Eingabe löschen

Kopfbereich

Hauptnavigation

School of Engineering

Anwendung von STPA auf digitale Leit- und Reaktorschutzsysteme

Zielsetzung dieses Projektes war die notwendigen methodischen Kenntnisse und Hilfsmittel zur Verfügung zu stellen um STPA erfolgreich zur Optimierung und Überprüfung der Auslegung von digitalen Leit- und Reaktorschutzsystemen einsetzen zu können. Zu diesem Zweck werden folgende Fragestellungen geklärt werden: Übertragung von LEFU und ähnlichen Spezifikationen in hierarchische STPA Kontrollstrukturen; Effektive Modellierung hochredundanter Systeme in STPA.

Vermehrt stehen Kernkraftwerkbetreiber vor der Aufgabe ihre Leit- und Reaktorschutzsysteme durch moderne Systeme zu ersetzen, um deren Verfügbarkeit, Zuverlässigkeit und Sicherheit auch in Zukunft gewährleisten zu können. Typischerweise findet mit dem Ersatz dieser Systeme gleichzeitig ein Übergang von primär analogen zu softwarebasierten, digitalen Systemen statt. Die Gefährdungsanalyse-Methode System Theoretic Process Analysis (STPA) untersucht neben Gefährdungen infolge von Komponentenausfällen auch gezielt Gefährdungen, die sich durch die funktionale Interaktion zwischen den im System vorhandenen Kontrolleinheiten ergeben. Dadurch eignet sich STPA zur Analyse von softwarebasierten und dynamischen Systemen, für welche es durchaus typisch ist, dass Systemversagen ohne tatsächliche Komponentenausfälle auftreten.  Moderne digitale Leit- und Reaktorschutzsysteme gehören dieser Klasse von Systemen an. In Zusammenarbeit mit swissnuclear und einem Schweizer Kernkraftwerk wurde die STPA-Methode so adaptiert und ergänzt, dass sie sich auf digitale Leit- und Reaktorschutzsysteme, wie sie im Kernkraftwerk verwendet werden, anwenden lässt. Die konkrete Umsetzung wurde an einem Fallbeispiel aufgezeigt und diskutiert.

Fragestellungen

Im Fokus der Arbeit standen unter anderem folgende Aspekte:

Die Darstellung des Systems als hierarchische Kontrollstruktur ist eine Grundvoraussetzung um eine STPA-Analyse durchführen zu können. Eine der ersten Fragestellungen ist deshalb, wie für Leit- und Reaktorschutzsysteme eine hierarchische STPA Kontrollstruktur effizient entwickelt werden kann und wie dabei mit den spezifischen Eigenschaften (zum Beispiel der intensiven Benutzung des safety patterns der Redundanz) umgegangen werden kann.

Die STPA-Methode (insbesondere die hierarchische Kontrollstruktur und der als „Step 1“ bezeichnete Prozessschritt der Analyse) basieren auf einer funktionalen Sicht. Um auch Szenarien zu finden die auf Komponentenausfällen basieren, muss deshalb im Verlaufe der Analyse eine Brücke zwischen der funktionalen Sicht und einer Sichtweise die von (physikalischen) Systemkomponenten ausgeht geschlagen werden. Die adaptierte und ergänzte Methode realisiert diesen, für komplexe Systeme anspruchsvollen Sichtwechsel, ganz explizit und unter definierten Bedingungen.

Methodische Schnittstellen

STPA ist eine neben mehreren Methoden, die für die Analyse von Systemen eines Kernkraftwerkes eingesetzt werden kann. Ein optimaler Nutzen stellt sich dann ein, wenn die unterschiedlichen Methoden in geeigneter Weise kombiniert werden können. Der adaptierte und ergänzte Prozess der STPA-Methode wurde deshalb so ausgelegt, dass sich Schnittstellen zu anderen Methoden realisieren lassen und zum Beispiel im Rahmen von Fehlerbaumanalysen bereits gefundene Ursachen für Gefährdungen in STPA eingebunden werden können.

 

Auf einen Blick

Beteiligte Institute und Zentren:

Projektpartner:

Publikationen:

Projektstatus: Abgeschlossen (2014)