JP5944243B2 - プラント安全装置およびその動作方法 - Google Patents

プラント安全装置およびその動作方法 Download PDF

Info

Publication number
JP5944243B2
JP5944243B2 JP2012141789A JP2012141789A JP5944243B2 JP 5944243 B2 JP5944243 B2 JP 5944243B2 JP 2012141789 A JP2012141789 A JP 2012141789A JP 2012141789 A JP2012141789 A JP 2012141789A JP 5944243 B2 JP5944243 B2 JP 5944243B2
Authority
JP
Japan
Prior art keywords
safety control
unit
data
signal
control device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2012141789A
Other languages
English (en)
Other versions
JP2014006694A (ja
Inventor
林 俊文
俊文 林
亮 福本
亮 福本
坂本 浩
浩 坂本
小田 直敬
直敬 小田
加藤 守
守 加藤
敦 児島
敦 児島
智規 園部
智規 園部
菅原 豊
豊 菅原
能之 新田
能之 新田
知己 榎本
知己 榎本
順陽 吉田
順陽 吉田
朝倉 義博
義博 朝倉
晋 吉澤
晋 吉澤
伊藤 敏明
敏明 伊藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Original Assignee
Toshiba Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp filed Critical Toshiba Corp
Priority to JP2012141789A priority Critical patent/JP5944243B2/ja
Publication of JP2014006694A publication Critical patent/JP2014006694A/ja
Application granted granted Critical
Publication of JP5944243B2 publication Critical patent/JP5944243B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明の実施形態は、原子力発電プラントなどのプラントに適用されるプラント安全装置およびその動作方法に関する。
原子力発電プラントでは、安全性を確保するためにプラント安全装置が設けられている。
プラント安全装置には、複数のチャンネルに割り当てられた安全制御装置と、判定部とを具備するものがある。複数のチャンネルの各々の安全制御装置は、プラントに設置されたセンサから監視データを受信し、その監視データの値と予めパラメータとして決められた設定値とを比較し、監視データの値が設定値を超えた場合にトリップ信号を有効にする。判定部は、複数のチャンネルの安全制御装置から送信されたトリップ信号のうちの半分以上のトリップ信号が有効である場合に、プラントに対する安全機能を起動させるための制御信号を送信する。安全機能として、例えば、原子炉の緊急停止、格納容器の隔離、あるいは工学的安全施設の起動が挙げられる。
近年のプラントでは、安全機能を制御する安全制御装置にデジタル技術、特にマイクロプロセッサやFPGAといった論理回路を利用したデジタル型安全制御装置が使われる。デジタル型安全制御装置は、設定値および安全制御プログラムを半導体メモリに設定データとして記憶する。この設定データを変更することで、安全機能の起動タイミング、あるいは条件を変更することができる。
設定データを変更することは頻繁に行われることではないが、運用上、あるいは規制により変更が必要になることも予想される。しかしながら、プラントの安全な運転を保証するため、設定データの変更は厳格な管理の下で行われる必要がある。
プラント安全装置に関するものとしては、ソフトウェアで構成され、安全機能を制御する安全制御装置(論理演算装置)に加えて、ハードウェアで構成されたハードウェア論理装置を設ける技術が提案されている(特許文献1参照)。
特開2011−191855号公報
特許文献1に記載された技術では、安全制御装置から送信されるデジタル信号の値とハードウェア論理装置から送信される電気信号の値とを比較し、その比較結果に基づいて故障がソフトウェアにあるか否かを把握することにより、安全制御装置の信頼性を高めるものであるが、設定データの変更を厳格な管理の下で行うものではない。
プラント安全装置において、安全制御装置の設定データ(設定値あるいは安全制御プログラム)を変更する場合は、複数のチャンネルのうち選択した1つを変更対象チャンネルとして安全制御装置をバイパスし、変更対象チャンネルの安全制御装置の設定データを変更しているときに異常な挙動をしてもプラントの安全な運転に影響を与えないようにすることが望ましい。
そのため、本実施形態が解決しようとする課題は、複数のチャンネルのうちの変更対象チャンネルの安全制御装置の設定データを変更するときに、変更対象チャンネルの安全制御装置をバイパスすることにより、設定データの変更を厳格な管理の下で行うことである。
実施形態のプラント安全装置の一つは、複数のチャンネルにそれぞれ割り当てられ、設定値および安全制御プログラムを含む設定データを記憶する記憶部と、プラントに設置されたセンサから監視データを入力する入力部と、前記安全制御プログラムを実行して、前記監視データの値が前記設定値を超えた場合にトリップ信号を有効にし、前記監視データの値が前記設定値を超えない場合、または、バイパス信号が有効である場合に前記トリップ信号を無効にする実行部とを有する複数の安全制御装置と、前記複数のチャンネルのうちの変更対象チャンネルの安全制御装置への前記バイパス信号を有効にし、前記変更対象チャンネル以外のチャンネルの安全制御装置への前記バイパス信号を無効にするバイパス選択部と、前記複数のチャンネルの安全制御装置から送信された前記トリップ信号のうちの半分以上のトリップ信号が有効である場合に前記プラントに対する安全機能を起動させるための制御信号を送信する判定部と、新規の設定データを含むデータ変更要求コマンドを前記変更対象チャンネルの安全制御装置に送信するデータ変更部と、を具備し、前記変更対象チャンネルの安全制御装置の実行部は、前記バイパス信号が有効であるときに、前記データ変更部から送信された前記データ変更要求コマンドを受信し、前記データ変更要求コマンドに応じて、その記憶部に記憶されている前記設定データを前記新規の設定データに変更するプラント安全装置であって、前記複数のチャンネルの安全制御装置の各々は、前記データ変更部と接続可能なツール入出力部をさらに備え、前記複数のチャンネルの安全制御装置の各々の入力部は、前記バイパス信号を入力し、前記変更対象チャンネルの安全制御装置の実行部は、その入力部に入力される前記バイパス信号が有効であるときに、そのツール入出力部を介して前記データ変更部から送信された前記データ変更要求コマンドを受信する、ことを特徴とする。
また、実施形態のプラント安全装置の一つは、複数のチャンネルにそれぞれ割り当てられ、設定値および安全制御プログラムを含む設定データを記憶する記憶部と、プラントに設置されたセンサから監視データを入力する入力部と、前記安全制御プログラムを実行して、前記監視データの値が前記設定値を超えた場合にトリップ信号を有効にし、前記監視データの値が前記設定値を超えない場合、または、バイパス信号が有効である場合に前記トリップ信号を無効にする実行部とを有する複数の安全制御装置と、前記複数のチャンネルのうちの変更対象チャンネルの安全制御装置への前記バイパス信号を有効にし、前記変更対象チャンネル以外のチャンネルの安全制御装置への前記バイパス信号を無効にするバイパス選択部と、前記複数のチャンネルの安全制御装置から送信された前記トリップ信号のうちの半分以上のトリップ信号が有効である場合に前記プラントに対する安全機能を起動させるための制御信号を送信する判定部と、新規の設定データを含むデータ変更要求コマンドを前記変更対象チャンネルの安全制御装置に送信するデータ変更部と、を具備し、前記変更対象チャンネルの安全制御装置の実行部は、前記バイパス信号が有効であるときに、前記データ変更部から送信された前記データ変更要求コマンドを受信し、前記データ変更要求コマンドに応じて、その記憶部に記憶されている前記設定データを前記新規の設定データに変更するプラント安全装置であって、前記複数のチャンネルの安全制御装置の各々は、前記データ変更部と接続可能なツール入出力部をさらに備え、前記複数のチャンネルの安全制御装置の各々の入力部およびツール入出力部は、前記バイパス信号を入力し、前記変更対象チャンネルの安全制御装置のツール入出力部は、入力される前記バイパス信号が有効であるときに、前記データ変更部からの前記データ変更要求コマンドを受信して、その実行部に送信し、前記変更対象チャンネルの安全制御装置の実行部は、その入力部に入力される前記バイパス信号が有効であるときに、そのツール入出力部から送信された前記データ変更要求コマンドを受信する、ことを特徴とする。
また、実施形態のプラント安全装置の一つは、複数のチャンネルにそれぞれ割り当てられ、設定値および安全制御プログラムを含む設定データを記憶する記憶部と、プラントに設置されたセンサから監視データを入力する入力部と、前記安全制御プログラムを実行して、前記監視データの値が前記設定値を超えた場合にトリップ信号を有効にし、前記監視データの値が前記設定値を超えない場合、または、バイパス信号が有効である場合に前記トリップ信号を無効にする実行部とを有する複数の安全制御装置と、前記複数のチャンネルのうちの変更対象チャンネルの安全制御装置への前記バイパス信号を有効にし、前記変更対象チャンネル以外のチャンネルの安全制御装置への前記バイパス信号を無効にするバイパス選択部と、前記複数のチャンネルの安全制御装置から送信された前記トリップ信号のうちの半分以上のトリップ信号が有効である場合に前記プラントに対する安全機能を起動させるための制御信号を送信する判定部と、新規の設定データを含むデータ変更要求コマンドを前記変更対象チャンネルの安全制御装置に送信するデータ変更部と、を具備し、前記変更対象チャンネルの安全制御装置の実行部は、前記バイパス信号が有効であるときに、前記データ変更部から送信された前記データ変更要求コマンドを受信し、前記データ変更要求コマンドに応じて、その記憶部に記憶されている前記設定データを前記新規の設定データに変更するプラント安全装置であって、前記複数のチャンネルの安全制御装置の各々の前記入力部は、運転モードまたはテストモードが設定されたモード設定信号を入力し、前記プラント安全装置は、前記変更対象チャンネルの安全制御装置に送信する前記モード設定信号に対して前記テストモードを設定し、それ以外のチャンネルの安全制御装置に送信する前記モード設定信号に対して前記運転モードを設定するモード設定部をさらに具備し、前記変更対象チャンネル以外のチャンネルの安全制御装置の前記実行部は、前記モード設定信号に対して前記運転モードが設定されているときに前記安全制御プログラムを実行して、前記監視データの値が前記設定値を超えた場合に前記トリップ信号を有効にし、前記監視データの値が前記設定値を超えない場合に前記トリップ信号を無効にし、変更対象チャンネルの安全制御装置の前記実行部は、前記モード設定信号に対して前記テストモードが設定されているときに前記バイパス信号が有効である場合に前記トリップ信号を無効にし、前記データ変更部から送信された前記データ変更要求コマンドを受信する、ことを特徴とする。
実施形態のプラント安全装置の動作方法の一つは、複数のチャンネルにそれぞれ割り当てられ、設定値および安全制御プログラムを含む設定データが設定された複数の安全制御装置を具備するプラント安全装置の動作方法であって、前記複数のチャンネルの安全制御装置が、プラントに設置されたセンサから監視データを入力するステップと、前記複数のチャンネルのうちの変更対象チャンネルの安全制御装置へのバイパス信号を有効にし、前記変更対象チャンネル以外のチャンネルの安全制御装置への前記バイパス信号を無効にするステップと、前記変更対象チャンネル以外のチャンネルの安全制御装置が、前記安全制御プログラムを実行して、前記監視データの値が前記設定値を超えた場合にトリップ信号を有効にし、前記監視データの値が前記設定値を超えない場合に前記トリップ信号を無効にするステップと、前記変更対象チャンネルの安全制御装置が、前記バイパス信号が有効であるときに前記トリップ信号を無効にするステップと、前記複数のチャンネルの安全制御装置から送信された前記トリップ信号のうちの半分以上のトリップ信号が有効である場合に前記プラントに対する安全機能を起動させるための制御信号を送信するステップと、データ変更部が、新規の設定データを含むデータ変更要求コマンドを前記変更対象チャンネルの安全制御装置に送信するステップと、前記変更対象チャンネルの安全制御装置が、前記バイパス信号が有効であるときに、前記データ変更部から送信された前記データ変更要求コマンドを受信し、前記データ変更要求コマンドに応じて、前記設定データを前記新規の設定データに変更するステップと、を具備し、前記複数のチャンネルの安全制御装置の各々は、入力部と、実行部と、前記データ変更部と接続可能なツール入出力部とを備え、前記複数のチャンネルの安全制御装置の各々の入力部は、前記バイパス信号を入力し、前記変更対象チャンネルの安全制御装置の実行部は、その入力部に入力される前記バイパス信号が有効であるときに、そのツール入出力部を介して前記データ変更部から送信された前記データ変更要求コマンドを受信する、ことを特徴とする。
また、実施形態のプラント安全装置の動作方法の一つは、複数のチャンネルにそれぞれ割り当てられ、設定値および安全制御プログラムを含む設定データが設定された複数の安全制御装置を具備するプラント安全装置の動作方法であって、前記複数のチャンネルの安全制御装置が、プラントに設置されたセンサから監視データを入力するステップと、前記複数のチャンネルのうちの変更対象チャンネルの安全制御装置へのバイパス信号を有効にし、前記変更対象チャンネル以外のチャンネルの安全制御装置への前記バイパス信号を無効にするステップと、前記変更対象チャンネル以外のチャンネルの安全制御装置が、前記安全制御プログラムを実行して、前記監視データの値が前記設定値を超えた場合にトリップ信号を有効にし、前記監視データの値が前記設定値を超えない場合に前記トリップ信号を無効にするステップと、前記変更対象チャンネルの安全制御装置が、前記バイパス信号が有効であるときに前記トリップ信号を無効にするステップと、前記複数のチャンネルの安全制御装置から送信された前記トリップ信号のうちの半分以上のトリップ信号が有効である場合に前記プラントに対する安全機能を起動させるための制御信号を送信するステップと、データ変更部が、新規の設定データを含むデータ変更要求コマンドを前記変更対象チャンネルの安全制御装置に送信するステップと、前記変更対象チャンネルの安全制御装置が、前記バイパス信号が有効であるときに、前記データ変更部から送信された前記データ変更要求コマンドを受信し、前記データ変更要求コマンドに応じて、前記設定データを前記新規の設定データに変更するステップと、を具備し、前記複数のチャンネルの安全制御装置の各々は、入力部と、実行部と、前記データ変更部と接続可能なツール入出力部とを備え、前記複数のチャンネルの安全制御装置の各々の入力部およびツール入出力部は、前記バイパス信号を入力し、前記変更対象チャンネルの安全制御装置のツール入出力部は、入力される前記バイパス信号が有効であるときに、前記データ変更部からの前記データ変更要求コマンドを受信して、その実行部に送信し、前記変更対象チャンネルの安全制御装置の実行部は、その入力部に入力される前記バイパス信号が有効であるときに、そのツール入出力部から送信された前記データ変更要求コマンドを受信する、ことを特徴とする。
本発明の実施形態によれば、複数のチャンネルのうちの変更対象チャンネルの安全制御装置の設定データを変更するときに、変更対象チャンネルの安全制御装置をバイパスすることにより、設定データの変更を厳格な管理の下で行うことができる。
第1実施形態に係るプラント安全装置の構成を示すブロック図である。 第2実施形態に係るプラント安全装置の構成を示すブロック図である。 第1実施形態に係るプラント安全装置のバイパス選択部の構成としてロータリースイッチの構成を示す回路図である。 第1実施形態に係るプラント安全装置において、安全制御装置の構成を示すブロック図であり、複数のチャンネルのうちの変更対象チャンネルの安全制御装置とバイパス選択部とデータ変更部との接続の例を示す図である。 第1実施形態に係るプラント安全装置の動作を示すフローチャートである。 第2実施形態に係るプラント安全装置において、第2の安全制御装置の構成を示す回路図である。 第3実施形態に係るプラント安全装置において、安全制御装置の構成を示すブロック図であり、複数のチャンネルのうちの変更対象チャンネルの安全制御装置とバイパス選択部とデータ変更部との接続の例を示す図である。 第4実施形態に係るプラント安全装置において、安全制御装置の構成を示すブロック図であり、複数のチャンネルのうちの変更対象チャンネルの安全制御装置とバイパス選択部とデータ変更部との接続の例を示す図である。
以下、本発明に係るプラント安全装置の実施形態について、図面を参照して説明する。
[第1実施形態]
(構成)
図1は、第1実施形態に係るプラント安全装置の構成を示すブロック図である。
第1実施形態に係るプラント安全装置は、安全制御装置101A〜101Dと、判定部102と、バイパス選択部103と、データ変更部104と、を具備している。
安全制御装置101A〜101Dは、それぞれ複数のチャンネルに割り当てられている。具体的には、安全制御装置101Aは第1チャンネルに割り当てられ、安全制御装置101Bは第2チャンネルに割り当てられ、安全制御装置101Cは第3チャンネルに割り当てられ、安全制御装置101Dは第4チャンネルに割り当てられている。
安全制御装置101A〜101Dには、それぞれ、設定値および安全制御プログラムを含む設定データ10A〜10Dが設定されている。
プラントには1種類以上のセンサ501A〜501Dが設置され、センサ501A〜501Dはそれぞれ監視データ5A〜5Dを送信する。安全制御装置101A〜101Dは、それぞれ監視データ5A〜5Dを入力する。監視データ5A〜5Dは、たとえば、原子炉水位、原子炉圧力、あるいは格納容器圧力等の原子力発電プラントの安全を守るために重要な測定値である。
安全制御装置101A〜101Dは、それぞれ、安全制御プログラムを実行して、監視データ5A〜5Dの値と設定値とを比較する。監視データと設定値との比較は、監視データの種類毎に行われる。すなわち、原子炉水位、原子炉圧力、あるいは格納容器圧力等の測定値とそれに対する設定値とが比較される。
安全制御装置101A〜101Dは、それぞれ監視データ5A〜5Dの値が設定値を超えた場合にトリップ信号1A〜1Dを有効“ON”にする。一方、監視データ5A〜5Dの値が設定値を超えない場合にトリップ信号1A〜1Dを無効“OFF”にする。
ここで、トリップ信号1A〜1Dが有効“ON”である場合、その電位は高電位に設定される。すなわち、トリップ信号1A〜1Dのデジタル値は“1”に設定される。一方、トリップ信号1A〜1Dが無効“OFF”である場合、その電位は低電位に設定される。すなわち、トリップ信号1A〜1Dのデジタル値は“0”に設定される。
また、複数のチャンネルのうちの1つのチャンネル(たとえば第2チャンネルとする)が変更対象チャンネルとして選択され、変更対象チャンネルの安全制御装置101Bへのバイパス信号3が有効“ON”である場合、変更対象チャンネルの安全制御装置101Bは、トリップ信号1Bを無効“OFF”にする。
安全制御装置101A〜101Dは、それぞれ、トリップ信号1A〜1Dを判定部102に送信する。
判定部102は、複数のチャンネルの安全制御装置101A〜101Dから送信されたトリップ信号1A〜1Dを受信する。
判定部102は、多数決論理により安全機能を起動させる。原子力発電プラントで用いられる多数決論理として、2−out−of−4がある。これは、4つのチャンネルのうちの2つ以上のトリップ信号が有効“ON”である場合に安全機能を起動させる。具体的には、判定部102は、トリップ信号1A〜1Dのうちの少なくとも2つのトリップ信号が有効“ON”である場合にプラントに対する安全機能を起動させるための制御信号2を送信する。この場合、制御信号2を有効“ON”にする。
なお、原子力発電プラントではトリップ信号1A〜1Dの有効と無効とを上述とは逆の論理(以下、負論理)で実施することもできる。負論理はフェイルセーフを目的としたもので、トリップ信号1A〜1Dが無効“OFF”である場合、その電位は高電位に設定される。すなわち、トリップ信号1A〜1Dのデジタル値は“1”に設定される。一方、トリップ信号1A〜1Dが有効“ON”である場合、その電位は低電位に設定される。すなわち、トリップ信号1A〜1Dのデジタル値は“0”に設定される。この場合、判定部102は、トリップ信号1A〜1Dのうちの少なくとも3つのトリップ信号が無効“OFF”である場合に制御信号2を無効“OFF”にする。
バイパス選択部103は、安全制御装置101A〜101Dにバイパス信号3を送信する。
バイパス選択部103は、複数のチャンネルのうちの1つのチャンネル(上述の例では第2チャンネル)を変更対象チャンネルとして選択した場合、変更対象チャンネルの安全制御装置101Bへのバイパス信号3を有効“ON”にし、変更対象チャンネル以外のチャンネルの安全制御装置101A、101Cおよび101Dへのバイパス信号3を無効“OFF”にする。
バイパス信号3が有効“ON”である場合、その電位は高電位に設定される。すなわち、バイパス信号3のデジタル値は“1”に設定される。一方、バイパス信号3が無効“OFF”である場合、その電位は低電位に設定される。すなわち、バイパス信号3のデジタル値は“0”に設定される。
第1実施形態に係るプラント安全装置では、バイパス選択部103として、たとえばロータリースイッチ、あるいはジョイスティックで構成することにより、同時に2つ以上のチャンネルの安全制御装置をバイパスさせないことを保証できる。
図3は、第1実施形態に係るプラント安全装置のバイパス選択部103の構成としてロータリースイッチの構成を示す回路図である。
バイパス選択部103は、操作部301と、接点である第1チャンネル選択端子302A、第2チャンネル選択端子302B、第3チャンネル選択端子302C、第4チャンネル選択端子302D、非選択端子303、および、共通端子306とを備えている。
操作部301は、一端が共通端子306に接続され、操作軸(図示しない)を中心に回転することにより他端が第1チャンネル選択端子302A、第2チャンネル選択端子302B、第3チャンネル選択端子302C、第4チャンネル選択端子302D、および、非選択端子303のいずれか1つの端子に接続される。すなわち、上記1つの端子と共通端子306とが接続される。
第1チャンネル選択端子302A、第2チャンネル選択端子302B、第3チャンネル選択端子302Cおよび第4チャンネル選択端子302Dは、それぞれ、配線305A、305B、305Cおよび305Dの一端に接続されている。配線305A、305B、305Cおよび305Dの他端は、安全制御装置101A〜101Dに接続されている。非選択端子303は、どの安全制御装置にも接続されていない。
通常時において、操作部301の他端は非選択端子303に接続され、いずれの安全制御装置も選択されない。
設定データの変更時において、第1チャンネル選択端子302A、第2チャンネル選択端子302B、第3チャンネル選択端子302C、第4チャンネル選択端子302Dのいずれか1つの選択端子は共通端子306と接続される。この場合、上記1つの選択端子から配線を通して安全制御装置101A〜101Dのいずれか1つを変更対象チャンネルとして安全制御装置が選択される。
共通端子306は配線304の一端に接続され、配線304の他端は直流電源(図示しない)に接続され、直流電源と変更対象チャンネルの安全制御装置との間を閉ループで構成する。直流電源は、バイパス信号3を有効“ON”にするための高電位を出力し、配線304の電位は常に高電位である。
図3に示されるように、操作部301の他端が第2チャンネル選択端子302Bに接続されたとき、直流電源から配線304、共通端子306、操作部301、第2チャンネル選択端子302B、配線305Bを介して安全制御装置101Bを結ぶ回路を構成する。安全制御装置101Bは、配線305Bの電位が高電位になったときに、バイパス信号3が有効“ON”になったことを認識する。安全制御装置101A、101Cおよび101Dは、それぞれ、配線305A、305Cおよび305Dの電位が低電位のままである場合、バイパス信号3が無効“OFF”であることを認識する。
このように、第1実施形態に係るプラント安全装置では、バイパス選択部103の構成をロータリースイッチの構造にすることにより、同時に2つ以上のチャンネルのバイパスを不可能にする。バイパス選択部103の構成としてジョイスティックの構成にする場合も、ロータリースイッチ同様の5個の接点を設け、同時に2つ以上のチャンネルのバイパスは不可能な仕組みとする。
図1に示されるように、データ変更部104は、複数のチャンネルのうちの変更対象チャンネルの安全制御装置101Bに接続される。データ変更部104は、新規の設定データを含むデータ変更要求コマンド4を変更対象チャンネルの安全制御装置101Bに送信する。この場合、変更対象チャンネルの安全制御装置101Bは、バイパス信号3が有効“ON”であるときに、データ変更部104から送信されたデータ変更要求コマンド4を受信し、データ変更要求コマンド4に応じて、設定データ10Bを新規の設定データに変更する。
第1実施形態に係るプラント安全装置では、プラントの安全な運転を保証するため、設定データの変更は厳格な管理の下で行われる必要がある。このため、安全制御装置101A〜101Dに対して、それぞれ、設定データ10A〜10Dの管理、バイパス信号3の内容の判断、データ変更部104の接続の有無の判断などを対応可能な構成にする必要がある。
図4は、第1実施形態に係るプラント安全装置において、安全制御装置101A〜101Dの構成を示すブロック図であり、複数のチャンネルのうちの変更対象チャンネルの安全制御装置101Bとバイパス選択部103とデータ変更部104との接続の例を示す図である。
第1実施形態に係るプラント安全装置は、さらに、モード設定部412を具備することができる。
モード設定部412は、モード設定信号6を安全制御装置101A〜101Dに送信する。モード設定信号6には、運転モードまたはテストモードが設定される。モード設定部412は、変更対象チャンネルの安全制御装置101Bに送信するモード設定信号6に対してテストモードを設定し、それ以外のチャンネルの安全制御装置101A、101Cおよび101Dに送信するモード設定信号6に対して運転モードを設定する。
まず、図4を用いて、複数のチャンネルの安全制御装置101A〜101Dの各々の構成について説明する。
安全制御装置101A〜101Dの各々は、実行部であるプロセッサ401と、フラッシュメモリ402と、RAM(Random Access Memory)403と、入力部404と、出力部409と、ツール入出力部410とを備えている。
フラッシュメモリ402は、プロセッサ401が使用する設定データ(設定値および安全制御プログラム)を記憶する記憶部である。記憶部としては、フラッシュメモリ402に限らず、不揮発性の記憶デバイス、例えばEEPROM(Electrically Erasable Programmable Read−Only Memory)、FeRAM(Ferroelectric Random Access Memory)により実現してもよい。あるいは、ハードディスクとして実現される。
入力部404は、上述の監視データと、モード設定部412から送信されたモード設定信号6と、バイパス選択部103から送信されたバイパス信号3とを入力する。なお、監視データ、モード設定信号6、バイパス信号3を入力する部分を分けることも可能である。
プロセッサ401は、安全制御装置が起動された時の初期化、安全制御プログラムの周期的実行、および、データ変更部104からのデータ変更要求コマンド4に応じた設定データの変更を行う。プロセッサ401は、汎用マイクロプロセッサ、あるいはFPGA、ASIC等のプログラム可能なデバイスとして実現される。
プロセッサ401は、初期化時に、フラッシュメモリ402に記憶されている設定データ(設定値および安全制御プログラム)のコピーを表すコピーデータをRAM403に格納する。コピーデータには、設定データの他に、設定データを変更するための変更プログラムも含まれている。
プロセッサ401は、モード設定信号6に対して運転モードが設定されているときに、RAM403に格納されたコピーデータの安全制御プログラムを実行して、監視データの値が、RAM403に格納されたコピーデータの設定値を超えた場合に、トリップ信号を有効“ON”にし、監視データの値が設定値を超えない場合にトリップ信号を無効“OFF”にする。プロセッサ401は、バイパス信号3が有効“ON”である場合、監視データの値に関わらず、トリップ信号を無効“OFF”にする。
プロセッサ401は、上記トリップ信号を出力部409を介して判定部102に送信する。
次に、図4を用いて、変更対象チャンネルの安全制御装置101Bとバイパス選択部103とデータ変更部104との接続について説明する。
バイパス選択部103において、配線305Bにはノード407を介して抵抗素子405の一端に接続され、抵抗素子405の他端は接地端子411により接地されている。配線304の他端は上述の直流電源である直流電源408に接続されている。安全制御装置101A、101Cおよび101Dについても同様である。
変更対象チャンネルの安全制御装置101Bにおいて、フラッシュメモリ402は、設定データ10B(設定値、安全制御プログラム)を記憶している。
操作部301の他端が第2チャンネル選択端子302Bに接続されたとき、直流電源408から配線304、共通端子306、操作部301、第2チャンネル選択端子302B、配線305Bを介して安全制御装置101Bを結ぶ回路を構成する。この場合、配線305Bの電位、すなわち、バイパス信号3の電位は高電位であり、バイパス信号3は有効“ON”である。操作部301の他端が接続されないチャンネル選択端子302A、302C、302Dについては直流電源408からの電力供給がないため、バイパス信号3の電位は低電位であり、バイパス信号3は無効“OFF”である。
入力部404は、監視データ5Bと、テストモードが設定されたモード設定信号6と、有効“ON”なバイパス信号3とを入力する。プロセッサ401は、バイパス信号3が有効“ON”であるため、トリップ信号1Bを無効“OFF”にする。プロセッサ401は、無効“OFF”を示すトリップ信号1Bを出力部409を介して判定部102に送信する。
ツール入出力部410は、データ変更部104に接続されたときに、データ変更部104から送信されたデータ変更要求コマンド4を受信し、プロセッサ401に送信する。データ変更部104との接続はシリアル通信、イーサネット(登録商標)等によって実現され、ツール入出力部410は、シリアル通信用のデバイス、あるいはイーサネット(登録商標)インタフェースとして実現される。
プロセッサ401は、モード設定信号6に対してテストモードが設定され、かつ、入力部404に入力されるバイパス信号3が有効“ON”である場合にデータ変更要求コマンド4を受信する。このとき、プロセッサ401は、データ変更要求コマンド4に応じて、RAM403に格納されたコピーデータの変更プログラムを実行し、フラッシュメモリ402に記憶されている設定データ10Bを、データ変更要求コマンド4に含まれる新規の設定データに変更する。
(作用)
図5は、第1実施形態に係るプラント安全装置の動作を示すフローチャートである。
ここで、モード設定部412は、変更対象チャンネルの安全制御装置101Bに送信するモード設定信号6に対してテストモードを設定し、それ以外のチャンネルの安全制御装置101A、101Cおよび101Dに送信するモード設定信号6に対して運転モードを設定しているものとする。バイパス選択部103は、変更対象チャンネルの安全制御装置101Bへのバイパス信号3を有効“ON”にし、変更対象チャンネル以外のチャンネルの安全制御装置101A、101Cおよび101Dへのバイパス信号3を無効“OFF”にしているものとする。
まず、初期化処理が実行される。複数のチャンネルの安全制御装置101A〜101Dのプロセッサ401は、初期化時に、そのフラッシュメモリ402に記憶されている設定データ(設定値および安全制御プログラム)のコピーとその設定データを変更するための変更プログラムとを含むコピーデータをそのRAM403に格納する(ステップS11)。
複数のチャンネルの安全制御装置101A〜101Dの入力部404は、それぞれ、プラントに設置されたセンサ501A〜501Dから監視データ5A〜5Dを入力する。また、安全制御装置101A〜101Dの入力部404は、モード設定部412から送信されたモード設定信号6と、バイパス選択部103から送信されたバイパス信号3とを入力する。安全制御装置101A〜101Dのプロセッサ401は、モード設定信号6がテストモードであるか否か、バイパス信号3が有効“ON”であるか否かなどをチェックする(ステップS12)。
変更対象チャンネル以外のチャンネルの安全制御装置101A、101Cおよび101Dのプロセッサ401は、それぞれ、モード設定信号6に対して運転モードが設定されているときに、そのRAM403に格納されたコピーデータの安全制御プログラムを実行する。安全制御装置101A、101Cおよび101Dのプロセッサ401は、監視データ5A、5Cおよび5Dの値が、そのRAM403に格納されたコピーデータの設定値を超えた場合にトリップ信号1A、1Cおよび1Dを有効“ON”にして、その出力部409を介して判定部102に送信する。一方、監視データ5A、5Cおよび5Dの値が設定値を超えない場合にトリップ信号を無効“OFF”にして、その出力部409を介して判定部102に送信する(ステップS12−No、S13)。
また、変更対象チャンネルの安全制御装置101Bのプロセッサ401は、モード設定信号6に対してテストモードが設定され、かつ、バイパス信号3が有効“ON”であるときに、トリップ信号1Bを無効“OFF”にして、その出力部409を介して判定部102に送信する(ステップS12−Yes、S14)。
データ変更部104は、変更対象チャンネルの安全制御装置101Bに接続されたときに、新規の設定データを含むデータ変更要求コマンド4を変更対象チャンネルの安全制御装置101Bに送信する。安全制御装置101Bのプロセッサ401は、モード設定信号6に対してテストモードが設定され、かつ、バイパス信号3が有効“ON”である場合に、データ変更部104から送信されたデータ変更要求コマンド4を受信する(ステップS15−Yes)。
このとき、変更対象チャンネルの安全制御装置101Bのプロセッサ401は、データ変更要求コマンド4に応じて、そのRAM403に格納されたコピーデータの変更プログラムを実行し、そのフラッシュメモリ402に記憶されている設定データ10Bを、データ変更要求コマンド4に含まれる新規の設定データに変更する(ステップS16)。
判定部102は、複数のチャンネルの安全制御装置101A〜101Dから送信されたトリップ信号1A〜1Dを受信する。判定部102は、トリップ信号1A〜1Dのうちの半分以上のトリップ信号が有効“ON”である場合に制御信号2を送信する(ステップS17)。
なお、ステップS16において、安全制御装置101Bのプロセッサ401が新規の設定データを利用するためには、安全制御装置101Bを再起動する必要がある。すなわち、モード設定部412が、変更対象チャンネルの安全制御装置101Bに送信するモード設定信号6に対して運転モードを設定し、バイパス選択部103が、変更対象チャンネルの安全制御装置101Bへのバイパス信号3を無効“OFF”にし、変更対象チャンネルの安全制御装置101Bを再起動するために、ステップS11以降が実行される。
また、ステップS16において、変更対象チャンネルの安全制御装置101Bのプロセッサ401は、データ変更要求コマンド4に応じて、そのRAM403に格納された変更プログラムを実行し、そのフラッシュメモリ402に記憶されている設定データ10Bを、データ変更要求コマンド4に含まれる新規の設定データに変更するとともに、RAM403に格納されたコピーデータの設定データ10Bを新規の設定データに変更することもできる。その場合、変更対象チャンネルの安全制御装置101Bを再起動する必要がなく、ステップS12以降が実行される。
(効果)
第1実施形態に係るプラント安全装置によれば、複数のチャンネルから構成される安全制御装置の設定データ(設定値および安全制御プログラム)の変更は、バイパスされたチャンネルのみ可能となる。また、一度にバイパスできるチャンネルは1つに制限される。
そのため、第1実施形態に係るプラント安全装置によれば、安全制御装置の設定データ(設定値および安全制御プログラム)の変更中に誤ってトリップ信号を発信する等の誤動作のリスクを著しく軽減し、規制を守ると共に、プラントの安全な運転を保証することに寄与することができる。
このように、第1実施形態に係るプラント安全装置によれば、複数のチャンネルのうちの変更対象チャンネルの安全制御装置の設定データを変更するときに、変更対象チャンネルの安全制御装置をバイパスすることにより、設定データの変更を厳格な管理の下で行うことができる。
[第2実施形態]
第2実施形態に係るプラント安全装置では、第1実施形態における安全制御装置と判定部との間に、多数決論理が適用された装置が設けられる。第2実施形態について、第1実施形態の変更点のみ説明する。
(構成)
図2は、第2実施形態に係るプラント安全装置の構成を示すブロック図である。
第2実施形態に係るプラント安全装置は、安全制御装置であるデジタル・トリップ・モジュール(以下、DTMと称する)201A〜201Dと、トリップ・ロジック・ユニット(以下、TLUと称する)202A〜202Dと、出力ロジックユニット(以下、OLUと称する)203A〜203Dと、判定部102と、バイパス選択部103と、データ変更部104と、を具備している。
DTM201A〜201Dは、それぞれ、第1実施形態における安全制御装置101A〜101Dと同じ構成である。
複数のチャンネルのDTM201A〜201Dには、それぞれ、設定データ20A〜20Dが設定されている。設定データ20A〜20Dは、それぞれ、第1実施形態における設定データ10A〜10Dと同様に、設定値および安全制御プログラムを含んでいる。
複数のチャンネルのDTM201A〜201Dは、プラントに設けられた2種類以上のセンサ(図示しない)から監視データと、モード設定部412から送信されたモード設定信号6と、バイパス選択部103から送信されたバイパス信号3とを入力する。DTM201A〜201Dは、監視データとモード設定信号6とバイパス信号3とに基づいて、前述のトリップ信号であるセンサ別トリップ信号を出力する。
ここで、センサ別トリップ信号が有効“ON”である場合、その電位は高電位に設定される。すなわち、センサ別トリップ信号のデジタル値は“1”に設定される。一方、センサ別トリップ信号が無効“OFF”である場合、その電位は低電位に設定される。すなわち、センサ別トリップ信号のデジタル値は“0”に設定される。
また、バイパス選択部103は、変更対象チャンネルのDTM(たとえばDTM201Dとする)へのバイパス信号3を有効“ON”にし、変更対象チャンネル以外のチャンネルのDTM201A、201B、201Cへのバイパス信号3を無効“OFF”にしたものとする。バイパス信号3が有効“ON”である場合、バイパス信号3のデジタル値が“0”であり、バイパス信号3が無効“OFF”である場合、バイパス信号3のデジタル値が“1”であるものとする。
TLU202A〜202Dは、DTM201A〜201Dと同数設けられ、各々がDTM201A〜201Dの出力に接続されている。OLU203A〜203Dは、TLU202A〜202Dと同数設けられ、それぞれTLU202A〜202Dの出力に接続されている。
複数のチャンネルのTLU202A〜202Dは、複数のチャンネルのDTM201A〜201Dからのセンサ別トリップ信号と、複数のチャンネルのDTM201A〜201Dに送信されるバイパス信号3とを受信し、出力別トリップ信号を送信する。
図6は、第2実施形態に係るプラント安全装置において、TLU202A〜202Dの構成を示す回路図である。
複数のチャンネルのTLU202A〜202Dの各々は、AND回路601A〜601Dと、多数決論理回路602と、を備えている。
AND回路601A〜601Dは、それぞれ複数のチャンネルに割り当てられている。具体的には、AND回路601Aは第1チャンネルに割り当てられ、AND回路601Bは第2チャンネルに割り当てられ、AND回路601Cは第3チャンネルに割り当てられ、AND回路601Dは第4チャンネルに割り当てられている。
AND回路601A〜601Dは、それぞれ、複数のチャンネルのDTM201A〜201Dからのセンサ別トリップ信号と、複数のチャンネルのDTM201A〜201Dに送信されるバイパス信号3とを入力し、出力信号を多数決論理回路602に出力する。
具体的には、AND回路601Aは、第1チャンネルのDTM201Aに送信されるバイパス信号3が無効“OFF”であり、第1チャンネルのDTM201Aからのセンサ別トリップ信号が有効“ON”である場合に出力信号を有効“ON”にする。すなわち、センサ別トリップ信号とバイパス信号3とのデジタル値が両方とも“1”である場合に出力信号のデジタル値を“1”にする。それ以外の場合は出力信号を無効“OFF”にする。
同様に、AND回路601Bは、第2チャンネルのDTM201Bに送信されるバイパス信号3が無効“OFF”であり、第2チャンネルのDTM201Bからのセンサ別トリップ信号が有効“ON”である場合に出力信号を有効“ON”にする。それ以外の場合は出力信号を無効“OFF”にする。AND回路601C、601Dについても同様の動作である。
多数決論理回路602は、前述の2−out−of−4を実施して、出力別トリップ信号を判定部102に送信する。具体的には、多数決論理回路602は、AND回路601A〜601Dから出力された出力信号のうちの少なくとも2つの出力信号が有効“ON”である場合に出力別トリップ信号を有効“ON”にして出力する。それ以外の場合は出力別トリップ信号を無効“OFF”にする。
複数のチャンネルのOLU203A〜203Dは、それぞれ、複数のチャンネルのTLU202A〜202Dから送信された出力別トリップ信号を判定部102に送信する。
判定部102は、複数のチャンネルのOLU203A〜203Dから送信された出力別トリップ信号のうちの半分以上の出力別トリップ信号が有効“ON”である場合に制御信号2を送信する。この場合、制御信号2を有効“ON”にする。
なお、第2実施形態においても、第1実施形態と同様に、フェイルセーフを目的として上述の逆の論理(負論理)でも実施することもできる。
(作用)
第2実施形態に係るプラント安全装置の動作について、図5を用いて説明する。図5は第1実施形態と同様であるが、第2実施形態に係るプラント安全装置の動作については、第1実施形態に係るプラント安全装置の動作とは若干異なる。
ここで、モード設定部412は、変更対象チャンネルのDTM201Dに送信するモード設定信号6に対してテストモードを設定し、それ以外のチャンネルのDTM201A、201Bおよび201Cに送信するモード設定信号6に対して運転モードを設定しているものとする。バイパス選択部103は、変更対象チャンネルのDTM201Dへのバイパス信号3を有効“ON”にし、変更対象チャンネル以外のチャンネルのDTM201A、201Bおよび201Cへのバイパス信号3を無効“OFF”にしているものとする。
まず、複数のチャンネルのDTM201A〜201Dは、初期化処理を実行し、モード設定信号6がテストモードであるか否か、バイパス信号3が有効“ON”であるか否かなどをチェックを行う(ステップS11、S12)。
変更対象チャンネル以外のチャンネルのDTM201A、201Bおよび201Cは、それぞれ、モード設定信号6に対して運転モードが設定されているときに、安全制御プログラムを実行し、監視データの値が設定値を超えた場合にセンサ別トリップ信号を有効“ON”にする。一方、監視データの値が設定値を超えない場合にセンサ別トリップ信号を無効“OFF”にする(ステップS12−No、S13)。
また、変更対象チャンネルのDTM201Dは、モード設定信号6に対してテストモードが設定され、かつ、バイパス信号3が有効“ON”であるときに、センサ別トリップ信号を無効“OFF”にする(ステップS12−Yes、S14)。
データ変更部104は、変更対象チャンネルのDTM201Dに接続されたときに、新規の設定データを含むデータ変更要求コマンド4を変更対象チャンネルのDTM201Dに送信する。DTM201Dは、モード設定信号6に対してテストモードが設定され、かつ、バイパス信号3が有効“ON”である場合に、データ変更部104から送信されたデータ変更要求コマンド4を受信する(ステップS15−Yes)。
このとき、変更対象チャンネルのDTM201Dは、データ変更要求コマンド4に応じて、変更プログラムを実行し、内部に設定された設定データ20Dを、データ変更要求コマンド4に含まれる新規の設定データに変更する(ステップS16)。
次に、判定処理が実行される(ステップS17)。
ステップS17において、複数のチャンネルのTLU202A〜202Dの各々は、複数のチャンネルにおけるセンサ別トリップ信号のうちの、バイパス信号3が無効“OFF”であるチャンネルにおいて半分以上のセンサ別トリップ信号が有効“ON”である場合に出力別トリップ信号を有効“ON”にし、それ以外の場合は出力別トリップ信号を無効“OFF”にする。ここで、変更対象チャンネルのDTM201Dから送信されるセンサ別トリップ信号は無効“OFF”であるため、出力別トリップ信号は残りの3つのチャンネルによる2−out−of−3の多数決論理により決定される。
ステップS17において、複数のチャンネルのOLU203A〜203Dは、それぞれ、複数のチャンネルのTLU202A〜202Dから送信された出力別トリップ信号を判定部102に送信する。判定部102は、複数のチャンネルのOLU203A〜203Dから送信された出力別トリップ信号のうちの半分以上の出力別トリップ信号が有効“ON”である場合に制御信号2を送信する。ここで、変更対象チャンネルのDTM201Dから送信されるセンサ別トリップ信号は無効“OFF”であるため、制御信号2は、残りの3つのチャンネルによる2−out−of−3の多数決論理により決定される。
(効果)
第2実施形態に係るプラント安全装置によれば、DTM201A〜201Dと判定部102との間に、多数決論理が適用されたTLU202A〜202Dが設けられる構成においても、複数のチャンネルから構成される安全制御装置の設定データ(設定値および安全制御プログラム)の変更は、バイパスされたチャンネルのみ可能となる。また、一度にバイパスできるチャンネルは1つに制限される。
そのため、第2実施形態に係るプラント安全装置によれば、DTMの設定データ(設定値および安全制御プログラム)を誤って変更するリスクを著しく軽減し、規制を守ると共に、プラントの安全な運転を保証することに寄与することができる。
このように、第2実施形態に係るプラント安全装置によれば、複数のチャンネルのうちの変更対象チャンネルのDTMの設定データを変更するときに、変更対象チャンネルのDTMをバイパスすることにより、設定データの変更を厳格な管理の下で行うことができる。
[第3実施形態]
第3実施形態について、第1実施形態の変更点のみ説明する。ここで、説明部分以外の部分は第1の実施形態と同じである。
(構成)
図7は、第3実施形態に係るプラント安全装置において、安全制御装置101A〜101Dの構成を示すブロック図であり、複数のチャンネルのうちの変更対象チャンネルの安全制御装置101Bとバイパス選択部103とデータ変更部104との接続の例を示す図である。
第1実施形態に係るプラント安全装置において、入力部404に監視データとモード設定信号6とバイパス信号3とを入力しているが、第3実施形態に係るプラント安全装置において、入力部404に監視データとモード設定信号6とを入力し、ツール入出力部410にバイパス信号3を入力する。
ツール入出力部410は、バイパス信号3が有効であるときのみ、データ変更部104から送信されたデータ変更要求コマンド4を受信し、プロセッサ401に出力する。バイパス信号3が無効であるときには、データ変更部104から送信されたデータ変更要求コマンド4を受信しないため、プロセッサ401にデータ変更要求コマンド4を出力しない。
(作用)
第3実施形態に係るプラント安全装置の動作について、図5を用いて説明する。図5は第1実施形態と同様であるが、第3実施形態に係るプラント安全装置の動作については、第1実施形態に係るプラント安全装置の動作とは異なる部分について説明する。
まず、第1実施形態と同じステップS11が実行される。
ステップS12において、第1実施形態と同じ処理に加えて、安全制御装置101A〜101Dのツール入出力部410は、バイパス選択部103から送信されたバイパス信号3を入力し、バイパス信号3が有効“ON”であるか否かをチェックする。
ここで、モード設定信号6に対して運転モードが設定されている場合(ステップS12−No)、第1実施形態と同じステップS13が実行される。
一方、モード設定信号6に対してテストモードが設定されている場合(ステップS12−Yes)、ステップS14において、第1実施形態と同じ処理に加えて、変更対象チャンネルの安全制御装置101Bのツール入出力部410は、入力されるバイパス信号3が有効“ON”であるときに、データ変更部104からのデータ変更要求コマンド4を受信して、そのプロセッサ401に送信する。
変更対象チャンネルの安全制御装置101Bのプロセッサ401は、そのツール入出力部410から送信されたデータ変更要求コマンド4を受信し(ステップS15−Yes)、第1実施形態と同じステップS16およびS17が実行される。
なお、バイパス信号3をツール入出力部410への電源としてもよい。すなわち、変更対象チャンネルの安全制御装置101Bのツール入出力部410は、入力されるバイパス信号3が有効“ON”であるときに動作する。この場合、バイパス信号3が無効“OFF”であるときにはツール入出力部410への電力供給がされず、ツール入出力部410は動作しないため、より安全性を高めることができる。
(効果)
第3実施形態に係るプラント安全装置によれば、第1実施形態と同様の効果を実現する上に、データ変更の可否をプロセッサ401によるソフトウェア処理ではなく、ツール入出力部410に構成されたハードウェアとして実現することもできる。この結果、フラッシュメモリ402やRAM403にデータ変更可否に係るソフトウェアを格納する必要がなくなり容量削減することができるとともに、プロセッサ401におけるデータ変更可否に係るソフトウェアの実行に伴う万が一の誤動作等を防ぐことができる。
[第4実施形態]
第4実施形態について、第3実施形態の変更点のみ説明する。ここで、説明部分以外の部分は第3の実施形態と同じである。
(構成)
図8は、第4実施形態に係るプラント安全装置において、安全制御装置101A〜101Dの構成を示すブロック図であり、複数のチャンネルのうちの変更対象チャンネルの安全制御装置101Bとバイパス選択部103とデータ変更部104との接続の例を示す図である。
安全制御装置101A〜101Dの各々は、さらに、制御部であるフラッシュメモリコントローラ801を備えている。
フラッシュメモリコントローラ801は、フラッシュメモリ402へのデータの読み出しおよび書き込みを制御する。また、バイパス信号3を入力する。フラッシュメモリコントローラ801は、バイパス信号3が無効“OFF”である場合はフラッシュメモリ402内の設定データを変更しない。
データ変更部104は、設定データを変更するデータ変更機能とは別に、変更対象チャンネルの安全制御装置の内部動作を監視する監視機能を具備している。データ変更部104は、変更対象チャンネルの安全制御装置の内部動作を監視する内部動作監視コマンド7を送信する場合、または、設定データを変更するデータ変更要求コマンド4を送信する場合に変更対象チャンネルの安全制御装置のツール入出力部410に接続される。
(作用)
第4実施形態に係るプラント安全装置の動作について、図5を用いて説明する。図5は第1実施形態と同様であるが、第4実施形態に係るプラント安全装置の動作については、第1実施形態に係るプラント安全装置の動作とは異なる部分について説明する。
ここで、バイパス選択部103は、変更対象チャンネルの安全制御装置101Bへのバイパス信号3を、最初は無効“OFF”にしていて、次に有効“ON”にしたものとする。
まず、第1実施形態と同じステップS11が実行される。
ステップS12において、第1実施形態と同じ処理に加えて、安全制御装置101A〜101Dのツール入出力部410およびフラッシュメモリコントローラ801は、バイパス選択部103から送信されたバイパス信号3を入力し、バイパス信号3が有効“ON”であるか否かをチェックする。
ここで、モード設定信号6に対して運転モードが設定されている場合(ステップS12−No)、第1実施形態と同じステップS13が実行される。
一方、モード設定信号6に対してテストモードが設定されている場合(ステップS12−Yes)、第1実施形態と同じステップS14が実行される。
また、ステップS14において、変更対象チャンネルの安全制御装置101Bのツール入出力部410は、データ変更部104から送信された内部動作監視コマンド7を受信して、そのプロセッサ401に送信する。変更対象チャンネルの安全制御装置101Bのプロセッサ401は、そのツール入出力部410から送信された内部動作監視コマンド7を受信する。
また、ステップS14において、変更対象チャンネルの安全制御装置101Bのツール入出力部410は、入力されるバイパス信号3が有効“ON”であるときに限り、データ変更部104からのデータ変更要求コマンド4を受信して、そのプロセッサ401に送信する。
変更対象チャンネルの安全制御装置101Bのフラッシュメモリコントローラ801は、入力されるバイパス信号3が有効であるときに限り、データ変更要求コマンド4の受け入れを許可する変更許可信号を、そのプロセッサ401に送信する。変更対象チャンネルの安全制御装置101Bのプロセッサ401は、変更許可信号に応じて、そのツール入出力部410から送信されたデータ変更要求コマンド4を受信し(ステップS15−Yes)、第1実施形態と同じステップS16およびS17が実行される。
(効果)
第4実施形態に係るプラント安全装置によれば、第1実施形態と同様の効果を実現する上に、フラッシュメモリ402に記憶されたデータ変更の可否を、フラッシュメモリコントローラ801がバイパス信号3により判定することにより、変更対象チャンネルの安全制御装置の内部動作を監視する目的と、設定データを変更する目的とに分けて、データ変更部104を接続することができる。
[他の実施形態]
以上、本発明のいくつかの実施形態を説明したが、これらの実施形態は、例として提示したものであり、発明の範囲を限定することは意図していない。これら新規な実施形態は、その他の様々な形態で実施されることが可能であり、発明の要旨を逸脱しない範囲で、種々の省略、置き換え、変更、また各実施形態の特徴を組み合わせることができる。これら実施形態やその変形は、発明の範囲や要旨に含まれるとともに、特許請求の範囲に記載された発明とその均等の範囲に含まれる。
1A〜1D … トリップ信号
2 … 制御信号
3 … バイパス信号
4 … データ変更要求コマンド
5A〜5D … 監視データ
6 … モード設定信号
7 … 内部動作監視コマンド
10A〜10D … 設定データ
20A〜20D … 設定データ
101A〜101D … 安全制御装置
102 … 判定部
103 … バイパス選択部
104 … データ変更部
201A〜201D … DTM(安全制御装置)
202A〜202D … TLU
203A〜203D … OLU
301 … 操作部
302A … 第1チャンネル選択端子
302B … 第2チャンネル選択端子
302C … 第3チャンネル選択端子
302D … 第4チャンネル選択端子
303 … 非選択端子
304 … 配線
305A〜305D … 配線
306 … 共通端子
401 … プロセッサ
402 … フラッシュメモリ
403 … RAM
404 … 入力部
405 … 抵抗素子
407 … ノード
408 … 直流電源
409 … 出力部
410 … ツール入出力部
411 … 接地端子
412 … モード設定部
501A〜501D … センサ
601A〜601D … AND回路
602 … 多数決論理回路
801 … フラッシュメモリコントローラ(制御部)

Claims (8)

  1. 複数のチャンネルにそれぞれ割り当てられ、設定値および安全制御プログラムを含む設定データを記憶する記憶部と、プラントに設置されたセンサから監視データを入力する入力部と、前記安全制御プログラムを実行して、前記監視データの値が前記設定値を超えた場合にトリップ信号を有効にし、前記監視データの値が前記設定値を超えない場合、または、バイパス信号が有効である場合に前記トリップ信号を無効にする実行部とを有する複数の安全制御装置と、
    前記複数のチャンネルのうちの変更対象チャンネルの安全制御装置への前記バイパス信号を有効にし、前記変更対象チャンネル以外のチャンネルの安全制御装置への前記バイパス信号を無効にするバイパス選択部と、
    前記複数のチャンネルの安全制御装置から送信された前記トリップ信号のうちの半分以上のトリップ信号が有効である場合に前記プラントに対する安全機能を起動させるための制御信号を送信する判定部と、
    新規の設定データを含むデータ変更要求コマンドを前記変更対象チャンネルの安全制御装置に送信するデータ変更部と、
    を具備し、
    前記変更対象チャンネルの安全制御装置の実行部は、前記バイパス信号が有効であるときに、前記データ変更部から送信された前記データ変更要求コマンドを受信し、前記データ変更要求コマンドに応じて、その記憶部に記憶されている前記設定データを前記新規の設定データに変更するプラント安全装置であって、
    前記複数のチャンネルの安全制御装置の各々は、前記データ変更部と接続可能なツール入出力部をさらに備え、
    前記複数のチャンネルの安全制御装置の各々の入力部は、前記バイパス信号を入力し、
    前記変更対象チャンネルの安全制御装置の実行部は、その入力部に入力される前記バイパス信号が有効であるときに、そのツール入出力部を介して前記データ変更部から送信された前記データ変更要求コマンドを受信する、
    ことを特徴とするプラント安全装置。
  2. 複数のチャンネルにそれぞれ割り当てられ、設定値および安全制御プログラムを含む設定データを記憶する記憶部と、プラントに設置されたセンサから監視データを入力する入力部と、前記安全制御プログラムを実行して、前記監視データの値が前記設定値を超えた場合にトリップ信号を有効にし、前記監視データの値が前記設定値を超えない場合、または、バイパス信号が有効である場合に前記トリップ信号を無効にする実行部とを有する複数の安全制御装置と、
    前記複数のチャンネルのうちの変更対象チャンネルの安全制御装置への前記バイパス信号を有効にし、前記変更対象チャンネル以外のチャンネルの安全制御装置への前記バイパス信号を無効にするバイパス選択部と、
    前記複数のチャンネルの安全制御装置から送信された前記トリップ信号のうちの半分以上のトリップ信号が有効である場合に前記プラントに対する安全機能を起動させるための制御信号を送信する判定部と、
    新規の設定データを含むデータ変更要求コマンドを前記変更対象チャンネルの安全制御装置に送信するデータ変更部と、
    を具備し、
    前記変更対象チャンネルの安全制御装置の実行部は、前記バイパス信号が有効であるときに、前記データ変更部から送信された前記データ変更要求コマンドを受信し、前記データ変更要求コマンドに応じて、その記憶部に記憶されている前記設定データを前記新規の設定データに変更するプラント安全装置であって、
    前記複数のチャンネルの安全制御装置の各々は、前記データ変更部と接続可能なツール入出力部をさらに備え、
    前記複数のチャンネルの安全制御装置の各々の入力部およびツール入出力部は、前記バイパス信号を入力し、
    前記変更対象チャンネルの安全制御装置のツール入出力部は、入力される前記バイパス信号が有効であるときに、前記データ変更部からの前記データ変更要求コマンドを受信して、その実行部に送信し、
    前記変更対象チャンネルの安全制御装置の実行部は、その入力部に入力される前記バイパス信号が有効であるときに、そのツール入出力部から送信された前記データ変更要求コマンドを受信する、
    ことを特徴とするプラント安全装置。
  3. 前記データ変更部は、前記変更対象チャンネルの安全制御装置の内部動作を監視する内部動作監視コマンドを送信する場合、または、前記データ変更要求コマンドを送信する場合に前記変更対象チャンネルの安全制御装置に接続され、
    前記複数のチャンネルの安全制御装置の各々は、その記憶部へのデータの読み出しおよび書き込みを制御し、前記バイパス信号を入力する制御部をさらに備え、
    前記変更対象チャンネルの安全制御装置のツール入出力部は、前記データ変更部から送信された前記内部動作監視コマンドを受信して、その実行部に送信し、入力される前記バイパス信号が有効であるときに限り、前記データ変更部から送信された前記データ変更要求コマンドを受信して、その実行部に送信し、
    前記変更対象チャンネルの安全制御装置の制御部は、入力される前記バイパス信号が有効であるときに限り、前記データ変更要求コマンドの受け入れを許可する変更許可信号を、その実行部に送信し、
    前記変更対象チャンネルの安全制御装置の実行部は、そのツール入出力部から送信された前記内部動作監視コマンドを受信し、前記変更許可信号に応じて、そのツール入出力部から送信された前記データ変更要求コマンドを受信する、
    ことを特徴とする請求項1または請求項2に記載のプラント安全装置。
  4. 前記バイパス選択部は、前記変更対象チャンネルの安全制御装置の前記ツール入出力部と、当該ツール入出力部を動作させるために必要な電力を供給する電源との間に介在するように接続されていることを特徴とする請求項1ないし請求項3のいずれか一項に記載のプラント安全装置。
  5. 複数のチャンネルにそれぞれ割り当てられ、設定値および安全制御プログラムを含む設定データを記憶する記憶部と、プラントに設置されたセンサから監視データを入力する入力部と、前記安全制御プログラムを実行して、前記監視データの値が前記設定値を超えた場合にトリップ信号を有効にし、前記監視データの値が前記設定値を超えない場合、または、バイパス信号が有効である場合に前記トリップ信号を無効にする実行部とを有する複数の安全制御装置と、
    前記複数のチャンネルのうちの変更対象チャンネルの安全制御装置への前記バイパス信号を有効にし、前記変更対象チャンネル以外のチャンネルの安全制御装置への前記バイパス信号を無効にするバイパス選択部と、
    前記複数のチャンネルの安全制御装置から送信された前記トリップ信号のうちの半分以上のトリップ信号が有効である場合に前記プラントに対する安全機能を起動させるための制御信号を送信する判定部と、
    新規の設定データを含むデータ変更要求コマンドを前記変更対象チャンネルの安全制御装置に送信するデータ変更部と、
    を具備し、
    前記変更対象チャンネルの安全制御装置の実行部は、前記バイパス信号が有効であるときに、前記データ変更部から送信された前記データ変更要求コマンドを受信し、前記データ変更要求コマンドに応じて、その記憶部に記憶されている前記設定データを前記新規の設定データに変更するプラント安全装置であって、
    前記複数のチャンネルの安全制御装置の各々の前記入力部は、運転モードまたはテストモードが設定されたモード設定信号を入力し、
    前記プラント安全装置は、前記変更対象チャンネルの安全制御装置に送信する前記モード設定信号に対して前記テストモードを設定し、それ以外のチャンネルの安全制御装置に送信する前記モード設定信号に対して前記運転モードを設定するモード設定部をさらに具備し、
    前記変更対象チャンネル以外のチャンネルの安全制御装置の前記実行部は、前記モード設定信号に対して前記運転モードが設定されているときに前記安全制御プログラムを実行して、前記監視データの値が前記設定値を超えた場合に前記トリップ信号を有効にし、前記監視データの値が前記設定値を超えない場合に前記トリップ信号を無効にし、
    変更対象チャンネルの安全制御装置の前記実行部は、前記モード設定信号に対して前記テストモードが設定されているときに前記バイパス信号が有効である場合に前記トリップ信号を無効にし、前記データ変更部から送信された前記データ変更要求コマンドを受信する、
    ことを特徴とするプラント安全装置。
  6. 前記複数のチャンネルの安全制御装置と同数設けられたトリップ・ロジック・ユニットをさらに具備し、
    前記変更対象チャンネル以外のチャンネルの安全制御装置の実行部は、前記安全制御プログラムを実行して、前記監視データの値が前記設定値を超えた場合に前記トリップ信号であるセンサ別トリップ信号を有効にし、前記監視データの値が前記設定値を超えない場合に前記センサ別トリップ信号を無効にし、
    前記変更対象チャンネルの安全制御装置の実行部は、前記バイパス信号が有効であるときに前記センサ別トリップ信号を無効にし、
    前記複数のチャンネルのトリップ・ロジック・ユニットは、前記複数のチャンネルの安全制御装置からの前記センサ別トリップ信号と、前記複数のチャンネルの安全制御装置に送信される前記バイパス信号とを受信し、前記複数のチャンネルにおける前記センサ別トリップ信号のうちの、前記バイパス信号が無効であるチャンネルにおいて半分以上のセンサ別トリップ信号が有効である場合に前記出力別トリップ信号を有効にし、それ以外の場合は前記出力別トリップ信号を無効にし、
    前記判定部は、前記複数のチャンネルのトリップ・ロジック・ユニットから送信された前記出力別トリップ信号のうちの半分以上の出力別トリップ信号が有効である場合に前記制御信号を送信し、
    前記変更対象チャンネルの安全制御装置の実行部は、前記バイパス信号が有効であるときに、前記データ変更部から送信された前記データ変更要求コマンドを受信し、前記データ変更要求コマンドに応じて、その記憶部に記憶されている前記設定データを前記新規の設定データに変更する、
    ことを特徴とする請求項1ないし請求項5のいずれか一項に記載のプラント安全装置。
  7. 複数のチャンネルにそれぞれ割り当てられ、設定値および安全制御プログラムを含む設定データが設定された複数の安全制御装置を具備するプラント安全装置の動作方法であって、
    前記複数のチャンネルの安全制御装置が、プラントに設置されたセンサから監視データを入力するステップと、
    前記複数のチャンネルのうちの変更対象チャンネルの安全制御装置へのバイパス信号を有効にし、前記変更対象チャンネル以外のチャンネルの安全制御装置への前記バイパス信号を無効にするステップと、
    前記変更対象チャンネル以外のチャンネルの安全制御装置が、前記安全制御プログラムを実行して、前記監視データの値が前記設定値を超えた場合にトリップ信号を有効にし、前記監視データの値が前記設定値を超えない場合に前記トリップ信号を無効にするステップと、
    前記変更対象チャンネルの安全制御装置が、前記バイパス信号が有効であるときに前記トリップ信号を無効にするステップと、
    前記複数のチャンネルの安全制御装置から送信された前記トリップ信号のうちの半分以上のトリップ信号が有効である場合に前記プラントに対する安全機能を起動させるための制御信号を送信するステップと、
    データ変更部が、新規の設定データを含むデータ変更要求コマンドを前記変更対象チャンネルの安全制御装置に送信するステップと、
    前記変更対象チャンネルの安全制御装置が、前記バイパス信号が有効であるときに、前記データ変更部から送信された前記データ変更要求コマンドを受信し、前記データ変更要求コマンドに応じて、前記設定データを前記新規の設定データに変更するステップと、
    を具備し、
    前記複数のチャンネルの安全制御装置の各々は、入力部と、実行部と、前記データ変更部と接続可能なツール入出力部とを備え、
    前記複数のチャンネルの安全制御装置の各々の入力部は、前記バイパス信号を入力し、
    前記変更対象チャンネルの安全制御装置の実行部は、その入力部に入力される前記バイパス信号が有効であるときに、そのツール入出力部を介して前記データ変更部から送信された前記データ変更要求コマンドを受信する、
    ことを特徴とするプラント安全装置の動作方法。
  8. 複数のチャンネルにそれぞれ割り当てられ、設定値および安全制御プログラムを含む設定データが設定された複数の安全制御装置を具備するプラント安全装置の動作方法であって、
    前記複数のチャンネルの安全制御装置が、プラントに設置されたセンサから監視データを入力するステップと、
    前記複数のチャンネルのうちの変更対象チャンネルの安全制御装置へのバイパス信号を有効にし、前記変更対象チャンネル以外のチャンネルの安全制御装置への前記バイパス信号を無効にするステップと、
    前記変更対象チャンネル以外のチャンネルの安全制御装置が、前記安全制御プログラムを実行して、前記監視データの値が前記設定値を超えた場合にトリップ信号を有効にし、前記監視データの値が前記設定値を超えない場合に前記トリップ信号を無効にするステップと、
    前記変更対象チャンネルの安全制御装置が、前記バイパス信号が有効であるときに前記トリップ信号を無効にするステップと、
    前記複数のチャンネルの安全制御装置から送信された前記トリップ信号のうちの半分以上のトリップ信号が有効である場合に前記プラントに対する安全機能を起動させるための制御信号を送信するステップと、
    データ変更部が、新規の設定データを含むデータ変更要求コマンドを前記変更対象チャンネルの安全制御装置に送信するステップと、
    前記変更対象チャンネルの安全制御装置が、前記バイパス信号が有効であるときに、前記データ変更部から送信された前記データ変更要求コマンドを受信し、前記データ変更要求コマンドに応じて、前記設定データを前記新規の設定データに変更するステップと、
    を具備し、
    前記複数のチャンネルの安全制御装置の各々は、入力部と、実行部と、前記データ変更部と接続可能なツール入出力部とを備え、
    前記複数のチャンネルの安全制御装置の各々の入力部およびツール入出力部は、前記バイパス信号を入力し、
    前記変更対象チャンネルの安全制御装置のツール入出力部は、入力される前記バイパス信号が有効であるときに、前記データ変更部からの前記データ変更要求コマンドを受信して、その実行部に送信し、
    前記変更対象チャンネルの安全制御装置の実行部は、その入力部に入力される前記バイパス信号が有効であるときに、そのツール入出力部から送信された前記データ変更要求コマンドを受信する、
    ことを特徴とするプラント安全装置の動作方法。
JP2012141789A 2012-06-25 2012-06-25 プラント安全装置およびその動作方法 Expired - Fee Related JP5944243B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2012141789A JP5944243B2 (ja) 2012-06-25 2012-06-25 プラント安全装置およびその動作方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2012141789A JP5944243B2 (ja) 2012-06-25 2012-06-25 プラント安全装置およびその動作方法

Publications (2)

Publication Number Publication Date
JP2014006694A JP2014006694A (ja) 2014-01-16
JP5944243B2 true JP5944243B2 (ja) 2016-07-05

Family

ID=50104356

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012141789A Expired - Fee Related JP5944243B2 (ja) 2012-06-25 2012-06-25 プラント安全装置およびその動作方法

Country Status (1)

Country Link
JP (1) JP5944243B2 (ja)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20170269580A1 (en) * 2014-10-22 2017-09-21 Mitsubishi Electric Corporation Remote Integrated Monitoring Operation System
JP6714981B2 (ja) * 2015-07-14 2020-07-01 株式会社東芝 多重化制御装置
KR101845621B1 (ko) * 2016-08-29 2018-04-04 한국수력원자력 주식회사 다수호기 통합 감시를 위한 대형통합감시화면의 구현 방법과 그 시스템
CA3047135A1 (en) * 2016-12-30 2018-08-09 Nuscale Power, Llc Nuclear reactor protection systems and methods
WO2019073559A1 (ja) * 2017-10-11 2019-04-18 サン電子株式会社 情報処理装置

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2539396B2 (ja) * 1986-11-10 1996-10-02 株式会社日立製作所 プラント制御装置
JP2000217170A (ja) * 1999-01-26 2000-08-04 Matsushita Electric Works Ltd 中央監視システム
JP2011090357A (ja) * 2009-10-20 2011-05-06 Hitachi High-Tech Control Systems Corp プラント警報装置
JP2011191855A (ja) * 2010-03-12 2011-09-29 Hitachi-Ge Nuclear Energy Ltd デジタル安全保護装置

Also Published As

Publication number Publication date
JP2014006694A (ja) 2014-01-16

Similar Documents

Publication Publication Date Title
JP5944243B2 (ja) プラント安全装置およびその動作方法
JP6754743B2 (ja) 車載電子制御装置およびその異常時処理方法
US10249108B2 (en) Risk-based control of a motor vehicle
US20160282818A1 (en) Safety Architecture For Failsafe Systems
US9495178B2 (en) Electronics apparatus able to revise micro-program and algorithm to revise micro-program
JP2008254484A (ja) 車載用通信システム
US11561922B2 (en) Communication apparatus, communication method, program, and communication system
JP6502211B2 (ja) 車両制御装置
JP5960632B2 (ja) 車両用電子制御装置
US10083138B2 (en) Controller, bus circuit, control method, and recording medium
JP2019168835A (ja) 電子制御装置
JP6663371B2 (ja) 電子制御装置
JP4254577B2 (ja) 制御装置
JP4486653B2 (ja) 電子制御装置
JP2016126692A (ja) 電子制御装置
CN113993752B (zh) 电子控制单元和计算机可读取的记录介质
JP2003271420A (ja) 電子制御装置
US10089200B2 (en) Computer apparatus and computer mechanism
JP2008310536A (ja) 安全リモートi/oターミナル
JP6716440B2 (ja) 自動車用電子制御装置及び自動車用電子制御装置のリセット方法
JP2010039739A (ja) 安全plc
EP4216006A1 (en) Controlled io-link system with unified fail-safe implementation
JPWO2014188764A1 (ja) 機能安全制御装置
JP7024345B2 (ja) 電子制御装置
JP6274947B2 (ja) 車載制御装置のマイクロプロセッサの異常診断方法

Legal Events

Date Code Title Description
RD01 Notification of change of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7421

Effective date: 20140110

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20141121

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20150925

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20151027

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20151225

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20160426

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20160525

R151 Written notification of patent or utility model registration

Ref document number: 5944243

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151

LAPS Cancellation because of no payment of annual fees