Entwicklung und Einsatz von Analysemethoden zur Beurteilung softwarebasierter leittechnischer Einrichtungen in deutschen Kernkraftwerken

Die Ergebnisse und Daten der Auswertungen von Ereignissen unterhalb der Meldeschwelle bei programmierbaren oder rechnerbasierten leittechnischen Komponenten in Kernkraftwerken wird dargestellt. Die Daten wurden von drei Doppelblockanlagen zur Verfügung gestellt, wodurch die Kernkraftwerkstypen Siedewasserreaktor der Baulinie 69, Siedewasserreaktor der Baulinie 72, Druckwasserreaktor der zweiten Generation, Druckwasserreaktor der dritten Generation (Vor-Konvoi-Anlage) und Druckwasserreaktor der vierten Generation (Konvoi-Anlage) abgedeckt wurden.

Eine Auswertung der Betriebserfahrung, das heißt von Ereignisdaten ist notwendig, um zu untersuchen, ob die bisherigen Abläufe zur Bewertung der Zuverlässigkeit (von Einrichtungen in Analogtechnik) auch bei neueren "digitalen" Komponenten beibehalten werden können. Der Betrachtungszeitraum, in dem die Betriebserfahrung ausgewertet wurde, beträgt für jede Anlage mindestens acht Jahre. Darüber hinaus wurde der entsprechende Stand von Wissenschaft und Technik sowohl national als auch international dargestellt. Bezüglich der Anforderungen an das Design von rechnerbasierten oder programmierbaren Leittechniksystemen, welche in Sicherheitseinrichtungen genutzt werden, lässt sich feststellen, dass die Forderung von Diversität als Schutz gegen gemeinsam verursachte Fehler (CCF) gesehen wird.

Eine Untersuchung der Diversitätsmerkmale eines leittechnischen Systems ist jeweils erforderlich, um zu zeigen, dass die Diversität einen wirksamen Schutz liefert. Nicht nur durch das Vorhandensein eines Diversitätsmerkmals, sondern das Zusammenwirken mehrerer Arten von Diversität sollte erzielt werden.

Aus den Ergebnissen der im Rahmen dieses Projektes durchgeführten Auswertungen ergibt sich folgendes Fazit:

1. Bei den vorliegenden Daten wurde keine besondere Häufung von Ausfällen von programmierbaren oder rechnerbasierten Komponenten entdeckt.
2. Einige Prüfprozeduren vereinfachen sich (zum Beispiel entfallen komplexe Prüfvorgänge aller möglichen Schalterstellungen einer analogen Schaltung bei Einsatz eines Mikroprozessors, da dieser entweder funktioniert oder nicht), andere hingegen werden komplizierter (zum Beispiel durch die vielzähligen Einstellungsmöglichkeiten programmierbarer oder rechnerbasierter Komponenten, wobei viele dieser Möglichkeiten sogar überflüssig für die in der Anlage konkret genutzte Funktion sind).
3. Einige der herkömmlichen Ausfallmechanismen und Fehlerursachen entfallen durch die programmierbare oder rechnerbasierte Technik, neue kommen jedoch hinzu.
4. Programmierfehler treten selten in Erscheinung, werden aber beobachtet.
5. Firmware-Updates werden von den Herstellerfirmen geliefert. Die Anlagen können beim Aufspielen der Updates durch Abgleichen der Versionsnummer die Firmware unterscheiden. Über den Inhalt der Updates, das heißt welche Fehler durch diese beobachtet, liegen den Anlagen üblicherweise keine Informationen vor.

Folgende offene Fragestellungen haben sich ergeben, die nicht abschließend geklärt werden konnten: Einige der programmierbaren oder rechnerbasierten Komponenten werden in Bereichen mit erhöhter Strahlung eingesetzt. Es wäre wünschenswert, zu analysieren, ob erhöhte Strahlung zu neuartigen Ausfällen in der Elektronik führen kann. Halbleiterbausteine sind bekanntlich anfälliger gegenüber erhöhter Strahlung. Darüber hinaus ist es vorstellbar, dass es zu Speicheränderungen bei elektronischen Speicherchips (zum Beispiel EPROM oder EEPROM) durch erhöhte Strahlung kommen kann.

Was dies im Einzelnen für programmierbare oder rechnerbasierte Komponenten bedeutet, ist noch unklar. Durch die extern der Anlage gelieferten Firmware-Updates und deren Einspielung in größerem Umfang ist ein potential bezüglich gemeinsam verursachter Ausfälle und dem Einbringen von Schadsoftware gegeben. Hier wäre es wünschenswert, die Prozesse bei den verschiedenen Herstellern und beim Aufspielen neuer Software zu untersuchen.