本申請(qǐng)要求2013年12月31日提交的美國(guó)臨時(shí)專利申請(qǐng)序列號(hào)61/922,625,和2014年3月6日提交的美國(guó)專利申請(qǐng)序列號(hào)14/198,891的優(yōu)先權(quán),這兩個(gè)申請(qǐng)的全部?jī)?nèi)容通過(guò)引用并入本文中。
技術(shù)領(lǐng)域
本公開(kāi)說(shuō)明核反應(yīng)堆保護(hù)系統(tǒng)及其相關(guān)方法。
背景技術(shù):
核反應(yīng)堆保護(hù)系統(tǒng),一般地,核反應(yīng)堆儀表與控制(I&C)系統(tǒng)提供自動(dòng)啟動(dòng)(initiating)信號(hào)、自動(dòng)與人工控制信號(hào)和監(jiān)視顯示,以減輕故障(fault)工況的后果。例如,I&C系統(tǒng)在穩(wěn)態(tài)和瞬時(shí)動(dòng)力運(yùn)行期間,提供防止不安全反應(yīng)堆運(yùn)行的保護(hù)。在正常運(yùn)行期間,I&C系統(tǒng)測(cè)量各種參數(shù),并向控制系統(tǒng)傳送信號(hào)。在異常運(yùn)行和事故工況期間,I&C系統(tǒng)向反應(yīng)堆保護(hù)系統(tǒng)傳送信號(hào),在一些情況下,向反應(yīng)堆保護(hù)系統(tǒng)的反應(yīng)堆停堆(trip)系統(tǒng)(RTS)和專設(shè)安全設(shè)施驅(qū)動(dòng)系統(tǒng)(ESFAS)傳送信號(hào),以根據(jù)預(yù)定的設(shè)定點(diǎn),啟動(dòng)保護(hù)措施。
技術(shù)實(shí)現(xiàn)要素:
在按照本公開(kāi)的一種一般實(shí)現(xiàn)中,核反應(yīng)堆保護(hù)系統(tǒng)包括多個(gè)功能獨(dú)立的模塊,每個(gè)模塊被配置成從核反應(yīng)堆安全系統(tǒng)接收多個(gè)輸入,至少部分根據(jù)所述多個(gè)輸入,邏輯確定安全措施;和一個(gè)或多個(gè)核反應(yīng)堆安全驅(qū)動(dòng)器,所述核反應(yīng)堆安全驅(qū)動(dòng)器可通信地耦接到多個(gè)功能獨(dú)立的模塊,以接收至少部分基于所述多個(gè)輸入的安全措施確定。
在可與所述一般實(shí)現(xiàn)結(jié)合的第一方面,所述多個(gè)功能獨(dú)立的模塊都提供防止單一失效傳播到所述多個(gè)功能獨(dú)立的模塊中的任意其它模塊的保護(hù)。
在可與任意前述方面結(jié)合的第二方面,核反應(yīng)堆安全系統(tǒng)包括專設(shè)安全設(shè)施驅(qū)動(dòng)系統(tǒng)(ESFAS),所述多個(gè)功能獨(dú)立的模塊接收多個(gè)ESFAS輸入,至少部分根據(jù)所述ESFAS輸入,邏輯確定ESFAS組件驅(qū)動(dòng)。
在可與任意前述方面結(jié)合的第三方面,所述多個(gè)功能獨(dú)立的模塊提供冗余ESFAS表決序列。
在可與任意前述方面結(jié)合的第四方面,核反應(yīng)堆安全系統(tǒng)包括反應(yīng)堆停堆系統(tǒng)(RTS),所述多個(gè)功能獨(dú)立的模塊接收多個(gè)RTS輸入,至少部分根據(jù)所述RTS輸入,邏輯確定RTS組件驅(qū)動(dòng)。
在可與任意前述方面結(jié)合的第五方面,所述多個(gè)功能獨(dú)立的模塊提供冗余RTS表決序列。
在可與任意前述方面結(jié)合的第六方面,所述多個(gè)功能獨(dú)立的模塊都提供防止單一硬件失效傳播到所述多個(gè)功能獨(dú)立的模塊中的任意其它模塊的保護(hù)。
在可與任意前述方面結(jié)合的第七方面,所述多個(gè)功能獨(dú)立的模塊都提供防止單一軟件失效傳播到所述多個(gè)功能獨(dú)立的模塊中的任意其它模塊的保護(hù)。
在可與任意前述方面結(jié)合的第八方面,所述多個(gè)功能獨(dú)立的模塊都提供防止軟件產(chǎn)生的單一邏輯失效傳播到所述多個(gè)功能獨(dú)立的模塊中的任意其它模塊的保護(hù)。
在可與任意前述方面結(jié)合的第九方面,所述多個(gè)功能獨(dú)立的模塊為反應(yīng)堆停堆感測(cè)和判定的信號(hào)路徑,提供三重冗余。
在可與任意前述方面結(jié)合的第十方面,所述多個(gè)功能獨(dú)立的模塊包括每個(gè)反應(yīng)堆停堆組件的獨(dú)立停堆表決模塊。
在可與任意前述方面結(jié)合的第十一方面,所述多個(gè)功能獨(dú)立的模塊與所述多個(gè)模塊中專用于特定停堆組件的每個(gè)其它模塊分離地邏輯判定反應(yīng)堆停堆。
在可與任意前述方面結(jié)合的第十二方面,所述多個(gè)功能獨(dú)立的模塊包括每個(gè)ESF組件的獨(dú)立ESFAS驅(qū)動(dòng)表決模塊。
在可與任意前述方面結(jié)合的第十三方面,所述多個(gè)功能獨(dú)立的模塊與所述多個(gè)模塊中專用于特定ESF組件的每個(gè)其它模塊分離地邏輯判定ESFAS驅(qū)動(dòng)。
在可與任意前述方面結(jié)合的第十四方面,所述多個(gè)功能獨(dú)立的模塊包括多個(gè)安全功能模塊。
在可與任意前述方面結(jié)合的第二方面,所述多個(gè)功能獨(dú)立的模塊包括多個(gè)通信模塊。
在可與任意前述方面結(jié)合的第十五方面,所述多個(gè)功能獨(dú)立的模塊包括多個(gè)設(shè)備接口模塊。
在可與任意前述方面結(jié)合的第十六方面,所述多個(gè)功能獨(dú)立的模塊按單輪表決方案,邏輯判定反應(yīng)堆停堆。
在可與任意前述方面結(jié)合的第十七方面,所述多個(gè)功能獨(dú)立的模塊按多輪表決方案,邏輯判定反應(yīng)堆停堆。
在可與任意前述方面結(jié)合的第十八方面,所述多輪表決方案包括兩輪表決方案。
在可與任意前述方面結(jié)合的第十九方面,所述兩輪表決方案的第一輪包括多數(shù)表決方案。
在可與任意前述方面結(jié)合的第二十方面,所述多數(shù)表決方案包括2/3表決方案。
在可與任意前述方面結(jié)合的第二十一方面,所述兩輪表決方案的第二輪包括非多數(shù)表決方案。
在可與任意前述方面結(jié)合的第二十二方面,所述第二輪包括2/4表決方案。
在按照本公開(kāi)的另一種一般實(shí)現(xiàn)中,一種判定核反應(yīng)堆停堆的方法,包括在核反應(yīng)堆保護(hù)系統(tǒng)的多個(gè)功能獨(dú)立的模塊處,從專設(shè)安全設(shè)施驅(qū)動(dòng)系統(tǒng)(ESFAS)或反應(yīng)堆停堆系統(tǒng)(RTS)之一,接收多個(gè)輸入;利用所述多個(gè)功能獨(dú)立的模塊,至少部分根據(jù)所述多個(gè)輸入,邏輯確定ESFAS安全措施或反應(yīng)堆停堆判定之一;和根據(jù)邏輯確定,啟動(dòng)能夠通信地耦接到所述多個(gè)功能獨(dú)立的模塊的ESFAS組件驅(qū)動(dòng)器或反應(yīng)堆停堆斷路器之一。
可與所述一般實(shí)現(xiàn)結(jié)合的第一方面還包括利用所述多個(gè)功能獨(dú)立的模塊之一,限制單一失效傳播到所述多個(gè)功能獨(dú)立的模塊中的任意其它模塊。
在可與任意前述方面結(jié)合的第二方面,所述單一失效包括下述至少之一:?jiǎn)我挥布?,單一軟件失效或軟件產(chǎn)生的單一邏輯失效。
在可與任意前述方面結(jié)合的第三方面,利用所述多個(gè)功能獨(dú)立的模塊,至少部分根據(jù)所述多個(gè)輸入,邏輯確定ESFAS安全措施或反應(yīng)堆停堆判定之一包括利用所述多個(gè)功能獨(dú)立的模塊,通過(guò)三重冗余信號(hào)路徑,邏輯確定ESFAS安全措施或反應(yīng)堆停堆判定。
在可與任意前述方面結(jié)合的第四方面,所述多個(gè)功能獨(dú)立的模塊提供冗余RTS表決序列或冗余ESFAS表決序列至少之一。
在可與任意前述方面結(jié)合的第五方面,利用所述多個(gè)功能獨(dú)立的模塊,至少部分根據(jù)所述多個(gè)輸入,邏輯確定ESFAS安全措施或反應(yīng)堆停堆判定之一包括利用所述多個(gè)功能獨(dú)立的模塊,通過(guò)每個(gè)反應(yīng)堆停堆組件的獨(dú)立停堆表決模塊,邏輯確定ESFAS安全措施或反應(yīng)堆停堆判定。
在可與任意前述方面結(jié)合的第六方面,利用所述多個(gè)功能獨(dú)立的模塊,至少部分根據(jù)所述多個(gè)輸入,邏輯確定ESFAS安全措施或反應(yīng)堆停堆判定之一包括利用所述多個(gè)功能獨(dú)立的模塊中的特定模塊,與所述多個(gè)模塊中的每個(gè)其它模塊分離地邏輯確定ESFAS安全措施或反應(yīng)堆停堆判定。
在可與任意前述方面結(jié)合的第七方面,所述多個(gè)功能獨(dú)立的模塊包括每個(gè)ESF組件的獨(dú)立ESFAS驅(qū)動(dòng)表決模塊,所述方法還包括利用所述多個(gè)功能獨(dú)立的模塊中的特定模塊,與所述多個(gè)模塊中專用于特定ESF組件的每個(gè)其它模塊分離地邏輯確定ESFAS驅(qū)動(dòng)。
在可與任意前述方面結(jié)合的第八方面,所述多個(gè)功能獨(dú)立的模塊包括多個(gè)安全功能模塊、多個(gè)通信模塊和多個(gè)設(shè)備接口模塊。
在可與任意前述方面結(jié)合的第九方面,利用所述多個(gè)功能獨(dú)立的模塊,至少部分根據(jù)所述多個(gè)輸入,邏輯確定ESFAS安全措施或反應(yīng)堆停堆判定之一包括利用所述多個(gè)功能獨(dú)立的模塊,按單輪表決方案,邏輯確定ESFAS安全措施或反應(yīng)堆停堆判定。
在可與任意前述方面結(jié)合的第十方面,利用所述多個(gè)功能獨(dú)立的模塊,至少部分根據(jù)所述多個(gè)輸入,邏輯確定ESFAS安全措施或反應(yīng)堆停堆判定之一包括利用所述多個(gè)功能獨(dú)立的模塊,按多輪表決方案,邏輯確定ESFAS安全措施或反應(yīng)堆停堆判定。
在可與任意前述方面結(jié)合的第十一方面,所述多輪表決方案包括兩輪表決方案。
在可與任意前述方面結(jié)合的第十二方面,所述兩輪表決方案的第一輪包括多數(shù)表決方案。
在可與任意前述方面結(jié)合的第十三方面,所述多數(shù)表決方案包括2/3表決方案。
在可與任意前述方面結(jié)合的第十四方面,所述兩輪表決方案的第二輪包括非多數(shù)表決方案。
在可與任意前述方面結(jié)合的第十五方面,所述第二輪包括2/4表決方案。
在按照本公開(kāi)的另一種一般實(shí)現(xiàn)中,核反應(yīng)堆保護(hù)系統(tǒng)包括限制單一失效遷移到單一模塊的多個(gè)功能獨(dú)立的模塊。
在按照本公開(kāi)的另一種一般實(shí)現(xiàn)中,核反應(yīng)堆保護(hù)系統(tǒng)包括多個(gè)功能獨(dú)立的模塊,所述多個(gè)功能獨(dú)立的模塊只包括3種模塊,從而使現(xiàn)場(chǎng)可更換單元的數(shù)目降至最小。
在按照本公開(kāi)的另一種一般實(shí)現(xiàn)中,核反應(yīng)堆保護(hù)系統(tǒng)包括多個(gè)功能獨(dú)立的模塊,所述多個(gè)功能獨(dú)立的模塊包括確定通過(guò)數(shù)據(jù)總線的數(shù)據(jù)傳送的時(shí)間表的通信模塊。
在按照本公開(kāi)的另一種一般實(shí)現(xiàn)中,核反應(yīng)堆保護(hù)系統(tǒng)包括反應(yīng)堆停堆系統(tǒng),所述反應(yīng)堆停堆系統(tǒng)定義其中數(shù)據(jù)通過(guò)僅僅與安全功能關(guān)聯(lián),而不與例如事故后監(jiān)視功能關(guān)聯(lián)的路徑,從反應(yīng)堆停堆系統(tǒng)傳送給控制室的系統(tǒng)體系結(jié)構(gòu)。
在按照本公開(kāi)的另一種一般實(shí)現(xiàn)中,核反應(yīng)堆保護(hù)系統(tǒng)包括多個(gè)功能獨(dú)立的模塊,每個(gè)功能獨(dú)立的模塊專用于系統(tǒng)中的多個(gè)反應(yīng)堆停堆斷路器之中的特定反應(yīng)堆停堆斷路器。
在按照本公開(kāi)的另一種一般實(shí)現(xiàn)中,核反應(yīng)堆保護(hù)系統(tǒng)包括多個(gè)功能獨(dú)立的模塊,每個(gè)功能獨(dú)立的模塊完全獨(dú)立于所有其它模塊地作出反應(yīng)堆停堆/不停堆判定或者ESFAS驅(qū)動(dòng)/不驅(qū)動(dòng)判定。
在按照本公開(kāi)的另一種一般實(shí)現(xiàn)中,核反應(yīng)堆保護(hù)系統(tǒng)包括多個(gè)功能獨(dú)立的模塊,每個(gè)功能獨(dú)立的模塊專用于系統(tǒng)中的多個(gè)ESFAS設(shè)備驅(qū)動(dòng)器之中的特定ESFAS設(shè)備驅(qū)動(dòng)器。
在按照本公開(kāi)的另一種一般實(shí)現(xiàn)中,核反應(yīng)堆保護(hù)設(shè)備包括從核反應(yīng)堆安全系統(tǒng)接收多個(gè)輸入,至少部分根據(jù)所述多個(gè)輸入,邏輯確定安全措施的裝置;和接收至少部分基于所述多個(gè)輸入的安全措施確定的裝置。
在可與所述一般實(shí)現(xiàn)面結(jié)合的第一方面,接收安全措施確定的裝置能夠通信地耦接到從核反應(yīng)堆安全系統(tǒng)接收所述多個(gè)輸入,并邏輯確定安全措施的裝置。
在可與任意前述方面結(jié)合的第二方面,從核反應(yīng)堆安全系統(tǒng)接收所述多個(gè)輸入,并邏輯確定安全措施的裝置提供防止單一失效在設(shè)備內(nèi)傳播的保護(hù)。
