Aspekte des Sicherheitsnachweises zum Einsatz rechnergestützter Leittechnik in kerntechnischen Anlagen Freddy Seidel Fachbereich Sicherheit in der Kerntechnik.

Slides:



Advertisements
Ähnliche Präsentationen
Anbindung mobiler Endgeräte über den Terminal Service
Advertisements

Transaction Synchronization for XML Data in Client Server Web Applications Stefan Böttcher & Adelhard Türling Universität Paderborn.
Microsoft Referenzarchitekturen- Infrastruktur für Connected Systems
Fakultät für informatik informatik 12 technische universität dortmund Optimizations Peter Marwedel TU Dortmund Informatik 12 Germany 2009/01/17 Graphics:
fakultät für informatik informatik 12 technische universität dortmund Optimizations Peter Marwedel TU Dortmund Informatik 12 Germany 2009/01/10 Graphics:
Normen für Windenergieanlagen
Ausblick Release Q2 - laufende Aktivitäten Pilotentreffen Publication Management Berlin, 19. April 2007 Harnack-Haus IP:
Universität Stuttgart Institut für Kernenergetik und Energiesysteme Prüfung von Simulationsprogrammen – Integrations- und Funktionstests Inhalt Vom Einzeltest.
Anforderungen an globales und privates IP-Networking Berlin - 27
Fachgebiet Software Engineering Übersicht © Albert Zündorf, Kassel University Baustein- vs. funktionsorientierte Organisation.
Einführung von Groupware
Version 5. Internal use only Network Support Center All rights reserved, property and © CAD-Computer GmbH CFR 11, ERES Electronic Record Electronic.
29. Tagung des Ausschuss Betriebswirtschaft Seite 1 © EQ ZERT 29. Tagung des Ausschusses Betriebswirtschaft Das Qualitätssiegel Geriatrie der.
Die Denkweise der Kinder, das Lernen und Lehren.
Schweizerische Geotechnische Kommission, ETH Zürich, 8092 Zürich Bereitstellung digitaler Daten für unterschiedliche Nutzungen: Modellierung, Internet,
. ..
Trend SWM EDV-Beratung GmbH & Co. KG Kundenforum 2006 Datenschutz und Sicherheit Datenschutzbeauftragter Bernardo AVILES.
SAPERION Schulung Thema
OOD – Object Oriented Design II
Fehlervermeidung Seminar aus Rechtstheorie und Rechtsinformatik
IKT in der Medizin aus:. Agenda Was bedeutet IKT Was soll IKT beinhalten Die wesentlichen Elemente von IKT.
Hauptgebiete der Informatik
B A S E L I I.
Anwendungsentwicklung. … überlegen sie mal… Wir beschäftigen uns mit dem Aufbau der Arbeitsweise und der Gestaltung von betrieblichen Informationssystemen.
Betriebliche Aufgaben effizient erfüllen
Stellen Sie sich vor: .....kurz vor der Einführung, ein neues Produktes / eine neue Software.....
Inhalt Was ist A-Plan? Einsatzgebiete Organisation der Daten
© by cellconsult.com Application Testing & Test Management.
Optimierung der zeitbezogenen Instandhaltungsplanung
AK Tools/Expertengruppe HiL Workshop Standardisierung HiL Status der Expertengruppe zum Thema Standardisierung Dr. Peter Rißling, BMW AG Version: 1.00.
Xenario IES Information Enterprise Server. Xenario Information Enterprise Server (IES) Die neue Architektur des Sitepark Information Enterprise Servers.
< Titel - Foliensatz >
The free XML Editor for Windows COOKTOP Semistrukturierte Daten 1 Vortrag Semistrukturierte Daten 1 COOKTOP The free XML-Editor for Windows
Ressourcen in Process-Aware Information Systems Paul Hübner | | DBIS Seminar Betreuer : Andreas Lanz Quelle : Seven Fallacies.
Cooperation unlimited © Zühlke August 2008 Hansjörg Scherer Folie 1 Cooperation unlimited TFS als BackEnd für Visual Studio und Eclipse.
- 1 Förderprogramm eTEN Call Mai bis 10. September 2003.
UML-Kurzüberblick Peter Brusten.
OPENTOUCH™ SUITE FOR MLE
Sicherheit entsprechend den BSI-Standards Planungsunterstützung durch Open Source 54. GMDS- Jahrestagung Essen, Dr. Bernd Schütze.
Wer ist die KNX Swiss V
Zwei Themenkreise Top down: Validierung von Bildungsleistungen bzw. "andere Qualifikationsverfahren" (aQV: BBG, Art. 33), meist kombiniert mit Nachholbildung.
Wer ist die KNX Swiss V
Microsoft.NET InfoPoint 8. Juni 2005 Stefan Bühler.
Technologietag Baugruppentest Wege der Standardisierung im Funktions- und EOL-Test Markus Koetterl National Instruments Germany GmbH.
EIGENBETRIEB ABWASSERANLAGEN DER STADT GREVENBROICH Jahresabschluss zum 31. Dezember 2014 Sitzung des Betriebsausschusses am 27. April 2016.
Seminar Softwareproduktlinien Domänenspezifische Sprachen Sascha Draffehn von.
1 Das Dilemma des Architekten Ziel: ein gut designtes System, welches mit zukünftigen Anforderungen umgehen kann, ohne dass es zu Einschränkungen in der.
Kreativwerkzeug N° 4 Kategorisierung und Klassifikation.
Anleitung zur Nutzung des Technologiesteckbriefs
Code -Einstufung von Flugplätzen
Nachverfolgbarkeit von Anforderungen und deren Realisierungen für wiederverwendbare Software ~ VDE-Tagung zur IEC und zur IEC M.Sc. Felix Bangemann.
Studiengang Informatik FHDW
Mobile und kontextbezogene Datenbanktechnologien und Anwendungen
Copyright © Infineon Technologies AG All rights reserved.
Rückschau - Projektziele
Eldar Dedic HA061 bbw - Hochschule
Quelle: Prof. Dr. Mathias Graumann Kostenrechnung und Kostenmanagement
Wasserfußabdruck für Unternehmen
Finanzbuchhaltung Einführung der Vollstreckungssoftware „avviso“
Daten als Basis für Entscheidungen
Web-Kartografie in der amtlichen Statistik Deutschlands − Regionale Statistik, Bundes- und Europawahlen, zukünftige Aktivitäten − Arbeitsgruppentreffen.
X-NetMES – Projektumsetzung
Kandinsky Music Painter II
CoCoMo&FPA Nils Reiners Matrknr
Devops David Jaroš
Von Wietlisbach, Lenzin und Winter
Der IT-Verbund im Konzern Landeshauptstadt Schwerin IT-Strategie
„Design ist Kunst, die sich nützlich macht“
Winalldatview - IVDK Data Mining Software
 Präsentation transkript:

Aspekte des Sicherheitsnachweises zum Einsatz rechnergestützter Leittechnik in kerntechnischen Anlagen Freddy Seidel Fachbereich Sicherheit in der Kerntechnik Bundesamt für Strahlenschutz Willy-Brandt-Straße 5 38206 Salzgitter fseidel@bfs.de

Inhalt: Sicherheitsnachweis zu Leittechnikumrüstungen (Entwicklungsstand) Regelwerk Beherrschung gemeinsam verursachter Ausfälle Sicherheitsnachweis für vorgefertigte Leittechnikkomponenten Berücksichtigung der Betriebserfahrung Aspekte Nachweismethoden: Deterministik versus Probabilistik Strukturierung des Sicherheitsnachweises Zusammenfassung/Ausblick 2/18

Schematische Darstellung der KKW-Leittechnik nach Umrüstung im Bereich abgestufter sicherheitstechnischer Bedeutung 3/18

Qualifizierung rechnergestützter Leittechnik (Status) Die Leittechnikkomponenten werden mit Werkzeugen (Spezifikationstools, Code-Generatoren, Simulatoren) auf Plattformen nach plattformspezifischen Auslegungs- und Qualifizierungsanforderungen (Invarianten) entwickelt. Die Vorqualifizierung der Komponenten erfolgt nach unterschiedlichen Standards (nationale/ internationale branchenspezifische Standards) Für den Einsatz vorgefertigter Leittechnikkomponenten in der Kerntechnik kann eine Nachqualifizierung nach kerntechnischen Sicherheitsstandards erforderlich werden. Diese Entscheidung hängt ab von - der sicherheitstechnischen Bedeutung der Anwendung - den verfügbaren Informationen über das Qualifizierungsverfahren und - der verfügbaren relevanten Betriebserfahrung. 4/18

Funktions- / Geräte- kategorien Top-down Approach: Abstufung von Anforderungen anhand von Sicherheits- ebenen und Funktions-/Gerätekategorien Sicherheitsgrundsatz top  Schutzziele  Sicherheitsfunktion  Systemfunktion ------------------- Ergänzung für Sicherheitsleittechnik -------------------  Sicherheitsleittechnik-Funktion  Sicherheitsleittechnik-System  Leittechnik-Teilsystem  Komponente down Sicherheits- ebenen Funktions- / Geräte- kategorien 5/18

Regelwerk Die technologische Entwicklung der Leit- und Rechentechnik eilt der Weiterentwicklung entsprechender Normen voraus. In KKW wird für Einrichtungen mit hoher Sicherheitsbedeutung i.d.R. keine Neuentwicklung, sondern eine eingehend qualifizierte und betriebsbewährte Technologie eingesetzt. Sofern technologische Details berücksichtigt werden, sollten die Fach- normen dem Entwicklungsstand der eingesetzten Technik entsprechen. Übergeordnete Anforderungen an Qualifizierung und Nachweisführung sollten dem aktuellen Stand der Sicherheitsphilosophie entsprechen. Leitlinien: Sicherheitsleitlinien der IAEA, EU-Konsensusbericht; Leitlinien der Reaktorsicherheitskommission (RSK), Kapitel 7 „Sicherheitsleittechnik“ Fachregeln: DIN-IEC-Normen (Leitsysteme: DIN-IEC 61513; Kategorisierung: DIN-IEC 61226; Software Kat. A: DIN-IEC 60880; Kat. B/C: DIN-IEC 62138); Regeln KTA 350x; Überarbeitung der Chapeauregel KTA 3501 steht 2005 an. 6/18

Beherrschung Gemeinsam Verursachter Ausfälle durch Software-Fehler (GVA/CCF) Der Nachweis zur Beherrschung des GVA für rechnergestützte Leittechniksysteme ist wesentlicher Bestandteil des Sicherheitsnachweises. Der Nachweis beruht auf in die Tiefe gestaffelte Maßnahmen gegen das Totalversagen der Leittechnikfunktion: Ausfall- beherrschung (Diversität, Toleranz,...) Fehlererkennung/-beseitig. (V&V) Fehlervermeidung (QS, Konstruktion) 7/18

Beherrschung von GVA - Beitrag der Diversität 1/3 Anwendungsfall: System aus verteilten Rechnern mit Echtzeitfunktionen Nachweisziel: Ein GVA kann sich nur auf ein Teilsystem (eine Diversitätsgruppe) auswirken. Charakterisierung des Funktionsversagens infolge eines SW-Fehlers (z.B. infolge eines SW-Spezifikationsfehlers): Funktionsversagen ist systematisch (mit Potential für einen GVA), z.B. bei gleicher Historie des Anlagenbetriebs (gleiche Eingangsdaten für die Leittechnik) und bei gleicher leittechnikinterner Betriebshistorie (z.B. zeitgleicher Systemstart, Synchronbetrieb von Teilsystemen) Anderenfalls ist das Funktionsversagen stochastisch. Anlagen- und System-Historie werden durch Signaltrajektorien charakterisiert (zeitabhängige Daten des Anlagenbetriebs u. Leittechnik-Betriebsfunktionen). 8/18

Beherrschung von GVA - Beitrag der Diversität 2/3 Maßnahme Diversität: Zwei oder mehrere unterschiedliche Mittel oder Verfahren stehen zur Verfügung, um ein bestimmtes Ziel zu erreichen. Diversität muss auf der Funktionsebene realisiert werden, wenn ein GVA in einem Teilsystem nicht zum Totalausfall der Leittechnikfunktion führen soll => Funktionale Diversität: Die Leittechnikteilsysteme arbeiten unterschiedliche Signaltrajektorien asynchron ab. 9/18

Beherrschung von GVA - Beitrag der Diversität 3/3 (SW-) Diversität allein genügt nicht, um das Nachweisziel zu erreichen; es sind weitere gestaffelte Maßnahmen vorzusehen (s. VDI/VDE 3527; weiterentwickelt zu Normenentwurf IEC 62340): Ableitung der I&C-Anforderungen aus der Basisauslegung der Anlage Anforderungen an die Spezifikation der Leittechnik auf den Ebenen System, Teilsystem und HW-/SW-Komponenten; speziell hinsichtlich Fehlervermeidung; Fehlertoleranz; Integrität Anford. an die physische Entkopplung u. Robustheit von Teilsystemen Anforderungen an die Instandhaltung (System, HW, SW) (SW-) Diversität versus Komplexität des Gesamtsystems (Kompatibilität der Teilsysteme zueinander; erhöhter Aufwand für analytische Qualifizierung) 10/18

Strategie und Bewertungsschema zum Nachweis der Verlässlichkeit vorgefertigter Leittechnikkomponenten 11/18 Nach Pavey, D.J.: CEMSIS - Cost Effective Modernisation of Systems Important to Safety, Work Package 6, FISA-2003, Luxembourg, November 2003

Berücksichtigung der Betriebserfahrung: International kontrovers geführte Diskussion: GB: Zuverlässigkeitsanforderungen werden quantitativ vorgegeben; Nachweis durch statische Analyse und Tests F: Bereits vor Einsatz des ersten Systems muss der vollständige Sicherheitsnachweis erbracht werden; vom Vorabeinsatz in Bereichen mit geringerer Sicherheitsbedeutung wird kein Kredit genommen. ==> Zweckbestimmung für Betriebserfahrung; z.B.: - Aufdeckung neuer Fehlermodi; Analyse hinsichtl. Auslegungsinvarianten - Übertragbarkeit - Sicherheitsnachweis - Zuverlässigkeitsbewertung; PSA ==> Aufstellung von Kriterien zur Anwendung der Betriebserfahrung ==> Aufstellen von Anforderungen an die Sammlung der Betriebserfahrung 12/18

Kriterien zur Berücksichtigung der Betriebserfahrungen für den Sicherheitsnachweis: Relevanz der bisherigen Betriebserfahrung für den neuen Einsatz (vergleichbares Anforderungsprofil, Berücksichtigung der Systemumgebung) Nachvollziehbares, umfassendes Konfigurationsmanagement (HW/SW, Syst.) Nachweis zum Reifegrad der Leittechnikentwicklung (Updatehäufigkeit) Nachvollziehbare, vollständige Aufzeichnung der Betriebserfahrung (Spezifikation der Betriebsdaten und Informationen; s. z.B. COMPSIS-GL) Kriterien für Beschränkung der Anwendung der Betriebserfahrung auf die Ebene von Teilsystemen, SW-Komponenten oder Betriebssystemsoftware Spezifische Kriterien zur Berücksichtigung der Betriebserfahrung von Entwicklungs- und Qualifizierungstools 13/18

Berücksichtigung der Betriebserfahrungen für den Sicherheitsnachweis - Mögliche SW-Ebenen für Nutzung der Betriebserfahrung: Anwendungsspezifisch entwickelte SW Vorgefertigte SW Gesamtes SW-System (Funktions- pläne) Anwend. spez. SW (System) SW-Komponenten (z.B. Vergleicher) Tool-SW (off-line) (Compiler, V&V, Instandhaltung) Betriebssystem-SW (Ablaufumgebung: u.a. I/O, Datentransfer) 14/18

Nachweismethode: Deterministik versus Probabilistik Statistik aus Betriebserfahrung/ Betriebsbewährung: - komplexes System (Daten) - Teilsystem (Daten) - HW-Komponente - SW-Komponente (Theorie) Analyse- und Testergebnisse für: - komplexes System (Testabdeckung) - Teilsystem - HW-Komponente - SW-Komponente (Testabdeckung: KISS-Prinzip) Argumente (kursiv: proble-matisch) Zuverlässigkeitswert: - Ausfall pro Zeiteinheit (betriebl.Fkt.) - Ausfall pro Anforderung (Schutzfkt.) Herstellungsqualität (insbes. funktionale Eigenschaften) Nachweis-ziel (kursiv:pro-blematisch) System festverdrahtet / SW-gestützt HW-Komponente SW-Komponente System Anwendung: (kursiv: nicht Stand der Technik) Probabilistik Deterministik 15/18

Strukturierung des Sicherheitsnachweises nach dem Behauptung-Argument-Beweis-Prinzip; Beispiel: Anforderung zur Verhinderung der Fehlerausbreitung 16/18 Nach Courtois, P.J.: Semantic structures and logic properties of computer-based system dependability cases, Nuclear Engineering ans Design 203 (2001) 87-106

Zusammenfassung (1/2) Vorliegende Bewertungen zu Einzelaspekten des Sicherheitsnachweises: Auf Komponentenebene kann eine geeignete Nachqualifizierung den Nachweis nach nicht-kerntechnischen Standards ergänzen. Funktionale Diversität stellt in Kombination mit Maßnahmen wie Separation die wesentliche Grundlage für den Nachweis zur Beherrschung von GVA dar. Es sind Kriterien für die Nutzung der Betriebserfahrung für den Sicherheitsnachweis aufzustellen und zu beachten; ggf. bei Beschränkung auf Teilsysteme und Komponenten. Nach dem derzeitigen Entwicklungsstand lässt sich das anforderungs- gerechte Verhalten von Sicherheitssystemen auf probabilistischer Basis nicht nachweisen. Ein derartiger Ansatz könnte aber den Zuverlässig- keitsnachweis für Betriebs- und Hilfsfunktionen unterstützen. Für den Nachweis zu vorgefertigten Komponenten liegt ein Bewertungs- schema vor, das Abhängigkeiten vom Testumfang, der Betriebser- fahrung, der Komplexität und der Sicherheitsklasse berücksichtigt. 17/18

Zusammenfassung (2/2) Bezug zur Informatik: Wird Softwarediversität zur Beherrschung des systematischen Funktionsversagens eingesetzt, ist nachzuweisen, dass die diversitären Softwarelösungen voneinander unabhängig entwickelt wurden und im Anforderungsfall widerspruchsfrei funktionieren. Der Nachweis der Softwaresicherheit kann anhand der Softwarekomplexität ausgerichtet werden. Hierzu sind geeignete Metriken zu entwickeln. Die Ausführung des Sicherheitsnachweises kann durch eine semiformale Nachweisprozedur unterstützt werden, bei der systematisch und hierarchisch die Qualifizierungsbehauptungen mit entsprechenden Argumenten und Beweisen verknüpft werden. Die praktische Anwendbarkeit ist noch zu demonstrieren. Die künftige Methodenentwicklung zum Nachweis quantitativer Zuverlässigkeitsziele wird weiter zu beobachten sein; z.B. auf Komponentenebene anhand von statistischen Tests. 18/18

Feedback: Datenschutzbestimmungen Feedback
Über Projekt: SlidePlayer Nutzungsbedingungen

© 2024 SlidePlayer.org Inc. All rights reserved.