CN107484430A - 一种用于核电厂的安全系统及其操作方法 - Google Patents

一种用于核电厂的安全系统及其操作方法 Download PDF

Info

Publication number
CN107484430A
CN107484430A CN201680018603.1A CN201680018603A CN107484430A CN 107484430 A CN107484430 A CN 107484430A CN 201680018603 A CN201680018603 A CN 201680018603A CN 107484430 A CN107484430 A CN 107484430A
Authority
CN
China
Prior art keywords
signal
result
subregion
sensor
calculation
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201680018603.1A
Other languages
English (en)
Inventor
G·W·雷姆利
K·斯卡洛拉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Motor (usa) Electric Power Products Co Ltd
Mitsubishi Electric Power Products Inc
Original Assignee
Mitsubishi Motor (usa) Electric Power Products Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Motor (usa) Electric Power Products Co Ltd filed Critical Mitsubishi Motor (usa) Electric Power Products Co Ltd
Publication of CN107484430A publication Critical patent/CN107484430A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G21NUCLEAR PHYSICS; NUCLEAR ENGINEERING
    • G21DNUCLEAR POWER PLANT
    • G21D3/00Control of nuclear power plant
    • G21D3/04Safety arrangements
    • G21D3/06Safety arrangements responsive to faults within the plant
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • G05B9/03Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/18Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits
    • G06F11/183Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits by voting, the voting not being performed by the redundant components
    • GPHYSICS
    • G21NUCLEAR PHYSICS; NUCLEAR ENGINEERING
    • G21CNUCLEAR REACTORS
    • G21C7/00Control of nuclear reaction
    • G21C7/36Control circuits
    • GPHYSICS
    • G21NUCLEAR PHYSICS; NUCLEAR ENGINEERING
    • G21DNUCLEAR POWER PLANT
    • G21D3/00Control of nuclear power plant
    • G21D3/001Computer implemented control
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0796Safety measures, i.e. ensuring safe condition in the event of error, e.g. for controlling element
    • GPHYSICS
    • G21NUCLEAR PHYSICS; NUCLEAR ENGINEERING
    • G21CNUCLEAR REACTORS
    • G21C17/00Monitoring; Testing ; Maintaining
    • G21C17/10Structural combination of fuel element, control rod, reactor core, or moderator structure with sensitive instruments, e.g. for measuring radioactivity, strain
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02EREDUCTION OF GREENHOUSE GAS [GHG] EMISSIONS, RELATED TO ENERGY GENERATION, TRANSMISSION OR DISTRIBUTION
    • Y02E30/00Energy generation of nuclear origin
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02EREDUCTION OF GREENHOUSE GAS [GHG] EMISSIONS, RELATED TO ENERGY GENERATION, TRANSMISSION OR DISTRIBUTION
    • Y02E30/00Energy generation of nuclear origin
    • Y02E30/30Nuclear fission reactors

Abstract

一种用于核电厂的安全系统(100)包括:第一至第四传感器(S1,S4,S7,S10);第一分区(110),所述第一分区包括:第一计算模块(120),所述第一计算模块基于来自所述第一和第二传感器(S1,S4)的信号确定第一和第二计算结果(DA);第一数据共享模块(123),所述第一数据共享模块用于与第二分区(115)共享所述第一和第二计算结果(DA);以及第一表决逻辑(126),所述第一表决逻辑用于基于第一至第四计算结果(DA,DB)生成第一安全指令信号。