在可與任意前述方面結(jié)合的第三方面,核反應(yīng)堆安全系統(tǒng)包括專設(shè)安全設(shè)施驅(qū)動(dòng)系統(tǒng)(ESFAS),從核反應(yīng)堆安全系統(tǒng)接收所述多個(gè)輸入,并邏輯確定安全措施的裝置接收多個(gè)ESFAS輸入,至少部分根據(jù)所述ESFAS輸入,邏輯確定ESFAS組件驅(qū)動(dòng)。
在可與任意前述方面結(jié)合的第四方面,從核反應(yīng)堆安全系統(tǒng)接收所述多個(gè)輸入,并邏輯確定安全措施的裝置提供冗余ESFAS表決序列。
在可與任意前述方面結(jié)合的第五方面,核反應(yīng)堆安全系統(tǒng)包括反應(yīng)堆停堆系統(tǒng)(RTS),從核反應(yīng)堆安全系統(tǒng)接收所述多個(gè)輸入,并邏輯確定安全措施的裝置接收多個(gè)RTS輸入,至少部分根據(jù)所述RTS輸入,邏輯確定RTS組件驅(qū)動(dòng)。
在可與任意前述方面結(jié)合的第六方面,從核反應(yīng)堆安全系統(tǒng)接收所述多個(gè)輸入,并邏輯確定安全措施的裝置包含冗余RTS表決序列。
在可與任意前述方面結(jié)合的第七方面,從核反應(yīng)堆安全系統(tǒng)接收所述多個(gè)輸入,并邏輯確定安全措施的裝置提供防止單一硬件失效在設(shè)備內(nèi)傳播的保護(hù)。
在可與任意前述方面結(jié)合的第八方面,從核反應(yīng)堆安全系統(tǒng)接收所述多個(gè)輸入,并邏輯確定安全措施的裝置提供防止單一軟件失效在設(shè)備內(nèi)傳播的保護(hù)。
在可與任意前述方面結(jié)合的第九方面,從核反應(yīng)堆安全系統(tǒng)接收所述多個(gè)輸入,并邏輯確定安全措施的裝置提供防止軟件產(chǎn)生的單一邏輯失效在設(shè)備內(nèi)傳播的保護(hù)。
在可與任意前述方面結(jié)合的第十方面,從核反應(yīng)堆安全系統(tǒng)接收所述多個(gè)輸入,并邏輯確定安全措施的裝置包含反應(yīng)堆停堆感測(cè)和判定的三重冗余信號(hào)路徑。
在可與任意前述方面結(jié)合的第十一方面,從核反應(yīng)堆安全系統(tǒng)接收所述多個(gè)輸入,并邏輯確定安全措施的裝置包含每個(gè)反應(yīng)堆停堆組件的獨(dú)立停堆表決模塊。
在可與任意前述方面結(jié)合的第十二方面,從核反應(yīng)堆安全系統(tǒng)接收所述多個(gè)輸入,并邏輯確定安全措施的裝置獨(dú)立判定特定反應(yīng)堆停堆組件的反應(yīng)堆停堆。
在可與任意前述方面結(jié)合的第十三方面,其中從核反應(yīng)堆安全系統(tǒng)接收所述多個(gè)輸入,并邏輯確定安全措施的裝置包含每個(gè)ESF組件的獨(dú)立ESFAS驅(qū)動(dòng)表決模塊。
在可與任意前述方面結(jié)合的第十四方面,從核反應(yīng)堆安全系統(tǒng)接收所述多個(gè)輸入,并邏輯確定安全措施的裝置獨(dú)立確定特定ESF組件的ESFAS驅(qū)動(dòng)。
在可與任意前述方面結(jié)合的第十五方面,從核反應(yīng)堆安全系統(tǒng)接收所述多個(gè)輸入,并邏輯確定安全措施的裝置包含多個(gè)安全功能模塊。
在可與任意前述方面結(jié)合的第十六方面,從核反應(yīng)堆安全系統(tǒng)接收所述多個(gè)輸入,并邏輯確定安全措施的裝置包含多個(gè)通信模塊。
在可與任意前述方面結(jié)合的第十七方面,從核反應(yīng)堆安全系統(tǒng)接收所述多個(gè)輸入,并邏輯確定安全措施的裝置包含多個(gè)設(shè)備接口模塊。
在可與任意前述方面結(jié)合的第十八方面,從核反應(yīng)堆安全系統(tǒng)接收所述多個(gè)輸入,并邏輯確定安全措施的裝置按單輪表決方案,邏輯判定反應(yīng)堆停堆。
在可與任意前述方面結(jié)合的第十九方面,從核反應(yīng)堆安全系統(tǒng)接收所述多個(gè)輸入,并邏輯確定安全措施的裝置按多輪表決方案,邏輯判定反應(yīng)堆停堆。
在可與任意前述方面結(jié)合的第二十方面,所述多輪表決方案包括兩輪表決方案。
在可與任意前述方面結(jié)合的第二十一方面,所述兩輪表決方案的第一輪包括多數(shù)表決方案。
在可與任意前述方面結(jié)合的第二十二方面,所述多數(shù)表決方案包括2/3表決方案。
在可與任意前述方面結(jié)合的第二十三方面,所述兩輪表決方案的第二輪包括非多數(shù)表決方案。
在可與任意前述方面結(jié)合的第二十四方面,所述第二輪包括2/4表決方案。
按照本公開(kāi)的核反應(yīng)堆保護(hù)系統(tǒng)的各種實(shí)現(xiàn)可包括下述特征中的一個(gè)、一些或全部特征。例如,反應(yīng)堆保護(hù)系統(tǒng)可減輕由軟件或者軟件產(chǎn)生的邏輯錯(cuò)誤引起的會(huì)挫敗和/或禁止系統(tǒng)中的安全功能的共因失效(CCF)。再例如,反應(yīng)堆保護(hù)系統(tǒng)可合并關(guān)鍵屬性,包括獨(dú)立性、冗余性、確定性、多層多樣性、可測(cè)試性和診斷性。反應(yīng)堆保護(hù)系統(tǒng)可確保使核反應(yīng)堆維持安全工況。再例如,通過(guò)使功能性在專用于特定功能的各個(gè)邏輯引擎中實(shí)現(xiàn)的對(duì)稱體系結(jié)構(gòu),反應(yīng)堆保護(hù)系統(tǒng)具有增大的簡(jiǎn)單性。又例如,反應(yīng)堆保護(hù)系統(tǒng)可便利所述體系結(jié)構(gòu)內(nèi)基于簡(jiǎn)單的確定性協(xié)議,并經(jīng)冗余傳送的通信。
附圖和下面的說(shuō)明中,記載了在本說(shuō)明書(shū)中說(shuō)明的主題的一種或多種實(shí)現(xiàn)的細(xì)節(jié)。根據(jù)所述說(shuō)明、附圖和權(quán)利要求,所述主題的其它特征、方面和優(yōu)點(diǎn)將變得明顯。
附圖說(shuō)明
圖1圖解說(shuō)明系統(tǒng)的例證實(shí)現(xiàn)的方框圖,所述系統(tǒng)包括多個(gè)核能系統(tǒng),和儀表與控制(I&C)系統(tǒng);
圖2A-2B圖解說(shuō)明核能系統(tǒng)的I&C系統(tǒng)的模塊保護(hù)系統(tǒng)(MPS)的方框圖;
圖3A圖解說(shuō)明核能系統(tǒng)的I&C系統(tǒng)的MPS的停堆判定塊的方框圖;
圖3B圖解說(shuō)明核能系統(tǒng)的I&C系統(tǒng)的MPS的專設(shè)安全設(shè)施驅(qū)動(dòng)系統(tǒng)(ESFAS)的方框圖;
圖4A-4B是圖解說(shuō)明減輕MPS內(nèi)的基于軟件或軟件邏輯的共因失效(failure),從而確保I&C系統(tǒng)能夠?qū)崿F(xiàn)其預(yù)期安全功能的多層多樣性策略的例證圖表;
圖5圖解說(shuō)明核能系統(tǒng)的I&C系統(tǒng)的MPS的安全功能模塊(SFM)的方框圖;
圖6圖解說(shuō)明核能系統(tǒng)的I&C系統(tǒng)的MPS的通信模塊(CM)的方框圖;
圖7圖解說(shuō)明核能系統(tǒng)的I&C系統(tǒng)的MPS的設(shè)備接口模塊(EIM)的方框圖;
圖8圖解說(shuō)明通信耦接一個(gè)或多個(gè)SFM、EIM和CM的反應(yīng)堆保護(hù)系統(tǒng)的機(jī)箱的例證實(shí)施例;
圖9A-9C圖解說(shuō)明利用SFM、CM和EIM中的一個(gè)或多個(gè)的停堆判定級(jí)、RTS級(jí)和ESFAS級(jí)互連的方框圖;
圖10圖解說(shuō)明核能系統(tǒng)的I&C系統(tǒng)的MPS的多樣性分析圖;和
圖11圖解說(shuō)明把MPS塊分成4個(gè)防御層次的例證分離的方框圖。
具體實(shí)施方式
圖1圖解說(shuō)明包括多個(gè)核能系統(tǒng)150,和核儀表與控制(I&C)系統(tǒng)135的系統(tǒng)100的例證實(shí)現(xiàn)。通常,I&C系統(tǒng)135提供自動(dòng)觸發(fā)信號(hào)、自動(dòng)與人工控制信號(hào)及監(jiān)視和指示顯示,以避免或減輕系統(tǒng)100中的故障工況的后果。在穩(wěn)態(tài)和瞬時(shí)動(dòng)力運(yùn)行期間,I&C系統(tǒng)135提供核能系統(tǒng)150的正常反應(yīng)堆控制,和防止不安全反應(yīng)堆運(yùn)行的保護(hù)。在正常運(yùn)行期間,儀表測(cè)量各種處理參數(shù),并向I&C系統(tǒng)135的控制系統(tǒng)傳送信號(hào)。在異常運(yùn)行和事故工況期間,儀表向I&C系統(tǒng)135的各個(gè)部分(例如,作為模塊保護(hù)系統(tǒng)(MPS)145的一部分的反應(yīng)堆停堆系統(tǒng)(RTS)147和專設(shè)安全設(shè)施驅(qū)動(dòng)系統(tǒng)(ESFAS)148(例如,用于減輕事故的影響))傳送信號(hào),以根據(jù)預(yù)定的設(shè)定點(diǎn),啟動(dòng)保護(hù)措施。
圖1中,系統(tǒng)100包括與I&C系統(tǒng)135電耦接的多個(gè)核能系統(tǒng)150。盡管本例中只表示了3個(gè)核能系統(tǒng)150,不過(guò)可存在包含在系統(tǒng)100內(nèi),或者耦接到系統(tǒng)100的更多或更少系統(tǒng)150(例如,6、9、12或另外的)。在一種優(yōu)選實(shí)現(xiàn)中,可存在包含在系統(tǒng)100內(nèi)的12個(gè)核能系統(tǒng)150,同時(shí)核能系統(tǒng)150中的一個(gè)或多個(gè)包括模塊化的輕水反應(yīng)堆,如下進(jìn)一步所述。
就每個(gè)核能系統(tǒng)150來(lái)說(shuō),盡管未明確表示,不過(guò),核反應(yīng)堆堆芯可提供熱量,所述熱量可用于在一次冷卻劑回路(例如,像在沸水反應(yīng)堆中),或者在二次冷卻回路(例如,像在壓水反應(yīng)堆中)使水沸騰。汽化的冷卻劑(比如蒸汽)可用于驅(qū)動(dòng)一個(gè)或多個(gè)渦輪,所述渦輪把熱勢(shì)能轉(zhuǎn)換成電能。在冷凝之后,使冷卻劑返回,從而再次從核反應(yīng)堆堆芯帶走更多的熱能。核能系統(tǒng)150是需要監(jiān)視和保護(hù)功能,以便使與系統(tǒng)內(nèi)的失效相關(guān)的危害降至最小的任意系統(tǒng)的一個(gè)例子。
在各個(gè)核反應(yīng)堆系統(tǒng)150的具體例證實(shí)現(xiàn)中,堆芯被布置在柱形或囊形反應(yīng)堆容器的底部。堆芯包括一些裂變材料,所述裂變材料產(chǎn)生可在可能數(shù)年或更長(zhǎng)的時(shí)期內(nèi)發(fā)生的受控反應(yīng)。盡管圖1中未明確示出,不過(guò)可以采用控制棒控制堆芯內(nèi)的裂變率??刂瓢艨砂ㄣy、銦、鎘、硼、鈷、鉿、鏑、釓、釤、鉺和銪,或者它們的合金和化合物。然而,這些僅僅是許多可能的控制棒材料中的一些。在設(shè)計(jì)成帶有被動(dòng)運(yùn)行系統(tǒng)的核反應(yīng)堆中,采用物理學(xué)定律來(lái)確保在正常運(yùn)行期間,或者甚至在緊急工況下,無(wú)操作員干預(yù)或監(jiān)督地至少持續(xù)一段預(yù)定時(shí)間,維持核反應(yīng)堆的安全運(yùn)行。
在各種實(shí)現(xiàn)中,柱形或囊形安全殼圍繞反應(yīng)堆容器,并被部分或完全浸沒(méi)在反應(yīng)堆艙(bay)內(nèi)的反應(yīng)堆水池中,比如在水線之下。反應(yīng)堆容器和安全殼之間的體積可被部分或完全抽空,以減小從反應(yīng)堆容器到反應(yīng)堆水池的傳熱。然而,在其它實(shí)現(xiàn)中,反應(yīng)堆容器和安全殼之間的體積可至少部分充填增大反應(yīng)堆和安全殼之間的傳熱的氣體和/或液體。安全殼可以擱置在反應(yīng)堆艙的基座處的邊緣上。
在一種特殊實(shí)現(xiàn)中,堆芯被浸沒(méi)在液體,比如水中,所述液體可包括硼或其它添加劑,在與堆芯的表面接觸之后,所述液體上漲進(jìn)入通道中。冷卻劑在熱交換器的頂部上方通過(guò),并經(jīng)過(guò)對(duì)流,沿著反應(yīng)堆容器的內(nèi)壁向下流動(dòng),從而使冷卻劑可把熱量傳給熱交換器。在到達(dá)反應(yīng)堆容器的底部之后,接觸堆芯,導(dǎo)致加熱冷卻劑,冷卻劑再次通過(guò)通道上升。
反應(yīng)堆容器內(nèi)的熱交換器可代表纏繞著通道的至少一部分的任意數(shù)量的螺旋線圈。在另一種實(shí)現(xiàn)中,數(shù)目不同的螺旋線圈可反方向地纏繞著通道,其中例如第一螺旋線圈沿逆時(shí)針?lè)较蚵菪p繞,而第二螺旋線圈沿順時(shí)針?lè)较蚵菪p繞。然而,當(dāng)然可以使用不同地構(gòu)成和/或不同地定向的熱交換器,在這方面,實(shí)現(xiàn)不受限制。
圖1中,核反應(yīng)堆模塊的正常運(yùn)行按照其中加熱的冷卻劑通過(guò)通道上升,并與熱交換器接觸的方式進(jìn)行。在接觸熱交換器之后,冷卻劑按照引起熱虹吸過(guò)程的方式,沉向反應(yīng)堆容器的底部。在圖1的例子中,反應(yīng)堆容器內(nèi)的冷卻劑保持在高于大氣壓力的壓力下,從而使冷卻劑可以維持高溫而不汽化(例如,沸騰)。
隨著熱交換器內(nèi)的冷卻劑溫度升高,該冷卻劑開(kāi)始沸騰。當(dāng)熱交換器內(nèi)的冷卻劑開(kāi)始沸騰時(shí),汽化的冷卻劑(比如蒸汽)可用于驅(qū)動(dòng)一個(gè)或多個(gè)渦輪,所述渦輪把蒸汽的熱勢(shì)能轉(zhuǎn)換成電能。在冷凝之后,冷卻劑回到在熱交換器的底部附近的位置。
