KR100664530B1 - 소프트 제어 사람-기계 인터페이스로부터 채널디멀티플렉서와 확인 스위치를 제거하기 위한 방법 및 장치 - Google Patents

소프트 제어 사람-기계 인터페이스로부터 채널디멀티플렉서와 확인 스위치를 제거하기 위한 방법 및 장치 Download PDF

Info

Publication number
KR100664530B1
KR100664530B1 KR1020027004380A KR20027004380A KR100664530B1 KR 100664530 B1 KR100664530 B1 KR 100664530B1 KR 1020027004380 A KR1020027004380 A KR 1020027004380A KR 20027004380 A KR20027004380 A KR 20027004380A KR 100664530 B1 KR100664530 B1 KR 100664530B1
Authority
KR
South Korea
Prior art keywords
control
command
ips
control system
power plant
Prior art date
Application number
KR1020027004380A
Other languages
English (en)
Other versions
KR20020059607A (ko
Inventor
커레리제프리엠.
Original Assignee
웨스팅하우스 일렉트릭 컴패니 엘엘씨
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 웨스팅하우스 일렉트릭 컴패니 엘엘씨 filed Critical 웨스팅하우스 일렉트릭 컴패니 엘엘씨
Publication of KR20020059607A publication Critical patent/KR20020059607A/ko
Application granted granted Critical
Publication of KR100664530B1 publication Critical patent/KR100664530B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G21NUCLEAR PHYSICS; NUCLEAR ENGINEERING
    • G21FPROTECTION AGAINST X-RADIATION, GAMMA RADIATION, CORPUSCULAR RADIATION OR PARTICLE BOMBARDMENT; TREATING RADIOACTIVELY CONTAMINATED MATERIAL; DECONTAMINATION ARRANGEMENTS THEREFOR
    • G21F3/00Shielding characterised by its physical form, e.g. granules, or shape of the material
    • GPHYSICS
    • G21NUCLEAR PHYSICS; NUCLEAR ENGINEERING
    • G21DNUCLEAR POWER PLANT
    • G21D3/00Control of nuclear power plant
    • G21D3/001Computer implemented control
    • GPHYSICS
    • G21NUCLEAR PHYSICS; NUCLEAR ENGINEERING
    • G21DNUCLEAR POWER PLANT
    • G21D3/00Control of nuclear power plant
    • G21D3/008Man-machine interface, e.g. control room layout
    • GPHYSICS
    • G21NUCLEAR PHYSICS; NUCLEAR ENGINEERING
    • G21DNUCLEAR POWER PLANT
    • G21D3/00Control of nuclear power plant
    • G21D3/08Regulation of any parameters in the plant
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02EREDUCTION OF GREENHOUSE GAS [GHG] EMISSIONS, RELATED TO ENERGY GENERATION, TRANSMISSION OR DISTRIBUTION
    • Y02E30/00Energy generation of nuclear origin
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02EREDUCTION OF GREENHOUSE GAS [GHG] EMISSIONS, RELATED TO ENERGY GENERATION, TRANSMISSION OR DISTRIBUTION
    • Y02E30/00Energy generation of nuclear origin
    • Y02E30/30Nuclear fission reactors

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • High Energy & Nuclear Physics (AREA)
  • Plasma & Fusion (AREA)
  • Safety Devices In Control Systems (AREA)

Abstract

원자력 발전소에서 소자 제어 시스템 내의 소자를 제어하기 위한 방법 및 장치는, 원자력 발전소에서 소자 명령 시스템(CCS) 내의 선택된 소자에 대한 암호화된 명령을 발송하기 위한 이미지 프로세싱 시스템 및 디스플레이 프로세서(IPS-DP)와, 상기 암호화된 명령을 수신하며 제어 명령을 상기 선택된 소자로 발송하기 위하여 CCS 내의 상기 선택된 소자와 상기 명령을 매치시키기 위한 소프트 제어기, 및 상기 IPS-DP 및 소프트 제어기로부터 상기 암호화된 명령을 수신하며, 상기 암호화된 명령을 해독하며, 그리고 인증되면, CCS 내의 상기 선택된 소자를 위한 제어 명령을 발송하기 위한 제어 채널 게이트웨이를 포함한다. 본 발명에 따르면 적용가능한 코드와 규정에 따르면서 보안(security)과 격리(isolation)가 보장된다.

