Monitored Analog Safety System

Bob QueenanI&C Manager, Scientech

a Curtiss Wright Flow Control company

Brief Background• I&C Division Manager for Scientech, a CWFC company• I&C Manager at DC Cook during restart• I&C Supervisor at Catawba• Consultant out of Atlanta (Impell, ATESI, Enercon, 

Pacific Nuclear)• Protection System Supervisor at B&W• Sideways trip into deep sea mining I&C• Los Angles Class Submarine design engineer at 

Newport News

• Senior Member of ISA– Chair of ISA SP‐67 on Nuclear Standards– Former Chair of SP‐67.04, Nuclear Setpoints

• Member of IEEE – SC‐2 (Qualification), SC‐2.01 (EQ), SC 2.05 (Seismic)

• Member of ANS

2

• Bachelor of Science / E.E. from Case Western Reserve University

• Masters in Nuclear Physics from Lynchburg College

• Technical Nuclear Certification ‐McGuire

Why Digital?

• Everything is digital now• Great HMI – limited only by imagination• Fast response time• Almost unlimited flexibility • Wide access to data• Components are easy to replace

Why Analog?

• Protection systems don’t need digital– They have simple functions– They don’t change often– They have limited HMI

• Analog lasts longer than Digital• Safety software gets intense NRC review

– Interim Staff Guidance– Dozens of new IEEE standards– The ever‐changing cyber security threat

Time to Think

WANTDIAGNOSTICS

NOSOFTWARE

NEED ACCESS TO DATA

WANTONLINE

MONITORING

WORRIEDABOUTCYBER

• Use analog circuitry to perform the safety function

• Isolate the data …

• … to a non‐safety multiplexer …

• … and to a non‐safety computer.

• Send the data and results to the plant computer / data network.

SAFETYCIRCUITS

PLANTCOMPUTER

CR3 ICCMS

The Inadequate Core Cooling Mitigation System• After a reactor trip

– On loss of subcooling, trip the RC pumps to avoid pumping froth.

– On loss of subcooling, raise the OTSG level to promote natural circulation.

– On loss of subcooling AND insufficient HPI flow, initiate fast cooldown.

ICCMS Configuration

SENSORCHANNEL 1

SENSORCHANNEL 2

SENSORCHANNEL 3

ACTUATION TRAIN A

ACTUATION TRAIN B

POST ACCIDENT MONITORING CHANNEL 1

POST ACCIDENT MONITORING CHANNEL 2

MULTIPLEXER MULTIPLEXER MULTIPLEXER

ON LINEMONITOR

PLANTCOMPUTER

Design Requirements

• Full IEEE‐279/603 Protection System– Mild Environment Qual – IEEE‐323– Testability – IEEE‐338 / GDC– Single Failure – IEEE‐379 / RG 1.53– Seismic Qual – IEEE‐344 / RG 1.100– Separation – IEEE‐384 / RG 1.75– EMI/RFI – TR‐102323 / RG 1.180– Software Qual per ISGs – not applicable– Cyber Security precautions – not applicable

Design Goals

1. Incorporate lessons learned from 30 years of using analog protection systems

2. Maximize use of commercial parts thru CGD3. Protect circuitry from EMI/RFI4. KISS ‐most systems work best if they are kept simple rather 

than made complex

1. Lessons Learned

• No card edge connectors !!• Build in test switches, test points, and simulated inputs.• Qualify with the doors open.• Provide utility power outlets in rear of cabinet.• Minimize custom hardware & accessories• Adjustable filters on all analog inputs• Redundant power supplies wired for hot swap• Time delays set by thumbwheel switches to the nearest second

2. Commercial Parts

• Hoffman seismic cabinet, standard 19” racks, standard EURO modules

• DIN rail power supplies, media converters, relays, fuses, and terminal blocks

• Commercial multiplexers with standard connectors• Industrial PC running Windows 

3. Protect from EMI/RFI

• Sensitive electronics in Faraday cage with PI filters on all inputs and outputs

• Line filters on all AC power inputs• DC power supplies outside the 

cage• Field wiring confined to rear of 

cabinet• All cabinet‐to‐cabinet signals over 

fiber optics 

4. KISS

• Used simple building blocks –summers, alarms, function generators, square root extractors, auctioneers

• Combined them into simple loops• Used Analog & Digital input modules• Used Analog & Digital output modules

Some Details

• PC boards are multi‐layer, with ground planes top and bottom to increase EMI/RFI resistance.  Use of modern components results in a clean board with very little hand wiring compared to older modules.

Some Details

• Spec200   2ARPS‐A6– Input = 115 Vac @ 60 Hz– Output =  15 Vdc @ 5 A– 19” x 13” x 9”– 53 lbs

• Phoenix Contact  2938853– Input = 115 Vac @ 60 Hz– Output = + 24 Vdc @ 5A– 5” x 5” x 2”– 2.2 lbs

Some Details

• Terminal blocks– Allow direct connection of test equipment 

– Ring lugs, but captive screws ‐ no loose hardware in cabinet

– Built in sliding link to disconnect – no lifted leads

Some Details

• Improved Accuracy– Most analog legacy systems have 0.25% or 0.50% accurate modules, and 1‐2% accurate cabinets.

– Most ICCMS modules have accuracies of: Ref =  0.05%TE =  0.05% over a 40F to 160F rangePSE =  0.05% over the full range of the power supplyDRIFT =  0.05% over 120 daysTDU =  SRSS( 0.05, 0.05, 0.05, 0.05) =  0.10% span

– Overall cabinet trip accuracy was  0.64% span

Some Details

• Qualification – OEM equipment– Design, Buy, Build, Test– Allows custom functionality

• Commercial Grade Dedication – OTC equipment– Buy a few extra, Test– Have to accept what’s on the market

• CGD was less expensive, faster, more predictable

Summary

• Analog works for simple systems, like RPS, ESFAS, EDG Sequencers, TSAT systems, and the like

• Careful design allows online monitoring & full access to all data by non‐safety computer systems

• Avoiding the licensing of safety‐related software saves significant time and money