JP7391244B2 - 制御切替装置 - Google Patents
制御切替装置 Download PDFInfo
- Publication number
- JP7391244B2 JP7391244B2 JP2022565000A JP2022565000A JP7391244B2 JP 7391244 B2 JP7391244 B2 JP 7391244B2 JP 2022565000 A JP2022565000 A JP 2022565000A JP 2022565000 A JP2022565000 A JP 2022565000A JP 7391244 B2 JP7391244 B2 JP 7391244B2
- Authority
- JP
- Japan
- Prior art keywords
- button
- input
- output
- control device
- location
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000012544 monitoring process Methods 0.000 description 53
- 230000006870 function Effects 0.000 description 26
- 238000010586 diagram Methods 0.000 description 21
- 230000007257 malfunction Effects 0.000 description 16
- 238000004891 communication Methods 0.000 description 6
- 238000000034 method Methods 0.000 description 5
- 102220558444 Proteinase-activated receptor 2_N30A_mutation Human genes 0.000 description 3
- 230000001276 controlling effect Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000002265 prevention Effects 0.000 description 2
- 230000005856 abnormality Effects 0.000 description 1
- 230000003213 activating effect Effects 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 239000000446 fuel Substances 0.000 description 1
- 230000005802 health problem Effects 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 239000012857 radioactive material Substances 0.000 description 1
- 230000001105 regulatory effect Effects 0.000 description 1
- 238000005728 strengthening Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G21—NUCLEAR PHYSICS; NUCLEAR ENGINEERING
- G21D—NUCLEAR POWER PLANT
- G21D3/00—Control of nuclear power plant
- G21D3/04—Safety arrangements
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02E—REDUCTION OF GREENHOUSE GAS [GHG] EMISSIONS, RELATED TO ENERGY GENERATION, TRANSMISSION OR DISTRIBUTION
- Y02E30/00—Energy generation of nuclear origin
Landscapes
- Physics & Mathematics (AREA)
- Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Emergency Management (AREA)
- Plasma & Fusion (AREA)
- General Engineering & Computer Science (AREA)
- High Energy & Nuclear Physics (AREA)
- Safety Devices In Control Systems (AREA)
Description
本願は、制御切替装置に関するものである。
従来の原子力発電所における中央制御室から遠隔停止設備(原子炉制御室外の原子炉停止装置)への制御切替装置(以下、単に制御切替装置という)は、中央制御室が火災等によって即座に利用できなくなる事態を想定し、中央制御室と防火区画が異なる場所に設置されている。一つしかない制御切替装置の設置場所が中央制御室以外の場合、人による誤操作、或いは制御切替装置の操作ボタンの短絡等による誤信号によって、不必要な中央制御室から遠隔停止設備への制御の切替が発生する可能性がある。その対策として、制御切替装置を2か所に設ける対策が提案されている(例えば、特許文献1参照)。
制御切替装置を2か所に設ける上述の対策案を含めて、従来の制御切替装置は、切替操作の1つのボタンを操作することによって制御を切替えるようになっており、多重性が確保されていない。そのため、単一の要因による故障によって、制御切替装置が誤動作する、又は動作しない可能性があるという課題があった。
本願は、上記のような課題を解決するための技術を開示するものであり、不用意な(悪意のある)第一場所から第二場所への監視制御機能の切替を防止できる制御切替装置を提供することを目的とする。
本願に開示される制御切替装置は、
2重化された制御装置への入出力を、それぞれ第一場所に配置された入出力装置から、第二場所に配置された入出力装置に切り替える制御切替装置であって、
前記制御装置としての第一制御装置に接続されたA1ボタンとA2ボタンと、前記制御装置としての第二制御装置に接続されたB1ボタンとB2ボタンとを有し、前記第一場所に備えられた第一操作盤と、
前記第一制御装置に接続されたa1ボタンとa2ボタンと、前記第二制御装置に接続されたb1ボタンとb2ボタンとを有し、前記第二場所に備えられた第二操作盤と、
前記第一制御装置と前記第二制御装置との間で、各前記ボタンの操作信号を授受するネットワークとを備え、
前記第一制御装置は、前記第一操作盤からの前記A1ボタン、前記A2ボタン、前記B1ボタン、前記B2ボタンの各操作信号から前記第一場所に配置された入出力装置との間の入出力を停止するか否かを判断すると共に、前記第二操作盤からの前記a1ボタン、前記a2ボタン、前記b1ボタン、前記b2ボタンの各操作信号から前記第二場所に配置された入出力装置との間の入出力を開始するか否かを判断する第一判定器を備え、
前記第二制御装置は、前記第一操作盤からの前記A1ボタン、前記A2ボタン、前記B1ボタン、前記B2ボタンの各操作信号から前記第一場所に配置された入出力装置との間の入出力を停止するか否かを判断すると共に、前記第二操作盤からの前記a1ボタン、前記a2ボタン、前記b1ボタン、前記b2ボタンの各操作信号から前記第二場所に配置された入出力装置との間の入出力を開始するか否かを判断する第二判定器を備えるものである。
2重化された制御装置への入出力を、それぞれ第一場所に配置された入出力装置から、第二場所に配置された入出力装置に切り替える制御切替装置であって、
前記制御装置としての第一制御装置に接続されたA1ボタンとA2ボタンと、前記制御装置としての第二制御装置に接続されたB1ボタンとB2ボタンとを有し、前記第一場所に備えられた第一操作盤と、
前記第一制御装置に接続されたa1ボタンとa2ボタンと、前記第二制御装置に接続されたb1ボタンとb2ボタンとを有し、前記第二場所に備えられた第二操作盤と、
前記第一制御装置と前記第二制御装置との間で、各前記ボタンの操作信号を授受するネットワークとを備え、
前記第一制御装置は、前記第一操作盤からの前記A1ボタン、前記A2ボタン、前記B1ボタン、前記B2ボタンの各操作信号から前記第一場所に配置された入出力装置との間の入出力を停止するか否かを判断すると共に、前記第二操作盤からの前記a1ボタン、前記a2ボタン、前記b1ボタン、前記b2ボタンの各操作信号から前記第二場所に配置された入出力装置との間の入出力を開始するか否かを判断する第一判定器を備え、
前記第二制御装置は、前記第一操作盤からの前記A1ボタン、前記A2ボタン、前記B1ボタン、前記B2ボタンの各操作信号から前記第一場所に配置された入出力装置との間の入出力を停止するか否かを判断すると共に、前記第二操作盤からの前記a1ボタン、前記a2ボタン、前記b1ボタン、前記b2ボタンの各操作信号から前記第二場所に配置された入出力装置との間の入出力を開始するか否かを判断する第二判定器を備えるものである。
本願に開示される制御切替装置によれば、
不用意な(悪意のある)第一場所から第二場所への監視制御機能の切替を防止できる。
不用意な(悪意のある)第一場所から第二場所への監視制御機能の切替を防止できる。
実施の形態1.
以下、実施の形態1による制御切替装置(以下、単に制御切替装置という)を図を用いて説明する。本実施の形態では、非常時において、原子炉等のプラントの制御を、中央制御室(第一場所)からその外部に配置された原子炉停止設備(第二場所)へ切り替える例を用いて説明する。
以下、実施の形態1による制御切替装置(以下、単に制御切替装置という)を図を用いて説明する。本実施の形態では、非常時において、原子炉等のプラントの制御を、中央制御室(第一場所)からその外部に配置された原子炉停止設備(第二場所)へ切り替える例を用いて説明する。
図1は、冗長化された設備の制御切替装置を組み込んだ、原子力発電プラント100用の制御装置の構成を示す概念図である。説明の都合上、遠隔停止設備20の配線は省略している。
図2は、冗長化された設備の制御切替装置を組み込んだ、原子力発電プラント100用の制御装置の構成を示す概念図である。説明の都合上、中央制御室10の配線は省略している。したがって、実際には、図1と図2を合わせた配線が存在する。
図3は、操作盤11(第一操作盤)の各ボタンの接続状態を示す回路図である。
図4は、操作盤21(第二操作盤)の各ボタンの接続状態を示す回路図である。
図1、図2に示すように、原子力発電プラント100は、中央制御室10(MCR: Main Control Room)と、遠隔停止設備20と、安全系制御盤室30Aと、安全系制御盤室30Bと、常用系制御盤室40とを備える。中央制御室10は、通常時において原子炉および周辺プラントの運転を制御するために使用する制御室である。遠隔停止設備20は、非常時において、原子炉の緊急停止を行う装置類を制御する機能を中央制御室10から切り替えてこれらを制御するために使用する設備である。安全系制御盤室30Aおよび安全系制御盤室30Bは、原子力発電プラント100の健全性に関する監視制御を行う装置が設置されている。
図2は、冗長化された設備の制御切替装置を組み込んだ、原子力発電プラント100用の制御装置の構成を示す概念図である。説明の都合上、中央制御室10の配線は省略している。したがって、実際には、図1と図2を合わせた配線が存在する。
図3は、操作盤11(第一操作盤)の各ボタンの接続状態を示す回路図である。
図4は、操作盤21(第二操作盤)の各ボタンの接続状態を示す回路図である。
図1、図2に示すように、原子力発電プラント100は、中央制御室10(MCR: Main Control Room)と、遠隔停止設備20と、安全系制御盤室30Aと、安全系制御盤室30Bと、常用系制御盤室40とを備える。中央制御室10は、通常時において原子炉および周辺プラントの運転を制御するために使用する制御室である。遠隔停止設備20は、非常時において、原子炉の緊急停止を行う装置類を制御する機能を中央制御室10から切り替えてこれらを制御するために使用する設備である。安全系制御盤室30Aおよび安全系制御盤室30Bは、原子力発電プラント100の健全性に関する監視制御を行う装置が設置されている。
安全系制御盤室30Aには、原子力発電プラント100の安全系に関する制御を行う安全系制御装置31A(第一制御装置)と、安全系制御装置31Aに対して監視および操作を行う安全系監視操作装置32Aとを備える。また、安全系制御装置31Aは、詳細を後述する判定器J1(第一判定器)を備える。同様に、安全系制御盤室30Bには、原子力発電プラント100の安全系に関する制御を行う安全系制御装置31Bと、安全系制御装置31B(第二制御装置)に対して監視および操作を行う安全系監視操作装置32Bとを備える。また、安全系制御装置31Bは、詳細を後述する判定器J2(第二判定器)を備える。安全系制御装置31Aと安全系制御装置31Bとは、冗長化、すなわち2重化されており、一方の装置に異常が発生した場合であっても、原子力発電プラント100の健全性が確保できる。
常用系制御盤室40には、原子力発電プラント100の安全系以外の通常の制御を行う常用系制御装置41と、常用系制御装置41に対して監視および操作を行う常用系監視操作装置42とを備える。
中央制御室10には、タッチパネル10T、タッチパネル10TAおよびタッチパネル10TB(入出力装置)が設置されている。タッチパネル10Tは、常用系制御盤室40に設置された常用系監視操作装置42に接続され、タッチパネル10TAは、安全系制御盤室30Aに設置された安全系監視操作装置32Aに接続され、タッチパネル10TBは、安全系制御盤室30Bに設置された安全系監視操作装置32Bに接続されている。さらに中央制御室10には、中央制御室10から遠隔停止設備20へ、安全系監視操作装置32Aと、安全系監視操作装置32Bと、常用系監視操作装置42との接続を切り替えるための操作盤11が設置されている。
遠隔停止設備20には、中央制御室10と同様に、タッチパネル20T、タッチパネル20TAおよびタッチパネル20TB(入出力装置)が設置されている。さらに遠隔停止設備20には、中央制御室10から遠隔停止設備20へ安全系監視操作装置32Aと、安全系監視操作装置32Bと、常用系監視操作装置42との接続を切り替えるための操作盤21が設置されている。
上記接続が切り替えられると、タッチパネル20Tは、常用系制御盤室40に設置された常用系監視操作装置42に接続され、タッチパネル20TAは、安全系制御盤室30Aに設置された安全系監視操作装置32Aに接続され、タッチパネル20TBは、安全系制御盤室30Bに設置された安全系監視操作装置32Bに接続されることになる。
