Prof. John Boag, Emeritus
Fizik Bölümü
London University
Londra, İngiltere
“Nükleer reaktör güvenliği mühendisleri, hayal güçlerinin tasarlayabildiği kadar çok hata dizisini göz önünde bulundurmak zorundadır — ancak elbette hayal güçlerinin de sınırları vardır.”
Sık Meydana Gelen Kazalar
Olasılığını makul bir güvenle değerlendirebildiğimiz tek kazalar, sık meydana gelenlerdir. Bunlar arasında ev kazaları, trafik kazaları veya sanayi kazaları yer alır. Bu durumlarda, belirli koşullar altında bir kazanın meydana gelme olasılığını güvenilir istatistiksel yöntemlerle çıkarsayabileceğimiz geniş bir olaylar kümesine sahibiz. İlke olarak bir maliyet–fayda analizi yapabilir ve örneğin araba kullanmanın sağladığı kolaylığın, trafikte ölüm ya da yaralanma riskine değip değmediğine karar verebiliriz. Pek az insan bu analizi yapar, ancak buna yönelik veriler mevcuttur.
Nadiren Meydana Gelen Kazalar
Yaşam ve mülke çok daha büyük zararlar verebilecek nadir kazaları ele aldığımızda, böyle bir olayın olasılığını hesaplamak için bir girişimde bulunmamızın açıkça arzu edilir olduğu görülür. Ancak bunu, gözlemlenmiş istatistiksel sıklıklarına dayanarak yapamayız. Veri çok azdır ve hesaplamaya farklı bir yoldan yaklaşmak zorundayız.
Bir nükleer reaktör kadar karmaşık bir sistem, bazıları büyük bazıları küçük olmak üzere, elektrikle çalışan pompalar, röleler ve vanalar gibi pek çok bileşenden oluşur.
Bu ayrı bileşenlerin her biri için, uzun süreli testler ya da pratik kullanım deneyimi yoluyla güvenilirliklerine ilişkin iyi bir tahmin elde edilebilir. Güvenliğin sürdürülmesinde özel sorumluluğu olan bileşenler, bir parça arızalandığında diğerinin hemen devreye girmesi için yedekli ya da üçlü olarak düzenlenebilir. Bu tür tasarım önlemleri ve tek tek bileşenlerin arıza olasılıklarına ilişkin bilgi sayesinde tasarımcı, tüm tesis için çok düşük bir kaza olasılığı tahmin eder.
Güvenlik Mühendislerinin Tahminleri
Güvenlik mühendislerinin görevi, hayal güçlerinin üretebildiği kadar çok olası arıza biçimini göz önünde bulundurmak ve otomatik sistemlerin bunların tümüne yeterli şekilde yanıt verebilmesini sağlamaktır. Bu tür hesaplamalar kaçınılmaz olarak tüm sistem için son derece iyimser güvenilirlik tahminlerine ulaşır. Eğer böyle olmasaydı, mühendisler iyimser bir tahmin yapabilene kadar ek güvenlik önlemleri getirirlerdi. Dolayısıyla örneğin “bir milyon yıllık işletmede bir ciddi kaza” gibi gülünç nükleer reaktör güvenilirliği tahminlerine rastlanabilir.
Bu ayrıntılı hesaplamaların gereksiz olduğunu ima etmiyorum. Bunlar, ekipmanın mümkün olduğunca güvenli olmasını amaçlayan analizlerin vazgeçilmez bir parçasıdır.
Ancak yaşanan olaylar, hesaplamaların kazaların en önemli nedenini — insan hatasını — göz ardı ettiğini göstermiştir. Peki bu kaynaktan gelen kaza olasılığı nasıl değerlendirilecektir? Ya da bir insanın yapabileceği tüm akılsız eylemler nasıl hayal edilecektir? Çernobil operatörlerinin talihsiz deneylerine başlamadan önce tüm güvenlik sistemlerini devre dışı bırakmaları eylemine hangi olasılık atanabilirdi?
“Ortak Mod Arızası”
Bir sistemin güvenilirliğini, ayrı parçalarının güvenilirliğine dayanarak değerlendirmede başka zayıflıklar da vardır. Elektrikle çalışan pompalar, röleler ya da diğer bileşenler yedeklenmiş olsa bile, ortak bir elektrik beslemesine sahiplerse ve bu besleme arızalanırsa, her ikisi de aynı anda devre dışı kalabilir. Buna “ortak mod arızası” denir ve ortak bir elektrik beslemesinin arızası kadar kolay fark edilip önlem alınamayan başka “ortak mod arızaları” da vardır.
