DE3322509C2 - - Google Patents
Info
- Publication number
- DE3322509C2 DE3322509C2 DE3322509A DE3322509A DE3322509C2 DE 3322509 C2 DE3322509 C2 DE 3322509C2 DE 3322509 A DE3322509 A DE 3322509A DE 3322509 A DE3322509 A DE 3322509A DE 3322509 C2 DE3322509 C2 DE 3322509C2
- Authority
- DE
- Germany
- Prior art keywords
- test
- card
- self
- department
- nuclear reactor
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired
Links
- 238000012360 testing method Methods 0.000 claims description 299
- 230000009993 protective function Effects 0.000 claims description 18
- 238000012544 monitoring process Methods 0.000 claims description 6
- 230000004044 response Effects 0.000 claims description 4
- 230000006870 function Effects 0.000 description 36
- 238000000034 method Methods 0.000 description 15
- 230000008569 process Effects 0.000 description 10
- 230000037431 insertion Effects 0.000 description 8
- 230000008901 benefit Effects 0.000 description 7
- 238000003780 insertion Methods 0.000 description 7
- 239000013598 vector Substances 0.000 description 7
- 239000000872 buffer Substances 0.000 description 6
- 238000010586 diagram Methods 0.000 description 6
- 238000013479 data entry Methods 0.000 description 5
- 238000012790 confirmation Methods 0.000 description 4
- 230000007257 malfunction Effects 0.000 description 3
- 238000013021 overheating Methods 0.000 description 3
- 238000010998 test method Methods 0.000 description 3
- 241000282414 Homo sapiens Species 0.000 description 2
- 230000002411 adverse Effects 0.000 description 2
- 238000004590 computer program Methods 0.000 description 2
- 230000001186 cumulative effect Effects 0.000 description 2
- 238000002592 echocardiography Methods 0.000 description 2
- 230000004807 localization Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000008520 organization Effects 0.000 description 2
- 230000002829 reductive effect Effects 0.000 description 2
- 230000008439 repair process Effects 0.000 description 2
- 238000000926 separation method Methods 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 230000004913 activation Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000008094 contradictory effect Effects 0.000 description 1
- 230000007423 decrease Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000002405 diagnostic procedure Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000012812 general test Methods 0.000 description 1
- 230000036541 health Effects 0.000 description 1
- 238000009413 insulation Methods 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000001681 protective effect Effects 0.000 description 1
- 239000010453 quartz Substances 0.000 description 1
- VYPSYNLAJGMNEJ-UHFFFAOYSA-N silicon dioxide Inorganic materials O=[Si]=O VYPSYNLAJGMNEJ-UHFFFAOYSA-N 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 230000000638 stimulation Effects 0.000 description 1
- 230000026676 system process Effects 0.000 description 1
- 230000002123 temporal effect Effects 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G21—NUCLEAR PHYSICS; NUCLEAR ENGINEERING
- G21D—NUCLEAR POWER PLANT
- G21D3/00—Control of nuclear power plant
- G21D3/001—Computer implemented control
-
- D—TEXTILES; PAPER
- D07—ROPES; CABLES OTHER THAN ELECTRIC
- D07B—ROPES OR CABLES IN GENERAL
- D07B1/00—Constructional features of ropes or cables
-
- G—PHYSICS
- G21—NUCLEAR PHYSICS; NUCLEAR ENGINEERING
- G21D—NUCLEAR POWER PLANT
- G21D3/00—Control of nuclear power plant
- G21D3/04—Safety arrangements
- G21D3/06—Safety arrangements responsive to faults within the plant
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02E—REDUCTION OF GREENHOUSE GAS [GHG] EMISSIONS, RELATED TO ENERGY GENERATION, TRANSMISSION OR DISTRIBUTION
- Y02E30/00—Energy generation of nuclear origin
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02E—REDUCTION OF GREENHOUSE GAS [GHG] EMISSIONS, RELATED TO ENERGY GENERATION, TRANSMISSION OR DISTRIBUTION
- Y02E30/00—Energy generation of nuclear origin
- Y02E30/30—Nuclear fission reactors
Landscapes
- Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Plasma & Fusion (AREA)
- High Energy & Nuclear Physics (AREA)
- Business, Economics & Management (AREA)
- Emergency Management (AREA)
- Monitoring And Testing Of Nuclear Reactors (AREA)
- Testing And Monitoring For Control Systems (AREA)
- Hardware Redundancy (AREA)
Description
Die Erfindung bezieht sich auf eine Testeinrichtung zum Überwachen
der Funktionstüchtigkeit eines Steuerschleifen enthaltenden
Kernreaktorschutzsystems gemäß dem Oberbegriff des Patentanspruches
1. Eine derartige Testeinrichtung ist aus der
US-PS 42 92 129 bekannt.
Moderne Kernreaktorsicherheitsanforderungen sind hoch. Es
ist bekannt, Kernreaktorschutzsysteme vorzusehen. Wenn beispielsweise
eine Reaktorkernüberhitzung festgestellt werden
soll, werden üblicherweise Fühler eingesetzt, die ihrerseits
über ein Kernreaktorschutzsystem bewirken, daß eine Reaktorkernvorrichtung
betätigt wird, um den Zustand zu korrigieren.
Wenn angenommen wird, daß eine Überhitzung durch einen Fühler
erkannt worden ist, so kann ein geeignetes Ansprechen
(in dieser Beschreibung als Hauptbeispiel benutzt) das Einführen
von Stäben zum Absorbieren von Neutronen und zum Abschalten
des Reaktors sein. Das kann Teil einer systemweiten
Notabschaltung sein, die auch als Scram bezeichnet wird.
In einem solchen System besteht immer die Gefahr von
verborgenen Ausfällen. Wenn die Zeit verstreicht, nachdem
ein Test ausgeführt worden ist, nimmt die Wahrscheinlichkeit
zu, daß das System funktionsuntüchtig sein kann.
Das System muß den nächsten tatsächlichen Test abwarten,
bis die Funktionstüchtigkeit wieder bestätigt werden
kann und eine geringere Ausfallwahrscheinlichkeit
besteht.
Die Gefährlichkeit von unerkannten Ausfällen wird noch
deutlicher, wenn der Fall von sogenannten "Gleichtaktausfällen"
betrachtet wird.
Gleichtaktausfälle sind systemweit. Weil sie systemweit
sind, beeinflussen Gleichtaktausfälle das gesamte System,
selbst in Punkten, in denen eine Systemredundanz
vorhanden ist. Ausfälle aufgrund von Hochspannungsstößen,
Brand, Erdbeben und anderen mechanischen Ursachen
können verborgen bleiben, bis das System gebraucht wird.
Wenn der Systemgebrauch auf einen Notfall hin erfolgen
soll, kann es vorkommen, daß niemand weiß, daß das System
nicht in der Lage ist, auf den Notfall anzusprechen,
bis die erforderliche Notprozedur durchgeführt
wird. Dann ist es aber zu spät.
Eine Bedienungsperson kann auf einen Notfall auf unterschiedliche
Weise reagieren, indem sie die Anlage aus
dem gefährlichen Betriebszustand in einen sichereren
Betriebszustand bringt. Alle diese sicheren Zustände
erfordern unterschiedliche Betriebskonfigurationen der
Anlage.
Bei der aus der US-PS 42 92 129 bekannten Testeinrichtung wird
die Überprüfung durch ein Zeitmultiplexsystem erreicht; dies
erfordert eine spezielle hardwaremäßige Auslegung der elektronischen
Betätigungselemente.
Es ist Aufgabe der Erfindung, eine Testeinrichtung zu schaffen,
die mit möglichst wenigen Eingriffen in das Kernreaktorschutzsystem
realisiert werden kann und eine umfassende Kontrolle
aller Funktionen ermöglicht.
Die Aufgabe wird erfindungsgemäß durch die Maßnahmen gemäß
dem Patentanspruch 1 gelöst.
Vorteilhafte Ausgestaltungen der Erfindung sind in den Unteransprüchen
gekennzeichnet.
Die mit der Erfindung erzielbaren Vorteile bestehen insbesondere
darin, daß die Überprüfung der Funktionsfähigkeit ständig
wiederholt durch einen Computer ausgeführt werden kann.
Der Computer überprüft ständig und wiederholt die Funktionstüchtigkeit
eines Kernreaktorschutzsystems.
Noch ein weiterer Vorteil ist, daß die Testeinrichtung erkennen
kann, ob irgendeine diskrete Notfunktion ganz oder zum
Teil ausreichend funktionstüchtig ist, um die Anlage in einen
anderen Betriebszustand zu versetzen. Beispielsweise kann
entweder während des normalen Betriebes oder während einer
Krise eine Bedienungsperson relativ schnell vor einer Änderung
des Betriebszustandes der Anlage feststellen, ob der nächste
und beabsichtigte Betriebszustand der Anlage verfügbar ist.
Ferner können bei der Erfindung die Schutzsystemschaltungen
in Untergruppierungen in dem Fall aufgeteilt werden, daß
ein Fehler festgestellt wird.
Falls die Speicherausgabedaten
nicht mit den gewünschten Registerausgangsdaten
übereinstimmen, kann das Aufteilen des Tests erfolgen.
Bei diesem Aufteilen können entweder zusätzliche Systemausgaberegister
gelesen oder aber statt dessen neue Systemuntertests
eingeleitet werden. Weiter kann ein geeignetes
Verzweigen erfolgen, so daß das Testen mit zunehmender
Genauigkeit auf Punkte des Systemausfalls gerichtet
wird.
Weiter können austauschbare Schaltkarten verwendet werden.
Die Karten enthalten elektronische Vorrichtungen zum Erkennen
von seriellen Adressen und Register zur Ein- und Ausgabe entweder
von Testbefehlen oder des Systemstatus. Diese diskreten
Karten sind austauschbar und inventarisiert, so daß,
wenn ein Ausfallpunkt genau festgestellt wird, ein Techniker
geschickt werden kann, der die Karte entfernt und ersetzt,
um die Systemfunktionstüchtigkeit wiederherzustellen.
