JP2007183285A - パラメータの監視に応動して安全動作を開始するための自己試験系、自己試験原子炉保護系及び方法 - Google Patents

パラメータの監視に応動して安全動作を開始するための自己試験系、自己試験原子炉保護系及び方法 Download PDF

Info

Publication number
JP2007183285A
JP2007183285A JP2007048556A JP2007048556A JP2007183285A JP 2007183285 A JP2007183285 A JP 2007183285A JP 2007048556 A JP2007048556 A JP 2007048556A JP 2007048556 A JP2007048556 A JP 2007048556A JP 2007183285 A JP2007183285 A JP 2007183285A
Authority
JP
Japan
Prior art keywords
department
sensor
rps
departments
electronic devices
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2007048556A
Other languages
English (en)
Inventor
Donald Chester Gaubatz
ゴウバツ,ドナルド・チェスター
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
General Electric Co
Original Assignee
General Electric Co
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Family has litigation
First worldwide family litigation filed litigation Critical https://patents.darts-ip.com/?family=27054121&utm_source=google_patent&utm_medium=platform_link&utm_campaign=public_patent_search&patent=JP2007183285(A) "Global patent litigation dataset” by Darts-ip is licensed under a Creative Commons Attribution 4.0 International License.
Priority claimed from US08/502,337 external-priority patent/US5586156A/en
Priority claimed from US08/502,411 external-priority patent/US5621776A/en
Application filed by General Electric Co filed Critical General Electric Co
Publication of JP2007183285A publication Critical patent/JP2007183285A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G21NUCLEAR PHYSICS; NUCLEAR ENGINEERING
    • G21DNUCLEAR POWER PLANT
    • G21D3/00Control of nuclear power plant
    • G21D3/001Computer implemented control
    • GPHYSICS
    • G21NUCLEAR PHYSICS; NUCLEAR ENGINEERING
    • G21DNUCLEAR POWER PLANT
    • G21D3/00Control of nuclear power plant
    • G21D3/04Safety arrangements
    • GPHYSICS
    • G21NUCLEAR PHYSICS; NUCLEAR ENGINEERING
    • G21CNUCLEAR REACTORS
    • G21C17/00Monitoring; Testing ; Maintaining
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02EREDUCTION OF GREENHOUSE GAS [GHG] EMISSIONS, RELATED TO ENERGY GENERATION, TRANSMISSION OR DISTRIBUTION
    • Y02E30/00Energy generation of nuclear origin
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02EREDUCTION OF GREENHOUSE GAS [GHG] EMISSIONS, RELATED TO ENERGY GENERATION, TRANSMISSION OR DISTRIBUTION
    • Y02E30/00Energy generation of nuclear origin
    • Y02E30/30Nuclear fission reactors

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Plasma & Fusion (AREA)
  • High Energy & Nuclear Physics (AREA)
  • Business, Economics & Management (AREA)
  • Emergency Management (AREA)
  • Monitoring And Testing Of Nuclear Reactors (AREA)
  • Safety Devices In Control Systems (AREA)

Abstract

【課題】原子炉保護系においては、原子炉トリップが望ましくないか又は不要であるときには、原子炉トリップを阻止しなければならない。
【解決手段】自己試験系は、パラメータの値を独立に検出する第1乃至第4のセンサ2と、前記第1乃至第4のセンサに接続されそれぞれが所定の閾値電圧より低いことに応動して安全動作禁止信号を出力し、閾値電圧より高いことに応動して前記安全動作禁止信号の出力を終了させる手段を含む第1乃至第4の部門の電子装置220と、各電子装置220が他の部門の電子装置から処理されたセンサ読取り値を受けるように、前記第1乃至第4の部門の電子装置を相互接続する相互通信チャネルとを含み、電子装置220は、センサ読取り値の代わりに基準電圧201を入力する手段と、部門の電子装置の内の1つの部門の電子装置の基準電圧に対する応答と他の1つの部門の電子装置の基準電圧に対する応答との差を検出する手段とを含む。
【選択図】図3

