Projekt "Y2k-Konformität: Methoden, Status, Fragen"

Projekt "Y2k-Konformität: Methoden, Status, Fragen" Dokumentation der Diskussion über die Y2k-Konformität der deutschen Elektrizitätswirtschaft sowie der Kernkraftwerke Unterweser und Neckarwestheim:

(Letzte Änderung: 30. Dezember 1999)

Nach Kenntnisnahme einer Dokumentation

"Risikokommunikation: Das Branchenkonzept für den Umgang mit dem Jahr-2000-Problem in der Elektrizitätswirtschaft" herausgegeben von VDEW und NWEW (September 1999)

ergaben sich Bedenken hinsichtlich der Notfallvorsorge der deutschen Kraftwerkswirtschaft, zumal bei einer einschlägigen Konferenz der International Atomic Energy Agency (IAEA, Wien, 2.-4.11.1999) zur "Notfallvorsorge in Kernkraftwerken" kein deutscher Vertreter anwesend war (während verantwortliche Vertreter aus England, Japan, Russland und USA neben rund 20 weiteren Vertretern den aktuellen Stand der Y2k-Vorbereitung detailliert darlegten: http://www.iaea.org).

Die Bedenken hinsichtlich der Notfallvorsorge wurden dem Präsidenten der VDEW mitgeteilt:

Schreiben an VDEW vom 17. November 1999 als Bilddateien: (S.1) (S.2) (S.3) als PDF-Dokument: (S.1-3)

Auf Einladung der VDEW diskutierte K. Brunnstein diese Bedenken sowie generell Fragen der Y2k-Kompatibilität von KernKraftWerken im Hause VDEW (Freitag 27.11.1999). Aufgrund einer Zusicherung, es gäbe im sicherheitsrelevanten Bereich deutscher KKWs nur "festverdrahtete Schaltungen" und keineswegs (wie etwa in USA und England) Computer- oder Mikroprozessor-gestützte Systeme, und weil in sekundären und tertiären Bereichen deutscher KernKraftWerke zwar digitale Systeme eingesetzt werden, bei deren - nicht völlig auszuschliessendem - Ausfall wegen eventuell übersehener Y2k-Wirkungen aber die traditionellen Sicherheitsmaßnahmen zuverlässig greifen würden, kam auch K. Brunnstein zu der Bewertung, dass die Y2k-Konformität deutscher KKWs "nach bester Praxis" gesichert sei.

Bei einer Nachrecherche stellte sich allerdings heraus, dass in zwei deutschen KernKraftWerken (Neckarwestheim und Unterweser) für die Steuerung der Begrenzungen (die einen Druckwasserreaktor stets in einem sicherern Betriebszustand halten sollen) jeweils eine Computersteuerung aus dem Hause Siemens nachgerüstet worden ist (siehe: http://www.rskonline.de). Nach einem Hinweis der Preussen-Elektra (Betreiber des KKW Unterweser) gehören "diese Begrenzungseinrichtungen ... zum Sichersystem der Kernkraftwerke". Dabei verschwieg der Betreiber, dass die Begrenzungseinrichtungen durch Computer gesteuert werden.

Diese veränderte Sachlage führt zu einer entsprechend veränderten Bewertung, weil nunmehr Risiken im primären Bereich sehr viel genauer zu bewerten sind. Hierzu hat K. Brunnstein eine - unaufgeforderte - Stellungnahme mit Vorschlägen zur Überprüfung der betroffenen KKWs durch einen informatisch kompetenten Fachmann an den verantwortlichen Minister sowie den Vorsitzenden des Verbandes gerichtet:

An Bundesminister Trittin, zuständig für Reaktorsicherheit:

Schreiben an BM Trittin vom 17. 12. 1999: als Bilddateien: (S.1) (S.2) (S.3) (S.4) als PDF-Dokument: (S.1-4)

An den Präsidenten des VDEW:

Schreiben an Dr. Klinger:

als Bilddateien: (S.1) (S.2) (S.3)

als PDF-Dokument: (S.1-3)

Ergänzung am 21.12.1999: Die in beiden Schreiben geäusserten Bedenken wurden am Dienstag, 21. Dezember 1999 in einem Fachgespräch von Vertretern der RSK sowie des für Reaktorsicherheit zuständigen Bundesministeriums mit dem Verfasser erörtert. Hier wurde bestätigt, dass "digitale Leitrechner" tatsächlich bei der Begrenzungsregelung, also im Sicherheitsbereich in den KKWs Unterweser und Neckarwestheim eingesetzt werden.

Die Gutachter des KKW Unterweser erläuterten das Vorgehen bei der Überprüfung der Y2k-Sicherheit des Prozessrechners Siemens Teleperm. Danach werden keine Realzeituhren in irgendeiner Komponente der Hardwaresteuerung eingesetzt, sodass hier kein Y2k-Problem auftreten könne. Bei der Prüfung der Software (sowohl der Anwendungs- wie der Betriebssystemebenen) habe man drei Verfahren eingesetzt, nämlich sowohl eine Prüfung des Programmcodes (Review des C-Codes), die Rückübersetzung des Objektcodes (Disassembly) sowie gezielte Tests durchgeführt; diese drei Verfahren seien unabhängig voneinander, und daher sei das Restrisiko als "sehr gering" einzuschätzen.

Nach Auffassung von K. Brunnstein (der sich mit Techniken des Reverse Engineering befasst) kann bei kritischer Würdigung der Aussagefähigkeit und Grenzen der eingesetzten Analyseverfahren keineswegs geschlossen werden, dass das Restrisiko etwa übersehener Y2k-Elemente in der Betriebs- oder Anwendungssoftware als "gering" einzuschätzen sei. Es sei bei diesem Kenntnisstand nicht mit der notwendigen Gewissheit auszuschliessen, dass ein übersehener Y2k-Fehler einzeln oder in Wechselwirkung mit übersehenen Softwarefehlern ("bugs") zu einem Fehlverhalten der Begrenzungssteuerung führen könne. Die Gutachter führten daraufhin an, dass bei Störungen der Leitrechnersteuerung traditionelle Sicherheitsmassnahmen greifen würden, wie eine - allerdings nicht Y2k-spezifische - Risikoanalyse nachgewiesen habe. K. Brunnstein wies in diesem Zusammenhang darauf hin, dass eine Y2k-bezogene Restrisikoanalyse spezifische Szenarien (etwa mit Worst Case-Szenarien) berücksichtigen müsse; dieses ist bei der erwähnten Risikoanalyse vermutlich nicht berücksichtigt worden.

Nach der Sitzung der RSK, die im Anschluss an das Fachgespräch stattfand, informierte der RSK-Vorsitzende, Dipl. Phys. Hahn den Verfasser, man habe die Gutachter gebeten, ein ergänzendes Gutachten zu den vorgetragenen Argumenten vorzulegen. Dieses Gutachten soll rechtzeitig vor Jahresende in einem weiteren Fachgespräch mit dem Verfasser dieser Zeilen erörtert werden.

Ergänzung am 30.12.1999: Am Mittwoch, 29. 12.1999 fand auf Einladung des für Reaktorsicherheit zuständigen Ministerialrats im BMU, Herrn Majer, ein zweites Fachgespräch unter Leitung des Vorsitzenden der Reaktor-Sicherheitskommission, Dipl. Phys. Lothar Hahn statt, bei dem neben Vertretern des Umweltministeriums in Hannover der TÜV Nord (Gutachter für das KKW Unterweser) sowie der TÜV Stuttgart (Gutachter für das KKW Neckarwestheim) über ihre ergänzenden Gutachten berichteten, wonach die Reaktorschutzsysteme von den Computersystemen Teleperm XS auch dann nicht beeinträchtigt würden, wenn diese aufgrund eines übersehenen Y2k-Fehlers im Normalbetrieb ausfallen würden.

Als Ergebnis beider Sitzungen kann festgestellt werden:

