JP2991547B2 - 多重系制御装置の相互異常診断処理方法及び多重系制御装置 - Google Patents
多重系制御装置の相互異常診断処理方法及び多重系制御装置Info
- Publication number
- JP2991547B2 JP2991547B2 JP3261079A JP26107991A JP2991547B2 JP 2991547 B2 JP2991547 B2 JP 2991547B2 JP 3261079 A JP3261079 A JP 3261079A JP 26107991 A JP26107991 A JP 26107991A JP 2991547 B2 JP2991547 B2 JP 2991547B2
- Authority
- JP
- Japan
- Prior art keywords
- control
- subsystem
- abnormality
- subsystems
- mutual
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Landscapes
- Safety Devices In Control Systems (AREA)
Description
【0001】
【産業上の利用分野】本発明は、各サブシステム間のデ
ータ伝送により相互異常診断可能な多重系制御装置に関
し、特に、異常サブシステムの切離によっても制御シス
テム全系のダウンを回避することの可能な多重系制御装
置並びに多重系制御装置の相互異常診断処理方法に関す
る。
ータ伝送により相互異常診断可能な多重系制御装置に関
し、特に、異常サブシステムの切離によっても制御シス
テム全系のダウンを回避することの可能な多重系制御装
置並びに多重系制御装置の相互異常診断処理方法に関す
る。
【0002】
【従来の技術】従来、例えば原子炉再循環流量制御装置
等の原子力プラントの制御系のように、その誤動作が重
大な結果を引き起こす可能性のある場合には、一般に、
制御装置を多重化してその信頼性を高める手法が多用さ
れている。また、制御装置を多重化した場合には、かか
る多重化された制御装置を構成する各制御装置(サブシ
ステム)間で相互に内部データのやりとりをさせ、デー
タの比較・検討を行いながら自系サブシステムの状態を
監視し、異常と判断される場合には自系の制御を停止
(切り離す)する相互異常診断の手法も多く使われてい
る。
等の原子力プラントの制御系のように、その誤動作が重
大な結果を引き起こす可能性のある場合には、一般に、
制御装置を多重化してその信頼性を高める手法が多用さ
れている。また、制御装置を多重化した場合には、かか
る多重化された制御装置を構成する各制御装置(サブシ
ステム)間で相互に内部データのやりとりをさせ、デー
タの比較・検討を行いながら自系サブシステムの状態を
監視し、異常と判断される場合には自系の制御を停止
(切り離す)する相互異常診断の手法も多く使われてい
る。
【0003】かかる従来技術になる多重系制御方式とし
ては、例えば特開昭58−178402号公報により知
られる「多重系制御方式」、特開昭58−205201
号公報により知られる「3重化された制御保護装置の故
障検出装置」等がある。すなわち、これらの従来技術に
なる多重系制御方式においては、サブシステム内で異常
が発生した場合、いわゆる「2対1論理(多数決理
論)」により、異常を確実に検出することが出来、もっ
て、装置全体の制御上には全く影響を及ぼさないという
観点からのものであった。
ては、例えば特開昭58−178402号公報により知
られる「多重系制御方式」、特開昭58−205201
号公報により知られる「3重化された制御保護装置の故
障検出装置」等がある。すなわち、これらの従来技術に
なる多重系制御方式においては、サブシステム内で異常
が発生した場合、いわゆる「2対1論理(多数決理
論)」により、異常を確実に検出することが出来、もっ
て、装置全体の制御上には全く影響を及ぼさないという
観点からのものであった。
【0004】
【発明が解決しようとする課題】しかしながら、上記の
従来技術になる多重系制御方式においては、成る程、制
御系全体の高信頼化という観点からの相互異常診断機能
を有してはいたが、その機能により、むしろ相互に干渉
しあい、制御系全系がシステムダウンに至ってしまう場
合があった。例えば、プロセス量に急激な変化が生じた
場合などにおいて、相互の系のデータがそれぞれ異なっ
てしまい、各系が切り離され、相互異常診断機能が悪影
響を及ぼして、最悪の場合には、3重系共に切り離され
てしまいシステムダウンに至る。
従来技術になる多重系制御方式においては、成る程、制
御系全体の高信頼化という観点からの相互異常診断機能
を有してはいたが、その機能により、むしろ相互に干渉
しあい、制御系全系がシステムダウンに至ってしまう場
合があった。例えば、プロセス量に急激な変化が生じた
場合などにおいて、相互の系のデータがそれぞれ異なっ
てしまい、各系が切り離され、相互異常診断機能が悪影
響を及ぼして、最悪の場合には、3重系共に切り離され
てしまいシステムダウンに至る。
【0005】かかる従来技術に対し、本発明では、例え
3重系といえども2対1の多数決論理が働かず、3台共
にデータが相互に重なる場合が現実に存在し得るという
前提に立っての多重系の多重系制御装置及び方法を提案
するものである。
3重系といえども2対1の多数決論理が働かず、3台共
にデータが相互に重なる場合が現実に存在し得るという
前提に立っての多重系の多重系制御装置及び方法を提案
するものである。
【0006】すなわち、本発明の目的は、サブシステム
間での相互異常診断機能を有しながらも、制御系全系の
システムダウンを確実に回避することの可能な、柔軟な
多重化運転モードの可能な多重系制御装置を構築し、一
層フォールトトレラントな多重系制御装置、及び相互異
常診断処理方法を提供することにある。
間での相互異常診断機能を有しながらも、制御系全系の
システムダウンを確実に回避することの可能な、柔軟な
多重化運転モードの可能な多重系制御装置を構築し、一
層フォールトトレラントな多重系制御装置、及び相互異
常診断処理方法を提供することにある。
【0007】
【課題を解決するための手段】本発明は、共通の制御対
象を複数のサブシステムにより制御すると共に、上記各
サブシステムは、制御量を演算する制御演算部と、上記
演算された制御量データを他のサブシステムにより演算
された制御量データと比較することにより自系の異常を
診断する相互異常診断部と、上記相互異常診断部での診
断の結果、異常であれば自系を制御系から切り離す信号
切替部とを備えた多重系制御装置において、上記複数の
サブシステム間には、運転中の全サブシステム異常時で
の切り離しの優先順位が予め定められており、運転中の
全サブシステム異常時にはこの運転中のサブシステムの
中の優先順位の低いサブシステムを切り離すものとした
ことを特徴とする多重系制御装置の相互異常診断処理方
法を開示する。
象を複数のサブシステムにより制御すると共に、上記各
サブシステムは、制御量を演算する制御演算部と、上記
演算された制御量データを他のサブシステムにより演算
された制御量データと比較することにより自系の異常を
診断する相互異常診断部と、上記相互異常診断部での診
断の結果、異常であれば自系を制御系から切り離す信号
切替部とを備えた多重系制御装置において、上記複数の
サブシステム間には、運転中の全サブシステム異常時で
の切り離しの優先順位が予め定められており、運転中の
全サブシステム異常時にはこの運転中のサブシステムの
中の優先順位の低いサブシステムを切り離すものとした
ことを特徴とする多重系制御装置の相互異常診断処理方
法を開示する。
【0008】更に本発明は、各サブシステムの相互異常
診断部からの異常診断信号の組合せに基づき、上記各サ
ブシステムを切り離す上記優先順位を予め定めたことを
特徴とする多重系制御装置の相互異常診断処理方法を開
示する。
診断部からの異常診断信号の組合せに基づき、上記各サ
ブシステムを切り離す上記優先順位を予め定めたことを
特徴とする多重系制御装置の相互異常診断処理方法を開
示する。
【0009】更に本発明は、共通の制御対象を複数のサ
ブシステムにより制御すると共に、上記各サブシステム
は、制御量を演算する制御演算部と、上記演算された制
御量データを他のサブシステムにより演算された制御量
データと比較することにより自系の異常を診断する相互
異常診断部と、異常の場合、自系を制御系から切り離す
信号切替部とを備えた多重系制御装置において、運転中
の全サブシステムの異常時に、上記各サブシステムの相
互異常診断部からの診断結果信号に基づいて、予め定め
られた、運転中の全サブシステム異常時での切り離しの
優先順位の低いサブシステム切り離し指令を上記信号切
替部に出力する手段を、各サブシステム内に又は各サブ
システムとは独立に設けたことを特徴とする多重系制御
装置を開示する。
ブシステムにより制御すると共に、上記各サブシステム
は、制御量を演算する制御演算部と、上記演算された制
御量データを他のサブシステムにより演算された制御量
データと比較することにより自系の異常を診断する相互
異常診断部と、異常の場合、自系を制御系から切り離す
信号切替部とを備えた多重系制御装置において、運転中
の全サブシステムの異常時に、上記各サブシステムの相
互異常診断部からの診断結果信号に基づいて、予め定め
られた、運転中の全サブシステム異常時での切り離しの
優先順位の低いサブシステム切り離し指令を上記信号切
替部に出力する手段を、各サブシステム内に又は各サブ
システムとは独立に設けたことを特徴とする多重系制御
装置を開示する。
【0010】更に本発明は、共通の制御対象を3重系サ
ブシステムにより制御すると共に、上記各サブシステム
は、制御量を演算する制御演算部と、上記演算された制
御量データを他のサブシステムにより演算された制御量
データと比較することにより自系の異常を診断する相互
異常診断部と、上記相互異常診断部での診断の結果、異
常であれば自系を制御系から切り離す信号切替部とを備
えた多重系制御装置において、運転中の全サブシステム
の異常の場合にその切り離しの優先順位の低いサブシス
テムを切り離すように構成しておき、3重系サブシステ
ムのすべてが正常の状態で3重系制御、一系サブシステ
ムの異常による一系切り離した状態のもと、又は三系す
べてが異常での低い優先順位のサブシステムを切り離し
た状態のもとでは残りの二系の待機冗長2重系制御、二
系サブシステムの異常による二系切り離した状態のも
と、又は二系運転下でこの二系すべてが異常での低い優
先順位のサブシステムの切離した状態のもとでは残りの
一系によるシングル系制御を行い、切り離されているサ
ブシステムの異常解消した場合そのサブシステムを制御
用に自動復帰せしめるようにした多重系制御装置を開示
する。
ブシステムにより制御すると共に、上記各サブシステム
は、制御量を演算する制御演算部と、上記演算された制
御量データを他のサブシステムにより演算された制御量
データと比較することにより自系の異常を診断する相互
異常診断部と、上記相互異常診断部での診断の結果、異
常であれば自系を制御系から切り離す信号切替部とを備
えた多重系制御装置において、運転中の全サブシステム
の異常の場合にその切り離しの優先順位の低いサブシス
テムを切り離すように構成しておき、3重系サブシステ
ムのすべてが正常の状態で3重系制御、一系サブシステ
ムの異常による一系切り離した状態のもと、又は三系す
べてが異常での低い優先順位のサブシステムを切り離し
た状態のもとでは残りの二系の待機冗長2重系制御、二
系サブシステムの異常による二系切り離した状態のも
と、又は二系運転下でこの二系すべてが異常での低い優
先順位のサブシステムの切離した状態のもとでは残りの
一系によるシングル系制御を行い、切り離されているサ
ブシステムの異常解消した場合そのサブシステムを制御
用に自動復帰せしめるようにした多重系制御装置を開示
する。
【0011】
【作用】すなわち、上記の本発明によれば、サブシステ
ム間での相互異常診断機能を有しながらも、異常検出時
のサブシステムの切離しを、予め設定された優先順位、
又は、異常ヶ所を有する1のサブシステムをダウンさせ
ることによって行うため、多重系制御システムがいわゆ
る待機冗長2重系運転となり、もって、全系のシステム
ダウンを回避させる。これに伴い、既にダウンしたサブ
システムにおいても、その後の相互異常診断によりデー
タが所定範囲内に収斂すれば、再び制御モードに移行可
能となるため、柔軟な多重化運転モードを構築し、一層
のフォールトトレラントなシステムを提供することが可
能となる。
ム間での相互異常診断機能を有しながらも、異常検出時
のサブシステムの切離しを、予め設定された優先順位、
又は、異常ヶ所を有する1のサブシステムをダウンさせ
ることによって行うため、多重系制御システムがいわゆ
る待機冗長2重系運転となり、もって、全系のシステム
ダウンを回避させる。これに伴い、既にダウンしたサブ
システムにおいても、その後の相互異常診断によりデー
タが所定範囲内に収斂すれば、再び制御モードに移行可
能となるため、柔軟な多重化運転モードを構築し、一層
のフォールトトレラントなシステムを提供することが可
能となる。
【0012】即ち、待機冗長2重系運転の場合、制御側
サブシステムは、相互異常診断により異常を検出して
も、当該系を切り離すことはない。又、RAS機能等の
自己診断により異常検出した場合、当該系は切り離さ
れ、待機側サブシステムが、制御側となり、制御続行可
能である。
サブシステムは、相互異常診断により異常を検出して
も、当該系を切り離すことはない。又、RAS機能等の
自己診断により異常検出した場合、当該系は切り離さ
れ、待機側サブシステムが、制御側となり、制御続行可
能である。
【0013】さらに、必要に応じて(相互異常診断部に
て自系の異常が検出されなくなった場合)、再び3重系
運転へ移行することも可能となる。
て自系の異常が検出されなくなった場合)、再び3重系
運転へ移行することも可能となる。
【0014】
【実施例】以下、本発明の一実施例につき、添付の図面
を用いながら詳細に説明を行う。先ず、添付の図1に
は、本発明を原子力プラントに適用した例として、より
具体的には、BWR型原子力発電所の原子炉再循環流量
制御装置に適用された場合の概略構成が示されている。
この図1に示す原子炉再循環流量制御装置は、いわゆる
3重系システムとなっており、原子炉1の水を強制循環
させ、その量を調節することにより炉出力を変化させる
機能を有するものである。即ち、原子炉再循環流量制御
装置は、再循環を行うポンプ5を駆動するポンプモータ
4に可変周波数電力を発生・供給する可変周波数電源装
置を制御するものであり、いわゆるMGセット2の発電
機(G)の回転数nをフィードバック制御することによ
り、周波数変換装置(FC)を制御するものである。
尚、コントロールドライブ(C/D)3は、このMGセ
ット2の制御の操作端となっている。
を用いながら詳細に説明を行う。先ず、添付の図1に
は、本発明を原子力プラントに適用した例として、より
具体的には、BWR型原子力発電所の原子炉再循環流量
制御装置に適用された場合の概略構成が示されている。
この図1に示す原子炉再循環流量制御装置は、いわゆる
3重系システムとなっており、原子炉1の水を強制循環
させ、その量を調節することにより炉出力を変化させる
機能を有するものである。即ち、原子炉再循環流量制御
装置は、再循環を行うポンプ5を駆動するポンプモータ
4に可変周波数電力を発生・供給する可変周波数電源装
置を制御するものであり、いわゆるMGセット2の発電
機(G)の回転数nをフィードバック制御することによ
り、周波数変換装置(FC)を制御するものである。
尚、コントロールドライブ(C/D)3は、このMGセ
ット2の制御の操作端となっている。
【0015】図において、制御装置は3重化された各サ
ブシステム、すなわち、コントローラ10i〜10kから
構成されている。これらのコントローラ10i〜10k
は、各々、比例積分演算等を行うロジック部11i〜1
1kと、他のコントローラからの信号を入力して自己の
内容と比較しながら診断を行う、いわゆる相互異常診断
部12i〜12kとを備えている(ただし、図において
は、一例として、コントローラ10iの内部のみを詳細
に示す)。より具体的に説明を加えると、コントローラ
10iにおいて、発電機(G)の回転数信号nは、ライ
ン17を介してロジック部11iに入力され、所定の基
準値(SV)と比較され、比例積分器(PI)において
比例積分演算処理が行われる。そして、この比例積分器
(PI)により比例積分演算処理された信号Diは、例
えばスイッチから構成される切り離し回路14iを介し
て操作端出力選択回路(MVG)16へ出力されてい
る。また、ライン18上には、各サブシステムからのデ
ータ(Di,Dj,Dk)の中間値がSoとして出力されて
いる。
ブシステム、すなわち、コントローラ10i〜10kから
構成されている。これらのコントローラ10i〜10k
は、各々、比例積分演算等を行うロジック部11i〜1
1kと、他のコントローラからの信号を入力して自己の
内容と比較しながら診断を行う、いわゆる相互異常診断
部12i〜12kとを備えている(ただし、図において
は、一例として、コントローラ10iの内部のみを詳細
に示す)。より具体的に説明を加えると、コントローラ
10iにおいて、発電機(G)の回転数信号nは、ライ
ン17を介してロジック部11iに入力され、所定の基
準値(SV)と比較され、比例積分器(PI)において
比例積分演算処理が行われる。そして、この比例積分器
(PI)により比例積分演算処理された信号Diは、例
えばスイッチから構成される切り離し回路14iを介し
て操作端出力選択回路(MVG)16へ出力されてい
る。また、ライン18上には、各サブシステムからのデ
ータ(Di,Dj,Dk)の中間値がSoとして出力されて
いる。
【0016】一方、各コントローラの相互異常診断部1
2iは、自系データDiと、他の2つの系から電送(図中
において、矢印15、15…で示されている)を介して
送られてきた他の系のデータDj、Dkとの偏差の大きさ
(数値データの場合)、又は、不一致(ビットデータの
場合)による自系信号の異常を、他の系の運転状態信号
Cj、Ckを考慮しながら検出し、自系のデータDiが不
一致であると検出された場合、不一致フラグicを出力
し、ライン18上の制御信号Soを自系データDiとし
てコピー(いわゆるデータの合わせ込み)する。その結
果、尚、不一致がさらに継続した場合、異常フラグCi
を出力し、上記の切り離し回路14iによって切り離さ
れることとなる。したがって、コントローラ10iから
の出力信号Diは、操作端出力選択回路16へは出力さ
れなくなる。
2iは、自系データDiと、他の2つの系から電送(図中
において、矢印15、15…で示されている)を介して
送られてきた他の系のデータDj、Dkとの偏差の大きさ
(数値データの場合)、又は、不一致(ビットデータの
場合)による自系信号の異常を、他の系の運転状態信号
Cj、Ckを考慮しながら検出し、自系のデータDiが不
一致であると検出された場合、不一致フラグicを出力
し、ライン18上の制御信号Soを自系データDiとし
てコピー(いわゆるデータの合わせ込み)する。その結
果、尚、不一致がさらに継続した場合、異常フラグCi
を出力し、上記の切り離し回路14iによって切り離さ
れることとなる。したがって、コントローラ10iから
の出力信号Diは、操作端出力選択回路16へは出力さ
れなくなる。
【0017】そして、本発明によれば、上記コントロー
ラ10i〜10kは、予め設定された優先順位により、又
は、異常ヶ所を有する1のサブシステムのみをダウンさ
せることにより、多重系制御システムを待機冗長2重系
運転としている。
ラ10i〜10kは、予め設定された優先順位により、又
は、異常ヶ所を有する1のサブシステムのみをダウンさ
せることにより、多重系制御システムを待機冗長2重系
運転としている。
【0018】図2には、本発明の他の実施例として、図
1と同様、原子力プラントであるBWR型原子力発電所
の原子炉再循環流量制御装置に適用された多重系制御装
置が示されている。また、この図においても、図1の構
成部分と同様の部品は、図1に示すと同一の符号で示さ
れている。この他の実施例になる多重系制御システムに
おいて、特に、特徴的なことは、上記図1に示したもの
と比較し、さらに、いわゆる運転モード判定部19を、
各サブシステムであるコントローラ10i〜10kとは独
立して設けたことである。すなわち、この運転モード判
定部19は、各サブシステム(コントローラ10i〜1
0k)の相互異常診断部12i〜12kにより検出された
異常フラグCi〜Ckをベースに、どのサブシステムを切
り離すかを決定し、各サブシステムへ切り離し指令を出
力するものである。一方、各サブシステム(コントロー
ラ10i〜10k)は、自己の相互異常診断部12i〜1
2kにより出力された異常フラグCi〜Ckと、上記運転
モード判定部19からの切り離し指令Yi〜Ykとを入力
するANDゲート13iを介して、AND論理により、
自系を切り離すこととなる。
1と同様、原子力プラントであるBWR型原子力発電所
の原子炉再循環流量制御装置に適用された多重系制御装
置が示されている。また、この図においても、図1の構
成部分と同様の部品は、図1に示すと同一の符号で示さ
れている。この他の実施例になる多重系制御システムに
おいて、特に、特徴的なことは、上記図1に示したもの
と比較し、さらに、いわゆる運転モード判定部19を、
各サブシステムであるコントローラ10i〜10kとは独
立して設けたことである。すなわち、この運転モード判
定部19は、各サブシステム(コントローラ10i〜1
0k)の相互異常診断部12i〜12kにより検出された
異常フラグCi〜Ckをベースに、どのサブシステムを切
り離すかを決定し、各サブシステムへ切り離し指令を出
力するものである。一方、各サブシステム(コントロー
ラ10i〜10k)は、自己の相互異常診断部12i〜1
2kにより出力された異常フラグCi〜Ckと、上記運転
モード判定部19からの切り離し指令Yi〜Ykとを入力
するANDゲート13iを介して、AND論理により、
自系を切り離すこととなる。
【0019】以上に説明した本発明の実施例になる多重
系制御装置における相互異常診断による運転モード遷移
方法を、以下に添付の図を参照しながら詳細に説明す
る。
系制御装置における相互異常診断による運転モード遷移
方法を、以下に添付の図を参照しながら詳細に説明す
る。
【0020】図3には、上記多重系制御装置、具体的に
は3重系制御装置において、3重系(A)から2重系
(B)へ、2重系から1重(シングル)系(C)への縮
退型の運転モードの遷移及びその時の運転状態が示され
ている。また、図4には、その時の事象発生フロー及び
縮退とは反対の拡張型(シングル→2重系→3重系)の
遷移フローが示されている。
は3重系制御装置において、3重系(A)から2重系
(B)へ、2重系から1重(シングル)系(C)への縮
退型の運転モードの遷移及びその時の運転状態が示され
ている。また、図4には、その時の事象発生フロー及び
縮退とは反対の拡張型(シングル→2重系→3重系)の
遷移フローが示されている。
【0021】図4において、ここで、3重系運転時(S
10)では、ライン18上の制御データSoは、各サブ
システムであるコントローラ10i〜10kからのデータ
Di,Dj,Dkの中間値が出力されている。従って、各サ
ンプリング毎のSoは、特定のコントローラからの信号
を常時出力しているわけではない。一方、2重系運転時
(S20)では、予め優先順位の決めてあるコントロー
ラの信号を出力する待機冗長2重系となっている。
10)では、ライン18上の制御データSoは、各サブ
システムであるコントローラ10i〜10kからのデータ
Di,Dj,Dkの中間値が出力されている。従って、各サ
ンプリング毎のSoは、特定のコントローラからの信号
を常時出力しているわけではない。一方、2重系運転時
(S20)では、予め優先順位の決めてあるコントロー
ラの信号を出力する待機冗長2重系となっている。
【0022】相互異常診断そのものは、特に3重系にお
いては、多数決論理(2対1理論)が機能するため、異
常検出時における多重系でのサブシステムの切り離しに
有効な手段であるが、しかしながら、3重系の各々のコ
ントローラが全て、正常な場合においても、例えばプロ
セス量の急激な変化が生じた場合等には、逆に、相互異
常診断が悪影響を及ぼし、最悪の場合、3重系共に切り
離され、システムダウンに至る場合がある。そこで、本
発明では、必ず3重系から2重系へ移行するようにし
て、かかる3重系の全系が切り離されることにより生じ
るシステムダウンの発生を防止する。
いては、多数決論理(2対1理論)が機能するため、異
常検出時における多重系でのサブシステムの切り離しに
有効な手段であるが、しかしながら、3重系の各々のコ
ントローラが全て、正常な場合においても、例えばプロ
セス量の急激な変化が生じた場合等には、逆に、相互異
常診断が悪影響を及ぼし、最悪の場合、3重系共に切り
離され、システムダウンに至る場合がある。そこで、本
発明では、必ず3重系から2重系へ移行するようにし
て、かかる3重系の全系が切り離されることにより生じ
るシステムダウンの発生を防止する。
【0023】即ち、上記の事柄を、図4のフローによっ
て説明する。3重系運転(S10)においては、各サブ
システムのコントローラ10i〜10kは、その相互異常
診断部12i〜12kの働きにより、自己のデータと他の
系のデータと比較しながら異常を検出している。ところ
で、この3重系運転において、プロセス量の急激な変化
が生じた場合(S11)、例えば伝送遅れ等の原因によ
り、各サブシステムでは自系のデータが他の系のデータ
と一致しなくなり(S12)、相互異常診断部12i〜
12kが異常を検出する。その結果、異常(例えば、デ
ータの不一致等)を検出した系のコントローラ10i〜
10kは、自系のデータとして、3系の出力データの中
間値であるライン18上の制御信号Soをコピー(デー
タの合わせ込み)する(S13)。
て説明する。3重系運転(S10)においては、各サブ
システムのコントローラ10i〜10kは、その相互異常
診断部12i〜12kの働きにより、自己のデータと他の
系のデータと比較しながら異常を検出している。ところ
で、この3重系運転において、プロセス量の急激な変化
が生じた場合(S11)、例えば伝送遅れ等の原因によ
り、各サブシステムでは自系のデータが他の系のデータ
と一致しなくなり(S12)、相互異常診断部12i〜
12kが異常を検出する。その結果、異常(例えば、デ
ータの不一致等)を検出した系のコントローラ10i〜
10kは、自系のデータとして、3系の出力データの中
間値であるライン18上の制御信号Soをコピー(デー
タの合わせ込み)する(S13)。
【0024】ところで、3つの系は非同期にて演算して
おり、そのため、上記のデータのコピータイミングによ
っては、コピーされたデータそのものが、次にコピーさ
れる3系出力データの中間値(すなわち、信号So)に
も影響を与える(S14)。そのため、3つの系の各々
の相互異常診断データ間に不一致状態が継続することが
ある(S15)。
おり、そのため、上記のデータのコピータイミングによ
っては、コピーされたデータそのものが、次にコピーさ
れる3系出力データの中間値(すなわち、信号So)に
も影響を与える(S14)。そのため、3つの系の各々
の相互異常診断データ間に不一致状態が継続することが
ある(S15)。
【0025】ところで、従来の多重系制御装置において
は、多数決理論により、かかる状況が一定時間継続する
と、各系はそれぞれ自系を制御系から切り離し、タイム
フローが各系共に同じである場合には、最悪の場合に
は、全系システムダウンとなってしまう。そこで、本発
明のように、万が一にも全系システムダウンに至らぬ
様、相互異常診断継続時に自系を切り離すタイムフロー
に優先順位を決めて設定すると(S16)、全系システ
ムダウンに至ることなく、2重系運転に移行させること
が可能となる(S20)。例えば、本実施例では、優先
順位として、コントローラ10iの優先順位を最も高
く、続いてコントローラ10jが、そして、最後にコン
トローラ10kの順(10i>10j>10k)に設定され
ている。すなわち、この優先順位の設定により、各系の
切り離しの際には、優先順位が低いものから順序に制御
系から切り離されるため、従来技術における問題点であ
る全系システムダウンを回避させることが出来、かつ、
待機冗長な、信頼性を有する2重系運転にて、制御が続
行可能となる。
は、多数決理論により、かかる状況が一定時間継続する
と、各系はそれぞれ自系を制御系から切り離し、タイム
フローが各系共に同じである場合には、最悪の場合に
は、全系システムダウンとなってしまう。そこで、本発
明のように、万が一にも全系システムダウンに至らぬ
様、相互異常診断継続時に自系を切り離すタイムフロー
に優先順位を決めて設定すると(S16)、全系システ
ムダウンに至ることなく、2重系運転に移行させること
が可能となる(S20)。例えば、本実施例では、優先
順位として、コントローラ10iの優先順位を最も高
く、続いてコントローラ10jが、そして、最後にコン
トローラ10kの順(10i>10j>10k)に設定され
ている。すなわち、この優先順位の設定により、各系の
切り離しの際には、優先順位が低いものから順序に制御
系から切り離されるため、従来技術における問題点であ
る全系システムダウンを回避させることが出来、かつ、
待機冗長な、信頼性を有する2重系運転にて、制御が続
行可能となる。
【0026】さらに、図において、2重系運転(S2
0)の場合について説明する。再び、例えばプロセス量
の急激な変化等(S21)に伴い、各サブシステム(上
記の例ではコントローラ10iと10j)が、その相互異
常診断機能によって自系のデータと他系のデータとの不
一致により異常を検出すると(S22)、常に、予め設
定された優先順位の高い系の出力データ(この例では、
Di)を、自己データとしてコピーする(S23)。従
って優先系側(すなわち、コントローラ10i)では、
データの不一致による異常が検出されても、データのコ
ピーは行わない。すなわち、プロセス量の急変等が継続
した場合には、常に、非優先系は、優先系のデータを自
己データとしてコピーすることとなる。従って、コント
ローラが正常に動作しているならば、必ず、非優先系
(この場合、コントローラ10j)の相互異常診断デー
タ(Dj)は、優先系(コントローラ10i)のデータ
(Di)に一致することとなり(S24)、2重系運転
(相互異常診断データの一致)となる。
0)の場合について説明する。再び、例えばプロセス量
の急激な変化等(S21)に伴い、各サブシステム(上
記の例ではコントローラ10iと10j)が、その相互異
常診断機能によって自系のデータと他系のデータとの不
一致により異常を検出すると(S22)、常に、予め設
定された優先順位の高い系の出力データ(この例では、
Di)を、自己データとしてコピーする(S23)。従
って優先系側(すなわち、コントローラ10i)では、
データの不一致による異常が検出されても、データのコ
ピーは行わない。すなわち、プロセス量の急変等が継続
した場合には、常に、非優先系は、優先系のデータを自
己データとしてコピーすることとなる。従って、コント
ローラが正常に動作しているならば、必ず、非優先系
(この場合、コントローラ10j)の相互異常診断デー
タ(Dj)は、優先系(コントローラ10i)のデータ
(Di)に一致することとなり(S24)、2重系運転
(相互異常診断データの一致)となる。
【0027】ところで、ここで、上記の2重系運転にお
いて、非優先系(この場合、コントローラ10j)のデ
ータ(Dj)が、優先系のデータ(Di)に一致しない状
態が継続した場合(S25)、制御装置としては、いわ
ゆるシングル系運転(S30)へ移行することとなる
(但し、各コントローラが正常であれば、本運転への移
行は生じ難い)。
いて、非優先系(この場合、コントローラ10j)のデ
ータ(Dj)が、優先系のデータ(Di)に一致しない状
態が継続した場合(S25)、制御装置としては、いわ
ゆるシングル系運転(S30)へ移行することとなる
(但し、各コントローラが正常であれば、本運転への移
行は生じ難い)。
【0028】尚、シングル系運転から2重系運転へは、
図4において、非優先系のコントローラ10jが優先系
のコントローラ10iのデータ(Di)をコピーし(S3
1)、非優先系のコントローラ10jの相互異常診断デ
ータが優先側と一致した(S32)ところで、再び、2
重系運転(S20)へ移行することがで出来る。
図4において、非優先系のコントローラ10jが優先系
のコントローラ10iのデータ(Di)をコピーし(S3
1)、非優先系のコントローラ10jの相互異常診断デ
ータが優先側と一致した(S32)ところで、再び、2
重系運転(S20)へ移行することがで出来る。
【0029】さらに、2重系運転(S20)から、3重
系運転(S30)への復帰についても、図4に示すよう
に、以下の順で可能となる。
系運転(S30)への復帰についても、図4に示すよう
に、以下の順で可能となる。
【0030】すなわち、先ず、3重系から2重系への運
転の切り替えによって切り離された系(例えば、コント
ローラ10k)は、2重系運転状態での優先系(コント
ローラ10i)の相互診断データをコピーする(S1
7)。従って、切り離されたコントローラ(ここでは、
コントローラ10k)が正常であれば、当該コントロー
ラは、必ず2重系運転時の優先系の相互診断データDi
に一致することとなる(S18)。従って、当該コント
ローラは、制御に参入することが出来、システムとして
3重系運転(S10)へ移行することなる。
転の切り替えによって切り離された系(例えば、コント
ローラ10k)は、2重系運転状態での優先系(コント
ローラ10i)の相互診断データをコピーする(S1
7)。従って、切り離されたコントローラ(ここでは、
コントローラ10k)が正常であれば、当該コントロー
ラは、必ず2重系運転時の優先系の相互診断データDi
に一致することとなる(S18)。従って、当該コント
ローラは、制御に参入することが出来、システムとして
3重系運転(S10)へ移行することなる。
【0031】ここで、上記(S17)の後、当該コント
ローラの相互診断データが、やはり、優先系のそれに一
致しない場合(S19)には、再び、2重系運転継続状
態に戻ることとなる(但しコントローラが正常であれば
本事象はおこりにくい)。
ローラの相互診断データが、やはり、優先系のそれに一
致しない場合(S19)には、再び、2重系運転継続状
態に戻ることとなる(但しコントローラが正常であれば
本事象はおこりにくい)。
【0032】次に、上記のは本発明の特徴ともなる、い
わゆる、相互異常診断運転モード判定を行うためのより
詳細な構成について説明する。先ず、図5には、上記の
図1に示した相互異常診断部12i〜12kの詳細構造で
あり、図にも示される様に、相互異常診断部41と運転
モード判定部32を各サブシステム(すなわち、コント
ローラ10i〜10k)に内蔵された場合の例を示してい
る。この診断部41は、例えばアナログデータの場合に
はその偏差の大きさを、あるいは、ディジタルデータの
場合にはそのビット内容の不一致を検出する機能を有し
ている。また、運転モード判定部32は、さらに、自系
を切り離す指令を確立する自系切離確立用タイマー(T
P1)321を有し、一方、異常フラグ解消後(すなわ
ち、正常状態成立後)、自系を制御モードに投入するま
での遅れを確保するための自系制御モード確立用タイマ
ー(TP2)322をも併せて有している。また、図中
の符号323は、上記自系制御モード確立用タイマー
(TP2)322からの出力でOFFするスイッチ素子
であり、324はいわゆるOR論理素子である。そし
て、各コントローラ10i〜10kの優先順位は、この自
系切離確立用タイマー(TP1)321の設定時間によ
って設定されることとなる。即ち、診断部41で異常診
断がなされて、異常の旨の出力がでると、タイマー32
1に入力する。タイマー321では、そのタイマー時間
の間、異常が継続している時のみ出力“1”を出す。そ
のタイマー時間内で異常が解消されれば、タイマー32
1は出力“1”を出さず、“0”をそのまま出力する。
一方、OR論理素子324の出力は、スイッチ323を
介して自己入力となっており、これにより、自己ホール
ド機能を持つ。従って、スイッチ23がオンになってい
る限りタイマー321の出力“1”はスイッチ323を
介して自己ホールドされ、OR論理素子324の出力は
“1”となる。OR論理素子324の出力“1”とは、
異常フラグCiが立っていることを意味する。一方、異
常解消すると、診断部41の出力は0となり、それに応
じてタイマー321の出力を“0”にすると共に、診断
部41への出力はインバータで反転され“1”となり、
タイマー322の入力となる。タイマー322のタイマ
ー時間の間、“1”が継続すれば、タイマー322の出
力は“1”となる。このタイマー322の出力“1”に
よりスイッチ323はオフとなり、これによってORの
論理素子324は“1”の自己ホールド機能を失う。こ
の自己ホールド機能を失った時点でCiは“1”から
“0”となり、正常の旨の信号となる。
わゆる、相互異常診断運転モード判定を行うためのより
詳細な構成について説明する。先ず、図5には、上記の
図1に示した相互異常診断部12i〜12kの詳細構造で
あり、図にも示される様に、相互異常診断部41と運転
モード判定部32を各サブシステム(すなわち、コント
ローラ10i〜10k)に内蔵された場合の例を示してい
る。この診断部41は、例えばアナログデータの場合に
はその偏差の大きさを、あるいは、ディジタルデータの
場合にはそのビット内容の不一致を検出する機能を有し
ている。また、運転モード判定部32は、さらに、自系
を切り離す指令を確立する自系切離確立用タイマー(T
P1)321を有し、一方、異常フラグ解消後(すなわ
ち、正常状態成立後)、自系を制御モードに投入するま
での遅れを確保するための自系制御モード確立用タイマ
ー(TP2)322をも併せて有している。また、図中
の符号323は、上記自系制御モード確立用タイマー
(TP2)322からの出力でOFFするスイッチ素子
であり、324はいわゆるOR論理素子である。そし
て、各コントローラ10i〜10kの優先順位は、この自
系切離確立用タイマー(TP1)321の設定時間によ
って設定されることとなる。即ち、診断部41で異常診
断がなされて、異常の旨の出力がでると、タイマー32
1に入力する。タイマー321では、そのタイマー時間
の間、異常が継続している時のみ出力“1”を出す。そ
のタイマー時間内で異常が解消されれば、タイマー32
1は出力“1”を出さず、“0”をそのまま出力する。
一方、OR論理素子324の出力は、スイッチ323を
介して自己入力となっており、これにより、自己ホール
ド機能を持つ。従って、スイッチ23がオンになってい
る限りタイマー321の出力“1”はスイッチ323を
介して自己ホールドされ、OR論理素子324の出力は
“1”となる。OR論理素子324の出力“1”とは、
異常フラグCiが立っていることを意味する。一方、異
常解消すると、診断部41の出力は0となり、それに応
じてタイマー321の出力を“0”にすると共に、診断
部41への出力はインバータで反転され“1”となり、
タイマー322の入力となる。タイマー322のタイマ
ー時間の間、“1”が継続すれば、タイマー322の出
力は“1”となる。このタイマー322の出力“1”に
よりスイッチ323はオフとなり、これによってORの
論理素子324は“1”の自己ホールド機能を失う。こ
の自己ホールド機能を失った時点でCiは“1”から
“0”となり、正常の旨の信号となる。
【0033】次に、図6には、上記の図2に示した多重
系制御装置の運転モード判定部19(図6の(A))
と、同時に、その時の、各コントローラ10i〜10kの
相互異常診断部12’(図6の(B))の詳細構造が論
理的に示されている。先ず、運転モード判定部19は、
例えば論理素子等から構成されており、図に論理的に示
すように、複数の入力(Ci,Cj,Ck)の組み合わせ
(図の縦方向)に対し、いかなる場合においても、必ず
出力(Yi,Yj,Yk)の中の1出力のみだけが‘1’と
なる様に構成されている。すなわち、いかなる場合にお
いても、誤った切り離しによる全系システムダウンには
絶対至らない処理方式としている。また、この時の相互
異常診断部12’は、相互異常診断部41と、自系切離
確立用タイマー(TP)33のみからなる運転モード判
定部とから構成されている。
系制御装置の運転モード判定部19(図6の(A))
と、同時に、その時の、各コントローラ10i〜10kの
相互異常診断部12’(図6の(B))の詳細構造が論
理的に示されている。先ず、運転モード判定部19は、
例えば論理素子等から構成されており、図に論理的に示
すように、複数の入力(Ci,Cj,Ck)の組み合わせ
(図の縦方向)に対し、いかなる場合においても、必ず
出力(Yi,Yj,Yk)の中の1出力のみだけが‘1’と
なる様に構成されている。すなわち、いかなる場合にお
いても、誤った切り離しによる全系システムダウンには
絶対至らない処理方式としている。また、この時の相互
異常診断部12’は、相互異常診断部41と、自系切離
確立用タイマー(TP)33のみからなる運転モード判
定部とから構成されている。
【0034】さらに、図7には、上記の相互異常診断部
41の具体的な回路構成が示されている。すなわち、図
7の(A)には、数値データの相互異常を診断する場合
の回路例が、また、その(B)には、ビットデータの相
互異常を診断する場合の回路例が示されている。
41の具体的な回路構成が示されている。すなわち、図
7の(A)には、数値データの相互異常を診断する場合
の回路例が、また、その(B)には、ビットデータの相
互異常を診断する場合の回路例が示されている。
【0035】図7の(A)に示す回路の動作について、
以下、簡単に説明する。先ず、自系のデータDiの妥当
性を評価するのに、自系のデータDiを他系のデータD
j、Dkと偏差モニタ(MRY)を介してチェックする。
偏差モニタ(MRY)は、内部の所定値以上の偏差が生
じた場合に‘1’を出力し、また、この時、他系のデー
タDj、Dkが偏差内の同等値であるとき、自系データの
みが異常と判断される。但し、i、j、k共に制御中
(すなわち、図1において、コントローラ10i〜10k
が、その切り離し回路14i〜14kによって切り離され
ていない状態)であることが前提である。すなわち、こ
の様な構成をとることにより、異常フラグ出力(ic)
が所定の時間(例えば、図5に示した自系切離確立用タ
イマー(TP1)321により決まる時間、あるいは、
図6の(B)に示した自系切離確立用タイマー(TP)
33により決まる時間)継続した場合、自系が分離され
ることとなる。
以下、簡単に説明する。先ず、自系のデータDiの妥当
性を評価するのに、自系のデータDiを他系のデータD
j、Dkと偏差モニタ(MRY)を介してチェックする。
偏差モニタ(MRY)は、内部の所定値以上の偏差が生
じた場合に‘1’を出力し、また、この時、他系のデー
タDj、Dkが偏差内の同等値であるとき、自系データの
みが異常と判断される。但し、i、j、k共に制御中
(すなわち、図1において、コントローラ10i〜10k
が、その切り離し回路14i〜14kによって切り離され
ていない状態)であることが前提である。すなわち、こ
の様な構成をとることにより、異常フラグ出力(ic)
が所定の時間(例えば、図5に示した自系切離確立用タ
イマー(TP1)321により決まる時間、あるいは、
図6の(B)に示した自系切離確立用タイマー(TP)
33により決まる時間)継続した場合、自系が分離され
ることとなる。
【0036】以上に説明した事象につき、図8に、その
場合のタイムチャートを示して説明を加える。図におい
て、(A)は従来技術になる制御装置の各系(系i、系
j、系k)の動作状態を示しているが、この従来技術によ
る制御装置では、各系とも同じ自系切離確立用タイマー
の設定時間(TP1)により、全系システムダウンが発
生し得、また、その後の一定時間(TP2+α)経過
後、再び、ライン17上の回転数信号nが整定していれ
ば、制御モードに移行することは可能である。これに対
し、本発明の制御装置によれば、同図の(B)に示す様
に、全系システムダウンを回避させるため、図5に示し
た相互異常診断部12i〜12k内の自系切離確立用タイ
マー321及び自系制御モード確立用タイマー322の
各タイマー値であるTP1、TP2を、各サブシステム
毎に各々別個に設定させれば、同図の(B)からも明か
な様に、3重系全系のシステンダウンを回避させること
が可能になる。
場合のタイムチャートを示して説明を加える。図におい
て、(A)は従来技術になる制御装置の各系(系i、系
j、系k)の動作状態を示しているが、この従来技術によ
る制御装置では、各系とも同じ自系切離確立用タイマー
の設定時間(TP1)により、全系システムダウンが発
生し得、また、その後の一定時間(TP2+α)経過
後、再び、ライン17上の回転数信号nが整定していれ
ば、制御モードに移行することは可能である。これに対
し、本発明の制御装置によれば、同図の(B)に示す様
に、全系システムダウンを回避させるため、図5に示し
た相互異常診断部12i〜12k内の自系切離確立用タイ
マー321及び自系制御モード確立用タイマー322の
各タイマー値であるTP1、TP2を、各サブシステム
毎に各々別個に設定させれば、同図の(B)からも明か
な様に、3重系全系のシステンダウンを回避させること
が可能になる。
【0037】即ち、プラント状態の急変等により、例え
ば、ライン17上の回転数信号nが、演算処理の非同期
性、電送遅れ等の原因により、各サブシステム内での入
力値に差異が生じた場合、各サブシステム内の相互異常
診断部12は異常フラグicを出力する。しかしなが
ら、各サブシステム内での自系切離確立用タイマーの設
定値(TP1)は、予め定められた優先順位に基づいて
各々別個に設定されているため、全系が同時にダウンす
ることはなく、必ず、ー系のみが強制的に先にダウンす
ることとなる。これにより、3重系制御装置は2重系運
転となるが、全系システムダウンには至らない。
ば、ライン17上の回転数信号nが、演算処理の非同期
性、電送遅れ等の原因により、各サブシステム内での入
力値に差異が生じた場合、各サブシステム内の相互異常
診断部12は異常フラグicを出力する。しかしなが
ら、各サブシステム内での自系切離確立用タイマーの設
定値(TP1)は、予め定められた優先順位に基づいて
各々別個に設定されているため、全系が同時にダウンす
ることはなく、必ず、ー系のみが強制的に先にダウンす
ることとなる。これにより、3重系制御装置は2重系運
転となるが、全系システムダウンには至らない。
【0038】また、当該ダウンしたサブシステムは、そ
の後、他のサブシステムのデータを入手し、相互診断デ
ータが所定偏差内に収斂され、自系制御モード確立用タ
イマーの設定値(TP2)を経過すれば、再度復帰し、
再び、3重系運転となる(図8の(B)の右側を参
照)。
の後、他のサブシステムのデータを入手し、相互診断デ
ータが所定偏差内に収斂され、自系制御モード確立用タ
イマーの設定値(TP2)を経過すれば、再度復帰し、
再び、3重系運転となる(図8の(B)の右側を参
照)。
【0039】以上の内容は、上述した本発明の実施例に
おいて示された様に、すなわち回転機の回転数信号nの
様に急変するプロセス量を演算処理し、この演算処理し
た信号を相互診断データとした場合のみならず、さらに
は、例えば上記ライン17上の回転信号nをそのまま用
いて得られる信号を相互診断データとした場合でも、さ
らには、複数の相互診断部を設けた場合も同様である。
その場合の構成の具体例を添付の図9に例示する。
おいて示された様に、すなわち回転機の回転数信号nの
様に急変するプロセス量を演算処理し、この演算処理し
た信号を相互診断データとした場合のみならず、さらに
は、例えば上記ライン17上の回転信号nをそのまま用
いて得られる信号を相互診断データとした場合でも、さ
らには、複数の相互診断部を設けた場合も同様である。
その場合の構成の具体例を添付の図9に例示する。
【0040】さらに、本発明は、上述の実施例で示すよ
うな原子力プラントであるBWR型原子力発電所の原子
炉再循環流量制御装置に適用された3重系制御装置に限
定されるものではなく、その他一般の制御装置における
多重系縮退型制御装置に対しても同様に適用可能であ
る。かかる一例として、添付の図9には、原子炉給水制
御系の3重化システムに本発明を適用し、その際、相互
診断データとしてライン91上の水位信号Lwを使用し
た場合の構成を示す。また、この他の実施例として示さ
れたシステムは、原子炉への再循環給水流量を制御する
ため、いわゆるバルブ51、52、53の開閉を制御す
るものである。
うな原子力プラントであるBWR型原子力発電所の原子
炉再循環流量制御装置に適用された3重系制御装置に限
定されるものではなく、その他一般の制御装置における
多重系縮退型制御装置に対しても同様に適用可能であ
る。かかる一例として、添付の図9には、原子炉給水制
御系の3重化システムに本発明を適用し、その際、相互
診断データとしてライン91上の水位信号Lwを使用し
た場合の構成を示す。また、この他の実施例として示さ
れたシステムは、原子炉への再循環給水流量を制御する
ため、いわゆるバルブ51、52、53の開閉を制御す
るものである。
【0041】
【発明の効果】以上に詳細に説明したように、本発明に
よれば、多重系制御装置において、サブシステム間での
相互異常診断機能を有しながらも、制御系全系のシステ
ムダウンを確実に回避することが可能で、かつ、柔軟な
多重化運転モードの可能な多重系制御装置を構築し、さ
らに、一層フォールトトレラントな多重系制御装置を提
供することが可能になる。本発明によれば、さらには、
制御系全系のシステムダウンを確実に防止することが可
能になることにより、被制御系としての装置の可動率の
向上、加えて、その制御性の向上にも著しい効果があ
る。
よれば、多重系制御装置において、サブシステム間での
相互異常診断機能を有しながらも、制御系全系のシステ
ムダウンを確実に回避することが可能で、かつ、柔軟な
多重化運転モードの可能な多重系制御装置を構築し、さ
らに、一層フォールトトレラントな多重系制御装置を提
供することが可能になる。本発明によれば、さらには、
制御系全系のシステムダウンを確実に防止することが可
能になることにより、被制御系としての装置の可動率の
向上、加えて、その制御性の向上にも著しい効果があ
る。
【図1】本発明のー実施例である再循環流量制御装置の
3重系制御システムの概略構成を示す図である。
3重系制御システムの概略構成を示す図である。
【図2】本発明の他の実施例である再循環流量制御装置
の3重系制御システムの概略構成を示す図である。
の3重系制御システムの概略構成を示す図である。
【図3】上記3重系システムの運転モードを説明するた
めの図である。
めの図である。
【図4】上記3重系システムにおける運転モード移行動
作を説明するフロー図である。
作を説明するフロー図である。
【図5】上記図1の相互診断部の詳細構造を示す回路図
である。
である。
【図6】上記図2に示した運転モード判定部と相互異常
診断部の詳細構造を示す回路図である。
診断部の詳細構造を示す回路図である。
【図7】上記相互異常診断部のより具体的な回路構造を
示す詳細回路図である。
示す詳細回路図である。
【図8】上記3重系制御システムの動作を従来技術の動
作と比較して説明するためのタイムチャート図である。
作と比較して説明するためのタイムチャート図である。
【図9】本発明のさらに他の変形例を示す3重系制御シ
ステムの概略構成図である。
ステムの概略構成図である。
【図10】本発明を、さらに他の制御装置に適用した場
合の実施例を示す、概略構成図である。
合の実施例を示す、概略構成図である。
1 原子炉 2 GMセット 3 コントロールドライブ 4 ポンプモータ 5 ポンプ 10i〜k コントローラ 11i〜k ロジック部 12i〜k 相互異常診断部 14i〜k 切り離し回路 16 操作端出力選択回路 17、18 ライン
Claims (8)
- 【請求項1】 共通の制御対象を複数のサブシステムに
より制御すると共に、上記各サブシステムは、制御量を
演算する制御演算部と、上記演算された制御量データを
他のサブシステムにより演算された制御量データと比較
することにより自系の異常を診断する相互異常診断部
と、上記相互異常診断部での診断の結果、異常であれば
自系を制御系から切り離す信号切替部とを備えた多重系
制御装置において、上記複数のサブシステム間には、運
転中の全サブシステム異常時での切り離しの優先順位が
予め定められており、運転中の全サブシステム異常時に
はこの運転中のサブシステムの中の優先順位の低いサブ
システムを切り離すものとしたことを特徴とする多重系
制御装置の相互異常診断処理方法。 - 【請求項2】 上記各サブシステムの相互異常診断部か
らの異常診断信号の組合せに基づき、上記各サブシステ
ムを切り離す上記優先順位を予め定めたことを特徴とす
る請求項1記載の多重系制御装置の相互異常診断処理方
法。 - 【請求項3】 共通の制御対象を複数のサブシステムに
より制御すると共に、上記各サブシステムは、制御量を
演算する制御演算部と、上記演算された制御量データを
他のサブシステムにより演算された制御量データと比較
することにより自系の異常を診断する相互異常診断部
と、異常の場合、自系を制御系から切り離す信号切替部
とを備えた多重系制御装置において、運転中の全サブシ
ステムの異常時に、上記各サブシステムの相互異常診断
部からの診断結果信号に基づいて、予め定められた、運
転中の全サブシステム異常時での切り離しの優先順位の
低いサブシステム切り離し指令を上記信号切替部に出力
する手段を、各サブシステム内に又は各サブシステムと
は独立に設けたことを特徴とする多重系制御装置。 - 【請求項4】 上記各サブシステムの相互異常診断部か
らの異常診断信号の組合せに基づき、上記各サブシステ
ムを切り離す上記優先順位を予め定める手段を備えたこ
とを特徴とする請求項3の多重系制御装置。 - 【請求項5】 上記優先順位とは、各サブシステムの異
常判定用の異常継続時間に差を設けてのものとし、各サ
ブシステムの切り離しは、自己の異常継続時間を経過し
たことをパラメータの1つとして行うものとした請求項
3又は4の多重系制御装置。 - 【請求項6】 共通の制御対象を3重系サブシステムに
より制御すると共に、上記各サブシステムは、制御量を
演算する制御演算部と、上記演算された制御量データを
他のサブシステムにより演算された制御量データと比較
することにより自系の異常を診断する相互異常診断部
と、上記相互異常診断部での診断の結果、異常であれば
自系を制御系から切り離す信号切替部とを備えた多重系
制御装置において、運転中の全サブシステムの異常の場
合にその切り離しの優先順位の低いサブシステムを切り
離すように構成しておき、3重系サブシステムのすべて
が正常の状態で3重系制御、一系サブシステムの異常に
よる一系切り離した状態のもと、又は三系すべてが異常
での低い優先順位のサブシステムを切り離した状態のも
とでは残りの二系の待機冗長2重系制御、二系サブシス
テムの異常による二系切り離した状態のもと、又は二系
運転下でこの二系すべてが異常での低い優先順位のサブ
システムの切離した状態のもとでは残りの一系によるシ
ングル系制御を行い、切り離されているサブシステムの
異常解消した場合そのサブシステムを制御用に自動復帰
せしめるようにした多重系制御装置。 - 【請求項7】 3重系サブシステムは、非同期で動作す
るものとし、3重系制御にあっては3重系のサブシステ
ムの各出力から選択処理された信号を制御対象に出力す
るものとし、3重系制御下及び2重系制御下での各サブ
システムの異常か否かは、先ず自己サブシステム出力が
異常との前提のもとに正常他系サブシステム出力を自己
入力とした合わせ込みを行って得た時の自己出力が異常
か否かで判断するものとした請求項6の多重系制御装
置。 - 【請求項8】 制御対象と複数のサブシステムとの間
に、信号出力手段を設け、該手段は、切り離しがされな
いサブシステムに応じて制御対象へのサブシステムから
の出力を決定出力するものとした請求項1又は6の多重
系制御装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP3261079A JP2991547B2 (ja) | 1991-09-12 | 1991-09-12 | 多重系制御装置の相互異常診断処理方法及び多重系制御装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP3261079A JP2991547B2 (ja) | 1991-09-12 | 1991-09-12 | 多重系制御装置の相互異常診断処理方法及び多重系制御装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPH06214605A JPH06214605A (ja) | 1994-08-05 |
| JP2991547B2 true JP2991547B2 (ja) | 1999-12-20 |
Family
ID=17356792
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP3261079A Expired - Fee Related JP2991547B2 (ja) | 1991-09-12 | 1991-09-12 | 多重系制御装置の相互異常診断処理方法及び多重系制御装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2991547B2 (ja) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2019070902A (ja) * | 2017-10-06 | 2019-05-09 | 横河電機株式会社 | 制御システム、制御方法及び等値化装置 |
| JP7077644B2 (ja) * | 2018-02-09 | 2022-05-31 | 横河電機株式会社 | 制御システム、診断装置、診断方法、および診断プログラム |
-
1991
- 1991-09-12 JP JP3261079A patent/JP2991547B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JPH06214605A (ja) | 1994-08-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JPH1115502A (ja) | ディジタル制御装置 | |
| JPH07334382A (ja) | マルチコントローラシステム | |
| CN112660158A (zh) | 辅助驾驶控制系统 | |
| JPH0778039A (ja) | クロック選択制御方式 | |
| JP2991547B2 (ja) | 多重系制御装置の相互異常診断処理方法及び多重系制御装置 | |
| JP2682251B2 (ja) | 多重化制御装置 | |
| JP2001060160A (ja) | 制御装置のcpu二重化システム | |
| JPH1078852A (ja) | マルチアレイディスク装置 | |
| JPS6321929B2 (ja) | ||
| JP2006323551A (ja) | プラント制御システム | |
| KR19990082957A (ko) | 결함에 견딜 수 있는 제어 시스템 | |
| JP3158209B2 (ja) | 冗長化制御システム | |
| JPH06348524A (ja) | 多重化制御装置 | |
| JP3742714B2 (ja) | 遠方監視制御装置 | |
| JPH04109303A (ja) | 調節制御装置 | |
| JP2861595B2 (ja) | 冗長化cpuユニットの切り替え制御装置 | |
| JPH0540649A (ja) | 冗長切り換え方式 | |
| JP2732668B2 (ja) | 二重化制御装置 | |
| JPS60134942A (ja) | 異常状態におけるバツクアツプシステム | |
| JP2002108638A (ja) | マイクロコンピュータのエラー検出方法及びエラー検出回路及びマイクロコンピュータシステム | |
| JP2626484B2 (ja) | 系切り替え試験方法 | |
| JPH07212276A (ja) | 系切替同期装置 | |
| JPS5850372B2 (ja) | デ−タ集配信処理システム | |
| JPS6213700B2 (ja) | ||
| JPS617901A (ja) | デイジタル制御装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20071015 Year of fee payment: 8 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20081015 Year of fee payment: 9 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20091015 Year of fee payment: 10 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20091015 Year of fee payment: 10 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20101015 Year of fee payment: 11 |
|
| LAPS | Cancellation because of no payment of annual fees |