| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung |
| content:kernenergie [2024/12/04 01:41] – approve | content:kernenergie [2025/06/10 18:01] (aktuell) – [DIN- und IEC-Normen] approve |
|---|
| ====== ====== | |
| |
| ====== Safety (Security) Risiko in der Kerntechnik ====== | ====== Safety (Security) Risiko in der Kerntechnik ====== |
| |
| ===== Relevante Normen und Richtlinien (unvollständig) ===== | ===== Relevante Normen und Richtlinien (unvollständig) ===== |
| |
| * Atomgesetz (AtG) | ==== Nationale Regelwerke ==== |
| * Sicherheitsanforderungen an Kernkraftwerke (SiAnf) | |
| * Bundesministerium für Umwelt, Naturschutz und Reaktorsicherheit \\ Richtlinie für den Schutz von IT-Systemen in kerntechnischen Anlagen und Einrichtungender Sicherungskategorien I und II gegen Störmaßnahmen oder sonstige Einwirkungen Dritter(SEWD-Richtlinie IT) | ^Kennung^Jahr^Titel^Anmerkung| |
| * Sicherheitstechnische Regeln des Kerntechnischen Ausschusses (KTA), wie: * KTA 3103: Abschaltsysteme von Leichtwasserreaktoren | |[[https://www.gesetze-im-internet.de/atg/|Atomgesetz (AtG)]] |1959|Gesetz über die friedliche Verwendung der Kernenergie und den Schutz gegen ihre Gefahren|-| |
| * KTA 3501: Reaktorschutzsystem und Überwachungseinrichtungen des Sicherheitssystems | |[[https://www.bundesumweltministerium.de/download/sicherheitsanforderungen-an-kernkraftwerke|Sicherheitsanforderungen an Kernkraftwerke (SiAnf)]] |-|Sicherheitsanforderungen an Kernkraftwerke ([BMU2012]) und Interpretationen ([BMU2013])|-| |
| * KTA 3502: Störfallinstrumentierung | |[[https://www.base.bund.de/shareddocs/downloads/de/rsh/3-bmub/3_99.2.html|SEWD-Richtlinie IT]] |-|Richtlinie für den Schutz von IT-Systemen in kerntechnischen Anlagen und Einrichtungen der Sicherungskategorien I und II gegen Störmaßnahmen oder sonstige Einwirkungen Dritter|Bundesministerium für Umwelt, Naturschutz und Reaktorsicherheit| |
| * Standards des International Atomic Energy Agency (IAEA), wie: * SSR-2/1 Safety of Nuclear Power Plants: Design | |[[https://www.base.bund.de/shareddocs/downloads/de/rsh/3-bmub/3_74_1.pdf?__blob=publicationFile&v=1|Leitfaden Sicherheitsstatusanalyse]] |1996|Grundlagen zur Periodischen Sicherheitsüberprüfung ([RSHB 1996])|-| |
| * SSG-2 Deterministic Safety Analysis for Nuclear Power Plants | |[[https://www.base.bund.de/shareddocs/downloads/de/rsh/3-bmub/3_74_2.pdf?__blob=publicationFile&v=1|Leitfaden Deterministische Sicherungsanalyse]] |1997|Richtlinie zur Durchführung einer deterministischen Sicherungsanalyse ([RSHB 1997])|-| |
| * SSG-3 Development and Application of Level 1 Probabilistic Safety Assessment for Nuclear Power Plants | |[[https://www.base.bund.de/shareddocs/downloads/de/rsh/3-bmub/3_74_3.pdf?__blob=publicationFile&v=1|Leitfaden Probabilistische Sicherheitsanalyse]] |2005|Richtlinie zur Durchführung einer probabilistischen Sicherheitsanalyse ([RSHB 2005])|-| |
| * SSG-4 Development and Application of Level 2 Probabilistic Safety Assessment for Nuclear Power Plants | |
| * SSG-30 Safety Classification of Structures, Systems and Components in Nuclear Power Plants | ==== Sicherheitstechnische Regeln des Kerntechnischen Ausschusses (KTA) ==== |
| * SSG-39 Design of Instrumentation and Control Systems for Nuclear Power Plants | |
| * NSS No. 17 Computer Security at Nuclear Facilities | ^Kennung^Jahr^Titel^Anmerkung| |
| * NSS No. 33-T Computer Security of Instrumentation and Control Systems at Nuclear Facilities | |[[https://www.kta-gs.de/d/regeln/1200/1201_r_2015_11.pdf|KTA 1201]] |2015|Anforderungen an das Betriebshandbuch|-| |
| * NSS No. 42-G Computer Security for Nuclear Security | |[[https://www.kta-gs.de/d/regeln/1200/1202_r_2017_11.pdf|KTA 1202]] |2017|Anforderungen an das Prüfhandbuch|-| |
| * Standards der International Electrotechnical Committee (IEC), Subcommittee 45 A (zumeist direkt übernommen als DIN EN bzw. DIN EN IEC) wie: * DIN EN 61226 Kernkraftwerke – Leittechnische Systeme mit sicherheitstechnischer Bedeutung – Kategorisierung leittechnischer Funktionen | |[[https://www.kta-gs.de/d/regeln/1200/1203_r_2009_11.pdf|KTA 1203]] |2009|Anforderungen an das Notfallhandbuch|-| |
| * DIN EN 61513 Kernkraftwerke - Leittechnik für Systeme mit sicherheitstechnischer Bedeutung - Allgemeine Systemanforderungen | |[[https://www.kta-gs.de/d/regeln/1300/1301_1_r_2022_11.pdf|KTA 1301.1]] |2022|Berücksichtigung des Strahlenschutzes der Arbeitskräfte bei Auslegung und Betrieb von Kernkraftwerken – Teil 1: Auslegung|-| |
| * DIN EN IEC 62645 Kernkraftwerke - Leittechnische und elektrotechnische Systeme – Anforderungen an die Cybersicherheit | |[[https://www.kta-gs.de/d/regeln/1300/1301_2_r_2022_11.pdf|KTA 1301.2]] |2022|Berücksichtigung des Strahlenschutzes der Arbeitskräfte bei Auslegung und Betrieb von Kernkraftwerken – Teil 2: Betrieb|-| |
| * DIN EN IEC 62859Kernkraftwerke – Leittechnische Systeme – Anforderungen für die Koordinierung von Sicherheit und IT-Sicherheit | |[[https://www.kta-gs.de/d/regeln/1400/1401_r_2017_11.pdf|KTA 1401]] |2017|Allgemeine Anforderungen an die Qualitätssicherung|-| |
| | |[[https://www.kta-gs.de/d/regeln/1400/1402_r_2017_11.pdf|KTA 1402]] |2017|Integriertes Managementsystem zum sicheren Betrieb von Kernkraftwerken|-| |
| | |[[https://www.kta-gs.de/d/regeln/3100/3103_r_2015_11.pdf|KTA 3103]] |2015|Abschaltsysteme von Leichtwasserreaktoren|-| |
| | |[[https://www.kta-gs.de/d/regeln/3500/3501_r_2015_11.pdf|KTA 3501]] |2015|Reaktorschutzsystem und Überwachungseinrichtungen des Sicherheitssystems|-| |
| | |[[https://www.kta-gs.de/d/regeln/3500/3502_r_2012_11.pdf|KTA 3502]] |2012|Störfallinstrumentierung|-| |
| | |[[https://www.kta-gs.de/d/regeln/3500/3505_r_2015_11_ber.pdf|KTA 3505]] |2015|Typprüfung von Messwertgebern und Messumformern der Sicherheitsleittechnik|-| |
| | |[[https://www.kta-gs.de/d/regeln/3500/3506_r_2017_11.pdf|KTA 3506]] |2017|Systemprüfung der Sicherheitsleittechnik von Kernkraftwerken|-| |
| | |[[https://www.kta-gs.de/d/regeln/3500/3507_r_2014_11.pdf|KTA 3507]] |2014|Werkprüfungen, Prüfungen nach Instandsetzung und Nachweis der Betriebsbewährung der Baugruppen und Geräte der Sicherheitsleittechnik|-| |
| | |[[https://www.kta-gs.de/d/regeln/3900/3901_r_2017_11.pdf|KTA 3901]] |2017|Kommunikationseinrichtungen für Kernkraftwerke|-| |
| | |
| | ==== Internationale Standards der International Atomic Energy Agency (IAEA) ==== |
| | |
| | ^Kennung^Jahr^Titel^Anmerkung| |
| | |[[https://www-pub.iaea.org/MTCD/Publications/PDF/Pub1715web-46541668.pdf|SSR-2/1]] |-|Safety of Nuclear Power Plants: Design|-| |
