ES2189620B2 - Sistema de proteccion para proceso. - Google Patents

Sistema de proteccion para proceso. Download PDF

Info

Publication number
ES2189620B2
ES2189620B2 ES200100204A ES200100204A ES2189620B2 ES 2189620 B2 ES2189620 B2 ES 2189620B2 ES 200100204 A ES200100204 A ES 200100204A ES 200100204 A ES200100204 A ES 200100204A ES 2189620 B2 ES2189620 B2 ES 2189620B2
Authority
ES
Spain
Prior art keywords
logical
protection
partial
signals
safeguard
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
ES200100204A
Other languages
English (en)
Other versions
ES2189620A1 (es
Inventor
Albert W. Crew
William D. Ghrist
Carl A. Vitalbo
Glenn E. Lang
Thomas P. Hayes
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Westinghouse Electric Co LLC
CBS Corp
Original Assignee
Westinghouse Electric Co LLC
Westinghouse Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Westinghouse Electric Co LLC, Westinghouse Electric Corp filed Critical Westinghouse Electric Co LLC
Publication of ES2189620A1 publication Critical patent/ES2189620A1/es
Application granted granted Critical
Publication of ES2189620B2 publication Critical patent/ES2189620B2/es
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G21NUCLEAR PHYSICS; NUCLEAR ENGINEERING
    • G21CNUCLEAR REACTORS
    • G21C17/00Monitoring; Testing ; Maintaining
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • G05B9/03Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
    • GPHYSICS
    • G21NUCLEAR PHYSICS; NUCLEAR ENGINEERING
    • G21DNUCLEAR POWER PLANT
    • G21D3/00Control of nuclear power plant
    • G21D3/001Computer implemented control
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02EREDUCTION OF GREENHOUSE GAS [GHG] EMISSIONS, RELATED TO ENERGY GENERATION, TRANSMISSION OR DISTRIBUTION
    • Y02E30/00Energy generation of nuclear origin
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02EREDUCTION OF GREENHOUSE GAS [GHG] EMISSIONS, RELATED TO ENERGY GENERATION, TRANSMISSION OR DISTRIBUTION
    • Y02E30/00Energy generation of nuclear origin
    • Y02E30/30Nuclear fission reactors

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Plasma & Fusion (AREA)
  • High Energy & Nuclear Physics (AREA)
  • General Physics & Mathematics (AREA)
  • Automation & Control Theory (AREA)
  • Safety Devices In Control Systems (AREA)
  • Monitoring And Testing Of Nuclear Reactors (AREA)

Abstract

Un sistema de protección para un proceso complejo que tiene cuatro equipos de protección redundantes, cada uno de los cuales produce señales de actuación de salvaguardia parciales y de disparo parciales en pares de controladores basados en microprocesador. Dos secuencias de unidades lógicas de votación redundantes e independientes están provistas para las señales de disparo parciales de reactor, y dos secuencias de unidades lógicas de votación redundantes e independientes idénticas están provistas para las señales de actuación de salvaguardia parciales. Cada una de las secuencias de unidades incluye un par de controladores lógicos de votación basados en microprocesador. Las señales intermedias procedentes de los dos controladores lógicos de votación en cada secuencia de unidades son procesadas por la función AND para generar señales de secuencias de unidades. Las señales de las secuencias de unidades de disparo del reactor son procesadas por la función lógica OR para generar una señal de disparo del reactor.

