WO2012018016A1

WO2012018016A1 - 原子力施設の制御システム

Info

Publication number: WO2012018016A1
Application number: PCT/JP2011/067684
Authority: WO
Inventors: 正文内海; 秀和佐竹; 清水　勝
Original assignee: 三菱重工業株式会社
Priority date: 2010-08-06
Filing date: 2011-08-02
Publication date: 2012-02-09
Also published as: JP2012037393A; US9368240B2; US20130129028A1; JP5675208B2; EP2602794A4; EP2602794A1; EP2602794B1

Abstract

　原子力施設の異常発生時に出力される異常検出信号に基づいて、原子力施設に設けられた機器を安全側に作動制御した結果、機器が正常に作動した場合に正常作動信号Ｓ１を出力する安全保護系設備４３と、異常検出信号および正常作動信号Ｓ１の出力結果から、原子力施設の異常発生時に機器が正常に作動しなかったと判断した場合、機器を安全側に作動させるためのＣＣＦ時作動信号Ｓ２を出力するＣＣＦ対策設備４４と、を有し、ＣＣＦ対策設備４４は、正常作動信号Ｓ１の入力の有無を否定して出力可能なＮＯＴ回路７６，８６，９８と、ＮＯＴ回路７６，８６，９８から出力される信号の入力の有無、および異常検出信号の入力の有無に基づいて、ＣＣＦ時作動信号Ｓ２を出力可能な第１ＡＮＤ回路７５，８５，１００とを有する。

Description

原子力施設の制御システム

　本発明は、原子力施設に設けられた主制御装置が、共通要因故障等の不具合により、機器を安全側に作動制御できなかった場合に、原子力施設に設けられた補助制御装置によって、機器を安全側に作動させる原子力施設の制御システムに関するものである。

　従来、運転中に原子力施設が異常状態となった場合に、ソフトウェア上における共通要因故障（共通類型故障）を考慮して、原子炉停止および工学的安全設備を作動させる原子炉保護システムが知られている（例えば、特許文献１参照）。この原子炉保護システムは、２つの比較論理プロセッサーモジュールを有しており、２つの比較論理プロセッサーモジュールは、異なるタイプのＣＰＵを備えている。一方の比較論理プロセッサーモジュールは、入力されたデータを、第１処理順序に従って処理することで、トリップ状態信号を出力する。他方の比較論理プロセッサーモジュールは、入力されたデータを、第１処理順序の逆順となる第２処理順序に従って処理することで、トリップ状態信号を出力する。このため、この原子炉保護システムでは、一方の比較論理プロセッサーモジュールとは異なる他方の比較論理プロセッサーモジュールを用いて、トリップ状態信号を出力することができるため、共通要因故障を排除したシステムとすることができる。

特表２００４－５２９３５３号公報

　しかしながら、２つの比較論理プロセッサーモジュールのうち、いずれか一方が誤作動によりトリップ状態信号を出力した場合、原子炉保護システムは、原子炉の運転を停止することとなる。このため、誤作動により原子炉の運転が停止してしまうと、原子炉の運転を復帰させるまでの間、原子力施設を稼動させることができないため、原子力施設の稼働率が低下してしまう。

　そこで、本発明は、誤作動による原子力施設の稼働率低下を抑制することができる原子力施設の制御システムを提供することを課題とする。

　本発明の原子力施設の制御システムは、原子力施設に設けられ、原子力施設の異常発生時において、異常検出信号を出力可能な検出センサと、異常検出信号に基づいて、原子力施設に設けられた機器を安全側に作動制御した結果、機器が正常に作動した場合に正常作動信号を出力する主制御装置と、異常検出信号および正常作動信号の出力結果から、原子力施設の異常発生時に機器が正常に作動しなかったと判断した場合、機器を安全側に作動させるための補助作動信号を出力し、主制御装置の補助となる補助制御装置と、を有し、補助制御装置は、主制御装置の出力側に接続され、正常作動信号の入力の有無を否定して出力可能なＮＯＴ回路と、ＮＯＴ回路から出力される信号の入力の有無、および異常検出信号の入力の有無に基づいて、補助作動信号を出力可能な第１ＡＮＤ回路と、を有していることを特徴とする。

