Betriebssystem im Atomkraftwerk

Schubtil_c0905c · 9. November 2019 um 19:41

Hallo,

wegen der Geschichte mit dem Raid5-System unten in CO2 vom Herbert, ist bei mir eine Frage aufgetaucht:
Was für Betriebssystemsoftware wird eigentlich in Atomkraftwerken von sicherheitsrelevanten Computern verwendet? Geht das überhaupt über Computer? Vermutlich werden doch in AKW’s sicherheitsrelevante Einrichtungen rein Hardwaregesteuert? Sind da überhaupt Halbleiterbauteile eingesetzt? An wirklich sicherheitsrelevanten Einrichtungen vermutlich eher nicht oder nur vielfach redundant und physisch getrennt.

Banken verwenden auch keine Raid-Systeme (das sind für deren Rechenzentren eher Spielzeug-PC’s), sondern i.d.R. IBM-mainframes mit z/OS, zig-tausen Festplatten, Millionen Magnetbandkassetten in Bandrobotern. Alle Daten zusätzlich gesichert und das ganze dann nochmals gespiegelt. Spiegelsysteme sind dabei nicht im gleichen Gebäude meist nicht mal im gleichen Ort. Innerhalb der Rechner sind funktionsrelevante Teile mindestens doppelt vorhanden. Ausfallsicherheit gegenüber einem kurzfristig behebbaren Systemfehler ca 1 mal in 1500 Jahren für das erste produktive System. Datenverlust absolut unmöglich. Noch höhere Sicherheit gibt es nur ohne Computer. Also: Wie läuft so was im AKW???

PS: Ich bin für die Abschaltung von CO2 erzeugenden Kraftwerken und erst danach für die Abschaltung von AKW’s, aber das nur am Rande.

Gruß
Tilo

Anonym_dccfd98ba8f6 · 9. November 2019 um 19:42

Moin,

Vermutlich werden doch in
AKW’s sicherheitsrelevante Einrichtungen rein
Hardwaregesteuert?

Ich weiß nicht, ob sie es werden, aber nötig ist das nicht. Es reicht, wenn die entsprechenden Sicherheitssysteme Hardware-Komponenten haben, die eigentliche Steuerung kann wunderbar über Software laufen.

Sind da überhaupt Halbleiterbauteile
eingesetzt? An wirklich sicherheitsrelevanten Einrichtungen
vermutlich eher nicht oder nur vielfach redundant und physisch
getrennt.

Unsere Anlage hat sowohl Hardware- als auch Softwaretrips, je nach System und Funktion.

Noch höhere Sicherheit
gibt es nur ohne Computer.

Die Sicherheit hängt immer vom Gesamtsystem ab und ist nicht in erster Linie davon abhängig, ob sie nun mit oder ohne Computer erreicht werden soll.

Gruß

Kubi

deconstruct · 9. November 2019 um 19:42

Ich habe keine Ahnung, mit welchen Betriebssystemen die Steuerungscomputer von Atomkraftwerken arbeiten. Aber es gibt durchaus z.B. Programmiersprachen, innerhalb derer man mathematisch beweisen kann, dass das Programm auch das tut, was man von ihm erwartet. Da man mit solchen Sprachen u.a. korrekte Funktionsweisen garantieren kann, ist es zumindest möglich, auch Software für so sensible Sachen wie Atomkraftwerke zu schreiben.
Auch durch Redundanz lässt sich das ganze dann nochmals zusätzlich absichern, z.b. könnte man drei Computer mit drei unterschiedlichen Betriebssystemen und drei unterschiedlichen Implementationen der Steuerungssoftware die Sachen berechnen lassen. Und nur, wenn mindestens zwei von ihnen das gleiche Ergebnis liefern, wird dem Ergebnis vertraut. So macht ein Fehler in einem System nichts mehr aus, und die Wahrscheinlichkeit, dass zwei Systeme in der selben Situation einen Fehler produzieren der noch dazu identisch sein muss, ist wohl praktisch bei null.

tw057 · 9. November 2019 um 19:42

Hallo Tilo,

welches Betriebssystem in KKW’s angewendet wird, kann ich dir auch nicht sagen, aber ich weiß, dass wir für die KKW’s die Steuersoftware etc. entwickeln und auch liefern. Da das ganze an normalen Home-PC’s läuft, muss ein entsprechend kompatibles System in den KKW’s vorhanden sein. Ich vermute mal ganz stark, dass das nicht XP sein wird. Eher wahrscheinlich Linux, Unix oder weiß ich was. Ich frag morgen mal nach, das interessiert mich selbst .

Zum Thema Sicherheit in Verbindung mit den Rechnern. Die Sicherheitssysteme sind in den modernisierten/neu gebauten Anlagen unabhängig vom Kontrollsystem oder den Rechnern. Wenn da also ein Rechner abstürzt geht nicht gleich das ganze Kraftwerk hopps. Zusätzlich gibt es einige Systeme, die passiv bei Stromausfall reagieren. Und es stehen in den neuen Anlagen vierfach redundante Sicherheitssysteme. Da darf eins ruhigen Gewissens abbrennen/ausfallen. Oder auch zwei, oder drei, oder alle.
Ich kann dir versichern, dass das einer der ersten Punkte ist, der bei der Sicherheitsauslegung berücksichtigt wird. Was ist, wenn die Rechner ausfallen und der Operator blind ist. Die Steuerung der Sicherheitssysteme erfolgt sowohl elektronisch als auch mechanisch und unabhängig vom Operator. Wenn irgendein Sensor (optisch, mechanisch usw.) Alarm schlägt, dann fährt das KKW runter, da kann der Operator nix machen!

Ein Punkt ist noch ganz interessant, den viele Leute gar nicht wissen. Die meisten denken ja, dass ein Reaktor „ausser Kontrolle“ gerät und die Kettenreaktion weiterläuft. Das ist physikalisch nicht möglich. Wenn wirklich alle Systeme versagen und der Reaktor hochheizt, dann erhitzt sich das Wasser im Kessel und verkocht. Der Dampf wird über Ventile abgeleitet. Wenn alles Wasser verkocht ist fehlt der Moderator und so die zur Kernspaltung notwenigen thermischen Neutronen. Die Kettenreaktion kommt zum Erliegen und es verbleibt die durch natürliche Zerfallsprozesse produzierte Restwärme. Kann diese nicht abgeführt werden, so schmelzen die Brennelemente zu einem großen Klumpen zusammen. Nicht schön das ganze Szenario, aber anders, als die meisten denken.

PS: Ich bin für die Abschaltung von CO2 erzeugenden
Kraftwerken und erst danach für die Abschaltung von AKW’s,
aber das nur am Rande.

Dafür bin ich auch, auch wenn ich mit der Aussage an meinem eigenen Arbeitsplatz säge. Aber was ist sinnvoller? Kohle, Gas und Öl zu verbrennen, obwohl wir das für den Exportweltmeister Deutschland für Hochtechnologieprodukte brauchen und jede Menge CO-2 in die Luft ballern, das ALLEN unseren Nachfahren WELTWEIT Schaden zufügt, oder die alten KKW’s durch neue/sicherere KKW’s ersetzen und die saubere Energie nutzen um an besseren/umweltfreundlicheren Lösungen zu forschen. Denn eins ist sicher, KKW’s sind umweltfreundlicher als koventionelle Heizkraftwerke! Und mit dem Risiko kann ich persönlich leben.

Mir fällt gerade was ein, da mach ich gleich mal einen Thread auf
Und noch ein Punkt in Verbindung mit einem anderen Thread unten. Es wird immer diskutiert, inwieweit man durch Energiesparen wirklich die Umwelt schonen und auch KKW’s einsparen kann. Die Diskussion ist quasi totaler Schwachsinn. Ihr glaubt doch wohl nicht etwa, dass die privaten Haushalte einen wesentlichen Einfluss auf den Stromverbrauch in Deutschland haben? Das Problem ist die Industrie und die Servicedienstleister (Läden, Tankstellen, Supermärkte etc.). Aber fürs Gewissen hilft Stromsparen bestimmt. Dem Geldbeutel wird es nicht helfen. Denn wenn die Anbeiter merken, dass der Verbrauch runter geht, dann holen die ihre Kosten durch Preiserhöhung wieder rein. Was mich persönlich nicht davon abhalten soll möglichst umweltfreundlich und energiesparend zu bauen

Wegen dem Betriebssystem frag ich morgen mal in der Firma nach!

Gruß Thomas

Reinhard_Kern_4bc529 · 9. November 2019 um 19:42

Hallo,

wegen der Geschichte mit dem Raid5-System unten in CO2 vom
Herbert, ist bei mir eine Frage aufgetaucht:
Was für Betriebssystemsoftware wird eigentlich in
Atomkraftwerken von sicherheitsrelevanten Computern verwendet?
Geht das überhaupt über Computer? …

Hallo,

ich kenne das nicht von AKWs, sondern aus der Elektromedizin, aber die Grundsätze sind immer die gleichen: Redundanz, bei abschaltbaren Systemen 2fach und Stop bei einem Unterschied, bei nicht abschaltbaren Systemen 3fach mit Mehrheitsentscheid.

Selbstredend müssen die Komponenten sicher sein, aber dazu kommt, dass 2 gleiche Systeme nicht wirklich redundant sind, weil sie ja mit einiger Wahrscheinlichkeit den gleichen Fehler enthalten - daher müssen die 3 Systeme auf verschiedenen Prozessoren mit unterschiedlicher Software aufgebaut werden. Also u.a. auch verschiedenes BS und verschiedene Compiler.

Es ist schon möglich, dass auch Windows-PCs eingesetzt werden, aber eben nicht an sicherheitsrelevanter Stelle, sondern etwa zur Visualisierung; aber von Werten, die auch anderweitig abgelesen werden können - fehlt die Übersichtsdarstellung, muss man auf die einzelnen Anzeigen in der Warte zurückgreifen.

Gruss Reinhard

Peter_TOO · 9. November 2019 um 19:43

Hallo Tilo,

wegen der Geschichte mit dem Raid5-System unten in CO2 vom
Herbert, ist bei mir eine Frage aufgetaucht:

Es gab aber auch andere Fälle.
So vor 20 Jahren ist auch ein solcher Problem mit der Klimaanlage irgendwo aufgetreten. Allerdings hat in diesem Fall, der IBM Grossrechner selber Alarm geschlagen und, per Modem, versucht Verbindung zu einem Techniker zu bekommen. Scheinbar hatte damals IBM eine Telefonliste fast aller ihrer Servicezentren im Rechner abgelegt. Irgendwo auf der Welt hat dann der Rechner einen Techniker erreicht, welcher dann den Hausmeister aus dem Bett geklingelt hat.

Die RAID5-Geschichte finde ich allerdings etwas seltsam ?!
Normalerweise gehört zu einer solchen Anlage auch mindestens eine Brandschutzanlage dazu, zumindest Feuermelder. Bei so viel Elektronik kann immer einmal etwas ab-rauchen. Meist hat man auch noch eine Alarmanlage für den Gebäudeschutz, also gegen Einbruch.
Normalerweise wird dann die Störungsmeldung der kritischen Klimaanlage auch auf die Alarmanlage aufgeschaltet.
Zudem installiert man in einem RZ nicht nur einfache Rauchmelder, sondern eben solche die auf Temperaturanstiege ansprechen, das wäre dann schon die zweite Sicherung bei einem Ausfall der Klimaanlage, welche ansprechen müsste.
Das ist alles schon seit Jahrzehnten Stand der Technik.
Da hat wohl jemand am falschen Ende gespart … wenn die Geschichte stimmt !!

Das mit den Backupbändern kenne ich von Früher. Da gab es Kunden, welche zwar Backups gemacht haben, aber kein Verify. Die merkten dann gar nicht, dass das Laufwerk monatelang gar nichts aufs Band geschrieben hat…

Was für Betriebssystemsoftware wird eigentlich in
Atomkraftwerken von sicherheitsrelevanten Computern verwendet?
Geht das überhaupt über Computer? Vermutlich werden doch in
AKW’s sicherheitsrelevante Einrichtungen rein
Hardwaregesteuert? Sind da überhaupt Halbleiterbauteile
eingesetzt? An wirklich sicherheitsrelevanten Einrichtungen
vermutlich eher nicht oder nur vielfach redundant und physisch
getrennt.

Bei der Bahn (SBB), war es so, dass der Computer nur die oberste Bedienungsschicht war.
Auf der untersten Schicht wurden Hauptsächlich Relais verwendet. Später gab es dann spezielle Bausteine, mit Halbleitern, von Siemens … ich komm grad nicht auf den Namen dieser Baugruppen … welche entsprechend auf Zuverlässigkeit und Failsafe ausgelegt waren.
Bedient wurde dann das ganze über die Blockstellpulte. Dabei wurde ein Knopf für das EinfahreGleis und einer für das Ziel- oder Ausfahrtsgleis gedrückt. Die Weichenstellung wurde dann von der Steuerung übernommen, welche die Weichen, auch die für den Flankenschutz und die Signale stellte.
Für Störungsfälle gab es einen verplombten Schalter. Wurde dieser betätigt, folgte ein ziemlicher Papierkrieg, aber man konnte dann am Pult jede Weiche und jedes Signal einzeln betätigen.
Bei der Einführung der Computer in den Stellwerken, wurde der Computer dann nur mit den ganzen Tastern am Blockstellpult verbunden.
Wenn also der Computer ausfiel konnte man halt wie früher am Blockstellpult weiter machen. Dazu gab es noch einen Schalter um den Computer vom Pult zu trennen.

Banken verwenden auch keine Raid-Systeme (das sind für deren
Rechenzentren eher Spielzeug-PC’s), sondern i.d.R.
IBM-mainframes mit z/OS, zig-tausen Festplatten, Millionen
Magnetbandkassetten in Bandrobotern. Alle Daten zusätzlich
gesichert und das ganze dann nochmals gespiegelt.

RAID5 ist ja kein System welches die Datensicherung ersetzten kann.
RAID5 dient nur dazu, dass bei einem Ausfall eines Laufwerks, der Server weiterarbeiten kann, allerdings nimmt die Datenrate dann etwas ab. Oft sind dann RAID5-Systeme auch noch hotplugfähig, man kann also ein defektes Laufwerk austauschen ohne den Computer herunterfahren zu müssen.

Spiegelsysteme sind dabei nicht im gleichen Gebäude meist
nicht mal im gleichen Ort.

z.B. bei einem richtigen Brand, ist es im selben Gebäude auch nicht sinnvoll !

Das System mit drei Rechnern, mit unterschiedlichen CPUs von Unterschiedlichen Herstellern und unterschiedlicher Software, wird auch beim Fly by Wire angewandt.
Zudem wird die ganze Software auch von drei unterschiedlichen Teams entwickelt.

Konstruktive Rechenfehler bei CPUs gab es ja schon, z.B. der temperaturabhängige Multiplikationsfehler bei den ersten 80386. Also verwendet man 3, voneinander unabhängig entwickelte CPUs von unterschiedlichen Herstellern.
Bei der Softwareentwicklung gibt es auch noch Ideen, wie ein Problem analysiert und angegangen wird, welche sich in einem Team durchsetzen, aber einen Denkfehler enthalten können.

MfG Peter(TOO)