Description

本発明は一般に、系の過渡状態または機能不全の際に系を停止し、系を安全な状態に維持するための保護系に関するものである。特に本発明は、主として過熱によって生じる核燃料炉心の破損または公衆を危険に陥れる放射線の放出を引き起こすような系の過渡現象または機能不全の際に原子炉を停止して原子炉を安全な状態に維持するための保護系に関するものである。
需要が変化したとき安全な運転状態を維持するように、従来の原子炉制御系は手動および自動の制御器をそなえている。いくつかの制御系が、与えられた需要信号に応動して原子炉の運転を制御する。炉心の制御のため、コンピュータプログラムを使用して炉心の熱特性および流体圧特性を解析する。解析は、解析的および経験的な過渡事象および事故事象から、そして原子炉物理および熱流体圧原理から選択された核データに基づく。異常な過渡事象の際には、原子炉運転員は通常、状況の診断を行い、適用可能な訓練、経験および判断に基づいて是正動作を行うことができる。手動の是正動作が充分であるか又は充分に高速であるか否かは、事象により、そして運転員の知識および訓練によって左右される。事象が重大な場合には(すなわち、原子炉の安全限界のいずれかを超えるような場合には)、原子炉トリップ(原子炉停止、スクラムまたは全制御棒挿入とも呼ばれる)が必要になることがある。過渡的な事象には急速に生じるもの、すなわち運転員の能力よりも速く生じるものがあり、このような事象では、原子炉トリップが自動的に行われる。
従来の原子炉保護系には、多チャネル電気警報作動系が含まれている。多チャネル電気警報作動系は、原子炉の運転を監視し、異常な事象の検知時に危険または危険可能性のある状態を防止するための動作を開始する。従来の保護系は次の3つの機能、すなわち(1)ある特定の監視しているパラメータが限界を超えたときに原子炉を停止する原子炉停止、(2)原子炉容器と格納障壁の内部に入り込む全ての接続とを隔離する原子炉系隔離、および(3)冷却系および残留熱除去系のような従来の緊急系を作動させる工学的安全施設作動を行う。
原子炉保護系の必須の要件は、必要なときに故障しないということである。したがって、運転員が原子炉の運転の異常な過渡現象の原因を敏速かつ正確に識別して、敏速に是正動作または軽減動作を行わなければ、従来の原子炉保護系は自動的に原子炉トリップを行う。しかし、原子炉トリップが望ましくないか又は不要であるときには原子炉トリップが避けられることも必須である。すなわち、計測に誤りがあるとき、機能不全が充分小さくて原子炉トリップが不要であるとき、または1つの停止機能が故障したときには、次の停止機能を遂行すると危険であれば、原子炉保護系は次の停止機能を遂行してはならない。
特公平05-074290号公報 特開昭61-204591号公報 米国特許第 4421716号明細書 米国特許第 4562035号明細書 米国特許第 4636910号明細書 米国特許第 4661310号明細書 米国特許第 5227122号明細書 欧州特許第 0145188号明細書 欧州特許第 0180085号明細書 欧州特許第 0202052号明細書 欧州特許第 0221775号明細書 欧州特許第 0307191号明細書 米国特許第 4326917号明細書
本発明のひとつによれば、重大なパラメータの監視に応動して安全動作を開始するための自己試験系は、重大なパラメータの値を独立に検出して、第1乃至第4のセンサ読取り値をそれぞれ出力する第1乃至第4のセンサと、前記第1乃至第4のセンサに接続されそれらセンサの読取り値をそれぞれ処理し、それぞれのセンサ読取り値が所定の閾値電圧より低いことに応動して安全動作禁止信号を出力し、前記それぞれのセンサ読取り値が前記所定の閾値電圧より高いことに応動して前記安全動作禁止信号の出力を終了させる手段を含んでいる第1乃至第4の部門の電子装置と、前記第1乃至第4の部門の電子装置が他の部門の電子装置から処理されたセンサ読取り値を受けるように、前記第1乃至第4の部門の電子装置を相互接続する相互通信チャネルとを含み、前記第1乃至第4の部門の電子装置は、前記それぞれのセンサ読取り値の代わりにそれぞれの基準電圧を入力する手段と、前記部門の電子装置の内の1つの部門の電子装置の基準電圧に対する応答と他の1つの部門の電子装置の基準電圧に対する応答との差を検出する手段とを含んでいることを特徴としている。
本発明の原子炉保護系を、典型的な原子炉(すなわち、液体金属冷却増殖炉)に適用した場合について以下詳細に説明する。しかし、その概念は増殖炉に限定されず、軽水炉、ガス冷却炉等にも適用できる。本発明はまた、重要なパラメータを監視して安全動作を開始する任意のプロセスまたは系とともに用いることができる高信頼性で故障許容の安全系も提供する。
図1に示すように、本発明による原子炉保護系(RPS)は4つの部門で構成される系であり、各スクラム(安全停止または「トリップ」とも呼ばれる)パラメータに対する4つの冗長センサ2が4つの独立なマイクロプロセッサをベースとした電子装置4に入力を供給する。電子装置は4つの全てのセンサからの情報に基づいてソフトウェア部門データ処理を行い、部門スクラム信号をハードウエア論理6へ送る。系のアベイラビリティを増大し且つ誤信号スクラムを低減するために、RPSは原子炉スクラムの必要性について2つのレベルの票決を用いる。すなわち、検知されたデータからスクラムの必要性について予備付きソフトウェア2/3票決を行い、その後でスクラム指令の実行について2/4部門ハードウェア論理票決を行う。
各RPS部門はそれ自身のセンサからスクラム・パラメータ・データを取得し、その情報をディジタル化し、次いでセンサ読取り値を他の3つのRPS部門に送る。各電子装置4は専用の光ファイバ8を介して他の3つの電子装置に結合されているので、各電子装置は全てのセンサからのデータを見て、それらのデータに基づいて部門スクラム判定を行う。各部門はそれ自身のデータを「予備」として保持しながら、他の3つの部門からのデータを評価する(たとえば、部門Aは部門B、CおよびDからのデータを処理する)。たとえば、部門Aは部門B、CおよびDからのデータを評価してスクラムについて2/3票決を行い、部門Bは部門A、CおよびDのデータを評価してスクラムについて2/3票決を行い、部門Cは部門A、BおよびDのデータを評価してスクラムについて2/3票決を行い、部門Dは部門A、BおよびCのデータを評価してスクラムについて2/3票決を行う。
データが有効でないか又は他のいずれかの部門から来ていない場合には、処理している部門は自動的にそれ自身のセンサ読取り値に置き換える。各部門によりスクラムの必要性について2/3のソフトウェア票決が行われる。スクラムが要求された場合には、各部門はそれ自身の2/4ハードウェア論理リレーにスクラム指令を出力する。データ交換のための部門相互間の全ての相互通信が万一失敗した場合には、各部門は独立にそれ自身のセンサ読取り値に基づいてスクラムの必要性の評価を行う。ハードウェア論理は、スクラム・シーケンスが開始される前に、2/4の部門(4部門の内の2部門)がスクラムを要求し続けていることを必要とする。この失敗モード(相互通信無し)は、RPSが従来の四重冗長保護系と同様に動作しているということを意味する。
他の部門からのデータが有効で無かったり欠けている場合に部門自身のセンサデータが自動的に置き換えられるということは、部門の試験、校正、点検整備、保守、修理または交換のためにバイパスが必要とされることはないということを意味する。
1つの部門が「オフライン」であるとき、その部門により「フェイルセイフ」スクラム指令が2/4ハードウェア論理へ発せられる(従来の保護系の「半スクラム」状態)。しかし、本発明のRPSでは、スクラム指令をハードウェア論理へ送出する前に、各々の動作している部門のソフトウェア論理によって2/3のセンサ読取り値がスクラムの必要性を示していることが要求されることにより、「半スクラム」が不注意によるスクラム操作から防護される。
スクラムのためにRPSが使用する原子炉パラメータは、中性子束、炉心の入口温度と出口温度、(炉心入口のナトリウムおよびカバーガス圧力センサから計算された)一次流量、および原子炉内のナトリウム・レベルである。更にRPSスクラム・パラメータには、二次ナトリウム(中間ループ)圧力、および格納容器の放射線レベルと圧力が含まれる。(過渡的な過出力、一次流の喪失、IHX破裂、容器漏れ、蒸気発生器のナトリウム−水反応からの二次流の過圧力のような)スクラムを要求する全ての設計基準事象がこれらのパラメータの偏りにより検知される。
中性子束は、原子炉の底部A(図4参照)で導管内に配置されたモニタによって測定される。炉心の入口温度は、各ポンプCの吐き出しプレナムの中に配置された熱電対によって測定される。炉心の出口温度は、単一集合体Dの出口温度ではなく混合された平均出口温度を得るように炉心より約5フィート上に配置された熱電対により測定される。一次流量は、各ポンプCの吐き出しプレナム内およびカバーガス領域E内に配置された圧力センサによる測定値から導き出される。
一次ナトリウムレベルは、原子炉Gの内側の従来のレベル・センサによって測定される。二次ナトリウム圧力は、原子炉の外側であるが、IHTS弁Fに近接した二次パイプ内の圧力センサによって測定される。点検整備と交換を容易にするため、全てのセンサは計器指頭または導管の中に配置される。各RPSトリップ・パラメータに対して、四重冗長度が維持される。
各RPSセンサの大体の位置が図4に示されている。これらのセンサは次の通りである。すなわち、(A)中性子束、(B)(原子炉容器101と格納容器105との間の空間への)ナトリウムの漏れ、(C)炉心入口温度、EMポンプ圧力、TSSポンプ圧力、(D)炉心出口温度、(E)カバーガス圧力、(F)IHTS圧力、(G)ナトリウム・レベル(レベル・プローブ134)、(H)キャリッジ底部スイッチ、(I)制御棒停止位置、(J)キャリッジ位置、(K)上側格納容器放射線、(L)CVIS流出液放射線、(M)RVACS出口温度、(N)RVACS質量流、(O)RVACS流出液放射線、(P)周囲空気温度、および(Q)格納容器圧力である。容器内センサおよびアクチュエータに対する全ての貫通部は原子炉頭部に設けられる。原子炉容器の壁には貫通部は無い。センサおよびアクチュエータのケーブルは、RPSボールト(vault)内に配置されたRPS電子装置へドーム状格納容器内の貫通部を介して出てくる。
原子炉または格納容器には、RPS電子装置は無い。
パラメータの直接測定に基づくスクラム作用に加えて、RPSはまたこれらのデータをスクラム作用のための基礎としての計算(比率、変化速度、事象計数、相関、事象間の時間、レベル、パーセント等)にも使用する。
RPSは人間の介在の必要性を最少限にするために次の3つの異なる自動運転モード、すなわち(1)原子炉を停止して運転してない「停止/保守」モード、(2)正規の原子炉運転を行う「始動/運転」モード、および(3)原子炉の緊急停止を行う「スクラム」を有する。
人間の誤りを最少限にして安全性を増大するために、各運転モードでは、RPSへの運転員入力が充分に規定され、限定されている。停止/保守モードでは、原子炉の正規保守、燃料交換、試験および校正の活動を行うことができる。RPSは運転員の要求に応動して、必要な保守活動が行えるようにする。RPSは、原子炉の出力運転に至り得る活動は許さない。原子炉の出力運転が望ましいときは、運転員が始動/運転モードへのモード変更を要求しなければならない。
始動/運転モードへの変更のための運転員が入力した要求に応動して、RPSはまずそれ自身、全ての監視されるパラメータおよびそれ自身の動作が公称のものであることを満たす。RPS始動チェックの一部には、(設定値を含む)全てのRPSソフトウェアと、制御室の原子炉運転員によって独立に保守される第5のソフトウェアとの比較が含まれる。この比較はプラント制御系(PCS)によって行われ、RPSは正の応答を待った後、モード変更を続行する。1ビットの誤りでもあれば、不一致が解消されるまで、RPSは始動/運転モードへ遷移しない。次に、RPSは原子炉の始動と運転を容易にする。始動/運転モードでは、RPSだけが2つの運転員入力要求、すなわちスクラム要求または停止/保守モードへの戻り要求に応動する。スクラム要求により、RPSはそれの現在のデータ処理等を中断し、ただちに原子炉のスクラム・シーケンスを開始する。停止/保守モードへの戻り要求が実行されるのは、停止や燃料交換や保守などのために制御素子がそれらの全挿入位置(原子炉最小出力)に置かれた場合だけである。制御素子を全挿入できない場合には、保護系がスクラム・シーケンスを開始して原子炉を停止させるように、スクラム要求を発しなければならない。
RPSが自動的にスクラム・シーケンスを実行する場合、または運転員の入力要求に応動して、RPSはスクラム・モードに入る。このモードでは、原子炉が完全に停止させられ、たぶん冷却する。スクラム・モードからの唯一の回復は、停止/保守モードへ戻すための手動入力要求である。これは「安全系を正規状態に戻すための運転員の故意の操作」の必要条件を満たし、スクラムからの回復を開始する。
停止/保守モードから始動/運転モードへの、そして始動/運転モードから停止/保守モードへの正規の遷移が行われる。原子炉トリップの際には、RPSは自動的にスクラム・モードに入る。スクラム・モードでは、認識される唯一の要求は、スクラム後解析、試験、修理(必要な場合)、燃料交換等のための停止/保守モードへ変更するための手動入力の要求である。RPSが停止/保守モードから始動/運転モードへ変更するための運転員入力要求を尊重して、始動のため制御棒へのPCSアクセスを許す前に、RPSおよび全てのセンサ入力が正常であって正しく動作していなければならない。RPSはPCSと連動する独立の系である。設計によれば、PCSが動作できる前に、RPSは動作状態になっていなければならない。始動/運転モードから停止/保守モードへの正規の変更の要求が尊重されるのは、全ての制御棒キャリッジが「底につけられ」、原子炉が停止出力になっている場合だけである。始動/運転モードからスクラム・モードへの遷移は、手動でスクラムを開始することによりいつでも行うことができる。
手動スクラムは数個の位置のどれから始動してもよい。図2を参照して説明すると、手動スクラムは、全ての電子装置をバイパスする2つの専用の安全系スクラム・ボタンを同時に押すことにより始動することができる。電子式スクラムは手動指令に対するバックアツプ作用として自動的に起動される。スクラム・ボタンは、主制御室(MCR)74の中の運転員卓または遠隔停止設備(RSF)78の中の卓76、およびRPSの各部門に対する制御盤に配置されている。代案として、RPSと通信しているコンピュータ・キーボードで適当な指令をタイピングしてRPSにスクラム・シーケンスを開始するように要求することにより、手動スクラムを始動してもよい。キーボードは、MCRまたはRSFの中の運転員卓、RPS計測ボールト82の中のRPSの各部門に対する制御盤、またはPCS計測ボールト84の中のPCSの各部門に対する制御盤であってもよい。これらのボールトは地震隔離された原子炉ベース・マット上に支持されている。