Description

一种用于核电厂的安全系统及其操作方法
技术领域
本发明总体上涉及用于核电发电机的控制系统。更具体地,本发明涉及一种用于核电厂的安全系统以及一种用于控制这种安全系统的相关方法,所述方法满足常规安全要求并且节省电厂资金以及运营和维护成本。
背景技术
为了满足全世界核电厂安全要求,核电厂安全系统必须满足通常被称为“单一故障准则(SFC)”的要求。这意味着安全系统必须能够承受任何单一故障并且仍执行其安全功能。这种要求导致包括各自能够执行所需安全功能的冗余部分的安全系统设计。冗余部分通常被称为安全分区。
核电厂安全系统通常提供两种类型的保护动作:(1)将吸收中子的控制棒放到反应堆中以便停止核链式反应(这被称为“反应堆停堆(RT)”);或者(2)启动泵和控制阀以便使反应堆保持冷却并防止辐射释放到周围空气中(这被称为“专设安全设施(ESF)”)致动。对于核反应堆,通常存在多种ESF功能(例如,堆芯冷却、安全壳隔离、空气过滤),所述功能中的任何或所有功能可以在ESF致动期间激活。
包括两个安全分区(所述安全分区中的任一安全分区都可以执行安全功能)的安全系统配置满足单一故障准则要求。这种类型的冗余配置被称为二选一(1oo2)配置。
然而,在1oo2配置的情况下,存在一关心的问题:这两个安全分区中的任一安全分区中的单一故障都可能引起不需要的自动保护动作(所述保护动作将由于对RT或ESF安全功能的错误致动而使电厂停机)并且由此不利地影响正常核电厂运行。为了解决这一关心的问题,已经在现有安全系统设计中加入了附加安全分区。在这些配置中,存在至少三个冗余安全分区,并且所述冗余安全分区中的至少三分之二(2oo3)需要在启动自动RT或ESF保护动作之前启动其保护动作安全指令。
虽然三个分区解决了错误动作问题,但是大多数核安全系统具有四个分区,以便允许取出一个分区用于周期性测试并且允许设备故障。测试或故障可能导致受影响分区的致动状态,从而将系统置于剩余三个分区的3选1配置,这使系统易受可能引起错误电厂停机的假致动的影响。取出第四个分区用于测试或故障允许系统回到3选2配置。大多数现有系统是在相当长的时间段内得以测试以便满足可靠性要求的模拟系统。
除了需要2ooN分区来确认安全动作需要之外,当前安全系统采用两级2ooN表决来可靠地致动RT或ESF保护动作,同时提供附加容限以便阻止由于假动作而引起的电厂干扰。
在大部分当前安全系统中,在这三个或四个安全分区当中使用隔离数据通信来共享相同工艺测量通道的计算结果数据,从而使得在每个分区启动其自身保护动作安全指令之前,相似停堆功能结果(通常被称为部分停堆信号)可以被表决到所述分区内。这被称为如与一般符合性表决相反的特定符合性表决。
在一般符合性表决的情况下,一个分区可以基于测量温度的通道启动其保护动作安全指令,而第二个分区可以基于测量压力的通道启动其保护动作安全指令。对于这种情况,将基于N选2(2ooN)分区保护动作逻辑错误地启动不需要的反应堆停机。
特定符合性表决通过以下方式来阻止这种错误保护动作:只有在2ooN分区基于相同工艺测量(例如,温度)计算保护动作需要时,才确保每个分区启动其自身保护动作。
因此,大多数当前核安全系统采用两级表决:第1级和第2级。第1级表决是针对每个分区内的相似测量通道的特定符合性表决;而第2级表决是基于每个分区的保护动作安全指令(例如,RT或特定ESF功能)的一般符合性表决。
当前电厂仅具有两个ESF分区;最近已经获批但还未建造的电厂具有多达四个ESF分区。不论分区的数量如何,在大多数现代电厂中,每个分区通过基于来自第1级的2ooN(最典型地,2oo4)信号的第2级表决来致动。这种2oo4设计满足单一故障准则,同时阻止由第1级单一故障或测试引起的假致动。但是,这种2oo4第2级表决需要附加的隔离数据通信以便从这四个安全分区接收第1级信号,这增加了附加设计复杂性和成本。
因此,核工业已经转移到具有第1级和第2级2oo4表决的四分区安全系统以便实现单一故障准则遵从性、假致动阻止和测试/故障容限。虽然这是稳健的解决方案,但是安装和维护具有两级多分区表决的四个安全分区的成本很高。因此,将期望仅使用两个安全分区来实现这些相同的关键性能需求。
发明内容
提供了一种用于核电厂的安全系统,包括:第一组安全传感器,所述第一组安全传感器包括分别提供第一多个传感器信号的第一多个传感器;第二组安全传感器,所述第二组安全传感器包括分别提供第二多个传感器信号的第二多个传感器;第三组安全传感器,所述第三组安全传感器包括分别提供第三多个传感器信号的第三多个传感器;第四组安全传感器,所述第四组安全传感器包括分别提供第四多个传感器信号的第四多个传感器;第一分区,所述第一分区包括:第一计算模块,所述第一计算模块被配置用于基于所述第一和第二多个传感器信号确定第一和第二计算结果;第一数据共享模块,所述第一数据共享模块被配置用于与第二分区共享所述第一和第二计算结果;以及第一增强型表决逻辑,所述第一增强型表决逻辑被配置用于基于所述第一和第二计算结果以及第三和第四计算结果生成第一安全指令信号;以及所述第二分区,所述第二分区包括:第二计算模块,所述第二计算模块被配置用于基于所述第三和第四多个传感器信号确定所述第三和第四计算结果;第二数据共享模块,所述第二数据共享模块被配置用于与所述第一分区共享所述第三和第四计算结果;以及第二增强型表决逻辑,所述第二增强型表决逻辑被配置用于基于所述第一、第二、第三和第四计算结果生成第二安全指令信号;其中,所述第一、第二、第三和第四多个传感器各自监测相同电厂参数。
所述安全系统可以进一步包括光学通信系统,所述光学通信系统连接在所述第一与第二数据共享模块之间,所述光学通信系统被配置用于向所述第二分区传递所述第一和第二计算结果,并且用于向所述第一分区传递所述第三和第四计算结果。
所述第一、第二、第三和第四计算结果各自可以指示在所述核电厂中是否应当采取特定安全相关动作。
所述第一增强型表决逻辑可以被进一步配置用于通过关于所述第一、第二、第三和第四计算结果信号使用四选二表决来生成所述第一安全指令信号。
所述第二增强型表决逻辑可以被进一步配置用于通过关于所述第一、第二、第三和第四计算结果信号使用四选二表决来生成所述第二安全指令信号。
所述第一增强型表决逻辑可以被进一步配置用于通过关于所述第一、第二、第三和第四数据信号使用B选A表决来生成所述第一安全指令信号,其中,B是所述第一、第二、第三和第四计算结果信号当中的可用数据信号的总数,并且其中,A是等于或小于B的整数。
所述第二增强型表决逻辑可以被进一步配置用于通过关于所述第一、第二、第三和第四数据信号使用D选C表决来生成所述第二安全指令信号,其中,D是所述第一、第二、第三和第四数据信号当中的可用信号的总数,并且其中,C是等于或小于D的整数。
所述第一增强型表决逻辑可以被进一步配置使得其可以被设置用于通过在基于所述第一或第二计算结果之一的一选一表决的第一结果与基于关于所述第一、第二、第三和第四计算结果中的三个计算结果的三选二表决的第二结果之间使用二选一表决来生成所述第一安全指令信号。
所述第一增强型表决逻辑可以被进一步配置使得其可以被设置用于通过在基于所述第一和第二计算结果之一的一选一表决的第一结果与基于关于所述第一、第二、第三和第四计算结果中的两个计算结果的二选二表决的第二结果之间使用二选一表决来生成所述第一安全指令信号。
提供了一种生成核电厂的安全指令信号的方法,所述方法包括:在第一分区处接收多个第一和第二传感器信号;在第二分区处接收多个第三和第四传感器信号;基于所述第一和第二传感器信号生成第一和第二数据信号;基于所述第三和第四传感器信号生成第三和第四数据信号;将所述第一和第二数据信号从所述第一分区发送到所述第二分区;将所述第三和第四数据信号从所述第二分区发送到所述第一分区;确定所述第一、第二、第三或第四传感器信号中的任一传感器信号是错误的或者对所述第三和第四数据信号的所述接收是错误的;输入运行限制条件;基于所述确定所述第一、第二、第三或第四传感器信号中的任一传感器信号是错误的或者对所述第三和第四数据信号的所述发送是错误的来改变所述第一分区中的表决逻辑;基于所述经改变的表决逻辑和所述第一、第二、第三和第四数据信号中的至少两个数据信号生成第一安全指令;以及结束所述运行限制条件。
对所述第一和第二数据信号的所述发送和对所述第三和第四数据信号的所述发送可以是使用光学通信系统来执行的。
所述第一、第二、第三和第四数据信号各自可以指示在所述核电厂中是否应当采取特定安全相关动作。
当存在非保守信号故障时,所述经改变的表决逻辑可以是关于所述第一、第二、第三和第四数据信号的三选二表决。
所述经改变的表决逻辑可以是关于所述第一、第二、第三和第四数据信号的B选A表决,其中,B是所述第一、第二、第三和第四计算结果信号当中的可用数据信号的总数,并且其中,A是等于或小于B的整数。
所述方法可以进一步包括:基于所述第一、第二、第三和第四数据信号中的至少两个数据信号生成第二安全指令;以及通过使用基于所述第一和第二安全指令的二选一表决来生成安全指令信号。
对所述第一安全指令信号的所述生成可以是通过在基于所述第一和第二计算结果信号之一的一选一表决的第一结果与基于关于所述第一、第二、第三和第四计算结果信号中的三个计算结果信号的三选二表决的第二结果之间使用二选一表决来执行的。
对所述第一安全指令信号的所述生成可以是通过在基于所述第一和第二计算结果信号之一的一选一表决的第一结果与关于所述第一、第二、第三和第四计算结果信号中的两个计算结果信号的二选二表决的第二结果之间使用二选一表决来执行的。
提供了一种部件控制设备,包括:反应堆保护处理器,所述反应堆保护处理器包括被配置用于处理多个数据信号以便生成第一控制信号的第一信号路径,所述第一控制信号具有第一信号值,以及被配置用于处理所述多个数据信号以便生成第二控制信号的第二信号路径,所述第二控制信号具有第二信号值;以及第一部件控制处理器,所述第一部件控制处理器被配置用于:当所述第一信号值为第一设定值并且所述第二信号值为第二设定值时,将第一部件控制信号设置为活跃值,并且用于:当或者所述第一信号值不是所述第一设定值或者所述第二信号值不是所述第二设定值时,将所述第一部件控制信号设置为不活跃值。
所述第一设定值可以是高值,并且所述第二设定值可以是低值。
所述第一部件控制处理器可以包括反相器,所述反相器被配置用于使所述第二控制信号反相以便生成具有反相第二信号值的反相第二控制信号;以及二选二表决模块,所述二选二表决模块被配置用于:当所述第一控制信号和所述反相第二控制信号两者都具有所述高值时,将所述第一部件控制信号设置为所述活跃值。
所述第一设定值可以是高值,并且所述第二设定值可以是所述高值。
所述第一部件控制处理器可以包括二选二表决模块,所述二选二表决模块被配置用于:当所述第一控制信号和所述第二控制信号两者都具有所述高值时,将所述第一部件控制信号设置为所述活跃值。
所述第一设定值可以是低值,并且所述第二设定值可以是所述低值。
所述第一部件控制处理器可以包括二选二表决模块,所述二选二表决模块被配置用于:当所述第一控制信号和所述第二控制信号两者都具有所述低值时,将所述第一部件控制信号设置为所述活跃值。
所述第一路径可以包括第一B选A表决模块,所述第一B选A表决模块被配置用于:当所述多个传入信号中的A个传入信号具有所述第一设定值时,生成具有所述第一设定值的第一中间信号;所述第二路径可以包括第二B选A表决模块,所述第二B选A表决模块被配置用于:当所述多个传入信号中的A个传入信号具有所述第一设定值时,生成具有所述第二设定值的第二中间信号,其中,B是所述多个传入信号的数量,并且其中,A是小于B的整数。
所述第一路径可以包括接通延时定时器,所述接通延时定时器接收所述第一中间信号并且生成第一延时信号;并且所述第二路径可以包括断开延时定时器,所述断开延时定时器接收所述第二中间信号并且生成第二延时信号。
所述第一路径可以接收所述第二延时信号,并且所述第二路径可以接收所述第一延时信号。
提供了一种生成核电厂的安全指令信号的方法,所述方法包括:接收多个数据信号;在第一路径上处理所述多个数据信号以便生成第一控制信号;在第二路径上处理所述多个数据信号以便生成第二控制信号;判定所述第一控制信号是否具有第一设定值;判定所述第二控制信号是否具有第二设定值;以及当所述第一控制信号具有所述第一设定值并且所述第二控制信号具有所述第二设定值时,将所述安全指令信号设置为活跃水平,并且当或者所述第一控制信号不具有所述第一设定值或者所述第二控制信号不具有所述第二设定值时,将其设置为非活跃水平。
所述第一设定值可以是高值,并且所述第二设定值可以是低值。
对所述安全指令信号的所述设置可以包括:当所述第一控制信号具有所述高值并且所述第二控制信号具有所述低值时,将所述安全指令信号设置为所述活跃值。
对所述安全指令信号的所述设置可以包括使所述第二控制信号反相以便生成具有反相第二信号值的反相第二控制信号。
所述第一设定值可以是高值,并且所述第二设定值可以是所述高值。
对所述安全指令信号的所述设置可以包括:当所述第一控制信号和所述第二控制信号两者都具有所述高值时,将所述安全指令信号设置为所述活跃值。
所述第一设定值可以是低值,并且所述第二设定值可以是所述低值。
对所述安全指令信号的所述设置可以包括:当所述第一控制信号和所述第二控制信号两者都具有所述低值时,将所述第一部件控制信号设置为所述活跃值。
在所述所公开的方法中,B可以是所述多个传入信号的数量;A可以是小于B的整数;在第一路径上处理所述多个数据信号的所述操作可以包括:当所述多个B传入信号中的A个传入信号具有所述第一设定值时,生成具有所述第一设定值的第一中间信号;并且在第一路径上处理所述多个数据信号的所述操作可以包括:当所述多个B传入信号中的A个传入信号具有所述第一设定值时,生成具有所述第二设定值的第二中间信号。
所述方法可以进一步包括:对所述第一中间信号执行接通延时以便生成第一延时信号;以及对所述第二中间信号执行断开延时以便生成第二延时信号。
提供了一种用于核电厂的安全系统,包括:第一偶极开关,所述第一偶极开关连接在控制电源与第一节点之间,所述第一偶极开关被配置成在手动激活信号处于第一水平时闭合并且在所述手动激活信号处于第二水平时断开;第二偶极开关,所述第二偶极开关连接在所述第一节点与第二节点之间;第三偶极开关,所述第三偶极开关连接在所述第一节点与所述第二节点之间;第四偶极开关,所述第四偶极开关连接在所述第一节点与第三节点之间;第五偶极开关,所述第五偶极开关连接在所述第三节点与第四节点之间;第六偶极开关,所述第六偶极开关连接在所述第一节点与所述第四节点之间,所述第六偶极开关被配置成在所述手动激活信号处于第二水平时断开并且在所述手动激活信号处于第一水平时闭合;第七偶极开关,所述第七偶极开关连接在所述第二节点与第五节点之间;欠压线圈,所述欠压线圈位于所述第五节点与地之间,并且被配置成在断电时致动;分励脱扣线圈,所述分励脱扣线圈位于所述第四节点与地之间,并且被配置成在通电时致动;第一控制电路,所述第一控制电路被配置用于在欠压控制信号指示不需要反应堆停堆时指示所述第二偶极开关闭合并且在所述欠压控制信号指示需要反应堆停堆时断开;第二控制电路,所述第二控制电路被配置用于在不同欠压控制信号指示不需要反应堆停堆时指示所述第三偶极开关闭合并且在所述不同欠压控制信号指示需要所述反应堆停堆时断开;第三控制电路,所述第三控制电路被配置用于在分励脱扣控制信号指示不需要所述反应堆停堆时指示所述第四偶极开关断开并且在所述分励脱扣控制信号指示需要所述反应堆停堆时闭合;第四控制电路,所述第四控制电路被配置用于在不同分励脱扣控制信号指示不需要所述反应堆停堆时指示所述第五偶极开关断开并且在所述不同分励脱扣控制信号指示需要所述反应堆停堆时闭合;以及第五控制电路,所述第五控制电路被配置用于在第一看门狗定时器输出指示不需要所述反应堆停堆时指示所述第七偶极开关断开并且在所述第一看门狗定时器输出指示需要所述反应堆停堆时闭合。
所述第一、第二、第三和第四控制电路可以是在所述核电厂的正常运行期间断电的通电致动电路;所述第五控制电路可以是在所述核电厂的正常运行期间通电的断电致动电路;所述欠压线圈可以是在所述核电厂的正常运行期间通电的断电致动元件;并且所述分励脱扣线圈可以是在所述核电厂的正常运行期间断电的通电致动元件。
所述安全系统可以进一步包括第八偶极开关,所述第八偶极开关连接在第六节点与第七节点之间;第一熔断器对,所述第一熔断器对串联安排在所述第二节点与所述第六节点之间;第二熔断器对,所述第二熔断器对串联安排在所述第五节点与所述第七节点之间;以及第六控制电路,所述第六控制电路被配置用于在第二看门狗定时器输出指示不需要所述反应堆停堆时指示所述第八偶极开关断开并且在所述第二看门狗定时器输出指示需要所述反应堆停堆时闭合。
所述第六控制电路可以是在所述核电厂的正常运行期间通电的断电致动开关。
所述第五控制电路可以位于第一安全分区中,并且所述第六控制开关可以位于第二安全分区中。
提供了一种控制反应堆停堆的方法,包括:使欠压线圈断电;使分励脱扣线圈通电;判定手动激活信号指示应当使所述欠压线圈断电还是应当使所述分励脱扣线圈通电;执行欠压检查以便判定欠压控制信号和不同欠压控制信号是否指示应当使所述欠压线圈断电;执行分励脱扣检查以便判定分励脱扣控制信号和不同分励脱扣控制信号是否指示应当使所述分励脱扣线圈通电;执行看门狗定时器检查,以便判定看门狗定时器输出对是否指示应当使所述欠压线圈断电;如果所述欠压线圈已经断电或所述分励脱扣线圈已经通电,则执行反应堆停堆;以及周期性地重复执行手动检查、执行欠压检查、执行分励脱扣检查、执行看门狗定时器检查和执行反应堆停堆检查的所述操作。
所述欠压控制信号和所述不同欠压控制信号两者都可以指示应当通过具有高值来使所述欠压线圈断电。
所述欠压控制信号可以指示应当通过具有高值来使所述欠压线圈断电,并且所述不同欠压控制信号可以指示应当通过具有低值来使所述欠压线圈断电。
所述分励脱扣控制信号和所述不同分励脱扣控制信号两者都可以指示应当通过具有高值来使所述分励脱扣线圈通电。
所述分励脱扣控制信号可以指示应当通过具有高值来使所述分励脱扣线圈通电,并且所述不同分励脱扣控制信号可以指示应当通过具有低值来使所述分励脱扣线圈通电。
附图说明
相似参考号指代完全相同或功能上相似的元件并且与以下具体实施方式一起结合到本说明书中并形成本说明书的一部分的附图用于进一步展示示例性实施例并且用于解释根据本发明的各种原理和优点。
图1是根据所公开的实施例的双安全分区安全系统的框图;
图2A是根据所公开的实施例的在LCO下的双安全分区安全系统(其中,单个安全分区中的单个传感器元件故障)的框图;
图2B是根据所公开的实施例的图2A的双安全分区安全系统(其中,单个安全分区中的单个传感器元件故障,并且其中,已经清除了LCO)的框图;
图3A是根据所公开的实施例的图1的在LCO下的双安全分区安全系统(其中,每个安全分区中的单个传感器元件(即,测量通道)故障)的框图;
图3B是根据所公开的实施例的图3A的双安全分区安全系统(其中,每个分区中的单个传感器元件故障,并且其中,已经清除了LCO)的框图;
图4是根据所公开的实施例的图1的在LCO下的双安全分区安全系统(其中,单个安全分区中的两个传感器元件(即,测量通道)故障)的框图;
图5是根据所公开的实施例的图1的双安全分区安全系统(其中,第一与第二安全分区之间的单个数据链路故障)的框图;
图6A是根据所公开的实施例的图1的在LCO下的双安全分区安全系统(其中,从第一安全分区到第二安全分区的单个数据链路故障,并且第一安全分区中的测量通道故障)的框图;
图6B是根据所公开的实施例的图6A的双安全分区安全系统(其中,从第一安全分区到第二安全分区的单个数据链路故障,并且第一安全分区中的测量通道故障,并且其中,已经清除了LCO)的框图;
图7A是根据所公开的实施例的图1的在LCO下的双安全分区安全系统(其中,从第一安全分区到第二安全分区的单个数据链路故障,并且第二安全分区中的测量通道故障)的框图;
图7B是根据所公开的实施例的图7A的双安全分区安全系统(其中,从第一安全分区到第二安全分区的单个数据链路故障,并且第二安全分区中的测量通道故障,并且其中,已经清除了LCO)的框图;
图8是根据所公开的实施例的用于手动重新配置表决逻辑的电路;
图9是流程图,示出了根据所公开的实施例的双分区核电厂安全系统中的第一安全分区的一般操作;
图10是流程图,示出了由根据所公开的实施例的分区之一执行的诊断逻辑;
图11是根据所公开的实施例的不同ESF致动处理电路的框图;
图12是流程图,示出了根据所公开的实施例的使用两个信号路径(所述两个信号路径采用不同功能块来实施相同逻辑)来执行不同信号处理;
图13是流程图,示出了根据所公开的实施例的使用一个非反相信号路径和一个反相信号路径来执行不同信号处理;
图14是电路图,示出了根据所公开的实施例的一个分区的RPP到RTB接口(包括分区间隔离);
图15是流程图,示出了根据所公开的实施例的图14的电路的一般操作;
图16是流程图,示出了根据所公开的实施例的图15的执行手动检查的操作;
图17是流程图,示出了根据所公开的实施例的图15的执行欠压检查的操作;
图18是流程图,示出了根据所公开的实施例的图15的执行分励脱扣检查的操作;并且
图19是流程图,示出了根据所公开的实施例的图15的执行看门狗定时器检查的操作。
具体实施方式
提供本公开以便以使能的方式进一步解释执行本发明的一个或多个实施例的最佳模式。本公开进一步用于提高对本发明原理和及其优点的理解和认识,而不是以任何方式对其进行限制。本发明仅由所附权利要求书(包括本申请未决期间所作的任何修改以及所公布的那些权利要求的所有等同物)限定。
进一步理解的是,对如第一和第二等(如果有的话)关系术语的使用仅用于将实体、项目或动作彼此区分,而不一定需要或暗示这种实体、项目或动作之间的任何这种实际关系或顺序。同样,对如前面、后面、侧面、顶部和底部等位置术语的使用仅用于提供一个特定定向的参考点并且用于增强清晰性。对所述术语的使用并不暗示需要这种定向。在操作中,可以在任何期望定向上使用所公开的空气处理机组。
词汇表
本申请使用定义如下的术语。
“通道”是对用于启动安全动作的电厂工艺参数进行测量的设备。其还可以被称为“测量通道”或“传感器”。
“分区”是安全系统的在物理和电气两者上与其他部分隔离的冗余部分。安全分区包括对来自多个通道的信号进行处理以便启动和控制保护动作的电子设备。信号处理通常包括对来自其他分区中的通道对相同电厂工艺参数进行的测量的逻辑结果进行表决。
“专设安全设施(ESF)”是被设计用于在核电厂发生紧急情况的情况下控制电厂的关键安全功能(例如,堆芯反应性停机、堆芯热量移除、辐射隔离)的一组电厂部件(例如,泵、阀门)。
“增强型表决逻辑”是常规四选二(2oo4)表决的变化形式。以下更加详细地描述了增强型表决逻辑。
“运行限制条件(LCO)是如在具有故障测量通道或取出用于测试的测量通道的分区处可能发生的退化核电厂状况。LCO具有通过根据10 CFR 50.36编写的核电厂技术规格书管理的许可运行时间约束。在所述时间约束之后,电厂操作员必须采取补救动作,比如,将具有故障通道的分区置于致动状态(导致N选1表决配置)、减小反应堆功率或使反应堆停机。特定补救动作和采取所述动作允许的时间取决于特定退化状况的严重性。
“电厂安全系统部件控制处理器(PSS CCP或CCP)”是核反应堆安全系统中功能为执行部件控制逻辑的控制器。
“电厂安全系统反应堆保护处理器(PSS RPP或RPP)”是核反应堆安全系统中功能为以不同方式计算安全限制违反(部分停堆)并基于对不同部分停堆的冗余且不同的特定符合性表决启动反应堆停堆和/或ESF致动的控制器。
“反应堆停堆(RT或停堆)”是由电厂安全系统在其检测到参数接近其安全限制时执行的保护功能。在核工程术语中,反应堆停堆涉及核反应堆的自动停机。
“反应堆停堆断路器(RTB)”是核电厂内被配置用于基于反应堆停堆致动信号致动反应堆停堆的电路。
“单一故障准则(SFC)”是被设计用于执行限定安全功能的系统(例如,紧急堆芯冷却系统)必须能够执行其任务(尽管系统内或支持其运行的相关联系统中的任何单个部件发生故障)的要求。
“部分停堆信号”是单次安全限制计算的结果。在正常运行期间,2ooN部分停堆信号需要启动RT或ESF致动。在退化状况期间以及在增强型表决逻辑手动重新配置之后,可以通过单个部分停堆信号生成RT或ESF致动。
概述
总体而言,提供了一种实现与单一故障准则(SFC)的遵从性并阻止由于单一可信故障而造成的假致动的保护系统,相比于需要四个分区来实现这种相同性能的系统,所述保护系统仅具有两个分区。在此系统中,这两个分区中的每个分区包括以下特征:(1)各自用于确定接近电厂安全限制(以及由此,对ET/ESF致动的需要)的多次计算;(2)用于与另一个分区共享其针对每个安全限制的计算结果的光纤数字数据通信;(3)用于处理针对每个安全限制的所述多个计算结果的表决逻辑;(4)用于根据违反的(多个)安全限制组合针对每个安全限制的表决器输出以便生成(多个)适当的RT、ESF-1、ESF-N致动信号的逻辑;以及(5)与响应于RT和ESF致动信号而执行RT和ESF致动功能的设备的接口。
此外,对于以上列出的五个功能,这两个分区中的每个分区补充有以下特征以便阻止来自每个分区的假致动:(1)基于来自冗余传感器或冗余传感器组的数据以冗余方式并以不同方式执行每次安全限制计算;(2)与另一个分区共享针对每个安全限制的冗余且不同的计算结果;(3)来自每个分区(总共四个)的这两次不同安全限制计算的输出对接至冗余且不同的表决器;(4)不同表决器的输出对接至针对(多个)适当RT、ESF-1、ESF-N致动信号的冗余且不同的组合逻辑,其中,对每个不同信号路径进行滤波以便忽略瞬时信号;以及(5)在2oo2配置下组合每个不同的RT/ESF致动信号输出,其中,针对RT的这两个不同输出具有非常规的通电致动配置,但是为了遵从系统级故障安全管理标准,这两个分区采用互连的看门狗定时器来进行附加的故障安全RT致动方法。
此外,对于导致错误地满足N个表决之一的(多次)安全限制计算并且由此使系统易受假RT/ESF致动的影响的保守传感器故障,保护系统包括计算结果旁路特征。然而,在启动计算结果旁路时,并且对于将系统置于SFC非遵从配置(其需要LCO)的非保守故障,保护系统包括转换表决逻辑的以便恢复SFC遵从性的方法。
双分区设计
双安全分区设计相对于具有更多分区的其他设计的一个优点是更低的电厂资金成本和更低的电厂运行和维护(O和M)成本。这是因为存在与每个安全分区相关联的显著成本。安全分区必须彼此物理分离,从而导致在地震上更加合格的建筑物体积。对于所有部件(包括电子设备和电缆),在分区之间需要物理屏障。物理屏障阻止火或洪水蔓延至多个分区;它们还提供人员进入安全性。每个安全分区还必须具有其自身的安全级电源,所述电源包括电池和反相器,以防正常电力损失。并且,每个安全分区必须具有其自身的支持设备,比如,HVAC。此外,直接支持安全功能的所有设备需要非常昂贵的质量和合格性测试程序。在运行中,每个安全分区中的所有设备必须加以周期性测试以便显示其可以执行其安全功能。每个分区必须得以快速维护以防设备故障,这需要现场存储零部件。测试和维护两者都需要技艺精湛的工人连同大量培训。因此,减小安全分区的数量改善了针对初始资金和针对与人员和零部件相关的终身O和M成本的核电经济案例。
为了实现单一故障遵从性、假致动阻止和测试/故障容限,双安全分区设计使用了以下各项:(1)增强型表决逻辑;(2)不同信号处理;以及(3)通电致动设备和看门狗定时器。
以下讨论的示例性双安全分区设计在每个分区(总共四个)中采用两次冗余且不同的测量通道计算、这两个分区之间的共享计算结果、每个分区中的冗余且不同的2oo4第1级表决逻辑,其中,在二选二(2oo2)第2级表决逻辑中组合第1级表决逻辑的冗余且不同的输出以便阻止每个安全分区中的假RT或ESF致动。由于任一安全分区可以提供所需RT或ESF保护动作,所以安全系统需要满足单一故障要求。
增强型表决逻辑
示例性双分区设计将两个通道与一个安全分区相关联并且将另外两个通道与另一个安全分区相关联,而不是将一个测量通道与四个安全分区中的每个安全分区相关联。在此示例性实施例中,第1级增强型表决逻辑是特定符合性逻辑,其需要在安全分区之间进行数据共享。数据共享通常通过点到点光学数据链路实现。随后的讨论是在具有不同分区中的一组许多相似测量通道的背景下进行的。
图1是根据所公开的实施例的双安全分区安全系统100的框图。如图1中示出的,安全系统100包括第一安全分区110和第二安全分区115。第一安全分区110包括第一分区计算模块120、第一分区计算结果共享模块123和第一分区增强型表决逻辑126。第二安全分区115包括第二分区计算模块130、第二分区计算结果共享模块133和第二分区增强型表决逻辑136。第一分区计算模块120从传感器S1 140、S2 143、S3 146、S4 150、S5 153和S6 156接收信号。第二分区计算模块130从传感器S7 160、S8 163、S9 166、S10 170、S11 173和S12176接收信号。传感器S1 140、S2 143和S3 146被安排成第一组传感器180;传感器S4 150、S5 153和S6 156被安排成第二组传感器183;传感器S7 160、S8 163和S9 166被安排成第三组传感器186;并且传感器S10 170、S11 173和S12 176被安排成第四组传感器189。传感器S1 140、S4 150、S7 160和S10 170被安排成第一传感器阵列190;传感器S2 143、S5 153、S8163和S11 173被安排成第二传感器阵列193;并且传感器S3 146、S6 156、S9 166和S12 176被安排成第三传感器阵列196。
第一分区计算模块120进行操作以便从传感器S1 140、S2 143、S3 146、S4 150、S5153和S6 156获得传感器信号,并且对其执行计算以便判定其是否指示应当采取安全动作。例如,如果传感器S1 140是温度传感器,则第一分区计算模块120可以判定来自温度传感器S1 140的温度信号是否超过安全阈值。这些计算的结果是标识来自传感器S1 140、S2 143和S3 146的传感器信号是否单独指示应当采取安全动作的第一计算结果系列以及标识来自传感器S4 150、S5 153和S6 156的传感器信号是否单独指示应当采取安全动作的第二计算结果系列。第一和第二单独计算结果可以被统称为计算结果DA
第一分区计算结果共享模块123进行操作以便将来自第一分区110的计算结果DA发送至第二分区115中的第二分区计算结果共享模块133。
第一分区增强型表决逻辑126进行操作以便基于计算结果DA和从第二分区115接收的计算结果DB生成第一安全指令。可以根据计算结果DA、DB中的哪些计算结果被考虑为是可操作的来变更第一分区增强型表决逻辑126采用的精确表决逻辑。计算结果的可操作性基于用于生成所述计算结果的传感器的可操作性来确定。例如,如果计算结果DA、DB中的所有计算结果有效,则第一分区增强型表决逻辑126可以执行2oo4表决。然而,如果计算结果DA、DB中的较少计算结果有效,则可以执行2oo3、2oo2或甚至1oo1表决。以下将描述关于可以如何修改第一分区增强型表决逻辑126的更多细节。
第二分区计算模块130进行操作以便从传感器S7 160、S8 163、S9 166、S10 170、S11 173和S12 176获得传感器信号,并且对其执行计算以便判定其是否指示应当采取安全动作。例如,如果传感器S7 160是温度传感器,则第二分区计算模块130可以判定来自温度传感器S7 160的温度信号是否超过安全阈值。这些计算的结果是标识来自传感器S7 160、S8 163和S9 166的传感器信号是否指示应当采取安全动作的第三计算结果系列以及标识来自传感器S10 170、S11 173和S12 176的传感器信号是否指示应当采取安全动作的第四计算结果系列。第三和第四计算结果可以被统称为计算结果DB
第二分区计算结果共享模块133进行操作以便将来自第二分区115的计算结果DB发送至第一分区110中的第一分区计算结果共享模块123。
第二分区增强型表决逻辑136进行操作以便基于计算结果DB和从第一分区110接收的计算结果DA生成第二安全指令。可以根据计算结果DA、DB中的哪些计算结果有效来变更第二分区增强型表决逻辑136采用的精确表决逻辑。例如,如果计算结果DA、DB中的所有计算结果有效,则第二分区增强型表决逻辑136可以执行2oo4表决。然而,如果计算结果DA、DB中的较少计算结果有效,则可以执行2oo3、2oo2或甚至1oo1表决。以下将描述关于可以如何修改第二分区增强型表决逻辑136的更多细节。
传感器S1 140、S2 143、S3 146、S4 150、S5 153、S6 156、S7 160、S8 163、S9 166、S10 170、S11 173和S12 176各自测量核电厂的特定安全参数。例如,这些参数可以包括反应堆冷却剂温度、反应堆压力、反应堆冷却剂流量、中子通量或与核电厂的安全性相关的任何参数。
第一组传感器180连接至第一分区计算模块120并且提供用于生成第一计算结果的第一传感器数据;第二组传感器183也连接至第一分区计算模块120并且提供用于生成第二计算结果的第二传感器数据;第三组传感器186连接至第二分区计算模块130并且提供用于生成第三计算结果的第三传感器数据;并且第四组传感器189连接至第二分区计算模块130并且提供用于生成第四计算结果的第四传感器数据。在图1中公开的实施例中,第一、第二、第三和第四组传感器180、183、186、189是相当的组传感器。例如,如果传感器S1 140是温度传感器,S2 143是压力传感器并且S3 146是中子通量传感器,则传感器S4 150、S7 160和S10 170将是温度传感器,传感器S5 153、S8 163和S11 173将是压力传感器并且传感器S6 156、S9 166和S12 176将是中子通量传感器。相似传感器类型将测量相同反应堆参数。
第一传感器阵列190包括传感器S1 140、S4 150、S7 160和S10 170,所述传感器全部测量相同反应堆参数。例如,如果传感器S1 140、S4 150、S7 160和S10 170全都是温度传感器,则其将全部测量反应堆温度。
第二传感器阵列193包括传感器S2 143、S5 153、S8 163和S11 173,所述传感器全部测量相同反应堆参数。例如,如果传感器S2 143、S5 153、S8 163和S11 173全都是压力传感器,则其将全部测量反应堆压力。
第三传感器阵列196包括传感器S3 146、S6 156、S9 166和S12 176,所述传感器全部测量相同反应堆参数。例如,如果传感器S3 146、S6 156、S9 166和S12 176全都是中子通量传感器,则其将全部测量反应堆的中子通量。
所公开的安全分区110、115中的每个安全分区内的第1级增强型表决逻辑使用通常被称为部分停堆信号的计算结果,所述计算结果可以或者从直接连接至分区电子设备的测量通道获得或者经由安全分区之间的数据共享获得。第1级增强型表决逻辑通常采用2oo4配置。这意味着每个分区都遵从SFC,因为其将基于其自身的两个计算结果(而不依赖于来自另一个分区的计算结果)致动。此外,每个分区将基于来自另一个分区的这两个计算结果或者基于来自两个分区的计算结果的组合得以致动。每个安全分区内的2oo4增强型表决逻辑基于相似测量通道故障和数据链路故障以以下方式被重新配置。
尽管图1示出了第一至第四组安全传感器180、183、186、189中的每一组包括三个传感器,但是这仅仅是通过示例的方式。替代性实施例可以在每个组安全传感器180、183、186、189内包括更多或更少传感器。
一个安全分区中的一个测量通道故障
图2A是根据所公开的实施例的双安全分区安全系统100(其中,单个安全分区中的单个传感器元件(即,测量通道)故障)的框图。如图2A中示出的,第一传感器阵列190内的传感器S1 140是故障传感器。如以上指出的,第一传感器阵列190中的传感器元件中的所有传感器元件(S1 140、S4 150、S7 160、S10 170)都是相似测量通道。换言之,每个传感器元件测量相同系统参数。
如果这四个相似测量通道之一(例如,传感器元件S1 140)故障,则对于相关联的冗余安全分区,对于第一安全分区110和第二安全分区115两者,第1级表决本身就是2oo3。换言之,故障通道(即,传感器)不生成计算数据值并且无法对安全指令做出贡献。因此,剩余三个工作测量通道中的两个测量通道需要生成安全指令。这种配置阻止由于附加通道故障引起的假致动。
然而,这种配置将需要具有延长时间限制的LCO,因为即使存在三个可用测量通道,也存在同一分区中的这两个通道将受所述分区内的单一故障(例如,引起两个通道的非保守漂移的电源异常)的不利影响的某种可能性。因此,如果故障通道无法在延长的LCO时间限制内恢复,则需要将系统恢复至SFC遵从性的替代性方式。SFC遵从性通过确保每个分区可以仅基于其自身计算结果(而不依赖于来自另一个分区的计算结果)致动来实现。这通过如图2B中示出的转换增强型表决逻辑来实现。
图2B是根据所公开的实施例的图2A的双安全分区安全系统(其中,单个安全分区中的单个传感器元件故障,并且其中,已经清除了LCO)的框图。如图2B中示出的,传感器S1140是故障传感器。因此,第一分区110中的第一增强型表决逻辑126被调整成使得其将仅基于来自传感器S4 154的计算结果或者来自传感器S4、S7 160和S10 170的2oo3计算结果生成安全指令。这相当于针对第一分区110的原始2oo3表决,所述原始2oo3表决通过将其从2oo3改变为‘针对传感器S4的2oo3或一选一(1oo1)’来补充。第二分区115中的第1级表决逻辑保持为2oo3,因为其接收基于这三个可操作传感器S4 150、S7 160、S10 170生成的计算数据。
在这种表决配置的情况下,影响第一分区110或第二分区115(包括与任一分区110、115相关联的所有测量通道)的单一故障将不会阻止至少一个分区110、115生成保护动作安全指令。为此,清除了(关于图2A而示出的)原始LCO,并且不存在针对这种配置的任何附加LCO。
尽管有可能紧接着在传感器S1 140故障后自动地转换成第1级增强型表决逻辑配置‘2oo3或1oo1’,但是这种表决配置使第一分区110更易受假致动的影响。因此,在尝试恢复传感器S1 140(即,故障测量通道)的同时使电厂保持处于原始2oo3 LCO状况更安全。然后,如果传感器S1 140无法在LCO时间约束内恢复,则可以手动启动转换成第1级增强型表决逻辑配置‘2oo3或1oo1’。
还应当指出的是,在图2B的配置的情况下,如果存在来自连接至第一分区110的这一个工作测量通道的单个错误停堆/致动信号,则仅第一分区110将虚假地致动;第二分区将不会虚假地致动,因为其保持处于2oo3表决逻辑配置。对于ESF功能,对仅一个分区的假致动限制了电厂暂态效应。然而,如果存在来自任何两个测量通道的停堆/致动信号,则所述信号被视为有效,并且两个分区110、115中的2oo3表决逻辑确保两个ESF分区准确致动。对于RT,将假致动限制于单个分区的这种差别是不相关的,因为对任一分区的致动将造成电厂停堆。
每个安全分区中的一个测量通道故障
图3A是根据所公开的实施例的在LCO下的双安全分区安全系统100(其中,每个安全分区中的单个传感器元件(即,测量通道)故障)的框图。如图3A中示出的,传感器S1 140是故障通道,并且传感器S7 160是故障通道。
如果两个测量通道(例如,传感器S1 140和S7 160)(一个连接至第一和第二安全分区110、115中的每个安全分区)故障,则对于(多个)相关联的冗余安全功能,对于第一安全分区110和第二安全分区115两者,第1级表决固有地变成2oo2。换言之,基于来自这两个故障通道(例如,传感器S1 140和S7 160)的传感器数据的计算数据无法对安全指令做出贡献。因此,剩余两个工作测量通道(例如,传感器S4 150和S10 170)两者需要生成安全指令。
然而,因为任一分区110、115中的附加测量通道故障将阻止从两个分区110、115生成保护动作,所以这种配置将需要具有相对较短时间限制的LCO。换言之,如果剩余传感器(S4 150或S10 170)中的任一传感器故障,则每个分区中的增强型表决逻辑126、136将无法得到它们执行2oo2表决所需的两条计算数据。
在LCO期间,将努力把测量通道(即,传感器S1 140、S7 160)中的一者或两者恢复至运行状态。应当采取什么动作取决于这些努力是否成功或有多成功。
如果两个测量通道可以在LCO到期之前得以恢复,则不需要采取进一步动作。LCO到期并且正常运行恢复。
如果仅可以恢复一个测量通道(例如,传感器S1 140或传感器S7 160)(第1级),则如以上关于图2B而描述的,可以在与剩余故障测量通道相关联的分区110、115中可以手动地部署‘2oo3或1oo1’增强型表决逻辑。
然而,如果测量通道两者都无法恢复,则可以在每个分区110、115中将第1级表决逻辑手动地改变为‘2oo2或1oo1’。图3B是根据所公开的实施例的图1的双安全分区安全系统(其中,每个分区中的单个传感器元件故障,并且其中,已经清除了LCO)的框图。
如图3B中示出的,第一增强型表决逻辑126中的表决和第二增强型表决逻辑136中的表决两者都改变为‘2oo2或1oo1’。在每种情况下,1oo1与连接至所述分区110、115的运行通道(即,传感器)相关联,而2oo2与连接至分区110、115的两个剩余运行通道(即,传感器)相关联。
由于即使分区110、115之一无法运行,也可以致动表决,所以这使系统返回到单一故障准则遵从性。
单个安全分区中的两个测量通道故障
图4是根据所公开的实施例的图1的在LCO下的双安全分区安全系统100(其中,单个安全分区110、115中的两个传感器元件(即,测量通道)故障)的框图。如图4中示出的,传感器S1 140是故障通道,并且传感器S4 150是故障通道。
如图4中示出的,如果同一安全分区110或115中的两个测量通道故障,则对于(多个)相关联的冗余安全功能,对于第一安全分区110和第二安全分区115两者,第1级表决固有地变成2oo2。因为系统不再满足单一故障准则,所以这种配置将需要具有相对短时间限制的LCO。
在LCO期间,将努力把测量通道(即,传感器S1 140、S4 150)中的一者或两者恢复至运行状态。应当采取什么动作取决于这些努力是否成功或有多成功。
如以上关于图2B而描述的,如果一个测量通道可以恢复,则可以对第一分区110手动部署第1级‘2oo3或1oo1’增强性表决逻辑,同时可以对第二分区115维持2oo3表决逻辑。在这种情况下,清除了原始LCO。
然而,如果在LCO时间限制结束时无法恢复故障测量通道中的任一者,则由于不再满足单一故障准则,LCO将需要电厂停机。
这两个安全分区之间的单个数据链路故障
如果第一安全分区110与第二安全分区115之间的单个数据链路故障,则对于不能从另一个分区接收数据的安全分区的所有安全功能,第1级表决本身就是2oo2。换言之,通常在故障数据链路上传输的部分停堆无法对不能从另一个分区接收数据的安全分区的安全指令作出贡献。因此,来自连接至所述分区的工作测量通道的这两个剩余部分停堆需要生成安全指令。因为另一个分区不受影响,所以对于关于所有安全功能的第1级表决,其保持处于2oo4配置。
图5是根据所公开的实施例的图1的在LCO下的双安全分区安全系统100(其中,第一安全分区110与第二安全分区115之间的单个数据链路故障)的框图。如图5中示出的,从第一分区110到第二分区115的数据链路DA是故障数据链路。
如图5中示出的,如果由第二安全分区115接收的数据链路DA是故障链路,则第二安全分区115中的第1级表决固有地变成2oo2。换言之,第二安全分区115仅在基于传感器S7160和传感器S10 170两者生成的计算信号指示应当采取动作时才提供请求补救动作的第二安全指令。
由于第一分区110仍从所有四个传感器S1 140、S4 150、S7 160和S10 170接收数据,所以其保持2oo4表决逻辑。
相比第一和第二分区两者都采用2oo4表决逻辑的配置,这种退化配置没那么可靠。然而,因为其仍满足单一故障准则,所以不需要LCO。通过维护规则10 CFR 50.65而不是通过电厂技术规范书10 CFR 50.36来管理在合理时间帧内将故障数据链路恢复至正常可操作性。
向分区提供的测量通道以及从同一分区提供的数据链路两者都故障
如果向分区110、115提供的测量通道和从同一分区提供的数据链路DA、DB两者都故障,则另一个分区中的第1级表决固有地变成2oo2。换言之,只有在向另一个分区(即,具有故障接收数据链路的分区)提供的两个传感器都指示需要补救动作时,所述分区才将产生命令进行所述动作的第二安全指令。因为所述分区可以基于其自身测量通道致动,所以这不需要LCO。
由于具有故障测量的分区仅从三个传感器接收信号,所以对于第1级表决,所述分区固有地变成2oo3配置。这将需要具有延长时间限制的LCO,因为即使存在三个可用测量通道,也存在从另一个分区接收的这两个通道将受所述分区内的单一故障(例如,引起两个通道的非保守漂移的电源异常)的不利影响的某种可能性。
图6A是根据所公开的实施例的图1的在LCO下的双安全分区安全系统100(其中,从第一安全分区110到第二安全分区115的单个数据链路故障,并且第一安全分区110中的测量通道故障)的框图。如图6A中示出的,从第一分区110到第二分区115的数据链路DA是故障数据链路,并且连接至第一分区110的传感器S1 140是故障测量通道。
如图6A中示出的,如果由第二安全分区115接收的数据链路DA是故障链路,则第二安全分区115中的第1级表决固有地变成2oo2。换言之,第二安全分区115仅在来自传感器S7160和传感器S10 170两者的信号指示应当采取动作时才提供请求补救动作的第二安全指令。因为即使第一安全分区110故障,第二安全分区115也将仍能够执行2oo2表决,所以这不违反单一故障准则。
在此示例中,由于第一分区110仅从三个传感器S4 150、S7 160和S10 170接收数据,所以第一分区中的第1级表决固有地变成2oo3。然而,由于如果第二安全分区115故障,则第一安全分区110将不能执行2oo3或甚至2oo2表决,所以这种配置违反了单一故障准则。
因此,如果在这种配置下的故障通道(传感器S1 140)无法在延长的LCO时间限制内恢复,则如图6B中示出的,手动地将所述分区中的表决逻辑从2oo3表决转换为‘2oo3或1oo1’表决。这使系统100返回到单一故障准则遵从性。
向分区提供的测量通道以及从另一个分区提供的数据链路两者都故障
如果同一安全分区内的接收数据链路和测量通道两者都故障,则对于(多个)相关联的安全功能,对于受影响的分区,无法满足正常的第1级2oo4表决。然而,因为另一个分区不受影响,所以其保持处于2oo3表决配置。
图7A是根据所公开的实施例的图1的在LCO下的双安全分区安全系统100(其中,从第一安全分区110到第二安全分区115的单个数据链路故障,并且第二安全分区115中的测量通道故障)的框图。如图7A中示出的,从第一分区110到第二分区115的数据链路DA是故障数据链路,并且连接至第二分区115的传感器S7 160是故障测量通道。
在此示例中,由于第一分区110仅接收基于三个传感器S1 140、S4 150和S10 170的输出的计算数据,所以第一分区中的第1级表决固有地变成2oo3。
由于受影响的分区无法生成保护动作安全指令,因为系统不再满足单一故障准则,所以这种配置将需要具有相对短时间限制的LCO。
如果可以在使数据链路保持故障的同时恢复故障测量通道,则系统实现以上在第4项中描述的清除了LCO的配置。
如果可以在使测量通道保持故障的同时恢复故障数据链路,则系统实现以上关于图2A而描述的配置。如以上关于图2B而描述的,这允许手动地转换第1级表决配置以便管理LCO状况。
如果无法恢复任一故障,则如关于图7B而示出的,对于第二安全分区115,可以手动地将第1级表决转换为1oo1。这种1oo1表决使所述第二分区115能够基于其单个可操作的测量通道生成保护动作安全指令。然而,如果发生所述测量通道故障,则其容易受生成假保护动作安全指令的影响。尽管对于两个安全分区,这是退化配置,但是每个分区能够基于来自其自身分区的测量通道生成保护动作安全指令。因此,整个系统仍满足单一故障准则,所以不存在LCO。
对表决逻辑的手动重新配置
如以上讨论的,虽然有可能基于检测到故障测量通道或数据链路自动地重新配置表决逻辑,但是经常期望手动地重新配置表决逻辑,这样在解决故障原因的同时,系统在尽可能长的时间内(即,基于LCO完成时间)较不容易受假致动的影响。
然而,在必要时,对表决逻辑的重新配置以便清除LCO可以以相对直截了当的方式进行。图8中示出了用于进行重新配置的逻辑,所述逻辑是根据所公开的实施例的用于对表决逻辑进行手动重新配置的电路800。
如图8中示出的,电路800包括传感器S1 140和S4 150;第一分区计算模块120;C4旁路输入端子810;C1旁路输入端子815;第一和第二与门820、825;C4输出端子840;C1输出端子845;C10输入端子850;C7输入端子855;四选二表决器860;二选一表决器865;1oo2使能输入端子870;第三与门875;以及或门880。
传感器S1 140基于核电厂的测量参数生成第一传感器信号。同样,传感器S4 150基于核电厂的在不同传感器处测量的同一参数生成第二[信号3和4来自第二分区(即,C7和C10)]传感器信号。
第一分区计算模块120接收第一和第四传感器信号并且使用所述传感器信号来生成第一和第四计算结果C1和C4,所述计算结果被提供给包含电路800的剩余部分的第一分区计算结果共享模块123。
C4旁路输入端子810接收指示是否应当阻断由第四传感器信号产生的第四计算结果C4的信号。如果应当阻断第四计算结果C4,则C4旁路输入端子810接收低信号,并且如果应当使第四计算结果C4正常通过,则接收高信号。
类似地,C1旁路输入端子815接收指示是否应当阻断由第一传感器信号产生的第一计算结果C1的信号。如果应当阻断第一计算结果C1,则C1旁路输入端子815接收低信号,并且如果应当使第一计算结果C1正常通过,则接收高信号。
第一与门820从C1旁路输入端子815接收C1旁路信号,并且从第一分区计算模块120接收第一计算结果C1。如果C1旁路信号为高,则第一与门820生成相当于第一计算结果C1的输出信号。然而,如果C1旁路信号为低,则第一与门820生成低输出信号,而不论第一计算结果C1的值如何。
类似的,第二与门825从C4旁路输入端子810接收C4旁路信号,并且从第一分区计算模块120接收第四计算结果C4。如果C4旁路信号为高,则第二与门825生成相当于第四计算结果C4的输出信号。然而,如果C4旁路信号为低,则第二与门825生成低输出信号,而不论第四计算结果C4的值如何。
C4输出端子840接收第二与门825的输出并且将此值提供给第二分区115中的第二分区计算结果共享模块133。
C1输出端子845接收第一与门820的输出并且将此值提供给第二分区115中的第二分区计算结果共享模块133。
C10输入端子850从第二分区计算结果共享模块133接收第十计算结果C10。应当指出的是,第二分区115将具有与第一分区110中的电路800类似的电路。因此,如果在第二分区115中,第十旁路信号活跃,则可以阻断第十计算结果C10(即,将其设置为低值,而不论其计算值如何)。
同样,C7输入端子855从第二分区计算结果共享模块133接收第七计算结果C7。同样应当指出的是,由于第二分区115将具有与第一分区110中的电路800类似的电路,所以如果在第二分区115中,第七旁路信号活跃,则可以阻断第七计算结果C7(即,将其设置为低值,而不论其计算值如何)。
四选二表决器860接收第一、第四、第七和第十计算结果C1、C4、C7、C10并基于这四个信号执行四选二表决。换言之,如果第一、第四、第七和第十计算结果C1、C4、C7、C10中的任何两个计算结果为高,则四选二表决器860将产生高输出。
在阻断第一、第四、第七和第十计算结果C1、C4、C7、C10中的一个或两个计算结果的情况下,四选二表决器860有效地默认进行其三选二或二选二表决。然而,如果阻断第一、第四、第七和第十计算结果C1、C4、C7、C10中的三个计算结果,则四选二表决器860无法执行正确表决。
二选一表决器865接收第一和第四计算结果C1和C4并基于这两个信号执行二选一表决。换言之,如果第一和第四计算结果C1和C4中的任一计算结果为高,则二选一表决器865将产生高输出。在所公开的实施例中,二选一表决器865处于或门上。然而,在替代性实施例中,可以采用不同的二选一表决器865。
1oo2使能输入端子870接收1oo2使能信号,所述使能信号指示在第一分区增强型表决逻辑126中是否应当使用二选一表决。如果1oo2使能信号为高,则使能二选一表决。然而,如果1oo2使能信号为低,则使能四选二(或三选二或二选二表决,视情况而定)。
第三与门875接收1oo2使能信号和二选一表决器865的结果。如果1oo2使能信号为高,则其传递二选一表决器865的输出;并且如果1oo2使能信号为低,则其传递低信号,而不论二选一表决器865的输出如何。
或门880接收第三与门875和四选二表决器860的输出,并且提供这两个输出信号的经或运算的结果作为停堆/致动信号。在运行中,如果1oo2使能信号为高,则停堆/致动信号将与二选一表决器865的输出相同;并且如果1oo2使能信号为低,则停堆/致动信号将与四选二表决器860的输出相同。
如图8中示出的,重新配置以便清除LCO通过由操作者将旁路和使能指示应用于表决逻辑来进行。例如,考虑四个类似测量通道之一故障(即,通道S4 150的故障)的情况。这相当于以上关于图2B而示出的示例。
如果通道S4 150的故障导致非停堆状况,则不需要立即操作员动作。然而,如果通道S4 150以得到将生成假部分停堆信号的所产生计算结果C4的方式故障,则操作员将立即激活C4旁路信号(即,将C4旁路信号设置为低)。此动作将消除由于第二通道的故障而引起的假RT/ESF致动的威胁。因为第一分区依赖于第二分区来满足其2oo3表决逻辑(即,系统不再具有SFC遵从性),所以此动作还将导致LCO。LCO建立用于恢复运行故障通道的完成时间。如果故障通道无法在LCO完成时间内恢复,则操作员将激活1oo2使能信号。这允许第一分区110基于单个通道(即,其自身的通道)致动,并且因此将系统恢复至单一故障遵从性。
具有2oo4第1级表决的四通道配置假设这四个测量通道是对同一工艺参数的冗余测量。如果情况不是这样,则将需要特殊技术。例如,常规的压水反应堆(PWR)和先进轻水反应堆(ALWR)需要堆芯外核仪器的四个分区,因为大堆芯直径允许堆芯外仪器通道仅检测反应堆的三个象限而不是所有四个象限中的堆芯异常。因此,为了使用至少两个通道来检测所有堆芯象限中的异常(以便避免由于单一通道故障引起的假致动)并且为了满足单一故障准则,需要四个分区。在较小堆芯直径的情况下,具有四个堆芯外仪器通道的双分区设计要求每个堆芯外检测器检测所有四个堆芯象限中的异常。然后,在每分区两个堆芯外检测器(定位在堆芯的相反侧并且以2oo2配置安排)的情况下(也就是说,在第一分区110具有两个检测器且第二分区115具有两个检测器的情况下),任一分区可以检测所有异常,并且可以解决一个分区的单一故障。
校正单个安全分区的操作方法
图9是流程图,示出了根据所公开的实施例的双分区核电厂安全系统100中的第一安全分区的一般操作。如图9中示出的,第一安全分区110的操作开始于使第一安全分区110监测第一和第二安全传感器阵列180、183以便得到第一和第二传感器信号(905)。
然后,第一安全分区110基于第一和第二传感器信号执行不同计算以便生成第一和第二安全限制(即,第一和第二计算结果)(910)。如以上指出的,第一和第二安全限制可以是指示第一和第二传感器信号满足还是超过设定安全阈值的信号。
然后,第一安全分区110从第二安全分区115接收第三和第四安全限制(即,第三个第四计算结果)(915)。
第一安全分区110基于第一至第四安全限制使用增强型表决逻辑来执行不同且冗余的第1级表决(920)。
然后,第一安全分区110通过使用针对ESF致动的2oo2逻辑来组合不同表决器的输出从而执行第2级表决(925)。
然后,第一安全分区110使用针对RT致动的有线2oo2表决逻辑来组合不同表决器输出(930)。
然后,第一安全分区110使用看门狗定时器来检查处理器的运行(935)。
在这之后,第一安全分区110从第二分区115接收看门狗定时器状态(940)。
然后,使用2oo2表决来组合来自这两个分区110、115的第一和第二看门狗定时器信号(945)。
第一安全分区110使用来自表决器的通电致动设备或来自看门狗定时器的断电致动设备来致动反应堆停堆断路器(950)。
最后,第一安全分区110然后可以结合连续解释的不同信号(即,沿着多于一个信号路径传递的多于一个信号)致动一个或多个ESF部件(955)。
尽管图9讨论了第一安全分区110的操作,但是这些操作同样适用于第二安全分区115。在所述情况下,第二安全分区115监测第三和第四安全传感器阵列186、189并且从第一安全分区110接收第一和第二安全限制。
分区的诊断逻辑的操作方法
图10是流程图,示出了由根据所公开的实施例的分区110、115之一执行的诊断逻辑。如图10中示出的,并行地执行三个单独的诊断过程。第一,确定对传感器操作的判定(1005至1020);第二,确定对数据传输操作的判定(1025至1030);并且第三,判定是否恢复传感器操作(1035至1065)。
如以上指出的,首先进行关于传感器是否已经故障的判定(1005)。可以通过周期性检查/测试、超范围警报、错误部分停堆信号等以及各个实施例来进行这种判定。如果传感器未故障,则传感器操作诊断过程返回到起点并且继续检查传感器故障,直到确定这种故障。
然而,如果检测到传感器故障,则系统将自动判定是否已经阻断了用于相同安全限制计算的任何其他通道(1010)。
如果未阻断其他通道,则系统将自动地生成阻断许可(1015),所述阻断许可允许操作员阻断来自故障传感器的安全限制计算(1020)。这就是不存在与任何分区中的表决器的接口的原因。在一个实施例中,这可以通过迫使故障传感器的输出为低值来实现,不管传感器可能以其他方式指示什么信息。然后,电厂操作员启动LCO时钟(1035)并进入LCO状态。
然而,如果系统确定在传感器故障时,其他通道被阻断,则操作员无法阻断来自故障传感器的安全限制计算,并且操作员立即启动长LCO时钟(1025)并进入长持续时间LCO状态。
与这种传感器操作判定并行地,系统还执行数据传输操作判定。具体地,系统判定数据是否从另一个分区110、115更新到当前分区110、115。(1030)如果数据被更新,则系统确定一切正常工作,并且仅返回到判定数据是否从另一个分区更新,直到其确定数据不是从另一个分区更新。
然而,如果系统确定数据未从另一个分区正确更新,则操作员判定连接至当前分区110、115的这两个传感器是否可操作(1035)。如果连接至当前分区110、115的两个传感器都可操作,则不需要进入LCO。因此,然后,系统返回到判定数据是否从另一个分区110、115更新。
然而,如果系统确定来自当前分区的用于相同安全限制计算的这两个传感器110、115两者都不可操作,则操作员启动短LCO时钟(1040)并进入短持续时间LCO状态。
因此,操作员将在存在故障传感器时进入LCO状态;并且LCO持续时间将取决于用于相同安全限制计算的其他传感器的可操作性以及数据传输路径的可操作性。
一旦LCO时钟已经启动(1025,1040),则操作员开始判定故障传感器是否已经恢复运行(1045)。如果设置了多个持续时间,则LCO时钟将使用最短的持续时间。
如果传感器已经恢复运行,则操作员移除安全限制计算时钟并退出与所述传感器故障相关联的LCO(1045)。
然而,如果传感器还未恢复运行,则操作员判定LCO时间的到期是否接近(1050)。
如果LCO时间的到期未接近,则操作员继续判定传感器是否已经恢复运行(1045)。
然而,如果LCO时间的到期接近,则操作员转换当前分区110、115中的分区增强型表决逻辑的表决逻辑以便仅使用可操作安全限制计算通道来使系统进入SFC遵从性,并且然后退出LCO。对表决逻辑的这种转换可以包括移动到像1oo1表决配置一样简单。
一旦已经转换了表决逻辑,操作员则再次开始判定传感器是否已经恢复运行(1060)。然而,这次,系统不处于LCO状态,并且所以系统上不存在使传感器恢复运行的时间压力。
因此,如果确定传感器未恢复运行,则系统仅继续检查传感器是否已经恢复运行(1060),直到回答为是。
一旦传感器已经恢复运行,操作员则恢复当前分区110、115的分区增强表决逻辑126、136的表决逻辑(1065)。
以此方式,安全系统100可以维持核电厂的运行,而无需停机。
不同信号处理(使用2002输出表决)
这部分解释了不同2oo4和信号输出处理。这仅例示了不同信号处理方法。不同信号处理还适用于同一RPP内的这两次安全限制计算。
虽然以上描述的第1级表决逻辑阻止了由于测量通道故障和数据链路故障(如以上描述的且在图2A至图7B中示出的)而引起的假致动,但是其不阻止由于分区的安全系统数字处理器内的故障而引起的对分区110、115的假致动。可能由于稀少但可能的存储器错误或处理器输出故障而发生这些假致动。这些稀少故障最终可通过自诊断检测,但不可立即检测,并且因此,可能导致假致动。
所公开的系统和方法使来自分区110内的处理器的假致动的可能性最小化,换言之,从源头上消除了潜在的假致动问题。这通过采用两个不同信号处理路径来实现,所述两个不同信号处理路径导致来自每个安全分区的两个单独的保护动作安全指令输出。然后,使用2oo2逻辑来组合来自处理器的这两个输出,以便创建来自所述分区的最终保护动作安全指令输出。2oo2逻辑可以例如使用有线与逻辑或实际与门来实施。因此,所述分区内的两个不同处理部分必须致动以使所述分区生成保护动作。
以上描述的功能处理多样性通过使用不同逻辑功能块来实现。例如,2oo4功能块用于这两种不同表决方法之一,并且标准离散逻辑功能块(例如,与/或门)的组合用于创建第二不同2oo4表决方法。与实施不同延时类似地,接通延时定时器用于这两种不同方法之一,并且具有断开延时定时器的反相信号用于第二种不同方法。对不同标准功能块的这种使用确保了使标准功能块生成错误输出的单一故障(例如,存储位故障)无法在利用故障功能块的所有信号处理中引起假致动。
图11是根据所公开的实施例的不同ESF致动处理电路1100的框图。如图11中示出的,ESF致动处理电路1100包括反应堆保护处理器(RPP)1101、第一部件控制处理器(CCP)1102和第二CCP 1103。RPP 1101包括四选二表决器功能块1105;四选二表决逻辑1107;接通延时定时器1123;断开延时定时器1126;第一和第二反相器1130、1132;第一至第三与门1134、1136、1138;第一至第三或门1140、1142、1144;以及Q触发器1150。四选二表决逻辑1107包括第四至第九与门1110、1111、1112、1113、1114、1115以及或非门1120。第一CCP1102包括第三反相器1160和第十与门1165。第二CCP 1103包括第四反相器1170和第十一与门1175。
RPP 1101进行操作以便从计算模块120、130得到四个A、B、C、D计算结果并且关于那些信号执行两次2oo4表决以便生成指示这些计算结果一起是否指示安全系统100采取安全行动(例如,ESF或RT)的两个不同信号X、Y。在一些实施例中,不同信号X、Y将具有相同定向(例如,高指示应当采取安全动作,并且低指示不需要采取安全动作,或者反之亦然)。在其他实施例中,不同信号X、Y将具有相反定向(例如,对于一个信号,高指示应当采取安全动作,并且低指示不需要采取安全动作;而对于另一个信号,低指示应当采取安全动作,并且高指示不需要采取安全动作,或者反之亦然)。图11的实施例具有所产生的具有相反定向的两个不同信号X、Y。然而,这仅是通过示例的方式。替代性实施例可以采用不同信号定向。
第一CCP 1102接收不同信号X、Y并同时使用所述信号来判定第一部件是否应当采取安全动作。具体地,第一CCP 1102生成指示只有在不同信号X、Y两者都指示应当采取安全动作时才应当由第一部件采取安全动作的信号。
同样,第二CCP 1103也接收不同信号X、Y并同时使用所述信号来判定第二部件是否应当采取安全动作。具体地,第二CCP 1103生成指示只有在不同信号X、Y两者都指示应当采取安全动作时才应当由第二部件采取安全动作的信号。
四选二表决器功能块1105接收信号A、B、C、D并对这四个信号执行2004表决操作。具体地,四选二表决器功能块1105生成指示只有在这四个输入信号A、B、C、D中的两个输入信号指示应当采取安全动作时才应当采取安全动作的信号。
同样,四选二表决逻辑1107也接收信号A、B、C、D并对这四个信号执行2oo4表决操作。具体地,四选二表决器逻辑1107生成指示只有在这四个输入信号A、B、C、D中的两个输入信号指示应当采取安全动作时才应当采取安全动作的信号。
尽管有可能使用类似电路系统来实施四选二表决器功能块1105和四选二表决逻辑1107,但是在所公开的实施例中,以不同方式来实施这两个电路。具体地,四选二表决器功能块1105使用‘C’语言软件编程,而四选二表决逻辑1107使用与门和或非门。
第四至第九与门1110、1111、1112、1113、1114、1115各自接收这四个输入信号A、B、C、D中的两个输入信号并且对信号对执行与运算。然后,这些与运算的结果提供到或非门1120,所述或非门从四选二表决器功能块1105如何作出相同指示中使用相反定向来产生指示是否应当采取安全动作的信号。
换言之,在此实施例中,来自四选二表决器功能块五的11的高结果指示应当采取安全动作,而来自四选二表决逻辑1107的低结果(即,来自或非门1120的输出)指示应当采取安全动作。
接通延时定时器1123进行操作以便使四选二表决器功能块1105的输出延迟上升到高水平,而断开延时定时器1126进行操作以便使四选二表决逻辑1107的输出延迟下降到低水平。接通延时定时器1123的输出可以视为第一路径,而断开延时定时器1126的输出可以视为第二路径。
如在以下段落中示出的,门1132、1134、1144以及触发器1150传播并锁存高2oo4表决结果,而门1130、1142、1136、1140和1138锁存并传播低2oo4表决结果。在CPP中组合不同高和低信号(各自具有相同致动或非致动意义)。CPP中的反相器仅被提供用于允许组合这两个不同信号。因为通过在CPP当中分配电厂部件并且由此限制可由单个CPP虚假致动的电厂部件的数量来容许单个CPP的假致动,所以CPP中不需要不同处理。不同CPP不共享处理CPU或存储器,因此功能块的单一故障将仅影响由一个CPP控制的电厂部件。
第一反相器1130连接在接通延时定时器1123的输出端与第二或门1142的输入端之间。
第二反相器1132连接在断开延时定时器1126的输出端与第一与门1134的输入端之间。
第一与门1134接收接通延时定时器1123的输出和断开延时定时器1126的反相输出(来自第二反相器1132)并对这两个信号执行与运算。
第二与门1136接收第一或门1140和第二或门1142的输出并且对这两个信号执行与运算。
第三与门1138接收断开延时定时器1126的输出和第二与门1136的输出并对这两个信号执行与运算以便生成输出信号Y。
第二或门1140接收第二与门1136的输出和手动复位信号并对这两个信号执行或运算。
第二或门1142接收断开延时定时器1126的输出和接通延时定时器1123的反相输出(来自第一反相器1130)并对这两个信号执行与运算。
第三或门1144接收接通延时定时器1123的输出和Q触发器1150的输出并对这两个信号执行或运算以便生成输出信号X。
Q触发器1150接收第一与门1134的输出作为其设定输入,并且接收手动复位作为其复位输入。其向第三或门1144提供Q信号。
第三反相器1160接收输出信号Y,使其反相并向第十与门1165提供反相信号。
第十与门1165接收输出信号X和输出信号Y的反相版本并对其执行与运算以便生成第一部件控制信号。
第四反相器1170接收输出信号X,使其反相并向第十一与门1175提供反相信号。
第十一与门1175接收输出信号Y和输出信号X的反相版本并对其执行与运算以便生成第二部件控制信号。
在图11中,使用驻留于多个第一分区110第2级部件控制处理器(CCP)1102和1103中的与门1165、1175(2oo2逻辑)来组合来自第一分区110第1级反应堆保护处理器(RPP)的这两个不同输出。因此,CCP仅在RPP生成两个不同保护动作安全指令信号时作出响应。因此,在没有采用附加2oo4表决层的常规方法的情况下使用来自四个安全分区的信号来阻止多个CCP的假致动。
即使由于安全处理器内的故障而引起的假动作由于不可通过自诊断立即检测的故障的稀有性质而是不可能的,也应用RPP内的这种不同处理方案。此外,这种方案不适用于所有RPP处理器应用功能。仅在假输出导致电厂混乱时应用所述方案。例如,不同逻辑不适用于运行旁路、维护旁路、指示或警报;但是其适用于反应堆停堆、主蒸汽隔离、主给水隔离、安全壳隔离以及安全壳喷淋。
对RT采用类似配置,其中,在对接至所述分区的相应RTB欠压(UV)和分励脱扣(ST)线圈之前,使用有线与逻辑来组合来自不同RPP信号处理的这两个输出信号。
