DE2636352B2 - Schutzsystem für einen Kernreaktor - Google Patents

Schutzsystem für einen Kernreaktor

Info

Publication number
DE2636352B2
DE2636352B2 DE19762636352 DE2636352A DE2636352B2 DE 2636352 B2 DE2636352 B2 DE 2636352B2 DE 19762636352 DE19762636352 DE 19762636352 DE 2636352 A DE2636352 A DE 2636352A DE 2636352 B2 DE2636352 B2 DE 2636352B2
Authority
DE
Germany
Prior art keywords
computer
computers
protection system
line
nuclear reactor
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE19762636352
Other languages
English (en)
Other versions
DE2636352A1 (de
DE2636352C3 (de
Inventor
Uwe Dipl.-Phys. 8520 Erlangen Mertens
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Kraftwerk Union AG
Original Assignee
Kraftwerk Union AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Kraftwerk Union AG filed Critical Kraftwerk Union AG
Priority to DE19762636352 priority Critical patent/DE2636352C3/de
Publication of DE2636352A1 publication Critical patent/DE2636352A1/de
Publication of DE2636352B2 publication Critical patent/DE2636352B2/de
Application granted granted Critical
Publication of DE2636352C3 publication Critical patent/DE2636352C3/de
Expired legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • G06F11/1641Error detection by comparing the output of redundant processing systems where the comparison is not performed by the redundant processing components
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • G06F11/0754Error or fault detection not based on redundancy by exceeding limits
    • G06F11/0757Error or fault detection not based on redundancy by exceeding limits by exceeding a time limit, i.e. time-out, e.g. watchdogs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1675Temporal synchronisation or re-synchronisation of redundant processing components
    • G06F11/1679Temporal synchronisation or re-synchronisation of redundant processing components at clock signal level

Description

25
Die Erfindung betrifft ein Schutzsystem für einen Kernreaktor unter Verwendung eines Rechnersystems zur Verarbeitung von Prozeßdaten, das zwei über einen Taktgeber parallelgeschaltete Rechner mit gleichem Programm umfaßt, die mit einer Vergleichseinrichtung verbunden sind.
Aus der deutschen Offenlegungsschrift 22 06 234 ist ein Druckwasserreaktor bekannt, bei dem ein Rechner aus Daten des Primärkreises, zum Beispiel aus dem Neutronenfluß und der Drehzahl der Hauptkühlmittelpumpe sowie dem Druck des Primärkühlmittels eine Modellnachbildung des Reaktorkerns erstellt. Mit dem Modell soll der Zustand des Recktorkerns simuliert werden, soweit er für die Beurteilung des Filmsiedegrenzwertes notwendig ist. Bei dieser Anordnung ist jedoch offenbar vorausgesetzt, daß der Rechner entweder genügend zuverlässig ist, so daß sein Versagen ausgeschlossen ist, oder daß durch die Ausbildung des Rechners selbst, des Rechnerprogramms oder andere Mittel dafür gesorgt ist, daß ein Versagen des Rechners nicht zu unzulässigen Störungen führen kann.
Ferner ist aus der deutschen Offenlegungsschrift 23 19 753 eine Datenverarbeitungsanlage bekannt, die zur Erhöhung der Sicherheit ihrer Arbeitsweise mit zwei praktisch gleichen Prozessoren ausgerüstet ist. Die Prozessoren führen wegen gleicher Organisation und Programmierung sowie aufgrund einer Mehrfachkopplung mit externen Einrichtungen synchron die gleiche Aufgabe aus. Deshalb kann mit einer Komparatoran-Ordnung eine frühzeitige Erfassung von Störungen und Fehlern und vor allem die schnelle Identifizierung des fehlerhaften der beiden Prozessoren erfolgen. Die schnelle Feststellung hat aber nur den Zweck, die Richtigkeit der von der Anlage insgesamt zu leistenden Rechnung sicherzustellen, und das Abschalten eines defekten Teils wird bis zu seiner Reparatur beibehalten. Ausgedrückt ist dies dadurch, daß die Komparatoren nach einer Unterbrechung einer Arbeit für die Weiterverfolgung dieser Arbeit gesperrt bleiben.
Aufgabe der Erfindung ist es, die Verfügbarkeit von Rechnersystemen so zu verbessern, daß sie als Schutzsystem eines Kernreaktors geeignet sind. Dazu muß die Möglichkeit einer Störung der Anlage praktisch ausgeschlossen werden.
Die vorgenannte Aufgabe wird erfindungsgemäß dadurch gelöst daß einem mit dem Rechnersystem über die Ausgangsleitung verbundenen Auswertungsbaustein drei weitere Rechnersysteme zugeordnet sind, und daß in dem Auswertungsbaustein vor dem Eingriff in die Steuerung des Reaktors eine 2-von-4-Auswertung der Ausgangswerte der vier Rechnersysteme stattfindet Den beiden Rechnern eines Rechnersystems kann dabei ein von dem Auswertungsbaustein unabhängiger Signalgeber zugeordnet sein, der eine Störung im Bereich der beiden Rechner meldet
Mit dem neuen Schutzsystem können aufgrund der 2-von-4-Auswertung Wahrscheinlichkeiten des Versagens von höchstens 10~e erreicht werden. Damit genügt das neue Schutzsystem auch den extremen Anforderungen auf dem Gebiet der Reaktortechnik. Wichtig ist dabei, daß durch die an sich bekannte gleichzeitige Programmbearbeitung durch parallelgeschaltete Rechner auch dann Fehler entdeckt werden, wenn keine Schutzanforderungen aus dem Schutzsystem vorliegen. Dies bedeutet, daß Störungen während des normalen Betriebes entdeckt werden und nicht nur während der verschwindend kurzen Zeiten, in denen das Schutzsystem in seiner Schutzfunktion beansprucht ist.
Durch den zweiten Rechner, der vorzugsweise zusammen mit dem ersten Rechner an einen gemeinsamen Eingabebaustein angeschlossen ist, wird der Rechenvorgang in völlig gleicher Weise parallel durchgeführt, so daß aus einem übereinstimmenden Ergebnis auf das fehlerhafte Funktionieren geschlossen werden kann, wenn man von dem äußerst unwahrscheinlichen Fall gleichzeitiger und gleicher Fehler absieht. Ein Fehler normaler Art macht sich durch ein Abweichen der Rechnerergebnisse bemerkbar, und zwar unverzögert, so daß sofort ein Signal die Unstimmigkeit anzeigen kann. Der dafür notwendige Aufwand ist bei Verwendung von Kleinrechnern (Mikroprozessoren) relativ gering.
Der Taktgeber sorgt für die erforderliche Synchronisation, so daß auch bei schnellen Signalwechseln (etwa 10 MHz) und bei einer gegebenenfalls gewünschten räumlichen Trennung kein Auseinanderlaufen der Rechner zu befürchten ist Dieser Taktgeber kann auch die Vergleichseinrichtung steuern, die vorzugsweise Daten- und Adreßbusse zwischen Steuerwerk und Speicher oder Peripherie mit einer Exklusiv-Oder-Schaltung verknüpft. Bei einem positiven Vergleichsergebnis wird die Weiterleitung eines Taktes erlaubt, der zu einer geeigneten Signaleinrichtung führt.
Nachfolgend wird anhand der Zeichnung ein Ausführungsbeispiel beschrieben, das in Form eines Blockschaltbildes ausgeführt ist. Der überwachte Kernreaktor kann in bekannter Weise ein Druckwasserreaktor sein, wie dies in der eingangs genannten deutschen Offenlegungsschrift 22 06 234 beschrieben ist.
Die Prozeßdaten kommen über eine Leitung 1, die dem Datenfluß entsprechend mehradrig ausgeführt sein kann, wenn man nicht auf ein Zeitmultiplexsystem zurückgreifen will. In einem Eingabebaustein 2 werden die Eingangssignale, zum Beispiel Druck und Temperatur des Primärkühlmittels, Drehzahl der Hauptkühlmittelpumpen, Neutronenflußdichte usw. in für einen Rechner geeignete Weise umgesetzt. Dabei wird es sich
1. um eine Analog-Digital-Umwandlung handeln,
2. kann der Signalpegel den für Rechner benötigten Werten angepaßt werden.
An den Eingabebaustein sind zwei gleiche Rechner 3 und 4 Ober Leitungen 5 und 6 in »Parallelschaltung« angeschlossen. Die Rechner sind gleich ausgebildet Es handelt sich vorzugsweise um Mikroprozessoren, die auf einem Halbleiterkristall integriert sind (z. B. »INTEL 8080«) oder die aus mehreren 2-Bit-bFeiten Verarbeitungselementen zusammengesetzt sind (z.B. »INTEL 3000«), mit einem Speicher von 32 000 bytes. Die Speicher können zum Beispiel in Form von Ringkernen, aber auch als Halbleiterspeicher ausgeführt sein.
Die Rechner 3 und 4 sind zusätzlich über einen Taktgeber 7 miteinander verbunden. Der Taktgeber ist im wesentlichen ein Oszillator mit einer Frequenz von zum Beispiel 10 MHz. Er sorgt dafür, daß die Rechner 3 und 4 im Rahmen ihrer unvermeidlichen Frequenztoleranzen nicht auseinanderlaufen können.
Die Ergebnisse der Rechner 3 und 4 werden über Leitungen 8 und 9 in eine Vergleichseinrichtung 10 eingespeist, die über eine Leitung 11 noch mit dem Taktgeber 7 verbunden ist Die Vergleichseinrichtung 10 umfaßt Exklusiv-Oder-Schaltungen, die die Daten- und Adreßbusse zwischen Steuerwerk und Speicher der Rechner 3 und 4 verknüpfen. Unter Umständen kann die Verknüpfung auch zwischen Steuerwerk und Peripherie vorgenommen werden. Daraus wird bei Obereinstimmung ein gegebenenfalls vom Taktgeber 7 stammendes Signal gewonnen, das über eine Leitung 12 aus der Vergleichseinrichtung 10 geführt wird.
Die Leitung 12 führt zu einer Kette 13 von Und-Gliedem, die über eine Leitung 14 mit einem Prüftaktsignal beaufschlagt wird. Eine erste Und-Schaltung 15 ist dabei über eine Leitung 16 an den Rechner 4 angeschlossen. Mit ihr ist eine zweite Und-Schaltung 17 in Reihe geschaltet, an die die Leitung 12 geführt ist. Eine dritte Und-Schaltung 18 ist über eine Leitung 19 mit dem Rechner 3 verbunden. Ihr ist eine Und-Schaltung 20 nachgeschaltet, die über eine Leitung 21 ein
10
15
20
30
35 Signal erhält Der Ausgang 22 der Kette 13 führt zu einem Signalgeber 23, der für den FaIi eines fehlenden Signals meldet, daß eine Störung in dem mit dem Rechner 3 ausgeführten Schutzsystem, und zwar im Bereich der Rechner 3 oder 4 vorliegt Der Signalgeber 23 liegt außerhalb des durch eine strichpunktierte Gerade angedeuteten Rechnerbereichs zum Beispiel in einer Warte.
Die Leitung 21 kommt von einem Zeitglied 24, das seinerseits über eine Leitung 25 mit einem Ausgabebaustein 26 des Rechners 3 verbunden ist Der Ausgabebaustein hat die Aufgabe, aus den vom Ausgang 27 des Rechners 3 stammenden Signalen Ausgangssignale, zum Beispiel Spannungen bestimmter Höhe und/oder Frequenz zu liefern, die für die Anregung eines an eine Leitung 28 angeschlossenen Schutzsystems geeignet sind. Über die Leitung 25 werden Ausgangssignale zum Zeitglied 24 auf die Und-Stufe 20 der Kette 13 gegeben, so daß damit eine Überwachung des Zeitverhaltens des Taktgebers 7 und des in den Rechnern 3 und 4 befindlichen Programmsystems erreicht wird.
An die Ausgangsleitung 28 ist eine Rückkopplungsleitung 29 angeschlossen, die zum Eingabebaustein 2 führt. Mit dieser Leitung kann eine Überwachung des Eingabebausteins 2 und des Ausgabebausteins 26 erhalten werden, wenn in bekannter Weise durch eine Speicherung die für den Ausgang des Rechners 3 maßgeblichen Eingangswerte gesichert sind.
Die Leitung 28 führt zu einem Auswertungsbaustein 30, der, wie die Pfeile 31, 32 und 33 andeuten, mit drei weiteren Rechnersystemen verbunden ist. Dort wird eine Auswertung nach dem 2-von-4-Prinzip vorgenommen, bevor über die Ausgangsleitung 34 in die Steuerung des Reaktors eingegriffen wird, zum Beispiel dadurch, daß durch das Einfahren von Steuerstäben eine Abschaltung des Druckwasserreaktors erfolgt
Hierzu 1 Blatt Zeichnungen

Claims (1)

  1. Patentansprüche:
    1. Schutzsystem für einen Kernreaktor unter Verwendung eines Rechnersystems zur Verarbeitung von Prozeßdaten, das zwei über einen s Taktgeber parallelgeschaltete Rechner mit gleichem Programm umfaßt, die mit einer Vergleichseinrichtung verbunden sind, dadurch gekennzeichnet,, daß einem mit dem Rechnersystem (3,4) über die Ausgangsleitung (28) verbundenen Auswertungsbaustein (30) drei weitere Rechnersysteme zugeordnet sind, und daß in dem Auswertungsbaustein (30) vor dem Eingriff in die Steuerung des Reaktors eine 2-von-4-Auswertung der Ausgangswerte (Leitungen 28,31,32,33) der vier Rechnersysterne stattfindet
    2. Schutzsystem nach Anspruch 1, dadurch gekennzeichnet, daß den beiden Rechnern (3,4) eines Rechnersystems ein von dem Auswertungsbaustein (30) unabhängiger Signalgeber (23) zugeordnet ist, der eine Störung im Bereich der beiden Rechner (3,
    4) meldet
DE19762636352 1976-08-12 1976-08-12 Schutzsystem für einen Kernreaktor Expired DE2636352C3 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE19762636352 DE2636352C3 (de) 1976-08-12 1976-08-12 Schutzsystem für einen Kernreaktor

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE19762636352 DE2636352C3 (de) 1976-08-12 1976-08-12 Schutzsystem für einen Kernreaktor

Publications (3)

Publication Number Publication Date
DE2636352A1 DE2636352A1 (de) 1978-02-16
DE2636352B2 true DE2636352B2 (de) 1979-04-05
DE2636352C3 DE2636352C3 (de) 1979-12-20

Family

ID=5985328

Family Applications (1)

Application Number Title Priority Date Filing Date
DE19762636352 Expired DE2636352C3 (de) 1976-08-12 1976-08-12 Schutzsystem für einen Kernreaktor

Country Status (1)

Country Link
DE (1) DE2636352C3 (de)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
SE419270B (sv) * 1975-07-25 1981-07-20 Atomic Energy Authority Uk Anordning for overvakning av elektriska signaler
DE3003291C2 (de) * 1980-01-30 1983-02-24 Siemens AG, 1000 Berlin und 8000 München Zweikanalige Datenverarbeitungsanordnung für Eisenbahnsicherungszwecke
DE3036856C2 (de) * 1980-09-30 1982-10-28 Computer Gesellschaft Konstanz Mbh, 7750 Konstanz Datenverarbeitungsanlage mit zwei Verarbeitungseinheiten
CA1190307A (en) * 1981-09-14 1985-07-09 Theodore S. Malinowski Watch-dog timer circuit
SE8305262L (sv) * 1982-12-14 1984-06-15 Gen Electric Universellt logikkort
DE3332802A1 (de) * 1983-09-12 1985-03-28 Siemens AG, 1000 Berlin und 8000 München Schaltungsanordnung zum pruefen des ordnungsgerechten anlaufens eines zweikanaligen fail-safe-mikrocomputerschaltwerkes, insbesondere fuer eisenbahnsicherungsanlagen
US4772445A (en) * 1985-12-23 1988-09-20 Electric Power Research Institute System for determining DC drift and noise level using parity-space validation
US5020024A (en) * 1987-01-16 1991-05-28 Stratus Computer, Inc. Method and apparatus for detecting selected absence of digital logic synchronism

Also Published As

Publication number Publication date
DE2636352A1 (de) 1978-02-16
DE2636352C3 (de) 1979-12-20

Similar Documents

Publication Publication Date Title
DE2549467C2 (de) Verfahren zur Bestimmung der Fehlfunktion in einem elektrischen Geräte
DE3047310C2 (de) Betriebsüberwachungseinrichtung für Dampfkraftwerke
DE3222692A1 (de) Elektrisches stromversorgungssystem
DE2946081A1 (de) Anordnung zur ueberwachung der funktion eines programmierbaren elektronischen schaltkreises
DE3123451A1 (de) Verfahren und anordnung zur stoerungserkennung in gefahren-, insbesondere brandmeldeanlagen
DE10035174A1 (de) Peripheriebaustein mit hoher Fehlersicherheit für speicherprogrammierbare Steuerungen
DE2636352C3 (de) Schutzsystem für einen Kernreaktor
DE2701614A1 (de) Anzeigesystem
DE3920516A1 (de) Steuersystem fuer industrielle anlagen
EP0012185B1 (de) Prüfschaltung für synchron arbeitende Taktgeber
CH684512A5 (de) Verfahren zur Ermittlung kritischer Fehler insbesondere für ein Kommunikationssystem und eine nach diesem Verfahren arbeitende Schaltungsanordnung.
EP0009600B1 (de) Verfahren und Schnittstellenadapter zum Durchführen von Wartungsoperationen über eine Schnittstelle zwischen einem Wartungsprozessor und einer Mehrzahl einzeln zu prüfender Funktionseinheiten eines datenverarbeitenden Systems
EP1597470B1 (de) Signalverarbeitungsvorrichtung und steuergerät zur zusammenarbeit mit einer signalverarbeitungsvorrichtung
DE4039013C2 (de)
DE2106163A1 (de) Verfahren zum Prüfen von Einheiten eines programmgesteuerten Verarbeitungssystems
DE2014729C3 (de) Datenverarbeitungssystem mit Einrichtungen zur Fehlerermittlung und zur Systemumkonfiguration unter Ausschluß fehlerhafter Systemeinheiten
DE3739227C2 (de)
EP1282859B1 (de) Peripheriebaustein mit hoher fehlersicherheit für speicherprogrammierbare steuerungen
DE2935108C2 (de) Prüfeinrichtung
DE3205217C1 (de) Einrichtung zur Sicherung der Eingabe einer Folge von Datentelegrammen in einen Rechner
EP0173076B1 (de) Einrichtung zum Überwachen von Thyristoren
DE2315285C3 (de) Anordnung zur Steuerung der Abtastung in Vermittlungssystemen
EP0062768B1 (de) Schaltungsanordnung zur Überwachung von Schaltwerken
DE2758552B2 (de) Fehlersichere Datenübertragungseinrichtung
DE10125652A1 (de) Verfahren zur Überwachung einer technischen Anlage

Legal Events

Date Code Title Description
OAP Request for examination filed
OD Request for examination
C3 Grant after two publication steps (3rd publication)
8320 Willingness to grant licences declared (paragraph 23)
8339 Ceased/non-payment of the annual fee