在圖1的核能系統(tǒng)150的正常運(yùn)行期間,利用置于核能系統(tǒng)150內(nèi)的各個(gè)位置處的例如I&C系統(tǒng)135的傳感器,可以監(jiān)視核能系統(tǒng)的各種性能參數(shù)。核能系統(tǒng)內(nèi)的傳感器可測(cè)量系統(tǒng)溫度、系統(tǒng)壓力、一次和/或二次冷卻劑水平和中子通量。經(jīng)由到I&C系統(tǒng)135的接口面板的通信通道,可向核能系統(tǒng)之外報(bào)告表示這些測(cè)量結(jié)果的信號(hào)。
例示的I&C系統(tǒng)135通常包括主控制室140、模塊(或反應(yīng)堆)保護(hù)系統(tǒng)(MPS)145和非安全模塊控制系統(tǒng)(MCS)155。主控制室140包括用于每個(gè)核能系統(tǒng)150的一組控制器和指示器141。每組控制器和指示器141包括手動(dòng)1E控制器142、1E指示器143、及非1E控制器和指示器144。在一些方面,“1E”指的是諸如定義按照核管理委員會(huì)管理指南1.32認(rèn)可的IEEE標(biāo)準(zhǔn)308-2001,3.7節(jié)的1E方案的那些管理要求之類的管理要求,所述1E方案定義對(duì)緊急反應(yīng)堆關(guān)閉、安全殼隔離、堆芯冷卻、及安全殼和反應(yīng)堆排熱來(lái)說(shuō)必不可少,或者在防止放射性物質(zhì)顯著釋放到環(huán)境中方面必要的電氣設(shè)備和系統(tǒng)的安全分級(jí)。一般,某些控制器和指示器可以是合乎“1E”的(例如,手動(dòng)1E控制器142和1E指示器143),而其它控制器和指示器可不是合乎“1E”的(例如,非1E控制器和指示器144)。
非1E控制器和指示器144與MCS 155雙向通信。MCS 155可提供核能系統(tǒng)150的非安全部分的控制和監(jiān)視。通常,MCS 155約束運(yùn)行瞬態(tài),以避免機(jī)組停堆,和重建穩(wěn)態(tài)機(jī)組運(yùn)行,以及其它操作。
MPS 145分別與手動(dòng)1E控制器142和1E指示器143單向通信,如圖1中所示。通常,MPS 145啟動(dòng)安全措施,以減輕設(shè)計(jì)基準(zhǔn)事件的后果。通常,MPS 145包括為啟動(dòng)反應(yīng)堆關(guān)閉所需的從傳感器到最終驅(qū)動(dòng)設(shè)備(電源、傳感器、信號(hào)調(diào)節(jié)器、啟動(dòng)電路、邏輯、旁通、控制板、互連和驅(qū)動(dòng)設(shè)備)的所有設(shè)備(包括硬件、軟件和固件)。
MPS 145包括RTS 147和ESFAS 148。在一些方面,RTS 147包括具有獨(dú)立的測(cè)量通道,以監(jiān)視可用于產(chǎn)生反應(yīng)堆停堆的設(shè)備參數(shù)的4個(gè)獨(dú)立的分離組(例如,具有相同的1E級(jí)電氣通道標(biāo)記(A、B、C或D)的處理(process)通道的物理分組,它具備分離并且獨(dú)立的饋電和處理(process)儀表傳送器,并且每個(gè)組物理上和電氣上與其它各個(gè)組無(wú)關(guān))。當(dāng)參數(shù)超過(guò)預(yù)定設(shè)定點(diǎn)時(shí),每個(gè)測(cè)量通道停堆。RTS 147的一致邏輯可被設(shè)計(jì)成以致當(dāng)需要時(shí),單一失效不會(huì)阻止反應(yīng)堆停堆,單一測(cè)量通道中的失效不會(huì)產(chǎn)生不必要的反應(yīng)堆停堆。
在一些方面,ESFAS 148包括具有監(jiān)視設(shè)備參數(shù)的獨(dú)立測(cè)量通道的4個(gè)獨(dú)立的分離組,所述設(shè)備參數(shù)可用于啟動(dòng)專設(shè)安全設(shè)施(ESF)設(shè)備的操作。當(dāng)參數(shù)超過(guò)預(yù)定設(shè)定點(diǎn)時(shí),每個(gè)測(cè)量通道停堆。ESFAS 148的一致邏輯可被設(shè)計(jì)成以致當(dāng)需要時(shí),單一故障不會(huì)阻止安全系統(tǒng)啟動(dòng),單一測(cè)量通道中的單一失效不會(huì)產(chǎn)生不必要的安全系統(tǒng)啟動(dòng)。
系統(tǒng)100可包括4個(gè)防御層次,例如,深度防御的原理對(duì)于附加到核反應(yīng)堆以便運(yùn)行反應(yīng)堆或者關(guān)閉反應(yīng)堆和冷卻反應(yīng)堆的儀表和控制系統(tǒng)的配置的具體應(yīng)用,如在NUREG/CR-6303中定義的一樣。具體地,所述4個(gè)層次是控制系統(tǒng)、反應(yīng)堆停堆或緊急停堆系統(tǒng)、ESFAS及監(jiān)測(cè)和指示系統(tǒng)(例如,包括為操作名義上分配給其它3個(gè)層次的設(shè)備所需的1E級(jí)和非1E級(jí)手動(dòng)控制器、監(jiān)視器和指示器的最慢、最靈活的防御層次)。
一般,控制系統(tǒng)層次包括MCS 155(例如,非1E級(jí)手動(dòng)或自動(dòng)控制設(shè)備),MCS 155例行地防止朝著不安全的運(yùn)行狀態(tài)方向發(fā)展的反應(yīng)堆功率激增(excursion),通常用于在安全發(fā)電運(yùn)行區(qū)中運(yùn)行反應(yīng)堆。在該控制層次中,可包括指示器、信號(hào)器和警報(bào)器。反應(yīng)堆控制系統(tǒng)一般包含滿足特殊規(guī)則和/或要求,例如對(duì)于遠(yuǎn)程關(guān)閉面板的要求的一些設(shè)備。控制系統(tǒng)層次實(shí)現(xiàn)的反應(yīng)堆控制功能包含在MCS 155中。例如,MCS 155包括把系統(tǒng)100維持在運(yùn)行極限內(nèi)以避免對(duì)反應(yīng)堆停堆或ESF驅(qū)動(dòng)的需要的功能。
反應(yīng)堆停堆系統(tǒng)層次一般包括RTS 147,例如,用來(lái)響應(yīng)不受控的功率激增,快速降低堆芯反應(yīng)性的安全設(shè)備。該層次一般由用于檢測(cè)可能或?qū)嶋H的功率激增的儀表,用于快速和完全插入反應(yīng)堆控制棒的設(shè)備和過(guò)程組成,還可包括某些化學(xué)中子慢化(moderation)系統(tǒng)(例如,硼注入)。如圖所示,由反應(yīng)堆停堆層次進(jìn)行的自動(dòng)反應(yīng)堆停堆功能包含在MPS 145中(例如,RTS 147中)。
ESFAS層次一般包括作為MPS 145的一部分的ESFAS模塊148。當(dāng)在ESFAS模塊148中實(shí)現(xiàn)時(shí),ESFAS層次一般包括除熱或者幫助維持針對(duì)放射性物質(zhì)釋放的3個(gè)物理屏障(例如,核燃料棒包殼、反應(yīng)堆容器和反應(yīng)堆安全殼)的完整性的安全設(shè)備。該層次檢測(cè)對(duì)于諸如應(yīng)急反應(yīng)堆冷卻、卸壓或降壓、隔離和為ESF設(shè)備工作所需的各種支持系統(tǒng)(例如,應(yīng)急發(fā)電機(jī))或設(shè)備(閥、電動(dòng)機(jī)、泵)的控制之類功能的需要,并執(zhí)行所述功能。
監(jiān)測(cè)和指示系統(tǒng)層次一般包括主控制室140,在一些方面,是最緩慢也最靈活的防御層次。類似于其它3個(gè)層次,(例如,系統(tǒng)100)的人類操作員依賴于精確的傳感器信息來(lái)進(jìn)行其任務(wù),但是,給定的信息、時(shí)間和裝置能夠進(jìn)行未預(yù)先指定的邏輯計(jì)算,以對(duì)意外的事件作出反應(yīng)。監(jiān)測(cè)和指示層次包括為(例如,通過(guò)手動(dòng)1E控制器142、1E指示器143、及非1E控制器和指示器144)操作名義上分配給其它3個(gè)層次的設(shè)備所需的1E級(jí)和非1E級(jí)手動(dòng)控制器、監(jiān)視器和指示器。監(jiān)測(cè)和指示系統(tǒng)層次所需的功能由包括來(lái)自MCS 155和MPS 145的信息的主控制室中的手動(dòng)控制器、顯示器和指示器提供。安全監(jiān)測(cè)、手動(dòng)反應(yīng)堆停堆和手動(dòng)ESF驅(qū)動(dòng)功能包含在MPS 145中。MCS 155提供非安全監(jiān)測(cè)和手動(dòng)控制,以在正常設(shè)備運(yùn)行期間,維持運(yùn)行限制。
除了包括所述4個(gè)防御層次之外,系統(tǒng)100還包括多種水平的多樣性。具體地,I&C多樣性是利用不同的技術(shù)、邏輯或算法,測(cè)量變量或提供驅(qū)動(dòng)手段,以提供響應(yīng)假定的設(shè)備工況的多樣方式的原理。這里,多樣性適用于儀表系統(tǒng)中的利用不同技術(shù)、邏輯或算法,感測(cè)不同參數(shù),或者提供驅(qū)動(dòng)手段的原理,以提供檢測(cè)并響應(yīng)重大事件的幾種方式。多樣性是對(duì)深度防御原理的補(bǔ)充,增大當(dāng)需要時(shí),將啟動(dòng)在特定層次或深度處的防御的機(jī)會(huì)。通常,存在多樣性的6種屬性:人類多樣性、設(shè)計(jì)多樣性、軟件多樣性、功能多樣性、信號(hào)多樣性和設(shè)備多樣性。如在本公開(kāi)中更深入所述,MPS 145可包含多樣性的所述6種屬性,以便減輕MPS 145中的共因失效(例如,由軟件錯(cuò)誤或軟件產(chǎn)生的邏輯引起的會(huì)挫敗利用硬件體系結(jié)構(gòu)實(shí)現(xiàn)的冗余的失效)的影響。
通常,人類多樣性涉及致力于整個(gè)系統(tǒng)開(kāi)發(fā)生命周期內(nèi)的人為失誤(例如,過(guò)失、誤判、錯(cuò)誤、配置失效),并由生命周期過(guò)程的執(zhí)行中的相異性表征。
通常,設(shè)計(jì)多樣性是利用不同的方式,包括軟件和硬件來(lái)解決相同或相似的問(wèn)題。軟件多樣性是設(shè)計(jì)多樣性的特殊情況,由于其潛在的重要性及其潛在的缺陷而單獨(dú)提及。設(shè)計(jì)多樣性的基本原理在于不同的設(shè)計(jì)具有不同的失效模式,從而不會(huì)對(duì)相同的常見(jiàn)影響敏感。
通常,軟件多樣性是利用由重要人員不同的不同軟件開(kāi)發(fā)組設(shè)計(jì)和實(shí)現(xiàn)的不同軟件程序來(lái)實(shí)現(xiàn)相同的安全目標(biāo),例如利用兩個(gè)分別設(shè)計(jì)的程序來(lái)確定反應(yīng)堆何時(shí)應(yīng)被停堆。
通常,功能多樣性指的是執(zhí)行不同的物理或邏輯功能的兩個(gè)系統(tǒng)(例如,系統(tǒng)100內(nèi)的子系統(tǒng)),盡管它們可能具有交疊的安全效果。
通常,信號(hào)多樣性是利用不同的過(guò)程參數(shù)來(lái)啟動(dòng)保護(hù)措施,其中任意參數(shù)可獨(dú)立地指示異常工況,即使其它參數(shù)未能被正確檢測(cè)。
通常,設(shè)備多樣性是利用不同的設(shè)備執(zhí)行相似的安全功能(例如,對(duì)于把設(shè)備參數(shù)維持在關(guān)于設(shè)計(jì)基準(zhǔn)事件確定的容許極限內(nèi)來(lái)說(shuō)必不可少的過(guò)程或條件之一,它可通過(guò)RTS或ESF完成所有必需的保護(hù)措施,或輔助支持特征完成所有必需的保護(hù)措施,或這兩者來(lái)實(shí)現(xiàn))。這種情況下,“不同”可意味充分不同,以顯著降低對(duì)于共因失效的脆弱性。
在一些方面,MPS 145可包含連續(xù)(或部分連續(xù))自測(cè)和定期監(jiān)測(cè)的組合。這種測(cè)試策略可確保識(shí)別并向電站人員通告所有可檢測(cè)的失效(例如,通過(guò)主控制室140)。自測(cè)特征可提供確保系統(tǒng)狀態(tài)持續(xù)(或部分持續(xù))被監(jiān)視的全面診斷系統(tǒng)??上螂娬救藛T通告所有可檢測(cè)的失效,可以提供所述失效的影響的指示,以確定系統(tǒng)的整體狀態(tài)。自測(cè)特征維持分離組和序列(division)獨(dú)立性。自測(cè)特征確保系統(tǒng)完整性始終得到保持。
在一些方面,MPS 145內(nèi)的各個(gè)子塊(下面更詳細(xì)說(shuō)明)可包含用于檢測(cè)模塊內(nèi)的各個(gè)失效的提供高故障檢測(cè)覆蓋率的自測(cè)特征。這可使檢測(cè)故障所需的時(shí)間降至最少,提供對(duì)于安全和系統(tǒng)可用性的益處。在系統(tǒng)正常運(yùn)行的時(shí)候,所述自測(cè)不影響安全功能的性能,比如響應(yīng)時(shí)間地進(jìn)行。
自測(cè)特征能夠檢測(cè)現(xiàn)用(active)邏輯和待用(inactive)邏輯(例如,只有當(dāng)需要安全功能工作時(shí)才啟動(dòng)的邏輯)中的多數(shù)故障,以避免存在未檢測(cè)到的故障。故障檢測(cè)和指示發(fā)生在MPS子模塊層級(jí),使電站人員能夠容易地識(shí)別需要更換的MPS子模塊。
可以包含定期在線監(jiān)測(cè)能力,以確保所有功能測(cè)試和檢查、校準(zhǔn)驗(yàn)證和時(shí)間響應(yīng)測(cè)量得到證實(shí)。定期監(jiān)測(cè)還驗(yàn)證連續(xù)自測(cè)功能。
