt på ett värde som motsvarar < 65% av nominell spänning. D.v.s. funktionen förutsätter att de tre huvudspänningarna sjunker symetriskt vid fel. En motsvarande funktionalitet finns som underlag för återgång efter underspänning, om summan av de tre huvudspänningarna > 85%. Endast en underspänningsautomatik finns för varje sub och har samma uppbyggnad i alla fyra subbar. För att objektens driftklarhet ska kunna garanteras efter en underspänningshändelse krävs först att objekten inte skadas av underspänningen fram till tiden då den felbehäftade matningen från yttre nät kopplas bort. Eftersom ett stort antal av objekten är försedda med egna skydd så krävs vidare att dessa objektsskydd inte kopplar bort eller blockerar objektet innan den felbehäftade matningen från yttre nät kopplas bort. Detta kan utryckas så att överordnat skydd (underspänningsskyddet) med god marginal måste vara selektivt mot de underordnade objektsskydden. Om objekt skadas eller kopplas bort så kan de inte inom kort tid och med lätthet återställas. Detta utgör en stor CCF-risk. Valet av gränsvärde för underspänning har primärt valts med hänsyn till objektens tålighet mot symetrisk underspänning och objektskyddens inställning samt det lägsta värdet som dieselgeneratorns spänning kan sjunka till vid pålastning. Vid den aktuella händelsen skadades flera objekt fatalt (dock ej säkerhetsklassade objekt). Objektsskydd för flera säkerhetsklassade objekt löste ut och måste manuellt återställas vid objektens ställverk. Ett antal säkerhetsklassade objekt (likriktare) blockerades temporärt av sina objektsskydd men återställdes i driftklart läge med hjälp av inbyggd automatik en tid efter att den felbehäftade matningen från yttre nät kopplas bort. Grundorsaksanalysen [11] behandlar inte bakomliggande orsaker till bristerna i detekteringsfunktionen för underspänning. SSMFS 2008:12 kap. 9 angående tillvaratagande av erfarenheter SSMFS 2008:1 3 kap. 1 angående tålighet mot felfunktion och händelse SSMFS 2008:1 3 kap. 4 angående konstruktionen och klassningens anpassning efter säkerhetsbetydelsen SSMFS 2008:1 5 kap. 4 angående utredning av händelser och förhållanden SSMFS 2008:17 4 avseende konstruktionens utformning SSMFS 2008:17 9 avseende enkelfelstålighet SSMFS 2008:17 10 avseende motverkandet av fel med gemensam orsak SSMFS 2008:17 14 avseende dimensionering för att motstå händelser SSMFS 2008:17 21 avseende säkerhetsklassning och SSMFS 2008:17 22 avseende händelseklassning SSM bedömer att det är en brist att grundorsaksanalysen [11] inte täcker bristerna i detekteringsfunktionen. Eftersom viss analys av orsaker finns i [2] så kan detta dock accepteras. SSM ser fram mot att den djupare grundorsaksanalys, som FKA i störningsanalysen [2] har angett kommer att utföras senare, och förväntar att även grundorsakerna till bristerna i detekteringsfunktionen analyseras. I det aktuella fallet rör det händelser på yttre nät, hur dessa hanteras av de s.k. reläskydden i de yttre matningsvägarna samt hur säkerhetsklassade skydd och automatiker förmår tillse att elkraftsberoende säkerhetsfunktioner kan utföras, oberoende av de yttre händelserna och fel i icke-säkerhetsklassade utrustningar.

Sida 11 (31) SSM:s slutsats av ovanstående bedömning är att inga ytterligare krav eller villkor behöver ställas på FKA innan återstart men att: Grundorsakerna till bristerna i detekteringsfunktionen analyseras vidare. Brister i SAR FKA:s redovisning/ SSM:s observationer Den aktuella typen av fel finns inte med i säkerhetsredovisningen (SAR). I SAR allmän del kapitel 9.20 redovisas säkerhetsanalyser vid andra drifttillstånd än effektdrift. Bland annat finns bortfall av resteffektfunktionen via 321/324 under avställning analyserad. Inledande händelser baseras på bortfall av yttre nät, fel i enstaka komponent, operatörsfel och brott på rörledning för resteffektbortförsel. Den inträffade händelsen som resulterade i att alla säkerhetsrelaterade objekt för resteffektbortförsel löste ut täcks därmed inte in av den befintliga analysen i SAR kapitel 9.20. Den aktuella störningen i det driftklassade ordinarie nätet fortplantades in i anläggningen och påverkade driftklarheten för system och komponenter i alla fyra säkerhetssubarna. Detta medför att anläggningen visade sig inte uppfylla vissa grundläggande konstruktionsprinciper enligt SSM föreskrift. Det gäller bl.a. principer enligt: SSMFS 2008:1 3 kap. 1 SSMFS 2008:17 4 (e) Vid händelsen påverkades driftklarhet hos komponenter i säkerhetsfunktionerna resteffektkylning och härdkylning samt kraftmatningen för dessa funktioner som följd av fasfel i driftklassade yttre matningsvägar. SSMFS 2008:17 4 (c) Vid händelsen krävdes manuella åtgärder för att återstarta säkerhetssystem och kraftmatningar för dessa. SSMFS 2008:17 10 Vid händelsen påverkades komponenter i samtliga redundanta kretsar för resteffektkylning, härdkylning, och säkerhetsklassad kraftmatning var blockerad för automatisk inkoppling. SSMFS 2008:17 21 Vid händelsen påverkades säkerhetsklassade objekt p.g.a. att driftklassade skyddsobjekt felfungerade. Efter el-händelsen i Forsmark 1 år 2006 vidtog ett internationellt och nationellt arbete att komma fram till dimensionerande värden, analysera och händelseklassa kraftfrekventa överspänning samt att införa denna typ av händelser i säkerhetsanalyserna (SAR).Till samma kategori kan hänföras händelsen i Olkiluoto 1 år 2008. Det har dock visat sig att det finns andra el-händelser som också måste undersökas närmare och behandlas. Den aktuella typen av händelser med osymmetriska spänningar på yttre nät har internationellt redovisats i bl.a. NRC Information Notice 2012-03 utgående från fel i anläggningar i USA från åren 2005, 2007 och 2012. Enligt för SSM hittills obekräftade uppgifter har också en liknande händelse inträffat i Kanada år 2012. I Sverige inträffade på Forsmark 2 år 2008 en liknande händelse, om än mer kortvarig. Vid denna händelse uppdagades bl.a. att driftklassad utrustning med viss säkerhetsbetydelse (huvudcirkulationspumparnas drivsystem) slogs ut p.g.a. osymmetri i matningsspänningen. I USA har även problematiken med brister i reläskydd (bl.a. selektivitet) vid underspänning ( degraded voltage ) uppmärksammats baserat på en rad

Sida 12 (31) händelser och inspektioner åren 1976, 1978, 2003, 2008 och 2009 (ref. NRC Regulatory Issue Summary 2011-12 revision 1). I Sverige finns också händelsen med blixtnedslag i Forsmark 3 (ref. SSM skrivelse SSM2012-3645-1) som indikerar ytterligare en typ av elhändelser som inte tillräckligt utforskats. Även olyckan i Fukushima år 2011 pekar på behov av att stärka elkraftförsörjningen. SSMFS 2008:1 4 kap. 1 angående säkerhetsanalys SSMFS 2008:1 4 kap. 2 angående innehåll i SAR Den aktuella konstruktionen av underspänningsdetekteringen är inte förändrad sedan anläggningen togs i drift 1985. Sedan dess har SSM:s föreskrifter uppdaterats med en utökad kravbild inom flera områden. Flera krav i gällande utgåva av SSMFS i enlighet med tillämpade krav för denna bedömning måste beaktas vid den genomlysning av konstruktionen som nu måste genomföras och som också identifierats av FKA i störningsanalysen [2]. SSM bedömer att ytterligare analyser behöver genomföras bl.a. för komplettering av SAR, men att detta inte är ett krav för återstart. Enligt SSMFS 2008:1 4 kap. 1 ska säkerhetsanalyser hållas aktuella, d.v.s. säkerhetsredovisning ska kompletteras med analys av händelser som inte tidigare beaktats i redovisningen men som visat sig kunna inträffa. I den fristående granskningen [7] bedömer FQ att erforderliga analyser, i form av bland annat konsekvensanalyser, genomförts som underlag för återstart. Ytterligare analyser behöver dock genomföras kring fasbortfall och andra elstörningar för inarbetande i SAR Kapitel 9. Kompletteringen i SAR kapitel 9 ska gälla både deterministisk analys och analys med probabilistiska metoder. Sammantaget bedömer SSM att den nu inträffade händelsen ytterligare stärker insikten att god kunskap om händelser i elkraftssystem och elkraftssystemens utformning spelar en avgörande roll för kärnkraftreaktorernas säkerhet och att denna kunskap inte finns på plats eller inte har tillämpats i tillräcklig omfattning. SSM vill här speciellt peka på SSMFS 2008:1 2 kap. 9, där flera punkter anger krav som är högst relevanta för att åstadkomma de förutsättningar som behövs för att återställa säkerheten. SSM:s slutsats av ovanstående bedömning är att inga ytterligare krav eller villkor behöver ställas på FKA innan återstart men att: FKA behöver genomföra ytterligare analyser bl.a. för komplettering av SAR. FKA i sina fortsatta analyser och utredningar av händelsen behöver omhänderta nationella och internationella erfarenheter av olika typer av el-relaterade händelser för bedömning av hur dessa ska omhändertas i anläggningens konstruktion och säkerhetsanalys. 5.2 Konsekvenser för anläggningen 5.2.1 Säkerhetsfunktioner FKA:s redovisning/ SSM:s observationer Enligt FKA:s störningsrapporter [2], [3] medförde elstörning en direkt påverkan på säkerhetsfunktion resteffektkylning. Både kylning via kylkedjan för avställd reaktor 321/721/712 och kylkedja för bränslebassänger 324/723/713 upphörde då samtliga driftlagda pumpar (utom 721) i kylkedjorna stoppade p.g.a. utlöst fasobalans.

Sida 13 (31) Under elstörningen fram till dess att dieslar manuellt inkopplats på dieselskenan skulle även säkerhetsfunktion härdkylning varit otillgänglig vid eventuellt behov då även system 323 och 327 pumpar skulle löst via skydd för fasobalans. Alternativ resteffektkylning med rundpumpning via reaktortank med system 323 eller 327 och kylning av kondensationsbassängen med system 322 hade därför inte heller fungerat [12]. De batterisäkrade lik- och växelspänningssystemen fungerade under störningen. Detta underlättade för personal centralt i kontrollrum att hantera störningen och återställa anläggningen. Automatiken för dieselstart och pålastningssekvens (med bl.a. återstart av pumpar i resteffektkylkedjorna) fungerade normalt när väl dieselskenan isolerats manuellt från ordinarie nät. Resteffektkylning var återställd efter ca 17 minuter och temperaturstegringen i bassängerna under tiden var begränsades till mindre än 1 C (initial temperatur vid störningen var enligt [2] ca 33 C). Inga negativa konsekvenser för reaktoranläggningen som följd av själva bortfallet av resteffektkylning har omnämnts i FKA:s redovisningar. FKA har genomfört analyser av konsekvens vid utebliven manuell återställning av resteffektkylning [12] vid den aktuella händelsen vilket omfattas av felmoder utebliven start av system 321/324, 641/651, 712, 713 respektive 723. Analys av temperaturen i bränslebassängen vid utebliven resteffektkylning redovisas i [29] vari tillgängligt rådrum för manuella ingrepp redovisas vara ca 30 h innan kokning respektive > 70 h till 3 m vattentäckning av bränsle kvarstår. I [12] redovisar FKA även analyser för alla faser vid revisionsavställningen (faser K1-K3, K4.1-K4.4 och K5-K6) samt konsekvenser vid händelserna som listas nedan. Händelse på 400kV nätet som ger osymmetri Fel i 400 kv aggregatbrytare vid frånslag, 1-pol går ej ifrån Fel i 400 kv aggregatbrytare vid fasning från husturbindrift Fel i 400 kv aggregatbrytare vid avställd reaktor I fallen med normal drift konstaterar [12] att anläggningens skyddsfunktioner hanterar händelserna. I fallet med fel i 400 kv aggregatbrytare vid fasning från husturbindrift anges att händelsen motsvarar en s.k. H5.2-händelse som är analyserad i SAR. För fel i aggregatbrytare vid avställd reaktor redovisas resultat för avställningens faser (K1-K3, K4.1-K4.4 och K5-K6) och det konstateras att tillgängligt rådrum att återställa resteffektkylning är 5 timmar oavsett fas. SSMFS 2008:1 7 kap. 1 krav på analyser av konsekvenser. SSM bedömer att FKA:s redovisning avseende konsekvenser för bränsle vid störningen samt att genomförda manuella ingrepp varit tillfyllest utan att några säkerhetstekniska marginaler äventyrats. SSM instämmer också i FKA:s bedömning i att det vid bortfall av resteffektkylningen fanns tillräckligt rådrum för att vidta åtgärder innan kokning i bränslebassängens och den avlockade reaktorns gemensamma vattenvolym. SSM:s slutsats av ovanstående bedömning är att inga ytterligare krav eller villkor behöver ställas på FKA innan återstart men att: FKA behöver genomföra ytterligare analyser bl.a. för komplettering av SAR.

Sida 14 (31) 5.2.2 Komponenter med betydelse för säkerheten FKA:s redovisning/ssm:s observationer Vissa komponenter som exempelvis asynkronmotorer, transformatorer och kraftelektronik är speciellt känsliga och kan ta skada av obalans på spänningar och strömmar. För objekt som inte varit utrustade med obalansskydd (exempelvis transformatorer) har risken för skada efter händelsen varit större. Avseende den mekaniska integriteten i roterande delar så kan utvecklad värme i rotorn samt onormalt, pulserande moment riskera att förstöra rotor, stator och lager. Utrustning som avses är brytare, reläskydd, motorer, ventilmanöverdon (inga berörda), kraftelektronik och transformatorer. Säkerhetsklassade objekt kan under händelsen ha utsatts för fasobalanstörningar under flera minuter (enligt uppgift < 45 minuter) och motorer kan dessutom ha utsatts för flera försök till återstart. FKA har bedömt omfattningen av påverkade elkraftskomponenter av den aktuella händelsen utifrån följande kriterier: Objekt som inte har matats av onormal spänning har inte påverkats. Objekt med kort gångtid där motorskyddet löst ut har inte påverkats. Likspänningsmatade objekt är skyddade av likriktarens skyddsfunktion. Objekt som gått kortvarigt i samband med dieselstart har inte påverkats. Övriga objekt kontrolleras före återstart. FKA har i bilaga till [13] sammanställt en lista [14] över objekt med betydelse för reaktorsäkerheten som kan ha påverkats av spänningsobalansen under störningen. Dessa komponenter avser FKA att driftklarhetsverifiera innan återstart (se avsnitt 5.4.1). Däremot har FKA inte försett SSM med information över vilka komponenter som löst ut. Motorerna har enligt uppgift från FKA inte upplevt högre moment än de antas utsättas för vid normaldrift eftersom fasbortfallet medför ett lägre moment. En möjlig skademekanism är att det mot-roterande fältet i statorn som uppstått p.g.a. fasfelet påverkar plåtpaketet och lindningar. Lindningarna som är det mjukare materialet har av FKA verifierats vara opåverkade med isolationsmätningar. Ytterligare verifiering av pumpkapacitet görs vid integrala start- och belastningsprov före återstart. Risken för lagerströmmar som uppstår p.g.a. av den osymmetriska spänningsbilden finns men har inte behandlats av FKA. Eventuella åldringseffekter kan inte mätas och FKA bedömer att det är stor sannolikhet att motorernas återstående livslängd har försämrat. Inga säkerhetsobjekt har hittills identifierats skadade av störningen. SSMFS 2008:1 5 kap. 3 angående driftklarhetsverifiering. SSMFS 2008:1 7 kap. 1 krav på analyser av konsekvenser. Utrustning, annat än sådan som omfattas av FKA:s analys, har inte identifierats med undantag för mekanisk integritet för roterande komponenter vilket har behandlats. SSM bedömer att lagerströmmar troligen inte degraderat lagren i roterande objekt p.g.a. den relativt korta drifttiden med fasobalans och resultatet av FKA:s provkörningar. Vidare anser SSM att en lista över utlösta objekt borde ingå i redovisningen. SSM:s slutsats av ovanstående bedömning är att inga ytterligare krav eller villkor behöver ställas på FKA innan återstart.

Sida 15 (31) 5.2.3 Personal FKA:s redovisning/ SSM:s observationer SSM har inte haft någon egen direkt kontakt med personal i skiftlaget som varit aktivt inblandad i den mer akuta delen av händelsen avseende stressreaktioner. SSM konstaterar dock att det enligt [15] genomförts en debriefing med skiftlaget under ledning av Forsmark 3:s driftchef (driftledning nivå 3). Denna genomfördes på eftermiddagen samma dag som händelsen inträffade (den 30 maj). FKA har på efterfrågan från SSM genomfört en första intervju med operatörer och driftvakt som tjänstgjorde vid störningen [16]. I underlaget beskrivs att en stor styrka vid händelsen var den goda bemanningen den rådande dagen, både med avseende på antalet personer och på deras erfarenhet och kunskap om anläggningen. Fyra personer som tjänstgjorde i kontrollrummet den aktuella dagen innehar driftvaktskompetens. Det framkommer dock att det under händelsen inte togs upp om personalen som hanterade störningen behövde avlastning. SSMFS 2008:1 2 kap. 9 angående förutsättningar för personalen att arbeta på ett säkert sätt och tillvaratagande av erfarenheter SSM konstaterar att FKA hanterat debriefing av inblandad kontrollrumspersonal i direkt anslutning till händelsen. SSM saknar dock underlag för berörd underhållspersonal. SSM bedömer vidare att planerade åtgärder inför uppstart är tillfyllest Förutsatt att driftkriterier, driftorder, instruktioner för kommande driftsäsong har uppdaterats och att berörd personal är informerad och utbildad i de kompensatoriska åtgärderna. I denna information och utbildning bör även ingå en avstämning med personalen att vidtagna åtgärder möjliggör ett säkerställande av personalens förmåga att verka i sina roller. SSM:s slutsats av ovanstående bedömning är att inga ytterligare krav eller villkor behöver ställas på FKA innan återstart. 