Description

Sistema de protección para proceso.
Antecedentes de la invención Campo de la invención
La invención se refiere a un sistema de protección para un proceso complejo, particularmente para un reactor nuclear. El sistema incluye unas secuencias de unidades lógicas redundantes, incluyendo cada una unos procesadores de votación redundantes que aplican una lógica de votación a las señales de disparo parcial y a las señales de funciones de salvaguardia parcial procedentes de una pluralidad de equipos de protección del proceso redundantes.
Información sobre los antecedentes
Los procesos complejos son normalmente controlados automáticamente mediante la provisión de diversos grados de supervisión del operador apropiados para la aplicación. Los procesos críticos, como por ejemplo los reactores nucleares, están equipados con un sistema de protección además del sistema automático de control. El sistema de protección apaga el proceso y realiza otras funciones que aseguran la condición segura del proceso. Por ejemplo, en un reactor nuclear, el sistema de protección dispara, o para de forma forzosa, el reactor insertando barras de apagado en el núcleo del reactor para hacer el sistema subcrítico. También inicia un número de funciones de salvaguardia, como por ejemplo la inyección de un moderador en el refrigerante del reactor, el aislamiento de la contención, la aspersión de la contención y similares.
Se suministra una redundancia en el sistema de protección para asegurar una operación segura a pesar de los fallos del equipo. Es común en los sistemas de protección de los reactores nucleares disponer de cuatro equipos de canales de protección redundantes. Algunas variables del proceso supervisadas, como ciertas presiones y temperaturas pueden ser leídas directamente. Otras requieren realizar cálculos de los valores medidos. Cada uno de los equipos de canales redundantes procesa separadamente las variables del proceso supervisado y genera lo que se conoce como señales de actuación de salvaguardia parcial y de disparo parcial. Posteriormente, un sistema de votación genera una señal de actuación de salvaguardia o de disparo del reactor en base en un número de señales parciales redundantes generadas comparadas con el número de canales que supervisan dicha condición. La votación se ajusta cuando un equipo de canales es retirado del servicio para mantenimiento o prueba. De dicha forma, la generación de la señal de actuación de salvaguardia o de disparo del reactor puede estar basada, por ejemplo, en una lógica de votación de 2/4, 2/3, 1/2. Dicha lógica de votación incrementa la disponibilidad del sistema de protección.
Es un hecho conocido disponer dos secuencias de unidades lógicas de votación, cada una recibiendo señales de actuación de salvaguardia y de disparo parciales de todos los equipos de canales, siendo iniciadas las señales de actuación de salvaguardia o de disparo en respuesta a cada secuencia. Lo anterior asegura adicionalmente una gran disponibilidad y suministra una mayor flexibilidad para las labores de mantenimiento y la realización de pruebas.
Los sistemas de protección más antiguos se implementaron con un sistema de circuitos analógicos. Los sistemas modernos utilizan un sistema de circuitos digitales de estado sólido y los sistemas actuales se implementan con controladores basados en microprocesador. Algunos de dichos sistemas actuales utilizan dos controladores basados en microprocesador distintos en cada equipo de canales, de forma que las funciones de protección primaria y secundaria de un evento de iniciación dado son procesadas por los controladores separados para incrementar la diversidad funcional.
Los sistemas de protección incluyen además un conjunto de indicadores que presentan indicaciones visuales y/o de audio de las condiciones del proceso determinadas por el sistema de protección para su uso por el operador que supervisa el proceso y anular, si lo considera apropiado, el sistema automático. La información generada por el sistema de protección se suministra también a un sistema de supervisión automático para su uso como registro histórico y para realizar análisis pos-eventos.
Muchos de los sistemas de protección analógicos antiguos están alcanzando el término de sus vidas útiles, pero el reemplazo de los componentes ya no es posible en la actualidad. Existe también gran interés en suministrar una funcionalidad y disponibilidad mejoradas inherentes con los sistemas de protección actuales para la modernización de los sistemas antiguos.
De dicha forma, existe la necesidad de disponer de un sistema de protección de un proceso complejo mejorado, que se pueda utilizar también para modernizar los sistemas antiguos existentes.
Existe una necesidad más específica de disponer de un sistema de protección mejorado como el mencionado que suministre una disponibilidad mejorada.
Más específicamente, existe la necesidad de disponer de un sistema de protección mejorado que no solamente asegure que se obtiene una respuesta apropiada a un evento de iniciación, sino que también reduzca la posibilidad de una condición anormal inadvertida que pueda conducir a una acción automática o una acción de anulación inapropiada por el operador.
Sumario de la invención
Las necesidades mencionadas, así como otras adicionales, se satisfacen con la invención, que está dirigida a un sistema de protección para un proceso complejo, como por ejemplo un reactor nuclear. El sistema de protección incluye una pluralidad de equipos de protección del proceso redundantes, computando cada uno señales de actuación de salvaguardia y disparo parciales del reactor. Un sistema lógico de votación tiene dos secuencias de unidades lógicas redundantes e independientes, cada una de las cuales incluye un par de controladores lógicos de votación basados en microprocesador redundantes. Cada controlador lógico de votación de cada secuencia de unidades lógicas recibe las señales de protección parciales de cada uno de los equipos de protección del proceso y tiene un procesador de votación que genera una señal de protección intermedia en respuesta a las señales de protección parcial procedentes de un número determinado de equipos de protección. La lógica, asociada con cada secuencia de unidades lógicas, genera una señal de protección de la secuencia de unidades solamente cuando cada procesador de votación en la secuencia de unidades genera una señal de protección intermedia. Finalmente, un dispositivo de salida produce una salida de protección en respuesta a una señal de protección de la secuencia de unidades de cualquiera de las secuencias de unidades lógicas.
De dicha forma, el dispositivo de salida aplica la función lógica OR a las señales de protección intermedias generadas por las secuencias de unidades lógicas de votación separadas. Dado que cualquiera de las secuencias de unidades lógicas puede disparar la señal de protección, el sistema suministra una alta fiabilidad, de forma que una condición que requiera acción reciba una respuesta apropiada. Además, ambos procesadores de votación en una secuencia de unidades lógicas deben estar de acuerdo en que resulta necesario una acción de protección con objeto de que la secuencia de unidades lógicas genere una señal de protección intermedia. En otras palabras, a las salidas de los dos procesadores de votación en un canal se les aplica la función lógica AND. Esta característica reduce la posibilidad de que una señal de protección automática falsa o una indicación falsa pueda ser tomada por el operador como que es necesario realizar una acción de anulación, reduciendo la disponibidad del proceso.
