IT8322191A1 - Sottosistema di autoprova per sistema di protezione di reattore nucleare - Google Patents

Sottosistema di autoprova per sistema di protezione di reattore nucleare Download PDF

Info

Publication number
IT8322191A1
IT8322191A1 IT1983A22191A IT2219183A IT8322191A1 IT 8322191 A1 IT8322191 A1 IT 8322191A1 IT 1983A22191 A IT1983A22191 A IT 1983A22191A IT 2219183 A IT2219183 A IT 2219183A IT 8322191 A1 IT8322191 A1 IT 8322191A1
Authority
IT
Italy
Prior art keywords
test
self
card
rps
data
Prior art date
Application number
IT1983A22191A
Other languages
English (en)
Other versions
IT8322191A0 (it
IT1170171B (it
Original Assignee
Gen Electric
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Gen Electric filed Critical Gen Electric
Publication of IT8322191A0 publication Critical patent/IT8322191A0/it
Publication of IT8322191A1 publication Critical patent/IT8322191A1/it
Application granted granted Critical
Publication of IT1170171B publication Critical patent/IT1170171B/it

Links

Classifications

    • DTEXTILES; PAPER
    • D07ROPES; CABLES OTHER THAN ELECTRIC
    • D07BROPES OR CABLES IN GENERAL
    • D07B1/00Constructional features of ropes or cables
    • GPHYSICS
    • G21NUCLEAR PHYSICS; NUCLEAR ENGINEERING
    • G21DNUCLEAR POWER PLANT
    • G21D3/00Control of nuclear power plant
    • G21D3/001Computer implemented control
    • GPHYSICS
    • G21NUCLEAR PHYSICS; NUCLEAR ENGINEERING
    • G21DNUCLEAR POWER PLANT
    • G21D3/00Control of nuclear power plant
    • G21D3/04Safety arrangements
    • G21D3/06Safety arrangements responsive to faults within the plant
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02EREDUCTION OF GREENHOUSE GAS [GHG] EMISSIONS, RELATED TO ENERGY GENERATION, TRANSMISSION OR DISTRIBUTION
    • Y02E30/00Energy generation of nuclear origin
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02EREDUCTION OF GREENHOUSE GAS [GHG] EMISSIONS, RELATED TO ENERGY GENERATION, TRANSMISSION OR DISTRIBUTION
    • Y02E30/00Energy generation of nuclear origin
    • Y02E30/30Nuclear fission reactors

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Plasma & Fusion (AREA)
  • High Energy & Nuclear Physics (AREA)
  • Business, Economics & Management (AREA)
  • Emergency Management (AREA)
  • Monitoring And Testing Of Nuclear Reactors (AREA)
  • Testing And Monitoring For Control Systems (AREA)
  • Hardware Redundancy (AREA)

Description

D E S C R I Z I O N E
dell'invenzione industriale dal titolo :
"SOTTOSISTEMA DI AUTOPROVA PER SISTEMA DI PROTEZIONE DI REATTORE NUCLEARE"
Riassunto
Viene descritto un sistema di autoprova per un sistema di protezione per reattore nucleare di centrale nucleare. I sistemi di protezione nucleare sono dei controlli elettronici, tipicamente comprendenti schede circuitali, posti in mezzo fra dei sensori (per esempio per rivelare un sovrariscaldamento del nocciolo) ed un controllo (per esempio per effettuare l'inserzione di aste per arrestare un reattore). Una sorveglianza costante del sistema di protezione del sistema nucleare ? effettuata da un microprocessore che indirizza serialmente delle schede circuitali del sistema di protezione e le carica in predeterminati punti di entrata con comandi di prova. Le schede indirizzate vengono dopo di ci? contemporaneamente attivate da un comando interessante tutto il sistema. Il comando di prova ? un impulso il quale ?,di durata tanto breve che la sua influenza ? "trasparente" per il sistema e non pu? interferire con il funzionamento generale del sistema. L'impulso passa attraverso i componenti elettrici attivati per verificare, sul reale percorso d'attivazione, l'integrit? funzionale del sistema. Dopo un appropriato intervallo di rispota, lo Stato di uscita del sistema viene registrato in registri che si trovano in tutto il Sistema. Dopo di ci?, mentre i dati di risposta contenuti in questi registri sono congelati nello strato registrato, viene letta l'uscita. Questo risultato viene confrontato con l'uscita prevista nella memoria del calcolatore. S? si trova corrispondenza fra l'uscita della memoria e l'uscita del registro, la successiva serie sequenziale di comandi di prova viene attivata. Se non si trova corrispondenza, viene automaticamente condotta una subroutine di ricerca per localizzare l'errore. Il descritto sottosistema di autoprova ? replicato in quattro separate divisioni, dove ciascuna divisione pr? va uno dei quattro replicati sistemi di protezione. Le tre rimanenti divisioni inattive sorvegliano costantemente il funzionamento del sottosistema attivo. Il risultato finale ? un sistema generale che riduce il tempo medio per scoprire l'errore, rendendo cos? minimo il tempo medio per la riparazione e rendendo massime la disponibilit? e la sicurezza del sistema di protezione.La separazione del sistema di protezione in quattro divisioni replicate non ? vincolata alla descritta invenzione e l'invenzione pu? essere applicata a sistemi di protezioni con un differente numero di divisioni.
Testo della descrizione
La presente invenzione riguarda centrali o impianti nucleari e, pi? particolarmente, un sottosistema di autoprova per un sistema di protezione di reattore nucleare. Specificamente fra dei sensori, quali sensori?di sovrariscaldamento del nocciolo, e corrispondenti funzioni di sicurezza o di funzionamento, quali per esempio l'inserzione di aste per arrestare il reattore, ? posto un sistema elettronico di protezione del reattore nucleare. Argomento di questa descrizione ? la disponibilit? di questo sistema a rispondere a condizioni di emergenza. Specificamente ? qui descritta la realizzazione di una co stante autoprova di tali sistemiiper assicurare che in ogni momento l'impianto sia pronto a rispondere ad un'emergenza.
Premesse relative all'invenzione
Le esigenze di sicurezza dei moderni sistemi nucleari sono elevate. Nel la tecnica precedente ? noto il fatto di avere sistemi di protezione del reat tore nucleare. Un esempio di un tale sistema ? utile al lettore. Specificameli te, se viene rivelato un sovrariscaldamento del nocciolo, esso ? normalmente rivelato da sensori. I sensori devono a loro volta comunicare, attraverso un sistema di protezione del reattore nucleare, per azionare l'apparato del noc-? ciolo che corregge la condizione. Supponendo che un sovrariscaldamento sia sta to rivelato da un sensore, una appropriata risposta (usata in questa descrizione come esempl? primario) pu? essere l'inserzione di aste per assorbire neutroni ed arrestare il reattore. Ci? pu? fare parte di un arresto di emergen za di tutto il sistema noto come "scram", (spegnimento immediato).
In un tale sistema vi ? sempre il pericolo di guasti latenti. Specifica mente e man mano che passa il tempo.dopo che ? stata effettuata una prova, au menta la probabilit? che il sistema possa essere inoperante. Il sistema deve attendere che la successiva prova effettiva fino a che il corretto funzionamento possa essere confermato e fino a che possa essere determinata una bassa probabilit? di guasto.
La seriet? di guasti non rilevati diventa ancora pi? evidente quando si consideri il caso dei cos? detti "guasti di tipo comune?. "Guasti di tipo comune" sono estesi a tutto il sistema. Poich? essi sono estesi a tutto il sistema, i guasti di tipo comune influenzano il completo sistema anche in punti di ridondanza del sistema. Dei guasti dovuti ad elevati transitori di tensione, incendio, terremoti ed altre cause meccaniche possono rimanere latenti no a che il sistema viene sottoposto ad esercizio. Se l'esercizio del sistema deve avvenire in risposta ad una emergenza, nessuno pu? essere a conoscenza del fatto che il sistema ? incapace di rispondere all'emergenza fino a che viene istituita la richiesta procedura di emergenza. Allora ci? ? troppo tardi Un?Operatore pu? rispondere ad un'emergenza in numerosi differenti modi facendo passare l'impianto dallo stato di funzionamento pericoloso ad uno sta to che sia pi? sicuro. Tutti questi stati pi? sicuri richiedono differenti con figurazioni di funzionamento dell'impianto. In impianti nucleari non ? stato prima d'ora possibile provare la disponibilit? di differenti configurazioni di funzionamentosenza la manipolazione dell'effettivo impianto.
Descrizione sommaria della tecnica anteriore
Le prove secondo la tecnica anteriore di impianti nucleari comprendevano prove manuali. In tali prove manuali vengono dapprima isolate delle porzio ni del sistema. Dopo di ci? le porzioni isolate vengono singolarmente sottopo ste ad esercizio. Durante tali singoli esercizi possono verificarsi almeno tre condizioni, tutte 'pregiudizievoli allo stato di funzionamento dell'impianto.
Per prima cosa, una porzione isolata del'limpianto pu? dover essere resa inoperante affinch? si possa effettuare la prova. Ogni volta che una qualsiasi porzione dell'impianto ? resa inoperante, vengono necessariamente e negativamente influenzate le risposte di emergenza e/o il funzionamento dell'im pianto. Per esempio, il singolo esercizio delle aste nel nocciolo del reattore influenzer? di per se stesso la reazione nel nocciolo.
Per seconda cosa, mentre si effettua l'esercizio ? sempre possibile un guasto del sistema ed esso pu? diventare ancora pi? catastrofico. Tipicamente la porzione isolata del sistema non ? capace di rispondere ad un'emergenza. Per esempio, supponendo che si stia provando uno dei quattro banchi di aste del reattore e che perci? esso sia reso inoperante, il guasto di un secondo banco di aste del reattore lascia la capacit? di arresto ad un livello ridotto rispetto alla capacit? di progetto.
Infine, alcuni componenti d'arresto del sistema richiedono che il siste ma vada completamente fuori servizio. Quando il sistema va completamente fuori servizio, nella migliore delle ipotesi, si perde apprezzabile potenza resa. Sono comuni e note perdite del sistema con valori d? 200.000 $ per ora rese necessarie a causa di prove. Inoltre, le prove stesse possono determinare un guasto non rilevato. Per esempio, le aste vengono azionate ed un solenoide si rompe mentre le aste ritornano. Il risultato della prova mostra che il solenod. de funziona mentre in effetti esso ? ora rotto e la rottura non verr? rilevata fino alla successiva prova.
DESCRIZIONE SOMMARIA DELL'INVENZIONE
Viene descritto un sistema di autoprova per un sistema di protezione del reattore nucleare di un impianto nucleare. I sistemi di protezione nucleare sono i controlli elettronici, tipicamente comprendenti delle schede circuitali, posti in mezzo fra dei sensori (per esempio per rilevare un sovrariscalda mento del nocciolo) ed un controllo (per esempio per effettuare l'inserzione delle aste onde arrestare il reattore. Una costante sorveglianza di protezione del sistema nucleare ? fatta da un microprocessore che indirizza serialmen te delle schede circuitali del sistema di protezione e le carica in determina ti punti di entrata con dei comandi di prova. Le schede indirizzate vengono dopo di ci? contemporaneamente attivate da un comando che inter?ssa tutto il sistema. Il comando di prova ? un impulso di durata tanto breve che il suo ef fetto ? "trasparente" per il sistema e che non pu? influenzare il funzionameli to generale del sistema. L'impulso passa attraverso componenti elettrici atti vi per verificare, sul reale percorso d'attivazione, l'integrit? funzionale del sist?ma. Dopo un opportuno intervallo di risposta , lo stato d'uscita del sistema viene registrato in registri che si trovano in tutto il sistema. Dopo di ci?, mentre i dati di risposta contenuti in tali registri sono congelati > nello stato registrato, viene letta l'uscita. Questo risultato viene confrontato conti'uscita prevista nella memoria del calcolatore. Se si trova una cor rispondenza fra l'uscita della memoria e l'uscita del registro, viene attivata la successiva serie sequenziale di comandi di prova. Se non si trova corr_i spondenza, viene effettuata automaticamente una ricerca di subroutine per localizzare l'errore. Il descritto sottosistema di a?toprova ? replicato in quat tro distinte divisioni, mentre ciascuna divisione prova uno dei quattro repli cati sistemi di protezione. Le tre rimanenti divisioni inattive sorvegliano ? costantemente il funzionamento del sottosistema attivo. Il risultato finale ? un sistema generale che riduce il tempo medio per scoprire l'errore, rendendo cos? minimo il tempo medio per la riparazione e rendendo massime la disponibilit? e la sicurezza del sistema di protezione. La separazione del sistema di protezione in quattro divisioni replicate non ? vincolata all'invenzione descritta e l'invenzione pu? essere applicata a sistemi protettivi con un dif ferente numero di divisioni.
Altri scopi, caratteristiche e vantaggi
Uno scopo di questa invenzione ? quello di descrivere un processo per provare i controlli elettronici di un sistema di protezione di reattore nucleare. Secondo questo aspetto dell'invenzione, dei registri delle entrate di prova di tutto il sistema di protezione del reattore nucleare vengono caricati serialmente a comando di un calcolatore. Questi registri di entrate di pr? va, una volta completamente caricati, vengono contemporaneamente attivati da un comando generale del sistema. Vengono emessi degli impulsi di prova che han no una durata tanto breve in tempo reale da non essere visti o da essere "tra sparenti" per il sistema di funzionamento dell ' impiant? nucleare. Gli impulsi di prova passano attraverso i reali componenti elettronici attivati del siste ma nucleare facendo cos? in modo che i componenti siano in effetti provati per la loro effettiva integrit? elettronica. Dopo di ci? e quando ? passato un appropriato periodo di tempo, i dati di risposta contenuti nei registri vengono congelati in modo da registrare lo stato del sistema di protezione. Una volta che i dati sono congelati, i registri generali del sistema vengono letti se^? rialmente e le loro uscite vengono confrontate con predeterminate, corrette ri sposte immagazzinate in memoria. Dove vi ? una corrispondenza, risulta verifi cata l'integrit? del sistema.
Un vantaggio di questo apparato ? quello che nessuna parte dell'impianto nucleare deve essere isolata per effettuare la prova dell'integrit? del si sterna nucleare. Perci?, anche se il procedimento descritto sta verificando in modo continuativo l'integrit? funzionale delllimpianto, non viene in alcun mo do negativamente influenzata la capacit? dell'impianto a rispondere ad un'emergenza. Per esempio, per provare i controlli;onde sottoporre ad esercizio le aste di un reattore, non ? richiesto alcun esercizio effettivo delle aste. Un ulteriore vantaggio del descritto processo ? che, poich? per la pro?-va non ? richiesto l'esercizio del sistema, il sistema ? in ogni momento capa ce di rispondere ad un'emergenza. La necessit? di rendere inoperanti banchi di aste non ? per esempio richiesta per una prova del sistema di protezione del reattore nucleare.
Ancora un ulterioe vantaggio di questo apparato ? quello di ridurre sostanzialmente la necessit? di mettere il sistema fuori servizio. Di conseguen za sono evitati costosi periodi di prova dove ? richiesta una fermata del sistema.
Ancora un altro scopo di questa invenzione ? quello di descrivere un ap parato per mettere in pratica il descritto processo. Specificamente almeno un calcolatore (avente qui un'unit? centrale di elaborazione ed associate memorie) prova sequenzialmente diversi distinti sistemi. Nella prova di ciascun gruppo di circuiti del sistema di protezione, dei registri di entrata in prescelte posizioni in tutti gli armadi elettronici del sistema di protezione, vengono indirizzati serialmente e dopo di ci? caricati con comandi di prova. Quando i registri d?entrata sono caricati, vengono simultaneamente emessi mediante un impulso generale del sistema, degli impulsi di prova di durata sufficientemente breve da essere trasparenti per il funzionamento generale. Questa contemporanea emissione fa s? che gli impulsi effettivamente trasparenti percorrano il reale percorso attivo del sistema. Dopo un opportuno intervallo ed a seguito del ricevimento di un segnale, lo stato di risposta del sistema viene congelato in registri residenti. Questi registri vengono dopo di ci? let ti e la loro uscita viene;-confrontata con l'uscita di dati immagazzinati in memoria per verificare l'integrit? del reale percorso di funzionamento del si^ sterna.
Un vantaggio di questo aspetto dell'invenzione ? che il processo di pr? va di questa invenzione pu? essere continuamente e ripetutamente messo in pra tica mediante un calcolatore. Il calcolatore, nel mettere in pratica il processo di prova, verifica continuamente e a distanza l'integrit? funzionale del sistema di protezione del reattore nucleare.
Un altro vantaggio di questo aspetto dell'invenzione ? che il sistema ? capace di rilevare se una qualsiasi distinta funzione di emergenza ?, in tutto o in parte, sufficientemente funzionale da far passare l'impianto ad un al tro stato di funzionamento. Per esempio, durante un normale funzionamento o una crisi, un operatore pu? accertare, in modo relativamente rapido, prima del riarrangiamento dello stato di funzionamento dell'impianto, se il successivo e premeditato stato di funzionamento dell'impianto ? disponibile.
Ancora un altro scopo di questa invenzione ? quello di descrivere la suddivisione dei circuiti del sistema di protezione in sottogruppi nel caso che sia localizzato un errore. Secondo questo aspetto dell'invenzione e quan^ do l'uscita della memoria non corrisponde alla desiderata uscita del registro, pu? aversi una suddivisione della prova. In tale suddivisione ulteriori registri del sistema possono venire letti o alternativamente possono essere iniziate nuove sottoprove del sistema. Inoltre, possono essere effettuate appropriate diramazioni in modo che la prova sia indirizzata con crescente partico larit? verso punti di guasto del sistema.
Ancora un altro scopo di questa invenzione ? quello di descrivere i com ponenti del sistema di prova ed in particolare di descrivere schede circuita? li sostituibili. Secondo questo aspetto dell'invenzione, le schede comprendo-1 no dispositivi elettronici per riscontrare indirizzi seriali e registri di en trata o uscita dei comandi di prova o degli stati del sistema. Queste distinte schede sono sostituibili e sono inventariate di modo che, quando un punto di guasto viene localizzato con particolarit?, un tecnico pu? essere incarica to di rimuovere e sostituire la scheda per ripristinare l'integrit? del sistema.
Un ulteriore vantaggio di questo apparato ? la continuit? delle prove per cui il tempo medio per scoprire un guasto viene drammaticamente ridotto. Quanto pi? presto il guasto ? scoperto e localizzato, tanto pi? presto esso pu? essere riparato ed il sistema reso disponibile. Usando la formula
? facile vedere che quando MTBR si riduce, la disponibilit? si avvicina al de siderato 100%. Un vantaggio delle prove senza influenzare il funzionamento ? che il particolare sistema da provare rimane completamente operativo conservando cos? la completa protezione di sicurezza per l?impianto. Inoltre, quando vengono osservate delle semplici precauzioni di progetto dell ?hardware, i guasti del sistema di autoprova stesso non possono influenzare alcun circuito essenziale del sistema di protezione del reattore nucleare.
Un altro vantaggio delle prove automatiche computerizzate rispetto alle prove manuali ? la velocit?. Il sistema di autoprova effettua una completa agenda di prove in 30 minuti da confrontare ai molti giorni di prove manuali.
ci? consente pure una prova su;richiesta ed anche una sorveglianza automatica. Un ulteriore vantaggio del sistema di autoprova ? la sua capacit? di pr? va utilizzando entrate di stato simulato dell'impianto per il sistema di protezione del sistema nucleare. Non richiedendo che l'impianto sia in un qualsiasi particolare stato effettivo per effettuare la prova, viene risparmiato tempo e quindi aumentata la disponibilit?. Ci? ? specialmente vero per stati raramente usati quali il sovrariscaldamento del nocciolo che richiederebbe uno scram.
Un altro vantaggio di questa invenzione ? che vi sono quattro indipendenti controllori d'autoprova, uno per ciascuno dei ridondanti sistemi di pr? tezione del sistema nucleare. Non vi sono connessioni elettriche fra i quattro controllori di autoprova mentre l'unica intercomunicazione avviene attraverso isolatori otticamente accoppiati.
Il vantaggio di questo isolamento ? che, se per esempio uno dei controllori d'autoprova fosse cortocircuitato, ci? non influenzerebbe il funzionamento degli altri.
Inoltre vi sono minori varianti nel progetto dei quattro controllori di autoprova (per esempio nel cablaggio) onde evitare qualsiasi possibile errore sistematico di progetto di "tipo comune".
Breve descrizione dei disegni
La presente invenzione pu? essere meglio compresa facendo riferimento alla descrizione ed ai'disegni che seguono, dove :
la Fig. 1 ? uno schema a blocchi di un sistema automatico di autoprova del sistema di protezione di un reattore nucleare secondo la presente invenzione;
le Figg. 2A-2G sono schemi del sistema d'autoprova, i quali comprendono una tipica scheda di I/O universale, una scheda di I/O seriale e la relativa circuiteria;
la Fig. 3 ? uno schema a blocchi del sistema di autoprova mostrante la scheda CPU, la scheda di I/O universale e le schede di I/O seriale interconnes e ai bus (canali) dei dati, degli indirizzi e di controllo;
la Fig. 4 ? un diagramma a blocchi del sistema di autoprova a partire dall' I/O universale verso, per esempio, la circuiteria del sistema'.RPSf(siste ma di protezione del reattore). La Fig. 4 comprende i monitori di selezione delle schede, le schede funzionali di prova del sistema e gli associati bus;
la Fig. 5 ? un diagramma a blocchi mostrante l'organizzazione del? pr?gramma del calcolatore del sistema d'autoprova;
le Figg. 6A ? 6B sono una flow chart (tavola delle sequenze) mostrante il programma esecutivo del calcolatore del sistema d'autoprova;
la Fig. 7 ? una flow chart di una prova del sistema mostrante la routine di iniezione delle schede del sistema;
la Fig. 8 ? una flow chart di una prova del sistema mostrante la verif_i ca dei guasti del sistema.
Descrizione dettagliata di una realizzazione preferita La presente invenzione, un sottosistema di autoprova per i sistemi di protezione del sistema nucleare, rileva rapidamente guasti nella hardware e fa cilita cos? la riparazione del sistema di protezione del reattore nucleare (RPS). Il sistema di autoprova (STS) comprende una memoria in cui vengono immagazzinate delle serie di pattern (modelli) di prova di stimoli di entrata e i previsti risultati d'uscita. Dopo avere effettuato una prova, le effettive uscite ottenute vengono confrontate con le uscite previste e, se vi sono delle discrepanze, tale fatto viene annunciato agli operatori dell'impianto.
Un singolare aspetto della presente invenzione ? il fatto che le prove del RPS possono essere effettuate in tempo reale mentre il sistema ? in effet tivo funzionamento senza interferire col funzionamento del sistema. Ci? ? ottenuto utilizzando degli impulsi di prova di breve durata. Tali impulsi non ; provocano l'effettiva attivazione dei componenti del RPS salvo che per controllare la loro continuit?. Cos? gli impulsi sono "trasparenti" per il funzio namento del sistema.
Il sistema di autoprova comprende quattro divisioni intercomunicanti,ot ticamente accoppiate, del sistema di autoprova {Fig. 1) dove ciascuna divisio ne ? capace di funzionare come pilota (master) per le altre tre divisioni ed ? capace di funzionare come servo (slave))per una delle altre tre divisioni. Ciascuna divisione comprende un sistema di autoprova (Fig. 2).
Il sistema di autoprova comprende una scheda 12 CPU/memoria che contiene una unit? centrale Z8014 di elaborazione, una memoria di sola lettura (ROM) 15 che contiene il programma di funzionamento del sistema di autoprova ed una memoria ad accesso casuale (RAM) 16. La scheda CPU/memoria comprende anche un decodificatore di indirizzi 17 ed un orologio 18 del processore (processor). Il processore comprende un bus dei controlli, un bus dei dati ed un bus degli indirizzi. I bus vengono avviati attraverso i circuiti buffer (di accumulo) 19-21 dei bus dei controlli, dei bus dei dati e dei bus degli indirizzi.I buf fer servono come interfaccia per i bus fra la scheda CPU/memoria ed il resto del STS.
La scheda CPU/memoria ? interfacciata con sei schede 22-27 di entrata/u scita (I/O) universale e con una scheda 28 di entrata/uscita (I/O) seriale.
La Fig. 2 mostra in dettaglio la scheda 22 I/O universale ed altre cinque sche de 23-27 di I/O universale in forma di blocchi. La Fig. 3 ? una vista generale dell?architettura del magazzino dell'hardware dell'STS. La Fig. 4 ? una vista generale dell'architettura del sistema STS.
La scheda 28 di I/O seriale ? interfacciata verso i bus dei controlli, dei dati e degli indirizzi tramite i buffer (memorie di accumulo) 30-32 del bus dei controlli, del bus dei dati e del bus degli indirizzi. La scheda I/O seriale comprende32K del ROM 34 contenente la base dei dati per questa speci fica divisione fra le quattro divisioni. La ROM 34 ? associata con un decodi, ficatore di indirizzi 35. La scheda I/O seriale 28 contiene anche una rete 36 di controllo del.flusso dei dati e comprende due piastrine 37 di I/O parallela/seriale che forniscono ciascuna due canali di uscita. I canali di u? scita della piastrina sono interfacciati verso la scheda madre I/O del siste ma di autoprova tramite un pilota/ricevitore differenziale 38. Lo I/O parallelo/seriale 37 ? pilotato da un orologio di scheda 39.
La scheda I/O seriale ha quattro canali I/O.Tre dei canali della sche da I/O seriale sono connessi, tramite isolatori ottici, alle altre tre divisioni. Un quarto canale ? un canale della funzione diagnostica. Le quattro divisioni comunicano una con l'altra tramite la scheda I/O seriale di ciascu na divisione. Le quattro divisioni sono accoppiate otticamente di modo che un guasto elettrico di una divisione non interferisce col funzionamento delle altre divisioni.
Il quarto canale I/O della scheda I/O seriale fornisce informazioni diagnostiche e funzionali al calcolatore 44 di processo del sistema (Fig. 1 ). In questo modo un particolare codice di errore pu? essere mandato al calcola tore di processo e quindi ad un terminale diagnostico 45 dell'operatore dove il codice di errore viene tradotto in inglese o in altri messaggi comprensibili per l'operatore onde mettere in all'erta il personale di manutenzione.
Durante il funzionamento, quando viene attivato un annunciatore o indi^ catore 43, l'operatore pu? rivolgersi al calcolatore di processo per localiz zare l'errore trasferendo comandi attraverso la scheda I/O seriale al sistema di autoprova onde rintracciare le informazioni sul guasto o per far compiere particolari prove al sistema di autoprova, prove che restituiscono quindi dati al calcolatore di processo indicanti i risultati delle prove. In questo modo un guasto pu? essere localizzato e pi? facilmente corretto.