次に、図1、図2における各装置間の通信ネットワークについて述べる。常用系制御装置41、安全系制御装置31Aおよび安全系制御装置31Bはデータ通信を行うためネットワークN1によって接続されている。安全系制御装置31Aと安全系制御装置31Bとは、安全系トレイン(安全系に関する装置群)間で専用データ通信を実施するためのネットワークN2によって接続されている。ネットワークN2は、片方向通信のため、2つの通信ケーブル(安全系制御装置31Aから安全系制御装置31Bへ、および安全系制御装置31Bから安全系制御装置31Aへ)によって構成されている。同じトレイン内の安全系制御装置と安全系監視操作装置、すなわち安全系制御装置31Aと安全系監視操作装置32Aとは、ネットワークN30Aによって接続され、安全系制御装置31Bと安全系監視操作装置32Bとは、ネットワークN30Bによって接続されている。
次に、操作盤11と操作盤21の構成について説明する。
原子力発電プラント100の安全系制御装置は、規制要求である単一故障基準を満足するために、物理的、電気的、機能的に分離された独立した2系統以上の設備で構成されている(ここでは2系統を想定し、それぞれの系統をAトレイン、Bトレインという)。
原子力発電プラント100の安全系制御装置は、規制要求である単一故障基準を満足するために、物理的、電気的、機能的に分離された独立した2系統以上の設備で構成されている(ここでは2系統を想定し、それぞれの系統をAトレイン、Bトレインという)。
これらの2系統の各設備は、同一の機能を有しており、センサ等の計測設備、ポンプ等の補機等も全て2重化され、それぞれの系統の安全系制御装置31A、32Bと接続されている。
操作盤11および操作盤21も同様に、物理的、電気的、機能的に分離された独立した2系統の装置である。さらに操作盤11は、Aトレインの接続を切り替えるボタンを2個備え、Bトレインの接続を切り替えるボタンも2個備える。同様に、操作盤21は、Aトレインの接続を切り替えるボタンを2個備え、Bトレインの接続を切り替えるボタンも2個備える。
具体的には、操作盤11は、Aトレイン用のA1ボタンおよびA2ボタンと、Bトレイン用のB1ボタンおよびB2ボタンとを備え、操作盤21は、Aトレイン用のa1ボタンおよびa2ボタンと、Bトレイン用のb1ボタンおよびb2ボタンとを備える。
操作盤11のA1ボタンとA2ボタンをそれぞれ操作すると、安全系制御装置31Aのデジタル入力カードに操作信号が入力され、操作盤11のB1ボタンとB2ボタンをそれぞれ操作すると、安全系制御装置31Bのデジタル入力カードに操作信号が入力される。
同様に操作盤21のa1ボタンとa2ボタンをそれぞれ操作すると、安全系制御装置31Aのデジタル入力カードに操作信号が入力され、操作盤11のb1ボタンとb2ボタンをそれぞれ操作すると、安全系制御装置31Bのデジタル入力カードに操作信号が入力される。
次に、操作盤11および操作盤21を用いた制御の切替動作について説明する。
初めに、中央制御室10を利用中に中央制御室10から遠隔停止設備20に監視制御機能を切り替える手順、すなわち、タッチパネル10T、タッチパネル10TA、タッチパネル10TBへの入出力を停止し、タッチパネル20T、タッチパネル20TA、タッチパネル20TBへの入出力を開始する方法を説明する。
初めに、中央制御室10を利用中に中央制御室10から遠隔停止設備20に監視制御機能を切り替える手順、すなわち、タッチパネル10T、タッチパネル10TA、タッチパネル10TBへの入出力を停止し、タッチパネル20T、タッチパネル20TA、タッチパネル20TBへの入出力を開始する方法を説明する。
中央制御室10から遠隔停止設備20に監視制御機能を切り替えるには、まず、中央制御室10の操作盤11のA1、A2、B1、B2ボタンを押下する。上記のとおり操作盤11のA1ボタンとA2ボタンの操作信号は、安全系制御装置31Aの判定器J1に、B1ボタンとB2ボタンの操作信号は、安全系制御装置31Bの判定器J2に入力される。安全系制御装置31Aは、入力された2つの操作信号を、安全系制御装置31BにネットワークN2経由で送信する。同様に、安全系制御装置31Bは、入力された2つの操作信号を、安全系制御装置31AにネットワークN2経由で送信する。よって、4つのボタンが全て正常に動作していれば、安全系制御装置31Aの判定器J1および安全系制御装置31Bの判定器J2にはそれぞれ操作盤11の4つボタンが押下された事を示す4つの操作信号が入力されることになる。反対に、いずれかのボタンが故障していれば、当該ボタンからの操作信号は届かない。また、いずれかのボタンが誤動作していれば、誤動作したボタンの操作信号だけ入力されることになる。
次に、安全系制御装置31Aの判定器J1は、最初の操作信号を受信してから所定の時間内に届いた操作信号について4分の2の投票演算(2 out of 4演算、以下2oo演算という)を実施し、2つ以上の操作信号が入力される条件が成立すれば、操作員がスイッチ操作を行ったと判断する。
そして、安全系制御装置31Aは、監視制御を停止させる停止信号を常用系制御装置41、常用系監視操作装置42、安全系制御装置31A(自装置)、安全系監視操作装置32Aに送信する。安全系制御装置31Bは、安全系制御装置31Aとは機能的に独立しているため、安全系制御装置31Bには停止信号を送信しない。
安全系制御装置31Bの判定器J2も同様に、最初の操作信号を受信してから所定の時間内に届いた操作信号について4分の2の投票演算(2oo4演算)を実施し、2つ以上の操作信号が入力される条件が成立すれば、操作員がスイッチ操作を行ったと判断する。
そして、安全系制御装置31Bは、監視制御を停止させる停止信号を常用系制御装置41、常用系監視操作装置42、安全系制御装置31B(自装置)、安全系監視操作装置32Bに送信する。安全系制御装置31Aは、安全系制御装置31Bとは機能的に独立しているため、安全系制御装置31Aには停止信号を送信しない。
条件が成立すると、常用系監視操作装置42は、タッチパネル10Tの監視操作機能を停止し、中央制御室10からの監視操作機能が不可となるが、遠隔停止設備20のタッチパネル20Tへの切替は、この段階では実施しない。
同様に、条件が成立すると、安全系監視操作装置32Aおよび安全系監視操作装置32Bもタッチパネル10TA、タッチパネル10TBの監視操作機能を停止するが遠隔停止設備20のタッチパネル20TA、タッチパネル20TBヘの切替は、この段階では実施しない。
また、条件が成立する場合に限り遠隔停止設備20に設置されている操作盤21が操作可能となる。なお、常用系制御装置41、安全系制御装置31A、安全系制御装置31Bは、他の操作入力がある場合はその操作入力を無効化する。
操作員は、遠隔停止設備20へ移動後、操作盤21のa1、a2、b1、b2ボタンを押下する。操作盤11の場合と同様に、操作盤21のa1ボタンとa2ボタンのボタン操作は、安全系制御装置31Aの判定器J1に、b1ボタンとb2ボタンのボタン操作は、安全系制御装置31Bの判定器J2に入力される。安全系制御装置31Aは、入力された2つの操作信号を、安全系制御装置31BにネットワークN2経由で送信する。同様に、安全系制御装置31Bは、入力された2つの操作信号を、安全系制御装置31AにネットワークN2経由で送信する。よって、4つのボタンが全て正常に動作していれば、安全系制御装置31Aの判定器J1および安全系制御装置31Bの判定器J2にはそれぞれ操作盤11の4つボタンが押下された事を示す4つの操作信号が入力されることになる。反対に、いずれかのボタンが故障していれば、当該ボタンからの操作信号は届かない。また、いずれかのボタンが誤動作していれば、誤動作したボタンの操作信号だけ入力されることになる。
次に、安全系制御装置31Aの判定器J1は、最初の操作信号を受信してから所定の時間内に届いた操作信号について4分の2の投票演算(2oo4演算)を実施し、2つ以上の操作信号が入力される条件が成立すれば、操作員がスイッチ操作を行ったと判断する。
そして、安全系制御装置31Aは、監視制御を開始させる開始信号を常用系制御装置41、常用系監視操作装置42、安全系制御装置31A(自装置)、安全系監視操作装置32Aに送信する。安全系制御装置31Bは、安全系制御装置31Aとは機能的に独立しているため、安全系制御装置31Bには開始信号を送信しない。
安全系制御装置31Bの判定器J2も同様に、最初の操作信号を受信してから所定の時間内に届いた操作信号について4分の2の投票演算(2oo4演算)を実施し、2つ以上の操作信号が入力される条件が成立すれば、操作員がスイッチ操作を行ったと判断する。
そして、安全系制御装置31Bは、監視制御を開始させる開始信号を常用系制御装置41、常用系監視操作装置42、安全系制御装置31B(自装置)、安全系監視操作装置32Bに送信する。安全系制御装置31Aは、安全系制御装置31Bとは機能的に独立しているため、安全系制御装置31Aには開始信号を送信しない。
常用系監視操作装置42は、安全系制御装置31Aまたは安全系制御装置31Bの一方から開始信号を受信すると、タッチパネル10Tの監視操作機能を開始する。
同様に、条件が成立した安全系監視操作装置32A、安全系監視操作装置32Bもタッチパネル10TA、タッチパネル10TBの監視操作機能を開始する。
次に、2oo4演算による誤動作防止と、故障による機能喪失防止の方法について説明する。もし、AトレインとBトレイン用に、それぞれ1つのボタンしか有しない制御盤を用いるとすると、単一の故障によって1つのトレインの切替機能喪失が発生する。この場合に、ネットワークN2を適用し、2つの操作信号でAND演算を実施する場合は、上記と同様に機能喪失となる。
2つの操作信号に対してOR演算を実施した場合には、1つのトレインに故障(不動作)が発生した場合には問題ないが、故障(誤動作)が発生した場合、AトレインおよびBトレインが不必要に切り替わってしまう。一方、実施の形態1で説明したとおり、AトレインおよびBトレインにそれぞれ2つのボタンを設置し、安全系制御装置31A、31B間のネットワークN2を利用した2oo4演算を実施した場合、A1ボタン、A2ボタン、B1ボタン、B2ボタンのいずれかで単一の故障(誤動作)が発生した場合は、AトレインおよびBトレインの両方とも2oo4演算が成立することはなく切替信号の誤動作を防ぐことができる。
また、A1ボタン、A2ボタン、B1ボタン、B2ボタンのいずれのボタンに単一の故障(不動作)が発生した場合にも、残りの3つのボタンの操作信号にて2oo4演算が、AトレインおよびBトレインで成立することから、切替機能を喪失することを防止できる。
なお、本実施の形態では、安全系制御装置31Aと、安全系監視操作装置32Aとを個別に設置し、安全系制御装置31Bと、安全系監視操作装置32Bとを個別に設置し、常用系制御装置41と、常用系監視操作装置42とを個別に設置した例を用いて説明したが、それぞれ1台に集約してもよい。
実施の形態1による制御切替装置によれば、上述のとおり、操作盤11のA1、A2、B1、B2ボタンのボタン操作によって中央制御室10に備える各タッチパネルを無効化し、遠隔停止設備20の操作盤21を有効化し、それに続く操作盤21のa1、a2、b1、b2ボタンのボタン操作によって、遠隔停止設備20の各タッチパネルの有効化がはじめて可能となる。このような構成にすることによって不用意な(悪意のある)中央制御室10から遠隔停止設備20への原子力発電プラント100の監視操作機能の切替を防止することができる。
また、各操作ボタンに単一の故障が発生した場合においても、制御の切替機能を喪失することなく、中央制御室10外に配置された遠隔停止設備20への制御の切り替えができる。
実施の形態2.
以下、実施の形態2による制御切替装置について、実施の形態1と異なる部分を中心に説明する。
以下、実施の形態2による制御切替装置について、実施の形態1と異なる部分を中心に説明する。
本実施の形態2では、冗長化された安全系制御装置231Aと安全系制御装置231Bとの機能的独立性を強化するための方法について図5、図6を用いて説明する。
図5は、本実施の形態2の操作盤11の各ボタンの接続状態を示す回路図である。
図6は、本実施の形態2の操作盤21の各ボタンの接続状態を示す回路図である。
実施の形態1と同様に、本実施の形態2でも、2oo4演算によって中央制御室10と遠隔停止設備20の停止信号、開始信号を生成しているが、電気的、物理的に独立でない操作盤11のBトレインのB1ボタンとB2ボタンが単一の要因によって故障(誤動作)した場合、ネットワークN2の通信を介して2oo4演算がAトレイン及びBトレインで成立することによって、不必要な制御の切替操作が発生する可能性がある。
図5は、本実施の形態2の操作盤11の各ボタンの接続状態を示す回路図である。
図6は、本実施の形態2の操作盤21の各ボタンの接続状態を示す回路図である。
実施の形態1と同様に、本実施の形態2でも、2oo4演算によって中央制御室10と遠隔停止設備20の停止信号、開始信号を生成しているが、電気的、物理的に独立でない操作盤11のBトレインのB1ボタンとB2ボタンが単一の要因によって故障(誤動作)した場合、ネットワークN2の通信を介して2oo4演算がAトレイン及びBトレインで成立することによって、不必要な制御の切替操作が発生する可能性がある。
そこで、これを防止するための手段として、判定器J1、J2は、自トレインの2つの操作信号のOR演算と、これまで説明した2oo4演算とのAND演算を実施する(2oo4 + 1oo2 演算)。具体的には、安全系制御装置231Aの判定器J1では、A1ボタン、A2ボタン、B1ボタン、B2ボタンの入力の2oo4演算結果に加えて、A1ボタンとA2ボタンの入力のOR演算を行い、それぞれの結果に対するAND演算を行い、いずれも条件を満たす場合に停止信号を送信することにする。
これにより、Bトレインの操作盤11のボタンが2つとも単一の要因によって故障(誤動作)した場合に、2oo4演算がAトレインおよびBトレインの両方で成立するが、Aトレインでは、A1ボタンとA2ボタンのOR演算が成立しないことから、Aトレインの不必要な切替を防ぐことができる(故障したBトレインの誤動作は防ぐことができない)。
これにより、Aトレインのタッチパネル10TAによる監視操作機能を中央制御室10に維持することが可能となり、最低限のプラント監視操作機能が中央制御室10に残り、原子力発電プラント100の運転を継続することができる。安全系制御装置231Bについては、判定器J2は、A1ボタン、A2ボタン、B1ボタン、B2ボタンの入力の2oo4演算結果と、B1ボタンとB2ボタンの入力のOR演算結果のAND演算の結果、停止信号を送信することになる。
上記の2oo4 + 1oo2 演算を適用すると、一つのトレイン(AトレインもしくはBトレイン)の操作盤11のボタンが2つとも単一の要因によって故障(不動作)となった場合、故障となったトレインの切替が不可能となるが、多重化された残りのトレインの機能が維持されることから健全性の問題はない。
実施の形態2による制御切替装置によれば、一方のトレイン用の2つのボタンが単一の要因によって故障した場合であっても、一方の安全系制御装置によって、原子力発電プラント100の健全性を維持できる。
実施の形態3.
以下、実施の形態3による制御切替装置について、実施の形態1、2と異なる部分を中心に説明する。
図7は、本実施の形態3の操作盤11の各ボタンの接続状態を示す回路図である。
図8は、本実施の形態3の操作盤21の各ボタンの接続状態を示す回路図である。
実施の形態2による制御切替装置では、Bトレインの操作盤11のボタンが2つとも単一の要因によって故障(誤動作)した場合に、Bトレインの誤切替を防ぐことができないという問題があった。
そこで、実施の形態3では、操作盤11、12のそれぞれ4つのボタンを全て、物理的、電気的、機能的に分離、独立して構成し、実施の形態1で行っていた判定器J1、J2による2oo4演算を、3oo4演算、すなわち、それぞれ4つのボタンの内の、3つのボタンの押下を検知した時点で、操作員による操作と判断することとする。これにより、2つのボタンが単一の要因によって誤動作、不動作となる自体を排除できるとともに、万一、1つのボタンに誤動作、不動作が発生したとしても、適切に両トレインの制御を切り替えることができる。
以下、実施の形態3による制御切替装置について、実施の形態1、2と異なる部分を中心に説明する。
図7は、本実施の形態3の操作盤11の各ボタンの接続状態を示す回路図である。
図8は、本実施の形態3の操作盤21の各ボタンの接続状態を示す回路図である。
実施の形態2による制御切替装置では、Bトレインの操作盤11のボタンが2つとも単一の要因によって故障(誤動作)した場合に、Bトレインの誤切替を防ぐことができないという問題があった。
そこで、実施の形態3では、操作盤11、12のそれぞれ4つのボタンを全て、物理的、電気的、機能的に分離、独立して構成し、実施の形態1で行っていた判定器J1、J2による2oo4演算を、3oo4演算、すなわち、それぞれ4つのボタンの内の、3つのボタンの押下を検知した時点で、操作員による操作と判断することとする。これにより、2つのボタンが単一の要因によって誤動作、不動作となる自体を排除できるとともに、万一、1つのボタンに誤動作、不動作が発生したとしても、適切に両トレインの制御を切り替えることができる。
実施の形態4.
以下、実施の形態4による制御切替装置について、実施の形態1と異なる部分を中心に説明する。
図9は、本実施の形態4の操作盤11の各ボタンの接続状態を示す回路図である。
以下、実施の形態4による制御切替装置について、実施の形態1と異なる部分を中心に説明する。
図9は、本実施の形態4の操作盤11の各ボタンの接続状態を示す回路図である。
実施の形態1では、操作盤11に各系統用に2個ずつ、計4つのボタンを配置し、操作盤21に各系統用に2個ずつ、計4つのボタンを配置し、安全系制御装置31A、31Bの判定器J1、J2でそれぞれ2oo4演算を実施し、中央制御室10から遠隔停止設備20への制御の切り替えを実施した。それぞれ4つのボタンによる2oo4演算に基づく切替操作は、誤動作防止と機能喪失防止が必要な他の機能にも適用可能である。例えば、原子力発電所の原子炉内の燃料棒が破損し、放射性物質の放散の可能性がある場合に、これらを防止または抑制し、発電所周辺の一般公衆および発電所従業員の安全を確保する工学的安全施設の手動操作スイッチとして利用できる。
実施の形態2で説明したとおり、判定器J1、J2で2oo4演算に加え自トレインのOR演算(1oo2 演算)を加えて用いない場合、他トレインの故障によって誤動作を引き起こす可能性があるが、工学的安全施設の動作は、プラントの保護に対して有用であり、これを適用する必要はない。
実施の形態5.
以下、実施の形態5による制御切替装置について、実施の形態1と異なる部分を中心に説明する。
図10は、本実施の形態5の操作盤11の各ボタンの接続状態を示す回路図である。
以下、実施の形態5による制御切替装置について、実施の形態1と異なる部分を中心に説明する。
図10は、本実施の形態5の操作盤11の各ボタンの接続状態を示す回路図である。
実施の形態2では、操作盤11に各系統用に2個ずつ、計4つのボタンを配置し、操作盤21に各系統用に2個ずつ、計4つのボタンを配置し、安全系制御装置31A、31Bの判定器J1、J2でそれぞれ2oo4演算を実施し、自トレインの2つの操作信号のOR演算と、上記2oo4演算とのAND演算を実施する(2oo4 + 1oo2 演算)することによって、中央制御室10から遠隔停止設備20への制御の切り替えを実施した。このような演算に基づく切替操作は、誤動作防止と機能喪失防止が必要な他の機能にも適用可能である。
例えば、運転状態によって不要となる原子炉トリップ操作信号をブロックするための手動パーミッシブに適用可能である。手動パーミッシブは、安全系機能を意図的にブロックするためのものであり、他トレインの故障によって両方のトレインのパーミッシブが誤動作することは、安全上不適切であるため、実施の形態2述べた2oo4 + 1oo2 演算を適用すると良い。
なお、安全系制御装置31A、31B、安全系監視操作装置32A、32B、常用系制御装置41、常用系監視操作装置42は、ハードウエアの一例を図11に示すように、プロセッサ60と記憶装置61とから構成される。記憶装置61は、図示していないが、ランダムアクセスメモリ等の揮発性記憶装置と、フラッシュメモリ等の不揮発性の補助記憶装置とを備える。
また、フラッシュメモリの代わりにハードディスクの補助記憶装置を備えてもよい。プロセッサ60は、記憶装置61から入力されたプログラムを実行する。この場合、補助記憶措置から揮発性記憶装置を介してプロセッサ60にプログラムが入力される。また、プロセッサ60は、演算結果等のデータを記憶装置61の揮発性記憶装置に出力してもよいし、揮発性記憶装置を介して補助記憶装置にデータを保存してもよい。
本願は、様々な例示的な実施の形態及び実施例が記載されているが、1つ、または複数の実施の形態に記載された様々な特徴、態様、及び機能は特定の実施の形態の適用に限られるのではなく、単独で、または様々な組み合わせで実施の形態に適用可能である。
従って、例示されていない無数の変形例が、本願に開示される技術の範囲内において想定される。例えば、少なくとも1つの構成要素を変形する場合、追加する場合または省略する場合、さらには、少なくとも1つの構成要素を抽出し、他の実施の形態の構成要素と組み合わせる場合が含まれるものとする。
従って、例示されていない無数の変形例が、本願に開示される技術の範囲内において想定される。例えば、少なくとも1つの構成要素を変形する場合、追加する場合または省略する場合、さらには、少なくとも1つの構成要素を抽出し、他の実施の形態の構成要素と組み合わせる場合が含まれるものとする。
100 原子力発電プラント、10 中央制御室、10T,10TA,10TB,20T,20TA,20TB タッチパネル、11,21 操作盤、A1,A2,B1,B2,a1,a2,b1,b2 ボタン、J1,J2 判定器、20 遠隔停止設備、30A,30B 安全系制御盤室、31A,31B,231A,231B 安全系制御装置、32A,32B 安全系監視操作装置、40 常用系制御盤室、41 常用系制御装置、42 常用系監視操作装置、N1,N2,N30A,N30B ネットワーク、60 プロセッサ、61 記憶装置。
Claims (8)
- 2重化された制御装置への入出力を、それぞれ第一場所に配置された入出力装置から、第二場所に配置された入出力装置に切り替える制御切替装置であって、
前記制御装置としての第一制御装置に接続されたA1ボタンとA2ボタンと、前記制御装置としての第二制御装置に接続されたB1ボタンとB2ボタンとを有し、前記第一場所に備えられた第一操作盤と、
前記第一制御装置に接続されたa1ボタンとa2ボタンと、前記第二制御装置に接続されたb1ボタンとb2ボタンとを有し、前記第二場所に備えられた第二操作盤と、
前記第一制御装置と前記第二制御装置との間で、各前記ボタンの操作信号を授受するネットワークとを備え、
前記第一制御装置は、前記第一操作盤からの前記A1ボタン、前記A2ボタン、前記B1ボタン、前記B2ボタンの各操作信号から前記第一場所に配置された入出力装置との間の入出力を停止するか否かを判断すると共に、前記第二操作盤からの前記a1ボタン、前記a2ボタン、前記b1ボタン、前記b2ボタンの各操作信号から前記第二場所に配置された入出力装置との間の入出力を開始するか否かを判断する第一判定器を備え、
前記第二制御装置は、前記第一操作盤からの前記A1ボタン、前記A2ボタン、前記B1ボタン、前記B2ボタンの各操作信号から前記第一場所に配置された入出力装置との間の入出力を停止するか否かを判断すると共に、前記第二操作盤からの前記a1ボタン、前記a2ボタン、前記b1ボタン、前記b2ボタンの各操作信号から前記第二場所に配置された入出力装置との間の入出力を開始するか否かを判断する第二判定器を備える制御切替装置。 - 前記第一制御装置は、前記第一場所に配置された入出力装置との間の入出力を停止する場合に限り前記第二操作盤のボタン操作を可能とし、
前記第二制御装置は、前記第一場所に配置された入出力装置との間の入出力を停止する場合に限り前記第二操作盤のボタン操作を可能とする請求項1に記載の制御切替装置。 - 前記第一判定器は、
前記第一操作盤からの前記A1ボタン、前記A2ボタン、前記B1ボタン、前記B2ボタンの各操作信号の内、2以上の操作信号を受信した場合に、前記第一制御装置と、前記第一場所に配置された入出力装置との間の入出力を停止させると判断し、
前記第二操作盤からの前記a1ボタン、前記a2ボタン、前記b1ボタン、前記b2ボタンの各操作信号の内、2以上の操作信号を受信した場合に、前記第一制御装置と、前記第二場所に配置された入出力装置との間の入出力を開始させると判断し、
前記第二判定器は、
前記第一操作盤からの前記A1ボタン、前記A2ボタン、前記B1ボタン、前記B2ボタンの各操作信号の内、2以上の操作信号を受信した場合に、前記第二制御装置と、前記第一場所に配置された入出力装置との間の入出力を停止させると判断し、
前記第二操作盤からの前記a1ボタン、前記a2ボタン、前記b1ボタン、前記b2ボタンの各操作信号の内、2以上の操作信号を受信した場合に、前記第二制御装置と、前記第二場所に配置された入出力装置との間の入出力を開始させると判断する請求項1又は請求項2に記載の制御切替装置。 - 前記第一判定器は、
前記第一操作盤からの前記A1ボタン、前記A2ボタン、前記B1ボタン、前記B2ボタンの各操作信号の内、2以上の操作信号を受信し、かつ、A1ボタンとA2ボタンのいずれか一方の操作信号を受信した場合に、前記第一制御装置と、前記第一場所に配置された入出力装置との間の入出力を停止させると判断し、
前記第二操作盤からの前記a1ボタン、前記a2ボタン、前記b1ボタン、前記b2ボタンの各操作信号の内、2以上の操作信号を受信した場合に、前記第一制御装置と、前記第二場所に配置された入出力装置との間の入出力を開始させると判断し、
前記第二判定器は、
前記第一操作盤からの前記A1ボタン、前記A2ボタン、前記B1ボタン、前記B2ボタンの各操作信号の内、2以上の操作信号を受信し、かつ、B1ボタンとB2ボタンのいずれか一方の操作信号を受信した場合に、前記第二制御装置と、前記第一場所に配置された入出力装置との間の入出力を停止させると判断し、
前記第二操作盤からの前記a1ボタン、前記a2ボタン、前記b1ボタン、前記b2ボタンの各操作信号の内、2以上の操作信号を受信した場合に、前記第二制御装置と、前記第二場所に配置された入出力装置との間の入出力を開始させると判断する請求項1又は請求項2に記載の制御切替装置。 - 全ての前記ボタンは、物理的、電気的、機能的に分離、独立して構成され、
前記第一判定器は、
前記第一操作盤からの前記A1ボタン、前記A2ボタン、前記B1ボタン、前記B2ボタンの各操作信号の内、3以上の操作信号を受信した場合に、前記第一制御装置と、前記第一場所に配置された入出力装置との間の入出力を停止させると判断し、
前記第二操作盤からの前記a1ボタン、前記a2ボタン、前記b1ボタン、前記b2ボタンの各操作信号の内、3以上の操作信号を受信した場合に、前記第一制御装置と、前記第二場所に配置された入出力装置との間の入出力を開始させると判断し、
前記第二判定器は、
前記第一操作盤からの前記A1ボタン、前記A2ボタン、前記B1ボタン、前記B2ボタンの各操作信号の内、3以上の操作信号を受信した場合に、前記第二制御装置と、前記第一場所に配置された入出力装置との間の入出力を停止させると判断し、
前記第二操作盤からの前記a1ボタン、前記a2ボタン、前記b1ボタン、前記b2ボタンの各操作信号の内、3以上の操作信号を受信した場合に、前記第二制御装置と、前記第二場所に配置された入出力装置との間の入出力を開始させると判断する請求項1又は請求項2に記載の制御切替装置。 - 前記第一場所は、原子力発電プラントの中央制御室であり、
前記第二場所は、前記中央制御室外に配置された遠隔停止設備である請求項1から請求項5のいずれか1項に記載の制御切替装置。 - 前記第一制御装置および前記第二制御装置は、原子力発電プラントの安全施設の制御装置である請求項1から請求項3のいずれか1項に記載の制御切替装置。
- 前記第一操作盤および前記第二操作盤は、原子力発電プラントの原子炉トリップ機能のブロック操作を行うためのパーミッシブ手動操作を実施する操作パネルである請求項4に記載の制御切替装置。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/JP2020/044516 WO2022113345A1 (ja) | 2020-11-30 | 2020-11-30 | 制御切替装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
JPWO2022113345A1 JPWO2022113345A1 (ja) | 2022-06-02 |
JP7391244B2 true JP7391244B2 (ja) | 2023-12-04 |
Family
ID=81754133
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2022565000A Active JP7391244B2 (ja) | 2020-11-30 | 2020-11-30 | 制御切替装置 |
Country Status (4)
Country | Link |
---|---|
US (1) | US20230352200A1 (ja) |
JP (1) | JP7391244B2 (ja) |
CA (1) | CA3194191A1 (ja) |
WO (1) | WO2022113345A1 (ja) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2024018578A1 (ja) * | 2022-07-21 | 2024-01-25 | 三菱電機株式会社 | 安全保護システムおよび試験方法 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2012049936A1 (ja) | 2010-10-12 | 2012-04-19 | 三菱重工業株式会社 | 原子力施設の制御システム |
JP2012132839A (ja) | 2010-12-22 | 2012-07-12 | Toshiba Corp | 原子炉遠隔停止装置及びプログラム |
JP2012233705A (ja) | 2011-04-28 | 2012-11-29 | Hitachi-Ge Nuclear Energy Ltd | 原子力プラントの監視制御システム |
CN104252885A (zh) | 2013-06-28 | 2014-12-31 | 中广核工程有限公司 | 一种核电站双数字量输出卡配置系统和方法 |
WO2019167532A1 (ja) | 2018-02-28 | 2019-09-06 | 日立Geニュークリア・エナジー株式会社 | 中央制御室外原子炉停止装置 |
US20200082952A1 (en) | 2017-09-29 | 2020-03-12 | Korea Hydro & Nuclear Power Co., Ltd | Nuclear power plant defense-in-depth safety apparatus having diversity |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP3527052B2 (ja) * | 1997-03-21 | 2004-05-17 | 三菱電機株式会社 | 運転操作装置 |
-
2020
- 2020-11-30 WO PCT/JP2020/044516 patent/WO2022113345A1/ja active Application Filing
- 2020-11-30 CA CA3194191A patent/CA3194191A1/en active Pending
- 2020-11-30 US US18/245,007 patent/US20230352200A1/en active Pending
- 2020-11-30 JP JP2022565000A patent/JP7391244B2/ja active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2012049936A1 (ja) | 2010-10-12 | 2012-04-19 | 三菱重工業株式会社 | 原子力施設の制御システム |
JP2012132839A (ja) | 2010-12-22 | 2012-07-12 | Toshiba Corp | 原子炉遠隔停止装置及びプログラム |
JP2012233705A (ja) | 2011-04-28 | 2012-11-29 | Hitachi-Ge Nuclear Energy Ltd | 原子力プラントの監視制御システム |
CN104252885A (zh) | 2013-06-28 | 2014-12-31 | 中广核工程有限公司 | 一种核电站双数字量输出卡配置系统和方法 |
US20200082952A1 (en) | 2017-09-29 | 2020-03-12 | Korea Hydro & Nuclear Power Co., Ltd | Nuclear power plant defense-in-depth safety apparatus having diversity |
WO2019167532A1 (ja) | 2018-02-28 | 2019-09-06 | 日立Geニュークリア・エナジー株式会社 | 中央制御室外原子炉停止装置 |
Also Published As
Publication number | Publication date |
---|---|
US20230352200A1 (en) | 2023-11-02 |
JPWO2022113345A1 (ja) | 2022-06-02 |
WO2022113345A1 (ja) | 2022-06-02 |
CA3194191A1 (en) | 2022-06-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US3377623A (en) | Process backup system | |
EP2573636B1 (en) | Multi-channel control switchover logic | |
CN106448777B (zh) | 一种用于核电厂安全级仪控系统的传输站 | |
US10747186B2 (en) | Multi-channel control switchover logic | |
JP7391244B2 (ja) | 制御切替装置 | |
WO2020110652A1 (ja) | 電磁ブレーキ制御装置及び制御装置 | |
JP7503679B2 (ja) | 受信盤 | |
CN101673936A (zh) | 保护系统 | |
KR100201404B1 (ko) | 바이탈 전원차단 계전기를 이용한 페일세이프 구현장치 및 제어방법 | |
KR101950695B1 (ko) | 철도차량용 전기기계식 제동 시스템 및 이의 제어 방법 | |
KR100729930B1 (ko) | 이중화 시스템의 절체 회로 | |
JPH06259276A (ja) | 多重化装置 | |
JP7527509B2 (ja) | 監視制御システム | |
JP6634701B2 (ja) | 配電盤制御システムおよびそれを用いた受配電設備 | |
JP5190032B2 (ja) | 遮断器用操作器 | |
CN114114894B (zh) | 一种电传飞行备份控制系统和方法 | |
JP5767922B2 (ja) | ディジタル型保護継電システム | |
JP2007058274A (ja) | 設備保護装置 | |
JP2006344023A (ja) | 制御装置 | |
JP3843388B2 (ja) | プロセス制御装置 | |
JP4550299B2 (ja) | 多重系伝送システム | |
JPH0530927U (ja) | ネツトワーク・システムにおけるコンピユータの停電保護装置 | |
JP2006268882A (ja) | プロセス制御装置 | |
SU674019A1 (ru) | Резервированное устройство дл управлени переключением модулей системы | |
KR200270668Y1 (ko) | 제어부의 상태를 반영하는 이중화 장치 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20230116 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20231024 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20231121 |
|
R151 | Written notification of patent or utility model registration |
Ref document number: 7391244 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |