| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung |
| content:kerntechnische-anlagen [2025/10/17 13:28] – droste | content:kerntechnische-anlagen [2025/12/02 09:08] (aktuell) – [4 Durchführung von Risikoanalysen] jopen |
|---|
| ====== Safety & Security in Kerntechnischen Anlagen ====== | ====== Kerntechnische Anlagen - Safety & Security====== |
| |
| Das oberste Ziel der Sicherheit und Sicherung kerntechnischer Anlagen ist es, Menschen und Umwelt vor den schädlichen Wirkungen ionisierender Strahlung zu schützen. Um dies zu gewährleisten, stellt das kerntechnische Regelwerk hohe Anforderungen entsprechend des Standes von Wissenschaft und Technik, um die Schutzziele "Kontrolle der Reaktivität", "Kühlung der Brennelemente" und "Einschluss der radioaktiven Stoffe" einzuhalten. Es gilt für alle kerntechnischen Anlagen, zu denen neben den mittlerweile in Stilllegung befindlichen Kernkraftwerken auch die weiterhin in Betrieb befindliche Zwischenlager, Forschungsreaktoren sowie die Brennelementfertigungsanlage in Lingen und die Uran-Anreicherungsanlage in Gronau zählen. | Das oberste Ziel der Sicherheit und Sicherung kerntechnischer Anlagen ist es, Menschen und Umwelt vor den schädlichen Wirkungen ionisierender Strahlung zu schützen. Um dies zu gewährleisten, stellt das kerntechnische Regelwerk hohe Anforderungen entsprechend des Standes von Wissenschaft und Technik, um die Schutzziele "Kontrolle der Reaktivität", "Kühlung der Brennelemente" und "Einschluss der radioaktiven Stoffe" einzuhalten. Es gilt für alle kerntechnischen Anlagen, zu denen neben den mittlerweile in Stilllegung befindlichen Kernkraftwerken auch die weiterhin in Betrieb befindlichen Zwischenlager, Forschungsreaktoren sowie die Brennelementfertigungsanlage in Lingen und die Uran-Anreicherungsanlage in Gronau zählen. |
| |
| Die Schnittstelle zwischen Sicherheit und Sicherung bezog sich lange Zeit vorwiegend auf die Gewährleistung der Sicherheitsfunktionen im Zusammenspiel mit dem physischen Schutz der Anlage (insb. Schutz vor Entwenden radioaktiven Materials und damit verbundener Freisetzung). Als Teilmenge der Sicherung stellt die Informationssicherheit mittlerweile ein zusätzliches enges Bindeglied zur Sicherheit insbesondere leittechnischer Systeme dar. In Deutschland bestand das Sicherheitssystem von Kernkraftwerken bis zu ihrer endgültigen Abschaltung ausschließlich aus analogen Systemen. Die Informationssicherheit musste also vorwiegend bei betrieblichen Systemen und der allgemeinen Infrastruktur außerhalb des Reaktorgebäudes sichergestellt werden. International werden aber neue Reaktorkonzepte entwickelt und gebaut, bei denen auch die Informationssicherheit eine große Rolle spielt. Außerdem werden bestehende Kernkraftwerke anderer Länder mit digitalen Sicherheitsleittechniksystemen modernisiert, weshalb auch die Methoden zur Sicherheitsbewertung entsprechend weiterentwickelt werden. | Die Schnittstelle zwischen Sicherheit und Sicherung bezog sich lange Zeit vorwiegend auf die Gewährleistung der Sicherheitsfunktionen im Zusammenspiel mit dem physischen Schutz der Anlage (insb. Schutz vor Entwenden radioaktiven Materials und damit verbundener Freisetzung). Als Teilmenge der Sicherung stellt die Informationssicherheit mittlerweile ein zusätzliches enges Bindeglied zur Sicherheit insbesondere leittechnischer Systeme dar. In Deutschland bestand das Sicherheitssystem von Kernkraftwerken bis zu ihrer endgültigen Abschaltung ausschließlich aus analogen Systemen. Die Informationssicherheit musste also vorwiegend bei betrieblichen Systemen und der allgemeinen Infrastruktur außerhalb des Reaktorgebäudes sichergestellt werden. International werden aber neue Reaktorkonzepte entwickelt und gebaut, bei denen auch die Informationssicherheit eine große Rolle spielt. Außerdem werden bestehende Kernkraftwerke anderer Länder mit digitalen Sicherheitsleittechniksystemen modernisiert, weshalb auch die Methoden zur Sicherheitsbewertung entsprechend weiterentwickelt werden. |
| ^Kennung^Jahr^Titel^Anmerkung| | ^Kennung^Jahr^Titel^Anmerkung| |
| |[[https://www.gesetze-im-internet.de/atg/|Atomgesetz (AtG)]]|1959|Gesetz über die friedliche Verwendung der Kernenergie und den Schutz gegen ihre Gefahren|-| | |[[https://www.gesetze-im-internet.de/atg/|Atomgesetz (AtG)]]|1959|Gesetz über die friedliche Verwendung der Kernenergie und den Schutz gegen ihre Gefahren|-| |
| |[[https://www.bundesumweltministerium.de/download/sicherheitsanforderungen-an-kernkraftwerke|Sicherheitsanforderungen an Kernkraftwerke (SiAnf)]]|2015|Sicherheitsanforderungen an Kernkraftwerke ([BMU2012]) und Interpretationen ([BMU2013])|-| | |[[https://www.base.bund.de/shareddocs/downloads/de/rsh/3-bmub/3_0_1.pdf?__blob=publicationFile&v=1]]|2022|Sicherheitsanforderungen an Kernkraftwerke ([BMU2022])|-| |
| |[[https://www.base.bund.de/shareddocs/downloads/de/rsh/3-bmub/3_99.2.html|SEWD-Richtlinie IT]]|2020|Richtlinie für den Schutz von IT-Systemen in kerntechnischen Anlagen und Einrichtungen der Sicherungskategorien I und II gegen Störmaßnahmen oder sonstige Einwirkungen Dritter|Bundesministerium für Umwelt, Naturschutz und Reaktorsicherheit| | |[[https://www.base.bund.de/shareddocs/downloads/de/rsh/3-bmub/3_0_2.pdf?__blob=publicationFile&v=1]]|2015|Interpretationen zu den Sicherheitsanforderungen an Kernkraftwerke ([BMU2015])|-| |
| |[[https://www.base.bund.de/shareddocs/downloads/de/rsh/3-bmub/3_74_1.pdf?__blob=publicationFile&v=1|Leitfaden Sicherheitsstatusanalyse]]|1996|Grundlagen zur Periodischen Sicherheitsüberprüfung ([RSHB 1996])|-| | |[[https://www.base.bund.de/shareddocs/downloads/de/rsh/3-bmub/3_99.1.html|SEWD-Richtlinie IT]]|2013|Richtlinie für den Schutz von IT-Systemen in kerntechnischen Anlagen und Einrichtungen der Sicherungskategorien I und II gegen Störmaßnahmen oder sonstige Einwirkungen Dritter|Bundesministerium für Umwelt, Naturschutz und Reaktorsicherheit| |
| |[[https://www.base.bund.de/shareddocs/downloads/de/rsh/3-bmub/3_74_2.pdf?__blob=publicationFile&v=1|Leitfaden Deterministische Sicherungsanalyse]]|1997|Richtlinie zur Durchführung einer deterministischen Sicherungsanalyse ([RSHB 1997])|-| | |[[https://www.base.bund.de/shareddocs/downloads/de/rsh/3-bmub/3_99.2.html|SEWD-Richtlinie IT SK III]]|2020|Richtlinie für den Schutz von IT-Systemen in kerntechnischen Anlagen und bei Tätigkeiten der Sicherungskategorie III sowie der umsichtigen Betriebsführung gegen Störmaßnahmen oder sonstige Einwirkungen Dritter|Bundesministerium für Umwelt, Naturschutz und Reaktorsicherheit| |
| |[[https://www.base.bund.de/shareddocs/downloads/de/rsh/3-bmub/3_74_3.pdf?__blob=publicationFile&v=1|Leitfaden Probabilistische Sicherheitsanalyse]]|2005|Richtlinie zur Durchführung einer probabilistischen Sicherheitsanalyse ([RSHB 2005])|-| | |[[https://www.bundesumweltministerium.de/themen/nukleare-sicherheit/aufsicht-ueber-atomkraftwerke/sicherheitsueberpruefung|Leitfaden Sicherheitsstatusanalyse]]|1998|Grundlagen zur Periodischen Sicherheitsüberprüfung ([BMU1998])|-| |
| | |[[https://www.bundesumweltministerium.de/themen/nukleare-sicherheit/aufsicht-ueber-atomkraftwerke/sicherheitsueberpruefung|Leitfaden Deterministische Sicherungsanalyse]]|1998|Leitfaden "Deterministische Sicherungsanalyse (DSA)" ([BMU1998a])|-| |
| | |[[https://www.bundesumweltministerium.de/themen/nukleare-sicherheit/aufsicht-ueber-atomkraftwerke/sicherheitsueberpruefung|Leitfaden Probabilistische Sicherheitsanalyse]]|2005|Leitfaden "Probabilistischen Sicherheitsanalyse (PSA)" ([BMU2005])|-| |
| |
| ==== Sicherheitstechnische Regeln des Kerntechnischen Ausschusses (KTA) ==== | ==== Sicherheitstechnische Regeln des Kerntechnischen Ausschusses (KTA) ==== |
| ^Kennung^Jahr^Titel^Anmerkung| | ^Kennung^Jahr^Titel^Anmerkung| |
| |[[https://www-pub.iaea.org/MTCD/Publications/PDF/Pub1715web-46541668.pdf|SSR-2/1]]|2016|Safety of Nuclear Power Plants: Design| | | |[[https://www-pub.iaea.org/MTCD/Publications/PDF/Pub1715web-46541668.pdf|SSR-2/1]]|2016|Safety of Nuclear Power Plants: Design| | |
| |[[https://www-pub.iaea.org/MTCD/Publications/PDF/PUB1851_web.pdf|SSG-2]]|2009|Deterministic Safety Analysis for Nuclear Power Plants| | | |[[https://www-pub.iaea.org/MTCD/Publications/PDF/PUB1851_web.pdf|SSG-2]]|2010|Deterministic Safety Analysis for Nuclear Power Plants| | |
| |[[https://www-pub.iaea.org/MTCD/Publications/PDF/p15318-PUB2056_web.pdf|SSG-3]]|-|Development and Application of Level 1 Probabilistic Safety Assessment for Nuclear Power Plants| | | |[[https://www-pub.iaea.org/MTCD/Publications/PDF/p15318-PUB2056_web.pdf|SSG-3 (Rev. 1)]]|2024|Development and Application of Level 1 Probabilistic Safety Assessment for Nuclear Power Plants| | |
| |[[https://www-pub.iaea.org/MTCD/Publications/PDF/Pub1443_web.pdf|SSG-4]]|-|Development and Application of Level 2 Probabilistic Safety Assessment for Nuclear Power Plants| | | |[[https://www-pub.iaea.org/MTCD/publications/PDF/p15818-PUB2105_web.pdf|SSG-4 (Rev. 1)]]|2025|Development and Application of Level 2 Probabilistic Safety Assessment for Nuclear Power Plants| | |
| |[[https://www-pub.iaea.org/MTCD/Publications/PDF/Pub1639_web.pdf|SSG-30]]|2014|Safety Classification of Structures, Systems and Components in Nuclear Power Plants| | | |[[https://www-pub.iaea.org/MTCD/Publications/PDF/Pub1639_web.pdf|SSG-30]]|2014|Safety Classification of Structures, Systems and Components in Nuclear Power Plants| | |
| |[[https://www-pub.iaea.org/MTCD/Publications/PDF/Pub1694_web.pdf|SSG-39]]|2016|Design of Instrumentation and Control Systems for Nuclear Power Plants| | | |[[https://www-pub.iaea.org/MTCD/Publications/PDF/Pub1694_web.pdf|SSG-39]]|2016|Design of Instrumentation and Control Systems for Nuclear Power Plants| | |
| |[[https://www-pub.iaea.org/MTCD/Publications/PDF/PUB1921_web.pdf|NSS No. 17]]|-|Computer Security at Nuclear Facilities| | | |[[https://www-pub.iaea.org/MTCD/Publications/PDF/PUB1921_web.pdf|NSS No. 17]]|2021|Computer Security at Nuclear Facilities| | |
| |[[https://www-pub.iaea.org/MTCD/Publications/PDF/P1787_web.pdf|NSS No. 33-T]]|2018|Computer Security of Instrumentation and Control Systems at Nuclear Facilities| | | |[[https://www-pub.iaea.org/MTCD/Publications/PDF/P1787_web.pdf|NSS No. 33-T]]|2018|Computer Security of Instrumentation and Control Systems at Nuclear Facilities| | |
| |[[https://www-pub.iaea.org/MTCD/Publications/PDF/PUB1918_web.pdf|NSS No. 42-G]]|2021|Computer Security for Nuclear Security| | | |[[https://www-pub.iaea.org/MTCD/Publications/PDF/PUB1918_web.pdf|NSS No. 42-G]]|2021|Computer Security for Nuclear Security| | |
| Analyse des sicherheitstechnischen Zustands einer Anlage durch Ermittlung der Häufigkeit von Gefährdungs- bzw. Kernschadenszuständen oder der Häufigkeit der Freisetzung radioaktiver Stoffe. | Analyse des sicherheitstechnischen Zustands einer Anlage durch Ermittlung der Häufigkeit von Gefährdungs- bzw. Kernschadenszuständen oder der Häufigkeit der Freisetzung radioaktiver Stoffe. |
| |
| Deterministische Sicherheitsanalysen haben vor allem die Aufgabe, die sicherheitstechnische Auslegung einer Anlage zu bemessen und festzulegen. Hierzu werden bestimmte, vorab festgelegte einleitende Ereignisse (Transienten, Störfälle, auslegungsüberschreitende Ereignisse) in ihren möglichen Abläufen und Auswirkungen detailliert untersucht. Diese Ereignisse werden so gewählt, dass mit den für sie erforderlichen Störfallanalysen auch andere Störfälle in ihren Abläufen und Auswirkungen erfasst werden. Mit der Festlegung der sicherheitstechnischen Auslegung liefert die deterministische Analyse eine notwendige Voraussetzung für probabilistische Sicherheitsanalysen. [GRS-072][BMU2012][BMU2013] | Deterministische Sicherheitsanalysen haben vor allem die Aufgabe, die sicherheitstechnische Auslegung einer Anlage zu bemessen und festzulegen. Hierzu werden bestimmte, vorab festgelegte einleitende Ereignisse (Transienten, Störfälle, auslegungsüberschreitende Ereignisse) in ihren möglichen Abläufen und Auswirkungen detailliert untersucht. Diese Ereignisse werden so gewählt, dass mit den für sie erforderlichen Störfallanalysen auch andere Störfälle in ihren Abläufen und Auswirkungen erfasst werden. Mit der Festlegung der sicherheitstechnischen Auslegung liefert die deterministische Analyse eine notwendige Voraussetzung für probabilistische Sicherheitsanalysen. [GRS1989][BMU2015][BMU2022] |
| |
| Die Risikoanalyse entspricht im engeren Sinne der probabilistischen Sicherheitsanalyse und ist als Ergänzung zur deterministischen Sicherheitsbeurteilung zu sehen. Sie befasst sich mit Ereignisabläufen, bei denen Sicherheitssysteme versagen und Auslegungsgrenzen überschritten werden. Ausgehend vom Stand der sicherheitstechnischen Auslegung werden dabei Störfall- und Unfallabläufe sowohl hinsichtlich ihrer Eintrittshäufigkeiten als auch möglicher Schadensfolgen untersucht. Durch Auswertung von Betriebserfahrungen werden erwartete Eintrittshäufigkeiten von auslösenden Ereignissen und Zuverlässigkeitsdaten (Ausfallraten, Nichtverfügbarkeiten) von Komponenten abgeleitet. Die probabilistische Sicherheitsanalyse fasst diese Auswertungen von Betriebserfahrungen sowie Ergebnisse von Störfall- und Unfallanalysen und Erkenntnisse der Sicherheitsforschung für eine geschlossene sicherheitstechnische Beurteilung zusammen. Auf dieser Basis wird sie auch dazu herangezogen, die sicherheitstechnische Auslegung einer Anlage zu überprüfen und damit insgesamt das Sicherheitskonzept für Kernkraftwerke weiterzuentwickeln. Dies beinhaltet auch anlageninterne Notfallmaßnahmen (Accident-Management-Maßnahmen), deren Ziel darin besteht, einen Störfall auch unter erschwerten Bedingungen noch zu beherrschen oder wenigstens die Schadensfolgen aus einem nicht beherrschten Störfall zu begrenzen. Hierzu werden Sicherheitsreserven herangezogen, die in vielen Fällen auch dann noch vorhanden sind, wenn Sicherheitssysteme nicht wie vorgesehen eingreifen und sicherheitstechnische Auslegungsgrenzen überschritten werden. Im Vergleich zur deterministischen Beurteilung hat sie den Vorzug, dass die Bedeutung von Störfällen und Unfällen quantitativ anhand von zu erwartenden Häufigkeiten bewertet werden kann. So können Schwachstellen in der sicherheitstechnischen Auslegung im Vergleich zu anderen Beiträgen aus Störfallabläufen mit relativ hohen Häufigkeiten einzelner nicht beherrschter Störfallabläufe identifiziert werden. Werden solche Schwachstellen eliminiert, wird eine ausgewogene sicherheitstechnische Auslegung erreicht. [GRS-072][BMU2012][BMU2013] | Die Risikoanalyse entspricht im engeren Sinne der probabilistischen Sicherheitsanalyse und ist als Ergänzung zur deterministischen Sicherheitsbeurteilung zu sehen. Sie befasst sich mit Ereignisabläufen, bei denen Sicherheitssysteme versagen und Auslegungsgrenzen überschritten werden. Ausgehend vom Stand der sicherheitstechnischen Auslegung werden dabei Störfall- und Unfallabläufe sowohl hinsichtlich ihrer Eintrittshäufigkeiten als auch möglicher Schadensfolgen untersucht. Durch Auswertung von Betriebserfahrungen werden erwartete Eintrittshäufigkeiten von auslösenden Ereignissen und technischen Zuverlässigkeitskenngrößen (Ausfallraten, Nichtverfügbarkeiten) von Komponenten und Systemen abgeleitet, aber auch die menschliche Zuverlässigkeit im Ereignisablauf untersucht. Die probabilistische Sicherheitsanalyse fasst diese Auswertungen von Betriebserfahrungen sowie Ergebnisse von Störfall- und Unfallanalysen und Erkenntnisse der Sicherheitsforschung für eine geschlossene sicherheitstechnische Beurteilung zusammen. Auf dieser Basis wird sie auch dazu herangezogen, die sicherheitstechnische Auslegung einer Anlage zu überprüfen und damit insgesamt das Sicherheitskonzept für Kernkraftwerke weiterzuentwickeln. Dies beinhaltet auch anlageninterne Notfallmaßnahmen (Accident-Management-Maßnahmen), deren Ziel darin besteht, einen Störfall auch unter erschwerten Bedingungen noch zu beherrschen oder zumindest die Schadensfolgen eines nicht beherrschten Störfalls zu begrenzen. Hierzu werden Sicherheitsreserven herangezogen, die in vielen Fällen auch dann noch vorhanden sind, wenn Sicherheitssysteme nicht wie vorgesehen eingreifen und sicherheitstechnische Auslegungsgrenzen überschritten werden. Im Vergleich zur deterministischen Beurteilung hat die probabilistische Risikobewertung den Vorzug, dass die Bedeutung von Störfällen und Unfällen quantitativ anhand zu erwartender Häufigkeiten bewertet werden kann. So können Schwachstellen in der sicherheitstechnischen Auslegung im Vergleich zu anderen Beiträgen aus Störfallabläufen mit relativ hohen Häufigkeiten einzelner nicht beherrschter Störfallabläufe identifiziert werden. Werden solche Schwachstellen eliminiert, wird eine ausgewogene sicherheitstechnische Auslegung erreicht. [GRS1989][BMU2015][BMU2022] |
| |
| Zur probabilistischen Sicherheitsanalyse legen die SiAnf in Kap. 5 Anforderungen fest: (2) Zur Nachweisführung der Erfüllung der technischen Sicherheitsanforderungen sind deterministische Methoden sowie die probabilistische Sicherheitsanalyse heranzuziehen: Die deterministischen Methoden umfassen | Zur probabilistischen Sicherheitsanalyse legen die SiAnf in Kap. 5 Anforderungen fest: (2) Zur Nachweisführung der Erfüllung der technischen Sicherheitsanforderungen sind deterministische Methoden sowie die probabilistische Sicherheitsanalyse heranzuziehen: Die deterministischen Methoden umfassen |
| |
| * a) eine aktuelle Zusammenstellung der sicherheitstechnisch wichtigen Informationen über den bestehenden Zustand der betroffenen Maßnahmen und Einrichtungen sowie | * a) eine aktuelle Zusammenstellung der sicherheitstechnisch wichtigen Informationen über den bestehenden Zustand der betroffenen Maßnahmen und Einrichtungen sowie |
| * b) eine Dokumentation, dass der bestehende Zustand der betroffenen sicherheitstechnisch wichtigen Maßnahmen und Einrichtungen die aktuell geltenden Anforderungen erfüllt. | * b) eine Dokumentation, dass der bestehende Zustand der betroffenen, sicherheitstechnisch wichtigen Maßnahmen und Einrichtungen die aktuell geltenden Anforderungen erfüllt. |
| |
| (4) Bei der rechnerischen Analyse von Ereignisabläufen oder Zuständen müssen | (4) Bei der rechnerischen Analyse von Ereignisabläufen oder Zuständen müssen |
| ==== Angewandte Methoden ==== | ==== Angewandte Methoden ==== |
| |
| Methoden der probabilistischen Sicherheitsanalyse werden in [BFS 2005] beschrieben. Hierzu gehören u.a. | Methoden der probabilistischen Sicherheitsanalyse werden in [FAK 2005] und [FAK 2016] beschrieben. Hierzu gehören u.a.: |
| |
| * Methoden der Zuverlässigkeitsanalyse, z.B. | * Methoden der Zuverlässigkeitsanalyse, z. B. |
| * Ereignisbaumanalyse (DIN EN 62502), früher Ereignisablaufanalyse (DIN | * Ereignisbaumanalyse (DIN EN 62502), früher Ereignisablaufanalyse (DIN 25419) |
| * Fehlzustandsbaumanalyse (DIN EN 61025), früher Fehlerbaumanalyse (DIN 25424) | * Fehlzustandsbaumanalyse (DIN EN 61025), früher Fehlerbaumanalyse (DIN 25424) |
| * Fehlzustandsart- und Auswirkungsanalyse FMEA (DIN EN 60812), früher Ausfalleffektanalyse (DIN 25448) | * Fehlzustandsart- und Auswirkungsanalyse FMEA (DIN EN 60812), früher Ausfalleffektanalyse (DIN 25448) |
| ==== Probleme und Dilemmata ==== | ==== Probleme und Dilemmata ==== |
| |
| * **Notwendigkeit der Kenntnis der spezifisch auftretenden sicherheitsrelevanten physikalischen Phänomene** Sicherheitstechnische Lösungen für Industrieanlagen ohne bzw. mit geringerer potentiellen Gefahr für die Bevölkerung lassen sich nicht einfach übertragen. Hierbei ist auch die Schwierigkeit des Know-How-Erhalts in Deutschland nach dem Kernenergieausstieg zu berücksichtigen. | * **Notwendigkeit der Kenntnis der spezifisch auftretenden sicherheitsrelevanten physikalischen Phänomene** Sicherheitstechnische Lösungen für Industrieanlagen ohne bzw. mit geringerer potenziellen Gefahr für die Bevölkerung lassen sich nicht einfach übertragen. Hierbei ist auch die Schwierigkeit des Know-how-Erhalts in Deutschland nach dem Kernenergieausstieg zu berücksichtigen. |
| * **Risiko/ Restrisiko** * Öffentliche Akzeptanz ist (in Deutschland, vgl. German Angst) ein schwieriger Aspekt (beeinflusst u.a. durch Katastrophen wie Tschernobyl und Fukushima, Endlagerung, subjektive Risiko-/Gefährdungsbeurteilungen) * Das Risiko wird einerseits als objektives, mathematisch erfassbares Risiko, andererseits als subjektives Empfinden beschrieben. Letzteres wird durch intuitive Wahrnehmung und Beurteilung von Tatbeständen und Ereignissen hervorgerufen. Katastrophen und Probleme rufen Angst hervor, Transparenz, Aufklärung und Öffentlichkeitsarbeit hingegen fördern Vertrauen. * Das Restrisiko beschreibt zum einen den Anteil des Risikos, der über die Anlagenauslegung (auch für Unfälle) hinausgeht und sich quantifizieren/abschätzen lässt. Weiter gehört dazu aber auch der Teil, der hinter dem Erfahrungs- und Erkenntnishorizont des Menschen liegt, also qualitativ und quantitativ nicht erfasst werden kann und daher ebenfalls Angst hervorruft. | * **Risiko/ Restrisiko** * Öffentliche Akzeptanz ist (in Deutschland, vgl. German Angst) ein schwieriger Aspekt (beeinflusst u.a. durch Katastrophen wie Tschernobyl und Fukushima, Endlagerung, subjektive Risiko-/Gefährdungsbeurteilungen) * Das Risiko wird einerseits als objektives, mathematisch erfassbares Risiko, andererseits als subjektives Empfinden beschrieben. Letzteres wird durch intuitive Wahrnehmung und Beurteilung von Tatbeständen und Ereignissen hervorgerufen. Katastrophen und Probleme rufen Angst hervor, Transparenz, Aufklärung und Öffentlichkeitsarbeit hingegen fördern Vertrauen. * Das Restrisiko beschreibt zum einen den Anteil des Risikos, der über die Anlagenauslegung (auch für Unfälle) hinausgeht und sich quantifizieren/abschätzen lässt. Weiter gehört dazu aber auch der Teil, der hinter dem Erfahrungs- und Erkenntnishorizont des Menschen liegt, also qualitativ und quantitativ nicht erfasst werden kann und daher ebenfalls Angst hervorruft. |
| * **Zusammenhang Safety / Security**: Teilweise werden aus Sicht der Gesamtanlage Safety und Security (sowohl der allgemeine physische Schutz als auch die Cyber-Security) immer noch traditionell als separat zu betrachtende Aspekte angesehen. Dementsprechend werden bei Risikoanalysen der Anlage nur Safety-Aspekte (Versagen von Komponenten aufgrund von Zufallsausfällen oder Auslegungsfehlern) betrachtet. Aus leittechnischer Sicht (funktionale Sicherheit) muss aber die Security als ein zur Safety beitragender, notwendiger Aspekt betrachtet werden. | * **Zusammenhang Safety / Security**: Teilweise werden aus Sicht der Gesamtanlage Safety und Security (sowohl der allgemeine physische Schutz als auch die Cyber-Security) immer noch traditionell als separat zu betrachtende Aspekte angesehen. Dementsprechend werden bei Risikoanalysen der Anlage nur Safety-Aspekte (Versagen von Komponenten/Systemen aufgrund von Zufallsausfällen oder Auslegungsfehlern) betrachtet. Aus leittechnischer Sicht (funktionale Sicherheit) muss aber die Security als ein zur Safety beitragender, notwendiger Aspekt betrachtet werden. |
| ===== 3 Unscharfe oder unsichere Risikobeiträge ===== | ===== 3 Unscharfe oder unsichere Risikobeiträge ===== |
| |
| * **(3)** Werden bei der Ermittlung der Gesamtunsicherheit statistische Verfahren angewandt, ist die in Richtung des Nachweiskriteriums gehende einseitige Toleranzgrenze zu ermitteln, wobei für die Einhaltung des Nachweiskriteriums eine Wahrscheinlichkeit von mindestens 95 % mit einer statistischen Sicherheit von mindestens 95 % nachzuweisen ist. | * **(3)** Werden bei der Ermittlung der Gesamtunsicherheit statistische Verfahren angewandt, ist die in Richtung des Nachweiskriteriums gehende einseitige Toleranzgrenze zu ermitteln, wobei für die Einhaltung des Nachweiskriteriums eine Wahrscheinlichkeit von mindestens 95 % mit einer statistischen Sicherheit von mindestens 95 % nachzuweisen ist. |
| * **(4)** Die Einhaltung statistischer Nachweiskriterien ist mit einer statistischen Sicherheit von mindestens 95 % nachzuweisen. | * **(4)** Die Einhaltung statistischer Nachweiskriterien ist mit einer statistischen Sicherheit von mindestens 95 % nachzuweisen. |
| Die Bestimmung von Unsicherheiten und der Umgang mit unsicheren Risikobeiträgen erfolgt in der Kerntechnik mittels ingenieurtechnischen Abschätzungen und Erfahrungswerten, konservativen Anfangs- und Randbedingungen sowie Sicherheitszuschlägen bei der deterministischen Auslegung, Untersuchung von Wahrscheinlichkeiten und Simulationen von (nahezu) kompletten Anlagen (Parametervariationen). | Die Bestimmung von Unsicherheiten und der Umgang mit unsicheren Risikobeiträgen erfolgt in der Kerntechnik mittels ingenieurtechnischer Abschätzungen und Erfahrungswerten, konservativen Anfangs- und Randbedingungen sowie Sicherheitszuschlägen bei der deterministischen Auslegung, Untersuchung von Wahrscheinlichkeiten und Simulationen von (nahezu) kompletten Anlagen (Parametervariationen). |
| |
| Darüber hinaus besteht in der Kerntechnik ein gestaffeltes Sicherheitskonzept („Defence in Depth“) mit verschiedenen Sicherheitsebenen [SiAnf]: | Darüber hinaus besteht in der Kerntechnik ein gestaffeltes Sicherheitskonzept („Defence in Depth“) mit verschiedenen Sicherheitsebenen [BMU2022]: |
| |
| * **Sicherheitsebene 1**: Normalbetrieb | * **Sicherheitsebene 1**: Normalbetrieb |
| {{:content:kerntechnik_abbildung1.svg?600x299}} | {{:content:kerntechnik_abbildung1.svg?600x299}} |
| |
| Bild 1: Sicherheitskonzept für Kernkraftwerke nach [RSHB 1997] und [BMU 2012] | Bild 1: Sicherheitskonzept für Kernkraftwerke nach [BMU1998b] und [BMU2022] |
| |
| Der Einfluss von Kenntnisunsicherheiten auf Rechenergebnisse wird im Rahmen von Unsicherheitsanalysen untersucht. Zusätzlich werden Sensitivitätsanalysen durchgeführt, um die Kenntnisunsicherheiten zu ermitteln, die den größten Beitrag zur Unsicherheit von Ergebnissen liefern (Best Estimate Plus Uncertainty - BEPU). Eine Software, mit der dies möglich ist, ist SUSA (Software for Uncertainty and Sensitivity Analyses). [SUSA 2025] | Der Einfluss von Kenntnisunsicherheiten auf Rechenergebnisse wird im Rahmen von Unsicherheitsanalysen untersucht. Zusätzlich werden Sensitivitätsanalysen durchgeführt, um die Kenntnisunsicherheiten zu ermitteln, die den größten Beitrag zur Unsicherheit von Ergebnissen liefern (Best Estimate Plus Uncertainty - BEPU). Eine Software, mit der dies möglich ist, ist SUSA (Software for Uncertainty and Sensitivity Analyses). [GRS2025] |
| |
| Die in SUSA bereitgestellten Methoden basieren auf Wahrscheinlichkeitsrechnung, klassischer Monte-Carlo-Simulation und statistischen Verfahren. Auf der Basis von Wahrscheinlichkeitsverteilungen für die nicht eindeutig festlegbaren (unsicheren) Eingangsparameter eines Simulationsprogramms können mit SUSA mögliche Wertekombinationen für diese Parameter ausgespielt und damit entsprechende Simulationsläufe gestartet werden. Die erzielten Simulationsergebnisse können dann bzgl. sicherheitsrelevanter Fragestellungen statistisch ausgewertet werden. So kann mit SUSA u. a. ein Toleranzintervall berechnet werden, das einen hohen Anteil (i. Allg. ≥ 95 %) der möglichen Werte eines sicherheitsrelevanten Simulationsergebnisses mit hoher statistischer Sicherheit (i. Allg. ≥ 95 %) abdeckt. [GRS-634] | Die in SUSA bereitgestellten Methoden basieren auf Wahrscheinlichkeitsrechnung, klassischer Monte-Carlo-Simulation und statistischen Verfahren. Auf der Basis von Wahrscheinlichkeitsverteilungen für die nicht eindeutig festlegbaren (unsicheren) Eingangsparameter eines Simulationsprogramms können mit SUSA mögliche Wertekombinationen für diese Parameter ausgespielt und damit entsprechende Simulationsläufe gestartet werden. Die erzielten Simulationsergebnisse können dann bzgl. sicherheitsrelevanter Fragestellungen statistisch ausgewertet werden. So kann mit SUSA u. a. ein Toleranzintervall berechnet werden, das einen hohen Anteil (i. Allg. ≥ 95 %) der möglichen Werte eines sicherheitsrelevanten Simulationsergebnisses mit hoher statistischer Sicherheit (i. Allg. ≥ 95 %) abdeckt. [GRS2021] |
| |
| ===== 4 Durchführung von Risikoanalysen ===== | ===== 4 Durchführung von Risikoanalysen ===== |
| |
| Gemäß AtG und SiAnf ist alle 10 Jahre eine periodische Sicherheitsanalyse (PSÜ) durchzuführen. Diese besteht für die Safety aus einer qualitativen Sicherheitsstatusanalyse (SSA) und einer quantitativen probabilistischen Sicherheitsanalyse (PSA). Für die (physische) Security wird darüber hinaus eine qualitative deterministische Sicherungsanalyse (DSA) durchgeführt. Um eine bundeseinheitliche Durchführung der PSÜ zu ermöglichen, haben Bund und Länder hierzu gemeinsame Leitfäden entwickelt. [RSHB 1996], [RSHB 1997], [RSHB 2005] Nach [RSHB 1996] soll im Rahmen der Sicherheitsstatusanalyse eine deterministische schutzzielorientierte Überprüfung der vorhandenen Sicherheitseinrichtungen der Anlage durchgeführt, die Betriebsführung dargelegt und eine Auswertung der sicherheitsrelevanten Betriebserfahrung vorgenommen werden. Nach [RSHB 2005] werden PSA in Ergänzung der auf deterministischen Grundlagen beruhenden Sicherheitsbeurteilung eingesetzt. Auf diese Weise kann der Einfluss von Komponenten, Systemen, Strukturen und Personalhandlungen auf das sicherheitstechnische Anlagenverhalten ganzheitlich dargestellt und das Sicherheitsniveau quantitativ bewertet werden. Zum Thema IT-Sicherheit bestand bis 2013 kein kerntechnisches Regelwerk in Deutschland. Die 2013 neu eingeführte SEWD-IT RL fordert für die einzelnen sicherheits- und sicherungsrelevanten rechnerbasierten oder programmierbaren Systeme die Durchführung einer qualitativen Analyse zur Bewertung der Vollständigkeit und Angemessenheit der getroffenen bzw. geplanten IT-Security-Maßnahmen. Hierfür ist es zunächst erforderlich, die Systeme und insbesondere das Zusammenspiel der Systeme zu modellieren, das Bedrohungspotential (potenzielle Maximal-Auswirkung bei einer maliziösen Manipulation des Systems) zu definieren und damit in Schutzbedarfsklassen einzuordnen. Die anschließende qualitative Analyse bewertet die Wirksamkeit der bestehenden bzw. geplanten Security-Maßnahmen in Hinblick auf die Verhinderung der relevanten Manipulationen unter Berücksichtigung der ihrer möglichen Auswirkung. Dies erfordert eine Bedrohungsanalyse (Identifikation der aufgrund von Systemaufbau und Gerätetechnik anzunehmenden Manipulationsmöglichkeiten) und eine Vulnerabilitätsanalyse (mögliche Auswirkungen dieser Manipulationen auf die auf die Nuklearanlage). | Gemäß AtG und SiAnf ist alle 10 Jahre eine periodische Sicherheitsanalyse (PSÜ) durchzuführen. Diese besteht für die Safety aus einer qualitativen Sicherheitsstatusanalyse (SSA) und einer quantitativen probabilistischen Sicherheitsanalyse (PSA). Für die (physische) Security wird darüber hinaus eine qualitative deterministische Sicherungsanalyse (DSA) durchgeführt. Um eine bundeseinheitliche Durchführung der PSÜ zu ermöglichen, haben Bund und Länder hierzu gemeinsame Leitfäden entwickelt. [BMU1998], [BMU1998b], [BMU2005] |
| |
| * Ereignisablauf- und Systemanalysen [DRK 1990] | Nach [BMU1998] soll im Rahmen der Sicherheitsstatusanalyse eine deterministische schutzzielorientierte Überprüfung der vorhandenen Sicherheitseinrichtungen der Anlage durchgeführt, die Betriebsführung dargelegt und eine Auswertung der sicherheitsrelevanten Betriebserfahrung vorgenommen werden. Nach [BMU2005] werden PSA in Ergänzung der auf deterministischen Grundlagen beruhenden Sicherheitsbeurteilung eingesetzt. Auf diese Weise kann der Einfluss von baulichen Anlagenteilen (Strukturen), Systemen und Komponenten (SSC) sowie von Personalhandlungen auf das sicherheitstechnische Anlagenverhalten ganzheitlich dargestellt und das Sicherheitsniveau quantitativ bewertet werden. Zum Thema IT-Sicherheit bestand bis 2013 kein kerntechnisches Regelwerk in Deutschland. Die 2013 neu eingeführte SEWD-IT RL fordert für die einzelnen sicherheits- und sicherungsrelevanten rechnerbasierten oder programmierbaren Systeme die Durchführung einer qualitativen Analyse zur Bewertung der Vollständigkeit und Angemessenheit der getroffenen bzw. geplanten IT-Security-Maßnahmen. Hierfür ist es zunächst erforderlich, die Systeme und insbesondere das Zusammenspiel der Systeme zu modellieren, das Bedrohungspotential (potenzielle Maximal-Auswirkung bei einer heimtückischen Manipulation des Systems) zu definieren und damit in Schutzbedarfsklassen einzuordnen. Die anschließende qualitative Analyse bewertet die Wirksamkeit der bestehenden bzw. geplanten Security-Maßnahmen in Hinblick auf die Verhinderung der relevanten Manipulationen unter Berücksichtigung der ihrer möglichen Auswirkung. Dies erfordert eine Bedrohungsanalyse (Identifikation der aufgrund von Systemaufbau und Gerätetechnik anzunehmenden Manipulationsmöglichkeiten) und eine Vulnerabilitätsanalyse (mögliche Auswirkungen dieser Manipulationen auf die kerntechnische Einrichtung). |
| |
| Ein auslösendes Ereignis kann durch verschiedene Kombinationen von Funktionen der Sicherheitssysteme (Systemfunktionen) beherrscht werden. Durch welche Kombinationen von Systemfunktionen der Störfall beherrscht werden kann, wird durch Systemsimulationen, vor allem thermohydraulische Analysen, bestimmt. Dabei wird insbesondere ermittelt, wie viele der mehrfach vorhandenen (redundanten) Systemstränge der einzelnen Sicherheitssysteme erforderlich sind (Mindestanforderung), um eine bestimmte Systemfunktion zu erfüllen. Sind die Mindestanforderungen nicht erfüllt, so führt das auslösende Ereignis zu einem Schadenszustand. In Ereignisablaufdiagrammen wird systematisch jede Möglichkeit erfasst, mit der ein auslösendes Ereignis beherrscht werden oder zu einem Schadenszustand führen kann. Dazu werden Ereignispfade gebildet, die vom auslösenden Ereignis ausgehen und für jede benötigte Systemfunktion einen Verzweigungspunkt enthalten. An diesem teilt sich der Ereignispfad in zwei Zweige auf. Davon ist der eine der Verfügbarkeit, der andere der Nichtverfügbarkeit der Systemfunktion zugeordnet. So ergeben sich viele Pfade, die entweder zu beherrschten Zuständen oder zu Schadenszuständen führen. Im Ereignisablaufdiagramm werden an jedem Verzweigungspunkt den sich aufteilenden Pfaden Verzweigungswahrscheinlichkeiten zugeordnet. Diese entsprechen der Verfügbarkeit bzw. Nichtverfügbarkeit der zugehörigen Systemfunktion. Bei den Verzweigungswahrscheinlichkeiten handelt es sich um bedingte (unter der Bedingung des durch das auslösende Ereignis verursachten Ablaufs) Wahrscheinlichkeiten, die durch Zuverlässigkeits(Fehlerbaum-)analysen bestimmt werden. Damit ergibt sich für jeden Einzelpfad eine Übergangswahrscheinlichkeit vom auslösenden Ereignis zum Schadenszustand als Produkt der Verzweigungswahrscheinlichkeiten entlang des Pfades. Die gesamte Übergangswahrscheinlichkeit von einem auslösenden Ereignis zu einem bestimmten Schadenszustand ergibt sich durch Addition der Übergangswahrscheinlichkeiten der Einzelpfade, die zu dem gleichen Schadenszustand führen. | * Ereignisablauf- und Systemanalysen [GRS1990], [FAK2005], [FAK2016] (für Daten dazu und deren Nutzung siehe [FAK2005a]) |
| |
| * Zuverlässigkeitsanalyse [DRK 1990] | Ein auslösendes Ereignis kann durch verschiedene Kombinationen von Funktionen der Sicherheitssysteme (Systemfunktionen) beherrscht werden. Durch welche Kombinationen von Systemfunktionen der Störfall beherrscht werden kann, wird durch Systemsimulationen, vor allem thermohydraulische Analysen, bestimmt. Dabei wird insbesondere ermittelt, wie viele der mehrfach vorhandenen (redundanten) Systemstränge der einzelnen Sicherheitssysteme erforderlich sind (Mindestanforderung), um eine bestimmte Systemfunktion zu erfüllen. Sind die Mindestanforderungen nicht erfüllt, so führt das auslösende Ereignis zu einem Schadenszustand. In Ereignisablaufdiagrammen wird systematisch jede Möglichkeit erfasst, mit der ein auslösendes Ereignis beherrscht werden oder zu einem Schadenszustand führen kann. Dazu werden Ereignispfade gebildet, die vom auslösenden Ereignis ausgehen und für jede benötigte Systemfunktion einen Verzweigungspunkt enthalten. An diesem teilt sich der Ereignispfad in zwei Zweige auf. Davon ist der eine der Verfügbarkeit, der andere der Nichtverfügbarkeit der Systemfunktion zugeordnet. So ergeben sich viele Pfade, die entweder zu beherrschten Zuständen oder zu Schadenszuständen führen. Im Ereignisablaufdiagramm werden an jedem Verzweigungspunkt den sich aufteilenden Pfaden Verzweigungswahrscheinlichkeiten zugeordnet. Diese entsprechen der Verfügbarkeit bzw. Nichtverfügbarkeit der zugehörigen Systemfunktion. Bei den Verzweigungswahrscheinlichkeiten handelt es sich um bedingte (unter der Bedingung des durch das auslösende Ereignis verursachten Ablaufs) Wahrscheinlichkeiten, die durch Zuverlässigkeits- bzw. Fehlerbaumanalysen bestimmt werden. Damit ergibt sich für jeden Einzelpfad eine Übergangswahrscheinlichkeit vom auslösenden Ereignis zum Schadenszustand als Produkt der Verzweigungswahrscheinlichkeiten entlang des Pfades. Die gesamte Übergangswahrscheinlichkeit von einem auslösenden Ereignis zu einem bestimmten Schadenszustand ergibt sich durch Addition der Übergangswahrscheinlichkeiten der Einzelpfade, die zu dem gleichen Schadenszustand führen. |
| | |
| | * Zuverlässigkeitsanalyse [GRS1990], [FAK2005], [FAK2016] (einschließlich Daten [FAK2005a]) |
| |
| Um für die Verzweigungen im Ereignisablaufdiagramm Wahrscheinlichkeiten angeben zu können, ist das Ausfallverhalten, d. h. die Nichtverfügbarkeit oder die Ausfallrate von Systemfunktionen, quantitativ zu bewerten. Beobachtungen, aus denen das Ausfallverhalten einer Systemfunktion aus der Betriebserfahrung direkt ermittelt werden kann, sind häufig nicht zahlreich genug, weil aufgrund der hohen Zuverlässigkeit der Systeme in Kernkraftwerken ein Ausfall der Systeme nur selten oder noch nie aufgetreten ist. Dagegen lässt sich das Ausfallverhalten von Komponenten, die in den verschiedensten Systemen vorhanden sind, aus der Betriebserfahrung bestimmen. Deswegen wird das Ausfallverhalten von Systemfunktionen auf das Ausfallverhalten von Komponenten der Systeme zurückgeführt. Dabei werden auch Handlungen von Personen, die in den Betrieb eingreifen, wie Systemfunktionen behandelt. Für die Ermittlung der Ausfallwahrscheinlichkeit von Systemfunktionen wird die Fehlerbaumanalyse eingesetzt. Bei ihr wird ein Ereignis (z. B. Ausfall der Kühlung) vorgegeben und nach allen Ausfallursachen gesucht, die zu diesem Ereignis führen. Im Allgemeinen ergibt sich dabei eine Vielzahl von Ausfallkombinationen verschiedener Komponenten oder Teilsysteme. Die Fehlerbaumanalyse ermöglicht durch graphische Darstellung eine übersichtliche Behandlung selbst großer technischer Systeme. Dabei lassen sich auch Folgeausfälle sowie näherungsweise menschliches Fehlverhalten und Common-Cause-Ausfälle berücksichtigen. Bei der Modellierung von menschlichem Fehlverhalten und Common-Cause-Ausfällen ist zu berücksichtigen, dass hierzu im Gegensatz zu Ausfallraten von Hardware-Komponenten keine belastbaren Daten aus der Betriebserfahrung bestehen. | Um für die Verzweigungen im Ereignisablaufdiagramm Wahrscheinlichkeiten angeben zu können, ist das Ausfallverhalten, d. h. die Nichtverfügbarkeit oder die Ausfallrate von Systemfunktionen, quantitativ zu bewerten. Beobachtungen, aus denen das Ausfallverhalten einer Systemfunktion aus der Betriebserfahrung direkt ermittelt werden kann, sind häufig nicht zahlreich genug, weil aufgrund der hohen Zuverlässigkeit der Systeme in Kernkraftwerken ein Ausfall der Systeme nur selten oder noch nie aufgetreten ist. Dagegen lässt sich das Ausfallverhalten von Komponenten, die in den verschiedensten Systemen vorhanden sind, aus der Betriebserfahrung bestimmen. Deswegen wird das Ausfallverhalten von Systemfunktionen auf das Ausfallverhalten von Komponenten der Systeme zurückgeführt. Dabei werden auch Handlungen von Personen, die in den Betrieb eingreifen, wie Systemfunktionen behandelt. Für die Ermittlung der Ausfallwahrscheinlichkeit von Systemfunktionen wird die Fehlerbaumanalyse eingesetzt. Bei ihr wird ein Ereignis (z. B. Ausfall der Kühlung) vorgegeben und nach allen Ausfallursachen gesucht, die zu diesem Ereignis führen. Im Allgemeinen ergibt sich dabei eine Vielzahl von Ausfallkombinationen verschiedener Komponenten oder Teilsysteme. Die Fehlerbaumanalyse ermöglicht durch graphische Darstellung eine übersichtliche Behandlung selbst großer technischer Systeme. Dabei lassen sich auch Folgeausfälle sowie näherungsweise menschliches Fehlverhalten und Common-Cause-Ausfälle berücksichtigen. Bei der Modellierung von menschlichem Fehlverhalten und Common-Cause-Ausfällen ist zu berücksichtigen, dass hierzu im Gegensatz zu Ausfallraten von Hardware-Komponenten keine belastbaren Daten aus der Betriebserfahrung bestehen. |
