DE2636352A1 - Schutzsystem, insbesondere fuer einen kernreaktor - Google Patents

Schutzsystem, insbesondere fuer einen kernreaktor

Info

Publication number
DE2636352A1
DE2636352A1 DE19762636352 DE2636352A DE2636352A1 DE 2636352 A1 DE2636352 A1 DE 2636352A1 DE 19762636352 DE19762636352 DE 19762636352 DE 2636352 A DE2636352 A DE 2636352A DE 2636352 A1 DE2636352 A1 DE 2636352A1
Authority
DE
Germany
Prior art keywords
computer
protection system
computers
line
readings
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE19762636352
Other languages
English (en)
Other versions
DE2636352B2 (de
DE2636352C3 (de
Inventor
Uwe Dipl Phys Mertens
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Kraftwerk Union AG
Original Assignee
Kraftwerk Union AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Kraftwerk Union AG filed Critical Kraftwerk Union AG
Priority to DE19762636352 priority Critical patent/DE2636352C3/de
Publication of DE2636352A1 publication Critical patent/DE2636352A1/de
Publication of DE2636352B2 publication Critical patent/DE2636352B2/de
Application granted granted Critical
Publication of DE2636352C3 publication Critical patent/DE2636352C3/de
Expired legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • G06F11/1641Error detection by comparing the output of redundant processing systems where the comparison is not performed by the redundant processing components
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • G06F11/0754Error or fault detection not based on redundancy by exceeding limits
    • G06F11/0757Error or fault detection not based on redundancy by exceeding limits by exceeding a time limit, i.e. time-out, e.g. watchdogs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1675Temporal synchronisation or re-synchronisation of redundant processing components
    • G06F11/1679Temporal synchronisation or re-synchronisation of redundant processing components at clock signal level

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Monitoring And Testing Of Nuclear Reactors (AREA)

Description

  • Schutzsystem, insbesondere für einen Kernreaktor
  • Die Erfindung betrifft ein Schutzsystem, insbesondere für einen Kernreaktor, mit einem Rechner zur Verarbeitung von Prozeßdaten.
  • Aus der deutschen Offenlegungsschrift 22 o6 234 ist ein Druckwasserreaktor bekannt, bei dem ein Rechner aus Daten des Primärkreises, zum Beispiel aus dem Neutronenfluß und der Drehzahl der Hauptkühlmittelpumpe und einer Meßeinrichtung für den Druck des Primärkühlmittels eine Modellnachbildung des Reaktorkerns versorgt. Im Modell soll der Zustand im Reaktorkern simuliert werden, soweit er für die Beurteilung des Filmsiedegrenzwertes notwendig ist. Bei dieser Anordnung ist Jedoch offenbar vorausgesetzt, daß der Rechner entweder genügend zuverlässig ist, so daß sein Versagen ausgeschlossen ist, oder daß durch die Ausbildung des Rechners selbst, des Rechnerprogramms oder andere Mittel dafür gesorgt ist, daß ein Versagen des Rechners nicht zu unzulässigen Störungen führen kann. Gerade dieses Problem liegt aber der vorliegenden Erfindung zugrunde, denn es soll die Aufgabe gelöst werden, Rechner, d.h. aus elektronischen Bauteilen, insbesondere Halbleiterelementen, zusammengesetzte elektrische Rechenbauwerke, für den Schutz von Kernreaktoren oder ähnlich wichtigen Anlagen einzusetzen, wobei ein Ausfall unzulässig ist, mindestens aber mit der größten denkbaren Schnelligkeit erkannt werden muß.
  • Zur Lösung der vorgenannten Aufgabe ist erfindungsgemäß dem Rechner Uber einen Taktgeber ein zweiter Rechner mit gleichem Programm parallelgeschaltet und die beiden Rechner sind mit einer Vergleichseinrichtung verbunden, die bei einer Abweichung ein Signal gibt.
  • Durch den zweiten Rechner, der vorzugsweise zusammen mit dem ersten Rechner an einen gemeinsamen Eingabebaustein angeschlossen ist, wird der Rechenvorgang in völlig gleicher Weise parallel durchgeführt, so daß aus einem übereinstimmenden Ergebnis auf das fehlerfreie Funktionieren geschlossen werden kann, wenn man von dem äußerst unwahrscheinlichen Fall gleichzeitiger und gleicher Fehler absieht. Ein Fehler normaler Art macht sich durch ein Abweichen der Rechnerergebnisse bemerkbar, und zwar unverzögert, so daß sofort ein Signal die Unstimmigkeit anzeigen kann. Der dafUr notwendige Aufwand ist bei Verwendung von Kleinrechnern (Mikroprozessoren) relativ gering.
  • Der Taktgeber sorgt für die erforderliche Synchronisation, so daß auch bei schnellen Signalwechseln (etwa 10 MHz) und bei einer gegebenenfalls gewünschten räumlichen Trennung kein Auseinanderlaufen der Rechner zu befürchten ist. Dieser Taktgeber kann auch die Vergleichseinrichtung steuern, die vorzugsweise Daten- und Adreßbusse zwischen Steuerwerk und Speicher oder Peripherie mit einer Exklusiv-Oder-Schaltung verknüpft. Bei einem positiven Vergleichsergebnis wird die Weiterleitung eines Taktes erlaubt, der zu einer geeigneten Signaleinrichtung führt.
  • Die beiden Rechner und die Vergleichseinrichtung können mit einer Kette von Und-Gliedern verbunden sein, an die die Signaleinrichtung angeschlossen-ist. An die gleiche Kette kann zusätzlich einer der Rechner über ein Zeitglied angeschlossen sein, das eine Zeitüberwachung erlaubt. Vorzugsweise ist das Zeitglied an einen Ausgabebaustein des Rechners angeschlossen.
  • Zur näheren Erläuterung der Erfindung wird anhand der beilie- genden Zeichnung ein Ausführungsbeispiel beschrieben, das in Form eines Blockschaltbildes ausgeführt ist. Der überwachte Kernreaktor kann in bekannter Weise ein Druckwasserreaktor sein, wie dies in der eingangs genannten deutschen Offenlegungsschrift 22 06 234 beschrieben ist. Die Erfindung kommt aber auch für andere Anwendungsfälle, zum Beispiel in der chemischen Industrie oder bei der sogenannten konventionellen Energieerzeugung in Frage, wo ähnliche Verhältnisse vorliegen.
  • Die Prozeßdaten kommen über eine Leitung 1, die dem Datenfluß entsprechend mehradrig ausgeführt sein kann, wenn man nicht auf ein Zeitmultiplexsystem zurückgreifen will. In einem Eingabebaustein 2 werden die Eingangssignale, zum Beispiel Druck und Temperatur des Primärkühlmittels, Drehzahl der Hauptkühlmittelpumpen, Neutronenflußdichte usw. in für einen Rechner geeignete Werte umgesetzt. Dabei wird es sich 1. um eine Analog-Digital-Umwandlung handeln, 2. kann der Signalpegel den für Rechner benötigten Werten angepaßt werden.
  • An den Eingabebaustein sind zwei gleiche Rechner 3 und 4 über Leitungen 5 und 6 in Parallelschaltung" angeschlossen. Die Rechner sind gleich ausgebildet. Es handelt sich vorzugsweise um Mikroprozessoren, die auf einem Halbleiterkristall integriert sind (z.B."INTEL 8080") oder die aus mehreren 2-Bit-breiten Verarbeitungselementen zusammengesetzt sind (z.B. "INTEL 3000"), mit einem Speicher von 32 000 bytes. Die Speicher können zum Beispiel in Form von Ringkernen, aber auch als Halbleiterspeicher ausgeführt sein.
  • Die Rechner 3 und 4 sind zusätzlich über einen Taktgeber 7 miteinander verbunden. Der Taktgeber ist im wesentlichen ein Oszillator mit einer Frequenz von zum Beispiel 10 MHz. Er sorgz dafür, daß die Rechner 3 und 4 im Rahmen ihrer unvermeidlichen Frequenztoleranzen nicht auseinanderlaufen können.
  • Die Ergebnisse der Rechner 3 und 4 werden über Leitungen 8 und 9 in eine Vergleichseinrichtung 10 eingespeist, die über eine Leitung 11 noch mit dem Taktgeber 7 verbunden ist. Die Ver- gleichseinrichtung 10 umfaßt Exklusiv-Oder-Schaltungen, die die Daten- und Adreßbusse zwischen Steuerwerk und Speicher der Rechner 3 und 4 verknüpfen. Unter Umständen kann die Verknüpfung auch zwischen Steuerwerk und Peripherie vorgenommen werden. Daraus wird bei Übereinstimmung ein gegebenenfalls vom Taktgeber 7 stammendes Signal gewonnen, das über eine Leitung 12 aus der Vergleichseinrichtung 10 geführt wird.
  • Die Leitung 12 führt zu einer Kette 13 von Und-Gliedern, die über eine Leitung 14 mit einem Prüftaktsignal beaufschlagt wird.
  • Eine erste Und-Schaltung 15 ist dabei über eine Leitung 16 an den Rechner 4 angeschlossen. Mit ihr ist eine zweite Und-Schaltung 17 in Reihe geschaltet, an die die Leitung 12 geführt ist. Eine dritte Und-Schaltung 18 ist über eine Leitung 19 mit dem Rechner 3 verbunden. Ihr ist eine Und-Schaltung 20 nachgeschaltet, die über eine Leitung 21 ein Signal erhält. Der Ausgang 22 der Kette 13 führt zu einem Signalgeber 23, der für den Fall eines fehlenden Signals meldet, daß eine Störung in dem mit dem Rechner 3 ausgeführten Schutzsystem und zwar im Bereich der Rechner 3 oder 4 vorliegt. Der Signalgeber 23 liegt außerhalb des durch eine strichpunktierte Gerade angedeuteten Rechnerbereichs zum Beispiel in einer Warte.
  • Die Leitung 21 kommt von einem Zeitglied 24, das seinerseits über eine Leitung 25 mit einem Ausgabebaustein 26 des Rechners 3 verbunden ist. Der Ausgabebaustein hat die Aufgabe, aus den vo Ausgang 27 des Rechners 3 stammenden Signalen Ausgangssignale, zum Beispiel Spannungen bestimmter Höhe und/oder Frequenz zu liefern, die für die Anregung eines an eine Leitung 28 angeschlossenen Schutzsystems geeignet sind. Über die Leitung 25 werden Ausgangssignale zum Zeitglied 24 auf die Und-Stufe 20 der Kette 13 gegeben, so daß damit eine Überwachung des Zeitverhaltens des Taktgebers 7 und des in den Rechnern 3 und 4 befindlichen Programmsystems erreicht wird.
  • An die Ausgangsleitung 28 ist eine Rückkopplungsleitung 29 an- geschlossen, die zum Eingabebaustein 2 führt. Mit dieser Leitung kann eine Überwachung des Eingabebausteins 2 und des Ausgabebausteins 26 erhalten werden, wenn in bekannter Weise durch eine Speicherung die für den Ausgang des Rechners 3 maßgeblichen Eingangswerte gesichert sind.
  • Die Leitung 28 führt zu einem Auswertungsbaustein 30, der, wie die Pfeile 31, 32 und 33 andeuten, mit drei weiteren Rechnersystemen verbunden ist. Dort wird eine Auswertung nach dem 2-von-4-Prinzip vorgenommen, bevor über die Ausgangsleitung 34 in die Steuerung des Reaktors eingegriffen wird, zum Beispiel dadurch, daß durch das Einfahren von Steuerstäben eine Abschaltung des Druckwasserreaktors erfolgt.
  • 6 Patentansprüche 1 Figur

Claims (6)

  1. Patentanspriiche 1. Schutzsystem, insbesondere fUr einen Kernreaktor, mit einem Rechner zur Verarbeitung von Prozeßdaten, dadurch gekennzeichnet, daß dem Rechner (3) über einen Taktgeber (7) ein zweiter Rechner (4) mit gleichem Programm parallelgeschaltet ist und daß die beiden Rechner (3, 4) mit einer Vergleichseinrichtung (10) verbunden sind, die bei einer Abweichung ein Signal gibt.
  2. 2. Schutzsystem nach Anspruch 1, dadurch gekennzeichnet, daß die Vergleichseinrichtung (10) mit dem Taktgeber (7) gekoppelt ist.
  3. 3. Schutzsystem nach Anspruch 1 oder 2, dadurch gekennzeichnet, daß die beiden Rechner (3,4) und die Vergleichseinrichtung (10) mit einer Kette (13) von Und-Gliedern (15, 17, 18, 20) verbunden sind, an die die Signaleinrichtung (23) angeschlossen ist.
  4. 4. Schutzsystem nach Anspruch 3, dadurch gekennzeichnet, daß einer der Rechner (3,4) über ein Zeitglied (24) mit der Kette (13) von Und-Gliedern verbunden ist.
  5. 5. Schutzsystem nach Anspruch 4, dadurch gekennzeichnet, daß das Zeitglied (24) an einen Ausgabebaustein (26) des Rechners (3) angeschlossen ist.
  6. 6. Schutzsystem nach einem der Ansprüche 1 bis 5, dadurch gekennzeichnet, daß beide Rechner (3,4) an den gleichen Eingabebaustein (2) angeschlossen sind.
DE19762636352 1976-08-12 1976-08-12 Schutzsystem für einen Kernreaktor Expired DE2636352C3 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE19762636352 DE2636352C3 (de) 1976-08-12 1976-08-12 Schutzsystem für einen Kernreaktor