Örneğin yüksek basınçlı bir reaktörde, kaynaklı çelik basınç kabının bütünlüğü peşinen kabul edilmek zorundadır. Bu bileşen, nihai dayanımı hakkında bilgi elde etmek amacıyla tahrip edici testlere tabi tutulamayacak kadar büyüktür. Tasarımcı, hesaplamalara ve üretim sırasında kaynağın dikkatle denetlenmesine güvenmek zorundadır. Ancak Çernobil’deki gibi kontrolden çıkmış bir reaktörde oluşabilecek basınçlara dayanabilecek kadar güçlü bir basınç kabı yapılamaz. Bu nedenle, tasarımcıların hiç öngörmediği kadar ağır koşullar altında basınç kabının kırılması, bir “ortak mod arızası” olarak değerlendirilebilir.
İlke olarak elbette bir reaktör tamamen otomatik yapılabilir; çalışmasını yalnızca bilgisayarlar ve röleler kontrol edebilir. Ancak bu, Three Mile Island ve Çernobil’de olduğu gibi, becerikli bir operatörün otomatik sistemleri kasıtlı olarak devre dışı bırakma olasılığını ortadan kaldırmaz.
Genel olarak, bir operatörün varlığının riski artırdığından daha fazla güvenlik sağladığına inanılmıştır ve bu görüşü destekleyen çok sayıda örnek vardır.
Gerçek Bir Kaza Dizisi
Örneğin, bir Amerikan reaktöründe yaşanan bir kaza dizisi şöyle gelişmiştir:
Reaktör ani bir “sapma”ya, yani onu güvenli sınırların ötesine taşıyabilecek bir güç artışına başladı. Operatör bunu gözlemledi ve derhâl “scram” düğmesine basarak reaktörü kapattı.
Reaktör yeniden çalıştırıldı ve bir süre sonra başka bir “sapma” başladı. Bu kez operatör hemen “scram” düğmesine basmadı. Reaktörü kapatmayı otomatik ekipmana bıraktı. Ancak sapma yaklaşık 25 saniye boyunca devam etti ve son derece alarm durumundaki operatör reaktörü manuel olarak scram etti.
Yapılan inceleme, otomatik scram sisteminin hem ilk hem de ikinci olayda başarısız olduğunu ortaya koydu. Ekipmanın daha sonraki kontrolünde, sorunun rutin bakım eksikliği nedeniyle kir ve gresle öylesine tıkanmış iki sıradan röleden kaynaklandığı anlaşıldı; bu röleler uygun sinyalde açılmamıştı. Bu da insan hatasına atfedilebilir; çünkü röleler için belirtilen nominal güvenilirlik değeri, düzenli olarak bakım ve denetimden geçirildikleri varsayımını örtük olarak içerir.
Bu özel olayda bir insan operatör kazayı önlemiştir. Buna karşılık Three Mile Island ve Çernobil’de operatörlerin müdahalesi kazanın başlıca ve doğrudan nedeni olmuştur.
Yetkililer Yalnızca Bazı Kazaları Dikkate Alır
Reaktör güvenliği mühendislerinin, hayal güçlerinin üretebildiği kadar çok olası arıza dizisini düşünmek zorunda olduklarını söyledim. Ancak elbette hayal güçlerinin de sınırları vardır. Bir zamanlar “maksimum güvenilir kaza” hakkında çok şey yazılmıştı. Ne yazık ki bu tanım sorunun tamamını peşinen varsayıyordu. Yalnızca güvenlik mühendislerinin dikkate almaya hazır oldukları en büyük kazayı ifade ediyordu. Three Mile Island ve Çernobil’deki olaylar, maksimum güvenilir kaza senaryosunun çok dışında kalırdı.
Nükleer silahlar alanında yetkililerin, yalnızca başa çıkabileceklerini düşündükleri kazaları dikkate almaya hazır olmaları gibi ciddi bir tehlike bulunmaktadır.
Three Mile Island kazasına ilişkin resmî rapor (Kemeny Raporu), kazanın önemli bir arka plan nedeni olarak, olaya dâhil olan hemen herkesin (kontrol odası operatörlerinden nükleer güvenlik denetim kurumunun üst düzey üyelerine kadar) “zihniyet” olarak adlandırılan tutumunu belirlemiştir. Maksimum güvenilir kaza sınırlarının dışında kalan bir kaza yaşanmadan geçen uzun yıllar, hepsini reaktörü “uysal”, yani kolayca kontrol edilebilir olarak görmeye alıştırmıştı. Böyle bir tutum ya da zihniyet, hayal gücünü köreltir ve güvenlik kurallarının uygulanmasında gevşekliği teşvik eder.
Bu tutum, Çernobil’de yaşanan güvenlik önlemlerinin tamamen hiçe sayılmasının da temel nedenlerinden biri olarak belirlenmiştir. Planlanan deney, santral yönetimi tarafından herhangi bir güvenlik tehlikesi içerdiği şeklinde bile değerlendirilmemiştir.
Acımasız Bir Düşman Stereotipi
Avrupa’da 40 yıl boyunca barışı koruduğunu nükleer silahlara atfeden politikacılar ve askerî liderler arasında benzer bir zihniyeti kolaylıkla fark edebiliriz. Oysa nükleer cephaneliklerin yaptığı şey bunun tam tersidir. Bu 40 yıl boyunca uluslararası gerilimi sürdürmüş, zaman zaman (Küba füze krizi gibi) kaynama noktasına son derece yaklaşmıştır.
Yeni askerî donanım türlerinin geliştirilmesi, nükleer cephaneliklerin sınırlandırılmasına yönelik olarak çok az ya da hiç anlaşmaya varılamamasının başlıca nedenlerinden biri olmuştur.
ABD yönetiminin Stratejik Savunma Girişimi’ne (SDI) olan takıntısı, bu zihniyetin yalnızca en son örneğidir; bu zihniyetin yanlış mantığı, her dile getirildiğinde mutlaka açığa çıkarılmalıdır. Her iki ittifakın da silahlara sahip olması, bunları kullanmaya niyetli acımasız bir düşman stereotipinin kaçınılmaz olarak oluşturulmasını gerektirir.
Nükleer silahların barışı korumaya katkı sağladığına dair zihniyet, nükleer reaktörlerle güvenli bir şekilde oyun oynanabileceği fikrinden bile daha güçlü bir şekilde karşı çıkılması gereken bir görüştür.
Ortak Duygusal Bozukluk
“Ortak mod arızası”ndan, karmaşık mekanik ya da elektronik sistemlerde göz ardı edildiğinde ciddi bir tehdit olarak söz ettim. Benzer bir durum, askerî bir tesisin personeli arasında, insan düzeyinde de var olabilir.
Örneğin bir nükleer denizaltının dar alanında çalışmak, nükleer silahların sorumluluğunu taşıyan kişilerin, yüksek uluslararası gerilim zamanlarında ortak bir duygusal bozukluk yaşayabilecekleri son derece tehlikeli bir psikolojik zihniyet üretebilir. Emir olmadan ya da emirlere aykırı hareket etmek mümkün hâle gelebilir.
Uyuşturucu kullanımı da gizli bir tehlikedir ve bir başka olası “ortak mod arızası”dır. Dini fundamentalizm — “Armageddon Kompleksi” — de öyledir. Yüksek alarm durumunda iletişim kanalları koparsa ya da talimatlar bozulur ve yanlış anlaşılırsa, kaptan ve subayları sonunda füzeleri ateşleme sorumluluğunu üstlenebilirler.
Bu senaryo elbette askerî yetkililer tarafından inanılmaz olarak reddedilmektedir; tıpkı maksimum güvenilir seviyeyi aşan reaktör kazalarının sivil nükleer reaktör işletmecileri tarafından reddedilmesi gibi. Ancak gördüğümüz üzere, bu tür kazalar meydana gelebilmektedir.
Nükleer silahlar ve bunların taşıma sistemlerini içeren çok sayıda ciddi kaza şimdiden yaşanmıştır. Birkaç hafta önce bir Sovyet nükleer denizaltısı, iç patlama sonrasında Atlas Okyanusu’nun dibine battı. Bunun ilk olay olmadığını daha sonra öğrendik. ABD’nin resmî yayınları, 1956–1986 döneminde Amerikan nükleer silah taşıyıcılarını içeren kazaları listelemektedir. Bu olayların çoğu, uçaklardan yanlışlıkla düşürülen ya da uçak kazalarında kaybedilen bombalara ilişkindir.
1966’daki Palomares olayı ve 1968’deki Thule olayı en ciddi olanlardan ikisidir ve her ikisi de radyoaktif kirlenmeye yol açmıştır. Sovyet nükleer kuvvetlerine ilişkin karşılaştırılabilir verilere sahip değilim, ancak benzer olayların SSCB’de de yaşandığını varsaymak makuldür.
Yazılımdan Kaynaklanan Risk
Donanım arızası tehlikesini, donanım riskini ve her zaman var olan insan hatası riskini ele aldım. Peki ya yazılımdan kaynaklanan risk — her tür modern askeri teçhizatın içine yerleştirilmiş, çoğu zaman son derece karmaşık olan bilgisayar programları?
Bilgisayar programlama, bir bilimden ziyade bir sanat olarak gelişmiştir; bireysel uzmanlar çoğu zaman kendi tasarladıkları kestirme yolları kullanır. “Hata ayıklama (debugging)”, kazara yapılan hataların ya da mantıksal karışıklıkların tespit edilmesi ve ortadan kaldırılması süreci, yazılım geliştirmenin ayrılmaz bir aşamasıdır. Ancak tüm hataları bulmak kolay değildir.
