DE2636352B2 - Schutzsystem für einen Kernreaktor - Google Patents
Schutzsystem für einen KernreaktorInfo
- Publication number
- DE2636352B2 DE2636352B2 DE19762636352 DE2636352A DE2636352B2 DE 2636352 B2 DE2636352 B2 DE 2636352B2 DE 19762636352 DE19762636352 DE 19762636352 DE 2636352 A DE2636352 A DE 2636352A DE 2636352 B2 DE2636352 B2 DE 2636352B2
- Authority
- DE
- Germany
- Prior art keywords
- computer
- computers
- protection system
- line
- nuclear reactor
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/1629—Error detection by comparing the output of redundant processing systems
- G06F11/1641—Error detection by comparing the output of redundant processing systems where the comparison is not performed by the redundant processing components
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0751—Error or fault detection not based on redundancy
- G06F11/0754—Error or fault detection not based on redundancy by exceeding limits
- G06F11/0757—Error or fault detection not based on redundancy by exceeding limits by exceeding a time limit, i.e. time-out, e.g. watchdogs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/1675—Temporal synchronisation or re-synchronisation of redundant processing components
- G06F11/1679—Temporal synchronisation or re-synchronisation of redundant processing components at clock signal level
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Quality & Reliability (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Monitoring And Testing Of Nuclear Reactors (AREA)
Description
25
Die Erfindung betrifft ein Schutzsystem für einen Kernreaktor unter Verwendung eines Rechnersystems
zur Verarbeitung von Prozeßdaten, das zwei über einen Taktgeber parallelgeschaltete Rechner mit gleichem
Programm umfaßt, die mit einer Vergleichseinrichtung verbunden sind.
Aus der deutschen Offenlegungsschrift 22 06 234 ist ein Druckwasserreaktor bekannt, bei dem ein Rechner
aus Daten des Primärkreises, zum Beispiel aus dem Neutronenfluß und der Drehzahl der Hauptkühlmittelpumpe
sowie dem Druck des Primärkühlmittels eine Modellnachbildung des Reaktorkerns erstellt. Mit dem
Modell soll der Zustand des Recktorkerns simuliert werden, soweit er für die Beurteilung des Filmsiedegrenzwertes
notwendig ist. Bei dieser Anordnung ist jedoch offenbar vorausgesetzt, daß der Rechner
entweder genügend zuverlässig ist, so daß sein Versagen ausgeschlossen ist, oder daß durch die
Ausbildung des Rechners selbst, des Rechnerprogramms oder andere Mittel dafür gesorgt ist, daß ein
Versagen des Rechners nicht zu unzulässigen Störungen führen kann.
Ferner ist aus der deutschen Offenlegungsschrift 23 19 753 eine Datenverarbeitungsanlage bekannt, die
zur Erhöhung der Sicherheit ihrer Arbeitsweise mit zwei praktisch gleichen Prozessoren ausgerüstet ist. Die
Prozessoren führen wegen gleicher Organisation und Programmierung sowie aufgrund einer Mehrfachkopplung
mit externen Einrichtungen synchron die gleiche Aufgabe aus. Deshalb kann mit einer Komparatoran-Ordnung
eine frühzeitige Erfassung von Störungen und Fehlern und vor allem die schnelle Identifizierung des
fehlerhaften der beiden Prozessoren erfolgen. Die schnelle Feststellung hat aber nur den Zweck, die
Richtigkeit der von der Anlage insgesamt zu leistenden Rechnung sicherzustellen, und das Abschalten eines
defekten Teils wird bis zu seiner Reparatur beibehalten. Ausgedrückt ist dies dadurch, daß die Komparatoren
nach einer Unterbrechung einer Arbeit für die Weiterverfolgung dieser Arbeit gesperrt bleiben.
Aufgabe der Erfindung ist es, die Verfügbarkeit von Rechnersystemen so zu verbessern, daß sie als
Schutzsystem eines Kernreaktors geeignet sind. Dazu muß die Möglichkeit einer Störung der Anlage
praktisch ausgeschlossen werden.
Die vorgenannte Aufgabe wird erfindungsgemäß dadurch gelöst daß einem mit dem Rechnersystem über
die Ausgangsleitung verbundenen Auswertungsbaustein drei weitere Rechnersysteme zugeordnet sind, und daß
in dem Auswertungsbaustein vor dem Eingriff in die Steuerung des Reaktors eine 2-von-4-Auswertung der
Ausgangswerte der vier Rechnersysteme stattfindet Den beiden Rechnern eines Rechnersystems kann dabei
ein von dem Auswertungsbaustein unabhängiger Signalgeber zugeordnet sein, der eine Störung im Bereich der
beiden Rechner meldet
Mit dem neuen Schutzsystem können aufgrund der 2-von-4-Auswertung Wahrscheinlichkeiten des Versagens
von höchstens 10~e erreicht werden. Damit genügt
das neue Schutzsystem auch den extremen Anforderungen auf dem Gebiet der Reaktortechnik. Wichtig ist
dabei, daß durch die an sich bekannte gleichzeitige Programmbearbeitung durch parallelgeschaltete Rechner
auch dann Fehler entdeckt werden, wenn keine Schutzanforderungen aus dem Schutzsystem vorliegen.
Dies bedeutet, daß Störungen während des normalen Betriebes entdeckt werden und nicht nur während der
verschwindend kurzen Zeiten, in denen das Schutzsystem in seiner Schutzfunktion beansprucht ist.
Durch den zweiten Rechner, der vorzugsweise zusammen mit dem ersten Rechner an einen gemeinsamen
Eingabebaustein angeschlossen ist, wird der Rechenvorgang in völlig gleicher Weise parallel
durchgeführt, so daß aus einem übereinstimmenden Ergebnis auf das fehlerhafte Funktionieren geschlossen
werden kann, wenn man von dem äußerst unwahrscheinlichen Fall gleichzeitiger und gleicher Fehler
absieht. Ein Fehler normaler Art macht sich durch ein Abweichen der Rechnerergebnisse bemerkbar, und
zwar unverzögert, so daß sofort ein Signal die Unstimmigkeit anzeigen kann. Der dafür notwendige
Aufwand ist bei Verwendung von Kleinrechnern (Mikroprozessoren) relativ gering.
Der Taktgeber sorgt für die erforderliche Synchronisation, so daß auch bei schnellen Signalwechseln (etwa
10 MHz) und bei einer gegebenenfalls gewünschten räumlichen Trennung kein Auseinanderlaufen der
Rechner zu befürchten ist Dieser Taktgeber kann auch die Vergleichseinrichtung steuern, die vorzugsweise
Daten- und Adreßbusse zwischen Steuerwerk und Speicher oder Peripherie mit einer Exklusiv-Oder-Schaltung
verknüpft. Bei einem positiven Vergleichsergebnis wird die Weiterleitung eines Taktes erlaubt, der
zu einer geeigneten Signaleinrichtung führt.
Nachfolgend wird anhand der Zeichnung ein Ausführungsbeispiel beschrieben, das in Form eines Blockschaltbildes
ausgeführt ist. Der überwachte Kernreaktor kann in bekannter Weise ein Druckwasserreaktor sein,
wie dies in der eingangs genannten deutschen Offenlegungsschrift 22 06 234 beschrieben ist.
Die Prozeßdaten kommen über eine Leitung 1, die dem Datenfluß entsprechend mehradrig ausgeführt sein
kann, wenn man nicht auf ein Zeitmultiplexsystem zurückgreifen will. In einem Eingabebaustein 2 werden
die Eingangssignale, zum Beispiel Druck und Temperatur des Primärkühlmittels, Drehzahl der Hauptkühlmittelpumpen,
Neutronenflußdichte usw. in für einen Rechner geeignete Weise umgesetzt. Dabei wird es sich
1. um eine Analog-Digital-Umwandlung handeln,
2. kann der Signalpegel den für Rechner benötigten Werten angepaßt werden.
An den Eingabebaustein sind zwei gleiche Rechner 3 und 4 Ober Leitungen 5 und 6 in »Parallelschaltung«
angeschlossen. Die Rechner sind gleich ausgebildet Es handelt sich vorzugsweise um Mikroprozessoren, die
auf einem Halbleiterkristall integriert sind (z. B. »INTEL 8080«) oder die aus mehreren 2-Bit-bFeiten Verarbeitungselementen
zusammengesetzt sind (z.B. »INTEL 3000«), mit einem Speicher von 32 000 bytes. Die
Speicher können zum Beispiel in Form von Ringkernen, aber auch als Halbleiterspeicher ausgeführt sein.
Die Rechner 3 und 4 sind zusätzlich über einen Taktgeber 7 miteinander verbunden. Der Taktgeber ist
im wesentlichen ein Oszillator mit einer Frequenz von zum Beispiel 10 MHz. Er sorgt dafür, daß die Rechner 3
und 4 im Rahmen ihrer unvermeidlichen Frequenztoleranzen nicht auseinanderlaufen können.
Die Ergebnisse der Rechner 3 und 4 werden über Leitungen 8 und 9 in eine Vergleichseinrichtung 10
eingespeist, die über eine Leitung 11 noch mit dem Taktgeber 7 verbunden ist Die Vergleichseinrichtung
10 umfaßt Exklusiv-Oder-Schaltungen, die die Daten- und Adreßbusse zwischen Steuerwerk und Speicher der
Rechner 3 und 4 verknüpfen. Unter Umständen kann die Verknüpfung auch zwischen Steuerwerk und Peripherie
vorgenommen werden. Daraus wird bei Obereinstimmung ein gegebenenfalls vom Taktgeber 7 stammendes
Signal gewonnen, das über eine Leitung 12 aus der Vergleichseinrichtung 10 geführt wird.
Die Leitung 12 führt zu einer Kette 13 von Und-Gliedem, die über eine Leitung 14 mit einem
Prüftaktsignal beaufschlagt wird. Eine erste Und-Schaltung 15 ist dabei über eine Leitung 16 an den Rechner 4
angeschlossen. Mit ihr ist eine zweite Und-Schaltung 17
in Reihe geschaltet, an die die Leitung 12 geführt ist. Eine dritte Und-Schaltung 18 ist über eine Leitung 19
mit dem Rechner 3 verbunden. Ihr ist eine Und-Schaltung 20 nachgeschaltet, die über eine Leitung 21 ein
10
15
20
30
35 Signal erhält Der Ausgang 22 der Kette 13 führt zu
einem Signalgeber 23, der für den FaIi eines fehlenden
Signals meldet, daß eine Störung in dem mit dem Rechner 3 ausgeführten Schutzsystem, und zwar im
Bereich der Rechner 3 oder 4 vorliegt Der Signalgeber 23 liegt außerhalb des durch eine strichpunktierte
Gerade angedeuteten Rechnerbereichs zum Beispiel in einer Warte.
Die Leitung 21 kommt von einem Zeitglied 24, das seinerseits über eine Leitung 25 mit einem Ausgabebaustein
26 des Rechners 3 verbunden ist Der Ausgabebaustein hat die Aufgabe, aus den vom Ausgang 27 des
Rechners 3 stammenden Signalen Ausgangssignale, zum Beispiel Spannungen bestimmter Höhe und/oder
Frequenz zu liefern, die für die Anregung eines an eine Leitung 28 angeschlossenen Schutzsystems geeignet
sind. Über die Leitung 25 werden Ausgangssignale zum Zeitglied 24 auf die Und-Stufe 20 der Kette 13 gegeben,
so daß damit eine Überwachung des Zeitverhaltens des Taktgebers 7 und des in den Rechnern 3 und 4
befindlichen Programmsystems erreicht wird.
An die Ausgangsleitung 28 ist eine Rückkopplungsleitung 29 angeschlossen, die zum Eingabebaustein 2 führt.
Mit dieser Leitung kann eine Überwachung des Eingabebausteins 2 und des Ausgabebausteins 26
erhalten werden, wenn in bekannter Weise durch eine Speicherung die für den Ausgang des Rechners 3
maßgeblichen Eingangswerte gesichert sind.
Die Leitung 28 führt zu einem Auswertungsbaustein 30, der, wie die Pfeile 31, 32 und 33 andeuten, mit drei
weiteren Rechnersystemen verbunden ist. Dort wird eine Auswertung nach dem 2-von-4-Prinzip vorgenommen,
bevor über die Ausgangsleitung 34 in die Steuerung des Reaktors eingegriffen wird, zum Beispiel
dadurch, daß durch das Einfahren von Steuerstäben eine Abschaltung des Druckwasserreaktors erfolgt
Hierzu 1 Blatt Zeichnungen
Claims (1)
- Patentansprüche:1. Schutzsystem für einen Kernreaktor unter Verwendung eines Rechnersystems zur Verarbeitung von Prozeßdaten, das zwei über einen s Taktgeber parallelgeschaltete Rechner mit gleichem Programm umfaßt, die mit einer Vergleichseinrichtung verbunden sind, dadurch gekennzeichnet,, daß einem mit dem Rechnersystem (3,4) über die Ausgangsleitung (28) verbundenen Auswertungsbaustein (30) drei weitere Rechnersysteme zugeordnet sind, und daß in dem Auswertungsbaustein (30) vor dem Eingriff in die Steuerung des Reaktors eine 2-von-4-Auswertung der Ausgangswerte (Leitungen 28,31,32,33) der vier Rechnersysterne stattfindet2. Schutzsystem nach Anspruch 1, dadurch gekennzeichnet, daß den beiden Rechnern (3,4) eines Rechnersystems ein von dem Auswertungsbaustein (30) unabhängiger Signalgeber (23) zugeordnet ist, der eine Störung im Bereich der beiden Rechner (3,4) meldet
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE19762636352 DE2636352C3 (de) | 1976-08-12 | 1976-08-12 | Schutzsystem für einen Kernreaktor |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE19762636352 DE2636352C3 (de) | 1976-08-12 | 1976-08-12 | Schutzsystem für einen Kernreaktor |
Publications (3)
Publication Number | Publication Date |
---|---|
DE2636352A1 DE2636352A1 (de) | 1978-02-16 |
DE2636352B2 true DE2636352B2 (de) | 1979-04-05 |
DE2636352C3 DE2636352C3 (de) | 1979-12-20 |
Family
ID=5985328
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE19762636352 Expired DE2636352C3 (de) | 1976-08-12 | 1976-08-12 | Schutzsystem für einen Kernreaktor |
Country Status (1)
Country | Link |
---|---|
DE (1) | DE2636352C3 (de) |
Families Citing this family (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
SE419270B (sv) * | 1975-07-25 | 1981-07-20 | Atomic Energy Authority Uk | Anordning for overvakning av elektriska signaler |
DE3003291C2 (de) * | 1980-01-30 | 1983-02-24 | Siemens AG, 1000 Berlin und 8000 München | Zweikanalige Datenverarbeitungsanordnung für Eisenbahnsicherungszwecke |
DE3036856C2 (de) * | 1980-09-30 | 1982-10-28 | Computer Gesellschaft Konstanz Mbh, 7750 Konstanz | Datenverarbeitungsanlage mit zwei Verarbeitungseinheiten |
CA1190307A (en) * | 1981-09-14 | 1985-07-09 | Theodore S. Malinowski | Watch-dog timer circuit |
SE8305262L (sv) * | 1982-12-14 | 1984-06-15 | Gen Electric | Universellt logikkort |
DE3332802A1 (de) * | 1983-09-12 | 1985-03-28 | Siemens AG, 1000 Berlin und 8000 München | Schaltungsanordnung zum pruefen des ordnungsgerechten anlaufens eines zweikanaligen fail-safe-mikrocomputerschaltwerkes, insbesondere fuer eisenbahnsicherungsanlagen |
US4772445A (en) * | 1985-12-23 | 1988-09-20 | Electric Power Research Institute | System for determining DC drift and noise level using parity-space validation |
US5020024A (en) * | 1987-01-16 | 1991-05-28 | Stratus Computer, Inc. | Method and apparatus for detecting selected absence of digital logic synchronism |
-
1976
- 1976-08-12 DE DE19762636352 patent/DE2636352C3/de not_active Expired
Also Published As
Publication number | Publication date |
---|---|
DE2636352C3 (de) | 1979-12-20 |
DE2636352A1 (de) | 1978-02-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE2549467C2 (de) | Verfahren zur Bestimmung der Fehlfunktion in einem elektrischen Geräte | |
DE3222692A1 (de) | Elektrisches stromversorgungssystem | |
DE2946081A1 (de) | Anordnung zur ueberwachung der funktion eines programmierbaren elektronischen schaltkreises | |
DE3123451A1 (de) | Verfahren und anordnung zur stoerungserkennung in gefahren-, insbesondere brandmeldeanlagen | |
DE10035174A1 (de) | Peripheriebaustein mit hoher Fehlersicherheit für speicherprogrammierbare Steuerungen | |
DE2636352C3 (de) | Schutzsystem für einen Kernreaktor | |
DE2701614A1 (de) | Anzeigesystem | |
DE3920516A1 (de) | Steuersystem fuer industrielle anlagen | |
EP0012185B1 (de) | Prüfschaltung für synchron arbeitende Taktgeber | |
CH684512A5 (de) | Verfahren zur Ermittlung kritischer Fehler insbesondere für ein Kommunikationssystem und eine nach diesem Verfahren arbeitende Schaltungsanordnung. | |
EP0009600B1 (de) | Verfahren und Schnittstellenadapter zum Durchführen von Wartungsoperationen über eine Schnittstelle zwischen einem Wartungsprozessor und einer Mehrzahl einzeln zu prüfender Funktionseinheiten eines datenverarbeitenden Systems | |
EP1597470B1 (de) | Signalverarbeitungsvorrichtung und steuergerät zur zusammenarbeit mit einer signalverarbeitungsvorrichtung | |
DE4039013C2 (de) | ||
DE2106163A1 (de) | Verfahren zum Prüfen von Einheiten eines programmgesteuerten Verarbeitungssystems | |
DE2014729C3 (de) | Datenverarbeitungssystem mit Einrichtungen zur Fehlerermittlung und zur Systemumkonfiguration unter Ausschluß fehlerhafter Systemeinheiten | |
DE69213609T2 (de) | Kompakte und fehlertolerante Schnittstelle und deren Verwendung in einer Mehrheitsentscheidungsvorrichtung | |
DE3739227C2 (de) | ||
EP1282859B1 (de) | Peripheriebaustein mit hoher fehlersicherheit für speicherprogrammierbare steuerungen | |
DE2935108C2 (de) | Prüfeinrichtung | |
DE3205217C1 (de) | Einrichtung zur Sicherung der Eingabe einer Folge von Datentelegrammen in einen Rechner | |
DE10125652A1 (de) | Verfahren zur Überwachung einer technischen Anlage | |
EP0173076B1 (de) | Einrichtung zum Überwachen von Thyristoren | |
DE2315285C3 (de) | Anordnung zur Steuerung der Abtastung in Vermittlungssystemen | |
EP0062768B1 (de) | Schaltungsanordnung zur Überwachung von Schaltwerken | |
DE2758552B2 (de) | Fehlersichere Datenübertragungseinrichtung |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
OAP | Request for examination filed | ||
OD | Request for examination | ||
C3 | Grant after two publication steps (3rd publication) | ||
8320 | Willingness to grant licences declared (paragraph 23) | ||
8339 | Ceased/non-payment of the annual fee |