Is een ontploffende kernreactor een risico?

Is een ontploffende kernreactor een risico?

Testers praten graag in termen van risico’s. Het woord ‘Risico’ kent veel betekenissen:

  • Gevaar, Gok, Kwade kans, Onzekerheid, Waagstuk.
  • De kans op functieverlies vermenigvuldigd met de economische en maatschappelijke gevolgschade.
  • De kans dat een potentieel gevaar resulteert in een daadwerkelijk incident en de ernst van het letsel of de schade die dit tot gevolg heeft.
  • Blootstelling aan onzekere wijzigingen, meestal gebruikt met een negatieve connotatie van ongunstige wijziging.
  • Een voorwaarde die kan leiden tot gevaar of schade.
  • En er zijn nog veel meer min of meer vergelijkbare definities ……

 

Het voorbeeld uit de kop: het risico aan een kernreactor is dat deze ontploft. Het probleem is echter niet het feit dat de kernreactor ontploft. Het echte probleem is de schade die dit potentieel tot gevolg heeft op korte en lange termijn.

Dit werpt een andere blik op het begrip risico. We moeten niet langer denken in waarde en risico, maar in waarde en (potentiële) schade! Het risico zelf is namelijk niet het probleem, de schade die kan volgen uit het risico is het echte probleem. Dat betekent dat we met een andere mindset moeten kijken naar deze negatieve waarde.

Potentiële schades die je je zou kunnen voorstellen bij een kernreactor zijn bijvoorbeeld:

  • Mensen overlijden direct als gevolg van vrijgekomen radioactieve straling
  • Mensen overlijden in de loop der tijd aan kanker als gevolg van vrijgekomen straling
  • Kinderen worden met afwijkingen geboren als gevolg van straling
  • Een onleefbare woonomgeving voor X-duizend jaar
  • Tekort aan elektriciteit
  • Uitgevallen bedrijven met als gevolg bijvoorbeeld tekorten aan producten
  • Negatief imago voor kerncentrales

Bij potentiele schade is het tevens van belang dat er wordt nagedacht over hoe een dergelijke schades tot stand zou kunnen komen. Denk in het voorbeeld aan:

  • Een oververhitting van de kern door onvoldoende koelwater
  • Een tsunami die de kernreactor bereikt
  • Een terroristische aanslag van binnenuit
  • Een aanslag van buitenaf met b.v. een raket of vliegtuig
  • Foutieve meetwaarden
  • Fouten in de software die de koeling aanstuurt
  • (en ongetwijfeld kunnen specialisten nog meer zaken aangeven)

Vervolgens zal er moeten worden nagedacht over welke maatregelen genomen kunnen worden om te voorkomen dat deze situatie ook daadwerkelijk gaat optreden.

Schade: een oververhitting van de kern door onvoldoende koelwater

Maatregelen:

  • Ontwerp (algemeen): plaats de kerncentrale niet in dichtbewoond gebied
  • Ontwerp (algemeen): binnen een straal van X kilometer van de kerncentrale mag niemand wonen of werken
  • Ontwerp: plaats de kerncentrale nabij een onuitputbare waterbron
  • Realisatie: zorg dat de waterpompen vanuit de waterbron nooit kunnen uitvalllen door b.v. extra backup systemen, noodaggregaten, handmatige noodpompen.
  • Testen: schakel de hoofdpompen uit, controleer de procedures indien de backup systemen uitvallen, hoe lang kunnen de noodpompen het werk aan, etc etc.
  • (en ongetwijfeld kunnen specialisten nog meer zaken aangeven)

Ook moet nog worden nagedacht wat er moet gebeuren als de situatie(de potentiële schade) dan toch is opgetreden:

  • Een evacuatieplan
  • Anti-stralingspakken voor alle inwoners in een straal van X kilometer rondom de kerncentrale
  • Het ontoegankelijk maken van een gebied van X kilometers rondom het rampgebied

 

En tenslotte welke factoren de maatregelen zouden kunnen verstoren of ongedaan of onbruikbaar maken:

  • Onvoldoende evacuatiemiddelen zoals auto’s of bussen
  • De anti-stralingspakken verouderen en zijn na X jaar niet meer bruikbaar
  • Het gebied is praktisch onmogelijk af te sluiten omdat het oneindig veel toegangswegen en mogelijkheden heeft

 

Ook voor deze factoren is het van belang om weer maatregelen te bedenken omdat de maatregelen anders van weinig waarde zouden kunnen zijn.

We zijn halverwege. We hebben nu de ‘known potential damages’ (links in bovenstaande figuur) in kaart waarbij we gebruik hebben gemaakt van het Bowtie model zoals hieronder afgebeeld.

We hebben ook nog te maken met ‘unknown potential damages’ (rechts in het figuur). Hoe gaan we dat dan aanpakken?

Dit is een ingewikkelder probleem omdat het tenslotte ‘unknowns’ zijn. Toch zijn ook hier opties om de unknows te onderzoeken(denk aan Exploratory Testing dat we gebruiken om het unknown domein van een applicatie te onderzoeken). We komen hierop terug in een volgende blog.

 

Ten aanzien van known potential damages kunnen we concluderen dat we vanaf nu op een andere manier moeten aankijken tegen datgene dat we traditioneel ‘risico’ noemen. Risico is immers niet de tegenhanger van het leveren van waarde: de tegenhanger van waarde is schade. Door te denken in schade kunnen we ook meer nadruk gaan leggen op maatregelen ter voorkoming en maatregelen ter verzachting van die schade.

 

‘Potential Damages’ is onderdeel van de training Agile-United Certified Specialist in Agile Testing.

Naar het overzicht
 

Alain Bultink | Managing Director
alain@deagiletesters.nl
06-15361077

Benno Kuipers | Directeur
benno@deagiletesters.nl
06-52600438