KR20160104627A - 원자로 보호 시스템들 및 방법들 - Google Patents

원자로 보호 시스템들 및 방법들 Download PDF

Info

Publication number
KR20160104627A
KR20160104627A KR1020167017646A KR20167017646A KR20160104627A KR 20160104627 A KR20160104627 A KR 20160104627A KR 1020167017646 A KR1020167017646 A KR 1020167017646A KR 20167017646 A KR20167017646 A KR 20167017646A KR 20160104627 A KR20160104627 A KR 20160104627A
Authority
KR
South Korea
Prior art keywords
reactor
modules
inputs
safety
voting
Prior art date
Application number
KR1020167017646A
Other languages
English (en)
Other versions
KR102364973B1 (ko
Inventor
그레고리 웨인 클락슨
루피노 아얄라
제이슨 포토프
Original Assignee
뉴스케일 파워, 엘엘씨
록 크릭 이노베이션즈, 엘엘씨
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 뉴스케일 파워, 엘엘씨, 록 크릭 이노베이션즈, 엘엘씨 filed Critical 뉴스케일 파워, 엘엘씨
Publication of KR20160104627A publication Critical patent/KR20160104627A/ko
Application granted granted Critical
Publication of KR102364973B1 publication Critical patent/KR102364973B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G21NUCLEAR PHYSICS; NUCLEAR ENGINEERING
    • G21CNUCLEAR REACTORS
    • G21C9/00Emergency protection arrangements structurally associated with the reactor, e.g. safety valves provided with pressure equalisation devices
    • GPHYSICS
    • G21NUCLEAR PHYSICS; NUCLEAR ENGINEERING
    • G21DNUCLEAR POWER PLANT
    • G21D3/00Control of nuclear power plant
    • G21D3/001Computer implemented control
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • G05B9/03Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
    • GPHYSICS
    • G21NUCLEAR PHYSICS; NUCLEAR ENGINEERING
    • G21CNUCLEAR REACTORS
    • G21C7/00Control of nuclear reaction
    • G21C7/36Control circuits
    • GPHYSICS
    • G21NUCLEAR PHYSICS; NUCLEAR ENGINEERING
    • G21DNUCLEAR POWER PLANT
    • G21D3/00Control of nuclear power plant
    • G21D3/04Safety arrangements
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F1/00Details not covered by groups G06F3/00 - G06F13/00 and G06F21/00
    • G06F1/26Power supply means, e.g. regulation thereof
    • G06F1/28Supervision thereof, e.g. detecting power-supply failure by out of limits supervision
    • GPHYSICS
    • G21NUCLEAR PHYSICS; NUCLEAR ENGINEERING
    • G21CNUCLEAR REACTORS
    • G21C17/00Monitoring; Testing ; Maintaining
    • GPHYSICS
    • G21NUCLEAR PHYSICS; NUCLEAR ENGINEERING
    • G21DNUCLEAR POWER PLANT
    • G21D3/00Control of nuclear power plant
    • G21D3/04Safety arrangements
    • G21D3/06Safety arrangements responsive to faults within the plant
    • HELECTRICITY
    • H02GENERATION; CONVERSION OR DISTRIBUTION OF ELECTRIC POWER
    • H02HEMERGENCY PROTECTIVE CIRCUIT ARRANGEMENTS
    • H02H3/00Emergency protective circuit arrangements for automatic disconnection directly responsive to an undesired change from normal electric working condition with or without subsequent reconnection ; integrated protection
    • H02H3/02Details
    • H02H3/05Details with means for increasing reliability, e.g. redundancy arrangements
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02EREDUCTION OF GREENHOUSE GAS [GHG] EMISSIONS, RELATED TO ENERGY GENERATION, TRANSMISSION OR DISTRIBUTION
    • Y02E30/00Energy generation of nuclear origin
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02EREDUCTION OF GREENHOUSE GAS [GHG] EMISSIONS, RELATED TO ENERGY GENERATION, TRANSMISSION OR DISTRIBUTION
    • Y02E30/00Energy generation of nuclear origin
    • Y02E30/30Nuclear fission reactors
    • Y02E30/40

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • High Energy & Nuclear Physics (AREA)
  • Plasma & Fusion (AREA)
  • Business, Economics & Management (AREA)
  • Emergency Management (AREA)
  • Automation & Control Theory (AREA)
  • General Physics & Mathematics (AREA)
  • Chemical & Material Sciences (AREA)
  • Chemical Kinetics & Catalysis (AREA)
  • Monitoring And Testing Of Nuclear Reactors (AREA)
  • Testing And Monitoring For Control Systems (AREA)
  • Safety Devices In Control Systems (AREA)

Abstract

원자로 보호 시스템은 복수의 기능적으로 독립된 모듈들 및 하나 이상의 원자로 안전 작동기들을 포함하고, 모듈들 각각은 원자로 안전 시스템으로부터 복수의 입력들을 수신하도록 구성되고, 적어도 부분적으로 상기 복수의 입력들에 기초하여 안전 조치를 논리적으로 결정하도록 구성되며, 하나 이상의 원자로 안전 작동기들은 복수의 기능적으로 독립된 모듈들과 교신 가능하게 결합되어 적어도 부분적으로 복수의 입력들에 기초하여 안전 조치 결정을 수신한다.

Description

원자로 보호 시스템들 및 방법들{Nuclear reactor protection systems and methods}
본 출원은 2013년 12월 31일에 출원된 미국 임시 특허 출원 일련 번호 제61/922,625호에 대한 우선권의 이익, 및 2014년 3월 6일에 출원된 미국 특허 출원 일련번호 제14/198,891호에 대한 우선권의 이익을 주장하고, 상기 출원들의 전체 내용들은 본원에 참조 병합된다.
본 개시서는 원자로 보호 시스템 및 상기 시스템의 관련된 방법들을 기술한다.
원자로 보호 시스템들, 및 일반적으로, 원자로 계측 및 제어(instrumentation and control, I&C) 시스템들은, 오류 상태들의 결과들을 완화하기 위해 자동 개시 신호들, 자동 및 수동 제어 신호들, 및 모니터링 디스플레이들을 제공한다. 예를 들어, I&C 시스템들은 정상 상태 및 과도 전력 동작 동안 안전하지 않은 원자로 동작에 대한 보호를 제공한다. 정상 동작 동안 I&C 시스템들은 다양한 파라미터들을 측정하고 시스템들을 제어하는 신호를 전송한다. 이상 동작 및 사고 상태들에서, 상기 I&C 시스템들은 반응기 보호 시스템에 신호들을 전송하고, 일부 경우에는 반응기 트립 시스템(reactor trip system, RTS) 및 상기 반응기 보호 시스템의 설계 안전 기능 작동 시스템(engineered safety feature actuation system, ESFAS)에 신호들을 전송하여, 소정의 설정 지점들에 기초하여 보호 조치들을 개시한다.
본 개시서는 예를 들어 시스템 내 안전 기능을 무너뜨릴 수 있는 및/또는 무력화할 수 있는 소프트웨어 또는 소프트웨어-개발된 로직 오류들에 의해 야기된 공통-원인 고장들(common-cause failures, CCF)을 완화할 수 있는 원자로 보호 시스템 및 상기 시스템의 관련된 방법들을 기술한다.
본 개시서에 따른 일반적인 구현에서, 원자로 보호 시스템은 복수의 기능적으로 독립적인 모듈들 및 하나 이상의 원자로 안전 작동기들을 포함하고, 상기 모듈들 각각은 원자로 안전 시스템으로부터 복수의 입력들을 수신하도록 구성되고, 적어도 부분적으로 상기 복수의 입력들에 기초하여 안전 조치를 논리적으로 결정하도록 구성되며, 상기 하나 이상의 원자로 안전 작동기들은 상기 복수의 기능적으로 독립적인 모듈들과 교신 가능하게 결합되어 적어도 부분적으로 상기 복수의 입력들에 기초하여 상기 안전 조치 결정을 수신한다.
상기 일반적인 구현과 조합 가능한 제1 측면에서, 상기 복수의 기능적으로 독립적인 모듈들 각각은 상기 복수의 기능적으로 독립적인 모듈들 중 임의의 다른 모듈로의 단일 고장 전파(single failure propagation)에 대한 보호를 제공한다.
상기 이전 측면들 중 임의의 측면과 조합 가능한 제2 측면에서, 상기 원자로 안전 시스템은 설계 안전 기능 작동 시스템(engineered safety features actuation system, ESFAS)을 포함하고, 상기 복수의 기능적으로 독립적인 모듈들은 복수의 ESFAS 입력들을 수신하고 적어도 부분적으로 상기 ESFAS 입력들에 기초하여 ESFAS 구성요소 작동을 논리적으로 결정한다.
상기 이전 측면들 중 임의의 측면과 조합 가능한 제3 측면에서, 상기 복수의 기능적으로 독립적인 모듈들은 중복 ESFAS 투표 분할들(redundant ESFAS voting divisions)을 가능케 한다.
상기 이전 측면들 중 임의의 측면과 조합 가능한 제4 측면에서, 상기 원자로 안전 시스템은 반응기 트립 시스템(reactor trip system, RTS)을 포함하고, 상기 복수의 기능적으로 독립적인 모듈들은 복수의 RTS 입력들을 수신하고 적어도 부분적으로 상기 RTS 입력들에 기초하여 RTS 구성요소 작동을 논리적으로 결정한다.
상기 이전 측면들 중 임의의 측면과 조합 가능한 제5 측면에서, 상기 복수의 기능적으로 독립적인 모듈들은 중복 RTS 투표 분할들(redundant RTS voting divisions)을 가능케 한다.
상기 이전 측면들 중 임의의 측면과 조합 가능한 제6 측면에서, 상기 복수의 기능적으로 독립적인 모듈들 각각은 상기 복수의 기능적으로 독립적인 모듈들 중 임의의 다른 모듈로의 단일 하드웨어 고장 전파(single hardware failure propagation)에 대한 보호를 제공한다.
상기 이전 측면들 중 임의의 측면과 조합 가능한 제7 측면에서, 상기 복수의 기능적으로 독립적인 모듈들 각각은 상기 복수의 기능적으로 독립적인 모듈들 중 임의의 다른 모듈로의 단일 소프트웨어 고장 전파(single software failure propagation)에 대한 보호를 제공한다.
상기 이전 측면들 중 임의의 측면과 조합 가능한 제8 측면에서, 상기 복수의 기능적으로 독립적인 모듈들 각각은 상기 복수의 기능적으로 독립적인 모듈들 중 임의의 다른 모듈로의 단일 소프트웨어 개발된 로직 고장 전파(single software developed logic failure propagation)에 대한 보호를 제공한다.
상기 이전 측면들 중 임의의 측면과 조합 가능한 제9 측면에서, 상기 복수의 기능적으로 독립적인 모듈들은 반응기 트립 감지 및 결정의 신호 경로에 대한 3중 중복성(triple redundancy)을 가능케 한다.
상기 이전 측면들 중 임의의 측면과 조합 가능한 제10 측면에서, 상기 복수의 기능적으로 독립적인 모듈들은 반응기 트립 구성요소 별로 독립적인 트립 투표 모듈들을 포함한다.
상기 이전 측면들 중 임의의 측면과 조합 가능한 제11 측면에서, 상기 복수의 기능적으로 독립적인 모듈들은 상기 특정 트립 구성요소에 전용된 상기 복수의 모듈들 중 다른 모든 모듈과 별개로 상기 반응기 트립을 논리적으로 결정한다.
상기 이전 측면들 중 임의의 측면과 조합 가능한 제12 측면에서, 상기 복수의 기능적으로 독립적인 모듈들은 ESF 구성요소 별로 독립적인 ESFAS 작동 투표 모듈들을 포함한다.
상기 이전 측면들 중 임의의 측면과 조합 가능한 제13 측면에서, 상기 복수의 기능적으로 독립적인 모듈들은 상기 특정 ESF 구성요소에 전용된 상기 복수의 모듈들 중 다른 모든 모듈과 별개로 상기 ESFAS 작동을 논리적으로 결정한다.
상기 이전 측면들 중 임의의 측면과 조합 가능한 제14 측면에서, 상기 복수의 기능적으로 독립적인 모듈들은 복수의 안전 기능 모듈들을 포함한다.
상기 이전 측면들 중 임의의 측면과 조합 가능한 제2 측면에서, 상기 복수의 기능적으로 독립적인 모듈들은 복수의 통신 모듈들을 포함한다.
상기 이전 측면들 중 임의의 측면과 조합 가능한 제15 측면에서, 상기 복수의 기능적으로 독립적인 모듈들은 복수의 장비 인터페이스 모듈들을 포함한다.
상기 이전 측면들 중 임의의 측면과 조합 가능한 제16 측면에서, 상기 복수의 기능적으로 독립적인 모듈들은 단일-층 투표 방식(single-tier voting scheme)으로 상기 반응기 트립을 논리적으로 결정한다.
상기 이전 측면들 중 임의의 측면과 조합 가능한 제17 측면에서, 상기 복수의 기능적으로 독립적인 모듈들은 다수-층 투표 방식(multiple-tier voting scheme)으로 상기 반응기 트립을 논리적으로 결정한다.
상기 이전 측면들 중 임의의 측면과 조합 가능한 제18 측면에서, 상기 다수-층 투표 방식은 2-층 투표 방식을 포함한다.
상기 이전 측면들 중 임의의 측면과 조합 가능한 제19 측면에서, 상기 2-층 투표 방식의 제1 층은 다수결 투표 방식을 포함한다.
상기 이전 측면들 중 임의의 측면과 조합 가능한 제20 측면에서, 상기 다수결 투표 방식은 3개 중 2개 투표 방식을 포함한다.
상기 이전 측면들 중 임의의 측면과 조합 가능한 제21 측면에서, 상기 2-층 투표 방식의 제2 층은 비-다수결 투표 방식을 포함한다.
상기 이전 측면들 중 임의의 측면과 조합 가능한 제22 측면에서, 상기 제2 층은 4개 중 2개 투표 방식을 포함한다.
본 개시서에 따른 다른 일반적인 구현에서, 원자로 트립의 결정 방법은, 설계 안전 기능 작동 시스템(engineered safety features actuation system, ESFAS) 또는 반응기 트립 시스템(reactor trip system, RTS) 중 하나로부터, 원자로 보호 시스템의 복수의 기능적으로 독립적인 모듈들에서의 복수의 입력들을 수신하는 단계; 상기 복수의 기능적으로 독립적인 모듈들로, 적어도 부분적으로 상기 복수의 입력들에 기초하여, ESFAS 안전 조치 또는 반응기 트립 결정 중 하나를 논리적으로 결정하는 단계; 및 상기 논리 결정에 기초하여, 상기 복수의 기능적으로 독립적인 모듈들에 교신 가능하게 결합된 ESFAS 구성요소 작동기 또는 반응기 트립 차단기 중 하나를 활성화하는 단계를 포함한다.
상기 일반적인 구현과 조합 가능한 제1 측면에서, 상기 방법은 상기 복수의 기능적으로 독립적인 모듈들 중 하나로, 상기 복수의 기능적으로 독립된 모듈들 중 임의의 다른 모듈로의 단일 고장 전파(single failure propagation)를 제한하는 단계를 더 포함한다.
상기 이전 측면들 중 임의의 측면과 조합 가능한 제2 측면에서, 상기 단일 고장은, 단일 하드웨어 고장, 단일 소프트웨어 고장, 또는 단일 소프트웨어 개발된 로직 고장 중 적어도 하나를 포함한다.
상기 이전 측면들 중 임의의 측면과 조합 가능한 제3 측면에서, 상기 복수의 기능적으로 독립적인 모듈들로, 적어도 부분적으로 상기 입력들에 기초하여 ESFAS 안전 조치 또는 반응기 트립 결정 중 하나를 논리적으로 결정하는 단계는, 상기 복수의 기능적으로 독립적인 모듈들로, 3중 중복 신호 경로(triple redundancy signal path)를 통해 상기 ESFAS 안전 조치 또는 반응기 트립 결정 중 하나를 논리적으로 결정하는 단계를 포함한다.
상기 이전 측면들 중 임의의 측면과 조합 가능한 제4 측면에서, 상기 복수의 기능적으로 독립적인 모듈들은 중복 RTS 투표 분할들(redundant RTS voting divisions) 또는 중복 ESFAS 투표 분할들(redundant ESFAS voting divisions) 중 적어도 하나를 가능케 한다.
상기 이전 측면들 중 임의의 측면과 조합 가능한 제5 측면에서, 상기 복수의 기능적으로 독립적인 모듈들로, 적어도 부분적으로 상기 입력들에 기초하여 ESFAS 안전 조치 또는 반응기 트립 결정 중 하나를 논리적으로 결정하는 단계는, 상기 복수의 기능적으로 독립적인 모듈들로, 반응기 트립 구성요소 별로 독립적인 트립 투표 모듈들을 통해 상기 ESFAS 안전 조치 또는 반응기 트립 결정 중 하나를 논리적으로 결정하는 단계를 포함한다.
상기 이전 측면들 중 임의의 측면과 조합 가능한 제6 측면에서, 상기 복수의 기능적으로 독립적인 모듈들로, 적어도 부분적으로 상기 입력들에 기초하여 ESFAS 안전 조치 또는 반응기 트립 결정 중 하나를 논리적으로 결정하는 단계는, 상기 복수의 기능적으로 독립적인 모듈들의 특정 모듈로, 상기 복수의 모듈들 중 다른 모든 모듈과 별개로 상기 ESFAS 안전 조치 또는 반응기 트립 결정을 논리적으로 결정하는 단계를 포함한다.
상기 이전 측면들 중 임의의 측면과 조합 가능한 제7 측면에서, 상기 복수의 기능적으로 독립적인 모듈들은 ESF 구성요소 별로 독립적인 ESFAS 작동 투표 모듈들을 포함하고, 상기 방법은, 상기 복수의 기능적으로 독립적인 모듈들의 특정 모듈로, 상기 특정 ESF 구성요소에 전용된 상기 복수의 모듈들 중 다른 모든 모듈과 별개로 상기 ESFAS 작동을 논리적으로 결정하는 단계를 더 포함한다.
상기 이전 측면들 중 임의의 측면과 조합 가능한 제8 측면에서, 상기 복수의 기능적으로 독립적인 모듈들은 복수의 안전 기능 모듈들, 복수의 통신 모듈들, 및 복수의 장비 인터페이스 모듈들을 포함한다.
상기 이전 측면들 중 임의의 측면과 조합 가능한 제9 측면에서, 상기 복수의 기능적으로 독립적인 모듈들로, 적어도 부분적으로 상기 입력들에 기초하여 ESFAS 안전 조치 또는 반응기 트립 결정 중 하나를 논리적으로 결정하는 단계는, 상기 복수의 기능적으로 독립적인 모듈들로, 단일-층 투표 방식(single-tier voting scheme)으로 상기 ESFAS 안전 조치 또는 반응기 트립 결정을 논리적으로 결정하는 단계를 포함한다.
상기 이전 측면들 중 임의의 측면과 조합 가능한 제10 측면에서, 상기 복수의 기능적으로 독립적인 모듈들로, 적어도 부분적으로 상기 입력들에 기초하여 ESFAS 안전 조치 또는 반응기 트립 결정 중 하나를 논리적으로 결정하는 단계는, 상기 복수의 기능적으로 독립적인 모듈들로, 다수-층 투표 방식(multiple-tier voting scheme)으로 상기 ESFAS 안전 조치 또는 반응기 트립 결정을 논리적으로 결정하는 단계를 포함한다.
상기 이전 측면들 중 임의의 측면과 조합 가능한 제11 측면에서, 상기 다수-층 투표 방식은 2-층 투표 방식을 포함한다.
상기 이전 측면들 중 임의의 측면과 조합 가능한 제12 측면에서, 상기 2-층 투표 방식의 제1 층은 다수결 투표 방식을 포함한다.
상기 이전 측면들 중 임의의 측면과 조합 가능한 제13 측면에서, 상기 다수결 투표 방식은 3개 중 2개 투표 방식을 포함한다.
상기 이전 측면들 중 임의의 측면과 조합 가능한 제14 측면에서, 상기 2-층 투표 방식의 제2 층은 비-다수결 투표 방식을 포함한다.
상기 이전 측면들 중 임의의 측면과 조합 가능한 제15 측면에서, 상기 제2 층은 4개 중 2개 투표 방식을 포함한다.
본 개시서에 따른 다른 일반적인 구현에서, 원자로 보호 시스템은 단일 고장의 단일 모듈로의 이동(migration)을 제한하는 복수의 기능적으로 독립적인 모듈들을 포함한다.
본 개시서에 따른 다른 일반적인 구현에서, 원자로 보호 시스템은 단지 3개의 종류의 모듈들을 포함하는 복수의 기능적으로 독립적인 모듈들을 포함하고, 그에 의해 많은 수의 라인 교체가능 유닛들(line replaceable units)이 최소화된다.
본 개시서에 따른 다른 일반적인 구현에서, 원자로 보호 시스템은 데이터 버스를 통한 데이터 통과 스케줄을 결정하는 통신 모듈을 포함하는 복수의 기능적으로 독립적인 모듈들을 포함한다.
본 개시서에 따른 다른 일반적인 구현에서, 원자로 보호 시스템은 시스템 아키텍쳐를 정의하는 반응기 트립 시스템을 포함하고, 상기 시스템 아키텍쳐에서 데이터는 예를 들어, 사후 모니터링 기능(post-accident monitoring function) 대신에, 안전 기능과 배타적으로 연관된 경로를 통해 상기 반응기 트립 시스템으로부터 제어실로 전송된다.
본 개시서에 따른 다른 일반적인 구현에서, 원자로 보호 시스템은 복수의 기능적으로 독립적인 모듈들을 포함하고, 이들 각각은 상기 시스템 내 복수의 반응기 트립 차단기들 중에서 특정 반응기 트립 차단기에 전용된다.
본 개시서에 따른 다른 일반적인 구현에서, 원자로 보호 시스템은 복수의 기능적으로 독립적인 모듈들을 포함하고, 이들 각각은 다른 모듈들 모두와 완전히 독립적으로, 반응기 트립/비트립 결정 또는 ESFAS 작동/비작동 결정을 한다.
본 개시서에 따른 다른 일반적인 구현에서, 원자로 보호 시스템은 복수의 기능적으로 독립적인 모듈들을 포함하고, 이들 각각은 상기 시스템 내 복수의 ESFAS 장비 작동기들 중에서 특정 ESFAS 장비 작동기들에 전용된다.
본 개시서에 따른 다른 일반적인 구현에서, 원자로 보호 장치는 원자로 안전 시스템으로부터의 복수의 입력들을 수신하고 적어도 부분적으로 상기 복수의 입력들에 기초하여 안전 조치를 논리적으로 결정하는 수단; 및 적어도 부분적으로 상기 복수의 입력들에 기초하여 상기 안전 조치 결정을 수신하는 수단을 포함한다.
상기 일반적인 구현과 조합 가능한 제1 측면에서, 상기 안전 조치 결정을 수신하는 수단은 상기 원자로 안전 시스템으로부터의 상기 복수의 입력들을 수신하고 상기 안전 조치를 논리적으로 결정하는 수단과 교신 가능하게 결합된다.
상기 이전 측면들 중 임의의 측면과 조합 가능한 제2 측면에서, 상기 원자로 안전 시스템으로부터의 상기 복수의 입력들을 수신하고 상기 안전 조치를 논리적으로 결정하는 수단은 상기 장치 내의 단일 고장 전파(single failure propagation)에 대한 보호를 제공한다.
상기 이전 측면들 중 임의의 측면과 조합 가능한 제3 측면에서, 상기 원자로 안전 시스템은 설계 안전 기능 작동 시스템(engineered safety features actuation system, ESFAS)을 포함하고, 상기 원자로 안전 시스템으로부터의 상기 복수의 입력들을 수신하고 상기 안전 조치를 논리적으로 결정하는 수단은 복수의 ESFAS 입력들을 수신하고 적어도 부분적으로 상기 ESFAS 입력들에 기초하여 ESFAS 구성요소 작동을 논리적으로 결정한다.
상기 이전 측면들 중 임의의 측면과 조합 가능한 제4 측면에서, 상기 원자로 안전 시스템으로부터의 상기 복수의 입력들을 수신하고 상기 안전 조치를 논리적으로 결정하는 수단은 중복 ESFAS 투표 분할들(redundant ESFAS voting division)을 가능케 한다.
상기 이전 측면들 중 임의의 측면과 조합 가능한 제5 측면에서, 상기 원자로 안전 시스템은 반응기 트립 시스템(reactor trip system, RTS)을 포함하고, 상기 원자로 안전 시스템으로부터의 상기 복수의 입력들을 수신하고 상기 안전 조치를 논리적으로 결정하는 수단은 복수의 RTS 입력들을 수신하고 적어도 부분적으로 상기 RTS 입력들에 기초하여 RTS 구성요소 작동을 논리적으로 결정한다.
상기 이전 측면들 중 임의의 측면과 조합 가능한 제6 측면에서, 상기 원자로 안전 시스템으로부터의 상기 복수의 입력들을 수신하고 상기 안전 조치를 논리적으로 결정하는 수단은 중복 RTS 투표 분할들(redundant RTS voting division)을 가능케 한다.
상기 이전 측면들 중 임의의 측면과 조합 가능한 제7 측면에서, 상기 원자로 안전 시스템으로부터의 상기 복수의 입력들을 수신하고 상기 안전 조치를 논리적으로 결정하는 수단은 상기 장치 내의 단일 하드웨어 고장 전파(single hardware failure propagation)에 대한 보호를 제공한다.
상기 이전 측면들 중 임의의 측면과 조합 가능한 제8 측면에서, 상기 원자로 안전 시스템으로부터의 상기 복수의 입력들을 수신하고 상기 안전 조치를 논리적으로 결정하는 수단은 상기 장치 내의 단일 소프트웨어 고장 전파(single software failure propagation)에 대한 보호를 제공한다.
상기 이전 측면들 중 임의의 측면과 조합 가능한 제9 측면에서, 상기 원자로 안전 시스템으로부터의 상기 복수의 입력들을 수신하고 상기 안전 조치를 논리적으로 결정하는 수단은 상기 장치 내의 단일 소프트웨어 개발된 로직 고장 전파(single software developed logic failure propagation)에 대한 보호를 제공한다.
상기 이전 측면들 중 임의의 측면과 조합 가능한 제10 측면에서, 상기 원자로 안전 시스템으로부터의 상기 복수의 입력들을 수신하고 상기 안전 조치를 논리적으로 결정하는 수단은 반응기 트립 감지 및 결정의 3중 중복 신호 경로(triple redundant signal path)를 포함한다.
상기 이전 측면들 중 임의의 측면과 조합 가능한 제11 측면에서, 상기 원자로 안전 시스템으로부터의 상기 복수의 입력들을 수신하고 상기 안전 조치를 논리적으로 결정하는 수단은 반응기 트립 구성요소 별로 독립적인 트립 투표 모듈들을 포함한다.
상기 이전 측면들 중 임의의 측면과 조합 가능한 제12 측면에서, 상기 원자로 안전 시스템으로부터의 상기 복수의 입력들을 수신하고 상기 안전 조치를 논리적으로 결정하는 수단은 특정 반응기 트립 구성요소에 대한 반응기 트립을 독립적으로 결정한다.
상기 이전 측면들 중 임의의 측면과 조합 가능한 제13 측면에서, 상기 원자로 안전 시스템으로부터의 상기 복수의 입력들을 수신하고 상기 안전 조치를 논리적으로 결정하는 수단은 ESF 구성요소 별로 독립적인 ESFAS 작동 투표 모듈들을 포함한다.
상기 이전 측면들 중 임의의 측면과 조합 가능한 제14 측면에서, 상기 원자로 안전 시스템으로부터의 상기 복수의 입력들을 수신하고 상기 안전 조치를 논리적으로 결정하는 수단은 특정 ESF 구성요소에 대한 ESFAS 작동을 독립적으로 결정한다.
상기 이전 측면들 중 임의의 측면과 조합 가능한 제15 측면에서, 상기 원자로 안전 시스템으로부터의 상기 복수의 입력들을 수신하고 상기 안전 조치를 논리적으로 결정하는 수단은 복수의 안전 기능 모듈들을 포함한다.
상기 이전 측면들 중 임의의 측면과 조합 가능한 제16 측면에서, 상기 원자로 안전 시스템으로부터의 상기 복수의 입력들을 수신하고 상기 안전 조치를 논리적으로 결정하는 수단은 복수의 통신 모듈들을 포함한다.
상기 이전 측면들 중 임의의 측면과 조합 가능한 제17 측면에서, 상기 원자로 안전 시스템으로부터의 상기 복수의 입력들을 수신하고 상기 안전 조치를 논리적으로 결정하는 수단은 복수의 장비 인터페이스 모듈들을 포함한다.
상기 이전 측면들 중 임의의 측면과 조합 가능한 제18 측면에서, 상기 원자로 안전 시스템으로부터의 상기 복수의 입력들을 수신하고 상기 안전 조치를 논리적으로 결정하는 수단은 단일-층 투표 방식(single-tier voting scheme)으로 반응기 트립을 논리적으로 결정한다.
상기 이전 측면들 중 임의의 측면과 조합 가능한 제19 측면에서, 상기 원자로 안전 시스템으로부터의 상기 복수의 입력들을 수신하고 상기 안전 조치를 논리적으로 결정하는 수단은 다수-층 투표 방식(multiple-tier voting scheme)으로 반응기 트립을 논리적으로 결정한다.
상기 이전 측면들 중 임의의 측면과 조합 가능한 제20 측면에서, 상기 다수-층 투표 방식은 2-층 투표 방식을 포함한다.
상기 이전 측면들 중 임의의 측면과 조합 가능한 제21 측면에서, 상기 2-층 투표 방식의 제1 층은 다수결 투표 방식을 포함한다.
상기 이전 측면들 중 임의의 측면과 조합 가능한 제22 측면에서, 상기 다수결 투표 방식은 3개 중 2개 투표 방식을 포함한다.
상기 이전 측면들 중 임의의 측면과 조합 가능한 제23 측면에서, 상기 2-층 투표 방식의 제2 층은 비-다수결 투표 방식을 포함한다.
상기 이전 측면들 중 임의의 측면과 조합 가능한 제24 측면에서, 상기 제2 층은 4개 중 2개 투표 방식을 포함한다.
본 개시서에 따른 원자로 보호 시스템의 다양한 구현들은 이하의 특징들 중 하나, 일부, 또는 모두를 포함할 수 있다. 예를 들어, 상기 반응기 보호 시스템은 시스템 내 안전 기능을 무너뜨릴 수 있는 및/또는 무력화할 수 있는 소프트웨어 또는 소프트웨어-개발된 로직 오류들에 의해 야기된 공통-원인 고장들(common-cause failures, CCF)을 완화할 수 있다. 다른 예로서, 상기 반응기 보호 시스템은 독립성, 중복성, 결정론(determinism), 다층화된 다양성, 테스트가능성, 및 진단법들과 같은 주요 속성들을 포함할 수 있다. 상기 반응기 보호 시스템은 상기 원자로가 안전 조건으로 유지됨을 보장할 수 있다. 다른 예로서, 상기 반응기 보호 시스템은 특정 기능에 전용된 개별 로직 엔진들로 구현된 기능성을 갖는 대칭 아키텍쳐를 통해 증가된 단순성을 가질 수 있다. 또 다른 예로서, 상기 반응기 보호 시스템은 중복 경로들을 통해 교신되고 단순한 프로토콜들에 기초한 아키텍쳐 내 통신들을 촉진할 수 있다.
본 명세서에 기술된 사상의 하나 이상의 구현들의 세부사항들은 첨부 도면들 및 아래의 설명에서 기술된다. 사상의 다른 특징들, 측면들, 및 이점들이 상기 설명, 도면들, 및 청구항으로부터 명백해질 것이다.
도 1은 다수의 원자력 시스템들 및 계측 및 제어(I&C) 시스템을 포함하는 시스템의 예시적인 구현의 블록도를 도시한다.
도 2a-2b는 원자력 시스템에 대한 I&C 시스템의 모듈 보호 시스템(MPS)의 블록도를 도시한다.
도 3a는 원자력 시스템에 대한 I&C 시스템의 모듈 MPS의 트립 결정 블록의 블록도를 도시한다.
도 3b는 원자력 시스템에 대한 I&C 시스템의 MPS의 설계 안전 기능 작동 시스템(ESFAS)의 블록도를 도시한다.
도 4a-4b는 의도된 안전 기능(들)을 수행할 수 있는 I&C 시스템을 보장하는 MPS 내의 소프트웨어- 또는 소프트웨어-로직 기반 공통-원인 고장들을 완화하는 다층화된 다양성 전략을 도시한 예시적인 차트들을 도시한다.
도 5는 원자력 시스템에 대한 I&C 시스템의 MPS의 안전 기능 모듈(SFM)의 블록도를 도시한다.
도 6은 원자력 시스템에 대한 I&C 시스템의 MPS의 통신 모듈(CM)의 블록도를 도시한다.
도 7은 원자력 시스템에 대한 I&C 시스템의 MPS의 장비 인터페이스 모듈(EIM)의 블록도를 도시한다.
도 8은 1개 이상의 SFM, EIM, 및 CM을 교신 가능하게 결합하는 반응기 보호 시스템의 섀시(chassis)의 예시적인 실시예를 도시한다.
도 9a-9c는 1개 이상의 SFM, CM, 및 EIM을 활용하는 트립 결정-, RTS-, 및 ESFAS-레벨 상호연결들의 블록도들을 도시한다.
도 10은 원자력 시스템에 대한 I&C 시스템의 MPS에 대한 다양성 분석도를 도시한다.
도 11은 MPS 블록들의 4개의 방어 부대들로의 예시적인 분리의 블록도를 도시한다.
도 1은 시스템(100)의 예시적인 구현을 도시하며, 상기 시스템은 다수의 원자력 발전 시스템들(150) 및 원자력 계측 및 제어(이하 'I&C'로 지칭함) 시스템(135)을 포함한다. 일반적으로, 상기 I&C 시스템(135)은 자동 개시 신호들, 자동 및 수동 제어 신호들, 및 모니터링 및 표시 디스플레이들을 제공하여 시스템(100)에서 오류 상태들의 결과들을 방지 또는 완화한다. 상기 I&C 시스템(135)은 정상 상태 및 과도 전원 동작 동안 정상 원자로 제어들 및 원자력 발전 시스템들(150)의 안전하지 않은 반응기 동작에 대한 보호를 제공한다.
정상 동작 동안, 계측 장비는 다양한 공정 파라미터들을 측정하고, I&C 시스템(135)의 제어 시스템들에 신호들을 전송한다. 비정상 동작 및 사고 상황들 동안, 상기 계측 장비는 I&C 시스템(135)의 부분들(예를 들어, 반응기 트립 시스템(reactor trip system, RTS)(147) 및 설계 안전 기능 작동 시스템(ESFAS)(148) (예를 들어, 사고의 영향을 완화하기 위함)이 있으며, 이는 소정의 설정 지점들에 기초하여 보호 조치들을 개시하기 위한 모듈 보호 시스템(module protection system, MPS)(145)의 일부임)에 신호들을 전송한다.
도 1에서, 시스템(100)은 I&C 시스템(135)에 전기적으로 결합된 다수의 원자력 발전 시스템들(150)을 포함한다. 비록 단지 3개의 원자력 발전 시스템들(150)만이 이 예에 나타났지만, 시스템들(100) 내에 포함된 또는 시스템들(100)과 결합된 더 적거나 더 많은(예를 들어, 6개, 9개, 12개, 또는 그 외의 개수의) 시스템들(150)이 있을 수 있다. 일 바람직한 구현에서, 시스템(100) 내에 포함된 12개의 원자력 발전 시스템들(150)이 있을 수 있고, 상기 원자력 발전 시스템들(150) 중 하나 이상은 이하에서 더욱 설명될 바와 같은 모듈형, 경수로(modular, light-water reactor)를 포함한다.
각각의 원자력 발전 시스템(150)에 대하여 그리고 비록 명시적으로 도시되지는 않았지만, 원자로 코어는 열을 제공할 수 있고, 이는 (예를 들어, 비등형 경수로(boiling water reactor)에서와 같은) 1차 냉각 루프에서 또는 (예를 들어, 가압 경수로와 같은) 2차 냉각 루프에서 물을 끓여 사용된다. 증기와 같은, 증발된 냉매는, 열 에너지를 전기 에너지로 변환하는 하나 이상의 터빈을 구동하는데 사용될 수 있다. 응축 후, 냉매는 이후 노심으로부터 더 많은 열 에너지를 제거하기 위해 다시 복귀된다. 원자력 발전 시스템(150)은 시스템 내의 오류들과 연관된 위험들을 최소화하기 위해 모니터링 및 보호 기능을 필요로 하는 임의의 시스템의 일 예이다.
각각의 원자로 시스템(150)의 특정 구현 예에서, 노심은 실린더-형 또는 캡슐-형 반응기 용기(reactor vessed)의 바닥 부분에 위치된다. 노심은 대략 몇 년 이상에 걸쳐 발생할 수 있는 제어된 반응을 생성하는 핵분열성 물질을 다량 포함한다. 비록 도 1에 명시적으로 나타나지 않았지만, 제어봉들이 사용되어 노심 내에서의 핵분열의 속도를 제어할 수 있다. 제어봉들은, 은, 인듐, 카드뮴, 붕소, 코발트, 하프늄, 디스프로슘, 가돌리늄, 사마륨, 에르븀, 유로퓸, 또는 그들의 합금들 및 화합물들을 포함할 수 있다. 그러나, 이들은 단지 많은 가능한 제어봉 재료들 중 일부에 불과하다. 수동 작동 시스템으로 설계된 원자로들에서, 적어도 일정한 소정의 시간 동안, 정상 동작 동안 또는 심지어 비상 상태에서 운영자 개입 또는 감독 없이 원자로의 전한 동작이 유지되도록 물리 법칙이 이용된다.
구현들에서, 실린더-형 또는 캡슐-형 격납 용기는 반응기 용기를 둘러싸고 부분적으로 또는 완전히, 반응기 베이(reactor bay) 내에서, 수선(waterline) 아래로와 같이, 반응기 풀에 침수된다. 반응기 용기와 격납 용기 사이의 체적은 부분적으로 또는 완전하게 비워져 반응기 용기로부터 반응기 풀로의 열 전달을 감소시킬 수 있다. 그러나, 다른 구현들에서, 반응 용기 및 격납 용기 사이의 체적은 적어도 부분적으로 반응기와 격납 용기들 사이의 열 전달을 증가키는 가스 및/또는 액체로 채워질 수 있다. 격납 용기는 원자로 베이의 기지(base)의 가장자리(skirt)에 안착될 수 있다.
특정 구현에서, 노심(reactor core)은 물과 같은 액체 내로 침수되며, 이는 붕소 또는 기타 첨가제를 포함할 수 있고, 이는 노심의 표면과 접촉한 이후 채널로 상승한다. 냉매는 열 교환기들의 상부 위를 이동하고 반응 용기의 내벽들을 따라 대류에 의해 아래로 이끌리며, 따라서 상기 냉매가 열을 열 교환기들에 전달하는 것이 허용된다. 반응 용기의 바닥 부분에 도달한 이후, 노심과의 접촉은 상기 냉매 가열로 귀결되며 이는 다시 채널을 통해 상승한다.
반응기 용기 내의 열 교환기들은 상기 채널의 적어도 일부 주위를 감싸는 임의의 수의 헬리컬 코일들로 나타낼 수 있다. 다른 구현들에서, 다른 개수의 헬리컬 코일들이 다른 방향의 채널을 감쌀 수 있고, 여기서, 예를 들어, 제1 헬리컬 코일이 역시계 방향의 나선으로 감싸고, 반면에 제2 헬리컬 코일이 시계 방향의 나선으로 감싼다. 그러나, 다르게-구성된 및/또는 다르게-지향된 열 교환기들을 방지하는 것은 아니며, 이 관점에서 구현들이 제한되는 것은 아니다.
도 1에서, 원자로 모듈의 정상 동작은, 가열된 냉배가 상기 채널을 통해 상승하여 열 교환기들과 접촉하는 방식으로 진행된다. 열 교환기들을 접촉한 이후, 상기 냉매는 열 사이펀 과정(thermal shiphoning process)을 유도하는 방식으로 반응기 용기의 바닥을 향해 가라앉는다. 도 1의 예에서, 상기 반응기 용기 내의 냉매는, 대기압 이상의 압력으로 유지되고, 따라서 냉매가 증발하지 않고(예를 들어, 끓음) 높은 온도를 유지하는 것이 허용된다.
열 교환기들 내의 냉매 온도가 증가함에 따라, 냉매가 끓기 시작할 수 있다. 열 교환기들 내에서 냉매가 끓음에 따라, 증기와 같은 증발된 냉매는 증기의 열 위치 에너지를 전기 에너지로 변환하는 하나 그 이상의 터빈들을 구동하는데 사용될 수 있다. 응축 이후 냉매는 열 교환기의 기지(base) 근처 위치들로 복귀된다.
도 1의 원자력 발전 시스템(150)의 정상 동작 동안, 원자력 시스템의 다양한 성능 파라미터들은, 원자력 발전 시스템(150) 내의 다양한 위치들에 배치된, 예를 들어, I&C 시스템(135)과 같은 센서들을 이용하여 모니터될 수 있다. 상기 원자력 시스템 내의 센서들은 시스템 온도들, 시스템 압력들, 1차 및/또는 2차 냉매 레벨들, 및 중성자 플럭스를 측정할 수 있다. 이러한 측정치들을 나타내는 신호들은 I&C 시스템(135)의 인터페이스 패널로의 통신 채널들을 이용하여 원자력 시스템의 외부로 보고될 수 있다.
도시된 I&C 시스템(135)은, 일반적으로, 메일 제어실(140), 모듈(또는 반응기) 보호 시스템(MPS)(145), 및 비-안전 모듈 제어 시스템(MCS)(155)을 포함한다. 메인 제어실(140)은 각각 원자력 발전 시스템(150)에 대한 일련의 제어들 및 지표들(141)을 포함한다. 각각의 일련의 제어들 및 지표들(141)은 수동 1E 제어들(142), 1E 지표들(143), 1E 아닌 제어들 및 지표들(non 1E controls and indicators)(144)을 포함한다. 일부 측면들에서, "1E"는 원자력 규제 위원회 규제 가이드 1.32에 의해 승인된 IEEE 표준 3.7 절 308-2001 하에서의 1E 방식을 정의하는 것들 것 같은 규제 요구사항들을 참조할 수 있고, 이는 비상 원자로 정지, 봉쇄 격리, 노심 냉각, 및 격납 및 반응기 열 제거에 필수적인, 또는 이외에 방사성 물질의 상당한 방출을 방지하는데 필수적인 전기 설비 및 시스템들의 안전 등급(safety classification)을 정의한다. 일반적으로, 특정 제어들 및 지표들은 "1E" 자격을 갖추는 반면에(예를 들어, 수동 1E 제어들(142) 및 1E 지표들(143)), 다른 제어들 및 지표들은 "1E" 자격을 갖추지 않을 수 있다(예를 들어, 비-1E 제어들 및 표시들(144)).
비-1E 제어들 및 표지들(144)운 MCS(155)와 양방향 통신한다. 상기 MCS(155)는 상기 원자력 발전 시스템(150)의 비-안전 부분들의 제어 및 모니터링을 제공할 수 있다. 일반적으로, MCS(155)는 다른 동작들 중에서 정상 상태 동작을 재-설정하고 유닛 트립(unit trip)을 방지하기 위해 동작 과도기들(operational transients)을 제한한다.
MPS(145)는 도 1에 도시된 바와 같이 수동 1E 제어들(142) 및 1E 표지들(143)과 각각 일방향 통신한다. 상기 MPS(145)는, 일반적으로, 설계 기반 이벤트들의 영향들을 완화하기 위해 안전 조치를 개시한다. 상기 MPS(145)는, 일반적으로, 센서들로부터 반응기 정지를 개시하는데 필요한 (전원들, 센서들, 신호 조절기들, 개시 회로들, 로직, 바이패스, 제어 보드들, 상호연결들 및 작동 장치들과 같은) 최종 작동 장치들까지 (하드웨어, 소프트웨어 및 펌웨어를 포함하여) 모든 장비를 포함한다.
상기 MPS(145)는 RTS(147) 및 ESFAS(148)를 포함한다. 일부 측면들에서, 상기 RTS(147)는 4개의 독립 분리 그룹들(예를 들어, 동일한 클래스-1E 전기 채널 설계(Class-1E electrical channel designation)를 갖는 처리 채널들의 물리적인 그룹핑(A, B, C 또는 D))을 포함하고, 상기 그룹들에는 별도의 그리고 독립적인 전력 공급들 및 공정 계측 송신기들이 제공되며, 이들 그룹들 각각은 물리적으로 및 전기적으로 독립되며 반응기 트립(reactor trip)을 발생시키도록 활용될 수 있는 플랜트 파라미터들(plant parameters)을 모니터하는 독립적인 측정 채널들을 갖는다. 상기 파라미터가 소정의 설정 지점을 초과하는 경우 각각의 측정 채널은 정지(trip)한다. 상기 RTS(147)의 동시 로직(coincident logic)은, 필요한 경우 단일 실패가 반응기 트립을 막을 수 없게끔, 그리고 단일 측정 채널에서의 실패가 불필요한 반응기 트립을 생성할 수 없도록 설계될 수 있다.
일부 측면들에서, ESFAS(148)는, 독립적인 측정 채널들을 갖는 4개의 독립적인 분리 그룹들을 포함하며, 이는 설계 안전 기능들(ESF) 장비의 동작을 활성화시키는데 사용될 수 있는 플랜트 파라미터들을 모니터한다. 파라미터가 소정의 설정 지점을 초과하는 경우, 각각의 측정 채널은 정지(trip)한다. 상기 ESFAS(148)의 동시 로직은 필요한 경우 단일 실패가 보호 수단 작동을 막을 수 없게끔, 그리고 단일 측정 채널에서의 한 번의 실패가 불필요한 보호 수단 작동을 생성할 수 없도록 설계될 수 있다.
시스템(100)은, 예를 들어, NUREG/CR-6303에서 정의된 바와 같이, 반응기를 동작시키거나 종료시키고 냉각하기 위한 목적의 원자로에 부착된 계측 및 제어 시스템들의 배치에 대한 심층-방어(defense-in-depth)의 원칙의 특정 적용과 같은, 4개의 방어 부대들(echelon)을 포함할 수 있다. 구체적으로, 4개의 부대들은 제어 시스템, 반응기 트립 또는 스크램 시스템(scram system), ESFAS, 및 모니터링 및 표시 시스템(예를 들어, 다른 3개의 부대들에 명목상 할당된 장비를 동작하는데 필요한 클래스 1E 및 비-클래스 1E 수동 제어들, 모니터들, 및 표시들을 포함하는 가장 느린 그리고 가장 유연한 방어 부대)이다.
제어 시스템 부대는, 일반적으로, (예를 들어, 비-클래스 1E 수동 또는 자동 제어 장비와 같은) MCS(155)를 포함하고, 이는 정기적으로 작업 안전하지 않은 체제를 향하는 원자로 진행들(excursions)을 방지하고 일반적으로 안전한 전력 생산 동작 영역에서 반응기를 동작하는데 사용된다. 표시들, 표시기들, 및 경보들이 제어 부대에 포함될 수 있다. 반응기 제어 시스템은 예를 들어 원격 종료 패널 요건(requirement for a remote shutdown panel)과 같은, 특정 규칙들 및/또는 요구 사항들을 만족하는 일부 장비들을 일반적으로 보유한다. 상기 제어 시스템 부대에 의해 수행되는 상기 반응기 제어 기능은 MCS(155)에 포함된다. 예를 들어, 상기 MCS(155)는, 반응기 트립 또는 ESF 작동에 대한 필요성을 방지하기 위한 동작 한계들 내에서 시스템(100)을 유지하는 기능들을 포함한다.
반응기 트립 시스템 부대는, 전형적으로, 예를 들어, 제어되지 않는 진행(excursion)에 응답하여 급속하게 노심 반응성을 줄이도록 설계된 안전 장치와 같은 RTS(147)를 포함한다. 이 부대는 일반적으로 반응기 제어봉을 신속하고 완전히 삽입하기 위한 잠재적인 또는 실제의 진행들, 장비 및 프로세스들을 검출하기 위한 수단으로 구성되고, 또한 특정 화학 중성자 완화 시스템들(예를 들어, 붕소 주입)도 포함할 수 있다. 도시된 바와 같이, 반응기 트립 부대에 의해 수행되는 자동 반응기 트립 기능은 MPS(145)에(예를 들어, RTS(147) 내에) 포함되어 있다.
ESFAS 부대는, 일반적으로, MPS(145)의 일부인 ESFAS 모듈(148)을 포함한다. 상기 ESFAS 부대는, ESFAS 모듈(148)에서 구현되는 바와 같이, 일반적으로 열을 제거하거나 또는 이외에 (예를 들어, 핵 연료봉 클래딩, 반응기 용기, 및 원자로 격납과 같은) 방사성 물질 방출에 대한 3개의 물리적 장벽들의 무결성을 유지하는 것을 돕는 안전 장비를 포함한다. 이 부대는 비상 반응기 냉각, 압력 완화 또는 감압, 분리, 및 ESF 장비의 동작에 필요한 다양한 지원 시스템(예를 들어, 비상 발전기들) 또는 장치(밸브들, 모터들, 펌프들)의 제어와 같은 그러한 기능들의 필요성을 검출하고 수행한다.
모니터링 및 표시 시스템 부대는, 일반적으로, 주 제어실(140)을 포함하고, 일부 측면들에서, 가장 느리고 또한 가장 유연한 방어 부대이다. 다른 3개의 부대들과 마찬가지로, (예를 들어, 시스템 (100)의) 인간 운전자들은 정확한 센서 정보에 의존하여 그들의 작업들을 수행하지만, 주어진 정보, 시간 및 수단 하에서, 사전에 지정되지 않은 논리 연산을 수행하여 예상치 못한 이벤트에 반응할 수 있다. 상기 모니터링 및 표시 부대는 (예를 들어, 수동 1E 제어들(142), 1E 표시들(143), 비-1E 제어들 및 표시들(144)을 통해) 다른 3개의 부대들에 명목상 할당된 장비를 동작하는데 필요한 클래스 1E 및 비-클래스 1E 수동 제어들, 모니터들, 및 지표들을 포함한다. 상기 모니터링 및 표시 시스템 부대들에 필요한 기능은, 주 제어실에서의 수동 제어들, 디스플레이들, 및 표시들에 의해 제공되며, 이는 MCS(155) 및 MPS(145)로부터의 정보를 포함한다. 안전 모니터링, 수동 반응기 트립, 및 수동 ESF 가동 기능들은 상기 MPS(145)에 포함된다. 상기 MCS(155)는 정상 플랜트 동작 동안 동작 한계들을 유지하기 위해 비-안전 모니터링 및 수동 제어들을 제공한다.
4개의 방어 부대에 추가로, 시스템(100)은 다양한 수준의 다양성을 포함한다. 구체적으로, I&C 다양성은, 가정 플랜트 조건들(postulated plant conditions)에 응답하는 다양한 방법들을 제공하기 위해 다른 기술, 로직 또는 알고리즘을 사용하여 변수들을 측정하거나 구동 수단들을 제공하는 원리이다. 여기서, 다양성(diversity)은, 현저한 이벤트들을 감지하고 응답하는 많은 방법들을 제공하기 위한 작동 수단, 또는 다른 기술들, 로직 또는 알고리즘을 사용하여 다른 파라미터들을 감지하는 계측 시스템들에서의 원리에 적용된다. 다양성은 심층-방어의 원칙에 보완적이고 필요한 경우 특정 수준 또는 깊이에서 방어가 작동될 기회를 증가시킨다. 일반적으로, 다양성의 6가지 속성들이 있다: 인간의 다양성, 디자인 다양성, 소프트웨어 다양성, 기능적 다양성, 신호 다양성, 및 장비 다양성. 본 개시서에서 더 심도 있게 설명하고 있는 바와 같이, MPS(145)는 MPS(145)에서의 (예를 들어, 하드웨어 아키텍처에 의해 달성되는 여분(redundancy)을 무너뜨릴 수 있는 소프트웨어-개발 로직 또는 소프트웨어 오류들에 의해 야기되는) 공통-원인 실패의 영향들을 완화시키기 위해 6가지 속성들의 다양성을 포함시킬 수 있다.
일반적으로, 인간의 다양성은 (예를 들어, 실수, 오해, 오류들, 구성 고장들과 같이) 시스템 개발 수명-주기에 걸쳐 인간에 의한 오류를 해결하는 것에 관하고, 수명-주기 프로세스들의 실행에서의 비유사성(dissimilarity)에 의해 특정된다.
일반적으로, 설계 다양성은 동일하거나 유사한 문제를 해결하기 위한 소프트웨어와 하드웨어를 포함하는 다른 접근법들의 사용이다. 소프트웨어 다양성은 설계 다양성의 특별한 경우이고 그것의 잠재적 중요성과 그것의 잠재적 결함들로 인해 별도로 언급된다. 설계 다양성에 대한 정당성은 다른 설계들이 다른 고장 모드들을 갖고 동일한 공통 영향들에 민감하지 않다는 것이다.
일반적으로, 소프트웨어 다양성은, 예를 들어, 반응기가 정지되어야 할 때를 결정하기 위해 2개의 별도로 설계된 프로그램을 이용하여, 동일한 안전 목적들을 달성하기 위하여, 다른 주요 인력을 갖는 다른 소프트웨어 개발 그룹들에 의해 설계되고 구현된 다른 소프트웨어 프로그램들을 사용하는 것이다
일반적으로, 기능적 다양성은 중복되는 안전 영향들을 가질 수 있는 다른 물리적 또는 논리적 기능들을 수행하는 2개의 시스템들(예를 들어, 시스템(100) 내의 서브-시스템들)을 지칭한다.
일반적으로, 신호 다양성은 보호 조치를 개시하는 다른 프로세스 파라미터들을 사용하는 것이고, 이 경우 상기 파라미터들 중 임의의 파라미터는, 다른 파라미터들이 정확하게 감지하지 못하는 경우에도 독립적으로 비정상 상태를 표시할 수 있다.
일반적으로, 장비 다양성은 (예를 들어, 모든 필요한 보호 조치들을 완수하는 RTS 또는 ESF 또는 모든 필요한 보호 조치들을 완수하는 보조 지원 특징들 또는 이들 양자에 의해 달성될 수 있는, 설계 기준 이벤트(design basis event)에 설정된 허용 한계들 내로 플랜트 파라미터들을 유지하기 위해 필수적인 과정들 또는 조건들 중 하나와 같은) 유사한 안전 기능들을 수행하기 위해 다른 장비를 사용하는 것이다. 이 경우, 용어 "다른"은 일반적인 원인 실패에 대한 취약성을 현저히 감소시키기에 충분히 다른 것을 의미할 수 있다.
일부 측면들에서, MPS(145)는 연속적인(또는 부분적으로 연속적인) 자가-테스트 및 정기적인 감시 테스트의 조합을 포함할 수 있다. 그러한 테스트 전략은 모든 검출가능 고장들이 식별되고 (예를 들어, 주 제어실(140)을 통해) 스테이션 직원에게 통보되는 것을 보장할 수 있다. 자가-테스트 특징들은 시스템 상태가 계속적으로(또는 부분적으로) 감시되는 것을 보장하는 포괄적인 진단 시스템을 제공할 수 있다. 모든 검출 가능한 고장들은 스테이션 직원에게 통보될 수 있고, 고장의 영향의 표시가 제공되어 시스템의 전체 상태가 결정될 수 있다. 자가-테스트 특징들은 분리 그룹 및 부문 독립성(division independence)을 유지한다. 상기 자가-테스트 특징들은 시스템 무결성이 항상 유지되는 것을 보장한다.
일부 측면들에서, (이하에서 더욱 구체적으로 설명되는) 상기 MPS(145) 내의 각각의 서브 모듈은 상기 모듈 내의 단일 고장들을 검출하도록 설계된 높은 결함 검출 범위를 제공하는 자가-테스트 특징들을 보유할 수 있다. 이는 고장들을 검출하는데 필요한 시간을 최소화할 수 있어, 안전 및 시스템 가용성에 대한 혜택을 제공한다. 시스템이 정상 동작하는 동안, 상기 자가-테스트들은 응답 시간과 같은 안전 기능의 성능에 영향을 주지 않고 실행된다.
자가-테스트 특징들은 활성 및 비활성 로직(예를 들어, 안전 기능이 동작하도록 요구되는 경우에만 활성화되는 로직) 모두에서의 대부분의 고장들을 검출할 수 있어 감지되지 않은 고장이 방지될 수 있다. 고장 검출 및 표시는 상기 MPS 서브 모듈 레벨에서 발생하여, 플랜트 직원이 교체될 필요가 있는 MPS 서브 모듈을 용이하게 식별하는 것을 가능케 한다
주기적인 온라인 감시 테스트 기능은 이하의 것들을 보장하도록 포함될 수 있다: 모든 기능 테스트들 및 검사들, 교정 인증(calibration verification), 및 시간 응답 측정치들이 확인된다. 주기적인 감시 테스트는 또한 연속적인 자가-테스트 기능들도 검증한다.
MPS(145) 내의 자가-테스트 및 주기적인 감시 테스트 특징들은 모든 플랜트 동작 모드들에 대해 수행되는 안전 기능들에 어울리는 서비스-내 테스트 가능성을 위해 설계될 수 있다. 성능 자가-테스트 및 감시 테스트는 임의의 임시변통 테스트 설정을 필요로 하지 않는다. 상기 테스트 특징들은 시스템의 설계에 내재되고 안전 기능 로직 및 데이터 구조들에 최소한의 복잡성을 추가할 수 있다.
바이패스 상태의 연속적인 표시는 다음과 같은 경우에 이루어진다: (1) 플랜트의 정상적인 동작 동안 자가-테스팅에 의해 고장이 검출되는 경우, (2) 안전 기능의 일부 부분들이 생략(bypassed)되거나 고의적으로 테스트 불가능 상태가 되는 경우. 바이패스 상태가 제거되면, 바이패스의 표시가 제거된다. 이는 플랜트 직원이 바이패스된 안전 기능이 적절하게 서비스로 반환되었음을 확인할 수 있음을 보장할 수 있다.
MPS(145)에 대한 진단 데이터는 각각의 분리 그룹 및 부분에 대한 유지보수 워크 스테이션(maintenance workstation, MWS)에 제공된다. 상가 MWS는 문제 해결 활동들을 촉진하기 위해 장비 가까이에 위치될 수 있다. 상기 MPS와 상기 MWS 사이의 인터페이스는 광학적 분리된, 단방향 진단 인터페이스일 수 있다. 모든 진단 데이터는 물리적으로 분리된 통신 경로를 통해 교신될 수 있어, 진단 기능이 안전 기능에 독립적임이 보장된다. 또한, 진단 데이터가 장기간 저장을 위해 중앙 서고(central historian)로 전송될 수 있다. 이것은 시스템 동작의 이력 분석을 수행하는 수단을 제공한다.
진단 시스템은 설치된 모듈들의 목록을 유지할 수 있다. 상기 리스트들은 시스템에서 활성화되는 설치된 모듈들과 계속적으로 비교될 수 있어 설치된 잘못된 모듈 또는 누락된 모듈이 방지된다.
모든 MPS 안전 데이터 통신들은 데이터 무결성을 향상시키기 위해 에러 검출을 갖도록 설계될 수 있다. 상기 프로토콜 특징들은 교신들이 전송 오류들을 검출하는 능력을 가져 강력하고 신뢰할 수 있음을 보장한다. 유사한 데이터 무결성 특징들이 진단 데이터를 전송하는데 사용될 수 있다.
도 2a-2b는 원자력 시스템(150)을 위한 I&C 시스템(200)의 모듈 보호 시스템(MPS)의 블록도를 도시한다. 일부 구현들에서, MPS(200)는 도 1에 나타난 MPS(145)와 동일하거나 유사할 수 있다. 일반적으로, 도시된 MPS(200)는, 센서들 및 검출기들의 4개의 분리 그룹들(예를 들어, 센서들(202a-202d)); 신호 조절 및 신호 조절기들의 4개의 분리 그룹들(예를 들어, 신호 조절기들(204a-204d)); 트립 결정의 4개의 분리 그룹들(예를 들어, 트립 결정들(208a-208d)); RTS 투표 및 반응기 트립 차단기의 2개의 부문들(예를 들어, 부문 I RTS 투표(214) 및 부문 II RTS 투표(216)); 및 설계 안전 기능 작동 시스템(ESFAS) 투표 및 설계 안전 기능들(ESF) 장비의 2개의 부문들(예를 들어, 부문 I ESFAS 투표(212) 및 ESF 장비(224), 및 부문 II ESFAS 투표(218) 및 ESF 장비(226))을 포함한다.
일반적으로, 센서(202a-202d)는 처리 센서들을 포함하고, 상기 센서들은 압력, 온도, 높이(level), 중성자 플럭스와 같은 다른 프로세서 파라미터를 측정하는 것을 담당한다. 따라서, 원자력 시스템(150) 각각의 프로세스 파라미터는 다른 센서들을 이용하여 측정되고, 다른 알고리즘들에 의해 처리되며, 이는 다른 로직 엔진들에 의해 실행된다
일부 측면들에서, 중성자 플럭스 센서들은 종료 상태로부터 전체 전력의 120 %까지 노심으로부터의 중성자 플럭스를 측정하는 것을 담당한다. 3가지 종류의 중성자 플럭스 검출기들이 MPS(200)에 사용될 수 있으며, 소스 영역, 중간 영역, 및 전력 범위를 포함한다.
일반적으로, 상기 신호 조절기들(204a-204d)은 센서들(202a-202d)로부터 측정치들을 수신하고, 상기 측정치들을 처리하며, 출력들(206a-206d)을 제공한다. 일부 측면들에서, 상기 센서(202a-202d)의 상기 신호 조절기들(204a-204d)로의 상호접속들은 구리 와이어들 또는 일부 다른 신호 전송 방법으로 전용될 수 있다.
도 3a에 나타난 바와 같이, 상기 신호 조절기들(204a-204d)은 각각 (예를 들어, 센서 입력들의 개수에 따라 임의의 수의 모듈들을 나타내는) 다수의 입력 모듈들(270a-270n)로 구성될 수 있고, 이들은 센서들(202a-202d)로부터의 필드 입력들의 조절, 측정, 필터링, 및 샘플링을 담당한다. 각각의 입력 모듈(270a-270n)은 24 V 또는 48 V 디지털 입력들, 4 ~ 20 mA 아날로그 입력들, 0 ~ 10 V 아날로그 입력들, 저항 열 검출기 입력들, 또는 열-결합 입력들(thermo-couple inputs)과 같은 특정 입력 유형에 전용될 수 있다.
각각의 입력 모듈(270a-270n)은 아날로그 회로 및 디지털 회로로 구성될 수 있다. 상기 아날로그 회로는 아날로그 전압들 또는 전류들을 디지털 표현으로 변환하는 것을 담당한다. 또한, 그것은 신호 조절 회로로도 지칭된다. 각각의 입력 모듈(270a-270n)의 디지털 부분은 로직 엔진 내에 위치될 수 있다. 상기 로직 엔진은 모든 입력 모듈 제어, 샘플 및 홀드 필터링(sample and hold filtering), 무결성 검사들, 자가-테스트, 및 디지털 필터링 기능들을 수행한다. 상기 센서 출력의 디지털 표현은, 일부 실시예들에서, 직렬 인터페이스를 사용하여, 출력들(206a-206d)을 통해 신호 조절기들(204a-204d)로부터 트립 결정(208a-208d)으로 교신된다.
또한 도 3a를 참조하면, 트립 결정들(208a-208d)은, 일반적으로, 전술한 바와 같이 신호 조절기들(204a-204d)로부터 직렬 인터페이스를 통해 디지털 형식의 센서 입력 값들을 수신한다. 상기 트립 결정들(208a-208d)은 각각 독립적 인 안전 기능 모듈들(safety function modules, SFM)(272a-272n)로 구성되고(도 5를 참조하여 더욱 상세히 설명), 여기서 특정 모듈은 안전 기능들 중 하나의 세트를 구현한다(예를 들어, 세트는 특정 공정 파라미터에 관한 단일 안전 기능 또는 다수의 안전 기능들일 수 있다). 예를 들어, 안전 기능들의 일 세트는, 동일한 압력 입력으로부터의 높고 낮은 트립(high and low trip)과 같은, 1차 변수와 관련된 기능들의 그룹으로 구성될 수 있다. 각각의 SFM(272a-272n)은 안전 기능들의 일 세트를 구현하도록 전용된 고유한 로직 엔진을 보유한다. 이것은 안전 기능들의 모든 다른 세트들과 완전히 다른 안전 기능들의 각각의 세트의 게이트 레벨 구현(gate level implementation)을 야기한다.
센서 입력 값들(예를 들어, 출력들(206a-206d))은 결정론적인 경로를 통해 교신될 수 있고 각각의 트립 결정(208a-208d)에서의 특정 SFM(272a-272n)에 제공된다. 이들 입력 값들은 이후 엔지니어링 단위로 변환되어 어떠한 안전 기능 또는 안전 기능들의 세트가 그 특정 SFM(272a-272n) 상에서 구현되는지가 결정된다. 상기 트립 결정들(208a-208d)은, 일부 예들에서, 격리된, 전송 전용의 광섬유 연결을 통해 이들 엔지니어링 단위 값들을 제어 시스템에 제공한다.
각각의 트립 결정(208a-208d)에서의 SFM들은, 필요한 경우, 소정의 설정 지점에 기초하여, 반응기 트립 결정을 하고, 분리된, 그리고 일부 경우들에서 3중-중복된, 전송 전용의, 직렬 연결들을 통해, (예를 들어, 부문 I 및 II에서의 RTS 투표(214, 216)와 같은) 각각의 RTS 부문에 트립 또는 비-트립 요구 신호를 제공한다. 또한, 상기 SFM들은, 필요하다면, 소정의 설정 지점에 기초하여, ESFAS 작동 결정을 하고, 분리된, 일부 경우들에서, 3중-중복된, 전송 전용의, 직렬 연결들을 통해, (예를 들어, 부문 I 및 II에서의 각각의 ESFAS 투표(212, 218)와 같은) 각각의 ESFAS 부문에 작동 또는 비-작동 요구 신호를 제공한다.
도 3a 내지 도 3b에 도시된 바와 같이. 예를 들어, 특정 트립 결정(208a)은, 출력(274a)을 통해 ESFAS 투표(212)로 또는 출력(274b)을 통해 ESFAS 투표(218)로 트립 또는 비-트립 요구 신호를 제공한다. 상기 트립 결정(208a)은 출력(276a)을 통해 RTS 투표(214)로 또는 출력(276b)을 통해 RTS 투표(216)로 트립 또는 비-트립 요구 신호를 제공한다. 이들 출력들은 또한 일반적으로 트립 결정들(208a-208d)로부터의 출력들(210a-210d)로서 도 2a에도 나타난다.
도 3a에서 더욱 나타난 바와 같이, 예를 들어, 특정 트립 결정(208a)은 트립 또는 비-트립 요구 신호를 모니터링 및 표시(M&I) 출력들(278a, 278b)에 제공하고(부문 당 하나), 뿐만 아니라 비-1E 출력(280)에도 제공한다. 출력들(278a, 278b)은 비-안전 제어 기능들을 위해 상기 MCS에게 프로세스 정보를 제공한다. 출력(280)은 비-1E 컨트롤들 및 표시들(144)에 프로세스 정보 및 트립 상태 정보를 제공한다.
도 2A로 돌아오면, 전술 한 바와 같이, (예를 들어, 부문 I에 대한 RTS 투표(214) 및 부문 II에 대한 RTS 투표(216)와 같은) 각각의 RTS 부문은, 분리된, 그리고 일부 경우들에서 중복된(예를 들어, 2중, 3중 또는 그 외), 수신 전용의, 직렬 연결들(210a-210d)을 통해 트립 결정들(208a-208d)로부터 입력들을 수신한다. 상기 트립 입력들은 RTS 투표 로직에 결합되고 그에 따라 상기 트립 결정들(208a-208d)로부터의 2개 이상의 반응기 트립 입력들은 (각각의 부문에 적절하게) 출력들(228a-228d 및 230a-230d) 상에 자동 반응기 트립 출력 신호를 생성하고, 이는 대응하는 부문과 관련된 (도 2b에 나타난) 8개의 반응기 트립 차단기들(reactor trip breakers, RTB) 중 4개의 트립 코일들을 작동시킨다. 다시 말해, 상기 MPS(200)의 이 예시적인 구현에서, RTS 투표 로직은 "4개 중 2개"에 동작하고, 이는 4개의 트립 결정들(208a-208d) 중에 적어도 2개가 반응기 "트립"이 필요하다는 것을 나타내면, 이 경우 트립 신호가 각각의 RTB(264a-264d 및 266a-266d)에 전송된다는 것을 의미한다. 이 차단기 구성은 상기 MPS(200)의 안전하고 간단한 온라인 테스트를 허용한다.
수동 트립(250a)은 (부문 I에 대한) RTB(266a-266d)의 직접적인 트립을 제공하고 수동 트립(250b)는 (부문 II에 대한) RTB(264a-264d)의 직접적인 트립을 제공하고, 뿐만 아니라 자동 작동, (부문 I에 대한) 수동 트립(234) 및 (부문 II에 대한) 수동 트립(236)에 입력도 제공하여 순서가 유지되도록 한다.
더 설명될 바와 같이, 각각의 RTB(264a-264d) 및 각각의 RTB(266a-266d)는, 입력으로서, 수동 트립(250a 또는 250b)을 포함한다. 따라서, 수동 트립들(250a, 250b) 모두가 시작되는 경우(예를 들어, 부문들 I 및 II에 대한 각각의 수동 트립), 이 경우 전원 입력(260)은 입력들(230a-230d) 및 입력들(228a-228d)의 상태(예를 들어, 트립 또는 비-트립)와 무관하게 전원 출력(262)에 전송되지 않을 것이다.
ESFAS 투표 및 로직이 예시적인 구현에서 배치되고, 그에 따라 필요한 때에 단일 고장이 보호 수단 작동을 방지 할 수 없을 수 있고, 트립 결정 신호(예를 들어 210a-210d) 내의 단일 고장이 불필요한 보호 수단 작동을 생성할 수 없을 수 있다. 상기 ESFAS 시스템은 비상 노심 냉각 시스템 및 붕괴 열 제거 시스템과 같은 핵심 시스템들의 자동 및 수동 개시를 모두 제공할 수 있다.
각각의 ESFAS 투표(212/218)는, 분리된, 3중-중복, 수신 전용의, 광섬유 (또는 다른 통신 기술) 연결들을 통해 트립 결정들(208a-208d)로부터 입력들(210a-210d)을 수신한다. 작동 로직 및 투표는 ESFAS 투표(212/218)에서 발생한다. ESFAS 투표(212/218)가 작동이 요구됨을 결정할 때, 상기 ESFAS 투표(212/218)는 ESFAS 우선 로직(220/222)에 작동 요구 신호를 각각 보내고, 이는 적절한 ESF 장비(224, 226)를 작동시킨다.
도 2a-2b 및 도 3a-3b에서의 MPS(200)의 도시된 구현은, 키 요소들 사이의 높은 수준의 독립성을 보장한다. 이것은 센서들 및 검출기들(202a-202d)의 4개의 분리 그룹들, 트립 결정의 4개의 분리 그룹들("a" 내지 "d"로 레이블됨), RTS(214/216)의 2개의 부문들(전술한 바와 같은 부문 I 및 부문 II), ESFAS 회로(212/218)의 2개의 부문들(전술한 바와 같은 부문 I 및 부문 II), 및 ESF 장비(224/226)의 2개의 부문들(전술한 바와 같은 부문 I 및 부문 II) 사이의 독립성을 포함한다. (예를 들어 트립 결정들(208a-208d)과 같은) SFM에 대한 입력을 기초로, MPS(200)는 4개의 분리 그룹들 각각 내의 안전 기능들의 세트를 독립적으로 구현한다. 안전 기능 독립성은 센서들(202a-202d)로부터 트립 결정 출력(210a-210d)까지 유지된다. 이 구성은, 일부 측면들에서, 그 모듈의 입력들에 기초한 그것들의 SFM 실패들을 제한한다. 이 전략은 공통-원인 고장의 영향들을 제한하고 신호의 다양성을 향상시키는데 도움이 될 수 있다. 이 독립성 방법은 또한 독립적인 안전 기능들 내의 일 고장이 다른 안전 기능 모듈들로 전파되지 않는다는 것도 보장할 수 있다. 나아가, 고장난 SFM의 온라인 교체는, 다른 모듈로의 충격을, 만약 있다면, 최소화하며 상기 고장이 수정될 수 있음을 보장한다.
도시된 MPS(200) 내에서 안전 기능 데이터의 교신은 3중 모듈, 중복된, 독립적인, 광학적으로 분리된, 단-방향 통신 경로들을 통해 수신되거나 전송된다. 이 교신 방식(communication scheme)은, 안전 기능이, 부문 간 투표는 별도로 하고, 안전 기능을 수행하는 부문 외부로부터 비롯되는 임의의 정보 또는 자원에 의존하지 않음을 보장할 수 있다. 클래스 1E 부문들(예를 들어, 부문들 I 및 II) 사이의 고장 전파는 부문 트립 신호들(divisional trip signals)의 단방향 분리(예를 들어, 광학적 분리 또는 기타)에 의해 방지된다.
도 2a-2b 및 도 3a-3b에서의 MPS(200)의 도시된 구현은 도시된 구조들의 다수의 영역들에서 중복을 더 포함한다. 상기 MPS(200) 내의 중복은 센서들 및 검출기들의 4개의 분리 그룹들("a" 내지 "d"로 레이블됨), 트립 결정("a" 내지 "d"로 레이블됨), 및 RTS 및 ESFAS 회로(전술한 바와 같은 부문 I 및 부문 II)의 2개의 부문들을 포함한다. 상기 MPS(200)는 또한 4개의 투표들 중 2개를 사용하고, 그에 따라 개시 신호의 단일 고장이 반응기 트립 또는 ESF 장비 작동이 필요할 때 발생하는 것을 방지하지 않을 것이다. 또한, 개시 신호의 단일 고장이, 반응기 트립들 또는 ESF 장비 작동들이 필요하지 않을 때, 의사의(spurious) 또는 부주의한 반응기 트립들 또는 ESF 장비 작동들을 야기하지 않을 것이다.
상기 MPS(200)는 또한, 안전 기능들의 각각의 세트를 구현함으로써 기능적인 독립성을 통합하며, 이는 안전 기능들의 특정 세트에 대한 고유의 로직 엔진으로 독립적인 SFM에 대한 특정 과도기적 이벤트를 완화시키는데 사용된다.
일부 측면들에서, MPS(200)는 원자로 시스템의 간단하고 신뢰성 높은, 그리고 안전한 설계를 실현하는 설계 기술을 구현한다. 예를 들어, 상기 MPS(200)는 4개의 분리 그룹들 및 2개의 부문들의 대칭 구조를 기반으로 할 수 있다. 4개의 분리 그룹들 각각은, 다른 것들과 기능적으로 동등할 수 있고, 상기 2개의 부문들 각각은 기능적으로 동등할 수 있다. 전술한 바와 같이, 4개의 투표 중 2개가 도시된 구현의 유일한 투표 전략일 수 있다. 다른 예로서, 상기 MPS(200)의 로직은 특정 안전 기능 또는 안전 기능들의 그룹에 전용된 유한-상태 머신들(예를 들어, 유한한 수의 상태들 중 하나에 있을 수 있고, 현재 상태로 불리는, 한 번에 단지 하나의 상태이지만, 상태 전이와 같은, 트리거링 이벤트 또는 조건들의 세트들에 의해 개시될 때 일 상태에서 다른 상태로 변화할 수 있는, 디지털 논리 회로들의 모음(collection))로 구현될 수 있다. 따라서, 커널이나 운영 시스템이 필요하지 않다. 다른 예로서, MPS(200) 내의 통신들은 결정론적 프로토콜들에 기초할 수 있고, 모든 안전 데이터는 중복 통신 경로들을 통해 교신된다. 다른 예로서, 상기 MPS(200)의 다양한 특성들이 완전히 다른 플랫폼들에 기초하여 추가적인 시스템들의 부가적인 복잡성 없이 아키텍처에 내재(inherent)되도록 설계될 수 있다.
예를 들어, 도 4a-4b는 각각, 예시적인 차트들(400, 450)을 도시하며, 이는 MPS(200) 내에서 구현된 다층화된 다양성 전략이 어떻게 소프트웨어- 또는 소프트웨어-로직 기반의 공통-원인 고장들을 완화하는지를 도시한다. 차트들(400및 450)은 MPS(200) 내에 구현된 다층화된 다양성 전략이 어떻게 (예를 들어, MPS(200)와 같은) MPS 내의 소프트웨어-기반 또는 소프트웨어 로직-기반 CCF에 대한 우려를 제거할 수 있지를 도시한다. 이들 예들에서, 과도 이벤트는 원자력 시스템의 급수 손실이다. 도시된 바와 같이, 2개의 다른 프로세스 파라미터들인, A1 및 A2가 (예를 들어, 센서들(202a-202d)을 통해) 측정된다. A1은, 도시된 바와 같이, 온도 파라미터이고, 반면에 A2는, 도시된 바와 같이, 압력이다.
상기 다른 공정 측정치들인, A1 및 A2는, 2개의 다른 안전 기능 알고리즘들에 입력된다: 도시된 바와 같이, (A1) 고온 그리고 (A2) 고압. 2개의 안전 기능 알고리즘들 각각은 분리 그룹 내의 개별적이고 독립적인 SFM에 위치된다. MPS(200)에 나타난 바와 같이, 안전 기능 알고리즘들은 4개의 분리 그룹들(A, B, C, D) 및 2개의 부문들로 분할된 프로그래머블 디지털 하드웨어(A/C 및 B/D)의 2개의 상이한 세트들을 사용하여 구현될 수 있다. 예를 들어, 여기서, 상기 2개의 안전 기능들은 단일 세트의 안전 기능들을 포함한다. (예를 들어, 2개의 안전 기능 알고리즘들의) 각각의 세트는 다른 기술에 기초할 수 있다.
또한, 각각의 세트의 프로그래머블 디지털 하드웨어가 다른 세트들의 설계 툴들을 사용하여 설계될 수 있는 것처럼, 프로세스에 의해 설계 다양성도 포함될 수 있다. 일 예로서, 안전 기능(들)은 마이크로프로세서에 구현될 수 있다. 이 예에서, 상기 안전 기능(들)은 순차적인 방식으로 평가될 수 있고, 상기 순차적인 방식은, 일부 측면들에서, 처리 루프의 순차적 동작으로 인한 일 안전 기능(예를 들어, A2)의 다른 안전 기능(예를 들어 A1)에 대한 의존성을 도입할 수 있다. 다른 예로서, 안전 기능들은 상태-기반 필드 프로그래머블 게이트 어레이(FPGA)에서 구현될 수 있다. 이 예에서, 각각의 안전 기능은 모든 다른 안전 기능에 독립적으로 평가될 수 있다. 후자의 예는 다른 안전 기능에 대한 일 안전 기능의 처리에 대한 임의의 의존성을 제거함으로써 증가된 독립성을 보장할 수 있다.
급수 손실 과도 이벤트 예에 대한 다층화된 다양성은 CCF에 대한 보호를 제공하여 소프트웨어(CCF)를 특정 안전 기능(A1)의 일 세트(A/C)로 제한함으로써 보호 조치를 무산(defeating)시킨다. 일부 측면들에서, 상기 소프트웨어(CCF)는 안전 기능 알고리즘들이 입력들로서 사용하는 프로세스 측정치들 및 상기 2개의 안정 기능들 사이의 기능적 독립성에 기초한 특정 안전 기능에 제한된다. 일부 측면들에서, 상기 소프트웨어(CCF)는 각각의 세트에 대한 다른 프로그래머블 하드웨어, 설계 팀들, 및 설계 툴들을 포함함으로써 특정 안전 기능의 일 세트로 제한된다. 특정 안전 기능의 일 세트로 제한된 CCF로, 과도 이벤트가 그 안전 기능(A1)의 다른 세트(B/D) 또는 제2 안전 기능(A2)의 양 세트들(A/C 및 B/D)에 의해 완화된다.
예를 들어, 도 4a에 나타난 바와 같이, 4개의 분리 그룹들(A, B, C, D) 모두에 의해 보호 조치가 수행될 필요가 있음을 나타내는 A1에 대한 안전 기능의 출력은 (예를 들어, "Trip"으로 나타난 바와 같이) 보호 조치의 개시를 초래한다. 도 4b에 나타난 바와 같이, 만일 2개의 분리 그룹들(A 및 C)에 CCF가 있으면, 단일 부문에서의 2개의 그룹들에도 불구하고, 안전 기능(A1)에 대한, 다른 분리 그룹들(B 및 D)에서의 보호 조치의 긍정적인 표시들이 (전술한 바와 같은 4개 중 2개 구조(scheme)에서의) 충분한 투표들을 여전히 제공하여 보호 조치가 개시된다. 또한, 안전 기능(A1)에 대한 그룹들(A, C)에서의 CCFS들은 각각의 SFM에 대한 독립적인 평가 때문에 안전 기능(A2)로 전파되지 않는다.
도 5는 원자력 시스템에 대한 I&C 시스템의 MPS의 안전 기능 모듈(SFM)(500)의 블록도를 도시한다. 도 6은 원자력 시스템에 대한 I&C 시스템의 MPS의 통신 모듈(CM)(600)의 블록도를 도시한다. 도 7은 원자력 시스템에 대한 I&C 시스템의 MPS의 장비 인터페이스 모듈(EIM)(700)의 블록도를 도시한다. (후술할) 도 8은 (예를 들어, 하나 또는 이상의 SFM(500), CM(600), 및 EIM(700)을 상호연결하는 기계적 구조와 같은) 섀시 내의 통신 경로들을 도시한다.
일반적으로, (섀시(800)로 도시되고 후술할 바와 같은) 섀시 내로 상호연결된 도시된 모듈들(500, 600, 700)은 상기 MPS(200)의 안전 기능들을 구현하고 (예를 들어, 신호 조절기들(204a-204d, 트립 결정들(208a-208d)), RTS 레벨 모듈들(예를 들어, RTS 투표(214/216)), 및 ESFAS 수준 모듈들(예를 들어, ESFAS 투표(212/218)과 같은) 분리 그룹 레벨 모듈들을 구성한다. 일부 측면들에서, 세 가지 유형의 모듈들(500, 600, 700)을 갖는 것은 라인 대체가능 유닛들(line replaceable units)의 개수를 최소화할 수 있고, 그에 의해 퇴화(obsolescence)가 최소화된다. 나아가, 이들 모듈들(500, 600, 700)은 기능적으로 독립적일 수 있고, 그에 따라 임의의 개별 모듈(500, 600, 700)에서의 단일 고장은 다른 모듈들 또는 다른 안전 기능들에 전파되지 않는다. 나아가, 도 8a 내지도 8c에서 구현된 바와 같은 모듈들(500, 600, 700)의 조합들은 분리된(discrete), 결정론적 안전 신호 경로를 제공할 수 있다.
일부 측면들에서, 상기 모듈들(500, 600, 700)은, 적어도 부분적으로, 그들의 기능적 독립성을 정의하는 하나 이상의 특성들을 가질 수 있다. 예를 들어, 각각의 모듈들은 (예를 들어 MPS(200)에서의) 전체 시스템/아키텍처에서 서로의 모듈에 대해 완전히 자율적일 수 있다. 다른 예로서, 각각의 모듈들은 전체 시스템/아키텍처에서 서로의 모듈에 대해 완전히 자율적인 특정의 의도된 안전 기능을 수행할 수 있다. 또 다른 예로서, 각각의 모듈들은, 상기 모듈의 특정 의도된 안전 기능에 고유한 전용 로직을 포함할 수 있다. 각각의 기능적으로 독립적인 모듈은, 따라서, 상기 특정의 의도된 안전 기능을 완료하기 위해 임의의 다른 모듈로부터의 로직 또는 기능에 의존하지 않을 수 있다.
도 5로 돌아오면, SFM(500)은, 도시된 바와 같이, 특정 SFM이 할당된(예를 들어, 분리 그룹 A, B, C 또는 D) 분리 그룹에 대한 반응기 트립 및/또는 ESF 작동 결정들을 위해 다른 SFM들로부터의 센서 입력들 또는 데이터를 처리한다. SFM(500)은 2개의 별개 구성들로 사용될 수 있다: (1) 센서 신호 조절 및 안전 데이터 버스 통신, 및 반응기 트립 및/또는 ESF 작동 (2) 안전 데이터 버스 통신 및 반응기 트립 결정 및/또는 ESF 작동 결정.
도시된 바와 같이, SFM(500)은 일반적으로 입력 블록(504), 기능 로직 블록(512), 및 통신 블록(514, 516, 518)을 포함한다. (도 5에서 4개로 나타난) 각각의 입력 블록(504)은 신호 조절 회로(505), 아날로그-디지털(A/D) 컨버터(508), 및 직렬 인터페이스(510)를 포함한다. 각각의 입력 블록(504)은 (예를 들어, 센서들(202a-202d)과 동일하거나 유사할 수 있는) 센서(502)와 연통가능하게 결합된다. 도시된 바와 같이, 개별 SFM(500)은 (도시된 예시적인 실시예에서) 입력 블록들(504)을 4개까지 핸들링할 수 있다. 입력 유형은, 허용들(permissives) 및 연동들(interlocks)의 생성을 포함하는, 트립 또는 ESF 작동 결정을 하여야 할 아날로그 및 디지털의 임의의 조합일 수 있다(예를 들어 4~20 mA, 10-50 mA, 0~10 V).
기능 로직 블록(512)은 입력 블록(504)의 직렬 인터페이스(510)로부터의 출력을 (사용된 경우) 엔지니어링 단위들로 변환하는 SFM(500)의 프로그램 부분이다. 상기 기능 로직 블록(512)은 또한 안전 데이터 버스들로부터의 정보 및/또는 입력 블록(504)의 출력에 기초하여(예를 들어, 센서(502)로부터의 센서 측정치에 기초하여) 트립 및/또는 ESF 작동 결정도 할 수 있다. 기능 로직 블록(512)은 또한 허용들(permissives) 및 제어 연동들도 생성할 수 있다. 도시된 바와 같이, 기능 로직 블록(512)은 다수의 결정론적 로직 엔진들로 구성되고, 상기 다수의 결정론적 로직 엔진들은 트립 또는 ESF 작동 결정을 위해 안전 데이터 버스들로부터 획득된 정보 및/또는 입력 블록(504)을 활용한다.
설정치 및 기능 로직 블록(512)에 의해 이용되는 다른 가변 정보는 (예를 들어 SFM(500) 상의) 비-휘발성 메모리에 저장될 수 있다. 이것은 기본 로직(underlying logic)를 수정함이 없이 변경들을 허용할 수 있다. 나아가, 기능, 신호 및 소프트웨어 다양성을 구현하기 위해, AOO 또는 PA를 완화하는데 사용되는 주요 및 백업 기능이 동일한 SFM(500) 상에 있지 않을 수 있다. 따라서, 기능 또는 기능들의 그룹을 위한 전용 SFM(500)를 이용함으로써 그리고 주요 및 백업 기능들이 별도의 모듈들(500) 상에 있음을 보장함으로써, 각각의 모듈(500) 상의 고유 로직 및 알고리즘으로 인해 소프트웨어 CCF의 영향이 제한된다.
통신 블록들(514/516/518)은 5개의 개별 통신 포트들(예를 들어, 3개의 안전 데이터 포트들(514), 1개의 포트(516), 1개의 포트(518))로 구성된다. 각각의 포트는 기능적으로 독립적일 수 있고, 모니터링 및 표시(M/I) 버스(예를 들어, 블록(516)), 유지 보수 스테이션(MWS) 버스(예를 들어, 블록(518)), 또는 안전 버스(예를 들어, 블록(514)) 중 어느 하나로 지정된다. 비록 각각의 안전 데이터 버스(514)가 동일한 데이터를 교신할 수 있지만, 각각의 통신 포트는 비동기식이고 상기 포트는 다른 독립적이고 고유한 통신 엔진들을 사용함으로써 다르게 데이터를 패키지하고 송신한다. 예를 들어, 일 안전 데이터 버스(514)는 예를 들어, 10개의 데이터 패킷들을 순차적으로(예를 들어, 1, 2, ..., 10) 전송할 수 있고, 반면에 다른 안전 버스(514)는 상기 동일한 10개의 패킷들을 역순으로(예컨대, 10, 9, ..., 1) 전송할 수 있고, 제3 안전 버스(514)는 먼저 짝수 패킷들을 전송하고 이후 홀수 패킷들을 전송한다(예를 들어, 2, 4, ... 10 1,3, ..., 9). 이 3중의 모듈 중복성 및 다양성은 통신 에러 검출을 허용할 뿐만 아니라, RTS 또는 ESFAS의 능력에 영향을 주지 않고 특정 버스로의 통신 CCF를 제한하여 올바른 트립 및/또는 작동 결정이 이루어진다.
도 6을 참조하면, CM(600)는, (예를 들어, MPS(200)와 같은) 원자력 시스템에 대한 I&C 시스템의 MPS의 분리 그룹-레벨 상호연결들, RTS-레벨 상호연결들, 및 ESFAS-레벨 상호연결들 내에서, SFM들(500) 및 EIM들(700)과 같은 MPS의 다른 모듈들 사이에서 독립적이고 중복되는 통신을 제공한다. 예를 들어, CM(600)은 데이터가 MPS 내에서 통과되는 파이프 라인일 수 있을 뿐만 아니라, 그러한 데이터 통로의 스케쥴러일 수도 있다. 상기 CM(600)은, 임의의 특정 채널에서, 그 채널 내의 데이터의 연산들(operations)/통행을 제어할 수 있다. 상기 CM(600)의 도시된 구현에서, 3가지 유형의 블록들이 있다: 제한된 통신 블록들(RCB)(604), 통신 스케줄러(606), 통신 블록들(608/610).
도시된 바와 같이, RCB(604)는 4개의 통신 포트들로 구성된다. 일부 측면들에서, 각각의 포트는 다른 단방향성 경로로(예를 들면, 수신만 또는 송신만) 구성될 수 있다. 일부 구현들에서, 도시된 CM(600)에서와 같이, 특정 RCB(604)로부터 수신된 또한 송신된 정보는 광 분리기(602)를 통해 통과된다. 일부 경우들에서, 상기 광 분리기(602)는 임의의 특정 트립 결정으로부터의 데이터가 다른 트립 결정들의 데이터로부터 분리됨을 보장하는 것을 도울 수 있고, 그에 의해 독립적인 중복이 보장된다.
통신 스케줄러(606)는 통신 블록들(608/610)로부터 RCB(604)로 및/또는 RCB(604)로부터 통신 블록들(608/610)로 데이터를 옮기는 것을 담당한다. 일부 측면들에서, 통신 엔진(606)은 FPGA, 마이크로 프로세서, 또는 설명된 상호연결들 중에서 통신을 스케줄링하도록 프로그램된 별개의 로직과 같은 프로그래머블 로직으로 구성된다.
통신 블록들(608/610)은 4개의 개별 통신 포트들로 구성된다(예를 들어, 3개의 안전 데이터 포트들(608) 및 1개의 포트(610)). 각각의 포트는 기능적으로 독립적일 수 있고 모니터링 및 표시(M/I) 버스(예를 들어, 블록(610)) 또는 안전 데이터 버스(예를 들어, 블록(608))로 지정된다. 일부 측면들에서, M/I 버스(610)는 (예를 들어, 모듈들(500, 600, 700)과 같은) MPS 내 모든 모듈들로부터의 정보를, 그러한 모듈들 각각의 상태를 포함하여, 모을 수 있고, 그 정보를 (예를 들어, MPS의 기록 데이터를 위한 전용 컴퓨팅 시스템과 같은) "서고" 스테이션으로 보낸다.
비록 각각의 안전 데이터 버스(608)가 동일한 데이터를 전달할 수 있지만, 버스들(514)를 참조하여 전술한 바와 같이, 각각의 통신 포트는 다르게 데이터를 패키지하고 전송한다. 상기 통신 모듈의 적용에 따라, 상기 4개의 통신 블록들(608/610)은 단방향 및 양방향 경로의 임의의 조합으로 구성될 수 있다.
도 7을 참조하면, 투표되는 트립 결정 및 이루어질 구성요소/레벨 작동들 및 조작들을 위해, EIM(700)는, 일반적으로, RTS 및/또는 ESFAS 레벨 시스템들 내의 원자력 시스템 내의 각각의 구성요소에 인터페이스를 제공한다. 도시된 바와 같이, EIM(700)는 출력 블록들(720), 장비 피드백 블록(718), 1E 수동 입력(716), 비-1E 수동 입력(714), 투표 엔진(722), 우선순위 로직 블록(721), 장비 제어 블록(723), 및 통신 블록들(724/726/728)을 포함한다. 일반적으로, EIM(700)은, 단일 구성요소의 고장들이 (예를 들어, MPS(200)와 같은) 원자력 시스템에 대한 I&C 시스템의 MPS의 채널-레벨 상호연결들, RTS-레벨 상호연결들, 및 ESFAS-레벨 상호연결들 내로 전파하지 않는 것을 보장하기 위해, 트립 신호들에 기초하여, 투표를 수행할 수 있고, 일부 경우들에는, 이중 투표를 수행할 수 있다(예를 들어, 통신을 위한 3개 중 2개의 투표 및 트립 신호들을 위한 4개 중 2개의 투표). 상기 EIM(700)은 투표(722), 수동 작동/1E 입력(716) 및 비-1E 입력(714)으로부터 자동 신호에 대한 우선순위 할당을 수행할 수 있다.
출력 블록(720)은, 도시된 바와 같이, 3개까지의 독립적인 출력 스위치들을 포함할 수 있고, 일부 예들에서, 그 이상 포함할 수 있으며, 이들은 외부 회로들에서 사용될 수 있고 전기 부하들(702)(예를 들어, 작동기들)에 결합된다. 일부 측면들에서, 이것은 EIM(700)이 단일 구성요소를 직접 제어하거나 또는 다수의 구성요소들에 대해 개시 신호를 제공하는 것을 허용한다. 예를 들어, 출력 블록(720)은 다양한 펌프들을 시작하고 여러 밸브들을 여는 릴레이에 에너지를 공급한다. 각각의 출력 블록(720)은 또한 자가-테스트 및 부하 지속성 검사들을 수행할 수 있는 능력도 포함할 수 있다.
장비 피드백 블록(718)은, 나타난 바와 같이, 장비로부터의 다수의(일부 예들에서 3개까지 또는 그 이상) 피드백 입력들(704)로 구성될 수 있다. 상기 피드백 입력들(704)은, 예를 들어, 밸브 위치(예를 들어, 완전 개방, 완전 폐쇄), 차단기 상태(예를 들어, 개방/폐쇄) 또는 다른 구성요소들로부터의 다른 피드백을 포함할 수 있다. 장비 피드백(704)은 후술할 투표 장비 제어 블록(723)에서 이용될 수 있다.
1E 수동 입력 블록(716)은 수동 입력 신호들(706)을 다수(예를 들어, 일부 예들에서 2개 또는 그 이상) 제공할 수 있다. 상기 EIM(700)의 이 부분은 수동 입력들에 전용될 수 있고, 우선순위 로직 블록(721)에서 이용된다.
상기 다수의 입력 신호들(708)은 분리 인터페이스(712)를 통해 상기 비-1E 입력 블록(714)에 결합된다. 이 전기 분리 인터페이스(712)는 우선순위 로직 블록(721)으로의 입력에 대한 비-1E 신호들의 사용을 허용할 수 있다.
투표 엔진(722)은 통신 블록들(724)로부터의 트립 결정 입력들을 수신한다. 투표 결과는 자동 작동 신호에 대한 우선순위 로직 블록(721)으로의 작동 또는 비작동 신호를 제공한다. 일부 측면들에서, 투표 엔진(722)은 투표 방식을 구현할 수 있고, 일부 경우들에는, 이중 투표 방식을 구현하여, MPS 내의 단일 구성요소의 고장들이 전파되지 않는 것이 보장될 수 있다. 예를 들어, 일부 측면들에서, 투표 엔진(722)은 통신 블록들(724)에서의 트립 결정들을 수신한다. 각각의 통신 블록(724)은 (예를 들어, 전술한 채널들(A-D)과 같은) 4개의 채널들 또는 분리 그룹들로부터 트립 결정(예를 들어, 트립 또는 트립 없음(no trip))을 수신할 수 있다. 투표 엔진(722) 내에서, 일부 측면들의 경우, 3개의 "A" 트립 결정들, 3개의 "B" 트립 결정들, 3개의 "C" 트립 결정들, 및 3개의 "D" 트립 결정들이 있을 수 있다. 따라서, 투표 엔진(722)은 4개의 채널들 또는 분리 그룹들 각각에 대해 3개 중 2개 판정을 수행할 수 있다. 만일 3개의 "A"채널들 중 적어도 2개가 트립의 유효한 통신을 제공하면(예를 들어, 트립 결정의 통신이 유효하다는 것을 나타내면), 예를 들어, 이후 투표 엔진(722)은, "A" 채널에 트립이 있는지를, 적어도 처음으로 교신할 수 있고, 반면에 3개의 "A" 채널들 중 1개만이 트립을 나타내면, 이후 투표 엔진(722)은 채널 "A"에는 트립이 없는 것으로 판단할 수 있다.
투표 엔진(722)은, 전술한 바와 같이, 이중 투표 방식을 구현할 수 있어, 실패들이 MPS 구조 전체에 전파되지 않음이 더 보장된다. 예를 들어, 전술한 3개 중 2개의 통신 판정 이후, 투표 엔진(722)은 (예를 들어 거짓 트립을 표시하는 고장과 대조적으로) 트립이 실제로 발생하였는지를 결정하기 위해 4개 중 2개의 트립 결정도 수행할 수 있다. 예를 들어, 3개 중 2개의 판정을 수행하는 투표 엔진(722)에서의 (예를 들어, 3개 중 2개의 투표 로직 게이트들) 4개의 투표 블록들의 출력들은 4개 중 2개의 판정을 하는 (예를 들어 4개 중 2개의 투표 로직 게이트들) 다른 투표 블록으로 공급될 수 있다. 제1 층 투표 블록들로부터의 4개의 출력들 중 적어도 2개(예를 들어, 3개의 블록들 중 2개)가 트립을 나타내면, 이후 투표 엔진(722)은 트립이 발생한 것으로(그리고 부하들(702)과 같은 EFS 장비가 작동되어야 하는 것으로) 결정할 수 있다; 그렇지 않으면, 투표 엔진(722)은 실제 트립이 발생하지 않은 것으로 판단할 수 있다.
우선순위 로직 블록은 투표 블록(722), 1E 수동 입력 블록(716), 및 비-1E 수동 입력 블록(714)으로부터 입력을 수신한다. 상기 우선순위 로직 블록(721)은 이후, 모든 입력에 기초하여, 장비 제어 모듈에 어떤 수행 명령을 할지를 결정한다.
장비 제어 블록은 우선순위 로직 모듈로부터 명령을 수신하고 출력 블록(720)을 통해 구성요소의 적절한 작동 또는 조작을 수행한다. 상기 장비 제어 블록은 장기 제어 목적으로 장비 피드백 블록(718)을 통해 장비로부터 피드백을 수신한다.
장비 제어 블록(722), 우선순위 로직 블록(721), 및 투표 블록(722)은 각각 유지보수 스테이션(MWS) 버스(예를 들어, 블록(728))에 상태 정보를 제공한다. 통신 블록들(724/726/728)은 5개의 별도 통신 포트들(예를 들어, 3개의 안전 데이터 포트들(724), 1개의 포트(726), 및 1개의 포트(728))로 구성된다. 각각의 포트는 기능적으로 독립적일 수 있고 모니터링 및 표시(M/I) 버스(예를 들어, 블록(726)), 유지보수 스테이션(MWS) 버스(예컨대, 블록(728)), 또는 안전 데이터 버스(예를 들어, 블록들(724)) 중 하나로 지정된다.
도 8은 하나 이상의 SFM(500), EIM(700), 및 CM(600)과 교신가능하게 결합된 (예를 들어, MPS(145)와 같은) 반응기 보호 시스템의 섀시(800)의 예시적인 실시예를 도시한다. 이 도면은 섀시(800) 내 4개의 CM(600)에 연결된 3개의 SFM(500) 또는 EIM(700)의 예를 제공한다. 이 예에서, 5개의 데이터 버스 경로들이 나타난다. 예를 들어, 각각 X, Y 및 Z로 표시된 3개의 안전 데이터 포트들(802)이 있다. M/I로 표시된 일 데이터 버스 경로(804)가 있다. MWS로 표시된 일 데이터 버스(804)가 있다. 각각의 데이터 버스 경로(802/804)는, 이 예에서, 섀시(800)의 다른 모든 데이터 버스 경로(802/804)와 기능적으로 그리고 전기적으로 독립될 수 있다.
도시된 실시 예에서, CM(600) 각각은 데이터 버스 경로들(802/804) 중 하나의 마스터를 포함할 수 있다. 도시된 바와 같이, X 데이터 버스 경로(802)의 마스터(808)는 안전 데이터(X)에 대한 CM(600)의 부분이다. Y 데이터 경로(802)의 마스터(810)는 안전 데이터(Y)에 대한 CM(600)이다. Z 데이터 경로(802)의 마스터(812)는 안전 데이터(Z)에 대한 CM(600)이다. 마지막으로, 이 예에서 나타난 바와 같이, M/I 데이터 경로(804)에 대한 마스터(814)는 M/I에 대한 CM(600)이다. 뿐만 아니라 본 예에서, (예를 들어, 유지보수 워크스테이션으로서) 별도로 연결되는 MWS 데이터 경로(806)의 마스터인 MWS 마스터(816)가 있다. 유지보수 워크스테이션(MWS 마스터)(816)는 고정배선 스위치(hardwired switch)에 의해 장비의 정상 작동을 위해 연결이 끊어질 수 있다.
도 9a-9c는 하나 이상의 SFM(500), CM(600), 및 EIM(700)을 이용하는 분리 그룹, RTS-, 및 ESAFAS-레벨 상호연결들의 블록도를 도시한다. 일반적으로, SFM(500), CM(600), 및 EIM(700) 모듈들은, 예를 들어, (예를 들어, 하드웨어, 소프트웨어, 또는 그 외의) 단일 고장이 인접 또는 다른 보호 기능들로 전파하는 것에 대한 보호를 제공하는 기능적으로 독립적인 모듈들(예를 들어, 식별 가능한 장치, 기구, 장비 일부를 구성하고, 연결이 끊어지고, 하나의 유닛으로 제거되며, 그것이 유닛으로서 테스트되는 것을 허용하는 식별가능한 성능 특성들을 갖는 공간으로 교체될 수 있는 상호연결 구성요소들의 어셈블리)이다. 일부 구현들에서, 상기 모듈들은 트립 감지 및 결정을 위해, 3중 중복성(triple redundancy)까지 제공할 수 있다. 상기 모듈은 또한 전술한 바와 같이, 중복된 RTS 및 ESFAS 투표 분리들을 제공하도록 배치될 수 있다. 일부 구현들에서, 상기 모듈들은 트립 성분마다 독립 트립 투표 모듈들을 제공할 수 있다(예를 들어, 차단기, 센서, 또는 기타). 일부 경우들에서, 모듈들은 RTS 투표를 제공하고, 반면에 다른 경우들에서, 상기 모듈들은 ESFAS 투표를 제공한다. 각 모듈의 독립성과 관련하여, 각 모듈은 특정 트립 구성요소에 전용된 다른 모든 모듈과 별도로, 특정 트립 구성요소에 대한 결정을 하여 RTS/ESFAS 트립을 활성화하거나 활성화지 않을 수 있다. 일부 구현들 에서, 트립 판단의 유효한 통신 판정은 다수결로 이루어질 수 있다(예를 들어, 3개 중 2개). 일부 구현들에서, 결정들은 이중 투표 방식으로 이루어질 수 있고, 상기 이중 투표 방식에서, 트립 결정의 통신이 다수결에 의해(예를 들어, 3개 중 2개) 확인되고, 제2 트립 결정은 과반수 미만(예를 들어, 4개 중 2개)에 의한다.
도 9a를 참조하면, 예시적인 분리 그룹-레벨 상호연결(900)이 도시된다. 상기 도시된 채널-레벨 상호연결(900)은 다음을 포함한다: 채널 센서 입력들(902), 입력들(902)을 수신하는 SFM들(500), 및 부재(920)를 통해 출력들(904)과 교신하는 CM들(600). 나타난 바와 같이, 단일 기능 또는 기능들 중 단일 세트를 구현하기 위해, 채널-레벨 상호연결(900) 내 각각의 SFM(500)은 아날로그 및 디지털의 임의의 조합으로, 4개의 입력들(902) 또는 일부 예들에서는 그 이상을 포함할 수 있다. 각각의 입력(902)은 특정 SFM(500)에 고유할 수 있다(예를 들어, 채널 A 가압기 압력 신호는 단일 SFM(500)에 직접 입력된다). 상태 정보에 따른 입력 데이터(예를 들어, 경보들, 논리 결정, 모듈 상태)는 모든 4개의 데이터 버스들에서 이용 가능할 수 있다.
안전 버스들은 기능적으로 독립적일 수 있고, 각각은 마스터가 CM(600)인 마스터-슬레이브 프로토콜을 사용한다. 비록 SFM 내의 블록들이 동기화되어 동작하지만, 모듈들 간의 통신은 비동기식일 수 있다. 버스에 대한 CM(600)이 특정 SFM(500)로부터 정보를 요청하면, SFM(500)는 방송(broadcast)으로 버스에 응답할 수 있다. 방송의 이점은, 예를 들어, "1"로 표시된 SFM(500)이 "2"로 표시된 SFM(500)이 필요한 정보를 갖는 경우(예를 들어, 허가 신호, 센서 입력 값), "2"로 표시된 SFM(500)이 상기 필요 정보를 듣고 취할 수 있다는 것이다.
3개의 안전 데이터 버스들(예를 들어, 표시 "X", "Y", 및 "Z")에 추가로, 모니터링 및 표시(M/I)에 대한 제4 통신 버스가 도시된다. M/I 버스의 마스터는 안전 게이트웨이들 및 비-안전 제어 시스템들에 M/I 데이터를 제공하도록 전용된 CM(600)일 수 있다. 3개의 안전 데이터 버스들(예를 들어, 버스들(X, Y, Z))을 위한 CM(600)과는 달리, M/I CM(600)은 모든 3개의 안전 버스들에 대한 방송 정보를 들을 수 있다.
일부 구현들에서, CM(600)의 제한된 통신 블록(RCB)은 다양한 포인트-투-포인트(point-to-point) 구성들을 가질 수 있다. 분리 그룹-레벨 상호연결(900)에서, 상기 RCB에 대한 모든 네 개의 통신 포트들은 송신만을 위해 구성될 수 있다. 각 안전 데이터 버스 CM(600)으로부터의 데이터(예를 들어, X, Y 및 Z로 표시된 CM들(600))은 (예를 들어, 부문 I 및 II와 같은) RTS 및 ESFAS의 각각의 부문에 전송될 수 있다. M/I CM(600)으로부터의 데이터(예를 들어, 출력들(916-920))는 안전 게이트웨이들로 그리고 비-안전 제어 시스템들로 전송될 수 있다.
출력들(904-914)은, 예를 들어, RTS- 및 ESFAS 레벨 상호연결들에 제공될 수 있다(후술). 예를 들어, 도시된 바와 같이, 출력들(904, 908, 912)은, ESFAS-레벨 상호연결들에 제공될 수 있고, 반면에 출력들(906, 910, 914)은, RTS-레벨 상호연결들에 제공될 수 있다. 비록 단지 하나의 분리 그룹-레벨 상호연결(900)이 도 9a에 나타나지만, MPS 구조 내에서 다수의 상호연결들(900)이 있을 수 있다.
도 9b를 참조하면, 예를 들어, 부문(division)으로 분리된 RTS-레벨 상호연결이 나타난다. RTS-레벨 상호연결들은, 나타난 바와 같이, RTS의 부문 I 및 II(예를 들어, RTS 투표(214, 216))를 포함한다. 각각의 도시된 부문(214, 216)은 4개의 CM(600) 및 4개의 EIM(700)을 포함한다. 각각의 부문의 경우, 3개의 안전 데이터 버스들(X, Y, 및 Z로 표시됨) 각각은, 입력들(962-972)로 나타난 바와 같이, 4개의 분리 그룹들 모두로부터 트립 또는 트립 아님 결정을 받을 수 있다(예를 들어, 동일한 부호, 즉 A1 및 B1로 표시된 분리 그룹들). 제4 CM(600)은, 도시된 바와 같이, 비-안전 제어 시스템들 및 안전 게이트웨이로 (출력들(974-976)와 같이) 데이터를 전송하도록 제공될 수 있다.
각각의 안전 버스 CM(600)에 대한 RCB 상의 각각의 통신 포트는 "수신 전용"으로 구성될 수 있고 (전술한 바와 같이) 광학적으로 분리될 수 있다. M/I CM(600)은 "전송 전용"으로 구성된 RCB 내 모든 포트들을 가질 수 있다.
일부 구현들에서, 모든 분리 그룹들로부터의 각각의 안전 데이터 버스에 대한 트립 결정은 4개의 EIM들(700) 각각에서 이용 가능하다. EIMS들(700)은 3개의 안전 버스들(X, Y 및 Z로 표시됨) 모두를 사용할 수 있어, 통신 에러로 인해 차단기들의 의사 작동(spurious actuation)이 없음이 보장된다. (입력들(962-972)과 같은) 4개의 분리 그룹들 중 적어도 2개가 트립 상태를 나타낼 때, 반응기 트립 차단기들이 개방된다. 예를 들어, 각각의 EIM(700)은 반응기 트립 차단기의 부족전압 릴레이 및 션트 트립 코일(shunt trip coil)에 전용될 수 있다. 자동 작동에 추가로, EIM(600)은 수동 부분-레벨 반응기 트립(978), 차단기 피드백, 및 ESFAS 피드백을 위한 입력을 가질 것이다.
(부문 I에 대해 980a-980d로 표시되고 부문 II에 대해 982a-982d로 표시된) EIM(600) 출력들은 특정 부문과 관련된 (도 2b에 나타난) 반응기 트립 차단기들(RTB)에 대한 트립 코일들용 입력들에 결합될 수 있다.
도 9c를 참조하면, 부문으로 분할된 ESFAS-레벨 상호연결의 예가 나타난다. ESFAS-레벨 상호연결들은, 나타난 바와 같이, ESFAS의 부문 I 및 II(예를 들어, ESFAS 투표(212, 218))를 포함한다. 각각의 도시된 부문(212, 218)은 4개의 CM(600) 및 4개의 EIM(700)을 포함한다. 각각의 부문에 대해, 3개의 안전 데이터 버스들(X, Y, 및 Z로 표시됨) 각각은 모든 분리 그룹들로부터 ESF 작동 결정을 수신하며(이 예에서는 4개, D로 표시됨(lebeled-D)), 이는 입력들(962-972) 로 표시된다.
(X, Y 및 Z로 표시된) 각각의 안전 데이터 버스 CM(600)에 대한 RCB 내 각각의 통신 포트는 "수신 전용"으로 구성될 수 있고 광학적으로 분리될 수 있다(전술한 바와 같이). M/I CM(600)은 "전송 전용"으로 구성된 RCB 내 모든 포트들을 가질 수 있고 마찬가지로 광학적으로 분리될 수 있다.
일부 구현들에서, 모든 분리 그룹들로부터의 ESF 작동 결정은 모든 3개의 안전 데이터 버스들(X, Y 및 Z로 표시됨)에 대한 EIM들(700)에서 이용 가능하다. 예를 들어, EIMS들(700)은 3개의 안전 버스들 모두를 사용할 수 있어, 통신 에러들로 인해 야기되는 장비의 의사 작동이 없음이 보장된다. 4개의 분리 그룹들 중 적어도 2개가 ESF 작동의 필요를 나타낼 때(예를 들어, 입력들(962-972)), 안전 기능(들)은 (도 3b에 나타난 바와 같이, 부문에 기초하여, ESF 장비(224, 226)에 결합된) 출력들(990)을 통해 개시될 수 있다. 일부 측면들에서, 각각의 EIM(700)은 개별 구성요소(예를 들어, 단일 ESF 구성요소)에 전용될 수 있다.
자동 개시 이외에도, 각각의 EIM(700)은 수동 입력들(992)을 사용하여 구성요소를 제어할 수 있다. 또한, 각각의 EIM(700)은 또한 비-1E 제어 입력(994)도 수신할 수 있다. 상기 비-1E 제어 입력(도 3b에서 입력(282)으로도 도시됨)(994)은, 비-1E가 EIM의 출력들에 대한 1E 안전 ESF 구성요소를 제어하도록, EIM(700)에 제공될 수 있다. 피드백 구성요소(예를 들면, 리미트 스위치들(limit switches)), 투표 결정, 및 다른 이용가능한 정보(예를 들어, 알람들)는 출력들(974-976)로서 M/I CM(600)으로부터 전송될 수 있다.
도 10은 원자력 시스템에 대한 I&C 시스템(135)에 대한 다양한 분석도를 도시한다. 다양성 분석의 목적을 위해, 도 10에서 확인된 블록들은 시스템 시험을 단순화한 상세 수준을 나타낸다. 블록들은 장비 및 소프트웨어의 물리적 부분집합을 나타내도록 선택되었으며, 그 내부 고장들은 그들의 속성들에 기초하여 다른 블록들에 전파될 수 없다고 가정할 수 있다.
도시된 바와 같이, 도 10의 블록들은 I&C 시스템을 도시한다; 이 예에서는, I&C 시스템(135)이다. 블록(1002)은 비-1E 모니터링 및 표시 장비를 나타내고, 블록(1004a/b)는, 1E 모니터링 및 표시 I 및 II를 각각 나타내며, 블록(1006a/b)는 각각 안전 블록들 I 및 II를 나타낸다. 블록(1006a)는 분리 그룹들 A 및 C, RTS I, 및 ESFAS I를 포함하고, 반면에 블록(1006b)는 분리 그룹들 B 및 D, RTS II, 및 ESFAS II를 포한한다. 블록(1008)는 MCS를 나타낸다. 도시된 바와 같이, 화살표들을 갖는 연결선들은 블록들 간의 통신을 나타낸다.
4개의 부대들의 목적들 중 하나는 다양성이다. 예를 들어, MPS는 단일 고장 기준을 충족할 수 있고, 이는 이하의 존재의 설계 기준 이벤트에 필요한 모든 안전 기능들을 수행하는 MPS가 필요할 수 있다: (1) 식별가능한 그러나 검출 불가능한 모든 고장들과 동시 발생하는 안전 시스템들 내의 모든 단일 식별가능 고장 (2) 단일 고장으로 인해 발생하는 모든 고장들; 및 (3) 안전 기능들을 필요로 하는 설계 기준 이벤트를 야기하거나 또는 그에 의해 야기된 모든 고장들 및 의사 시스템 조치들. 이 요구 사항은, 증가된 신뢰성을 제공할 수 있지만, 시스템이 공통-원인 고장들(CCFs)에 취약한 것을 배제하지 않는다. 어떤 설계의 경우, 의존성(예를 들어, 결합 요소들)이 존재할 수 있고, 이는 CCF들을 다수의 독립적인 고장들로부터 구분한다. 이는 시스템 내 공통 원인 고장들을 방지하는 2가지 기본 형태들로 귀결된다: 인과 영향들(casual influences)이 감소되거나 또는 그러한 영향들에 저항하는 시스템의 능력이 증가되거나 중 어느 하나.
전술한 바와 같이, 이들 2가지 형태들의 구현은 6개의 속성들로 구현될 수 있다: 설계 다양성, 장비 다양성, 기능적 다양성, 인간 다양성, 신호 다양성, 및 소프트웨어 다양성. 이러한 속성들의 적용은 도 10에 도시된 각 블록들에 대해서뿐만 아니라 도 10에 나타난 블록들 사이의 속성들에 대해서도 검사된다.
블록 내 속성들
도시된 바와 같이 그리고 이전의 도면들을 참조하여 설명된 바와 같이, 분리 그룹들(A, B, C, D), 및 RTS 및 ESFAS의 두 부문들은 그들이 기초로 하는 프로그래밍 기술에 따라 그룹화된다. 안전 블록 I 및 II는, 함께, 모듈 보호 시스템(MPS)(예를 들어, MPS(200))을 구성한다.
신호 다양성과 관련하여, 소정의 과도 이벤트의 경우, (예를 들어, 압력, 레벨, 온도, 중성자 플럭스와 같이) 각각이 다른 물리적 영향들의 측정된 변수(들)에 기초한 적어도 2개의 안전 기능들이 존재할 수 있다. 하나의 안전 기능의 상실은 블록이 보호 작용에 대한 필요성을 확인하는 것을 막지 않는다.
소프트웨어 다양성과 관련하여, 그것의 입력들에 기초하여, 각각의 안전 기능 모듈(SFM(500))은 안전 기능 및 안전 기능들의 그룹에 전용된다. 그 결과, 각각의 SFM은 고유한 알고리즘/로직을 갖는다. 각각의 통신 모듈(CM(600))은 다른 순서의 동일한 정보 패킷을 전송하고, 이는 CM에서 각각의 통신 엔진(608/6108)이 다른 알고리즘을 가져야 함을 요구할 수 있다. 각각의 장비 인터페이스 모듈(EIM(700))은 단일 구성요소에 전용될 수 있고 고유의 알고리즘/로직으로 귀결될 수 있다.
1E 모니터링 및 표시는 물리적 스위치들 및 비디오 디스플레이 유닛들(VDUs)의 2개의 부문들을 사용하여 이루어질 수 있다. 1E 모니터링 및 표시 (M/I)의 각 부문은 블록(1004a/b)일 수 있다. 설계 다양성과 관련하여, M/I의 각각의 부문은 디지털 디스플레이들 상에 플랜트 상태 정보를 운영자들에게 제공할 수 있고, 부문 레벨에서, 임의의 보호 조치를 수동으로 개시하는 수동 스위치들을 갖는다. 신호 다양성과 관련하여, 운영자는 트립 및/또는 ESF 작동이 필요한지를 결정하기 위해 MPS에 의해 사용된 모든 측정된 변수들을 가질 수 있다. 그만큼 빠른 것은 아니지만, 운영자는 다른 물리적 영향들의 다수의 측정된 변수들을 가질 수 있어 MPS와 동일한 결정을 할 수 있다.
블록들 사이의 다양성 속성들
인간 다양성과 관련하여, 1E M/I I 및 안전 블록 I의 소프트웨어는 일 디자인 팀에 의해 설계될 수 있고, 1E M/I II 및 안전 블록 II는 다른 디자인 팀에 의해 설계될 수 있다. 또한, 독립적인 확인 및 검증 팀들이 설계 정확성을 보장하기 위해 각각의 설계 팀의 작업을 검토할 수 있다. 전술한 설계 팀들은 또한 모듈 제어 시스템(MCS) 및 비-1E M/I에 할당된 것들과도 다르다.
설계 다양성은 소프트웨어 및 하드웨어 모두를 포함하여 다른 접근법들을 사용하여 동일한 또는 유사한 문제를 해결하는 것이다. CCF의 가능성 및 결과들을 제한하기 위해, 안전 블록 I(1004a) 및 1E M/I I 블록(1006a)은 안전 블록 II 및 1E M/I II와는 다른 프로그래밍 기술을 사용할 수 있다. MCS 및 비-1E M/I도 또한 다른 프로그래밍 기술을 가질 수 있다. 후술할 다른 특성들과 함께, 다른 하드웨어 설계들은 다른 고장 모드들을 가질 수 있고, 따라서, 2개 이상의 블록들에 영향을 미치는 CCF의 가능성을 감소시킬 수 있다. 예를 들어, M/I 블록을 제외하고, 블록들은 다른 방으로 물리적으로 구분될 수 있다. 이것은 다수의 구성요소들이 CCF 이벤트에 관련되는 조건을 만들 수 있는 결합 요소들을 더욱 감소시키기 위한 것이다.
소프트웨어 다양성은 설계 다양성의 부분집합이고 동일한 안전 목표를 달성하기 위하여 다른 주요 인력들과 다른 개발 그룹들에 의해 설계되고 구현된 다른 프로그램들의 사용을 포함할 수 있다. 위에서 논의된 설계 다양성으로 인해, 다른 설계 팀들은 다른 설계 툴들을 사용할 수 있고, 따라서, 상기 툴들은 동일한 고장 모드들을 도입하지 않을 수 있다.
기능적 다양성은 블록들 사이의 다른 목적들 및 기능들을 구비하여 도입될 수 있다. 안전 블록 I 및 II는 MPS를 형성한다. 이들 블록들은 운영 한도들이 초과되는 경우 반응기 트립을 개시하고 가정 사고(postulated accident)를 완화하기 위해 ESF를 개시할 수 있다. 상기 M/I 블록들은 운영자가 안전 및 비-안전 시스템들 모두를 모니터하고 제어하는 것을 허용할 수 있다. 상기 운영자는 운영 한도들 내에서 플랜트를 유지하거나 필요한 보호 조치들을 개시할 수 있다. MCS는 특정 운영 과도들(operational transients)을 제한하는 것을 포함하여 운영 한도들 내에서 플랜트를 유지하기 위해 시스템들의 자동 제어를 제공한다.
블록들 사이에서, 신호 다양성은 보호 조치들 및 작동 장비의 자동 및 수동 수단을 통해 제공될 수 있다. MCS 및 비-1E M/I는 장비 레벨에서의 제어를 제공하는 반면에 상기 1E M/I 블록들은 부문 레벨의 제어를 제공한다.
장비 다양성은 다른 장비를 사용하여 유사한 안전 기능들을 수행한다. 보호 조치들의 개시는 스위치들을 사용하여 작업자 동작들에 의해 이루어질 수 있거나 또는 안전 블록 I 또는 II에 의해 자동으로 수행될 수 있다. 안전 블록 I 및 II 사이에, 다른 프로그램 가능 기술이 사용될 수 있고, 이는 다른 내부 하위 구성요소들 및 다른 제조 방법들을 필요로 할 수 있다.
4개의 부대들의 다른 분석 가이드라인은 시스템 고장 유형들이다. 유형 1 고장들은 보호 조치들이 방어 부대들 사이의 상호작용들로 인한 제어 시스템 오류들에 의해 시작된 플랜트 과도를 발견(occur)하지 못한 경우이다. 일반적으로, 이것은 공통 센서 또는 신호 소스의 고장과 관련된다. MPS에 의해 모니터링된 플랜트 파라미터들 몇몇이 정상 플랜트 제어를 위해 MCS에 제공된다. 전술한 바와 같이, 하나의 신호 소스를 제공하는 대신, 4개의 분리 그룹들 모두 그리고 ESFAS및 RTS의 두 부문들은 분리된 단방향 통신들을 통해 정보를 제공한다. 이것은 MCS가 어떠한 중복되고 독립적인 신호 소스를 사용할 것인지를 선택하는(예를 들어, 중간 신호(median signal) 선택) 다른 방법을 사용하는 것을 허용할 수 있다.
유형 2 고장들은 과도를 직접 야기하지 않을 수 있고 보호 장비가 감지되지 않은 고장으로 인해 플랜트 과도에 응답하지 않을 수 있는 경우의 것들이다. 안전 블록 I 및 II 내의 그리고 그들 사이의 속성들을 이용하여, 충분한 다양성이 존재하여 감지되지 않은 고장 또는 CCF가 하나 이상의 블록에 영향을 미치는 것을 방지할 수 있다. 보호 조치를 자동으로 개시하는데 필요한 2개의 블록들 중 하나만으로, 유형 2 고장들은 별도의 추가 시스템 없이 MPS(안전 블록 I 및 II)에 의해 완화될 수 있다.
유형 3 고장들은 주요 센서들이 설계 기준 이벤트들이 비정상적인 수치들(anomalous readings)을 생산하는 것을 검출하는 것에 의존하는 것들이다. 신호 다양성이 적어도 2개의 안전 기능들을 제공하여 안전 블록들 내에 존재할 수 있고, 각각은 임의의 일시적인 이벤트의 경우에 다른 측정된 파라미터들에 기초한다. 특정 안전 기능을 위한 센서들의 4개의 분리 그룹들 모두가 비정상적인 수치들을 제공하는 경우, 유형 3 고장에 대한 2가지의 가능한 부정적인 시나리오들이 있을 수 있다: 1) 비정상적인 수치들은 한계들이 실제로 초과된 경우에 트립 또는 ESF 작동이 필요하지 않다고 표시한다; 그리고 2) 비정상적인 수치는 트립 또는 ESF 작동이 (예를 들어, 의사 트립 또는 ESF 작동과 같이) 한계가 초과되지 않은 경우에도 필요하다고 표시한다. 첫 번째 시나리오에서, 안전 블록들 내에서 CCF와 동시 발생하는 유형 3 고장은 필요한 보호 조치(들)의 개시를 방지하지 않을 수 있다. 전술한 바와 같이, 신호 다양성은 별도의 안전 기능이 과도 이벤트를 완화하는데 이용 가능하도록 허용할 수 있다. MPS 내의 CCF는 2개의 안전 블록들 중 하나에 제한되고 보호 조치의 개시를 방지하거나 또는 거짓 지시된 개시를 방지하는 것으로 가정한다. 전술한 바와 같이 예를 들어, 4개의 일치 로직 중 2개가 모든 트립 및 ESF 작동을 위해 사용될 수 있고, 이는 4개의 분리 그룹들 중 2개가, 영향을 받지 않은 안전 블록 상의 영향을 받지 않은 안전 기능에 대해, 트립 또는 ESF 작동에 대한 필요성을 나타내며, 수행된 작업의 조작자에게 옳은 지시(positive indication)를 제공한다는 것을 의미한다.
두 번째 시나리오에서, 안전 블록들 내에서 CCF와 동시 발생하는 유형 3 고장은, 의사 트립 또는 ESF 작동을 야기하고 1E M/I 블록들은 성공적인 작동의 일 옳은 지시 및 일 거짓 지시 또는 일 옳은 그리고 비작동 지시를 갖는 것 중 어느 하나를 표시한다. 어느 경우에든지, 작업자가 의사 작동을 평가하고 수정하는데 더 긴 시간이 소요될 것이지만, 필요에 따라 구성요소들을 재정렬하는 능력이 동일한 CCF에 의해 영향을 받지 않을 1E 및 비-1E 제어들 모두에 의해 제공된다. 가정 ESF 작동은 이 시나리오에서 가장 제한적인 것으로 간주될 수 있다.
다른 분석 가이드라인은 부대 요구사항(Echelon Requirement)이다. 시스템 시험을 단순화하는 상세 수준을 나타내는 블록들을 제공하기 위해, 4개의 개념적인 방어 부대들은 일부 블록들에서 (예를 들어, RTS 및 ESFAS) 결합될 뿐만 아니라, 별도 블록들로 분할되기도 한다(예를 들어, 안전 블록 I 및 II, 1E M/I I 및 II). 일부 측면들에서, 분리 그룹들, RTS, 및 ESFAS는 그들이 기초로 하는 프로그램 가능 기술에 따라 안전 블록들로 그룹화된다. 예를 들어, MPS의 각 절반(예를 들어, 4개의 분리 그룹들 중 2개, ESFAS의 2개의 부문들 중 하나, 및 RTS의 2개의 부문들 중 하나) 또는 일 안전 블록은 충분한 다양성 속성들을 가질 수 있다. 다른 프로그램 가능 기술을 기반으로 다른 프로그램 가능 디지털 하드웨어를 활용하는(설계 및 장비 다양성) 다른 설계 팀들(인간 다양성)은 다른 설계 툴들의 사용을 필요로 한다(소프트웨어 다양성). 상기 M/I 부대들은 또한 별도의 블록들로 분할될 수 있다. 상기 1E M/I 블록들은 그들이 안전 블록들로서 유사한 다양성 속성들을 갖는지 식별하기 위해 분할될 수 있다. 어떻게 선택된 블록들이 4개의 방어 부대들로 분류되는지가 도 11에 도시되며, 이는 다이어그램(1100)을 나타낸다.
다른 분석 가이드라인은 평가 방법(Method of Evaluation)이다. 선택된 블록은 "블랙 박스들"로 고려되어야 하고, 그에 따라 가정할 필요가 있는 임의의 신뢰할 수 있는 고장은 (아래에서 설명될 바와 같이) 출력 신호 가이드라인에 따라 분석될 때 가장 해로운 결과를 생성한다. 일부 측면들에서, 시스템의 작동 고장은 특히 식별하는데 필요한 시간을 분석하는 경우 그리고 자동 안전 시스템에서 CCF로 인한 조건들에 응답답하는 경우 최악의 고장이 아닐 수 있다. 블록들은 하드웨어 CCF 및 소프트웨어 CCF에 기초하여 평가될 것이다. 각각의 CCF에 대해, 블록은 가장 해로운 결과들을 생성할 수 있는 3가지 가능한 출력들을 갖도록 평가될 수 있다: 1) 필요한 경우 거짓 표시 또는 조치를 취하지 않는 고장-그대로(fail-as-is), 2) 성공적인 작동의 표시를 갖는 기능(들)의 의사 개시, 및 3) 성공적인 작동의 표시가 없는 기능(들)의 의사 개시. 임의의 안전 블록들 내의 EIM들은 소프트웨어 CCFS들에 취약한 것으로 고려되지 않을 수 있다. 예를 들어, EIM은 단일 ESF 구성요소 또는 반응기 트립 차단기에 전용된 우선순위 로직 모듈 일 수 있고 수동 및 자동 제어들과 인터페이스한다. 유한-상태 머신들의 사용은 모든 가능한 입력들, 장치 상태들, 및 상태 머신의 출력들을 포함하는 기능의 포괄적인 테스트를 허용할 수 있다. 그것의 시험가능성, EIM 다양성 속성들, 및 단일 구성요소에 전용되는 것을 기초로, EIM은 소프트웨어 기반 또는 소프트웨어 로직 기반 CCF의 고려가 필요하지 않도록 충분히 간단할 수 있다.
다른 분석 가이드라인은 블록들의 가정된 공통-원인 고장이다. 1E M/I 블록들은 비디오 디스플레이 유닛들(디지털 하드웨어) 및 수동 제어들(비-디지털 하드웨어)의 조합을 포함한다. VDU들은 표시 전용으로 설계될 수 있고 장비를 제어할 능력이 없다. 각각의 1E M/I 블록(1004a/b)에서의 수동 제어들은, 부문 레벨에서, 작업자에게 안전 블록 I 또는 II에 의해 자동적으로 수행되는 임의의 보호 조치를 개시할 수 있는 능력을 제공한다. 표시 및 수동 제어는, 일부 예들에서, 다른 하드웨어(예를 들어, 디지털 vs. 개/폐 접점 스위치)이고, CCF는 일 또는 다른 것들에 영향을 미치는 것으로, 그러나 양쪽에는 영향을 미치지 않는 것으로 가정할 수 있다. 소프트웨어 및 하드웨어 CCF 모두의 경우, 고장-그대로 조건은 일 부문의 수동 스위치들의 고장 또는 거짓 안전 동작 조건들을 나타내는 일 부문의 작업자 디스플레이들을 야기한다. 상기 VDU들은 제어 능력들을 거의 또는 전혀 갖지 않을 수 있고 그에 따라 그들은 의사 작동을 제공하지 않을 수 있다; 그러나, 소프트웨어 CCF와 함께 VDU들은 성공적인 작동의 거짓 표시를 제공할 수 있거나 또는 조작자가 의사 보호 조치들을 개시하는 것을 요청하는 잘못된 플랜트 조건들을 제공할 수 있다.
EIM을 제외하고, 안전 블록 내의 모듈들은 소프트웨어 CCF을 갖도록 가정된다. 안전 블록 내의 다양성 속성들로 인해, 소프트웨어 CCF는 SFM 상의 기능(들) 또는 CM으로 제한될 수 있다. SFM이 적절한 트립 결정을 하는 것을 방지하는 안전 블록 내의 소프트웨어 CCF는 그 블록 내의 장비, 신호, 및 소프트웨어 다양성에 의해 완화될 수 있다. 각각의 과도 이벤트의 경우, 이벤트를 완화하는데 필요한 주요 및 백업 안전 기능들은, 다른 물리적 영향들의 측정 파라미터들에 기초하여 다른 논리/알고리즘을 사용하는 별도의 안전 기능들로 구현될 수 있다. 다른 방식으로 동일한 정보를 송신하는 각각의 데이터 버스 및 3중 모듈 중복성의 구현과 함께, 소프트웨어 CCF를 갖는 CM은 보호 조치의 개시를 방지하거나 유사 개시를 하지 않을 수 있다. 그 결과, 가장 해로운 시나리오는 ESFAS 기능의 유사 작동을 야기하는 SFM 내 소프트웨어 CCF일 수 있다.
안전 블록 내의 하드웨어 CCF는 필요한 보호 조치를 감지하고 시작하도록 블록의 완전한 고장을 가정할 수 있다. ESF 기능들의 유사 작동을 야기하는 하드웨어 CCF는 소프트웨어 CCF로 인한 유사 작동과 동일한 영향을 가질 수 있고, 따라서 하드웨어 CCF에 대해 다시 고려되지 않을 수 있다.
비-1E M/I는 안전 및 비-안전 장비에 대한 제어들을 포함한다. 비-1E에 대한 비디오 디스플레이 유닛들은 1E M/I에 의해 사용되는 것들과 다르다. 비-1E M/I가 일반적인 일상 작업들에 사용되기 때문에, (예를 들어, 터빈 제어들, 급수 제어와 같은) 비-1E M/I 서브시스템 내의 소프트웨어 또는 하드웨어 CCF에 의해 유도된 임의의 유사 작동들은 즉시 식별될 수 있고, 운영 한계들를 초과하는 경우, MPS(안전 블록들 I 및 II)에 의해 완화될 수 있다. 비-1E에 대한 가정된 고장들(postulated failures)은, 1) 성공적인 작동의 표시를 갖고 그리고 성공적인 작동의 표시가 없이 서브 시스템의 구성요소들의 의사 작동이 이루어지고 2) 장비가 실제로 작동하지 않은 경우에 성공적인 작동이 표시되는 그대로 조건(as-is condition)에 실패한다.
MCS는 특정 운영 과도들을 제한하는 것을 포함하여 동작 한계들 내에서 일상적인 플랜트 동작들을 유지하는 것에 의존하는 비-안전 시스템을 포함한다. 그에 따라, (예를 들어, 봉(rod) 제어와 같은) 서브시스템들의 임의의 고장들은 즉시 조작자에 의해 검출될 수 있다. 비-1E M/I와 마찬가지로, MCS에 대한 가정된 소프트웨어 및 하드웨어 CCF는 1) 성공적인 작동의 표시를 갖고 그리고 성공적인 작동의 표시가 없이 서브 시스템의 구성요소들의 의사 작동이 이루어지고 2) 장비가 실제로 작동하지 않은 경우에 성공적인 작동의 표시를 제공하는 실패한 그대로 조건(fail as-is condition)으로 귀결된다.
다른 분석 가이드라인은 동일한 하드웨어 및 소프트웨어 모듈들의 사용이다. 여기서, 블록들 사이의 다양성은 블록들을 동일한 것으로 고려하지 않는 기반을 제공한다. 이것에 기초하여, 가정된 CCF는 단일 블록으로 제한될 수 있다.
다른 분석 가이드라인은 다른 블록들의 효과이다. 모든 블록들은 올바른 또는 잘못된 입력들에 응답하여 정확하게 기능하는 것으로 가정한다. 각각의 블록은 다른 블록에서 가정된 CCF에 의해 영향을 받지 않고 독립적인 것으로 간주된다.
다른 분석 가이드라인은 출력 신호들이다. 일부 측면들에서, I&C 아키텍처는 오류들이 이전 블록의 출력으로 역방향 전파되는 것을 방지할 수 있다. (CM(600)에 나타난 바와 같이) 안전 블록 I 및 II로부터 1E M/I로의 모든 정보는 광학-분리된 송신-전용 통신 엔진들을 통해 보내질 수 있다. 1E M/I로부터 안전 블록들로의 신호들은 위치 또는 접촉 상태가 안전 블록들 내의 CCF에 의해 변경될 수 없는 수동 스위치들로부터의 개/폐 접촉들일 수 있다.
안전 블록들 사이의 통신은 분리 그룹 A 및 C로부터 ESFAS 및 RTS의 부문 II으로, 그리고 분리 그룹 B 및 D로부터 ESFAS 및 RTS의 부문 I로 발송된 데이터일 수 있다. 상기 4개의 분리 그룹들은 독립적이고 중복된다; 그러나, 도 10의 도시적인 목적들을 위해, 분리 그룹들은 사용하는 프로그램 가능 기술에 따라 안전 블록들로 그룹화된다. 안전 블록들과 1E M/I 사이의 통신과 마찬가지로, 분리 그룹들로부터 RTS 및 ESFAS의 임의의 부문들로의 통신은 광학-분리 전송-전용 통신 엔진을 통해 이루어질 수 있다. 안전 블록들로의 비-안전 입력들은 ESFAS EIM들로 이루어질 수 있으며, 이는 분리된 개/폐 접촉들로 제한될 수 있다.
안전 블록들로부터의 모든 입력들은 광학적으로 분리된 전송-전용 통신 엔진들로부터 이루어질 수 있다. 이것은 1E M/I에서의 임의의 오류가 안전 블록들로 역방향 전파되는 것을 방지할 수 있다.
다른 분석 가이드라인은 예상된 운영 발생들에 대한 다양성이다. 과도 이벤트와 함께 발생한 유형 2 고장 또는 단일 CCF는 MPS가 그것의 안전 기능을 수행하는 것을 방지할 수 없을 수 있다. 함께 MPS를 구성하는 안전 블록 I 및 II는 CCF를 하나의 블록에 제한하도록 선택될 수 있다.
전통적으로, 원자력 발전소들은 MPS가 CCF에 의해 무력화된 경우 기능들을 개시하는 다양한 방법을 제공하기 위해 다양한 작동 시스템(Diverse Actuation System, DAS) 또는 스크램 없는 예상 과도(Anticipated Transient without Scram, ATWS) 시스템에 의존해 왔다. 그러나 도시된 MPS 설계에서, 충분한 다양성이 시스템 내에 존재하여 심지어 단일 CCF만으로 안전 기능이 개시될 수 있다. 여기서, MPS는 안전 블록 I 및 II(예를 들어, 1006a/b)로 분할된다. 가정된 소프트웨어 또는 하드웨어 CCF는 하나의 안전 블록에 제한될 것이다. 각각의 블록은 다른 프로그램가능 기술에 기초한 다른 프로그램가능 디지털 하드웨어를 활용하여(설계 및 장비 다양성) 다른 설계 팀들(인간 다양성)을 사용하고, 이는 다른 설계 툴들의 사용(소프트웨어 다양성)을 요구할 수 있다. 어느 블록 내에서, 별도의 SFM들 상에 구현된 다른 물리적 영향들의 측정된 변수(들)에 기초한 적어도 2개의 안전 기능들이 존재할 수 있다. 모든 로직은 유한-상태 머신들로 구현될 수 있고 모든 안전 데이터는 결정론적 방식으로 교신될 수 있다. 이들 속성들 때문에, 심지어 CCF와 공동으로 일어나는 유형 3 고장이 MPS가 필요한 보호 조치를 개시하는 것을 방지하지 않을 수 있다.
다른 분석 가이드라인은 사고들에 대한 다양성이다. AOO과 마찬가지로, MPS 내의 CCF와 공동으로 일어나는 가정된 사고들은 MPS가 그것의 안전성 기능을 수행하는 것을 방지하지 않을 수 있다.
다른 분석 가이드라인은 수동 조작 작업이다. MPS에 의해 수행되는 보호 작업들의 수동 부문-레벨 작동들은 작업자에게 제공될 수 있다. 수동 구성요소-레벨 제어들은 1E M/I에 의해 허용되는 경우 비-1E M/I를 사용하여 작업자에게 제공된다.
본 기술 사상의 특정 구현들이 설명되었다. 당업자에게 명백한 바와 같이, 기술된 구현들의 다른 구현들, 변경들, 및 치환들은 이하의 청구항들의 범위 내에 있다. 예를 들어, 특허 청구 범위에 기재된 동작들은 다른 순서로 수행될 수 있고 여전히 바람직한 결과들을 달성할 수 있다. 따라서, 예시적인 구현들에 대한 전술한 설명은 본 개시서를 한정하거나 제한하지 않는다. 다른 변화들, 대체들, 및 변경들이 본 개시서의 사상 및 범위를 벗어나지 않고 또한 이루어질 수 있다.

Claims (65)

  1. 복수의 기능적으로 독립적인 모듈들; 및
    하나 이상의 원자로 안전 작동기들을 포함하고,
    상기 모듈들 각각은 원자로 안전 시스템으로부터 복수의 입력들을 수신하도록 구성되고, 적어도 부분적으로 상기 복수의 입력들에 기초하여 안전 조치를 논리적으로 결정하도록 구성되며,
    상기 하나 이상의 원자로 안전 작동기들은 상기 복수의 기능적으로 독립적인 모듈들과 교신 가능하게 결합되어 적어도 부분적으로 상기 복수의 입력들에 기초하여 상기 안전 조치 결정을 수신하는, 원자로 보호 시스템.
  2. 청구항 1에 있어서,
    상기 복수의 기능적으로 독립적인 모듈들 각각은 상기 복수의 기능적으로 독립적인 모듈들 중 임의의 다른 모듈로의 단일 고장 전파(single failure propagation)에 대한 보호를 제공하는, 원자로 보호 시스템.
  3. 청구항 1에 있어서,
    상기 원자로 안전 시스템은 설계 안전 기능 작동 시스템(engineered safety features actuation system, ESFAS)을 포함하고,
    상기 복수의 기능적으로 독립적인 모듈들은 복수의 ESFAS 입력들을 수신하고 적어도 부분적으로 상기 ESFAS 입력들에 기초하여 ESFAS 구성요소 작동을 논리적으로 결정하는, 원자로 보호 시스템.
  4. 청구항 3에 있어서,
    상기 복수의 기능적으로 독립적인 모듈들은 중복 ESFAS 투표 분할들(redundant ESFAS voting divisions)을 가능케 하는, 원자로 보호 시스템.
  5. 청구항 1에 있어서,
    상기 원자로 안전 시스템은 반응기 트립 시스템(reactor trip system, RTS)을 포함하고,
    상기 복수의 기능적으로 독립적인 모듈들은 복수의 RTS 입력들을 수신하고 적어도 부분적으로 상기 RTS 입력들에 기초하여 RTS 구성요소 작동을 논리적으로 결정하는, 원자로 보호 시스템.
  6. 청구항 5에 있어서,
    상기 복수의 기능적으로 독립적인 모듈들은 중복 RTS 투표 분할들(redundant RTS voting divisions)을 가능케 하는, 원자로 보호 시스템.
  7. 청구항 1에 있어서,
    상기 복수의 기능적으로 독립적인 모듈들 각각은 상기 복수의 기능적으로 독립적인 모듈들 중 임의의 다른 모듈로의 단일 하드웨어 고장 전파(single hardware failure propagation)에 대한 보호를 제공하는, 원자로 보호 시스템.
  8. 청구항 1에 있어서,
    상기 복수의 기능적으로 독립적인 모듈들 각각은 상기 복수의 기능적으로 독립적인 모듈들 중 임의의 다른 모듈로의 단일 소프트웨어 고장 전파(single software failure propagation)에 대한 보호를 제공하는, 원자로 보호 시스템.
  9. 청구항 1에 있어서,
    상기 복수의 기능적으로 독립적인 모듈들 각각은 상기 복수의 기능적으로 독립적인 모듈들 중 임의의 다른 모듈로의 단일 소프트웨어 개발된 로직 고장 전파(single software developed logic failure propagation)에 대한 보호를 제공하는, 원자로 보호 시스템.
  10. 청구항 1에 있어서,
    상기 복수의 기능적으로 독립적인 모듈들은 반응기 트립 감지 및 결정의 신호 경로에 대한 3중 중복성(triple redundancy)을 가능케 하는, 원자로 보호 시스템.
  11. 청구항 1에 있어서,
    상기 복수의 기능적으로 독립적인 모듈들은 반응기 트립 구성요소 별로 독립적인 트립 투표 모듈들을 포함하는, 원자로 보호 시스템.
  12. 청구항 1에 있어서,
    상기 복수의 기능적으로 독립적인 모듈들은 상기 특정 트립 구성요소에 전용된 상기 복수의 모듈들 중 다른 모든 모듈과 별개로 상기 반응기 트립을 논리적으로 결정하는, 원자로 보호 시스템.
  13. 청구항 1에 있어서,
    상기 복수의 기능적으로 독립적인 모듈들은 ESF 구성요소 별로 독립적인 ESFAS 작동 투표 모듈들을 포함하는, 원자로 보호 시스템.
  14. 청구항 1에 있어서,
    상기 복수의 기능적으로 독립적인 모듈들은 상기 특정 ESF 구성요소에 전용된 상기 복수의 모듈들 중 다른 모든 모듈과 별개로 상기 ESFAS 작동을 논리적으로 결정하는, 원자로 보호 시스템.
  15. 청구항 1에 있어서,
    상기 복수의 기능적으로 독립적인 모듈들은 복수의 안전 기능 모듈들을 포함하는, 원자로 보호 시스템.
  16. 청구항 1에 있어서,
    상기 복수의 기능적으로 독립적인 모듈들은 복수의 통신 모듈들을 포함하는, 원자로 보호 시스템.
  17. 청구항 1에 있어서,
    상기 복수의 기능적으로 독립적인 모듈들은 복수의 장비 인터페이스 모듈들을 포함하는, 원자로 보호 시스템.
  18. 청구항 1에 있어서,
    상기 복수의 기능적으로 독립적인 모듈들은 단일-층 투표 방식(single-tier voting scheme)으로 상기 반응기 트립을 논리적으로 결정하는, 원자로 보호 시스템.
  19. 청구항 1에 있어서,
    상기 복수의 기능적으로 독립적인 모듈들은 다수-층 투표 방식(multiple-tier voting scheme)으로 상기 반응기 트립을 논리적으로 결정하는, 원자로 보호 시스템.
  20. 청구항 19에 있어서,
    상기 다수-층 투표 방식은 2-층 투표 방식을 포함하는, 원자로 보호 시스템.
  21. 청구항 20에 있어서,
    상기 2-층 투표 방식의 제1 층은 다수결 투표 방식을 포함하는, 원자로 보호 시스템.
  22. 청구항 21에 있어서,
    상기 다수결 투표 방식은 3개 중 2개 투표 방식을 포함하는, 원자로 보호 시스템.
  23. 청구항 20에 있어서,
    상기 2-층 투표 방식의 제2 층은 비-다수결 투표 방식을 포함하는, 원자로 보호 시스템.
  24. 청구항 23에 있어서,
    상기 제2 층은 4개 중 2개 투표 방식을 포함하는, 원자로 보호 시스템.
  25. 원자로 트립의 결정 방법으로서,
    설계 안전 기능 작동 시스템(engineered safety features actuation system, ESFAS) 또는 반응기 트립 시스템(reactor trip system, RTS) 중 하나로부터, 원자로 보호 시스템의 복수의 기능적으로 독립적인 모듈들에서의 복수의 입력들을 수신하는 단계;
    상기 복수의 기능적으로 독립적인 모듈들로, 적어도 부분적으로 상기 복수의 입력들에 기초하여, ESFAS 안전 조치 또는 반응기 트립 결정 중 하나를 논리적으로 결정하는 단계; 및
    상기 논리 결정에 기초하여, 상기 복수의 기능적으로 독립적인 모듈들에 교신 가능하게 결합된 ESFAS 구성요소 작동기 또는 반응기 트립 차단기 중 하나를 활성화하는 단계를 포함하는, 방법.
  26. 청구항 25에 있어서,
    상기 복수의 기능적으로 독립적인 모듈들 중 하나로, 상기 복수의 기능적으로 독립된 모듈들 중 임의의 다른 모듈로의 단일 고장 전파(single failure propagation)를 제한하는 단계를 더 포함하는, 방법.
  27. 청구항 26에 있어서,
    상기 단일 고장은, 단일 하드웨어 고장, 단일 소프트웨어 고장, 또는 단일 소프트웨어 개발된 로직 고장 중 적어도 하나를 포함하는, 방법.
  28. 청구항 25에 있어서,
    상기 복수의 기능적으로 독립적인 모듈들로, 적어도 부분적으로 상기 입력들에 기초하여 ESFAS 안전 조치 또는 반응기 트립 결정 중 하나를 논리적으로 결정하는 단계는:
    상기 복수의 기능적으로 독립적인 모듈들로, 3중 중복 신호 경로(triple redundancy signal path)를 통해 상기 ESFAS 안전 조치 또는 반응기 트립 결정 중 하나를 논리적으로 결정하는 단계를 포함하는, 방법.
  29. 청구항 25에 있어서,
    상기 복수의 기능적으로 독립적인 모듈들은 중복 RTS 투표 분할들(redundant RTS voting divisions) 또는 중복 ESFAS 투표 분할들(redundant ESFAS voting divisions) 중 적어도 하나를 가능케 하는, 방법.
  30. 청구항 25에 있어서,
    상기 복수의 기능적으로 독립적인 모듈들로, 적어도 부분적으로 상기 입력들에 기초하여 ESFAS 안전 조치 또는 반응기 트립 결정 중 하나를 논리적으로 결정하는 단계는:
    상기 복수의 기능적으로 독립적인 모듈들로, 반응기 트립 구성요소 별로 독립적인 트립 투표 모듈들을 통해 상기 ESFAS 안전 조치 또는 반응기 트립 결정 중 하나를 논리적으로 결정하는 단계를 포함하는, 방법.
  31. 청구항 30에 있어서,
    상기 복수의 기능적으로 독립적인 모듈들로, 적어도 부분적으로 상기 입력들에 기초하여 ESFAS 안전 조치 또는 반응기 트립 결정 중 하나를 논리적으로 결정하는 단계는:
    상기 복수의 기능적으로 독립적인 모듈들의 특정 모듈로, 상기 복수의 모듈들 중 다른 모든 모듈과 별개로 상기 ESFAS 안전 조치 또는 반응기 트립 결정을 논리적으로 결정하는 단계를 포함하는, 방법.
  32. 청구항 25에 있어서,
    상기 복수의 기능적으로 독립적인 모듈들은 ESF 구성요소 별로 독립적인 ESFAS 작동 투표 모듈들을 포함하고,
    상기 방법은:
    상기 복수의 기능적으로 독립적인 모듈들의 특정 모듈로, 상기 특정 ESF 구성요소에 전용된 상기 복수의 모듈들 중 다른 모든 모듈과 별개로 상기 ESFAS 작동을 논리적으로 결정하는 단계를 더 포함하는, 방법.
  33. 청구항 25에 있어서,
    상기 복수의 기능적으로 독립적인 모듈들은 복수의 안전 기능 모듈들, 복수의 통신 모듈들, 및 복수의 장비 인터페이스 모듈들을 포함하는, 방법.
  34. 청구항 25에 있어서,
    상기 복수의 기능적으로 독립적인 모듈들로, 적어도 부분적으로 상기 입력들에 기초하여 ESFAS 안전 조치 또는 반응기 트립 결정 중 하나를 논리적으로 결정하는 단계는:
    상기 복수의 기능적으로 독립적인 모듈들로, 단일-층 투표 방식(single-tier voting scheme)으로 상기 ESFAS 안전 조치 또는 반응기 트립 결정을 논리적으로 결정하는 단계를 포함하는, 방법.
  35. 청구항 25에 있어서,
    상기 복수의 기능적으로 독립적인 모듈들로, 적어도 부분적으로 상기 입력들에 기초하여 ESFAS 안전 조치 또는 반응기 트립 결정 중 하나를 논리적으로 결정하는 단계는:
    상기 복수의 기능적으로 독립적인 모듈들로, 다수-층 투표 방식(multiple-tier voting scheme)으로 상기 ESFAS 안전 조치 또는 반응기 트립 결정을 논리적으로 결정하는 단계를 포함하는, 방법.
  36. 청구항 35에 있어서,
    상기 다수-층 투표 방식은 2-층 투표 방식을 포함하는, 방법.
  37. 청구항 36에 있어서,
    상기 2-층 투표 방식의 제1 층은 다수결 투표 방식을 포함하는, 방법.
  38. 청구항 37에 있어서,
    상기 다수결 투표 방식은 3개 중 2개 투표 방식을 포함하는, 방법.
  39. 청구항 36에 있어서,
    상기 2-층 투표 방식의 제2 층은 비-다수결 투표 방식을 포함하는, 방법.
  40. 청구항 39에 있어서,
    상기 제2 층은 4개 중 2개 투표 방식을 포함하는, 방법.
  41. 원자로 안전 시스템으로부터의 복수의 입력들을 수신하고 적어도 부분적으로 상기 복수의 입력들에 기초하여 안전 조치를 논리적으로 결정하는 수단; 및
    적어도 부분적으로 상기 복수의 입력들에 기초하여 상기 안전 조치 결정을 수신하는 수단을 포함하는, 원자로 보호 장치.
  42. 청구항 41에 있어서,
    상기 안전 조치 결정을 수신하는 수단은 상기 원자로 안전 시스템으로부터의 상기 복수의 입력들을 수신하고 상기 안전 조치를 논리적으로 결정하는 수단과 교신 가능하게 결합된, 원자로 보호 장치.
  43. 청구항 41에 있어서,
    상기 원자로 안전 시스템으로부터의 상기 복수의 입력들을 수신하고 상기 안전 조치를 논리적으로 결정하는 수단은 상기 장치 내의 단일 고장 전파(single failure propagation)에 대한 보호를 제공하는, 원자로 보호 장치.
  44. 청구항 41에 있어서,
    상기 원자로 안전 시스템은 설계 안전 기능 작동 시스템(engineered safety features actuation system, ESFAS)을 포함하고,
    상기 원자로 안전 시스템으로부터의 상기 복수의 입력들을 수신하고 상기 안전 조치를 논리적으로 결정하는 수단은 복수의 ESFAS 입력들을 수신하고 적어도 부분적으로 상기 ESFAS 입력들에 기초하여 ESFAS 구성요소 작동을 논리적으로 결정하는, 원자로 보호 장치.
  45. 청구항 44에 있어서,
    상기 원자로 안전 시스템으로부터의 상기 복수의 입력들을 수신하고 상기 안전 조치를 논리적으로 결정하는 수단은 중복 ESFAS 투표 분할들(redundant ESFAS voting division)을 가능케 하는, 원자로 보호 장치.
  46. 청구항 41에 있어서,
    상기 원자로 안전 시스템은 반응기 트립 시스템(reactor trip system, RTS)을 포함하고,
    상기 원자로 안전 시스템으로부터의 상기 복수의 입력들을 수신하고 상기 안전 조치를 논리적으로 결정하는 수단은 복수의 RTS 입력들을 수신하고 적어도 부분적으로 상기 RTS 입력들에 기초하여 RTS 구성요소 작동을 논리적으로 결정하는, 원자로 보호 장치.
  47. 청구항 46에 있어서,
    상기 원자로 안전 시스템으로부터의 상기 복수의 입력들을 수신하고 상기 안전 조치를 논리적으로 결정하는 수단은 중복 RTS 투표 분할들(redundant RTS voting division)을 가능케 하는, 원자로 보호 장치.
  48. 청구항 41에 있어서,
    상기 원자로 안전 시스템으로부터의 상기 복수의 입력들을 수신하고 상기 안전 조치를 논리적으로 결정하는 수단은 상기 장치 내의 단일 하드웨어 고장 전파(single hardware failure propagation)에 대한 보호를 제공하는, 원자로 보호 장치.
  49. 청구항 41에 있어서,
    상기 원자로 안전 시스템으로부터의 상기 복수의 입력들을 수신하고 상기 안전 조치를 논리적으로 결정하는 수단은 상기 장치 내의 단일 소프트웨어 고장 전파(single software failure propagation)에 대한 보호를 제공하는, 원자로 보호 장치.
  50. 청구항 41에 있어서,
    상기 원자로 안전 시스템으로부터의 상기 복수의 입력들을 수신하고 상기 안전 조치를 논리적으로 결정하는 수단은 상기 장치 내의 단일 소프트웨어 개발된 로직 고장 전파(single software developed logic failure propagation)에 대한 보호를 제공하는, 원자로 보호 장치.
  51. 청구항 41에 있어서,
    상기 원자로 안전 시스템으로부터의 상기 복수의 입력들을 수신하고 상기 안전 조치를 논리적으로 결정하는 수단은 반응기 트립 감지 및 결정의 3중 중복 신호 경로(triple redundant signal path)를 포함하는, 원자로 보호 장치.
  52. 청구항 41에 있어서,
    상기 원자로 안전 시스템으로부터의 상기 복수의 입력들을 수신하고 상기 안전 조치를 논리적으로 결정하는 수단은 반응기 트립 구성요소 별로 독립적인 트립 투표 모듈들을 포함하는, 원자로 보호 장치.
  53. 청구항 41에 있어서,
    상기 원자로 안전 시스템으로부터의 상기 복수의 입력들을 수신하고 상기 안전 조치를 논리적으로 결정하는 수단은 특정 반응기 트립 구성요소에 대한 반응기 트립을 독립적으로 결정하는, 원자로 보호 장치.
  54. 청구항 41에 있어서,
    상기 원자로 안전 시스템으로부터의 상기 복수의 입력들을 수신하고 상기 안전 조치를 논리적으로 결정하는 수단은 ESF 구성요소 별로 독립적인 ESFAS 작동 투표 모듈들을 포함하는, 원자로 보호 장치.
  55. 청구항 41에 있어서,
    상기 원자로 안전 시스템으로부터의 상기 복수의 입력들을 수신하고 상기 안전 조치를 논리적으로 결정하는 수단은 특정 ESF 구성요소에 대한 ESFAS 작동을 독립적으로 결정하는, 원자로 보호 장치.
  56. 청구항 41에 있어서,
    상기 원자로 안전 시스템으로부터의 상기 복수의 입력들을 수신하고 상기 안전 조치를 논리적으로 결정하는 수단은 복수의 안전 기능 모듈들을 포함하는, 원자로 보호 장치.
  57. 청구항 41에 있어서,
    상기 원자로 안전 시스템으로부터의 상기 복수의 입력들을 수신하고 상기 안전 조치를 논리적으로 결정하는 수단은 복수의 통신 모듈들을 포함하는, 원자로 보호 장치.
  58. 청구항 41에 있어서,
    상기 원자로 안전 시스템으로부터의 상기 복수의 입력들을 수신하고 상기 안전 조치를 논리적으로 결정하는 수단은 복수의 장비 인터페이스 모듈들을 포함하는, 원자로 보호 장치.
  59. 청구항 41에 있어서,
    상기 원자로 안전 시스템으로부터의 상기 복수의 입력들을 수신하고 상기 안전 조치를 논리적으로 결정하는 수단은 단일-층 투표 방식(single-tier voting scheme)으로 반응기 트립을 논리적으로 결정하는, 원자로 보호 장치.
  60. 청구항 41에 있어서,
    상기 원자로 안전 시스템으로부터의 상기 복수의 입력들을 수신하고 상기 안전 조치를 논리적으로 결정하는 수단은 다수-층 투표 방식(multiple-tier voting scheme)으로 반응기 트립을 논리적으로 결정하는, 원자로 보호 장치.
  61. 청구항 60에 있어서,
    상기 다수-층 투표 방식은 2-층 투표 방식을 포함하는, 원자로 보호 장치.
  62. 청구항 61에 있어서,
    상기 2-층 투표 방식의 제1 층은 다수결 투표 방식을 포함하는, 원자로 보호 장치.
  63. 청구항 62에 있어서,
    상기 다수결 투표 방식은 3개 중 2개 투표 방식을 포함하는, 원자로 보호 장치.
  64. 청구항 61에 있어서,
    상기 2-층 투표 방식의 제2 층은 비-다수결 투표 방식을 포함하는, 원자로 보호 장치.
  65. 청구항 64에 있어서,
    상기 제2 층은 4개 중 2개 투표 방식을 포함하는, 원자로 보호 장치.
KR1020167017646A 2013-12-31 2014-12-23 원자로 보호 시스템들 및 방법들 KR102364973B1 (ko)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US201361922625P 2013-12-31 2013-12-31
US61/922,625 2013-12-31
US14/198,891 US11017907B2 (en) 2013-12-31 2014-03-06 Nuclear reactor protection systems and methods
US14/198,891 2014-03-06
PCT/US2014/072224 WO2015112304A2 (en) 2013-12-31 2014-12-23 Nuclear reactor protection systems and methods

Publications (2)

Publication Number Publication Date
KR20160104627A true KR20160104627A (ko) 2016-09-05
KR102364973B1 KR102364973B1 (ko) 2022-02-18

Family

ID=53682109

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020167017646A KR102364973B1 (ko) 2013-12-31 2014-12-23 원자로 보호 시스템들 및 방법들

Country Status (8)

Country Link
US (3) US11017907B2 (ko)
EP (1) EP3090433B1 (ko)
JP (4) JP2017501419A (ko)
KR (1) KR102364973B1 (ko)
CN (1) CN106165020B (ko)
CA (2) CA3144136A1 (ko)
PL (1) PL3090433T3 (ko)
WO (1) WO2015112304A2 (ko)

Families Citing this family (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11017907B2 (en) 2013-12-31 2021-05-25 Nuscale Power, Llc Nuclear reactor protection systems and methods
US9997265B2 (en) * 2015-03-27 2018-06-12 Mitsubishi Electric Power Products, Inc. Safety system for a nuclear power plant and method for operating the same
WO2017079950A1 (zh) * 2015-11-12 2017-05-18 中广核工程有限公司 一种核电站多样性驱动系统及方法和多样性保护系统
WO2017101031A1 (zh) * 2015-12-15 2017-06-22 中广核工程有限公司 核电站反应堆保护系统及其中的安全控制方法
KR101736405B1 (ko) * 2016-03-31 2017-05-16 한국전력기술 주식회사 원자력 발전소의 설계를 위한 시스템 및 방법
KR101797078B1 (ko) * 2016-07-15 2017-11-13 두산중공업 주식회사 원자로노심보호계통 유지보수 시뮬레이션 장치 및 시스템
EP3563391B1 (en) * 2016-12-30 2023-07-05 NuScale Power, LLC Nuclear reactor protection systems and methods
FR3063855B1 (fr) * 2017-03-08 2019-04-12 Areva Np Circuit logique programmable de commande d'une installation electrique, en particulier une installation nucleaire, dispositif et procede de commande associes
CN107132837B (zh) * 2017-04-24 2019-07-23 中广核工程有限公司 一种核电站数字化反应堆保护系统的测试方法及系统
CN109429116A (zh) * 2017-08-28 2019-03-05 广东核电合营有限公司 基于核电监测的冗余热备系统
CN108665990A (zh) * 2018-04-26 2018-10-16 中国核动力研究设计院 一种可靠停运反应堆冷却剂泵的装置及方法
CN108711459B (zh) * 2018-05-30 2020-12-11 中国原子能科学研究院 一种用于快堆的多样化保护装置
CN109240245A (zh) * 2018-10-25 2019-01-18 中国船舶重工集团公司第七〇九研究所 一种核动力装置综合控制系统数字化体系架构
CN110444305B (zh) * 2019-08-13 2022-09-13 中国核动力研究设计院 一种优化的数字化反应堆保护系统
US11289893B2 (en) * 2019-12-18 2022-03-29 Semiconductor Components Industries, Llc Devices, systems and methods for avoiding fault propagation in safety systems
US11946972B2 (en) 2020-08-06 2024-04-02 Semiconductor Components Industries, Llc Monitoring of interconnect lines
CN114647939B (zh) * 2022-03-23 2023-09-19 中国核动力研究设计院 一种船用核动力装置多样化保护参数的选取方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20080013153A (ko) * 2006-08-07 2008-02-13 삼창기업 주식회사 디지털 원자로 보호 시스템
KR20090054837A (ko) * 2007-11-27 2009-06-01 한국원자력연구원 삼중화된 bp와 cp 및 2/3 논리의 개시회로 구조를 갖는디지털 원자로 보호계통 및 그 구동 방법
KR20100044544A (ko) * 2008-10-22 2010-04-30 한국전력기술 주식회사 Fpga를 이용한 발전소 보호 시스템 및 보호 방법

Family Cites Families (60)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US3597939A (en) 1969-06-25 1971-08-10 Atomic Energy Commission Control assembly for a nuclear reactor including an offset coupling
US4661310A (en) * 1983-10-27 1987-04-28 Westinghouse Electric Corp Pulsed multichannel protection system with saturable core magnetic logic units
US4783307A (en) 1987-03-05 1988-11-08 Commonwealth Edison Company Reactor control system verification
JPS63290989A (ja) 1987-05-22 1988-11-28 Hitachi Ltd 制御棒駆動機構
CZ293613B6 (cs) 1992-01-17 2004-06-16 Westinghouse Electric Corporation Způsob monitorování chodu zařízení pomocí CPU
JPH07174890A (ja) 1993-12-17 1995-07-14 Toshiba Corp プラント制御装置
US5621776A (en) 1995-07-14 1997-04-15 General Electric Company Fault-tolerant reactor protection system
JPH10506476A (ja) 1995-07-14 1998-06-23 ゼネラル・エレクトリック・カンパニイ 原子炉保護系
JPH0944203A (ja) * 1995-07-26 1997-02-14 Hitachi Ltd 冗長化制御システム
JP3567038B2 (ja) 1995-12-27 2004-09-15 株式会社東芝 原子炉出力監視装置
US5892440A (en) 1997-05-14 1999-04-06 Combustion Engineering Inc. Alarm significance mapping
JPH10104385A (ja) 1996-10-01 1998-04-24 Hitachi Ltd プラント内伝送器の監視方法及びシステム
US6049578A (en) 1997-06-06 2000-04-11 Abb Combustion Engineering Nuclear Power, Inc. Digital plant protection system
US6292523B1 (en) 1997-06-06 2001-09-18 Westinghouse Electric Company Llc Digital engineered safety features actuation system
JP3595661B2 (ja) 1997-09-19 2004-12-02 株式会社東芝 原子力プラントの安全保護系制御装置
US5820475A (en) 1997-10-30 1998-10-13 Luna; Antonio A. Compact golf ball teeing machine
CN1145975C (zh) 1998-02-19 2004-04-14 Abb燃烧工程核力公司 泵选择逻辑
WO2000036492A2 (en) 1998-12-18 2000-06-22 Triconex Corporation Method and apparatus for processing control using a multiple redundant processor control system
US6369836B1 (en) 1998-12-23 2002-04-09 Triconex Cause effect diagram program
CN1144236C (zh) 1999-08-19 2004-03-31 东芝株式会社 控制棒操作监控系统的试验方法及试验装置
JP2001142503A (ja) 1999-11-16 2001-05-25 Mitsubishi Heavy Ind Ltd 多重化装置
US7328189B2 (en) 2000-01-26 2008-02-05 Paybyclick Corporation Method and apparatus for conducting electronic commerce transactions using electronic tokens
US6532550B1 (en) 2000-02-10 2003-03-11 Westinghouse Electric Company Llc Process protection system
US8121941B2 (en) 2000-03-07 2012-02-21 American Express Travel Related Services Company, Inc. System and method for automatic reconciliation of transaction account spend
US6418178B1 (en) 2001-04-16 2002-07-09 General Electric Company Control rod coupling assembly for a nuclear reactor
US20030149576A1 (en) 2001-04-19 2003-08-07 Sunyich Steven L. Personalized smart room
KR100408493B1 (ko) 2001-05-07 2003-12-06 한국전력기술 주식회사 소프트웨어 공통유형고장을 자체 배제한 디지털원자로 보호시스템 및 그 제어방법
US7102343B1 (en) 2003-03-31 2006-09-05 Invensys Systems, Inc. Methods and systems having multiple cooperating transformers
JP4568143B2 (ja) 2005-02-28 2010-10-27 株式会社東芝 安全系装置の検証方法およびその検証方法で検証された安全系装置
US7558292B2 (en) 2005-08-19 2009-07-07 Invensys Systems, Inc. Redundant time synchronization
US7840285B2 (en) 2005-10-28 2010-11-23 Invensys Systems, Inc. Sequence of events recorder facility for an industrial process control environment
KR100850484B1 (ko) * 2006-11-28 2008-08-05 한국원자력연구원 디지털 원자로 보호계통의 트립설정치 조절 방법 및 장치
KR20090000054A (ko) 2006-12-20 2009-01-07 (주) 호미인터랙티브 동영상 게시 중계 서비스 제공 방법
GB0704753D0 (en) 2007-03-13 2007-04-18 Airbus Uk Ltd Preparation of a component for use in a joint
US8117512B2 (en) 2008-02-06 2012-02-14 Westinghouse Electric Company Llc Failure detection and mitigation in logic circuits
US7870299B1 (en) 2008-02-06 2011-01-11 Westinghouse Electric Co Llc Advanced logic system
JP2010249559A (ja) 2009-04-13 2010-11-04 Toshiba Corp デジタル安全保護系システム
US8776066B2 (en) 2009-11-30 2014-07-08 International Business Machines Corporation Managing task execution on accelerators
WO2011085314A1 (en) 2010-01-08 2011-07-14 Gallagher Kevin N Guest check presenter having a wireless communication device
US20110178863A1 (en) 2010-01-19 2011-07-21 Daigle Mark R Location based consumer interface for retail environment
US8730004B2 (en) 2010-01-29 2014-05-20 Assa Abloy Hospitality, Inc. Method and system for permitting remote check-in and coordinating access control
US20110302504A1 (en) 2010-06-08 2011-12-08 Santosh Khare Mobile Application for Proximity Based Awareness System
CA2707373A1 (en) 2010-06-14 2011-12-14 Ievgenii Bakhmach Platform and method to implement safety critical instrumentation and control (i&c) functions
US20110313580A1 (en) 2010-06-17 2011-12-22 Levgenii Bakhmach Method and platform to implement safety critical systems
US8331855B2 (en) 2010-07-12 2012-12-11 Invensys Systems, Inc. Methods and apparatus for process control with improved communication links
US9095002B2 (en) 2010-07-12 2015-07-28 Invensys Systems, Inc. Methods and apparatus for process control with improved communication links
JP5675208B2 (ja) * 2010-08-06 2015-02-25 三菱重工業株式会社 原子力施設の制御システム
KR101022606B1 (ko) * 2010-09-28 2011-03-16 (주) 코아네트 원자력 발전소의 디지털 신호 전자제어 처리를 위한 장치 및 방법
US8565735B2 (en) 2010-10-29 2013-10-22 Jeffrey L. Wohlwend System and method for supporting mobile unit connectivity to venue specific servers
US8498900B1 (en) 2011-07-25 2013-07-30 Dash Software, LLC Bar or restaurant check-in and payment systems and methods of their operation
DE102011108802B4 (de) 2011-07-29 2013-02-21 Areva Np Gmbh Verbindung zwischen Steuerstabführungsrohr und Antriebsgehäuserohr eines Kernreaktors
CN102426863B (zh) 2011-10-31 2015-12-16 中广核工程有限公司 核电站反应堆停堆信号传输系统和方法
JP5583153B2 (ja) 2012-01-26 2014-09-03 株式会社東芝 液面レベル検知装置及び方法
US9031892B2 (en) 2012-04-19 2015-05-12 Invensys Systems, Inc. Real time safety management system and method
US20130304578A1 (en) 2012-05-08 2013-11-14 24/7 Customer, Inc. Method and apparatus for enhanced in-store retail experience using location awareness
WO2014025700A2 (en) 2012-08-06 2014-02-13 Holtec International, Inc. Fail-safe control rod drive system for nuclear reactor
CN104091558B (zh) 2013-04-01 2017-03-01 香港理工大学 Led显示面板的驱动方法及系统
JP6139341B2 (ja) 2013-09-04 2017-05-31 三菱電機株式会社 安全系表示システム
US11017907B2 (en) 2013-12-31 2021-05-25 Nuscale Power, Llc Nuclear reactor protection systems and methods
FR3063855B1 (fr) * 2017-03-08 2019-04-12 Areva Np Circuit logique programmable de commande d'une installation electrique, en particulier une installation nucleaire, dispositif et procede de commande associes

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20080013153A (ko) * 2006-08-07 2008-02-13 삼창기업 주식회사 디지털 원자로 보호 시스템
KR20090054837A (ko) * 2007-11-27 2009-06-01 한국원자력연구원 삼중화된 bp와 cp 및 2/3 논리의 개시회로 구조를 갖는디지털 원자로 보호계통 및 그 구동 방법
KR20100044544A (ko) * 2008-10-22 2010-04-30 한국전력기술 주식회사 Fpga를 이용한 발전소 보호 시스템 및 보호 방법

Also Published As

Publication number Publication date
EP3090433A2 (en) 2016-11-09
CN106165020B (zh) 2019-01-22
US11728051B2 (en) 2023-08-15
JP7482205B2 (ja) 2024-05-13
US11017907B2 (en) 2021-05-25
CA2927946A1 (en) 2015-07-30
JP2017501419A (ja) 2017-01-12
CN106165020A (zh) 2016-11-23
JP2020034575A (ja) 2020-03-05
US20230290527A1 (en) 2023-09-14
CA2927946C (en) 2023-01-24
JP2023040088A (ja) 2023-03-22
WO2015112304A3 (en) 2015-10-29
EP3090433B1 (en) 2020-03-11
PL3090433T3 (pl) 2020-08-24
US20200343009A1 (en) 2020-10-29
CA3144136A1 (en) 2015-07-30
KR102364973B1 (ko) 2022-02-18
JP2021156899A (ja) 2021-10-07
WO2015112304A2 (en) 2015-07-30
EP3090433A4 (en) 2016-12-14
JP6899884B2 (ja) 2021-07-07
JP7203154B2 (ja) 2023-01-12
US20210210225A1 (en) 2021-07-08

Similar Documents

Publication Publication Date Title
JP7203154B2 (ja) 原子炉保護システムとこれを動作させる方法
US11961625B2 (en) Nuclear reactor protection systems and methods
KR100931136B1 (ko) 삼중화된 bp와 cp 및 2/3 논리의 개시회로 구조를 갖는디지털 원자로 보호계통 및 그 구동 방법
CN107484430A (zh) 一种用于核电厂的安全系统及其操作方法
KR101199625B1 (ko) 원자력 발전소의 디지털 신호 전자제어 처리를 위한 장치 및 방법
Yastrebenetsky et al. NPP I&C Systems: General Provisions
Moutrey et al. Sizewell B power station primary protection system design application overview
O'Brien et al. Protection systems
Stute The German standard KTA 3501 Reactor Protection System and the Monitoring of Engineered Safeguards: Interface with regulatory requirements, high lights, differences to IAEA SG-D 3, Safety Guide on Protection Systems in nuclear power plants

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E90F Notification of reason for final refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant