-
Untersuchungen zum Ausfallverhalten von
software-basierten Komponenten der
Elektro- und Leittechnik
Stefanie Blum, Robert Arians, Simone Arnold, André Lochthofen,
Claudia Quester, Dagmar Sommer, GRS
-
GRS Fachgespräch 2015
Inhalt
Einleitung
Überblick über die Daten
Datenauswertung
Auswahl meldepflichtiger Ereignisse
mit Softwarefehlern als Ursache
Fazit
2
-
GRS Fachgespräch 2015
Einleitung 1 / 2
Viele Komponenten der Elektro- und Leittechnik sind seit der Inbetriebnahme
der Kernkraftwerke im Einsatz
• Komponenten kommen an das Ende ihrer Lebenszeit
• Zunehmend erschwerte Ersatzteilbeschaffung
• Austausch mit identischen Komponenten nicht immer möglich
• Prozessoptimierungen durch Modernisierung der Komponenten
Ansteigender Anteil an programmierbaren oder rechnerbasierten
Komponenten sowohl in betrieblichen als auch in sicherheitstechnisch
wichtigen Systemen wird erwartet
3
-
GRS Fachgespräch 2015
Einleitung 2 / 2
Programmierbare oder rechnerbasierte Komponenten weisen z.T. andere
Charakteristika auf, welche sich von analogen Komponenten unterscheiden
• Aufbau und Struktur
• Schnittstelle Mensch-Maschine
• Fehlerursachen
• Ausfallverhalten
Zuverlässigkeit der programmierbaren oder rechnerbasierten Komponenten
wird derzeit kontrovers zwischen den Fachleuten diskutiert
4
-
GRS Fachgespräch 2015
Einleitung 2 / 2
Programmierbare oder rechnerbasierte Komponenten weisen z.T. andere
Charakteristika auf, welche sich von analogen Komponenten unterscheiden
• Aufbau und Struktur
• Schnittstelle Mensch-Maschine
• Fehlerursachen
• Ausfallverhalten
Zuverlässigkeit der programmierbaren oder rechnerbasierten Komponenten
wird derzeit kontrovers zwischen den Fachleuten diskutiert
Analyse der Betriebserfahrung programmierbarer oder rechnerbasierter
Komponenten aus den Bereichen Elektro- und Leittechnik sowie der
Messumformer
5
-
GRS Fachgespräch 2015
Auswahlkriterien für die Bestandsaufnahme
Die Komponenten sollen bereits über eine gewisse Betriebsdauer verfügen, d.h. die
auszuwählenden Komponenten sollten Einsatzzeiten von mindestens 3 Jahren in
der Anlage aufweisen.
Die Komponenten sollen einen Softwareanteil und ggf. eine Schnittstelle besitzen,
über die die Software von außen geändert werden kann.
Die Komponenten sollen in einer für statistische Auswertungen geeigneten
Stückzahl eingesetzt sein.
6
-
GRS Fachgespräch 2015
Vorgehensweise bei der Datenerfassung
1. Schritt: Erfassung der Anlagendaten
• Komponentenbezeichnung / -typ
• AKZ / KKS
• Anzahl
• Einsatzort / Raum / Einbauplatz
• Hersteller
• …
2. Schritt: Erfassung von Ereignissen
• Wartungs- und Instandhaltungsvorgänge
• Ereignisse unterhalb der Meldeschwelle (AtSMV)
• …
7
-
GRS Fachgespräch 2015
Überblick über die Daten
Auswertung der Betriebserfahrung anhand von
• 6616 Anlagendaten (standortspezifische Auswertung)
• 1006 Ereignissen (baulinienspezifische Auswertung)
Die Ereignisse setzen sich zusammen aus
• Leittechnik: ca. 38%
• Elektrotechnik: ca. 5%
• Messumformer: ca. 57%
8
-
GRS Fachgespräch 2015
Datenauswertung – Übersicht
Auswertung der erfassten Datensätze nach unterschiedlichen Aspekten
• System
• Hersteller
• Fehlererkennung
• Ursache
• Auswirkungen
• Anteile von softwarebedingten Ereignissen
• Ausfallmechanismen
• Produktlebensdauer
• Anlagenzustand bei Ereigniseintritt
• Mehrfachausfälle einzelner Individuen
• Umwelteinflüsse
• …
9
-
GRS Fachgespräch 2015
Datenauswertung – Auf welche Systeme verteilen sich Messumformer?
