Schutzzielorientiertes Design der Sicherheitsleittechnik

Transkript

1 HAUPTBEITRAG Schutzzielorientiertes Design der Sicherheitsleittechnik Top-down-Entwurf: Defence-in-Depth-Prinzip in KKW Um die höchsten Anforderungen an die Sicherheitsleittechnik in Kernkraftwerken (KKW) zu erfüllen, muss diese systematisch konzipiert und überprüfbar projektiert werden. Der Beitrag stellt einen schutzzielorientierten Designprozess vor, wobei gleichzeitig die Philosopie der gestaffelten Verteidigung (defence in depth) angewendet wird. Der Ansatz eignet sich für Neubauten wie den Europäischen Druckwasserreaktor (EPR) und für umfassende Nachrüstungen in Altanlagen. Dieser Designprozess wurde in nationalen wie internationalen leittechnischen Projekten erfolgreich eingesetzt. SCHLAGWÖRTER Schutzziele / Sicherheitsleittechnik / Gestaffelte Verteidigung / Kernkraftwerk / EPR Safety Objective Oriented Design of Safety I&C Defence in Depth in Nuclear Power Plants Safety instrumentation and control in nuclear power plants has to be systematically designed and revisable in order to meet the highest safety requirements. A safety objective oriented design process is presented in combination with the defence in depth philosophy. The approach is applicable for the construction of new plants like the European Pressurized Reactor (EPR) and for the comprehensive refurbishment of existing plants. Its success has been demonstrated in several domestic and international I&C projects. KEYWORDS safety objective / safety I&C / defence in depth / nuclear power plant / EPR 54

2 YONGJIAN DING, Hochschule Magdeburg-Stendal Z um sicheren Betrieb einer kerntechnischen Anlage sind umfangreiche Schutz- und Sicherheitsmaßnahmen nötig. Diese lassen sich nach Art und Weise der Wirkung in passive und aktive Maßnahmen einteilen. Passive Maßnahmen sind mechanische und bautechnische Einrichtungen, die ihre Schutzfunktionen ohne Stelleinrichtungen erfüllen. Die aktiven Sicherheitsmaßnahmen ergänzen die passiven, indem wichtige Prozessgrößen durch die Leittechnik überwacht und gegebenenfalls automatisch beeinflusst werden. Die Maßnahmen arbeiten im Normalbetrieb, im Fall von Betriebsstörungen und beim Auftreten von Störfällen. In einem Kernkraftwerk der Leistungsklasse größer als 1000 MWe werden von der Leittechnik mehr als binäre und analoge Prozessvariablen verarbeitet, mehrere tausend Antriebe gesteuert. Der Designprozess zur Spezifikation der zugehörigen leittechnischen Funktionen und insbesondere der sicherheitstechnisch wichtigen Funktionen muss daher klar strukturiert und überprüfbar gestaltet werden. Zusätzlich muss Vorsorge getroffen werden, dass beim postulierten Versagen einzelner Sicherheitsfunktionen die Schutzziele der Anlage gewahr bleiben. 1. LEITTECHNISCHE GESAMTSTRUKTUR IM KERNKRAFTWERK Um die gesamte leittechnische Funktionalität in einem Kernkraftwerk zu realisieren und einerseits die extrem hohe Zuverlässigkeit der Sicherheitsfunktionen, andererseits die möglichst hohe Verfügbarkeit der Anlagen für die Stromproduktion zu gewährleisten, sind für die Realisierung der Gesamtleittechnik mindestens zwei unterschiedliche Geräteplattformen erforderlich. Bild 1 zeigt eine leittechnische Struktur eines Kernkraftwerks basierend auf der Teleperm XS Plattform (TXS, Areva Deutschland) für die Sicherheitsleitechnik (links im Bild) sowie der SPPA T2000 Plattform (SPPA T2000, Siemens) für die betriebliche Leittechnik (rechts im Bild). Die betriebliche