DE2316434A1 - Pruefanordnung zur ueberpruefung der arbeitsweise einer logikschaltung - Google Patents

Pruefanordnung zur ueberpruefung der arbeitsweise einer logikschaltung

Info

Publication number
DE2316434A1
DE2316434A1 DE2316434A DE2316434A DE2316434A1 DE 2316434 A1 DE2316434 A1 DE 2316434A1 DE 2316434 A DE2316434 A DE 2316434A DE 2316434 A DE2316434 A DE 2316434A DE 2316434 A1 DE2316434 A1 DE 2316434A1
Authority
DE
Germany
Prior art keywords
logic
function
test
reference signal
inputs
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE2316434A
Other languages
English (en)
Inventor
James A Neuner
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
CBS Corp
Original Assignee
Westinghouse Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Westinghouse Electric Corp filed Critical Westinghouse Electric Corp
Publication of DE2316434A1 publication Critical patent/DE2316434A1/de
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G01MEASURING; TESTING
    • G01RMEASURING ELECTRIC VARIABLES; MEASURING MAGNETIC VARIABLES
    • G01R31/00Arrangements for testing electric properties; Arrangements for locating electric faults; Arrangements for electrical testing characterised by what is being tested not provided for elsewhere
    • G01R31/28Testing of electronic circuits, e.g. by signal tracer
    • G01R31/317Testing of digital circuits
    • G01R31/3181Functional testing
    • G01R31/319Tester hardware, i.e. output processing circuits
    • G01R31/3193Tester hardware, i.e. output processing circuits with comparison between actual response and known fault free response
    • GPHYSICS
    • G21NUCLEAR PHYSICS; NUCLEAR ENGINEERING
    • G21CNUCLEAR REACTORS
    • G21C17/00Monitoring; Testing ; Maintaining
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02EREDUCTION OF GREENHOUSE GAS [GHG] EMISSIONS, RELATED TO ENERGY GENERATION, TRANSMISSION OR DISTRIBUTION
    • Y02E30/00Energy generation of nuclear origin
    • Y02E30/30Nuclear fission reactors

Landscapes

  • Physics & Mathematics (AREA)
  • Engineering & Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Plasma & Fusion (AREA)
  • High Energy & Nuclear Physics (AREA)
  • General Physics & Mathematics (AREA)
  • Monitoring And Testing Of Nuclear Reactors (AREA)
  • Tests Of Electronic Circuits (AREA)
  • Test And Diagnosis Of Digital Computers (AREA)
  • Testing And Monitoring For Control Systems (AREA)

Description

DIPL.-ING. KlAUS NEUBECKER
Patentanwalt
4 Düsseldorf 1 ■ Schadowpiatz 9
Düsseldorf, 30. März 1973
Westinghouse Electric Corporation
Pittsburgh, Pa., V. St. A.
Prüfanordnung zur überprüfung der Arbeitsweise einer Logikschaltung
Die vorliegende Erfindung bezieht sich allgemein auf Schutz- und Sicherheits-Logiksysteme und insbesondere auf eine programmierbare Prüfanordnung zur Untersuchung der einwandfreien Arbeitsweise solcher Systeme.
Um sicherzustellen, daß eine Kernkraftanlage auch beim Auftreten von Fehlern in einem sicheren Arbeitszustand bleibt, müssen alle Kernkraftwerke in irgendeiner Form mit einem Schutz-und Sicherheitssystem ausgerüstet sein, das den gesetzlich festgelegten Kriterien für das Auftreten einzelner Störungen genügt.
Die üblichste Form, dieses hohe Maß an Zuverlässigkeit zu erzielenj besteht darin, zwei Logikketten aufzubauen, die identische Signale erhalten und die gleichen Logikfunktionen erzeugen. Jede Logikkette enthält eine Mehrzahl von Logikschaltungen zur Bildung unterschiedlicher Logikfunktionen, die Eingangssignale von den
309341/1097
Telefon (0211) 32 08 58 Telegramme Custopat
„ O B9
verschiedenen überwachungsfühlern empfangen,, die innerhalb des Reaktors und um diesen herum angeordnet sind und unter fehlerhaften Bedingungen bei Bedarf.ein Betätigungssignal liefern, sodaß die Reaktor-Schutz- und Sicherheitsmechanismen wie die.Sperrstäbe, Behältersprühmitte1, Sicherheits-Einspritzsysteme, Diesel-Notaggregate etc. aktiviert werden, die dazu dienen,, einem solchen Störzustand zu steuern. Da mehrere Reaktorfühler dieselbe Größe oder aber eine damit in Zusammenhang stehende Größe überwachen«. erfordern diese Logikfunktionen eine vorgegebene Anzahl von Fühler-Eingangssignalen für die Anzeige eines Fehlzustandes, ehe die Betätigungsmechanismen aktiviert werden» Jede gesonderte Logikkette kann eine erforderliche Auslösung unabhängig von der redundanten Kette steuern. Die beiden Logikketten sind vollständig voneinander isoliert,, und zwar sowohl elektrisch als auch körpeitich, um zu gewährleisten? daß nicht möglicherweise durch eine einzelne Störung beide Ketten gleichzeitig beschädigt werden. Jedoch müssen die logischen Funktionen innerhalb der einzelnen Ketten periodisch überprüft werden, um die Möglichkeit auf einem Minimum zu halten,daβ identische, koinzidente, unbemerkte Fehler in den einzelnen Systemen auftreten können, die dann zu dem möglichen Verlust einer speziellen logischen Funktion führen würden.
Bei den zur Zeit im Einsatz befindlichen elektromechanischen Schutz- und Sicherheits-Logiksystemen erfolgt die erforderliche Überprüfung manuell. Es wird dabei mit einem großen Wählschalter
309841/1097
gearbeitet, der Druckknöpfe mit den verschiedenen Eingangssignalen der zu untersuchenden logischen Funktion verbindet. Ein Voltmeter oder ein Schreiber zeigt dem Reaktoranlagen-Operator die Arbeitsweise der unter Spannung stehenden Spulen zwischen den Betätigungsmechanismen an. Häufig werden Lampen verwendet, um die Ausgänge der Sicherheits-Logikfunktion zu überwachen. Alle notwendigen Kombinationen und Folgen werden von dem Operator unter Beobachtung des Voltmeters oder Papierschreibers und der Anzeigelampen durchgeführt. Die sich daraus ergebende verhältnismäßig lange Dauer der Prüfsignale kann eine unerwünschte Betätigung der Ausgangsvorrichtungen auslösen, so daß Umgehungs-Trennschalter
werden *
wirksam gemacht/müssen, um die Betätigungsmechanismen vorübergehend abzutrennen,und eine Gesamtprüfung des Systems, die alle möglichen Kombinationen und Permutationen der Eingangssignale der Logikfunktionen umfaßt, wird oft abgekürzt.
Das sich ergebende Prüfverfahren ist zeitraubend und stellt daher einen teuren Arbeitsvorgang dar. Die Pause zwischen Prüfungen wird insofern häufig so lang wie möglich gewählt, wodurch jedoch andererseits die Zuverlässigkeit herabgesetzt wird, weil die Wahrscheinlichkeit eines koinzidenten Ausfalls identischer Bauteile in den Logikketten zunimmt. Um die Prüfzeit auf ein Minimum herabzusetzen, werden normalerweise nur Kombinationen und Folgen überprüft, die eine Auslösung hervorrufen könnten. Hingegen werden diejenigen Kombinationen und Folgen, die keine Auslösung hervorrufen sollen, normalerweise aus dem PrüfVorgang eliminiert, so
309841/1097
daß diese Punktionen möglicherweise mit einem Fehler behaftet werden können. Hinzu kommt, daß der Operator infolge der zahl- ' . reichen logischen Funktionen, die überprüft* werden müssen, leicht verwirrt werden kann, so daß es zu einer unvollständigen Prüfung des Systems oder aber auch zu einem unerwünschten Auslösevorgang kommt.
Aufgabe vorliegender Erfindung ist daher die Schaffung einer Prüfanordnung, die bei erhöhter Zuverlässigkeit und auf ein Minimum reduzierten Kosten eine einfache, eindeutige, schnelle, vollständige und zuverlässige Prüfung jeder Logikfunktion innerhalb des Schutz- und Sicherheits-Logiksysteras ermöglicht, um ein sicheres Arbeiten einer Kernkraftanlage zu gewährleisten.
Zur Lösung dieser Aufgabe ist eine Prüfanordnung zur überprüfung der Arbeitsweise einer Logikschaltung, die so angeschlossen ist, daß sie eine vorgegebene Logikfunktion durchführt, indem η .Eingänge der Logikschaltung ausgewählt werden, wobei η eine vorgegebene ganze Zahl ist, die ferner so arbeitet, daß sie ein Ausgangssignal mit einem ersten Zustand abgibt, wenn mindestens m der η Eingänge den ersten Zustand für die spezielle zu prüfende Logikfunktion annehmen, wobei m eine vorgegebene ganze Zahl kleiner als oder gleich η ist, und eine Referenzsignal-Erzeugungseinrichtung zur Abgabe eines Referenz-Eingangssignals an die η Eingänge der Logikschaltungsfunktion aufweist sowie eine mit der Signal-Erzeugungseinrichtung verbundene Logikeinheit zur Simulierung der Logikfunk-
'30 9841/1097
tion, die korrespondierende Eingänge von der Referenzsignal-Erzeugungseinrichtung hat und unter Erzeugung eines logischen Referenzsignals auf das Referenzeingangssignal anspricht, und eine Koinzidenzdetektoreinrichtung, die so angeschlossen ist, daß sie den Ausgang der Logikschaltung mit dem Logik-Referenzsignal der Logikeinheit für die Simulierung der Logikfunktion vergleicht und beim Auftreten einer Differenz ein Alarmsignal abgibt, erfindungsgemäß gekennzeichnet durch eine Wählschaltereinrichtung, die so angeschlossen ist,,daß sie einerseits die Referenzsignal-Erzeugungseinrichtung so programmiert, daß eine η korrespondierende Anzahl Referenz-Eingangssignale an die zu prüfende Logikschaltungsfunktion geliefert wird, und daß sis andererseits die Logikeinheit für die Simulierung der Logikfunktion so programmiert, daß das Logik-Referenzsignal erzeugt wird, das für die spezielle Logikfunktion einer Mehrzahl Logikschaltungen gewünscht wird, die so verbunden sind, daß sie jede unter einer Mehrzahl verschiedener zu prüfender Logikfunktionen durchführen.
Die Erfindung wird nachstehend anhand eines AusfUhrungsbeispiels in Verbindung mit der zugehörigen Zeichnung erläutert. In der Zeichnung zeigen:
Fig. 1 ein System-Blockschaltbild, das die allgemeine Anordnung von das Schutz- und Sicherheits-System eines Kernreaktors bildenden Elementenveranschaulicht;
309841/1097
Fig. 2 ein Blockschaltbild, das allgemein den Aufbau einer Ausführungsform der Prüfanordnung nach der vorliegenden Erfindung veranschaulicht?
Fig. 3 ein Blockschaltbild, das weiter ins einzelne gehend die Komponenten der Prüfanordnung nach Fig. 2 erkennen läßt?
Fig. 4 ein Impulsdiagramm der verschiedenen von der Prüfanordnung nach Fig. 2 und 3 erzeugten Signalfolgen? und
Fig. 5 ein detailliertes Schaltbild der Prufanordnungs-Komponenten in Fig.3.
Für alle Kernkraftanlagen ist in irgendeiner Form ein Schutz- und Sicherheitssystem vorgesehen. Der Zweck des Systems besteht darin, spezielle Punkte in der Anlage zu überwachen und unter bestimmten vorgegebenen Bedingungen Auslösevorgänge einzuleiten, die zum Schutz sowohl des Personals als auch der Anlagenteile erforderlich sind. Da dieses System den sicheren Betriebszustand von Kernkraftanlagen unter fehlerhaften Bedingungen sicherstellt, muß es so ausgelegt werden, daß damit den gesetzlich festgelegten Kriterien für das Auftreten von Einzelstörungen genügt wird. Dementsprechend sind zwei identische Logikketten vorgesehen, die identische Signale erhalten und gesonderte Betätigungseinrichtungen steuern. Jede Kette wird periodisch überprüft, um sicherzustellen, daß keine Einzelstörung die Auslösung notwendiger Betätigungsyorgänge über
30 9841/109 7
die beiden Logikketten verhindern kann» Die beiden Logikketten sind dabei vollständig voneinander getrennt, sowohl elektrisch als auch räumlich, um zu gewährleisten, daß für den Fall des Auftretens eines einzelnen Fehlers in einer der beiden Ketten die andere Kette für den notwendigen Auslösevorgang sorgt.
Ein solches Schutz- und Sicherheits-Logiksystem ist Gegenstand der zugleich eingereichten, auf dieselbe Anmelderin zurückgehende Patentanmeldung mit dem Titel "Kernreaktor-Schutz-und Sicherheitssystem".
Fig. 1 stellt ein Blockschaltbild der allgemeinen Anordnung der Halbleiterkomponenten des Schutz- und Sicherheitssystems dar· Das Halbleiter-Reaktor-Schutz- und Sicherheits-Logiksystem der Fig. 1 setzt sich aus zwei identischen, von einander isolierten redundanten Logikketten 10 zusammen. Eine vollständige räumliche und elektrische Trennung der beiden Einzelketten 12 und 14 erfolgt mit Hilfe einer Spulen-/Kontakttrennung, wie sie Wechselspannungsrelais 16 und 18, über Photodioden gekoppelte Einheiten 20 und 22 sowie eine räumliche Trennung der Verdrahtung, wie das allgemein veranschaulicht ist, vermitteln.
An Fühlern 24 auftretende Signale sind in sich redundant, da gesonderte Fühler verwendet werden, um dieselben oder im Verhältnis zueinander stehende Parameter zu überwachen. Die von den Prozeß-Fühlern 24 erzeugten Analogsignale werden über vier
309841/1097
Kanäle mit bistabilen Stufen 26 in eine digitale Form umgewandelt. Um die Trennung der redundanten Signale aufrechzuerhalten, steuert ein Signalausgang 28 von jeder bistabilen Stufe 26 zwei kleine Wechselspannungs-Relaisspulen, von denen sich eine innerhalb jedes entsprechenden Wechselspannungsrelais 16 bzw. 18 befindet, korrespondierend mit den beiden gesonderten Logik-Einzelketten 12 und 14. Die Spulen-/Kontakttrennung dieser Wechselspannungsrelais stellt die Trennung jedes bistabilen Kanals und jeder Logikkette von allen anderen sicher. Die Wechselspannungsrelais sind entsprechend ihrer Zuordnung zu den bistabilen Kanälen innerhalb der gesonderten Wechselspannungsrelais 16 und 18 gruppiert. Auf diese Weise kann eine Trennung von Drähten von den bistabilen
Kanälen zu Relaisspulen aufrechterhalten werden. An Einzelkontakten oder Halbleiters ehalte lementen entstehende Signale müssen in{die einzelnen Logikketten über Wechselspannungs- oder Gleichspannungsrelais 30 eintreten, als wenn sie einem bistabilen Kanal zugeordnet wären, um die vollständige Trennung aufrechtzuerhalten. Bereits an zwei isolierten Ausgängen (beispielsweise gesonderten Kontakten) auftretende Signale können als bereits isoliert betrachtet und unmittelbar in die einzelnen Logikketten eingeleitet werden, wie das mit dem isolierte Kontakteingänge repräsentierenden Block 32 veranschaulicht ist. .
Jede Logikkette erhält genau dieselbe Information. Nach der richtigen Kombination von Eingangssignalen und Ereignisfolgen, wie das durch eine Auslöse-Logik 21 überwacht wird, sind beide Logikketten
309841/1097
in der Lage, die richtigen Anlagenteile auszulösen, um eine Korrektur zu bewirken.
Entsprechend einem Ausführungsbeispiel der Erfindung ist eine manuell betätigbare, programmierbare, halbautomatische Prüfeinrichtung 34 als integraler Bestandteil jeder Logikkette vorgesehen, um die einwandfreie Arbeitsweise aller grundlegenden Logikfunktionen zu überprüfen, von denen in Verbindung mit der Auslöse-Logik 21 Gebrauch gemacht wird. Die Prüfeinrichtung simuliert alle möglichen Logik-Eingangskombinationen und -permutationen und vergleicht die Logikfunktionen-Ausgangssignalen mit den gewünschten Werten, so daß bei Ermittlung einer Abweichung eine Fehlfunktion angezeigt wird. Durch weitere Prüfmaßnahmen wird die einwandfreie Arbeitsweise der Prüfeinrichtung sicherge-
der stellt und dafür gesorgt, daß jede der Mehrzahl der/Auslöse-Logik
21 zugeordneten Logikfunktionen der Reihe nach überprüft wird.
Die jeder Einzelkette zugeordnete halbautomatische Prüfeinrichtung 34 wird so eingesetzt, daß jede Logikkette sorgfältiger *ie- und schneller geprüft wird als das bisher möglich war. Ebenso wird als Alternative eine manuelle Prüfung vorgesehen. Die verwendung einer einzigen universellen Logikkarte, wie sie in der gleichlaufenden Patentanmeldung mit dem Titel "Programmierbarer Universal-Logikmodul"
beschrieben wird, um die ganze Auslöse-Logik zu verwirklichen, sowie die Prüfeinrichtung nach der vorliegenden Erfindung
309841/109?
ι -
vereinfachen die Systemwartung und verbessern die Zuverlässigkeit durch Minimierung der Prüf- und Reparaturzeit. Im Normalbetrieb wird die Prüfeinrichtung von dem System abgetrennt, um jegliche fehlerhaften Prüfsignale zu vermeiden.
Die halbautomatische Prüfeinrichtung 34 umfaßt grobjgesehen zwei Einheiten, nämlich eine Prüfeinheit 36 und eine Takt-/Zähleinheit 38, ferner mehrere damit zusammenwirkende Schalter 40, die für das vorliegende Ausführungsbeispiel sechs Wählschalter mit .zehn Schaltebenen umfassen, wie mit Fig. 2 gezeigt. Ein Zeitdiagramm, das graphisch die der Prüfeinheit zugeordneten Signale wiedergibt, und eine allgemeine Anordnung-der Prüfeinheit-Komponenten sind mit Fig. 4 bzw. 3 wiedergegeben. Der Aufbau der allgemeinen Prüfschaltung der Fig. 3 ist im einzelnen mit Fig. 5 gezeigt.
Die halbautomatische Prüfeinrichtung muß, ebenso wie jede andere kritische Funktion innerhalb der Logik, den gesetzlich festgelegten Kriterien für das Auftreten von Einzelstörungen genügen. Das bedeutet, daß eine Störung oder ein Fehler einer bestimmten Komponente oder einer Gruppe von Komponenten infolge einer einzigen Fehlfunktion, die eine Reaktorauslösung oder eine Auslösung der Sicherheitsvorrichtungen verhindern kann, im Verlauf der periodischen Prüfungen erfaßt werden muß. Infolgedessen muß eine einzelne Störung innerhalb der Prüfeinrichtung, die die Erfassung eines einzelnen Fehlers innerhalb der Logik verhindern könnte, während oder vor den periodischen Prüfungen erfaßt werden. Eine gesonderte
3 09841/109 7
Prüfeinrichtung (zur Prüfung der Prüfeinrichtung) ist ebenfalls unzureichend, da dadurch die Kompliziertheit des Aufbaue weiter vergrößert würde, im übrigen auch dafür möglicherweise die glei- chen ungeprüften Fehler auftreten könnten. Würde eine Prüfeinrichtung für die Prüfeinrichtung verwendet, so könnte diese zunächst einen Fehler aufweisen, derart, daß ein Fehler der zu prüfenden Prüfeinrichtung und infolgedessen der übrigen Logik unbemerkt bliebe. Ferner ist eine vollständige manuelle überprüfung der bei Prüfeinrichtung unpraktisch, weil sie zu viel Zelt benötigen würde.
Das erfindungsgemäß angewandte Konzept zur Lösung des Einzelfehler-Problems führt - wenngleich es einfach ist - zu einer erhöhten Zuverlässigkeit des gesamten Reaktorschutz- und Sicherheitssystems. Da ein Operator zur Durchführung und Aufzeichnung der Prüfungen vorhanden sein muß, steht er schon zur Verfügung, um unter anderem eine abschließende Beurteilung der funktioneilen Integrität des gesamten Systems abzugeben. Es ist nicht möglich, ihm jedes kleine Informationsdetail innerhalb einer kurzen angemessenen Zeitspanne zu präsentieren. Das würde vielmehr zu einer Verwirrung des Operators und damit zu Fehlern führen. Jedoch kann alle notwendige Information, die die Integrität der Prüfeinrichtungleowie die Funktionsfähigkeit des Systems gewährleistet,in einer eindeutigen Aufeinanderfolge präsentiert werden. Die Prüfeinrichtung als Ganzes (mit der Prüfeinheit, der Takt-/Zähleinheit sowie den Schaltern) ist so aufgebaut, daß jeder Einzelfehler, der die Er-
309841/1097
^O IDHJ4 ' - 12 -
fassung eines einzelnen Fehlers innerhalb des Logiksystems (ob nun von der gleichen oder einer anderen Quelle stammend) verhindern könnte, offenbart sich dem Operator zu einer bestimmten Zeit während der periodischen Prüfungen als nicht einwandfreie Folge oder Kombination von AusgangsSignalen. Wird eine Störung innerhalb der Prüfeinrichtung beobachtet, so muß eine Reparatur vorgenommen und die gesamte Prüfung erneut eingeleitet werden. Insofern ist das abschließende Prüforgan bei diesem System (einschließlichseiner halbautomatischen Prüfeinrichtung) der die Prüfungen durchführende Operator.
Ein vollständiges Verständnis der Erfindung ergibt sich aus de_r nachstehenden grundlegenden funktionellen Erläuterung der Prüfeinrichtung. Es folgt dann eine ins einzelne gehende Beschreibung der Prüfeinheit-Komponenten, um dem einschlägigen Fachmann das Verständnis für die vielen-Vorzüge dieser Erfindung zu erleichtern.
Um sicherzustellen, daß die halbautomatische Prüfeinrichtung nach diesem Ausführungsbeispiel einwandfrei arbeitet, wird mindestens einer der entsprechenden, den jeweiligen Logikketten 12 und 14 zugeordneten Multiplexbetriebsart-Schalter auf eine nachstehend als A + B Funktion bezeichnete Betriebsart eingestellt, bei der die Takt-/Zähleinheit 38 fortlaufend arbeiten kann. Der Multiplexbetriebsart-Schalter ist ein Dreistellungsschalter, der normalerweise in einer Stellung gehalten wird, in der die logischen Signalausen "ODER"-Verknüpfung erfahren, so daß bei
309841/1097
Lieferung eines Äuslösesignals durch eine der beiden Ketten eine entsprechende Peststellung in dem Kontrollraum möglich ist. In der zweiten Stellung hindert der Schalter die einzelnen Logikketten daran, auf die Daten-Ableseeinrichtung in dem Kontrollraum einzuwirken, Die dritte Stellung des Multiplexbetriebsart-Schalters ist für die A + B-Funktion vorgesehen, die es ermöglicht, daß die Information von den Logikketten 12 und 14 dem Kontrollraum in einer typischen Form zugeleitet wird. Als nächstes wird der in dem Schaltbild der Fig. 2 dargestellte Schalter SE geöffnet, und alle Wählschalter 4O bleiben in ihrer Ruhelage, in der alle Eingänge und Ausgänge voneinander getrennt werden. Arbeitet die Prüfeinrichtung einwandfrei, so leuchten vier sichtbares Rotlicht emittierende Dioden in der Prüfeinheit 36 auf. Wenn der Druckknopf 42 für die Einleitung des PrüfVorganges niedergedrückt wird, leuchtet eine Prüflampe in der gerade im Prüfzustand befindlichen Logikkette auf, während alle vier zuvor erwähnten Licht emittierenden Dioden erlöschen. Etwa 1,6 see nach Freigabe des Druckknopfs erlischt die Prüflampe, während eine "Gut"-Lampe innerhalb dieser Logikkette angeht, eine ebenfalls innerhalb dieser Logikkette vorgesehene "Schlecht"-Lampe im ausgeschalteten Zustand bleibt. Die "Gut"-Lampe soll dann etwa alle 3r2 see einmal aufleuchten, wenn die Takt-/Zähleinheit des erläuterten Äusführungsbeispiels einwandfrei arbeitet. Der vorgeschriebene Ablauf der Ereignisse stellt sicher, daß die Prüfeinrichtung sich bis zu diesem Zeitpunkt lin einwandfrei verhalten hat. Jeder weitere in der Prüfeinrichtung auftretende Einzelfehler, der durch diese überprüfung nicht erfaßt
309841/1097
wurde, führt zu einem unbefriedigenden Ablauf der Ereignisse, die zu einer bestimmten Zeit während der Logik-Prüfungen wiedergegeben werden. Alle während des Prüfvorgangs gelieferten und durch das System geleiteten Prüfimpulse sind so kurz, daß die Ausgangs-Schal tkomponenten wie die unter Spannung stehenden Spulen und die Hauptrelais nicht ansprechen, um dann etwa eine unerwünschte Auslösung innerhalb der Anlage zu bewirken. Es können jedoch als besondere Vorsichtsmaßnahme oder aber, wenn als Alternative eine manuelle Prüfung gewünscht wird, Umgehungs-Trennschalter vorgesehen werden, um zu verhindern, daß die Prüfsignale irgendeinen unerwünschten Auslösevorgang hervorrufen.
Der Multiplexbetriebsart-Schalter wird dann in die Sperrstellung gebracht, so daß während der Prüfung der einen Kette erzeugte irreführende, falsche Fehlersignale nicht zu der Steuertafel und dem Computer innerhalb des Reaktor-Kontrollraums gelangen können. Es wird dann der zur Sperrung von Eingangs-Fehlersignalen dienende Schalter 44 geöffnet, so daß die Masserückleitung für die meisten Kontakteingänge wie die bistabilen Stufen 26 der Fig. 1 unterbochen und innerhalb der Logik vorhandene Fehlersignale entfernt werden und somit eine vollständige Prüfung durchgeführt werden kann. Der erste der Wählschalter 40, die in Fig. 2 kastenartig zusammengefaßt sind, wird dann so eingestellt, daß er unter der Mehrzahl logischer Funktionen, die in der zu überprüfenden Auslöselogik 21 der Fig. 1 enthalten sind, eine spezielle logische Funktion auswählt. Vier Ebenen von Wähbchaltern verbinden die
309841/1097
Anschlüsse A, B, C und D der Prüfeinheit 36 in der erforderlichen Weise mit den geeigneten Eingängen der zu überprüfenden Funktion. Nach dem endgültigen Anschluß der Prüfeinrichtung liefert die Prüfeinheit eine Folge simulierter Fehlersignale über die Anschlüsse A, B, C und D an den Eingang der zu prüfenden logischen Funktion..Das sich ergebende logische Ausgangssignal wird dann mit einem in der Prüfeinrichtung erzeugten Referenz-Logiksignal verglichen. Nach Möglichkeit stehen drei weitere Schalterebenen zur Verfügung, um nach Bedarf für eine Masseverbindung über das System zu sorgen und damit störende Rückwirkungen der-nicht zu überprüfenden Schaltung auszuschalten. Eine Schaltebene verbindet den Schalter S„ mit der überprüften Logikfunktion, so daß die Ausführung dieser Funktion entweder blockiert oder aber freigegeben
wird. Im Prinzip liefert der Schalter S„ ein simuliertes Sperrig
signal an den geeigneten Sperranschluß der Auslöse-Logik 21. Wird der Schalter S„ geöffnet, so wird die Fähigkeit der Funktion, den Auslösevorgang zu verursachen, überprüft. Wird der Schalter S„ geschlossen, so wird die Fähigkeit der Funktion überprüft, für eine Verhinderung zu sorgen.
Eine Schaltebene der Wählschalter verbindet den richtigen Ausgang der zu überprüfenden Logikfunktion mit der Prüfeinheit 36, so daß der Ausgang mit einem innerhalb der,Prüfeinrichtung erzeugten Referenzsignal verglichen werden kann. Ein Voltmeter 46 ermöglicht eine visuelle Beobachtung des Logik-Ausgangs, wobei 0 Volt stets ein Betätigungssignal anzeigen. Eine Schaltebene der Wähl-
309841/1097
Schalter legt einen Anschluß der Prüfkarte an Masse, so daß wiederum ein Anschluß der noch zu beschreibenden Punktionstyp-Logik an Masse gelegt wird. Eine Lampe 48 zeigt die Art der gerade überprüften Funktion an. Es ist für jede der Logik-Funktionen eine Lampe vorgesehen, wobei zu einem bestimmten Zeitpunkt jeweils eine und nur eine Lampe leuchten sollte. Auf Wunsch kann eine manuelle Prüfung durchgeführt werden, indem verschiedene Kombinationen der manuellen Druckknöpfe 50 ausgewertet werden, um verschiedene Permutationen von Fehlersignalen in die Auslöse-Logik 21 einzuleiten. Eine halbautomatische Prüfung der angeschlossenen Logik-Funktion kann durch kurzzeitiges Niederdrücken des für die Einleitung des PrüfVorganges vorgesehenen Druckknopfes 42 erfolgen. Die Prüfeinrichtung überprüft dann automatisch alle möglichen Kombinationen von Eingangssignalen in weniger als 2"see, während die Ausgangssignale der überprüften Schaltung mit einem innerhalb der Prüfeinrichtung erzeugten Referenzsignal verglichen werden. Stimmt der Vergleich durchweg, so erlöschen die Prüflampen, die "Gutll-Lampera gehen an, und die "Schlecht11-Lampen bleiben aus. Jede andere Ereignisfolge zeigt einen Fehler entweder in der Logik oder aber in der Prüfeinrichtung an.
Zeigt die Prüfung an, daß die angeschlossene Logik-Funktion einwandfrei arbeitet, so können die Wählschalter in die nächste Stellung verschwenkt werden, um die als nächstes zu prüfende Logik-Funktion anzuschließen.
309841/1097
Nachdem jeder Kreis geprüft worden ist, werden alle Wählschalter innerhalb der die Schalter 40 enthaltenden Einheit in ihre Ruhelage zurückgebracht, die R-S Flipflopspeicher innerhalb der Prüfeinrichtung in ihre richtigen Zustände gesetzt und der Schalter 44 für die Sperrung des Eingangsfehlers geschlossen, so daß der Masse-Rückkreis für die Kontakteingänge vervollständigt wird. Der Multiplexbetriebsart-Schalter wird dann in seine Normalsteilung zurückgebracht,und die Nebenschluß-Unterbrecher werden abgetrennt. Wenn in der gerade überprüften Logikkette kein Fehlersignal auftritt, adeltet diese Logikkette normal, und die andere Logikkette kann dann in der gleichen Weise geprüft werden.
Mit Fig. 3 ist ein weiter ins einzelne gehendes Blockschaltbild der Prüfeinheit 36 wiedergegeben. Um die Erläuterung dieser Einheit zu vereinfachen, kann der Hauptteil der zur Verwirklichung der Logik der Fig. 3 eingesetzten Schaltung in dem entsprechenden Bereich des Prüfschaltungsaufbaus wiedergefunden werden, der schematisch mit Fig. 5 dargestellt ist.
Allgemein gesehen ist die Prüfeinheit wie in Fig. 2 gezeigt aufgebaut, so daß die Wählschalter 4Ö eine zu'prüfende Funktion oder einen Teil einer zu prüfenden Funktion auswählen, wobei es sich um eine der grundlegenden sieben logischen Funktionen 1/1,1/2,1/3,1/4,2/2,2/3,2/4· handelt. Dabei verbinden die Wählschalter vier Ausgänge A, B, C und D der Prüfeinheit 36 mit den zugehörigen Eingängen der zu prüfenden Logik-Funktion, den
309841/1097
Unterspannungs-Wicklungsrücklauf der Prüfeinheit mit dem Ausgang der zu prüfenden Funktion und ferner eine der sieben Eingangsleitungen der Prüfeinheit, wie sie in Fig. 5 mit L1Z1 bis Lo/a bezeichnet sind, mit Masse, so daß die Prüfeinrichtung die erforderliche Information hinsichtlich der angewählten Funktionsart erhält. Die Prüfeinheit erzeugt dann alle notwendigen Kombinationen von Fehlersignalen an den Eingängen der zu untersuchenden Funktion und vergleicht deren Ausgänge mit einem innerhalb der Prüfeinheit erzeugten Referenzsignal. Jede längere Abweichung führt dazu, daß die "Schlecht"-Lampe im Reaktorkontrollraum aufleuchtet und die Prüfung beendet wird. Werden alle Fehlersignal-Kombinationen ohne Abweichung erzeugt, so wird die Prüfung beendet, und die "Gut"-Lampe leuchtet auf» Die Prüflampe der Prüfeinheit wird während der Untersuchung im eingeschalteten Zustand gehalten und abgeschaltet, wenn die zugehörigen Eingänge für die zu untersuchende Funktion alle zur gleichen Zeit 0 sind (letzter PrüfVorgang).
In Fig. 3 ist eine ins einzelne gehende Darstellung der die Prüfeinheit 36 bildenden Untereinheiten wiedergegeben, wobei das entsprechende Schaltbild mit Fig. 5 gezeigt ist. Die Funktionstyp-Logik 52 ist - wie in Fig. 5 gezeigt - ein kombinierter Schaltkreis mit sieben Eingängen und drei Ausgängen. Zu jedem gegebenen Zeitpunkt ist einer und nur einer der sieben Eingänge (L1/, bis L2/4^ e^ne logische 0,. wobei eine vorgegebene Kombination in den drei Ausgängen X, Y und Z erzeugt wird. Die zugehörigen Eingänge
309 8417109 7
L1/, bis L2 sind mit entsprechenden Wählschaltern verbunden, und die jeweiligen Eingänge sind entsprechend dem zu untersuchenden Funktionstyp an Masse gelegt. Die Ausgänge X, Y und Z liefern diese Information in einer m/n-Zuordnung an den Inneren Schaltungsaufbau innerhalb der Prüfeinheit.
Der X Ausgang liefert die m-Information an die 2/4 "ODER" 1/4-Logikeinheit 56, so daß der Schaltungsaufbau mit Information hinsichtlich der Anzahl Eingangs-Fehlersignale gespeist wird, die die überprüfte Logik-Schaltung erfordert, um einen Auslösevorgang zu verursachen. Die Y- und Z-Ausgangsleitungen liefern der Sperrlogik 54 die n-Information, so daß die Gesamtzahl der von der überprüften Funktion erforderten Eingänge angegeben wird. Es werden dann in der Prüfeinheit simulierte Fehlersignale erzeugt, die mittels der elektronischen Schalter 58 in Abhängigkeit von der Weiterschaltung des Zählers durch den Taktimpuls zunächst zu dem Ausgang A, sodann zu dem Ausgang A und B etc. weitergegeben werden. Die Sperr-Logik 54 hält den Zähler nach der entsprechenden Schrittzahl an und blockiert die elektronischen Schalter 58, bevor die Prüfeinheit versucht, Fehlersignale an Ausgänge weiterzugeben, die nicht mit der gerade geprüften Funktion verbunden sind, jedoch erst nachdem alle notwendigen Kombinationen von Fehlersignalen an Ausgängen erschienen sind, die mit der gerade geprüften Funktion in Verbindung stehen. Die der gerade geprüften Logik ssugeführten Fehlersignale werden außerdem zu der 2/4 "ODER" 1/4-Logikeinheit 56 geleitet,um ein Referenzsignal zu erzeugen, ferner
309841M097
zu dem Logikkreis 66 (alle notwendigen Ausgänge liegen niedrig), der überprüft, daß die letzte Kombination von in einem Prüfvorgang erforderlichen Fehlersignalen auch tatsächlich erzeugt wird.
Der Ausgang der gerade geprüften Funktion gelangt über die Wählschalter und einen Schutzkreis 64 zu einem Koinzidenzdetektor 62. Tritt eine längere Abweichung zwischen dem Referenzsignal und der gerade geprüften Funktion auf, so wird in dem Koinzidenzdetektor ein Flipflop gesetzt, das die "Schlecht"-Lampe aufleuchten und den Zähler anhalten läßt. Werden alle notwendigen .Fehlersignalkombinationen ohne Abweichung zwischen dem Funktionsausgang und dem Referenzsignal erzeugt, so geht die "Gut"-Lampe an, während die Prüflampe ausgeht und der Zähler anhält.
Die von der Prüfeinheit-hervorgerufenen Kurvenzüge oder Impulsfolgen sind mit Fig. 4 gezeigt. Das grundlegende Taktsignal wird durch einen programmierbaren Unijunction-Transistor erzeugt, der einen negativen Nadelausgang hat, wie das mit der obersten Impulsfolge in Fig. 4 angedeutet ist. Der resultierende Taktimpuls ist mit Cl bezeichnet. Der Taktimpuls speist einen Zähler mit Bit-Ausgängen 2 bis 2 , wie das in dem Diagramm veranschaulicht ist. Ein von einer Kombinationsschaltung mit Eingängen von den Takt- und Zähler-Bits 2 und 2 erzeugtes Taktsignal E bildet zusammen mit den Zähler-Bits die Eingangssignale, die die elektronischen Schalter 58 speisen, so daß innerhalb der Prüfeinheit die simulierten Fehlersignale erzeugt werden. Die simulierten
309841/1097
-21- 2316A34
Fehlersignale, die die Eingangssignale für die gerade geprüfte Logikfunktion über die Ausgangsleitungen A, B, C bzw. D bilden, sind ebenfalls gezeigt. Die übrigen vier Impulsfolgen geben die Impulse wieder, die in Abhängigkeit von der Punktionstyp-Logik erzeugt werden, um anzugeben, wann die Prüfeinheit aufhören soll, weitere Eingangssignale an die gerade geprüfte Logikfunktion zu liefern.
Die Punktionstyp-Logik 52 ist eine unter Verwendung von Dioden
aufgebaute Kombinationsschaltung mit sieben Eingängen und drei Ausgängen. Der Eingang L.,. ist zu Veranschaulichungszwecken ohne innere Verbindungen gezeigt. Liegt keiner der anderen sechs Anschlüsse an Masse, so ist für die Funktionstyp-Logik davon auszugehen, daß die Funktion 1/4 geprüft wird. Die Lampen, die visuell wiedergeben, welche Funktion gerade geprüft wird, sind an einem Ende mit einer positiven Spannungsquelle verbunden und mit ihrem anderen Ende an die jeweiligen Anschlüsse L. .. bis L2,2 gelegt. Zu einem bestimmten Zeitpunkt soll eine und nur eine Lampe leuchten. Bildet eine Diode einen Kurzschluß (oder einen Widerstand, der als Kurzschluß erscheint), so leuchtet mehr als eine Lampe auf. Ist eine Lampe durchgebrannt, so vergeht während der Prüfung einige Zeit, über die die Funktionstyp-Lampen nicht erleuchtet werden. Bildet eine Diode einen Feliler inform eines offenen Kreises (oder eines Widerstandes, der hoch genug ist,um als logischer "Eins"-Eingang für die NAND-Gatter zu erscheinen), so ist für die Prüfeinrichtung von der Annahme auszugehen, daß die gerade geprüfte Funktion mehr Eingänge als erforderlich erhält, so daß in jedem Fall die "Schlecht"-Lampe aufleuchtet, wenn Fehler auf Eingänge einwirken, die nicht existieren.
309841/1097
Die Sperr-Logik 54 ist unter Verwendung von NAND-Gattern 70, 72, 74, 76, 78 und 80 aufgebaut. Es ist eine Kombinationsschaltung mit sechs Eingängen und einem Ausgang. Eingangssignal^'für die Sperr-Logik 54 werden von den.Ausgängen Y und Z sowie den Zähler-Bits geliefert, und die Schaltung ist so programmiert, daß die richtige Kombination von Zähler-Bits überwacht und ein Ausgangssignal geliefert wird, um den Zähler zu stoppen, wenn die richtige Anzahl Kombinationen erprobt worden ist. Die Ausgangssignale der Sperr-Logik, die mit den vier unteren Impulsfolgen der Flg..4 veranschaulicht sind, werden der "GutÄLampe über das "UNDaGatter 84 und dem Zähler über das "ODER"-Gatter 82 zugeführt. Die Y-und Z-Eingänge von der Furiktionstyp-Logik 52 setzen die Sperr-Logik 54 so, daß sie ein Ausgangssignal liefert, das die umkehrung zu dem entsprechenden Bit des Zählers darstellt. Auf diese Weise kann die Sperrlogik 54 den Zähler anhalten, ehe die Prüfeinrichtung versucht, die, simulierten Fehlersignale auf Eingänge zu legen, die nicht existieren. Das ODER-Gatter enthält ein NAND-Gatter, so daß entweder die Sperr-Logik 54 oder der Koinzidenz-Detektor 62 den Zähler stoppen und die elektronischen Schal ter 58 sperren können, in--dem an dem Sperr-Takt- und Zählerausgang eine logische EINS abgegeben wird, wie das in Fig.. 5 gezeigt ist. Das UND-Gatter 84 enthält ein NAND-Gatter 87 sowie das diskrete NAND-Gatter 88, so daß sowohl der Sperr-Logikausgang als auch der Ausgang des Logikkreises 66 für die überprüfung, ob alle notwendigen Ausgänge niedrig liegen, vorhanden sein müssen, um die 11 Gut"-Lampe zum Leuchten zu bringen. Sollte die Sperr-Logik öder das ODER-Gatter versagen, so daß mehr Fehlerkombinationen als erforderlich angefordert werden, so tritt zu einer bestimmten Zeit
309841/1097
während der Prüfung eine verlängerte Differenz zwischen dem Logikfunktion-Ausgang und dem Referenz-Signal auf, so daß die 11 Sch lecht"-Lampe aufleuchtet. Sollte die Sperr-Logik in der Form versagen, daß weniger Fehlerkombinationen als erforderlich angefordert werden, so wird das Flip-Flop 90 innerhalb des Logikkreises 66, der überprüft, ob alle notwendigen Ausgänge niedrig liegen, nicht gesetzt und dementsprechend die "Gut"-Lampe nicftt eingeschaltet.
Die Sperr-Logik liefert über das ODER-Gatter 82 und daa NAND-Gatter 92 ein zusätzliches Ausgangssignal an die elektronischen Schalter, um die elektronischen Schalter daran zu hindern, weitere Ausgangs-Signale an die Ausgangsleitungen A, B, C bzw. D zu liefern.
Die elektronischen Schalter 58 verwenden NAND-Gatter 92, 94, 96 sowie vier diskrete NAND-Gatter 98, 100, 102 und Io4. Sie arbeiten so, daß alle notwendigen Kombinationen kurzzeitiger simulierter Fehler-Signale auf die zugehörigen Eingänge der gerade geprüften Logikfunktion gegeben und Eingangs-Signale an die 2/4 "ODER" 1/4-Logikeinheit 56 und den Logikkreis 66 geliefert werden. Die simulierten Fehlersignale werden durch Inversion von vier Bits des Zählers und UND-Verknüpfung mit dem 1 ms-Takt-Signal sowie der Inversion des Zähler-Stopsignals erzeugt. Die sich ergebenden Impulsfolgen sind mit Fig. 4 dargestellt. Sollte der Zähler nicht zählen oder die diskreten NAND-Gatter sich als offener Kreis verhalten, so leuchten die "Gut"-Lampen zu einer bestimmten Zeit während der Prüfung nicht auf. Wenn einer der
309841/1097
Ausgänge A, B, C und/oder D irrtümlich kurzgeschlossen oder geöffnet wird, leuchtet die "Schlecht"-Lampe auf. Sollte eines der diskreten NAND-Gatter einen Fehler inform eines Kurzschlusses bilden, so schalten die Prüflampe der Prüfeinrichtung/ die "Gut"-Lampe und d,ie "Schlecht"-Lampe alle gleichzeitig ab.
Die 2/4 "ODER" 1/4-Logikeinheit 56 ist ein Kombinationsschaltkreis mit sechs Eingängen und einem Ausgang. Im wesentlichen enthält die Logik-Einheit 56 einen 2/4-Kreis, der mit einem 1/4-Kreis ODER-Verdrahtet ist. Der 1/4-Kreis wird durch den X-Ausgang der Punktionstyp-Logik gesperrt, so daß das resultierende Referenzsignal entweder l/n oder 2/n ist, je nach der Anzahl der von dem Zähler erzeugten Kombinationen. Der 1/4-Kreis verwendet NAND-Gatter 106 und 108, während der 2/4-Kreis NAND-Gatter 110, 112, 114, 116 und 118 verwendet. Zusätzlich können sowohl der 1/4- als auch der 2/4-Kreis gesperrt werden, indem dem Sperreingang 120 ein Eingangssignal entsprechend einer logischen Eins zugeführt wird, so daß das am Ausgang 122 erzeugte Referenz-Signal immer eine logische Eins ist. Entsprechend den zu Grunde zu legenden Konventionen werden ein Eingangs-Fehler-Signal und ein Ausgangs-Betätigungsbefehl durch eine logische Null repräsentiert. Sollte der 2/4- oder 1/4-Kreis in irgendeiner Weise ausfallen bzw. eine Störung aufweisen, so kommt es zu einer gelegentlichen verlängerten Abweichung zwischen dem Referenz-Signal und dem Ausgang eines~der zu prüfenden Kreise, so daß die "Schlecht"-Lampe dann zum entsprechenden Zeitpunkt gelegentlich aufleuchtet.
..309841/1097
Der Schutzkreis 64 weist eine Zener-Dioden- und Diodenkoitibination auf, die den Koinzidenz-Detektor gegenüber Stör- oder Rauschspannungen schützt. Sollte der Schutzkreis 64 das Ausgangssignal der gerade geprüften Funktionsstufe nicht einwandfrei übertragen, so leuchtet die "Schlecht"-Lampe gelegentlich auf.
Der Koinzindenz-Detektor 62 mit dem Speicher-R-S-Flipflop 124 ist aus NAND-Gattern 126, 128, 130, 132, 134, 136 und den diskreten NAND-Gattern mit den Transistoren 138 und 140 aufgebaut. Wenn die Differenz zwischen dem Ausgang der gerade geprüften Funktionsstufe und dem Referenzsignal länger als die durch die Tiefpaß-Filter 142 und 144 hervorgerufene Verzögerung auftritt, wird die Differenz von dem R-S-Flipflop 124 gespeichert, so daß die "Schlecht "Schlecht"-Lampe aufleuchtet und der Zähler über das ODER-Gatter 82 gestoppt wird. Die Fähigkeit des Koinzidenz-Detektors, die Differenz zwischen dem Referenzsignal und dem Funktions-Ausgangssignal zu erfassen, wird in der ersten Stellung des ersten Wählschalters geprüft. Da in dieser Stellung keine Funktion überprüft wird, sollte die Durchführung eines halbautomatischen Tests ein Aufleuchten der "Schlecht"-Lampe ergeben, wenn der Sperreingang 120 auf Null gebracht wird (d. h. durch Anschluß an Masse).
Der Logikkreis 66 zur überprüfung, ob alle notwendigen Ausgänge niedrig sind, ist ein Schaltkreis mit elf Eingängen und einem Ausgang, der Dioden 146 bis 176, ein NAND-Gatter 178 sowie das diskrete NAND-Gatter mit Transistoren 180 und 182 umfaßt. Das
309841/1097
Flipflop 90 wird zunächst rückgesetzt, um dann abzuwarten, daß die richtige Gesamtzahl Prüfeinheit -Ausgangssignale alle gleichzeitig den logischen Zustand Null annehmen, ehe es zu einem Setzen des Flipflops 90 kommt. Da die als letzte zu erzeugende Kombination simulierter Fehlersignale Hull ist, stellt dieser Schaltungsaufbau sicher, daß der Zähler so weit fortschreiten konnte, wie das notwendig war, um alle erforderlichen Kombinationen zu erzeugen. Auf diese Weise führt der Logikkreis 66 eine Prüfung der zuvor untersuchten Sperr-Logik 54 durch. Die Prüflampe der Prüfeinheit geht nicht aus und die "Gut"-Lampe geht nicht an, bis das R-S-Flipflop 90 gesetzt worden ist« Wenn die Dioden 146 bis 170 einen Fehler aufweisen, indem sie sich als offener Kreis verhalten, so wird das R-S-Flipflop nicht gesetzt und die "Gut"-Lampe nicht eingeschaltet.
so Weisen die Dioden 146 bis 170 einen Fehler auf,/daß sie sich als Kurzschluß verhalten, so wird die lichtemittierende Diode 68 im Niveaudetektor 86 während des anfänglichen, zuvor beschriebenen Prüfvorgangs nicht aktiviert. Wenn die Dioden 172 bis 176 einen Fehler in Form eines offenen Kreises aufweisen, so gehen die lichtemittierenden Dioden 68 des Niveaudetektors 86 nicht aus, wenn der Druckknopf für die Einleitung der Prüfung niedergedrückt wird. Fallen die Dioden 172 bis 176 in Form eines Kurzschlusses aus, so gehen die Prüflampe der Prüfeinheit und die "Gut"-Lampe kurzzeitig beide gleichzeitig an. Das R-S-Flipflop 90 wird in der Position 1 des ersten Wählschalters geprüft, wie das zuvor beschrieben wurde.
Der Niveaudetektor 86 ist eine Schaltung mit fünf Eingängen und
309841/1097'
einem Ausgang, die zur Abschlußprüfung der Prüfeinheit als Ganzes dient. Zusätzlich kann der Niveaudetektor in verbesserten Systemen eingesetzt werden, um die Kontinuität von Drähten von der Logik zu den Eingangs-Isolierstufen zu prüfen. Der Nenn-Schwellwert jedes einzelnen Niveaudetektors der als Ausführungsbeispiel erläuterten Schaltungsanordnung beträgt annähernd 25 V. Wenn sich einige oder alle der Eingänge oberhalb der Schwelle befinden, läßt der die lichtemittierenden Dioden 68 durchfließende Strom die Dioden 68 rotes Licht emittieren, so daß sich als Ausgang eine logische Null ergibt.
Das UND-Gatter 84 erhält sowohl von der Sperr-Logik als auch von dem Koinzidenz-Detektor Eingangssignale und liefert, wenn beide Eingangssignale übereinstimmen, ein Ausgangssignal an die wGutH-Lampe. Eine mit Fig. 3 wiedergegebene "NICHT"-Logikstufe 184 ist lediglich vorgesehen, um das "Alle notwendigen Ausgänge niedrig"-Logiksignal zu invertieren und ein Signal geeigneter Polarität für die Prüflampe zur Verfügung zustellen.
Die Prüfeinheit nach der vorliegenden Erfindung sorgt somit für eine Verringerung der Zeit, die zur Durchführung der Zuverlässigkeitsprüfungen zweier Logikketten notwendig ist, so daß das System häufigeren Prüfungen unterzogen werden kann. Ferner kann das gesamte Logiksystem vollständiger überprüft werden als bisher, so daß sich für den Reaktoranlagen-Operator weniger Möglichkeiten für Irrtümer ergeben und die Wahrscheinlichkeit verringert wird, daß die Schutz- und Sicherheitsmechanismen eine unerwünschte Auslösung erfahren.
309841/109t PatentanSprtt<*e:

Claims (7)

  1. Patentansprüche s
    ='l.) Prüfanordnung zur überprüfung der Arbeitsweise einer Logikschaltung, die so angeschlossen ist, daß sie eine vorgegebene Logikfunktion durchführt, indem η Eingänge der Logikschaitung ausgewählt werden, wobei η eine vorgegebene ganze Zahl ist, die ferner so arbeitet, daß sie ein Ausgangssignal mit einem ersten Zustand abgibt, wenn mindestens m der η Eingänge den ersten Zustand für die spezielle, zu prüfende Logikfunktion annehmen, wobei m eine vorgegebene ganze Zahl kleiner als oder gleich η ist, und eine Referenzsignal-Erzeugungseinrichtung - zur Abgabe eines · Referenz-Eingangssignals an die η Eingänge der Logikschaltungsfunktion aufweist sowie eine mit der Signal-Erzeugungseinrichtung verbundene Logikeinheit zur Simulierung der Logikfunktion, die korrespondierende Eingänge von der Referenzsignal-Erzeugungseinrichtung hat und unter Erzeugung eines logischen Referenzsignals auf das Referenz-Eingangssignal anspricht, und eine Koinzidenzdetektoreinrichtung, die so angeschlossen ist, daß sie den Ausgang der Logikschaltung mit dem Logik-Referenzsignal der Logikeinheit für die Simulierung der Logikfunktion vergleicht und beim Auftreten einer
    Si
    Differenz ein Alarmsignal abgibt, gekennzeichnet durch eine Wählschaltereinrichtung, die so angeschlossen ist, daß sie einerseits die Referenzsignal-Erzeugungseinrichtung so programmiert, daß eine η korrespondierende Anzahl Referenz-Eingangssignale an die zu prüfende Logikschaltungsfunktion geliefert wird, und daß sie andererseits die Logikeinheit für die
    309841/1097
    Simulierung der Logikfunktion so programmiert, daß das Logik-Referenzsignal erzeugt wird, das für die spezielle Logikfunktion einer Mehrzahl Logikschaltungen gewünscht wird, die so verbunden sind, daß sie jede unter einer Mehrzahl verschiedener zu prüfender Logikfunktionen durchführen.
  2. 2. Prüfanordnung nach Anspruch 1, dadurch gekennzeichnet, daß die Referenzsignal-Erzeugungseinrichtung aufeinanderfolgend eine Mehrzahl von Kombinationen der Referenz-Eingangssignale an die Logikschaltungsfunktion und die Logikeinheit für die Simulierung der Logikfunktion liefert.
  3. 3. Prüfanordnung nach Anspruch 2, dadurch gekennzeichnet, daß die Mehrzahl Kombinationen des Referenz-Eingangssignals alle Permutationen und Kombinationen der η-Eingänge umfaßt.
  4. 4. Prüfanordnung nach Anspruch 2 oder 3, dadurch gekennzeichnet, daß die Koinzidenzdetektoreinrichtung eine Einrichtung aufweist, um die Signal-Erzeugungseinrichtung zu stoppen, so daß diese nach einem Alarmsignal von der Koinzidenzdetektoreinrichtung aufhört, aufeinanderfolgend die Mehrzahl Kombinationen des Referenz-Eingangssignals abzugeben.
  5. 5. Prüfanordnung nach einem oder mehreren der Ansprüche 1-4, gekennzeichnet durch eine Logikeinrichtung zur Anzeige einer Fehlfunktion in der Prüfanordnung nach Abschluß eines Zyklus der Referenzsignal-ErZeugungseinrichtung.
    309841/1097
    - 3O -
  6. 6. Prüfanordnung nach einem oder mehreren der Ansprüche 1 - 5, dadurch gekennzeichnet> daß die -Logikschaltungsfunktion eine Sperrfunktion aufweist, um den Ausgang davon daran zu hindern,, den ersten Zustand anzunehmen, ferner eine Schalteinrichtung enthält, die so angeschlossen ist, daß sie die Wählschaltereinrichtung steuert, um die einwandfreie Arbeitsweise der Sperrfunktion zu überprüfen.
  7. 7. Prüfanordnung nach einem oder mehreren der Ansprüche 1 » 6, dadurch gekennzeichnet, daß die Wählschaltereinrichtung zur Programmierung der Referenzsignal-Erzeugungseinrichtung und die Logikeinheit für die Simulierung der Logikfunktion manuell auslösbar sind,.
    KN/ks/sg 5
    41/10
DE2316434A 1972-04-04 1973-04-02 Pruefanordnung zur ueberpruefung der arbeitsweise einer logikschaltung Pending DE2316434A1 (de)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
US241049A US3892954A (en) 1972-04-04 1972-04-04 Programmable, tester for protection and safeguards logic functions

Publications (1)

Publication Number Publication Date
DE2316434A1 true DE2316434A1 (de) 1973-10-11

Family

ID=22909040

Family Applications (1)

Application Number Title Priority Date Filing Date
DE2316434A Pending DE2316434A1 (de) 1972-04-04 1973-04-02 Pruefanordnung zur ueberpruefung der arbeitsweise einer logikschaltung

Country Status (10)

Country Link
US (1) US3892954A (de)
JP (1) JPS542049B2 (de)
BE (1) BE797739A (de)
CA (1) CA985784A (de)
CH (1) CH591087A5 (de)
DE (1) DE2316434A1 (de)
ES (1) ES413317A1 (de)
FR (1) FR2181866B1 (de)
GB (1) GB1422269A (de)
IT (1) IT983649B (de)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0006328A1 (de) * 1978-06-15 1980-01-09 Sperry Corporation Chips in integrierter Schaltung verwendendes System mit Einrichtung zur Fehlererkennung
EP0006168A1 (de) * 1978-06-19 1980-01-09 International Business Machines Corporation Verfahren und Vorrichtung zum Prüfen logischer Schaltungen bestimmter Funktion

Families Citing this family (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US3988670A (en) * 1975-04-15 1976-10-26 The United States Of America As Represented By The Secretary Of The Navy Automatic testing of digital logic systems
US4180203A (en) * 1977-09-30 1979-12-25 Westinghouse Electric Corp. Programmable test point selector circuit
JPS56168600A (en) * 1980-05-30 1981-12-24 Hitachi Ltd Digital protection device for nuclear reactor
US4427620A (en) 1981-02-04 1984-01-24 Westinghouse Electric Corp. Nuclear reactor power supply
FR2522824A1 (fr) * 1982-03-05 1983-09-09 Commissariat Energie Atomique Dispositif pour appliquer des signaux logiques de test a deux etats sur une entree d'un circuit logique et application aux tests automatiques d'une pluralite de circuits logiques
CU21488A1 (es) * 1982-07-26 1987-06-09 Inst Central De Investigacion Medidor lógico
US4697093A (en) * 1985-01-23 1987-09-29 Westinghouse Electric Corp. Testable, fault-tolerant power interface circuit for controlling plant process equipment
US4752869A (en) * 1985-05-09 1988-06-21 Westinghouse Electric Corp. Auxiliary reactor protection system
US4696785A (en) * 1985-10-31 1987-09-29 Westinghouse Electric Corp. Testable voted logic power circuit and method of testing the same
US4687623A (en) * 1985-10-31 1987-08-18 Westinghouse Electric Corp. Self-compensating voted logic power interface with tester
US5406425A (en) * 1991-08-06 1995-04-11 R-Byte, Inc. ISO/IEC compatible digital audio tape digital data storage system with increased data transfer rate
JP3124417B2 (ja) * 1993-07-13 2001-01-15 三菱電機株式会社 論理シミュレーションシステム及び論理シミュレーション方法
US5497378A (en) * 1993-11-02 1996-03-05 International Business Machines Corporation System and method for testing a circuit network having elements testable by different boundary scan standards
US6049578A (en) * 1997-06-06 2000-04-11 Abb Combustion Engineering Nuclear Power, Inc. Digital plant protection system
US6484126B1 (en) 1997-06-06 2002-11-19 Westinghouse Electric Company Llc Digital plant protection system with engineered safety features component control system
US7386086B1 (en) * 2005-10-03 2008-06-10 Westinghouse Electric Co. Llc Printed circuit card
US20080133175A1 (en) * 2006-12-03 2008-06-05 Lobuono Mark Anthony Test interface for software-based sequence of event recording systems
CN103794255B (zh) * 2012-10-31 2017-08-04 中国广核集团有限公司 一种核电站反应堆保护***t3试验回路及其优化方法
CN104021825B (zh) * 2014-05-28 2016-08-31 中广核核电运营有限公司 一种核电站反应堆保护***试验模拟***
CN107093474B (zh) * 2017-05-02 2019-01-08 中国核动力研究设计院 反应堆专设安全***热工水力综合性能模拟器
CN111579970B (zh) * 2020-06-03 2022-06-10 广东韶钢松山股份有限公司 测试电路、检测设备和检测电子开关板的方法
CN113688521B (zh) * 2021-08-25 2023-06-20 中国核动力研究设计院 一种高可靠反应堆保护***试验允许功能设计方法及***

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US3248721A (en) * 1961-08-30 1966-04-26 Leeds & Northrup Co Automatic testing of bistate systems
US3562644A (en) * 1968-06-14 1971-02-09 Nicholas De Wolf Circuit tester providing circuit-selected test parameters
US3579102A (en) * 1968-09-30 1971-05-18 John F Keating Apparatus for testing successive ones of a plurality of electrical components
US3638184A (en) * 1970-06-08 1972-01-25 Bell Telephone Labor Inc Processore for{11 -out-of-{11 code words
US3636443A (en) * 1970-10-29 1972-01-18 Ibm Method of testing devices using untested devices as a reference standard

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0006328A1 (de) * 1978-06-15 1980-01-09 Sperry Corporation Chips in integrierter Schaltung verwendendes System mit Einrichtung zur Fehlererkennung
EP0006168A1 (de) * 1978-06-19 1980-01-09 International Business Machines Corporation Verfahren und Vorrichtung zum Prüfen logischer Schaltungen bestimmter Funktion

Also Published As

Publication number Publication date
GB1422269A (en) 1976-01-21
BE797739A (fr) 1973-10-04
FR2181866A1 (de) 1973-12-07
JPS542049B2 (de) 1979-02-01
CH591087A5 (de) 1977-09-15
US3892954A (en) 1975-07-01
FR2181866B1 (de) 1981-04-10
IT983649B (it) 1974-11-11
JPS4935790A (de) 1974-04-02
ES413317A1 (es) 1976-01-01
CA985784A (en) 1976-03-16

Similar Documents

Publication Publication Date Title
DE2316434A1 (de) Pruefanordnung zur ueberpruefung der arbeitsweise einer logikschaltung
DE3213251A1 (de) Abschaltsystem fuer einen kernreaktor
EP0009572A2 (de) Verfahren und Anordnung zur Prüfung von durch monolithisch integrierte Halbleiterschaltungen dargestellten sequentiellen Schaltungen
DE4441070C2 (de) Sicherheitsschalteranordnung
EP0007579B1 (de) Schaltungsanordnung zur Überwachung des Zustands von Signalanlagen, insbesondere von Strassenverkehrs-Lichtsignalanlagen
DE4242792C2 (de) Sicherheitsschalteranordnung
WO2019029763A1 (de) Ansteuer- und überwachungsmodul
DE2158433B2 (de) Verfahren und Einrichtung zur Fehlerprüfung und Fehlerlokalisierung in einer modularen Datenverarbeitungsanlage
DE2707267A1 (de) Anlage zum erlangen des zugriffs zu nachrichtenleitungen
DE3938735A1 (de) Einrichtung und verfahren zur ueberwachung einer navigationsanlage
DE2701896C3 (de) Fehlersuchgerät für elektrische Kreise
DE4232720C1 (de) Anordnung zur Funktionsüberwachung und Meßwertauswertung von Füllstands-Sensoren, insbesondere Vibrations-Füllstands-Grenzschaltern
DE102009050692B4 (de) Sicherheits-Kommunikationssystem zur Signalisierung von Systemzuständen
EP0815459B1 (de) Schaltungsanordnung und verfahren zum testen von nicht intermittierenden gebern
DE4033234A1 (de) Sicherheitslichtgitter
DE2443143C2 (de) Verfahren zum Überwachen von elektrischen Schaltungen
DE2400604A1 (de) Elektronisches fehleranzeigesystem
DE1537532C3 (de) m-aus-n-Schaltung
DE2348921C3 (de) Überwachte Ansteuermatrix für unipolar gesteuerte Empfangsschaltmittel, insbesondere Speicherelemente und Verfahren zum Betrieb derselben
DE2013737C3 (de) Verfahren und Schaltungsanordnung zur Fehlerüberwachung einer Sammelschiene
DE2429564C3 (de) Prüfeinrichtung zur Feststellung von Schlüssen zwischen nebeneinander geführten Leitungen
DE1566782B1 (de) Verfahren zum Pruefen von impulsbetriebenen Schaltungen und Schaltungsanordnung zu seiner Durchfuehrung
DE2027125C (de) Anordnung zum selbsttätigen Prüfen von Verbindungswegen in Wählvermittlungen
DE2633986C3 (de) Verfahren zum Prüfen von Leitungsvielfachen in zentral gesteuerten Fernmelde-, insbesondere Fernsprechvermittlungsanlagen
DE1791172C2 (de) Einrichtung zur Signalisierung von Störungen in elektrischen Geräten

Legal Events

Date Code Title Description
OHJ Non-payment of the annual fee