<h1>Safety (Security) Risiko in der Kerntechnik</h1>
<div class=„level1“> </div>
<h2>Relevante Normen und Richtlinien (unvollständig)</h2>
<div class=„level2“> </div>
<h3>Nationale Regelwerke</h3>
<div class=„level3“>
<ul>
<li class=„level1“><b>Atomgesetz (AtG)</b></li>
<li class=„level1“><b>Sicherheitsanforderungen an Kernkraftwerke (SiAnf)</b> ([BMU2012]) und Interpretationen zu den Sicherheitsanforderungen für Kernkraftwerke ([BMU2013])</li>
<li class=„level1“><b>Richtlinie für den Schutz von IT-Systemen in kerntechnischen Anlagen und Einrichtungen der Sicherungskategorien I und II gegen Störmaßnahmen oder sonstige Einwirkungen Dritter (SEWD-Richtlinie IT)</b>, Bundesministerium für Umwelt, Naturschutz und Reaktorsicherheit</li>
<li class=„level1“><b>Grundlagen zur Periodischen Sicherheitsüberprüfung</b>: Leitfaden Sicherheitsstatusanalyse ([RSHB 1996])</li>
<li class=„level1“><b>Leitfaden Deterministische Sicherungsanalyse</b> ([RSHB 1997])</li>
<li class=„level1“><b>Leitfaden Probabilistische Sicherheitsanalyse</b> ([RSHB 2005])</li>
</ul>
</div>
<h3>Sicherheitstechnische Regeln des Kerntechnischen Ausschusses (KTA)</h3>
<div class=„level3“>
<ul>
<li class=„level1“>KTA 1201: Anforderungen an das Betriebshandbuch</li>
<li class=„level1“>KTA 1202: Anforderungen an das Prüfhandbuch</li>
<li class=„level1“>KTA 1203: Anforderungen an das Notfallhandbuch</li>
<li class=„level1 node“>KTA 1301.1 & KTA 1301.2: Berücksichtigung des Strahlenschutzes der Arbeitskräfte bei Auslegung und Betrieb von Kernkraftwerken
<ul>
<li class="level3">Teil 1: Auslegung</li>\\ <li class="level3">Teil 2: Betrieb</li>\\
</ul>
</li>
<li class=„level1“>KTA 1401: Allgemeine Anforderungen an die Qualitätssicherung</li>
<li class=„level1“>KTA 1402: Integriertes Managementsystem zum sicheren Betrieb von Kernkraftwerken</li>
<li class=„level1“>KTA 3103: Abschaltsysteme von Leichtwasserreaktoren</li>
<li class=„level1“>KTA 3501: Reaktorschutzsystem und Überwachungseinrichtungen des Sicherheitssystems</li>
<li class=„level1“>KTA 3502: Störfallinstrumentierung</li>
<li class=„level1“>KTA 3505: Typprüfung von Messwertgebern und Messumformern der Sicherheitsleittechnik</li>
<li class=„level1“>KTA 3506: Systemprüfung der Sicherheitsleittechnik von Kernkraftwerken</li>
<li class=„level1“>KTA 3507: Werkprüfungen, Prüfungen nach Instandsetzung und Nachweis der Betriebsbewährung der Baugruppen und Geräte der Sicherheitsleittechnik</li>
<li class=„level1“>KTA 391: Kommunikationseinrichtungen für Kernkraftwerke</li>
</ul>
</div>
<h3>Internationale Standards der International Atomic Energy Agency (IAEA)</h3>
<div class=„level3“>
<ul>
<li class=„level1“>SSR-2/1: Safety of Nuclear Power Plants: Design</li>
<li class=„level1“>SSG-2: Deterministic Safety Analysis for Nuclear Power Plants</li>
<li class=„level1“>SSG-3: Development and Application of Level 1 Probabilistic Safety Assessment for Nuclear Power Plants</li>
<li class=„level1“>SSG-4: Development and Application of Level 2 Probabilistic Safety Assessment for Nuclear Power Plants</li>
<li class=„level1“>SSG-30: Safety Classification of Structures, Systems and Components in Nuclear Power Plants</li>
<li class=„level1“>SSG-39: Design of Instrumentation and Control Systems for Nuclear Power Plants</li>
<li class=„level1“>NSS No. 17: Computer Security at Nuclear Facilities</li>
<li class=„level1“>NSS No. 33-T: Computer Security of Instrumentation and Control Systems at Nuclear Facilities</li>
<li class=„level1“>NSS No. 42-G: Computer Security for Nuclear Security</li>
</ul>
</div>
<h3>DIN- und IEC-Normen</h3>
<div class=„level3“>
<ul>
<li class=„level1“><b>DIN EN 60880</b> (VDE 0491-3-2): Kernkraftwerke – Leittechnik für Systeme mit sicherheitstechnischer Bedeutung – Softwareaspekte für rechnerbasierte Systeme zur Realisierung von Funktionen der Kategorie A</li>
<li class=„level1“><b>DIN EN 60987</b> (VDE 0491-3-1): Kernkraftwerke – Leittechnische Systeme mit sicherheitstechnischer Bedeutung – Anforderungen an die Hardware-Auslegung rechnerbasierter Systeme</li>
<li class=„level1“><b>DIN EN 61226</b>: Kernkraftwerke – Leittechnische Systeme mit sicherheitstechnischer Bedeutung – Kategorisierung leittechnischer Funktionen</li>
<li class=„level1“><b>DIN EN 61508-2</b> (VDE 0803-2): Funktionale Sicherheit sicherheitsbezogener elektrischer/elektronischer/programmierbarer elektronischer Systeme – Teil 2: Anforderungen an sicherheitsbezogene elektrische/elektronische/programmierbare elektronische Systeme</li>
<li class=„level1“><b>DIN EN 61508-3</b> (VDE 0803-3): Funktionale Sicherheit sicherheitsbezogener elektrischer/elektronischer/programmierbarer elektronischer Systeme – Teil 3: Anforderungen an Software</li>
<li class=„level1“><b>DIN EN 61513</b>: Kernkraftwerke – Leittechnik für Systeme mit sicherheitstechnischer Bedeutung – Allgemeine Systemanforderungen</li>
<li class=„level1“><b>DIN EN 62340</b> (VDE 0491-10): Kernkraftwerke – Leittechnische Systeme mit sicherheitstechnischer Bedeutung – Anforderungen zur Beherrschung von Versagen aufgrund gemeinsamer Ursache</li>
<li class=„level1“><b>DIN EN 62138</b> (VDE 0491-3-3): Kernkraftwerke – Leittechnik für Systeme mit sicherheitstechnischer Bedeutung – Softwareaspekte für rechnerbasierte Systeme zur Realisierung von Funktionen der Kategorien B oder C</li>
<li class=„level1“><b>DIN EN IEC 62645</b>: Kernkraftwerke – Leittechnische und elektrotechnische Systeme – Anforderungen an die Cybersicherheit</li>
<li class=„level1“><b>DIN EN IEC 62859</b>: Kernkraftwerke – Leittechnische Systeme – Anforderungen für die Koordinierung von Sicherheit und IT-Sicherheit</li>
<li class=„level1“><b>DIN EN 62502</b>: Verfahren zur Analyse der Zuverlässigkeit – Ereignisbaumanalyse</li>
<li class=„level1“><b>DIN EN 61025</b>: Fehlzustandsbaumanalyse</li>
<li class=„level1“><b>DIN EN 60812</b>: Analysetechniken für die Funktionsfähigkeit von Systemen – Verfahren für die Fehlzustandsart- und -auswirkungsanalyse (FMEA)</li>
</ul>
</div>
<h2>1 Risiko: Definition und Herausforderungen</h2>
<div class=„level2“> </div>
<h3>Risiko</h3>
<div class=„level3“>
<p>Das Risiko wird einerseits als objektives, mathematisch erfassbares Risiko, andererseits als subjektives Empfinden beschrieben. Letzteres wird durch intuitive Wahrnehmung und Beurteilung von Tatbeständen und Ereignissen hervorgerufen. Katastrophen und Probleme rufen Angst hervor, Transparenz, Aufklärung und Öffentlichkeitsarbeit hingegen fördern Vertrauen.</p>
<p>Mathematisch lässt sich Risiko als das Produkt aus dem Schadensausmaß und der Eintrittshäufigkeit darstellen und kann damit als Maß für die Größe einer Gefährdung verstanden werden. Um Risiken qualitativ und quantitativ zu erfassen, werden Zuverlässigkeitsmethoden angewendet. Einerseits werden Komponenten, Systeme und Anlagen deterministisch ausgelegt. <span style=„background-color:#f1c40f“>Das bedeutet, es wird durch eine umfangreiche und bestmögliche Analyse bzw. Beurteilung der für die Funktionsfähigkeit und Integrität relevanten Einflussfaktoren durchgeführt.</span> Anhand dessen werden entsprechende Sicherheitszuschläge oder ggf. zusätzliche Systeme für die Auslegung berücksichtigt.</p>
<p>Da andererseits im Beanspruchungsfall einer Komponente, eines Bauteils oder eines Systems nicht genau quantifiziert werden kann, in welchem Ausmaß die Sicherheitszuschläge in Anspruch genommen werden, werden Versagenswahrscheinlichkeiten hergeleitet. In diesen sog. probabilistischen Analysen werden durch Kombination und Verkettung dieser Eintrittshäufigkeiten der Versagensfälle, Schadenshäufigkeiten abgeleitet, z. B. in Bezug auf verschiedene Barrieren. Durch diese Quantifizierung können auch Risiken bestimmt werden. Diese Bestimmung beschreibt allerdings nicht das Restrisiko eines Systems.</p>
<p>Das Restrisiko beschreibt zum einen den Anteil des Risikos, der über die Anlagenauslegung (auch für Unfälle) hinausgeht und sich quantifizieren/abschätzen lässt. Weiter gehört dazu aber auch der Teil, der hinter dem Erfahrungs- und Erkenntnishorizont des Menschen liegt, also qualitativ und quantitativ nicht erfasst werden kann.</p>
<p><b>(Safety) Risk (IAEA safety glossary)</b> A multiattribute quantity expressing hazard, danger or chance of harmful or injurious consequences associated with exposures or potential exposures. It relates to quantities such as the probability that specific deleterious consequences may arise and the magnitude and character of such consequences.</p>
<p><b>(IT Security) risk (IEC 62645)</b> potential that a given threat will exploit vulnerabilities of an asset or group of assets and thereby cause harm to the organization</p>
</div>
<h3>Safety</h3>
<div class=„level3“>
<p>Der Begriff „Safety“ umfasst in der Kerntechnik die technische und organisatorische Sicherheit.</p>
<p>Nukleare Sicherheit [AtG §2 Nr. 3a)]: das Erreichen und Aufrechterhalten ordnungsgemäßer Betriebsbedingungen, die Verhütung von Unfällen und die Abmilderung von Unfallfolgen, so dass Leben, Gesundheit und Sachgüter vor den Gefahren der Kernenergie und der schädlichen Wirkung ionisierender Strahlen geschützt werden;</p>
<p><b>(nuclear) safety (IAEA safety glossary)</b> The achievement of proper operating conditions, prevention of accidents or mitigation of accident consequences, resulting in protection of workers, the public and the environment from undue radiation hazards.</p>
</div>
<h3>Security</h3>
<div class=„level3“>
<p>Der Begriff „Security“ (Sicherung) umfasst in der Kerntechnik den physischen Schutz der Anlage sowie die IT-Sicherheit. Gemäß § 41 AtG hat das integrierte Sicherungs- und Schutzkonzept aus Sicherungsmaßnahmen des Genehmigungsinhabers der kerntechnischen Anlage oder Tätigkeit (erforderlicher Schutz gegen Störmaßnahmen oder sonstige Einwirkungen Dritter) sowie Schutzmaßnahmen des Staates zu bestehen. Die Maßnahmen werden aufeinander abgestimmt. Ziele der Maßnahmen sind die Verhinderung</p>
<ol>
<li class=„level1“>der Freisetzung und der missbräuchlichen Nutzung der ionisierenden Strahlung von Kernbrennstoffen oder ihrer Folgeprodukte in erheblichen Mengen vor Ort,</li>
<li class=„level1“>der einfachen oder wiederholten Entwendung von Kernbrennstoffen oder ihrer Folgeprodukte in erheblichen Mengen mit dem Ziel der Freisetzung oder der missbräuchlichen Nutzung ionisierender Strahlung an einem beliebigen Ort und</li>
<li class=„level1“>der einfachen oder wiederholten Entwendung von Kernbrennstoffen in Mengen, die in der Summe zur Herstellung einer kritischen Anordnung ausreichen.</li>
</ol>
<p>Die zu unterstellenden Störmaßnahmen oder sonstigen Einwirkungen Dritter werden nach dem Stand der Erkenntnisse durch die zuständigen Behörden festgelegt (Lastannahmen). Ausgehend von den Lastannahmen werden allgemeine sowie anlagentyp- und tätigkeitsspezifische Anforderungen und Maßnahmen für den erforderlichen Schutz der kerntechnischen Anlagen und Tätigkeiten in Richtlinien für den Schutz gegen Störmaßnahmen oder sonstige Einwirkungen Dritter (SEWD-Richtlinien) festgelegt.</p>
<p><b>(nuclear) security (IAEA safety glossary)</b> The prevention and detection of, and response to, theft, sabotage, unauthorized access, illegal transfer or other malicious acts involving nuclear material, other radioactive substances or their associated facilities. Note: There is not an exact distinction between the general terms safety and security. In general, security is concerned with intentional actions by people that could cause or threaten harm to other people; safety is concerned with the broader issue of harmful consequences to people (and to the environment) arising from exposure to radiation, whatever the cause.</p>
<p>Mit der SEWD-Richtline IT von 2013 wurde die Sicherung noch um das Thema IT-Sicherheit ergänzt.</p>
<p><b>(IT) security (IEC 61513)</b> capability of the computerbased system to protect information and data so that unauthorized persons or systems cannot read or modify relevant data or perform or inhibit control actions, and authorized persons or systems are not denied access</p>
</div>
<h2>2 Modelle und Verfahren</h2>
<div class=„level2“>
<p>In der Kerntechnik werden zwei Arten von Sicherheitsanalysen durchgeführt, deterministische und probabilistische Sicherheitsanalysen.</p>
<p>Deterministische Sicherheitsanalyse gemäß SiAnf:</p>
<p>Analyse des sicherheitstechnischen Zustands einer Anlage bzw. eines Anlagenteils zur Überprüfung der Erfüllung deterministischer Sicherheits-anforderungen, bestehend aus einer Systembewertung sowie einer Zustands- bzw. Ereignisanalyse.</p>
<p>Für die (physische) Security wird darüber hinaus eine qualitative deterministische Sicherungsanalyse (DSA) durchgeführt.</p>
<p>Probabilistische Sicherheitsanalyse gemäß SiAnf:</p>
<p>Analyse des sicherheitstechnischen Zustands einer Anlage durch Ermittlung der Häufigkeit von Gefährdungs- bzw. Kernschadenszuständen oder der Häufigkeit der Freisetzung radioaktiver Stoffe.</p>
<p>Deterministische Sicherheitsanalysen haben vor allem die Aufgabe, die sicherheitstechnische Auslegung einer Anlage zu bemessen und festzulegen. Hierzu werden bestimmte, vorab festgelegte Störfälle in ihren möglichen Abläufen und Auswirkungen detailliert untersucht. Diese Auslegungsstörfälle werden so gewählt, dass mit den für sie erforderlichen Störfallanalysen auch andere Störfälle in ihren Abläufen und Auswirkungen erfasst werden. Mit der Festlegung der sicherheitstechnischen Auslegung liefert die deterministische Analyse eine notwendige Voraussetzung für probabilistische Sicherheitsanalysen. [GRS-072]</p>
<p>Die Risikoanalyse entspricht im engeren Sinne der probabilistischen Sicherheitsanalyse und ist als Ergänzung zur deterministischen Sicherheitsbeurteilung zu sehen. Sie befasst sich mit Ereignisabläufen, bei denen Sicherheitssysteme versagen und Auslegungsgrenzen überschritten werden. Ausgehend vom Stand der sicherheitstechnischen Auslegung werden dabei Störfall- und Unfallabläufe sowohl hinsichtlich ihrer Eintrittshäufigkeiten als auch möglicher Schadensfolgen untersucht. Durch Auswertung von Betriebserfahrungen werden erwartete Eintrittshäufigkeiten von auslösenden Ereignissen und Zuverlässigkeitsdaten (Ausfallraten, Nichtverfügbarkeiten) von Komponenten abgeleitet. Die probabilistische Sicherheitsanalyse fasst diese Auswertungen von Betriebserfahrungen sowie Ergebnisse von Störfall- und Unfallanalysen und Erkenntnisse der Sicherheitsforschung für eine geschlossene sicherheitstechnische Beurteilung zusammen. Auf dieser Basis wird sie auch dazu herangezogen, die sicherheitstechnische Auslegung einer Anlage zu überprüfen und damit insgesamt das Sicherheitskonzept für Kernkraftwerke weiterzuentwickeln. Dies beinhaltet auch anlageninterne Notfallmaßnahmen (Accident-Management-Maßnahmen), deren Ziel darin besteht, einen Störfall auch unter erschwerten Bedingungen noch zu beherrschen oder wenigstens die Schadensfolgen aus einem nicht beherrschten Störfall zu begrenzen. Hierzu werden Sicherheitsreserven herangezogen, die in vielen Fällen auch dann noch vorhanden sind, wenn Sicherheitssysteme nicht wie vorgesehen eingreifen und sicherheitstechnische Auslegungsgrenzen überschritten werden. Im Vergleich zur deterministischen Beurteilung hat sie den Vorzug, dass die Bedeutung von Störfällen und Unfällen quantitativ anhand von zu erwartenden Häufigkeiten bewertet werden kann. So können Schwachstellen in der sicherheitstechnischen Auslegung im Vergleich zu anderen Beiträgen aus Störfallabläufen mit relativ hohen Häufigkeiten einzelner nicht beherrschter Störfallabläufe identifiziert werden. Werden solche Schwachstellen eliminiert, wird eine ausgewogene sicherheitstechnische Auslegung erreicht. [GRS-072]</p>
<p>Zur probabilistischen Sicherheitsanalyse legen die SiAnf in Kap. 5 Anforderungen fest: (2) Zur Nachweisführung der Erfüllung der technischen Sicherheitsanforderungen sind deterministische Methoden sowie die probabilistische Sicherheitsanalyse heranzuziehen: Die deterministischen Methoden umfassen</p>
<ul>
<li class=„level1“>a) die rechnerische Analyse von Ereignissen oder Zuständen,</li>
<li class=„level1“>b) die Messung oder das Experiment,</li>
<li class=„level1“>c) die qualitative ingenieurmäßige Bewertung.</li>
</ul>
<p>(3) Als Grundlage für Nachweisführungen müssen vorliegen:</p>
<ul>
<li class=„level1“>a) eine aktuelle Zusammenstellung der sicherheitstechnisch wichtigen Informationen über den bestehenden Zustand der betroffenen Maßnahmen und Einrichtungen sowie</li>
<li class=„level1“>b) eine Dokumentation, dass der bestehende Zustand der betroffenen sicherheitstechnisch wichtigen Maßnahmen und Einrichtungen die aktuell geltenden Anforderungen erfüllt.</li>
</ul>
<p>(4) Bei der rechnerischen Analyse von Ereignisabläufen oder Zuständen müssen</p>
<ul>
<li class=„level1“>a) für den jeweiligen Anwendungsbereich validierte Berechnungsverfahren verwendet sowie</li>
<li class=„level1“>b) mit der Berechnung verbundene Unsicherheiten quantifiziert oder durch geeignete Verfahren abgedeckt werden.</li>
</ul>
<p>(5a) In Ergänzung der deterministischen Nachweisführungen muss durch probabilistische Sicherheitsanalysen (PSA) die Ausgewogenheit der sicherheitstechnischen Auslegung überprüft werden.</p>
<p>Zur Risikoanalyse legt auch die DIN EN 62645 in Kap. 5.4.3.2.2 Anforderungen fest:</p>
<p><u>5.4.3.2.2.2</u> Die Begründung, dass IT-Sicherheitsanforderungen korrekt aufgegriffen worden sind, muss durch Risikobewertungsanalysen der vorgeschlagenen Lösung erfolgen. Solche Untersuchungen berücksichtigen Verwundbarkeitsanalysen der technischen Realisierung und spezifische Analysen von Bedrohungs- und Angriffsszenarien.</p>
<p><u>5.4.3.2.2.5</u> Die anlagenspezifische Risikobewertung sollte wenigstens folgende Schritte abdecken:</p>
<ul>
<li class=„level1“>Bestimmung von Umfang und Kontext;</li>
<li class=„level1“>Identifizierung der Bedrohung und deren Charakterisierung;</li>
<li class=„level1“>Bewertung der Verwundbarkeit;</li>
<li class=„level1“>Ausarbeitung von Angriffsszenarien;</li>
<li class=„level1“>Abschätzung des Risikoniveaus;</li>
<li class=„level1“>Definition der Gegenmaßnahmen.</li>
</ul>
</div>
<h3>Angewandte Methoden</h3>
<div class=„level3“>
<p>Methoden der probabilistischen Sicherheitsanalyse werden in [BFS 2005] beschrieben. Hierzu gehören u.a.</p>
<ul>
<li class=„level1 node“>Methoden der Zuverlässigkeitsanalyse, z.B.
