Stand: 06.03.2008 Stellungnahme des VdTÜV zu den erforderlichen Vorsorgemaßnahmen gegen systematisches Versagen von digitalen leittechnischen Einrichtungen in kerntechnischen Anlagen, die Leittechnikfunktionen der Kategorie 1 ausführen Auf der 38. Sitzung des VdTÜV FAK LE am 22.01.2008 wurden die erforderlichen grundsätzlichen Vorsorgemaßnahmen gegen systematisches Versagen von digitalen leittechnischen Einrichtungen in kerntechnischen Anlagen, die Leittechnikfunktionen der Kategorie 1 ausführen, diskutiert und das Ergebnis einstimmig verabschiedet. Der in dieser Stellungnahme verwendete Begriff Leittechnikfunktionen der Kategorie 1 bezieht sich auf die Festlegungen in der RSK-Leitlinie DWR im Abschnitt 7.3. Vorbemerkung Die grundsätzlich zu treffenden Vorsorgemaßnahmen umfassen nach dem Stand von Wissenschaft und Technik sowohl das gesamte Spektrum der fehlervermeidenden Maßnahmen als auch der fehlerbeherrschenden Maßnahmen. Letztere sind abhängig von den anlagentechnischen Randbedingungen und abhängig von den sicherheitstechnischen Auswirkungen bei einem systematischen Versagen von leittechnischen Einrichtungen zu realisieren. Im Folgenden werden ausschließlich die fehlerbeherrschenden Maßnahmen im Hinblick auf eine dissimilare Auslegung von redundanten Kanälen oder Strängen oder Teilsystemen behandelt. Alle anderen Auslegungsaspekte zur Erreichung einer robusten und hochzuverlässigen Leittechnik sind hiervon nicht berührt. Insbesondere ist von diesem Auslegungsaspekt unbenommen, dass für die Beherrschung des Einzelfehlers entsprechend Redundanz vorzusehen ist, da die leittechnischen Einrichtungen, die Leittechnikfunktionen der Kategorie 1 ausführen, die Unverfügbarkeit der Sicherheitssysteme nicht signifikant bestimmen dürfen. Unter dissimilarer Technik wird hier eine in der Summe hinreichend unähnliche bzw. unterschiedliche Hardware, Software, Entwicklungswerkzeuge, Entwicklungsteams, Fertigung, Test und Instandhaltung verstanden, so dass das systematische Versagen von zueinander dissimilaren Einrichtungen hinreichend unwahrscheinlich ist. Zur Realisierung
Seite 2 von 9 und Erhaltung der dissimilaren Auslegung der technischen Einrichtungen ist ein ausgereiftes Management in der Planung, Abwicklung und Beschaffung erforderlich. Auf den Begriff Diversität wurde hier bewusst verzichtet, da es sich hierbei um einen Oberbegriff handelt, der in unterschiedlichen Zusammenhängen verwendet wird. Die vorstehend definierte Dissimilarität fokussiert dagegen auf einen hier betrachteten speziellen auslegungsrelevanten Aspekt. Auslegungsaspekte zur Dissimilarität Eine angemessene dissimilare Auslegung erfordert zuerst eine detaillierte und umfassende Analyse der Auswirkungen von passivem und aktivem systematischen Versagen von leittechnischen Einrichtungen, die Leittechnikfunktionen der Kategorie 1 ausführen, auf die Ereignisabläufe / Störfallabläufe in der kerntechnischen Anlage. Zur Strukturierung der Analyse wurden verschiedene Gruppen gebildet. Der ersten Gruppe werden die Ereignisabläufe zugeordnet, die durch ein aktives systematisches Versagen von leittechnischen Einrichtungen, die Leittechnikfunktionen der Kategorie 1 ausführen, bei ungestörtem Leistungsbetrieb ausgelöst werden. Passives Versagen kann in dieser Gruppe unberücksichtigt bleiben, da dieses beim ungestörten Leistungsbetrieb ohne Auswirkungen auf die kerntechnische Anlage bleibt. In der Gruppe 1 finden sich Ereignisabläufe, 1a) die bei aktivem systematischem Versagen von leittechnischen Einrichtungen, die Leittechnikfunktionen der Kategorie 1 ausführen, nicht zu Störfällen oder sicherheitstechnisch unzulässigen Komponentenschäden führen und durch Handmaßnahmen von der Warte aus normalisiert werden können. 1b) die bei aktivem systematischem Versagen von leittechnischen Einrichtungen, die Leittechnikfunktionen der Kategorie 1 ausführen, selbst die Ursache von Störfällen sind.