本発明のRPSは同じ構成の4つの部門に分割される。各部門は、原子炉の上側格納容器領域114に隣接したそれ自身の地震絶縁された計測ボールト82の中に配置される(図4参照)。各部門には、各測定パラメータに対してそれ自身のセンサが設けられる。したがって、監視される各パラメータに対して同じ構成の4つのセンサがある。図3に示すように1つの部門は、センサ2および基準電圧201に接続されたマルチプレクサ200を有する。選択された電圧が制御利得増幅器202によって増幅され、次いで帯域幅調整可能フィルタ204によってフィルタリングされる。フィルタリングされた信号は、サンプル・ホールド回路206によってサンプリングされ、次いでアナログ・ディジタル変換器210によってディジタル化される。センサ検証回路208により、センサ検証フラグがセットされる。ディジタル化されたパラメータ値およびそれに対応するセンサ検証フラグがバッファメモリ212に記憶される。ディジタル信号はこの点214で入力される。ディジタル入力には、ハードウェア論理診断、キャリッジ底つきスイッチ、弁位置検知スイッチ、回転プラグ座着およびロック連動スイッチ、「カード・アウトオブ・ファイル(card out of file)」センサ等が含まれる。次に、バッファ・メモリ218のデータがデータ交換出力220を介して、他の部門、データ処理送信系(DHTS)およびRSFへ伝えられる。逆に、他の部門、DHTSおよびRSFからのデータは、交換データ入力222を介して受信され、バッファ・メモリ224に記憶される。次に、中央処理(ソフトウェア論理)装置が、データ値およびフラグを評価し(ステップ226)、必要な場合にはデータを処理し(ステップ228)、限定された履歴データ・ファイル230に新しいデータを入力し、パラメータ値をROM(読出し専用記憶装置)234から検索された設定値に対して試験し、予備付き2/3票決を行い(ステップ236)、次に必要な場合にはスクラム指令を2/4ハードウェア論理6に出力する(ステップ238)。2/4ハードウェア論理6は、他のRPS部門からのトリップ、およびMCR、RSFまたはRPSからの手動スクラムも受信する。更に、票決結果、スクラム指令およびパラメータ値は表示プロセッサ240に出力される。表示プロセッサ240はパラメータ値を工学単位に変換される。次に、この情報は局部表示装置244に表示される。表示プロセッサは、光ファイバ239を介した他のRPS部門からのデータおよびキーボード242を介した運転員が入力したデータも受信する。少なくとも2つのトリップに応動して、2/4ハードウェア論理は状態を変え、安全アクチュエータ36をターンオンすべきかターンオフすべきかに応じて、安全アクチュエータとそれの電源回路38との間の接続を開放または遮断する。図5に示す例では、ハードウェア論理6は二重の遮断不可能な電池後備電源38から液体金属原子炉の制御棒ラッチコイル102への電力供給を制御する。
RPSの4つの部門は、単一の故障許容系として並列に(部門間データ交換を行って)非同期で運転される。4つの部門は、部門間の光ファイバケーブルを介してそれらのセンサ・データを共有する。2レベルの票決(ソフトウェアとその後のハードウェア)は、スプリアス・スクラムを低減し、バイパスの必要性を無くし、必要なときに安全停止シーケンスを開始する信頼性を高く維持し、そしてスプリアス・スクラムを防止することにより被保護系のアベイラビリティを高くするために用いられる。各部門は他の3つの部門からのデータについて2アウトオブ3票決(2/3票決)を行うことにより(各部門はそれ自身のセンサデータを予備として保持している)、スクラムを行うべきか判定する。各部門の出力は、2アウトオブ4のハードワイヤード(hard−wired)論理を行うように構成されているアクチュエータ電力回路の中のトリップ遮断器に与えられる。
このハードワイヤード論理は各RPS作動のためのフェイルセイフ論理である。
ソフトウェアの予備付き2アウトオブ3票決は、充分必要条件を満たしたソフトウェアによって達成される。安全停止のための2アウトオブ4の部門間票決は、光学的に隔離されたリレー、接触器または遮断器を使用するハードワイヤード論理により行われる。請求の範囲で使用されているように、「遮断器」という用語は、リレーや接触器や遮断器を包含する。
各部門は、他の3つの部門から得られたデータを処理する際に、それ自身のセンサ・データを予備として保持している。いずれかのデータが欠けているか、或いは検証できないか又は有効とされなかった場合には、その部門は自動的にそれ自身のセンサの読取り値に置き換える。ある部門自身のセンサ・データが不完全である場合にも、その部門は残りの2つの良好な通信されたセンサ読取り値に基づいてスクラムの必要性を評価する。部門は4つのセンサの読取り値を評価することにより「同一性」を確認した後、情報を処理し続け、トリップの必要性について2アウトオブ3の票決を行う。トリップが要求された場合には、部門は2アウトオブ4のハードワイヤード論理回路網の中のそれのトリップ遮断器を作動する。この論理では、1つの部門は失敗またはサービスから除くことができ、トリップを生じたりバイパスを必要とすることなく、いつでも戻すことができる。1つの部門が動作していなくてもスクラム指令を発する前に、安全パラメータに対する2つのセンサがスクラムの必要性を指示することがまだ必要とされる。オフラインの部門は自動的にオンラインに戻され、特別の手順やソフトウェアは必要としない。
部門間通信を使用することによりデータを転送し且つ各部門においてスクラムについてソフトウェアで2/3票決を行えるようにすることにより、RPS設計は従来のRPS設計に比べてアベイラビリティが著しく改善される。従来の設計の場合、各部門はそれ自身のセンサだけを読み取って、1/1論理に基づいて部門スクラムを与える。したがって、1つの部門がダウンして、ハードウェア論理が半スクラム状態にある場合、従来の保護系は他のセンサのいずれか1つがスクラムを指示したとき又は故障したときにスクラムを生じる(誤ってスクラムを生じ易い)。これに対し、本発明のRPSは、トリップ指令を発する前に、残りの良好なセンサの内の2つのセンサがスクラムを指示することを要求する。
誤ったスクラムに対する耐性が改善されたことにより、周期的なエンドツーエンドの自己試験と校正、サービス、または交換のためにRPSの1つの部門が自動的にオフラインとすることができる。手動のスイッチングやバイパスは必要でない。その理由は、1つの部門がオフラインとされても、他の部門はそれらの2/3センサ・スクラム・ソフトウェア論理を維持するので、スクラムの実行にはまだ2つのセンサ読取り値がスクラム設定値を超えることが必要とされる。ある部門はいつでも点検整備のためオフラインとすることができ、しかもバイパスの必要は無く、誤ったスクラムの恐れは無く、提供される保護の低下は無く、その部門をオンラインに戻すための特別な配慮は必要としない。手動バイパスが無くなったことにより、運転員の不注意による誤まったスクラムの発生は少なくなる。与えられたパラメータに対して故障したセンサが2つ存在する場合には、RPSはそのソフトウェアを1/2論理に変形し、残りの2つの良好なセンサのいずれかがトリップの必要性を示している場合にはトリップ指令を発する。
本発明によるRPS設計の主要な特徴を以下に説明する。
入力データ処理
RPS電子装置の各部門は、直接的なアナログまたはディジタル接続により、もしくはセンサ信号調整装置を介してセンサ入力を受ける。RPS電子装置とセンサとの間にデータ・バスは無い。全ての部門のセンサ入力はその部門の入力カード上に継続的に現れ、その部門の中央処理装置(CPU)からの指令によって読み込まれる。図3に示すように、各トリップ・センサに対する入力データ処理は次のようなステップで構成される。
(1)第1のRPSセンサ2から入力データを読み取る。アナログ入力はアナログ増幅器202により増幅され(個別センサの校正およびセンサ信号電圧正規化のための適当な安全設定値に合わせるように利得が設定される)、そして(雑音を減らすため)エイリアシング防止フィルタ204に通される。全てのセンサ入力は正規化された電圧として処理される。工学単位への変換は、保護系の計算のためではなく、人間−機械インタフェースのために行われるだけである。センサ読取り値を正規化された電圧として処理することは、データ評価のために必要なアルゴリズムを簡単化し低減する。
(2)正規化されたセンサ信号電圧値のサンプル・ホールドを行う(図3のブロック206)[この電圧値がA/D変換とセンサの検証の両方のために使用される。]。
(3)入力読取り値に対してアナログ・ディジタル(A/D)変換(ブロック210)を行う。
(4)A/D変換と並列に、サンプリングされたアナログ電圧読取り値が過去の二三の読取り値と平均され、センサ故障の表示のために所定のセンサの正当性限界と比較される(ブロック208)。不良センサはフラグで除外される。したがって「センサ検証フラグ」が良好なセンサに対してはセットされ、不良なセンサに対してはセットされない。
(5)検知されたパラメータ識別子、センサ識別、読取り値、検証フラグ、有効性フラグ、時間タグを含むデー・ワードを形成した後、そのデータ・ワードをバッファ・メモリに記憶する。
(6)ステップ1−4がその部門の、次のポーリングされるセンサに対して繰り返される。1つのポーリング・サイクルの後、その部門のポーリングされる各センサに対するデータ・ワードがデータ・バッファに記憶される。
(7)検証フラグ、センサ識別およびデータ時間タグとともに、ポーリング・サイクルの間に取得された全ての入力読取り値についてのディジタル化されたセンサ・データがこのとき他の部門と共有される用意ができている。他の部門に送る前に、処理している部門の識別子もデータ・ワードに付加される。
RPSの4つの部門は全て、この入力データ処理を継続的かつ実時間で、それら自身のセンサに対して並列に非同期で行う。
部門間データ通信
各部門は、電気的な隔離を行う光ファイバケーブル8(図1)を介して他の全ての部門にそれのデータを送る。この部門間の非同期相互通信により、部門間でセンサ・データの交換が行える。データ交換機能により、各部門は、処理部門の識別子およびデータの有効性を表すフラグとともに、与えられたパラメータに対する4つのセンサ読取り値を全て有することができる。データは直列データ・ポートを介して交換される。この目的のため、各RPS部門は3つの出力ポートと3つの入力ポートを有する。
データ交換の用意ができたとき、各部門は情報を他の3つの部門およびそれ自身のデータ・プロセッサへ送る。他の部門からの入力データは、トリップ機能について評価される前に、(各部門の非同期動作を行うため)バッファ・メモリ224(図3)に記憶される。バッファ・メモリはその部門自身の情報を収容する。このとき4つのデータ読取り値は、部門のスクラム指令出力の必要性を判定するための処理および票決を行う用意ができたことになる。
ソフトウェア論理動作
上記の部門間データ通信に従って、各部門により形成されたデータ・ワードは自動的に他の全ての部門に送られる。したがって各部門は、ポーリングされる各観察に対して処理すべき(4つの「同じ」データ・ワードに含まれる)4つのセンサ読取り値およびフラグを全て有している。ある部門が各ワードを受けると、このワードはバッファ・メモリ224に記憶された後、読み出されて、センサ読取り値がセンサ検証フラグのステータスにより判定して良好であるか判断するため試験される(図3のブロック226)。検証されれば、センサ読取り値は一様であるか互いにチェックされる。次にセンサ読取り値は、何か必要な計算(ブロック228)およびソフトウェア票決(ブロック236)のために通される(図6参照)。変化速度や比率のような演算されるパラメータは、付加的な計算ステップを必要とする(ソフトウェア・ルーチンの付加は必要とするが、付加的なハードウェアは必要としない)。
与えられた部門の1つまたは2つの相次ぐ読取り値が「仕様外」であれば、その読取り値は無視され、その部門はそれ自身のデータに置き換える。しかし、1つの部門からの情報が誤りであり続けたり、他の部門のセンサのセンサ読取り値からずれ続けていたり、または繰り返し欠けたりする場合には、誤りメッセージ(サービス要求)が発せられる。
全てのスクラム・パラメータが計算された後、それらは安全設定値と比較される。いずれかのパラメータに対して3分の2が設定値を超えた場合には、その部門からスクラム信号が発せられて(図3のブロック238)、それの2/4ハードウェア論理リレーを作動する。2つ以上の部門がスクラム信号を発した場合には、原子炉スクラムが生じる。
ハードウェアスクラム論理
RPSはハードウェア論理6を使用して、スクラムの必要性について2アウトオブ4部門票決を行う。いずれか2つのRPS部門がトリップ指令を発すると、スクラム・シーケンスが開始される。各アクチュエータ36は、それに接続された一組のハードウェア論理をそなえている。2つの異なる型のハードウェア論理、すなわち直列と並列が使用される。直列論理は、どの2つの部門組の接点もアクチュエータ回路を通る電流を遮断するように直列/並列構成で配置されたスイッチ接点で構成される。この電流遮断ハードウェア論理の一例はラッチ・コイル保持回路である(図7A参照)。これと異なり並列論理は、どの2つの部門組の接点も作動回路を通って電流が流れるようにする、すなわち電圧形成論理となるように直列/並列構成で配置されたスイッチ接点で構成される。アクチュエータを付勢するこのハードウェア論理の一例が図8Aに示されている。これらの構成の各々で、「”A”接点は全て物理的にRPS部門Aの計測ボールトの中に配置され」、「”B”接点は全て部門Bの計測ボールトの中に配置され」、以下同様である(図5参照)。
診断自己試験および連続監視
系のアベイラビリティを向上するためのRPSの付加的な特徴には、自動的で頻繁に行われる自己試験、連続診断監視、部門の定期試験、出力リレー動作によるセンサ入力が含まれる。RPSは二通りのやり方でそれ自身の性能を自動的にチェックする。第1にRPSは、センサ入力として基準電圧201を注入し、測定された応答を所定の値と比較することにより、電子構成要素および電子回路の限定された試験を行う(図3参照)。RPSは、部門を手動でバイパスすることなく、そして誤ったスクラムを生じることなく、部門全体のオンライン拡大定期試験も自動的に行う。試験は入力から出力まで行われ、スクラム・ハードウェア論理回路の作動が含まれる。4つの部門は全て連続的に2/4ハードウェア論理構成要素のステータスを監視し、試験のスケジュール作成、および正しい動作の確認のため、そして問題を識別するための診断としてこの情報を使用する。
「能動限界試験」:各センサポーリング・サイクルは、部門の基準電圧のサンプリングを含む。基準電圧201(図3参照)は、スクラムの判定を生じるのに充分なセンサ入力として扱われる。しかし、スクラム指令の実際の出力は禁止される。この試験電圧に対する応答を診断的に評価して、部門による間違った動作の兆候が無いか、そして他の部門からの入力と比較したとき、系の動作、基準電圧の誤りや相互通信の劣化を検出する。系のいずれかの部門が正しく動作していない場合には、欠陥のある品目が自動的に最小の交換可能なモジュールまで識別され、サービスを自動的に要求する。この電子構成要素試験は、自動的な区分的試験により継続的にオンラインで行われるように設計される。限定された試験の間は「半スクラム」条件が防止されるように、正規のスクラム禁止指令がその部門のハードウェア論理に出力され続ける。各センサ・ポーリング・サイクルで、限定された試験が行われる[基準電圧は、それがセンサ入力であるかのようにポーリングされる]。したがって、限定された試験は「それぞれの部門に関して」連続である。どの問題が検出されても、時宜にかなったサービスを要求するメッセージが出力される。
全てのディジタル化されたセンサおよび基準入力電圧の読取り値が全ての部門により交換され、比較されるので、系の誤りが素早く検出される。これには、個別のセンサまたは基準電圧の読取り値、入力データ処理、および相互通信の誤りが含まれる。それ自身の問題または他の1つの部門の問題を検知した各部門は、保守の呼び出しを出力するので、敏速な損傷の検出と通知が確実に行われる。
「拡大試験」:拡大試験は、出力ハードウェア論理を介して部門全体の健康状態、センサ入力を評価するように設計される。拡大試験は、禁止されたスクラム出力が無ければ、限定された試験と同じである。したがって、拡大試験により、部門の出力スクラム・リレーが動作する。この試験は、他の部門がどれも同様に試験していない場合のみ、そして全ての部門が正しく動作している場合のみ、一度に1つの部門だけが行う。試験を行うようにスケジュール作成された部門はまず、全てが正常であるか見るためチェックする。全てが正常でない場合には、その部門はランダムな長さの時間待った後、後で再び試みる。全ての部門による2/4ハードウェア論理の監視を使用することにより、2つの部門が試験を同時に行わず、誤ったスクラムを生じないようにする。
この定期的な拡大試験を行うため、試験している部門がスクラム指令を発してそれの2/4ハードウェア論理構成要素を作動するようにすることにより、限定された試験が拡大される。拡大試験のために必要な数ミリ秒の間、停止シーケンスを実際に開始するには、3つの活きた部門の内の2部門がスクラムを指令することがまだ必要である。これにより、試験している部門がハードウェア論理に試験「スクラム」信号を送出するときに従来の保護系で生じ得る「半スクラム」状態の問題が防止される。半スクラム状態では、1つの部門のスクラム・リレーが開放されるので、他の部門のどれか1つからのスクラムによって、原子炉スクラムが生じる。これは、系が「半スクラム」状態にある試験の唯一の時間である。
この試験部門に対する時間は正規のセンサ読取り周期に等しいので、他の1つの部門の同時の試験による誤ったスクラムの危険が小さい。更に全ての部門について、他の部門の試験動作のそれらの監視に基づいて試験のためのソフトウェア・スケジュールが作成される。
