JP2020514700A - 原子炉保護システム及び方法 - Google Patents
原子炉保護システム及び方法 Download PDFInfo
- Publication number
- JP2020514700A JP2020514700A JP2019532799A JP2019532799A JP2020514700A JP 2020514700 A JP2020514700 A JP 2020514700A JP 2019532799 A JP2019532799 A JP 2019532799A JP 2019532799 A JP2019532799 A JP 2019532799A JP 2020514700 A JP2020514700 A JP 2020514700A
- Authority
- JP
- Japan
- Prior art keywords
- safety
- trip
- module
- reactor
- esfas
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G21—NUCLEAR PHYSICS; NUCLEAR ENGINEERING
- G21C—NUCLEAR REACTORS
- G21C7/00—Control of nuclear reaction
- G21C7/36—Control circuits
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B9/00—Safety arrangements
- G05B9/02—Safety arrangements electric
- G05B9/03—Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
-
- G—PHYSICS
- G21—NUCLEAR PHYSICS; NUCLEAR ENGINEERING
- G21C—NUCLEAR REACTORS
- G21C9/00—Emergency protection arrangements structurally associated with the reactor, e.g. safety valves provided with pressure equalisation devices
- G21C9/02—Means for effecting very rapid reduction of the reactivity factor under fault conditions, e.g. reactor fuse; Control elements having arrangements activated in an emergency
-
- G—PHYSICS
- G21—NUCLEAR PHYSICS; NUCLEAR ENGINEERING
- G21D—NUCLEAR POWER PLANT
- G21D3/00—Control of nuclear power plant
- G21D3/008—Man-machine interface, e.g. control room layout
-
- G—PHYSICS
- G21—NUCLEAR PHYSICS; NUCLEAR ENGINEERING
- G21D—NUCLEAR POWER PLANT
- G21D3/00—Control of nuclear power plant
- G21D3/04—Safety arrangements
-
- H—ELECTRICITY
- H02—GENERATION; CONVERSION OR DISTRIBUTION OF ELECTRIC POWER
- H02H—EMERGENCY PROTECTIVE CIRCUIT ARRANGEMENTS
- H02H3/00—Emergency protective circuit arrangements for automatic disconnection directly responsive to an undesired change from normal electric working condition with or without subsequent reconnection ; integrated protection
- H02H3/02—Details
- H02H3/05—Details with means for increasing reliability, e.g. redundancy arrangements
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/25—Pc structure of the system
- G05B2219/25428—Field device
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02E—REDUCTION OF GREENHOUSE GAS [GHG] EMISSIONS, RELATED TO ENERGY GENERATION, TRANSMISSION OR DISTRIBUTION
- Y02E30/00—Energy generation of nuclear origin
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02E—REDUCTION OF GREENHOUSE GAS [GHG] EMISSIONS, RELATED TO ENERGY GENERATION, TRANSMISSION OR DISTRIBUTION
- Y02E30/00—Energy generation of nuclear origin
- Y02E30/30—Nuclear fission reactors
Landscapes
- Physics & Mathematics (AREA)
- Engineering & Computer Science (AREA)
- High Energy & Nuclear Physics (AREA)
- Plasma & Fusion (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Automation & Control Theory (AREA)
- Business, Economics & Management (AREA)
- Emergency Management (AREA)
- Chemical Kinetics & Catalysis (AREA)
- Chemical & Material Sciences (AREA)
- Testing And Monitoring For Control Systems (AREA)
- Monitoring And Testing Of Nuclear Reactors (AREA)
- Safety Devices In Control Systems (AREA)
Abstract
原子炉保護システムは、複数の機能的に独立したモジュールであって、モジュールが各々、原子炉安全システムから複数の入力を受け取り、複数の入力に少なくとも部分的に基づいて安全措置を論理的に判定するように構成され、機能的に独立したモジュールが各々、デジタルモジュール又は複合型デジタル及びアナログモジュールを備えている、複数の機能的に独立したモジュールと、機能的に独立したモジュールのうちの1つ又は複数に電気的に結合されたアナログモジュールと、複数の入力に少なくとも部分的に基づいた安全措置判定を受け取るように、複数の機能的に独立したモジュールに通信可能に結合された1つ又は複数の原子炉安全アクチュエータと、を含む。【選択図】 図1
Description
[0001]本出願は、米国特許法(35 U.S.C.)第119条に基づき、内容全体が参照により本明細書に組み込まれている、2016年12月30日出願の米国特許仮出願第62/440,989号の優先権を主張するものである。
[0002]本開示は、原子炉保護システム及び原子炉保護システムの関連方法を記載する。
[0003]原子炉保護システム、及び概して原子炉計装及び制御(I&C)システムは、障害状態の結果を軽減するために、自動開始信号、自動及び手動制御信号、並びに監視表示を提供する。たとえば、I&Cシステムは、定常状態及び過渡電力動作中に安全でない原子炉動作からの保護を提供する。通常動作中、I&Cシステムは、様々なパラメータを測定し、制御システムへ信号を伝送する。異常動作及び事故状態中、I&Cシステムは、原子炉保護システム、並びに場合により、原子炉保護システムの原子炉トリップシステム(RTS)及び工学的安全施設作動システム(ESFAS)へ信号を伝送し、所定の設定点に基づいて保護措置を開始する。
[0004]概略的な実施形態では、原子炉保護システムは、複数の機能的に独立したモジュールであって、モジュールが各々、原子炉安全システムから複数の入力を受け取り、複数の入力に少なくとも部分的に基づいて安全措置を論理的に判定するように構成され、機能的に独立したモジュールが各々、デジタルモジュール又は複合型デジタル及びアナログモジュールと、機能的に独立したモジュールのうちの1つ又は複数に電気的に結合されたアナログモジュールと、複数の入力に少なくとも部分的に基づいた安全措置判定を受け取るように、複数の機能的に独立したモジュールに通信可能に結合された1つ又は複数の原子炉安全アクチュエータと、を含んでいる。
[0005]概略的な実施形態と組合せ可能な第1の態様では、アナログモジュールへの入力の起動が、機能的に独立したモジュールのうちの少なくとも1つの1つ又は複数の動作をオーバーライドする。
[0006]前述の態様のいずれかと組合せ可能な第2の態様では、アナログモジュールが、アナログ回路構成要素のみを含んでいる。
[0007]前述の態様のいずれかと組合せ可能な第3の態様では、アナログモジュールへの少なくとも1つの入力が、手動オーバーライド入力であり、アナログモジュールが、手動オーバーライド入力の起動の際、機能的に独立したモジュールのうちの少なくとも1つのデジタル動作をオーバーライドするように構成されている。
[0008]前述の態様のいずれかと組合せ可能な第4の態様では、アナログモジュールへの少なくとも1つの入力が、手動バイパス入力であり、アナログモジュールが、手動バイパス入力の起動の際、機能的に独立したモジュールのうちの少なくとも1つのデジタル動作をバイパスするように構成されている。
[0009]前述の態様のいずれかと組合せ可能な第5の態様では、アナログモジュールへの少なくとも1つの入力が、手動作動入力であり、アナログモジュールが、手動作動入力の起動の際、機能的に独立したモジュールのうちの少なくとも1つのデジタル動作を作動させるように構成されている。
[0010]前述の態様のいずれかと組合せ可能な第6の態様では、アナログモジュールからの1つ又は複数の出力が、原子炉保護システムのバックプレーンを通って複数の機能的に独立したモジュールへ入力として供給されている。
[0011]前述の態様のいずれかと組合せ可能な第7の態様では、アナログモジュールが、第1のアナログモジュールであり、原子炉保護システムが、第2のアナログモジュールと、工学的安全施設作動システム(ESFAS)であって、複数の機能的に独立したモジュールの第1の部分集合が、複数のESFAS入力を受け取り、ESFAS入力に少なくとも部分的に基づいてESFAS構成要素の作動を論理的に判定し、第1のアナログモジュールが、複数の機能的に独立したモジュールの第1の部分集合のうちの機能的に独立したモジュールに電気的に結合されている、工学的安全施設作動システム(ESFAS)と、原子炉トリップシステム(RTS)であって、複数の機能的に独立したモジュールの第2の部分集合が、複数のRTS入力を受け取り、RTS入力に少なくとも部分的に基づいてRTS構成要素の作動を論理的に判定し、第2のアナログモジュールが、複数の機能的に独立したモジュールの第2の部分集合のうちの機能的に独立したモジュールに電気的に結合される、原子炉トリップシステム(RTS)と、を含んでいる。
[0012]前述の態様のいずれかと組合せ可能な第8の態様では、複数の機能的に独立したモジュールが各々、複数の機能的に独立したモジュールのうちの他のいずれかへの単一故障波及からの保護を提供している。
[0013]前述の態様のいずれかと組合せ可能な第9の態様では、原子炉安全システムが、工学的安全施設作動システム(ESFAS)を含んでおり、複数の機能的に独立したモジュールが、複数のESFAS入力を受け取り、ESFAS入力に少なくとも部分的に基づいてESFAS構成要素の作動を論理的に判定する。
[0014]前述の態様のいずれかと組合せ可能な第10の態様では、複数の機能的に独立したモジュールが、冗長ESFAS投票ディビジョンを提供している。
[0015]前述の態様のいずれかと組合せ可能な第11の態様では、原子炉安全システムが、原子炉トリップシステム(RTS)を含んでおり、複数の機能的に独立したモジュールが、複数のRTS入力を受け取り、RTS入力に少なくとも部分的に基づいてRTS構成要素の作動を論理的に判定する。
[0016]前述の態様のいずれかと組合せ可能な第12の態様では、複数の機能的に独立したモジュールが、冗長RTS投票ディビジョンを提供している。
[0017]前述の態様のいずれかと組合せ可能な第13の態様では、アナログモジュールが、不安全関連信号をアナログ電圧レベルに変換し、シャーシバックプレーンを通ってアナログ電圧レベルを関連機能モジュールへ渡すことによって、安全関連システムから不安全関連信号を電気的に隔離している。
[0018]前述の態様のいずれかと組合せ可能な第14の態様では、機能的に独立したモジュールのうちの少なくとも1つが、アナログモジュールからの少なくとも1つのハードワイヤードアナログ入力信号を含んだ機器インタフェースモジュール(EIM)を含んでいる。
[0019]前述の態様のいずれかと組合せ可能な第15の態様では、EIMが、少なくとも1つのデジタル入力信号に対して少なくとも1つのハードワイヤードアナログ入力信号を優先する作動及び優先論理(APL)回路を含んでいる。
[0020]前述の態様のいずれかと組合せ可能な第16の態様では、少なくとも1つのデジタル信号が、安全関連信号であり、APL回路が、ハードワイヤードアナログ信号よりデジタル信号を優先する。
[0021]前述の態様のいずれかと組合せ可能な第17の態様では、少なくとも1つのハードワイヤードアナログ入力信号が、手動作動スイッチからの安全関連信号であり、APL回路が、デジタル信号よりハードワイヤードアナログ入力信号を優先する。
[0022]前述の態様のいずれかと組合せ可能な第18の態様では、少なくとも1つのハードワイヤードアナログ入力信号が、原子炉トリップ信号である。
[0023]前述の態様のいずれかと組合せ可能な第19の態様では、手動作動スイッチからの少なくとも1つのハードワイヤードアナログ入力信号が、不安全関連制御信号であり、APL回路が、ハードワイヤードアナログ入力信号よりデジタル信号を優先する。
[0024]本開示による別の概略的な実施形態では、原子炉保護システムは、複数の機能的に独立したモジュールを含み、モジュールは各々、原子炉安全システムから複数の入力を受け取り、複数の入力に少なくとも部分的に基づいて安全措置を論理的に判定するように構成され、複数の機能的に独立したモジュールは、2層投票方式で安全措置を論理的に判定し、2層投票方式の第1の投票層は、非多数決方式を含み、2層投票方式の第2の投票層は、多数決方式を含み、1つ又は複数の原子炉安全アクチュエータは、複数の入力に少なくとも部分的に基づいた安全措置判定を受け取るように複数の機能的に独立したモジュールに通信可能に結合される。
[0025]概略的な実施形態と組合せ可能な第1の態様では、第1の投票層は、複数の冗長信号チャネルからのトリップ信号を評価し、各トリップ信号は、原子炉パラメータに関連付けられており、第2の層は、複数の冗長な第1の層チャネルからの投票結果を評価する。
[0026]前述の態様のいずれかと組合せ可能な第2の態様では、第1の投票層は、原子炉トリップシステム(RTS)からのトリップ信号を評価する。
[0027]前述の態様のいずれかと組合せ可能な第3の態様では、第1の投票層は、工学的安全施設作動システム(ESFAS)からのトリップ信号を評価する。
[0028]前述の態様のいずれかと組合せ可能な第4の態様では、第1の投票層は、ツーアウトオブフォー投票方式を含む。
[0029]前述の態様のいずれかと組合せ可能な第5の態様では、第2の投票層は、ツーアウトオブスリー投票方式を含む。
[0030]前述の態様のいずれかと組合せ可能な第6の態様では、原子炉安全システムは、工学的安全施設作動システム(ESFAS)を含み、複数の機能的に独立したモジュールは、複数のESFAS入力を受け取り、ESFAS入力に少なくとも部分的に基づいてESFAS構成要素の作動を論理的に判定する。
[0031]前述の態様のいずれかと組合せ可能な第7の態様では、複数の機能的に独立したモジュールは、冗長ESFAS投票ディビジョンを提供する。
[0032]前述の態様のいずれかと組合せ可能な第8の態様では、原子炉安全システムは、原子炉トリップシステム(RTS)を含み、複数の機能的に独立したモジュールは、複数のRTS入力を受け取り、RTS入力に少なくとも部分的に基づいてRTS構成要素の作動を論理的に判定する。
[0033]前述の態様のいずれかと組合せ可能な第9の態様では、複数の機能的に独立したモジュールは、冗長RTS投票ディビジョンを提供する。
[0034]前述の態様のいずれかと組合せ可能な第10の態様では、原子炉安全システムは、不安全関連高信頼DC電力システム(EDSS)電源から機能的に独立したモジュールのうちの少なくとも1つへの隔離及び電力監視を提供するために、1Eクラス構成要素を含む。
[0035]本開示によるさらに別の概略的な実施形態では、原子炉トリップを判定する方法が、工学的安全施設作動システム(ESFAS)又は原子炉トリップシステム(RTS)のうちの1つから、原子炉保護システムの複数の機能的に独立したモジュールで複数の入力を受け取ることと、複数の機能的に独立したモジュールを用いて、2層投票システムによって、ESFAS安全措置又は原子炉トリップ状態のうちの1つを論理的に判定することと、2層投票システムの第1の層によって、第1の層への複数の入力のうちの少なくとも2分の1が、ESFAS安全措置又は原子炉トリップ状態を示すと判定することと、2層投票システムの第2の層によって、第2の層への複数の入力のうちの少なくとも大部分が、ESFAS安全措置又は原子炉トリップ状態を示すと判定することと、論理判定に基づいて、複数の機能的に独立したモジュールに通信可能に結合されたESFAS構成要素アクチュエータ又は原子炉トリップ遮断器のうちの1つを起動することとを含む。
[0036]概略的な実施形態と組合せ可能な第1の態様では、第1の投票層は、複数の冗長信号チャネルからのトリップ信号を評価し、各トリップ信号は、原子炉パラメータに関連付けられており、第2の層は、複数の冗長な第1の層チャネルからの投票結果を評価する。
[0037]前述の態様のいずれかと組合せ可能な第2の態様では、第1の投票層は、ツーアウトオブフォー投票方式を含む。
[0038]前述の態様のいずれかと組合せ可能な第3の態様では、第2の投票層は、ツーアウトオブスリー投票方式を含む。
[0039]前述の態様のいずれかと組合せ可能な第4の態様では、この方法は、複数の機能的に独立したモジュールのうちの1つによって、複数の機能的に独立したモジュールの他のいずれかへの単一故障波及を制限することをさらに含む。
[0040]前述の態様のいずれかと組合せ可能な第5の態様では、単一故障は、単一のハードウェア故障、単一のソフトウェア故障、又は単一のソフトウェア発生論理故障のうちの少なくとも1つを含む。
[0041]前述の態様のいずれかと組合せ可能な第6の態様では、複数の機能的に独立したモジュールを用いて、入力に少なくとも部分的に基づいて、ESFAS安全措置又は原子炉トリップ判定のうちの1つを論理的に判定することは、複数の機能的に独立したモジュールを用いて、3重冗長信号経路を介して、ESFAS安全措置又は原子炉トリップ判定を論理的に判定することを含む。
[0042]前述の態様のいずれかと組合せ可能な第7の態様では、複数の機能的に独立したモジュールを用いて、入力に少なくとも部分的に基づいて、ESFAS安全措置又は原子炉トリップ判定のうちの1つを論理的に判定することは、複数の機能的に独立したモジュールを用いて、原子炉トリップ構成要素ごとの独立したトリップ投票モジュールを介して、ESFAS安全措置又は原子炉トリップ判定を論理的に判定することを含む。
[0043]前述の態様のいずれかと組合せ可能な第8の態様では、複数の機能的に独立したモジュールは、複数の安全機能モジュール、複数の通信モジュール、及び複数の機器インタフェースモジュールを含む。
[0044]本開示の別の概略的な実施形態では、原子炉保護システム表示システムは、デジタル表示パネルと、デジタル表示パネルに結合された表示インタフェースモジュールとを含み、表示インタフェースモジュールは、原子炉モジュール保護システム(MPS)から入力データを受け取り、入力データのグラフを生成し、デジタル表示パネルの個々の画素を駆動してグラフを表示するように構成される。表示システムは、デジタル表示パネル及び表示インタフェースモジュールの両方に結合された第1の電源と、デジタル表示パネル及び表示インタフェースモジュールの両方に結合された第2の電源とをさらに含み、第2の電源は、第1の電源から独立している。
[0045]概略的な実施形態と組合せ可能な第1の態様では、表示システムは、第2のデジタル表示パネルと、第2のデジタル表示パネルに結合された第2の表示インタフェースモジュールとを含み、第2の表示インタフェースモジュールは、同じ原子炉MPSから入力データを受け取り、入力データのグラフを生成し、第2のデジタル表示パネルの個々の画素を駆動してグラフを表示するように構成される。
[0046]前述の態様のいずれかと組合せ可能な第2の態様では、表示インタフェースモジュールは、フィールドプログラマブル論理アレイ(FPGA)を含む。
[0047]前述の態様のいずれかと組合せ可能な第3の態様では、表示インタフェースモジュールは、第1のフィールドプログラマブル論理アレイ(FPGA)を含み、第2の表示インタフェースモジュールは、第2のFPGAを含み、第2のFPGAは、設計多様性を提供するために、第1のFPGAとは異なるタイプのFPGAである。
[0048]前述の態様のいずれかと組合せ可能な第4の態様では、表示インタフェースモジュール及び第2の表示インタフェースモジュールは、機能的に独立している。
[0049]本開示の別の概略的な実施形態では、原子炉保護システム表示システムは、第1の対の表示配置を含み、第1の対の表示配置のうちの各表示配置は、デジタル表示パネルと、デジタル表示パネルに結合された表示インタフェースモジュールとを含む。表示インタフェースモジュールは、原子炉モジュールに付随する原子炉モジュール保護システム(MPS)から第1の入力データを受け取り、第1の入力データのグラフを生成し、デジタル表示パネルの個々の画素を駆動してグラフを表示するように構成される。原子炉保護システム表示システムは、第2の対の表示配置を含み、第2の対の表示配置のうちの各表示配置は、デジタル表示パネルと、デジタル表示パネルに結合された表示インタフェースモジュールとを含む。表示インタフェースモジュールは、原子炉モジュールに付随する原子炉モジュール保護システムMPSから第2の入力データを受け取り、第1の入力データのグラフを生成し、デジタル表示パネルの個々の画素を駆動してグラフを表示するように構成される。
[0050]概略的な実施形態と組合せ可能な第1の態様では、第1の対の表示配置のうちの表示配置は各々、設計多様性を提供するために、異なるタイプのフィールドプログラマブルゲートアレイ(FPGA)である。
[0051]前述の態様のいずれかと組合せ可能な第2の態様では、第1の対の表示配置の表示インタフェースモジュールは、互いから機能的に独立している。
[0052]前述の態様のいずれかと組合せ可能な第3の態様では、第1の対の表示配置のうちの各表示配置内の表示インタフェースモジュールは、第1の対内に設計多様性を提供するために、異なるタイプのフィールドプログラマブルゲートアレイ(FPGA)を含み、第2の対の表示配置のうちの各表示配置内の表示インタフェースモジュールは、第2の対内に設計多様性を提供するために、異なるタイプのFPGAを含む。
[0053]前述の態様のいずれかと組合せ可能な第4の態様では、第1の対の表示配置の表示インタフェースモジュールは、互いから機能的に独立しており、第2の対の表示配置の表示インタフェースモジュールは、互いから機能的に独立している。
[0054]前述の態様のいずれかと組合せ可能な第5の態様では、第1の対の表示配置のうちの各表示配置の表示インタフェースモジュールは、第1の入力データを受け取るように第1の原子炉モジュールのモジュール保護システム(MPS)ゲートウェイに結合され、第2の対の表示配置のうちの各表示配置の表示インタフェースモジュールは、第2の入力データを受け取るように第2の原子炉モジュールのMPSゲートウェイに結合される。
[0055]別の概略的な実施形態では、原子炉保護システムデータを提示する方法が、デジタル表示パネル及びデジタル表示パネルに結合された表示インタフェースモジュールを含む表示配置において、原子炉電力モジュールに関連付けられたデータを原子炉モジュール保護システム(MPS)から受け取ることと、原子炉電力モジュールに関連付けられたデータのグラフを生成することと、デジタル表示パネルの個々の画素を駆動して、原子炉電力モジュールに関連付けられたデータのグラフを表示することとを含む。
[0056]概略的な実施形態と組合せ可能な第1の態様は、第1の電源を通ってデジタル表示パネル及び表示インタフェースモジュールへ電力を提供することをさらに含む。
[0057]前述の態様のいずれか1つと組合せ可能な第2の態様は、第1の電源から独立している第2の電源を通ってデジタル表示パネル及び表示インタフェースモジュールへ電力を提供することをさらに含む。
[0058]前述の態様のいずれか1つと組合せ可能な第3の態様では、第2の電源は、第1の電源とは電気的に独立している。
[0059]前述の態様のいずれか1つと組合せ可能な第4の態様では、表示インタフェースモジュールは、フィールドプログラマブル論理アレイ(FPGA)を含む。
[0060]前述の態様のいずれか1つと組合せ可能な第5の態様では、表示配置は、第1の表示配置であり、表示インタフェースモジュールは、第1の表示インタフェースモジュールであり、デジタル表示パネルは、第1のデジタル表示モジュールである。
[0061]前述の態様のいずれか1つと組合せ可能な第6の態様は、第2のデジタル表示パネル及び第2のデジタル表示パネルに結合された第2の表示インタフェースモジュールを含む第2の表示配置において、原子炉電力モジュールに関連付けられたデータを原子炉モジュール保護システム(MPS)から受け取ることと、原子炉電力モジュールに関連付けられたデータの第2のグラフを生成することと、第2のデジタル表示パネルの個々の画素を駆動して、原子炉電力モジュールに関連付けられたデータの第2のグラフを表示することとをさらに含む。
[0062]前述の態様のいずれか1つと組合せ可能な第7の態様では、第1及び第2の表示配置は、機能的に独立している。
[0063]前述の態様のいずれか1つと組合せ可能な第8の態様では、第1の表示インタフェースモジュールは、第1のFPGA型の第1のFPGAを含み、第2の表示インタフェースモジュールは、第2のFPGA型の第2のFPGAを含む。
[0064]前述の態様のいずれか1つと組合せ可能な第9の態様では、第1のFPGA型及び第2のFPGA型は、異なっている。
[0065]本開示による原子炉保護システムの様々な実施形態は、以下の特徴のうちの1つ、いくつか、又はすべてを含むことができる。たとえば、原子炉保護システムは、システム内の安全機能を不能及び/又は無効にするおそれのあるソフトウェア又はソフトウェア発生論理エラーによって引き起こされる共通原因故障(CCF)を軽減することができる。別の例として、原子炉保護システムは、非依存性、冗長性、決定性、多層多様性、テスト容易性、及び診断を含むキー属性を組み込むことができる。原子炉保護システムは、原子炉が安全な条件で維持されることを確実にすることができる。別の例として、原子炉保護システムは、特定の機能に専用の個々の論理エンジン内で実施される機能性を有する対称アーキテクチャを介して、増大された簡潔性を有することができる。さらに別の例として、原子炉保護システムは、簡潔な決定論的プロトコルに基づいて、冗長な経路を介して通信されるアーキテクチャとの通信を容易にすることができる。別の例として、原子炉保護システムは、ハードワイヤードアナログ信号方式を用いて、デジタル保護システムをオーバーライドし、手動制御式の保護措置を許可することができる。
[0066]本明細書に記載する主題の1つ又は複数の実施形態の詳細について、添付の図面及び以下の説明に述べる。主題の他の特徴、態様、及び利点は、説明、図面、及び特許請求の範囲から明らかになる。
[0098]図1は、システム100の例示的な実施形態を示し、システム100は、複数の原子力システム150と、原子炉計装及び制御(I&C)システム135とを含む。概して、I&Cシステム135は、システム100内の障害状態の結果を防止又は軽減するために、自動開始信号、自動及び手動制御信号、並びに監視及び標示表示を提供する。I&Cシステム135は、定常状態及び過渡電力動作中に原子力システム150の正常な原子炉制御及び安全でない原子炉動作からの保護を提供する。通常動作中、計装装備は、様々なプロセスパラメータを測定し、I&Cシステム135の制御システムへ信号を伝送する。異常動作及び事故状態中、計装装備は、I&Cシステム135の部分(たとえば、モジュール保護システム(MPS)145の一部である原子炉トリップシステム(RTS)147及び工学的安全施設作動システム(ESFAS)148(たとえば、事故の影響を軽減するため))へ信号を伝送し、所定の設定点に基づいて保護措置を開始する。
[0099]図1で、システム100は、I&Cシステム135に電気的に結合された複数の原子力システム150を含む。この例では、3つの原子力システム150のみが示されているが、より少ない又はより多いシステム150をシステム100に含み又は結合することができる(たとえば、6、9、12、又はその他)。1つの好ましい実施形態では、12個の原子力システム150をシステム100内に含むことができ、これらの原子力システム150のうちの1つ又は複数は、以下でさらに説明するように、モジュール式の軽水炉を含む。
[0100]各原子力システム150に対して、明示しないが、炉心が熱を提供することができ、この熱を利用して、1次冷却材ループ(たとえば、沸騰水型原子炉の場合)又は2次冷却材ループ(たとえば、加圧水型原子炉の場合)内で、水を沸騰させる。蒸気などの蒸発した冷却材は、1つ又は複数のタービンを駆動するために使用することができ、1つ又は複数のタービンは、熱ポテンシャルエネルギーを電気エネルギーに変換する。凝縮した後、冷却材は再び戻って、より多くの熱エネルギーを炉心から除去する。原子力システム150は、システム内の故障に伴う危険を最小にするために、監視及び保護機能を必要とする任意のシステムの一例である。