执行不同信号处理的方法
图12和图13是流程图,示出了根据所公开的实施例的执行不同信号处理。具体地,图12是流程图,示出了根据所公开的实施例的使用采用不同功能块来实施相同逻辑的两个信号路径来执行不同信号处理;而图13是流程图,示出了根据所公开的实施例的使用一个非反相信号路径和一个反相信号路径来执行不同信号处理。
如图12中示出的,所公开的这种过程可以在系统从多个传感器接收多个信号时开始(1210)。
然后,系统在第一路径上处理所述多个信号以便生成第一控制信号C1,从而使得C1的第一值指示需要动作(1220)。例如,此第一值可以是高值或取低值。
然后,系统在第二路径上使用不同功能块来处理所述多个信号以便生成第二控制信号C2,从而使得C2的第二值指示需要安全动作(1230)。例如,第二值可以是第一值的倒数。换言之,如果第一值为高,则第二值将为低;或者如果第一值为低,则第二值将为高,在图11中,使用单个功能块并且以不同方式使用多个离散逻辑门来实施2oo4表决。
然后,系统检查C1和C2以便判定C1是否具有第一值并且C2是否具有第二值(1240)。如果情况是这样,则系统采取适当的安全动作(1250)。然而,如果或者C1不具有第一值或者C2不具有第二值,则系统什么也不做并且返回到从所述多个传感器接收所述多个信号(1210)。
如图13中示出的,所公开的这种过程也可以在系统从多个传感器接收多个信号时开始(1310)。
然后,系统在第一路径上处理所述多个信号以便生成第一控制信号C1,从而使得C1的第一值指示需要动作(1320)。例如,此第一值可以是高值或低值。
然后,系统使所述多个信号反相并在第二路径上使用来自第一路径的不同功能块来处理反相信号以便生成第二控制信号C2,从而使得C2的第二值指示需要安全动作(1330)。例如,第二值可以是第一值的倒数。换言之,如果第一值为高,则第二值将为低;或者如果第一值为低,则第二值将为高。在图11中,来自块1105和1120的输出具有相同的意义但是都是反相的。随后的逻辑处理那些反相信号以便实现相同逻辑算法(但是使用不同功能块,因为已经使信号反相)。
在此实施例中,系统然后使C2反相(1335),并且检查C1和最新反相C2以便判定C1和C2两者是否都具有第一值(1340)。如果情况是这样,则系统采取适当的安全动作(1350)。然而,如果或者C1或者C2不具有第一值,则系统什么也不做并且返回到从所述多个传感器接收所述多个信号(1310)。
通过使用两个独立生成的且不同的信号,安全系统可以避免假结果指示基于信号路径中仅一个信号路径中的错误采取安全动作。
通电致动故障安全设计
来自故障安全RT致动的通用设计法则(GDC)23的要求增大了假致动可能性以及因此对电厂可用率的威胁。这意味着:如果存在整个安全系统故障(或者由于电力损失或者由于处理器故障),则将向RTB生成保护动作安全指令信号。由于如之前指出的,这两个分区的RTB被安排成使得保护动作可由任一分区致动,所以阻止假致动对于双安全分区设计特别重要。
图14是电路图,示出了根据所公开的实施例的一个分区的RPP到RTB接口(包括分区间隔离)。此图表示安全系统中的所有四个RTB(每个分区中两个)。阻止由于一个分区中的处理器故障而产生的假RT以及与GDC 23的故障安全标准的遵从性两者通过以下设计特征来解决。
如图14中示出的,通电致动故障安全设计包括断路器1405;第一至第八开关1411至1418;欠压控制电路1420;不同欠压控制电路1425;分励脱扣控制电路1430;不同分励脱扣控制电路1435;第一分区看门狗定时器控制电路1440;第二分区看门狗定时器控制电路1445;以及第一至第四熔断器1450、1452、1454、1456。断路器1405进一步包括欠压线圈1460和分励脱扣线圈1465。
断路器1405用于控制核电厂的停机。当或者欠压线圈1460断电或者分励脱扣线圈1465通电时,断路器断开,从而移除到核反应堆控制棒的电力。当控制棒失去电力时,其在重力作用下落入反应堆,并且核电厂进入停机模式。
第一开关1411位于第一控制电源与第一节点之间,并且通过手动激活信号控制。
第二开关1412位于第一节点与第二节点之间,并且通过由欠压控制电路1420生成的欠压控制信号控制。
第三开关1413位于第一节点与第二节点之间,与第二开关1412并联,并且通过由不同欠压控制电路1425生成的不同欠压控制信号控制。
第四开关1414位于第一节点与第三节点之间,并且通过由分励脱扣控制电路1430生成的分励脱扣控制信号控制。
第五开关1415位于第一节点与分励脱扣线圈1465之间,并且通过由不同分励脱扣控制电路1435生成的不同分励脱扣控制信号控制。
第六开关1416位于第一节点与分励脱扣线圈1465之间,并且通过手动激活信号控制。
第七开关1417位于第二节点与欠压线圈1460之间,并且通过第一分区看门狗定时器控制电路1440控制。
第八开关1418位于第四节点与第五节点之间,并且通过第二分区看门狗定时器控制电路1445控制。
第一、第二和第三开关1411、1412、1413默认闭合(即,当所述开关控制继电器接收到指示不需要RT的低信号时,其闭合),而第四至第八开关1414、1415、1416、1417、1418全都默认断开(即,当所述开关的控制继电器接收指示不需要RT的低信号时,其断开)。
断路器1405、第一至第七开关1411至1417、欠压控制电路1420、不同欠压控制电路1425、分励脱扣控制电路1430、不同分励脱扣控制电路1435、第一分区看门狗定时器控制电路1440以及第一和第二熔断器1450、1452全都位于第一分区110中。第八开关1418、第二分区看门狗定时器控制电路1445以及第三和第四熔断器1454、1456全都位于第二分区115中。
欠压控制电路1420提供用于控制对第二开关1412的操作的欠压控制信号。欠压控制电路1420是通电致动电路,所述通电致动电路在欠压输出为高时向第二开关1412提供指示需要RT的高信号。
不同欠压控制电路1425提供用于控制对第三开关1413的操作的不同欠压控制信号。不同欠压控制电路1425是通电致动电路,所述通电致动电路在不同欠压输出为高时向第三开关1413提供指示需要RT的高信号。欠压控制信号和不同欠压控制信号是被生成以便经由两个单独的信号路径控制对欠压线圈的操作的相同普通信号。
分励脱扣控制电路1430提供用于控制对第四开关1414的操作的分励脱扣控制信号。分励脱扣控制电路1430是通电致动电路,所述通电致动电路在分励脱扣输出为高时向第四开关1414提供指示需要RT的高信号。
不同分励脱扣控制电路1435提供用于控制对第五关1415的操作的不同分励脱扣控制信号。不同分励脱扣控制电路1435是通电致动电路,所述通电致动电路在不同分励脱扣输出为高时向第五开关1415提供指示需要RT的高信号。分励脱扣控制信号和不同分励脱扣控制信号是被生成以便经由两个单独的信号路径控制对分励脱扣线圈的操作的相同普通信号。
第一分区看门狗定时器控制电路1440提供用于控制对第七开关1417的操作的第一看门狗信号。第一分区看门狗定时器控制电路1440是断电致动电路,所述断电致动电路在第一看门狗定时器输出为低时向第七开关1417提供指示需要RT的低信号。
第二分区看门狗定时器控制电路1445提供用于控制对第八开关1418的操作的第二看门狗信号。第二分区看门狗定时器控制电路1445是断电致动电路,所述断电致动电路在第二看门狗定时器输出为低时向第八开关1418提供指示需要RT的低信号。
继电器1440与触点1417之间的电磁隔离以及继电器1445与触点1418之间的电磁隔离阻止在第一安全分区与第二安全分区之间传播可能以其他方式导致两个分区的故障的共模电气故障。第一至第四熔断器1450、1452、1454、1456用于阻止第七开关1417与第八开关1418之间的过量电流。这阻止在第一与第二安全分区之间传播可能以其他方式导致两个分区的故障的横模电气故障。
欠压线圈1460是经由第一、第二、第三和第七开关1411、1412、1413、1470连接至控制电源的断电致动电路。只要向欠压线圈1460供应电力,其将不致动以便引起电厂停机。然而,一旦将电力从欠压线圈1460移除,其将致动并引起电厂停机。
当发生三种情况之一时,欠压线圈1460可能与控制电源断开(并且由此致动):(1)手动激活信号断开第一开关1411;(2)欠压控制电路1420断开第二开关1412并且不同欠压控制电路1425断开第三开关1413;或者(3)第一分区看门狗定时器控制电路1440断开第七开关1417并且第二分区看门狗定时器控制电路1445断开第八开关1418。
分励脱扣线圈1465是经由第四、第五和第六开关1414、1415、1416连接至控制电源的通电致动电路。只要不向分励脱扣线圈1465供应电力,其将不致动以便引起电厂停机。然而,一旦向分励脱扣线圈1465供应电力,其将致动并引起电厂停机。
通过从每个安全分区110、115中具有冗余电源的两个电源向每个安全分区110、115供电来阻止电力损失。
通电致动信号用于到RTB的欠压(UV)线圈和分励脱扣(ST)线圈的保护动作安全指令信号。这确保在存在RPP故障时,不存在对所述分区中的RTB的假致动。因此,不存在假反应堆停堆。
在2选2配置下组合来自两个分区110、115的RPP的看门狗定时器输出以便经由所有RTB 1405的UV停堆机构使所有RTB停堆。这确保了如果存在两个分区110、115中的RPP的完全故障,则所有RTB 1405将致动以便确保反应堆停堆。尽管每个安全分区未被单独配置用于故障安全操作,但是确保针对两个安全分区的故障的反应堆停堆遵循GDC 23。
如图14中示出的,每个RTB具有ST停堆机构1465和UV停堆机构1460。图14还示出了对接于RPP控制器与ST和UV机构之间的继电器。这些继电器是控制器(例如,DO模块和WDT输出)的不可分割部分。
在正常运行期间,RTB闭合。断路器1405的UV线圈1440通过这两个RPP UV继电器输出(通常断电,通电致动)和这两个RPP看门狗定时器(WDT)输出(通常通电,断电致动)根据电力连续性通电。致动或者这两个UV输出或者这两个WDT输出将移除UV线圈的电力,从而使RTB断开。对于周期性监测测试,可以单独地且成对地致动所有输出。
为了满足RG 1.75和针对电气独立性IEEE-384,分区110、115之间的电路需要解决共模故障和横模故障两者。继电器提供线圈-触点隔离,以便确保共模故障无法在分区之间传播。然而,继电器并不单独地防范横模故障。在不具有电流限制或电流中断的情况下,横模故障引起高电流,这导致过热和(可能地)火灾。所以提供了中断电流以便防止过热的熔断器。双熔断(即,两个分区中的熔断器,比如,熔断器1460、1462、1464、1466)是行业公认方法。
手动反应堆停堆通过直接从主控制室(MCR)开关到RTB的硬接线连接实施。每个RTB存在一个RT。反应堆停堆通过激活任一分区中的两个开关来致动(例如,开关1451和1454)。每个开关为UV线圈电路1440提供常闭触点并为ST线圈电路1450提供常开触点。在开关处于正常/中心位置时,下压开关激活两个触点;向左/向右旋转开关并下压开关仅激活一个触点以便允许单独的UV和ST周期性监测测试。
看门狗定时器电路的操作方法
图15是流程图,示出了根据所公开的实施例的图14的电路的一般操作。如图15中示出的,操作开始于使欠压线圈1460通电(1510)并且使分励脱扣线圈1465断电(1520)。
一旦进行了这种操作,安全系统就执行关于使RTB断开并开始反应堆停机的手动激活是否已经致动的手动检查(1530);执行欠压检查以便判定欠压线圈1460是否已经致动,从而引起RTB断开以及开始反应堆停机(1540);执行分励脱扣检查以便判定分励脱扣线圈1465是否已经致动,从而引起RTB断开以及开始反应堆停机(1550);并且执行看门狗定时器检查以便判定第一和第二分区110、115两者中的看门狗定时器控制信号是否已经激活,从而引起RTB断开以及开始反应堆停机。这些检查操作(1530、1540、1550、1560)在系统运行期间重复执行。
尽管图15示出了对手动检查的执行(1530)、对欠压检查的执行(1540)、对分励脱扣检查的执行(1550)以及对看门狗定时器检查的执行(1560)是连续执行的,但是这些操作通常并行地执行。因此,不应当基于图15中示出的这些操作的顺序采取特定顺序,并且这些操作可以并行地执行。
图16是流程图,示出了根据所公开的实施例的图15的执行手动检查(1530)的操作。如图16中示出的,操作开始于接收手动RT信号(1610)。此手动RT信号可以或者指示不需要RT(手动按钮未通电),或者其可以指示需要RT(手动按钮通电)。
因此,然后,系统判定手动按钮是否通电,从而指示需要RT(1620)。
如果手动按钮未通电,则在不采取任何进一步动作的情况下,处理继续。然而,如果手动按钮通电,则系统使欠压线圈断电(1630),从而使RTB断开并引起核反应堆停机。然后,处理结束(1640)。
在替代性实施例中,还有可能的是,当手动按钮通电时,其将在其使欠压线圈断电的同时使分励脱扣线圈通电。这提供了将发生系统停机的更高安全性。
图17是流程图,示出了根据所公开的实施例的图15的执行欠压检查(1540)的操作。如图17中示出的,操作开始于接收欠压输出信号和不同欠压输出信号两者(1710)。这两个信号是相同的普通信号,但是沿着不同信号路径处理。
然后,系统判定欠压输出和不同欠压输出两者是否都通电,即,其两者是否都指示应当使欠压线圈断电(1720)。
如果欠压输出信号和不同欠压输出信号中的一者或两者未通电,则在不采取任何进一步动作的情况下,处理继续。
然而,如果欠压输出和不同欠压输出通电,则系统使欠压线圈断电,从而断开RTB并开始核反应堆停机(1730)。然后,处理结束(1640)。
图18是流程图,示出了根据所公开的实施例的图15的执行分励脱扣检查(1550)的操作。如图18中示出的,操作开始于接收分励脱扣输出信号和不同分励脱扣输出信号两者(1810)。这两个信号是相同的普通信号,但是沿着不同信号路径处理。
然后,系统判定分励脱扣输出和不同分励脱扣输出两者是否都通电,即,其两者是否都指示应当使分励脱扣线圈通电(1820)。
如果分励脱扣输出信号和不同分励脱扣输出信号中的一者或两者未通电,则在不采取任何进一步动作的情况下,处理继续。
然而,如果分励脱扣输出和不同分励脱扣输出通电,则系统使分励脱扣线圈通电,从而断开RTB并开始核反应堆停机(1830)。然后,处理结束(1640)。
图19是流程图,示出了根据所公开的实施例的图15的执行看门狗定时器检查(1560)的操作。如图19中示出的,操作开始于既从第一分区110接收第一看门狗定时器信号又从第二分区115接收第二看门狗定时器信号(1910)。
然后,系统判定第一看门狗定时器信号和第二看门狗定时器信号两者是否都断电,即,其两者是否都指示应当使欠压线圈断电(1920)。
如果第一看门狗定时器信号和第二看门狗定时器信号中的一者或两者未断电,则在不采取任何进一步动作的情况下,处理继续。
然而,如果第一看门狗定时器信号和第二看门狗定时器信号断电,则系统使欠压线圈断电,从而断开RTB并开始核反应堆停机(1930)。然后,处理结束(1640)。
结论
总而言之,对于每个保护动作,第1级表决逻辑固有地从不具有部分停堆信号故障的2oo4转换为2oo3,然后转换为2oo2(随着与所述功能相关联的部分停堆信号故障增加)。可能由于测量通道故障或由于不能从另一个分区接收部分停堆信号(由于链路故障)而发生部分停堆信号故障。
因为第2级保护动作安全指令表决是1oo2,所以任一分区110、115自身可以实现所需保护动作。因此,只要可以基于来自每个对应安全分区内的测量通道满足表决,任一安全分区内的2oo2和1oo1第1级表决状态就仍允许系统满足单一故障要求。换言之,如果任一安全分区仍可以仅基于来自其自身分区内的(多个)测量通道提供保护动作安全指令,则保护动作可以在单一故障准则遵从性的情况下实现。
每个安全分区中的增强型表决逻辑允许电厂操作员启动对第1级表决逻辑的重新配置以便将系统保持在单一故障准则遵从性内(对于任何测量通道或数据链路故障),并且由此清除任何LCO状况。虽然可以将这种重新配置自动化,但是手动重新配置让电厂有能力在重新配置使电厂处于可能更易受假致动的影响(如果发生附加故障)的状态之前恢复不可操作设备。
在每个分区中对使用2oo2逻辑来组合的输出进行的并行不同信号处理减小了来自单个安全分区的假致动的可能性。这种可能性通过通电致动RT设计得以进一步减小,所述通电致动RT设计通过对看门狗定时器的独特配置遵循GDC 23的故障安全标准。
本公开旨在解释如何设计并使用根据本发明的各个实施例,而不旨在限制本发明的真实的、预期的和合理的范围和精神。前述描述不旨在是详尽的或将本发明限制于所公开的精确形式。鉴于以上教导,修改和变化是可能的。对(多个)实施例进行了选择和描述以便提供对本发明的原理及其实际应用的最佳展示,并且使本领域的技术人员能够利用在各个实施例中且连同如适合于所设想的特定用途的各种修改利用本发明。在根据公平、合法和合理授权的范围来解释所有这种修改和变化时,所述修改和变化处于本发明的如由如可在本专利申请未决期间进行修改的所附权利要求书及所有等同物确定的范围内。以上描述的各种电路可以在如实施方式所期望的离散电路或集成电路中实施。

Claims (17)

1.一种用于核电厂的安全系统,该安全系统包括:
第一组安全传感器,该第一组安全传感器包括分别提供第一多个传感器信号的第一多个传感器;
第二组安全传感器,该第二组安全传感器包括分别提供第二多个传感器信号的第二多个传感器;
第三组安全传感器,该第三组安全传感器包括分别提供第三多个传感器信号的第三多个传感器;
第四组安全传感器,该第四组安全传感器包括分别提供第四多个传感器信号的第四多个传感器;
第一分区,该第一分区包括:
第一计算模块,该第一计算模块被配置用于基于所述第一和第二多个传感器信号确定第一和第二计算结果;
第一数据共享模块,该第一数据共享模块被配置用于与第二分区共享所述第一和第二计算结果;以及
第一增强型表决逻辑,该第一增强型表决逻辑被配置用于基于所述第一和第二计算结果以及第三和第四计算结果生成第一安全指令信号;以及
所述第二分区,该第二分区包括:
第二计算模块,该第二计算模块被配置用于基于所述第三和第四多个传感器信号确定所述第三和第四计算结果;
第二数据共享模块,该第二数据共享模块被配置用于与所述第一分区共享所述第三和第四计算结果;以及
第二增强型表决逻辑,该第二增强型表决逻辑被配置用于基于所述第一、第二、第三和第四计算结果生成第二安全指令信号;
其中,所述第一、第二、第三和第四多个传感器各自监测相同的电厂参数。
2.如权利要求1所述的安全系统,进一步包括:
光学通信系统,该光学通信系统连接在所述第一与第二数据共享模块之间,所述光学通信系统被配置为用于向所述第二分区传递所述第一和第二计算结果,并且用于向所述第一分区传递所述第三和第四计算结果。
3.如权利要求1所述的安全系统,其中:
所述第一、第二、第三和第四计算结果各自指示在所述核电厂中是否应当采取特定安全相关动作。
4.如权利要求1所述的安全系统,其中:
所述第一增强型表决逻辑被进一步配置为用于通过关于所述第一、第二、第三和第四计算结果信号使用四选二表决来生成所述第一安全指令信号。
5.如权利要求1所述的安全系统,其中:
所述第二增强型表决逻辑被进一步配置为用于通过关于所述第一、第二、第三和第四计算结果信号使用四选二表决来生成所述第二安全指令信号。
6.如权利要求4所述的安全系统,其中:
所述第一增强型表决逻辑被进一步配置为用于通过关于所述第一、第二、第三和第四数据信号使用B选A表决来生成所述第一安全指令信号,
B是所述第一、第二、第三和第四计算结果信号当中的可用信号的总数,并且
A是等于或小于B的整数。
7.如权利要求5所述的安全系统,其中:
所述第二增强型表决逻辑被进一步配置为用于通过关于所述第一、第二、第三和第四数据信号使用D选C表决来生成所述第二安全指令信号,
D是所述第一、第二、第三和第四数据信号当中的可用信号的总数,并且
C是等于或小于D的整数。
8.如权利要求4所述的安全系统,其中:
所述第一增强型表决逻辑被进一步配置为使得其可以被设置用于通过在基于所述第一或第二计算结果之一的一选一表决的第一结果与基于关于所述第一、第二、第三和第四计算结果中的三个计算结果的三选二表决的第二结果之间使用二选一表决来生成所述第一安全指令信号。
9.如权利要求5所述的安全系统,其中:
所述第一增强型表决逻辑被进一步配置为使得其可以被设置用于通过在基于所述第一和第二计算结果之一的一选一表决的第一结果与基于关于所述第一、第二、第三和第四计算结果中的两个计算结果的二选二表决的第二结果之间使用二选一表决来生成所述第一安全指令信号。
10.一种生成核电厂的安全指令信号的方法,所述方法包括:
在第一分区处接收多个第一和第二传感器信号;
在第二分区处接收多个第三和第四传感器信号;
基于所述第一和第二传感器信号生成第一和第二数据信号;
基于所述第三和第四传感器信号生成第三和第四数据信号;
将所述第一和第二数据信号从所述第一分区发送到所述第二分区;
将所述第三和第四数据信号从所述第二分区发送到所述第一分区;
确定所述第一、第二、第三或第四传感器信号中的任一传感器信号是错误的或者对所述第三和第四数据信号的所述接收是错误的;
输入运行限制条件;
基于所述确定所述第一、第二、第三或第四传感器信号中的任一传感器信号是错误的或者对所述第三和第四数据信号的所述发送是错误的来改变所述第一分区中的表决逻辑;
基于所述经改变的表决逻辑和所述第一、第二、第三和第四数据信号中的至少两个数据信号生成第一安全指令;以及
结束所述运行限制条件。
11.如权利要求10所述的方法,其中,
对所述第一和第二数据信号的所述发送和对所述第三和第四数据信号的所述发送是使用光学通信系统来执行的。
12.如权利要求10所述的方法,其中,
所述第一、第二、第三和第四数据信号各自指示在所述核电厂中是否应当采取特定安全相关动作。
13.如权利要求12所述的方法,其中,
当存在非保守信号故障时,所述经改变的表决逻辑是关于所述第一、第二、第三和第四数据信号的三选二表决。
14.如权利要求12所述的方法,其中,
所述经改变的表决逻辑是关于所述第一、第二、第三和第四数据信号的B选A表决,
B是所述第一、第二、第三和第四计算结果信号当中的可用数据信号的总数,并且
A是等于或小于B的整数。
15.如权利要求10所述的方法,进一步包括:
基于所述第一、第二、第三和第四数据信号中的至少两个数据信号生成第二安全指令;以及
通过使用基于所述第一和第二安全指令的二选一表决来生成安全指令信号。
16.如权利要求10所述的方法,其中,
对所述第一安全指令信号的所述生成是通过在基于所述第一和第二计算结果信号之一的一选一表决的第一结果与基于关于所述第一、第二、第三和第四计算结果信号中的三个计算结果信号的三选二表决的第二结果之间使用二选一表决来执行的。
17.如权利要求10所述的方法,其中,
对所述第一安全指令信号的所述生成是通过在基于所述第一和第二计算结果信号之一的一选一表决的第一结果与关于所述第一、第二、第三和第四计算结果信号中的两个计算结果信号的二选二表决的第二结果之间使用二选一表决来执行的。
CN201680018603.1A 2015-03-27 2016-03-24 一种用于核电厂的安全系统及其操作方法 Pending CN107484430A (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US14/671,172 US9997265B2 (en) 2015-03-27 2015-03-27 Safety system for a nuclear power plant and method for operating the same
US14/671,172 2015-03-27
PCT/US2016/023933 WO2016160492A1 (en) 2015-03-27 2016-03-24 Safety system for a nuclear power plant and method for operating the same

Publications (1)

Publication Number Publication Date
CN107484430A true CN107484430A (zh) 2017-12-15

Family

ID=56974277

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201680018603.1A Pending CN107484430A (zh) 2015-03-27 2016-03-24 一种用于核电厂的安全系统及其操作方法

Country Status (5)

Country Link
US (2) US9997265B2 (zh)
EP (1) EP3274997A4 (zh)
CN (1) CN107484430A (zh)
CA (1) CA2981047A1 (zh)
WO (1) WO2016160492A1 (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109946957A (zh) * 2019-03-29 2019-06-28 江苏核电有限公司 一种装卸料重量保护装置
CN110444305A (zh) * 2019-08-13 2019-11-12 中国核动力研究设计院 一种优化的数字化反应堆保护系统
CN111508620A (zh) * 2020-04-30 2020-08-07 中国核动力研究设计院 一种反应堆机动性自调节方法

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101992299B1 (ko) 2017-05-15 2019-06-25 두산중공업 주식회사 원자력 발전소 디지털 보호계통
CN110085333B (zh) * 2019-04-15 2020-12-04 中广核研究院有限公司 一种适用于小型反应堆的保护系统
CN110085340B (zh) * 2019-04-22 2020-11-06 中国核电工程有限公司 一种核电厂支持系统不可用时的执行方法
US11289893B2 (en) * 2019-12-18 2022-03-29 Semiconductor Components Industries, Llc Devices, systems and methods for avoiding fault propagation in safety systems
CN111292862B (zh) * 2020-03-27 2021-12-17 江苏核电有限公司 基于核电厂安全重要仪表信号状态的反应堆紧急停堆方法
CN112415985B (zh) * 2020-11-30 2022-01-18 中广核工程有限公司 核电站闸门与主控通讯验证装置、方法及其相关设备
CN113421670B (zh) * 2021-06-18 2022-05-13 中国核动力研究设计院 一种核电厂事故规程定量化分析方法及系统
WO2023100275A1 (ja) * 2021-12-01 2023-06-08 三菱電機株式会社 安全保護装置

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4843537A (en) * 1986-07-04 1989-06-27 Hitachi, Ltd. Control system
CN1222239A (zh) * 1996-06-20 1999-07-07 燃烧工程有限公司 自动自测试系统
CN1292146A (zh) * 1998-02-25 2001-04-18 Ce核电力有限公司 反应堆保护系统的双光通信网
US20030212498A1 (en) * 2002-05-13 2003-11-13 Kramb Kevin E. Modular monitoring and protection system with distributed voting logic
CN1536457A (zh) * 2003-04-08 2004-10-13 ����-��˹â��ϵͳ�ɷ����޹�˾ 过程控制系统中包括运行与维护覆盖的表决逻辑块
CN101048755A (zh) * 2004-10-25 2007-10-03 罗伯特·博世有限公司 在具有至少两个处理单元的计算机系统中进行模式转换和信号比较的方法和设备
CN102096401A (zh) * 2010-12-22 2011-06-15 北京昊图科技有限公司 基于现场总线和arm处理器的冗余容错安全仪表系统
CN102217004A (zh) * 2008-10-22 2011-10-12 韩国电力技术株式会社 使用现场可编程门阵列的工厂保护系统和方法
CN104408312A (zh) * 2014-11-27 2015-03-11 北京广利核系统工程有限公司 一种核电站系统误动率计算方法

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5291190A (en) 1991-03-28 1994-03-01 Combustion Engineering, Inc. Operator interface for plant component control system
US5586156A (en) * 1995-07-14 1996-12-17 General Electric Company Reactor protection system with automatic self-testing and diagnostic
US6532550B1 (en) * 2000-02-10 2003-03-11 Westinghouse Electric Company Llc Process protection system
US20130315362A1 (en) 2012-05-25 2013-11-28 Institute Of Nuclear Energy Research Atomic Energy Council, Executive Yuan Nuclear digital instrumentation and control system
US11017907B2 (en) * 2013-12-31 2021-05-25 Nuscale Power, Llc Nuclear reactor protection systems and methods

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4843537A (en) * 1986-07-04 1989-06-27 Hitachi, Ltd. Control system
CN1222239A (zh) * 1996-06-20 1999-07-07 燃烧工程有限公司 自动自测试系统
CN1292146A (zh) * 1998-02-25 2001-04-18 Ce核电力有限公司 反应堆保护系统的双光通信网
US20030212498A1 (en) * 2002-05-13 2003-11-13 Kramb Kevin E. Modular monitoring and protection system with distributed voting logic
CN1536457A (zh) * 2003-04-08 2004-10-13 ����-��˹â��ϵͳ�ɷ����޹�˾ 过程控制系统中包括运行与维护覆盖的表决逻辑块
CN101048755A (zh) * 2004-10-25 2007-10-03 罗伯特·博世有限公司 在具有至少两个处理单元的计算机系统中进行模式转换和信号比较的方法和设备
CN102217004A (zh) * 2008-10-22 2011-10-12 韩国电力技术株式会社 使用现场可编程门阵列的工厂保护系统和方法
CN102096401A (zh) * 2010-12-22 2011-06-15 北京昊图科技有限公司 基于现场总线和arm处理器的冗余容错安全仪表系统
CN104408312A (zh) * 2014-11-27 2015-03-11 北京广利核系统工程有限公司 一种核电站系统误动率计算方法

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109946957A (zh) * 2019-03-29 2019-06-28 江苏核电有限公司 一种装卸料重量保护装置
CN110444305A (zh) * 2019-08-13 2019-11-12 中国核动力研究设计院 一种优化的数字化反应堆保护系统
CN110444305B (zh) * 2019-08-13 2022-09-13 中国核动力研究设计院 一种优化的数字化反应堆保护系统
CN111508620A (zh) * 2020-04-30 2020-08-07 中国核动力研究设计院 一种反应堆机动性自调节方法
CN111508620B (zh) * 2020-04-30 2023-03-24 中国核动力研究设计院 一种反应堆机动性自调节方法

Also Published As

Publication number Publication date
WO2016160492A1 (en) 2016-10-06
CA2981047A1 (en) 2016-10-06
US20160284429A1 (en) 2016-09-29
EP3274997A1 (en) 2018-01-31
EP3274997A4 (en) 2018-11-21
US20180211734A1 (en) 2018-07-26
US9997265B2 (en) 2018-06-12

Similar Documents

Publication Publication Date Title
CN107484430A (zh) 一种用于核电厂的安全系统及其操作方法
KR102514568B1 (ko) 핵 반응기 보호 시스템 및 방법
JP7203154B2 (ja) 原子炉保護システムとこれを動作させる方法
KR100980043B1 (ko) Fpga를 이용한 발전소 보호 시스템 및 보호 방법
US6532550B1 (en) Process protection system
KR100808787B1 (ko) 발전소 보호 시스템
KR100848881B1 (ko) 디지털 원자로 보호 시스템
CN102841828A (zh) 逻辑电路中的故障检测和减轻
US20180330837A1 (en) Digital protection system for nuclear power plant
Varga et al. A concept for on-line testing of distributed safety-critical supervisory systems
BR102017026123A2 (pt) Sistema de proteção digital para usina nuclear
Chao et al. Ageing research for upgrades using digital I and C systems of nuclear power plant

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
WD01 Invention patent application deemed withdrawn after publication
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20171215