5.3 Hantering av händelsen 5.3.1 Operatörernas hantering av händelsen FKA:s redovisning/ SSM:s observationer I det underlag som inkommit med FKA:s hemställan om start efter inträffad händelse [1] och ingående händelsebeskrivningar återges de åtgärder som vidtogs i kontrollrummet. Det saknas dock en bredare beskrivning av situationen och förutsättningarna för operatörerna i kontrollrummet att tolka och hantera situationen. SSM har därför begärt in kompletterande underlag där FKA genomfört första intervjuer med aktivt inblandade operatörer och tjänstgörande driftvakt [16]. Även tidigare inlämnad sammanställning av driftledningens störningshantering har uppdaterats [15]. SSM konstaterar baserat på underlaget att kontrollrumspersonalen vid denna störning inte har funnit stöd i eller använt befintliga instruktioner för Första kontroller [17]. Fokus för hanteringen var att återfå resteffektkylningen, men någon tillämplig störningsinstruktion har inte funnits tillgänglig för denna typ av händelse. De intervjuade operatörernas uppfattning anges dock vara att motsvarande åtgärder ändå utfördes i form av felsökning och identifiering av händelsen och att det i rådande situation uppfattats som mer frustrerande att använda de formella arbetssätten. Den inträffade störningen identifierades och tolkades som en elstörning i första skedet i och med att belysningen i kontrollrummet påverkades och att ett dovt brummande ljud hördes in i kontrollrummet. En operatör identifierade via ljudet att det kunde vara bortfall av en fas.

Sida 16 (31) SSM konstaterar att det under händelsen var en mycket god bemanning i kontrollrummet. Kontrollrumspersonalen anger även att Svenska Kraftnäts bemanning ute i ställverket var en positivt bidragande faktor till hur händelsen kunde hanteras. SSM noterar dock att felaktig indikering av huvudspänning på 10 kv-skenor samt det faktum att det saknades relevanta störningsinstruktioner för händelsen hade kunnat försvåra situationen för mindre erfaren personal. Det anges dock av intervjuade operatörer att personalen under revision är förberedd på att elproblematik kan förekomma [15]. I F3:s störningsanalys [2] framgår att instruktioner för alternativ kylning av bränslebassänger finns men initierades aldrig eftersom resteffektkylning snabbt återställdes. Under störningen tillämpades beslut med konsultation (BMK) utan att det formellt uttalats. SSM konstaterar att inga specifika instruktioner har tillämpats i den direkta hanteringen av händelsen i kontrollrummet. SSMFS 2008:1 2 kap. 9 angående förutsättningar för personalen att arbeta på ett säkert sätt och tillvaratagande av erfarenheter SSMFS 2008:1 3 kap. 3 angående konstruktionens anpassning till personalens förmåga att på ett säkert sätt kunna hantera och övervaka anläggningen SSMFS 2008:1 5 kap. 2 angående instruktioner och deras ändamålsenlighet SSMFS 2008:1 5 kap. 4 angående utredning av händelser och förhållanden. SSMFS 2008:17 18 avseende kontrollrummets utformning SSM bedömer att Forsmark 3 hanterade händelsen på ett ändamålsenligt sätt under det akuta skedet. Skiftlaget hade tack vare sin samlade kompetens förutsättningar att identifiera och hantera den aktuella störningen. SSM anser dock att det är viktigt att belysa händelsen och dess möjliga hantering även för situationer där bemanningen i kontrollrummet hade varit en annan. SSM anser även att FKA i sitt fortsatta arbete bör utreda om det föreligger specifika förutsättningar under avställning för hantering av störningar och om det finns anledning att mer specifikt även öva på störningar relaterade till elbortfall och tillhörande konsekvenser på säkerhetssystem. SSM:s slutsats av ovanstående bedömning är att inga ytterligare krav eller villkor behöver ställas på FKA innan återstart, men anser att fortsatt utredning behövs avseende: Lärdomar av arbetet och hanteringen i kontrollrummet, med avseende på: - Hur förutsättningarna för tolkning av information i larmlistor och tablåer (specifikt för 10 kv-skena) uppfattades (fanns det t.ex. stöd för mönsterigenkänning). - Förutsättningar för hantering av liknande händelser med andra personella förutsättningar. 5.3.2 Ledningens hantering av händelsen FKA:s redovisning/ SSM:s observationer SSM har granskat ledningens hantering av händelsen enligt FKA:s beskrivning [15] baserat på den instruktion som finns för operativ störningshantering [18], men även med bakgrund mot FKA:s säkerhetsdirektiv [19] och instruktion för FKA säkerhetskommitté [20]. I instruktionen [18] anges att och hur omedelbara åtgärder ska vidtas i samband med en störning, d.v.s. även i kontrollrummet för bedömning av läget och felsökning och vidtagande av åtgärder. Nästa skede i instruktionen avser kontakter som ska tas med driftledning och efterföljande hantering, inklusive framtagande av störningsanalys.

