Dokumentation zum Abschalten der AKWs Neckarwestheim und Unterweser

Universität Hamburg, Fachbereich Informatik
Prof. Dr. Klaus Brunnstein

Bundesumweltministerium
Herrn Minister Trittin
Berlin

per Fax

Hamburg 17.12.1999

Sehr geehrter Herr Bundesminister,
Sehr geehrter Herr Trittin,

wegen der Eilbedürftigkeit der nachstehend dargestellten Sachlage bitte ich um Nachsicht, dass ich Ihnen dieses per Fax zusende und um eilige Erledigung ersuche.

Kurz vorab mein dringlicher Rat, den ich anschliessend begründe:

Erstens: wegen erheblicher Zweifel an der Schlüssigkeit der Überprüfungskette zur Y2k-Tüchtigkeit bei den KKWs Unterweser und Neckarwestheim rate ich dringlichst, die sofortige Vorlage aller einschlägigen Unterlagen zu veranlassen.

Zweitens: Um etwaige Zweifel an der Kern-Informatischen Kompetenz an entscheidenden Stellen Ihrer Gutachterkette so weit wie möglich auszuschliessen, rate ich, einen mit nachgewiesener Kompetenz im Y2k-Bereich von KKWs ausgestatteten (englischen oder US-amerikanischen) Fachmann um ein Obergutachten zur Y2k-Kompatibilität des in Unterweser und Neckarwestheim eingesetzten Rechnerssystems zu bitten.

Drittens: sofern die Y2k-Tüchtigkeit wegen der kurzen Frist (wegen derer man mich als Überbringer der Nachricht nicht erschlagen möge :-) nicht erhärtet werden kann, sollten Sie ernsthaft prüfen, beide Reaktoren vorsorglich abzuschalten, um jeden eventuell übersehenen Schaden auszuschliessen.

Zur Begründung:

In der Frage der Jahr-2000-Kompatibilität deutscher Kernkraftwerke hat man mich bei einem kritischen Disput mit Fachleuten des Verbandes Deutscher Elektrizitäts-Werke (VDEW) dahingehend informiert, dass in deutschen KKWs im Sicherheitsbereich keinerlei Computer- oder Mikroprozessortechnik eingesetzt würde, da alle entsprechenden Systeme "fest-verdrahtet" seien. In anderen Bereichen der KKWs (zur Störfallbeherrschung sowie in der Infrastruktur) gebe es zwar Computertechnik, die auch überprüft und - ggfs. nach Aufrüstung - Y2K-kompatibel sei, jedoch griffen bei deren - nicht völlig auszuschliessendem - Versagen traditionelle nicht-Informatische Sicherheitsmechanismen.

Bei diesem Sachstand, der mit meinen vorherigen Recherchen (die durch mangelhafte Auskunftsfreude oder sogar Auskunftsverweigerung seitens Herstellen und Betreibern schwierig waren) übereinstimmte, war ich zu dem Schluss gekommen, dass die AKW-Sicherheit nach "bester Praxis" überprüft und y2k-kompatibel sei. Dieses habe ich auch so stets in der Öffentlichkeit (etwa in einer Sendung mit BM Müller) vertreten.

Durch eine Bemerkung in jener Sitzung, 2 AKWs ("Unterweser" sowie "Neckarwestheim") seien in einem Bereich ausserhalb des Sicherheitssystems mit einem digitalen Leitsystem, nachgerüstet worden, bin ich bei einer Nach-Recherche auf folgende Information des Betreibers Preussen-Elektra gestossen: Auszug aus der aktuellen Seite der Preussen-Elektra vom 13.Dezember 1999 - Reaktorbegrenzungen (.Bild.) Zunächst wird in dieser Darstellung konstatiert, dass die "Reaktorbegrenzungen" zum Sicherheitssystem gehören, was nach dessen Aufgaben auch plausibel ist.

Wichtiger aber ist, dass die Nachrüstung dieses Teils mit einem, "digitalen Leitsystem" in sorgfältigster Formulierung (somit offenbar absichtlich) verschwiegen wird . Die Nachrüstung ist von der Reaktorsicherheitskommission (siehe deren Internet-Seite) bestätigt und als Y2k-konform bewertet worden. Nachdem sich nunmehr ergibt, dass auch im Sicherheitsbereich von zwei deutschen AKWs jeweils ein Computersystem eingesetzt wird, womit also primäre Y2k-Effekte nicht völlig auszuschliessen sind, habe ich überprüft, inwieweit die Begutachtungskette entsprechende Y2K-Risiken geeignet war, angemessen festzustellen (die Ergebnisse der Würdigung stehen ja bereits mit der Bestätigung der Y2k-Kompatibilität durch die RSK fest).

Erkennbar gehen Sie (in einem "verteilten" Prozess mit Delegation von Verantwortung) bei der Feststellung der Y2k-Sicherheit von folgenden Stufen der Zusicherung aus: In der ersten Stufe müssen Hersteller und Betreiber die Y2k-Sicherheit prüfen und zusichern. In einer zweiten Stufe sollen Gutachter - offenbar mit dem Recht auf Einsichtnahme ausgestattet - die Bewertungen der Hersteller und Betreiber überprüfen und gutachtlich dazu Stellung nehmen. Dies geschieht unter der Aufsicht der jeweils zuständigen Landesbehörde.

In der dritten Stufe sichert eine Begutachtung durch die von Ihrem Hause eingesetzte Reaktor-Sicherheitskommission eine übergeordnete gutachtliche Stellungnahme ab. Diese Begutachtungskette, die sich hinsichtlich physikalischer und technischer Aspekte bewährt zu haben scheint, ist besetzt mit Kompetenz in zentralen Bereichen wie Reaktorphysik/Technik, Energietechnik etc.

Im Hinblick auf die Y2k-Aspekte habe ich jedoch - nach Beschäftigung mit diesem Problem seit 1989 - erhebliche Gründe für Zweifel an der informatischen Kompetenz wesentlicher Glieder dieser Kette. Zunächst die Frage nach der Zuverlässigkeit der Hersteller. Ohne hier auf den Zusammenhang der folgenden Beispiele mit dem Hersteller beider Computersysteme einzugehen, gibt die Arbeitsqualität von Herstellern informatischer Anwendungs- und Basissysteme (Hardware, Betriebssysteme, Compiler etc.) sowohl generell wie im Zusammenhang mit Y2k-Problemen manche Anlässe zu erheblicher Sorge:

Beispiel 1:
So lieferte ein namhafter deutscher Hersteller einer Grossbank im Frühjahr 1999 ein nicht-Y2k- tüchtiges Telefonsystem, für dessen Ertüchtigung noch Kosten berechnet werden sollten.

Beispiel 2:
So lieferte ein namhafter PC-Hersteller einem grossen Kunden im benachbarten Ausland eine Mehrzahl PCs, die sich als Y2k-untauglich erwiesen.

Beispiel 3:
So lieferte eine Anwendungsabteilung eines namhaften deutschen Herstellers ein System aus, dessen Prozess-Betriebssystem einen schwerwiegenden Programmierfehler hatte, der keinem Studierenden im ersten Semester hätte unterlaufen dürfen. Dieser Fehler wirkte sich glimpflich aus, wobei ein grosses inländisches Unternehmen wichtige Transportleistungen drei Tage lang nicht erbringen konnte.

Dasselbe Betriebssystem war zuvor vielfach für Anwendungen mit potentiell kritischen Auswirkungen auf Umwelt und Gesundheit eingesetzt worden, und es darf als glücklicher Zufall gelten, dass dieser Fehler sich so glimpflich äusserte. Bei dieser Sachlage, die auf hier nicht zu erläuternde Risiken schwer durchschaubarer Informatiksysteme beruht, sollten Herstelleraussagen sehr kritisch bewertet werden. Unter diesen Umständen kommt der Kompetenz der Gutachter erhebliche Bedeutung zu. Hier ist zu berücksichtigen, dass informatische Kompetenz durch die rasante Entwicklung der Informatikanwendungen nicht leicht zu erwerben und aufrecht zu erhalten ist; so gibt es in Deutschland kaum Stellen, an denen "Risiko-Analyse/Management von I&K-Systemen" - wie schwerpunktmässig in unserem Curriculum - gelernt werden kann. Ohne an dem "guten Willen" etwa der offensichtlich auch im Y2K-Bereich der KKWs gutachtlich eingesetzten Technischen Überwachungsvereine irgendwelche Zweifel äussern zu wollen, habe ich persönlich Anlass, an der notwendigen Tiefe der Informatikkompetenz zu zweifeln.

Wenn ein TÜV ein Y2k-Zertifikat für ein komplexes Inhouse-Projekt eines KKW-Betreibers erteilt, nachdem 2 Mitarbeiter dort drei Tage "geprüft" haben, kann man zwar von "wirtschaftlichem Umgang mit der Ressource Gutachter", jedoch kam von Sorgfalt sprechen. Ich bin im nachhinein froh, dass ich vor längerer Zeit die Kooperation mit einem TÜV im Rahmen meiner Projekte zu Unfallanalysen informatischer Systeme wegen Zweifel an der Kompetenz meiner mutmasslichen Partner abgelehnt habe. Gerade weil ich weiss, wie schwierig die Suche nach potentiellen Y2k-Einflussfaktoren ist (selbst bei grossen Banken und Versicherungen sind Methoden eingesetzt worden, die bestenfalls 95% der entsprechenden Felder und Instruktionen finden konnten!), halte ich es für unangemessen riskant, aufgrund unzureichender "Kompetenz" schlüssige Gutachten zu erwarten.

Ohne auf die Frage nach der informatischen Tiefenkenntnisse der Genehmigungsbehörden einzugehen, muss ich auch feststellen, dass informatische Kompetenz der Mitglieder der RSK nach ihrer Ausbildung und nach dokumentiertem Lebenslauf zumindest nicht ist. Unter diesen Umständen komme ich zu dem Ergebnis, dass Ihre Gutachterkette nicht geeignet ist, in einem derart sensitiven Bereich wie dem Sicherheitssystem eines KKW einen Y2k-indizierten Unfall auszuschliessen.

Meine bereits eingangs vorgelegten Ratschläge erscheinen mir hinreichend begründet. Für Ihre verantwortungsvolle Unterscheidung wünsche ich Ihnen die notwendige kritische und kompetente Haltung. Mit freundlichen Grüssen (Prof. Dr. Klaus Brunnstein) PS: Soweit gewünscht, kann ich Ihnen meine informatische Kompetenz nachweisen. Meine rudimentären Kenntnisse der Kerntechnik habe ich vor langer Zeit in Vorlesungen über Kerntechnik bei Prof. Dr. Huster erworben. Damals lehrte mich mein Lehrer, diese Technik als "Zähmung des atomaren Feuers" sei beherrschbar; es hat mich nachhaltig geprägt, als er später in einem offenen Brief an Bundespräsident Dr. Heinemann auf Risiken dieser Technik hinwies. So habe ich ein erstes Kerntechnik-kritisches Papier einer damaligen Regierungspartei in der Mitte der 70'er Jahre mitverfasst. Heute behandle ich Informatik-Aspekte der Kerntechnik am Beispiel von US-Reaktoren (die in dieser Hinsicht "moderner" sind).

Original unter: http://agn-www.informatik.uni-hamburg.de/Jahr2000/kkw.html


Bundesministerium für Umwelt, Naturschutz und Reaktorsicherheit

Pressemitteilung  227/99 Berlin,15, Dezember 1999

Atom/Jahr 2000

Jahr-2000-Sicherheit der AKW Neckarwestheim und Unterweser wurde geprüft Der Pressesprecher des Bundesumweltministeriums, Michael Schroeren, teilt mit: Das BMU hat zur Zeit keinerlei Hinweise darauf, dass die in der Bundesrepublik betriebenen Atomkraftwerke nicht Jahr-2000-fähig sind.

Dies gilt auch für die Kraftwerke Unterweser und Neckarwestheim 1, die als einzige mit digitaler Leittechnik ausgerüstet sind.

Die Zuverlässigkeit dieser Leittechnik ist in beiden Fällen von den zuständigen Technischen Überwachungsvereinen (TÜV) geprüft worden. Demnach werden in diesen Vorrichtungen keine Datumsfunktionen verarbeitet. Das Ergebnis dieser Überprüfung wurde von der Gutachterin des BMU, der Gesellschaft für Reaktorsicherheit (GRS), sowie von der Reaktorsicherheitskommission bestätigt.


Universität
Hamburg
Fachbereich Informatik
Arbeitsbereich Angewandte Informatik in Geistes- und Naturwissenschaften (AGN)

Prof.Dr.Klaus Brunnstein
Vogt-Kölln-Strasse 30
D-22527 Hamburg
Telefon+49 40 428 83 2406
Telefax+49 40 428 83 2226
brunnstein@infonnatik.uni-hamburg.de
http://fagn-www.infonnatik.unihamburg.de/


An den Präsidenten der Vereinigung Deutscher Elektrizitätswerke - VDEW - e.V.
Herrn Dr. Heinz Klinger
c/o Frau Patricia Nicolai
Stresemannallee 23
60596 Frankfurt
FAX: 069 - 6304 - 289


==Bitte sofort vorlegen==


Datum: 1999-12-18 (ISO-Norm-Darstellung für: 18. Dezember 1999)


Sehr geehrter Herr Dr. Klinger,

anlässlich des Gespräches in Ihrem Hause zur Y2k-Notfallsicherheit der deutschen Elektrizitätswirtschaft, zu dem ich von Frau Nicolai und Herrn Dr. Kienle eingeladen wurde, haben mir die Vertreter Ihres Verbandes, insbesondere Herr Dr. Höke (VGB und Preussen-Elektra) versichert, dass im Sicherheitsbereich deutscher Kernkraftwerke nur festverdrahtete Schaltungen und keineswegs Computer- oder Mikroprozessor-gesteuerte Systeme eingesetzt würden.

Dies gelte auch für die AKWs Unterweser und Neckarwestheim, wo zwar "digitale Leitsysteme" nachgerüstet worden seien; diese lagen aber ausserhalb des Sicherheitssystems des Reaktors. Nachdem somit primäre Y2k- Wirkungen für den sicheren Reaktorbetrieb ausgeschlossen werden konnten, und weil bei einem Ausfall als Folge übersehener Y2k-Effekte bei den in sekundären und tertiären Bereichen eingesetzten Computersystemen die Notfallsicherheit durch den Rückgriff auf traditionelle, nichtinformatische Maßnahmen beherrschbar ist, war ich zu dem Schluss gekommen, man sei hier "nach bester Praxis0 vorgegangen. Dies entsprach auch meinen vorherigen Recherchen, und dieses habe ich bis dahin auch stets öffentlich vertreten (z.B. in der Sendung bei Frau Christiansen).

Bei einer Nachprüfung habe ich nun aber feststellen müssen, dass mir offenkundig eine falsche Auskunft gegeben wurde. Nach Analyse der Internetseite der Preussenelektra (die ich vorher nicht geprüft habe, weil mein PC-System das Laden der dort verwendeten sicherheits-gefährdenden JavaScripte verweigert, weil darüber bekanntlich einschlägige "Malware" verteilt werden kann!) finde ich dort nun wesentliche Hinweise, welche die Aussagen ihrer Fachleute in Zweifel zu ziehen geeignet sind (und die sich darüber als ein Beispiel für bewusste Fehlinformation erweisen):
brunnstein.gif (14689 Byte)

Nach dieser Internet-Seite gehören also die Begrenzungssteuerungen zum Sicherheitssystem; die hier verschwiegene Nachrüstunq dieser Steuerung wird durch die Information der Reaktor-Sicherheitskommission (siehe: www.rskonline.de) bestätigt.

Insofern ist die Argumentation angeblich "festverdrahteter Schaltungen" im Sicherheitsbereich für die baugleichen "digitalen Leitsystemen" der Firma Siemens (KWU) in den KKWs Unterweser und Neckarwestheim nicht mehr haltbar (ich ziehe dies weiterhin für die anderen deutschen AKWs nicht in Zweifel).

Erschwerend kommt der zweite (indirekte) Hinweis hinzu, dass nämlich die Tatsache der Computer-Nachrüstung in sorgfältigster Formulierung ("zum Errichtungszeitpunkt ... ") der Öffentlichkeit verschwiegen wird. Als ich diesen Aspekt mit Herrn Dr. Höke (der sich zu diesem Zeitpunkt im KKW Unterweser aufhielt) besprechen wollte, wurde mir nach einigen stunden von einer Mitarbeiterin ausgerichtet, er sei in Absprache mit einer "Frau Dr. Uhlmann" (die mir weder vom-Namen noch der Position bekannt war) nicht zu einem Gespräch bereit.

Einmal abgesehen von der Frage, ob ein KKW-Betreiber, der solche Informationen der öffentlich verschweigt bzw. die Öffentlichkeit irreführt, für sich das Attribut "zuverlässig" in Anspruch nehmen kann, ist bei dieser Sachlage nicht mit der notwendigen Sicherheit auszuschliessen, dass es infolge primärer Auswirkungen eventuell übersehener Y2k- Wirkungen der sog. "digitalen Leitrechner" zu Beeinträchtigungen der Sicherheit beider Reaktoren kommen kann. Mir ist noch zur Genüge in Erinnerung, wie ein angeblich sicheres Betriebssystem aus dem Hause Siemens (welches einen lange Zeit unerkannten schwerwiegenden Programmierfehler enthielt) zu einem mehrtägigen Stillstand eines "sicheren Bahnbetriebssystems" führte. Obwohl jener Vorfall glimflich ablief (hier konnten "nur" drei Tage lang keine Züge fahren), sind schwerwiegende Folgen derartiger eventuell übersehener Fehler nicht a priori auszuschliessen. Und die Erkennung solcher Fehler bedarf spezieller Kenntnisse, die nach meiner Überzeugung bei den Überprüfungen nicht vorhanden waren. Selbst für die Annahme, dass die "traditionellen Sicherheitsmassnahmen" bei einem Y2k-induzierten Ausfall im Sicherheitssystem zuverlässig greifen würden, liegen mir keinerlei Hinweise vor.

Hier macht sich nun störend bemerkbar, dass die deutsche Reaktorwirtschaft - auch bedingt durch die unvertretbar späte Aufforderung des für Reaktorsicherheit zuständigen Bundesministeriums (siehe "weitergeleitete Nachricht 11 04/98 mit Kriterienkatalog 04/98a) - allzu spät erst im 2. Halbjahr 1998 mit der Überprüfung der Kernkraftwerke begonnen hat (in USA und England wurden solche Projekte spätestens 1997 begonnen, wie die Dokumentationen beweisen). Anders als in England und den Vereinigten Staaten fehlen hierzulande auch Fachleute mit hinreichendem Informatik-Know-How in diesem hochsicherheitsbedürftigen Anwendungsgebiet (dies war auch Gegenstand des Gespräches in Ihrem Hause).

Unter diesen Umständen halte ich es für dringend geboten, die erwähnten digitalen Leitsysteme von einem unabhängigen Fachmann überprüfen zu lassen; ein solcher kann nach Sachlage nur aus den USA oder England kommen. Soweit dies nicht mehr rechtzeitig zu einem schlüssigen Bild (welches die in dieser Sachlage nicht ausreichend fachkundig besetzte RSK auch nicht "abnicken" kann) kommt, halte ich es aus verantwortlicher Vorsorge für unabweislich, die beiden Kernkraftwerke über das Jahresende abzuschalten (wogegen m.W. auch kein Mangel an elektrischer Leistung spricht).
Mit freundlichen Grüssen
Prof. Dr. Klaus Brunnstein

Bearbeitet am: 21.12.1999/ad


zurück zur Homepage