KR20190109428A - 핵 반응기 보호 시스템 및 방법 - Google Patents

Abstract

핵 반응기 보호 시스템은, 복수의 기능적 독립 모듈들 - 상기 기능적 독립 모듈들 각각은 핵 반응기 안전 시스템으로부터 복수의 입력들을 수신하도록 구성되고, 상기 복수의 입력들에 적어도 부분적으로 기초하여 안전 동작을 논리적으로 결정하도록 구성되며, 상기 기능적 독립 모듈들 각각은 디지털 모듈 또는 디지털 및 아날로그 조합 모듈을 포함함 -; 상기 기능적 독립 모듈들 중 하나 이상의 기능적 독립 모듈들에 전기적으로 연결된 아날로그 모듈; 및 상기 복수의 입력들에 적어도 부분적으로 기초하여 안전 동작 결정을 수신하도록 상기 복수의 기능적 독립 모듈들에 통신 가능하게 연결된 하나 이상의 핵 반응기 안전 액추에이터들; 을 포함한다.

Description

핵 반응기 보호 시스템 및 방법

관련 출원에 대한 상호 참조

본원은 미국 특허법 제119조 하에서 2016년 12월 30일자 출원된 미국 임시특허출원 제62/440,989호에 대한 우선권을 주장하며 상기 미국 임시특허출원의 전체 내용은 인용에 의해 이로써 본원에 보완된다.

기술적 배경

본 개시내용은 핵 반응기 보호 시스템 및 그 관련 방법을 설명한다.

핵 반응기 보호 시스템 그리고 일반적으로는 핵 반응기 계측 및 제어(instrumentation and control; I&C) 시스템은 결함 상황(default condition)의 결과를 완화하기 위해 자동 개시 신호, 자동 및 수동 제어 신호, 및 모니터링 디스플레이를 제공한다. 예를 들어, I&C 시스템은 정상 상태 및 과도 전력 작동 중에 안전하지 않은 핵 반응기 작동에 대한 보호기능을 제공한다. 정상 작동 중에 I&C 시스템은 다양한 매개변수를 측정하고 신호들을 제어 시스템에 전송한다. 비정상적인 작동 및 사고 상황 동안, I&C 시스템은 핵 반응기 보호 시스템에 신호들을 전송하고 경우에 따라서는 핵 반응기 보호 시스템의 반응기 트립 시스템(reactor trip system; RTS) 그리고 공학적 안전 시설 발동 시스템(engineered safety features actuation system; ESFAS)으로 하여금 사전에 결정된 세트 포인트들에 기초하여 보호 조치를 개시하게 한다.

일반적인 구현 예에서, 핵 반응기 보호 시스템은 복수의 기능적 독립 모듈들 - 상기 기능적 독립 모듈들 각각은 핵 반응기 안전 시스템으로부터 복수의 입력들을 수신하도록 구성되고, 상기 복수의 입력들에 적어도 부분적으로 기초하여 안전 동작을 논리적으로 결정하도록 구성되며, 상기 기능적 독립 모듈들 각각은 디지털 모듈 또는 디지털 및 아날로그 조합 모듈을 포함함 -; 상기 기능적 독립 모듈들 중 하나 이상의 기능적 독립 모듈들에 전기적으로 연결된 아날로그 모듈; 및 상기 복수의 입력들에 적어도 부분적으로 기초하여 안전 동작 결정을 수신하도록 상기 복수의 기능적 독립 모듈들에 통신 가능하게 연결된 하나 이상의 핵 반응기 안전 액추에이터들;을 포함한다.

상기 일반적인 구현 예와 결합 가능한 제1 실시형태에서, 상기 아날로그 모듈에 대한 입력의 활성화는 상기 기능적 독립 모듈들 중 적어도 하나의 기능적 독립 모듈의 하나 이상의 작동들에 우선한다.

전술한 실시형태들 중 어느 한 실시형태와 결합 가능한 제2 실시형태에서, 상기 아날로그 모듈은 아날로그 회로 구성요소들만을 포함한다.

전술한 실시형태들 중 어느 한 실시형태와 결합 가능한 제3 실시형태에서, 상기 아날로그 모듈에 대한 적어도 하나의 입력은 수동 오버라이드(manual override) 입력이며 상기 아날로그 모듈은 상기 수동 오버라이드 입력의 활성화 시에 상기 기능적 독립 모듈들 중 적어도 하나의 기능적 독립 모듈의 디지털 작동에 우선하도록 구성된다.

전술한 실시형태들 중 어느 한 실시형태와 결합 가능한 제4 실시형태에서, 상기 아날로그 모듈에 대한 적어도 하나의 입력은 수동 바이패스(manual bypass) 입력이고 상기 아날로그 모듈은 상기 수동 바이패스 입력의 활성화 시에 상기 기능적 독립 모듈들 중 적어도 하나의 기능적 독립 모듈의 디지털 작동을 바이패스하도록 구성된다.

전술한 실시형태들 중 어느 한 실시형태와 결합 가능한 제5 실시형태에서, 상기 아날로그 모듈에 대한 적어도 하나의 입력은 수동 작동 입력이고, 상기 아날로그 모듈은 상기 수동 작동 입력의 활성화 시에 상기 기능적 독립 모듈들 중 적어도 하나의 기능적 독립 모듈의 디지털 작동을 발동시키도록 구성된다.

전술한 실시형태들 중 어느 한 실시형태와 결합 가능한 제6 실시형태에서, 상기 아날로그 모듈로부터의 하나 이상의 출력들은 상기 핵 반응기 보호 시스템의 백플레인을 통해 복수의 기능적 독립 모듈들에 입력으로서 공급된다.

전술한 실시형태들 중 어느 한 실시형태와 결합 가능한 제7 실시형태에서, 상기 아날로그 모듈은 제1 아날로그 모듈이고, 상기 핵 반응기 보호 시스템은 제2 아날로그 모듈, 공학적 안전 시설 발동 시스템(ESFAS) - 상기 복수의 기능적 독립 모듈들의 제1 서브세트는 복수의 ESFAS 입력들을 수신하고 상기 ESFAS 입력들에 적어도 부분적으로 기초하여 ESFAS 구성요소 발동을 논리적으로 결정하며, 그리고 상기 제1 아날로그 모듈은 상기 복수의 기능적 독립 모듈들의 제1 서브세트의 기능적 독립 모듈들에 전기적으로 연결됨 -, 및 반응기 트립 시스템(RTS)을 포함하며, 상기 복수의 기능적 독립 모듈들의 제2 서브세트는 복수의 RTS 입력들을 수신하고 상기 RTS 입력들에 적어도 부분적으로 기초하여 RTS 구성요소 발동을 논리적으로 결정하며, 상기 제2 아날로그 모듈은 상기 복수의 기능적 독립 모듈들의 제2 서브세트의 기능적 독립 모듈들에 전기적으로 연결된다.

전술한 실시형태들 중 어느 한 실시형태와 결합 가능한 제8 실시형태에서, 상기 복수의 기능적 독립 모듈들 각각은 상기 복수의 기능적 독립 모듈들 중 임의의 다른 모듈로의 단일 고장 전파에 대한 보호기능을 제공한다.

전술한 실시형태들 중 어느 한 실시형태와 결합 가능한 제9 실시형태에서, 상기 핵 반응기 안전 시스템은 공학적 안전 시설 발동 시스템(ESFAS)을 포함하고, 상기 복수의 기능적 독립 모듈들은 복수의 ESFAS 입력들을 수신하고 상기 ESFAS 입력들에 적어도 부분적으로 기초하여 ESFAS 구성요소 발동을 논리적으로 결정한다.

전술한 실시형태들 중 어느 한 실시형태와 결합 가능한 제10 실시형태에서, 상기 복수의 기능적 독립 모듈들은 용장(冗長) ESFAS 투표 구분(voting division)들을 제공한다.

전술한 실시형태들 중 어느 한 실시형태와 결합 가능한 제11 실시형태에서, 상기 핵 반응기 안전 시스템은 반응기 트립 시스템(RTS)을 포함하고, 상기 복수의 기능적 독립 모듈들은 복수의 RTS 입력들을 수신하고 상기 RTS 입력들에 적어도 부분적으로 기초하여 RTS 구성요소 발동을 논리적으로 결정한다.

전술한 실시형태들 중 어느 한 실시형태와 결합 가능한 제12 실시형태에서, 상기 복수의 기능적 독립 모듈들은 용장 RTS 투표 구분들을 제공한다.

전술한 실시형태들 중 어느 한 실시형태와 결합 가능한 제13 실시형태에서, 상기 아날로그 모듈은 비-안전 관련 신호들을 아날로그 전압 레벨로 변환하고 상기 아날로그 전압 레벨을 섀시 백플레인을 통해 연관된 기능 모듈로 전달함으로써 안전 관련 시스템들로부터 비-안전 관련 신호들을 전기적으로 분리시킨다.

전술한 실시형태들 중 어느 한 실시형태와 결합 가능한 제14 실시형태에서, 상기 기능적 독립 모듈들 중 적어도 하나의 기능적 독립 모듈은 상기 아날로그 모듈로부터의 적어도 하나의 고정 배선 아날로그 입력 신호를 포함하는 장비 인터페이스 모듈(equipment interface module; EIM)을 포함한다.

전술한 실시형태들 중 어느 한 실시형태와 결합 가능한 제15 실시형태에서, 상기 EIM은 적어도 하나의 디지털 입력 신호에 대해 상기 적어도 하나의 고정 배선 아날로그 입력 신호를 우선시하는 발동 및 우선순위 로직(actuation and priority logic; APL) 회로를 포함한다.

전술한 실시형태들 중 어느 한 실시형태와 결합 가능한 제16 실시형태에서, 상기 적어도 하나의 디지털 신호는 안전 관련 신호이며, 상기 APL 회로는 상기 고정 배선 아날로그 신호에 비해 상기 디지털 신호를 우선시한다.

전술한 실시형태들 중 어느 한 실시형태와 결합 가능한 제17 실시형태에서, 상기 적어도 하나의 고정 배선 아날로그 입력 신호는 수동 발동 스위치로부터의 안전 관련 신호이고, 상기 APL 회로는 상기 디지털 신호에 비해 상기 고정 배선 아날로그 신호를 우선시한다.

전술한 실시형태들 중 어느 한 실시형태와 결합 가능한 제18 실시형태에서, 상기 적어도 하나의 고정 배선 아날로그 입력 신호는 반응기 트립 신호이다.

전술한 실시형태들 중 어느 한 실시형태와 결합 가능한 제19 실시형태에서, 상기 적어도 하나의 고정 배선 아날로그 입력 신호는 수동 발동 스위치로부터 생성되고 비-안전 관련 제어 신호이며 상기 APL 회로는 상기 고정 배선 아날로그 입력 신호에 비해 상기 디지털 신호를 우선시한다.

본 개시내용에 따른 다른 한 일반적인 구현 예에서, 핵 반응기 보호 시스템은 복수의 기능적 독립 모듈들 - 상기 복수의 기능적 독립 모듈들 각각은 핵 반응기 안전 시스템으로부터 복수의 입력들을 수신하고, 그리고 상기 복수의 입력들에 적어도 부분적으로 기초하여 안전 동작을 논리적으로 결정하도록 구성되며, 상기 복수의 기능적 독립 모듈들은 2-단(tier) 투표 방식으로 상기 안전 동작을 논리적으로 결정하고, 상기 2-단 투표 방식의 제1 투표 단은 비-다수 투표 방식을 포함하며, 상기 2-단 투표 방식의 제2 투표 단은 다수 투표 방식을 포함함 -, 및 상기 복수의 입력들에 적어도 부분적으로 기초하여 상기 안전 동작 결정을 수신하도록 상기 복수의 기능적 독립 모듈들에 통신 가능하게 연결된 하나 이상의 핵 반응기 안전 액추에이터들을 포함한다.

일반적인 구현 예와 결합 가능한 제1 실시형태에서, 상기 제1 투표 단은 복수의 용장 신호 채널들로부터의 트립 신호들을 평가하고, 각각의 트립 신호는 반응기 매개변수와 관련되어 있으며, 상기 제2 투표 단은 복수의 용장 제1 단 채널들로부터의 투표 결과들을 평가한다.

전술한 실시형태들 중 어느 한 실시형태와 결합 가능한 제2 실시형태에서, 상기 제1 투표 단은 반응기 트립 시스템(RTS)으로부터의 트립 신호들을 평가한다.

전술한 실시형태들 중 어느 한 실시형태와 결합 가능한 제3 실시형태에서, 상기 제1 투표 단은 공학적 안전 시설 발동 시스템(ESFAS)으로부터의 트립 신호들을 평가한다.

전술한 실시형태들 중 어느 한 실시형태와 결합 가능한 제4 실시형태에서, 상기 제1 투표 단은 4개 중 2개 투표 방식을 포함한다.

전술한 실시형태들 중 어느 한 실시형태와 결합 가능한 제5 실시형태에서, 상기 제2 투표 단은 3개 중 2개 투표 방식을 포함한다.

전술한 실시형태들 중 어느 한 실시형태와 결합 가능한 제6 실시형태에서, 상기 핵 반응기 안전 시스템은 공학적 안전 시설 발동 시스템(ESFAS)을 포함하고, 상기 복수의 기능적 독립 모듈들은 복수의 ESFAS 입력들을 수신하고 상기 ESFAS 입력들에 적어도 부분적으로 기초하여 ESFAS 구성요소 발동을 논리적으로 결정한다.

전술한 실시형태들 중 어느 한 실시형태와 결합 가능한 제7 실시형태에서, 상기 복수의 기능적 독립 모듈들은 용장 ESFAS 투표 구분들을 제공한다.

전술한 실시형태들 중 어느 한 실시형태와 결합 가능한 제8 실시형태에서, 상기 핵 반응기 안전 시스템은 반응기 트립 시스템(RTS)을 포함하고, 상기 복수의 기능적 독립 모듈들은 복수의 RTS 입력들을 수신하고 상기 RTS 입력들에 적어도 부분적으로 기초하여 RTS 구성요소 발동을 논리적으로 결정한다.

전술한 실시형태들 중 어느 한 실시형태와 결합 가능한 제9 실시형태에서, 상기 복수의 기능적 독립 모듈들은 용장 RTS 투표 구분들을 제공한다.

전술한 실시형태들 중 어느 한 실시형태와 결합 가능한 제10 실시형태에서, 상기 핵 반응기 안전 시스템은 비-안전 관련 고신뢰 DC 전력 시스템(EDSS) 전력 공급원에서부터 상기 기능적 독립 모듈들 중 적어도 하나에 이르기까지의 분리 및 전력 모니터링을 제공하는 클래스 IE 구성요소를 포함한다.

본 개시내용에 따른 또 다른 한 일반적인 구현 예에서, 핵 반응기 트립을 결정하는 방법은 공학적 안전 시설 발동 시스템(ESFAS) 또는 반응기 트립 시스템(RTS) 중 하나로부터 핵 반응기 보호 시스템의 복수의 기능적 독립 모듈들에서의 복수의 입력들을 수신하는 단계, 상기 복수의 기능적 독립 모듈들을 통해, ESFAS 안전 동작 또는 반응기 트립 조건 중 하나를 2-단 투표 시스템에 의해 논리적으로 결정하는 단계; 상기 2-단 투표 시스템의 제1 단에 의해 상기 제1 단에 대한 입력들 개수 중 적어도 절반이 상기 ESFAS 안전 동작 또는 반응기 트립 조건을 나타냄을 결정하는 단계, 상기 2-단 투표 시스템의 제2 단에 의해 상기 제2 단에 대한 입력들의 개수 중 적어도 다수가 상기 ESFAS 안전 동작 또는 반응기 트립 조건을 나타냄을 결정하는 단계, 및 논리적인 결정에 기초하여, 상기 복수의 기능적 독립 모듈들에 통신 가능하게 연결된 반응기 트립 브레이커 또는 FAS 구성요소 액추에이터 중 하나를 활성화하는 단계를 포함한다.

일반적인 구현 예와 결합 가능한 제1 실시형태에서, 상기 제1 투표 단은 복수의 용장 신호 채널들로부터의 트립 신호들을 평가하고, 각각의 트립 신호는 반응기 매개변수와 관련되며, 상기 제2 단은 복수의 용장 제1 단 채널로부터의 투표 결과들을 평가한다.

전술한 실시형태들 중 어느 한 실시형태와 결합 가능한 제2 실시형태에서, 상기 제1 투표 단은 4개 중 2개 투표 방식을 포함한다.

전술한 실시형태들 중 어느 한 실시형태와 결합 가능한 제3 실시형태에서, 상기 제2 투표 단은 3개 중 2개 투표 방식을 포함한다.

전술한 실시형태들 중 어느 한 실시형태와 결합 가능한 제4 실시형태에서, 본 방법은 상기 복수의 기능적 독립 모듈들 중 하나를 통해, 상기 복수의 기능적 독립 모듈들 중 임의의 다른 모듈에 대한 단일 고장 전파를 제한하는 단계를 더 포함한다.

전술한 실시형태들 중 어느 한 실시형태와 결합 가능한 제5 실시형태에서, 단일 고장은 단일 하드웨어 고장, 단일 소프트웨어 고장 또는 단일 소프트웨어 전개 논리 고장 중 적어도 하나를 포함한다.

전술한 실시형태들 중 어느 한 실시형태와 결합 가능한 제6 실시형태에서, 상기 복수의 기능적 독립 모듈들을 통해, 상기 입력들에 적어도 부분적으로 기초하여 ESFAS 안전 동작 또는 반응기 트립 결정 중 하나를 논리적으로 결정하는 단계는, 상기 복수의 기능적 독립 모듈들을 통해, 3중 용장 신호 경로를 거쳐 상기 ESFAS 안전 동작 또는 반응기 트립 결정을 논리적으로 결정하는 단계를 포함한다.

전술한 실시형태들 중 어느 한 실시형태와 결합 가능한 제7 실시형태에서, 상기 복수의 기능적 독립 모듈들을 통해, 상기 입력들에 적어도 부분적으로 기초하여 ESFAS 안전 동작 또는 반응기 트립 결정 중 하나를 논리적으로 결정하는 단계는, 상기 복수의 기능적 독립 모듈들을 통해, 반응기 트립 구성요소당 독립 트립 투표 모듈들을 거쳐 상기 ESFAS 안전 동작 또는 반응기 트립 결정을 논리적으로 결정하는 단계를 포함한다.

전술한 실시형태들 중 어느 한 실시형태와 결합 가능한 제8 실시형태에서, 상기 복수의 기능적 독립 모듈들은 복수의 안전 기능 모듈들, 복수의 통신 모듈들 및 복수의 장비 인터페이스 모듈들을 포함한다.

본 개시내용의 또 다른 한 구현 예에서, 핵 반응기 보호 시스템용 디스플레이 시스템은 디지털 디스플레이 패널 및 상기 디지털 디스플레이 패널에 연결된 디스플레이 인터페이스 모듈을 포함하며, 상기 디스플레이 인터페이스 모듈은 핵 반응기 모듈 보호 시스템(module protection system; MPS)으로부터 입력 데이터를 수신하고 상기 입력 데이터의 그래픽 표현을 생성하며 그리고 상기 디지털 디스플레이 패널의 개별 픽셀들을 구동하여 상기 그래픽 표현을 디스플레이하도록 구성된다. 상기 디스플레이 시스템은 상기 디지털 디스플레이 패널 및 상기 디스플레이 인터페이스 모듈 양자 모두에 연결된 제1 전력 공급원 및 상기 디지털 디스플레이 패널 및 상기 디스플레이 인터페이스 모듈 양자 모두에 연결된 제2 전력 공급원을 더 포함하며, 상기 제2 전력 공급원은 상기 제1 전력 공급원으로부터 독립되어 있다.

상기 일반적인 구현 예와 결합 가능한 제1 실시형태에서, 상기 디스플레이 시스템은 제2 디지털 디스플레이 패널 및 상기 제2 디지털 디스플레이 패널에 연결된 제2 디스플레이 인터페이스 모듈을 포함하고, 상기 제2 디스플레이 인터페이스 모듈은 동일한 핵 반응기 MPS로부터 입력 데이터를 수신하고, 상기 입력 데이터의 그래픽 표현을 생성하며 상기 제2 디지털 디스플레이 패널의 개별 픽셀들을 구동하여 상기 그래픽 표현을 디스플레이하도록 구성된다.

전술한 실시형태들 중 어느 한 실시형태와 결합 가능한 제2 실시형태에서, 상기 디스플레이 인터페이스 모듈은 필드 프로그래머블 로직 어레이(field programmable logic array; FPGA)를 포함한다.

전술한 실시형태들 중 어느 한 실시형태와 결합 가능한 제3 실시형태에서, 상기 디스플레이 인터페이스 모듈은 제1 필드 프로그래머블 로직 어레이(FPGA)를 포함하고, 상기 제2 디스플레이 인터페이스 모듈은 제2 FPGA를 포함하며, 상기 제2 FPGA는 설계의 다양성을 제공하기 위해 제1 FPGA와는 상이한 유형의 FPGA이다.

전술한 실시형태들 중 어느 한 실시형태와 결합 가능한 제4 실시형태에서, 상기 디스플레이 인터페이스 모듈 및 상기 제2 디스플레이 인터페이스 모듈은 기능적으로 독립적이다.

본 개시내용의 또 다른 한 구현 예에서, 핵 반응기 보호 시스템용 디스플레이 시스템은 제1쌍의 디스플레이 장치들을 포함하며, 상기 제1쌍의 디스플레이 장치들에서의 각각의 디스플레이 장치는 디지털 디스플레이 패널 및 상기 디지털 디스플레이 패널에 연결된 디스플레이 인터페이스 모듈을 포함한다. 상기 디스플레이 인터페이스 모듈은, 핵 반응기 모듈에 연관된 핵 반응기 모듈 보호 시스템(MPS)으로부터 제1 입력 데이터를 수신하도록 구성되고, 상기 제1 입력 데이터의 그래픽 표현을 생성하도록 구성되며, 그리고 상기 디지털 디스플레이 패널의 개별 픽셀들을 구동하여 상기 그래픽 표현을 디스플레이하도록 구성된다. 상기 핵 반응기 보호 시스템용 디스플레이 시스템은 제2쌍의 디스플레이 장치들을 포함하고, 상기 제2쌍의 디스플레이 장치들에서의 각각의 디스플레이 장치는 디지털 디스플레이 패널, 및 상기 디지털 디스플레이 패널에 연결된 디스플레이 인터페이스 모듈을 포함한다. 상기 디스플레이 인터페이스 모듈은, 핵 반응기 모듈에 연관된 핵 반응기 모듈 보호 시스템(MPS)으로부터 제2 입력 데이터를 수신하도록 구성되고, 상기 제2 입력 데이터의 그래픽 표현을 생성하도록 구성되며, 그리고 상기 디지털 디스플레이 패널의 개별 픽셀들을 구동하여 상기 그래픽 표현을 디스플레이하도록 구성된다.

일반적인 구현 예와 결합 가능한 제1 실시형태에서, 상기 제1쌍의 디스플레이 장치들에서의 디스플레이 장치들 각각은 설계의 다양성을 제공하도록 상이한 유형의 필드 프로그래머블 게이트 어레이(FPGA)이다.

전술한 실시형태들 중 어느 한 실시형태와 결합 가능한 제2 실시형태에서, 상기 제1쌍의 디스플레이 장치들의 디스플레이 인터페이스 모듈들은 서로 기능적으로 독립적이다.

전술한 실시형태들 중 어느 한 실시형태와 결합 가능한 제3 실시형태에서, 상기 제1쌍의 디스플레이 장치들에서의 디스플레이 장치들 각각의 디스플레이 인터페이스 모듈은 상기 제1쌍의 디스플레이 장치들 내에서 설계의 다양성을 제공하도록 상이한 유형의 필드 프로그래머블 게이트 어레이(FPGA)를 포함하며, 상기 제2쌍의 디스플레이 장치들에서의 디스플레이 장치들 각각의 디스플레이 인터페이스 모듈은 상기 제2쌍의 디스플레이 장치들 내에서 설계의 다양성을 제공하도록 상이한 유형의 FPGA를 포함한다.

전술한 실시형태들 중 어느 한 실시형태와 결합 가능한 제4 실시형태에서, 상기 제1쌍의 디스플레이 장치들의 디스플레이 인터페이스 모듈들은 서로 기능적으로 독립적이며, 상기 제2쌍의 디스플레이 장치들의 디스플레이 인터페이스 모듈들은 서로 기능적으로 독립적이다.

전술한 실시형태들 중 어느 한 실시형태와 결합 가능한 제5 실시형태에서, 상기 제1쌍의 디스플레이 장치들에서의 디스플레이 장치들 각각의 디스플레이 인터페이스 모듈은 상기 제1 입력 데이터를 수신하도록 상기 제1 핵 반응기 모듈의 모듈 보호 시스템(MPS) 게이트웨이에 연결되어 있으며, 상기 제2쌍의 디스플레이 장치들에서의 디스플레이 장치들 각각의 디스플레이 인터페이스 모듈은 상기 제2 입력 데이터를 수신하도록 상기 제2 핵 반응기 모듈의 MPS 게이트웨이에 연결되어 있다.

또 다른 한 일반적인 구현 예에서, 핵 반응기 보호 시스템 데이터를 표시하는 방법은 디스플레이 장치에서 핵 반응기 모듈 보호 시스템(MPS)으로부터 핵 반응기 전력 모듈에 연관된 데이터를 수신하는 단계 - 상기 디스플레이 장치는 디지털 디스플레이 패널 및 상기 디지털 디스플레이 패널에 연결된 디스플레이 인터페이스 모듈을 포함함 -; 상기 핵 반응기 전력 모듈에 연관된 데이터의 그래픽 표현을 생성하는 단계; 및 상기 디지털 디스플레이 패널의 개별 픽셀들을 구동하여 상기 핵 반응기 전력 모듈에 연관된 데이터의 그래픽 표현을 디스플레이하는 단계;를 포함한다.

상기 일반적인 구현 예와 결합 가능한 제1 실시형태는 제1 전력 공급원을 통해 상기 디지털 디스플레이 패널 및 상기 디스플레이 인터페이스 모듈에 전력을 공급하는 단계를 더 포함한다.

전술한 실시형태들 중 어느 한 실시형태와 결합 가능한 제2 실시형태는 상기 제1 전원 공급원으로부터 독립적인 제2 전력 공급원을 통해 상기 디지털 디스플레이 패널 및 상기 디스플레이 인터페이스 모듈에 전력을 공급하는 단계를 더 포함한다.

전술한 실시형태들 중 어느 한 실시형태와 결합 가능한 제3 실시형태에서, 상기 제2 전력 공급원은 상기 제1 전력 공급원과 전기적으로 독립적이다.

전술한 실시형태들 중 어느 한 실시형태와 결합 가능한 제4 실시형태에서, 상기 디스플레이 인터페이스 모듈은 필드 프로그래머블 로직 어레이(FPGA)를 포함한다.

전술한 실시형태들 중 어느 한 실시형태와 결합 가능한 제5 실시형태에서, 상기 디스플레이 장치는 제1 디스플레이 장치이고, 상기 디스플레이 인터페이스 모듈은 제1 디스플레이 인터페이스 모듈이며, 상기 디지털 디스플레이 패널은 제1 디지털 디스플레이 모듈이다.

전술한 실시형태들 중 어느 한 실시형태와 결합 가능한 제6 실시형태는 제2 디스플레이 장치에서 상기 핵 반응기 모듈 보호 시스템(MPS)으로부터 상기 핵 반응기 전력 모듈에 연관된 데이터를 수신하는 단계 - 상기 제2 디스플레이 장치는 제2 디지털 디스플레이 패널 및 상기 제2 디지털 디스플레이 패널에 연결된 제2 디스플레이 인터페이스 모듈을 포함함 -; 상기 핵 반응기 전력 모듈에 연관된 데이터의 제2 그래픽 표현을 생성하는 단계; 및 상기 제2 디지털 디스플레이 패널의 개별 픽셀들을 구동하여 상기 핵 반응기 전력 모듈에 연관된 데이터의 제2 그래픽 표현을 디스플레이하는 단계;를 더 포함한다.

전술한 실시형태들 중 어느 한 실시형태와 결합 가능한 제7 실시형태에서, 상기 제1 및 제2 디스플레이 장치들은 기능적으로 독립적이다.

전술한 실시형태들 중 어느 한 실시형태와 결합 가능한 제8 실시형태에서, 상기 제1 디스플레이 인터페이스 모듈은 제1 FPGA 유형의 제1 FPGA를 포함하고, 상기 제2 디스플레이 인터페이스 모듈은 제2 FPGA 유형의 제2 FPGA를 포함한다.

전술한 실시형태들 중 어느 한 실시형태와 결합 가능한 제9 실시형태에서, 상기 제1 FPGA 유형 및 상기 제2 FPGA 유형은 상이하다.

본 개시내용에 따른 핵 반응기 보호 시스템의 다양한 구현 예는 다음 특징들 중 하나, 일부 또는 전부를 포함할 수 있다. 예를 들어, 상기 반응기 보호 시스템은 상기 시스템에서 안전 기능을 무력화할 수 있고 그리고/또는 비활성화할 수 있는 소프트웨어 또는 소프트웨어 전개 논리 에러들에 의한 공통-원인 고장(common-cause failures; CCF)을 완화할 수 있다. 다른 한 예로서, 상기 반응기 보호 시스템은 독립성, 용장성, 결정론, 다층 다양성, 테스트 가능성 및 진단을 포함한 핵심 속성들을 통합할 수 있다. 상기 반응기 보호 시스템은 핵 반응기가 안전한 조건으로 유지되는 것을 보장할 수 있다. 다른 일 예로서, 상기 반응기 보호 시스템은 특정 기능에 전용된 개별 로직 엔진들에서 구현되는 기능을 지니는 대칭 아키텍처를 통해 단순성이 증가 될 수 있다. 또 다른 한 예로서, 상기 반응기 보호 시스템은 간단한 결정론적 프로토콜에 기초하여 상기 아키텍처 내에서의 통신을 용이하게 할 수 있고 용장 경로들을 통해 통신 가능하다. 다른 한 예로서, 상기 반응기 보호 시스템은 디지털 보호 시스템에 우선하여 수동 제어되는 보호 동작들을 허용하도록 고정 배선 아날로그 시그널링을 채용할 수 있다.

본 명세서에 기재되어 있는 주제의 하나 이상의 구현 예들의 세부사항은 첨부도면들 및 이하의 내용에 기재되어 있다. 상기 주제의 다른 특징들, 실시형태들 및 장점들은 구체적인 내용, 도면들 및 청구범위로부터 명백해질 것이다.

도 1은 다중 원자력 시스템 및 계측 및 제어(I&C) 시스템을 포함하는 시스템의 대표적인 구현 예의 블록도이다.
도 2a 및 도 2b는 원자력 시스템용 I&C 시스템의 모듈 보호 시스템(MPS)의 블록도들이다.
도 3a는 원자력 시스템용 I&C 시스템의 MPS의 트립 결정 블록의 블록도이다.
도 3b는 원자력 시스템용 I&C 시스템의 MPS의 공학적 안전 시설 발동 시스템(ESFAS)의 블록도이다.
도 4a 및 도 4b는 I&C 시스템이 의도된 안전 기능(들)을 수행할 수 있음을 보장하는 MPS 내의 소프트웨어 또는 소프트웨어 논리에 기초한 공통-원인 고장을 완화시키는 다층 다이버시티 전략을 예시하는 대표적인 차트들을 보여주는 도면들이다.
도 5는 원자력 시스템용 I&C 시스템의 MPS의 안전 기능 모듈(SFM)의 블록도이다.
도 6은 원자력 시스템용 I&C 시스템의 MPS의 통신 모듈(CM)의 블록도이다.
도 7은 원자력 시스템용 I&C 시스템의 MPS의 장비 인터페이스 모듈(EIM)의 블록도이다.
도 8은 하나 이상의 SFM, EIM 및 CM을 통신 가능하게 결합하는 반응기 보호 시스템의 섀시의 대표적인 실시 예를 보여주는 도면이다.
도 9a - 도 9c는 SFM, CM 및 EIM 중 하나 이상을 이용하는 트립 결정-, RTS- 및 ESFAS-레벨 상호연결들의 블록도들이다.
도 10은 원자력 시스템용 I&C 시스템의 MPS에 대한 다이버시티 분석 다이어그램이다.
도 11은 MPS 블록들을 4개의 방어 에첼론으로 분리하는 예의 블록도이다.
도 12는 원자력 시스템의 MPS 안전 아키텍처의 다른 한 구현 예의 개략도이다.
도 13은 MPS의 분리 그룹 통신 아키텍처의 대표적인 구현 예의 개략도이다.
도 14는 대표적인 분리 그룹 및 구분 반응기 트립 시스템(RTS) 및 ESFAS 통신 아키텍처의 개략도이다.
도 15는 EIM의 대표적인 구현 예의 개략도이다.
도 16은 MPS 게이트웨이의 대표적인 구현 예의 개략도이다.
도 17은 원자력 발전소 보호 시스템의 블록도이다.
도 18은 MPS의 안전성 디스플레이 및 표시 시스템의 대표적인 구현 예의 개략도이다.
도 19는 MPS의 안전성 디스플레이 및 표시 허브의 대표적인 구현 예의 개략도이다.
도 20은 MPS의 디스플레이 시스템의 대표적인 구현 예의 블록도이다.
도 21은 SFM의 다른 한 대표적인 구현 예의 개략도이다.
도 22는 MPS의 모니터링 및 표시(MIB) 통신 모듈의 대표적인 구현 예의 개략도이다.
도 23은 MPS의 스케줄링 및 바이패스 모듈(SBM)의 대표적인 구현 예의 개략도이다.
도 24는 MPS의 스케줄링 및 투표 모듈(SVM)의 대표적인 구현 예의 개략도이다.
도 25는 MPS의 장비 인터페이스 모듈(EIM)의 대표적인 구현 예의 개략도이다.
도 26은 MPS의 고정 배선 모듈(HWM)의 블록도이다.
도 27은 대표적인 원자력 시스템 반응기용 반응기 트립 기능들의 표를 보여주는 도면이다.
도 28a - 도 28c는 대표적인 ESFAS 기능들의 표를 보여주는 도면이다.
도 29는 대표적인 PPS에 의해 모니터링되는 대표적인 변수들의 표를 보여주는 도면이다.
도 30a - 도 30c는 대표적인 MPS 인터록들, 허용들, 및 우선 적용들의 표를 보여주는 도면들이다.

도 1은 다중 원자력 시스템(150) 및 핵 계측 및 제어(I&C) 시스템(135)을 포함하는 시스템(100)의 대표적인 구현 예를 보여준다. 일반적으로, 상기 I&C 시스템(135)은 상기 시스템(100)에서 결함 조건들의 결과들을 방지 또는 완화하도록 자동 개시 신호, 자동 및 수동 제어 신호, 및 모니터링 및 표시 디스플레이를 제공한다. 상기 I&C 시스템(135)은 정상 상태 및 과도 전력 작동 동안 정상적인 반응기 제어 및 상기 원자력 시스템(150)의 안전하지 않은 반응기 작동에 대한 보호를 제공한다. 정상 작동 중에, 계측은 다양한 프로세스 매개변수를 측정하고 신호들을 I&C 시스템(135)의 제어 시스템으로 전송한다. 비정상 작동 및 사고 조건 동안, 상기 계측은 사전에 결정된 세트 포인트들에 기초하여 보호 동작들을 개시하도록 상기 I&C 시스템(135)의 일부(예컨대, 모듈 보호 시스템(MPS)(145)의 일부인 반응기 트립 시스템(RTS)(147) 및 (예컨대, 사고의 결과를 완화하기 위한) 공학적 안전 시설 발동 시스템(ESFAS)(148))에 신호들을 전송한다.

도 1에서, 상기 시스템(100)은 I&C 시스템(135)에 전기적으로 연결된 다중 원자력 시스템(150)을 포함한다. 단지 3개의 원자력 시스템(150)이 본 예에 도시되어 있지만, 상기 시스템(100) 내에 포함되거나 상기 시스템(100)에 연결되는 시스템(150)이 그보다 적거나 많이(예컨대, 6, 9, 12 또는 기타) 있을 수 있다. 한 바람직한 구현 예에서, 시스템(100) 내에 12개의 원자력 시스템(150)이 있을 수 있으며, 상기 원자력 시스템들(150) 중 하나 또는 그 이상이 이하에서 부연 설명되겠지만 모듈형 경수로를 포함한다.

각각의 원자력 시스템(150)에 관해서는 명시적으로 도시되지는 않았지만, 핵 반응기 코어는 열을 제공할 수 있으며, 이 열은 (예컨대, 끓는 물 반응기에서와 같은) 1차 냉각제 루프에서나 또는 (예컨대, 가압 경수로에서와 같은) 2차 냉각 루프에서 물을 끓이는데 이용된다. 증기와 같은 기화된 냉각제는 열 포텐셜 에너지를 전기 에너지로 변환시키는 하나 이상의 터빈들을 구동하는데 사용될 수 있다. 응축 후 냉각제는 핵 반응기 코어로부터 더 많은 열 에너지를 다시 제거하기 위해 반환된다. 원자력 시스템(150)은 임의의 시스템 내 고장들에 연관된 위험들을 최소화하기 위해 모니터링 및 보호 기능들을 필요로 하는 임의의 시스템의 일 예이다.

각각의 핵 반응기 시스템(150)의 대표적인 특정 실시 예에서, 반응기 코어는 실린더-형 또는 캡슐-형 반응기 용기의 바닥 부분에 위치된다. 반응기 코어는 아마도 수년 또는 그 이상의 기간에 걸쳐 일어날 수 있는 통제된 반응을 일으키는 핵분열성 물질의 양을 포함한다. 도 1에는 명시적으로 도시되어 있지는 않았지만, 제어봉은 반응기 코어 내에서 핵분열 속도를 제어하는데 채용될 수 있다. 제어봉은 은, 인듐, 카드뮴, 붕소, 코발트, 하프늄, 디스프로슘, 가돌리늄, 사마륨, 에르븀 및 유로퓸 또는 이들의 합금 및 화합물을 포함할 수 있다. 그러나 이들은 단지 많은 가능한 제어봉 물질 중 일부에 지나지 않는다. 수동형 작동 방식으로 설계된 핵 반응기의 경우, 핵 반응기의 안전 운전이 정상 작동 중에나 또는 심지어 적어도 사전에 정의된 기간 동안 운영자의 개입이나 감독 없이 비상 조건에서도 유지되는 것을 보장하기 위해 물리 법칙이 채용된다.

구현 예들에서, 원통형 또는 캡슐형 격납 용기가 반응기 용기를 둘러싸고, 반응기 저장조 내에서, 예를 들어, 흘수선 아래의 반응기 풀에 부분적으로 또는 완전히 잠기게 된다. 반응기 용기 및 격납 용기 간의 부피는 반응기 용기로부터 반응기 풀로의 열 전달을 감소시키도록 부분적으로 또는 완전히 배출될 수 있다. 그러나 다른 구현 예들에서, 반응기 용기 및 격납 용기 사이의 부피는 반응기 용기 및 격납 용기 간의 열 전달을 증가시키는 기체 및/또는 액체로 적어도 부분적으로 채워질 수 있다. 격납 용기는 반응기 저장조의 베이스 측 스커트(skirt)에 얹혀 있을 수 있다.

특정 구현 예에서, 반응기 코어는 물과 같은 액체 내에 잠겨지고, 이는 붕소 또는 다른 첨가제를 포함할 수 있으며, 상기 반응기 코어의 표면과 접촉한 후에 채널로 상승한다. 냉각제는 열교환기 상단으로 이동하고 반응기 용기의 내벽을 따라 대류에 의해 하향으로 끌어 내려져서 냉각제가 열교환기에 열을 전달할 수 있게 한다. 반응기 용기의 바닥 부분에 도달한 후, 반응기 코어와의 접촉은 채널을 통해 다시 상승하는 냉각제를 가열하게 된다.

반응기 용기 내 열 교환기는 채널의 적어도 일부분을 둘러싸는 임의의 수의 나선형 코일들을 나타낼 수 있다. 다른 한 구현 예에서, 상이한 수의 나선형 코일들이 반대 방향으로 채널을 둘러쌀 수 있으며, 여기서 예를 들어, 제1 나선형 코일은 반시계방향으로 나선형으로 감싸고, 제2 나선형 코일은 시계방향으로 나선형으로 감싼다. 그러나 다르게 구성된 열교환기 및/또는 다르게 배향된 열교환기의 사용을 방해하는 것이 없으며, 이러한 측면에서 구현 예들이 제한되지 않는다.

도 1에서, 핵 반응기 모듈의 정상 작동은 가열된 냉각제가 채널을 통해 상승하여 열교환기와 접촉하는 방식으로 진행된다. 열 교환기와 접촉한 후에, 냉각제는 열 사이포닝(thermal siphoning) 프로세스를 유도하는 방식으로 상기 반응기 용기의 바닥쪽으로 가라앉는다. 도 1의 예에서는, 상기 반응기 용기 내 냉각제는 대기압 이상의 압력으로 유지되어, 냉각제가 기화(예컨대, 비등(沸騰)) 없이 고온을 유지하는 것을 허용한다.

열 교환기 내 냉각제의 온도가 상승함에 따라, 냉각제가 비등하기 시작할 수 있다. 열 교환기 내의 냉각제가 비등하기 시작함에 따라 증기와 같은 기화된 냉각제가 증기의 열 포텐셜 에너지를 전기 에너지로 변환시키는 하나 이상의 터빈들을 구동하는데 사용될 수 있다. 응축 후, 냉각제는 열교환기 베이스 근처의 위치로 되돌아가게 된다.

도 1의 원자력 시스템(150)의 정상 작동 동안, 상기 원자력 시스템의 다양한 성능 매개변수들은 상기 원자력 시스템(150) 내 여러 위치에 배치된 센서들, 예컨대 I&C 시스템(135)에 의해 모니터링될 수 있다. 상기 원자력 시스템 내 센서들은 시스템 온도, 시스템 압력, 1차 및/또는 2차 냉각제 레벨, 및 중성자 플럭스를 측정할 수 있다. 이러한 측정들을 나타내는 신호들은 상기 I&C 시스템(135)의 인터페이스 패널에 대한 통신채널을 통해 원자력 시스템 외부에 보고될 수 있다.

도시된 I&C 시스템(135)은 일반적으로 주 제어실(140), 모듈(또는 반응기) 보호 시스템(MPS)(145) 및 비-안전 모듈 제어 시스템(MCS; 155)을 포함한다. 상기 주 제어실(140)은 각각의 원자력 시스템(150)에 대한 한 세트의 제어들 및 표시들(141)을 포함한다. 각각의 세트의 제어들 및 표시들(141)은 수동 IE 제어(142), IE 표시기(143) 및 비-IE 제어 및 표시기(144)를 포함한다. 일부 실시형태들에서, "IE"는 핵 규제 위원회 규정 지침 1.32에 의해 승인된 IEEE Std. 308-2001, section 3.7 하에서의 IE 방식을 정의하는 것들과 같은 규정 요구사항들을 언급할 수 있는데, 이는 비상 핵 반응기 셧다운, 격납 분리, 핵 반응기 코어 냉각 및 격납 및 반응기 열 제거에 필수적이거나, 그와는 달리 환경 내로의 방사성 재료의 현저한 방출을 방지하는데 필수적인 전기 장비 및 시스템의 안전 등급을 정의한다. 통상적으로, 특정 제어 및 표시기는 "IE" 자격이 갖추어져 있을 수 있지만(예컨대, 수동 IE 제어(142) 및 IE 표시기(143)), 다른 제어 및 표시기는 "IE" 자격이 갖추어져 있지 않을 수 있다(예컨대, 비-IE 제어 및 표시기(144)).

비-IE 제어 및 표시기(144)는 MCS(155)와 양방향 통신한다. MCS(155)는 원자력 시스템(150)의 비-안전 부분의 제어 및 모니터링을 제공할 수 있다. 일반적으로, 상기 MCS(155)는 과도현상을 제한하여 유닛 트립을 방지하고 다른 작동들 중에서 정상 상태 유닛 작동을 재설정한다.

MPS(145)는 도 1에 도시된 바와 같이 수동 IE 제어(142) 및 IE 표시기(143)와 각각 단방향 통신한다. MPS(145)는 일반적으로 설계 기준 이벤트들의 결과들을 완화하기 위한 안전 동작들을 개시한다. MPS(145)는 일반적으로 센서들에서부터 반응기 셧다운을 개시하는데 필요한 최종 발동 장치들(전원들, 센서들, 신호 조절기들, 개시 회로들, 로직, 바이패스들, 제어 보드들, 상호연결들 및 발동 장치들)에 이르는 모든 장비(하드웨어, 소프트웨어 및 펌웨어를 포함함)를 포함한다.

상기 MPS(145)는 상기 RTS(147) 및 상기 ESFAS(148)를 포함한다. 일부 실시형태들에서, 상기 RTS(147)는 반응기 트립을 생성하는데 이용될 수 있는 플랜트 매개변수들을 모니터링하도록 4개의 독립적인 분리 그룹(예컨대, 동일한 클래스-IE 전기 채널 지정을 지니는 프로세스 채널들의 물리적 그룹핑(A, B, C 또는 D))(여기에는 독립적인 분리 급전부들 및 프로세스 계측 송신기들이 구비되어 있고 이러한 그룹들 각각은 다른 그룹들과는 물리적으로 그리고 전기적으로 독립적임)을 독립적인 측정 채널들과 함께 포함한다. 각각의 측정 채널은 상기 매개변수가 사전에 결정된 세트 포인트를 초과할 때 트립(trip)된다. 상기 RTS(147)의 일치 로직은 어떠한 단일 고장도 필요시 반응기 트립을 방지할 수 없도록 설계될 수 있으며, 단일 측정 채널에서의 고장도 불필요한 반응기 트립을 발생시킬 수 없도록 설계될 수 있다.

ESFAS(148)는 일부 실시형태들에서, 공학적 안전 시설(ESF) 장비의 작동을 활성화 시키는데 이용될 수 있는 플랜트 매개변수를 모니터링하는 독립적인 측정 채널들과 함께 4개의 독립적인 분리 그룹을 포함한다. 각각의 측정 채널은 상기 매개변수가 사전에 결정된 세트 포인트를 초과하면 트립된다. ESFAS(148)의 일치 로직은 어떠한 단일 고장도 필요시 보호 장치 발동을 방지할 수 없도록 설계될 수 있으며, 단일 측정 채널에서의 어떠한 단일 고장도 불필요한 보호 장치 발동을 발생시킬 수 없도록 설계될 수 있다.

시스템(100)은 4개의 방어 에첼론, 예컨대 NUREG/CR-6303에 정의된 바와 같이, 반응기를 작동시키거나 반응기를 셧다운하여 반응기를 냉각시킬 목적으로 핵 반응기에 부착된 계측 및 제어 시스템들의 배치에 다중방호(多重防護) 원리의 특정 적용을 포함할 수 있다. 구체적으로, 4개의 에첼론은 제어 시스템, 반응기 트립 또는 스크램(scram) 시스템, ESFAS 및 모니터링 및 표시기 시스템(예컨대, 나머지 3개의 에첼론에 명목상으로 할당된 장비를 작동시키는데 필요한 클래스 IE 및 비-클래스 IE 수동 제어들 양자 모두, 모니터들, 및 표시기들을 포함하는 가장 느리고 가장 유연한 방어 에첼론)이다.

제어 시스템인 에첼론은 전형적으로 안전하지 않은 작동 방식으로의 반응기 편위(reactor excursion)를 일상적으로 방지하는 MCS(155)(예컨대, 비-클래스 IE 수동 또는 자동 제어 장비)를 포함하며, 안전 전력 생산 작동 영역에서 반응기를 작동시키는데 일반적으로 사용된다. 표시기들, 고장 표시기들 및 경보 장치들은 상기 제어 시스템에 포함될 수 있다. 반응기 제어 시스템은 전형적으로 특정한 규칙들 및/또는 요구사항들, 예컨대 원격 셧다운 패널에 대한 요구사항을 만족시키기 위한 일부 장비를 포함한다. 상기 제어 시스템인 에첼론에 의해 수행되는 반응기 제어 기능들은 MCS(155)에 포함된다. 예를 들어, MCS(155)는 반응기 트립이나 ESF 발동의 필요성을 피하기 위해 시스템(100)을 작동 한계 내에서 유지하는 기능들을 포함한다.

반응기 트립 시스템인 에첼론은 전형적으로 제어되지 않은 편위에 반응하여 반응기 코어 반응성을 신속하게 감소시키도록 설계된 안전 장비와 같은 RTS(147)를 포함한다. 이러한 에첼론은 일반적으로 반응기 제어봉을 신속하고 완전하게 삽입하기 위한 잠재적 또는 실제적 편위들, 장비 및 프로세스들을 검출하기 위한 계측으로 이루어지며, 또한 특정 화학 중성자 조절 시스템(예컨대, 붕소 주입)을 포함할 수 있다. 도시된 바와 같이, 반응기 트립인 에첼론에 의해 수행되는 자동 반응기 트립 기능들은 MPS(145)(예컨대, RTS(147))에 포함된다.

ESFAS 에첼론은 일반적으로 MPS(145)의 일부인 ESFAS 모듈(148)을 포함한다. ESFAS 모듈(148)에서 구현되는 ESFAS 에첼론은 일반적으로 열을 제거하거나 그렇지 않으면 (핵 연료 봉 클래딩, 반응기 용기, 및 반응기 격납과 같은) 방사성 물질 방출에 대한 3가지 물리적 장벽의 무결성을 유지하는 것을 돕는 안전 장비를 포함한다. 이러한 에첼론은 ESF 장비가 작동하기 위해 필요한 다양한 지원 시스템(예컨대, 비상 발전기) 또는 장치(밸브, 모터, 펌프)의 비상용 반응기 냉각, 압력 릴리프 또는 감압, 분리 및 제어와 같은 기능들의 필요성을 검출하고 그러한 기능들을 수행한다.

모니터링 및 표시기 시스템인 에첼론은 전형적으로 주 제어실(140)을 포함하며, 일부 실시형태들에서 가장 느리고 또한 가장 유연한 방어 에첼론이다. 나머지 3개의 에첼론과 마찬가지로, 인간 운영자들(예컨대, 시스템(100)의 인간 운영자들)은 그들의 작업을 수행하기 위한 정확한 센서 정보에 의존하지만, 주어진 정보, 시간 및 수단은 예기치 않은 이벤트들에 반응하도록 사전에 특정되지 않은 논리 연산을 수행할 수 있다. 모니터링 및 표시 에첼론에는 (예컨대, 수동 IE 제어(142), IE 표시기(143) 및 비-IE 제어 및 표시기(144)를 통해) 나머지 3개의 에첼론에 명목상으로 할당되는 장비를 작동하는 데 필요한 클래스 IE 및 비-클래스 IE 수동 제어, 모니터 및 표시기가 포함된다. 상기 모니터링 및 표시기 시스템인 에첼론에 의해 요구되는 기능들은 주 제어실에서의 수동 제어, 디스플레이, 및 표시기에 의해 제공되며, 상기 주 제어실은 MCS(155) 및 MPS(145)로부터의 정보를 포함한다. 안전 모니터링, 수동 핵 반응기 트립 및 수동 ESF 작동 기능들은 MPS(145)에 포함된다. MCS(155)는 정상적인 플랜트 작동 중에 작동 한계를 유지하도록 비-안전 모니터링 및 수동 제어를 제공한다.

4개의 방어 에첼론을 포함하는 것 외에, 시스템(100)은 다수의 다양성 레벨을 포함한다. 특히, I&C 다양성은 가정된 플랜트 조건들에 대응하는 다양한 방법을 제공하도록 다른 기술, 로직 또는 알고리즘을 사용하여 변수들을 측정하거나 발동 수단을 제공하는 원리이다. 여기에는 중요한 이벤트를 검출하고 중요한 이벤트에 응답하는 여러 가지 방법을 제공하기 위해 다른 기술, 로직 또는 알고리즘, 또는 발동 수단을 사용하여 다른 매개변수들을 감지하는 계측 시스템의 원칙에 다양성이 적용된다. 다양성은 다중방호의 원리를 보완하며 필요할 때 특정 레벨이나 깊이의 방어가 발동되게 하는 기회를 증가시킨다. 일반적으로 다양성에는 6가지 특성, 다시 말하면 인간 다양성, 설계 다양성, 소프트웨어 다양성, 기능 다양성, 신호 다양성 및 장비 다양성이 있다. 본 개시내용에서 더 상세히 논의되겠지만, MPS(145)는 MPS(145)에서의 공통 원인 고장(예컨대, 하드웨어 아키텍처에 의해 달성되는 용장성을 무산시킬 수 있는 소프트웨어 에러 또는 소프트웨어-전개 로직에 의한 고장)의 결과들을 완화하도록 다양성의 6가지 특성을 통합할 수 있다.

일반적으로, 인간 다양성은 시스템 전개 라이프-사이클(예컨대, 실수, 오해, 에러, 구성 고장) 전반에 걸친 인간 유발 결함을 처리하는 것에 관련되며, 라이프-사이클 프로세스의 실행에 있어서의 차이를 특징으로 한다.

일반적으로, 설계 다양성은 동일하거나 유사한 문제를 해결하기 위해 소프트웨어 및 하드웨어를 포함하는 상이한 접근법의 사용이다. 소프트웨어 다양성은 설계 다양성의 특수한 경우이며 잠재적 중요성 및 잠재적 결함으로 인해 별도로 언급된다. 설계 다양성의 이론적 근거는 서로 다른 설계가 서로 다른 고장 모드를 지니며 동일한 공통적인 영향을 받지 않는다는 것이다.

일반적으로, 소프트웨어 다양성은 예를 들어 반응기가 트립되어야 할 때를 결정하기 위해 2개의 개별적으로 설계된 프로그램을 사용하여 동일한 안전 목표를 달성하도록 상이한 핵심 인력을 지니는 상이한 소프트웨어 전개 그룹들에 의해 설계되고 구현되는 서로 다른 소프트웨어 프로그램의 사용이다.

일반적으로, 기능적 다양성은 중첩되는 안전 결과들을 지닐 수 있지만, 서로 다른 물리적 또는 논리적 기능들을 수행하는 2개의 시스템(예컨대, 시스템(100) 내 서브 시스템들)을 언급한다.

일반적으로, 신호 다양성은 나머지 매개변수들이 정확하게 검출되지 않더라도 서로 다른 프로세스 매개변수들 중 어느 한 매개변수가 비정상적인 조건을 독립적으로 나타낼 수 있는 보호 동작을 개시하기 위해 서로 다른 프로세스 매개변수들의 사용이다.

일반적으로, 장비 다양성은 유사한 안전 기능을 수행하기 위한 상이한 장비(예컨대, 설계 기준 이벤트에 대해 확립된 허용 가능한 한도 내에서 플랜트 매개변수들을 유지하는 데 필수적인 프로세스들 또는 조건들 중 하나. 이는 RTS 또는 ESF가 모든 필요한 보호 동작 또는 필요한 모든 보호 동작을 완료하는 보조 지원 특징, 또는 양자 모두를 완료함으로써 달성될 수 있음)의 사용이다. 이 경우, "서로 다른"은 공통 원인 고장에 대한 취약성을 현저하게 감소시키는 것과는 완전히 다르다는 것을 의미할 수 있다.

일부 실시형태들에서, MPS(145)는 연속적인(또는 부분적으로 연속적인) 자기 테스팅 및 주기적인 감시 테스팅의 조합을 통합할 수 있다. 이러한 테스트 전략은 모든 검출 가능한 고장들이 식별되어 (예컨대, 주 제어실(140)을 통해) 스테이션 요원에게 알려지게 된다. 자체 테스트 특징들은 시스템 상태가 지속적으로(또는 부분적으로) 모니터링되는 것을 보장하는 포괄적인 진단 시스템을 제공할 수 있다. 검출 가능한 모든 고장들은 스테이션 요원에게 알려지게 될 수 있으며 고장의 영향에 대한 표시는 상기 시스템의 전반적인 상태를 결정하는데 제공될 수 있다. 상기 자체 테스트 특징은 분리 그룹 및 구분 독립성을 유지한다. 상기 자체 테스트 특징은 시스템 무결성이 항상 유지되게 한다.

일부 실시형태들에서, MPS(145) 내 각각의 서브 모듈(이하에서 더 상세히 설명됨)은 상기 모듈 내 단일 고장을 검출하도록 설계된 높은 결함 검출 커버리지를 제공하는 자체 테스트 특징들을 포함할 수 있다. 이는 결함을 감지하는 데 필요한 시간을 최소화하여 안전 및 시스템 가용성에 이점을 제공할 수 있다. 시스템이 정상적으로 작동하는 동안 자체 테스트는 응답 시간과 같은 안전 기능의 성능에 영향을 미치지 않고 실행된다.

자체 테스트 특징들은 검출되지 않은 결함을 지니는 것을 회피하기 위해 활성 및 비활성 로직(예컨대, 안전 기능이 작동할 필요가 있을 때에만 활성화되는 로직)에서 대부분의 결함을 검출할 수 있다. 고장 검출 및 표시는 MPS 서브 모듈 레벨에서 발생하므로 플랜트 직원이 교체해야 하는 MPS 서브 모듈을 쉽게 식별할 수 있다.

주기적인 온-라인 감시 테스팅 기능이 모든 기능 테스트들 및 체크들, 캘리브레이션 검증 및 시간 응답 측정이 검증되게 하도록 통합될 수 있다.

MPS(145)에서의 자체 테스트 및 주기적인 감시 테스팅 특징들은 모든 플랜트 작동 모드들에 대해 수행될 안전 기능에 상응하는 가동중 테스트 가능성을 위해 설계될 수 있다. 상기 성능 자체 테스팅 및 감시 테스팅에는 임시 테스트 셋업이 필요하지 않다. 테스팅 특징은 시스템 설계에 내재되어 있을 수 있으며 안전 기능 로직 및 데이터 구조에 최소한의 복잡성을 추가한다. 바이패스 조건의 계속적인 표시는 (1) 플랜트의 정상 작동 중에 자체 테스팅으로 결함이 검출되거나 (2) 안전 기능의 일부가 바이패스되거나 고의적으로 테스팅에 대한 작동 불능 상태가 되는 경우에 이루어진다. 바이패스 조건이 제거되면 바이패스의 표시가 제거된다. 이렇게 하면 플랜트 요원이 바이 패스 안전 기능이 제대로 작동함을 확인할 수 있다.

MPS(145)에 대한 진단 데이터는 각각의 분리 그룹 및 구분에 대한 유지보수 워크스테이션(MWS)에 제공된다. MWS는 문제해결 활동을 용이하게 하기 위해 장비 가까이에 위치할 수 있다. MPS와 MWS 간의 인터페이스는 광학적으로 분리된 단방향 진단 인터페이스일 수 있다. 모든 진단 데이터는 물리적으로 분리된 통신 경로를 통해 전달될 수 있고, 그럼으로써 진단 기능이 안전 기능과 독립적임을 보장한다. 또한, 진단 데이터는 장기 보관을 위해 중앙 히스토리언(central historian)에 전송될 수 있다. 이는 시스템 작동에 대한 이력 분석을 수행하는 수단을 제공한다.

진단 시스템은 설치 모듈들의 리스트를 유지할 수 있다. 리스트들은 누락된 모듈 또는 잘못된 모듈이 설치되지 않도록 시스템에서 활성 상태인 설치 모듈과 지속적으로 비교할 수 있다.

모든 MPS 안전성 데이터 통신은 데이터 무결성을 향상시키기 위해 에러 검출과 함께 설계될 수 있다. 이 프로토콜 특징들은 전송 결함을 검출할 수 있는 능력으로 통신이 견고하고 신뢰 있게 한다. 유사한 데이터 무결성 특징들은 진단 데이터를 전송하는데 사용될 수 있다.

도 2a 및 도 2b는 원자력 시스템(150)을 위한 I&C 시스템의 모듈 보호 시스템(MPS)(200)의 블록도이다. 일부 구현 예들에서, MPS(200)는 도 1에 도시된 MPS(145)와 유사하거나 동일할 수 있다. 일반적으로, 도시된 MPS(200)는 센서 및 검출기의 4개의 분리 그룹(예컨대, 센서들(202a-202d)); 신호 컨디셔닝 및 신호 컨디셔너의 4개의 분리 그룹(예컨대, 신호 컨디셔너들(204a-204d)); 트립 결정의 4개의 분리 그룹(예컨대, 트립 결정들(208a-208d); RTS 투표 및 반응기 트립 브레이커의 2개의 구분(예컨대, 구분 I RTS 투표(214), 및 구분 II RTS 투표(216)); 및 공학적 안전 시설 발동 시스템(ESFAS) 투표 및 공학적 안전 시설(ESF) 장비의 2개의 구분(예컨대, 구분 I ESFAS 투표(212) 및 ESF 장비(224), 및 구분 II ESFAS 투표(218) 및 ESF 장비(226);를 포함한다.

일반적으로, 센서들(202a-202d)은 압력, 온도, 레벨 및 중성자 플럭스와 같은 상이한 프로세스 매개변수를 측정하는 것을 담당하는 프로세스 센서들을 포함한다. 따라서, 원자력 시스템(150)의 각각의 프로세스 매개변수는 상이한 센서를 사용하여 측정되고 상이한 로직 엔진에 의해 실행되는 상이한 알고리즘들에 의해 처리된다. 일부 실시형태들에서 중성자 플럭스 센서들은 셧다운 조건에서부터 가동 중단 상태에서 최대 전력의 120%에 이르기까지 반응기 코어로부터 중성자 플럭스를 측정한다. 소스 범위, 중간 범위 및 전력 범위를 포함하는 3가지 유형의 중성자 플럭스 검출기가 MPS(200)에서 사용될 수 있다.

일반적으로, 신호 컨디셔너들(204a-204d)은 센서들(202a-202d)로부터 측정치를 수신하고, 측정치를 처리하며, 출력들(206a-206d)을 제공한다. 일부 실시형태들에서, 신호 컨디셔너들(204a-204d)에 대한 센서들(202a-202d)의 상호접속들은 구리선 또는 일부 다른 신호 전송 방법에 전용일 수 있다.

신호 컨디셔너들(204a-204d) 각각은 센서들(202a-202d)로부터의 필드 입력들을 컨디셔닝, 측정, 필터링, 및 샘플링하는 것을 담당하는 도 3a에 도시된 바와 같은, 다수의 입력 모듈(270a-270n)(예컨대, 센서 입력들의 수에 따라 임의의 수의 모듈들을 나타냄)로 구성될 수 있다. 각각의 입력 모듈(270a-270n)은 24V 또는 48V 디지털 입력들, 4-20mA 아날로그 입력들, 0-10V 아날로그 입력들, 저항 열 검출기 입력들 또는 열전쌍 입력들과 같은 특정 입력 유형에 전용될 수 있다.

각각의 입력 모듈(270a-270n)은 아날로그 회로 및 디지털 회로로 구성될 수 있다. 아날로그 회로는 아날로그 전압 또는 전류를 디지털 표현으로 변환하는 것을 담당한다. 이는 또한 신호 컨디셔닝 회로로서 언급된다. 각각의 입력 모듈(270a-270n)의 디지털 부분은 로직 엔진 내에 위치할 수 있다. 로직 엔진은 모든 입력 모듈 제어, 샘플 및 홀드 필터링, 무결성 체크, 자체 테스팅 및 디지털 필터링 기능을 수행한다. 센서 출력의 디지털 표현은 일부 예들에서 직렬 인터페이스를 사용하여 출력들(206a-206d)을 통해 신호 컨디셔너들(204a-204d)로부터 트립 결정(208a-208d)으로 전달된다.

또한, 도 3a를 참조하면, 트립 결정들(208a-208d)은 일반적으로 전술한 바와 같이 신호 컨디셔너들(204a-204d)로부터 직렬 인터페이스를 통해 디지털 포맷으로 센서 입력 값들을 수신한다. 트립 결정들(208a-208d)은 각각 독립적인 안전 기능 모듈들(SFM)(272a-272n)(도 5를 참조하여 더 상세하게 설명됨)로 구성되며, 이 경우에 특정 모듈은 한 세트의 안전 기능들을 구현한다(예컨대, 한 세트는 특정 프로세스 매개변수에 관련된 단일의 안전 기능 또는 다수의 안전 기능일 수 있음). 예를 들어, 한 세트의 안전 기능들은 동일한 압력 입력으로부터의 높고 낮은 트립과 같은 주요 변수에 관련된 기능들의 그룹으로 이루어질 수 있다. 각각의 SFM(272a-272n)은 한 세트의 안전 기능들을 구현하는데 전용된 고유 로직 엔진을 포함한다. 이는 각각의 세트의 안전 기능들의 게이트 레벨 구현이 다른 세트들의 안전 기능들과는 완전히 다른 결과를 초래한다.

센서 입력 값들(예를 들어, 출력들(206a-206d))은 결정론적 경로를 통해 전달될 수 있고 각각의 트립 결정들(208a-208d)의 특정 SFM(272a-272n)에 제공된다. 그런 다음 이러한 입력 값은 그러한 특정 SFM(272a-272n)에 관해 어떤 안전 기능 또는 한 세트의 안전 기능들이 구현되는지를 결정하도록 공학 단위로 변환될 수 있다. 트립 결정들(208a-208d)은 일부 실시 예들에서 분리된 전송 전용 광섬유 접속을 통해 제어 시스템에 이러한 공학 단위들을 제공한다.

각각의 트립 결정들(208a-208d) 내 SFM들은 필요하다면 사전에 결정된 세트 포인트에 기초하여 반응기 트립 결정을 하고, 분리된, 경우에 따라서는 3중화된 전송 전용 직렬 접속을 통해 각각의 RTS 구분(예컨대 구분 I 및 II 각각에서 RTS 투표(214, 216))에 트립 또는 무-트립 요구 신호를 제공한다. SFM들은 또한, 필요하다면 사전에 결정된 세트 포인트에 기초하여 ESFAS 발동 결정을 내리고, 분리된, 경우에 따라서는 3중화된 전송 전용 직렬 접속을 통해 각각의 ESFAS 구분(예컨대, 구분 I 및 II 각각에서 ESFAS 투표(212, 218))에 발동 또는 비-발동 요구 신호를 제공한다.

도 3a - 도 3b에 도시된 바와 같이, 예를 들어, 특정 트립 결정(208a)은 출력(274a)을 통해 ESFAS 투표(212)에 그리고 출력(274b)을 통해 ESFAS 투표(218)에 트립 또는 무-트립 요구 신호를 제공한다. 트립 결정(208a)은 출력(276a)을 통해 RTS 투표(214)에 및 출력(276b)을 통해 RTS 투표(216)에 트립 또는 무-트립 요구 신호를 제공한다. 이러한 출력들은 또한 트립 결정들(208a-208d) 각각으로부터의 출력들(210a-210d)로서 도 2a에 일반적으로 도시되어 있다.

도 3a에 더 도시된 바와 같이, 예를 들어, 특정 트립 결정(208a)은 비-IE 출력(280)뿐만 아니라 모니터링 및 지시(M&I) 출력들(278a, 278b)(구분당 하나)에 트립 또는 무-트립 요구 신호를 제공한다. 출력들(278a, 278b)은 비-안전 제어 기능들을 위해 MCS에 프로세스 정보를 제공한다. 출력(280)은 프로세스 정보 및 트립 상태 정보를 비-IE 제어 및 표시기(144)에 제공한다.

도 2a를 다시 참조하면, 각각의 RTS 구분(예컨대, 구분 I에 대한 RTS 투표(214) 및 분할 II에 대한 RTS 투표(216))은 분리된, 일부 실시형태들에서는 용장된(예컨대, 2중, 3중, 또는 기타) 수신 전용 직렬 접속들(210a-210d)을 통해 위에서 설명한 바와 같이 트립 결정들(208a-208d)로부터 입력들을 수신하다. 트립 입력들은 트립 결정들(208a-208d)로부터의 2 이상의 반응기 트립 입력들이 대응하는 구분에 연관된 (도 2b에 도시된) 8개 중 4개의 반응기 트립 브레이커들(RTB)에 대해 트립 코일들을 발동시키는 출력들(228a-228d 및 230a-230d)에 관한 자동 반응기 트립 출력 신호를 (각각의 구분에 대해 적절하게) 생성하도록 RTS 투표 로직에서 조합된다. 다시 말하면, 바꾸어 말하면, MPS(200)의 이러한 대표적인 구현 예에서, RTS 투표 로직은 "4개 중 2개"의 로직 상에서 작용하는데, 이것이 의미하는 것은, 4개 중 적어도 2개의 트립 결정이 반응기 "트립"이 필요함을 나타내는 경우에 트립 신호는 RTB(264a-264d 및 266a-266d) 각각에 전송된다. 이러한 브레이커 구성은 MPS(200)의 안전하고 간단한 온-라인 테스팅을 허용한다.

수동 트립(250a)은 (구분 I에 대한) RTB(266a-266d)의 직접 트립을 제공하고, 수동 트립(250b)은 (구분 II에 대한) RTB(264a-264d)의 직접 트립과 아울러, 자동 발동에 대한 입력 (구분 I에 대한) 수동 트립(234) 및 (구분 II에 대한) 수동 트립(236)을 제공하여 시퀀스가 유지되게 한다.

추가로 도시된 바와 같이, 각각의 RTB(264a-264d) 및 각각의 RTB(266a-266d)는 입력으로서 수동 트립(250a 또는 250b)을 포함한다. 따라서, 수동 트립들(250a, 250b) 양자 모두가 개시되면(예컨대, 분할 I 및 II에 대한 각각의 수동 트립), 전력 입력(260)은 입력들(230a-230d) 및 입력들(228a-228d)의 상태(예컨대, 트립 또는 무-트립)에 관계없이 전력 출력(262) 입력)에 전송되게 않게 된다.

대표적인 구현 예에서, ESFAS 투표 및 로직은 어떠한 단일 고장도 필요시 보호 장치 발동을 방지할 수 없도록 구성되고, 그리고 트립 결정 신호(예컨대, 210a-210d)에서의 어떠한 단일 고장도 불필요한 보호 장치 발동을 발생시킬 수 없도록 구성된다. ESFAS 시스템은 응급 코어 냉각 시스템 및 붕괴 열 제거 시스템과 같은 주요 시스템의 자동 및 수동 개시 양자 모두를 제공할 수 있다.

각각의 ESFAS 투표(212/218)는 분리된 3중화된 수신 전용 광섬유(또는 다른 통신 기법) 연결을 통해 트립 결정들(208a-208d)로부터 입력들(210a-210d)을 수신한다. 발동 로직 및 투표는 ESFAS 투표(212/218) 내에서 이루어진다. ESFAS 투표(212/218)에 의해 발동이 필요하다고 결정되면, ESFAS 투표(212/218)는 ESFAS 우선순위 로직(220/222)에 각각 작동 요구 신호를 보내 적절한 ESF 장비(224 및 226)을 발동시킨다.

도 2a - 도 2b 및 도 3a - 도 3B에서의 MPS(200)의 예시된 구현 예는 핵심 요소들 간에 고수준의 독립성을 보장한다. 이는 센서들 및 검출기들(202a-202d)의 4개의 분리 그룹, 트립 결정의 4개의 분리 그룹("a" 내지 "d"로 표시됨), RTS 214/216의 2개의 구분(설명한 바와 같은 구분 I 및 구분 II ), ESFAS 회로 212/218의 2개의 구분(설명한 바와 같은 구분 I 및 구획 II), 그리고 ESF 장비 224/226의 2개의 구분(설명한 바와 같은 구분 I 및 구분 II) 간의 독립성을 포함한다. (예컨대, 트립 결정들(208a-208d)에서의) SFM에 대한 입력들에 기초하여, MPS(200)는 4개의 분리 그룹들 각각 내에서 독립적으로 한 세트의 안전 기능들을 구현한다. 안전 기능 독립성은 센서들(202a-202d)에서부터 트립 결정 출력(210a-210d)에 이르기까지 유지된다. 이러한 구성은 일부 실시형태들에서 SFM 고장들을 해당 모듈의 입력들에 기초한 것들로 제한한다. 이러한 전략은 공통-원인 고장의 결과를 제한하고 신호의 다양성을 향상시키는 데 도움이 될 수 있다. 이러한 독립 방법은 독립적인 안전 기능들 내에서의 고장이 다른 안전 기능 모듈들 중 어느 하나로 전달되지 않게 할 수 있다. 또한, 고장이 난 SFM의 온라인 대체는 다른 모듈에 미치는 영향이 있다면 다른 모듈에 미치는 영향을 최소화하면서 고장이 수정될 수 있게 한다.

예시된 MPS(200) 내에서의 안전 기능 데이터의 통신은 3중 모듈화되고 독립적이며 광학적으로 분리된 단방향 통신 경로를 통해 전송 또는 수신된다. 이러한 통신 방식은 구분간(interdivisional) 투표와는 별도로, 안전 기능이 안전 기능을 수행하기 위해 구분 외부에서 발생하는 정보나 자원에 의존하지 않게 할 수 있다. 클래스 IE 구분들(예컨대, 구분 I 및 II) 간의 결함 전파는 구분 트립 신호들의 단방향 분리(예컨대, 광학 분리 또는 기타)에 의해 방지된다.

도 2a - 도 2b 및 도 3a - 도 3b에서의 MPS(200)의 도시된 구현 예는 예시된 아키텍처의 다수의 영역에 용장성을 더 포함한다. MPS(200) 내 용장성은 센서들 및 검출기들의 4개의 분리 그룹( "a" 내지 "d"로 표시됨), 트립 결정( "a" 내지 "d"로 표시됨) 및 RTS 및 ESFAS 회로의 2개의 구분(설명한 바와 같은 구분 I 및 구분 II)을 포함한다. 또한, MPS(200)은 4개 중 2개의 투표을 사용하고 그럼으로써 개시 신호의 단일 고장으로 인해 반응기 트립이나 ESF 장비 발동이 필요시 발생하지 않게 된다. 추가로, 개시 신호의 단일 고장으로 인해 위조 또는 부주의한 반응기 트립들이나 ESF 장비 발동이 발생하지 않게 된다.

MPS(200)는 또한 각각의 세트의 안전 기능들을 구현함으로써 기능 독립성을 포함하는데, 이는 특정 세트의 안전 기능들에 대한 고유 로직 엔진을 지니는 독립적인 SFM 상의 특정한 과도 이벤트를 완화하는데 사용된다.

일부 실시형태들에서, MPS(200)는 핵 반응기 시스템에 대해 간단하고, 신뢰성이 높고 안전한 설계를 실현하는 설계 기법을 구현한다. 예를 들어, MPS(200)는 4개의 분리 그룹 및 2개의 구분의 대칭 아키텍처에 기초하여 이루어질 수 있다. 4개의 분리 그룹들 각각은 기능적으로 나머지 그룹들과 동등할 수 있으며 2개의 구분 각각은 기능적으로 동등할 수 있다. 위에서 설명한 바와 같이, 4개 중 2개의 투표가 예시된 구현 예에서 유일한 투표 전략일 수 있다. 다른 한 예로서, MPS(200)의 로직은 특정 안전 기능 또는 안전 기능 그룹에 전용된 유한 상태 기계들(예컨대, 한정된 수의 상태 중 하나에 있을 수 있으며, 현재 상태라 불리는 특정 시점에서의 단지 하나의 상태만으로 되어 있지만, 상태 전이와 같은 트리거링 이벤트 또는 한 세트의 조건들에 의해 개시될 때 한 상태로부터 다른 한 상태로 변경 가능함)로 구현될 수 있다. 따라서 어떠한 커널이나 작동 방식이 필요하지 않다. 다른 일 예로서, MPS(200) 내 통신은 결정론적 프로토콜에 기초하여 이루어질 수 있고, 모든 안전 데이터는 용장 통신 경로를 통해 전달된다. 다른 한 예로서, MPS(200)의 다이버시티 속성은 완전히 다른 플랫폼들에 기초한 부가적인 시스템의 부가적인 복잡성 없이 상기 아키텍처에 내재하도록 설계될 수 있다.

예를 들어, 도 4a 및 도 4b는 각각 MPS(200) 내에서 구현된 다층 다이버시티 전략이 소프트웨어 또는 소프트웨어 로직 기반의 공통 원인 고장을 어떻게 완화하는지를 나타내는 대표적인 차트들(400, 450)을 보여준다. 차트들(400, 450)은 MPS(200) 내에서 구현된 다층 다이버시티 전략이 MPS(예컨대, MPS(200)) 내 소프트웨어 기반 또는 소프트웨어 로직 기반 CCF에 대한 우려를 제거할 수 있는 방법을 보여준다. 이러한 예들에서 과도 이벤트는 원자력 시스템의 급수 손실이다. 도시된 바와 같이, 2개의 상이한 프로세스 매개변수들(A1, A2)이 (예컨대, 센서들(202a-202d)을 통해) 측정된다. A1은 도시된 바와 같이 온도 매개변수이고 A2는 도시된 바와 같이 압력이다.

상이한 프로세스 측정치(A1, A2)는 도시된 바와 같이 2개의 상이한 안전 기능 알고리즘: (A1) 고온 및 (A2) 고압으로 입력된다. 2개의 안전 기능 알고리즘 각각은 분리 그룹 내에서 별도의 독립적인 SFM 상에 위치한다. 상기 안전 기능 알고리즘들은 MPS(200)에 도시된 바와 같이 4개의 분리 그룹(A, B, C, D) 및 2개의 구분으로 나누어진 서로 다른 2세트의 프로그램가능 디지털 하드웨어(A/C, B/D)를 사용하여 구현될 수 있다. 예를 들어 여기서는 2개의 안전 기능이 단일 세트의 안전 기능들을 포함한다. 각각의 세트(예컨대, 각각의 세트의 2개의 안전 기능 알고리즘)는 상이한 기술에 기초하여 이루어질 수 있다.

각각의 세트의 프로그램가능 디지털 하드웨어가 상이한 세트의 설계 툴들을 사용하여 상이한 설계 팀들에 의해 설계될 수 있으므로, 설계의 다양성은 또한 프로세스에 의해 통합된다. 일 예로서, 안전 기능(들)은 마이크로프로세서에서 구현될 수 있다. 이러한 예에서, 안전 기능(들)은 일부 실시형태들에서 하나의 안전 기능(예를 들어, A2)이 다른 안전 기능(예를 들어, A1)에 처리 루프의 순차적 작동에 기인하여 종속하는 것을 도입할 수 있는 순차적인 방식으로 평가될 수 있다. 다른 한 예로서, 안전 기능은 상태 기반 필드 프로그래머블 게이트 어레이(FPGA)에서 구현될 수 있다. 이러한 예에서 각각의 안전 기능은 다른 모든 안전 기능과 독립적으로 평가될 수 있다. 이러한 후자의 예는 한 안전 기능의 처리가 다른 한 안전 기능에 종속하는 것을 제거함으로써 독립성을 향상시킬 수 있다.

급수 손실의 과도 이벤트 예에 대한 다층 다이버시티는 소프트웨어 CCF를 한 세트(A/C)의 특정한 안전 기능(A1)으로 제한함으로써 보호 동작을 무력화하는 CCF에 대한 보호를 제공한다. 일부 실시형태들에서, 소프트웨어 CCF는 안전 기능 알고리즘이 입력으로 사용하는 2개의 안전 기능과 프로세스 측정들 간의 기능적 독립성에 기초하여 특정한 안전 기능으로 제한된다. 일부 실시형태들에서, 소프트웨어 CCF는 각각의 세트에 대해 상이한 프로그램가능 하드웨어, 설계 팀 및 설계 툴을 통합함으로써 한 세트의 특정한 안전 기능으로 제한된다. CCF가 한 세트의 특정한 안전 기능으로 제한되면 과도 이벤트는 나머지 세트(B/D)의 특정한 안전 기능(A1) 또는 양자 모두의 세트(A/C 또는 B/D)의 제2 안전 기능(A2)에 의해 완화된다.

예를 들면, 도 4a에 도시된 바와 같이, 4개 모두의 분리 그룹(A, B, C, D)(예컨대, 체크 마크로 표시됨)에 의해 보호 동작이 취해질 필요가 있음을 나타내는 A1에 대한 안전 기능의 출력은 (예컨대, "트립"에 의해 도시된 바와 같이) 보호 동작의 개시를 초래한다. 도 4b에 도시된 바와 같이, 안전 기능(A1)에 대하여 2개의 분리 그룹(A, C) 내 CCF가 존재하는 경우, 심지어 단일 구분 내 2개의 그룹이 존재하는 경우, 나머지 분리 그룹(B, D) 내 보호 동작의 긍정 표시는 여전히 상기 보호 동작을 개시하도록 (위에서 설명한 바와 같은 4개 중 2개의 방식으로) 충분한 투표를 제공한다. 또한, 안전 기능(A1)에 대한 그룹들(A, C) 내 CCF는 각각의 SFM에 대한 독립적인 평가로 인해 안전 기능(A2)으로 전파되지 않는다.

도 5는 원자력 시스템용 I&C 시스템의 MPS의 안전 기능 모듈(SFM)(500)의 블록도이다. 도 6은 원자력 시스템용 I&C 시스템의 MPS의 통신 모듈(CM)(600)의 블록도이다. 도 7은 원자력 시스템용 I&C 시스템의 MPS의 장비 인터페이스 모듈(EIM)(700)의 블록도이다. 도 8(이하에서 검토됨)은 섀시(예컨대, 하나 이상의 SFM(500), CM(600) 및 EIM(700)을 상호연결하는 기계 구조) 내 통신 경로를 보여준다. 일반적으로, (이하에서 설명되겠지만 섀시(800)로 도시되어 있는 바와 같은) 섀시 내에서 상호연결되는 도시된 모듈들(500, 600, 700)은 MPS(200)의 안전 기능을 구현하고 분리 그룹 레벨 모듈(예컨대, 신호 컨디셔너들(204a-204d), 트립 결정들(208a-208d), RTS 레벨 모듈들(예컨대, RTS 투표(214/216)) 및 ESFAS 레벨 모듈(예컨대, ESFAS 투표(212/218))을 이룬다. 일부 실시형태들에서, 3가지 유형의 모듈들(500, 600, 700)을 지니는 것은 라인 대체가능 유닛들의 수를 최소화할 수 있고, 그럼으로써 노후화를 최소화할 수 있다. 또한, 이러한 모듈들(500, 600, 700)은 임의의 개별 모듈(500, 600, 700)에서의 단일 고장이 다른 모듈 또는 다른 안전 기능으로 전파되지 않도록 기능적으로 독립적일 수 있다. 또한, 도 8에 구현된 바와 같은 모듈들(500, 600, 700)의 조합은 개별적이고 결정론적인 안전 신호 경로들을 제공할 수 있다.

일부 실시형태들에서, 모듈들(500, 600, 700)은 적어도 부분적으로 그들의 기능적 독립성을 정의하는 하나 이상의 특성들을 갖을 수 있다. 예를 들어, 모듈들 각각은 (예컨대, MPS(200)에서) 전체 시스템/아키텍처에서 서로 다른 모듈에 대해 완전히 자율적일 수 있다. 다른 한 예로서, 모듈들 각각은 전체 시스템/아키텍처에서 서로 다른 모듈에 대해 자율적으로 특정의 의도된 안전 기능을 수행할 수 있다. 또 다른 일 예로서, 모듈들 각각은 모듈의 특정 의도된 안전 기능에 특정된 전용 로직을 포함할 수 있다. 따라서, 각각의 기능적으로 독립적인 모듈은 특정의 의도 된 안전 기능을 완료하기 위해 다른 모듈의 로직 또는 기능에 의존하지 않을 수 있다.

도 5로 돌아가면, 도시된 바와 같이, SFM(500)은 특정 SFM이 할당된 분리 그룹(예컨대, 분리 그룹(A, B, C 또는 C)에 대한 반응기 트립 및/또는 ESF 발동 결정을 내리기 위해 다른 SFM으로부터의 센서 입력들 또는 데이터를 처리한다. SFM(500)은 2개의 개별 구성, 다시 말하면 (1) 안전 데이터 버스 통신, 및 반응기 트립 및/또는 ESF 발동을 통한 센서 신호 컨디셔닝, 및 (2) 반응기 트립 결정 및/또는 ESF 발동 결정을 통한 안전 데이터 버스 통신에서 사용될 수 있다.

도시된 바와 같이, SFM(500)은 일반적으로 입력 블록(504), 기능 로직 블록(512), 및 통신 블록(514, 516, 518)을 포함한다. 각각의 입력 블록(504)(도 5에는 4개가 도시됨)은 신호 컨디셔닝 회로(506), 아날로그-디지털(analog-to-digital; A/D) 변환기, 및 직렬 인터페이스(510)로 이루어진다. 각각의 입력 블록(504)은 (예컨대, 센서들(202a-202d)과 동일할 수도 있고 센서들(202a-202d)과 유사할 수도 있는) 센서(502)에 통신 가능하게 연결된다. 도시된 바와 같이, 개별 SFM(500)은 (도시된 대표적인 실시 예에서) 4개에 이르는 입력 블록(504)을 처리할 수 있다. 입력 유형은 허용 및 인터록의 생성을 포함하여 SFM(500)이 트립 또는 ESF 발동 결정을 내리는 데 필요한 아날로그 및 디지털(예컨대, 4-20 mA, 10-50 mA, 0-10 V)의 임의의 조합이 될 수 있다.

기능 로직 블록(512)은 입력 블록(504)(사용되는 경우)의 직렬 인터페이스(510)로부터의 출력을 공학 단위로 변환하는 SFM(500)의 프로그램가능 부분이다. 기능 로직 블록(512)은 또한 입력 블록(504)의 출력에 기초하여(예컨대 센서(502)로부터의 센서 측정에 기초하여) 그리고/또는 안전 데이터 버스들로부터의 정보에 기초하여 트립 및/또는 ESF 발동 결정을 내릴 수 있다. 기능 로직 블록(512)은 허용 및 제어 인터록을 생성할 수도 있다. 예시된 바와 같이, 기능 로직 블록(512)은 입력 블록들(504) 및/또는 안전 데이터 버스들로부터 얻어진 정보를 이용하여 트립 또는 ESF 발동 결정을 내리는 다수의 결정론적 로직 엔진을 포함할 수 있다.

기능 로직 블록(512)에 의해 이용되는 세트 포인트 및 다른 튜너블(tunable) 정보는 (예컨대, SFM(500) 상의) 비-휘발성 메모리에 저장될 수 있다. 이는 기본 로직을 수정하지 않고 변경을 허용할 수 있다. 또한, 기능적 신호 및 소프트웨어 의 다양성을 구현하기 위해, AOO 또는 PA를 완화하는데 사용되는 주요 및 백업 기능은 동일한 SFM(500) 상에 있지 않을 수도 있다. 따라서, 기능 또는 기능 그룹에 대해 전용 SFM(500)을 사용함으로써, 그리고 주요 및 백업 기능이 개별 모듈(500) 상에 존재하게 함으로써, 소프트웨어 CCF의 결과는 각각의 모듈(500) 상의 고유 로직 및 알고리즘으로 인해 제한된다.

통신 블록(514/516/518)은 5개의 분리된 통신 포트(예컨대, 3개의 안전 데이터 포트(514), 하나의 포트(516), 및 하나의 포트(518)로 이루어진다. 각각의 포트는 기능적으로 독립적일 수 있으며 모니터링 및 표시(M/I) 버스(예컨대, 블록(516)), 유지보수 워크스테이션(MWS) 버스(예컨대, 블록(518)), 또는 안전 버스(예컨대, 블록(514))로서 지정된다. 비록 각각의 안전 데이터 버스(514)가 동일한 데이터를 전송할 수 있지만, 각각의 통신 포트는 비동기식이며, 포트는 상이한 독립적이고 고유한 통신 엔진을 사용함으로써 데이터를 다르게 패키징하고 이를 전송한다. 예를 들어, 하나의 안전 데이터 버스(514)는 예를 들어, 순차적인 순서(예컨대, 1, 2, ..., 10)로 10개의 데이터 패킷을 전송하는 반면에, 다른 한 안전 버스(514)는 동일한 10개의 패킷을 역순(예컨대, 10, 9, ..., 1)으로 전송하고 제3 안전 버스(514)는 홀수 패킷들이 차후에 이어지는 짝수 패킷들(예컨대, 2, 4, ... 10, 1, 3, ..., 9)을 송신한다. 이러한 3중 모듈 용장성 및 다양성은 통신 에러 검출을 허용할 뿐만 아니라 RTS 또는 ESFAS가 올바른 트립 및/또는 발동 결정을 내리는 능력에 영향을 주지 않으면서 통신 CCF를 특정 버스로 제한한다.

도 6으로 돌아가면, CM(600)은 원자력 시스템에 대한 I&C 시스템의 MPS(예컨대, MPS(200))의 분리 그룹-레벨 상호연결, RTS-레벨 상호연결 및 ESFAS-레벨 상호연결 내에서 SFM(500) 및 EIM(700)과 같은 MPS의 다른 모듈들 간의 독립적인 용장 통신을 제공한다. 예를 들어, CM(600)은 MPS 내에서 전달될 데이터에 대한 파이프라인일 수도 있고 그러한 데이터 전달의 스케줄러일 수도 있다. 임의의 특정 채널에서, CM(600)은 그 채널 내 데이터의 작동/통과를 제어할 수 있다. CM(600)의 도시된 구현 예에서, 제한된 통신 블록(RCB)(604), 통신 스케줄러(606) 및 통신 블록(608/610)과 같은 3가지 유형의 블록이 있다.

RCB(604)는 도시된 바와 같이 4개의 통신 포트로 이루어진다. 일부 실시형태들에서, 각각의 포트는 상이한 단방향 경로(예를 들어, 수신 전용 또는 송신 전용)로 구성될 수 있다. 일부 구현 예들에서, 도시된 CM(600)에서와같이, 특정 RCB(604)로부터 수신되거나 전송된 정보는 광학 분리기(602)를 통과한다. 경우에 따라서는, 광학 분리기(602)는 임의의 특정 트립 결정으로부터의 데이터가 나머지 여행 결정의 데이터와 분리되는 것을 보장하는데 도움이 될 수 있고, 그럼으로써 독립적인 용장성을 보장한다.

통신 스케쥴러(606)는 통신 블록들(608/610)로부터/로 RCB(604)로/로부터 데이터를 이동시키는 것을 담당한다. 일부 실시형태들에서, 통신 엔진(606)은 FPGA, 마이크로프로세서 또는 설명한 상호연결들 간의 통신을 스케줄링하도록 프로그램된 다른 이산 로직과 같은 프로그램가능 로직으로 이루어진다.

통신 블록(608/610)은 4개의 분리된 통신 포트(예컨대, 3개의 안전 데이터 포트(608) 및 하나의 포트(610))로 이루어진다. 각각의 포트는 기능적으로 독립적일 수 있으며 모니터링 및 표시(M/I) 버스(예컨대, 블록 610) 또는 안전 데이터 버스(예컨대, 블록(608))로서 지정된다. 일부 실시형태들에서, M/I 버스(610)는 MPS 내의 모든 모듈들(예컨대, 모듈들(500, 600, 700)) 각각의 조건을 포함하여 MPS 내 모든 모듈들로부터 정보를 수집할 수 있고, 그 정보를 "히스토리언" 스테이션(예컨대, MPS의 이력 데이터 전용 컴퓨팅 시스템)에 전송한다.

각각의 안전 데이터 버스(608)가 동일한 데이터를 통신할 수 있지만, 버스(514)를 참조하여 전술한 바와 같이, 각각의 통신 포트는 데이터를 다르게 패키징하고 전송한다. 통신 모듈의 애플리케이션에 따라, 4개의 통신 블록(608/610)은 단방향 및 양방향 경로의 임의 조합으로 구성될 수 있다.

도 7로 돌아가면, EIM(700)은 일반적으로 RTS 및/또는 ESFAS 레벨 시스템 내 원자력 시스템의 각각의 구성요소에 대한 인터페이스를 제공하여, 트립 결정들이 투표되고 컴포넌트-레벨 발동 및 조작이 이루어지게 한다. 도시된 바와 같이, EIM(700)은 출력 블록(720), 장비 피드백 블록(718), IE 수동 입력(716), 비-IE 수동 입력(714), 투표 엔진(722), 우선순위 논리 블록(721), 장비 제어 블록(723), 및 통신 블록(724/726/728)을 포함한다. 일반적으로 EIM(700)은 단일 구성요소의 고장이 원자력 시스템용 I&C 시스템의 MPS(예컨대, MPS(200))의 채널-레벨 상호연결, RTS-레벨 상호연결, 및 ESFAS-레벨 상호연결 내에 전파하지 않게 하도록 트립 신호들에 기초하여 투표, 경우에 따라서는 2중 투표(예컨대, 통신에 대해 3개 중 2개 투표 그리고 4개 중 2개 투표)를 수행할 수 있다. EIM(700)은 투표(722), 수동 발동/IE 입력(716), 및 비-IE 입력(714)으로부터의 자동 신호에 대한 우선순위 할당을 수행할 수 있다.

출력 블록들(720)은 도시된 바와 같이, 외부 회로들에서 사용될 수 있고 전기 부하들(702)(예를 들어, 액추에이터들)에 연결되는 최대 3개의 독립적인 출력 스위치들 또는 일부 예들에서는 그 이상의 독립적인 출력 스위치들을 포함한다. 일부 실시형태들에서, 이는 EIM(700)이 단일 구성요소를 직접 제어하거나 다수의 컴포넌트에 대한 개시신호를 제공하는 것을 허용한다. 예를 들어, 출력 블록(720)은 여러 펌프를 시동하고 다수의 밸브를 개방하는 릴레이를 작동시킨다. 각각의 출력 블록(720)은 또한, 로드 연속성 체크를 자체 테스트하고 수행하는 능력을 포함할 수 있다.

도시된 바와 같이, 장비 피드백 블록(718)은 장비로부터 다중(예컨대, 일부 예들에서는 최대 3개 또는 그 이상임) 피드백 입력(704)으로 이루어질 수 있다. 피드백 입력(704)은 예를 들어 밸브 위치(예컨대, 완전 개방, 완전 폐쇄), 브레이커 상태(예컨대, 폐쇄/개방) 또는 다른 구성요소들로부터의 다른 피드백을 포함할 수 있다. 장비 피드백(704)은 이하에서 검토되는 투표 장비 제어 블록(723)에서 이용될 수 있다.

IE 수동 입력 블록(716)은 다중(예컨대, 일부 예들에서는 최대 2개 또는 그 이상임) 수동 입력 신호(706)를 제공할 수 있다. EIM(700)의 이러한 부분은 수동 입력에 전용될 수 있고 우선순위 로직 블록(721)에서 이용된다.

다중 입력 신호들(708)은 분리 인터페이스(712)를 통해 비-IE 입력 블록(714)에 연결된다. 이러한 전기적 분리 인터페이스(712)는 우선순위 로직 블록(721)으로의 입력을 위해 비-IE 신호들의 사용을 허용한다.

투표 엔진(722)은 통신 블록들(724)로부터 트립 결정 입력들을 수신한다. 투표의 결과는 자동 발동 신호에 대해 우선순위 로직 블록(721)에 발동 또는 비-발동 신호를 제공한다. 일부 실시형태들에서, 투표 엔진(722)은 MPS 내 단일 구성요소의 고장이 전파되지 않게 하도록 투표 방식, 경우에 따라서는 2중 투표 방식을 구현할 수 있다. 예를 들어, 일부 실시형태들에서, 투표 엔진(722)은 통신 블록들(724)에서 트립 결정들을 수신한다. 각각의 통신 블록(724)은 4개의 채널 또는 분리 그룹(예컨대, 위에서 설명한 채널들 A-D)로부터 트립 결정(예컨대, 트립 또는 무-트립)을 수신할 수 있다. 투표 엔진(722) 내에서, 일부 실시형태들에서, 3개의 "A" 트립 결정들, 3개의 "B" 트립 결정들, 3개의 "C" 트립 결정들 및 3개의 "D" 트립 결정들이 있을 수 있다. 따라서, 투표 엔진(722)은 4개의 채널 또는 분리 그룹 각각에 대해 3개 중 2개의 결정을 수행할 수 있다. 예를 들어, 3개의 "A" 채널 중 적어도 2 개가 트립의 유효한 통신을 제공하면(예컨대, 트립 결정의 통신이 유효한 것임을 나타냄), 투표 엔진(722)은 적어도 초기에 채널 "A" 상에 트립이 있지만, 3개의 "A" 채널 중 하나만이 트립을 나타내면, 투표 엔진(722)이 채널 "A" 상에 트립이 없음을 결정할 수 있다는 것을 전달할 수 있다.

위에서 언급한 바와 같이, 투표 엔진(722)은 고장이 MPS 구조를 통해 더는 전파되지 않게 하도록 2중 투표 방식을 구현할 수 있다. 예를 들어, 위에서 설명한 3개 중 2개의 통신 결정에 후속하여, 투표 엔진(722)은 또한 (예컨대, 거짓 트립을 나타내는 고장과는 반대로) 트립이 실제로 발생했는지를 결정하도록 4개의 결정 중 2개를 수행할 수 있다. 예를 들어, 3개의 결정 중 2개를 수행하는 투표 엔진(722)에서 4개의 투표 블록의 출력들(예컨대, 3개 중 2개의 투표 로직 게이트)은 4개 중 2개의 결정을 내리는 다른 한 투표 블록(예컨대, 4개 중 2개의 투표 로직 게이트)에 공급될 수 있다. 제1 단 투표 블록들(예컨대, 3개 중 2개의 블록)로부터의 4개 중 적어도 2개의 출력이 트립을 나타내는 경우에, 투표 엔진(722)은 트립이 발생했음을 결정할 수 있다(부하(702)와 같은 EFS 장비가 발동되어야 함), 그러하지 않을 경우, 투표 엔진(722)은 실제 트립이 발생하지 않았음을 결정할 수 있다.

우선순위 로직 블록은 투표 블록(722), IE 수동 입력 블록(716), 및 비-IE 수동 입력 블록(714)으로부터 입력들을 수신한다. 우선순위 논리 블록(721)은 그 후에 모든 입력들에 기초하여 수행할 장비 제이 모듈에 무엇을 명령해야 하는지에 관한 결정을 내린다.

장비 제어 블록은 우선순위 로직 모듈로부터 명령을 수신하고 출력 블록(720)을 통해 구성요소에 대한 적절한 발동 또는 조작을 수행한다. 장비 제어 블록은 장비 제어 목적을 위해 장비 피드백 블록(718)을 통해 장비로부터 피드백을 수신한다 .

장비 제어 블록(722), 우선순위 로직 블록(721) 및 투표 블록(722) 각각은 상태 정보를 유지보수 워크스테이션(MWS) 버스(예컨대, 블록(728))에 제공한다. 통신 블록(724/726/728)은 5개의 별개의 통신 포트(3개의 안전 데이터 포트(724), 하나의 포트(726) 및 하나의 포트(728))로 이루어진다. 각각의 포트는 기능적으로 독립적일 수 있으며 모니터링 및 표시(M/I) 버스(예컨대, 블록(726), 유지보수 워크스테이션(MWS) 버스(예컨대, 블록(728) 또는 안전 데이터 버스(예컨대, 블록(724)) 중 어느 하나로서 지정된다.

도 8은 하나 이상의 SFM(500), EIM(700) 및 CM(600)을 통신 가능하게 연결하는 반응기 보호 시스템(예컨대, MPS(145))의 섀시(800)의 대표적인 실시 예를 보여준다. 본 도면은 섀시(800) 내 4개의 CM(600)에 연결되는 3개의 SFM(500) 또는 EIM(700)의 한 예를 제공한다. 이러한 예에서, 5개의 데이터 버스 경로가 도시되어있다. 예를 들어, 각각 X, Y 및 Z로 표시된 3개의 안전 데이터 포트(802)가 있다. M/1로 표시된 하나의 데이터 버스 경로(804)가 있다. MWS로 표시된 하나의 데이터 버스 경로(804)가 있다. 이러한 예에서, 각각의 데이터 버스 경로(802/804)는 섀시(800) 내의 다른 모든 데이터 버스 경로(802/804)와 기능적으로 그리고 전기적으로 독립적일 수 있다.

이러한 도시된 실시 예에서, CM(600) 각각은 데이터 버스 경로들(802/804) 중 하나의 마스터를 포함할 수 있다. 도시된 바와 같이, X 데이터 버스 경로(802)의 마스터(808)는 안전 데이터 X에 대한 CM(600)의 일부이다. Y 데이터 경로(802)의 마스터(810)는 안전 데이터 Y에 대한 CM(600)이다. Z 데이터 경로(802)는 안전 데이터 Z에 대한 CM(600)이다. 마지막으로, 본 예에서 도시된 바와 같이, M/I 데이터 경로(804)에 대한 마스터(814)는 M/I에 대한 CM(600)이다. 본 예에서도, MWS 데이터 경로(806)의 마스터인 MWS 마스터(816)가 존재하며, 이는 (예컨대, 유지보수 워크스테이션으로서) 별도로 연결된다. 유지보수 워크스테이션(MWS 마스터)(816)은 고정 배선 스위치에 의해 장비의 정상 작동 동안 연결해제될 수 있다.

도 9a - 도 9c는 SFM(500), CM(600) 및 EIM(700) 중 하나 이상을 이용하는 분리 그룹-, RTS- 및 ESFAS-레벨 상호연결의 블록도들이다. 일반적으로, 모듈들, 다시 말하면 SFM(500), CM(600), 및 EIM(700)은 예를 들어, 인접하거나 다른 안전 기능들에 전파하는 것으로부터 단일 고장(예컨대, 하드웨어, 소프트웨어, 또는 기타)에 대한 보호 기능을 제공하는 기능적으로 독립적인 모듈들(예컨대, 식별 가능한 장치, 기구 또는 장비 일부를 구성하며, 유닛으로 테스트되는 것을 허용하는 정의 가능한 성능 특징을 가지고, 연결해제될 수도 있고 유닛으로서 제거될 수도 있으며, 스페어로 대체될 수도 있는 상호연결 구성요소들의 조립체)로서 상기 MPS(200) 내에 배치될 수 있다. 모듈들은 일부 실시 예들에서는 트립 감지 및 결정을 위해 최대 3중 용장성을 제공할 수 있다. 또한, 모듈들은 위에서 설명한 바와 같이 용장 RTS 및 ESFAS 투표 구분들을 제공하도록 구성될 수 있다. 일부 구현 예들에서, 모듈들은 트립 구성요소(예컨대, 브레이커, 센서 또는 기타)마다 독립적인 트립 투표 모듈을 제공할 수 있다.

어떤 경우에는, 모듈들이 RTS 투표를 제공하고, 다른 경우에는 모듈들이 ESFAS 투표를 제공한다. 각각의 모듈의 독립성과 관련해, 각각의 모듈은 RTS/ESFAS 트립을 활성화 또는 비-활성화하기 위해 특정 트립 구성요소에 전용되는 다른 모든 모듈과는 별도로 특정한 트립 구성요소에 대한 결정을 내릴 수 있다. 일부 구현 예들에서, 트립 결정의 유효한 통신의 결정은 다수(예컨대, 3개 중 2개)에 의해 내려질 수 있다. 일부 구현 예들에서, 결정들은 2중 결정 방식으로 이루어질 수 있는데, 여기서 트립 결정의 전달은 다수결(예컨대, 3개 중 2개)에 의해 유효화되고 2 차 트립 결정 투표가 다수 투표보다 적음(예컨대, 4개 중 2개)에 의해 유효화된다.

도 9a로 돌아가면, 대표적인 분리 그룹-레벨 상호연결(900)이 도시되어 있다. 도시된 채널-레벨 상호연결(900)은 체널 센서 입력들(902), 상기 입력들(902)을 수신하는 SFM들(500), 및 출력들(904 내지 920)을 전달하는 CM들(600)을 포함한다. 도시된 바와 같이, 단일 기능 또는 단일 세트의 기능들을 구현하기 위해, 채널-레벨 상호연결(900) 내 각각의 SFM(500)은 아날로그 및 디지털의 임의 조합으로 4개의 입력(902)을 포함할 수도 있고 어떤 경우에는 그 이상을 포함할 수도 있다. 각각의 입력(902)은 특정 SFM(500)에 유일할 수 있다(예컨대, 채널 A 가압기 압력 신호는 오직 하나의 SFM(500)에 대한 직접 입력이다). 4개 모두의 데이터 버스 상에서 상태 정보(예컨대, 알람, 로직 결정, 모듈 상태)와 함께 입력 데이터가 이용할 수 있다.

안전 버스들은 기능적으로 독립적일 수 있으며 마스터가 CM(600)인 마스터-슬레이브 프로토콜을 각각 사용한다. SFM 내 블록들이 동기 방식으로 동작하지만 모듈들 간의 통신은 비동기 방식일 수 있다. 버스에 대한 CM(600)이 특정한 SFM(500)으로부터 정보를 요청할 때, SFM(500)은 버스에 대한 브로드캐스트로 응답할 수 있다. 방송의 이점은 예를 들어 "1"이라고 표시된 SFM(500)이 "2"라고 표시된 SFM(500)에 필요한 정보(예컨대, 허용 신호, 센서 입력 값)를 지니고 있으면 SFM(500) "2"는 필요한 정보를 리스닝하여 획득할 수 있다.

3개의 안전 데이터 버스(예컨대, "X", "Y" 및 "Z"로 표시됨) 외에도, 모니터링 및 표시(M/I)를 위한 도시된 제4 통신 버스가 있다. M/I 버스의 마스터는 안전 게이트웨이 및 비-안전 제어 시스템에 M/I 데이터를 제공하는 데 전용된 CM(600)이 될 수 있다. 3개의 안전 데이터 버스(예컨대, 버스들(X, Y 및 Z))에 대한 CM(600)과는 달리, M/I CM(600)은 3개 모두의 안전 버스에 대한 브로드캐스트 정보를 리스닝하는 것이 가능할 수 있다.

일부 구현 예들에서, CM(600)의 제한된 통신 블록(RCB)은 다양한 포인트-투-포인트 구성을 지닐 수 있다. 분리 그룹-레벨 상호연결(900)에서, RCB 상의 4개 모두의 통신 포트는 송신 전용으로 구성될 수 있다. 각각의 안전 데이터 버스 CM(600)(예컨대, X, Y 및 Z로 표시된 CM들(600))으로부터의 데이터는 RTS 및 ESFAS(예컨대, 구분 I 및 II)의 각각의 구분으로 보내질 수 있다. M/I CM(600)으로부터의 데이터(예컨대, 출력들(916-920))는 안전 게이트웨이들에 그리고 비-안전 제어 시스템들로 보내질 수 있다.

출력들(904-914)은 예를 들어 (이하에서 설명되는) RTS- 및 ESFAS 레벨 상호연결들에 제공될 수 있다. 예를 들어, 도시된 바와 같이, 출력들(904, 908 및 912)은 ESFAS-레벨 상호연결들에 제공될 수 있는 반면에, 출력들(906, 910 및 914)은 RTS-레벨 상호연결들에 제공될 수 있다. 단지 하나의 분리 그룹-레벨 상호연결(900)만이 도 9a에 제공되어 있지만, MPS 구조 내에는 다수의 상호연결(900)이 있을 수 있다.

도 9b로 돌아가면, 구분에 의해 분할된 대표적인 RTS-레벨 상호연결이 도시되어 있다. 도시된 바와 같이, RTS-레벨 상호연결은 RTS의 구분 I 및 II(예컨대, RTS 투표(214, 216))를 포함한다. 예시된 각각의 구분(214, 216)은 4개의 CM(600)과 4개의 EIM(700)을 포함한다. 각각의 구분에 대해, 3개의 안전 데이터 버스(X, Y, Z로 표시됨) 각각은 (예컨대, 동일한 부호, 다시 말하면 A1 및 B1으로 표시된 분리 그룹들과 함께) 입력들(962-972)로서 도시된 4개 모두의 분리 그룹으로부터 트립 또는 무-트립 결정을 수신할 수 있다. 도시된 바와 같이, 비-안전 제어 시스템들 및 안전 게이트웨이에 데이터를 (출력들(974-976)로서) 전송하는 제4 CM(600)이 제공될 수 있다.

각각의 안전 버스 CM(600)에 대한 RCB 상의 각각의 통신 포트는 "수신 전용"으로 구성될 수 있고 (위에서 설명한 바와 같이) 광학적으로 분리될 수 있다. M/I CM(600)은 "송신 전용"으로 구성된 RCB 내 모든 포트들을 지닐 수 있다.

일부 구현 예들에서, 모든 분리 그룹들로부터의 각각의 안전 데이터 버스에 대한 트립 결정은 4개의 EIM(700) 각각에 대해 이용 가능하다. EIM들(700)은 3개 모두의 안전 버스(X, Y 및 Z로 표시됨)를 사용하여 통신 에러들에 기인한 브레이커들의 어떠한 위조 발동도 존재하지 않게 할 수 있다. 4개의 분리 그룹(입력들(963-972) 중 적어도 2개가 트립 조건을 나타내면 반응기 트립 브레이커들이 개방된다. 각각의 EIM(700)은 예를 들어, 반응기 트립 브레이커의 부족전압 릴레이 및 분로 트립 코일에 전용될 수 있다. 자동 발동에 부가하여, EIM(600)에는 수동 구분-레벨 반응기 트립(978), 브레이커 피드백 및 ESFAS 피드백에 대한 입력이 있다.

구분 I에 대해 980a-980d로 표시되고 구분 II에 대해 982a-982d로 표시된) EIM(600) 출력은 특정한 구분에 관련된 반응기 트립 브레이커(RTB)(도 2b에 도시됨)에 대한 트립 코일들의 입력들에 연결될 수 있다.

도 9c로 돌아가면, 구분에 의해 분할된 대표적인 ESFAS-레벨 상호연결이 도시되어 있다. 도시된 바와 같이 ESFAS 레벨 상호연결들은 ESFAS의 구분 I 및 II(예컨대, ESFAS 투표(212, 218))를 포함한다. 예시된 각각의 구분(212, 218)은 4개의 CM(600)과 4개의 EIM(700)을 포함한다. 각각의 구분에 대해, 3개의 안전 데이터 버스(X, Y 및 Z로 표시됨) 각각은 입력들(962-972)로서 표시되는 모든 분리 그룹들(본 예에서는 4개가 D로 표시됨)로부터 ESF 발동 결정을 수신한다.

각각의 안전 데이터 버스 CM(600)(X, Y 및 Z로 표시됨)에 대한 RCB의 각각의 통신 포트는 "수신 전용"으로 구성될 수 있고 (위에서 설명한 바와 같이) 광학적으로 분리될 수 있다. M/I CM(600)은 RCB의 모든 포트가 "송신 전용"으로 구성되게 하며 또한 광학적으로 분리되게 할 수 있다.

일부 구현 예들에서, 모든 분리 그룹들로부터의 ESF 발동 결정은 3개 모두의 안전 데이터 버스(X, Y 및 Z로 표시됨)를 통해 EIM들(700)에 이용 가능하다. 예를 들어, EIM들(700)은 3개 모두의 안전 데이터 버스를 사용하여 통신 에러로 인한 장비의 위조 작동이 없게 할 수 있다. 4개 중 적어도 2개의 분리 그룹이 (예컨대, 입력(962-972)을 통해) ESF 발동에 대한 필요성을 나타내는 경우, 안전 기능(들)은 (도 3b에 도시된 바와 같이, 구분에 기초하여, ESF 장비(224, 226)에 연결되는) 출력(990)을 통해 개시될 수 있다. 일부 실시형태들에서, 각각의 EIM(700)은 개별 구성요소(예컨대, 단일 ESF 구성요소)에 전용될 수 있다.

자동 개시와는 별도로, 각각의 EIM(700)은 수동 입력들(992)을 사용하여 구성요소를 제어할 수 있다. 또한, 각각의 EIM(700)은 비-IE 제어 입력(994)을 수신할 수 있다. 비-IE 제어 입력(994)(도 3b에서 또한 입력(282)으로 도시됨)은 EIM의 출력들을 통해 비-IE가 IE 안전 ESF 구성요소를 제어하도록 EIM(700)에 제공될 수 있다. 구성요소 피드백(예컨대, 리미트(limit) 스위치들), 투표 결정 및 다른 이용 가능한 정보(예컨대, 알람)는 M/I CM(600)으로부터 출력들(974-976)로서 전송될 수 있다.

도 10은 원자력 시스템에 대한 I&C 시스템(135)의 다이버시티 분석도이다. 다이버시티 분석의 목적을 위해, 도 10에 나타낸 블록들은 시스템 검사를 단순화하는 세부 수준을 나타낸다. 블록들은 자신들의 속성에 기초하여 다른 블록에 내부 고장이 전달되지 않게 될 수 있는 물리적인 서브세트의 장비 및 소프트웨어를 나타내도록 선택되었다.

도시된 바와 같이, 도 10의 도면에서의 블록들은 I&C 시스템, 본 예에서는 I&C 시스템(135)을 보여준다. 블록(1002)은 비-IE 모니터링 및 표시 장비를 나타내고, 블록(1004a/b)은 각각 IE 모니터링 및 표시 I 및 II를 나타내며, 블록(1006a/b)은 각각 안전 블록 I 및 II를 나타낸다. 블록(1006a)은 분리 그룹들(A, C), RTS I 및 ESFAS I를 포함하고, 블록(1006b)은 분리 그룹들(B, D), RTS II 및 ESFAS II를 포함한다. 블록(1008)은 MCS를 나타낸다. 도시된 바와 같이, 화살표로 나타나 있는 연결선들은 블록들 간의 통신을 나타낸다.

4개의 에첼론에 대한 목적들 중 하나는 다이버시티(diversity; 다양성)이다. 예를 들어, MPS는 다음과 같은 상황에서 MPS가 설계 기준 이벤트에 필요한 모든 안전 기능들을 수행하는데 요구할 수 있는 단일 고장 기준을 충족시킬 수 있다: (1) 모두 식별 가능하지만 검출할 수 없는 고장들과 동시에 안전 시스템들 내 임의의 단일 검출 가능한 고장; (2) 상기 단일 고장으로 인한 모든 고장들; 및 (3) 안전 기능들을 요구하는 설계 기준 이벤트를 발생하거나 그러한 설계 기준 이벤트로 인해 발생하는 모든 고장 및 위조 시스템 동작들. 이러한 요구사항은 신뢰성을 향상시킬 수는 있지만 시스템이 CCF(Common-Cause Failure)에 취약하게 된다. 임의의 설계에 대해 CCF를 다수의 독립적인 고장과 구별하는 의존성(예컨대, 커플링 인자)이 존재할 수 있다. 이는 시스템에서 공통 원인 고장을 방지하는 2가지 기본 형태로 이끈다. 다시 말하면, 원인 영향이 감소 되거나 시스템이 그러한 영향에 저항할 수 있는 능력이 증가 된다.

이러한 2가지 형태의 구현 예는 위에서 설명한 바와 같이 설계 다이버시티, 장비 다이버시티, 기능적 다이버시티, 인간 다이버시티, 신호 다이버시티 및 소프트웨어 다이버시티와 같은 6개의 속성으로 구현될 수 있다. 이러한 속성들의 적용은도 10에 도시된 블록들 간의 속성들뿐만 아니라 도 10에 도시된 각각의 블록에 대해 조사된다.

블록 내 속성

이전의 도면들을 참조하여 도시되고 또한 설명된 바와 같이, 분리 그룹들(A, B, C 및 D), 및 RTS 및 ESFAS의 2개의 구분은 기초가 되는 다음의 프로그램가능 기술에 따라 그룹화된다. 다시 말하면, 세이프티 블록 I 및 II는 함께 모듈 보호 시스템(MPS)(예컨대, MPS(200))을 구성한다.

신호 다이버시티와 관련하여, 주어진 과도 이벤트에 대해, 각각이 상이한 물리적 결과(예컨대, 압력, 레벨, 온도, 중성자 플럭스)의 측정 변수(들)에 기초하는 적어도 2개의 안전 기능이 존재할 수 있다. 하나의 안전 기능을 상실해도 블록이 보호 동작의 필요성을 식별한다.

소프트웨어 다이버시티와 관련하여, 그 입력들에 기초해, 각각의 안전 기능 모듈(SFM(500))은 안전 기능 또는 안전 기능 그룹에 전용된다. 결과적으로, 각각의 SFM에는 고유한 알고리즘/로직이 있다. 각각의 통신 모듈(CM(600))은 동일한 정보 패킷들을 상이한 순서로 전송하며, 이는 CM 내 각각의 통신 엔진(608/610)이 상이한 알고리즘을 지닐 것을 요구할 수 있다. 각각의 장비 인터페이스 모듈(EIM(700))은 단일 구성요소에 전용될 수 있으며 고유한 알고리즘/로직을 초래할 수 있다.

IE 모니터링 및 표시는 비디오 디스플레이 유닛(VDU) 및 물리적 스위치의 2개의 구분을 사용하여 달성될 수 있다. IE 모니터링 및 표시(M/I)의 각각의 부분은 블록(1004a/b)일 수 있다. 설계 다이버시티와 관련하여, M/I의 각각의 구분은 디지털 디스플레이에 관한 플랜트 상태 정보를 운영자에게 제공할 수 있으며 수동 스위치를 사용하여 구분 레벨에서 임의의 보호 동작을 수동으로 시작할 수 있다. 신호 다이버시티와 관련하여 운영자는 트립 및/또는 ESF 발동이 필요한지를 결정하기 위해 MPS에 의해 이용되는 모든 측정 변수들을 지닐 수 있다. 비록 속도가 빠르지는 않지만 운영자는 MPS와 동일한 결정을 내리기 위해 상이한 물리적 결과들의 여러 측정 변수를 지닐 수 수 있다.

블록들 간 다이버시티 속성들

인간 다이버시티와 관련하여, 안전 블록 I 및 IE M/I I의 소프트웨어는 하나의 설계 팀에 의해 설계될 수 있으며, 안전 블록 II 및 IE M/l II는 상이한 설계 팀에 의해 설계될 수 있다. 또한, 독립적인 검증 및 확인 팀은 설계 정확성을 보장하기 위해 각각의 설계 팀의 작업을 검토할 수 있다. 위에서 언급한 설계 팀은 또한, 모듈 제어 시스템(MCS) 및 비-IE M/I에 할당된 설계 팀과 다르다.

디자인 다이버시티는 동일하거나 유사한 문제를 해결하기 위한 소프트웨어 및 하드웨어 양자 모두를 포함하는 상이한 수법들의 사용이다. CCF의 잠재성 및 결과를 제한하기 위해, 안전 블록 I(1004a) 및 IE M/II 블록(1006a)은 안전 블록 II 및 IE M/I II와는 다른 프로그램 가능 기술을 사용할 수 있다. MCS 및 비-IE M/I는 또한, 다른 프로그램가능 기술을 지닐 수 있다. 아래에서 검토되는 다른 속성들과 함께, 상이한 다른 하드웨어 설계들은 상이한 고장 모드들을 지닐 수 있으며, 따라서 CCF가 둘 이상의 블록에 영향을 줄 가능성을 줄일 수 있다. 예를 들어, M/I 블록을 제외하고, 블록들은 물리적으로 서로 다른 룸(room)으로 분리될 수 있다. 이는 다수의 구성요소가 CCF 이벤트에 관련될 조건을 만들어 낼 수 있는 커플링 인자들을 부가적으로 줄이도록 의도된 것이다.

소프트웨어 다이버시티는 설계 다이버시티의 서브세트이며, 동일한 안전 목표를 달성하기 위해 상이한 핵심 인력을 갖는 상이한 전개 그룹들에 의해 설계되고 구현된 상이한 프로그램들의 사용을 포함할 수 있다. 위에서 논의한 설계 다이버시티로 인해 상이한 설계 팀이 서로 다른 설계 툴들을 사용할 수 있으며, 따라서 상기 툴들은 동일한 고장 모드들을 도입시키지 않을 수 있다.

기능적 다이버시티는 블록들 간에 상이한 목적들 및 기능들을 지님으로써 도입될 수 있다. 안전 블록 I 및 II가 MPS를 구성한다. 이러한 블록들은 작동 한계를 초과하면 반응기 트립을 개시할 수 있고 상정(想定)된 사고를 완화하기 위해 ESF를 개시할 수 있다. M/I 블록은 운영자가 안전 및 비-안전 시스템 양자 모두를 모니터링하고 제어할 수 있게 한다. 운영자는 작동 한계 내에서 플랜트를 유지하거나 필요한 보호 동작을 개시할 수 있다. MCS는 시스템들을 자동 제어하여 특정한 작동 과도현상을 제한하는 것을 포함하는 작동 한계 내에서 상기 플랜트를 유지보수한다.

블록들 간에, 신호 다이버시티는 자동 및 수동 발동 장비 및 보호 동작 수단을 지님으로써 제공될 수 있다. MCS 및 비-IE M/I는 장비 레벨에서 제어를 제공하고 IE M/I 블록들은 구분 레벨에서 제어를 제공한다.

장비 다이버시티는 유사한 안전 기능들을 수행하는 상이한 장비의 사용이다. 보호 동작의 개시는 스위치들을 사용하는 운영자 동작들에 의해 행해질 수 있고 안전 블록 I 또는 II에 의해 자동으로 수행될 수 있다. 안전 블록 I 및 II 사이에는, 서로 다른 프로그램가능 기술이 사용될 수 있으며, 이는 서로 다른 내부 서브구성요소 및 다른 제조 방법이 필요할 수 있다.

4개의 에첼론의 다른 한 분석 가이드라인은 시스템 고장 유형들이다. 유형 1 고장은 방어 에첼론들 간의 상호작용 때문에 제어 시스템 에러에 의해 개시된 플랜트 과도현상에 대한 보호 동작이 발생하지 못하게 하는 것들이다. 일반적으로, 이는 공통 센서 또는 신호 소스의 고장에 관련이 있다. MPS에 의해 모니터링되는 플랜트 매개변수들 중 여러 플랜트 매개변수는 정상적인 플랜트 제어를 위해 MCS에 제공된다. 위에서 설명한 바와 같이, 하나의 신호 소스를 제공하는 대신에 ESFAS 및 RTS의 양자 모두의 구분들 및 4개 모두의 분리 그룹은 분리된 단방향 통신을 통해 정보를 제공한다. 이는 MCS가 어느 용장 및 독립 신호 소스를 사용해야 하는지를 선택하는 상이한 방법(예컨대, 중간 신호 선택)을 사용하게 할 수 있다.

유형 2 고장들은 직접적으로 과도현상을 일으키지 않을 수 있으며, 검출되지 않는 고장 때문에 보호 장비가 플랜트 과도현상에 응답하지 않을 수 있는 것들이다. 안전 블록 Ⅰ 및 Ⅱ 내 그리고 안전 블록 I 및 II 간 속성들을 사용하면 검출되지 않은 고장 또는 CCF가 하나보다 많은 블록에 영향을 미치지 않도록 충분한 다이버시티가 존재할 수 있다. 보호 동작을 자동으로 개시하는 데 2개의 블록 중 하나만 필요한 경우 어떠한 추가 시스템들 없이 MPS(안전 블록 I 및 II)에 의해 유형 2 고장이 완화될 수 있다.

유형 3 고장들은 설계 기초 이벤트들을 검출하는데 필요한 주요 센서들이 사건을 검출하기 위해 의존하여 비정상적인 판독값들을 생성하는 것들이다. 신호 다이버시티는 임의의 과도 이벤트에 대해 각각의 안전 기능이 서로 다른 측정 매개변수에 기초하여 이루어지는 적어도 2개의 안전 기능을 제공함으로써 안전 블록들 내에 존재할 수 있다. 주어진 안전 기능에 대한 센서들의 4개 모두의 분리 그룹이 비정상적인 판독값들을 제공하면, 유형 3 고장에 대해 2가지 가능한 시나리오가 있을 수 있다. 1) 비정상적인 판독값은 한도가 실제로 초과된 경우에 어떠한 트립이나 ESF 발동도 필요하지 않음을 나타냄, 그리고 2) 비정상적인 판독값은 비록 한도가 초과되지 않는 경우에도 트립 또는 ESF 발동이 필요함(예컨대, 위조 트립 또는 ESF 발동). 첫 번째 시나리오에서, 안전 블록들 내에서 CCF와 함께 발생하는 유형 3 고장이 필요한 보호 동작(들)조치의 개시를 방해하지 않을 수 있다. 앞에서 언급한 바와 같이, 신호 다이버시티는 과도 이벤트를 완화하기 위해 별도의 안전 기능이 사용되는 것을 허용할 수 있다. MPS 내 CCF는 2개의 안전 블록 중 하나로 제한되며 보호 동작의 개시를 방지하거나 허위 표시로 개시를 방지하는 것으로 가정된다. 예를 들어 위에서 검토한 바와 같이, 4개의 일치 로직 중 2개가 모든 트립 및 ESF 발동에 사용될 수 있는데, 이것이 의미하는 것은 4개의 분리 그룹 중 2개가 영향을 받지 않는 안전 블록 상의 영향을 받지 않는 안전 기능에 대해 트립 또는 ESF 발동에 대한 필요성을 나타내고 작업자에게 수행되는 동작에 대해 긍정적인 표시를 제공한다.

제2 시나리오에서, 안전 블록들 내 CCF와 함께 발생하는 유형 3의 고장은 IE M/I 블록들이 성공적인 발동의 하나의 긍적적이고 하나의 거짓인 표시 또는 어떠한 발동 표시가 없는 하나의 긍정적이고 하나의 것을 나타내는 위조 트립 또는 ESF 발동을 초래한다. 어느 경우든 간에, 운영자가 위조 발동을 평가하고 수정하는 데 더 오랜 시간이 걸릴 수 있지만 필요에 따라 구성요소들을 다시 정렬할 수 있는 능력은 동일한 CCF에 의해 영향을 받지 않는 IE 및 비-IE 제어에 의해 제공된다. 위조 ESF 발동은 이러한 시나리오에서 가장 제한적인 이벤트로 간주될 수 있다.

또 다른 분석 가이드라인은 에첼론 요구사항이다. 시스템 검사를 단순화하는 세부 레벨을 나타내는 블록들을 제공하기 위해, 개념적인 4개의 방어 에첼론은 일부 블록들에서 결합(예컨대, RTS 및 ESFAS) 될 뿐만아니라 분리 블록들(예컨대, 블록 I 및 II, IE M/1 I 및 II)로 구분된다. 일부 실시형태들에서는, 분리 그룹들(RTS, ESFAS)은 기초가 되는 프로그램가능 기술에 따라 안전 블록들로 그룹화된다. 예를 들어, MPS(예컨대, 4개의 분리 그룹 중 2개, ESFAS의 2개의 구분 중 하나, RTS의 2개의 구분 중 하나) 또는 하나의 안전 블록은 충분한 다이버시티 속성을 지닐 수 있다. 서로 다른 프로그램가능 디지털 하드웨어를 이용하는 서로 다른 디자인 팀들(인간 다이버시티)는 서로 다른 설계 툴들(소프트웨어 다이버시티)의 사용을 필요로 하는 서로 다른 프로그래머블 기술(설계 및 장비 다이버시티)에 기초하여 이루어진다. M/I 에첼론들은 또한, 별도의 블록들로 분할될 수 있다. IE M/I 블록들은 안전 블록과 유사한 다이버시티 속성을 지니고 있음을 식별하도록 분할될 수 있다. 선택된 블록이 4개의 방어 에첼론으로 나뉘는 방법은 선도(1100)을 보여주는 도 11에 도시되어 있다.

다른 한 분석 가이드라인은 평가 방법이다. 선택된 블록들은 "블랙 박스들"로 간주 되어야 하고, 그럼으로써 가정될 필요가 있는 신뢰할 수 있는 고장이 출력 신호 가이드라인(이하에서 설명됨)에 따라 분석될 때 가장 해로운 결과를 발생시키게 된다. 일부 실시형태들에서, 특히 자동화 안전 시스템에서의 CCF로부터 초래되는 조건들을 식별하고 그에 응답하는데 소요되는 시간을 분석할 때 발동하는 시스템의 고장은 최악의 경우가 아닐 수 있다. 블록들은 하드웨어 CCF 및 소프트웨어 CCF에 기초하여 평가된다. 각각의 CCF에 대해, 블록은 3가지 가능한 출력을 지니도록 평가될 수 있는데, 3가지 가능한 출력은 다음과 같이 가장 유해한 결과를 초래할 수 있다. 1) 거짓 표시 또는 필요한 경우 무-동작에 의한 고장 상태 유지, 2) 성공적인 발동의 표시에 의한 위조 기능(들) 개시, 및 3) 성공적인 발동의 표시 없는 기능(들)의 위조 개시. 상기 안전 블록들 중 어느 한 블록 내 EIM들은 소프트웨어 CCF들에 취약한 것으로 간주 되지 않을 수 있다. 예를 들어, EIM은 단일 ESF 구성요소 또는 반응기 트립 브레이커에 전용된 우선순위 로직 모듈이 될 수 있으며 수동 및 자동 제어 장치들과 인터페이스 한다. 유한 상태 기계를 사용하면 상기 상태 기계의 모든 가능한 입력들, 장치 상태들 및 출력들을 포함하여, 기능을 철저히 테스트하는 것을 허용할 수 있다. 테스트 가능성, EIM 다이버시티 속성을 기반하여, 그리고 단일 구성요소에 전용됨에 기초하여, EIM은 소프트웨어 기반 또는 소프트웨어 로직 기반 CCF의 고려가 필요하지 않을 정도로 충분히 간단할 수 있다.

다른 한 분석 가이드라인은 블록들의 가정된 공통 원인 고장이다. IE M/I 블록은 비디오 디스플레이 유닛들(디지털 하드웨어) 및 수동 제어들(비-디지털 하드웨어)의 조합을 포함한다. VDU는 표시 전용으로 설계될 수 있으며 장비를 제어할 수 있는 기능을 지니고 있지 않다. 각각의 IE M/I 블록(1004a/b)에서의 수동 제어들은 안전 블록 I 또는 II에 의해 자동으로 수행되는 임의의 보호 동작을 구분 레벨에서 개시할 수 있는 능력을 운영자에게 제공한다. 일부 예들에서 표시 및 수동 제어가 상이한 하드웨어(예컨대, 디지털 대 개방/폐쇄 접촉 스위치들일 경우에, CCF는 둘 중 하나에 영향을 미치는 것으로 가정될 수 있지만 양자 모두에는 영향을 주지 않는 것으로 가정될 수 있다. 소프트웨어 CCF 및 하드웨어 CCF 양자 모두에 대해, 고장 상태 유지(fail-as-is) 조건은 거짓 안전 작동 조건들 또는 수동 스위치들의 한 구분의 고장을 나타내는 운영자 디스플레이의 한 구분으로 귀착된다. VDU는 제어 기능을 거의 또는 전혀 지니지 않을 수 있고, 그럼으로써 VDU가 위조 발동을 제공하지 않을 수 있다. 그러나 소프트웨어 CCF를 사용하면 VDU는 성공적인 발동의 거짓 표시를 제공할 수도 있고 운영자가 위조 보호 동작을 개시하도록 요구하는 잘못된 플랜트 조건들을 제공할 수도 있다.

EIM을 제외하고, 안전 블록 내 모듈들은 소프트웨어 CCF를 지니도록 가정된다. 안전 블록 내 다이버시티 속성들 때문에, 소프트웨어 CCF는 SFM 상의 CM 또는 기능(들)으로 제한될 수 있다. SFM이 적절한 트립 결정을 내리지 못하게 하는 안전 블록 내 소프트웨어 CCF는 해당 블록 내 장비, 신호 및 소프트웨어 다이버시티에 의해 완화될 수 있다. 각각의 과도 이벤트에 대해 이벤트를 완화하는 데 필요한 주요 및 백업 안전 기능은 서로 다른 물리적 결과의 측정 매개변수에 기초하여 서로 다른 로직/알고리즘을 사용해 별도의 안전 기능을 통해 구현될 수 있다. 3중 모듈 용장도의 구현의 경우에 그리고 동일한 정보를 서로 다른 방식으로 전송하는 각각의 데이터 버스의 구현의 경우에, 소프트웨어 CCF를 지니는 CM은 보호 동작을 위조해서 개시할 수도 없고 보호 통작의 개시를 방지할 수도 없다. 결과적으로, 가장 해로운 시나리오는 ESFAS 기능의 위조 발동을 초래하는 SFM 내 소프트웨어 CCF일 수 있다.

안전 블록 내 하드웨어 CCF는 블록이 필요한 보호 동작들을 검출 및 개시하는데 완전한 고장인 것으로 가정될 수 있다. ESF 기능의 위조 발동을 초래하는 하드웨어 CCF는 소프트웨어 CCF로 인한 위조 발동과 동일한 영향을 지닐 수 있고, 그럼으로써 하드웨어 CCF에 대해 다시 고려되지 않을 수 있다.

비-IE M/I는 안전 및 비-안전 장비에 대한 제어들을 포함한다. 비-IE용 VDU는 IE M/I에서 사용되는 VDU와 다르다. 비-IE M/I가 일반적인 일상 작동에 사용되기 때문에 비-IE M/I 서브시스템(예컨대, 터빈 제어, 급수 제어) 내 소프트웨어 또는 하드웨어 CCF에 의해 유도되는 임의의 위조 발동은 즉시 식별 가능하며, 작동 한계를 초과하는 경우 MPS(안전 블록 I 및 II)에 의해 완화될 수 있다. 비-IE에 대한 가정된 고장들은 1) 성공적인 발동 표시가 있거나 없는 서브시스템의 구성요소들의 위조 발동 및 2) 실제 발동된 장비가 없을 때 성공적인 발동 표시에 따른 고장 상태 유지 조건이다.

MCS는 특정 작동 과도현상을 제한하는 것을 포함하여 작동 한계 내에서 일상 플랜트 작동을 유지하기 위해 의존하는 비-안전 시스템들을 포함한다. 이 때문에, 서브시스템(예컨대, 로드(rod) 제어)의 임의의 고장들은 운영자에 의해 즉시 검출될 수 있다. 비-IE M/I와 마찬가지로, MCS에 대한 가정된 소프트웨어 및 하드웨어 CCF는 1) 성공적인 발동의 표시 여부에 따른 서브시스템의 구성요소의 위조 발동 및 2) 어떠한 장비도 실제로 발동되지 않는 경우 성공적인 발동의 표시 제공에 따른 고장 상태 유지 조건을 초래한다.

다른 한 분석 가이드라인은 동일한 하드웨어 및 소프트웨어 모듈들의 사용이다. 여기서, 블록들 간의 다이버시티는 블록을 동일하게 간주하지 않는 기초를 제공한다. 이에 기초하여, 가정된 CCF는 단일 블록으로 제한될 수 있다.

다른 한 분석 가이드라인은 다른 블록들의 결과이다. 모든 블록들은 옳거나 틀린 입력들에 응답하여 올바르게 기능하는 것으로 가정된다. 각각의 블록은 독립적이며 다른 한 블록에서 가정된 CCF에 영향을 받지 않는 것으로 간주 된다.

다른 한 석 가이드라인은 출력 신호들이다. 일부 실시형태들에서, I&C 아키텍처는 에러들이 이전 블록의 출력으로 역방향 전파되는 것을 방지할 수 있다. 안전 블록 I 및 II로부터 IE M/I로 모든 정보는 광학적으로 분리된 전송 전용 통신 엔진들(CM(600)에 도시됨)을 통해 전송될 수 있다. IE M/I로부터 안전 블록들로의 신호들은 위치 또는 접촉 상태가 안전 블록들 내 CCF에 의해 변경될 수 없는 수동 스위치들로부터의 개폐 접점들일 수 있다. 안전 블록들 간의 통신은 분리 그룹(A, C)으로부터 ESFAS 및 RTS의 구분 II로 전송되고, 분리 그룹(B, D)으로부터 ESFAS 및 RTS의 구분 I로 전송되는 데이터일 수 있다. 4개의 분리 그룹은 독립적이며 용장되어 있다. 그러나 도 10의 설명을 위해, 분리 그룹들은 사용되는 프로그램가능 기법에 따라 안전 블록들로 그룹화된다. 안전 블록들 및 IE M/I 간의 통신과 마찬가지로 분리 그룹들로부터 RTS 및 ESFAS의 임의의 구분으로의 통신은 광학적으로 분리된 전송 전용 통신 엔진들을 통해 이루어질 수 있다. 안전 블록들에 대한 비-안전 입력들은 분리된 개폐 접점들로 제한될 수 있는 ESFAS EIM에 대한 것들일 수 있다.

안전 블록들로부터의 모든 입력들은 광학적으로 분리된 송신 전용 통신 엔진들로부터의 것들일 수 있다. 이렇게 하면 IE M/I의 오류가 안전 블록들로 역방향 전파되지 않는다.

다른 한 분석 가이드라인은 예상 작동 발생에 대한 다이버시티이다. 과도 이벤트와 관련한 단일 CCF 또는 유형 2 고장으로 인해 MPS가 안전 기능을 수행하는 것을 방지하지 않을 수 있다. MPS를 구성하는 안전 블록 I 및 II는 CCF를 한 블록으로 제한하도록 선택될 수 있다. 전통적으로, 원자력 발전소는 MPS가 CCF에 의해 무력화된 경우 기능들을 개시하는 다양한 방법을 제공하기 위해 다양한 발동 시스템(Diverse Actuation System; DAS) 또는 스크램이 없는 예상 과도(Anticipated Transient without Scram; ATWS) 시스템에 의존해 왔다. 그러나 예시된 MPS 설계에서 단일 CCF로도 안전 기능을 개시하기에 충분한 다이버시티가 시스템 내에 존재할 수 있다. 여기서 MPS는 안전 블록 I 및 II(예컨대, 1006a/b)로 분할된다. 가정된 소프트웨어 또는 하드웨어 CCF는 하나의 안전 블록으로 제한되게 된다. 각각의 블록은 서로 다른 디자인 툴들(소프트웨어 다이버시티)을 사용해야 하는 서로 다른 프로그램가능 기술(설계 및 장비 다이버시티)에 기초해 서로 다른 프로그램가능 디지털 하드웨어를 사용하여 서로 다른 디자인 팀들(인간 다이버시티)을 사용한다. 어느 블록 내에서나 별도의 SFM들 상에 구현되는 서로 다른 물리적 결과의 측정 변수에 기초하여 적어도 2가지 안전 기능이 있을 수 있다. 모든 로직은 유한 상태 기계에서 구현될 수 있으며 모든 안전 데이터는 결정론적 방식으로 전달될 수 있다. 이러한 속성들로 인해, CCF와 함께 유형 3 고장은 MPS가 필요한 보호 동작을 개시하는 것을 방지할 수 없다.

다른 한 분석 가이드라인은 사고에 대한 다이버시티(Diversity for Accidents)이다. AOO와 마찬가지로, MPS 내 CCF 에러와 관련하여 가정된 사고는 MPS가 안전 기능을 수행하는 것을 방지하지 않을 수 있다.

다른 한 분석 가이드라인은 수동 운영자 동작이다. MPS에 의해 수행되는 보호 동작들의 수동 구분 레벨 발동은 운영자에게 제공될 수 있다. 수동 구성요소 레벨 제어들은 IE M/I에 의해 허용하는 경우 비-IE M/I를 사용하여 운영자에게 제공된다.

도 12는 원자력 시스템의 MPS(1200) 안전 아키텍처의 다른 한 대표적인 구현 예의 개략도이다. 일부 구현 예에서, MPS(1200)는 도 2a 및 도 2b에 도시된 MPS(200)와 유사하거나 동일할 수 있다. 일반적으로, 도시된 MPS(1200)는 센서들 및 검출기들의 4개의 분리 그룹(예컨대, 센서들(1202a-1202d)); 신호 컨디셔닝 및 신호 컨디셔너의 4개의 분리 그룹(예컨대, 신호 컨디셔너(1204a-1204d)); 트립 결정의 4개의 분리 그룹들(예컨대, 트립 결정들(1208a-1208d)); RTS 투표 및 반응기 트립 브레이커의 2개의 구분(예컨대, 구분 I RTS 투표(1214) 및 구분 II RTS 투표(1216)); 공학적 안전 시설 발동 시스템(ESFAS) 투표 및 공학적 안전 시설(ESP)장비(예컨대, 구분 I ESFAS 투표(1212) 및 ESF 장비(1224), 및 구분 II ESFAS 투표(1218) 및 ESF 장비(1226))을 포함한다.

일반적으로, 센서들(1202a-1202d)은 압력, 온도, 레벨, 유체 유속 및 중성자 자속과 같은 서로 다른 프로세스 매개변수들을 측정하는 것을 담당하는 프로세스 센서들을 포함한다. 따라서, 원자력 시스템(150)의 각각의 프로세스 매개변수는 서로 다른 센서들을 사용하여 측정되고 서로 다른 로직 엔진들에 의해 실행되는 서로 다른 알고리즘들에 의해 처리된다. 일부 실시태양들에서, 중성자 플럭스 센서들은 셧다운 조건에서부터 최대 전력의 120%에 이르기까지 반응기 코어에서 중성자 플럭스를 측정하는 것을 담당한다. 소스 범위, 중간 범위 및 전력 범위를 포함하여 3가지 유형의 중성자 플럭스 검출기가 MPS(1200)에서 사용될 수 있다.

일반적으로, 신호 컨디셔너들(1204a-1204d)은 센서들(1202a-1202d)로부터 측정치들을 수신하고, 측정치들을 처리하고, 출력들을 제공한다. 일부 실시형태들에서, 신호 컨디셔너들(1204a-1204d)에 대한 센서들(1202a-1202d)의 상호연결들은 전용 구리선 또는 일부 다른 신호 전송 방법일 수 있다.

신호 컨디셔너들(1204a-1204d) 각각은 도 21에 도시된 바와 같이 센서들(1202a-1202d)로부터의 필드 입력들을 컨디셔닝, 측정, 필터링, 및 샘플링하는 것을 담당하는 (예컨대, 센서 입력들의 수에 따라 임의의 수의 모듈들을 나타내는) 다수의 입력 모듈(2104a-2104d)로 구성될 수 있다. 각각의 입력 모듈(2104a-2104d)은 24V 또는 48V 디지털 입력, 4-20mA 아날로그 입력, 0-10V 아날로그 입력, 저항 열 검출기 입력 또는 열전쌍 입력과 같은 특정한 입력 유형에 전용될 수 있다.

각각의 입력 모듈(2104a-2104d)은 아날로그 회로(2106) 및 디지털 회로(2108)로 구성될 수 있다. 아날로그 회로(2106)는 아날로그 전압 또는 전류를 디지털 표현으로 변환시키는 것을 담당한다. 또한, 이는 신호 컨디셔닝 회로라고 언급된다. 각각의 입력 모듈(2104a-2104d)의 디지털 부분(2108)은 로직 엔진 내에 위치할 수 있다. 로직 엔진은 입력 모듈 제어, 샘플 및 홀드 필터링, 무결성 체크, 자체 테스팅, 및 디지털 필터링 기능들 모두를 수행한다. 센서 출력의 디지털 표현은 신호 컨디셔너들(1204a-1204d)로부터 일부 예들에서 직렬 인터페이스를 사용하는 출력들을 통해 트립 결정(1208a-1208d)으로 전달된다. 일부 구현 예들에서, 센서 출력은 임의의 적절한 전송 채널(예컨대, 광섬유, 구리선 등)을 통해 센서들(1202a-1202d)로부터 대응하는 신호 컨디셔너(1204a-1204d)로 전달될 수 있다.

도 13은 MPS(1200)의 분리 그룹 신호 컨디셔닝 및 트립 결정(1204a/1208a)(예컨대, 분리 그룹(A)) 통신 아키텍처의 대표적인 구현 예의 개략도이다. 도 12 및 도 13을 참조하면, 트립 결정들(1208a-1208d)은 일반적으로 위에서 설명한 바와 같이 신호 컨디셔너들(1204a-1204d)로부터 직렬 인터페이스를 통해 디지털 포맷의 센서 입력 값들을 수신한다. 트립 결정들(1208a-1208d)은 각각 (도 21을 참조하여 더 완전하게 설명되는) 독립적인 안전 기능 모듈들(SFM1-SFMn)(1300)로 구성되며, 여기서 특정 모듈은 한 세트의 안전 기능들을 구현한다(예컨대, 한 세트는 특정한 프로세스 매개변수에 관련된 단일 안전 기능 또는 다수의 안전 기능일 수 있다). 예를 들어, 한 세트의 안전 기능들은 동일한 압력 입력으로부터의 높고 낮은 트립과 같은 주요 변수에 관한 한 그룹의 기능들로 이루어질 수 있다. 각각의 SFM(1300)에는 한 세트의 안전 기능들을 구현하는 데 전용된 고유한 로직 엔진이 포함되어 있다. 이는 각각의 세트의 안전 기능들의 게이트 레벨 구현이 다른 모든 세트의 안전 기능들과는 완전히 다른 결과를 초래한다.

센서 입력 값들은 결정론적 경로를 통해 통신될 수 있고, 각각의 트립 결정(1208a-1208d)에서 특정한 SFM(1300)에 제공된다. 그리고 나서, 이러한 입력 값들은 그러한 특정 SFM(1300) 상에 어떤 안전 기능, 또는 한 세트의 안전 기능들이 구현되는지를 결정하도록 공학 단위로 변환된다. 트립 결정들(1208a-1208d)은 일부 예들에서 분리된 송신 전용 광섬유 연결을 통해 이러한 공학 단위 값들을 제어 시스템에 제공한다. 더 구체적으로, 상기 트립 결정은 적절한 공학 유닛 값들을 MIB(1208)에 제공할 수 있으며, MIB(1208)는 상기 제어 시스템에 상기 값들을 제공한다.

각각의 SFM(1300) 내의 트립 결정(1208a-1208d) 각각은 필요한 경우 사전에 결정된 세트 포인트에 기초하여 반응기 트립 결정을 하고, 분리되고 경우에 따라서는 3중 용장된 송신 전용 직렬 연결들을 통해 트립 또는 무-트립 요구 신호를 각각의 RTS 구분(예컨대, 구분들 I 및 II의 RTS 투표(1214, 1216) 각각)에 제공한다. SFM들은 또한 필요한 경우 사전에 결정된 세트 포인트에 기초하여 ESFAS 발동 결정을 하고, 분리되고 경우에 따라서는 3중 용장된 송신 전용 직렬 연결들을 통해 발동 또는 비-발동 요구 신호를 각각의 ESFAS 구분(예컨대, 구분들 I 및 II의 ESFAS 투표(1212, 1218) 각각)에 제공한다.

도 13에 도시된 바와 같이, 예를 들어, 특정한 트립 결정 SFM(1300)은 스케줄링 및 바이패스 모듈들(SBM)(1306)을 통해 트립 또는 무-트립 요구 신호를 ESFAS 투표(1212/1218)에 제공한다. 트립 결정 SFM(1300)은 스케쥴링 및 바이패스 모듈들(SBM)(1306)을 통해 트립 또는 무-트립 요구 신호를 RTS 투표(1214/1216)로 제공한다. SBM들(1306)의 출력은 또한 일반적으로 트립 결정들(1208a-1208d)로부터의 출력들(1210a-1210d)로서 도 12에 도시되어 있다.

도 12로 돌아가면, 각각의 RTS 구분(예컨대, 구분 I에 대하여는 RTS 투표(1214) 그리고 구분 II에 대하여는 RTS 투표(1216))은 분리되고 일부 실시형태들에서는 용장된(예컨대, 2중, 3중 또는 기타) 수신 전용 직렬 연결들, 광섬유 또는 다른 연결들을 통해 위에서 설명한 바와 같은 3중 결정들(1208a-1208d)(분리 그룹들 A, B, C, D)로부터 입력들(1210a-1210d)을 수신한다. RTS 투표 및 로직은 대표적인 구현 예에서 필요한 경우 어떠한 단일 고장도 보호 장치 발동을 방지하지 않을 수 있고 그리고 트립 결정 신호(1210a-1210d)의 어떠한 단일 고장도 불필요한 보호 장치 발동을 발생시킬 수 없도록 구성되어 있다. RTS 시스템은 비상 코어 냉각 시스템 및 붕괴 열 제거 시스템과 같은 임계 시스템들의 자동 및 수동 개시 양자 모두를 제공할 수 있다.

트립 입력들은 트립 결정들(1208a-1208d)로부터의 2개 이상의 반응기 트립 입력들이 대응하는 구분에 연관된 반응기 트립 브레이커(RTB)(1224)에 대한 트립 코일들을 발동시키는 자동 반응기 트립 출력 신호를 출력들(1228, 1230) 상에서 (각각의 구분에 대해 적절하게) 생성하도록 RTS 투표 로직에서 조합된다.

대표적인 구현 예에서 ESFAS 투표 및 로직은 필요한 경우 어떠한 단일 고장도 보호 장치 발동을 방지할 수 없고, 트립 결정 신호(예컨대, 1210a-1210d)에서의 어떠한 단일 고장도 불필요한 보호 장치 발동을 발생시킬 수 없도록 구성된다. ESFAS 시스템은 비상 코어 냉각 시스템 및 붕괴 열 제거 시스템과 같은 임계 시스템들의 자동 및 수동 개시 양자 모두를 제공할 수 있다.

각각의 ESFAS 투표(1212/1218)는 분리되고 일부 실시형태들에서 용장된(예컨대, 2중, 3중, 또는 기타) 수신 전용 광섬유 연결들을 통해 위에 설명한 바와 같은 트립 결정들(1208a-1208d)(분리 그룹 A, B, C 및 D)로부터 입력들(1210a-1210d)을 수신한다. 발동 로직 및 투표는 ESFAS 투표(1212/1218) 내에서 이루어진다. ESFAS 투표(1212/1218)는 발동 요구 신호를 ESFAS 우선순위 로직(1220/1222) 각각에 전송하며, 이는 적절한 ESF 장비(1224, 1226)를 발동시킨다.

도 14는 대표적인 분리 그룹 및 구분 반응기 트립 시스템(RTS) 및 ESFAS 통신 아키텍처의 개략도(1400)이다. 예를 들어, 도 14는 신호 컨디셔닝 및 트립 결정 그룹 A(1204a/1208a), RTS 투표 구분 I(1214), 및 ESFAS 투표 구분 I(1212)의 개별 구성요소 모듈들을 보여준다. 또한, 도 14는 분리 그룹(HWM(1310)), RTS 구분(HWM(1402) 및 ESFAS 구분(HWM(1408))에 연관된 고정 배선 모듈들(HWM)을 보여준다. 이하에서 더 상세히 설명되겠지만, 각각의 HWM(1310/1402/1408)은 대응하는 백플레인(1312/1404/1406)을 통해 고정 배선 아날로그 신호들을 연관된 구성요소 모듈들에 전달한다.

도 12 - 도 14를 종합하여 참조하면, MPS(1200)의 주요 목적은 프로세스 매개변수들을 모니터링하고 비정상 조건들에 응답하여 자동 개시 신호들을 제공하여 정상 상태 및 과도 전력 작동 중에 안전하지 않은 원자력 시스템 작동을 방지한다. 각각의 원자력 시스템에 대해 하나의 MPS(1200)가 있다. MPS(1200)가 수행하는 2가지 주요 기능은 다음과 같다. 플랜트 매개변수를 모니터링하고 플랜트 안전 분석의 분석 한도에 기초하여 이루어지는 특정된 세트 포인트들에 예상된 작동 상황 동안 도달하거나 초과할 경우 반응기를 트립한다. RTS에 대한 대표적인 원자력 시스템 반응기 트립 기능들은 표 1(도 27에 도시됨)에 열거되어 있으며, 플랜트 매개변수들을 모니터링하고 플랜트 안전 분석의 분석 한도에 기초하여 이루어진 특정된 세트 포인트들에 예상된 작동 상황 동안 도달하거나 초과할 경우 ESFAS 장비를 발동시킨다. ESFAS 장비의 발동은 반응기 코어 및 반응기 냉각재 시스템 구성요소들의 손상을 방지하거나 완화하고 격납 무결성을 보장한다. 대표적인 ESFAS 기능들이 표 2(도 28a-28c에 도시됨)에 요약되어 있다.

또한, MPS(1200)는 비-안전 관련 MCS(155)(도 1에 도시됨), 유지보수 워크스테이션(MWS)(1316) 및 SDIS(도 18의 1800)에 상태 및 정보 신호를 전송하고, 사고 후 모니터링(PAM) 기능에 대한 모니터링을 수행한다..

MPS(1200)는 FPGA(field programmable gate array) 기반 시스템인 고집적 보호 시스템 플랫폼상에 구축된다. MPS(1200)은 위에서 설명한 바와같은 독립성, 용장성, 예측 가능성 및 반복성, 다양성 및 심층 방어의 기본적인 I&C 설계 원칙을 통합한다.

MPS(1200)는 다음과 같은 안전 관련 요소들을 포함할 수 있다. 분리 그룹 센서 전자장치 및 입력 패널; 신호 컨디셔닝의 4개의 분리 그룹; 트립 결정의 4개의 분리 그룹; 구분 전력 분배 패널; 비-안전 관련 고 신뢰성 DC 전력 시스템(EDSS) 전력 공급원으로부터 분리 및 전력 모니터링을 제공하는 클래스 IE 구성요소; 비-안전 관련 EDSS로부터의 분리 기능을 또한 제공하는 센서들 및 MPS 구성요소들을 위한 전력 공급원들; EDSS 배터리 충전기들에 대한 480VAC의 손실을 검출하기 위한 8개의 전압 센서; 4개의 반응기 트립 브레이커; 4개의 가압기 히터 트립 브레이커; 2개의 비-안전 관련 MWS; 2개의 비-안전 관련 MPS 게이트웨이들(1314); PAM 전용 모드를 위한 구분당 3개의 24시간 타이머; RTS 투표 및 발동 장비(1214/1213)의 2 개 구획; ESFAS 투표 및 발동 장비(1212/1218)의 2개의 구분; 반응기 트립 브레이커들(1244) 및 관련 케이블링 가압기 히터 트립 브레이커들 및 관련 케이블링; 저전압 AC 배전 시스템(ELVS)(480) VAC 버스 전압 센서 및 MPS에 대한 입력을 위한 관련 케이블링. MPS 경계는 상기 센서들 및 검출기의들의 출력 연결들로부터 발동 된 구성요소의 입력 연결들에 이르기까지 확장된다.

신호 컨디셔닝(1204a-1204d)을 위한 SFM(1300)은 도 12에 도시된 바와 같은 프로세스 매개변수들을 측정하기 위해 프로세스 센서들 및 검출기들로부터 입력들을 수신한다. 신호 컨디셔닝(1204a-1204d)에 대한 프로세스 센서들 및 검출기들의 상호연결들은 전용 구리 와이어들이고 센서 요구사항들에 기초하여 필요한 곳에서 제공된 대로 라우팅된다. SFM(1300)은 신호 컨디셔닝; 트립 결정; 통신 엔진들과 같은 3가지 주요 기능들을 수행한다. 신호 컨디셔닝 기능은 신호 컨디셔닝 회로, 아날로그-디지털 컨버터 및 직렬 인터페이스로 이루어진 SFM(1300)의 일부인 입력 모듈들로 구성된다. 신호 컨디셔닝 기능은 필드 입력들의 컨디셔닝, 측정, 필터링 및 샘플링을 담당한다.

트립 결정(1208a-1208d)은 신호 컨디셔닝 블록으로부터 직렬 인터페이스를 통해 디지털 포맷의 프로세스 및 검출기 입력 값들을 수신한다. 트립 결정(1208a-1208d)은 안전 기능 알고리즘을 수행하고 사전에 결정된 세트 포인트에 기초하여 트립 결정을 하고, 분리되고, 일부 실시형태들에서 용장된 (예컨대, 2중, 3중 또는 기타) 송신 전용 직렬 연결들을 통해 트립 또는 무-트립 요구 신호를 각각의 RTS R구분(1214/1216)에 제공한다. SFM(1300)은 또한, 사전에 결정된 세트 포인트에 기초하여 ESFAS 발동 결정을 내리고 분리된 송신 전용 직렬 연결들을 통해 발동 또는 비-발동 요구 신호를 각각의 ESFAS 구분(1212/1218)에 제공한다.

SFM 내에는 2가지 다른 로직 기능, 다시 말하면 모니터링 및 표시 버스(MIB) 기능 및 교정 및 테스팅 버스(CTB) 기능이 있다. MIB 로직 함수는 코어 로직 경로들 각각으로부터 매개변수들, 트립 결정, 상태 및 진단 정보를 획득하고 그를 MIB 에 제공한다. CTB 기능 로직은 SFM(1300)이 서비스 불능일 때 MWS(1316)가 비-휘발성 메모리 내의 튜닝 가능한 매개변수들을 업데이트하는 것을 허용한다. 도 13에는 인터페이싱 모듈들(1306/1308)에 대한 SFM(1300)의 상호연결을 보여주는 분리 그룹 아키텍처가 도시되어 있다.

SFM(1300) 통신 엔진은 트립을 전송하고 섀시 백플레인(1312) 상의 3개의 안전 데이터 버스(SDB1, SDB2, SDB3)(1302)로 데이터를 발동시키고 데이터는 스케줄링 및 바이패스 모듈들(SBM SD1, SBM SD2, SBM SD3)(1306)을 통해 수신된다. 스케줄링 및 바이패스 모듈들(SBM)(1306)은 이들에 연관된 버스의 버스 마스터이며 통신 스케줄링을 담당한다. 통신 경로들 및 장비가 용장되어 단일 데이터 경로 상에서 단일의 고장 또는 다수의 고장에 대해 안전 데이터 결함을 허용하게 해준다. SBM(1306)은 데이터의 유효성을 검사하고 그것을 RTS(1214/1216) 및 ESFAS(1212/1218)의 양자 모두의 구분들에 대한 분리된 단방향 송신 연결들을 통해 그들의 대응하는 스케줄링 및 투표 모듈들(SVM)(1410/1420)에 전송한다. 4개의 분리 그룹에 대한 용장 데이터는 도 12에 도시된 바와 같이 RTS(1214/1216) 및 ESFAS(1212/1218)의 각각의 구분에 의해 수신된다.

SFM(1300) 및 SBM(1306)에 대한 모든 상태 및 진단 정보가 MIB에 제공된다. MIB 통신 모듈(MIB-CM)(1308)은 MIB에 대한 버스 마스터이며 MIB에 대한 통신을 스케줄링한다. MIB-CM(1308)은 상태 및 진단 정보를 분리된 단방향 송신 전용 출력을 통해 MCS(155) 및 MPS 게이트웨이(1314)에 제공한다. MPS 게이트웨이(1314)는 데이터를 MWS(1316) 및 SDIS(1800)로 전송한다. MIB-CM(1308)은 또한, CTB(경로(1304))를 통해 MWS(1316)로부터 SFM(1300)으로의 통신 경로를 제공하여 각각의 안전 기능에 대한 교정 및 매개변수 업데이트들을 허용한다. 일부 구현 예들에서, 안전 기능은 작동하지 않아야 하며, MWS(1316)로부터 MIB-CM(1308)으로의 임시 케이블(1318)은 채널의 교정 또는 매개변수들의 변경을 하도록 요구된다. MWS(1318)는 임시 케이블(1318)을 사용하여 한 번에 하나의 분리 그룹에만 액세스할 수 있다.

분리 그룹 신호 컨디셔닝 및 트립 결정(1204a/1208a)은 또한, 수동 바이패스 제어들을 제공한다. 주 제어실(MCR)의 수동 스위치들은 운전자가 반응기 트립을 수동으로 개시하는 것을 허용하고 하나 이상의 분리 그룹 신호들에 대한 바이패스 제어들은 대응하는 트립 신호를 수동으로 바이패스하도록 제공된다. 수동 스위치들은 분리 그룹 고정 배선 모듈(HWM)(1310)을 통해 SFM(1300)에 연관된 트립 결정 로직에 입력된다. 분리 그룹 HWM(1310)은 아날로그 고정 배선 백플레인(11312)을 통해 SFM(1300), SBM(1406) 및 MIB(1308)에 연결된다.

각각의 분리 그룹 및 각각의 구분에 대해 MIB가 포함된다. 구분 MIB-CM(1412/1422)은 구분 RTS 및 ESFAS MIB-CM(1412/1422)에 이용 가능한 교정이 없으므로 모니터링 및 표시 기능만을 담당한다.

일부 실시형태들에서, RTS 매개변수가 사전에 결정된 한도를 초과할 때 반응기 트립 브레이커들(1244)을 자동으로 개방시키는데 필요한 로직 결정들을 완료하기 위해, RTS는 4개의 용장 트립 결정 신호들을 각각의 분리 그룹(A, B, C, D)으로부터 하나씩 사용한다. RTS에 대한 대표적인 분석 한도들은 (위의) 표 1에 나타나 있다.

각각의 분리 그룹에 대한 SFM(1300)은 RTS 구분들(1214/1216) 양자 모두에서 SBM(1306)을 통해 SVM(1410)으로 전송되는 트립 신호를 생성한다. SVM(1410)은 트립 결정 상태에서 비-다수 투표, 예컨대 4개 중 2개(2004) 일치 로직 투표를 수행한다. 예를 들어, 2개 이상의 트립 결정 신호가 반응기 트립을 발생시키는 경우, 트립 신호가 SVM에서 생성되어 반응기 트립 브레이커들(1244)을 개방하도록 관련 장비 인터페이스 모듈(EIM)(1414)에 전송된다.

RTS의 각각의 EIM(1414)은 SVM들(1410)에서 생성된 출력들으로부터의 용장 트립 신호들을 수신하고 도 14에 도시된 바와 같은 입력 신호들로부터, 다수 투표, 예컨대, 3개 중 2개(2003) 투표에 기초하여 트립 신호를 제공한다. RTS(1214/1216) 회로 및 반응기 트립 브레이커들(1244)의 2개의 구분은 단일 고장으로 인해 RTS 기능이 손실되지 않게 하기 위해 제공된다. 반응기 트립 브레이커들(1244)은 예컨대 도 2bdp 도시된 바와 같은 직렬-병렬 구성으로 구성될 수 있다.

위에서 설명한 한 바와 같은, SVM(1410) 및 EIM(1414) 간 투표 단의 분리는 더 효율적이고 더 강건한 투표 방식을 제공한다. SVM의 비-다수 투표 방식은 3개의 SVM(1410)에 걸쳐 3중화되며 EIM은 SVM 투표 결과를 집계한다. EIM(1414)은 SVM 신호들에 대한 다수결을 실시한다.

EIM(1414)은 MPS(1200)에 의해 발동되는 양자 모두의 RTS 구분(1214/1216)의 각각의 반응기 트립 브레이커(1244)용으로 포함된다. 각각의 반응기 트립 브레이커 EIM(1414)는 2개의 분리 로직 경로를 지닌다. 1차 코일은 부족전압 트립 회로에 연결되고 2차 코일은 각각의 반응기 트립 브레이커(1244)용 분로 트립 회로에 연결된다. 각각의 RTS 구분(1214/1216)은 각각의 병렬 경로에서 하나의 반응기 트립 브레이커(1244)를 제어한다. 이러한 구성은 어느 한 구분(1214/1216)이 반응기 트립을 달성하는 것을 허용한다. SVM(1410)에서 반응기 트립 신호가 발생하면 부족전압 트립 회로에는 전력이 공급되지 않고, 분로 트립 회로에는 전력이 공급된다. 어느 한 동작으로 4개 모두의 반응기 트립 브레이커(1244)가 개방된다. 이때, 제어봉 구동 전력 공급원으로부터 전력이 중단되고 제어봉들이 중력에 의해 코어에 삽입된다.

RTS는 또한 수동 트립 기능을 제공한다. MCR의 수동 스위치들을 통해 운영자가 수동으로 반응기 트립을 개시할 수 있다. 반응기 트립을 수동으로 개시하기 위해 2개의 수동 스위치가 구분당 하나씩 제공된다. 수동 스위치들은 RTS 고정 배선 모듈(HWM)(1402)을 통해 반응기 트립 시스템 EIM(1414)에 연관된 발동 및 우선순위 로직(APL)에 입력된다. RTS HWM(1402)은 아날로그 고정배선 백플레인(1404)을 통해SVM(1410), EIM(1414) 및 MIB(1412)에 연결된다. 수동 트립 기능들 외에도, RTS HWM(1402)은 하나 이상의 RTS 트립 신호들, 비-IE 인에이블(예컨대, 비-안전 인에이블) 및 비-안전 제어 신호들에 대한 작동 바이패스 제어들을 제공할 수 있다. 일부 구현 예들에서, 비-IE 인에이블 제어들은 비-안전 관련 시스템들로부터의 제어 신호들이 RTS 시스템 작동들을 제어(예컨대, RTB들(1244)을 조작)하는 것을 가능하게 한다.

APL은 3개의 소스, 다시 말하면 SFM(1300)으로부터의 디지털 트립 신호; 관련 RTS 구분(1214/1216)으로부터의 비-디지털 수동 트립 신호; MCS(155)로부터의 비-디지털 수동 제어 신호들로부터의 명령들을 수신한다.

비-디지털(예컨대, 아날로그) 신호들은 MPS(1200)의 디지털 부분과는 다르다. 이산 로직은 최우선순위에 기초하여 단일 장치를 발동시키기 위해 APL에 의해 사용된다. 디지털 시스템의 상태에 관계없이, 수동 개시는 항상 구분 레벨에서 수행될 수 있다. 인에이블 비-안전 제어 허용이 활성 상태에 있고 자동 또는 수동 발동 신호가 존재하지 않을 경우에 MCS(155)는 반응기 트립 브레이커를 조작할 수 있다.

APL로부터의 결과는 EIM(1414)에 접속된 장비를 발동시키는데 사용된다. EIM(1414)에 반응기 트립 브레이커 상태가 제공된다. 브레이커 상태 정보는 SDB 신호의 상태와 함께 MIB-CM(1412)에 보내진다.

일부 실시형태들에서, ESFAS는 도 12에 도시된 바와 같이 필요한 ESF들의 작동을 자동으로 개시하는데 필요한 로직 결정들을 완료하기 위해 각각의 분리 그룹(A, B, C, D)으로부터 하나씩 4개의 용장 발동 결정 신호를 사용한다. ESFAS에 대한 대표적인 분석 한도는 (위의) 표 2에 나타나 있다.

ESFAS 매개변수가 사전에 결정된 한도를 초과하면, 각각의 분리 그룹에 대한 SFM(1300)은 ESFAS 구분들(1212/1218) 양자 모두에서 SBM(1306)을 통해 SVM(1420)으로 보내지는 발동 신호를 생성한다. SVM(1420)은 트립 결정 상태에 관한 비-다수 투표(예컨대, 4개 중 2개의 일치 로직 투표)를 수행한다. 2개 이상의 발동 신호가 ESF 시스템의 발동을 발생시키는 경우, 발동 신호가 SVM(1420)에서 발생된다. 이때, 상기 신호는 관련 ESM 시스템(1424)으로 보내져서 관련 ESF 시스템의 솔레노이드를 비-작동시키거나 관련 ESF 시스템의 브레이커들을 개방시킨다.

EIM(1424)은 MPS(1200)에 의해 작동되는 각각의 ESF 구성요소에 대한 각각의 구분(1212/1218)에 포함된다. 각각의 EIM(1424)은 별개의 ESF 구성요소들에 대한 연결을 허용하기 위해 2개의 개별 로직 경로를 지닐 수 있다. 각각의 구성요소는 2개의 개별적인 EIM(1424)에 연결되고, 그럼으로써 2개의 EIM(1424)가 도 15에 도시된 바와 같이 각각의 구성요소에 용장 제어를 제공하게 된다. 이는 EIM(1424)이 작동 중단되어 연결된 장비를 발동시키지 않고 온라인으로 교체되는 것을 허용한다.

위에서 설명한 바와 같이, SVM(1420) 및 EIM(1424) 간 투표단들의 분리는 더 효율적이고 더 강건한 투표 방식을 제공한다. SVM의 비-다수 투표 방식은 다수의(예컨대, 3 개의) SVM(1420)에 걸쳐 용장 방식으로 수행될 수 있고, EIM(1424)은 SVM 투표 결과를 집성한다. EIM(1424)은 SVM 신호에 대해 다수결을 실시한다.

도 15는 ESFAS EIM(1424a/1424b)의 대표적인 구현 예의 개략도(1500)이다. ESFAS 발동 신호가 SVM(1420)에서 발생 될 때, EIM들(1424a/1424b)로부터의 4개 모두의 스위칭 출력(1504-1510)은 도 15에 도시된 바와 같이 발동한다. 예를 들어, 구성요소들은 구성요소 솔레노이드(1512/1518)에 대한 전력이 차단될 때 발동될 수 있다. 솔레노이드의 전력이 차단되고, 구성요소들의 상태가 그들의 전력이 차단된 위치로 변경된다. 가압 장치 히터의 경우, 부족전압 트립 회로에 전력이 차단되고 분로 트립 회로에 전력이 공급된다. 어느 동작으로도 4개 모두의 브레이커가 열리게 된다.

ESFAS는 또한, 수동 발동 기능을 제공할 수 있다. 예를 들어 일부 구현 에들에서는, MCR의 수동 스위치를 사용하여 운영자가 수동으로 ESF 기능을 개시할 수 있다. 이러한 수동 스위치들은 각각의 ESF 기능을 수동으로 개시하기 위해 구분(1212/1218)당 하나씩 제공된다. 이러한 수동 스위치들은 ESFAS HWM(1408)을 통해 공학적 안전 시설 발동 시스템 EIM(1424)에 연관된 APL로의 입력들이다. ESFAS HWM(1408)은 아날로그 고정 배선 백플레인(1406)을 통해 SVM들(1420), EIM(1424) 및 MIB(1422)에 연결된다. ESFAS HWM(1408)은 수동 ESF 구성요소 발동 기능에 추가하여 하나 이상의 ESFAS 트립 신호들, 비-IE 인에이블 제어(예컨대, 비-안전 인에이블), 및 비-안전 제어 신호들에 대한 작동 바이패스 제어들을 제공할 수 있다. 일부 구현 예들에서, 비-IE 인에이블 제어는 비-안전 관련 시스템들로부터의 제어들이 ESFAS 시스템 작동들을 제어(예컨대, ESF 구성요소들을 조작)하는 것을 가능하게 한다.

APL은 3개의 소스, 다시 말하면 SFM(1300)으로부터의 디지털 트립 신호, 자체 ESFAS 구분(1212/1218)으로부터의 비-디지털 수동 트립 신호, MCS(155)로부터의 비-디지털 수동 제어 신호들로부터의 명령들을 수신한다.

비-디지털(예컨대, 아날로그) 신호들은 MPS(1200)의 디지털 부분과는 다르다. 이산 로직은 최우선순위에 기초하여 단일 장치를 발동시키기 위해 APL에 의해 사용된다. 디지털 시스템의 상태에 관계없이, 수동 개시는 항상 구분 레벨에서 수행될 수 있다. 인에이블 비-안전 관련 제어 허용이 활성 상태에 있고 자동 또는 수동 발동 신호가 존재하지 않을 경우에 MCS(155)는 ESF 구성요소들을 제어(예컨대, 조작)할 수 있다.

APL로부터의 결과는 EIM(1424)에 접속된 장비를 제어 및 발동시키는데 사용된다. 각각의 EIM(1424)에 장비 상태가 전송된다. 장비 상태 정보는 SDB 신호들의 상태와 함께 MIB-CM(1422)에 보내진다.

각각의 MPS(1200) 분리 그룹 및 구분과 아울러, MPS 게이트웨이(1314)는 전용 HWM(예컨대, 분리 그룹 HWM(1310), RTS HWM(1402) 및 ESFAS HWM(1408))을 지닌다. HWM들의 특징들은 도 25과 관련하여 더 상세하게 설명된다. HWM은 MPS 캐비닛 외부의 고정 배선 신호들을 수용하고 그들을 다른 모듈들(예컨대, 백플레인(1312, 1404, 1406))에 대한 섀시 백플레인 상에서 이용할 수 있게 한다. 이러한 신호들은 수동 발동 스위치들, 작동 바이패스 스위치들, 오버라이드 스위치들 및 MCR(155)로부터의 인에이블 비-안전 제어 스위치들을 포함한다. 작동 바이패스 및 오버라이드 스위치들은 이하에서 더 상세하게 설명된다. HWM의 다른 입력들로는 SFM(1300) 트립/바이패스 스위치들, MCS(155) 제어 입력들, 및 구성요소 위치 피드백이 있다.

도 16은 MPS 게이트웨이(1314)의 대표적인 구현 예의 개략도이다. MPS의 각각의 구분은 비-안전 관련 MPS 게이트웨이(1314)를 지닌다. MPS 게이트웨이는 4개의 분리 그룹(예컨대, 그룹들(A, B, C, D)), RTS(1214/1216)의 2개의 구분 및 ESFAS(1212/1218)로부터 수신된 정보를 통합하는 복수의 통신 모듈들(1602)을 포함한다. 또한, MPS 게이트웨이(1314)는 타이머 SFM(1612)을 통해 3개의 24-시간 타이머(1614)의 상태를 판독할 뿐만 아니라 PAM 전용 모드에 대해 상기 장비로부터 HWM(1624)으로 장비 상태 피드백(위치 피드백(1622))을 수집할 수 있다. MPS 게이트웨이(1314)에 전송된 정보 모두는 게이트웨이 마스터(1604)로서 작용하는 단일 통신 모듈에 의해 통합된다. 분리 그룹 및 구분 통신 모듈들(1602) 및 타이머 SFM(1612)은 RS-485 물리 계층(1608)을 통해 게이트웨이 마스터(1604)와 통신한다. MPS 게이트웨이 백플레인(1626) 상의 게이트웨이 마스터(1604)는 그 후 도 16에 도시된 바와 같이 통합된 데이터를 적합하고 분리된 단방향 통신 경로를 통해 MWS(1316) 및 SDIS 허브들에 전송한다. 각각의 구분에 대해 하나의 MPS 게이트웨이(1314)가 있다.

MPS(1200)의 각각의 구분은 유지보수 및 교정의 목적으로 비-안전 관련 MWS(1316)를 지닌다. 단방향, 판독 전용 데이터는 그 구분을 위해 MPS 게이트웨이(1314)를 통해 제공되며 각각의 구분의 MWS(1316) 상에서 연속적으로 이용 가능하다. MWS(1316)는 안전 기능이 작동하지 않을 때 SFM(1300)에서 튜닝가능 매개변수들을 업데이트하는데 사용된다. SFM(1300)이 안전 기능을 수행하는 데 의존하고 있을 때 SFM(1300)을 수정하지 못하도록 제어들이 실시된다. MWS(1316)는 양방향 통신이 SFM들(1300)에서 세트 포인트 및 튜닝가능 매개변수들을 업데이트하는 것을 허용하는 임시 케이블(1318)을 사용하여 오프라인 유지보수 및 교정에 사용된다. SFM(1300)이 그의 작동 불능(out-of-service) 스위치를 작동시킴으로써 작동되지 않을 경우, SFM(1300)에 연관된 트립/바이패스 스위치의 위치는 SBM(1306)에 의해 판독되고 SFM(1300) 출력에 대한 상태로서 사용된다. MPS(1200)의 각각의 구분은 포인트-투- 포인트(point-to-point) 케이블들(예컨대, 구리 또는 광섬유)을 거쳐 단방향 분리 통신 포트들을 통해 MPS 게이트웨이(1314)를 사용하여 온라인 모니터링의 목적으로 영구적으로 연결된 비-안전-관련 MWS(1316)를 지닌다.

일부 구현 예들에서, EDSS는 MPS(1200)의 전원이다. DC-DC 전압 컨버터들은 MPS 장비의 클래스 IE 분리 및 보호를 위해 사용된다. 구분 I MPS 전력은 클래스 IE 분리를 위해 DC-DC 컨버터를 통해 전력 채널들(A, C)로부터 생성된 후 경매(auctioneer)된다. 구분 II 전력은 구분 I과 유사한 전력 채널들(B, D)로부터 생성된다. 분리 그룹들 각각은 용장 방식으로 공급되고 단일 EDSS 채널에 의해 경매된다. MPS 구분 I에 전력을 공급하는 EDSS 전력 채널들(A, C)은 MPS 구분 II에 전력을 공급하는 EDSS 전력 채널들(B, D)와는 완전히 독립적이다.

일부 구현 예들에서, A 및 D 배터리들에 대한 전체 작동 시간이 24시간이고 B 및 C 배터리들에 대한 전체 작동 시간이 72 시간인 EDSS 배터리들의 공급 전력을 보장하기 위해, ECCS 밸브들을 폐쇄된 상태로 유지하는 것이나 또는 PAM 계측 기능에 관련된 부하만이 ECCS 홀드 모드 및 PAM-전용 모드 동안 작동 상태로 된다. 이러한 부하들에는 센서들, ECCS 밸브 솔레노이드들, 방사선 모니터링(radiation monitoring; RM) 바이오실드 방사선 모니터들, 및 EDSS 배터리 모니터들에 대한 전력을 포함한 MPS 및 중성자 모니터링 시스템(NMS) 캐비닛들이 포함된다. 4개의 센서 중 2개의 센서가 B 및 C 배터리 충전기 스위치기어 양자 모두 상에서 전압 손실을 검출하면, MPS는 반응기 트립, 붕괴 열 제거 시스템(DHRS) 발동, 가압기 히터 트립, 탈염 수 공급 분리, 격납 분리를 자동으로 일으키고 구분당 3개의 24-시간 타이머를 시동한다. 전압 손실 후 처음 24시간 동안 MPS 장비의 4개의 분리 그룹 및 ESFAS 및 RTS의 양자 모두의 구분이 작동 상태로 된다. 플랜트 조건으로 인해 ECCS 발동이 필요하지 않을 경우 ECCS는 ECCS 홀드 모드로 정의된 ECCS가 발동되지 않는다(ECCS 트립 솔레노이드 밸브들이 작동 상태로 된다). 그럼으로써 AC 전력을 복원하고 ECCS의 발동을 방지할 시간을 허용하게 된다. 관련 ESFAS 신호가 이러한 24시간 동안 생성되면 ECCS가 여전히 발동한다. 전력이 B 및 C 배터리 스위치기어로 24시간 내에 복원되지 않으면 24-시간 타이머들이 시간 종료된다. 이때 MPS 구분들 양자 모두에 대한 ESFAS 및 RTS 섀시 및 MWS의 전력은 자동으로 차단된다. 이러한 동작은 ECCS 솔레노이드 트립 밸브들의 전력을 차단하고 ECCS가 발동하게 된다. PAM 계측 장비는 B 및 C EDSS 배터리로 추가적인 48시간 동안(총 72시간 동안) 전력을 공급받게 된다. 이러한 구성은 PAM 전용 모드로 정의된다.

도 17은 원자력 발전소 보호 시스템(PPS)(1700)의 블록도이다. PPS(1700)는 플랜트 레벨에서 매개변수들을 모니터링하고 정상 및 비정상 조건에 응답하여 발동을 실행한다. PPS(1700)는 다수의 원자력 시스템에 공통적인 시스템들을 모니터링하고 제어한다. PPS(1700)에 의해 발동되는 장비 및 모니터링되는 선택된 변수들은 장비는 증대된 레벨의 품질을 요구한다. PPS(1700)는 2개의 독립적이고 용장된 구분들을 포함할 수 있다. 상기 구분들 중 어느 구분이라도 PPS 기능들을 달성할 수 있다.

PPS는 고집적 보호 시스템 플랫폼상에 구축되며 FPGA 기반 시스템이다. 도 17은 하나의 PPS 구분의 아키텍처의 시스템 선도를 보여준다. 2번째 구분의 아키텍처는 마찬가지일 것이다.

PPS(1700)의 구분 I 및 구분 II는 제어 빌딩의 개별 실에 위치할 수 있다. PPS(1700)의 경계들은 센서들 및 검출기들의 출력 연결들로부터 발동 장치의 입력 연결들에 이르기까지 확장된다. 또한, PPS(1700) 경계에는 PPS(1700)의 일부로 분류된 ELVS AC 전압 센서들이 포함된다. PPS(1700)로부터 데이터를 수신하는 비-안전-관련 디스플레이들은 플랜트 제어 시스템(PCS) 또는 SDIS의 일부이다.

프로세스 센서들은 방사선, 레벨 및 전압과 같은 서로 다른 프로세스 매개변수들을 측정한다. 별도의 센서들은 2개의 PPS 구분에 정보를 제공한다. 센서들은 설계 기준 이벤트 전, 도중 및 후의 환경 조건들에 대해 적합하다. 상기 센서들은 PPS(1700)에 입력을 제공하지만 그들이 설치되어 있는 시스템의 일부로 분류된다.

개별 PPS SFM(1704)은 PPS(1700)에 의해 수행되는 각각의 기능에 대해 각각의 구분에 포함된다. 각각의 SFM(1704)은 최대 4개의 센서로부터 입력(1702)을 수용할 수 있다. 신호 컨디셔닝은 센서 신호들을 디지털 표현으로 변환하기 위해 수행된다. SFM(1704)은 디지털 신호들을 사용하여 기능에 대해 발동이 요구되는 지를 결정하는 데 필요한 알고리즘들 및 세트 포인트 비교들을 수행한다. 발동 결정은 SFM들(1704)과 EIM들(1714) 간 용장 통신을 제공하기 위해 3개의 별개의 통신 버스들(1712)로 출력된다. SFM들(1704)은 또한, PCS 및 SDIS)에 보내질 매개변수 값들, 상태 정보, 및 알람들을 위한 통신 출력들을 (예컨대, MIB-CM(1706)을 통해) 제공한다. 각각의 SFM(1704)에 대한 진단 정보도 MWS(1316)로 전송된다.

PPS(1700)의 아키텍처는 발동 신호들에 전용된 3개의 독립적인 데이터 버스(1712)를 사용한다. 3개의 통신 안전 데이터 버스(SDB1, SDB2, SDB3)(1712)는 각각 마스터- 슬레이브 통신 프로토콜로 구성된다. 3개의 용장 SBM(SBM1, SBM2, SBM3)(1718)은 이들에 연관된 버스에 대한 마스터들이고, SFM(1704)에서부터 EIM(1714)에 이르기까지 용장 SDB(1712) 통신들을 제공한다. SDB1, SDB2 및 SDB3(1712)는 발동 신호들을 처리하도록 전용된다.

MIB-CM(1706)은 3개의 SDB 통신 모듈과는 독립적이며, MIB의 마스터이다. 이는 동일한 마스터-슬레이브 통신 프로토콜을 사용하여 정보를 처리하고 SFM(1704), 통신 모듈, 및 EIM(1714) 상의 레지스터들과 인터페이스한다. 이러한 레지스터들은 발동 데이터 경로에 사용되는 레지스터들과는 다르다. MIB-CM(1706)은 MIB를 사용하여 CTB 통신 모듈(1710)과 통신해 MWS(1316)를 업데이트한다. PCS 및 SDIS에 대한 단방향 데이터는 MIB-CM(1706) 분리 데이터 경로들을 통해 전송된다. 이러한 인터페이스는 안전하지 않은 장비의 확실한 고장으로 PPS(1700)의 기능 수행을 방지할 수 없도록 설계되어 있다.

CTB 통신 모듈(1710)은 CTB의 마스터이지만, 정상 작동 중에는 이러한 버스 상에는 어떠한 트랜잭션(transaction)도 없다. CTB는 매개변수들의 교정이나 변경 중에 채널이 서비스로부터 제거된 경우에만 활성 상태로 된다. CTB 통신 모듈(1710) 분리 데이터 경로는 단방향 데이터를 MWS(1316)로 전송한다.

EIM(1714)은 PPS(1700)에 의해 발동 또는 모니터링되는 장비의 각각의 부분에 대해 각각의 구분에 포함된다. 각각의 EIM(1714)은 "1차" 구성요소 및 "2차" 구성요소에 대한 연결을 허용하는 2개의 개별적인 로직 경로를 지닐 수 있다. 각각의 구성요소(1716)는 2개의 개별적인 EIM(1714)에 접속되고, 그럼으로써 2개의 EIM(1714)이 각각의 구성요소(1716)에 용장 제어를 제공하게 된다. 이는 EIM(1714)이 작동되지 않고 어떠한 장비(1716)도 발동시키지 않고 온라인으로 대체되는 것을 허용한다.

용장 SDB들(1712)로부터의 발동 신호들은 조합되어 EIM(1714) 내 APL로 전달된다. APL은 3개의 소스, 다시 말하면 (1) SFM(1704)로부터의 디지털 발동 신호, (2) 자체적인 PPS 구분으로부터의 비-디지털 수동 발동 입력 신호, 및 (3) PCS로부터의 비-디지털 수동 제어 신호들로부터의 명령을 수신한다. 비-디지털 신호들은 PPS(1700)의 디지털 부분과는 다르다. 이산 로직은 최우선순위에 기초하여 단일 장치를 작동시키는 데 APL에 의해 사용된다. 디지털 시스템의 상태에 관계없이, 구분 레벨에서 동작들의 수동 개시 기능이 개시될 수 있다. 운영자에 의해 적절한 구성이 인에이블되면, 구성요소-레벨 제어는 PCS의 사용을 통해 달성될 수 있다.

APL로부터의 결과는 EIM(1714)에 연결된 장비를 제어하고 발동시키는데 사용된다. 장비 상태는 각각의 EIM(1714)에 피드백된다. 장비 피드백 정보는 APL 및 SDB 신호들의 상태와 함께, MIB-CM(1706)에 보내진다.

PPS(1700)의 각각의 구분은 전용 MWS(1316)를 지닌다. 유지보수 활동들을 수행하기 위해, MWS(1316)로부터 장비로의 기록 명령을 수행할 수 있는 능력이 요구된다.

각각의 PPS 구분 캐비닛은 외부 신호들을 수신하고 그들을 다른 모듈에 대한 백플레인(1720) 상에서 이용 가능하게 하는 하나 이상의 HWM들(1722/1724)을 지닌다. 이러한 신호들에는 수동 발동 스위치들, 비-안전 제어 신호들, 및 트립 바이패스 제어들이 포함된다.

PPS(1700)는 다수의 원자력 시스템에 공통인 플랜트 시스템의 모니터링 및 제어를 제공한다. PPS(1700)는 비-안전 관련 시스템이지만, PPS(1700)가 PAM 기능을 지원하기 때문에 PPS(1700)는 증대된 품질 및 규정 요구사항을 충족시키도록 설계되어 있다. 표 3(도 29에 도시됨)에 나타나 있는 PPS(1700)에 의해 모니터링되는 대표적인 변수들 모두는 그러한 시스템들에 의해 요구되는 바와 같이 MCR에서 디슬레이되도록 상기 PCS 및 SDIS에 보내진다. 이들은 PPS(1700)로부터 필요한 PAM 변수들 및 제어실 내 거주 시스템의 발동을 지원하는 디스플레이 및 표시를 제공한다.

도 18은 MPS(1200)의 안전 디스플레이 및 표시 시스템(SIDS)의 대표적인 구현 예의 개략도이다. SDIS는 MPS(1200) 및 PPS(1700) 상태 및 정보 디스플레이에 관련된 정확하고 완전하며 시의적절한 정보를 제공하여 필요할 경우 수동으로 보호 동작들을 개시할 수 있는 능력을 지원한다. 정보의 디스플레이는 모호한 표시들의 가능성을 최소화하고 운영자를 위한 HSI(Human-System Interface)를 향상시키도록 설계되어 있다.

SDIS의 주요 기능들은 다음과 같다: 안전 분석에 의해 정의된 한도 내에서 플랜트가 작동하는 것을 보장하도록 운영자들에게 HSI 및 데이터를 제공함; ESFAS, RTS 및 PPS 세트포인트들에 도달하면 운영자들에게 알림; 사고 후 원자력 발전 시스템이 안전 조건에 있음을 보장하는데 필요한 데이터를 운영자들에게 제공함; 그리고 사고 후 모니터링(PAM)을 지원하기 위해 MPS(1200) 및 PPS(1700) 상태 및 정보 디스플레이에 관련된 정확하고 완전하며 시의적절한 정보를 제공함. SDIS는 MPS 및 PPS에 대해 HSI를 제공하여 PAM 변수들을 모니터링하고 디스플레이하며 제어 입력들 및 상태 정보에 대한 기능을 제공한다. SDIS는 안전 또는 비-안전 관련 시스템일 수 있다. 일부 예들에서, SDIS는 안전과 관련이 없고 위험이 없는 시스템일 수 있지만, 이것이 PAM 기능을 지원하므로 SDIS는 증대된 품질 및 규제 요구사항을 충족시킨다.

매개변수 값들 및 장비 상태에 관한 정보는 MPS(1200) 및 PPS(1700)의 각각의 각각의 구분 및 각각의 분리 그룹으로부터 SDIS에 제공된다.

SDIS는 통신 모듈들을 통해 MPS(1200) 및 PPS(1700)와 인터페이스한다. MPS 인터페이스는 MPS 게이트웨이(1314)로서 언급되고, PPS와의 인터페이스는 MIB 통신 모듈(1706)을 통해 이루어진다. SDIS는 2 개의 독립적인 장비 구분으로 이루어진다. 각각의 SDIS 구분은 통신 허브, 디스플레이 인터페이스 모듈(DIM)(도 20을 참조하여 이하에서 설명됨) 및 디스플레이 패널들로 이루어진다. SDIS 경계들 및 인터페이스들은 도 184에 도시되어 있다.

SDIS 허브(1800)는 MPS 게이트웨이 및 플랜트 보호 시스템 MIB 통신 모듈로부터 데이터를 수신한다. 각각의 MPS 게이트웨이(1314)는 SDIS 허브(1800) 내 개별 통신 모듈(1804)에 데이터를 전달한다. SDIS 허브(1800)는 MPS(1200) 및 PPS(1700)로부터 수신한 데이터를, 대응하는 원자력 시스템 또는 PPS에 연관된 DIM에 광학적으로 분리된 일방향 광섬유 케이블들을 통해 배포한다. 각각의 SDIS 허브 랙에 대한 SDIS 허브(1800) 상의 통신 모듈들(1804) 각각으로부터의 데이터는 단일 통신 모듈로 집성된다. 이러한 모듈은 그의 랙의 백플레인을 통해 상기 랙 상의 통신 모듈들 각각을 폴링(polling)한다. 그 다음, 통신 모듈은 집성된 정보를 광학적으로 분리된 단방향 인터페이스를 통해 PCS(1802)로 보낸다.

SDIS 허브(1800)는 구분당 2개의 통신 모듈 섀시로 분리된다. 제1 섀시에는 원자력 시스템 1 내지 6 및 PPS(1700) 통신 모듈에 관련된 MPS(1200)용 통신 모듈들이 포함되어 있다. 제2 섀시는 원자력 시스템 7 내지 12에 연관된 MPS(1200) 전용 통신 모듈을 수용한다. 통신 모듈들의 제1 섀시 및 제2 섀시는 비-안전 시스템과 인터페이스하기 위한 통신 모듈을 포함한다.

도 19는 MPS(1200)의 SDIS 허브 랙(1900)의 대표적인 구현 예의 개략도이다. SDIS 랙(1900)은 복수의 SDIS 통신 모듈들(1902)을 포함한다. MPS(1200)의 일부 구현 예에서, 각각의 랙(1900)은 모듈형 핵 반응기 시스템의 구분을 위한 SDIS-CM들(1902)을 포함한다. SDIS-CM들(1092)는 RS-485 물리 계층(1904) 상에 상호연결될 수 있다. 예를 들어, 각각의 랙(1900)은 각각의 원자력 모듈(NPM) SDIS-CM이 12개의 원자력 반응기 중 하나에 연관된 I&C 데이터를 수신하고 디스플레이하는 12개의 원자력 모듈(NPM) SDIS-CM들(1902), 및 PPS에 연관된 I&C 데이터를 수신 및 디스플레이하도록 구성된 PPS SDIS-CM들(1902)을 포함한다. 제2 랙(1900)은 유사할 수 있지만 다이버시티를 제공하기 위해 서로 다른 유형들의 소프트웨어 및/또는 하드웨어 구성요소들로 구현될 수 있다. SDIS 랙(1900)은 다수의 반응기 시스템으로부터 I&C 데이터를 집성하는 효율적인 방법을 제공할 수 있다.

또한, 도 20은 MPS(1200)의 디스플레이 시스템(DS)(2000)의 대표적인 구현 예의 블록도이다. DS(2000)는 디지털 디스플레이 패널(2004)(예컨대, 액정 디스플레이(LCD) 또는 발광 다이오드(LED) 디스플레이)과 전기적으로 통신하는 디스플레이 인터페이스 모듈(DIM)(2002)을 포함한다. DS(2000)에는 2개의 독립적인 전력 공급원(2010, 2012)이 포함된다. 각각의 전력 공급원(2010/2012)은 DIM(2002) 및 디스플레이 패널(2004) 양자 모두에 전력을 제공하기 위해 연결된다. 2개의 독립형 전력 공급원(2010/2012)을 사용하면 DS(2000)에 대한 용장 전력의 공급을 보장한다.

SDIS 내 DIM(2002)은 분리된 광섬유-구리 인터페이스를 통해 데이터를 수신한다. 수신된 데이터는 FPGA(2006)에서 디스플레이 준비 포맷으로 변환된다. 예를 들어, DIM(2002)은 적절한 포맷(예컨대, 그래픽 사용자 인터페이스)으로 렌더링될 데이터를 처리하고 또한 상기 패널(2004)을 위한 디스플레이 드라이버로서 기능한다. 따라서, 디스플레이 준비 포맷은 디스플레이 패널(2004)의 픽셀 매트릭스를 구동하기 위한 패널 드라이브 신호들일 수 있다.

그 다음, DIM(2002)은 케이블을 통해 디스플레이 준비 데이터를 디스플레이 패널(2004)에 보낸다. 디스플레이 패널(2004)은 MPS(1200) 및 PPS(1700)로부터 이용 가능한 데이터를 MCR 내 플랜트 운영자들에게 디스플레이한다. 각각의 MPS(1200) 및 PPS(1700)로부터의 데이터는 구분당 하나의 모니터로 자신의 전용 모니터 상에 디스플레이된다. MPS(1200) 및 PPS(1700) 데이터의 양자 모두의 구분들은 양자 모두의 SDIS 구분 디스플레이상에 디스플레이된다.

일부 구현 예들에서, 각각의 DS(2000)는 한 쌍의 DIM들(2002) 및 한 쌍의 디스플레이 패널들(2004)을 포함한다. 데이터 디스플레이의 용장성을 제공하기 위해, DS(2000) 내 각각의 DIM(2002)은 동일한 MPS 또는 PPS 데이터를 제공받는다. 다시 말하면, DS(2000) 내 양자 모두의 DIM들(2002)은 동일한 SDIS 출력에 연결된다. 설계 다이버시티를 제공하기 위해 각각의 DIM(2002) 내 서로 다른 유형의 FPGA(2006)을 사용함으로써 용장성이 추가로 제공된다. 마찬가지로, 각각의 DIM(2002)의 FPGA(2006)는 소프트웨어 다이버시티를 제공하기 위해 서로 다른 데이터 및 그래픽 프로세싱 알고리즘으로 프로그래밍될 수 있다.

도 21은 SFM(2100)의 다른 한 대표적인 구현 예의 개략도이다. 안전 기능 모듈(SFM)(2100)은 할당된 분리 그룹에 대해 반응기 트립 및/또는 ESF 발동 결정을 하도록 센서 입력들을 처리한다. 상기 모듈은 도 21에 도시된 바와 같이 3개의 기능 영역으로 구성된다: 신호 컨디셔닝/아날로그-디지털 변환(입력 서브-모듈)(2104a-2104d), 디지털 로직 회로(2114)(예컨대, 안전 기능 알고리즘, 계산, 진단) 및 통신 엔진(2120).

SFM(2100)은 안전 기능 알고리즘, 공학 단위 계산, 버스 통신 로직, 및 표시 및 진단 정보(IDI) 로직 회로를 포함하는 모든 디지털 로직 회로들을 포함하도록 FPGA(2112) 장치를 사용한다. 작동으로부터의 SFM(2100)의 제거를 허용하도록 SFM(2100)의 전방에 작동 불능(Out Of Service; OOS) 스위치(2124)가 있다. OOS(2124) 스위치가 활성화됨에 따라, 안전 기능은 그러한 SFM(2100)용 트립/바이패스 스위치의 위치에 기초하여 트립 또는 바이패스에 배치되게 된다. 이러한 스위치를 활성화하면 비-휘발성 메모리(NVM)(2110)의 튜닝가능 매개변수들 및 세트포인트들의 수정이 허용된다.

입력 서브-모듈들(2104a-2104d)은 다수의 입력(2102)으로부터 정보를 수신한다. 입력 서브-모듈들(2104a-2104d)은 신호 컨디셔닝 회로(2106), 아날로그-디지털(A/D) 컨버터(2108) 및 직렬 인터페이스를 포함한다. 각각의 SFM(2100)은 다수(예컨대, 4개 이상)의 입력 서브-모듈들(2104a-2104d)을 처리할 수 있다. 입력(2102) 유형은 SFM(2100)이 허용 및 인터록의 생성을 포함하여, 작동 결정을 내리는데 필요한 아날로그 및 디지털(예컨대, RTD, TC, 4-20 mA, 10-50 mA, 0-10 V)의 임의 조합일 수 있다.

논리 함수들은 SFM(2100)의 프로그램가능 부분(FPGA)(2112) 내에 구현된다. 각각의 입력 서브모듈들 각각의 출력은 FPGA(2112)의 다수의 용장 코어 로직 모듈(2114) 신호 경로들 및 MIB 로직 모듈(2116) 로직에 보내진다. 다수의 용장 코어 로직 모듈(2114) 각각은 용장 신호 경로에서 기능 한다. 다수의 용장 코어 로직 모듈(2114)은 안전 기능 알고리즘의 수행, 세트포인트와 안전 기능 알고리즘 출력을 비교하여 트립 및/또는 ESF 발동 결정을 내림, 및 허용 및 제어 인터록들의 생성을 포함하지만 이들에 국한되지 않는 기능들을 수행한다.

다수의 용장 코어 로직 모듈(2114)은 각각 개별 코어 로직 신호 경로 내에서 작동하고 다른 2개의 코어 로직 모듈과 논리적으로 독립적인 기능들을 수행한다. 이는 기능적으로 독립적인 3개의 코어 로직 기능을 허용하며 3개의 용장 신호 경로를 제공한다. 예를 들어, 안전 기능 알고리즘은 안전 기능의 오류 검출 및 결함 허용 기능을 제공하도록 3개의 용장 경로를 통해 처리된다.

FPGA(2112) 내에는 2개의 다른 로직 기능, 다시 말하면 MIB 로직 모듈(2116); 및 CTB 로직 모듈(2118)이 있다. 모니터링 및 표시 버스(MIB) 로직 모듈(2116)은 3개의 용장 코어 로직 경로 각각으로부터 매개변수들, 트립 결정, 상태 및 진단 정보를 획득하고 그 정보를 MIB에 제공한다. 이러한 정보는 MIB-CM 및 MPS 게이트웨이를 통해 MCS, SDI 및 MWS로 전송된다. CTB 로직 모듈(2118)은 SFM(2100)이 작동되지 않을 때(OOS 스위치(2124)가 활성화될 때) MWS가 NVM(2110) 내 튜닝 가능 매개변수들을 업데이트하는 것을 허용한다.

로직 모듈들(2114/2116/2118) 각각은 다수의 결정론적 상태 기계들을 포함한다. 로직 함수 알고리즘은 다수의 용장 경로를 통해 에러 검출 및 내결함성을 제공하도록 처리된다. 기능 또는 기능 그룹에 전용 SFM(2100)을 사용하면 각각의 모듈에 관한 고유한 로직 및 알고리즘으로 인해 소프트웨어 CCF의 결과가 제한된다.

통신 블록은 (예컨대, 다른 한 통신 엔진의 상태에 관계없이 데이터를 송신 할 수 있는) 5개의 분리되고 논리적으로 독립적인 통신 엔진(2120)을 포함한다. 각각의 엔진(2120)은 이하의 통신 버스들, 다시 말하면 안전 데이터 버스 1(SDB1), 안전 데이터 버스 2(SDB2), 안전 데이터 버스 3(SDB3), 모니터링 및 표시 버스(MIB), 및 교정 및 테스트 버스(CTB) 중 하나에 전용된다. 각각의 SDB가 동일한 데이터를 전달하지만, 각각의 통신 포트는 데이터를 다르게 패키징하여 전송한다. SDB1은 예를 들어, 10개의 패킷 데이터를 순차적인 순서(예를 들어, 1, 2, ..., 10)로 전송할 수 있는 반면에, SDB2는 동일한 10개의 패킷을 역순으로 전송한다(예컨대, 10, 9, ..., 1 ), 그리고 SDB3은 홀수 패킷들이 뒤따르는 짝수 패킷들(예컨대, 2, 4, ..., 10, 1, 3, ... 9)을 전송한다.

일부 구현 예들에서, SDB 상의 코어 로직 기능에 대한 트리플 용장성의 사용은 통신 에러 검출을 허용할 뿐만 아니라 다운스트림 구성요소들이 정확한 트립 및/또는 발동 결정을 할 수 있는 능력에 영향을 주지 않으면서 통신 CCF를 특정 버스로 제한할 수 있다.

도 22는 MPS(1200)의 모니터링 및 표시(MIB) 통신 모듈(2200)의 대표적인 구현의 개략도이다. 통신 모듈(CM)(2200)은 안전 데이터를 SFM으로부터 EIM으로 전송하기 위한 통신 채널들을 제공하는 기본 모듈이다. CM(2200)은 또한 보호 시스템 아키텍처 외부에서 모니터링 및 표시 및 진단 정보를, (1) 사고 모니터링 및 디스플레이 시스템(예컨대, SDI)으로, 그리고 (2) 제어, 진단, 디스플레이 및 모니터링을 위한 다른 시스템들(예컨대, MCS 및 MWS)로 전달하는 통신 기능을 제공한다.

일부 구현 예들에서, CM(2200)은 또한 로직 레벨 백플레인 신호들을 통해 고정 배선 신호 입력들을 통합한다. 사용되는 경우에, 이러한 고정 배선 신호들은 동일한 섀시 또는 데이지 체이닝(daisy chaining) 섀시 내 고정 배선 모듈(HWM)을 통해 백플레인 상에 직접 배치된다.

CM(2200)은 그들의 기능에 기초하여 다르게 구성될 수 있다. 다양한 유형의 통신 모듈은 동일한 모듈 하드웨어 아키텍처에 기초하여 이루어지며 모니터링 및 표시 버스 CM(MIB-CM), 스케줄링 및 바이패스 모듈(SBM), 스케줄링 및 투표 모듈(SVM), MPS 게이트웨이 CM을 포함한다.

기본 CM(2200)은 다음과 같은 회로들을 포함한다: FPGA(2202), 스케줄링 및 통신 로직(2214), 표시 및 진단 정보(IDI)(2210), CM 기능 로직 회로(2212)(특별히 요구되는 CM 기능에 기초하여 구성됨), 고정 배선 신호 입력들, 및 통신 물리 계층들(2216)을 포함한다. CM은 CM이 수행하게 될 특정 기능들에 기초하여 로직 회로들을 구현하기 위해 FPGA(2202) 장치를 이용한다. FPGA(2202)에서 구현되는 로직은 버스 통신 및 스케줄링 로직, CM이 수행해야 하는 임의의 기능들, 및 IDI 로직 회로들을 포함한다. 예를 들어, MIB-CM에서, 기능 로직 회로(2212)는 모니터링 및 표시 정보 수집 및 할당을 수행하도록 구성된다. MIB CM은 분리된 단방향 데이터 경로를 통해 SFM들, SBM들 및 EIM들로부터 표시 및 진단 정보를 수집하여 이를 SDI 시스템 및 PCS로 전송하는 데 사용된다.

광섬유 물리 계층들(2216)에 대한 4개의 구리 각각은 수신 전용 또는 송신 전용으로 구성될 수 있다. 비-안전 관련 또는 기타 안전 관련 시스템에 대한 통신 및 구분 간 통신은 전송 전용 또는 수신 전용 통신 포트들(예컨대, 구리 또는 광섬유)를 통해 이루어져야 한다. 이러한 포트들은 수신 또는 송신 구성을 위한 클래스 IE 분리를 제공한다. CM에는 자체 테스트 기능이 있어 FPGA 로직 회로, NVM(nonvolatile memory; 비-휘발성 메모리), 클럭 회로 및 전력 및 전력 관리 회로 내에서 고장의 검출을 보장한다.

MIB-CM은 자격이 갖춰진 분리된 단방향 데이터 경로를 통해 SFM들, SBM들, SVM들 및 EIM들로부터 MCS 및 MPS 게이트웨이로 표시 및 진단 정보를 수집하고 전송하는 데 사용된다. 이는 또한 MWS로부터 SFM들로 교정 및 테스트 버스(CTB) 정보를 전송하는 데 사용된다.

RTS 및 ESFAS 구분들 및 각각의 분리 그룹 내 MIB-CM에 대한 구리 대 섬유 데이터 포트들 중 3개는 송신 전용으로 구성되고 MCS, 구분 I MPS 게이트웨이 및 구분 II MPS 게이트웨이로 정보를 전송한다. 분리 그룹 MIB-CM 상의 나머지 구리 대 섬유 데이터 포트들은 수신 전용으로 구성되며 유지보수 활동들 중에 연결된 임시 케이블을 통해 MWS로부터 정보를 수신한다. RTS 및 ESFAS 구분들 내 MIB-CM 상의 나머지 포트는 예비용이다.

도 23은 MPS(1200)의 스케줄링 및 바이패스 모듈(SBM)(2300)의 대표적인 구현 예의 개략도이다. SBM(2300)은 스케줄링 및 바이패스 기능들을 수행하도록 구성된 CM(2200)이다. 예를 들어, SBM-CM에서, 기능 로직 회로(2212)는 스케줄링 및 바이패스 기능을 수행하도록 구성된다. 위에서 설명한 바와 같이, 각각의 안전 데이터 버스에 대하여 하나씩 분리 그룹마다 다수의 용장 SBM(2300)(예컨대, 그룹당 3 개의 SBM)이 있다. SBM(2300)은 각각의 SFM으로부터 안전 데이터를 요청하여 수신 한 다음에 데이터를 RTS의 양자 모두의 구분들 내 관련 SVM으로 그리고 ESFAS의 양자 모두의 구분들 내 관련 SVM으로 전송한다. SBM 구리 대 섬유 데이터 포트들(2210)은 단방향 데이터를 RTS 및 ESFAS에 제공하도록 송신 전용으로 구성된다. 3개의 SBM(2300)은 에러 검출 및 전송 결함들을 검출할 수 있는 능력을 보조하는 3중 용장 데이터 통신 경로를 제공한다.

분리 그룹에 대한 HWM은 트립/바이패스 스위치 위치를 각각의 안전 기능에 대한 로직 레벨 신호로 변환하고 SBM(2300) 고정 배선 신호 인터페이스(2304)에서 수신되는 섀시 백플레인 상에 이러한 정보를 배치한다. SFM으로부터 수신된 데이터 패킷에는 SFM 상의 OOS 스위치의 위치가 포함된다. SBM(2300)은 SFM으로부터의 데이터 패킷으로 수신된 OOS 스위치 위치 정보로부터 SFM이 작동 불능인지를 결정한다. SFM이 작동하지 않고 트립/바이패스 스위치가 바이패스 상태일 경우, SBM(2300)은 SFM 안전 기능의 출력이 무엇을 요구하든 SVM에 비-발동 조건을 전송한다. SFM이 작동하지 않고 트립/바이패스 스위치가 트립 상태에 있는 경우 SBM(2300)은 안전 기능의 출력이 무엇을 요구하든 간에 SVM에 발동 신호를 전송한다. SFM이 작동하지 않으면 SBM(2300)은 SFM으로부터 계산되어 SBM(2300)으로 전송 된 안전 기능 알고리즘 결과를 전송한다.

SBM(2300)이 SFM으로부터 유효한 응답을 수신하지 않으면, 알람이 발생하고 SBM(2300)은 트립/바이패스 스위치의 위치를 사용하여 SVM으로 전송해야 할 것을 결정한다. 트립/바이패스 스위치가 트립 위치에 있으면 SBM(2300)은 그러한 안전 기능을 위해 SVM에 작동 신호를 전송한다. 스위치가 바이패스 위치에 있으면 SBM(2300)은 그러한 안전 기능을 위해 SVM에 비-발동 신호를 전송한다.

도 24는 MPS(1200)의 스케줄링 및 투표 모듈(SVM)(2400)의 대표적인 구현 예의 개략도이다. SVM(2400)은 스케줄링 및 투표 기능을 수행하도록 구성된 CM(2200)이다. 예를 들어, SVM-CM에서, 기능 로직 회로(2212)는 스케줄링 및 투표 기능을 수행하도록 구성된다. SVM(2400)은 4개의 분리 그룹으로부터 데이터를 수신하고 각각의 안전 기능에 대해 비-다수 투표(예컨대, 2004 투표)를 수행하여 트립 또는 발동 신호가 필요한지를 결정한다. 2개 이상의 분리 그룹이 트립 또는 발동 신호가 요구된다고 동의하면 트립 또는 발동 신호가 그러한 안전 기능에 대한 적합한 EIM들로 전달된다. 위에서 설명한 바와 같이, RTS의 각각의 구분에서는 각각의 안전 데이터 버스에 대해 하나씩, ESFAS의 각각의 구분에서는 3개씩 3개의 용장 SVM(2400)이 있다. 통신 포트들(2216)은 수신 전용으로 구성된다.

ESFAS에 대한 HWM들 및 RTS에 대한 HWM은 작동 바이패스 스위치 위치들을 로직 레벨 신호로 변환하고 이러한 정보를 SVM(2400) 고정 배선 신호 인터페이스(2404)에서 수신되는 이러한 정보를 섀시 백플레인 상에 배치한다. 평가되고 있는 안전 기능에 대해 작동 바이패스 신호가 존재하는 경우 그러한 안전 기능에 대한 임의의 작동 신호가 무시되며 비-발동 신호가 적절한 EIM들에 전송된다.

도 25는 MPS(1200) 또는 PPS(1700)의 장비 인터페이스 모듈(EIM)(2500)의 대표적인 구현 예의 개략도이다. EIM(2500)은 최종 발동 장치인 RTS, ESFAS 및 PPS이다. EIM(2500)은 이하의 회로, FPGA(2502), 버스 통신 로직(2508), IDI 로직(2512), 자동 발동 투표 로직(2510), 고정 배선 신호 로직(2504), 작동 및 우선순위 로직(APL)(2514), 스위칭 출력들(2516) 및 위치 피드백 입력들(2518)을 포함한다.

FPGA(2502)에서 구현되는 로직은 버스 통신 로직(2508), 자동 발동 투표 로직(2510) 및 IDI 로직(2512)을 포함한다. 버스 통신 로직(2508)은 SDB들(SDB1, SDB2, SDB3)로부터의 데이터를 처리하고 상기 데이터를 자동 발송 투표 로직(2510)에 보낸다. IDI 로직(2512)은 PCS, SDIS 허브 및 MWS에 의해 처리되도록 MIB 통신 로직(2520)으로 보내진다.

자동 발동 투표 로직(2510)은 3개의 SDB로부터 수신된 발동 신호에 대해 투표한다. 자동 발동 투표 로직(2510)은 1차 또는 2차 발동 경로에 대해 발동이 보증되는지를 결정한다. 예를 들어, 자동 발동 투표 로직(2510)은 작동 신호에 대해 다수결을 실시한다. 자동 발동 투표 로직(2510)은 3개 중 2개(three-out-of-three)(2003) 발동 신호들이 표시되는 경우에 자동 발동이 보장됨을 나타낸다. 데이터 통신은 3중 용장이며 단일 고장 문제들을 제거하기 위해 투표된다.

IDI 로직(2512)은 EIM(2500) 상의 다양한 회로로부터 상태 및 진단 정보를 수집하고 처리를 위해 MIB 통신 로직(2520)에 진단 정보를 보낸다.

EIM(2500)은 섀시 백플레인(예ZJSOE RTS HWM(1402), ESFAS HWM(1408) 및 PPS HWM(1722))을 통해 HWM에 연결될 수 있다. 대응하는 HWM은 수동 스위치 위치들 및 비-안전 관련 제어 신호들을 아날로그 로직 레벨 신호들로 변환하고 이러한 정보를 섀시 백플레인 상에 배치한다. 고정 배선 신호 로직(2504)은 이러한 정보를 섀시의 백플레인으로부터 APL(2514)의 1차 및 2차 회로로 배포한다. 고정 배선 신호들(2506)은 수동 발동 신호들, 비-안전(NS) 인에이블 스위치 위치 신호들, 허용 신호들, 바이패스 신호들 및 비-안전 관련 제어 신호들을 포함할 수 있지만, 이들에에 국한되지 않는다.

APL(2514)은 개별 로직 구성요소들로 구성되고 자동 발동 투표 로직(2510), 고정 배선 신호 로직(2504) 및 PCS 제어 신호로부터 명령들을 수신한다. APL(2514)은 수신된 최고 우선순위 명령들의 우선순위를 결정하고 최고 우선순위 명령들을 처리한다. 예를 들어, APL(2514)는 자동 및 수동 발동 신호를 PCS 제어 신호들 및 NS 인에이블 신호보다 우선순위화한다. 예를 들어, NS 인에이블 스위치가 활성 상태일 경우, PCS는 상위 우선순위 기능 발동 신호가 없을 때 EIM(2500)에 연결된 종단 장치를 제어할 수 있다. 그러나 자동 또는 수동 발동 명령은 PCS 입력에 우선하게 된다. NS 인에이블 신호가 없으면 EIM(2500)은 항상 PCS 명령 신호들을 무시한다. 예를 들어, APL(2514)는 상위 우선순위 신호(예컨대, 자동 또는 수동 발동 신호들)가 없는 한 EIM(2500)을 통해 종단 장치를 발동 또는 재설정하도록 비-안전 신호들(예컨대, NS 인에이블 및 PCS 명령 신호들)의 사용을 허용한다. 또한, APL(2514)은 비-안전 시스템(예컨대, PCS)으로부터의 임의의 결함 에러들이 EIM(2500)을 통해 안전 시스템(예컨대, RTS 또는 ESFAS)으로 전파되는 것을 방지하면서 비-안전 신호들로부터의 그러한 작동들을 허용한다.

일부 구현 예들에서, 각각의 EIM(2500)은 다수의 구성요소를 제어할 수 있다. 예를 들어, 각각의 EIM(2500)은 2개의 필드 구성요소를 제어할 수 있다. EIM(2500)에는 4개의 스위칭 출력(2516)(기본 2개 그리고 보조 2개)이 장착되어 있다. 스위칭 출력들(2516)은 구동 구성요소들 중 하나에서의 단일 고장이 출력 작동에 영향을 미치지 않고 자동으로 검출되어 완화되는 용장 출력으로서 구현된다. 4개의 스위칭 출력(2516) 중 하나에서의 단일 고장은 출력 채널이 부하에 전력을 공급하거나 전력을 차단하는 것을 방지할 수 없다. 자체 테스트 기능은 솔레노이드가 전력 공급을 받는 동안 스위칭 출력(2516)을 통해 전류를 측정하고 솔레노이드의 전력 공급이 차단되는 동안 솔레노이드를 통한 연속성을 측정함으로써 구현된다. 스위칭 출력은 안전하지 않은 구성요소들이나 전압 소스들에 대한 연결을 허용하도록 필드와 분리되어 있다.

종단 장치의 코일에 전력을 공급하는 단지 하나의 EIM(2500)만 있으면, EIM(2500)의 고장 또는 제거는 필드 구성요소가 발동되게 한다. 종단 장치를 발동시키지 않고 EIM(2500)을 대체하는 것을 허용하기 위해, 제2 EIM(2500) 스위칭 출력은 제2 EIM(2500)과 병렬로 배치되고 그럼으로써 EIM(2500)이 도 15를 참조하여 도시되고 설명된 바와 같이 출력에서 계속 전력 공급을 받게 된다. 이러한 구성은 또한 EIM(2500) 회로의 더 철저한 테스팅을 허용한다.

도 26은 MPS(1200)의 고정 배선 모듈(HWM)(2600)의 블록도이다. 각각의 MPS 분리 그룹 및 구분과 아울러, MPS 게이트웨이 및 각각의 PPS 구분은 전용 HWM(2500)(예컨대, HWM들(1310, 1402, 1408, 1722, 1724)을 지닌다. HWM(2600)은 MPS 캐비닛 외부에서 고정 배선 아날로그 신호들을 수용하고 다른 모듈들을 위해 섀시 백플레인(2602) 상에서 그들을 이용할 수 있게 한다. 예를 들어, 이러한 신호들은 MCR로부터의 인에이블 비-안전 제어 스위치들, 오버라이드 스위치들, 작동 바이패스 스위치들, 및 수동 발동 스위치들을 포함하지만 이들에 국한되지 않는다. HWM에 대한 다른 입력들은 SFM 트립/바이패스 스위치들, MCS 제어 입력들 및 구성요소 위치 피드백이 있다.

HWM(2600)은 주 제어실의 수동 스위치들, MCS로부터의 이산 제어 신호들, 위치 피드백 및 트립/바이패스 스위치 패널로부터 신호들을 수신할 수 있다. HWM(2600)은 개별 아날로그 구성요소들만으로 구성되며 어떠한 프로그램가능 장치들도 없다. 이러한 신호들은 분리 그룹 스위치 입력들(예컨대, 유지보수 트립/바이패스(각각의 분리 그룹)), RTS 및 ESFAS 스위치 입력들(예컨대, 수동 발동(MCR), 블록 또는 오버라이드(MCR), 인에이블 NS 제어(MCR), 작동 바이패스(MCR), 비-안전 관련 MCS 제어 신호들) 및 MPS 게이트웨이(예컨대, 사고 모니터링 표시를 위한 RTS 및 ESFAS 구성요소로부터의 위치 피드백)로 이루어진다.

수동 스위치들로부터의 모든 신호들 및 비-안전-관련 MCS 신호들은 필드로부터 분리되고, 아날로그 로직 전압 레벨 전압으로 변환되며, 신호를 필요로 하는 임의의 모듈에 의한 사용을 위해 백플레인 상에 배치된다. 도 26에 도시된 대표적인 HWM(2600)은 최대 32개의 입력을 모듈 상단에 공급하게 이루어져 있다. 32개의 입력은 4세트의 8개의 입력(2604)으로 나누어진다. 각각의 세트(2604)는 외부 입력뿐만 아니라 인접한 3세트의 입력(2604)으로부터의 자체적인 전기적 분리(2608)를 지닌다. 각각의 입력 채널은 그 자신의 갈바니 분리(2608)를 제공한다. 갈바니 분리는 광-분리기 장치에 의해 제공될 수 있다. 각각의 세트의 8개의 입력(2608)은 분리된 전원을 제공하기 위해 자체적인 DC-DC 컨버터를 지닌다.

작동 바이패스는 특정한 플랜트 작동 모드에서 필요하지 않을 때 특정 보호 동작에 대해 제공된다. 서로 다른 플랜트 작동 모드들은 안전 기능의 자동 또는 수동 바이패스를 필요로 할 수 있다. 작동 바이패스는 모드 변경들을 허용하는 데 사용된다. 유지보수 바이패스는 유지보수, 테스팅 또는 수리 중에 안전 시스템 장비를 바이패스하기 위해 제공된다. 유지보수 바이패스는 장비의 용장도를 줄일 수 있지만 안전 기능이 손실되지는 않는다. 작동 및 유지보수 바이패스는 다음 절에서 설명한다.

MPS는 자동으로 또는 자동 및 수동 동작들의 조합을 통해 특정 보호 동작들을 금지 또는 허용하는 인터록, 허용 및 작동 및 유지보수 바이패스를 포함하여 플랜트 모드 변경들을 허용한다.

MPS 로직은 작동 바이패스의 활성화를 자동으로 방지하거나 또는 작동 바이패스에 대한 허용 또는 인터록 조건들이 충족되지 않을 때 적절한 안전 기능(들)을 개시한다. 작동 바이패스 회로들에는 기능이 필요하지 않을 때 보호 기능을 바이 패스할 수 있는 허용 특징들과 조건들이 충족될 때 자동으로 작동 바이패스를 활성화하는 인터록 특징이 포함되어 있다. 허용 및 인터록 조건들이 더는 충족되지 않으면 작동 바이패스가 자동으로 비활성화된다.

작동 바이패스는 플랜트 모드들의 변경을 허용하고 안전 분석 또는 플랜트 작동들에 기초한 특정 기능들의 운전자 제어를 제공하도록 요구된다. MPS 기능들, 인터록들 및 허가들을 위한 대표적인 동작 바이패스가 표 4(도 30a-30c에 도시됨)에 나타나 있다. 이들은 플랜트 작동(예컨대, 플랜트 가동) 중에 모드 변경을 다른 방식으로 방지하는 특정 보호 동작들을 자동 또는 수동으로 바이패스한다. 작동 바이패스는 보호 동작이 작동 가능해야 하는 작동 조건으로 플랜트가 이동할 때 자동으로 제거된다. 시스템의 일부가 바이패스되었거나 작동 불능으로 될 경우 제어실에 표시가 제공된다.

수동 작동 바이패스는 구분당 하나씩 2개의 스위치를 지닌다. 일부 설계들에 사용되는 유일한 수동 작동 바이패스는 수동 바이패스와 함께 허용 기능을 사용하여 바이패스 기능을 수행한다. 작동 바이패스 스위치들은 일시적인 접점 스위치들일 수 있으며 일반적으로 작동 바이패스 기능을 발동시키기 위해 열린 다음에 단지 잠시 닫히게 된다.

식별된 이벤트에서, 고장은 2개의 MPS 구분 중 하나로 제한된다. 다른 MPS 구분은 완전히 작동 가능하며 안전 기능을 수행할 수 있으며 단일 고장으로 안전 기능이 사용 불가능하지는 않다. 안전 기능의 부주의한 바이패스는 하나의 MPS 구분에 국한된다. 다른 MPS 구분은 필요한 안전 기능을 수행할 수 있다.

자동 및 수동 작동 바이패스의 경우, 트립 결정은 분리 그룹으로부터의 허용 또는 인터록을 위해 사용되며 보호 동작에 대한 트립 결정과 유사하다. 작동 바이패스가 보장되는 때를 결정하기 위해 4개 중 3개의 일치가 사용된다. 작동 바이패스를 제거하려면 허용 또는 인터록이 더는 유효하지 않고 작동 바이패스가 자동으로 재설정됨을 결정하는데 4개 중 2개의 분리 그룹이 필요하다.

MPS 변수는 4개 중 2개의 일치 로직을 이용하여 보호 기능을 발동시키는 4개의 용장 채널에 의해 모니터링된다. 이러한 구성을 통해 유지보수 바이패스 채널과 함께 이루어지는 보호 채널의 무작위 단일 고장이 발생할 경우 필요한 안전 기능들이 작동 가능하게 된다.

MPS는 유지보수, 테스트 또는 수리를 위해 보호 채널의 관리 바이패스를 허용하도록 설계된다. MPS 채널이 관리상 바이패스되었거나 작동되지 않았을 경우 제어실에 표시가 제공된다. 유지보수 바이패스 작동 제거가 허용되는 기간은 플랜트 기술 사양에 의해 관리상 제어된다.

MPS 상에서 유지보수를 수행하기 위해, 2개의 관련 스위치가 존재한다: 각각의 SFM에 연관된 트립/바이패스 스위치 및 유지보수 및 수리를 위한 작동으로부터의 SFM 제거를 허용하도록 상기 SFM의 전방 상에 있는 작동 불능 스위치. 작동 불능 스위치가 활성화되면 안전 기능은 그러한 SFM에 대한 트립/바이패스 스위치의 위치에 기초하여 트립 또는 바이패스에 배치된다. 작동 불능 스위치를 활성화하면 MWS를 통해 비휘발성 메모리의 튜닝가능 매개변수들 및 세트포인트들의 수정이 허용된다. 트립 바이패스 스위치 상태 입력은, 스위치 위치를 로직 레벨 신호로 변환하고 이러한 정보를 백플레인 상에 배치하는 고정 배선 모듈(HWM)을 통해 수신된다.

SFM으로부터 수신된 데이터 패킷은 SFM 상의 작동 불능 스위치의 위치를 포함한다. 스케줄링 및 바이패스 모듈(SBM)은 SFM으로부터의 데이터 패킷에서 수신된 작동 불능 스위치 위치 정보로부터 SFM이 작동되지 않는 지를 결정한다. SFM이 작동되지 않고 트립/바이패스 스위치가 바이패스 상태일 경우 SBM은 SFM의 출력과 상관없이 비-발동 또는 무-트립 조건을 스케줄 및 투표 모듈(SVM)에 전송한다. 4개 중 2개의 투표 일치 로직에 대한 변경은 없는데, 하나의 분리 그룹은 SVM에 대해 무-트립을 제공하기 때문에, SVM에 의해 수신되는 나머지 3개의 채널 중 2개가 트립/발동에 대해 투표를 하는데 필요하다. 이 경우, MPS는 여전히 필요한 용장도 레벨로 안전 기능을 수행할 수 있으며 단일 고장 기준을 계속 충족한다.

SFM이 작동되지 않고 트립/바이패스 스위치가 트립 상태에 있는 경우, SBM은 SFM의 출력에 관계없이 SVM에 트립/작동 신호를 전송한다. 4개 중 2개의 투표 일치 로직에 대한 변경은 없다. SBM은 하나의 채널을 강제로 트립/발동시키는데, 하나의 분리 그룹이 SVM에 대한 트립/발동 입력을 제공하기 때문에, 나머지 분리 그룹이 특정 안전 기능에 대해 트립/발동을 발생시키게 하도록 트립/발동에 대해 투표를 하는데 필요하다. 이 경우에, MPS는 "부분 트립" 조건에 있지만 여전히 단일 고장 기준을 충족하고 필요한 용장도 레벨로 안전 기능을 수행할 수 있다.

일부 구현 예들에서, 유지보수 트립/바이패스 스위치들은 MPS 장비 룸에 위치한 분리 그룹 캐비닛들 내 패널 상에 위치할 수 있다. 상기 스위치들은 (도 13에 도시된) SFM 섀시 내 HWM에 연결되어 있다.

SFM이 작동되지 않는 경우, SBM은 SFM으로부터 SBM으로 계산되어 전송된 안전 기능 알고리즘 결과를 전송한다. SBM이 SFM으로부터 유효한 응답을 받지 못하면 알람이 발생하고 SBM은 트립/바이패스 스위치의 위치를 사용하여 SVM으로 전송해야 할 대상을 결정한다.

SFM의 작동 불능 기능을 사용하면 정전 동안 그리고 연료 사이클 동안 일정한 튜닝가능 매개변수들의 주기적인 매개변수 업데이트가 가능해진다. 안전 기능의 작동 가능성을 검증하려면 주기적인 테스팅이 필요하다.

MPS는 정상 작동 동안 및 정전 동안 주기적 및 교정적 유지보수를 허용하도록 설계된다. 유지보수가 수행되기 위해서는 안전 기능을 작동으로부터 제거해야 한다. 영향을 받는 채널은 기술 사양 제한에 따라 트립 조건 또는 바이패스로 배치된다.

분리 그룹 내 안전 기능은 테스팅 또는 교정적 유지보수를 위해 바이패스 또는 트립으로 취해질 수 있다. RTS 및 ESFAS 구분들은 바이패스 기능을 지니지 않지만, 모듈들에는 연속적인 자체 테스팅 커버리지(self-testing coverage)가 있다. 반응기 트립 브레이커들은 한 번에 하나의 브레이커를 열어 브레이커 구성으로 인해 출력 운전 중에 테스트될 수 있다. 이는 반응기 트립 브레이커들에 연관된 유지보수 바이패스에 대한 필요성 없이도 반응기 트립 브레이커 테스팅을 허용한다. 대부분의 ESFAS 구성요소들은 트립 또는 공학적 안전 시설(ESF) 발동을 유발하고 정전 동안 테스트해야 하기 때문에 출력 운전 중에 테스트되지 않는다. MCR의 수동 트립 및 발동 스위치들은 출력 운전 중에 테스트될 수 없으며 플랜트 기술 사양에 따라 셧다운 조건들 동안 테스트된다.

4개의 반응기 트립 브레이커는 MPS의 2개의 구분 각각에 연관된다. MPS 구분들은 브레이커들의 단일 구분을 열어서 제어봉 구동 메커니즘들을 차단하고, 그럼으로써 반응기 트립(도 12에 도시됨)을 야기하도록 구성된다. 트립 발동 로직을 테스트하는 동안, 반응기 트립 브레이커들의 부족전압 트립 메커니즘에 대한 트립 신호들은 발동되지 않는다. MPS는 MPS 로직 및 반응기 트립 브레이커의 오버랩 온라인 테스트를 허용하도록 설계된다.

출력 구동 중에 테스트되지 않은 MPS 부분은 EIM 상의 발동 우선순위 로직 회로이다. 여기에는 수동 MCR 스위치들 및 발동 우선순위 로직에 입력들을 제공하는 인에이블 비-안전 제어 스위치가 포함된다. 발동 우선순위 로직은 개별 구성요소로 이루어지며 반응기를 셧다운시키거나 반응기 작동에 악영향을 미치게 하는 필드 구성요소들의 발동을 직접 유발한다. 발동 우선순위 로직은 반응기가 셧다운될 때 테스트된다. 작동 우선순위 로직 회로의 단순성으로 인해, 셧다운 조건 동안의 테스팅은 발동 우선순위 로직 기능이 필요시 수행하게 하는데 충분하다.

유지보수 바이패스 목적을 위해, NMS는 MPS로의 센서 입력으로서 취급되며, 여기서 MPS는 유지보수 목적을 위해 바이패스 기능을 제공한다.

MPS 채널이 관리상 바이패스되거나 작동되지 않은 경우, 제어실에 표시가 제공된다. 유지보수 바이패스 작동으로부터 제거할 수 있는 기간은 기술 사양에 의해 관리상 제어된다.

MPS 장비 상태 정보는 자동으로 MCS 및 SDIS로 보내진다. MCS 및 SDIS는 바이패스, 트립 및 작동 불능 상태의 지속적인 표시를 운영자에게 제공하게 된다. 상태 정보를 디스플레이하면 운영자가 안전 기능의 작동 가능성을 식별할 수 있다.

보호 동작들의 수동 개시를 위해 수동 스위치들의 구분 I 및 구분 II세트의 수동 스위치들이 제공되며, 대응하는 RTS 및 ESFAS 구분의 HWM에 접속된다. HWM에 대한 입력 신호들은 분리되어 로직 레벨 신호들로 변환된 다음에 백플레인 상에 배치된다. 이러한 신호들은 자동신호들을 생성하는 FPGA 로직 구성요소들의 하향 스트림에 있는 관련 EIM 발동 우선순위 로직 회로들에 제공된다.

구분 I 및 구분 II 수동 발동 스위치는 다음의 보호 동작들 각각에 대해 MCR에 제공된다. 각각의 수동 발동 스위치는 관련 구분 내 대응하는 보호 기능을 발동시킨다. 어느 한 분리 스위치의 발동은 안전 기능을 완료하는데 충분하다. 수동 발동 스위치는 반응기 트립, ECCS 발동, 붕괴 열 제거 발동, 격납 분리, 탈염 수 시스템 분리, 화학 및 체적 조절 시스템 분리, 가압기 히터 트립, 및 저온 과압 보호를 포함할 수 있지만 이들에 국한되지 않는다. 고정 배선 수동 발동 스위치 입력이 MPS 내 디지털 구성요소의 하향 스트림에 있기 때문에 MPS 자동 기능의 고장은 필요한 보호 동작의 수동 개시를 방지하지 못한다.

안전 관련 인에이블 비-안전 제어 스위치를 사용하여 운영자에 의해 인에이블된다면, MCS로부터 HWM으로의 비-안전 이산 고정 배선 입력들을 사용하여 ESF 장비의 수동 구성요소 레벨 제어를 위한 기능이 가능하다. 그런 다음, 이러한 신호들은 EIM 상의 발동 우선순위 로직 회로에 입력된다. 임의의 자동 또는 수동 안전 관련 신호는 비-안전 신호에 우선하고 발동 우선순위 로직 내에서 우선순위화된다. DBE들의 초과 및 제한된 수의 발동 장비에 대해서는 안전 관련 오버라이드 스위치를 사용하여 자동 신호에 비해 안전하지 않은 신호를 우선순위화할 수 있다.

오버라이드 스위치들은 다음의 기능을 위해 제공된다. 오버라이드 스위치들은 구분당 하나씩 2개의 스위치를 포함할 수 있다. 수동 오버라이드 스위치들은 격납 침수 및 배수 시스템 및 밸브들에 우선할 수 있다. 수동 오버라이드 스위치는 활성화될 때 알람을 발생시킬 수 있다. 수동 제어들은 승인된 플랜트 절차를 통해 관리상 제어된다.

지금까지 본 주제의 특정 구현 예들이 설명되었다. 설명한 구현 예들의 다른 구현 예들, 변경 예들 및 치환 예들이 통상의 기술자에게 명백한 바와 같이 다음의 청구항들의 범위 내에 있다. 예를 들어, 청구항들에 기재된 동작들은 서로 다른 순서로 수행될 수 있으며 여전히 바람직한 결과를 달성할 수 있다. 따라서, 대표적인 구현 예들에 대한 상기 설명은 본 개시내용을 정의하거나 제한하지는 것이 아니다. 본 개시내용의 사상 및 범위를 벗어나지 않으면서 다른 변경 예들, 대체 예들 및 변형 예들이 가능하다.

Claims (20)

1. 핵 반응기 보호 시스템에 있어서,
   상기 핵 반응기 보호 시스템은,
   복수의 기능적 독립 모듈들 - 상기 기능적 독립 모듈들 각각은 핵 반응기 안전 시스템으로부터 복수의 입력들을 수신하도록 구성되고, 상기 복수의 입력들에 적어도 부분적으로 기초하여 안전 동작을 논리적으로 결정하도록 구성되며, 상기 기능적 독립 모듈들 각각은 디지털 모듈 또는 디지털 및 아날로그 조합 모듈을 포함함 -;
   상기 기능적 독립 모듈들 중 하나 이상의 기능적 독립 모듈들에 전기적으로 연결된 아날로그 모듈; 및
   상기 복수의 입력들에 적어도 부분적으로 기초하여 안전 동작 결정을 수신하도록 상기 복수의 기능적 독립 모듈들에 통신 가능하게 연결된 하나 이상의 핵 반응기 안전 액추에이터들;
   을 포함하는, 핵 반응기 보호 시스템.
2. 제1항에 있어서,
   상기 아날로그 모듈에 대한 입력의 활성화는 상기 기능적 독립 모듈들 중 적어도 하나의 기능적 독립 모듈의 하나 이상의 작동들에 우선하는, 핵 반응기 보호 시스템.
3. 제1항에 있어서.
   상기 아날로그 모듈은 아날로그 회로 구성요소들만을 포함하는, 핵 반응기 보호 시스템.
4. 제1항에 있어서,
   상기 아날로그 모듈에 대한 적어도 하나의 입력은 수동 오버라이드(manual override) 입력을 포함하며 상기 아날로그 모듈은 상기 수동 오버라이드 입력의 활성화 시에 상기 기능적 독립 모듈들 중 적어도 하나의 기능적 독립 모듈의 디지털 작동에 우선하도록 구성되는, 핵 반응기 보호 시스템.
5. 제1항에 있어서,
   상기 아날로그 모듈에 대한 적어도 하나의 입력은 수동 바이패스(manual bypass) 입력을 포함하고 상기 아날로그 모듈은 상기 수동 바이패스 입력의 활성화 시에 상기 기능적 독립 모듈들 중 적어도 하나의 기능적 독립 모듈의 디지털 작동을 바이패스하도록 구성되는, 핵 반응기 보호 시스템.
6. 제1항에 있어서,
   상기 아날로그 모듈에 대한 적어도 하나의 입력은 수동 작동 입력을 포함하고, 상기 아날로그 모듈은 상기 수동 작동 입력의 활성화 시에 상기 기능적 독립 모듈들 중 적어도 하나의 기능적 독립 모듈의 디지털 작동을 발동시키도록 구성되는, 핵 반응기 보호 시스템.
7. 제1항에 있어서,
   상기 아날로그 모듈로부터의 하나 이상의 출력들은 상기 핵 반응기 보호 시스템의 백플레인을 통해 복수의 기능적 독립 모듈들에 입력으로서 공급되는, 핵 반응기 보호 시스템.
8. 제1항에 있어서,
   상기 아날로그 모듈은 제1 아날로그 모듈을 포함하고, 상기 핵 반응기 보호 시스템은,
   제2 아날로그 모듈;
   공학적 안전 시설 발동 시스템(ESFAS) - 상기 복수의 기능적 독립 모듈들의 제1 서브세트는 복수의 ESFAS 입력들을 수신하고 상기 ESFAS 입력들에 적어도 부분적으로 기초하여 ESFAS 구성요소 발동을 논리적으로 결정하며, 그리고 상기 제1 아날로그 모듈은 상기 복수의 기능적 독립 모듈들의 제1 서브세트의 기능적 독립 모듈들에 전기적으로 연결됨 -; 및
   반응기 트립 시스템(RTS);
   을 포함하며, 상기 복수의 기능적 독립 모듈들의 제2 서브세트는 복수의 RTS 입력들을 수신하고 상기 RTS 입력들에 적어도 부분적으로 기초하여 RTS 구성요소 발동을 논리적으로 결정하며, 상기 제2 아날로그 모듈은 상기 복수의 기능적 독립 모듈들의 제2 서브세트의 기능적 독립 모듈들에 전기적으로 연결되는, 핵 반응기 보호 시스템.
9. 제1항에 있어서,
   상기 복수의 기능적 독립 모듈들 각각은 상기 복수의 기능적 독립 모듈들 중 임의의 다른 모듈로의 단일 고장 전파에 대한 보호기능을 제공하는, 핵 반응기 보호 시스템.
10. 제1항에 있어서,
    상기 핵 반응기 안전 시스템은 공학적 안전 시설 발동 시스템(ESFAS)을 포함하고, 상기 복수의 기능적 독립 모듈들은 복수의 ESFAS 입력들을 수신하고 상기 ESFAS 입력들에 적어도 부분적으로 기초하여 ESFAS 구성요소 발동을 논리적으로 결정하는, 핵 반응기 보호 시스템.
11. 제10항에 있어서,
    상기 복수의 기능적 독립 모듈들은 용장(冗長) ESFAS 투표 구분(voting division)들을 제공하는, 핵 반응기 보호 시스템.
12. 제1항에 있어서,
    상기 핵 반응기 안전 시스템은 반응기 트립 시스템(RTS)을 포함하고, 상기 복수의 기능적 독립 모듈들은 복수의 RTS 입력들을 수신하고 상기 RTS 입력들에 적어도 부분적으로 기초하여 RTS 구성요소 발동을 논리적으로 결정하는, 핵 반응기 보호 시스템.
13. 제12항에 있어서.
    상기 복수의 기능적 독립 모듈들은 용장 RTS 투표 구분들을 제공하는, 핵 반응기 보호 시스템.
14. 제1항에 있어서,
    상기 아날로그 모듈은 비-안전 관련 신호들을 아날로그 전압 레벨로 변환하고 상기 아날로그 전압 레벨을 섀시 백플레인을 통해 연관된 기능 모듈로 전달함으로써 안전 관련 시스템들로부터 비-안전 관련 신호들을 전기적으로 분리시키는, 핵 반응기 보호 시스템.
15. 제1항에 있어서,
    상기 기능적 독립 모듈들 중 적어도 하나의 기능적 독립 모듈은 상기 아날로그 모듈로부터의 적어도 하나의 고정 배선 아날로그 입력 신호를 포함하는 장비 인터페이스 모듈(equipment interface module; EIM)을 포함하는, 핵 반응기 보호 시스템.
16. 제15항에 있어서,
    상기 EIM은 적어도 하나의 디지털 입력 신호에 대해 상기 적어도 하나의 고정 배선 아날로그 입력 신호를 우선순위화하는 발동 및 우선순위 로직(actuation and priority logic; APL) 회로를 포함하는, 핵 반응기 보호 시스템.
17. 제16항에 있어서,
    상기 적어도 하나의 디지털 신호는 안전 관련 신호이며, 상기 APL 회로는 상기 고정 배선 아날로그 신호에 비해 상기 디지털 신호를 우선순위화하는, 핵 반응기 보호 시스템.
18. 제16항에 있어서,
    상기 적어도 하나의 고정 배선 아날로그 입력 신호는 수동 발동 스위치로부터의 안전 관련 신호를 포함하고, 상기 APL 회로는 상기 디지털 신호에 비해 상기 고정 배선 아날로그 신호를 우선순위화하는, 핵 반응기 보호 시스템.
19. 제18항에 있어서,
    상기 적어도 하나의 고정 배선 아날로그 입력 신호는 반응기 트립 신호를 포함하는, 핵 반응기 보호 시스템.
20. 제16항에 있어서,
    수동 발동 스위치로부터의 적어도 하나의 고정 배선 아날로그 입력 신호는 비-안전 관련 제어 신호를 포함하며 상기 APL 회로는 상기 고정 배선 아날로그 입력 신호에 비해 상기 디지털 신호를 우선순위화하는, 핵 반응기 보호 시스템.

Images