JP2022160445A - 原子炉保護システム - Google Patents
原子炉保護システム Download PDFInfo
- Publication number
- JP2022160445A JP2022160445A JP2022112351A JP2022112351A JP2022160445A JP 2022160445 A JP2022160445 A JP 2022160445A JP 2022112351 A JP2022112351 A JP 2022112351A JP 2022112351 A JP2022112351 A JP 2022112351A JP 2022160445 A JP2022160445 A JP 2022160445A
- Authority
- JP
- Japan
- Prior art keywords
- trip
- safety
- reactor
- mps
- esfas
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000009471 action Effects 0.000 claims abstract description 33
- 230000004913 activation Effects 0.000 claims description 69
- 238000000034 method Methods 0.000 claims description 57
- 101100100125 Mus musculus Traip gene Proteins 0.000 description 285
- 230000006870 function Effects 0.000 description 217
- 238000004891 communication Methods 0.000 description 142
- 238000002955 isolation Methods 0.000 description 75
- 238000001994 activation Methods 0.000 description 67
- 238000010586 diagram Methods 0.000 description 50
- 238000013461 design Methods 0.000 description 44
- 238000012360 testing method Methods 0.000 description 40
- 230000008569 process Effects 0.000 description 36
- 238000012544 monitoring process Methods 0.000 description 34
- 230000001681 protective effect Effects 0.000 description 32
- 238000012423 maintenance Methods 0.000 description 30
- 231100000279 safety data Toxicity 0.000 description 27
- 238000004422 calculation algorithm Methods 0.000 description 24
- 230000000977 initiatory effect Effects 0.000 description 23
- 230000003750 conditioning effect Effects 0.000 description 22
- 230000005540 biological transmission Effects 0.000 description 20
- 239000002826 coolant Substances 0.000 description 17
- 238000005259 measurement Methods 0.000 description 15
- 230000000694 effects Effects 0.000 description 12
- 239000000835 fiber Substances 0.000 description 12
- 238000000926 separation method Methods 0.000 description 11
- 230000007123 defense Effects 0.000 description 10
- 230000004907 flux Effects 0.000 description 10
- 201000002859 sleep apnea Diseases 0.000 description 10
- 239000005029 tin-free steel Substances 0.000 description 10
- 230000001052 transient effect Effects 0.000 description 10
- XLYOFNOQVPJJNP-UHFFFAOYSA-N water Substances O XLYOFNOQVPJJNP-UHFFFAOYSA-N 0.000 description 10
- VKZRWSNIWNFCIQ-WDSKDSINSA-N (2s)-2-[2-[[(1s)-1,2-dicarboxyethyl]amino]ethylamino]butanedioic acid Chemical compound OC(=O)C[C@@H](C(O)=O)NCCN[C@H](C(O)=O)CC(O)=O VKZRWSNIWNFCIQ-WDSKDSINSA-N 0.000 description 9
- 238000001514 detection method Methods 0.000 description 9
- 230000004044 response Effects 0.000 description 9
- 230000003213 activating effect Effects 0.000 description 8
- 238000004458 analytical method Methods 0.000 description 8
- 238000001914 filtration Methods 0.000 description 7
- 230000000737 periodic effect Effects 0.000 description 7
- RYGMFSIKBFXOCR-UHFFFAOYSA-N Copper Chemical compound [Cu] RYGMFSIKBFXOCR-UHFFFAOYSA-N 0.000 description 6
- 230000002159 abnormal effect Effects 0.000 description 6
- 238000001816 cooling Methods 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 6
- 230000001105 regulatory effect Effects 0.000 description 6
- 229910052796 boron Inorganic materials 0.000 description 5
- 229910052802 copper Inorganic materials 0.000 description 5
- 239000010949 copper Substances 0.000 description 5
- 230000004048 modification Effects 0.000 description 5
- 238000012986 modification Methods 0.000 description 5
- 238000012545 processing Methods 0.000 description 5
- 235000019764 Soybean Meal Nutrition 0.000 description 4
- 230000008878 coupling Effects 0.000 description 4
- 238000010168 coupling process Methods 0.000 description 4
- 238000005859 coupling reaction Methods 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 4
- 230000000704 physical effect Effects 0.000 description 4
- ZOXJGFHDIHLPTG-UHFFFAOYSA-N Boron Chemical compound [B] ZOXJGFHDIHLPTG-UHFFFAOYSA-N 0.000 description 3
- 230000008901 benefit Effects 0.000 description 3
- 230000002349 favourable effect Effects 0.000 description 3
- 239000007788 liquid Substances 0.000 description 3
- 230000005855 radiation Effects 0.000 description 3
- 230000008439 repair process Effects 0.000 description 3
- 238000005070 sampling Methods 0.000 description 3
- 238000012546 transfer Methods 0.000 description 3
- 230000002411 adverse Effects 0.000 description 2
- 238000013459 approach Methods 0.000 description 2
- 230000006399 behavior Effects 0.000 description 2
- 238000009835 boiling Methods 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 238000012937 correction Methods 0.000 description 2
- 230000009849 deactivation Effects 0.000 description 2
- 230000018109 developmental process Effects 0.000 description 2
- 238000009826 distribution Methods 0.000 description 2
- 238000009710 electro sinter forging Methods 0.000 description 2
- 238000011156 evaluation Methods 0.000 description 2
- 239000000463 material Substances 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 238000005381 potential energy Methods 0.000 description 2
- 230000001902 propagating effect Effects 0.000 description 2
- 239000012857 radioactive material Substances 0.000 description 2
- 230000002441 reversible effect Effects 0.000 description 2
- 238000005204 segregation Methods 0.000 description 2
- 230000008054 signal transmission Effects 0.000 description 2
- 239000000126 substance Substances 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- TVZRAEYQIKYCPH-UHFFFAOYSA-N 3-(trimethylsilyl)propane-1-sulfonic acid Chemical compound C[Si](C)(C)CCCS(O)(=O)=O TVZRAEYQIKYCPH-UHFFFAOYSA-N 0.000 description 1
- 101150014847 APL2 gene Proteins 0.000 description 1
- 229910052692 Dysprosium Inorganic materials 0.000 description 1
- 229910052691 Erbium Inorganic materials 0.000 description 1
- 229910052693 Europium Inorganic materials 0.000 description 1
- 229910052688 Gadolinium Inorganic materials 0.000 description 1
- 101100175606 Oryza sativa subsp. japonica AGPL2 gene Proteins 0.000 description 1
- 101100533323 Saccharomyces cerevisiae (strain ATCC 204508 / S288c) SFM1 gene Proteins 0.000 description 1
- 101100545229 Saccharomyces cerevisiae (strain ATCC 204508 / S288c) ZDS2 gene Proteins 0.000 description 1
- 229910052772 Samarium Inorganic materials 0.000 description 1
- BQCADISMDOOEFD-UHFFFAOYSA-N Silver Chemical compound [Ag] BQCADISMDOOEFD-UHFFFAOYSA-N 0.000 description 1
- 101100167209 Ustilago maydis (strain 521 / FGSC 9021) CHS8 gene Proteins 0.000 description 1
- 239000000654 additive Substances 0.000 description 1
- 239000000956 alloy Substances 0.000 description 1
- 229910045601 alloy Inorganic materials 0.000 description 1
- 230000004075 alteration Effects 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 230000004888 barrier function Effects 0.000 description 1
- 230000002457 bidirectional effect Effects 0.000 description 1
- 230000033228 biological regulation Effects 0.000 description 1
- 229910052793 cadmium Inorganic materials 0.000 description 1
- BDOSMKKIYDKNTQ-UHFFFAOYSA-N cadmium atom Chemical compound [Cd] BDOSMKKIYDKNTQ-UHFFFAOYSA-N 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 238000005253 cladding Methods 0.000 description 1
- 229910017052 cobalt Inorganic materials 0.000 description 1
- 239000010941 cobalt Substances 0.000 description 1
- GUTLYIVDDKVIGB-UHFFFAOYSA-N cobalt atom Chemical compound [Co] GUTLYIVDDKVIGB-UHFFFAOYSA-N 0.000 description 1
- 230000000295 complement effect Effects 0.000 description 1
- 150000001875 compounds Chemical class 0.000 description 1
- 230000001276 controlling effect Effects 0.000 description 1
- 230000006735 deficit Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- KBQHZAAAGSGFKK-UHFFFAOYSA-N dysprosium atom Chemical compound [Dy] KBQHZAAAGSGFKK-UHFFFAOYSA-N 0.000 description 1
- 230000007613 environmental effect Effects 0.000 description 1
- UYAHIZSMUZPPFV-UHFFFAOYSA-N erbium Chemical compound [Er] UYAHIZSMUZPPFV-UHFFFAOYSA-N 0.000 description 1
- OGPBJKLSAFTDLK-UHFFFAOYSA-N europium atom Chemical compound [Eu] OGPBJKLSAFTDLK-UHFFFAOYSA-N 0.000 description 1
- 238000001704 evaporation Methods 0.000 description 1
- 230000004992 fission Effects 0.000 description 1
- 239000012530 fluid Substances 0.000 description 1
- 239000000446 fuel Substances 0.000 description 1
- 238000011990 functional testing Methods 0.000 description 1
- UIWYJDYFSGRHKR-UHFFFAOYSA-N gadolinium atom Chemical compound [Gd] UIWYJDYFSGRHKR-UHFFFAOYSA-N 0.000 description 1
- 230000005484 gravity Effects 0.000 description 1
- 229910052735 hafnium Inorganic materials 0.000 description 1
- VBJZVLUMGGDVMO-UHFFFAOYSA-N hafnium atom Chemical compound [Hf] VBJZVLUMGGDVMO-UHFFFAOYSA-N 0.000 description 1
- 239000007943 implant Substances 0.000 description 1
- 229910052738 indium Inorganic materials 0.000 description 1
- APFVFJFRJDLVQX-UHFFFAOYSA-N indium atom Chemical compound [In] APFVFJFRJDLVQX-UHFFFAOYSA-N 0.000 description 1
- 238000002347 injection Methods 0.000 description 1
- 239000007924 injection Substances 0.000 description 1
- 238000003780 insertion Methods 0.000 description 1
- 230000037431 insertion Effects 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000011835 investigation Methods 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 230000033001 locomotion Effects 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 230000014759 maintenance of location Effects 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 239000011159 matrix material Substances 0.000 description 1
- 230000000116 mitigating effect Effects 0.000 description 1
- 239000003758 nuclear fuel Substances 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 229920002401 polyacrylamide Polymers 0.000 description 1
- 238000010248 power generation Methods 0.000 description 1
- 230000009993 protective function Effects 0.000 description 1
- 230000009257 reactivity Effects 0.000 description 1
- 238000012552 review Methods 0.000 description 1
- KZUNJOHGWZRPMI-UHFFFAOYSA-N samarium atom Chemical compound [Sm] KZUNJOHGWZRPMI-UHFFFAOYSA-N 0.000 description 1
- 230000011664 signaling Effects 0.000 description 1
- 229910052709 silver Inorganic materials 0.000 description 1
- 239000004332 silver Substances 0.000 description 1
- 238000003860 storage Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000001629 suppression Effects 0.000 description 1
- 230000033772 system development Effects 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
- 238000013024 troubleshooting Methods 0.000 description 1
- 238000010977 unit operation Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G21—NUCLEAR PHYSICS; NUCLEAR ENGINEERING
- G21C—NUCLEAR REACTORS
- G21C7/00—Control of nuclear reaction
- G21C7/36—Control circuits
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B9/00—Safety arrangements
- G05B9/02—Safety arrangements electric
- G05B9/03—Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
-
- G—PHYSICS
- G21—NUCLEAR PHYSICS; NUCLEAR ENGINEERING
- G21C—NUCLEAR REACTORS
- G21C9/00—Emergency protection arrangements structurally associated with the reactor, e.g. safety valves provided with pressure equalisation devices
- G21C9/02—Means for effecting very rapid reduction of the reactivity factor under fault conditions, e.g. reactor fuse; Control elements having arrangements activated in an emergency
-
- G—PHYSICS
- G21—NUCLEAR PHYSICS; NUCLEAR ENGINEERING
- G21D—NUCLEAR POWER PLANT
- G21D3/00—Control of nuclear power plant
- G21D3/008—Man-machine interface, e.g. control room layout
-
- G—PHYSICS
- G21—NUCLEAR PHYSICS; NUCLEAR ENGINEERING
- G21D—NUCLEAR POWER PLANT
- G21D3/00—Control of nuclear power plant
- G21D3/04—Safety arrangements
-
- H—ELECTRICITY
- H02—GENERATION; CONVERSION OR DISTRIBUTION OF ELECTRIC POWER
- H02H—EMERGENCY PROTECTIVE CIRCUIT ARRANGEMENTS
- H02H3/00—Emergency protective circuit arrangements for automatic disconnection directly responsive to an undesired change from normal electric working condition with or without subsequent reconnection ; integrated protection
- H02H3/02—Details
- H02H3/05—Details with means for increasing reliability, e.g. redundancy arrangements
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/25—Pc structure of the system
- G05B2219/25428—Field device
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02E—REDUCTION OF GREENHOUSE GAS [GHG] EMISSIONS, RELATED TO ENERGY GENERATION, TRANSMISSION OR DISTRIBUTION
- Y02E30/00—Energy generation of nuclear origin
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02E—REDUCTION OF GREENHOUSE GAS [GHG] EMISSIONS, RELATED TO ENERGY GENERATION, TRANSMISSION OR DISTRIBUTION
- Y02E30/00—Energy generation of nuclear origin
- Y02E30/30—Nuclear fission reactors
Landscapes
- Physics & Mathematics (AREA)
- Engineering & Computer Science (AREA)
- High Energy & Nuclear Physics (AREA)
- Plasma & Fusion (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Automation & Control Theory (AREA)
- Business, Economics & Management (AREA)
- Emergency Management (AREA)
- Chemical Kinetics & Catalysis (AREA)
- Chemical & Material Sciences (AREA)
- Testing And Monitoring For Control Systems (AREA)
- Monitoring And Testing Of Nuclear Reactors (AREA)
- Safety Devices In Control Systems (AREA)
Abstract
【課題】システム内の安全機能を不能及び/又は無効にするおそれのあるソフトウェア又はソフトウェア発生論理エラーによって引き起こされる共通原因故障(CCF)を軽減すること。【解決手段】原子炉保護システムは、複数の機能的に独立したモジュールであって、モジュールが各々、原子炉安全システムから複数の入力を受け取り、複数の入力に少なくとも部分的に基づいて安全措置を論理的に判定するように構成され、機能的に独立したモジュールが各々、デジタルモジュール又は複合型デジタル及びアナログモジュールを備えている、複数の機能的に独立したモジュールと、機能的に独立したモジュールのうちの1つ又は複数に電気的に結合されたアナログモジュールと、複数の入力に少なくとも部分的に基づいた安全措置判定を受け取るように、複数の機能的に独立したモュールに通信可能に結合された1つ又は複数の原子炉安全アクチュエータと、を含む。【選択図】図1
Description
[0001]本出願は、米国特許法(35 U.S.C.)第119条に基づき、内容全体が
参照により本明細書に組み込まれている、2016年12月30日出願の米国特許仮出願
第62/440,989号の優先権を主張するものである。
参照により本明細書に組み込まれている、2016年12月30日出願の米国特許仮出願
第62/440,989号の優先権を主張するものである。
[0002]本開示は、原子炉保護システム及び原子炉保護システムの関連方法を記載する。
[0003]原子炉保護システム、及び概して原子炉計装及び制御(I&C)システムは、障
害状態の結果を軽減するために、自動開始信号、自動及び手動制御信号、並びに監視表示
を提供する。たとえば、I&Cシステムは、定常状態及び過渡電力動作中に安全でない原
子炉動作からの保護を提供する。通常動作中、I&Cシステムは、様々なパラメータを測
定し、制御システムへ信号を伝送する。異常動作及び事故状態中、I&Cシステムは、原
子炉保護システム、並びに場合により、原子炉保護システムの原子炉トリップシステム(
RTS)及び工学的安全施設作動システム(ESFAS)へ信号を伝送し、所定の設定点
に基づいて保護措置を開始する。
害状態の結果を軽減するために、自動開始信号、自動及び手動制御信号、並びに監視表示
を提供する。たとえば、I&Cシステムは、定常状態及び過渡電力動作中に安全でない原
子炉動作からの保護を提供する。通常動作中、I&Cシステムは、様々なパラメータを測
定し、制御システムへ信号を伝送する。異常動作及び事故状態中、I&Cシステムは、原
子炉保護システム、並びに場合により、原子炉保護システムの原子炉トリップシステム(
RTS)及び工学的安全施設作動システム(ESFAS)へ信号を伝送し、所定の設定点
に基づいて保護措置を開始する。
[0004]概略的な実施形態では、原子炉保護システムは、複数の機能的に独立したモジュ
ールであって、モジュールが各々、原子炉安全システムから複数の入力を受け取り、複数
の入力に少なくとも部分的に基づいて安全措置を論理的に判定するように構成され、機能
的に独立したモジュールが各々、デジタルモジュール又は複合型デジタル及びアナログモ
ジュールと、機能的に独立したモジュールのうちの1つ又は複数に電気的に結合されたア
ナログモジュールと、複数の入力に少なくとも部分的に基づいた安全措置判定を受け取る
ように、複数の機能的に独立したモジュールに通信可能に結合された1つ又は複数の原子
炉安全アクチュエータと、を含んでいる。
ールであって、モジュールが各々、原子炉安全システムから複数の入力を受け取り、複数
の入力に少なくとも部分的に基づいて安全措置を論理的に判定するように構成され、機能
的に独立したモジュールが各々、デジタルモジュール又は複合型デジタル及びアナログモ
ジュールと、機能的に独立したモジュールのうちの1つ又は複数に電気的に結合されたア
ナログモジュールと、複数の入力に少なくとも部分的に基づいた安全措置判定を受け取る
ように、複数の機能的に独立したモジュールに通信可能に結合された1つ又は複数の原子
炉安全アクチュエータと、を含んでいる。
[0005]概略的な実施形態と組合せ可能な第1の態様では、アナログモジュールへの入力
の起動が、機能的に独立したモジュールのうちの少なくとも1つの1つ又は複数の動作を
オーバーライドする。
の起動が、機能的に独立したモジュールのうちの少なくとも1つの1つ又は複数の動作を
オーバーライドする。
[0006]前述の態様のいずれかと組合せ可能な第2の態様では、アナログモジュールが、
アナログ回路構成要素のみを含んでいる。
アナログ回路構成要素のみを含んでいる。
[0007]前述の態様のいずれかと組合せ可能な第3の態様では、アナログモジュールへの
少なくとも1つの入力が、手動オーバーライド入力であり、アナログモジュールが、手動
オーバーライド入力の起動の際、機能的に独立したモジュールのうちの少なくとも1つの
デジタル動作をオーバーライドするように構成されている。
少なくとも1つの入力が、手動オーバーライド入力であり、アナログモジュールが、手動
オーバーライド入力の起動の際、機能的に独立したモジュールのうちの少なくとも1つの
デジタル動作をオーバーライドするように構成されている。
[0008]前述の態様のいずれかと組合せ可能な第4の態様では、アナログモジュールへの
少なくとも1つの入力が、手動バイパス入力であり、アナログモジュールが、手動バイパ
ス入力の起動の際、機能的に独立したモジュールのうちの少なくとも1つのデジタル動作
をバイパスするように構成されている。
少なくとも1つの入力が、手動バイパス入力であり、アナログモジュールが、手動バイパ
ス入力の起動の際、機能的に独立したモジュールのうちの少なくとも1つのデジタル動作
をバイパスするように構成されている。
[0009]前述の態様のいずれかと組合せ可能な第5の態様では、アナログモジュールへの
少なくとも1つの入力が、手動作動入力であり、アナログモジュールが、手動作動入力の
起動の際、機能的に独立したモジュールのうちの少なくとも1つのデジタル動作を作動さ
せるように構成されている。
少なくとも1つの入力が、手動作動入力であり、アナログモジュールが、手動作動入力の
起動の際、機能的に独立したモジュールのうちの少なくとも1つのデジタル動作を作動さ
せるように構成されている。
[0010]前述の態様のいずれかと組合せ可能な第6の態様では、アナログモジュールから
の1つ又は複数の出力が、原子炉保護システムのバックプレーンを通って複数の機能的に
独立したモジュールへ入力として供給されている。
の1つ又は複数の出力が、原子炉保護システムのバックプレーンを通って複数の機能的に
独立したモジュールへ入力として供給されている。
[0011]前述の態様のいずれかと組合せ可能な第7の態様では、アナログモジュールが、
第1のアナログモジュールであり、原子炉保護システムが、第2のアナログモジュールと
、工学的安全施設作動システム(ESFAS)であって、複数の機能的に独立したモジュ
ールの第1の部分集合が、複数のESFAS入力を受け取り、ESFAS入力に少なくと
も部分的に基づいてESFAS構成要素の作動を論理的に判定し、第1のアナログモジュ
ールが、複数の機能的に独立したモジュールの第1の部分集合のうちの機能的に独立した
モジュールに電気的に結合されている、工学的安全施設作動システム(ESFAS)と、
原子炉トリップシステム(RTS)であって、複数の機能的に独立したモジュールの第2
の部分集合が、複数のRTS入力を受け取り、RTS入力に少なくとも部分的に基づいて
RTS構成要素の作動を論理的に判定し、第2のアナログモジュールが、複数の機能的に
独立したモジュールの第2の部分集合のうちの機能的に独立したモジュールに電気的に結
合される、原子炉トリップシステム(RTS)と、を含んでいる。
第1のアナログモジュールであり、原子炉保護システムが、第2のアナログモジュールと
、工学的安全施設作動システム(ESFAS)であって、複数の機能的に独立したモジュ
ールの第1の部分集合が、複数のESFAS入力を受け取り、ESFAS入力に少なくと
も部分的に基づいてESFAS構成要素の作動を論理的に判定し、第1のアナログモジュ
ールが、複数の機能的に独立したモジュールの第1の部分集合のうちの機能的に独立した
モジュールに電気的に結合されている、工学的安全施設作動システム(ESFAS)と、
原子炉トリップシステム(RTS)であって、複数の機能的に独立したモジュールの第2
の部分集合が、複数のRTS入力を受け取り、RTS入力に少なくとも部分的に基づいて
RTS構成要素の作動を論理的に判定し、第2のアナログモジュールが、複数の機能的に
独立したモジュールの第2の部分集合のうちの機能的に独立したモジュールに電気的に結
合される、原子炉トリップシステム(RTS)と、を含んでいる。
[0012]前述の態様のいずれかと組合せ可能な第8の態様では、複数の機能的に独立した
モジュールが各々、複数の機能的に独立したモジュールのうちの他のいずれかへの単一故
障波及からの保護を提供している。
モジュールが各々、複数の機能的に独立したモジュールのうちの他のいずれかへの単一故
障波及からの保護を提供している。
[0013]前述の態様のいずれかと組合せ可能な第9の態様では、原子炉安全システムが、
工学的安全施設作動システム(ESFAS)を含んでおり、複数の機能的に独立したモジ
ュールが、複数のESFAS入力を受け取り、ESFAS入力に少なくとも部分的に基づ
いてESFAS構成要素の作動を論理的に判定する。
工学的安全施設作動システム(ESFAS)を含んでおり、複数の機能的に独立したモジ
ュールが、複数のESFAS入力を受け取り、ESFAS入力に少なくとも部分的に基づ
いてESFAS構成要素の作動を論理的に判定する。
[0014]前述の態様のいずれかと組合せ可能な第10の態様では、複数の機能的に独立し
たモジュールが、冗長ESFAS投票ディビジョンを提供している。
たモジュールが、冗長ESFAS投票ディビジョンを提供している。
[0015]前述の態様のいずれかと組合せ可能な第11の態様では、原子炉安全システムが
、原子炉トリップシステム(RTS)を含んでおり、複数の機能的に独立したモジュール
が、複数のRTS入力を受け取り、RTS入力に少なくとも部分的に基づいてRTS構成
要素の作動を論理的に判定する。
、原子炉トリップシステム(RTS)を含んでおり、複数の機能的に独立したモジュール
が、複数のRTS入力を受け取り、RTS入力に少なくとも部分的に基づいてRTS構成
要素の作動を論理的に判定する。
[0016]前述の態様のいずれかと組合せ可能な第12の態様では、複数の機能的に独立し
たモジュールが、冗長RTS投票ディビジョンを提供している。
たモジュールが、冗長RTS投票ディビジョンを提供している。
[0017]前述の態様のいずれかと組合せ可能な第13の態様では、アナログモジュールが
、不安全関連信号をアナログ電圧レベルに変換し、シャーシバックプレーンを通ってアナ
ログ電圧レベルを関連機能モジュールへ渡すことによって、安全関連システムから不安全
関連信号を電気的に隔離している。
、不安全関連信号をアナログ電圧レベルに変換し、シャーシバックプレーンを通ってアナ
ログ電圧レベルを関連機能モジュールへ渡すことによって、安全関連システムから不安全
関連信号を電気的に隔離している。
[0018]前述の態様のいずれかと組合せ可能な第14の態様では、機能的に独立したモジ
ュールのうちの少なくとも1つが、アナログモジュールからの少なくとも1つのハードワ
イヤードアナログ入力信号を含んだ機器インタフェースモジュール(EIM)を含んでい
る。
ュールのうちの少なくとも1つが、アナログモジュールからの少なくとも1つのハードワ
イヤードアナログ入力信号を含んだ機器インタフェースモジュール(EIM)を含んでい
る。
[0019]前述の態様のいずれかと組合せ可能な第15の態様では、EIMが、少なくとも
1つのデジタル入力信号に対して少なくとも1つのハードワイヤードアナログ入力信号を
優先する作動及び優先論理(APL)回路を含んでいる。
1つのデジタル入力信号に対して少なくとも1つのハードワイヤードアナログ入力信号を
優先する作動及び優先論理(APL)回路を含んでいる。
[0020]前述の態様のいずれかと組合せ可能な第16の態様では、少なくとも1つのデジ
タル信号が、安全関連信号であり、APL回路が、ハードワイヤードアナログ信号よりデ
ジタル信号を優先する。
タル信号が、安全関連信号であり、APL回路が、ハードワイヤードアナログ信号よりデ
ジタル信号を優先する。
[0021]前述の態様のいずれかと組合せ可能な第17の態様では、少なくとも1つのハー
ドワイヤードアナログ入力信号が、手動作動スイッチからの安全関連信号であり、APL
回路が、デジタル信号よりハードワイヤードアナログ入力信号を優先する。
ドワイヤードアナログ入力信号が、手動作動スイッチからの安全関連信号であり、APL
回路が、デジタル信号よりハードワイヤードアナログ入力信号を優先する。
[0022]前述の態様のいずれかと組合せ可能な第18の態様では、少なくとも1つのハー
ドワイヤードアナログ入力信号が、原子炉トリップ信号である。
ドワイヤードアナログ入力信号が、原子炉トリップ信号である。
[0023]前述の態様のいずれかと組合せ可能な第19の態様では、手動作動スイッチから
の少なくとも1つのハードワイヤードアナログ入力信号が、不安全関連制御信号であり、
APL回路が、ハードワイヤードアナログ入力信号よりデジタル信号を優先する。
の少なくとも1つのハードワイヤードアナログ入力信号が、不安全関連制御信号であり、
APL回路が、ハードワイヤードアナログ入力信号よりデジタル信号を優先する。
[0024]本開示による別の概略的な実施形態では、原子炉保護システムは、複数の機能的
に独立したモジュールを含み、モジュールは各々、原子炉安全システムから複数の入力を
受け取り、複数の入力に少なくとも部分的に基づいて安全措置を論理的に判定するように
構成され、複数の機能的に独立したモジュールは、2層投票方式で安全措置を論理的に判
定し、2層投票方式の第1の投票層は、非多数決方式を含み、2層投票方式の第2の投票
層は、多数決方式を含み、1つ又は複数の原子炉安全アクチュエータは、複数の入力に少
なくとも部分的に基づいた安全措置判定を受け取るように複数の機能的に独立したモジュ
ールに通信可能に結合される。
に独立したモジュールを含み、モジュールは各々、原子炉安全システムから複数の入力を
受け取り、複数の入力に少なくとも部分的に基づいて安全措置を論理的に判定するように
構成され、複数の機能的に独立したモジュールは、2層投票方式で安全措置を論理的に判
定し、2層投票方式の第1の投票層は、非多数決方式を含み、2層投票方式の第2の投票
層は、多数決方式を含み、1つ又は複数の原子炉安全アクチュエータは、複数の入力に少
なくとも部分的に基づいた安全措置判定を受け取るように複数の機能的に独立したモジュ
ールに通信可能に結合される。
[0025]概略的な実施形態と組合せ可能な第1の態様では、第1の投票層は、複数の冗長
信号チャネルからのトリップ信号を評価し、各トリップ信号は、原子炉パラメータに関連
付けられており、第2の層は、複数の冗長な第1の層チャネルからの投票結果を評価する
。
信号チャネルからのトリップ信号を評価し、各トリップ信号は、原子炉パラメータに関連
付けられており、第2の層は、複数の冗長な第1の層チャネルからの投票結果を評価する
。
[0026]前述の態様のいずれかと組合せ可能な第2の態様では、第1の投票層は、原子炉
トリップシステム(RTS)からのトリップ信号を評価する。
トリップシステム(RTS)からのトリップ信号を評価する。
[0027]前述の態様のいずれかと組合せ可能な第3の態様では、第1の投票層は、工学的
安全施設作動システム(ESFAS)からのトリップ信号を評価する。
安全施設作動システム(ESFAS)からのトリップ信号を評価する。
[0028]前述の態様のいずれかと組合せ可能な第4の態様では、第1の投票層は、ツーア
ウトオブフォー投票方式を含む。
ウトオブフォー投票方式を含む。
[0029]前述の態様のいずれかと組合せ可能な第5の態様では、第2の投票層は、ツーア
ウトオブスリー投票方式を含む。
ウトオブスリー投票方式を含む。
[0030]前述の態様のいずれかと組合せ可能な第6の態様では、原子炉安全システムは、
工学的安全施設作動システム(ESFAS)を含み、複数の機能的に独立したモジュール
は、複数のESFAS入力を受け取り、ESFAS入力に少なくとも部分的に基づいてE
SFAS構成要素の作動を論理的に判定する。
工学的安全施設作動システム(ESFAS)を含み、複数の機能的に独立したモジュール
は、複数のESFAS入力を受け取り、ESFAS入力に少なくとも部分的に基づいてE
SFAS構成要素の作動を論理的に判定する。
[0031]前述の態様のいずれかと組合せ可能な第7の態様では、複数の機能的に独立した
モジュールは、冗長ESFAS投票ディビジョンを提供する。
モジュールは、冗長ESFAS投票ディビジョンを提供する。
[0032]前述の態様のいずれかと組合せ可能な第8の態様では、原子炉安全システムは、
原子炉トリップシステム(RTS)を含み、複数の機能的に独立したモジュールは、複数
のRTS入力を受け取り、RTS入力に少なくとも部分的に基づいてRTS構成要素の作
動を論理的に判定する。
原子炉トリップシステム(RTS)を含み、複数の機能的に独立したモジュールは、複数
のRTS入力を受け取り、RTS入力に少なくとも部分的に基づいてRTS構成要素の作
動を論理的に判定する。
[0033]前述の態様のいずれかと組合せ可能な第9の態様では、複数の機能的に独立した
モジュールは、冗長RTS投票ディビジョンを提供する。
モジュールは、冗長RTS投票ディビジョンを提供する。
[0034]前述の態様のいずれかと組合せ可能な第10の態様では、原子炉安全システムは
、不安全関連高信頼DC電力システム(EDSS)電源から機能的に独立したモジュール
のうちの少なくとも1つへの隔離及び電力監視を提供するために、1Eクラス構成要素を
含む。
、不安全関連高信頼DC電力システム(EDSS)電源から機能的に独立したモジュール
のうちの少なくとも1つへの隔離及び電力監視を提供するために、1Eクラス構成要素を
含む。
[0035]本開示によるさらに別の概略的な実施形態では、原子炉トリップを判定する方法
が、工学的安全施設作動システム(ESFAS)又は原子炉トリップシステム(RTS)
のうちの1つから、原子炉保護システムの複数の機能的に独立したモジュールで複数の入
力を受け取ることと、複数の機能的に独立したモジュールを用いて、2層投票システムに
よって、ESFAS安全措置又は原子炉トリップ状態のうちの1つを論理的に判定するこ
とと、2層投票システムの第1の層によって、第1の層への複数の入力のうちの少なくと
も2分の1が、ESFAS安全措置又は原子炉トリップ状態を示すと判定することと、2
層投票システムの第2の層によって、第2の層への複数の入力のうちの少なくとも大部分
が、ESFAS安全措置又は原子炉トリップ状態を示すと判定することと、論理判定に基
づいて、複数の機能的に独立したモジュールに通信可能に結合されたESFAS構成要素
アクチュエータ又は原子炉トリップ遮断器のうちの1つを起動することとを含む。
が、工学的安全施設作動システム(ESFAS)又は原子炉トリップシステム(RTS)
のうちの1つから、原子炉保護システムの複数の機能的に独立したモジュールで複数の入
力を受け取ることと、複数の機能的に独立したモジュールを用いて、2層投票システムに
よって、ESFAS安全措置又は原子炉トリップ状態のうちの1つを論理的に判定するこ
とと、2層投票システムの第1の層によって、第1の層への複数の入力のうちの少なくと
も2分の1が、ESFAS安全措置又は原子炉トリップ状態を示すと判定することと、2
層投票システムの第2の層によって、第2の層への複数の入力のうちの少なくとも大部分
が、ESFAS安全措置又は原子炉トリップ状態を示すと判定することと、論理判定に基
づいて、複数の機能的に独立したモジュールに通信可能に結合されたESFAS構成要素
アクチュエータ又は原子炉トリップ遮断器のうちの1つを起動することとを含む。
[0036]概略的な実施形態と組合せ可能な第1の態様では、第1の投票層は、複数の冗長
信号チャネルからのトリップ信号を評価し、各トリップ信号は、原子炉パラメータに関連
付けられており、第2の層は、複数の冗長な第1の層チャネルからの投票結果を評価する
。
信号チャネルからのトリップ信号を評価し、各トリップ信号は、原子炉パラメータに関連
付けられており、第2の層は、複数の冗長な第1の層チャネルからの投票結果を評価する
。
[0037]前述の態様のいずれかと組合せ可能な第2の態様では、第1の投票層は、ツーア
ウトオブフォー投票方式を含む。
ウトオブフォー投票方式を含む。
[0038]前述の態様のいずれかと組合せ可能な第3の態様では、第2の投票層は、ツーア
ウトオブスリー投票方式を含む。
ウトオブスリー投票方式を含む。
[0039]前述の態様のいずれかと組合せ可能な第4の態様では、この方法は、複数の機能