| | |[[https://www-pub.iaea.org/MTCD/Publications/PDF/PUB1851_web.pdf|SSG-2]] |-|Deterministic Safety Analysis for Nuclear Power Plants|-| |
| | |[[https://www-pub.iaea.org/MTCD/Publications/PDF/p15318-PUB2056_web.pdf|SSG-3]] |-|Development and Application of Level 1 Probabilistic Safety Assessment for Nuclear Power Plants|-| |
| | |[[https://www-pub.iaea.org/MTCD/Publications/PDF/Pub1443_web.pdf|SSG-4]] |-|Development and Application of Level 2 Probabilistic Safety Assessment for Nuclear Power Plants|-| |
| | |[[https://www-pub.iaea.org/MTCD/Publications/PDF/Pub1639_web.pdf|SSG-30]] |-|Safety Classification of Structures, Systems and Components in Nuclear Power Plants|-| |
| | |[[https://www-pub.iaea.org/MTCD/Publications/PDF/Pub1694_web.pdf|SSG-39]] |-|Design of Instrumentation and Control Systems for Nuclear Power Plants|-| |
| | |[[https://www-pub.iaea.org/MTCD/Publications/PDF/PUB1921_web.pdf|NSS No. 17]] |-|Computer Security at Nuclear Facilities|-| |
| | |[[https://www-pub.iaea.org/MTCD/Publications/PDF/P1787_web.pdf|NSS No. 33-T]] |-|Computer Security of Instrumentation and Control Systems at Nuclear Facilities|-| |
| | |[[https://www-pub.iaea.org/MTCD/Publications/PDF/PUB1918_web.pdf|NSS No. 42-G]] |-|Computer Security for Nuclear Security|-| |
| | |
| | ==== DIN- und IEC-Normen ==== |
| | |
| | ^Kennung^Jahr^Titel^Anmerkung| |
| | |DIN EN 60880 (VDE 0491-3-2)|-|Kernkraftwerke – Leittechnik für Systeme mit sicherheitstechnischer Bedeutung – Softwareaspekte für rechnerbasierte Systeme zur Realisierung von Funktionen der Kategorie A|-| |
| | |DIN EN 60987 (VDE 0491-3-1)|-|Kernkraftwerke – Leittechnische Systeme mit sicherheitstechnischer Bedeutung – Anforderungen an die Hardware-Auslegung rechnerbasierter Systeme|-| |
| | |DIN EN 61226 |-|Kernkraftwerke – Leittechnische Systeme mit sicherheitstechnischer Bedeutung – Kategorisierung leittechnischer Funktionen|-| |
| | |DIN EN 61508-2 (VDE 0803-2)|-|Funktionale Sicherheit sicherheitsbezogener elektrischer/elektronischer/programmierbarer elektronischer Systeme – Teil 2: Anforderungen an sicherheitsbezogene elektrische/elektronische/programmierbare elektronische Systeme|-| |
| | |[[https://www.dinmedia.de/de/norm/din-en-61508-3/135505701|DIN EN 61508-3]] (VDE 0803-3)|-|Funktionale Sicherheit sicherheitsbezogener elektrischer/elektronischer/programmierbarer elektronischer Systeme – Teil 3: Anforderungen an Software|-| |
| | |[[https://www.dinmedia.de/de/norm/din-en-61513/188355832|DIN EN 61513]] |-|Kernkraftwerke – Leittechnik für Systeme mit sicherheitstechnischer Bedeutung – Allgemeine Systemanforderungen|-| |
| | |[[https://www.dinmedia.de/de/norm/din-en-62340/132349713|DIN EN 62340]] (VDE 0491-10)|-|Kernkraftwerke – Leittechnische Systeme mit sicherheitstechnischer Bedeutung – Anforderungen zur Beherrschung von Versagen aufgrund gemeinsamer Ursache|-| |
| | |DIN EN 62138 (VDE 0491-3-3)|-|Kernkraftwerke – Leittechnik für Systeme mit sicherheitstechnischer Bedeutung – Softwareaspekte für rechnerbasierte Systeme zur Realisierung von Funktionen der Kategorien B oder C|-| |
| | |[[https://www.dinmedia.de/de/norm/din-en-iec-62645/331739632|DIN EN IEC 62645]] |-|Kernkraftwerke – Leittechnische und elektrotechnische Systeme – Anforderungen an die Cybersicherheit|-| |
| | |[[https://www.dinmedia.de/de/norm/din-en-iec-62859/339503360|DIN EN IEC 62859]] |-|Kernkraftwerke – Leittechnische Systeme – Anforderungen für die Koordinierung von Sicherheit und IT-Sicherheit|-| |
| | |[[https://www.dinmedia.de/de/norm/din-en-62502/139931469|DIN EN 62502]] |-|Verfahren zur Analyse der Zuverlässigkeit – Ereignisbaumanalyse|-| |
| | |[[https://www.dinmedia.de/de/norm/din-en-61025/99756694|DIN EN 61025]] |-|Fehlzustandsbaumanalyse|-| |
| | |[[https://www.dinmedia.de/de/norm/din-en-60812/92880886|DIN EN 60812]] |-|Analysetechniken für die Funktionsfähigkeit von Systemen – Verfahren für die Fehlzustandsart- und -auswirkungsanalyse (FMEA)|-| |
| |
| ===== 1 Risiko: Definition und Herausforderungen ===== | ===== 1 Risiko: Definition und Herausforderungen ===== |
| |
| **Wie wird das Risiko, werden Safety und Security in der Disziplin beschrieben: Begriffe, Modelle und Verfahren?** | ==== Risiko ==== |
| |
| **Begriffe in der Kerntechnik:** | Das Risiko wird einerseits als objektives, mathematisch erfassbares Risiko, andererseits als subjektives Empfinden beschrieben. Letzteres wird durch intuitive Wahrnehmung und Beurteilung von Tatbeständen und Ereignissen hervorgerufen. Katastrophen und Probleme rufen Angst hervor, Transparenz, Aufklärung und Öffentlichkeitsarbeit hingegen fördern Vertrauen. |
| |
| (Safety) Risk (IAEA safety glossary) \\ A multiattribute quantity expressing hazard, danger or chance of harmful or injurious consequences associated with exposures or potential exposures. It relates to quantities such as the probability that specific deleterious consequences may arise and the magnitude and character of such consequences. | Mathematisch lässt sich Risiko als das Produkt aus dem Schadensausmaß und der Eintrittshäufigkeit darstellen und kann damit als Maß für die Größe einer Gefährdung verstanden werden. Um Risiken qualitativ und quantitativ zu erfassen, werden Zuverlässigkeitsmethoden angewendet. Einerseits werden Komponenten, Systeme und Anlagen deterministisch ausgelegt. |
| | <font inherit/inherit;;inherit;;#f1c40f>Das bedeutet, es wird durch eine umfangreiche und bestmögliche Analyse bzw. Beurteilung der für die Funktionsfähigkeit und Integrität relevanten Einflussfaktoren durchgeführt.</font> Anhand dessen werden entsprechende Sicherheitszuschläge oder ggf. zusätzliche Systeme für die Auslegung berücksichtigt. |
| |
| (Security) Risiko (en: risk) (DIN EN IEC 62645) \\ Potenzial, dass durch eine gegebene Bedrohung die Verwundbarkeit eines schützenswerten Guts (Asset)oder einer Gruppe von Assets ausgenutzt und Schaden für eine Organisation verursacht wird | Da andererseits im Beanspruchungsfall einer Komponente, eines Bauteils oder eines Systems nicht genau quantifiziert werden kann, in welchem Ausmaß die Sicherheitszuschläge in Anspruch genommen werden, werden Versagenswahrscheinlichkeiten hergeleitet. In diesen sog. probabilistischen Analysen werden durch Kombination und Verkettung dieser Eintrittshäufigkeiten der Versagensfälle, Schadenshäufigkeiten abgeleitet, z. B. in Bezug auf verschiedene Barrieren. Durch diese Quantifizierung können auch Risiken bestimmt werden. Diese Bestimmung beschreibt allerdings nicht das Restrisiko eines Systems. |
| |
| Zugriffschutz (en: security) (DIN EN 61513) \\ Fähigkeit des rechnerbasierten Systems, Informationen und Daten so zu schützen, dass nicht autorisierte Personen oder Systeme relevante Daten nicht lesen oder ändern können oder Bedienhandlungen durchführen oder verhindern können und autorisierten Personen oder Systemen der Zugriff nicht verwehrt wird | Das Restrisiko beschreibt zum einen den Anteil des Risikos, der über die Anlagenauslegung (auch für Unfälle) hinausgeht und sich quantifizieren/abschätzen lässt. Weiter gehört dazu aber auch der Teil, der hinter dem Erfahrungs- und Erkenntnishorizont des Menschen liegt, also qualitativ und quantitativ nicht erfasst werden kann. |
| |
| (nuclear) safety (IAEA safety glossary) \\ The achievement of proper operating conditions, prevention of accidents \\ or mitigation of accident consequences, resulting in protection of workers, the public and the environment from undue radiation hazards. | **(Safety) Risk (IAEA safety glossary)** A multiattribute quantity expressing hazard, danger or chance of harmful or injurious consequences associated with exposures or potential exposures. It relates to quantities such as the probability that specific deleterious consequences may arise and the magnitude and character of such consequences. |
| |
| (nuclear) security (IAEA safety glossary) \\ The prevention and detection of, and response to, theft, sabotage, unauthorized access, illegal transfer or other malicious acts involving nuclear material, other radioactive substances or their associated facilities. | **(IT Security) risk (IEC 62645)** potential that a given threat will exploit vulnerabilities of an asset or group of assets and thereby cause harm to the organization |
| | ==== Safety ==== |
| |
| Note: \\ There is not an exact distinction between the general terms safety and security. In general, security is concerned with intentional actions by people that could cause or threaten harm to other people; safety is concerned with the broader issue of harmful consequences to people (and to the environment) arising from exposure to radiation, whatever the cause. | Der Begriff „Safety“ umfasst in der Kerntechnik die technische und organisatorische Sicherheit. |
| |
| **Modelle und Verfahren** \\ Für die Risikoanalyse werden in der Kerntechnik für Safety und Security unterschiedliche Modelle und Verfahren genutzt: \\ \\ **Safety:** \\ Zur Risikoanalyse (hier Sicherheitsanalyse genannt) legen die SiAnf in Kap. 5.5 Anforderungen fest: | Nukleare Sicherheit [AtG §2 Nr. 3a)]: das Erreichen und Aufrechterhalten ordnungsgemäßer Betriebsbedingungen, die Verhütung von Unfällen und die Abmilderung von Unfallfolgen, so dass Leben, Gesundheit und Sachgüter vor den Gefahren der Kernenergie und der schädlichen Wirkung ionisierender Strahlen geschützt werden; |
| |
| * (2) Zur Nachweisführung der Erfüllung der technischen Sicherheitsanforderungen sind deterministische Methoden sowie die probabilistische Sicherheitsanalyse heranzuziehen: | **(nuclear) safety (IAEA safety glossary)** The achievement of proper operating conditions, prevention of accidents or mitigation of accident consequences, resulting in protection of workers, the public and the environment from undue radiation hazards. |
| * Die deterministischen Methoden umfassen | ==== Security ==== |
| * a) die rechnerische Analyse von Ereignissen oder Zuständen, | |
| * b) die Messung oder das Experiment, | |
| * c) die ingenieurmäßige Bewertung. | |
| * (3) Als Grundlage für Nachweisführungen müssen vorliegen: | |
| * a) eine aktuelle Zusammenstellung der sicherheitstechnisch wichtigen Informationen über den bestehenden Zustand der betroffenen Maßnahmen und Einrichtungen sowie | |
| * b) eine Dokumentation, dass der bestehende Zustand der betroffenen sicherheitstechnisch wichtigen Maßnahmen und Einrichtungen die aktuell geltenden Anforderungen erfüllt. | |
| * 5 (4) Bei der rechnerischen Analyse von Ereignisabläufen oder Zuständen müssen | |
| * a) für den jeweiligen Anwendungsbereich validierte Berechnungsverfahren verwendet sowie | |
| * b) mit der Berechnung verbundene Unsicherheiten quantifiziert oder durch geeignete Verfahren abgedeckt werden. | |
| * (5a) In Ergänzung der deterministischen Nachweisführungen muss durch probabilistische Sicherheitsanalysen (PSA) die Ausgewogenheit der sicherheitstechnischen Auslegung überprüft werden. | |
| |
| Mathematisch lässt sich Risiko als das Produkt aus dem Schadensausmaß und der Eintrittshäufigkeit darstellen und kann damit als Maß für die Größe einer Gefährdung verstanden werden. Um Risiken qualitativ und quantitativ zu erfassen, werden Zuverlässigkeitsmethoden angewendet. Einerseits werden Komponenten, Systeme und Anlagen deterministisch ausgelegt. Das bedeutet, es wird eine umfangreiche und bestmögliche Analyse bzw. Beurteilung der für die Funktionsfähigkeit und Integrität relevanten Einflussfaktoren durchgeführt. Anhand dessen werden entsprechende Sicherheitszuschläge oder ggf. zusätzliche Systeme für die Auslegung berücksichtigt. \\ Da andererseits im Beanspruchungsfall einer Komponente, eines Bauteils oder eines Systems nicht genau quantifiziert werden kann in welchem Ausmaß die Sicherheitszuschläge in Anspruch genommen werden, werden Versagenswahrscheinlichkeiten hergeleitet. In diesen sog. probabilistischen Analysen werden durch Kombination und Verkettung dieser Eintrittshäufigkeiten der Versagensfälle, Schadenshäufigkeiten abgeleitet, z. B. in Bezug auf verschiedene Barrieren. Durch diese Quantifizierung können auch Risiken bestimmt werden. Diese Bestimmung beschreibt allerdings nicht das Restrisiko eines Systems. | Der Begriff „Security“ (Sicherung) umfasst in der Kerntechnik den physischen Schutz der Anlage sowie die IT-Sicherheit. Gemäß § 41 AtG hat das integrierte Sicherungs- und Schutzkonzept aus Sicherungsmaßnahmen des Genehmigungsinhabers der kerntechnischen Anlage oder Tätigkeit (erforderlicher Schutz gegen Störmaßnahmen oder sonstige Einwirkungen Dritter) sowie Schutzmaßnahmen des Staates zu bestehen. Die Maßnahmen werden aufeinander abgestimmt. Ziele der Maßnahmen sind die Verhinderung |
| |
| **Security:** \\ Die SEWD-IT RL fordert für die einzelnen sicherheits- und sicherungsrelevanten Systeme die Durchführung einer Analyse zur Bewertung der Angemessenheit der getroffenen IT-Security-Maßnahmen. \\ Zur Risikoanalyse legt auch die DIN EN 62645 in Kap. 5.4.3.2.2 Anforderungen fest: \\ __5.4.3.2.2.2 __Die Begründung, dass IT-Sicherheitsanforderungen korrekt aufgegriffen worden sind, muss durch Risikobewertungsanalysen der vorgeschlagenen Lösung erfolgen. Solche Untersuchungen berücksichtigen Verwundbarkeitsanalysen der technischen Realisierung und spezifische Analysen von Bedrohungs- und Angriffsszenarien. \\ __5.4.3.2.2.5 __Die anlagenspezifische Risikobewertung sollte wenigstens folgende Schritte abdecken: | - der Freisetzung und der missbräuchlichen Nutzung der ionisierenden Strahlung von Kernbrennstoffen oder ihrer Folgeprodukte in erheblichen Mengen vor Ort, |
| | - der einfachen oder wiederholten Entwendung von Kernbrennstoffen oder ihrer Folgeprodukte in erheblichen Mengen mit dem Ziel der Freisetzung oder der missbräuchlichen Nutzung ionisierender Strahlung an einem beliebigen Ort und |
| | - der einfachen oder wiederholten Entwendung von Kernbrennstoffen in Mengen, die in der Summe zur Herstellung einer kritischen Anordnung ausreichen. |
| |
| | Die zu unterstellenden Störmaßnahmen oder sonstigen Einwirkungen Dritter werden nach dem Stand der Erkenntnisse durch die zuständigen Behörden festgelegt (Lastannahmen). Ausgehend von den Lastannahmen werden allgemeine sowie anlagentyp- und tätigkeitsspezifische Anforderungen und Maßnahmen für den erforderlichen Schutz der kerntechnischen Anlagen und Tätigkeiten in Richtlinien für den Schutz gegen Störmaßnahmen oder sonstige Einwirkungen Dritter (SEWD-Richtlinien) festgelegt. |
| | |
| | **(nuclear) security (IAEA safety glossary)** The prevention and detection of, and response to, theft, sabotage, unauthorized access, illegal transfer or other malicious acts involving nuclear material, other radioactive substances or their associated facilities. Note: There is not an exact distinction between the general terms safety and security. In general, security is concerned with intentional actions by people that could cause or threaten harm to other people; safety is concerned with the broader issue of harmful consequences to people (and to the environment) arising from exposure to radiation, whatever the cause. |
| | |
| | Mit der SEWD-Richtline IT von 2013 wurde die Sicherung noch um das Thema IT-Sicherheit ergänzt. |
| | |
| | **(IT) security (IEC 61513)** capability of the computerbased system to protect information and data so that unauthorized persons or systems cannot read or modify relevant data or perform or inhibit control actions, and authorized persons or systems are not denied access |
| | |
| | ===== 2 Modelle und Verfahren ===== |
| | |
| | In der Kerntechnik werden zwei Arten von Sicherheitsanalysen durchgeführt, deterministische und probabilistische Sicherheitsanalysen. |
| | |
| | Deterministische Sicherheitsanalyse gemäß SiAnf: |
| | |
| | Analyse des sicherheitstechnischen Zustands einer Anlage bzw. eines Anlagenteils zur Überprüfung der Erfüllung deterministischer Sicherheits-anforderungen, bestehend aus einer Systembewertung sowie einer Zustands- bzw. Ereignisanalyse. |
| | |
| | Für die (physische) Security wird darüber hinaus eine qualitative deterministische Sicherungsanalyse (DSA) durchgeführt. |
| | |
| | Probabilistische Sicherheitsanalyse gemäß SiAnf: |
| | |
| | Analyse des sicherheitstechnischen Zustands einer Anlage durch Ermittlung der Häufigkeit von Gefährdungs- bzw. Kernschadenszuständen oder der Häufigkeit der Freisetzung radioaktiver Stoffe. |
| | |
| | Deterministische Sicherheitsanalysen haben vor allem die Aufgabe, die sicherheitstechnische Auslegung einer Anlage zu bemessen und festzulegen. Hierzu werden bestimmte, vorab festgelegte Störfälle in ihren möglichen Abläufen und Auswirkungen detailliert untersucht. Diese Auslegungsstörfälle werden so gewählt, dass mit den für sie erforderlichen Störfallanalysen auch andere Störfälle in ihren Abläufen und Auswirkungen erfasst werden. Mit der Festlegung der sicherheitstechnischen Auslegung liefert die deterministische Analyse eine notwendige Voraussetzung für probabilistische Sicherheitsanalysen. [GRS-072] |
| | |
| | Die Risikoanalyse entspricht im engeren Sinne der probabilistischen Sicherheitsanalyse und ist als Ergänzung zur deterministischen Sicherheitsbeurteilung zu sehen. Sie befasst sich mit Ereignisabläufen, bei denen Sicherheitssysteme versagen und Auslegungsgrenzen überschritten werden. Ausgehend vom Stand der sicherheitstechnischen Auslegung werden dabei Störfall- und Unfallabläufe sowohl hinsichtlich ihrer Eintrittshäufigkeiten als auch möglicher Schadensfolgen untersucht. Durch Auswertung von Betriebserfahrungen werden erwartete Eintrittshäufigkeiten von auslösenden Ereignissen und Zuverlässigkeitsdaten (Ausfallraten, Nichtverfügbarkeiten) von Komponenten abgeleitet. Die probabilistische Sicherheitsanalyse fasst diese Auswertungen von Betriebserfahrungen sowie Ergebnisse von Störfall- und Unfallanalysen und Erkenntnisse der Sicherheitsforschung für eine geschlossene sicherheitstechnische Beurteilung zusammen. Auf dieser Basis wird sie auch dazu herangezogen, die sicherheitstechnische Auslegung einer Anlage zu überprüfen und damit insgesamt das Sicherheitskonzept für Kernkraftwerke weiterzuentwickeln. Dies beinhaltet auch anlageninterne Notfallmaßnahmen (Accident-Management-Maßnahmen), deren Ziel darin besteht, einen Störfall auch unter erschwerten Bedingungen noch zu beherrschen oder wenigstens die Schadensfolgen aus einem nicht beherrschten Störfall zu begrenzen. Hierzu werden Sicherheitsreserven herangezogen, die in vielen Fällen auch dann noch vorhanden sind, wenn Sicherheitssysteme nicht wie vorgesehen eingreifen und sicherheitstechnische Auslegungsgrenzen überschritten werden. Im Vergleich zur deterministischen Beurteilung hat sie den Vorzug, dass die Bedeutung von Störfällen und Unfällen quantitativ anhand von zu erwartenden Häufigkeiten bewertet werden kann. So können Schwachstellen in der sicherheitstechnischen Auslegung im Vergleich zu anderen Beiträgen aus Störfallabläufen mit relativ hohen Häufigkeiten einzelner nicht beherrschter Störfallabläufe identifiziert werden. Werden solche Schwachstellen eliminiert, wird eine ausgewogene sicherheitstechnische Auslegung erreicht. [GRS-072] |
| | |
| | Zur probabilistischen Sicherheitsanalyse legen die SiAnf in Kap. 5 Anforderungen fest: (2) Zur Nachweisführung der Erfüllung der technischen Sicherheitsanforderungen sind deterministische Methoden sowie die probabilistische Sicherheitsanalyse heranzuziehen: Die deterministischen Methoden umfassen |
| | |
| | * a) die rechnerische Analyse von Ereignissen oder Zuständen, |
| | * b) die Messung oder das Experiment, |
| | * c) die qualitative ingenieurmäßige Bewertung. |
| | |
| | (3) Als Grundlage für Nachweisführungen müssen vorliegen: |
| | |
| | * a) eine aktuelle Zusammenstellung der sicherheitstechnisch wichtigen Informationen über den bestehenden Zustand der betroffenen Maßnahmen und Einrichtungen sowie |
| | * b) eine Dokumentation, dass der bestehende Zustand der betroffenen sicherheitstechnisch wichtigen Maßnahmen und Einrichtungen die aktuell geltenden Anforderungen erfüllt. |
| | |
| | (4) Bei der rechnerischen Analyse von Ereignisabläufen oder Zuständen müssen |
| | |
| | * a) für den jeweiligen Anwendungsbereich validierte Berechnungsverfahren verwendet sowie |
| | * b) mit der Berechnung verbundene Unsicherheiten quantifiziert oder durch geeignete Verfahren abgedeckt werden. |
| | |
| | (5a) In Ergänzung der deterministischen Nachweisführungen muss durch probabilistische Sicherheitsanalysen (PSA) die Ausgewogenheit der sicherheitstechnischen Auslegung überprüft werden. |
| | |
| | Zur Risikoanalyse legt auch die DIN EN 62645 in Kap. 5.4.3.2.2 Anforderungen fest: |
| | |
| | __5.4.3.2.2.2__ Die Begründung, dass IT-Sicherheitsanforderungen korrekt aufgegriffen worden sind, muss durch Risikobewertungsanalysen der vorgeschlagenen Lösung erfolgen. Solche Untersuchungen berücksichtigen Verwundbarkeitsanalysen der technischen Realisierung und spezifische Analysen von Bedrohungs- und Angriffsszenarien. |
| | |
| | __5.4.3.2.2.5__ Die anlagenspezifische Risikobewertung sollte wenigstens folgende Schritte abdecken: |
| * Bestimmung von Umfang und Kontext; | * Bestimmung von Umfang und Kontext; |
| * Identifizierung der Bedrohung und deren Charakterisierung; | * Identifizierung der Bedrohung und deren Charakterisierung; |
| * Definition der Gegenmaßnahmen. | * Definition der Gegenmaßnahmen. |
| |
| **Welche Probleme und Dilemmata sind in Ihrer Disziplin charakteristisch?** | ==== Angewandte Methoden ==== |
| |
| * Notwendigkeit der Kenntnis der spezifisch auftretenden sicherheitsrelevanten physikalischen Phänomene \\ Sicherheitstechnische Lösungen für Industrieanlagen ohne bzw. mit geringerer potentiellen Gefahr für die Bevölkerung lassen sich nicht einfach übertragen. Hierbei ist auch die Schwierigkeit des Know How Erhalts in Deutschland nach dem Kernenergieausstieg zu berücksichtigen. | Methoden der probabilistischen Sicherheitsanalyse werden in [BFS 2005] beschrieben. Hierzu gehören u.a. |
| |
| * Risiko/ Restrisiko | * Methoden der Zuverlässigkeitsanalyse, z.B. |
| * Öffentliche Akzeptanz ist (in Deutschland, vgl. German Angst) ein schwieriger Aspekt (beeinflusst u.a. durch Katastrophen wie Tschernobyl und Fukushima, Endlagerung, subjektive Risiko-/Gefährdungsbeurteilungen) | * Ereignisbaumanalyse (DIN EN 62502), früher Ereignisablaufanalyse (DIN |
| * Das Risiko wird einerseits als objektives, mathematisch erfassbares Risiko, andererseits als subjektives Empfinden beschrieben. Letzteres wird durch intuitive Wahrnehmung und Beurteilung von Tatbeständen und Ereignissen hervorgerufen. Katastrophen und Probleme rufen Angst hervor, Transparenz, Aufklärung und Öffentlichkeitsarbeit hingegen fördern Vertrauen. | * Fehlzustandsbaumanalyse (DIN EN 61025), früher Fehlerbaumanalyse (DIN 25424) |
| * Das Restrisiko beschreibt zum einen den Anteil des Risikos, der über die Anlagenauslegung (auch für Unfälle) hinausgeht und sich quantifizieren/abschätzen lässt. Weiter gehört dazu aber auch der Teil, der hinter dem Erfahrungs- und Erkenntnishorizont des Menschen liegt, also qualitativ und quantitativ nicht erfasst werden kann und daher ebenfalls Angst hervorruft. | * Fehlzustandsart- und Auswirkungsanalyse FMEA (DIN EN 60812), früher Ausfalleffektanalyse (DIN 25448) |
| | * Unsicherheits- und Sensitivitätsanalyse |
| |
| * Zusammenhang Safety / Security | ==== Probleme und Dilemmata ==== |
| * Teilweise werden aus Sicht der Gesamtanlage Safety und Security (früher nur Anlagensicherung, physical protection) immer noch traditionell als separat zu betrachtende Aspekte angesehen. Dementsprechend werden bei Risikoanalysen nur Safety-Aspekte (Versagen von Komponenten aufgrund von Zufallsausfällen oder Auslegungsfehlern) betrachtet. Aus I&C Sicht muss aber die IT-Security als ein zur Safety beitragender, notwendiger Aspekt betrachtet werden. | |
| |
| **Wie werden unscharfe oder unsichere Risikobeiträge behandelt?** | * **Notwendigkeit der Kenntnis der spezifisch auftretenden sicherheitsrelevanten physikalischen Phänomene** Sicherheitstechnische Lösungen für Industrieanlagen ohne bzw. mit geringerer potentiellen Gefahr für die Bevölkerung lassen sich nicht einfach übertragen. Hierbei ist auch die Schwierigkeit des Know-How-Erhalts in Deutschland nach dem Kernenergieausstieg zu berücksichtigen. |
| | * **Risiko/ Restrisiko** * Öffentliche Akzeptanz ist (in Deutschland, vgl. German Angst) ein schwieriger Aspekt (beeinflusst u.a. durch Katastrophen wie Tschernobyl und Fukushima, Endlagerung, subjektive Risiko-/Gefährdungsbeurteilungen) * Das Risiko wird einerseits als objektives, mathematisch erfassbares Risiko, andererseits als subjektives Empfinden beschrieben. Letzteres wird durch intuitive Wahrnehmung und Beurteilung von Tatbeständen und Ereignissen hervorgerufen. Katastrophen und Probleme rufen Angst hervor, Transparenz, Aufklärung und Öffentlichkeitsarbeit hingegen fördern Vertrauen. * Das Restrisiko beschreibt zum einen den Anteil des Risikos, der über die Anlagenauslegung (auch für Unfälle) hinausgeht und sich quantifizieren/abschätzen lässt. Weiter gehört dazu aber auch der Teil, der hinter dem Erfahrungs- und Erkenntnishorizont des Menschen liegt, also qualitativ und quantitativ nicht erfasst werden kann und daher ebenfalls Angst hervorruft. |
| | * **Zusammenhang Safety / Security**: Teilweise werden aus Sicht der Gesamtanlage Safety und Security (früher nur Anlagensicherung, physical protection) immer noch traditionell als separat zu betrachtende Aspekte angesehen. Dementsprechend werden bei Risikoanalysen der Anlage nur Safety-Aspekte (Versagen von Komponenten aufgrund von Zufallsausfällen oder Auslegungsfehlern) betrachtet. Aus leittechnischer Sicht (funktionale Sicherheit) muss aber die IT-Security als ein zur Safety beitragender, notwendiger Aspekt betrachtet werden. |
| | ===== 3 Unscharfe oder unsichere Risikobeiträge ===== |
| |
| * Abschätzungen, Sicherheitszuschläge bei der deterministischen Auslegung, Wahrscheinlichkeiten, Simulationen von (nahezu) kompletten Anlagen (Parametervariationen), gestaffeltes Sicherheitskonzept ("Defence in Depth") | Die SiAnf stellen in Kap. 3.3 Anforderungen an die Quantifizierung von Ergebnisunsicherheiten: |
| * Bestimmung der Unsicherheiten: Ingenieurtechnische Abschätzungen und Erfahrungswerte, konservativ (konservative Anfangs- und Randbedingungen), Best Estimate Plus Uncertainty (BEPU) | |
| |
| ===== 2 Durchführung von Risikoanalysen ===== | * **(1)** Bei der Verwendung statistischer Verfahren ist die Gesamtunsicherheit des jeweiligen Analyseergebnisses zu quantifizieren. Hierfür sind a) die Parameter (Anfangs- und Randbedingungen sowie Modellparameter) und Modelle zu identifizieren, die die Ergebnisunsicherheiten wesentlich beeinflussen; b) die gemäß dem aktuellen Kenntnisstand vorhandenen Unsicherheitsbandbreiten der identifizierten Parameter zu quantifizieren, bei Einsatz von statistischen Verfahren mitsamt den Verteilungen der Parameter; c) falls erforderlich, Abhängigkeiten oder Wechselwirkungen zwischen einzelnen Eingangsparametern festzustellen und zu berücksichtigen. |
| | * **(2)** Unsicherheiten einzelner Modelle im Rechenprogramm, die nicht über eine Variation von Parametern erfasst werden, sind durch Zuschläge auf das Ergebnis abzudecken, die aus der Validierung des Analyseverfahrens abgeleitet sein sollten. |
| | * **(3)** Werden bei der Ermittlung der Gesamtunsicherheit statistische Verfahren angewandt, ist die in Richtung des Nachweiskriteriums gehende einseitige Toleranzgrenze zu ermitteln, wobei für die Einhaltung des Nachweiskriteriums eine Wahrscheinlichkeit von mindestens 95 % mit einer statistischen Sicherheit von mindestens 95 % nachzuweisen ist. |
| | * **(4)** Die Einhaltung statistischer Nachweiskriterien ist mit einer statistischen Sicherheit von mindestens 95 % nachzuweisen. |
| | Die Bestimmung von Unsicherheiten und der Umgang mit unsicheren Risikobeiträgen erfolgt in der Kerntechnik mittels ingenieurtechnischen Abschätzungen und Erfahrungswerten, konservativen Anfangs- und Randbedingungen sowie Sicherheitszuschlägen bei der deterministischen Auslegung, Untersuchung von Wahrscheinlichkeiten und Simulationen von (nahezu) kompletten Anlagen (Parametervariationen). |
| |
| **Wie werden Risikoanalysen in Ihrer Disziplin durchgeführt? (qualitativ, quantitativ, semi-quantitativ, nach Norm oder Richtlinie) \\ Welche Metriken kommen hierbei zum Einsatz?** \\ Nach Atomgesetz und Sicherheitsanforderung für Kernkraftwerke unter Anwendung des KTA‑Regelprogramms: \\ Betrachtung von (vgl. zusätzlich [ATW2018]): | Darüber hinaus besteht in der Kerntechnik ein gestaffeltes Sicherheitskonzept („Defence in Depth“) mit verschiedenen Sicherheitsebenen [SiAnf]: |
| |
| * Auslegungsstörfälle, Design Basis Accidents (DBA) | * **Sicherheitsebene 1**: Normalbetrieb |
| * Probabilistische Sicherheitsanalysen, Probabilistic Safety Analysis (PSA) | * **Sicherheitsebene 2**: Anomaler Betrieb/Störung (Ereignis bzw. Ereignisablauf, dessen Eintreten während der Betriebsdauer der Anlage häufig zu erwarten ist, für den die Anlage ausgelegt ist oder für den bei der Tätigkeit vorsorglich Maßnahmen und Einrichtungen vorgesehen sind und nach dessen Eintreten der Betrieb der Anlage oder die Tätigkeit fortgeführt werden kann) |
| * Störfall- und Unfallanalysen, (Severe) Accident Analysis (SAA) | * **Sicherheitsebene 3**: Störfall (Ereignis bzw. Ereignisablauf, dessen Eintreten während der Betriebsdauer der Anlage nicht zu erwarten ist, gegen den die Anlage dennoch so auszulegen ist, dass die Auslegungsgrundsätze, Nachweisziele und Nachweiskriterien für die Sicherheitsebene 3 eingehalten werden.) |
| | * **Sicherheitsebene 4**: sehr seltene Ereignisse (4a), Ereignisse mit Mehrfachversagen von Sicherheitseinrichtungen (4b), Unfall mit schweren Brennelementschäden (4c) |
| | {{:kerntechnikgrafik.png?nolink&500x353|Bild aus PSÜ-Leitfaden, müsste ggf. selbst erstellt werden. https://www.base.bund.de/shareddocs/downloads/de/rsh/3-bmub/3_74_1.pdf?__blob=publicationFile&v=1}} |
| |
| Fehlerbaumanalysen und PSA: \\ Quantitativ, Probabilistic Safety Analysis (PSA) (2 Stufen), siehe §19a Abs. A Atomgesetz, bzw. RS-Handbuch 3-74.3 (Bekanntmachung des Leitfadens zur Durchführung der „Sicherheitsüberprüfung gemäß § 19a des Atomgesetzes – Leitfaden Probabilistische Sicherheitsanalyse –“ für Kernkraftwerke in der Bundesrepublik Deutschland vom 30. August 2005 (BAnz. 2005, Nr. 207)) | Der Einfluss von Kenntnisunsicherheiten auf Rechenergebnisse wird im Rahmen von Unsicherheitsanalysen untersucht. Zusätzlich werden Sensitivitätsanalysen durchgeführt, um die Kenntnisunsicherheiten zu ermitteln, die den größten Beitrag zur Unsicherheit von Ergebnissen liefern (Best Estimate Plus Uncertainty - BEPU). Eine Software, mit der dies möglich ist, ist SUSA (Software for Uncertainty and Sensitivity Analyses). [SUSA 2025] |
| |
| **Stufe 1**: Ereignis - Kernschaden (Multiples Komponentenversagen, totaler Stromausfall, EVA (Umwelteinflüsse, menschliche Einflüsse) …); \\ **Stufe 2**: Kernschaden - Freisetzung von Radioaktivität (Kernschaden → Kernschmelze → Sicherheitsbehälterversagen àFreisetzung von Radioaktivität); \\ **Stufe 3**: (selten, nicht Pflicht): Freisetzung - Strahlendosiswerte (Unterschiedliche Szenarien für die Ausbreitungen freigesetzter radioaktiver Stoffe in die Umwelt sowie Strahlenschutzmaßnahmen, Evakuierungen, Verzehrverbote) | Die in SUSA bereitgestellten Methoden basieren auf Wahrscheinlichkeitsrechnung, klassischer Monte-Carlo-Simulation und statistischen Verfahren. Auf der Basis von Wahrscheinlichkeitsverteilungen für die nicht eindeutig festlegbaren (unsicheren) Eingangsparameter eines Simulationsprogramms können mit SUSA mögliche Wertekombinationen für diese Parameter ausgespielt und damit entsprechende Simulationsläufe gestartet werden. Die erzielten Simulationsergebnisse können dann bzgl. sicherheitsrelevanter Fragestellungen statistisch ausgewertet werden. So kann mit SUSA u. a. ein Toleranzintervall berechnet werden, das einen hohen Anteil (i. Allg. ≥ 95 %) der möglichen Werte eines sicherheitsrelevanten Simulationsergebnisses mit hoher statistischer Sicherheit (i. Allg. ≥ 95 %) abdeckt. [GRS-634] |
| |
| Die SEWD-IT RL fordert für die einzelnen sicherheits- und sicherungsrelevanten Systeme die Durchführung einer Analyse zur Bewertung der Angemessenheit der getroffenen IT-Security-Maßnahmen. Hierfür ist es erforderlich, das System zu modellieren, das Bedrohungspotential zu definieren und die Bedeutung der möglichen Manipulationen aufgrund ihrer möglichen Auswirkung einzuordnen. Die Analyse bewertet die Wirksamkeit der bestehenden bzw. geplanten Security-Maßnahmen in Hinblick auf die Verhinderung der einzelnen Manipulationen unter Berücksichtigung der ihrer spezifischen Auswirkung auf die Sicherheit der Nuklearanlage. | ===== 4 Durchführung von Risikoanalysen ===== |
| |
| **Wie treten Wechselwirkungen der Domänen Safety und Security in der Risikoanalyse in Ihrer Disziplin in Erscheinung und wie werden diese behandelt?** \\ Wechselwirkungen zwischen beiden Aspekten werden derzeit nur in den Ansätzen zur IT-Bedrohungsanalyse betrachtet. Dies erfolgt indem für die postulierten IT-Bedrohungen die möglichen Auswirkungen auf die vom IT-System auszuführenden Sicherheitsfunktionen (safety functions) analysiert werden. | Gemäß AtG und SiAnf ist alle 10 Jahre eine periodische Sicherheitsanalyse (PSÜ) durchzuführen. Diese besteht für die Safety aus einer qualitativen Sicherheitsstatusanalyse (SSA) und einer quantitativen probabilistischen Sicherheitsanalyse (PSA). Für die (physische) Security wird darüber hinaus eine qualitative deterministische Sicherungsanalyse (DSA) durchgeführt. Um eine bundeseinheitliche Durchführung der PSÜ zu ermöglichen, haben Bund und Länder hierzu gemeinsame Leitfäden entwickelt. [RSHB 1996], [RSHB 1997], [RSHB 2005] Nach [RSHB 1996] soll im Rahmen der Sicherheitsstatusanalyse eine deterministische schutzzielorientierte Überprüfung der vorhandenen Sicherheitseinrichtungen der Anlage durchgeführt, die Betriebsführung dargelegt und eine Auswertung der sicherheitsrelevanten Betriebserfahrung vorgenommen werden. Nach [RSHB 2005] werden PSA in Ergänzung der auf deterministischen Grundlagen beruhenden Sicherheitsbeurteilung eingesetzt. Auf diese Weise kann der Einfluss von Komponenten, Systemen, Strukturen und Personalhandlungen auf das sicherheitstechnische Anlagenverhalten ganzheitlich dargestellt und das Sicherheitsniveau quantitativ bewertet werden. Zum Thema IT-Sicherheit bestand bis 2013 kein kerntechnisches Regelwerk in Deutschland. Die 2013 neu eingeführte SEWD-IT RL fordert für die einzelnen sicherheits- und sicherungsrelevanten rechnerbasierten Systeme die Durchführung einer qualitativen Analyse zur Bewertung der Vollständigkeit und Angemessenheit der getroffenen bzw. geplanten IT-Security-Maßnahmen. Hierfür ist es zunächst erforderlich, die Systeme zu modellieren, das Bedrohungspotential (potenzielle Maximal-Auswirkung eines Systemversagens) zu definieren und damit Schutzbedarfsklassen einzuordnen. Die anschließende qualitative Analyse bewertet die Wirksamkeit der bestehenden bzw. geplanten Security-Maßnahmen in Hinblick auf die Verhinderung der relevanten Manipulationen unter Berücksichtigung der ihrer möglichen Auswirkung. Dies erfordert eine Bedrohungsanalyse (Identifikation der aufgrund von Systemaufbau und Gerätetechnik anzunehmenden Manipulationsmöglichkeiten) und eine Vulnerabilitätsanalyse (mögliche Auswirkungen dieser Manipulationen auf die auf die Nuklearanlage). |
| |
| ===== 3 Domänenübergreifende Zusammenführung ===== | * Ereignisablauf- und Systemanalysen [DRK 1990] |
| |
| **Werden in den angrenzenden Disziplinen ähnliche oder andere Probleme bearbeitet? \\ Was sind methodische Unterschiede und Gemeinsamkeiten in verschiedenen Domänen? \\ Wie könnte ein gemeinsamer Nenner für die Quantifizierung von Risiken in Safety- und Security Modellen aussehen? \\ Welches neue Wissen ist erforderlich für eine Synthese der Domänen? ** | Ein auslösendes Ereignis kann durch verschiedene Kombinationen von Funktionen der Sicherheitssysteme (Systemfunktionen) beherrscht werden. Durch welche Kombinationen von Systemfunktionen der Störfall beherrscht werden kann, wird durch Systemsimulationen, vor allem thermohydraulische Analysen, bestimmt. Dabei wird insbesondere ermittelt, wie viele der mehrfach vorhandenen (redundanten) Systemstränge der einzelnen Sicherheitssysteme erforderlich sind (Mindestanforderung), um eine bestimmte Systemfunktion zu erfüllen. Sind die Mindestanforderungen nicht erfüllt, so führt das auslösende Ereignis zu einem Schadenszustand. In Ereignisablaufdiagrammen wird systematisch jede Möglichkeit erfasst, mit der ein auslösendes Ereignis beherrscht werden oder zu einem Schadenszustand führen kann. Dazu werden Ereignispfade gebildet, die vom auslösenden Ereignis ausgehen und für jede benötigte Systemfunktion einen Verzweigungspunkt enthalten. An diesem teilt sich der Ereignispfad in zwei Zweige auf. Davon ist der eine der Verfügbarkeit, der andere der Nichtverfügbarkeit der Systemfunktion zugeordnet. So ergeben sich viele Pfade, die entweder zu beherrschten Zuständen oder zu Schadenszuständen führen. Im Ereignisablaufdiagramm werden an jedem Verzweigungspunkt den sich aufteilenden Pfaden Verzweigungswahrscheinlichkeiten zugeordnet. Diese entsprechen der Verfügbarkeit bzw. Nichtverfügbarkeit der zugehörigen Systemfunktion. Bei den Verzweigungswahrscheinlichkeiten handelt es sich um bedingte (unter der Bedingung des durch das auslösende Ereignis verursachten Ablaufs) Wahrscheinlichkeiten, die durch Zuverlässigkeits(Fehlerbaum-)analysen bestimmt werden. Damit ergibt sich für jeden Einzelpfad eine Übergangswahrscheinlichkeit vom auslösenden Ereignis zum Schadenszustand als Produkt der Verzweigungswahrscheinlichkeiten entlang des Pfades. Die gesamte Übergangswahrscheinlichkeit von einem auslösenden Ereignis zu einem bestimmten Schadenszustand ergibt sich durch Addition der Übergangswahrscheinlichkeiten der Einzelpfade, die zu dem gleichen Schadenszustand führen. |
| |
| Durch ein Integriertes Managementsystem | * Zuverlässigkeitsanalyse [DRK 1990] |
| |
| * Schnittmengen bzgl. Safeguards, Security und Safety: Bspw. Maßnahmen gegen EVA (Einwirkung von außen, Flugzeugabsturz, Eindringen in/Manipulation der Anlage)), Werksfeuerwehr, (bewaffnetes) Sicherheitspersonal; | Um für die Verzweigungen im Ereignisablaufdiagramm Wahrscheinlichkeiten angeben zu können, ist das Ausfallverhalten, d. h. die Nichtverfügbarkeit oder die Ausfallrate von Systemfunktionen, quantitativ zu bewerten. Beobachtungen, aus denen das Ausfallverhalten einer Systemfunktion aus der Betriebserfahrung direkt ermittelt werden kann, sind häufig nicht zahlreich genug, weil aufgrund der hohen Zuverlässigkeit der Systeme in Kernkraftwerken ein Ausfall der Systeme nur selten oder noch nie aufgetreten ist. Dagegen lässt sich das Ausfallverhalten von Komponenten, die in den verschiedensten Systemen vorhanden sind, aus der Betriebserfahrung bestimmen. Deswegen wird das Ausfallverhalten von Systemfunktionen auf das Ausfallverhalten von Komponenten der Systeme zurückgeführt. Dabei werden auch Handlungen von Personen, die in den Betrieb eingreifen, wie Systemfunktionen behandelt. Für die Ermittlung der Ausfallwahrscheinlichkeit von Systemfunktionen wird die Fehlerbaumanalyse eingesetzt. Bei ihr wird ein Ereignis (z. B. Ausfall der Kühlung) vorgegeben und nach allen Ausfallursachen gesucht, die zu diesem Ereignis führen. Im Allgemeinen ergibt sich dabei eine Vielzahl von Ausfallkombinationen verschiedener Komponenten oder Teilsysteme. Die Fehlerbaumanalyse ermöglicht durch graphische Darstellung eine übersichtliche Behandlung selbst großer technischer Systeme. Dabei lassen sich auch Folgeausfälle sowie näherungsweise menschliches Fehlverhalten und Common-Cause-Ausfälle berücksichtigen. Bei der Modellierung von menschlichem Fehlverhalten und Common-Cause-Ausfällen ist zu berücksichtigen, dass hierzu im Gegensatz zu Ausfallraten von Hardware-Komponenten keine belastbaren Daten aus der Betriebserfahrung bestehen. |
| * Zielkonflikt bzgl. Security und Safety: Bspw. Fluchtwege (bspw. Notschleuse), Notwarte (gebunkert); | |
| * Zielkonflikt bzgl. Safeguards und Security bzw. Safety: Informationsbeschaffung, Lokalisierung von Material | |
| * Überwindung von Security-Maßnahmen führt letztendlich zur Gefährdung der Safety-Maßnahmen (Fernhaltung von radioaktivem Material von Umwelt/Mensch) und Safeguards (Verhinderung von Proliferation); | |
| |
| Für eine disziplinübergreifende Quantisierung sollte eine allgemeine Vorgehensweise für die Zuordnung von Klassen (z. B. gering, mittel, hoch) entwickelt werden, um die Wahrscheinlichkeit von Bedrohungen und die Auswirkungen bewerten zu können. Auf dieser Basis sollte die Vorgehensweise für Sensitivitätsuntersuchungen entwickelt werden, z. B. zur Erkennung von dominanten oder unakzeptablen Risiken oder zur Bewertung der angemessenen Wirksamkeit von Maßnahmen auf der Basis des zugrundeliegenden Risikos. | ==== Wechselwirkungen der Domänen Safety und Security in der Risikoanalyse ==== |
| | |
| | Die Risikoanalyse nach AtG und SiAnf wird nur aus der Safety-Sicht heraus durchgeführt. Bei der Analyse der SEWD-IT RL, die aus Sicht der IT Security durchgeführt wird, ist der Schutzbedarf aus Sicht der Safety bzw. für die Systeme der Anlagensicherung aus Sicht der physischen Security zu bestimmen. Bei der Bewertung der vorgesehenen IT-Security-Maßnahmen müssen eventuelle Rückwirkungen auf die Funktionen der zu schützenden Einrichtungen berücksichtigt werden. Mit der DIN EN IEC 62859 besteht hierzu ein Standard, der die Wechselwirkungen zwischen beiden Aspekten betrachtet. Grundsatz ist hierbei, dass die IT-Sicherheit die Sicherheitsziele der Anlage nicht gefährden darf und deren Realisierung schützen muss. Sie darf die Wirksamkeit der Sicherheitsmerkmale, die in der Leittechnikarchitektur implementiert sind, nicht beeinträchtigen. |
| | |
| | ===== 5 Domänenübergreifende Zusammenführung ===== |
| | |
| | Grundsätzlich haben alle Domänen, die das Prinzip der Funktionalen Sicherheit nutzen (Automobile Sicherheit, Bahntechnik, Luftfahrt, Industrie- und Produktionsanalgen) das Problem der Koordinierung von Safety und IT-Security. Diese Problematik hat sich einerseits durch die immer weitergehende Realisierung von digitalen Schutzsystemen als auch durch die erforderliche oder gewünschte hohe Verfügbarkeit (d.h. keine Nutzung des Abschaltens als Fail-Safe-Zustand) verschärft. Für eine disziplinübergreifende Quantisierung sollte eine allgemeine Vorgehensweise für die Zuordnung von Klassen (z. B. gering, mittel, hoch) entwickelt werden, um die Wahrscheinlichkeit von Bedrohungen und die Auswirkungen bewerten zu können. Auf dieser Basis sollte die Vorgehensweise für Sensitivitätsuntersuchungen entwickelt werden, z. B. zur Erkennung von dominanten oder unakzeptablen Risiken oder zur Bewertung der angemessenen Wirksamkeit von Maßnahmen auf der Basis des zugrundeliegenden Risikos. |
| |
| ===== Quellen ===== | ===== Quellen ===== |
| |
| [ATW2018] //Integrated Approach for Nuclear Safety, Security and Safeguards//, in atw – International Journal for Nuclear Technology 01/2018, \\ Berlin 2018. | [ATW2018] [[https://example.com/dummy-link|Integrated Approach for Nuclear Safety, Security and Safeguards]], in atw – International Journal for Nuclear Technology 01/2018, Berlin 2018. |
| | |
| | [BMU2012] [[https://www.base.bund.de/SharedDocs/Downloads/BASE/DE/rsh/3-bmub/3_0_1.pdf?__blob=publicationFile&v=%201|Sicherheitsanforderungen an Kernkraftwerke und ihre Interpretationen]], 22. November 2012, zuletzt geändert am 25. Februar 2022. |
| | |
| | [BMU2013] [[https://www.base.bund.de/SharedDocs/Downloads/BASE/DE/rsh/3-bmub/3_0_2.pdf?__blob=publicationFile&v=1|Bekanntmachung der Interpretationen zu den Sicherheitsanforderungen an Kernkraftwerke]] vom 22. November 2012, 29. November 2013, zuletzt geändert am 3. März 2015. |
| | |
| | [KTA2025] [[http://www.kta-gs.de/|Kerntechnischer Ausschuss (KTA): KTA-Regelprogramm]], Internet, zuletzt geprüft am 09.01.2025. |
| | |
| | [RSHB 1996] [[https://www.base.bund.de/shareddocs/downloads/de/rsh/3-bmub/3_74_1.pdf?__blob=publicationFile&v=1|Leitfäden zur Durchführung von Periodischen Sicherheitsüberprüfungen (PSÜ) für Kernkraftwerke in der Bundesrepublik Deutschland]], 1997. |
| | |
| | [RSHB 1997] [[https://www.base.bund.de/shareddocs/downloads/de/rsh/3-bmub/3_74_2.pdf?__blob=publicationFile&v=1|Periodische Sicherheitsüberprüfung für Kernkraftwerke - Leitfaden Deterministische Sicherungsanalyse]], 1997. |
| | |
| | [RSHB 2005] [[https://www.base.bund.de/shareddocs/downloads/de/rsh/3-bmub/3_74_3.pdf?__blob=publicationFile&v=1|Sicherheitsüberprüfung gemäß § 19a des Atomgesetzes – Leitfaden Probabilistische Sicherheitsanalyse]], 2005. |
| | |
| | [DRK 1990] [[https://www.grs.de/sites/default/files/publications/Dt._Risikostudie_Kernkraftwerke_Phase_B.pdf|Deutsche Risikostudie Kernkraftwerke Phase B]], 1990. |
| | |
| | [GRS-072] [[https://www.grs.de/sites/default/files/publications/GRS-072.pdf|Deutsche Risikostudie Kernkraftwerke, Phase B, Eine zusammenfassende Darstellung]], GRS-072, 1989. |
| | |
| | [GRS-634] [[https://www.grs.de/sites/default/files/2021-12/GRS-634.pdf|Weiterentwicklung des Analysewerkzeugs SUSA]], GRS-634, 2021. |
| | |
| | [SUSA 2025] [[https://www.grs.de/de/forschung-und-begutachtung/reaktorsicherheit/susa|SUSA]]. |
| | |
| | [BFS 2005] [[https://doris.bfs.de/jspui/bitstream/urn:nbn:de:0221-201011243824/1/BfS_2005_SCHR-37_05.pdf|Methoden zur probabilistischen Sicherheitsanalyse für Kernkraftwerke]], BfS, 2005. |
| |
| |