JPH10506476A - 原子炉保護系 - Google Patents

原子炉保護系

Info

Publication number
JPH10506476A
JPH10506476A JP9506735A JP50673596A JPH10506476A JP H10506476 A JPH10506476 A JP H10506476A JP 9506735 A JP9506735 A JP 9506735A JP 50673596 A JP50673596 A JP 50673596A JP H10506476 A JPH10506476 A JP H10506476A
Authority
JP
Japan
Prior art keywords
electronic devices
divisions
sensor
sensor readings
scrum
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP9506735A
Other languages
English (en)
Inventor
ゴウバツ,ドナルド・チェスター
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
General Electric Co
Original Assignee
General Electric Co
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Family has litigation
First worldwide family litigation filed litigation Critical https://patents.darts-ip.com/?family=27054121&utm_source=google_patent&utm_medium=platform_link&utm_campaign=public_patent_search&patent=JPH10506476(A) "Global patent litigation dataset” by Darts-ip is licensed under a Creative Commons Attribution 4.0 International License.
Priority claimed from US08/502,337 external-priority patent/US5586156A/en
Priority claimed from US08/502,411 external-priority patent/US5621776A/en
Application filed by General Electric Co filed Critical General Electric Co
Publication of JPH10506476A publication Critical patent/JPH10506476A/ja
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G21NUCLEAR PHYSICS; NUCLEAR ENGINEERING
    • G21DNUCLEAR POWER PLANT
    • G21D3/00Control of nuclear power plant
    • G21D3/001Computer implemented control
    • GPHYSICS
    • G21NUCLEAR PHYSICS; NUCLEAR ENGINEERING
    • G21DNUCLEAR POWER PLANT
    • G21D3/00Control of nuclear power plant
    • G21D3/04Safety arrangements
    • GPHYSICS
    • G21NUCLEAR PHYSICS; NUCLEAR ENGINEERING
    • G21CNUCLEAR REACTORS
    • G21C17/00Monitoring; Testing ; Maintaining
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02EREDUCTION OF GREENHOUSE GAS [GHG] EMISSIONS, RELATED TO ENERGY GENERATION, TRANSMISSION OR DISTRIBUTION
    • Y02E30/00Energy generation of nuclear origin
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02EREDUCTION OF GREENHOUSE GAS [GHG] EMISSIONS, RELATED TO ENERGY GENERATION, TRANSMISSION OR DISTRIBUTION
    • Y02E30/00Energy generation of nuclear origin
    • Y02E30/30Nuclear fission reactors

Abstract

(57)【要約】 原子炉保護系は4つの部門を有し、各スクラム・パラメータに対する4つの冗長センサが4つの独立なマイクロプロセッサをベースとした電子装置に入力を供給する。各電子装置は、それ自身のセンサからスクラム・パラメータ・データを取得し、情報をディジタル化した後、光ファイバを介して他の3つのRPS電子装置にセンサ読取り値を送信する。系のアベイラビリティを増大し且つ誤信号スクラムを低減するために、原子炉保護系は原子炉スクラムの必要性に対して2レベルの票決を用いる。電子装置は、ソフトウェア分割データ処理を遂行し、全ての4つのセンサからの情報に基づき予備を入れて2/3票決を行い、部門スクラム信号をハードウェア論理パネルに送る。ハードウェア論理パネルは、原子炉スクラムを開始すべきか否かに対して2/4部門票決を遂行する。各電子装置は、全てのセンサからのデータに基づいて部門スクラム判定を行う。各部門は他の部門とは独立に遂行する(非同期動作)。部門相互間の全ての通信は非同期である。他の電子装置の1つからのセンサ読取り値が不完全であるか又は欠けている場合には、2/3票決の際に電子装置はそれ自身の予備のセンサ読取り値に置き換える。センサの読取り値の相互通信により、4つの理論的に「同じ」値を比較することができる。出力リレー論理を介したセンサ入力の自動化された自己試験および診断監視により、手動の監視試験は事実上不要になる。

