TILLSYNSRAPPORT 2011-05-25 Process: Granska i tillsyn Vår referens: Tillståndshavare: OKG Aktiebolag Objekt: OKG AB Förrättningsdatum: 2010-09-(15-17) Filnamn: 508202 27.0 Arbetsgrupp: Jan Gällsjö KD, Lars Gunsell KS, Fritz Maier KS, Steve Selmer KM, Kostas Xanthopoulos KR, Niklas Larsson KD Författare: Jan Gällsjö KD, Lars Gunsell KS, Fritz Maier KS, Steve Selmer KM Samråd: Anne Edland ckm, Jan Hanberg cks Fastställd: Leif Karlsson ckd Inspektion av OKG kravhantering, PLEX 1. Sammanfattning Inspektionen har haft som syftet att följa OKG:s hantering av konstruktionskrav med avseende på strålsäkerhet i samband med anläggningsändringar från tidig identifiering och nedbrytning till verifierbara krav på konstruktionen fram till verifiering och validering inkluderande provdrift samt hur kraven sedan presenteras i säkerhetsredovisningen (SAR). Sammanfattningsvis så har SSM sedan tidigare inspektion 2008 noterat en betydande förbättring av OKG:s kravhantering. I avsnitt 8 ges en samlad bedömning av kravuppfyllelsen som kort kan sammanfattas med följande: - Säkerhetsgranskning och anmälan av väsentliga styrande beslut avseende implementering av säkerhetskrav bedöms brista och här noteras behov av justeringar i ledningssystem och förtydligande av säkerhetsgranskningens roll i organisationen. - Vad gäller kravredovisningen i säkerhetsredovisningen så har förbättringar gjorts men det kvarstår fortfarande åtgärder innan SSM bedömer att kraven på en säkerhetsredovisning enligt SSMFS 2008:1 är uppfyllda. - Projektrutiner är i allmänhet bra men förbättringsmöjligheter har noterats avseende konfigurationsledning och samfunktionsanalys. - Vad gäller rutiner för skydd mot obehörig åtkomst och dataintrång noterar vi behov av förstärkt styrning av tolkning och implementering av dessa krav. Strålsäkerhetsmyndigheten Swedish Radiation Safety Authority SE-171 16 Stockholm Tel:+46 8 799 40 00 E-post: registrator@ssm.se Solna strandväg 96 Fax:+46 8 799 40 10 Webb: stralsakerhetsmyndigheten
Sida 2 (43) Delar av identifierade observationer kommer att följas upp separat medan andra kommer att ingå i SSM:s kommande granskningen av säkerhetsredovisningarna avseende PLEX projektets ändringar. Rapporten läses med fördel genom att börja med avsnitt 1 till 6 och därefter avsnitt 8 och slutligen det mer detaljerade avsnittet 7.
Sida 3 (43) Innehållsförteckning 1. Sammanfattning... 1 2. Bakgrund... 4 3. Syfte... 4 4. Metod inklusive avgränsningar... 4 5. Krav... 4 6. Projektbeskrivning... 5 7. Observationer och bedömningar... 6 7.1. Kravidentifiering... 6 7.2. Tolkning och kravnedbrytning... 7 7.2.1. Teknikstyrande beslut... 7 7.2.2. Leverantörer... 8 7.2.3. Projekt PLEX... 8 7.2.4. Områdesvisa stickprov... 9 7.3. Granskning av kravtolkning... 20 7.4. Verifiering & Validering (V&V)... 23 7.4.1. Allmänt... 23 7.4.2. Kontrollsystem (I&C)... 24 7.4.3. Larmhantering... 25 7.5. Konfigurationsledning... 27 7.5.1. Allmänt... 27 7.5.2. Konfigurationsledning som del av ett ledningssystem... 27 7.5.3. Projekt Plex... 28 7.6. Linjeorganisationens roll... 30 7.7. Säkerhetsredovisningen (SAR)... 31 8. Samlad bedömning av kravuppfyllelsen... 35 8.1. Ledningssystem... 35 8.1.1. Säkerhetsstaben roll i relation till Linjens... 35 8.1.2. Konfigurationsledning (CM)... 36 8.2. Säkerhetsredovisning... 36 8.3. Säkerhetsgranskning... 38 8.4. Krav på skydd mot obehörig åtkomst och dataintrång... 39 8.5. Samfunktionsanalys... 40 9. Referenser... 41
Sida 4 (43) 2. Bakgrund Vid granskning och inspektion av projekt PULS identifierades förbättringsbehov i OKG:s kravhantering vid större projekt/anläggnings-ändringar. OKG förelades då att förbättra styrningen av kravhantering; inkluderande identifiering, nerbrytning (på funktions-, system- eller komponentnivå), tolkning samt verifiering och validering. OKG har vidtagit justeringar i rutiner för kravhantering som en följd av detta föreläggande [50]. 3. Syfte Syftet har varit att kontrollera kravuppfyllnad inom OKG:s hantering av konstruktionskrav med avseende på strålsäkerhet i samband med anläggningsändringar från tidig identifiering och nedbrytning till verifierbara krav på konstruktionen fram till verifiering och validering inkluderande provdrift samt hur kraven sedan presenteras i säkerhetsredovisningen (SAR). 4. Metod inklusive avgränsningar Inspektionen har omfattat dokumentinläsning med avseende på rutiner och styrande dokument samt intervjuer av personal som arbetar med kravhantering relaterat till projektet PLEX. 5. Krav SSMFS 2008:1 Säkerhet i kärntekniska anläggningar. Huvudsakligen kapitel 2, 3 och 4. Specifika krav att nämna är: 2 kap 8 här anges bl.a. att verksamheten ska styras med stöd av ett ledningssystem så utformat att säkerheten tillgodoses. 3 kap 1 generella konstruktionskrav med referens till SSMFS 2008:17. 3 kap 4 anläggningen ska vara konstruerade efter krav som är anpassade till deras funktion och betydelse för anläggningens säkerhet. 4 kap 2 krav på säkerhetsredovisningen, specificerade i bilaga 2 angående konstruktionsregler. 4 kap 5 allmänna råd specificerar ändringar av konstruktions- eller funktionskrav samt en tidig första anmälan av bl.a. förutsättningar för ändringen. SSMFS 2008:17 Konstruktion och utförande av kärnkraftsreaktorer.