的に独立したモジュールのうちの1つによって、複数の機能的に独立したモジュールの他
のいずれかへの単一故障波及を制限することをさらに含む。
的に独立したモジュールのうちの1つによって、複数の機能的に独立したモジュールの他
のいずれかへの単一故障波及を制限することをさらに含む。
[0040]前述の態様のいずれかと組合せ可能な第5の態様では、単一故障は、単一のハー
ドウェア故障、単一のソフトウェア故障、又は単一のソフトウェア発生論理故障のうちの
少なくとも1つを含む。
ドウェア故障、単一のソフトウェア故障、又は単一のソフトウェア発生論理故障のうちの
少なくとも1つを含む。
[0041]前述の態様のいずれかと組合せ可能な第6の態様では、複数の機能的に独立した
モジュールを用いて、入力に少なくとも部分的に基づいて、ESFAS安全措置又は原子
炉トリップ判定のうちの1つを論理的に判定することは、複数の機能的に独立したモジュ
ールを用いて、3重冗長信号経路を介して、ESFAS安全措置又は原子炉トリップ判定
を論理的に判定することを含む。
モジュールを用いて、入力に少なくとも部分的に基づいて、ESFAS安全措置又は原子
炉トリップ判定のうちの1つを論理的に判定することは、複数の機能的に独立したモジュ
ールを用いて、3重冗長信号経路を介して、ESFAS安全措置又は原子炉トリップ判定
を論理的に判定することを含む。
[0042]前述の態様のいずれかと組合せ可能な第7の態様では、複数の機能的に独立した
モジュールを用いて、入力に少なくとも部分的に基づいて、ESFAS安全措置又は原子
炉トリップ判定のうちの1つを論理的に判定することは、複数の機能的に独立したモジュ
ールを用いて、原子炉トリップ構成要素ごとの独立したトリップ投票モジュールを介して
、ESFAS安全措置又は原子炉トリップ判定を論理的に判定することを含む。
モジュールを用いて、入力に少なくとも部分的に基づいて、ESFAS安全措置又は原子
炉トリップ判定のうちの1つを論理的に判定することは、複数の機能的に独立したモジュ
ールを用いて、原子炉トリップ構成要素ごとの独立したトリップ投票モジュールを介して
、ESFAS安全措置又は原子炉トリップ判定を論理的に判定することを含む。
[0043]前述の態様のいずれかと組合せ可能な第8の態様では、複数の機能的に独立した
モジュールは、複数の安全機能モジュール、複数の通信モジュール、及び複数の機器イン
タフェースモジュールを含む。
モジュールは、複数の安全機能モジュール、複数の通信モジュール、及び複数の機器イン
タフェースモジュールを含む。
[0044]本開示の別の概略的な実施形態では、原子炉保護システム表示システムは、デジ
タル表示パネルと、デジタル表示パネルに結合された表示インタフェースモジュールとを
含み、表示インタフェースモジュールは、原子炉モジュール保護システム(MPS)から
入力データを受け取り、入力データのグラフを生成し、デジタル表示パネルの個々の画素
を駆動してグラフを表示するように構成される。表示システムは、デジタル表示パネル及
び表示インタフェースモジュールの両方に結合された第1の電源と、デジタル表示パネル
及び表示インタフェースモジュールの両方に結合された第2の電源とをさらに含み、第2
の電源は、第1の電源から独立している。
タル表示パネルと、デジタル表示パネルに結合された表示インタフェースモジュールとを
含み、表示インタフェースモジュールは、原子炉モジュール保護システム(MPS)から
入力データを受け取り、入力データのグラフを生成し、デジタル表示パネルの個々の画素
を駆動してグラフを表示するように構成される。表示システムは、デジタル表示パネル及
び表示インタフェースモジュールの両方に結合された第1の電源と、デジタル表示パネル
及び表示インタフェースモジュールの両方に結合された第2の電源とをさらに含み、第2
の電源は、第1の電源から独立している。
[0045]概略的な実施形態と組合せ可能な第1の態様では、表示システムは、第2のデジ
タル表示パネルと、第2のデジタル表示パネルに結合された第2の表示インタフェースモ
ジュールとを含み、第2の表示インタフェースモジュールは、同じ原子炉MPSから入力
データを受け取り、入力データのグラフを生成し、第2のデジタル表示パネルの個々の画
素を駆動してグラフを表示するように構成される。
タル表示パネルと、第2のデジタル表示パネルに結合された第2の表示インタフェースモ
ジュールとを含み、第2の表示インタフェースモジュールは、同じ原子炉MPSから入力
データを受け取り、入力データのグラフを生成し、第2のデジタル表示パネルの個々の画
素を駆動してグラフを表示するように構成される。
[0046]前述の態様のいずれかと組合せ可能な第2の態様では、表示インタフェースモジ
ュールは、フィールドプログラマブル論理アレイ(FPGA)を含む。
ュールは、フィールドプログラマブル論理アレイ(FPGA)を含む。
[0047]前述の態様のいずれかと組合せ可能な第3の態様では、表示インタフェースモジ
ュールは、第1のフィールドプログラマブル論理アレイ(FPGA)を含み、第2の表示
インタフェースモジュールは、第2のFPGAを含み、第2のFPGAは、設計多様性を
提供するために、第1のFPGAとは異なるタイプのFPGAである。
ュールは、第1のフィールドプログラマブル論理アレイ(FPGA)を含み、第2の表示
インタフェースモジュールは、第2のFPGAを含み、第2のFPGAは、設計多様性を
提供するために、第1のFPGAとは異なるタイプのFPGAである。
[0048]前述の態様のいずれかと組合せ可能な第4の態様では、表示インタフェースモジ
ュール及び第2の表示インタフェースモジュールは、機能的に独立している。
ュール及び第2の表示インタフェースモジュールは、機能的に独立している。
[0049]本開示の別の概略的な実施形態では、原子炉保護システム表示システムは、第1
の対の表示配置を含み、第1の対の表示配置のうちの各表示配置は、デジタル表示パネル
と、デジタル表示パネルに結合された表示インタフェースモジュールとを含む。表示イン
タフェースモジュールは、原子炉モジュールに付随する原子炉モジュール保護システム(
MPS)から第1の入力データを受け取り、第1の入力データのグラフを生成し、デジタ
ル表示パネルの個々の画素を駆動してグラフを表示するように構成される。原子炉保護シ
ステム表示システムは、第2の対の表示配置を含み、第2の対の表示配置のうちの各表示
配置は、デジタル表示パネルと、デジタル表示パネルに結合された表示インタフェースモ
ジュールとを含む。表示インタフェースモジュールは、原子炉モジュールに付随する原子
炉モジュール保護システムMPSから第2の入力データを受け取り、第1の入力データの
グラフを生成し、デジタル表示パネルの個々の画素を駆動してグラフを表示するように構
成される。
の対の表示配置を含み、第1の対の表示配置のうちの各表示配置は、デジタル表示パネル
と、デジタル表示パネルに結合された表示インタフェースモジュールとを含む。表示イン
タフェースモジュールは、原子炉モジュールに付随する原子炉モジュール保護システム(
MPS)から第1の入力データを受け取り、第1の入力データのグラフを生成し、デジタ
ル表示パネルの個々の画素を駆動してグラフを表示するように構成される。原子炉保護シ
ステム表示システムは、第2の対の表示配置を含み、第2の対の表示配置のうちの各表示
配置は、デジタル表示パネルと、デジタル表示パネルに結合された表示インタフェースモ
ジュールとを含む。表示インタフェースモジュールは、原子炉モジュールに付随する原子
炉モジュール保護システムMPSから第2の入力データを受け取り、第1の入力データの
グラフを生成し、デジタル表示パネルの個々の画素を駆動してグラフを表示するように構
成される。
[0050]概略的な実施形態と組合せ可能な第1の態様では、第1の対の表示配置のうちの
表示配置は各々、設計多様性を提供するために、異なるタイプのフィールドプログラマブ
ルゲートアレイ(FPGA)である。
表示配置は各々、設計多様性を提供するために、異なるタイプのフィールドプログラマブ
ルゲートアレイ(FPGA)である。
[0051]前述の態様のいずれかと組合せ可能な第2の態様では、第1の対の表示配置の表
示インタフェースモジュールは、互いから機能的に独立している。
示インタフェースモジュールは、互いから機能的に独立している。
[0052]前述の態様のいずれかと組合せ可能な第3の態様では、第1の対の表示配置のう
ちの各表示配置内の表示インタフェースモジュールは、第1の対内に設計多様性を提供す
るために、異なるタイプのフィールドプログラマブルゲートアレイ(FPGA)を含み、
第2の対の表示配置のうちの各表示配置内の表示インタフェースモジュールは、第2の対
内に設計多様性を提供するために、異なるタイプのFPGAを含む。
ちの各表示配置内の表示インタフェースモジュールは、第1の対内に設計多様性を提供す
るために、異なるタイプのフィールドプログラマブルゲートアレイ(FPGA)を含み、
第2の対の表示配置のうちの各表示配置内の表示インタフェースモジュールは、第2の対
内に設計多様性を提供するために、異なるタイプのFPGAを含む。
[0053]前述の態様のいずれかと組合せ可能な第4の態様では、第1の対の表示配置の表
示インタフェースモジュールは、互いから機能的に独立しており、第2の対の表示配置の
表示インタフェースモジュールは、互いから機能的に独立している。
示インタフェースモジュールは、互いから機能的に独立しており、第2の対の表示配置の
表示インタフェースモジュールは、互いから機能的に独立している。
[0054]前述の態様のいずれかと組合せ可能な第5の態様では、第1の対の表示配置のう
ちの各表示配置の表示インタフェースモジュールは、第1の入力データを受け取るように
第1の原子炉モジュールのモジュール保護システム(MPS)ゲートウェイに結合され、
第2の対の表示配置のうちの各表示配置の表示インタフェースモジュールは、第2の入力
データを受け取るように第2の原子炉モジュールのMPSゲートウェイに結合される。
ちの各表示配置の表示インタフェースモジュールは、第1の入力データを受け取るように
第1の原子炉モジュールのモジュール保護システム(MPS)ゲートウェイに結合され、
第2の対の表示配置のうちの各表示配置の表示インタフェースモジュールは、第2の入力
データを受け取るように第2の原子炉モジュールのMPSゲートウェイに結合される。
[0055]別の概略的な実施形態では、原子炉保護システムデータを提示する方法が、デジ
タル表示パネル及びデジタル表示パネルに結合された表示インタフェースモジュールを含
む表示配置において、原子炉電力モジュールに関連付けられたデータを原子炉モジュール
保護システム(MPS)から受け取ることと、原子炉電力モジュールに関連付けられたデ
ータのグラフを生成することと、デジタル表示パネルの個々の画素を駆動して、原子炉電
力モジュールに関連付けられたデータのグラフを表示することとを含む。
タル表示パネル及びデジタル表示パネルに結合された表示インタフェースモジュールを含
む表示配置において、原子炉電力モジュールに関連付けられたデータを原子炉モジュール
保護システム(MPS)から受け取ることと、原子炉電力モジュールに関連付けられたデ
ータのグラフを生成することと、デジタル表示パネルの個々の画素を駆動して、原子炉電
力モジュールに関連付けられたデータのグラフを表示することとを含む。
[0056]概略的な実施形態と組合せ可能な第1の態様は、第1の電源を通ってデジタル表
示パネル及び表示インタフェースモジュールへ電力を提供することをさらに含む。
示パネル及び表示インタフェースモジュールへ電力を提供することをさらに含む。
[0057]前述の態様のいずれか1つと組合せ可能な第2の態様は、第1の電源から独立し
ている第2の電源を通ってデジタル表示パネル及び表示インタフェースモジュールへ電力
を提供することをさらに含む。
ている第2の電源を通ってデジタル表示パネル及び表示インタフェースモジュールへ電力
を提供することをさらに含む。
[0058]前述の態様のいずれか1つと組合せ可能な第3の態様では、第2の電源は、第1
の電源とは電気的に独立している。
の電源とは電気的に独立している。
[0059]前述の態様のいずれか1つと組合せ可能な第4の態様では、表示インタフェース
モジュールは、フィールドプログラマブル論理アレイ(FPGA)を含む。
モジュールは、フィールドプログラマブル論理アレイ(FPGA)を含む。
[0060]前述の態様のいずれか1つと組合せ可能な第5の態様では、表示配置は、第1の
表示配置であり、表示インタフェースモジュールは、第1の表示インタフェースモジュー
ルであり、デジタル表示パネルは、第1のデジタル表示モジュールである。
表示配置であり、表示インタフェースモジュールは、第1の表示インタフェースモジュー
ルであり、デジタル表示パネルは、第1のデジタル表示モジュールである。
[0061]前述の態様のいずれか1つと組合せ可能な第6の態様は、第2のデジタル表示パ
ネル及び第2のデジタル表示パネルに結合された第2の表示インタフェースモジュールを
含む第2の表示配置において、原子炉電力モジュールに関連付けられたデータを原子炉モ
ジュール保護システム(MPS)から受け取ることと、原子炉電力モジュールに関連付け
られたデータの第2のグラフを生成することと、第2のデジタル表示パネルの個々の画素
を駆動して、原子炉電力モジュールに関連付けられたデータの第2のグラフを表示するこ
ととをさらに含む。
ネル及び第2のデジタル表示パネルに結合された第2の表示インタフェースモジュールを
含む第2の表示配置において、原子炉電力モジュールに関連付けられたデータを原子炉モ
ジュール保護システム(MPS)から受け取ることと、原子炉電力モジュールに関連付け
られたデータの第2のグラフを生成することと、第2のデジタル表示パネルの個々の画素
を駆動して、原子炉電力モジュールに関連付けられたデータの第2のグラフを表示するこ
ととをさらに含む。
[0062]前述の態様のいずれか1つと組合せ可能な第7の態様では、第1及び第2の表示
配置は、機能的に独立している。
配置は、機能的に独立している。
[0063]前述の態様のいずれか1つと組合せ可能な第8の態様では、第1の表示インタフ
ェースモジュールは、第1のFPGA型の第1のFPGAを含み、第2の表示インタフェ
ースモジュールは、第2のFPGA型の第2のFPGAを含む。
ェースモジュールは、第1のFPGA型の第1のFPGAを含み、第2の表示インタフェ
ースモジュールは、第2のFPGA型の第2のFPGAを含む。
[0064]前述の態様のいずれか1つと組合せ可能な第9の態様では、第1のFPGA型及
び第2のFPGA型は、異なっている。
び第2のFPGA型は、異なっている。
[0065]本開示による原子炉保護システムの様々な実施形態は、以下の特徴のうちの1つ
、いくつか、又はすべてを含むことができる。たとえば、原子炉保護システムは、システ
ム内の安全機能を不能及び/又は無効にするおそれのあるソフトウェア又はソフトウェア
発生論理エラーによって引き起こされる共通原因故障(CCF)を軽減することができる
。別の例として、原子炉保護システムは、非依存性、冗長性、決定性、多層多様性、テス
ト容易性、及び診断を含むキー属性を組み込むことができる。原子炉保護システムは、原
子炉が安全な条件で維持されることを確実にすることができる。別の例として、原子炉保
護システムは、特定の機能に専用の個々の論理エンジン内で実施される機能性を有する対
称アーキテクチャを介して、増大された簡潔性を有することができる。さらに別の例とし
て、原子炉保護システムは、簡潔な決定論的プロトコルに基づいて、冗長な経路を介して
通信されるアーキテクチャとの通信を容易にすることができる。別の例として、原子炉保
護システムは、ハードワイヤードアナログ信号方式を用いて、デジタル保護システムをオ
ーバーライドし、手動制御式の保護措置を許可することができる。
、いくつか、又はすべてを含むことができる。たとえば、原子炉保護システムは、システ
ム内の安全機能を不能及び/又は無効にするおそれのあるソフトウェア又はソフトウェア
発生論理エラーによって引き起こされる共通原因故障(CCF)を軽減することができる
。別の例として、原子炉保護システムは、非依存性、冗長性、決定性、多層多様性、テス
ト容易性、及び診断を含むキー属性を組み込むことができる。原子炉保護システムは、原
子炉が安全な条件で維持されることを確実にすることができる。別の例として、原子炉保
護システムは、特定の機能に専用の個々の論理エンジン内で実施される機能性を有する対
称アーキテクチャを介して、増大された簡潔性を有することができる。さらに別の例とし
て、原子炉保護システムは、簡潔な決定論的プロトコルに基づいて、冗長な経路を介して
通信されるアーキテクチャとの通信を容易にすることができる。別の例として、原子炉保
護システムは、ハードワイヤードアナログ信号方式を用いて、デジタル保護システムをオ
ーバーライドし、手動制御式の保護措置を許可することができる。
[0066]本明細書に記載する主題の1つ又は複数の実施形態の詳細について、添付の図面
及び以下の説明に述べる。主題の他の特徴、態様、及び利点は、説明、図面、及び特許請
求の範囲から明らかになる。
及び以下の説明に述べる。主題の他の特徴、態様、及び利点は、説明、図面、及び特許請
求の範囲から明らかになる。
[0098]図1は、システム100の例示的な実施形態を示し、システム100は、複数の
原子力システム150と、原子炉計装及び制御(I&C)システム135とを含む。概し
て、I&Cシステム135は、システム100内の障害状態の結果を防止又は軽減するた
めに、自動開始信号、自動及び手動制御信号、並びに監視及び標示表示を提供する。I&
Cシステム135は、定常状態及び過渡電力動作中に原子力システム150の正常な原子
炉制御及び安全でない原子炉動作からの保護を提供する。通常動作中、計装装備は、様々
なプロセスパラメータを測定し、I&Cシステム135の制御システムへ信号を伝送する
。異常動作及び事故状態中、計装装備は、I&Cシステム135の部分(たとえば、モジ
ュール保護システム(MPS)145の一部である原子炉トリップシステム(RTS)1
47及び工学的安全施設作動システム(ESFAS)148(たとえば、事故の影響を軽
減するため))へ信号を伝送し、所定の設定点に基づいて保護措置を開始する。
原子力システム150と、原子炉計装及び制御(I&C)システム135とを含む。概し
て、I&Cシステム135は、システム100内の障害状態の結果を防止又は軽減するた
めに、自動開始信号、自動及び手動制御信号、並びに監視及び標示表示を提供する。I&
Cシステム135は、定常状態及び過渡電力動作中に原子力システム150の正常な原子
炉制御及び安全でない原子炉動作からの保護を提供する。通常動作中、計装装備は、様々
なプロセスパラメータを測定し、I&Cシステム135の制御システムへ信号を伝送する
。異常動作及び事故状態中、計装装備は、I&Cシステム135の部分(たとえば、モジ
ュール保護システム(MPS)145の一部である原子炉トリップシステム(RTS)1
47及び工学的安全施設作動システム(ESFAS)148(たとえば、事故の影響を軽
減するため))へ信号を伝送し、所定の設定点に基づいて保護措置を開始する。
[0099]図1で、システム100は、I&Cシステム135に電気的に結合された複数の
原子力システム150を含む。この例では、3つの原子力システム150のみが示されて
いるが、より少ない又はより多いシステム150をシステム100に含み又は結合するこ
とができる(たとえば、6、9、12、又はその他)。1つの好ましい実施形態では、1
2個の原子力システム150をシステム100内に含むことができ、これらの原子力シス
テム150のうちの1つ又は複数は、以下でさらに説明するように、モジュール式の軽水
炉を含む。
原子力システム150を含む。この例では、3つの原子力システム150のみが示されて
いるが、より少ない又はより多いシステム150をシステム100に含み又は結合するこ
とができる(たとえば、6、9、12、又はその他)。1つの好ましい実施形態では、1
2個の原子力システム150をシステム100内に含むことができ、これらの原子力シス
テム150のうちの1つ又は複数は、以下でさらに説明するように、モジュール式の軽水
炉を含む。
[0100]各原子力システム150に対して、明示しないが、炉心が熱を提供することがで
き、この熱を利用して、1次冷却材ループ(たとえば、沸騰水型原子炉の場合)又は2次
冷却材ループ(たとえば、加圧水型原子炉の場合)内で、水を沸騰させる。蒸気などの蒸
発した冷却材は、1つ又は複数のタービンを駆動するために使用することができ、1つ又
は複数のタービンは、熱ポテンシャルエネルギーを電気エネルギーに変換する。凝縮した
後、冷却材は再び戻って、より多くの熱エネルギーを炉心から除去する。原子力システム
150は、システム内の故障に伴う危険を最小にするために、監視及び保護機能を必要と
する任意のシステムの一例である。
き、この熱を利用して、1次冷却材ループ(たとえば、沸騰水型原子炉の場合)又は2次
冷却材ループ(たとえば、加圧水型原子炉の場合)内で、水を沸騰させる。蒸気などの蒸
発した冷却材は、1つ又は複数のタービンを駆動するために使用することができ、1つ又
は複数のタービンは、熱ポテンシャルエネルギーを電気エネルギーに変換する。凝縮した
後、冷却材は再び戻って、より多くの熱エネルギーを炉心から除去する。原子力システム
150は、システム内の故障に伴う危険を最小にするために、監視及び保護機能を必要と
する任意のシステムの一例である。
[0101]各原子炉システム150の特有の例示的な実施形態では、円筒形又はカプセル形
の原子炉容器の底部分に、炉心が位置決めされる。炉心は、制御された反応をもたらす量
の核分裂性の物質を含み、この反応は、おそらく数年又はそれ以上の期間にわたって生じ
ることができる。図1には明示しないが、炉心内の核分裂速度を制御するために、制御棒
を用いることができる。制御棒は、銀、インジウム、カドミウム、ホウ素、コバルト、ハ
フニウム、ジスプロシウム、ガドリニウム、サマリウム、エルビウム、及びユーロピウム
、又はこれらの合金及び化合物を含むことができる。しかしこれらは、多くの可能な制御
棒物質のうちのいくつかにすぎない。受動動作システムによって設計された原子炉内では
、通常動作中又は緊急状態でも、操作者による介入又は監督なく、少なくともある程度の
事前定義された期間にわたって、原子炉の安全な動作が維持されることを確実にするため
に、物理学の法則が用いられる。
の原子炉容器の底部分に、炉心が位置決めされる。炉心は、制御された反応をもたらす量
の核分裂性の物質を含み、この反応は、おそらく数年又はそれ以上の期間にわたって生じ
ることができる。図1には明示しないが、炉心内の核分裂速度を制御するために、制御棒
を用いることができる。制御棒は、銀、インジウム、カドミウム、ホウ素、コバルト、ハ
フニウム、ジスプロシウム、ガドリニウム、サマリウム、エルビウム、及びユーロピウム
、又はこれらの合金及び化合物を含むことができる。しかしこれらは、多くの可能な制御
棒物質のうちのいくつかにすぎない。受動動作システムによって設計された原子炉内では
、通常動作中又は緊急状態でも、操作者による介入又は監督なく、少なくともある程度の
事前定義された期間にわたって、原子炉の安全な動作が維持されることを確実にするため
に、物理学の法則が用いられる。
[0102]実施形態では、円筒形又はカプセル形の格納容器は、原子炉容器を取り囲んでお
り、原子炉プール内で部分的又は完全に、たとえば原子炉ベイ内で水位線より下に浸漬さ
れる。原子炉容器と格納容器との間の体積は、原子炉容器から原子炉プールへの熱伝達を
低減させるために、部分的又は完全に排気することができる。しかし、他の実施形態では
、原子炉容器と格納容器との間の体積は、原子炉と格納容器との間の熱伝達を増大させる
気体及び/又は液体で少なくとも部分的に充填することができる。格納容器は、原子炉ベ
イの底面で周辺に位置することができる。
り、原子炉プール内で部分的又は完全に、たとえば原子炉ベイ内で水位線より下に浸漬さ
れる。原子炉容器と格納容器との間の体積は、原子炉容器から原子炉プールへの熱伝達を
低減させるために、部分的又は完全に排気することができる。しかし、他の実施形態では
、原子炉容器と格納容器との間の体積は、原子炉と格納容器との間の熱伝達を増大させる
気体及び/又は液体で少なくとも部分的に充填することができる。格納容器は、原子炉ベ
イの底面で周辺に位置することができる。
[0103]特定の実施形態では、炉心は、ホウ素又は他の添加物を含むことができる水など
の液体内に浸漬され、この液体は、炉心の表面と接触した後にチャネルまで上昇する。冷
却材は、熱交換器の頂部の上を進み、原子炉容器の内壁に沿って対流によって下方へ引き
込まれ、したがって冷却材が熱交換器に熱を与えることが可能になる。原子炉容器の底部
分に到達した後、炉心との接触により冷却材が加熱され、冷却材は再びチャネルを通って
上昇する。
の液体内に浸漬され、この液体は、炉心の表面と接触した後にチャネルまで上昇する。冷
却材は、熱交換器の頂部の上を進み、原子炉容器の内壁に沿って対流によって下方へ引き
込まれ、したがって冷却材が熱交換器に熱を与えることが可能になる。原子炉容器の底部
分に到達した後、炉心との接触により冷却材が加熱され、冷却材は再びチャネルを通って
上昇する。
[0104]原子炉容器内の熱交換器は、チャネルの少なくとも一部分に巻き付けられた任意
の数の螺旋コイルとすることができる。別の実施形態では、異なる数の螺旋コイルを逆方
向にチャネルに巻き付けることができ、たとえば、第1の螺旋コイルが反時計回り方向に
螺旋状に巻き付き、第2の螺旋コイルが時計回り方向に螺旋状に巻き付く。しかし、異な
る構成及び/又は異なる向きの熱交換器の使用が妨げられることはなく、これに関して実
施形態は限定されない。
の数の螺旋コイルとすることができる。別の実施形態では、異なる数の螺旋コイルを逆方
向にチャネルに巻き付けることができ、たとえば、第1の螺旋コイルが反時計回り方向に
螺旋状に巻き付き、第2の螺旋コイルが時計回り方向に螺旋状に巻き付く。しかし、異な
る構成及び/又は異なる向きの熱交換器の使用が妨げられることはなく、これに関して実
施形態は限定されない。
[0105]図1で、原子炉モジュールの通常動作は、加熱された冷却材がチャネルを通って
上昇し、熱交換器に接触するように進む。熱交換器に接触した後、冷却材は、熱サイフォ
ンプロセスを誘起するように、原子炉容器の底部の方へ沈む。図1の例では、原子炉容器
内の冷却材は、気圧を上回る圧力のままであり、したがって冷却材が蒸発(たとえば、沸
騰)することなく高い温度を維持することが可能になる。
上昇し、熱交換器に接触するように進む。熱交換器に接触した後、冷却材は、熱サイフォ
ンプロセスを誘起するように、原子炉容器の底部の方へ沈む。図1の例では、原子炉容器
内の冷却材は、気圧を上回る圧力のままであり、したがって冷却材が蒸発(たとえば、沸
騰)することなく高い温度を維持することが可能になる。
[0106]熱交換器内の冷却材の温度が増大するにつれて、冷却材は沸騰し始めることがで
きる。熱交換器内の冷却材が沸騰し始めると、蒸気などの蒸発した冷却材を使用して、1
つ又は複数のタービンを駆動することができ、1つ又は複数のタービンは、蒸気の熱ポテ
ンシャルエネルギーを電気エネルギーに変換する。凝縮した後、冷却材は、熱交換器の底
面付近の場所へ戻る。
きる。熱交換器内の冷却材が沸騰し始めると、蒸気などの蒸発した冷却材を使用して、1
つ又は複数のタービンを駆動することができ、1つ又は複数のタービンは、蒸気の熱ポテ
ンシャルエネルギーを電気エネルギーに変換する。凝縮した後、冷却材は、熱交換器の底
面付近の場所へ戻る。
[0107]図1の原子力システム150の通常動作中、原子力システム150の様々な場所
内の位置決めされているセンサ、たとえばI&Cシステム135のセンサによって、原子
力システムの様々な性能パラメータを監視することができる。原子力システム内のセンサ
は、システム温度、システム圧力、1次及び/又は2次冷却材レベル、並びに中性子束を
測定することができる。これらの測定を表す信号は、I&Cシステム135のインタフェ
ースパネルへの通信チャネルによって、原子力システムの外部へ報告することができる。
内の位置決めされているセンサ、たとえばI&Cシステム135のセンサによって、原子
力システムの様々な性能パラメータを監視することができる。原子力システム内のセンサ
は、システム温度、システム圧力、1次及び/又は2次冷却材レベル、並びに中性子束を
測定することができる。これらの測定を表す信号は、I&Cシステム135のインタフェ
ースパネルへの通信チャネルによって、原子力システムの外部へ報告することができる。
[0108]図示のI&Cシステム135は、概して、主制御室140と、モジュール(又は
原子炉)保護システム(MPS)145と、不安全モジュール制御システム(MCS)1
55とを含む。主制御室140は、各原子力システム150に対して1組の制御及び標示
部141を含む。各組の制御及び標示部141は、手動1E制御142と、1E標示部1
43と、非1E制御及び標示部144とを含む。いくつかの態様では、「1E」とは、原
子力規制委員会規制ガイド1.32によって与えられたIEEE規格308-2001第
3.7章による1E方式を定義するものなどの規制要件を指すことができ、上記の規制ガ
イドは、緊急原子炉停止、格納隔離、炉心冷却及び格納、並びに原子炉熱除去にとって不
可欠な電気機器及びシステムの安全区分、又は環境への放射性物質の著しい解放を防止す
るのにその他の形で不可欠なものを定義する。典型的には、特定の制御及び標示部は、「
1E」適格(たとえば、手動1E制御142及び1E標示部143)とすることができ、
他の制御及び標示部は、「1E」不適格(たとえば、非1E制御及び標示部144)とす
ることができる。
原子炉)保護システム(MPS)145と、不安全モジュール制御システム(MCS)1
55とを含む。主制御室140は、各原子力システム150に対して1組の制御及び標示
部141を含む。各組の制御及び標示部141は、手動1E制御142と、1E標示部1
43と、非1E制御及び標示部144とを含む。いくつかの態様では、「1E」とは、原
子力規制委員会規制ガイド1.32によって与えられたIEEE規格308-2001第
3.7章による1E方式を定義するものなどの規制要件を指すことができ、上記の規制ガ
イドは、緊急原子炉停止、格納隔離、炉心冷却及び格納、並びに原子炉熱除去にとって不
可欠な電気機器及びシステムの安全区分、又は環境への放射性物質の著しい解放を防止す
るのにその他の形で不可欠なものを定義する。典型的には、特定の制御及び標示部は、「
1E」適格(たとえば、手動1E制御142及び1E標示部143)とすることができ、
他の制御及び標示部は、「1E」不適格(たとえば、非1E制御及び標示部144)とす
ることができる。
[0109]非1E制御及び標示部144は、MCS155と双方向通信している。MCS1
55は、原子力システム150の不安全部分の制御及び監視を提供することができる。概
して、MCS155は、他の動作の中でも、動作中過渡変化を抑制してユニットトリップ
を防止し、定常状態ユニット動作を再確立する。
55は、原子力システム150の不安全部分の制御及び監視を提供することができる。概
して、MCS155は、他の動作の中でも、動作中過渡変化を抑制してユニットトリップ
を防止し、定常状態ユニット動作を再確立する。
[0110]MPS145は各々、図1に示す手動1E制御142及び1E標示部143と1
方向通信している。MPS145は、概して、安全措置を開始して、設計基準事象の結果
を軽減する。MPS145は、概して、原子炉停止を開始するために必要とされる、セン
サから最終作動デバイス(電源、センサ、信号調節器、開始回路、論理、バイパス、制御
基板、相互接続、及び作動デバイス)まですべての機器(ハードウェア、ソフトウェア、
及びファームウェアを含む)を含む。
方向通信している。MPS145は、概して、安全措置を開始して、設計基準事象の結果
を軽減する。MPS145は、概して、原子炉停止を開始するために必要とされる、セン
サから最終作動デバイス(電源、センサ、信号調節器、開始回路、論理、バイパス、制御
基板、相互接続、及び作動デバイス)まですべての機器(ハードウェア、ソフトウェア、
及びファームウェアを含む)を含む。
[0111]MPS145は、RTS147及びESFAS148を含む。RTS147は、
いくつかの態様では、4つの独立した分離グループ(たとえば、同じ1Eクラスの電気チ
ャネル名(A、B、C、又はD)を有するプロセスチャネルの物理的なグループ分け)を
含み、これらの分離グループは、別個の独立した給電部及びプロセス計装送信器を備えて
おり、グループは各々、他のグループとは物理的及び電気的に独立しており、原子炉トリ
ップを生成するために利用することができるプラントパラメータを監視するための独立し
た測定チャネルを有する。各測定チャネルは、パラメータが所定の設定点を超過すると緊
急停止する。RTS147の一致論理は、必要とされる原子炉トリップを単一故障が妨げ
ることがなく、単一の測定チャネル内の故障が不必要な原子炉トリップを生成することが
ないように設計することができる。
いくつかの態様では、4つの独立した分離グループ(たとえば、同じ1Eクラスの電気チ
ャネル名(A、B、C、又はD)を有するプロセスチャネルの物理的なグループ分け)を
含み、これらの分離グループは、別個の独立した給電部及びプロセス計装送信器を備えて
おり、グループは各々、他のグループとは物理的及び電気的に独立しており、原子炉トリ
ップを生成するために利用することができるプラントパラメータを監視するための独立し
た測定チャネルを有する。各測定チャネルは、パラメータが所定の設定点を超過すると緊
急停止する。RTS147の一致論理は、必要とされる原子炉トリップを単一故障が妨げ
ることがなく、単一の測定チャネル内の故障が不必要な原子炉トリップを生成することが
ないように設計することができる。
[0112]ESFAS148は、いくつかの態様では、独立した測定チャネルを有する4つ
の独立した分離グループを含み、これらの測定チャネルは、工学的安全施設(ESF)機
器の動作を起動するために利用することができるプラントパラメータを監視する。各測定
チャネルは、パラメータが所定の設定点を超過すると緊急停止する。ESFAS148の
一致論理は、必要とされるセーフガード作動を単一故障が妨げることがなく、単一の測定
チャネル内の単一故障が不必要なセーフガード作動を生成することがないように設計する
ことができる。
の独立した分離グループを含み、これらの測定チャネルは、工学的安全施設(ESF)機
器の動作を起動するために利用することができるプラントパラメータを監視する。各測定
チャネルは、パラメータが所定の設定点を超過すると緊急停止する。ESFAS148の
一致論理は、必要とされるセーフガード作動を単一故障が妨げることがなく、単一の測定
チャネル内の単一故障が不必要なセーフガード作動を生成することがないように設計する
ことができる。
[0113]システム100は、4つの防御階層を含むことができ、たとえば、NUREG/
CR-6303に定義されているように、原子炉の動作又は遮断及び冷却の目的で、原子
炉に取り付けられた計装及び制御システムの配置に対する多層防御の原理の特有の適用を
含むことができる。具体的には、4つの階層とは、制御システム、原子炉トリップ又はス
クラムシステム、ESFAS、並びに監視及び標示システム(たとえば、公称では他の3
つの階層に割り当てられた機器を動作させるために必要とされる1Eクラス及び非1Eク
ラスの両方の手動制御、監視部、及び標示部を含む最も遅く最も柔軟な防御階層)である
。
CR-6303に定義されているように、原子炉の動作又は遮断及び冷却の目的で、原子
炉に取り付けられた計装及び制御システムの配置に対する多層防御の原理の特有の適用を
含むことができる。具体的には、4つの階層とは、制御システム、原子炉トリップ又はス
クラムシステム、ESFAS、並びに監視及び標示システム(たとえば、公称では他の3
つの階層に割り当てられた機器を動作させるために必要とされる1Eクラス及び非1Eク
ラスの両方の手動制御、監視部、及び標示部を含む最も遅く最も柔軟な防御階層)である
。
[0114]制御システム階層は、典型的には、MCS155(たとえば、非1Eクラスの手
動又は自動制御機器)を含み、MCS155は、安全でない動作領域への原子炉エクスカ
ーションを日常的に防止しており、概して原子炉を安全な発電動作領域内で動作させるた
めに使用される。制御階層内には、標示部、報知器、及び警報を含むことができる。原子
炉制御システムは、典型的には、特定の規則及び/又は要件、たとえば遠隔停止パネルに
対する要件を満たすために、いくつかの機器を含む。制御システム階層によって実行され
る原子炉制御機能は、MCS155内に含まれる。MCS155は、たとえば、原子炉ト
リップ又はESF作動の必要を回避するために、動作限界内でシステム100を維持する
機能を含む。
動又は自動制御機器)を含み、MCS155は、安全でない動作領域への原子炉エクスカ
ーションを日常的に防止しており、概して原子炉を安全な発電動作領域内で動作させるた
めに使用される。制御階層内には、標示部、報知器、及び警報を含むことができる。原子
炉制御システムは、典型的には、特定の規則及び/又は要件、たとえば遠隔停止パネルに
対する要件を満たすために、いくつかの機器を含む。制御システム階層によって実行され
る原子炉制御機能は、MCS155内に含まれる。MCS155は、たとえば、原子炉ト
リップ又はESF作動の必要を回避するために、動作限界内でシステム100を維持する
機能を含む。
[0115]原子炉トリップシステム階層は、典型的には、RTS147、たとえば、制御さ
れていないエクスカーションに応答して炉心の反応度を急速に低減させるように設計され
た安全機器を含む。この階層は、典型的には、潜在的又は実際のエクスカーションを検出
する計装装備、原子炉制御棒を急速かつ完全に挿入する機器及びプロセスからなり、特定
の化学的な中性子減速システム(たとえば、ホウ素注入)を含むこともできる。図示のよ
うに、原子炉トリップ階層によって実行される自動原子炉トリップ機能は、MPS145
内(たとえば、RTS147内)に含まれる。
れていないエクスカーションに応答して炉心の反応度を急速に低減させるように設計され
た安全機器を含む。この階層は、典型的には、潜在的又は実際のエクスカーションを検出
する計装装備、原子炉制御棒を急速かつ完全に挿入する機器及びプロセスからなり、特定
の化学的な中性子減速システム(たとえば、ホウ素注入)を含むこともできる。図示のよ
うに、原子炉トリップ階層によって実行される自動原子炉トリップ機能は、MPS145
内(たとえば、RTS147内)に含まれる。
[0116]ESFAS階層は、典型的には、MPS145の一部であるESFASモジュー
ル148を含む。ESFASモジュール148内で実施されるESFAS階層は、典型的
には、熱の除去又はその他の方法で放射性物質の解放に対する3つの物理的障壁(たとえ
ば、核燃料棒被覆、原子炉容器、及び原子炉格納)の完全性を維持するのを助ける安全機
器を含む。この階層は、ESF機器が動作するために必要とされる様々な支持システム(
たとえば、非常用発電機)又はデバイス(バルブ、モータ、ポンプ)の緊急原子炉冷却、
圧力逃し又は減圧、隔離、及び制御などの機能に対する必要を検出し、これらの機能を実
行する。
ル148を含む。ESFASモジュール148内で実施されるESFAS階層は、典型的
には、熱の除去又はその他の方法で放射性物質の解放に対する3つの物理的障壁(たとえ
ば、核燃料棒被覆、原子炉容器、及び原子炉格納)の完全性を維持するのを助ける安全機
器を含む。この階層は、ESF機器が動作するために必要とされる様々な支持システム(
たとえば、非常用発電機)又はデバイス(バルブ、モータ、ポンプ)の緊急原子炉冷却、
圧力逃し又は減圧、隔離、及び制御などの機能に対する必要を検出し、これらの機能を実
行する。
[0117]監視及び標示システム階層は、典型的には、主制御室140を含み、いくつかの
態様では、最も遅くまた最も柔軟な防御階層である。他の3つの階層と同様に、操作者(
たとえば、システム100の操作者)は、正確なセンサ情報に応じて自身のタスクを実行
するが、情報、時間、及び手段を所与として、前もって指定されていない論理計算を実行
し、予期しない事象に反応することができる。監視及び標示階層は、公称では他の3つの
階層に割り当てられた機器を動作(たとえば、手動1E制御142、1E標示部143、
並びに非1E制御及び標示部144を介して)させるために必要とされる1Eクラス及び
非1Eクラスの手動制御、監視部、及び標示部を含む。監視及び標示システム階層によっ
て必要とされる機能は、MCS155及びMPS145からの情報を含む主制御室内の手
動制御、表示、及び標示部によって提供される。安全監視、手動原子炉トリップ、及び手
動ESF作動機能は、MPS145内に含まれる。MCS155は、正常なプラント動作
中に動作限界を維持するために、不安全監視及び手動制御を提供する。
態様では、最も遅くまた最も柔軟な防御階層である。他の3つの階層と同様に、操作者(
たとえば、システム100の操作者)は、正確なセンサ情報に応じて自身のタスクを実行
するが、情報、時間、及び手段を所与として、前もって指定されていない論理計算を実行
し、予期しない事象に反応することができる。監視及び標示階層は、公称では他の3つの
階層に割り当てられた機器を動作(たとえば、手動1E制御142、1E標示部143、
並びに非1E制御及び標示部144を介して)させるために必要とされる1Eクラス及び
非1Eクラスの手動制御、監視部、及び標示部を含む。監視及び標示システム階層によっ
て必要とされる機能は、MCS155及びMPS145からの情報を含む主制御室内の手
動制御、表示、及び標示部によって提供される。安全監視、手動原子炉トリップ、及び手
動ESF作動機能は、MPS145内に含まれる。MCS155は、正常なプラント動作
中に動作限界を維持するために、不安全監視及び手動制御を提供する。
[0118]4つの防御階層を含むことに加えて、システム100は、複数のレベルの多様性
を含む。具体的には、I&C多様性は、想定されるプラント状態に応答する多様な方法を
提供するために、異なる技術、論理、又はアルゴリズムを使用して、変数の測定又は作動
手段の提供を行う原理である。ここで、重要事象を検出してそれに応答するいくつかの方
法を提供するために、異なる技術、論理、若しくはアルゴリズム、又は作動手段を使用し
て異なるパラメータを感知する計装システムにおいて、この原理に多様性が適用される。
多様性は、多層防御の原理に対して相補的であり、特定のレベル又は深さの防御が必要と
されるときに作動される可能性を増大させる。概して、人的多様性、設計多様性、ソフト
ウェア多様性、機能的多様性、信号多様性、及び機器多様性という6つの属性の多様性が
存在する。本開示でより深く論じるように、MPS145は、MPS145内で共通原因
故障(たとえば、ハードウェアアーキテクチャによって実現される冗長性を不能にするお
それのあるソフトウェアエラー又はソフトウェア発生論理によって引き起こされる故障)
の影響を軽減するために、6つの属性の多様性を組み込むことができる。
を含む。具体的には、I&C多様性は、想定されるプラント状態に応答する多様な方法を
提供するために、異なる技術、論理、又はアルゴリズムを使用して、変数の測定又は作動
手段の提供を行う原理である。ここで、重要事象を検出してそれに応答するいくつかの方
法を提供するために、異なる技術、論理、若しくはアルゴリズム、又は作動手段を使用し
て異なるパラメータを感知する計装システムにおいて、この原理に多様性が適用される。
多様性は、多層防御の原理に対して相補的であり、特定のレベル又は深さの防御が必要と
されるときに作動される可能性を増大させる。概して、人的多様性、設計多様性、ソフト
ウェア多様性、機能的多様性、信号多様性、及び機器多様性という6つの属性の多様性が
存在する。本開示でより深く論じるように、MPS145は、MPS145内で共通原因
故障(たとえば、ハードウェアアーキテクチャによって実現される冗長性を不能にするお
それのあるソフトウェアエラー又はソフトウェア発生論理によって引き起こされる故障)
の影響を軽減するために、6つの属性の多様性を組み込むことができる。
[0119]概して、人的多様性は、システム開発ライフサイクル全体にわたって人的に誘起
される障害(たとえば、誤り、誤った解釈、エラー、構成障害)に対処することに関し、
ライフサイクルプロセスの実行における非類似性を特徴とする。
される障害(たとえば、誤り、誤った解釈、エラー、構成障害)に対処することに関し、
ライフサイクルプロセスの実行における非類似性を特徴とする。
[0120]概して、設計多様性は、同じ又は類似の問題を解決するために、ソフトウェア及
びハードウェアを含む異なる手法を使用することである。ソフトウェア多様性は、設計多
様性の特別なケースであり、その潜在的な重要性及び潜在的な欠陥のために別個に言及さ
れる。設計多様性に対する根拠は、異なる設計は異なる故障モードを有し、同じ共通の影
響を受けにくいことである。
びハードウェアを含む異なる手法を使用することである。ソフトウェア多様性は、設計多
様性の特別なケースであり、その潜在的な重要性及び潜在的な欠陥のために別個に言及さ
れる。設計多様性に対する根拠は、異なる設計は異なる故障モードを有し、同じ共通の影
響を受けにくいことである。
[0121]概して、ソフトウェア多様性は、たとえば原子炉を緊急停止するべきかどうかを
判定するために2つの別個に設計されたプログラムを使用して、同じ安全目標を実現する
ために、異なる基幹人員を含む異なるソフトウェア開発グループによって設計及び実施さ
れる異なるソフトウェアプログラムを使用することである。
判定するために2つの別個に設計されたプログラムを使用して、同じ安全目標を実現する
ために、異なる基幹人員を含む異なるソフトウェア開発グループによって設計及び実施さ
れる異なるソフトウェアプログラムを使用することである。
[0122]概して、機能的多様性は、重複した安全効果を有する可能性もあるが、異なる物
理的又は論理的機能を実行する2つのシステム(たとえば、システム100内のサブシス
テム)を指す。
理的又は論理的機能を実行する2つのシステム(たとえば、システム100内のサブシス
テム)を指す。
[0123]概して、信号多様性は、保護措置を開始するために異なるプロセスパラメータを
使用することであり、これらのパラメータのいずれかは、他のパラメータが正確に検出さ
れなかった場合でも、異常な状態を独立して示すことができる。
使用することであり、これらのパラメータのいずれかは、他のパラメータが正確に検出さ
れなかった場合でも、異常な状態を独立して示すことができる。
[0124]概して、機器多様性は、類似の安全機能を実行するために異なる機器を使用する
ことである(たとえば、安全機能は、設計基準事象に対して確立された許容可能な限界内
でプラントパラメータを維持するために不可欠なプロセス又は条件のうちの1つであり、
RTS又はESFが必要とされるすべての保護措置を完了すること、若しくは補助的支持
特徴が必要とされるすべての保護措置を完了すること、又は両方によって実現することが
できる)。この場合、「異なる」とは、共通原因故障に対する脆弱性を大幅に減少させる
のに十分なほど似ていないことを意味することができる。
ことである(たとえば、安全機能は、設計基準事象に対して確立された許容可能な限界内
でプラントパラメータを維持するために不可欠なプロセス又は条件のうちの1つであり、
RTS又はESFが必要とされるすべての保護措置を完了すること、若しくは補助的支持
特徴が必要とされるすべての保護措置を完了すること、又は両方によって実現することが
できる)。この場合、「異なる」とは、共通原因故障に対する脆弱性を大幅に減少させる
のに十分なほど似ていないことを意味することができる。
[0125]いくつかの態様では、MPS145は、連続(又は部分的連続)する自己試験及
び周期的な監視試験の組合せを組み込むことができる。そのような試験方策は、すべての
検出可能な故障が識別され、所員に通知される(たとえば、主制御室140を介して)こ
とを確実にすることができる。自己試験特徴は、システム状態が連続的(又は部分的)に
監視されることを確実にする包括的な診断システムを提供することができる。すべての検
出可能な故障を所員に通知することができ、システムの全体的な状態を判定するために、
故障の影響の標示を提供することができる。自己試験特徴は、分離グループ及びディビジ
ョンの非依存性を維持する。自己試験特徴は、システムの完全性が常時維持されることを
確実にする。
び周期的な監視試験の組合せを組み込むことができる。そのような試験方策は、すべての
検出可能な故障が識別され、所員に通知される(たとえば、主制御室140を介して)こ
とを確実にすることができる。自己試験特徴は、システム状態が連続的(又は部分的)に
監視されることを確実にする包括的な診断システムを提供することができる。すべての検
出可能な故障を所員に通知することができ、システムの全体的な状態を判定するために、
故障の影響の標示を提供することができる。自己試験特徴は、分離グループ及びディビジ
ョンの非依存性を維持する。自己試験特徴は、システムの完全性が常時維持されることを
確実にする。
[0126]いくつかの態様では、MPS145内の各サブモジュール(以下により詳細に説
明する)は、モジュール内の単一故障を検出するように設計された広い障害検出カバー範
囲を提供する自己試験特徴を含むことができる。これにより、障害を検出するために必要
とされる時間を最小にし、安全及びシステム利用可能性の利益を提供することができる。
システムが通常動作しているとき、自己試験は、応答時間などの安全機能の性能に影響を
及ぼすことなく実行される。
明する)は、モジュール内の単一故障を検出するように設計された広い障害検出カバー範
囲を提供する自己試験特徴を含むことができる。これにより、障害を検出するために必要
とされる時間を最小にし、安全及びシステム利用可能性の利益を提供することができる。
システムが通常動作しているとき、自己試験は、応答時間などの安全機能の性能に影響を
及ぼすことなく実行される。
[0127]自己試験特徴は、未検出の障害を有することを回避するために、活動中及び非活
動中両方の論理(たとえば、安全機能が動作することが必要とされるときのみ起動される
論理)で、ほとんどの障害を検出することが可能である。障害の検出及び標示は、MPS
サブモジュールレベルで行われ、発電所員が交換する必要のあるMPSサブモジュールを