<ul>
<li class="level3">Ereignisbaumanalyse (DIN EN 62502), früher Ereignisablaufanalyse (DIN</li>\\ <li class="level3">Fehlzustandsbaumanalyse (DIN EN 61025), früher Fehlerbaumanalyse (DIN 25424)</li>\\
</ul>
</li>
<li class=„level1“>Fehlzustandsart- und -auswirkungsanalyse FMEA (DIN EN 60812), früher Ausfalleffektana-lyse (DIN 25448)</li>
<li class=„level1“>Unsicherheits- und Sensitivitätsanalyse</li>
</ul>
</div>
<h3>Probleme und Dilemmata</h3>
<div class=„level3“>
<ul>
<li class=„level1“><b>Notwendigkeit der Kenntnis der spezifisch auftretenden sicherheitsrelevanten physikalischen Phänomene</b> Sicherheitstechnische Lösungen für Industrieanlagen ohne bzw. mit geringerer potentiellen Gefahr für die Bevölkerung lassen sich nicht einfach übertragen. Hierbei ist auch die Schwierigkeit des Know-How-Erhalts in Deutschland nach dem Kernenergieausstieg zu be-rücksichtigen.</li>
<li class=„level1“><b>Risiko/ Restrisiko</b> * Öffentliche Akzeptanz ist (in Deutschland, vgl. German Angst) ein schwieriger Aspekt (beeinflusst u.a. durch Katastrophen wie Tschernobyl und Fukushima, Endlagerung, subjektive Risiko-/Gefährdungsbeurteilungen) * Das Risiko wird einerseits als objektives, mathematisch erfassbares Risiko, andererseits als subjektives Empfinden be-schrieben. Letzteres wird durch intuitive Wahrnehmung und Beurteilung von Tatbeständen und Ereignissen hervorgerufen. Katastrophen und Probleme rufen Angst hervor, Transpa-renz, Aufklärung und Öffentlichkeitsarbeit hingegen fördern Vertrauen. * Das Restrisiko be-schreibt zum einen den Anteil des Risikos, der über die Anlagenauslegung (auch für Unfälle) hinausgeht und sich quantifizieren/abschätzen lässt. Weiter gehört dazu aber auch der Teil, der hinter dem Erfahrungs- und Erkenntnishorizont des Menschen liegt, also qualitativ und quantitativ nicht erfasst werden kann und daher ebenfalls Angst hervorruft.</li>
<li class=„level1“><b>Zusammenhang Safety / Security</b>: Teilweise werden aus Sicht der Gesamtanlage Safety und Security (früher nur Anlagensiche-rung, physical protection) immer noch traditionell als separat zu betrachtende Aspekte ange-sehen. Dementsprechend werden bei Risikoanalysen der Anlage nur Safety-Aspekte (Versa-gen von Komponenten aufgrund von Zufallsausfällen oder Auslegungsfehlern) betrachtet. Aus leittechnischer Sicht (funktionale Sicherheit) muss aber die IT-Security als ein zur Sa-fety beitragender, notwendiger Aspekt betrachtet werden.</li>
</ul>
</div>
<h2>3 Unscharfe oder unsichere Risikobeiträge</h2>
<div class=„level2“>
<p>Die SiAnf stellen in Kap. 3.3 Anforderungen an die Quantifizierung von Ergebnisunsicherhei-ten:</p>
<ul>
<li class=„level1“><b>(1)</b> Bei der Verwendung statistischer Verfahren ist die Gesamtunsicherheit des jeweiligen Analyseergebnisses zu quantifizieren. Hierfür sind a) die Parameter (Anfangs- und Randbedingungen sowie Modellparameter) und Modelle zu identifizieren, die die Ergebnisunsicherheiten wesentlich beeinflussen; b) die gemäß dem aktuellen Kenntnisstand vorhandenen Unsicherheitsbandbreiten der identifizierten Parameter zu quantifizieren, bei Einsatz von statistischen Verfahren mitsamt den Verteilungen der Parameter; c) falls erforderlich, Abhängigkeiten oder Wechselwirkungen zwischen einzelnen Eingangsparametern festzustellen und zu berücksichtigen.</li>
<li class=„level1“><b>(2)</b> Unsicherheiten einzelner Modelle im Rechenprogramm, die nicht über eine Variation von Parametern erfasst werden, sind durch Zuschläge auf das Ergebnis abzudecken, die aus der Validierung des Analyseverfahrens abgeleitet sein sollten.</li>
<li class=„level1“><b>(3)</b> Werden bei der Ermittlung der Gesamtunsicherheit statistische Verfahren angewandt, ist die in Richtung des Nachweiskriteriums gehende einseitige Toleranzgrenze zu ermitteln, wobei für die Einhaltung des Nachweiskriteriums eine Wahrscheinlichkeit von mindestens 95 % mit einer statistischen Sicherheit von mindestens 95 % nachzuweisen ist.</li>
<li class=„level1“><b>(4)</b> Die Einhaltung statistischer Nachweiskriterien ist mit einer statistischen Sicherheit von mindestens 95 % nachzuweisen.</li>
</ul>
<p>Die Bestimmung von Unsicherheiten und der Umgang mit unsicheren Risikobeiträgen erfolgt in der Kerntechnik mittels ingenieurtechnischen Abschätzungen und Erfahrungswerten, konservativen Anfangs- und Randbedingungen sowie Sicherheitszuschlägen bei der deterministischen Auslegung, Untersuchung von Wahrscheinlichkeiten und Simulationen von (nahezu) kompletten Anlagen (Parametervariationen).</p>
<p>Darüber hinaus besteht in der Kerntechnik ein gestaffeltes Sicherheitskonzept („Defence in Depth“) mit verschiedenen Sicherheitsebenen [SiAnf]:</p>
<ul>
<li class=„level1“><b>Sicherheitsebene 1</b>: Normalbetrieb</li>
<li class=„level1“><b>Sicherheitsebene 2</b>: Anomaler Betrieb/Störung (Ereignis bzw. Ereignisablauf, dessen Eintreten während der Betriebsdauer der Anlage häufig zu erwarten ist, für den die Anlage ausgelegt ist oder für den bei der Tätigkeit vorsorglich Maßnahmen und Einrichtungen vorgesehen sind und nach dessen Eintreten der Betrieb der Anlage oder die Tätigkeit fortgeführt werden kann)</li>
<li class=„level1“><b>Sicherheitsebene 3</b>: Störfall (Ereignis bzw. Ereignisablauf, dessen Eintreten während der Betriebsdauer der Anlage nicht zu erwarten ist, gegen den die Anlage dennoch so auszulegen ist, dass die Auslegungsgrundsätze, Nachweisziele und Nachweiskriterien für die Sicherheitsebene 3 eingehalten werden.)</li>
<li class=„level1“><b>Sicherheitsebene 4</b>: sehr seltene Ereignisse (4a), Ereignisse mit Mehrfachversagen von Sicherheitseinrichtungen (4b), Unfall mit schweren Brennelementschäden (4c)</li>
</ul>
<p><img alt=„Bild aus PSÜ-Leitfaden, müsste ggf. selbst erstellt werden. https://www.base.bund.de/shareddocs/downloads/de/rsh/3-bmub/3_74_1.pdf?__blob=publicationFile&v=1“ class=„media“ height=„353“ loading=„lazy“ src=„/!vdi-fa512/lib/exe/fetch.php?w=500&h=353&tok=5a2a19&media=kerntechnikgrafik.png“ title=„Bild aus PSÜ-Leitfaden, müsste ggf. selbst erstellt werden. https://www.base.bund.de/shareddocs/downloads/de/rsh/3-bmub/3_74_1.pdf?__blob=publicationFile&v=1“ width=„500“ /></p>
<p>Der Einfluss von Kenntnisunsicherheiten auf Rechenergebnisse wird im Rahmen von Unsicherheitsanalysen untersucht. Zusätzlich werden Sensitivitätsanalysen durchgeführt, um die Kenntnisunsicherheiten zu ermitteln, die den größten Beitrag zur Unsicherheit von Ergebnissen liefern (Best Estimate Plus Uncertainty - BEPU). Eine Software, mit der dies möglich ist, ist SUSA (Software for Uncertainty and Sensitivity Analyses). [SUSA 2025]</p>
<p>Die in SUSA bereitgestellten Methoden basieren auf Wahrscheinlichkeitsrechnung, klassischer Monte-Carlo-Simulation und statistischen Verfahren. Auf der Basis von Wahrscheinlichkeitsverteilungen für die nicht eindeutig festlegbaren (unsicheren) Eingangsparameter eines Simulationsprogramms können mit SUSA mögliche Wertekombinationen für diese Parameter ausgespielt und damit entsprechende Simulationsläufe gestartet werden. Die erzielten Simulationsergebnisse können dann bzgl. sicherheitsrelevanter Fragestellungen statistisch ausgewertet werden. So kann mit SUSA u. a. ein Toleranzintervall berechnet werden, das einen hohen Anteil (i. Allg. ≥ 95 %) der möglichen Werte eines sicherheitsrelevanten Simulationsergebnisses mit hoher statistischer Sicherheit (i. Allg. ≥ 95 %) abdeckt. [GRS-634]</p>
</div>
<h2>4 Durchführung von Risikoanalysen</h2>
<div class=„level2“>
<p>Gemäß AtG und SiAnf ist alle 10 Jahre eine periodische Sicherheitsanalyse (PSÜ) durchzuführen. Diese besteht für die Safety aus einer qualitativen Sicherheitsstatusanalyse (SSA) und einer quantitativen probabilistischen Sicherheitsanalyse (PSA). Für die (physische) Security wird darüber hinaus eine qualitative deterministische Sicherungsanalyse (DSA) durchgeführt. Um eine bundeseinheitliche Durchführung der PSÜ zu ermöglichen, haben Bund und Länder hierzu gemeinsame Leitfäden entwickelt. [RSHB 1996], [RSHB 1997], [RSHB 2005] Nach [RSHB 1996] soll im Rahmen der Sicherheitsstatusanalyse eine deterministische schutzzielorientierte Überprüfung der vorhandenen Sicherheitseinrichtungen der Anlage durchgeführt, die Betriebsführung dargelegt und eine Auswertung der sicherheitsrelevanten Betriebserfahrung vorgenommen werden. Nach [RSHB 2005] werden PSA in Ergänzung der auf deterministischen Grundlagen beruhenden Sicherheitsbeurteilung eingesetzt. Auf diese Weise kann der Einfluss von Komponenten, Systemen, Strukturen und Personalhandlungen auf das sicherheitstechnische Anlagenverhalten ganzheitlich dargestellt und das Sicherheitsniveau quantitativ bewertet werden. Zum Thema IT-Sicherheit bestand bis 2013 kein kerntechnisches Regelwerk in Deutschland. Die 2013 neu eingeführte SEWD-IT RL fordert für die einzelnen sicherheits- und sicherungsrelevanten rechnerbasierten Systeme die Durchführung einer qualitativen Analyse zur Bewertung der Vollständigkeit und Angemessenheit der getroffenen bzw. geplanten IT-Security-Maßnahmen. Hierfür ist es zunächst erforderlich, die Systeme zu modellieren, das Bedrohungspotential (potenzielle Maximal-Auswirkung eines Systemversagens) zu definieren und damit Schutzbedarfsklassen einzuordnen. Die anschließende qualitative Analyse bewertet die Wirksamkeit der bestehenden bzw. geplanten Security-Maßnahmen in Hinblick auf die Verhinderung der relevanten Manipulationen unter Berücksichtigung der ihrer möglichen Auswirkung. Dies erfordert eine Bedrohungsanalyse (Identifikation der aufgrund von Systemaufbau und Gerätetechnik anzunehmenden Manipulationsmöglichkeiten) und eine Vulnerabilitätsanalyse (mögliche Auswirkungen dieser Manipulationen auf die auf die Nuklearanlage).</p>
<ul>
<li class=„level1“>Ereignisablauf- und Systemanalysen [DRK 1990]</li>
</ul>
<p>Ein auslösendes Ereignis kann durch verschiedene Kombinationen von Funktionen der Sicherheitssysteme (Systemfunktionen) beherrscht werden. Durch welche Kombinationen von Systemfunktionen der Störfall beherrscht werden kann, wird durch Systemsimulationen, vor allem thermohydraulische Analysen, bestimmt. Dabei wird insbesondere ermittelt, wie viele der mehrfach vorhandenen (redundanten) Systemstränge der einzelnen Sicherheitssysteme erforderlich sind (Mindestanforderung), um eine bestimmte Systemfunktion zu erfüllen. Sind die Mindestanforderungen nicht erfüllt, so führt das auslösende Ereignis zu einem Schadenszustand. In Ereignisablaufdiagrammen wird systematisch jede Möglichkeit erfasst, mit der ein auslösendes Ereignis beherrscht werden oder zu einem Schadenszustand führen kann. Dazu werden Ereignispfade gebildet, die vom auslösenden Ereignis ausgehen und für jede benötigte Systemfunktion einen Verzweigungspunkt enthalten. An diesem teilt sich der Ereignispfad in zwei Zweige auf. Davon ist der eine der Verfügbarkeit, der andere der Nichtverfügbarkeit der Systemfunktion zugeordnet. So ergeben sich viele Pfade, die entweder zu beherrschten Zuständen oder zu Schadenszuständen führen. Im Ereignisablaufdiagramm werden an jedem Verzweigungspunkt den sich aufteilenden Pfaden Verzweigungswahrscheinlichkeiten zugeordnet. Diese entsprechen der Verfügbarkeit bzw. Nichtverfügbarkeit der zugehörigen Systemfunktion. Bei den Verzweigungswahrscheinlichkeiten handelt es sich um bedingte (unter der Bedingung des durch das auslösende Ereignis verursachten Ablaufs) Wahrscheinlichkeiten, die durch Zuverlässigkeits(Fehlerbaum-)analysen bestimmt werden. Damit ergibt sich für jeden Einzelpfad eine Übergangswahrscheinlichkeit vom auslösenden Ereignis zum Schadenszustand als Produkt der Verzweigungswahrscheinlichkeiten entlang des Pfades. Die gesamte Übergangswahrscheinlichkeit von einem auslösenden Ereignis zu einem bestimmten Schadenszustand ergibt sich durch Addition der Übergangswahrscheinlichkeiten der Einzelpfade, die zu dem gleichen Schadenszustand führen.</p>
<ul>
<li class=„level1“>Zuverlässigkeitsanalyse [DRK 1990]</li>
</ul>
<p>Um für die Verzweigungen im Ereignisablaufdiagramm Wahrscheinlichkeiten angeben zu können, ist das Ausfallverhalten, d. h. die Nichtverfügbarkeit oder die Ausfallrate von Systemfunktionen, quantitativ zu bewerten. Beobachtungen, aus denen das Ausfallverhalten einer Systemfunktion aus der Betriebserfahrung direkt ermittelt werden kann, sind häufig nicht zahlreich genug, weil aufgrund der hohen Zuverlässigkeit der Systeme in Kernkraftwerken ein Ausfall der Systeme nur selten oder noch nie aufgetreten ist. Dagegen lässt sich das Ausfallverhalten von Komponenten, die in den verschiedensten Systemen vorhanden sind, aus der Betriebserfahrung bestimmen. Deswegen wird das Ausfallverhalten von Systemfunktionen auf das Ausfallverhalten von Komponenten der Systeme zurückgeführt. Dabei werden auch Handlungen von Personen, die in den Betrieb eingreifen, wie Systemfunktionen behandelt. Für die Ermittlung der Ausfallwahrscheinlichkeit von Systemfunktionen wird die Fehlerbaumanalyse eingesetzt. Bei ihr wird ein Ereignis (z. B. Ausfall der Kühlung) vorgegeben und nach allen Ausfallursachen gesucht, die zu diesem Ereignis führen. Im Allgemeinen ergibt sich dabei eine Vielzahl von Ausfallkombinationen verschiedener Komponenten oder Teilsysteme. Die Fehlerbaumanalyse ermöglicht durch graphische Darstellung eine übersichtliche Behandlung selbst großer technischer Systeme. Dabei lassen sich auch Folgeausfälle sowie näherungsweise menschliches Fehlverhalten und Common-Cause-Ausfälle berücksichtigen. Bei der Modellierung von menschlichem Fehlverhalten und Common-Cause-Ausfällen ist zu berücksichtigen, dass hierzu im Gegensatz zu Ausfallraten von Hardware-Komponenten keine belastbaren Daten aus der Betriebserfahrung bestehen.</p>
</div>
<h3>Wechselwirkungen der Domänen Safety und Security in der Risikoanalyse</h3>
<div class=„level3“>
<p>Die Risikoanalyse nach AtG und SiAnf wird nur aus der Safety-Sicht heraus durchgeführt. Bei der Analyse der SEWD-IT RL, die aus Sicht der IT Security durchgeführt wird, ist der Schutzbedarf aus Sicht der Safety bzw. für die Systeme der Anlagensicherung aus Sicht der physischen Security zu bestimmen. Bei der Bewertung der vorgesehenen IT-Security-Maßnahmen müssen eventuelle Rückwirkungen auf die Funktionen der zu schützenden Einrichtungen berücksichtigt werden. Mit der DIN EN IEC 62859 besteht hierzu ein Standard, der die Wechselwirkungen zwischen beiden Aspekten betrachtet. Grundsatz ist hierbei, dass die IT-Sicherheit die Sicherheitsziele der Anlage nicht gefährden darf und deren Realisierung schützen muss. Sie darf die Wirksamkeit der Sicherheitsmerkmale, die in der Leittechnikarchitektur implementiert sind, nicht beeinträchtigen.</p>
</div>
<h2>5 Domänenübergreifende Zusammenführung</h2>
<div class=„level2“>
<p>Grundsätzlich haben alle Domänen, die das Prinzip der Funktionalen Sicherheit nutzen (Automobile Sicherheit, Bahntechnik, Luftfahrt, Industrie- und Produktionsanalgen) das Problem der Koordinierung von Safety und IT-Security. Diese Problematik hat sich einerseits durch die immer weitergehende Realisierung von digitalen Schutzsystemen als auch durch die erforderliche oder gewünschte hohe Verfügbarkeit (d.h. keine Nutzung des Abschaltens als Fail-Safe-Zustand) verschärft. Für eine disziplinübergreifende Quantisierung sollte eine allgemeine Vorgehensweise für die Zuordnung von Klassen (z. B. gering, mittel, hoch) entwickelt werden, um die Wahrscheinlichkeit von Bedrohungen und die Auswirkungen bewerten zu können. Auf dieser Basis sollte die Vorgehensweise für Sensitivitätsuntersuchungen entwickelt werden, z. B. zur Erkennung von dominanten oder unakzeptablen Risiken oder zur Bewertung der angemessenen Wirksamkeit von Maßnahmen auf der Basis des zugrundeliegenden Risikos.</p>
</div>
<h2>Quellen</h2>
<div class=„level2“>
<p>[ATW2018] <a class=„urlextern“ href=„https://example.com/dummy-link“ rel=„ugc nofollow“ title=„https://example.com/dummy-link“>Integrated Approach for Nuclear Safety, Security and Safeguards</a>, in atw – International Journal for Nuclear Technology 01/2018, Berlin 2018.</p>
<p>[BMU2012] <a class=„urlextern“ href=„https://www.base.bund.de/SharedDocs/Downloads/BASE/DE/rsh/3-bmub/3_0_1.pdf?__blob=publicationFile&v=%201“ rel=„ugc nofollow“ title=„https://www.base.bund.de/SharedDocs/Downloads/BASE/DE/rsh/3-bmub/3_0_1.pdf?__blob=publicationFile&v=%201“>Sicherheitsanforderungen an Kernkraftwerke und ihre Interpretationen</a>, 22. November 2012, zuletzt geändert am 25. Februar 2022.</p>
<p>[BMU2013] <a class=„urlextern“ href=„https://www.base.bund.de/SharedDocs/Downloads/BASE/DE/rsh/3-bmub/3_0_2.pdf?__blob=publicationFile&v=1“ rel=„ugc nofollow“ title=„https://www.base.bund.de/SharedDocs/Downloads/BASE/DE/rsh/3-bmub/3_0_2.pdf?__blob=publicationFile&v=1“>Bekanntmachung der Interpretationen zu den Sicherheitsanforderungen an Kernkraftwerke</a> vom 22. November 2012, 29. November 2013, zuletzt geändert am 3. März 2015.</p>
<p>[KTA2025] <a class=„urlextern“ href=„http://www.kta-gs.de/“ rel=„ugc nofollow“ title=„http://www.kta-gs.de/“>Kerntechnischer Ausschuss (KTA): KTA-Regelprogramm</a>, Internet, zuletzt geprüft am 09.01.2025.</p>
<p>[RSHB 1996] <a class=„urlextern“ href=„https://www.base.bund.de/shareddocs/downloads/de/rsh/3-bmub/3_74_1.pdf?__blob=publicationFile&v=1“ rel=„ugc nofollow“ title=„https://www.base.bund.de/shareddocs/downloads/de/rsh/3-bmub/3_74_1.pdf?__blob=publicationFile&v=1“>Leitfäden zur Durchführung von Periodischen Sicherheitsüberprüfungen (PSÜ) für Kernkraftwerke in der Bundesrepublik Deutschland</a>, 1997.</p>
<p>[RSHB 1997] <a class=„urlextern“ href=„https://www.base.bund.de/shareddocs/downloads/de/rsh/3-bmub/3_74_2.pdf?__blob=publicationFile&v=1“ rel=„ugc nofollow“ title=„https://www.base.bund.de/shareddocs/downloads/de/rsh/3-bmub/3_74_2.pdf?__blob=publicationFile&v=1“>Periodische Sicherheitsüberprüfung für Kernkraftwerke - Leitfaden Deterministische Sicherungsanalyse</a>, 1997.</p>
<p>[RSHB 2005] <a class=„urlextern“ href=„https://www.base.bund.de/shareddocs/downloads/de/rsh/3-bmub/3_74_3.pdf?__blob=publicationFile&v=1“ rel=„ugc nofollow“ title=„https://www.base.bund.de/shareddocs/downloads/de/rsh/3-bmub/3_74_3.pdf?__blob=publicationFile&v=1“>Sicherheitsüberprüfung gemäß § 19a des Atomgesetzes – Leitfaden Probabilistische Sicherheitsanalyse</a>, 2005.</p>
<p>[DRK 1990] <a class=„urlextern“ href=„https://www.grs.de/sites/default/files/publications/Dt._Risikostudie_Kernkraftwerke_Phase_B.pdf“ rel=„ugc nofollow“ title=„https://www.grs.de/sites/default/files/publications/Dt._Risikostudie_Kernkraftwerke_Phase_B.pdf“>Deutsche Risikostudie Kernkraftwerke Phase B</a>, 1990.</p>
<p>[GRS-072] <a class=„urlextern“ href=„https://www.grs.de/sites/default/files/publications/GRS-072.pdf“ rel=„ugc nofollow“ title=„https://www.grs.de/sites/default/files/publications/GRS-072.pdf“>Deutsche Risikostudie Kernkraftwerke, Phase B, Eine zusammenfassende Darstellung</a>, GRS-072, 1989.</p>
<p>[GRS-634] <a class=„urlextern“ href=„https://www.grs.de/sites/default/files/2021-12/GRS-634.pdf“ rel=„ugc nofollow“ title=„https://www.grs.de/sites/default/files/2021-12/GRS-634.pdf“>Weiterentwicklung des Analysewerkzeugs SUSA</a>, GRS-634, 2021.</p>
<p>[SUSA 2025] <a class=„urlextern“ href=„https://www.grs.de/de/forschung-und-begutachtung/reaktorsicherheit/susa“ rel=„ugc nofollow“ title=„https://www.grs.de/de/forschung-und-begutachtung/reaktorsicherheit/susa“>SUSA</a>.</p>
<p>[BFS 2005] <a class=„urlextern“ href=„https://doris.bfs.de/jspui/bitstream/urn:nbn:de:0221-201011243824/1/BfS_2005_SCHR-37_05.pdf“ rel=„ugc nofollow“ title=„https://doris.bfs.de/jspui/bitstream/urn:nbn:de:0221-201011243824/1/BfS_2005_SCHR-37_05.pdf“>Methoden zur probabilistischen Sicherheitsanalyse für Kernkraftwerke</a>, BfS, 2005.</p>
</div>