[0101]各原子炉システム150の特有の例示的な実施形態では、円筒形又はカプセル形の原子炉容器の底部分に、炉心が位置決めされる。炉心は、制御された反応をもたらす量の核分裂性の物質を含み、この反応は、おそらく数年又はそれ以上の期間にわたって生じることができる。図1には明示しないが、炉心内の核分裂速度を制御するために、制御棒を用いることができる。制御棒は、銀、インジウム、カドミウム、ホウ素、コバルト、ハフニウム、ジスプロシウム、ガドリニウム、サマリウム、エルビウム、及びユーロピウム、又はこれらの合金及び化合物を含むことができる。しかしこれらは、多くの可能な制御棒物質のうちのいくつかにすぎない。受動動作システムによって設計された原子炉内では、通常動作中又は緊急状態でも、操作者による介入又は監督なく、少なくともある程度の事前定義された期間にわたって、原子炉の安全な動作が維持されることを確実にするために、物理学の法則が用いられる。
[0102]実施形態では、円筒形又はカプセル形の格納容器は、原子炉容器を取り囲んでおり、原子炉プール内で部分的又は完全に、たとえば原子炉ベイ内で水位線より下に浸漬される。原子炉容器と格納容器との間の体積は、原子炉容器から原子炉プールへの熱伝達を低減させるために、部分的又は完全に排気することができる。しかし、他の実施形態では、原子炉容器と格納容器との間の体積は、原子炉と格納容器との間の熱伝達を増大させる気体及び/又は液体で少なくとも部分的に充填することができる。格納容器は、原子炉ベイの底面で周辺に位置することができる。
[0103]特定の実施形態では、炉心は、ホウ素又は他の添加物を含むことができる水などの液体内に浸漬され、この液体は、炉心の表面と接触した後にチャネルまで上昇する。冷却材は、熱交換器の頂部の上を進み、原子炉容器の内壁に沿って対流によって下方へ引き込まれ、したがって冷却材が熱交換器に熱を与えることが可能になる。原子炉容器の底部分に到達した後、炉心との接触により冷却材が加熱され、冷却材は再びチャネルを通って上昇する。
[0104]原子炉容器内の熱交換器は、チャネルの少なくとも一部分に巻き付けられた任意の数の螺旋コイルとすることができる。別の実施形態では、異なる数の螺旋コイルを逆方向にチャネルに巻き付けることができ、たとえば、第1の螺旋コイルが反時計回り方向に螺旋状に巻き付き、第2の螺旋コイルが時計回り方向に螺旋状に巻き付く。しかし、異なる構成及び/又は異なる向きの熱交換器の使用が妨げられることはなく、これに関して実施形態は限定されない。
[0105]図1で、原子炉モジュールの通常動作は、加熱された冷却材がチャネルを通って上昇し、熱交換器に接触するように進む。熱交換器に接触した後、冷却材は、熱サイフォンプロセスを誘起するように、原子炉容器の底部の方へ沈む。図1の例では、原子炉容器内の冷却材は、気圧を上回る圧力のままであり、したがって冷却材が蒸発(たとえば、沸騰)することなく高い温度を維持することが可能になる。
[0106]熱交換器内の冷却材の温度が増大するにつれて、冷却材は沸騰し始めることができる。熱交換器内の冷却材が沸騰し始めると、蒸気などの蒸発した冷却材を使用して、1つ又は複数のタービンを駆動することができ、1つ又は複数のタービンは、蒸気の熱ポテンシャルエネルギーを電気エネルギーに変換する。凝縮した後、冷却材は、熱交換器の底面付近の場所へ戻る。
[0107]図1の原子力システム150の通常動作中、原子力システム150の様々な場所内の位置決めされているセンサ、たとえばI&Cシステム135のセンサによって、原子力システムの様々な性能パラメータを監視することができる。原子力システム内のセンサは、システム温度、システム圧力、1次及び/又は2次冷却材レベル、並びに中性子束を測定することができる。これらの測定を表す信号は、I&Cシステム135のインタフェースパネルへの通信チャネルによって、原子力システムの外部へ報告することができる。
[0108]図示のI&Cシステム135は、概して、主制御室140と、モジュール(又は原子炉)保護システム(MPS)145と、不安全モジュール制御システム(MCS)155とを含む。主制御室140は、各原子力システム150に対して1組の制御及び標示部141を含む。各組の制御及び標示部141は、手動1E制御142と、1E標示部143と、非1E制御及び標示部144とを含む。いくつかの態様では、「1E」とは、原子力規制委員会規制ガイド1.32によって与えられたIEEE規格308−2001第3.7章による1E方式を定義するものなどの規制要件を指すことができ、上記の規制ガイドは、緊急原子炉停止、格納隔離、炉心冷却及び格納、並びに原子炉熱除去にとって不可欠な電気機器及びシステムの安全区分、又は環境への放射性物質の著しい解放を防止するのにその他の形で不可欠なものを定義する。典型的には、特定の制御及び標示部は、「1E」適格(たとえば、手動1E制御142及び1E標示部143)とすることができ、他の制御及び標示部は、「1E」不適格(たとえば、非1E制御及び標示部144)とすることができる。
[0109]非1E制御及び標示部144は、MCS155と双方向通信している。MCS155は、原子力システム150の不安全部分の制御及び監視を提供することができる。概して、MCS155は、他の動作の中でも、動作中過渡変化を抑制してユニットトリップを防止し、定常状態ユニット動作を再確立する。
[0110]MPS145は各々、図1に示す手動1E制御142及び1E標示部143と1方向通信している。MPS145は、概して、安全措置を開始して、設計基準事象の結果を軽減する。MPS145は、概して、原子炉停止を開始するために必要とされる、センサから最終作動デバイス(電源、センサ、信号調節器、開始回路、論理、バイパス、制御基板、相互接続、及び作動デバイス)まですべての機器(ハードウェア、ソフトウェア、及びファームウェアを含む)を含む。
[0111]MPS145は、RTS147及びESFAS148を含む。RTS147は、いくつかの態様では、4つの独立した分離グループ(たとえば、同じ1Eクラスの電気チャネル名(A、B、C、又はD)を有するプロセスチャネルの物理的なグループ分け)を含み、これらの分離グループは、別個の独立した給電部及びプロセス計装送信器を備えており、グループは各々、他のグループとは物理的及び電気的に独立しており、原子炉トリップを生成するために利用することができるプラントパラメータを監視するための独立した測定チャネルを有する。各測定チャネルは、パラメータが所定の設定点を超過すると緊急停止する。RTS147の一致論理は、必要とされる原子炉トリップを単一故障が妨げることがなく、単一の測定チャネル内の故障が不必要な原子炉トリップを生成することがないように設計することができる。
[0112]ESFAS148は、いくつかの態様では、独立した測定チャネルを有する4つの独立した分離グループを含み、これらの測定チャネルは、工学的安全施設(ESF)機器の動作を起動するために利用することができるプラントパラメータを監視する。各測定チャネルは、パラメータが所定の設定点を超過すると緊急停止する。ESFAS148の一致論理は、必要とされるセーフガード作動を単一故障が妨げることがなく、単一の測定チャネル内の単一故障が不必要なセーフガード作動を生成することがないように設計することができる。
[0113]システム100は、4つの防御階層を含むことができ、たとえば、NUREG/CR−6303に定義されているように、原子炉の動作又は遮断及び冷却の目的で、原子炉に取り付けられた計装及び制御システムの配置に対する多層防御の原理の特有の適用を含むことができる。具体的には、4つの階層とは、制御システム、原子炉トリップ又はスクラムシステム、ESFAS、並びに監視及び標示システム(たとえば、公称では他の3つの階層に割り当てられた機器を動作させるために必要とされる1Eクラス及び非1Eクラスの両方の手動制御、監視部、及び標示部を含む最も遅く最も柔軟な防御階層)である。
[0114]制御システム階層は、典型的には、MCS155(たとえば、非1Eクラスの手動又は自動制御機器)を含み、MCS155は、安全でない動作領域への原子炉エクスカーションを日常的に防止しており、概して原子炉を安全な発電動作領域内で動作させるために使用される。制御階層内には、標示部、報知器、及び警報を含むことができる。原子炉制御システムは、典型的には、特定の規則及び/又は要件、たとえば遠隔停止パネルに対する要件を満たすために、いくつかの機器を含む。制御システム階層によって実行される原子炉制御機能は、MCS155内に含まれる。MCS155は、たとえば、原子炉トリップ又はESF作動の必要を回避するために、動作限界内でシステム100を維持する機能を含む。
[0115]原子炉トリップシステム階層は、典型的には、RTS147、たとえば、制御されていないエクスカーションに応答して炉心の反応度を急速に低減させるように設計された安全機器を含む。この階層は、典型的には、潜在的又は実際のエクスカーションを検出する計装装備、原子炉制御棒を急速かつ完全に挿入する機器及びプロセスからなり、特定の化学的な中性子減速システム(たとえば、ホウ素注入)を含むこともできる。図示のように、原子炉トリップ階層によって実行される自動原子炉トリップ機能は、MPS145内(たとえば、RTS147内)に含まれる。
[0116]ESFAS階層は、典型的には、MPS145の一部であるESFASモジュール148を含む。ESFASモジュール148内で実施されるESFAS階層は、典型的には、熱の除去又はその他の方法で放射性物質の解放に対する3つの物理的障壁(たとえば、核燃料棒被覆、原子炉容器、及び原子炉格納)の完全性を維持するのを助ける安全機器を含む。この階層は、ESF機器が動作するために必要とされる様々な支持システム(たとえば、非常用発電機)又はデバイス(バルブ、モータ、ポンプ)の緊急原子炉冷却、圧力逃し又は減圧、隔離、及び制御などの機能に対する必要を検出し、これらの機能を実行する。
[0117]監視及び標示システム階層は、典型的には、主制御室140を含み、いくつかの態様では、最も遅くまた最も柔軟な防御階層である。他の3つの階層と同様に、操作者(たとえば、システム100の操作者)は、正確なセンサ情報に応じて自身のタスクを実行するが、情報、時間、及び手段を所与として、前もって指定されていない論理計算を実行し、予期しない事象に反応することができる。監視及び標示階層は、公称では他の3つの階層に割り当てられた機器を動作(たとえば、手動1E制御142、1E標示部143、並びに非1E制御及び標示部144を介して)させるために必要とされる1Eクラス及び非1Eクラスの手動制御、監視部、及び標示部を含む。監視及び標示システム階層によって必要とされる機能は、MCS155及びMPS145からの情報を含む主制御室内の手動制御、表示、及び標示部によって提供される。安全監視、手動原子炉トリップ、及び手動ESF作動機能は、MPS145内に含まれる。MCS155は、正常なプラント動作中に動作限界を維持するために、不安全監視及び手動制御を提供する。
[0118]4つの防御階層を含むことに加えて、システム100は、複数のレベルの多様性を含む。具体的には、I&C多様性は、想定されるプラント状態に応答する多様な方法を提供するために、異なる技術、論理、又はアルゴリズムを使用して、変数の測定又は作動手段の提供を行う原理である。ここで、重要事象を検出してそれに応答するいくつかの方法を提供するために、異なる技術、論理、若しくはアルゴリズム、又は作動手段を使用して異なるパラメータを感知する計装システムにおいて、この原理に多様性が適用される。多様性は、多層防御の原理に対して相補的であり、特定のレベル又は深さの防御が必要とされるときに作動される可能性を増大させる。概して、人的多様性、設計多様性、ソフトウェア多様性、機能的多様性、信号多様性、及び機器多様性という6つの属性の多様性が存在する。本開示でより深く論じるように、MPS145は、MPS145内で共通原因故障(たとえば、ハードウェアアーキテクチャによって実現される冗長性を不能にするおそれのあるソフトウェアエラー又はソフトウェア発生論理によって引き起こされる故障)の影響を軽減するために、6つの属性の多様性を組み込むことができる。
[0119]概して、人的多様性は、システム開発ライフサイクル全体にわたって人的に誘起される障害(たとえば、誤り、誤った解釈、エラー、構成障害)に対処することに関し、ライフサイクルプロセスの実行における非類似性を特徴とする。
[0120]概して、設計多様性は、同じ又は類似の問題を解決するために、ソフトウェア及びハードウェアを含む異なる手法を使用することである。ソフトウェア多様性は、設計多様性の特別なケースであり、その潜在的な重要性及び潜在的な欠陥のために別個に言及される。設計多様性に対する根拠は、異なる設計は異なる故障モードを有し、同じ共通の影響を受けにくいことである。
[0121]概して、ソフトウェア多様性は、たとえば原子炉を緊急停止するべきかどうかを判定するために2つの別個に設計されたプログラムを使用して、同じ安全目標を実現するために、異なる基幹人員を含む異なるソフトウェア開発グループによって設計及び実施される異なるソフトウェアプログラムを使用することである。
[0122]概して、機能的多様性は、重複した安全効果を有する可能性もあるが、異なる物理的又は論理的機能を実行する2つのシステム(たとえば、システム100内のサブシステム)を指す。
[0123]概して、信号多様性は、保護措置を開始するために異なるプロセスパラメータを使用することであり、これらのパラメータのいずれかは、他のパラメータが正確に検出されなかった場合でも、異常な状態を独立して示すことができる。
[0124]概して、機器多様性は、類似の安全機能を実行するために異なる機器を使用することである(たとえば、安全機能は、設計基準事象に対して確立された許容可能な限界内でプラントパラメータを維持するために不可欠なプロセス又は条件のうちの1つであり、RTS又はESFが必要とされるすべての保護措置を完了すること、若しくは補助的支持特徴が必要とされるすべての保護措置を完了すること、又は両方によって実現することができる)。この場合、「異なる」とは、共通原因故障に対する脆弱性を大幅に減少させるのに十分なほど似ていないことを意味することができる。
[0125]いくつかの態様では、MPS145は、連続(又は部分的連続)する自己試験及び周期的な監視試験の組合せを組み込むことができる。そのような試験方策は、すべての検出可能な故障が識別され、所員に通知される(たとえば、主制御室140を介して)ことを確実にすることができる。自己試験特徴は、システム状態が連続的(又は部分的)に監視されることを確実にする包括的な診断システムを提供することができる。すべての検出可能な故障を所員に通知することができ、システムの全体的な状態を判定するために、故障の影響の標示を提供することができる。自己試験特徴は、分離グループ及びディビジョンの非依存性を維持する。自己試験特徴は、システムの完全性が常時維持されることを確実にする。
[0126]いくつかの態様では、MPS145内の各サブモジュール(以下により詳細に説明する)は、モジュール内の単一故障を検出するように設計された広い障害検出カバー範囲を提供する自己試験特徴を含むことができる。これにより、障害を検出するために必要とされる時間を最小にし、安全及びシステム利用可能性の利益を提供することができる。システムが通常動作しているとき、自己試験は、応答時間などの安全機能の性能に影響を及ぼすことなく実行される。
[0127]自己試験特徴は、未検出の障害を有することを回避するために、活動中及び非活動中両方の論理(たとえば、安全機能が動作することが必要とされるときのみ起動される論理)で、ほとんどの障害を検出することが可能である。障害の検出及び標示は、MPSサブモジュールレベルで行われ、発電所員が交換する必要のあるMPSサブモジュールを容易に識別することが可能になる。
[0128]すべての機能的試験及び検査、較正検証、並びに時間応答測定が認証されることを確実にするために、周期的オンライン監視試験能力を組み込むことができる。周期的監視試験はまた、連続的自己試験機能を検証する。
[0129]MPS145内の自己試験及び周期的監視試験特徴は、すべてのプラント動作モードに対して実行される安全機能に相応の稼働中のテスト容易性のために設計することができる。性能の自己試験及び監視試験は、一時的な試験設定を必要としない。これらの試験特徴は、システムの設計に固有であり、安全機能論理及びデータ構造に加える複雑さを最小にすることができる。バイパス状態の連続的な標示は、(1)プラントの通常動作中に自己試験によって障害が検出された場合、又は(2)安全機能の一部がバイパスされ、若しくは試験に対して故意に動作不能にされた場合に行われる。バイパス状態が除去された後、バイパスの標示は除去される。これにより、バイパスされた安全機能が適切に稼働状態に戻ったことを、発電所員が確認することができることを確実にすることができる。
[0130]MPS145に対する診断データは、各分離グループ及びディビジョンに対して保守ワークステーション(MWS)へ提供される。MWSは、トラブルシューティング活動を容易にするために、機器に近接して位置することができる。MPSとMWSとの間のインタフェースは、光学的に隔離された1方向診断インタフェースとすることができる。すべての診断データは、物理的に別個の通信経路を介して通信することができ、それにより診断機能が安全機能とは独立していることを確実にすることができる。加えて、診断データは、長期記憶のため、中央ヒストリアンへ伝送することができる。これにより、システム動作の履歴分析を実行する手段が提供される。
[0131]診断システムは、設置されたモジュールのリストを維持することができる。これらのリストは、モジュールの欠落又は不正確なモジュールの設置から守るために、システム内で活動中の設置されたモジュールと連続的に比較することができる。
[0132]すべてのMPS安全データ通信は、エラー検出により、データ完全性を強化するように設計することができる。プロトコル特徴を確実にする通信は、頑健で信頼性が高く、伝送障害を検出する能力を有する。類似のデータ完全性特徴を使用して、診断データを伝達することもできる。
[0133]図2A〜2Bは、原子力システム150に対するI&Cシステムのモジュール保護システム(MPS)200のブロック図を示す。いくつかの実施形態では、MPS200は、図1に示すMPS145に類似又は同一とすることができる。概して、図示のMPS200は、センサ及び検出器(たとえば、センサ202a〜202d)の4つの分離グループと、信号調節及び信号調節器(たとえば、信号調節器204a〜204d)の4つの分離グループと、トリップ判定(たとえば、トリップ判定208a〜208d)の4つの分離グループと、RTS投票及び原子炉トリップ遮断器(たとえば、ディビジョンIのRTS投票214及びディビジョンIIのRTS投票216)の2つのディビジョンと、工学的安全施設作動システム(ESFAS)投票及び工学的安全施設(ESF)機器(たとえば、ESFAS投票ディビジョンI212及びESF機器224、並びにディビジョンIIのESFAS投票218及びESF機器226)の2つのディビジョンとを含む。
[0134]概して、センサ202a〜202dは、圧力、温度、レベル、及び中性子束などの異なるプロセスパラメータの測定を担うプロセスセンサを含む。したがって、原子力システム150の各プロセスパラメータは、異なるセンサを使用して測定され、異なる論理エンジンによって実行される異なるアルゴリズムによって処理される。いくつかの態様では、中性子束センサは、停止状態から全出力の120パーセントまでの炉心からの中性子束の測定を担う。MPS200内では、中性子源領域、中間領域、及び出力領域を含む3つのタイプの中性子束検出器を使用することができる。
[0135]概して、信号調節器204a〜204dは、センサ202a〜202dからの測定を受け取り、これらの測定を処理し、出力206a〜206dを提供する。いくつかの態様では、信号調節器204a〜204dへのセンサ202a〜202dの相互接続は、専用の銅線又は何らかの他の信号伝送方法とすることができる。
[0136]信号調節器204a〜204dは各々、図3Aに示すように、複数の入力モジュール270a〜270n(たとえば、センサ入力の数に応じて任意の数のモジュールを示す)から構成することができ、入力モジュール270a〜270nは、センサ202a〜202dからのフィールド入力の調節、測定、フィルタリング、及びサンプリングを担う。各入力モジュール270a〜270nは、24V若しくは48Vのデジタル入力、4〜20mAのアナログ入力、0〜10Vのアナログ入力、抵抗熱検出器入力、又は熱電対入力などの特有の入力タイプに専用とすることができる。
[0137]各入力モジュール270a〜270nは、アナログ回路及びデジタル回路から構成することができる。アナログ回路は、アナログ電圧又は電流からデジタル表現への変換を担う。アナログ回路はまた、信号調節回路とも呼ばれる。各入力モジュール270a〜270nのデジタル部分は、論理エンジン内に位置することができる。論理エンジンは、すべての入力モジュールの制御、サンプルアンドホールドフィルタリング、完全性チェック、自己試験、及びデジタルフィルタリング機能を実行する。センサ出力のデジタル表現は、いくつかの例では直列インタフェースを使用して、出力206a〜206dを通って、信号調節器204a〜204dからトリップ判定208a〜208dへ通信される。
[0138]図3Aを同様に参照すると、トリップ判定208a〜208dは、概して、直列インタフェースを介して、上述した信号調節器204a〜204dからのセンサ入力値をデジタル形式で受け取る。トリップ判定208a〜208dは各々、独立した安全機能モジュール(SFM)272a〜272n(図5を参照してより詳細に説明する)から構成され、特有のモジュールが、1組の安全機能を実施する(たとえば、1組は、特定のプロセスパラメータに関係する単一の安全機能又は複数の安全機能とすることができる)。たとえば、1組の安全機能は、同じ圧力入力からの高トリップ及び低トリップなど、1次変数に関係する1群の機能からなることができる。各SFM272a〜272nは、1組の安全機能の実施に専用の一意の論理エンジンを含む。この結果、各組の安全機能のゲートレベルの実施形態は、すべての他の組の安全機能とは完全に異なる。
[0139]センサ入力値(たとえば、出力206a〜206d)は、決定論的経路を介して通信することができ、各トリップ判定208a〜208d内の特有のSFM272a〜272nへ提供される。次いで、これらの入力値を工学単位に変換し、どの安全機能又はどの組の安全機能がその特有のSFM272a〜272nで実施されるかを判定することができる。トリップ判定208a〜208dは、いくつかの例では隔離された伝送専用の光ファイバ接続を介して、これらの工学単位値を制御システムへ提供する。
[0140]各トリップ判定208a〜208d内のSFMは、必要とされる場合、所定の設定点に基づいて原子炉トリップ判定を行い、隔離された、場合により3重冗長な、伝送専用の直列接続を介して、トリップ又は非トリップ要求信号を各RTSディビジョン(たとえば、それぞれディビジョンI及びIIのRTS投票214及び216)へ提供する。SFMはまた、必要とされる場合、所定の設定点に基づいてESFAS作動判定を行い、隔離された、場合により3重冗長な、伝送専用の直列接続を介して、作動又は作動禁止要求信号を各ESFASディビジョン(たとえば、それぞれディビジョンI及びIIのESFAS投票212及び218)へ提供する。
[0141]図3A〜3Bに示すように、たとえば、特定のトリップ判定208aは、出力274aを通ってESFAS投票212へ、出力274bを通ってESFAS投票218へ、トリップ又は非トリップ要求信号を提供する。トリップ判定208aは、出力276aを通ってRTS投票214へ、出力276bを通ってRTS投票216へ、トリップ又は非トリップ要求信号を提供する。これらの出力はまた、それぞれトリップ判定208a〜208dからの出力210a〜210dとして、概して図2Aにも示されている。
[0142]図3Aにさらに示すように、たとえば、特定のトリップ判定208aは、トリップ又は非トリップ要求信号を、監視&標示(M&I)出力278a及び278b(ディビジョンごとに1つ)、並びに非1E出力280へ提供する。出力278a及び278bは、不安全制御機能のために、MCSへプロセス情報を提供する。出力280は、プロセス情報及びトリップ状態情報を非1E制御及び標示部144へ提供する。
[0143]図2Aへ戻ると、各RTSディビジョン(たとえば、ディビジョンIに対するRTS投票214及びディビジョンIIに対するRTS投票216)は、隔離された、いくつかの態様では冗長な(たとえば、2重、3重、又はその他)、受取り専用の直列接続210a〜210dを介して、上述したトリップ判定208a〜208dから入力を受け取る。トリップ入力は、RTS投票論理で組み合わせられ、その結果、トリップ判定208a〜208dからの2つ以上の原子炉トリップ入力が、出力228a〜228d及び230a〜230d(各ディビジョンに適当)で、自動原子炉トリップ出力信号を生じさせ、出力228a〜228d及び230a〜230dは、それぞれのディビジョンに関連付けられた8つの原子炉トリップ遮断器(RTB)(図2Bに示す)のうちの4つに対するトリップコイルを作動させる。言い換えれば、MPS200のこの例示的な実施形態では、RTS投票論理は、「ツーアウトオブフォー」論理で機能し、これは、4つのトリップ判定208a〜208dのうちの少なくとも2つが、原子炉「トリップ」が必要であることを示した場合、トリップ信号がRTB264a〜264d及び266a〜266dの各々へ送られることを意味する。この遮断器構成により、MPS200の安全かつ簡潔なオンライン試験が可能になる。
[0144]手動トリップ250aが、RTB266a〜266d(ディビジョンI)の直接トリップを提供し、手動トリップ250bが、RTB264a〜264d(ディビジョンII)の直接トリップを提供し、並びに自動作動手動トリップ234(ディビジョンI)及び手動トリップ236(ディビジョンII)への入力を提供して、シーケンスが維持されることを確実にする。
[0145]さらに示すように、各RTB264a〜264d及び各RTB266a〜266dは、入力として、手動トリップ250a又は250bを含む。したがって、両方の手動トリップ250a及び250b(たとえば、ディビジョンI及びIIに対する各手動トリップ)が開始された場合、入力230a〜230d及び入力228a〜228dへの状態(たとえば、トリップ又は非トリップ)にかかわらず、電力入力260は電力出力262へ伝送されない。
[0146]例示的な実施形態では、ESFAS投票及び論理は、必要とされるセーフガード作動を単一故障が妨げることがなく、トリップ判定信号(たとえば、210a〜210d)内の単一故障が不必要なセーフガード作動を生成することがないように配置される。ESFASシステムは、緊急炉心冷却システム及び崩壊熱除去システムなどの重要なシステムの自動及び手動両方の開始を提供することができる。
[0147]各ESFAS投票212/218は、隔離された3重冗長の受取り専用の光ファイバ(又は他の通信技法)接続を介して、トリップ判定208a〜208dから入力210a〜210dを受け取る。作動論理及び投票は、ESFAS投票212/218内で行われる。ESFAS投票212/218が、作動が必要とされると判定したとき、ESFAS投票212/218は、作動要求信号をそれぞれESFAS優先論理220/222へ送り、ESFAS優先論理220/222は、適当なESF機器224及び226を作動させる。
[0148]図2A〜2B及び図3A〜3Bに示すMPS200の実施形態は、主要要素間で高いレベルの非依存性を確実にする。これは、センサ及び検出器202a〜202dの4つの分離グループと、トリップ判定(「a」〜「d」で表記)の4つの分離グループと、RTS214/216(記載のディビジョンI及びディビジョンII)の2つのディビジョンと、ESFAS回路212/218(記載のディビジョンI及びディビジョンII)の2つのディビジョンと、ESF機器224/226(記載のディビジョンI及びディビジョンII)の2つのディビジョンとの間の非依存性を含む。SFM(たとえば、トリップ判定208a〜208d内)への入力に基づいて、MPS200は、4つの分離グループの各々において、1組の安全機能を独立して実施する。安全機能の非依存性は、センサ202a〜202dからトリップ判定出力210a〜210dまで維持される。いくつかの態様では、この構成により、SFM故障がそのモジュールの入力に基づくものに制限される。この方策は、共通原因故障の影響を制限し、信号多様性を強化することができる。この非依存性の方法はまた、独立した安全機能内の故障が、他の安全機能モジュールのいずれにも波及しないことを確実にすることができる。さらに、失敗したSFMのオンライン交換により、他のモジュールに対する影響をもしあれば最小にして、故障を補正することができることを確実にする。
[0149]図示のMPS200内の安全機能データの通信は、3重モジュールで冗長な独立した光学的に隔離された1方向通信経路を介して伝送され又は受け取られる。この通信方式は、ディビジョン間投票とは別に、安全機能が、その安全機能を実現するために、そのディビジョンの外側から生じたいかなる情報又は資源にも依存しないことを確実にすることができる。1Eクラスのディビジョン(たとえば、ディビジョンI及びII)間の障害波及は、ディビジョントリップ信号の1方向隔離(たとえば、光学的な隔離又はその他)によって防止される。
[0150]図2A〜2B及び図3A〜3Bに示すMPS200の実施形態は、図示のアーキテクチャの複数の区域内に冗長性をさらに組み込む。MPS200内の冗長性は、センサ及び検出器(「a」〜「d」で表記)、トリップ判定(「a」〜「d」で表記)の4つの分離グループと、RTS及びESFAS回路(記載のディビジョンI及びディビジョンII)の2つのディビジョンとを含む。MPS200はまた、ツーアウトオブフォー投票を使用し、その結果、必要とされる原子炉トリップ又はESF機器作動が生じることを開始信号の単一故障が妨げないようにする。加えて、必要とされない擬似又は不注意の原子炉トリップ又はESF機器作動を開始信号の単一故障が引き起こさないようにする。
[0151]MPS200はまた、各組の安全機能を実施することによって機能的非依存性を組み込み、各組の安全機能は、その特定の組の安全機能に対して一意の論理エンジンによって、独立したSFMで特定の過渡事象を軽減するために使用される。
[0152]いくつかの態様では、MPS200は、原子炉システムに対する簡潔で高信頼かつ安全な設計を実現するための設計技法を実施する。たとえば、MPS200は、4つの分離グループ及び2つのディビジョンの対称アーキテクチャに基づくことができる。4つの分離グループは各々、他の分離グループに機能的に同等とすることができ、2つのディビジョンは各々、機能的に同等とすることができる。上述したように、ツーアウトオブフォー投票は、図示の実施形態における唯一の投票方策とすることができる。別の例として、MPS200の論理は、特定の安全機能又は安全機能の群に専用の有限状態機械内で実施することができる(たとえば、有限状態機械は、1群のデジタル論理回路であり、有限数の状態のうちの1つとすることができ、1度に1つの状態のみであり、これを現在状態と呼ぶが、状態遷移などのトリガ事象又は1組の状態によって開始されると1つの状態から別の状態へ変化させることができる)。したがって、カーネル又はオペレーティングシステムは必要とされない。別の例として、MPS200内の通信は、決定論的プロトコルに基づくことができ、すべての安全データは、冗長通信経路を介して通信される。別の例として、MPS200の多様性属性は、完全に異なるプラットホームに基づく追加のシステムの追加の複雑さなく、アーキテクチャに固有となるように設計することができる。
[0153]たとえば、図4A〜4Bは、それぞれ例示的なチャート400及び450を示し、チャート400及び450は、MPS200内で実施される多層多様性方策が、ソフトウェア又はソフトウェア論理に基づく共通原因故障をどのように軽減するかを示す。チャート400及び450は、MPS200内で実施される多層多様性方策が、MPS(たとえば、MPS200)内のソフトウェア又はソフトウェア論理に基づくCCFに対する問題をどのようになくすことができるかを示す。これらの例では、過渡事象は、原子力システムに対する給水の損失である。図示のように、2つの異なるプロセスパラメータA1及びA2が測定される(たとえば、センサ202a〜202dを介して)。図示のA1は温度パラメータであり、図示のA2は圧力である。
[0154]異なるプロセス測定A1及びA2は、2つの異なる安全機能アルゴリズムへの入力であり、図示のように(A1)高温及び(A2)高圧である。2つの安全機能アルゴリズムは各々、分離グループ内で別個の独立したSFMに位置する。安全機能アルゴリズムは、異なる2組のプログラマブルデジタルハードウェア(A/C及びB/D)を使用して実施することができ、これはMPS200に示すように、4つの分離グループ(A、B、C、D)と、2つのディビジョンとに分割される。たとえば、ここで、2つの安全機能は、単一の組の安全機能を含む。各組(たとえば、2つの安全機能アルゴリズムからなる)は、異なる技術に基づくことができる。
[0155]設計多様性はまた、異なる組の設計ツールを使用する異なる設計チームによって各組のプログラマブルデジタルハードウェアを設計することができるため、プロセスによって組み込まれる。一例として、安全機能(複数可)は、マイクロプロセッサ内で実施することができる。この例では、安全機能(複数可)は、順次評価することができ、したがっていくつかの態様では、処理ループの順次動作により、1つの安全機能(たとえば、A2)の別の安全機能(たとえば、A1)に対する依存性を導入することができる。別の例として、安全機能は、状態に基づくフィールドプログラマブルゲートアレイ(FPGA)内で実施することができる。この例では、各安全機能は、すべての他の安全機能とは独立して評価することができる。この後者の例では、1つの安全機能の別の安全機能に対する処理のあらゆる依存性を除去することによって、非依存性の増大を確実にすることができる。
[0156]給水損失の過渡事象例に対する多層多様性は、ソフトウェアCCFを1組(A/C)の特定の安全機能(A1)に制限することによって、CCFが保護措置を不能にすることからの保護を提供する。いくつかの態様では、ソフトウェアCCFは、2つの安全機能間の機能的非依存性及び安全機能アルゴリズムが入力として使用するプロセス測定に基づいて、特定の安全機能に制限される。いくつかの態様では、ソフトウェアCCFは、各組に対して異なるプログラマブルハードウェア、設計チーム、及び設計ツールを組み込むことによって、1組の特定の安全機能に限定される。CCFが1組の特定の安全機能に制限されると、過渡事象は、他の組(B/D)のその安全機能(A1)又は両方の組(A/C及びB/D)の第2の安全機能(A2)によって軽減される。
[0157]たとえば、図4Aに示すように、すべての4つの分離グループ(A、B、C、D)(たとえば、チェックマークによって示す)によって保護措置を取る必要があることを示すA1に対する安全機能の出力の結果、保護措置(たとえば、「トリップ」によって示す)が開始される。図4Bに示すように、安全機能A1に対する単一ディビジョン内の2つのグループでも、2つの分離グループ(A及びC)内にCCFが存在する場合、他の分離グループ(B及びD)内の保護措置の正の標示がそれでもなお、保護措置を開始するのに十分な票を提供する(上述したツーアウトオブフォー方式)。さらに、安全機能A1に対するグループA及びC内のCCFは、各SFMにおける独立した評価のため、安全機能A2へ波及しない。
[0158]図5は、原子力システムに対するI&CシステムのMPSの安全機能モジュール(SFM)500のブロック図を示す。図6は、原子力システムに対するI&CシステムのMPSの通信モジュール(CM)600のブロック図を示す。図7は、原子力システムに対するI&CシステムのMPSの機器インタフェースモジュール(EIM)700のブロック図を示す。図8(以下に論じる)は、シャーシ(たとえば、1つ又は複数のSFM500、CM600、及びEIM700を相互接続する機械構造)内の通信経路を示す。概して、シャーシ(後述するシャーシ800によって示す)内で相互接続された図示のモジュール500、600、及び700は、MPS200の安全機能を実施し、分離グループレベルモジュール(たとえば、信号調節器204a〜204d、トリップ判定208a〜208d)、RTSレベルモジュール(たとえば、RTS投票214/216)、及びESFASレベルモジュール(たとえば、ESFAS投票212/218)を構成する。いくつかの態様では、3つのタイプのモジュール(500、600、及び700)を有することで、ライン交換可能ユニットの数を最小にし、以て陳腐化を最小にすることができる。さらに、これらのモジュール(500、600、及び700)は、いずれかの個々のモジュール(500、600、及び700)内の単一故障が他のモジュール又は他の安全機能へ波及しないように、機能的に独立したものとすることができる。さらに、図8で実施されるモジュール(500、600、及び700)の組合せは、個別の決定論的安全信号経路を提供することができる。
[0159]いくつかの態様では、モジュール(500、600、及び700)は、機能的非依存性を少なくとも部分的に定義する1つ又は複数の特徴を有することができる。たとえば、モジュールは各々、全体的なシステム/アーキテクチャ(たとえば、MPS200)内で、互いのモジュールに対して完全に自律的とすることができる。別の例として、モジュールは各々、全体的なシステム/アーキテクチャ内で特定の所期の安全機能を互いのモジュールに対して自律的に実行することができる。さらに別の例として、モジュールは各々、モジュールの特定の所期の安全機能に特有である専用の論理を含むことができる。したがって、機能的に独立した各モジュールは、あらゆる他のモジュールからの論理又は機能に依存しないで、特定の所期の安全機能を完成させることができる。
[0160]図5を参照すると、SFM500は、図示のように、他のSFMからのセンサ入力又はデータを処理して、特定のSFMが割り当てられた分離グループ(たとえば、分離グループA、B、C、又はD)に対する原子炉トリップ及び/又はESF作動判定を行う。SFM500は、(1)安全データバス通信、並びに原子炉トリップ及び/又はESF作動によるセンサ信号調節、並びに(2)原子炉トリップ判定及び/又はESF作動判定による安全データバス通信という2つの別個の構成で使用することができる。
[0161]図示のように、SFM500は、概して、入力ブロック504、機能的論理ブロック512、並びに通信ブロック514、516、及び518を含む。各入力ブロック504(図5には4つを示す)は、信号調節回路506、アナログ−デジタル(A/D)変換器508、及び直列インタフェース510からなる。各入力ブロック504は、センサ502(たとえば、センサ202a〜202dと同じ又は類似とすることができる)に通信可能に結合される。図示のように、個々のSFM500は、最大4つの入力ブロック504(図示の例示的な実施形態では)を取り扱うことができる。入力タイプは、SFM500がパーミッシブ及びインタロックの生成を含むトリップ又はESF作動判定を行うために必要とするはずのアナログ及びデジタルの任意の組合せ(たとえば、4〜20mA、10〜50mA、0〜10V)とすることができる。
[0162]機能的論理ブロック512は、SFM500のうち、入力ブロック504(使用される場合)の直列インタフェース510からの出力を工学単位に変換するプログラマブル部分である。機能的論理ブロック512はまた、入力ブロック504の出力(たとえば、センサ502からのセンサ測定)及び/又は安全データバスからの情報に基づいて、トリップ及び/又はESF作動判定を行うことができる。機能的論理ブロック512はまた、パーミッシブ及び制御インタロックを生成することができる。図示のように、機能的論理ブロック512は、入力ブロック504及び/又は安全データバスから得た情報を利用してトリップ又はESF作動判定を行う複数の決定論的論理エンジンを含む。
[0163]機能的論理ブロック512によって利用される設定点及び他の調整可能な情報は、不揮発性メモリ内(たとえば、SFM500上)に記憶することができる。これにより、根本的な論理の修正なく変更を可能にすることができる。さらに、機能、信号、及びソフトウェア多様性を実施するために、AOO又はPAを軽減するために使用される1次及び補助機能は、同じSFM500上には位置しない。したがって、1つの機能又は1群の機能に専用のSFM500を使用し、1次及び補助機能が別個のモジュール500上にあることを確実にすることによって、各モジュール500上の一意の論理及びアルゴリズムのため、ソフトウェアCCFの影響が制限される。
[0164]通信ブロック514/516/518は、5つの別個の通信ポート(たとえば、514と表記する3つの安全データポート、516と表記する1つのポート、及び518と表記する1つのポート)からなる。各ポートは、機能的に独立したものとすることができ、監視及び標示(M/I)バス(たとえば、ブロック516)、保守ワークステーション(MWS)バス(たとえば、ブロック518)、又は安全バス(たとえば、ブロック514)と呼ばれる。各安全データバス514は、同じデータを通信することができるが、各通信ポートは非同期であり、ポートは、異なる独立した一意の通信エンジンを使用することによって、データを別々にパッケージ化して伝送する。たとえば、1つの安全データバス514は、たとえば、10パケットのデータを順次(たとえば、1、、...、10)伝送することができ、別の安全バス514は、同じ10パケットを逆の順序(たとえば、10、9、..、1)で伝送し、第3の安全バス514は、偶数のパケットをまず伝送し、それに続いて奇数のパケットを伝送する(たとえば、2、4、..10、1、3、..、9)。この3重のモジュール冗長性及び多様性は、通信エラー検出を可能にするだけではなく、正確なトリップ及び/又は作動判定を行うためのRTS又はESFASの能力に影響を及ぼすことなく、通信CCFを特定のバスに制限する。
[0165]図6を参照すると、CM600は、原子力システムに対するI&CシステムのMPS(たとえば、MPS200)の分離グループレベルの相互接続、RTSレベルの相互接続、及びESFASレベルの相互接続において、SFM500及びEIM700などのMPSの他のモジュール間で、独立した冗長な通信を提供する。たとえば、CM600は、MPS内でデータを通過させるためのパイプライン、並びにそのようなデータ通過のスケジューラとすることができる。CM600は、任意の特定のチャネル内で、そのチャネル内のデータの動作/通過を制御することができる。CM600の図示の実施形態では、制限された通信ブロック(RCB)604、通信スケジューラ606、及び通信ブロック608/610という3つのタイプのブロックが存在する。
[0166]RCB604は、図示のように、4つの通信ポートからなる。いくつかの態様では、各ポートは、異なる単方向経路(たとえば、受取り専用又は伝送専用)になるように構成することができる。いくつかの実施形態では、図示のCM600のように、特定のRCB604から受け取られ又は送られる情報は、光アイソレータ602を通って渡される。場合により、光アイソレータ602は、任意の特定のトリップ判定からのデータが他のトリップ判定のデータから隔離されることを確実にするのを助け、以て独立した冗長性を確実にすることができる。
[0167]通信スケジューラ606は、通信ブロック608/610とRCB604との間のデータの移動を担う。いくつかの態様では、通信エンジン606は、記載の相互接続間の通信をスケジュールするようにプログラムされたFPGAなどのプログラマブル論理、マイクロプロセッサ、又は他の個別の論理からなる。
[0168]通信ブロック608/610は、4つの別個の通信ポート(たとえば、608と表記する3つの安全データポート及び610と表記する1つのポート)からなる。各ポートは、機能的に独立したものとすることができ、監視及び標示(M/I)バス(たとえば、ブロック610)又は安全データバス(たとえば、ブロック608)と呼ばれる。いくつかの態様では、M/Iバス610は、MPS内のすべてのモジュール(たとえば、モジュール500、600、及び700)から、そのようなモジュールの各々の状態を含む情報を集めることができ、その情報を「ヒストリアン」ステーション(たとえば、MPSの履歴データに対する専用の計算システム)へ送る。
[0169]各安全データバス608は、同じデータを通信することができるが、各通信ポートは、バス514を参照して上述したように、データを別々にパッケージ化して伝送する。通信モジュールの応用例に応じて、4つの通信ブロック608/610は、単方向及び双方向経路の任意の組合せで構成することができる。
[0170]図7を参照すると、EIM700は、概して、トリップ判定に投票し、構成要素レベルの作動及び操作を行うために、RTS及び/又はESFASレベルシステム内の原子力システム内の各構成要素へインタフェースを提供する。図示のように、EIM700は、出力ブロック720、機器フィードバックブロック718、1E手動入力716、非1E手動入力714、投票エンジン722、優先論理ブロック721、機器制御ブロック723、及び通信ブロック724/726/728を含む。概して、EIM700は、単一の構成要素の故障が、原子力システムに対するI&CシステムのMPS(たとえば、MPS200)のチャネルレベルの相互接続、RTSレベルの相互接続、及びESFASレベルの相互接続内で波及しないことを確実にするために、トリップ信号に基づいて、投票、場合により2重投票(たとえば、通信に対してツーアウトオブスリー投票、及びトリップ信号に対してツーアウトオブフォー投票)を実行することができる。EIM700は、投票722、手動作動/1E入力716、及び非1E入力714からの自動信号に対する優先割当てを実行することができる。
[0171]出力ブロック720は、図示のように、最大3つの独立した出力スイッチ、又はいくつかの例ではそれ以上を含み、これらの出力スイッチは、外部回路内で使用することができ、電気負荷702(たとえば、アクチュエータ)に結合される。いくつかの態様では、これにより、EIM700が単一の構成要素を直接制御すること、又は複数の構成要素に対して開始信号を提供することが可能になる。たとえば、出力ブロック720はリレーを励磁し、それにより様々なポンプを開始し、複数のバルブを開放する。各出力ブロック720はまた、負荷連続性検査を自己試験及び実行する能力を含むことができる。
[0172]機器フィードバックブロック718は、図示のように、機器からの複数(たとえば、最大3つ、又はいくつかの例ではそれ以上)のフィードバック入力704からなることができる。フィードバック入力704は、たとえば、バルブ位置(たとえば、完全開放、完全閉鎖)、遮断器状態(たとえば、閉鎖/開放)、又は他の構成要素からの他のフィードバックを含むことができる。機器フィードバック704は、以下に論じる投票機器制御ブロック723内で利用することができる。
[0173]1E手動入力ブロック716は、複数(たとえば、最大2つ、又はいくつかの例ではそれ以上)の手動入力信号706を提供することができる。EIM700のこの部分は、手動入力に専用とすることができ、優先論理ブロック721内で利用される。
[0174]複数の入力信号708が、隔離インタフェース712を介して非1E入力ブロック714に結合される。この電気的隔離インタフェース712により、優先論理ブロック721への入力に対する非1E信号の使用が可能になる。
[0175]投票エンジン722は、通信ブロック724からトリップ判定入力を受け取る。投票の結果は、自動作動信号に対して作動又は非作動信号を優先論理ブロック721へ提供する。いくつかの態様では、投票エンジン722は、MPS内の単一の構成要素の故障が波及しないことを確実にするために、投票方式、場合により2重投票方式を実施することができる。たとえば、いくつかの態様では、投票エンジン722は、通信ブロック724でトリップ判定を受け取る。各通信ブロック724は、4つのチャネル又は分離グループ(たとえば、上述したチャネルA〜D)から、トリップ判定(たとえば、トリップ又はトリップなし)を受け取ることができる。投票エンジン722内に、いくつかの態様では、3つの「A」トリップ判定、3つの「B」トリップ判定、3つの「C」トリップ判定、及び3つの「D」トリップ判定が存在することができる。したがって、投票エンジン722は、4つのチャネル又は分離グループの各々において、ツーアウトオブスリー判定を実行することができる。3つの「A」チャネルのうちの少なくとも2つが、たとえばトリップの有効な通信を提供する(たとえば、トリップ判定の通信が有効であることを示す)場合、投票エンジン722は、少なくとも最初は、チャネル「A」上にトリップがあることを通信することができ、3つの「A」チャネルのうちの1つのみがトリップを示す場合、投票エンジン722は、チャネル「A」上にトリップがないと判定することができる。
[0176]投票エンジン722は、上述したように、故障がMPS構造全体にわたって波及しないことをさらに確実にするために2重投票方式を実施することができる。たとえば、上述したツーアウトオブスリー通信判定後、投票エンジン722はまた、トリップが実際に行われたかどうか(たとえば、故障が偽のトリップを示すのではない)を判定するために、ツーアウトオブフォートリップ判定を実行することができる。たとえば、ツーオブスリー判定を実行する投票エンジン722内の4つの投票ブロックの出力(たとえば、3つの投票論理ゲートのうちの2つ)を、ツーオブフォー判定を行う別の投票ブロック(たとえば、ツーオブフォー投票論理ゲート)へ送ることができる。第1の層の投票ブロック(たとえば、ツーオブスリーブロック)からの4つの出力のうちの少なくとも2つがトリップを示す場合、投票エンジン722は、トリップが生じたこと(及び負荷702などのEFS機器を作動させるべきであること)を判定することができ、それ以外の場合、投票エンジン722は、実際のトリップが生じていないと判定することができる。
[0177]優先論理ブロックは、投票ブロック722、1E手動入力ブロック716、及び非1E手動入力ブロック714から入力を受け取る。次いで優先論理ブロック721は、すべての入力に基づいて、機器制御モジュールに何を実行するように命令するかの判定を行う。
[0178]機器制御ブロックは、優先論理モジュールからコマンドを受け取り、出力ブロック720を介して構成要素上で適当な作動又は操作を実行する。機器制御ブロックは、機器制御の目的のため、機器フィードバックブロック718を介して機器からフィードバックを受け取る。
[0179]機器制御ブロック722、優先論理ブロック721、及び投票ブロック722は各々、保守ワークステーション(MWS)バス(たとえば、ブロック728)へ状態情報を提供する。通信ブロック724/726/728は、5つの別個の通信ポート(たとえば、724と表記する3つの安全データポート、726と表記する1つのポート、及び728と表記する1つのポート))からなる。各ポートは、機能的に独立したものとすることができ、監視及び標示(M/I)バス(たとえば、ブロック726)、保守ワークステーション(MWS)バス(たとえば、ブロック728)、又は安全データバス(たとえば、ブロック724)と呼ばれる。
[0180]図8は、1つ又は複数のSFM500、EIM700、及びCM600を通信可能に結合する原子炉保護システム(たとえば、MPS145)のシャーシ800の例示的な実施形態を示す。この図は、シャーシ800内で4つのCM600に接続された3つのSFM500又はEIM700の一例を提供する。この例では、5つのデータバス経路が示されている。たとえば、3つの安全データポート802が、それぞれX、Y、及びZと表記されている。1つのデータバス経路804が、M/Iと表記されている。1つのデータバス経路804が、MWSと表記されている。各データバス経路802/804は、この例では、シャーシ800内のすべての他のデータバス経路802/804とは機能的及び電気的に独立したものとすることができる。
[0181]この図示の実施形態では、CM600は各々、データバス経路802/804のうちの1つのマスタを含むことができる。図示のように、Xデータバス経路802のマスタ808は、安全データXに対するCM600の一部である。Yデータ経路802のマスタ810は、安全データYに対するCM600である。Zデータ経路802のマスタ812は、安全データZに対するCM600である。最後に、この例に示すように、M/Iデータ経路804に対するマスタ814は、M/Iに対するCM600である。この例でも同様に、MWSマスタ816は、別個に接続(たとえば、保守ワークステーションとして)されたMWSデータ経路806のマスタである。保守ワークステーション(MWSマスタ)816は、ハードワイヤードスイッチによって機器の通常動作から切断することができる。
[0182]図9A〜9Cは、SFM500、CM600、及びEIM700のうちの1つ又は複数を利用する分離グループ、RTS、及びESFASレベルの相互接続のブロック図を示す。概して、モジュールSFM500、CM600、及びEIM700は、単一故障(たとえば、ハードウェア、ソフトウェア、又はその他)が隣接する又は他の安全機能へ波及することからの保護を提供する、たとえば機能的に独立したモジュール(たとえば、特定可能なデバイス、計器、又は機器を構成しており、切断し、ユニットとして取り外し、予備部品に交換することができ、ユニットとして試験することが可能な定義可能な性能特徴を有する、相互接続された構成要素のアセンブリ)として、MPS200内に配置することができる。これらのモジュールは、いくつかの実施形態では、トリップ感知及び判定のために、最大で3重の冗長性を提供することができる。モジュールはまた、上述したように、冗長RTS及びESFAS投票ディビジョンを提供するように配置することができる。いくつかの実施形態では、モジュールは、トリップ構成要素(たとえば、遮断器、センサ、又はその他)ごとに独立したトリップ投票モジュールを提供することができる。
[0183]場合により、モジュールはRTS投票を提供し、他の場合、モジュールはESFAS投票を提供する。各モジュールの非依存性に対して、各モジュールは、RTS/ESFASトリップを起動するか、それとも起動しないかに関して、特定のトリップ構成要素に専用のすべての他のモジュールとは別個に、特定のトリップ構成要素に対する判定を行うことができる。いくつかの実施形態では、トリップ判定の有効な通信の判定は、多数決(たとえば、ツーアウトオブスリー)によって行うことができる。いくつかの実施形態では、これらの判定は、2重投票方式で行うことができ、トリップ判定の通信は、多数決(たとえば、ツーオブスリー)によって認証され、2次トリップ判定投票は、多数決投票より小さい(たとえば、ツーオブフォー)。
[0184]図9Aを参照すると、例示的な分離グループレベルの相互接続900が示されている。図示のチャネルレベルの相互接続900は、チャネルセンサ入力902と、入力902を受け取るSFM500と、920を通って出力904を通信するCM600とを含む。図示のように、単一の機能又は単一の組の機能を実施するために、チャネルレベルの相互接続900内の各SFM500は、アナログ及びデジタルの任意の組合せで、4つの入力902、又はいくつかの例ではそれ以上を含むことができる。各入力902は、特定のSFM500に一意とすることができる(たとえば、チャネルA加圧器圧力信号は、1つのSFM500のみへの直接入力である)。状態情報(たとえば、警報、論理判定、モジュール状態)を含む入力データは、すべての4つのデータバスで利用可能とすることができる。
[0185]安全バスは、機能的に独立したものとすることができ、各安全バスは、CM600をマスタとしたマスタ−スレーブプロトコルを使用する。SFM内のブロックは同期して動作するが、モジュール間の通信は、非同期とすることができる。バスに対するCM600が、特定のSFM500からの情報を要求したとき、SFM500は、バスへの同報通信で応答することができる。同報通信の利益は、たとえば「1」と表記するSFM500が、「2」と表記するSFM500によって必要とされる情報(たとえば、パーミッシブ信号、センサ入力値)を有する場合、SFM500「2」が、この必要とされる情報を待ち受けて取得することができる。
[0186]3つの安全データバス(たとえば、「X」、「Y」、及び「Z」と表記)に加えて、監視及び標示(M/I)に対する第4の通信バスが示されている。M/Iバスのマスタは、M/Iデータを安全ゲートウェイ及び不安全制御システムへ提供するのに専用のCM600とすることができる。3つの安全データバス(たとえば、バスX、Y、及びZ)に対するCM600とは異なり、M/IのCM600は、すべての3つの安全バス上の情報の同報通信を待ち受けることが可能である。
[0187]いくつかの実施形態では、CM600の制限された通信ブロック(RCB)は、様々なポイントツーポイント構成を有することができる。分離グループレベルの相互接続900では、RCB上のすべての4つの通信ポートを伝送専用に構成することができる。各安全データバスCM600(たとえば、X、Y、及びZと表記するCM600)からのデータは、RTS及びESFASの各ディビジョン(たとえば、ディビジョンI及びII)へ送ることができる。M/I CM600からのデータ(たとえば、出力916〜920)は、安全ゲートウェイ及び不安全制御システムへ送ることができる。
[0188]出力904〜914は、たとえば、RTS及びESFASレベルの相互接続(後述)へ提供することができる。たとえば、図示のように、出力904、908、及び912は、ESFASレベルの相互接続へ提供することができ、出力906、910、及び914は、RTSレベルの相互接続へ提供することができる。図9Aには1つの分離グループレベルの相互接続900のみが示されているが、MPS構造を有する複数の相互接続900を設けることができる。
[0189]図9Bを参照すると、ディビジョンに分割された例示的なRTSレベルの相互接続が示されている。RTSレベルの相互接続は、図示のように、RTSのディビジョンI及びII(たとえば、RTS投票214及び216)を含む。図示の各ディビジョン(214及び216)は、4つのCM600及び4つのEIM700を含む。各ディビジョンに対して、3つの安全データバス(X、Y、及びZと表記)は各々、入力962〜972として示すすべての4つの分離グループからのトリップ又はトリップなし判定を受け取ることができる(たとえば、分離グループは、同じ番号、すなわちA1及びB1で表記する)。第4のCM600は、図示のように、データを(出力974〜976として)不安全制御システム及び安全ゲートウェイへ伝送するように提供することができる。
[0190]各安全バスCM600に対するRCB上の各通信ポートは、「受取り専用」に構成することができ、光学的に隔離することができる(上述)。M/I CM600は、「伝送専用」に構成されたRCB内にすべてのポートを有することができる。
[0191]いくつかの実施形態では、すべての分離グループからの各安全データバスに対するトリップ判定は、4つのEIM700の各々に利用可能である。EIM700は、すべての3つの安全バス(X、Y、及びZと表記)を使用して、通信エラーによる遮断器の擬似作動がないことを確実にすることができる。4つの分離グループ(入力962〜972)のうちの少なくとも2つがトリップ状態を示すとき、原子炉トリップ遮断器が開放される。各EIM700は、たとえば、原子炉トリップ遮断器の不足電圧リレー及び分路トリップコイルに専用とすることができる。自動作動に加えて、EIM600は、手動のディビジョンレベルの原子炉トリップ978、遮断器フィードバック、及びESFASフィードバックに対する入力を有する。
[0192]EIM600の出力(ディビジョンIに対して980a〜980d、ディビジョンIIに対して982a〜982dと表記)は、特定のディビジョンに関連付けられた原子炉トリップ遮断器(RTB)(図2Bに示す)のトリップコイルに対する入力に結合することができる。
[0193]図9Cを参照すると、ディビジョンに分割された例示的なESFASレベルの相互接続が示されている。ESFASレベルの相互接続は、図示のように、ESFASのディビジョンI及びII(たとえば、ESFAS投票212及び218)を含む。図示の各ディビジョン(212及び218)は、4つのCM600及び4つのEIM700を含む。各ディビジョンに対して、3つの安全データバス(X、Y、及びZと表記)は各々、入力962〜972と表記するすべての分離グループ(この例では、Dと表記する4つ)からのESF作動判定を受け取る。
[0194]各安全データバスCM600(X、Y、及びZと表記)に対するRCB内の各通信ポートは、「受取り専用」に構成することができ、光学的に隔離することができる(上述)。M/I CM600は、「伝送専用」に構成されたRCB内にすべてのポートを有することができ、これらのポートも同様に光学的に隔離されている。
[0195]いくつかの実施形態では、すべての分離グループからのESF作動判定は、すべての3つの安全データバス(X、Y、及びZと表記)上のEIM700に利用可能である。たとえば、EIM700は、機器の擬似作動が通信エラーによって引き起こされないことを確実にするために、すべての3つの安全データバスを使用することができる。4つの分離グループのうちの少なくとも2つが、ESF作動の必要を示す(たとえば、入力962〜972上)場合、出力990(図3Bに示すように、ディビジョンに基づいてESF機器224及び226に結合されている)を介して、安全機能(複数可)を開始することができる。いくつかの態様では、各EIM700は、個々の構成要素(たとえば、単一のESF構成要素)に専用とすることができる。
[0196]自動開始は別にして、各EIM700は、手動入力992を使用して構成要素を制御することができる。さらに、各EIM700はまた、非1E制御入力994を受け取ることができる。非1E制御入力994(図3Bに入力282としても示す)は、非1EがEIMの出力上で1E安全ESF構成要素を制御するために、EIM700へ提供することができる。構成要素フィードバック(たとえば、リミットスイッチ)、投票判定、及び他の利用可能な情報(たとえば、警報)は、M/I CM600から出力974〜976として伝送することができる。
[0197]図10は、原子力システムのI&Cシステム135に対する多様性分析図を示す。多様性分析の目的のため、図10に識別されるブロックは、システム調査を簡略化する詳細レベルを表す。ブロックは、内部故障がそれらの属性に基づいて他のブロックに波及しないと考えられる機器及びソフトウェアの物理的部分集合を表すように選択されている。
[0198]図示のように、図10のブロックは、I&Cシステム、この例ではI&Cシステム135を示す。ブロック1002は、非1E監視及び標示機器を表し、ブロック1004a/bは、それぞれ1E監視及び標示I及びIIを表し、ブロック1006a/bは、それぞれ安全ブロックI及びIIを表す。ブロック1006aは、分離グループA及びC、RTS I、並びにESFAS Iを含み、ブロック1006bは、分離グループB及びD、RTS II、並びにESFAS IIを含む。ブロック1008は、MCSを表す。図示のように、矢印を有する接続線は、ブロック間の通信を示す。
[0199]4つの階層に対する目的の1つは、多様性である。たとえば、MPSは、単一故障基準を満たすことができ、この基準は、(1)すべての特定可能であるが検出不能な故障と同時発生の安全システム内の単一の検出可能な故障、(2)単一故障によって引き起こされるすべての故障、並びに(3)安全機能を必要とする設計基準事象を引き起こす、又は安全機能を必要とする設計基準事象によって引き起こされる、すべての故障及び擬似システム動作の存在下で、MPSが設計基準事象のために必要とされるすべての安全機能を実行することを求めることができる。この要件は、増大された信頼性を提供することができるが、システムが共通原因故障(CCF)に脆弱になることを妨げない。任意の設計に対して、依存性(たとえば、結合係数)が存在することがあり、これによりCCFは複数の独立した故障から区別される。これにより、原因となる影響を低減させるか、それともそれらの影響に耐えるシステムの能力を増大させるという、システム内で共通原因故障を防止する2つの基本的な形式が得られる。
[0200]これらの2つの形式の実施形態は、上述したように、設計多様性、機器多様性、機能的多様性、人的多様性、信号多様性、及びソフトウェア多様性という6つの属性で実施することができる。これらの属性の適用は、図10に示す各ブロック、並びに図10に示すブロック間の属性に関して調査される。
[0201]ブロック内の属性
[0202]図を参照して図示及び説明するように、分離グループA、B、C、及びD、並びにRTS及びESFASの2つのディビジョンは、それらが基づくプログラマブル技術に従ってグループ化される。安全ブロックI及びIIはともに、モジュール保護システム(MPS)(たとえば、MPS200)を構成する。
[0203]信号多様性に関して、所与の過渡事象に対して、少なくとも2つの安全機能が存在することができ、各安全機能は、異なる物理的作用(たとえば、圧力、レベル、温度、中性子束)の測定された変数(複数可)に基づく。1つの安全機能の損失は、ブロックが保護措置に対する必要を識別することを妨げない。
[0204]ソフトウェア多様性に関して、その入力に基づいて、各安全機能モジュール(SFM500)は、1つの安全機能又は1群の安全機能に専用である。その結果、各SFMは、一意のアルゴリズム/論理を有する。各通信モジュール(CM600)は、同じパケットの情報を異なる順序で伝送し、これにはCM内の各通信エンジン(608/610)が異なるアルゴリズムを有することが必要になることがある。各機器インタフェースモジュール(EIM700)は、単一の構成要素に専用とすることができ、その結果、一意のアルゴリズム/論理を得ることができる。
[0205]1E監視及び標示は、ビデオ表示ユニット(VDU)及び物理スイッチの2つのディビジョンを使用して実現することができる。1E監視及び標示(M/I)の各ディビジョンは、ブロック1004a/bとすることができる。設計多様性に対して、M/Iの各ディビジョンは、プラント状態情報をデジタルディスプレイ上で操作者へ提供することができ、ディビジョンレベルで任意の保護措置を手動で開始するための手動スイッチを有することができる。信号多様性に対して、操作者は、すべての測定された変数を有することができ、これらの変数は、トリップ及び/又はESF作動が必要かどうかを判定するために、MPSによって利用される。同じほど速くはないが、操作者は、MPSと同じ判定を行うために、異なる物理的作用の複数の測定された変数を有することができる。
[0206]ブロック間の多様性属性
[0207]人的多様性に関して、安全ブロックI及び1E M/I Iのソフトウェアは、1つの設計チームによって設計することができ、安全ブロックII及び1E M/I IIは、異なる設計チームによって設計することができる。加えて、独立した検証及び認証チームが、各設計チームの作業を点検し、設計の正確さを確実にすることができる。前述の設計チームもまた、モジュール制御システム(MCS)及び非1E M/Iに割り当てられたチームとは異なる。
[0208]設計多様性は、同じ又は類似の問題を解決するために、ソフトウェア及びハードウェアの両方を含む異なる手法を使用することである。CCFの可能性及び結果を制限するために、安全ブロックI1004a及び1E M/I Iブロック1006aは、安全ブロックII及び1E M/I IIとは異なるプログラマブル技術を使用することができる。MCS及び非1E M/Iはまた、異なるプログラマブル技術を有することができる。上記で論じた他の属性とともに、異なるハードウェア設計は、異なる故障モードを有することができ、したがってCCFが2つ以上のブロックに影響を及ぼす可能性を低減させることができる。たとえば、M/Iブロックを除いて、ブロックは、異なる部屋に物理的に分離することができる。これは、複数の構成要素がCCF事象に巻き込まれる状態をもたらしうる結合係数をさらに低減させることを意図している。
[0209]ソフトウェア多様性は、設計多様性の部分集合であり、同じ安全目標を実現するために、異なる基幹人員を含む異なる開発グループによって設計及び実施される異なるプログラムを使用することを含むことができる。上記で論じた設計多様性により、異なる設計チームが異なる設計ツールを使用することができ、したがってこれらのツールは、同じ故障モードを導入することがない。
[0210]機能的多様性は、ブロック間の異なる目的及び機能を有することによって導入することができる。安全ブロックI及びIIは、MPSを形成する。これらのブロックは、動作限界を超過した場合、原子炉トリップを開始することができ、ESFを開始して想定される事故を軽減することができる。M/Iブロックは、操作者が安全及び不安全両方のシステムを監視及び制御することを可能にすることができる。操作者は、プラントを動作限界内で維持することができ、又は必要な保護措置を開始することができる。MCSは、特定の動作中過渡変化を抑制することを含めて、プラントを動作限界内で維持するためにシステムの自動制御を提供する。
[0211]作動機器及び保護措置の自動及び手動手段を有することによって、ブロック間で信号多様性を提供することができる。MCS及び非1E M/Iは、機器レベルで制御を提供し、1E M/Iブロックは、ディビジョンレベルで制御を提供する。
[0212]機器多様性は、類似の安全機能を実行するために異なる機器を使用することである。保護措置の開始は、スイッチを使用する操作者の動作によって行うことができ、又は安全ブロックI若しくはIIによって自動的に実行することができる。安全ブロックI及びII間で、異なるプログラマブル技術を使用することができ、これには異なる内部サブコンポーネント及び異なる製造方法を必要とすることがある。
[0213]4つの階層の別の分析指針は、システム故障タイプである。タイプ1の故障は、防御階層間の相互作用のために制御システムエラーによって開始されたプラント過渡変化に対する保護措置を行うことができない故障である。典型的には、これは、共通センサ又は信号源の故障に関連付けられる。MPSによって監視されるプラントパラメータのいくつかは、正常なプラント制御のためにMCSへ提供される。上述したように、1つの信号源を提供するのではなく、すべての4つの分離グループ並びにESFAS及びRTSの両方のディビジョンが、隔離された1方向通信を介して情報を提供する。これにより、MCSがどの冗長な独立した信号源を使用するかを選択する異なる方法(たとえば、中間値信号選択)を使用することを可能にすることができる。
[0214]タイプ2故障は、過渡変化を直接引き起こすことはなく、保護機器が未検出の故障によるプラント過渡変化に応答しないものである。安全ブロックI及びII内並びに安全ブロックI及びII内間の属性を使用することで、未検出の故障又はCCFが2つ以上のブロックに影響を及ぼすのを防止するために十分な多様性を得ることができる。2つのブロックのうちの1つのみが保護措置を自動的に開始するために必要とされる場合、タイプ2故障は、追加のシステムなくMPS(安全ブロックI及びII)によって軽減することができる。
[0215]タイプ3故障は、設計基準事象を検出するために依拠する1次センサが異常な読取りをもたらすものである。少なくとも2つの安全機能を提供することによって、安全ブロック内で信号多様性を得ることができ、各安全機能は、任意の過渡事象に対して異なる測定されたパラメータに基づく。所与の安全機能に対するセンサのすべての4つの分離グループが、異常な読取りを提供する場合、タイプ3故障に対しては、1)異常な読取りが、実際に限界を超過したときにトリップなし又はESF作動が必要とされることを示す、及び2)異常な読取りが、限界を超過していないがトリップ又はESF作動が必要とされることを示す(たとえば、擬似トリップ又はESF作動)という2つの可能な不都合なシナリオが存在しうる。第1のシナリオでは、安全ブロック内のCCFと同時発生のタイプ3故障が、必要な保護措置(複数可)の開始を妨げる可能性がない。前述したように、信号多様性は、過渡事象を軽減するために別個の安全機能を利用可能にすることができる。MPS内のCCFは、2つの安全ブロックのうちの1つに制限されており、保護措置の開始を妨げ又は偽の標示により開始を妨げると考えられる。たとえば、上記で論じたように、ツーアウトオブフォーの一致論理をすべてのトリップ及びESF作動に使用することができ、これは、影響を受けない安全ブロック上の影響を受けない安全機能に対して、4つの分離グループのうちの2つが、トリップ又はESF作動に対する必要を示し、実行された措置の操作者に正の標示を提供することを意味する。
[0216]第2のシナリオでは、安全ブロック内のCCFと同時発生のタイプ3故障の結果、擬似トリップ又はESF作動をもたらし、1E M/Iブロックは、1つの正及び1つの偽の作動成功の標示を示し、又は1つの正を示すが、作動の標示を示さない。いずれの場合も、操作者が擬似作動を評価及び補正するにはより長い時間がかかることがあるが、必要な構成要素を再び位置合わせする能力は、同じCCFによる影響を受けないはずの1E及び非1E両方の制御によって提供される。擬似ESF作動は、このシナリオで最も限定的な事象であると考えることができる。
[0217]別の分析指針は階層要件である。システム調査を簡略化する詳細レベルを表すブロックを提供するために、4つの概念的防御階層は、いくつかのブロックで組み合わせられるだけではなく(たとえば、RTS及びESFAS)、別個のブロック(たとえば、安全ブロックI及びII、1E M/I I及びII)に分割される。いくつかの態様では、分離グループ、RTS、及びESFASは、これらが基づくプログラマブル技術に従って、安全ブロックにグループ化される。たとえば、MPSの各半分(たとえば、4つの分離グループのうちの2つ、ESFASの2つのディビジョンのうちの1つ、及びRTSの2つのディビジョンのうちの1つ)又は1つの安全ブロックが、十分な多様性属性を有することができる。異なるプログラマブル技術(設計及び機器多様性)に基づいて異なるプログラマブルデジタルハードウェアを利用する異なる設計チーム(人的多様性)は、異なる設計ツール(ソフトウェア多様性)の使用を必要とする。M/I階層はまた、別個のブロックに分割することができる。1E M/Iブロックを分割して、安全ブロックと類似の多様性属性を有することを識別することができる。選択されたブロックがどのように4つの防御階層に分かれるかが、図1100を示す図11に示されている。
[0218]別の分析指針は、評価方法である。選択されたブロックは、「ブラックボックス」であると考えるべきであり、したがって想定する必要のあるあらゆる確かな故障は、出力信号指針(上記で論じた)に従って分析される最も好ましくない結果をもたらす。いくつかの態様では、特に自動化された安全システム内のCCFに起因する状態を識別してそれに応答するために必要とされる時間を分析するとき、システムが作動できないことは、最悪の場合の故障ではない可能性もある。ブロックは、ハードウェアCCF及びソフトウェアCCFに基づいて評価される。各CCFに対して、このブロックを評価すると、1)偽の標示又は必要とされる措置なしによって故障したまま、2)作動成功の標示による機能(複数可)の擬似開始、及び3)作動成功の標示のない機能(複数可)の擬似開始という、最も好ましくない結果をもたらす可能性のある3つの可能な出力が得られる。安全ブロックのいずれにおけるEIMも、ソフトウェアCCFに対して脆弱であるとは考えられない。たとえば、EIMは、単一のESF構成要素又は原子炉トリップ遮断器に専用の優先論理モジュールとすることができ、手動及び自動制御とインタフェース接続する。有限状態機械を使用することで、状態機械のすべての可能な入力、デバイス状態、及び出力を含む機能の網羅的な試験を可能にすることができる。そのテスト容易性、EIM多様性属性に基づいて、単一の構成要素に専用であるEIMは、ソフトウェア又はソフトウェア論理に基づくCCFの考慮が必要とされないほど十分に簡潔にすることができる。
[0219]別の分析指針は、ブロックの想定される共通原因故障である。1E M/Iブロックは、ビデオ表示ユニット(デジタルハードウェア)及び手動制御(非デジタルハードウェア)の組合せを伴う。VDUは、標示専用に設計することができ、機器を制御する能力をもたない。各1E M/Iブロック1004a/bにおける手動制御は、安全ブロックI又はIIによって自動的に実行される任意の保護措置をディビジョンレベルで開始する能力を操作者に提供する。いくつかの例では、標示及び手動制御が異なるハードウェア(たとえば、デジタルと開閉コンタクトスイッチ)である場合、CCFは、両方ではなく一方又は他方に影響を及ぼすと考えることができる。ソフトウェア及びハードウェア両方のCCFの場合、故障したままの状態の結果、操作者ディスプレイの1つのディビジョンが、偽の安全な動作状態又は手動スイッチの1つのディビジョンの故障を示す。VDUは、ほとんど又はまったく制御能力を有しておらず、したがって擬似作動を提供することはないが、ソフトウェアCCFによって、VDUは、操作者が擬似保護措置を開始することを求める偽の作動成功の標示又は不正確なプラント状態を提供することがある。
[0220]EIMを除いて、安全ブロック内のモジュールは、ソフトウェアCCFを有すると想定される。安全ブロック内の多様性属性のため、ソフトウェアCCFは、SFM上のCM又は機能(複数可)に制限することができる。SFMが適切なトリップ判定を行うことを妨げる安全ブロック内のソフトウェアCCFは、そのブロック内の機器、信号、及びソフトウェアの多様性によって軽減することができる。各過渡事象に対して、事象を軽減するために必要とされる1次及び補助安全機能は、異なる物理的作用の測定されたパラメータに基づいて、異なる論理/アルゴリズムを使用して、別個の安全機能上で実施することができる。3重モジュール冗長性を有し、各データバスが同じ情報を異なる方法で伝送する実施形態では、ソフトウェアCCFを有するCMは、擬似的に開始したり、保護措置の開始を妨げたりすることができない。その結果、最も好ましくないシナリオは、ESFAS機能の擬似作動をもたらすSFM内のソフトウェアCCFになる。
[0221]安全ブロック内のハードウェアCCFは、ブロックが必要な保護措置を検出及び開始することができない完全な故障であると想定することができる。ESF機能の擬似作動をもたらすハードウェアCCFは、ソフトウェアCCFによる擬似作動と同じ影響を及ぼすことがあり、したがってハードウェアCCFに関して繰り返し考慮しないものとする。
[0222]非1E M/Iは、安全及び不安全機器に対する制御を含む。非1Eに対するVDUは、1E M/Iによって使用されるものとは異なる。非1E M/Iは、通常の日々の動作に使用されるため、非1E M/Iサブシステム(たとえば、タービン制御、給水制御)内でソフトウェア又はハードウェアCCFによって誘起されるあらゆる擬似作動は、ただちに特定可能であり、動作限界を超過した場合、MPS(安全ブロックI及びII)によって軽減することができる。非1Eに対する想定される故障は、1)作動成功の標示の有無にかかわらずサブシステムの構成要素の擬似作動、及び2)機器が実際には作動していないときの作動成功の標示によって、正常状態で失敗することである。
[0223]MCSは、特定の動作中過渡変化を抑制することを含む動作限界内で日々のプラント動作を維持するために依拠する不安全システムを含む。したがって、サブシステム(たとえば、棒制御)のあらゆる故障は、操作者によってすぐに検出することができる。非1E M/Iと同様に、MCSに対する想定されるソフトウェア及びハードウェアCCFは、1)作動成功の標示の有無にかかわらずサブシステムの構成要素の擬似作動、及び2)機器が実際には作動していないときの作動成功の標示の提供によって、正常状態の失敗をもたらす。
[0224]別の分析指針は、同一のハードウェア及びソフトウェアモジュールを使用することである。ここで、ブロック間の多様性は、ブロックを同一と考えない基本を提供する。この基本に基づいて、想定されるCCFは、単一のブロックに制限することができる。
[0225]別の分析指針は、他のブロックの影響である。すべてのブロックは、正確又は不正確な入力に応答して正確に機能すると考えられる。各ブロックは、独立しており、別のブロック内の想定されるCCFによる影響を受けないと考えられる。
[0226]別の分析指針は、出力信号である。いくつかの態様では、I&Cアーキテクチャは、エラーが前のブロックの出力内へ後方波及するのを防止することができる。安全ブロックI及びIIから1E M/Iへのすべての情報は、光学的に隔離された伝送専用の通信エンジン(CM600に示す)を通って送ることができる。1E M/Iから安全ブロックへの信号は、手動スイッチからの開閉コンタクトとすることができ、これらの位置又は接触状態は安全ブロック内のCCFによって変化することはない。安全ブロック間の通信は、分離グループA及びCからESFAS及びRTSのディビジョンIIへ、また分離グループB及びDからESFAS及びRTSのディビジョンIへ送られるデータとすることができる。4つの分離グループは独立しておりかつ冗長であるが、図10の例示を目的として、これらの分離グループは、使用するプログラマブル技術に従って安全ブロックにグループ化される。安全ブロックと1E M/Iとの間の通信と同様に、分離グループからRTS及びESFASのいずれかのディビジョンへの通信は、光学的に隔離された伝送専用の通信エンジンを通って行うことができる。安全ブロックへの不安全入力は、ESFAS EIMとすることができ、これは隔離された開閉コンタクトに制限することができる。
[0227]安全ブロックからのすべての入力は、光学的に隔離された伝送専用の通信エンジンからとすることができる。これにより、1E M/I内の何らかのエラーが安全ブロックへ後方波及することを防止することができる。
[0228]別の分析指針は、予想運転事象に対する多様性である。過渡事象に関連する単一のCCF又はタイプ2故障は、MPSがその安全機能を実行することを妨げない。ともにMPSを構成する安全ブロックI及びIIは、CCFを1つのブロックに制限するように選択することができる。従来、原子力プラントは、MPSがCCFによって無効にされた場合に機能を開始する多様な方法を提供するために、多様な作動システム(DAS)又はスクラム失敗事象(ATWS)システムに依拠してきた。しかし、図示のMPS設計では、単一のCCFでも安全機能を開始するのに十分な多様性がシステム内に存在することができる。ここで、MPSは、安全ブロックI及びII(たとえば、1006a/b)に分割される。想定されるソフトウェア又はハードウェアCCFは、1つの安全ブロックに制限されるはずである。各ブロックは、異なる設計ツール(ソフトウェア多様性)の使用を必要とする異なるプログラマブル技術に基づいて異なるプログラマブルデジタルハードウェア(設計及び機器多様性)を利用する異なる設計チーム(人的多様性)を使用する。いずれのブロック内でも、別個のSFM上で実施される異なる物理的作用の測定される変数(複数可)に基づいて、少なくとも2つの安全機能が存在することができる。すべての論理は、有限状態機械内で実施することができ、すべての安全データは、決定論的に通信することができる。これらの属性により、CCFに関連するタイプ3故障でも、MPSが必要な保護措置を開始するのを妨げることはできない。
[0229]別の分析指針は、事故に対する多様性である。AOOと同様に、MPS内のCCFエラーに関連して想定される事故は、MPSがその安全機能を実行するのを妨げることはできない。
[0230]別の分析指針は、手動操作者措置である。MPSによって実行される保護措置のディビジョンレベルの手動作動は、操作者へ提供することができる。手動の構成要素レベルの制御は、1E M/Iによって許可された場合、非1E M/Iを使用して操作者へ提供される。
[0231]図12は、原子力システムのMPS1200安全アーキテクチャの別の例示的な実施形態の概略図を示す。いくつかの実施形態では、MPS1200は、図2A及び図2Bに示すMPS200に類似又は同一とすることができる。概して、図示のMPS1200は、センサ及び検出器(たとえば、センサ1202a〜1202d)の4つの分離グループと、信号調節及び信号調節器(たとえば、信号調節器1204a〜1204d)の4つの分離グループと、トリップ判定(たとえば、トリップ判定1208a〜1208d)の4つの分離グループと、RTS投票及び原子炉トリップ遮断器(たとえば、ディビジョンIのRTS投票1214及びディビジョンIIのRTS投票1216)の2つのディビジョンと、工学的安全施設作動システム(ESFAS)投票及び工学的安全施設(ESF)機器(たとえば、ディビジョンIのESFAS投票1212及びESF機器1224、並びにディビジョンIIのESFAS投票1218及びESF機器1226)の2つのディビジョンとを含む。
[0232]概して、センサ1202a〜1202dは、圧力、温度、レベル、流体流速、及び中性子束などの異なるプロセスパラメータの測定を担うプロセスセンサを含む。したがって、原子力システム150の各プロセスパラメータは、異なるセンサを使用して測定され、異なる論理エンジンによって実行される異なるアルゴリズムによって処理される。いくつかの態様では、中性子束センサは、停止状態から全出力の120パーセントまでの炉心からの中性子束の測定を担う。MPS1200内では、中性子源領域、中間領域、及び出力領域を含む3つのタイプの中性子束検出器を使用することができる。
[0233]概して、信号調節器1204a〜1204dは、センサ1202a〜1202dからの測定を受け取り、これらの測定を処理し、出力を提供する。いくつかの態様では、信号調節器1204a〜1204dへのセンサ1202a〜1202dの相互接続は、専用の銅線又は何らかの他の信号伝送方法とすることができる。
[0234]信号調節器1204a〜1204dは各々、図21に示すように、複数の入力モジュール2104a〜2104d(たとえば、センサ入力の数に応じて任意の数のモジュールを示す)から構成することができ、入力モジュール2104a〜2104dは、センサ1202a〜1202dからのフィールド入力の調節、測定、フィルタリング、及びサンプリングを担う。各入力モジュール2104a〜2104dは、24V若しくは48Vのデジタル入力、4〜20mAのアナログ入力、0〜10Vのアナログ入力、抵抗熱検出器入力、又は熱電対入力などの特有の入力タイプに専用とすることができる。
[0235]各入力モジュール2104a〜2104dは、アナログ回路2106及びデジタル回路2108から構成することができる。アナログ回路2106は、アナログ電圧又は電流からデジタル表現への変換を担う。アナログ回路はまた、信号調節回路とも呼ばれる。各入力モジュール2104a〜2104dのデジタル部分2108は、論理エンジン内に位置することができる。論理エンジンは、すべての入力モジュールの制御、サンプルアンドホールドフィルタリング、完全性チェック、自己試験、及びデジタルフィルタリング機能を実行する。センサ出力のデジタル表現は、いくつかの例では直列インタフェースを使用して、出力を通って、信号調節器1204a〜1204dからトリップ判定1208a〜1208dへ通信される。いくつかの実施形態では、センサ出力は、任意の適当な伝送チャネル(たとえば、光ファイバ、銅線など)を通って、センサ1202a〜1202dからそれぞれの信号調節器1204a〜1204dへ通信することができる。
[0236]図13は、MPS1200の分離グループ信号調節及びトリップ判定1204a/1208a(たとえば、分離グループA)の通信アーキテクチャの例示的な実施形態の概略図を示す。図12及び図13を参照すると、トリップ判定1208a〜1208dは、概して、直列インタフェースを介して、上述した信号調節器1204a〜1204dからのセンサ入力値をデジタル形式で受け取る。トリップ判定1208a〜1208dは各々、独立した安全機能モジュール(SFM1〜SFMn)1300(図21を参照してより詳細に説明する)から構成され、特有のモジュールが、1組の安全機能を実施する(たとえば、1組は、特定のプロセスパラメータに関係する単一の安全機能又は複数の安全機能とすることができる)。たとえば、1組の安全機能は、同じ圧力入力からの高トリップ及び低トリップなど、1次変数に関係する1群の機能からなることができる。各SFM1300は、1組の安全機能の実施に専用の一意の論理エンジンを含む。この結果、各組の安全機能のゲートレベルの実施形態は、すべての他の組の安全機能とは完全に異なる。
[0237]センサ入力値は、決定論的経路を介して通信することができ、各トリップ判定1208a〜1208d内の特有のSFM1300へ提供される。次いで、これらの入力値を工学単位に変換し、どの安全機能又はどの組の安全機能がその特有のSFM1300で実施されるかを判定することができる。トリップ判定1208a〜1208dは、いくつかの例では隔離された伝送専用の光ファイバ接続を介して、これらの工学単位値を制御システムへ提供する。より具体的には、トリップ判定は、適当な工学単位値をMIB1208へ提供することができ、MIB1208が、これらの値を制御システムへ提供する。
[0238]各SFM1300内のトリップ判定1208a〜1208dは、必要とされる場合、所定の設定点に基づいて原子炉トリップ判定を行い、隔離された、場合により3重冗長な、伝送専用の直列接続を介して、トリップ又は非トリップ要求信号を各RTSディビジョン(たとえば、それぞれディビジョンI及びIIのRTS投票1214及び1216)へ提供する。SFMはまた、必要とされる場合、所定の設定点に基づいてESFAS作動判定を行い、隔離された、場合により3重冗長な、伝送専用の直列接続を介して、作動又は作動禁止要求信号を各ESFASディビジョン(たとえば、それぞれディビジョンI及びIIのESFAS投票1212及び1218)へ提供する。
[0239]図13に示すように、たとえば、特定のトリップ判定SFM1300は、スケジューリング及びバイパスモジュール(SBM)1306を通って、トリップ又は非トリップ要求信号をESFAS投票1212/1218へ提供する。トリップ判定SFM1300は、スケジューリング及びバイパスモジュール(SBM)1306を通って、トリップ又は非トリップ要求信号をRTS投票1214/1216へ提供する。SBM1306からの出力はまた、概して、図12に、それぞれトリップ判定1208a〜1208dからの出力1210a〜1210dとして示されている。
[0240]図12へ戻ると、各RTSディビジョン(たとえば、ディビジョンIに対するRTS投票1214及びディビジョンIIに対するRTS投票1216)は、隔離された、いくつかの態様では冗長な(たとえば、2重、3重、若しくはその他)、受取り専用の直列接続、光ファイバ、又は他の接続を介して、上述したように、トリップ判定1208a〜1208d(分離グループA、B、C、及びD)から入力1210a〜1210dを受け取る。RTS投票及び論理は、例示的な実施形態では、必要とされるセーフガード作動を単一故障が妨げることがなく、トリップ判定信号(たとえば、1210a〜1210d)内の単一故障が不必要なセーフガード作動を生成することがないように配置される。RTSシステムは、緊急炉心冷却システム及び崩壊熱除去システムなどの重要なシステムの自動及び手動両方の開始を提供することができる。
[0241]トリップ入力は、RTS投票論理で組み合わせられ、その結果、トリップ判定1208a〜1208dからの2つ以上の原子炉トリップ入力が、出力1228及び1230(各ディビジョンに適当)で自動原子炉トリップ出力信号を生じさせ、出力1228及び1230は、それぞれのディビジョンに関連付けられた原子炉トリップ遮断器(RTB)1244に対するトリップコイルを作動させる。
[0242]例示的な実施形態では、ESFAS投票及び論理は、必要とされるセーフガード作動を単一故障が妨げることがなく、トリップ判定信号(たとえば、1210a〜1210d)内の単一故障が不必要なセーフガード作動を生成することがないように配置される。ESFASシステムは、緊急炉心冷却システム及び崩壊熱除去システムなどの重要なシステムの自動及び手動両方の開始を提供することができる。
[0243]各ESFAS投票1212/1218は、隔離された、いくつかの態様では冗長な(たとえば、2重、3重、又はその他)、受取り専用の光ファイバ接続を介して、上述したように、トリップ判定1208a〜1208d(分離グループA、B、C、及びD)から入力1210a〜1210dを受け取る。作動論理及び投票は、ESFAS投票1212/1218内で行われる。ESFAS投票1212/1218が、作動が必要とされると判定したとき、ESFAS投票1212/1218は、作動要求信号をそれぞれESFAS優先論理1220/1222へ送り、ESFAS優先論理1220/1222は、適当なESF機器1224及び1226を作動させる。
[0244]図14は、例示的な分離グループ並びにディビジョン原子炉トリップシステム(RTS)及びESFAS通信アーキテクチャの概略図1400を示す。たとえば、図14は、信号調節及びトリップ判定グループA(1204a/1208a)、RTS投票ディビジョンI1214、及びESFAS投票ディビジョンI1212の個々の構成要素モジュールを示す。加えて、図14は、分離グループ(HWM1310)、RTSディビジョン(HWM1402)、及びESFASディビジョン(HWM1408)に関連付けられたハードワイヤードモジュール(HWM)を示す。以下により詳細に説明するように、各HWM1310/1402/1408は、それぞれのバックプレーン1312/1404/1406を通って、ハードワイヤードアナログ信号を、関連付けられた構成要素モジュールへ渡す。
[0245]図12〜14を集合的に参照すると、MPS1200の主な目的は、プロセスパラメータを監視し、正常外状態に応答して自動開始信号を提供し、定常状態及び過渡電力動作中の安全でない原子力システム動作からの保護を提供することである。各原子力システムに対して1つのMPS1200が存在する。MPS1200が実行する2つの主な機能があり、1つは、プラントパラメータを監視し、予想運転事象中にプラント安全分析の分析限界に基づく指定の設定点に到達し又は超過したときは原子炉を緊急停止することである。RTSに対する例示的な原子力システムの原子炉トリップ機能が、表1(図27に示す)に挙げられている。もう1つは、プラントパラメータを監視し、予想運転事象中にプラント安全分析の分析限界に基づく指定の設定点に到達し又は超過したときはESFAS機器を作動させることである。ESFAS機器の作動により、炉心及び原子炉冷却材システム構成要素の損傷が防止又は軽減され、格納の完全性が確実になる。例示的なESFAS機能が、表2(図28A〜28Cに示す)に要約されている。
[0246]MPS1200はまた、状態及び情報信号を、不安全関連MCS155(図1に示す)、保守ワークステーション(MWS)1316、及びSDIS(図18の1800)へ伝送し、事故後監視(PAM)機能に対する監視を実行する。
[0247]MPS1200は、高度に統合された保護システムプラットホーム上に構築され、これはフィールドプログラマブルゲートアレイ(FPGA)に基づくシステムである。MPS1200は、上述したように、非依存性、冗長性、予測可能性、及び再現性、並びに多様性、及び多層防御の根本的なI&C設計原理を組み込む。
[0248]MPS1200は、分離グループセンサ電子機器及び入力パネル、信号調節の4つの分離グループ、トリップ判定の4つの分離グループ、ディビジョン電力分配パネル、不安全関連高信頼DC電力システム(EDSS)電源からの隔離及び電力監視を提供する1Eクラス構成要素、不安全関連EDSSからの隔離も提供するセンサ及びMPS構成要素に対する電源、EDSS電池充電器への480VACの損失を検出する8つの電圧センサ、4つの原子炉トリップ遮断器、4つの加圧器ヒータトリップ遮断器、2つの不安全関連MWS、2つの不安全関連MPSゲートウェイ1314、PAM専用モードに対するディビジョンごとの3つの24時間タイマ、RTS投票及び作動機器1214/1216の2つのディビジョン、ESFAS投票及び作動機器1212/1218の2つのディビジョン、原子炉トリップ遮断器1244並びに関連するケーブル布線加圧器ヒータトリップ遮断器及び関連するケーブル布線、低電圧AC電気分配システム(ELVS)480のVACバス電圧センサ及びMPSへの入力のための関するケーブル布線という安全関連要素を含むことができる。MPS境界は、センサ及び検出器の出力接続から、作動される構成要素の入力接続へ延びる。
[0249]信号調節1204a〜1204dに対するSFM1300は、プロセスセンサ及び検出器から入力を受け取り、図12に示すようにプロセスパラメータを測定する。信号調節1204a〜1204dへのプロセスセンサ及び検出器の相互接続は、専用の銅線であり、センサ要件に基づいて必要とされる場所に従って経路指定される。SFM1300は、信号調節、トリップ判定、通信エンジンという3つの主機能を実行する。信号調節機能は、信号調節回路、アナログ−デジタル変換器、及び直列インタフェースからなるSFM1300の一部である入力モジュールから構成される。信号調節機能は、フィールド入力の調節、測定、フィルタリング、及びサンプリングを担う。
[0250]トリップ判定1208a〜1208dは、直列インタフェースを通って、信号調節ブロックからのプロセス及び検出器入力値をデジタル形式で受け取る。トリップ判定1208a〜1208dは、安全機能アルゴリズムを実行し、所定の設定点に基づいてトリップ判定を行い、隔離された、いくつかの態様では冗長な(たとえば、2重、3重、又はその他)、伝送専用の直列接続を通って、トリップ又はトリップなし要求信号を各RTSディビジョン1214/1216へ提供する。SFM1300はまた、所定の設定点に基づいてESFAS作動判定を行い、隔離された伝送専用の直列接続を通って、作動又は作動禁止要求信号を各ESFASディビジョン1212/1218へ提供する。
[0251]SFM内には、監視及び標示バス(MIB)機能、並びに較正及び試験バス(CTB)機能という2つの他の論理機能がある。MIB論理機能は、コア論理経路の各々からパラメータ、トリップ判定、状態、及び診断情報を取得し、それをMIBへ提供する。CTB機能論理は、SFM1300が非稼働中であるとき、MWS1316が不揮発性メモリ内で調整可能なパラメータを更新することを可能にする。インタフェースモジュール1306/1308へのSFM1300の相互接続を示す分離グループアーキテクチャが、図13に示されている。
[0252]SFM1300通信エンジンは、トリップ及び作動データを、シャーシバックプレーン1312上の3つの安全データバス(SDB1、SDB2、及びSDB3)1302へ送り、このデータは、スケジューリング及びバイパスモジュール(SBM SD1、SBM SD2、及びSBM SD3)1306上で受け取られる。スケジューリング及びバイパスモジュール(SBM)1306は、関連付けられたバスのバスマスタであり、通信のスケジューリングを担う。通信経路及び機器は冗長であり、安全データを単一データ経路上の単一故障又は複数の故障に対して耐障害性にする。SBM1306は、データを認証し、RTS1214/1216及びESFAS1212/1218の両方のディビジョンへの隔離された1方向の伝送接続を通って、このデータをそれぞれのスケジューリング及び投票モジュール(SVM)1410/1420へ伝送する。4つの分離グループに対する冗長データは、図12に示すように、RTS1214/1216及びESFAS1212/1218の各ディビジョンによって受け取られる。
[0253]SFM1300及びSBM1306に対するすべての状態及び診断情報は、MIBへ提供される。MIB通信モジュール(MIB−CM)1308は、MIBに対するバスマスタであり、MIBに対する通信をスケジュールする。MIB−CM1308は、隔離された1方向の伝送専用出力を通って、状態及び診断情報をMCS155及びMPSゲートウェイ1314へ提供する。MPSゲートウェイ1314は、データをMWS1316及びSDIS1800へ送る。MIB−CM1308はまた、各安全機能に対する較正及びパラメータ更新を可能にするために、CTBを通ってMWS1316からSFM1300への通信経路(経路1304)を提供する。いくつかの実施形態では、パラメータの変更又はチャネルの較正を可能にするために、安全機能は非稼働中でなければならず、MWS1316からMIB−CM1308への一時ケーブル1318が必要とされる。MWS1318は、一時ケーブル1318を使用して、1度に1つの分離グループにのみアクセスすることができる。
[0254]分離グループ信号調節及びトリップ判定1204a/1208aはまた、手動バイパス制御を提供する。主制御室(MCR)内の手動スイッチは、操作者が原子炉トリップを手動で開始することを可能にし、1つ又は複数の分離グループ信号に対するバイパス制御が、それぞれのトリップ信号を手動でバイパスするために提供される。手動スイッチは、分離グループのハードワイヤードモジュールHWM1310を通って、SFM1300に関連付けられたトリップ判定論理へ入力される。分離グループHWM1310は、アナログハードワイヤードバックプレーン11312を通ってSFM1300、SBM1406、及びMIB1308に接続される。
[0255]MIBは、各分離グループ及び各ディビジョンに対して含まれる。ディビジョンMIB−CM1412/1422は、ディビジョンRTS及びESFAS MIB−CM1412/1422に利用可能な較正がないため、監視及び標示の機能のみを担う。
[0256]いくつかの態様では、RTSは、各分離グループ(A、B、C、及びD)から1つずつ、4つの冗長トリップ判定信号を使用して、RTSパラメータが所定の限界を超過したときに原子炉トリップ遮断器1244を自動的に開放するのに必要な論理決定を完了する。RTSに対する例示的な分析限界は、表1(上記)に挙げられている。
[0257]各分離グループに対するSFM1300は、トリップ信号を生成し、このトリップ信号は、SBM1306を通って、両方のRTSディビジョン1214/1216内のSVM1410へ送られる。SVM1410は、トリップ判定状態に関して、非多数決投票、たとえばツーアウトオブフォー(2oo4)一致論理投票を実行する。たとえば、2つ以上のトリップ判定信号が原子炉トリップを生成する場合、SVM内でトリップ信号が生成され、関連付けられた機器インタフェースモジュール(EIM)1414へ送られ、原子炉トリップ遮断器1244を開放する。
[0258]RTS内の各EIM1414は、SVM1410内に作られた出力から冗長トリップ信号を受け取り、多数決、たとえばツーアウトオブスリー(2oo3)投票に基づいて、図14に示すように、入ってくる信号からトリップ信号を提供する。RTS1214/1216回路及び原子炉トリップ遮断器1244の2つのディビジョンは、単一故障がRTS機能の損失を引き起こさないことを確実にするために提供される。原子炉トリップ遮断器1244は、たとえば図2Bに示すように、直列−並列構成で構成することができる。
[0259]上述したように、SVM1410とEIM1414との間の投票層の分離は、より効率的かつより頑健な投票方式を提供する。SVMの非多数決方式は、3つのSVM1410にわたって3倍にされ、EIMは、SVM投票の結果を集める。EIM1414は、SVM信号で多数決を行う。
[0260]EIM1414は、各原子炉トリップ遮断器1244に対して、MPS1200によって作動される両方のRTSディビジョン1214/1216内に含まれる。各原子炉トリップ遮断器EIM1414は、2つの別個の論理経路を有する。1次コイルが、不足電圧トリップ回路に接続され、2次コイルは、各原子炉トリップ遮断器1244に対する分路トリップ回路に接続される。各RTSディビジョン1214/1216は、各並列経路内で1つの原子炉トリップ遮断器1244を制御する。この構成により、いずれのディビジョン1214/1216も原子炉トリップを実現することが可能になる。原子炉トリップ信号がSVM1410内で生成されたとき、不足電圧トリップ回路が切断され、分路トリップ回路が励磁される。いずれの措置も、すべての4つの原子炉トリップ遮断器1244を開放する。次いで、制御棒駆動電源からの電力が中断され、制御棒は重力によって炉心内へ挿入される。
[0261]RTSはまた、手動トリップ能力を提供する。MCR内の手動スイッチは、操作者が原子炉トリップを手動で開始することを可能にする。ディビジョンごとに1つずつ、2つの手動スイッチが、原子炉トリップを手動で開始するために提供される。手動スイッチは、RTSハードワイヤードモジュール(HWM)1402を通って、原子炉トリップシステムEIM1414に関連付けられた作動及び優先論理(APL)へ入力される。RTS HWM1402は、アナログハードワイヤードバックプレーン1404を通って、SVM1410、EIM1414、及びMIB1412に接続される。手動トリップ機能に加えて、RTS HWM1402は、1つ又は複数のRTSトリップ信号、非1Eイネーブル(たとえば、不安全イネーブル)、及び不安全制御信号に対する動作バイパス制御を提供することができる。いくつかの実施形態では、非1Eイネーブル制御は、不安全関連システムからの制御信号が、RTSシステム動作を制御すること(たとえば、RTB1244を操作すること)を可能にする。
[0262]APLは、SFM1300からのデジタルトリップ信号、その関連付けられたRTSディビジョン1214/1216からの非デジタル手動トリップ信号、MCS155からの非デジタル手動制御信号という3つのソースからのコマンドを受け付ける。
[0263]非デジタル(たとえば、アナログ)信号は、MPS1200のデジタル部分とは異なる。APLによって、最も高い優先順位に基づいて単一デバイスを作動させるために、個別の論理が使用される。デジタルシステムの状態にかかわらず、手動開始をディビジョンレベルで常に実行することができる。イネーブル不安全制御パーミッシブが活動中であり、かつ自動又は手動作動信号が存在しない場合、MCS155は、原子炉トリップ遮断器を操作することが可能である。
[0264]APLからの結果は、EIM1414に接続された機器を作動させるために使用される。原子炉トリップ遮断器状態が、EIM1414へ提供される。遮断器状態情報は、MIB−CM1412へ、SDB信号の状態とともに送られる。
[0265]いくつかの態様では、ESFASは、各分離グループ(A、B、C、及びD)から1つずつ、4つの冗長作動判定信号を使用して、図12に示すように、必要なESFの動作を自動的に開始するのに必要な論理決定を完了する。ESFASに対する例示的な分析限界は、表2(上記)に挙げられている。
[0266]ESFASパラメータが所定の限界を超過したとき、各分離グループに対するSFM1300は、作動信号を生成し、この作動信号は、SBM1306を通って、両方のESFASディビジョン1212/1218内のSVM1420へ送られる。SVM1420は、トリップ判定状態に関して、非多数決投票、たとえばツーアウトオブフォー一致論理投票を実行する。2つ以上の作動信号がESFシステムの作動を生成する場合、SVM1420内で作動信号が生成される。次いで、この信号は、関連付けられたEIM1424へ送られ、関連付けられたESFシステムのソレノイドを切断し、又は関連付けられたESFシステムの遮断器を開放する。
[0267]EIM1424が、MPS1200によって作動される各ESF構成要素に対する各ディビジョン1212/1218内に含まれる。各EIM1424は、別個のESF構成要素への接続を可能にするために、2つの別個の論理経路を有することができる。各構成要素は、2つの別個のEIM1424に接続され、その結果、2つのEIM1424が、図15に示すように、各構成要素へ冗長制御を提供する。これにより、接続された機器を作動させることなく、EIM1424を非稼働状態にし、オンライン交換することが可能になる。
[0268]上述したように、SVM1420とEIM1424との間の投票層の分離は、より効率的かつより頑健な投票方式を提供する。SVMの非多数決方式は、複数(たとえば、3つ)のSVM1420にわたって冗長に実行することができ、EIM1424は、SVM投票の結果を集める。EIM1424は、SVM信号で多数決を行う。
[0269]図15は、ESFAS EIM1424a/1424bの例示的な実施形態の概略図1500を示す。ESFAS作動信号がSVM1420内で生成されるとき、図15に示すように、EIM1424a/1424bからのすべての4つのスイッチング出力1504〜1510が作動する。たとえば、構成要素ソレノイド1512/1518への電力が中断されると、構成要素を作動させることができる。ソレノイドは切断され、構成要素は切断位置へ状態を変化させる。加圧器ヒータの場合、不足電圧トリップ回路が切断され、分路トリップ回路が励磁される。いずれの措置も、すべての4つの遮断器を開放する。
[0270]ESFASはまた、手動作動能力を提供することができる。たとえば、いくつかの実施形態では、MCR内の手動スイッチは、操作者がESF機能を手動で開始することを可能にする。ディビジョン1212/1218ごとに1つずつ、2つの手動スイッチが、各ESF機能を手動で開始するために提供される。これらの手動スイッチは、ESFAS HWM1408を通って、工学的安全施設作動システムEIM1424に関連付けられたAPLへ入力される。ESFAS HWM1408は、アナログハードワイヤードバックプレーン1406を通って、SVM1420、EIM1424、及びMIB1422に接続される。手動ESF構成要素作動能力に加えて、ESFAS HWM1408は、1つ又は複数のESFASトリップ信号、非1Eイネーブル制御(たとえば、不安全イネーブル)、及び不安全制御信号に対する動作バイパス制御を提供することができる。いくつかの実施形態では、非1Eイネーブル制御は、不安全関連システムからの制御信号が、ESFASシステム動作を制御すること(たとえば、ESF構成要素を操作すること)を可能にする。
[0271]APLは、SFM1300からのデジタルトリップ信号、それ自体のESFASディビジョン1212/1218からの非デジタル手動トリップ信号、MCS155からの非デジタル手動制御信号という3つのソースからのコマンドを受け付ける。
[0272]非デジタル(たとえば、アナログ)信号は、MPS1200のデジタル部分とは異なる。APLによって、最も高い優先順位に基づいて単一の構成要素を作動させるために、個別の論理が使用される。デジタルシステムの状態にかかわらず、手動開始をディビジョンレベルで常に実行することができる。イネーブル不安全関連制御パーミッシブが活動中であり、かつ自動又は手動作動信号が存在しない場合、MCS155は、ESF構成要素を制御(たとえば、操作)することが可能である。
[0273]APLからの結果は、EIM1424に接続された機器を制御して作動させるために使用される。機器状態が、各EIM1424へ伝送される。機器状態情報は、MIB−CM1422へ、SDB信号の状態とともに送られる。
[0274]各MPS1200分離グループ及びディビジョン、並びにMPSゲートウェイ1314は、専用のHWM(たとえば、分離グループHWM1310、RTS HWM1402、及びESFAS HWM1408)を有する。HWMの特徴は、図25に関してより詳細に説明する。HWMは、MPSキャビネットの外部からハードワイヤード信号を受け付け、これらの信号を他のモジュールに対するシャーシバックプレーン(たとえば、バックプレーン1312、1404、1406)上で利用可能にする。これらの信号は、MCR155からの手動作動スイッチ、動作バイパススイッチ、オーバーライドスイッチ、及びイネーブル不安全制御スイッチを含む。動作バイパス及びオーバーライドスイッチは、以下により詳細に説明する。HWMへの他の入力は、SFM1300トリップ/バイパススイッチ、MCS155制御入力、及び構成要素位置フィードバックを含む。
[0275]図16は、MPSゲートウェイ1314の例示的な実施形態の概略図を示す。MPSの各ディビジョンは、不安全関連MPSゲートウェイ1314を有する。MPSゲートウェイは、4つの分離グループ(たとえば、グループA、B、C、及びD)、RTS1214/1216の2つのディビジョン、及びESFAS1212/1218から受け取った情報を統合する複数の通信モジュール1602を含む。MPSゲートウェイ1314はまた、機器からPAM専用モードに対するHWM1624への機器状態フィードバック(位置フィードバック1622)を収集することができ、並びにタイマSFM1612を通って、3つの24時間タイマ1614の状態を読み取る。MPSゲートウェイ1314へ伝送される情報のすべてが、ゲートウェイマスタ1604として作用する単一通信モジュールによって統合される。分離グループ及びディビジョン通信モジュール1602並びにタイマSFM1612は、RS−485物理層1608を通って、ゲートウェイマスタ1604と通信する。次いで、MPSゲートウェイバックプレーン1626上のゲートウェイマスタ1604は、図16に示すように、隔離された適格の1方向通信経路を通って、統合されたデータをMWS1316及びSDISハブへ伝送する。各ディビジョンに対して1つのMPSゲートウェイ1314が存在する。
[0276]MPS1200の各ディビジョンは、保守及び較正の目的のため、不安全関連MWS1316を有する。1方向の読取り専用データが、そのディビジョンに対するMPSゲートウェイ1314を通って提供され、各ディビジョンのMWS1316上で連続して利用可能になる。MWS1316は、安全機能が非稼働中のとき、SFM1300内で調整可能なパラメータを更新するために使用される。安全機能を実行するために依拠されているときにSFM1300への修正を防止するために、制御が導入される。MWS1316は、SFM1300内の設定点及び調整可能なパラメータを更新するために2方向通信を可能にする一時ケーブル1318を使用するオフライン保守及び較正に使用される。SFM1300がその非稼働スイッチを動作させることによって非稼働状態になると、そのSFM1300に関連付けられたトリップ/バイパススイッチの位置が、SBM1306によって読み取られて、SFM1300出力に対する状態として使用される。MPS1200の各ディビジョンは、ポイントツーポイントケーブル(たとえば、銅又は光ファイバ)を介して、隔離された1方向通信ポートを通って、MPSゲートウェイ1314を使用して、オンライン監視の目的で恒久的に接続された不安全関連MWS1316を有する。
[0277]いくつかの実施形態では、EDSSは、MPS1200に対する電源である。DC−DC電圧変換器は、MPS機器の1Eクラスの隔離及び保護に使用される。ディビジョンIのMPS電力は、電力チャネルA及びCから1Eクラス隔離に対するDC−DC変換器を通って生成され、次いでオークショニアされる。ディビジョンIIの電力は、ディビジョンIと同様に、電力チャネルB及びDから生成される。分離グループは各々、単一のEDSSチャネルによって冗長に供給及びオークショニアされる。MPSディビジョンIへ電力を供給するEDSS電力チャネルA及びCは、MPSディビジョンIIへ電力を供給するEDSS電力チャネルB及びDから完全に独立している。
[0278]いくつかの実施形態では、A及びD電池に対する24時間並びにB及びC電池に対する72時間の全ミッションタイムにわたってEDSS電池供給電力を確実にするために、閉鎖したECCSバルブ又は機能的なPAM計装装備を維持することに関連する負荷のみが、ECCS保持モード及びPAM専用モード中に励磁されたままである。これらの負荷には、センサへの電力を含むMPS及び中性子監視システム(NMS)キャビネット、ECCSバルブソレノイド、放射線監視(RM)バイオシールド放射線モニタ、及びEDSS電池モニタが含まれる。4つのセンサのうちの2つが、B及びC両方の電池充電器の開閉器で電圧の損失を検出した場合、MPSは、原子炉トリップ、崩壊熱除去システム(DHRS)作動、加圧器ヒータトリップ、脱塩水供給隔離、格納隔離を自動的に生成し、ディビジョンごとに3つの24時間タイマを開始する。電圧の損失後の最初の24時間にわたって、MPS機器の4つの分離グループ並びにESFAS及びRTSの両方のディビジョンは励磁されたままである。プラント状態のためECCS作動が必要とされない場合、ECCSは作動しなくなり(ECCSトリップソレノイドバルブは励磁されたままである)、これは、AC電力を回復する時間を可能にし、ECCSの作動の防止するECCS保持モードとして定義される。この24時間期間中に関連付けられたESFAS信号が生成された場合、ECCSはそれでもなお作動する。24時間の範囲内でB及びC電池開閉器への電力が回復されない場合、24時間タイマは時間切れになる。この時点で、ESFAS及びRTSシャーシ並びに両方のMPSディビジョンに対するMWSが、自動的に切断される。この措置は、ECCSソレノイドトリップバルブを切断し、ECCSが作動する。PAM計装装備は、追加の48時間(合計72時間)にわたって、B及びCのEDSS電池によって給電されたままである。この構成は、PAM専用モードとして定義される。
[0279]図17は、原子力プラント保護システム(PPS)1700のブロック図を示す。PPS1700は、プラントレベルでパラメータを監視し、ノーマル及びオフノーマル状態に応答して作動を実行する。PPS1700は、複数の原子力システムに共通のシステムを監視及び制御する。PPS1700によって監視される選択済み変数及び作動される機器は、増大した品質レベルを必要とする。PPS1700は、2つの独立した冗長なディビジョンを含むことができる。いずれのディビジョンも、PPS機能を実現することが可能である。
[0280]PPSは、高度に統合された保護システムプラットホーム上に構築されており、FPGAに基づくシステムである。図17は、1つのPPSディビジョンのアーキテクチャのシステム図を表示する。第2のディビジョンのアーキテクチャは類似しているはずである。
[0281]PPS1700のディビジョンI及びディビジョンIIは、制御棟の別個の部屋に位置することができる。PPS1700の境界は、センサ及び検出器の出力接続から、作動されるデバイスの入力接続へ延びる。PPS1700の境界内には、ELVS AC電圧センサも含まれており、ELVS AC電圧センサは、PPS1700の一部であると分類される。PPS1700からデータを受け取る不安全関連表示は、SDIS又はプラント制御システム(PCS)のいずれかの部分である。
[0282]プロセスセンサは、放射線、レベル、及び電圧などの異なるプロセスパラメータを測定する。別個のセンサが、2つのPPSディビジョンへ情報を供給する。センサは、設計基準事象前、設計基準事象中、及び設計基準事象後の環境条件に適格である。これらのセンサは、PPS1700への入力を提供するが、これらのセンサが設置されたシステムの一部であると分類される。
[0283]個々のPPS SFM1704は、PPS1700によって実行される各機能に対して各ディビジョン内に含まれる。各SFM1704は、最大4つのセンサから入力1702を受け付けることができる。センサ信号をデジタル表現に変換するために、信号調節が実行される。デジタル信号の場合、SFM1704は、その機能に作動が必要とされるかどうかを判定するために必要なアルゴリズム及び設定点比較を実行する。作動決定は、3つの別個の通信バス1712へ出力されて、SFM1704とEIM1714との間に冗長通信を提供する。SFM1704はまた、パラメータ値、状態情報、及び警報に対する通信出力を提供し(たとえば、MIB−CM1706を介して)、これらの出力はPCS及びSDISへ送られる。各SFM1704に対する診断情報はまた、MWS1316へ送られる。
[0284]PPS1700のアーキテクチャは、作動信号に専用の3つの独立したデータバス1712を使用する。3つの通信安全データバス(SDB1、SDB2、及びSDB3)1712は各々、マスタ−スレーブ通信プロトコルで構成される。3つの冗長SBM(SBM1、SBM2、及びSBM3)1718は、関連付けられたバスに対するマスタであり、SFM1704からEIM1714への冗長SDB1712通信を提供する。SDB1、SDB2、及びSDB3 1712は、作動信号の処理に専用である。
[0285]MIB−CM1706は、3つのSDB通信モジュールとは独立しており、MIBのマスタである。MIB−CM1706は、同じマスタ−スレーブ通信プロトコルを使用して情報を処理し、SFM1704、通信モジュール、及びEIM1714上のレジスタとインタフェース接続する。これらのレジスタは、作動データ経路に使用されるレジスタとは異なる。MIB−CM1706は、MIBを使用してCTB通信モジュール1710に通信し、MWS1316を更新する。PCS及びSDISへの1方向データは、MIB−CM1706の隔離されたデータ経路を通って伝送される。このインタフェースは、PPS1700がその機能を実行することを不安全機器の確かな故障が妨げることがないように設計される。
[0286]CTB通信モジュール1710は、CTBのマスタであるが、通常動作中はこのバス上にトランザクションは存在しない。CTBは、パラメータの較正又は変更中にチャネルが非稼働状態にされた場合のみ活動中になる。CTB通信モジュール1710の隔離されたデータ経路は、MWS1316へ1方向データを伝送する。
[0287]EIM1714が、PPS1700によって作動又は監視される各機器に対する各ディビジョン内に含まれる。各EIM1714は、「1次」構成要素及び「2次」構成要素への接続を可能にするために、2つの別個の論理経路を有することができる。各構成要素1716は、2つの別個のEIM1714に接続され、その結果、2つのEIM1714が、各構成要素1716へ冗長制御を提供する。これにより、いかなる機器1716も作動させることなく、EIM1714を非稼働にし、オンライン交換することが可能になる。
[0288]冗長SDB1712からの作動信号は組み合わされて、EIM1714内のAPLへ送達される。APLは、(1)SFM1704からのデジタル作動信号、(2)それ自体のPPSディビジョンからの非デジタル手動作動入力信号、及び(3)PCSからの非デジタル手動制御信号という3つのソースからのコマンドを受け付ける。非デジタル信号は、PPS1700のデジタル部分とは異なる。APLによって、最も高い優先順位に基づいて単一のデバイスを作動させるために、個別の論理が使用される。デジタルシステムの状態にかかわらず、措置の手動開始をディビジョンレベルで開始することができる。適当な構成が操作者によって可能にされたとき、PCSの使用によって、構成要素レベルの制御を実現することができる。
[0289]APLからの結果は、EIM1714に接続された機器を制御して作動させるために使用される。機器状態が、各EIM1714へフィードバックされる。機器フィードバック情報は、MIB−CM1706へ、SDB信号及びAPLの状態とともに送られる。
[0290]PPS1700の各ディビジョンは、専用のMWS1316を有する。保守活動を実行するために、MWS1316から機器への書込みコマンドを実行する能力が必要とされる。
[0291]各PPSディビジョンキャビネットは、1つ又は複数のHWM1722/1724を有し、HWM1722/1724は外部信号を受け付け、これらの信号を他のモジュールに対するバックプレーン1720上で利用可能にする。これらの信号は、手動作動スイッチ、不安全制御信号、及びトリップバイパス制御を含む。
[0292]PPS1700は、複数の原子力システムに共通のプラントシステムの監視及び制御を提供する。PPS1700は不安全関連であるが、PAM機能に対応するため、PPS1700は、増大された品質及び規制要件を満たすように設計される。表3(図29に示す)挙げたPPS1700によって監視される例示的な変数はすべて、SDIS及びPCSへ送られて、それらのシステムによって必要とされる場合、MCR内に表示される。これらは、制御室居住性システムの作動及びPPS1700からの必要とされるPAM変数に対応するために、表示及び標示を提供する。
[0293]図18は、MPS1200の安全表示及び標示システム(SIDS)の例示的な実施形態の概略図を示す。SDISは、MPS1200及びPPS1700の状態に関する正確、完全、かつ適時の情報、並びに必要とされる場合に保護措置を手動で開始する能力を支援するための情報表示を提供する。情報の表示は、曖昧な標示の可能性を最小にし、操作者に対する人間−システムインタフェース(HSI)を強化するように設計される。
[0294]SDISの主要な機能は、安全分析によって定義された限界範囲内でプラントが動作していることを確実にするために、HSI及びデータを操作者に提供すること、ESFAS、RTS、及びPPS設定点に到達したときに操作者に通知すること、原子力システムが事故後に安全な状態にあることを確実にするために必要なデータを操作者に供給すること、並びにMPS1200及びPPS1700の状態に関する正確、完全、かつ適時の情報、並びに事故後監視(PAM)を支持するための情報表示を提供することである。SDISは、PAM変数を監視及び表示するためのMPS及びPPSに対するHSIを提供し、制御入力及び状態情報のための能力を提供する。SDISは、安全又は不安全関連システムとすることができる。いくつかの例では、SDISは、不安全関連の非重要リスクシステムとすることができるが、PAM機能に対応するため、SDISは、増大された品質及び規制要件を満たす。
[0295]パラメータ値及び機器状態に関する情報は、MPS1200及びPPS1700の各分離グループ及び各ディビジョンからSDISへ提供される。
[0296]SDISは、通信モジュールを通ってMPS1200及びPPS1700とインタフェース接続する。MPSインタフェースは、MPSゲートウェイ1314と呼ばれており、PPSとのインタフェースは、MIB通信モジュール1706を通る。SDISは、機器の2つの独立したディビジョンからなる。各SDISディビジョンは、通信ハブ、表示インタフェースモジュール(DIM)(図20を参照して後述する)、及び表示パネルからなる。SDIS境界及びインタフェースは、図18に示されている。
[0297]SDISハブ1800は、MPSゲートウェイ及びプラント保護システムMIB通信モジュールからデータを受け取る。各MPSゲートウェイ1314は、SDISハブ1800内の別個の通信モジュール1804へデータを送達する。SDISハブ1800は、MPS1200及びPPS1700から受け取ったデータを、光学的に隔離された1方向光ファイバケーブルを通って、それぞれの原子力システム又はPPSに関連付けられたDIMに分散させる。各SDISハブラックに対するSDISハブ1800上の通信モジュール1804の各々からのデータは、単一の通信モジュールに集められる。このモジュールは、ラックに対するバックプレーンを通って、そのラック上の通信モジュールの各々を集計する。次いで、通信モジュールは、光学的に隔離された単方向インタフェースを通って、集めた情報をPCS1802へ送る。
[0298]SDISハブ1800は、ディビジョンごとに通信モジュールの2つのシャーシに分離される。第1のシャーシは、原子力システム1〜6に関連付けられたMPS1200に対する通信モジュール及びPPS1700の通信モジュールを収納する。第2のシャーシは、原子力システム7〜12に関連付けられたMPS1200のみに対する通信モジュールを収容する。通信モジュールの第1及び第2のシャーシはどちらも、不安全システムとインタフェース接続する通信モジュールを収納する。
[0299]図19は、MPS1200のSDISハブラック1900の例示的な実施形態の概略図を示す。SDISラック1900は、複数のSDIS通信モジュール1902を含む。MPS1200のいくつかの実施形態では、各ラック1900が、モジュール原子炉システムの1つのディビジョンに対するSDIS−CM1902を含む。SDIS−CM1902は、RS−485物理層1904上で相互接続することができる。たとえば、各ラック1900は、12の原子力モジュール(NPM)SDIS−CM1902を含み、各原子力モジュールは、12のモジュール原子炉のうちの1つに関連付けられたI&Cデータを受け取って表示するように構成され、PPS SDIS−CM1902は、PPSに関連付けられたI&Cデータを受け取って表示するように構成される。第2のラック1900は類似しているが、多様性を提供するために異なるタイプのソフトウェア及び/又はハードウェア構成要素によって実施することができる。SDISラック1900は、複数の原子炉システムからI&Cデータを集める効率的な方法を提供することができる。
[0300]図20は、MPS1200の表示システム(DS)2000の例示的な実施形態のブロック図を示す。DS2000は、デジタル表示パネル2004(たとえば、液晶ディスプレイ(LCD)又は発光ダイオード(LED)ディスプレイ)と電気的に通信している表示インタフェースモジュール(DIM)2002を含む。DS2000は、2つの独立した電源2010及び2012を含む。各電源2010/2012は、DIM2002及び表示パネル2004の両方へ電力を提供するように接続される。2つの独立した電源2010/2012の使用により、DS2000への冗長電力の供給が確実になる。
[0301]SDIS内のDIM2002は、隔離されたファイバ−銅インタフェースを通って、データを受け取る。受け取ったデータは、FPGA2006において、すぐに表示できる形式に変換される。たとえば、DIM2002は、データを処理して適当な形式(たとえば、グラフィカルユーザインタフェース)にし、またパネル2004に対するディスプレイドライバとして働く。したがって、すぐに表示できる形式は、表示パネル2004の画素行列を駆動するパネル駆動信号とすることができる。
[0302]次いで、DIM2002は、すぐに表示できるデータを、ケーブルを通って表示パネル2004へ送る。表示パネル2004は、MPS1200及びPPS1700から利用可能なデータを、MCR内のプラント操作者へ表示する。各MPS1200及びPPS1700からのデータは、その独自の専用モニタに表示される。ディビジョンごとに1つのモニタがある。MPS1200及びPPS1700データのディビジョンはどちらも、両方のSDISディビジョンディスプレイに表示される。
[0303]いくつかの実施形態では、各DS2000は、1対のDIM2002及び1対の表示パネル2004を含む。データ表示の冗長性を提供するために、DS2000内の各DIM2002に同じMPS又はPPSデータが提供される。言い換えれば、DS2000内の両方のDIM2002が、同じSDIS出力に接続される。冗長性は、設計多様性を提供するために、各DIM2002内で異なるタイプのFPGA2006を使用することによって、さらに提供される。同様に、各DIM2002のFPGA2006は、ソフトウェア多様性を提供するために、異なるデータ及びグラフィック処理アルゴリズムによってプログラムすることができる。
[0304]図21は、SFM2100の別の例示的な実施形態の概略図を示す。安全機能モジュール(SFM)2100がセンサ入力を処理し、割り当てられた分離グループに対する原子炉トリップ及び/又はESF作動判定を行う。モジュールは、図21に示すように、信号調節/アナログデジタル変換(入力サブモジュール)2104a〜2104d、デジタル論理回路2114(たとえば、安全機能アルゴリズム、計算、診断)、及び通信エンジン2120という3つの機能領域から構成される。
[0305]SFM2100は、FPGA2112デバイスを使用して、安全機能アルゴリズム、工学単位計算、バス通信論理、並びに標示及び診断情報(IDI)論理回路を含むすべてのデジタル論理回路を収納する。SFM2100の前面に非稼働(OOS)スイッチ2124が存在し、SFM2100を非稼働状態にすることを可能にする。OOS2124スイッチが起動されると、安全機能は、そのSFM2100に対するトリップ/バイパススイッチの位置に基づいて、トリップ又はバイパスに配置される。このスイッチを起動することで、不揮発性メモリ(NVM)2110内の調整可能なパラメータ及び設定点の修正が許可される。
[0306]入力サブモジュール2104a〜2104dは、複数の入力2102から情報を受け取る。入力サブモジュール2104a〜2104dは、信号調節回路2106、アナログ−デジタル(A/D)変換器2108、及び直列インタフェースを含む。各SFM2100は、複数(たとえば、4つ又はそれ以上)の入力サブモジュール2104a〜2104dを取り扱うことができる。入力2102のタイプは、パーミッシブ及びインタロックの生成を含むSFM2100が作動判定を行うために必要とするはずのアナログ及びデジタルの任意の組合せ(たとえば、RTD、TC、4〜20mA、10〜50mA、0〜10V)とすることができる。
[0307]論理機能は、SFM2100のプログラマブル部分(FPGA)2112内で実施される。入力サブモジュールの各々の出力は、FPGA2112内の複数の冗長コア論理モジュール2114信号経路及びMIB論理モジュール2116論理へ送られる。コアモジュール2114は各々、冗長信号経路内で機能する。コアモジュール2114は、それだけに限定されるものではないが、安全機能アルゴリズムを実行すること、安全機能アルゴリズム出力を設定点と比較し、トリップ及び/又はESF作動判定を行うこと、並びにパーミッシブ及び制御インタロックを生成することを含む機能を実行する。
[0308]コアモジュール2114は各々、別個のコア論理信号経路内で動作し、他の2つのコアモジュールから論理的に独立して機能を実行する。これにより、3つの機能的に独立したコア論理機能が可能になり、3つの冗長信号経路が提供される。たとえば、安全機能アルゴリズムは、安全機能のエラー検出及び障害公差を提供するために、3つの冗長経路を通って処理される。
[0309]FPGA2112内には、MIB論理モジュール2116及びCTB論理モジュール2118という2つの他の論理機能がある。監視及び標示バス(MIB)論理モジュール2116は、3つの冗長コア論理経路の各々からパラメータ、トリップ判定、状態、及び診断情報を取得し、その情報をMIBへ提供する。この情報は、MIB−CM及びMPSゲートウェイを通って、MCS、SDI、及びMWSへ送られる。CTB論理モジュール2118は、SFM2100が非稼働中である(OOSスイッチ2124が起動されている)とき、MWSがNVM2110内で調整可能なパラメータを更新することを可能にする。
[0310]論理モジュール2114/2116/2118は各々、複数の決定論的状態機械を含む。論理機能アルゴリズムは、エラー検出及び障害公差を提供するために、複数の冗長経路を通って処理される。1つの機能又は1群の機能に専用のSFM2100を使用することによって、各モジュール上の一意の論理及びアルゴリズムのため、ソフトウェアCCFの影響が制限される。
[0311]通信ブロックは、5つの別個の論理的に独立した通信エンジン2120(たとえば、別の通信エンジンの状態にかかわらずデータを伝送することが可能)を含む。各エンジン2120は、安全データバス1(SDB1)、安全データバス2(SDB2)、安全データバス3(SDB3)、監視及び標示バス(MIB)、並びに較正及び試験バス(CTB)という通信バスのうちの1つに専用である。各SDBは同じデータを通信するが、各通信ポートは、データを別々にパッケージ化して伝送する。SDB1は、たとえば、10パケットのデータを順次(たとえば、1、2、...、10)伝送することができ、SDB2は、同じ10パケットを逆の順序(たとえば、10、9、...、1)で伝送し、SDB3は、偶数のパケットをまず伝送し、続いて奇数のパケットを伝送する(たとえば、2、4、...、10、1、3、..9)。
[0312]いくつかの実施形態では、SDB上のコア論理機能に対して3重冗長性を使用することで、通信エラー検出を可能にするだけではなく、下流の構成要素が正確なトリップ及び/又は作動判定を行う能力に影響を及ぼすことなく、通信CCFを特定のバスに制限することができる。
[0313]図22は、MPS1200の監視及び標示(MIB)通信モジュール2200の例示的な実施形態の概略図を示す。通信モジュール(CM)2200は、安全データをSFMからEIMへ伝達するための通信チャネルを提供する基底モジュールである。CM2200はまた、保護システムアーキテクチャの外からの監視及び標示並びに診断情報を、(1)事故監視及び表示システム(たとえば、SDI)、並びに(2)制御、診断、表示、及び監視の目的の他のシステム(たとえば、MCS及びMWS)へ渡す通信能力を提供する。
[0314]いくつかの実施形態では、CM2200はまた、論理レベルバックプレーン信号を介して、ハードワイヤード信号入力を組み込む。使用される場合、これらのハードワイヤード信号は、同じシャーシ又はデイジーチェーンシャーシ内のハードワイヤードモジュール(HWM)を通って、バックプレーン上に直接配置される。
[0315]CM2200は、それらの機能に基づいて別々に構成することができる。異なるタイプの通信モジュールは、同じモジュールハードウェアアーキテクチャに基づいており、監視及び標示バスCM(MIB−CM)、スケジューリング及びバイパスモジュール(SBM)、スケジューリング及び投票モジュール(SVM)、MPSゲートウェイCMを含む。
[0316]基本的なCM2200は、FPGA2202、スケジューリング及び通信論理2214、標示及び診断情報(IDI)2210、CM機能論理回路2212(CMの具体的に所望される機能に基づいて構成される)、ハードワイヤード信号入力、並びに通信物理層2216という回路を含む。CMは、FPGA2202デバイスを利用して、CMが実行する特有の機能に基づいて論理回路を実施する。FPGA2202内で実施される論理は、バス通信及びスケジューリング論理、CMが実行する任意の機能、並びにIDI論理回路を含む。たとえば、MIB−CMにおいて、機能論理回路2212は、監視及び標示情報の収集及び割当てを実行するように構成される。MIB CMは、SFM、SBM、及びEIMから標示及び診断情報を収集し、隔離された1方向データ経路を通って、この情報をSDIシステム及びPCSへ伝送するために使用される。
[0317]4つの銅−ファイバ物理層2216は各々、受取り専用又は伝送専用に構成することができる。ディビジョン間通信又は不安全関連若しくは他の安全関連システムへの通信は、伝送専用又は受取り専用の通信ポート(たとえば、銅又は光ファイバ)を通らなければならない。これらのポートは、受取り又は伝送構成に対して1Eクラス隔離を提供する。CMは、FPGA論理回路、不揮発性メモリ(NVM)、クロック回路、並びに電力及び電力管理回路内の故障の検出を確実にする自己試験能力を含む。
[0318]MIB−CMは、SFM、SBM、SVM、及びEIMから標示及び診断情報を収集し、隔離された適格の1方向データ経路を通って、この情報をMCS及びMPSゲートウェイへ伝送するために使用される。MIB−CMはまた、較正及び試験バス(CTB)情報をMWSからSFMへ伝送するために使用される。
[0319]各分離グループ並びにRTS及びESFASディビジョン内のMIB−CMに対する銅−ファイバデータポートのうちの3つは、伝送専用に構成され、MCS、ディビジョンIのMPSゲートウェイ、及びディビジョンIIのMPSゲートウェイへ情報を送る。分離グループMIB−CM上の残りの銅−ファイバデータポートは、受取り専用として構成され、保守活動中に接続された一時ケーブルを通って、MWSから情報を受け取る。RTS及びESFASディビジョン内のMIB−CM上の残りのポートは予備である。
[0320]図23は、MPS1200のスケジューリング及びバイパスモジュール(SBM)2300の例示的な実施形態の概略図を示す。SBM2300は、スケジューリング及びバイパス機能を実行するように構成されたCM2200である。たとえば、SBM−CM内で、機能論理回路2212は、スケジューリング及びバイパス機能を実行するように構成される。上述したように、各安全データバスに対して1つずつ、分離グループごとに複数の冗長SBM2300(たとえば、グループごとに3つのSBM)が存在する。SBM2300は、各SFMから安全データを要求して受け取り、次いでRTSの両方のディビジョン内のその関連付けられたSVM及びESFASの両方のディビジョン内の関連付けられたSVMへ、このデータを伝送する。SBM銅−ファイバデータポート2210は、RTS及びESFASへ1方向データを提供するために、伝送専用に構成される。3つのSBM2300は、エラー検出及び伝送障害を検出する能力を助けるために、3重冗長データ通信経路を提供する。
[0321]分離グループに対するHWMは、トリップ/バイパススイッチ位置を、各安全機能に対する論理レベル信号に変換し、この情報をシャーシバックプレーン上に配置し、この情報は、SBM2300ハードワイヤード信号インタフェース2304で受け取られる。SFMから受け取ったデータパケットは、SFM上のOOSスイッチの位置を収納する。SBM2300は、データパケット内でSFMから受け取ったOOSスイッチ位置情報から、SFMが非稼働中であるかどうかを判定する。SFMが非稼働中であり、かつトリップ/バイパススイッチがバイパスにある場合、SBM2300は、SFM安全機能の出力が何を求めていても、作動なし条件をSVMへ伝送する。SFMが非稼働中であり、トリップ/バイパススイッチがトリップにある場合、SBM2300は、安全機能の出力が何を求めていても、作動信号をSVMへ伝送する。SFMが非稼働中ではない場合、SBM2300は、SFMからSBM2300へ計算及び伝送された安全機能アルゴリズム結果を伝送する。
[0322]SBM2300がSFMから有効な応答を受け取らない場合、警報が生成され、SBM2300は、トリップ/バイパススイッチの位置を使用して、SVMへ何を伝送するかを判定する。トリップ/バイパススイッチがトリップ位置にある場合、SBM2300は、その安全機能のために作動信号をSVMへ伝送する。スイッチがバイパス位置にある場合、SBM2300は、その安全機能のために作動なし信号をSVMへ伝送する。
[0323]図24は、MPS1200のスケジューリング及び投票モジュール(SVM)2400の例示的な実施形態の概略図を示す。SVM2400は、スケジューリング及び投票機能を実行するように構成されたCM2200である。たとえば、SVM−CM内で、機能論理回路2212は、スケジューリング及び投票機能を実行するように構成される。SVM2400は、4つの分離グループからデータを受け取り、各安全機能に対して非多数決投票(たとえば、2oo4投票)を実行し、トリップ又は作動信号が必要とされるかどうかを判定する。2つ以上の分離グループが、トリップ又は作動信号が必要とされることに一致した場合、その安全機能のためにトリップ又は作動信号が適当なEIMへ渡される。上述したように、RTSの各ディビジョン内に、各安全データバスに対して1つずつ、3つの冗長SVM2400があり、ESFASの各ディビジョン内に3つがある。通信ポート2216は、受取り専用として構成される。
[0324]RTSに対するHWM及びESFASに対するHWMは、動作バイパススイッチ位置を論理レベル信号に変換し、この情報をシャーシバックプレーン上に配置し、この情報は、SVM2400ハードワイヤード信号インタフェース2404で受け取られる。評価されている安全機能に対して動作バイパス信号が存在する場合、その安全機能に対するあらゆる作動信号は無視され、作動なし信号が適当なEIMへ伝送される。
[0325]図25は、MPS1200又はPPS1700の機器インタフェースモジュール(EIM)2500の例示的な実施形態の概略図を示す。EIM2500は、RTS、ESFAS、及びPPSの最終作動デバイスである。EIM2500は、FPGA2502、バス通信論理2508、IDI論理2512、自動作動投票論理2510、ハードワイヤード信号論理2504、作動及び優先論理(APL)2514、スイッチング出力2516、並びに位置フィードバック入力2518という回路を含む。
[0326]FPGA2502内で実施される論理は、バス通信論理2508、自動作動投票論理2510、及びIDI論理2512を含む。バス通信論理2508は、SDB(SDB1、SDB2、及びSDB3)からのデータを処理し、そのデータを自動作動投票論理2510へ送る。IDI論理2512は、MIB通信論理2520へ送られ、PCS、SDISハブ、及びMWSによって処理される。
[0327]自動作動投票論理2510は、3つのSDBから受け取った作動信号で投票する。自動作動投票論理2510は、1次又は2次作動経路に対して作動が保証されているかどうかを判定する。たとえば、自動作動投票論理2510は、作動信号で多数決を行う。自動作動投票論理2510は、ツーアウトオブスリー(2oo3)作動信号がそのように示す場合、自動作動が保証されていることを示す。データ通信は3重冗長であり、単一故障の問題をなくすために投票される。
[0328]IDI論理2512は、EIM2500上の様々な回路から状態及び診断情報を収集し、この診断情報を処理のためにMIB通信論理2520へ送る。
[0329]EIM2500は、シャーシバックプレーンを通って、HWMに接続することができる(たとえば、RTS HWM1402、ESFAS HWM1408、及びPPS HWM1722)。それぞれのHWMは、手動スイッチ位置及び不安全関連制御信号をアナログ論理レベル信号に変換し、この情報をシャーシバックプレーン上に配置する。ハードワイヤード信号論理2504は、この情報をシャーシのバックプレーンからAPL2514の1次及び2次回へ分散される。ハードワイヤード信号2506は、それだけに限定されるものではないが、手動作動信号、不安全(NS)イネーブルスイッチ位置信号、パーミッシブ信号、バイパス信号、及び不安全関連制御信号を含むことができる。
[0330]APL2514は、個別の論理構成要素から構築され、自動作動投票論理2510、ハードワイヤード信号論理2504、及びPCS制御信号からのコマンドを受け取る。APL2514は、受け取った最も高い優先順位のコマンドを優先して処理する。たとえば、APL2514は、PCS制御信号及びNSイネーブル信号より、自動及び手動の作動信号を優先する。たとえば、NSイネーブルスイッチが活動中である場合、PCSは、より高い優先順位の機能作動信号が存在しないとき、EIM2500に結合された終端デバイスを制御することが可能である。しかし、自動又は手動作動コマンドは、PCS入力をオーバーライドする。NSイネーブル信号がないと、EIM2500は常にPCSコマンド信号を無視する。たとえば、APL2514は、より高い優先順位の信号(たとえば、自動又は手動作動信号)が存在しない限り、EIM2500を通って終端デバイスを作動又は再設定するための不安全信号(たとえば、NSイネーブル及びPCSコマンド信号)の使用を許可する。さらに、APL2514は、不安全信号からのそのような動作を許可しながら、不安全システム(たとえば、PCS)からのあらゆる障害エラーが、EIM2500を通って安全システム(たとえば、RTS又はESFAS)内へ波及するのを防止する。
[0331]いくつかの実施形態では、各EIM2500は、複数の構成要素を制御することができる。たとえば、各EIM2500は、2つのフィールド構成要素を制御することができる。EIM2500は、4つのスイッチング出力2516、2つの1次及び2つの2次を備える。スイッチング出力2516は、出力動作に影響を及ぼすことなく、冗長出力として実施され、駆動構成要素の1つのうちの単一故障が、自動的に検出及び軽減される。4つのスイッチング出力2516のうちの1つの単一故障は、出力チャネルが負荷を励磁又は切断することを防止することができない。自己試験能力は、ソレノイドが励磁されているときはスイッチング出力2516を通って電流を測定することによって実施され、ソレノイドが切断されているときはソレノイドを通って連続性を測定することによって実施される。スイッチング出力は、不安全構成要素又は電圧源への接続を可能にするために、フィールドから隔離される。
[0332]1つのEIM2500のみが終端デバイスのコイルへ電力を供給している場合、EIM2500の故障又は除去により、フィールド構成要素が作動されるはずである。終端デバイスを作動させることなくEIM2500の交換を可能にするために、第2のEIM2500スイッチング出力が、第2のEIM2500と並列に配置され、図15を参照して図示及び説明するように、いずれのEIM2500も出力を励磁されたまま維持する。この構成はまた、EIM2500回路のより徹底的な試験を可能にする。
[0333]図26は、MPS1200のハードワイヤードモジュール(HWM)2600のブロック図を示す。各MPS分離グループ及びディビジョン、並びにMPSゲートウェイ、及び各PPSディビジョンは、専用のHWM2500(たとえば、HWM1310、1402、1408、1722、1724)を有する。HWM2600は、MPSキャビネットの外部からハードワイヤードアナログ信号を受け付け、これらの信号を他のモジュールに対するシャーシバックプレーン2602上で利用可能にする。たとえば、これらの信号は、それだけに限定されるものではないが、MCRからの手動作動スイッチ、動作バイパススイッチ、オーバーライドスイッチ、及びイネーブル不安全制御スイッチを含む。HWMへの他の入力は、SFMトリップ/バイパススイッチ、MCS制御入力、及び構成要素位置フィードバックを含む。
[0334]HWM2600は、主制御室内の手動スイッチからの信号、MCSからの個別の制御信号、位置フィードバック、及びトリップ/バイパススイッチパネルを受け取ることができる。HWM2600は、個別のアナログ構成要素のみから構築され、プログラマブルデバイスはない。これらの信号は、分離グループスイッチ入力(たとえば、保守トリップ/バイパス(各分離グループ))、RTS及びESFASスイッチ入力(たとえば、手動作動(MCR)、ブロック又はオーバーライド(MCR)、イネーブルNS制御(MCR)、動作バイパス(MCR)、不安全関連MCS制御信号)、並びにMPSゲートウェイ(たとえば、事故監視標示のためのRTS及びESFAS構成要素からの位置フィードバック)からなる。
[0335]手動スイッチ及び不安全関連MCS信号からのすべての信号は、フィールドから隔離され、アナログ論理電圧レベル電圧に変換され、その信号を必要とする任意のモジュールによって使用するために、バックプレーン上に配置される。図26に示す例示的なHWM2600は、モジュールの頂部からくる最大32の入力を有する。32の入力は、4組の8つの入力2604に分割される。各組2604は、外部入力からのその独自の電気的隔離2508、並びに隣接する3組の入力2604を有する。各入力チャネルは、その独自のガルバーニ隔離2608を提供する。ガルバーニ隔離は、光アイソレータデバイスによって提供することができる。各組の8つの入力2608は、隔離された電源を提供するために、その独自のDC−DC変換器を有する。
[0336]動作バイパスは、特定のプラント動作モードでは必要ないとき、特定の保護措置のために提供される。異なるプラント動作モードが、安全機能の自動又は手動バイパスを必要とすることがある。動作バイパスは、モード変化を許可するために使用される。保守バイパスは、保守、試験、又は修理中に安全システム機器をバイパスするために提供される。保守バイパスは、機器の冗長度を低減させることがあるが、安全機能の損失をもたらさない。動作及び保守バイパスは、以下の段落で説明する。
[0337]MPSは、自動的に、又は自動及び手動措置の組合せによって、プラントモードの変更を可能にする特定の保護措置を禁止又は許可するインタロック、パーミッシブ、並びに動作及び保守バイパスを含む。
[0338]MPS論理は、動作バイパスに対するパーミッシブ又はインタロック条件が満たされていない場合、動作バイパスの起動を自動的に防止し、又は適当な安全機能(複数可)を開始する。動作バイパス回路は、機能が必要とされていないときに保護機能をバイパスすることを可能にする両方のパーミッシブ特徴、及び条件が満たされたときに動作バイパスを自動的に起動するインタロック特徴を収納する。パーミッシブ及びインタロック条件が満たされなくなった場合、動作バイパスは自動的に非活動化される。
[0339]動作バイパスは、プラントモードの変更を可能にし、安全分析又はプラント動作に基づいて特定の機能の操作者制御を提供するために必要とされる。MPS機能、インタロック、及びパーミッシブに対する例示的な動作バイパスが、表4(図30A〜30Cに示す)に挙げられている。これらのバイパスは、普通ならプラント動作(たとえば、プラント開始)中のモード変更を妨げる特定の保護措置を自動又は手動でブロックする。動作バイパスは、保護措置を動作可能にすることが必要とされる動作状態へプラントが動いたとき、自動的に除去される。システムの何らかの部分がバイパスされ又は非稼働状態にされている場合、制御室内に標示が提供される。
[0340]手動動作バイパスは、ディビジョンごとに1つずつ、2つのスイッチを有する。いくつかの設計で使用される唯一の手動動作バイパスは、バイパスの機能を実現するために、手動バイパスとともにパーミッシブを使用する。動作バイパススイッチは瞬間的コンタクトスイッチとすることができ、通常は開放されており、動作バイパス機能を実行するために瞬間的にのみ閉鎖される。
[0341]識別された事象において、故障は、2つのMPSディビジョンのうちの1つに制限される。他のMPSディビジョンは、完全に動作可能であり、安全機能を実行することが可能であり、単一故障が安全機能を無効にしない。安全機能の不注意のバイパスは、1つのMPSディビジョンに制限される。他のMPSディビジョンは、必要とされる安全機能を実行することができない。
[0342]自動及び手動動作バイパスの場合、分離グループからのパーミッシブ又はインタロックに対してトリップ判定が使用され、これは、保護措置に対するトリップ判定に類似している。動作バイパスが保証されているかを判定するために、スリーアウトオブフォー一致が使用される。動作バイパスを除去するために、パーミッシブ又はインタロックが有効でなくなると判定するために分離グループのツーアウトオブフォーが必要とされ、動作バイパスが自動的にリセットされる。
[0343]MPS変数は、ツーアウトオブフォー一致論理を利用する保護機能を作動させる4つの冗長チャネルによって監視される。この構成により、保護チャネルの単一の偶発故障が保守バイパス内のチャネルと同時発生した場合、必要とされる安全機能を動作可能なままにすることが可能になる。
[0344]MPSは、保守、試験、又は修理に対する保護チャネルの管理バイパスを許可するように設計される。MPSチャネルが管理的にバイパスされ又は非稼働状態にされている場合、制御室内に標示が提供される。保守バイパス内で非稼働状態にするために可能にされる時間期間は、プラントの技術仕様によって管理的に制御される。
[0345]MPS上で保守を実行するために、各SFMに関連付けられたスイッチ、及びSFMの前面の非稼働スイッチという2つの関連付けられたスイッチが存在し、保守及び修理のためにSFMを非稼働状態にすることを可能にする。非稼働スイッチを起動することで、安全機能が、そのSFMに対するトリップ/バイパススイッチの位置に基づいて、トリップ又はバイパスになる。非稼働スイッチを起動することで、MWSを介して不揮発性メモリ内で調整可能なパラメータ及び設定点の修正が許可される。トリップバイパススイッチ状態入力は、ハードワイヤードモジュール(HWM)を通って受け取られ、これによりスイッチ位置が論理レベル信号に変換され、この情報がバックプレーン上へ配置される。
[0346]SFMから受け取ったデータパケットは、非稼働スイッチの位置をSFM上に収納する。スケジューリング及びバイパスモジュール(SBM)は、SFMからのデータパケット内に受け取られた非稼働スイッチ位置情報からSFMが非稼働中であるかどうかを判定する。SFMが非稼働中であり、かつトリップ/バイパススイッチがバイパスにある場合、SBMは、SFMの出力にかかわらず、作動なし又は非トリップ状態をスケジュール及び投票モジュール(SVM)へ伝送する。ツーアウトオブフォー投票一致論理に変化はなく、1つの分離グループが、トリップなしをSVMへ提供し、SVMによって受け取られた残りの3つのチャネルのうちの2つがトリップ/作動に投票することを必要とする。この場合、MPSはそれでもなお、単一故障基準を満たすために必要とされる冗長性及び連続性レベルによって、安全機能を実行することが可能である。
[0347]SFMが非稼働中であり、かつトリップ/バイパススイッチがトリップにある場合、SBMは、SFMの出力にかかわらず、トリップ/作動信号をSVMへ伝送する。ツーアウトオブフォー投票一致論理への変更はない。SBMは、1つのチャネルをトリップ/作動させ、1つの分離グループが、トリップ/作動入力をSVMへ提供し、それにより1つの他の分離グループが投票を発行し、トリップ/作動が特定の安全機能に対してトリップ/作動を生じさせる必要がある。この場合、MPSは、「部分トリップ」状態にあるが、それでもなお単一故障基準を満たしており、必要とされる冗長性レベルで安全機能を実行することが可能である。
[0348]いくつかの実施形態では、保守トリップ/バイパススイッチは、MPS機器室内位置する分離グループキャビネット内のパネルの上に位置することができる。これらのスイッチは、SFMシャーシ(図13に示す)内のHWMに接続される。
[0349]SFMが非稼働中ではない場合、SBMは、SFMからSBMへ計算及び伝送された安全機能アルゴリズム結果を伝送する。SBMがSFMから有効な応答を受け取らない場合、警報が生成され、SBMは、トリップ/バイパススイッチの位置を使用して、SVMへ何を伝送するかを判定する。
[0350]SFMの非稼働機能を使用することで、停止及び燃料サイクル中に特定の調整可能なパラメータの周期的なパラメータ更新が可能になる。安全機能の操作性を検証するために、周期的な試験が必要とされる。
[0351]MPSは、通常動作及び停止中に周期的な補正のための保守を可能にするように設計される。保守を実行するために、安全機能を非稼働状態にしなければならない。影響を受けたチャネルは、技術仕様の制限を受けてトリップ状態又はバイパスになる。
[0352]試験又は補正の保守のために、分離グループ内の安全機能をバイパス又はトリップにすることができる。RTS及びESFASディビジョンにはバイパス機能がないが、モジュールは、連続自己試験カバー範囲を有する。原子炉トリップ遮断器は、遮断器構成のため、1度に1つの遮断器を開放することによって、出力時に試験することができる。これにより、原子炉トリップ遮断器に関連付けられた保守バイパスの必要なく、原子炉トリップ遮断器試験が可能になる。ESFAS構成要素のほとんどは、トリップ又は工学的安全施設(ESF)の作動を引き起こすため、出力時に試験されず、停止中に試験する必要がある。MCR内の手動トリップ及び作動スイッチは、出力時に試験することができず、プラントの技術仕様に従って、停止状態中に試験される。
[0353]4つの原子炉トリップ遮断器が、MPSの2つのディビジョンの各々に関連付けられている。MPSディビジョンは、遮断器の単一のディビジョンを開放すると、制御棒駆動機構が切断され、したがって原子炉トリップを引き起こすように構成される(図12に示す)。トリップ作動論理の試験中、原子炉トリップ遮断器の不足電圧トリップ機構へのトリップ信号は作動されない。MPSは、MPS論理及び原子炉トリップ遮断器の重複するオンライン試験を許可するように設計される。
[0354]MPSのうち出力時に試験されない部分は、EIM上の作動優先論理回路である。これは、作動優先論理へ入力を提供する手動MCRスイッチ及びイネーブル不安全制御スイッチを含む。作動優先論理は、個別の構成要素からなり、フィールド構成要素の作動を直接引き起こし、それにより原子炉は停止し、又は動作に不都合な影響を及ぼす。作動優先論理は、原子炉が遮断されているときに試験される。作動優先論理回路の簡潔性のため、停止状態中の試験は、必要とされる場合に作動優先論理機能が実行することを確実にするのに十分である。
[0355]保守バイパスの目的で、NMSは、MPSへのセンサ入力として扱われ、MPSは、保守の目的でバイパス能力を提供する。
[0356]MPSチャネルが管理的にバイパスされ又は非稼働状態にされている場合、制御室内に標示が提供される。保守バイパス内で非稼働状態にするために可能にされる期間は、技術仕様によって管理的に制御される。
[0357]MPS機器の状態情報は、MCS及びSDISへ自動的に送られる。MCS及びSDISは、バイパス、トリップ、及び非稼働中状態の連続標示を操作者に提供する。状態情報の表示により、操作者は、安全機能の操作性を識別することが可能になる。
[0358]1組のディビジョンI及びディビジョンIIの手動スイッチは、保護措置の手動開始のために提供され、対応するRTS及びESFASディビジョンのHWMに接続される。HWMへの入力信号は隔離され、論理レベル信号に変換され、バックプレーン上に配置される。これらの信号は、自動信号を生成するFPGA論理構成要素の下流にある関連付けられたEIM作動優先論理回路へ提供される。
[0359]ディビジョンI及びディビジョンIIの手動作動スイッチは、MCR内で以下の保護措置の各々に対して提供される。各手動作動スイッチは、その関連付けられたディビジョン内でそれぞれの保護機能を作動させる。いずれのディビジョンスイッチの作動も、安全機能を完了するのに十分である。手動作動スイッチは、それだけに限定されるものではないが、原子炉トリップ、ECCS作動、崩壊熱除去作動、格納隔離、脱塩水システム隔離、化学及び体積制御システム隔離、加圧器ヒータトリップ、及び低温超過圧力保護を含むことができる。ハードワイヤード手動作動スイッチ入力は、MPS内のデジタル構成要素の下流にあるため、MPS自動機能の故障は、必要とされる保護措置の手動開始を妨げない。
[0360]操作者が安全関連イネーブル不安全制御スイッチを使用することによって可能にされた場合、ESF機器の手動構成要素レベル制御の能力は、MCSからHWMへの不安全個別ハードワイヤード入力を使用することが可能である。次いで、これらの信号は、EIM上の作動優先論理回路へ入力される。あらゆる自動又は手動安全関連信号は、不安全信号をオーバーライドし、作動優先論理内で優先される。DBEを超えて、制限された数の作動機器に対して、安全関連オーバーライドスイッチを使用して、自動信号に対して不安全信号を優先することができる。
[0361]オーバーライドスイッチは、以下の機能のために提供される。オーバーライドスイッチは、ディビジョンごとに1つずつ、2つのスイッチを含むことができる。手動オーバーライドスイッチは、格納容器注水及び排水システム並びにバルブをオーバーライドすることができる。手動オーバーライドスイッチは、起動すると警報を生成することができる。手動制御は、認可されたプラント手順によって管理的に制御される。
[0362]主題の特定の実施形態について説明した。他の実施形態、変更形態、及び記載する実施形態の並べ替えは、当業者には明らかな以下の特許請求の範囲の範囲内である。たとえば、特許請求の範囲に記載の動作は、異なる順序で実行することができ、それでもなお望ましい結果を実現することができる。したがって、例示的な実施形態の上記の説明は、本開示を定義又は抑制するものではない。本開示の精神及び範囲から逸脱することなく、他の変形、置換え、及び変更も可能である。
Claims (20)
- 複数の機能的に独立したモジュールであって、前記モジュールの各々が、原子炉安全システムから複数の入力を受け取り、前記複数の入力に少なくとも部分的に基づいて安全措置を論理的に判定するように構成され、前記機能的に独立したモジュールの各々が、デジタルモジュール又は複合型デジタル及びアナログモジュールを備えている、複数の機能的に独立したモジュールと、
前記機能的に独立したモジュールのうちの1つ又は複数に電気的に結合されたアナログモジュールと、
前記複数の入力に少なくとも部分的に基づいた前記安全措置の判定を受け取るように、前記複数の機能的に独立したモジュールに通信可能に結合された1つ又は複数の原子炉安全アクチュエータと、
を備えている原子炉保護システム。 - 前記アナログモジュールへの入力の起動が、前記機能的に独立したモジュールのうちの少なくとも1つの1つ又は複数の動作をオーバーライドする、請求項1に記載の原子炉保護システム。
- 前記アナログモジュールが、アナログ回路構成要素のみを備えている、請求項1に記載の原子炉保護システム。
- 前記アナログモジュールへの少なくとも1つの入力が、手動オーバーライド入力を含み、前記アナログモジュールが、前記手動オーバーライド入力の起動の際、前記機能的に独立したモジュールのうちの少なくとも1つのデジタル動作をオーバーライドするように構成されている、請求項1に記載の原子炉保護システム。
- 前記アナログモジュールへの少なくとも1つの入力が、手動バイパス入力を含み、前記アナログモジュールが、前記手動バイパス入力の起動の際、前記機能的に独立したモジュールのうちの少なくとも1つのデジタル動作をバイパスするように構成されている、請求項1に記載の原子炉保護システム。
- 前記アナログモジュールへの少なくとも1つの入力が、手動作動入力を含み、前記アナログモジュールが、前記手動作動入力の起動の際、前記機能的に独立したモジュールのうちの少なくとも1つのデジタル動作を作動させるように構成されている、請求項1に記載の原子炉保護システム。
- 前記アナログモジュールからの1つ又は複数の出力が、前記原子炉保護システムのバックプレーンを通って前記複数の機能的に独立したモジュールへ入力として供給されている、請求項1に記載の原子炉保護システム。
- 前記アナログモジュールが、第1のアナログモジュールを含み、前記原子炉保護システムが、
第2のアナログモジュールと、
工学的安全施設作動システム(ESFAS)であって、前記複数の機能的に独立したモジュールの第1の部分集合が、複数のESFAS入力を受け取り、前記ESFAS入力に少なくとも部分的に基づいてESFAS構成要素の作動を論理的に判定し、前記第1のアナログモジュールが、前記複数の機能的に独立したモジュールの前記第1の部分集合のうちの前記機能的に独立したモジュールに電気的に結合されている、工学的安全施設作動システム(ESFAS)と、
原子炉トリップシステム(RTS)であって、前記複数の機能的に独立したモジュールの第2の部分集合が、複数のRTS入力を受け取り、前記RTS入力に少なくとも部分的に基づいてRTS構成要素の作動を論理的に判定し、前記第2のアナログモジュールが、前記複数の機能的に独立したモジュールの前記第2の部分集合のうちの前記機能的に独立したモジュールに電気的に結合されている、原子炉トリップシステム(RTS)と、
を備えている、請求項1に記載の原子炉保護システム。 - 前記複数の機能的に独立したモジュールの各々が、前記複数の機能的に独立したモジュールのうちの他のいずれかへの単一故障波及からの保護を提供している、請求項1に記載の原子炉保護システム。
- 前記原子炉安全システムが、工学的安全施設作動システム(ESFAS)を備えており、前記複数の機能的に独立したモジュールが、複数のESFAS入力を受け取り、前記ESFAS入力に少なくとも部分的に基づいてESFAS構成要素の作動を論理的に判定する、請求項1に記載の原子炉保護システム。
- 前記複数の機能的に独立したモジュールが、冗長ESFAS投票ディビジョンを提供している、請求項10に記載の原子炉保護システム。
- 前記原子炉安全システムが、原子炉トリップシステム(RTS)を備えており、前記複数の機能的に独立したモジュールが、複数のRTS入力を受け取り、前記RTS入力に少なくとも部分的に基づいてRTS構成要素の作動を論理的に判定する、請求項1に記載の原子炉保護システム。
- 前記複数の機能的に独立したモジュールが、冗長RTS投票ディビジョンを提供している、請求項12に記載の原子炉保護システム。
- 前記アナログモジュールが、不安全関連信号をアナログ電圧レベルに変換し、シャーシバックプレーンを通って前記アナログ電圧レベルを関連機能モジュールへ渡すことによって、安全関連システムから不安全関連信号を電気的に隔離している、請求項1に記載の原子炉保護システム。
- 前記機能的に独立したモジュールのうちの少なくとも1つが、前記アナログモジュールからの少なくとも1つのハードワイヤードアナログ入力信号を備えた機器インタフェースモジュール(EIM)を具備している、請求項1に記載の原子炉保護システム。
- 前記EIMが、少なくとも1つのデジタル入力信号に対して前記少なくとも1つのハードワイヤードアナログ入力信号を優先する作動及び優先論理(APL)回路を備えている、請求項15に記載の原子炉保護システム。
- 前記少なくとも1つのデジタル信号が、安全関連信号を含み、前記APL回路が、前記ハードワイヤードアナログ信号より前記デジタル信号を優先する、請求項16に記載の原子炉保護システム。
- 前記少なくとも1つのハードワイヤードアナログ入力信号が、手動作動スイッチからの安全関連信号を含み、前記APL回路が、前記デジタル信号より前記ハードワイヤードアナログ入力信号を優先する、請求項16に記載の原子炉保護システム。
- 前記少なくとも1つのハードワイヤードアナログ入力信号が、原子炉トリップ信号を含む、請求項18に記載の原子炉保護システム。
- 手動作動スイッチからの前記少なくとも1つのハードワイヤードアナログ入力信号が、不安全関連制御信号を含み、前記APL回路が、前記ハードワイヤードアナログ入力信号より前記デジタル信号を優先する、請求項16に記載の原子炉保護システム。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2022112351A JP2022160445A (ja) | 2016-12-30 | 2022-07-13 | 原子炉保護システム |
| JP2024019542A JP2024069204A (ja) | 2016-12-30 | 2024-02-13 | 原子炉保護システム及び方法 |
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201662440989P | 2016-12-30 | 2016-12-30 | |
| US62/440,989 | 2016-12-30 | ||
| PCT/US2018/012089 WO2018144173A1 (en) | 2016-12-30 | 2018-01-02 | Nuclear reactor protection systems and methods |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2022112351A Division JP2022160445A (ja) | 2016-12-30 | 2022-07-13 | 原子炉保護システム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2020514700A true JP2020514700A (ja) | 2020-05-21 |
Family
ID=62218289
Family Applications (3)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2019532799A Pending JP2020514700A (ja) | 2016-12-30 | 2018-01-02 | 原子炉保護システム及び方法 |
| JP2022112351A Pending JP2022160445A (ja) | 2016-12-30 | 2022-07-13 | 原子炉保護システム |
| JP2024019542A Pending JP2024069204A (ja) | 2016-12-30 | 2024-02-13 | 原子炉保護システム及び方法 |
Family Applications After (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2022112351A Pending JP2022160445A (ja) | 2016-12-30 | 2022-07-13 | 原子炉保護システム |
| JP2024019542A Pending JP2024069204A (ja) | 2016-12-30 | 2024-02-13 | 原子炉保護システム及び方法 |
Country Status (8)
| Country | Link |
|---|---|
| US (3) | US11069450B2 (ja) |
| EP (1) | EP3563391B1 (ja) |
| JP (3) | JP2020514700A (ja) |
| KR (2) | KR102642462B1 (ja) |
| CN (1) | CN110366760B (ja) |
| CA (1) | CA3047135A1 (ja) |
| PL (1) | PL3563391T3 (ja) |
| WO (1) | WO2018144173A1 (ja) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20230045101A (ko) * | 2016-12-30 | 2023-04-04 | 뉴스케일 파워, 엘엘씨 | 핵 반응기 보호 시스템 및 방법 |
| US12374467B2 (en) | 2013-12-31 | 2025-07-29 | Nuscale Power, Llc | Nuclear reactor protection systems and methods |
Families Citing this family (27)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9335296B2 (en) | 2012-10-10 | 2016-05-10 | Westinghouse Electric Company Llc | Systems and methods for steam generator tube analysis for detection of tube degradation |
| JP6295113B2 (ja) * | 2014-03-17 | 2018-03-14 | ルネサスエレクトロニクス株式会社 | 自己診断装置及び自己診断方法 |
| EP2988420B1 (en) * | 2014-08-20 | 2021-03-10 | Framatome | Circuit arrangement for a safety i&c system |
| CN111149175B (zh) * | 2017-08-18 | 2023-04-07 | 西屋电气有限责任公司 | 核仪表隔离输出信号标度方法和采用相同方法的系统 |
| US10755826B2 (en) | 2017-11-10 | 2020-08-25 | Nugen, Llc | Integrated system for converting nuclear energy into electrical, rotational, and thermal energy |
| US11265688B2 (en) * | 2018-09-10 | 2022-03-01 | Tagup, Inc. | Systems and methods for anomaly detection and survival analysis for physical assets |
| CN109712732A (zh) * | 2018-12-25 | 2019-05-03 | 江苏核电有限公司 | 一种核电站专设安全设施的手动多样化触发方法 |
| US11205031B2 (en) * | 2019-02-25 | 2021-12-21 | Qiang Huang | System and method for facilitating use of commercial off-the-shelf (COTS) components in radiation-tolerant electronic systems |
| US11935662B2 (en) | 2019-07-02 | 2024-03-19 | Westinghouse Electric Company Llc | Elongate SiC fuel elements |
| CN110444305B (zh) * | 2019-08-13 | 2022-09-13 | 中国核动力研究设计院 | 一种优化的数字化反应堆保护系统 |
| CN110460542B (zh) * | 2019-08-13 | 2022-01-14 | 中核控制系统工程有限公司 | 核电厂dcs系统级联数据交换系统及其数据交换方法 |
| US11662300B2 (en) | 2019-09-19 | 2023-05-30 | Westinghouse Electric Company Llc | Apparatus for performing in-situ adhesion test of cold spray deposits and method of employing |
| CN110867220A (zh) * | 2019-11-07 | 2020-03-06 | 西安交通大学 | 利用粒子网格混合法研究堆芯内共晶反应及高温熔化行为的方法 |
| CN110828002B (zh) * | 2019-12-03 | 2022-07-22 | 上海核工程研究设计院有限公司 | 一种高价值控制棒中子吸收体材料 |
| CN111132372B (zh) * | 2019-12-25 | 2022-01-11 | 广东电网有限责任公司 | 一种用于跳闸开关定位的系统及方法 |
| FR3108769B1 (fr) * | 2020-03-24 | 2022-04-01 | Electricite De France | Dispositif de contrôle d’une pluralité de réacteurs nucléaires |
| FR3108768B1 (fr) * | 2020-03-24 | 2022-04-01 | Electricite De France | Dispositif de contrôle d’une pluralité de réacteurs nucléaires par peloton |
| CN112016185B (zh) * | 2020-07-06 | 2024-07-19 | 中国核电工程有限公司 | 一种核电厂事故应对系统投运方式设计方法 |
| KR102325096B1 (ko) * | 2021-01-19 | 2021-11-11 | 주식회사 리얼게인 | 공학적 안전설비 작동 계통을 위한 광결합기 및 광결합기의 동작 방법 |
| US11862350B2 (en) * | 2021-01-22 | 2024-01-02 | Westinghouse Electric Company Llc | Nuclear movable element position indication apparatus, system, and method |
| US11914347B2 (en) * | 2021-02-12 | 2024-02-27 | Ge Infrastructure Technology Llc | Configurable industrial protection system |
| CN116941223A (zh) * | 2021-02-23 | 2023-10-24 | 菲尼克斯电气开发及制造股份有限公司 | 具有动态功率分配的apl现场交换机 |
| US11421589B1 (en) | 2021-05-18 | 2022-08-23 | Nugen, Llc | Integrated system for converting nuclear energy into electrical, mechanical, and thermal energy |
| US20250022623A1 (en) * | 2022-01-25 | 2025-01-16 | Mitsubishi Electric Corporation | Monitoring and controlling system |
| CN115237046B (zh) * | 2022-07-21 | 2024-08-20 | 中国核动力研究设计院 | 一种安注信号手动禁止方法、装置、终端及可读存储介质 |
| CN115898563B (zh) * | 2022-09-09 | 2024-08-20 | 中国核动力研究设计院 | 一种核电厂汽轮机跳闸信号生成方法和系统 |
| KR20250132594A (ko) * | 2024-02-29 | 2025-09-05 | 한국수력원자력 주식회사 | 단일고장기준 요건을 만족하는 다양성보호계통 및 다양성기기제어계통 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH10506476A (ja) * | 1995-07-14 | 1998-06-23 | ゼネラル・エレクトリック・カンパニイ | 原子炉保護系 |
| JPH1194987A (ja) * | 1997-09-19 | 1999-04-09 | Toshiba Corp | 原子力プラントの安全保護系制御装置 |
| JP2007003399A (ja) * | 2005-06-24 | 2007-01-11 | Toshiba Corp | 原子炉の出力領域モニタシステム |
| JP2008275354A (ja) * | 2007-04-26 | 2008-11-13 | Toshiba Corp | 冗長化システムおよび冗長化システムの製造方法 |
| JP2012037393A (ja) * | 2010-08-06 | 2012-02-23 | Mitsubishi Heavy Ind Ltd | 原子力施設の制御システム |
| WO2015112304A2 (en) * | 2013-12-31 | 2015-07-30 | Nuscale Power, Llc | Nuclear reactor protection systems and methods |
Family Cites Families (94)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US3597939A (en) | 1969-06-25 | 1971-08-10 | Atomic Energy Commission | Control assembly for a nuclear reactor including an offset coupling |
| US4661310A (en) * | 1983-10-27 | 1987-04-28 | Westinghouse Electric Corp | Pulsed multichannel protection system with saturable core magnetic logic units |
| US4752869A (en) * | 1985-05-09 | 1988-06-21 | Westinghouse Electric Corp. | Auxiliary reactor protection system |
| US4783307A (en) * | 1987-03-05 | 1988-11-08 | Commonwealth Edison Company | Reactor control system verification |
| JPS63290989A (ja) | 1987-05-22 | 1988-11-28 | Hitachi Ltd | 制御棒駆動機構 |
| CZ293613B6 (cs) | 1992-01-17 | 2004-06-16 | Westinghouse Electric Corporation | Způsob monitorování chodu zařízení pomocí CPU |
| WO1993018464A1 (en) * | 1992-03-09 | 1993-09-16 | Ronald John Youngs | Distributed processing system |
| JPH07174890A (ja) | 1993-12-17 | 1995-07-14 | Toshiba Corp | プラント制御装置 |
| US5621776A (en) | 1995-07-14 | 1997-04-15 | General Electric Company | Fault-tolerant reactor protection system |
| JPH0944203A (ja) | 1995-07-26 | 1997-02-14 | Hitachi Ltd | 冗長化制御システム |
| JP3567038B2 (ja) | 1995-12-27 | 2004-09-15 | 株式会社東芝 | 原子炉出力監視装置 |
| US5892440A (en) * | 1997-05-14 | 1999-04-06 | Combustion Engineering Inc. | Alarm significance mapping |
| JPH10104385A (ja) | 1996-10-01 | 1998-04-24 | Hitachi Ltd | プラント内伝送器の監視方法及びシステム |
| US6049578A (en) | 1997-06-06 | 2000-04-11 | Abb Combustion Engineering Nuclear Power, Inc. | Digital plant protection system |
| US6292523B1 (en) * | 1997-06-06 | 2001-09-18 | Westinghouse Electric Company Llc | Digital engineered safety features actuation system |
| US5984504A (en) * | 1997-06-11 | 1999-11-16 | Westinghouse Electric Company Llc | Safety or protection system employing reflective memory and/or diverse processors and communications |
| US5820475A (en) | 1997-10-30 | 1998-10-13 | Luna; Antonio A. | Compact golf ball teeing machine |
| CN1145975C (zh) | 1998-02-19 | 2004-04-14 | Abb燃烧工程核力公司 | 泵选择逻辑 |
| WO2000036492A2 (en) | 1998-12-18 | 2000-06-22 | Triconex Corporation | Method and apparatus for processing control using a multiple redundant processor control system |
| WO2000038040A1 (en) | 1998-12-23 | 2000-06-29 | Triconex Corporation | Cause effect diagram program maintenance development and test system |
| CN1144236C (zh) * | 1999-08-19 | 2004-03-31 | 东芝株式会社 | 控制棒操作监控系统的试验方法及试验装置 |
| US7328189B2 (en) | 2000-01-26 | 2008-02-05 | Paybyclick Corporation | Method and apparatus for conducting electronic commerce transactions using electronic tokens |
| US6532550B1 (en) * | 2000-02-10 | 2003-03-11 | Westinghouse Electric Company Llc | Process protection system |
| US8121941B2 (en) | 2000-03-07 | 2012-02-21 | American Express Travel Related Services Company, Inc. | System and method for automatic reconciliation of transaction account spend |
| CN1119819C (zh) * | 2000-11-10 | 2003-08-27 | 清华大学 | 基于硬件和软件并行处理的反应堆数字化保护系统 |
| US6418178B1 (en) | 2001-04-16 | 2002-07-09 | General Electric Company | Control rod coupling assembly for a nuclear reactor |
| US20030149576A1 (en) | 2001-04-19 | 2003-08-07 | Sunyich Steven L. | Personalized smart room |
| KR100408493B1 (ko) | 2001-05-07 | 2003-12-06 | 한국전력기술 주식회사 | 소프트웨어 공통유형고장을 자체 배제한 디지털원자로 보호시스템 및 그 제어방법 |
| US7330768B2 (en) * | 2003-01-28 | 2008-02-12 | Fisher-Rosemount Systems, Inc. | Integrated configuration in a process plant having a process control system and a safety system |
| US7102343B1 (en) | 2003-03-31 | 2006-09-05 | Invensys Systems, Inc. | Methods and systems having multiple cooperating transformers |
| US8004395B2 (en) * | 2004-08-24 | 2011-08-23 | Sharp Kabushiki Kaisha | Display system |
| CN1755660B (zh) * | 2004-09-28 | 2010-09-29 | 惠普开发有限公司 | 冗余处理器中的诊断存储器转储方法 |
| JP4568143B2 (ja) * | 2005-02-28 | 2010-10-27 | 株式会社東芝 | 安全系装置の検証方法およびその検証方法で検証された安全系装置 |
| US7558292B2 (en) | 2005-08-19 | 2009-07-07 | Invensys Systems, Inc. | Redundant time synchronization |
| US7840285B2 (en) | 2005-10-28 | 2010-11-23 | Invensys Systems, Inc. | Sequence of events recorder facility for an industrial process control environment |
| US8284208B2 (en) * | 2006-05-24 | 2012-10-09 | General Electric Company | Processes and apparatus for information transfer |
| KR100848881B1 (ko) | 2006-08-07 | 2008-07-29 | 삼창기업 주식회사 | 디지털 원자로 보호 시스템 |
| CN100999065A (zh) * | 2006-11-06 | 2007-07-18 | 中铝西南铝板带有限公司 | 具有冗余功能的轧辊磨床数控系统 |
| US8009032B2 (en) * | 2006-11-21 | 2011-08-30 | Gilbarco Inc. | Remote display tamper detection using data integrity operations |
| US7894599B2 (en) * | 2006-12-04 | 2011-02-22 | International Business Machines Corporation | Enhanced data security with redundant inclusive data encryption segments |
| CN100481798C (zh) * | 2006-12-20 | 2009-04-22 | 江苏万工科技集团有限公司 | 纺织设备管理网络系统 |
| GB0704753D0 (en) | 2007-03-13 | 2007-04-18 | Airbus Uk Ltd | Preparation of a component for use in a joint |
| CN100491710C (zh) * | 2007-04-30 | 2009-05-27 | 哈尔滨工程大学 | 柴油机多功能机旁控制装置及控制方法 |
| KR20090000054U (ko) | 2007-06-28 | 2009-01-07 | 건아정보기술 주식회사 | 노후경유차량 단속운영시스템 |
| KR100926013B1 (ko) * | 2007-08-31 | 2009-11-11 | 두산중공업 주식회사 | 현장기기연계모듈 |
| KR100931136B1 (ko) | 2007-11-27 | 2009-12-10 | 한국원자력연구원 | 삼중화된 bp와 cp 및 2/3 논리의 개시회로 구조를 갖는디지털 원자로 보호계통 및 그 구동 방법 |
| US7870299B1 (en) | 2008-02-06 | 2011-01-11 | Westinghouse Electric Co Llc | Advanced logic system |
| US8117512B2 (en) | 2008-02-06 | 2012-02-14 | Westinghouse Electric Company Llc | Failure detection and mitigation in logic circuits |
| KR100980043B1 (ko) | 2008-10-22 | 2010-09-06 | 한국전력기술 주식회사 | Fpga를 이용한 발전소 보호 시스템 및 보호 방법 |
| JP2010249559A (ja) | 2009-04-13 | 2010-11-04 | Toshiba Corp | デジタル安全保護系システム |
| US20100311432A1 (en) * | 2009-06-05 | 2010-12-09 | Broadcom Corporation | Cluster parsing for signaling within multiple user, multiple access, and/or mimo wireless communications |
| CN101615211B (zh) * | 2009-08-04 | 2012-10-17 | 复旦大学 | 商用现场可编程器件用于辐照环境下三模冗余抗辐照方法 |
| CN102023957B (zh) * | 2009-09-18 | 2012-10-17 | 联芯科技有限公司 | Usb接口模拟多串口传输数据的方法及usb复合设备 |
| US20110173060A1 (en) | 2010-01-08 | 2011-07-14 | Gallagher Kevin N | Guest Check Presenter Having a Wireless Communication Device |
| US20110178863A1 (en) | 2010-01-19 | 2011-07-21 | Daigle Mark R | Location based consumer interface for retail environment |
| US8730004B2 (en) | 2010-01-29 | 2014-05-20 | Assa Abloy Hospitality, Inc. | Method and system for permitting remote check-in and coordinating access control |
| US20110302504A1 (en) | 2010-06-08 | 2011-12-08 | Santosh Khare | Mobile Application for Proximity Based Awareness System |
| CA2707373A1 (en) * | 2010-06-14 | 2011-12-14 | Ievgenii Bakhmach | Platform and method to implement safety critical instrumentation and control (i&c) functions |
| US20110313580A1 (en) * | 2010-06-17 | 2011-12-22 | Levgenii Bakhmach | Method and platform to implement safety critical systems |
| US8331855B2 (en) | 2010-07-12 | 2012-12-11 | Invensys Systems, Inc. | Methods and apparatus for process control with improved communication links |
| US9095002B2 (en) | 2010-07-12 | 2015-07-28 | Invensys Systems, Inc. | Methods and apparatus for process control with improved communication links |
| CN101968974B (zh) * | 2010-08-09 | 2013-01-02 | 中广核工程有限公司 | 一种核电站反应堆保护系统 |
| KR101022606B1 (ko) | 2010-09-28 | 2011-03-16 | (주) 코아네트 | 원자력 발전소의 디지털 신호 전자제어 처리를 위한 장치 및 방법 |
| US9268367B2 (en) * | 2010-10-13 | 2016-02-23 | Microsoft Technology Licensing, Llc | Use of low-power display on device |
| US8565735B2 (en) | 2010-10-29 | 2013-10-22 | Jeffrey L. Wohlwend | System and method for supporting mobile unit connectivity to venue specific servers |
| CN102157213B (zh) * | 2010-12-10 | 2013-10-16 | 中国广东核电集团有限公司 | 一种核电机组数字化总体运行程序的进入方法及系统 |
| US8498900B1 (en) | 2011-07-25 | 2013-07-30 | Dash Software, LLC | Bar or restaurant check-in and payment systems and methods of their operation |
| DE102011108802B4 (de) | 2011-07-29 | 2013-02-21 | Areva Np Gmbh | Verbindung zwischen Steuerstabführungsrohr und Antriebsgehäuserohr eines Kernreaktors |
| CN102298980B (zh) * | 2011-08-17 | 2015-02-25 | 岭东核电有限公司 | 百万千瓦级数字化核电站反应堆保护退出的方法 |
| KR101244015B1 (ko) | 2011-09-09 | 2013-03-15 | 한국수력원자력 주식회사 | 독립적 다중화 구조를 갖는 통합원전안전계통 및 구성 방법 |
| CN102426863B (zh) | 2011-10-31 | 2015-12-16 | 中广核工程有限公司 | 核电站反应堆停堆信号传输系统和方法 |
| CN102411361A (zh) * | 2011-12-12 | 2012-04-11 | 中国水电顾问集团华东勘测设计研究院 | 一种工程安全自动化设备采集控制系统 |
| JP5583153B2 (ja) * | 2012-01-26 | 2014-09-03 | 株式会社東芝 | 液面レベル検知装置及び方法 |
| CN102525470A (zh) * | 2012-02-10 | 2012-07-04 | 北京汇影互联科技有限公司 | 一种基于cPCI的磁共振成像系统的谱仪和磁共振成像系统 |
| CN202453705U (zh) * | 2012-02-13 | 2012-09-26 | 南京埃斯顿自动化股份有限公司 | 一种适用于锻压类机床的安全控制模块 |
| US9697917B2 (en) * | 2012-03-02 | 2017-07-04 | Nuscale Power, Llc | Servicing a nuclear reactor module |
| US9031892B2 (en) | 2012-04-19 | 2015-05-12 | Invensys Systems, Inc. | Real time safety management system and method |
| US20130304578A1 (en) | 2012-05-08 | 2013-11-14 | 24/7 Customer, Inc. | Method and apparatus for enhanced in-store retail experience using location awareness |
| US20130315362A1 (en) * | 2012-05-25 | 2013-11-28 | Institute Of Nuclear Energy Research Atomic Energy Council, Executive Yuan | Nuclear digital instrumentation and control system |
| JP5944243B2 (ja) * | 2012-06-25 | 2016-07-05 | 株式会社東芝 | プラント安全装置およびその動作方法 |
| US9496057B2 (en) | 2012-08-06 | 2016-11-15 | Smr Inventec, Llc | Fail-safe control rod drive system for nuclear reactor |
| JP2014145663A (ja) * | 2013-01-29 | 2014-08-14 | Toshiba Corp | 安全保護システムおよび制御装置 |
| CN104091558B (zh) * | 2013-04-01 | 2017-03-01 | 香港理工大学 | Led显示面板的驱动方法及系统 |
| CN103400623A (zh) * | 2013-07-30 | 2013-11-20 | 中广核工程有限公司 | 核电站数字化仪控多样性保护方法和系统 |
| CN104347131A (zh) * | 2013-08-01 | 2015-02-11 | 中广核工程有限公司 | 核电站驱动指令执行方法和系统 |
| JP6139341B2 (ja) * | 2013-09-04 | 2017-05-31 | 三菱電機株式会社 | 安全系表示システム |
| EP2988420B1 (en) * | 2014-08-20 | 2021-03-10 | Framatome | Circuit arrangement for a safety i&c system |
| CN104408312B (zh) * | 2014-11-27 | 2017-12-05 | 北京广利核系统工程有限公司 | 一种核电站系统误动率计算方法 |
| EP3082133B1 (en) * | 2015-04-14 | 2023-06-07 | General Electric Technology GmbH | Nuclear instrumentation and control system |
| CN204965751U (zh) * | 2015-09-08 | 2016-01-13 | 苏州市世跃智能科技有限公司 | 一种卡口式电子警察系统 |
| CN105575448B (zh) * | 2015-12-15 | 2017-10-31 | 中广核工程有限公司 | 核电站反应堆保护系统及其中的安全控制方法 |
| WO2018144173A1 (en) * | 2016-12-30 | 2018-08-09 | Nuscale Power, Llc | Nuclear reactor protection systems and methods |
| FR3063855B1 (fr) | 2017-03-08 | 2019-04-12 | Areva Np | Circuit logique programmable de commande d'une installation electrique, en particulier une installation nucleaire, dispositif et procede de commande associes |
| CN109547066B (zh) * | 2018-11-02 | 2021-08-06 | 中国电子科技集团公司第二十八研究所 | 一种基于fpga的专线通信分路控制实现方法及控制系统 |
-
2018
- 2018-01-02 WO PCT/US2018/012089 patent/WO2018144173A1/en not_active Ceased
- 2018-01-02 US US15/860,434 patent/US11069450B2/en active Active
- 2018-01-02 CN CN201880005583.3A patent/CN110366760B/zh active Active
- 2018-01-02 JP JP2019532799A patent/JP2020514700A/ja active Pending
- 2018-01-02 KR KR1020237009921A patent/KR102642462B1/ko active Active
- 2018-01-02 CA CA3047135A patent/CA3047135A1/en active Pending
- 2018-01-02 PL PL18726248.0T patent/PL3563391T3/pl unknown
- 2018-01-02 EP EP18726248.0A patent/EP3563391B1/en active Active
- 2018-01-02 KR KR1020197022520A patent/KR102514568B1/ko active Active
-
2021
- 2021-03-01 US US17/189,038 patent/US11961625B2/en active Active
-
2022
- 2022-07-13 JP JP2022112351A patent/JP2022160445A/ja active Pending
-
2023
- 2023-11-22 US US18/518,408 patent/US20240087761A1/en active Pending
-
2024
- 2024-02-13 JP JP2024019542A patent/JP2024069204A/ja active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH10506476A (ja) * | 1995-07-14 | 1998-06-23 | ゼネラル・エレクトリック・カンパニイ | 原子炉保護系 |
| JPH1194987A (ja) * | 1997-09-19 | 1999-04-09 | Toshiba Corp | 原子力プラントの安全保護系制御装置 |
| JP2007003399A (ja) * | 2005-06-24 | 2007-01-11 | Toshiba Corp | 原子炉の出力領域モニタシステム |
| JP2008275354A (ja) * | 2007-04-26 | 2008-11-13 | Toshiba Corp | 冗長化システムおよび冗長化システムの製造方法 |
| JP2012037393A (ja) * | 2010-08-06 | 2012-02-23 | Mitsubishi Heavy Ind Ltd | 原子力施設の制御システム |
| WO2015112304A2 (en) * | 2013-12-31 | 2015-07-30 | Nuscale Power, Llc | Nuclear reactor protection systems and methods |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US12374467B2 (en) | 2013-12-31 | 2025-07-29 | Nuscale Power, Llc | Nuclear reactor protection systems and methods |
| KR20230045101A (ko) * | 2016-12-30 | 2023-04-04 | 뉴스케일 파워, 엘엘씨 | 핵 반응기 보호 시스템 및 방법 |
| KR102642462B1 (ko) | 2016-12-30 | 2024-03-04 | 뉴스케일 파워, 엘엘씨 | 핵 반응기 보호 시스템 및 방법 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2018144173A1 (en) | 2018-08-09 |
| KR102514568B1 (ko) | 2023-03-27 |
| CN110366760A (zh) | 2019-10-22 |
| US11069450B2 (en) | 2021-07-20 |
| EP3563391A1 (en) | 2019-11-06 |
| PL3563391T3 (pl) | 2024-01-03 |
| US20210287813A1 (en) | 2021-09-16 |
| KR20230045101A (ko) | 2023-04-04 |
| US11961625B2 (en) | 2024-04-16 |
| JP2022160445A (ja) | 2022-10-19 |
| KR20240033106A (ko) | 2024-03-12 |
| CN110366760B (zh) | 2024-05-07 |
| KR102642462B1 (ko) | 2024-03-04 |
| EP3563391B1 (en) | 2023-07-05 |
| WO2018144173A9 (en) | 2018-09-13 |
| CA3047135A1 (en) | 2018-08-09 |
| US20240087761A1 (en) | 2024-03-14 |
| US20180190395A1 (en) | 2018-07-05 |
| JP2024069204A (ja) | 2024-05-21 |
| KR20190109428A (ko) | 2019-09-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11961625B2 (en) | Nuclear reactor protection systems and methods | |
| JP7680601B2 (ja) | 原子炉トリップを決定するための方法 | |
| KR102873531B1 (ko) | 핵 반응기 보호 시스템 및 방법 | |
| HK40012424A (en) | Nuclear reactor protection systems and methods | |
| HK1225508B (en) | Nuclear reactor protection systems and methods | |
| HK1225508A1 (en) | Nuclear reactor protection systems and methods |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20190912 |
|
| RD03 | Notification of appointment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20200603 |
|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20200609 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200807 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20201117 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20210730 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20210907 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20211110 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20220322 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20220713 |
|
| C60 | Trial request (containing other claim documents, opposition documents) |
Free format text: JAPANESE INTERMEDIATE CODE: C60 Effective date: 20220713 |
|
| A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20220822 |
|
| C21 | Notice of transfer of a case for reconsideration by examiners before appeal proceedings |
Free format text: JAPANESE INTERMEDIATE CODE: C21 Effective date: 20220823 |
|
| A912 | Re-examination (zenchi) completed and case transferred to appeal board |
Free format text: JAPANESE INTERMEDIATE CODE: A912 Effective date: 20220902 |
|
| C211 | Notice of termination of reconsideration by examiners before appeal proceedings |
Free format text: JAPANESE INTERMEDIATE CODE: C211 Effective date: 20220906 |
|
| C22 | Notice of designation (change) of administrative judge |
Free format text: JAPANESE INTERMEDIATE CODE: C22 Effective date: 20230404 |