Sida 17 (31) Enligt sammanställning av driftledningens störningshantering [15] har driftledning tidigt informerats och kallats till kontrollrummet. Driftvakt och driftledning har samrått och fattat beslut om att separera dieselnät och ordinarie nät samt om utrymning av reaktorinneslutning och ångschakt samt om att ge ut information om spänningsavbrott. Jourpärm för driftledning har använts som beslutsstöd. Efter att spänningsmatning via 400 kv ställverk är återställd (kl. 10.44) startas arbete upp att utarbeta strategi för fortsatt hantering av driftledning nivå 2. I detta skede initieras alltså åtgärder i enlighet med instruktion för operativ störningshantering. SSM noterar att instruktionens tidigare steg för bedömning av tillgänglig tid för åtgärder och eventuellt behov av resursförstärkning ej har tillämpats enligt genomförd intervju med kontrollrumspersonalen [16]. I följande skeden av händelsen har åtgärder vidtagits för att analysera och rapportera händelsen, internt på FKA, till de andra kraftverken och till SSM. En handlingsplan har tagits fram och utvecklats i olika möten (operativt driftmöte, felsökning i grupp) och en störningsanalys har initierats i enlighet med gällande instruktioner. En grundorsaksanalys har initierats och genomförts [11]. Beslut har även fattats om prövning i FKA Säkerhetskommitté inför byte av driftkriteriaperiod (avställning av B-sub) och för prövning av kategorisering av händelse och värdering av underlag för hemställan om återstart hos SSM. SSMFS 2008:1 2 kap. 8 angående organisation, ledning och styrning SSMFS 2008:1 2 kap. 9 angående beslut i säkerhetsfrågor SSMFS 2008:1 5 kap. 4 angående utredning av händelser och förhållanden SSM bedömer att ledningens hantering av händelsen visar på att gällande instruktioner har följts med avseende på beslut om hantering av olika åtgärder. Olika forum har använts för att analysera händelsen och bedöma vilka åtgärder som bör vidtas på kort och lång sikt. FKA säkerhetskommitté har följt händelsen, fastställt kategorisering av händelsen och beslutat om och fastställt underlag för hemställan till SSM enligt gällande instruktioner. SSM anser dock att det är av stor vikt att FKA klarlägger på vilket sätt de tidigare delarna av instruktionen för operativ störningshantering [18] hade kunnat påverka hanteringen av händelsen, eller om instruktionen i dess nuvarande utformning inte tillräckligt väl stödjer den tänkta användningen. SSM:s slutsats av ovanstående bedömning är att inga ytterligare krav eller villkor behöver ställas på FKA innan återstart men anser att fortsatt utredning behövs avseende: Lärdomar av ledningen och styrningen av arbetet i den direkta hanteringen av händelsen, med avseende på värdering av behov av stöd i kontrollrummet samt övergripande instruktioners tillämpbarhet i liknande situationer. 5.3.3 Klassning och rapportering av händelsen FKA:s redovisning/ SSM:s observationer FKA har preliminärt klassat inträffad händelse som INES 1 vilket redovisats i särskild underlagsrapport [21]. Eftersom inget utsläpp eller bestrålning skett betraktas händelsen som en utmaning av djupförsvaret. Grundhändelsen har klassats som INES 0 och höjning har sedan gjorts till INES 1 med anledning av CCF (fel med gemensam orsak) eftersom händelsen påverkat säkerhetsobjekt i flera säkerhetssubar. Denna klassning är i nuläget preliminär.