Sida 5 (43) Föreskriften anger krav, som bland andra, ska vara hanterade vid en konstruktions-/anläggningsändring. SSMFS 2008:12 Fysiskt skydd av kärntekniska anläggningar. 11 - Datoriserade system av betydelse för anläggningens säkerhet inklusive det fysiska skyddet ska vara skyddade mot obehörig åtkomst och dataintrång. SSMFS 2008:13 Mekaniska anordningar i vissa kärntekniska anläggningar. 6. Projektbeskrivning Projekt PLEX utgörs (vid inspektionstillfället) av en samling åtgärder i form av ändringsärenden som har fyra huvudsyften [14, 15]: Säkerhetshöjande (28 ärenden) Tillgänglighetshöjande (12 ärenden) Effekthöjande (8 ärenden) Miljöförbättrande (3 ärenden) Varje delärende beskrivs med kravbild etc. i det OKG kallar projektrapport. Ärendena hanteras via OKG ärendehanteringssystem Projektet har delats in i sju olika delprojekt: Process El/I&C Bygg/Brand Turbin Support Säkerhet Teknik/Implementering Projektet är uppdelat i tre deletapper Etapp 1 2005-2007 Etapp 2 2008-2009 Etapp 3 2010-2012 Tidsmässigt överlappar arbetet i de olika deletapperna varandra. För etapp 3 har OKG till SSM informerat om förseningar. Efter inspektionen har det informerats om att implementering av etapp 3 blir först 2013 och inte 2011 som tidigare gällt. Vid inspektionstillfället befann sig projekt Plex i en fas där både konstruktionsarbetet och arbetet med PSAR pågick. Varför flertalet dokument och underlag för projektet fortfarande var under framtagning.
Sida 6 (43) 7. Observationer och bedömningar 7.1. Kravidentifiering Observation: Kravhanteringen för PLEX projektet har startat november 2004 inom förstudien för effekthöjning av O2 inkluderande omhändertagande av krav från dåvarande SKIFS 2004:2, Öppna frågor från projektet BOKA, konsekvensutredningen avseende SKIFS 2004:2 samt uppdragsbeskrivning för projektet PLEX vilket lett fram till en Förstudierapport och senare en Tidig anmälan till dåvarande SKI [1]. I kontrakt med leverantörer ingår kraven från Förstudierapporten som av leverantören tolkas och bryts ner till verifierbara krav. I enlighet med OKG projektmodell tas projektrapporter fram för varje anläggningsärende [15]. Projektrapporterna är kravställande och styrande för ärendens fortsatta hantering med konstruktion, tillverkning, installation och driftsättning. Händelsen i Forsmark 1 den 25 juli 2006 resulterade i en kompletterande kravbild. Dåvarande SKI uppmanade OKG i ett föreläggande (SKI 2006/779), att Göra en genomgång av gällande säkerhetsredovisning (SAR) för reaktorerna O1, O2 och O3 och värdera i vilken mån som SAR innehåller föreskrivna uppgifter om konstruktionskrav vad det gäller nätstörningar. OKG informerade under inspektionen att man gjort ett flertal analyser för de olika blocken och att tillkommande krav på elutrustning på grund av Forsmarkhändelsen successivt har arbetats in i kravbilden för Plex. Bedömning: Se avsnitt Tolkning och kravnedbrytning/områdesvisa stickprov/elsystem respektive avsnitt Granskning av kravtolkning.
Sida 7 (43) 7.2. Tolkning och kravnedbrytning 7.2.1. Teknikstyrande beslut Observation: En betydande del av projektet PLEX avser modernisering utifrån SSMFS 2008:17 (SKIFS 2004:2). OKG har för dessa krav tagit fram ett så kallat teknikstyrande beslut [5] där OKG:s tolkning och tillämpning av föreskriften gjorts avseende vad som ska ligga till grund för de åtgärder som ska genomföras för att uppfylla kraven. Tidig anmälan inkom till dåvarande SKI den 19 juni 2007 [1] avseende Plex projektet. Den 28 juni 2007 [2] begär dåvarande SKI att PSG och FSG ska vara SKI tillhanda senast den 13 juli 2007. OKG svarar den 10 juli 2007 [3] att anmälan bl.a. ej utgör en anmälan om att göra ingrepp i anläggningen, ej utgör underlag för PSAR och är således inte på så sätt styrande. OKG hade således inte för avsikt att genomföra en fristående säkerhetsgranskning av den tidiga anmälan. Den 19 juli 2007 förelägger SKI [4] OKG att utföra fristående säkerhetsgranskning av Tidig anmälan senast den 15 september 2007. Den 13 september 2007 inkommer OKG med en fristående säkerhetsgranskning (FSG) av den Tidiga anmälan [6]. I gransknings-meddelandet anger OKG inget ställningstagande från FSG avseende referens 28 i den tidiga anmälan som avser Teknikstyrande beslut [5] avseende tolkning och tillämpning av SKIFS 2004:2 (SSMFS 2008:17). Den 19 november 2007 begär SKI handläggare in ett antal referenser och bl.a. referens 28 [5], OKG inkom den 1 november 2007 med begärd komplettering [7]. Den 23 februari 2010 avslutar SSM ärendet [8] avseende den tidiga anmälan [1] p.g.a. nedprioritering inom SSM till favör för O3 PULS projekt och att den tidiga anmälan redovisas på en alltför övergripande nivå så det var inte möjligt att bedöma uppfyllandet av SSMFS 2008:17 (SKIFS 2004:2). Den 24 maj 2010 inkommer OKG med en komplettering till den tidiga anmälan avseende förberedande åtgärder som inte har någon koppling till frågan om tolkning av SSMFS 2008:17. I den presentation inspektionen fått avseende det teknikstyrande beslutet är att det är kravmässigt på samma nivå som säkerhetsredovisningen (A1 kap 2). Befintlig SAR och det teknikstyrande beslutet [5] är båda underlag för PSAR. OKG anför att det teknikstyrande beslutet ingått som underlag till FSG av kapitel 2 i PULS-projektet och att det kommer att ingå som underlag till FSG av kapitel 2 för PLEX-projektet. Bedömning: Se avsnitt 7.3.
Sida 8 (43) 7.2.2. Leverantörer Observation: Kontraktet för PLEX tillsammans med befintlig SAR Allmän del kap 2 och det teknikstyrande beslutet är underlag för leverantörers tolkning och kravnedbrytning. Denna information är sedan underlag till konstruktionsutvecklingsrapporterna/technical Reports (Safety Concept Design Conceptual Design Phase Basic Design Phase Detail Design Phase) som leverantörerna tillställer OKG för granskning. I dessa Technical Reports framgår leverantörens tolkning och kravnedbrytning till systemnivå och verifierbara krav beroende på fas i konstruktionsutvecklingen. I projektets projektledningsplan [14] anges att inom respektive ärende fastställs till vilken nivå respektive krav ska brytas ner och i vilken omfattning kraven ska verifieras och valideras. Denna nedbrytning genomförs av och framgår av leverantörers kravspecifikationer, konstruktionsdokument samt projektets projektrapporter. Se vidare i avsnitt 7.4 nedan. Bedömning: OKG bedöms ha tillräcklig kontroll på leverantörers tolkningar och kravnedbrytning i den granskning som sker löpande av projektet och linjeorganisationen. 7.2.3. Projekt PLEX Observation: Utifrån SAR, Teknikstyrande beslut, PSAR och leverantörens rapporter producerar projektet en projektrapport per ärende [41], även inkluderande en kravmatris. Projektrapporten inklusive kravmatrisen är en del av det underlag som senare används som underlag för framtagning av SAR Allmän del och Systembeskrivningar. Projektrapporter genomgår sakoch kvalitetsgranskning och därefter säkerhetsgranskning (PSG/FSG) i OKG linjeorganisation. Kravmatrisen är sen underlag för den V&V som projektet genomför, se vidare avsnitt 7.4 nedan. Bedömning: Projektets förfarande med framtagning av projektrapporter inklusive kravmatriser bedöms tillräcklig för att senare kunna producera säkerhetsredovisningen och dess underlag.
Sida 9 (43) 7.2.4. Områdesvisa stickprov Som stickprov på hur tolkning och kravnedbrytning fungerar har tre olika system/funktioner studerats; resteffektkylkedja, elsystem och säkerhetsrelaterad I&C utrustning, funktion för larmhantering i CKR. Processystem (resteffektkylkedja) Här har främst kravhantering för diversifierad kylkedja för avställd reaktor och bränslebassänger (321/324-728-718) [32, Status: Under arbete] och ombyggnad befintlig kylkedja (322-721-712) [33, Status: Under granskning] och dess tillhörande kravmatriser studerats. Följande dokument har studerats med i första hand 10 SSMFS 2008:17 och kylkedjan som stickprov: SAR Allmän del A1 Oskarshamn 2 Säkerhetsrapport Kapitel 2 Avsnitt 2.3.3 SSM-krav (2009-06213 utg. 2.0) Observation: Föreskriften SSMFS 2008:17 finns omnämnd som gällande för anläggningen med en hänvisning till A4 SAR referensdel [9] för tolkning och tillämpning. Bedömning: Avsnittet fungerar som en introduktion till SSM:s föreskrifter. I referensen ges en OKG generell tolkning och tillämpning för föreskriftens paragrafer. Här finns ingen information om hur kravet faktiskt tillämpats på funktion- och systemnivå för respektive säkerhetsfunktion eller anläggning. Oskarshamn 2 Säkerhetsrapport Kapitel 5 Beskrivning av anläggningens säkerhetsfunktioner (2009-17577 utg. 1.0) [43, Status: Under arbete] Observation: Säkerhetsfunktionen resteffektkylning beskrivs inklusive diversifierad funktion (värmeteknisk del). Tillämpliga funktionskrav från SSMFS, GDC och Reg. Guides anges med referens till var i kapitel 2 de redovisas. Referenser finns till andra relevanta avsnitt inom kap. 5 och till säkerhetsanalyserna i kap. 6. Avsnittet avslutas med Baserat på informationen enligt ovan konstateras kraven.. vara uppfyllda Bedömning: Avsnittet är relativt fylligt och detaljerat. En inledande, mer övergripande beskrivning, över säkerhetsfunktionen med ett schema vore önskvärt. Avsnittet är något ostrukturerat och kopplingen mellan krav och hur krav är uppfyllda är inte tillräckligt entydig och transparent för att uppfylla kravet på en spårbar kravredovisning. Redovisningen ska tillförsäkra en förståelse för vilka anläggningsdelar och förhållanden som gör att ett krav är uppfyllt, både för detta projekt och i fortvarighet. Kapitlet bör kompletteras med en referens till en tydligare redovisning på hur krav är uppfyllda, liknande bilaga 1 i projektrapporten [32, Status: Under arbete].
Sida 10 (43) Oskarshamn 2 Säkerhetsrapport Kapitel 6 Avsnitt 6.17 Analys av relevanta komplexa sekvenser (2009-11195 utg. 1.0) [44, Status: På remiss] Observation: Avsnittet innehåller en identifiering av inledande händelser som ska redovisas och vilka system som utgör ordinarie resp. diversifierad del av säkerhetsfunktionerna. Beräkningarna som tas upp syftar till att verifiera kapaciteten på den diversifierade delen men innehåller inga systemtekniska CCF-analyser. Bedömning: Avsnittet saknar systemteknisk analys av CCF-händelser, d.v.s. en systematisk analys av samtliga säkerhetssystem på komponentnivå, inklusive elsystem, för att identifiera möjliga CCF-risker. Analysen behövs som underlag för att identifiera rimliga tekniska och administrativa åtgärder för att motverka fel med gemensam orsak vid konstruktion, tillverkning, installation, idrifttagning och underhåll (10 SSMFS 2008:17). I inspektionen har ingått att bedöma hur krav är redovisade men inte hur de är tillämpade eller om de är uppfyllda. Här kan likväl påpekas att flera förutsättningar som OKG valt för CCF-analyserna inte är i överensstämmelse med SSM: s tolkning av föreskrifterna. SAR Systemdel A2 Oskarshamn 2 System 321 Kylsystem för avställd reaktor (2009-08074 utg. 1.0) [28, Status: Färdighanterat] Observation: Avsnittet redovisar systemets säkerhetsuppgifter men i övrigt inga säkerhetskrav annat än delvis referering till några GDCer och 10 SSMFS 2008:17 i avsnitt 2.1.1 Funktionskrav avseende säkerhet. Bedömning: Avsnittet behöver kompletteras med fullständig redovisning av alla säkerhetskrav som riktar sig till och tillämpas på systemet, t.ex. så finns det krav på resteffektkylning även i SSMFS 2008:17 Vidare så behöver avsnittet kompletteras med de säkerhetskrav (ursprungskrav från t.ex. SSMFS, GDC, Reg. G, etc.) som följer av systemets uppgift som diversifiering till den ordinarie resteffektkylningen samt en beskrivning av vilka komponenter som är diversifierade i förhållande till den ordinarie resteffektkylningen. Länk/referens till G0.1 Konstruktionskrav för system 321 [45, Status: Projektgodkänd] saknas?
Sida 11 (43) SAR Referensdel A4 och teknisk dokumentation Oskarshamn 1, 2 och 3 Tolkning och tillämpning av SSMFS 2008:17 (2005-12584 utg. 7.0) [9] Observation: Avsnittet innehåller en redovisning för varje paragraf hur den ska tolkas och tillämpas. Referens ges i texten till 10 till Westinghouse rapport NOG Säk & Miljö. Principer för CCF SEP 02-198, tekniskstyrande beslut. Bedömning: Avsnittet ger inte tillräckligt tydliga tillämpningar på anpassade analysförutsättningar och acceptanskriterier eller vad som är möjligt och rimligt. Det framgår inte heller vad som accepteras som grund för dessa anpassningar och vilka analyser som ska finnas för att göra den bedömningen. När dessa bedömningar är gjorda bör de skrivas in i detta dokument! Det bör observeras att ett allmänt råd generellt sätt inte förtydligar en hel paragraf utan, som i detta fall, delar av den. Det är därför inte tillräckligt att ta fram tillämpningsanvisningar som bara tar upp det allmänna rådet. (Dessutom kan noteras att flera av tillämpningarna inte ligger inom SSM:s tolkning). Oskarshamn 2 Spårbarhet av SSMFS-krav och övriga krav som styr den kärntekniska verksamheten (2010-13809 utg. 1.0) [20, Status: Under arbete] Inkl. referensrapport: Oskarshamn 2 Projekt Plex Referensrapport till SAR Spårbarhetsrapport för uppfyllande av krav (SEI 10-002 utg. 1.0, under granskning) [10, Status: Under granskning] Observation: Avsnittet innehåller bl.a. en redovisning för varje paragraf i SSMFS 2008:17 dess tillämpning och verifiering. Referens ges i texten till bl.a. GDC (som behandlas i samma dokument), till tolknings och tillämpningsdokumentet [9] och till säkerhetsanalyserna i kap. 6. Texten under varje paragraf är anpassad beroende på i vilken utsträckning det är tillräckligt att hänvisa till referenserna. För varje paragraf avslutas texten med Med stöd av ovanstående uppfylls kraven X eller med angivande av brist. Bedömning: Att ta fram ett dokument som kopplar SSM:s krav till GDC m.fl. som till stora delar har utgjort grundkonstruktionens krav är bra. För 10 räknas ett antal tillämpningar upp som svarar mot administrativa åtgärder. Referens saknas till en mer komplett analys av lämpliga administrativa åtgärder och beskrivning var/hur dessa finns dokumenterade och implementerade i ledningssystem, instruktioner etc. På samma sätt som för kap. 5 i Allmän del så saknas redovisning som är tillräckligt entydig och transparent för att uppfylla kravet på en spårbar kravredovisning. Tolknings och till-
Sida 12 (43) lämpningsdokumentet [9] har ingen hänvisning till verifieringen. Detta spårbarhetsdokument bör även kompletteras med en tydligare redovisning på hur krav är uppfyllda. Teknikstyrande beslut Oskarshamn 1 och 2 Teknikstyrande beslut angående tolkning och tilllämpning av SSMFS 2008:17 (205-14549 utg. 7.0) [5] Observation: Se avsnitt 7.2.1 respektive 7.3 Bedömning: Se avsnitt 7.2.1 respektive 7.3 Projekt dokument Oskarshamn 2 Projekt Plex Delprojekt Process projektrapport ärende 115736 Diversifierad kylkedja för avställd reaktor och bränslebassänger, sub C och D System 321/324-728-718 (2009-33179 utg. 1.0) [32, Status: Under arbete] Observation: Dokumentet har ett avsnitt om förutsättningar och krav där avsnitt 5.2 Säkerhetskrav och funktionskrav på anläggningsnivå redovisas. SSM:s krav finns redovisat nedbrutna och redovisade i en matris (bilaga 1 i dokumentet) dock är redovisningen i dokumentet på samma nivå som SAR systemdel A2 detta gäller även avsnittet 5.3 Konstruktionsstyrande funktionskrav på systemnivå. Bedömning: Dokumentet har förutsättningar att utgöra ett underlag för uppdatering av systembeskrivningen. Kravmatrisen i bilaga 1 ses dock inte nu som heltäckande för att visa att föreskrifternas alla krav blir uppfyllda men kan ingå som en referens till systembeskrivningen i den slutliga SARdokumentationen och hållas aktuell. Kravmatriser till projektrapporter Projektrapporterna i sig innehåller inga av SSM:s säkerhetskrav på systemnivå vilket däremot de bilagda kravmatriserna gör. Enligt uppgift i intervjuer framkom att det inte är avsikten att kravmatrisen ska vara en del av systembeskrivningen. Observation: Kravmatriser till t.ex. referens [32, Status: Under arbete] saknar vissa som t.ex. 4 kap 5 SSMFS 2008:13 och ger därmed ingen komplett kravbild. OKG har vid faktagranskning framfört att kravmatrisen är ett sätt för projektet att tydliggöra uppfyllandet av SSMFS 2008:17. Då uppfyllandet av SSMFS 2008:17 är ett av projektmålen använder projektet kravmatriserna för att hålla extra fokus på SSMFS 2008:17. Redovisningen av säkerhetskra-
Sida 13 (43) ven på systemnivå följer slutligen strukturen för OKG:s tekniska dokumentation. Projektrapporten med dess kravmatris är inte en del av OKG:s tekniska dokumentation. Den tekniska dokumentationen beskriver den tekniska utrustningen (byggnader, system, objekt, delobjekt och artiklar) i anläggningen, handhavande som direkt påverkar tekniken samt de tekniska förutsättningar som ligger till grund för anläggningskonstruktion samt verifiering av dessa. Systembeskrivningen och konstruktionskrav (G0.1) är en del av anläggningens tekniska dokumentation och information som skall ingå i dessa två dokument tas bl.a. från projektrapporten med tillhörande kravmatris. Bedömning: Kravmatrisen bedöms inte vara tillräcklig avseende redovisning av hur kraven tagits om hand/uppfyllts då den hänvisar till rapporter som inte blir en del av SAR. Vidare är det oklart om kravuppfyllnad kommer att framgå. Beaktat OKG:s förtydligande av projektrapporten med kravmatrisen så kan inte dessa vara underlag för SSM:s slutliga bedömning av kravuppfyllnad avseende struktur/innehåll i SAR eller uppfyllande av andra SSMFS föreskriftskrav då de ej utgör del av säkerhetsredovisningen. Elsystem Observation: Under inspektionen redovisades på förfrågan, att tillkomna krav på grund av Forsmark 1 händelsen 2006, har inarbetats i ett senare skede än den ursprungliga kravtolkningen och kravnedbrytningen som startade 2004-2005 (se avsnitt 7.1). Analyserna har tagit en hel del tid, varför ny analyserade kravbilder har kommit in i projektet successivt i ett senare skede. Bedömning: SSM har inte funnit något att anmärka på, avseende den allmänna kravhanteringen för elutrustning. När det gäller, eventuellt nya krav, föranledda av Forsmarkhändelsen 2006 har det med utgångspunkt från det begränsade material som studerats, inte fullt ut gått att följa hur nya krav successivt arbetats in enligt OKG information vid inspektionen. Då SSM gör en allmän uppföljning av de förelägganden som gjordes till de tre tillståndshavarna efter Forsmarkhändelsen, kommer kravhantering av eventuellt nya SAR-krav för skydd mot nätstörningar att behandlas senare i en separat granskning.
Sida 14 (43) Kontrollsystem (I&C) Observation: Inom detta systemområde har främst två områden varit föremål för inspektionen, dels kraven på det nya kontrollsystemet med dess nya plattform och processkraven i sig, dels kraven på skydd mot obehörig åtkomst och dataintrång för system med betydelse för anläggningens säkerhet enligt 11 SSMFS 2008:12. Systemet består av ett reaktorskyddssystem (RPS/DPS), ett driftsystem och ett kontrollrumsystem. Den slutliga kravbilden återfinns i tre olika projektrapporter i ärende 121105, uppdelat på plattform, process samt kontrollrum. Inspektionen berörde ej explicit kravhantering avseende kvalificeringen av reaktorskyddssystemet (RPS/DPS) då SSM bedriver en särskild granskningsaktivitet i detta ärende. När det gäller kontroll av kravet 11 SSMFS 2008:12 rörande skydd mot obehörig åtkomst och dataintrång har samverkan skett med SSM:s avdelning för radioaktiva ämnen, enheten för kontroll och skydd. Enheten var medverkande vid en särskild inspektion avseende IT-säkerhet hos OKG hösten 2009 (även SvK och SÄPO). I&C plattforms- och processkrav: OKG gjorde en bra genomgång av sin kravhantering inom området som bygger på de erfarenheter man vunnit via det tidigare anskaffade kontrollsystemet för O1 (projekt MOD). Särskilt hantering och kontroll av leverantörsfrågor har varit lärorika. Kravhantering har kunnat starta tidigt och sträcker sig för närvarande till och med V&V planer hos leverantören för I&C systemets säkerhetsrelaterade delar. Ärende 121105 är ett av de mer komplexa ärendena och detta har medfört att projektet delat upp projektrapporten i tre delar, se ovan. Projektrapporterna plattform (system 506) och process system (516) är i dagsläget ej färdiga. De preliminära utgåvorna som SSM tagit del av ger tillsammans med kravmatriserna en god överblick av SSMSF 2008:17 krav. I&C kraven på skydd mot obehörig åtkomst och dataintrång för system med betydelse för anläggningens säkerhet (11 SSMFS 2008:12): Inom detta kravområde (11 SSMSF 2008:12) hade OKG under inspektionen svårt att visa hur projekt Plex har tolkat kravet och hur detta för övrigt omhändertagits för I&C systemet. Plex använder den tolkning som finns i referens [27]. Krav finns med i leverantörsavtalet men det var oklart vilka kraven var då inte tillfälle gavs att ta del av avtalet. I projektledningsplanen [14] nämns dock under avsnitt 3.2.1, lagar förordningar, föreskrifter normer och standards, att nya föreskrifter i SSMSF 2008:12 skall uppfyllas. I det ej färdiga dokumentet Spårbarhet av SSMFS - krav och övriga krav som styr den kärntekniska verksamheten [20, Status: Under arbete] finns en anmärkning om att det pågår ett arbete med att implementera SSMFS
Sida 15 (43) 2008:12 och därmed är kraven ännu inte uppfyllda. Kravuppfyllandet skall redovisas i SAR allmän del i avsnitt 4.22 samt i avsnitt 6.19. SSM anser att betydelsen av IT-och informationssäkerhet har ökat och aktualiserats i ljuset av införande av digitala programvarubaserade I&Csystem. SSM har pga. av detta i samband med inspektionen och även efteråt som komplettering, tagit del av flertalet dokument för att få en uppfattning hur dataintrångskraven säkerställts. Under inspektionen och i samband med läsning av efterföljande dokument har även kompetensnivån avseende IT-säkerhets inom Plex och stödenheter varit föremål för uppmärksamhet. Följande dokument har studerats avseende detta krav, projektrapport plattform för nätverksbaserad kontrollutrustning [21, Status: Under arbete], OKG regler för IT-kommunikation enligt zon-modellen [23], Regler för IT-säkerhet [24], OKG Projekt ISAK [25] och OKG Användarföreskrift Informationssäkerhet Personal [26]. Bedömning: I&C plattforms- och processkrav: När det gäller kravhantering av plattformen och processkontroll (system 506 och 516) kan OKG visa upp en konsistent och följdriktig kravhantering. Redovisningen under inspektionen har varit bra och det framgår tydligt att hantering av leverantören är rigorös avseende granskningsprocessen av leverantörens olika leveranser inklusive dokument. Erfarenheterna från O1 MOD projekt har medverkat till detta. När det gäller leverantörens V&V plan [19, Status: Projektgodkänt] så har SSM en synpunkt avseende avgränsningen till att enbart omfatta säkerhetsrelaterade delar (safety), se vidare under verifiering och validering. Som tidigare nämnts ingår inte kvalificeringsdelen av RPS/DPS i denna inspektion. I&C kraven på skydd mot obehörig åtkomst och dataintrång för system med betydelse för anläggningens säkerhet (11 SSMFS 2008:12): Under inspektionen och genom de där erhållna dokumenten samt genom de dokument som hade lästs på innan inspektionen, kunde inte någon del av kravhanteringskedjan (kravtolkning, kravnedbrytning, kravöverföring till leverantör samt V&V) presenteras på ett tydligt sätt. I den projektrapport som behandlar I&C plattformen (506 systemet) [21, Status: Under arbete] som erhölls efter inspektionen har det tillkommit en rad i bilagan kravmatris som behandlar dataintrångskravet inklusive en not som hänvisar till kravtolkningsdokument [27]. I kravtolkningsdokumentet [27] görs ingen egen kravtolkning eller kravnedbrytning av 11, SSMFS 2008:12, trots att i denna ges flera exempel på skydd mot dataintrång. Dokumentet regler för datakommunikation enligt zonmodellen *23], som för övrigt får anses som ett viktigt och välgenomtänkt dokument, omfattar alla verksamheter där IT används för att hantera information. Zon 1 och zon
Sida 16 (43) 2 är direkt aktuella för I&C systemet. Tyvärr har SSM inte funnit någon koppling i något Plex dokument till detta kravdokument. Vi har inte heller funnit någon koppling i något Plexdokument till Regler för IT-säkerhet [24], vilken omfattar även processnära system. I projektbeskrivningen av projekt ISAK [25] som är ett särskilt IT-säkerhetsprojekt inom OKG vilket är utbrutet ur projektet NYANS avseende fysiskt skydd kan inte heller spårbarhet till projekt Plex hittas. SSM anser att OKG i projekt Plex och framöver bör säkerställa att den del av företaget som hanterar och har kunskapen i IT-säkerhetsfrågor och de rutiner och regler som finns, måste få påverkan i kravhantering då datoriserade processystem införs eller ändras hos OKG. SSM anade under inspektionen att det kunde vara eftersatt utbildning inom IT-säkerhetsområdet för projektmedlemmar eller dess stödpersonal inom linjen. Efter inspektionen har OKG kursplaner inklusive målgrupper erhållits samt vilka kurser som hållits de senaste åren. Ett flertal personer från enhet TE och ett par från TP har genomgått kurser inom hot och risker inom processnära system samt information om informations- och IT-säkerhetsarbete på OKG samt information om projekt ISAK. Senast en kurs hålls var 2009-09- 22. Det har inte gått att få en uppfattning av hur många i projekt Plex eller linjeorganisationens stödpersoner i projektet, som har genomgått utbildning i IT-säkerhetsfrågor för processnära system. SSM anser att för att uppfylla 2 kap 7-9 SSMFS 2008:1 bör OKG stärka styrningen av hantering av IT-säkerhetsfrågor så att de i linje och i projekten får en enhetlig och tydligare styrning. Larmhantering Observation: SSM har i genom tidigare tillsynsinsatser (SKI 2005/1440) följt projekt PLEX/TURBIC och i samband med detta ärende identifierat förbättringsbehov bl.a. kring gränssnittet för larm och larmhantering på turbinsidan. Mot denna bakgrund följdes frågorna kring kravhantering avseende gränssnittet upp i inspektionen. Under inspektionen intervjuades delprojektledaren samt HFE (Human Factors Engineering) specialisterna i PLEX projektet. Av intervjuerna framkom att HFE-frågorna identifierades tidigt i projektet men man insåg inte den verkliga resursåtgång som senare visade sig behövas för att anpassa det bildskärmsbaserade gränssnittet i PLEX/TURBIC. I intervjun refererades det till att det finns en strategi framtagen för det centrala kontrollrummet (CKR) som alla ändringar ska överensstämma med. Vidare beskrevs beslutsgången med referenser till den dokumentation som fungerat som krav under projektets gång. Överst i dokumentationsstrukturen ligger dokumentet Teknikstyrande beslut *34] där det refereras vidare till dokumentet
Sida 17 (43) Övergripande principer för kontrollrumsfunktionen och krav på kontrollrum *35]. I detta dokument finns den övergripande kravbilden för PLEX beskriven avseende kontrollrummets utformning. SSM efterfrågade om det teknikstyrande beslutet hade genomgått någon fristående säkerhetsgranskning och om detta fanns dokumenterat. Det framkom att OKG inte kunde visa upp att det teknikstyrande beslutet hade genomgått någon fristående säkerhetsgranskning (Refererat till krav enligt 3 kap 3 SKIFS 2004:1 1 18 SKIFS 2004:2 2 ). OKG har senare framfört att det teknikstyrande beslutet ingick som underlag vid fristående säkerhetsgranskning av projekt Turbic, se granskningsmeddelande [47]. I intervjuerna framkom vidare att leverantören har krav på sig att följa OKG:s process i PLEX projektet. Det finns en särskild style guide som är projektspecifik, vilket har kommunicerats till leverantören med budskapet att det ska vara en enhetlig konstruktion som ska gälla för hela CKR. Leverantören har krav på sig att ta fram och arbeta efter en HFE plan i enlighet med NUREG 0711. OKG ska sakgranska och utvärdera leverantörens konstruktionslösningar. Sakgranskning görs även av samtliga designdokument mot uppställd kravbild. OKG:s personal deltar också med sin kompetens i leverantörens utvecklingsarbete, s.k. Source of Knowledge, av det nya kontrollrummet. Leverantören använder sig även av externa HFE-specialister. Vid intervjuerna framkom att larmhanteringen var en del av ärende 121105, där man har delat upp olika system i tre projektrapporter. På plats fick SSM ta del av projektrapporten som hanterade larm [46, Status: Under arbete] där det bl.a. saknades referens till 3 kap 3 SSMFS 2008:1 som ett styrande krav. SSM har tagit del av ett antal dokument som är relaterade till HSI och utformning av larm. I det följande redogörs i korthet för relevanta delar av innehållet. I dokumentet [35] OKG-rapport, Oskarshamn 1, 2 och 3 Övergripande principer för kontrollrumsfunktionen och krav på kontrollrum beskrivs både övergripande och nedbrutna krav där flera av kraven har sin utgångspunkt i dåvarande myndighetsföreskrifterna SKIFS 2004:1 och 2004:2 med bland annat krav på utformning av moderniserat kontrollrum samt med övriga referenser till standarder och guider etc. I dokumentet [36+ Strategisk plan för utveckling av kontrollrumsfunktionen CKR O2 beskrivs den plan som ska följas vid anpassning av kontrollrumsfunktionen. Det överordnade syftet är att kontrollrumsfunktionen ska utvecklas mot en samlad målbild med enhetliga verktyg och arbetsmetoder. Dessutom ska planen användas både vägledande och kravställande vid ut- 1 Motsvarar nuvarande SSMFS 2008:1 2 Motsvarar nuvarande SSMFS 2008:17
Sida 18 (43) veckling samt fungera som underlag för granskning av framtagna lösningar tillsammans med överordnade krav. Målsättningen är att kontrollrummet ska utvecklas mot ett likformigt operatörsgränssnitt. Det ska också finnas effektiva verktyg för larmreduktion. Strategins mål är att de ändringar som genomförs är utvärderad mot fastställda MTO-krav och förutsättningar som är accepterade av såväl OKG som myndighet. I dokumentet [37+ Målbild för moderniserat kontrollrum CKR O2 beskrivs syftet med detta dokument vara att: realisera OKG:s överordnade kravbild vara vägledande och kravställande fungera som underlag för granskning av framtagna lösningar I dokumentet redogörs i övrigt för den målbild som ska gälla för det moderniserade larmsystemet och vilka principer som det ska uppfylla bl.a. driftkrav och detaljkrav etc. I övrigt har SSM vid inspektionen fått ta del av följande dokumentation som relaterar till kravhantering avseende MTO/HFE. Dokumentet [38+ Övergripande MTO plan beskriver hur ledning, styrning och organisation av MTO-arbetet ska bedrivas för att omhänderta dessa aspekter i alla anläggningsändringar som görs inom ramen för Plexprojektet. Det utgör tillsammans med dokumentet [39+ MTO vid anläggningsändringar inom projekt Plex även tolkning av gällande krav, föreskrifter och guider för hur MTO/HFE arbetet ska bedrivas. Vägledande för arbetet är 3 kap 3 SKIFS 2004:1 (SSMFS 2008:1 och 18 SSMFS 2008:17 samt NUREG 0711). Vidare framkommer i dokumentet att man har en tvärorganisatorisk MTO-grupp som består av olika MTO-relaterade kompetenser från olika delar av projektet. Bland annat finns specialistkompetens inom MTO tillgänglig. Den övergripande MTO planen tillsammans med anvisningen för MTO ska stödja ett strukturerat och styrt arbetssätt för att hantera MTO-aspekterna i anläggningsändringarna. Vägledande för innehållet i MTO-anvisningen och MTO planen beskrivs vara krav i 3kap 3 SKIFS 2004:1, 18 SKIFS 2004:2, NUREG 0711 samt OKG:s egen projektmodell. Dokumentet [39+ MTO vid anläggningsändringar är mer detaljerad än MTO-planen och har till syfte att fungera som ett strukturerat stöd och styrt arbetssätt för att beakta och omhänderta MTO-aspekter vid alla anläggningsförändringar som inryms inom uppdraget för projekt Plex. Syftet är också att integrera MTO-arbetet med OKG:s kvalitetssystem för anläggningsändringar samt för att uppfylla kraven i SKIFS 2004:1 och 2004:2 (Nuvarande SSMFS 2008:1 samt 2008:17). Vägledande för arbetet anges vara NUREG 0711 samt gällande myndighetskrav kring kontrollrum. Enligt dokumentet [39] anges som övergripande krav för kontrollrummets utformning rapporten [35+ Övergripande principer för kontrollrumsfunktionen och krav på kontrollrum. En realisering av denna kravbild för O2 finns ut-
Sida 19 (43) vecklad i dokumentet [37+ Målbild för moderniserat kontrollrum. Detta ska fungera som OKG:s tolkning av olika internationella standarder som exempelvis NUREG 0700. I anvisningen och av intervjuerna framkom att man här skiljer på två nivåer av anläggningsändringar, där nivå 1 avser: Anläggningsändringar som inte har någon påverkan på utformningen av kontrollrum och nivå 2 säger att: Anläggningsändringar som har påverkan på utformningen av kontrollrum. SSM frågade om de intervjuade ansåg att det kunde vara svårt att välja denna nivå baserat på aktuell sakfråga. OKG svarade att det ansågs vara ganska tydligt och förtydligade att t ex lokala ändringar normalt inte påverkar utformningen av kontrollrummet. Bedömning: SSM anser att det samlade underlag som myndigheten tagit del av i inspektionen beträffande HFE, larm och larmhantering, visar att OKG har, avseende MTO/HSI aspekterna i projektet, möjlighet att i säkerhetsredovisningen redovisa kraven och kravuppfyllnad på ett acceptabelt sätt. Det kan kommenteras att det i den aktuella versionen av projektrapporten [46, Status: Under arbete] inte fanns spårbarhet avseende myndighetskraven. Kraven återfinns förvisso i den övriga underliggande projektdokumenten men SSM anser att projektrapporten därmed inte ger en komplett kravbild. Vad gäller OKG:s information om att det teknikstyrande beslutet [34] ingått som underlag i säkerhetsgranskningen så visar granskningsmeddelandet [47] att beslutet inte har säkerhetsgranskats och FSG har i granskningen tolkat dokumentet som den kravbild som den granskade projektrapporten ska uppfylla. Det finns ej heller något ställningstagande från FSG avseende det teknikstyrande beslutet [34]. SSM anser att OKG inte har säkerhetsgranskat det teknikstyrande beslutet och därmed har FSG-funktionen inte tagit ställning till om 4 kap 3 SSMFS 2008:1 har uppfyllts avseende tolkning av 3 kap 3 SKIFS 2004:1 3 och 18 SKIFS 2004:2 4. 3 Motsvarar nuvarande SSMFS 2008:1 4 Motsvarar nuvarande SSMFS 2008:17
Sida 20 (43) 7.3. Granskning av kravtolkning Observation: Granskningen av konstruktionsutvecklingsrapporterna/technical Reports som leverantörerna levererar utförs huvudsakligen av OKG linjeorganisation, enhet TX beroende på sakinnehåll [13]. Konstruktionsarbetet genomförs i tre faser - Conceptual Design Phase Basic Design Phase Detail Design Phase, där det inledningsvis inom arbetet för Conceptual Design-fasen togs fram en Safety Concept Report. Dessa konstruktionsutvecklingsrapporterna/technical Reports har innan de tillställts OKG granskats i leverantörens eget kvalitetssystem. Projektrapporterna granskas av respektive linjeenhet vilket säkerställer omhändertagandet av krav inom linjeenhetens verksamhetsområde. Kontinuerligt granskas också konstruktionsutvecklingsrapporterna på samma sätt. Framtagning och granskning av projektrapporter beskrivs i referens [41] avsnitt 2.5.4. Avseende granskning av det teknikstyrande beslutet [5] med tillkommande ny krav från SSMFS 2008:17 se även diskussion ovan under Tolkning och kravnedbrytning, avsnitt 7.2.1. Under inspektionen har intervjuade bl.a. framfört att FSG (avd. S) inte kan ha synpunkter på eller har någon roll i att granska kravtolkningen i det teknikstyrande beslutet. Avdelning S gav vid intervjun exempel där kravtolkning i form av teknikstyrande beslut ingått som underlag vid FSG av SAR avsnitt 2.15 och där resultatet föranlett förändringar i kravtolkningen (tolkning av SSMFS 2008:12). PSG och FSG sker normalt inför beslut om genomförande (BGF). För Plex sker PSG och FSG i samband med ansökan om godkännande av PSAR med tillhörande projektrapporter. Bedömning: Granskningen av konstruktionsutvecklingsrapporterna och projektrapporter bedömer SSM vara av tillräcklig omfattning för att bedöma säkerhetsfrågorna och tillräckligheten av information för säkerhetsredovisningen och anläggningens drift. Det teknikstyrande beslutet som anger grundläggande förutsättningar för en så stor anläggningsändring har ej säkerhetsgranskat så som 4 kap 5 SSMFS 2008:1 och dess Allmänna råd anger. Föreskriften anger Tekniska och organisatoriska ändringar i en anläggning, vilka kan påverka de förhållanden som har angivits i säkerhetsredovisningen, samt principiella ändringar i säkerhetsredovisningen ska vara säkerhetsgranskade enligt 3, vidare i allmänna råd anges Ändringar bör anmälas till Strålsäkerhetsmyndigheten i så god tid som, med hänsyn till ärendets art, är möjligt och rimligt. En ändringsanmälan bör innehålla en tydlig beskrivning av vad som har