DE3587281T2 - Verteiltes mikroprozessorsystem fuer die verarbeitung von sensorsignalen eines verwickelten prozesses. - Google Patents
Verteiltes mikroprozessorsystem fuer die verarbeitung von sensorsignalen eines verwickelten prozesses.Info
- Publication number
- DE3587281T2 DE3587281T2 DE8585113018T DE3587281T DE3587281T2 DE 3587281 T2 DE3587281 T2 DE 3587281T2 DE 8585113018 T DE8585113018 T DE 8585113018T DE 3587281 T DE3587281 T DE 3587281T DE 3587281 T2 DE3587281 T2 DE 3587281T2
- Authority
- DE
- Germany
- Prior art keywords
- signal
- signals
- test
- independent
- parameter
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title claims description 23
- 230000008569 process Effects 0.000 title claims description 22
- 238000012545 processing Methods 0.000 title claims description 12
- 238000012360 testing method Methods 0.000 claims description 82
- 238000004891 communication Methods 0.000 claims description 33
- 238000012544 monitoring process Methods 0.000 claims description 14
- 230000004044 response Effects 0.000 claims description 13
- 238000002955 isolation Methods 0.000 claims 1
- 230000006870 function Effects 0.000 description 36
- 239000002826 coolant Substances 0.000 description 7
- XLYOFNOQVPJJNP-UHFFFAOYSA-N water Substances O XLYOFNOQVPJJNP-UHFFFAOYSA-N 0.000 description 6
- 230000009471 action Effects 0.000 description 5
- 230000008859 change Effects 0.000 description 5
- 238000006243 chemical reaction Methods 0.000 description 4
- 239000004020 conductor Substances 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 230000000694 effects Effects 0.000 description 4
- 230000004913 activation Effects 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 3
- 238000001816 cooling Methods 0.000 description 3
- 230000015654 memory Effects 0.000 description 3
- 239000000243 solution Substances 0.000 description 3
- 230000002159 abnormal effect Effects 0.000 description 2
- 230000003750 conditioning effect Effects 0.000 description 2
- 238000012937 correction Methods 0.000 description 2
- 125000004122 cyclic group Chemical group 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 230000006872 improvement Effects 0.000 description 2
- 230000000977 initiatory effect Effects 0.000 description 2
- 238000004886 process control Methods 0.000 description 2
- 230000001681 protective effect Effects 0.000 description 2
- 230000005855 radiation Effects 0.000 description 2
- 238000000926 separation method Methods 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- ZOXJGFHDIHLPTG-UHFFFAOYSA-N Boron Chemical compound [B] ZOXJGFHDIHLPTG-UHFFFAOYSA-N 0.000 description 1
- 230000002411 adverse Effects 0.000 description 1
- 230000002547 anomalous effect Effects 0.000 description 1
- 238000009835 boiling Methods 0.000 description 1
- 229910052796 boron Inorganic materials 0.000 description 1
- 230000008878 coupling Effects 0.000 description 1
- 238000010168 coupling process Methods 0.000 description 1
- 238000005859 coupling reaction Methods 0.000 description 1
- 238000013480 data collection Methods 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000002405 diagnostic procedure Methods 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 238000011990 functional testing Methods 0.000 description 1
- 230000036541 health Effects 0.000 description 1
- 230000020169 heat generation Effects 0.000 description 1
- 238000002347 injection Methods 0.000 description 1
- 239000007924 injection Substances 0.000 description 1
- 238000009413 insulation Methods 0.000 description 1
- 239000007788 liquid Substances 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 239000003758 nuclear fuel Substances 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 238000002360 preparation method Methods 0.000 description 1
- 230000009993 protective function Effects 0.000 description 1
- 238000005070 sampling Methods 0.000 description 1
- 238000005507 spraying Methods 0.000 description 1
- 230000001629 suppression Effects 0.000 description 1
- 238000010998 test method Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G21—NUCLEAR PHYSICS; NUCLEAR ENGINEERING
- G21C—NUCLEAR REACTORS
- G21C17/00—Monitoring; Testing ; Maintaining
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B9/00—Safety arrangements
- G05B9/02—Safety arrangements electric
- G05B9/03—Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02E—REDUCTION OF GREENHOUSE GAS [GHG] EMISSIONS, RELATED TO ENERGY GENERATION, TRANSMISSION OR DISTRIBUTION
- Y02E30/00—Energy generation of nuclear origin
- Y02E30/30—Nuclear fission reactors
Landscapes
- Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Automation & Control Theory (AREA)
- General Engineering & Computer Science (AREA)
- Quality & Reliability (AREA)
- Plasma & Fusion (AREA)
- High Energy & Nuclear Physics (AREA)
- Safety Devices In Control Systems (AREA)
- Testing And Monitoring For Control Systems (AREA)
- Monitoring And Testing Of Nuclear Reactors (AREA)
- Arrangements For Transmission Of Measured Signals (AREA)
- Testing Or Calibration Of Command Recording Devices (AREA)
Description
- Die Erfindung betrifft ganz allgemein ein Gerät zum Verarbeiten von Signalen, die von Sensoren zur Überwachung ausgewählter Parameter in einem komplexen System wie z. B. einem Kernreaktor generiert werden, gemäß dem Oberbegriff des Anspruchs 1.
- In einem komplexen Prozeß, wie z. B. in einem Kernkraftwerk, sind zahlreiche Sensoren vorgesehen, die verschiedene physikalische Zustände im Prozeß messen, wie z. B. Drücke, Temperaturen, Flüsse, Niveaus, Strahlung, sowie den Zustand verschiedener Bauteile überwachen wie z. B. die Stellung von Ventilen und ob eine Pumpe arbeitet oder nicht. Diese Messungen werden im allgemeinen dazu benutzt, drei unterschiedliche Funktionen auszuführen: Prozeßsteuerung, Überwachung und Schutz. "Prozeßsteuerung" beinhaltet automatische oder halbautomatische Regelung der Prozeßzustände, um das gewünschte Resultat zu erzielen. "Überwachung" umfaßt die Überwachung von Prozeßzuständen zwecks Feststellung, ob die erwünschten Ergebnisse erreicht werden. "Schutz" betrifft die automatische Reaktion auf anomale Zustände im Prozeß, damit verhindert wird, daß die Betriebsbedingungen bestimmte, konstruktiv vorgegebene Grenzen überschreiten und um Schritte einzuleiten, widrige Auswirkungen von Betriebszuständen außerhalb dieser konstruktiven Grenzen abzuschwächen. Insbesondere im Falle eines Kernkraftwerks ist die Schutzfunktion die bedeutsamste dieser drei Funktionen. Um die Zuverlässigkeit der Schutzsysteme zu sichern, sind redundante Sätze kritischer Sensoren vorgesehen. Zwecks Verbesserung der Betriebsbereitschaft des Werks ist das wechselseitige Verhältnis zwischen den von diesen redundanten Sensoren gelieferten Signalen eine Voraussetzung des Einsetzens von Abhilfemaßnahmen, um auf diese Weise die Wahrscheinlichkeit einer fälschlichen Unterbrechung des normalen Betriebs zu reduzieren. Zum Beispiel sind typisch vier redundante Sätze Sensoren vorgesehen und die Anzeige von mindestens zwei dieser vier Sensoren ist erforderlich, um das Not- oder Sicherheitssystem anfahren zu lassen.
- Einige kritische Prozeßzustände lassen sich direkt messen, wie z. B. der Druck des Druckerzeugers im Falle eines Druckwasserreaktors (PWR) . Andere werden aus gemessenen Parametern berechnet, wie das Abweichen vom Kernbrennstoff-Siedeverhältnis (DNBR) im PWR. In beiden Fällen wird der Istzustand mit einem vorgewählten Grenzwert verglichen, und wenn dieser Grenzwert überschritten wird, wird ein digitales Signal erzeugt. Diese digitalen Signale werden als Schutzsystem- Anfahrsignale bezeichnet und schließen Abschaltsignale ein, die zum Anfahren eines Systems benutzt werden, das den Reaktor in "Schnellabschaltung" abschaltet, und Anfahrsignale für technische Sicherheits-Einrichtungen, die benutzt werden, um andere Notsysteme im Werk anlaufen zu lassen, wie dem Fachmann wohl bekannt ist. Weil mehr als ein solches Abschaltsignal benötigt wird, um die Reaktion anlaufen zu lassen, werden sie als "Teil-Abschaltsignale" oder "Teil- Sicherheitsvorrichtungs-Anfahrsignale" bezeichnet.
- In einem typischen System auf dem Stand der Technik sind die Sensorsignale zur Verarbeitung in Kanalsätzen in Gruppen zusammengefaßt, wobei jeder Kanalsatz jeweils ein Sensorsignal aus jedem Satz redundanter Sensorsignale enthält, obwohl in Fällen, in denen ein besonders aufwendiger Sensor zum Generieren eines Signals erforderlich ist, dieses Signal nicht in jedem Kanalsatz eingeschlossen zu sein braucht. Wie bereits erwähnt, werden im allgemeinen vier redundante Sensoren für die meisten Parameter vorgesehen, die somit in vier Kanalsätzen zur Verarbeitung gruppiert werden können. In Systemen auf dem Stand der Technik beinhaltet jeder Kanalsatz eine Anzahl analoger Schaltungen, deren jede das angelegte Sensorsignal (Signale) in den geeigneten Bereich umwandelt, die gewünschten Parameter ggf. aus den Meßwerten berechnet, die sich ergebenden Signale mit einem ausgewählten Grenzwert vergleicht und ein Schutzsystem-Anfahrsignal generiert, sobald der Grenzwert überschritten wird. Typisch sind die Eingänge zu den analogen Schaltungen mit einem Überspannungsschutz versehen, galvanisch getrennt, und weisen eine Pufferstufe auf. Die Ausgänge der analogen Schaltungen sind bistabile Kippstufen, was eine ausfallssichere Anzeige eines Teil-Abschaltsignals bzw. Teil-Anfahrsignals für technische Sicherheitsvorrichtungen vorsieht dadurch, daß es unter Normalzuständen aktiv bleibt und inaktiv wird, sobald der entsprechende Grenzwert überschritten wird.
- Im typischen Schutzsystem auf dem Stand der Technik werden die vier Teil-Abschaltsignale und Teil-Anfahrsignale für die technischen Schutzsysteme aus jedem Kanalsatz auf zwei redundante logische Schaltungen gelegt, die jeweils die gewählte Abstimm-Logik, wie z. B. zwei von vier, wie bereits oben erwähnt, auf die Teil-Anfahrsignale für die technischen Schutzeinrichtungen durchführen. Wenn zwei der vier entsprechenden Schutzsystem-Teil-Anfahrsignale in einer beliebigen der zwei logischen Schaltungen inaktiv sind, werden die geeigneten Not- und Sicherheitssteuersysteme aktiviert.
- Ein Beispiel für ein Schutzsystem auf dem Stand der Technik wird in dem für die Allgemeinheit freien US-Patent 3,888,772 gezeigt. Dieses System schließt ein halbautomatisches Prüfgerät für die Abstimmungslogik ein, welches im für die Allgemeinheit freien US-Patent 3,892,954 beschrieben wird. Zum Testen der Abstimmungslogik werden die Teil-Anfahrsignale für die Schutzsysteme aus der Abstimmungslogik für alle Anfahrfunktionen in einem Logikzug herausgenommen und dann stellt ein Bediener von Hand einen Wahlschalter, so daß die vorprogrammierten Testsignale schnell und automatisch an ein Logikmodul in dem zu testenden Zug gelegt werden. Nach Abschluß des Tests legt der Bediener den Wahlschalter auf das nächste Logikmodul. Die Dauer der Testsignale ist so kurz, daß die Betätigungssysteme keine Zeit haben, auf die Anfahrsignale zu reagieren, die vom Prüfgerät generiert und überwacht werden; jedoch als Extravorsichtsmaßnahme, und um die Fähigkeit zum manuellen Generieren von Testsignalen vorzusehen, können Bypass-Abschalter vorgesehen werden, um unerwünschtes Anlaufen der Not- und Sicherheitsaktionen zu vermeiden.
- Eine neuere Form eines integrierten Schutzsystems für ein Kernkraftwerk wird in US-Patent 4,434,132 (UK-Patent 2,096.809) unter dem Titel "Power Supply with Nuclear Reactor" [Kraftversorgung mit einem Kernreaktor] beschrieben. In diesem System werden die redundanten Teil-Anfahrsignale, die von Analogschaltungen generiert werden, an vier getrennte Logikzüge gelegt, die jeweils die Abstimmungslogik durchführen. Die Abstimmungslogik in jedem Logikzug bzw. Kanalsatz wird teilweise von einem Mikrocomputer durchgeführt, der Informationen über Teil-Anfahren mit einem Mikrocomputer in jedem der anderen Kanalsätze über Lichtwellenleiter-Datenleitungen austauscht. Wenn einer der Sensoren nicht betriebsbereit ist, kann sein Logikmodul im zugeordneten Kanalsatz einzeln umgangen werden, und die Abstimmungslogik in den anderen Kanalsätzen wird nur für diese Anfahrfunktion durch den zugeordneten Mikrocomputer auf "zwei von drei" geändert. Jeder dieser Kanalsätze enthält ferner einen zweiten Mikroprozessor, der den Status der anderen Kanalsätze überwacht und die Umgehung des gesamten Kanalsatzes während des Testens der einzelnen Anfahrfunktionen einleitet.
- Alle diese Systeme auf dem Stand der Technik verwenden Analogschaltungen zum Generieren der Teil-Abschalt- und Teil- Anfahrsignale für technische Sicherheitsvorrichtungen mit allen einschlägigen Nachteilen solcher Schaltungen, einschließlich Größe, Kosten, Energieverbrauch, Wärmeerzeugung, Stabilität, beschränkte Lebensdauer und mangelnde Flexibilität.
- Eine Verbesserung in dieser Hinsicht bedeutet die in EP-A-33 785 geoffenbarte Erfindung durch Steuerung eines Prozesses durch digitale Prozessoren. Zu diesem Zweck wird eine Vielzahl Sensoren durch eine Vielzahl von Prozessoren gesteuert, die weiter durch zusätzliche Sicherheitssysteme gesteuert werden. Um das System sicher zu machen, wird die Anzahl der erforderlichen Sensoren sowie auch die Anzahl der Prozessoren vervielfacht, um redundante Informationen zu gewinnen. Die gewünschte Redundanz soll gegen Fehler und Funktionsausfälle schützen. Das bedeutet eine weitgehende Vermehrung der Hardware und erhöht somit Kosten und Effektivität des bekannten Systems.
- Aufgabe der Erfindung ist es, ein Signalverarbeitungssystem mit erhöhtem Sicherheitsstandard und mit einer eingeschränkten Anzahl Hardwarebestandteile zu entwickeln. Diese Aufgabe wird gelöst durch ein Gerät gemäß Anspruch 1. Weitere vorteilhafte Verbesserungen sind in den nachgeordneten Ansprüchen angegeben.
- Die vorliegende Erfindung überwindet die Nachteile des Standes der Technik durch Ersetzen der Analogschaltungen durch eine Mehrzahl von unabhängigen, digitalen Signalprozessoren zum Generieren der Signale zum Abschalten und zum Anfahren der technischen Sicherheitseinrichtungen in jedem Kanalsatz. Wenigstens einige der digitalen Signalprozessoren in jedem Kanalsatz generieren mehr als ein Schutzsystem- Anfahrsignal; jedoch sind die Anfahrfunktionen aufgeteilt auf Prozessoren in einem Kanalsatz, so daß die zusammengehörigen Anfahrfunktionen auf verschiedene Prozessoren aufgeteilt werden. Genauer gesagt, einige der Anfahrfunktionen sind Primäranzeigen eines bestimmten Ereignisses im komplexen Prozeß und andere sind Sekundäranzeigen. Die Primäranzeigen sehen eine schnelle Antwort auf einen besonderen anomalen Zustand vor, während die sekundären Anzeigen, die auch die erforderlichen Maßnahmen einleiten, langsamer ansprechen können. Zum Beispiel ist im Falle einer Unterbrechung des Primärkühlsystems eines PWR der plötzlich ansteigende Druck ein primäres Anzeichen dieser Notsituation, die sofortiger Abhilfemaßnahmen bedarf. Die Reaktorkühlmitteltemperatur ist ein sekundäres Anzeichen dieses Ereignisses, würde aber nicht so schnell eintreten. Erfindungsgemäß werden das Teil- Abschaltsignal auf der Grundlage des Druckerzeuger-Drucks und der Reaktorkühlmitteltemperatur gesondert in unabhängigen Signalprozessoren generiert, so daß bei Ausfall eines Signalprozessors noch immer der anderen vorhanden ist, der dann den Reaktorsabschaltvorgang einleitet. Jedes dieser Abschaltsignale liegt an einer gesonderten Ausgangsleitung mit ihrer eigenen Schutzisolierung, so daß sich Fehler nicht von einem Teil des Systems auf einen anderen übertragen können.
- Jeder der digitalen Signalprozessoren führt zyklisch jede der zugeordneten Abschalt- und Anfahrfunktionen für die technischen Sicherheitseinrichtungen unter Verwendung der angelegten Sensorsignale durch. Um den Betrieb jedes einzelnen Prozessors kontinuierlich zu überprüfen, generiert eine Test/ Bypass-Einheit in jedem Kanalsatz entsprechend ein Sägezahnsignal, das als ein zusätzlicher Sensoreingang an jeden Signalprozessor im Kanalsatz gelegt wird. Die Signalprozessoren zusammen generieren ein Testeinleitungssignal, sobald das Sägezahnsignal einen vorgegebenen Wert erreicht. Der Ausfall eines Prozessors beim Generieren des Testeinleitungssignals als Antwort auf das Sägezahnsignal generiert ein Alarmsignal. Auch die Test/Bypass-Einheit prüft auf Befehl automatisch jede der Betriebsabschalt- und Anfahrfunktionen für die technischen Sicherheitsvorrichtungen im Kanalsatz. Das wird erreicht durch Ersetzen der Sensorsignale durch die Testsignale, die zum Generieren des Abschaltsignals bzw. des Anfahrsignals für die technischen Sicherheitsvorrichtungen ausgewählt sind. Die Funktion wird während dieser Art Prüfung umgangen durch kontinuierliches Generieren eines normalen Ausgangssignals auf der zugeordneten Ausgangsleitung, während das Abschaltsignal bzw. Anfahrsignal für die technischen Sicherheitsvorrichtungen an die Test/Bypass- Einheit zwecks Bestätigung der Funktionsbetriebsbereitschaft angelegt wird. Der Test wird sehr schnell durchgeführt und die restlichen Anfahrfunktionen im Kanalsatz bleiben während des Tests on-line. Nach Abschluß des Tests wird das Testsignal auf einen extremen Wert hochgefahren, um nachzuprüfen, ob es wirklich abgeschaltet wurde.
- Als weiterer Aspekt der Erfindung werden die gemessenen oder berechneten Prozeßparametersignale, die von den digitalen Signalprozessoren beim Generieren der Schutzsystemaktivierungssignale generiert wurden, als analoge Signale zur Anwendung in den Reaktorsteuer- und/oder -überwachungssystemen und vom Anlagenrechner ausgegeben. Um die Notwendigkeit für individuelle Entkopplungsschaltkreise in den Ausgangsleitungen für jedes dieser analogen Signale auszuschließen, werden die analogen Signale in jedem Kanalsatz seriell über ein Datenverbindungssystem auf eine gemeinsame Ausgabevorrichtung über einen einzigen Entkopplungsschaltkreis gegeben. Die Schaltungsfolge dieser Datenübertragung wird gesteuert durch einen gemeinsamen Digitalsignal- Kommunikationsprozessor. In praktischer Sicht können die Digitalsignal-Prozessoren in jedem Kanalsatz in Gruppen unterteilt werden mit jeweils ihrem eigenen Digitalsignal- Kommunikationsprozessor zum Übertragen der Parametersignale über eine Datenleitung und einen gemeinsamen Entkopplungsschaltkreis auf der einen, gemeinsamen Parametersignal- Ausgabevorrichtung.
- Ein genaueres Verständnis der Erfindung kann durch die nachstehende Beschreibung einer bevorzugten Ausführungsform gewonnen werden, die anhand der bei liegenden Zeichnungen als Beispiel gegeben wird; in diesen sind:
- Fig. 1 ein Blockschaltbild eines Schutzsystems für einen Druckwasserreaktor eines Kernkraftwerks, bei dem die vorliegende Erfindung eingebaut ist;
- Fig. 2 ist ein Blockschaltbild eines Kanalsatzes des Schutzsystems gemäß Fig. 1; Fig. 3 ist ein Blockschaltbild der Einzelheiten eines Regelkreiskäfigs, der ein Teil des Kanalsatzes gemäß Fig. 2 ist; und Fig. 4 ist ein schematisches Diagramm einer der Eingabe/Ausgabe-Leiterplatten, die im Regelkreiskäfig gemäß Fig. 3 zu finden sind.
- Die Erfindung ist anwendbar auf Signalverarbeitung einer breiten Palette komplexer Prozesse, bei denen Signale aus einer großen Zahl Sensoren, die ausgewählte Prozeßparameter messen, verarbeitet werden; sie wird hier beschrieben als anwendbar auf einen Druckwasserreaktor (PWR) eines Kernkraftwerks. Wie in Fig. 1 gezeigt wird, überwachen eine redundante Gruppe Sensoren, z. B. vier, die allgemein mit den Bezugsziffern 1, 3, 5 und 7 bezeichnet sind, ausgewählte Parameter, wie beispielsweise u. a. Temperaturen, Drücke, Flüsse, Flüssigkeitshöhen, Strahlungshöhen, den Status von Pumpen und Ventilen usw. im ganzen Kraftwerk in einer fachlich bekannten Art. Wie bereits erwähnt, wird nicht jede Sensorgruppe immer Sensoren einschließen, die alle diese Parameter überwachen, insbesondere dann, wenn diese Sensoren besonders aufwendig sind, aber auch in solchen Fällen sind elektrisch vereinzelte Signale von diesen Sensoren üblicherweise zur redundanten Verarbeitung vorgesehen. Jede Sensorgruppe 1, 3, 5 und 7 generiert Signale, die von zugeordneten Signalprozessoren 9, 11, 13 und 15 verarbeitet werden. Die Sensoren und die zugeordneten Signalprozessoren bilden Kanalsätze, die im Beispiel von 1 bis 4 durchnumeriert sind.
- Die Verarbeitung der Sensorsignale durch die zugeordneten Signalprozessoren 9, 11, 13 und 15 der einzelnen Kanalsätze beinhaltet den Vergleich der Signalwerte mit einem ausgewählten Grenzwert. Wenn dieser Grenzwert überschritten wird, wird ein Signal zum Teil-Anfahren eines Schutzsystems generiert. Das durch die einzelnen Kanalsätze generierte Teil-Anfahrsignal für das Schutzsystem wird jeweils an zwei identische Logikzüge 17 und 19 gelegt, die auf der Grundlage einer ausgewählten Abstimmungslogik einzeln Teil-Anfahrsignale für das Schutzsystem generieren. Zum Beispiel, wenn eine "zwei von vier" Abstimmungslogik gewählt wurde, müssen zwei der entsprechenden vier Teil-Anfahrsignale vorliegen, um das Anfahrsignal zu generieren. Diese Schutzsystem-Anfahrsignale beinhalten Abschaltsignale, die die Schaltschütze öffnen, die im Betrieb Strom auf die unter Spannung stehenden Spulen am Reaktorstab-Steuersystem geben, um den Reaktor abzuschalten, und Anfahrsignale für technische Sicherheitsvorrichtungen, die die betreffenden Sicherheitsmaßnahmen wie Aktivierung des Not-Bor-Einspritzsystems durch Einschalten des Containment-Sprühens usw. einleiten, je nachdem, wie nach dem Zustand der Anlage erforderlich. Die Abstimmungslogik, das Abschalten des Reaktors und der Betrieb der technischen Sicherheitsvorrichtungen sind dem Fachmann wohlbekannt.
- Die Signalprozessoren 9, 11, 13 und 15 generieren ferner eine Anzahl redundanter, analoger Signale, die dem on-line Wert der gewählten Prozeßparameter entsprechen. Diese analogen Signale können vom Reaktorsteuersystem zum Regeln des Anlagenbetriebs, vom Überwachungssystem zum Verfolgen des Anlagenbetriebs und ggf. durch ein Überwachungssystem nach dem Zwischenfall zur Unterrichtung des Überwachungspersonals über den Zustand der Anlage und über die Auswirkungen der Abhilfemaßnahmen nach einem Zwischenfall benutzt werden. Ein ausgewählter Satz analoger Signale kann für einen oder mehrere dieser Zwecke eingesetzt werden, oder die vier Signalsätze können weiter verarbeitet werden, um einen Durchschnittswert oder einen höchsten Zuverlässigkeitswert zu erzeugen unter Anwendung von Techniken, die unabhängig von der vorliegenden Erfindung sind.
- Fig. 2 zeigt die Organisation des Signalprozessors 9 in Kanal 1 und ist beispielhaft für die Signalprozessoren in den anderen Kanälen. Dieser Signalprozessor beinhaltet einen Regelkreiskäfig 21, der seinerseits eine Anzahl Mikrocomputer umfaßt, wie nachstehend noch im einzelnen besprochen wird.
- Signale von den zahlreichen Sensoren 1 des Kanals 1 werden den Mikrocomputern im Regelkreiskäfig 21 zugeführt, um eine Anzahl digitaler Teil-Anfahrsignale für das Schutzsystem zu generieren, die einzeln über die Leitungen 23 den logischen Zügen 17 und 19 zugeführt werden. In jeder Leitung 23 ist eine Entkopplungsvorrichtung 25, die eine geschützte Entkopplung vom Grad Klasse 1 E (US-Standard) für das zugehörige Signal bewirkt. Eine Test/Bypass- und Datenerfassungseinheit 27 testet die Mikrocomputer und sonstigen Bestandteile des Regelkreiskäfigs 21 und erfaßt und speichert die von den Mikrocomputern generierten analogen Parametersignale zur seriellen Ausgabe über eine Datenleitung 29 durch eine gemeinsame Entkopplungsvorrichtung 31 Klasse 1E an ein Überwachungsausgangssystem 33. Bestimmte analoge Signale werden auch über eine Datenleitung 35 durch eine gemeinsame Entkopplungsvorrichtung 37 Klasse 1E an einen Reaktorsteuersystemausgang 39 gegeben. Ggf. liefert die Datenleitung 35 die Daten auch an ein nach dem Zwischenfall-Überwachungssystem (PAM) 41 durch eine einzelne Entkopplungsvorrichtung 43 Klasse E1.
- Ein zweiter Regelkreiskäfig 45 kann vorgesehen werden, in dem zusätzliche Mikrocomputer alle Sensorsignale 1 verarbeiten müssen. Jedes dieser zusätzlichen digitalen Teil-Anfahrsignale für Schutzsysteme, die von diesen zusätzlichen Mikroprozessoren generiert werden, wird über eine Leitung 23 mit ihrer eigenen Schutzgrad-Entkopplung 25 den logischen Zügen 17 und 19 zugeführt. Auf ähnliche Weise werden die im zweiten Regelkreiskäfig generierten Analogsignale dem Reaktorsteuersystem 39 und dem PAM-System 41 durch die Entkopplungsvorrichtungen 47 bzw. 49 über die Datenleitung 51 zugeführt.
- Die Anordnung der Mikrocomputer im Regelkreiskäfig 21 ist in Fig. 3 dargestellt. Jeder Mikrocomputer 53 beinhaltet einen Prozessor 55, eine Analog/Digital-Eingabevorrichtung 57, eine digitale Ausgangsschnittstelle 59, und einen Speicher 61. Ein geeigneter Mikrocomputer ist der Intel SBC 88/40 mit einem mathematischen Coprozessor Intel SBC 337. Diese Kombination bietet ein vollständiges Computersystem auf einer einzigen 6,75 · 12 Zoll [17,15 · 30,5 cm] Leiterplatte mit gedruckten Schaltkreis. Die Leiterplatte hat eine iAPX 88/2 Mikroprozessor/Coprozessor-Kombination, 16 differentielle Analogeingänge, drei Zeitglieder, 24 Leitungen mit parallelen E/A, E²PROM Unterstützung und einen ein Kilobyte Zweiweg-RAM.
- Zugeordnet zu jedem Mikrocomputer 53 sind eine Anzahl Eingabe/Ausgabe-Leiterplatten 63 auf die die Signale von den Sensoren 1 gelegt werden und von denen die Ausgangsleitungen 23 mit ihren Schutzgrad-Entkopplungsvorrichtungen 25 ausgehen. Jede Eingabe/Ausgabe-Leiterplatte 63 ist über einen Bus 65 an der Test/Bypass-Datenerfassungseinheit 27 angeschlossen. Signale auf dem Bus 65 steuern die Übertragung der Sensorsignale und Testsignale auf die A/D-Wandler-Schnittstelle 57 des Mikrocomputers und die Anwendung des digitalen Schutzsystem-Anfahrsignals von der digitalen Ausgangsschnittstelle 59 zur Ausgangsleitung 23. Wie man noch sehen wird, überträgt der Bus 65 auch die digitalen Testantwortsignale zum Prüfgerät 27.
- Die Signale, die für die analogen Parameter repräsentativ sind und vom Mikrocomputer 53 generiert wurden, werden in den Speichern 61 gespeichert. Ein gemeinsamer Kommunikationsprozessor 67 steuert die sequentielle Übertragung der gespeicherten Signale über die Datenleitung 35 zum Reaktorsteuersystem und zum Nach-Zwischenfall-Überwachungssystem. Die analogen Signale werden auch an die Test/Bypass-Datenerfassungseinheit gegeben zur Ausgabe an das Überwachungssystem und zur Überprüfung während des Tests.
- Fig. 4 zeigt Einzelheiten einer Eingabe/Ausgabe-Leiterplatte 63 für die Mikrocomputer 53. Jede Leiterplatte 63 beinhaltet analoge Eingangsschaltungen, die ein paar differentielle Eingangsanschlüsse 69 aufweisen. Eine Regelkreisstromversorgung 61 steht zur Verfügung für Sensoren 1 vom Stromübertragungstyp wie gezeigt, ist jedoch nicht nötig für Spannungstyp-Sensorsignale. Jede Leiterplatte hat zwei solcher Analogeingangsschaltungen, obwohl in Fällen, in denen die Sensoren Widerstandstemperaturfühler (RTD) sind, beide Eingänge benötigt werden, um die Ausgänge eines einzigen RTD zu treiben und zu überwachen. Das analoge Sensorsignal läuft durch eine Überspannungsschutzschaltung 73, die die anderen Bauteile der Eingabe/Ausgabe-Leiterplatte 63 und den zugehörigen Mikrocomputer gegen große dynamische Abweichungen im Feldsignal schützt, und wird auf im Ruhezustand geschlossene Kontakte eines Testrelais 75 gelegt. Wenn das Testrelais 75 stromlos ist, wird das Analogsignal auf einen Puffer 77 gelegt, der den Sensor gegen die Reaktion der nachgeschalteten Komponenten schützt und das differentielle Signal in ein einseitiges Signal umwandelt. Dieses einseitige Analogsignal wird dann durch einen Tiefpaßfilter 79 mit Potenzfiltermerkmalen, der das Rauschen unterdrückt, geschickt bevor es auf einen Multiplexer 81 gelegt wird. Unter normalen Betriebsbedingungen liefert der Multiplexer 81 das Analogsignal durch eine elektrische Entkopplungsschaltung 83 an den Analog/Digital-Wandler 57 als Eingang zum Mikrocomputer 53.
- Die Eingabe/Ausgabeleiterplatte beinhaltet auch ein Steuergerät 85, das Anweisungen erhält von - und Meldungen sendet an - die Test/Bypass-Datenerfassungseinheit 27 über den Bus 65, der einen vollen seriellen Duplex-Kommunikationsbus 87 und einen Echtzeit-digitalen Antwortbus 89 enthält. Als Antwort auf ein Signal vom Prüfgerät 27 zum Testen einer bestimmten Schutzsystem-Anfahrfunktion schaltet das Steuergerät 85 das Testrelais 75, das mit dem bestimmten analogen Eingangssignal verbunden ist, durch Senden eines Steuersignals über einen Leiter 91 ein. Das Testen einer bestimmten Schutzfunktion kann das Einschalten des Testrelais 75, das mit dem einzigen Analogeingang verbunden ist, oder kann auch das Einschalten beider Testrelais auf der Leiterplatte beinhalten, wenn die angewählte Funktion von beiden analogen Eingängen abhängig ist. Schutzfunktionen, die von mehr als zwei analogen Eingängen abhängen, setzen voraus, daß Steuergeräte auf anderen Leiterplatten gleichzeitig die entsprechenden Testrelais einschalten. Die Testrelais lassen sich jedoch nicht einschalten in Abwesenheit eines "+15-Volt-Relais"-Signals, das nämlich ein Testeinschaltsignal ist. Dieses "+15V Relais" Signal, das den Strom zum Betrieb der Testrelais liefert, wird durch Schließen eines (nicht dargestellten) Handschalters geliefert. Dieser Schalter, der gleichzeitig alle Testrelais auf allen Eingabe/Ausgabeleiterplatten in einem gegebenen Kanalsatz einschaltet, liefert die Verfahrenssteuerung über das Testverfahren und ermöglicht es einem Bediener, sicherzustellen, daß immer nur ein einziger Kanalsatz gleichzeitig getestet werden kann.
- Das Einschalten des Testrelais 75 durch ein Signal vom Steuergerät 85 über die Leitung 91 Schaltet das Feldanalogsignal vom Puffer 77 ab und substituiert ein Differentialanalog-Bezugssignal, das auf den Leitungen 93 gegeben wird. Das Bezugssignal auf Leitung 93 wird mit einer Brückeneinheit 95 unter 16 analogen Bezugssignalen gewählt, die von der Test/Bypass-Datenerfassungseinheit 27 auf einem Kabel 97 geliefert werden, das Teil des Busses 65 ist und prioritätsverkettet zwischen allen Eingabe/Ausgabe-Leiterplatten 63 in Kanalsatz ist. Die 16 Analogsignalleitungen bieten die Fähigkeit, Schutzfunktionen zu testen, die von multiplen Analogeingangssignalen abhängen.
- Der Multiplexer 81 gibt dem Mikrocomputer 53 die Möglichkeit, automatisch und wiederholt die Entkopplungsschaltung 83 und den Analog/Digital-Wandler 75 zu kalibrieren. Zyklisch während des Betriebs generiert der Mikrocomputer ein CAL Signal auf Leiter 99, das das gefilterte Analogsignal von der Kopplungsschaltung 83 abschaltet und durch ein Kalibrierungs- Bezugssignal ersetzt. Wenn ein Hi/LO Signal, das vom Mikrocomputer auf einem Leiter 101 generiert wird, aktiv ist wird an der Entkopplungsschaltung ein Kalibrierbezugssignal Vref, das vorzugsweise einen Wert am oberen Ende des Bereichs des Analog/Digital-Wandlers 57 hat, an die Entkopplungsschaltung 38 gelegt. Wenn dieses Hi/LO Signal inaktiv ist, wird die Masse als Kalibriersignal benutzt. Im Idealfall würde die Kalibrierung die gesamte Signalkonditionierung für die analogen Eingänge einschließen. Leider führt die Überspannungsschutzschaltung 73 eine signifikante Zeitkonstante in die Signalkonditionierung ein. Infolge der Zeitvorgaben verhindert das die dynamische Kalibrierung der gesamten Kalibrierschaltung.
- Die Mikrocomputer 53 legen eine Korrektur, die aus den Selbstkalibriersignalen abgeleitet wird, an die Analogfeldsignale, lesen sie, skalieren sie, vergleichen sie mit Alarm- und Vorsichtsgrenzen, führen die funktionellen Berechnungen durch, bewirken Teil-Abschaltungen und Teil-Anfahren technischer Sicherheitsvorrichtungen, und speichern die analogen Parametersignale in ihren Zweiwegspeichern 61 für etwaige Übertragung an die analogen Ausgabevorrichtungen, gesteuert vom Kommunikationsprozessor 67. Die Schutzsystem-Teilanfahrsignale, die die Teil-Abschaltsignale und die Teil-Anfahrsignale für die technischen Sicherheitsvorrichtungen umfassen, werden von der digitalen Ausgabevorrichtung 59 in der Form eines Steuersignals CTL über eine Leitung 103 auf eine Eingabe/Ausgabe-Leiterplatte 63 gegeben. Das CTL-Signal wird an eine Totmannschaltung 105 gegeben zusammen mit einem Impulszugsignal PT, das während des normalen zyklischen Betriebs des Mikrocomputers 53 generiert wird, und wird von der digitalen Ausgabevorrichtung 59 auf Leitung 107 gegeben. Die Totmannschaltung 105 gibt das Steuersignal CTL weiter als das berechnete Teil-Abschaltsignal CALPT auf Leitung 109 und überwacht das PT-Signal. Wenn das Impulszugsignal PT unterbrochen wird für eine Zeitspanne, die auf eine Störung im Mikrocomputer 53 hindeutet, schaltet die Totmannschaltung wegen Zeitüberschreitung ab und generiert ein Teil-Anfahrsignal auf Leitung 109, ungeachtet des Zustands des CTL- Signals. Der Betrieb der Totmannschaltung 105 kann getestet werden durch ein PSTOP Signal, das vom Steuergerät 85 über Leitung 110 zugeführt wird.
- Das berechnete Teil-Abschaltsignal CALPT wird in einem ODER- Gatter 111 logisch ODER-verknüpft mit einem manuellen Teil- Abschaltsignal SET PT, das auf Leitung 113 vom Bediener ferngesteuert über die Test/Bypass- und Datenerfassungseinheit 27 und das Steuergerät 85 generiert wird, und ein örtliches, manuelles Teil-Abschaltsignal, das vom einem auf der Leiterplatte integrierten Schalter 117 auf der Leitung 115 generiert wird. Der Ausgang des Gatters 111 auf Leitung 119 ist ein Signal LEDPT, das auf ein UND-Gatter 121 und zum Steuergerät 85 gelegt wird. Der Steuergerät 85 überträgt das Teil- Abschaltsignal durch die Test/Bypass-Einheit 27 auf die Leuchtdiode (LED) auf der Bedienerkonsole als Mitteilung der Generierung eines manuellen oder automatischen Teil-Abschaltsignals. Dieses LEDPT Signal gibt auch an die Test/Bypass- und Datenerfassungseinheit 27 die Anzeige der Generierung eines Teil-Abschaltsignals als Antwort auf die geeigneten Analogbezugssignale während des automatischen Tests. Dieses Signal wird dann über den digitalen Echtzeit-Antwortbus 89 auf die Testeinheit 27 übertragen, so daß der Tester die Zeit auswerten kann, die für den Mikrocomputer erforderlich ist, um das Teil-Anfahrsignal als Teil der Testsequenz zu generieren.
- Wie bereits gesagt, wird das Teil-Anfahrsignal (LEDPT) während des Tests umgangen, so daß, wenn ein entsprechendes Teil-Anfahrsignal bereits in einem anderen Kanalsatz, z. B. aufgrund eines fehlerhaften Sensors, generiert wird, der Reaktor nicht auf der Grundlage der zwei-von-vier Abstimmungslogik abgeschaltet oder das zugehörige technische Sicherheitsvorrichtungssystem angefahren wird. Wie ebenfalls bereits besprochen, kann ein Teil-Anfahrsignal nur dann umgangen werden, wenn der Bediener seine Zustimmung zu einer Umgehung in diesem Kanalsatz gegeben hat und eben dieses bestimmte Teil-Anfahrsignal für den Test angewählt wurde. Die Zustimmung des Bedieners wird gegeben durch den aktiven Zustand des "+15V Relais" Signals, welches durch einen Optokuppler/Pegelumsetzer 123 gelaufen ist, um ein BYPASS ENABLE Signal auf der Leitung 125 zu erzeugen, das in Schutzhöhe und galvanisch getrennt von, und invertiert gegenüber dem "+15V Relais"-Signal ist. Das spezifische Teil- Anfahrsignal, das umgangen werden soll, wird identifiziert durch den niedrigen Zustand des SET BYP Signals, das von der Steuervorrichtung 85 als Antwort auf ein Signal, das von der Test/Bypass-Einheit 27 über die Kommunikationsleitung 87 geschickt wird, auf der Leitung 127 generiert wird. Das
- BYPASS ENABLE und das SETBYP Signal werden an die Eingänge eines niedrigliegenden, wahren logischen UND-Gatters 129 gelegt, um auf der Leitung 131 ein BYPASS Signal zu erzeugen, das als zweiter Eingang an das UND-Gatter 121 gelegt wird und zwecks Überprüfung auch zum Steuergerät 85 rückgeführt wird.
- Falls nicht sowohl das BYPASS ENABLE und das SET BYP Signal niedrig liegen, ist der Ausgang des Gatters 129 hoch und schaltet das UND-Gatter 121 durch und führt somit das Teil- Anfahrsignal zum Leistungsschalter 133 durch. Der Leistungsschalter kann so eingerichtet werden, daß er den Stromkreis zwischen der 118 vac Spannungsquelle und den Ausgangsleitungen 23 als Antwort auf das Teil-Anfahrsignal entweder herstellt oder öffnet. Für die Teil-Abschaltsignale wird der Leistungsschalter 133 so konfiguriert, daß er kontinuierlich Leistung auf die Leitungen 23 gibt sofern kein Teil-Abschaltsignal vorliegt und die Leistung abschaltet, wenn das Signal vorliegt, wodurch ein ausfallsicherer Betriebsmodus entsteht. Für den Fall einiger technischer Sicherheitseinrichtungen wie Containment-Sprüher, bei denen die Ansprechgeschwindigkeit nicht so kritisch ist, wird der Leistungsschalter so eingerichtet, daß er die Ausgangsleitungen 23 nur bei Vorliegen eines Teil-Anfahrsignals unter Strom setzt.
- Es gibt zwei solche, eben beschriebene digitale Ausgabeschaltungen auf jeder Eingabe/Ausgabe-Leiterplatte 63, von denen jede ein Teil-Anfahrsignal für ein Schutzsystem generiert. Im Falle des Anfahrens bestimmter technischer Schutzvorrichtungen mag eine einzige Sicherheitsfunktion mehr als nur ein Teil-Anfahrsignal erzeugen. In einem solchen Fall werden beim Testen dieser Funktion alle zugehörigen Teil- Anfahrsignale umgangen.
- Eine wichtige Überlegung der Erfindung ist die Beibehaltung der Unabhängigkeit zwischen den Verarbeitungsschleifen. Es gibt eine totale Trennung zwischen den Kanalsätzen, insofern als gesonderte Sensoren, Signalverarbeitungs- und vereinzelte Ausgänge für jeden der vier Kanalsätze vorgesehen sind. Innerhalb jedes Kanalsatzes der beispielhaften Durchführungsform gibt es zwölf unabhängige Mikrocomputer 53. Eine Möglichkeit wäre, gesonderte Mikrocomputer für jede Schutzsystem-Anfahrfunktion vorzusehen, das ist aber sowohl unökonomisch als auch unnötig. Es gibt zu viele Anfahrsignale, die generiert werden müssen, im typischen Fall etwa 100, für eine PWR-Anlage mit vier Regel kreisen und die durchzuführenden Berechnungen sind ganz einfach. Ferner sieht die Art und Weise, in der Digitalrechner arbeiten, selbst eine Trennung zwischen den hintereinander innerhalb des Mikrocomputers auszuführenden Funktionen vor. Während das andeuten könnte, daß es die ideale Lösung wäre, einen einzigen Digitalcomputer vorzusehen, um alle Schutzvorrichtungs-Anfahrsignale in einem Kanalsatz zu generieren, ist diese Lösung doch unerwünscht, weil ein einziger Fehler im Digitalcomputer den gesamten Kanalsatz lahmlegen könnte. Die Philosophie hinter der vorliegenden Erfindung ist, die Schutzfunktion in jedem Kanalsatz auf einer Anzahl Mikrocomputer aufzuteilen, von denen jeder mehrere Schutzsystem-Anfahrsignale generiert, so daß der Ausfall eines Mikrocomputers nicht den gesamten Kanalsatz ausfallen läßt. Zusätzlich wird so vorgegangen, daß die Schutzfunktionen so auf die Mikrocomputer in einem Kanalsatz aufgeteilt werden, daß die Auswirkungen eines Fehlers gemildert werden. Da viele der Schutzschleifen durch den Prozeß inhärent gekoppelt sind, zeigen sich anomale Prozeßzustände, die unbeobachtet durch eine fehlerhafte Schleife schlüpfen würden, in der damit zusammenhängenden Schleife. Es hat sich in der Tat gezeigt, daß es für alle angenommenen Vorfälle, für die das PWR-Schutzsystem entwickelt wurde, eine Primärschleife zum Feststellen des Ereignisses und eine Sekundärschleife gibt. Es ist daher ein fundamentales Konzept dieser Erfindung, die Primär- und Sekundärschleifen zu identifizieren und sie auf unterschiedliche Mikrocomputer im Kanalsatz aufzuteilen. Tabelle 1 zeigt, auf welche Weise die Schutzsystemfunktionen einer PWR-Anlage mit vier Regel kreisen auf die zwölf Mikrocomputer in einem Kanalsatz aufgeteilt werden können. So eine Anlage hat vier Dampferzeuger, die alle von einem gemeinsamen Reaktor über vier zusammenhängende Reaktorkühlschleifen gespeist werden. Die nachstehende Legende erklärt gewisse in Tabelle 1 benutzte Abkürzungen.
- * zugeordneter Mikrocomputer
- FW Speisewasser
- RC Reaktorkühlmittel
- RT Reaktorabschaltung
- RWST Neubeschickung des Wasservorratstanks
- SI Sicherheitseinschuß
- ST Dampf
- WR großer Meßbereich.
- Hier ist anzumerken, daß Teil-Reaktorabschaltungen wegen hochstehenden Wasserpegeln in den Dampfgeneratoren nur im anzeigenden Kanalsatz für die Dampferzeuger 2 und 3 generiert werden, ein weiterer Kanalsatz würde auch redundante Abschaltungen für diese Dampferzeuger generieren, und die restlichen Kanalsätze würden entsprechende redundante Teilabschaltungen für die Dampferzeuger 1 und 4 generieren. Eine ähnliche Zuweisung wird für einen breiten Druckbereich des Reaktorkühlmittels vorgenommen.
- Als Illustration der Grundlagen der Erfindung, die in der Zuweisung der Schutzfunktionen im Beispiel nach Tabelle 1 enthalten sind, soll hier daran erinnert werden, daß der Primärhinweis auf einen Bruch im Kühlleitungssystem des Reaktors ein Abfall des Kühlmitteldrucks ist, und daß ein Sekundärhinweis eine Veränderung der Kühlmitteltemperatur ist. Wie man aus dem Beispiel der Tabelle 1 ersieht, werden die Signale für das Teil-Abschalten des Druckerzeugers und für das Teil-Anfahren des Sicherheitseinschießens im Mikrocomputer Nr. 1 generiert, während das Signal zum Teil- Anfahren des Kühlmitteltemperatur-Schutzsystems im Mikrocomputer Nr. 4 generiert wird. Ebenso muß beachtet werden, daß das Teil-Anfahrsignal für die Schutzvorrichtungen bei Dampferzeuger-Fehlanpassung für die Schleifen 1 bis 4, von denen jede auch Notmaßnahmen für das vorgesehene Ereignis einleiten könnte, in den Mikrocomputern Nr. 6, 7, 10 bzw. 11 generiert werden. Hier muß verstanden werden, daß die Zuweisung der Schutzfunktionen auf einzelne Mikrocomputer innerhalb eines Kanalsatzes, wie in Tabelle 1 gezeigt wird, nicht die einzig mögliche Lösung innerhalb der Lehre der Erfindung ist, auch für ein PWR-Kraftwerk mit vier Regelkreisen.
- Die Software für die einzelnen Mikrocomputer 53 nimmt die Form einer Systeminitialisierung, gefolgt von einer kontinuierlichen Schleife, an und ist immer in einem der folgenden Zustände: Primärinitialisierung, Parametereinstellung, Sekundärinitialisierung, Programmablauf und Fehler. Betrachten wir die einzelnen Zustände in dieser Reihenfolge: Nach dem Einschalten bzw. Rückstellen läuft der Mikrocomputer bzw. der Schleifenprozessor durch den Zustand der Primärinitialisierung. Die Signale zur Teil-Abschaltung und die Signale zum Teil-Anfahren der technischen Sicherheitsvorrichtungen werden auf den Sicherheitszustand gestellt. Dann führt der Prozessor ausgedehnte Einschalt-Diagnosetests durch. Nach erfolgreichem Abschluß dieser Tests geht der Prozessor in den Zustand der Parametereinstellung über, wenn ein Parametereinstellsignal aktiviert ist, sonst geht er sofort zum Sekundärinitialisierungszustand über. Der Parametereinstellzustand, in den nur aus dem Primärinitialisierungszustand übergegangen werden kann, ermöglicht es, daß der Schleifenprozessor Befehle vom Kommunikationsprozessor 67 aufnimmt. Er wird dazu benutzt, Vorsichts- und Alarmgrenzwerte, Ein/Aus-Modul-Kalibrierungskonstanten, Umwandlungskonstanten für technische Einheiten und Abgleichkonstanten zu verändern. Aufgrund organisatorischer Sicherheitsmaßnahmen ist der Zugriff begrenzt und Befehle werden vom Kommunikationsprozessor nur akzeptiert, wenn der Schleifenprozessor im Parametereinstellzustand ist. Der Schleifenprozessor stellt zunächst die Verbindung zum Kommunikationsprozessor her, bevor er Befehle akzeptiert. Die Mehrzahl der Befehle sind Anforderungen auf Änderung der E²PROM-Konstanten. Wenn dann der Schleifenprozessor den Ausgang aus dem Parametereinstellzustand anfordert, geht er wieder in den Primärinitialisierungszustand über.
- Der Sekundärinitialisierungszustand ist die letztendliche Vorbereitung für den Betrieb. Die funktionellen Algorithmen und der Echtzeit-Intervallzeitgeber werden initialisiert. Der Schleifenprozessor geht dann in den Betriebszustand über, der den normalen Betrieb kennzeichnet. Er besteht aus einer kontinuierlichen Schleife, die die folgenden Funktionen ausführt:
- 1. Eingabe-Abtastung - führt analoge Eingaben, Fehlerkorrektur, Umwandlung technischer Einheiten und Grenzwertüberprüfung durch.
- 2. Funktionelle Berechnungen - führt numerische Algorithmen durch und stellt unmittelbar Teil-Abschaltungs- und technische Sicherheitsvorrichtungen ein.
- 3. Verbindungen - wenn Verbindungen mit dem Kommunikationsprozessor bestehen und die vorherige Transaktion abgeschlossen ist, stellt diese Funktion den nächsten Datenblock für die gespeicherten analogen Parameter her und übergibt ihn dem Kommunikationsprozessor. Wenn keine Verbindung besteht wird versucht, die Verbindung herzustellen. Unter keinen Umständen kann der Prozessor die Kommunikationsroutinen blockieren.
- 4. Obligatorische Diagnostik - Eine Reihe On-line- Funktionsprüfprogramme werden durchgeführt, einschließlich Prozessortests mit numerischen Daten.
- 5. Echtzeit-Intervallsynchronisierung - Der Intervallzeitgeber wird gelesen; wenn er nicht nahe dem Ende steht, werden zusätzliche Funktionsprüfprogramme durchgeführt. Wenn das Ende unmittelbar bevorsteht, wartet der Schleifenprozessor und ruft den Zeitgeber zyklisch auf, bis er am Ende steht. Dann läuft die kontinuierliche Schleife erneut an.
- Wenn der Schleifenprozessor einen internen Fehler findet, tritt er in den Fehlerstatus ein. Alle Teil-Abschaltungen und Ausgänge zum Einschalten technischer Sicherheitsvorrichtungen werden in einen Sicherheitszustand versetzt und ein Fehlercode wird an den Kommunikationsprozessor gegeben. Wenn keine Verbindung besteht, wird der Schleifenprozessor kontinuierlich versuchen, diese Verbindung herzustellen. Der Schleifenprozessor bleibt im Fehlerstatus, bis er rückgestellt wird.
- Wie bereits gesagt, kommuniziert der Kommunikationsprozessor mit jedem Schleifenprozessor im Regelkreiskäfig. Der Zweck dieser Kommunikation ist zweifach. Erstens, während des normalen Betriebs führt der Schleifenprozessor zusätzlich zu seiner Schutzfunktion eine Datensammelfunktion durch. Alle Eingabepunkte werden in technische Einheiten umgewandelt, mit Grenzwerten verglichen und an den Kommunikationsprozessor gegeben. Das Kommunikationsprotokoll läuft im Simplexbetrieb, weil der Datenfluß streng nur aus dem Schleifenprozessor heraus strömt. Diese Funktion wird auch während des Systemtests und der Systemkalibrierung angewandt. Weil der Schleifenprozessor nicht weiß, daß ein Test abläuft, wird der normale Betriebsmodus überprüft. Zweitens, die Kommunikationsmöglichkeit wird benutzt zur Veränderung der Parameter und Sollwerte. Diese Kommunikation läuft im Halbduplexbetrieb ab; der Schleifenprozessor erhält Befehle, die Parameteränderungen anfordern, und antwortet entsprechend.
- Sorgfältig wird darauf geachtet, die funktionelle Unabhängigkeit der Schleifenprozessoren zu wahren. Insbesondere halten sie nicht an und warten auf Kommunikation, und Parameteränderung ist eine streng gesteuerte, Off-line- Funktion. Die erste Überlegung, das Vermeiden des Wartezustands, läßt sich leicht ansprechen. Der Status der Kommunikation wird in jedem Zyklus überprüft. Nur ein Versuch wird gemacht, die Kommunikation herzustellen. Ob das erfolgreich ist oder nicht, der Prozessor geht zu seinem Normalbetrieb über. Die zweite Überlegung, die strenge Steuerung der Parameterveränderungen, wird ebenfalls durch das Kommunikationsschema angesprochen. Parameteränderungen sind nur zulässig, wenn der Schleifenprozessor im Parametereinstellstatus steht. Zum Eintreten in diesen Zustand ist ein bestimmter Aufwand erforderlich. Ein festverdrahtetes Signal "Parametereinstellungen aktivieren" muß aktiviert werden und der Regelkreiskäfig muß rückgestellt werden. Der Kommunikationsprozessor muß ebenfalls in einem bestimmten Zustand sein, um einen Halbduplexbetrieb zuzulassen.
- Die Test/Bypass- und Datenerfassungseinheit 27 dient als ein Brennpunkt zur Kommunikation mit dem Werkspersonal sowie mit anderen Werksüberwachungsystemen. Eine ausgedehnte Testmöglichkeit zwischen Mensch und Automatik ist vorgesehen, zusätzlich zu System- und Werksvorrichtungen, die den erforderlichen Aufwand an technischen Spezifikationen vermindert. Diese Testeinheit wird auch benutzt, um Parameter in den Schleifenuntersystemen einzustellen und zu überwachen.
- Das Prüfgerät 27 übermittelt die Parameteränderungen an die Kommunikationsprozessoren 67 der Schleifenuntersysteme über eine serielle Datenleitung. Das Prüfgerät 27 ist über den Bus 65 und Schnittstellen mit den Ein/Ausgabeeinheiten 63 der einzelnen Mikrocomputer verbunden. Die Testschnittstelle ermöglicht es dem Prüfgerät, anstatt der Feldsignale die von ihm gelieferten Testsignale über Kabel 97 auf die Analogeingänge der einzelnen Mikroprozessoren zu geben. Während des Tests wird der digitale Ausgang an die Logikzüge umgangen, wie oben bereits gesagt. Das konvertiert die Abstimmungslogik in den getesteten Funktionen automatisch auf zwei von drei. Jedoch wird nur die individuelle Schutzfunktion umgangen und der automatische Test wird sehr schnell durchgeführt, so daß die Funktion nur während eines sehr kurzen Intervalls offline ist. Zwecks Nachprüfung, daß das Testsignal nach Abschluß des Tests vom Analogeingang abgeschaltet ist, wird es auf einen extrem hohen Wert gesetzt und der Analogwert wird dann über die serielle Datenleitung durch den Kommunikationsprozessor gelesen. Wenn der Extremwert vom Prüfgerät 27 rückgelesen wird, hat die Schnittstelle nicht abgeschaltet.
- Die Test/Bypass- und Datenerfassungseinheit 27 führt auch zusätzliche Tests an jedem Mikrocomputer-Untersystem durch. Das Prüfgerät generiert wiederholt ein Sägezahnsignal, das kontinuierlich als Analogeingang an jeden Mikrocomputer gelegt wird. Jeder Prozessor, zusätzlich zur Durchführung zyklischer Berechnungen für die zugeordneten Schutzfunktionen, berechnet auch eine Testabschaltung auf der Grundlage eines bestimmten Werts des Sägezahnsignals. Das Zeitintervall, das benötigt wird, damit das Sägezahnsignal seinen vorgegebenen Wert erreicht ist viel länger, als die Zykluszeit des Mikrocomputers. Das Testabschaltsignal wird über den digitalen Antwort-Echtzeitleiter 89 an das Prüfgerät gegeben, so daß das Prüfgerät als Teil des Tests die Zeit auswerten kann, die der Mikroprozessor zum Generieren des Prüfabschaltsignals braucht. Wenn das Testabschaltsignal nicht innerhalb eines gewählten Intervalls nachdem das Sägezahnsignal den vorgeschriebenen Wert erreicht hat, generiert ist, generiert das Prüfgerät ein Alarmsignal.
Claims (7)
1. Gerät zum Verarbeiten einer Vielzahl von Sensorsignalen
(Ix), die von einer Gruppe (1, 3) Sensoren bei der
Überwachung ausgewählter Parameter in einem komplexen Prozeß zur
Anwendung eines Prozeßschutzsystems erzeugt werden, wobei
dieses Gerät eine Vielzahl unabhängiger digitaler
Signalprozessoren (53) enthält, die dieser Gruppe (1, 3) Sensoren
zugeordnet sind, und die zahlenmäßig kleiner ist als die
Vielzahl der Sensorsignale zum Generieren von
Betätigungssignalen für das Schutzsystem als Antwort auf vorgegebene
Kombinationen von Werten dieser Sensorsignale, die auf
bestimmte Zustände hinweisen, wobei wenigstens einige dieser
Signalprozessoren mehr als ein digitales
Schutzsystembetätigungssignal generieren,
dadurch gekennzeichnet,
daß das für mindestens einen vorgegebenen Prozeßzustand
mindestens zwei unabhängige Betätigungssignale generiert werden,
wobei die unabhängigen Betätigungssignale unterschiedlichen
Signalprozessoren (53) zugeordnet sind, wobei die
Unabhängigkeit daraus entsteht, daß unterschiedliche physikalische
Erscheinungen eines gegebenen Zustands unterschiedlichen
Prozessoren zugeordnet werden.
2. Das Gerät gemäß Anspruch 1, dadurch gekennzeichnet,
daß die Signalprozessoren (53) digitale Ausgangsleitungen
(23) zur Übertragung der einzelnen Betätigungssignale
aufweisen, die elektrische Isoliermittel (25) in jeder
Ausgangsleitung (23) beinhalten, um jeden Signalprozessor (53) vom
Verfahrensschutzsystem galvanisch zu trennen.
3. Gerät gemäß Anspruch 1 oder 2, dadurch gekennzeichnet,
daß jeder dieser unabhängigen Signalprozessoren (53) Mittel
(57) aufweist, um Analogsensorsignale zu repräsentativen,
digitalen Ausgangssignalen zu verarbeiten,
daß das Gerät eine gemeinsame Parameterausgabevorrichtung
(39), ein gemeinsames elektrisches Entkopplungsmittel (37),
Datenleitungsmittel (35) zur Verbindung jedes dieser
unabhängigen Signalprozessoren (53) durch dieses gemeinsame
elektrische Entkopplungsmittel (37) mit der gemeinsamen
Parameterausgabevorrichtung (39), und einen
Kommunikationsprozessor (67) zum Steuern dieser Datenleitungsmittel (35)
zur sequentiellen Übertragung der Parametersignale von jedem
dieser unabhängigen digitalen Signalprozessoren (53) zu
dieser gemeinsamen Parametersignalausgabevorrichtung (39)
durch dieses gemeinsame elektrische Entkopplungsmittel
aufweist.
4. Das Gerät gemäß Anspruch 3, gekennzeichnet durch
ein zweites Datenleitungsmittel (51), ein zweites gemeinsames
elektrisches Entkopplungsmittel (47) und einen zweiten
Kommunikationsprozessor (67), in dem diese Vielzahl unabhängiger
Datenprozessoren (53) in zwei Gruppen unterteilt ist, wobei
die in der ersten Gruppe (21) an diese gemeinsamen
Parametersignalausgabevorrichtung (39) über das erste
Datenleitungsmittel (35) durch das erste gemeinsame elektrische
Entkopplungsmittel (37), das von einem ersten
Kommunikationsprozessor (67) gesteuert wird, und durch diese unabhängigen
digitalen Signalprozessoren (53) in der zweiten Gruppe, mit
dieser gemeinsamen Parameterausgabevorrichtung (39) über
diese zweiten Datenleitungsmittel (51) durch dieses zweite
gemeinsame elektrische Entkopplungsmittel (49) unter der
Steuerung des zweiten Kommunikationsprozessors (67) verbunden
ist.
5. Gerät gemäß Anspruch 3 oder 4, einschließlich einer
zweiten Parametersignal-Ausgabevorrichtung (41) und dritten
gemeinsamen elektrischen Entkopplungsmitteln (43, 49), worin
diese Datenleitungsmittel (35, 51) diese verarbeiteten
Parametersignale an diese zweite
Parametersignal-Ausgabevorrichtung (41) durch diese zweiten gemeinsamen elektrischen
Kommunikationsmittel (43) unter der Steuerung dieses
Kommunikationsprozessors (67) übertragen.
6. Gerät gemäß den Ansprüchen 1 bis 5, dadurch
gekennzeichnet,
daß dieser redundante Satz Signale, die von multiplen
Sensoren erzeugt werden, die ausgewählten Parameter im komplexen
Verfahren überwachen,
daß die Mehrzahl der unabhängigen digitalen Signalprozessoren
einen Kanalsatz (9, 11, 13, 15) bilden, der einen Satz dieser
redundanten Signale erzeugt, und
daß dieser Apparat einen redundanten Kanalsatz (9, 11, 13,
15) umfaßt, der eine Vielzahl unabhängiger, digitaler
Signalprozessoren enthält, die einen Satz dieser redundanten
Sensorsignale verarbeiten.
7. Gerät gemäß einem der obigen Ansprüche, gekennzeichnet
durch
gemeinsame Test/Bypass-Mittel (27), die Testsignale zur
Generierung der Betätigungssignale generieren wobei sie das
getestete Betätigungssignal abschalten und auf die Test/
Bypass-Mittel legen, worin die Test/Bypass-Mittel dieses zum
Speichern des Betätigungssignals, das von diesem Testsignal
generiert wird, erfassen, wobei jedes Betätigungssignal
einzeln umgangen wird durch die Generierung eines
kontinuierlich aktiven Signals auf der Ausgangsleitung, wenn der
Test abläuft.
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US06/666,696 US4804515A (en) | 1984-10-31 | 1984-10-31 | Distributed microprocessor based sensor signal processing system for a complex process |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| DE3587281D1 DE3587281D1 (de) | 1993-05-27 |
| DE3587281T2 true DE3587281T2 (de) | 1993-08-12 |
Family
ID=24675053
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| DE8585113018T Expired - Fee Related DE3587281T2 (de) | 1984-10-31 | 1985-10-14 | Verteiltes mikroprozessorsystem fuer die verarbeitung von sensorsignalen eines verwickelten prozesses. |
Country Status (8)
| Country | Link |
|---|---|
| US (1) | US4804515A (de) |
| EP (1) | EP0180085B1 (de) |
| JP (1) | JPH0697407B2 (de) |
| KR (1) | KR930010416B1 (de) |
| CN (1) | CN85109748A (de) |
| CA (1) | CA1241717A (de) |
| DE (1) | DE3587281T2 (de) |
| ES (1) | ES9000015A1 (de) |
Families Citing this family (56)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH0625923B2 (ja) * | 1986-02-13 | 1994-04-06 | 横河電機株式会社 | 原子炉安全保護系のバイパス管理回路 |
| US4843537A (en) * | 1986-07-04 | 1989-06-27 | Hitachi, Ltd. | Control system |
| JPH0795241B2 (ja) * | 1986-07-04 | 1995-10-11 | 株式会社日立製作所 | 原子炉安全保護装置 |
| KR880009387A (ko) * | 1987-01-30 | 1988-09-15 | 더머 제트.엘 | 진단 모니터링을 위한 스마트센서 시스템 |
| US5005142A (en) * | 1987-01-30 | 1991-04-02 | Westinghouse Electric Corp. | Smart sensor system for diagnostic monitoring |
| JPH0731537B2 (ja) * | 1987-09-11 | 1995-04-10 | 株式会社日立製作所 | 多重化制御装置 |
| US5287264A (en) * | 1988-08-05 | 1994-02-15 | Hitachi, Ltd. | Multicontroller apparatus, multicontroller system, nuclear reactor protection system, inverter control system and diagnostic device |
| JP2536182B2 (ja) * | 1988-09-28 | 1996-09-18 | オムロン株式会社 | ファジイ・コントロ―ラ、ファジイ推論装置、ファジイル―ル管理装置、ファジイ・コントロ―ル方法、ファジイ推論方法及びファジイル―ル管理方法 |
| JP2783734B2 (ja) * | 1992-09-29 | 1998-08-06 | 株式会社デンソー | 車両用負圧ポンプ並列駆動装置 |
| US5511223A (en) * | 1992-11-25 | 1996-04-23 | The B&W Nuclear Service Company | Diverse processor electronic protection and control module |
| TW227064B (de) * | 1992-12-02 | 1994-07-21 | Combustion Eng | |
| US5621776A (en) * | 1995-07-14 | 1997-04-15 | General Electric Company | Fault-tolerant reactor protection system |
| DE69618160T2 (de) * | 1995-07-14 | 2002-09-05 | Gen Electric | Reaktorschutzsystem |
| US6061412A (en) * | 1995-10-05 | 2000-05-09 | Westinghouse Electric Company Llc | Nuclear reaction protection system |
| US6167547A (en) * | 1996-06-20 | 2000-12-26 | Ce Nuclear Power Llc | Automatic self-test system utilizing multi-sensor, multi-channel redundant monitoring and control circuits |
| US5831524A (en) * | 1997-04-29 | 1998-11-03 | Pittway Corporation | System and method for dynamic adjustment of filtering in an alarm system |
| US6484126B1 (en) * | 1997-06-06 | 2002-11-19 | Westinghouse Electric Company Llc | Digital plant protection system with engineered safety features component control system |
| US5984504A (en) * | 1997-06-11 | 1999-11-16 | Westinghouse Electric Company Llc | Safety or protection system employing reflective memory and/or diverse processors and communications |
| US6222456B1 (en) | 1998-10-01 | 2001-04-24 | Pittway Corporation | Detector with variable sample rate |
| US6532550B1 (en) | 2000-02-10 | 2003-03-11 | Westinghouse Electric Company Llc | Process protection system |
| KR100408493B1 (ko) * | 2001-05-07 | 2003-12-06 | 한국전력기술 주식회사 | 소프트웨어 공통유형고장을 자체 배제한 디지털원자로 보호시스템 및 그 제어방법 |
| US6842669B2 (en) | 2001-09-24 | 2005-01-11 | Westinghouse Electric Company Llc | Component interface module |
| US6701258B2 (en) * | 2002-05-13 | 2004-03-02 | Entek Ird International Corporation | Modular monitoring and protection system with distributed voting logic |
| US6714880B2 (en) * | 2002-05-13 | 2004-03-30 | Entek Ird International Corporation | Multi-alarm monitoring and protection system |
| ES2304238T3 (es) | 2002-11-08 | 2008-10-01 | Campagnolo Srl | Procedimiento de fabricacion de una rueda de radios para bicicletas. |
| US6834258B2 (en) * | 2002-12-31 | 2004-12-21 | Rosemount, Inc. | Field transmitter with diagnostic self-test mode |
| DK1597637T3 (da) * | 2003-02-28 | 2008-10-27 | Gottwald Port Tech Gmbh | Fremgangsmåde og indretning til sikkerhedsafbrydelse af elektriske drev |
| US7130703B2 (en) * | 2003-04-08 | 2006-10-31 | Fisher-Rosemount Systems, Inc. | Voter logic block including operational and maintenance overrides in a process control system |
| ATE400453T1 (de) | 2003-08-11 | 2008-07-15 | Campagnolo Srl | Fahrradfelge aus verbundwerkstoff und verfahren zu ihrer herstellung |
| US7089072B2 (en) * | 2004-05-26 | 2006-08-08 | Taiwan Semiconductor Manufacturing Company, Ltd. | Semiconductor manufacturing fault detection and management system and method |
| US7386086B1 (en) | 2005-10-03 | 2008-06-10 | Westinghouse Electric Co. Llc | Printed circuit card |
| DE102005060720A1 (de) * | 2005-12-19 | 2007-06-28 | Siemens Ag | Überwachungssystem, insbesondere Schwingungsüberwachungssystem und Verfahren zum Betrieb eines solchen Systems |
| US8285513B2 (en) * | 2007-02-27 | 2012-10-09 | Exxonmobil Research And Engineering Company | Method and system of using inferential measurements for abnormal event detection in continuous industrial processes |
| JP5210147B2 (ja) * | 2008-01-24 | 2013-06-12 | 株式会社荏原製作所 | 給水装置 |
| DK2249707T3 (da) | 2008-02-06 | 2022-07-04 | Capis Sprl | Indretning til automatiseret screening for medfødte hjertesygdomme |
| US7870299B1 (en) | 2008-02-06 | 2011-01-11 | Westinghouse Electric Co Llc | Advanced logic system |
| EP2100751B1 (de) | 2008-03-14 | 2011-05-18 | Campagnolo S.r.l. | Radfelge aus Verbundmaterial für ein schlauchloses Fahrradrad und ein mit einer solchen Radfelge ausgestattetes schlauchloses Fahrradrad |
| US8224611B2 (en) * | 2009-03-11 | 2012-07-17 | Kavlico Corporation | One pin calibration assembly and method for sensors |
| JP5634163B2 (ja) * | 2010-08-12 | 2014-12-03 | 三菱重工業株式会社 | プラントの制御システム |
| US9874609B2 (en) * | 2010-09-24 | 2018-01-23 | Infineon Technologies Ag | Sensor self-diagnostics using multiple signal paths |
| US10145882B2 (en) | 2010-09-24 | 2018-12-04 | Infineon Technologies Ag | Sensor self-diagnostics using multiple signal paths |
| JP5675256B2 (ja) * | 2010-10-12 | 2015-02-25 | 三菱重工業株式会社 | 原子力施設の制御システム |
| US8769360B2 (en) | 2010-10-14 | 2014-07-01 | International Business Machines Corporation | Dynamic detection and identification of the functional state of multi-processor cores |
| DE102011056594A1 (de) * | 2011-11-21 | 2013-05-23 | Phoenix Contact Gmbh & Co. Kg | Eingangsschaltung für ein Sicherheitsschaltgerät, Sicherheitsschaltung mit einem Sicherheitsschaltgerät und einer solchen Eingangsschaltung, und Verfahren zur Überwachung von einer Mehrzahl Sicherheitsfunktionen |
| CN102946082A (zh) * | 2012-10-23 | 2013-02-27 | 南京南瑞继保电气有限公司 | 一种采用双总线冗余通讯的实现方法 |
| JP6067539B2 (ja) * | 2013-11-01 | 2017-01-25 | 株式会社東芝 | タービン保護装置およびその診断方法 |
| CN104240781B (zh) * | 2013-11-07 | 2017-02-15 | 中广核工程有限公司 | 核电厂数字化仪控系统的信号分配方法及系统 |
| CN105093994B (zh) * | 2014-04-30 | 2017-12-26 | 台达电子企业管理(上海)有限公司 | 变送器控制方法及其控制装置 |
| US10942046B2 (en) | 2014-09-23 | 2021-03-09 | Infineon Technologies Ag | Sensor system using safety mechanism |
| JP6375876B2 (ja) * | 2014-10-31 | 2018-08-22 | 株式会社ジェイテクト | センサシステム及びトルクセンサ |
| CN106374441B (zh) * | 2016-09-20 | 2019-05-21 | 南京南瑞继保电气有限公司 | 一种快速保护系统 |
| US10971275B2 (en) * | 2018-10-31 | 2021-04-06 | Ge-Hitachi Nuclear Energy Americas Llc | Passive electrical component for safety system shutdown using Ampere's Law |
| US10755825B2 (en) * | 2018-10-31 | 2020-08-25 | Ge-Hitachi Nuclear Energy Americas Llc | Passive electrical component for safety system shutdown using Faraday's law |
| US11205031B2 (en) * | 2019-02-25 | 2021-12-21 | Qiang Huang | System and method for facilitating use of commercial off-the-shelf (COTS) components in radiation-tolerant electronic systems |
| CN110388774B (zh) * | 2019-07-26 | 2021-07-27 | 北京广利核系统工程有限公司 | 一种核级冷水机组数字化控制保护系统 |
| CN112612202A (zh) * | 2020-12-16 | 2021-04-06 | 神华福能发电有限责任公司 | 采用相关量佐证的模拟量信号三冗余容错处理算法功能块 |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US4079236A (en) * | 1976-03-05 | 1978-03-14 | Westinghouse Electric Corporation | Method and apparatus for monitoring the axial power distribution within the core of a nuclear reactor, exterior of the reactor |
| US4200226A (en) * | 1978-07-12 | 1980-04-29 | Euteco S.P.A. | Parallel multiprocessing system for an industrial plant |
| EP0033785A1 (de) * | 1980-02-08 | 1981-08-19 | ATELIERS DE CONSTRUCTIONS ELECTRIQUES DE CHARLEROI (ACEC) Société Anonyme | Sicherheitskontrollsystem für industriellen Prozess |
| US4427620A (en) * | 1981-02-04 | 1984-01-24 | Westinghouse Electric Corp. | Nuclear reactor power supply |
| US4434132A (en) * | 1981-04-09 | 1984-02-28 | Westinghouse Electric Corp. | Power supply with nuclear reactor |
| JPS58140805A (ja) * | 1982-02-16 | 1983-08-20 | Mitsubishi Electric Corp | 制御・保護装置 |
| EP0110885B1 (de) * | 1982-06-16 | 1989-09-06 | The Boeing Company | Autopilotflugrichtungssystem |
| SE8305262L (sv) * | 1982-12-14 | 1984-06-15 | Gen Electric | Universellt logikkort |
-
1984
- 1984-10-31 US US06/666,696 patent/US4804515A/en not_active Expired - Fee Related
-
1985
- 1985-06-21 CA CA000484812A patent/CA1241717A/en not_active Expired
- 1985-10-14 DE DE8585113018T patent/DE3587281T2/de not_active Expired - Fee Related
- 1985-10-14 EP EP85113018A patent/EP0180085B1/de not_active Expired - Lifetime
- 1985-10-30 CN CN198585109748A patent/CN85109748A/zh active Pending
- 1985-10-30 ES ES548387A patent/ES9000015A1/es not_active Expired
- 1985-10-31 JP JP60243037A patent/JPH0697407B2/ja not_active Expired - Lifetime
- 1985-10-31 KR KR1019850008101A patent/KR930010416B1/ko not_active IP Right Cessation
Also Published As
| Publication number | Publication date |
|---|---|
| US4804515A (en) | 1989-02-14 |
| DE3587281D1 (de) | 1993-05-27 |
| ES548387A0 (es) | 1989-12-16 |
| CN85109748A (zh) | 1986-08-27 |
| EP0180085B1 (de) | 1993-04-21 |
| KR860003616A (ko) | 1986-05-28 |
| CA1241717A (en) | 1988-09-06 |
| ES9000015A1 (es) | 1989-12-16 |
| KR930010416B1 (ko) | 1993-10-23 |
| EP0180085A2 (de) | 1986-05-07 |
| JPS61118801A (ja) | 1986-06-06 |
| EP0180085A3 (en) | 1989-01-11 |
| JPH0697407B2 (ja) | 1994-11-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| DE3587281T2 (de) | Verteiltes mikroprozessorsystem fuer die verarbeitung von sensorsignalen eines verwickelten prozesses. | |
| DE69120168T2 (de) | System für das Überwachen und Steuern einer Anlage | |
| DE2549467C2 (de) | Verfahren zur Bestimmung der Fehlfunktion in einem elektrischen Geräte | |
| EP1695055B1 (de) | Messeinrichtung, insbesondere temperaturmessumformer | |
| DE4317729A1 (de) | Programmierbare Steuereinheit | |
| CH620274A5 (de) | ||
| EP0643345A1 (de) | Verfahren und Datenverarbeitungsanlage zur Überwachung von Betriebszuständen einer technischen Anlage | |
| DE69119523T2 (de) | Fehlererkennung in Relaisansteuerungsschaltungen | |
| EP1092177A1 (de) | Regler bzw. triebwerksregler, triebwerk und verfahren zum regeln eines stell- oder antriebssystems bzw. eines triebwerks | |
| DE3322509C2 (de) | ||
| DE3402555A1 (de) | Anordnung und verfahren zum steuern der reaktivitaet eines kernreaktors, insbesondere eines siedewasserreaktors | |
| EP0796495B1 (de) | System und verfahren zur steuerung von steuerstäben einer kernkraftanlage | |
| EP4034949B1 (de) | Programmierbarer elektronischer leistungssteller | |
| DE2711519C3 (de) | Datenübertragungs-Anlage | |
| DE1931296A1 (de) | Redundantes Steuer- oder Regelsystem | |
| DD254454A5 (de) | Vorrichtung und verfahren zum regeln und steuern von chemischen und physikalischen vorgaengen in einer vielzahl von dafuer geeigneten apparaten | |
| DE112017006135B4 (de) | Ersetzungseinrichtung, informationsverarbeitungssystem und ersetzungsverfahren | |
| DE69213028T2 (de) | Ausfallsicheres system mit neuronalem netzwerk | |
| EP0902369B1 (de) | Verfahren zur Isolation eines defekten Rechners in einem fehlertoleranten Mehrrechnersystem | |
| EP0077450A2 (de) | Sicherheits-Ausgabeschaltung für eine Binärsignalpaare abgebende Datenverarbeitungsanlage | |
| EP1081431A2 (de) | Steuergerät für wärmetechnische Anlagen | |
| DE2156022A1 (de) | Schutzvorrichtung fur technische Verfah renseinnchtungen | |
| EP1190403A2 (de) | Schaltung zum einschalten und betreiben von bezüglich ihrer versorgungsspannung in reihe geschalteten geräten in einer steuer- und datenübertragungsanlage | |
| WO2005057306A1 (de) | Peripherieeinheit für ein redundantes steuersystem | |
| DE3739227C2 (de) |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| 8364 | No opposition during term of opposition | ||
| 8327 | Change in the person/name/address of the patent owner |
Owner name: WESTINGHOUSE PROCESS CONTROL INC., PITTSBURGH, PA, |
|
| 8339 | Ceased/non-payment of the annual fee |