容易に識別することが可能になる。
動中両方の論理(たとえば、安全機能が動作することが必要とされるときのみ起動される
論理)で、ほとんどの障害を検出することが可能である。障害の検出及び標示は、MPS
サブモジュールレベルで行われ、発電所員が交換する必要のあるMPSサブモジュールを
容易に識別することが可能になる。
[0128]すべての機能的試験及び検査、較正検証、並びに時間応答測定が認証されること
を確実にするために、周期的オンライン監視試験能力を組み込むことができる。周期的監
視試験はまた、連続的自己試験機能を検証する。
を確実にするために、周期的オンライン監視試験能力を組み込むことができる。周期的監
視試験はまた、連続的自己試験機能を検証する。
[0129]MPS145内の自己試験及び周期的監視試験特徴は、すべてのプラント動作モ
ードに対して実行される安全機能に相応の稼働中のテスト容易性のために設計することが
できる。性能の自己試験及び監視試験は、一時的な試験設定を必要としない。これらの試
験特徴は、システムの設計に固有であり、安全機能論理及びデータ構造に加える複雑さを
最小にすることができる。バイパス状態の連続的な標示は、(1)プラントの通常動作中
に自己試験によって障害が検出された場合、又は(2)安全機能の一部がバイパスされ、
若しくは試験に対して故意に動作不能にされた場合に行われる。バイパス状態が除去され
た後、バイパスの標示は除去される。これにより、バイパスされた安全機能が適切に稼働
状態に戻ったことを、発電所員が確認することができることを確実にすることができる。
ードに対して実行される安全機能に相応の稼働中のテスト容易性のために設計することが
できる。性能の自己試験及び監視試験は、一時的な試験設定を必要としない。これらの試
験特徴は、システムの設計に固有であり、安全機能論理及びデータ構造に加える複雑さを
最小にすることができる。バイパス状態の連続的な標示は、(1)プラントの通常動作中
に自己試験によって障害が検出された場合、又は(2)安全機能の一部がバイパスされ、
若しくは試験に対して故意に動作不能にされた場合に行われる。バイパス状態が除去され
た後、バイパスの標示は除去される。これにより、バイパスされた安全機能が適切に稼働
状態に戻ったことを、発電所員が確認することができることを確実にすることができる。
[0130]MPS145に対する診断データは、各分離グループ及びディビジョンに対して
保守ワークステーション(MWS)へ提供される。MWSは、トラブルシューティング活
動を容易にするために、機器に近接して位置することができる。MPSとMWSとの間の
インタフェースは、光学的に隔離された1方向診断インタフェースとすることができる。
すべての診断データは、物理的に別個の通信経路を介して通信することができ、それによ
り診断機能が安全機能とは独立していることを確実にすることができる。加えて、診断デ
ータは、長期記憶のため、中央ヒストリアンへ伝送することができる。これにより、シス
テム動作の履歴分析を実行する手段が提供される。
保守ワークステーション(MWS)へ提供される。MWSは、トラブルシューティング活
動を容易にするために、機器に近接して位置することができる。MPSとMWSとの間の
インタフェースは、光学的に隔離された1方向診断インタフェースとすることができる。
すべての診断データは、物理的に別個の通信経路を介して通信することができ、それによ
り診断機能が安全機能とは独立していることを確実にすることができる。加えて、診断デ
ータは、長期記憶のため、中央ヒストリアンへ伝送することができる。これにより、シス
テム動作の履歴分析を実行する手段が提供される。
[0131]診断システムは、設置されたモジュールのリストを維持することができる。これ
らのリストは、モジュールの欠落又は不正確なモジュールの設置から守るために、システ
ム内で活動中の設置されたモジュールと連続的に比較することができる。
らのリストは、モジュールの欠落又は不正確なモジュールの設置から守るために、システ
ム内で活動中の設置されたモジュールと連続的に比較することができる。
[0132]すべてのMPS安全データ通信は、エラー検出により、データ完全性を強化する
ように設計することができる。プロトコル特徴を確実にする通信は、頑健で信頼性が高く
、伝送障害を検出する能力を有する。類似のデータ完全性特徴を使用して、診断データを
伝達することもできる。
ように設計することができる。プロトコル特徴を確実にする通信は、頑健で信頼性が高く
、伝送障害を検出する能力を有する。類似のデータ完全性特徴を使用して、診断データを
伝達することもできる。
[0133]図2A~2Bは、原子力システム150に対するI&Cシステムのモジュール保
護システム(MPS)200のブロック図を示す。いくつかの実施形態では、MPS20
0は、図1に示すMPS145に類似又は同一とすることができる。概して、図示のMP
S200は、センサ及び検出器(たとえば、センサ202a~202d)の4つの分離グ
ループと、信号調節及び信号調節器(たとえば、信号調節器204a~204d)の4つ
の分離グループと、トリップ判定(たとえば、トリップ判定208a~208d)の4つ
の分離グループと、RTS投票及び原子炉トリップ遮断器(たとえば、ディビジョンIの
RTS投票214及びディビジョンIIのRTS投票216)の2つのディビジョンと、
工学的安全施設作動システム(ESFAS)投票及び工学的安全施設(ESF)機器(た
とえば、ESFAS投票ディビジョンI212及びESF機器224、並びにディビジョ
ンIIのESFAS投票218及びESF機器226)の2つのディビジョンとを含む。
護システム(MPS)200のブロック図を示す。いくつかの実施形態では、MPS20
0は、図1に示すMPS145に類似又は同一とすることができる。概して、図示のMP
S200は、センサ及び検出器(たとえば、センサ202a~202d)の4つの分離グ
ループと、信号調節及び信号調節器(たとえば、信号調節器204a~204d)の4つ
の分離グループと、トリップ判定(たとえば、トリップ判定208a~208d)の4つ
の分離グループと、RTS投票及び原子炉トリップ遮断器(たとえば、ディビジョンIの
RTS投票214及びディビジョンIIのRTS投票216)の2つのディビジョンと、
工学的安全施設作動システム(ESFAS)投票及び工学的安全施設(ESF)機器(た
とえば、ESFAS投票ディビジョンI212及びESF機器224、並びにディビジョ
ンIIのESFAS投票218及びESF機器226)の2つのディビジョンとを含む。
[0134]概して、センサ202a~202dは、圧力、温度、レベル、及び中性子束など
の異なるプロセスパラメータの測定を担うプロセスセンサを含む。したがって、原子力シ
ステム150の各プロセスパラメータは、異なるセンサを使用して測定され、異なる論理
エンジンによって実行される異なるアルゴリズムによって処理される。いくつかの態様で
は、中性子束センサは、停止状態から全出力の120パーセントまでの炉心からの中性子
束の測定を担う。MPS200内では、中性子源領域、中間領域、及び出力領域を含む3
つのタイプの中性子束検出器を使用することができる。
の異なるプロセスパラメータの測定を担うプロセスセンサを含む。したがって、原子力シ
ステム150の各プロセスパラメータは、異なるセンサを使用して測定され、異なる論理
エンジンによって実行される異なるアルゴリズムによって処理される。いくつかの態様で
は、中性子束センサは、停止状態から全出力の120パーセントまでの炉心からの中性子
束の測定を担う。MPS200内では、中性子源領域、中間領域、及び出力領域を含む3
つのタイプの中性子束検出器を使用することができる。
[0135]概して、信号調節器204a~204dは、センサ202a~202dからの測
定を受け取り、これらの測定を処理し、出力206a~206dを提供する。いくつかの
態様では、信号調節器204a~204dへのセンサ202a~202dの相互接続は、
専用の銅線又は何らかの他の信号伝送方法とすることができる。
定を受け取り、これらの測定を処理し、出力206a~206dを提供する。いくつかの
態様では、信号調節器204a~204dへのセンサ202a~202dの相互接続は、
専用の銅線又は何らかの他の信号伝送方法とすることができる。
[0136]信号調節器204a~204dは各々、図3Aに示すように、複数の入力モジュ
ール270a~270n(たとえば、センサ入力の数に応じて任意の数のモジュールを示
す)から構成することができ、入力モジュール270a~270nは、センサ202a~
202dからのフィールド入力の調節、測定、フィルタリング、及びサンプリングを担う
。各入力モジュール270a~270nは、24V若しくは48Vのデジタル入力、4~
20mAのアナログ入力、0~10Vのアナログ入力、抵抗熱検出器入力、又は熱電対入
力などの特有の入力タイプに専用とすることができる。
ール270a~270n(たとえば、センサ入力の数に応じて任意の数のモジュールを示
す)から構成することができ、入力モジュール270a~270nは、センサ202a~
202dからのフィールド入力の調節、測定、フィルタリング、及びサンプリングを担う
。各入力モジュール270a~270nは、24V若しくは48Vのデジタル入力、4~
20mAのアナログ入力、0~10Vのアナログ入力、抵抗熱検出器入力、又は熱電対入
力などの特有の入力タイプに専用とすることができる。
[0137]各入力モジュール270a~270nは、アナログ回路及びデジタル回路から構
成することができる。アナログ回路は、アナログ電圧又は電流からデジタル表現への変換
を担う。アナログ回路はまた、信号調節回路とも呼ばれる。各入力モジュール270a~
270nのデジタル部分は、論理エンジン内に位置することができる。論理エンジンは、
すべての入力モジュールの制御、サンプルアンドホールドフィルタリング、完全性チェッ
ク、自己試験、及びデジタルフィルタリング機能を実行する。センサ出力のデジタル表現
は、いくつかの例では直列インタフェースを使用して、出力206a~206dを通って
、信号調節器204a~204dからトリップ判定208a~208dへ通信される。
成することができる。アナログ回路は、アナログ電圧又は電流からデジタル表現への変換
を担う。アナログ回路はまた、信号調節回路とも呼ばれる。各入力モジュール270a~
270nのデジタル部分は、論理エンジン内に位置することができる。論理エンジンは、
すべての入力モジュールの制御、サンプルアンドホールドフィルタリング、完全性チェッ
ク、自己試験、及びデジタルフィルタリング機能を実行する。センサ出力のデジタル表現
は、いくつかの例では直列インタフェースを使用して、出力206a~206dを通って
、信号調節器204a~204dからトリップ判定208a~208dへ通信される。
[0138]図3Aを同様に参照すると、トリップ判定208a~208dは、概して、直列
インタフェースを介して、上述した信号調節器204a~204dからのセンサ入力値を
デジタル形式で受け取る。トリップ判定208a~208dは各々、独立した安全機能モ
ジュール(SFM)272a~272n(図5を参照してより詳細に説明する)から構成
され、特有のモジュールが、1組の安全機能を実施する(たとえば、1組は、特定のプロ
セスパラメータに関係する単一の安全機能又は複数の安全機能とすることができる)。た
とえば、1組の安全機能は、同じ圧力入力からの高トリップ及び低トリップなど、1次変
数に関係する1群の機能からなることができる。各SFM272a~272nは、1組の
安全機能の実施に専用の一意の論理エンジンを含む。この結果、各組の安全機能のゲート
レベルの実施形態は、すべての他の組の安全機能とは完全に異なる。
インタフェースを介して、上述した信号調節器204a~204dからのセンサ入力値を
デジタル形式で受け取る。トリップ判定208a~208dは各々、独立した安全機能モ
ジュール(SFM)272a~272n(図5を参照してより詳細に説明する)から構成
され、特有のモジュールが、1組の安全機能を実施する(たとえば、1組は、特定のプロ
セスパラメータに関係する単一の安全機能又は複数の安全機能とすることができる)。た
とえば、1組の安全機能は、同じ圧力入力からの高トリップ及び低トリップなど、1次変
数に関係する1群の機能からなることができる。各SFM272a~272nは、1組の
安全機能の実施に専用の一意の論理エンジンを含む。この結果、各組の安全機能のゲート
レベルの実施形態は、すべての他の組の安全機能とは完全に異なる。
[0139]センサ入力値(たとえば、出力206a~206d)は、決定論的経路を介して
通信することができ、各トリップ判定208a~208d内の特有のSFM272a~2
72nへ提供される。次いで、これらの入力値を工学単位に変換し、どの安全機能又はど
の組の安全機能がその特有のSFM272a~272nで実施されるかを判定することが
できる。トリップ判定208a~208dは、いくつかの例では隔離された伝送専用の光
ファイバ接続を介して、これらの工学単位値を制御システムへ提供する。
通信することができ、各トリップ判定208a~208d内の特有のSFM272a~2
72nへ提供される。次いで、これらの入力値を工学単位に変換し、どの安全機能又はど
の組の安全機能がその特有のSFM272a~272nで実施されるかを判定することが
できる。トリップ判定208a~208dは、いくつかの例では隔離された伝送専用の光
ファイバ接続を介して、これらの工学単位値を制御システムへ提供する。
[0140]各トリップ判定208a~208d内のSFMは、必要とされる場合、所定の設
定点に基づいて原子炉トリップ判定を行い、隔離された、場合により3重冗長な、伝送専
用の直列接続を介して、トリップ又は非トリップ要求信号を各RTSディビジョン(たと
えば、それぞれディビジョンI及びIIのRTS投票214及び216)へ提供する。S
FMはまた、必要とされる場合、所定の設定点に基づいてESFAS作動判定を行い、隔
離された、場合により3重冗長な、伝送専用の直列接続を介して、作動又は作動禁止要求
信号を各ESFASディビジョン(たとえば、それぞれディビジョンI及びIIのESF
AS投票212及び218)へ提供する。
定点に基づいて原子炉トリップ判定を行い、隔離された、場合により3重冗長な、伝送専
用の直列接続を介して、トリップ又は非トリップ要求信号を各RTSディビジョン(たと
えば、それぞれディビジョンI及びIIのRTS投票214及び216)へ提供する。S
FMはまた、必要とされる場合、所定の設定点に基づいてESFAS作動判定を行い、隔
離された、場合により3重冗長な、伝送専用の直列接続を介して、作動又は作動禁止要求
信号を各ESFASディビジョン(たとえば、それぞれディビジョンI及びIIのESF
AS投票212及び218)へ提供する。
[0141]図3A~3Bに示すように、たとえば、特定のトリップ判定208aは、出力2
74aを通ってESFAS投票212へ、出力274bを通ってESFAS投票218へ
、トリップ又は非トリップ要求信号を提供する。トリップ判定208aは、出力276a
を通ってRTS投票214へ、出力276bを通ってRTS投票216へ、トリップ又は
非トリップ要求信号を提供する。これらの出力はまた、それぞれトリップ判定208a~
208dからの出力210a~210dとして、概して図2Aにも示されている。
74aを通ってESFAS投票212へ、出力274bを通ってESFAS投票218へ
、トリップ又は非トリップ要求信号を提供する。トリップ判定208aは、出力276a
を通ってRTS投票214へ、出力276bを通ってRTS投票216へ、トリップ又は
非トリップ要求信号を提供する。これらの出力はまた、それぞれトリップ判定208a~
208dからの出力210a~210dとして、概して図2Aにも示されている。
[0142]図3Aにさらに示すように、たとえば、特定のトリップ判定208aは、トリッ
プ又は非トリップ要求信号を、監視&標示(M&I)出力278a及び278b(ディビ
ジョンごとに1つ)、並びに非1E出力280へ提供する。出力278a及び278bは
、不安全制御機能のために、MCSへプロセス情報を提供する。出力280は、プロセス
情報及びトリップ状態情報を非1E制御及び標示部144へ提供する。
プ又は非トリップ要求信号を、監視&標示(M&I)出力278a及び278b(ディビ
ジョンごとに1つ)、並びに非1E出力280へ提供する。出力278a及び278bは
、不安全制御機能のために、MCSへプロセス情報を提供する。出力280は、プロセス
情報及びトリップ状態情報を非1E制御及び標示部144へ提供する。
[0143]図2Aへ戻ると、各RTSディビジョン(たとえば、ディビジョンIに対するR
TS投票214及びディビジョンIIに対するRTS投票216)は、隔離された、いく
つかの態様では冗長な(たとえば、2重、3重、又はその他)、受取り専用の直列接続2
10a~210dを介して、上述したトリップ判定208a~208dから入力を受け取
る。トリップ入力は、RTS投票論理で組み合わせられ、その結果、トリップ判定208
a~208dからの2つ以上の原子炉トリップ入力が、出力228a~228d及び23
0a~230d(各ディビジョンに適当)で、自動原子炉トリップ出力信号を生じさせ、
出力228a~228d及び230a~230dは、それぞれのディビジョンに関連付け
られた8つの原子炉トリップ遮断器(RTB)(図2Bに示す)のうちの4つに対するト
リップコイルを作動させる。言い換えれば、MPS200のこの例示的な実施形態では、
RTS投票論理は、「ツーアウトオブフォー」論理で機能し、これは、4つのトリップ判
定208a~208dのうちの少なくとも2つが、原子炉「トリップ」が必要であること
を示した場合、トリップ信号がRTB264a~264d及び266a~266dの各々
へ送られることを意味する。この遮断器構成により、MPS200の安全かつ簡潔なオン
ライン試験が可能になる。
TS投票214及びディビジョンIIに対するRTS投票216)は、隔離された、いく
つかの態様では冗長な(たとえば、2重、3重、又はその他)、受取り専用の直列接続2
10a~210dを介して、上述したトリップ判定208a~208dから入力を受け取
る。トリップ入力は、RTS投票論理で組み合わせられ、その結果、トリップ判定208
a~208dからの2つ以上の原子炉トリップ入力が、出力228a~228d及び23
0a~230d(各ディビジョンに適当)で、自動原子炉トリップ出力信号を生じさせ、
出力228a~228d及び230a~230dは、それぞれのディビジョンに関連付け
られた8つの原子炉トリップ遮断器(RTB)(図2Bに示す)のうちの4つに対するト
リップコイルを作動させる。言い換えれば、MPS200のこの例示的な実施形態では、
RTS投票論理は、「ツーアウトオブフォー」論理で機能し、これは、4つのトリップ判
定208a~208dのうちの少なくとも2つが、原子炉「トリップ」が必要であること
を示した場合、トリップ信号がRTB264a~264d及び266a~266dの各々
へ送られることを意味する。この遮断器構成により、MPS200の安全かつ簡潔なオン
ライン試験が可能になる。
[0144]手動トリップ250aが、RTB266a~266d(ディビジョンI)の直接
トリップを提供し、手動トリップ250bが、RTB264a~264d(ディビジョン
II)の直接トリップを提供し、並びに自動作動手動トリップ234(ディビジョンI)
及び手動トリップ236(ディビジョンII)への入力を提供して、シーケンスが維持さ
れることを確実にする。
トリップを提供し、手動トリップ250bが、RTB264a~264d(ディビジョン
II)の直接トリップを提供し、並びに自動作動手動トリップ234(ディビジョンI)
及び手動トリップ236(ディビジョンII)への入力を提供して、シーケンスが維持さ
れることを確実にする。
[0145]さらに示すように、各RTB264a~264d及び各RTB266a~266
dは、入力として、手動トリップ250a又は250bを含む。したがって、両方の手動
トリップ250a及び250b(たとえば、ディビジョンI及びIIに対する各手動トリ
ップ)が開始された場合、入力230a~230d及び入力228a~228dへの状態
(たとえば、トリップ又は非トリップ)にかかわらず、電力入力260は電力出力262
へ伝送されない。
dは、入力として、手動トリップ250a又は250bを含む。したがって、両方の手動
トリップ250a及び250b(たとえば、ディビジョンI及びIIに対する各手動トリ
ップ)が開始された場合、入力230a~230d及び入力228a~228dへの状態
(たとえば、トリップ又は非トリップ)にかかわらず、電力入力260は電力出力262
へ伝送されない。
[0146]例示的な実施形態では、ESFAS投票及び論理は、必要とされるセーフガード
作動を単一故障が妨げることがなく、トリップ判定信号(たとえば、210a~210d
)内の単一故障が不必要なセーフガード作動を生成することがないように配置される。E
SFASシステムは、緊急炉心冷却システム及び崩壊熱除去システムなどの重要なシステ
ムの自動及び手動両方の開始を提供することができる。
作動を単一故障が妨げることがなく、トリップ判定信号(たとえば、210a~210d
)内の単一故障が不必要なセーフガード作動を生成することがないように配置される。E
SFASシステムは、緊急炉心冷却システム及び崩壊熱除去システムなどの重要なシステ
ムの自動及び手動両方の開始を提供することができる。
[0147]各ESFAS投票212/218は、隔離された3重冗長の受取り専用の光ファ
イバ(又は他の通信技法)接続を介して、トリップ判定208a~208dから入力21
0a~210dを受け取る。作動論理及び投票は、ESFAS投票212/218内で行
われる。ESFAS投票212/218が、作動が必要とされると判定したとき、ESF
AS投票212/218は、作動要求信号をそれぞれESFAS優先論理220/222
へ送り、ESFAS優先論理220/222は、適当なESF機器224及び226を作
動させる。
イバ(又は他の通信技法)接続を介して、トリップ判定208a~208dから入力21
0a~210dを受け取る。作動論理及び投票は、ESFAS投票212/218内で行
われる。ESFAS投票212/218が、作動が必要とされると判定したとき、ESF
AS投票212/218は、作動要求信号をそれぞれESFAS優先論理220/222
へ送り、ESFAS優先論理220/222は、適当なESF機器224及び226を作
動させる。
[0148]図2A~2B及び図3A~3Bに示すMPS200の実施形態は、主要要素間で
高いレベルの非依存性を確実にする。これは、センサ及び検出器202a~202dの4
つの分離グループと、トリップ判定(「a」~「d」で表記)の4つの分離グループと、
RTS214/216(記載のディビジョンI及びディビジョンII)の2つのディビジ
ョンと、ESFAS回路212/218(記載のディビジョンI及びディビジョンII)
の2つのディビジョンと、ESF機器224/226(記載のディビジョンI及びディビ
ジョンII)の2つのディビジョンとの間の非依存性を含む。SFM(たとえば、トリッ
プ判定208a~208d内)への入力に基づいて、MPS200は、4つの分離グルー
プの各々において、1組の安全機能を独立して実施する。安全機能の非依存性は、センサ
202a~202dからトリップ判定出力210a~210dまで維持される。いくつか
の態様では、この構成により、SFM故障がそのモジュールの入力に基づくものに制限さ
れる。この方策は、共通原因故障の影響を制限し、信号多様性を強化することができる。
この非依存性の方法はまた、独立した安全機能内の故障が、他の安全機能モジュールのい
ずれにも波及しないことを確実にすることができる。さらに、失敗したSFMのオンライ
ン交換により、他のモジュールに対する影響をもしあれば最小にして、故障を補正するこ
とができることを確実にする。
高いレベルの非依存性を確実にする。これは、センサ及び検出器202a~202dの4
つの分離グループと、トリップ判定(「a」~「d」で表記)の4つの分離グループと、
RTS214/216(記載のディビジョンI及びディビジョンII)の2つのディビジ
ョンと、ESFAS回路212/218(記載のディビジョンI及びディビジョンII)
の2つのディビジョンと、ESF機器224/226(記載のディビジョンI及びディビ
ジョンII)の2つのディビジョンとの間の非依存性を含む。SFM(たとえば、トリッ
プ判定208a~208d内)への入力に基づいて、MPS200は、4つの分離グルー
プの各々において、1組の安全機能を独立して実施する。安全機能の非依存性は、センサ
202a~202dからトリップ判定出力210a~210dまで維持される。いくつか
の態様では、この構成により、SFM故障がそのモジュールの入力に基づくものに制限さ
れる。この方策は、共通原因故障の影響を制限し、信号多様性を強化することができる。
この非依存性の方法はまた、独立した安全機能内の故障が、他の安全機能モジュールのい
ずれにも波及しないことを確実にすることができる。さらに、失敗したSFMのオンライ
ン交換により、他のモジュールに対する影響をもしあれば最小にして、故障を補正するこ
とができることを確実にする。
[0149]図示のMPS200内の安全機能データの通信は、3重モジュールで冗長な独立
した光学的に隔離された1方向通信経路を介して伝送され又は受け取られる。この通信方
式は、ディビジョン間投票とは別に、安全機能が、その安全機能を実現するために、その
ディビジョンの外側から生じたいかなる情報又は資源にも依存しないことを確実にするこ
とができる。1Eクラスのディビジョン(たとえば、ディビジョンI及びII)間の障害
波及は、ディビジョントリップ信号の1方向隔離(たとえば、光学的な隔離又はその他)
によって防止される。
した光学的に隔離された1方向通信経路を介して伝送され又は受け取られる。この通信方
式は、ディビジョン間投票とは別に、安全機能が、その安全機能を実現するために、その
ディビジョンの外側から生じたいかなる情報又は資源にも依存しないことを確実にするこ
とができる。1Eクラスのディビジョン(たとえば、ディビジョンI及びII)間の障害
波及は、ディビジョントリップ信号の1方向隔離(たとえば、光学的な隔離又はその他)
によって防止される。
[0150]図2A~2B及び図3A~3Bに示すMPS200の実施形態は、図示のアーキ
テクチャの複数の区域内に冗長性をさらに組み込む。MPS200内の冗長性は、センサ
及び検出器(「a」~「d」で表記)、トリップ判定(「a」~「d」で表記)の4つの
分離グループと、RTS及びESFAS回路(記載のディビジョンI及びディビジョンI
I)の2つのディビジョンとを含む。MPS200はまた、ツーアウトオブフォー投票を
使用し、その結果、必要とされる原子炉トリップ又はESF機器作動が生じることを開始
信号の単一故障が妨げないようにする。加えて、必要とされない擬似又は不注意の原子炉
トリップ又はESF機器作動を開始信号の単一故障が引き起こさないようにする。
テクチャの複数の区域内に冗長性をさらに組み込む。MPS200内の冗長性は、センサ
及び検出器(「a」~「d」で表記)、トリップ判定(「a」~「d」で表記)の4つの
分離グループと、RTS及びESFAS回路(記載のディビジョンI及びディビジョンI
I)の2つのディビジョンとを含む。MPS200はまた、ツーアウトオブフォー投票を
使用し、その結果、必要とされる原子炉トリップ又はESF機器作動が生じることを開始
信号の単一故障が妨げないようにする。加えて、必要とされない擬似又は不注意の原子炉
トリップ又はESF機器作動を開始信号の単一故障が引き起こさないようにする。
[0151]MPS200はまた、各組の安全機能を実施することによって機能的非依存性を
組み込み、各組の安全機能は、その特定の組の安全機能に対して一意の論理エンジンによ
って、独立したSFMで特定の過渡事象を軽減するために使用される。
組み込み、各組の安全機能は、その特定の組の安全機能に対して一意の論理エンジンによ
って、独立したSFMで特定の過渡事象を軽減するために使用される。
[0152]いくつかの態様では、MPS200は、原子炉システムに対する簡潔で高信頼か
つ安全な設計を実現するための設計技法を実施する。たとえば、MPS200は、4つの
分離グループ及び2つのディビジョンの対称アーキテクチャに基づくことができる。4つ
の分離グループは各々、他の分離グループに機能的に同等とすることができ、2つのディ
ビジョンは各々、機能的に同等とすることができる。上述したように、ツーアウトオブフ
ォー投票は、図示の実施形態における唯一の投票方策とすることができる。別の例として
、MPS200の論理は、特定の安全機能又は安全機能の群に専用の有限状態機械内で実
施することができる(たとえば、有限状態機械は、1群のデジタル論理回路であり、有限
数の状態のうちの1つとすることができ、1度に1つの状態のみであり、これを現在状態
と呼ぶが、状態遷移などのトリガ事象又は1組の状態によって開始されると1つの状態か
ら別の状態へ変化させることができる)。したがって、カーネル又はオペレーティングシ
ステムは必要とされない。別の例として、MPS200内の通信は、決定論的プロトコル
に基づくことができ、すべての安全データは、冗長通信経路を介して通信される。別の例
として、MPS200の多様性属性は、完全に異なるプラットホームに基づく追加のシス
テムの追加の複雑さなく、アーキテクチャに固有となるように設計することができる。
つ安全な設計を実現するための設計技法を実施する。たとえば、MPS200は、4つの
分離グループ及び2つのディビジョンの対称アーキテクチャに基づくことができる。4つ
の分離グループは各々、他の分離グループに機能的に同等とすることができ、2つのディ
ビジョンは各々、機能的に同等とすることができる。上述したように、ツーアウトオブフ
ォー投票は、図示の実施形態における唯一の投票方策とすることができる。別の例として
、MPS200の論理は、特定の安全機能又は安全機能の群に専用の有限状態機械内で実
施することができる(たとえば、有限状態機械は、1群のデジタル論理回路であり、有限
数の状態のうちの1つとすることができ、1度に1つの状態のみであり、これを現在状態
と呼ぶが、状態遷移などのトリガ事象又は1組の状態によって開始されると1つの状態か
ら別の状態へ変化させることができる)。したがって、カーネル又はオペレーティングシ
ステムは必要とされない。別の例として、MPS200内の通信は、決定論的プロトコル
に基づくことができ、すべての安全データは、冗長通信経路を介して通信される。別の例
として、MPS200の多様性属性は、完全に異なるプラットホームに基づく追加のシス
テムの追加の複雑さなく、アーキテクチャに固有となるように設計することができる。
[0153]たとえば、図4A~4Bは、それぞれ例示的なチャート400及び450を示し
、チャート400及び450は、MPS200内で実施される多層多様性方策が、ソフト
ウェア又はソフトウェア論理に基づく共通原因故障をどのように軽減するかを示す。チャ
ート400及び450は、MPS200内で実施される多層多様性方策が、MPS(たと
えば、MPS200)内のソフトウェア又はソフトウェア論理に基づくCCFに対する問
題をどのようになくすことができるかを示す。これらの例では、過渡事象は、原子力シス
テムに対する給水の損失である。図示のように、2つの異なるプロセスパラメータA1及
びA2が測定される(たとえば、センサ202a~202dを介して)。図示のA1は温
度パラメータであり、図示のA2は圧力である。
、チャート400及び450は、MPS200内で実施される多層多様性方策が、ソフト
ウェア又はソフトウェア論理に基づく共通原因故障をどのように軽減するかを示す。チャ
ート400及び450は、MPS200内で実施される多層多様性方策が、MPS(たと
えば、MPS200)内のソフトウェア又はソフトウェア論理に基づくCCFに対する問
題をどのようになくすことができるかを示す。これらの例では、過渡事象は、原子力シス
テムに対する給水の損失である。図示のように、2つの異なるプロセスパラメータA1及
びA2が測定される(たとえば、センサ202a~202dを介して)。図示のA1は温
度パラメータであり、図示のA2は圧力である。
[0154]異なるプロセス測定A1及びA2は、2つの異なる安全機能アルゴリズムへの入
力であり、図示のように(A1)高温及び(A2)高圧である。2つの安全機能アルゴリ
ズムは各々、分離グループ内で別個の独立したSFMに位置する。安全機能アルゴリズム
は、異なる2組のプログラマブルデジタルハードウェア(A/C及びB/D)を使用して
実施することができ、これはMPS200に示すように、4つの分離グループ(A、B、
C、D)と、2つのディビジョンとに分割される。たとえば、ここで、2つの安全機能は
、単一の組の安全機能を含む。各組(たとえば、2つの安全機能アルゴリズムからなる)
は、異なる技術に基づくことができる。
力であり、図示のように(A1)高温及び(A2)高圧である。2つの安全機能アルゴリ
ズムは各々、分離グループ内で別個の独立したSFMに位置する。安全機能アルゴリズム
は、異なる2組のプログラマブルデジタルハードウェア(A/C及びB/D)を使用して
実施することができ、これはMPS200に示すように、4つの分離グループ(A、B、
C、D)と、2つのディビジョンとに分割される。たとえば、ここで、2つの安全機能は
、単一の組の安全機能を含む。各組(たとえば、2つの安全機能アルゴリズムからなる)
は、異なる技術に基づくことができる。
[0155]設計多様性はまた、異なる組の設計ツールを使用する異なる設計チームによって
各組のプログラマブルデジタルハードウェアを設計することができるため、プロセスによ
って組み込まれる。一例として、安全機能(複数可)は、マイクロプロセッサ内で実施す
ることができる。この例では、安全機能(複数可)は、順次評価することができ、したが
っていくつかの態様では、処理ループの順次動作により、1つの安全機能(たとえば、A
2)の別の安全機能(たとえば、A1)に対する依存性を導入することができる。別の例
として、安全機能は、状態に基づくフィールドプログラマブルゲートアレイ(FPGA)
内で実施することができる。この例では、各安全機能は、すべての他の安全機能とは独立
して評価することができる。この後者の例では、1つの安全機能の別の安全機能に対する
処理のあらゆる依存性を除去することによって、非依存性の増大を確実にすることができ
る。
各組のプログラマブルデジタルハードウェアを設計することができるため、プロセスによ
って組み込まれる。一例として、安全機能(複数可)は、マイクロプロセッサ内で実施す
ることができる。この例では、安全機能(複数可)は、順次評価することができ、したが
っていくつかの態様では、処理ループの順次動作により、1つの安全機能(たとえば、A
2)の別の安全機能(たとえば、A1)に対する依存性を導入することができる。別の例
として、安全機能は、状態に基づくフィールドプログラマブルゲートアレイ(FPGA)
内で実施することができる。この例では、各安全機能は、すべての他の安全機能とは独立
して評価することができる。この後者の例では、1つの安全機能の別の安全機能に対する
処理のあらゆる依存性を除去することによって、非依存性の増大を確実にすることができ
る。
[0156]給水損失の過渡事象例に対する多層多様性は、ソフトウェアCCFを1組(A/
C)の特定の安全機能(A1)に制限することによって、CCFが保護措置を不能にする
ことからの保護を提供する。いくつかの態様では、ソフトウェアCCFは、2つの安全機
能間の機能的非依存性及び安全機能アルゴリズムが入力として使用するプロセス測定に基
づいて、特定の安全機能に制限される。いくつかの態様では、ソフトウェアCCFは、各
組に対して異なるプログラマブルハードウェア、設計チーム、及び設計ツールを組み込む
ことによって、1組の特定の安全機能に限定される。CCFが1組の特定の安全機能に制
限されると、過渡事象は、他の組(B/D)のその安全機能(A1)又は両方の組(A/
C及びB/D)の第2の安全機能(A2)によって軽減される。
C)の特定の安全機能(A1)に制限することによって、CCFが保護措置を不能にする
ことからの保護を提供する。いくつかの態様では、ソフトウェアCCFは、2つの安全機
能間の機能的非依存性及び安全機能アルゴリズムが入力として使用するプロセス測定に基
づいて、特定の安全機能に制限される。いくつかの態様では、ソフトウェアCCFは、各
組に対して異なるプログラマブルハードウェア、設計チーム、及び設計ツールを組み込む
ことによって、1組の特定の安全機能に限定される。CCFが1組の特定の安全機能に制
限されると、過渡事象は、他の組(B/D)のその安全機能(A1)又は両方の組(A/
C及びB/D)の第2の安全機能(A2)によって軽減される。
[0157]たとえば、図4Aに示すように、すべての4つの分離グループ(A、B、C、D
)(たとえば、チェックマークによって示す)によって保護措置を取る必要があることを
示すA1に対する安全機能の出力の結果、保護措置(たとえば、「トリップ」によって示
す)が開始される。図4Bに示すように、安全機能A1に対する単一ディビジョン内の2
つのグループでも、2つの分離グループ(A及びC)内にCCFが存在する場合、他の分
離グループ(B及びD)内の保護措置の正の標示がそれでもなお、保護措置を開始するの
に十分な票を提供する(上述したツーアウトオブフォー方式)。さらに、安全機能A1に
対するグループA及びC内のCCFは、各SFMにおける独立した評価のため、安全機能
A2へ波及しない。
)(たとえば、チェックマークによって示す)によって保護措置を取る必要があることを
示すA1に対する安全機能の出力の結果、保護措置(たとえば、「トリップ」によって示
す)が開始される。図4Bに示すように、安全機能A1に対する単一ディビジョン内の2
つのグループでも、2つの分離グループ(A及びC)内にCCFが存在する場合、他の分
離グループ(B及びD)内の保護措置の正の標示がそれでもなお、保護措置を開始するの
に十分な票を提供する(上述したツーアウトオブフォー方式)。さらに、安全機能A1に
対するグループA及びC内のCCFは、各SFMにおける独立した評価のため、安全機能
A2へ波及しない。
[0158]図5は、原子力システムに対するI&CシステムのMPSの安全機能モジュール
(SFM)500のブロック図を示す。図6は、原子力システムに対するI&Cシステム
のMPSの通信モジュール(CM)600のブロック図を示す。図7は、原子力システム
に対するI&CシステムのMPSの機器インタフェースモジュール(EIM)700のブ
ロック図を示す。図8(以下に論じる)は、シャーシ(たとえば、1つ又は複数のSFM
500、CM600、及びEIM700を相互接続する機械構造)内の通信経路を示す。
概して、シャーシ(後述するシャーシ800によって示す)内で相互接続された図示のモ
ジュール500、600、及び700は、MPS200の安全機能を実施し、分離グルー
プレベルモジュール(たとえば、信号調節器204a~204d、トリップ判定208a
~208d)、RTSレベルモジュール(たとえば、RTS投票214/216)、及び
ESFASレベルモジュール(たとえば、ESFAS投票212/218)を構成する。
いくつかの態様では、3つのタイプのモジュール(500、600、及び700)を有す
ることで、ライン交換可能ユニットの数を最小にし、以て陳腐化を最小にすることができ
る。さらに、これらのモジュール(500、600、及び700)は、いずれかの個々の
モジュール(500、600、及び700)内の単一故障が他のモジュール又は他の安全
機能へ波及しないように、機能的に独立したものとすることができる。さらに、図8で実
施されるモジュール(500、600、及び700)の組合せは、個別の決定論的安全信
号経路を提供することができる。
(SFM)500のブロック図を示す。図6は、原子力システムに対するI&Cシステム
のMPSの通信モジュール(CM)600のブロック図を示す。図7は、原子力システム
に対するI&CシステムのMPSの機器インタフェースモジュール(EIM)700のブ
ロック図を示す。図8(以下に論じる)は、シャーシ(たとえば、1つ又は複数のSFM
500、CM600、及びEIM700を相互接続する機械構造)内の通信経路を示す。
概して、シャーシ(後述するシャーシ800によって示す)内で相互接続された図示のモ
ジュール500、600、及び700は、MPS200の安全機能を実施し、分離グルー
プレベルモジュール(たとえば、信号調節器204a~204d、トリップ判定208a
~208d)、RTSレベルモジュール(たとえば、RTS投票214/216)、及び
ESFASレベルモジュール(たとえば、ESFAS投票212/218)を構成する。
いくつかの態様では、3つのタイプのモジュール(500、600、及び700)を有す
ることで、ライン交換可能ユニットの数を最小にし、以て陳腐化を最小にすることができ
る。さらに、これらのモジュール(500、600、及び700)は、いずれかの個々の
モジュール(500、600、及び700)内の単一故障が他のモジュール又は他の安全
機能へ波及しないように、機能的に独立したものとすることができる。さらに、図8で実
施されるモジュール(500、600、及び700)の組合せは、個別の決定論的安全信
号経路を提供することができる。
[0159]いくつかの態様では、モジュール(500、600、及び700)は、機能的非
依存性を少なくとも部分的に定義する1つ又は複数の特徴を有することができる。たとえ
ば、モジュールは各々、全体的なシステム/アーキテクチャ(たとえば、MPS200)
内で、互いのモジュールに対して完全に自律的とすることができる。別の例として、モジ
ュールは各々、全体的なシステム/アーキテクチャ内で特定の所期の安全機能を互いのモ
ジュールに対して自律的に実行することができる。さらに別の例として、モジュールは各
々、モジュールの特定の所期の安全機能に特有である専用の論理を含むことができる。し
たがって、機能的に独立した各モジュールは、あらゆる他のモジュールからの論理又は機
能に依存しないで、特定の所期の安全機能を完成させることができる。
依存性を少なくとも部分的に定義する1つ又は複数の特徴を有することができる。たとえ
ば、モジュールは各々、全体的なシステム/アーキテクチャ(たとえば、MPS200)
内で、互いのモジュールに対して完全に自律的とすることができる。別の例として、モジ
ュールは各々、全体的なシステム/アーキテクチャ内で特定の所期の安全機能を互いのモ
ジュールに対して自律的に実行することができる。さらに別の例として、モジュールは各
々、モジュールの特定の所期の安全機能に特有である専用の論理を含むことができる。し
たがって、機能的に独立した各モジュールは、あらゆる他のモジュールからの論理又は機
能に依存しないで、特定の所期の安全機能を完成させることができる。
[0160]図5を参照すると、SFM500は、図示のように、他のSFMからのセンサ入
力又はデータを処理して、特定のSFMが割り当てられた分離グループ(たとえば、分離
グループA、B、C、又はD)に対する原子炉トリップ及び/又はESF作動判定を行う
。SFM500は、(1)安全データバス通信、並びに原子炉トリップ及び/又はESF
作動によるセンサ信号調節、並びに(2)原子炉トリップ判定及び/又はESF作動判定
による安全データバス通信という2つの別個の構成で使用することができる。
力又はデータを処理して、特定のSFMが割り当てられた分離グループ(たとえば、分離
グループA、B、C、又はD)に対する原子炉トリップ及び/又はESF作動判定を行う
。SFM500は、(1)安全データバス通信、並びに原子炉トリップ及び/又はESF
作動によるセンサ信号調節、並びに(2)原子炉トリップ判定及び/又はESF作動判定
による安全データバス通信という2つの別個の構成で使用することができる。
[0161]図示のように、SFM500は、概して、入力ブロック504、機能的論理ブロ
ック512、並びに通信ブロック514、516、及び518を含む。各入力ブロック5
04(図5には4つを示す)は、信号調節回路506、アナログ-デジタル(A/D)変
換器508、及び直列インタフェース510からなる。各入力ブロック504は、センサ
502(たとえば、センサ202a~202dと同じ又は類似とすることができる)に通
信可能に結合される。図示のように、個々のSFM500は、最大4つの入力ブロック5
04(図示の例示的な実施形態では)を取り扱うことができる。入力タイプは、SFM5
00がパーミッシブ及びインタロックの生成を含むトリップ又はESF作動判定を行うた
めに必要とするはずのアナログ及びデジタルの任意の組合せ(たとえば、4~20mA、
10~50mA、0~10V)とすることができる。
ック512、並びに通信ブロック514、516、及び518を含む。各入力ブロック5
04(図5には4つを示す)は、信号調節回路506、アナログ-デジタル(A/D)変
換器508、及び直列インタフェース510からなる。各入力ブロック504は、センサ
502(たとえば、センサ202a~202dと同じ又は類似とすることができる)に通
信可能に結合される。図示のように、個々のSFM500は、最大4つの入力ブロック5
04(図示の例示的な実施形態では)を取り扱うことができる。入力タイプは、SFM5
00がパーミッシブ及びインタロックの生成を含むトリップ又はESF作動判定を行うた
めに必要とするはずのアナログ及びデジタルの任意の組合せ(たとえば、4~20mA、
10~50mA、0~10V)とすることができる。
[0162]機能的論理ブロック512は、SFM500のうち、入力ブロック504(使用
される場合)の直列インタフェース510からの出力を工学単位に変換するプログラマブ
ル部分である。機能的論理ブロック512はまた、入力ブロック504の出力(たとえば
、センサ502からのセンサ測定)及び/又は安全データバスからの情報に基づいて、ト
リップ及び/又はESF作動判定を行うことができる。機能的論理ブロック512はまた
、パーミッシブ及び制御インタロックを生成することができる。図示のように、機能的論
理ブロック512は、入力ブロック504及び/又は安全データバスから得た情報を利用
してトリップ又はESF作動判定を行う複数の決定論的論理エンジンを含む。
される場合)の直列インタフェース510からの出力を工学単位に変換するプログラマブ
ル部分である。機能的論理ブロック512はまた、入力ブロック504の出力(たとえば
、センサ502からのセンサ測定)及び/又は安全データバスからの情報に基づいて、ト
リップ及び/又はESF作動判定を行うことができる。機能的論理ブロック512はまた
、パーミッシブ及び制御インタロックを生成することができる。図示のように、機能的論
理ブロック512は、入力ブロック504及び/又は安全データバスから得た情報を利用
してトリップ又はESF作動判定を行う複数の決定論的論理エンジンを含む。
[0163]機能的論理ブロック512によって利用される設定点及び他の調整可能な情報は
、不揮発性メモリ内(たとえば、SFM500上)に記憶することができる。これにより
、根本的な論理の修正なく変更を可能にすることができる。さらに、機能、信号、及びソ
フトウェア多様性を実施するために、AOO又はPAを軽減するために使用される1次及
び補助機能は、同じSFM500上には位置しない。したがって、1つの機能又は1群の
機能に専用のSFM500を使用し、1次及び補助機能が別個のモジュール500上にあ
ることを確実にすることによって、各モジュール500上の一意の論理及びアルゴリズム
のため、ソフトウェアCCFの影響が制限される。
、不揮発性メモリ内(たとえば、SFM500上)に記憶することができる。これにより
、根本的な論理の修正なく変更を可能にすることができる。さらに、機能、信号、及びソ
フトウェア多様性を実施するために、AOO又はPAを軽減するために使用される1次及
び補助機能は、同じSFM500上には位置しない。したがって、1つの機能又は1群の
機能に専用のSFM500を使用し、1次及び補助機能が別個のモジュール500上にあ
ることを確実にすることによって、各モジュール500上の一意の論理及びアルゴリズム
のため、ソフトウェアCCFの影響が制限される。
[0164]通信ブロック514/516/518は、5つの別個の通信ポート(たとえば、
514と表記する3つの安全データポート、516と表記する1つのポート、及び518
と表記する1つのポート)からなる。各ポートは、機能的に独立したものとすることがで
き、監視及び標示(M/I)バス(たとえば、ブロック516)、保守ワークステーショ
ン(MWS)バス(たとえば、ブロック518)、又は安全バス(たとえば、ブロック5
14)と呼ばれる。各安全データバス514は、同じデータを通信することができるが、
各通信ポートは非同期であり、ポートは、異なる独立した一意の通信エンジンを使用する
ことによって、データを別々にパッケージ化して伝送する。たとえば、1つの安全データ
バス514は、たとえば、10パケットのデータを順次(たとえば、1、、...、10
)伝送することができ、別の安全バス514は、同じ10パケットを逆の順序(たとえば
、10、9、..、1)で伝送し、第3の安全バス514は、偶数のパケットをまず伝送
し、それに続いて奇数のパケットを伝送する(たとえば、2、4、..10、1、3、.
.、9)。この3重のモジュール冗長性及び多様性は、通信エラー検出を可能にするだけ
ではなく、正確なトリップ及び/又は作動判定を行うためのRTS又はESFASの能力
に影響を及ぼすことなく、通信CCFを特定のバスに制限する。
514と表記する3つの安全データポート、516と表記する1つのポート、及び518
と表記する1つのポート)からなる。各ポートは、機能的に独立したものとすることがで
き、監視及び標示(M/I)バス(たとえば、ブロック516)、保守ワークステーショ
ン(MWS)バス(たとえば、ブロック518)、又は安全バス(たとえば、ブロック5
14)と呼ばれる。各安全データバス514は、同じデータを通信することができるが、
各通信ポートは非同期であり、ポートは、異なる独立した一意の通信エンジンを使用する
ことによって、データを別々にパッケージ化して伝送する。たとえば、1つの安全データ
バス514は、たとえば、10パケットのデータを順次(たとえば、1、、...、10
)伝送することができ、別の安全バス514は、同じ10パケットを逆の順序(たとえば
、10、9、..、1)で伝送し、第3の安全バス514は、偶数のパケットをまず伝送
し、それに続いて奇数のパケットを伝送する(たとえば、2、4、..10、1、3、.
.、9)。この3重のモジュール冗長性及び多様性は、通信エラー検出を可能にするだけ
ではなく、正確なトリップ及び/又は作動判定を行うためのRTS又はESFASの能力
に影響を及ぼすことなく、通信CCFを特定のバスに制限する。
[0165]図6を参照すると、CM600は、原子力システムに対するI&CシステムのM
PS(たとえば、MPS200)の分離グループレベルの相互接続、RTSレベルの相互
接続、及びESFASレベルの相互接続において、SFM500及びEIM700などの
MPSの他のモジュール間で、独立した冗長な通信を提供する。たとえば、CM600は
、MPS内でデータを通過させるためのパイプライン、並びにそのようなデータ通過のス
ケジューラとすることができる。CM600は、任意の特定のチャネル内で、そのチャネ
ル内のデータの動作/通過を制御することができる。CM600の図示の実施形態では、
制限された通信ブロック(RCB)604、通信スケジューラ606、及び通信ブロック
608/610という3つのタイプのブロックが存在する。
PS(たとえば、MPS200)の分離グループレベルの相互接続、RTSレベルの相互
接続、及びESFASレベルの相互接続において、SFM500及びEIM700などの
MPSの他のモジュール間で、独立した冗長な通信を提供する。たとえば、CM600は
、MPS内でデータを通過させるためのパイプライン、並びにそのようなデータ通過のス
ケジューラとすることができる。CM600は、任意の特定のチャネル内で、そのチャネ
ル内のデータの動作/通過を制御することができる。CM600の図示の実施形態では、
制限された通信ブロック(RCB)604、通信スケジューラ606、及び通信ブロック
608/610という3つのタイプのブロックが存在する。
[0166]RCB604は、図示のように、4つの通信ポートからなる。いくつかの態様で
は、各ポートは、異なる単方向経路(たとえば、受取り専用又は伝送専用)になるように
構成することができる。いくつかの実施形態では、図示のCM600のように、特定のR
CB604から受け取られ又は送られる情報は、光アイソレータ602を通って渡される
。場合により、光アイソレータ602は、任意の特定のトリップ判定からのデータが他の
トリップ判定のデータから隔離されることを確実にするのを助け、以て独立した冗長性を
確実にすることができる。
は、各ポートは、異なる単方向経路(たとえば、受取り専用又は伝送専用)になるように
構成することができる。いくつかの実施形態では、図示のCM600のように、特定のR
CB604から受け取られ又は送られる情報は、光アイソレータ602を通って渡される
。場合により、光アイソレータ602は、任意の特定のトリップ判定からのデータが他の
トリップ判定のデータから隔離されることを確実にするのを助け、以て独立した冗長性を
確実にすることができる。
[0167]通信スケジューラ606は、通信ブロック608/610とRCB604との間
のデータの移動を担う。いくつかの態様では、通信エンジン606は、記載の相互接続間
の通信をスケジュールするようにプログラムされたFPGAなどのプログラマブル論理、
マイクロプロセッサ、又は他の個別の論理からなる。
のデータの移動を担う。いくつかの態様では、通信エンジン606は、記載の相互接続間
の通信をスケジュールするようにプログラムされたFPGAなどのプログラマブル論理、
マイクロプロセッサ、又は他の個別の論理からなる。
[0168]通信ブロック608/610は、4つの別個の通信ポート(たとえば、608と
表記する3つの安全データポート及び610と表記する1つのポート)からなる。各ポー
トは、機能的に独立したものとすることができ、監視及び標示(M/I)バス(たとえば
、ブロック610)又は安全データバス(たとえば、ブロック608)と呼ばれる。いく
つかの態様では、M/Iバス610は、MPS内のすべてのモジュール(たとえば、モジ
ュール500、600、及び700)から、そのようなモジュールの各々の状態を含む情
報を集めることができ、その情報を「ヒストリアン」ステーション(たとえば、MPSの
履歴データに対する専用の計算システム)へ送る。
表記する3つの安全データポート及び610と表記する1つのポート)からなる。各ポー
トは、機能的に独立したものとすることができ、監視及び標示(M/I)バス(たとえば
、ブロック610)又は安全データバス(たとえば、ブロック608)と呼ばれる。いく
つかの態様では、M/Iバス610は、MPS内のすべてのモジュール(たとえば、モジ
ュール500、600、及び700)から、そのようなモジュールの各々の状態を含む情
報を集めることができ、その情報を「ヒストリアン」ステーション(たとえば、MPSの
履歴データに対する専用の計算システム)へ送る。
[0169]各安全データバス608は、同じデータを通信することができるが、各通信ポー
トは、バス514を参照して上述したように、データを別々にパッケージ化して伝送する
。通信モジュールの応用例に応じて、4つの通信ブロック608/610は、単方向及び
双方向経路の任意の組合せで構成することができる。
トは、バス514を参照して上述したように、データを別々にパッケージ化して伝送する
。通信モジュールの応用例に応じて、4つの通信ブロック608/610は、単方向及び
双方向経路の任意の組合せで構成することができる。
[0170]図7を参照すると、EIM700は、概して、トリップ判定に投票し、構成要素
レベルの作動及び操作を行うために、RTS及び/又はESFASレベルシステム内の原
子力システム内の各構成要素へインタフェースを提供する。図示のように、EIM700
は、出力ブロック720、機器フィードバックブロック718、1E手動入力716、非
1E手動入力714、投票エンジン722、優先論理ブロック721、機器制御ブロック
723、及び通信ブロック724/726/728を含む。概して、EIM700は、単
一の構成要素の故障が、原子力システムに対するI&CシステムのMPS(たとえば、M
PS200)のチャネルレベルの相互接続、RTSレベルの相互接続、及びESFASレ
ベルの相互接続内で波及しないことを確実にするために、トリップ信号に基づいて、投票
、場合により2重投票(たとえば、通信に対してツーアウトオブスリー投票、及びトリッ
プ信号に対してツーアウトオブフォー投票)を実行することができる。EIM700は、
投票722、手動作動/1E入力716、及び非1E入力714からの自動信号に対する
優先割当てを実行することができる。
レベルの作動及び操作を行うために、RTS及び/又はESFASレベルシステム内の原
子力システム内の各構成要素へインタフェースを提供する。図示のように、EIM700
は、出力ブロック720、機器フィードバックブロック718、1E手動入力716、非
1E手動入力714、投票エンジン722、優先論理ブロック721、機器制御ブロック
723、及び通信ブロック724/726/728を含む。概して、EIM700は、単
一の構成要素の故障が、原子力システムに対するI&CシステムのMPS(たとえば、M
PS200)のチャネルレベルの相互接続、RTSレベルの相互接続、及びESFASレ
ベルの相互接続内で波及しないことを確実にするために、トリップ信号に基づいて、投票
、場合により2重投票(たとえば、通信に対してツーアウトオブスリー投票、及びトリッ
プ信号に対してツーアウトオブフォー投票)を実行することができる。EIM700は、
投票722、手動作動/1E入力716、及び非1E入力714からの自動信号に対する
優先割当てを実行することができる。
[0171]出力ブロック720は、図示のように、最大3つの独立した出力スイッチ、又は
いくつかの例ではそれ以上を含み、これらの出力スイッチは、外部回路内で使用すること
ができ、電気負荷702(たとえば、アクチュエータ)に結合される。いくつかの態様で
は、これにより、EIM700が単一の構成要素を直接制御すること、又は複数の構成要
素に対して開始信号を提供することが可能になる。たとえば、出力ブロック720はリレ
ーを励磁し、それにより様々なポンプを開始し、複数のバルブを開放する。各出力ブロッ
ク720はまた、負荷連続性検査を自己試験及び実行する能力を含むことができる。
いくつかの例ではそれ以上を含み、これらの出力スイッチは、外部回路内で使用すること
ができ、電気負荷702(たとえば、アクチュエータ)に結合される。いくつかの態様で
は、これにより、EIM700が単一の構成要素を直接制御すること、又は複数の構成要
素に対して開始信号を提供することが可能になる。たとえば、出力ブロック720はリレ
ーを励磁し、それにより様々なポンプを開始し、複数のバルブを開放する。各出力ブロッ
ク720はまた、負荷連続性検査を自己試験及び実行する能力を含むことができる。
[0172]機器フィードバックブロック718は、図示のように、機器からの複数(たとえ
ば、最大3つ、又はいくつかの例ではそれ以上)のフィードバック入力704からなるこ
とができる。フィードバック入力704は、たとえば、バルブ位置(たとえば、完全開放
、完全閉鎖)、遮断器状態(たとえば、閉鎖/開放)、又は他の構成要素からの他のフィ
ードバックを含むことができる。機器フィードバック704は、以下に論じる投票機器制
御ブロック723内で利用することができる。
ば、最大3つ、又はいくつかの例ではそれ以上)のフィードバック入力704からなるこ
とができる。フィードバック入力704は、たとえば、バルブ位置(たとえば、完全開放
、完全閉鎖)、遮断器状態(たとえば、閉鎖/開放)、又は他の構成要素からの他のフィ
ードバックを含むことができる。機器フィードバック704は、以下に論じる投票機器制
御ブロック723内で利用することができる。
[0173]1E手動入力ブロック716は、複数(たとえば、最大2つ、又はいくつかの例
ではそれ以上)の手動入力信号706を提供することができる。EIM700のこの部分
は、手動入力に専用とすることができ、優先論理ブロック721内で利用される。
ではそれ以上)の手動入力信号706を提供することができる。EIM700のこの部分
は、手動入力に専用とすることができ、優先論理ブロック721内で利用される。
[0174]複数の入力信号708が、隔離インタフェース712を介して非1E入力ブロッ
ク714に結合される。この電気的隔離インタフェース712により、優先論理ブロック
721への入力に対する非1E信号の使用が可能になる。
ク714に結合される。この電気的隔離インタフェース712により、優先論理ブロック
721への入力に対する非1E信号の使用が可能になる。
[0175]投票エンジン722は、通信ブロック724からトリップ判定入力を受け取る。
投票の結果は、自動作動信号に対して作動又は非作動信号を優先論理ブロック721へ提
供する。いくつかの態様では、投票エンジン722は、MPS内の単一の構成要素の故障
が波及しないことを確実にするために、投票方式、場合により2重投票方式を実施するこ
とができる。たとえば、いくつかの態様では、投票エンジン722は、通信ブロック72
4でトリップ判定を受け取る。各通信ブロック724は、4つのチャネル又は分離グルー
プ(たとえば、上述したチャネルA~D)から、トリップ判定(たとえば、トリップ又は
トリップなし)を受け取ることができる。投票エンジン722内に、いくつかの態様では
、3つの「A」トリップ判定、3つの「B」トリップ判定、3つの「C」トリップ判定、
及び3つの「D」トリップ判定が存在することができる。したがって、投票エンジン72
2は、4つのチャネル又は分離グループの各々において、ツーアウトオブスリー判定を実
行することができる。3つの「A」チャネルのうちの少なくとも2つが、たとえばトリッ
プの有効な通信を提供する(たとえば、トリップ判定の通信が有効であることを示す)場
合、投票エンジン722は、少なくとも最初は、チャネル「A」上にトリップがあること
を通信することができ、3つの「A」チャネルのうちの1つのみがトリップを示す場合、
投票エンジン722は、チャネル「A」上にトリップがないと判定することができる。
投票の結果は、自動作動信号に対して作動又は非作動信号を優先論理ブロック721へ提
供する。いくつかの態様では、投票エンジン722は、MPS内の単一の構成要素の故障
が波及しないことを確実にするために、投票方式、場合により2重投票方式を実施するこ
とができる。たとえば、いくつかの態様では、投票エンジン722は、通信ブロック72
4でトリップ判定を受け取る。各通信ブロック724は、4つのチャネル又は分離グルー
プ(たとえば、上述したチャネルA~D)から、トリップ判定(たとえば、トリップ又は
トリップなし)を受け取ることができる。投票エンジン722内に、いくつかの態様では
、3つの「A」トリップ判定、3つの「B」トリップ判定、3つの「C」トリップ判定、
及び3つの「D」トリップ判定が存在することができる。したがって、投票エンジン72
2は、4つのチャネル又は分離グループの各々において、ツーアウトオブスリー判定を実
行することができる。3つの「A」チャネルのうちの少なくとも2つが、たとえばトリッ
プの有効な通信を提供する(たとえば、トリップ判定の通信が有効であることを示す)場
合、投票エンジン722は、少なくとも最初は、チャネル「A」上にトリップがあること
を通信することができ、3つの「A」チャネルのうちの1つのみがトリップを示す場合、
投票エンジン722は、チャネル「A」上にトリップがないと判定することができる。
[0176]投票エンジン722は、上述したように、故障がMPS構造全体にわたって波及
しないことをさらに確実にするために2重投票方式を実施することができる。たとえば、
上述したツーアウトオブスリー通信判定後、投票エンジン722はまた、トリップが実際
に行われたかどうか(たとえば、故障が偽のトリップを示すのではない)を判定するため
に、ツーアウトオブフォートリップ判定を実行することができる。たとえば、ツーオブス
リー判定を実行する投票エンジン722内の4つの投票ブロックの出力(たとえば、3つ
の投票論理ゲートのうちの2つ)を、ツーオブフォー判定を行う別の投票ブロック(たと
えば、ツーオブフォー投票論理ゲート)へ送ることができる。第1の層の投票ブロック(
たとえば、ツーオブスリーブロック)からの4つの出力のうちの少なくとも2つがトリッ
プを示す場合、投票エンジン722は、トリップが生じたこと(及び負荷702などのE
FS機器を作動させるべきであること)を判定することができ、それ以外の場合、投票エ
ンジン722は、実際のトリップが生じていないと判定することができる。
しないことをさらに確実にするために2重投票方式を実施することができる。たとえば、
上述したツーアウトオブスリー通信判定後、投票エンジン722はまた、トリップが実際
に行われたかどうか(たとえば、故障が偽のトリップを示すのではない)を判定するため
に、ツーアウトオブフォートリップ判定を実行することができる。たとえば、ツーオブス
リー判定を実行する投票エンジン722内の4つの投票ブロックの出力(たとえば、3つ
の投票論理ゲートのうちの2つ)を、ツーオブフォー判定を行う別の投票ブロック(たと
えば、ツーオブフォー投票論理ゲート)へ送ることができる。第1の層の投票ブロック(
たとえば、ツーオブスリーブロック)からの4つの出力のうちの少なくとも2つがトリッ
プを示す場合、投票エンジン722は、トリップが生じたこと(及び負荷702などのE
FS機器を作動させるべきであること)を判定することができ、それ以外の場合、投票エ
ンジン722は、実際のトリップが生じていないと判定することができる。
[0177]優先論理ブロックは、投票ブロック722、1E手動入力ブロック716、及び
非1E手動入力ブロック714から入力を受け取る。次いで優先論理ブロック721は、
すべての入力に基づいて、機器制御モジュールに何を実行するように命令するかの判定を
行う。
非1E手動入力ブロック714から入力を受け取る。次いで優先論理ブロック721は、
すべての入力に基づいて、機器制御モジュールに何を実行するように命令するかの判定を
行う。
[0178]機器制御ブロックは、優先論理モジュールからコマンドを受け取り、出力ブロッ
ク720を介して構成要素上で適当な作動又は操作を実行する。機器制御ブロックは、機
器制御の目的のため、機器フィードバックブロック718を介して機器からフィードバッ
クを受け取る。
ク720を介して構成要素上で適当な作動又は操作を実行する。機器制御ブロックは、機
器制御の目的のため、機器フィードバックブロック718を介して機器からフィードバッ
クを受け取る。
[0179]機器制御ブロック722、優先論理ブロック721、及び投票ブロック722は
各々、保守ワークステーション(MWS)バス(たとえば、ブロック728)へ状態情報
を提供する。通信ブロック724/726/728は、5つの別個の通信ポート(たとえ
ば、724と表記する3つの安全データポート、726と表記する1つのポート、及び7
28と表記する1つのポート))からなる。各ポートは、機能的に独立したものとするこ
とができ、監視及び標示(M/I)バス(たとえば、ブロック726)、保守ワークステ
ーション(MWS)バス(たとえば、ブロック728)、又は安全データバス(たとえば
、ブロック724)と呼ばれる。
各々、保守ワークステーション(MWS)バス(たとえば、ブロック728)へ状態情報
を提供する。通信ブロック724/726/728は、5つの別個の通信ポート(たとえ
ば、724と表記する3つの安全データポート、726と表記する1つのポート、及び7
28と表記する1つのポート))からなる。各ポートは、機能的に独立したものとするこ
とができ、監視及び標示(M/I)バス(たとえば、ブロック726)、保守ワークステ
ーション(MWS)バス(たとえば、ブロック728)、又は安全データバス(たとえば
、ブロック724)と呼ばれる。
[0180]図8は、1つ又は複数のSFM500、EIM700、及びCM600を通信可
能に結合する原子炉保護システム(たとえば、MPS145)のシャーシ800の例示的
な実施形態を示す。この図は、シャーシ800内で4つのCM600に接続された3つの
SFM500又はEIM700の一例を提供する。この例では、5つのデータバス経路が
示されている。たとえば、3つの安全データポート802が、それぞれX、Y、及びZと
表記されている。1つのデータバス経路804が、M/Iと表記されている。1つのデー
タバス経路804が、MWSと表記されている。各データバス経路802/804は、こ
の例では、シャーシ800内のすべての他のデータバス経路802/804とは機能的及
び電気的に独立したものとすることができる。
能に結合する原子炉保護システム(たとえば、MPS145)のシャーシ800の例示的
な実施形態を示す。この図は、シャーシ800内で4つのCM600に接続された3つの
SFM500又はEIM700の一例を提供する。この例では、5つのデータバス経路が
示されている。たとえば、3つの安全データポート802が、それぞれX、Y、及びZと
表記されている。1つのデータバス経路804が、M/Iと表記されている。1つのデー
タバス経路804が、MWSと表記されている。各データバス経路802/804は、こ
の例では、シャーシ800内のすべての他のデータバス経路802/804とは機能的及
び電気的に独立したものとすることができる。
[0181]この図示の実施形態では、CM600は各々、データバス経路802/804の
うちの1つのマスタを含むことができる。図示のように、Xデータバス経路802のマス
タ808は、安全データXに対するCM600の一部である。Yデータ経路802のマス
タ810は、安全データYに対するCM600である。Zデータ経路802のマスタ81
2は、安全データZに対するCM600である。最後に、この例に示すように、M/Iデ
ータ経路804に対するマスタ814は、M/Iに対するCM600である。この例でも
同様に、MWSマスタ816は、別個に接続(たとえば、保守ワークステーションとして
)されたMWSデータ経路806のマスタである。保守ワークステーション(MWSマス
タ)816は、ハードワイヤードスイッチによって機器の通常動作から切断することがで
きる。
うちの1つのマスタを含むことができる。図示のように、Xデータバス経路802のマス
タ808は、安全データXに対するCM600の一部である。Yデータ経路802のマス
タ810は、安全データYに対するCM600である。Zデータ経路802のマスタ81
2は、安全データZに対するCM600である。最後に、この例に示すように、M/Iデ
ータ経路804に対するマスタ814は、M/Iに対するCM600である。この例でも
同様に、MWSマスタ816は、別個に接続(たとえば、保守ワークステーションとして
)されたMWSデータ経路806のマスタである。保守ワークステーション(MWSマス
タ)816は、ハードワイヤードスイッチによって機器の通常動作から切断することがで
きる。
[0182]図9A~9Cは、SFM500、CM600、及びEIM700のうちの1つ又
は複数を利用する分離グループ、RTS、及びESFASレベルの相互接続のブロック図
を示す。概して、モジュールSFM500、CM600、及びEIM700は、単一故障
(たとえば、ハードウェア、ソフトウェア、又はその他)が隣接する又は他の安全機能へ
波及することからの保護を提供する、たとえば機能的に独立したモジュール(たとえば、
特定可能なデバイス、計器、又は機器を構成しており、切断し、ユニットとして取り外し
、予備部品に交換することができ、ユニットとして試験することが可能な定義可能な性能
特徴を有する、相互接続された構成要素のアセンブリ)として、MPS200内に配置す
ることができる。これらのモジュールは、いくつかの実施形態では、トリップ感知及び判
定のために、最大で3重の冗長性を提供することができる。モジュールはまた、上述した
ように、冗長RTS及びESFAS投票ディビジョンを提供するように配置することがで
きる。いくつかの実施形態では、モジュールは、トリップ構成要素(たとえば、遮断器、
センサ、又はその他)ごとに独立したトリップ投票モジュールを提供することができる。
は複数を利用する分離グループ、RTS、及びESFASレベルの相互接続のブロック図
を示す。概して、モジュールSFM500、CM600、及びEIM700は、単一故障
(たとえば、ハードウェア、ソフトウェア、又はその他)が隣接する又は他の安全機能へ
波及することからの保護を提供する、たとえば機能的に独立したモジュール(たとえば、
特定可能なデバイス、計器、又は機器を構成しており、切断し、ユニットとして取り外し
、予備部品に交換することができ、ユニットとして試験することが可能な定義可能な性能
特徴を有する、相互接続された構成要素のアセンブリ)として、MPS200内に配置す
ることができる。これらのモジュールは、いくつかの実施形態では、トリップ感知及び判
定のために、最大で3重の冗長性を提供することができる。モジュールはまた、上述した
ように、冗長RTS及びESFAS投票ディビジョンを提供するように配置することがで
きる。いくつかの実施形態では、モジュールは、トリップ構成要素(たとえば、遮断器、
センサ、又はその他)ごとに独立したトリップ投票モジュールを提供することができる。
[0183]場合により、モジュールはRTS投票を提供し、他の場合、モジュールはESF
AS投票を提供する。各モジュールの非依存性に対して、各モジュールは、RTS/ES
FASトリップを起動するか、それとも起動しないかに関して、特定のトリップ構成要素
に専用のすべての他のモジュールとは別個に、特定のトリップ構成要素に対する判定を行
うことができる。いくつかの実施形態では、トリップ判定の有効な通信の判定は、多数決
(たとえば、ツーアウトオブスリー)によって行うことができる。いくつかの実施形態で
は、これらの判定は、2重投票方式で行うことができ、トリップ判定の通信は、多数決(
たとえば、ツーオブスリー)によって認証され、2次トリップ判定投票は、多数決投票よ
り小さい(たとえば、ツーオブフォー)。
AS投票を提供する。各モジュールの非依存性に対して、各モジュールは、RTS/ES
FASトリップを起動するか、それとも起動しないかに関して、特定のトリップ構成要素
に専用のすべての他のモジュールとは別個に、特定のトリップ構成要素に対する判定を行
うことができる。いくつかの実施形態では、トリップ判定の有効な通信の判定は、多数決
(たとえば、ツーアウトオブスリー)によって行うことができる。いくつかの実施形態で
は、これらの判定は、2重投票方式で行うことができ、トリップ判定の通信は、多数決(
たとえば、ツーオブスリー)によって認証され、2次トリップ判定投票は、多数決投票よ
り小さい(たとえば、ツーオブフォー)。
[0184]図9Aを参照すると、例示的な分離グループレベルの相互接続900が示されて
いる。図示のチャネルレベルの相互接続900は、チャネルセンサ入力902と、入力9
02を受け取るSFM500と、920を通って出力904を通信するCM600とを含
む。図示のように、単一の機能又は単一の組の機能を実施するために、チャネルレベルの
相互接続900内の各SFM500は、アナログ及びデジタルの任意の組合せで、4つの
入力902、又はいくつかの例ではそれ以上を含むことができる。各入力902は、特定
のSFM500に一意とすることができる(たとえば、チャネルA加圧器圧力信号は、1
つのSFM500のみへの直接入力である)。状態情報(たとえば、警報、論理判定、モ
ジュール状態)を含む入力データは、すべての4つのデータバスで利用可能とすることが
できる。
いる。図示のチャネルレベルの相互接続900は、チャネルセンサ入力902と、入力9
02を受け取るSFM500と、920を通って出力904を通信するCM600とを含
む。図示のように、単一の機能又は単一の組の機能を実施するために、チャネルレベルの
相互接続900内の各SFM500は、アナログ及びデジタルの任意の組合せで、4つの
入力902、又はいくつかの例ではそれ以上を含むことができる。各入力902は、特定
のSFM500に一意とすることができる(たとえば、チャネルA加圧器圧力信号は、1
つのSFM500のみへの直接入力である)。状態情報(たとえば、警報、論理判定、モ
ジュール状態)を含む入力データは、すべての4つのデータバスで利用可能とすることが
できる。
[0185]安全バスは、機能的に独立したものとすることができ、各安全バスは、CM60
0をマスタとしたマスタ-スレーブプロトコルを使用する。SFM内のブロックは同期し
て動作するが、モジュール間の通信は、非同期とすることができる。バスに対するCM6
00が、特定のSFM500からの情報を要求したとき、SFM500は、バスへの同報
通信で応答することができる。同報通信の利益は、たとえば「1」と表記するSFM50
0が、「2」と表記するSFM500によって必要とされる情報(たとえば、パーミッシ
ブ信号、センサ入力値)を有する場合、SFM500「2」が、この必要とされる情報を
待ち受けて取得することができる。
0をマスタとしたマスタ-スレーブプロトコルを使用する。SFM内のブロックは同期し
て動作するが、モジュール間の通信は、非同期とすることができる。バスに対するCM6
00が、特定のSFM500からの情報を要求したとき、SFM500は、バスへの同報
通信で応答することができる。同報通信の利益は、たとえば「1」と表記するSFM50
0が、「2」と表記するSFM500によって必要とされる情報(たとえば、パーミッシ
ブ信号、センサ入力値)を有する場合、SFM500「2」が、この必要とされる情報を
待ち受けて取得することができる。
[0186]3つの安全データバス(たとえば、「X」、「Y」、及び「Z」と表記)に加え
て、監視及び標示(M/I)に対する第4の通信バスが示されている。M/Iバスのマス
タは、M/Iデータを安全ゲートウェイ及び不安全制御システムへ提供するのに専用のC
M600とすることができる。3つの安全データバス(たとえば、バスX、Y、及びZ)
に対するCM600とは異なり、M/IのCM600は、すべての3つの安全バス上の情
報の同報通信を待ち受けることが可能である。
て、監視及び標示(M/I)に対する第4の通信バスが示されている。M/Iバスのマス
タは、M/Iデータを安全ゲートウェイ及び不安全制御システムへ提供するのに専用のC
M600とすることができる。3つの安全データバス(たとえば、バスX、Y、及びZ)
に対するCM600とは異なり、M/IのCM600は、すべての3つの安全バス上の情
報の同報通信を待ち受けることが可能である。
[0187]いくつかの実施形態では、CM600の制限された通信ブロック(RCB)は、
様々なポイントツーポイント構成を有することができる。分離グループレベルの相互接続
900では、RCB上のすべての4つの通信ポートを伝送専用に構成することができる。
各安全データバスCM600(たとえば、X、Y、及びZと表記するCM600)からの
データは、RTS及びESFASの各ディビジョン(たとえば、ディビジョンI及びII
)へ送ることができる。M/I CM600からのデータ(たとえば、出力916~92
0)は、安全ゲートウェイ及び不安全制御システムへ送ることができる。
様々なポイントツーポイント構成を有することができる。分離グループレベルの相互接続
900では、RCB上のすべての4つの通信ポートを伝送専用に構成することができる。
各安全データバスCM600(たとえば、X、Y、及びZと表記するCM600)からの
データは、RTS及びESFASの各ディビジョン(たとえば、ディビジョンI及びII
)へ送ることができる。M/I CM600からのデータ(たとえば、出力916~92
0)は、安全ゲートウェイ及び不安全制御システムへ送ることができる。
[0188]出力904~914は、たとえば、RTS及びESFASレベルの相互接続(後
述)へ提供することができる。たとえば、図示のように、出力904、908、及び91
2は、ESFASレベルの相互接続へ提供することができ、出力906、910、及び9
14は、RTSレベルの相互接続へ提供することができる。図9Aには1つの分離グルー
プレベルの相互接続900のみが示されているが、MPS構造を有する複数の相互接続9
00を設けることができる。
述)へ提供することができる。たとえば、図示のように、出力904、908、及び91
2は、ESFASレベルの相互接続へ提供することができ、出力906、910、及び9
14は、RTSレベルの相互接続へ提供することができる。図9Aには1つの分離グルー
プレベルの相互接続900のみが示されているが、MPS構造を有する複数の相互接続9
00を設けることができる。
[0189]図9Bを参照すると、ディビジョンに分割された例示的なRTSレベルの相互接
続が示されている。RTSレベルの相互接続は、図示のように、RTSのディビジョンI
及びII(たとえば、RTS投票214及び216)を含む。図示の各ディビジョン(2
14及び216)は、4つのCM600及び4つのEIM700を含む。各ディビジョン
に対して、3つの安全データバス(X、Y、及びZと表記)は各々、入力962~972
として示すすべての4つの分離グループからのトリップ又はトリップなし判定を受け取る
ことができる(たとえば、分離グループは、同じ番号、すなわちA1及びB1で表記する
)。第4のCM600は、図示のように、データを(出力974~976として)不安全
制御システム及び安全ゲートウェイへ伝送するように提供することができる。
続が示されている。RTSレベルの相互接続は、図示のように、RTSのディビジョンI
及びII(たとえば、RTS投票214及び216)を含む。図示の各ディビジョン(2
14及び216)は、4つのCM600及び4つのEIM700を含む。各ディビジョン
に対して、3つの安全データバス(X、Y、及びZと表記)は各々、入力962~972
として示すすべての4つの分離グループからのトリップ又はトリップなし判定を受け取る
ことができる(たとえば、分離グループは、同じ番号、すなわちA1及びB1で表記する
)。第4のCM600は、図示のように、データを(出力974~976として)不安全
制御システム及び安全ゲートウェイへ伝送するように提供することができる。
[0190]各安全バスCM600に対するRCB上の各通信ポートは、「受取り専用」に構
成することができ、光学的に隔離することができる(上述)。M/I CM600は、「
伝送専用」に構成されたRCB内にすべてのポートを有することができる。
成することができ、光学的に隔離することができる(上述)。M/I CM600は、「
伝送専用」に構成されたRCB内にすべてのポートを有することができる。
[0191]いくつかの実施形態では、すべての分離グループからの各安全データバスに対す
るトリップ判定は、4つのEIM700の各々に利用可能である。EIM700は、すべ
ての3つの安全バス(X、Y、及びZと表記)を使用して、通信エラーによる遮断器の擬
似作動がないことを確実にすることができる。4つの分離グループ(入力962~972
)のうちの少なくとも2つがトリップ状態を示すとき、原子炉トリップ遮断器が開放され
る。各EIM700は、たとえば、原子炉トリップ遮断器の不足電圧リレー及び分路トリ
ップコイルに専用とすることができる。自動作動に加えて、EIM600は、手動のディ
ビジョンレベルの原子炉トリップ978、遮断器フィードバック、及びESFASフィー
ドバックに対する入力を有する。
るトリップ判定は、4つのEIM700の各々に利用可能である。EIM700は、すべ
ての3つの安全バス(X、Y、及びZと表記)を使用して、通信エラーによる遮断器の擬
似作動がないことを確実にすることができる。4つの分離グループ(入力962~972
)のうちの少なくとも2つがトリップ状態を示すとき、原子炉トリップ遮断器が開放され
る。各EIM700は、たとえば、原子炉トリップ遮断器の不足電圧リレー及び分路トリ
ップコイルに専用とすることができる。自動作動に加えて、EIM600は、手動のディ
ビジョンレベルの原子炉トリップ978、遮断器フィードバック、及びESFASフィー
ドバックに対する入力を有する。
[0192]EIM600の出力(ディビジョンIに対して980a~980d、ディビジョ
ンIIに対して982a~982dと表記)は、特定のディビジョンに関連付けられた原
子炉トリップ遮断器(RTB)(図2Bに示す)のトリップコイルに対する入力に結合す
ることができる。
ンIIに対して982a~982dと表記)は、特定のディビジョンに関連付けられた原
子炉トリップ遮断器(RTB)(図2Bに示す)のトリップコイルに対する入力に結合す
ることができる。
[0193]図9Cを参照すると、ディビジョンに分割された例示的なESFASレベルの相
互接続が示されている。ESFASレベルの相互接続は、図示のように、ESFASのデ
ィビジョンI及びII(たとえば、ESFAS投票212及び218)を含む。図示の各
ディビジョン(212及び218)は、4つのCM600及び4つのEIM700を含む
。各ディビジョンに対して、3つの安全データバス(X、Y、及びZと表記)は各々、入
力962~972と表記するすべての分離グループ(この例では、Dと表記する4つ)か
らのESF作動判定を受け取る。
互接続が示されている。ESFASレベルの相互接続は、図示のように、ESFASのデ
ィビジョンI及びII(たとえば、ESFAS投票212及び218)を含む。図示の各
ディビジョン(212及び218)は、4つのCM600及び4つのEIM700を含む
。各ディビジョンに対して、3つの安全データバス(X、Y、及びZと表記)は各々、入
力962~972と表記するすべての分離グループ(この例では、Dと表記する4つ)か
らのESF作動判定を受け取る。
[0194]各安全データバスCM600(X、Y、及びZと表記)に対するRCB内の各通
信ポートは、「受取り専用」に構成することができ、光学的に隔離することができる(上
述)。M/I CM600は、「伝送専用」に構成されたRCB内にすべてのポートを有
することができ、これらのポートも同様に光学的に隔離されている。
信ポートは、「受取り専用」に構成することができ、光学的に隔離することができる(上
述)。M/I CM600は、「伝送専用」に構成されたRCB内にすべてのポートを有
することができ、これらのポートも同様に光学的に隔離されている。
[0195]いくつかの実施形態では、すべての分離グループからのESF作動判定は、すべ
ての3つの安全データバス(X、Y、及びZと表記)上のEIM700に利用可能である
。たとえば、EIM700は、機器の擬似作動が通信エラーによって引き起こされないこ
とを確実にするために、すべての3つの安全データバスを使用することができる。4つの
分離グループのうちの少なくとも2つが、ESF作動の必要を示す(たとえば、入力96
2~972上)場合、出力990(図3Bに示すように、ディビジョンに基づいてESF
機器224及び226に結合されている)を介して、安全機能(複数可)を開始すること
ができる。いくつかの態様では、各EIM700は、個々の構成要素(たとえば、単一の
ESF構成要素)に専用とすることができる。
ての3つの安全データバス(X、Y、及びZと表記)上のEIM700に利用可能である
。たとえば、EIM700は、機器の擬似作動が通信エラーによって引き起こされないこ
とを確実にするために、すべての3つの安全データバスを使用することができる。4つの
分離グループのうちの少なくとも2つが、ESF作動の必要を示す(たとえば、入力96
2~972上)場合、出力990(図3Bに示すように、ディビジョンに基づいてESF
機器224及び226に結合されている)を介して、安全機能(複数可)を開始すること
ができる。いくつかの態様では、各EIM700は、個々の構成要素(たとえば、単一の
ESF構成要素)に専用とすることができる。
[0196]自動開始は別にして、各EIM700は、手動入力992を使用して構成要素を
制御することができる。さらに、各EIM700はまた、非1E制御入力994を受け取
ることができる。非1E制御入力994(図3Bに入力282としても示す)は、非1E
がEIMの出力上で1E安全ESF構成要素を制御するために、EIM700へ提供する
ことができる。構成要素フィードバック(たとえば、リミットスイッチ)、投票判定、及
び他の利用可能な情報(たとえば、警報)は、M/I CM600から出力974~97
6として伝送することができる。
制御することができる。さらに、各EIM700はまた、非1E制御入力994を受け取
ることができる。非1E制御入力994(図3Bに入力282としても示す)は、非1E
がEIMの出力上で1E安全ESF構成要素を制御するために、EIM700へ提供する
ことができる。構成要素フィードバック(たとえば、リミットスイッチ)、投票判定、及
び他の利用可能な情報(たとえば、警報)は、M/I CM600から出力974~97
6として伝送することができる。
[0197]図10は、原子力システムのI&Cシステム135に対する多様性分析図を示す
。多様性分析の目的のため、図10に識別されるブロックは、システム調査を簡略化する
詳細レベルを表す。ブロックは、内部故障がそれらの属性に基づいて他のブロックに波及
しないと考えられる機器及びソフトウェアの物理的部分集合を表すように選択されている
。
。多様性分析の目的のため、図10に識別されるブロックは、システム調査を簡略化する
詳細レベルを表す。ブロックは、内部故障がそれらの属性に基づいて他のブロックに波及
しないと考えられる機器及びソフトウェアの物理的部分集合を表すように選択されている
。
[0198]図示のように、図10のブロックは、I&Cシステム、この例ではI&Cシステ
ム135を示す。ブロック1002は、非1E監視及び標示機器を表し、ブロック100
4a/bは、それぞれ1E監視及び標示I及びIIを表し、ブロック1006a/bは、
それぞれ安全ブロックI及びIIを表す。ブロック1006aは、分離グループA及びC
、RTS I、並びにESFAS Iを含み、ブロック1006bは、分離グループB及
びD、RTS II、並びにESFAS IIを含む。ブロック1008は、MCSを表
す。図示のように、矢印を有する接続線は、ブロック間の通信を示す。
ム135を示す。ブロック1002は、非1E監視及び標示機器を表し、ブロック100
4a/bは、それぞれ1E監視及び標示I及びIIを表し、ブロック1006a/bは、
それぞれ安全ブロックI及びIIを表す。ブロック1006aは、分離グループA及びC
、RTS I、並びにESFAS Iを含み、ブロック1006bは、分離グループB及
びD、RTS II、並びにESFAS IIを含む。ブロック1008は、MCSを表
す。図示のように、矢印を有する接続線は、ブロック間の通信を示す。
[0199]4つの階層に対する目的の1つは、多様性である。たとえば、MPSは、単一故
障基準を満たすことができ、この基準は、(1)すべての特定可能であるが検出不能な故
障と同時発生の安全システム内の単一の検出可能な故障、(2)単一故障によって引き起
こされるすべての故障、並びに(3)安全機能を必要とする設計基準事象を引き起こす、
又は安全機能を必要とする設計基準事象によって引き起こされる、すべての故障及び擬似
システム動作の存在下で、MPSが設計基準事象のために必要とされるすべての安全機能
を実行することを求めることができる。この要件は、増大された信頼性を提供することが
できるが、システムが共通原因故障(CCF)に脆弱になることを妨げない。任意の設計
に対して、依存性(たとえば、結合係数)が存在することがあり、これによりCCFは複
数の独立した故障から区別される。これにより、原因となる影響を低減させるか、それと
もそれらの影響に耐えるシステムの能力を増大させるという、システム内で共通原因故障
を防止する2つの基本的な形式が得られる。
障基準を満たすことができ、この基準は、(1)すべての特定可能であるが検出不能な故
障と同時発生の安全システム内の単一の検出可能な故障、(2)単一故障によって引き起
こされるすべての故障、並びに(3)安全機能を必要とする設計基準事象を引き起こす、
又は安全機能を必要とする設計基準事象によって引き起こされる、すべての故障及び擬似
システム動作の存在下で、MPSが設計基準事象のために必要とされるすべての安全機能
を実行することを求めることができる。この要件は、増大された信頼性を提供することが
できるが、システムが共通原因故障(CCF)に脆弱になることを妨げない。任意の設計
に対して、依存性(たとえば、結合係数)が存在することがあり、これによりCCFは複
数の独立した故障から区別される。これにより、原因となる影響を低減させるか、それと
もそれらの影響に耐えるシステムの能力を増大させるという、システム内で共通原因故障
を防止する2つの基本的な形式が得られる。
[0200]これらの2つの形式の実施形態は、上述したように、設計多様性、機器多様性、
機能的多様性、人的多様性、信号多様性、及びソフトウェア多様性という6つの属性で実
施することができる。これらの属性の適用は、図10に示す各ブロック、並びに図10に
示すブロック間の属性に関して調査される。
機能的多様性、人的多様性、信号多様性、及びソフトウェア多様性という6つの属性で実
施することができる。これらの属性の適用は、図10に示す各ブロック、並びに図10に
示すブロック間の属性に関して調査される。
[0201]ブロック内の属性
[0202]図を参照して図示及び説明するように、分離グループA、B、C、及びD、並び
にRTS及びESFASの2つのディビジョンは、それらが基づくプログラマブル技術に
従ってグループ化される。安全ブロックI及びIIはともに、モジュール保護システム(
MPS)(たとえば、MPS200)を構成する。
にRTS及びESFASの2つのディビジョンは、それらが基づくプログラマブル技術に
従ってグループ化される。安全ブロックI及びIIはともに、モジュール保護システム(
MPS)(たとえば、MPS200)を構成する。
[0203]信号多様性に関して、所与の過渡事象に対して、少なくとも2つの安全機能が存
在することができ、各安全機能は、異なる物理的作用(たとえば、圧力、レベル、温度、
中性子束)の測定された変数(複数可)に基づく。1つの安全機能の損失は、ブロックが
保護措置に対する必要を識別することを妨げない。
在することができ、各安全機能は、異なる物理的作用(たとえば、圧力、レベル、温度、
中性子束)の測定された変数(複数可)に基づく。1つの安全機能の損失は、ブロックが
保護措置に対する必要を識別することを妨げない。
[0204]ソフトウェア多様性に関して、その入力に基づいて、各安全機能モジュール(S
FM500)は、1つの安全機能又は1群の安全機能に専用である。その結果、各SFM
は、一意のアルゴリズム/論理を有する。各通信モジュール(CM600)は、同じパケ
ットの情報を異なる順序で伝送し、これにはCM内の各通信エンジン(608/610)
が異なるアルゴリズムを有することが必要になることがある。各機器インタフェースモジ
ュール(EIM700)は、単一の構成要素に専用とすることができ、その結果、一意の
アルゴリズム/論理を得ることができる。
FM500)は、1つの安全機能又は1群の安全機能に専用である。その結果、各SFM
は、一意のアルゴリズム/論理を有する。各通信モジュール(CM600)は、同じパケ
ットの情報を異なる順序で伝送し、これにはCM内の各通信エンジン(608/610)
が異なるアルゴリズムを有することが必要になることがある。各機器インタフェースモジ
ュール(EIM700)は、単一の構成要素に専用とすることができ、その結果、一意の
アルゴリズム/論理を得ることができる。
[0205]1E監視及び標示は、ビデオ表示ユニット(VDU)及び物理スイッチの2つの
ディビジョンを使用して実現することができる。1E監視及び標示(M/I)の各ディビ
ジョンは、ブロック1004a/bとすることができる。設計多様性に対して、M/Iの
各ディビジョンは、プラント状態情報をデジタルディスプレイ上で操作者へ提供すること
ができ、ディビジョンレベルで任意の保護措置を手動で開始するための手動スイッチを有
することができる。信号多様性に対して、操作者は、すべての測定された変数を有するこ
とができ、これらの変数は、トリップ及び/又はESF作動が必要かどうかを判定するた
めに、MPSによって利用される。同じほど速くはないが、操作者は、MPSと同じ判定
を行うために、異なる物理的作用の複数の測定された変数を有することができる。
ディビジョンを使用して実現することができる。1E監視及び標示(M/I)の各ディビ
ジョンは、ブロック1004a/bとすることができる。設計多様性に対して、M/Iの
各ディビジョンは、プラント状態情報をデジタルディスプレイ上で操作者へ提供すること
ができ、ディビジョンレベルで任意の保護措置を手動で開始するための手動スイッチを有
することができる。信号多様性に対して、操作者は、すべての測定された変数を有するこ
とができ、これらの変数は、トリップ及び/又はESF作動が必要かどうかを判定するた
めに、MPSによって利用される。同じほど速くはないが、操作者は、MPSと同じ判定
を行うために、異なる物理的作用の複数の測定された変数を有することができる。
[0206]ブロック間の多様性属性
[0207]人的多様性に関して、安全ブロックI及び1E M/I Iのソフトウェアは、
1つの設計チームによって設計することができ、安全ブロックII及び1E M/I I
Iは、異なる設計チームによって設計することができる。加えて、独立した検証及び認証
チームが、各設計チームの作業を点検し、設計の正確さを確実にすることができる。前述
の設計チームもまた、モジュール制御システム(MCS)及び非1E M/Iに割り当て
られたチームとは異なる。
1つの設計チームによって設計することができ、安全ブロックII及び1E M/I I
Iは、異なる設計チームによって設計することができる。加えて、独立した検証及び認証
チームが、各設計チームの作業を点検し、設計の正確さを確実にすることができる。前述
の設計チームもまた、モジュール制御システム(MCS)及び非1E M/Iに割り当て
られたチームとは異なる。
[0208]設計多様性は、同じ又は類似の問題を解決するために、ソフトウェア及びハード
ウェアの両方を含む異なる手法を使用することである。CCFの可能性及び結果を制限す
るために、安全ブロックI1004a及び1E M/I Iブロック1006aは、安全
ブロックII及び1E M/I IIとは異なるプログラマブル技術を使用することがで
きる。MCS及び非1E M/Iはまた、異なるプログラマブル技術を有することができ
る。上記で論じた他の属性とともに、異なるハードウェア設計は、異なる故障モードを有
することができ、したがってCCFが2つ以上のブロックに影響を及ぼす可能性を低減さ
せることができる。たとえば、M/Iブロックを除いて、ブロックは、異なる部屋に物理
的に分離することができる。これは、複数の構成要素がCCF事象に巻き込まれる状態を
もたらしうる結合係数をさらに低減させることを意図している。
ウェアの両方を含む異なる手法を使用することである。CCFの可能性及び結果を制限す
るために、安全ブロックI1004a及び1E M/I Iブロック1006aは、安全
ブロックII及び1E M/I IIとは異なるプログラマブル技術を使用することがで
きる。MCS及び非1E M/Iはまた、異なるプログラマブル技術を有することができ
る。上記で論じた他の属性とともに、異なるハードウェア設計は、異なる故障モードを有
することができ、したがってCCFが2つ以上のブロックに影響を及ぼす可能性を低減さ
せることができる。たとえば、M/Iブロックを除いて、ブロックは、異なる部屋に物理
的に分離することができる。これは、複数の構成要素がCCF事象に巻き込まれる状態を
もたらしうる結合係数をさらに低減させることを意図している。
[0209]ソフトウェア多様性は、設計多様性の部分集合であり、同じ安全目標を実現する
ために、異なる基幹人員を含む異なる開発グループによって設計及び実施される異なるプ
ログラムを使用することを含むことができる。上記で論じた設計多様性により、異なる設
計チームが異なる設計ツールを使用することができ、したがってこれらのツールは、同じ
故障モードを導入することがない。
ために、異なる基幹人員を含む異なる開発グループによって設計及び実施される異なるプ
ログラムを使用することを含むことができる。上記で論じた設計多様性により、異なる設
計チームが異なる設計ツールを使用することができ、したがってこれらのツールは、同じ
故障モードを導入することがない。
[0210]機能的多様性は、ブロック間の異なる目的及び機能を有することによって導入す
ることができる。安全ブロックI及びIIは、MPSを形成する。これらのブロックは、
動作限界を超過した場合、原子炉トリップを開始することができ、ESFを開始して想定
される事故を軽減することができる。M/Iブロックは、操作者が安全及び不安全両方の
システムを監視及び制御することを可能にすることができる。操作者は、プラントを動作
限界内で維持することができ、又は必要な保護措置を開始することができる。MCSは、
特定の動作中過渡変化を抑制することを含めて、プラントを動作限界内で維持するために
システムの自動制御を提供する。
ることができる。安全ブロックI及びIIは、MPSを形成する。これらのブロックは、
動作限界を超過した場合、原子炉トリップを開始することができ、ESFを開始して想定
される事故を軽減することができる。M/Iブロックは、操作者が安全及び不安全両方の
システムを監視及び制御することを可能にすることができる。操作者は、プラントを動作
限界内で維持することができ、又は必要な保護措置を開始することができる。MCSは、
特定の動作中過渡変化を抑制することを含めて、プラントを動作限界内で維持するために
システムの自動制御を提供する。
[0211]作動機器及び保護措置の自動及び手動手段を有することによって、ブロック間で
信号多様性を提供することができる。MCS及び非1E M/Iは、機器レベルで制御を
提供し、1E M/Iブロックは、ディビジョンレベルで制御を提供する。
信号多様性を提供することができる。MCS及び非1E M/Iは、機器レベルで制御を
提供し、1E M/Iブロックは、ディビジョンレベルで制御を提供する。
[0212]機器多様性は、類似の安全機能を実行するために異なる機器を使用することであ
る。保護措置の開始は、スイッチを使用する操作者の動作によって行うことができ、又は
安全ブロックI若しくはIIによって自動的に実行することができる。安全ブロックI及
びII間で、異なるプログラマブル技術を使用することができ、これには異なる内部サブ
コンポーネント及び異なる製造方法を必要とすることがある。
る。保護措置の開始は、スイッチを使用する操作者の動作によって行うことができ、又は
安全ブロックI若しくはIIによって自動的に実行することができる。安全ブロックI及
びII間で、異なるプログラマブル技術を使用することができ、これには異なる内部サブ
コンポーネント及び異なる製造方法を必要とすることがある。
[0213]4つの階層の別の分析指針は、システム故障タイプである。タイプ1の故障は、
防御階層間の相互作用のために制御システムエラーによって開始されたプラント過渡変化
に対する保護措置を行うことができない故障である。典型的には、これは、共通センサ又
は信号源の故障に関連付けられる。MPSによって監視されるプラントパラメータのいく
つかは、正常なプラント制御のためにMCSへ提供される。上述したように、1つの信号
源を提供するのではなく、すべての4つの分離グループ並びにESFAS及びRTSの両
方のディビジョンが、隔離された1方向通信を介して情報を提供する。これにより、MC
Sがどの冗長な独立した信号源を使用するかを選択する異なる方法(たとえば、中間値信
号選択)を使用することを可能にすることができる。
防御階層間の相互作用のために制御システムエラーによって開始されたプラント過渡変化
に対する保護措置を行うことができない故障である。典型的には、これは、共通センサ又
は信号源の故障に関連付けられる。MPSによって監視されるプラントパラメータのいく
つかは、正常なプラント制御のためにMCSへ提供される。上述したように、1つの信号
源を提供するのではなく、すべての4つの分離グループ並びにESFAS及びRTSの両
方のディビジョンが、隔離された1方向通信を介して情報を提供する。これにより、MC
Sがどの冗長な独立した信号源を使用するかを選択する異なる方法(たとえば、中間値信
号選択)を使用することを可能にすることができる。
[0214]タイプ2故障は、過渡変化を直接引き起こすことはなく、保護機器が未検出の故
障によるプラント過渡変化に応答しないものである。安全ブロックI及びII内並びに安
全ブロックI及びII内間の属性を使用することで、未検出の故障又はCCFが2つ以上
のブロックに影響を及ぼすのを防止するために十分な多様性を得ることができる。2つの
ブロックのうちの1つのみが保護措置を自動的に開始するために必要とされる場合、タイ
プ2故障は、追加のシステムなくMPS(安全ブロックI及びII)によって軽減するこ
とができる。
障によるプラント過渡変化に応答しないものである。安全ブロックI及びII内並びに安
全ブロックI及びII内間の属性を使用することで、未検出の故障又はCCFが2つ以上
のブロックに影響を及ぼすのを防止するために十分な多様性を得ることができる。2つの
ブロックのうちの1つのみが保護措置を自動的に開始するために必要とされる場合、タイ
プ2故障は、追加のシステムなくMPS(安全ブロックI及びII)によって軽減するこ
とができる。
[0215]タイプ3故障は、設計基準事象を検出するために依拠する1次センサが異常な読
取りをもたらすものである。少なくとも2つの安全機能を提供することによって、安全ブ
ロック内で信号多様性を得ることができ、各安全機能は、任意の過渡事象に対して異なる
測定されたパラメータに基づく。所与の安全機能に対するセンサのすべての4つの分離グ
ループが、異常な読取りを提供する場合、タイプ3故障に対しては、1)異常な読取りが
、実際に限界を超過したときにトリップなし又はESF作動が必要とされることを示す、
