JPH0543121B2 - - Google Patents
Info
- Publication number
- JPH0543121B2 JPH0543121B2 JP60142635A JP14263585A JPH0543121B2 JP H0543121 B2 JPH0543121 B2 JP H0543121B2 JP 60142635 A JP60142635 A JP 60142635A JP 14263585 A JP14263585 A JP 14263585A JP H0543121 B2 JPH0543121 B2 JP H0543121B2
- Authority
- JP
- Japan
- Prior art keywords
- output
- control
- devices
- plant
- control signal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 claims description 103
- 230000005540 biological transmission Effects 0.000 claims description 17
- 230000010365 information processing Effects 0.000 claims description 15
- XLYOFNOQVPJJNP-UHFFFAOYSA-N water Substances O XLYOFNOQVPJJNP-UHFFFAOYSA-N 0.000 description 54
- 238000010586 diagram Methods 0.000 description 5
- 230000002159 abnormal effect Effects 0.000 description 4
- 230000005856 abnormality Effects 0.000 description 3
- 230000001105 regulatory effect Effects 0.000 description 2
- 101100061273 Caenorhabditis elegans cpr-3 gene Proteins 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 239000000470 constituent Substances 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000003745 diagnosis Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000001771 impaired effect Effects 0.000 description 1
- 239000013641 positive control Substances 0.000 description 1
Description
[発明の利用分野]
本発明はプラント制御装置に係り、特に原子力
発電プラントの給水制御系の様な高い信頼性を要
求される制御系に適用するのに好適な小型で経済
性の優れたプラント制御装置に関する。
[発明の背景]
従来のプラント制御装置として、例えば特開昭
59−212902号公報記載のものがある。この従来技
術では、取得したプロセス情報を演算処理して制
御信号を求める情報処理装置と、プロセス情報を
取り込むプロセス入力装置と、制御信号を制御対
象に出力するプロセス入力装置とを1組とするサ
ブシステムを3組設けることで、3重化システム
を構成している。
この従来技術は、多重化システムの共通部分の
多重化を図ることで、高信頼性を達成している
が、逆に、配線接続が複雑でしかもハードウエア
量が大きいため装置が大型化し、スペース的に不
利になると共にコストも高くなるという問題があ
る。
更に、この従来技術では上記したサブシステム
が構成単位となるため、例えば3重系システムの
場合、あるサブシステムのプロセス入力装置ある
いはプロセス出力装置が故障しただけでそのサブ
システム全体が使用不能となつてしまう。つま
り、3重系が2重系になつてしまい、3重系の高
信頼性を活用できなくなつてしまう。プロセス入
力装置やプロセス出力装置は、制御対象であるプ
ラント側との接続点数が多く、故障する率が高
い。このため、これに対する対策を講じないと、
多重系の持つ高信頼性で常時プラント制御をする
ことができなくなつてしまうという問題がある。
[発明の目的]
本発明の目的は、制御を総括する情報処理装置
が故障しない限り情報処理装置の多重系を維持
し、常にプラント制御を高信頼に行うことがで
き、しかも小型で安価なプラント制御装置を提供
することにある。
[発明の概要]
上記目的は、各々に複数のプロセス情報が入力
される分散配置された複数個のプロセス入力装置
と、複数個の前記プロセス入力装置から取り込ん
だプロセス情報を演算処理して制御信号を求め出
力する複数個の情報処理装置と、複数個の前記情
報処理装置から出力される制御信号を取り込み所
定論理に基づき処理してプラントの制御信号とし
て出力する分散配置された複数個のプロセス出力
装置と、各情報処理装置毎に各情報処理装置を複
数個の前記プロセス入力装置及び複数個の前記プ
ロセス出力装置に接続する複数個のデータ伝送路
とを設けることで、達成される。
本発明では、情報処理装置とは別に、複数のプ
ロセス入力装置、複数のプロセス出力装置を分散
配置しておき、分散配置された複数のプロセス入
力装置、プロセス出力装置を、複数設けた情報処
理装置の個々に夫々独立のデータ伝送路で接続す
る構成としているので、情報処理装置が故障しな
い限り、情報処理装置数の多重系が維持される。
[実施例]
以下、添付の図面に示す実施例により、更に詳
細に本発明について説明する。
第1図は、本発明の一実施例を示すブロツク図
である。図示する様に、中央演算処理部100
は、3台のCPU1,2,3から構成され、三重
化構成となつている。これに対して、プロセス入
出力部200は、4台のプロセス入力装置11,
12,13,14と4台のプロセス出力装置1
5,16,17,18から構成され、分散設置さ
れている。即ち、中央演算処理部は多重化(冗長
化)され、プロセス入出力部200は分散化され
た多重分散型のシステム構成になつている。
中央演算処理部100のCPU1,2,3は、
図示する様に、データ伝送路4,5,6でループ
状に接続されている。また、各CPU1,2,3
と、プロセス入出力部200の各プロセス入力装
置11,12,13,14及びプロセス出力装置
15,16,17,18とは、図示する様に、デ
ータ伝送路7,8,9によつて接続されている。
制御対象であるプラント(図示せず)から出力
される各種のプロセス情報(例えば、温度、圧
力、流量、オン・オフ信号等)は、プロセス入力
装置11,12,13,14によつて取り込まれ
る。ここで、プラント情報が制御に重要な数値で
ある場合、複数の検出器で検出された同一種類の
異なるプラント情報が、各プロセス入力装置に取
り込まれる。例えば、プラント情報として、圧力
を入力する場合、プラントに設置された複数の圧
力検出器(同一部分の圧力検出を行う)から出力
される複数の圧力情報が各プロセス入力装置1
1,12,13,14に取り込まれ、冗長化が図
られている。
プロセス入力装置11,12,13,14と取
り込まれた各種のプラント情報は、データ伝送路
7,8,9を介して、中央演算処理部100内の
CPU1,2,3に取り込まれる。中央演算処理
部100では、予め定められているロジツク、ア
ルゴリズムなどに従つて、入力されたプロセス情
報を演算処理し、複数の制御信号を算出する。こ
れらの制御信号は、データ伝送路7,8,9を介
し、プロセス出力装置15,16,17,18に
送り込まれる。各プロセス出力装置15,16,
17,18には、3重化された中央演算処理部1
00からの複数の制御信号が入力され、各プロセ
ス出力装置15,16,17,18はこれらの複
数の制御信号から「2 アウト オブ 3 ロジ
ツク」や「中間値選択ロジツク」等の予め定めら
れたロジツク、アルゴリズムに従い、最も正しい
と推定される制御信号を算出または選択して出力
する。
本構成によれば、万一中央演算処理部100内
の3台のCPU1,2,3のうちの1台に故障が
発生したとしても、残りの2台が正常動作さえし
ていれば、制御信号が異常となることはない。ま
た、さらにもう1台のCPUに異常が発生しても、
プロセス出力装置の信号算出ロジツクとして、残
りの1台のCPUからの制御信号を出力信号とす
るアルゴリズムとしておくことにより、やはり、
出力信号が異常となることはない。即ち、中央演
算処理部100の3台のCPU1,2,3のうち
2台がダウンしても、制御続行可能である。
また、前記した様に、制御に係わる重要なプラ
ント情報は多重化(冗長化)され、かつ各プロセ
ス入力装置11,12,13,14に別々に分散
して入力される。従つて、4台のプロセス入力装
置11,12,13,14のうちの1台に異常が
発生したとしても、制御続行不能となることはな
い。無論、重要なプロセス情報について、三重化
以上の冗長度を持たせれば、信号発信元のトラブ
ルも含め、ダブルフエイラが発生したとしても、
各中央演算処理部100には、少なくとも1つの
正常なプロセス情報が送り込まれるため、制御続
行可能である。なお、後述する様に、上記で言う
プロセス情報の冗長化の方法としては、必ずしも
同一のプロセス情報を冗長化するだけに限定する
ものではなく、類似の情報を利用し、中央演算処
理部100内で推定算出することができるものを