Le sei schede I/O universale sono interfacce fra il magazzeno del sistema di autoprova e la circuiteria di autoprova situata sulle schede funzio nali di protezione 60 (Fig. 4). Ciascuna scheda I/O universale 22-27 ha uri'in terfaccia verso i bus di controllo, dei dati e degli indirizzi, costituita dal buffer 46 del bus di controllo, dal buffer 47 del bus dei dati e dal buffer 48 del bus degli indirizzi. Gli indirizzi vengono decodificati dal de codificatore 50 della scheda I/O universale per far funzionare o una porta d'entrata 52 a 24 linee, nel quale caso la I/O universale ? un dispositivo di entrata, o per far funzionare la porta di uscita 53 a 24 linee, nel quale caso la I/O universale ? un dispositivo di uscita. La selezione delle porte di entrata o di uscita ? sotto il controllo della CPU. I tempi ed i segnali della scheda I/O universale possono essere controllati da una piastrina o chip temporizzatrice (CTC) 51 dell'orologio di scheda.
La scheda I/O fornisce un primo livello di decodificazione per accedere alle schede della funzione di protezione ed alla circuiteria. Il secondo livello di decodificazione ? fornito dai monitori 54 di selezione delle sche de (Fig. 4).
In generale, per comunicare con una scheda della funzione di protezione, deve essere per primo selezionato il suo monitore 54 di selezione delle schede. I dati di indirizzo vengono quindi mandati attraverso le schede I/O universale verso il monitore di selezione delle schede per selezionare una particolare scheda della funzione di protezione posta in una particolare feritoia dell'archivio delle schede sotto il controllo del monitore di selezio ne della scheda selezionata.
Una volta che ? stata selezionata la scheda della funzione di protezio ne, i dati necessari per configurarla per la prova del RPS vengono forniti tramite il bus dei dati. I dati provenienti dalla scheda I/O universale vengono avviati lungo il bus direttamente alla selezionata scheda funzionale e non passano attraverso ad un monitore di selezione delle schede.
Il monitore di selezione delle schede ? un'interfaccia fra le schede I/O universale e le schede della funzione di protezione e costituiscono un secondo livello di decodificazione degli indirizzi. La scheda I/O universale pu? selezionare uno dei fino a 24 monitori di selezione delle schede. General mente non sono richiesti 24 monitori diselezione delle schede per ogni scheda I/O universale, ma tale capacit? ? disponibile per certe realizzazioni dell'invenzione.
Il monitore di selezione delle schede viene "selezionato" mediante la I/O universale quando rifceve un segnale di selezione del sistema dalla scheda I/O universale (Fig. 4). La I/O universale manda un particolare vettore di indirizzo di prova (dati di entrata) al monitore di selezione delle schede dopo che il monitore di selezione delle schede ? stato selezionato. Il vettore di indirizzo della prova seleziona la particolare scheda nell'archivio delle schede onde ricevere dati di prova dal CPU. Una parola a 27 bit proveniente dalla I/O universale viene ricevuta dal monitore di selezione di schede come dati seriali. I dati seriali vengono passati ad un registro di indirizzi del monitore 54 di selezione delle schede mediante un orologio di indirizzo. Ciascun bit dei dati trasferiti si riferisce ad una particolare scheda della funzione di protezione che pu? essere selezionata. Cos?, se vie ne passato un "1" nella posizione del bit 7, allora viene selezionata la set tima scheda funzionale di protezione di detto archivio delle schede.
Un segnale strobe (di campionamento);di selezione viene mandato al monitore di selezione delle schede facendo s? che i dati seriali che sono stati passati al suo registro di indirizzo, siano caricati (latched) in un regi stro di uscita del monitore 54 di selezione delle schede. Questo registro di uscita aziona ora la linea di selezione delle schede per la desiderata scheda della funzione di protezione dell'archivio delle schede.
Una delle importanti caratteristiche della presente invenzione ? quella della verifica e della conferma di ricevimento. Cos? quando un segna.le strobe di selezione viene mandato per caricare dati nel registro di uscita, un eco strobe viene rimandato alla I/O universale verificando che il monitore di selezione delle schede ha davvero ricevuto il segnale strobe di selezione. Similmente, quando un segnale di selezione del sistema viene fornito al monitore di selezione delle schede, un segnale di ricevimento del sistema viene rimandato alla I/O universale per confermare che il segnale di selezio ne del sistema ? arrivato al monitcre di selezione delle schede.
Il monitore di selezione delle schede pu? essere utilizzato per inventariare le schede funzionali di un dato archivio di schede per determinare se nell'archivio mancano o sono state aggiunte delle schede. Onde fare ci? vengono caricati dei pattern (modelli o configurazioni) nel registro di uyci ta per selezionare ogni scheda funzionale dell'archivio delle schede. Un eco proveniente da ciascuna scheda funzionale vie:ne rimandato al monitore di selezione delle schede e caricato nel registro del monitore 54 di selezione delle schede. Al ricevimento di un segnale d'orologio di confronto provenien te da una I/O universale, i dati paralleli del registro del monitore indicar te echi provenienti dalle selezionate schede funzionali, vergene? caricati, quindi emessi serialmente dal registro?del monitore e rimandati ad una I/O u ni.versale.
Il pattern ricevuto dalla I/O universale viene verificato dal CPU per ess?;re certi che:sono stati ricevuti echi da tutte le schede e che; nessuna scheda ? fuori dall'archivio. Oltre ad effettuare:un inventario delle schede funzionali questo procedimento viene usato durante le prove effettive per ve rificare che siano state selezionate le schede funzionali appropriate per una particolare configurazione di prova.
A causa della complessit? di un reattore nucleare, molte porzioni componenti'del sistema di protezione del reattore nucleare devono essere provate in separate prove a sovrapposizione. In questa particolare realizzazione dell'invenzione vengono provati in questo modo sette differenti sistemi di protezione. La scheda 60 della funzione di protezione (Fig.4) viene selezio nata quando un vettore di prova, specificante tale particolare scheda, viene decodificato dal monitore di selezione delle schede, il quale sceglie a sua volta la appropriata scheda della funzione di protezione del suo associato archivio di schede.'
Alcune schede della funzione di protezione possono avere pi? registri di entrata o uscita,ma la maggior parte sono configurate in modo simile. Tipicamente, i segnali presenti in tutte le schede della funzione di protezione sono quelli del bus di autoprova che comprendono dati in ingresso, orologio, impulso di prova, eco dell'impulso di prova, selezione della scheda, conferma della selezione della scheda ed orologio di confronto.
Quando una scheda funzionale viene selezionata dal monitore 54 di seie zione delle schede, un segnale di selezione della scheda viene mandato alla scheda. Un eco o conferma di selezione della scheda viene fornito al monitore di selezione delle schede per verificare che il segnale di selezione della scheda ha raggiunto la scheda funzionale.
Ogni qualvolta sono presenti il segnale di selezione della scheda ed il segnale d'orologio, il seriale "dati in ingresso" pu? essere passato ad un registro di entrata dei dati della scheda tramite 1 bus dei dati. Cos? un vettore di prova?viene passato nei registri d'entrata dei dati bit per bit onde formare i vari pattern di prova.
Dopo che la scheda funzionale ? stata selezionata dal monitore di seie zione delle schede e che il vettore di prova ? stato passato al registro di entrata dei dati, viene fornito un impulso di prova di 1 millisec. Un eco dell'impulso di prova viene rimandato alla I/O universale per verificare che l'impulso di prova ha raggiunto la selezionata scheda funzionale.
Approssimativamente 800 microsec. dopo la prima emissione dell'impulso di prova, viene fornito alla scheda funzionale un segnale d'orologio di confronto. Il segnale di orologio di confronto carica l?uscita parallela dei da ti proveniente dal sistema di protezione in prova del reattore, in un registro del pattern ricevuto. I dati paralleli caricati nel registro di pattern ricevuto vengono emessi serialmente a tempo bit per bit mediante il segnale d'orologio. Ci? fa ritornare dati seriali ad una I/O universale.
I dati di entrata alla scheda funzionale dipendono tipicamente dall?ef fettivo numero di entrate funzionali che la scheda ha ed i dati dei risultati dipendono dal numero di uscite. Oltre ai dati dei risultati di prova, i dati della scheda della funzione di protezione forniscono due ulteriori tipi di informazione: i dati sul tipo di scheda ed i dati sull'indirizzo di scheda I dati del tipo di scheda identificano una scheda della funzione di protezione per quanto riguarda le sue particolari caratteristiche di prestazione.
Per assicurare che la scheda selezionata sia posizionata nella sua cor retta feritoia, una porzione dell'indirizzo di scheda ha anche l'uscita di dati seriali provenienti dalla scheda funzionale.
La CPU Z80 riceve i dati di uscita della scheda della funzione di protezione, l'informazione sul tipo di scheda e l'informazione sull'indirizzo di scheda proveniente dalla I/O universale. I valori ottenuti per la prova vengono confrontati con i valori previsti per la prova immagazzinati nella base dei dati. Se i risultati di prova corrispondono ai risultati previsti, il programma di prova passa alla successiva prova. Se i risultati non corrispondono viene annunciata una discordanza al personale che fa funzionare lo impianto.
La precisione della prova viene assicurata verificando che l'indirizzo di scheda ed il tipo di scheda siano corretti prima di verificare che i dati ricevuti corrispondano ai dati previsti. Se viene rilevato un improprio tipo di scheda o un improprio indirizzo di scheda, viene dato un allarme al personale operatore di modo che possano essere prese misure correttive.
La particolare scheda funzionale selezionata dipende da quale prova del RPS viene effettuata. Durante certe prove ? desiderabile che una scheda della funzione di protezione rimanga non selezionata ma continui a fornire una funzione di monitoraggio. Una tale situazione potrebbe sorgere quando una scheda non ? direttamente caricata con dati di prova provenienti dal STS ma ? invece indirettamente caricata da schede sottoposte a prove dirette in differenti punti del sistema di protezione del reattore. Per esempio ci? pu? accadere in prove in fila dove una certa condizione costituisce l'entrata per una fra una serie di schede effettuanti una data funzione del sistema, mentre viene sorvegliata l'uscita da una seconda scheda. Per esempio in una prova del sistema che richiede la partecipazione di dieci schede della funzione di protezione, cinque schede della funzione di protesone poirebbero es sere configurate come schede di sorveglianza mentre le altre cinque potrebbe ro essere configurate per l'iniezione dei dati. In tale configurazione di prova i monitori di selezione delle schede selezionano ogni scheda della fun zione di protezione che deve essere iniettata una per volta. I dati del vettore di prova per la particolare prova vengono quindi passati al registro di entrata dei dati di ciascuna scheda.
Una volta che le schede della funzione di protezione sono condizionate per la prova, il sistema ritorna indietro e seleziona le cinque schede della funzione di protezione che devono iniettare un segnale di prova nel RPS. Durante l'effettiva prova ciascuna selezionata scheda della funzione di prote zione riceve contemporaneamente l'impulso di prova di 1 millisec. Il tempo di 1 millisec. dell'impulso di prova ? molto significativo per quanto riguar da la prova poich? esso d? sufficiente tempo per verificare l'integrit? dele maglie di controllo del RPS ma non occupa le maglie di controllo del RPS per un tempo sufficientemente lungo ad influenzare effettivamente il funzionamento del sistema di protezione. In questo modo il sistema di autoprova ap pare trasparente al sistema di protezione del reattore nucleare ed il sistema di protezione pu? essere continuamente provato in tempo reale, mentre sta funzionando senza interferire col funzionamento del reattore.
Per evitare un effetto cumulativo delle prove sul funzionamento del si sterna nucleare, l'impulso di prova di 1 millisec. non si verifica generalmen te pi? spesso che una volta ogni 33 millisec. Dei temporizzatori di hardware e di software sono utilizzati per impedire che ci? si verifichi. Inoltre la circu?teria della scheda della funzione di protezione ? munita di una costante di tempo.quale un circuito di tempo scaduto, che impedisce ulteriormente l'interferenza delle prove col funzionamento del sistema nucleare.