MPS 145中的自測(cè)和定期監(jiān)測(cè)特征是為與將對(duì)于所有電站運(yùn)行模式執(zhí)行的安全功能相稱的使用中可測(cè)試性而設(shè)計(jì)的。自測(cè)和監(jiān)測(cè)的執(zhí)行不需要任何臨時(shí)的測(cè)試設(shè)置。所述測(cè)試特征可以是系統(tǒng)的設(shè)計(jì)所固有的,對(duì)于安全功能邏輯和數(shù)據(jù)結(jié)構(gòu),只增加最小的復(fù)雜性。如果:(1)在電站的正常運(yùn)行期間,通過(guò)自測(cè)檢測(cè)到故障,或者(2)安全功能的某個(gè)部分被旁通,或者有意使之不能工作,以便進(jìn)行測(cè)試,那么產(chǎn)生旁通工況的持續(xù)指示。一旦旁通工況被消除,旁通的指示就被去除。這可確保電站人員能夠確認(rèn)被旁通的安全功能已正確恢復(fù)工作。
MPS 145的診斷數(shù)據(jù)被提供給關(guān)于每個(gè)分離組和序列的維修工作站(MWS)。MWS可以位于設(shè)備附近,以便利故障查找活動(dòng)。MPS和MWS之間的接口可以是光學(xué)隔離的單向診斷接口。所有診斷數(shù)據(jù)可經(jīng)由物理分離的通信路徑傳送,確保診斷功能與安全功能無(wú)關(guān)。另外,診斷數(shù)據(jù)可被傳送給中央歷史庫(kù),以便長(zhǎng)期保存。這提供進(jìn)行系統(tǒng)運(yùn)行的歷史分析的手段。
診斷系統(tǒng)可保持安裝的模塊的名單??梢圆粩啾容^所述名單與系統(tǒng)中正處于運(yùn)行狀態(tài)的安裝模塊,以避免模塊缺失,或者安裝不正確的模塊。
所有的MPS安全數(shù)據(jù)通信可被設(shè)計(jì)成帶有檢錯(cuò),以增強(qiáng)數(shù)據(jù)完整性。借助檢測(cè)傳輸差錯(cuò)的能力,協(xié)議特征確保通信魯棒并且可靠。類似的數(shù)據(jù)完整性特征可用于傳送診斷數(shù)據(jù)。
圖2A-2B圖解說(shuō)明核能系統(tǒng)150的I&C系統(tǒng)的模塊保護(hù)系統(tǒng)(MPS)200的方框圖。在一些實(shí)現(xiàn)中,MPS 200可類似于或等同于圖1中所示的MPS 145。通常,例示的MPS 200包括4個(gè)分離組的傳感器和檢測(cè)器(例如,傳感器202a-202d);4個(gè)分離組的信號(hào)調(diào)節(jié)和信號(hào)調(diào)節(jié)器(例如,信號(hào)調(diào)節(jié)器204a-204d);4個(gè)分離組的停堆判定(例如,停堆判定208a-208d);2個(gè)序列的RTS表決和反應(yīng)堆停堆斷路器(例如,序列I RTS表決214,和序列II RTS表決216);和2個(gè)序列的專設(shè)安全設(shè)施驅(qū)動(dòng)系統(tǒng)(ESFAS)表決和專設(shè)安全設(shè)施(ESF)設(shè)備(例如,序列I ESFAS表決212和ESF設(shè)備224,及序列II ESFAS表決218和ESF設(shè)備226)。
通常,傳感器202a-202d包括負(fù)責(zé)測(cè)量諸如壓力、溫度、水平線和中子通量之類的不同過(guò)程參數(shù)的過(guò)程傳感器。從而,利用不同的傳感器,測(cè)量核能系統(tǒng)150的各個(gè)過(guò)程參數(shù),并利用由不同的邏輯引擎執(zhí)行的不同算法處理所述各個(gè)過(guò)程參數(shù)。在一些方面,中子通量傳感器負(fù)責(zé)測(cè)量從關(guān)機(jī)工況一直到120%的全功率,來(lái)自堆芯的中子通量。在MPS 200中可以使用3種中子通量檢測(cè)器,包括源量程、中間量程和功率量程。
通常,信號(hào)調(diào)節(jié)器204a-204d接收來(lái)自傳感器202a-202d的測(cè)量結(jié)果,處理所述測(cè)量結(jié)果,然后提供輸出206a-206d。在一些方面,傳感器202a-202d與信號(hào)調(diào)節(jié)器204a-204d的互連可以是專用銅線或某種其它信號(hào)傳輸方法。
如圖3A中所示,信號(hào)調(diào)節(jié)器204a-204d都可由多個(gè)輸入模塊270a-270n(例如,表示由傳感器輸出的數(shù)目而定的任意數(shù)目的模塊)構(gòu)成,所述多個(gè)輸入模塊270a-270n負(fù)責(zé)調(diào)節(jié)、測(cè)量、過(guò)濾和采樣來(lái)自傳感器202a-202d的現(xiàn)場(chǎng)輸入。每個(gè)輸入模塊270a-270n可專用于特定輸入類型,比如24V或48V數(shù)字輸入,4-20mA模擬輸入,0-10V模擬輸入,熱電阻檢測(cè)器輸入,或者熱電偶輸入。
每個(gè)輸入模塊270a-270n可由模擬電路和數(shù)字電路構(gòu)成。模擬電路負(fù)責(zé)把模擬電壓或電流轉(zhuǎn)換成數(shù)字表示。它也被稱為信號(hào)調(diào)節(jié)電路。每個(gè)輸入模塊270a-270n的數(shù)字部分可位于邏輯引擎內(nèi)。邏輯引擎執(zhí)行所有的輸入模塊控制、采樣并保持濾波、完整性檢查、自測(cè)和數(shù)字濾波功能。在一些例子中,利用串行接口,通過(guò)輸出206a-206d,傳感器輸出的數(shù)字表示從信號(hào)調(diào)節(jié)器204a-204d被傳送給停堆判定208a-208d。
同樣參見(jiàn)圖3A,停堆判定208a-208d通常經(jīng)由串行接口,從如上所述的信號(hào)調(diào)節(jié)器204a-204d,接收數(shù)字格式的傳感器輸入值。停堆判定208a-208d都由獨(dú)立的安全功能模塊(SFM)272a-272n(參考圖5更充分地說(shuō)明)構(gòu)成,其中特定的模塊實(shí)現(xiàn)一組安全功能(例如,一組安全功能可以是與特定過(guò)程參數(shù)相關(guān)的單一安全功能或多個(gè)安全功能)。例如,一組安全功能可由與主導(dǎo)變量(比如源自相同壓力輸入的高壓力和低壓力停堆)相關(guān)的一組功能組成。每個(gè)SFM 272a-272n包含專用于實(shí)現(xiàn)一組安全功能的唯一邏輯引擎。這結(jié)果產(chǎn)生每組安全功能的完全不同于所有其它各組安全功能的門(mén)級(jí)實(shí)現(xiàn)。
傳感器輸入值(例如,輸出206a-206d)可經(jīng)由確定性路徑傳送,并被提供給每個(gè)停堆判定208a-208d中的特定SFM 272a-272n。這些輸入值隨后可被轉(zhuǎn)換成工程單位,以判定在該特定SFM 272a-272n上實(shí)現(xiàn)哪個(gè)安全功能或者哪一組安全功能。在一些例子中,停堆判定208a-208d通過(guò)隔離的只能進(jìn)行發(fā)送的光纖連接,把這些工程單位值提供給控制系統(tǒng)。
如果需要,每個(gè)停堆判定208a-208d中的SFM根據(jù)預(yù)定的設(shè)定點(diǎn),作出反應(yīng)堆停堆判定,并經(jīng)隔離的,在一些情況下三重冗余的只能進(jìn)行發(fā)送的串行連接,向各個(gè)RTS序列(例如,分別在序列I和II中的RTS表決214和216)提供停堆或不停堆需求信號(hào)。如果需要,SFM還根據(jù)預(yù)定的設(shè)定點(diǎn),作出ESFAS驅(qū)動(dòng)判定,并經(jīng)隔離的,在一些情況下三重冗余的只能進(jìn)行發(fā)送的串行連接,向各個(gè)ESFAS序列(例如,分別在序列I和II中的ESFAS表決212和218)提供驅(qū)動(dòng)或不驅(qū)動(dòng)需求信號(hào)。
如圖3A-3B中所示,例如,特定的停堆判定208a通過(guò)輸出274a,向ESFAS表決212,和通過(guò)輸出274b,向ESFAS表決218提供停堆或不停堆需求信號(hào)。停堆判定208a通過(guò)輸出276a,向RTS表決214,和通過(guò)輸出276b,向RTS表決216提供停堆或不停堆需求信號(hào)。作為分別來(lái)自停堆判定208a-208d的輸出210a-210d,圖2A中也表示了這些輸出。
進(jìn)一步如圖3A中所示,例如,特定的停堆判定208a向監(jiān)測(cè)&指示(M&I)輸出278a和278b(每個(gè)序列一個(gè)),以及向非1E輸出280,提供停堆或不停堆需求信號(hào)。輸出278a和278b向MCS提供過(guò)程信息,用于非安全控制功能。輸出280向非1E控制器和指示器144提供過(guò)程信息和停堆狀態(tài)信息。
返回圖2A,每個(gè)RTS序列(例如,序列I的RTS表決214和序列II的RTS表決216)經(jīng)由隔離的,在一些情況下冗余(例如,雙重冗余、三重冗余或其它冗余)的只能進(jìn)行接收的串行連接210a-210d,接收如上所述來(lái)自停堆判定208a-208d的輸入。停堆輸入在RTS表決邏輯中被組合,以致來(lái)自停堆判定208a-208d的兩個(gè)或更多的反應(yīng)堆停堆輸入在(適合于每個(gè)序列的)輸出228a-228d和230a-230d上,產(chǎn)生自動(dòng)反應(yīng)堆停堆輸出信號(hào),所述信號(hào)驅(qū)動(dòng)與相應(yīng)序列相關(guān)聯(lián)的8個(gè)反應(yīng)堆停堆斷路器(RTB)(示于圖2B中)中的4個(gè)的脫扣線圈(trip coil)。換句話說(shuō),在MPS 200的本例證實(shí)現(xiàn)中,RTS表決邏輯根據(jù)“4取2”邏輯工作,意味如果4個(gè)停堆判定208a-208d中的至少兩個(gè)指示反應(yīng)堆“停堆”是必要的,那么向各個(gè)RTB 264a-264d和266a-266d,發(fā)送停堆信號(hào)。這種斷路器結(jié)構(gòu)允許MPS 200的安全并且簡(jiǎn)單的在線測(cè)試。
手動(dòng)停堆250a把(序列I的)RTB 266a-266d的直接停堆,手動(dòng)停堆250b同樣把(序列II的)RTB 264a-264d的直接停堆,作為輸入提供給自動(dòng)驅(qū)動(dòng)、(序列I的)手動(dòng)停堆234和(序列II的)手動(dòng)停堆236,以確保該次序被保持。
如圖進(jìn)一步圖解所示,每個(gè)RTB 264a-264d和每個(gè)RTB 266a-266d包括作為輸入的手動(dòng)停堆250a或250b。從而,如果兩個(gè)手動(dòng)停堆250a和250b都被啟動(dòng)(例如,序列I和II各自的手動(dòng)停堆),那么功率輸入260將不被傳送給功率輸出262,與輸入230a-230d和輸入228a-228d的狀態(tài)(例如,停堆或不停堆)無(wú)關(guān)。
在該例證實(shí)現(xiàn)中,ESFAS表決和邏輯被布置成以致沒(méi)有一個(gè)失效能夠阻止安全設(shè)備啟動(dòng)(當(dāng)需要時(shí)),停堆判定信號(hào)(例如,210a-210d)中的單一失效都不會(huì)產(chǎn)生不必要的安全設(shè)備啟動(dòng)。ESFAS系統(tǒng)可提供關(guān)鍵系統(tǒng),比如應(yīng)急堆芯冷卻系統(tǒng)和衰變熱排除系統(tǒng)的自動(dòng)和手動(dòng)啟動(dòng)。
每個(gè)ESFAS表決212/218通過(guò)隔離的三重冗余的只能進(jìn)行接收的光纖(或其它通信技術(shù))連接,從停堆判定208a-208d接收輸入210a-210d。驅(qū)動(dòng)邏輯和表決在ESFAS表決212/218內(nèi)發(fā)生。當(dāng)ESFAS表決212/218確定需要驅(qū)動(dòng)時(shí),ESFAS表決212/218分別向ESFAS優(yōu)先邏輯220/222發(fā)送啟動(dòng)需求信號(hào),ESFAS優(yōu)先邏輯220/222啟動(dòng)適當(dāng)?shù)腅SF設(shè)備224和226。
圖2A-2B和3A-3B中的MPS 200的例示實(shí)現(xiàn)確保關(guān)鍵元素之間的高水平獨(dú)立。這包括4個(gè)分離組的傳感器和檢測(cè)器202a-202d、4個(gè)分離組的停堆判定(標(biāo)記為“a”-“d”)、2個(gè)序列的RTS 214/216(如上所述的序列I和序列II)、2個(gè)序列的ESFAS電路212/218(如上所述的序列I和序列II)以及2個(gè)序列的ESF設(shè)備224/226(如上所述的序列I和序列II)之間的獨(dú)立。根據(jù)給SFM(例如,在停堆判定208a-208d中)的輸入,MPS 200在所述4個(gè)分離組中的每一個(gè)內(nèi),獨(dú)立地實(shí)現(xiàn)一組安全功能。從傳感器202a-202d到停堆判定輸出210a-210d,保持安全功能獨(dú)立性。在一些方面,這種結(jié)構(gòu)把SFM失效局限于基于模塊的輸入的那些失效。這種策略可幫助限制共因失效的影響,和增強(qiáng)信號(hào)多樣性。獨(dú)立性的這種方法還可確保獨(dú)立的安全功能內(nèi)的失效不會(huì)傳播到任何其它的安全功能模塊。此外,失效的SFM的在線更換確保能夠在對(duì)其它模塊的影響最小(即使有的話)的情況下,糾正所述失效。
例示的MPS 200內(nèi)的安全功能數(shù)據(jù)的通信是經(jīng)由三重模塊、冗余、獨(dú)立且光學(xué)隔離的單向通信路徑發(fā)送或接收的。除了序列間表決之外,這種通信方案可確保安全功能不依賴于起源于其序列之外的任何信息或資源來(lái)完成其安全功能。利用序列停堆信號(hào)的單向隔離(例如,光學(xué)隔離或別的方式),防止了1E級(jí)序列(例如,序列I和II)之間的失效傳播。