部門の試験および保守の間のハードウェア論理の(2/3論理への)再構成は普通、従来のRPS設計で行われる。主要な相違は、従来の保護系の設計が手動バイパスを使ってこれらの試験を行うのに対して、本発明のRPSは2/3のセンサがスクラムの必要性を指示することを要求し続けるので、不注意による運転上および保守の誤りが起こりにくく、またバイパスを必要としないということである。
4つの部門のどれかがオフノーマル(off−normal)状態で運転されている場合には、拡大試験は行われない。たとえば、部門のCPU、電力またはディジタル出力カードが動作していないような全部門体保守動作の際には、拡大試験は行われない。この動作の際には、ハードウェア論理全体が「半スクラム」状態となる。しかしソフトウェア論理遮壁はなお、スクラム指令が発せられる前に3つのセンサ読取り値の内の2つがスクラムの必要性を示すことを要求する。
これにより、誤ったスクラムの危険性は大幅に減る。現在の見積もりによれば、誤ったスクラムの確率は許容できるほど小さい。
ある部門の拡大試験の結果は、ハードウェア論理リレー接点の連続監視により全ての部門によって監視される(図7および8参照)。各部門は任意の接点対の状態変化および正しい動作を探す。この機能は、ハードウェア論理回路全体を通じて異なる点で電流または電圧を監視することに基づく。(リレーに電力が加えられた状態で)接点の状態が付加的なディジタル・センサ入力として正規運転の間、連続的に監視される。これにより、正規運転の間および試験の間、故障(接点状態の変化:論理構成に応じて、開放から閉成への変化、閉成から開放への変化、または状態変化の失敗)検出機能が得られる。(手動で要求されるか、またはコンピュータのスケジュールで決められた)部門の試験機能により、スクラムを生じることなくリレーが実際に動作する。診断検知により、リレー接点の正しい動作が確認されるか、または正しく動作し損なったことが識別されて報告される。各部門は、他の全ての部門の健康とステータスを査定するために集められた情報を使用することができる。拡大試験の実行は、データ処理アルゴリズム、設定値の比較およびスクラム出力回路を確実に正しく機能させる助けとなる。
本発明により、2/4ハードウェア論理リレー接点が正しく動作し、スクラム要求に応動する用意ができているようにする自動試験機能が得られる。試験は、自動モードで周期的に、または手動で入力されたキーボードの試験要求に応動してただちに行われる。試験により、2/4リレー接点が開放または閉成することにより、接点を通る電流が遮断または設定される。他の1つの部門が自己試験を遂行しているか又は何らかの理由でサービス外であるか、或いは2/4論理回路からのオフノーマル表示が存在している場合には、自動または手動で入力されたキーボードの試験要求は実行されない。
図7Aに示すように、正規状態では、RPSの各部門からの制御電圧が印加されることによってリレー接点は閉じたままになる。試験を行うことにより、一度に唯1つの部門組の接点(部門毎に4個の接点)が開放する。同時に2つの部門が試験を行うことはない。1つの部門がサービス外である場合には、試験は中止される。2/4論理回路を通る電流は通常、ブリッジ構成の2つの辺にほぼ等分される。正規状態では、3つの交差経路を通って電流が流れない。試験の間、開放される接点組によって決まるこれらの交差経路を通って、電流が流れる。図7Aに示されるように、接点対の間に非接触(隔離のため)電流センサS1−S8が配置される。検知された電流は測定され、増幅器10によってアナログ電圧に変換される。増幅された電圧は比較器12に供給される。比較器は基準電圧に対して入力電圧を試験する。入力電圧が基準を超えると、ディジタル1の値が出力される。入力電圧が基準を超えない場合には、ディジタル0が出力される。たとえば、試験の間、接点Aを開放するように信号が送られると、センサS1、S4、S6、およびS7は低レベルになるべきであるが、センサS2、S3、S5、およびS8は高レベルのままになる。これらのセンサ出力からずれがあれば、それはA接点の1つ以上が開放し損なったということを示す。誤りのある接点は、センサ出力から作成された一意の8ビット(または検知された診断点数によって決まる任意のビット数)から容易に識別することができる。
各ハードウェア論理列に対する8個のセンサの各々からのディジタル出力は、各RPS部門に対する電子装置4に差し込まれた8ビットのデータ入力カード40(図3および7B参照)に並列に入力される。8個のセンサの全てからのディジタルI/O出力は、2/4ハードウェア論理リレーの正しいか、または欠陥のある各々の動作に対する一意の8ビットのディジタルワードを形成する。そのワードが、電子装置4上のCPUによって処理される。診断のディジタル入力ポートの監視によって、各部門は他の1つの部門が試験を行っているか又はサービス外であること、および各試験の結果を報告できるということを知ることができる。ある部門が試験を行う予定になっている場合には、その部門はそれの診断用ディジタル入力ポートを調べる。そのポートがビジー(busy)であれば、その部門はランダムな長さの時間の間、待った後、再び試みる。ディジタル入力ポートが空きになる時点まで、ランダムな待ちの後の再試行が継続される(これにより、1つの部門がサービス外である間は試験が行われず、ポートが空きになったとき手動の再始動無しに、試験が自動的に再開される)。このとき試験は、その部門がスクラム指令をそれのリレーに発することにより行われる。その部門は、診断用のディジタル入力ポートを読み取る。返送されたセンサパターンが正しければ、試験は成功であり、その部門の表示は試験が行われ、合格したことを示す。パターンが正しくなければ、CPUはどのハードウェア要素が故障したかを識別し、適当なメッセージを出力することができる。
図8Aに示すハードウェア論理リレー接点の場合には、高抵抗値の抵抗14が接点と並列に配置される(図8B参照)。隔離されたアナログ増幅器16が各抵抗両端間の電圧降下を測定する。増幅された電圧は比較器18に供給される。比較器は閾値電圧に対して入力電圧を試験する。入力電圧が閾値を超えると、ディジタル1の値が出力される。入力電圧が閾値を超えない場合には、ディジタル0が出力される。たとえば、試験の間、接点Aを閉成するように信号が送られると、センサS1、S4、S6、およびS8は低レベルになるべきであるが、センサS2、S311、S5、およびS7は高レベルのままになる。これらのセンサ出力からずれがあれば、それはA接点の1つ以上が閉成し損なったということを示す。誤りのある接点は、センサ出力から作成された一意の8ビットから容易に識別することができる。
各ハードウェア論理列に対する8個のセンサの各々からのディジタル出力は、各RPS部門のコンピュータに対する8ビットのデータ入力カード40に並列に入力される(図7B参照)。8個のセンサの全てからのディジタルI/O出力は、2/4ハードウェア論理リレーの正しいか又は欠陥のある各々の動作に対する一意の8ビットのディジタル・ワードを形成する。そのディジタル・ワードは上記のように監視される。
試験完了時に、その部門は正規の監視および保護サービスを再開する。限定および拡大の自動試験、センサ読取り値と基準読取り値との交換および比較、並びに診断監視は、人間による監視試験を不要するので、過失によるスクラムの主要な原因を低減する。
環境および保守の機能
RPS電子装置は高温(約170°F)で動作するように設計され、能動冷却、もしくは加熱、換気および空気調和(HVAC)系は必要としない。部門は、原子炉トリップを生じることなく、いつでもオンラインで点検整備することができる。RPSは高度のモジュール方式で組み立てられた系として設計され、技術が進歩して60年の所要寿命を満足したときには機能的に更新してもよい。最小のプラグイン形の交換可能なモジュールまで問題を突き止める診断法が提供される。これは、熟練度が最小の技術者が容易かつ迅速に系を保守することができるということを意味する。4つの全ての部門および全ての原子炉に対するRPS電子モジュール(たとえば、CPU、信号調整カードおよびデータ入力カードであり、これらは全て電子装置シャーシ4にプラグインできる)は同一であるので、系を保守するために必要な予備部品の貯蔵が少なくなる。
RPS電力
RPS計測電子装置に対する代表的な配電が図9に示されている。図9は、唯2つのRPS計測ボールトに対する単線接続図を示している。他の2つの部門のボールトは同様に電力が供給されるが、供給源は2つの異なる高電圧バスである。
全てのRPS計測は直流(DC)電圧で動作する。RPSの各部門には、直流バス30および隔離素子(たとえば、ダイオード)32を介して(2つの異なるRPS部門ボールトの中に配置された)2つの並列で電気的に隔離された直流電源から、電池でバックアップされた直流電力が供給される。
各ボールト内の電池充電器20は、調整可能な電気隔離素子としての役目を果たす。各交流(AC)バス22には、2つの異なる電源から給電される。信頼度とアベイラビリティを向上するため、各ACバスには2つの高電圧ACバスのいずれかから給電される。
施設電力はバス24を介してキロボルトレベルの交流(AC)として発電所全体を通じて配電される。降圧変圧器(1つまたは複数)26は交流電圧レベルを下げ、電池充電器20に給電する。電池充電器はRPS部門負荷に対する直流電圧を出力し、電池28上の電荷を維持する。正規状態では、RPS部門はそれの電力を電池充電器から得る。しかし万一、施設の入力交流電源が故障した場合には、RPS部門には電池から連続電力が供給される。スイッチングや直流−交流の反転が含まれないので、系が簡略化され、付加的な構成要素の故障の可能性が無くなる。
故障によるRPSスクラム論理動作
RPSは、(1)単一の故障では保護機能が失われず、且つ(2)どの構成要素またはチャネルをサービスから除いても必要な保護機能が失われないように設計される。RPSは、安全性を危うくすることなくセンサの機能不全による誤信号(誤った)スクラムを最小限にするようにも設計される。
正規状態では、4つの良好なセンサおよび全ての電子装置と通信系が動作状態にあり(図10参照)、RPS部門トリップは2/3部門センサ・データ票決に基づき、各部門はそれ自身のセンサ読取り値を予備として保持する。しかし、センサ、処理電子装置または通信で故障が発生した場合には、このトリップ論理は違ってくる。
電子装置および通信が動作しているがセンサが故障している場合には、センサの故障によりセンサ読取り値は正当な帯(band)の外側に生じる。センサ読取り値は、センサ検証フラグのステータスに注意することにより容易に検出される。不良なセンサの読取り値はスクラム票決では使用されない。たとえば、図10に示されるセンサBが不良である場合には、部門A、C、およびDの各々に対する2/3ソフトウェア論理4bが必要に応じてそれ自身のセンサ読取り値に置き換えて(したがって、各部門はなおセンサA、C、およびDからの3つの良好な読取り値を持っており)、2/3スクラム票決を行う。部門Bに対するソフトウェア論理は、(部門A,C、およびDからの)正規なセンサの読取り値を使用してそれの2/3スクラム票決を行う。2つのセンサが不良である場合には、各部門は2つの良好なセンサ読取り値を持っており、一方または両方のセンサがスクラムを主張すればスクラム信号を発する(すなわち、各部門は1/2票決を行う)。3つ(または4つ)のセンサが全て不良である場合には、各部門はスクラム指令を発する。4つの部門の中の2つがトリップ信号を発する場合には、ハードウェア論理6は運転員に信号を発する。
代わりに、電子装置が故障していて、センサおよび通信が正しく動作している場合がある。電子装置の故障には、マイクロプロセッサに基づく電子装置4の中の主要な信号処理チップ(図10の信号調整回路4a)の故障、または電力を電子装置に供給する系の故障が含まれる。このような電子装置の故障により、その部門の出力回路がその部門の「非スクラム」信号を送出することが防止され、そしてそれによりセンサおよび通信系のステータスにかかわらず、その部門が自動的に「スクラム」状態に入る。したがって、いずれかのセンサがスクラムを指示しているか否かにかかわらず、2つ(以上)のこのような電子(CPU)故障がスクラムをトリガーする(フェイルセイフ)。これは、従来のRPS系で行われていることと同等である。
第3に、通信が故障していて、センサおよび電子装置が動作している場合がある。通信故障には、送信装置または受信装置のハードウェア/ソフトウェアの問題、または伝送中の雑音のピックアップによってプロセッサ間通信系の故障が含まれる。このような通信の故障は重大でなく、入って来る通信センサデータが無いことにより検出される。このような故障が1つ発生し、ある部門が他の3つの部門からではなく2つの部門からだけデータを受信すると、それ自身のデータに置き換え、2/3票決を行うので、保護機能に対する信頼度が失われることはない。ある部門が他の3つの部門の内の1つの部門だけからデータを受信すると、その部門はそれ自身のデータに置き換えることにより、2つの良好な読取り値を与えるとともに、いずれかがトリップ設定値より大きい場合は、スクラムの票決を行う(すなわち、1/2票決を行う)。ある部門が他のどの部門からもデータを受信しない場合には、それ自身のデータを使用し、従来のRPS設計と同様に1/1論理で部門スクラムを発する。したがって、どの部門もデータを送信せず、他のどの部門からもデータを受信しない全体的な通信故障の場合には、RPSはプロセッサ間通信の無い従来のRPSのように動作する。
正規状態では、トリップが発せられる前に、2つの正しく動作しているセンサがトリップを要求しなければならない。これは、RPS電子装置の予備つきの2アウトオブ3のソフトウェア論理、およびRPSスクラム遮断器の2アウトオブ4ハードウェア論理と一致する。従来の系と異なり、1つのセンサが正しく動作しておらず、RPS論理の1つの異なる部門がサービス外であっても、2センサ・トリップの必要条件は成立し続ける。このようにRPSがセンサ故障から保護されることにより、誤ったスクラムが減少し、また発せられたどのトリップもセンサ入力によって指示された通りの原因によるものであるという高度の確信が得られる。
原子炉に適用されたときのRPSの機能は次の通りである。すなわち、(1)原子炉内の安全性パラメータ(中性子束、低温プールと炉心出口の温度、ポンプ吐き出し圧力、および一次ナトリウム・レベル)を連続的に監視すること、(2)原子炉の停止、EMポンプのトリップ、および格納容器の隔離が必要であるか判定すること、(3)制御棒解放機構およびドライブイン・モータにトリップ信号を送ることにより、確実に制御棒を挿入すること、(4)一次EMポンプの惰性下降を開始すること、および(5)IHTS弁の閉成および格納容器換気弁の閉成により格納容器の隔離を開始することである。
これらの機能を遂行するため、RPSは4つの同じ構成の、並列の論理列または部門をそなえている。各論理はセンサ、アナログ入力/増幅器/ディジタル変換器、ディジタル論理装置、およびトリップ・アクチュエータで構成される。原子炉のトリップのために、7個のパラメータが使用される。各論理列は、パラメータ毎に1つのセンサ入力を有する。アナログ入力のポーリングが行われ、これにより、任意の時点にRPSがどのパラメータを処理するかが決められる。
異なる間隔でRPSにより自動的に、数個のレベルの診断が行われる。これらのレベルには、個別の構成要素の校正、部門系の校正/健康状態のチェック、系全体の性能、信号の検証および有効性、データ交換の有効性、およびトリップの有効性が含まれる。
4つのRPS部門は、故障許容の系として一緒に動作する。すなわち、どの部門の中で発生したどんな故障も検出されて局限される。再構成が自動的に行われて、問題領域がバイパスされる。系は、運転されている間に修理することができる。サービスのためにいつでも1つの部門全体を取り除くことができ、系の性能低下を生じない。入力は完全に故障許容になっている。すなわち、入力部に故障が生じると、その故障は隔離され、系はその故障を迂回して再構成される。4つの中央処理論理装置は、誤り検出、局限および再構成を行うことができる。光結合された各遮断器は試験機能をそなえているので、制御棒を解放したり、原子炉のスクラムを開始することなく、いつでも部門を完全に(センサ入力からトリップ遮断器まで)自動的に試験することができる。