Le schede della funzione di protezione possono essere caratterizzate come aventi una circuiteria di prova e come aventi una circuiteria funzionale o "essenziale". Circuiteria essenziale ? quella che ? connessa all'effettivo sistema RPS e come tale essenziale per il funzionamento sicuro del reattore nucleare. Cos?, se vi ? un guasto nella circuiteria essenziale, 'esiste una potenziale possibilit? di interferenza col normale funzionamento dell?im pianto ed il reattore viene quindi posto in una condizione di arresto o di ridotta potenza fino a che non viene corretto l'errore. La maggior parte del la circuiteria della presente invenzione ? di tipo non essenziale. Cos?, un guasto della presente invenzione non richiederebbe necessariamente l'arresto del reattore.
Le prove del sistema di protezione del reattore nucleare sono effettua te mediante una serie di impulsi di breve durata, dell'ordine di 1 millisec., iniettati nella logica del sistema di protezione, di modo che nessun singolo impulso di prova sia di durata significativa rispetto al tempo di risposta del sistema funzionale e di modo che le combinazioni degli impulsi di prova non alterino le prestazioni del sistema. Il metodo principale di prova ? quel lo di controllare tutte le entrate dell'armadio di controllo di un particola re sistema funzionale di sicurezza e di osservare tutte le uscite dell'armadio. Queste uscite vengono confrontate con la nota funzione di trasferimento del particolare sistema per tutte le significative combinazioni della condizione di entrata onde stabilire che il circuito ? funzionante. Per rendere minimo il tempo di prova, ciascuno dei sistemi funzionali di sicurezza (sette sistemi di sicurezza in questa realizzazione dell'invenzione) viene suddi viso in circuiti aventi indipendenti entrate ed uscite di modo che esse possano essere provate separatamente. Prove sovrapposte vengono impiegate per rendere minimo il tempo di prova e per facilitare la localizzazione del guasto su un modulo sostituibile (scheda circuitale). I guasti vengono localizzati a livello di modulo, il che ? un preferito incremento di sostituzione sul posto. I moduli di ricambio vengono separatamente verificati per quanto riguarda la loro funzionalit? con un elevato livello di sicurezza.
Le prove col sistema di autoprova sono automatiche, una volta che esse sono state iniziate, per assicurare un intervallo di preva sicuro e minimo.
La prova manuale viene effettuata per verificare un modulo appena sostituito. Il sistema di autoprova ? controllato da microprocessore, dove il microprocessore funziona in base ad una serie di moduli di software. L'organiz zazione del programma ? mostrata in Fig. 5.
Il principale modulo di software ? il modulo esecutivo,la maglia principale di programma in ciascuna delle quattro divisioni ridondanti. Il modulo esecutivo verifica i messaggi provenienti dal calcolatore di processo del. l'impianto, da altre divisioni e dalla scheda di controllo del modulo analogico di scatto (ATM) tramite connessioni comunicanti e durante certi periodi di funzionamento. Quando il sistema di autoprova di una data divisione raggiunge il suo turno per esercitare il controllo su tutte le divisioni, cio? diventa il pilota (master), il suo modulo esecutivo dirige quelle prove che gli-sono assegnate.
Le prove da effettuare vengono provate usando un contatore come indice in una tavola di prova. Viene quindi chiamata la -prova indicata da tale indi_ ce. Il ciclo di prova ritorna quindi un codice che descrive i risultati di prova. Nel caso di un guasto, la divisione del sistema di autoprova viene messa fuori servizio. Quando sono state effettuate tutte le prove principali viene settato un flag di gara (segnale di gara) e viene chiamata la routine della "gara per essere pilota" onde passare lo stato di pilota ad un altro controllore di autoprova (STC).
La routine di sorveglianza (watch-dog routine) viene chiamata quando il timer di sorveglianza sta temporeggiando l'inizializzazione di un nuovo pilota..Il temporizzatore di sorveglianza verifica che il tempo assegnato per questa inizializzazione non sia stato superato; se esso ? stato superato, la routine di sorveglianza introduce l'opportuno messaggio nel "registro degli errori" e salta ad una routine che annuncia l'errore ed arresta la prova.
Il funzionamento della maglia (loop) esecutiva ? mostrato nella flowchart (tavola delle sequenze) delle Figg. 6A e 6B. Quando il sistema ? attivato viene effettuata una inizializzazione di alimentazione (power up) (100) e viene settato il flag di gara (101). Il programma guarda quindi i messaggi provenienti da altre divisioni (102) li decodifica ed esegue le necessarie risposte (103).se vi sono tali messaggi. La divisione cerca anche messaggi provenienti dal calcolatore di processo (104), li decodifica ed esegue le ne cessarle risposte se essi sono presenti (105). Se non vi sono messaggi, o quando tutti i messaggi hanno avuto risposta, viene ripristinato un temporizzatore di "uomo morto" (106) ed il programma esecutivo verifica per vedere se qualche divisione ? attualmente pilota (107).
Se la divisione non ? "in linea" essa rimane nell'anello esecutivo attendendo messaggi dalle altre divisioni (102). Se la divisione ? "in linea", allora deve essere verificato il flag della gara per diventare pilota (108). Se il flag della gara per diventare pilota ? settato, viene chiamata la routine della gara per diventare pilota (109) e la gara per diventare pilota viene effettuata per determinare quale delle quattro divisioni sar? pilota e quale al contrario sar? serva (slave).
Se il flag della gara per diventare pilota non ? stato settato, vi ? gi? un pilota ed il modulo esecutivo verifica se la sua divisione ? pilota (110). Se la sua divisione non ? pilota, il flag del temporizzatore di sorve gli?nza viene verificato (ili) ed a quel pur.to viene settato (112). Se la divisione ? pilota, il modulo esecutivo va alle tavole di programma, ottiene i numeri delle prove maggiori e minori (113) e chiama dapprima le prove maggiori (114) (trattate sotto).
Se le prove principali sono state superate (115), i numeri delle prove minori vengono incrementati (116). Se le prove non sono state superate o se vi ? un'interruzione di tempo scaduto del temporizzatore di sorveglianza (il che indica che una divisione ? bloccata), viene registrato l'errore nel registro degli errori (123), viene acceso un segnalatore o annunciatore, viene ripristinato il flag "in linea" (122) e viene ripristinato il flag della gara per diventare pilota (121).
Se le prove minori sono finite con successo, viene ripristinato il numero delle prove minori, viene filari il numero delle prove maggiori < (117) e vengono quindi effettuate le prove interdivisionali (118). Se le prove interdivisionali vengono superate, il modulo esecutivo verifica per vedere se tutte le prove maggiori sono finite (120) e in tal caso setta il flag della gara.per diventare pilota (121). In caso contrario il modulo esecutivo fa ri tornare all'inizio dellamaglia.
Se devono essere eseguite delle prove interdivisionali (118) il modulo esecutivo verifica se c'? una configurazione interdivisionale (pi? di una divisione) (119). Se il sistema ? configurato per diverse divisioni, viene fat ta una prova per vedere se tutte le prove principali seno finite (120) ed in tal caso viene settato il flag della gara per diventare pilota. Se non c'? una configurazione interdivisionale (119)lamaglia del sistema va direttameli te alla routine della gara per diventare prima (121) e quindi all'inizio del la maglia (102).
La seguente ? una trattazione delle prove maggiori e delle routine effettuate dal software del sistema sotto controllo della maglia esecutiva. La prima prova ? la routine di autoverifica.
La routine di autoverifica effettua un'autoverifica del CPU del controllore di autoprova (STC) il che comprende una prova del microprocessore Z80, della memoria ROM, della memoria RAM e del circuito contatore-temporiz zatore. Queste prove vengono eseguite sequenzialmente e se viene rilevato un guasto il calcolatore viene arrestato. Se tutte le prove sono positive si ve rifica un normale ritorno.
Durante la routine di autoverifica viene effettuata una verifica del microprocessore Z80. La verifica del microprocessore ha due componenti principali : prova di controllo del programma e prove di manipolazione dei pattern. Per questa prova vengono disabilitate le interruzioni dirette al microproces sore. Se si verifica un qualsiasi guasto nel processo della prova, si ha un arresto.
La prova di controllo del programma effettua le istruzioni del program ma della serie di istruzioni dello Z80. Le prove di manipolazione dei pattern prevedono varie procedure di verifica della parit?.
La routine di prova della RAM effettua,la prova della parte superiore della RAM per quanto riguarda il funzionamento e quindii muove la porzione di dati RAM che deve essere salvata nella porzione superiore appena provata. La routine prova quindi la porzione inferiore della RAM. Quando la prova ? completata, la porzione di dati RAM salvati viene riportata in basso nella sua originale posizione.
La successiva ruotine ? la routine di autoprova. La routine di autopro va contiene una serie di sottoprove ciascuna delle quali effettua la prova di una parte dell'hardware del controllore di autoprova. Queste sottoprove vengono eseguite nell'ordine indicato nel seguito ed i risultati di una sottoprova non sono validi fino a che tutte le successive sottoprove sono state superate.
Durante le procedure di autoverifica e di autoprova viene eseguita una routine del temporizzatore di sorveglianza (watch-dog) in ciascuna divisione. Tipicamente il temporizzatore di sorveglianza viene utilizzato quando una da ta divisione ha finito la sua prova e sta per .passare il suo stato di pilota ad un'altra divisione. La divisione cedente fa una domanda alla divisione candidata pilota. La divisione candidata pilota comincia la sue procedure di autoprova e di autoverifica. La divisione pilota cedente verifica il tempo di queste procedure con il suo temporizzatore di sorveglianza e, se le prove vengono concluse entro il tempo assegnato, la divisione cedente passa lo stato di pilota alla divisione candidata pilota. Quest'ultima procede quindi nelle prove del sistema.
Inoltre ciascuna divisione mantiene un temporizzatore di "uomo morto" per la divisione pilota. Se la divisione pilota non completa le sue prove del RPS nel tempo assegnato, viene settato un flag di errore e viene annunciato il guasto. Tale annuncio o segnalazione indica che la divisione pilota ? bloccata in qualche punto ma non ha ancora annunciato il fatto stesso.
Se viene rilevato un guasto in una delle segu?nti sottoprove .della routine di autoprova, l'errore viene registrato nel modulo esecutivo. Le seguenti prove fanno parte della autoprova:
(l) prova dei circuiti contatore/temporizzatore;
(2) prova delle I/O universali;
(3) prova del monitore d'alimentazione;
(4) prova del selettore/monitore delle schede;
(5) prova per scheda fuori dall'archivio;
(6) prova dell'indirizzo della scheda;
(7) prova dei fusibili dei bus;
(8) prova della scheda di ritardo di tempo.
Le sequenze di prova incorporanti le suddette routine e le singole rou tine di prova di sorveglianza funzionale sono le seguenti.
Quando un controllore di autoprova diventa pilota esso prova se stesso prima di provare la circuiteria di protezione. Esso fa questo in due fasi : una fase di autoverifica che prova la funzione CPU, la ROM, la RAM ed il cir cuito hardware contatore/temporizzatore; lina fase di autqirova che prova le porte I/O universali e tutte le altre circuiterie di controllo o di interfac eia dell'autoprova.
Se si incontra un problema durante la fase di autoprova, la CPU viene arrestata e non viene intrapresa alcuna ulteriore attivit? di prova da tale divisione. Comunque, durante questo periodo, un temporizzatore di sorvegliar^ za (watch dog) della divisione che ha appena precedentemente svolto la funzio ne di pilota sta contando il tempo. Se il nuovo pilota non completa la sua autoverifica, la divisione pilota cedente registra il fatto nel suo registro degli errori ed attiva il segnalatore o annunciatore di guasto del controllo re di autoprova. Cos?, durante questa fase critica di autoverifica un altro controllore di autoprova, in particolare un controllore di autoprova che ha appena convalidato la sua funzionalit?,avendo provato con successo la propria divisione, sorveglia il processo.
Se si incontra un problema durante la fase di autoprova, nel registro degli errori della divisione vengono riportati il tipo e la posizione della scheda e l'annunciatore di guasto del controllore d'autoprova viene attivato.
In maggior dettaglio, 1'autoprova comincia ccn una prova dei circuiti contatori/temporizzatori che si trovano sulle schede I/O universale. Questi circuiti temporizzatori sono usati per effettuare funzioni di temporizzazione quale la funzione del temporizzatore di sorveglianza e la funzione di tenere all'erta la divisione "serva". I temporizzatori sono anche usati per tem porizzare gli intervalli fra gli impulsi di prova ed i cicli di servizio; quando una divisione comunica con un'altra divisione viene fatto partire un contatore e viene fatto partire un temporizzatore se tale altra divisione non risponde.
Una volta che i temporizzatori sono stati tutti messi in esercizio e verificati come correttamente funzionanti, viene effettuata la prova delle I/O universale. In questa particolare realizzazione vengono provate sei sche de I/O universale. Vi sono fondamentalmente tre tipi di prove delle schede I/O; la prova dello stato di quiescenza in cui tutti i punti di uscita vengo no disabilitati per assicurarsi che le porte di entrata siano ad un opportuno livello logico; la prova di isolamento tri-state in cui si verifica che la circuiteria della scheda sia spenta quando viene dato il comando di spegnerla; la prova di wraparound (di ritorno) in cui tutti gli "0" sono scritti nelle porte di entrata delle schede I/O universale ed il sistema fa una verifica per assicurarsi che tutti gli "0" vengano restituiti dalle porte di uscita. La prova di wraparound viene quindi effettuata con tutti "1" ed il sistema verifica che siano restituiti tutti "1"; la prova viene anche effettuata con degli "1" e degli "0" alterni per assicurarsi che sia restituita la stessa alternazione. La prova di wraparound verifica che non vi siano por te di entrata o di uscita in cortocircuito o interrotte.
La successiva prova ? la prova di monitoraggio d'alimentazione che ricupera i dati del registro delle schede del monitore di alimentazione (non mostrate). Queste prove verificano che le schede del monitore d'alimentazione diano lo stato di ciascuna delle fonti d'alimentazione nel corretto formato.
La prova del monitore di selezione delle schede fa, come detto sopra, un inventario delle schede del monitore di selezione delle schede. Dopo questa prova vi ? la prova di "scheda fuori dall'archivio" che assicura che un opportuno eco venga rimandato da ciascun monitore di selezione delle schede.
La successiva prova ? la prova dell'indirizzo di scheda che verifica che le schede del monitore di selezione delle schede siano nei loro.,giusti archivi di schede e nelle giuste feritoie di questi archivi di schede. Inoltre, questa prova verifica l'indirizzo del monitore di selezione delle schede.
La prova dei fusibili del bus verifica i fusibili dei bus di ogni sistema per assicurarsi che si faccia una corretta lettura quando la scheda utilizza tutte le tensioni necessarie per sorvegliare il STS. Se si ottiene un risultato non corretto, si deve sospettare un guasto di fusibile.
L'ultima prova ? la prova delle schede di ritardo. Questa prova verifi ca che ciascun ritardo nel sistema d'autoprova sia entro le specificazioni.
Dcpo la fasi di autoverifica e di autoprova, il controllore di autopro va ? pronto ad effettuare prove sull'effettiva circu?teria di protezione. Queste prove prendono due forme generali: prove del sistema (Figg. 7 e 8) e prove interdivisionali.
Nelle prove del sistema ciascun sistema principale del RPS viene suddi^ viso in un certo numero di sottosistemi e separatamente provato con dovuta considerazione ad una sovrapposizione di modo che non vi siano nella divisio ne "isole" non provate. Qualsiasi guasto che viene rilevato fa arrestare la sequenza di prova e fa iniziare automaticamente una routine di isolamento del guasto. La routine di isolamento del guasto ha come scopo il ritrovamen to di un singolo guasto di scheda o di una scheda con un associato guasto del percorso d'entrata del segnale. La routine pu? distinguere di quale cosa si tratta. Una volta individuati, i guasti localizzati vengono registrati nel registro degli errori, il Sistema di sicurezza della divisione in cui si ? verificato il guasto viene segnalato e viene attivato un segnalatore o annunciatore di guasto.
All'inizio di un sistema di prova (200) (Fig. 7) il puntatore del sistema viene inizializzato ad "1" verso una tavola delle schede del sistema e verso una tavola dei pattern. Viene letta una entry (informazione) della tavola delle schede del sistema (202) e viene fatta la prova per determinare se ? stata raggiunta la fine della tavola delle schede del sistema.(203). Se non ? stata raggiunta la fine della tavola delle schede del sistema, la prova del sistema determina se la scheda ? una scheda di iniezione o una scheda di monitore (204). Una scheda di monitore non inietta dati nel sistema RPS. Il puntatore della tavola delle schede del sistema viene incrementato (210) e la routine ritorna a leggere la tavola delle schede (202). Se la fine della tavola delle schede ?.stata raggiunta (203), vengono allora chiamate t?tte le schede di iniezione caricate con pattern di iniezione (205).
Il pattern di iniezione ? ottenuto dalle singole tavole delle schede (207) ed i bit di iniezione vengono ottenuti dalla tavola dei pattern del si_ sterna e dal puntatore incrementale (208). La routine chiama quindi una routine che carica i bit di iniezione nelle schede (209). Il puntatore e la tavola delle schede del sistema vengono quindi incrementate (210). Poich? la sequenza di prova ha raggiunto la fine della tavola delle schede del sistema (203), il sistema ritorna alla successiva routine principale (206) quando questa prova ? finita.
Quando non ? stata ancora raggiunta la fine della tavola delle schede del sistema (203) e la scheda ? una scheda di iniezione (204), viene chiamata la routine per ottenere i pattern ed i bit di iniezione e per effettuare l'iniezione (207;e 208).
Le prove interdivisionali vengono effettuate in un modo molto simile salvo che esse comportano il fatto di mandare segnali di prova attraverso ai confini divisionali onde verificare gli isolatori elettrici di tipo ottico interdivisionali e l'associata circuiteria. Il tempo ? critico in questa ope razione, perci? ? compreso un opportuno segnale di handshake (andata e ritor no) fra le divisioni per rendere minimo il problema. Tutte le informazioni riguardanti quali schede devono essere iniettate e riguardanti quali pattern di prova devono essere usati, sono derivate dalla base dei dati della divisione che ha iniziato le prove interdivisionali. La comunicazione avviene tra mite le schede I/O seriale della divisione.
Si deve notare a questo punto che molte delle prove del sistema RPS so no ridondanti. Una prova critica potrebbe riguardare le schede funzionali di tutte le quattro divisioni. Per effettuare una tale prova, le schede della divisione pilota vengono configurate come detto sopra. Le schede della divisione serva vengono configurate seconde i dati inviati dalla 1/0 seriale del la divisione pilota a ciascuna selezionata divisione serva. Tutte le divisio ni serva cooperanti con la divisione pilota durante una particolare prova usano i dati della divisione pilota e perci? non possono introdurre qualsiasi errore basato su dati falsi o incongruenti che essi stessi possono avere generato.
Una routine di verifica di guasto del RPS ? mostrata nella flow chart della Fig. 8. All'inizio della routine (300) i puntatori della tavola delle schede del sistema e della tavola dei pattern del sistema vengono inizializzati (301). Viene letta una entry della tavola delle schede del sistema*(302) e, se si raggiunge la fine della tavola (303), la routine ritorna alla routi^ ne principale non indicando alcun guasto del sistema (304).
Se la fine della tavola non viene raggiunta (303) il sistema determina se la scheda ? una scheda di guasto del sistema (305). Se la scheda non ? una scheda di guasto del sistema, il puntatore della tavola delle schede del sistema viene incrementato (306)e la maglia continua (302). Se la scheda ? una scheda di guasto del sistema, viene ottenuta la lunghezza del pattern di bit del monitore dalla singola tavola delle schede (307). I dati del monitore sono ottenuti dall'hardware della scheda funzionale (308); i bit del moni tore sono ottenuti dalla tavola dei pattern del sistema (309).Il puntatore viene a questo punto incrementato.
I dati ottenuti da una prova vengono confrontati con i dati delle tavo le (310). Se la prova ? positiva, viene incrementato il puntatore (306) e la maglia continua. Se il confronto dei dati indica un guasto o un errore del sistema, la routine di prova ritorna alla routine principale ed indica un guasto del sistema (311).
Nelle prove interdivisionali i rapporti sui guasti e le registrazioni degli errori vengono trattati in modo simile a quello per le prove del siste ma salvo che esiste una inerente ambiguit?. Tipicamente dei guasti interdivi_ sionali sono provocati dagli isolatori accoppiati otticamente nel qual caso il sistema di autoprova non ? capace di distinguere se ? guasto l'isolatore d'entrata o di uscita. Entrambe le possibilit? vengono riportate al tecnico di prova tramite il terminale diagnostico.
Se non vengono rilevati guasti tanto nelle prove dei sistemi quanto nelle prove interdivisionali, la divisione pilota cedente inizia una gara per diventare pilota con le altre tre divisioni. In normali condizioni la sue cessiva divisione nella sequenza numerica vince la gara e diventa la successiva divisione pilota assegnado cos? le altre divisioni allo stato di serve.
Il firmware del controllore di autoprova ? composto di moduli di software aventi ciascuno un differente scope funzionale. I dati vengono passati fra i moduli nella forma di parametri diretti, di flag del sistema e di tavo le. Tutte le informazioni riguardanti specifiche prove sono contenuti in una base di dati di tipo a tavola. I manipolatori delle prove dei sistemi di autoprova e delle prove interdivisionali sono essenzialmente interpretatori di ancilisi che leggono la base dei dati e determinano quali prove effettuare e come effettuarle.
Lo scopo della prova del sistema ? quello di effettuare prove diagnosta che di tutte le schede che contengono circuiteria di sicurezza. La filosofia base che sta dietro alla prova del sistema ? quella di effettuare in fila le prove per ciascun segnale che entra e che lascia la divisione. Per esempio, per produrre un particolare segnale di uscita, tutti gli stimoli di entrata effettuanti il segnale vengono iniettati e la risposta viene monitorizzata. La procedura viene ripetuta con differenti vettori di prova per tante volte quanto ? necessario onde accertare la corretta prestazione del circuito. Se viene rilevato un difetto, il programma isola la scheda guasta o il percorso di segnale guasto. Ci? ? ottenuto provando individualmente tutte le schede del sistema. Se questa prova viene superata, il guasto non sta in una scheda ma in un percorso di segnale fra le schede. Per determinare dove esso ?, ven gono verificate in ordine di sequenza tutte le schede antecedenti alla scheda di uscita del sistema indicante un guasto.
A causa dell'importanza delle funzioni di sicurezza effettuate dal sistema di protezione del sistema nuclear? deve essere reso minimo qualsiasi effetto su di lui da parte del sistema di autoprova, sia durante il normale funzionamento o in condizioni di guasto dell'hardware. Onde assicurare la massima possibile separazione del sistema di autoprova dal sistema di protezione del sistema nucleare (circuiteria essenziale) sono stati presi i seguenti provvedimenti :
(1) i calcolatori di autoprova funzionano su propri alimentatori e su proprie sorgenti d'alimentazione. Essi sono alloggiati separatamen te dai circuiti funzionali, mentre viene mantenuta ur.a minima distanza di 25 mm (l") fra i cablaggi funzionali e del calcolatore; (2) La comunicazione fra pannelli divisionali avviene attraverso isola tori accoppiati otticamente con aste di quarzo di 25 mm (1") che assicurano la separazione meccanica;
(3) gli impulsi iniettati sono accoppiati capacitivamente onde rendere

Claims (12)

R I V E N D I C A Z I O N I
1. Sistema di autoprova per sistema di protezione di un reattore nuclea re (RPS), comprendente :
un processore per generare una serie di pattern di prova e di vettori di prova dell'RPS, dove detto processore comprende una serie di relativi pre visti risultati di prova;
una pluralit? di eleme:nti di autoprova accoppiati a detto elaboratore per ricevere detti vettori di prova e adatti a ricevere ed immagazzinare ccr rispondenti risultati effettivi di prova dal RPS;
primi mezzi rispondenti a comandi provenienti da detto elaboratore per selezionare da detti elementi di autoprova quegli elementi di autoprova corrispondenti a detti pattern di prova del RPS;
secondi mezzi rispondenti a comandi-provenienti da detto elaboratore per generare un impulso di prova di breve durata, trasparente per il funzionemento del RPS, e adatto ad effettuare l'iniezione di detti vettori di prova nell'RPS mediante detti elementi di autoprova;
mezzi accoppiati a detti elementi di autoprova per monitorare detti effettivi risultati di prova e accoppiati a detto elaboratore per confrontare detti effettivi risultati di prova con detti previsti risultati di prova; mezzi accoppiati a detti mezzi di monitoraggio e di confronto per indi^ care differenza fra detti effettivi risultati di prova e detti previsti risultati di prova.
2. Il sottosistema di autoprova della rivendicazione 1, ulteriormente comprendente mezzi per localizzare l'origine nel RPS di dette differenze fra detti effettivi risultati di prova e detti previsti risultati di prova.
3. Il sottosistema.di autoprova della rivendicazione 2, ulteriormente comprendente mezzi per indicare detta posizione d'origine.
4. Il sottosistema di autoprova della rivendicazione 1, dove detti mez zi per selezionare da detti elementi di autoprova comprendono un decodificatore.
5. Il sottosistema di autoprova della rivendicazione 4, dove detto decodificatore comprende inoltre una scheda I/O, dove detta scheda I/O compren de una porta di entrata controllata dall'elaboratore ed una porta di uscita controllata dall'elaboratore, essendo entrambe le porte accoppiate a detti e lementi di autoprova.
6. Il sottosistema di autoprova della rivendicazione 5, dove detto decodificatore comprende inoltre una scheda di selezione/monitoraggio degli elementi di autoprova.
7. Il sottosistema, di autoprova della rivendicazione 1, dove detti ele menti di autoprova comprendono una pluralit? di schede delle funzioni di pro tezione.
8. Il sottosistema di autoprova della rivendicazione 1, ulteriormente comprendente mezzi di autoverifica per provare il funzionamento di detto eia boratore.
9. Il sottosistema di autoprova della rivendicazione 1, ulteriormente comprendente mezzi di autoprova per provare il funzionamento di detto sistema di.autoprova.
10. In un sistema,di protezione di reattore nucleare (RPS) un processo nel quale detti sensori comunicano elettricamente con annunciatori dei senso ri lungo un percorso elettrico, detto percorso comprendendo componenti discreti isolati rispetto a discrete unit? elettroniche, dove detto processo comprende le fasi di:
(a) provvedere dei registri in corrispondenza dei componenti discreti di detto percorso del sistema per ricevere comandi strobe e dati di prova del RPS;
(b) caricare detti registri con detti dati di prova in risposta a detti comandi strobe;
(c) emettere detti dati strobe in un dominio di tempo basato su intervalli trasparenti al dominio di comando di detto RPS;
(d) provvedere registri di stato del RPS;
(e) leggere detti registri di stato del RPS a predeterminati intervalli dopo detto comando di strobe per determinare lo stato di detto RPS;
(f) confrontare detti registri di stato dell'RPS con i dati previsti, indicando la funzionalit? della porzione provata di detto percorso realmente attivato del RPS.
11. Il processo della rivendicazione 10, ulteriormente comprendente le fasi di :
(g) localizzare l'origine nel RPS di qualsiasi differenza fra detti re gistri di stato del RPS e detti dati previsti.
12 Il processo della rivendicazione 10, dove detto dominio di tempo ? un millisec
IT8322191A 1982-07-27 1983-07-22 Sottosistema di autoprova per sistema di protezione di reattore nucleare IT1170171B (it)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
US06/402,053 US4517154A (en) 1982-07-27 1982-07-27 Self-test subsystem for nuclear reactor protection system

Publications (3)

Publication Number Publication Date
IT8322191A0 IT8322191A0 (it) 1983-07-22
IT8322191A1 true IT8322191A1 (it) 1985-01-22
IT1170171B IT1170171B (it) 1987-06-03

Family

ID=23590322

Family Applications (1)

Application Number Title Priority Date Filing Date
IT8322191A IT1170171B (it) 1982-07-27 1983-07-22 Sottosistema di autoprova per sistema di protezione di reattore nucleare

Country Status (7)

Country Link
US (1) US4517154A (it)
JP (1) JPS5951393A (it)
KR (1) KR840005596A (it)
DE (1) DE3322509A1 (it)
ES (1) ES524448A0 (it)
IT (1) IT1170171B (it)
SE (1) SE456196B (it)

Families Citing this family (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS6086644A (ja) * 1983-10-17 1985-05-16 Sanyo Electric Co Ltd 制御基板のチエツク方式
JPS60204052A (ja) * 1984-03-28 1985-10-15 Fanuc Ltd 入出力ボ−ドのアドレス選択方式
US4654806A (en) * 1984-03-30 1987-03-31 Westinghouse Electric Corp. Method and apparatus for monitoring transformers
US4687623A (en) * 1985-10-31 1987-08-18 Westinghouse Electric Corp. Self-compensating voted logic power interface with tester
US5005142A (en) * 1987-01-30 1991-04-02 Westinghouse Electric Corp. Smart sensor system for diagnostic monitoring
US4783307A (en) * 1987-03-05 1988-11-08 Commonwealth Edison Company Reactor control system verification
JPH0731537B2 (ja) * 1987-09-11 1995-04-10 株式会社日立製作所 多重化制御装置
US5287264A (en) * 1988-08-05 1994-02-15 Hitachi, Ltd. Multicontroller apparatus, multicontroller system, nuclear reactor protection system, inverter control system and diagnostic device
JPH0288113U (it) * 1988-12-26 1990-07-12
US5485572A (en) * 1994-04-26 1996-01-16 Unisys Corporation Response stack state validation check
US6259969B1 (en) * 1997-06-04 2001-07-10 Nativeminds, Inc. System and method for automatically verifying the performance of a virtual robot
FI116587B (fi) 1997-10-17 2005-12-30 Metso Automation Oy Menetelmä ja laitteisto turvalaitteen toimintakunnon todentamiseksi
US6385739B1 (en) * 1999-07-19 2002-05-07 Tivo Inc. Self-test electronic assembly and test system
US6460009B1 (en) * 2000-02-28 2002-10-01 John C Rowland Time delay measurement for response system
JP4371856B2 (ja) * 2004-03-04 2009-11-25 株式会社東芝 安全保護計装システムおよびその取扱方法
US7437200B2 (en) * 2004-06-18 2008-10-14 General Electric Company Software based control system for nuclear reactor standby liquid control (SLC) logic processor
EP1993014B1 (de) * 2007-05-16 2011-06-29 Siemens Aktiengesellschaft Verfahren zum Lokalisieren von defekten Hardwarekomponenten und/oder Systemfehlern innerhalb einer Produktionsanlage
CN101819823B (zh) * 2009-02-27 2012-07-04 中广核工程有限公司 一种核电站电子挂牌系统
US11398318B2 (en) * 2017-06-02 2022-07-26 Kepco Engineering & Construction Company, Inc. Apparatus and method of evaluating response time of nuclear plant protection system
CN107992451B (zh) * 2017-11-24 2021-04-13 中核控制系统工程有限公司 一种反应堆保护系统拒动概率计算方法
CN114694859A (zh) * 2020-12-30 2022-07-01 中核控制系统工程有限公司 堆外核测系统脉冲信号倍增周期测试系统

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4055801A (en) * 1970-08-18 1977-10-25 Pike Harold L Automatic electronic test equipment and method
US3733587A (en) * 1971-05-10 1973-05-15 Westinghouse Electric Corp Universal buffer interface for computer controlled test systems
US4318778A (en) * 1973-05-22 1982-03-09 Combustion Engineering, Inc. Method and apparatus for controlling a nuclear reactor
US4330367A (en) * 1973-05-22 1982-05-18 Combustion Engineering, Inc. System and process for the control of a nuclear power system
US4080251A (en) * 1973-05-22 1978-03-21 Combustion Engineering, Inc. Apparatus and method for controlling a nuclear reactor
US3979256A (en) * 1975-03-04 1976-09-07 The United States Of America As Represented By The United States Energy Research And Development Administration Monitoring circuit for reactor safety systems
US4298955A (en) * 1976-04-01 1981-11-03 The Insurance Technical Bureau Method of and apparatus for the detection and analysis of hazards
US4292129A (en) * 1979-02-14 1981-09-29 Westinghouse Electric Corp. Monitoring of operating processes
GB2063021B (en) * 1979-09-12 1984-02-08 Atomic Energy Authority Uk Monitoring apparatus
US4354268A (en) * 1980-04-03 1982-10-12 Santek, Inc. Intelligent test head for automatic test system

Also Published As

Publication number Publication date
DE3322509A1 (de) 1984-02-02
US4517154A (en) 1985-05-14
ES8600556A1 (es) 1985-10-01
ES524448A0 (es) 1985-10-01
JPS5951393A (ja) 1984-03-24
IT8322191A0 (it) 1983-07-22
KR840005596A (ko) 1984-11-14
SE8304170L (sv) 1984-01-28
DE3322509C2 (it) 1989-04-20
SE8304170D0 (sv) 1983-07-27
SE456196B (sv) 1988-09-12
IT1170171B (it) 1987-06-03

Similar Documents

Publication Publication Date Title
IT8322191A1 (it) Sottosistema di autoprova per sistema di protezione di reattore nucleare
Downing et al. No. 1 ESS maintenance plan
US3519808A (en) Testing and repair of electronic digital computers
US3916177A (en) Remote entry diagnostic and verification procedure apparatus for a data processing unit
CN108398915A (zh) 控制装置以及其控制方法
Carter et al. Design of serviceability features for the IBM system/360
WO1985005707A1 (en) Fault tolerant, frame synchronization for multiple processor systems
KR100909762B1 (ko) 디지털 원자로보호계통의 시험장치 및 그 제어 방법
US4165533A (en) Identification of a faulty address decoder in a function unit of a computer having a plurality of function units with redundant address decoders
US4665477A (en) Method for ensuring safe operation of a programmable automatic control device and automatic control device for carrying out the said method
EP0073602A2 (en) Combining replicated sub-system outputs
CN110399258B (zh) 一种服务器系统的稳定性测试方法、系统及装置
JPS5884351A (ja) エラー識別装置
JPH04245309A (ja) 制御用ディジタルコントローラ
JPS6014376B2 (ja) 試験装置
SU1522209A2 (ru) Система дл контрол сложных релейных распределителей
CN108205490A (zh) 软件看门狗测试方法和装置
JPS6022211A (ja) 故障診断装置
JPH11262037A (ja) パッケージ・グループのobp障害表示方式
EP0342261B1 (en) Arrangement for error recovery in a self-guarding data processing system
JPS63200250A (ja) キヤツシユ記憶装置の擬似障害発生方式
KR101469177B1 (ko) 원자력 발전 보호계통 시뮬레이터의 디지털 출력모듈 관리방법
SU640298A1 (ru) Устройство дл проверки устройств ввода-вывода информации
HLAVIČKA CONCURRENT DIAGNOSTICS IN MULTIPROCESSOR SYSTEMS
SU960826A1 (ru) Устройство дл контрол цифровых блоков