利用してもよい。なお、入力されるプロセス情報
に3重化以上の冗長度があれば、4台のプロセス
入力装置11,12,13,14のうち2台が故
障しても、残りの正常なプロセス入力回路を介し
て、プロセス情報の取り込みが可能である。従つ
て、プロセス入力装置11,12,13,14の
うち2台がダウンしても制御続行可能である。
また、中央演算処理部100内の各CPU1,
2,3を接続するデータ伝送路4,5,6に異常
が発生し、相互に通信不能となつても、相互診断
機能などが実施できなくなるのみで、制御装置と
しての制御機能には影響は与えない。ちなみに、
CPU1とCPR3を結ぶデータ伝送路6にトラブ
ルが発生した場合には、CPU2を経由してお互
いのデータのやりとりを行えるようにしておくこ
とにより、相互診断機能を確保することが可能に
なる。
また、中央演算処理部100とプロセス入出力
部200間のデータ伝送路7,8,9は、完全に
独立しているため、少なくとも1つのデータ伝送
路が正常であれば、シングル系として動作できる
ため、制御上は問題ない。
また、プロセス出力装置15,16,17,1
8は、制御対象への制御信号を出力する回路でも
ある。従つて、そのうちの1台にトラブルが発生
すると、その制御対象への制御信号の正常性は保
証されなくなり、全体としての制御機能を阻害す
る可能性が多分に発生する。従つて、必要に応じ
(プラント運転上重要と考えられる制御信号に
は)、隣接する他のプロセス出力装置にも、同一
の制御信号を出力できるような構成とし、この2
つの制御信号を外部に設けた切替回路31,3
2,33,34で切り替えられるよう考慮してあ
る。これにより、プロセス出力装置15,16,
17,18のうちの1台が故障しても、制御上は
問題が発生しない。また、制御対象システム自身
が持つシステム冗長性を有効利用することによ
り、さらに、耐故障性を強化することが可能とな
る。
次に、BWR原子力発電所給水制御系に本発明
に係るプラント制御装置を適用した場合の具体例
について説明する。第2図は、BWR原子力発電
所の給水制御系の概要を示す図である。この給水
制御系は、原子炉水位を予め設定された値に維持
するために設けられたもので、BWR原子力発電
所のプラント制御系の中でも特に重要な制御型で
ある。
第2図において、101は原子炉120の水位
を検出するための原子炉水位検出器、102は原
子炉120と復水器121を結ぶ主蒸気配管12
2を流れる蒸気量を検出する主蒸気流量検出器、
103は原子炉120への給水配管を流れる給水
流量を検出する給水流量検出器である。ここで、
図示していないが、原子炉水位検出器101は3
個設けられている。また、主蒸気配管122は4
本あり、それぞれに1つの主蒸気流量検出器10
2が設けられている。また、給水配管は2本設け
られ、それぞれに2つの給水流量検出器103が
設けられている。従つて、3つの原子炉水位信号
と4つの主蒸気流量信号と4つの給水流量信号
が、給水制御系104に入力される。
給水制御系104は、第1図に示す構成を有し
ているが、第2図においては、その制御動作の概
略を示すブロツクとしている。即ち、給水制御系
104は、上記した原子炉水位信号、主蒸気流量
信号、給水流量信号を取り込み、炉水位設定値と
の偏差に基づき、比例積分制御105を行う。比
例積分制御105の出力は、下位のコントロー
ラ、または、手動/自動切換器106〜109を
介して、制御対象であるタービン駆動給水ポンプ
110,111及び給水調整弁112,113に
加えられ、各々タービン回転数、給水調整弁開度
が制御される。
さて、一般のBWR原子力発電所のプラントで
は、タービン駆動給水ポンプ110,111は55
%、モータ駆動給水ポンプ114,115は27.5
%の容量を持つている。プラント起動・停止時に
は、モータ駆動給水ポンプ114,115を起動
し用いるが、通常の運転状態では、2台のタービ
ン駆動給水ポンプ110,111が運転され、2
台のモータ駆動給水ポンプ114,115は、待
機状態にある。万一、タービン駆動給水ポンプ1
10,111がトリツプすると、モータ駆動給水
ポンプ114,115はほとんど瞬時に自動起動
し、給水流量の減少を防ぐ。このように、タービ
ン駆動給水ポンプ1台に対し、モータ駆動給水ポ
ンプ2台がバツクアツプとして設けられているシ
ステムに対しては、多重分散型制御装置の出力信
号構成を以下に述べるように組み合わせることに
より、飛躍的な耐故障性の向上が実現できる。
第1表は、第1図に示すプロセス入力装置1
1,12,13,14に入力されるプロセス入力
信号の種類を示すものである。各プロセス入力装
置11,12,13,14にそれぞれ入力される
原子炉水位信号、主蒸気流量信号、給水流量信号
は、前記した様に、それぞれ異なる原子炉水位検
出器、異なる主蒸気流量信号検出器、異なる給水
流量検出器から出力されるもので、多重化されて
おり、高い冗長性が付与されている。
[Field of Application of the Invention] The present invention relates to a plant control device, and in particular to a small and economically efficient plant suitable for application to a control system that requires high reliability, such as a water supply control system in a nuclear power plant. Regarding a control device. [Background of the invention] As a conventional plant control device, for example,
There is one described in Publication No. 59-212902. In this conventional technology, a subsystem includes an information processing device that calculates a control signal by processing acquired process information, a process input device that takes in the process information, and a process input device that outputs the control signal to a controlled object. By providing three sets of systems, a triplex system is constructed. This conventional technology achieves high reliability by multiplexing the common parts of the multiplex system, but on the other hand, the wiring connections are complicated and the amount of hardware is large, making the equipment larger and taking up less space. There is a problem in that it is disadvantageous in terms of performance and costs are also high. Furthermore, in this conventional technology, the above-mentioned subsystems are the constituent units, so in the case of a triplex system, for example, if a process input device or process output device of a subsystem fails, the entire subsystem becomes unusable. I end up. In other words, the triplex system becomes a doublex system, and the high reliability of the triplex system cannot be utilized. Process input devices and process output devices have a large number of connection points with the plant side that is to be controlled, and have a high failure rate. Therefore, unless measures are taken to prevent this,
There is a problem in that the high reliability of the multiplexed system makes it impossible to constantly control the plant. [Objective of the Invention] The object of the present invention is to maintain a multiple system of information processing equipment as long as the information processing equipment that oversees control does not fail, and to constantly perform highly reliable plant control, and to create a small and inexpensive plant. The purpose is to provide a control device. [Summary of the Invention] The above object is to provide a plurality of distributed process input devices into which a plurality of pieces of process information are input, and to generate a control signal by processing the process information taken in from the plurality of process input devices. and a plurality of distributed process outputs that take in control signals output from the plurality of information processing devices, process them based on predetermined logic, and output them as plant control signals. This is achieved by providing a plurality of data transmission paths for connecting each information processing device to the plurality of process input devices and the plurality of process output devices. In the present invention, a plurality of process input devices and a plurality of process output devices are arranged separately from an information processing device, and an information processing device is provided with a plurality of distributed process input devices and a plurality of process output devices. Since the configuration is such that each of the information processing devices is connected through an independent data transmission path, a multiplex system of the number of information processing devices is maintained as long as the information processing device does not fail. [Examples] Hereinafter, the present invention will be described in more detail with reference to Examples shown in the accompanying drawings. FIG. 1 is a block diagram showing one embodiment of the present invention. As shown in the figure, a central processing unit 100
consists of three CPUs 1, 2, and 3, and has a triplex configuration. On the other hand, the process input/output unit 200 includes four process input devices 11,
12, 13, 14 and 4 process output devices 1
It consists of 5, 16, 17, and 18, and is installed in a distributed manner. That is, the central processing unit is multiplexed (redundant), and the process input/output unit 200 has a decentralized, multi-distributed system configuration. The CPUs 1, 2, and 3 of the central processing unit 100 are
As shown in the figure, data transmission lines 4, 5, and 6 are connected in a loop. Also, each CPU1, 2, 3
The process input devices 11, 12, 13, 14 and process output devices 15, 16, 17, 18 of the process input/output section 200 are connected by data transmission paths 7, 8, 9 as shown in the figure. has been done. Various process information (e.g., temperature, pressure, flow rate, on/off signals, etc.) output from a plant (not shown) to be controlled is captured by process input devices 11, 12, 13, and 14. . Here, when the plant information is a numerical value important for control, different plant information of the same type detected by a plurality of detectors is taken into each process input device. For example, when inputting pressure as plant information, each process input device 1
1, 12, 13, and 14 for redundancy. Various types of plant information input to the process input devices 11, 12, 13, and 14 are transmitted to the central processing unit 100 via data transmission paths 7, 8, and 9.
It is taken into CPU1, 2, and 3. The central processing unit 100 processes input process information according to predetermined logic, algorithms, etc., and calculates a plurality of control signals. These control signals are sent to process output devices 15, 16, 17, 18 via data transmission lines 7, 8, 9. Each process output device 15, 16,
17 and 18 include a triplexed central processing unit 1
A plurality of control signals from 00 are input, and each process output device 15, 16, 17, 18 outputs a predetermined signal such as "2 out of 3 logic" or "intermediate value selection logic" from these plural control signals. According to logic and algorithms, the control signal estimated to be the most correct is calculated or selected and output. According to this configuration, even if a failure occurs in one of the three CPUs 1, 2, and 3 in the central processing unit 100, as long as the remaining two are operating normally, the control The signal will not become abnormal. Also, even if an error occurs in yet another CPU,
As the signal calculation logic of the process output device, by using an algorithm that uses the control signal from the remaining CPU as the output signal, the
The output signal will not become abnormal. That is, even if two of the three CPUs 1, 2, and 3 of the central processing unit 100 go down, control can be continued. Further, as described above, important plant information related to control is multiplexed (redundant) and input to each process input device 11, 12, 13, and 14 in a distributed manner. Therefore, even if an abnormality occurs in one of the four process input devices 11, 12, 13, and 14, control will not become impossible to continue. Of course, if you provide more than triple redundancy for important process information, even if a double failure occurs, including trouble with the signal source,
Since at least one piece of normal process information is sent to each central processing unit 100, control can be continued. As will be described later, the above-mentioned process information redundancy method is not necessarily limited to making the same process information redundant, but rather uses similar information to You may also use a method that can be estimated using . Note that if the input process information has a redundancy level of triple or higher, even if two of the four process input devices 11, 12, 13, and 14 fail, the remaining normal process input circuits can be used. Process information can be captured via the Therefore, even if two of the process input devices 11, 12, 13, and 14 go down, control can be continued. In addition, each CPU 1 in the central processing unit 100,
Even if an abnormality occurs in the data transmission lines 4, 5, and 6 that connect the devices 2 and 3 and they become unable to communicate with each other, the mutual diagnostic function will not be able to be performed, but the control function of the control device will not be affected. I won't give it. By the way,
If a trouble occurs in the data transmission line 6 connecting the CPU 1 and the CPR 3, mutual diagnosis function can be ensured by allowing data to be exchanged between them via the CPU 2. Furthermore, since the data transmission paths 7, 8, and 9 between the central processing unit 100 and the process input/output unit 200 are completely independent, they can operate as a single system if at least one data transmission path is normal. Therefore, there is no problem in terms of control. In addition, process output devices 15, 16, 17, 1
8 is also a circuit that outputs a control signal to the controlled object. Therefore, if a problem occurs in one of them, the normality of the control signal to that controlled object is no longer guaranteed, and there is a high possibility that the control function as a whole will be impaired. Therefore, if necessary (for control signals considered to be important for plant operation), the configuration is such that the same control signal can be output to other adjacent process output devices, and these two
Switching circuits 31 and 3 provided with two control signals externally
It is designed so that it can be switched between 2, 33, and 34. As a result, the process output devices 15, 16,
Even if one of the units 17 and 18 breaks down, no problem will occur in terms of control. Moreover, by effectively utilizing the system redundancy of the controlled system itself, it is possible to further strengthen fault tolerance. Next, a specific example will be described in which the plant control device according to the present invention is applied to a BWR nuclear power plant water supply control system. FIG. 2 is a diagram showing an overview of the water supply control system of the BWR nuclear power plant. This water supply control system is installed to maintain the reactor water level at a preset value, and is a particularly important control type among the plant control systems of BWR nuclear power plants. In FIG. 2, 101 is a reactor water level detector for detecting the water level of the reactor 120, and 102 is a main steam pipe 12 connecting the reactor 120 and the condenser 121.
a main steam flow rate detector that detects the amount of steam flowing through 2;
103 is a water supply flow rate detector that detects the flow rate of water flowing through the water supply piping to the nuclear reactor 120. here,
Although not shown, the reactor water level detector 101 has three
There are several. In addition, the main steam pipe 122 has 4
One main steam flow detector 10 for each
2 is provided. Further, two water supply pipes are provided, and two water supply flow rate detectors 103 are provided for each pipe. Therefore, three reactor water level signals, four main steam flow rate signals, and four feedwater flow rate signals are input to the feedwater control system 104. The water supply control system 104 has the configuration shown in FIG. 1, and FIG. 2 shows a block diagram showing an outline of its control operation. That is, the feedwater control system 104 takes in the above-described reactor water level signal, main steam flow rate signal, and feedwater flow rate signal, and performs proportional-integral control 105 based on the deviation from the reactor water level set value. The output of the proportional-integral control 105 is applied to the turbine-driven water supply pumps 110, 111 and water supply regulating valves 112, 113, which are to be controlled, via a lower controller or manual/automatic switch 106 to 109, and is applied to the turbine-driven water supply pumps 110, 111 and water supply regulating valves 112, 113, respectively, which are controlled by the turbine. The rotation speed and the opening degree of the water supply adjustment valve are controlled. Now, in a typical BWR nuclear power plant, the turbine-driven water pumps 110 and 111 are 55
%, motor-driven water pumps 114 and 115 are 27.5
It has a capacity of %. When starting or stopping the plant, the motor-driven water supply pumps 114 and 115 are started and used, but in normal operating conditions, the two turbine-driven water supply pumps 110 and 111 are operated, and the two
The motor-driven water supply pumps 114 and 115 are in a standby state. In the unlikely event that the turbine-driven water supply pump 1
10, 111 trips, the motor-driven water supply pumps 114, 115 are automatically activated almost instantaneously to prevent a decrease in the water supply flow rate. In this way, for a system in which two motor-driven water pumps are installed as a backup for one turbine-driven water pump, it is possible to combine the output signal configurations of the multiplex distributed control device as described below. , a dramatic improvement in fault tolerance can be achieved. Table 1 shows the process input device 1 shown in FIG.
1, 12, 13, and 14. As described above, the reactor water level signal, main steam flow rate signal, and feed water flow rate signal input to each process input device 11, 12, 13, and 14, respectively, are detected by different reactor water level detectors and different main steam flow rate signal detections. The outputs from different water supply flow rate detectors are multiplexed and have a high degree of redundancy.
【表】
第2表は、第1図に示すプロセス出力装置1
5,16,17,18から出力される制御信号の
種類を示すものである。第2表において、通常は
第1図に示す切換回路31,32,33,34に
より、正の制御信号が出力され、障害が生た場合
には、必要に応じて副の制御信号が出力される。
尚、第2表中、TDはタービン駆動給水ポンプを
意味し、MDはモータ駆動給水ポンプを意味す
る。[Table] Table 2 shows the process output device 1 shown in Figure 1.
5, 16, 17, and 18. In Table 2, normally a positive control signal is output by the switching circuits 31, 32, 33, and 34 shown in FIG. Ru.
In Table 2, TD means a turbine-driven water pump, and MD means a motor-driven water pump.
【表】
第1表及び第2表に示す様に、プロセス情報及
び制御信号を割り当てることにより、4台のプロ
セス入力装置11,12,13,14の内の2台
が故障し、また4台のプロセス出力装置15,1
6,17,18の内の2台が故障しても、制御続
行可能である。例えば、プロセス入力装置11,
12とプロセス出力装置15,16が故障した場
合について説明する。この時、原子炉水位信号と
しては、プロセス入力装置13に入力されている
信号を単独で用い、総主蒸気流量、総給水流量は
プロセス入力装置13,14に入力されている主
蒸気流量信号及び給水流量信号より算出する。ま
た、制御信号としては、タービン駆動給水ポンプ
(110用)の制御信号が喪失してしまつている
で、同ポンプをトリツプさせ、タービン駆動給水
ポンプ111及びモータ駆動給水ポンプ114,
115の3台のポンプを、給水制御系104の制
御下におくことにより、原子炉120の水位は安
定に制御される。
なお、上記の場合と同様に、プロセス入力装置
11,13及びプロセス出力装置15,17が故
障した場合には、プロセス入力装置12,14及
びプロセス出力装置16,18によつて必要なプ
ロセス情報は確保され、かつ制御信号は一切喪失
しないことから、タービン駆動給水ポンプ1台を
トリツプする要はない。
その他のケースについても、上記2ケースと同
様であり、プロセス入力装置11〜14及びプロ
セス出力装置15〜18のうち各2台が故障して
も制御続行可能である。
以上の説明から明かな様に、本実施例によれ
ば、下記の異常発生に対しても、制御機能の継続
維持が可能であり、極めて高信頼な耐故障性の高
いシステムが構築できる。
(イ) 中央演算処理部100
3台中2台のCPUの異常に対しても運転継
続可能。
(ロ) 中央演算処理部100内のデータ伝送路3台
中2台のデータ伝送路の異常に対しても運転継
続可能。
(ハ) プロセス入出力装置
4台中2台のプロセス入力装置、プロセス出
力装置の異常に対して運転継続可能。
(ニ) プロセス入出力装置と中央演算処理部間のデ
ータ伝送路
3台中2台のデータ伝送路の異常に対しても
運転可能。
さらに、上記(イ)〜(ニ)のトラブルが複合的に発生
したとしても、ほとんどの場合制御続行可能であ
る。尚、最悪の場合、中央演算処理部100内の
CPU1台及びこれとプロセス入出力装置間を結ぶ
データ伝送路1台、プロセス入力装置2台、プロ
セス出力装置2台が正常でありさえすれば、制御
機能は確保される。
なお、上記実施例では、中央演算処理部100
内に3台のCPUを設け(3重化)、プロセス入力
装置4台、プロセス出力装置4台として説明した
が、これらの各装置は任意の値で良いことはもち
ろんである。
上述した実施例によれば、極めて耐故障性の高
いシステムが、小型にしかも安価に構築できる。
具体的には、対象とする制御システムによつて
も若干異なるが、プロセス入力回路の入力点数
が、公知例に述べた方式に比して、1/3〜1/2に減
少し、出力点数も、全点にバツクアツプを持たせ
たとしても2/3に減少し、特に重要な制御信号の
みバツクアツプを持たせる方式とすれば、1/3〜
1/2に減少する。また、制御信号の切替回路も、
3点から1点を選択するのではなく、2点のどち
らかを選択する方式となるため、1/2以下に減少
する。
従つて、全体としては、システム規模にもよる
が、BWR原子力発電所給水制御系レベルの場合
には、約50%小型化が可能となる。
[発明の効果]
本発明によれば、小型でかつ安価、しかも耐故
障性の極めて高いプラント制御装置を構築するこ
とが可能となる。[Table] As shown in Tables 1 and 2, by assigning process information and control signals, two of the four process input devices 11, 12, 13, and 14 failed, and four process output device 15,1
Even if two of the units 6, 17, and 18 fail, control can continue. For example, the process input device 11,
A case where the process output device 12 and the process output devices 15 and 16 are out of order will be explained. At this time, the signal input to the process input device 13 is used alone as the reactor water level signal, and the total main steam flow rate and the total feed water flow rate are determined by the main steam flow rate signal input to the process input devices 13 and 14, Calculated from the water supply flow rate signal. In addition, as for the control signal, since the control signal for the turbine-driven water supply pump (for 110) has been lost, the same pump is tripped, and the turbine-driven water supply pump 111 and the motor-driven water supply pump 114,
By placing the three pumps 115 under the control of the water supply control system 104, the water level of the reactor 120 is stably controlled. Note that, similarly to the above case, if the process input devices 11, 13 and process output devices 15, 17 are out of order, the necessary process information is not provided by the process input devices 12, 14 and process output devices 16, 18 There is no need to trip a single turbine-driven feedwater pump, as the system is secured and no control signals are lost. The other cases are similar to the above two cases, and control can be continued even if two of each of the process input devices 11 to 14 and the process output devices 15 to 18 fail. As is clear from the above description, according to this embodiment, it is possible to maintain the control function continuously even in the event of the occurrence of the following abnormality, and it is possible to construct an extremely reliable system with high fault tolerance. (b) Central processing unit 100 Operation can continue even if two out of three CPUs fail. (b) Operation can be continued even if two of the three data transmission lines in the central processing unit 100 are abnormal. (c) Process input/output devices Operation can be continued even if two of the four process input devices and process output devices are abnormal. (d) Data transmission line between the process input/output device and the central processing unit Can operate even if there is an error in the data transmission line of two out of three units. Furthermore, even if the troubles (a) to (d) above occur in combination, control can be continued in most cases. In addition, in the worst case, the central processing unit 100
As long as one CPU, one data transmission path connecting it to the process input/output device, two process input devices, and two process output devices are in normal condition, the control function is secured. Note that in the above embodiment, the central processing unit 100
Although the description has been made assuming that three CPUs are provided within the device (triplex), four process input devices, and four process output devices, it goes without saying that each of these devices may have any value. According to the embodiments described above, a system with extremely high fault tolerance can be constructed in a small size and at low cost. Specifically, although it varies slightly depending on the target control system, the number of input points of the process input circuit is reduced to 1/3 to 1/2 compared to the method described in the known example, and the number of output points is reduced. However, even if all points have backups, it will be reduced to 2/3, and if only particularly important control signals have backups, it will be reduced by 1/3 to 1/3.
Reduced by 1/2. In addition, the control signal switching circuit is
Instead of selecting one point out of three points, the method selects one of two points, so the number is reduced to less than 1/2. Therefore, overall, depending on the system scale, it is possible to reduce the size by about 50% at the level of a BWR nuclear power plant water supply control system. [Effects of the Invention] According to the present invention, it is possible to construct a plant control device that is small, inexpensive, and has extremely high fault tolerance.
第1図は本発明の一実施例を示すブロツク図、
第2図は本発明をBWR原子力発電所の給水制御
系に適用した具体例を示すブロツク図である。
1,2,3…CPU、4,5,6,7,8,9
…データ伝送路、11,12,13,14…プロ
セス入力装置、15,16,17,18…プロセ
ス出力装置、31,32,33,34…切替回
路、100…中央演算処理部、101…原子炉水
位検出器、102…主蒸気流量検出器、103…
給水流量検出器、104…給水制御系、105…
比例積分制御、106〜109…手動/自動切換
器、110,111…タービン駆動給水ポンプ、
112,113…給水調整弁、114,115…
モータ駆動給水ポンプ、120…原子炉、121
…復水器、200…プロセス入出力部。
FIG. 1 is a block diagram showing one embodiment of the present invention;
FIG. 2 is a block diagram showing a specific example in which the present invention is applied to a water supply control system of a BWR nuclear power plant. 1, 2, 3...CPU, 4, 5, 6, 7, 8, 9
...Data transmission path, 11, 12, 13, 14... Process input device, 15, 16, 17, 18... Process output device, 31, 32, 33, 34... Switching circuit, 100... Central processing unit, 101... Atom Reactor water level detector, 102...Main steam flow rate detector, 103...
Water supply flow rate detector, 104... Water supply control system, 105...
Proportional-integral control, 106-109...manual/automatic switch, 110, 111...turbine-driven water supply pump,
112, 113... Water supply adjustment valve, 114, 115...
Motor-driven water supply pump, 120... Nuclear reactor, 121
...Condenser, 200...Process input/output unit.
Claims (1)
配置された複数個のプロセス入力装置と、複数個
の前記プロセス入力装置から取り込んだプロセス
情報を演算処理して制御信号を求め出力する複数
個の情報処理装置と、複数個の前記情報処理装置
から出力される制御信号を取り込み所定論理に基
づき処理してプラントの制御信号として出力する
分散配置された複数個のプロセス出力装置と、各
情報処理装置毎に各情報処理装置を複数個の前記
プロセス入力装置及び複数個の前記プロセス出力
装置に接続する複数個のデータ伝送路とを設けた
ことを特徴とするプラント制御装置。 2 特許請求の範囲第1項において、複数のプロ
セス入力装置は、同一種類のプロセス情報を検出
する複数の検出器の出力が別々に入力される構成
となつていることを特徴とするプラント制御装
置。 3 特許請求の範囲第1項または第2項におい
て、各プロセス出力装置は自装置に対応する制御
対象に個別の制御信号を出力する構成となつてい
ることを特徴とするプラント制御装置。 4 特許請求の範囲第3項において、プラント運
転上重要な制御対象に与える制御信号は該制御信
号と同一の制御信号を他のプロセス出力装置から
も出力できる構成とし、プラント運転上重要な制
御対象に制御信号を出力するプロセス出力装置が
故障したときには前記他のプロセス出力装置から
出力される制御信号を前記制御対象に与える切替
回路を設けたことを特徴とするプラント制御装
置。 5 特許請求の範囲第1項乃至第4項のいずれか
において、複数個の情報処理装置は相互に通信を
行う伝送路で接続されていることを特徴とするプ
ラント制御装置。[Scope of Claims] 1. A plurality of distributed process input devices into which a plurality of process information is input, and a control signal is obtained by processing the process information taken in from the plurality of process input devices. a plurality of information processing devices that output information, and a plurality of distributed process output devices that take in control signals output from the plurality of information processing devices, process them based on predetermined logic, and output them as plant control signals; . A plant control device, characterized in that each information processing device is provided with a plurality of data transmission paths connecting each information processing device to the plurality of process input devices and the plurality of process output devices. 2. A plant control device according to claim 1, characterized in that the plurality of process input devices are configured to separately input the outputs of a plurality of detectors that detect the same type of process information. . 3. A plant control device according to claim 1 or 2, wherein each process output device is configured to output an individual control signal to a control target corresponding to the device itself. 4 In claim 3, the control signal given to the control target important for plant operation is configured so that the same control signal as the control signal can be output from other process output devices, and the control signal is given to the control target important for plant operation. 1. A plant control device comprising: a switching circuit that provides a control signal output from the other process output device to the controlled object when a process output device that outputs a control signal to the other process output device fails. 5. A plant control device according to any one of claims 1 to 4, characterized in that the plurality of information processing devices are connected by a transmission path for mutual communication.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP14263585A JPS625402A (en) | 1985-07-01 | 1985-07-01 | Plant controller |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP14263585A JPS625402A (en) | 1985-07-01 | 1985-07-01 | Plant controller |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPS625402A JPS625402A (en) | 1987-01-12 |
| JPH0543121B2 true JPH0543121B2 (en) | 1993-06-30 |
Family
ID=15319935
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP14263585A Granted JPS625402A (en) | 1985-07-01 | 1985-07-01 | Plant controller |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JPS625402A (en) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4731364B2 (en) * | 2000-04-28 | 2011-07-20 | 株式会社日立製作所 | Multiplexing control system and multiplexing method thereof |
| KR100520423B1 (en) * | 2000-04-28 | 2005-10-11 | 가부시끼가이샤 히다치 세이사꾸쇼 | Multiplexing control system and multiplexing method therefor |
| US7292896B2 (en) | 2000-04-28 | 2007-11-06 | Hitachi, Ltd. | Multiplexing control system and multiplexing method therefor |
| US7292897B2 (en) | 2000-04-28 | 2007-11-06 | Hitachi, Ltd. | Multiplexing control system and multiplexing method therefor |
| JP6757798B2 (en) | 2016-09-15 | 2020-09-23 | アルプスアルパイン株式会社 | Physical quantity measuring device |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPS59212902A (en) * | 1983-05-18 | 1984-12-01 | Hitachi Ltd | Multiplexing controller |
| JPS6045801A (en) * | 1983-08-24 | 1985-03-12 | Hitachi Ltd | Multiplexed constitution controller |
-
1985
- 1985-07-01 JP JP14263585A patent/JPS625402A/en active Granted
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPS59212902A (en) * | 1983-05-18 | 1984-12-01 | Hitachi Ltd | Multiplexing controller |
| JPS6045801A (en) * | 1983-08-24 | 1985-03-12 | Hitachi Ltd | Multiplexed constitution controller |
Also Published As
| Publication number | Publication date |
|---|---|
| JPS625402A (en) | 1987-01-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US4667284A (en) | Multiplexing control unit | |
| KR20010013661A (en) | Safety or protection system employing reflective memory and/or diverse processors and communications | |
| JP2000181501A (en) | Duplex controller | |
| JPH0543121B2 (en) | ||
| JPH07334382A (en) | Multicontroller system | |
| JP4731364B2 (en) | Multiplexing control system and multiplexing method thereof | |
| KR100520423B1 (en) | Multiplexing control system and multiplexing method therefor | |
| JP5319499B2 (en) | Multiplexing controller | |
| JPH0944203A (en) | Redundancy control system | |
| KR19990082957A (en) | Fault tolerant control system | |
| US7292897B2 (en) | Multiplexing control system and multiplexing method therefor | |
| JPH04109303A (en) | Adjustment controller | |
| JPH04294401A (en) | Device for protecting plant | |
| JPS62226301A (en) | Multiplexing control device | |
| JPS6213121Y2 (en) | ||
| JPH02278457A (en) | Digital information processor | |
| JP2647392B2 (en) | Controller abnormality diagnosis method | |
| JPS60221802A (en) | Multiplexing device for control | |
| JP2006268882A (en) | Process-controlling device | |
| JPS61180302A (en) | Automatic controller | |
| JPS60157603A (en) | Feed flow rate controller for nuclear reactor | |
| Kakehi et al. | Microprocessor-based fault-tolerant reactor control and information system | |
| Martini et al. | Prevention of loss of control in chemical plants under computer control | |
| JPS5828699A (en) | Feedwater control device for bwr type reactor | |
| JPS63210504A (en) | Feedwater flowmeter selector for water-level controller |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| LAPS | Cancellation because of no payment of annual fees |