SDI’nin bir gün konuşlandırma aşamasına ulaşması — ki bu pek olası görünmemektedir — durumunda, bilgisayarlar öylesine olağanüstü uzunlukta ve karmaşıklıkta programlara ihtiyaç duyacaktır ki, bunların genel doğruluk açısından denetlenmesi imkânsız olacaktır. Sistemin canlı testleri ise açıkça mümkün olmayacaktır; çünkü bu, uzayda nükleer patlamaların ateşlenmesini gerektirirdi.
Oysa etkili olabilmesi için, sistemin saldıran füzeler tarafından ilk kez etkinleştirildiği anda, neredeyse yüzde 100 verimlilikle çalışması gerekirdi; üstelik belki yıllar ya da on yıllar boyunca kullanılmamış ve muhtemelen yetersiz bakım görmüş bir durumdan sonra.
Bu kavramın bütünüyle uygulanamazlığı insanın aklını zorluyor. Bu efsanevi şemsiyeye takılıp kalınmasının, Reykjavik’te şimdiye kadar ortaya konmuş en kapsamlı silahların azaltılması önerileri üzerinde uzlaşmaya varılmasını engellemiş olması, kuşkusuz insan hatasının üzücü bir örneğidir.
Öyleyse nükleer savaşın önlenmesi konusunda nükleer reaktör kazalarından hangi dersleri çıkarabiliriz? Başlıca ders şudur: Ne kadar ayrıntılı önlemler alınırsa alınsın, zamanı geldiğinde bir şeyler mutlaka ters gidecektir. Ve bu gerçekleştiğinde, insan hatasının ya da güvenlik kurallarının veya askeri talimatların bilinçli olarak ihlal edilmesinin büyütücü etkisine sınır koymak mümkün değildir.
Sivil nükleer reaktörler söz konusu olduğunda, gördüğümüz gibi sonuçlar kapsam ve süre bakımından sınırlıdır. Pek çok insan zarar görebilir, ancak uygarlık yok olmaz. Bir maliyet–fayda analizi, ihtiyaç duyduğumuz enerjinin başka yollarla daha düşük maliyetle elde edilebileceğini gösterebilir. Ya da göstermeyebilir; çünkü enerjiyi yakalamanın diğer yolları da kendilerine özgü riskler barındırır.
Silah Tesislerindeki Kazalar
Nükleer silahlar alanında kullanılan ekipman türü, otomatik güvenlik aygıtları ve bilgisayar denetimleri, işletme kuralları ve görev alan teknik personel türü, sivil nükleer reaktörlerde bulunanlardan çok da farklı değildir.
(26. sayfada devam ediyor)
Sivil reaktör tesisleri. Reaktörlerde kazalar önlenemezse, silah tesislerinde de mutlaka meydana gelecektir. Ancak sonuçlar ölçülemeyecek kadar daha büyük olabilir. Yüksek uluslararası gerilim zamanında bir nükleer füzenin kazara serbest bırakılması nükleer bir savaşı tetiklerse, sonrasında bir maliyet–fayda analizi yapma fırsatı olmayacaktır. Maliyet ölçülemez, faydası ise yoktur.
Nükleer Düğmelere Parmak Yok
Tüm bunlardan çıkardığım ders şudur: nükleer düğmelerde parmak olmamalıdır; yani nükleer bir felaketi başlatabilecek düğmeler olmamalıdır. Çünkü bu nihai kriz sırasında üzerlerine binecek baskılara dayanabilecek kadar bilge ya da güçlü sayılabilecek kimse yoktur — özellikle de nükleer silahları nihai bir tehdit olarak elde tutmakta ısrar eden siyasetçiler. Bu silahlar ve diğer tüm kitlesel yok etme araçları, bu tek dünyanın farklı parçaları arasında ortaya çıkmaya devam edecek sorunları çözmek için tamamen uygunsuz araçlar olarak hurda yığınına gönderilmelidir. Yerlerine, yüksek teknoloji dünyasında etkili olabilecek yegâne yöntemler konmalıdır — diyalog, diplomasi, yapıcı uzlaşma ve özellikle de yoksulluk, açlık ve hastalığa karşı, hâlâ var oldukları her yerde, ortak bir mücadele başlatmak için işbirliği.
İspanya'nın Madrid kentinde düzenlenen İkinci Bölgesel Avrupa Sempozyumu'nda Prof. John Boag tarafından yapılan konuşmaya ilişkin IPPNW Report, Nisan 1987 tarihli rapora dayanmaktadır. Telif hakkı 1987 International Physicians for Prevention of Nuclear War. İzin alınarak yeniden basılmıştır.