Navigation und Service

Untersuchungsvorhaben zu digitaler Sicherheitsleittechnik

Um einen sicheren Betrieb kerntechnischer Anlagen gemäß dem jeweils aktuellen Stand von Wissenschaft und Technik zu gewährleisten, unterstützt das BfE das Bundesministerium für Umwelt, Naturschutz, Bau und Reaktorsicherheit bei der Durchführung entsprechender Untersuchungsprogramme. Dazu initiiert und begleitet das BfE Untersuchungsvorhaben mit konkreter Aufgabenstellung, zum Beispiel um sicherheitstechnische Eigenschaften digitaler Leittechnik zu analysieren und daraus sicherheitstechnische Anforderungen an diese Technik abzuleiten und weiter zu entwickeln.

Aktuell laufen Untersuchungsvorhaben

  • zum Nachweis der IT-Sicherheit von digitaler Sicherheitsleittechnik gegenüber Störmaßnahmen und sonstigen Einwirkungen Dritter (SEWD) sowie
  • zu Leittechnikentwicklungen auf Basis verteilter Rechnernetze oder feldprogrammierbarer Speicherbausteine (FPGA) in Anwendung auf Sicherheitsfunktionen in Kernkraftwerken..

Aktuelle Untersuchungsvorhaben

IT-Sicherheit in Kernkraftwerken - Erkennung unbefugter Eingriffe in Programmstruktur und Funktionsablauf softwarebasierter Leittechnik mit Sicherheitsbedeutung sowie GegenmaßnahmenEinklappen / Ausklappen

Die in Kernkraftwerken eingesetzten softwarebasierten Leittechniksysteme mit Sicherheitsbedeutung sowie die für die Sicherung der Leittechnik eingesetzten IT-Systeme werden hinsichtlich ihrer Eigenschaften und Vorkehrungen zur Erkennung unbefugter Eingriffe in Programmstruktur und Funktionsablauf untersucht.

Technische Aspekte zur Gewährleistung der IT-Sicherheit bei gezielten Angriffen auf softwarebasierte Leittechniksysteme und speicherprogrammierbare Steuerungen zusammen mit den zugehörigen Schnittstellen zur Kommunikationstechnik stehen im Vordergrund. Erfahrungen aus bekannt gewordenen Angriffen auf Industrieleittechnik mit Computer-Viren wie Stuxnet werden im Vorhaben berücksichtigt.

Komplexität und Fehlerpotential bei softwarebasierter digitaler SicherheitsleittechnikEinklappen / Ausklappen

Im Rahmen einer bereits abgeschlossenen Untersuchung wurde eine Methode zur Messung der Komplexität der Anwendungssoftware von Automatisierungssystemen und -geräten entwickelt, die auf der Analyse der wesentlichen Komplexitätseigenschaften (wie z.B. die Anzahl der Funktionsbausteine des Systems und ihre Verschaltung in den Funktionsplänen) basiert. Dieses Konzept ist für unterschiedliche digitale Leittechniksysteme anwendbar und ermöglicht es, strukturelle Erkenntnisse zu gewinnen und potentielle Schwachstellen zu identifizieren.

In einer weiteren Untersuchung wurde ein weiteres Messverfahren für Softwarekomplexität entwickelt, dessen praktische Realisierbarkeit auf einem Test-System nachgewiesen werden konnte.

Die Ergebnisse beider Untersuchungen zeigen weiteren Entwicklungsbedarf auf, der in aktuellen Untersuchungsvorhaben berücksichtigt wird:

Basierend auf dem aktuellen Stand von Wissenschaft und Technik wird zunächst untersucht, inwieweit die Bewertung der Software-Komplexität Rückschlüsse auf die Zuverlässigkeit der Software digitaler Leittechniksysteme ermöglicht.

Anschließend werden die Komplexitäts-Charakteristika digitaler Leittechniksysteme in der Kerntechnik praxisnah ermittelt und

  • die Grenzen der Methodik und des zugehörigen Instrumentariums,
  • die Aussagekraft der gewählten Metrik sowie
  • die praktisch erreichbare Genauigkeit und Abdeckung von Datenerfassung und Datenauswertung zur Messung von Softwarekomplexität

aufgezeigt.

Um die Komplexität eines Software-Systems nach spezifischen Gesichtspunkten flexibel messen und bewerten zu können, sollen die Messmethode und das zugehörige Instrumentarium im Anschluss erweitert werden, damit z.B. die hinsichtlich der Komplexität kritischen Funktionspläne identifiziert werden können.

Schließlich sollen die Voraussetzungen und Einschränkungen identifiziert werden, unter denen dieses Messverfahrens auch auf leittechnische Geräte angewendet werden kann, die im Unterschied zu Rechnerarchitekturen auf programmierbaren logischen Schaltungen (PLD) basieren. Die Ergebnisse von Beispielanwendungen werden unter anderem hinsichtlich der Ableitung von Aussagen zur Zuverlässigkeit derartiger Komponenten sowie dem praktisch erreichbaren Abdeckungsgrad bei der Komponentenprüfung bewertet.