Noch ein weiterer Vorteil der Einrichtung nach der Erfindung
ist das ständige Testen, durch das die mittlere Zeit zum Entdecken
eines Ausfalls beträchtlich verringert wird. Je schneller
der Ausfall erkannt und lokalisiert wird, desto schneller
kann er behoben und das System wieder verfügbar gemacht werden.
Unter Verwendung der Formel:
A = Verfügbarkeit,
MTBF = mittlere Zeit zwischen Ausfällen, und
MTBR = mittlere Zeit zwischen Reparaturen,
MTBF = mittlere Zeit zwischen Ausfällen, und
MTBR = mittlere Zeit zwischen Reparaturen,
ist ohne weiteres zu erkennen, daß, wenn MTBR verkleinert
wird, sich die Verfügbarkeit den gewünschten 100%
nähert. Ein Vorteil des Testens ohne Beeinflussung der
Betriebsfunktionen ist, daß das jeweilige System, das
getestet wird, voll betriebsfähig bleibt, wodurch der
volle Sicherheitsschutz für die Anlage erhalten bleibt.
Weiter können, wenn einfache hardwaremäßige Vorsichtsmaßnahmen
getroffen werden, Ausfälle in dem Selbsttestsystem
selbst irgendeine wichtige Schaltungsanordnung
des Kernreaktorschutzsystems nicht nachteilig beeinflussen.
Ein weiterer Vorteil des automatischen, computergestützten
Testens gegenüber dem manuellen Testen ist die Geschwindigkeit.
Das Selbsttestuntersystem führt eine vollständige
Liste von Tests innerhalb von 30 min aus, gegenüber
vielen Tagen beim manuellen Testen. Es gestattet
außerdem das Testen auf Verlangen sowie das automatische
überwachen.
Vorteilhaft in dem Selbsttestuntersystem ist auch die
Möglichkeit, den Test auszuführen, indem simulierte Anlagenzustandsdaten
in das Kernreaktorschutzsystem eingegeben
werden. Weil es nicht erforderlich ist, daß
sich die Anlage in irgendeinem besonderen tatsächlichen
Zustand befindet, damit der Test ausgeführt werden
kann, wird Zeit gespart und die Verfügbarkeit vergrößert.
Das gilt insbesondere bei selten benutzten Zuständen,
wie der Reaktorkernüberhitzung, die eine Notabschaltung
erfordern würden.
Noch ein weiterer Vorteil der Erfindung ist, daß es vier
unabhängige Selbstteststeuereinheiten gibt, und zwar
eine für jedes der redundanten Kernreaktorschutzsysteme.
Es gibt keine elektrischen Verbindungen zwischen
den vier Selbstteststeuereinheiten, und die einzige Verbindung
besteht über optisch gekoppelte Isolatoren.
Der Vorteil dieser Isolation ist, daß, wenn beispielsweise
eine der Selbstteststeuereinheiten kurzgeschlossen
wird, der Betrieb der anderen nicht nachteilig beeinflußt
wird.
Die Erfindung wird nun anhand der Beschreibung und Zeichnung
von Ausführungsbeispielen näher erläutert.
Es zeigen:
Fig. 1 ein Blockschaltbild eines automatischen
Selbsttestkernreaktorschutzsystems mit Testeinrichtungen nach
der Erfindung, die
Fig. 2A-2G ein Blockschaltbild des Selbsttestuntersystems,
das eine typische universelle
E/A-Karte, eine serielle E/A-Karte
und die zugeordnete Schaltungsanordnung
enthält.
Fig. 3 eine Blockschaltbild der Testeinrichtung,
das die CPU-Karte, die
universelle E/A-Karte und die seriellen
E/A-Karten enthält, die an den Daten-Adreß-
und Steuerbussen miteinander
verbunden sind,
Fig. 4 ein Blockschaltbild der Testeinrichtung
von der universellen E/A-Karte
aus nach außen zu der Kernreaktorschutzsystemschaltungsanordnung
hin, wobei
die Kartenwählmonitore, die Systemtestfunktionskarten
und die zugeordneten
Busse gezeigt sind,
Fig. 5 ein Blockschaltbild, das die Organisation
des Selbsttestuntersystemcomputerprogramms
zeigt, die
Fig. 6A und 6B ein Flußdiagramm, das das Selbsttestuntersystemcomputerausführungsprogramm
zeigt,
Fig. 7 ein Flußdiagramm eines Systemtests,
welches das Systemkarteneinführungsprogramm
zeigt, und
Fig. 8 ein Flußdiagramm eines Systemtests, das
eine Systemfehlerprüfung zeigt.
Das Selbsttestuntersystem (Testeinrichtung) STS nach der Erfindung für Kernreaktorschutzsysteme
erkennt schnell Hardwareausfälle und erleichtert
dadurch die Reparatur eines Kernreaktorschutzsystems
RPS. Das Selbsttestuntersystem STS enthält einen
Speicher, in welchem Gruppen von eingegebenen Stimulanztestmustern
und von erwarteten Ausgabeergebnissen gespeichert
sind. Nach dem Durchführen eines Tests werden
die tatsächlichen Ausgabedaten, die erhalten worden sind,
mit den erwarteten Ausgabedaten verglichen, und, sollten
Diskrepanzen vorhanden sein, so wird diese Tatsache den
Anlagebedienern angezeigt.
Ein besonderer Aspekt der Erfindung ist die Tatsache, daß Kernreaktorschutzsystemtests
in Echtzeit ausgeführt werden können, während das System
tatsächlich in Betrieb ist, ohne daß der Systembetrieb
gestört wird. Das wird erreicht, indem Testimpulse kurzer
Dauer benutzt werden. Diese Impulse können keine tatsächliche
Aktivierung der Kernreaktorvorschutzsystemkomponenten
mit Ausnahme der Überprüfung ihres Durchganges verursachen.
Die Impulse sind daher für den Systembetrieb
transparent.
Das Selbsttestuntersystem enthält vier optisch gekoppelte,
miteinander in Verbindung tretende Selbsttestuntersystemabteilungen
(Fig. 1), wobei jede Abteilung in der
Lage ist, als Hauptabteilung für die anderen drei Abteilungen
und als Nebenabteilung für eine der anderen drei
Abteilungen zu arbeiten. Jede Abteilung enthält ein
Selbsttestsystem (Fig. 2).
Das Selbsttestsystem enthält gemäß Fig. 2 eine CPU/Speicher-Karte
12, die eine Z80-Zentraleinheit (CPU) 14, einen
Festwertspeicher (ROM) 15, welcher das Selbsttestsystembetriebsprogramm
enthält, und einen Speicher mit
wahlfreiem Zugriff (RAM) 16 aufweist. Die CPU/Speicher-Karte
weist außerdem einen Adreßdecoder 17 und einen Prozessortaktgeber
18 auf. Der Prozessor enthält einen Steuerbus,
einen Datenbus und einen Adreßbaus. Die Busse sind
über Steuerbus-, Datenbus- und Adreßbuspufferschaltungen
19-21 geführt. Die Puffer dienen als Busschnittstelle
zwischen der CPU-Speicher-Karte und dem übrigen Teil des
Selbsttestsystems STS.
Die CPU/Speicher-Karte ist mit sechs universellen Eingabe/Ausgabe
(E/A-Karten 22-27 und mit einer seriellen
Eingabe/Ausgabe (E/A-Karte 28 verbunden. Fig. 2 zeigt
die universelle E/A-Karte 22 ausführlich sowie weitere
fünf universelle E/A-Karten 23-27 in Blockform. Fig. 3
zeigt eine Übersicht über die Selbsttestsystemhardwaregestellarchitektur.
Fig. 4 zeigt einen Überblick über
die Selbsttestsystemarchitektur.
Die serielle E/A-Karte 28 ist mit den Steuer-, Daten- und
Adreßbaussen durch Steuerbus-, Datenbus- und Adreßbuspuffer
30-32 gepuffert. Die serielle E/A-Karte enthält 32 K
des ROM 34, der die Datenbasis für diese besondere der
vier Abteilungen enthält. Dem ROM 34 ist ein Adreßdecoder
35 zugeordnet. Die serielle E/A-Karte 28 enthält außerdem
eine Datenflußsteuerschaltung 36 sowie zwei Parallel/Seriell-E/A-Chips
37, die jeweils zwei Ausgabekanäle
bilden. Die Chipausgabekanäle sind mit dem E/A-Mutterschaltungskarten-E/A
des Selbsttestsystems über einen Differentialtreiber
und Empfänger 38 verbunden. Der Parallel/Seriell-E/A-Chip
37 wird durch einen auf der Karte befindlichen Taktgeber 39 gesteuert.
Die serielle E/A-Karte hat vier E/A-Kanäle. Drei der Kanäle
der seriellen E/A-Karte sind über optische Isolatoren
42 mit den anderen drei Abteilungen des aus vier Abteilungen
bestehenden Systems verbunden. Ein vierter Kanal
ist ein Diagnosefunktionskanal. Die vier Abteilungen
verkehren miteinander jeweils über die der betreffenden
Abteilung zugeordnete serielle E/A-Karte. Die vier Abteilungen
sind optisch gekoppelt, so daß der elektrische
Ausfall einer Abteilung den Betrieb der anderen Abteilungen
nicht stört.
Der vierte E/A-Kanal der seriellen E/A-Karte liefert
Diagnose- und Funktionsinformation zu dem Systemprozeßcomputer
44 (Fig. 1). Auf diese Weise kann eine besondere
Fehlercodekombination zu dem Prozeßcomputer und
dann zu einem Bedienerdiagnoseterminal 45 geleitet werden,
wo die Fehlercodekombination ins Englische oder in
andere für den Bediener verständliche Nachrichten übersetzt
werden kann, um das Wartungspersonal zu alarmieren.
