The safety-critical digital systems in nuclear power plants (NPPs) such as reactor protection system (RPS) and engineered safety feature-component control system (ESF-CCS) automatically generate the control signals for manipulating complicated accident-mitigation equipment including the control rod driving mechanism for reactor trip. In the design process of safety-critical digital systems, the quantitative analysis of their dependabil-ity is essential step to enhance the safety of NPPs. The earlier this analysis can be performed, the higher safety can be achieved in a more cost effective manner. Therefore, in order to efficiently analyze and assess the dependability of safety-critical digital system at the early design stage, the integrated dependability evaluation model of RPS is developed using the Markov model. The RPS is the multiple redundant system, which is generally configured with four identical channels where various fault-tolerant techniques are used. This features the state explosion when the Markov model is used in analyzing its dependability. In order to overcome this issue, a systematic approach to simplify the Mar-kov model using system decomposition based on the failure-independent subsystems. This approach results in an exact solution in contrast with existing studies that result in an approximation solution. The proposed ap-proach is to decompose the target system into several failure-independent subsystems based on the function block diagram of target system, and then obtain the system-level failure rate and unavailability rate from the Markov model of the subsystem. These rates allow to easily make the Markov model for the target system and obtain its dependability. In order to build the integrated dependability model of RPS, the channel-level failure rate of each channel for RPS is obtained using the proposed approach. And the complex interrelationship among dependability parameters such as architecture, channel-level failure, repair, common cause failure and periodic surveillance test (PST) are modeled systematically, which cannot be achieved by using conventional static methods. In order to demonstrate the effectiveness of developed model, the dependability of RPS is evaluated along the variation of channel configuration and parameters. And also some PST strategies for efficiently improving the availability of RPS are suggested. The analyzed results show the quantitative effect on the dependability of RPS for variation of parameters in given channel configuration. It can give the system designer the criteria of how to design and optimize the parameters under the system requirements. The suggested PST strategies are to select the optimal period of surveillance test, to use the hybrid PST method in the system level and automatic self-test (AST) in the component level. First, the RPS with three channel configuration has more chance to be failed state during the PST in contrast with four channel configuration; in other words, frequent or rare PST dete-riorates the availability of RPS. Therefore, there is an optimal period of surveillance test, which is obtained by using the developed model. Second, at the early RPS operation, it is more advantageous for availability to test each channel sequentially only until the fault of channel is detected like staggered test rather than to test se-quentially regardless of the detection of channel fault like a conventional PST. Accordingly, hybrid PST combin-ing the staggered and conventional PST is suggested, where the switching time point of two methods is identified using the developed model. Finally, the AST is continuous test, not bypassing the channel, which is performed by internal memory of each module during the idle time of operating system scan time. Even though the test coverage factor of AST is very low, it effectively increases the fault detection coverage factor of each module. As a result, the unavailability of RPS with three channel configuration is reduced to 47.56% compared to that of conventional PST strategy. Although the integrated dependability evaluation model is developed for RPS, it can be applied to any safety systems with complex fault-tolerant architecture. At the early design stage, it can perform the role as de-cision maker giving information how to optimally design the architecture and dependability parameters under system requirements. Also it describes accurately both component-level and system-level behavior of dependa-bility and thus, it can be applied to the dynamic probabilistic safety assessment and risk-informed regulations.

원자력 발전소(이하 원전)의 원자로보호계통 및 공학적안전설비-기기제어계통은 발전소 설계기준사건 발생 시, 원자로 트립을 위한 제어봉을 비롯한 안전관련 기기들을 작동시켜 원자로냉각재압력경계의 건전성을 유지하여 발전소 안전정지를 달성 및 유지하고, 허용방사선량을 초과한 사고결말을 완화시키는 안전-필수 계통이다. 원전 안전-필수 계통의 설계공정 중 정량적 신뢰도 분석은 원전의 안전성을 향상시키기 위한 필수 단계로, 이러한 분석이 설계공정 상 초기 단계에 수행될수록, 더 높은 안전성을 비용효율적인 방법으로 달성시킬 수 있다. 따라서, 설계 초기 단계에 원전 안전-필수 계통의 신뢰도를 효율적으로 분석 및 평가할 수 있는 모델을 도출 할 필요가 있다. 이에 본 연구에서는, 마코프 모델을 이용하여 기기 및 계통 수준의 다양한 신뢰도 변수를 통합적으로 반영할 수 있는 신뢰도 모델을 개발하였고 원자로보호계통에 적용하였다. 원자로보호계통은 여러 개의 동일한 채널로 구성되고, 각 채널 내에서는 다양한 고장감내 기법이 사용되는 복잡한 다중화 시스템으로, 신뢰도 분석을 위해 마코프 모델이 적용될 경우, 상태 폭주가 발생하여 모델의 복잡성이 급격하게 증가한다. 이러한 단점을 극복하기 위해서, 시스템 분해를 이용한 모델 간략화 방법을 제시하였다. 제시된 방법은 고장-독립적인 부시스템들의 시스템 수준 고장률과 불가용률에 기반하여 전체 시스템을 체계적으로 모델링 하는 방법으로, 기존 방법과는 다르게 분석 대상 시스템의 신뢰도를 정확하게 평가할 수 있다. 원자로보호계통의 통합 신뢰도 모델을 위하여, 각 채널은 제안된 간략화 방법을 이용하여 채널 수준의 고장률을 구하고 주기 시험, 공통원인고장, 보수 및 시스템 구조와 같은 신뢰도 변수들간 복잡한 상호관계성을 체계적으로 모델링 하였다. 이는 기존의 정적 모델보다 복잡한 기기 및 계통 수준의 신뢰도 행위를 보다 정확하게 묘사할 수 있다는 장점이 있다. 개발된 모델의 적용효과를 확인하기 위하여, 다양한 채널 구성과 변수 변화에 따른 원자로보호계통의 신뢰도를 정량적으로 분석 및 평가하였고, 가용도를 효과적으로 개선시킬 수 있는 주기 시험 전략들을 제시하였다. 분석된 결과를 통하여 변수 변화에 대한 신뢰도 영향을 정량적으로 평가할 수 있고, 이를 통하여 시스템 설계자는 주어진 설계 요건 내에서 각 신뢰도 변수를 최적화하여 설계할 수 있다. 제시된 주기시험 전략들은 시험주기의 최적 값 선택, 하이브리드 주기시험 방법 및 자동자가시험(Automatic self-test) 적용으로 첫째, 일반적으로 주기시험은 시스템의 가용도를 증가시키지만, 채널구성에 따라 너무 빈번하거나 드문 시험주기는 오히려 시스템의 가용도를 악화시킨다. 따라서 개발된 모델을 통하여 최적주기를 도출하였다. 둘째, 원자로보호계통의 일반적인 주기시험 방법은 각 채널의 고장 탐지 유무에 상관없이 모든 채널을 순차적으로 시험하는 것이지만, 시스템 운용 초기에는 채널 고장이 탐지될 때까지만 순차적으로 시험하는 것이 가용도에 유리하다. 즉, 시험 중인 채널의 고장이 탐지되지 않으면 주기시험을 마치고, 탐지되면 순차적으로 다음 채널을 시험하는 방법이다. 이는 운용초기 단계에 시스템 신뢰도가 높기 때문에 유효한 방법이지만, 궁극적으로는 잠재적인 채널 고장을 탐지할 수 없으므로 시간이 지남에 따라 가용도는 정상상태(Steady state) 값을 유지하지 않고 지속적으로 낮아진다. 따라서 두 시험방법을 조합하여 운용초기 단계에는 제시된 시험방법을 활용하고 이후에는 기존 시험방법을 활용하는 것이 시스템의 가용도를 증진시킬 수 있다. 시험방법 변경시점은 개발된 모델을 이용하여 제시하였다. 마지막으로, 자동자가시험은 채널을 우회시키지 않고 각 구성모듈을 연속적으로 시험할 수 있는 방법으로, 실시간 운영체제(Real time operating system)의 스캔주기 중 유휴시간(Idle time)동안 내부 메모리에 탑재된 테스트 패턴 혹은 시나리오에 의해서 수행된다. 자동자가시험의 시험 커버율은 매우 낮지만, 시험 주기가 매우 짧아 각 모듈의 고장 탐지율을 효과적으로 개선시킬 수 있다. 제시된 주기시험을 적용한 결과, 세 채널로 구성된 원자로보호계통의 불가용도는 47.56%까지 저감됨을 확인 하였다. 제안한 통합 신뢰도 모델은 원자로보호계통을 위해 개발되었지만, 복잡한 고장감내 구조를 갖는 어떠한 시스템에도 적용될 수 있으며, 시스템 설계 초기 단계에 시스템 구조 및 신뢰도 변수를 최적화하여 설계 할 수 있는 의사결정 도구로 활용될 것으로 기대된다. 또한 개발된 모델은 시스템 수준뿐만 아니라, 기기 수준의 신뢰도 행위를 정확하게 묘사할 수 있기 때문에 보다 현실적이고 정확한 원전상태를 반영하는 dynamic PSA 및 위험도 정보활용 원전규제 등에 활용될 수 있을 것으로 기대된다.