及び2)異常な読取りが、限界を超過していないがトリップ又はESF作動が必要とされ
ることを示す(たとえば、擬似トリップ又はESF作動)という2つの可能な不都合なシ
ナリオが存在しうる。第1のシナリオでは、安全ブロック内のCCFと同時発生のタイプ
3故障が、必要な保護措置(複数可)の開始を妨げる可能性がない。前述したように、信
号多様性は、過渡事象を軽減するために別個の安全機能を利用可能にすることができる。
MPS内のCCFは、2つの安全ブロックのうちの1つに制限されており、保護措置の開
始を妨げ又は偽の標示により開始を妨げると考えられる。たとえば、上記で論じたように
、ツーアウトオブフォーの一致論理をすべてのトリップ及びESF作動に使用することが
でき、これは、影響を受けない安全ブロック上の影響を受けない安全機能に対して、4つ
の分離グループのうちの2つが、トリップ又はESF作動に対する必要を示し、実行され
た措置の操作者に正の標示を提供することを意味する。
取りをもたらすものである。少なくとも2つの安全機能を提供することによって、安全ブ
ロック内で信号多様性を得ることができ、各安全機能は、任意の過渡事象に対して異なる
測定されたパラメータに基づく。所与の安全機能に対するセンサのすべての4つの分離グ
ループが、異常な読取りを提供する場合、タイプ3故障に対しては、1)異常な読取りが
、実際に限界を超過したときにトリップなし又はESF作動が必要とされることを示す、
及び2)異常な読取りが、限界を超過していないがトリップ又はESF作動が必要とされ
ることを示す(たとえば、擬似トリップ又はESF作動)という2つの可能な不都合なシ
ナリオが存在しうる。第1のシナリオでは、安全ブロック内のCCFと同時発生のタイプ
3故障が、必要な保護措置(複数可)の開始を妨げる可能性がない。前述したように、信
号多様性は、過渡事象を軽減するために別個の安全機能を利用可能にすることができる。
MPS内のCCFは、2つの安全ブロックのうちの1つに制限されており、保護措置の開
始を妨げ又は偽の標示により開始を妨げると考えられる。たとえば、上記で論じたように
、ツーアウトオブフォーの一致論理をすべてのトリップ及びESF作動に使用することが
でき、これは、影響を受けない安全ブロック上の影響を受けない安全機能に対して、4つ
の分離グループのうちの2つが、トリップ又はESF作動に対する必要を示し、実行され
た措置の操作者に正の標示を提供することを意味する。
[0216]第2のシナリオでは、安全ブロック内のCCFと同時発生のタイプ3故障の結果
、擬似トリップ又はESF作動をもたらし、1E M/Iブロックは、1つの正及び1つ
の偽の作動成功の標示を示し、又は1つの正を示すが、作動の標示を示さない。いずれの
場合も、操作者が擬似作動を評価及び補正するにはより長い時間がかかることがあるが、
必要な構成要素を再び位置合わせする能力は、同じCCFによる影響を受けないはずの1
E及び非1E両方の制御によって提供される。擬似ESF作動は、このシナリオで最も限
定的な事象であると考えることができる。
、擬似トリップ又はESF作動をもたらし、1E M/Iブロックは、1つの正及び1つ
の偽の作動成功の標示を示し、又は1つの正を示すが、作動の標示を示さない。いずれの
場合も、操作者が擬似作動を評価及び補正するにはより長い時間がかかることがあるが、
必要な構成要素を再び位置合わせする能力は、同じCCFによる影響を受けないはずの1
E及び非1E両方の制御によって提供される。擬似ESF作動は、このシナリオで最も限
定的な事象であると考えることができる。
[0217]別の分析指針は階層要件である。システム調査を簡略化する詳細レベルを表すブ
ロックを提供するために、4つの概念的防御階層は、いくつかのブロックで組み合わせら
れるだけではなく(たとえば、RTS及びESFAS)、別個のブロック(たとえば、安
全ブロックI及びII、1E M/I I及びII)に分割される。いくつかの態様では
、分離グループ、RTS、及びESFASは、これらが基づくプログラマブル技術に従っ
て、安全ブロックにグループ化される。たとえば、MPSの各半分(たとえば、4つの分
離グループのうちの2つ、ESFASの2つのディビジョンのうちの1つ、及びRTSの
2つのディビジョンのうちの1つ)又は1つの安全ブロックが、十分な多様性属性を有す
ることができる。異なるプログラマブル技術(設計及び機器多様性)に基づいて異なるプ
ログラマブルデジタルハードウェアを利用する異なる設計チーム(人的多様性)は、異な
る設計ツール(ソフトウェア多様性)の使用を必要とする。M/I階層はまた、別個のブ
ロックに分割することができる。1E M/Iブロックを分割して、安全ブロックと類似
の多様性属性を有することを識別することができる。選択されたブロックがどのように4
つの防御階層に分かれるかが、図1100を示す図11に示されている。
ロックを提供するために、4つの概念的防御階層は、いくつかのブロックで組み合わせら
れるだけではなく(たとえば、RTS及びESFAS)、別個のブロック(たとえば、安
全ブロックI及びII、1E M/I I及びII)に分割される。いくつかの態様では
、分離グループ、RTS、及びESFASは、これらが基づくプログラマブル技術に従っ
て、安全ブロックにグループ化される。たとえば、MPSの各半分(たとえば、4つの分
離グループのうちの2つ、ESFASの2つのディビジョンのうちの1つ、及びRTSの
2つのディビジョンのうちの1つ)又は1つの安全ブロックが、十分な多様性属性を有す
ることができる。異なるプログラマブル技術(設計及び機器多様性)に基づいて異なるプ
ログラマブルデジタルハードウェアを利用する異なる設計チーム(人的多様性)は、異な
る設計ツール(ソフトウェア多様性)の使用を必要とする。M/I階層はまた、別個のブ
ロックに分割することができる。1E M/Iブロックを分割して、安全ブロックと類似
の多様性属性を有することを識別することができる。選択されたブロックがどのように4
つの防御階層に分かれるかが、図1100を示す図11に示されている。
[0218]別の分析指針は、評価方法である。選択されたブロックは、「ブラックボックス
」であると考えるべきであり、したがって想定する必要のあるあらゆる確かな故障は、出
力信号指針(上記で論じた)に従って分析される最も好ましくない結果をもたらす。いく
つかの態様では、特に自動化された安全システム内のCCFに起因する状態を識別してそ
れに応答するために必要とされる時間を分析するとき、システムが作動できないことは、
最悪の場合の故障ではない可能性もある。ブロックは、ハードウェアCCF及びソフトウ
ェアCCFに基づいて評価される。各CCFに対して、このブロックを評価すると、1)
偽の標示又は必要とされる措置なしによって故障したまま、2)作動成功の標示による機
能(複数可)の擬似開始、及び3)作動成功の標示のない機能(複数可)の擬似開始とい
う、最も好ましくない結果をもたらす可能性のある3つの可能な出力が得られる。安全ブ
ロックのいずれにおけるEIMも、ソフトウェアCCFに対して脆弱であるとは考えられ
ない。たとえば、EIMは、単一のESF構成要素又は原子炉トリップ遮断器に専用の優
先論理モジュールとすることができ、手動及び自動制御とインタフェース接続する。有限
状態機械を使用することで、状態機械のすべての可能な入力、デバイス状態、及び出力を
含む機能の網羅的な試験を可能にすることができる。そのテスト容易性、EIM多様性属
性に基づいて、単一の構成要素に専用であるEIMは、ソフトウェア又はソフトウェア論
理に基づくCCFの考慮が必要とされないほど十分に簡潔にすることができる。
」であると考えるべきであり、したがって想定する必要のあるあらゆる確かな故障は、出
力信号指針(上記で論じた)に従って分析される最も好ましくない結果をもたらす。いく
つかの態様では、特に自動化された安全システム内のCCFに起因する状態を識別してそ
れに応答するために必要とされる時間を分析するとき、システムが作動できないことは、
最悪の場合の故障ではない可能性もある。ブロックは、ハードウェアCCF及びソフトウ
ェアCCFに基づいて評価される。各CCFに対して、このブロックを評価すると、1)
偽の標示又は必要とされる措置なしによって故障したまま、2)作動成功の標示による機
能(複数可)の擬似開始、及び3)作動成功の標示のない機能(複数可)の擬似開始とい
う、最も好ましくない結果をもたらす可能性のある3つの可能な出力が得られる。安全ブ
ロックのいずれにおけるEIMも、ソフトウェアCCFに対して脆弱であるとは考えられ
ない。たとえば、EIMは、単一のESF構成要素又は原子炉トリップ遮断器に専用の優
先論理モジュールとすることができ、手動及び自動制御とインタフェース接続する。有限
状態機械を使用することで、状態機械のすべての可能な入力、デバイス状態、及び出力を
含む機能の網羅的な試験を可能にすることができる。そのテスト容易性、EIM多様性属
性に基づいて、単一の構成要素に専用であるEIMは、ソフトウェア又はソフトウェア論
理に基づくCCFの考慮が必要とされないほど十分に簡潔にすることができる。
[0219]別の分析指針は、ブロックの想定される共通原因故障である。1E M/Iブロ
ックは、ビデオ表示ユニット(デジタルハードウェア)及び手動制御(非デジタルハード
ウェア)の組合せを伴う。VDUは、標示専用に設計することができ、機器を制御する能
力をもたない。各1E M/Iブロック1004a/bにおける手動制御は、安全ブロッ
クI又はIIによって自動的に実行される任意の保護措置をディビジョンレベルで開始す
る能力を操作者に提供する。いくつかの例では、標示及び手動制御が異なるハードウェア
(たとえば、デジタルと開閉コンタクトスイッチ)である場合、CCFは、両方ではなく
一方又は他方に影響を及ぼすと考えることができる。ソフトウェア及びハードウェア両方
のCCFの場合、故障したままの状態の結果、操作者ディスプレイの1つのディビジョン
が、偽の安全な動作状態又は手動スイッチの1つのディビジョンの故障を示す。VDUは
、ほとんど又はまったく制御能力を有しておらず、したがって擬似作動を提供することは
ないが、ソフトウェアCCFによって、VDUは、操作者が擬似保護措置を開始すること
を求める偽の作動成功の標示又は不正確なプラント状態を提供することがある。
ックは、ビデオ表示ユニット(デジタルハードウェア)及び手動制御(非デジタルハード
ウェア)の組合せを伴う。VDUは、標示専用に設計することができ、機器を制御する能
力をもたない。各1E M/Iブロック1004a/bにおける手動制御は、安全ブロッ
クI又はIIによって自動的に実行される任意の保護措置をディビジョンレベルで開始す
る能力を操作者に提供する。いくつかの例では、標示及び手動制御が異なるハードウェア
(たとえば、デジタルと開閉コンタクトスイッチ)である場合、CCFは、両方ではなく
一方又は他方に影響を及ぼすと考えることができる。ソフトウェア及びハードウェア両方
のCCFの場合、故障したままの状態の結果、操作者ディスプレイの1つのディビジョン
が、偽の安全な動作状態又は手動スイッチの1つのディビジョンの故障を示す。VDUは
、ほとんど又はまったく制御能力を有しておらず、したがって擬似作動を提供することは
ないが、ソフトウェアCCFによって、VDUは、操作者が擬似保護措置を開始すること
を求める偽の作動成功の標示又は不正確なプラント状態を提供することがある。
[0220]EIMを除いて、安全ブロック内のモジュールは、ソフトウェアCCFを有する
と想定される。安全ブロック内の多様性属性のため、ソフトウェアCCFは、SFM上の
CM又は機能(複数可)に制限することができる。SFMが適切なトリップ判定を行うこ
とを妨げる安全ブロック内のソフトウェアCCFは、そのブロック内の機器、信号、及び
ソフトウェアの多様性によって軽減することができる。各過渡事象に対して、事象を軽減
するために必要とされる1次及び補助安全機能は、異なる物理的作用の測定されたパラメ
ータに基づいて、異なる論理/アルゴリズムを使用して、別個の安全機能上で実施するこ
とができる。3重モジュール冗長性を有し、各データバスが同じ情報を異なる方法で伝送
する実施形態では、ソフトウェアCCFを有するCMは、擬似的に開始したり、保護措置
の開始を妨げたりすることができない。その結果、最も好ましくないシナリオは、ESF
AS機能の擬似作動をもたらすSFM内のソフトウェアCCFになる。
と想定される。安全ブロック内の多様性属性のため、ソフトウェアCCFは、SFM上の
CM又は機能(複数可)に制限することができる。SFMが適切なトリップ判定を行うこ
とを妨げる安全ブロック内のソフトウェアCCFは、そのブロック内の機器、信号、及び
ソフトウェアの多様性によって軽減することができる。各過渡事象に対して、事象を軽減
するために必要とされる1次及び補助安全機能は、異なる物理的作用の測定されたパラメ
ータに基づいて、異なる論理/アルゴリズムを使用して、別個の安全機能上で実施するこ
とができる。3重モジュール冗長性を有し、各データバスが同じ情報を異なる方法で伝送
する実施形態では、ソフトウェアCCFを有するCMは、擬似的に開始したり、保護措置
の開始を妨げたりすることができない。その結果、最も好ましくないシナリオは、ESF
AS機能の擬似作動をもたらすSFM内のソフトウェアCCFになる。
[0221]安全ブロック内のハードウェアCCFは、ブロックが必要な保護措置を検出及び
開始することができない完全な故障であると想定することができる。ESF機能の擬似作
動をもたらすハードウェアCCFは、ソフトウェアCCFによる擬似作動と同じ影響を及
ぼすことがあり、したがってハードウェアCCFに関して繰り返し考慮しないものとする
。
開始することができない完全な故障であると想定することができる。ESF機能の擬似作
動をもたらすハードウェアCCFは、ソフトウェアCCFによる擬似作動と同じ影響を及
ぼすことがあり、したがってハードウェアCCFに関して繰り返し考慮しないものとする
。
[0222]非1E M/Iは、安全及び不安全機器に対する制御を含む。非1Eに対するV
DUは、1E M/Iによって使用されるものとは異なる。非1E M/Iは、通常の日
々の動作に使用されるため、非1E M/Iサブシステム(たとえば、タービン制御、給
水制御)内でソフトウェア又はハードウェアCCFによって誘起されるあらゆる擬似作動
は、ただちに特定可能であり、動作限界を超過した場合、MPS(安全ブロックI及びI
I)によって軽減することができる。非1Eに対する想定される故障は、1)作動成功の
標示の有無にかかわらずサブシステムの構成要素の擬似作動、及び2)機器が実際には作
動していないときの作動成功の標示によって、正常状態で失敗することである。
DUは、1E M/Iによって使用されるものとは異なる。非1E M/Iは、通常の日
々の動作に使用されるため、非1E M/Iサブシステム(たとえば、タービン制御、給
水制御)内でソフトウェア又はハードウェアCCFによって誘起されるあらゆる擬似作動
は、ただちに特定可能であり、動作限界を超過した場合、MPS(安全ブロックI及びI
I)によって軽減することができる。非1Eに対する想定される故障は、1)作動成功の
標示の有無にかかわらずサブシステムの構成要素の擬似作動、及び2)機器が実際には作
動していないときの作動成功の標示によって、正常状態で失敗することである。
[0223]MCSは、特定の動作中過渡変化を抑制することを含む動作限界内で日々のプラ
ント動作を維持するために依拠する不安全システムを含む。したがって、サブシステム(
たとえば、棒制御)のあらゆる故障は、操作者によってすぐに検出することができる。非
1E M/Iと同様に、MCSに対する想定されるソフトウェア及びハードウェアCCF
は、1)作動成功の標示の有無にかかわらずサブシステムの構成要素の擬似作動、及び2
)機器が実際には作動していないときの作動成功の標示の提供によって、正常状態の失敗
をもたらす。
ント動作を維持するために依拠する不安全システムを含む。したがって、サブシステム(
たとえば、棒制御)のあらゆる故障は、操作者によってすぐに検出することができる。非
1E M/Iと同様に、MCSに対する想定されるソフトウェア及びハードウェアCCF
は、1)作動成功の標示の有無にかかわらずサブシステムの構成要素の擬似作動、及び2
)機器が実際には作動していないときの作動成功の標示の提供によって、正常状態の失敗
をもたらす。
[0224]別の分析指針は、同一のハードウェア及びソフトウェアモジュールを使用するこ
とである。ここで、ブロック間の多様性は、ブロックを同一と考えない基本を提供する。
この基本に基づいて、想定されるCCFは、単一のブロックに制限することができる。
とである。ここで、ブロック間の多様性は、ブロックを同一と考えない基本を提供する。
この基本に基づいて、想定されるCCFは、単一のブロックに制限することができる。
[0225]別の分析指針は、他のブロックの影響である。すべてのブロックは、正確又は不
正確な入力に応答して正確に機能すると考えられる。各ブロックは、独立しており、別の
ブロック内の想定されるCCFによる影響を受けないと考えられる。
正確な入力に応答して正確に機能すると考えられる。各ブロックは、独立しており、別の
ブロック内の想定されるCCFによる影響を受けないと考えられる。
[0226]別の分析指針は、出力信号である。いくつかの態様では、I&Cアーキテクチャ
は、エラーが前のブロックの出力内へ後方波及するのを防止することができる。安全ブロ
ックI及びIIから1E M/Iへのすべての情報は、光学的に隔離された伝送専用の通
信エンジン(CM600に示す)を通って送ることができる。1E M/Iから安全ブロ
ックへの信号は、手動スイッチからの開閉コンタクトとすることができ、これらの位置又
は接触状態は安全ブロック内のCCFによって変化することはない。安全ブロック間の通
信は、分離グループA及びCからESFAS及びRTSのディビジョンIIへ、また分離
グループB及びDからESFAS及びRTSのディビジョンIへ送られるデータとするこ
とができる。4つの分離グループは独立しておりかつ冗長であるが、図10の例示を目的
として、これらの分離グループは、使用するプログラマブル技術に従って安全ブロックに
グループ化される。安全ブロックと1E M/Iとの間の通信と同様に、分離グループか
らRTS及びESFASのいずれかのディビジョンへの通信は、光学的に隔離された伝送
専用の通信エンジンを通って行うことができる。安全ブロックへの不安全入力は、ESF
AS EIMとすることができ、これは隔離された開閉コンタクトに制限することができ
る。
は、エラーが前のブロックの出力内へ後方波及するのを防止することができる。安全ブロ
ックI及びIIから1E M/Iへのすべての情報は、光学的に隔離された伝送専用の通
信エンジン(CM600に示す)を通って送ることができる。1E M/Iから安全ブロ
ックへの信号は、手動スイッチからの開閉コンタクトとすることができ、これらの位置又
は接触状態は安全ブロック内のCCFによって変化することはない。安全ブロック間の通
信は、分離グループA及びCからESFAS及びRTSのディビジョンIIへ、また分離
グループB及びDからESFAS及びRTSのディビジョンIへ送られるデータとするこ
とができる。4つの分離グループは独立しておりかつ冗長であるが、図10の例示を目的
として、これらの分離グループは、使用するプログラマブル技術に従って安全ブロックに
グループ化される。安全ブロックと1E M/Iとの間の通信と同様に、分離グループか
らRTS及びESFASのいずれかのディビジョンへの通信は、光学的に隔離された伝送
専用の通信エンジンを通って行うことができる。安全ブロックへの不安全入力は、ESF
AS EIMとすることができ、これは隔離された開閉コンタクトに制限することができ
る。
[0227]安全ブロックからのすべての入力は、光学的に隔離された伝送専用の通信エンジ
ンからとすることができる。これにより、1E M/I内の何らかのエラーが安全ブロッ
クへ後方波及することを防止することができる。
ンからとすることができる。これにより、1E M/I内の何らかのエラーが安全ブロッ
クへ後方波及することを防止することができる。
[0228]別の分析指針は、予想運転事象に対する多様性である。過渡事象に関連する単一
のCCF又はタイプ2故障は、MPSがその安全機能を実行することを妨げない。ともに
MPSを構成する安全ブロックI及びIIは、CCFを1つのブロックに制限するように
選択することができる。従来、原子力プラントは、MPSがCCFによって無効にされた
場合に機能を開始する多様な方法を提供するために、多様な作動システム(DAS)又は
スクラム失敗事象(ATWS)システムに依拠してきた。しかし、図示のMPS設計では
、単一のCCFでも安全機能を開始するのに十分な多様性がシステム内に存在することが
できる。ここで、MPSは、安全ブロックI及びII(たとえば、1006a/b)に分
割される。想定されるソフトウェア又はハードウェアCCFは、1つの安全ブロックに制
限されるはずである。各ブロックは、異なる設計ツール(ソフトウェア多様性)の使用を
必要とする異なるプログラマブル技術に基づいて異なるプログラマブルデジタルハードウ
ェア(設計及び機器多様性)を利用する異なる設計チーム(人的多様性)を使用する。い
ずれのブロック内でも、別個のSFM上で実施される異なる物理的作用の測定される変数
(複数可)に基づいて、少なくとも2つの安全機能が存在することができる。すべての論
理は、有限状態機械内で実施することができ、すべての安全データは、決定論的に通信す
ることができる。これらの属性により、CCFに関連するタイプ3故障でも、MPSが必
要な保護措置を開始するのを妨げることはできない。
のCCF又はタイプ2故障は、MPSがその安全機能を実行することを妨げない。ともに
MPSを構成する安全ブロックI及びIIは、CCFを1つのブロックに制限するように
選択することができる。従来、原子力プラントは、MPSがCCFによって無効にされた
場合に機能を開始する多様な方法を提供するために、多様な作動システム(DAS)又は
スクラム失敗事象(ATWS)システムに依拠してきた。しかし、図示のMPS設計では
、単一のCCFでも安全機能を開始するのに十分な多様性がシステム内に存在することが
できる。ここで、MPSは、安全ブロックI及びII(たとえば、1006a/b)に分
割される。想定されるソフトウェア又はハードウェアCCFは、1つの安全ブロックに制
限されるはずである。各ブロックは、異なる設計ツール(ソフトウェア多様性)の使用を
必要とする異なるプログラマブル技術に基づいて異なるプログラマブルデジタルハードウ
ェア(設計及び機器多様性)を利用する異なる設計チーム(人的多様性)を使用する。い
ずれのブロック内でも、別個のSFM上で実施される異なる物理的作用の測定される変数
(複数可)に基づいて、少なくとも2つの安全機能が存在することができる。すべての論
理は、有限状態機械内で実施することができ、すべての安全データは、決定論的に通信す
ることができる。これらの属性により、CCFに関連するタイプ3故障でも、MPSが必
要な保護措置を開始するのを妨げることはできない。
[0229]別の分析指針は、事故に対する多様性である。AOOと同様に、MPS内のCC
Fエラーに関連して想定される事故は、MPSがその安全機能を実行するのを妨げること
はできない。
Fエラーに関連して想定される事故は、MPSがその安全機能を実行するのを妨げること
はできない。
[0230]別の分析指針は、手動操作者措置である。MPSによって実行される保護措置の
ディビジョンレベルの手動作動は、操作者へ提供することができる。手動の構成要素レベ
ルの制御は、1E M/Iによって許可された場合、非1E M/Iを使用して操作者へ
提供される。
ディビジョンレベルの手動作動は、操作者へ提供することができる。手動の構成要素レベ
ルの制御は、1E M/Iによって許可された場合、非1E M/Iを使用して操作者へ
提供される。
[0231]図12は、原子力システムのMPS1200安全アーキテクチャの別の例示的な
実施形態の概略図を示す。いくつかの実施形態では、MPS1200は、図2A及び図2
Bに示すMPS200に類似又は同一とすることができる。概して、図示のMPS120
0は、センサ及び検出器(たとえば、センサ1202a~1202d)の4つの分離グル
ープと、信号調節及び信号調節器(たとえば、信号調節器1204a~1204d)の4
つの分離グループと、トリップ判定(たとえば、トリップ判定1208a~1208d)
の4つの分離グループと、RTS投票及び原子炉トリップ遮断器(たとえば、ディビジョ
ンIのRTS投票1214及びディビジョンIIのRTS投票1216)の2つのディビ
ジョンと、工学的安全施設作動システム(ESFAS)投票及び工学的安全施設(ESF
)機器(たとえば、ディビジョンIのESFAS投票1212及びESF機器1224、
並びにディビジョンIIのESFAS投票1218及びESF機器1226)の2つのデ
ィビジョンとを含む。
実施形態の概略図を示す。いくつかの実施形態では、MPS1200は、図2A及び図2
Bに示すMPS200に類似又は同一とすることができる。概して、図示のMPS120
0は、センサ及び検出器(たとえば、センサ1202a~1202d)の4つの分離グル
ープと、信号調節及び信号調節器(たとえば、信号調節器1204a~1204d)の4
つの分離グループと、トリップ判定(たとえば、トリップ判定1208a~1208d)
の4つの分離グループと、RTS投票及び原子炉トリップ遮断器(たとえば、ディビジョ
ンIのRTS投票1214及びディビジョンIIのRTS投票1216)の2つのディビ
ジョンと、工学的安全施設作動システム(ESFAS)投票及び工学的安全施設(ESF
)機器(たとえば、ディビジョンIのESFAS投票1212及びESF機器1224、
並びにディビジョンIIのESFAS投票1218及びESF機器1226)の2つのデ
ィビジョンとを含む。
[0232]概して、センサ1202a~1202dは、圧力、温度、レベル、流体流速、及
び中性子束などの異なるプロセスパラメータの測定を担うプロセスセンサを含む。したが
って、原子力システム150の各プロセスパラメータは、異なるセンサを使用して測定さ
れ、異なる論理エンジンによって実行される異なるアルゴリズムによって処理される。い
くつかの態様では、中性子束センサは、停止状態から全出力の120パーセントまでの炉
心からの中性子束の測定を担う。MPS1200内では、中性子源領域、中間領域、及び
出力領域を含む3つのタイプの中性子束検出器を使用することができる。
び中性子束などの異なるプロセスパラメータの測定を担うプロセスセンサを含む。したが
って、原子力システム150の各プロセスパラメータは、異なるセンサを使用して測定さ
れ、異なる論理エンジンによって実行される異なるアルゴリズムによって処理される。い
くつかの態様では、中性子束センサは、停止状態から全出力の120パーセントまでの炉
心からの中性子束の測定を担う。MPS1200内では、中性子源領域、中間領域、及び
出力領域を含む3つのタイプの中性子束検出器を使用することができる。
[0233]概して、信号調節器1204a~1204dは、センサ1202a~1202d
からの測定を受け取り、これらの測定を処理し、出力を提供する。いくつかの態様では、
信号調節器1204a~1204dへのセンサ1202a~1202dの相互接続は、専
用の銅線又は何らかの他の信号伝送方法とすることができる。
からの測定を受け取り、これらの測定を処理し、出力を提供する。いくつかの態様では、
信号調節器1204a~1204dへのセンサ1202a~1202dの相互接続は、専
用の銅線又は何らかの他の信号伝送方法とすることができる。
[0234]信号調節器1204a~1204dは各々、図21に示すように、複数の入力モ
ジュール2104a~2104d(たとえば、センサ入力の数に応じて任意の数のモジュ
ールを示す)から構成することができ、入力モジュール2104a~2104dは、セン
サ1202a~1202dからのフィールド入力の調節、測定、フィルタリング、及びサ
ンプリングを担う。各入力モジュール2104a~2104dは、24V若しくは48V
のデジタル入力、4~20mAのアナログ入力、0~10Vのアナログ入力、抵抗熱検出
器入力、又は熱電対入力などの特有の入力タイプに専用とすることができる。
ジュール2104a~2104d(たとえば、センサ入力の数に応じて任意の数のモジュ
ールを示す)から構成することができ、入力モジュール2104a~2104dは、セン
サ1202a~1202dからのフィールド入力の調節、測定、フィルタリング、及びサ
ンプリングを担う。各入力モジュール2104a~2104dは、24V若しくは48V
のデジタル入力、4~20mAのアナログ入力、0~10Vのアナログ入力、抵抗熱検出
器入力、又は熱電対入力などの特有の入力タイプに専用とすることができる。
[0235]各入力モジュール2104a~2104dは、アナログ回路2106及びデジタ
ル回路2108から構成することができる。アナログ回路2106は、アナログ電圧又は
電流からデジタル表現への変換を担う。アナログ回路はまた、信号調節回路とも呼ばれる
。各入力モジュール2104a~2104dのデジタル部分2108は、論理エンジン内
に位置することができる。論理エンジンは、すべての入力モジュールの制御、サンプルア
ンドホールドフィルタリング、完全性チェック、自己試験、及びデジタルフィルタリング
機能を実行する。センサ出力のデジタル表現は、いくつかの例では直列インタフェースを
使用して、出力を通って、信号調節器1204a~1204dからトリップ判定1208
a~1208dへ通信される。いくつかの実施形態では、センサ出力は、任意の適当な伝
送チャネル(たとえば、光ファイバ、銅線など)を通って、センサ1202a~1202
dからそれぞれの信号調節器1204a~1204dへ通信することができる。
ル回路2108から構成することができる。アナログ回路2106は、アナログ電圧又は
電流からデジタル表現への変換を担う。アナログ回路はまた、信号調節回路とも呼ばれる
。各入力モジュール2104a~2104dのデジタル部分2108は、論理エンジン内
に位置することができる。論理エンジンは、すべての入力モジュールの制御、サンプルア
ンドホールドフィルタリング、完全性チェック、自己試験、及びデジタルフィルタリング
機能を実行する。センサ出力のデジタル表現は、いくつかの例では直列インタフェースを
使用して、出力を通って、信号調節器1204a~1204dからトリップ判定1208
a~1208dへ通信される。いくつかの実施形態では、センサ出力は、任意の適当な伝
送チャネル(たとえば、光ファイバ、銅線など)を通って、センサ1202a~1202
dからそれぞれの信号調節器1204a~1204dへ通信することができる。
[0236]図13は、MPS1200の分離グループ信号調節及びトリップ判定1204a
/1208a(たとえば、分離グループA)の通信アーキテクチャの例示的な実施形態の
概略図を示す。図12及び図13を参照すると、トリップ判定1208a~1208dは
、概して、直列インタフェースを介して、上述した信号調節器1204a~1204dか
らのセンサ入力値をデジタル形式で受け取る。トリップ判定1208a~1208dは各
々、独立した安全機能モジュール(SFM1~SFMn)1300(図21を参照してよ
り詳細に説明する)から構成され、特有のモジュールが、1組の安全機能を実施する(た
とえば、1組は、特定のプロセスパラメータに関係する単一の安全機能又は複数の安全機
能とすることができる)。たとえば、1組の安全機能は、同じ圧力入力からの高トリップ
及び低トリップなど、1次変数に関係する1群の機能からなることができる。各SFM1
300は、1組の安全機能の実施に専用の一意の論理エンジンを含む。この結果、各組の
安全機能のゲートレベルの実施形態は、すべての他の組の安全機能とは完全に異なる。
/1208a(たとえば、分離グループA)の通信アーキテクチャの例示的な実施形態の
概略図を示す。図12及び図13を参照すると、トリップ判定1208a~1208dは
、概して、直列インタフェースを介して、上述した信号調節器1204a~1204dか
らのセンサ入力値をデジタル形式で受け取る。トリップ判定1208a~1208dは各
々、独立した安全機能モジュール(SFM1~SFMn)1300(図21を参照してよ
り詳細に説明する)から構成され、特有のモジュールが、1組の安全機能を実施する(た
とえば、1組は、特定のプロセスパラメータに関係する単一の安全機能又は複数の安全機
能とすることができる)。たとえば、1組の安全機能は、同じ圧力入力からの高トリップ
及び低トリップなど、1次変数に関係する1群の機能からなることができる。各SFM1
300は、1組の安全機能の実施に専用の一意の論理エンジンを含む。この結果、各組の
安全機能のゲートレベルの実施形態は、すべての他の組の安全機能とは完全に異なる。
[0237]センサ入力値は、決定論的経路を介して通信することができ、各トリップ判定1
208a~1208d内の特有のSFM1300へ提供される。次いで、これらの入力値
を工学単位に変換し、どの安全機能又はどの組の安全機能がその特有のSFM1300で
実施されるかを判定することができる。トリップ判定1208a~1208dは、いくつ
かの例では隔離された伝送専用の光ファイバ接続を介して、これらの工学単位値を制御シ
ステムへ提供する。より具体的には、トリップ判定は、適当な工学単位値をMIB120
8へ提供することができ、MIB1208が、これらの値を制御システムへ提供する。
208a~1208d内の特有のSFM1300へ提供される。次いで、これらの入力値
を工学単位に変換し、どの安全機能又はどの組の安全機能がその特有のSFM1300で
実施されるかを判定することができる。トリップ判定1208a~1208dは、いくつ
かの例では隔離された伝送専用の光ファイバ接続を介して、これらの工学単位値を制御シ
ステムへ提供する。より具体的には、トリップ判定は、適当な工学単位値をMIB120
8へ提供することができ、MIB1208が、これらの値を制御システムへ提供する。
[0238]各SFM1300内のトリップ判定1208a~1208dは、必要とされる場
合、所定の設定点に基づいて原子炉トリップ判定を行い、隔離された、場合により3重冗
長な、伝送専用の直列接続を介して、トリップ又は非トリップ要求信号を各RTSディビ
ジョン(たとえば、それぞれディビジョンI及びIIのRTS投票1214及び1216
)へ提供する。SFMはまた、必要とされる場合、所定の設定点に基づいてESFAS作
動判定を行い、隔離された、場合により3重冗長な、伝送専用の直列接続を介して、作動
又は作動禁止要求信号を各ESFASディビジョン(たとえば、それぞれディビジョンI
及びIIのESFAS投票1212及び1218)へ提供する。
合、所定の設定点に基づいて原子炉トリップ判定を行い、隔離された、場合により3重冗
長な、伝送専用の直列接続を介して、トリップ又は非トリップ要求信号を各RTSディビ
ジョン(たとえば、それぞれディビジョンI及びIIのRTS投票1214及び1216
)へ提供する。SFMはまた、必要とされる場合、所定の設定点に基づいてESFAS作
動判定を行い、隔離された、場合により3重冗長な、伝送専用の直列接続を介して、作動
又は作動禁止要求信号を各ESFASディビジョン(たとえば、それぞれディビジョンI
及びIIのESFAS投票1212及び1218)へ提供する。
[0239]図13に示すように、たとえば、特定のトリップ判定SFM1300は、スケジ
ューリング及びバイパスモジュール(SBM)1306を通って、トリップ又は非トリッ
プ要求信号をESFAS投票1212/1218へ提供する。トリップ判定SFM130
0は、スケジューリング及びバイパスモジュール(SBM)1306を通って、トリップ
又は非トリップ要求信号をRTS投票1214/1216へ提供する。SBM1306か
らの出力はまた、概して、図12に、それぞれトリップ判定1208a~1208dから
の出力1210a~1210dとして示されている。
ューリング及びバイパスモジュール(SBM)1306を通って、トリップ又は非トリッ
プ要求信号をESFAS投票1212/1218へ提供する。トリップ判定SFM130
0は、スケジューリング及びバイパスモジュール(SBM)1306を通って、トリップ
又は非トリップ要求信号をRTS投票1214/1216へ提供する。SBM1306か
らの出力はまた、概して、図12に、それぞれトリップ判定1208a~1208dから
の出力1210a~1210dとして示されている。
[0240]図12へ戻ると、各RTSディビジョン(たとえば、ディビジョンIに対するR
TS投票1214及びディビジョンIIに対するRTS投票1216)は、隔離された、
いくつかの態様では冗長な(たとえば、2重、3重、若しくはその他)、受取り専用の直
列接続、光ファイバ、又は他の接続を介して、上述したように、トリップ判定1208a
~1208d(分離グループA、B、C、及びD)から入力1210a~1210dを受
け取る。RTS投票及び論理は、例示的な実施形態では、必要とされるセーフガード作動
を単一故障が妨げることがなく、トリップ判定信号(たとえば、1210a~1210d
)内の単一故障が不必要なセーフガード作動を生成することがないように配置される。R
TSシステムは、緊急炉心冷却システム及び崩壊熱除去システムなどの重要なシステムの
自動及び手動両方の開始を提供することができる。
TS投票1214及びディビジョンIIに対するRTS投票1216)は、隔離された、
いくつかの態様では冗長な(たとえば、2重、3重、若しくはその他)、受取り専用の直
列接続、光ファイバ、又は他の接続を介して、上述したように、トリップ判定1208a
~1208d(分離グループA、B、C、及びD)から入力1210a~1210dを受
け取る。RTS投票及び論理は、例示的な実施形態では、必要とされるセーフガード作動
を単一故障が妨げることがなく、トリップ判定信号(たとえば、1210a~1210d
)内の単一故障が不必要なセーフガード作動を生成することがないように配置される。R
TSシステムは、緊急炉心冷却システム及び崩壊熱除去システムなどの重要なシステムの
自動及び手動両方の開始を提供することができる。
[0241]トリップ入力は、RTS投票論理で組み合わせられ、その結果、トリップ判定1
208a~1208dからの2つ以上の原子炉トリップ入力が、出力1228及び123
0(各ディビジョンに適当)で自動原子炉トリップ出力信号を生じさせ、出力1228及
び1230は、それぞれのディビジョンに関連付けられた原子炉トリップ遮断器(RTB
)1244に対するトリップコイルを作動させる。
208a~1208dからの2つ以上の原子炉トリップ入力が、出力1228及び123
0(各ディビジョンに適当)で自動原子炉トリップ出力信号を生じさせ、出力1228及
び1230は、それぞれのディビジョンに関連付けられた原子炉トリップ遮断器(RTB
)1244に対するトリップコイルを作動させる。
[0242]例示的な実施形態では、ESFAS投票及び論理は、必要とされるセーフガード
作動を単一故障が妨げることがなく、トリップ判定信号(たとえば、1210a~121
0d)内の単一故障が不必要なセーフガード作動を生成することがないように配置される
。ESFASシステムは、緊急炉心冷却システム及び崩壊熱除去システムなどの重要なシ
ステムの自動及び手動両方の開始を提供することができる。
作動を単一故障が妨げることがなく、トリップ判定信号(たとえば、1210a~121
0d)内の単一故障が不必要なセーフガード作動を生成することがないように配置される
。ESFASシステムは、緊急炉心冷却システム及び崩壊熱除去システムなどの重要なシ
ステムの自動及び手動両方の開始を提供することができる。
[0243]各ESFAS投票1212/1218は、隔離された、いくつかの態様では冗長
な(たとえば、2重、3重、又はその他)、受取り専用の光ファイバ接続を介して、上述
したように、トリップ判定1208a~1208d(分離グループA、B、C、及びD)
から入力1210a~1210dを受け取る。作動論理及び投票は、ESFAS投票12
12/1218内で行われる。ESFAS投票1212/1218が、作動が必要とされ
ると判定したとき、ESFAS投票1212/1218は、作動要求信号をそれぞれES
FAS優先論理1220/1222へ送り、ESFAS優先論理1220/1222は、
適当なESF機器1224及び1226を作動させる。
な(たとえば、2重、3重、又はその他)、受取り専用の光ファイバ接続を介して、上述
したように、トリップ判定1208a~1208d(分離グループA、B、C、及びD)
から入力1210a~1210dを受け取る。作動論理及び投票は、ESFAS投票12
12/1218内で行われる。ESFAS投票1212/1218が、作動が必要とされ
ると判定したとき、ESFAS投票1212/1218は、作動要求信号をそれぞれES
FAS優先論理1220/1222へ送り、ESFAS優先論理1220/1222は、
適当なESF機器1224及び1226を作動させる。
[0244]図14は、例示的な分離グループ並びにディビジョン原子炉トリップシステム(
RTS)及びESFAS通信アーキテクチャの概略図1400を示す。たとえば、図14
は、信号調節及びトリップ判定グループA(1204a/1208a)、RTS投票ディ
ビジョンI1214、及びESFAS投票ディビジョンI1212の個々の構成要素モジ
ュールを示す。加えて、図14は、分離グループ(HWM1310)、RTSディビジョ
ン(HWM1402)、及びESFASディビジョン(HWM1408)に関連付けられ
たハードワイヤードモジュール(HWM)を示す。以下により詳細に説明するように、各
HWM1310/1402/1408は、それぞれのバックプレーン1312/1404
/1406を通って、ハードワイヤードアナログ信号を、関連付けられた構成要素モジュ
ールへ渡す。
RTS)及びESFAS通信アーキテクチャの概略図1400を示す。たとえば、図14
は、信号調節及びトリップ判定グループA(1204a/1208a)、RTS投票ディ
ビジョンI1214、及びESFAS投票ディビジョンI1212の個々の構成要素モジ
ュールを示す。加えて、図14は、分離グループ(HWM1310)、RTSディビジョ
ン(HWM1402)、及びESFASディビジョン(HWM1408)に関連付けられ
たハードワイヤードモジュール(HWM)を示す。以下により詳細に説明するように、各
HWM1310/1402/1408は、それぞれのバックプレーン1312/1404
/1406を通って、ハードワイヤードアナログ信号を、関連付けられた構成要素モジュ
ールへ渡す。
[0245]図12~14を集合的に参照すると、MPS1200の主な目的は、プロセスパ
ラメータを監視し、正常外状態に応答して自動開始信号を提供し、定常状態及び過渡電力
動作中の安全でない原子力システム動作からの保護を提供することである。各原子力シス
テムに対して1つのMPS1200が存在する。MPS1200が実行する2つの主な機
能があり、1つは、プラントパラメータを監視し、予想運転事象中にプラント安全分析の
分析限界に基づく指定の設定点に到達し又は超過したときは原子炉を緊急停止することで
ある。RTSに対する例示的な原子力システムの原子炉トリップ機能が、表1(図27に
示す)に挙げられている。もう1つは、プラントパラメータを監視し、予想運転事象中に
プラント安全分析の分析限界に基づく指定の設定点に到達し又は超過したときはESFA
S機器を作動させることである。ESFAS機器の作動により、炉心及び原子炉冷却材シ
ステム構成要素の損傷が防止又は軽減され、格納の完全性が確実になる。例示的なESF
AS機能が、表2(図28A~28Cに示す)に要約されている。
ラメータを監視し、正常外状態に応答して自動開始信号を提供し、定常状態及び過渡電力
動作中の安全でない原子力システム動作からの保護を提供することである。各原子力シス
テムに対して1つのMPS1200が存在する。MPS1200が実行する2つの主な機
能があり、1つは、プラントパラメータを監視し、予想運転事象中にプラント安全分析の
分析限界に基づく指定の設定点に到達し又は超過したときは原子炉を緊急停止することで
ある。RTSに対する例示的な原子力システムの原子炉トリップ機能が、表1(図27に
示す)に挙げられている。もう1つは、プラントパラメータを監視し、予想運転事象中に
プラント安全分析の分析限界に基づく指定の設定点に到達し又は超過したときはESFA
S機器を作動させることである。ESFAS機器の作動により、炉心及び原子炉冷却材シ
ステム構成要素の損傷が防止又は軽減され、格納の完全性が確実になる。例示的なESF
AS機能が、表2(図28A~28Cに示す)に要約されている。
[0246]MPS1200はまた、状態及び情報信号を、不安全関連MCS155(図1に
示す)、保守ワークステーション(MWS)1316、及びSDIS(図18の1800
)へ伝送し、事故後監視(PAM)機能に対する監視を実行する。
示す)、保守ワークステーション(MWS)1316、及びSDIS(図18の1800
)へ伝送し、事故後監視(PAM)機能に対する監視を実行する。
[0247]MPS1200は、高度に統合された保護システムプラットホーム上に構築され
、これはフィールドプログラマブルゲートアレイ(FPGA)に基づくシステムである。
MPS1200は、上述したように、非依存性、冗長性、予測可能性、及び再現性、並び
に多様性、及び多層防御の根本的なI&C設計原理を組み込む。
、これはフィールドプログラマブルゲートアレイ(FPGA)に基づくシステムである。
MPS1200は、上述したように、非依存性、冗長性、予測可能性、及び再現性、並び
に多様性、及び多層防御の根本的なI&C設計原理を組み込む。
[0248]MPS1200は、分離グループセンサ電子機器及び入力パネル、信号調節の4
つの分離グループ、トリップ判定の4つの分離グループ、ディビジョン電力分配パネル、
不安全関連高信頼DC電力システム(EDSS)電源からの隔離及び電力監視を提供する
1Eクラス構成要素、不安全関連EDSSからの隔離も提供するセンサ及びMPS構成要
素に対する電源、EDSS電池充電器への480VACの損失を検出する8つの電圧セン
サ、4つの原子炉トリップ遮断器、4つの加圧器ヒータトリップ遮断器、2つの不安全関
連MWS、2つの不安全関連MPSゲートウェイ1314、PAM専用モードに対するデ
ィビジョンごとの3つの24時間タイマ、RTS投票及び作動機器1214/1216の
2つのディビジョン、ESFAS投票及び作動機器1212/1218の2つのディビジ
ョン、原子炉トリップ遮断器1244並びに関連するケーブル布線加圧器ヒータトリップ
遮断器及び関連するケーブル布線、低電圧AC電気分配システム(ELVS)480のV
ACバス電圧センサ及びMPSへの入力のための関するケーブル布線という安全関連要素
を含むことができる。MPS境界は、センサ及び検出器の出力接続から、作動される構成
要素の入力接続へ延びる。
つの分離グループ、トリップ判定の4つの分離グループ、ディビジョン電力分配パネル、
不安全関連高信頼DC電力システム(EDSS)電源からの隔離及び電力監視を提供する
1Eクラス構成要素、不安全関連EDSSからの隔離も提供するセンサ及びMPS構成要
素に対する電源、EDSS電池充電器への480VACの損失を検出する8つの電圧セン
サ、4つの原子炉トリップ遮断器、4つの加圧器ヒータトリップ遮断器、2つの不安全関
連MWS、2つの不安全関連MPSゲートウェイ1314、PAM専用モードに対するデ
ィビジョンごとの3つの24時間タイマ、RTS投票及び作動機器1214/1216の
2つのディビジョン、ESFAS投票及び作動機器1212/1218の2つのディビジ
ョン、原子炉トリップ遮断器1244並びに関連するケーブル布線加圧器ヒータトリップ
遮断器及び関連するケーブル布線、低電圧AC電気分配システム(ELVS)480のV
ACバス電圧センサ及びMPSへの入力のための関するケーブル布線という安全関連要素
を含むことができる。MPS境界は、センサ及び検出器の出力接続から、作動される構成
要素の入力接続へ延びる。
[0249]信号調節1204a~1204dに対するSFM1300は、プロセスセンサ及
び検出器から入力を受け取り、図12に示すようにプロセスパラメータを測定する。信号
調節1204a~1204dへのプロセスセンサ及び検出器の相互接続は、専用の銅線で
あり、センサ要件に基づいて必要とされる場所に従って経路指定される。SFM1300
は、信号調節、トリップ判定、通信エンジンという3つの主機能を実行する。信号調節機
能は、信号調節回路、アナログ-デジタル変換器、及び直列インタフェースからなるSF
M1300の一部である入力モジュールから構成される。信号調節機能は、フィールド入
力の調節、測定、フィルタリング、及びサンプリングを担う。
び検出器から入力を受け取り、図12に示すようにプロセスパラメータを測定する。信号
調節1204a~1204dへのプロセスセンサ及び検出器の相互接続は、専用の銅線で
あり、センサ要件に基づいて必要とされる場所に従って経路指定される。SFM1300
は、信号調節、トリップ判定、通信エンジンという3つの主機能を実行する。信号調節機
能は、信号調節回路、アナログ-デジタル変換器、及び直列インタフェースからなるSF
M1300の一部である入力モジュールから構成される。信号調節機能は、フィールド入
力の調節、測定、フィルタリング、及びサンプリングを担う。
[0250]トリップ判定1208a~1208dは、直列インタフェースを通って、信号調
節ブロックからのプロセス及び検出器入力値をデジタル形式で受け取る。トリップ判定1
208a~1208dは、安全機能アルゴリズムを実行し、所定の設定点に基づいてトリ
ップ判定を行い、隔離された、いくつかの態様では冗長な(たとえば、2重、3重、又は
その他)、伝送専用の直列接続を通って、トリップ又はトリップなし要求信号を各RTS
ディビジョン1214/1216へ提供する。SFM1300はまた、所定の設定点に基
づいてESFAS作動判定を行い、隔離された伝送専用の直列接続を通って、作動又は作
動禁止要求信号を各ESFASディビジョン1212/1218へ提供する。
節ブロックからのプロセス及び検出器入力値をデジタル形式で受け取る。トリップ判定1
208a~1208dは、安全機能アルゴリズムを実行し、所定の設定点に基づいてトリ
ップ判定を行い、隔離された、いくつかの態様では冗長な(たとえば、2重、3重、又は
その他)、伝送専用の直列接続を通って、トリップ又はトリップなし要求信号を各RTS
ディビジョン1214/1216へ提供する。SFM1300はまた、所定の設定点に基
づいてESFAS作動判定を行い、隔離された伝送専用の直列接続を通って、作動又は作
動禁止要求信号を各ESFASディビジョン1212/1218へ提供する。
[0251]SFM内には、監視及び標示バス(MIB)機能、並びに較正及び試験バス(C
TB)機能という2つの他の論理機能がある。MIB論理機能は、コア論理経路の各々か
らパラメータ、トリップ判定、状態、及び診断情報を取得し、それをMIBへ提供する。
CTB機能論理は、SFM1300が非稼働中であるとき、MWS1316が不揮発性メ
モリ内で調整可能なパラメータを更新することを可能にする。インタフェースモジュール
1306/1308へのSFM1300の相互接続を示す分離グループアーキテクチャが
、図13に示されている。
TB)機能という2つの他の論理機能がある。MIB論理機能は、コア論理経路の各々か
らパラメータ、トリップ判定、状態、及び診断情報を取得し、それをMIBへ提供する。
CTB機能論理は、SFM1300が非稼働中であるとき、MWS1316が不揮発性メ
モリ内で調整可能なパラメータを更新することを可能にする。インタフェースモジュール
1306/1308へのSFM1300の相互接続を示す分離グループアーキテクチャが
、図13に示されている。
[0252]SFM1300通信エンジンは、トリップ及び作動データを、シャーシバックプ
レーン1312上の3つの安全データバス(SDB1、SDB2、及びSDB3)130
2へ送り、このデータは、スケジューリング及びバイパスモジュール(SBM SD1、
SBM SD2、及びSBM SD3)1306上で受け取られる。スケジューリング及
びバイパスモジュール(SBM)1306は、関連付けられたバスのバスマスタであり、
通信のスケジューリングを担う。通信経路及び機器は冗長であり、安全データを単一デー
タ経路上の単一故障又は複数の故障に対して耐障害性にする。SBM1306は、データ
を認証し、RTS1214/1216及びESFAS1212/1218の両方のディビ
ジョンへの隔離された1方向の伝送接続を通って、このデータをそれぞれのスケジューリ
ング及び投票モジュール(SVM)1410/1420へ伝送する。4つの分離グループ
に対する冗長データは、図12に示すように、RTS1214/1216及びESFAS
1212/1218の各ディビジョンによって受け取られる。
レーン1312上の3つの安全データバス(SDB1、SDB2、及びSDB3)130
2へ送り、このデータは、スケジューリング及びバイパスモジュール(SBM SD1、
SBM SD2、及びSBM SD3)1306上で受け取られる。スケジューリング及
びバイパスモジュール(SBM)1306は、関連付けられたバスのバスマスタであり、
通信のスケジューリングを担う。通信経路及び機器は冗長であり、安全データを単一デー
タ経路上の単一故障又は複数の故障に対して耐障害性にする。SBM1306は、データ
を認証し、RTS1214/1216及びESFAS1212/1218の両方のディビ
ジョンへの隔離された1方向の伝送接続を通って、このデータをそれぞれのスケジューリ
ング及び投票モジュール(SVM)1410/1420へ伝送する。4つの分離グループ
に対する冗長データは、図12に示すように、RTS1214/1216及びESFAS
1212/1218の各ディビジョンによって受け取られる。
[0253]SFM1300及びSBM1306に対するすべての状態及び診断情報は、MI
Bへ提供される。MIB通信モジュール(MIB-CM)1308は、MIBに対するバ
スマスタであり、MIBに対する通信をスケジュールする。MIB-CM1308は、隔
離された1方向の伝送専用出力を通って、状態及び診断情報をMCS155及びMPSゲ
ートウェイ1314へ提供する。MPSゲートウェイ1314は、データをMWS131
6及びSDIS1800へ送る。MIB-CM1308はまた、各安全機能に対する較正
及びパラメータ更新を可能にするために、CTBを通ってMWS1316からSFM13
00への通信経路(経路1304)を提供する。いくつかの実施形態では、パラメータの
変更又はチャネルの較正を可能にするために、安全機能は非稼働中でなければならず、M
WS1316からMIB-CM1308への一時ケーブル1318が必要とされる。MW
S1318は、一時ケーブル1318を使用して、1度に1つの分離グループにのみアク
セスすることができる。
Bへ提供される。MIB通信モジュール(MIB-CM)1308は、MIBに対するバ
スマスタであり、MIBに対する通信をスケジュールする。MIB-CM1308は、隔
離された1方向の伝送専用出力を通って、状態及び診断情報をMCS155及びMPSゲ
ートウェイ1314へ提供する。MPSゲートウェイ1314は、データをMWS131
6及びSDIS1800へ送る。MIB-CM1308はまた、各安全機能に対する較正
及びパラメータ更新を可能にするために、CTBを通ってMWS1316からSFM13
00への通信経路(経路1304)を提供する。いくつかの実施形態では、パラメータの
変更又はチャネルの較正を可能にするために、安全機能は非稼働中でなければならず、M
WS1316からMIB-CM1308への一時ケーブル1318が必要とされる。MW
S1318は、一時ケーブル1318を使用して、1度に1つの分離グループにのみアク
セスすることができる。
[0254]分離グループ信号調節及びトリップ判定1204a/1208aはまた、手動バ
イパス制御を提供する。主制御室(MCR)内の手動スイッチは、操作者が原子炉トリッ
プを手動で開始することを可能にし、1つ又は複数の分離グループ信号に対するバイパス
制御が、それぞれのトリップ信号を手動でバイパスするために提供される。手動スイッチ
は、分離グループのハードワイヤードモジュールHWM1310を通って、SFM130
0に関連付けられたトリップ判定論理へ入力される。分離グループHWM1310は、ア
ナログハードワイヤードバックプレーン11312を通ってSFM1300、SBM14
06、及びMIB1308に接続される。
イパス制御を提供する。主制御室(MCR)内の手動スイッチは、操作者が原子炉トリッ
プを手動で開始することを可能にし、1つ又は複数の分離グループ信号に対するバイパス
制御が、それぞれのトリップ信号を手動でバイパスするために提供される。手動スイッチ
は、分離グループのハードワイヤードモジュールHWM1310を通って、SFM130
0に関連付けられたトリップ判定論理へ入力される。分離グループHWM1310は、ア
ナログハードワイヤードバックプレーン11312を通ってSFM1300、SBM14
06、及びMIB1308に接続される。
[0255]MIBは、各分離グループ及び各ディビジョンに対して含まれる。ディビジョン
MIB-CM1412/1422は、ディビジョンRTS及びESFAS MIB-CM
1412/1422に利用可能な較正がないため、監視及び標示の機能のみを担う。
MIB-CM1412/1422は、ディビジョンRTS及びESFAS MIB-CM
1412/1422に利用可能な較正がないため、監視及び標示の機能のみを担う。
[0256]いくつかの態様では、RTSは、各分離グループ(A、B、C、及びD)から1
つずつ、4つの冗長トリップ判定信号を使用して、RTSパラメータが所定の限界を超過
したときに原子炉トリップ遮断器1244を自動的に開放するのに必要な論理決定を完了
する。RTSに対する例示的な分析限界は、表1(上記)に挙げられている。
つずつ、4つの冗長トリップ判定信号を使用して、RTSパラメータが所定の限界を超過
したときに原子炉トリップ遮断器1244を自動的に開放するのに必要な論理決定を完了
する。RTSに対する例示的な分析限界は、表1(上記)に挙げられている。
[0257]各分離グループに対するSFM1300は、トリップ信号を生成し、このトリッ
プ信号は、SBM1306を通って、両方のRTSディビジョン1214/1216内の
SVM1410へ送られる。SVM1410は、トリップ判定状態に関して、非多数決投
票、たとえばツーアウトオブフォー(2oo4)一致論理投票を実行する。たとえば、2
つ以上のトリップ判定信号が原子炉トリップを生成する場合、SVM内でトリップ信号が
生成され、関連付けられた機器インタフェースモジュール(EIM)1414へ送られ、
原子炉トリップ遮断器1244を開放する。
プ信号は、SBM1306を通って、両方のRTSディビジョン1214/1216内の
SVM1410へ送られる。SVM1410は、トリップ判定状態に関して、非多数決投
票、たとえばツーアウトオブフォー(2oo4)一致論理投票を実行する。たとえば、2
つ以上のトリップ判定信号が原子炉トリップを生成する場合、SVM内でトリップ信号が
生成され、関連付けられた機器インタフェースモジュール(EIM)1414へ送られ、
原子炉トリップ遮断器1244を開放する。
[0258]RTS内の各EIM1414は、SVM1410内に作られた出力から冗長トリ
ップ信号を受け取り、多数決、たとえばツーアウトオブスリー(2oo3)投票に基づい
て、図14に示すように、入ってくる信号からトリップ信号を提供する。RTS1214
/1216回路及び原子炉トリップ遮断器1244の2つのディビジョンは、単一故障が
RTS機能の損失を引き起こさないことを確実にするために提供される。原子炉トリップ
遮断器1244は、たとえば図2Bに示すように、直列-並列構成で構成することができ
る。
ップ信号を受け取り、多数決、たとえばツーアウトオブスリー(2oo3)投票に基づい
て、図14に示すように、入ってくる信号からトリップ信号を提供する。RTS1214
/1216回路及び原子炉トリップ遮断器1244の2つのディビジョンは、単一故障が
RTS機能の損失を引き起こさないことを確実にするために提供される。原子炉トリップ
遮断器1244は、たとえば図2Bに示すように、直列-並列構成で構成することができ
る。
[0259]上述したように、SVM1410とEIM1414との間の投票層の分離は、よ
り効率的かつより頑健な投票方式を提供する。SVMの非多数決方式は、3つのSVM1
410にわたって3倍にされ、EIMは、SVM投票の結果を集める。EIM1414は
、SVM信号で多数決を行う。
り効率的かつより頑健な投票方式を提供する。SVMの非多数決方式は、3つのSVM1
410にわたって3倍にされ、EIMは、SVM投票の結果を集める。EIM1414は
、SVM信号で多数決を行う。
[0260]EIM1414は、各原子炉トリップ遮断器1244に対して、MPS1200
によって作動される両方のRTSディビジョン1214/1216内に含まれる。各原子
炉トリップ遮断器EIM1414は、2つの別個の論理経路を有する。1次コイルが、不
足電圧トリップ回路に接続され、2次コイルは、各原子炉トリップ遮断器1244に対す
る分路トリップ回路に接続される。各RTSディビジョン1214/1216は、各並列
経路内で1つの原子炉トリップ遮断器1244を制御する。この構成により、いずれのデ
ィビジョン1214/1216も原子炉トリップを実現することが可能になる。原子炉ト
リップ信号がSVM1410内で生成されたとき、不足電圧トリップ回路が切断され、分
路トリップ回路が励磁される。いずれの措置も、すべての4つの原子炉トリップ遮断器1
244を開放する。次いで、制御棒駆動電源からの電力が中断され、制御棒は重力によっ
て炉心内へ挿入される。
によって作動される両方のRTSディビジョン1214/1216内に含まれる。各原子
炉トリップ遮断器EIM1414は、2つの別個の論理経路を有する。1次コイルが、不
足電圧トリップ回路に接続され、2次コイルは、各原子炉トリップ遮断器1244に対す
る分路トリップ回路に接続される。各RTSディビジョン1214/1216は、各並列
経路内で1つの原子炉トリップ遮断器1244を制御する。この構成により、いずれのデ
ィビジョン1214/1216も原子炉トリップを実現することが可能になる。原子炉ト
リップ信号がSVM1410内で生成されたとき、不足電圧トリップ回路が切断され、分
路トリップ回路が励磁される。いずれの措置も、すべての4つの原子炉トリップ遮断器1
244を開放する。次いで、制御棒駆動電源からの電力が中断され、制御棒は重力によっ
て炉心内へ挿入される。
[0261]RTSはまた、手動トリップ能力を提供する。MCR内の手動スイッチは、操作
者が原子炉トリップを手動で開始することを可能にする。ディビジョンごとに1つずつ、
2つの手動スイッチが、原子炉トリップを手動で開始するために提供される。手動スイッ
チは、RTSハードワイヤードモジュール(HWM)1402を通って、原子炉トリップ
システムEIM1414に関連付けられた作動及び優先論理(APL)へ入力される。R
TS HWM1402は、アナログハードワイヤードバックプレーン1404を通って、
SVM1410、EIM1414、及びMIB1412に接続される。手動トリップ機能
に加えて、RTS HWM1402は、1つ又は複数のRTSトリップ信号、非1Eイネ
ーブル(たとえば、不安全イネーブル)、及び不安全制御信号に対する動作バイパス制御
を提供することができる。いくつかの実施形態では、非1Eイネーブル制御は、不安全関
連システムからの制御信号が、RTSシステム動作を制御すること(たとえば、RTB1
244を操作すること)を可能にする。
者が原子炉トリップを手動で開始することを可能にする。ディビジョンごとに1つずつ、
2つの手動スイッチが、原子炉トリップを手動で開始するために提供される。手動スイッ
チは、RTSハードワイヤードモジュール(HWM)1402を通って、原子炉トリップ
システムEIM1414に関連付けられた作動及び優先論理(APL)へ入力される。R
TS HWM1402は、アナログハードワイヤードバックプレーン1404を通って、
SVM1410、EIM1414、及びMIB1412に接続される。手動トリップ機能
に加えて、RTS HWM1402は、1つ又は複数のRTSトリップ信号、非1Eイネ
ーブル(たとえば、不安全イネーブル)、及び不安全制御信号に対する動作バイパス制御
を提供することができる。いくつかの実施形態では、非1Eイネーブル制御は、不安全関
連システムからの制御信号が、RTSシステム動作を制御すること(たとえば、RTB1
244を操作すること)を可能にする。
[0262]APLは、SFM1300からのデジタルトリップ信号、その関連付けられたR
TSディビジョン1214/1216からの非デジタル手動トリップ信号、MCS155
からの非デジタル手動制御信号という3つのソースからのコマンドを受け付ける。
TSディビジョン1214/1216からの非デジタル手動トリップ信号、MCS155
からの非デジタル手動制御信号という3つのソースからのコマンドを受け付ける。
[0263]非デジタル(たとえば、アナログ)信号は、MPS1200のデジタル部分とは
異なる。APLによって、最も高い優先順位に基づいて単一デバイスを作動させるために
、個別の論理が使用される。デジタルシステムの状態にかかわらず、手動開始をディビジ
ョンレベルで常に実行することができる。イネーブル不安全制御パーミッシブが活動中で
あり、かつ自動又は手動作動信号が存在しない場合、MCS155は、原子炉トリップ遮
断器を操作することが可能である。
異なる。APLによって、最も高い優先順位に基づいて単一デバイスを作動させるために
、個別の論理が使用される。デジタルシステムの状態にかかわらず、手動開始をディビジ
ョンレベルで常に実行することができる。イネーブル不安全制御パーミッシブが活動中で
あり、かつ自動又は手動作動信号が存在しない場合、MCS155は、原子炉トリップ遮
断器を操作することが可能である。
[0264]APLからの結果は、EIM1414に接続された機器を作動させるために使用
される。原子炉トリップ遮断器状態が、EIM1414へ提供される。遮断器状態情報は
、MIB-CM1412へ、SDB信号の状態とともに送られる。
される。原子炉トリップ遮断器状態が、EIM1414へ提供される。遮断器状態情報は
、MIB-CM1412へ、SDB信号の状態とともに送られる。
[0265]いくつかの態様では、ESFASは、各分離グループ(A、B、C、及びD)か
ら1つずつ、4つの冗長作動判定信号を使用して、図12に示すように、必要なESFの
動作を自動的に開始するのに必要な論理決定を完了する。ESFASに対する例示的な分
析限界は、表2(上記)に挙げられている。
ら1つずつ、4つの冗長作動判定信号を使用して、図12に示すように、必要なESFの
動作を自動的に開始するのに必要な論理決定を完了する。ESFASに対する例示的な分
析限界は、表2(上記)に挙げられている。
[0266]ESFASパラメータが所定の限界を超過したとき、各分離グループに対するS
FM1300は、作動信号を生成し、この作動信号は、SBM1306を通って、両方の
ESFASディビジョン1212/1218内のSVM1420へ送られる。SVM14
20は、トリップ判定状態に関して、非多数決投票、たとえばツーアウトオブフォー一致
論理投票を実行する。2つ以上の作動信号がESFシステムの作動を生成する場合、SV
M1420内で作動信号が生成される。次いで、この信号は、関連付けられたEIM14
24へ送られ、関連付けられたESFシステムのソレノイドを切断し、又は関連付けられ
たESFシステムの遮断器を開放する。
FM1300は、作動信号を生成し、この作動信号は、SBM1306を通って、両方の
ESFASディビジョン1212/1218内のSVM1420へ送られる。SVM14
20は、トリップ判定状態に関して、非多数決投票、たとえばツーアウトオブフォー一致
論理投票を実行する。2つ以上の作動信号がESFシステムの作動を生成する場合、SV
M1420内で作動信号が生成される。次いで、この信号は、関連付けられたEIM14
24へ送られ、関連付けられたESFシステムのソレノイドを切断し、又は関連付けられ
たESFシステムの遮断器を開放する。
[0267]EIM1424が、MPS1200によって作動される各ESF構成要素に対す
る各ディビジョン1212/1218内に含まれる。各EIM1424は、別個のESF
構成要素への接続を可能にするために、2つの別個の論理経路を有することができる。各
構成要素は、2つの別個のEIM1424に接続され、その結果、2つのEIM1424
が、図15に示すように、各構成要素へ冗長制御を提供する。これにより、接続された機
器を作動させることなく、EIM1424を非稼働状態にし、オンライン交換することが
可能になる。
る各ディビジョン1212/1218内に含まれる。各EIM1424は、別個のESF
構成要素への接続を可能にするために、2つの別個の論理経路を有することができる。各
構成要素は、2つの別個のEIM1424に接続され、その結果、2つのEIM1424
が、図15に示すように、各構成要素へ冗長制御を提供する。これにより、接続された機
器を作動させることなく、EIM1424を非稼働状態にし、オンライン交換することが
可能になる。
[0268]上述したように、SVM1420とEIM1424との間の投票層の分離は、よ
り効率的かつより頑健な投票方式を提供する。SVMの非多数決方式は、複数(たとえば
、3つ)のSVM1420にわたって冗長に実行することができ、EIM1424は、S
VM投票の結果を集める。EIM1424は、SVM信号で多数決を行う。
り効率的かつより頑健な投票方式を提供する。SVMの非多数決方式は、複数(たとえば
、3つ)のSVM1420にわたって冗長に実行することができ、EIM1424は、S
VM投票の結果を集める。EIM1424は、SVM信号で多数決を行う。
[0269]図15は、ESFAS EIM1424a/1424bの例示的な実施形態の概
略図1500を示す。ESFAS作動信号がSVM1420内で生成されるとき、図15
に示すように、EIM1424a/1424bからのすべての4つのスイッチング出力1
504~1510が作動する。たとえば、構成要素ソレノイド1512/1518への電
力が中断されると、構成要素を作動させることができる。ソレノイドは切断され、構成要
素は切断位置へ状態を変化させる。加圧器ヒータの場合、不足電圧トリップ回路が切断さ
れ、分路トリップ回路が励磁される。いずれの措置も、すべての4つの遮断器を開放する
。
略図1500を示す。ESFAS作動信号がSVM1420内で生成されるとき、図15
に示すように、EIM1424a/1424bからのすべての4つのスイッチング出力1
504~1510が作動する。たとえば、構成要素ソレノイド1512/1518への電
力が中断されると、構成要素を作動させることができる。ソレノイドは切断され、構成要
素は切断位置へ状態を変化させる。加圧器ヒータの場合、不足電圧トリップ回路が切断さ
れ、分路トリップ回路が励磁される。いずれの措置も、すべての4つの遮断器を開放する
。
[0270]ESFASはまた、手動作動能力を提供することができる。たとえば、いくつか
の実施形態では、MCR内の手動スイッチは、操作者がESF機能を手動で開始すること
を可能にする。ディビジョン1212/1218ごとに1つずつ、2つの手動スイッチが
、各ESF機能を手動で開始するために提供される。これらの手動スイッチは、ESFA
S HWM1408を通って、工学的安全施設作動システムEIM1424に関連付けら
れたAPLへ入力される。ESFAS HWM1408は、アナログハードワイヤードバ
ックプレーン1406を通って、SVM1420、EIM1424、及びMIB1422
に接続される。手動ESF構成要素作動能力に加えて、ESFAS HWM1408は、
1つ又は複数のESFASトリップ信号、非1Eイネーブル制御(たとえば、不安全イネ
ーブル)、及び不安全制御信号に対する動作バイパス制御を提供することができる。いく
つかの実施形態では、非1Eイネーブル制御は、不安全関連システムからの制御信号が、
ESFASシステム動作を制御すること(たとえば、ESF構成要素を操作すること)を
可能にする。
の実施形態では、MCR内の手動スイッチは、操作者がESF機能を手動で開始すること
を可能にする。ディビジョン1212/1218ごとに1つずつ、2つの手動スイッチが
、各ESF機能を手動で開始するために提供される。これらの手動スイッチは、ESFA
S HWM1408を通って、工学的安全施設作動システムEIM1424に関連付けら
れたAPLへ入力される。ESFAS HWM1408は、アナログハードワイヤードバ
ックプレーン1406を通って、SVM1420、EIM1424、及びMIB1422
に接続される。手動ESF構成要素作動能力に加えて、ESFAS HWM1408は、
1つ又は複数のESFASトリップ信号、非1Eイネーブル制御(たとえば、不安全イネ
ーブル)、及び不安全制御信号に対する動作バイパス制御を提供することができる。いく
つかの実施形態では、非1Eイネーブル制御は、不安全関連システムからの制御信号が、
ESFASシステム動作を制御すること(たとえば、ESF構成要素を操作すること)を
可能にする。
[0271]APLは、SFM1300からのデジタルトリップ信号、それ自体のESFAS
ディビジョン1212/1218からの非デジタル手動トリップ信号、MCS155から
の非デジタル手動制御信号という3つのソースからのコマンドを受け付ける。
ディビジョン1212/1218からの非デジタル手動トリップ信号、MCS155から
の非デジタル手動制御信号という3つのソースからのコマンドを受け付ける。
[0272]非デジタル(たとえば、アナログ)信号は、MPS1200のデジタル部分とは
異なる。APLによって、最も高い優先順位に基づいて単一の構成要素を作動させるため
に、個別の論理が使用される。デジタルシステムの状態にかかわらず、手動開始をディビ
ジョンレベルで常に実行することができる。イネーブル不安全関連制御パーミッシブが活
動中であり、かつ自動又は手動作動信号が存在しない場合、MCS155は、ESF構成
要素を制御(たとえば、操作)することが可能である。
異なる。APLによって、最も高い優先順位に基づいて単一の構成要素を作動させるため
に、個別の論理が使用される。デジタルシステムの状態にかかわらず、手動開始をディビ
ジョンレベルで常に実行することができる。イネーブル不安全関連制御パーミッシブが活
動中であり、かつ自動又は手動作動信号が存在しない場合、MCS155は、ESF構成
要素を制御(たとえば、操作)することが可能である。
[0273]APLからの結果は、EIM1424に接続された機器を制御して作動させるた
めに使用される。機器状態が、各EIM1424へ伝送される。機器状態情報は、MIB
-CM1422へ、SDB信号の状態とともに送られる。
めに使用される。機器状態が、各EIM1424へ伝送される。機器状態情報は、MIB
-CM1422へ、SDB信号の状態とともに送られる。
[0274]各MPS1200分離グループ及びディビジョン、並びにMPSゲートウェイ1
314は、専用のHWM(たとえば、分離グループHWM1310、RTS HWM14
02、及びESFAS HWM1408)を有する。HWMの特徴は、図25に関してよ
り詳細に説明する。HWMは、MPSキャビネットの外部からハードワイヤード信号を受
け付け、これらの信号を他のモジュールに対するシャーシバックプレーン(たとえば、バ
ックプレーン1312、1404、1406)上で利用可能にする。これらの信号は、M
CR155からの手動作動スイッチ、動作バイパススイッチ、オーバーライドスイッチ、
及びイネーブル不安全制御スイッチを含む。動作バイパス及びオーバーライドスイッチは
、以下により詳細に説明する。HWMへの他の入力は、SFM1300トリップ/バイパ
ススイッチ、MCS155制御入力、及び構成要素位置フィードバックを含む。
314は、専用のHWM(たとえば、分離グループHWM1310、RTS HWM14
02、及びESFAS HWM1408)を有する。HWMの特徴は、図25に関してよ
り詳細に説明する。HWMは、MPSキャビネットの外部からハードワイヤード信号を受
け付け、これらの信号を他のモジュールに対するシャーシバックプレーン(たとえば、バ
ックプレーン1312、1404、1406)上で利用可能にする。これらの信号は、M
CR155からの手動作動スイッチ、動作バイパススイッチ、オーバーライドスイッチ、
及びイネーブル不安全制御スイッチを含む。動作バイパス及びオーバーライドスイッチは
、以下により詳細に説明する。HWMへの他の入力は、SFM1300トリップ/バイパ
ススイッチ、MCS155制御入力、及び構成要素位置フィードバックを含む。
[0275]図16は、MPSゲートウェイ1314の例示的な実施形態の概略図を示す。M
PSの各ディビジョンは、不安全関連MPSゲートウェイ1314を有する。MPSゲー
トウェイは、4つの分離グループ(たとえば、グループA、B、C、及びD)、RTS1
214/1216の2つのディビジョン、及びESFAS1212/1218から受け取
った情報を統合する複数の通信モジュール1602を含む。MPSゲートウェイ1314
はまた、機器からPAM専用モードに対するHWM1624への機器状態フィードバック
(位置フィードバック1622)を収集することができ、並びにタイマSFM1612を
通って、3つの24時間タイマ1614の状態を読み取る。MPSゲートウェイ1314
へ伝送される情報のすべてが、ゲートウェイマスタ1604として作用する単一通信モジ
ュールによって統合される。分離グループ及びディビジョン通信モジュール1602並び
にタイマSFM1612は、RS-485物理層1608を通って、ゲートウェイマスタ
1604と通信する。次いで、MPSゲートウェイバックプレーン1626上のゲートウ
ェイマスタ1604は、図16に示すように、隔離された適格の1方向通信経路を通って
、統合されたデータをMWS1316及びSDISハブへ伝送する。各ディビジョンに対
して1つのMPSゲートウェイ1314が存在する。
PSの各ディビジョンは、不安全関連MPSゲートウェイ1314を有する。MPSゲー
トウェイは、4つの分離グループ(たとえば、グループA、B、C、及びD)、RTS1
214/1216の2つのディビジョン、及びESFAS1212/1218から受け取
った情報を統合する複数の通信モジュール1602を含む。MPSゲートウェイ1314
はまた、機器からPAM専用モードに対するHWM1624への機器状態フィードバック
(位置フィードバック1622)を収集することができ、並びにタイマSFM1612を
通って、3つの24時間タイマ1614の状態を読み取る。MPSゲートウェイ1314
へ伝送される情報のすべてが、ゲートウェイマスタ1604として作用する単一通信モジ
ュールによって統合される。分離グループ及びディビジョン通信モジュール1602並び
にタイマSFM1612は、RS-485物理層1608を通って、ゲートウェイマスタ
1604と通信する。次いで、MPSゲートウェイバックプレーン1626上のゲートウ
ェイマスタ1604は、図16に示すように、隔離された適格の1方向通信経路を通って
、統合されたデータをMWS1316及びSDISハブへ伝送する。各ディビジョンに対
して1つのMPSゲートウェイ1314が存在する。
[0276]MPS1200の各ディビジョンは、保守及び較正の目的のため、不安全関連M
WS1316を有する。1方向の読取り専用データが、そのディビジョンに対するMPS
ゲートウェイ1314を通って提供され、各ディビジョンのMWS1316上で連続して
利用可能になる。MWS1316は、安全機能が非稼働中のとき、SFM1300内で調
整可能なパラメータを更新するために使用される。安全機能を実行するために依拠されて
いるときにSFM1300への修正を防止するために、制御が導入される。MWS131
6は、SFM1300内の設定点及び調整可能なパラメータを更新するために2方向通信
を可能にする一時ケーブル1318を使用するオフライン保守及び較正に使用される。S
FM1300がその非稼働スイッチを動作させることによって非稼働状態になると、その
SFM1300に関連付けられたトリップ/バイパススイッチの位置が、SBM1306
によって読み取られて、SFM1300出力に対する状態として使用される。MPS12
00の各ディビジョンは、ポイントツーポイントケーブル(たとえば、銅又は光ファイバ
)を介して、隔離された1方向通信ポートを通って、MPSゲートウェイ1314を使用
して、オンライン監視の目的で恒久的に接続された不安全関連MWS1316を有する。
WS1316を有する。1方向の読取り専用データが、そのディビジョンに対するMPS
ゲートウェイ1314を通って提供され、各ディビジョンのMWS1316上で連続して
利用可能になる。MWS1316は、安全機能が非稼働中のとき、SFM1300内で調
整可能なパラメータを更新するために使用される。安全機能を実行するために依拠されて
いるときにSFM1300への修正を防止するために、制御が導入される。MWS131
6は、SFM1300内の設定点及び調整可能なパラメータを更新するために2方向通信
を可能にする一時ケーブル1318を使用するオフライン保守及び較正に使用される。S
FM1300がその非稼働スイッチを動作させることによって非稼働状態になると、その
SFM1300に関連付けられたトリップ/バイパススイッチの位置が、SBM1306
によって読み取られて、SFM1300出力に対する状態として使用される。MPS12
00の各ディビジョンは、ポイントツーポイントケーブル(たとえば、銅又は光ファイバ
)を介して、隔離された1方向通信ポートを通って、MPSゲートウェイ1314を使用
して、オンライン監視の目的で恒久的に接続された不安全関連MWS1316を有する。
[0277]いくつかの実施形態では、EDSSは、MPS1200に対する電源である。D
C-DC電圧変換器は、MPS機器の1Eクラスの隔離及び保護に使用される。ディビジ
ョンIのMPS電力は、電力チャネルA及びCから1Eクラス隔離に対するDC-DC変
換器を通って生成され、次いでオークショニアされる。ディビジョンIIの電力は、ディ
ビジョンIと同様に、電力チャネルB及びDから生成される。分離グループは各々、単一
のEDSSチャネルによって冗長に供給及びオークショニアされる。MPSディビジョン
Iへ電力を供給するEDSS電力チャネルA及びCは、MPSディビジョンIIへ電力を
供給するEDSS電力チャネルB及びDから完全に独立している。
C-DC電圧変換器は、MPS機器の1Eクラスの隔離及び保護に使用される。ディビジ
ョンIのMPS電力は、電力チャネルA及びCから1Eクラス隔離に対するDC-DC変
換器を通って生成され、次いでオークショニアされる。ディビジョンIIの電力は、ディ
ビジョンIと同様に、電力チャネルB及びDから生成される。分離グループは各々、単一
のEDSSチャネルによって冗長に供給及びオークショニアされる。MPSディビジョン
Iへ電力を供給するEDSS電力チャネルA及びCは、MPSディビジョンIIへ電力を
供給するEDSS電力チャネルB及びDから完全に独立している。
[0278]いくつかの実施形態では、A及びD電池に対する24時間並びにB及びC電池に
対する72時間の全ミッションタイムにわたってEDSS電池供給電力を確実にするため
に、閉鎖したECCSバルブ又は機能的なPAM計装装備を維持することに関連する負荷
のみが、ECCS保持モード及びPAM専用モード中に励磁されたままである。これらの
負荷には、センサへの電力を含むMPS及び中性子監視システム(NMS)キャビネット
、ECCSバルブソレノイド、放射線監視(RM)バイオシールド放射線モニタ、及びE
DSS電池モニタが含まれる。4つのセンサのうちの2つが、B及びC両方の電池充電器
の開閉器で電圧の損失を検出した場合、MPSは、原子炉トリップ、崩壊熱除去システム
(DHRS)作動、加圧器ヒータトリップ、脱塩水供給隔離、格納隔離を自動的に生成し
、ディビジョンごとに3つの24時間タイマを開始する。電圧の損失後の最初の24時間
にわたって、MPS機器の4つの分離グループ並びにESFAS及びRTSの両方のディ
ビジョンは励磁されたままである。プラント状態のためECCS作動が必要とされない場
合、ECCSは作動しなくなり(ECCSトリップソレノイドバルブは励磁されたままで
ある)、これは、AC電力を回復する時間を可能にし、ECCSの作動の防止するECC
S保持モードとして定義される。この24時間期間中に関連付けられたESFAS信号が
生成された場合、ECCSはそれでもなお作動する。24時間の範囲内でB及びC電池開
閉器への電力が回復されない場合、24時間タイマは時間切れになる。この時点で、ES
FAS及びRTSシャーシ並びに両方のMPSディビジョンに対するMWSが、自動的に
切断される。この措置は、ECCSソレノイドトリップバルブを切断し、ECCSが作動
する。PAM計装装備は、追加の48時間(合計72時間)にわたって、B及びCのED
SS電池によって給電されたままである。この構成は、PAM専用モードとして定義され
る。
対する72時間の全ミッションタイムにわたってEDSS電池供給電力を確実にするため
に、閉鎖したECCSバルブ又は機能的なPAM計装装備を維持することに関連する負荷
のみが、ECCS保持モード及びPAM専用モード中に励磁されたままである。これらの
負荷には、センサへの電力を含むMPS及び中性子監視システム(NMS)キャビネット
、ECCSバルブソレノイド、放射線監視(RM)バイオシールド放射線モニタ、及びE
DSS電池モニタが含まれる。4つのセンサのうちの2つが、B及びC両方の電池充電器
の開閉器で電圧の損失を検出した場合、MPSは、原子炉トリップ、崩壊熱除去システム
(DHRS)作動、加圧器ヒータトリップ、脱塩水供給隔離、格納隔離を自動的に生成し
、ディビジョンごとに3つの24時間タイマを開始する。電圧の損失後の最初の24時間
にわたって、MPS機器の4つの分離グループ並びにESFAS及びRTSの両方のディ
ビジョンは励磁されたままである。プラント状態のためECCS作動が必要とされない場
合、ECCSは作動しなくなり(ECCSトリップソレノイドバルブは励磁されたままで
ある)、これは、AC電力を回復する時間を可能にし、ECCSの作動の防止するECC
S保持モードとして定義される。この24時間期間中に関連付けられたESFAS信号が
生成された場合、ECCSはそれでもなお作動する。24時間の範囲内でB及びC電池開
閉器への電力が回復されない場合、24時間タイマは時間切れになる。この時点で、ES
FAS及びRTSシャーシ並びに両方のMPSディビジョンに対するMWSが、自動的に
切断される。この措置は、ECCSソレノイドトリップバルブを切断し、ECCSが作動
する。PAM計装装備は、追加の48時間(合計72時間)にわたって、B及びCのED
SS電池によって給電されたままである。この構成は、PAM専用モードとして定義され
る。
[0279]図17は、原子力プラント保護システム(PPS)1700のブロック図を示す
。PPS1700は、プラントレベルでパラメータを監視し、ノーマル及びオフノーマル
状態に応答して作動を実行する。PPS1700は、複数の原子力システムに共通のシス
テムを監視及び制御する。PPS1700によって監視される選択済み変数及び作動され
る機器は、増大した品質レベルを必要とする。PPS1700は、2つの独立した冗長な
ディビジョンを含むことができる。いずれのディビジョンも、PPS機能を実現すること
が可能である。
。PPS1700は、プラントレベルでパラメータを監視し、ノーマル及びオフノーマル
状態に応答して作動を実行する。PPS1700は、複数の原子力システムに共通のシス
テムを監視及び制御する。PPS1700によって監視される選択済み変数及び作動され
る機器は、増大した品質レベルを必要とする。PPS1700は、2つの独立した冗長な
ディビジョンを含むことができる。いずれのディビジョンも、PPS機能を実現すること
が可能である。
[0280]PPSは、高度に統合された保護システムプラットホーム上に構築されており、
FPGAに基づくシステムである。図17は、1つのPPSディビジョンのアーキテクチ
ャのシステム図を表示する。第2のディビジョンのアーキテクチャは類似しているはずで
ある。
FPGAに基づくシステムである。図17は、1つのPPSディビジョンのアーキテクチ
ャのシステム図を表示する。第2のディビジョンのアーキテクチャは類似しているはずで
ある。
[0281]PPS1700のディビジョンI及びディビジョンIIは、制御棟の別個の部屋
に位置することができる。PPS1700の境界は、センサ及び検出器の出力接続から、
作動されるデバイスの入力接続へ延びる。PPS1700の境界内には、ELVS AC
電圧センサも含まれており、ELVS AC電圧センサは、PPS1700の一部である
と分類される。PPS1700からデータを受け取る不安全関連表示は、SDIS又はプ
ラント制御システム(PCS)のいずれかの部分である。
に位置することができる。PPS1700の境界は、センサ及び検出器の出力接続から、
作動されるデバイスの入力接続へ延びる。PPS1700の境界内には、ELVS AC
電圧センサも含まれており、ELVS AC電圧センサは、PPS1700の一部である
と分類される。PPS1700からデータを受け取る不安全関連表示は、SDIS又はプ
ラント制御システム(PCS)のいずれかの部分である。
[0282]プロセスセンサは、放射線、レベル、及び電圧などの異なるプロセスパラメータ
を測定する。別個のセンサが、2つのPPSディビジョンへ情報を供給する。センサは、
設計基準事象前、設計基準事象中、及び設計基準事象後の環境条件に適格である。これら
のセンサは、PPS1700への入力を提供するが、これらのセンサが設置されたシステ
ムの一部であると分類される。
を測定する。別個のセンサが、2つのPPSディビジョンへ情報を供給する。センサは、
設計基準事象前、設計基準事象中、及び設計基準事象後の環境条件に適格である。これら
のセンサは、PPS1700への入力を提供するが、これらのセンサが設置されたシステ
ムの一部であると分類される。
[0283]個々のPPS SFM1704は、PPS1700によって実行される各機能に
対して各ディビジョン内に含まれる。各SFM1704は、最大4つのセンサから入力1
702を受け付けることができる。センサ信号をデジタル表現に変換するために、信号調
節が実行される。デジタル信号の場合、SFM1704は、その機能に作動が必要とされ
るかどうかを判定するために必要なアルゴリズム及び設定点比較を実行する。作動決定は
、3つの別個の通信バス1712へ出力されて、SFM1704とEIM1714との間
に冗長通信を提供する。SFM1704はまた、パラメータ値、状態情報、及び警報に対
する通信出力を提供し(たとえば、MIB-CM1706を介して)、これらの出力はP
CS及びSDISへ送られる。各SFM1704に対する診断情報はまた、MWS131
6へ送られる。
対して各ディビジョン内に含まれる。各SFM1704は、最大4つのセンサから入力1
702を受け付けることができる。センサ信号をデジタル表現に変換するために、信号調
節が実行される。デジタル信号の場合、SFM1704は、その機能に作動が必要とされ
るかどうかを判定するために必要なアルゴリズム及び設定点比較を実行する。作動決定は
、3つの別個の通信バス1712へ出力されて、SFM1704とEIM1714との間
に冗長通信を提供する。SFM1704はまた、パラメータ値、状態情報、及び警報に対
する通信出力を提供し(たとえば、MIB-CM1706を介して)、これらの出力はP
CS及びSDISへ送られる。各SFM1704に対する診断情報はまた、MWS131
6へ送られる。
[0284]PPS1700のアーキテクチャは、作動信号に専用の3つの独立したデータバ
ス1712を使用する。3つの通信安全データバス(SDB1、SDB2、及びSDB3
)1712は各々、マスタ-スレーブ通信プロトコルで構成される。3つの冗長SBM(
SBM1、SBM2、及びSBM3)1718は、関連付けられたバスに対するマスタで
あり、SFM1704からEIM1714への冗長SDB1712通信を提供する。SD
B1、SDB2、及びSDB3 1712は、作動信号の処理に専用である。
ス1712を使用する。3つの通信安全データバス(SDB1、SDB2、及びSDB3
)1712は各々、マスタ-スレーブ通信プロトコルで構成される。3つの冗長SBM(
SBM1、SBM2、及びSBM3)1718は、関連付けられたバスに対するマスタで
あり、SFM1704からEIM1714への冗長SDB1712通信を提供する。SD
B1、SDB2、及びSDB3 1712は、作動信号の処理に専用である。
[0285]MIB-CM1706は、3つのSDB通信モジュールとは独立しており、MI
Bのマスタである。MIB-CM1706は、同じマスタ-スレーブ通信プロトコルを使
用して情報を処理し、SFM1704、通信モジュール、及びEIM1714上のレジス
タとインタフェース接続する。これらのレジスタは、作動データ経路に使用されるレジス
タとは異なる。MIB-CM1706は、MIBを使用してCTB通信モジュール171
0に通信し、MWS1316を更新する。PCS及びSDISへの1方向データは、MI
B-CM1706の隔離されたデータ経路を通って伝送される。このインタフェースは、
PPS1700がその機能を実行することを不安全機器の確かな故障が妨げることがない
ように設計される。
Bのマスタである。MIB-CM1706は、同じマスタ-スレーブ通信プロトコルを使
用して情報を処理し、SFM1704、通信モジュール、及びEIM1714上のレジス
タとインタフェース接続する。これらのレジスタは、作動データ経路に使用されるレジス
タとは異なる。MIB-CM1706は、MIBを使用してCTB通信モジュール171
0に通信し、MWS1316を更新する。PCS及びSDISへの1方向データは、MI
B-CM1706の隔離されたデータ経路を通って伝送される。このインタフェースは、
PPS1700がその機能を実行することを不安全機器の確かな故障が妨げることがない
ように設計される。
[0286]CTB通信モジュール1710は、CTBのマスタであるが、通常動作中はこの
バス上にトランザクションは存在しない。CTBは、パラメータの較正又は変更中にチャ
ネルが非稼働状態にされた場合のみ活動中になる。CTB通信モジュール1710の隔離
されたデータ経路は、MWS1316へ1方向データを伝送する。
バス上にトランザクションは存在しない。CTBは、パラメータの較正又は変更中にチャ
ネルが非稼働状態にされた場合のみ活動中になる。CTB通信モジュール1710の隔離
されたデータ経路は、MWS1316へ1方向データを伝送する。
[0287]EIM1714が、PPS1700によって作動又は監視される各機器に対する
各ディビジョン内に含まれる。各EIM1714は、「1次」構成要素及び「2次」構成
要素への接続を可能にするために、2つの別個の論理経路を有することができる。各構成
要素1716は、2つの別個のEIM1714に接続され、その結果、2つのEIM17
14が、各構成要素1716へ冗長制御を提供する。これにより、いかなる機器1716
も作動させることなく、EIM1714を非稼働にし、オンライン交換することが可能に
なる。
各ディビジョン内に含まれる。各EIM1714は、「1次」構成要素及び「2次」構成
要素への接続を可能にするために、2つの別個の論理経路を有することができる。各構成
要素1716は、2つの別個のEIM1714に接続され、その結果、2つのEIM17
14が、各構成要素1716へ冗長制御を提供する。これにより、いかなる機器1716
も作動させることなく、EIM1714を非稼働にし、オンライン交換することが可能に
なる。
[0288]冗長SDB1712からの作動信号は組み合わされて、EIM1714内のAP
Lへ送達される。APLは、(1)SFM1704からのデジタル作動信号、(2)それ
自体のPPSディビジョンからの非デジタル手動作動入力信号、及び(3)PCSからの
非デジタル手動制御信号という3つのソースからのコマンドを受け付ける。非デジタル信
号は、PPS1700のデジタル部分とは異なる。APLによって、最も高い優先順位に
基づいて単一のデバイスを作動させるために、個別の論理が使用される。デジタルシステ
ムの状態にかかわらず、措置の手動開始をディビジョンレベルで開始することができる。
適当な構成が操作者によって可能にされたとき、PCSの使用によって、構成要素レベル
の制御を実現することができる。
Lへ送達される。APLは、(1)SFM1704からのデジタル作動信号、(2)それ
自体のPPSディビジョンからの非デジタル手動作動入力信号、及び(3)PCSからの
非デジタル手動制御信号という3つのソースからのコマンドを受け付ける。非デジタル信
号は、PPS1700のデジタル部分とは異なる。APLによって、最も高い優先順位に
基づいて単一のデバイスを作動させるために、個別の論理が使用される。デジタルシステ
ムの状態にかかわらず、措置の手動開始をディビジョンレベルで開始することができる。
適当な構成が操作者によって可能にされたとき、PCSの使用によって、構成要素レベル
の制御を実現することができる。
[0289]APLからの結果は、EIM1714に接続された機器を制御して作動させるた
めに使用される。機器状態が、各EIM1714へフィードバックされる。機器フィード
バック情報は、MIB-CM1706へ、SDB信号及びAPLの状態とともに送られる
。
めに使用される。機器状態が、各EIM1714へフィードバックされる。機器フィード
バック情報は、MIB-CM1706へ、SDB信号及びAPLの状態とともに送られる
。
[0290]PPS1700の各ディビジョンは、専用のMWS1316を有する。保守活動
を実行するために、MWS1316から機器への書込みコマンドを実行する能力が必要と
される。
を実行するために、MWS1316から機器への書込みコマンドを実行する能力が必要と
される。
[0291]各PPSディビジョンキャビネットは、1つ又は複数のHWM1722/172
4を有し、HWM1722/1724は外部信号を受け付け、これらの信号を他のモジュ
ールに対するバックプレーン1720上で利用可能にする。これらの信号は、手動作動ス
イッチ、不安全制御信号、及びトリップバイパス制御を含む。
4を有し、HWM1722/1724は外部信号を受け付け、これらの信号を他のモジュ
ールに対するバックプレーン1720上で利用可能にする。これらの信号は、手動作動ス
イッチ、不安全制御信号、及びトリップバイパス制御を含む。
[0292]PPS1700は、複数の原子力システムに共通のプラントシステムの監視及び
制御を提供する。PPS1700は不安全関連であるが、PAM機能に対応するため、P
PS1700は、増大された品質及び規制要件を満たすように設計される。表3(図29
に示す)挙げたPPS1700によって監視される例示的な変数はすべて、SDIS及び
PCSへ送られて、それらのシステムによって必要とされる場合、MCR内に表示される
。これらは、制御室居住性システムの作動及びPPS1700からの必要とされるPAM
変数に対応するために、表示及び標示を提供する。
制御を提供する。PPS1700は不安全関連であるが、PAM機能に対応するため、P
PS1700は、増大された品質及び規制要件を満たすように設計される。表3(図29
に示す)挙げたPPS1700によって監視される例示的な変数はすべて、SDIS及び
PCSへ送られて、それらのシステムによって必要とされる場合、MCR内に表示される
。これらは、制御室居住性システムの作動及びPPS1700からの必要とされるPAM
変数に対応するために、表示及び標示を提供する。
[0293]図18は、MPS1200の安全表示及び標示システム(SIDS)の例示的な
実施形態の概略図を示す。SDISは、MPS1200及びPPS1700の状態に関す
る正確、完全、かつ適時の情報、並びに必要とされる場合に保護措置を手動で開始する能
力を支援するための情報表示を提供する。情報の表示は、曖昧な標示の可能性を最小にし
、操作者に対する人間-システムインタフェース(HSI)を強化するように設計される
。
実施形態の概略図を示す。SDISは、MPS1200及びPPS1700の状態に関す
る正確、完全、かつ適時の情報、並びに必要とされる場合に保護措置を手動で開始する能
力を支援するための情報表示を提供する。情報の表示は、曖昧な標示の可能性を最小にし
、操作者に対する人間-システムインタフェース(HSI)を強化するように設計される
。
[0294]SDISの主要な機能は、安全分析によって定義された限界範囲内でプラントが
動作していることを確実にするために、HSI及びデータを操作者に提供すること、ES
FAS、RTS、及びPPS設定点に到達したときに操作者に通知すること、原子力シス
テムが事故後に安全な状態にあることを確実にするために必要なデータを操作者に供給す
ること、並びにMPS1200及びPPS1700の状態に関する正確、完全、かつ適時
の情報、並びに事故後監視(PAM)を支持するための情報表示を提供することである。
SDISは、PAM変数を監視及び表示するためのMPS及びPPSに対するHSIを提
供し、制御入力及び状態情報のための能力を提供する。SDISは、安全又は不安全関連
システムとすることができる。いくつかの例では、SDISは、不安全関連の非重要リス
クシステムとすることができるが、PAM機能に対応するため、SDISは、増大された
品質及び規制要件を満たす。
動作していることを確実にするために、HSI及びデータを操作者に提供すること、ES
FAS、RTS、及びPPS設定点に到達したときに操作者に通知すること、原子力シス
テムが事故後に安全な状態にあることを確実にするために必要なデータを操作者に供給す
ること、並びにMPS1200及びPPS1700の状態に関する正確、完全、かつ適時
の情報、並びに事故後監視(PAM)を支持するための情報表示を提供することである。
SDISは、PAM変数を監視及び表示するためのMPS及びPPSに対するHSIを提
供し、制御入力及び状態情報のための能力を提供する。SDISは、安全又は不安全関連
システムとすることができる。いくつかの例では、SDISは、不安全関連の非重要リス
クシステムとすることができるが、PAM機能に対応するため、SDISは、増大された
品質及び規制要件を満たす。
[0295]パラメータ値及び機器状態に関する情報は、MPS1200及びPPS1700
の各分離グループ及び各ディビジョンからSDISへ提供される。
の各分離グループ及び各ディビジョンからSDISへ提供される。
[0296]SDISは、通信モジュールを通ってMPS1200及びPPS1700とイン
タフェース接続する。MPSインタフェースは、MPSゲートウェイ1314と呼ばれて
おり、PPSとのインタフェースは、MIB通信モジュール1706を通る。SDISは
、機器の2つの独立したディビジョンからなる。各SDISディビジョンは、通信ハブ、
表示インタフェースモジュール(DIM)(図20を参照して後述する)、及び表示パネ
ルからなる。SDIS境界及びインタフェースは、図18に示されている。
タフェース接続する。MPSインタフェースは、MPSゲートウェイ1314と呼ばれて
おり、PPSとのインタフェースは、MIB通信モジュール1706を通る。SDISは
、機器の2つの独立したディビジョンからなる。各SDISディビジョンは、通信ハブ、
表示インタフェースモジュール(DIM)(図20を参照して後述する)、及び表示パネ
ルからなる。SDIS境界及びインタフェースは、図18に示されている。
[0297]SDISハブ1800は、MPSゲートウェイ及びプラント保護システムMIB
通信モジュールからデータを受け取る。各MPSゲートウェイ1314は、SDISハブ
1800内の別個の通信モジュール1804へデータを送達する。SDISハブ1800
は、MPS1200及びPPS1700から受け取ったデータを、光学的に隔離された1
方向光ファイバケーブルを通って、それぞれの原子力システム又はPPSに関連付けられ
たDIMに分散させる。各SDISハブラックに対するSDISハブ1800上の通信モ
ジュール1804の各々からのデータは、単一の通信モジュールに集められる。このモジ
ュールは、ラックに対するバックプレーンを通って、そのラック上の通信モジュールの各
々を集計する。次いで、通信モジュールは、光学的に隔離された単方向インタフェースを
通って、集めた情報をPCS1802へ送る。
通信モジュールからデータを受け取る。各MPSゲートウェイ1314は、SDISハブ
1800内の別個の通信モジュール1804へデータを送達する。SDISハブ1800
は、MPS1200及びPPS1700から受け取ったデータを、光学的に隔離された1
方向光ファイバケーブルを通って、それぞれの原子力システム又はPPSに関連付けられ
たDIMに分散させる。各SDISハブラックに対するSDISハブ1800上の通信モ
ジュール1804の各々からのデータは、単一の通信モジュールに集められる。このモジ
ュールは、ラックに対するバックプレーンを通って、そのラック上の通信モジュールの各
々を集計する。次いで、通信モジュールは、光学的に隔離された単方向インタフェースを
通って、集めた情報をPCS1802へ送る。
[0298]SDISハブ1800は、ディビジョンごとに通信モジュールの2つのシャーシ
に分離される。第1のシャーシは、原子力システム1~6に関連付けられたMPS120
0に対する通信モジュール及びPPS1700の通信モジュールを収納する。第2のシャ
ーシは、原子力システム7~12に関連付けられたMPS1200のみに対する通信モジ
ュールを収容する。通信モジュールの第1及び第2のシャーシはどちらも、不安全システ
ムとインタフェース接続する通信モジュールを収納する。
に分離される。第1のシャーシは、原子力システム1~6に関連付けられたMPS120
0に対する通信モジュール及びPPS1700の通信モジュールを収納する。第2のシャ
ーシは、原子力システム7~12に関連付けられたMPS1200のみに対する通信モジ
ュールを収容する。通信モジュールの第1及び第2のシャーシはどちらも、不安全システ
ムとインタフェース接続する通信モジュールを収納する。
[0299]図19は、MPS1200のSDISハブラック1900の例示的な実施形態の
概略図を示す。SDISラック1900は、複数のSDIS通信モジュール1902を含
む。MPS1200のいくつかの実施形態では、各ラック1900が、モジュール原子炉
システムの1つのディビジョンに対するSDIS-CM1902を含む。SDIS-CM
1902は、RS-485物理層1904上で相互接続することができる。たとえば、各
ラック1900は、12の原子力モジュール(NPM)SDIS-CM1902を含み、
各原子力モジュールは、12のモジュール原子炉のうちの1つに関連付けられたI&Cデ
ータを受け取って表示するように構成され、PPS SDIS-CM1902は、PPS
に関連付けられたI&Cデータを受け取って表示するように構成される。第2のラック1
900は類似しているが、多様性を提供するために異なるタイプのソフトウェア及び/又
はハードウェア構成要素によって実施することができる。SDISラック1900は、複
数の原子炉システムからI&Cデータを集める効率的な方法を提供することができる。
概略図を示す。SDISラック1900は、複数のSDIS通信モジュール1902を含
む。MPS1200のいくつかの実施形態では、各ラック1900が、モジュール原子炉
システムの1つのディビジョンに対するSDIS-CM1902を含む。SDIS-CM
1902は、RS-485物理層1904上で相互接続することができる。たとえば、各
ラック1900は、12の原子力モジュール(NPM)SDIS-CM1902を含み、
各原子力モジュールは、12のモジュール原子炉のうちの1つに関連付けられたI&Cデ
ータを受け取って表示するように構成され、PPS SDIS-CM1902は、PPS
に関連付けられたI&Cデータを受け取って表示するように構成される。第2のラック1
900は類似しているが、多様性を提供するために異なるタイプのソフトウェア及び/又
はハードウェア構成要素によって実施することができる。SDISラック1900は、複
数の原子炉システムからI&Cデータを集める効率的な方法を提供することができる。
[0300]図20は、MPS1200の表示システム(DS)2000の例示的な実施形態
のブロック図を示す。DS2000は、デジタル表示パネル2004(たとえば、液晶デ
ィスプレイ(LCD)又は発光ダイオード(LED)ディスプレイ)と電気的に通信して
いる表示インタフェースモジュール(DIM)2002を含む。DS2000は、2つの
独立した電源2010及び2012を含む。各電源2010/2012は、DIM200
2及び表示パネル2004の両方へ電力を提供するように接続される。2つの独立した電
源2010/2012の使用により、DS2000への冗長電力の供給が確実になる。
のブロック図を示す。DS2000は、デジタル表示パネル2004(たとえば、液晶デ
ィスプレイ(LCD)又は発光ダイオード(LED)ディスプレイ)と電気的に通信して
いる表示インタフェースモジュール(DIM)2002を含む。DS2000は、2つの
独立した電源2010及び2012を含む。各電源2010/2012は、DIM200
2及び表示パネル2004の両方へ電力を提供するように接続される。2つの独立した電
源2010/2012の使用により、DS2000への冗長電力の供給が確実になる。
[0301]SDIS内のDIM2002は、隔離されたファイバ-銅インタフェースを通っ
て、データを受け取る。受け取ったデータは、FPGA2006において、すぐに表示で
きる形式に変換される。たとえば、DIM2002は、データを処理して適当な形式(た
とえば、グラフィカルユーザインタフェース)にし、またパネル2004に対するディス
プレイドライバとして働く。したがって、すぐに表示できる形式は、表示パネル2004
の画素行列を駆動するパネル駆動信号とすることができる。
て、データを受け取る。受け取ったデータは、FPGA2006において、すぐに表示で
きる形式に変換される。たとえば、DIM2002は、データを処理して適当な形式(た
とえば、グラフィカルユーザインタフェース)にし、またパネル2004に対するディス
プレイドライバとして働く。したがって、すぐに表示できる形式は、表示パネル2004
の画素行列を駆動するパネル駆動信号とすることができる。
[0302]次いで、DIM2002は、すぐに表示できるデータを、ケーブルを通って表示
パネル2004へ送る。表示パネル2004は、MPS1200及びPPS1700から
利用可能なデータを、MCR内のプラント操作者へ表示する。各MPS1200及びPP
S1700からのデータは、その独自の専用モニタに表示される。ディビジョンごとに1
つのモニタがある。MPS1200及びPPS1700データのディビジョンはどちらも
、両方のSDISディビジョンディスプレイに表示される。
パネル2004へ送る。表示パネル2004は、MPS1200及びPPS1700から
利用可能なデータを、MCR内のプラント操作者へ表示する。各MPS1200及びPP
S1700からのデータは、その独自の専用モニタに表示される。ディビジョンごとに1