Description

【発明の詳細な説明】 原子炉保護系 エネルギー省により裁定された契約番号DE−AC03−89SF17445 により、米国政府は本発明に対する権利を有する。 発明の分野 本発明は一般に、系の過渡状態または機能不全の際に系を停止し、系を安全な 状態に維持するための保護系に関するものである。特に本発明は、主として過熱 によって生じる核燃料炉心の破損または公衆を危険に陥れる放射線の放出を引き 起こすような系の過渡現象または機能不全の際に原子炉を停止して原子炉を安全 な状態に維持するための保護系に関するものである。 発明の背景 需要が変化したとき安全な運転状態を維持するように、従来の原子炉制御系は 手動および自動の制御器をそなえている。いくつかの制御系が、与えられた需要 信号に応動して原子炉の運転を制御する。炉心の制御のため、コンピュータプロ グラムを使用して炉心の熱特性および流体圧特性を解析する。解析は、解析的お よび経験的な過渡事象および事故事象から、そして原子炉物理および熱流体圧原 理から選択された核データに基づく。異常な過渡事象の際には、原子炉運転員は 通常、状況の診断を行い、適用可能な訓練、経験および判断に基づいて是正動作 を行うことができる。手動の是正動作が充分であるか又は充分に高速であるか否 かは、事象により、そして運転員の知識および訓練によって左右される。事象が 重大な場合には(すなわち、原子炉の安全限界のいずれかを超えるような場合に は)、原子炉トリップ(原子炉停止、スクラムまたは全制御棒挿入とも呼ばれる )が必要になることがある。過渡的な事象には急速に生じるもの、すなわち運転 員の能力よりも速く生じるものがあり、このような事象では、原子炉トリップが 自動的に行われる。 従来の原子炉保護系には、多チャネル電気警報作動系が含まれている。多チャ ネル電気警報作動系は、原子炉の運転を監視し、異常な事象の検知時に危険また は危険可能性のある状態を防止するための動作を開始する。従来の保護系は次の 3つの機能、すなわち(1)ある特定の監視しているパラメータが限界を超えた ときに原子炉を停止する原子炉停止、(2)原子炉容器と格納障壁の内部に入り 込む全ての接続とを隔離する原子炉系隔離、および(3)冷却系および残留熱除 去系のような従来の緊急系を作動させる工学的安全施設作動を行う。 原子炉保護系の必須の要件は、必要なときに故障しないということである。し たがって、運転員が原子炉の運転の異常な過渡現象の原因を敏速かつ正確に識別 して、敏速に是正動作または軽減動作を行わなければ、従来の原子炉保護系は自 動的に原子炉トリップを行う。しかし、原子炉トリップが望ましくないか又は不 要であるときには原子炉トリップが避けられることも必須である。すなわち、計 測に誤りがあるとき、機能不全が充分小さくて原子炉トリップが不要であるとき 、または1つの停止機能が故障したときには、次の停止機能を遂行すると危険で あれば、原子炉保護系は次の停止機能を遂行してはならない。 発明の概要 本発明は4つの部門(division)を有する原子炉保護系(RPS)で あり、各スクラム・パラメータに対して4つの冗長センサが4つの独立のマイク ロプロセッサをベースとした電子装置に入力を供給する、各電子装置は、それ自 身のセンサからスクラム・パラメータ・データを取得し、情報をディジタル化し 、次いで光ファイバを介して他の3つのRPS電子装置にセンサ読み取り値を送 信する。系のアベイラビリティを増大し且つ誤信号スクラムを低減するために、 RPSは原子炉スクラムの必要性に対して2レベルの票決(voting)を用 いる。電子装置は、ソフトウェア部門データ処理を遂行し、全ての4つのセンサ からの情報に基づいて予備を入れて2/3票決を行い、部門スクラム信号をハー ドウェア論理パネルに送る。ハードウェア論理パネルは、原子炉スクラムを開始 すべきか否かに対して2/4(すなわち4分の2)部門票決を遂行する。各電子 装置は、全てのセンサからのデータに基づいて部門スクラム判定を行う。各RP S部門は他のRPS部門とは独立に遂行する(非同期動作)。部門相互間の全て の通信は非同期である。 原子炉保護系の論理は、故障許容、信頼度向上、アベイラビリティ増大および 分離の改善を行うように設計される。この保護系の特徴は、1つのセンサが故障 しても、保護のレベルを下げることがなく、また誤った原子炉トリップの可能性 を増大することがないという能力を含む。本発明に従った設計では、手動のバイ パスが不要となり、運転員による操作が事実上不要となり、カスタム設計部品を 用いずに故障許容が得られる。 RPSは、そのほとんど全ての構成要素の多重故障に耐えるように設計される 。その論理は、下記のような主要な性能増強特性を有する。 第1に、センサ読取り値の交換および各部門内での多重センサ票決機能により 、スクラムの高い信頼度が得られる。これは、全てのセンサおよびそれらのデー タが良好であって故障センサの限界の外側にないと仮定して、原子炉にスクラム 条件が存在し、これをいずれか3つのセンサでピックアップする場合を考えるこ とにより、理解することができる。この場合、RPSは4つの全ての部門でスク ラム信号を発生するので、非常に信頼度の高い原子炉スクラム構成が得られる。 従来のほとんどの保護系は3つの部門でスクラム信号を発生するだけである。ス クラムを指示する良好なセンサとまさに軽度に故障した故障センサが含まれるス クラムシナリオに対してもスクラム信頼度は高い。このようなシナリオの場合、 RPSは良好なセンサに基づいてスクラム信号を発生し、軽度に故障したセンサ により禁止されないからである。 第2に、各部門内での多重センサ票決により、センサの機能不全によるスプリ アス・スクラムに対する識別が行われる。したがって、1つのスクラム変数のセ ンサが1つの部門でスクラムを間違って指示し、第2の変数のセンサが他の1つ の部門でスクラムを間違って指示した場合、RPSは間違った読取り値を票決で 除外して、スクラム信号を発生しない。 第3に、故障したセンサに対する自動検出および識別により、RPSはこのよ うな故障が生じたときに既知の状態に自動的に入ることができる。センサの故障 が高度であるか軽度であるか否か、あるいは運転員が正しい手動バイパス操作を 行ったか否かについての不確かさは無い。 第4に、センサの読取り値の相互通信により、4つの理論的に「同じ」値を比 較することができる。これにより、ドリフトまたは機能不全のようなセンサ誤差 を識別することができる。誤ったセンサ・データに対して、診断サービス要求が 発せられる。 第5に、出力リレー論理を介したセンサ入力を自動自己試験および診断監視す ることにより、手動の監視試験は事実上不要になる。これにより、各部門が全て の部門を相互チェックし且つハードウェア論理の故障を検知する能力が得られる 。 図面の簡単な説明 図1は、本発明による原子炉保護系のブロック図である。 図2は、液体金属原子炉に適用した場合の本発明の好適実施例による原子炉保 護系と運転員インタフェースを示す概略ブロック図である。 図3は、本発明の好適実施例による原子炉保護系の一部門に対する論理のブロ ック図である。 図4は、本発明の好適実施例による原子炉保護系のセンサ位置を示す概略図で ある。 図5は、本発明の好適実施例による代表的な2アウトオブ4電流遮断スイッチ ング・ハードウェア構成内のスイッチ接点の物理的配置を示す回路図である。 図6は、本発明の好適実施例による1つの部門に対するRPSトリップ論理の フローチャートである。 図7Aは、電流遮断ハードウェア論理に対するスイッチ接点の電気等価回路を 示す回路図である。 図7Bは、図7Aに示されたハードウェア論理の診断試験のためのCPUへの センサ出力データの入力を示すブロック図である。 図7Cは、図7Aに示されたハードウェア論理に組み込まれる電流センサの回 路図である。 図8Aは、電圧印加ハードウェア論理に対するスイッチ接点の電気等価回路を 示す回路図である。 図8Bは、図8Aに示されたハードウェア論理に組み込まれる電圧センサの回 路図である。 図9は、本発明によるRPS計測電子装置に対する代表的な電力分布を示す単 線接続図である。 図10は、本発明による原子炉保護系の構成要素論理のブロック図である。 図11は、本発明の原子炉保護系とともに使用される熱式停止系のブロック図 である。 図12は、液体金属原子炉に適用したときの本発明の好適実施例による原子炉 保護系の入力および出力を示すブロック図である。 図13は、種々のパラメータがそれぞれの閾値を超えたとき原子炉保護系の応 答を示すフローチャートである。 好適実施例の詳細な説明 本発明の原子炉保護系を、典型的な原子炉(すなわち、液体金属冷却増殖炉) に適用した場合について以下詳細に説明する。しかし、その概念は増殖炉に限定 されず、軽水炉、ガス冷却炉等にも適用できる。本発明はまた、重要なパラメー タを監視して安全動作を開始する任意のプロセスまたは系とともに用いることが できる高信頼性で故障許容の安全系も提供する。 図1に示すように、本発明による原子炉保護系(RPS)は4つの部門で構成 される系であり、各スクラム(安全停止または「トリップ」とも呼ばれる)パラ メータに対する4つの冗長センサ2が4つの独立なマイクロプロセッサをベース とした電子装置4に入力を供給する。電子装置は4つの全てのセンサからの情報 に基づいてソフトウェア部門データ処理を行い、部門スクラム信号をハードウエ ア論理6へ送る。系のアベイラビリティを増大し且つ誤信号スクラムを低減する ために、RPSは原子炉スクラムの必要性について2つのレベルの票決を用いる 。すなわち、検知されたデータからスクラムの必要性について予備付きソフトウ ェア2/3票決を行い、その後でスクラム指令の実行について2/4部門ハード ウェア論理票決を行う。 各RPS部門はそれ自身のセンサからスクラム・パラメータ・データを取得し 、その情報をディジタル化し、次いでセンサ読取り値を他の3つのRPS部門に 送る。各電子装置4は専用の光ファイバ8を介して他の3つの電子装置に結合さ れているので、各電子装置は全てのセンサからのデータを見て、それらのデータ に基づいて部門スクラム判定を行う。各部門はそれ自身のデータを「予備」とし て保持しながら、他の3つの部門からのデータを評価する(たとえば、部門Aは 部 門B、CおよびDからのデータを処理する)。たとえば、部門Aは部門B、Cお よびDからのデータを評価してスクラムについて2/3票決を行い、部門Bは部 門A、CおよびDのデータを評価してスクラムについて2/3票決を行い、部門 Cは部門A、BおよびDのデータを評価してスクラムについて2/3票決を行い 、部門Dは部門A、BおよびCのデータを評価してスクラムについて2/3票決 を行う。 データが有効でないか又は他のいずれかの部門から来ていない場合には、処理 している部門は自動的にそれ自身のセンサ読取り値に置き換える。各部門により スクラムの必要性について2/3のソフトウェア票決が行われる。スクラムが要 求された場合には、各部門はそれ自身の2/4ハードウェア論理リレーにスクラ ム指令を出力する。データ交換のための部門相互間の全ての相互通信が万一失敗 した場合には、各部門は独立にそれ自身のセンサ読取り値に基づいてスクラムの 必要性の評価を行う。ハードウェア論理は、スクラム・シーケンスが開始される 前に、2/4の部門(4部門の内の2部門)がスクラムを要求し続けていること を必要とする。この失敗モード(相互通信無し)は、RPSが従来の四重冗長保 護系と同様に動作しているということを意味する。 他の部門からのデータが有効で無かったり欠けている場合に部門自身のセンサ データが自動的に置き換えられるということは、部門の試験、校正、点検整備、 保守、修理または交換のためにバイパスが必要とされることはないということを 意味する。 1つの部門が「オフライン」であるとき、その部門により「フェイルセイフ」 スクラム指令が2/4ハードウェア論理へ発せられる(従来の保護系の「半スク ラム」状態)。しかし、本発明のRPSでは、スクラム指令をハードウェア論理 へ送出する前に、各々の動作している部門のソフトウェア論理によって2/3の センサ読取り値がスクラムの必要性を示していることが要求されることにより、 「半スクラム」が不注意によるスクラム操作から防護される。 スクラムのためにRPSが使用する原子炉パラメータは、中性子束、炉心の入 口温度と出口温度、(炉心入口のナトリウムおよびカバーガス圧力センサから計 算された)一次流量、および原子炉内のナトリウム・レベルである。更にRPS スクラム・パラメータには、二次ナトリウム(中間ループ)圧力、および格納容 器の放射線レベルと圧力が含まれる。(過渡的な過出力、一次流の喪失、IHX 破裂、容器漏れ、蒸気発生器のナトリウム−水反応からの二次流の過圧力のよう な)スクラムを要求する全ての設計基準事象がこれらのパラメータの偏りにより 検知される。 中性子束は、原子炉の底部A(図4参照)で導管内に配置されたモニタによっ て測定される。炉心の入口温度は、各ポンプCの吐き出しプレナムの中に配置さ れた熱電対によって測定される。炉心の出口温度は、単一集合体Dの出口温度で はなく混合された平均出口温度を得るように炉心より約5フィート上に配置され た熱電対により測定される。一次流量は、各ポンプCの吐き出しプレナム内およ びカバーガス領域E内に配置された圧力センサによる測定値から導き出される。 一次ナトリウムレベルは、原子炉Gの内側の従来のレベル・センサによって測定 される。二次ナトリウム圧力は、原子炉の外側であるが、IHTS弁Fに近接し た二次パイプ内の圧力センサによって測定される。点検整備と交換を容易にする ため、全てのセンサは計器指頭または導管の中に配置される。各RPSトリップ ・パラメータに対して、四重冗長度が維持される。 各RPSセンサの大体の位置が図4に示されている。これらのセンサは次の通 りである。すなわち、(A)中性子束、(B)(原子炉容器101と格納容器1 05との間の空間への)ナトリウムの漏れ、(C)炉心入口温度、EMポンプ圧 力、TSSポンプ圧力、(D)炉心出口温度、(E)カバーガス圧力、(F)I HTS圧力、(G)ナトリウム・レベル(レベル・プローブ134)、(H)キ ャリッジ底部スイッチ、(I)制御棒停止位置、(J)キャリッジ位置、(K) 上側格納容器放射線、(L)CVIS流出液放射線、(M)RVACS出口温度 、(N)RVACS質量流、(O)RVACS流出液放射線、(P)周囲空気温 度、および(Q)格納容器圧力である。容器内センサおよびアクチュエータに対 する全ての貫通部は原子炉頭部に設けられる。原子炉容器の壁には貫通部は無い 。センサおよびアクチュエータのケーブルは、RPSボールト(vault)内 に配置されたRPS電子装置へドーム状格納容器内の貫通部を介して出てくる。 原子炉または格納容器には、RPS電子装置は無い。 パラメータの直接測定に基づくスクラム作用に加えて、RPSはまたこれらの データをスクラム作用のための基礎としての計算(比率、変化速度、事象計数、 相関、事象間の時間、レベル、パーセント等)にも使用する。 RPSは人間の介在の必要性を最少限にするために次の3つの異なる自動運転 モード、すなわち(1)原子炉を停止して運転してない「停止/保守」モード、 (2)正規の原子炉運転を行う「始動/運転」モード、および(3)原子炉の緊 急停止を行う「スクラム」を有する。 人間の誤りを最少限にして安全性を増大するために、各運転モードでは、RP Sへの運転員入力が充分に規定され、限定されている。停止/保守モードでは、 原子炉の正規保守、燃料交換、試験および校正の活動を行うことができる。RP Sは運転員の要求に応動して、必要な保守活動が行えるようにする。RPSは、 原子炉の出力運転に至り得る活動は許さない。原子炉の出力運転が望ましいとき は、運転員が始動/運転モードへのモード変更を要求しなければならない。 始動/運転モードへの変更のための運転員が入力した要求に応動して、RPS はまずそれ自身、全ての監視されるパラメータおよびそれ自身の動作が公称のも のであることを満たす。RPS始動チェックの一部には、(設定値を含む)全て のRPSソフトウェアと、制御室の原子炉運転員によって独立に保守される第5 のソフトウェアとの比較が含まれる。この比較はプラント制御系(PCS)によ って行われ、RPSは正の応答を待った後、モード変更を続行する。1ビットの 誤りでもあれば、不一致が解消されるまで、RPSは始動/運転モードへ遷移し ない。次に、RPSは原子炉の始動と運転を容易にする。始動/運転モードでは 、RPSだけが2つの運転員入力要求、すなわちスクラム要求または停止/保守 モードへの戻り要求に応動する。スクラム要求により、RPSはそれの現在のデ ータ処理等を中断し、ただちに原子炉のスクラム・シーケンスを開始する。停止 /保守モードへの戻り要求が実行されるのは、停止や燃料交換や保守などのため に制御素子がそれらの全挿入位置(原子炉最小出力)に置かれた場合だけである 。制御素子を全挿入できない場合には、保護系がスクラム・シーケンスを開始し て原子炉を停止させるように、スクラム要求を発しなければならない。 RPSが自動的にスクラム・シーケンスを実行する場合、または運転員の入力 要求に応動して、RPSはスクラム・モードに入る。このモードでは、原子炉が 完全に停止させられ、たぶん冷却する。スクラム・モードからの唯一の回復は、 停止/保守モードへ戻すための手動入力要求である。これは「安全系を正規状態 に戻すための運転員の故意の操作」の必要条件を満たし、スクラムからの回復を 開始する。 停止/保守モードから始動/運転モードへの、そして始動/運転モードから停 止/保守モードへの正規の遷移が行われる。原子炉トリップの際には、RPSは 自動的にスクラム・モードに入る。スクラム・モードでは、認識される唯一の要 求は、スクラム後解析、試験、修理(必要な場合)、燃料交換等のための停止/ 保守モードへ変更するための手動入力の要求である。RPSが停止/保守モード から始動/運転モードへ変更するための運転員入力要求を尊重して、始動のため 制御棒へのPCSアクセスを許す前に、RPSおよび全てのセンサ入力が正常で あって正しく動作していなければならない。RPSはPCSと連動する独立の系 である。設計によれば、PCSが動作できる前に、RPSは動作状態になってい なければならない。始動/運転モードから停止/保守モードへの正規の変更の要 求が尊重されるのは、全ての制御棒キャリッジが「底につけられ」、原子炉が停 止出力になっている場合だけである。始動/運転モードからスクラム・モードへ の遷移は、手動でスクラムを開始することによりいつでも行うことができる。 手動スクラムは数個の位置のどれから始動してもよい。図2を参照して説明す ると、手動スクラムは、全ての電子装置をバイパスする2つの専用の安全系スク ラム・ボタンを同時に押すことにより始動することができる。電子式スクラムは 手動指令に対するバックアツプ作用として自動的に起動される。スクラム・ボタ ンは、主制御室(MCR)74の中の運転員卓または遠隔停止設備(RSF)7 8の中の卓76、およびRPSの各部門に対する制御盤に配置されている。代案 として、RPSと通信しているコンピュータ・キーボードで適当な指令をタイピ ングしてRPSにスクラム・シーケンスを開始するように要求することにより、 手動スクラムを始動してもよい。キーボードは、MCRまたはRSFの中の運転 員卓、RPS計測ボールト82の中のRPSの各部門に対する制御盤、またはP CS計測ボールト84の中のPCSの各部門に対する制御盤であってもよい。こ れらのボールトは地震隔離された原子炉ベース・マット上に支持されている。 本発明のRPSは同じ構成の4つの部門に分割される。各部門は、原子炉の上 側格納容器領域114に隣接したそれ自身の地震絶縁された計測ボールト82の 中に配置される(図4参照)。各部門には、各測定パラメータに対してそれ自身 のセンサが設けられる。したがって、監視される各パラメータに対して同じ構成 の4つのセンサがある。図3に示すように1つの部門は、センサ2および基準電 圧201に接続されたマルチプレクサ200を有する。選択された電圧が制御利 得増幅器202によって増幅され、次いで帯域幅調整可能フィルタ204によっ てフィルタリングされる。フィルタリングされた信号は、サンプル・ホールド回 路206によってサンプリングされ、次いでアナログ・ディジタル変換器210 によってディジタル化される。センサ検証回路208により、センサ検証フラグ がセットされる。ディジタル化されたパラメータ値およびそれに対応するセンサ 検証フラグがバッファメモリ212に記憶される。ディジタル信号はこの点21 4で入力される。ディジタル入力には、ハードウェア論理診断、キャリッジ底つ きスイッチ、弁位置検知スイッチ、回転プラグ座着およびロック連動スイッチ、 「カード・アウトオブ・ファイル(card out of file)」セン サ等が含まれる。次に、バッファ・メモリ218のデータがデータ交換出力22 0を介して、他の部門、データ処理送信系(DHTS)およびRSFへ伝えられ る。逆に、他の部門、DHTSおよびRSFからのデータは、交換データ入力2 22を介して受信され、バッファ・メモリ224に記憶される。次に、中央処理 (ソフトウェア論理)装置が、データ値およびフラグを評価し(ステップ226 )、必要な場合にはデータを処理し(ステップ228)、限定された履歴データ ・ファイル230に新しいデータを入力し、パラメータ値をROM(読出し専用 記憶装置)234から検索された設定値に対して試験し、予備付き2/3票決を 行い(ステップ236)、次に必要な場合にはスクラム指令を2/4ハードウェ ア論理6に出力する(ステップ238)。2/4ハードウェア論理6は、他のR PS部門からのトリップ、およびMCR、RSFまたはRPSからの手動スクラ ムも受信する。更に、票決結果、スクラム指令およびパラメータ値は表示プロセ ッサ240に出力される。表示プロセッサ240はパラメータ値を工学単位に変 換さ れる。次に、この情報は局部表示装置244に表示される。表示プロセッサは、 光ファイバ239を介した他のRPS部門からのデータおよびキーボード242 を介した運転員が入力したデータも受信する。少なくとも2つのトリップに応動 して、2/4ハードウェア論理は状態を変え、安全アクチュエータ36をターン オンすべきかターンオフすべきかに応じて、安全アクチュエータとそれの電源回 路38との間の接続を開放または遮断する。図5に示す例では、ハードウェア論 理6は二重の遮断不可能な電池後備電源38から液体金属原子炉の制御棒ラッチ コイル102への電力供給を制御する。 RPSの4つの部門は、単一の故障許容系として並列に(部門間データ交換を 行って)非同期で運転される。4つの部門は、部門間の光ファイバケーブルを介 してそれらのセンサ・データを共有する。2レベルの票決(ソフトウェアとその 後のハードウェア)は、スプリアス・スクラムを低減し、バイパスの必要性を無 くし、必要なときに安全停止シーケンスを開始する信頼性を高く維持し、そして スプリアス・スクラムを防止することにより被保護系のアベイラビリティを高く するために用いられる。各部門は他の3つの部門からのデータについて2アウト オブ3票決(2/3票決)を行うことにより(各部門はそれ自身のセンサデータ を予備として保持している)、スクラムを行うべきか判定する。各部門の出力は 、2アウトオブ4のハードワイヤード(hard−wired)論理を行うよう に構成されているアクチュエータ電力回路の中のトリップ遮断器に与えられる。 このハードワイヤード論理は各RPS作動のためのフェイルセイフ論理である。 ソフトウェアの予備付き2アウトオブ3票決は、充分必要条件を満たしたソフト ウェアによって達成される。安全停止のための2アウトオブ4の部門間票決は、 光学的に隔離されたリレー、接触器または遮断器を使用するハードワイヤード論 理により行われる。請求の範囲で使用されているように、「遮断器」という用語 は、リレーや接触器や遮断器を包含する。 各部門は、他の3つの部門から得られたデータを処理する際に、それ自身のセ ンサ・データを予備として保持している。いずれかのデータが欠けているか、或 いは検証できないか又は有効とされなかった場合には、その部門は自動的にそれ 自身のセンサの読取り値に置き換える。ある部門自身のセンサ・データが不完全 である場合にも、その部門は残りの2つの良好な通信されたセンサ読取り値に基 づいてスクラムの必要性を評価する。部門は4つのセンサの読取り値を評価する ことにより「同一性」を確認した後、情報を処理し続け、トリップの必要性につ いて2アウトオブ3の票決を行う。トリップが要求された場合には、部門は2ア ウトオブ4のハードワイヤード論理回路網の中のそれのトリップ遮断器を作動す る。この論理では、1つの部門は失敗またはサービスから除くことができ、トリ ップを生じたりバイパスを必要とすることなく、いつでも戻すことができる。1 つの部門が動作していなくてもスクラム指令を発する前に、安全パラメータに対 する2つのセンサがスクラムの必要性を指示することがまだ必要とされる。オフ ラインの部門は自動的にオンラインに戻され、特別の手順やソフトウェアは必要 としない。 部門間通信を使用することによりデータを転送し且つ各部門においてスクラム についてソフトウェアで2/3票決を行えるようにすることにより、RPS設計 は従来のRPS設計に比べてアベイラビリティが著しく改善される。従来の設計 の場合、各部門はそれ自身のセンサだけを読み取って、1/1論理に基づいて部 門スクラムを与える。したがって、1つの部門がダウンして、ハードウェア論理 が半スクラム状態にある場合、従来の保護系は他のセンサのいずれか1つがスク ラムを指示したとき又は故障したときにスクラムを生じる(誤ってスクラムを生 じ易い)。これに対し、本発明のRPSは、トリップ指令を発する前に、残りの 良好なセンサの内の2つのセンサがスクラムを指示することを要求する。 誤ったスクラムに対する耐性が改善されたことにより、周期的なエンドツーエ ンドの自己試験と校正、サービス、または交換のためにRPSの1つの部門が自 動的にオフラインとすることができる。手動のスイッチングやバイパスは必要で ない。その理由は、1つの部門がオフラインとされても、他の部門はそれらの2 /3センサ・スクラム・ソフトウェア論理を維持するので、スクラムの実行には まだ2つのセンサ読取り値がスクラム設定値を超えることが必要とされる。ある 部門はいつでも点検整備のためオフラインとすることができ、しかもバイパスの 必要は無く、誤ったスクラムの恐れは無く、提供される保護の低下は無く、その 部門をオンラインに戻すための特別な配慮は必要としない。手動バイパスが無く なったことにより、運転員の不注意による誤まったスクラムの発生は少なくなる 。与えられたパラメータに対して故障したセンサが2つ存在する場合には、RP Sはそのソフトウェアを1/2論理に変形し、残りの2つの良好なセンサのいず れかがトリップの必要性を示している場合にはトリップ指令を発する。 本発明によるRPS設計の主要な特徴を以下に説明する。 入力データ処理 RPS電子装置の各部門は、直接的なアナログまたはディジタル接続により、 もしくはセンサ信号調整装置を介してセンサ入力を受ける。RPS電子装置とセ ンサとの間にデータ・バスは無い。全ての部門のセンサ入力はその部門の入力カ ード上に継続的に現れ、その部門の中央処理装置(CPU)からの指令によって 読み込まれる。図3に示すように、各トリップ・センサに対する入力データ処理 は次のようなステップで構成される。 (1)第1のRPSセンサ2から入力データを読み取る。アナログ入力はアナ ログ増幅器202により増幅され(個別センサの校正およびセンサ信号電圧正規 化のための適当な安全設定値に合わせるように利得が設定される)、そして(雑 音を減らすため)エイリアシング防止フィルタ204に通される。全てのセンサ 入力は正規化された電圧として処理される。工学単位への変換は、保護系の計算 のためではなく、人間−機械インタフェースのために行われるだけである。セン サ読取り値を正規化された電圧として処理することは、データ評価のために必要 なアルゴリズムを簡単化し低減する。 (2)正規化されたセンサ信号電圧値のサンプル・ホールドを行う(図3のブ ロック206)。[この電圧値がA/D変換とセンサの検証の両方のために使用 される。] (3)入力読取り値に対してアナログ・ディジタル(A/D)変換(ブロック 210)を行う。 (4)A/D変換と並列に、サンプリングされたアナログ電圧読取り値が過去 の二三の読取り値と平均され、センサ故障の表示のために所定のセンサの正当性 限界と比較される(ブロック208)。不良センサはフラグで除外される。した がって「センサ検証フラグ」が良好なセンサに対してはセットされ、不良なセン サに対してはセットされない。 (5)検知されたパラメータ識別子、センサ識別、読取り値、検証フラグ、有 効性フラグ、時間タグを含むデー・ワードを形成した後、そのデータ・ワードを バッファ・メモリに記憶する。 (6)ステップ1−4がその部門の、次のポーリングされるセンサに対して繰 り返される。1つのポーリング・サイクルの後、その部門のポーリングされる各 センサに対するデータ・ワードがデータ・バッファに記憶される。 (7)検証フラグ、センサ識別およびデータ時間タグとともに、ポーリング・ サイクルの間に取得された全ての入力読取り値についてのディジタル化されたセ ンサ・データがこのとき他の部門と共有される用意ができている。他の部門に送 る前に、処理している部門の識別子もデータ・ワードに付加される。 RPSの4つの部門は全て、この入力データ処理を継続的かつ実時間で、それ ら自身のセンサに対して並列に非同期で行う。 部門間データ通信 各部門は、電気的な隔離を行う光ファイバケーブル8(図1)を介して他の全 ての部門にそれのデータを送る。この部門間の非同期相互通信により、部門間で センサ・データの交換が行える。データ交換機能により、各部門は、処理部門の 識別子およびデータの有効性を表すフラグとともに、与えられたパラメータに対 する4つのセンサ読取り値を全て有することができる。データは直列データ・ポ ートを介して交換される。この目的のため、各RPS部門は3つの出力ポートと 3つの入力ポートを有する。 データ交換の用意ができたとき、各部門は情報を他の3つの部門およびそれ自 身のデータ・プロセッサへ送る。他の部門からの入力データは、トリップ機能に ついて評価される前に、(各部門の非同期動作を行うため)バッファ・メモリ2 24(図3)に記憶される。バッファ・メモリはその部門自身の情報を収容する 。このとき4つのデータ読取り値は、部門のスクラム指令出力の必要性を判定す るための処理および票決を行う用意ができたことになる。 ソフトウェア論理動作 上記の部門間データ通信に従って、各部門により形成されたデータ・ワードは 自動的に他の全ての部門に送られる。したがって各部門は、ポーリングされる各 観察に対して処理すべき(4つの「同じ」データ・ワードに含まれる)4つのセ ンサ読取り値およびフラグを全て有している。ある部門が各ワードを受けると、 このワードはバッファ・メモリ224に記憶された後、読み出されて、センサ読 取り値がセンサ検証フラグのステータスにより判定して良好であるか判断するた め試験される(図3のブロック226)。検証されれば、センサ読取り値は一様 であるか互いにチェックされる。次にセンサ読取り値は、何か必要な計算(ブロ ック228)およびソフトウェア票決(ブロック236)のために通される(図 6参照)。変化速度や比率のような演算されるパラメータは、付加的な計算ステ ップを必要とする(ソフトウェア・ルーチンの付加は必要とするが、付加的なハ ードウェアは必要としない)。 与えられた部門の1つまたは2つの相次ぐ読取り値が「仕様外」であれば、そ の読取り値は無視され、その部門はそれ自身のデータに置き換える。しかし、1 つの部門からの情報が誤りであり続けたり、他の部門のセンサのセンサ読取り値 からずれ続けていたり、または繰り返し欠けたりする場合には、誤りメッセージ (サービス要求)が発せられる。 全てのスクラム・パラメータが計算された後、それらは安全設定値と比較され る。いずれかのパラメータに対して3分の2が設定値を超えた場合には、その部 門からスクラム信号が発せられて(図3のブロック238)、それの2/4ハー ドウェア論理リレーを作動する。2つ以上の部門がスクラム信号を発した場合に は、原子炉スクラムが生じる。 ハードウェアスクラム論理 RPSはハードウェア論理6を使用して、スクラムの必要性について2アウト オブ4部門票決を行う。いずれか2つのRPS部門がトリップ指令を発すると、 スクラム・シーケンスが開始される。各アクチュエータ36は、それに接続され た一組のハードウェア論理をそなえている。2つの異なる型のハードウェア論理 、すなわち直列と並列が使用される。直列論理は、どの2つの部門組の接点もア クチュエータ回路を通る電流を遮断するように直列/並列構成で配置されたスイ ッチ接点で構成される。この電流遮断ハードウェア論理の一例はラッチ・コイル 保 持回路である(図7A参照)。これと異なり並列論理は、どの2つの部門組の接 点も作動回路を通って電流が流れるようにする、すなわち電圧形成論理となるよ うに直列/並列構成で配置されたスイッチ接点で構成される。アクチュエータを 付勢するこのハードウェア論理の一例が図8Aに示されている。