Ausfallsicheres, bundesweites Rechnernetz für die Umweltüberwachung:

Daten zur Radioaktivität unter Unix verarbeitet

14.10.1988

Unter Unix laufen die Rechner die in der Bundesrepublik diejenigen Meßdaten koordinieren, verwalten und weiterleiten - je nach Anwendung - die zur Kontrolle der Umweltradioaktivität ermittelt werden. Nach dem Strahlenschutzvorsorgegesetz hat das Bundesamt für Zivilschutz diese Aufgabe wahrzunehmen. In zur Zeit 1560 über die Bundesrepublik verteilten, mikroprozessorgesteuerten und batteriegepufferten Meßstellen werden die Daten erfaßt, gebündelt werden sie in Warnämtern respektive Bull-Rechnern des Typs SPS 7/300.

Zur flächendeckenden Messung der Gamma-Ortsdosisleistung sind auf dem Gebiet der Bundesrepublik Deutschland 1560 automatisch arbeitende stationäre Meßstellen im Abstand von etwa 11 bis 15 Kilometern eingerichtet. Entlang der Bundesgrenzen, in der Umgebung kerntechnischer Anlagen sowie in Ballungsgebieten wird das Meßnetz zur Zeit noch weiter verdichtet, so daß im Endausbau insgesamt 2000 Meßstellen dieses Typs aufgebaut sein werden (vergleiche Abbildung 1).

Engmaschiges Netz unterstützt Meßgenauigkeit

Diese Meßstellen arbeiten mikroprozessorgesteuert (vergleiche Abbildung 2); sie können Meßergebnisse zusammenfassen, das heißt zeitlich mitteln, einen festgelegten Ausschnitt aus der jüngsten Historie speichern und bewerten. Zur Zeit werden die letzten 24

2-h-Mittelwerte sowie die letzten zwölf 10-min-Mittelwerte gespeichert. Die Bewertung erfolgt einerseits durch Vergleich mit einem dynamisch änderbaren Schwellenwert; andererseits werden die vorliegenden Meßreihen mit einem Trendtest auf Tendenz untersucht. Der Meßbereich reicht von zirka 50 nGy/h (natürliche Umgebungs-strahlung) bis 5 Gy/h.

Die Meßstellen arbeiten batteriegepuffert und überwachen ihre Funktionsfähigkeit weitestgehend selbständig.

Die Kommunikation mit der übergeordneten Ebene - dem zugeordneten Warnamt - erfolgt über das öffentliche Fernsprech-netz. Dabei können die Meßstellen sowohl abgefragt werden als auch selbständig - bei Vorliegen von Besonderheiten im Bereich der Meßdatenbewertung oder Eigenüberwachung - Meldungen an das Warnamt absetzen.

Während die Messung der Gamma-Ortsdosisleistung nur Auskunft über die Intensität der Strahlung, also über die Gefährdung des Menschen durch äußerliche Einflüsse, liefert, ist die Bestimmung von Nuklidablagerungen auf dem Boden sowie ihrer jeweiligen Intensität Voraussetzung für die Abschätzung von Gefahren, die dem Menschen über die Nahrungskette, das heißt durch Inkorporation, drohen.

Die Bestimmung der Nuklidzusammensetzung von Ablagerungen auf dem Boden geschieht mittels mobiler Meßeinrichtungen.

Die Messung und Auswertung der Meßergebnisse erfolgt auch bei dieser "insitu"-Gamma-Spektroskopie rechnergestützt. Die festgestellten Nuklidintensitäten werden gespeichert und können per Akustikkoppler über das im Fahrzeug vorhandene C-Netz-Funktelefon oder von jedem anderen Fernsprechanschluß digital an das Warnamt übertragen werden.

Die Meßergebnisse laufen zunächst regional gebündelt zu den Rechnern der Warnämter. Hierbei handelt es sich um nahezu ausfallsichere Konfigurationen auf der Basis von Minicomputern unter Einsatz des Standardbetriebssystems Unix (vergleiche Abbildung 3). Die zur Erlangung einer System-Verfügbarkeit von über 99,99 Prozent entwickelte Konfiguration stellt letztlich einen Kompromiß zwischen Ausfallsicherheit und verfügbaren Investitions mitteln dar.

Die erforderliche Redundanz wird durch zwei baugleiche Rechner Bull SPS 7/300, die auf drei Ebenen miteinander verknüpft sind, erreicht, wobei auch die Stromversorgung der Systeme und Kopplungselemente so aufgeteilt ist, daß praktisch von zwei unabhängigen Netzteilen jeweils ein Teil der Konfiguration versorgt werden kann.

Redundanz hat in der Konfiguration Vorrang

Als Verbindung und Kommunikationsträger zwischen den beiden Systemen dient eine schnelle LAN-Verbindung (Ethernet). Ergänzend ist ein Umschalter vorhanden, der die gesamte lokale Peripherie inklusive Modems programmgesteuert auf die jeweils aktive SPS 7, das heißt den Master schaltet.

Abgerundet wird die redundante Konfiguration durch ein Dual Port Modul, durch das beide Rechner gleichberechtigt auf die Datenplatten zugreifen können.

Nicht redundant konfiguriert sind lediglich die grafischen Arbeitsplätze; das heißt bei Ausfall eines Systems steht - falls kein Eingriff in die Hardware vorgenommen wird - nur ein grafischer Arbeitsplatz zur Verfügung.

Im Normalfall läuft die Anwendung auf dem als Master ausgewählten System. Dieses greift (über den Umschalter) auf die angeschlossene Peripherie zu. Die Zugriffe auf die gemeinsamen Platten erfolgen für dieses System direkt, während das andere (Slave-) System seine Plattenzugriffe über das LAN und den Master abwickelt. Dadurch ist sichergestellt, daß ohne Veränderungen im Unix-Kernel die Unix-eigenen Platten-Cache-Module den jeweils neuesten Stand aufweisen.

Der Zugriff zu dem am Slave angeschlossenen Grafik-Arbeits-platz folgt sinngemäß den gleichen Methoden und Verfahren.

In beiden Systemen ist eine Überwachungssoftware aktiv, die über das LAN den jeweiligen Zustand der Gesamtkonfiguration kennt. Das Umschalten vom Master zum Slave erfolgt im Millisekunden-bereich, wobei durch geeignete Software-Checkpunkte sichergestellt ist, daß keine Daten (Meßwerte) verlorengehen beziehungsweise - falls die Unterbrechung während einer laufenden Übertragung auftritt - diese, und nur diese, wiederholt wird.

Die Integrität der Daten wird darüber hinaus durch die Spiegelung, das heißt Doppelaufzeichnung aller Anwenderdaten auf zwei verschiedenen Plattenstationen erhöht. Die Dual-Port-Zugriffseinrichtung stellt dabei sicher, daß die Spiegelung auch bei Verfügbarkeit nur eines Systems weitergeführt wird.

Bei Ausfall einer Plattenstation geht der Betrieb ohne Unterbrechung weiter; es erfolgt lediglich eine Warnung an den Benutzer. Nach Beseitigung des Problems wird die Spiegelung automatisch wiederaufgenommen, wobei als erstes ein Kopieren des gesamten Inhalts der sich in Betrieb befindlichen auf die wieder zugeschaltete Platteneinheit erfolgt.

Diese Rechner erreichen ihre Leistungsfähigkeit bei dieser Anwendung insbesondere deshalb, weil für die einzelnen Peripherie-geräte jeweils eigene Prozessoren eingesetzt werden (zum Beispiel Grafik, Anschlüsse im Fernsprechnetz zur Meßstellenkommunikation).

Eine im wesentlichen identische Hardwareausstattung ist im Institut für Atmosphärische Radioaktivität, Freiburg (IAR) installiert, jedoch bildet dieses Institut funktionell die nächste Ebene, eine direkte Kommunikation mit den Meßstellen ist hier nicht möglich.

Zugriff auf die einzelnen Meßergebnisse erhält das IAR (wie im übrigen auch jedes Warnamt) über einen festgeschalteten Rechnerverbund (vergleiche Abbildung 4). Als primäre Kommunika-tionswege werden HfD-Verbindungen zwischen den Rechnern genutzt, bei Überlastung oder Ausfall einzelner Strecken werden (automatisch) Datex-P-Verbindungen aufgebaut.

Konzeptionell besteht das Warndienst-Meß- und -Informati-onssystem aus drei hierarchischen Netzebenen: den Meßgeräten, den Warnamtsrechnern sowie dem IAR-Rechner. Die im Rahmen dieser Anwendung den jeweiligen Ebenen zugeordneten Funktionen können der Abbildung 2 entnommen werden.

Die Beschaffung und Auswertung von gemessenen Daten - Kernstück dieser netzübergreifenden Anwendung - umfaßt folgende Teilfunktionen, die in der Regel von den Warnämtern für das ihnen zugeordnete Gebiet, vom IAR bundesweit angewandt werden:

* Veranlassung von Meßstellenabfragen in geografischen Gebieten auch mit zyklischer Wiederholung nach vorzugebenden Zeitinter-vallen, Entgegennahme von spontanen Meldungen der Meßstellen,

* Parametrierung der Meßstellen,

* Nachbereitung der gemessenen Rohwerte (additive und multipli-kative Konstanten zur Berücksichtigung von Zählrohrcharakteris-tiken, Meßgeometrie etc.)

* Herausfiltern von "Ausreißern" zu Zwecken der Plausibilitäts-kontrolle und Betriebsüberwachung,

* tabellarische und grafische Darstellung von Meßreihen ausge-wählter Meßstellen,

* kartografische Darstellung einer Momentaufnahme der gemessenen Lage in Form von Isodosislinien oder als Isoflächendarstellung,

* Extrapolation der an einigen Orten bestimmten Nuklid-zusammensetzung auf die Fläche anhand der Ortsdosis-Meßwerte, das heißt Umrechnung des gemessenen "Dosisleistungskatasters" in ein nuklidspezifisches "Kontaminationskataster".

Zentrale Datenhaltung aus Sicherheitsgründen

Aus Gründen der Ausfallsicherheit, aber auch aus Wirtschaftlichkeitsüberlegungen werden die Daten (Meßreihen) möglichst dezentral gehalten; eine Datenübertragung zwischen den Netzebenen findet in der Regel nur auf Anforderung der jeweils höheren Netzebene statt. Einzige Ausnahme bildet die Übertragung von Alarmen, das heißt von aus Sicht der jeweils niedrigeren Ebene plausiblen, signifikant erhöhten Meßwerten. Auf diese Weise ist sichergestellt, daß bei Ausfalll einer Instanz (zum Beispiel Warnamt) aktuelle Daten von einem Vertreter aus der niedrigeren Ebene jederzeit wieder beschafft werden können.

In diesem Zusammenhang ist zu erwähnen, daß dem IAR seine hervorgehobene Stellung nur durch organisatorische Regelungen zugewiesen ist; Unterschiede im Bereich der Anwendungssoftware zwischen IAR und den Warnämtern existieren im wesentlichen nicht, so daß bei Ausfall des IAR-Rechners diese Funktionen mühelos von irgend einem Warnamtsrechner übernommen werden können. Durch die gewählte Kommunikationsstruktur in der oberen Netzebene ist auch im Vertretungsfall die Datenversorgung sichergestellt.

Es wurde bereits erwähnt, daß als Betriebssystem Unix, das heißt die entsprechende Bull-Variante Spix 31.2 eingesetzt wird. Dies ist insofern bemerkenswert, als bei diesem Anwendungssystem Anforderungen in den Bereichen Ausfallsicherheit, Vernetzung sowie Echtzeitverhalten durchaus nicht "Unix-typisch" sind. Es zeigt sich einmal mehr, daß ein Anwender auch unter diesen Rand-bedingungen nicht auf die Vorteile eines Standard-Betriebssystems verzichten muß.

Im Bereich des Netzwerks wird für die Rechner-Rechner-Kommunikation grunsätzlich - also auch auf den HfD-Strecken - als Übertragungsprotokoll X.25 eingesetzt. In den oberen Schichten sind für die unterschiedlichen Interaktionsarten folgende drei Dienste realisiert worden:

- Dateiübertragungsdienst (file transfer)

Dieser dient zum Austausch größerer Informationsmengen mit einer im allgemeinen niedrigen Priorität.

- Meldungsverkehrsdienst

Dieser Dienst, der vorwiegend zum Austausch von kurzen Informationen mit im allgemeinen hoher Priorität genutzt wird, sorgt für eine Duplex-Verbindung zwischen einer lokalen Anwendung und einem Dienstprogramm für eine entfernte Anwendung. Er kann als Erweiterung der Unix-"pipe" auf das Netz betrachtet werden.

- Fernbedienungsdienst (remote execution)

Dieser Dienst ermöglicht die Ausführung eines Unix-Kommandos oder Shell-Scripts in einem entfernten Rechner.

Zur Realisierung dieser Dienste wird für die Schichten 4 bis 6 einerseits UFT (universal file transfer) als vorläufige Umsetzung der X.400-Empfehlung eingesetzt. Parallel hierzu werden - bis zur endgültigen Verabschiedung entsprechender ISO-Normen TCP/IP und das Produkt NFS (network file system) verwendet.

Keine Datenbanksysteme innerhalb der Anwendung

Für die Datenspeicherung innerhalb der Anwendung wird kein Datenbanksystem eingesetzt. Unter Unix konnte kein Datenbanksystem verfügbar gemacht werden, das alle Anforderungen hinsichtlich Nonstop-Betrieb mit Unterstützung der Spiegelplatten sowie hinsichtlich einer verteilten Datenhaltung erfüllt. Da zudem die Struktur der hier zu verwaltenden Daten (Meßreihen) recht einfach und keinen dynamischen Änderungen unterworfen ist, wurde die Anwendung auf der Basis von indexsequentiellen Dateien realisiert. Auf diese Weise wurden jedoch Probleme des Non-stop-Betriebs sowie der verteilten Datenhaltung in nicht unerheblichem Umfang in die Anwendung verlagert.

Die Anwendung ist in "C" programmiert; im Grafikbereich wird GKS eingesetzt. Auf diese Weise wird - insbesondere wenn im Bereich der Kommunikation eine vollständige Anpassung an ISO-Normen erreicht ist - eine weitestgehende Hardware-Unabhängigkeit der Anwendung sichergestellt .

Non-stop-Betrieb mit Rückfallstufen

Das Warndienst-Meß- und -Informationssystem überwacht konti-nuierlich und flächendeckend die radioaktive Umgebungsstrahlung (Gamma-Strahlung). Es arbeitet im Non-stop-Betrieb mit mehreren gestaffelten Rückfallstufen bei Einzelausfällen:

- Ausfülle im Bereich der Meßgeräte werden durch Selbstüberwa-

chungsfunktionen sowie zyklische Datenabfrage frühzeitig erkannt; auf eine redundante Auslegung kann - von Einzelfällen abgesehen - wegen der hohen Meßstellendichte abgesehen werden.

- Ausfälle im Bereich der nächsthöheren Netzebene, den Warnamtsrechnern, werden zunächst im Rahmen der redundanten Systemkonfiguration (Doppelrechner, Spiegelplatten) aufgefangen; bei Ausfall eines kompletten Systems beziehungsweise seiner Kommunikationsanbindung kann die Funktion eines Warnamtsrechners von einem Rechner in einem benachbarten Warnamt mit übernornmen werden. Als Vorkehrung für derartige Maßnahmen werden zum Beispiel Datenbestände eines Warnamts in einem definierten Nachbarwarnamt automatisch mitgeführt.

- Ausfällen bei dem zentralen System im IAR wird wie Ausfällen in Warnämtern begegnet, das heißt soweit möglich wird mit der redundanten Hardware weitergearbeitet, ansonsten kann ein Warnamt die Funktion des IAR übernehmen.

Rechnerseitig befindet sich dieses System noch im Anfangs-stadium; die konzeptionellen Arbeiten wurden nach Verabschiedung des StrVG im Januar 1987 begonnen, der Lieferauftrag für Hard- und Software im Mai 1987 vergeben. Seit Dezember 1987 ist eine lokale Meßdatenerfassung in den Warnämtern sowie ein provisorischer Datenaustausch mit dem IAR möglich. Im Juni 1988 wurde die vorläufig endgültige Version der Netzwerksoftwure und die Software zur Erstellung kartografischer Ausgaben freigegeben.

Meßwerterfassung macht Schwierigkeiten

Weitere Verbesserungen und Erweiterungen werden auf der Basis der jetzt zu sammelnden Betriebserfahrungen notwendig sein. Insbe-sondere im Bereich der Früherkennung von Gefahren gibt es noch zu lösende Probleme. Je frühzeitiger eine potentielle Gefährdung erkannt werden soll, um so näher müssen die Schwellenwerte der Meßgeräte an dem "normalen" Meßwert liegen, um so mehr Personaleinsatz und -qualifikation erfordert aber auch die Entscheidung, ob ein erhöhter Meßwert auf geophysikalische Ursachen oder auf die Meßstatistik zurückzuführen ist, oder ob eine tatsächliche künstliche Verstrahlung vorliegt. In diesem Zusammenhang ist an den Einsatz weiterer Sensoren (insbesondere Niederschlag) sowie an die Implementierung weiterführender Algorithmen sowie gegebenenfalls eines diese und angelagerte Aufgabenstellungen unterstützenden Expertensystems gedacht.

Weitere Ergänzungen hinsichtlich einer Anbindung Dritter an dieses Rechnernetz werden zur Zeit konzipiert. So sind einerseits die Meßdaten des Deutschen Wetterdienstes aus seinem Luftmeßnetz in das System zu integrieren, andererseits sind Daten und Grafiken an die zur Zeit im Aufbau befindlichen Zentralstelle des Bundes zur Überwachung der Umweltradioaktivität zu liefern.

Des weiteren sollen den Bundesländern im Rahmen ihrer Aufgaben der Kernkraftwerksfernüberwachung bestimmte Daten über eine Rechnerschnittstelle zur Verfügung gestellt werden.

Aufgabenstellung: Überwachung der Radioaktivität in der Umwelt

Das Bundesamt für Zivilschutz mit seinen zehn, über das Gebiet der Bundesrepublik verteilten Warnämtern (Warndienst) hat neben seiner ursprünglichen Aufgabe nach dem Zivilschutzgesetz (ZSG) - die Bevölkerung vor den Gefahren in einem Verteidigungsfall zu warnen - durch das Strahlenschutzvorsorgegesetz (StrVG) vom Dezember 1986 ein zusätzliches Betätigungsfeld im Bereich der Überwachung der Umweltradioaktivität erhalten.

Diese zusätzliche Aufgaben beinhalten

- die kontinuierliche, flächendeckende Messung der Gamma-Ortsdosisleistung auf dem Gebiet der Bundesrepublik Deutschland,

- die Bestimmung der Nuklidzusammensetzung von Ablagerungen auf dem Boden an ausgewählten Orten bei Verdacht auf künstliche Radioaktivität,

- die Zusammenfassung, Aufbereitung und (kartografische) Darstellung der gemessenen Größen (im Institut für Atmosphärische Radioaktivität, Freiburg),

- die Weiterleitung von Meßwerten und Auswertungen an die "Zentralstelle des Bundes" im Rahmen des Integrierten Meß- und Informationssystems des Bundesministeriums für Umwelt, Naturschutz und Reaktorsicherheit.

Besondere Anforderungen bei der Realisierung dieses Systems stellen sich wegen des erforderlichen 24-Stunden-Betriebs im Bereich der Ausfallsicherheit und Fehlertoleranz. Darüber hinaus wurde großer Wert auf niedrige Betriebskosten, Einhaltung bereits definierter Kommunikationsstandards (ISO) sowie eine funktionsgerechte, aber einfach erlernbare Benutzeroberfläche gelegt.

Die Datenverarbeitungskomponenten dieses Systems wurden vom Bundesamt für Zivilschutz im Frühjahr 1987 ausgeschrieben. Die Firma Bull, Geschäftsstelle Realzeitsysteme, Köln, erhielt den Zuschlag als Generalunternehmer. Weite Bereiche der Anwendersoftware werden von der Firma RES, Rodenkirchen, realisiert. Heute - ein Jahr nach Vertragsabschluß - soll der Sachstand hinsichtlich Konzeption und Realisierung dieses doch recht komplexen Projekts am Beispiel der Teilfunktion "Überwachung der Umweltradioaktivität" zusammenfassend dargestellt werden.