Erstens: Der Dissenz zwischen den Gutachern (TÜV Nord) und dem (Informatik-kundigen) "Bürger Brunnstein" hinsichtlich eventueller Mängel bei der Y2k-Prüfung konnte nicht überbrückt werden. Letzterer hält weiterhin den Nachweis, dass die Teleperm-Leitrechner Y2k-konform seien, nicht für erbracht, weshalb ein fehlerfreier Normalbetrieb nicht a priori gewährleistet sei.
Begründung: Während die Gutachter, insbesondere der TÜV Nord, meinen alles getan zu haben, um einen Y2k-Fehler insbesondere in der (sicherheits-relevanten) Steuerung der Reaktorbegrenzungen auszuschliessen, sind nach Kenntnisstand des "Bürgers Brunnstein" (der häufig Unfälle Computer-Gestützter Systeme in verschiedenen Anwendungsgebieten zu untersuchen hat und entsprechende Verfahren lehrt) die bei dieser Prüfung eingesetzten Verfahren ungeeignet, alle derartigen Fehler mit hinreichender Sicherheit zu finden. Tatsächlich wurden bei der allgemeinen Typprüfung sowie der Anlagenspezifischen Prüfung im KKW Unterweser und Neckarwestheim (von einer partiellen Rückübersetzung abgesehen) im wesentlichen nur Verfahren eingesetzt (Prüfung der Vorgehensweise nach ISO 9000, Code Review sowie Tests), denen schon bei der Softwareerstellung "Programmfehler" ("Bugs", darunter der Y2k-Bug) entgangen waren. Die Prüfverfahren entsprachen allerdings der "Qualität" des Siemens-Systems Teleperm XS, welches zwar vor fünf Jahren noch dem software-industriellen "Stand der Technik" (state of the art), aber selbst damals kaum dem "Stand der Wissenschaft" (state of the science) hinsichtlich formaler Spezifikation hoch-sicherheitsbedürftiger Systeme entsprach. Auch die Behauptung der Gutachter, die Restrisiken wegen eventuell übersehener Y2k-Effekte seien "sehr gering", ist mangels Abschätzbarkeit der Fehler der angewendeten Verfahren nicht haltbar.

Zweitens: Nach übereinstimmender Auffassung ist sichergestellt, dass in beiden KKWs (Unterweser und Neckarwestheim) die dort eingesetzten Siemens-Rechner selbst bei einem Y2k-Fehler die Schnellabschaltung sowie die Notkühlung nicht störend beeinträchtigen können.
Begründung: Bei der Auslegung der KKWs und bei der nachträglichen Einführung der Leitsysteme ist sichergestellt worden, dass sowohl die Injektion der Bremsstäbe (zwecks Unterbrechung der Kettenreaktion) sowie die Notkühlung nur durch "fest-verdrahtete" elektrische Schaltungen (z.B. Ausschaltung des Stromes der Relais, die die Bremsstäbe halten) geschaltet werden; diese Schaltungen können von den Leitsystemen (die z.B. die Bremsstäbe herauf/herunterfahren können) nicht überspielt werden können. Nach dieser Technik sind Einwirkungen fehlerhafter Computersysteme auszuschliessen; dies hat sich auch jüngst (obwohl nicht unter Y2k-Wirkung) bewährt, als das KKW Neckarwestheim wegen Orkanschäden am Leitungsnetz schnell-abgeschaltet wurde.

Drittens: Bei diesem Sachstand sah der Vorsitzende der RSK, Herr Hahn, keinen Anlass, eine vorsorgliche Abschaltung beider Reaktoren zu empfehlen.

Viertens: Abschliessend empfahl der Autor den anwesenden Vertretern des Genehmigungsbehörden, sorgfältig zu beobachten, inwieweit in den vorausgehenden Zeitzonen sich Erkenntnisse über eventuell übersehen Risiken ergäben. Sollte ein Störfall etwa in einem der als kritisch angesehenen Reaktoren in Osteuropa festgestellt werden, so sei es ratsam, die deutschen Reaktoren kurz vor Mitternacht vorsorglich auf geringste Leistung herunterzufahren.

Fünftens: Für die Zukunft empfahl der Autor den Aufsichtsbehörden im Hinblick auf den zu erwartenden verstärkten Einsatz von Computertechniken in KKWs sicherzustellen, dass erstens verstärkt "sichere" Methoden nach dem "Stand von Technik und Wissenschaft" für derartige hoch-sensitiven Anwendungen durchgesetzt würden, und dass zweitens die informatische Kompetenz der Gutachterkette sowie der Beratergremien verstärkt werden möge.

Insgesamt verliefen diese Fachgespräche in sachlicher Atmosphäre, die nur wenig durch unsachgemässe Pressemitteilungen etwa seitens einzelner Betreiber beeinträchtigt wurden.