つのモニタがある。MPS1200及びPPS1700データのディビジョンはどちらも
、両方のSDISディビジョンディスプレイに表示される。
[0303]いくつかの実施形態では、各DS2000は、1対のDIM2002及び1対の
表示パネル2004を含む。データ表示の冗長性を提供するために、DS2000内の各
DIM2002に同じMPS又はPPSデータが提供される。言い換えれば、DS200
0内の両方のDIM2002が、同じSDIS出力に接続される。冗長性は、設計多様性
を提供するために、各DIM2002内で異なるタイプのFPGA2006を使用するこ
とによって、さらに提供される。同様に、各DIM2002のFPGA2006は、ソフ
トウェア多様性を提供するために、異なるデータ及びグラフィック処理アルゴリズムによ
ってプログラムすることができる。
表示パネル2004を含む。データ表示の冗長性を提供するために、DS2000内の各
DIM2002に同じMPS又はPPSデータが提供される。言い換えれば、DS200
0内の両方のDIM2002が、同じSDIS出力に接続される。冗長性は、設計多様性
を提供するために、各DIM2002内で異なるタイプのFPGA2006を使用するこ
とによって、さらに提供される。同様に、各DIM2002のFPGA2006は、ソフ
トウェア多様性を提供するために、異なるデータ及びグラフィック処理アルゴリズムによ
ってプログラムすることができる。
[0304]図21は、SFM2100の別の例示的な実施形態の概略図を示す。安全機能モ
ジュール(SFM)2100がセンサ入力を処理し、割り当てられた分離グループに対す
る原子炉トリップ及び/又はESF作動判定を行う。モジュールは、図21に示すように
、信号調節/アナログデジタル変換(入力サブモジュール)2104a~2104d、デ
ジタル論理回路2114(たとえば、安全機能アルゴリズム、計算、診断)、及び通信エ
ンジン2120という3つの機能領域から構成される。
ジュール(SFM)2100がセンサ入力を処理し、割り当てられた分離グループに対す
る原子炉トリップ及び/又はESF作動判定を行う。モジュールは、図21に示すように
、信号調節/アナログデジタル変換(入力サブモジュール)2104a~2104d、デ
ジタル論理回路2114(たとえば、安全機能アルゴリズム、計算、診断)、及び通信エ
ンジン2120という3つの機能領域から構成される。
[0305]SFM2100は、FPGA2112デバイスを使用して、安全機能アルゴリズ
ム、工学単位計算、バス通信論理、並びに標示及び診断情報(IDI)論理回路を含むす
べてのデジタル論理回路を収納する。SFM2100の前面に非稼働(OOS)スイッチ
2124が存在し、SFM2100を非稼働状態にすることを可能にする。OOS212
4スイッチが起動されると、安全機能は、そのSFM2100に対するトリップ/バイパ
ススイッチの位置に基づいて、トリップ又はバイパスに配置される。このスイッチを起動
することで、不揮発性メモリ(NVM)2110内の調整可能なパラメータ及び設定点の
修正が許可される。
ム、工学単位計算、バス通信論理、並びに標示及び診断情報(IDI)論理回路を含むす
べてのデジタル論理回路を収納する。SFM2100の前面に非稼働(OOS)スイッチ
2124が存在し、SFM2100を非稼働状態にすることを可能にする。OOS212
4スイッチが起動されると、安全機能は、そのSFM2100に対するトリップ/バイパ
ススイッチの位置に基づいて、トリップ又はバイパスに配置される。このスイッチを起動
することで、不揮発性メモリ(NVM)2110内の調整可能なパラメータ及び設定点の
修正が許可される。
[0306]入力サブモジュール2104a~2104dは、複数の入力2102から情報を
受け取る。入力サブモジュール2104a~2104dは、信号調節回路2106、アナ
ログ-デジタル(A/D)変換器2108、及び直列インタフェースを含む。各SFM2
100は、複数(たとえば、4つ又はそれ以上)の入力サブモジュール2104a~21
04dを取り扱うことができる。入力2102のタイプは、パーミッシブ及びインタロッ
クの生成を含むSFM2100が作動判定を行うために必要とするはずのアナログ及びデ
ジタルの任意の組合せ(たとえば、RTD、TC、4~20mA、10~50mA、0~
10V)とすることができる。
受け取る。入力サブモジュール2104a~2104dは、信号調節回路2106、アナ
ログ-デジタル(A/D)変換器2108、及び直列インタフェースを含む。各SFM2
100は、複数(たとえば、4つ又はそれ以上)の入力サブモジュール2104a~21
04dを取り扱うことができる。入力2102のタイプは、パーミッシブ及びインタロッ
クの生成を含むSFM2100が作動判定を行うために必要とするはずのアナログ及びデ
ジタルの任意の組合せ(たとえば、RTD、TC、4~20mA、10~50mA、0~
10V)とすることができる。
[0307]論理機能は、SFM2100のプログラマブル部分(FPGA)2112内で実
施される。入力サブモジュールの各々の出力は、FPGA2112内の複数の冗長コア論
理モジュール2114信号経路及びMIB論理モジュール2116論理へ送られる。コア
モジュール2114は各々、冗長信号経路内で機能する。コアモジュール2114は、そ
れだけに限定されるものではないが、安全機能アルゴリズムを実行すること、安全機能ア
ルゴリズム出力を設定点と比較し、トリップ及び/又はESF作動判定を行うこと、並び
にパーミッシブ及び制御インタロックを生成することを含む機能を実行する。
施される。入力サブモジュールの各々の出力は、FPGA2112内の複数の冗長コア論
理モジュール2114信号経路及びMIB論理モジュール2116論理へ送られる。コア
モジュール2114は各々、冗長信号経路内で機能する。コアモジュール2114は、そ
れだけに限定されるものではないが、安全機能アルゴリズムを実行すること、安全機能ア
ルゴリズム出力を設定点と比較し、トリップ及び/又はESF作動判定を行うこと、並び
にパーミッシブ及び制御インタロックを生成することを含む機能を実行する。
[0308]コアモジュール2114は各々、別個のコア論理信号経路内で動作し、他の2つ
のコアモジュールから論理的に独立して機能を実行する。これにより、3つの機能的に独
立したコア論理機能が可能になり、3つの冗長信号経路が提供される。たとえば、安全機
能アルゴリズムは、安全機能のエラー検出及び障害公差を提供するために、3つの冗長経
路を通って処理される。
のコアモジュールから論理的に独立して機能を実行する。これにより、3つの機能的に独
立したコア論理機能が可能になり、3つの冗長信号経路が提供される。たとえば、安全機
能アルゴリズムは、安全機能のエラー検出及び障害公差を提供するために、3つの冗長経
路を通って処理される。
[0309]FPGA2112内には、MIB論理モジュール2116及びCTB論理モジュ
ール2118という2つの他の論理機能がある。監視及び標示バス(MIB)論理モジュ
ール2116は、3つの冗長コア論理経路の各々からパラメータ、トリップ判定、状態、
及び診断情報を取得し、その情報をMIBへ提供する。この情報は、MIB-CM及びM
PSゲートウェイを通って、MCS、SDI、及びMWSへ送られる。CTB論理モジュ
ール2118は、SFM2100が非稼働中である(OOSスイッチ2124が起動され
ている)とき、MWSがNVM2110内で調整可能なパラメータを更新することを可能
にする。
ール2118という2つの他の論理機能がある。監視及び標示バス(MIB)論理モジュ
ール2116は、3つの冗長コア論理経路の各々からパラメータ、トリップ判定、状態、
及び診断情報を取得し、その情報をMIBへ提供する。この情報は、MIB-CM及びM
PSゲートウェイを通って、MCS、SDI、及びMWSへ送られる。CTB論理モジュ
ール2118は、SFM2100が非稼働中である(OOSスイッチ2124が起動され
ている)とき、MWSがNVM2110内で調整可能なパラメータを更新することを可能
にする。
[0310]論理モジュール2114/2116/2118は各々、複数の決定論的状態機械
を含む。論理機能アルゴリズムは、エラー検出及び障害公差を提供するために、複数の冗
長経路を通って処理される。1つの機能又は1群の機能に専用のSFM2100を使用す
ることによって、各モジュール上の一意の論理及びアルゴリズムのため、ソフトウェアC
CFの影響が制限される。
を含む。論理機能アルゴリズムは、エラー検出及び障害公差を提供するために、複数の冗
長経路を通って処理される。1つの機能又は1群の機能に専用のSFM2100を使用す
ることによって、各モジュール上の一意の論理及びアルゴリズムのため、ソフトウェアC
CFの影響が制限される。
[0311]通信ブロックは、5つの別個の論理的に独立した通信エンジン2120(たとえ
ば、別の通信エンジンの状態にかかわらずデータを伝送することが可能)を含む。各エン
ジン2120は、安全データバス1(SDB1)、安全データバス2(SDB2)、安全
データバス3(SDB3)、監視及び標示バス(MIB)、並びに較正及び試験バス(C
TB)という通信バスのうちの1つに専用である。各SDBは同じデータを通信するが、
各通信ポートは、データを別々にパッケージ化して伝送する。SDB1は、たとえば、1
0パケットのデータを順次(たとえば、1、2、...、10)伝送することができ、S
DB2は、同じ10パケットを逆の順序(たとえば、10、9、...、1)で伝送し、
SDB3は、偶数のパケットをまず伝送し、続いて奇数のパケットを伝送する(たとえば
、2、4、...、10、1、3、..9)。
ば、別の通信エンジンの状態にかかわらずデータを伝送することが可能)を含む。各エン
ジン2120は、安全データバス1(SDB1)、安全データバス2(SDB2)、安全
データバス3(SDB3)、監視及び標示バス(MIB)、並びに較正及び試験バス(C
TB)という通信バスのうちの1つに専用である。各SDBは同じデータを通信するが、
各通信ポートは、データを別々にパッケージ化して伝送する。SDB1は、たとえば、1
0パケットのデータを順次(たとえば、1、2、...、10)伝送することができ、S
DB2は、同じ10パケットを逆の順序(たとえば、10、9、...、1)で伝送し、
SDB3は、偶数のパケットをまず伝送し、続いて奇数のパケットを伝送する(たとえば
、2、4、...、10、1、3、..9)。
[0312]いくつかの実施形態では、SDB上のコア論理機能に対して3重冗長性を使用す
ることで、通信エラー検出を可能にするだけではなく、下流の構成要素が正確なトリップ
及び/又は作動判定を行う能力に影響を及ぼすことなく、通信CCFを特定のバスに制限
することができる。
ることで、通信エラー検出を可能にするだけではなく、下流の構成要素が正確なトリップ
及び/又は作動判定を行う能力に影響を及ぼすことなく、通信CCFを特定のバスに制限
することができる。
[0313]図22は、MPS1200の監視及び標示(MIB)通信モジュール2200の
例示的な実施形態の概略図を示す。通信モジュール(CM)2200は、安全データをS
FMからEIMへ伝達するための通信チャネルを提供する基底モジュールである。CM2
200はまた、保護システムアーキテクチャの外からの監視及び標示並びに診断情報を、
(1)事故監視及び表示システム(たとえば、SDI)、並びに(2)制御、診断、表示
、及び監視の目的の他のシステム(たとえば、MCS及びMWS)へ渡す通信能力を提供
する。
例示的な実施形態の概略図を示す。通信モジュール(CM)2200は、安全データをS
FMからEIMへ伝達するための通信チャネルを提供する基底モジュールである。CM2
200はまた、保護システムアーキテクチャの外からの監視及び標示並びに診断情報を、
(1)事故監視及び表示システム(たとえば、SDI)、並びに(2)制御、診断、表示
、及び監視の目的の他のシステム(たとえば、MCS及びMWS)へ渡す通信能力を提供
する。
[0314]いくつかの実施形態では、CM2200はまた、論理レベルバックプレーン信号
を介して、ハードワイヤード信号入力を組み込む。使用される場合、これらのハードワイ
ヤード信号は、同じシャーシ又はデイジーチェーンシャーシ内のハードワイヤードモジュ
ール(HWM)を通って、バックプレーン上に直接配置される。
を介して、ハードワイヤード信号入力を組み込む。使用される場合、これらのハードワイ
ヤード信号は、同じシャーシ又はデイジーチェーンシャーシ内のハードワイヤードモジュ
ール(HWM)を通って、バックプレーン上に直接配置される。
[0315]CM2200は、それらの機能に基づいて別々に構成することができる。異なる
タイプの通信モジュールは、同じモジュールハードウェアアーキテクチャに基づいており
、監視及び標示バスCM(MIB-CM)、スケジューリング及びバイパスモジュール(
SBM)、スケジューリング及び投票モジュール(SVM)、MPSゲートウェイCMを
含む。
タイプの通信モジュールは、同じモジュールハードウェアアーキテクチャに基づいており
、監視及び標示バスCM(MIB-CM)、スケジューリング及びバイパスモジュール(
SBM)、スケジューリング及び投票モジュール(SVM)、MPSゲートウェイCMを
含む。
[0316]基本的なCM2200は、FPGA2202、スケジューリング及び通信論理2
214、標示及び診断情報(IDI)2210、CM機能論理回路2212(CMの具体
的に所望される機能に基づいて構成される)、ハードワイヤード信号入力、並びに通信物
理層2216という回路を含む。CMは、FPGA2202デバイスを利用して、CMが
実行する特有の機能に基づいて論理回路を実施する。FPGA2202内で実施される論
理は、バス通信及びスケジューリング論理、CMが実行する任意の機能、並びにIDI論
理回路を含む。たとえば、MIB-CMにおいて、機能論理回路2212は、監視及び標
示情報の収集及び割当てを実行するように構成される。MIB CMは、SFM、SBM
、及びEIMから標示及び診断情報を収集し、隔離された1方向データ経路を通って、こ
の情報をSDIシステム及びPCSへ伝送するために使用される。
214、標示及び診断情報(IDI)2210、CM機能論理回路2212(CMの具体
的に所望される機能に基づいて構成される)、ハードワイヤード信号入力、並びに通信物
理層2216という回路を含む。CMは、FPGA2202デバイスを利用して、CMが
実行する特有の機能に基づいて論理回路を実施する。FPGA2202内で実施される論
理は、バス通信及びスケジューリング論理、CMが実行する任意の機能、並びにIDI論
理回路を含む。たとえば、MIB-CMにおいて、機能論理回路2212は、監視及び標
示情報の収集及び割当てを実行するように構成される。MIB CMは、SFM、SBM
、及びEIMから標示及び診断情報を収集し、隔離された1方向データ経路を通って、こ
の情報をSDIシステム及びPCSへ伝送するために使用される。
[0317]4つの銅-ファイバ物理層2216は各々、受取り専用又は伝送専用に構成する
ことができる。ディビジョン間通信又は不安全関連若しくは他の安全関連システムへの通
信は、伝送専用又は受取り専用の通信ポート(たとえば、銅又は光ファイバ)を通らなけ
ればならない。これらのポートは、受取り又は伝送構成に対して1Eクラス隔離を提供す
る。CMは、FPGA論理回路、不揮発性メモリ(NVM)、クロック回路、並びに電力
及び電力管理回路内の故障の検出を確実にする自己試験能力を含む。
ことができる。ディビジョン間通信又は不安全関連若しくは他の安全関連システムへの通
信は、伝送専用又は受取り専用の通信ポート(たとえば、銅又は光ファイバ)を通らなけ
ればならない。これらのポートは、受取り又は伝送構成に対して1Eクラス隔離を提供す
る。CMは、FPGA論理回路、不揮発性メモリ(NVM)、クロック回路、並びに電力
及び電力管理回路内の故障の検出を確実にする自己試験能力を含む。
[0318]MIB-CMは、SFM、SBM、SVM、及びEIMから標示及び診断情報を
収集し、隔離された適格の1方向データ経路を通って、この情報をMCS及びMPSゲー
トウェイへ伝送するために使用される。MIB-CMはまた、較正及び試験バス(CTB
)情報をMWSからSFMへ伝送するために使用される。
収集し、隔離された適格の1方向データ経路を通って、この情報をMCS及びMPSゲー
トウェイへ伝送するために使用される。MIB-CMはまた、較正及び試験バス(CTB
)情報をMWSからSFMへ伝送するために使用される。
[0319]各分離グループ並びにRTS及びESFASディビジョン内のMIB-CMに対
する銅-ファイバデータポートのうちの3つは、伝送専用に構成され、MCS、ディビジ
ョンIのMPSゲートウェイ、及びディビジョンIIのMPSゲートウェイへ情報を送る
。分離グループMIB-CM上の残りの銅-ファイバデータポートは、受取り専用として
構成され、保守活動中に接続された一時ケーブルを通って、MWSから情報を受け取る。
RTS及びESFASディビジョン内のMIB-CM上の残りのポートは予備である。
する銅-ファイバデータポートのうちの3つは、伝送専用に構成され、MCS、ディビジ
ョンIのMPSゲートウェイ、及びディビジョンIIのMPSゲートウェイへ情報を送る
。分離グループMIB-CM上の残りの銅-ファイバデータポートは、受取り専用として
構成され、保守活動中に接続された一時ケーブルを通って、MWSから情報を受け取る。
RTS及びESFASディビジョン内のMIB-CM上の残りのポートは予備である。
[0320]図23は、MPS1200のスケジューリング及びバイパスモジュール(SBM
)2300の例示的な実施形態の概略図を示す。SBM2300は、スケジューリング及
びバイパス機能を実行するように構成されたCM2200である。たとえば、SBM-C
M内で、機能論理回路2212は、スケジューリング及びバイパス機能を実行するように
構成される。上述したように、各安全データバスに対して1つずつ、分離グループごとに
複数の冗長SBM2300(たとえば、グループごとに3つのSBM)が存在する。SB
M2300は、各SFMから安全データを要求して受け取り、次いでRTSの両方のディ
ビジョン内のその関連付けられたSVM及びESFASの両方のディビジョン内の関連付
けられたSVMへ、このデータを伝送する。SBM銅-ファイバデータポート2210は
、RTS及びESFASへ1方向データを提供するために、伝送専用に構成される。3つ
のSBM2300は、エラー検出及び伝送障害を検出する能力を助けるために、3重冗長
データ通信経路を提供する。
)2300の例示的な実施形態の概略図を示す。SBM2300は、スケジューリング及
びバイパス機能を実行するように構成されたCM2200である。たとえば、SBM-C
M内で、機能論理回路2212は、スケジューリング及びバイパス機能を実行するように
構成される。上述したように、各安全データバスに対して1つずつ、分離グループごとに
複数の冗長SBM2300(たとえば、グループごとに3つのSBM)が存在する。SB
M2300は、各SFMから安全データを要求して受け取り、次いでRTSの両方のディ
ビジョン内のその関連付けられたSVM及びESFASの両方のディビジョン内の関連付
けられたSVMへ、このデータを伝送する。SBM銅-ファイバデータポート2210は
、RTS及びESFASへ1方向データを提供するために、伝送専用に構成される。3つ
のSBM2300は、エラー検出及び伝送障害を検出する能力を助けるために、3重冗長
データ通信経路を提供する。
[0321]分離グループに対するHWMは、トリップ/バイパススイッチ位置を、各安全機
能に対する論理レベル信号に変換し、この情報をシャーシバックプレーン上に配置し、こ
の情報は、SBM2300ハードワイヤード信号インタフェース2304で受け取られる
。SFMから受け取ったデータパケットは、SFM上のOOSスイッチの位置を収納する
。SBM2300は、データパケット内でSFMから受け取ったOOSスイッチ位置情報
から、SFMが非稼働中であるかどうかを判定する。SFMが非稼働中であり、かつトリ
ップ/バイパススイッチがバイパスにある場合、SBM2300は、SFM安全機能の出
力が何を求めていても、作動なし条件をSVMへ伝送する。SFMが非稼働中であり、ト
リップ/バイパススイッチがトリップにある場合、SBM2300は、安全機能の出力が
何を求めていても、作動信号をSVMへ伝送する。SFMが非稼働中ではない場合、SB
M2300は、SFMからSBM2300へ計算及び伝送された安全機能アルゴリズム結
果を伝送する。
能に対する論理レベル信号に変換し、この情報をシャーシバックプレーン上に配置し、こ
の情報は、SBM2300ハードワイヤード信号インタフェース2304で受け取られる
。SFMから受け取ったデータパケットは、SFM上のOOSスイッチの位置を収納する
。SBM2300は、データパケット内でSFMから受け取ったOOSスイッチ位置情報
から、SFMが非稼働中であるかどうかを判定する。SFMが非稼働中であり、かつトリ
ップ/バイパススイッチがバイパスにある場合、SBM2300は、SFM安全機能の出
力が何を求めていても、作動なし条件をSVMへ伝送する。SFMが非稼働中であり、ト
リップ/バイパススイッチがトリップにある場合、SBM2300は、安全機能の出力が
何を求めていても、作動信号をSVMへ伝送する。SFMが非稼働中ではない場合、SB
M2300は、SFMからSBM2300へ計算及び伝送された安全機能アルゴリズム結
果を伝送する。
[0322]SBM2300がSFMから有効な応答を受け取らない場合、警報が生成され、
SBM2300は、トリップ/バイパススイッチの位置を使用して、SVMへ何を伝送す
るかを判定する。トリップ/バイパススイッチがトリップ位置にある場合、SBM230
0は、その安全機能のために作動信号をSVMへ伝送する。スイッチがバイパス位置にあ
る場合、SBM2300は、その安全機能のために作動なし信号をSVMへ伝送する。
SBM2300は、トリップ/バイパススイッチの位置を使用して、SVMへ何を伝送す
るかを判定する。トリップ/バイパススイッチがトリップ位置にある場合、SBM230
0は、その安全機能のために作動信号をSVMへ伝送する。スイッチがバイパス位置にあ
る場合、SBM2300は、その安全機能のために作動なし信号をSVMへ伝送する。
[0323]図24は、MPS1200のスケジューリング及び投票モジュール(SVM)2
400の例示的な実施形態の概略図を示す。SVM2400は、スケジューリング及び投
票機能を実行するように構成されたCM2200である。たとえば、SVM-CM内で、
機能論理回路2212は、スケジューリング及び投票機能を実行するように構成される。
SVM2400は、4つの分離グループからデータを受け取り、各安全機能に対して非多
数決投票(たとえば、2oo4投票)を実行し、トリップ又は作動信号が必要とされるか
どうかを判定する。2つ以上の分離グループが、トリップ又は作動信号が必要とされるこ
とに一致した場合、その安全機能のためにトリップ又は作動信号が適当なEIMへ渡され
る。上述したように、RTSの各ディビジョン内に、各安全データバスに対して1つずつ
、3つの冗長SVM2400があり、ESFASの各ディビジョン内に3つがある。通信
ポート2216は、受取り専用として構成される。
400の例示的な実施形態の概略図を示す。SVM2400は、スケジューリング及び投
票機能を実行するように構成されたCM2200である。たとえば、SVM-CM内で、
機能論理回路2212は、スケジューリング及び投票機能を実行するように構成される。
SVM2400は、4つの分離グループからデータを受け取り、各安全機能に対して非多
数決投票(たとえば、2oo4投票)を実行し、トリップ又は作動信号が必要とされるか
どうかを判定する。2つ以上の分離グループが、トリップ又は作動信号が必要とされるこ
とに一致した場合、その安全機能のためにトリップ又は作動信号が適当なEIMへ渡され
る。上述したように、RTSの各ディビジョン内に、各安全データバスに対して1つずつ
、3つの冗長SVM2400があり、ESFASの各ディビジョン内に3つがある。通信
ポート2216は、受取り専用として構成される。
[0324]RTSに対するHWM及びESFASに対するHWMは、動作バイパススイッチ
位置を論理レベル信号に変換し、この情報をシャーシバックプレーン上に配置し、この情
報は、SVM2400ハードワイヤード信号インタフェース2404で受け取られる。評
価されている安全機能に対して動作バイパス信号が存在する場合、その安全機能に対する
あらゆる作動信号は無視され、作動なし信号が適当なEIMへ伝送される。
位置を論理レベル信号に変換し、この情報をシャーシバックプレーン上に配置し、この情
報は、SVM2400ハードワイヤード信号インタフェース2404で受け取られる。評
価されている安全機能に対して動作バイパス信号が存在する場合、その安全機能に対する
あらゆる作動信号は無視され、作動なし信号が適当なEIMへ伝送される。
[0325]図25は、MPS1200又はPPS1700の機器インタフェースモジュール
(EIM)2500の例示的な実施形態の概略図を示す。EIM2500は、RTS、E
SFAS、及びPPSの最終作動デバイスである。EIM2500は、FPGA2502
、バス通信論理2508、IDI論理2512、自動作動投票論理2510、ハードワイ
ヤード信号論理2504、作動及び優先論理(APL)2514、スイッチング出力25
16、並びに位置フィードバック入力2518という回路を含む。
(EIM)2500の例示的な実施形態の概略図を示す。EIM2500は、RTS、E
SFAS、及びPPSの最終作動デバイスである。EIM2500は、FPGA2502
、バス通信論理2508、IDI論理2512、自動作動投票論理2510、ハードワイ
ヤード信号論理2504、作動及び優先論理(APL)2514、スイッチング出力25
16、並びに位置フィードバック入力2518という回路を含む。
[0326]FPGA2502内で実施される論理は、バス通信論理2508、自動作動投票
論理2510、及びIDI論理2512を含む。バス通信論理2508は、SDB(SD
B1、SDB2、及びSDB3)からのデータを処理し、そのデータを自動作動投票論理
2510へ送る。IDI論理2512は、MIB通信論理2520へ送られ、PCS、S
DISハブ、及びMWSによって処理される。
論理2510、及びIDI論理2512を含む。バス通信論理2508は、SDB(SD
B1、SDB2、及びSDB3)からのデータを処理し、そのデータを自動作動投票論理
2510へ送る。IDI論理2512は、MIB通信論理2520へ送られ、PCS、S
DISハブ、及びMWSによって処理される。
[0327]自動作動投票論理2510は、3つのSDBから受け取った作動信号で投票する
。自動作動投票論理2510は、1次又は2次作動経路に対して作動が保証されているか
どうかを判定する。たとえば、自動作動投票論理2510は、作動信号で多数決を行う。
自動作動投票論理2510は、ツーアウトオブスリー(2oo3)作動信号がそのように
示す場合、自動作動が保証されていることを示す。データ通信は3重冗長であり、単一故
障の問題をなくすために投票される。
。自動作動投票論理2510は、1次又は2次作動経路に対して作動が保証されているか
どうかを判定する。たとえば、自動作動投票論理2510は、作動信号で多数決を行う。
自動作動投票論理2510は、ツーアウトオブスリー(2oo3)作動信号がそのように
示す場合、自動作動が保証されていることを示す。データ通信は3重冗長であり、単一故
障の問題をなくすために投票される。
[0328]IDI論理2512は、EIM2500上の様々な回路から状態及び診断情報を
収集し、この診断情報を処理のためにMIB通信論理2520へ送る。
収集し、この診断情報を処理のためにMIB通信論理2520へ送る。
[0329]EIM2500は、シャーシバックプレーンを通って、HWMに接続することが
できる(たとえば、RTS HWM1402、ESFAS HWM1408、及びPPS
HWM1722)。それぞれのHWMは、手動スイッチ位置及び不安全関連制御信号を
アナログ論理レベル信号に変換し、この情報をシャーシバックプレーン上に配置する。ハ
ードワイヤード信号論理2504は、この情報をシャーシのバックプレーンからAPL2
514の1次及び2次回へ分散される。ハードワイヤード信号2506は、それだけに限
定されるものではないが、手動作動信号、不安全(NS)イネーブルスイッチ位置信号、
パーミッシブ信号、バイパス信号、及び不安全関連制御信号を含むことができる。
できる(たとえば、RTS HWM1402、ESFAS HWM1408、及びPPS
HWM1722)。それぞれのHWMは、手動スイッチ位置及び不安全関連制御信号を
アナログ論理レベル信号に変換し、この情報をシャーシバックプレーン上に配置する。ハ
ードワイヤード信号論理2504は、この情報をシャーシのバックプレーンからAPL2
514の1次及び2次回へ分散される。ハードワイヤード信号2506は、それだけに限
定されるものではないが、手動作動信号、不安全(NS)イネーブルスイッチ位置信号、
パーミッシブ信号、バイパス信号、及び不安全関連制御信号を含むことができる。
[0330]APL2514は、個別の論理構成要素から構築され、自動作動投票論理251
0、ハードワイヤード信号論理2504、及びPCS制御信号からのコマンドを受け取る
。APL2514は、受け取った最も高い優先順位のコマンドを優先して処理する。たと
えば、APL2514は、PCS制御信号及びNSイネーブル信号より、自動及び手動の
作動信号を優先する。たとえば、NSイネーブルスイッチが活動中である場合、PCSは
、より高い優先順位の機能作動信号が存在しないとき、EIM2500に結合された終端
デバイスを制御することが可能である。しかし、自動又は手動作動コマンドは、PCS入
力をオーバーライドする。NSイネーブル信号がないと、EIM2500は常にPCSコ
マンド信号を無視する。たとえば、APL2514は、より高い優先順位の信号(たとえ
ば、自動又は手動作動信号)が存在しない限り、EIM2500を通って終端デバイスを
作動又は再設定するための不安全信号(たとえば、NSイネーブル及びPCSコマンド信
号)の使用を許可する。さらに、APL2514は、不安全信号からのそのような動作を
許可しながら、不安全システム(たとえば、PCS)からのあらゆる障害エラーが、EI
M2500を通って安全システム(たとえば、RTS又はESFAS)内へ波及するのを
防止する。
0、ハードワイヤード信号論理2504、及びPCS制御信号からのコマンドを受け取る
。APL2514は、受け取った最も高い優先順位のコマンドを優先して処理する。たと
えば、APL2514は、PCS制御信号及びNSイネーブル信号より、自動及び手動の
作動信号を優先する。たとえば、NSイネーブルスイッチが活動中である場合、PCSは
、より高い優先順位の機能作動信号が存在しないとき、EIM2500に結合された終端
デバイスを制御することが可能である。しかし、自動又は手動作動コマンドは、PCS入
力をオーバーライドする。NSイネーブル信号がないと、EIM2500は常にPCSコ
マンド信号を無視する。たとえば、APL2514は、より高い優先順位の信号(たとえ
ば、自動又は手動作動信号)が存在しない限り、EIM2500を通って終端デバイスを
作動又は再設定するための不安全信号(たとえば、NSイネーブル及びPCSコマンド信
号)の使用を許可する。さらに、APL2514は、不安全信号からのそのような動作を
許可しながら、不安全システム(たとえば、PCS)からのあらゆる障害エラーが、EI
M2500を通って安全システム(たとえば、RTS又はESFAS)内へ波及するのを
防止する。
[0331]いくつかの実施形態では、各EIM2500は、複数の構成要素を制御すること
ができる。たとえば、各EIM2500は、2つのフィールド構成要素を制御することが
できる。EIM2500は、4つのスイッチング出力2516、2つの1次及び2つの2
次を備える。スイッチング出力2516は、出力動作に影響を及ぼすことなく、冗長出力
として実施され、駆動構成要素の1つのうちの単一故障が、自動的に検出及び軽減される
。4つのスイッチング出力2516のうちの1つの単一故障は、出力チャネルが負荷を励
磁又は切断することを防止することができない。自己試験能力は、ソレノイドが励磁され
ているときはスイッチング出力2516を通って電流を測定することによって実施され、
ソレノイドが切断されているときはソレノイドを通って連続性を測定することによって実
施される。スイッチング出力は、不安全構成要素又は電圧源への接続を可能にするために
、フィールドから隔離される。
ができる。たとえば、各EIM2500は、2つのフィールド構成要素を制御することが
できる。EIM2500は、4つのスイッチング出力2516、2つの1次及び2つの2
次を備える。スイッチング出力2516は、出力動作に影響を及ぼすことなく、冗長出力
として実施され、駆動構成要素の1つのうちの単一故障が、自動的に検出及び軽減される
。4つのスイッチング出力2516のうちの1つの単一故障は、出力チャネルが負荷を励
磁又は切断することを防止することができない。自己試験能力は、ソレノイドが励磁され
ているときはスイッチング出力2516を通って電流を測定することによって実施され、
ソレノイドが切断されているときはソレノイドを通って連続性を測定することによって実
施される。スイッチング出力は、不安全構成要素又は電圧源への接続を可能にするために
、フィールドから隔離される。
[0332]1つのEIM2500のみが終端デバイスのコイルへ電力を供給している場合、
EIM2500の故障又は除去により、フィールド構成要素が作動されるはずである。終
端デバイスを作動させることなくEIM2500の交換を可能にするために、第2のEI
M2500スイッチング出力が、第2のEIM2500と並列に配置され、図15を参照
して図示及び説明するように、いずれのEIM2500も出力を励磁されたまま維持する
。この構成はまた、EIM2500回路のより徹底的な試験を可能にする。
EIM2500の故障又は除去により、フィールド構成要素が作動されるはずである。終
端デバイスを作動させることなくEIM2500の交換を可能にするために、第2のEI
M2500スイッチング出力が、第2のEIM2500と並列に配置され、図15を参照
して図示及び説明するように、いずれのEIM2500も出力を励磁されたまま維持する
。この構成はまた、EIM2500回路のより徹底的な試験を可能にする。
[0333]図26は、MPS1200のハードワイヤードモジュール(HWM)2600の
ブロック図を示す。各MPS分離グループ及びディビジョン、並びにMPSゲートウェイ
、及び各PPSディビジョンは、専用のHWM2500(たとえば、HWM1310、1
402、1408、1722、1724)を有する。HWM2600は、MPSキャビネ
ットの外部からハードワイヤードアナログ信号を受け付け、これらの信号を他のモジュー
ルに対するシャーシバックプレーン2602上で利用可能にする。たとえば、これらの信
号は、それだけに限定されるものではないが、MCRからの手動作動スイッチ、動作バイ
パススイッチ、オーバーライドスイッチ、及びイネーブル不安全制御スイッチを含む。H
WMへの他の入力は、SFMトリップ/バイパススイッチ、MCS制御入力、及び構成要
素位置フィードバックを含む。
ブロック図を示す。各MPS分離グループ及びディビジョン、並びにMPSゲートウェイ
、及び各PPSディビジョンは、専用のHWM2500(たとえば、HWM1310、1
402、1408、1722、1724)を有する。HWM2600は、MPSキャビネ
ットの外部からハードワイヤードアナログ信号を受け付け、これらの信号を他のモジュー
ルに対するシャーシバックプレーン2602上で利用可能にする。たとえば、これらの信
号は、それだけに限定されるものではないが、MCRからの手動作動スイッチ、動作バイ
パススイッチ、オーバーライドスイッチ、及びイネーブル不安全制御スイッチを含む。H
WMへの他の入力は、SFMトリップ/バイパススイッチ、MCS制御入力、及び構成要
素位置フィードバックを含む。
[0334]HWM2600は、主制御室内の手動スイッチからの信号、MCSからの個別の
制御信号、位置フィードバック、及びトリップ/バイパススイッチパネルを受け取ること
ができる。HWM2600は、個別のアナログ構成要素のみから構築され、プログラマブ
ルデバイスはない。これらの信号は、分離グループスイッチ入力(たとえば、保守トリッ
プ/バイパス(各分離グループ))、RTS及びESFASスイッチ入力(たとえば、手
動作動(MCR)、ブロック又はオーバーライド(MCR)、イネーブルNS制御(MC
R)、動作バイパス(MCR)、不安全関連MCS制御信号)、並びにMPSゲートウェ
イ(たとえば、事故監視標示のためのRTS及びESFAS構成要素からの位置フィード
バック)からなる。
制御信号、位置フィードバック、及びトリップ/バイパススイッチパネルを受け取ること
ができる。HWM2600は、個別のアナログ構成要素のみから構築され、プログラマブ
ルデバイスはない。これらの信号は、分離グループスイッチ入力(たとえば、保守トリッ
プ/バイパス(各分離グループ))、RTS及びESFASスイッチ入力(たとえば、手
動作動(MCR)、ブロック又はオーバーライド(MCR)、イネーブルNS制御(MC
R)、動作バイパス(MCR)、不安全関連MCS制御信号)、並びにMPSゲートウェ
イ(たとえば、事故監視標示のためのRTS及びESFAS構成要素からの位置フィード
バック)からなる。
[0335]手動スイッチ及び不安全関連MCS信号からのすべての信号は、フィールドから
隔離され、アナログ論理電圧レベル電圧に変換され、その信号を必要とする任意のモジュ
ールによって使用するために、バックプレーン上に配置される。図26に示す例示的なH
WM2600は、モジュールの頂部からくる最大32の入力を有する。32の入力は、4
組の8つの入力2604に分割される。各組2604は、外部入力からのその独自の電気
的隔離2508、並びに隣接する3組の入力2604を有する。各入力チャネルは、その
独自のガルバーニ隔離2608を提供する。ガルバーニ隔離は、光アイソレータデバイス
によって提供することができる。各組の8つの入力2608は、隔離された電源を提供す
るために、その独自のDC-DC変換器を有する。
隔離され、アナログ論理電圧レベル電圧に変換され、その信号を必要とする任意のモジュ
ールによって使用するために、バックプレーン上に配置される。図26に示す例示的なH
WM2600は、モジュールの頂部からくる最大32の入力を有する。32の入力は、4
組の8つの入力2604に分割される。各組2604は、外部入力からのその独自の電気
的隔離2508、並びに隣接する3組の入力2604を有する。各入力チャネルは、その
独自のガルバーニ隔離2608を提供する。ガルバーニ隔離は、光アイソレータデバイス
によって提供することができる。各組の8つの入力2608は、隔離された電源を提供す
るために、その独自のDC-DC変換器を有する。
[0336]動作バイパスは、特定のプラント動作モードでは必要ないとき、特定の保護措置
のために提供される。異なるプラント動作モードが、安全機能の自動又は手動バイパスを
必要とすることがある。動作バイパスは、モード変化を許可するために使用される。保守
バイパスは、保守、試験、又は修理中に安全システム機器をバイパスするために提供され
る。保守バイパスは、機器の冗長度を低減させることがあるが、安全機能の損失をもたら
さない。動作及び保守バイパスは、以下の段落で説明する。
のために提供される。異なるプラント動作モードが、安全機能の自動又は手動バイパスを
必要とすることがある。動作バイパスは、モード変化を許可するために使用される。保守
バイパスは、保守、試験、又は修理中に安全システム機器をバイパスするために提供され
る。保守バイパスは、機器の冗長度を低減させることがあるが、安全機能の損失をもたら
さない。動作及び保守バイパスは、以下の段落で説明する。
[0337]MPSは、自動的に、又は自動及び手動措置の組合せによって、プラントモード
の変更を可能にする特定の保護措置を禁止又は許可するインタロック、パーミッシブ、並
びに動作及び保守バイパスを含む。
の変更を可能にする特定の保護措置を禁止又は許可するインタロック、パーミッシブ、並
びに動作及び保守バイパスを含む。
[0338]MPS論理は、動作バイパスに対するパーミッシブ又はインタロック条件が満た
されていない場合、動作バイパスの起動を自動的に防止し、又は適当な安全機能(複数可
)を開始する。動作バイパス回路は、機能が必要とされていないときに保護機能をバイパ
スすることを可能にする両方のパーミッシブ特徴、及び条件が満たされたときに動作バイ
パスを自動的に起動するインタロック特徴を収納する。パーミッシブ及びインタロック条
件が満たされなくなった場合、動作バイパスは自動的に非活動化される。
されていない場合、動作バイパスの起動を自動的に防止し、又は適当な安全機能(複数可
)を開始する。動作バイパス回路は、機能が必要とされていないときに保護機能をバイパ
スすることを可能にする両方のパーミッシブ特徴、及び条件が満たされたときに動作バイ
パスを自動的に起動するインタロック特徴を収納する。パーミッシブ及びインタロック条
件が満たされなくなった場合、動作バイパスは自動的に非活動化される。
[0339]動作バイパスは、プラントモードの変更を可能にし、安全分析又はプラント動作
に基づいて特定の機能の操作者制御を提供するために必要とされる。MPS機能、インタ
ロック、及びパーミッシブに対する例示的な動作バイパスが、表4(図30A~30Cに
示す)に挙げられている。これらのバイパスは、普通ならプラント動作(たとえば、プラ
ント開始)中のモード変更を妨げる特定の保護措置を自動又は手動でブロックする。動作
バイパスは、保護措置を動作可能にすることが必要とされる動作状態へプラントが動いた
とき、自動的に除去される。システムの何らかの部分がバイパスされ又は非稼働状態にさ
れている場合、制御室内に標示が提供される。
に基づいて特定の機能の操作者制御を提供するために必要とされる。MPS機能、インタ
ロック、及びパーミッシブに対する例示的な動作バイパスが、表4(図30A~30Cに
示す)に挙げられている。これらのバイパスは、普通ならプラント動作(たとえば、プラ
ント開始)中のモード変更を妨げる特定の保護措置を自動又は手動でブロックする。動作
バイパスは、保護措置を動作可能にすることが必要とされる動作状態へプラントが動いた
とき、自動的に除去される。システムの何らかの部分がバイパスされ又は非稼働状態にさ
れている場合、制御室内に標示が提供される。
[0340]手動動作バイパスは、ディビジョンごとに1つずつ、2つのスイッチを有する。
いくつかの設計で使用される唯一の手動動作バイパスは、バイパスの機能を実現するため
に、手動バイパスとともにパーミッシブを使用する。動作バイパススイッチは瞬間的コン
タクトスイッチとすることができ、通常は開放されており、動作バイパス機能を実行する
ために瞬間的にのみ閉鎖される。
いくつかの設計で使用される唯一の手動動作バイパスは、バイパスの機能を実現するため
に、手動バイパスとともにパーミッシブを使用する。動作バイパススイッチは瞬間的コン
タクトスイッチとすることができ、通常は開放されており、動作バイパス機能を実行する
ために瞬間的にのみ閉鎖される。
[0341]識別された事象において、故障は、2つのMPSディビジョンのうちの1つに制
限される。他のMPSディビジョンは、完全に動作可能であり、安全機能を実行すること
が可能であり、単一故障が安全機能を無効にしない。安全機能の不注意のバイパスは、1
つのMPSディビジョンに制限される。他のMPSディビジョンは、必要とされる安全機
能を実行することができない。
限される。他のMPSディビジョンは、完全に動作可能であり、安全機能を実行すること
が可能であり、単一故障が安全機能を無効にしない。安全機能の不注意のバイパスは、1
つのMPSディビジョンに制限される。他のMPSディビジョンは、必要とされる安全機
能を実行することができない。
[0342]自動及び手動動作バイパスの場合、分離グループからのパーミッシブ又はインタ
ロックに対してトリップ判定が使用され、これは、保護措置に対するトリップ判定に類似
している。動作バイパスが保証されているかを判定するために、スリーアウトオブフォー
一致が使用される。動作バイパスを除去するために、パーミッシブ又はインタロックが有
効でなくなると判定するために分離グループのツーアウトオブフォーが必要とされ、動作
バイパスが自動的にリセットされる。
ロックに対してトリップ判定が使用され、これは、保護措置に対するトリップ判定に類似
している。動作バイパスが保証されているかを判定するために、スリーアウトオブフォー
一致が使用される。動作バイパスを除去するために、パーミッシブ又はインタロックが有
効でなくなると判定するために分離グループのツーアウトオブフォーが必要とされ、動作
バイパスが自動的にリセットされる。
[0343]MPS変数は、ツーアウトオブフォー一致論理を利用する保護機能を作動させる
4つの冗長チャネルによって監視される。この構成により、保護チャネルの単一の偶発故
障が保守バイパス内のチャネルと同時発生した場合、必要とされる安全機能を動作可能な
ままにすることが可能になる。
4つの冗長チャネルによって監視される。この構成により、保護チャネルの単一の偶発故
障が保守バイパス内のチャネルと同時発生した場合、必要とされる安全機能を動作可能な
ままにすることが可能になる。
[0344]MPSは、保守、試験、又は修理に対する保護チャネルの管理バイパスを許可す
るように設計される。MPSチャネルが管理的にバイパスされ又は非稼働状態にされてい
る場合、制御室内に標示が提供される。保守バイパス内で非稼働状態にするために可能に
される時間期間は、プラントの技術仕様によって管理的に制御される。
るように設計される。MPSチャネルが管理的にバイパスされ又は非稼働状態にされてい
る場合、制御室内に標示が提供される。保守バイパス内で非稼働状態にするために可能に
される時間期間は、プラントの技術仕様によって管理的に制御される。
[0345]MPS上で保守を実行するために、各SFMに関連付けられたスイッチ、及びS
FMの前面の非稼働スイッチという2つの関連付けられたスイッチが存在し、保守及び修
理のためにSFMを非稼働状態にすることを可能にする。非稼働スイッチを起動すること
で、安全機能が、そのSFMに対するトリップ/バイパススイッチの位置に基づいて、ト
リップ又はバイパスになる。非稼働スイッチを起動することで、MWSを介して不揮発性
メモリ内で調整可能なパラメータ及び設定点の修正が許可される。トリップバイパススイ
ッチ状態入力は、ハードワイヤードモジュール(HWM)を通って受け取られ、これによ
りスイッチ位置が論理レベル信号に変換され、この情報がバックプレーン上へ配置される
。
FMの前面の非稼働スイッチという2つの関連付けられたスイッチが存在し、保守及び修
理のためにSFMを非稼働状態にすることを可能にする。非稼働スイッチを起動すること
で、安全機能が、そのSFMに対するトリップ/バイパススイッチの位置に基づいて、ト
リップ又はバイパスになる。非稼働スイッチを起動することで、MWSを介して不揮発性
メモリ内で調整可能なパラメータ及び設定点の修正が許可される。トリップバイパススイ
ッチ状態入力は、ハードワイヤードモジュール(HWM)を通って受け取られ、これによ
りスイッチ位置が論理レベル信号に変換され、この情報がバックプレーン上へ配置される
。
[0346]SFMから受け取ったデータパケットは、非稼働スイッチの位置をSFM上に収
納する。スケジューリング及びバイパスモジュール(SBM)は、SFMからのデータパ
ケット内に受け取られた非稼働スイッチ位置情報からSFMが非稼働中であるかどうかを
判定する。SFMが非稼働中であり、かつトリップ/バイパススイッチがバイパスにある
場合、SBMは、SFMの出力にかかわらず、作動なし又は非トリップ状態をスケジュー
ル及び投票モジュール(SVM)へ伝送する。ツーアウトオブフォー投票一致論理に変化
はなく、1つの分離グループが、トリップなしをSVMへ提供し、SVMによって受け取
られた残りの3つのチャネルのうちの2つがトリップ/作動に投票することを必要とする
。この場合、MPSはそれでもなお、単一故障基準を満たすために必要とされる冗長性及
び連続性レベルによって、安全機能を実行することが可能である。
納する。スケジューリング及びバイパスモジュール(SBM)は、SFMからのデータパ
ケット内に受け取られた非稼働スイッチ位置情報からSFMが非稼働中であるかどうかを
判定する。SFMが非稼働中であり、かつトリップ/バイパススイッチがバイパスにある
場合、SBMは、SFMの出力にかかわらず、作動なし又は非トリップ状態をスケジュー
ル及び投票モジュール(SVM)へ伝送する。ツーアウトオブフォー投票一致論理に変化
はなく、1つの分離グループが、トリップなしをSVMへ提供し、SVMによって受け取
られた残りの3つのチャネルのうちの2つがトリップ/作動に投票することを必要とする
。この場合、MPSはそれでもなお、単一故障基準を満たすために必要とされる冗長性及
び連続性レベルによって、安全機能を実行することが可能である。
[0347]SFMが非稼働中であり、かつトリップ/バイパススイッチがトリップにある場
合、SBMは、SFMの出力にかかわらず、トリップ/作動信号をSVMへ伝送する。ツ
ーアウトオブフォー投票一致論理への変更はない。SBMは、1つのチャネルをトリップ
/作動させ、1つの分離グループが、トリップ/作動入力をSVMへ提供し、それにより
1つの他の分離グループが投票を発行し、トリップ/作動が特定の安全機能に対してトリ
ップ/作動を生じさせる必要がある。この場合、MPSは、「部分トリップ」状態にある
が、それでもなお単一故障基準を満たしており、必要とされる冗長性レベルで安全機能を
実行することが可能である。
合、SBMは、SFMの出力にかかわらず、トリップ/作動信号をSVMへ伝送する。ツ
ーアウトオブフォー投票一致論理への変更はない。SBMは、1つのチャネルをトリップ
/作動させ、1つの分離グループが、トリップ/作動入力をSVMへ提供し、それにより
1つの他の分離グループが投票を発行し、トリップ/作動が特定の安全機能に対してトリ
ップ/作動を生じさせる必要がある。この場合、MPSは、「部分トリップ」状態にある
が、それでもなお単一故障基準を満たしており、必要とされる冗長性レベルで安全機能を
実行することが可能である。
[0348]いくつかの実施形態では、保守トリップ/バイパススイッチは、MPS機器室内
位置する分離グループキャビネット内のパネルの上に位置することができる。これらのス
イッチは、SFMシャーシ(図13に示す)内のHWMに接続される。
位置する分離グループキャビネット内のパネルの上に位置することができる。これらのス
イッチは、SFMシャーシ(図13に示す)内のHWMに接続される。
[0349]SFMが非稼働中ではない場合、SBMは、SFMからSBMへ計算及び伝送さ
れた安全機能アルゴリズム結果を伝送する。SBMがSFMから有効な応答を受け取らな
い場合、警報が生成され、SBMは、トリップ/バイパススイッチの位置を使用して、S
VMへ何を伝送するかを判定する。
れた安全機能アルゴリズム結果を伝送する。SBMがSFMから有効な応答を受け取らな
い場合、警報が生成され、SBMは、トリップ/バイパススイッチの位置を使用して、S
VMへ何を伝送するかを判定する。
[0350]SFMの非稼働機能を使用することで、停止及び燃料サイクル中に特定の調整可
能なパラメータの周期的なパラメータ更新が可能になる。安全機能の操作性を検証するた
めに、周期的な試験が必要とされる。
能なパラメータの周期的なパラメータ更新が可能になる。安全機能の操作性を検証するた
めに、周期的な試験が必要とされる。
[0351]MPSは、通常動作及び停止中に周期的な補正のための保守を可能にするように
設計される。保守を実行するために、安全機能を非稼働状態にしなければならない。影響
を受けたチャネルは、技術仕様の制限を受けてトリップ状態又はバイパスになる。
設計される。保守を実行するために、安全機能を非稼働状態にしなければならない。影響
を受けたチャネルは、技術仕様の制限を受けてトリップ状態又はバイパスになる。
[0352]試験又は補正の保守のために、分離グループ内の安全機能をバイパス又はトリッ
プにすることができる。RTS及びESFASディビジョンにはバイパス機能がないが、
モジュールは、連続自己試験カバー範囲を有する。原子炉トリップ遮断器は、遮断器構成
のため、1度に1つの遮断器を開放することによって、出力時に試験することができる。
これにより、原子炉トリップ遮断器に関連付けられた保守バイパスの必要なく、原子炉ト
リップ遮断器試験が可能になる。ESFAS構成要素のほとんどは、トリップ又は工学的
安全施設(ESF)の作動を引き起こすため、出力時に試験されず、停止中に試験する必
要がある。MCR内の手動トリップ及び作動スイッチは、出力時に試験することができず
、プラントの技術仕様に従って、停止状態中に試験される。
プにすることができる。RTS及びESFASディビジョンにはバイパス機能がないが、
モジュールは、連続自己試験カバー範囲を有する。原子炉トリップ遮断器は、遮断器構成
のため、1度に1つの遮断器を開放することによって、出力時に試験することができる。
これにより、原子炉トリップ遮断器に関連付けられた保守バイパスの必要なく、原子炉ト
リップ遮断器試験が可能になる。ESFAS構成要素のほとんどは、トリップ又は工学的
安全施設(ESF)の作動を引き起こすため、出力時に試験されず、停止中に試験する必
要がある。MCR内の手動トリップ及び作動スイッチは、出力時に試験することができず
、プラントの技術仕様に従って、停止状態中に試験される。
[0353]4つの原子炉トリップ遮断器が、MPSの2つのディビジョンの各々に関連付け
られている。MPSディビジョンは、遮断器の単一のディビジョンを開放すると、制御棒
駆動機構が切断され、したがって原子炉トリップを引き起こすように構成される(図12
に示す)。トリップ作動論理の試験中、原子炉トリップ遮断器の不足電圧トリップ機構へ
のトリップ信号は作動されない。MPSは、MPS論理及び原子炉トリップ遮断器の重複
するオンライン試験を許可するように設計される。
られている。MPSディビジョンは、遮断器の単一のディビジョンを開放すると、制御棒
駆動機構が切断され、したがって原子炉トリップを引き起こすように構成される(図12
に示す)。トリップ作動論理の試験中、原子炉トリップ遮断器の不足電圧トリップ機構へ
のトリップ信号は作動されない。MPSは、MPS論理及び原子炉トリップ遮断器の重複
するオンライン試験を許可するように設計される。
[0354]MPSのうち出力時に試験されない部分は、EIM上の作動優先論理回路である
。これは、作動優先論理へ入力を提供する手動MCRスイッチ及びイネーブル不安全制御
スイッチを含む。作動優先論理は、個別の構成要素からなり、フィールド構成要素の作動
を直接引き起こし、それにより原子炉は停止し、又は動作に不都合な影響を及ぼす。作動
優先論理は、原子炉が遮断されているときに試験される。作動優先論理回路の簡潔性のた
め、停止状態中の試験は、必要とされる場合に作動優先論理機能が実行することを確実に
するのに十分である。
。これは、作動優先論理へ入力を提供する手動MCRスイッチ及びイネーブル不安全制御
スイッチを含む。作動優先論理は、個別の構成要素からなり、フィールド構成要素の作動
を直接引き起こし、それにより原子炉は停止し、又は動作に不都合な影響を及ぼす。作動
優先論理は、原子炉が遮断されているときに試験される。作動優先論理回路の簡潔性のた
め、停止状態中の試験は、必要とされる場合に作動優先論理機能が実行することを確実に
するのに十分である。
[0355]保守バイパスの目的で、NMSは、MPSへのセンサ入力として扱われ、MPS
は、保守の目的でバイパス能力を提供する。
は、保守の目的でバイパス能力を提供する。
[0356]MPSチャネルが管理的にバイパスされ又は非稼働状態にされている場合、制御
室内に標示が提供される。保守バイパス内で非稼働状態にするために可能にされる期間は
、技術仕様によって管理的に制御される。
室内に標示が提供される。保守バイパス内で非稼働状態にするために可能にされる期間は
、技術仕様によって管理的に制御される。
[0357]MPS機器の状態情報は、MCS及びSDISへ自動的に送られる。MCS及び
SDISは、バイパス、トリップ、及び非稼働中状態の連続標示を操作者に提供する。状
態情報の表示により、操作者は、安全機能の操作性を識別することが可能になる。
SDISは、バイパス、トリップ、及び非稼働中状態の連続標示を操作者に提供する。状
態情報の表示により、操作者は、安全機能の操作性を識別することが可能になる。
[0358]1組のディビジョンI及びディビジョンIIの手動スイッチは、保護措置の手動
開始のために提供され、対応するRTS及びESFASディビジョンのHWMに接続され
る。HWMへの入力信号は隔離され、論理レベル信号に変換され、バックプレーン上に配
置される。これらの信号は、自動信号を生成するFPGA論理構成要素の下流にある関連
付けられたEIM作動優先論理回路へ提供される。
開始のために提供され、対応するRTS及びESFASディビジョンのHWMに接続され
る。HWMへの入力信号は隔離され、論理レベル信号に変換され、バックプレーン上に配
置される。これらの信号は、自動信号を生成するFPGA論理構成要素の下流にある関連
付けられたEIM作動優先論理回路へ提供される。
[0359]ディビジョンI及びディビジョンIIの手動作動スイッチは、MCR内で以下の
保護措置の各々に対して提供される。各手動作動スイッチは、その関連付けられたディビ
ジョン内でそれぞれの保護機能を作動させる。いずれのディビジョンスイッチの作動も、
安全機能を完了するのに十分である。手動作動スイッチは、それだけに限定されるもので
はないが、原子炉トリップ、ECCS作動、崩壊熱除去作動、格納隔離、脱塩水システム
隔離、化学及び体積制御システム隔離、加圧器ヒータトリップ、及び低温超過圧力保護を
含むことができる。ハードワイヤード手動作動スイッチ入力は、MPS内のデジタル構成
要素の下流にあるため、MPS自動機能の故障は、必要とされる保護措置の手動開始を妨
げない。
保護措置の各々に対して提供される。各手動作動スイッチは、その関連付けられたディビ
ジョン内でそれぞれの保護機能を作動させる。いずれのディビジョンスイッチの作動も、
安全機能を完了するのに十分である。手動作動スイッチは、それだけに限定されるもので
はないが、原子炉トリップ、ECCS作動、崩壊熱除去作動、格納隔離、脱塩水システム
隔離、化学及び体積制御システム隔離、加圧器ヒータトリップ、及び低温超過圧力保護を
含むことができる。ハードワイヤード手動作動スイッチ入力は、MPS内のデジタル構成
要素の下流にあるため、MPS自動機能の故障は、必要とされる保護措置の手動開始を妨
げない。
[0360]操作者が安全関連イネーブル不安全制御スイッチを使用することによって可能に
された場合、ESF機器の手動構成要素レベル制御の能力は、MCSからHWMへの不安
全個別ハードワイヤード入力を使用することが可能である。次いで、これらの信号は、E
IM上の作動優先論理回路へ入力される。あらゆる自動又は手動安全関連信号は、不安全
信号をオーバーライドし、作動優先論理内で優先される。DBEを超えて、制限された数
の作動機器に対して、安全関連オーバーライドスイッチを使用して、自動信号に対して不
安全信号を優先することができる。
された場合、ESF機器の手動構成要素レベル制御の能力は、MCSからHWMへの不安
全個別ハードワイヤード入力を使用することが可能である。次いで、これらの信号は、E
IM上の作動優先論理回路へ入力される。あらゆる自動又は手動安全関連信号は、不安全
信号をオーバーライドし、作動優先論理内で優先される。DBEを超えて、制限された数
の作動機器に対して、安全関連オーバーライドスイッチを使用して、自動信号に対して不
安全信号を優先することができる。
[0361]オーバーライドスイッチは、以下の機能のために提供される。オーバーライドス
イッチは、ディビジョンごとに1つずつ、2つのスイッチを含むことができる。手動オー
バーライドスイッチは、格納容器注水及び排水システム並びにバルブをオーバーライドす
ることができる。手動オーバーライドスイッチは、起動すると警報を生成することができ
る。手動制御は、認可されたプラント手順によって管理的に制御される。
イッチは、ディビジョンごとに1つずつ、2つのスイッチを含むことができる。手動オー
バーライドスイッチは、格納容器注水及び排水システム並びにバルブをオーバーライドす
ることができる。手動オーバーライドスイッチは、起動すると警報を生成することができ
る。手動制御は、認可されたプラント手順によって管理的に制御される。
[0362]主題の特定の実施形態について説明した。他の実施形態、変更形態、及び記載す
る実施形態の並べ替えは、当業者には明らかな以下の特許請求の範囲の範囲内である。た
とえば、特許請求の範囲に記載の動作は、異なる順序で実行することができ、それでもな
お望ましい結果を実現することができる。したがって、例示的な実施形態の上記の説明は
、本開示を定義又は抑制するものではない。本開示の精神及び範囲から逸脱することなく
、他の変形、置換え、及び変更も可能である。
る実施形態の並べ替えは、当業者には明らかな以下の特許請求の範囲の範囲内である。た
とえば、特許請求の範囲に記載の動作は、異なる順序で実行することができ、それでもな
お望ましい結果を実現することができる。したがって、例示的な実施形態の上記の説明は
、本開示を定義又は抑制するものではない。本開示の精神及び範囲から逸脱することなく
、他の変形、置換え、及び変更も可能である。
Claims (20)
- 複数の機能的に独立したモジュールであって、前記モジュールの各々が、原子炉安全シ
ステムから複数の入力を受け取り、前記複数の入力に少なくとも部分的に基づいて安全措
置を論理的に判定するように構成され、前記機能的に独立したモジュールの各々が、デジ
タルモジュール又は複合型デジタル及びアナログモジュールを備えている、複数の機能的
に独立したモジュールと、
前記機能的に独立したモジュールのうちの1つ又は複数に電気的に結合されたアナログ
モジュールと、
前記複数の入力に少なくとも部分的に基づいた前記安全措置の判定を受け取るように、
前記複数の機能的に独立したモジュールに通信可能に結合された1つ又は複数の原子炉安
全アクチュエータと、
を備えている原子炉保護システム。 - 前記アナログモジュールへの入力の起動が、前記機能的に独立したモジュールのうちの
少なくとも1つの1つ又は複数の動作をオーバーライドする、請求項1に記載の原子炉保
護システム。 - 前記アナログモジュールが、アナログ回路構成要素のみを備えている、請求項1に記載
の原子炉保護システム。 - 前記アナログモジュールへの少なくとも1つの入力が、手動オーバーライド入力を含み
、前記アナログモジュールが、前記手動オーバーライド入力の起動の際、前記機能的に独
立したモジュールのうちの少なくとも1つのデジタル動作をオーバーライドするように構
成されている、請求項1に記載の原子炉保護システム。 - 前記アナログモジュールへの少なくとも1つの入力が、手動バイパス入力を含み、前記
アナログモジュールが、前記手動バイパス入力の起動の際、前記機能的に独立したモジュ
ールのうちの少なくとも1つのデジタル動作をバイパスするように構成されている、請求
項1に記載の原子炉保護システム。 - 前記アナログモジュールへの少なくとも1つの入力が、手動作動入力を含み、前記アナ
ログモジュールが、前記手動作動入力の起動の際、前記機能的に独立したモジュールのう
ちの少なくとも1つのデジタル動作を作動させるように構成されている、請求項1に記載
の原子炉保護システム。 - 前記アナログモジュールからの1つ又は複数の出力が、前記原子炉保護システムのバッ
クプレーンを通って前記複数の機能的に独立したモジュールへ入力として供給されている
、請求項1に記載の原子炉保護システム。 - 前記アナログモジュールが、第1のアナログモジュールを含み、前記原子炉保護システ
ムが、
第2のアナログモジュールと、
工学的安全施設作動システム(ESFAS)であって、前記複数の機能的に独立したモ
ジュールの第1の部分集合が、複数のESFAS入力を受け取り、前記ESFAS入力に
少なくとも部分的に基づいてESFAS構成要素の作動を論理的に判定し、前記第1のア
ナログモジュールが、前記複数の機能的に独立したモジュールの前記第1の部分集合のう
ちの前記機能的に独立したモジュールに電気的に結合されている、工学的安全施設作動シ
ステム(ESFAS)と、
原子炉トリップシステム(RTS)であって、前記複数の機能的に独立したモジュール
の第2の部分集合が、複数のRTS入力を受け取り、前記RTS入力に少なくとも部分的
に基づいてRTS構成要素の作動を論理的に判定し、前記第2のアナログモジュールが、
前記複数の機能的に独立したモジュールの前記第2の部分集合のうちの前記機能的に独立
したモジュールに電気的に結合されている、原子炉トリップシステム(RTS)と、
を備えている、請求項1に記載の原子炉保護システム。 - 前記複数の機能的に独立したモジュールの各々が、前記複数の機能的に独立したモジュ
ールのうちの他のいずれかへの単一故障波及からの保護を提供している、請求項1に記載
の原子炉保護システム。 - 前記原子炉安全システムが、工学的安全施設作動システム(ESFAS)を備えており
、前記複数の機能的に独立したモジュールが、複数のESFAS入力を受け取り、前記E
SFAS入力に少なくとも部分的に基づいてESFAS構成要素の作動を論理的に判定す
る、請求項1に記載の原子炉保護システム。 - 前記複数の機能的に独立したモジュールが、冗長ESFAS投票ディビジョンを提供し
ている、請求項10に記載の原子炉保護システム。 - 前記原子炉安全システムが、原子炉トリップシステム(RTS)を備えており、前記複
数の機能的に独立したモジュールが、複数のRTS入力を受け取り、前記RTS入力に少
なくとも部分的に基づいてRTS構成要素の作動を論理的に判定する、請求項1に記載の
原子炉保護システム。 - 前記複数の機能的に独立したモジュールが、冗長RTS投票ディビジョンを提供してい
る、請求項12に記載の原子炉保護システム。 - 前記アナログモジュールが、不安全関連信号をアナログ電圧レベルに変換し、シャーシ
バックプレーンを通って前記アナログ電圧レベルを関連機能モジュールへ渡すことによっ
て、安全関連システムから不安全関連信号を電気的に隔離している、請求項1に記載の原
子炉保護システム。 - 前記機能的に独立したモジュールのうちの少なくとも1つが、前記アナログモジュール
からの少なくとも1つのハードワイヤードアナログ入力信号を備えた機器インタフェース
モジュール(EIM)を具備している、請求項1に記載の原子炉保護システム。 - 前記EIMが、少なくとも1つのデジタル入力信号に対して前記少なくとも1つのハー
ドワイヤードアナログ入力信号を優先する作動及び優先論理(APL)回路を備えている
、請求項15に記載の原子炉保護システム。 - 前記少なくとも1つのデジタル信号が、安全関連信号を含み、前記APL回路が、前記
ハードワイヤードアナログ信号より前記デジタル信号を優先する、請求項16に記載の原
子炉保護システム。 - 前記少なくとも1つのハードワイヤードアナログ入力信号が、手動作動スイッチからの
安全関連信号を含み、前記APL回路が、前記デジタル信号より前記ハードワイヤードア
ナログ入力信号を優先する、請求項16に記載の原子炉保護システム。 - 前記少なくとも1つのハードワイヤードアナログ入力信号が、原子炉トリップ信号を含
む、請求項18に記載の原子炉保護システム。 - 手動作動スイッチからの前記少なくとも1つのハードワイヤードアナログ入力信号が、
不安全関連制御信号を含み、前記APL回路が、前記ハードワイヤードアナログ入力信号
より前記デジタル信号を優先する、請求項16に記載の原子炉保護システム。
Applications Claiming Priority (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201662440989P | 2016-12-30 | 2016-12-30 | |
| US62/440,989 | 2016-12-30 | ||
| PCT/US2018/012089 WO2018144173A1 (en) | 2016-12-30 | 2018-01-02 | Nuclear reactor protection systems and methods |
| JP2019532799A JP2020514700A (ja) | 2016-12-30 | 2018-01-02 | 原子炉保護システム及び方法 |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2019532799A Division JP2020514700A (ja) | 2016-12-30 | 2018-01-02 | 原子炉保護システム及び方法 |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2024019542A Division JP2024069204A (ja) | 2016-12-30 | 2024-02-13 | 原子炉保護システム及び方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2022160445A true JP2022160445A (ja) | 2022-10-19 |
Family
ID=62218289
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2019532799A Pending JP2020514700A (ja) | 2016-12-30 | 2018-01-02 | 原子炉保護システム及び方法 |
| JP2022112351A Pending JP2022160445A (ja) | 2016-12-30 | 2022-07-13 | 原子炉保護システム |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2019532799A Pending JP2020514700A (ja) | 2016-12-30 | 2018-01-02 | 原子炉保護システム及び方法 |
Country Status (8)
| Country | Link |
|---|---|
| US (3) | US11069450B2 (ja) |
| EP (1) | EP3563391B1 (ja) |
| JP (2) | JP2020514700A (ja) |
| KR (3) | KR102642462B1 (ja) |
| CN (1) | CN110366760B (ja) |
| CA (1) | CA3047135A1 (ja) |
| PL (1) | PL3563391T3 (ja) |
| WO (1) | WO2018144173A1 (ja) |
Families Citing this family (26)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9335296B2 (en) | 2012-10-10 | 2016-05-10 | Westinghouse Electric Company Llc | Systems and methods for steam generator tube analysis for detection of tube degradation |
| JP6295113B2 (ja) * | 2014-03-17 | 2018-03-14 | ルネサスエレクトロニクス株式会社 | 自己診断装置及び自己診断方法 |
| EP2988420B1 (en) * | 2014-08-20 | 2021-03-10 | Framatome | Circuit arrangement for a safety i&c system |
| JP2020514700A (ja) * | 2016-12-30 | 2020-05-21 | ニュースケール パワー エルエルシー | 原子炉保護システム及び方法 |
| JP7227959B2 (ja) * | 2017-08-18 | 2023-02-22 | ウエスチングハウス・エレクトリック・カンパニー・エルエルシー | 絶縁分離された核計装出力信号のスケーリング方法および当該方法を用いたシステム |
| US10755826B2 (en) | 2017-11-10 | 2020-08-25 | Nugen, Llc | Integrated system for converting nuclear energy into electrical, rotational, and thermal energy |
| US11265688B2 (en) * | 2018-09-10 | 2022-03-01 | Tagup, Inc. | Systems and methods for anomaly detection and survival analysis for physical assets |
| CN109712732A (zh) * | 2018-12-25 | 2019-05-03 | 江苏核电有限公司 | 一种核电站专设安全设施的手动多样化触发方法 |
| US11205031B2 (en) * | 2019-02-25 | 2021-12-21 | Qiang Huang | System and method for facilitating use of commercial off-the-shelf (COTS) components in radiation-tolerant electronic systems |
| US11935662B2 (en) | 2019-07-02 | 2024-03-19 | Westinghouse Electric Company Llc | Elongate SiC fuel elements |
| CN110444305B (zh) * | 2019-08-13 | 2022-09-13 | 中国核动力研究设计院 | 一种优化的数字化反应堆保护系统 |
| CN110460542B (zh) * | 2019-08-13 | 2022-01-14 | 中核控制系统工程有限公司 | 核电厂dcs系统级联数据交换系统及其数据交换方法 |
| KR102523509B1 (ko) | 2019-09-19 | 2023-04-18 | 웨스팅하우스 일렉트릭 컴퍼니 엘엘씨 | 콜드 스프레이 침착물의 현장 접착 테스트를 수행하기 위한 장치 및 사용 방법 |
| CN110867220A (zh) * | 2019-11-07 | 2020-03-06 | 西安交通大学 | 利用粒子网格混合法研究堆芯内共晶反应及高温熔化行为的方法 |
| CN110828002B (zh) * | 2019-12-03 | 2022-07-22 | 上海核工程研究设计院有限公司 | 一种高价值控制棒中子吸收体材料 |
| CN111132372B (zh) * | 2019-12-25 | 2022-01-11 | 广东电网有限责任公司 | 一种用于跳闸开关定位的系统及方法 |
| FR3108768B1 (fr) * | 2020-03-24 | 2022-04-01 | Electricite De France | Dispositif de contrôle d’une pluralité de réacteurs nucléaires par peloton |
| FR3108769B1 (fr) * | 2020-03-24 | 2022-04-01 | Electricite De France | Dispositif de contrôle d’une pluralité de réacteurs nucléaires |
| CN112016185A (zh) * | 2020-07-06 | 2020-12-01 | 中国核电工程有限公司 | 一种核电厂事故应对系统投运方式设计方法 |
| KR102325096B1 (ko) * | 2021-01-19 | 2021-11-11 | 주식회사 리얼게인 | 공학적 안전설비 작동 계통을 위한 광결합기 및 광결합기의 동작 방법 |
| US11862350B2 (en) * | 2021-01-22 | 2024-01-02 | Westinghouse Electric Company Llc | Nuclear movable element position indication apparatus, system, and method |
| US11914347B2 (en) * | 2021-02-12 | 2024-02-27 | Ge Infrastructure Technology Llc | Configurable industrial protection system |
| WO2022182727A1 (en) * | 2021-02-23 | 2022-09-01 | Phoenix Contact Development and Manufacturing, Inc. | Apl field switch with dynamic power allocation |
| US11421589B1 (en) | 2021-05-18 | 2022-08-23 | Nugen, Llc | Integrated system for converting nuclear energy into electrical, mechanical, and thermal energy |
| CN115237046A (zh) * | 2022-07-21 | 2022-10-25 | 中国核动力研究设计院 | 一种安注信号手动禁止方法、装置、终端及可读存储介质 |
| CN115898563A (zh) * | 2022-09-09 | 2023-04-04 | 中国核动力研究设计院 | 一种核电厂汽轮机跳闸信号生成方法和系统 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH10506476A (ja) * | 1995-07-14 | 1998-06-23 | ゼネラル・エレクトリック・カンパニイ | 原子炉保護系 |
| JPH1194987A (ja) * | 1997-09-19 | 1999-04-09 | Toshiba Corp | 原子力プラントの安全保護系制御装置 |
| US20110202163A1 (en) * | 2008-10-22 | 2011-08-18 | Kepco Engineering & Construction Company | Plant protection system and method using field programmable gate array |
| JP2014006694A (ja) * | 2012-06-25 | 2014-01-16 | Toshiba Corp | プラント安全装置 |
| JP2014145663A (ja) * | 2013-01-29 | 2014-08-14 | Toshiba Corp | 安全保護システムおよび制御装置 |
| WO2015112304A2 (en) * | 2013-12-31 | 2015-07-30 | Nuscale Power, Llc | Nuclear reactor protection systems and methods |
| US20160307655A1 (en) * | 2015-04-14 | 2016-10-20 | Alstom Technology Ltd | Nuclear instrumentation and control system |
Family Cites Families (91)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US3597939A (en) | 1969-06-25 | 1971-08-10 | Atomic Energy Commission | Control assembly for a nuclear reactor including an offset coupling |
| US4661310A (en) * | 1983-10-27 | 1987-04-28 | Westinghouse Electric Corp | Pulsed multichannel protection system with saturable core magnetic logic units |
| US4783307A (en) * | 1987-03-05 | 1988-11-08 | Commonwealth Edison Company | Reactor control system verification |
| JPS63290989A (ja) | 1987-05-22 | 1988-11-28 | Hitachi Ltd | 制御棒駆動機構 |
| CZ293613B6 (cs) | 1992-01-17 | 2004-06-16 | Westinghouse Electric Corporation | Způsob monitorování chodu zařízení pomocí CPU |
| WO1993018464A1 (en) * | 1992-03-09 | 1993-09-16 | Ronald John Youngs | Distributed processing system |
| JPH07174890A (ja) | 1993-12-17 | 1995-07-14 | Toshiba Corp | プラント制御装置 |
| US5621776A (en) | 1995-07-14 | 1997-04-15 | General Electric Company | Fault-tolerant reactor protection system |
| JPH0944203A (ja) | 1995-07-26 | 1997-02-14 | Hitachi Ltd | 冗長化制御システム |
| JP3567038B2 (ja) | 1995-12-27 | 2004-09-15 | 株式会社東芝 | 原子炉出力監視装置 |
| US5892440A (en) * | 1997-05-14 | 1999-04-06 | Combustion Engineering Inc. | Alarm significance mapping |
| JPH10104385A (ja) | 1996-10-01 | 1998-04-24 | Hitachi Ltd | プラント内伝送器の監視方法及びシステム |
| US6049578A (en) | 1997-06-06 | 2000-04-11 | Abb Combustion Engineering Nuclear Power, Inc. | Digital plant protection system |
| US6292523B1 (en) * | 1997-06-06 | 2001-09-18 | Westinghouse Electric Company Llc | Digital engineered safety features actuation system |
| US5984504A (en) * | 1997-06-11 | 1999-11-16 | Westinghouse Electric Company Llc | Safety or protection system employing reflective memory and/or diverse processors and communications |
| US5820475A (en) | 1997-10-30 | 1998-10-13 | Luna; Antonio A. | Compact golf ball teeing machine |
| CN1145975C (zh) | 1998-02-19 | 2004-04-14 | Abb燃烧工程核力公司 | 泵选择逻辑 |
| EP1157324A4 (en) | 1998-12-18 | 2009-06-17 | Triconex Corp | PROCESS AND DEVICE FOR PROCESSING CONTROL USING A MULTIPLE REDUNDANT PROCESS CONTROL SYSTEM |
| WO2000038040A1 (en) | 1998-12-23 | 2000-06-29 | Triconex Corporation | Cause effect diagram program maintenance development and test system |
| CN1144236C (zh) * | 1999-08-19 | 2004-03-31 | 东芝株式会社 | 控制棒操作监控系统的试验方法及试验装置 |
| US7328189B2 (en) | 2000-01-26 | 2008-02-05 | Paybyclick Corporation | Method and apparatus for conducting electronic commerce transactions using electronic tokens |
| US6532550B1 (en) | 2000-02-10 | 2003-03-11 | Westinghouse Electric Company Llc | Process protection system |
| US8121941B2 (en) | 2000-03-07 | 2012-02-21 | American Express Travel Related Services Company, Inc. | System and method for automatic reconciliation of transaction account spend |
| CN1119819C (zh) * | 2000-11-10 | 2003-08-27 | 清华大学 | 基于硬件和软件并行处理的反应堆数字化保护系统 |
| US6418178B1 (en) | 2001-04-16 | 2002-07-09 | General Electric Company | Control rod coupling assembly for a nuclear reactor |
| US20030149576A1 (en) | 2001-04-19 | 2003-08-07 | Sunyich Steven L. | Personalized smart room |
| KR100408493B1 (ko) | 2001-05-07 | 2003-12-06 | 한국전력기술 주식회사 | 소프트웨어 공통유형고장을 자체 배제한 디지털원자로 보호시스템 및 그 제어방법 |
| US7330768B2 (en) * | 2003-01-28 | 2008-02-12 | Fisher-Rosemount Systems, Inc. | Integrated configuration in a process plant having a process control system and a safety system |
| US7102343B1 (en) | 2003-03-31 | 2006-09-05 | Invensys Systems, Inc. | Methods and systems having multiple cooperating transformers |
| KR100970073B1 (ko) * | 2004-08-24 | 2010-07-16 | 샤프 가부시키가이샤 | 표시 시스템 |
| CN1755660B (zh) * | 2004-09-28 | 2010-09-29 | 惠普开发有限公司 | 冗余处理器中的诊断存储器转储方法 |
| JP4568143B2 (ja) * | 2005-02-28 | 2010-10-27 | 株式会社東芝 | 安全系装置の検証方法およびその検証方法で検証された安全系装置 |
| JP4772396B2 (ja) * | 2005-06-24 | 2011-09-14 | 株式会社東芝 | 原子炉の出力領域モニタシステム |
| US7558292B2 (en) | 2005-08-19 | 2009-07-07 | Invensys Systems, Inc. | Redundant time synchronization |
| US7840285B2 (en) | 2005-10-28 | 2010-11-23 | Invensys Systems, Inc. | Sequence of events recorder facility for an industrial process control environment |
| US8284208B2 (en) * | 2006-05-24 | 2012-10-09 | General Electric Company | Processes and apparatus for information transfer |
| KR100848881B1 (ko) | 2006-08-07 | 2008-07-29 | 삼창기업 주식회사 | 디지털 원자로 보호 시스템 |
| CN100999065A (zh) * | 2006-11-06 | 2007-07-18 | 中铝西南铝板带有限公司 | 具有冗余功能的轧辊磨床数控系统 |
| US8009032B2 (en) * | 2006-11-21 | 2011-08-30 | Gilbarco Inc. | Remote display tamper detection using data integrity operations |
| US7894599B2 (en) * | 2006-12-04 | 2011-02-22 | International Business Machines Corporation | Enhanced data security with redundant inclusive data encryption segments |
| CN100481798C (zh) * | 2006-12-20 | 2009-04-22 | 江苏万工科技集团有限公司 | 纺织设备管理网络系统 |
| GB0704753D0 (en) | 2007-03-13 | 2007-04-18 | Airbus Uk Ltd | Preparation of a component for use in a joint |
| JP5057837B2 (ja) * | 2007-04-26 | 2012-10-24 | 株式会社東芝 | 冗長化システムおよび冗長化システムの製造方法 |
| CN100491710C (zh) * | 2007-04-30 | 2009-05-27 | 哈尔滨工程大学 | 柴油机多功能机旁控制装置及控制方法 |
| KR20090000054U (ko) | 2007-06-28 | 2009-01-07 | 건아정보기술 주식회사 | 노후경유차량 단속운영시스템 |
| KR100926013B1 (ko) * | 2007-08-31 | 2009-11-11 | 두산중공업 주식회사 | 현장기기연계모듈 |
| KR100931136B1 (ko) | 2007-11-27 | 2009-12-10 | 한국원자력연구원 | 삼중화된 bp와 cp 및 2/3 논리의 개시회로 구조를 갖는디지털 원자로 보호계통 및 그 구동 방법 |
| US8117512B2 (en) | 2008-02-06 | 2012-02-14 | Westinghouse Electric Company Llc | Failure detection and mitigation in logic circuits |
| US7870299B1 (en) | 2008-02-06 | 2011-01-11 | Westinghouse Electric Co Llc | Advanced logic system |
| JP2010249559A (ja) | 2009-04-13 | 2010-11-04 | Toshiba Corp | デジタル安全保護系システム |
| US8498359B2 (en) * | 2009-06-05 | 2013-07-30 | Broadcom Corporation | Transmission acknowledgment within multiple user, multiple access, and/or MIMO wireless communications |
| CN101615211B (zh) * | 2009-08-04 | 2012-10-17 | 复旦大学 | 商用现场可编程器件用于辐照环境下三模冗余抗辐照方法 |
| CN102023957B (zh) * | 2009-09-18 | 2012-10-17 | 联芯科技有限公司 | Usb接口模拟多串口传输数据的方法及usb复合设备 |
| WO2011085314A1 (en) | 2010-01-08 | 2011-07-14 | Gallagher Kevin N | Guest check presenter having a wireless communication device |
| US20110178863A1 (en) | 2010-01-19 | 2011-07-21 | Daigle Mark R | Location based consumer interface for retail environment |
| US8730004B2 (en) | 2010-01-29 | 2014-05-20 | Assa Abloy Hospitality, Inc. | Method and system for permitting remote check-in and coordinating access control |
| US20110302504A1 (en) | 2010-06-08 | 2011-12-08 | Santosh Khare | Mobile Application for Proximity Based Awareness System |
| CA2707373A1 (en) * | 2010-06-14 | 2011-12-14 | Ievgenii Bakhmach | Platform and method to implement safety critical instrumentation and control (i&c) functions |
| US20110313580A1 (en) * | 2010-06-17 | 2011-12-22 | Levgenii Bakhmach | Method and platform to implement safety critical systems |
| US8331855B2 (en) | 2010-07-12 | 2012-12-11 | Invensys Systems, Inc. | Methods and apparatus for process control with improved communication links |
| US9095002B2 (en) | 2010-07-12 | 2015-07-28 | Invensys Systems, Inc. | Methods and apparatus for process control with improved communication links |
| JP5675208B2 (ja) * | 2010-08-06 | 2015-02-25 | 三菱重工業株式会社 | 原子力施設の制御システム |
| CN101968974B (zh) * | 2010-08-09 | 2013-01-02 | 中广核工程有限公司 | 一种核电站反应堆保护系统 |
| KR101022606B1 (ko) | 2010-09-28 | 2011-03-16 | (주) 코아네트 | 원자력 발전소의 디지털 신호 전자제어 처리를 위한 장치 및 방법 |
| US9268367B2 (en) * | 2010-10-13 | 2016-02-23 | Microsoft Technology Licensing, Llc | Use of low-power display on device |
| US8565735B2 (en) | 2010-10-29 | 2013-10-22 | Jeffrey L. Wohlwend | System and method for supporting mobile unit connectivity to venue specific servers |
| CN102157213B (zh) * | 2010-12-10 | 2013-10-16 | 中国广东核电集团有限公司 | 一种核电机组数字化总体运行程序的进入方法及系统 |
| US8498900B1 (en) | 2011-07-25 | 2013-07-30 | Dash Software, LLC | Bar or restaurant check-in and payment systems and methods of their operation |
| DE102011108802B4 (de) | 2011-07-29 | 2013-02-21 | Areva Np Gmbh | Verbindung zwischen Steuerstabführungsrohr und Antriebsgehäuserohr eines Kernreaktors |
| CN102298980B (zh) * | 2011-08-17 | 2015-02-25 | 岭东核电有限公司 | 百万千瓦级数字化核电站反应堆保护退出的方法 |
| KR101244015B1 (ko) | 2011-09-09 | 2013-03-15 | 한국수력원자력 주식회사 | 독립적 다중화 구조를 갖는 통합원전안전계통 및 구성 방법 |
| CN102426863B (zh) | 2011-10-31 | 2015-12-16 | 中广核工程有限公司 | 核电站反应堆停堆信号传输系统和方法 |
| CN102411361A (zh) * | 2011-12-12 | 2012-04-11 | 中国水电顾问集团华东勘测设计研究院 | 一种工程安全自动化设备采集控制系统 |
| JP5583153B2 (ja) * | 2012-01-26 | 2014-09-03 | 株式会社東芝 | 液面レベル検知装置及び方法 |
| CN102525470A (zh) * | 2012-02-10 | 2012-07-04 | 北京汇影互联科技有限公司 | 一种基于cPCI的磁共振成像系统的谱仪和磁共振成像系统 |
| CN202453705U (zh) * | 2012-02-13 | 2012-09-26 | 南京埃斯顿自动化股份有限公司 | 一种适用于锻压类机床的安全控制模块 |
| US9031892B2 (en) | 2012-04-19 | 2015-05-12 | Invensys Systems, Inc. | Real time safety management system and method |
| US20130304578A1 (en) | 2012-05-08 | 2013-11-14 | 24/7 Customer, Inc. | Method and apparatus for enhanced in-store retail experience using location awareness |
| US20130315362A1 (en) * | 2012-05-25 | 2013-11-28 | Institute Of Nuclear Energy Research Atomic Energy Council, Executive Yuan | Nuclear digital instrumentation and control system |
| US9496057B2 (en) | 2012-08-06 | 2016-11-15 | Smr Inventec, Llc | Fail-safe control rod drive system for nuclear reactor |
| CN104091558B (zh) * | 2013-04-01 | 2017-03-01 | 香港理工大学 | Led显示面板的驱动方法及系统 |
| CN103400623A (zh) * | 2013-07-30 | 2013-11-20 | 中广核工程有限公司 | 核电站数字化仪控多样性保护方法和系统 |
| CN104347131A (zh) * | 2013-08-01 | 2015-02-11 | 中广核工程有限公司 | 核电站驱动指令执行方法和系统 |
| JP6139341B2 (ja) * | 2013-09-04 | 2017-05-31 | 三菱電機株式会社 | 安全系表示システム |
| EP2988420B1 (en) * | 2014-08-20 | 2021-03-10 | Framatome | Circuit arrangement for a safety i&c system |
| CN104408312B (zh) * | 2014-11-27 | 2017-12-05 | 北京广利核系统工程有限公司 | 一种核电站系统误动率计算方法 |
| CN204965751U (zh) * | 2015-09-08 | 2016-01-13 | 苏州市世跃智能科技有限公司 | 一种卡口式电子警察系统 |
| CN105575448B (zh) * | 2015-12-15 | 2017-10-31 | 中广核工程有限公司 | 核电站反应堆保护系统及其中的安全控制方法 |
| JP2020514700A (ja) | 2016-12-30 | 2020-05-21 | ニュースケール パワー エルエルシー | 原子炉保護システム及び方法 |
| FR3063855B1 (fr) | 2017-03-08 | 2019-04-12 | Areva Np | Circuit logique programmable de commande d'une installation electrique, en particulier une installation nucleaire, dispositif et procede de commande associes |
| CN109547066B (zh) * | 2018-11-02 | 2021-08-06 | 中国电子科技集团公司第二十八研究所 | 一种基于fpga的专线通信分路控制实现方法及控制系统 |
-
2018
- 2018-01-02 JP JP2019532799A patent/JP2020514700A/ja active Pending
- 2018-01-02 US US15/860,434 patent/US11069450B2/en active Active
- 2018-01-02 KR KR1020237009921A patent/KR102642462B1/ko active IP Right Grant
- 2018-01-02 PL PL18726248.0T patent/PL3563391T3/pl unknown
- 2018-01-02 EP EP18726248.0A patent/EP3563391B1/en active Active
- 2018-01-02 CN CN201880005583.3A patent/CN110366760B/zh active Active
- 2018-01-02 KR KR1020197022520A patent/KR102514568B1/ko active IP Right Grant
- 2018-01-02 CA CA3047135A patent/CA3047135A1/en active Pending
- 2018-01-02 KR KR1020247006458A patent/KR20240033106A/ko active Application Filing
- 2018-01-02 WO PCT/US2018/012089 patent/WO2018144173A1/en unknown
-
2021
- 2021-03-01 US US17/189,038 patent/US11961625B2/en active Active
-
2022
- 2022-07-13 JP JP2022112351A patent/JP2022160445A/ja active Pending
-
2023
- 2023-11-22 US US18/518,408 patent/US20240087761A1/en active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH10506476A (ja) * | 1995-07-14 | 1998-06-23 | ゼネラル・エレクトリック・カンパニイ | 原子炉保護系 |
| JPH1194987A (ja) * | 1997-09-19 | 1999-04-09 | Toshiba Corp | 原子力プラントの安全保護系制御装置 |
| US20110202163A1 (en) * | 2008-10-22 | 2011-08-18 | Kepco Engineering & Construction Company | Plant protection system and method using field programmable gate array |
| JP2014006694A (ja) * | 2012-06-25 | 2014-01-16 | Toshiba Corp | プラント安全装置 |
| JP2014145663A (ja) * | 2013-01-29 | 2014-08-14 | Toshiba Corp | 安全保護システムおよび制御装置 |
| WO2015112304A2 (en) * | 2013-12-31 | 2015-07-30 | Nuscale Power, Llc | Nuclear reactor protection systems and methods |
| US20160307655A1 (en) * | 2015-04-14 | 2016-10-20 | Alstom Technology Ltd | Nuclear instrumentation and control system |
Also Published As
| Publication number | Publication date |
|---|---|
| CA3047135A1 (en) | 2018-08-09 |
| KR102514568B1 (ko) | 2023-03-27 |
| JP2020514700A (ja) | 2020-05-21 |
| WO2018144173A9 (en) | 2018-09-13 |
| KR20190109428A (ko) | 2019-09-25 |
| WO2018144173A1 (en) | 2018-08-09 |
| EP3563391B1 (en) | 2023-07-05 |
| PL3563391T3 (pl) | 2024-01-03 |
| US20210287813A1 (en) | 2021-09-16 |
| US20240087761A1 (en) | 2024-03-14 |
| KR20240033106A (ko) | 2024-03-12 |
| CN110366760A (zh) | 2019-10-22 |
| US11069450B2 (en) | 2021-07-20 |
| US11961625B2 (en) | 2024-04-16 |
| US20180190395A1 (en) | 2018-07-05 |
| KR102642462B1 (ko) | 2024-03-04 |
| KR20230045101A (ko) | 2023-04-04 |
| CN110366760B (zh) | 2024-05-07 |
| EP3563391A1 (en) | 2019-11-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP2022160445A (ja) | 原子炉保護システム | |
| JP7203154B2 (ja) | 原子炉保護システムとこれを動作させる方法 | |
| KR100931136B1 (ko) | 삼중화된 bp와 cp 및 2/3 논리의 개시회로 구조를 갖는디지털 원자로 보호계통 및 그 구동 방법 | |
| KR100788826B1 (ko) | 디지털 원자로 보호계통 및 디지털 원자로 보호계통의 시험 방법 | |
| CN107484430A (zh) | 一种用于核电厂的安全系统及其操作方法 | |
| KR100875467B1 (ko) | 독립적 이중화 구조 리던던시를 갖는 디지털 원자로보호계통 및 그 방법 | |
| JP2024069204A (ja) | 原子炉保護システム及び方法 | |
| Shin et al. | DIVERSITY AND DEFENSE-IN-DEPTH ANALYSIS FOR I&C SYSTEMS OF RESEARCH REACTORS: A CASE STUDY ON TWO RESEARCH REACTORS | |
| Cook et al. | LI Reclassification | |
| Jang et al. | System design strategies of post-accident monitoring system for a PGSFR in Korea |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20220810 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20220810 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20230320 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20230328 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20230626 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20230731 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20231017 |
|
| A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A711 Effective date: 20231213 |