圖2A-2B和3A-3B中的MPS 200的例示實(shí)現(xiàn)還在例示的體系結(jié)構(gòu)的多個(gè)區(qū)域中包含冗余性。MPS 200內(nèi)的冗余性包括4個(gè)分離組的傳感器和檢測(cè)器(標(biāo)記為“a”-“d”)、停堆判定(標(biāo)記為“a”-“d”)和2個(gè)序列的RTS和ESFAS電路(如上所述的序列I和序列II)。MPS 200還利用4取2表決,以致啟動(dòng)信號(hào)的單一失效不會(huì)阻止反應(yīng)堆停堆或ESF設(shè)備驅(qū)動(dòng)(當(dāng)需要時(shí))發(fā)生。另外,啟動(dòng)信號(hào)的單一失效不會(huì)導(dǎo)致假的或者非有意的反應(yīng)堆停堆或ESF設(shè)備驅(qū)動(dòng)(當(dāng)不需要它們時(shí))。
通過(guò)利用用于特定一組安全功能的唯一邏輯引擎,實(shí)現(xiàn)用于緩和獨(dú)立SFM上的特定瞬態(tài)事件的每組安全功能,MPS 200還包含功能獨(dú)立性。
在一些方面,MPS 200實(shí)施設(shè)計(jì)技術(shù),以實(shí)現(xiàn)核反應(yīng)堆系統(tǒng)的簡(jiǎn)單、高度可靠并且安全的設(shè)計(jì)。例如,MPS 200可以基于4個(gè)分離組和2個(gè)序列的對(duì)稱體系結(jié)構(gòu)。所述4個(gè)分離組中的每一個(gè)在功能上與其它各個(gè)分離組相同,所述2個(gè)序列在功能上彼此相同。如上所述,4取2表決可以是例示的實(shí)現(xiàn)中的唯一表決策略。再例如,可在專用于特定安全功能或一組安全功能的有限狀態(tài)機(jī)(例如,可處于數(shù)目有限的狀態(tài)之一,每次只處于一種狀態(tài)(稱為當(dāng)前狀態(tài)),但是當(dāng)利用觸發(fā)事件或一組條件啟動(dòng)時(shí),可從一種狀態(tài)變到另一種狀態(tài)(比如狀態(tài)轉(zhuǎn)移)的數(shù)字邏輯電路的集合)中,實(shí)現(xiàn)MPS 200的邏輯。從而,不需要內(nèi)核或操作系統(tǒng)。再例如,MPS 200內(nèi)的通信可以基于確定性協(xié)議,所有的安全數(shù)據(jù)通過(guò)冗余通信路徑傳送。再例如,MPS 200的多樣性屬性可被設(shè)計(jì)成為體系結(jié)構(gòu)所固有,而不存在基于完全不同平臺(tái)的附加系統(tǒng)的附加復(fù)雜性。
例如,圖4A-4B分別圖解說(shuō)明例證的圖表400和450,圖表400和450圖解說(shuō)明在MPS 200內(nèi)實(shí)現(xiàn)的多層多樣性策略如何減輕基于軟件或軟件邏輯的共因失效。圖表400和450圖解說(shuō)明在MPS 200內(nèi)實(shí)現(xiàn)的多層多樣性策略如何能夠消除對(duì)于MPS(例如,MPS 200)內(nèi)的基于軟件或者基于軟件邏輯的CCF的顧慮。在這些例子中,瞬態(tài)事件是核能系統(tǒng)的給水的喪失。如圖所示,測(cè)量?jī)蓚€(gè)不同的過(guò)程參數(shù)A1和A2(例如,通過(guò)傳感器202a-202d)。如圖所示,A1是溫度參數(shù),而A2是壓力。
不同的過(guò)程測(cè)量結(jié)果A1和A2被輸入兩個(gè)不同的安全功能算法中:(A1)高溫和(A2)高壓,如圖所示。所述兩個(gè)安全功能算法分別位于分離組內(nèi)的分離并且獨(dú)立的SFM上。和關(guān)于MPS 200所示一樣,通過(guò)利用分成4個(gè)分離組(A、B、C、D)和2個(gè)序列的兩組不同的可編程數(shù)字硬件(A/C和B/D),可實(shí)現(xiàn)所述安全功能算法。例如,這里,所述兩個(gè)安全功能包含一組安全功能。(例如,兩個(gè)安全功能算法的)每組安全功能可基于不同的技術(shù)。
過(guò)程也體現(xiàn)設(shè)計(jì)多樣性,因?yàn)槊拷M可編程數(shù)字硬件可由不同的設(shè)計(jì)團(tuán)隊(duì)利用不同的一組設(shè)計(jì)工具設(shè)計(jì)。例如,可用微處理器實(shí)現(xiàn)安全功能。在這個(gè)例子中,可按照順序的方式,評(píng)估安全功能,在一些方面,歸因于處理回路的順序操作,所述順序的方式可引入一種安全功能(例如,A2)對(duì)于另一種安全功能(例如,A1)的依賴性。再例如,可用基于狀態(tài)的現(xiàn)場(chǎng)可編程門(mén)陣列(FPGA)實(shí)現(xiàn)安全功能。在這個(gè)例子中,可以與每個(gè)其它安全功能無(wú)關(guān)地評(píng)估各個(gè)安全功能。通過(guò)消除一種安全功能的處理對(duì)于另一種安全功能的任何依賴性,后一例子可確保提高的獨(dú)立性。
給水喪失瞬態(tài)事件例子的多層多樣性通過(guò)把軟件CCF局限于特定安全功能(A1)的一個(gè)組(A/C),提供防止CCF使保護(hù)性措施失效的保護(hù)。在一些方面,根據(jù)兩種安全功能之間的功能獨(dú)立性,和安全功能算法用作輸入的過(guò)程測(cè)量結(jié)果,軟件CCF被局限于特定的安全功能。在一些方面,通過(guò)對(duì)于每一組,結(jié)合不同的可編程硬件、設(shè)計(jì)團(tuán)隊(duì)和設(shè)計(jì)工具,軟件CCF被局限于特定安全功能的一個(gè)組。由于CCF被局限于特定安全功能的一個(gè)組,該安全功能(A1)的另一個(gè)組(B/D),或者另一種安全功能(A2)的兩個(gè)組(A/C和B/D)緩和瞬態(tài)事件。
例如,如圖4A中所示,安全功能A1的指示所有4個(gè)分離組(A、B、C、D)都需要采取保護(hù)性措施(例如,用√表示)的輸出導(dǎo)致保護(hù)性措施的啟動(dòng)(例如,用“停堆”表示)。如圖4B中所示,如果在兩個(gè)分離組(A和C)中存在CCF,那么即使兩個(gè)組在一個(gè)序列中,對(duì)安全功能A1來(lái)說(shuō),其它分離組(B和D)中的保護(hù)性措施的肯定指示仍然提供啟動(dòng)所述保護(hù)性措施的足夠得票數(shù)(按如上所述的4取2方案)。此外,由于在每個(gè)SFM上的獨(dú)立評(píng)估,安全功能A1的組A和C中的CCF不會(huì)傳播到安全功能A2。
圖5圖解說(shuō)明核能系統(tǒng)的I&C系統(tǒng)的MPS的安全功能模塊(SFM)500的方框圖。圖6圖解說(shuō)明核能系統(tǒng)的I&C系統(tǒng)的MPS的通信模塊(CM)600的方框圖。圖7圖解說(shuō)明核能系統(tǒng)的I&C系統(tǒng)的MPS的設(shè)備接口模塊(EIM)700的方框圖。圖8(下面討論)圖解說(shuō)明機(jī)箱(例如,互連一個(gè)或多個(gè)SFM 500、CM 600和EIM 700的機(jī)械結(jié)構(gòu))內(nèi)的通信路徑。通常,在機(jī)箱(如用機(jī)箱800圖解所示,并如下所述)內(nèi)互連的例示模塊500、600和700實(shí)現(xiàn)MPS 200的安全功能,并組成分離組級(jí)模塊(例如,信號(hào)調(diào)節(jié)器204a-204d、停堆判定208a-208d)、RTS級(jí)模塊(例如,RTS表決214/216)和ESFAS級(jí)模塊(例如,ESFAS表決212/218)。在一些方面,具有3種模塊(500、600和700)可使現(xiàn)場(chǎng)可更換單元的數(shù)目降至最小,從而使設(shè)備廢棄降到最小程度。此外,這些模塊(500、600和700)可在功能上獨(dú)立,以致任意單個(gè)模塊(500、600和700)中的單一失效不會(huì)傳播到其它模塊或其它安全功能。此外,如在圖8A-8C中實(shí)現(xiàn)的模塊(500、600和700)的組合可提供離散的確定性安全信號(hào)路徑。
在一些方面,模塊(500、600和700)可具有至少部分定義其功能獨(dú)立性的一個(gè)或多個(gè)特性。例如,各個(gè)模塊相對(duì)于整個(gè)系統(tǒng)/體系結(jié)構(gòu)(例如MPS 200)中的每個(gè)其它模塊可以是完全自主的。再例如,各個(gè)模塊可相對(duì)于整個(gè)系統(tǒng)/體系結(jié)構(gòu)內(nèi)的每個(gè)其它模塊,自主地實(shí)現(xiàn)特定的預(yù)期安全功能。又例如,各個(gè)模塊可包括特定于該模塊的特定的預(yù)期安全功能的專用邏輯。于是,各個(gè)功能獨(dú)立的模塊不依賴于任何其它模塊的邏輯或功能來(lái)完成所述特殊的預(yù)期安全功能。
參見(jiàn)圖5,如圖中所示,SFM 500處理傳感器輸入,或者來(lái)自其它SFM的數(shù)據(jù),從而為該特定SFM被分配給的分離組(例如,分離組A、B、C或D)作出反應(yīng)堆停堆和/或ESF驅(qū)動(dòng)判定??砂磧煞N單獨(dú)的配置使用SFM 500:(1)帶有安全數(shù)據(jù)總線通信,和反應(yīng)堆停堆和/或ESF驅(qū)動(dòng)的傳感器信號(hào)調(diào)節(jié);和(2)帶有反應(yīng)堆停堆判定和/或ESF驅(qū)動(dòng)判定的安全數(shù)據(jù)總線通信。
如圖所示,SFM 500一般包括輸入塊504、功能邏輯塊512和通信塊514、516和518。每個(gè)輸入塊504(圖5中表示的4個(gè))由信號(hào)調(diào)節(jié)電路506、模-數(shù)(A/D)轉(zhuǎn)換器508和串行接口510組成。每個(gè)輸入塊504通信耦接到傳感器502(例如,可以和傳感器202a-202d相同或相似)。如圖所示,單個(gè)SFM 500可處理多達(dá)4個(gè)輸入塊504(在例示的例證實(shí)施例中)。輸入類型可以是SFM 500為了作出停堆或ESF驅(qū)動(dòng)判定(包括產(chǎn)生許可和互鎖)而需要的模擬和數(shù)字輸入(例如,4-20mA、10-50mA、0-10V)的任意組合。
功能邏輯塊512是SFM 500的把來(lái)自輸入塊504的串行接口510(如果使用的話)的輸出轉(zhuǎn)換成工程單位的可編程部分。功能邏輯塊512還可根據(jù)輸入塊504的輸出(例如,基于來(lái)自傳感器502的傳感器測(cè)量結(jié)果)和/或來(lái)自安全數(shù)據(jù)總線的信息,作出停堆和/或ESF驅(qū)動(dòng)判定。功能邏輯塊512還可產(chǎn)生許可和控制互鎖。如圖所示,功能邏輯塊512由利用輸入塊504和/或從安全數(shù)據(jù)總線獲得的信息,作出停堆或ESF驅(qū)動(dòng)判定的多個(gè)確定性邏輯引擎組成。
功能邏輯塊512利用的設(shè)定點(diǎn)和其它可調(diào)信息可被保存在非易失性存儲(chǔ)器中(例如在SFM 500上)。這允許不修改底層邏輯地作出改變。此外,為了實(shí)現(xiàn)功能、信號(hào)和軟件多樣性,用于減輕AOO或PA的主功能和備份功能可不在同一SFM 500上。從而,通過(guò)把專用SFM 500用于某個(gè)功能或一組功能,并通過(guò)確保主功能和備份功能在不同的模塊500上,歸因于每個(gè)模塊500上的唯一邏輯和算法,軟件CCF的影響受到限制。
通信塊514/516/518由5個(gè)獨(dú)立的通信端口組成(例如,3個(gè)安全數(shù)據(jù)端口514,1個(gè)端口516,和1個(gè)端口518)。每個(gè)端口可在功能上獨(dú)立,可被指定為監(jiān)測(cè)和指示(M/I)總線(例如,塊516)、維修工作站(MWS)總線(例如,塊518)或者安全總線(例如,塊514)。盡管每個(gè)安全數(shù)據(jù)總線514可傳送相同的數(shù)據(jù),不過(guò)每個(gè)通信端口是異步的,端口通過(guò)利用不同的獨(dú)立且唯一的通信引擎,不同地打包和傳送數(shù)據(jù)。例如,一條安全數(shù)據(jù)總線514可順序地(例如,1、2、…、10)傳送例如數(shù)據(jù)的10個(gè)分組,而另一條安全總線514逆序地(例如10、9、…、1)傳送相同的10個(gè)分組,第三條安全總線514首先傳送偶數(shù)分組,然后傳送奇數(shù)分組(例如,2、4、…10、1、3、…、9)。這種三重模塊冗余性和多樣性不僅允許通信錯(cuò)誤檢測(cè),而且把通信CCF局限于特定總線,而不影響RTS或ESFAS作出正確停堆和/或驅(qū)動(dòng)判定的能力。
參見(jiàn)圖6,在核能系統(tǒng)的I&C系統(tǒng)的MPS(例如,MPS 200)的分離組級(jí)互連、RTS級(jí)互連和ESFAS級(jí)互連內(nèi),CM 600提供MPS的其它模塊(比如SFM 500和EIM 700)之間的獨(dú)立且冗余的通信。例如,CM 600可以是將在MPS內(nèi)傳送的數(shù)據(jù)的管線,以及數(shù)據(jù)的所述傳送的調(diào)度器。在任意特定通道中,CM 600可控制該通道內(nèi)的數(shù)據(jù)的操作/傳送。在CM 600的例示實(shí)現(xiàn)中,存在3種類型的塊:限制通信塊(RCB)604、通信調(diào)度器606和通信塊608/610。
如圖所示,RCB 604由4個(gè)通信端口組成。在一些方面,每個(gè)端口可被配置給不同的單向路徑(例如,只能進(jìn)行接收,或者只能進(jìn)行發(fā)送)。在一些實(shí)現(xiàn)中,和在例示的CM 600中一樣,使接收或發(fā)送自特定RCB 604的信息通過(guò)光隔離器602。在一些情況下,光隔離器602可幫助確保來(lái)自任何特定停堆判定的數(shù)據(jù)與其它停堆判定的數(shù)據(jù)隔離,從而確保獨(dú)立冗余性。
通信調(diào)度器606負(fù)責(zé)把數(shù)據(jù)從通信塊608/610移動(dòng)到RCB 604,和把數(shù)據(jù)從RCB 604移動(dòng)到通信塊608/610。在一些方面,通信引擎606由諸如FPGA之類的可編程邏輯、微處理器或者被編程以在所述互連之間調(diào)度通信的其它離散邏輯組成。
通信塊608/610由4個(gè)分離的通信端口(例如,3個(gè)安全數(shù)據(jù)端口608和1個(gè)端口610)組成。每個(gè)端口可在功能上獨(dú)立,被指定為監(jiān)測(cè)和指示(M/I)總線(例如,塊610)或安全數(shù)據(jù)總線(例如,塊608)。在一些方面,M/I總線610可從MPS中的所有模塊(例如,模塊500、600和700)收集信息,包括每個(gè)所述模塊的狀況,并把所述信息發(fā)送給“歷史庫(kù)”工作站(例如,MPS的歷史數(shù)據(jù)的專用計(jì)算系統(tǒng))。
盡管每個(gè)安全數(shù)據(jù)總線608可傳送相同的數(shù)據(jù),不過(guò)如上關(guān)于總線514所述,每個(gè)通信端口不同地打包和傳送數(shù)據(jù)。取決于通信模塊的應(yīng)用,可按照單向路徑和雙向路徑的任意組合,配置4個(gè)通信塊608/610。
參見(jiàn)圖7,EIM 700通常在RTS和/或ESFAS級(jí)系統(tǒng)內(nèi),提供與核能系統(tǒng)內(nèi)的各個(gè)組件的接口,以便使停堆判定被表決,和進(jìn)行組件級(jí)驅(qū)動(dòng)和操作。如圖所示,EIM 700包括輸出塊720、設(shè)備反饋塊718、1E手動(dòng)輸入716、非1E手動(dòng)輸入714、表決引擎722、優(yōu)先邏輯塊721、設(shè)備控制塊723和通信塊724/726/728。通常,EIM 700可根據(jù)停堆信號(hào)進(jìn)行表決,在一些情況下,進(jìn)行兩次表決(例如,關(guān)于通信的2/3表決,和關(guān)于停堆信號(hào)的2/4表決),以確保單一組件的失效不會(huì)在核能系統(tǒng)的I&C系統(tǒng)的MPS(例如,MPS 200)的通道級(jí)互連、RTS級(jí)互連和ESFAS級(jí)互連內(nèi)傳播。EIM 700可對(duì)來(lái)自表決722、手動(dòng)驅(qū)動(dòng)/1E輸入716和非1E輸入714的自動(dòng)信號(hào)進(jìn)行優(yōu)先級(jí)分配。
如圖所示,輸出塊720包括多達(dá)3個(gè)獨(dú)立的輸出開(kāi)關(guān),或者在一些例子中,更多獨(dú)立的輸出開(kāi)關(guān),所述獨(dú)立的輸出開(kāi)關(guān)可在外部電路中使用,并耦接到電氣負(fù)載702(例如,驅(qū)動(dòng)器)。在一些方面,這允許EIM 700直接控制單個(gè)組件,或者提供針對(duì)多個(gè)組件的啟動(dòng)信號(hào)。例如,輸出塊720使啟動(dòng)各種泵和開(kāi)啟多個(gè)閥門(mén)的繼電器通電。每個(gè)輸出塊720還可包括自測(cè)能力,并進(jìn)行負(fù)載連續(xù)性檢查。
如圖所示,設(shè)備反饋塊718可由來(lái)自設(shè)備的多個(gè)(例如,多達(dá)3個(gè),或者在一些例子中,更多個(gè))反饋輸入704組成。例如,反饋輸入704可包括閥位置(例如,全開(kāi)、全關(guān))、斷路器狀態(tài)(例如,開(kāi)斷/閉合)或者來(lái)自其它組件的其它反饋。設(shè)備反饋704可用在下面討論的表決設(shè)備控制塊723中。
1E手動(dòng)輸入塊716可提供多個(gè)(例如,達(dá)到2個(gè),或者在一些例子中,更多個(gè))手動(dòng)輸入信號(hào)706。EIM 700的該部分可專用于手動(dòng)輸入,用在優(yōu)先邏輯塊721中。
手動(dòng)輸入信號(hào)708可經(jīng)由隔離接口712,耦接到非1E輸入塊714。該電氣隔離接口712允許把非1E信號(hào)用于給優(yōu)先邏輯塊721的輸入。
表決引擎722接收來(lái)自通信塊724的停堆判定輸入。對(duì)于自動(dòng)驅(qū)動(dòng)信號(hào),表決的結(jié)果把驅(qū)動(dòng)或不驅(qū)動(dòng)信號(hào)提供給優(yōu)先邏輯塊721。在一些方面,表決引擎722可實(shí)現(xiàn)表決方案,在一些情況下,可實(shí)現(xiàn)兩次表決方案,以確保MPS內(nèi)的單個(gè)組件的失效不會(huì)傳播。例如,在一些方面,表決引擎722在通信塊724處接收停堆判定。每個(gè)通信塊724可從4個(gè)通道或分離組(例如,上面說(shuō)明的通道A-D),接收停堆判定(例如,停堆或不停堆)。在一些方面,在表決引擎722內(nèi),可能存在3個(gè)“A”停堆判定、3個(gè)“B”停堆判定、3個(gè)“C”停堆判定和3個(gè)“D”停堆判定。表決引擎722從而可對(duì)于4個(gè)通道或分離組中的每一個(gè),進(jìn)行三取二判定。如果3個(gè)“A”通道中的至少2個(gè)提供停堆的有效通信(例如,指示停堆判定的通信是有效的),那么表決引擎722至少最初可傳達(dá)在通道“A”上存在停堆,而如果3個(gè)“A”通道中只有一個(gè)指示停堆,那么表決引擎722可判定在通道“A”上不存在停堆。
如上所述,表決引擎722可實(shí)現(xiàn)兩次表決方案,以進(jìn)一步確保失效不在整個(gè)MPS結(jié)構(gòu)內(nèi)傳播。例如,在上面說(shuō)明的三取二通信判定之后,表決引擎722還可進(jìn)行四取二停堆判定,以判定是否實(shí)際發(fā)生了停堆(例如,與指示假停堆的失效相反)。例如,進(jìn)行三取二判定的表決引擎722中的4個(gè)表決塊(例如,三取二表決邏輯門(mén))的輸出可被提供給進(jìn)行四取二判定的另一個(gè)表決塊(例如,四取二表決邏輯門(mén))。如果來(lái)自第一輪表決塊(例如,三取二表決塊)的4個(gè)輸出中的至少兩個(gè)指示停堆,那么表決引擎722可判定發(fā)生了停堆(諸如負(fù)載702之類的EFS設(shè)備應(yīng)被驅(qū)動(dòng));否則,表決引擎722可判定未發(fā)生實(shí)際的停堆。
優(yōu)先邏輯塊接收來(lái)自表決塊722、1E手動(dòng)輸入塊716和非1E手動(dòng)輸入塊714的輸入。優(yōu)先邏輯塊721隨后根據(jù)所有的輸入,判定指令設(shè)備控制模塊進(jìn)行什么操作。
設(shè)備控制塊接收來(lái)自優(yōu)先邏輯模塊的指令,并通過(guò)輸出塊720,對(duì)組件進(jìn)行適當(dāng)?shù)尿?qū)動(dòng)或操作。設(shè)備控制塊通過(guò)設(shè)備反饋塊718,接收來(lái)自設(shè)備的反饋,以便進(jìn)行設(shè)備控制。
設(shè)備控制塊722、優(yōu)先邏輯塊721和表決塊722都向維修工作站(MWS)總線(例如,塊728)提供狀態(tài)信息。通信塊724/726/728由5個(gè)獨(dú)立的通信端口(例如,3個(gè)安全數(shù)據(jù)端口724,1個(gè)端口726,和1個(gè)端口728)組成。每個(gè)端口可在功能上獨(dú)立,被指定為監(jiān)測(cè)和指示(M/I)總線(例如,塊726)、維修工作站(MWS)總線(例如,塊728)或者安全數(shù)據(jù)總線(例如,塊724)。
圖8圖解說(shuō)明通信耦接一個(gè)或多個(gè)SFM 500、EIM 700和CM 600的反應(yīng)堆保護(hù)系統(tǒng)(例如,MPS 145)的機(jī)箱800的例證實(shí)施例。圖8提供機(jī)箱800中,連接到4個(gè)CM 600的3個(gè)SFM 500或EIM 700的例子。在本例中,表示了5條數(shù)據(jù)總線路徑。例如,存在分別標(biāo)記為X、Y和Z的3個(gè)安全數(shù)據(jù)端口802。存在標(biāo)記為M/I的一個(gè)數(shù)據(jù)總線路徑804。存在標(biāo)記為MWS的一個(gè)數(shù)據(jù)總線路徑804。在本例中,每個(gè)數(shù)據(jù)總線路徑802/804可在功能和電氣方面,與機(jī)箱800中的每個(gè)其它數(shù)據(jù)總線路徑802/804無(wú)關(guān)。
在例示的本實(shí)施例中,每個(gè)CM 600可包括數(shù)據(jù)總線路徑802/804之一的主設(shè)備。如圖所示X數(shù)據(jù)總線路徑802的主設(shè)備808是用于安全數(shù)據(jù)X的CM 600的一部分。Y數(shù)據(jù)路徑802的主設(shè)備810是用于安全數(shù)據(jù)Y的CM 600。Z數(shù)據(jù)路徑802的主設(shè)備812是用于安全數(shù)據(jù)Z的CM 600。最后,如本例中所示,M/I數(shù)據(jù)路徑804的主設(shè)備814是用于M/I的CM 600。在本例中,同樣存在(例如,作為維修工作站)單獨(dú)連接的作為MWS數(shù)據(jù)路徑806的主設(shè)備的MWS主設(shè)備816。考慮到設(shè)備的正常運(yùn)行,可以利用硬連線開(kāi)關(guān)斷開(kāi)維修工作站(MWS主設(shè)備)816。
圖9A-9C圖解說(shuō)明利用SFM 500、CM 600和EIM 700中的一個(gè)或多個(gè)的分離組級(jí)、RTS級(jí)和ESAFAS級(jí)互連的方框圖。通常,模塊SFM 500、CM 600和EIM 700可作為提供防止單一失效(例如,硬件失效、軟件失效或者別的失效)傳播到相鄰的或者其它安全功能塊的保護(hù)的功能獨(dú)立的模塊(例如,構(gòu)成可識(shí)別的裝置、儀表、或者設(shè)備,并且可被斷開(kāi),作為單元被去除,和用備件替換,具有使之可作為單元被測(cè)試的可確定的性能特性的互連組件的組合體)布置在MPS 200內(nèi)。在一些實(shí)現(xiàn)中,模塊可提供多達(dá)三重冗余,用于停堆感測(cè)和判定。模塊還可被布置成提供冗余RTS和ESFAS表決序列,如上所述。在一些實(shí)現(xiàn)中,模塊可提供每個(gè)停堆組件(例如,斷路器、傳感器或其它組件)的獨(dú)立停堆表決模塊。
在一些情況下,模塊提供RTS表決,而在其它情況下,模塊提供ESFAS表決。就每個(gè)模塊的獨(dú)立性來(lái)說(shuō),每個(gè)模塊可獨(dú)立于專用于特定停堆組件的每個(gè)其它模塊地為特定停堆組件作出判定,以啟動(dòng)或不啟動(dòng)RTS/ESFAS停堆。在一些實(shí)現(xiàn)中,可依據(jù)多數(shù)決議(例如,三取二),作出停堆判定的有效通信的判定。在一些實(shí)現(xiàn)中,可按兩次表決方案,作出所述判定,其中依據(jù)多數(shù)決議(例如,三取二),驗(yàn)證停堆判定的通信,第二次的停堆判定表決是不到多數(shù)表決(例如,四取二)。
參見(jiàn)圖9A,圖中圖解說(shuō)明了例證的分離組級(jí)互連900。例示的通道級(jí)互連900包括:通道傳感器輸入902、接收輸入902的SFM 500和傳送輸出904-920的CM 600。如圖所示,為了實(shí)現(xiàn)單一功能或一組功能,通道級(jí)互連900中的每個(gè)SFM 500可按模擬和數(shù)字的任意組合地包含4個(gè)輸入902,或者在一些情況下,更多的輸入902。每個(gè)輸入902對(duì)特定SFM 500來(lái)說(shuō)可以是唯一的(例如,通道A增壓器壓力信號(hào)是唯一一個(gè)SFM 500的直接輸入)。在所有4條數(shù)據(jù)總線上,可獲得輸入數(shù)據(jù)以及狀態(tài)信息(例如,報(bào)警、邏輯判定、模塊狀態(tài))。
安全總線可在功能上獨(dú)立,都使用主從協(xié)議,其中主設(shè)備是CM 600。盡管SFM內(nèi)的各個(gè)塊同步工作,不過(guò),模塊之間的通信可以是異步的。當(dāng)總線的CM 600向特定SFM 500請(qǐng)求信息時(shí),SFM 500可用廣播響應(yīng)總線。廣播的好處在于例如如果標(biāo)記為“1”的SFM 500具有標(biāo)記為“2”的SFM 500所需的信息(例如,許可信號(hào)、傳感器輸入值),那么SFM 500“2”可收聽(tīng)并獲得所需的信息。
除了3條安全數(shù)據(jù)總線(例如,標(biāo)記為“X”、“Y”和“Z”)之外,還存在用于監(jiān)測(cè)和指示(M/I)的第四條例示的通信總線。M/I總線的主設(shè)備可以是專用于向安全網(wǎng)關(guān)和非安全控制系統(tǒng)提供M/I數(shù)據(jù)的CM 600。不同于3條安全數(shù)據(jù)總線(例如,總線X、Y和Z)的CM 600,M/I CM 600能夠收聽(tīng)所有3條安全總線上的廣播信息。