| ===== Quellen ===== | ===== Quellen ===== |
| |
| [ATW2018] [[https://example.com/dummy-link|Integrated Approach for Nuclear Safety, Security and Safeguards]], in atw – International Journal for Nuclear Technology 01/2018, Berlin 2018. | [BMU2022] [[https://www.base.bund.de/SharedDocs/Downloads/BASE/DE/rsh/3-bmub/3_0_1.pdf?__blob=publicationFile&v=%201|Sicherheitsanforderungen an Kernkraftwerke und ihre Interpretationen]], 22. November 2012, zuletzt geändert am 25. Februar 2022. |
| | |
| [BMU2012] [[https://www.base.bund.de/SharedDocs/Downloads/BASE/DE/rsh/3-bmub/3_0_1.pdf?__blob=publicationFile&v=%201|Sicherheitsanforderungen an Kernkraftwerke und ihre Interpretationen]], 22. November 2012, zuletzt geändert am 25. Februar 2022. | |
| |
| [BMU2013] [[https://www.base.bund.de/SharedDocs/Downloads/BASE/DE/rsh/3-bmub/3_0_2.pdf?__blob=publicationFile&v=1|Bekanntmachung der Interpretationen zu den Sicherheitsanforderungen an Kernkraftwerke]] vom 22. November 2012, 29. November 2013, zuletzt geändert am 3. März 2015. | [BMU2015] [[https://www.base.bund.de/SharedDocs/Downloads/BASE/DE/rsh/3-bmub/3_0_2.pdf?__blob=publicationFile&v=1|Bekanntmachung der Interpretationen zu den Sicherheitsanforderungen an Kernkraftwerke]] vom 22. November 2012, 29. November 2013, zuletzt geändert am 3. März 2015. |
| |
| [KTA2025] [[http://www.kta-gs.de/|Kerntechnischer Ausschuss (KTA): KTA-Regelprogramm]], Internet, zuletzt geprüft am 09.01.2025. | [KTA2025] [[http://www.kta-gs.de/|Kerntechnischer Ausschuss (KTA): KTA-Regelprogramm]], Internet, zuletzt geprüft am 09.01.2025. |
| |
| [RSHB 1996] [[https://www.base.bund.de/shareddocs/downloads/de/rsh/3-bmub/3_74_1.pdf?__blob=publicationFile&v=1|Leitfäden zur Durchführung von Periodischen Sicherheitsüberprüfungen (PSÜ) für Kernkraftwerke in der Bundesrepublik Deutschland]], 1997. | [BMU1998] [[https://www.base.bund.de/shareddocs/downloads/de/rsh/3-bmub/3_74_1.pdf?__blob=publicationFile&v=1|Leitfäden zur Durchführung von Periodischen Sicherheitsüberprüfungen (PSÜ) für Kernkraftwerke in der Bundesrepublik Deutschland]], 1997. |
| |
| [RSHB 1997] [[https://www.base.bund.de/shareddocs/downloads/de/rsh/3-bmub/3_74_2.pdf?__blob=publicationFile&v=1|Periodische Sicherheitsüberprüfung für Kernkraftwerke - Leitfaden Deterministische Sicherungsanalyse]], 1997. | [BMU1998b] [[https://www.base.bund.de/shareddocs/downloads/de/rsh/3-bmub/3_74_2.pdf?__blob=publicationFile&v=1|Periodische Sicherheitsüberprüfung für Kernkraftwerke - Leitfaden Deterministische Sicherungsanalyse]], 1997. |
| |
| [RSHB 2005] [[https://www.base.bund.de/shareddocs/downloads/de/rsh/3-bmub/3_74_3.pdf?__blob=publicationFile&v=1|Sicherheitsüberprüfung gemäß § 19a des Atomgesetzes – Leitfaden Probabilistische Sicherheitsanalyse]], 2005. | [BMU2005] [[https://www.base.bund.de/shareddocs/downloads/de/rsh/3-bmub/3_74_3.pdf?__blob=publicationFile&v=1|Sicherheitsüberprüfung gemäß § 19a des Atomgesetzes – Leitfaden Probabilistische Sicherheitsanalyse]], 2005. |
| |
| [DRK 1990] [[https://www.grs.de/sites/default/files/publications/Dt._Risikostudie_Kernkraftwerke_Phase_B.pdf|Deutsche Risikostudie Kernkraftwerke Phase B]], 1990. | [GRS1990] [[https://www.grs.de/sites/default/files/publications/Dt._Risikostudie_Kernkraftwerke_Phase_B.pdf|Deutsche Risikostudie Kernkraftwerke Phase B]], 1990. |
| |
| [GRS-072] [[https://www.grs.de/sites/default/files/publications/GRS-072.pdf|Deutsche Risikostudie Kernkraftwerke, Phase B, Eine zusammenfassende Darstellung]], GRS-072, 1989. | [GRS1989] [[https://www.grs.de/sites/default/files/publications/GRS-072.pdf|Deutsche Risikostudie Kernkraftwerke, Phase B, Eine zusammenfassende Darstellung]], GRS-072, 1989. |
| |
| [GRS-634] [[https://www.grs.de/sites/default/files/2021-12/GRS-634.pdf|Weiterentwicklung des Analysewerkzeugs SUSA]], GRS-634, 2021. | [GRS2021] [[https://www.grs.de/sites/default/files/2021-12/GRS-634.pdf|Weiterentwicklung des Analysewerkzeugs SUSA]], GRS-634, 2021. |
| |
| [SUSA 2025] [[https://www.grs.de/de/forschung-und-begutachtung/reaktorsicherheit/susa|SUSA]]. | [GRS2025] [[https://www.grs.de/de/forschung-und-begutachtung/reaktorsicherheit/susa|SUSA]]. |
| |
| [BFS 2005] [[https://doris.bfs.de/jspui/bitstream/urn:nbn:de:0221-201011243824/1/BfS_2005_SCHR-37_05.pdf|Methoden zur probabilistischen Sicherheitsanalyse für Kernkraftwerke]], BfS, 2005. | [FAK2005] [[https://doris.bfs.de/jspui/bitstream/urn:nbn:de:0221-201011243824/1/BfS_2005_SCHR-37_05.pdf|Facharbeitskreis (FAK) Probabilistische Sicherheitsanalyse für Kernkraftwerke: Methoden zur probabilistischen Sicherheitsanalyse für Kernkraftwerke]], BfS, 2005. |
| |
| | [FAK2005a] [[https://doris.bfs.de/jspui/bitstream/urn:nbn:de:0221-201011243838/1/BfS_2005_SCHR-38_05.pdf|Facharbeitskreis (FAK) Probabilistische Sicherheitsanalyse für Kernkraftwerke: Daten zur Quantifizierung von Ereignisablaufdiagrammen und Fehlerbäumen]], BfS, 2005. |
| |
| | [FAK2016] [[https://doris.bfs.de/jspui/bitstream/urn:nbn:de:0221-2016091314090/3/BfS-SCHR-61-16.pdf|Facharbeitskreis (FAK) Probabilistische Sicherheitsanalyse für Kernkraftwerke: Methoden und Daten zur probabilistischen Sicherheitsanalyse für Kernkraftwerke]], BfS, 2016. |