1 AP1000系统名提要
　　1.1 AP1000 I&C 主要系统
　　保护与安全监测系统PMS（Protection and safety monitoring system）
　　电厂控制系统（Plant control system）
　　运行与控制中心系统（Operation and control centers system）
　　数据与显示处理系统（Data and display processing system）
　　堆芯设备系统（In-core instrumentation system）
　　特别监控系统（Special monitoring system）
　　多样驱动系统（Diverse actuation system）
　　
　　1.2 PMS
　　电厂保护子系统（Plant protection subsystems）
　　专设安全设施符合逻辑（Engineered safety features coincidence logic）
　　专设安全设施驱动子系统（Engineered safety features actuation subsystems）
　　反应堆停堆开关装置（Reactor trip switchgear）
　　合格数据程序子系统（Qualified data processing subsystems）
　　主控制室和远程停堆工作站（Main control room and remote shutdown workstation multiplexers）
　　传感器（Sensors）
　　通信装置（Communication features）
　　维护、测试和旁路设施（Maintenance, test, and bypass features）
　　
　　1.3 PLS
　　特性(features)
　　棒控（Rod control）
　　稳压器压力和水位控制（Pressurizer pressure and level control）
　　蒸汽发生器水位控制（Steam generator water level control）
　　蒸汽排放控制（Steam dump (turbine bypass) control）
　　快速降功率（Rapid power reduction）
　　
　　
　　1.4 反应堆紧急停堆系统（Reactor trip system）
　　核启动停堆（Nuclear startup trips）
　　 源量程高中子通量停堆（Source range high neutron flux trip）
　　 中间量程高中子通量停堆（Intermediate range high neutron flux trip）
　　 功率量程高中子通量停堆（低设定值）（Power range high neutron flux trip (low setpoint)）
　　核超功率停堆（Nuclear overpower trips）
　　 功率量程高中子流量停堆（高设定值）（Power range high neutron flux trip (high setpoint)）
　　 功率量程高正极流量率停堆（Power range high positive flux rate trip）
　　堆芯热量移除停堆（Core heat removal trips）
　　 超温△T停堆（Overtemperature delta T trip）
　　 超功率△T 停堆（Overpower delta T trip）
　　 稳压器低压停堆（Low pressurizer pressure trip）
　　 反应堆冷却剂低流量停堆（Low reactor coolant flow trip）
　　 反应堆冷却剂泵低速停堆（Reactor coolant pump underspeed trip）
　　 给水泵轴承高水温停堆（High reactor coolant pump bearing water temperature trip）
　　主要系统超压停堆（Primary system overpressure trips）
　　 稳压器高压停堆（High pressurizer pressure trip)
　　 稳压器高水位停堆（High pressurizer water level trip）
　　热阱丧失停堆（Loss of heat sink trip）
　　 蒸汽发生器低水位停堆（Low steam generator water level trip (in any steam generator)）
　　给水隔离停堆（Feedwater isolation trip）
　　自动减压系统驱动停堆（Automatic depressurization system actuation trip）
　　（Core makeup tank injection trip）
　　安全驱动停堆（Safeguard actuation trip）
　　手动停堆（Manual trip）
　　
　　1.5 电厂控制系统（Plant Control System）
　　1、分散控制器（Distributed Controllers）
　　2、信号选择规则（Signal Selector Algorithms）
　　3、操作控制与显示（Operator Controls and Indication）
　　4、实时数据网络（Real-Time Data Network）
　　5、棒控系统（Rod Control System）
　　6、棒位置指示（Rod Position Indication）
　　7、棒驱动电动机装置（Rod Drive Motor-Generator Sets）
　　1.6 仪控系统（Control and Instrumentation Systems）
　　一、 变量：
　　1、反应堆冷却系统温度（Reactor Coolant System Temperature）
　　2、核功率分布（Nuclear Power Distribution）
　　3、反应堆冷却系统压力（Reactor Coolant System Pressure）
　　4、稳压器水位（Pressurizer Water Level）
　　5、蒸汽发生器水位（Steam Generator Water Level）
　　6、蒸汽旁排（汽轮机旁排）(Steam Dump (Turbine Bypass))
　　二、 系统
　　1、反应堆功率控制系统（Reactor Power Control System）
　　2、棒控系统(Rod Control System)
　　3、控制棒位置监视（Control Rod Position Monitoring）
　　4、控制棒插入限制（Control Rod Insertion Limits）
　　5、控制棒停止（Control Rod Stops）
　　6、稳压器压力控制系统(Pressurizer Pressure Control System)
　　7、稳压器水位控制系统(Pressurizer Water Level Control System)
　　8、给水控制系统(Feedwater Control System)
　　9、蒸汽排放控制系统(Steam Dump Control System)
　　10、 快速降功率系统(Rapid Power Reduction System)
　　11、 纵深防御控制(Defense-In-Depth Control)
　　
　　
　　2 AP1000 I&C定义***
　　安全系统
　　缓解设计基准事故后果的电气和机械设备组成的系统。
　　保护和安全监测系统（PMS）
　　检测增殖点状态，同时生成触发紧急停堆和ESF(专设安全设施)的信号的电气和机械设备组成的系统。而且在指定事故期间提供必要的设备用来监测电厂安全相关的功能。
　　保护功能
　　对缓解设计基准事故必需的任何功能。保护功能由PMS逻辑触发，由停堆或驱动子系统结束。保护功能的例子有反应堆停堆和专设安全设施（例如阀门调整和安全壳隔离）。
　　驱动设备（Actuation Equipment）
　　用来完成一项保护功能的主要原动力设施和驱动设备（例如螺线管，停堆棒和阀门）。
　　驱动装置（Actuation Device）
　　直接控制用来驱动设备的原动力的部件（例如电路断路器，继电器和引水阀门）。
　　区域
　　安全系统的四个冗余段之一。 一个区域包含相关传感器，场线，机柜，以及用来生成保护功能触发信号的电子设备。它也包括电源和驱动信号。
　　通道
　　对独立和冗余的被PMS用来生成触发某一保护功能信号的信号变量进行测量的线路。当某一通道和其它输入在一个区域中结合时，它允许失效。
　　冗余度
　　监测一个信号变量的通道数，或者是能触发某一给定的保护功能或完成某一给定的保护功能的冗余区域数。冗余是在安全相关系统被某一随机故障影响时用来确保保护功能的。
　　系统级驱动
　　驱动足够的驱动装置以实现某一保护功能。
　　部件级驱动
　　驱动一个单独的驱动装置（部件）。
　　双稳态
　　双稳态电路又称为双稳态触发器，这种电路有两个稳定的输入状态，如果没有有效的触发信号进行触发，这种稳态电路将保持一种稳定状态。双稳态电路的输出信号波形是矩形脉冲波形，这种电路的两个输出端输出信号相位相反，即一个输出高电平时另一个输出低电平。
　　ITAAC
　　Inspection, test, analyses, and acceptance criteria
　　检查、测试、分析和验收标准
　　SRP
　　Standard Review Plan for the Review of Safety Analysis Reports for Nuclear Power Plants
　　复查核电厂安全分析报告标准复查计划
　　DAC
　　Design Acceptance Criteria
　　 设计验收标准
　　
　　3 AP1000仪控系统结构图***
　　下部包括电厂保护、控制和监测功能。
　　PMS执行反应堆紧急停堆，ESF(专设安全设施)驱动，QDPS（合格数据处理系统）功能。
　　I&C设备执行反应堆紧急停堆和专设安全设施驱动的功能。与此相关的传感器，停堆信号转换装置大部分是四路冗余的。这种冗余允许旁路逻辑的使用从而在一个区域或一个独立的通道实效的情况下，保护系统的操作部分从4选2逻辑转入3选2逻辑。
　　ESF（专设安全设施）符合逻辑执行系统级的逻辑计算，例如被动余热排出系统的触发。它从主控室和电厂保护子系统双稳态接受输入。
　　ESF驱动子系统具有对于独立的安全相关电厂加载进行开关控制的能力。输入来自ESF符合逻辑、远程停堆工作站以及主控室。
　　电厂控制系统执行非安全相关的仪控功能，使用离散（开/关）和调解（模拟）类型的驱动装置。
　　非安全相关实时网络，是高速、冗余的交流网络。它连接与操作员相关的重要系统。安全相关的系统通过网关和合格的隔离装置与该网络相连。这样别处的失效就不会危及安全相关的功能。电厂保护、控制和监测系统馈送实时数据进入该网络以供主控室和数据显示处理系统使用。
　　主控室是由一系列紧凑的的控制台组成的，这些控制台为操作员提供彩色图像显示和“软”控制输入。这些图像由一系列图像工作站提供，它们通过实时网络获取输入。还有一个基于同样技术的先进报警系统。
　　数据显示和处理（电厂计算机）系统是以分布式结构执行。分布式计算机系统的工作部分是图像工作站，尽管它们的图形处理能力不及计算能力。分布式计算机系统从实时数据网络获得数据同时输出数据到网络上供其它系统使用。
　　WCAP-15775（参考7）描述了AP1000仪控系统的多样性和纵深防御措施。
　　
　　3.1 保护和安全监测系统（PMS）
　　 PMS提供异常条件和以确保电厂在安全停堆状态下的安全相关功能触发的监测。PMS通过MSR(主控室)和RSW(远程停堆工作站)来控制安全相关的部件。
　　除此之外，PMS还提供设备用于在导则１.97要求的事故情况下检测电厂安全相关功能。
　　3.2 特殊监测系统（SMS）
　　特殊监测系统不执行任何安全相关和纵深防御功能。特殊监测系统由专门的仪控系统连接子系统组成，以提供诊断和长期监测功能。
　　特殊监测系统是金属影响监测系统。金属影响监测系统检测反应堆冷却剂系统中金属碎屑的存在，因为金属碎屑会影响反应堆冷却剂系统的金属内壁。金属影响监测系统由数字电路板、控制器、指示器、电源、远程传感器以及相关信号处理装置组成。传感器和它们相关的远程信号处理装置都是成对的装配以确保在一个传感器实效的情况下能实现监测功能。
　　3.3 电厂控制系统（PLS）
　　电厂控制系统提供从冷停堆到满功率的正常操作必要功能。电厂控制系统通过MCR 和RSW的操作控制电厂非安全相关的部件。
　　电厂控制系统包括改变反应堆功率、控制稳压器压力和水位、控制给水流量以及其它与电力生产有关的电厂功能的仪控设备。
　　电厂控制系统执行下列功能：
　　反应堆功率控制系统
　　棒控系统
　　稳压器压力控制
　　稳压器水位控制系统
　　给水控制系统
　　蒸汽旁排控制系统
　　快速降功率
　　纵深防御控制
　　3.4 多样驱动系统（DAS）
　　多样驱动系统是一种提供替代方式以触发反应堆紧急停堆和驱动特定的专设安全设施，以及给操纵员提供电厂信息的非安全相关的多种系统。
　　3.5 操作和控制中心系统（OCS）
　　操作和控制中心系统包括主控室、技术支持中心、远程停堆工作站、紧急停堆设备、本地控制站以及与这些中心有关的工作站。除了这些控制工作站以外，控制室的设备也是其它系统的一部分（例如，保护和安全监测系统、电厂控制系统、数据显示和处理系统）。
　　对主控室和远程停堆工作站的操作和控制中心系统操作的边界是电厂部件的信号界面。这些界面经由电厂保护和安全监测系统的处理器和逻辑电路（与反应堆紧急停堆和专设安全设施电厂部件相连的）；同时也经由电厂控制系统处理器和逻辑电路（与非安全相关的电厂部件相连的）；也经由电厂实时数据网络（提供电厂参数、电厂部件状态和报警的）。
　　3.6 数据显示和处理系统（DDS）
　　数据显示和处理系统提供用于处理导致非安全相关报警和显示（正常和紧急电厂操作）的数据，同时生成这些显示和报警，并提供电厂数据分析、电厂数据记录、历史储存和检索，也能为电厂人员提供操作支持。
　　数据显示和处理系统也包含连接AP1000仪控结构的采用冗余的数据高速通道的实时数据网络。
　　3.7 堆芯设备系统（IIS）
　　主要功能是提供堆芯三维通量分布图。分布图被保护和安全监测系统用来修正中子检测，同时优化堆芯布局。次要的功能是给保护和安全监测系统为不充分的事故前堆芯冷却检测提供必要的热电偶信号。堆芯设备装置同时将通量检测器和堆芯热电偶组装在一起。
　　
　　4 AP1000仪控系统PMS简介*****
　　4.1 独立的子系统
　　子系统独立通过下列途径实现：
　　? 独立的直流电源用于冗余的子系统，对输出进行保护以防止一个子系统失效时影响其它系统。
　　? 单独的输入输出电路环路以确保子系统接口独立。
　　? 安全信号：对一个装置、电路环路或功能设定预定的操作条件，从而将正常动态输入参数进行终止，以提高通过子系统界面的硬接线数据可靠性。
　　? 在两个子系统之间或一个子系统和输入/输出模块之间采用光学耦合或电阻缓冲。
　　4.2 电厂保护子系统
　　功能：
　　? 允许反应堆紧急停堆和专设安全设施计算所要求的传感器输入进行采集和分析。
　　? 对这些输入变量进行计算或逻辑运算。
　　? 根据要求对停堆开关提供停堆信号，同时对专设安全设施符合逻辑提供专设安全设施驱动信号。
　　? 允许手动停堆或任何独立的自动停堆功能旁通，同时允许手动触发或任何独立的专设安全设施自动触发旁通。
　　? 为外部系统提供数据。
　　? 为停堆或专设安全设施驱动提供冗余。
　　? 为控制功能提供隔离安全。这是传感器输入的需要，也是保护功能的要求。
　　4.3 反应堆紧急停堆功能
　　出于事故保护的需要，反应堆紧急停堆功能每个区域执行两个子系统。主要功能是处理输入数据同时当任何保护功能限值被超出时提供部分停堆信号。
　　为了执行保护功能计算，子系统从场传感器和主控室获取数据。计算结果驱动相关的反应堆紧急停堆符合逻辑的停堆保护功能。
　　当2选4的停堆功能在四个独立的安全区域中是部分停堆状态时，反应堆紧急停堆逻辑用来触发停堆信号。反应堆紧急停堆逻辑也提供停堆功能和安全区域旁通，以满足测试和维护要求。
　　反应堆紧急停堆逻辑有两大主要功能：
　　? 双稳态处理功能为其它区域提供部分停堆/旁通状态信号。
　　? 反应堆紧急停堆符合逻辑执行联合部分停堆信号和输出安全失效停堆信号到停堆开关。
　　4.4 反应堆紧急停堆开关接口
　　最终反应堆紧急停堆符合逻辑提供信号用来激发两个区域的反应堆紧急停堆开关断电器的各自的低压停堆装置。信号丢失会使低压停堆装置失压，从而使反应堆紧急停堆断电器打开。一个外部的附加继电器也伴随信号失去失压。当低压停堆装置失压时，每个继电器的正常闭环触点将激发每个断电器的旁路停堆装置。反应堆紧急停堆开关接口，包含停堆装置、外部继电器，都是属于保护和安全监测系统的。每个断电器都有单独的输出。
　　接口的测试允许低压停堆装置或旁路停堆装置触发停堆信号驱动断电器。
　　（图7.1.4是反应堆开关和手动停堆接口）
　　4.5 手动反应堆紧急停堆
　　手动反应堆紧急停堆能通过冗余瞬时开关从主控室实现。开关直接中断选择逻辑的电力，触发低压和旁通停堆装置。（图7.1.4揭示了手动反应堆紧急停堆功能）
　　4.6 专设安全设施符合逻辑
　　为了更可靠的事故缓解，专设安全设施逻辑功能也是在每个区域里执行两个子系统。专设安全设施符合逻辑的主要功能是处理输入、计算触发、将自动触发信号和手动信号以及手动旁通信号组合在一起，并将数据传输给专设安全设施驱动子系统。为了执行逻辑计算，子系统从电厂保护系统获取数据，同时使用从主控室和远程停堆工作站获得的的手动输入。
　　功能：
　　? 接收电厂保护系统四个区域提供的双稳态数据，同时对这些数据执行四选二表决逻辑。
　　? 执行系统级逻辑，同时将输出传送至专设安全设施触发子系统，以便驱动专设安全设施部件。
　　? 处理从主控室和远程停堆工作站获取的手动系统级逻辑触发命令。
　　4.7 专设安全设施驱动子系统
　　专设安全设施（ESF）驱动子系统在电厂操作员和安全相关电厂部件监测之间提供了一个分布式接口。非调节的控制器与电磁阀开关相关，也与电动阀的开关相关。ESF的执行标准是通过流体系统设计者根据部件触发的容许和联锁逻辑确定的。它也给电厂操纵员提供设备状态信息，例如部件位置指示（全关，全开，阀门动作），部件控制模式（手动，自动，本地，远程），或者异常操作状态（功率失配，失效检测）。
　　ESF符合逻辑执行合适的关于双稳态信号的表决操作，同时生成系统级的ESF逻辑命令（包括系统级的手动命令）。这些命令然后被送往ESF触发子系统。ESF触发子系统将这些命令解码，然后通过联锁逻辑触发最终设备。
　　部件级的触发信号从MCR通过冗余的数据高速通道送往ESF触发子系统。部件状态同样反馈给MCR。那些用来安全紧急停堆的部件同时能够被RSW（远程停堆工作站）控制。
　　4.8 反应堆紧急停堆开关
　　反应堆紧急停堆开关是用来触发停堆的。反应堆紧急停堆开关连接被电动机支持的电力牵引电源和控制棒控制系统。停堆信号触发断路器，失电情况下控制棒在重力作用下落入堆芯，停堆。
　　反应堆紧急停堆开关是PMS的最后部分。四个冗余的安全通道，每个包括两个反应堆紧急停堆开关断路器（总共八个）。八个断路器执行四选二逻辑。
　　反应堆紧急停堆开关包括相关或辅助设备以及内部母线。断路器在每个通道里都用钢制外壳密封，以使不同的通道里的断路器实现物理隔离。
　　4.9 合格数据处理子系统（QDPS）
　　QDPS是PMS的子系统，为控制室提供安全相关选择参数的显示。功能：
　　? 提供安全相关数据处理和显示。
　　? 在其它显示系统失效的情况下，给操纵员提供充分的操作数据以实现安全停堆。
　　? 为实时数据网络提供合格和不合格的数据，以供其它系统使用。
　　? 处理MCR的数据，使之满足RG1.97的要求。
　　? 给主控室、远程停堆工作站、电厂计算机，以及其它非安全相关装置和不合格紧急反应设备提供数据，以满足NUREG-0696的要求。
　　通过1E级电源以及断电后72小时内用UPS给QDPS系统供电。72小时后，备用柴油机为QDPS提供电力。
　　QDPS是两通道子系统（通道B和C）。PMS，包括QDPS，与DAS（多样驱动系统）分开。PMS和DAS之间不共用传感器。
　　停堆信号（RTS）和专设安全设施驱动信号（ESFAS）被PMS的电厂保护子系统处理。在PMS里，电厂保护子系统和QDPS共享部分传感器。共享的传感器首先被QDPS使用，因为在电站关闭的情况下QDPS将使用传感器超过24小时。电源给电厂保护子系统供电24小时，之后，QDPS将不能使用电厂保护子系统功能。
　　典型的RTS/ESFAS输入参数是一个传感器的四路冗余，四个通道都是一样。如果这一参数同样被QDPS调用，B和C通道传感器首先给QDPS使用，然后送给电厂保护子系统。A和D 通道的传感器没有和QDPS共用，所以直接被电厂保护子系统使用。如果RTS/ESFAS参数没有被QDPS调用，或者24小时后没有被调用，那四个通道都被电厂保护子系统直接使用。
　　4.10 主控室多路转换器
　　PMS包括冗余的多路转换器，以通过保护通道给主控室安全操作模块提供信号。一个冗余的主控室多路转换器和四个安全通道都相关。多路转换器传输主控室部件级手动触发信号给ESF触发子系统。同样，ESF触发子系统的部件状态也通过它反馈给主控室。
　　多路转换器通过主控室软件控制装置或接口模型相联。主控室和远程停堆工作站的控制转换通过转换开关来完成。
　　多种“联络”信号由于在软件控制器和多路转换器之间的要求和响应而被执行，以用来验证信息的接收和合法性。
　　4.11 通信功能
　　通信功能从电厂保护子系统、ESF符合逻辑、ESF触发子系统，以及 QDPS系统给外部系统提供信息。这包含给电厂保护系统和数据显示处理系统的输出。隔离装置在PMS和外部系统之间提供电隔离。
　　通信功能也给从非安全相关系统到安全相关系统提供软控制信息，以供操作员启动触发和部件控制。
　　通信功能通过信道网关完成。如图7.1-1。
　　PMS网关是安全PMS和非安全实时网络的接口，支持仪控系统的运行。该网关有两个子系统。一个是安全子系统，作为电厂保护子系统、ESF符合逻辑，以及QDPS的接口；另外一个是非安全子系统，作为实时网络的接口。这两个子系统通过光导纤维连接，以提供电隔离。
　　在这两个网关子系统之间主要的信息流是从安全子系统到非安全子系统的。这些信息是电厂处理参数值和设备状态信息的汇总。
　　从非安全子系统流向安全子系统的信息限制如下：
　　? 安全和非安全子系统周期性地交换低电平的接口信号，这是每个连接末端的通信控制器用来确认连接功能是否正常的。这些信号仅仅被通信控制器使用，不会被传播到安全系统的其它部分。在安全系统里没有执行功能使用这些信息。
　　? 主控室和远程停堆工作站的控制台都是非安全的。从这些地方传给PMS的软控制输入都是通过网关的非安全子系统转到安全子系统的。
　　网关在非安全系统和PMS之间提供电隔离和通信隔离。除了隔离功能，网关没有其它任何PMS安全功能。没有任何潜在的来自非安全系统的信号能阻止PMS执行安全功能。
　　特别地，网关提供下列隔离装置：
　　? 在1E和非1E级端口之间提供电隔离，以满足IEEE603-1991的要求。
　　? 在1E和非1E级端口之间提供通信隔离，IEEE7-4.3.2-1993，附件G规定的。包括：
　　F 1E及通信缓冲电路用来处理低电平接口信号。
　　F 在1E和非1E级端口之间使用简单的协议。（通信协议既不使用连接/确认/管理/终止，也不使用应答/否认/中继）
　　F 网关1E级部分的软件会过滤输入的信息流，同时接受根据定义的合法命令清单确定的合法软控制命令。所有其它信息将被报废。
　　在安全系统运行的应用软件将会确保1E级功能独立，不会受到来自非安全系统的软控制命令影响。
　　应用软件提供下列功能：
　　? 一旦某一部件被自动的安全功能控制，PMS应用软件将确保自动安全功能和1E级软控制都优先于非1E级软控制。
　　? 如果某一部件没有被自动的安全功能控制，PMS应用软件将确保1E级软控制优先于非1E级软控制。
　　被控制和保护功能同时要求的模拟输入信号，是被单独的输入电路独立处理的。输入信号被作为非安全相关的，在送往控制系统之前是在PMS机柜被隔离的。
　　PMS也给电厂保护系统提供数据（与信号计算相关的子系统），同时也给信号显示和处理系统提供数据。
　　非处理信号也提供给外部系统。非处理输出给外部系统提供机柜入口状态、机柜温度、直流电源电压、子系统诊断状态。机柜温度传感不影响安全相关功能。这些信息被外部系统收集用作独立分析。
　　4.12 故障容许
　　PMS提供了高度的可靠性和故障容许。这一能力通过下列设计确保：
　　? 四选二的符合逻辑应用在反应堆紧急停堆和大部分ESF驱动，确保任何单个保护通道或安全区域失效不会导致假的反应堆紧急停堆或假的系统级ESF驱动。同样的四选二的符合逻辑确保任何单个保护通道或安全区域失效不会阻止在需要的情况下反应堆紧急停堆或ESF驱动。这提供了容许故障范围，从单个部件或仪器失效扩展到整个电厂保护系统或ESF符合逻辑区域失效。
　　? 反应堆紧急停堆和ESF驱动逻辑在一个通道旁通或测试的情况下能转换为三选二符合逻辑。PMS不允许一个以上的通道同时旁通。这样测试中的单一故障就不会导致假的反应堆紧急停堆或假的系统级ESF驱动。同样的三选二的符合逻辑确保任何单个保护通道或安全区域失效不会阻止在需要的情况下反应堆紧急停堆或ESF驱动。
　　旁通逻辑允许系统在一个通道在测试或维护中旁通的条件下满足单一故障准则。
　　? 电厂保护子系统中的反应堆紧急停堆逻辑也处理涉及反应堆紧急停堆的手动系统级输入。在每个电厂保护子系统中都有关于反应堆紧急停堆功能的表决逻辑。停堆开关符合在失电状态下触发原则。
　　? ESF驱动逻辑在ESF符合逻辑里冗余执行。冗余子系统执行这一逻辑，确保某子系统一个部件失效不会影响到其它子系统。系统级的驱动输出信号被传输给ESF驱动子系统。但以故障不会阻止ESF驱动。执行大量的错误检测来减少导致假的驱动的故障。
　　? 部件级的逻辑在ESF驱动硬件里执行。逻辑处理器设计成响应来自PMS数据高速通道的驱动信号的形式。单一数据高速通道的失效不会阻止部件级的驱动。执行大量的错误检测用来减少数据高速通道失效导致生成假的部件级ESF驱动。
　　在维护期间，同样的故障冗余允许在一个通道或部件脱离的情况下系统继续运行。
　　4.13 V&V
　　PMS的硬件和软件是否合适通过V&V来确认。V&V程序的详细信息在WCAP-13383或CE-CES-195中。（WCAP-13383是AP600的参考文献。CE-CES-195是一个Common Q 文件。）
　　
　　5 AP1000--SRP参考的数字化仪控法规
　　SRP（Standard Review Plan for the Review of Safety Analysis Reports for Nuclear Power Plants，复查核电厂安全分析报告标准复查计划）
　　5.1 最高标准
　　? 10 CFR 50.55a(a)(1)
　　? 10 CFR 50.55a(h)
　　? 10 CFR 50.62
　　? Appendix A to 10 CFR Part 50, “General Design Criteria for Nuclear Power Plants”
　　5.2 基本设计标准（GDC—General Design Criteria）
　　C GDC 1, “Quality Standards and Records”
　　C GDC 2, “Design Bases for Protection Against Natural Phenomena”
　　C GDC 4, “Environmental and Dynamic Effects Design Bases”
　　C GDC 12, “Suppression of Reactor Power Oscillations”
　　C GDC 13, “Instrumentation and Control”
　　C GDC 19, “Control Room”
　　C GDC 20, “Protection System Functions”
　　C GDC 21, “Protection System Reliability and Testability”
　　C GDC 22, “Protection System Independence”
　　C GDC 23, “Protection System Failure Modes”
　　C GDC 24, “Separation of Protection and Control Systems”
　　C GDC 25, “Protection System Requirements for Reactivity Control Malfunctions”
　　C GDC 29, “Protection Against Anticipated Operational Occurrences”
　　
　　5.3 工业标准
　　下列导则和工业标准提供了相关信息、建议和指导。另外，它们作为应用上述要求进行安全相关数字化系统硬件和软件设计后的验收准则。
　　C Institute of Electrical and Electronics Engineers (IEEE) Standard (Std) 7-4.3.2-1993,
　　 “American National Standard Application Criteria for Programmable Digital Computer
　　 Systems in Safety Systems of Nuclear Power Generating Stations,” as endorsed by
　　 Regulatory Guide (RG) 1.152, “Criteria for Digital Computers in Safety Systems of
　　 Nuclear Power Plants”
　　C IEEE Std 323-1983, “IEEE Standard for Qualifying Class 1E Equipment for Nuclear
　　 Power Generating Stations,” as endorsed by RG 1.89, “Environmental Qualification of
　　 Certain Electric Equipment Important to Safety for Nuclear Power Plants”
　　C American National Standards Institute (ANSI)/IEEE Std 338-1987, “IEEE Standard
　　 Criteria for the Periodic Surveillance Testing of Nuclear Power Generating Station
　　 Safety Systems,” as endorsed by RG 1.118, “Periodic Testing of Electric Power and
　　 Protection Systems”
　　C IEEE Std 344-1987, “IEEE Recommended Practice for Seismic Qualification of Class 1E
　　 Equipment for Nuclear Power Generating Stations”
　　C ANSI/IEEE Std 379-2000, “IEEE Standard Application of the Single-Failure Criterion to
　　 Nuclear Power Generating Station Safety Systems,” as endorsed by RG 1.53,
　　 “Application of the Single-Failure Criterion to Nuclear Power Plant Protection Systems”
　　
　　
　　C IEEE Std 384-1992, “IEEE Standard Criteria for Independence of Class 1E Equipment and Circuits,” as endorsed by RG 1.75, “Physical Independence of Electric Systems”
　　C IEEE Std 603-1991, “IEEE Standard Criteria for Safety Systems for Nuclear Power Generating Stations,” as endorsed by RG 1.153, “Criteria for Safety Systems”
　　C IEEE Std 730-1989, “IEEE Standard for Software Quality Assurance Plans,” as referenced in BTP HICB-14, “Guidance on Software Reviews for Digital Computer-Based Instrumentation and Control Systems”
　　C IEEE Std 828-1990, “IEEE Standard for Software Configuration Management Plans,” as endorsed by RG 1.169, “Configuration Management Plans for Digital Computer Software Used in Safety Systems of Nuclear Power Plants”
　　C IEEE Std 829-1983, “IEEE Standard for Software Test Documentation,” as endorsed by RG 1.170, “Software Test Documentation for Digital Computer Software Used in Safety Systems of Nuclear Power Plants”
　　C IEEE Std 830-1993, “IEEE Recommended Practice for Software Requirements,” as endorsed by RG 1.172, “Software Requirements Specifications for Digital Computer Software Used in Safety Systems of Nuclear Power Plants”
　　C IEEE Std 1012-1986, “IEEE Standard for Software Verification and Validation Plans,” as endorsed by RG 1.168, “Verification, Validation, Reviews, and Audits for Digital Computer Software Used in Safety Systems of Nuclear Power Plants”
　　C IEEE Std 1016-1987, “IEEE Recommended Practice for Software Design Descriptions”
　　C IEEE Std 1028-1988, “IEEE Standard for Software Reviews and Audits,” as endorsed by RG 1.168
　　C ANSI/IEEE Std 1042-1987, “IEEE Guide to Software Configuration Management,” as endorsed by RG 1.169
　　C IEEE Std 1074-1995, “IEEE Standard for Developing Software Life Cycle Processes,” as endorsed by RG 1.173, “Developing Software Life Cycle Processes for Digital Computer Systems Used in Safety Systems of Nuclear Power Plants”
　　C Military Standard (MIL-STD)-461C, “Electromagnetic Emission and Susceptibility Requirements for the Control of Electromagnetic Interference”
　　C International Electrotechnical Commission (IEC) Standard 880-1996, “Software for Computers in the Safety Systems of Nuclear Power Stations,” as referenced in the SRP
　　
　　
　　C American Society of Mechanical Engineers (ASME) NQA-2a-1990, Part 2.7, “Quality
　　 Assurance Requirements of Computer Systems for Nuclear Facility Applications,” as
　　 referenced in the SRP
　　C Electric Power Research Institute (EPRI) Topical Report (TR)-107330, “Generic
　　 Requirements Specification for Qualifying a Commercially Available PLC
　　 [Programmable Logic Controller] for Safety-Related Applications in Nuclear Power
　　 Plants,” approved by the NRC on July 30, 1998
　　C EPRI TR-102323-R1, “Guidelines for Electromagnetic Interference Testing in Power
　　 Plants,” approved by the NRC on April 16, 1996
　　C EPRI TR-106439, “Guideline on Evaluation and Acceptance of Commercial Grade
　　 Digital Equipment for Nuclear Safety Applications,” approved by the NRC in April 1997