DE3134773A1 - Alarmanlage - Google Patents

Alarmanlage

Info

Publication number
DE3134773A1
DE3134773A1 DE19813134773 DE3134773A DE3134773A1 DE 3134773 A1 DE3134773 A1 DE 3134773A1 DE 19813134773 DE19813134773 DE 19813134773 DE 3134773 A DE3134773 A DE 3134773A DE 3134773 A1 DE3134773 A1 DE 3134773A1
Authority
DE
Germany
Prior art keywords
alarm
computer
display
group
alarm condition
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE19813134773
Other languages
English (en)
Inventor
Brian Kings Norton Leicestershire Hills
Daniel Countesthorpe Leicestershire Welbourne
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nuclear Power Co Ltd
Original Assignee
Nuclear Power Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nuclear Power Co Ltd filed Critical Nuclear Power Co Ltd
Publication of DE3134773A1 publication Critical patent/DE3134773A1/de
Withdrawn legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G08SIGNALLING
    • G08BSIGNALLING OR CALLING SYSTEMS; ORDER TELEGRAPHS; ALARM SYSTEMS
    • G08B23/00Alarms responsive to unspecified undesired or abnormal conditions
    • GPHYSICS
    • G08SIGNALLING
    • G08BSIGNALLING OR CALLING SYSTEMS; ORDER TELEGRAPHS; ALARM SYSTEMS
    • G08B25/00Alarm systems in which the location of the alarm condition is signalled to a central station, e.g. fire or police telegraphic systems
    • G08B25/14Central alarm receiver or annunciator arrangements

Landscapes

  • Business, Economics & Management (AREA)
  • Emergency Management (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Testing And Monitoring For Control Systems (AREA)
  • Alarm Systems (AREA)

Description

— 5 —
NUCLEAR POWER COMPANY LIMITED, London, England
Alarmanlage
Die Erfindung bezieht sich auf eine Alarmanlage, insbesondere für ein Kernkraftwerk.
Bei großen und komplizierten technischen Anlagen kann die Anzahl der Alarmzustände, die in irgendeinem Zeitpunkt auftreten können, leicht eine für eine derartige Anlage verantwortliche Bedienungsperson überfordern.
Um beispielsweise die Ursache für das Heißlaufen des Lagers eines Motors herauszufinden, ist es möglich, daß die Bedienungsperson die Hauptursache, z.B. einen Kühlmittelausfall aufgrund eines Pumpenausfalls, übersieht.
Um Bedienungspersonen beim Analysieren eines Alarmzustands zu unterstützen, sind Rangfolge-Alarmanlagen entwickelt worden, bei denen jeder Alarm durch einen elektronischen digitalen Rechner untersucht und in einen Hauptursache- oder untergeordneten Alarmzustand eingeordnet wird. Derartige Alarmanlagen können der Bedienungsperson die Hauptursache und zusammen mit dieser oder getrennt die anderen Alarmzustände, die eine Folge der Hauptursache sind, aufgelistet anzeigen.
So kann ein Alarmzustand entweder die Folge eines höherrangigen Alarmzustands oder selbst ein Hauptursache-Alarmzustand sein.
Die Entwicklung eiiit" Rangfolge-Alarmanlage für Maschinen jeder Art läßt s:.ch zwar folgerichtig durchführen,
kann jedoch zeitaufwendig sein, wenn die Alarmeinrichtungen kompliziert sind. Dagegen kann der Aufbau einer Alarmanlage mit einem Rechner, ohne sorgfältige Beachtung seines Aufbaus einen so häufigen Hilfsspeicherzugriff erfordern, daß die Arbeitsgeschwindigkeit des Rechners soweit verringert wird, daß die Alarmgabe verzögert wird.
Der Erfindung liegt daher die Aufgabe zugrunde, eine Alarmanlage anzugeben, bei der die Nachteile einer Massenälarmgabe erheblich verringert sind.
Gemäß der Erfindung enthält die Alarmanlage einen Rechner, eine erste Anzeigeeinrichtung zum Anzeigen von Hauptürsache-Alarmzustandsinformationen, eine weitere Anzeigeeinrichtung zum Anzeigen untergeordneter Alarmzustände, die von wenigstens einem zugeordneten Alarmzustand abhängen, der durch die erste Anzeigeeinrichtung angezeigt wird, wobei der Zustand jeder durch den Rechner überwachten Größe einem Eingang des Rechners in digitaler Form zugeführt und durch den Rechner in periodischen Zeitabständen abgefragt wird, der Rechner mindestens ein Datenwort für jede der überwachten Größen aufweist und so ausgebildet ist, daß er bei jeder Abfragung einer Größe den augenblicklichen Zustand dieser Größe mit dem vorherigen Zustand der Größe, der durch seine jeweils gespeicherten Daten dargestellt wird, vergleicht, um festzustellen, wann eine Änderung des Zustands der Größe auftritt, und um festzustellen, wenn die Zustandsänderung anzeigt, daß sich die Größe in einem Alannzustand befindet, zu welcher von η Alarmgruppen der Alarmzustand gehört, und um eine zugehörige von η Warneinrichtungen der weiteren Anzeigeeinrichtung einzuschalten, die der betreffenden Alarmgruppe zugeord-
net ist, und wobei der Rechner so ausgebildet ist, daß er periodisch jeden Alarmzustand in bezug auf alle anderen Alarmzustände dahingehend überprüft, ob es sich um einen Hauptursache-Alarmzustand oder einen aus irgendeinem anderen Grunde bewirkten Alarmzustand handelt, und jeden dieser Hauptursache-Alarmzustände auf der ersten Anzeigeeinrichtung anzeigt.
Vorzugsweise ist dafür gesorgt, daß die erste Anzeigeeinrichtung eine Sichtanzeigeeinheit ist.
Jede Anzeige eines Hauptursache-Alarmzustands kann auch einen Hinweis auf eine von Hand betriebene technische Anlage zur Angabe von Prüfungen, die durchgeführt werden sollten, oder einen Vorschlag für das weitere Vorgehen umfassen.
Sodann kann ein Hauptursache-Alarm durch den Rechner ausgelöst und auf der Sichtanzeigeeinheit angezeigt werden, wenn mehrere Alarmzustände auftreten, die nicht mit einer speziell überwachten Größe in Zusammenhang stehen.
Nachstehend wird anhand der Zeichnung ein bevorzugtes Ausführungsbeispiel einer erfindungsgemäßen Alarmanlage näher beschrieben. Es zeigen:
Fig. 1 eine einfache Alarmrangfolge oder Alarmhierarchie,
Fig. 2 ein Blockschaltbild einer erfindungsgemäßen Alarmanlage,
Fig. 3 die Zusammengehörigkeit der Fig. 4 und 5 und die
Fig. 4 und 5 eine tyi ische Alarmrangfolge für ein Kraftwerk.
Fig. 1 stellt als Beispiel eine einfache Alarmrangfolge für eine Pumpanlage dar.
Wenn die überwachte Maschine beispielsweise vier Lager aufweist, dann kann die überwachte Größe die Lagertemperatur sein. Wenn ein Lager heißläuft, wird ein entsprechender Alarmzustand 1 bis 4 "Temperatur des Lagers N zu hoch" bewirkt.
Eine zu hohe Lagertemperatur kann die Folge einer Unterbrechung der Öl- oder Kühlmittelzufuhr zum Lager sein, wodurch wiederum entsprechende Alarmzustände 5 bis 8 "Ölzufuhr N unterbrochen" oder Alarmzustände 9 bis 12 "Kühlmittelzufuhr N unterbrochen" ausgelöst werden.
Die Unterbrechung der Ölzufuhr kann die Folge eines Ölpumpenstillstands sein, der einen Ölpumpenstillstands-Alarmzustand 13 auslöst. In ähnlicher Weise kann eine Kühlmittelzufuhr-Unterbrechung die Folge eines Kühlmittelpumpenausfalls sein, der einen Kühlmittelpumpenstillstands-Alarmzustand 14 auslösen kann. Die Pumpenstillstands-Alarmzustände 13 und 14 können die Folge einer Stromversorgungsunterbrechung der Pumpen sein, die wiederum entsprechende Alarmzustände "Ölpumpenstromausfall" 15 und "Kühlmittelpumpenstromausfall" 16 zur Folge haben kann.
Wenn beide Stromausfall-Alarmzustände 15 und 16 vorliegen, kann ein digitaler elektronischer Rechner, der die Anlage überwacht, einen synthetischen bzw. kombinierten Alarmzustand "Hauptstromversorgungsausfall" auslösen.
Nachstehend wird die Wirkungsweise des Rechners bei der Analyse (Untersuchung) der auftretenden Alarmzustände betrachtet.
Wenn eines der Lager mit zu hoher Temperatur läuft, liegt einer der Alarmzustände "Temperatur des Lagers N zu hoch", beispielsweise "Temperatur des Lagers 2" 2, vor. Wenn keiner der höherrangigen Alarmzustände, z.B. "Ölzufuhr unterbrochen" 6 oder "Kühlmittelzufuhr unterbrochen" 16, vorliegt, dann bewirkt der Rechner die Anzeige der Nachricht "Temperatur des Lagers 2 zu hoch" auf einer Sichtanzeige für Hauptursache-Al armzustände .
Wenn jedoch der Alarmzustand "Ölzufuhr 2 unterbrochen" 6 vorliegt, dann kann davon ausgegangen werden, daß die Ursache für den Alarmzustand "Temperatur des Lagers 2 zu hoch" 2 der höherrangigere Fehler ist. Der Rechner zeigt daher die Nachricht "Ölzufuhr 2 unterbrochen"
•15 als Hauptursache auf der Sichtanzeigeeinheit an und behandelt die anderen Alarmzustände als untergeordnet.
Wenn jedoch alle Alarmzustände 1 bis 4 "Temperatur des Lagers N zu hoch" vorliegen, ohne daß eine höherrangige Ursache vorhanden ist, dann kann der Rechner alle vier Alarmzustände als Hauptursachen auf der Sichtanzeigeeinheit zur Anzeigo bringen und gleichzeitig einen kombinierten bzw. zusammengesetzten Alarmzustand, beispielsweise "Ölfilter verschmutzt" 18, bewirken. Alternativ können der Alarmzustand "Ölfilter verschmutzt" als Hauptursache angezeigt und die Alarmzustände "Temperatur des Lagers N zu hoch" als untergeordnete Alarmzustände behandelt werden.
Mögliche synthetische oder zusammengesetzte Alarmzustände sind in dem Diagramm durch unterbrochene Linien dargestellt.
Es versteht sich, daß die einfache Alarmzustpnds-Rangfolge nach Fig. 1 lediglich dazu dienen soll, das Ver-
ständnis des Grundprinzips der Festlegung der Hauptursache-Rangfolge einer Alarmzuständs-Rängfolge bzw. Alarmzustands-Hierarchie zu erleichtern»
Nach Fig. 2 enthält die Alarmanlage einen digitalen elektronischen Rechner 20, an den mehrere (nicht dargestellte) Alarmzustands- bzw. Größen-Überwachungsgeräte über Schnittstellenschaltungen 21 bis 2n angeschlossen sind.
Der Rechner 20 hat Zugang zu einem Schnellzugriffsspeicher 40 und einem Hilfsspeicher 30, bei dem es sich beispielsweise um einen Plattenspeicher handeln kann. Die Ausgänge des Rechners sind mit einem Bedienungspult 31 verbunden, das eine Sichtanzeigeeinheit 32 für Alarmzustandsnachrichten und eine Anzeigetafel
.15 3^ für Anlage-Gruppenalarmzustände mit je einer Lampe für jede Alarmzustandsgruppe, der die überwachten Alarmzustände bzw. Größen zugeordnet sein können, aufweist. Die Sichtanzeigeeinheit 32 ist mit einer Tastatur 33 versehen, die von der Bedienungsperson benutzt werden kann, um eine Anzeige aller in einer bestimmten Gruppe (die durch eine aufleuchtende Alarmlampe der Anlage-Gruppen-Alarmzustandstafel 34 angezeigt wird) vorhandenen Alarmzustände oder eine Analyse der Alarmzustände in einer bestimmten Gruppe zur Ermittlung der Hauptursache oder -Ursachen der Alarmzustände in dieser Gruppe anzufordern.
Höherrangige oder Hauptursache-Alarmzustände werden an der Sichtanzeigeeinheit 32 angezeigt, während untergeordnete Alarmzustände entweder an der Sichtanzeigeeinheit 32 oder (falls vorhanden) an einer (nicht dargestellten) getrennten Sichtanzeigeeinheit angezeigt werden können.
Der Rechner 20 tastet bzw. fragt periodisch, beispielsweise alle 200 Millisekunden, jede ihm über die Schnittstellenschaltungen 21 bis 2n zugeführte Eingangsgröße ab und speichert diese Größen in Form eines individuellen Speicherwortes für jede Größe in dem Schnellzugriffs-Speicher 40. Programme zum Abtasten und Speichern von Eingangsgrößen sind an sich bekannt und werden daher nicht näher beschrieben.
Die Schnittstellenschaltungen 21 bis 2n brauchen nicht mit individuellen Eingängen des Rechners verbunden zu sein, sondern können über einen nicht dargestellten Konzentrator (Wähler) durch Adressierung abgefragt werden. So kann ein typisches Kernkraftwerk beispielsweise 5000 Überwachungsgeräte aufweisen, die durch beispielsweise eine 13-Bit-Binäradresse adressiert werden können.
Ein getrenntes Rechnerprogramm, das synchron mit dem Abtast- bzw. Abfrageprogramm läuft, vergleicht den augenblicklichen Zustand jeder überwachten Größe in Form des jeweils in dem Schnellzugriffs-Speicher gespeicherten Wortes mit dem vorhergehenden Zustand dieser Größe.
Wenn dieses Programm eine Änderung des Zustande der überwachten Größe (z.B. neuer Alarmzustand oder Alarmzustand gelöscht) feststellt, bewirkt es eine Aufzeichnung bzw. Speicherung dieser Änderung und des Zeitpunkts der Änderung in dem Hilfsspeicher 30«, Diese Information kann an einen nicht dargestellten Drucker ausgegeben werden.
Wenn das zuletzt genannte Programm eine Änderung des Zustands der überwacrten Größe feststellt, stellt es
ferner anhand der im HilfsSpeicher 30 gespeicherten Daten, die durch den Benutzer entsprechend der Alarmzustands-Rangfolge festgelegt sind,-fest, zu welcher von beispielsweise 100 Anlagen-Gruppen der Alarmzustand gehört. Sofern nicht bereits ein anderer Alarmzustand in der Gruppe vorliegt, bewirkt das Programm eine Änderung des betreffenden Datenwortes von 100 Datenwörtern in dem Schnellzugriffs-Speicher 40, um das Vorhandensein eines Alarmzustands in der Gruppe anzuzeigen, und das Aufleuchten der betreffenden Alarmlampe an der Anlagengruppen-Alarmzustandstafel 34.
Das Aufleuchten einer Alarmlampe auf der Gruppenalarmzustandstafel 34 bedeutet einen Befehl an die Bedienungsperson, die Alarmzustände dieser Gruppe zu überprüfen. Jeder Alarmlampe ist eine entsprechende Gruppennummer und ein entsprechender Begriff über der Lampe an der Gruppenalarmzustandstafel 34 zugeordnet.
Die Bedienungsperson kann mittels der Tastatur 33 die Anforderung eingeben, daß alle in einer bestimmten Gruppe vorhandenen Alarmzustände an der Sichtanzeigeeinheit 32 oder der getrennten (nicht dargestellten) . Sichtanzeigeeinheit angezeigt werden. Alternativ kann die Bedienungsperson eine Alarmzustandsanalyse der betreffenden Gruppe anfordern.
Für eine Alarmzustandsanalyse ist der Rechner 20 so ausgebildet, daß er den Hauptursache-Alarmzustand oder die Hauptursache-Alarmzustände lokalisiert und diese Alarmzustände an der Hauptürsache-Sichtanzeigeeinheit 32 zur Anzeige "bringt. Alle Alarmzustände einer Gruppe können gleichzeitig individuell auf der (nicht dargestellten) getrennten Sichtanzeigeeinheit angezeigt werden.
Durch den Benutzer festgelegte Daten (die anhand der Alarmzustands-Rangfolge in der erwähnten Weise festgelegt werden) sind in dem Hilfsspeicher 30 für jede Gruppe der 100 Anlagegruppen gespeichert. Diese Daten stellen die Verbindungen oder Zusammenhänge zwischen den Alarmzuständen in der Alarmzustands-Rangfolge und den Anzeigebegriff für jeden Alarm dar. Die Daten können auch Verbindungen und Alarmbegriffe für synthetische bzw. zusammengesetzte Alarmzustände enthalten, die durch logische Analysen der Alarmzustände, die in der Gruppe vorhanden sein können, festgestellt werden.
Untergeordnete Informationen, z.B. Hinweise auf Abschnitte eines Anweisungs-Handbuches, können ebenfalls in dem Speicher gespeichert sein.
Wenn eine Alarmzustandsanalyse für eine bestimmte Gruppe entweder von der Bedienungsperson angefordert wird oder bei einer automatischen Analyse gefordert wird, wie nachstehend noch erläutert wird, werden die Anlagegruppendaten für die betreffende Gruppe aus dem Hilfsspeicher 30 in den Schnellzugriffsspeicher 40 übertragen.
Ein Aufreihungs-Organisationsprogramm bewirkt dann eine Aufreihung der Daten in der Gruppe durch entsprechende Standardunterprogramme des Rechners 20.
Di© hauptsächlichen Unterprogramme sind das Unterprogramm "Analysegruppe", das Unterprogramm "Aufsuchen" , das Unterprogramm "Verbinden", das Unterprogramm "Anzeigen" und das Unterprogramm "Gruppe". Diese Unterprogramme bewirken folgendes: Das Unter-" programm "Analysegruppe n" ruft die Daten für die Gruppe η aus dem Hilfsspeicher 30 ab und überträgt sie in den Schnellzu^riffs-Speicher 40 des Rechners
Das Unterprogramm "Aufsuchen" mit entsprechender Alarmnummer überprüft das betreffende Datenwort (das durch die aus dem Hilfsspeicher abgerufenen Daten dargestellt wird), das sich auf die Alarmnummer bezieht, ob sich die überwachte Größe in einem Alarmzustand befindet.
Wenn sich die Größe in einem Normalzustand (d.h. nicht in einem Alarmzustand) befindet, geht das Programm zum nächsten Unterprogramm "Aufsuchen" oder, wenn alle Alarmzustände dieser Gruppe überprüft worden sind, zum nächsten Unterprogramm "Analysegruppe" über.
Wenn ein Alarmzustand vorliegt, wird das Unterprogramm "Verbinden" oder "Anzeigen" in Abhängigkeit von der Lage des Alarmzustands in der Alarmzustands-Rangfolge eingeleitet.
Das Unterprogramm "Verbinden" mit zugehöriger Alarmzustandsnummer überprüft das betreffende Datenwort, (das durch die aus dem Hilfsspeicher abgerufenen Daten bestimmt wird), das sich auf die Alarmnummer bezieht, ob der Alarmzustand vorliegt. Wenn der höherrangige Alarmzustand nicht vorliegt, wird vom Unterprogramm "Verbinden" entweder zu einem weiteren Unterprogramm "Verbinden" oder einem Unterprogramm "Anzeigen" übergegangen. Wenn der Alarmzustand vorliegt, erfolgt der Übergang vom Unterprogramm ."Verbinden" zum nächsten Unterprogramm "Aufsuchen" oder zum nächsten Unterprogramm "Analysegruppe".
Das Unterprogramm "Gruppe", "m", Liste "p", Synthesealarmzustandsnummer, wird zur Ausbildung eines synthetischen Alarmzustands benutzt, wenn eine Anzahl m von Alarmzuständen einer Untergruppe der Hauptgruppe vorhanden ist. Die Alarmzustandsanzahl jedes Gliedes der
Untergruppe wird in einer Liste "p" festgehalten, das durch das Unterprogramm "Analysegruppe" aus dem Hilfsspeicher übertragen worden ist. Wenn m oder mehr Alarmzustände in der Liste "p" vorhanden sind, wird ein Unterprogramm "Anzeigen" ausgelöst, um den synthetischen Alarmzustand anzuzeigen, der durch die Synthesealarmzustandsnummer an der Hauptursache-SAE 32 angezeigt wird. Vom Unterprogramm "Gruppe" erfolgt ein Übergang zu einem weiteren Unterprogramm "Gruppe" oder einem Unterprogramm "Anzeige".
Von den Unterprogrammen "Aufsuchen" und "Verbinden" kann ein Übergang zu einem Unterprogramm "Gruppe" erfolgen.
Die Daten für die Unterprogramme "Aufsuchen" und "Verbinden" können einen Anlagenparameter enthalten, der den Übergang in das Unterprogramm verhindert, wenn die gerade durchgeführte Prüfung nicht die betreffende Anlage betrifft.
Die Vorbereitung der Daten für jede Gruppe wird anhand der nachstehenden Beispiele erläutert.
Die in den gemäß Fig. 3 zusammengesetzten Fig. 4 und 5 dargestellte Alarmzustands-Rangfolge betrifft einen Gaskreis GC eines Kernkraftwerks mit zwei Reaktoren R1 und R2, wobei "Gaskreis" auch mit "GK" abgekürzt wird.
Die linke untere Ecke der Fig. 5 weist eine Alarmzustandsangabe "GC Motorkühlgasausgangstemperatur zu hoch" auf. Dabei bedeuten die Alarmzustandsdaten GC304A1, daß "im Gaskreis A1 die Motorkühlgasausgangstemperatur zu hoch" ist und daß der Alarmzustand den Alarmzuständen GC302. 1A, GC302A1B, GC302A1C und GC303A1 untergeordnet sein kann.
Das Aufreihungsorganisationsprogramm interpretiert diese Daten in den Unterprogrammen wie folgt:
Aufsuchen: GC3O4A1 ■
Verbinden: GC302A1A
Verbinden: GC302A1B
Verbinden: GC302A1C
Verbinden: GC303A1
Anzeige: GCA1 Motorkühlgasausgangstemperatur
zu hoch.
Das Aufreihen der Daten erfolgt, wenn keinerder Alarmzustände GC302A1A, GC302A1B, GC302A1C oder GC303A1 vorhanden, aber GC304A1 vorhanden ist. Wenn dies der Fall ist, ist GC304A1 der höchstrangige vorhandene Alarmzustand, der dann als Hauptursache angezeigt wird.
Wenn keiner der höherrangigen Alarmzustände vorhanden ist, wird das Aufreihen der Daten in den Unterprogrammen "Verbinden" abgebrochen, und das Aufreihungsorganisationsprogramm fährt mit dem Aufreihen der sich auf den nächsten Alarmzustand beziehenden Daten fort.
Der höherrangige Alarmzustand wird anschließend entsprechend seinem eigenen Rang analysiert und kann dann als Hauptursache-Alarmzustand angezeigt werden.
Wenn sich daher GC3O2A1B ebenfalls, jedoch GC303A1 nicht im Alarmzustand befindet, wenn die Daten für GC3O2A1B aufgereiht werden, wird "GC A1 Motortemperatur zu hoch" als Hauptursache angezeigt. Die Bedienungsperson wird daher auf die Ursache der zu hohen Ausgangstemperatur und nicht auf die Auswirkung der zu hohen Motortemperatur hingewiesen.
Nachstehend sei die kompliziertere Analyse'eines Gaskreis-Gaskühlwasserstroms betrachtet. Wie sich aus der linken oberen Ecke der Fig. 4 ergibt, bewirkt das Auf-
reihungsorganisationsprogramm die nachstehende Aufreihung der Daten für diesen Alarmzustand:
Aufsuchen: GC122A1A
Verbindung (R1): RP1061
Verbindung (R1): RPI421
Gruppe 2: Liste 1: GC402
Anzeige : GCA1A Gaskühler-KW-Durchfluß zu niedrig.
Liste 1 umfaßt GC122A1A
GC122A1B
GC122A2A
GC122A2B .
Wenn sich daher GC122A1A im Alarmzustand befindet, werden RPIO6I des Reaktors 1 (Verbindung(R1)) (Reaktorkühlwassersystemdurchfluß zu niedrig) und RP1421 des Reaktors 1 überprüft. Wenn keiner der höherrangigen Alarmzustände vorhanden ist, dann werden die zugehörigen Gaskühlerkühlwasserdurchfluß-Alarmzustände GC122A1A, GC122A1B, GC122A2A, GC122A2B überprüft, und wenn zwei oder mehr dieser Alarmzustände vorhanden sind (Gruppe 2), wird der Synthesealarmzustand "GC402 GC Kühlersystemkühlwasserdurchfluß zu niedrig" an der Sichtanzeigeeinheit 32 als Hauptursache angezeigt.
Das Trennen der Abtastung und Analyse der Alarmzustände hat im Vergleich zu einer Untersuchung jedes Alarmzustands, sowie er auftritt, den Vorteil, daß der Computer nicht durch zu häufiges Abrufen des Hilfsspeichers und das Abwarten der Übertragung entsprechender Daten überlastet wird.
Zwar können alle Alarmzustände der Bedienungsperson angezeigt werden,, doch werden die Hauptfehler ebenfalls sofort erkennbar angezeigt.
Der Rechner 20 kann für den Fall, daß die Bedienungsperson keine Analyse einer bestimmten Gruppe anfordert, so ausgebildet sein, daß er seinerseits eine Analyse jeder Gruppe der Reihe nach in periodischen Zeitabständen aufruft, so daß die Bedienungsperson über die Hauptursachen aller in der Anlage vorhandenen Alarmzustände laufend informiert wird.
Da der Rechner ebenfalls verschiedene Größen oder Zustände eingeben kann, wie das Öffnen oder Schließen von Hand betätigbarer Ventile, kann die Bedienungsperson mittels der Tastatur 33 eine Analyse eines geeigneten Anlagenzustands unter Fehlerbedingungen anfordern. .
Das Aufreihungs-Organisationsprogramm kann zum Aufreihen der betreffenden Daten mittels der gleichen Unterprogramme verwendet werden, um den augenblicklichen Zustand der Anlage (des Kraftwerks) zu analysieren und der Bedienungsperson Korrekturhinweise zu geben.
Unfälle in verschiedenen Kraftwerken haben gezeigt, wie wichtig richtige Präventivmaßnahmen sind, wenn Alarmzustände erstmals auftreten, und wie schwerwiegend das Zusammentreffen von zwei oder drei Fehlerzuständen ist, die für sich genommen nur eine fehlerfrei arbeitende Notanlage oder eine Verringerung der Vollkommenheit oder des Widerstandsvermögens der Anlage in kontollierter und individuell annehmbarer Weise erfordern würden.
Als Beispiel sei auf die Betriebseinschränkungen bei einem Kernkraftwerk verwiesen, die vorgenommen werden müssen, um eine fortgesetzte Verfügbarkeit der Kühlung
nach einem Schnellschluß bei größeren Unfällen, z.B. Kabelbränden oder Kühlkreisbrüchen, sicherzustellen.
So können in einem Kraftwerk vier Diesel-Feuerlöschpumpen vorgesehen und der Betrieb sicher fortgesetzt werden, wenn nur eine Pumpe verfügbar ist. Doch wächst die Gefahr, wenn ein Pumpenausfall langer andauert. Wenn zwei Pumpen nicht verfügbar sind, dann sollte die Anlage innerhalb einer vorbestimmten Zeit von beispielsweise zwei Stunden, selbst wenn kein Feuer ausgebrochen ist, aus Sicherheitsgründen abgeschaltet werden.
Ein gasgekühlter Reaktor hat gewöhnlich vier Kesselkreise, die jeweils mit einem Gaskreislaufgebläse versehen sind, das durch einen Hauptmotor und - bei Abschaltung - durch einen kleinen Hilfsmotor angetrieben wird. Nach einem Schnellschluß muß mindestens ein Kessel verfügbar sein, wobei die Verfügbarkeit in Abhängigkeit von tatsächlichen Umständen wie folgt definiert ist;
1a) Die Stromversorgung des Hilfsmotors ist verfügbar. 1b) Die Stromversorgung der Hilfsmotor-Steuerung ist verfügbar.
1c) Die Hilfsmotor-Steuereinrichtung ist verfügbar. 1d) Der Hilfsmotorschutz hat nicht gearbeitet. 1e) Die zugehörigen Gaskreis-Lagertemperaturen sind nicht zu hoch.
1f) Ein Schnellantriebsmotor für ein Gaskreis-Einlaßführungsgebläse ist verfügbar.
Wenn eine dieser Bedingungen nicht erfüllt ist, wird dies durch einen entsprechenden Alarmzustand bzw. Alarmgeber angezeigt,
Zu den Betriebseinschränkungen, die vorgenommen werden müssen, wenn kein Alarmzustand vorliegt, gehören:
1g) Ein Hilfsmotor-Betriebswählschalter steht auf "Selbstanlauf";
1h) ein 415 V-Gaskreis-Tafel-Leitungsabschnittschalter ist immer dann verfügbar, wenn eine Hilfsmotor-Kessel-Einheit innerhalb derselben Teileinrichtung nicht verfügbar ist;
1j) ein 3,3 kV/415 V-Gaskreis-Transformator ist in jeder Teileinrichtung verfügbar;
1k) ein zugehöriges Beschickungsdruckkessel-Auslaß-Notventil ist vollständig geöffnet; 11) ein zugehöriges Spartrennventil ist vollständig geöffnet;
1m) ein zugehöriges Anlauf-Frischwasser-Regelventil
ist vollständig geöffnet;
1n) eine Steuereinrichtung für den Schließvorgang
eines zugehörigen Kesselstopventils ist verfügbar; 1o) eine zugehörige Dampfablaßventil -Steuereinrichtung ist verfügbar;
1p) eine automatische Steuerungsbetriebsart ist für die Dampfablaßventil-Steuereinrichtung gewählt. Die Wahl einer Handsteuerungsbetriebsart wird durch einen Alarmzustand angezeigt; 1q) die Dampfablaßventil-Steuereinrichtung wird gerade nicht geprüft. ¥enn die Einrichtung gerade geprüft wird, wird dies durch einen Alarmzustand angezeigt; und
1r) der Dampfablaßdruckbedarf liegt innerhalb vorbestimmter Grenzen des erforderlichen Wertes zur "Verwendung nach einem SchnellschluQ.
Betriebseinschränkungen bei Kesselpaaren können auf der Basis von zwei getrennten Kesselgruppen angegeben werden, z.B. einer Gruppe 1 aus Kesseln A und B und einer Gruppe 2 aus Kesseln C und D.
Aus Sicherheitsgründen (als Beispiel):
2a) Innerhalb jeder Gruppe darf bei einem in Betrieb befindlichen Reaktor nicht mehr* als ein Kessel langer als eine Stunde nicht verfügbar sein; andernfalls wird eine ordnungsgemäße Abschaltung des Reaktors ausgelöst;
2b) die NichtVerfügbarkeit eines Kessels in beiden Gruppen ist unerwünscht und sollte nicht längere Zeit zugelassen werden, da bei einem Feuerausbruch in der einen Gruppe der zum Schutz nach einem Schnellschluß anlaufende Umwälzmotor die andere Gruppe beeinträchtigen könnte. Wenn sich die Lage nach vier Stunden noch nicht gebessert hat, sollte ein Betrieb mit drei Gaskreisen ausgelöst werden, um die Wahrscheinlichkeit des Ausfalls einer verfügbaren Kesseleinheit infolge des Versagens der Auslösung eines Hauptmotor-Trennschalters zu verringern;
2c) die Unversehrtheit eines Kessels wird durch die Verwendung redundanter Stromversorgungen erreicht. Wenn eine Kesseleinheit einer Gruppe nicht verfügbar und nicht ein vollständiger Ersatz wesentlicher Stromversorgungseinrichtungen für die andere Einheit verfügbar ist oder Umschalteinheiten nicht verfügbar sind, soll eine ordnungsgemäße Abschaltung des Reaktors ausgelöst werden, wenn der Fehler nicht innerhalb von vier Stunden korrigiert werden kann;
2d) die Unversehrtheit der Anlage beruht auf der Verfügbarkeit eines voll angeschlossenen Not-Speisedruckkessels. Die Druckkesselventile sollten (entweder Von Hand oder selbsttätig) geschlossen sein. Wenn ein Kessel (beispielsweise in der Gruppe 2) nicht verfügbar- ist, sollte das selbsttätig oder von Hand betätigLare Ventil, das dem die Kessel-
gruppe 1 speisenden Druckkesselabschnitt zugeordnet ist, nicht länger als 12 Stunden geschlossen sein; oder
2e) die gleichzeitige NichtVerfügbarkeit eines Kessels in der einen Gruppe und in der anderen Gruppe eines Gaskreis-Transformators sollte nicht länger als acht Stunden zugelassen werden.
Die obigen Einschränkungen oder Grenzwerte können durch eine Kombination von Alarmzustandsgruppen und Wahrheitstabellen dargestellt werden. Diese können wiederum durch Alarmzustands-Analysedaten dargestellt und in der beschriebenen Weise interpretiert werden. Das Zusammentreffen von Alarmzuständen kann zur Bildung entsprechender Alarmzustände und zur Anzeige einer Aussage einschließlich einer Zeitgrenze verwendet werden. Ein Zeitverzögerungs-Unterprogramm kann ebenfalls vorgesehen sein, so daß ein zusätzlicher Alarmzustand nach einer entsprechenden Verzögerung angezeigt wird.
Im Falle des obigen Beispiels müssen "Kessel-Nicht-Verfügbar-Alarmzustände" (1A, 1B, 1C, 1D für jeden Kessel) durch ein Unterprogramm "Gruppe" abgeleitet werden, das die obigen Punkte i(a) bis 1(r) umfaßt, und in der beschriebenen Weise ausgelöst werden, wenn einer der Zustände i(a) bis i(r) unzulässig ist.
Die Hilfsspeicherdaten zur Prüfung der Zulässigkeit des Anlagenzustands im Hinblick auf die Betriebsgrenzbedingungen 2(a) und 2(b) können durch das Aufreihungs-Organisationsprogramm wie folgt verwendet werden:
Liste R1R2: Kessel A; Kessel B; Kessel C: Kessel D; Liste R1: Kessel A; Kessel B. Liste R2: Kessel C: Kessel D.
Gruppe 2: Liste R1: Abschaltalarmzustand Gruppe '2: Liste R2: Abschaltalarmzustand Gruppe 1: Liste R1R2: Trennalarmzustand Aufsuchen: Abschaltalarmzustand
Anzeige: Zwei Kessel ausgefallen -
Abschaltung innerhalb 1 Stunde
Verbindung: Abschaltalarmzustand
Anzeige: Kesselausfall, Abtrennung
innerhalb von 4 Stunden.
Wenn daher eine Alarmzustandsanalyse im Automatikbetrieb durchgeführt wird, reiht das Aufreihungs-Organisationsprogramm die Daten in den vorgesehenen Unterprogrammen auf, wobei zuerst das Unterprogramm "Gruppe" benutzt wird, um festzustellen, ob beide Kessel (Gruppe 2) jeder Gruppe (Liste R1/Liste R2) nicht verfügbar sind. Wenn dies der Fall ist, geht das Unterprogramm auf Abschalt-Alarmzustand im Schnellzugriffsspeicher 40 und Hilfsspeicher 30 über.
Wenn einer der vier Kessel nicht verfügbar ist (Gruppe i),wird ein Trennalarmzustand erzeugt.
Wenn der Abschaltalarmzustand vorhanden ist, zeigt die Hauptursache-Sichtanzeigeeinheit 32 an: "Zwei Kessel ausgefallen, Abschaltung innerhalb einer Stunde".
In diesem Falle wird der Trennalarmzustand als untergeordneter Alarmzustand behandelt. Wenn der Trennalarmzustand ohne den Abschaltalarmzustand vorliegt, zeigt die Hauptursache-Sichtanzeigeeinheit 32 an: "Kesselausfall, Abtrennen innerhalb vier Stunden".
Dieses Beispiel veranschaulicht das Prinzip einer Analyse zulässiger Anlacenzustände. Die übrigen Betriebseinschränkungen (-grenzwerte) können in ähnlicher Weise abgeleitet werden.

Claims (8)

  1. 9979 Patentanwälte 0 10/"77Q .**,.*'. ,"%.*". .*". *"
    Reichel vl ReichäIJ 4 ' ' J : : .;; " :. j ';." · Γ: j.
    Parkeira.Ce 13 " -V
    6Ca ^cmkiuri ο. Μ. 1 V
    NUCLEAR POWER COMPANY LIMITED, London, England
    Patentansprüche
    S3 := ss ss Ä =3 st ss SBr: s=s====3
    (1.JAlarmanlage, gekennzeichnet durch einen Rechner (20), eine erste Anzeigeeinrichtung (32) zum Anzeigen von Hauptursache-Alarmzustandsinformationen, eine weitere Anzeigeeinrichtung (34) zum Anzeigen untergeordneter Alarmzustände, die von wenigstens einem zugeordneten Alanazustand abhängen, der durch die erste Anzeigeeinrichtung (32) angezeigt wird, wobei der Zustand jeder durch den Rechner (20) überwachten Größe einem Eingang (21-2N) des Rechners (20) in digi- ^ taler Form zugeführt und durch den Rechner (20) in periodischen Zeitabständen abgefragt wird, der Rechner (20) mindestens ein Datenwort für jede der überwachten Größen aufweist und so ausgebildet ist, daß er bei jeder Abfragung einer Größe den augenblicklichen Zustand dieser Größe mit dem vorherigen Zustand der Größe, der durch seine jeweils gespeicherten Daten dargestellt wird, vergleicht, um festzustellen, wann eine Änderung des Zustands der Größe auftritt, und um festzustellen, wenn die Zustandsänderung anzeigt, daß sich die Größe in einem Alarmzustand befindet, zu welcher von η Alarmzustandsgruppen der Alarmzustand gehört, und um eine zugehörige von η Warneinrichtungen der weiteren Anzeigeeinrichtung (34) einzuschalten, die der betreffenden Alarmgruppe zugeordnet ist, und ^f wobei der Rechner (20) so ausgebildet ist, daß er ^
    _ ρ —
    periodisch jeden Alarmzustand in bezug auf alle anderen Alarmzustände dahingehend überprüft, ob es sich um einen Hauptursache-Alarmzustand oder einen aus irgendeinem anderen Grunde bewirkten Alarmzustand handelt, und jeden dieser Hauptursache-Alarmzustände auf der ersten Anzeigeeinrichtung (32) anzeigt.
  2. 2. Alarmanlage nach Anspruch 1, dadurch gekennzeichnet, daß die erste Anzeigeeinrichtung (32) eine Sichtanzeigeeinheit ist.
  3. 3. Alarmanlage nach Anspruch 2, dadurch gekennzeichnet, daß der Rechner (20) so ausgebildet ist, daß er die Anzeige jedes anzuzeigenden Hauptursache-Alarmzustands in Form einer Aussage oder eines Satzes auf der Sichtanzeigeeinheit (32) bewirkt.
  4. 4. Alarmanlage nach Anspruch 3,
    dadurch gekennzeichnet, daß der Rechner (20) ferner so ausgebildet ist, daß er die Sichtanzeigeeinheit (32) veranlaßt, eine Bezugnahme auf weitere Informationen anzuzeigen, die für mindestens einen der angezeigten Hauptursache-Alarmzustände verfügbar ist.
  5. 5. Alarmanlage nach einem der Ansprüche 1 bis 4, dadurch gekennzeichnet, daß der Rechner (20) so ausgebildet ist, daß er periodisch vorbestimmte Gruppen der überwachten Größen überprüft und, wenn mehr als eine vorbestimmte Anzahl der vorbestimmten Gruppen sich in einem Alarmzustand befindet, ohne daß ein höherrangiger Alarmzustand, der sich auf eine überwachte Größe bezieht, vorliegt,
    die erste Anzeigeeinrichtung (32) zur Anzeige eines in der Gruppe festgestellten Hauptursache-Alarmzustands veranlaßt.
  6. 6. Alarmanlage nach einem der Ansprüche 1 "bis 5, dadurch gekennzeichnet, daß der Rechner (20) ferner so ausgebildet ist, daß er periodisch die Betriebsfähigkeit von Teilen der überwachten Vorrichtung überprüft, um die Zulässigkeit einer Fortsetzung des Betriebs der Vorrichtung festzustellen, wenn einige Teile der Vorrichtung nicht für den Gebrauch verfügbar sind, und bei Unzulässigkeit der Fortsetzung des Betriebs der Vorrichtung die erste Anzeigeeinrichtung (32) zur Anzeige einer entsprechenden Nachricht zu veranlassen.
    .15
  7. 7. Alarmanlage nach Anspruch 6,
    dadurch gekennzeichnet, daß der Rechner (20) ferner so ausgebildet ist, daß er in Abhängigkeit davon, ob Teile der Vorrichtung nicht für den Gebrauch verfügbar sind, und unter Berücksichtigung der Wahrscheinlichkeit, mit der -weitere Teile der Vorrichtung nicht verfügbar werden, die Wahrscheinlichkeit feststellt, mit der die Fortsetzung des Betriebs der Vorrichtung innerhalb einer vorbestimmten Zeit unzulässig wird, und die erste Anzeigeeinrichtung
    (32) veranlaßt, eine Warnnachricht anzuzeigen, die die vorbestimmte Zeit beinhaltet.
  8. 8. Alarmanlage nach einem der Ansprüche 1 bis 7» gekennzeichnet durch eine Tastatur (33) für eine Bedienungsperson zur Eingäbe einer Anforderung an den Rechner (20), an der ersten Anzeigeeinrichtung (32) die Begriffe aller in einer der Alarmzusti idsgruppen vorhandenen Alarmzustände anzuzeigen.
    9· Alarmanlage nach Anspruch 8, dadurch gekennzeichnet, daß der Rechner (20) so ausgebildet.ist, daß er auf eine über die Tastatur (33) eingegebene Anforderung zur Durchführung einer Analyse einer der Alarmzu-
    standsgruppen anspricht.
DE19813134773 1980-09-03 1981-09-02 Alarmanlage Withdrawn DE3134773A1 (de)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
GB8028391 1980-09-03

Publications (1)

Publication Number Publication Date
DE3134773A1 true DE3134773A1 (de) 1982-06-03

Family

ID=10515804

Family Applications (1)

Application Number Title Priority Date Filing Date
DE19813134773 Withdrawn DE3134773A1 (de) 1980-09-03 1981-09-02 Alarmanlage

Country Status (3)

Country Link
JP (1) JPS5781615A (de)
DE (1) DE3134773A1 (de)
FR (1) FR2489560B1 (de)

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS5434501B2 (de) * 1974-02-15 1979-10-27
JPS5488099A (en) * 1977-12-26 1979-07-12 Nissan Shatai Co Automotive centralized alarm
GB2020432B (en) * 1978-05-06 1982-07-28 Arcubos Ltd Strain detecting devices

Also Published As

Publication number Publication date
FR2489560A1 (fr) 1982-03-05
FR2489560B1 (fr) 1985-06-28
JPS5781615A (en) 1982-05-21

Similar Documents

Publication Publication Date Title
DE69026425T2 (de) Unterstützungsverfahren für den Betrieb einer Anlage
DE68920462T2 (de) On-line-Problemverwaltung für Datenverarbeitungssysteme.
EP0653078B1 (de) Verfahren und leittechnisches system zum steuern, überwachen und regeln insbesondere von komplexen industriellen prozessen, wie z.b. in einem kernkraftwerk
DE1449529C3 (de) Unterbrechungseinrichtung für ein Datenverarbeitungssystem
EP0563684B1 (de) Überwachungsverfahren und Beobachtungssystem für einen technischen Prozess
DE2500086B2 (de)
WO2002013015A1 (de) System zur ermittlung von fehlerursachen
DE102016108197A1 (de) Verfahren und Vorrichtung zur Ermittlung der Fehlerursachen von Alarmmustern in Prozessleitsystemen
DE102008060005A1 (de) Sicherheitssteuerung und Verfahren zum Steuern einer automatisierten Anlage mit einer Vielzahl von Anlagenhardwarekomponenten
DE102004015503A1 (de) Verfahren und Vorrichtung zum Korrigieren diagnostischer Analysekonzepte in komplexen Systemen
EP3736647A1 (de) Abhängigkeiten zwischen prozessobjekten
DE60002618T2 (de) Verfahren und Analysewerkzeug zur Fehlerortung in einem Rechner
EP0796495A2 (de) System und verfahren zur steuerung von steuerstäben einer kernkraftanlage
DE68910075T2 (de) Datenverarbeitungssystem für Ladeprogrammechanismus.
EP4185932B1 (de) Überwachung eines stromrichters
DE3134773A1 (de) Alarmanlage
EP1050503B1 (de) Hilfesystem für Aufzüge
WO2000043885A1 (de) Verfahren zum tracen von daten
EP3637211B1 (de) Verfahren zum betreiben einer anlagenvorrichtung sowie anlagenvorrichtung
WO1997040431A1 (de) Verfahren zum erfassen und dokumentieren nicht erfüllter fortschaltbedingungen bei systemen, die von schrittorientierten sps-programmen gesteuert werden
EP1183634A2 (de) Verfahren zur kontrolle der im betrieb einer anlage entstehenden kosten
DE10253385A1 (de) Vorrichtung zur Bereitstellung eines Zugriffs auf Daten
EP3036592B1 (de) Verfahren und vorrichtung zur verbesserung eines betriebs einer technischen anlage
DE68922778T2 (de) Erzeugung von Fehlernachrichtenanzeige.
EP1736870A1 (de) Aktualisierungs-Management-System und Verfahren zum Bereitstellen von Aktualisierungs-Dateien unter Berücksichtigung von Nutzungsintensitätsdaten

Legal Events

Date Code Title Description
8141 Disposal/no request for examination