Wenn während des Betriebes eine Anzeigevorrichtung 43
aktiviert wird, kann die Bedienungsperson zu dem Prozeßcomputer
gehen, um den Fehler zu lokalisieren, indem sie
Befehle über die serielle E/A-Karte dem Selbsttestsystem
eingibt, um die Ausfallinformation zu finden oder um das
Selbsttestsystem besondere Tests ausführen zu lassen, die
dann die Daten, welche die Testergebnisse angeben, zu
dem Prozeßcomputer zurückliefern. Auf diese Weise kann
ein Ausfall lokalisiert und leichter korrigiert werden.
Die sechs universellen E/A-Karten sind Schnittstellen zwischen
dem Selbsttestsystemgestell und der Selbsttestschaltungsanordnung,
die auf Schutzfunktionskarten (Selbsttestelementen) 60)
(Fig. 4) angeordnet ist. Jede universelle E/A-Karte 22-27
hat eine Schnittstellenverbindung mit den Steuer-, Daten-
und Adreßbussen, die aus dem Steuerbuspuffer 46, dem Datenbuspuffer
47 und dem Adreßbuspuffer 48 besteht. Adressen
werden durch den Universelle-E/A-Karte-Docoder 50
decodiert, um entweder ein 24-Leitungen-Eingabetor 52
zu betätigen, in welchem Fall die universelle E/A eine
Eingabevorrichtung ist, oder um ein 24-Leitungen-Ausgabetor
53 zu betätigen, in welchem Fall die universelle
E/A eine Ausgabevorrichtung ist. Die Auswahl von Eingabe-
oder Ausgabetoren erfolgt unter der Steuerung der CPU.
Die Zeitsteuerung und die Signale auf der universellen
E/A-Karte können durch einen auf der Karte vorhandenen
Taktgeberchip (CTC) 51 gesteuert werden.
Die universelle E/A-Karte liefert ein erstes Niveau der
Decodierung für den Zugriff auf die Schutzfunktionskarten
der Testschaltungsanordnung. Das zweite Niveau der
Decodierung wird durch die Kartenwählmonitore 54 (Fig. 4)
geliefert.
Allgemein muß zum Verkehren mit einer Schutzfunktionskarte
deren Kartenwählmonitor 54 zuerst gewählt werden.
Adreßdaten werden dann durch die universellen E/A-Karten
zu dem Kartenwählmonitor verschoben, um eine besondere
Schutzfunktionskarte, die in einem besonderen
Schlitz der Kartei angeordnet ist, unter der Steuerung
des gewählten Kartenwählmonitors auszuwählen.
Nachdem die Schutzfunktionskarte ausgewählt ist, werden
die Daten, die notwendig sind, um sie zum Testen des
Reaktorschutzsystems zu konfigurieren, über den Datenbus
geliefert. Die Daten werden aus der universellen E/A-Karte
über den Datenbus direkt zu der ausgewählten Funktionskarte
geleitet und gehen nicht über einen Kartenwählmonitor.
Der Kartenwählmonitor ist eine Schnittstelle zwischen
den universellen E/A-Karten und den Schutzfunktionskarten
und liefert ein zweites Niveau der Adreßdecodierung.
Die universelle E/A-Karte kann einen von bis zu 24 Kartenwählmonitoren
auswählen. Im allgemeinen sind 24 Kartenwählmonitore
pro universeller E/A-Karte nicht erforderlich,
aber die Kapazität ist für gewisse Ausführungsformen
der Erfindung verfügbar.
Der Kartenwählmonitor wird durch die universelle E/A
ausgewählt, wenn er ein Systemwählsignal aus der universellen
E/A-Karte (Fig. 4) empfängt. Die universelle
E/A sendet einen besonderen Testadreßvektor (Eingabedaten)
zu dem Kartenwählmonitor, nachdem der Kartenwählmonitor
gewählt ist. Der Testadreßvektor wählt die
besondere Karte in der Kartei aus, um Testdaten aus
der CPU zu empfangen. Ein 27-Bit-Wort wird aus der universellen
E/A an dem Kartenwählmonitor in Form von
seriellen Daten empfangen. Die seriellen Daten werden
in ein Adreßregister des Kartenwählmonitors 54 mittels
eines Adreßtaktgebers verschoben. Jedes Datenbit, das
hineingeschoben wird, bezieht sich auf eine besondere
Schutzfunktionskarte, die ausgewählt werden kann. Wenn
eine "1" in eine Bitposition 7 geschoben wird, dann wird
daher die siebente Schutzfunktionskarte in dieser Kartei
gewhält.
Ein Wählabtastsignal wird zu dem Kartenwählmonitor geschickt,
das bewirkt, daß serielle Daten, die in dessen
Adreßregister geschoben worden sind, in einem Ausgaberegister
des Kartenwählmonitors 54 festgehalten werden.
Dieses Ausgaberegister betätigt nun die Kartenwählleitung
für die gewünschte Schutzfunktionskarte in der Kartei.
Eines der wichtigen Merkmale der Erfindung sind die Überprüfung
und die Bestätigung. Wenn ein Wählabtastsignal
gesendet wird, um Daten in dem Ausgaberegister festzuhalten,
wird ein Abtastecho zu der universeller E/A zurückgeleitet,
wodurch überprüft wird, oder der Kartenwählmonitor
tatsächlich das Wählabtastsignal empfangen hat.
Ebenso wird, wenn ein Systemwählsignal dem Kartenwählmonitor
zugeführt wird, ein Systembestätigungssignal zu
der universellen E/A zurückgeleitet, um zu bestätigen,
daß das Systemwählsignal den Kartenwählmonitor erreicht
hat.
Der Kartenwählmonitor kann benutzt werden, um eine Inventur
der Funktionskarten in einer bestimmten Kartei zu machen,
damit festgestellt wird, ob fehlende oder zusätzliche
Karten in der Kartei sind. Um das auszuführen,
werden Muster in den Ausgaberegistern festgehalten, um
jede Funktionskarte in der Kartei zu wählen. Ein Echo
aus jeder Funktionskarte wird zu dem Kartenwählmonitor
zurückgeleitet und in dem Monitorregister des Kartenwählmonitors
54 festgehalten. Nach dem Empfang eines
Vergleichstaktsignals aus einer universellen E/A werden
die parallelen Daten in dem Monitorregister, die Echos
aus den ausgewählten Funktionskarten angeben, festgehalten
und dann seriell aus dem Monitorregister hinaus
und zurück zu einer universellen E/A verschoben.
Das Muster, das durch die universelle E/A empfangen wird,
wird durch die CPU überprüft, um sicher zu sein, daß
Echos aus allen Karten empfangen werden und daß keine
Karten in der Kartei fehlen. Zusätzlich zum Ausführen
einer Funktionskarteninventur wird diese Prozedur während
des tatsächlichen Testens benutzt, um zu überprüfen,
ob die korrekten Funktionskarten für ein besonderes Testmuster
ausgewählt worden sind.
Aufgrund der Komplexität eines Korrektors müssen viele
Komponententeile des Kernreaktorschutzsystems in gesonderten,
einander überlappenden Systemtests getestet werden.
In dieser besonderen Ausführungsform der Erfindung
werden auf diese Weise sieben verschiedene Schutzsysteme
getestet. Die Schutzfunktionskarte 60 (Fig. 4) wird gewählt,
wenn ein Testvektor, der diese besondere Karte angibt,
durch die Kartenwählmonitor decodiert wird, welcher
seinerseits die geeignete Schutzfunktionskarte in seiner
zugeordneten Kartei auswählt.
Einige Schutzfunktionskarten können mehr Eingabe- oder
Ausgaberegister haben, die meisten haben aber die gleiche
Konfiguration. Typisch sind die Signale, die an allen
Schutzfunktionskarten vorhanden sind, diejenigen des
Selbsttestbusses, die Daten-Ein, Takt, Testimpuls, Testimpulsecho,
Kartenwahl, Kartenwahlbestätigung und Vergleichstakt
beinhalten.
Wenn eine Funktionskarte durch den Kartenwählmonitor 54
gewählt wird, wird ein Kartenwählsignal zu der Karte geleitet.
Ein Echo oder eine Kartenwahlbestätigung wird dem
Kartenwählmonitor zugeführt, um zu überprüfen, ob das
Kartenwählsignal die Funktionskarte erreicht hat.
Immer dann, wenn das Kartenwählsignal und das Taktsignal
vorhanden sind, können die seriellen "Daten-Ein" über den
Datenbus in ein Dateneingaberegister der Karte geschoben
werden. Somit wird ein Testvektor Bit für Bit in die Dateneingaberegister
verschoben, um verschiedene Testmuster
einzustellen.
Nachdem die Funktionskarte durch den Kartenwählmonitor gewählt
und der Testvektor in das Dateneingaberegister verschoben
ist, wird ein Testimpuls von einer Millisekunde
geliefert. Ein Testimpulsecho wird zu der universellen
E/A zurückgesendet, um zu bestätigen, daß der Testimpuls
die ausgewählte Funktionskarte erreicht hat.
Ungefähr 800 µs, nachdem der Testimpuls abgegeben worden
ist, wird ein Vergleichstaktsignal der Funktionskarte zugeführt.
Das Vergleichstaktsignal verriegelt die parallelen
Daten, welche von dem getesteten Reaktorschutzsystem RPS
abgegeben wurden, in einem Empfangsmusterregister. Die parallelen Daten,
die in dem Empfangsmusterregister verriegelt werden,
werden seriell Bit für Bit durch das Taktsignal herausgetaktet.
Dadurch werden serielle Daten zu einer
universellen E/A zurückgeleitet.
Die in die Funktionskarte eingegebenen Daten sind typisch von
der tatsächlichen Anzahl der Funktionseingaben abhängig,
die die Karte hat, und die Ergebnisdaten sind von der
Anzahl der Ausgaben abhängig. Zusätzlich zu den Testergebnisdaten
liefern die Schutzfunktionskartendaten
zwei weitere Arten von Information: Kartentypdaten und
Kartenadreßdaten.
Die Kartentypdaten kennzeichnen eine Schutzfunktionskarte
hinsichtlich ihrer besonderen Leistungskenndaten.
Um sicherzustellen, daß die gewählte Karte in ihrem richtigen
Schlitz angeordnet ist, wird auch ein Kartenadreßteil
mit der Ausgabe von seriellen Daten aus der Funktionskarte
geliefert.
Die Z80-CPU empfängt die Schutzfunktionskartenausgabedaten,
die Kartentypinformation und die Kartenadreßinformation
aus der universellen E/A. Die Werte, die für
den Test erhalten werden, werden mit erwarteten Werten
für den Test verglichen, die in der Datenbasis gespeichert
sind. Wenn die Testergebnisse mit den erwarteten
Ergebnissen übereinstimmen, geht das Testprogramm zu
dem nächsten Test weiter. Wenn die Ergebnisse nicht übereinstimmen,
wird eine Unstimmigkeitsanzeige dem Anlagenbetriebspersonal
geliefert.
Die Genauigkeit des Tests wird aufrechterhalten, indem
überprüft wird, ob die Kartenadresse und der Kartentyp
richtig sind, bevor überprüft wird, ob die empfangenen
Daten mit den erwarteten Daten übereinstimmen. Wenn ein
unrichtiger Kartentyp oder eine unrichtige Kartenadresse
erkannt wird, wird das Betriebspersonal alarmiert,
so daß Korrekturmaßnahmen ergriffen werden können.
Die besondere Funktionskarte, die gewählt wird, hängt
davon ab, welcher Reaktorschutzsystemtest ausgeführt
wird. Während gewisser Tests ist es erwünscht, daß eine
Schutzfunktionskarte ungewählt bleibt und weiterhin eine
Ausgabemonitorfunktion erfüllt. Eine solche Situation
könnte sich ergeben, wenn eine Karte nicht direkt mit
Testdaten aus dem Selbsttestsystem STS sondern statt dessen
indirekt aus Karten geladen wird, die einen direkten
Test in verschiedenen Punkten in dem Reaktorschutzsystem
erfahren. Das kann beispielsweise bei einem Test von Ende
zu Ende passieren, wobei eine gewisse Bedingung in eine
Karte einer Gruppe von Karten eingegeben wird, die eine
bestimmte Systemfunktion erfüllt, und der Ausdruck aus
einer zweiten Karte überwacht wird. Zum Beispiel bei einem
Systemtest, der das arbeiten von zehn Schutzfunktionskarten
erfordert, können fünf Schutzfunktionskarten als
Monitorkarten konfiguriert sein, während die anderen fünf
zur Dateneingabe konfiguriert sind. Bei dieser Testkonfiguration
wählen die Kartenwählmonitore jede Schutzfunktionskarte,
die einzeln einzugeben sind. Testvektordaten
für den besonderen Test werden dann in jedes Kartendateneingaberegister
verschoben.
Nachdem die Schutzfunktionskarten für den Test vorbereitet
sind, geht das System zurück und wählt die fünf
Schutzfunktionskarten aus, die ein Testsignal in das Reaktorschutzsystem
eingeben sollen. Während des tatsächlichen
Tests empfangen die ausgewählten Schutzfunktionskarten
jeweils gleichzeitig den Testimpuls von einer Millisekunde.
Die Testimpulszeitspanne von einer Millisekunde
ist für Testzwecke ziemlich bedeutsam, weil sie ausreichend
Zeit gibt, um die Funktionstüchtigkeit der
Reaktorschutzsystemsteuerschleifen zu überprüfen, aber
die Reaktorschutzsystemsteuerschleifen nicht lange genug
belegt, um den Schutzsystembetrieb tatsächlich zu beeinflussen.
Auf diese Weise erscheint das Selbsttestsystem
dem Kernreaktorschutzsystem transparent, und das Schutzsystem
kann ständig in Echtzeit getestet werden, während
es in Betrieb ist, ohne daß der Reaktorbetrieb gestört
wird.
Zum Vermeiden einer kumulativen Testauswirkung auf den
Kernreaktorsystembetrieb erscheint der Testimpuls von
einer Millisekunde im allgemeinen nicht häufiger als
einmal nach jeweils 33 ms. Hardware- und Softwarezeitgeber
sind vorgesehen, um das Auftreten einer kumulativen
Testauswirkung zu verhindern. Darüber hinaus ist
die Schutzfunktionskartenschaltungsanordnung mit einer
Zeitkonstante in Form einer Zeitsperreschaltung versehen,
um eine Störung des Kernreaktorsystembetriebes durch einen
Test weiter zu verhindern.
Die Schutzfunktionskarten können als Karten gekennzeichnet
werden, die eine Testschaltungsanordnung und eine
Funktions- oder "wesentliche" Schaltungsanordnung haben.
Die wesentliche Schaltungsanordnung ist diejenige, die
mit dem tatsächlichen Reaktorschutzsystem verbunden und
als solche für den sicheren Betrieb des Kernreaktors wesentlich
ist. Wenn es einen Ausfall in der wesentlichen
Schaltungsanordnung gibt, ist daher die Gefahr vorhanden,
daß der normale Anlagenbetrieb gestört wird und daß
der Reaktor dann in einen Abschaltzustand oder in einen
Zustand verringerter Leistung versetzt wird, bis der
Fehler korrigiert ist. Bei der Erfindung ist die Schaltungsanordnung
überwiegend vom nichtwesentlichen Typ.
Ein Ausfall der Erfindung würde daher nicht notwendigerweise
das Abschalten eines Reaktors verursachen.
Das Testen des Kernreaktorschutzsystems erfolgt durch eine
Reihe von Impulsen kurzer Dauer (in der Größenordnung
von einer Millisekunde), die in die Schutzsystemlogik
eingegeben werden, so daß kein einzelner Testimpuls eine
nennenswerte Dauer in bezug auf die Ansprechzeit des
Funktionssystems hat und Kombinationen von Testimpulsen
die Systemleistungsfähigkeit nicht verschlechtern.
Das Hauptverfahren des Testens besteht darin, sämtliche
Reaktorschutzsystemsteuerschrankeingänge für ein besonderes
Funktionssicherheitssystem anzusteuern und sämtliche
Schrankausgangssignale zu beobachten. Diese Ausgangssignale
werden mit der bekannten Übergangsfunktion
des besonderen Systems für alle signifikanten Kombinationen
des Eingangszustands verglichen, um festzustellen,
ob die Schaltung funktionstüchtig ist. Zum Minimieren
der Testzeit ist jedes der Funktionssicherheitssysteme
- in dieser Ausführungsform der Erfindung sieben
Sicherheitssysteme - in Schaltungen unterteilt, die
unabhängige Eingänge und Ausgänge haben, so daß sie getrennt
getestet werden können. Überlappendes Testen wird
angewandt, um die Testzeit zu minimieren und das Lokalisieren
eines Fehlers eines austauschbaren Moduls (einer
Schaltungskarte) zu erleichtern. Fehler werden im Modulbereich
lokalisiert, was für den Austausch im Feld bevorzugt
wird. Austauschmoduln werden gesondert als funktionstüchtig
bis zu einem hohen Zuverlässigkeitsgrad bestätigt.
Das Testen mit dem Selbsttestsystem erfolgt automatisch,
nachdem es eingeleitet worden ist, um ein beständiges
und minimales Testintervall zu gewährleisten. Manuelles
Testen wird ausgeführt, um einen gerade ausgetauschten
Modul zu überprüfen.
Das Selbsttestsystem ist mikroprozessorgesteuert, wobei
der Mikroprozessor an einer Reihe von Softwaremoduln betrieben
wird. Die Programmorganisation ist in Fig. 5 gezeigt.
Der Hauptsoftwaremodul ist der Ausführungsmodul, die
Hauptprogrammschleife in jeder der vier redundanten Abteilungen.
Die Ausführung überprüft Nachrichten aus dem
Anlagenprozeßcomputer, anderen Abteilungen und der Analogauslösemodul
(ATM)-Steuerkarte über Verbindungsglieder
und während gewissen Betriebsperioden. Wenn ein
bestimmtes Abteilungsselbsttestsystem an die Reihe kommt,
um die Steuerung sämtlicher anderen Abteilungen zu übernehmen,
d. h. zur Hauptabteilung wird, führt ihr Ausführungsmodul
diejenigen Tests aus, die ihm zugewiesen
sind.
Die Tests, die auszuführen sind, werden gefunden, indem
ein Zähler als Index in einer Testtabelle benutzt wird.
Der Test, der sich bei diesem Index befindet, wird dann
abgerufen. Die Testausführung liefert dann eine Codekombination
zurück, die die Testergebnisse beschreibt. Bei
einem Testausfall wird die Selbsttestsystemabteilung
von der Leitung getrennt. Wenn alle Haupttests ausgeführt
worden sind, wird das Kampf-Flag gesetzt, und das
Kampf-um-Master-Programm wird aufgerufen, um den Masterstatus,
d. h. den Hauptabteilungsstatus einer anderen
Selbstteststeuereinheit (STC) zu übergeben.
Das Ablaufüberwachungsprogramm wird aufgerufen, wenn der
Ablaufüberwachungszeitgeber die Initialisierung eines
neuen Masters festlegt. Der Ablaufüberwachungszeitgeber
überprüft, ob die zugewiesene Zeit für diese Initialisierung
nicht überschritten worden ist; wenn sie überschritten
worden ist, gibt das Ablaufüberwachungsprogramm
die richtige Nachricht ist das Fehlerlogbuch ein
und springt zu einem Programm, das den Fehler anzeigt
und den Test stoppt.
Der Betrieb der Ausführungsschleife ist in dem Flußdiagramm
in den Fig. 6A und 6B gezeigt. Wenn das System
eingesetzt wird, wird eine Anfahrinitialisierung 100
ausgeführt und ein On-line- und Kampf-Flag wird gesetzt
(101). Das Programm schaut dann nach Nachrichten aus
anderen Abteilungen (102), decodiert sie und führt die notwendigen
Schritte aus (103), wenn solche Nachrichten
vorhanden sind. Die Abteilung sucht außerdem nach Nachrichten
aus dem Prozeßcomputer (104), decodiert sie und
führt die notwendigen Schritte aus, wenn sie vorhanden
sind (105). Wenn keine Nachrichten vorgefunden werden
oder wenn sämtliche Nachrichten beantwortet worden sind,
wird ein Totmannzeitgeber rückgesetzt (106), und das Ausführungsprogramm
prüft, um festzustellen, ob irgendeine
Abteilung gegenwärtig eine Hauptteilung ist (107).
Wenn die Abteilung nicht on-line ist, bleibt es in der
Ausführungsschleife und sucht nach Nachrichten aus anderen
Abteilungen (102). Wenn die Abteilung on-line ist,
dann muß ein Kampf-um-Master-Flag geprüft werden (108).
Wenn das Kampf-um-Master-Flag gesetzt ist, wird das
Kampf-um-Master-Programm aufgerufen (109) und das Kampf-um-Master-Programm
wird ausgeführt, um festzustellen,
welche der vier Abteilungen Hauptabteilung sein wird, während
die anderen Abteilungen Nebenabteilungen sein werden.
Wenn das Kampf-um-Master-Flag nicht gesetzt worden ist,
gibt es bereits eine Hauptabteilung, und das Ausführungsprogramm
prüft, um festzustellen, ob seine Abteilung eine
Hauptabteilung ist (110). Wenn seine Abteilung keine
Hauptabteilung ist, wird das Ablaufüberwachungszeitgeberflag
geprüft (111) und wird in diesem Punkt gesetzt (112).
Wenn die Abteilung eine Hauptabteilung ist, geht das Ausführungsprogramm
zu den Programmtabellen, empfängt die
Haupt- und Nebentestzahlen (113) und ruft zuerst die
Haupttests auf (114), was weiter unten erläutert ist.
Wenn die Haupttests bestanden sind (115), werden die Nebentestzahlen
inkrementiert (116). Wenn die Tests nicht bestanden
sind oder wenn es eine Zeitsperrunterbrechung
eines Ablaufüberwachungszeitgebers gibt (was anzeigt, daß
eine Abteilung hängen geblieben ist), erfolgt eine Aufzeichnung
des Fehlers in dem Fehlerlogbuch (123), eine Anzeigeeinrichtung
wird eingeschaltet, das On-line-Flag wird
rückgesetzt (122), und ein Kampf-um-Master-Flag wird
gesetzt (121).
Wenn die Nebentests erfolgreich abgeschlossen sind, wird
die Nebentestzahl rückgesetzt, die Haupttestzahl wird
umgestoßen (bumped) (117), und die Zwischenabteilungstests
werden ausgeführt (118). Wenn die Zwischenabteilungstests
bestanden sind, prüft das Ausführungsprogramm,
ob sämtliche Haupttests abgeschlossen sind (120),
und setzt, wenn dem so ist, das Kampf-um-Master-Flag
(121). Wenn dem nicht so ist, kehrt das Ausführungsprogramm
zu dem Beginn der Schleife zurück.
Wenn die Zwischenabteilungstests auszuführen sind (118),
prüft das Ausführungsprogramm eine Zwischenabteilungskonfiguration
(mehr als eine Abteilung) (119). Wenn das
System eine Konfiguration für mehrere Abteilungen hat,
wird ein Test ausgeführt, um festzustellen, ob alle Haupttests
abgeschlossen sind (120), und, wenn dem so ist, wird
das Kampf-um-Master-Flag gesetzt (121). Wenn es keine
Zwischenabteilungskonfiguration gibt (119), geht die
Systemschleife direkt zu dem Kampf-um-Master-Programm
(121) und dann zu dem Anfang der Schleife (102).
Im folgenden werden die Haupttests und die Programme erläutert,
die durch die Systemsoftware unter der Steuerung
der Ausführungsschleife ausgeführt werden. Der erste
Test ist das Selbstprüfprogramm.
Das Selbstprüfprogramm führt eine Selbstprüfung der CPU
der Selbstteststeuereinheit aus, die einen Test des Z80-Mikroprozessors,
des ROM-Speichers, des RAM-Speichers
und der Zähler/Zeitgeber-Schaltung beinhaltet. Diese
Tests werden nacheinander ausgeführt, und, falls ein Ausfall
festgestellt wird, wird der Prozessor angehalten.
Wenn alle Tests erfolgreich sind, erfolgt eine normale
Rückkehr.
Während des Selbstprüfprogramms wird eine Z80-Mikroprozessor-Prüfung
ausgeführt. Die Mikroprozessorprüfung
hat zwei Hauptkomponenten: einen Programmsteuertest und
Mustermanipulationstests. Unterbrechungen an dem Mikroprozessor
werden für diesen Test gesperrt. Wenn irgendwelche
Ausfälle im Verlauf des Tests auftreten, wird
der Mirkoprozessor angehalten.
Der Programmsteuertest gebraucht die Programmbefehle des
Z80-Befehlssatzes. Die Mustermanipulationstests beinhalten
verschiedene Paritätsprüfprozeduren.
Das RAM-Testprogramm testet den oberen Teil des RAM auf
Betriebsfähigkeit und bewegt dann den Teil der RAM-Daten,
die aufbewahrt werden müssen, zu dem oberen Teil, der
gerade getestet worden ist. Das Programm testet dann den
unteren Teil des RAM. Wenn der Test abgeschlossen ist,
wird der Teil der RAM-Daten, der aufbewahrt worden ist,
zurück an seinen ursprünglichen Platz bewegt.
Das nächste Programm ist das Selbsttestprogramm. Das
Selbsttestprogramm enthält eine Reihe von Untertests,
von denen jeder einen Teil der Selbstteststeuereinheithardware
testet. Diese Untertests werden in der unten angegebenen
Reihenfolge ausgeführt, und die Ergebnisse eines
Untertests sind erst gültig, wenn sämtliche vorangehenden
Untertests bestanden worden sind.
Während der Selbstprüf- und Selbsttestprozeduren wird
ein Ablaufüberwachungszeitgeberprogramm in jeder Abteilung
ausgeführt. Typisch wird der Ablaufüberwachungszeitgeber
benutzt, wenn eine bestimmte Abteilung ihren Test
beendet hat und dabei ist, ihren Masterstatus, d. h. ihren
Hauptabteilungsstatus an eine andere Abteilung abzugeben.
Die den Status abgebende Abteilung sendet eine Anfrage
an die zukünftige Hauptabteilung. Die zukünftige
Hauptabteilung beginnt ihre Selbsttest- und Selbstprüfprozeduren.
Die abgebende Hauptabteilung dient zur zeitlichen
Steuerung dieser Prozeduren mit Hilfe ihres Ablaufüberwachungszeitgebers,
und, wenn die Tests innerhalb
der zugeordneten Zeit ausgeführt werden, gibt die abgebende
Abteilung ihren Hauptabteilungsstatus an die zukünftige
Hauptabteilung ab. Letztere beginnt dann mit dem
Systemtesten.
Darüber hinaus hält jede Abteilung einen Totmannzeitgeber
für die Hauptabteilung aufrecht. Sollte die Hauptabteilung
ihr Reaktorschutzsystemtesten nicht in ihrer zugewiesenen
Zeitspanne ausführen, wird ein Fehler-Flag gesetzt,
und die Störung wird angezeigt. Diese Anzeige gibt
an, daß die Hauptabteilung an irgendeinem Punkt hängengeblieben
ist, aber die Tatsache an sich noch nicht angezeigt
hat.
Wenn ein Ausfall in irgendeinem der folgenden Untertests
des Selbsttestprogramms festgestellt wird, wird der Fehler
in dem Ausführungsprogramm ins Logbuch eingetragen.
Die folgenden Tests sind Teil des Selbsttests:
- 1) Zähler/Zeitgeber-Schaltungstest;
2) Test der universellen Eingabe/Ausgabe;
3) Leistungsmonitortest;
4) Kartenwähler/Monitor-Test;
5) Karte-fehlt-in-Kartei-Test;
6) Kartenadreßtest;
7) Bussicherungstest; und
8) Zeitverzögerungskartentest.
Die Testfolge, die die oben angegebenen Programme und
die einzelnen Funktionsüberwachungstestprogramme enthält,
läuft folgendermaßen ab.
Wenn eine Selbstteststeuereinheit zu einer Hauptsteuereinheit
wird, testet sie zuerst sich selbst, bevor sie
die Schutzschaltungsanordnung testet. Sie tut das in zwei
Phasen: einer Selbstprüfphase, die die CPU-Funktion, den
ROM und den RAM sowie die Hardware-Zähler/Zeitgeber-Schaltung
testet; und einer Selbsttestphase, die die
universellen E/A-Tore und die gesamte übrige Selbstteststeuer-
oder Schnittstellenschaltungsanordnung testet.
Wenn ein Problem während der Selbstprüfphase festgestellt
wird, wird die CPU angehalten, und diese Abteilung
unternimmt keine weiteren Testaktivitäten. Während dieser
Zeitspanne erreicht jedoch ein Ablaufüberwachungszeitgeber
in der Abteilung, die gerade als Hauptabteilung gedient
hat, die Zeitsperre. Wenn die neue Hauptabteilung
es nicht durch Selbstprüfung macht, trägt die abgebende
Hauptabteilung diese Tatsache in ihrem Fehlerlogbuch
ein und aktiviert die Selbstteststeuereinheitstörungsanzeigeeinrichtung.
Während dieser kritischen Phase der
Testerselbstprüfung wird daher eine andere Selbstteststeuereinheit
- insbesondere eine Selbstteststeuereinheit,
die soeben ihre Funktionstüchtigkeit dadurch festgestellt
hat, daß sie ihre eigene Abteilung erfolgreich
getestet hat - die Ablaufüberwachung des Prozesses übernehmen.
Wenn ein Problem während der Selbsttestphase auftritt,
werden Kartentyp und Lage in dem Abteilungsfehlerlogbuch
vermerkt, und eine Selbstteststeuereinheitsstörungsanzeigeeinrichtung
wird aktiviert.
Das Selbsttesten beginnt, nun ausführlicher dargelegt,
mit einem Test der Zähler/Zeitgeber-Schaltungen, die
sich auf den universellen E/A-Karten befinden. Diese
Zeitgeberschaltungen werden für Zeitsteuerfunktionen
benutzt, beispielsweise für die Ablaufüberwachungszeitgeberfunktion
und die Funktion, mittels welcher die Nebenabteilung
am Leben gehalten wird. Die Zeitgeber werden
außerdem zur Zeitsteuerung von Testimpulsintervallen
und Tastverhältnissen benutzt; wenn eine Abteilung
mit einer anderen Abteilung in Verbindung tritt, wird
ein Zähler gestartet, und ein Zeitgeber wird gestartet,
wenn diese andere Abteilung nicht antwortet.
Nachdem die Zeitgeber alle gebraucht worden sind und
festgestellt worden ist, daß sie richtig arbeiten,
wird der Test der universellen E/A-Karten ausgeführt.
In dieser besonderen Ausführungsform werden sechs universelle
E/A-Karten getestet. Es gibt grundsätzlich
drei Arten von E/A-Kartentests: den Ruhezustandstest,
in welchem sämtliche Ausgabepunkte gesperrt werden, um
sicherzustellen, daß die Eingabetore auf einem geeigneten
Signalwert sind; den Dreizustandsisolationstest, in
welchem festgestellt wird, ob die Ausgabeschaltungsanordnung
der Karte abgeschaltet wird, wenn das Kommando
zum Abschalten derselben gegeben wird; und den Durchlauftest,
in welchem sämtliche Nullen in die Eingabetore
der universellen E/A-Karten eingeschrieben werden
und das System prüft, um sicherzustellen, daß sämtliche
Nullen über die Ausgabetore zurückgegeben werden.
Der Durchlauftest wird dann mit allen Einsen ausgeführt,
und das System prüft, ob alle Einsen wieder
zurückgeschrieben werden; der Test wird außerdem mit
abwechselnden Einsen und Nullen ausgeführt, um sicherzustellen,
daß dieselbe abwechselnde Folge zurückgeschrieben
wird. Der Durchlauftest überprüft, ob es
nicht Kurzschlüsse oder gebrochene Eingabe- oder Ausgabetore
gibt.
Der nächste Test ist der Leistungsmonitortest, der die
Daten in den Registern auf den Leistungsmonitorkarten
(nicht dargestellt) wieder auffindet. Dieser Test überprüft,
ob die Leistungsmonitorkarten den Status jeder
der Stromversorgungen im richtigen Format berichten.
Der Kartenwählmonitortest macht eine Inventur der Kartenwählmonitorkarten,
wie oben erläutert. Im Anschluß an
diesen Test wird der "Karte fehlt in Kartei"-Test ausgeführt,
der sicherstellt, daß ein richtiges Echo aus jedem
Kartenwählmonitor zurückkommt.
Der nächste Test ist der Kartenadreßtest, der überprüft,
ob die Kartenwählmonitorkarten in ihren richtigen Karteien
und in den richtigen Schlitzen dieser Karteien
sind. Darüber hinaus prüft dieser Test die Adresse des
Kartenwählmonitors.
Der Bussicherungstest prüft die Bussicherungen in jedem
System, um zu gewährleisten, daß, wenn die Karte alle
Spannungen benutzt, die notwendig sind, um das Selbsttestsystem
STS zu beobachten, eine richtige Ablesung
gemacht wird. Wenn ein unstimmiges Ergebnis erhalten
wird, ist ein Sicherungsausfall anzunehmen.
Der letzte Test ist der Zeitverzögerungskartentest. Dieser
Test stellt fest, ob jede Zeitverzögerung in dem
Selbsttestsystem innerhalb der Spezifikationen ist.
Im Anschluß an die Selbstprüf- und Selbsttestphasen ist
die Selbstteststeuereinheit bereit, Tests an der tatsächlichen
Schutzschaltungsanordnung auszuführen. Diese
Tests beinhalten insgesamt zwei allgemeine Tests:
Systemtests (Fig. 7 und 8) und Zwischenabteilungstests.
Beim Systemtesten wird jedes Hauptreaktorschutzsystem
in eine Anzahl von Untersystemen aufgeteilt und gesondert
getestet, und zwar mit richtiger Überlappung, so
daß es keine ungetesteten "Inseln" innerhalb der Abteilung
gibt. Jeder Ausfall, der festgestellt wird, bringt
die Testfolge zum Anhalten, und ein Störungsisolierprogramm
wird automatisch eingeleitet. Das Störungsisolierprogramm
dient dem Zweck, einen einzelnen Kartenfehler
oder eine Karte mit einem zugeordneten Eingangssignalwegfehler
aufzufinden. Das Programm kann zwischen beiden
unterscheiden. Nach dem Auffinden werden Lokalisierungsfehler
in dem Fehlerlogbuch vermerkt, das Sicherheitssystem
in der Abteilung, in welcher der Fehler aufgetreten
ist, wird angezeigt, und eine Fehleranzeigeeinrichtung
wird aktiviert.
Am Beginn eines Systemtests (200) (Fig. 7) wird der Systemzeiger
auf eine Systemkartentabelle und eine Systemmustertabelle
zu einer "1" initialisiert. Eine Eintragung
in der Systemkartentabelle wird gelesen (202), und der
Test wird ausgeführt, um festzustellen, ob das Ende der
Systemkartentabelle erreicht worden ist (203). Wenn das
Ende der Systemkartentabelle nicht erreicht worden ist,
stellt das System fest, ob die Karte eine Einführkarte
oder eine Monitorkarte ist (204). Eine Monitorkarte gibt
keine Daten in das Reaktorschutzsystem RPS ein. Der Zeiger
in der Systemkartentabelle wird inkrementiert (210),
und das System schleift zurück zum Lesen der Kartentabelle
(202). Wenn das Ende der Kartentabelle erreicht
ist (203), dann werden alle Einführkarten, die mit Einführmustern
geladen sind, aufgerufen (205).
Das Einführmuster wird aus den einzelnen Kartentabellen
erhalten (207), und die Einführbits werden aus der Systemmustertabelle
und dem Inkrementzeiger erhalten (208).
Das Programm ruft dann ein Programm auf, das die Einführbits
in die Karten (209). Der Zeiger und die
Systemkartentabelle werden dann inkrementiert (210).
Weil die Testfolge das Ende der Systemkartentabelle erreicht
hat (203), kehrt das System zu dem nächsten Hauptprogramm
(206) zurück, wenn der gegenwärtige Test beendet
ist.
Wenn das Ende der Systemkartentabelle noch nicht erreicht
(203) und die Karte eine Eingabekarte (204) ist,
wird das Programm zum Gewinnen der Einführmuster und
-bits und zum Ausführen des Einführens (207 bis 208)
aufgerufen.
Die Zwischenabteilungstests werden auf sehr ähnliche Weise
ausgeführt, mit der Ausnahme, daß sie das Aussenden
von Testsignalen über Abteilungsgrenzen beinhalten, um
die elektrischen optischen Isolatoren und die zugeordnete
Schaltungsanordnung zwischen den Abteilungen zu prüfen.
Die Zeitsteuerung ist bei diesem Betrieb kritisch,
weshalb ein geeignetes Quittungssignal zwischen den Abteilungen
vorgesehen ist, um das Problem zu minimieren.
Alle Information darüber, welche Karten einzuführen sind
und welche Testmuster zu benutzen sind, wird aus der Datenbasis
der Abteilung gewonnen, die den Zwischenabteilungstest
eingeleitet hat. Die Verbindung geht über die
seriellen E/A-Karten der Abteilung.
An dieser Stelle sei angemerkt, daß viele der Reaktorschutzsystemtests
redundant sind. Ein kritischer Test
könnte die Funktionskarten von sämtlichen vier Abteilungen
beinhalten. Zum Ausführen eines solchen Tests
werden die Karten in der Hauptabteilung wie oben angegeben
konfiguriert. Die Karten in der Nebenabteilung
werden gemäß den Daten konfiguriert, die aus der seriellen
E/A der Hauptabteilung zu jeder gewählten Nebenabteilung
gesendet werden. Alle Nebenabteilungen, die mit
der Hauptabteilung während eines besonderen Tests zusammenarbeiten,
benutzen die Hauptabteilungsdaten und können
deshalb nicht irgendwelche Fehler hervorrufen, die
auf fehlerhaften oder widersprechenden Daten basieren,
welche sie selbst erzeugt haben.
Ein Reaktorschutzsystemfehlerprüfprogramm ist in dem
Flußdiagramm in Fig. 8 gezeigt. Bei dem Start des Programms
(300) werden die Zeiger zu der Systemkartentabelle
und der Systemmustertabelle initialisiert (301).
Eine Eintragung in der Systemkartentabelle wird gelesen
(302) und, wenn das Ende der Tabelle angetroffen
wird (303), kehrt das Programm zu dem Hauptprogramm zurück,
was anzeigt, daß kein Systemfehler vorliegt (304).
Wenn das Ende der Tabelle nicht angetroffen wird (303),
stellt das System fest, ob die Karte eine Systemfehlerkarte
ist (305). Wenn die Karte keine Systemfehlerkarte
ist, wird der Zeiger in der Systemkartentabelle inkrementiert
(306), und die Schleife wird fortgesetzt
(302). Wenn die Karte eine Systemfehlerkarte ist, wird
die Länge des Monitorbitmusters aus der individuellen
Kartentabelle entnommen (307). Die Monitordaten werden
aus der Funktionskartenhardware gewonnen (308); die Monitorbits
werden aus der Systemmustertabelle gewonnen
(309). Der Zeiger wird an diesem Punkt inkrementiert.
Die aus einem Test gewonnenen Daten werden mit den Daten
in den Tabellen verglichen (310). Wenn der Test erfolgreich
ist, wird der Zeiger inkrementiert (306) und
die Schleife fortgesetzt. Wenn der Datenvergleich einen
Ausfall oder einen Systemfehler anzeigt, kehrt das Testprogramm
zu dem Hauptprogramm zurück und zeigt einen
Systemfehler an (311).
Bei dem Zwischenabteilungstesten werden Fehlerberichte
und Fehleraufzeichnungen auf die gleiche Weise wie bei
den Systemtests gehandhabt, mit der Ausnahme, daß von
Haus aus eine Zweideutigkeit vorhanden ist. Typisch werden
Zwischenabteilungsfehler durch optisch gekoppelte
Isolatoren verursacht, in welchem Fall das Selbsttestsystem
nicht in der Lage ist, zu unterscheiden, ob der
Eingangs- oder der Ausgangsisolator gestört ist. Beide
Möglichkeiten werden dem Testpersonal über das Diagnoseterminal
berichtet.
Wenn Störungen weder bei dem Systemtests noch bei den
Zwischenabteilungstests angetroffen werden, leitet die
abgebende Hauptabteilung einen "Kampf um den Master"
unter den anderen drei Abteilungen ein. Unter normalen Bedingungen
gewinnt die nächste Abteilung in der numerischen
Reihenfolge den Kampf und wird zu nächsten Hauptabteilung,
wodurch die anderen Abteilungen den Nebenabteilungsstatus
erhalten.
Die Selbstteststeuereinheitsfirmware besteht aus Softwaremoduln,
die jeweils einen anderen Funktionszweck haben.
Daten werden zwischen den Moduln in Form von direkten
Parametern und von System-Flags und Tabellen übertragen.
Alle Information, die sich auf besondere Tests
bezieht, ist in einer tabellenorientierten Datenbasis
enthalten. Die Selbsttestsystem- und Zwischentesthandhabungseinrichtungen
sind hauptsächlich zergliedernde
Interpreter, die die Datenbasis lesen und bestimmen, welche
Tests auszuführen sind und wie sie auszuführen sind.
Der Zweck des Systemtests besteht darin, einen Diagnosetest
von sämtlichen Karten durchzuführen, die eine Sicherheitsschaltungsanordnung
enthalten. Die grundsätzliche
Philosophie, die dem Systemtest zugrunde liegt, besteht
darin, einen Test von Ende zu Ende für jedes ankommende
und die Abteilung verlassende Signal auszuführen. Beispielsweise
werden zum Erzeugen eines besonderen Ausgangssignals
alle Eingangsstimuli, die das Signal bewirken,
eingegeben, und die Antwort wird überwacht. Die
Prozedur wird mit anderen Testvektoren so oft wie nötig
wiederholt, um sich über das korrekte Arbeiten der Schaltung
Gewißheit zu verschaffen. Wenn ein Ausfall erkannt
wird, isoliert das Programm die fehlerhafte Karte oder
den fehlerhaften Signalweg. Das erfolgt durch individuelles
Testen von sämtlichen Karten in dem System. Wenn dieser
Test bestanden wird, liegt der Fehler nicht in einer
Karte, sondern in einem Signalweg zwischen den Karten.
Um festzustellen, wo der Fehler liegt, werden alle Vorgängerkarten
der Systemausgangskarte, die eine Störung
anzeigt, der Reihe nach geprüft.
Wegen der Wichtigkeit der Sicherheitsfunktionen, die das
Kernreaktorschutzsystem erfüllt, müssen jedwede Auswirkungen
auf dieses durch das Selbsttestsystem entweder unter
normalen Betriebsbedingungen oder unter Hardwareausfallbedingungen
minimiert werden. Um eine maximal mögliche
Trennung des Selbsttestsystems von dem Kernreaktorschutzsystem
(vor allem der Schaltungsanordnung) zu gewährleisten,
werden die folgenden Schritte ausgeführt:
- 1) Die Selbsttestcomputer werden aus ihren eigenen Stromquellen gespeist. Sie sind getrennt von dem Funktionsschaltungen untergebracht, und mindestens ein Abstand von 25,4 mm (1 inch) zwischen der Funktions- und der Computerverdrahtung wird aufrechterhalten;
- 2) die Verbindung zwischen den Abteilungstafeln erfolgt über optisch gekoppelte Isolatoren, wobei 25,4-mm(1 inch)-Quarzstäbe für eine mechanische Trennung sorgen; und
- 3) eingegebene Impulse werden kapazitiv eingekoppelt, um Änderungen in den statischen Spannungswerten zu minimieren. Impedanzen zwischen den Selbsttestschaltungen und den Funktionsschaltungen werden groß gehalten, so daß eine Störung in ersteren nicht die letzteren beeinflussen kann.
Claims (9)
1. Testeinrichtung zum Überprüfen der Funktionsfähigkeit eines
Steuerschleifen enthaltenden Kernreaktorschutzsystems,
bei der eine Reihe von Testmustern erzeugt wird, mit Selbsttestelementen,
die Testmuster speichern können,
mit einer Überwachungs- und Vergleichseinrichtung, die mit
den Selbsttestelementen zum Vergleichen von Ist-Testergebnissen
mit Soll-Testergebnissen verbunden ist, und mit
einer mit der Überwachungs- und Vergleichseinrichtung verbundenen
Anzeigeeinrichtung zum Anzeigen von Unterschieden
zwischen den Soll- und Ist-Testergebnissen,
dadurch gekennzeichnet, daß
- - ein Mikroprozessor (14) die Testmuster erzeugt und die entsprechenden Soll-Testergebnisse enthält,
- - die Selbsttestelemente (60) mit dem Mikroprozessor (14) verbunden sind, die Testmuster empfangen und die entsprechenden Ist-Testergebnisse aus dem Kernreaktorschutzsystem empfangen und speichern können,
- - eine Wähleinrichtung (50, 54) auf Befehle aus dem Mikroprozessor (14) hin unter dem Selbsttestelementen (60) diejenigen auswählt, die den Testmustern entsprechen, und
- - Testimpulsgeber, die auf Befehle aus dem Mikroprozessor (14) hin Testimpulse in die elektronischen Betätigungselemente der Steuerschleifen durch die Selbsttestelemente (60) einführen, wobei die Testimpulse im Vergleich zur Ansprechzeit des Kernreaktorschutzsystems keine nennenswerte Dauer aufweisen und lediglich so kurz sind, daß sie eine Überprüfung des Durchgangs durch die elektronischen Betätigungselemente ermöglichen.
2. Testeinrichtung nach Anspruch 1,
gekennzeichnet durch
eine Einrichtung zum Lokalisieren des Ursprungs
der Unterschiede zwischen den Ist- und Soll-Testergebnissen
in dem Kernreaktorschutzsystem.
3. Testeinrichtung nach Anspruch 2,
dadurch gekennzeichnet,
daß die Anzeigeeinrichtung (43) die Lage des
Ursprungs der Unterschiede anzeigt.
4. Testeinrichtung nach einem der Ansprüche 1 bis 3,
dadurch gekennzeichnet,
daß die Adressiereinrichtung (50, 54) zum Auswählen
unter den Selbsttestelementen einen Decoder
(50) enthält, der eine Eingabe/Ausgabe-Karte (22-27)
aufweist, die ein prozessorgesteuertes Eingabetor (52)
und ein prozessorgesteuertes Ausgabetor (53) enthält,
die beide mit den Selbsttestelementen (60)
verbunden sind.
5. Testeinrichtung nach Anspruch 4,
dadurch gekennzeichnet,
daß der Decoder (50) mit einem Kartenwählmonitor
(54) versehen ist.
6. Testeinrichtung nach einem der Ansprüche 1 bis 5,
dadurch gekennzeichnet,
daß die Selbsttestelemente (60) mehrere Schutzfunktionskarten
umfassen.
7. Testeinrichtung nach einem der Ansprüche 1 bis 6,
gekennzeichnet durch
eine Selbstprüfeinrichtung zum Testen des Betriebes
des Mikroprozessors (14).
8. Testeinrichtung nach einem der Ansprüche 1 bis 7,
gekennzeichnet durch
eine Selbsttesteinrichtung zum Testen des Betriebes
der Testeinrichtung.
9. Testeinrichtung nach Anspruch 1,
dadurch gekennzeichnet, daß die
Testmuster während des Betriebs des Kernreaktor-Schutzsystems
kontinuierlich laufen und über Betriebsteile
des Kernreaktorschutzsystems übertragen werden, ohne
daß dieses anspricht und seine Schutzfunktion gestört
ist.
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US06/402,053 US4517154A (en) | 1982-07-27 | 1982-07-27 | Self-test subsystem for nuclear reactor protection system |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| DE3322509A1 DE3322509A1 (de) | 1984-02-02 |
| DE3322509C2 true DE3322509C2 (de) | 1989-04-20 |
Family
ID=23590322
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| DE3322509A Granted DE3322509A1 (de) | 1982-07-27 | 1983-06-23 | Selbsttestuntersystem und -verfahren fuer ein kernreaktorschutzsystem |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US4517154A (de) |
| JP (1) | JPS5951393A (de) |
| KR (1) | KR840005596A (de) |
| DE (1) | DE3322509A1 (de) |
| ES (1) | ES524448A0 (de) |
| IT (1) | IT1170171B (de) |
| SE (1) | SE456196B (de) |
Families Citing this family (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPS6086644A (ja) * | 1983-10-17 | 1985-05-16 | Sanyo Electric Co Ltd | 制御基板のチエツク方式 |
| JPS60204052A (ja) * | 1984-03-28 | 1985-10-15 | Fanuc Ltd | 入出力ボ−ドのアドレス選択方式 |
| US4654806A (en) * | 1984-03-30 | 1987-03-31 | Westinghouse Electric Corp. | Method and apparatus for monitoring transformers |
| US4687623A (en) * | 1985-10-31 | 1987-08-18 | Westinghouse Electric Corp. | Self-compensating voted logic power interface with tester |
| US5005142A (en) * | 1987-01-30 | 1991-04-02 | Westinghouse Electric Corp. | Smart sensor system for diagnostic monitoring |
| US4783307A (en) * | 1987-03-05 | 1988-11-08 | Commonwealth Edison Company | Reactor control system verification |
| JPH0731537B2 (ja) * | 1987-09-11 | 1995-04-10 | 株式会社日立製作所 | 多重化制御装置 |
| US5287264A (en) * | 1988-08-05 | 1994-02-15 | Hitachi, Ltd. | Multicontroller apparatus, multicontroller system, nuclear reactor protection system, inverter control system and diagnostic device |
| JPH0288113U (de) * | 1988-12-26 | 1990-07-12 | ||
| US5485572A (en) * | 1994-04-26 | 1996-01-16 | Unisys Corporation | Response stack state validation check |
| US6259969B1 (en) * | 1997-06-04 | 2001-07-10 | Nativeminds, Inc. | System and method for automatically verifying the performance of a virtual robot |
| FI116587B (fi) * | 1997-10-17 | 2005-12-30 | Metso Automation Oy | Menetelmä ja laitteisto turvalaitteen toimintakunnon todentamiseksi |
| US6385739B1 (en) * | 1999-07-19 | 2002-05-07 | Tivo Inc. | Self-test electronic assembly and test system |
| US6460009B1 (en) * | 2000-02-28 | 2002-10-01 | John C Rowland | Time delay measurement for response system |
| JP4371856B2 (ja) * | 2004-03-04 | 2009-11-25 | 株式会社東芝 | 安全保護計装システムおよびその取扱方法 |
| US7437200B2 (en) * | 2004-06-18 | 2008-10-14 | General Electric Company | Software based control system for nuclear reactor standby liquid control (SLC) logic processor |
| EP1993014B1 (de) * | 2007-05-16 | 2011-06-29 | Siemens Aktiengesellschaft | Verfahren zum Lokalisieren von defekten Hardwarekomponenten und/oder Systemfehlern innerhalb einer Produktionsanlage |
| CN101819823B (zh) * | 2009-02-27 | 2012-07-04 | 中广核工程有限公司 | 一种核电站电子挂牌系统 |
| US11398318B2 (en) * | 2017-06-02 | 2022-07-26 | Kepco Engineering & Construction Company, Inc. | Apparatus and method of evaluating response time of nuclear plant protection system |
| CN107992451B (zh) * | 2017-11-24 | 2021-04-13 | 中核控制系统工程有限公司 | 一种反应堆保护系统拒动概率计算方法 |
| CN114694859B (zh) * | 2020-12-30 | 2025-03-14 | 中核控制系统工程有限公司 | 堆外核测系统脉冲信号倍增周期测试系统 |
| CN119338103A (zh) * | 2024-09-06 | 2025-01-21 | 深圳中广核工程设计有限公司 | 核电厂金属承压设备结构完整性分级方法与安全评估方法、相关装置 |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US4055801A (en) * | 1970-08-18 | 1977-10-25 | Pike Harold L | Automatic electronic test equipment and method |
| US3733587A (en) * | 1971-05-10 | 1973-05-15 | Westinghouse Electric Corp | Universal buffer interface for computer controlled test systems |
| US4330367A (en) * | 1973-05-22 | 1982-05-18 | Combustion Engineering, Inc. | System and process for the control of a nuclear power system |
| US4080251A (en) * | 1973-05-22 | 1978-03-21 | Combustion Engineering, Inc. | Apparatus and method for controlling a nuclear reactor |
| US4318778A (en) * | 1973-05-22 | 1982-03-09 | Combustion Engineering, Inc. | Method and apparatus for controlling a nuclear reactor |
| US3979256A (en) * | 1975-03-04 | 1976-09-07 | The United States Of America As Represented By The United States Energy Research And Development Administration | Monitoring circuit for reactor safety systems |
| US4298955A (en) * | 1976-04-01 | 1981-11-03 | The Insurance Technical Bureau | Method of and apparatus for the detection and analysis of hazards |
| US4292129A (en) * | 1979-02-14 | 1981-09-29 | Westinghouse Electric Corp. | Monitoring of operating processes |
| GB2063021B (en) * | 1979-09-12 | 1984-02-08 | Atomic Energy Authority Uk | Monitoring apparatus |
| US4354268A (en) * | 1980-04-03 | 1982-10-12 | Santek, Inc. | Intelligent test head for automatic test system |
-
1982
- 1982-07-27 US US06/402,053 patent/US4517154A/en not_active Expired - Fee Related
-
1983
- 1983-06-23 DE DE3322509A patent/DE3322509A1/de active Granted
- 1983-07-22 IT IT8322191A patent/IT1170171B/it active
- 1983-07-26 ES ES524448A patent/ES524448A0/es active Granted
- 1983-07-27 KR KR1019830003488A patent/KR840005596A/ko not_active Ceased
- 1983-07-27 JP JP58135983A patent/JPS5951393A/ja active Pending
- 1983-07-27 SE SE8304170A patent/SE456196B/sv not_active IP Right Cessation
Also Published As
| Publication number | Publication date |
|---|---|
| IT8322191A1 (it) | 1985-01-22 |
| ES8600556A1 (es) | 1985-10-01 |
| SE456196B (sv) | 1988-09-12 |
| SE8304170L (sv) | 1984-01-28 |
| JPS5951393A (ja) | 1984-03-24 |
| IT1170171B (it) | 1987-06-03 |
| KR840005596A (ko) | 1984-11-14 |
| DE3322509A1 (de) | 1984-02-02 |
| SE8304170D0 (sv) | 1983-07-27 |
| ES524448A0 (es) | 1985-10-01 |
| IT8322191A0 (it) | 1983-07-22 |
| US4517154A (en) | 1985-05-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| DE3322509C2 (de) | ||
| EP0038947B1 (de) | Programmierbare logische Anordnung | |
| DE69706245T2 (de) | Lokalisierung eines fehlerhaften Moduls in einem fehlertoleranten Rechnersystem | |
| DE2400161C2 (de) | ||
| DE2735397C2 (de) | Überwachungseinrichtung für eine programmgesteuerte Maschine | |
| DE69809939T2 (de) | Sicherheits- oder schutzsystem mit gespiegeltem speicher und/oder diversen prozessoren und übertragungen | |
| DE2741886A1 (de) | Datenuebertragungseinrichtung | |
| DE2225841C3 (de) | Verfahren und Anordnung zur systematischen Fehlerprüfung eines monolithischen Halbleiterspeichers | |
| DE3702408C2 (de) | ||
| DE2726753A1 (de) | Interface-adapter | |
| DE102011112174B4 (de) | Vorrichtung und Verfahren zum Schutz und zur zerstörungsfreien Prüfung sicherheitsrelevanter Register | |
| DE2048670A1 (de) | Speicherwartungsanordnung fur Daten verarbeitungsanlagen | |
| DE1524175A1 (de) | Pruefeinrichtung in elektronischen Datenverarbeitungsanlagen | |
| DE2550342A1 (de) | Matrixanordnung von logischen schaltungen | |
| DE2715029C3 (de) | Schaltungsanordnung zur Diagnose oder Prüfung von funktionellen Hardware-Fehlern in einer digitalen EDV-Anlage | |
| DE3344320A1 (de) | Universelle karte fuer ein kernreaktorschutzsystem | |
| EP0602480A1 (de) | Verfahren zur systemgeführten Entstörung von Einrichtungen in Kommunikationssystemen | |
| DE4302908C2 (de) | Verfahren zur Ermittlung kritischer Fehler insbesondere für ein Kommunikationssystem und eine nach diesem Verfahren arbeitende Schaltungsanordnung | |
| DE3325362A1 (de) | Selbsttestende anordnung zum erzeugen von zeitverzoegerungen | |
| EP3839683B1 (de) | System mit selbstprüffunktion und verfahren zum verifizieren der selbstprüffunktion eines systems | |
| EP0248269B1 (de) | Verfahren zur Simulation eines Unterbrechungsfehlers in einer Logikschaltung mit Feldeffekttransistoren und Anordnungen zur Durchführung des Verfahrens | |
| DE3502387C2 (de) | ||
| EP0404992B1 (de) | Verfahren zum hochverfügbaren Betrieb von redundanten Datenverarbeitungsanlagen | |
| EP0037965A2 (de) | Einrichtung zum Prüfen einer digitalen Schaltung mittels in diese Schaltung eingebauter Prüfschaltungen | |
| DE2715983C2 (de) | Schaltungsanordnung in einem Digitalrechner zur Überwachung und Prüfung des ordnungsgemäßen Betriebs des Digitalrechners |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| OP8 | Request for examination as to paragraph 44 patent law | ||
| D2 | Grant after examination | ||
| 8364 | No opposition during term of opposition | ||
| 8328 | Change in the person/name/address of the agent |
Free format text: VOIGT, R., DIPL.-ING., PAT.-ANW., 6232 BAD SODEN |
|
| 8339 | Ceased/non-payment of the annual fee |