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE19762636352 DE2636352C3 (de) 1976-08-12 1976-08-12 Schutzsystem für einen Kernreaktor

Publications (3)

Publication Number Publication Date
DE2636352A1 true DE2636352A1 (de) 1978-02-16
DE2636352B2 DE2636352B2 (de) 1979-04-05
DE2636352C3 DE2636352C3 (de) 1979-12-20

Family

ID=5985328

Family Applications (1)

Application Number Title Priority Date Filing Date
DE19762636352 Expired DE2636352C3 (de) 1976-08-12 1976-08-12 Schutzsystem für einen Kernreaktor

Country Status (1)

Country Link
DE (1) DE2636352C3 (de)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2319160A1 (fr) * 1975-07-25 1977-02-18 Atomic Energy Authority Uk Systeme de traitement de donnees pour la commande d'operations industrielles
EP0033436A1 (de) * 1980-01-30 1981-08-12 Siemens Aktiengesellschaft Zweikanalige Datenverarbeitungsanordnung für Eisenbahnsicherungszwecke
EP0048972A2 (de) * 1980-09-30 1982-04-07 Computer Gesellschaft Konstanz Mbh Datenverarbeitungsanlage mit zwei Verarbeitungseinheiten
FR2512978A1 (fr) * 1981-09-14 1983-03-18 United Technologies Corp Circuit de rythme controleur de sequence
DE3344320A1 (de) * 1982-12-14 1984-06-14 General Electric Co., Schenectady, N.Y. Universelle karte fuer ein kernreaktorschutzsystem
EP0148995A2 (de) * 1983-09-12 1985-07-24 Siemens Aktiengesellschaft Schaltungsanordnung zum Prüfen des ordnungsgerechten Anlaufens eines zweikanaligen Fail-Safe-Mikrocomputerschaltwerkes, insbesondere für Eisenbahnsicherungsanlagen
WO1988005572A2 (en) * 1987-01-16 1988-07-28 Stratus Computer, Inc. Method and apparatus for digital logic synchronism monitoring
US4772445A (en) * 1985-12-23 1988-09-20 Electric Power Research Institute System for determining DC drift and noise level using parity-space validation

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2319160A1 (fr) * 1975-07-25 1977-02-18 Atomic Energy Authority Uk Systeme de traitement de donnees pour la commande d'operations industrielles
EP0033436A1 (de) * 1980-01-30 1981-08-12 Siemens Aktiengesellschaft Zweikanalige Datenverarbeitungsanordnung für Eisenbahnsicherungszwecke
EP0033436B1 (de) * 1980-01-30 1983-04-20 Siemens Aktiengesellschaft Zweikanalige Datenverarbeitungsanordnung für Eisenbahnsicherungszwecke
EP0048972A2 (de) * 1980-09-30 1982-04-07 Computer Gesellschaft Konstanz Mbh Datenverarbeitungsanlage mit zwei Verarbeitungseinheiten
EP0048972A3 (de) * 1980-09-30 1984-05-23 Computer Gesellschaft Konstanz Mbh Datenverarbeitungsanlage mit zwei Verarbeitungseinheiten
FR2512978A1 (fr) * 1981-09-14 1983-03-18 United Technologies Corp Circuit de rythme controleur de sequence
DE3344320A1 (de) * 1982-12-14 1984-06-14 General Electric Co., Schenectady, N.Y. Universelle karte fuer ein kernreaktorschutzsystem
EP0148995A2 (de) * 1983-09-12 1985-07-24 Siemens Aktiengesellschaft Schaltungsanordnung zum Prüfen des ordnungsgerechten Anlaufens eines zweikanaligen Fail-Safe-Mikrocomputerschaltwerkes, insbesondere für Eisenbahnsicherungsanlagen
EP0148995A3 (en) * 1983-09-12 1987-09-30 Siemens Aktiengesellschaft Berlin Und Munchen Circuit arrangement for the verification of the in-sequence start-up of a dual-channel fail-safe microcomputer sequential logic system, in particular for railway security equipment
US4772445A (en) * 1985-12-23 1988-09-20 Electric Power Research Institute System for determining DC drift and noise level using parity-space validation
WO1988005572A2 (en) * 1987-01-16 1988-07-28 Stratus Computer, Inc. Method and apparatus for digital logic synchronism monitoring
WO1988005572A3 (en) * 1987-01-16 1988-08-11 Stratus Computer Inc Method and apparatus for digital logic synchronism monitoring

Also Published As

Publication number Publication date
DE2636352B2 (de) 1979-04-05
DE2636352C3 (de) 1979-12-20

Similar Documents

Publication Publication Date Title
DE2549467C2 (de) Verfahren zur Bestimmung der Fehlfunktion in einem elektrischen Geräte
DE2946081C3 (de) Schaltungsanordnung zur Überwachung der Funktion eines Mikroprozessors
DE69816818T2 (de) Mehrheitsentscheidungsvorrichtung und entsprechendes verfahren
DE19531653A1 (de) Einchip-Mikroprozessor mit eingebauter Selbsttestfunktion
DE4220723A1 (de) Schaltkreis und verfahren zum detektieren eines fehlers in einem mikrocomputer
DD230948A1 (de) Schaltungsanordnung zur ueberwachung eines mikroprozessors
DE2636352A1 (de) Schutzsystem, insbesondere fuer einen kernreaktor
DE10035174A1 (de) Peripheriebaustein mit hoher Fehlersicherheit für speicherprogrammierbare Steuerungen
DE2701614A1 (de) Anzeigesystem
DE3225712C2 (de) Verfahren und Vorrichtung zur Funktionsprüfung von digitalen Rechnern
EP0012185B1 (de) Prüfschaltung für synchron arbeitende Taktgeber
EP0907919B1 (de) Vorrichtung zum betreiben von zwei funktionsmässig parallelgeschalteten prozessoren
CH643674A5 (de) Sicherheits-einrichtung fuer einen kernreaktor.
EP0077450B1 (de) Sicherheits-Ausgabeschaltung für eine Binärsignalpaare abgebende Datenverarbeitungsanlage
EP1025501A1 (de) Verfahren und vorrichtung zur überprüfung einer fehlerüberwachung einer schaltung
DE19805819B4 (de) Verfahren zur Überwachung von integrierten Schaltkreisen
EP0012794B1 (de) Verfahren und Einrichtung für eine elektronische Datenverarbeitungsanlage zur Prüfung der aus einer Instruktion abgeleiteten Steuersignale
DE10125652A1 (de) Verfahren zur Überwachung einer technischen Anlage
DE2657404B2 (de) Steuerwerk
DE2737133C2 (de) Schaltungsanordnung zum Verhindern von Doppelfehlern in einer Datenverarbeitungsanlage
DE2948758C2 (de) Steuertaktversorgungseinrichtung mit einem sicheren Taktgeber
DE102021213513A1 (de) Verfahren zum Überwachen eines Produktionsprozesses in Echtzeit mittels einer Maschinen-Lern-Komponente
DE1499262C (de) Einrichtung zur Auswahl der richtigen von zwei parallel betriebenen Datenverarbei tungsanlagen
DE1524147C (de) Schaltungsanordnung zur Betnebsbe reitschaftskontrolle der Prufschaltungen fur das Addierwerk einer programmgesteuer ten Datenverarbeitungsanlage
EP4261628A1 (de) Elektronikbaugruppe für ein automatisierungssystem

Legal Events

Date Code Title Description
OAP Request for examination filed
OD Request for examination
C3 Grant after two publication steps (3rd publication)
8320 Willingness to grant licences declared (paragraph 23)
8339 Ceased/non-payment of the annual fee