Leittechnik (Operational I&C) dient der Führung der Prozessvariablen im Normalbetrieb. Sie umfasst im Wesentlichen Automatisierungsgeräte (AS) zur Erfassung der Prozessvariablen, zur Berechnung der Stellanforderungen sowie zur Steuerung der Antriebe; ferner einen Anlagenbus zum Austausch von Information zwischen den einzelnen Automatisierungsgeräten sowie zwischen Automatisierungsgeräten und den Bedien- und Beobachtungseinrichtungen (OM + Backup Panel) in der Hauptwarte eines Kernkraftwerkes. Die Sicherheitsleittechnik (Safety I&C) ist von der betrieblichen Leittechnik unabhängig und überwacht die wesentlichen Sicherheitsvariablen. Im Falle unzulässiger Abweichungen schaltet sie das KKW ab und hält es in einem sicheren Zustand. Die Sicherheitsleittechnik umfasst auch unabhängige Bedien- und Beobachtungseinrichtungen (Safety Control Panel) in der Hauptwarte, mit denen das Kernkraftwerk bei Versagen der betrieblichen Leittechnik in einen sicheren Zustand überführt und dort gehalten werden kann. Da eine Vielzahl von Antrieben über die betriebliche Leittechnik und über die Sicherheitsleittechnik angesteuert werden muss, bedarf es einer speziellen Logik, welche sicherstellt, dass Befehle der Sicherheitsleittechnik stets Vorrang vor den Befehlen der betrieblichen Leittechnik haben. Diese Logik wird durch eine eigene Gerätetechnik realisiert, welche in Bild 1 mit Priority Logic (Vorrangsteuerung) bezeichnet ist. Die Geräteplattform zur Realisierung der Sicherheitsleittechnik zeichnet sich durch die strenge anlagenunabhängige Typprüfung der Hardware- und Softwarekomponenten und wichtige built-in Sicherheitseigenschaften aus [2, 3]. Dadurch wird das anlagenspezifische Genehmigungsrisiko, aber ebenso der Genehmigungsaufwand deutlich verringert. Letzterer kann sich auf die Überprüfung der leittechnischen Funktionen und deren korrekte Implementierung (Redundanz- und Diversitätsgrad der Teilsysteme zur Sicherstellung der Fehlererkennung und Fehlertoleranz) einschließlich der zugehörigen Maßnahmen der Qualitätssicherung und Nachweisführung beschränken. 55

3 HAUPTBEITRAG Da der Beitrag die Sicherheitsfunktionen im Fokus hat, behandeln die weiteren Betrachtungen den Designprozess zur Realisierung der Sicherheitsleittechnik. 2. DER TOP-DOWN-DESIGNPROZESS Für einen Designprozess, bei dem die Spezifikation der leittechnischen Funktionen und deren Implementierung in einem Top-down Prozess aus den Schutzzielen eines KKW abgeleitet wird, ist es sinnvoll, in folgenden Schritten vorzugehen: 1 Festlegung der Schutzziele, 2 Identifizierung der zu beherrschenden Ereignisse, 3 Spezifizierung der erforderlichen verfahrenstechnischen und leittechnischen Funktionen, 4 Festlegung des Barrierenkonzeptes, 5 Festlegung der leittechnischen Architektur, 6 Validierung der Auslegung. Dieser systematische Designansatz wurde in großem Umfang erstmals beim Neubau eines KKW in Ostchina praktiziert [4, 5] und im Laufe der Zeit in zahlreichen Projekten von Areva kontinuierlich weiter entwickelt. Im Folgenden werden die Teilschritte beschrieben und anhand einer beispielhaften Neubauanlage vom Typ Europäischer Druckwasserreaktor (EPR) veranschaulicht. 