Mitarbeit bei der Erstellung von IEC-Standards zur softwarebasierten Sicherheitsleittechnik im Hinblick auf ihre Übernahme als nationale NormenEinklappen / Ausklappen

Auf internationaler Ebene werden detaillierte Anforderungen an softwarebasierte Sicherheitsleittechnik als Standards der International Electrotechnical Commission (IEC) formuliert. Da softwarebasierte Leiteinrichtungen einer raschen technologischen Innovation unterworfen sind, werden bestehende Normen zyklisch überarbeitet und auch neue Normenprojekte initiiert, wie zum Beispiel

  • der Standard IEC 62645 (Anforderung an die IT-Sicherheit von software-basierten Leiteinrichtungen) und
  • der Standard IEC 62859 (Koordinierung von Anforderungen der nuklearen Sicherheit und der IT-Sicherheit)..

Damit die hohen kerntechnischen Anforderungen in Deutschland Berücksichtigung finden, arbeiten deutsche Sachverständige mit einschlägiger Erfahrung maßgeblich in den sicherheitstechnisch relevanten normengebenden IEC-Gremien mit.

Nach Prüfung durch das nationale Unterkomitee UK 967.1 ("Reaktorinstrumentierung") der Deutschen Kommission für Elektrotechnik Elektronik Informationstechnik (DKE) können diese IEC Standards in Deutschland als

  • nationale Normen (DIN IEC) oder
  • europäische Normen (DIN EN)

eingeführt werden. Dabei ist auf Konsistenz mit den Anforderungen des übergeordneten nationalen kerntechnischen Regelwerks zu achten. Darüber hinaus werden künftig ausgewählte Normen über ein mit dem Europäischen Komitee für elektrotechnische Normung (CENELEC) abgestimmtes Verfahren auch in das europäische Normenwerk überführt. Diese werden in Deutschland dann als DIN EN-Normen verbindlich.

Bei diesem laufenden Vorhaben sollen fachliche Grundlagen zur Weiterentwicklung und Kommentierung einschlägiger internationaler Standards und europäischer Normen zur digitalen Sicherheitsleittechnik geschaffen werden.

Abgeschlossene Untersuchungsvorhaben

Entwicklung eines Ansatzes zur Analyse der Netzwerktechnologien in sicherheitsrelevanten Leittechniksystemen hinsichtlich Verbreitung und Auswirkung postulierter FehlerEinklappen / Ausklappen

Im Bereich der Reaktorbegrenzungen als Bestandteil der Sicherheitsleittechnik sind in einigen Kernkraftwerken softwarebasierte leittechnische Einrichtungen eingesetzt. Außerdem besteht der Trend, in der Peripherie der Sicherheitsleittechnik wie zum Beispiel für Messumformer und Aktoren softwarebasierte Einrichtungen mit Schnittstellen zu Netzwerken einzusetzen.

Die Betriebserfahrung zeigt einen Einfluss interner Kommunikation eines vernetzen Leittechniksystems auf dessen Zuverlässigkeit. Die Auswirkungen potentieller Fehlereffekte innerhalb und außerhalb von Kommunikationsnetzwerken für sicherheitsrelevante Funktionen in Kernkraftwerken hat ein Vorhaben mit folgender Aufgabenstellung untersucht:

Arbeitspaket 1: Phänomenologische Untersuchungen zu potentiellen Netzwerkfehler in Leittechniksystemen

Zunächst wurde der Stand von Wissenschaft und Technik zu eingesetzten Netzwerktechnologien und zu Methoden für die Analyse von Netzwerkfehlern dokumentiert.

Auf Basis dieser Studie wurden sicherheitsrelevante Aspekte der Netzwerktechnologien in der Leittechnik ermittelt und hinsichtlich der Auswirkungen potentieller Fehler in einem generischen Netzwerk kategorisiert. Hierbei wurden unterschiedliche Netzwerk-Topologien, Kommunikationsprotokolle, Schnittstellen und Betriebsarten der Netzwerke hinsichtlich sicherheitstechnischer Aspekte der Kommunikation berücksichtigt.

Weiterhin wurden methodische Ansätze zur Analyse potentieller Netzwerkfehler und zur Analyse der Auswirkungen (Ausbreitung) postulierter Fehler in typischen Netzwerken der Sicherheitsleittechnik entwickelt und zu ausgewählten Topologien ein „worst-case“ Szenario für Netzwerkfehler festgelegt, um das Ausfallverhalten sicherheitsrelevanter Kommunikation in der Leittechnik deterministisch bewerten zu können.

Arbeitspaket 2: Weiterentwicklung FTA-Methodik zur Modellierung redundanter beziehungsweise vernetzter Systeme

Die bewährte Methode der Fehlerbaumanalyse (Fault tree analysis - FTA) wurde für die Modellierung von komplexen Netzwerken weiterentwickelt und exemplarisch an einem generischen Leittechniksystem erprobt.

Dazu wurde eine Programmierschnittstelle zur Erstellung und Modifizierung von Fehlerbäumen für redundante beziehungsweise vernetzte Systeme entwickelt.

Abschlussbericht

Im Abschlussbericht [GRS-377] zum Vorhaben werden allgemeine Grundlagen zu typischen Netzwerktechnologien, die industriell für die Datenkommunikation genutzt werden, zusammengestellt. Schwerpunkte sind die Charakterisierung von Störungen und Ausfällen in Netzwerken, Netzwerk-Topologien mit einer Bewertung zum Verhalten bei Störungen und Ausfällen, Charakterisierung von industriell verwendeten Bus-Standards u.a. mit Aussagen zu den Sicherheitseigenschaften und Zugriffsverfahren sowie einem Vergleich unterschiedlicher Netzwerk-Übertragungsmedien wie Kabel oder Lichtwellenleiter. Auf die Grundprinzipien von Sicherheitsbussystemen wird speziell eingegangen (Grey- und White-Channel).

In einem weiteren Hauptkapitel des Berichts werden methodischen Ansätze zur Analyse potentieller Netzwerkfehler erläutert und gegenübergestellt. Die Anwendbarkeit der Fehlerbaumanalyse wird anhand von Kriterien eingeschätzt und für die im Rahmen des Vorhabens gestellte Aufgabe einer Modellierung hochredundanter Sicherheitsnetzwerke bestätigt. Zur Demonstration der Anwendbarkeit wurde ein Leittechniksystem gewählt und dessen Netzwerk modelliert, das für Sicherheitsleittechnikarchitekturen repräsentativ ist.

Ein Werkzeug, das für die automatische Generierung von strukturell identischen Fehlerbäumen entwickelt wurde, konnte erfolgreich angewendet werden.

Im Anhang werden die derzeit international diskutierten Methoden der Zuverlässigkeits- und Sicherheitsanalyse gegenübergestellt und hinsichtlich der Anwendbarkeit für eine generische - nicht auf Netzwerktechnologien beschränkte - Zuverlässigkeitsanalyse untersucht und anhand ausgewählter Kriterien bewertet. Danach erweist sich die Fehlerbaumanalyse als erprobte Methode, die für die quantitative Zuverlässigkeitsanalyse von komplexen Systemen einsetzbar ist und die einen für praktische Anwendungen vertretbaren Aufwand erfordert. Die Anwendbarkeit der Fehlerbaummethode auf stark zeitabhängige Systeme ist jedoch eingeschränkt. Hierzu gibt es zwar spezielle methodische Ansätze wie z.B. die Markov-Analyse oder die Dynamical Flowgraph Methodology, für deren Anwendbarkeit auf komplexe Systeme es jedoch noch keine hinreichenden Belege gibt.

Zusammenstellung sicherheitstechnischer Anforderungen an Interfaces der Mess- und Stelltechnik in softwarebasierten Leittechnik-Systemen mit sicherheitstechnischer Bedeutung in KernkraftwerkenEinklappen / Ausklappen

Die Leittechnik analoger Bauart in Kernkraftwerken wird zunehmend durch Einrichtungen zur digitalen Übertragung und Verarbeitung von Mess- und Stellsignalen ersetzt. Aus sicherheitstechnischen Gründen erfordert dies den Einsatz geeigneter Interfaces zwischen den örtlichen und den zentralen Anlagenteilen sowie einen konsistenten Satz sicherheitstechnischer Anforderungen an die Datenübertragung und die Hard- und Software der Interfaces.

Anhand zweier Typvertreter werden die sicherheitstechnischen Eigenschaften von Busverbindungen aufgezeigt und bewertet.

Sicherheitsnachweis für rechnergestützte Sicherheitsleittechnik mit vorgefertigter Software zum Einsatz in KernkraftwerkenEinklappen / Ausklappen

Der Sicherheitsnachweis für software-basierte Leittechnik wird strukturiert und der Bezug zu den Anforderungen des detaillierten Fachregelwerks systematisch dargestellt. In der Systematik sind insbesondere die einschlägigen DIN IEC Normen zur software-basierten Leittechnik berücksichtigt - das sind internationale IEC Standards, die in das deutsche Normenwerk übernommen worden sind. In der Systematik wird außerdem die Komplexität einzelner Nachweisziele dargestellt, so dass sie dazu beitragen kann, beim Sicherheitsnachweis Interpretationsspielräume zu identifizieren und ergebnisorientiert zu bewerten.

Hinweis: Seit dem 30. Juli 2016 betreut das Bundesamt für kerntechnische Entsorgungssicherheit (BfE) Untersuchungsvorhaben zur Sicherheitsleittechnik. Es hat diese Aufgabe vom bis dahin zuständigen Bundesamt für Strahlenschutz (BfS) übernommen.

Stand: 04.10.2016

© Bundesamt für kerntechnische Entsorgungssicherheit