Seite 3 von 9 Für die Gruppe 1a wird für die leittechnischen Einrichtungen der betroffenen Schutzaktionen keine dissimilare Auslegung gefordert. Für die Gruppe 1b ist eine dissimilare Auslegung erforderlich. Weitere Einzelheiten hierzu werden in der Gruppe 2b behandelt. Der zweiten Gruppe werden die Ereignisabläufe bei Störfällen zugeordnet, die infolge von systematischem Versagen von leittechnischen Einrichtungen, die Leittechnikfunktionen der Kategorie 1 ausführen, eine unerwünschte Anforderung von Schutzaktionen oder eine Verhinderung von Schutzaktionen beinhalten. In dieser Gruppe 2 wurde eine Aufteilung im Hinblick auf die sicherheitstechnische Auswirkung von systematischem Versagen von leittechnischen Einrichtungen, die Leittechnikfunktionen der Kategorie 1 ausführen, vorgenommen: 2a) Dieser Gruppe wurden die Ereignisabläufe zugeordnet, die ausschließlich eindeutig sicherheitsgerichtete Schutzaktionen beinhalten. 2b) Dieser Gruppe wurden die Ereignisabläufe zugeordnet, die nicht für jeden Anlagenzustand sicherheitsgerichtete Aktionen beinhalten. In der Gruppe 2a mit eindeutig sicherheitsgerichteter Auslösung von Schutzaktionen ist eine zweifache dissimilare Auslegung der leittechnischen Einrichtungen, die Leittechnikfunktionen der Kategorie 1 ausführen, dann erforderlich, wenn ein Störfall oder ein Ereignis bei passivem systematischem Versagen nicht in Sicherheitsebene 3 beherrscht wird. Für Schutzaktionen, bei denen aktives systematisches Versagen von leittechnischen Einrichtungen, die Leittechnikfunktionen der Kategorie 1 ausführen, bei Störfällen und Ereignissen immer eine eindeutig sicherheitsgerichtete Auswirkung hat, darf auf eine dissimilare Auslegung der leittechnischen Einrichtungen, die Leittechnikfunktionen der Kategorie 1 ausführen, verzichtet werden. Dies gilt in gleicher Weise für Schutzaktionen, bei denen ein passives systematisches Versagen durch Handmaßnahmen beherrscht wird. Bei Handmaßnahmen ist jedoch das 30-Minuten-Kriterium zu beachten.
Seite 4 von 9 In der Gruppe 2b ist für die leittechnischen Einrichtungen, die Leittechnikfunktionen der Kategorie 1 ausführen, mit nicht für jeden Anlagenzustand sicherheitsgerichtete Aktionen eine zweifache oder dreifache dissimilare Auslegung vorzusehen. Die Festlegung des Grads der Dissimilarität ist in Abhängigkeit von Systemaufbau, Automatisierungsstruktur und Auswirkung von passivem oder aktivem systematischem Versagen zu treffen. Die dissimilare Auslegung kann sowohl strangbezogen (z. B. bei vier Teilsystemen werden jeweils zwei Teilsysteme von dissimilaren Systemen angesteuert) als auch strangübergreifend (z. B. alle Teilsysteme werden über zwei zueinander dissimilare m-vn-systeme angesteuert) realisiert werden. Bei letzterem wird nochmals auf Maßnahmen zur Beherrschung des Einzelfehlers hingewiesen. Eine strangbezogene zweifache dissimilare Auslegung (Stränge untereinander dissimilar) ist ausreichend, wenn bei systematischem Versagen, unabhängig davon, ob dieses aktiv oder passiv wirksam wird, die verbleibenden Teilsysteme für die Störfallbeherrschung in der Sicherheitsebene 3 ausreichen. Hierbei ist berücksichtigt, dass für diesen Fall eine Überlagerung von systematischem Versagen und Versagen aufgrund von Einzelfehlern oder Instandhaltungsfall zusätzlich zum Störfall, im Kontext aller getroffenen Maßnahmen zur Beherrschung und Vermeidung des systematischen Versagens und des Versagens aufgrund eines Einzelfehlers, nicht unterstellt wird. Das damit in Bezug auf die Regel KTA 3501 geänderte Fehlerpostulat wird dadurch gerechtfertigt, dass bei einer Auslegung gegen Versagen aufgrund von Einzelfehlern und der sehr hochwertigen Maßnahmen zur Beherrschung und Vermeidung von systematischem Versagen eine zeitliche Koinzidenz beider Versagensmechanismen als hinreichend unwahrscheinlich anzusehen ist. Dies ist insbesondere im Kontext mit den hochentwickelten Selbstüberwachungsmaßnahmen zu sehen, die eine geringe Aufenthaltsdauer von mit der Selbstüberwachung erkennbaren Fehlern in digitalen leittechnischen Systemen bedingen. Für solche Systeme muss die zulässige Instandsetzungszeit abhängig vom Redundanzgrad eng begrenzt werden (vgl. RSK-Leitlinie 7.3). Eine zweifache dissimilare Auslegung bei strangübergreifender Dissimilarität ist ebenfalls ausreichend, wenn Ereignisse vorliegen, die nach Erkennen der Ausfälle
Seite 5 von 9 in hinreichender Zeit durch ausführbare Handmaßnahmen beherrscht werden; d. h. eine erforderliche Mehrheitsentscheidung () ist bei gegensätzlichen Anregesignalen durch den Operator sicherzustellen. Dies erfordert aber ein der dissimilaren Systeme in 2-v-2-Logik, wenn ein fehlerhaftes Ansprechen eines Systems ohne Folgen bleiben muss. Eine dreifache dissimilare Auslegung bei strangübergreifender Dissimilarität ist erforderlich, wenn eine Mehrheitsentscheidung () automatisch erfolgen muss, unabhängig davon, ob systematisches Versagen passiv oder aktiv mit nicht eindeutig sicherheitsgerichteten Auswirkungen unterstellt wird. Anmerkung: Für das sind einfach aufgebaute und weitgehend fehlersichere und prüfbare Schaltungen zu verwenden oder das ist direkt am Stellglied durchzuführen (z. B. Steuerventile in n von m). Zur Illustration von strangbezogenen und strangübergreifenden dissimilaren Strukturen sind im Anhang Auslegungsbeispiele aufgeführt. Ausgehend von anlagenspezifischen Randbedingungen sind auch weitere Auslegungsvarianten möglich, die unter Berücksichtigung der Sicherheitsrelevanz der betrachteten Schutzaktion adäquate Vorsorge gegen systematisches Versagen beinhalten. Die ist gesondert zu betrachten und unter Beachtung der geforderten Funktionalität sowie der gewählten Struktur der auszulegen. Die Schraffierung in der deutet an, dass bei Einsatz rechnerbasierter Technik analog zur zu verfahren ist.
Seite 6 von 9 Festlegungen zur Sicherheitsebene 4 Durch die vorstehend gestellten Vorsorgemaßnahmen wird ein Erhalt der vitalen Funktionen durch ein festverdrahtetes System in der Sicherheitsebene 4 nicht mehr als erforderlich angesehen. Die Eingriffsmöglichkeiten für Handmaßnahmen in der Sicherheitsebene 4 für entsprechende dort bereits vorgesehene Maßnahmen sind vorzusehen. Es wird ein Lösungsansatz für erforderlich angesehen, damit flexible Maßnahmen (z. B. Simulation für bestimmte Signale für die Steuerung der Schaltgeräte) weiterhin für die Durchführung von Notfallmaßnahmen erfolgen können.
Seite 7 von 9 Anhang: Beispiele für dissimilare Strukturen (unterschiedliche Schraffierungen kennzeichnen dissimilare Komponenten) Strang 1 Strang 2 Strang 3 Strang 4 Bild a: Strangbezogene Auslegung (zweifach dissimilar) Strang 1 Strang n 1v2 1v2 Bild b: Strangbezogene Auslegung (zweifach dissimilar) Strang 1 Strang n Bild c: Strangbezogene Auslegung (dreifach dissimilar)
Seite 8 von 9 Redundanz 2 Redundanz 1 Redundanz 3 Redundanz 2 Redundanz 1 Redundanz 3 Bild a: Strangübergreifende Auslegung (zweifach dissimilar) Redundanz 1 Redundanz 2 Redundanz 3 Bild b: Strangübergreifende Auslegung (dreifach dissimilar, Beherrschung von Einzelfehler und systematischen Versagen)
Seite 9 von 9 Redundanz 1 Redundanz 2 Redundanz 3 Bild c: Strangübergreifende Auslegung (dreifach dissimilar, Beherrschung von Einzelfehler bzw. systematischen Versagen)