Reliability of decision-support systems for nuclear emergency management

Abstract

Decision support systems for nuclear emergency management (DSNE) are currently used worldwide to assist decision makers in taking emergency response countermeasures in case of accidental releases of radioactive materials from nuclear facilities. The present work has been motivated by the fact that, up until now, DSNE systems have not been regarded as safetycritical software systems, such as embedded software currently being used in vehicles and aircraft. The core of any DSNE system is represented by the different simulation codes linked together to form the dispersion simulation workflow. These codes require input emission and meteorological data to produce forecasts of the atmospheric dispersion of radioactive pollutants and other substances. However, the reliability of the system not only depends on the trustworthiness of the measured (or generated) input data but also on the reliability of the simulation codes used. The main goal of this work is to improve the reliability of DSNE systems by adapting current state of the art methods from the domain of software reliability engineering to the case of atmospheric dispersion simulation codes.

The current approach is based on the design by diversity principle for improving the reliability of codes and the trustworthiness of results as well as on a flexible fault-tolerant workflow scheduling algorithm for ensuring the maximum availability of the system. The author‘s contribution is represented by (i) an acceptance test for dispersion simulation results, (ii) an adjudication algorithm (voter) based on comparing taxonomies of dispersion simulation results, and (iii) a feedback-control based fault-tolerant workflow scheduling algorithm. These tools provide means for the continuous verification of dispersion simulation codes while tolerating timing faults caused by disturbances in the underlying computational environment and will thus help increase the reliability and trustworthiness of DSNE systems in missioncritical operation contexts.

The effectiveness of the acceptance test and the voter has been assessed by applying them to the results of two test versions of the RODOS DSNE system used in several European countries. The workflow scheduling algorithm has been integrated into the new generation of the ABR-KFÜ DSNE system operated by the Ministry of Environment of the State of Baden-Württemberg.

Entscheidungshilfesysteme für den kerntechnischen Notfallschutz werden derzeit weltweit zum Zweck der Unterstützung der Entscheidungsträger bei Notfallmaßnahmen im Falle einer Freisetzung radioaktiver Schadstoffe aus nuklearen Anlagen eingesetzt. Die Motivation für die vorliegende Arbeit bestand darin, dass diese Entscheidungshilfesysteme, im Vergleich zu der bei Kraftfahr- und Flugzeugen eingesetzten Software, bisher noch nicht als sicherheitskritisch betrachtet wurden. Der Kern eines Entscheidungshilfesystems für den kerntechnischen Notfallschutz besteht aus mehreren, gekoppelten Simulationsprogrammen (Modulen), die zusammen den Arbeitsablauf einer Ausbreitungsrechnungbilden. Diese Simulationsprogramme verwenden sowohl Emissionsdaten als auch meteorologische Daten für die Vorhersage der Ausbreitung radioaktiver Schadstoffe in der Atmosphere. Die Zuverlässigkeit dieser Systeme hängt dabei aber nicht nur von der Vertrauenswürdigkeit der Eingangsdaten, sondern auch von der Zuverlässigkeit der eingesetzten Simulationsprogramme ab. Die vorliegende Arbeit setzte sich somit das Ziel, die Zuverlässigkeit der Entscheidungshilfesysteme für den kerntechnischen Notfallschutz zu verbessern. Hierzu wurdenmoderne Methoden aus dem Bereich der Softwaretechnik herangezogen und für dieSimulation der atmosphärischen Ausbreitung radioaktiver Schadstoffe angepasst und optimiert.

Der verfolgte Ansatz basiert auf dem Entwurfsprinzip der konzeptionellen Vielfalt (engl. design by diversity) zum Zweck der Verbesserung der Zuverlässigkeit von Simulationsprogrammen und der Glaubwürdigkeit derer Ergebnisse, sowie auf einem flexiblen fehlertolerenten Algorithmus für die Ausfürungsplanung der Simulationsabläufe zur Maximierung der Verfügbarkeit des Systems. Der Beitrag des Autors besteht aus (i) einem Akzeptanztest im Rahmen der Ergebnisse der Ausbreitungsrechnung, (ii), einem auf Ergebnistaxonomien basierenden Entscheidungsalgorithmus und (iii) einem aus der Regelungstechnik abgeleiteten fehlertoleranten Algorithmus zur Planung der Ausführung von Simulationsabläufen. Diese Werkzeuge ermöglichen die kontinuierliche Verifikation der Simulationsprogramme in einer fehlertoleranten Rechenumgebung und somit die Verbesserung der Zuverlässigkeit und Glaubwürdigkeit der Enscheidungshilfesysteme für den kerntechnischen Notfallschutz in verschiedenen missionskritischen Anwendungskontexten. Die Effektivität des Akzeptanztestes und des Entscheidungsalgorithmuses wurden durch deren Anwendung auf die Ergebnisse zweier Testversionen des europaweit eingesetzten Enscheidungshilfesystems RODOS erfolgreich getestet. Weiter wurde der Algorithmus für die Ausführungsplanung von Simulationsabläufen in die neue Generation des vom Landesumweltministerium Baden-Württemberg betriebenen Entscheidungshilfesystems ABR-KFÜ integriert.