En la forma de realización preferente de la invención, las señales de protección generadas por el sistema son tanto señales de disparo del reactor como señales de actuación de salvaguardia. Se suministra una lógica de votación redundante separada en cada secuencia de unidades lógicas para la actuación de salvaguardia y disparo del reactor.
El sistema de protección incluye además un sistema de indicación que aplica la función lógica AND a las señales de protección intermedias procedentes de los dos procesadores de votación en cada conjunto de canales para generar señales indicadoras intermedias. A las señales indicadoras intermedias procedentes de las secuencias de unidades se les aplica la función lógica OR de las secuencias de unidades para generar señales indicadoras que son utilizadas para accionar los indicadores, como por ejemplo cuadros de aviso, luces y señales de salida a un sistema de ordenador.
Por lo tanto, es un objeto de la invención suministrar un sistema de protección del proceso mejorado para un proceso complejo. Un objeto adicional de la invención es suministrar un sistema como el mencionado que se pueda también utilizar modernizar sistemas de protección del proceso existentes mientras que se suministra una funcionalidad y fiabilidad mejoradas. Un objeto adicional de la invención es suministrar un sistema como el mencionado que también reduzca la posibilidad de actuaciones de salvaguardia o disparo del reactor inadvertidas.
Breve descripción de los dibujos
Una compresión completa de la invención podrá obtenerse de la descripción dada a continuación de formas de realización preferentes cuando se lea en conjunción con los dibujos adjuntos, en los que:
La Figura 1 es un diagrama esquemático simplificado de un sistema de protección según la invención en forma de bloques.
Las Figuras 2A, 2B y 2C cuando se colocan lado a lado forman un diagrama esquemático del sistema de la Figura 1 con los detalles pertinentes.
La Figura 3 es un diagrama esquemático del circuito disyuntor de disparo del sistema mostrado en la Figura 1.
La Figura 4 es un diagrama esquemático de un circuito de indicación de función de protección e indicación de señales de protección parcial para la función de disparo del reactor que forma parte del sistema de protección del proceso de la invención.
La Figura 5 es un diagrama esquemático de un sistema indicador similar para las funciones de seguridad de emergencia que forma parte del sistema de protección del proceso de la invención.
Descripción de las formas de realización preferente
La invención está dirigida a un sistema de protección para un proceso complejo y será descrita aplicada a un reactor nuclear. Sin embargo, resultará patente a los expertos en la técnica que tiene aplicación en otros tipos de procesos complejos.
La Figura 1 suministra una vista general de la arquitectura del sistema 1 de protección del proceso de la invención. El sistema incluye una pluralidad de equipos de protección del proceso en este caso cuatro equipos de protección del proceso, 3_{1}-3_{4}. Cada equipo de protección del proceso recibe señales de entrada (no representadas) del proceso, en este caso un reactor nuclear y procesa dichas señales de entrada para generar, en la medida necesaria, unas señales de protección parciales. Las señales de protección parciales incluyen señales de disparo parciales y señales de actuación de salvaguardia parciales.
Las señales de protección parciales generadas por los equipos de protección 3_{1}-3_{4} son suministradas por las dos secuencias de unidades lógicas de votación 5A y 5B. Cada una de las secuencias de unidades lógicas de votación 5A y 5B, incluye una secuencia de unidades de disparo del reactor 7A y 7B y una secuencia de unidades 9A y 9B de actuación de salvaguardia, respectivamente. Cada una de las secciones de secuencias de unidades 7A, 7B, 9A y 9B, reciben las señales de disparo parcial y señales de actuación de salvaguardia parciales del reactor de cada uno de los equipos 3_{1}-3_{4} de protección del proceso a través de los enlaces de datos 11_{1}-11_{4} de fibra óptica. Cada una de las secuencias de unidades 7A y 7B lógicas de votación de disparo del reactor vota respecto a las señales parciales recibidas del equipo de protección del proceso en una forma que será explicada con más detalle a continuación. Las señales de disparo de las secuencias de unidades generadas por las secuencias de unidades lógicas de votación son aplicadas a un dispositivo de salida en la forma de un circuito 13 disyuntor de disparo del reactor. De forma similar, las señales de secuencias de unidades de actuación de salvaguardia generadas por las dos secuencias de unidades lógicas de votación son aplicadas a los actuadores 15 de los componentes de salvaguardia.
Esta arquitectura de cuatro conjuntos de canales del proceso, dos secuencias de unidades lógicas generalmente sigue la organización de los sistemas de protección del proceso existentes, (analógicos, relé o estado sólido) que están designados a ser reemplazados. Este enfoque implica la tarea de analizar el sistema para que conforme con las bases de diseño original de la planta que está siendo modernizada. También incluye la posibilidad de mejorar partes del sistema de seguridad en distintos períodos de tiempo.
El sistema de la Figura 1 también incluye una red 17 de información que obtiene información por cables 19_{1}-19_{8} de los transceptores. Como podrá apreciarse, existen realmente dos redes de datos separadas que forman el sistema 17 de la red de información. Un puente 21 enlaza dichas dos redes con una red en toda la planta (no mostrada) que contiene interfaces 23 hombre-máquina (HMI), como por ejemplo ordenadores. Los equipos 3_{1}-3_{4} de protección del proceso, las secuencias de unidades lógicas de votación 5A y 5B, el circuito 13 de disparo del reactor, los actuadores 15 de los componentes de actuación de salvaguardia y el sistema 17 de la red de información están todos relacionados con la seguridad. La HMI 23 no está relacionada con la seguridad y la conexión de la red con el puente 21 suministra el aislamiento apropiado entre los componentes de seguridad y no seguridad.
Las Figuras 2A, 2B y 2C, colocadas lado a lado, ilustran con más detalle el sistema de protección del proceso de la Figura 1. Como podrá apreciarse, cada uno de los equipos de protección del proceso 3_{1}-3_{4} incluye un par de controladores basados en microprocesador 25a, 25b. Los controladores 25a y 25b son preferentemente distintos respecto a su funcionalidad. Cada uno de los controladores 25a y 25b incluyen unos módulos de entrada 27, un procesador 29, módulos de salida 31, un controlador con autopistas de datos 33 (DHC) y un controlador de enlace de datos 35 (DLC).
Los controladores basados en microprocesador 25a y 25b de los equipos de protección 3_{1}-3_{4} reciben entradas de una variedad de sensores y transductores 37 distribuidos a través del sistema de reactor. Dichas señales sin procesar de los sensores son emitidas a través de un aislador 39 para su utilización, por ejemplo, por un sistema de control (no representado). Los controladores 25a y 25b procesan las señales de los sensores/transductores y para algunas funciones realizan cálculos utilizando uno o más de los parámetros detectados. Para algunos estados anormales del proceso existen cálculos primarios y secundarios que pueden detectar condiciones anormales. En dichas situaciones, el cálculo primario se realiza en uno de los controladores 25a o 25b del equipo de protección y el cálculo secundario se realiza en el otro. Alguno de los parámetros calculados se utilizan por el sistema de control y son suministrados por la placa de salida 31 a través de un aislador 41. Cada uno de los controladores 25a y 25b genera tanto señales de protección de actuación de salvaguardia como de disparo parciales.
Como podrá también apreciarse de las Figuras 2A-2C las secuencias de unidades de disparo 7A y 7B de la secuencias de unidades 5A y 5B lógicas de votación, incluye cada una un par de controladores 25a y 25b redundantes basados en microprocesador, como los controladores basados en microprocesador en los equipos de protección del proceso 3_{1}-3_{4}. Igualmente, la secuencias de unidades de actuación de salvaguardia 9A y 9B de las secuencias de unidades 5A y 5B lógicas de votación también incluye cada una unos controladores 25a y 25b basados en microprocesador redundantes. Cada uno de los microprocesadores 25a y 25b de los equipos de protección del proceso 3_{1}-3_{4} transmiten a través de su controlador 35 enlace de datos las señales de protección parciales de disparo del reactor que han generado a cada uno de los controladores 25a y 25b de cada una de las secuencias de unidades 7A y 7B de disparo del reactor sobre el enlace 11_{1a}-11_{4b} de datos de fibra óptica asociada. Cada uno de dichos controladores 25a y 25b del equipo de protección también transmite cada una de las señales de protección de actuación de salvaguardia a través de su controlador 35 de enlace de datos a los controladores de enlace de datos de los controladores 25a y 25b basados en microprocesador de cada una de las secuencias de unidades 9A y 9B ESF por el enlace 11 de datos de fibra óptica asociado.
De dicha forma, los pares de controladores 25a y 25b basados en microprocesador y las dos secuencias de unidades 5A y 5B lógicas de votación reciben señales de disparo del reactor parciales de cada uno de los ocho controladores basados en microprocesador en los cuatro equipos de protección del proceso. Igualmente, el par de controladores basados en microprocesador en cada una de las secuencias de unidades 9A y 9B de actuación de salvaguardia reciben las señales de actuación parciales procedentes de los ocho controladores del equipo de protección. El procesador 29 en cada uno de los controladores de las secuencias de unidades 7A y 7B de disparo sirve como procesadores de votación que votan respecto a las señales de disparo parciales recibidas. Mientras cada uno de los procesadores de votación recibe las señales de disparo parciales procedentes de los ocho controladores del equipo de protección, los dos controladores 25a y 25b en cada equipo 3_{1}-3_{4} de protección generan señales de disparo parciales en diferentes condiciones, de forma que los procesadores de votación reciben conjuntos de cuatro señales redundantes para cada función de disparo, una de cada equipo de protección. Los procesadores de protección aplican posteriormente una lógica de votación predeterminada a los conjuntos redundantes de las señales de disparo, como por ejemplo 2/4, 2/3 y 1/2. En la forma mencionada, la lógica de votación aplicada podrá cambiar cuando un equipo de protección es retirado del servicio para mantenimiento o prueba. En adición, algunas de las funciones menos críticas podrán realizarse solamente por dos o tres de los equipos de protección. Si el número predeterminado de señales de disparo parciales de reactor son detectadas por un procesador de votación, dicho controlador lógico de votación generará una señal de la función de disparo. Cada controlador de lógica de votación aplica separadamente su lógica de votación a las señales de disparo parciales del reactor para cada función de disparo del reactor, aplicándose al resultado la función lógica OR, de forma que si cualquier función de disparo del reactor satisface la lógica de votación, se generará una señal de disparo intermedia. Las señales de disparo intermedias procedentes de los dos controladores lógicos de votación en cada secuencia de unidades 7A y 7B de disparo del reactor son procesadas por una función lógica AND, lógica 43A y 43B, para generar una señal de la secuencia de unidades de disparo del reactor si solamente ambos controladores en la secuencia de unidades de disparo generan una señal de disparo intermedia.
De forma similar, las señales de actuación de salvaguardia parciales procedentes de los ocho controladores en los equipos 3_{1}-3_{4} de protección del proceso son aplicadas a cada uno de los controladores de actuación de salvaguardia en las secuencias de unidades 9A y 9B de actuación de salvaguardia. Sin embargo, como en el caso de las señales de disparo del reactor, los dos controladores 25a y 25b de actuación de salvaguardia en cada equipo de protección generan señales de actuación de salvaguardia parciales diferentes, de forma que existen como máximo cuatro señales de actuación de salvaguardia parciales redundantes para una función dada. Los procesadores de votación en los controladores lógicos de votación de las secuencias de unidades de votación de salvaguardia también aplican una lógica de votación predeterminada 2/4, 2/3 y 1/2 en la forma apropiada para generar señales de actuación de salvaguardia intermedias. Como en el caso de las señales de disparo del reactor, los procesadores de votación votan separadamente respecto a las señales de actuación de salvaguardia parciales para cada función de salvaguardia, siendo generada una señal de actuación de salvaguardia intermedia si cualquier función de actuación de salvaguardia satisface la lógica de votación. Las señales de actuación de salvaguardia intermedias procedentes del par de controladores lógicos de votación en cada secuencia de unidades de salvaguardia son procesadas por una función lógica AND, lógica 45A y 45B, para producir señales de la secuencia de unidades de actuación de salvaguardia cuando las señales intermedias son generadas por cada controlador en el par.
Las Figuras 2A-2C también ilustran con más detalle el sistema de la red de información 17. Como podrá apreciarse, este sistema incluye dos redes 47A y 47B de fibra óptica. Los dos controladores de cada uno de los equipos 3_{1} y 3_{3} de protección están cada uno de ellos conectados a la red A 47A por los cables 19_{1} y 19_{3} de los transceptores a través de transceptores 49_{1} y 49_{3} de fibra óptica. Similarmente, los dos controladores en cada uno de los equipos de protección 32 y 34 están conectados a la red B 47B de seguridad de fibra óptica por los cables 19_{2} y 19_{4} de los transceptores a través de los transceptores 49_{2} y 49_{4} de fibra óptica. Las dos redes 47A y 47B de fibra óptica están unidas a través de los aisladores 50A y 50B al puente 21 incorporado en la estación de trabajo 23. Como se ha mencionado previamente, la estación de trabajo 23 no está relacionada con la seguridad, mientras que el sistema 17 de la red de información, conjuntamente con el resto del sistema mostrados en las Figuras 2A-2C están relacionadas con la seguridad. Los aisladores 50 suministran el aislamiento requerido entre las partes de seguridad y no seguridad de todo el sistema. Cada una de las redes 47A y 47B de fibra óptica también recibe información de cada uno de los controladores en las secuencias de unidades de disparo del reactor y en las secuencias de unidades de actuación de salvaguardia, a través de unos cables 19_{5}-19_{8} de los transceptores adicionales y a través de transceptores 49_{5}-49_{8} de fibra óptica adicionales.