Description

소프트 제어 사람-기계 인터페이스로부터 채널 디멀티플렉서와 확인 스위치를 제거하기 위한 방법 및 장치{METHOD AND APPARATUS TO ELIMINATE CONFIRMATION SWITCHES AND CHANNEL DEMULTIPLEXER FROM SOFT CONTROL MAN-MACHINE INTERFACE(MMI)}
본 발명에 대한 이 출원은 동일 발명자에 의해 1999년 10월 7일에 출원된 미국 가출원 번호 60/158,030에 관한 것이며 이 미국 가출원의 우선권을 주장하는 것이다.
본 발명은 일반적으로 원자로 발전 시스템(nuclear reactor power generation systems)을 위한 제어 시스템에 관한 것이다. 보다 상세하게는, 본 발명은 소프트 제어 디자인 개념(soft control design concept)을 사용하여 확인 스위치(confirmation switches)와 채널 디멀티플렉서(channel demultiplexer)를 제거함으로써 안전 제어(safety control) 및 비-안전 제어(non-safety control)를 기능적으로 격리시키는 그러한 제어 시스템에 관한 것이다. 보다 더 구체적으로, 본 발명은 제어 채널 게이트웨이(control channel gateway)에 의해 수신된 명령 제어 데이터에 대한 데이터 암호화를 사용하게 하면서도 사람-기계 인터페이스(MMI : man-machine interface)를 향상시키는 그러한 제어 시스템에 관한 것이다.
대참사의 고장(catastrophic failure)을 야기할 수 있는 소자의 고장을 방지하기 위해 원자로 발전 시스템에는 복잡한 제어 구조(complex control schemes)가 적절히 놓여 있다. 이러한 제어 구조는 그 제어 구조의 디자인의 기초로서 연관된 이미지 프로세싱 시스템(IPS: image processing system)과 음극선관(CRT:cathode ray tube) 또는 평면 패널 디스플레이(FPD: flat panel display) 및 디스플레이 프로세서(DP: display processor)와 협력하는 단일 디스플레이 디바이스로부터의 연속 및 개별적인 제어 기능을 사람 오퍼레이터가 제어하는 용도를 가진다. 현 시스템에서, 각 오퍼레이터 워크스테이션(operator workstation)과 원격 운전정지 제어 패널(remote shutdown control panel)에는 제어기가 제공되어 있다. 이 제어기는 안전-관련 공학적 안전 설비 - 소자 제어 시스템(ESF-CCS: engineered safety features - component control system) 또는 비-안전-관련 프로세스-소자 제어 시스템(P-CCS: process - component control system)에 제어 채널 게이트웨이(CCG: control channel gateways)에 의해 링크되어 있다. 우선순위 인터로크(priority interlock)는 ESF 작용(actuation)이 진행 중일 때 안전 CCS에 대한 제어기로부터의 임의의 영향을 차단하기 위해 CCG 내에 병합되어 있다.
제어기는 제어되는 모든 파라미터의 연속 디스플레이를 제공할 뿐만 아니라 어느 경우에는 제어를 위해 선택된 소자와 연관된 소자의 파라미터에 대한 연속 디스플레이를 통상 제공한다. 오퍼레이터가 최적의 프로세스 제어에 필요한 모든 정보를 가지는 것을 보장하기 위해, 제어되는 모든 파라미터에 대한 연속적인 디스플레이가 제공된다. 본 제어 기술에서는 제어 기능을 구현하는데 필요한 하드웨어와 디자인의 양을 줄이고 그리고 신뢰도(reliability)를 향상시키지 않을 경우에는 신뢰도를 유지하면서, 제어기의 사용에서 인간적인 요인(human factor)과 오퍼레이터 효율(operator efficiency)을 향상시키는 것이 오랫동안 추구되어 왔다.
이러한 시스템에서 그리고 인간적인 요인의 관점(perspective)으로부터, 제어 기능을 수행하기 위해 확인 스위치(confirmation switch)를 병합한 이전의 제어 디자인에 필요한 세 가지 단계가 있다. 오퍼레이터는 먼저 IPS 디스플레이로부터 선택을 하고 이후 확인 스위치를 누르며, 세 번째로 제어 디스플레이로부터 선택된 소자를 조작할 필요가 있었다. 확실한 제어 조치(certain control actions)를 위한, 이들 단계는 매우 지루하고 시간이 드는 것으로 판명되었다. 따라서, 신뢰도나 안전도를 희생시키지 않으면서도 확인 스위치를 줄이거나 또는 제거하는 것과 같이 하드웨어 제어의 수를 줄이는 것이 원자력 발전소 제어 시스템을 향상시키게 하는 목적이다.
이러한 시스템에서 하드웨어/소프트웨어의 구현을 고려할 때, 어떤 기능들은 이전의 디자인을 통합하는데 복잡하고 고가로 만들었다. 더욱이, 이전의 디자인을 구현하는데 필요한 다수의 하드웨어 요소는 신뢰성이 떨어지는 구성으로 되어 있었다. 추가로, 그 디자인에서 모든 소프트웨어 기반 요소(every software-based element)는 기능을 구현하는 것을 간단하게 하기 위한 것 뿐만 아니라 소프트웨어와 연관되고 안전성 분석과 관련된 임무를 지원하기 위한 개발 시간을 추가하였다. 따라서, 규정의 관점(regulatory point of view)으로부터 방어가능한 디자인(defensible design)을 유지하면서도 이들 종류의 문제를 처리하기 위해 제 어 디자인을 향상시키는데에 일 목적이 있다.
원자력 발전소 안전 시스템의 효율과 기능을 평가할 때 데이터 보안이 오랫동안 중요한 문제였다. 하나의 개념으로서 리던던시(redundancy)가 자주 데이터 보안(data security)과 시스템 무결성(system integrity)을 확보하기 위해 확률과 통계 분석에 종종 사용되었지만, 본 발명의 전체적 목적은 최근의 가장 안전한 암호화 기술을 최적화된 제어 디자인에 도입하는 것이다. 간단하게 하기 위하여, 이전의 노력을 논의할 때는, 용어 "제어(control)", 또는 그런 종류의 다른 것이 사용되는 반면, 본 발명을 논할 때는, 용어 "소프트 제어(soft control)"가 명칭을 식별하는 것으로 사용될 것이다. 현재의 제어 시스템은 검출되지 않은 비트 에러의 영향을 받기 쉬운 여러 종류의 에러 검출 프로토콜과 통신한다. 따라서, 데이터 암호화는, 기본적으로 그러나 반드시 배타적이지는 않게 본 발명이 목적으로 하는 타입의 원자력 발전소 제어 시스템에서 데이터를 전송하며 그 데이터를 정확하게 수신된 것으로 보증(certify)하기 위한 강력한 도구를 제공할 수 있을 것으로 기대된다.
향상된 디자인은 현재의 코드와 표준을 충족하여야 한다. IEEE 603-1991, "원자력 발전소를 위한 안전 시스템의 기준(Criteria for Safety Systems for Nuclear Power Generating Stations)"은 원자력 발전소(NPP: nuclear power plant) 적용시에 사용하기 위한 전력, 기기, 및 제어 시스템(Power, Instrumentation and Control systems)을 위한 직접 적용하는 안전 관련 시스템에 필요한 구체적 최소 기능적 기준을 논의한다. 그 표준의 섹션 5.1의 단일 고장 기준에 따르면,
"안전 시스템은, 식별가능(identifiable)하지만 검출가능하지 않은(non-detectable) 모든 고장과 동시에 심지어 안전 시스템 내의 임의의 단일 검출가능한 고장의 존재에서도 디자인에 기초하여 모든 안전 기능을 수행하여야 한다."
는 것이 명시되어 있다. 이 기준에 따르면,
"안전 시스템의 확률 평가(probability assessment)의 성능은 그 기준의 적용에 어떤 가정된 고장(postulated failure)이 고려될 필요가 없다는 것을 증명하는데 사용될 수 있다. 확률 평가는 믿을 수 없는 이벤트와 고장의 고려 사항을 제거하는데 사용된다."
는 것을 명시함으로써 더 명백하게 하고 있다.
IEEE 표준 352-1987은 신뢰성 분석의 성능에서 적용가능한 가이드로서 언급되어 있다.
추가로, IEEE 603, 섹션 5.6.3에 따르면,
"안전 시스템은 [비-안전 시스템을 포함하는] 다른 시스템 내의 믿을 만한 고장과 다른 시스템에 의한 필연적인 조치는 이 안전 시스템을, [그 표준의] 요건을 충족하지 못하게 하여서는 아니된다."
라고 명시되어 있다.
따라서, 이 섹션에 따라, 안전 시스템의 역할에 따른 설비의 분류는, 이 설비가 안전 기능과 비-안전 기능 모두에 사용되는 것이나 또는 이 설비가 안전 시스템의 경계에서 격리 디바이스로서 사용되는 것을 수립함으로써 결정된다.
이전의 시스템은 제어 명령의 정확도를 보장하기 위해 보안 기구(security mechanism)로서 확인 스위치를 종종 사용한다. 이러한 스위치는 안전 시스템과 비-안전 관련 MMI 사이의 "안전 브레이크(safety break)"를 제공하였다. 전형적인 이전의 시스템에서 지정된 확인 및 채널 선택이 일어나지 않는 한, 제어 명령이 제어 채널 게이트웨이로 통과될 수 없었다. 이러한 임무는 비효율적인 것으로 판명되었다. 따라서, 본 발명의 목적은 확인 스위치와 복잡한 멀티플렉서 배열의 요구를 제거하는 원자력 발전소용 소자 제어 시스템을 제공하는 것이다.
따라서, 본 발명의 전반적인 목적은 코드, 표준, 및 규정에 따르면서도 확인 또는 채널 선택 스위치의 요구를 제거하는 원자로 발전 시스템용 소자 제어 시스템을 제공하는 것이다.
본 발명의 다른 일반적인 목적은 소프트 디자인 개념을 사용함으로써 안전 제어 및 비-안전 제어를 기능적으로 격리하는 그러한 제어 시스템을 제공하는 것이다.
본 발명의 또다른 일반적인 목적은 소자 제어 조치 명령의 암호화를 제어 채널 게이트웨이 레벨에서 해독하는 것을 특징으로 하는 그러한 제어 시스템을 제공하는 것이다.
본 발명의 주된 측면에서, 본 발명은, 이미지 프로세싱 시스템 및 디스플레이 프로세서(IPS-DP: image processing system and display processor)를 포함하여, 원자력 발전소에서 소자 명령 시스템(CCS: component command system) 내의 선택된 성분을 위한 암호화된 명령을 발송(issue)하기 위한 수단과; 소프트 제어기를 포함하여, 상기 IPS-DP 수단으로부터 상기 암호화된 명령을 수신하며, CCS 내의 선택된 소자와 상기 암호화된 명령을 매치(match)시키며, 그리고 상기 선택된 소자를 위한 제어 명령을 발송하기 위한 수단과; 제어 채널 게이트웨이를 포함하여, 상기 IPS-DP 수단과 상기 소프트 제어기 수단으로부터 상기 암호화된 명령을 수신하며, 상기 암호화된 명령을 해독(deciphering)하며, 그리고 만약 인증(authenticated)되면, 상기 CCS 내의 선택된 소자를 위한 제어 명령을 발송하기 위한 수단을 포함하는, 원자력 발전소용 제어 시스템에 관한 것이다. 상기 IPS-DP 및 소프트 제어기는 제어 시스템의 비-안전 소자로 분류된다.
상기 IPS-DP는 제어 시스템 내의 제어 소자의 데이터베이스와 그 제어 소자의 루팅 정보(routing information)를 포함하며, 이 제어 소자와 연관된 증분 값(incremental value), 출처 정보(origin information), 및 소자 루팅 데이터(component routing data) 중 적어도 하나를 포함하는 암호화된 명령 키를 제공하기 위한 수단을 포함한다. 암호화된 명령을 발송하기 위한 수단은 암호화되지 않은 객체 ID 태그(unencrypted object ID tag)를 발송하기 위한 수단을 더 포함하며, 상기 소프트 제어기는 연관된 소자 템플릿(component template)을 호출하기 위해 객체 ID 태그에 응답한다. 암호화된 명령의 발송은 IPS-DP의 유일한 기능이다.
소프트 제어기는 선택된 소자에 대한 아날로그 및 개별(discrete) 제어 명령의 생성을 위한 복수의 제어 템플릿으로 작용하는 디스플레이 페이지의 세트를 유지한다. IPS-DP로부터 명령 키와 객체 ID 태그를 수신할 때, 소프트 제어기는 ID 태그와 해당 디스플레이 페이지를 연관시켜, 오퍼레이터로 하여금 선택된 소자에 대한 원하는 조치를 취할 수 있게 해준다. 소프트 제어기는 타임아웃 성능(timeout capability)을 포함하며, 여기서, 만약 오퍼레이터가 미리 설정된 기간(preset period) 내에 제어 조치를 취하지 않으면, 제어 템플릿은 소프트 제어기에 대한 디스플레이로부터 삭제(cleared)되며, IPS-DP로부터 수신된 암호화된 명령 키는 파괴(destroyed)된다. 소프트 제어기가 IPS-DP와 독립적인 암호화된 명령 키를 제공할 수 있는 성능을 가지지 않는 것이 본 발명의 특징이다.
제어 채널 게이트웨이는 선택된 소자의 조치를 가능하게 하기 위하여 IPS-DP 및 소프트 제어기에 의해 생성된 데이터를 판독하는 안전 제어이다. 대안적으로, 본 시스템은 그룹 제어기와 적어도 하나의 루프 제어기를 구비하는 채널을 포함하며, 상기 채널은 상기 채널 내에 위치되어 있을 때 상기 선택된 소자를 작동가능하게 하는 명령 신호를 수신하기 위한 제어 채널 게이트웨이에 연결된다.
IPS-DP에 의해 제공되는 암호화된 명령은 단일 소자에 대한 루팅, 제어, 및 출처 정보를 갖는 데이터 패킷을 포함하며, 상기 데이터 패킷은 상기 제어 채널 게이트웨이에 의해 해독되며, 그리고 IPS-DP에 의해 제공된 상기 암호화된 명령은 한 번에 단일 소자에 대해서만 영향을 미치며, 이 때 명령 에러의 위험이 최소화되는 것이 본 발명의 보다 구체적인 특징이다. 바람직하게는, 선택된 명령에 대한 암호화된 명령은 명령 키가 발송된 때 IPS-DP에 의해 인가되는 시퀀스 태그(sequence tag)를 포함하며, 여기서 상기 시퀀스 태그는 그 시퀀스에 따라 명령 키의 유효성(validity)을 식별한다.
다른 측면에서, 본 발명은
이미지 프로세싱 시스템 및 디스플레이 프로세서(IPS-DP)로부터 원자력 발전소에서 소자 명령 시스템(CCS) 내의 선택된 소자를 위한 암호화된 명령을 발송하는 단계와; 소프트 제어기에서 IPS-DP로부터 암호화된 명령을 수신하는 단계와; 상기 CCS 내의 선택된 소자와 상기 암호화된 명령을 매치시키는 단계와; 및 상기 선택된 소자를 위한 제어 명령을 발송하는 단계와; 제어 채널 게이트웨이에서 상기 IPS-DP 및 소프트 제어기 수단으로부터 암호화된 명령을 수신하며, 상기 암호화된 명령을 해독하며, 그리고 만약 인증되면, 상기 CCS 내의 선택된 소자를 위한 제어 명령을 발송하는 단계를 포함하는, 원자력 발전소를 위한 소자 제어 시스템(CCS) 내의 소자를 제어하기 위한 해당 방법을 특징으로 한다. 본 발명을 위한 추가적인 방법의 특징도 또한 개시되고 청구된다.
도 1은 본 발명의 소자 제어 시스템의 디자인과 기능을 위한 세 가지 주된 요소를 도시하는 본 발명의 소자 제어 시스템의 최적화된 소프트 제어 개념을 보여주는 구조도.
도 2는 도 1에 도시된 본 발명을 보다 상세하게 도시한 블록도.
도 3은 도 1 및 도 2에서 도시된 본 발명을 좀더 보다 더 상세하게 도시한 블록도.
도 4a 및 도 4b는 본 발명의 소자 제어 시스템의 대표적인 바람직한 실시예를 상세하게 도시하는 배선도 및 구획의 블록도.
도 1에 도시된 바와 같이, 본 발명에 따른 소자 제어 시스템은 참조 번호 10 으로 일반적으로 도시되어 있다. 소자 제어 시스템은, 그 구성(architecture)의 안전 측(safety side)(50)에 있는 제어 채널 게이트웨이(40)와 함께, 그 구성의 비-안전 측(60)에는 정보 프로세싱 시스템(IPS) 디스플레이 프로세서(DP)(20) 및 소프트 제어기(30)를 포함한다. 안전 측은 참조 번호 50을 사용하여 언급되어 있지만, 비-안전 측은 참조 번호 60을 사용하여 언급되어 있다. 원자력 발전소 제어 시스템에서 비-안전 소자 및 안전 소자 사이의 구별은 위 본 발명의 배경에서 간략하게 논의되어 있으며, 원자력 발전소 제어 기술에 숙련된 사람에 의해 이해된다.
정보 프로세싱 시스템(IPS) 디스플레이 프로세서(DP)(20)는 이제 그 두문자어 IPS-DP(20)를 사용하여 논의될 것이다. IPS-DP(20)는 원자력 발전소의 안전 제어 시스템(50)과 비-안전 제어 시스템(60) 전체에 걸쳐 제어 시스템의 객체 또는 제어 소자의 각 네트워크 루팅 정보와 그 제어 시스템 내의 객체 또는 제어 소자의 데이터 베이스를 보존(maintain)한다. 동시에 제어 시스템은 소자 제어 시스템(CCS: component control system)이라고 부른다. 본 발명에 따라, IPS-DP(20)는 오퍼레이션에 의해 선택된 객체와 연관된 증분 시퀀스 값, 출처 정보, 및 소자 루팅 데이터를 포함하는, 그 데이터 송신 내에 암호화된 명령 키를 발송한다. 상기 IPS-DP는 "암호화 키(encryption key)"를 형성하기 위해 CRC 체크섬(checksum)과 함께 이 데이터를 암호화한다. 암호화된 키와 함께, IPS-DP(20)는 소프트 제어기(30)에 대한 적절한 제어 템플릿을 호출하는데 사용되는 암호화되지 않은 객체 ID 태그를 발송한다. 상기 IPS-DP(20)는 데이터 암호화를 수행할 능력을 지원하는 본 발명에 따른 소프트 제어 시스템의 유일한 요소이다. IPS-DP(20)의 단독 기능으로서 데이터 암호화는 본 명세서에서 이후 논의될 것이다.
소프트 제어기(30)는 IPS-DP(20)에 비해 다양한 디스플레이 프로세서 및 컴퓨터이다. 소프트 제어기(30)는 CCS 소자 또는 이 소자의 지정된 CCS 위치의 리코드(record)를 보존하지 않는다. 오히려, 소프트 제어기(30)만이 아날로그 및 개별 제어 명령의 생성을 위한 제어 탬플릿으로 작용하는 디스플레이 페이지의 세트를 보존한다.
IPS-DP(20)로부터 암호화 키 및 객체 ID 태그를 수신할 때, 소프트 제어기(30)는 ID 태그를 적절한 디스플레이 페이지와 연관시키며 그 디스플레이 페이지를 오퍼레이터에 제공한다. IPS-DP(20)에 의해 발송된 암호화 키는 한번에 단 하나의 키만을 위한 저장 능력을 지원하는 버퍼에 놓여진다. 오퍼레이터는 이후 디스플레이된 객체에 대한 원하는 제어 조치를 취할 수 있다.
각 오퍼레이터 조치가 검출됨에 따라, 암호화된 키, 객체 ID, 제어 명령, 및 명령 시퀀스 데이터가 CCG(40) 내에 결정적인 소프트 제어 네트워크(42)로 방송된다. 오퍼레이터는, 필요한 한, 선택된 소자에 대한 제어 조치를 계속해서 취할 수 있다. 만약 오퍼레이터가 제어 조치를 취하지 않는 미리 설정된 기간 후에는, 제어 템플릿은 디스플레이로부터 삭제(cleared)되며 IPS-DP(20)로부터 수신된 암호화된 키는 파괴(destroyed)된다. 소프트 제어기(30)는 사용가능한 형태로 암호화된 키를 변경하거나 또는 암호화된 키를 생성할 성능을 가지지 않는 것이 중요한 특성이다. 소프트 제어기(30) 내에는 암호화 키를 암호화하거나 또는 해독하기 위한 기능이 제공되지 않는다.
제어 채널 게이트웨이(CCG)(40)는 IPS-DP(20) 및 소프트 제어기(30)에 의해 생성된 데이터 모두에 대한 최종 수용체(ultimate receptor)이다. CCG(40)는, 이 데이터를 해독(decipher)하며 검증(validate)하는 안전 제어 소자이다. CCG(40)의 기본 특성은, 한번에 하나의 명령에 대해서만 작용하도록 설계되어 있다는 점이다. CCG(40)에서 각각의 수신된 데이터 패킷은 하나의 객체의 연관된 CCS 채널 내의 하나의 객체에 루팅 및 제어 정보를 제공한다. 그러므로, 에러 있는 데이터(erroneous data)를 수신할 잠재성을 고려할 때, 비록 에러 있는 데이터가 유효 명령(valid command)으로서 CCG(40)에 의해 해석될 수 있지만, CCS 내의 단 하나의 객체만이 그 데이터에 의해 잠재적으로 영향을 받을 수 있다. 에러 있는 데이터에 대한 CCG 기능(functionality)과 방어(defense)에 대한 추가적인 사항은 다음에 제공된다.
디자인의 대부분의 최저 보안 레벨에서 고장 모드(failure mode)가 검출되고 차단되는 경우 심해 전략(depth strategy)으로 적용된 방어책에 대한 상세한 설명이 이제 제공된다. 처음에, CCG(40)에 제공되는 데이터의 구조는 최적화된 소프트 제어 개념에 의해 제공되는 보안을 이해하고 올바르게 인식하는데 필수적이다. 안전 시스템의 격리 및 보안을 확보하는 데이터 구조에 CCG(40)에 의해 부과되는 일련의 요건이 있다.
CCG(40) 내에 병합된 데이터 암호화 특성은, 이전에 기술된 바와 같이, 유효 제어 명령과 동등시된, 무작위적으로 생성된 데이터 스트림에 대해 고수준의 보호(high degree of protection)를 제공한다. 추가로, 다른 특징은 무작위적으로 생성된 명령의, CCG에 의한 수용을 방해한다. 다른 특징 중 하나는 데이터 패킷이 수신될 때, CCG(40)가 명령 키를 해독할 능력을 먼저 결정한다는 점이다. 앞서 언급된 바와 같이, 선택된 객체의 채널과 연관된 CCG(40)만이 이 능력을 가지고 있다.
일단 인증된 암호화 키가 수신되면, CCG(40)에 의해 안전 소자로서 수행된 그 다음 오퍼레이션은 패킷이 IPS-DP에서 유래한 때 그 패킷에 저장된 CRC 체크섬(checksum)에 대해 이전에 암호화된 데이터를 평가한다. 만약 체크섬이 유효하다고 검증될 수 없다면, 그 데이터는 버려진다. 만약 CRC가 그 다음에 유효하다고 검증되면, CCG는 소프트 제어 프로세서에 의해 부여된 제어 명령이 명령 키의 객체 ID 태그와 채널과 매치하는지 여부를 결정한다. 만약 매치(match)점이 없다고 결정되면, 유효 에러가 생성된다. 유효 에러가 CCG에 의해 이전의 단계에서 결정되면, 이 상태는 무효 명령 경고(invalid command alarm)를 표시하도록 할 수 있으며 그리고 명령 데이터는 버려진다.
다른 한편으로, 만약 데이터가 매치점이 있는 것으로 결정되면, CCG(40)는 키가 발송되었을 때 IPS-DP(20)에 의해 인가된 시퀀스 태그를 그 다음에 검사한다. 만약 이 증분 시퀀스 값이 유래하는 IPS-DP로부터 수신되는 이전의 검증된 명령 키에 포함된 것보다 더 높다면, 명령 키는 명령 조치를 수행하는데 유효한 것으로 고려된다. 만약 시퀀스 값이 수신된 이전의 값과 같다면, 제어 명령의 평가는 만약 요청된 오퍼레이션 변화가 이전의 명령과 다른지를 결정하도록 수행된다. 만약 그렇다면, 그 명령은 조치를 수행하기 위해 CCS로 송신된다.
시퀀스 태그는 또한 그 명령이 발송된 시퀀스 내에 그 명령이 수신된다는 것을 검증하도록 제어 명령 내에 병합될 수도 있다. 이것은, 그 명령이 무작위적인 출처가 아니라는 것을 보장한다. 만약 시퀀스 태그가 무작위적인 것으로 결정나거나 시퀀스 외의 것으로 결정되면, 알람이 초기화될 수 있다.
CCG(40)의 이들 기능적 특징은 소자 제어 시스템(CCS) 레벨에서 임의의 제어 조치를 수행하기 위하여 아주 구체적이고 의도적인 데이터의 조합을 요구한다. CCG(40)에 의해 검증될 수 있는 보안 및 격리는 업스트림 소프트 제어기(30) 및 IPS-DP(20)의 IPS 프로세서와 연관될 수 있는 임의의 믿을 만한 고장 모드에 대해 방어책을 수립하기에 충분하다. 제어 조치를 수행하기 위하여 CCG(40)를 만족하도록 IPS-DP(20) 및 소프트 제어기(30)에는 어떤 기능이 요구된다. 따라서, 추구되는 보안 및 격리는 CCG(40)의 기능에 의해 기본적으로 달성된다.
도 2는 도 1의 소자 제어 시스템의 소프트 제어 특성을 보다 상세하게 도시한 블록도를 도시한다. 도 2에 보는 바와 같이, 대표적인 예로서 IPS-DP(20)에는 대표적인 복수의 펌프(22), 밸브(23), 및 차단 밸브(24)를 디스플레이 하는 정보 CRT 디스플레이(21)가 있다. 도시된 바와 같이, 오퍼레이터는 디스플레이(21)의 음영 부분(shaded portion)에 도시된 바와 같이, 제어 조치를 위한 객체로서 밸브(23)를 격리시킨다.
이후에는 밸브(23)의 아이콘이 IPS-DP(20)의 오퍼레이터에 의해 선택될 때 소프트 제어 오퍼레이션을 포함하는 일련의 단계들을 논의한다. IPS-DP(20) 및 소프트 제어기(30) 사이의 통신 링크는 식별된 소자, 이 경우에 밸브(23)를 대표하는 암호화 키를 포함하는 데이터 신호만이 소프트 제어기로 송신되도록 연결(26)에서 일방향(unilateral)이라는 것을 기억하여야 할 것이다.
첫 번째, 오퍼레이터가 IPS-DP(20)의 패널 디스플레이 위의 밸브(23)와 같은 소자의 기호 또는 아이콘을 예를 들어 트랙볼(trackball)이나 수동 터치에 의해 선택하면, 선택된 소자, 즉 밸브(23)는 식별된다(identified). 이후, 아이콘(도시되지 않음) 바로 위에 디스플레이 된 정보는 소자 ID와 그 연관 암호화 데이터 패킷을 소프트 제어기(30)로 송신한다. 이전에 기술된 바와 같이, IPS-DP(20)만이 소자 ID에 대한 데이터 패킷으로 암호화 코드를 할당할 능력을 가진다. 암호화 기술은 밸브(23)와 같은 소자에 대한 소자 ID에 추가된 때 CCG(40)에 의해 해독 또는 판독될 수 있는 디지털 또는 아날로그 암호화 코드를 가지는 다수의 상업적으로 이용가능한 암호화 시스템 중 임의의 한 시스템일 수 있다.
두 번째, 소프트 제어기(30)가 디스플레이 패널(20)로부터 소자 ID를 수신한 후, 소프트 제어기(30)는 소자 ID(23)를 소프트 제어기(30) 내의 룩업 표와 비교하며 소프트 제어 디스플레이(31) 위의 해당 제어 템플릿(33)을 디스플레이 한다.
세 번째, 암호화 데이터 패킷은 소프트 제어기(30) 내의 버퍼 메모리(34)에 로딩된다.
네 번째, 소프트 제어 디스플레이(31)가 적절한 제어 디스플레이 페이지(35), 이 경우에는 밸브(23)의 아이콘을 제공할 때, 소프트 제어기(30)는 제어 채널 게이트웨이(40)로부터 소자 관련 상태 정보를 디스플레이 한다. 소자 관련 상태는 소자의 현재 상태, 소자의 출력, 설정 포인트, 등을 포함한다. 이 정보는 채널(37)을 통해, 제어 채널 게이트웨이(40) 내의 버퍼 메모리(41)로 전송된다.
다섯 번째, 위의 네 번째 단계 내의 소자 관련 정보는 이후 소프트 제어기(30) 위의 디스플레이 위에 라인으로 또는 동적으로 디스플레이 된다.
여섯 번째, 오퍼레이터는 이후 소프트 제어기(30)에서 제어 조치를 선택한다. 펌프(22)와 연결된 밸브(23)에 대해 요청된 전형적 조치의 예는: 온/오프 조치; 펌프의 rpm 또는 출력을 상승 또는 하강시키는 것과 같은 상승/하강 조치; 펌프의 볼륨 출력을 증가 또는 감소시키는 것, 또는 펌프의 rpm을 증가 또는 감소시키는 것과 같은 증가/감소 조치; 밸브 및 펌프에 대한 자동/수동 제어 등이다.
일곱 번째, 위 여섯 번째 단계에서 선택된 제어 조치를 위한 선택된 제어 명령은 이후에 채널(37)에 걸친 연결에 의해 소프트 제어기의 버퍼 메모리(34)의 출력 버퍼에 놓여진다. 출력 버퍼(34)는 한번에 하나의 제어 명령과 단일 암호화 키 패킷만을 위한 저장 능력을 지원한다. 이후에는 암호화 데이터와 제어 명령이 어떻게 완전한 지령(complete instruction)을 제공하도록 연쇄(concatenated)되어 지는지를 논의할 것이다.
여덟 번째, 제어 채널 게이트웨이(40)는 제어 명령과 함께 채널(36)을 통해 소프트 제어기로부터 암호화 키 패킷을 수신하며, 제어 채널 게이트웨이(40)는 암호화 데이터 패킷을 해독한다. 제어 명령과 데이터를 해독하는 사이에 데이터의 유효성을 체크 한 후, 소자 제어 명령이 제어 채널 게이트웨이에 의해 발송되며 시스템 제어 매트릭스(50) 내의 적절한 그룹 제어기의 서브시스템으로서 적절한 루프 제어기 내의 적절한 소자 제어 회로로 채널(43)을 통해 전송된다. 보다 구체적으로는, 제어 채널 게이트웨이(40)에 의해 소자 제어 명령은 통신 채널(51)에 의해 그룹 제어기(54)를 위한 루프 제어기(53) 내의 소자 제어 회로(52)로 전송된다(도 4 참조).
아홉 번째, 그 분야(field)의 관련 소자가 이후 작동된다. 이후의 예에서, 펌프(22)와 연관된 밸브(23)는 주어진 검증된 제어 명령에 따라 작동된다. 피드백 정보는 매트릭스(50)로부터 제어 채널 게이트웨이(40)를 통해 소프트 제어기(30)로 재 송신된다.
열 번째, 추가로, 이 정보는 구획 게이트웨이(division gateway)를 통해 IPS-DP(20)로 재 송신된다.
열한 번째, IPS-DP(20)는 이후 피드백 정보를 IPS-DP(20)의 일부로서 작용하는 정보 평면 패널 디스플레이로 송신한다. 이에 의해 오퍼레이터는 이 정보를 발전소 정보 디스플레이 또는 소프트 제어기(30)를 사용하여 상호 체크할 수 있다.
본 명세서의 도입부에서, 원자력 발전소 제어가 IDD 603-1991 및 IEEE 7.4.3.2의 요건에 따라야 하며 허가를 위해 방어할 수 있어야 하는 요건이 논의되었다. 이들 요건에 대한 본 발명에 따른 시스템의 이점이 이제 논의될 것이다.
앞서 언급된 바와 같이, 이들 섹션의 요건을 충족하기 위하여, 안전 및 비-안전 설비를 독립적으로 유지하는 것과 비-안전 설비가 안전 기능에 영향을 주는 것을 방지하기 위해 기능적으로 격리할 수 있는 몇몇 방법을 병합하는 것이 필요하다. 소프트 제어 네트워크(20, 30)를 통해 부여된 노드 또는 요소 중에서 기능적인 격리는 송신된 데이터에 사용되는 코딩 및 암호화 방법에 의해 수립된다. 복수의 제어 채널 각각은 제어 채널 게이트웨이(40)를 경유하여 소프트 제어 네트워크 상의 암호화된 데이터의 수신기이다. 복수의 제어 채널이 대응하는 수 또는 더 적은 수의 제어 채널 게이트웨이와 사용될 수 있다는 개념이 도 4에 대하여 이후에 논의된다.
더욱이, 바로 위에서 언급된 격리 기능을 지원하는 것에 대해, 제어 채널 게이트웨이(40) 각각은 소프트 제어 디스플레이(31)에 표시하기 위하여 소자의 상태 및 파라미터 데이터를 소프트 제어 네트워크(20, 30)에 또한 제공한다. 추가로, 몇몇 방법이 안전 채널 및 비-안전 채널 사이의 버퍼 데이터 전송에 사용될 수 있는 IEEE 7-4.3.2의 요건이, 도 1의 참조 번호 60으로 언급된 바와 같이, IPS-DP(20) 및 소프트 제어기는 비-안전 시스템인 반면, 제어 채널 게이트웨이는 도 1의 참조 번호 50으로 언급된 바와 같이 안전 시스템이라는 것을 다시 언급하는 것에 의해 충족된다.
소프트 제어기(30)와 그 연관 소프트 제어 네트워크 모두가 비-안전으로 분류되어야 하기 때문에, IEEE 7-4.3.2의 요건은 이들 디바이스가 안전 관련 채널과 통신하여야 하는 경우에 적용가능하다고 생각된다. 이들 요건을 만족시키기 위하여 본 발명에 따른 구성은 버퍼를 가지며 그 버퍼의 지정된 채널로 데이터를 루팅한다. 따라서 언급된 바와 같이, 이들 컴퓨터는 제어 채널 게이트웨이(40)이다. 바람직하게는, 채널 사이에 공유된 공통 제어 채널 게이트웨이(40)를 가지는 것과는 반대로, 채널당 하나의 CCG(40)를 사용하는 보다 보수적인 접근법이 사용된다. 제어 채널 게이트웨이의 수와 채널의 수에 대한 대안은 도 4와 연계하여 더 간략하게 논의될 것이다.
데이터 암호화 및 해독은 그 다음 도 3에 대하여 논의된다. 반복하면, 데이터 암호화 기술은, 명령 정보를 CCS로 루팅하기 위해 제어 채널 게이트웨이(40)에 의해 사용되는 데이터가 정확(accurate)하고 안전(secure)하다는 것을 높은 수준의 신뢰도(confidence)로 보장한다. 검출되지 않은 비트 에러를 쉽게 받을 수 있는 종래의 통신 에러 검출 프로토콜과는 달리, 데이터 암호화는 데이터를 전송하기 위한 보안 수단을 제공할 뿐만 아니라 수신된 데이터가 제어 채널 게이트웨이(40)에 의해 정확한 것으로 증명될 수 있는 수단을 제공한다. 도 4의 상부 부분은 점선으로 위에 도시된 비-안전 특징에 대해 고도로 도식적이고 대표적인 방식으로 본 발명의 암호화 특징을 도시한다. 도면의 우상(右上)부에는, 본 발명에 따른 제어 시스템의 기능이 반복되어 있다. 구체적으로 IPS-DP(20)는 일방향 데이터 링크(26)(도 2 참조)를 경유해 소프트 제어기(30)로 전송되는 암호화된 데이터 키를 생성한다. 소프트 제어기(30)는 버퍼 메모리(34) 내에 저장된 제어 명령을 생성한다. 제어 명령은 버퍼 메모리(34)로부터 제어 채널 게이트웨이 내의 버퍼 메모리(41)로 전송된다. 이러한 간략화된 표 형식의 표시는 암호화 구조를 더 용이하게 이해하게 한다.
IPS-DP(20)에 의해서만 생성되는 블록(60)은 도 2에 도시된 밸브(23) 및 펌프(22)의 조합과 같은 선택된 디스플레이 객체에 대한 적용가능한 루팅 정보를 포함하는 암호화된 데이터 패킷을 포함한다. 소자 루팅 데이터는 CH NO., TAG NO., GC ADD, LC ADD, I/O ADD, 및 CRC 라고 명명된 블록(61)의 조합에서 블록(60)의 주요부(significant portion)로서 도 3에 대표적으로 도시되어 있다. 이들은 일반적으로 "암호화 키"라고 언급된다. 이들 블록은 각각 채널 번호에 대한 어드레스, 소자에 대한 "태그 번호", 그룹 제어기 어드레스, 루프 제어기 어드레스, 및 입력/출력 어드레스를 포함한다. 본 발명의 중요한 특성은, 그러므로, 말한 바와 같이, IPS-DP만이 각 CCS 채널에 사용되는 암호화 뿐만 아니라 루팅 데이터를 번역(compile)하는데 필요한 정보의 데이터베이스를 보존하여 이에 의해 그 데이터가 CCG(40)으로 분배될 때 루팅 에러를 쉽게 받지 않기 때문에 보안을 더 향상시킨다는 점이다. IPS-DP 및 소프트 제어기 사이의 하드웨어의 다양성은 구성 내의 단일 고장이 단일 CCS 채널 내의 단일 소자 보다 더 영향을 줄 수 있는 유효 제어 명령을 생성할 수 없는 것을 더 보장한다.
암호화된 키(61)는 명령 블록(60)을 완성하기 위해 ORIG ID, INCR. SEQ. NO. 및 CRC로서 대표적으로 식별된 추가 명령과 연쇄되어 있다.
도시된 바와 같이, 명령 블록(60) 내의 데이터는 소프트 제어 디스플레이 ID(63)과 함께 암호화된 데이터 키(62)를 생성하기 위해 암호화 단계(64)를 겪게 된다. 그 다음의 인접 하부 블록에 도시되어 있는 바와 같이 명령 소자는 이리하여 암호화 데이터 키(66) 플러스 객체 ID (67), 제어 명령(68), 및 명령 시퀀스 번호(69)로서 용이하게 그룹화된다.
IPS-DP 내에 유래된 암호화된 데이터는 선택된 소자 즉 밸브(23)와 그 연관 펌프(22)가 위치되어 있는 채널의 제어 채널 게이트웨이(40)에 의해 다만 해독하거나 판독될 수 있다. 그 채널의 CCG(40)만이 소자 루팅 정보가 사용될 수 있는 형태로 데이터를 재 해독하는데 필요한 매칭 해독 키를 가지고 있다. 이 특징 부분은 도 3의 하부 부분에 있는 해독 블록(71)에 대한 부가물(appendage)과 매칭된 블록(62 및 66)에 대한 부가물에 의해 도시되어 있다. 도 3의 좌하(左下)에는 복수의 루프 제어기(53)와 각각 연관되어 있는 복수의 그룹 제어기(54)에 관하여 이전에 논의된 바와 같은 제어 채널 게이트웨이(40)를 위한 버퍼 메모리(41)가 대표적으로 도시되어 있다.
이 데이터가 해독 단계(72)를 받은 후에, 그 결과는 매치가 있는지에 대해 질문된다. 여기에 매치가 있다면, 제어 게이트웨이(40)는 제어 명령(73)과 함께 동작 소자 루팅 데이터(61)를 전송한다. 복수의 N개의 채널은 소프트 제어 네트워크의 일부로서 대표적으로 도시되어 있다.
해독된 데이터의 무결성을 보장하고 검증할 능력을 더 향상시키기 위하여 전통적인 CRC 알고리즘이 또한 최종 데이터가 그 원래 전송의 형태와 매치하는 것을 보장하는데 또한 사용된다. 이 목적을 위해, 순환 리던던시 체크(CRC: cyclic redundancy check) 값이 그 데이터 기점 포인트(data origination point)에 내재되고 루팅 정보와 함께 인코딩되는데, CCG에 도달한 해독된 데이터의 무결성은 높은 수준의 확실성으로 결정된다.
데이터 암호화 구조는 유효 제어 명령과 동등시되는, 무작위적으로 생성된 데이터 스트림에 대해 높은 수준의 보호를 제공한다. CCG(40)는 무작위적으로 생성된 명령의 수용을 방해하기 위해 다수의 다른 특징을 또한 가진다. 첫째, 데이터 패킷이 수신될 때, CCG(40)는 명령 키를 해독할 능력을 결정한다. 위에서 언급된 바와 같이, 선택 된 소자와 연관된 특정 채널에 대한 CCG(40)만이 이 능력을 가진다. 이 CCG(40)는 유니크 코드(unique code) 또는 "암호(cipher)"를 그 데이터의 암호화된 부분에 적용한다. 이 오퍼레이션의 결과는 선택된 객체와 연관된 CCG 루팅 정보 뿐만 아니라 상기 데이터의 원본과 동등한 일련의 데이터를 생성한다. 이들 데이터는 만약 해독된 데이터가 인증된 것으로 검증받지 못할 것인지 도시되어 있으며, 이것은 도 3에서 질문(74)에 의해 버려지고 도시되어 있다.
제어 채널 게이트웨이(40)에서 수신되는 코드의 일례는 논의되는 암호화 데이터에 추가하여 앞에서 언급되고 후에 간략하게 논의되는 바와 같이 객체 ID, 제어 명령, 명령 시퀀스 번호(후에 논의됨), 및 CRC를 포함하는 블록(76)에 의해 도시되어 있다.
인증된 명령 키가 수신되면, CCG(40)에 의해 수행되는 그 다음 동작은 소프트 제어 프로세서(30)에 의해 부여된 제어 명령(73)이 명령 키의 객체 ID 태그와 채널을 매치하는지를 결정하는 것이다. 만약 이들이 매치하지 않으면, 무효 알람 목적을 위해(도시되지 않음) 사용될 수 있는 유효 에러가 생성되고 그 명령은 버려진다. 만약 데이터가 매치되는 것으로 결정되면, CCG는 그 다음에 그 키가 발송된 때 IPS에 의해 가해지는 시퀀스 태그를 검사할 것이다. 이 증분 시퀀스 값이 이전에 검증된 수신된 명령 키에 포함된 것보다 더 높으면, 명령 키는 명령 조치를 수행하는데 유효한 것으로 생각된다.
만약 시퀀스 값이 수신된 이전의 값과 같으면, 제어 명령의 평가는 요청된 동작 교환이 이전의 명령과 다른지를 결정하도록 수행된다. 그렇다면, 그 명령은 추구하는 조치를 수행하도록 CCS로 전송된다. 블록(73) 또는 블록(76)에 도시된 시퀀스 태그는 또한 명령이 발송된 시퀀스에 그 명령이 수신되어 있다는 것을 검증하도록 제어 명령에 병합될 수도 있다. 이것은 그 명령이 무작위적인 출처에 있지 않다는 것 즉 시퀀스 밖에 있지 않다는 것을 더 보장한다.
위에 기술된 바와 같이, 요구되는 보안 및 격리는 CCG의 기능에 의해 달성된다. 하지만, 여전히 추가적인 조치로서, IPS-DP(20)는 주기적으로 소프트 제어기(30)에 "테스트 키"를 발송할 수 있다. 만약 테스트 키가 CCG(40)에 의해 언젠가 수신되어야 한다면, 이것은 소프트 제어기의 고장을 나타낼 것이며, 이는 소자 제어 명령 만이 소프트 제어기로부터 CCG로 전송하도록 허용되어 있기 때문이며, 만약 이 상태가 존재하면, 에러 상태가 알람 통보될 것이다.
본 기술 분야에서 ESF-CCS로 언급되는 전형적인 원자로 제어 시스템을 위한 안전 컴퓨터는 안전 시스템이 자기의 안전 기능을 수행하고 있을 때 비-안전 소프트 제어기(30)를 무효화(override) 할 수 있다. 이 우선순위 인터로크(priority interlock)는 안전 기능 수행 동안 소프트 제어기(30)로부터 ESFAS 소자 제어에 대한 임의의 영향도 차단하는데 사용된다. 일반적인 원자로 제어 시스템에 정상적인 다른 안전 기능도 영향을 받지 않는다. 예를 들어, PPS로부터 오는 ESFAS 신호는 언제라도 소프트 제어기 신호를 무효화할 수 있으며; IE 등급 고정 위치 제어로부터 오는 작동 신호는 또한 소프트 제어기(30)로부터 오는 소자 작동을 무효화할 수 있으며, 소프트 제어기로부터 오는 제어 신호는 낮은 우선순위로 할당된다.
(가출원의 도 6에서 취한) 도 4는 블록도의 형태로 본 발명에 따른 소자 제어 시스템의 대표적인 예를 도시한다. 이러한 대표적인 예에서, 세 가지 소프트 제어기(30)가 데이터가 향할 수 있는 4개의 채널에 제공하기 위해 두 개의 제어 채널 게이트웨이(40)를 제공하고 있다. 도 4는 이리하여 본 발명에 따른 소자 제어 시스템이 종래의 원자로 안전 제어 시스템으로 꽤 용이하게 병합될 수 있다는 것을 보여준다. 도 4의 나머지 소자는 특히 본 발명에 따른 소자 제어 시스템에 관련된 것이 아니다. IPS-DP(20), 소프트 제어기(30), 제어 채널 게이트웨이(40), 및 운영 시스템을 위한 채널(n)의 상대적 개수에 추가적 대안에 대한 해당 가출원의 도 1 내지 도 5에 또한 참조가 이루어질 수 있다.
본 발명의 바람직한 실시예는 원자력 발전소 제어 시스템을 위한 현재의 DCS 플랫폼과 연계하여 논의된다. 만약 다른 원자로 제어 시스템이 사용되면, 본 발명은 그 시스템과 만족스럽게 작동하도록 변경될 수 있다. 예를 들어, 만약 그룹 제어기와 루프 제어기의 네트워크가 사용되지 않는다면, I/O 시스템은 만약 암호화 및 식별 파라미터 모두가 만족되는 경우에 소자를 동작시키는데 사용될 것이다.
요약하면, 본 발명에 따른 소자 제어 시스템의 특성은, (10 데이터 암호화 기술이 IPS-DP 디스플레이 프로세서(20)에만 사용되며, 보안 CCS 소자 루팅 패킷을 생성시키는데 사용되며; 소자 제어 명령은 소프트 제어기(30)에 의해서만 생성되며; 소프트 제어기(30)는 한번에 하나씩 명령 키의 수신 및 저장을 제한하며; 소프트 제어기는 소자 루팅 데이터 패킷을 암호화 또는 해독할 능력을 보존하지 않으며; 각 암호화된 데이터 패킷은 목적지 CCS 채널에서 제어 채널 게이트웨이(40)에 의해 단지 해독 또는 판독될 수 있으며; 해독된 데이터 패킷이 어떻게든 변경 또는 변조(corrupted)되지 않은 것이라는 것을 입증하기 위해 암호화된 데이터 패킷 내에 CRC가 내재되며; 및 IPS-DP(20) 및 소프트 제어기(30)에 의해 생성된 시퀀스 태그는 CCG(40)로 하여금 명령 프로세싱이 무작위적이지 않다는 것을 검증하게 해주는 것을 포함한다.
본 발명의 다른 특성은 그 기술 분야에 숙련된 사람에게는 명백할 것이지만, 본 발명은 이 상세한 설명으로만 제한되지 않는다. 오히려, 본 발명은 첨부되는 청구범위에 의해서만 판단된다.
본 발명은 일반적으로 원자로 발전 시스템을 위한 제어 시스템에 이용가능하다.

Claims (30)

  1. 원자력 발전소용 제어 시스템으로서,
    정보 프로세싱 시스템 및 디스플레이 프로세서(IPS-DP)를 포함하며, 상기 원자력 발전소에서 소자 제어 시스템(CCS) 내의 선택된 소자를 위한 암호화된 명령을 발송하기 위해 적응된 암호화 발송 수단과,
    소프트 제어기를 포함하며, 상기 IPS-DP 수단으로부터 상기 암호화된 명령을 수신하고, 상기 CCS 내의 상기 선택된 소자와 상기 암호화된 명령을 매치(match)시키며, 상기 선택된 소자를 위한 제어 명령을 발송하기 위해 적응된 암호화 수신 수단과,
    제어 채널 게이트웨이를 포함하며, 상기 IPS-DP 수단과 상기 소프트 제어기로부터 상기 암호화된 명령을 수신하고, 상기 암호화된 명령을 해독하며, 인증되면, 상기 CCS 내의 상기 선택된 소자를 위한 제어 명령을 발송하기 위해 적응된 암호화 해독 수단을 포함하는, 원자력 발전소 제어 시스템.
  2. 제 1 항에 있어서, 상기 IPS-DP 및 상기 소프트 제어기는 상기 제어 시스템의 비-안전 소자로 분류되는, 원자력 발전소 제어 시스템.
  3. 제 1 항에 있어서, 상기 IPS-DP는 상기 제어 시스템 내의 제어 소자의 데이터베이스와 상기 제어 소자를 위한 루팅 정보(routing information)를 포함하는, 원자력 발전소 제어 시스템.
  4. 제 1 항에 있어서, 상기 발송하기 위해 적응된 암호화 발송 수단은 상기 제어 소자와 연관된 증분 값(incremental value), 출처 정보(origin information), 및 소자 루팅 데이터(component routing data) 중 적어도 하나를 포함하는 암호화된 명령 키를 제공하는, 원자력 발전소 제어 시스템.
  5. 제 1 항에 있어서, 암호화된 명령을 발송하기 위해 적응된 상기 암호화 발송 수단은 암호화되지 않은 객체 ID 태그를 발송하기 위한 수단을 더 포함하며, 상기 소프트 제어기는 연관된 소자 템플릿(component template)을 호출하도록 객체 ID 태그에 응답하는, 원자력 발전소 제어 시스템.
  6. 제 1 항에 있어서, 암호화된 명령을 발송하기 위해 적응된 상기 암호화 발송 수단은 상기 IPS-DP의 유일한 기능인, 원자력 발전소 제어 시스템.
  7. 제 1 항에 있어서, 상기 소프트 제어기는 상기 선택된 소자를 위한 아날로그 및 개별 제어 명령의 생성을 위한 제어 템플릿(control templates)으로 작용하는 디스플레이 페이지의 세트를 보존하는, 원자력 발전소 제어 시스템.
  8. 제 5 항에 있어서, 상기 IPS-DP로부터 객체 ID 태그 및 명령 키를 수신할 때, 상기 소프트 제어기는 상기 선택된 소자에 오퍼레이터가 원하는 조치를 취할 수 있게 해주기 위하여 상기 객체 ID 태그와 해당 디스플레이 페이지를 연관시키기 위해 적응된, 원자력 발전소 제어 시스템.
  9. 제 5 항에 있어서, 상기 소프트 제어기는 타임아웃 성능(timeout capability)을 포함하며, 여기서 만약 오퍼레이터가 미리 설정된 기간 내에 제어 조치를 취하지 않으면, 상기 제어 템플릿은 상기 소프트 제어기 위의 디스플레이로부터 삭제(cleared)되며, 상기 IPS-DP로부터 수신된 상기 암호화된 명령 키는 파괴(destroyed)되는, 원자력 발전소 제어 시스템.
  10. 제 1 항에 있어서, 상기 소프트 제어기는 상기 IPS-DP와 독립적인 암호화 키를 생성할 능력을 구비하지 않는, 원자력 발전소 제어 시스템.
  11. 제 1 항에 있어서, 상기 제어 채널 게이트웨이는 상기 선택된 소자의 조치를 가능하게 하기 위해 상기 IPS-DP와 상기 소프트 제어기에 의해 생성된 데이터를 해독하기 위해 적응된 안전 제어인, 원자력 발전소 제어 시스템.
  12. 제 1 항에 있어서, 그룹 제어기와 적어도 하나의 루프 제어기를 구비하는 채널을 더 포함하며, 상기 채널은 상기 채널 내에 위치될 때 상기 선택된 소자를 인에이블링(enabling)하게 하는 명령 신호를 수신하기 위한 상기 제어 채널 게이트웨이에 연결되는, 원자력 발전소 제어 시스템.
  13. 제 1 항에 있어서, 상기 IPS-DP에 의해 제공되는 상기 암호화된 명령은 단일 소자에 대한 루팅, 제어, 및 출처 정보를 가지는 데이터 패킷을 포함하며, 상기 데이터 패킷은 상기 제어 채널 게이트웨이에 의해 해독되는, 원자력 발전소 제어 시스템.
  14. 제 1 항에 있어서, 상기 IPS-DP에 의해 제공되는 상기 암호화된 명령은 한번에 단일 소자에만 영향을 미치며, 이 때 명령 에러의 위험이 최소화되는, 원자력 발전소 제어 시스템.
  15. 제 1 항에 있어서, 선택된 명령을 위한 상기 암호화된 명령은 상기 명령 키가 발송될 때 상기 IPS-DP에 의해 인가되는 시퀀스 태그를 포함하며, 상기 시퀀스 태그는 상기 선택된 명령의 시퀀스에 따라 명령 키의 유효성(validity)을 식별(identify)하는, 원자력 발전소 제어 시스템.
  16. 원자력 발전소용 소자 제어 시스템(CCS) 내의 소자를 제어하는 방법으로서,
    이미지 프로세싱 시스템 및 디스플레이 프로세서(IPS-DP)로부터 상기 원자력 발전소에서 소자 명령 시스템(CCS) 내의 선택된 소자를 위한 암호화된 명령을 발송하는 단계와,
    상기 IPS-DP 수단으로부터 상기 암호화된 명령을 소프트 제어기에서 수신하 는 단계와,
    상기 CCS 내의 상기 선택된 소자와 상기 암호화된 명령을 매치시키는 단계와,
    상기 선택된 소자를 위한 제어 명령을 발송하는 단계와,
    제어 채널 게이트웨이에서 상기 IPS-DP 수단과 상기 소프트 제어기로부터 상기 암호화된 명령을 수신하는 단계와,
    상기 암호화된 명령을 해독하며, 만일 인증되면, 상기 CCS 내의 상기 선택된 소자를 위한 제어 명령을 발송하는 단계를 포함하는, 소자 제어 방법.
  17. 제 16 항에 있어서, 상기 IPS-DP 및 상기 소프트 제어기는 상기 제어 시스템의 비-안전 소자로서 분류되는, 소자 제어 방법.
  18. 제 16 항에 있어서, 상기 IPS-DP는 상기 제어 시스템 내의 제어 소자의 데이터 베이스와 상기 제어 소자를 위한 루팅 정보를 포함하는, 소자 제어 방법.
  19. 제 16 항에 있어서, 상기 발송 단계는 상기 선택된 제어 소자와 연관된 소자 루팅 데이터, 출처 정보, 증분 값 중 적어도 하나를 포함하는 암호화된 명령 키를 발송하는 것을 포함하는, 소자 제어 방법.
  20. 제 16 항에 있어서, 상기 발송 단계는 암호화된 명령을 발송하는 것과 암호화되지 않은 객체 ID 태그를 발송하는 것을 포함하며, 상기 소프트 제어기는 연관 소자 템플릿을 호출하기 위해 상기 객체 ID 태그에 응답하는, 소자 제어 방법.
  21. 제 16 항에 있어서, 상기 암호화된 명령의 발송 단계는 상기 IPS-DP의 유일한 기능인, 소자 제어 방법.
  22. 제 21 항에 있어서, 상기 소프트 제어기는 상기 선택된 소자를 위한 아날로그 및 개별 제어 명령의 생성을 위한 제어 템플릿으로서 작용하는 디스플레이 페이지의 세트를 보존하는, 소자 제어 방법.
  23. 제 22 항에 있어서, 상기 소프트 제어기는, 상기 IPS-DP로부터 객체 ID 태그와 명령 키를 수신할 때 오퍼레이터로 하여금 원하는 조치를 취할 수 있도록 하기 위하여 해당 디스플레이 페이지와 상기 객체 ID 태그를 연관시키는, 소자 제어 방법.
  24. 제 16 항에 있어서, 상기 소프트 제어기는 타임아웃 성능을 포함하는데, 여기서 만약 오퍼레이터가 미리 설정된 기간 내에 제어 조치를 취하지 않으면, 상기 제어 템플릿은 상기 소프트 제어기 위의 디스플레이로부터 삭제되며, 상기 IPS-DP로부터 수신된 상기 암호화된 명령 키는 파괴되는, 소자 제어 방법.
  25. 제 16 항에 있어서, 상기 소프트 제어기는 상기 IPS-DP와는 독립적인 암호화된 명령 키를 제공할 능력을 구비하지 않는, 소자 제어 방법.
  26. 제 16 항에 있어서, 상기 제어 채널 게이트웨이는 상기 선택된 소자의 조치를 가능하게 하기 위하여 상기 IPS-DP 및 상기 소프트 제어기에 의해 생성된 데이터를 해독하는 안전 제어인, 소자 제어 방법.
  27. 제 16 항에 있어서, 그룹 제어기와 적어도 하나의 루프 제어기를 구비하는 채널을 더 포함하며, 상기 채널은 상기 채널 내에 위치될 때 상기 선택된 소자를 인에이블링하게 하는 명령 신호를 수신하기 위한 상기 제어 채널 게이트웨이에 연결되는, 소자 제어 방법.
  28. 제 16 항에 있어서, 상기 IPS-DP에 의해 제공되는 상기 암호화된 명령은 단일 소자에 대한 루팅, 제어, 및 출처 정보를 갖는 데이터 패킷을 포함하며, 상기 데이터 패킷은 상기 제어 채널 게이트웨이에 의해 해독되는, 소자 제어 방법.
  29. 제 16 항에 있어서, 상기 IPS-DP에 의해 제공되는 상기 암호화된 명령은 한번에 단일 소자만에 영향을 주며, 이 때 명령 에러의 위험이 최소화되는, 소자 제어 방법.
  30. 제 1 항에 기재된 소자 제어 시스템 내에서의 소자 제어 방법으로서, 선택된 명령을 위한 상기 암호화된 명령은 명령 키가 발송될 때 상기 IPS-DP에 의해 인가되는 시퀀스 태그를 포함하며, 상기 시퀀스 태그는 자기의 시퀀스에 따라 명령 키의 유효성을 식별하는, 소자 제어 방법.
KR1020027004380A 1999-10-07 2000-10-06 소프트 제어 사람-기계 인터페이스로부터 채널디멀티플렉서와 확인 스위치를 제거하기 위한 방법 및 장치 KR100664530B1 (ko)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
US15803099P 1999-10-07 1999-10-07
US60/158,030 1999-10-07
US09/679,508 2000-10-05
US09/679,508 US6516041B1 (en) 1999-10-07 2000-10-05 Method and apparatus to eliminate confirmation switches and channel demultiplexer from soft control man-machine interface (MMI)

Publications (2)

Publication Number Publication Date
KR20020059607A KR20020059607A (ko) 2002-07-13
KR100664530B1 true KR100664530B1 (ko) 2007-01-03

Family

ID=26854683

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020027004380A KR100664530B1 (ko) 1999-10-07 2000-10-06 소프트 제어 사람-기계 인터페이스로부터 채널디멀티플렉서와 확인 스위치를 제거하기 위한 방법 및 장치

Country Status (4)

Country Link
US (1) US6516041B1 (ko)
KR (1) KR100664530B1 (ko)
AU (1) AU7865400A (ko)
WO (1) WO2001026118A1 (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100982774B1 (ko) 2008-09-30 2010-09-16 한국전력기술 주식회사 원자력발전소 제어계통 성능검증 장치 및 방법
KR101292913B1 (ko) * 2011-12-01 2013-08-02 한국원자력연구원 공학적안전설비의 세그먼테이션 방법

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8055814B2 (en) * 2005-03-18 2011-11-08 Rockwell Automation Technologies, Inc. Universal safety I/O module
WO2009055968A1 (en) * 2007-10-31 2009-05-07 Honeywell International Inc. Smart data access layer for supervisory information system
WO2009147820A1 (ja) * 2008-06-02 2009-12-10 株式会社 東芝 ディジタル処理型監視装置
CN101794633B (zh) * 2009-02-03 2012-10-31 中广核工程有限公司 一种核电站电子软钥匙系统
CN101840742B (zh) * 2010-03-29 2012-08-29 中广核工程有限公司 一种核电站数字化控制系统缺省值的设置方法及系统
US20110313580A1 (en) * 2010-06-17 2011-12-22 Levgenii Bakhmach Method and platform to implement safety critical systems
KR101121319B1 (ko) * 2010-09-14 2012-03-09 주식회사 포스코아이씨티 제어기 및 제어기의 데이터 송수신 방법
JP5701033B2 (ja) * 2010-12-09 2015-04-15 三菱重工業株式会社 原子炉停止装置
US9921591B2 (en) * 2012-03-26 2018-03-20 Siemens Schweiz Ag System and method for HVAC interlocks
EP3082133B1 (en) * 2015-04-14 2023-06-07 General Electric Technology GmbH Nuclear instrumentation and control system
KR101658879B1 (ko) * 2015-05-27 2016-09-22 한국수력원자력 주식회사 심층방어 강화를 위한 플랫폼 제공장치 및 방법

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US3713142A (en) * 1972-01-17 1973-01-23 Signatron Alarm system
US4120028A (en) * 1976-10-21 1978-10-10 The Singer Company Digital display data processor
US4270185A (en) * 1977-06-20 1981-05-26 Motorola Israel Limited Memory control circuitry for a supervisory control system
US4937581A (en) * 1980-02-13 1990-06-26 Eid Electronic Identification Systems Ltd. Electronic identification system
DE68926792T2 (de) * 1988-05-02 1996-12-12 Hitachi Ltd Kernbrennstoffelement
GB2275561B (en) * 1989-11-02 1995-02-15 Combustion Eng Power plant
JP2947840B2 (ja) * 1989-12-22 1999-09-13 株式会社日立製作所 プラント運転監視装置
KR100318330B1 (ko) * 1991-04-08 2002-04-22 가나이 쓰도무 감시장치
US5361198A (en) 1992-04-03 1994-11-01 Combustion Engineering, Inc. Compact work station control room
US5537126A (en) * 1993-09-03 1996-07-16 Kayser Ventures, Ltd. Article-information display system using electronically controlled tags
US5517188A (en) * 1994-02-24 1996-05-14 Carroll; Gary T. Programmable identification apparatus and method therefor
KR100208653B1 (ko) * 1995-09-13 1999-07-15 윤덕용 원자력발전소의 운전원 작업반
US5859885A (en) 1996-11-27 1999-01-12 Westinghouse Electric Coporation Information display system

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100982774B1 (ko) 2008-09-30 2010-09-16 한국전력기술 주식회사 원자력발전소 제어계통 성능검증 장치 및 방법
KR101292913B1 (ko) * 2011-12-01 2013-08-02 한국원자력연구원 공학적안전설비의 세그먼테이션 방법

Also Published As

Publication number Publication date
US6516041B1 (en) 2003-02-04
WO2001026118A1 (en) 2001-04-12
KR20020059607A (ko) 2002-07-13
AU7865400A (en) 2001-05-10

Similar Documents

Publication Publication Date Title
KR100664530B1 (ko) 소프트 제어 사람-기계 인터페이스로부터 채널디멀티플렉서와 확인 스위치를 제거하기 위한 방법 및 장치
US5301247A (en) Method for ensuring secure communications
US5268962A (en) Computer network with modified host-to-host encryption keys
JP2014204444A (ja) センサへの操作及び/又はセンサのセンサデータへの操作を検出するための方法及び装置
JP4064647B2 (ja) 情報処理装置及び入力操作装置
JPH03181245A (ja) 制御ベクトル変換装置
KR20020060073A (ko) 보안 모드의 보안 조정 방법 및 암호화 장치
US7590848B2 (en) System and method for authentication and fail-safe transmission of safety messages
CN112559236B (zh) 加密运算处理器芯片的故障检测方法及装置
US7523305B2 (en) Employing cyclic redundancy checks to provide data security
JPS61501001A (ja) 暗号化伝送システム
US20200336458A1 (en) Method of providing communication channel for secure management between physically separated uniway data transmitting device and uniway data receiving device in uniway security gateway system, and uniway data transceiving device for providing two uniway communication channels therefor
WO2020078804A1 (en) Puf based securing of device update
CN109219950B (zh) 用于在安全相关的设备之间交换消息的方法
KR0137709B1 (ko) 암호화된 컴퓨터 목적 코드의 암호 해독 방지 방법
US6487695B1 (en) Method for providing fail-safe secure data transmission between a numerical control system and a spatially separate unit
KR100782230B1 (ko) 데이터 세트의 보전성 및 신뢰성을 보장하기 위한 방법
KR100963417B1 (ko) 보안 기능을 갖는 rfid 보안 장치 및 방법
US10438002B2 (en) Field-bus data transmission
KR101632929B1 (ko) 단말, 및 이를 이용한 웹 페이지 위변조 검증 시스템 및 방법
CN100596350C (zh) 工业控制数据的加密解密方法
US7890557B2 (en) Reliable recording of input values
CN1716850B (zh) 对机顶盒芯片进行安全验证的方法和系统
CN113746642A (zh) 一种计算机间通信方法及系统
CN112905994A (zh) 一种远程漏洞补丁程序防护方法及系统

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20121129

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20131129

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20141128

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20161125

Year of fee payment: 11

FPAY Annual fee payment

Payment date: 20170929

Year of fee payment: 12

FPAY Annual fee payment

Payment date: 20180928

Year of fee payment: 13