ERAM-Sicherheitsanalyse: Programmierfehler nicht systematisch ausgewertet

Verweigerte Versionshistorie

Die Langzeitsicherheit des Endlagers Morsleben wurde nach Aussagen des BfS nachgewiesen. Grundlage sind Modellrechnungen mit den zwei unterschiedlichen Computerprogrammen EMOS und PROSA. Während des Erörterungstermins wurden von den Einwendern gefordert, die Entwicklung dieser Berechnungen – auch Versionshistorie genannt – offenzulegen (siehe Wortprotokoll S. 3-23 bis 3-31).

Fehlerkultur

Sinn war es festzustellen, wie mit Fehlern bei der Entwicklung der Berechnungen umgegangen wurde. Denn Fehler werden bei solch komplexen Systemen immer gemacht. Und gerechnet wird zumindest mit EMOS am Endlager Morsleben schon seit 1993 (siehe hier, S. 6). Seitens des BfS wurde das abgelehnt.

Akteneinsicht brachte Programmierfehler zutage

Bei einer Akteneinsicht nach dem Erörterungstermin musste festgestellt werden, dass im Rechenprogramm EMOS ein Fehler aufgetreten war und korrigiert werden musste (SE-BERICHT, Stand 05.07.2006). Dies war Anlass zu einer weiteren Akteneinsicht. Das vorläufige Ergebnis ist schockierend.

Die GRS teilte in einem Schreiben vom 23.05.2006 mit:

….In der letzten Woche haben wir in Verbindung mit einem vertieften Vergleich unserer Ergebnisse mit denen der Fa. Colenco einen Programmierfehler in einem EMOS-Modul festgestellt. Dieser führt dazu, dass für die Fernfeld-Modellparameter nicht wie vorgesehen jeweils der gezogene Stichprobenwert sondern stets der Referenzwert verwendet wurde….

Schockierende Erkenntnisse

Schockierend daran sind folgende Punkte:

  • Nicht das BfS, das die Modellrechnung angenommen hat und zu prüfen hatte, entdeckte diesen Fehler. Schließlich lagen dem BfS auch die PROSA-Rechnungen der Fa. Colenco vor. Idealerweise sollten die beiden Methoden EMOS und PROSA sogar unabhängig durchgeführt werden und allein vom BfS verglichen werden. Die GRS hätte von den PROSA-Rechnungen und Colenco die Ergebnisse der EMOS-Rechnungen nicht erfahren sollen. Dieser einfache methodische Ansatz wurde seitens des BfS als Auftraggeber offensichtlich nicht verfolgt. Deshalb ist es auch kein Wunder, dass schließlich beide Methoden zu vergleichbaren Ergebnissen führten.
  • Der GRS ist offensichtlich ein Flüchtigkeitsfehler im Modul CHETLIN unterlaufen. Warum wurde dieser so spät entdeckt? Schließlich wurden schon 2.000 probabilistische Rechenläufe durchgeführt. Bei der Programmierung qualitativ hochwertiger Software kann so ein primitiver Flüchtigkeitsfehler – Fehlzuweisung von Parametern – nicht unentdeckt bleiben. Stand der Technik ist es, sicherheitsrelevante Software  vor dem Einsatz nach verschiedensten Methoden auf Herz und Nieren analytisch zu prüfen und mit kontrollierten Parameterfeldern zu testen. Dies ist offensichtlich nicht geschehen.

Transparenz wird vom BfS nicht gewünscht

Die Story geht weiter. Zur ursprünglichen EMOS-Studie (a_Bericht GRS-A-3185, Stand 09.06.2004, P-190, 440 Seiten.pdf) wurde eine Revision 1 (c_GRS_2006-07-26-grs-a-3185-rev1_Kopie.pdf) erstellt, und diese nochmals verändert (p_BfS_20070115_Anhang-2_Kopie.pdf), ohne die Revisionsnummer anzupassen. Interessant ist die Nachfrage der GRS, ob

ein kurzes Vorwort zur Begründung der Revision in den Bericht selbst eingefügt werden soll?

Dies wird vom BfS mit  Email vom 27.07.2006 nicht für notwendig erachtet. So viel Transparenz wird wohl nicht für notwendig erachtet. Es bleibt bei der lakonischen Feststellung im Revisionsblatt.

Text auf Basis der neuen Probabilistik-Ergebnisse komplett überarbeitet. Alle Abbildungen in diesem Bereich ersetzt

Keine Überprüfung des Qualitätssicherungssystems nach Fehlerfund

Der gefundene Fehler sollte eigentlich Anlass sein, das gesamte Qualitätssicherungssystem der GRS und des BfS daraufhin zu untersuchen, warum dieser nicht bei der systematischen Qualitätssicherung, sondern zufällig entdeckt wurde. Die Qualitätssicherung des BfS hat das aber nicht im Sinn. Sie lässt zwar weitere 11 Punkte korrigieren. Diese drehen sich aber nur um Formulierungsfragen und Literaturzitate.

Vier unterschiedlichen Versionen und trotzdem Rev. 00?

Schließlich ist noch die Fassung  von 2009 – gekennzeichnet als Revision 00 – bekannt. Der erste Absatz des Kapitels 10.3 Allgemeine Ergebnisse der Monte-Carlo-Simulation lautet in den unterschiedlichen Versionen wie folgt, die jeweiligen Änderungen zur vorhergehenden Version sind farblich gekennzeichnet:

Stand 09.06.2004 (a_Bericht GRS-A-3185, Stand 09.06.2004, P-190, 440 Seiten.pdf)

Alle 2000 Monte-Carlo-Simulationen führen zu einer Radionuklidfreisetzung aus der Grube und damit zu einer Strahlenexposition in der Biosphäre. Die maximalen Strahlenexpositionen liegen im Bereich zwischen 3,2·10-9 Sv/a und 7,1·10-5 Sv/a und damit deutlich unterhalb des Schutzziels. Im Folgenden werden Einzelheiten der Simulationen mit den höchsten Strahlenexpositionen erläutert.

Stand 26.07.2006, Revision 1 (c_GRS_2006-07-26-grs-a-3185-rev1_Kopie.pdf)

Alle 2000 Monte-Carlo-Simulationen führen zu einer Radionuklidfreisetzung aus der Grube und damit zu einer Strahlenexposition in der Biosphäre. Die maximalen Strahlenexpositionen liegen im Bereich zwischen 1,7·10-9 Sv/a und 1,1·10-3 Sv/a.  Zwei Simulationen führen zur Überschreitung des Schutzziels von 3,0·10-4 Sv/a überschritten. Im Folgenden werden Einzelheiten der Simulationen mit den höchsten Strahlenexpositionen erläutert.

Stand 01.08.2006, Revision 1 (p_BfS_20070115_Anhang-2_Kopie.pdf)

Bei allen 2000 Monte-Carlo-Simulationen ergibt sich eine  Radionuklidfreisetzung aus der Grube und damit eine Strahlenexposition in der Biosphäre. Die maximalen Strahlenexpositionen liegen im Bereich zwischen 1,7·10-9 Sv/a und 1,1·10-3 Sv/a.  Zwei Simulationen führen zur Überschreitung des Schutzziels von 3,0·10-4 Sv/a überschritten. Im Folgenden werden Einzelheiten der Simulationen mit den höchsten Strahlenexpositionen erläutert.

Stand 2009, Revision 00

Bei allen 2000 Monte-Carlo-Simulationen ergibt sich eine  Radionuklidfreisetzung aus dem Grubengebäude und damit eine Strahlenexposition in der Biosphäre. Die maximalen Strahlenexpositionen liegen im Bereich zwischen 2,3·10-9 Sv/a und 2,1·10-5 Sv/a.  In allen Simulationen wird das Schutzziel von 3,0·10-4 Sv/a eingehalten. Im Folgenden werden Einzelheiten der Simulationen mit den höchsten Strahlenexpositionen erläutert.

Die Zusammenstellung zeigt, dass sich zwischen 01.08.2006 und 2009 nochmals massive Änderungen ergeben haben.

Fehlerkorrektur oder Manipulation?

Wurde hier ein weiterer Fehler korrigiert oder wurden die probabilistischen Rechnungen soweit fortgesetzt, bis 2.000 Rechnungen keine Schutzzielüberschreitungen zeigten? Ersteres wäre wegen der mangelnden Qualitätskontrolle nicht verwunderlich, Letzteres wäre eine betrügerische Manipulation. Dieses zu klären, wird das Ziel einer weiteren Akteneinsicht sein.

Nach dem bisher Bekannten: Lüge des BfS ist offensichtlich

Doch eine Lüge des BfS, wie sie in der PR leider üblich ist, zeichnet sich schon klar und deutlich ab. Die Studie mit der Bezeichnung Revision 00 hat zwei gravierende Änderungen hinter sich, ist also ehrlicherweise mindestens als Revision 2 zu bezeichnen.

Transparenz: Fehlanzeige

Und wenn man die vom BfS oft propagierte Transparenz auch nur ansatzweise umsetzen wollte, müsste in einem kurzen Vorwort – wie von der GRS vorgeschlagen – geschildert werden, auf welche Schwierigkeiten die zwei wesentliche Korrekturen zurückzuführen sind.

Anmerkung:
Alle Unterlagen, die vom BfS im Zuge der Akteneinsicht gegen eine Gebühr von 61,50 EUR zur Verfügung gestellt wurden, haben ein Datenvolumen von 113 MB und können im WordPress-System nicht untergebracht werden. Auf Anfrage (siehe Impressum) können aber alle oder die in diesem Artikel genannten Dateien zur Verfügung gestellt werden. Eine Liste  der Unterlagen steht im Akteneinsichtsbescheid unter Punkt 1 a bis r.

2 Gedanken zu „ERAM-Sicherheitsanalyse: Programmierfehler nicht systematisch ausgewertet

  1. Die Herausgabe der Informationen zum Fehler im Computerprogramm EMOS wird in einem Artikel zu Frag den Staat auf ZEIT ONLINE mit folgenden Worten als Erfolg dargestellt:

    Aber es gibt auch positive Beispiele: Auf die Anfrage zum Atommüllendlager Morsleben antwortete das Bundesamt für Strahlenschutz zwar mit einmonatiger Verspätung. Dafür legte es immerhin alle Details der fehlerhaften Berechnungen offen.

    Das ist recht fragwürdig. Denn es war die Aufgabe des BfS als Antragsteller im Planfeststellungsverfahren, auf Fragen der EinwenderInnen beim Erörterungstermin konkrete Antworten zu geben. Dies ist aber nicht geschehen. Erst durch eine nachfolgende Akteneinsicht und eine weitere Anfrage über Frag den Staat wurden die Unterlagen zur Verfügung gestellt, und auch nur gegen eine Gebühr von gut 60 EUR.

    Da erscheint der oft proklamierte Anspruch des BfS auf Transparenz und Offenheit eher als verlogene PR-Strategie.

  2. Grenzen der Transparenz
    Während der Erarbeitung der Sicherheitsargumentationen mit zwei Methoden wäre es methodisch notwendig gewesen, Arbeitsansätze und -ergebnisse geheim zu halten. Denn nur so können unabhängige Ergebnisse erzieht werden. In einer Blindstudie ist es ja auch nicht angesagt mitzuteilen, wer das Medikament und wer das Placebo erhält. Methodisch sind also hier der Transparenz Grenzen gesetzt.

    Nach Abschluss der Arbeiten müssen aber alle Zwischenschritte und nicht nur die Endergebnisse zugänglich gemacht werden. Es ist nicht akzeptabel, dass das BfS dies beim Erörterungstermin verweigert hat, vorher aber einen Austausch zwischen den ErstellerInnen der EMOS- und der PROSA-Studie zugelassen hatte.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert