| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung |
| content:kerntechnische-anlagen [2025/12/02 09:04] – [2 Modelle und Verfahren] jopen | content:kerntechnische-anlagen [2025/12/02 09:08] (aktuell) – [4 Durchführung von Risikoanalysen] jopen |
|---|
| ===== 4 Durchführung von Risikoanalysen ===== | ===== 4 Durchführung von Risikoanalysen ===== |
| |
| Gemäß AtG und SiAnf ist alle 10 Jahre eine periodische Sicherheitsanalyse (PSÜ) durchzuführen. Diese besteht für die Safety aus einer qualitativen Sicherheitsstatusanalyse (SSA) und einer quantitativen probabilistischen Sicherheitsanalyse (PSA). Für die (physische) Security wird darüber hinaus eine qualitative deterministische Sicherungsanalyse (DSA) durchgeführt. Um eine bundeseinheitliche Durchführung der PSÜ zu ermöglichen, haben Bund und Länder hierzu gemeinsame Leitfäden entwickelt. [BMU1998], [BMU1998b], [BMU2005] Nach [BMU1998] soll im Rahmen der Sicherheitsstatusanalyse eine deterministische schutzzielorientierte Überprüfung der vorhandenen Sicherheitseinrichtungen der Anlage durchgeführt, die Betriebsführung dargelegt und eine Auswertung der sicherheitsrelevanten Betriebserfahrung vorgenommen werden. Nach [BMU2005] werden PSA in Ergänzung der auf deterministischen Grundlagen beruhenden Sicherheitsbeurteilung eingesetzt. Auf diese Weise kann der Einfluss von baulichen Anlagenteilen (Strukturen), Systemen und Komponenten (SSC) sowie von Personalhandlungen auf das sicherheitstechnische Anlagenverhalten ganzheitlich dargestellt und das Sicherheitsniveau quantitativ bewertet werden. Zum Thema IT-Sicherheit bestand bis 2013 kein kerntechnisches Regelwerk in Deutschland. Die 2013 neu eingeführte SEWD-IT RL fordert für die einzelnen sicherheits- und sicherungsrelevanten rechnerbasierten oder programmierbaren Systeme die Durchführung einer qualitativen Analyse zur Bewertung der Vollständigkeit und Angemessenheit der getroffenen bzw. geplanten IT-Security-Maßnahmen. Hierfür ist es zunächst erforderlich, die Systeme und insbesondere das Zusammenspiel der Systeme zu modellieren, das Bedrohungspotential (potenzielle Maximal-Auswirkung bei einer heimtückischen Manipulation des Systems) zu definieren und damit in Schutzbedarfsklassen einzuordnen. Die anschließende qualitative Analyse bewertet die Wirksamkeit der bestehenden bzw. geplanten Security-Maßnahmen in Hinblick auf die Verhinderung der relevanten Manipulationen unter Berücksichtigung der ihrer möglichen Auswirkung. Dies erfordert eine Bedrohungsanalyse (Identifikation der aufgrund von Systemaufbau und Gerätetechnik anzunehmenden Manipulationsmöglichkeiten) und eine Vulnerabilitätsanalyse (mögliche Auswirkungen dieser Manipulationen auf die kerntechnische Einrichtung). | Gemäß AtG und SiAnf ist alle 10 Jahre eine periodische Sicherheitsanalyse (PSÜ) durchzuführen. Diese besteht für die Safety aus einer qualitativen Sicherheitsstatusanalyse (SSA) und einer quantitativen probabilistischen Sicherheitsanalyse (PSA). Für die (physische) Security wird darüber hinaus eine qualitative deterministische Sicherungsanalyse (DSA) durchgeführt. Um eine bundeseinheitliche Durchführung der PSÜ zu ermöglichen, haben Bund und Länder hierzu gemeinsame Leitfäden entwickelt. [BMU1998], [BMU1998b], [BMU2005] |
| | |
| | Nach [BMU1998] soll im Rahmen der Sicherheitsstatusanalyse eine deterministische schutzzielorientierte Überprüfung der vorhandenen Sicherheitseinrichtungen der Anlage durchgeführt, die Betriebsführung dargelegt und eine Auswertung der sicherheitsrelevanten Betriebserfahrung vorgenommen werden. Nach [BMU2005] werden PSA in Ergänzung der auf deterministischen Grundlagen beruhenden Sicherheitsbeurteilung eingesetzt. Auf diese Weise kann der Einfluss von baulichen Anlagenteilen (Strukturen), Systemen und Komponenten (SSC) sowie von Personalhandlungen auf das sicherheitstechnische Anlagenverhalten ganzheitlich dargestellt und das Sicherheitsniveau quantitativ bewertet werden. Zum Thema IT-Sicherheit bestand bis 2013 kein kerntechnisches Regelwerk in Deutschland. Die 2013 neu eingeführte SEWD-IT RL fordert für die einzelnen sicherheits- und sicherungsrelevanten rechnerbasierten oder programmierbaren Systeme die Durchführung einer qualitativen Analyse zur Bewertung der Vollständigkeit und Angemessenheit der getroffenen bzw. geplanten IT-Security-Maßnahmen. Hierfür ist es zunächst erforderlich, die Systeme und insbesondere das Zusammenspiel der Systeme zu modellieren, das Bedrohungspotential (potenzielle Maximal-Auswirkung bei einer heimtückischen Manipulation des Systems) zu definieren und damit in Schutzbedarfsklassen einzuordnen. Die anschließende qualitative Analyse bewertet die Wirksamkeit der bestehenden bzw. geplanten Security-Maßnahmen in Hinblick auf die Verhinderung der relevanten Manipulationen unter Berücksichtigung der ihrer möglichen Auswirkung. Dies erfordert eine Bedrohungsanalyse (Identifikation der aufgrund von Systemaufbau und Gerätetechnik anzunehmenden Manipulationsmöglichkeiten) und eine Vulnerabilitätsanalyse (mögliche Auswirkungen dieser Manipulationen auf die kerntechnische Einrichtung). |
| |
| * Ereignisablauf- und Systemanalysen [GRS1990], [FAK2005], [FAK2016] (für Daten dazu und deren Nutzung siehe [FAK2005a]) | * Ereignisablauf- und Systemanalysen [GRS1990], [FAK2005], [FAK2016] (für Daten dazu und deren Nutzung siehe [FAK2005a]) |
| Ein auslösendes Ereignis kann durch verschiedene Kombinationen von Funktionen der Sicherheitssysteme (Systemfunktionen) beherrscht werden. Durch welche Kombinationen von Systemfunktionen der Störfall beherrscht werden kann, wird durch Systemsimulationen, vor allem thermohydraulische Analysen, bestimmt. Dabei wird insbesondere ermittelt, wie viele der mehrfach vorhandenen (redundanten) Systemstränge der einzelnen Sicherheitssysteme erforderlich sind (Mindestanforderung), um eine bestimmte Systemfunktion zu erfüllen. Sind die Mindestanforderungen nicht erfüllt, so führt das auslösende Ereignis zu einem Schadenszustand. In Ereignisablaufdiagrammen wird systematisch jede Möglichkeit erfasst, mit der ein auslösendes Ereignis beherrscht werden oder zu einem Schadenszustand führen kann. Dazu werden Ereignispfade gebildet, die vom auslösenden Ereignis ausgehen und für jede benötigte Systemfunktion einen Verzweigungspunkt enthalten. An diesem teilt sich der Ereignispfad in zwei Zweige auf. Davon ist der eine der Verfügbarkeit, der andere der Nichtverfügbarkeit der Systemfunktion zugeordnet. So ergeben sich viele Pfade, die entweder zu beherrschten Zuständen oder zu Schadenszuständen führen. Im Ereignisablaufdiagramm werden an jedem Verzweigungspunkt den sich aufteilenden Pfaden Verzweigungswahrscheinlichkeiten zugeordnet. Diese entsprechen der Verfügbarkeit bzw. Nichtverfügbarkeit der zugehörigen Systemfunktion. Bei den Verzweigungswahrscheinlichkeiten handelt es sich um bedingte (unter der Bedingung des durch das auslösende Ereignis verursachten Ablaufs) Wahrscheinlichkeiten, die durch Zuverlässigkeits- bzw. Fehlerbaumanalysen bestimmt werden. Damit ergibt sich für jeden Einzelpfad eine Übergangswahrscheinlichkeit vom auslösenden Ereignis zum Schadenszustand als Produkt der Verzweigungswahrscheinlichkeiten entlang des Pfades. Die gesamte Übergangswahrscheinlichkeit von einem auslösenden Ereignis zu einem bestimmten Schadenszustand ergibt sich durch Addition der Übergangswahrscheinlichkeiten der Einzelpfade, die zu dem gleichen Schadenszustand führen. | Ein auslösendes Ereignis kann durch verschiedene Kombinationen von Funktionen der Sicherheitssysteme (Systemfunktionen) beherrscht werden. Durch welche Kombinationen von Systemfunktionen der Störfall beherrscht werden kann, wird durch Systemsimulationen, vor allem thermohydraulische Analysen, bestimmt. Dabei wird insbesondere ermittelt, wie viele der mehrfach vorhandenen (redundanten) Systemstränge der einzelnen Sicherheitssysteme erforderlich sind (Mindestanforderung), um eine bestimmte Systemfunktion zu erfüllen. Sind die Mindestanforderungen nicht erfüllt, so führt das auslösende Ereignis zu einem Schadenszustand. In Ereignisablaufdiagrammen wird systematisch jede Möglichkeit erfasst, mit der ein auslösendes Ereignis beherrscht werden oder zu einem Schadenszustand führen kann. Dazu werden Ereignispfade gebildet, die vom auslösenden Ereignis ausgehen und für jede benötigte Systemfunktion einen Verzweigungspunkt enthalten. An diesem teilt sich der Ereignispfad in zwei Zweige auf. Davon ist der eine der Verfügbarkeit, der andere der Nichtverfügbarkeit der Systemfunktion zugeordnet. So ergeben sich viele Pfade, die entweder zu beherrschten Zuständen oder zu Schadenszuständen führen. Im Ereignisablaufdiagramm werden an jedem Verzweigungspunkt den sich aufteilenden Pfaden Verzweigungswahrscheinlichkeiten zugeordnet. Diese entsprechen der Verfügbarkeit bzw. Nichtverfügbarkeit der zugehörigen Systemfunktion. Bei den Verzweigungswahrscheinlichkeiten handelt es sich um bedingte (unter der Bedingung des durch das auslösende Ereignis verursachten Ablaufs) Wahrscheinlichkeiten, die durch Zuverlässigkeits- bzw. Fehlerbaumanalysen bestimmt werden. Damit ergibt sich für jeden Einzelpfad eine Übergangswahrscheinlichkeit vom auslösenden Ereignis zum Schadenszustand als Produkt der Verzweigungswahrscheinlichkeiten entlang des Pfades. Die gesamte Übergangswahrscheinlichkeit von einem auslösenden Ereignis zu einem bestimmten Schadenszustand ergibt sich durch Addition der Übergangswahrscheinlichkeiten der Einzelpfade, die zu dem gleichen Schadenszustand führen. |
| |
| * Zuverlässigkeitsanalyse [GRS1990], [FAK2005], [FAK2016] (einschließlich Daten [FAK2005a] | * Zuverlässigkeitsanalyse [GRS1990], [FAK2005], [FAK2016] (einschließlich Daten [FAK2005a]) |
| |
| Um für die Verzweigungen im Ereignisablaufdiagramm Wahrscheinlichkeiten angeben zu können, ist das Ausfallverhalten, d. h. die Nichtverfügbarkeit oder die Ausfallrate von Systemfunktionen, quantitativ zu bewerten. Beobachtungen, aus denen das Ausfallverhalten einer Systemfunktion aus der Betriebserfahrung direkt ermittelt werden kann, sind häufig nicht zahlreich genug, weil aufgrund der hohen Zuverlässigkeit der Systeme in Kernkraftwerken ein Ausfall der Systeme nur selten oder noch nie aufgetreten ist. Dagegen lässt sich das Ausfallverhalten von Komponenten, die in den verschiedensten Systemen vorhanden sind, aus der Betriebserfahrung bestimmen. Deswegen wird das Ausfallverhalten von Systemfunktionen auf das Ausfallverhalten von Komponenten der Systeme zurückgeführt. Dabei werden auch Handlungen von Personen, die in den Betrieb eingreifen, wie Systemfunktionen behandelt. Für die Ermittlung der Ausfallwahrscheinlichkeit von Systemfunktionen wird die Fehlerbaumanalyse eingesetzt. Bei ihr wird ein Ereignis (z. B. Ausfall der Kühlung) vorgegeben und nach allen Ausfallursachen gesucht, die zu diesem Ereignis führen. Im Allgemeinen ergibt sich dabei eine Vielzahl von Ausfallkombinationen verschiedener Komponenten oder Teilsysteme. Die Fehlerbaumanalyse ermöglicht durch graphische Darstellung eine übersichtliche Behandlung selbst großer technischer Systeme. Dabei lassen sich auch Folgeausfälle sowie näherungsweise menschliches Fehlverhalten und Common-Cause-Ausfälle berücksichtigen. Bei der Modellierung von menschlichem Fehlverhalten und Common-Cause-Ausfällen ist zu berücksichtigen, dass hierzu im Gegensatz zu Ausfallraten von Hardware-Komponenten keine belastbaren Daten aus der Betriebserfahrung bestehen. | Um für die Verzweigungen im Ereignisablaufdiagramm Wahrscheinlichkeiten angeben zu können, ist das Ausfallverhalten, d. h. die Nichtverfügbarkeit oder die Ausfallrate von Systemfunktionen, quantitativ zu bewerten. Beobachtungen, aus denen das Ausfallverhalten einer Systemfunktion aus der Betriebserfahrung direkt ermittelt werden kann, sind häufig nicht zahlreich genug, weil aufgrund der hohen Zuverlässigkeit der Systeme in Kernkraftwerken ein Ausfall der Systeme nur selten oder noch nie aufgetreten ist. Dagegen lässt sich das Ausfallverhalten von Komponenten, die in den verschiedensten Systemen vorhanden sind, aus der Betriebserfahrung bestimmen. Deswegen wird das Ausfallverhalten von Systemfunktionen auf das Ausfallverhalten von Komponenten der Systeme zurückgeführt. Dabei werden auch Handlungen von Personen, die in den Betrieb eingreifen, wie Systemfunktionen behandelt. Für die Ermittlung der Ausfallwahrscheinlichkeit von Systemfunktionen wird die Fehlerbaumanalyse eingesetzt. Bei ihr wird ein Ereignis (z. B. Ausfall der Kühlung) vorgegeben und nach allen Ausfallursachen gesucht, die zu diesem Ereignis führen. Im Allgemeinen ergibt sich dabei eine Vielzahl von Ausfallkombinationen verschiedener Komponenten oder Teilsysteme. Die Fehlerbaumanalyse ermöglicht durch graphische Darstellung eine übersichtliche Behandlung selbst großer technischer Systeme. Dabei lassen sich auch Folgeausfälle sowie näherungsweise menschliches Fehlverhalten und Common-Cause-Ausfälle berücksichtigen. Bei der Modellierung von menschlichem Fehlverhalten und Common-Cause-Ausfällen ist zu berücksichtigen, dass hierzu im Gegensatz zu Ausfallraten von Hardware-Komponenten keine belastbaren Daten aus der Betriebserfahrung bestehen. |
| |
| ===== Quellen ===== | ===== Quellen ===== |
| |
| [ATW2018] [[https://example.com/dummy-link|Integrated Approach for Nuclear Safety, Security and Safeguards]], in atw – International Journal for Nuclear Technology 01/2018, Berlin 2018. | |
| |
| [BMU2022] [[https://www.base.bund.de/SharedDocs/Downloads/BASE/DE/rsh/3-bmub/3_0_1.pdf?__blob=publicationFile&v=%201|Sicherheitsanforderungen an Kernkraftwerke und ihre Interpretationen]], 22. November 2012, zuletzt geändert am 25. Februar 2022. | [BMU2022] [[https://www.base.bund.de/SharedDocs/Downloads/BASE/DE/rsh/3-bmub/3_0_1.pdf?__blob=publicationFile&v=%201|Sicherheitsanforderungen an Kernkraftwerke und ihre Interpretationen]], 22. November 2012, zuletzt geändert am 25. Februar 2022. |