Recently, the Engineered Safety Feature-Component Control System (ESF-CCS), which uses a network communication system for the transmission of safety-critical information from group controllers (GCs) to loop controllers (LCs), was developed. The use of network communication in control or information transmission system in nuclear power plants (NPPs) provides design flexibility and reduced cost; however, the network communication system has not been applied to ESF-CCS in NPP because the network communication failure risk in the ESF-CCS has yet to be fully quantified. Therefore, the potential hazardous states and failure mechanisms of network communication between GCs and LCs, which includes High Reliability-Safety Data Link (HR-SDL) and High Reliability-Safety Data Network (HR-SDN), were identified and the quantification schemes for various network failure causes were developed in this study. To quantify the network communication risk and estimate the risk effects of network communication failures in the ESF-CCS, a fault-tree model for engineered safety feature (ESF) components considering the failure of network communication between GC and LC was developed and integrated with OPR-1000 PSA model. In this study, the hazardous states of network communication were identified both in protocol-level and system-level. To identified the failure mechanisms of network communication which may induce the hazardous states, potential failure causes were analyzed based on the open systems interconnection model of Profibus protocol. The failure mechanisms include hardware failure, software failure, and the failure caused by medium-related bit error. Based on the identified failure mechanisms, quantification schemes for each network failure cause were proposed. Based on the proposed network communication risk assessment methodology, a fault-tree model for ESF components including the network communication failure in ESF-CCS was developed and integrated with OPR-1000 PSA model. Based on various periodic test intervals for network modules, a sensitivity study was conducted to analyze the risk effect of network failure between GCs and LCs on ESF-CCS signal failure.

최근, 원자력 발전소 내 공학적 안전설비 작동을 위한 그룹제어기와 루프제어기 간의 안전 신호의 송수신을 위해, 네트워크 통신망이 적용된 공학적 안전설비-기기 제어계통 (ESF-CCS)가 개발되었다. 원자력 발전소 내의 시스템의 제어나 정보 전달 계통 등에 네트워크 통신망을 이용할 경우, 설계상의 유연성 및 비용 절감 등의 면에서 많은 장점이 있지만, ESF-CCS내 네트워크 통신망에 대한 리스크 영향 평가 방법이 정립되어 있지 않고, 네트워크 통신 실패가 원전 리스크에 미치는 영향이 평가되어 있지 않아, 실제로 발전소에 적용되지 못하고 있다. 따라서, 본 연구에서는 ESF-CCS내의 그룹제어기와 루프제어기간의 데이터 송수신에 적용된 고신뢰도 안전데이터링크 (HR-SDL)와 고신뢰도 안전데이터망 (HR-SDN)의 위해상태 및 실패기제들을 분석하였다. 이를 바탕으로, 네트워크 통신 실패로 인한 공학적 안전 설비 (ESF) 작동 실패의 고장수목을 모델링하고, 원전 PSA 모델에 반영하여, 네트워크 통신 실패의 리스크 영향을 정량적으로 분석하였다. 네트워크 통신망의 위해상태를 분석하기 위해서, HR-SDL과 HR-SDN의 네트워크 프로토콜인 프로피버스 (Profibus) 프로토콜의 통신 방법에 근거하여, 그룹제어기와 루프제어기의 위해상태를 정의하였다. 정의된 위해상태들을 초래할 수 있는 실패기제를 분석하기 위해, Profibus에서 정의된 3가지 OSI 계층 (물리 계층, 데이터 링크 계층, 응용 계층)에 해당하는 실패기제들을 분석하였다. 분석된 실패기제들은 크게 하드웨어 실패, 소프트웨어 실패, 송수신되는 프레임 내의 비트 오류발생으로 인한 실패로 분류되며, 각 실패기제에 대한 정량화 방안을 제안하였다. 제안된 방법론을 바탕으로, 원전의 DBA 사고 시, 공학적 안전신호를 필요로 하는 공학적 안전설비 작동 실패에 대한 고장수목 모델링을 수행하였다. 개발된 고장수목 모델을 한국 표준형 원전의 확률론적 안전성 평가 모델에 반영하여, ESF-CCS내 그룹제어기와 루프제어기간의 네트워크 통신 실패가 ESF 개시신호 생성 실패에 미치는 영향을 정량적으로 분석하였다. 본 연구의 제안된 방법론은 다른 디지털 계측제어 계통 내 안전 네트워크 통신망에 대한 리스크 평가에도 활용될 것으로 기대된다.