2.1 Festlegung der Schutzziele Die Schutzziele eines KKW leiten sich unmittelbar aus den Vorgaben der einschlägigen nationalen oder intenationalen Gesetzgebung (zum Beispiel des Atomgesetzes in Deutschland) ab, wonach Leben, Gesundheit und Umwelt/Sachgüter vor den Gefahren der Kernenergie und der schädlichen Wirkung ionisierender Strahlen zuverlässig zu schützen sind. Draus resultieren diese Schutzziele: a Reaktivitätskontrolle: Unabhängig vom Betriebszustand eines KKW (Leistungsbetrieb oder Revisionsbetrieb; Normalbetrieb oder unter Störfallbedingungen) muss immer gewährleistet sein, dass die Kettenreaktion im Kern des Reaktors jederzeit unterbrochen und der Reaktor sicher abgeschaltet und im sicheren Zustand gehalten werden kann. b Brennelementekühlung und Wärmeabfuhr: Sowohl im Leistungsbetrieb als auch im abgeschalteten Betrieb muss die Wärme aus dem Reaktorkern und aus dem Brennelementekühlbecken sicher und dauerhaft abgeführt werden. c Sicherer Einschluß der Radioaktivität: Zur Sicherstellung, dass weder das Betriebspersonal noch die Kraftwerksumgebung der schädlichen Wirkung ionisierender Strahlen ausgesetzt werden, muss eine unerlaubte Freisetzung von Radioaktivität sicher verhindert werden. Dies gilt sowohl für den Normalbetrieb als auch im Falle des Auftretens der Auslegungsstörfälle. 2.2 Identifizierung der zu beherrschenden Ereignisse Eine der wesentlichen Auslegungsgrundlagen von Kernkraftwerken sind postulierte Ereignisse und Bedingungen, für welche die Wirksamkeit der Schutzmaßnahmen nachgewiesen werden muss. Dies betrifft Ereignisse, die ihre Ursache innerhalb der Anlage haben (zum Beispiel das Versagen mechanischer e, Feuer oder Kurzschlüsse) in gleichem Maße wie Ereignisse, die ihre Ursache außerhalb der Anlage haben (wie Naturkatastrophen, Absturz eines Flugzeuges). Da diese Ereignisse grundsätzlich das Potenzial haben, die oben genannten Schutzziele zu gefährden, bilden sie die Grundlage zur Auslegung der Sicherheitssysteme. Es ist Praxis, diese Ereignisse entsprechend der erwarteten Häufigkeit des Auftretens in Gruppen zusammenzufassen. In der EPR-Entwicklung werden diese Gruppen als Design Basis Conditions (DBC) bezeichnet wobei die Auslegung vier Gruppen unterscheidet: DBC 1: Normalbetrieb; DBC 2: Betriebliche Transienten/Störungen (Häufigkeit > 10-2 /Reaktorjahr); DBC 3: Störfälle der Kategorie 1 (10-3 / Reaktorjahr < Häufigkeit < 10-2 /Reaktorjahr) und DBC 4: Seltene Störfälle der Kategorie 2 (Häufigkeit < 10-3 /Reaktorjahr) Da mit der Eintrittshäufigkeit eines Ereignisses bei gleichbleibendem Schadensausmaß beziehungsweise der Sicherheitsbedeutung des Ereignisses auch dessen Risikobeitrag proportional ansteigt, fassen die so gebildeten Gruppen in erster Näherung Ereignisse mit vergleichbarem Risikobeitrag zusammen. Da in einer ausgewogenen Auslegung alle relevanten Ereignisse einen ähnlichen Beitrag zum Risiko liefern sollten, sind diese Gruppen der Ausgangspunkt für das Konzept der gestaffelten Verteidigung, Defence-in-Depth-Konzept. Neben diesen einzelnen Ereignissen werden bei Neubauprojekten von Reaktoren der Generation III beziehungsweise III+, wozu der EPR gehört, extrem seltene Kombinationen von Ereignissen in der Auslegung berücksichtigt. In der EPR-Entwicklung werden solche Ereigniskombinationen als Design Extension Conditions (DEC) bezeichnet, wobei folgende Gruppen unterschieden werden: DEC A und DEC B: Mehrfache Fehler beziehungsweise Szenarien mit extrem niedrigen Wahrscheinlichkeiten (Häufigkeit < 10-4 / Reaktorjahr); die Unterscheidung des Typs A vom Typ B besteht darin, dass bei Ereignissen vom Typ DEC A noch zusätzlich ein Einzelfehler im betroffenen Sicherheitssystem unterstellt wird, beim Typ DEC B dagegen nicht; 56

