核反应堆保护系统和方法与流程

本申请要求2013年12月31日提交的美国临时专利申请序列号61/922,625，和2014年3月6日提交的美国专利申请序列号14/198,891的优先权，这两个申请的全部内容通过引用并入本文中。

技术领域

本公开说明核反应堆保护系统及其相关方法。

背景技术：

核反应堆保护系统，一般地，核反应堆仪表与控制(I&C)系统提供自动启动(initiating)信号、自动与人工控制信号和监视显示，以减轻故障(fault)工况的后果。例如，I&C系统在稳态和瞬时动力运行期间，提供防止不安全反应堆运行的保护。在正常运行期间，I&C系统测量各种参数，并向控制系统传送信号。在异常运行和事故工况期间，I&C系统向反应堆保护系统传送信号，在一些情况下，向反应堆保护系统的反应堆停堆(trip)系统(RTS)和专设安全设施驱动系统(ESFAS)传送信号，以根据预定的设定点，启动保护措施。

技术实现要素：

在按照本公开的一种一般实现中，核反应堆保护系统包括多个功能独立的模块，每个模块被配置成从核反应堆安全系统接收多个输入，至少部分根据所述多个输入，逻辑确定安全措施；和一个或多个核反应堆安全驱动器，所述核反应堆安全驱动器可通信地耦接到多个功能独立的模块，以接收至少部分基于所述多个输入的安全措施确定。

在可与所述一般实现结合的第一方面，所述多个功能独立的模块都提供防止单一失效传播到所述多个功能独立的模块中的任意其它模块的保护。

在可与任意前述方面结合的第二方面，核反应堆安全系统包括专设安全设施驱动系统(ESFAS)，所述多个功能独立的模块接收多个ESFAS输入，至少部分根据所述ESFAS输入，逻辑确定ESFAS组件驱动。

在可与任意前述方面结合的第三方面，所述多个功能独立的模块提供冗余ESFAS表决序列。

在可与任意前述方面结合的第四方面，核反应堆安全系统包括反应堆停堆系统(RTS)，所述多个功能独立的模块接收多个RTS输入，至少部分根据所述RTS输入，逻辑确定RTS组件驱动。

在可与任意前述方面结合的第五方面，所述多个功能独立的模块提供冗余RTS表决序列。

在可与任意前述方面结合的第六方面，所述多个功能独立的模块都提供防止单一硬件失效传播到所述多个功能独立的模块中的任意其它模块的保护。

在可与任意前述方面结合的第七方面，所述多个功能独立的模块都提供防止单一软件失效传播到所述多个功能独立的模块中的任意其它模块的保护。

在可与任意前述方面结合的第八方面，所述多个功能独立的模块都提供防止软件产生的单一逻辑失效传播到所述多个功能独立的模块中的任意其它模块的保护。

在可与任意前述方面结合的第九方面，所述多个功能独立的模块为反应堆停堆感测和判定的信号路径，提供三重冗余。

在可与任意前述方面结合的第十方面，所述多个功能独立的模块包括每个反应堆停堆组件的独立停堆表决模块。

在可与任意前述方面结合的第十一方面，所述多个功能独立的模块与所述多个模块中专用于特定停堆组件的每个其它模块分离地逻辑判定反应堆停堆。

在可与任意前述方面结合的第十二方面，所述多个功能独立的模块包括每个ESF组件的独立ESFAS驱动表决模块。

在可与任意前述方面结合的第十三方面，所述多个功能独立的模块与所述多个模块中专用于特定ESF组件的每个其它模块分离地逻辑判定ESFAS驱动。

在可与任意前述方面结合的第十四方面，所述多个功能独立的模块包括多个安全功能模块。

在可与任意前述方面结合的第二方面，所述多个功能独立的模块包括多个通信模块。

在可与任意前述方面结合的第十五方面，所述多个功能独立的模块包括多个设备接口模块。

在可与任意前述方面结合的第十六方面，所述多个功能独立的模块按单轮表决方案，逻辑判定反应堆停堆。

在可与任意前述方面结合的第十七方面，所述多个功能独立的模块按多轮表决方案，逻辑判定反应堆停堆。

在可与任意前述方面结合的第十八方面，所述多轮表决方案包括两轮表决方案。

在可与任意前述方面结合的第十九方面，所述两轮表决方案的第一轮包括多数表决方案。

在可与任意前述方面结合的第二十方面，所述多数表决方案包括2/3表决方案。

在可与任意前述方面结合的第二十一方面，所述两轮表决方案的第二轮包括非多数表决方案。

在可与任意前述方面结合的第二十二方面，所述第二轮包括2/4表决方案。

在按照本公开的另一种一般实现中，一种判定核反应堆停堆的方法，包括在核反应堆保护系统的多个功能独立的模块处，从专设安全设施驱动系统(ESFAS)或反应堆停堆系统(RTS)之一，接收多个输入；利用所述多个功能独立的模块，至少部分根据所述多个输入，逻辑确定ESFAS安全措施或反应堆停堆判定之一；和根据逻辑确定，启动能够通信地耦接到所述多个功能独立的模块的ESFAS组件驱动器或反应堆停堆断路器之一。

可与所述一般实现结合的第一方面还包括利用所述多个功能独立的模块之一，限制单一失效传播到所述多个功能独立的模块中的任意其它模块。

在可与任意前述方面结合的第二方面，所述单一失效包括下述至少之一：单一硬件失效，单一软件失效或软件产生的单一逻辑失效。

在可与任意前述方面结合的第三方面，利用所述多个功能独立的模块，至少部分根据所述多个输入，逻辑确定ESFAS安全措施或反应堆停堆判定之一包括利用所述多个功能独立的模块，通过三重冗余信号路径，逻辑确定ESFAS安全措施或反应堆停堆判定。

在可与任意前述方面结合的第四方面，所述多个功能独立的模块提供冗余RTS表决序列或冗余ESFAS表决序列至少之一。

在可与任意前述方面结合的第五方面，利用所述多个功能独立的模块，至少部分根据所述多个输入，逻辑确定ESFAS安全措施或反应堆停堆判定之一包括利用所述多个功能独立的模块，通过每个反应堆停堆组件的独立停堆表决模块，逻辑确定ESFAS安全措施或反应堆停堆判定。

在可与任意前述方面结合的第六方面，利用所述多个功能独立的模块，至少部分根据所述多个输入，逻辑确定ESFAS安全措施或反应堆停堆判定之一包括利用所述多个功能独立的模块中的特定模块，与所述多个模块中的每个其它模块分离地逻辑确定ESFAS安全措施或反应堆停堆判定。

在可与任意前述方面结合的第七方面，所述多个功能独立的模块包括每个ESF组件的独立ESFAS驱动表决模块，所述方法还包括利用所述多个功能独立的模块中的特定模块，与所述多个模块中专用于特定ESF组件的每个其它模块分离地逻辑确定ESFAS驱动。

在可与任意前述方面结合的第八方面，所述多个功能独立的模块包括多个安全功能模块、多个通信模块和多个设备接口模块。

在可与任意前述方面结合的第九方面，利用所述多个功能独立的模块，至少部分根据所述多个输入，逻辑确定ESFAS安全措施或反应堆停堆判定之一包括利用所述多个功能独立的模块，按单轮表决方案，逻辑确定ESFAS安全措施或反应堆停堆判定。

在可与任意前述方面结合的第十方面，利用所述多个功能独立的模块，至少部分根据所述多个输入，逻辑确定ESFAS安全措施或反应堆停堆判定之一包括利用所述多个功能独立的模块，按多轮表决方案，逻辑确定ESFAS安全措施或反应堆停堆判定。

在可与任意前述方面结合的第十一方面，所述多轮表决方案包括两轮表决方案。

在可与任意前述方面结合的第十二方面，所述两轮表决方案的第一轮包括多数表决方案。

在可与任意前述方面结合的第十三方面，所述多数表决方案包括2/3表决方案。

在可与任意前述方面结合的第十四方面，所述两轮表决方案的第二轮包括非多数表决方案。

在可与任意前述方面结合的第十五方面，所述第二轮包括2/4表决方案。

在按照本公开的另一种一般实现中，核反应堆保护系统包括限制单一失效迁移到单一模块的多个功能独立的模块。

在按照本公开的另一种一般实现中，核反应堆保护系统包括多个功能独立的模块，所述多个功能独立的模块只包括3种模块，从而使现场可更换单元的数目降至最小。

在按照本公开的另一种一般实现中，核反应堆保护系统包括多个功能独立的模块，所述多个功能独立的模块包括确定通过数据总线的数据传送的时间表的通信模块。

在按照本公开的另一种一般实现中，核反应堆保护系统包括反应堆停堆系统，所述反应堆停堆系统定义其中数据通过仅仅与安全功能关联，而不与例如事故后监视功能关联的路径，从反应堆停堆系统传送给控制室的系统体系结构。

在按照本公开的另一种一般实现中，核反应堆保护系统包括多个功能独立的模块，每个功能独立的模块专用于系统中的多个反应堆停堆断路器之中的特定反应堆停堆断路器。

在按照本公开的另一种一般实现中，核反应堆保护系统包括多个功能独立的模块，每个功能独立的模块完全独立于所有其它模块地作出反应堆停堆/不停堆判定或者ESFAS驱动/不驱动判定。

在按照本公开的另一种一般实现中，核反应堆保护系统包括多个功能独立的模块，每个功能独立的模块专用于系统中的多个ESFAS设备驱动器之中的特定ESFAS设备驱动器。

在按照本公开的另一种一般实现中，核反应堆保护设备包括从核反应堆安全系统接收多个输入，至少部分根据所述多个输入，逻辑确定安全措施的装置；和接收至少部分基于所述多个输入的安全措施确定的装置。

在可与所述一般实现面结合的第一方面，接收安全措施确定的装置能够通信地耦接到从核反应堆安全系统接收所述多个输入，并逻辑确定安全措施的装置。

在可与任意前述方面结合的第二方面，从核反应堆安全系统接收所述多个输入，并逻辑确定安全措施的装置提供防止单一失效在设备内传播的保护。

在可与任意前述方面结合的第三方面，核反应堆安全系统包括专设安全设施驱动系统(ESFAS)，从核反应堆安全系统接收所述多个输入，并逻辑确定安全措施的装置接收多个ESFAS输入，至少部分根据所述ESFAS输入，逻辑确定ESFAS组件驱动。

在可与任意前述方面结合的第四方面，从核反应堆安全系统接收所述多个输入，并逻辑确定安全措施的装置提供冗余ESFAS表决序列。

在可与任意前述方面结合的第五方面，核反应堆安全系统包括反应堆停堆系统(RTS)，从核反应堆安全系统接收所述多个输入，并逻辑确定安全措施的装置接收多个RTS输入，至少部分根据所述RTS输入，逻辑确定RTS组件驱动。

在可与任意前述方面结合的第六方面，从核反应堆安全系统接收所述多个输入，并逻辑确定安全措施的装置包含冗余RTS表决序列。

在可与任意前述方面结合的第七方面，从核反应堆安全系统接收所述多个输入，并逻辑确定安全措施的装置提供防止单一硬件失效在设备内传播的保护。

在可与任意前述方面结合的第八方面，从核反应堆安全系统接收所述多个输入，并逻辑确定安全措施的装置提供防止单一软件失效在设备内传播的保护。

在可与任意前述方面结合的第九方面，从核反应堆安全系统接收所述多个输入，并逻辑确定安全措施的装置提供防止软件产生的单一逻辑失效在设备内传播的保护。

在可与任意前述方面结合的第十方面，从核反应堆安全系统接收所述多个输入，并逻辑确定安全措施的装置包含反应堆停堆感测和判定的三重冗余信号路径。

在可与任意前述方面结合的第十一方面，从核反应堆安全系统接收所述多个输入，并逻辑确定安全措施的装置包含每个反应堆停堆组件的独立停堆表决模块。

在可与任意前述方面结合的第十二方面，从核反应堆安全系统接收所述多个输入，并逻辑确定安全措施的装置独立判定特定反应堆停堆组件的反应堆停堆。

在可与任意前述方面结合的第十三方面，其中从核反应堆安全系统接收所述多个输入，并逻辑确定安全措施的装置包含每个ESF组件的独立ESFAS驱动表决模块。

在可与任意前述方面结合的第十四方面，从核反应堆安全系统接收所述多个输入，并逻辑确定安全措施的装置独立确定特定ESF组件的ESFAS驱动。

在可与任意前述方面结合的第十五方面，从核反应堆安全系统接收所述多个输入，并逻辑确定安全措施的装置包含多个安全功能模块。

在可与任意前述方面结合的第十六方面，从核反应堆安全系统接收所述多个输入，并逻辑确定安全措施的装置包含多个通信模块。

在可与任意前述方面结合的第十七方面，从核反应堆安全系统接收所述多个输入，并逻辑确定安全措施的装置包含多个设备接口模块。

在可与任意前述方面结合的第十八方面，从核反应堆安全系统接收所述多个输入，并逻辑确定安全措施的装置按单轮表决方案，逻辑判定反应堆停堆。

在可与任意前述方面结合的第十九方面，从核反应堆安全系统接收所述多个输入，并逻辑确定安全措施的装置按多轮表决方案，逻辑判定反应堆停堆。

在可与任意前述方面结合的第二十方面，所述多轮表决方案包括两轮表决方案。

在可与任意前述方面结合的第二十一方面，所述两轮表决方案的第一轮包括多数表决方案。

在可与任意前述方面结合的第二十二方面，所述多数表决方案包括2/3表决方案。

在可与任意前述方面结合的第二十三方面，所述两轮表决方案的第二轮包括非多数表决方案。

在可与任意前述方面结合的第二十四方面，所述第二轮包括2/4表决方案。

按照本公开的核反应堆保护系统的各种实现可包括下述特征中的一个、一些或全部特征。例如，反应堆保护系统可减轻由软件或者软件产生的逻辑错误引起的会挫败和/或禁止系统中的安全功能的共因失效(CCF)。再例如，反应堆保护系统可合并关键属性，包括独立性、冗余性、确定性、多层多样性、可测试性和诊断性。反应堆保护系统可确保使核反应堆维持安全工况。再例如，通过使功能性在专用于特定功能的各个逻辑引擎中实现的对称体系结构，反应堆保护系统具有增大的简单性。又例如，反应堆保护系统可便利所述体系结构内基于简单的确定性协议，并经冗余传送的通信。

附图和下面的说明中，记载了在本说明书中说明的主题的一种或多种实现的细节。根据所述说明、附图和权利要求，所述主题的其它特征、方面和优点将变得明显。

附图说明

图1图解说明系统的例证实现的方框图，所述系统包括多个核能系统，和仪表与控制(I&C)系统；

图2A-2B图解说明核能系统的I&C系统的模块保护系统(MPS)的方框图；

图3A图解说明核能系统的I&C系统的MPS的停堆判定块的方框图；

图3B图解说明核能系统的I&C系统的MPS的专设安全设施驱动系统(ESFAS)的方框图；

图4A-4B是图解说明减轻MPS内的基于软件或软件逻辑的共因失效(failure)，从而确保I&C系统能够实现其预期安全功能的多层多样性策略的例证图表；

图5图解说明核能系统的I&C系统的MPS的安全功能模块(SFM)的方框图；

图6图解说明核能系统的I&C系统的MPS的通信模块(CM)的方框图；

图7图解说明核能系统的I&C系统的MPS的设备接口模块(EIM)的方框图；

图8图解说明通信耦接一个或多个SFM、EIM和CM的反应堆保护系统的机箱的例证实施例；

图9A-9C图解说明利用SFM、CM和EIM中的一个或多个的停堆判定级、RTS级和ESFAS级互连的方框图；

图10图解说明核能系统的I&C系统的MPS的多样性分析图；和

图11图解说明把MPS块分成4个防御层次的例证分离的方框图。

具体实施方式

图1图解说明包括多个核能系统150，和核仪表与控制(I&C)系统135的系统100的例证实现。通常，I&C系统135提供自动触发信号、自动与人工控制信号及监视和指示显示，以避免或减轻系统100中的故障工况的后果。在稳态和瞬时动力运行期间，I&C系统135提供核能系统150的正常反应堆控制，和防止不安全反应堆运行的保护。在正常运行期间，仪表测量各种处理参数，并向I&C系统135的控制系统传送信号。在异常运行和事故工况期间，仪表向I&C系统135的各个部分(例如，作为模块保护系统(MPS)145的一部分的反应堆停堆系统(RTS)147和专设安全设施驱动系统(ESFAS)148(例如，用于减轻事故的影响))传送信号，以根据预定的设定点，启动保护措施。

图1中，系统100包括与I&C系统135电耦接的多个核能系统150。尽管本例中只表示了3个核能系统150，不过可存在包含在系统100内，或者耦接到系统100的更多或更少系统150(例如，6、9、12或另外的)。在一种优选实现中，可存在包含在系统100内的12个核能系统150，同时核能系统150中的一个或多个包括模块化的轻水反应堆，如下进一步所述。

就每个核能系统150来说，尽管未明确表示，不过，核反应堆堆芯可提供热量，所述热量可用于在一次冷却剂回路(例如，像在沸水反应堆中)，或者在二次冷却回路(例如，像在压水反应堆中)使水沸腾。汽化的冷却剂(比如蒸汽)可用于驱动一个或多个涡轮，所述涡轮把热势能转换成电能。在冷凝之后，使冷却剂返回，从而再次从核反应堆堆芯带走更多的热能。核能系统150是需要监视和保护功能，以便使与系统内的失效相关的危害降至最小的任意系统的一个例子。

在各个核反应堆系统150的具体例证实现中，堆芯被布置在柱形或囊形反应堆容器的底部。堆芯包括一些裂变材料，所述裂变材料产生可在可能数年或更长的时期内发生的受控反应。尽管图1中未明确示出，不过可以采用控制棒控制堆芯内的裂变率。控制棒可包括银、铟、镉、硼、钴、铪、镝、钆、钐、铒和铕，或者它们的合金和化合物。然而，这些仅仅是许多可能的控制棒材料中的一些。在设计成带有被动运行系统的核反应堆中，采用物理学定律来确保在正常运行期间，或者甚至在紧急工况下，无操作员干预或监督地至少持续一段预定时间，维持核反应堆的安全运行。

在各种实现中，柱形或囊形安全壳围绕反应堆容器，并被部分或完全浸没在反应堆舱(bay)内的反应堆水池中，比如在水线之下。反应堆容器和安全壳之间的体积可被部分或完全抽空，以减小从反应堆容器到反应堆水池的传热。然而，在其它实现中，反应堆容器和安全壳之间的体积可至少部分充填增大反应堆和安全壳之间的传热的气体和/或液体。安全壳可以搁置在反应堆舱的基座处的边缘上。

在一种特殊实现中，堆芯被浸没在液体，比如水中，所述液体可包括硼或其它添加剂，在与堆芯的表面接触之后，所述液体上涨进入通道中。冷却剂在热交换器的顶部上方通过，并经过对流，沿着反应堆容器的内壁向下流动，从而使冷却剂可把热量传给热交换器。在到达反应堆容器的底部之后，接触堆芯，导致加热冷却剂，冷却剂再次通过通道上升。

反应堆容器内的热交换器可代表缠绕着通道的至少一部分的任意数量的螺旋线圈。在另一种实现中，数目不同的螺旋线圈可反方向地缠绕着通道，其中例如第一螺旋线圈沿逆时针方向螺旋缠绕，而第二螺旋线圈沿顺时针方向螺旋缠绕。然而，当然可以使用不同地构成和/或不同地定向的热交换器，在这方面，实现不受限制。

图1中，核反应堆模块的正常运行按照其中加热的冷却剂通过通道上升，并与热交换器接触的方式进行。在接触热交换器之后，冷却剂按照引起热虹吸过程的方式，沉向反应堆容器的底部。在图1的例子中，反应堆容器内的冷却剂保持在高于大气压力的压力下，从而使冷却剂可以维持高温而不汽化(例如，沸腾)。

随着热交换器内的冷却剂温度升高，该冷却剂开始沸腾。当热交换器内的冷却剂开始沸腾时，汽化的冷却剂(比如蒸汽)可用于驱动一个或多个涡轮，所述涡轮把蒸汽的热势能转换成电能。在冷凝之后，冷却剂回到在热交换器的底部附近的位置。

在图1的核能系统150的正常运行期间，利用置于核能系统150内的各个位置处的例如I&C系统135的传感器，可以监视核能系统的各种性能参数。核能系统内的传感器可测量系统温度、系统压力、一次和/或二次冷却剂水平和中子通量。经由到I&C系统135的接口面板的通信通道，可向核能系统之外报告表示这些测量结果的信号。

例示的I&C系统135通常包括主控制室140、模块(或反应堆)保护系统(MPS)145和非安全模块控制系统(MCS)155。主控制室140包括用于每个核能系统150的一组控制器和指示器141。每组控制器和指示器141包括手动1E控制器142、1E指示器143、及非1E控制器和指示器144。在一些方面，“1E”指的是诸如定义按照核管理委员会管理指南1.32认可的IEEE标准308-2001，3.7节的1E方案的那些管理要求之类的管理要求，所述1E方案定义对紧急反应堆关闭、安全壳隔离、堆芯冷却、及安全壳和反应堆排热来说必不可少，或者在防止放射性物质显著释放到环境中方面必要的电气设备和系统的安全分级。一般，某些控制器和指示器可以是合乎“1E”的(例如，手动1E控制器142和1E指示器143)，而其它控制器和指示器可不是合乎“1E”的(例如，非1E控制器和指示器144)。

非1E控制器和指示器144与MCS 155双向通信。MCS 155可提供核能系统150的非安全部分的控制和监视。通常，MCS 155约束运行瞬态，以避免机组停堆，和重建稳态机组运行，以及其它操作。

MPS 145分别与手动1E控制器142和1E指示器143单向通信，如图1中所示。通常，MPS 145启动安全措施，以减轻设计基准事件的后果。通常，MPS 145包括为启动反应堆关闭所需的从传感器到最终驱动设备(电源、传感器、信号调节器、启动电路、逻辑、旁通、控制板、互连和驱动设备)的所有设备(包括硬件、软件和固件)。

MPS 145包括RTS 147和ESFAS 148。在一些方面，RTS 147包括具有独立的测量通道，以监视可用于产生反应堆停堆的设备参数的4个独立的分离组(例如，具有相同的1E级电气通道标记(A、B、C或D)的处理(process)通道的物理分组，它具备分离并且独立的馈电和处理(process)仪表传送器，并且每个组物理上和电气上与其它各个组无关)。当参数超过预定设定点时，每个测量通道停堆。RTS 147的一致逻辑可被设计成以致当需要时，单一失效不会阻止反应堆停堆，单一测量通道中的失效不会产生不必要的反应堆停堆。

在一些方面，ESFAS 148包括具有监视设备参数的独立测量通道的4个独立的分离组，所述设备参数可用于启动专设安全设施(ESF)设备的操作。当参数超过预定设定点时，每个测量通道停堆。ESFAS 148的一致逻辑可被设计成以致当需要时，单一故障不会阻止安全系统启动，单一测量通道中的单一失效不会产生不必要的安全系统启动。

系统100可包括4个防御层次，例如，深度防御的原理对于附加到核反应堆以便运行反应堆或者关闭反应堆和冷却反应堆的仪表和控制系统的配置的具体应用，如在NUREG/CR-6303中定义的一样。具体地，所述4个层次是控制系统、反应堆停堆或紧急停堆系统、ESFAS及监测和指示系统(例如，包括为操作名义上分配给其它3个层次的设备所需的1E级和非1E级手动控制器、监视器和指示器的最慢、最灵活的防御层次)。

一般，控制系统层次包括MCS 155(例如，非1E级手动或自动控制设备)，MCS 155例行地防止朝着不安全的运行状态方向发展的反应堆功率激增(excursion)，通常用于在安全发电运行区中运行反应堆。在该控制层次中，可包括指示器、信号器和警报器。反应堆控制系统一般包含满足特殊规则和/或要求，例如对于远程关闭面板的要求的一些设备。控制系统层次实现的反应堆控制功能包含在MCS 155中。例如，MCS 155包括把系统100维持在运行极限内以避免对反应堆停堆或ESF驱动的需要的功能。

反应堆停堆系统层次一般包括RTS 147，例如，用来响应不受控的功率激增，快速降低堆芯反应性的安全设备。该层次一般由用于检测可能或实际的功率激增的仪表，用于快速和完全插入反应堆控制棒的设备和过程组成，还可包括某些化学中子慢化(moderation)系统(例如，硼注入)。如图所示，由反应堆停堆层次进行的自动反应堆停堆功能包含在MPS 145中(例如，RTS 147中)。

ESFAS层次一般包括作为MPS 145的一部分的ESFAS模块148。当在ESFAS模块148中实现时，ESFAS层次一般包括除热或者帮助维持针对放射性物质释放的3个物理屏障(例如，核燃料棒包壳、反应堆容器和反应堆安全壳)的完整性的安全设备。该层次检测对于诸如应急反应堆冷却、卸压或降压、隔离和为ESF设备工作所需的各种支持系统(例如，应急发电机)或设备(阀、电动机、泵)的控制之类功能的需要，并执行所述功能。

监测和指示系统层次一般包括主控制室140，在一些方面，是最缓慢也最灵活的防御层次。类似于其它3个层次，(例如，系统100)的人类操作员依赖于精确的传感器信息来进行其任务，但是，给定的信息、时间和装置能够进行未预先指定的逻辑计算，以对意外的事件作出反应。监测和指示层次包括为(例如，通过手动1E控制器142、1E指示器143、及非1E控制器和指示器144)操作名义上分配给其它3个层次的设备所需的1E级和非1E级手动控制器、监视器和指示器。监测和指示系统层次所需的功能由包括来自MCS 155和MPS 145的信息的主控制室中的手动控制器、显示器和指示器提供。安全监测、手动反应堆停堆和手动ESF驱动功能包含在MPS 145中。MCS 155提供非安全监测和手动控制，以在正常设备运行期间，维持运行限制。

除了包括所述4个防御层次之外，系统100还包括多种水平的多样性。具体地，I&C多样性是利用不同的技术、逻辑或算法，测量变量或提供驱动手段，以提供响应假定的设备工况的多样方式的原理。这里，多样性适用于仪表系统中的利用不同技术、逻辑或算法，感测不同参数，或者提供驱动手段的原理，以提供检测并响应重大事件的几种方式。多样性是对深度防御原理的补充，增大当需要时，将启动在特定层次或深度处的防御的机会。通常，存在多样性的6种属性：人类多样性、设计多样性、软件多样性、功能多样性、信号多样性和设备多样性。如在本公开中更深入所述，MPS 145可包含多样性的所述6种属性，以便减轻MPS 145中的共因失效(例如，由软件错误或软件产生的逻辑引起的会挫败利用硬件体系结构实现的冗余的失效)的影响。

通常，人类多样性涉及致力于整个系统开发生命周期内的人为失误(例如，过失、误判、错误、配置失效)，并由生命周期过程的执行中的相异性表征。

通常，设计多样性是利用不同的方式，包括软件和硬件来解决相同或相似的问题。软件多样性是设计多样性的特殊情况，由于其潜在的重要性及其潜在的缺陷而单独提及。设计多样性的基本原理在于不同的设计具有不同的失效模式，从而不会对相同的常见影响敏感。

通常，软件多样性是利用由重要人员不同的不同软件开发组设计和实现的不同软件程序来实现相同的安全目标，例如利用两个分别设计的程序来确定反应堆何时应被停堆。

通常，功能多样性指的是执行不同的物理或逻辑功能的两个系统(例如，系统100内的子系统)，尽管它们可能具有交叠的安全效果。

通常，信号多样性是利用不同的过程参数来启动保护措施，其中任意参数可独立地指示异常工况，即使其它参数未能被正确检测。

通常，设备多样性是利用不同的设备执行相似的安全功能(例如，对于把设备参数维持在关于设计基准事件确定的容许极限内来说必不可少的过程或条件之一，它可通过RTS或ESF完成所有必需的保护措施，或辅助支持特征完成所有必需的保护措施，或这两者来实现)。这种情况下，“不同”可意味充分不同，以显著降低对于共因失效的脆弱性。

在一些方面，MPS 145可包含连续(或部分连续)自测和定期监测的组合。这种测试策略可确保识别并向电站人员通告所有可检测的失效(例如，通过主控制室140)。自测特征可提供确保系统状态持续(或部分持续)被监视的全面诊断系统。可向电站人员通告所有可检测的失效，可以提供所述失效的影响的指示，以确定系统的整体状态。自测特征维持分离组和序列(division)独立性。自测特征确保系统完整性始终得到保持。

在一些方面，MPS 145内的各个子块(下面更详细说明)可包含用于检测模块内的各个失效的提供高故障检测覆盖率的自测特征。这可使检测故障所需的时间降至最少，提供对于安全和系统可用性的益处。在系统正常运行的时候，所述自测不影响安全功能的性能，比如响应时间地进行。

自测特征能够检测现用(active)逻辑和待用(inactive)逻辑(例如，只有当需要安全功能工作时才启动的逻辑)中的多数故障，以避免存在未检测到的故障。故障检测和指示发生在MPS子模块层级，使电站人员能够容易地识别需要更换的MPS子模块。

可以包含定期在线监测能力，以确保所有功能测试和检查、校准验证和时间响应测量得到证实。定期监测还验证连续自测功能。

MPS 145中的自测和定期监测特征是为与将对于所有电站运行模式执行的安全功能相称的使用中可测试性而设计的。自测和监测的执行不需要任何临时的测试设置。所述测试特征可以是系统的设计所固有的，对于安全功能逻辑和数据结构，只增加最小的复杂性。如果：(1)在电站的正常运行期间，通过自测检测到故障，或者(2)安全功能的某个部分被旁通，或者有意使之不能工作，以便进行测试，那么产生旁通工况的持续指示。一旦旁通工况被消除，旁通的指示就被去除。这可确保电站人员能够确认被旁通的安全功能已正确恢复工作。

MPS 145的诊断数据被提供给关于每个分离组和序列的维修工作站(MWS)。MWS可以位于设备附近，以便利故障查找活动。MPS和MWS之间的接口可以是光学隔离的单向诊断接口。所有诊断数据可经由物理分离的通信路径传送，确保诊断功能与安全功能无关。另外，诊断数据可被传送给中央历史库，以便长期保存。这提供进行系统运行的历史分析的手段。

诊断系统可保持安装的模块的名单。可以不断比较所述名单与系统中正处于运行状态的安装模块，以避免模块缺失，或者安装不正确的模块。

所有的MPS安全数据通信可被设计成带有检错，以增强数据完整性。借助检测传输差错的能力，协议特征确保通信鲁棒并且可靠。类似的数据完整性特征可用于传送诊断数据。

图2A-2B图解说明核能系统150的I&C系统的模块保护系统(MPS)200的方框图。在一些实现中，MPS 200可类似于或等同于图1中所示的MPS 145。通常，例示的MPS 200包括4个分离组的传感器和检测器(例如，传感器202a-202d)；4个分离组的信号调节和信号调节器(例如，信号调节器204a-204d)；4个分离组的停堆判定(例如，停堆判定208a-208d)；2个序列的RTS表决和反应堆停堆断路器(例如，序列I RTS表决214，和序列II RTS表决216)；和2个序列的专设安全设施驱动系统(ESFAS)表决和专设安全设施(ESF)设备(例如，序列I ESFAS表决212和ESF设备224，及序列II ESFAS表决218和ESF设备226)。

通常，传感器202a-202d包括负责测量诸如压力、温度、水平线和中子通量之类的不同过程参数的过程传感器。从而，利用不同的传感器，测量核能系统150的各个过程参数，并利用由不同的逻辑引擎执行的不同算法处理所述各个过程参数。在一些方面，中子通量传感器负责测量从关机工况一直到120％的全功率，来自堆芯的中子通量。在MPS 200中可以使用3种中子通量检测器，包括源量程、中间量程和功率量程。

通常，信号调节器204a-204d接收来自传感器202a-202d的测量结果，处理所述测量结果，然后提供输出206a-206d。在一些方面，传感器202a-202d与信号调节器204a-204d的互连可以是专用铜线或某种其它信号传输方法。

如图3A中所示，信号调节器204a-204d都可由多个输入模块270a-270n(例如，表示由传感器输出的数目而定的任意数目的模块)构成，所述多个输入模块270a-270n负责调节、测量、过滤和采样来自传感器202a-202d的现场输入。每个输入模块270a-270n可专用于特定输入类型，比如24V或48V数字输入，4-20mA模拟输入，0-10V模拟输入，热电阻检测器输入，或者热电偶输入。

每个输入模块270a-270n可由模拟电路和数字电路构成。模拟电路负责把模拟电压或电流转换成数字表示。它也被称为信号调节电路。每个输入模块270a-270n的数字部分可位于逻辑引擎内。逻辑引擎执行所有的输入模块控制、采样并保持滤波、完整性检查、自测和数字滤波功能。在一些例子中，利用串行接口，通过输出206a-206d，传感器输出的数字表示从信号调节器204a-204d被传送给停堆判定208a-208d。

同样参见图3A，停堆判定208a-208d通常经由串行接口，从如上所述的信号调节器204a-204d，接收数字格式的传感器输入值。停堆判定208a-208d都由独立的安全功能模块(SFM)272a-272n(参考图5更充分地说明)构成，其中特定的模块实现一组安全功能(例如，一组安全功能可以是与特定过程参数相关的单一安全功能或多个安全功能)。例如，一组安全功能可由与主导变量(比如源自相同压力输入的高压力和低压力停堆)相关的一组功能组成。每个SFM 272a-272n包含专用于实现一组安全功能的唯一逻辑引擎。这结果产生每组安全功能的完全不同于所有其它各组安全功能的门级实现。

传感器输入值(例如，输出206a-206d)可经由确定性路径传送，并被提供给每个停堆判定208a-208d中的特定SFM 272a-272n。这些输入值随后可被转换成工程单位，以判定在该特定SFM 272a-272n上实现哪个安全功能或者哪一组安全功能。在一些例子中，停堆判定208a-208d通过隔离的只能进行发送的光纤连接，把这些工程单位值提供给控制系统。

如果需要，每个停堆判定208a-208d中的SFM根据预定的设定点，作出反应堆停堆判定，并经隔离的，在一些情况下三重冗余的只能进行发送的串行连接，向各个RTS序列(例如，分别在序列I和II中的RTS表决214和216)提供停堆或不停堆需求信号。如果需要，SFM还根据预定的设定点，作出ESFAS驱动判定，并经隔离的，在一些情况下三重冗余的只能进行发送的串行连接，向各个ESFAS序列(例如，分别在序列I和II中的ESFAS表决212和218)提供驱动或不驱动需求信号。

如图3A-3B中所示，例如，特定的停堆判定208a通过输出274a，向ESFAS表决212，和通过输出274b，向ESFAS表决218提供停堆或不停堆需求信号。停堆判定208a通过输出276a，向RTS表决214，和通过输出276b，向RTS表决216提供停堆或不停堆需求信号。作为分别来自停堆判定208a-208d的输出210a-210d，图2A中也表示了这些输出。

进一步如图3A中所示，例如，特定的停堆判定208a向监测&指示(M&I)输出278a和278b(每个序列一个)，以及向非1E输出280，提供停堆或不停堆需求信号。输出278a和278b向MCS提供过程信息，用于非安全控制功能。输出280向非1E控制器和指示器144提供过程信息和停堆状态信息。

返回图2A，每个RTS序列(例如，序列I的RTS表决214和序列II的RTS表决216)经由隔离的，在一些情况下冗余(例如，双重冗余、三重冗余或其它冗余)的只能进行接收的串行连接210a-210d，接收如上所述来自停堆判定208a-208d的输入。停堆输入在RTS表决逻辑中被组合，以致来自停堆判定208a-208d的两个或更多的反应堆停堆输入在(适合于每个序列的)输出228a-228d和230a-230d上，产生自动反应堆停堆输出信号，所述信号驱动与相应序列相关联的8个反应堆停堆断路器(RTB)(示于图2B中)中的4个的脱扣线圈(trip coil)。换句话说，在MPS 200的本例证实现中，RTS表决逻辑根据“4取2”逻辑工作，意味如果4个停堆判定208a-208d中的至少两个指示反应堆“停堆”是必要的，那么向各个RTB 264a-264d和266a-266d，发送停堆信号。这种断路器结构允许MPS 200的安全并且简单的在线测试。

手动停堆250a把(序列I的)RTB 266a-266d的直接停堆，手动停堆250b同样把(序列II的)RTB 264a-264d的直接停堆，作为输入提供给自动驱动、(序列I的)手动停堆234和(序列II的)手动停堆236，以确保该次序被保持。

如图进一步图解所示，每个RTB 264a-264d和每个RTB 266a-266d包括作为输入的手动停堆250a或250b。从而，如果两个手动停堆250a和250b都被启动(例如，序列I和II各自的手动停堆)，那么功率输入260将不被传送给功率输出262，与输入230a-230d和输入228a-228d的状态(例如，停堆或不停堆)无关。

在该例证实现中，ESFAS表决和逻辑被布置成以致没有一个失效能够阻止安全设备启动(当需要时)，停堆判定信号(例如，210a-210d)中的单一失效都不会产生不必要的安全设备启动。ESFAS系统可提供关键系统，比如应急堆芯冷却系统和衰变热排除系统的自动和手动启动。

每个ESFAS表决212/218通过隔离的三重冗余的只能进行接收的光纤(或其它通信技术)连接，从停堆判定208a-208d接收输入210a-210d。驱动逻辑和表决在ESFAS表决212/218内发生。当ESFAS表决212/218确定需要驱动时，ESFAS表决212/218分别向ESFAS优先逻辑220/222发送启动需求信号，ESFAS优先逻辑220/222启动适当的ESF设备224和226。

图2A-2B和3A-3B中的MPS 200的例示实现确保关键元素之间的高水平独立。这包括4个分离组的传感器和检测器202a-202d、4个分离组的停堆判定(标记为“a”-“d”)、2个序列的RTS 214/216(如上所述的序列I和序列II)、2个序列的ESFAS电路212/218(如上所述的序列I和序列II)以及2个序列的ESF设备224/226(如上所述的序列I和序列II)之间的独立。根据给SFM(例如，在停堆判定208a-208d中)的输入，MPS 200在所述4个分离组中的每一个内，独立地实现一组安全功能。从传感器202a-202d到停堆判定输出210a-210d，保持安全功能独立性。在一些方面，这种结构把SFM失效局限于基于模块的输入的那些失效。这种策略可帮助限制共因失效的影响，和增强信号多样性。独立性的这种方法还可确保独立的安全功能内的失效不会传播到任何其它的安全功能模块。此外，失效的SFM的在线更换确保能够在对其它模块的影响最小(即使有的话)的情况下，纠正所述失效。

例示的MPS 200内的安全功能数据的通信是经由三重模块、冗余、独立且光学隔离的单向通信路径发送或接收的。除了序列间表决之外，这种通信方案可确保安全功能不依赖于起源于其序列之外的任何信息或资源来完成其安全功能。利用序列停堆信号的单向隔离(例如，光学隔离或别的方式)，防止了1E级序列(例如，序列I和II)之间的失效传播。

图2A-2B和3A-3B中的MPS 200的例示实现还在例示的体系结构的多个区域中包含冗余性。MPS 200内的冗余性包括4个分离组的传感器和检测器(标记为“a”-“d”)、停堆判定(标记为“a”-“d”)和2个序列的RTS和ESFAS电路(如上所述的序列I和序列II)。MPS 200还利用4取2表决，以致启动信号的单一失效不会阻止反应堆停堆或ESF设备驱动(当需要时)发生。另外，启动信号的单一失效不会导致假的或者非有意的反应堆停堆或ESF设备驱动(当不需要它们时)。

通过利用用于特定一组安全功能的唯一逻辑引擎，实现用于缓和独立SFM上的特定瞬态事件的每组安全功能，MPS 200还包含功能独立性。

在一些方面，MPS 200实施设计技术，以实现核反应堆系统的简单、高度可靠并且安全的设计。例如，MPS 200可以基于4个分离组和2个序列的对称体系结构。所述4个分离组中的每一个在功能上与其它各个分离组相同，所述2个序列在功能上彼此相同。如上所述，4取2表决可以是例示的实现中的唯一表决策略。再例如，可在专用于特定安全功能或一组安全功能的有限状态机(例如，可处于数目有限的状态之一，每次只处于一种状态(称为当前状态)，但是当利用触发事件或一组条件启动时，可从一种状态变到另一种状态(比如状态转移)的数字逻辑电路的集合)中，实现MPS 200的逻辑。从而，不需要内核或操作系统。再例如，MPS 200内的通信可以基于确定性协议，所有的安全数据通过冗余通信路径传送。再例如，MPS 200的多样性属性可被设计成为体系结构所固有，而不存在基于完全不同平台的附加系统的附加复杂性。

例如，图4A-4B分别图解说明例证的图表400和450，图表400和450图解说明在MPS 200内实现的多层多样性策略如何减轻基于软件或软件逻辑的共因失效。图表400和450图解说明在MPS 200内实现的多层多样性策略如何能够消除对于MPS(例如，MPS 200)内的基于软件或者基于软件逻辑的CCF的顾虑。在这些例子中，瞬态事件是核能系统的给水的丧失。如图所示，测量两个不同的过程参数A1和A2(例如，通过传感器202a-202d)。如图所示，A1是温度参数，而A2是压力。

不同的过程测量结果A1和A2被输入两个不同的安全功能算法中：(A1)高温和(A2)高压，如图所示。所述两个安全功能算法分别位于分离组内的分离并且独立的SFM上。和关于MPS 200所示一样，通过利用分成4个分离组(A、B、C、D)和2个序列的两组不同的可编程数字硬件(A/C和B/D)，可实现所述安全功能算法。例如，这里，所述两个安全功能包含一组安全功能。(例如，两个安全功能算法的)每组安全功能可基于不同的技术。

过程也体现设计多样性，因为每组可编程数字硬件可由不同的设计团队利用不同的一组设计工具设计。例如，可用微处理器实现安全功能。在这个例子中，可按照顺序的方式，评估安全功能，在一些方面，归因于处理回路的顺序操作，所述顺序的方式可引入一种安全功能(例如，A2)对于另一种安全功能(例如，A1)的依赖性。再例如，可用基于状态的现场可编程门阵列(FPGA)实现安全功能。在这个例子中，可以与每个其它安全功能无关地评估各个安全功能。通过消除一种安全功能的处理对于另一种安全功能的任何依赖性，后一例子可确保提高的独立性。

给水丧失瞬态事件例子的多层多样性通过把软件CCF局限于特定安全功能(A1)的一个组(A/C)，提供防止CCF使保护性措施失效的保护。在一些方面，根据两种安全功能之间的功能独立性，和安全功能算法用作输入的过程测量结果，软件CCF被局限于特定的安全功能。在一些方面，通过对于每一组，结合不同的可编程硬件、设计团队和设计工具，软件CCF被局限于特定安全功能的一个组。由于CCF被局限于特定安全功能的一个组，该安全功能(A1)的另一个组(B/D)，或者另一种安全功能(A2)的两个组(A/C和B/D)缓和瞬态事件。

例如，如图4A中所示，安全功能A1的指示所有4个分离组(A、B、C、D)都需要采取保护性措施(例如，用√表示)的输出导致保护性措施的启动(例如，用“停堆”表示)。如图4B中所示，如果在两个分离组(A和C)中存在CCF，那么即使两个组在一个序列中，对安全功能A1来说，其它分离组(B和D)中的保护性措施的肯定指示仍然提供启动所述保护性措施的足够得票数(按如上所述的4取2方案)。此外，由于在每个SFM上的独立评估，安全功能A1的组A和C中的CCF不会传播到安全功能A2。

图5图解说明核能系统的I&C系统的MPS的安全功能模块(SFM)500的方框图。图6图解说明核能系统的I&C系统的MPS的通信模块(CM)600的方框图。图7图解说明核能系统的I&C系统的MPS的设备接口模块(EIM)700的方框图。图8(下面讨论)图解说明机箱(例如，互连一个或多个SFM 500、CM 600和EIM 700的机械结构)内的通信路径。通常，在机箱(如用机箱800图解所示，并如下所述)内互连的例示模块500、600和700实现MPS 200的安全功能，并组成分离组级模块(例如，信号调节器204a-204d、停堆判定208a-208d)、RTS级模块(例如，RTS表决214/216)和ESFAS级模块(例如，ESFAS表决212/218)。在一些方面，具有3种模块(500、600和700)可使现场可更换单元的数目降至最小，从而使设备废弃降到最小程度。此外，这些模块(500、600和700)可在功能上独立，以致任意单个模块(500、600和700)中的单一失效不会传播到其它模块或其它安全功能。此外，如在图8A-8C中实现的模块(500、600和700)的组合可提供离散的确定性安全信号路径。

在一些方面，模块(500、600和700)可具有至少部分定义其功能独立性的一个或多个特性。例如，各个模块相对于整个系统/体系结构(例如MPS 200)中的每个其它模块可以是完全自主的。再例如，各个模块可相对于整个系统/体系结构内的每个其它模块，自主地实现特定的预期安全功能。又例如，各个模块可包括特定于该模块的特定的预期安全功能的专用逻辑。于是，各个功能独立的模块不依赖于任何其它模块的逻辑或功能来完成所述特殊的预期安全功能。

参见图5，如图中所示，SFM 500处理传感器输入，或者来自其它SFM的数据，从而为该特定SFM被分配给的分离组(例如，分离组A、B、C或D)作出反应堆停堆和/或ESF驱动判定。可按两种单独的配置使用SFM 500：(1)带有安全数据总线通信，和反应堆停堆和/或ESF驱动的传感器信号调节；和(2)带有反应堆停堆判定和/或ESF驱动判定的安全数据总线通信。

如图所示，SFM 500一般包括输入块504、功能逻辑块512和通信块514、516和518。每个输入块504(图5中表示的4个)由信号调节电路506、模-数(A/D)转换器508和串行接口510组成。每个输入块504通信耦接到传感器502(例如，可以和传感器202a-202d相同或相似)。如图所示，单个SFM 500可处理多达4个输入块504(在例示的例证实施例中)。输入类型可以是SFM 500为了作出停堆或ESF驱动判定(包括产生许可和互锁)而需要的模拟和数字输入(例如，4-20mA、10-50mA、0-10V)的任意组合。

功能逻辑块512是SFM 500的把来自输入块504的串行接口510(如果使用的话)的输出转换成工程单位的可编程部分。功能逻辑块512还可根据输入块504的输出(例如，基于来自传感器502的传感器测量结果)和/或来自安全数据总线的信息，作出停堆和/或ESF驱动判定。功能逻辑块512还可产生许可和控制互锁。如图所示，功能逻辑块512由利用输入块504和/或从安全数据总线获得的信息，作出停堆或ESF驱动判定的多个确定性逻辑引擎组成。

功能逻辑块512利用的设定点和其它可调信息可被保存在非易失性存储器中(例如在SFM 500上)。这允许不修改底层逻辑地作出改变。此外，为了实现功能、信号和软件多样性，用于减轻AOO或PA的主功能和备份功能可不在同一SFM 500上。从而，通过把专用SFM 500用于某个功能或一组功能，并通过确保主功能和备份功能在不同的模块500上，归因于每个模块500上的唯一逻辑和算法，软件CCF的影响受到限制。

通信块514/516/518由5个独立的通信端口组成(例如，3个安全数据端口514，1个端口516，和1个端口518)。每个端口可在功能上独立，可被指定为监测和指示(M/I)总线(例如，块516)、维修工作站(MWS)总线(例如，块518)或者安全总线(例如，块514)。尽管每个安全数据总线514可传送相同的数据，不过每个通信端口是异步的，端口通过利用不同的独立且唯一的通信引擎，不同地打包和传送数据。例如，一条安全数据总线514可顺序地(例如，1、2、…、10)传送例如数据的10个分组，而另一条安全总线514逆序地(例如10、9、…、1)传送相同的10个分组，第三条安全总线514首先传送偶数分组，然后传送奇数分组(例如，2、4、…10、1、3、…、9)。这种三重模块冗余性和多样性不仅允许通信错误检测，而且把通信CCF局限于特定总线，而不影响RTS或ESFAS作出正确停堆和/或驱动判定的能力。

参见图6，在核能系统的I&C系统的MPS(例如，MPS 200)的分离组级互连、RTS级互连和ESFAS级互连内，CM 600提供MPS的其它模块(比如SFM 500和EIM 700)之间的独立且冗余的通信。例如，CM 600可以是将在MPS内传送的数据的管线，以及数据的所述传送的调度器。在任意特定通道中，CM 600可控制该通道内的数据的操作/传送。在CM 600的例示实现中，存在3种类型的块：限制通信块(RCB)604、通信调度器606和通信块608/610。

如图所示，RCB 604由4个通信端口组成。在一些方面，每个端口可被配置给不同的单向路径(例如，只能进行接收，或者只能进行发送)。在一些实现中，和在例示的CM 600中一样，使接收或发送自特定RCB 604的信息通过光隔离器602。在一些情况下，光隔离器602可帮助确保来自任何特定停堆判定的数据与其它停堆判定的数据隔离，从而确保独立冗余性。

通信调度器606负责把数据从通信块608/610移动到RCB 604，和把数据从RCB 604移动到通信块608/610。在一些方面，通信引擎606由诸如FPGA之类的可编程逻辑、微处理器或者被编程以在所述互连之间调度通信的其它离散逻辑组成。

通信块608/610由4个分离的通信端口(例如，3个安全数据端口608和1个端口610)组成。每个端口可在功能上独立，被指定为监测和指示(M/I)总线(例如，块610)或安全数据总线(例如，块608)。在一些方面，M/I总线610可从MPS中的所有模块(例如，模块500、600和700)收集信息，包括每个所述模块的状况，并把所述信息发送给“历史库”工作站(例如，MPS的历史数据的专用计算系统)。

尽管每个安全数据总线608可传送相同的数据，不过如上关于总线514所述，每个通信端口不同地打包和传送数据。取决于通信模块的应用，可按照单向路径和双向路径的任意组合，配置4个通信块608/610。

参见图7，EIM 700通常在RTS和/或ESFAS级系统内，提供与核能系统内的各个组件的接口，以便使停堆判定被表决，和进行组件级驱动和操作。如图所示，EIM 700包括输出块720、设备反馈块718、1E手动输入716、非1E手动输入714、表决引擎722、优先逻辑块721、设备控制块723和通信块724/726/728。通常，EIM 700可根据停堆信号进行表决，在一些情况下，进行两次表决(例如，关于通信的2/3表决，和关于停堆信号的2/4表决)，以确保单一组件的失效不会在核能系统的I&C系统的MPS(例如，MPS 200)的通道级互连、RTS级互连和ESFAS级互连内传播。EIM 700可对来自表决722、手动驱动/1E输入716和非1E输入714的自动信号进行优先级分配。

如图所示，输出块720包括多达3个独立的输出开关，或者在一些例子中，更多独立的输出开关，所述独立的输出开关可在外部电路中使用，并耦接到电气负载702(例如，驱动器)。在一些方面，这允许EIM 700直接控制单个组件，或者提供针对多个组件的启动信号。例如，输出块720使启动各种泵和开启多个阀门的继电器通电。每个输出块720还可包括自测能力，并进行负载连续性检查。

如图所示，设备反馈块718可由来自设备的多个(例如，多达3个，或者在一些例子中，更多个)反馈输入704组成。例如，反馈输入704可包括阀位置(例如，全开、全关)、断路器状态(例如，开断/闭合)或者来自其它组件的其它反馈。设备反馈704可用在下面讨论的表决设备控制块723中。

1E手动输入块716可提供多个(例如，达到2个，或者在一些例子中，更多个)手动输入信号706。EIM 700的该部分可专用于手动输入，用在优先逻辑块721中。

手动输入信号708可经由隔离接口712，耦接到非1E输入块714。该电气隔离接口712允许把非1E信号用于给优先逻辑块721的输入。

表决引擎722接收来自通信块724的停堆判定输入。对于自动驱动信号，表决的结果把驱动或不驱动信号提供给优先逻辑块721。在一些方面，表决引擎722可实现表决方案，在一些情况下，可实现两次表决方案，以确保MPS内的单个组件的失效不会传播。例如，在一些方面，表决引擎722在通信块724处接收停堆判定。每个通信块724可从4个通道或分离组(例如，上面说明的通道A-D)，接收停堆判定(例如，停堆或不停堆)。在一些方面，在表决引擎722内，可能存在3个“A”停堆判定、3个“B”停堆判定、3个“C”停堆判定和3个“D”停堆判定。表决引擎722从而可对于4个通道或分离组中的每一个，进行三取二判定。如果3个“A”通道中的至少2个提供停堆的有效通信(例如，指示停堆判定的通信是有效的)，那么表决引擎722至少最初可传达在通道“A”上存在停堆，而如果3个“A”通道中只有一个指示停堆，那么表决引擎722可判定在通道“A”上不存在停堆。

如上所述，表决引擎722可实现两次表决方案，以进一步确保失效不在整个MPS结构内传播。例如，在上面说明的三取二通信判定之后，表决引擎722还可进行四取二停堆判定，以判定是否实际发生了停堆(例如，与指示假停堆的失效相反)。例如，进行三取二判定的表决引擎722中的4个表决块(例如，三取二表决逻辑门)的输出可被提供给进行四取二判定的另一个表决块(例如，四取二表决逻辑门)。如果来自第一轮表决块(例如，三取二表决块)的4个输出中的至少两个指示停堆，那么表决引擎722可判定发生了停堆(诸如负载702之类的EFS设备应被驱动)；否则，表决引擎722可判定未发生实际的停堆。

优先逻辑块接收来自表决块722、1E手动输入块716和非1E手动输入块714的输入。优先逻辑块721随后根据所有的输入，判定指令设备控制模块进行什么操作。

设备控制块接收来自优先逻辑模块的指令，并通过输出块720，对组件进行适当的驱动或操作。设备控制块通过设备反馈块718，接收来自设备的反馈，以便进行设备控制。

设备控制块722、优先逻辑块721和表决块722都向维修工作站(MWS)总线(例如，块728)提供状态信息。通信块724/726/728由5个独立的通信端口(例如，3个安全数据端口724，1个端口726，和1个端口728)组成。每个端口可在功能上独立，被指定为监测和指示(M/I)总线(例如，块726)、维修工作站(MWS)总线(例如，块728)或者安全数据总线(例如，块724)。

图8图解说明通信耦接一个或多个SFM 500、EIM 700和CM 600的反应堆保护系统(例如，MPS 145)的机箱800的例证实施例。图8提供机箱800中，连接到4个CM 600的3个SFM 500或EIM 700的例子。在本例中，表示了5条数据总线路径。例如，存在分别标记为X、Y和Z的3个安全数据端口802。存在标记为M/I的一个数据总线路径804。存在标记为MWS的一个数据总线路径804。在本例中，每个数据总线路径802/804可在功能和电气方面，与机箱800中的每个其它数据总线路径802/804无关。

在例示的本实施例中，每个CM 600可包括数据总线路径802/804之一的主设备。如图所示X数据总线路径802的主设备808是用于安全数据X的CM 600的一部分。Y数据路径802的主设备810是用于安全数据Y的CM 600。Z数据路径802的主设备812是用于安全数据Z的CM 600。最后，如本例中所示，M/I数据路径804的主设备814是用于M/I的CM 600。在本例中，同样存在(例如，作为维修工作站)单独连接的作为MWS数据路径806的主设备的MWS主设备816。考虑到设备的正常运行，可以利用硬连线开关断开维修工作站(MWS主设备)816。

图9A-9C图解说明利用SFM 500、CM 600和EIM 700中的一个或多个的分离组级、RTS级和ESAFAS级互连的方框图。通常，模块SFM 500、CM 600和EIM 700可作为提供防止单一失效(例如，硬件失效、软件失效或者别的失效)传播到相邻的或者其它安全功能块的保护的功能独立的模块(例如，构成可识别的装置、仪表、或者设备，并且可被断开，作为单元被去除，和用备件替换，具有使之可作为单元被测试的可确定的性能特性的互连组件的组合体)布置在MPS 200内。在一些实现中，模块可提供多达三重冗余，用于停堆感测和判定。模块还可被布置成提供冗余RTS和ESFAS表决序列，如上所述。在一些实现中，模块可提供每个停堆组件(例如，断路器、传感器或其它组件)的独立停堆表决模块。

在一些情况下，模块提供RTS表决，而在其它情况下，模块提供ESFAS表决。就每个模块的独立性来说，每个模块可独立于专用于特定停堆组件的每个其它模块地为特定停堆组件作出判定，以启动或不启动RTS/ESFAS停堆。在一些实现中，可依据多数决议(例如，三取二)，作出停堆判定的有效通信的判定。在一些实现中，可按两次表决方案，作出所述判定，其中依据多数决议(例如，三取二)，验证停堆判定的通信，第二次的停堆判定表决是不到多数表决(例如，四取二)。

参见图9A，图中图解说明了例证的分离组级互连900。例示的通道级互连900包括：通道传感器输入902、接收输入902的SFM 500和传送输出904-920的CM 600。如图所示，为了实现单一功能或一组功能，通道级互连900中的每个SFM 500可按模拟和数字的任意组合地包含4个输入902，或者在一些情况下，更多的输入902。每个输入902对特定SFM 500来说可以是唯一的(例如，通道A增压器压力信号是唯一一个SFM 500的直接输入)。在所有4条数据总线上，可获得输入数据以及状态信息(例如，报警、逻辑判定、模块状态)。

安全总线可在功能上独立，都使用主从协议，其中主设备是CM 600。尽管SFM内的各个块同步工作，不过，模块之间的通信可以是异步的。当总线的CM 600向特定SFM 500请求信息时，SFM 500可用广播响应总线。广播的好处在于例如如果标记为“1”的SFM 500具有标记为“2”的SFM 500所需的信息(例如，许可信号、传感器输入值)，那么SFM 500“2”可收听并获得所需的信息。

除了3条安全数据总线(例如，标记为“X”、“Y”和“Z”)之外，还存在用于监测和指示(M/I)的第四条例示的通信总线。M/I总线的主设备可以是专用于向安全网关和非安全控制系统提供M/I数据的CM 600。不同于3条安全数据总线(例如，总线X、Y和Z)的CM 600，M/I CM 600能够收听所有3条安全总线上的广播信息。

在一些实现中，CM 600的受限制通信块(RCB)可具有各种点对点结构。在分离组级互连900处，RCB上的所有4个通信端口可被配置成只能进行发送。来自每个安全数据总线CM 600(例如，标记为X、Y和Z的CM 600)的数据可被发送给RTS和ESFAS的每个序列(例如，序列I和II)。来自M/I CM 600的数据(例如，输出916-920)可被发送给安全网关和非安全控制系统。

输出904-914可被提供给例如RTS级和ESFAS级互连(下面说明)。例如，如图所示，输出904、908和912可被提供给ESFAS级互连，而输出906、910和914可被提供给RTS级互连。尽管图9A中只表示一个分离组级互连900，不过在MPS结构内，可存在多个互连900。

参见图9B，图中表示了依据序列分开的例证RTS级互连。如图所示，RTS级互连包括RTS的序列I和II(例如，RTS表决214和216)。每个例示的序列(214和216)包括4个CM 600和4个EIM 700。对于每个序列，3条安全数据总线(标记为X、Y和Z)都可从所有4个分离组接收表示成输入962-972(同时，分离组标记有相同的数字，即，A1和B1)的停堆或不停堆判定。如图所示，可设置第四个CM 600，以把数据(表示成输出974-976)传送给非安全控制系统和安全网关。

每条安全总线CM 600的RCB上的每个通信端口可被配置成“只能进行接收”，并被光学隔离(如上所述)。M/I CM 600可使RCB中的所有端口被配置成“只能进行发送”。

在一些实现中，4个EIM 700中的每一个都可得到来自所有分离组的每条安全数据总线的停堆判定。EIM 700可利用所有3条安全总线(标记为X、Y和Z)来确保不存在由通信错误引起的断路器的假驱动。当4个分离组(输入962-972)中的至少两个指示停堆工况时，反应堆停堆断路器被开断。每个EIM 700例如可以专用于反应堆停堆断路器的欠压继电器和并联脱扣线圈。除了自动驱动之外，EIM 600将得到手动序列级反应堆停堆的输入978、断路器反馈和ESFAS反馈。

EIM 600输出(对于序列I，标记为980a-980d，对于序列II，标记为982a-982d)可被耦接到与特定序列关联的反应堆停堆断路器(RTB)(示于图2B中)的脱扣线圈的输入。

参见图9C，图中表示了依据序列分开的例证ESFAS级互连。如图所示，ESFAS级互连包括ESFAS的序列I和II(例如，ESFAS表决212和218)。每个例示的序列(212和218)包括4个CM 600和4个EIM 700。对于每个序列，3条安全数据总线(标记为X、Y和Z)都从所有分离组(本例中，4个，标有-D)接收标记成输入962-972的ESF驱动判定。

每条安全数据总线CM 600(标记为X、Y和Z)的RCB中的每个通信端口可被配置成“只能进行接收”，并被光学隔离(如上所述)。M/I CM 600可使RCB中的所有端口被配置成“只能进行发送”，并且也被光学隔离。

在一些实现中，在所有3条安全数据总线(标记为X、Y和Z)上，EIM 700可得到来自所有分离组的ESF驱动判定。例如，EIM 700可利用所有3条安全数据总线来确保不存在由通信错误引起的设备的假驱动。当4个分离组中的至少两个指出需要ESF驱动(例如，在输入962-972上)时，通过输出990(输出990基于序列，耦接到ESF设备224和226，如图3B中所示)，可以启动安全功能。在一些方面，每个EIM 700可专用于单个组件(例如，单一的ESF组件)。

除自动启动以外，每个EIM 700可利用手动输入992来控制组件。此外，每个EIM 700还可接收非1E控制器输入994。非1E控制器输入994(在图3B中，还表示成输入282)可被提供给用于非1E的EIM 700，以在EIM的输出，控制1E安全ESF组件。组件反馈(例如，限位开关)、表决判定和其它可用信息(例如，警报)可作为输出974-976从M/I CM 600传送。

图10图解说明核能系统的I&C系统135的多样性分析图。对多样性分析来说，图10中标识的各个块表示简化系统检查的详细程度。选择了各个块，以表示基于其属性，可认为其内部失效不会传播到其它块的设备和软件的物理子集。

如图所示，图10的示图中的各个块例示I&C系统；在本例中，I&C系统135。块1002代表非1E监测和指示设备，块1004a/b分别代表1E监测和指示I和II，块1006a/b分别代表安全块I和II。块1006a包括分离组A和C、RTS I及ESFAS I，而块1006b包括分离组B和D、RTS II及ESFAS II。块1008代表MCS。如图所示，带箭头的连接线指示块之间的通信。

4个层次的目的之一是多样性。例如，MPS可满足单一失效标准，在存在：(1)与所有可识别但不可检测的失效并存的安全系统内的任何单一可检测失效；(2)由单一失效引起的所有失效；和(3)导致需要安全功能的设计基准事件或者由需要安全功能的设计基准事件导致的所有失效和假性系统行为的情况下，所述单一失效标准要求MPS进行为设计基准事件所需的所有安全功能。这种要求可提高可靠性，但是不会避免系统易受共因失效(CCF)影响。对于任何设计，可能都存在把CCF和多个独立失效区分开的相关性(例如，耦合因素)。这产生防止系统中的共因失效的两种基本形式：要么降低因果影响，要么提高系统抗这些影响的能力。

可在如上所述的6种属性方面，实施这两种形式的实现：设计多样性、设备多样性、功能多样性、人类多样性、信号多样性和软件多样性。下面关于图10中图解所示的各个块，以及图10中所示的各个块之间的属性，考查这些属性的应用。

块内的属性

如图所示，并且还参考较早的附图所述，分离组A、B、C和D，以及两个序列的RTS和ESFAS按照它们所基于的可编程技术被分组。安全块I和II一起构成模块保护系统(MPS)(例如，MPS 200)。

关于信号多样性，对于给定的瞬态事件，可存在至少两种安全功能，其中每种安全功能以不同的物理效应的被测变量(例如，压力、水平线、温度、中子通量)为基础。一个安全功能的丧失不会妨碍某个块识别对于保护措施的需要。

关于软件多样性，根据其输入，每个安全功能块(SFM 500)被专用于一种安全功能或一组安全功能。结果，每个SFM具有唯一的算法/逻辑。每个通信模块(CM 600)按不同的顺序传送信息的相同分组，这可要求CM中的每个通信引擎(608/610)具有不同的算法。每个设备接口模块(EIM 700)可专用于单个组件，从而可导致唯一的算法/逻辑。

1E监测和指示可以利用两个序列的视频显示单元(VDU)和物理开关来实现。1E监测和指示(M/I)的每个序列可以是块1004a/b。就设计多样性而论，M/I的每个序列可在数字显示器上，向操作员提供电站状态信息，并且具有在序列层面，手动启动任何保护措施的手动开关。就信号多样性来说，操作员可得到MPS利用的所有被测变量，以判定是否需要停堆和/或ESF驱动。尽管不是一样快速，不过操作员可得到不同物理效应的多个被测变量，以作出和MPS相同的判定。

块之间的多样性属性

关于人类多样性，安全块I和1E M/I I的软件可由一个设计团队设计，而安全块II和1E M/I II可由不同的设计团队设计。另外，独立的核实和验证团队可检查每个设计团队的工作，以确保设计正确性。上述设计团队也不同于指派给模块控制系统(MCS)和非1E M/I的设计团队。

设计多样性是利用包括软件和硬件在内的不同方法来解决相同或相似的问题。为了限制CCF的潜能和后果，安全块I 1004a和1E M/I I块1006a可利用与安全块II和1E M/I II不同的可编程技术。MCS和非1E M/I也可具有不同的可编程技术。连同下面讨论的其它属性一起，不同的硬件设计可具有不同的失效模式，从而降低CCF影响不止一个块的可能性。例如，除了M/I块以外，各个块可被物理分离到不同的房间中。这意图进一步减少对于将被卷入CCF事件中的多个组件会引起状况的耦合因素。

软件多样性是设计多样性的子集，可包括利用由重要人员不同的不同开发组设计和实现的不同程序来实现相同的安全目标。归因于上面讨论的设计多样性，不同的设计团队可利用不同的设计工具，从而所述工具不会引入相同的失效模式。

通过在块之间，具有不同的用途和功能，可以引入功能多样性。安全块I和II构成MPS。这些块可启动反应堆停堆，如果运行极限被超过的话，并启动ESF，以缓和假想的事故。M/I块可允许操作员监测和控制安全系统和非安全系统。操作员可把电站维持在运行极限内，或者启动必要的保护措施。MCS提供系统的自动控制，以把电站维持在运行极限内，包括约束某些运行瞬态。

在块之间，通过具有驱动设备和保护措施的自动和手动手段，可以提供信号多样性。MCS和非1E M/I提供设备层面的控制，而1E M/I块提供序列层面的控制。

设备多样性是利用不同的设备实现相似的安全功能。保护措施的启动可通过操作员动作利用开关进行，或者可由安全块I或II自动进行。在安全块I和II之间，可使用不同的可编程技术，这需要不同的内部子组件和不同的制造方法。

4个层次的另一种分析准则是系统失效类型。1类失效是由于防御层次之间的相互作用，对于由控制系统错误引起电站瞬态，保护措施未能发生的那些失效。一般，这与普通传感器或信号源的失效相关联。MPS监测的电站参数中的几个参数被提供给MCS，以便进行正常电站控制。如上所述，代替提供一个信号源，所有4个分离组及2个序列的ESFAS和RTS通过隔离的单向通信，提供信息。这可允许MCS利用选择使用哪个冗余且独立的信号源的不同方法(例如，中位信号选择)。

2类失效不直接导致瞬态，是由于未被检测出的失效，保护设备不对电站瞬态作出反应的那些失效。通过利用安全块I和II之内和之间的属性，可存在足够的多样性，以防止未被检测出的失效或CCF影响不止一个块。由于自动启动保护措施只需要两个块中的一个，因此在没有任何附加系统的情况下，MPS(安全块I和II)可缓和2类失效。

3类失效是检测设计基准事件所依赖于的主传感器产生反常读数的那些失效。通过对于任何瞬态事件，提供至少两种安全功能，每种安全功能基于不同的被测参数，在安全块内可存在信号多样性。如果用于给定安全功能的所有4个分离组的传感器都提供反常读数，那么对于3类失效，存在两种可能的不利情形：1)当极限实际上已被超过时，反常读数指示不需要停堆或ESF驱动；和2)尽管极限未被超过，反常读数指示需要停堆或ESF驱动(例如，假性停堆或ESF驱动)。在第一种情形下，与安全块内的CCF并存的3类失效不会妨碍必要的保护措施的启动。如前所述，信号多样性可允许单独的安全功能可用于缓和瞬态事件。MPS内的CCF局限于两个安全块中的一个，被认为不是阻止保护措施的启动，就是阻止依据虚假指示的启动。例如，如上所述，四取二重合逻辑可用于所有停堆和ESF驱动，这意味对于未受影响的安全块上的未受影响的安全功能，4个分离组中的2个指示需要停堆或ESF驱动，并向所执行的措施的操作员提供肯定的指示。

在第二种情形下，与安全块内的CCF并存的3类失效导致假性停堆或ESF驱动，同时1E M/I块或者表示一个肯定的指示和一个成功驱动的虚假指示，或者表示一个肯定的指示和一个无任何驱动指示的指示。在任一情况下，都会花费操作员较长的时间来评估和纠正假性驱动，但是根据需要重整(re-align)各个组件的能力由理应不受相同CCF影响的1E和非1E控制器两者提供。假性ESF驱动可被视为这种情况下的最极限事件。

另一种分析准则是层次要求。为了提供表示简化系统检查的详细程度的各个块，4个概念性防御层次不仅在一些块中被组合(例如，RTS和ESFAS)，而且还被分成分离的块(例如，安全块I和II，1E M/I I和II)。在一些方面，按照分离组、RTS和ESFAS所基于的可编程技术，把它们分组到各安全块中。例如，MPS的每一半(例如，4个分离组中的两个，两个序列的ESFAS之一，两个序列的RTS之一)或者一个安全块可具有足够的多样性属性。不同的设计团队(人类多样性)利用基于不同的可编程技术的不同可编程数字硬件(设计和设备多样性)，这需要使用不同的设计工具(软件多样性)。M/I层次也可被分成分离的块。1E M/I块可被分开，以把具有相似多样性属性的块识别成安全块。图11中图解说明了选择的块如何分成所述4个防御层次，图11表示了示图1100。

另一种分析准则是评估的方法。选择的各个块应被视为“黑盒”，以致当按照输出信号准则(下面讨论)分析时，需要被假想的任何可信失效产生最有害的后果。在一些方面，系统未能启动可能不是情况最坏的失效，尤其是当分析识别由自动化安全系统中的CCF产生的工况所需的时间和响应由自动化安全系统中的CCF产生的工况时。将根据硬件CCF和软件CCF，评估各个块。对于每个CCF，块可能被评估成具有可能产生最有害的后果的3种可能输出：1)带有错误指示或无措施(当需要时)的原样失败(fail-as-is)，2)带有成功驱动的指示的功能的假性启动，和3)无成功驱动的指示的功能的假性启动。任意安全块内的EIM不被认为易受软件CCF影响。例如，EIM可以是专用于单一ESF组件或反应堆停堆断路器的优先逻辑模块，并与手动和自动控制器面接。有限状态机的使用可允许功能的穷尽测试；包括状态机的所有可能输入、设备状态和输出。基于其可测试性、EIM多样性属性和专用于单一组件，EIM可能充分简单，不需要考虑基于软件或基于软件逻辑的CCF。

另一种分析准则是块的假想共因失效。1E M/I块涉及视频显示单元(数字硬件)和手动控制器(非数字硬件)的组合。VDU只是为指示而设计的，不具有控制设备的能力。各个1E M/I块1004a/b中的手动控制器向操作员提供在序列层面，启动由安全块I或II自动进行的任何保护措施的能力。在一些例子中，由于指示和手动控制器是不同的硬件(例如，数字开关对开/关式接触开关)，因此CCF可被认为影响一个或另一个，但不同时影响两者。对软件和硬件CCF来说，原样失败状况导致一个序列的操作员显示器指示虚假的安全运行状况，或者一个序列的手动开关的失效。VDU几乎不具有控制能力，从而它们不会提供假性驱动；然而，就软件CCF来说，VDU可提供成功驱动的虚假指示，或者提供要求操作员启动假性保护措施的不正确电站工况。

除EIM以外，假定安全块内的各个模块具有软件CCF。归因于安全块内的多样性属性，软件CCF可被局限于SFM上的CM或功能。利用安全块内的设备、信号和软件多样性，可以缓和该安全块内的妨碍SFM作出正确的停堆判定的软件CCF。对于各个瞬态事件，可在利用基于不同物理效应的被测参数的不同逻辑/算法的分离的安全功能上，实现为减轻所述事件而需要的主安全功能和备用安全功能。在实现三重模块冗余性，并且每条数据总线按不同的方式传送相同信息的情况下，具有软件CCF的CM不会假性启动保护措施或者阻止保护措施的启动。结果，最有害的情形是导致ESFAS功能的假性驱动的SFM中的软件CCF。

安全块内的硬件CCF可被假定为该块完全不能检测和启动必要的保护措施。导致ESF功能的假性驱动的硬件CCF可具有和由软件CCF引起的假性驱动相同的影响，从而对于硬件CCF，可不再次考虑。

非1E M/I包括用于安全设备和非安全设备的控制器。用于非1E的VDU不同于1E M/I使用的VDU。由于非1E M/I用于正常的日常运行，因此由非1E M/I子系统(例如，涡轮控制器、给水控制器)内的软件或硬件CCF引起的任何假性驱动是可立即识别的，并且如果超过运行极限，那么可由MPS(安全块I和II)缓和。在1)带有和不带有成功驱动的指示的子系统组件的假性驱动，和2)在实际上无设备被驱动时的成功驱动的指示的情况下，关于非1E的假想失效在原样(as-is)状况下失败。

MCS包含为把日常电站运行维持在运行极限内(包括约束某些运行瞬态)而依赖于的非安全系统。因而，子系统(例如，棒控制器)的任何失效可被操作员立即检测出。类似于非1E M/I，在1)带有和不带有成功驱动的指示的子系统组件的假性驱动，和2)当实际上无设备被驱动时提供成功驱动的指示的情况下，关于MCS的假想软件和硬件CCF导致原样失败状况。

另一种分析准则是同样的硬件和软件模块的使用。这里，块之间的多样性提供不认为各个块相同的基础。基于此，假想的CCF可被局限于单个块。

另一种分析准则是其它块的影响。所有块被假定响应正确或不正确的输入，正确地工作。每个块被认为是独立的，不受另一个块中的假想CCF影响。

另一种分析准则是输出信号。在一些方面，I&C体系结构可防止错误向后传播到前一个块的输出中。从安全块I和II到1E M/I的所有信息可通过光学隔离的只能进行发送的通信引擎发送(如在CM 600中所示)。从1E M/I到安全块的信号可以是其位置或接触状态不能被安全块中的CCF改变的手动开关的断开/闭合接触。安全块之间的通信可以是从分离组A和C发送给ESFAS和RTS的序列II，和从分离组B和D发送给ESFAS和RTS的序列I的数据。4个分离组独立并且冗余；不过，对图10的举例说明来说，按照分离组使用的可编程技术，把分离组分入安全块中。类似于安全块与1E M/I之间的通信，从分离组到RTS和ESFAS的任意序列的通信可以通过光学隔离的只能进行发送的通信引擎。给安全块的非安全输入可以给ESFAS EIM，所述输入可被局限于隔离的断开/闭合接触。

来自安全块的所有输入可以来自光学隔离的只能进行发送的通信引擎。这可防止1E M/I中的任何错误向后传播到安全块。

另一种分析准则是预期运行情形的多样性。与瞬态事件结合的单一CCF或2类失效不会阻止MPS执行其安全功能。可以选择一起构成MPS的安全块I和II，以把CCF局限于一个块。传统上，核电站依赖于多样化驱动系统(DAS)或无紧急停堆(scram)的预期瞬态(ATWS)系统来提供启动各种功能的多样化方法，如果MPS被CCF禁用的话。但是在例示的MPS设计中，系统内存在足够的多样性，即使对于单一CCF，也足以启动安全功能。这里，MPS被分成安全块I和II(例如，1006a/b)。假想的软件或硬件CCF会被局限于一个安全块。每个块使用利用基于不同可编程技术的不同可编程数字硬件(设计和硬件多样性)的不同设计团队(人类多样性)，这要求使用不同的设计工具(软件多样性)。在任一块内，存在在分离的SFM上实现的基于不同物理效应的被测变量的至少两种安全功能。所有的逻辑可在有限状态机中实现，并且所有的安全数据可按确定性的方式传送。归因于这些属性，即使与CCF结合的3类失效也不会阻止MPS启动必要的保护措施。

另一种分析准则是事故的多样性。类似于AOO，与MPS内的CCF错误结合的假想事故不会阻止MPS执行其安全功能。

另一种分析准则是手动操作员动作。MPS进行的保护措施的手动序列层面驱动可被提供给操作员。手动组件层面的控制被提供给利用非1E M/I的操作员，如果1E M/I允许的话。

上面说明了本公开主题的特定实现。对本领域的技术人员来说，显然所述实现的其它实现、变更和置换在以下权利要求的范围之内。例如，记载在权利要求中的操作可按不同的顺序进行，但仍然获得合意的结果。因而，例证实现的以上说明并不限定或约束本公开。其它变化、替代和更改也是可能的，而不脱离本公开的精神和范围。