「RPSの動作」:設計基準事象が発生して、原子炉トリップ・パラメータのどれかがそれらの安全性設定値を超えると、RPS電子装置4は自動的にスクラム・シーケンスを開始する(図2参照)。2/4ハードウェア論理6を制御して、制御素子106を保持するラッチ・コイル保持回路102への電力を遮断し、ドライブイン・モータ104に電力を印加することにより、そして原子炉トリップが進行中であることを示すメッセージをPCS56に送ることにより、原子炉スクラム・シーケンスが開始する。スクラム(中性子束の減少)を確認すると、2/4ハードウェア論理6を制御することによりEMポンプ電源装置110から電磁ポンプ108への電力が切断される。2/4ハードウェア論理6はRPS−EMポンプ遮断器62(3つのEMポンプ位相の各々に対して2つの遮断器がある)をトリップすることにより、一次流の惰性下降を開始する。制御素子106が挿入されたことが確認されるまで、EMポンプ遮断動作は行われない。スクラム指令が最初に発せられたとき、その時点の測定された中性子束に注目する。中性子束のレベルが再チェックされる。中性子束がそれのスクラム開始レベルから予め設定されたパーセントだけ減少するまで、EMポンプ遮断動作が行われることは許されない。制御棒106が挿入され損なうと、この確認論理は原子炉の温度上昇を許す。これは、受動停止機能により中性子束が指定されたパーセントだけ減少した後、熱停止系(TSS)によりEMポンプ停止が開始され、流れの惰性下降が生じるまで続く。図11に示されるようにTSSには、それぞれ4つの熱トリップ装置66を介して2/4電流遮断ハードウェア論理に接続された4つの熱センサ64が含まれる。各熱センサ64は、EMポンプ温度の独立のセンサ読取り値を与える。
制御棒106の解放は、トリップ指令を発するという決定から50ミリ秒以内に行われる。制御棒の重力による挿入は2秒以内に完了する。重力による挿入は、ドライブイン・モータから動力を与えられる制御素子の挿入によってバックアップされる。ドライブイン・モータ104により、制御棒の挿入は18秒以内に完了する。スクラム後、原子炉の出力は約2秒から3秒以内に10%未満まで減少する。次にEMポンプの惰性下降により、一次流は200秒にわたって自然循環に近いレベルまで減っていく。
混合炉心の出口温度は急激に低下した後、次第に上昇し、約500秒でピークに達し、その後、原子炉100が冷却するにつれて次第に低下する。流れの惰性下降曲線は、EMポンプ108から電力が切断されると直ちに生じる冷却材流の100%から約85%への急激な低下、およびその後に同期機112がそれのエネルギーをEMポンプに与えて、流れが遅くなる次の数百秒の間の流れのゆるやかな低下で構成される。
RPSの全ての動作は自動化される。運転員の安全操作はいつでも不要である。しかし、局部的に又は遠隔で手動のスクラムを開始することにより、固有の安全機能に対する挑戦を防止することができる。RPSは手動で入力された要求を受け入れることにより、それ自身のスクラム・ボタンからトリップ・シーケンスを実行する(全ての電子装置をバイパスし、直接トリップ遮断器に至る電力を遮断する動作)。主制御室74の中の運転員卓72(図2)から、安全に関係しない異なる電子装置を介して手動のスクラムを開始してもよい。第1の方法はDHTSからRPS制御器に至るものであり、異なる方法は手動のスクラム作動電子装置への直接接続を介するものである。更に、遠隔停止設備78の中の卓76の面上に配置されたスクラム・ボタンから、安全に関連した手動入力のスクラム指令をRPSに入力してもよい。原子炉のスクラム・シーケンスが完了すると、スクラムの回復を開始し、スクラムの原因を判定し、全てが正規状態である場合には原子炉を再始動するために、運転員の操作が要求される。
(EMポンプの停止を含む)原子炉のスクラム機能の他に、RPSは次の3つの付加的な機能も遂行する。すなわち、(1)事故後の監視(PAM)に対するデータおよび表示を提供すること、(2)大きな蒸気発生器のナトリウム−水反応が発生したときにIHTS弁制御器118を介して中間熱輸送系(IHTS)隔離弁116を閉じること(図13参照)、および(3)格納容器ドームおよび空気格納容器流出液の中の放射線が高くなり過ぎたとき、格納容器換気弁120を閉じること(図13参照)である。
重大な蒸気発生器のナトリウム−水の反応の場合、RPSは中間熱交換器(IHX)117を隔離するIHTS隔離弁116を閉じることにより原子炉の損傷を防止する。ナトリウム−水の反応事象は、IHTSループの中に配置されたRPS圧力センサF(図4)によって検知される。RPS圧力センサFは隔離弁の閉成と原子炉スクラムの両方をトリガする。施設電力132を換気弁120に接続するPCS制御遮断器90と直列の常開RPS遮断器88への電力をRPSで除去することにより、格納容器換気弁120が閉じられる(図12参照)。スクラム機能は格納容器隔離機能から独立している。ほとんどのスクラム事象(原子炉内の事象によって生じるスクラム事象)はIHTSまたは格納容器弁閉成をトリガしない。
「制御棒のスクラム」:RPSスクラム指令により、原子炉炉心124の中に中性子吸収材が放出される(制御棒集合体の下部106には、吸収材が含まれている)。代表的な制御棒系の要素が図12に示されている。
制御集合体は、原子炉モジュールの運転出力レベルを調整するためにプラント制御系(PCS)が使用する。吸収材バンドル106はそれの棒状の構造の最上部でコレット(ラッチ)126により保持されている。コレット126は棒128により制御棒駆動機構に接続されている。制御棒駆動機構では、一対の連続的に付勢される電磁石(ラッチ・コイル)102がコレット126を閉じた状態に保持する。ラッチ・コイル102への電流の遮断(トリップ)によりコレット126が開き、吸収材バンドル106が解放されるので、吸収材バンドル106はそれ自身の重さにより炉心124の中に落ち込むこと(重力支援挿入)ができる。
各制御集合体は、吸収材バンドルの位置決めを制御するために2つのモータをそなえている。PCSが粗調整または微細調整を行うことにより、各吸収材バンドル106を上昇または下降させて原子炉の出力を制御できるように、シムステッピング・モータ130が設けられる。スクラム・シーケンスの一部としてRPSにより駆動されると、一方向性(入りのみ)の(シム・モータ130より4倍強い)直流ドライブイン・モータ104は各制御集合体駆動管路をその行程の底まで駆動することにより、吸収材バンドルが完全に挿入されるようにする。RPSには、制御棒引き上げ機能は無い。[これは本発明の特徴である。本発明では、RPSは安全方向または安全動作でのみ直流運動装置を動作させる。これらの装置の引き上げまたはリセットは、PCSのような別の系によって行われなければならない。]各制御棒キャリジ106はリミット・スイッチをそなえており、このリミット・スイッチは制御集合体挿入の端でドライブイン・モータ出力をオフにする。これらのリミット・スイッチの作動は、制御集合体挿入が完全であることの確認として識別される。
「EMポンプ惰性下降の開始」:制御棒の挿入に加えて、RPSはスクラム・シーケンスの一部として(制御棒の挿入の確認後に)EMポンプ108への動力を遮断する。RPSは中性子束レベルが所定のパーセントだけ低下したことに注目することにより制御棒の挿入を確認した後、EMポンプ遮断のための指令を発する。この動作のためRPSは、PCS電力調整装置110とEMポンプ108/同期機112との間の遮断器を開放する。これにより、EMポンプ/同期機はそれの正規の電源から切り離される。EMポンプ108は、同期機112(自励)に接続されたはずみ車に蓄積された慣性エネルギーを使用して、惰性下降流を生じる。ポンプのナトリウムの温度が所定の値を超えた場合にRPS遮断器62を開放して、EMポンプ108への電力を遮断する別個の熱遮断系(TSS)65が設けられる。これは、RPSが故障したときにATWS事象に対する一次ポンプ遮断を行う。図11はEMポンプ電力回路ならびにPCS、RPSおよびTSSインタフェースを示す簡略化された単線接続図である。
「二次ナトリウム系および格納容器換気系の隔離」:RPSは格納容器の自動換気ならびに格納容器に危害を加える事象に対するIHTS隔離弁の閉成について責任がある。これらの機能に対する概念設計が図13に示されている。IHTS弁116の閉成は、空気動力をIHTS弁に送る管路のRPSで制御されるソレノイド弁を閉じることによって行われる。格納容器換気弁120の閉成は、弁電力管路132の、RPSで制御される遮断器88を開放することによって行われる。
原子炉がIHTS流を許容するように運転されているとき、通常は、IHTS弁116(合計4個で、2個は低温IHTS管路の中にあり、2個は高温IHTS管路の中にある)が開いている。これらの弁は、ナトリウムと水の反応によってIHTS管路の中に高圧状態が生じる遠隔事象の際に閉じられるだけである。
閉成は自動的であり、RPS制御器50のみにより行われる。PCS84には、弁116を閉じる能力が無い。これにより、原子炉を運転しているときに制御室の運転員が不注意で弁を閉じることが防止される。更に、RPSには弁を開く能力が無い。原子炉がスクラム状態となり、RPSが停止/保守モードに切り替わるまで、PCSは弁を開くことができない。一旦このモードになれば、制御室からのPCS指令により(始動前に二次ナトリウム流を開始するために)弁を開くことはできない。サービスと試験の目的で、原子炉が停止し、RPSが停止/保守モードにあるとき、弁の近くの局部空気制御盤から手動で弁を開閉してもよい。
原子炉が運転されているとき、通常は、格納容器換気弁120(合計4個で、2個は取入れ口の中にあり、2個は吐出し口の中にある)が閉じている。運転中にこれらの弁を開かなければならない唯一のときは、運転員が格納容器の中に入れるように空気を新鮮にすることである。運転員が格納容器を離れた後、換気弁は再び閉じられる。正規状態でのこれらの弁の開閉は、PCS電子装置を使用して、格納容器の入口の近くの局部盤から、もしくは保守室および/または制御室から行われる。しかし、格納容器ドーム114(図4参照)または流出液の中に高放射線が検出されると、RPSは自動的に遮断器88を開き、弁120を閉じる。そして、原子炉が停止させられて、RPSが停止/保守モードに切り替わるまで、PCSは弁を開くことができない。図13は正規および異常の状況に対するPCSおよびRPSによる格納容器換気弁を図示したものである。
図12に示すように、3つの補助安全系、すなわち制御棒停止系(RSS)136、熱遮断系(TSS)138および最終停止系(USS)140を液体金属原子炉設計に組み込むことにより、RPSが故障する遠隔事象の安全性に対して余裕が与えられる。
RSS138は機械的な制御棒止めを電子的に調整し、保護されない過渡的な過電力事象の最大反応度の付加的な電位を制限する。RSSは、キャリジの動きとの物理的な干渉により制御棒の外への動きを受動的に制限することにより、保護されない制御棒引抜き事象に対する寛容な応答が行われるようにする。制御棒停止系の構成要素には、四重の冗長な制御器、制御棒停止駆動選択器、および容量が制限された電源が含まれる。電源は、6個の制御棒停止調整駆動モータの各々に対する電力を制御し、各制御棒に対して1つづつ設けられている。制御棒およびとめの位置を判定するために絶対位置センサが使用される。制御棒停止系制御器はRPS制御器とは分離されている。RSSはRPS制御器を介して冗長センサから原子炉出力および制御棒の絶対位置データを得る。RSSは、制御棒停止位置を調整するために必要とされるような運転だけにより駆動される。RSS制御器、電力遮断器、電源、ステッピング・モータ制御器および分配器が、格納容器2の上側領域に隣接したRPS電子装置ボールト82(図4)の中に配置される。
ヒートシンク(IHTS)が失われ(このためRVACS冷却だけが利用できる)且つRPSが故障した場合に、高温でEMポンプを自動的に遮断するように、TSS138は設計されている。このシナリオに対して、ヒートシンク喪失事象が全出力から開始し、PCSもRPSもポンプを停止することができないものと仮定する。原子炉内の温度は急速に上昇し、固有機構をトリガすることにより、EMポンプが運転されていない場合には原子炉が30時間以内に高温予備レベルとなる。しかし、EMポンプが運転し続ける場合には、各EMポンプは原子炉に熱を付加する。EMポンプが停止させられない場合には、原子炉の熱入力の積分がヒートシンクの能力を超える。したがって、原子炉の温度が与えられた閾値を超えた場合にはEMポンプを自動的にオフにする機構が必要とされる。
図2に示すように、RPS50はEMポンプ/同期機電力回路のRPS遮断器62に対する制御電力を供給する。正規スクラム・シーケンスの一部として、RPSはこれらの遮断器を解放することによりEMポンプの一次流惰性下降を開始する。正規運転では、RPS遮断器62は閉成位置に能動的に保持されるので、EMポンプ(108)/同期機(112)は電力調整装置(110)から電力を受ける。
図11に示すように、TSS138は各ポンプ内の出口のナトリウムの温度を監視する。TSSは、安全性に関係する4個の熱電対64(各ポンプ入口プレナムに1個づつ)で構成され、その各々が熱トリップ装置66をそなえる。センサおよびトリップ装置はRPSから分離されている。ポンプ内の温度が所定の設定値より上に上昇した場合には、ポンプと結合された熱トリップ装置66がトリップ信号を送出する。このトリップ信号により、RPSからEMポンプのRPS遮断器に至るトリップ信号線の接点68が開く。4個の熱トリップ装置の中の任意の2個の熱トリップ装置からのトリップ信号により4個のEMポンプの全てに対するEMポンプのRPS遮断器62が開くように、接点が配置される。これにより、4個のポンプの全てで流れの惰性下降が開始され、EMポンプ電源による原子炉への熱入力が終了する。
各EMポンプには、RPS計測ボールト84(図4)の1つの中に配置された熱トリップ装置66に接続された1つの熱センサ64が含まれる。熱トリップ装置66は、従来の信号調整電子装置、設定値比較器および出力回路で構成される。各熱トリップ装置は光学的に隔離された4個のリレーに信号を出力する。4個のリレーは図4に示すように、他の3個の熱トリップ装置からのリレー接点と一緒に2アウトオブ4ハードウェア論理68を構成する。RPSと同様に、こりらのリレーは全てフェイルセイフである。すなわち、接点を閉じたままにするために活性信号を必要とする。多重の故障または電力の喪失がある場合には、接点が開いてEMポンプの惰性下降が開始される。
USS140は、他の全ての方法が失敗するという極めて起こりにくい仮定の状態で原子炉の停止を行う。最終停止系を必要とするためには、PCSが制御棒で運転に失敗し、RPSが制御棒をスクラムし損なっていなければならない。このような故障が生じた場合には、系のリアクタンス性負帰還特性により、高温で原子炉は安全で安定した状態となる。この点で、運転員は最終停止系を作動させて、原子炉を低温の臨界未満状態とすることができる。遠隔停止機能またはRPSボールトから最終停止系の作動を開始するためには、運転員の手動操作が必要である。最終停止系は、原子炉を低温停止させるために毒物(B4C吸収材ボール)が原子炉の中に放出された格納容器で構成される。図4に示すようにUSSは、RSFの壁のケースの中およびRPSボールトの中に配置された一対のボタンにより作動される。
本発明による原子炉保護系(RPS)は、伝統的な原子炉保護系からの設計の新発展を表す。この系の設計は説明した全ての目標に適合するか、または超え、保護系の設計で得られるアベイラビリティを最大にする。開示されたRPSの多数の特徴により、この設計は伝統的な系から隔たっている。これらの特徴には下記のものが含まれる。
(1)対話形四重冗長度。これは、検知される変数当たり4個のセンサ、電子装置の4個の独立な部門(通常、4個の独立な計測ボールトに分離される)、および各ハードウェア出力論理の中の4対の固体トリップ・リレーを含む。各部門はトリップの必要性を判定する際に他の部門のセンサの読取り値を積極的に使用する。
(2)制御利得増幅器。利得の設定は、センサの校正係数、検知されたパラメータの安全性の設定値、および系の電圧の正規化の必要条件に基づいて行われる。
(3)固体電子装置、マイクロプロセッサ、論理回路、固体リレーおよび負荷ドライバ、並びにハードワイヤ信号伝送ルート。
(4)各RPS部門による非同期センサ・データ交換および全てのセンサ・データの評価。ファイル・サーバ(マスタ/スレーブ)または他の共通の故障点が無い。非同期動作により、4個のRPS部門の各々による作用の独立性が保証される。
(5)データ値が欠けているか又は不完全である場合に予備データの自動的な置換。各部門は他の部門のデータを評価し、それ自身のセンサ読取り値を予備として保持する。2アウトオブ3のソフトウェア論理に基づいて判定が行われる。
検証されていない、有効でない、欠けている又はそこなわれた読取り値が、部門自身のセンサ値に自動的に置き換えられて、2アウトオブ3の論理処理が継続される。欠けている又は誤った信号に対処するため、またはオフノーマル状態が補正されたときに正規状態に戻るために、手動操作は必要ない。
(6)簡単な論理を超えて、インテリジェント・データ処理および評価。RPSは部門間で同じデータを評価することができ、そしてパラメータ間の比、パラメータの変化率、原因となる特定の事象、平均、および必要に応じて他の演算に基づいてトリップに対する選択されたデータを使用することができる。
(7)データが、パラメータ毎に異なる処理アルゴリズムを必要とする工学単位に変換されないで、正規化された電圧値として処理される。工学単位への変換はオフライン・プロセスとして人間−機械インタフェース(MMI)に対してだけ行われる。MMIはスクラムの必要性の判定には関与せず、非干渉的に行う。
(8)全てのパラメータに対して唯1つのトリップ設定値。センサ間の変動は、入力の増幅器利得調整要因として調節される。
(9)データ平均、統計的処理および他の演算を用いることにより、信頼度を向上して且つスプリアス・スクラムを減らせるように、高速動作およびセンサのオーバーサンプリングが使用される。
(10)自動自己試験−実際のスクラム遮断器の作動によるセンサ入力の自動的な試験および監視。(スクラム遮断器の作動の無い)スクラム判定によるセンサ入力についての限定試験がセンサ・ポーリングサイクル毎に少なくとも一回行われる。スクラム遮断器の作動によるセンサ入力についての拡大試験が各判定に対して4時間毎に一回行われる。プラント制御系は全てのRPSセンサと診断のデータを受けるので、PCSは故障予測を目的として付加的な詳細なオフラインの診断と時系列解析を行うことができる。このオフライン解析はRPS安全機能を妨げることはあり得ず、結果的に早期の障害検出および問題の是正を行うことができる。更にPCSは、早期の障害検出の目的で全てのRPSデータを解析する。
監視試験はしばしば行われ、オンラインで、自動的である。手動操作は必要でない。最小の交換可能なモジュールまで問題を明らかにするために、診断を利用することができる。
ディジタル化されたセンサおよび基準読取り値が自動的に交換されるため、各部門はそれの限定試験および拡大試験を他の部門のそれと比較することができる。同様に全ての部門は、1つの部門の試験を評価することができ、問題が検出された場合には独立にサービスを要求することができる。これにより、ある部門がそれ自身のパラメータおよび性能の観察に限定されている場合には検出できない系統的な誤りを早期に検出することができる。
自己診断とモジュール状の設計により、保守およびほとんどの系の故障の修理を4時間以内に行い、保守動作が完了した後、自動的に再始動することができる。RPSの全ての修理は、原子炉を停止させる必要無しに行うことができる。
(11)不注意による何らかの状態変化を検出するため、そして試験の作動または実際のスクラム指令の出力に応動して正しく状態が変化したことを確認するために、スクラム・アクチュエータの接点が正規センサ入力として連続的に監視される。正規動作の間のいかなる変化(故障)もただちに検知され、保守者への通知が行われる。スクラム指令またはトリップ遮断器を介したセンサ入力試験が発せられた場合、この監視機能は動作が正しく行われたことを確認することができるか、または動作の失敗をただちに検知して、失敗通知を行う。ハード配線された論理の全ての遮断器接点は、4つの全ての部門により並列に連続的に監視される。
(12)正規動作、障害調節、試験、保守または修理のために、手動であれ、自動であれ、バイパスは必要とされない。ほとんど全てのRPS試験、保守および修理を行う際、系全体を停止する必要は無く、一回に1つの部門をいつでもオフラインとすることができる。オンライン動作への復帰は全自動で行われる。
(13)3つの動作モードが規定されており、人間の誤りの危険性を少なくするため、各動作モードでの運転員の入力/通信は限定されている。これらのモードは、停止/保守、始動/運転、およびスクラムである。
(14)RPSは停止/保守の動作モードでも動作しており、連続的な安全性が得られる。それの他の系、特にPCSとのインタロック設計のために、ほとんどの原子炉の燃料補給、試験、保守および修理に対してRPSは機能を果たさなければならない。
停止、保守および燃料補給を含む原子炉の全ての動作モードの間、RPSは積極的な役割を果たす。インタロック制御棒キャリジ機能により、RPSは偶然の制御素子の引き上げおよび思いがけない原子炉の運転を防止することができる。
RPSが正しく動作していない場合には一次流体のポンプ作用が行えないように、EMポンプ遮断器を制御することもRPSは行う。RPSは、燃料補給動作のため制御棒キャリジ引き上げが行われるようにしなければならず、そして強制的な制御棒下降試験のため一度に1つの制御素子が引き上げられるように正しく動作しなければならない。
(15)RPS電子装置の各部門に対する電源は二重の隔離された、電池でバックアップされた直流電源であり、直流−交流インバータは無く、施設電力から電池電力への変更にスイッチングは含まれていない。電源は物理的と電気的の両方の隔離を使用して、1つの電力系の故障によって第2の電力系の故障が生じないようにする。RPS電子装置によって共通使用されない独立の二重の、電池でバックアップされたアクチュエータ電源が、各スクラム遮断器の2/4論理列およびそれが作動させる安全装置に対して設けられている。
(16)RPSの構成要素および部門間の最大の電気的および物理的な隔離を使用することにより、1つの構成要素の故障がRPSまたは原子炉の全体の運転を妨げることがないようにする。
(17)RPSは四重の冗長性があり、電子装置および電力の各部門はそれ自身の計測ボールトに物理的に分割される。部門間の通信のために光ファイバが最大限に使用される。光ファイバを広範囲に使用することにより、系と構成要素の高度の隔離が行われる。
(18)安全系の全ての電子装置はRPS計測ボールトの中に配置される。センサおよびアクチュエータだけが格納容器、原子炉の一方または両方に配置される。アナログセンサおよびディジタルセンサが直接、データ取得装置(DAU)に接続される。頭部アクセス領域および格納容器を含む原子炉領域の中には、電子装置は無い。可能な場合には、センサとそれの入力電子装置との間のインタフェースはRPS計測ボールトの中に配置される。したがって、全ての電子装置は事故状態のもとで利用できる。全てのRPSセンサは原子炉の設計例では、構成要素の大きな分解無しに置き換えが行えるように、設置される。RPSボールトの簡単な配線変更で障害センサの「修理/交換」となるように、ほとんどのRPSセンサには予備が設置されている。
(19)RPSは試験される最小モジュールまで完全にモジュール化され、自動試験により識別される。故障は自動的に検出され、モジュールの識別結果を含めて告知されるので、迅速な探索および修理が容易になる。
(20)系はほとんどの人間の(偶然または別の)相互作用に対して許容度がある。人間の誤りの影響を最小限にするために、系は完全に自動化され、人間の相互作用を規制(スクラム回復)で必要とされる相互作用および原子炉運転員の指示による運転モードの変更(始動/運転または停止/保守)のために必要とされる相互作用まで最小化する。
(21)停止/保守から始動/運転へ運転モードを変更するという運転員の要求に応動して、RPSはまずそれ自身のソフトウェアをチェックする。各部門はそれのソフトウェアを、より高レベルの「原子炉制御運転員」によって維持される独立のファイルと照合する。5個のソフトウェアファイルの間の明確な合致に失敗した場合には、RPSがモード変更を実行し続ける前に解決しなければならない。モード変更の必要条件のもう1つの部門は、監視される全てのRPSパラメータは「正規」でなければならない。これには、トリップ・パラメータが含まれるだけでなく、インタロックおよび重大な弁の位置の監視も含まれる。最後にRPSは、制御棒ラッチ・コイルを付勢し、全ての制御棒キャリジ上のドライブイン・モータを復旧させ、電源への上昇を開始してもよいということを運転員に通知する。
原子炉のスクラムに続いて、RPSが停止/保守モードへ切り替えるように手動で要求されるまで、PCSインタロック原子炉制御動作は可能でない。これは、米国連邦規制法に規定された、スクラムに続いて回復を開始するための運転員入力に合致する。
(22)液体金属原子炉RPSはデータ評価、ソフトウェア論理、連続自己試験等のためにディジタルおよびコンピュータ技術を広範囲に使用し、原子炉の運転、系の試験、校正、保守動作等のためのバイパス(手動であれ、自動であれ)を必要としない。
全てのRPSセンサ・データは、一旦ディジタル化されれば、PCSに転送される。中性子束、流量、炉心温度のようなRPSパラメータは、PCSに対する一次制御帰還パラメータである。
(23)系は、保護機能の低下無しに、そして原子炉の不必要な停止を開始することなく、故障およびほとんどの多重故障に順応する。
(24)RPS設計の概念は原子炉のサイズに関係しない。
(25)RPSは他の系とは全く無関係である。しかし、機能上のインタロックのため、RPSが正しく働かないと、プラント制御系(PCS)は原子炉を運転することはできない。
RPSは、原子炉の運転のため正しく動作しなければならない能動的な系である。RPSは動作についてプラント制御系(PCS)とは全く無関係であり、PCSを支援するため対話的に動作する。したがってPCSは原子炉の主要な制御パラメータ情報および制御素子結合についてRPSの正しい動作に依存しているので、PCSは原子炉の運転のために制御素子を引き上げることができる。RPSは更に独立に、PCSがいつでも行うことができる制御素子の引き上げの量を制限する。PCSによって行われ、RPSによって制限される機能である、制御素子の引き上げ機能はRPSには無い。
(26)RPSの全ての能動的なモジュールおよび構成要素はフェイルセイフである(または、どちらがより安全な選択であるかに応じて、「故障のまま」である)。
(27)自動化された自己試験および診断のための監視、出力リレー論理素子を介したセンサ入力により、安全系の決まりきった手動の監視試験は事実上不要になる。
原子炉の設計例の受動安全機能は、RPSのスクラムで必要とされる動作が完了した後、RPSが事故監視のためのセンサを提供し続けるということを意味する。したがって、RPSの設計は大幅に簡単になる。
上述のように、ここでは4つの部門(division)を有する原子炉保護系(RPS)も開示された。この原子炉保護系では、各スクラム・パラメータに対して4つの冗長センサが4つの独立のマイクロプロセッサをベースとした電子装置に入力を供給する、各電子装置は、それ自身のセンサからスクラム・パラメータ・データを取得し、情報をディジタル化し、次いで光ファイバを介して他の3つのRPS電子装置にセンサ読み取り値を送信する。系のアベイラビリティを増大し且つ誤信号スクラムを低減するために、RPSは原子炉スクラムの必要性に対して2レベルの票決(voting)を用いる。電子装置は、ソフトウェア部門データ処理を遂行し、全ての4つのセンサからの情報に基づいて予備を入れて2/3票決を行い、部門スクラム信号をハードウェア論理パネルに送る。ハードウェア論理パネルは、原子炉スクラムを開始すべきか否かに対して2/4(すなわち4分の2)部門票決を遂行する。各電子装置は、全てのセンサからのデータに基づいて部門スクラム判定を行う。各RPS部門は他のRPS部門とは独立に遂行する(非同期動作)。部門相互間の全ての通信は非同期である。
原子炉保護系の論理は、故障許容、信頼度向上、アベイラビリティ増大および分離の改善を行うように設計される。この保護系の特徴は、1つのセンサが故障しても、保護のレベルを下げることがなく、また誤った原子炉トリップの可能性を増大することがないという能力を含む。本発明に従った設計では、手動のバイパスが不要となり、運転員による操作が事実上不要となり、カスタム設計部品を用いずに故障許容が得られる。
RPSは、そのほとんど全ての構成要素の多重故障に耐えるように設計される。その論理は、下記のような主要な性能増強特性を有する。
第1に、センサ読取り値の交換および各部門内での多重センサ票決機能により、スクラムの高い信頼度が得られる。これは、全てのセンサおよびそれらのデータが良好であって故障センサの限界の外側にないと仮定して、原子炉にスクラム条件が存在し、これをいずれか3つのセンサでピックアップする場合を考えることにより、理解することができる。この場合、RPSは4つの全ての部門でスクラム信号を発生するので、非常に信頼度の高い原子炉スクラム構成が得られる。
従来のほとんどの保護系は3つの部門でスクラム信号を発生するだけである。スクラムを指示する良好なセンサとまさに軽度に故障した故障センサが含まれるスクラムシナリオに対してもスクラム信頼度は高い。このようなシナリオの場合、RPSは良好なセンサに基づいてスクラム信号を発生し、軽度に故障したセンサにより禁止されないからである。
第2に、各部門内での多重センサ票決により、センサの機能不全によるスプリアス・スクラムに対する識別が行われる。したがって、1つのスクラム変数のセンサが1つの部門でスクラムを間違って指示し、第2の変数のセンサが他の1つの部門でスクラムを間違って指示した場合、RPSは間違った読取り値を票決で除外して、スクラム信号を発生しない。
第3に、故障したセンサに対する自動検出および識別により、RPSはこのような故障が生じたときに既知の状態に自動的に入ることができる。センサの故障が高度であるか軽度であるか否か、あるいは運転員が正しい手動バイパス操作を行ったか否かについての不確かさは無い。
第4に、センサの読取り値の相互通信により、4つの理論的に「同じ」値を比較することができる。これにより、ドリフトまたは機能不全のようなセンサ誤差を識別することができる。誤ったセンサ・データに対して、診断サービス要求が発せられる。
第5に、出力リレー論理を介したセンサ入力を自動自己試験および診断監視することにより、手動の監視試験は事実上不要になる。これにより、各部門が全ての部門を相互チェックし且つハードウェア論理の故障を検知する能力が得られる。
上記の実施例は説明の目的で開示されてきた。実施例の変更および変形は原子炉保護系の熟練した設計者は容易に考えつき得る。このような全ての変更および変形は請求の範囲に包含されるものである。
本発明による原子炉保護系のブロック図である。 液体金属原子炉に適用した場合の本発明の好適実施例による原子炉保護系と運転員インタフェースを示す概略ブロック図である。 本発明の好適実施例による原子炉保護系の一部門に対する論理のブロック図である。 本発明の好適実施例による原子炉保護系のセンサ位置を示す概略図である。 本発明の好適実施例による代表的な2アウトオブ4電流遮断スイッチング・ハードウェア構成内のスイッチ接点の物理的配置を示す回路図である。 本発明の好適実施例による1つの部門に対するRPSトリップ論理のフローチャートである。 図7Aは電流遮断ハードウェア論理に対するスイッチ接点の電気等価回路を示す回路図であり、図7Bは図7Aに示されたハードウェア論理の診断試験のためのCPUへのセンサ出力データの入力を示すブロック図であり、図7Cは図7Aに示されたハードウェア論理に組み込まれる電流センサの回路図である。 図8Aは電圧印加ハードウェア論理に対するスイッチ接点の電気等価回路を示す回路図であり、図8Bは図8Aに示されたハードウェア論理に組み込まれる電圧センサの回路図である。 本発明によるRPS計測電子装置に対する代表的な電力分布を示す単線接続図である。 本発明による原子炉保護系の構成要素論理のブロック図である。 本発明の原子炉保護系とともに使用される熱式停止系のブロック図である。 液体金属原子炉に適用したときの本発明の好適実施例による原子炉保護系の入力および出力を示すブロック図である。 種々のパラメータがそれぞれの閾値を超えたとき原子炉保護系の応答を示すフローチャートである。

Claims (9)

  1. 重大なパラメータの監視に応動して安全動作を開始するための自己試験系において、
    重大なパラメータの値を独立に検出して、第1乃至第4のセンサ読取り値をそれぞれ出力する第1乃至第4のセンサと、
    前記第1乃至第4のセンサに接続されそれらセンサの読取り値をそれぞれ処理し、それぞれのセンサ読取り値が所定の閾値電圧より低いことに応動して安全動作禁止信号を出力し、前記それぞれのセンサ読取り値が前記所定の閾値電圧より高いことに応動して前記安全動作禁止信号の出力を終了させる手段を含んでいる第1乃至第4の部門の電子装置と、
    前記第1乃至第4の部門の電子装置が他の部門の電子装置から処理されたセンサ読取り値を受けるように、前記第1乃至第4の部門の電子装置を相互接続する相互通信チャネルと
    を含み、
    前記第1乃至第4の部門の電子装置は、
    前記それぞれのセンサ読取り値の代わりにそれぞれの基準電圧を入力する手段と、
    前記部門の電子装置の内の1つの部門の電子装置の基準電圧に対する応答と他の1つの部門の電子装置の基準電圧に対する応答との差を検出する手段と
    を含んでいることを特徴とする自己試験系。
  2. 前記第1乃至第4の部門の電子装置は、前記それぞれのセンサおよび前記それぞれの基準電圧源を順にポーリングするマルチプレクサ手段を含んでいる請求項1記載の自己試験系。
  3. 前記第1乃至第4の部門の電子装置は、
    前記第1乃至第4のセンサからのセンサ読取り値をそれぞれサンプリングする手段と、
    前記サンプリングされたセンサ読取り値を多数の過去のセンサ読取り値と平均化する手段と、
    センサの故障を表示するために平均センサ読取り値を所定のセンサの正当限界と比較する手段と
    を更に含んでいる請求項1記載の自己試験系。
  4. 前記第1乃至第4の部門の電子装置から出力を受けるように接続されたハードウェア論理回路を有し、前記ハードウェア論理回路は、前記第1乃至第4の部門の電子装置の内の少なくとも2つからの安全動作禁止信号の受信の中断に応動して正規状態から安全動作状態に変わる請求項1記載の自己試験系。
  5. 重大なパラメータの監視に応動して安全動作を開始するための自己試験系において、
    前記重大なパラメータを監視する第1乃至第4の手段と、
    前記重大なパラメータが所定の閾値を超えないときには第1乃至第4の連続した安全動作禁止信号を発し、前記重大なパラメータが前記所定閾値を超えたときにはそれぞれの安全動作禁止信号を中断する第1乃至第4の部門の処理手段と、
    前記第1乃至第4の部門の処理手段から出力を受けるように接続され、前記第1乃至第4の部門の処理手段の内の少なくとも2つによる前記安全動作禁止信号の中断に応動して正規状態から安全動作状態に変わるハードウェア論理回路と、
    前記ハードウェア論理回路を介して安全アクチュエータが結合されるアクチュエータ電源回路と、
    前記ハードウェア論理回路の状態を検出する手段と
    を含み、
    前記第1乃至第4の部門の処理手段は、前記ハードウェア論理回路の障害状態を前記検出手段の出力の関数として診断する手段を含んでいることを特徴とする自己試験系。
  6. 前記状態検出手段は、前記ハードウェア論理回路の部門の状態を表すそれぞれのアナログ信号を出力する複数のセンサと、
    前記複数のアナログ信号をハードウェア論理状態符号を構成する対応する複数のディジタル信号に変換する手段と
    を含み、
    前記診断手段は前記ハードウェア論理状態符号に依存して前記ハードウェア論理回路内に障害が存在するか否かを示す信号を出力する請求項5記載の自己試験系。
  7. 重大な原子炉パラメータの監視に応動して原子炉のスクラムを開始するための自己試験原子炉保護系において、
    重大な原子炉パラメータの値を独立に検出して、第1乃至第4のセンサ読取り値をそれぞれ出力する第1乃至第4の原子炉パラメータセンサと、
    前記第1乃至第4の原子炉パラメータセンサに接続され、前記第1乃至第4のセンサ読取り値を処理し、それぞれの前記センサ読取り値が所定の閾値電圧より低いことに応動してスクラム禁止信号を出力し、それぞれの前記センサ読取り値が前記所定の閾値電圧より高いことに応動して前記スクラム禁止信号の出力を終了させる手段を含んでいる第1乃至第4の部門の電子装置と、
    前記第1乃至第4の部門の電子装置が他の部門の電子装置から処理されたセンサ読取り値を受けるように、前記第1乃至第4の部門の電子装置を相互接続する相互通信チャネルと
    を含み、
    前記第1乃至第4の部門の電子装置は、それぞれの前記センサ読取り値の代わりに前記所定の閾値電圧より大きいそれぞれの基準電圧を入力する手段と、
    前記それぞれの基準電圧の入力に拘わらずスクラム禁止信号を出力する手段と、
    前記部門の電子装置の内の1つの部門の電子装置の基準電圧に対する応答と他の部門の電子装置の基準電圧に対する応答との差を検出する手段と、
    異なる部門の電子装置によって処理されたセンサ読取り値の非一様性に応動して誤りメッセージを発する手段と
    を含んでいることを特徴とする自己試験原子炉保護系。
  8. 前記第1乃至第4の部門の電子装置から出力を受けるように接続され、前記第1乃至第4の部門の電子装置の内の少なくとも2つによる前記スクラム禁止信号の中断に応動して正規状態からスクラム状態に変わるハードウェア論理回路と、
    前記ハードウェア論理回路を介して、スクラム動作を行うための安全アクチュエータが結合されるアクチュエータ電源回路と、
    前記ハードウェア論理回路の状態を検出する複数のハードウェア論理状態センサと、
    前記ハードウェア論理回路の障害状態を前記ハードウェア論理状態センサの出力の関数として診断する手段と
    を含んでいる請求項7記載の自己試験原子炉保護系。
  9. 重大なパラメータの値を独立に検出して第1乃至第4のセンサ読取り値をそれぞれ出力する第1乃至第4のセンサ、前記第1乃至第4のセンサに接続され前記第1乃至第4のセンサ読取り値を処理し、それぞれのセンサ読取り値が所定の閾値電圧より低いことに応動して安全動作禁止信号を出力し、前記それぞれのセンサ読取り値が前記それぞれの所定の閾値電圧より高いことに応動して前記安全動作禁止信号の出力を終了させる手段を含んでいる第1乃至第4の部門の電子装置、および前記第1乃至第4の部門の電子装置が他の部門の電子装置から処理されたセンサ読取り値を受けるように、前記第1乃至第4の部門の電子装置を相互接続する相互通信チャネルを備えている、重大なパラメータの監視に応動して安全動作を開始する系を試験するための方法において、
    各ポーリング・サイクルの間に一回、前記第1乃至第4のセンサを順にポーリングするステップと、
    各ポーリング・サイクルの間に前記それぞれの所定の閾値レベルを超えるレベルを有するそれぞれの基準信号を入力し、前記基準電圧がセンサ入力として扱われるような入力ステップと、
    前記ポーリング・サイクルの内の選択された1つのポーリング・サイクルの間に前記それぞれの基準信号が前記それぞれの所定の閾値レベルを超えたことに応動して、前記第1乃至第4の部門の電子装置の内の選択された1つの部門の電子装置により前記それぞれの安全動作禁止信号の出力を終了させるステップと、
    前記それぞれの基準信号が前記それぞれの所定の閾値レベルを超えたことに応動して、前記第1乃至第4の部門の電子装置の内で前記選択されたものと異なる部門の電子装置により前記それぞれの安全動作禁止信号の出力の終了を禁止するステップと
    を含んでいることを特徴とする方法。
JP2007048556A 1995-07-14 2007-02-28 パラメータの監視に応動して安全動作を開始するための自己試験系、自己試験原子炉保護系及び方法 Pending JP2007183285A (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US08/502,337 US5586156A (en) 1995-07-14 1995-07-14 Reactor protection system with automatic self-testing and diagnostic
US08/502,411 US5621776A (en) 1995-07-14 1995-07-14 Fault-tolerant reactor protection system

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP1997506735 Division 1996-07-11

Publications (1)

Publication Number Publication Date
JP2007183285A true JP2007183285A (ja) 2007-07-19

Family

ID=27054121

Family Applications (2)

Application Number Title Priority Date Filing Date
JP9506735A Pending JPH10506476A (ja) 1995-07-14 1996-07-11 原子炉保護系
JP2007048556A Pending JP2007183285A (ja) 1995-07-14 2007-02-28 パラメータの監視に応動して安全動作を開始するための自己試験系、自己試験原子炉保護系及び方法

Family Applications Before (1)

Application Number Title Priority Date Filing Date
JP9506735A Pending JPH10506476A (ja) 1995-07-14 1996-07-11 原子炉保護系

Country Status (5)

Country Link
EP (1) EP0781451B1 (ja)
JP (2) JPH10506476A (ja)
KR (1) KR970706581A (ja)
DE (1) DE69618160T2 (ja)
WO (1) WO1997004463A1 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2013080321A1 (ja) * 2011-11-30 2013-06-06 三菱重工業株式会社 再生エネルギー型発電装置およびその制御方法

Families Citing this family (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5984504A (en) * 1997-06-11 1999-11-16 Westinghouse Electric Company Llc Safety or protection system employing reflective memory and/or diverse processors and communications
DE19962497A1 (de) * 1999-12-23 2001-07-05 Pilz Gmbh & Co Schaltungsanordnung zum sicheren Abschalten einer Anlage, insbesondere einer Maschinenanlage
JP2002084151A (ja) * 2000-06-28 2002-03-22 Denso Corp 物理量検出装置
FR2826726B1 (fr) * 2001-06-29 2004-01-16 Ttk Dispositif numerique de detection et de localisation de fuites de liquide
US6650722B1 (en) * 2001-12-21 2003-11-18 General Electric Company Hydraulic control unit transponder card
SE527441C2 (sv) * 2003-12-23 2006-03-07 Abb Research Ltd Förfarande vid ett säkerhetssystem för styrning av en process eller utrustning
DE102005060720A1 (de) * 2005-12-19 2007-06-28 Siemens Ag Überwachungssystem, insbesondere Schwingungsüberwachungssystem und Verfahren zum Betrieb eines solchen Systems
JP5701033B2 (ja) * 2010-12-09 2015-04-15 三菱重工業株式会社 原子炉停止装置
CN102324258B (zh) * 2011-06-17 2014-06-04 中广核工程有限公司 一种防止核电站atwt机柜误驱动的方法和系统
KR101395103B1 (ko) * 2012-09-03 2014-05-19 동국대학교 경주캠퍼스 산학협력단 원자력발전소 사용후연료 저장조의 보조 감시시스템 및 이를 이용한 감시 방법
US10304575B2 (en) 2013-12-26 2019-05-28 Nuscale Power, Llc Actuating a nuclear reactor safety device
US11017907B2 (en) 2013-12-31 2021-05-25 Nuscale Power, Llc Nuclear reactor protection systems and methods
CN105575448B (zh) * 2015-12-15 2017-10-31 中广核工程有限公司 核电站反应堆保护系统及其中的安全控制方法
JP6721423B2 (ja) * 2016-06-14 2020-07-15 株式会社日立製作所 アプリロジックおよびその検証方法
US10579637B2 (en) * 2016-11-18 2020-03-03 Accenture Global Solutions Limited Sensor data generation and response handling stack
CN110168666B (zh) 2016-12-30 2023-11-10 纽斯高动力有限责任公司 控制棒阻尼系统
KR102642462B1 (ko) 2016-12-30 2024-03-04 뉴스케일 파워, 엘엘씨 핵 반응기 보호 시스템 및 방법
US10755825B2 (en) * 2018-10-31 2020-08-25 Ge-Hitachi Nuclear Energy Americas Llc Passive electrical component for safety system shutdown using Faraday's law
CN112016185A (zh) * 2020-07-06 2020-12-01 中国核电工程有限公司 一种核电厂事故应对系统投运方式设计方法
CN112562878A (zh) * 2020-11-25 2021-03-26 三门核电有限公司 核电厂反应堆保护和监测系统响应时间测量装置及方法
CN113658733B (zh) * 2021-09-07 2024-04-09 山东核电有限公司 一种核电汽轮机的控制系统装置及其控制方法

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4661310A (en) * 1983-10-27 1987-04-28 Westinghouse Electric Corp Pulsed multichannel protection system with saturable core magnetic logic units
US4804515A (en) * 1984-10-31 1989-02-14 Westinghouse Electric Corp. Distributed microprocessor based sensor signal processing system for a complex process
US4752869A (en) * 1985-05-09 1988-06-21 Westinghouse Electric Corp. Auxiliary reactor protection system
EP0221775B1 (en) * 1985-10-31 1991-10-09 Westinghouse Electric Corporation Testable voted logic power circuit and method of testing the same
JPH0731537B2 (ja) * 1987-09-11 1995-04-10 株式会社日立製作所 多重化制御装置

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2013080321A1 (ja) * 2011-11-30 2013-06-06 三菱重工業株式会社 再生エネルギー型発電装置およびその制御方法
JP5364842B1 (ja) * 2011-11-30 2013-12-11 三菱重工業株式会社 再生エネルギー型発電装置およびその制御方法

Also Published As

Publication number Publication date
DE69618160T2 (de) 2002-09-05
WO1997004463A1 (en) 1997-02-06
KR970706581A (ko) 1997-11-03
EP0781451B1 (en) 2001-12-19
JPH10506476A (ja) 1998-06-23
EP0781451A1 (en) 1997-07-02
DE69618160D1 (de) 2002-01-31

Similar Documents

Publication Publication Date Title
JP2007183285A (ja) パラメータの監視に応動して安全動作を開始するための自己試験系、自己試験原子炉保護系及び方法
US5621776A (en) Fault-tolerant reactor protection system
US5586156A (en) Reactor protection system with automatic self-testing and diagnostic
JP7203154B2 (ja) 原子炉保護システムとこれを動作させる方法
EP3563391B1 (en) Nuclear reactor protection systems and methods
EP0180085B1 (en) Distributed microprocessor based sensor signal processing system for a complex process
CA1180133A (en) Nuclear reactor power supply
JPH0682592A (ja) 炉心自動監視装置
KR100788826B1 (ko) 디지털 원자로 보호계통 및 디지털 원자로 보호계통의 시험 방법
CN107484430A (zh) 一种用于核电厂的安全系统及其操作方法
KR100875467B1 (ko) 독립적 이중화 구조 리던던시를 갖는 디지털 원자로보호계통 및 그 방법
Husseiny et al. Operating procedure automation to enhance safety of nuclear power plants
Park et al. Design of instrumentation and control system for research reactors
Shin et al. DIVERSITY AND DEFENSE-IN-DEPTH ANALYSIS FOR I&C SYSTEMS OF RESEARCH REACTORS: A CASE STUDY ON TWO RESEARCH REACTORS
Shirasawa et al. Digital I&C System in the US-APWR
Dusek Two significant events in the NPP Dukovany in 1995
Govindarajan et al. Computer based C and I systems in Indian PHWRs
JPH01203998A (ja) 残留熱除去系の監視装置
GOVINDARAJAN MP SHARMA

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20070619

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20070913

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20070919

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20071218

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20080729