La Figura 3 ilustra el circuito disyuntor 13 de disparo del reactor que forman un dispositivo de salida para el sistema de protección. El circuito 13 de disparo del reactor está implementado mediante un par de disyuntores 51A y 51B del circuito de disparo conectados en serie entre la fuente eléctrica 53 y el mecanismo accionador de las barras de control (CRDM) 55. Normalmente, ambos disyuntores 51A y 51B del circuito están cerrados, de forma que el CRDM 55 está energizado. Los disyuntores 51A y 51B del circuito están controlados por las secuencias de unidades 78A y 78B de disparo del reactor. Si la lógica AND 43A o 43B de cualquiera de las secuencias de unidades 7A o 7B de disparo del reactor genera una señal de la secuencia de unidades de disparo del reactor, se abrirá el disyuntor del circuito de la secuencia de unidades correspondiente para des-energizar el CRDM 55, disparando de dicha forma el reactor. De dicha forma las señales de la secuencia de unidades de disparo del reactor son procesadas por la función lógica OR en el circuito 13 de disparo del reactor, de forma que el reactor es disparado si cualquiera de las secuencia de unidades genera una señal de disparo de la secuencia de unidades. Este proceso de la función lógica OR de las señales de disparo de la secuencia de unidades asegura que el reactor estará protegido a pesar de un solo fallo. Cada uno de los disyuntores 51A y 51B del circuito de disparo son puestos en derivación por un puenteo del disyuntor 57A o 57B del circuito, lo que permite a la secuencia de unidades asociada retirarse del servicio para operaciones de mantenimiento o pruebas.
Las señales de las secuencias de unidades de actuación de salvaguardia generadas por las secuencias de unidades 9A y 9B de actuación de salvaguardia operan separadamente componentes de salvaguardia separados, de forma que la función de salvaguardia se lleva a cabo en respuesta a una señal de actuación de salvaguardia para dicha función desde cualquiera de las secuencias de unidades 9A o 9B.
El sistema de protección 1 también incluye un sistema indicador que suministra indicación al operador del estatus del sistema de protección. Lo anterior incluyen indicaciones de las señales de la función de disparo parciales del reactor, así como las correspondientes señales de la función de disparo. La Figura 4 ilustra la lógica 67 del indicador adicional que suministra la función de indicador para la secuencia de unidades de disparo del reactor. Para cada función de disparo de reactor, las señales de disparo parciales generadas por cada equipo de protección para los dos controladores en la secuencia de unidades 7A de disparo son aplicadas a través de los aisladores 69 a una función lógica AND por la lógica 71A, mientras que a las señales de disparo parciales para las secuencias de unidades 7B se les aplica también a través de los aisladores 69 una función lógica AND por la lógica 71B. A las señales resultantes se les aplica posteriormente la función lógica OR por la lógica 73 para accionar los indicadores para dicho disparo parcial del equipo de protección para una función de disparo del reactor dada. Los indicadores típicos de disparo parcial de canal incluyen unas luces 75 de estatus, un cuadro de avisos 77 y un punto de ordenador 79, como por ejemplo en el sistema de ordenador de la planta (no representado). De dicha forma solamente se genera un indicador de disparo parcial para un equipo de protección particular para una función de disparo del reactor específica cuando las señales de disparo parciales del reactor procedentes de dicho equipo de protección para dicha función de protección han sido aplicadas a ambos controladores lógicos de votación, en al menos una de las dos secuencias de unidades lógicas redundantes e independientes. Indicadores similares se proporcionan para las tres señales de disparo parciales generadas por cada uno de los otros equipos de protección para cada una de las funciones de disparo.
Además, las señales de las funciones específicas de disparo del reactor generadas por los controladores en la secuencia de unidades 7A de disparo son pasadas a través de los aisladores 69 y procesadas por la función lógica AND en 81A, mientras que las señales correspondientes de la secuencia de unidades B son procesadas por la función lógica AND en 81B. De nuevo, las señales resultantes son procesadas por la función lógica OR en 83 y usadas para accionar un indicador como por ejemplo una salida 85 del actuador de avisos de disparo del reactor u otro punto 87 del ordenador. Se requieren los aisladores 69 para aislar los indicadores no relacionados con la seguridad de la lógica de votación relacionada con la seguridad. De dicha forma, para cada función de disparo del reactor se acciona un indicador solamente cuando ambos procesadores de votación en al menos una de las dos secuencias de unidades lógicas generan una señal de la función específica intermedia de disparo del reactor.
Se suministran indicadores similares para las funciones de salvaguardia por la lógica adicional 89, ilustradas en la Figura 5. De dicha forma, para cada una de las funciones de salvaguardia, las señales de la función de actuación de salvaguardia parciales para cada función introducida por un equipo de protección al par de controladores lógicos de votación en cada una de las secuencias de unidades 9A y 9B de actuación de salvaguardia son pasadas a través de los aisladores 69 y procesadas por la función lógica AND en 91A y 91B respectivamente, siendo el resultado procesado por la función lógica OR en 93 para accionar un indicador, como por ejemplo el 95, 97 o 99. De nuevo, se suministra un conjunto similar de indicadores para las tres señales de actuación de salvaguardia parciales generadas por cada equipo de protección para cada una de las otras actuaciones de salvaguardia parcial. Además las señales de la función de salvaguardia específica votadas por el par de controladores en cada una de las secuencias de unidades 9A y 9B de actuación de salvaguardia son pasadas a través de los aisladores 69 y procesadas por la función lógica AND en 101A y 101B, respectivamente, siendo el resultado procesado por la función lógica OR en 103 para accionar una indicación de la función de actuación 105 o 107. De dicha forma, las señales que accionan los indicadores son procesadas primero por la función lógica AND dentro de los canales para reducir las indicaciones espurias y posteriormente por la función lógica OR para reducir los efectos de un solo fallo como las señales de actuación de salvaguardia y de disparo del reactor.
Aunque se han descrito en detalle unas formas de realización específicas de la invención, los expertos en la técnica podrán apreciar que se podrán desarrollar diversas modificaciones y alternativas a dichos detalles a la luz de las enseñanzas generales de lo desvelado. Por lo tanto las configuraciones particulares desveladas pretenden ser solamente ilustrativas y no limitar el ámbito de la invención a la que se deberá asignar el ámbito total de la reivindicaciones adjuntas y cualquiera de las equivalentes de las mismas.

Claims (5)

1. Un sistema de protección del proceso para un proceso complejo que comprende:
una pluralidad de equipos de protección del proceso redundantes, cada uno de ellos computando independientemente señales de protección parciales que genera unas señales de protección parciales en la forma de señales de disparo parciales del reactor, incluyendo cada una de dichas dos secuencias de unidades lógicas una secuencia de unidades lógicas de disparo del reactor, y generando una señal de disparo intermedia del reactor en respuesta a dichas señales de disparo parciales de reactor procedentes de dicho número seleccionado de dichos equipos de protección, y dicho medio lógico asociado con cada secuencia de unidades lógicas genera una señal de la secuencia de unidades de disparo del reactor solamente cuando cada procesador de votación en la secuencia de unidades genera una señal de disparo intermedia, y dicho dispositivo de salida genera una señal de disparo del reactor en respuesta a una señal de la secuencia de unidades de disparo del reactor desde cualquiera de dichas secuencias de unidades
lógicas;
un sistema lógico de votación que tiene dos secuencias de unidades lógicas redundantes e independientes, teniendo cada secuencia de unidades lógicas un par de controladores lógicos de votación basados en microprocesador redundantes, recibiendo cada controlador lógico de votación de cada secuencia de unidades lógicas dichas señales de protección parciales procedentes de cada equipo de protección del proceso y teniendo un procesador de votación que genera una señal de protección intermedia en respuesta a las señales de protección parciales desde un número seleccionado de dichos equipos de protección; una lógica asociada con cada secuencia de unidades lógicas que genera una señal de protección de la secuencia de unidades solamente cuando cada procesador de votación en la secuencia de unidades genera una señal de protección intermedia; y
un dispositivo de salida que produce una salida de protección en respuesta a una señal de protección de la secuencia de unidades de cualquiera de dichas secuencias de unidades lógicas;
caracterizado porque dicha lógica incluye una lógica del indicador que genera una señal del indicador de disparo parcial asociado para cada equipo de protección para cada función de disparo solamente cuando las señales de disparo parciales del reactor procedentes de dicho equipo de protección para dicha función de protección han sido aplicadas a ambos controladores lógicos de votación en al menos una de dichas dos secuencias de unidades lógicas de disparo del reactor redundantes e independientes, y dicho dispositivo de salida incluye un dispositivo indicador de disparo parcial para cada equipo de protección para cada función de disparo que genera una indicación de disparo parcial para dicho equipo de protección para dicha función de disparo en respuesta a una señal del indicador de disparo parcial
asociado.
2. El sistema de protección de proceso de la reivindicación 1, en el que dichos procesadores de votación en dichas secuencias de unidades lógicas de disparo del reactor generan unas señales de la función de disparo intermedias específicas para cada función de disparo del reactor y dicha lógica del indicador incluye una lógica del indicador adicional que genera una señal de la función específica de disparo del reactor para una función específica de disparo del reactor solamente cuando ambos procesadores de votación en al menos una de dichas secuencias de unidades lógicas de disparo del reactor genera una señal de la función específica intermedia de disparo para dicha función específica de
disparo.
3. El sistema de protección del proceso de la reivindicación 1, en el que dicha pluralidad de equipos de protección también genera unas señales de protección parciales en la forma de señales de actuación de salvaguardia parciales, comprendiendo además dichas secuencias de unidades lógicas unas secuencias de unidades lógicas de actuación de salvaguardia que incluye cada una un par de controladores lógicos de votación basados en microprocesador redundantes adicionales, recibiendo cada controlador lógico de votación adicional de cada secuencia de unidades lógicas de actuación de salvaguardia dichas señales de actuación de salvaguardia parciales desde cada uno de los equipos de protección del proceso mencionados y teniendo un procesador de votación adicional que genera una señal de actuación de salvaguardia intermedia en respuesta a unas señales de actuación de salvaguardia parciales procedentes de un número preseleccionado de dichos equipos de protección del proceso, comprendiendo dicho medio lógico asociado con cada secuencia de unidades lógicas unos medios lógicos adicionales que generan una señal de la secuencia de unidades de actuación de salvaguardia solamente cuando cada procesador de votación adicional en la secuencia de unidades lógicas de actuación de salvaguardia genera una señal de actuación de salvaguardia
intermedia.
4. El sistema de protección del proceso de la reivindicación 3, en el que dicha lógica incluye una lógica del indicador que genera una señal de indicador de actuación de salvaguardia parcial asociado para cada equipo de protección para cada función de actuación de salvaguardia solamente cuando las señales de actuación de salvaguardia parciales procedentes de dicho equipo de protección para dicha función de protección han sido aplicadas a ambos controladores lógicos de votación en al menos una de dichas dos secuencias de unidades lógicas de actuación de salvaguardia redundantes e independientes, y dicho dispositivo de salida incluye un dispositivo indicador de actuación de salvaguardia parcial para cada equipo de protección para cada función de actuación de salvaguardia que genera una indicación de actuación de salvaguardia parcial para dicho equipo de protección para dicha función de actuación de salvaguardia en respuesta a la señal del indicador de actuación de salvaguardia
parcial.
5. El sistema de protección del proceso de la reivindicación 4, en el que dicho procesador de votación en dichas secuencias de unidades lógicas de actuación de salvaguardia genera unas señales intermedias específicas de la función de actuación de salvaguardia para cada función de actuación de salvaguardia y dicha lógica del indicador incluyen una lógica que genera una señal específica de la función de actuación de salvaguardia para una función de actuación de salvaguardia específica solamente cuando ambos
procesadores de votación en al menos una de dichas secuencias de unidades lógicas de actuación de salvaguardia genera una señal intermedia específica de función de actuación de salvaguardia para dicha función específica de actuación de salvaguardia.
ES200100204A 2000-02-10 2001-01-30 Sistema de proteccion para proceso. Expired - Fee Related ES2189620B2 (es)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US09/501,804 US6532550B1 (en) 2000-02-10 2000-02-10 Process protection system
US09/501804 2000-02-10