Sida 18 (31) Enligt SSMFS 2008:1 bilaga 4 ska en preliminär rapport inkomma inom 7 dagar. En preliminär kategori 1 rapport har inkommit till SSM 2013-06-06 (diarieförts 2013-06-07). Muntlig rapportering gjordes även från FKA till SSM vid SSMs besök i Forsmark 6 dagar efter händelsen [10]. En slutlig kategori 1 rapport [9] har lämnats in som en bilaga till hemställan om återstart. Som grundorsak anges i slutlig version av kategori 1 rapporten att händelsen inte är analyserad i säkerhetsredovisningen och att anläggningen inte är konstruerad för att automatiskt hantera den uppkomna situationen. SSM ser att genomförd grundorsaksanalys [11] och övrigt underlag som bifogats hemställan om återstart [1] redovisar en djupare och allsidigare beskrivning av händelsen och dess bakomliggande orsaker. SSM har dock i föreliggande granskning identifierat ytterligare förhållanden som behöver utredas vidare. FKA Säkerhetskommitté har även beslutat att en fördjupad grundorsaksanalys ska genomföras [8]. SSMFS 2008:1 5 kap. 4 angående utredning av händelser och förhållanden SSMFS 2008:1 7 kap. 1 angående rapportering SSM finner inte att någon avvikelse finns gentemot SSMFS 2008:1 avseende rapportering och klassificering av händelsen med avseende på INES. SSM avvaktar därmed en slutlig klassificering av händelsen SSM bedömer vidare att FKA:s kategorisering och rapportering av händelsen har hanterats i enlighet med föreskriften. SSM bedömer vidare att den inkomna slutliga kategori 1 rapporten kan anses uppfylla kraven för en preliminär rapportering men att en slutlig rapport ska inrapporteras till SSM när alla erforderliga analyser genomförts. Se specifika frågeställningar som SSM anser behöver behandlas vidare i en fördjupad analys i kapitel 5.4.2 En utredning ska enligt SSMFS 2008:1 5 kap. 4 klarlägga orsakerna till en händelse så långt det är rimligt och möjligt. SSM bedömer att genomförd grundorsaksanalys [11] på ett trovärdigt sätt beskriver händelsen och bakomliggande orsaker i samband med genomförda arbeten i ställverket FT47. SSM anser dock att det är en brist att FKA i sin grundorsaksanalys inte själva gör intervjuer av kontrollrumspersonal, utan kompletterar med information om detta först efter påpekande från SSM (se även kapitel 5.3.1). Det är av största vikt att göra en snabb informationsinhämtning efter en händelse av denna karaktär. SSM förväntar sig att den fördjupade grundorsaksanalys som har planerats beaktar detta. SSM:s slutsats av ovanstående bedömning är att inga ytterligare krav eller villkor behöver ställas på FKA innan återstart men SSM anser att: Den orsaksbeskrivning som anges i kategori 1 rapport och tillhörande underlag behöver kompletteras baserat på resultatet från de fördjupade analyser som planeras. När tillräckliga analyser av orsaker genomförts kan slutsatser dras och sedan kan slutlig kategori 1 rapport tillsändas SSM. 5.3.4 Egenkontroll FKA:s redovisning/ SSM:s observationer SSM kan konstatera att en omfattande primär säkerhetsgranskning (PSG) och fristående säkerhetsgranskning (FSG) har genomförts efter händelsen den 30 maj. Säkerhetsgranskning har genomförts av preliminär kategori- 1 rapport, genomförda

Sida 19 (31) störningsanalyser [2], [3] med tillhörande referenser och rapporterna har uppdaterats i enlighet med framkomna kommentarer innan fastställan av hemställan om återstart [1] i FKA säkerhetskommitté. Granskningen bedöms vara genomförd på ett systematiskt sätt samt vara väl dokumenterad i enlighet med FKA:s rutiner. FKA:s egenkontroll har inte identifierat frågeställningar för de kompensatoriska åtgärdernas förmåga att säkra driftklarhet för härdnödkylningen i lägen där befintliga skydd inte hanterar störningen. SSMs granskning visar att frågeställningen inte har belysts tillräckligt i FKA:s analyser (se vidare i kapitel 5.4 angående Återgång vid normal drift). Vid FKA:s egenkontroll uppdagades inte heller de frågeställningar avseende säkerhetssystemens tålighet mot felfunktioner, händelser och förhållanden som SSM identifierat i föreliggande granskning. Mot bakgrund av att händelsen ligger utanför anläggningens säkerhetsredovisning finns det anledning att djupare behandla säkerhetssystemens beteende vid, och tålighet mot, motsvarande störningar. Den primära och den fristående säkerhetsgranskningen visar däremot inte på några motsvarande ansatsers vilket SSM har uppmärksammat. Till SSM inskickad slutlig kategori 1 rapport anges av FKA ha genomgått PSG och FSG. SSM noterar att detta kan anses ha skett mer indirekt, då de granskningsrapporter som hänvisas till avser granskningsrapporterna för genomförd störningsanalys [2]. I dessa granskningar är inte kategori 1 rapporten omnämnd som en del av de granskade dokumenten. SSMFS 2008:1 4 kap. 3 angående säkerhetsgranskning SSM bedömer att genomförd egenkontroll uppfyller kraven på säkerhetsgranskning, men att vissa brister finns i vilka frågeställningar av betydelse för säkerheten som har identifierats i primär och fristående säkerhetsgranskning. SSM konstaterar att FKA:s egenkontroll har observerat brister av varierande säkerhetsbetydelse, vilka har åtgärdats. Sammantaget är SSMs bedömning att den egenkontroll som FKA genomfört inför hemställan om återstart, visad genom refererad dokumentering, är tillräcklig. SSM har dock vissa kommentarer kring fullständigheten av framförallt PSG som SSM anser behöver beaktas som erfarenheter från hantering av händelsen. SSM:s slutsats av ovanstående bedömning är att inga ytterligare krav eller villkor behöver ställas på FKA innan återstart men SSM anser att: Kompletterat underlag bör inkomma till SSM, i enlighet med de brister som identifierats i föreliggande granskningsrapport. 5.4 Åtgärder 5.4.1 Åtgärder före uppgång FKA:s redovisade åtgärder för att få återta Forsmark 3 i effektdrift är sammanställda och behandlas vidare nedan: Kompensatoriska åtgärder Driftkriterier, driftorder, instruktioner för kommande driftsäsong ska uppdateras

Sida 20 (31) och berörd personal ska informeras och utbildas i de kompensatoriska åtgärderna enligt nedan. Anläggningsändringar Utökad övervakning i CKR av huvudspänningar så att det omfattar alla 3 faser. Kontroller Kontroller av utvalda komponenter ska genomföras. Kompensatoriska åtgärder FKA:s redovisning/ SSM:s observationer I [2] förs i kapitel 3 resonemang om anläggningens robusthet vid fasbortfall. För effektdrift anges att generatorns minusföljdströmskydd kommer att detektera osymmetrisk last på 400 kv:s-nätet och lösa ut aggregatbrytaren. Om osymmetrin kvarstår då anläggningen försatts i husturbindrift kommer generatorbrytaren att lösa ut vilket ger spänningslöshet som i sin tur initierar dieselstart och automatisk spänningssättning. Utlösningsgränsen för brytarfelskyddet ligger på 150 A (70 MWe motsvarar 230 A) och ger från-order till aggregat-, generator- och linjebrytare. Minusföljdströmskyddet har en fördröjning på ett tiotal sekunder beroende på vilken ström som genereras. Bedömningen är att det med marginal löser ut inom 1 minut. Vad det gäller fasobalans då anläggningen är matad från 70 kv så anges att de nya brytarna har gemensam axel mellan polerna som gör att alla poler måste ha samma läge samtidigt. Vidare anges att 70 kv-nätet är spoljordat varför drift med en fas inte kan ge den effekt som krävs, d.v.s. F3:s 10 kv:s-nät kommer att kollapsa vilket medför att automatik för spänningssättning med dieslar kan fullgöra sina uppgifter. FKA:s slutsats av ovanstående är att befintliga skydd hanterar händelsen då anläggningen är fasad mot yttre nät. För att stödja detta har följande felfall analyserats: 1. Händelse på 400 kv nätet, i form av fel i en eller två faser, som ger osymmetri. 2. Fel i 400 kv aggregatbrytare vid frånslag, 1-pol går ej ifrån. 3. Fel i 400 kv aggregatbrytare vid fasning från husturbindrift. 4. Fel i 400 kv aggregatbrytare vid avställd reaktor. 5. Fel i generatorbrytare vid infasning. 6. Fel i generatorbrytare vid frånslag när stationen är ansluten till 400 kv. 7. Fel i generatorbrytare vid frånslag under husturbindrift. Analyserna av felfallen 3 och 4 visar att dessa inte klaras utan att de i [2] föreslagna kompensatoriska åtgärderna är på plats. På SSM:s begäran [28] (som också anger FKA:s svar), bl.a. påkallat av NRC RIS 2011-12, har FKA för felfallen 1, 2, 5, 6 och 7 också djupare analyserat och bedömt att överordnade skyddsfunktioner bryter bort matningen till de säkerhetsklassade dieselskenorna innan de säkerhetsklassade objektens objektsskydd riskerar att koppla bort objekten. Denna djupare analys verifierar att felfallen klaras av om icke-säkerhetsklassade skyddsfunktioner krediteras. På SSM:s begäran har också felfallen enligt NRC Information Notice 2012-03 bedömts. Bedömningen visar att Forsmark 3 klarar ett fel som motsvarar händelsen i anläggningen Byron 2 år 2012 under förutsättning att icke-säkerhetsklassade skyddsfunktioner krediteras. Latenta fel i alternativ matning, som uppdagats vid anläggningarna Beaver Vally 1 år 2007 samt James FitzPatrick samt Nine Mile Point 1 år 2005 kommer att signaleras i CKR.