4 Schwere Störfälle: mit nennenswerten Kernschäden (Häufigkeit < 10-6 /Reaktorjahr). Bei schweren Störfallen kommt es vor allem auf die Begrenzung des Schadensausmaßes an, indem die Freisetzung großer Mengen an Radioaktivität verhindert wird. Die DBC bilden in der EPR-Auslegung die Grundlagen für die deterministischen Akzeptanzkriterien und für die probabilistischen Nachweisziele bezüglich der Kernschmelzhäufigkeit beziehungsweise der Wahrscheinlichkeit, dass große Mengen an Radioaktivität freigesetzt werden. 2.3 Spezifizierung der erforderlichen verfahrenstechnischen und leittechnischen Funktionen Die Einhaltung der unter 2.1 genannten Schutzziele erfordert für einen spezifischen Typ von Kernkraftwerken mehrere globale Sicherheitsfunktionen. So umfasst die Einhaltung des Schutzzieles Brennelementkühlung für einen Druckwasserreaktor unter anderem, dass der Reaktorkern stets mit Kühlmittel bedeckt ist, dass die an das Kühlmittel abgegebene Wärme zur Sekundärseite übertragen wird und dass die an die Sekundärseite abgegebene Energie an die finale Wärmesenke (zum Beispiel Turbine) übertragen wird. Die Einhaltung dieser globalen Sicherheitsfunktionen setzt voraus, dass die Integrität des Primärkreises und des Sekundärkreises gewährleistet ist. Das heißt, das Schutzziel Brennelementkühlung erfordert im Betrieb eines Druckwasserreaktors unter anderem die Einhaltung der globalen Sicherheitsfunktionen Kernbedeckung, Primärseitige Wärmeabfuhr, Sekundärdseitige Wärmeabfuhr, Überdruckabsicherung Primärseite, Überdruckabsicherung Sekundärseite. Die Einhaltung dieser globalen Sicherheitsfunktionen verlangt unterschiedliche verfahrenstechnische e, die in den Betriebszuständen des Kernkraftwerks wirksam werden. So schließt beispielsweise die sekundärseitige Wärmeabfuhr die Bespeisung des Dampferzeugers ein, was je nach Betriebszustand des KKW durch die Hauptspeisepumpen, die Notspeisepumpen oder die An- und Abfahrpumpen erfolgen kann. Die Beiträge dieser verfahrenstechnischen e zur Einhaltung globaler Sicherheitsfunktionen, wie etwa die Bespeisung der Dampferzeuger über die Hauptspeisepumpen um die sekundärseitige Wärmeabfuhr zu gewährleisten, werden im Folgenden als verfahrenstechnische Funktionen bezeichnet. Leittechnische Funktionen leisten einen Beitrag, um die verfahrenstechnischen Funktionen zu erfüllen, indem sie beispielsweise Antriebe so steuern, dass die wesentlichen Prozessvariablen in erlaubten Bereichen geführt werden. So erfordert die verfahrenstechnische Funktion Bespeisung des Dampferzeugers über die Hauptspeisepumpen unter anderem leittechnische Funktionen zur Regelung des Füllstands im Dampferzeuger, da die verfahrenstechnische Funktion nur dann sichergestellt wird, wenn sich der Füllstand im Dampferzeuger in einem spezifizierten Bereich befindet. Entsprechend dieser atik lässt sich die Spezifikation leittechnischer Funktionen in einem Prozess Safety I&C Operational I&C Safety Control Panel Engineering SPACE Engineering ES 680 Process Control and Information OM 690 Backup Panel Reactor Protection ~ Gateway Priority Logic ~ Plant bus Automation AS 620 ~ BILD 1: Leittechnische Struktur eines Kernkraftwerks [1] M Field M M 57

5 HAUPTBEITRAG der sukzessiven Verfeinerung aus den globalen Schutzzielen eines Kernkraftwerkes ableiten, Bild 2. Dazu werden zunächst alle globalen Sicherheitsfunktionen (safety functions) für den betroffenen Kraftwerkstyp identifiziert, die für die Erfüllung der Schutzziele erforderlich sind. Das ist die erste Stufe der Verfeinerung (Level 1), die von den Experten für die Anlagensicherheit durchgeführt wird. In der zweiten Stufe der Verfeinerung (Level 2) werden alle verfahrenstechnischen Funktionen (process functions) identifiziert, die in den unterschiedlichen Betriebszuständen der Anlage nötig sind, um die globalen Sicherheitsfunktionen zu gewährleisten. Diese zweite Stufe der Verfeinerung erfordert dabei bereits, die unter Punkt 2.2 identifizierten zu beherrschenden Ereignisse zu berücksichtigen, da abhängig vom jeweiligen Ereignisablauf zur Gewährleistung einer globalen Sicherheitsfunktion unterschiedliche verfahrestechnische Funktionen benötigt werden. Diese zweite Stufe der Verfeinerung wird von Experten der Verfahrenstechnik durchgeführt. Sie erlaubt bereits eine vorläufige Einstufung der sicherheitstechnischen Bedeutung der verfahrenstechnischen Funktion. In einer dritten Stufe der Verfeinerung (Level 3) werden alle leittechnischen Funktionen (I&C functions) identifiziert und spezifiziert, die zur Sicherstellung der verfahrenstechnischen Funktionen verlangt werden. Das Ergebnis dieses Verfeinerungsschrittes ist eine konkrete verfahrenstechnische Aufgabenstellung an die Leittechnik, die vereinfachend als leittechnische Funktion bezeichnet wird, siehe Bild 3. Sie spezifiziert unter anderem, welche Prozessvariablen in welcher Qualität zu erfassen und durch welche Algorithmen daraus Stellbefehle zu erzeugen sind, unter welchen Bedingungen die Funktion erbracht werden muss (zum Beispiel nach Erdbeben oder Feuer) sowie die Anforderungen an das Zeitverhalten, an das Fehlerverhalten oder an die Unabhängigkeit von anderen Funktionen. Auch diese dritte Stufe der Verfeinerung wird von den Experten der Verfahrenstechnik durchgeführt, wobei in der Regel Leittechniker daran beteiligt sind. Im letzten Schritt der Verfeinerung (Level 4) wird die leittechnische Funktion um die implementierungsrelevanten Details ergänzt. Hierbei wird beispielsweise spezifiziert, wie sich die geforderte Funktionalität auf die Hardware verteilt. In diesem Schritt wird ebenso Funktionalität ergänzt, die ausschließlich für leittechnische Zwecke benötigt wird. Das ist beispielsweise zusätzliche Funktionalität, um Ausfälle in der Leittechnik zu erkennen und zu melden, um Reparaturund Wartungsmaßnahmen zu vereinfachen oder um wiederkehrende Prüfungen zu automatisieren. Dieser letzte Schritt wird von Experten der Leittechnik durchgeführt. Er ist aber erst dann möglich, wenn die Rolle der leittechnischen Funktionen im Konzept der gestaffelten Verteidigung bekannt und damit die leittechnische Architektur festlegt ist. Er ist somit ein wesentlicher Bestandteil der leittechnischen auslegung. Vollständigkeitshalber werden noch Aspekte erwähnt, die beim leittechnischen Design berücksichtigt und dokumentiert werden müssen, ohne einzeln darauf einzugehen: Interfacedesign einschließlich der Mensch-Maschinen-Schnittstellen (HMI), das Konzept für Signalerfassung und Verteilung, das Alarmkonzept, das Vorrangkonzept (Sicherstellung, dass Befehle aus der Sicherheitsleittechnik stets Vorrang haben gegenüber denen aus der betrieblichen Leittechnik), das Stromversorgungskonzept, das EMV- und Erdungskonzept, das Konzept zur räumlichen und elektrischen Entkopplung der Redundanzen sowie Überspannungsschutz, das IT-Security-Konzept, das Service- und Wartungskonzept inklusive des Konfigurations- und Versionsmanagements, das Konzept zur wiederkehrenden Prüfung. 2.4 Festlegung des Barrierenkonzeptes Die Grobstruktur des Barrierenkonzeptes wird durch das kerntechnische Regelwerk vorgegeben, indem unabhängige Funktionen für den Normalbetrieb, für die Störfallbeherrschung und für die Minimierung des Restrisikos gefordert werden. Aus der Rolle der verfahrenstechnischen Funktionen in den entsprechenden Zuständen der Anlage ergibt sich eine erste Zuordnung der leittechnischen Funktionen zu diesen Barrieren. Diese erste Zuordnung wird dann im Rahmen der Störfallanalysen verifiziert und gegebenenfalls modifiziert, indem Funktionen in eine andere Barriere verschoben oder mehrfach implementiert werden. Im Rahmen der Störfallanalyse wird für alle postulierten Ereignisse ermittelt, welche Funktionen zum Einhalten der globalen Sicherheitsfunktionen beitragen und in welchem Umfang dies geschieht. Ein Ergebnis dieser Analyse ist das Back-up-Konzept, bei dem für alle Ereignisabläufe ermittelt wird, welche Back-up-Funktionen kreditiert werden können, wenn primäre verfahrenstechnische oder leittechnische Funktionen versagen sollten, und in welcher Folge dies möglich ist. Damit alle postulierten Ereignisse einen vergleichbar geringen Beitrag zum Restrisiko beitragen, erfordern Ereignisse mit einer höheren Eintrittshäufigkeit gegebenenfalls auch mehrere Back-up-Funktionen. Bild 4 veranschaulicht ein derartiges Konzept der gestaffelten Verteidigung bestehend aus vier Barrieren in Anlehung an die Auslegung des EPR. Das Konzept ist in Form eines Diagrammes veranschaulicht, bei denen die Abszisse die Betriebszustände und die auslegungsrelevanten Ereignisse der Anlage gruppiert nach deren Eintrittshäufigkeit repräsentiert, während die Ordinate deren mögliche Auswirkungen auf die Anlage gestaffelt nach der Schwere aufzeigt. Die waagerechten 58

6 Objectives Reactivity Cooling Release Safety Level 1 Safety objectives Safety functions Process Level 2 Related process functions Level 3 Specification of I&C functions I&C Level 4 Implementation of I&C functions BILD 2: Detaillierungsebenen der Funktionsspezifikation BILD 3: Beispielhafte Darstellung einer leittechnischen Funktion auf Ebene 3 Balken in diesem Diagram stellen die unterschiedlichen Barrieren in Form einer Gruppe verfahrenstechnischer und leittechnischer Funktionen dar, durch die unzulässige Auswirkungen dieser Betriebszustände und Ereignisse auf die Anlage verhindert werden sollen. Die Länge der Balken repräsentiert dabei die Zuverlässigkeit der entsprechenden Funktionen. Barriere Normalbetrieb und vorbeugende Verteidigung (preventive line): Die Barriere Normalbetrieb und vorbeugende Verteidigung umfasst alle verfahrenstechnischen und leittechnischen Funktionen, die im Normalbetrieb (DBC 1 Ereignisse) und beim Auftreten von Betriebstransienten (DBC 2 Ereignissen) den störungsfreien Betrieb der Anlage und die Einhaltung der globalen Sicherheitsfunktionen gewährleisten. Hauptbarriere (main line): Die Hauptbarriere umfasst zum einen alle verfahrenstechnischen und leittechnischen Funktionen zur Einhaltung der globalen Sicherheitsfunktionen beim Auftreten von Störfällen (DBC 3/4 Ereignisse). Zum anderen bezieht sie alle verfahrenstechnischen und leittechnischen Funktionen zur Einhaltung der globalen Sicherheitsfunktionen mit ein, bei einem unterstellten Versagen der vorgelagerten Barriere in Überlagerung mit einem entsprechenden Ereignis. Das heißt, die Hauptbarriere beinhaltet Back-up-Funktionen, mit denen sich alle Ereignisse der vorgelagerten Barriere beherrschen lassen. Barriere Risikominimierung (risk reduction line): Die Barriere Risikominimierung umfasst verfahrenstechnische und leittechnische Funktionen zur Vermeidung schwerer Störfälle bei sehr seltenen Einwirkungen von außen und bei Auslegungsstörfällen in Überlagerung mit dem postulierten Versagen der Funktionen der Hauptbarriere, wobei allerdings ein höheres Schadenspotenzial toleriert wird. Dies wird im Diagram in Bild 4 dadurch ersichtlich, dass der entsprechende Balken auf der Ordinate höher angeordnet ist als der Balken der Hauptbarriere. Das besagt, die Barriere Risikominimierung beinhaltet alle für die Vermeidung schwerer Störfälle erforderlichen Back-up-Funktionen zur Hauptbarriere. Barriere Schwere Störfälle (severe accidents): Die Barriere Schwere Störfälle umfasst nur sehr wenige leittechnische Funktionen, im Wesentlichen zur Überwachung der Bedingungen im Containment. 59

7 HAUPTBEITRAG 2.5 Festlegung der leittechnischen Architektur Da Barrieren auch leittechnische Backup-Funktionen zu den Funktionen der unterlagerten Barriere enthalten, ist die Wirksamkeit des Konzeptes in Bezug auf das Versagen der Leittechnik nur dann sichergestellt, wenn jede Barriere in einem unabhängigen leittechnischen implementiert wird. In diesem Sinne legt das Barrierekonzept die minimale Anzahl unabhängiger e in der leittechnischen Architektur fest. Bild 5 zeigt, wie sich das erläuterte Barrierenkonzept in der leittechnischen Architektur des EPR abbildet. Die Zuordnung der Teilsysteme der Leittechnik zu den Verteidigungslinien sieht so aus: Die Barriere Normalbetrieb und vorbeugende Verteidigung wird durch das Prozessautomatisierungssystem (PAS) sowie das Reaktorleistungsregel- und Begrenzungssystem (RCSL) realisiert, die Hauptbarriere wird durch das Reaktorschutzsystem (PS) sowie die Sicherheitsautomation (SAS) verwirklicht, die Barriere Risikominimierung wird durch die diversitäre Sicherheitsautomation (DAS) umgesetzt, und die Barriere Schwere Störfälle wird durch das Überwachungssytem (SA-I&C) erreicht. Dabei ist zu beachten, dass leittechnische Funktionen verschiedener Barrieren unabhängig voneinander arbeiten müssen und zur Beherrschung des Versagens wegen Fehler gemeinsamer Ursache (Common Cause Failure, CCF) die Leittechnik der Risikoreduktionslinie diversitär zur Technik in der Hauptverteidigungslinie ausgeführt wird. 2.6 Designvalidierung Die fertig projektierten leittechnischen Funktionen müsssen überprüft werden, ob sie im Fall der zu beherschenden Ereignisse wirken. Grundlagen dafür sind Ergebnisse der Transientenanalyse unter Berücksichtigung der hydraulischen beziehungsweise mecha- Overall safety target Acceptance criteria Severe accidents Risk reduction line Preventive line Design basis categories Main line Reliability claim DBC 1/2 DBC 3/4 DEC A/B Severe accidents BILD 4: Konzept der gestaffelten Verteidigung mit vier Barrieren Design basis events Simplified I&C A BILD 5: Verteidigungslinien aus leittechnischer Sicht Level 0 Level 1 Level 2 GW Process information and control system (PICS) GW PAS RCSL SAS PS DAS SA-I&C PAC GW PAC Hardwired PAC GW Integrated primary HMI Dedicated secondary HMI PA C = Priority actuator control GW = Gateway Hardwired interface Network interface Preventive line Main line Risk reduction line Severe accidents 60

8 nischen Einflüsse. Die deterministische CCF-Analyse soll die Robustheit der Leittechnik gegen potentenzielles systematisches Versagen aufzeigen. Eine Analyse des Diversitätsgrades, in [6] Dissimilaritätsgrade genannt, bestimmter leittechnischer Einrichtungen, insbesondere zwischen der Hauptverteidigungslinie und der Risikoreduktionslinie, ist zu empfehlen. Weiterhin muss die probabilistische Analyse die Ausgeglichenheit des leittechnischen Designs in Übereinstimmung mit den verfahrenstechnischen Zielwertevorgaben belegen [7]. ZUSAMMENFASSUNG Das schutzzielorientierte Design der digitalen Sicherheitsleittechnik in modernen Kernkraftwerken wurde vorgestellt. Anhand des Beispiels eines EPR-Neubauprojekts wird der Top-down-Entwurfsprozess mit den Verfeinerungsschritten detailliert beschrieben. Die risikobasierte Ereignisgruppierung führt zu einer leittechnischen Struktur mit unabhängigen, gestaffelten Verteidigungslinien/Barrieren und sichert die Sicherheitsvorsorge auf dem Stand der Wissenschaft und Technik, um solche kerntechnischen Anlagen verantwortungsvoll bauen und betreiben zu können. Darüber hinaus könnte der systematische Ansatz auch auf andere Industrieanwendungen mit Sicherheitsrelevanz adaptiert werden. DANKSAGUNG Der Autor möchte sich ganz herzlich bei Herrn Dr. Arnold Graf von Areva Deutschland für seine wertvollen Verbesserungsvorschläge zum Beitragstext sowie die Überlassung einiger Werksbilder bedanken. MANUSKRIPTEINGANG Im Peer-Review-Verfahren begutachtet REFERENZEN AUTOR [1] Areva NP GmbH: TELEPERM XS - The I&C for Functions Important to Safety in Nuclear Power Plants. Areva, 2009 [2] Bastl, W., Bock, H.-W.: German qualification and assessment of digital I&C systems important to safety. Reliability Engineering & Safety 59(2), S , 1998 [3] Bock, H.-W., Graf, A.: Type-testing The German approach to qualifying safety critical software. Nuclear Engineering International 1996 [4] Ding, Y.: Automation of an entire nuclear power plant, taking Tianwan, China, as an Example. In: Tagungsband WANO-Workshop Computer based I&Csystems: necessity for continuous improvement, S WANO, [5] Xu, X., Li, Y., Ding, Y.: Design Optimization and Operational Experiences of Safety I&C In Tianwan NPP / China. In: Tagungs-CD 2. Symposium Safety I&C, S TÜV Nord Akademie, 2010 [6] Bühler, C.: Sicherheitsanalytik für den Einsatz neuer digitaler Sicherheitsleittechnik-systeme. atw Internationale Zeitschrift für Kernenergie 57 (5), S , 2012 [7] Ding, Y., Gu, C., Hauptmanns, U.: Zuverlässigkeitsuntersuchung und -berechnung rechnerbasierter Sicherheitsleittechnik in Kernkraftwerken, In: Tagungsband Entwurf komplexer Automatisierungssysteme 2012, S , ifak 2012 Prof. Dr.-Ing. YONGJIAN DING (geb. 1959) ist Professor für Steuerungstechnik und Automatisierungssysteme und Direktor des Instituts für Elektrotechnik der Hochschule Magdeburg-Stendal. Er studierte Elektrotechnik an der Technischen Universität München und promovierte an der Fakultät für Elektrotechnik und Informationstechnik. Er war 17 Jahre in der Industrie tätig, unter anderem bei der Gesellschaft für Anlagen- und Reaktorsicherheit (GRS) mbh und deren Tochtergesellschaft Institut für Sicherheitstechnologie (ISTec) GmbH in Garching, bei Siemens KWU-N in Erlangen (heute Areva) und bei der E.On Kernkraft GmbH in Hannover. Er ist seit 2011 Mitglied des Ausschusses für elektrische Einrichtungen der Reaktorsicherheitskommission der Bundesregierung (RSK-EE). Hauptarbeitsgebiete: Sicherheitsautomation und Zuverlässigkeitsanalyse. Hochschule Magdeburg-Stendal, Breitscheidstr. 2, D Magdeburg, Tel. +49 (0) , yongjian.ding@hs-magdeburg.de 61