Publications (2)

Publication Number Publication Date
ES2189620A1 ES2189620A1 (es) 2003-07-01
ES2189620B2 true ES2189620B2 (es) 2007-05-16

Family

ID=23995091

Family Applications (1)

Application Number Title Priority Date Filing Date
ES200100204A Expired - Fee Related ES2189620B2 (es) 2000-02-10 2001-01-30 Sistema de proteccion para proceso.

Country Status (4)

Country Link
US (1) US6532550B1 (es)
JP (1) JP2001296383A (es)
ES (1) ES2189620B2 (es)
SE (1) SE521926C2 (es)

Families Citing this family (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7047553B1 (en) * 2000-10-05 2006-05-16 Arris International, Inc. Method and apparatus for decreasing cable installation time and cable installation faults
DE60225443T2 (de) * 2001-05-31 2009-03-26 Omron Corp. Sicherheitseinheit, steuerungsverkettungsverfahren, steuerungssystemsteuerverfahren und steuerungssystemüberwachungsverfahren
EP2256562B1 (en) * 2001-06-22 2012-01-25 Omron Corporation Safety controller
US6813527B2 (en) * 2002-11-20 2004-11-02 Honeywell International Inc. High integrity control system architecture using digital computing platforms with rapid recovery
US7089072B2 (en) * 2004-05-26 2006-08-08 Taiwan Semiconductor Manufacturing Company, Ltd. Semiconductor manufacturing fault detection and management system and method
US7392426B2 (en) * 2004-06-15 2008-06-24 Honeywell International Inc. Redundant processing architecture for single fault tolerance
KR100875467B1 (ko) 2006-12-05 2008-12-22 한국원자력연구원 독립적 이중화 구조 리던던시를 갖는 디지털 원자로보호계통 및 그 방법
US7634043B2 (en) * 2006-12-21 2009-12-15 General Electric Company Protection systems for and methods of operating nuclear boiling water reactors
FR2941913B1 (fr) * 2009-02-10 2012-08-31 Airbus France Systeme de commande de vol et aeronef le comportant
US8514085B2 (en) 2010-06-17 2013-08-20 International Business Machines Corporation Intelligent switching method and apparatus
JP5634163B2 (ja) * 2010-08-12 2014-12-03 三菱重工業株式会社 プラントの制御システム
US8769360B2 (en) 2010-10-14 2014-07-01 International Business Machines Corporation Dynamic detection and identification of the functional state of multi-processor cores
US9280516B2 (en) * 2011-04-07 2016-03-08 The University Of Western Ontario Method and system to validate wired sensors
CN102426863B (zh) * 2011-10-31 2015-12-16 中广核工程有限公司 核电站反应堆停堆信号传输系统和方法
CN102522821B (zh) * 2011-12-01 2015-01-07 许继电气股份有限公司 一种智能变电站中智能终端设备及其控制方法
US9037283B2 (en) * 2012-01-05 2015-05-19 International Business Machines Corporation Apparatus safeguard
US8856590B2 (en) * 2012-01-07 2014-10-07 Compunetix, Inc. Reliable compute engine, method and apparatus
US11017907B2 (en) * 2013-12-31 2021-05-25 Nuscale Power, Llc Nuclear reactor protection systems and methods
US9997265B2 (en) * 2015-03-27 2018-06-12 Mitsubishi Electric Power Products, Inc. Safety system for a nuclear power plant and method for operating the same
US10432754B2 (en) 2015-09-16 2019-10-01 Profire Energy, Inc Safety networking protocol and method
US10514683B2 (en) 2015-09-16 2019-12-24 Profire Energy, Inc. Distributed networking system and method to implement a safety state environment
CA2998638A1 (en) * 2015-09-16 2017-03-23 Profire Energy, Inc. Distributed networking system and method
US11069450B2 (en) * 2016-12-30 2021-07-20 Nuscale Power, Llc Nuclear reactor protection systems and methods
KR101960020B1 (ko) * 2017-12-11 2019-03-19 한국전력기술 주식회사 발전소보호시스템 및 원자로정지차단기시스템

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS5985153A (ja) * 1982-11-08 1984-05-17 Hitachi Ltd 冗長化制御装置
US4804515A (en) 1984-10-31 1989-02-14 Westinghouse Electric Corp. Distributed microprocessor based sensor signal processing system for a complex process
US4622667A (en) * 1984-11-27 1986-11-11 Sperry Corporation Digital fail operational automatic flight control system utilizing redundant dissimilar data processing
US4687623A (en) * 1985-10-31 1987-08-18 Westinghouse Electric Corp. Self-compensating voted logic power interface with tester
DE59103707D1 (de) * 1991-07-22 1995-01-12 Siemens Ag Verfahren zur Fehlererkennung und -lokalisierung von redundanten Signalgebern einer Automatisierungsanlage.
SE9702176L (sv) * 1997-06-06 1998-12-07 Ericsson Telefon Ab L M En maskinvarukonstruktion för majoritetsval, samt test och underhåll av majoritetsval
US6049578A (en) * 1997-06-06 2000-04-11 Abb Combustion Engineering Nuclear Power, Inc. Digital plant protection system
US6367031B1 (en) * 1998-12-17 2002-04-02 Honeywell International Inc. Critical control adaption of integrated modular architecture

Also Published As

Publication number Publication date
US6532550B1 (en) 2003-03-11
SE0100201L (sv) 2001-08-11
ES2189620A1 (es) 2003-07-01
JP2001296383A (ja) 2001-10-26
SE521926C2 (sv) 2003-12-16
SE0100201D0 (sv) 2001-01-24

Similar Documents

Publication Publication Date Title
ES2189620B2 (es) Sistema de proteccion para proceso.
KR100980043B1 (ko) Fpga를 이용한 발전소 보호 시스템 및 보호 방법
KR100808787B1 (ko) 발전소 보호 시스템
US9997265B2 (en) Safety system for a nuclear power plant and method for operating the same
CN106340332A (zh) 核电站数字化保护控制系统
KR20080013153A (ko) 디지털 원자로 보호 시스템
KR102085617B1 (ko) 원자력발전소 계측 제어 시스템
US20170269580A1 (en) Remote Integrated Monitoring Operation System
CN107564595B (zh) 一种核电厂火灾操作共模的处理方法及系统
KR102374672B1 (ko) 원자력 발전소의 화재 발생 구역 별 안전 정지 시스템
WO2022113345A1 (ja) 制御切替装置
KR101502990B1 (ko) 원자력 발전소의 안전모선 전원상실 예방 시스템
US3855590A (en) Cyclic or monitoring system for displaying the output of two substantially similar trains of logic
CN107658767A (zh) 一种可带电检修开关设备的检修系统和方法
Wahlström et al. The IAEA safety principles applied to NPP instrumentation and control
JP2016194738A (ja) 監視制御装置及び監視制御装置の制御方法
CN105549433A (zh) 核电厂辐射监测系统及其中的信号传输控制方法
Wood et al. Update on Common-Cause Failure Experience and Mitigation Practices
Kago et al. Design of the accelerator safety interlock system for xfel in spring-8
Wang et al. Fire operation common mode analysis in nuclear power plants
Sun Digital Instrumentation and Control System for Unit 5 & 6 of YangJiang NPP
Shirasawa et al. Digital I&C System in the US-APWR
Bohringer et al. Risk-Based Evaluation of the Emergency Power Supply in Nuclear Power Plants
Wood et al. Common-cause Failure Mitigation Practices and Knowledge Gaps
CN118655760A (zh) 控制设备的控制方法、装置以及安全级控制系统

Legal Events

Date Code Title Description
EC2A Search report published

Date of ref document: 20030701

Kind code of ref document: A1

FG2A Definitive protection

Ref document number: 2189620B2

Country of ref document: ES

FD2A Announcement of lapse in spain

Effective date: 20211122