これらの構成の 各々で、「”A”接点は全て物理的にRPS部門Aの計測ボールトの中に配置さ れ」、「”B”接点は全て部門Bの計測ボールトの中に配置され」、以下同様で ある(図5参照)。 診断自己試験および連続監視 系のアベイラビリティを向上するためのRPSの付加的な特徴には、自動的で 頻繁に行われる自己試験、連続診断監視、部門の定期試験、出力リレー動作によ るセンサ入力が含まれる。RPSは二通りのやり方でそれ自身の性能を自動的に チェックする。第1にRPSは、センサ入力として基準電圧201を注入し、測 定された応答を所定の値と比較することにより、電子構成要素および電子回路の 限定された試験を行う(図3参照)。RPSは、部門を手動でバイパスすること なく、そして誤ったスクラムを生じることなく、部門全体のオンライン拡大定期 試験も自動的に行う。試験は入力から出力まで行われ、スクラム・ハードウェア 論理回路の作動が含まれる。4つの部門は全て連続的に2/4ハードウェア論理 構成要素のステータスを監視し、試験のスケジュール作成、および正しい動作の 確認のため、そして問題を識別するための診断としてこの情報を使用する。 「能動限界試験」:各センサポーリング・サイクルは、部門の基準電圧のサン プリングを含む。基準電圧201(図3参照)は、スクラムの判定を生じるのに 充分なセンサ入力として扱われる。しかし、スクラム指令の実際の出力は禁止さ れる。この試験電圧に対する応答を診断的に評価して、部門による間違った動作 の兆候が無いか、そして他の部門からの入力と比較したとき、系の動作、基準電 圧の誤りや相互通信の劣化を検出する。系のいずれかの部門が正しく動作してい ない場合には、欠陥のある品目が自動的に最小の交換可能なモジュールまで識別 され、サービスを自動的に要求する。この電子構成要素試験は、自動的な区分的 試験により継続的にオンラインで行われるように設計される。限定された試験の 間は「半スクラム」条件が防止されるように、正規のスクラム禁止指令がその部 門のハードウェア論理に出力され続ける。各センサ・ポーリング・サイクルで、 限定された試験が行われる[基準電圧は、それがセンサ入力であるかのようにポ ーリングされる]。したがって、限定された試験は「それぞれの部門に関して」 連続である。どの問題が検出されても、時宜にかなったサービスを要求するメッ セージが出力される。 全てのディジタル化されたセンサおよび基準入力電圧の読取り値が全ての部門 により交換され、比較されるので、系の誤りが素早く検出される。これには、個 別のセンサまたは基準電圧の読取り値、入力データ処理、および相互通信の誤り が含まれる。それ自身の問題または他の1つの部門の問題を検知した各部門は、 保守の呼び出しを出力するので、敏速な損傷の検出と通知が確実に行われる。 「拡大試験」:拡大試験は、出力ハードウェア論理を介して部門全体の健康状 態、センサ入力を評価するように設計される。拡大試験は、禁止されたスクラム 出力が無ければ、限定された試験と同じである。したがって、拡大試験により、 部門の出力スクラム・リレーが動作する。この試験は、他の部門がどれも同様に 試験していない場合のみ、そして全ての部門が正しく動作している場合のみ、一 度に1つの部門だけが行う。試験を行うようにスケジュール作成された部門はま ず、全てが正常であるか見るためチェックする。全てが正常でない場合には、そ の部門はランダムな長さの時間待った後、後で再び試みる。全ての部門による2 /4ハードウェア論理の監視を使用することにより、2つの部門が試験を同時に 行わず、誤ったスクラムを生じないようにする。 この定期的な拡大試験を行うため、試験している部門がスクラム指令を発して それの2/4ハードウェア論理構成要素を作動するようにすることにより、限定 された試験が拡大される。拡大試験のために必要な数ミリ秒の間、停止シーケン スを実際に開始するには、3つの活きた部門の内の2部門がスクラムを指令する ことがまだ必要である。これにより、試験している部門がハードウェア論理に試 験「スクラム」信号を送出するときに従来の保護系で生じ得る「半スクラム」状 態の問題が防止される。半スクラム状態では、1つの部門のスクラム・リレーが 開放されるので、他の部門のどれか1つからのスクラムによって、原子炉スクラ ムが生じる。これは、系が「半スクラム」状態にある試験の唯一の時間である。 この試験部門に対する時間は正規のセンサ読取り周期に等しいので、他の1つの 部門の同時の試験による誤ったスクラムの危険が小さい。更に全ての部門につい て、他の部門の試験動作のそれらの監視に基づいて試験のためのソフトウェア・ スケジュールが作成される。 部門の試験および保守の間のハードウェア論理の(2/3論理への)再構成は 普通、従来のRPS設計で行われる。主要な相違は、従来の保護系の設計が手動 バイパスを使ってこれらの試験を行うのに対して、本発明のRPSは2/3のセ ンサがスクラムの必要性を指示することを要求し続けるので、不注意による運転 上および保守の誤りが起こりにくく、またバイパスを必要としないということで ある。 4つの部門のどれかがオフノーマル(off−normal)状態で運転され ている場合には、拡大試験は行われない。たとえば、部門のCPU、電力または ディジタル出力カードが動作していないような全部門体保守動作の際には、拡大 試験は行われない。この動作の際には、ハードウェア論理全体が「半スクラム」 状態となる。しかしソフトウェア論理遮壁はなお、スクラム指令が発せられる前 に3つのセンサ読取り値の内の2つがスクラムの必要性を示すことを要求する。 これにより、誤ったスクラムの危険性は大幅に減る。現在の見積もりによれば、 誤ったスクラムの確率は許容できるほど小さい。 ある部門の拡大試験の結果は、ハードウェア論理リレー接点の連続監視により 全ての部門によって監視される(図7および8参照)。各部門は任意の接点対の 状態変化および正しい動作を探す。この機能は、ハードウェア論理回路全体を通 じて異なる点で電流または電圧を監視することに基づく。(リレーに電力が加え られた状態で)接点の状態が付加的なディジタル・センサ入力として正規運転の 間、連続的に監視される。これにより、正規運転の間および試験の間、故障(接 点状態の変化:論理構成に応じて、開放から閉成への変化、閉成から開放への変 化、または状態変化の失敗)検出機能が得られる。(手動で要求されるか、また はコンピュータのスケジュールで決められた)部門の試験機能により、スクラム を生じることなくリレーが実際に動作する。診断検知により、リレー接点の正し い動作が確認されるか、または正しく動作し損なったことが識別されて報告され る。各部門は、他の全ての部門の健康とステータスを査定するために集められた 情報を使用することができる。拡大試験の実行は、データ処理アルゴリズム、設 定値の比較およびスクラム出力回路を確実に正しく機能させる助けとなる。 本発明により、2/4ハードウェア論理リレー接点が正しく動作し、スクラム 要求に応動する用意ができているようにする自動試験機能が得られる。試験は、 自動モードで周期的に、または手動で入力されたキーボードの試験要求に応動し てただちに行われる。試験により、2/4リレー接点が開放または閉成すること により、接点を通る電流が遮断または設定される。他の1つの部門が自己試験を 遂行しているか又は何らかの理由でサービス外であるか、或いは2/4論理回路 からのオフノーマル表示が存在している場合には、自動または手動で入力された キーボードの試験要求は実行されない。 図7Aに示すように、正規状態では、RPSの各部門からの制御電圧が印加さ れることによってリレー接点は閉じたままになる。試験を行うことにより、一度 に唯1つの部門組の接点(部門毎に4個の接点)が開放する。同時に2つの部門 が試験を行うことはない。1つの部門がサービス外である場合には、試験は中止 される。2/4論理回路を通る電流は通常、ブリッジ構成の2つの辺にほぼ等分 される。正規状態では、3つの交差経路を通って電流が流れない。試験の間、開 放される接点組によって決まるこれらの交差経路を通って、電流が流れる。図7 Aに示されるように、接点対の間に非接触(隔離のため)電流センサS1−S8 が配置される。検知された電流は測定され、増幅器10によってアナログ電圧に 変換される。増幅された電圧は比較器12に供給される。比較器は基準電圧に対 して入力電圧を試験する。入力電圧が基準を超えると、ディジタル1の値が出力 される。入力電圧が基準を超えない場合には、ディジタル0が出力される。たと えば、試験の間、接点Aを開放するように信号が送られると、センサS1、S4 、S6、およびS7は低レベルになるべきであるが、センサS2、S3、S5、 およびS8は高レベルのままになる。これらのセンサ出力からずれがあれば、そ れはA接点の1つ以上が開放し損なったということを示す。誤りのある接点は、 センサ出力から作成された一意の8ビット(または検知された診断点数によって 決まる任意のビット数)から容易に識別することができる。 各ハードウェア論理列に対する8個のセンサの各々からのディジタル出力は、 各RPS部門に対する電子装置4に差し込まれた8ビットのデータ入力カード4 0(図3および7B参照)に並列に入力される。8個のセンサの全てからのディ ジタルI/O出力は、2/4ハードウェア論理リレーの正しいか、または欠陥の ある各々の動作に対する一意の8ビットのディジタルワードを形成する。そのワ ードが、電子装置4上のCPUによって処理される。診断のディジタル入力ポー トの監視によって、各部門は他の1つの部門が試験を行っているか又はサービス 外であること、および各試験の結果を報告できるということを知ることができる 。ある部門が試験を行う予定になっている場合には、その部門はそれの診断用デ ィジタル入力ポートを調べる。そのポートがビジー(busy)であれば、その 部門はランダムな長さの時間の間、待った後、再び試みる。ディジタル入力ポー トが空きになる時点まで、ランダムな待ちの後の再試行が継続される(これによ り、1つの部門がサービス外である間は試験が行われず、ポートが空きになった とき手動の再始動無しに、試験が自動的に再開される)。このとき試験は、その 部門がスクラム指令をそれのリレーに発することにより行われる。その部門は、 診断用のディジタル入力ポートを読み取る。返送されたセンサパターンが正しけ れば、試験は成功であり、その部門の表示は試験が行われ、合格したことを示す 。パターンが正しくなければ、CPUはどのハードウェア要素が故障したかを識 別し、適当なメッセージを出力することができる。 図8Aに示すハードウェア論理リレー接点の場合には、高抵抗値の抵抗14が 接点と並列に配置される(図8B参照)。隔離されたアナログ増幅器16が各抵 抗両端間の電圧降下を測定する。増幅された電圧は比較器18に供給される。比 較器は閾値電圧に対して入力電圧を試験する。入力電圧が閾値を超えると、ディ ジタル1の値が出力される。入力電圧が閾値を超えない場合には、ディジタル0 が出力される。たとえば、試験の間、接点Aを閉成するように信号が送られると 、センサS1、S4、S6、およびS8は低レベルになるべきであるが、センサ S2、S311、S5、およびS7は高レベルのままになる。これらのセンサ出 力からずれがあれば、それはA接点の1つ以上が閉成し損なったということを示 す。誤りのある接点は、センサ出力から作成された一意の8ビットから容易に識 別す ることができる。 各ハードウェア論理列に対する8個のセンサの各々からのディジタル出力は、 各RPS部門のコンピュータに対する8ビットのデータ入力カード40に並列に 入力される(図7B参照)。8個のセンサの全てからのディジタルI/O出力は 、2/4ハードウェア論理リレーの正しいか又は欠陥のある各々の動作に対する 一意の8ビットのディジタル・ワードを形成する。そのディジタル・ワードは上 記のように監視される。 試験完了時に、その部門は正規の監視および保護サービスを再開する。限定お よび拡大の自動試験、センサ読取り値と基準読取り値との交換および比較、並び に診断監視は、人間による監視試験を不要するので、過失によるスクラムの主要 な原因を低減する。 環境および保守の機能 RPS電子装置は高温(約170°F)で動作するように設計され、能動冷却 、もしくは加熱、換気および空気調和(HVAC)系は必要としない。部門は、 原子炉トリップを生じることなく、いつでもオンラインで点検整備することがで きる。RPSは高度のモジュール方式で組み立てられた系として設計され、技術 が進歩して60年の所要寿命を満足したときには機能的に更新してもよい。最小 のプラグイン形の交換可能なモジュールまで問題を突き止める診断法が提供され る。これは、熟練度が最小の技術者が容易かつ迅速に系を保守することができる ということを意味する。4つの全ての部門および全ての原子炉に対するRPS電 子モジュール(たとえば、CPU、信号調整カードおよびデータ入力カードであ り、これらは全て電子装置シャーシ4にプラグインできる)は同一であるので、 系を保守するために必要な予備部品の貯蔵が少なくなる。 RPS電力 RPS計測電子装置に対する代表的な配電が図9に示されている。図9は、唯 2つのRPS計測ボールトに対する単線接続図を示している。他の2つの部門の ボールトは同様に電力が供給されるが、供給源は2つの異なる高電圧バスである 。 全てのRPS計測は直流(DC)電圧で動作する。RPSの各部門には、直流 バス30および隔離素子(たとえば、ダイオード)32を介して(2つの異なる RPS部門ボールトの中に配置された)2つの並列で電気的に隔離された直流電 源から、電池でバックアップされた直流電力が供給される。 各ボールト内の電池充電器20は、調整可能な電気隔離素子としての役目を果 たす。各交流(AC)バス22には、2つの異なる電源から給電される。信頼度 とアベイラビリティを向上するため、各ACバスには2つの高電圧ACバスのい ずれかから給電される。 施設電力はバス24を介してキロボルトレベルの交流(AC)として発電所全 体を通じて配電される。降圧変圧器(1つまたは複数)26は交流電圧レベルを 下げ、電池充電器20に給電する。電池充電器はRPS部門負荷に対する直流電 圧を出力し、電池28上の電荷を維持する。正規状態では、RPS部門はそれの 電力を電池充電器から得る。しかし万一、施設の入力交流電源が故障した場合に は、RPS部門には電池から連続電力が供給される。スイッチングや直流−交流 の反転が含まれないので、系が簡略化され、付加的な構成要素の故障の可能性が 無くなる。 故障によるRPSスクラム論理動作 RPSは、(1)単一の故障では保護機能が失われず、且つ(2)どの構成要 素またはチャネルをサービスから除いても必要な保護機能が失われないように設 計される。RPSは、安全性を危うくすることなくセンサの機能不全による誤信 号(誤った)スクラムを最小限にするようにも設計される。 正規状態では、4つの良好なセンサおよび全ての電子装置と通信系が動作状態 にあり(図10参照)、RPS部門トリップは2/3部門センサ・データ票決に 基づき、各部門はそれ自身のセンサ読取り値を予備として保持する。しかし、セ ンサ、処理電子装置または通信で故障が発生した場合には、このトリップ論理は 違ってくる。 電子装置および通信が動作しているがセンサが故障している場合には、センサ の故障によりセンサ読取り値は正当な帯(band)の外側に生じる。センサ読 取り値は、センサ検証フラグのステータスに注意することにより容易に検出され る。不良なセンサの読取り値はスクラム票決では使用されない。たとえば、図1 0に示されるセンサBが不良である場合には、部門A、C、およびDの各々に対 する2/3ソフトウェア論理4bが必要に応じてそれ自身のセンサ読取り値に置 き換えて(したがって、各部門はなおセンサA、C、およびDからの3つの良好 な読取り値を持っており)、2/3スクラム票決を行う。部門Bに対するソフト ウェア論理は、(部門A,C、およびDからの)正規なセンサの読取り値を使用 してそれの2/3スクラム票決を行う。2つのセンサが不良である場合には、各 部門は2つの良好なセンサ読取り値を持っており、一方または両方のセンサがス クラムを主張すればスクラム信号を発する(すなわち、各部門は1/2票決を行 う)。3つ(または4つ)のセンサが全て不良である場合には、各部門はスクラ ム指令を発する。4つの部門の中の2つがトリップ信号を発する場合には、ハー ドウェア論理6は運転員に信号を発する。 代わりに、電子装置が故障していて、センサおよび通信が正しく動作している 場合がある。電子装置の故障には、マイクロプロセッサに基づく電子装置4の中 の主要な信号処理チップ(図10の信号調整回路4a)の故障、または電力を電 子装置に供給する系の故障が含まれる。このような電子装置の故障により、その 部門の出力回路がその部門の「非スクラム」信号を送出することが防止され、そ してそれによりセンサおよび通信系のステータスにかかわらず、その部門が自動 的に「スクラム」状態に入る。したがって、いずれかのセンサがスクラムを指示 しているか否かにかかわらず、2つ(以上)のこのような電子(CPU)故障が スクラムをトリガーする(フェイルセイフ)。これは、従来のRPS系で行われ ていることと同等である。 第3に、通信が故障していて、センサおよび電子装置が動作している場合があ る。通信故障には、送信装置または受信装置のハードウェア/ソフトウェアの問 題、または伝送中の雑音のピックアップによってプロセッサ間通信系の故障が含 まれる。このような通信の故障は重大でなく、入って来る通信センサデータが無 いことにより検出される。このような故障が1つ発生し、ある部門が他の3つの 部門からではなく2つの部門からだけデータを受信すると、それ自身のデータに 置き換え、2/3票決を行うので、保護機能に対する信頼度が失われることはな い。ある部門が他の3つの部門の内の1つの部門だけからデータを受信すると、 その部門はそれ自身のデータに置き換えることにより、2つの良好な読取り値を 与えるとともに、いずれかがトリップ設定値より大きい場合は、スクラムの票決 を行う(すなわち、1/2票決を行う)。ある部門が他のどの部門からもデータ を受信しない場合には、それ自身のデータを使用し、従来のRPS設計と同様に 1/1論理で部門スクラムを発する。したがって、どの部門もデータを送信せず 、他のどの部門からもデータを受信しない全体的な通信故障の場合には、RPS はプロセッサ間通信の無い従来のRPSのように動作する。 正規状態では、トリップが発せられる前に、2つの正しく動作しているセンサ がトリップを要求しなければならない。これは、RPS電子装置の予備つきの2 アウトオブ3のソフトウェア論理、およびRPSスクラム遮断器の2アウトオブ 4ハードウェア論理と一致する。従来の系と異なり、1つのセンサが正しく動作 しておらず、RPS論理の1つの異なる部門がサービス外であっても、2センサ ・トリップの必要条件は成立し続ける。このようにRPSがセンサ故障から保護 されることにより、誤ったスクラムが減少し、また発せられたどのトリップもセ ンサ入力によって指示された通りの原因によるものであるという高度の確信が得 られる。 原子炉に適用されたときのRPSの機能は次の通りである。すなわち、(1) 原子炉内の安全性パラメータ(中性子束、低温プールと炉心出口の温度、ポンプ 吐き出し圧力、および一次ナトリウム・レベル)を連続的に監視すること、(2 )原子炉の停止、EMポンプのトリップ、および格納容器の隔離が必要であるか 判定すること、(3)制御棒解放機構およびドライブイン・モータにトリップ信 号を送ることにより、確実に制御棒を挿入すること、(4)一次EMポンプの惰 性下降を開始すること、および(5)IHTS弁の閉成および格納容器換気弁の 閉成により格納容器の隔離を開始することである。 これらの機能を遂行するため、RPSは4つの同じ構成の、並列の論理列また は部門をそなえている。各論理はセンサ、アナログ入力/増幅器/ディジタル変 換器、ディジタル論理装置、およびトリップ・アクチュエータで構成される。原 子炉のトリップのために、7個のパラメータが使用される。各論理列は、パラメ ータ毎に1つのセンサ入力を有する。アナログ入力のポーリングが行われ、これ により、任意の時点にRPSがどのパラメータを処理するかが決められる。 異なる間隔でRPSにより自動的に、数個のレベルの診断が行われる。これら のレベルには、個別の構成要素の校正、部門系の校正/健康状態のチェック、系 全体の性能、信号の検証および有効性、データ交換の有効性、およびトリップの 有効性が含まれる。 4つのRPS部門は、故障許容の系として一緒に動作する。すなわち、どの部 門の中で発生したどんな故障も検出されて局限される。再構成が自動的に行われ て、問題領域がバイパスされる。系は、運転されている間に修理することができ る。サービスのためにいつでも1つの部門全体を取り除くことができ、系の性能 低下を生じない。入力は完全に故障許容になっている。すなわち、入力部に故障 が生じると、その故障は隔離され、系はその故障を迂回して再構成される。4つ の中央処理論理装置は、誤り検出、局限および再構成を行うことができる。光結 合された各遮断器は試験機能をそなえているので、制御棒を解放したり、原子炉 のスクラムを開始することなく、いつでも部門を完全に(センサ入力からトリッ プ遮断器まで)自動的に試験することができる。 「RPSの動作」:設計基準事象が発生して、原子炉トリップ・パラメータの どれかがそれらの安全性設定値を超えると、RPS電子装置4は自動的にスクラ ム・シーケンスを開始する(図2参照)。2/4ハードウェア論理6を制御して 、制御素子106を保持するラッチ・コイル保持回路102への電力を遮断し、 ドライブイン・モータ104に電力を印加することにより、そして原子炉トリッ プが進行中であることを示すメッセージをPCS56に送ることにより、原子炉 スクラム・シーケンスが開始する。スクラム(中性子束の減少)を確認すると、 2/4ハードウェア論理6を制御することによりEMポンプ電源装置110から 電磁ポンプ108への電力が切断される。2/4ハードウェア論理6はRPS− EMポンプ遮断器62(3つのEMポンプ位相の各々に対して2つの遮断器があ る)をトリップすることにより、一次流の惰性下降を開始する。制御素子106 が挿入されたことが確認されるまで、EMポンプ遮断動作は行われない。スクラ ム指令が最初に発せられたとき、その時点の測定された中性子束に注目する。中 性子束のレベルが再チェックされる。中性子束がそれのスクラム開始レベルから 予め設定されたパーセントだけ減少するまで、EMポンプ遮断動作が行われるこ とは 許されない。制御棒106が挿入され損なうと、この確認論理は原子炉の温度上 昇を許す。これは、受動停止機能により中性子束が指定されたパーセントだけ減 少した後、熱停止系(TSS)によりEMポンプ停止が開始され、流れの惰性下 降が生じるまで続く。図11に示されるようにTSSには、それぞれ4つの熱ト リップ装置66を介して2/4電流遮断ハードウェア論理に接続された4つの熱 センサ64が含まれる。各熱センサ64は、EMポンプ温度の独立のセンサ読取 り値を与える。 制御棒106の解放は、トリップ指令を発するという決定から50ミリ秒以内 に行われる。制御棒の重力による挿入は2秒以内に完了する。重力による挿入は 、ドライブイン・モータから動力を与えられる制御素子の挿入によってバックア ップされる。ドライブイン・モータ104により、制御棒の挿入は18秒以内に 完了する。スクラム後、原子炉の出力は約2秒から3秒以内に10%未満まで減 少する。次にEMポンプの惰性下降により、一次流は200秒にわたって自然循 環に近いレベルまで減っていく。 混合炉心の出口温度は急激に低下した後、次第に上昇し、約500秒でピーク に達し、その後、原子炉100が冷却するにつれて次第に低下する。流れの惰性 下降曲線は、EMポンプ108から電力が切断されると直ちに生じる冷却材流の 100%から約85%への急激な低下、およびその後に同期機112がそれのエ ネルギーをEMポンプに与えて、流れが遅くなる次の数百秒の間の流れのゆるや かな低下で構成される。 RPSの全ての動作は自動化される。運転員の安全操作はいつでも不要である 。しかし、局部的に又は遠隔で手動のスクラムを開始することにより、固有の安 全機能に対する挑戦を防止することができる。RPSは手動で入力された要求を 受け入れることにより、それ自身のスクラム・ボタンからトリップ・シーケンス を実行する(全ての電子装置をバイパスし、直接トリップ遮断器に至る電力を遮 断する動作)。主制御室74の中の運転員卓72(図2)から、安全に関係しな い異なる電子装置を介して手動のスクラムを開始してもよい。第1の方法はDH TSからRPS制御器に至るものであり、異なる方法は手動のスクラム作動電子 装置への直接接続を介するものである。更に、遠隔停止設備78の中の卓76の 面 上に配置されたスクラム・ボタンから、安全に関連した手動入力のスクラム指令 をRPSに入力してもよい。原子炉のスクラム・シーケンスが完了すると、スク ラムの回復を開始し、スクラムの原因を判定し、全てが正規状態である場合には 原子炉を再始動するために、運転員の操作が要求される。 (EMポンプの停止を含む)原子炉のスクラム機能の他に、RPSは次の3つ の付加的な機能も遂行する。すなわち、(1)事故後の監視(PAM)に対する データおよび表示を提供すること、(2)大きな蒸気発生器のナトリウム−水反 応が発生したときにIHTS弁制御器118を介して中間熱輸送系(IHTS) 隔離弁116を閉じること(図13参照)、および(3)格納容器ドームおよび 空気格納容器流出液の中の放射線が高くなり過ぎたとき、格納容器換気弁120 を閉じること(図13参照)である。 重大な蒸気発生器のナトリウム−水の反応の場合、RPSは中間熱交換器(I HX)117を隔離するIHTS隔離弁116を閉じることにより原子炉の損傷 を防止する。ナトリウム−水の反応事象は、IHTSループの中に配置されたR PS圧力センサF(図4)によって検知される。RPS圧力センサFは隔離弁の 閉成と原子炉スクラムの両方をトリガする。施設電力132を換気弁120に接 続するPCS制御遮断器90と直列の常開RPS遮断器88への電力をRPSで 除去することにより、格納容器換気弁120が閉じられる(図12参照)。スク ラム機能は格納容器隔離機能から独立している。ほとんどのスクラム事象(原子 炉内の事象によって生じるスクラム事象)はIHTSまたは格納容器弁閉成をト リガしない。 「制御棒のスクラム」:RPSスクラム指令により、原子炉炉心124の中に 中性子吸収材が放出される(制御棒集合体の下部106には、吸収材が含まれて いる)。代表的な制御棒系の要素が図12に示されている。 制御集合体は、原子炉モジュールの運転出力レベルを調整するためにプラント 制御系(PCS)が使用する。吸収材バンドル106はそれの棒状の構造の最上 部でコレット(ラッチ)126により保持されている。コレット126は棒12 8により制御棒駆動機構に接続されている。制御棒駆動機構では、一対の連続的 に付勢される電磁石(ラッチ・コイル)102がコレット126を閉じた状態に 保持する。ラッチ・コイル102への電流の遮断(トリップ)によりコレット1 26が開き、吸収材バンドル106が解放されるので、吸収材バンドル106は それ自身の重さにより炉心124の中に落ち込むこと(重力支援挿入)ができる 。 各制御集合体は、吸収材バンドルの位置決めを制御するために2つのモータを そなえている。PCSが粗調整または微細調整を行うことにより、各吸収材バン ドル106を上昇または下降させて原子炉の出力を制御できるように、シムステ ッピング・モータ130が設けられる。スクラム・シーケンスの一部としてRP Sにより駆動されると、一方向性(入りのみ)の(シム・モータ130より4倍 強い)直流ドライブイン・モータ104は各制御集合体駆動管路をその行程の底 まで駆動することにより、吸収材バンドルが完全に挿入されるようにする。RP Sには、制御棒引き上げ機能は無い。[これは本発明の特徴である。本発明では 、RPSは安全方向または安全動作でのみ直流運動装置を動作させる。これらの 装置の引き上げまたはリセットは、PCSのような別の系によって行われなけれ ばならない。]各制御棒キャリジ106はリミット・スイッチをそなえており、 このリミット・スイッチは制御集合体挿入の端でドライブイン・モータ出力をオ フにする。これらのリミット・スイッチの作動は、制御集合体挿入が完全である ことの確認として識別される。 「EMポンプ惰性下降の開始」:制御棒の挿入に加えて、RPSはスクラム・ シーケンスの一部として(制御棒の挿入の確認後に)EMポンプ108への動力 を遮断する。RPSは中性子束レベルが所定のパーセントだけ低下したことに注 目することにより制御棒の挿入を確認した後、EMポンプ遮断のための指令を発 する。この動作のためRPSは、PCS電力調整装置110とEMポンプ108 /同期機112との間の遮断器を開放する。これにより、EMポンプ/同期機は それの正規の電源から切り離される。EMポンプ108は、同期機112(自励 )に接続されたはずみ車に蓄積された慣性エネルギーを使用して、惰性下降流を 生じる。ポンプのナトリウムの温度が所定の値を超えた場合にRPS遮断器62 を開放して、EMポンプ108への電力を遮断する別個の熱遮断系(TSS)6 5が設けられる。これは、RPSが故障したときにATWS事象に対する一次ポ ンプ遮断を行う。図11はEMポンプ電力回路ならびにPCS、RPSおよびT S Sインタフェースを示す簡略化された単線接続図である。 「二次ナトリウム系および格納容器換気系の隔離」:RPSは格納容器の自動 換気ならびに格納容器に危害を加える事象に対するIHTS隔離弁の閉成につい て責任がある。これらの機能に対する概念設計が図13に示されている。IHT S弁116の閉成は、空気動力をIHTS弁に送る管路のRPSで制御されるソ レノイド弁を閉じることによって行われる。格納容器換気弁120の閉成は、弁 電力管路132の、RPSで制御される遮断器88を開放することによって行わ れる。 原子炉がIHTS流を許容するように運転されているとき、通常は、IHTS 弁116(合計4個で、2個は低温IHTS管路の中にあり、2個は高温IHT S管路の中にある)が開いている。これらの弁は、ナトリウムと水の反応によっ てIHTS管路の中に高圧状態が生じる遠隔事象の際に閉じられるだけである。 閉成は自動的であり、RPS制御器50のみにより行われる。PCS84には、 弁116を閉じる能力が無い。これにより、原子炉を運転しているときに制御室 の運転員が不注意で弁を閉じることが防止される。更に、RPSには弁を開く能 力が無い。原子炉がスクラム状態となり、RPSが停止/保守モードに切り替わ るまで、PCSは弁を開くことができない。一旦このモードになれば、制御室か らのPCS指令により(始動前に二次ナトリウム流を開始するために)弁を開く ことはできない。サービスと試験の目的で、原子炉が停止し、RPSが停止/保 守モードにあるとき、弁の近くの局部空気制御盤から手動で弁を開閉してもよい 。 原子炉が運転されているとき、通常は、格納容器換気弁120(合計4個で、 2個は取入れ口の中にあり、2個は吐出し口の中にある)が閉じている。運転中 にこれらの弁を開かなければならない唯一のときは、運転員が格納容器の中に入 れるように空気を新鮮にすることである。運転員が格納容器を離れた後、換気弁 は再び閉じられる。正規状態でのこれらの弁の開閉は、PCS電子装置を使用し て、格納容器の入口の近くの局部盤から、もしくは保守室および/または制御室 から行われる。しかし、格納容器ドーム114(図4参照)または流出液の中に 高放射線が検出されると、RPSは自動的に遮断器88を開き、弁120を閉じ る。そして、原子炉が停止させられて、RPSが停止/保守モードに切り替わる まで、PCSは弁を開くことができない。図13は正規および異常の状況に対す るPCSおよびRPSによる格納容器換気弁を図示したものである。 図12に示すように、3つの補助安全系、すなわち制御棒停止系(RSS)1 36、熱遮断系(TSS)138および最終停止系(USS)140を液体金属 原子炉設計に組み込むことにより、RPSが故障する遠隔事象の安全性に対して 余裕が与えられる。 RSS138は機械的な制御棒止めを電子的に調整し、保護されない過渡的な 過電力事象の最大反応度の付加的な電位を制限する。RSSは、キャリジの動き との物理的な干渉により制御棒の外への動きを受動的に制限することにより、保 護されない制御棒引抜き事象に対する寛容な応答が行われるようにする。制御棒 停止系の構成要素には、四重の冗長な制御器、制御棒停止駆動選択器、および容 量が制限された電源が含まれる。電源は、6個の制御棒停止調整駆動モータの各 々に対する電力を制御し、各制御棒に対して1つづつ設けられている。制御棒お よびとめの位置を判定するために絶対位置センサが使用される。制御棒停止系制 御器はRPS制御器とは分離されている。RSSはRPS制御器を介して冗長セ ンサから原子炉出力および制御棒の絶対位置データを得る。RSSは、制御棒停 止位置を調整するために必要とされるような運転だけにより駆動される。RSS 制御器、電力遮断器、電源、ステッピング・モータ制御器および分配器が、格納 容器2の上側領域に隣接したRPS電子装置ボールト82(図4)の中に配置さ れる。 ヒートシンク(IHTS)が失われ(このためRVACS冷却だけが利用でき る)且つRPSが故障した場合に、高温でEMポンプを自動的に遮断するように 、TSS138は設計されている。このシナリオに対して、ヒートシンク喪失事 象が全出力から開始し、PCSもRPSもポンプを停止することができないもの と仮定する。原子炉内の温度は急速に上昇し、固有機構をトリガすることにより 、EMポンプが運転されていない場合には原子炉が30時間以内に高温予備レベ ルとなる。しかし、EMポンプが運転し続ける場合には、各EMポンプは原子炉 に熱を付加する。EMポンプが停止させられない場合には、原子炉の熱入力の積 分がヒートシンクの能力を超える。したがって、原子炉の温度が与えられた閾値 を 超えた場合にはEMポンプを自動的にオフにする機構が必要とされる。 図2に示すように、RPS50はEMポンプ/同期機電力回路のRPS遮断器 62に対する制御電力を供給する。正規スクラム・シーケンスの一部として、R PSはこれらの遮断器を解放することによりEMポンプの一次流惰性下降を開始 する。正規運転では、RPS遮断器62は閉成位置に能動的に保持されるので、 EMポンプ(108)/同期機(112)は電力調整装置(110)から電力を 受ける。 図11に示すように、TSS138は各ポンプ内の出口のナトリウムの温度を 監視する。TSSは、安全性に関係する4個の熱電対64(各ポンプ入口プレナ ムに1個づつ)で構成され、その各々が熱トリップ装置66をそなえる。センサ およびトリップ装置はRPSから分離されている。ポンプ内の温度が所定の設定 値より上に上昇した場合には、ポンプと結合された熱トリップ装置66がトリッ プ信号を送出する。このトリップ信号により、RPSからEMポンプのRPS遮 断器に至るトリップ信号線の接点68が開く。4個の熱トリップ装置の中の任意 の2個の熱トリップ装置からのトリップ信号により4個のEMポンプの全てに対 するEMポンプのRPS遮断器62が開くように、接点が配置される。これによ り、4個のポンプの全てで流れの惰性下降が開始され、EMポンプ電源による原 子炉への熱入力が終了する。 各EMポンプには、RPS計測ボールト84(図4)の1つの中に配置された 熱トリップ装置66に接続された1つの熱センサ64が含まれる。熱トリップ装 置66は、従来の信号調整電子装置、設定値比較器および出力回路で構成される 。各熱トリップ装置は光学的に隔離された4個のリレーに信号を出力する。4個 のリレーは図4に示すように、他の3個の熱トリップ装置からのリレー接点と一 緒に2アウトオブ4ハードウェア論理68を構成する。RPSと同様に、こりら のリレーは全てフェイルセイフである。すなわち、接点を閉じたままにするため に活性信号を必要とする。多重の故障または電力の喪失がある場合には、接点が 開いてEMポンプの惰性下降が開始される。 USS140は、他の全ての方法が失敗するという極めて起こりにくい仮定の 状態で原子炉の停止を行う。最終停止系を必要とするためには、PCSが制御棒 で運転に失敗し、RPSが制御棒をスクラムし損なっていなければならない。こ のような故障が生じた場合には、系のリアクタンス性負帰還特性により、高温で 原子炉は安全で安定した状態となる。この点で、運転員は最終停止系を作動させ て、原子炉を低温の臨界未満状態とすることができる。遠隔停止機能またはRP Sボールトから最終停止系の作動を開始するためには、運転員の手動操作が必要 である。最終停止系は、原子炉を低温停止させるために毒物(B4C吸収材ボー ル)が原子炉の中に放出された格納容器で構成される。図4に示すようにUSS は、RSFの壁のケースの中およびRPSボールトの中に配置された一対のボタ ンにより作動される。 本発明による原子炉保護系(RPS)は、伝統的な原子炉保護系からの設計の 新発展を表す。この系の設計は説明した全ての目標に適合するか、または超え、 保護系の設計で得られるアベイラビリティを最大にする。開示されたRPSの多 数の特徴により、この設計は伝統的な系から隔たっている。これらの特徴には下 記のものが含まれる。 (1)対話形四重冗長度。これは、検知される変数当たり4個のセンサ、電子 装置の4個の独立な部門(通常、4個の独立な計測ボールトに分離される)、お よび各ハードウェア出力論理の中の4対の固体トリップ・リレーを含む。各部門 はトリップの必要性を判定する際に他の部門のセンサの読取り値を積極的に使用 する。 (2)制御利得増幅器。利得の設定は、センサの校正係数、検知されたパラメ ータの安全性の設定値、および系の電圧の正規化の必要条件に基づいて行われる 。 (3)固体電子装置、マイクロプロセッサ、論理回路、固体リレーおよび負荷 ドライバ、並びにハードワイヤ信号伝送ルート。 (4)各RPS部門による非同期センサ・データ交換および全てのセンサ・デ ータの評価。ファイル・サーバ(マスタ/スレーブ)または他の共通の故障点が 無い。非同期動作により、4個のRPS部門の各々による作用の独立性が保証さ れる。 (5)データ値が欠けているか又は不完全である場合に予備データの自動的な 置換。各部門は他の部門のデータを評価し、それ自身のセンサ読取り値を予備と して保持する。2アウトオブ3のソフトウェア論理に基づいて判定が行われる。 検証されていない、有効でない、欠けている又はそこなわれた読取り値が、部門 自身のセンサ値に自動的に置き換えられて、2アウトオブ3の論理処理が継続さ れる。欠けている又は誤った信号に対処するため、またはオフノーマル状態が補 正されたときに正規状態に戻るために、手動操作は必要ない。 (6)簡単な論理を超えて、インテリジェント・データ処理および評価。RP Sは部門間で同じデータを評価することができ、そしてパラメータ間の比、パラ メータの変化率、原因となる特定の事象、平均、および必要に応じて他の演算に 基づいてトリップに対する選択されたデータを使用することができる。 (7)データが、パラメータ毎に異なる処理アルゴリズムを必要とする工学単 位に変換されないで、正規化された電圧値として処理される。工学単位への変換 はオフライン・プロセスとして人間−機械インタフェース(MMI)に対してだ け行われる。MMIはスクラムの必要性の判定には関与せず、非干渉的に行う。 (8)全てのパラメータに対して唯1つのトリップ設定値。センサ間の変動は 、入力の増幅器利得調整要因として調節される。 (9)データ平均、統計的処理および他の演算を用いることにより、信頼度を 向上して且つスプリアス・スクラムを減らせるように、高速動作およびセンサの オーバーサンプリングが使用される。 (10)自動自己試験−実際のスクラム遮断器の作動によるセンサ入力の自動 的な試験および監視。(スクラム遮断器の作動の無い)スクラム判定によるセン サ入力についての限定試験がセンサ・ポーリングサイクル毎に少なくとも一回行 われる。スクラム遮断器の作動によるセンサ入力についての拡大試験が各判定に 対して4時間毎に一回行われる。プラント制御系は全てのRPSセンサと診断の データを受けるので、PCSは故障予測を目的として付加的な詳細なオフライン の診断と時系列解析を行うことができる。このオフライン解析はRPS安全機能 を妨げることはあり得ず、結果的に早期の障害検出および問題の是正を行うこと ができる。更にPCSは、早期の障害検出の目的で全てのRPSデータを解析す る。 監視試験はしばしば行われ、オンラインで、自動的である。手動操作は必要で ない。最小の交換可能なモジュールまで問題を明らかにするために、診断を利用 することができる。 ディジタル化されたセンサおよび基準読取り値が自動的に交換されるため、各 部門はそれの限定試験および拡大試験を他の部門のそれと比較することができる 。同様に全ての部門は、1つの部門の試験を評価することができ、問題が検出さ れた場合には独立にサービスを要求することができる。これにより、ある部門が それ自身のパラメータおよび性能の観察に限定されている場合には検出できない 系統的な誤りを早期に検出することができる。 自己診断とモジュール状の設計により、保守およびほとんどの系の故障の修理 を4時間以内に行い、保守動作が完了した後、自動的に再始動することができる 。RPSの全ての修理は、原子炉を停止させる必要無しに行うことができる。 (11)不注意による何らかの状態変化を検出するため、そして試験の作動ま たは実際のスクラム指令の出力に応動して正しく状態が変化したことを確認する ために、スクラム・アクチュエータの接点が正規センサ入力として連続的に監視 される。正規動作の間のいかなる変化(故障)もただちに検知され、保守者への 通知が行われる。スクラム指令またはトリップ遮断器を介したセンサ入力試験が 発せられた場合、この監視機能は動作が正しく行われたことを確認することがで きるか、または動作の失敗をただちに検知して、失敗通知を行う。ハード配線さ れた論理の全ての遮断器接点は、4つの全ての部門により並列に連続的に監視さ れる。 (12)正規動作、障害調節、試験、保守または修理のために、手動であれ、 自動であれ、バイパスは必要とされない。ほとんど全てのRPS試験、保守およ び修理を行う際、系全体を停止する必要は無く、一回に1つの部門をいつでもオ フラインとすることができる。オンライン動作への復帰は全自動で行われる。 (13)3つの動作モードが規定されており、人間の誤りの危険性を少なくす るため、各動作モードでの運転員の入力/通信は限定されている。これらのモー ドは、停止/保守、始動/運転、およびスクラムである。 (14)RPSは停止/保守の動作モードでも動作しており、連続的な安全性 が得られる。それの他の系、特にPCSとのインタロック設計のために、ほとん どの原子炉の燃料補給、試験、保守および修理に対してRPSは機能を果たさな ければならない。 停止、保守および燃料補給を含む原子炉の全ての動作モードの間、RPSは積 極的な役割を果たす。インタロック制御棒キャリジ機能により、RPSは偶然の 制御素子の引き上げおよび思いがけない原子炉の運転を防止することができる。 RPSが正しく動作していない場合には一次流体のポンプ作用が行えないように 、EMポンプ遮断器を制御することもRPSは行う。RPSは、燃料補給動作の ため制御棒キャリジ引き上げが行われるようにしなければならず、そして強制的 な制御棒下降試験のため一度に1つの制御素子が引き上げられるように正しく動 作しなければならない。 (15)RPS電子装置の各部門に対する電源は二重の隔離された、電池でバ ックアップされた直流電源であり、直流−交流インバータは無く、施設電力から 電池電力への変更にスイッチングは含まれていない。電源は物理的と電気的の両 方の隔離を使用して、1つの電力系の故障によって第2の電力系の故障が生じな いようにする。RPS電子装置によって共通使用されない独立の二重の、電池で バックアップされたアクチュエータ電源が、各スクラム遮断器の2/4論理列お よびそれが作動させる安全装置に対して設けられている。 (16)RPSの構成要素および部門間の最大の電気的および物理的な隔離を 使用することにより、1つの構成要素の故障がRPSまたは原子炉の全体の運転 を妨げることがないようにする。 (17)RPSは四重の冗長性があり、電子装置および電力の各部門はそれ自 身の計測ボールトに物理的に分割される。部門間の通信のために光ファイバが最 大限に使用される。光ファイバを広範囲に使用することにより、系と構成要素の 高度の隔離が行われる。 (18)安全系の全ての電子装置はRPS計測ボールトの中に配置される。セ ンサおよびアクチュエータだけが格納容器、原子炉の一方または両方に配置され る。アナログセンサおよびディジタルセンサが直接、データ取得装置(DAU) に接続される。頭部アクセス領域および格納容器を含む原子炉領域の中には、電 子装置は無い。可能な場合には、センサとそれの入力電子装置との間のインタフ ェースはRPS計測ボールトの中に配置される。したがって、全ての電子装置は 事故状態のもとで利用できる。全てのRPSセンサは原子炉の設計例では、構成 要素の大きな分解無しに置き換えが行えるように、設置される。RPSボールト の簡単な配線変更で障害センサの「修理/交換」となるように、ほとんどのRP Sセンサには予備が設置されている。 (19)RPSは試験される最小モジュールまで完全にモジュール化され、自 動試験により識別される。故障は自動的に検出され、モジュールの識別結果を含 めて告知されるので、迅速な探索および修理が容易になる。 (20)系はほとんどの人間の(偶然または別の)相互作用に対して許容度が ある。人間の誤りの影響を最小限にするために、系は完全に自動化され、人間の 相互作用を規制(スクラム回復)で必要とされる相互作用および原子炉運転員の 指示による運転モードの変更(始動/運転または停止/保守)のために必要とさ れる相互作用まで最小化する。 (21)停止/保守から始動/運転へ運転モードを変更するという運転員の要 求に応動して、RPSはまずそれ自身のソフトウェアをチェックする。各部門は それのソフトウェアを、より高レベルの「原子炉制御運転員」によって維持され る独立のファイルと照合する。5個のソフトウェアファイルの間の明確な合致に 失敗した場合には、RPSがモード変更を実行し続ける前に解決しなければなら ない。モード変更の必要条件のもう1つの部門は、監視される全てのRPSパラ メータは「正規」でなければならない。これには、トリップ・パラメータが含ま れるだけでなく、インタロックおよび重大な弁の位置の監視も含まれる。最後に RPSは、制御棒ラッチ・コイルを付勢し、全ての制御棒キャリジ上のドライブ イン・モータを復旧させ、電源への上昇を開始してもよいということを運転員に 通知する。 原子炉のスクラムに続いて、RPSが停止/保守モードへ切り替えるように手 動で要求されるまで、PCSインタロック原子炉制御動作は可能でない。これは 、米国連邦規制法に規定された、スクラムに続いて回復を開始するための運転員 入力に合致する。 (22)液体金属原子炉RPSはデータ評価、ソフトウェア論理、連続自己試 験等のためにディジタルおよびコンピュータ技術を広範囲に使用し、原子炉の運 転、系の試験、校正、保守動作等のためのバイパス(手動であれ、自動であれ) を必要としない。 全てのRPSセンサ・データは、一旦ディジタル化されれば、PCSに転送さ れる。中性子束、流量、炉心温度のようなRPSパラメータは、PCSに対する 一次制御帰還パラメータである。 (23)系は、保護機能の低下無しに、そして原子炉の不必要な停止を開始す ることなく、故障およびほとんどの多重故障に順応する。 (24)RPS設計の概念は原子炉のサイズに関係しない。 (25)RPSは他の系とは全く無関係である。しかし、機能上のインタロッ クのため、RPSが正しく働かないと、プラント制御系(PCS)は原子炉を運 転することはできない。 RPSは、原子炉の運転のため正しく動作しなければならない能動的な系であ る。RPSは動作についてプラント制御系(PCS)とは全く無関係であり、P CSを支援するため対話的に動作する。したがってPCSは原子炉の主要な制御 パラメータ情報および制御素子結合についてRPSの正しい動作に依存している ので、PCSは原子炉の運転のために制御素子を引き上げることができる。RP Sは更に独立に、PCSがいつでも行うことができる制御素子の引き上げの量を 制限する。PCSによって行われ、RPSによって制限される機能である、制御 素子の引き上げ機能はRPSには無い。 (26)RPSの全ての能動的なモジュールおよび構成要素はフェイルセイフ である(または、どちらがより安全な選択であるかに応じて、「故障のまま」で ある)。 (27)自動化された自己試験および診断のための監視、出力リレー論理素子 を介したセンサ入力により、安全系の決まりきった手動の監視試験は事実上不要 になる。 原子炉の設計例の受動安全機能は、RPSのスクラムで必要とされる動作が完 了した後、RPSが事故監視のためのセンサを提供し続けるということを意味す る。したがって、RPSの設計は大幅に簡単になる。 上記の実施例は説明の目的で開示されてきた。実施例の変更および変形は原子 炉保護系の熟練した設計者は容易に考えつき得る。このような全ての変更および 変形は請求の範囲に包含されるものである。
───────────────────────────────────────────────────── フロントページの続き (81)指定国 EP(AT,BE,CH,DE, DK,ES,FI,FR,GB,GR,IE,IT,L U,MC,NL,PT,SE),JP,KR 【要約の続き】 決の際に電子装置はそれ自身の予備のセンサ読取り値に 置き換える。センサの読取り値の相互通信により、4つ の理論的に「同じ」値を比較することができる。出力リ レー論理を介したセンサ入力の自動化された自己試験お よび診断監視により、手動の監視試験は事実上不要にな る。

Claims (1)

  1. 【特許請求の範囲】 1.重大なパラメータの監視に応動して安全動作を開始するための系に於いて 、 独立に重大なパラメータの値を検出して、第1乃至第4のセンサ読取り値をそ れぞれ出力する第1乃至第4のセンサ、 上記センサにそれぞれ接続されて、上記第1乃至第4のセンサ読取り値をそれ ぞれ処理する第1乃至第4の部門の電子装置、および 上記第1乃至第4の部門の電子装置の各々が他の部門の電子装置から処理され たセンサ読取り値を受けるように、上記第1乃至第4の部門の電子装置を相互接 続する相互通信チャネルを含み、 上記第1の部門の電子装置は、それ自身のセンサ読取り値が故障により有効で ないと判定する手段、それ自身の有効なセンサ読取り値を予備として記憶する手 段、安全動作禁止信号を出力する手段、上記第2、第3および第4の部門の電子 装置から伝えられた3つの有効なセンサ読取り値の内の任意の2つが設定値を超 えたことに応動して、もしくは上記第2、第3、および第4の部門の電子装置の 内の1つからのセンサ読取り値が有効でないか又は欠けている場合に、予備の有 効なセンサ読取り値と上記第2、第3および第4の部門の電子装置の内の残りの 2つからの2つの有効なセンサ読取り値とで構成される3つの有効なセンサ読取 り値の内の少なくとも2つのセンサ読取り値が上記設定値を超えたことに応動し て、上記安全動作禁止信号の出力を終了させる手段をが含んいること を特徴とする安全動作を開始する系。 2.上記第1の部門の電子装置の上記安全動作禁止信号終了手段が、上記第2 、第3および第4の部門の電子装置の内の2つの電子装置からのセンサ読取り値 が有効でないか又は欠けている場合に、予備の有効なセンサ読取り値と上記第2 、第3および第4の部門の電子装置の内の残りの1つからの有効なセンサ読取り 値とで構成される2つの有効なセンサ読取り値の内のいずれか一方が上記設定値 を超えたことに応動して、安全動作禁止信号の出力を終了させる請求項1記載の 系。 3.更に、上記第1乃至第4の部門の電子装置の各々から出力を受けるように 接続されたハードウェア論理回路を有し、上記ハードウェア論理回路は、上記第 1乃至第4の部門の電子装置の内の少なくとも2つからの安全動作禁止信号の受 信の中断に応動して正規状態から安全動作状態に変わる請求項1記載の系。 4.更に、安全アクチュエータおよび冗長な第1および第2のアクチュエータ の電源回路を有し、上記安全アクチュエータは上記ハードウェア論理回路を介し て上記第1および第2のアクチュエータ電源回路に結合される請求項3記載の系 。 5.開放状態および閉成状態を各々有する第1乃至第4の組の遮断器および上 記第1乃至第4の組の各組の内の遮断器を直列に接続するための電気接続が上記 ハードウェア論理回路に含まれ、上記第1乃至第4の部門の電子装置により上記 第1乃至第4のセンサ読取り値を処理した結果の関数として、上記第1乃至第4 の組の遮断器の状態がそれぞれ制御される請求項4記載の系。 6.上記第1乃至第4の部門の電子装置および上記第1乃至第4の組の遮断器 をそれぞれ収容するための第1乃至第4の計測ボールトも含まれ、上記相互通信 チャネルおよび上記電気接続が上記計測ボールトの壁を貫通し、上記第1および 第2の電源回路が上記第1および第2の計測ボールトの中にそれぞれ収容される 請求項5記載の系。 7.第1乃至第4の直流電源回路、ならびに上記第1乃至第4の部門の電子装 置および上記第1乃至第4の直流電源回路をそれぞれ収容するための第1乃至第 4の計測ボールトも含まれ、上記第1の部門の電子装置は上記第1および第4の 直流電源回路から直流電力を受け、上記第2の部門の電子装置は上記第1および 第2の直流電源回路から直流電力を受け、上記第3の部門の電子装置は上記第2 および第3の直流電源回路から直流電力を受け、上記第4の部門の電子装置は上 記第3および第4の直流電源回路から直流電力を受ける請求項1記載の系。 8.上記第1乃至第4の直流電源回路の各々に、 正規運転の間、上記対応する部門の電子装置および他の1つの部門の電子装置 にそれぞれの隔離ダイオードを介して直流電力を供給するためのそれぞれの、交 流電力を供給される電池の充電器であって、各電池充電器がそれぞれの交流電力 バスから交流電力を受け、各交流電力バスが二重の交流電源から交流電力を受け るような電池の充電器、および 交流電力が止まった場合に上記対応する部門の電子装置および上記他の1つの 部門の電子装置に上記隔離ダイオードを介して直流電力を供給するためのそれぞ れのバックアップ電池であって、正規運転の間、上記それぞれの電池が上記それ ぞれの電池充電器によって充電されるようなバックアップ電池 が含まれる請求項7記載の系。 9.重大なパラメータの監視に応動して安全動作を開始する系に於いて、 重大なパラメータの値を独立に検出して、第1乃至第4のセンサ読取り値をそ れぞれ出力する第1乃至第4のセンサ、 上記センサにそれぞれ接続されて、上記第1乃至第4のセンサ読取り値をそれ ぞれ処理する第1乃至第4の部門の電子装置であって、各々の電子装置はそれ自 身のセンサ読取り値が障害により有効でないとき判定する手段および安全動作禁 止信号を出力する手段を含んでいる第1乃至第4の部門の電子装置、および 上記第1乃至第4の部門の電子装置の各々が他の部門の電子装置から処理され たセンサ読取り値を受けるように、上記第1乃至第4の部門の電子装置を相互接 続する相互通信チャネルを含み、 上記第1の部門の電子装置は、上記第1乃至第4の部門の電子装置の全てが使 用されているときに上記第2乃至第4の部門の電子装置の内の少なくとも2つか ら設定値を超えるセンサ読取り値を受けたことに応動して、もしくは(a)上記 第2乃至第4の部門の電子装置の内の1つが使用されていない状態、(b)残り の3つの部門の電子装置の内の少なくとも2つからのセンサ読取り値が有効であ る状態、および(c)上記3つの有効なセンサ読取り値の内の少なくとも2つが 上記設定値を超えている状態の組に応動して、安全動作禁止信号の出力を終了さ せる手段を含んでいること を特徴とする安全動作を開始する系。 10.上記第1乃至第4の部門の電子装置の内の少なくとも2つからの安全動 作禁止信号の受信の中断に応動して正規状態から安全動作状態に変わるハードウ ェア論理回路も含まれる請求項9記載の系。 11.安全アクチュエータおよび冗長な第1および第2のアクチュエータの電 源回路も含まれ、上記安全アクチュエータは上記ハードウェア論理回路を介して 上記第1および第2のアクチュエータ電源回路に結合される請求項10記載の系 。 12.開放状態および閉成状態を有する第1乃至第4の組の遮断器および上記 第1乃至第4の組の各組の内の遮断器を直列に接続するための電気接続が上記ハ ードウェア論理回路に含まれ、それぞれ上記第1乃至第4の部門の電子装置によ り上記第1乃至第4のセンサ読取り値を処理した結果の関数として、上記第1乃 至第4の組の遮断器の状態がそれぞれ制御される請求項4記載の系。 13.上記第1乃至第4の部門の電子装置および上記第1乃至第4の組の遮断 器をそれぞれ収容するための第1乃至第4の計測ボールトも含まれ、上記相互通 信チャネルおよび上記電気接続が上記計測ボールトの壁を貫通し、上記第1およ び第2の電源回路が上記第1および第2の計測ボールトの中にそれぞれ収容され る請求項12記載の系。 14.第1乃至第4の直流電源回路、ならびに上記第1乃至第4の部門の電子 装置および上記第1乃至第4の直流電源回路をそれぞれ収容するための第1乃至 第4の計測ボールトも含まれ、上記第1の部門の電子装置は上記第1および第4 の直流電源回路から直流電力を受け、上記第2の部門の電子装置は上記第1およ び第2の直流電源回路から直流電力を受け、上記第3の部門の電子装置は上記第 2および第3の直流電源回路から直流電力を受け、上記第4の部門の電子装置は 上記第3および第4の直流電源回路から直流電力を受ける請求項9記載の系。 15.上記第1乃至第4の直流電源回路の各々に、 正規運転の間、上記対応する部門の電子装置および他の1つの部門の電子装置 にそれぞれの隔離ダイオードを介して直流電力を供給するためのそれぞれの、交 流電力を供給される電池の充電器であって、各電池充電器がそれぞれの交流電力 バスから交流電力を受け、各交流電力バスが二重の交流電源から交流電力を受け るような電池の充電器、および 交流電力が止まった場合に上記対応する部門の電子装置および上記他の1つの 部門の電子装置に上記隔離ダイオードを介して直流電力を供給するためのそれぞ れのバックアップ電池であって、正規運転の間、上記それぞれの電池が上記それ ぞれの電池充電器によって充電されるようなバックアップ電池 が含まれる請求項14記載の系。 16.重大な原子炉パラメータの監視に応動して原子炉内のスクラムを開始す るための原子炉保護系に於いて、 重大な原子炉パラメータの値を独立に検出して、第1乃至第4のセンサ読取り 値をそれぞれ出力する第1乃至第4のセンサ、 上記センサにそれぞれ接続されて、上記第1乃至第4のセンサ読取り値をそれ ぞれ処理する第1乃至第4の部門の電子装置であって、各々の電子装置はそれ自 身のセンサ読取り値が障害により有効でないと判定する手段および安全動作禁止 信号を出力する手段を含んでいる第1乃至第4の部門の電子装置、および 上記第1乃至第4の部門の電子装置の各々が他の部門の電子装置から処理され たセンサ読取り値を受けるように、上記第1乃至第4の部門の電子装置を相互接 続する相互通信チャネルを含み、 上記第1乃至第4の部門の電子装置の各々は、上記第1乃至第4の部門の電子 装置の全てが使用されているときには第1のルーチンに従って、そして上記第1 乃至第4の部門の電子装置の内の3つだけが使用されているときには上記第1の ルーチンと異なる第2のルーチンに従って、上記スクラム禁止信号の出力を選択 的に終了させる手段を含み、上記第1および第2のルーチンの各々では、上記ス クラム禁止信号の出力を終了させる前に設定値を超える少なくとも2つの有効な センサ読取り値が存在することが要求されること を特徴とする原子炉保護系。 17.上記第1の部門の電子装置は、それ自身の有効なセンサ読取り値を予備 として記憶する手段、上記第2、第3および第4の部門の電子装置から伝えられ た3つの有効なセンサ読取り値の内の任意の2つが設定値を超えたことに応動し て、もしくは上記第2、第3および第4の部門の電子装置の内の1つからのセン サ読取り値が有効でないか又は欠けている場合に、予備の有効なセンサ読取り値 と上記第2、第3および第4の部門の電子装置からの任意の有効なセンサ読取り 値とで構成される3つの有効なセンサ読取り値の内の少なくとも2つのセンサ読 取り値が上記設定値を超えたことに応動して、上記スクラム禁止信号の出力を終 了させる手段を含んでいる請求項16記載の原子炉保護系。。 18.上記第1の部門の電子装置の上記スクラム禁止信号終了手段が代わりに 、上記第2、第3、および第4の部門の電子装置の内の2つの電子装置からの非 有効または欠けたセンサ読取り値、ならびに(予備の有効なセンサ読取り値およ び 上記第2、第3、および第4の部門の電子装置の内の残りの1つからの有効なセ ンサ読取り値で構成される)2つの有効なセンサ読取り値の内のいずれか一方が 上記設定値を超えたことに応動して、スクラム禁止信号を終了させる請求項17 記載の原子炉保護系。 19.上記第1乃至第4の部門の電子装置の各々から出力を受けるように接続 されたハードウェア論理回路も含まれ、上記第1乃至第4の部門の電子装置の内 の少なくとも2つからのスクラム禁止信号の受信の中断に応動して上記ハードウ ェア論理回路が正規状態からスクラム状態に変わる請求項16記載の原子炉保護 系。 20.安全アクチュエータおよびアクチュエータ電源回路も含まれ、上記安全 アクチュエータが上記第1のハードウェア論理回路を介して上記アクチュエータ 電源回路に結合され、上記第1乃至第4の部門の電子装置の内の少なくとも2つ からのスクラム信号の受信に応動して上記安全アクチュエータと上記アクチュエ ータ電源回路との間の電気接続を選択的に形成または切断するための遮断器が上 記第1のハードウェア論理回路に含まれる請求項19記載の原子炉保護系。 21.重大なパラメータの監視に応動して安全動作を開始するための自己試験 系に於いて、 重大なパラメータの値を独立に検出して、第1乃至第4のセンサ読取り値をそ れぞれ出力する第1乃至第4のセンサ、 上記第1乃至第4のセンサにそれぞれ接続されて、上記第1乃至第4のセンサ の読取り値をそれぞれ処理する第1乃至第4の部門の電子装置であって、各々の 電子装置はそれぞれのセンサ読取り値が所定の閾値電圧より低いことに応動して 安全動作禁止信号を出力し、上記それぞれのセンサ読取り値が上記所定の閾値電 圧より高いことに応動して上記安全動作禁止信号の出力を終了させる手段を含ん でいる第1乃至第4の部門の電子装置、および 上記第1乃至第4の部門の電子装置の各々が他の部門の電子装置から処理され たセンサ読取り値を受けるように、上記第1乃至第4の部門の電子装置を相互接 続する相互通信チャネルを含み、 上記第1乃至第4の部門の電子装置の各々は、上記それぞれのセンサ読取り値 の代わりにそれぞれの基準電圧を入力する手段、および上記部門の電子装置の内 の1つの部門の電子装置のそれ自身の基準電圧に対する応答と他の1つの部門の 電子装置のそれ自身の基準電圧に対する応答との差を検出する手段を含んでいる ことを 特徴とする自己試験系。 22.上記第1乃至第4の部門の電子装置の各々は、上記それぞれのセンサお よび上記それぞれの基準電圧源を順にポーリングするマルチプレクサ手段を含ん でいる請求項21記載の自己試験系。 23.上記第1乃至第4の部門の電子装置の各々は、上記第1乃至第4のセン サからのセンサ読取り値をそれぞれサンプリングする手段、上記サンプリングさ れたセンサ読取り値を多数の過去のセンサ読取り値と平均化する手段、およびセ ンサの故障を表示するために平均センサ読取り値を所定のセンサの正当限界と比 較する手段を更に含んでいる請求項21記載の自己試験系。 24.上記サンプリングされたセンサ読取り値をディジタル化するための手段 、および上記通信チャネルを経由して他の部門の電子装置に送信するために上記 ディジタル化されたセンサ読取り値に検証フラグを追加するための手段も上記第 1乃至第4の部門の電子装置の各々に含まれ、上記検証フラグは現在のセンサ読 取り値を所定のセンサの正当限界と比較した結果の関数である請求項23記載の 自己試験系。 25.異なる部門の電子装置によって処理された有効なセンサ読取り値の非一 様性に応動して誤りメッセージを発するための手段も上記第1乃至第4の部門の 電子装置の各々に含まれる請求項24記載の自己試験系。 26.更に、上記第1乃至第4の部門の電子装置の各々から出力を受けるよう に接続されたハードウェア論理回路を有し、上記ハードウェア論理回路は、上記 第1乃至第4の部門の電子装置の内の少なくとも2つからの安全動作禁止信号の 受信の中断に応動して正規状態から安全動作状態に変わる請求項21記載の自己 試験系。 27.安全アクチュエータおよびアクチュエータ電源回路も含まれ、上記安全 アクチュエータが上記ハードウェア論理回路を介して上記アクチュエータ電源回 路に結合される請求項25記載の自己試験系。 28.重大なパラメータの監視に応動して安全動作を開始するための自己試験 系に於いて、 上記重大なパラメータを監視する第1乃至第4の手段、 上記重大なパラメータが所定の閾値を超えないときには第1乃至第4の連続し た安全動作禁止信号を発し、上記重大なパラメータが上記所定閾値を超えたとき にはそれぞれの安全動作禁止信号を中断する第1乃至第4の部門の処理手段、 上記第1乃至第4の部門の処理手段の各々から出力を受けるように接続された ハードウェア論理回路であって、上記第1乃至第4の部門の処理手段の内の少な くとも2つによる上記安全動作禁止信号の中断に応動して正規状態から安全動作 状態に変わるハードウェア論理回路、 安全アクチュエータ、 上記ハードウェア論理回路を介して上記アクチュエータが結合されるアクチュ エータ電源回路、および 上記ハードウェア論理回路の状態を検出する手段を含み、 上記第1乃至第4の部門の処理手段の各々は、上記ハードウェア論理回路の障 害状態を上記検出手段の出力の関数として診断する手段を含んでいること を特徴とする自己試験系。 29.上記状態検出手段は、上記ハードウェア論理回路のそれぞれの部門の状 態を表すそれぞれのアナログ信号を出力する複数のセンサ、および上記複数のア ナログ信号をハードウェア論理状態符号を構成する対応する複数のディジタル信 号に変換する手段を含み、上記診断手段は上記ハードウェア論理状態符号に依存 して上記ハードウェア論理回路内に障害が存在するか否かを示す信号を出力する 請求項28記載の自己試験系。 30.各々が開放状態および閉成状態を有する第1乃至第4の組の遮断器およ び上記第1乃至第4の組の各組の内の遮断器を直列に接続するための電気接続が 上記ハードウェア論理回路に含まれ、それぞれ上記第1乃至第4の部門の処理手 段による信号出力の関数として、上記第1乃至第4の組の遮断器の状態がそれぞ れ制御される請求項29記載の自己試験系。 31.第2から第4の部門の処理手段がそれぞれ上記第2から第4組の遮断器 に安全動作禁止信号を出力している時間の間に、上記第1組の遮断器への安全動 作禁止信号の出力を終了させるための試験手段も上記第1の部門の処理手段に含 まれる請求項30記載の自己試験系。 32.読取り専用記憶(ROM)に記憶された多数の基準ハードウェア論理状 態符号が上記診断手段に含まれる 請求項30記載の自己試験系。 33.上記遮断器を相互接続することにより、電流遮断論理回路が形成される 請求項30記載の自己試験系。 34.上記電流遮断論理回路の内の遮断器相互の間の異なる結合点に接続され て、上記それぞれの結合点での電流の関数としてそれぞれのアナログ出力信号を 出力する電流センサが上記複数のセンサに含まれる請求項33記載の自己試験系 。 35.上記遮断器を相互接続することにより、電圧形成論理回路が形成される 請求項30記載の自己試験系。 36.上記電圧形成論理回路の内の遮断器の両端間に接続されて、上記それぞ れの遮断器の両端間の電圧の関数としてそれぞれのアナログ出力信号を出力する 電圧センサが上記複数のセンサに含まれる請求項35記載の自己試験系。 37.重大な原子炉パラメータの監視に応動して原子炉のスクラムを開始する ための自己試験原子炉保護系に於いて、 重大な原子炉パラメータの値を独立に検出して、第1乃至第4のセンサ読取り 値をそれぞれ出力する第1乃至第4の原子炉パラメータ・センサ、 上記第1乃至第4の原子炉パラメータ・センサにそれぞれ接続されて、上記第 1乃至第4のセンサ読取り値をそれぞれ処理する第1乃至第4の部門の電子装置 であって、各々の電子装置は上記それぞれのセンサ読取り値が所定の閾値電圧よ り低いことに応動してスクラム禁止信号を出力し、上記それぞれのセンサ読取り 値が上記所定の閾値電圧より高いことに応動して上記スクラム禁止信号の出力を 終了させる手段を含んでいる第1乃至第4の部門の電子装置、および 上記第1乃至第4の部門の電子装置の各々が他の部門の電子装置から処理され たセンサ読取り値を受けるように、上記第1乃至第4の部門の電子装置を相互接 続する相互通信チャネルを含み、 上記第1乃至第4の部門の電子装置の各々は、上記それぞれのセンサ読取り値 の代わりに上記所定の閾値電圧より大きいそれぞれの基準電圧を入力する手段、 上記それぞれの基準電圧の入力に拘わらずスクラム禁止信号を出力する手段、上 記部門の電子装置の内の1つの部門の電子装置のそれ自身の基準電圧に対する応 答と他の部門の電子装置のそれ自身の基準電圧に対する応答との差を検出する手 段、および異なる部門の電子装置によって処理されたセンサ読取り値の非一様性 に応動して誤りメッセージを発する手段を含んでいること を特徴とする自己試験原子炉保護系。 38.更に、上記第1乃至第4の部門の電子装置の各々から出力を受けるよう に接続されたハードウェア論理回路であって、上記第1乃至第4の部門の電子装 置の内の少なくとも2つによる上記スクラム禁止信号の中断に応動して正規状態 からスクラム状態に変わるハードウェア論理回路、 スクラム動作を行うための安全アクチュエータ、 上記ハードウェア論理回路を介して上記アクチュエータが結合されるアクチュ エータ電源回路、および 上記ハードウェア論理回路の状態を検出する複数のハードウェア論理状態セン サを有し、 上記第1乃至第4の部門の電子装置の各々が上記ハードウェア論理回路の障害 状態を上記ハードウェア論理状態センサの出力の関数として診断する手段を含ん でいる請求項37記載の自己試験原子炉保護系。 39.各々が開放状態および閉成状態を有する第1乃至第4の組の遮断器およ び上記第1乃至第4の組の各組の内の遮断器を直列に接続するための電気接続が 上記ハードウェア論理回路に含まれ、それぞれ上記第1乃至第4の部門の電子装 置による信号出力の関数として、上記第1乃至第4の組の遮断器の状態がそれぞ れ制御され、第2から第4の部門の処理手段がそれぞれ上記第2から第4組の遮 断器にスクラム禁止信号を出力している時間の間に、上記第1組の遮断器へのス クラム禁止信号の出力を終了させるための試験手段も上記第1の部門の処理手段 に含まれる請求項38記載の自己試験原子炉保護系。 40.上記それぞれの原子炉パラメータセンサおよび上記ハードウェア論理状 態センサを順にポーリングするためのマルチプレクサ手段、およびもう1つの部 門の電子装置による動作状態の試験が検出されたとき上記試験手段の動作を防止 するための手段も上記第1乃至第4の部門の電子装置の各々に含まれる請求項1 9記載の自己試験原子炉保護系。 41. 重大なパラメータの値を独立に検出して、第1乃至第4のセンサ読取 り値をそれぞれ出力する第1乃至第4のセンサ、上記第1乃至第4のセンサにそ れぞれ接続されて、上記第1乃至第4のセンサ読取り値をそれぞれ処理する第1 乃至第4の部門の電子装置であって、各々の電子装置は上記それぞれのセンサ読 取り値がそれぞれの所定の閾値電圧より低いことに応動して安全動作禁止信号を 出力し、上記それぞれのセンサ読取り値が上記それぞれの所定の閾値電圧より高 いことに応動して上記安全動作禁止信号の出力を終了させる手段を含んでいる第 1乃至第4の部門の電子装置、および上記第1乃至第4の部門の電子装置の各々 が他の部門の電子装置から処理されたセンサ読取り値を受けるように、上記第1 乃至第4の部門の電子装置を相互接続する相互通信チャネルをそなえている、重 大なパラメータの監視に応動して安全動作を開始する系を試験するための方法に 於いて、 各ポーリング・サイクルの間に一回、上記第1乃至第4のセンサを順にポーリ ングするステップ、 各ポーリング・サイクルの間に上記それぞれの所定の閾値レベルを超えるレベ ルを有するそれぞれの基準信号を入力するステップであって、上記基準電圧がセ ンサ入力として扱われるような入力ステップ、 上記ポーリング・サイクルの内の選択された1つのポーリング・サイクルの間 に上記それぞれの基準信号が上記それぞれの所定の閾値レベルを超えたことに応 動して、上記第1乃至第4の部門の電子装置の内の選択された1つの部門の電子 装置により上記それぞれの安全動作禁止信号の出力を終了させるステップ、およ び 上記それぞれの基準信号が上記それぞれの所定の閾値レベルを超えたことに応 動して、上記第1乃至第4の部門の電子装置の内で上記選択されたものと異なる 部門の電子装置により上記それぞれの安全動作禁止信号の出力の終了を禁止する ステップ を含んでいることを特徴とする方法。
JP9506735A 1995-07-14 1996-07-11 原子炉保護系 Pending JPH10506476A (ja)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US08/502,337 1995-07-14
US08/502,411 1995-07-14
US08/502,337 US5586156A (en) 1995-07-14 1995-07-14 Reactor protection system with automatic self-testing and diagnostic
US08/502,411 US5621776A (en) 1995-07-14 1995-07-14 Fault-tolerant reactor protection system
PCT/US1996/011521 WO1997004463A1 (en) 1995-07-14 1996-07-11 Reactor protection system

Publications (1)

Publication Number Publication Date
JPH10506476A true JPH10506476A (ja) 1998-06-23

Family

ID=27054121

Family Applications (2)

Application Number Title Priority Date Filing Date
JP9506735A Pending JPH10506476A (ja) 1995-07-14 1996-07-11 原子炉保護系
JP2007048556A Pending JP2007183285A (ja) 1995-07-14 2007-02-28 パラメータの監視に応動して安全動作を開始するための自己試験系、自己試験原子炉保護系及び方法

Family Applications After (1)

Application Number Title Priority Date Filing Date
JP2007048556A Pending JP2007183285A (ja) 1995-07-14 2007-02-28 パラメータの監視に応動して安全動作を開始するための自己試験系、自己試験原子炉保護系及び方法

Country Status (5)

Country Link
EP (1) EP0781451B1 (ja)
JP (2) JPH10506476A (ja)
KR (1) KR970706581A (ja)
DE (1) DE69618160T2 (ja)
WO (1) WO1997004463A1 (ja)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002084151A (ja) * 2000-06-28 2002-03-22 Denso Corp 物理量検出装置
JP2003518682A (ja) * 1999-12-23 2003-06-10 ピルツ ゲーエムベーハー アンド コー. 設備、特に機械設備の安全な断路を行なうための回路配置
JP2003215284A (ja) * 2001-12-21 2003-07-30 General Electric Co <Ge> トランスポンダカード、制御システム及び方法
JP2017501419A (ja) * 2013-12-31 2017-01-12 ニュースケール パワー エルエルシー 原子炉保護システム及び方法
JP2020514700A (ja) * 2016-12-30 2020-05-21 ニュースケール パワー エルエルシー 原子炉保護システム及び方法
JP2022503741A (ja) * 2018-10-31 2022-01-12 ジーイー-ヒタチ・ニュークリア・エナジー・アメリカズ・エルエルシー ファラデーの法則を利用した安全システムによる停止のための受動電気部品

Families Citing this family (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5984504A (en) * 1997-06-11 1999-11-16 Westinghouse Electric Company Llc Safety or protection system employing reflective memory and/or diverse processors and communications
FR2826726B1 (fr) * 2001-06-29 2004-01-16 Ttk Dispositif numerique de detection et de localisation de fuites de liquide
SE527441C2 (sv) * 2003-12-23 2006-03-07 Abb Research Ltd Förfarande vid ett säkerhetssystem för styrning av en process eller utrustning
DE102005060720A1 (de) * 2005-12-19 2007-06-28 Siemens Ag Überwachungssystem, insbesondere Schwingungsüberwachungssystem und Verfahren zum Betrieb eines solchen Systems
JP5701033B2 (ja) * 2010-12-09 2015-04-15 三菱重工業株式会社 原子炉停止装置
CN102324258B (zh) * 2011-06-17 2014-06-04 中广核工程有限公司 一种防止核电站atwt机柜误驱动的方法和系统
WO2013080321A1 (ja) * 2011-11-30 2013-06-06 三菱重工業株式会社 再生エネルギー型発電装置およびその制御方法
KR101395103B1 (ko) * 2012-09-03 2014-05-19 동국대학교 경주캠퍼스 산학협력단 원자력발전소 사용후연료 저장조의 보조 감시시스템 및 이를 이용한 감시 방법
US10304575B2 (en) 2013-12-26 2019-05-28 Nuscale Power, Llc Actuating a nuclear reactor safety device
CN105575448B (zh) * 2015-12-15 2017-10-31 中广核工程有限公司 核电站反应堆保护系统及其中的安全控制方法
JP6721423B2 (ja) * 2016-06-14 2020-07-15 株式会社日立製作所 アプリロジックおよびその検証方法
US10579637B2 (en) 2016-11-18 2020-03-03 Accenture Global Solutions Limited Sensor data generation and response handling stack
EP3563387B1 (en) 2016-12-30 2021-11-17 NuScale Power, LLC Control rod damping system
CN112016185A (zh) * 2020-07-06 2020-12-01 中国核电工程有限公司 一种核电厂事故应对系统投运方式设计方法
CN112562878A (zh) * 2020-11-25 2021-03-26 三门核电有限公司 核电厂反应堆保护和监测系统响应时间测量装置及方法
CN113658733B (zh) * 2021-09-07 2024-04-09 山东核电有限公司 一种核电汽轮机的控制系统装置及其控制方法

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4661310A (en) * 1983-10-27 1987-04-28 Westinghouse Electric Corp Pulsed multichannel protection system with saturable core magnetic logic units
US4804515A (en) * 1984-10-31 1989-02-14 Westinghouse Electric Corp. Distributed microprocessor based sensor signal processing system for a complex process
US4752869A (en) * 1985-05-09 1988-06-21 Westinghouse Electric Corp. Auxiliary reactor protection system
EP0221775B1 (en) * 1985-10-31 1991-10-09 Westinghouse Electric Corporation Testable voted logic power circuit and method of testing the same
JPH0731537B2 (ja) * 1987-09-11 1995-04-10 株式会社日立製作所 多重化制御装置

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003518682A (ja) * 1999-12-23 2003-06-10 ピルツ ゲーエムベーハー アンド コー. 設備、特に機械設備の安全な断路を行なうための回路配置
JP2002084151A (ja) * 2000-06-28 2002-03-22 Denso Corp 物理量検出装置
JP2003215284A (ja) * 2001-12-21 2003-07-30 General Electric Co <Ge> トランスポンダカード、制御システム及び方法
JP2017501419A (ja) * 2013-12-31 2017-01-12 ニュースケール パワー エルエルシー 原子炉保護システム及び方法
JP2020034575A (ja) * 2013-12-31 2020-03-05 ニュースケール パワー エルエルシー 原子炉保護システム及び方法
US11017907B2 (en) 2013-12-31 2021-05-25 Nuscale Power, Llc Nuclear reactor protection systems and methods
US11728051B2 (en) 2013-12-31 2023-08-15 Nuscale Power, Llc Nuclear reactor protection systems and methods
JP2020514700A (ja) * 2016-12-30 2020-05-21 ニュースケール パワー エルエルシー 原子炉保護システム及び方法
JP2022160445A (ja) * 2016-12-30 2022-10-19 ニュースケール パワー エルエルシー 原子炉保護システム
US11961625B2 (en) 2016-12-30 2024-04-16 Nuscale Power, Llc Nuclear reactor protection systems and methods
JP2022503741A (ja) * 2018-10-31 2022-01-12 ジーイー-ヒタチ・ニュークリア・エナジー・アメリカズ・エルエルシー ファラデーの法則を利用した安全システムによる停止のための受動電気部品

Also Published As

Publication number Publication date
KR970706581A (ko) 1997-11-03
JP2007183285A (ja) 2007-07-19
DE69618160T2 (de) 2002-09-05
DE69618160D1 (de) 2002-01-31
WO1997004463A1 (en) 1997-02-06
EP0781451B1 (en) 2001-12-19
EP0781451A1 (en) 1997-07-02

Similar Documents

Publication Publication Date Title
US5586156A (en) Reactor protection system with automatic self-testing and diagnostic
US5621776A (en) Fault-tolerant reactor protection system
JP2007183285A (ja) パラメータの監視に応動して安全動作を開始するための自己試験系、自己試験原子炉保護系及び方法
JP7203154B2 (ja) 原子炉保護システムとこれを動作させる方法
KR102514568B1 (ko) 핵 반응기 보호 시스템 및 방법
EP0180085B1 (en) Distributed microprocessor based sensor signal processing system for a complex process
CA1180133A (en) Nuclear reactor power supply
GB2265727A (en) Compact work station control room
KR100875467B1 (ko) 독립적 이중화 구조 리던던시를 갖는 디지털 원자로보호계통 및 그 방법
Husseiny et al. Operating procedure automation to enhance safety of nuclear power plants
Pirus et al. The computerised procedures for the French N4 series
Park et al. Design of instrumentation and control system for research reactors
Kanga et al. An Intelligent Operator Support System for Initial Emergency Responses in NPPs
Shin et al. DIVERSITY AND DEFENSE-IN-DEPTH ANALYSIS FOR I&C SYSTEMS OF RESEARCH REACTORS: A CASE STUDY ON TWO RESEARCH REACTORS
Ohga et al. An event-oriented method for determining operation guides under emergency conditions in boiling water reactors
Dusek Two significant events in the NPP Dukovany in 1995
Shirasawa et al. Digital I&C System in the US-APWR
Govindarajan et al. Computer based C and I systems in Indian PHWRs
Satoh et al. Development of an Advanced Man-Machine System for Japanese PWR Plants
Director Mr. Richard Conti NRC Region 1, Chief Examiner Mr. Larry Briggs NRC Region 1, Lead Examiner Gentlemen
GOVINDARAJAN MP SHARMA