Weitergehende Informationen werden zu gegebener Zeit an dieser Stelle mitgeteilt.

gez. Klaus Brunnstein (30.12.1999)

Erstens:	Der Dissenz zwischen den Gutachern (TÜV Nord) und dem (Informatik-kundigen) "Bürger Brunnstein" hinsichtlich eventueller Mängel bei der Y2k-Prüfung konnte nicht überbrückt werden. Letzterer hält weiterhin den Nachweis, dass die Teleperm-Leitrechner Y2k-konform seien, nicht für erbracht, weshalb ein fehlerfreier Normalbetrieb nicht a priori gewährleistet sei. Begründung: Während die Gutachter, insbesondere der TÜV Nord, meinen alles getan zu haben, um einen Y2k-Fehler insbesondere in der (sicherheits-relevanten) Steuerung der Reaktorbegrenzungen auszuschliessen, sind nach Kenntnisstand des "Bürgers Brunnstein" (der häufig Unfälle Computer-Gestützter Systeme in verschiedenen Anwendungsgebieten zu untersuchen hat und entsprechende Verfahren lehrt) die bei dieser Prüfung eingesetzten Verfahren ungeeignet, alle derartigen Fehler mit hinreichender Sicherheit zu finden. Tatsächlich wurden bei der allgemeinen Typprüfung sowie der Anlagenspezifischen Prüfung im KKW Unterweser und Neckarwestheim (von einer partiellen Rückübersetzung abgesehen) im wesentlichen nur Verfahren eingesetzt (Prüfung der Vorgehensweise nach ISO 9000, Code Review sowie Tests), denen schon bei der Softwareerstellung "Programmfehler" ("Bugs", darunter der Y2k-Bug) entgangen waren. Die Prüfverfahren entsprachen allerdings der "Qualität" des Siemens-Systems Teleperm XS, welches zwar vor fünf Jahren noch dem software-industriellen "Stand der Technik" (state of the art), aber selbst damals kaum dem "Stand der Wissenschaft" (state of the science) hinsichtlich formaler Spezifikation hoch-sicherheitsbedürftiger Systeme entsprach. Auch die Behauptung der Gutachter, die Restrisiken wegen eventuell übersehener Y2k-Effekte seien "sehr gering", ist mangels Abschätzbarkeit der Fehler der angewendeten Verfahren nicht haltbar.
Zweitens:	Nach übereinstimmender Auffassung ist sichergestellt, dass in beiden KKWs (Unterweser und Neckarwestheim) die dort eingesetzten Siemens-Rechner selbst bei einem Y2k-Fehler die Schnellabschaltung sowie die Notkühlung nicht störend beeinträchtigen können. Begründung: Bei der Auslegung der KKWs und bei der nachträglichen Einführung der Leitsysteme ist sichergestellt worden, dass sowohl die Injektion der Bremsstäbe (zwecks Unterbrechung der Kettenreaktion) sowie die Notkühlung nur durch "fest-verdrahtete" elektrische Schaltungen (z.B. Ausschaltung des Stromes der Relais, die die Bremsstäbe halten) geschaltet werden; diese Schaltungen können von den Leitsystemen (die z.B. die Bremsstäbe herauf/herunterfahren können) nicht überspielt werden können. Nach dieser Technik sind Einwirkungen fehlerhafter Computersysteme auszuschliessen; dies hat sich auch jüngst (obwohl nicht unter Y2k-Wirkung) bewährt, als das KKW Neckarwestheim wegen Orkanschäden am Leitungsnetz schnell-abgeschaltet wurde.
Drittens:	Bei diesem Sachstand sah der Vorsitzende der RSK, Herr Hahn, keinen Anlass, eine vorsorgliche Abschaltung beider Reaktoren zu empfehlen.
Viertens:	Abschliessend empfahl der Autor den anwesenden Vertretern des Genehmigungsbehörden, sorgfältig zu beobachten, inwieweit in den vorausgehenden Zeitzonen sich Erkenntnisse über eventuell übersehen Risiken ergäben. Sollte ein Störfall etwa in einem der als kritisch angesehenen Reaktoren in Osteuropa festgestellt werden, so sei es ratsam, die deutschen Reaktoren kurz vor Mitternacht vorsorglich auf geringste Leistung herunterzufahren.
Fünftens:	Für die Zukunft empfahl der Autor den Aufsichtsbehörden im Hinblick auf den zu erwartenden verstärkten Einsatz von Computertechniken in KKWs sicherzustellen, dass erstens verstärkt "sichere" Methoden nach dem "Stand von Technik und Wissenschaft" für derartige hoch-sensitiven Anwendungen durchgesetzt würden, und dass zweitens die informatische Kompetenz der Gutachterkette sowie der Beratergremien verstärkt werden möge.