10
Anlagendaten Ereignisdaten
0%
5%
10%
15%
20%
25%
30%
An
teil
System
0%
5%
10%
15%
20%
25%
30%
An
teil
System
-
GRS Fachgespräch 2015
Datenauswertung – Wie werden Fehler erkannt?
11
0%
10%
20%
30%
40%
50%
60%A
nte
il
Fehlererkennungsart
L
E
M
-
GRS Fachgespräch 2015
RS
HS
KS
Rest
Datenauswertung – Anteile von softwarebedingten Ereignissen
RS: Ereignis aufgrund eines Softwarefehlers (z.B. Programmierungsfehler)
HS: Ereignis aufgrund eines Softwarefehlers, der durch einen Fehler einer
zugehörigen Hardware ausgelöst wurde (z.B. Pufferbatterie verursacht
Programmverlust)
KS: Ereignis aufgrund einer Komponente, die in direktem Zusammenhang zur
Software steht und die ohne die Software nicht eingesetzt wäre (z.B. Touch-
Display)
HW: Alle anderen Ereignisse (Hardware)
12
HW
-
GRS Fachgespräch 2015
Datenauswertung – Neue Ausfallmechanismen
Bei den vorliegenden Daten keine besondere Häufung von Ausfällen
programmierbarer oder rechnerbasierter Komponenten entdeckt
Beobachtete neue Ausfallmechanismen gegenüber analogen Komponenten:
• Ausgefallene Pufferbatterien
ca. 4% der Ereignisse in der Leittechnik durch Pufferbatterien verursacht
• Fehler in der Programmierung der Software
Firmware-Update/Software-Update
Rückrufaktionen des Herstellers
Ausfälle aufgrund einer erhöhten Strahlung
• Erhöhte Anfälligkeit der modernen Halbleitertechnik?
13
-
GRS Fachgespräch 2015
Datenauswertung – Umwelteinflüsse
Keine vermehrten Ausfälle durch Feuchtigkeit oder Hitze
Neuere Messumformer aufgrund von Strahlenbelastung ausgefallen
• Strahlung kann auf Halbleiter sowie programmierbare Speicher wie EPROM oder
EEPROM negative Auswirkungen haben
• Zum Teil Rücktausch der Messumformer gegen ältere Modelle
14
-
GRS Fachgespräch 2015
Typenstreichung
Datenauswertung – Produktlebensdauer-Phasen
15
Produktauslaufphase
• Aktive Ankündigung
• Beginn der zehnjährigen
Ersatzteilverfügbarkeit bzw.
Reparaturverpflichtung
• Produkt normal bestellbar
bis Typenstreichung, jedoch
keine aktive Vermarktung mehr
Produktstreichung
• Produkt nur noch als
Ersatzteil verfügbar
solange wirtschaftlich
(Produktion eingestellt)
• Nur noch Austausch
defekter Komponenten
oder Reparatur
Produktabkündigung
• Produkt ist im Katalog
nicht mehr verfügbar
• Keine Produktion mehr
• Keine technische
Unterstützung oder
Beratung
Lieferbares Produkt Auslaufphase (Etwa 1 Jahr)
Aktives Produkt Passives Produkt (Etwa 10 Jahre)
Ankündigung
Produktauslaufphase Produktstreichung Produktabkündigung
-
GRS Fachgespräch 2015
Datenauswertung – Produktlebensdauer, Leittechnik (ein Hersteller)
16
0%
20%
40%
60%
80%
100%
An
teil
Produktphase
noch nichtangekündigt
angekündigt
aktiv
bereitsbeendet
-
GRS Fachgespräch 2015
Datenauswertung – Produktlebensdauer, Leittechnik (ein Hersteller)
17
0%
20%
40%
60%
80%
100%
An
teil
Produktphase
noch nichtangekündigt
angekündigt
aktiv
bereitsbeendet
Etwa 40% der Komponenten
haben die passive Phase noch
nicht erreicht
-
GRS Fachgespräch 2015
Datenauswertung – Produktlebensdauer, Leittechnik (ein Hersteller)
18
0%
20%
40%
60%
80%
100%
An
teil
Produktphase
noch nichtangekündigt
angekündigt
aktiv
bereitsbeendet
Etwa 40% der Komponenten
haben die passive Phase noch
nicht erreicht
ca. 70% der ausgewählten
Leittechnik-Komponenten sind
noch nicht abgekündigt
Neubestellung oder zumindest
Ersatzteilbeschaffung bzw.
Reparatur beim Hersteller
weiterhin möglich
-
GRS Fachgespräch 2015
Datenauswertung – Mehrfachausfälle einzelner Individuen
Ergebnisse eines Standorts
• Leittechnik:
Pufferbatterie-Ereignisse
• Messumformer:
Driftereignisse
• Elektrotechnik:
Keine Auswertung aufgrund
zu geringer Datenmenge
19
0%
10%
20%
30%
40%
50%
60%
70%
80%
90%
100%
1 2 3 4 5
An
teil
Anzahl Ereignisse pro Individuum
L
M
-
GRS Fachgespräch 2015
Auswahl meldepflichtiger Ereignisse mit Softwarefehlern als Ursache
Temporäre Störungen von Symphony Melody Baugruppen
• Sporadisch auftretendes Dauersenden von Signalen
blockierte den Kommunikationsbus
• Fehler in der Firmware von bestimmten Hardwaretypen
20
-
GRS Fachgespräch 2015
Auswahl meldepflichtiger Ereignisse mit Softwarefehlern als Ursache
Temporäre Störungen von Symphony Melody Baugruppen
• Sporadisch auftretendes Dauersenden von Signalen
blockierte den Kommunikationsbus
• Fehler in der Firmware von bestimmten Hardwaretypen
Nicht spezifikationsgerechtes Verhalten des Sinuperm N Mittelbereichsmesskanals
• Bei einem in Sinuperm N ausgeführten Neutronenfluss-Messsystem kam es
wiederholt zu Reaktorschnellabschaltungen im Bereich niedriger, ansteigender
Reaktorleistungen
• Ursache war ein Programmierungsfehler in der Firmware
21
-
GRS Fachgespräch 2015
Auswahl meldepflichtiger Ereignisse mit Softwarefehlern als Ursache
Temporäre Störungen von Symphony Melody Baugruppen
• Sporadisch auftretendes Dauersenden von Signalen
blockierte den Kommunikationsbus
• Fehler in der Firmware von bestimmten Hardwaretypen
Nicht spezifikationsgerechtes Verhalten des Sinuperm N Mittelbereichsmesskanals
• Bei einem in Sinuperm N ausgeführten Neutronenfluss-Messsystem kam es
wiederholt zu Reaktorschnellabschaltungen im Bereich niedriger, ansteigender
Reaktorleistungen
• Ursache war ein Programmierungsfehler in der Firmware
Fehlerhafte Auslösung von Brandschutzklappen
• Unberechtigten Auslösen von Brandschutzklappen (einmal 28 Stück und einmal
26 Stück in einem Jahr)
• Dem Hersteller ist dieser Fehler bekannt und er empfiehlt den Einbau
nachgeschalteter Baugruppen
22
-
GRS Fachgespräch 2015
Fazit
Bei den vorliegenden Daten wurde keine besondere Häufung von Ausfällen
von programmierbaren oder rechnerbasierten Komponenten entdeckt
Überwiegender Anteil der Ausfälle aufgrund von Hardware-Fehlern
Ursache bei Software-bedingten Ausfällen meist nicht feststellbar
Behebung durch Einspielen von Updates
Zur Zuverlässigkeitsbetrachtung sind weitere Untersuchungen notwendig
• Größere Datenmenge
• Längere Einsatzzeiten
Problem: Schneller Wechsel von Komponententypen
Ausfallmechanismen, die nicht bei analogen Komponenten auftreten
• Pufferbatterien
• Programmierungsfehler
Meldepflichtige Ereignisse mit Softwarefehlern werden von der GRS weiter
beobachtet 23
-
GRS Fachgespräch 2015
André Lochthofen
Bereich Anlagenbetrieb
Gesellschaft für Anlagen- und Reaktorsicherheit (GRS) gGmbH
Schwertnergasse 1
50667 Köln
Germany
Phone: +49 (0) 221-20 68-746
E-Mail: [email protected]
24
Berichte
Entwicklung und Einsatz von Analysemethoden zur Beurteilung
softwarebasierter leittechnischer Einrichtungen in deutschen Kernkraftwerken
(3610R01361) – ISBN 978-3-944161-36-5
Sicherheitstechnische Analyse zum Einsatz und Betrieb elektrotechnischer
Einrichtungen in deutschen Kernkraftwerken, Überwachung und Schutz gegen
sicherheitstechnisch bedeutsame Einwirkungen aus dem Verbundnetz sowie
anderen äußeren Quellen (3610R01363) – ISBN 978-3-944161-37-2