在一些實(shí)現(xiàn)中,CM 600的受限制通信塊(RCB)可具有各種點(diǎn)對(duì)點(diǎn)結(jié)構(gòu)。在分離組級(jí)互連900處,RCB上的所有4個(gè)通信端口可被配置成只能進(jìn)行發(fā)送。來(lái)自每個(gè)安全數(shù)據(jù)總線CM 600(例如,標(biāo)記為X、Y和Z的CM 600)的數(shù)據(jù)可被發(fā)送給RTS和ESFAS的每個(gè)序列(例如,序列I和II)。來(lái)自M/I CM 600的數(shù)據(jù)(例如,輸出916-920)可被發(fā)送給安全網(wǎng)關(guān)和非安全控制系統(tǒng)。
輸出904-914可被提供給例如RTS級(jí)和ESFAS級(jí)互連(下面說(shuō)明)。例如,如圖所示,輸出904、908和912可被提供給ESFAS級(jí)互連,而輸出906、910和914可被提供給RTS級(jí)互連。盡管圖9A中只表示一個(gè)分離組級(jí)互連900,不過(guò)在MPS結(jié)構(gòu)內(nèi),可存在多個(gè)互連900。
參見(jiàn)圖9B,圖中表示了依據(jù)序列分開(kāi)的例證RTS級(jí)互連。如圖所示,RTS級(jí)互連包括RTS的序列I和II(例如,RTS表決214和216)。每個(gè)例示的序列(214和216)包括4個(gè)CM 600和4個(gè)EIM 700。對(duì)于每個(gè)序列,3條安全數(shù)據(jù)總線(標(biāo)記為X、Y和Z)都可從所有4個(gè)分離組接收表示成輸入962-972(同時(shí),分離組標(biāo)記有相同的數(shù)字,即,A1和B1)的停堆或不停堆判定。如圖所示,可設(shè)置第四個(gè)CM 600,以把數(shù)據(jù)(表示成輸出974-976)傳送給非安全控制系統(tǒng)和安全網(wǎng)關(guān)。
每條安全總線CM 600的RCB上的每個(gè)通信端口可被配置成“只能進(jìn)行接收”,并被光學(xué)隔離(如上所述)。M/I CM 600可使RCB中的所有端口被配置成“只能進(jìn)行發(fā)送”。
在一些實(shí)現(xiàn)中,4個(gè)EIM 700中的每一個(gè)都可得到來(lái)自所有分離組的每條安全數(shù)據(jù)總線的停堆判定。EIM 700可利用所有3條安全總線(標(biāo)記為X、Y和Z)來(lái)確保不存在由通信錯(cuò)誤引起的斷路器的假驅(qū)動(dòng)。當(dāng)4個(gè)分離組(輸入962-972)中的至少兩個(gè)指示停堆工況時(shí),反應(yīng)堆停堆斷路器被開(kāi)斷。每個(gè)EIM 700例如可以專用于反應(yīng)堆停堆斷路器的欠壓繼電器和并聯(lián)脫扣線圈。除了自動(dòng)驅(qū)動(dòng)之外,EIM 600將得到手動(dòng)序列級(jí)反應(yīng)堆停堆的輸入978、斷路器反饋和ESFAS反饋。
EIM 600輸出(對(duì)于序列I,標(biāo)記為980a-980d,對(duì)于序列II,標(biāo)記為982a-982d)可被耦接到與特定序列關(guān)聯(lián)的反應(yīng)堆停堆斷路器(RTB)(示于圖2B中)的脫扣線圈的輸入。
參見(jiàn)圖9C,圖中表示了依據(jù)序列分開(kāi)的例證ESFAS級(jí)互連。如圖所示,ESFAS級(jí)互連包括ESFAS的序列I和II(例如,ESFAS表決212和218)。每個(gè)例示的序列(212和218)包括4個(gè)CM 600和4個(gè)EIM 700。對(duì)于每個(gè)序列,3條安全數(shù)據(jù)總線(標(biāo)記為X、Y和Z)都從所有分離組(本例中,4個(gè),標(biāo)有-D)接收標(biāo)記成輸入962-972的ESF驅(qū)動(dòng)判定。
每條安全數(shù)據(jù)總線CM 600(標(biāo)記為X、Y和Z)的RCB中的每個(gè)通信端口可被配置成“只能進(jìn)行接收”,并被光學(xué)隔離(如上所述)。M/I CM 600可使RCB中的所有端口被配置成“只能進(jìn)行發(fā)送”,并且也被光學(xué)隔離。
在一些實(shí)現(xiàn)中,在所有3條安全數(shù)據(jù)總線(標(biāo)記為X、Y和Z)上,EIM 700可得到來(lái)自所有分離組的ESF驅(qū)動(dòng)判定。例如,EIM 700可利用所有3條安全數(shù)據(jù)總線來(lái)確保不存在由通信錯(cuò)誤引起的設(shè)備的假驅(qū)動(dòng)。當(dāng)4個(gè)分離組中的至少兩個(gè)指出需要ESF驅(qū)動(dòng)(例如,在輸入962-972上)時(shí),通過(guò)輸出990(輸出990基于序列,耦接到ESF設(shè)備224和226,如圖3B中所示),可以啟動(dòng)安全功能。在一些方面,每個(gè)EIM 700可專用于單個(gè)組件(例如,單一的ESF組件)。
除自動(dòng)啟動(dòng)以外,每個(gè)EIM 700可利用手動(dòng)輸入992來(lái)控制組件。此外,每個(gè)EIM 700還可接收非1E控制器輸入994。非1E控制器輸入994(在圖3B中,還表示成輸入282)可被提供給用于非1E的EIM 700,以在EIM的輸出,控制1E安全ESF組件。組件反饋(例如,限位開(kāi)關(guān))、表決判定和其它可用信息(例如,警報(bào))可作為輸出974-976從M/I CM 600傳送。
圖10圖解說(shuō)明核能系統(tǒng)的I&C系統(tǒng)135的多樣性分析圖。對(duì)多樣性分析來(lái)說(shuō),圖10中標(biāo)識(shí)的各個(gè)塊表示簡(jiǎn)化系統(tǒng)檢查的詳細(xì)程度。選擇了各個(gè)塊,以表示基于其屬性,可認(rèn)為其內(nèi)部失效不會(huì)傳播到其它塊的設(shè)備和軟件的物理子集。
如圖所示,圖10的示圖中的各個(gè)塊例示I&C系統(tǒng);在本例中,I&C系統(tǒng)135。塊1002代表非1E監(jiān)測(cè)和指示設(shè)備,塊1004a/b分別代表1E監(jiān)測(cè)和指示I和II,塊1006a/b分別代表安全塊I和II。塊1006a包括分離組A和C、RTS I及ESFAS I,而塊1006b包括分離組B和D、RTS II及ESFAS II。塊1008代表MCS。如圖所示,帶箭頭的連接線指示塊之間的通信。
4個(gè)層次的目的之一是多樣性。例如,MPS可滿足單一失效標(biāo)準(zhǔn),在存在:(1)與所有可識(shí)別但不可檢測(cè)的失效并存的安全系統(tǒng)內(nèi)的任何單一可檢測(cè)失效;(2)由單一失效引起的所有失效;和(3)導(dǎo)致需要安全功能的設(shè)計(jì)基準(zhǔn)事件或者由需要安全功能的設(shè)計(jì)基準(zhǔn)事件導(dǎo)致的所有失效和假性系統(tǒng)行為的情況下,所述單一失效標(biāo)準(zhǔn)要求MPS進(jìn)行為設(shè)計(jì)基準(zhǔn)事件所需的所有安全功能。這種要求可提高可靠性,但是不會(huì)避免系統(tǒng)易受共因失效(CCF)影響。對(duì)于任何設(shè)計(jì),可能都存在把CCF和多個(gè)獨(dú)立失效區(qū)分開(kāi)的相關(guān)性(例如,耦合因素)。這產(chǎn)生防止系統(tǒng)中的共因失效的兩種基本形式:要么降低因果影響,要么提高系統(tǒng)抗這些影響的能力。
可在如上所述的6種屬性方面,實(shí)施這兩種形式的實(shí)現(xiàn):設(shè)計(jì)多樣性、設(shè)備多樣性、功能多樣性、人類多樣性、信號(hào)多樣性和軟件多樣性。下面關(guān)于圖10中圖解所示的各個(gè)塊,以及圖10中所示的各個(gè)塊之間的屬性,考查這些屬性的應(yīng)用。
塊內(nèi)的屬性
如圖所示,并且還參考較早的附圖所述,分離組A、B、C和D,以及兩個(gè)序列的RTS和ESFAS按照它們所基于的可編程技術(shù)被分組。安全塊I和II一起構(gòu)成模塊保護(hù)系統(tǒng)(MPS)(例如,MPS 200)。
關(guān)于信號(hào)多樣性,對(duì)于給定的瞬態(tài)事件,可存在至少兩種安全功能,其中每種安全功能以不同的物理效應(yīng)的被測(cè)變量(例如,壓力、水平線、溫度、中子通量)為基礎(chǔ)。一個(gè)安全功能的喪失不會(huì)妨礙某個(gè)塊識(shí)別對(duì)于保護(hù)措施的需要。
關(guān)于軟件多樣性,根據(jù)其輸入,每個(gè)安全功能塊(SFM 500)被專用于一種安全功能或一組安全功能。結(jié)果,每個(gè)SFM具有唯一的算法/邏輯。每個(gè)通信模塊(CM 600)按不同的順序傳送信息的相同分組,這可要求CM中的每個(gè)通信引擎(608/610)具有不同的算法。每個(gè)設(shè)備接口模塊(EIM 700)可專用于單個(gè)組件,從而可導(dǎo)致唯一的算法/邏輯。
1E監(jiān)測(cè)和指示可以利用兩個(gè)序列的視頻顯示單元(VDU)和物理開(kāi)關(guān)來(lái)實(shí)現(xiàn)。1E監(jiān)測(cè)和指示(M/I)的每個(gè)序列可以是塊1004a/b。就設(shè)計(jì)多樣性而論,M/I的每個(gè)序列可在數(shù)字顯示器上,向操作員提供電站狀態(tài)信息,并且具有在序列層面,手動(dòng)啟動(dòng)任何保護(hù)措施的手動(dòng)開(kāi)關(guān)。就信號(hào)多樣性來(lái)說(shuō),操作員可得到MPS利用的所有被測(cè)變量,以判定是否需要停堆和/或ESF驅(qū)動(dòng)。盡管不是一樣快速,不過(guò)操作員可得到不同物理效應(yīng)的多個(gè)被測(cè)變量,以作出和MPS相同的判定。
塊之間的多樣性屬性
關(guān)于人類多樣性,安全塊I和1E M/I I的軟件可由一個(gè)設(shè)計(jì)團(tuán)隊(duì)設(shè)計(jì),而安全塊II和1E M/I II可由不同的設(shè)計(jì)團(tuán)隊(duì)設(shè)計(jì)。另外,獨(dú)立的核實(shí)和驗(yàn)證團(tuán)隊(duì)可檢查每個(gè)設(shè)計(jì)團(tuán)隊(duì)的工作,以確保設(shè)計(jì)正確性。上述設(shè)計(jì)團(tuán)隊(duì)也不同于指派給模塊控制系統(tǒng)(MCS)和非1E M/I的設(shè)計(jì)團(tuán)隊(duì)。
設(shè)計(jì)多樣性是利用包括軟件和硬件在內(nèi)的不同方法來(lái)解決相同或相似的問(wèn)題。為了限制CCF的潛能和后果,安全塊I 1004a和1E M/I I塊1006a可利用與安全塊II和1E M/I II不同的可編程技術(shù)。MCS和非1E M/I也可具有不同的可編程技術(shù)。連同下面討論的其它屬性一起,不同的硬件設(shè)計(jì)可具有不同的失效模式,從而降低CCF影響不止一個(gè)塊的可能性。例如,除了M/I塊以外,各個(gè)塊可被物理分離到不同的房間中。這意圖進(jìn)一步減少對(duì)于將被卷入CCF事件中的多個(gè)組件會(huì)引起狀況的耦合因素。
軟件多樣性是設(shè)計(jì)多樣性的子集,可包括利用由重要人員不同的不同開(kāi)發(fā)組設(shè)計(jì)和實(shí)現(xiàn)的不同程序來(lái)實(shí)現(xiàn)相同的安全目標(biāo)。歸因于上面討論的設(shè)計(jì)多樣性,不同的設(shè)計(jì)團(tuán)隊(duì)可利用不同的設(shè)計(jì)工具,從而所述工具不會(huì)引入相同的失效模式。
通過(guò)在塊之間,具有不同的用途和功能,可以引入功能多樣性。安全塊I和II構(gòu)成MPS。這些塊可啟動(dòng)反應(yīng)堆停堆,如果運(yùn)行極限被超過(guò)的話,并啟動(dòng)ESF,以緩和假想的事故。M/I塊可允許操作員監(jiān)測(cè)和控制安全系統(tǒng)和非安全系統(tǒng)。操作員可把電站維持在運(yùn)行極限內(nèi),或者啟動(dòng)必要的保護(hù)措施。MCS提供系統(tǒng)的自動(dòng)控制,以把電站維持在運(yùn)行極限內(nèi),包括約束某些運(yùn)行瞬態(tài)。
在塊之間,通過(guò)具有驅(qū)動(dòng)設(shè)備和保護(hù)措施的自動(dòng)和手動(dòng)手段,可以提供信號(hào)多樣性。MCS和非1E M/I提供設(shè)備層面的控制,而1E M/I塊提供序列層面的控制。
設(shè)備多樣性是利用不同的設(shè)備實(shí)現(xiàn)相似的安全功能。保護(hù)措施的啟動(dòng)可通過(guò)操作員動(dòng)作利用開(kāi)關(guān)進(jìn)行,或者可由安全塊I或II自動(dòng)進(jìn)行。在安全塊I和II之間,可使用不同的可編程技術(shù),這需要不同的內(nèi)部子組件和不同的制造方法。
4個(gè)層次的另一種分析準(zhǔn)則是系統(tǒng)失效類型。1類失效是由于防御層次之間的相互作用,對(duì)于由控制系統(tǒng)錯(cuò)誤引起電站瞬態(tài),保護(hù)措施未能發(fā)生的那些失效。一般,這與普通傳感器或信號(hào)源的失效相關(guān)聯(lián)。MPS監(jiān)測(cè)的電站參數(shù)中的幾個(gè)參數(shù)被提供給MCS,以便進(jìn)行正常電站控制。如上所述,代替提供一個(gè)信號(hào)源,所有4個(gè)分離組及2個(gè)序列的ESFAS和RTS通過(guò)隔離的單向通信,提供信息。這可允許MCS利用選擇使用哪個(gè)冗余且獨(dú)立的信號(hào)源的不同方法(例如,中位信號(hào)選擇)。
2類失效不直接導(dǎo)致瞬態(tài),是由于未被檢測(cè)出的失效,保護(hù)設(shè)備不對(duì)電站瞬態(tài)作出反應(yīng)的那些失效。通過(guò)利用安全塊I和II之內(nèi)和之間的屬性,可存在足夠的多樣性,以防止未被檢測(cè)出的失效或CCF影響不止一個(gè)塊。由于自動(dòng)啟動(dòng)保護(hù)措施只需要兩個(gè)塊中的一個(gè),因此在沒(méi)有任何附加系統(tǒng)的情況下,MPS(安全塊I和II)可緩和2類失效。
3類失效是檢測(cè)設(shè)計(jì)基準(zhǔn)事件所依賴于的主傳感器產(chǎn)生反常讀數(shù)的那些失效。通過(guò)對(duì)于任何瞬態(tài)事件,提供至少兩種安全功能,每種安全功能基于不同的被測(cè)參數(shù),在安全塊內(nèi)可存在信號(hào)多樣性。如果用于給定安全功能的所有4個(gè)分離組的傳感器都提供反常讀數(shù),那么對(duì)于3類失效,存在兩種可能的不利情形:1)當(dāng)極限實(shí)際上已被超過(guò)時(shí),反常讀數(shù)指示不需要停堆或ESF驅(qū)動(dòng);和2)盡管極限未被超過(guò),反常讀數(shù)指示需要停堆或ESF驅(qū)動(dòng)(例如,假性停堆或ESF驅(qū)動(dòng))。在第一種情形下,與安全塊內(nèi)的CCF并存的3類失效不會(huì)妨礙必要的保護(hù)措施的啟動(dòng)。如前所述,信號(hào)多樣性可允許單獨(dú)的安全功能可用于緩和瞬態(tài)事件。MPS內(nèi)的CCF局限于兩個(gè)安全塊中的一個(gè),被認(rèn)為不是阻止保護(hù)措施的啟動(dòng),就是阻止依據(jù)虛假指示的啟動(dòng)。例如,如上所述,四取二重合邏輯可用于所有停堆和ESF驅(qū)動(dòng),這意味對(duì)于未受影響的安全塊上的未受影響的安全功能,4個(gè)分離組中的2個(gè)指示需要停堆或ESF驅(qū)動(dòng),并向所執(zhí)行的措施的操作員提供肯定的指示。
在第二種情形下,與安全塊內(nèi)的CCF并存的3類失效導(dǎo)致假性停堆或ESF驅(qū)動(dòng),同時(shí)1E M/I塊或者表示一個(gè)肯定的指示和一個(gè)成功驅(qū)動(dòng)的虛假指示,或者表示一個(gè)肯定的指示和一個(gè)無(wú)任何驅(qū)動(dòng)指示的指示。在任一情況下,都會(huì)花費(fèi)操作員較長(zhǎng)的時(shí)間來(lái)評(píng)估和糾正假性驅(qū)動(dòng),但是根據(jù)需要重整(re-align)各個(gè)組件的能力由理應(yīng)不受相同CCF影響的1E和非1E控制器兩者提供。假性ESF驅(qū)動(dòng)可被視為這種情況下的最極限事件。
另一種分析準(zhǔn)則是層次要求。為了提供表示簡(jiǎn)化系統(tǒng)檢查的詳細(xì)程度的各個(gè)塊,4個(gè)概念性防御層次不僅在一些塊中被組合(例如,RTS和ESFAS),而且還被分成分離的塊(例如,安全塊I和II,1E M/I I和II)。在一些方面,按照分離組、RTS和ESFAS所基于的可編程技術(shù),把它們分組到各安全塊中。例如,MPS的每一半(例如,4個(gè)分離組中的兩個(gè),兩個(gè)序列的ESFAS之一,兩個(gè)序列的RTS之一)或者一個(gè)安全塊可具有足夠的多樣性屬性。不同的設(shè)計(jì)團(tuán)隊(duì)(人類多樣性)利用基于不同的可編程技術(shù)的不同可編程數(shù)字硬件(設(shè)計(jì)和設(shè)備多樣性),這需要使用不同的設(shè)計(jì)工具(軟件多樣性)。M/I層次也可被分成分離的塊。1E M/I塊可被分開(kāi),以把具有相似多樣性屬性的塊識(shí)別成安全塊。圖11中圖解說(shuō)明了選擇的塊如何分成所述4個(gè)防御層次,圖11表示了示圖1100。
另一種分析準(zhǔn)則是評(píng)估的方法。選擇的各個(gè)塊應(yīng)被視為“黑盒”,以致當(dāng)按照輸出信號(hào)準(zhǔn)則(下面討論)分析時(shí),需要被假想的任何可信失效產(chǎn)生最有害的后果。在一些方面,系統(tǒng)未能啟動(dòng)可能不是情況最壞的失效,尤其是當(dāng)分析識(shí)別由自動(dòng)化安全系統(tǒng)中的CCF產(chǎn)生的工況所需的時(shí)間和響應(yīng)由自動(dòng)化安全系統(tǒng)中的CCF產(chǎn)生的工況時(shí)。將根據(jù)硬件CCF和軟件CCF,評(píng)估各個(gè)塊。對(duì)于每個(gè)CCF,塊可能被評(píng)估成具有可能產(chǎn)生最有害的后果的3種可能輸出:1)帶有錯(cuò)誤指示或無(wú)措施(當(dāng)需要時(shí))的原樣失敗(fail-as-is),2)帶有成功驅(qū)動(dòng)的指示的功能的假性啟動(dòng),和3)無(wú)成功驅(qū)動(dòng)的指示的功能的假性啟動(dòng)。任意安全塊內(nèi)的EIM不被認(rèn)為易受軟件CCF影響。例如,EIM可以是專用于單一ESF組件或反應(yīng)堆停堆斷路器的優(yōu)先邏輯模塊,并與手動(dòng)和自動(dòng)控制器面接。有限狀態(tài)機(jī)的使用可允許功能的窮盡測(cè)試;包括狀態(tài)機(jī)的所有可能輸入、設(shè)備狀態(tài)和輸出?;谄淇蓽y(cè)試性、EIM多樣性屬性和專用于單一組件,EIM可能充分簡(jiǎn)單,不需要考慮基于軟件或基于軟件邏輯的CCF。
另一種分析準(zhǔn)則是塊的假想共因失效。1E M/I塊涉及視頻顯示單元(數(shù)字硬件)和手動(dòng)控制器(非數(shù)字硬件)的組合。VDU只是為指示而設(shè)計(jì)的,不具有控制設(shè)備的能力。各個(gè)1E M/I塊1004a/b中的手動(dòng)控制器向操作員提供在序列層面,啟動(dòng)由安全塊I或II自動(dòng)進(jìn)行的任何保護(hù)措施的能力。在一些例子中,由于指示和手動(dòng)控制器是不同的硬件(例如,數(shù)字開(kāi)關(guān)對(duì)開(kāi)/關(guān)式接觸開(kāi)關(guān)),因此CCF可被認(rèn)為影響一個(gè)或另一個(gè),但不同時(shí)影響兩者。對(duì)軟件和硬件CCF來(lái)說(shuō),原樣失敗狀況導(dǎo)致一個(gè)序列的操作員顯示器指示虛假的安全運(yùn)行狀況,或者一個(gè)序列的手動(dòng)開(kāi)關(guān)的失效。VDU幾乎不具有控制能力,從而它們不會(huì)提供假性驅(qū)動(dòng);然而,就軟件CCF來(lái)說(shuō),VDU可提供成功驅(qū)動(dòng)的虛假指示,或者提供要求操作員啟動(dòng)假性保護(hù)措施的不正確電站工況。
除EIM以外,假定安全塊內(nèi)的各個(gè)模塊具有軟件CCF。歸因于安全塊內(nèi)的多樣性屬性,軟件CCF可被局限于SFM上的CM或功能。利用安全塊內(nèi)的設(shè)備、信號(hào)和軟件多樣性,可以緩和該安全塊內(nèi)的妨礙SFM作出正確的停堆判定的軟件CCF。對(duì)于各個(gè)瞬態(tài)事件,可在利用基于不同物理效應(yīng)的被測(cè)參數(shù)的不同邏輯/算法的分離的安全功能上,實(shí)現(xiàn)為減輕所述事件而需要的主安全功能和備用安全功能。在實(shí)現(xiàn)三重模塊冗余性,并且每條數(shù)據(jù)總線按不同的方式傳送相同信息的情況下,具有軟件CCF的CM不會(huì)假性啟動(dòng)保護(hù)措施或者阻止保護(hù)措施的啟動(dòng)。結(jié)果,最有害的情形是導(dǎo)致ESFAS功能的假性驅(qū)動(dòng)的SFM中的軟件CCF。
安全塊內(nèi)的硬件CCF可被假定為該塊完全不能檢測(cè)和啟動(dòng)必要的保護(hù)措施。導(dǎo)致ESF功能的假性驅(qū)動(dòng)的硬件CCF可具有和由軟件CCF引起的假性驅(qū)動(dòng)相同的影響,從而對(duì)于硬件CCF,可不再次考慮。
非1E M/I包括用于安全設(shè)備和非安全設(shè)備的控制器。用于非1E的VDU不同于1E M/I使用的VDU。由于非1E M/I用于正常的日常運(yùn)行,因此由非1E M/I子系統(tǒng)(例如,渦輪控制器、給水控制器)內(nèi)的軟件或硬件CCF引起的任何假性驅(qū)動(dòng)是可立即識(shí)別的,并且如果超過(guò)運(yùn)行極限,那么可由MPS(安全塊I和II)緩和。在1)帶有和不帶有成功驅(qū)動(dòng)的指示的子系統(tǒng)組件的假性驅(qū)動(dòng),和2)在實(shí)際上無(wú)設(shè)備被驅(qū)動(dòng)時(shí)的成功驅(qū)動(dòng)的指示的情況下,關(guān)于非1E的假想失效在原樣(as-is)狀況下失敗。
MCS包含為把日常電站運(yùn)行維持在運(yùn)行極限內(nèi)(包括約束某些運(yùn)行瞬態(tài))而依賴于的非安全系統(tǒng)。因而,子系統(tǒng)(例如,棒控制器)的任何失效可被操作員立即檢測(cè)出。類似于非1E M/I,在1)帶有和不帶有成功驅(qū)動(dòng)的指示的子系統(tǒng)組件的假性驅(qū)動(dòng),和2)當(dāng)實(shí)際上無(wú)設(shè)備被驅(qū)動(dòng)時(shí)提供成功驅(qū)動(dòng)的指示的情況下,關(guān)于MCS的假想軟件和硬件CCF導(dǎo)致原樣失敗狀況。
另一種分析準(zhǔn)則是同樣的硬件和軟件模塊的使用。這里,塊之間的多樣性提供不認(rèn)為各個(gè)塊相同的基礎(chǔ)?;诖?,假想的CCF可被局限于單個(gè)塊。
另一種分析準(zhǔn)則是其它塊的影響。所有塊被假定響應(yīng)正確或不正確的輸入,正確地工作。每個(gè)塊被認(rèn)為是獨(dú)立的,不受另一個(gè)塊中的假想CCF影響。
另一種分析準(zhǔn)則是輸出信號(hào)。在一些方面,I&C體系結(jié)構(gòu)可防止錯(cuò)誤向后傳播到前一個(gè)塊的輸出中。從安全塊I和II到1E M/I的所有信息可通過(guò)光學(xué)隔離的只能進(jìn)行發(fā)送的通信引擎發(fā)送(如在CM 600中所示)。從1E M/I到安全塊的信號(hào)可以是其位置或接觸狀態(tài)不能被安全塊中的CCF改變的手動(dòng)開(kāi)關(guān)的斷開(kāi)/閉合接觸。安全塊之間的通信可以是從分離組A和C發(fā)送給ESFAS和RTS的序列II,和從分離組B和D發(fā)送給ESFAS和RTS的序列I的數(shù)據(jù)。4個(gè)分離組獨(dú)立并且冗余;不過(guò),對(duì)圖10的舉例說(shuō)明來(lái)說(shuō),按照分離組使用的可編程技術(shù),把分離組分入安全塊中。類似于安全塊與1E M/I之間的通信,從分離組到RTS和ESFAS的任意序列的通信可以通過(guò)光學(xué)隔離的只能進(jìn)行發(fā)送的通信引擎。給安全塊的非安全輸入可以給ESFAS EIM,所述輸入可被局限于隔離的斷開(kāi)/閉合接觸。
來(lái)自安全塊的所有輸入可以來(lái)自光學(xué)隔離的只能進(jìn)行發(fā)送的通信引擎。這可防止1E M/I中的任何錯(cuò)誤向后傳播到安全塊。
另一種分析準(zhǔn)則是預(yù)期運(yùn)行情形的多樣性。與瞬態(tài)事件結(jié)合的單一CCF或2類失效不會(huì)阻止MPS執(zhí)行其安全功能??梢赃x擇一起構(gòu)成MPS的安全塊I和II,以把CCF局限于一個(gè)塊。傳統(tǒng)上,核電站依賴于多樣化驅(qū)動(dòng)系統(tǒng)(DAS)或無(wú)緊急停堆(scram)的預(yù)期瞬態(tài)(ATWS)系統(tǒng)來(lái)提供啟動(dòng)各種功能的多樣化方法,如果MPS被CCF禁用的話。但是在例示的MPS設(shè)計(jì)中,系統(tǒng)內(nèi)存在足夠的多樣性,即使對(duì)于單一CCF,也足以啟動(dòng)安全功能。這里,MPS被分成安全塊I和II(例如,1006a/b)。假想的軟件或硬件CCF會(huì)被局限于一個(gè)安全塊。每個(gè)塊使用利用基于不同可編程技術(shù)的不同可編程數(shù)字硬件(設(shè)計(jì)和硬件多樣性)的不同設(shè)計(jì)團(tuán)隊(duì)(人類多樣性),這要求使用不同的設(shè)計(jì)工具(軟件多樣性)。在任一塊內(nèi),存在在分離的SFM上實(shí)現(xiàn)的基于不同物理效應(yīng)的被測(cè)變量的至少兩種安全功能。所有的邏輯可在有限狀態(tài)機(jī)中實(shí)現(xiàn),并且所有的安全數(shù)據(jù)可按確定性的方式傳送。歸因于這些屬性,即使與CCF結(jié)合的3類失效也不會(huì)阻止MPS啟動(dòng)必要的保護(hù)措施。
另一種分析準(zhǔn)則是事故的多樣性。類似于AOO,與MPS內(nèi)的CCF錯(cuò)誤結(jié)合的假想事故不會(huì)阻止MPS執(zhí)行其安全功能。
另一種分析準(zhǔn)則是手動(dòng)操作員動(dòng)作。MPS進(jìn)行的保護(hù)措施的手動(dòng)序列層面驅(qū)動(dòng)可被提供給操作員。手動(dòng)組件層面的控制被提供給利用非1E M/I的操作員,如果1E M/I允許的話。
上面說(shuō)明了本公開(kāi)主題的特定實(shí)現(xiàn)。對(duì)本領(lǐng)域的技術(shù)人員來(lái)說(shuō),顯然所述實(shí)現(xiàn)的其它實(shí)現(xiàn)、變更和置換在以下權(quán)利要求的范圍之內(nèi)。例如,記載在權(quán)利要求中的操作可按不同的順序進(jìn)行,但仍然獲得合意的結(jié)果。因而,例證實(shí)現(xiàn)的以上說(shuō)明并不限定或約束本公開(kāi)。其它變化、替代和更改也是可能的,而不脫離本公開(kāi)的精神和范圍。