1b) die bei aktivem systematischem Versagen von leittechnischen Einrichtungen,

Ähnliche Dokumente
Anforderungen an die Leittechnik und Störfallinstrumentierung. Inhalt

RSK-Verständnis der Sicherheitsphilosophie. Inhaltsverzeichnis

F. Hellie. E. Hoffmann. A. Lindner. G. Schnürer. ISTec - A

Bewertung des Drei-Säulen-Konzeptes zur Prüfung sicherheitstechnisch wichtiger Armaturen

ASIA Industrieautomation GmbH

Sicherheitskriterien für Kernkraftwerke REVISION D APRIL 2009

Hochverfügbarkeits-Szenarien

Sind die deutschen Kernkraftwerke sicher?

Sicherheitsaspekte bei längerfristigem Betrieb deutscher Kernkraftwerke. Heinz Liemersdorf, GRS 25. Februar 2010

Sicherheit & Zuverlässigkeit

Band M, Kapitel 5: Server

8 Kenngrößen eines Sicherheitssystems

Risiko- und Sicherheitsbewertung europäischer Kernkraftwerke (EU Stresstest)

GRS FACHFORUM. Köln, 07./08. April Weiterentwicklungen bei der PSA als Instrument der Sicherheitsbewertung von Kernkraftwerken

EU Stresstest. Abschlussbericht. Risiko- und Sicherheitsbewertung (EU Stresstest)

Teil 1: Digitale Logik

Die Einführung kann auch Nachteile mit sich ziehen:

Elektronische Sicherheitssysteme

1 Geltungsbereich. 2 Bewerbungsverfahren

Leitfaden zur Interpretation der Lebensmittel-Informationsverordnung (LMIV)* in Bezug auf pflanzliche Öle und Fette

(verabschiedet in der Sitzung des Vorstandes vom Mai 2008 als IWP/BA10, zuletzt redaktionell überarbeitet im Dezember 2015) Inhaltsverzeichnis

Betreiberbericht Block KKP üb für die Europäischen Stresstests. Standortbericht des Betreibers für den Standort Philippsburg (KKP] Abschlussbericht

Technische Angaben für

Anleitung. Kontrollkästchen (graue Ankreuzfelder):. Textfelder werden durch Einfachklick mit der Maus markiert und dann durch Texteingabe gefüllt.

für Andreas Döweling und Claudia Döweling

Leistungsbeschreibung IntraSelect General Service Level Agreement im TDN.

Dokumentationsunterlage zur Regeländerung. KTA 1505 Nachweis der Eignung von festinstallierten Messeinrichtungen zur Strahlungsüberwachung

RSK-Stellungnahme (446. Sitzung am ) Ausfall der Primären Wärmesenke (veröffentlicht im Bundesanzeiger: BAnz AT

Kaplan-Meier-Schätzer

Migration von (0)190 Servicerufnummern in die Diensterufnummerndatenbank

Band M, Kapitel 7: IT-Dienste

Landeshauptstadt München Schul- und Kultusreferat. Informationen zu den Buchungszeiten in den städtischen Kindergärten

A.1 Schaltfunktionen und Schaltnetze

4 Produktspezifische Ausfallwahrscheinlichkeit und Ausbeute

Publikationskonzept Prävalenzmessung Sturz & Dekubitus

RAID. Name: Artur Neumann

Kernkraftwerk Brokdorf

Bachelor Thesis an der Fachhochschule Kiel, Fachbereich Wirtschaft. Sommersemester : Prof. Dr. Doris Weßels

Kapitalisierung der UVG-Renten zur Regelung der Kapitalwerte in der Statistik

Softwaretechnik-Praktikum 2015 Entwurfbeschreibung. Vorprojekt: Virtuelles Partizipatorisches Museum

Modes And Effect Analysis)

FUNKTIONALE SICHERHEIT VON ELEKTRISCHEN ANLAGEN IN INDUSTRIELLEN BETRIEBSSTÄTTEN VON OTTO WALCH

Technischer Regulierungsstandard zur Behandlung von Kreditrisikoanpassungen

Vorwort Enjoy-SAP Abb. 1 1

Frank Weinhold Professur VSR Fakultät für Informatik TU Chemnitz Mai 2011

Auswertung qualitativer Interviews

Prüfungsbericht. IDEAL Lebensversicherung a.g. Berlin

Folie 1: Fehlerbaumanalyse (FTA) Kurzbeschreibung und Ziel Die Fehlerbaumanalyse im Englischen als Fault Tree Analysis bezeichnet und mit FTA

- Prüfung - Prüfprotokoll für Anforderungen (Lastenheft)

Grundlagen verteilter Systeme

Professionelles Projektmanagement in der Praxis

KTA KERNTECHNISCHER AUSSCHUSS BERICHT SICHERHEITSTECHNISCHE GRUNDBEGRIFFE. Dezember 1989 KTA-GS-58

Management der funktionalen Sicherheit

RRI Fernwirk Rundsteuerzentrale

Auswirkungen der neuen Maschinenrichtlinie auf die sichere Steuerungstechnik

Vorlesung "Verteilte Systeme" Sommersemester Verteilte Systeme. 13. Fehlertoleranz. Verteilte Systeme, Sommersemester 1999 Folie 13.

Merkblatt Die Mahnung im Geschäftsverkehr

HANDBUCH JTL-WAWI. sumonet.de

-ARCHIVIERUNG. Unternehmensbefragung. antispameurope GmbH STAND DER AKTIVITÄTEN UND KENNTNISSE. im Auftrag der. erstellt vom

Die CAS Premium-Edition

Die Pflegeausgabenentwicklung bis ins Jahr Eine Prognose aus Daten der privaten Pflege-Pflichtversicherung

Europäischer Vergleich der Netzzugangsentgelte auf der überregionalen Ferngasstufe

KTA Brandschutz in Kernkraftwerken Teil 1: Grundsätze des Brandschutzes

UNTERWERKE. Steuerungs- und lokales SCADA System

Systemanalyse I Software-Entwicklung. Die Phase Design.? Prof. Dr. Susann Kowalski

Fachbericht zum Thema: Anforderungen an ein Datenbanksystem

Der Hauptausschuss hat in seiner oben bezeichneten Sitzung Folgendes beschlossen:

TeamViewer 9 Handbuch Wake-on-LAN

Fragebogen zum Thema Archivierung digitaler Daten. Fragebogenauswertung

Informationen zu den Buchungszeiten in den katholischen und evangelischen Kindertagesstätten

Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences

FRP 2 Vorsorgekapitalien und technische Rückstellungen

UTA Sammelstiftung BVG

Allgemeine Beschreibung von Blockcodes

Projektmappe 1. Titelblatt (Cover Page) (1 Seite) 2. Kurzdarstellung (Executive Summary) (empfohlene Länge: eine halbe Seite)

Prüfung eines Datenbestandes

STATUTEN DER PENSIONSKASSE DES PERSONALS DER STADT FREIBURG. (vom 21. Januar 2013) Artikel Eins

REGLEMENT ÜBER DIE BILDUNG VON TECHNISCHEN RÜCKSTELLUNGEN

Your Global Automation Partner. excom I/O-System

Seminar zur BWL im Wintersemester 2015 / Maschinenbelegungsplanung in der betrieblichen Fertigung

Praktikumsanleitung. IGP Technische Informatik 1 Versuch 1: Digitale Grundschaltungen (Studiengänge BT,EIT,FZT,II,LA,MB,MT,MTR,OTR,WSW)

Architektur einer GDI: Service-oriented Architecture (SOA)

Zuverlässige Systeme Fehlertoleranz

Technische Bedingungen für die Überlassung von Übertragungswegen der 3 T Telekommunikationsgesellschaft mbh

Brandenburgisches Oberlandesgericht. Beschluss

Die Bedeutung von Widerständen für den Change- Prozess und der positive Umgang mit diesen

SWT II Projekt. Chat - Anwendung. Pflichtenheft 2000 SWT

Kapitel 8 Beanstandungen, Qualitätsmängel und Produktrückrufe

Der Weg zum Führerschein

T H E P O W E R O F B U I L D I N G A N D M A N A G I N G N E T W O R K S. Operations

ProSafe-RS sicherheitsgerichtete Technik

Formulierung des Bestätigungsvermerks gemäß 274 UGB des Abschluss/Bankprüfers zum Rechenschaftsbericht

ISMS Teil 3 Der Startschuss

HARTING. mcon 3000 Family. People Power Partnership

DFI302. Modbus DI DO Impulse 4-20 ma HART. Das Angebot von Smar für ein SYSTEM302 setzt sich demnach aus den folgenden Komponenten zusammen:

Grob- und Detailplanung bei der Implementierung nutzen

Wolfgang Ballwieser IFRS-Rechnungslegung

~&~ EG-Bau m usterprüf.beschei TÜV 02 ATEX 1841

das Europarecht im Hinblick auf den Vertrag von Lissabon noch vorzunehmen.

Landgericht Harn.burg.., _. E 1".. Urteil. Im Namen des Vol~ In der Strafsache aeaen. geboren am 1985 alias geboren spätestens am

Transkript:

Stand: 06.03.2008 Stellungnahme des VdTÜV zu den erforderlichen Vorsorgemaßnahmen gegen systematisches Versagen von digitalen leittechnischen Einrichtungen in kerntechnischen Anlagen, die Leittechnikfunktionen der Kategorie 1 ausführen Auf der 38. Sitzung des VdTÜV FAK LE am 22.01.2008 wurden die erforderlichen grundsätzlichen Vorsorgemaßnahmen gegen systematisches Versagen von digitalen leittechnischen Einrichtungen in kerntechnischen Anlagen, die Leittechnikfunktionen der Kategorie 1 ausführen, diskutiert und das Ergebnis einstimmig verabschiedet. Der in dieser Stellungnahme verwendete Begriff Leittechnikfunktionen der Kategorie 1 bezieht sich auf die Festlegungen in der RSK-Leitlinie DWR im Abschnitt 7.3. Vorbemerkung Die grundsätzlich zu treffenden Vorsorgemaßnahmen umfassen nach dem Stand von Wissenschaft und Technik sowohl das gesamte Spektrum der fehlervermeidenden Maßnahmen als auch der fehlerbeherrschenden Maßnahmen. Letztere sind abhängig von den anlagentechnischen Randbedingungen und abhängig von den sicherheitstechnischen Auswirkungen bei einem systematischen Versagen von leittechnischen Einrichtungen zu realisieren. Im Folgenden werden ausschließlich die fehlerbeherrschenden Maßnahmen im Hinblick auf eine dissimilare Auslegung von redundanten Kanälen oder Strängen oder Teilsystemen behandelt. Alle anderen Auslegungsaspekte zur Erreichung einer robusten und hochzuverlässigen Leittechnik sind hiervon nicht berührt. Insbesondere ist von diesem Auslegungsaspekt unbenommen, dass für die Beherrschung des Einzelfehlers entsprechend Redundanz vorzusehen ist, da die leittechnischen Einrichtungen, die Leittechnikfunktionen der Kategorie 1 ausführen, die Unverfügbarkeit der Sicherheitssysteme nicht signifikant bestimmen dürfen. Unter dissimilarer Technik wird hier eine in der Summe hinreichend unähnliche bzw. unterschiedliche Hardware, Software, Entwicklungswerkzeuge, Entwicklungsteams, Fertigung, Test und Instandhaltung verstanden, so dass das systematische Versagen von zueinander dissimilaren Einrichtungen hinreichend unwahrscheinlich ist. Zur Realisierung

Seite 2 von 9 und Erhaltung der dissimilaren Auslegung der technischen Einrichtungen ist ein ausgereiftes Management in der Planung, Abwicklung und Beschaffung erforderlich. Auf den Begriff Diversität wurde hier bewusst verzichtet, da es sich hierbei um einen Oberbegriff handelt, der in unterschiedlichen Zusammenhängen verwendet wird. Die vorstehend definierte Dissimilarität fokussiert dagegen auf einen hier betrachteten speziellen auslegungsrelevanten Aspekt. Auslegungsaspekte zur Dissimilarität Eine angemessene dissimilare Auslegung erfordert zuerst eine detaillierte und umfassende Analyse der Auswirkungen von passivem und aktivem systematischen Versagen von leittechnischen Einrichtungen, die Leittechnikfunktionen der Kategorie 1 ausführen, auf die Ereignisabläufe / Störfallabläufe in der kerntechnischen Anlage. Zur Strukturierung der Analyse wurden verschiedene Gruppen gebildet. Der ersten Gruppe werden die Ereignisabläufe zugeordnet, die durch ein aktives systematisches Versagen von leittechnischen Einrichtungen, die Leittechnikfunktionen der Kategorie 1 ausführen, bei ungestörtem Leistungsbetrieb ausgelöst werden. Passives Versagen kann in dieser Gruppe unberücksichtigt bleiben, da dieses beim ungestörten Leistungsbetrieb ohne Auswirkungen auf die kerntechnische Anlage bleibt. In der Gruppe 1 finden sich Ereignisabläufe, 1a) die bei aktivem systematischem Versagen von leittechnischen Einrichtungen, die Leittechnikfunktionen der Kategorie 1 ausführen, nicht zu Störfällen oder sicherheitstechnisch unzulässigen Komponentenschäden führen und durch Handmaßnahmen von der Warte aus normalisiert werden können. 1b) die bei aktivem systematischem Versagen von leittechnischen Einrichtungen, die Leittechnikfunktionen der Kategorie 1 ausführen, selbst die Ursache von Störfällen sind.

Seite 3 von 9 Für die Gruppe 1a wird für die leittechnischen Einrichtungen der betroffenen Schutzaktionen keine dissimilare Auslegung gefordert. Für die Gruppe 1b ist eine dissimilare Auslegung erforderlich. Weitere Einzelheiten hierzu werden in der Gruppe 2b behandelt. Der zweiten Gruppe werden die Ereignisabläufe bei Störfällen zugeordnet, die infolge von systematischem Versagen von leittechnischen Einrichtungen, die Leittechnikfunktionen der Kategorie 1 ausführen, eine unerwünschte Anforderung von Schutzaktionen oder eine Verhinderung von Schutzaktionen beinhalten. In dieser Gruppe 2 wurde eine Aufteilung im Hinblick auf die sicherheitstechnische Auswirkung von systematischem Versagen von leittechnischen Einrichtungen, die Leittechnikfunktionen der Kategorie 1 ausführen, vorgenommen: 2a) Dieser Gruppe wurden die Ereignisabläufe zugeordnet, die ausschließlich eindeutig sicherheitsgerichtete Schutzaktionen beinhalten. 2b) Dieser Gruppe wurden die Ereignisabläufe zugeordnet, die nicht für jeden Anlagenzustand sicherheitsgerichtete Aktionen beinhalten. In der Gruppe 2a mit eindeutig sicherheitsgerichteter Auslösung von Schutzaktionen ist eine zweifache dissimilare Auslegung der leittechnischen Einrichtungen, die Leittechnikfunktionen der Kategorie 1 ausführen, dann erforderlich, wenn ein Störfall oder ein Ereignis bei passivem systematischem Versagen nicht in Sicherheitsebene 3 beherrscht wird. Für Schutzaktionen, bei denen aktives systematisches Versagen von leittechnischen Einrichtungen, die Leittechnikfunktionen der Kategorie 1 ausführen, bei Störfällen und Ereignissen immer eine eindeutig sicherheitsgerichtete Auswirkung hat, darf auf eine dissimilare Auslegung der leittechnischen Einrichtungen, die Leittechnikfunktionen der Kategorie 1 ausführen, verzichtet werden. Dies gilt in gleicher Weise für Schutzaktionen, bei denen ein passives systematisches Versagen durch Handmaßnahmen beherrscht wird. Bei Handmaßnahmen ist jedoch das 30-Minuten-Kriterium zu beachten.

Seite 4 von 9 In der Gruppe 2b ist für die leittechnischen Einrichtungen, die Leittechnikfunktionen der Kategorie 1 ausführen, mit nicht für jeden Anlagenzustand sicherheitsgerichtete Aktionen eine zweifache oder dreifache dissimilare Auslegung vorzusehen. Die Festlegung des Grads der Dissimilarität ist in Abhängigkeit von Systemaufbau, Automatisierungsstruktur und Auswirkung von passivem oder aktivem systematischem Versagen zu treffen. Die dissimilare Auslegung kann sowohl strangbezogen (z. B. bei vier Teilsystemen werden jeweils zwei Teilsysteme von dissimilaren Systemen angesteuert) als auch strangübergreifend (z. B. alle Teilsysteme werden über zwei zueinander dissimilare m-vn-systeme angesteuert) realisiert werden. Bei letzterem wird nochmals auf Maßnahmen zur Beherrschung des Einzelfehlers hingewiesen. Eine strangbezogene zweifache dissimilare Auslegung (Stränge untereinander dissimilar) ist ausreichend, wenn bei systematischem Versagen, unabhängig davon, ob dieses aktiv oder passiv wirksam wird, die verbleibenden Teilsysteme für die Störfallbeherrschung in der Sicherheitsebene 3 ausreichen. Hierbei ist berücksichtigt, dass für diesen Fall eine Überlagerung von systematischem Versagen und Versagen aufgrund von Einzelfehlern oder Instandhaltungsfall zusätzlich zum Störfall, im Kontext aller getroffenen Maßnahmen zur Beherrschung und Vermeidung des systematischen Versagens und des Versagens aufgrund eines Einzelfehlers, nicht unterstellt wird. Das damit in Bezug auf die Regel KTA 3501 geänderte Fehlerpostulat wird dadurch gerechtfertigt, dass bei einer Auslegung gegen Versagen aufgrund von Einzelfehlern und der sehr hochwertigen Maßnahmen zur Beherrschung und Vermeidung von systematischem Versagen eine zeitliche Koinzidenz beider Versagensmechanismen als hinreichend unwahrscheinlich anzusehen ist. Dies ist insbesondere im Kontext mit den hochentwickelten Selbstüberwachungsmaßnahmen zu sehen, die eine geringe Aufenthaltsdauer von mit der Selbstüberwachung erkennbaren Fehlern in digitalen leittechnischen Systemen bedingen. Für solche Systeme muss die zulässige Instandsetzungszeit abhängig vom Redundanzgrad eng begrenzt werden (vgl. RSK-Leitlinie 7.3). Eine zweifache dissimilare Auslegung bei strangübergreifender Dissimilarität ist ebenfalls ausreichend, wenn Ereignisse vorliegen, die nach Erkennen der Ausfälle

Seite 5 von 9 in hinreichender Zeit durch ausführbare Handmaßnahmen beherrscht werden; d. h. eine erforderliche Mehrheitsentscheidung () ist bei gegensätzlichen Anregesignalen durch den Operator sicherzustellen. Dies erfordert aber ein der dissimilaren Systeme in 2-v-2-Logik, wenn ein fehlerhaftes Ansprechen eines Systems ohne Folgen bleiben muss. Eine dreifache dissimilare Auslegung bei strangübergreifender Dissimilarität ist erforderlich, wenn eine Mehrheitsentscheidung () automatisch erfolgen muss, unabhängig davon, ob systematisches Versagen passiv oder aktiv mit nicht eindeutig sicherheitsgerichteten Auswirkungen unterstellt wird. Anmerkung: Für das sind einfach aufgebaute und weitgehend fehlersichere und prüfbare Schaltungen zu verwenden oder das ist direkt am Stellglied durchzuführen (z. B. Steuerventile in n von m). Zur Illustration von strangbezogenen und strangübergreifenden dissimilaren Strukturen sind im Anhang Auslegungsbeispiele aufgeführt. Ausgehend von anlagenspezifischen Randbedingungen sind auch weitere Auslegungsvarianten möglich, die unter Berücksichtigung der Sicherheitsrelevanz der betrachteten Schutzaktion adäquate Vorsorge gegen systematisches Versagen beinhalten. Die ist gesondert zu betrachten und unter Beachtung der geforderten Funktionalität sowie der gewählten Struktur der auszulegen. Die Schraffierung in der deutet an, dass bei Einsatz rechnerbasierter Technik analog zur zu verfahren ist.

Seite 6 von 9 Festlegungen zur Sicherheitsebene 4 Durch die vorstehend gestellten Vorsorgemaßnahmen wird ein Erhalt der vitalen Funktionen durch ein festverdrahtetes System in der Sicherheitsebene 4 nicht mehr als erforderlich angesehen. Die Eingriffsmöglichkeiten für Handmaßnahmen in der Sicherheitsebene 4 für entsprechende dort bereits vorgesehene Maßnahmen sind vorzusehen. Es wird ein Lösungsansatz für erforderlich angesehen, damit flexible Maßnahmen (z. B. Simulation für bestimmte Signale für die Steuerung der Schaltgeräte) weiterhin für die Durchführung von Notfallmaßnahmen erfolgen können.

Seite 7 von 9 Anhang: Beispiele für dissimilare Strukturen (unterschiedliche Schraffierungen kennzeichnen dissimilare Komponenten) Strang 1 Strang 2 Strang 3 Strang 4 Bild a: Strangbezogene Auslegung (zweifach dissimilar) Strang 1 Strang n 1v2 1v2 Bild b: Strangbezogene Auslegung (zweifach dissimilar) Strang 1 Strang n Bild c: Strangbezogene Auslegung (dreifach dissimilar)

Seite 8 von 9 Redundanz 2 Redundanz 1 Redundanz 3 Redundanz 2 Redundanz 1 Redundanz 3 Bild a: Strangübergreifende Auslegung (zweifach dissimilar) Redundanz 1 Redundanz 2 Redundanz 3 Bild b: Strangübergreifende Auslegung (dreifach dissimilar, Beherrschung von Einzelfehler und systematischen Versagen)

Seite 9 von 9 Redundanz 1 Redundanz 2 Redundanz 3 Bild c: Strangübergreifende Auslegung (dreifach dissimilar, Beherrschung von Einzelfehler bzw. systematischen Versagen)

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback