JP6847755B2 - プラントの監視制御装置 - Google Patents

プラントの監視制御装置 Download PDF

Info

Publication number
JP6847755B2
JP6847755B2 JP2017090413A JP2017090413A JP6847755B2 JP 6847755 B2 JP6847755 B2 JP 6847755B2 JP 2017090413 A JP2017090413 A JP 2017090413A JP 2017090413 A JP2017090413 A JP 2017090413A JP 6847755 B2 JP6847755 B2 JP 6847755B2
Authority
JP
Japan
Prior art keywords
control device
plant
drive
control signal
signal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2017090413A
Other languages
English (en)
Other versions
JP2018190081A (ja
Inventor
寛司 白澤
寛司 白澤
俊輔 石本
俊輔 石本
将幸 金杉
将幸 金杉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Heavy Industries Ltd
Original Assignee
Mitsubishi Heavy Industries Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Heavy Industries Ltd filed Critical Mitsubishi Heavy Industries Ltd
Priority to JP2017090413A priority Critical patent/JP6847755B2/ja
Publication of JP2018190081A publication Critical patent/JP2018190081A/ja
Application granted granted Critical
Publication of JP6847755B2 publication Critical patent/JP6847755B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Safety Devices In Control Systems (AREA)

Description

本発明は、プラントの異常が発生したとき、このプラントを安定させるための機能を有するプラントの監視制御装置に関するものである。
例えば、加圧水型原子炉(PWR:Pressurized Water Reactor)を有する原子力発電プラントは、軽水を原子炉冷却材及び中性子減速材として使用し、原子炉の炉心全体にわたって沸騰しない高温高圧水とし、この高温高圧水を蒸気発生器に送って熱交換により蒸気を発生させ、この蒸気をタービン発電機へ送って発電するものである。そして、蒸気発生器は、原子炉からの高温高圧の一次系冷却水の熱を二次系冷却水に伝え、二次系冷却水で水蒸気を発生させるものである。
このような原子力発電プラントにて、原子炉は、中央制御室に配置された計装制御システムにより制御されている。この計装制御システムは、運転員がプラントの運転監視を行う中央制御盤が設けられ、この中央制御盤は、プラントのプロセス量を計測してポンプや弁などの補機を制御する常用系の装置と、プラントの異常時にこのプラントを安全に停止させる安全保護系の装置から構成されている。このような計装制御システムがサイバー攻撃を受けて乗っ取られると、悪意を持った操作などによる原子炉の安全性を確保することが困難となる。
このようなプラントへのサイバー攻撃に対する防衛として、計装制御システムのセキュリティレベルを上げることが考えられる。このような技術として、例えば、下記特許文献1に記載されたものがある。
特開2016−129346号公報
上述したように、計装制御システムのセキュリティレベルを上げることで、プラントへのサイバー攻撃に対する対策を講じることも必要であるが、この対策は、サイバー攻撃による計装制御システムへの侵入を検出し、この侵入を防止するものであり、一旦、計装制御システムへ侵入されてしまうと、悪意を持った操作などによる原子炉の安全性を確保することが困難となる。
本発明は、上述した課題を解決するものであり、サイバー攻撃により制御装置によるプラント制御の健全性が損なわれても、プラントの安全性を維持することができるプラントの監視制御装置を提供することを目的とする。
上記の目的を達成するための本発明のプラントの監視制御装置は、プラントの運転状態が入力されると共にプラント機器に対して駆動制御信号を出力する第1制御装置と、前記第1制御装置に対して電気的に独立して設けられて前記プラントの運転状態が入力されると共に前記プラント機器に対して駆動制御信号を出力する第2制御装置と、前記第1制御装置からの駆動制御信号よりも前記第2制御装置からの駆動制御信号を優先的に前記プラント機器に出力する切替装置と、を備えることを特徴とするものである。
従って、第2制御装置が第1制御装置に対して電気的に独立して設けられており、切替装置により第2制御装置からの駆動制御信号が第1制御装置からの駆動制御信号よりも優先的にプラント機器に出力されることから、例えば、サイバー攻撃により第1制御装置によるプラント制御の健全性が損なわれても、第1制御装置に代わって第2制御装置が優先的にプラント機器を制御することとなり、プラントの安全性を維持することができる。
本発明のプラントの監視制御装置では、前記第2制御装置は、入力される前記プラントの運転状態に基づいてプラントの異常発生を検出したときに前記プラント機器に対して駆動制御信号を出力することを特徴としている。
従って、プラントの正常時は、第1制御装置がプラントの運転状態に基づいた駆動制御信号をプラント機器に出力し、プラントの異常発生は、第2制御装置がプラントの運転状態に基づいた駆動制御信号をプラント機器に出力することで、第1制御装置がサイバー攻撃により乗っ取られても、第2制御装置がプラント機器を安全に制御することができる。
本発明のプラントの監視制御装置では、前記切替装置は、前記第2制御装置からの駆動制御信号の入力がないときに前記第1制御装置からの駆動制御信号を前記プラント機器に出力し、前記第2制御装置からの駆動制御信号の入力があるときに前記第2制御装置からの駆動制御信号を前記プラント機器に出力することを特徴としている。
従って、プラントの正常時は、切替装置に第2制御装置からの駆動制御信号の入力がないことから、第1制御装置がプラントの運転状態に基づいてプラント機器を制御し、第1制御装置がサイバー攻撃によりプラントを不安定にさせる駆動制御信号を出力したとき、第2制御装置がプラントを安定させる駆動制御信号を出力し、切替装置は、第2制御装置の駆動制御信号をプラント機器に出力することで、第2制御装置がプラント機器を安全に制御することができる。
本発明のプラントの監視制御装置では、前記切替装置は、前記第2制御装置からの駆動制御信号の入力があるときに、前記第1制御装置からの駆動制御信号を遮断して前記第2制御装置からの駆動制御信号を前記プラント機器に出力するOR回路であることを特徴としている。
従って、第1制御装置がサイバー攻撃によりプラントを不安定にさせる駆動制御信号を出力したとき、第2制御装置がプラントを安定させる駆動制御信号を出力し、切替装置としてのOR回路は、第1制御装置からの駆動制御信号を遮断し、第2制御装置からの駆動制御信号をプラント機器に出力するため、第2制御装置の駆動制御信号によりプラント機器を安全に制御することができる。
本発明のプラントの監視制御装置では、前記第1制御装置は、駆動制御信号としてのデジタル信号を出力し、前記第2制御装置は、駆動制御信号としてのアナログ信号を出力することを特徴としている。
従って、第2制御装置は、第1制御装置が取り扱うデジタル信号と異なる形式のアナログ信号を用いることで、サイバー攻撃により第1制御装置にコンピュータウイルスが侵入しても、第2制御装置まで感染することが抑制され、第2制御装置によりプラント機器を安全に制御することができる。
本発明のプラントの監視制御装置では、前記第2制御装置は、前記第1制御装置に対するサイバー攻撃により影響を受けない回路を有することを特徴としている。
従って、第2制御装置が第1制御装置に対するサイバー攻撃により影響を受けない回路を有することで、サイバー攻撃により第1制御装置にコンピュータウイルスが侵入しても、コンピュータウイルスにより第2制御装置の回路が書き換えられることがなく、第2制御装置によりプラント機器を安全に制御することができる。
本発明のプラントの監視制御装置では、前記第2制御装置は、前記プラントの運転状態を検出する検出装置と前記プラント機器とがハードワイヤードにより接続されることを特徴としている。
従って、第2制御装置と検出装置とプラント機器とがハードワイヤードにより接続されることで、ネットワークからのサイバー攻撃を受けることがなく、第2制御装置によりプラント機器を安全に制御することができる。
本発明のプラントの監視制御装置では、前記第2制御装置は、前記第1制御装置よりも前記プラント機器を駆動する機能が制限されることを特徴としている。
従って、第2制御装置の機能は、第1制御装置の機能よりも縮小されることで、第2制御装置の設置による製造コストの増加を抑制することができる。
本発明のプラントの監視制御装置では、前記第1制御装置は、前記プラントの起動操作、運転操作、停止操作を行うものであり、前記第2制御装置は、前記プラントの停止操作だけを行うものであることを特徴としている。
従って、第1制御装置がプラントの起動操作、運転操作、停止操作を行うことから、プラントの正常時にプラント機器を正常に運転することができ、第2制御装置がプラントの停止操作だけを行うことから、第1制御装置によるプラントの制御が異常であるとき、第2制御装置がプラントを安全に停止させることができる。
本発明のプラントの監視制御装置では、前記第2制御装置は、プラントの運転状態を表示する表示装置と、前記第2制御装置に操作信号を入力する操作装置が接続されることを特徴としている。
従って、プラントの異常発生時に、表示装置にプラントの運転状態が表示されることから、オペレータは、操作装置を用いて第2制御装置に操作信号を出力し、第2制御装置によりプラントを安全に運転することができる。
本発明のプラントの監視制御装置によれば、サイバー攻撃により制御装置によるプラント制御の健全性が損なわれても、プラントの安全性を維持することができる。
図1は、本実施形態の原子力発電プラントの監視制御装置を表す概略構成図である。 図2は、本実施形態の原子力発電プラントの監視制御装置の動作を表すフローチャートである。 図3は、原子力発電プラントを表す概略構成図である。
以下に添付図面を参照して、本発明のプラントの監視制御装置の好適な実施形態を詳細に説明する。なお、この実施形態により本発明が限定されるものではなく、また、実施形態が複数ある場合には、各実施形態を組み合わせて構成するものも含むものである。
図3は、原子力発電プラントを表す概略構成図である。
本実施形態において、図3に示すように、原子力発電プラント10は、原子炉を有している。この原子炉は、軽水を原子炉冷却材及び中性子減速材として使用し、炉心全体にわたって沸騰しない高温高圧水とし、この高温高圧水を後述する蒸気発生器に送って熱交換により蒸気を発生させ、この蒸気をタービン発電機へ送って発電する加圧水型原子炉(PWR:Pressurized Water Reactor)である。なお、原子炉は、沸騰水型原子炉(BWR:Boiling Water Reactor)であってもよい。
原子炉格納容器11は、内部に加圧水型原子炉12と複数(図示は1個)の蒸気発生器13が格納されている。加圧水型原子炉12と各蒸気発生器13は、高温側送給配管14と低温側送給配管15を介して連結されており、低温側送給配管15に一次系冷却水ポンプ16が設けられている。
加圧器17は、下部が1個の高温側送給配管14に連結されており、低温側送給配管15から延びるスプレイ配管18がこの加圧器17の上部に連通し、中途部にスプレイ弁19が設けられ、先端部にスプレイノズル20が設けられている。加圧器17は、上部に加圧器安全弁21を有する加圧器安全配管22の一端部が連結されており、加圧器安全配管22の他端部が大気に開放している。また、加圧器17は、上部に加圧器逃がし弁23を有する加圧器逃がし配管24の一端部が連結されており、加圧器逃がし配管24の他端部に加圧器逃がしタンク25が連結されている。
加圧水型原子炉12は、内部に炉心26が設けられており、この炉心26は、複数の燃料集合体(燃料棒)27により構成されている。また、加圧水型原子炉12は、炉心26における燃料集合体27の間に複数の制御棒28が配置されている。この各制御棒28は、制御棒駆動装置29により上下移動可能となっている。制御棒駆動装置29は、制御棒28を炉心26に対して抜き差しすることで、原子炉出力を制御することができる。
蒸気発生器13は、内部に逆U字形状をなす複数の伝熱管からなる伝熱管群31が設けられている。複数の伝熱管は、各端部が管板に支持され、入室32と出室33に連通しており、入室32に高温側送給配管14の端部が連結され、出室33に低温側送給配管15の端部が連結されている。また、蒸気発生器13は、図示しないが、伝熱管群31の上方に給水を蒸気と熱水とに分離する気水分離器と、この分離された蒸気の湿分を除去して乾き蒸気に近い状態とする湿分分離器が設けられている。
また、加圧水型原子炉12は、化学体積制御系(CVCS)34が設けられている。低温側送給配管15は、一次系冷却水循環ライン35が設けられており、一次系冷却水循環ライン35に再生熱交換器36、非再生冷却器37、脱塩塔38、体積制御タンク39、充填ポンプ40が設けられている。一次系冷却水循環ライン35は、一次系冷却水補給ライン41を介して一次系純水タンク42に連結され、一次系冷却水補給ライン41に補給水ポンプ43が設けられている。一次系冷却水補給ライン41は、ホウ酸水供給ライン44を介してホウ酸タンク45が連結され、ホウ酸水供給ライン44にホウ酸ポンプ46が設けられている。加圧水型原子炉12は、化学体積制御系34により炉心26におけるホウ素濃度を調整可能である。
原子炉格納容器11は、内部に原子炉非常用冷却装置47が設けられている。原子炉格納容器11は、下部に燃料取替用水ピット48が設けられており、この燃料取替用水ピット48から原子炉格納容器11の外部を通って再び原子炉格納容器11内に戻り、加圧水型原子炉12の上方まで延出される冷却水散布ライン49が設けられている。この冷却水散布ライン49は、中間部にスプレイポンプ50と冷却器51が設けられ、先端部に多数の噴射ノズル52が設けられている。また、燃料取替用水ピット48から原子炉格納容器11の外部を通って再び原子炉格納容器11内に戻り、加圧水型原子炉12に連結される冷却水供給ライン53が設けられている。この冷却水供給ライン53は、安全注入ポンプ54、開閉弁55が設けられている。
加圧水型原子炉12は、炉心26の燃料集合体27により一次系冷却水として軽水が加熱され、高温の一次系冷却水が加圧器17により所定の高圧に維持された状態で、高温側送給配管14を通して蒸気発生器13に送られる。この蒸気発生器13は、高温高圧の一次系冷却水と二次系冷却水との間で熱交換を行うことで二次系蒸気を生成し、冷やされた一次系冷却水が加圧水型原子炉12に戻される。このとき、制御棒駆動装置29は、炉心26から制御棒28を抜き差しすることで、炉心26内での核分裂を調整する。即ち、燃料集合体27を構成する原子燃料が核分裂することで中性子を放出し、軽水が放出された高速中性子の運動エネルギを低下させて熱中性子とし、新たな核分裂を起こしやすくすると共に、発生した熱を奪って冷却する。制御棒駆動装置29は、全ての制御棒28を炉心26に挿入することで、加圧水型原子炉12を停止することができる。
各蒸気発生器13は、上端部が配管61aを介して蒸気タービン62と連結されており、この配管61aに主蒸気隔離弁63が設けられている。蒸気タービン62は、高圧タービン64と低圧タービン65を有すると共に、発電機(発電装置)66が接続されている。また、高圧タービン64と低圧タービン65は、その間に湿分分離加熱器67が設けられている。低圧タービン65は、復水器68を有しており、この復水器68は、配管61aからバイパス弁69を有するタービンバイパス配管70が接続されると共に、冷却水(例えば、海水)を給排する取水管71及び排水管72が連結されており、取水管71に給水ポンプ(海水ポンプ、循環水ポンプ)73が装着されている。
復水器68は、配管61bが接続されており、この配管61bに復水ポンプ74、グランドコンデンサ75、復水脱塩装置76、低圧給水加熱器77、脱気器78、主給水ポンプ79、高圧給水加熱器80、主給水制御弁81が設けられている。
また、配管61aは、主蒸気逃がし弁82を有する主蒸気逃がし配管83の一端部と、主蒸気安全弁84を有する主蒸気安全配管85の一端部が接続されており、各配管83,85の他端部が大気に開放している。一方、配管61bは、主給水制御弁81と蒸気発生器13との間に補助給水配管86の一端部が接続されており、この補助給水配管86は開閉弁87が設けられ、他端部に復水タンク88が接続されている。補助給水配管86は、並列して2個の分岐補助給水配管89,90が設けられ、分岐補助給水配管89に補助給水ポンプ91が設けられ、分岐補助給水配管90に電動補助給水ポンプ92が設けられている。補助給水ポンプ91は、蒸気によりタービンが回転することで駆動し、電動補助給水ポンプ92は、非常用電源により駆動する。
そのため、蒸気発生器13にて、二次系冷却水が高温高圧の一次系冷却水と熱交換を行って生成された二次系蒸気は、配管61aを通して蒸気タービン62(高圧タービン64から低圧タービン65)に送られ、この蒸気により蒸気タービン62を駆動して発電機66により発電を行う。このとき、蒸気発生器13からの蒸気は、高圧タービン64を駆動した後、湿分分離加熱器67で蒸気に含まれる湿分が除去されると共に加熱されてから低圧タービン65を駆動する。そして、蒸気タービン62を駆動した蒸気は、復水器68で海水を用いて冷却されて復水となり、配管61bを通って蒸気発生器13に戻される。
また、原子力発電プラント10は、加圧水型原子炉12や蒸気発生器13などの運転状態を検出するための各種センサが設けられている。加圧水型原子炉12は、内部の温度を検出する温度センサ101と、内部の圧力を検出する圧力センサ102が設けられている。蒸気発生器13は、二次冷却水の水位を検出する水位センサ103と、内部の圧力を検出する圧力センサ104が設けられている。また、低温側送給配管15は、一次冷却水の温度を検出する温度センサ105と、圧力を検出する圧力センサ106が設けられている。加圧器17は、一次冷却水の水位を検出する水位センサ107と、内部の圧力を検出する圧力センサ108が設けられている。配管61aは、主蒸気(一次冷却水)の圧力を検出する圧力センサ109と、流量を検出する流量センサ110が設けられている。
中央制御室200は、本実施形態の原子力発電プラントの監視制御装置(以下、監視制御装置)201が設けられている。監視制御装置201は、運転コンソールや大型表示盤などが配置されるプラントの制御設備である。運転コンソールは、運転員による一体的な監視操作を可能とするため、ハードウェアの監視器具や操作器が設置された中央制御盤などから構成されている。大型表示盤は、プラント全体の情報を提供したり、運転員間の情報を共有したりするため、常時表示すべきパラメータや代表警報を表示する。
原子力発電プラントの監視制御装置201は、検出装置としての上述した温度センサ101,105、圧力センサ102,104,106,108,109、水位センサ103,107、流量センサ110などの検出結果が入力される。また、監視制御装置201は、加圧水型原子炉12や蒸気発生器13などの状態を変更するためのプラント機器の駆動装置を制御可能となっている。このプラント機器の駆動装置は、例えば、加圧器17(スプレイ弁19、加圧器安全弁21、加圧器逃がし弁23)、制御棒駆動装置29、化学体積制御系34(充填ポンプ40、補給水ポンプ43、ホウ酸ポンプ46)、原子炉非常用冷却装置47(スプレイポンプ50、安全注入ポンプ54、開閉弁55)、主蒸気隔離弁63、バイパス弁69、給水ポンプ73、復水ポンプ74、主給水ポンプ79、主給水制御弁81、主蒸気逃がし弁82、主蒸気安全弁84、開閉弁87、補助給水ポンプ91、電動補助給水ポンプ92などである。
図1は、本実施形態の原子力発電プラントの監視制御装置を表す概略構成図である。
図1に示すように、監視制御装置201は、第1監視制御装置202と第2監視制御装置203とを有している。第1監視制御装置202は、第1操作装置211と、第1表示装置212と、第1制御装置213とを有し、プラント機器の検出装置214とプラント機器の駆動装置215が接続されている。第2監視制御装置203は、第2操作装置221と、第2表示装置222と、第2制御装置223とを有し、検出装置214と駆動装置215が接続されている。検出装置214と駆動装置215は、加圧水型原子炉12に接続されている。なお、第1表示装置212と第2表示装置222は、共用してもよい。
第1制御装置213は、第1操作装置211からの操作信号が操作指令ラインL1により入力されると共に、検出装置214が検出したプラントの運転状態が検出信号ラインL4により入力される。第1制御装置213は、プラントの運転状態をプラント状態検出ラインL2により第1操作装置211に出力し、更に、第1操作装置211が表示ラインL3を通して第1表示装置212に出力する。そして、第1制御装置213は、操作信号とプラントの運転状態に基づいて駆動制御信号を駆動制御信号ラインL5,L6によりプラント機器の駆動装置215に出力する。
なお、この第1制御装置213は、図示しないが、多重化(例えば、2重化)された多数決判定装置と、多重化(例えば、2重化)された現場機器制御装置とを有している。この多数決判定装置は、多数決制御ロジック(例えば、2/4制御ロジック)を実行する制御装置である。具体的に、各多数決判定装置は、検出装置214から予め設定された所定数以上の異常値が検出されると、異常検出信号を現場機器制御装置に出力する。各多数決判定装置は、それぞれ独立して動作する。
第2制御装置223は、第1操作装置221からの操作信号が操作指令ラインL11により入力されると共に、検出装置214が検出したプラントの運転状態が検出信号ラインL14により入力される。第2制御装置223は、プラントの運転状態をプラント状態検出ラインL12により第2操作装置221に出力し、更に、第2操作装置221が表示ラインL13を通して第2表示装置222に出力する。そして、第2制御装置223は、操作信号とプラントの運転状態に基づいて駆動制御信号を駆動制御信号ラインL15,L6によりプラント機器の駆動装置215に出力する。
第2制御装置223は、第1制御装置213に対して電気的に独立して設けられている。そして、監視制御装置201は、第1制御装置213と第2制御装置223との間に切替装置224が設けられている。切替装置224は、第1制御装置213からの駆動制御信号よりも第2制御装置223からの駆動制御信号を優先的にプラント機器の駆動装置215に出力するものである。
即ち、第2制御装置223は、入力される原子力発電プラント10(加圧水型原子炉12)の運転状態に基づいて原子力発電プラント10の異常発生を検出したときに、プラント機器の駆動装置215に対して駆動制御信号を出力するものである。具体的に、切替装置224は、第2制御装置223からの駆動制御信号の入力がないときに、第1制御装置213からの駆動制御信号を駆動制御信号ラインL6によりプラント機器の駆動装置215に出力し、第2制御装置223からの駆動制御信号の入力があるときに、第1制御装置213からの駆動制御信号を遮断し、第2制御装置223からの駆動制御信号をプラント機器の駆動装置215に出力する。切替装置224は、例えば、OR回路である。
第1監視制御装置202は、第1操作装置211と第1表示装置212と第1制御装置213と検出装置214と駆動装置215とがデジタル回線により接続され、デジタル信号による通信が実行される。一方、第2監視制御装置203は、第2操作装置221と第2表示装置222と第2制御装置223と検出装置214と駆動装置215とがアナログ回線により接続され、アナログ信号による通信が実行される。この場合、切替装置224は、デジタル信号とアナログ信号の変換器を有している。また、検出装置214及び駆動装置215と加圧水型原子炉12とは、デジタル回線であるが、アナログ回線としてもよい。
そして、第1監視制御装置202は、第1操作装置211と第1表示装置212と第1制御装置213と検出装置214と駆動装置215とが有線ネットワークまたは無線ネットワークにより接続され、第2監視制御装置203は、第2操作装置221と第2表示装置222と第2制御装置223と検出装置214と駆動装置215とが有線ネットワーク(ハードワイヤード)により接続される。
また、第2制御装置223は、第1制御装置213に対するサイバー攻撃により影響を受けない回路を有している。サイバー攻撃により影響を受けない回路とは、書き換え不能なマイクロプロセッサであって、書き換え不能なマイクロプロセッサとして、例えば、FPGA(field-programmable gate array)、ASIC(application specific integrated circuit)などである。また、サイバー攻撃により影響を受けない回路としては、ソリッドステート回路(ソリッドステートリレー/可動接点部分がない回路/無接点リレー)、回路が焼き付けられた半導体、リレー回路などがある。
第2監視制御装置203(第2制御装置223)は、第1制御装置202(第1制御装置213)よりもプラント機器を駆動する機能が制限されている。例えば、第2監視制御装置203(第2制御装置223)は、原子力発電プラント10(加圧水型原子炉12)の起動操作、運転操作、停止操作を行うことができるが、第2監視制御装置203(第2制御装置223)は、原子力発電プラント10(加圧水型原子炉12)の停止操作だけを行うことができる。そのため、第2監視制御装置203は、制御棒駆動装置29、化学体積制御系34(ホウ酸ポンプ46)、原子炉非常用冷却装置47(スプレイポンプ50、安全注入ポンプ54、開閉弁55)、主蒸気逃がし弁82、主蒸気安全弁84などの操作だけを行うことができる。
本実施形態の監視制御装置201は、第1監視制御装置202から独立し、且つ、多様なバックアップシステムとして第2監視制御装置203を適用することで、サイバーセキュリティ対策設備を構築するものである。第2監視制御装置203は、サイバー攻撃に対して悪影響を受けないものであり、第1監視制御装置202から独立し、且つ、多様な対策設備が設けられている。そして、この対策設備は、サイバー攻撃による悪意の操作で発生しうる外乱に対し、リアルタイムに検知して緩和することができる機能を有している。即ち、原子力発電プラント10に設けられた各プラント機器の駆動状態を監視し、駆動状態が予め設定された閾値よりも上回った(悪化して)場合に、緩和機能を自動的に作動させる。この緩和機能とは、駆動装置214が危険側に作動しないように、つまり、安全側に作動するように制御する機能である。また、第2監視制御装置203は、原子力発電プラント10の運転状態を表示する機能を有し、現在の運転状態に応じて原子力発電プラント10の各プラント機器を手動操作する機能を有する。
これらの必要機能は、制御対象の振る舞いなどの解析/評価結果から選定するもので、IT技術ではなく、原子力発電プラント10の各種プラント機器の制御対象に対する制御保護技術に基づいて機能設計される。加えて、有効と考えられる機能を全て導入した場合、設備規模が増大することから、制御対象の振る舞い解析を実施することで、設備合理化を図る。そして、第2監視制御装置203は、機能要求が削減されている。緩和機能が要求されるまでの時間が十分確保できる場合や、他機能で代替が可能と判断できる場合は、機能要求から除外する。そして、選定された機能に対し、既存設備で代替可能な場合は、既存設備を用いることで、設備対応の合理化を図る。
ここで、本実施形態の原子力発電プラントの監視制御装置201の作用を説明する。図2は、本実施形態の原子力発電プラントの監視制御装置の動作を表すフローチャートである。
図1及び図2に示すように、原子力発電プラント10の正常時、第2制御装置223は、プラント機器の駆動装置215に対して駆動制御信号を出力していないことから、切替装置224は、第2制御装置213からの駆動制御信号を駆動制御信号ラインL6によりプラント機器の駆動装置215に出力し、加圧水型原子炉12を含む原子力発電プラント10の起動操作、運転操作、停止操作を行うと共に、運転状態を監視している。このとき、オペレータは、第1表示装置212に表示された原子力発電プラント10の運転状態を監視しながら、手動により第1操作装置211を操作することもできる。
ステップS11にて、原子力発電プラント10の運転制御に外乱が発生し、ステップS12にて、加圧水型原子炉12の機能が悪化したとき、ステップS13にて、第2制御装置223は、異常が発生したかどうかを判定する。ここで、サイバー攻撃でないと判定(No)したとき、第1制御装置213がプラント機器の駆動装置215を制御することで外乱が取り除かれ、加圧水型原子炉12の機能悪化が改善されるため、何もしないでこのルーチンを抜ける。
一方、サイバー攻撃であると判定(Yes)したときは、第1制御装置213がプラント機器の駆動装置215を制御しても外乱が取り除かれず、加圧水型原子炉12の機能悪化が継続する。このとき、ステップS14にて、第2制御装置223は、緩和機能を作動させる。即ち、第2制御装置223は、原子力発電プラント10の異常を検出することで駆動制御信号を出力する。切替装置224は、第2制御装置223から駆動制御信号の入力を受け、第1制御装置213からの駆動制御信号を遮断し、第2制御装置223からの駆動制御信号をプラント機器の駆動装置215に出力する。このとき、オペレータは、第2表示装置212に表示された原子力発電プラント10の運転状態を監視しながら、手動により第2操作装置221を操作することもできる。
この場合、例えば、炉心26の温度が上昇しているにも拘らず、冷却水量が予め設定された所定量以下であれば、安全注入ポンプ54(図3参照)を作動して冷却水量を増加させる処理を実行する。また、炉心26の温度が上昇し、冷却水量を増加させているにも拘らず、炉心26の温度が低下しないときは、制御棒駆動装置29を作動して制御棒を炉心に挿入する処理を実行する。また、常用電源が喪失した場合には、非常用電源を使用する。このような処理は、全て安全側に向かうような処理を実行する。
そして、ステップS15にて、第2制御装置223は、原子力発電プラント10の異常が収束したかどうかを判定する。ここで、異常が収束していないと判定(No)したときは、ステップS14の処理を継続する。一方、異常が収束したと判定(YES)したときは、ステップS16にて、原子力発電プラント10が安定化したことを確認し、高温停止を維持するか、または、低温停止に移行する操作を実行する。
このように本実施形態のプラントの監視制御装置にあっては、原子力発電プラント10の運転状態が入力されると共にプラント機器に対して駆動制御信号を出力する第1制御装置213と、第1制御装置213に対して電気的に独立して設けられて原子力発電プラント10の運転状態が入力されると共にプラント機器に対して駆動制御信号を出力する第2制御装置223と、第1制御装置213からの駆動制御信号よりも第2制御装置223からの駆動制御信号を優先的にプラント機器に出力する切替装置224とを備えている。
従って、第2制御装置223が第1制御装置213に対して電気的に独立して設けられており、切替装置224により第2制御装置223からの駆動制御信号が第1制御装置213からの駆動制御信号よりも優先的にプラント機器の駆動装置215に出力されることから、例えば、サイバー攻撃により第1制御装置213によるプラント制御の健全性が損なわれても、第1制御装置213に代わって第2制御装置223が優先的にプラント機器の駆動装置215を制御することとなり、原子力発電プラント10の安全性を維持することができる。
即ち、従来のサイバー攻撃に対する対策は、IT技術をベースとした制御システムであって、プラントにおける異常の発生を防止するものであるが、本実施形態は、制御対象となるプラントの制御保護設計技術をベースとし、プラントの異常を検知し、プラント機器への悪影響をリアルタイムに緩和するものである。つまり、本実施形態の対策設備は、システムの基本となる第1監視制御装置202とは独立し、且つ、多様な第2監視制御装置203を構築し、プラントの異常を制御保護の観点から直接緩和するものであり、サイバー攻撃への耐性が高い。
本実施形態のプラントの監視制御装置では、第2制御装置223は、入力される原子力発電プラント10の運転状態に基づいて原子力発電プラント10の異常発生を検出したときに、プラント機器の駆動装置215に対して駆動制御信号を出力する。従って、原子力発電プラント10の正常時は、第1制御装置213が原子力発電プラント10の運転状態に基づいた駆動制御信号をプラント機器の駆動装置215に出力し、原子力発電プラント10の異常発生は、第2制御装置223が原子力発電プラント10の運転状態に基づいた駆動制御信号をプラント機器の駆動装置215に出力することで、第1制御装置213がサイバー攻撃により乗っ取られても、第2制御装置223がプラント機器の駆動装置215を安全に制御することができる。
本実施形態のプラントの監視制御装置では、切替装置224は、第2制御装置223からの駆動制御信号の入力がないときに第1制御装置213からの駆動制御信号をプラント機器の駆動装置215に出力し、第2制御装置223からの駆動制御信号の入力があるときに第2制御装置223からの駆動制御信号をプラント機器の駆動装置215に出力する。従って、原子力発電プラント10の正常時は、切替装置224に第2制御装置223からの駆動制御信号の入力がないことから、第1制御装置213が原子力発電プラント10の運転状態に基づいてプラント機器の駆動装置215を制御し、第1制御装置213がサイバー攻撃により原子力発電プラント10を不安定にさせる駆動制御信号を出力したとき、第2制御装置223が原子力発電プラント10を安定させる駆動制御信号を出力し、切替装置224は、第2制御装置223の駆動制御信号をプラント機器の駆動装置215に出力することで、第2制御装置223がプラント機器の駆動装置215を安全に制御することができる。
本実施形態のプラントの監視制御装置では、切替装置224は、第2制御装置223からの駆動制御信号の入力があるときに、第1制御装置213からの駆動制御信号を遮断して第2制御装置223からの駆動制御信号をプラント機器の駆動装置215に出力するOR回路である。従って、第1制御装置213がサイバー攻撃により原子力発電プラント10を不安定にさせる駆動制御信号を出力したとき、第2制御装置223が原子力発電プラント10を安定させる駆動制御信号を出力し、切替装置224としてのOR回路は、第1制御装置213からの駆動制御信号を遮断し、第2制御装置223からの駆動制御信号をプラント機器の駆動装置215に出力するため、第2制御装置223の駆動制御信号によりプラント機器の駆動装置215を安全に制御することができる。
本実施形態のプラントの監視制御装置では、第1制御装置213は、駆動制御信号としてのデジタル信号を出力し、第2制御装置223は、駆動制御信号としてのアナログ信号を出力する。従って、第2制御装置223は、第1制御装置213が取り扱うデジタル信号と異なる形式のアナログ信号を用いることで、サイバー攻撃により第1制御装置213にコンピュータウイルスが侵入しても、第2制御装置223まで感染することが抑制され、第2制御装置223によりプラント機器の駆動装置215を安全に制御することができる。
本実施形態のプラントの監視制御装置では、第2制御装置223は、書き換え不能なマイクロプロセッサを有している。従って、サイバー攻撃により第1制御装置213にコンピュータウイルスが侵入しても、コンピュータウイルスにより第2制御装置223のマイクロプロセッサが書き換えられることがなく、第2制御装置223によりプラント機器の駆動装置215を安全に制御することができる。
本実施形態のプラントの監視制御装置では、第2制御装置223は、原子力発電プラント10の運転状態を検出する検出装置214とプラント機器の駆動装置215とがハードワイヤードにより接続されている。従って、第2制御装置223が無線回線や有線回線などを用いたネットワークからのサイバー攻撃を受けることがなく、第2制御装置223によりプラント機器の駆動装置215を安全に制御することができる。
本実施形態のプラントの監視制御装置では、第2制御装置223は、第1制御装置213よりもプラント機器を駆動する駆動装置215の機能が制限されている。従って、第2制御装置223の機能は、第1制御装置213の機能よりも縮小されることで、第2制御装置223の設置による製造コストの増加を抑制することができる。
本実施形態のプラントの監視制御装置では、第1制御装置213は、原子力発電プラント10の起動操作、運転操作、停止操作を行うものであり、第2制御装置223は、原子力発電プラント10の停止操作だけを行うものである。従って、第1制御装置213が原子力発電プラント10の起動操作、運転操作、停止操作を行うことから、原子力発電プラント10の正常時にプラント機器の駆動装置215を正常に運転することができ、第2制御装置223が原子力発電プラント10の停止操作だけを行うことから、第1制御装置213による原子力発電プラント10の制御が異常であるとき、第2制御装置223が原子力発電プラント10を安全に停止させることができる。
本実施形態のプラントの監視制御装置では、第2制御装置223は、原子力発電プラント10の運転状態を表示する第2表示装置222と、第2制御装置223に操作信号を入力する第2操作装置221を接続している。従って、原子力発電プラント10の異常発生時に、第2表示装置222に原子力発電プラント10の運転状態が表示されることから、オペレータは、第2表示装置222を見ながら第2操作装置221を用いて第2制御装置223に操作信号を出力することができ、プラント10を安全に運転することができる。
なお、上述した実施形態では、本発明のプラントの監視制御装置を原子力発電プラント10に適用して説明したが、例えば、火力や水力などの発電プラント、化学プラント、その他の機械、電気、水道などのプラントに適用してもよい。
10 原子力発電プラント
11 原子炉格納容器
12 加圧水型原子炉
13 蒸気発生器
14 高温側送給配管
15 低温側送給配管
17 加圧器
23 加圧器逃がし弁
26 炉心
27 燃料集合体
28 制御棒
29 制御棒駆動装置
31 伝熱管群
34 化学体積制御系
47 原子炉非常用冷却装置
61a,61b 配管
62 蒸気タービン
66 発電機
68 復水器
101,105 温度センサ
102,104,106,108,109 圧力センサ
103,107 水位センサ
110 流量センサ
200 中央制御室
201 監視制御装置
202 第1監視制御装置
203 第2監視制御装置
211 第1操作装置
212 第1表示装置
213 第1制御装置
214 検出装置
215 駆動装置
221 第2操作装置
222 第2表示装置
223 第2制御装置
224 切替装置(OR回路)

Claims (10)

  1. プラントの運転状態が入力されると共にプラント機器に対して駆動制御信号を出力する第1制御装置と、
    前記第1制御装置に対して電気的に独立して設けられて前記プラントの運転状態が入力されると共に前記プラント機器に対して駆動制御信号を出力する第2制御装置と、
    前記第1制御装置からの駆動制御信号よりも前記第2制御装置からの駆動制御信号を優先的に前記プラント機器に出力する切替装置と、
    を備え、
    前記第2制御装置は、サイバー攻撃による前記プラントの異常が発生したと判定すると、前記第1制御装置からの駆動制御信号による制御で前記プラントの機能悪化が継続したときに駆動制御信号を出力し、前記切替装置は、前記第1制御装置からの駆動制御信号を遮断して前記第2制御装置からの駆動制御信号を前記プラント機器に出力する一方、前記第2制御装置がサイバー攻撃ではない前記プラントの異常が発生したと判定すると、前記切替装置は、前記第1制御装置からの駆動制御信号を前記プラント機器に出力する、
    ことを特徴とするプラントの監視制御装置。
  2. 現在の前記プラントの運転状態に応じて前記プラント機器を手動操作する機能を有する操作装置が設けられることを特徴とする請求項1に記載のプラントの監視制御装置。
  3. 前記第1制御装置は、プラントの運転状態が入力されると共にプラント機器に対して駆動制御信号を出力すると共に予め設定された所定数以上の異常値が検出されると異常検出信号を出力することを特徴とする請求項1または請求項2に記載のプラントの監視制御装置。
  4. 前記切替装置は、前記第2制御装置からの駆動制御信号の入力がないときに前記第1制御装置からの駆動制御信号を前記プラント機器に出力し、前記第2制御装置からの駆動制御信号の入力があるときに前記第2制御装置からの駆動制御信号を前記プラント機器に出力することを特徴とする請求項1から請求項3のいずれか一項に記載のプラントの監視制御装置。
  5. 前記第1制御装置は、駆動制御信号としてのデジタル信号を出力し、前記第2制御装置は、駆動制御信号としてのアナログ信号を出力することを特徴とする請求項1から請求項4のいずれか一項に記載のプラントの監視制御装置。
  6. 前記第2制御装置は、書き換え不能なマイクロプロセッサを有することを特徴とする請求項1から請求項5のいずれか一項に記載のプラントの監視制御装置。
  7. 前記第2制御装置は、前記プラントの運転状態を検出する検出装置と前記プラント機器とがハードワイヤードにより接続されることを特徴とする請求項1から請求項6のいずれか一項に記載のプラントの監視制御装置。
  8. 前記第2制御装置は、前記第1制御装置よりも前記プラント機器を駆動する機能が制限されることを特徴とする請求項1から請求項7のいずれか一項に記載のプラントの監視制御装置。
  9. 前記第1制御装置は、前記プラントの起動操作、運転操作、停止操作を行うものであり、前記第2制御装置は、前記プラントの停止操作だけを行うものであることを特徴とする請求項8に記載のプラントの監視制御装置。
  10. 前記第2制御装置は、プラントの運転状態を表示する表示装置と、前記第2制御装置に操作信号を入力する操作装置が接続されることを特徴とする請求項1から請求項9のいずれか一項に記載のプラントの監視制御装置。
JP2017090413A 2017-04-28 2017-04-28 プラントの監視制御装置 Active JP6847755B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2017090413A JP6847755B2 (ja) 2017-04-28 2017-04-28 プラントの監視制御装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017090413A JP6847755B2 (ja) 2017-04-28 2017-04-28 プラントの監視制御装置

Publications (2)

Publication Number Publication Date
JP2018190081A JP2018190081A (ja) 2018-11-29
JP6847755B2 true JP6847755B2 (ja) 2021-03-24

Family

ID=64480221

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017090413A Active JP6847755B2 (ja) 2017-04-28 2017-04-28 プラントの監視制御装置

Country Status (1)

Country Link
JP (1) JP6847755B2 (ja)

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3352194B2 (ja) * 1993-12-16 2002-12-03 株式会社東芝 原子力プラント安全施設制御装置
JP5660833B2 (ja) * 2010-09-30 2015-01-28 三菱重工業株式会社 原子力プラントの運転監視装置
JP5675256B2 (ja) * 2010-10-12 2015-02-25 三菱重工業株式会社 原子力施設の制御システム
JP5798736B2 (ja) * 2010-11-05 2015-10-21 三菱重工業株式会社 原子力プラントの運転監視装置
JP2014206470A (ja) * 2013-04-12 2014-10-30 株式会社東芝 原子力発電所の操作システム及びその操作方法
KR102251600B1 (ko) * 2013-12-20 2021-05-12 웨스팅하우스 일렉트릭 컴퍼니 엘엘씨 산업 제어 시스템을 보안화하기 위한 시스템 및 방법
KR101553891B1 (ko) * 2014-04-29 2015-09-17 한국원자력연구원 원자력발전소 내의 디지털 안전계통의 사이버보안 모니터링 방법 및 그의 시스템
JP6444098B2 (ja) * 2014-08-26 2018-12-26 三菱重工業株式会社 原子力発電プラントの監視制御装置
US10592668B2 (en) * 2014-11-26 2020-03-17 Howard University Computer system security with redundant diverse secondary control system with incompatible primary control system

Also Published As

Publication number Publication date
JP2018190081A (ja) 2018-11-29

Similar Documents

Publication Publication Date Title
EP2839480B1 (en) Defense in depth safety paradigm for nuclear reactor
EP3667678B1 (en) Depressurisation valve
JP7234150B2 (ja) 非常用復水器システム、原子炉システム、および非常用復水器システムの作動方法
WO2016063664A1 (ja) 原子力発電プラント及び運転方法
KR20170037971A (ko) 통합식 격리 밸브 시스템 및 냉각재 상실 사고(loca)보호를 위한 통합식 격리 밸브 시스템의 작동 방법
JP6139074B2 (ja) 原子炉の監視装置及び原子炉の制御装置
JP6445568B2 (ja) 原子炉トリップ装置と原子炉シャットダウンシステム
JP5675256B2 (ja) 原子力施設の制御システム
CN106683727B (zh) 一种事故处理中的故障监测方法
JP5675208B2 (ja) 原子力施設の制御システム
US11355255B2 (en) System and method for reducing atmospheric release of radioactive materials caused by severe accident
CN111681794B (zh) 一种压水堆核电厂全范围sgtr事故处理方法及系统
JP6847755B2 (ja) プラントの監視制御装置
JP5687440B2 (ja) 原子炉格納容器除熱装置及び除熱方法
JP6444098B2 (ja) 原子力発電プラントの監視制御装置
JP7026019B2 (ja) 原子炉停止装置、原子力プラント及び原子炉停止方法
EP0318323A2 (en) Variable delay reactor protection system
KR20170098222A (ko) 가압수형 핵 원자로의 정지를 관리하기 위한 방법
KR100363574B1 (ko) 원자력 발전소의 피동이차응축 계통의 작동제어방법
JP6505889B1 (ja) 原子炉の異常緩和設備及び制御棒の固着判定方法
KR102295087B1 (ko) 중대사고 발생시 방사성 물질의 대기방출 저감을 위한 시스템
JP6774737B2 (ja) 原子炉の安全システム
CN114038597B (zh) 核电机组保护和安全监测系统、停堆触发系统及方法
JP2008157944A (ja) 沸騰水型原子炉を動作するための保護システムおよびその方法
Lee et al. Analysis of multiple spurious operation scenarios for decay heat removal function of CANDU reactors

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20191023

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20200826

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20200901

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20201023

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20201224

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20210202

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210303

R150 Certificate of patent or registration of utility model

Ref document number: 6847755

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150