　この構成によれば、主制御装置が正常に作動している状態において、検出センサから異常検出信号が主制御装置および補助制御装置に入力されると、主制御装置は、異常検出信号に基づいて、原子力施設に設けられた機器を安全側に作動制御する。そして、主制御装置は、機器を安全側に作動制御した結果、機器が正常に作動した場合に正常作動信号を出力する。このとき、補助制御装置には、正常作動信号が入力されるが、ＮＯＴ回路を通ることで、第１ＡＮＤ回路には、信号が入力されない。このため、第１ＡＮＤ回路に異常検出信号が入力されても、第１ＡＮＤ回路から補助作動信号が出力されない。これにより、主制御装置が正常に作動している状態（例えば、共通要因故障が発生していない状態）において、原子力施設に異常が発生すると、主制御装置は、正常作動信号を出力する一方で、補助制御装置は、第１ＡＮＤ回路により補助作動信号の出力を阻止することができる。一方で、主制御装置の誤作動状態（例えば、共通要因故障が発生している状態）において、検出センサから異常検出信号が主制御装置および補助制御装置に入力されると、主制御装置から正常作動信号が出力されない場合がある。このとき、補助制御装置には、正常作動信号が入力されないが、ＮＯＴ回路を通ることで、第１ＡＮＤ回路には、信号が入力される。このため、第１ＡＮＤ回路には、ＮＯＴ回路からの信号と異常検出信号とが入力されるため、第１ＡＮＤ回路は補助作動信号を出力することができる。これにより、主制御装置が誤作動しても、補助制御装置は、第１ＡＮＤ回路から補助作動信号を出力することができるため、原子力施設に設けられた機器を安全側に作動させることができる。

　この場合、補助制御装置は、主制御装置が異常検出信号を受信してから、第１ＡＮＤ回路へ正常作動信号を出力するまでの所定時間分、異常検出信号の第１ＡＮＤ回路への出力を遅らせるディレイ回路を有していることが、好ましい。

　この構成によれば、ディレイ回路は、ＮＯＴ回路を介して第１ＡＮＤ回路に正常作動信号が入力されるまでの所定時間分、第１ＡＮＤ回路への異常検出信号の出力を遅らせることができる。つまり、正常作動信号がＮＯＴ回路を介して第１ＡＮＤ回路に入力されなければ、第１ＡＮＤ回路には、ＮＯＴ回路から出力される信号が入力される状態となる。この状態において、異常検出信号が入力されると、第１ＡＮＤ回路から補助作動信号が出力されてしまう。よって、ディレイ回路を設けることにより、異常検出信号は、正常作動信号がＮＯＴ回路を介して第１ＡＮＤ回路へ入力された後に入力される。このため、第１ＡＮＤ回路は、ＮＯＴ回路から出力される信号の入力の有無を検知した後で、異常検出信号の入力の有無を検知することで、必要時のみ補助作動信号の出力の有無を行うことができる。

　この場合、手動操作により補助作動信号の出力を許可するための許可信号を出力可能な第１手動操作部を、さらに備え、補助制御装置は、第１ＡＮＤ回路から出力される補助作動信号の入力の有無、および許可信号の入力の有無に基づいて、補助作動信号を出力可能な第２ＡＮＤ回路を、さらに有していることが、好ましい。

　この構成によれば、第１手動操作部が手動操作されることにより、許可信号が第２ＡＮＤ回路に入力されると、第２ＡＮＤ回路は、補助作動信号を出力可能な状態とすることができる。一方で、第１手動操作部が手動操作されることにより、許可信号が第２ＡＮＤ回路に入力されなければ、第２ＡＮＤ回路は、補助作動信号を出力不能な状態とすることができる。これにより、第１手動操作部を適宜手動操作することで、運転員は、簡単に補助作動信号の出力の有無をコントロールすることができる。

　この場合、手動操作により原子力施設に設けられた機器を安全側に作動させるための手動作動信号を出力可能な第２手動操作部を、さらに備え、第２ＡＮＤ回路から出力される補助作動信号の入力の有無、および手動作動信号の入力の有無に基づいて、第２補助作動信号を出力可能なＯＲ回路を、さらに有していることが、好ましい。

　この構成によれば、ＯＲ回路に、手動作動信号および補助作動信号の少なくともいずれか一方が入力されれば、ＯＲ回路は、第２補助作動信号を出力することができる。これにより、第２手動操作部を適宜手動操作することで、運転員は、簡単に第２補助作動信号を出力することができるため、手動操作により機器を安全側へ作動させることができる。

　この場合、原子力施設は、内部に炉心を有する原子炉と、原子炉を格納する原子炉格納容器と、機器と、を有し、機器は、炉心の損傷を防止する炉心損傷防止機器と、原子炉格納容器の破損を防止する容器破損防止機器と、を有し、補助制御装置は、補助作動信号を出力することで、炉心損傷防止機器および容器破損防止機器を安全側に作動させることが、好ましい。

　この構成によれば、補助制御装置は、炉心損傷防止機器を安全側に作動させる補助作動信号と、容器破損防止機器を安全側に作動させる補助作動信号とを出力すればよいため、補助制御装置を最低限の構成することができ、これにより、補助制御装置を簡易な構成とすることができる。

　この場合、主制御装置は、ハードウェア上においてソフトウェアが実行されるデジタル設備を有し、補助制御装置は、電子部品の各接点を配線により接続して構成されたアナログ設備であることが、好ましい。

　この構成によれば、主制御装置と補助制御装置とを異なる構成とすることができるため、共通要因故障の発生を抑制することができる。これにより、主制御装置のデジタル設備に共通要因故障が発生しても、原子力施設の異常発生時において、補助制御装置は、原子力施設に設けられた機器を安全側に作動させることができる。

　本発明の原子力施設の制御システムによれば、主制御装置が正常に作動する場合、原子力施設に設けられた機器は、補助制御装置により作動せず、一方で、主制御装置が共通要因故障等により誤作動する場合、原子力施設に設けられた機器は、必要時に補助制御装置により作動できる。このため、原子力施設の異常発生時において、原子力施設に設けられた機器は、主制御装置および補助制御装置により好適に安全側に作動することができる。また、主制御装置が正常に作動する場合、原子力施設に設けられた機器は、補助制御装置の誤作動によって作動することがないため、誤作動による原子力施設の稼働率低下を抑制することができる。

図１は、本実施例に係る制御システムにより制御される原子力施設を模式的に表した概略構成図である。図２は、本実施例に係る原子力施設の制御システムの構成図である。図３は、原子力施設に発生すると想定され得る異常事象と、想定された異常事象に応じて実施される炉心損傷防止機能および容器破損防止機能の種類と、を対応付けた表である。

　以下、添付した図面を参照して、本発明に係る原子力施設の制御システムについて説明する。なお、以下の実施例によりこの発明が限定されるものではない。また、下記実施例における構成要素には、当業者が置換可能かつ容易なもの、或いは実質的に同一のものが含まれる。

　図１は、本実施例に係る制御システムにより制御される原子力施設を模式的に表した概略構成図である。本発明に係る原子力施設１の制御システム４０は、原子炉５を有する原子力施設１を制御するものであり、原子炉５としては、例えば、加圧水型原子炉（ＰＷＲ：Pressurized Water Reactor）が用いられている。この加圧水型の原子炉５を用いた原子力施設１は、原子炉５を含む原子炉冷却系３と、原子炉冷却系３と熱交換するタービン系４とで構成されており、原子炉冷却系３には、原子炉冷却材が流通し、タービン系４には、二次冷却材が流通している。

　原子炉冷却系３は、原子炉５と、コールドレグ６ａおよびホットレグ６ｂから成る冷却材配管６ａ，６ｂを介して原子炉５に接続された蒸気発生器７とを有している。また、ホットレグ６ｂには、加圧器８が介設され、コールドレグ６ａには、冷却材ポンプ９が介設されている。そして、原子炉５、冷却材配管６ａ，６ｂ、蒸気発生器７、加圧器８および冷却材ポンプ９は、原子炉格納容器１０に収容されている。

　原子炉５は、上記したように加圧水型原子炉であり、その内部は原子炉冷却材で満たされている。そして、原子炉５内には、多数の燃料集合体１５が収容されると共に、燃料集合体１５の核分裂を制御する多数の制御棒１６が、各燃料集合体１５に対し、挿入可能に設けられている。

　制御棒１６により核分裂反応を制御しながら燃料集合体１５を核分裂させると、この核分裂により熱エネルギーが発生する。発生した熱エネルギーは原子炉冷却材を加熱し、加熱された原子炉冷却材は、ホットレグ６ｂを介して蒸気発生器７へ送られる。一方、コールドレグ６ａを介して各蒸気発生器７から送られてきた原子炉冷却材は、原子炉５内に流入して、原子炉５内を冷却する。

　ホットレグ６ｂに介設された加圧器８は、高温となった原子炉冷却材を加圧することにより、原子炉冷却材の沸騰を抑制している。また、蒸気発生器７は、高温高圧となった原子炉冷却材を、二次冷却材と熱交換させることにより、二次冷却材を蒸発させて蒸気を発生させ、且つ、高温高圧となった原子炉冷却材を冷却している。各冷却材ポンプ９は、原子炉冷却系３において原子炉冷却材を循環させており、原子炉冷却材を各蒸気発生器７からコールドレグ６ａを介して原子炉５へ送り込むと共に、原子炉冷却材を原子炉５からホットレグ６ｂを介して各蒸気発生器７へ送り込んでいる。

　ここで、原子力施設１の原子炉冷却系３における一連の動作について説明する。原子炉５内の核分裂反応により発生した熱エネルギーにより、原子炉冷却材が加熱されると、加熱された原子炉冷却材は、各冷却材ポンプ９によりホットレグ６ｂを介して各蒸気発生器７に送られる。ホットレグ６ｂを通過する高温の原子炉冷却材は、加圧器８により加圧されることで沸騰が抑制され、高温高圧となった状態で、各蒸気発生器７に流入する。各蒸気発生器７に流入した高温高圧の原子炉冷却材は、二次冷却材と熱交換を行うことにより冷却され、冷却された原子炉冷却材は、各冷却材ポンプ９によりコールドレグ６ａを介して原子炉５に送られる。そして、冷却された原子炉冷却材が原子炉５に流入することで、原子炉５が冷却される。つまり、原子炉冷却材は、原子炉５と蒸気発生器７との間を循環している。なお、原子炉冷却材は、冷却材および中性子減速材として用いられる軽水である。

　タービン系４は、蒸気管２１を介して各蒸気発生器７に接続されたタービン２２と、タービン２２に接続された復水器２３と、復水器２３と各蒸気発生器７とを接続する給水管２６に介設された給水ポンプ２４と、を有している。そして、上記のタービン２２には、発電機２５が接続されている。

　ここで、原子力施設１のタービン系４における一連の動作について説明する。蒸気管２１を介して各蒸気発生器７から蒸気がタービン２２に流入すると、タービン２２は回転を行う。タービン２２が回転すると、タービン２２に接続された発電機２５は、発電を行う。この後、タービン２２から流出した蒸気は復水器２３に流入する。復水器２３は、その内部に冷却管２７が配設されており、冷却管２７の一方には冷却水（例えば、海水）を供給するための取水管２８が接続され、冷却管２７の他方には冷却水を排水するための排水管２９が接続されている。そして、復水器２３は、タービン２２から流入した蒸気を冷却管２７により冷却することで、蒸気を液体に戻している。液体となった二次冷却材は、給水ポンプ２４により給水管２６を介して各蒸気発生器７に送られる。各蒸気発生器７に送られた二次冷却材は、各蒸気発生器７において原子炉冷却材と熱交換を行うことにより再び蒸気となる。

　図２は、本実施例に係る原子力施設の制御システムの構成図である。上記のように構成された原子力施設１には、原子力施設１に設けられた上記の各種ポンプや図示しないバルブ等の各機器の作動を制御する制御システム４０が配設されている。この制御システム４０は、図示しない中央制御設備と、図示しないプラント制御設備と、安全保護系設備（主制御装置）４３と、ＣＣＦ対策設備（補助制御装置）４４とを有している。

　図示は省略するが、中央制御設備は、原子力施設１の運転状況を表示する表示装置や、原子力施設１を操作する操作装置等が設けられている。そして、原子力施設１を運転するオペレータは、表示装置を視認して原子力施設１の運転状況を把握し、操作装置を適宜操作することで、原子力施設１を運転する。プラント制御設備は、中央制御設備の操作装置から出力された操作信号に基づいて、原子力施設１の原子炉５や各機器の運転を制御している。

　図２に示すように、安全保護系設備４３は、原子力施設１に異常が発生した場合、原子力施設１が安全に停止するように制御している。ＣＣＦ対策設備４４は、安全保護系設備４３を補助するバックアップ設備となっており、安全保護系設備４３に共通要因故障（ＣＣＦ：Common Cause Failure）等の不具合が生じた場合、原子力施設１が安全に停止するように制御している。

　安全保護系設備４３は、複数の制御盤を用いて構成されており、複数の制御盤は、その一部が、ＣＰＵ等の演算装置を搭載した、いわゆるデジタル設備を含み、デジタル設備は、演算装置により各種プログラムを実行することで、原子力施設１の安全保護系を制御可能な設備となっている。なお、安全保護系とは、原子炉５の核反応を停止させる、原子力施設１を冷却する、原子力施設１からの放射性物質の漏洩を防ぐという機能を有する機能系統である。そして、安全保護系設備４３は、確実に作動可能で、且つ、厳しい環境下においても作動可能なように、動作保証が高いものとなっている。

　安全保護系設備４３には、原子力施設１内に配設された各種検出センサ５０が接続されており、各種検出センサ５０から得られる異常検出信号に基づいて、原子力施設１に異常が発生したか否かを判断している。そして、安全保護系設備４３は、原子力施設１に異常が発生したと判断した場合、各機器を安全側に作動させる作動信号を各機器へ向けて出力すると共に、各機器が正常に作動した場合に正常作動信号Ｓ１をＣＣＦ対策設備４４へ向けて出力する。ここで、正常作動信号Ｓ１としては、原子炉５を停止するための原子炉トリップ信号Ｔや、タービン２２に二次冷却材を補給するための補助給水信号Ｓ等がある。

　ＣＣＦ対策設備４４は、安全保護系設備４３に共通要因故障（Common Cause Failure）が発生した場合を想定して設けられている。ＣＣＦ対策設備４４は、アナログ設備であり、スイッチやリレー等の電気回路部品を用い、各接点を電線でつなぐことにより構成されている。ここで、共通要因故障とは、デジタル設備において用いられるソフトウェアがバグ等の共通の要因により実行されない事象である。つまり、本実施例では、安全保護系設備４３をデジタル設備、ＣＣＦ対策設備４４をアナログ設備とすることで、共通要因故障により安全保護系設備４３およびＣＣＦ対策設備４４が同時に故障する虞を排除している。

　ＣＣＦ対策設備４４にも、上記の各種検出センサ５０が接続されており、安全保護系設備４３と同様に、各種検出センサ５０から得られる異常検出信号に基づいて、原子力施設１に異常が発生したか否かを判断している。そして、ＣＣＦ対策設備４４は、原子力施設１に異常が発生したと判断した場合、各機器を安全側に作動させる補助作動信号Ｓ２を、各機器へ向けて出力する。なお、補助作動信号Ｓ２としては、正常作動信号Ｓ１と同様に、原子炉５を停止するための原子炉トリップ信号Ｔや、タービン２２に二次冷却材を補給するための補助給水信号Ｓ等がある。

　また、ＣＣＦ対策設備４４は、補助作動信号Ｓ２を自動で出力可能な自動制御盤５２と、手動操作により補助作動信号Ｓ２を出力可能な手動操作盤５３と、を有している。自動制御盤５２は、検出センサ５０から得られる異常検出信号に基づいて、原子力施設１に異常が発生したと判断した場合、各機器を安全側に作動させる補助作動信号Ｓ２を、各機器へ向けて出力する。

　手動操作盤５３は、手動操作により各種信号を出力する図示しない複数の操作部を有している。複数の操作部としては、例えば、原子炉トリップ信号Ｔを出力可能な操作部や、自動制御盤５２による原子炉トリップ信号Ｔの出力を許可するトリップ許可信号Ｋ１と、自動制御盤５２による補助給水信号Ｓの出力を許可する補助給水許可信号Ｋ２と、自動制御盤５２による警報の発生を許可する警報許可信号Ｋ３と、を出力可能な操作部がある。

　自動制御盤５２は、入力された異常検出信号に基づいて各種信号を出力する複数の作動回路を有している。複数の作動回路としては、例えば、原子炉トリップ信号Ｔを出力する原子炉停止回路６０と、補助給水信号Ｓを出力する補助給水起動回路６１と、警報を発生する警報回路６２と、を備えている。また、自動制御盤５２は、加圧器８の圧力を検出する検出センサ５０から出力された異常検出信号を取得する加圧器圧力用バイステーブル６５と、蒸気発生器７の水位を検出する検出センサ５０から出力された異常検出信号を取得する蒸気発生器水位用バイステーブル６６とを備え、上記の作動回路６０，６１，６２は、加圧器圧力用バイステーブル６５または蒸気発生器水位用バイステーブル６６に接続されている。

　加圧器圧力用バイステーブル６５は、低圧力用バイステーブル６５ａと、高圧力用バイステーブル６５ｂとを有している。低圧力用バイステーブル６５ａは、原子力施設１に設けられた加圧器８に応じて複数（本実施例では２つ）配設され、予め設定された下限圧力値よりも低い圧力値を取得した場合に異常検出信号を出力する。高圧力用バイステーブル６５ｂは、原子力施設１に設けられた加圧器８に応じて複数（本実施例では２つ）配設され、予め設定された上限圧力値よりも高い圧力を取得した場合に異常検出信号を出力する。

　蒸気発生器水位用バイステーブル６６は、低水位用バイステーブル６６ａと、高水位用バイステーブル６６ｂとを有している。低水位用バイステーブル６６ａは、原子力施設１に設けられた蒸気発生器７に応じて複数（本実施例では４つ）配設され、予め設定された下限水位値よりも低い水位値を取得した場合に異常検出信号を出力する。高水位用バイステーブル６６ｂは、原子力施設１に設けられた蒸気発生器７に応じて複数（本実施例では４つ）配設され、予め設定された上限水位値よりも高い水位値を取得した場合に異常検出信号を出力する。

　原子炉停止回路６０は、低圧力用バイステーブル６５ａの出力側に接続されたＡＮＤ回路７０と、高圧力用バイステーブル６５ｂの出力側に接続されたＡＮＤ回路７１と、低水位用バイステーブル６６ａの出力側に接続された票決回路７２とを有している。また、原子炉停止回路６０は、ＡＮＤ回路７０、ＡＮＤ回路７１および票決回路７２の出力側に接続されたＯＲ回路７３と、ＯＲ回路７３の出力側に接続されたディレイ回路７４と、ディレイ回路７４の出力側に接続された第１ＡＮＤ回路７５と、第１ＡＮＤ回路７５の入力側に接続されたＮＯＴ回路７６と、を有している。

　ＡＮＤ回路７０は、２つの低圧力用バイステーブル６５ａから異常検出信号が入力されると、異常検出信号をＯＲ回路７３へ向けて出力する。一方で、ＡＮＤ回路７０は、少なくともいずれか一方の低圧力用バイステーブル６５ａから異常検出信号が出力されなければ、異常検出信号を出力しない。

　ＡＮＤ回路７１は、２つの高圧力用バイステーブル６５ｂから異常検出信号が入力されると、異常検出信号をＯＲ回路７３へ向けて出力する。一方で、ＡＮＤ回路７１は、少なくともいずれか一方の高圧力用バイステーブル６５ｂから異常検出信号が出力されなければ、異常検出信号を出力しない。

　票決回路７２は、４つの低水位用バイステーブル６６ａのうち、３つの低水位用バイステーブル６６ａから異常検出信号が入力されると、異常検出信号をＯＲ回路７３へ向けて出力する。一方で、票決回路７２は、少なくとも３つの低水位用バイステーブル６６ａから異常検出信号が出力されなければ、異常検出信号を出力しない。

　ＯＲ回路７３は、ＡＮＤ回路７０、ＡＮＤ回路７１および票決回路７２のうち、少なくともいずれか１つの回路から異常検出信号が入力されると、原子炉トリップ信号Ｔをディレイ回路７４へ向けて出力する。

　ＮＯＴ回路７６は、その入力側が安全保護系設備４３に接続されており、安全保護系設備４３から出力される原子炉トリップ信号Ｔを否定して、第１ＡＮＤ回路７５へ向けて出力する。つまり、安全保護系設備４３から原子炉トリップ信号Ｔが出力されると、ＮＯＴ回路７６は、第１ＡＮＤ回路７５へ向けて信号を出力しない。一方で、安全保護系設備４３から原子炉トリップ信号Ｔが出力されないと、ＮＯＴ回路７６は、第１ＡＮＤ回路７５へ向けて信号を出力する。

　第１ＡＮＤ回路７５は、ＮＯＴ回路７６から信号が入力され、且つ、ＯＲ回路７３から原子炉トリップ信号Ｔが入力されると、原子炉トリップ信号Ｔを出力する。一方で、第１ＡＮＤ回路７５は、ＮＯＴ回路７６またはＯＲ回路７３から信号が出力されなければ、原子炉トリップ信号Ｔを出力しない。

　ディレイ回路７４は、安全保護系設備４３に異常検出信号が入力されてから、ＮＯＴ回路７６を介して第１ＡＮＤ回路７５に原子炉トリップ信号Ｔが入力されるまでのディレイ時間分、ＯＲ回路７３から第１ＡＮＤ回路７５へ向けて出力される原子炉トリップ信号Ｔを遅れさせている。

　また、原子炉停止回路６０は、第１ＡＮＤ回路７５の出力側に接続されたラッチ回路７８と、ラッチ回路７８の出力側に接続されたＯＲ回路７９と、を有している。ラッチ回路７８は、第１ＡＮＤ回路７５の出力側に接続されたラッチ用ＯＲ回路８１と、ラッチ用ＯＲ回路８１の出力側に接続されたラッチ用ＡＮＤ回路（第２ＡＮＤ回路）８２と、を有している。

　ラッチ用ＡＮＤ回路８２は、その入力側に手動操作盤５３が接続されており、手動操作盤５３からトリップ許可信号Ｋ１が入力されると、原子炉トリップ信号Ｔが出力可能な状態となる。ラッチ用ＡＮＤ回路８２は、その出力側にラッチ用ＯＲ回路８１の入力側が接続されており、ラッチ用ＡＮＤ回路８２にトリップ許可信号Ｋ１が入力されている限り、ラッチ用ＡＮＤ回路８２から原子炉トリップ信号Ｔが出力可能な状態となる。一方で、ラッチ用ＡＮＤ回路８２は、手動操作盤５３からトリップ許可信号Ｋ１が入力されないと、原子炉トリップ信号Ｔを出力することができない。

　ＯＲ回路７９は、その入力側に手動操作盤５３が接続されており、手動操作盤５３から原子炉トリップ信号Ｔが入力されるか、またはラッチ回路７８から原子炉トリップ信号Ｔが入力されると、原子炉トリップ信号Ｔ（第２補助作動信号）を出力する。

　なお、上記の原子炉停止回路６０は、タービン２２を停止するためのタービントリップ信号を出力可能なタービン停止回路としても機能すると共に、給水管２６内部に流通する冷却材を原子炉格納容器１０の内外において隔離するための給水隔離信号を出力可能な給水隔離回路としても機能する。

　補助給水起動回路６１は、上記の票決回路７２と、票決回路７２の出力側に接続されたディレイ回路８４と、ディレイ回路８４の出力側に接続された第１ＡＮＤ回路８５と、第１ＡＮＤ回路８５の入力側に接続されたＮＯＴ回路８６と、を有している。

　票決回路７２は、原子炉停止回路６０と兼用されており、４つの低水位用バイステーブル６６ａのうち、３つの低水位用バイステーブル６６ａから異常検出信号が入力されると、補助給水信号Ｓを第１ＡＮＤ回路８５へ向けて出力する。一方で、票決回路７２は、少なくとも３つの低水位用バイステーブル６６ａから異常検出信号が出力されなければ、補助給水信号Ｓを出力しない。

　ＮＯＴ回路８６は、その入力側が安全保護系設備４３に接続されており、安全保護系設備４３から出力される補助給水信号Ｓを否定して、第１ＡＮＤ回路８５へ向けて出力する。つまり、安全保護系設備４３から補助給水信号Ｓが出力されると、ＮＯＴ回路８６は、第１ＡＮＤ回路８５へ向けて信号を出力しない。一方で、安全保護系設備４３から補助給水信号Ｓが出力されないと、ＮＯＴ回路８６は、第１ＡＮＤ回路８５へ向けて信号を出力する。

　第１ＡＮＤ回路８５は、ＮＯＴ回路８６から信号が入力され、且つ、票決回路７２から補助給水信号Ｓが入力されると、補助給水信号Ｓを出力する。一方で、第１ＡＮＤ回路８５は、ＮＯＴ回路８６または票決回路７２から信号が出力されなければ、補助給水信号Ｓを出力しない。

　ディレイ回路８４は、安全保護系設備４３に異常検出信号が入力されてから、ＮＯＴ回路８６を介して第１ＡＮＤ回路８５に補助給水信号Ｓが入力されるまでのディレイ時間分、票決回路７２から第１ＡＮＤ回路８５へ向けて出力される補助給水信号Ｓを遅れさせている。

　また、補助給水起動回路６１は、第１ＡＮＤ回路８５の出力側に接続されたラッチ回路８８を有している。ラッチ回路８８は、第１ＡＮＤ回路８５の出力側に接続されたラッチ用ＯＲ回路９１と、ラッチ用ＯＲ回路９１の出力側に接続されたラッチ用ＡＮＤ回路（第２ＡＮＤ回路）９２と、を有している。

　ラッチ用ＡＮＤ回路９２は、その入力側に手動操作盤５３が接続されており、手動操作盤５３から補助給水許可信号Ｋ２が入力されると、補助給水信号Ｓを出力可能な状態となる。ラッチ用ＡＮＤ回路９２は、その出力側にラッチ用ＯＲ回路９１の入力側が接続されており、ラッチ用ＡＮＤ回路９２に補助給水許可信号Ｋ２が入力されている限り、ラッチ用ＡＮＤ回路９２から補助給水信号Ｓを出力可能な状態となる。一方で、ラッチ用ＡＮＤ回路９２は、手動操作盤５３から補助給水許可信号Ｋ２が入力されないと、補助給水信号Ｓを出力することができない。

　警報回路６２は、高水位用バイステーブル６６ｂの出力側に接続されたＯＲ回路９５と、ＯＲ回路９５の出力側に接続されたディレイ回路９６と、ディレイ回路９６の出力側に接続されたラッチ回路９７と、ラッチ回路９７の入力側に接続されたＮＯＴ回路９８と、ラッチ回路９７の出力側に接続された第２ＡＮＤ回路９９と、を有している。

　ＯＲ回路９５は、４つの高水位用バイステーブル６６ｂのうち、少なくとも１つの高水位用バイステーブル６６ｂから異常検出信号が入力されると、警報信号Ａをディレイ回路９６へ向けて出力する。

　ＮＯＴ回路９８は、その入力側が安全保護系設備４３に接続されており、安全保護系設備４３から出力される原子炉トリップ信号Ｔを否定して、ラッチ回路９７へ向けて出力する。つまり、安全保護系設備４３から原子炉トリップ信号Ｔが出力されると、ＮＯＴ回路９８は、ラッチ回路９７へ向けて信号を出力しない。一方で、安全保護系設備４３から原子炉トリップ信号Ｔが出力されないと、ＮＯＴ回路９８は、ラッチ回路９７へ向けて信号を出力する。

　ラッチ回路９７は、ディレイ回路９６の出力側に接続されたラッチ用ＡＮＤ回路（第１ＡＮＤ回路）１００と、ラッチ用ＡＮＤ回路１００の入力側に接続されたラッチ用ＯＲ回路１０１と、を有している。ラッチ用ＯＲ回路１０１は、その入力側にＮＯＴ回路９８が接続されており、ＮＯＴ回路９８から信号が入力された場合、ラッチ用ＡＮＤ回路１００へ向けて信号を出力する。ラッチ用ＡＮＤ回路１００は、その入力側に、ラッチ用ＯＲ回路１０１の出力側とディレイ回路９６の出力側とが接続されている。ラッチ用ＡＮＤ回路１００は、ラッチ用ＯＲ回路１０１から信号が入力され、且つ、ディレイ回路９６から警報信号Ａが入力されると、第２ＡＮＤ回路９９へ向けて警報信号Ａを出力する。

　第２ＡＮＤ回路９９は、その入力側に手動操作盤５３が接続されており、手動操作盤５３から警報許可信号Ｋ３が入力された場合、警報信号Ａを出力する。

　ディレイ回路９６は、安全保護系設備４３に異常検出信号が入力されてから、ＮＯＴ回路９８およびラッチ用ＯＲ回路１０１を介してラッチ用ＡＮＤ回路１００に信号が入力されるまでのディレイ時間分、ＯＲ回路９５からラッチ用ＡＮＤ回路１００へ向けて出力される警報信号Ａを遅れさせている。

　ここで、安全保護系設備４３の制御対象と、ＣＣＦ対策設備４４の制御対象とは、一部異なっている。具体的に、ＣＣＦ対策設備４４は、安全保護系設備４３の制御対象のうち、原子炉５の炉心の損傷を防止する機器の一部と、原子炉格納容器１０の破損を防止する機器の一部と、を制御対象としている。つまり、ＣＣＦ対策設備４４は、上記の原子炉トリップ信号Ｔや補助給水信号Ｓ等の補助作動信号Ｓ２を出力することで、炉心の損傷を防止する炉心損傷防止機能と、容器の破損を防止する容器破損防止機能とを発揮する。

　図３は、原子力施設に発生すると想定され得る異常事象と、想定された異常事象に応じて実施される炉心損傷防止機能および容器破損防止機能の種類と、を対応付けた表である。この表に示すように、想定され得る異常事象としては、冷却材の温度や圧力等の過渡事象、蒸気発生器７に設けられた伝熱管の破損（ＳＧＴＲ）、蒸気管２１の破断、給水管２６の破断、破断による冷却材喪失（ＬＯＣＡ）とがある。また、炉心損傷防止機能および容器破損防止機能の種類としては、大きく３つに分類することができ、原子力施設１を止める機能と、原子力施設１を冷やす機能と、原子力施設１内に閉じ込める機能とである。

　原子力施設１を止める機能としては、原子炉５を停止する原子炉トリップ機能と、タービン２２を停止するタービントリップ機能とがある。原子力施設１を冷やす機能としては、タービン系４に補助給水を行う補助給水機能と、タービン系４に供給される補助給水を隔離する補助給水隔離機能と、原子炉冷却系３に冷却材を注水する安全注入機能と、蒸気発生器７内の蒸気を主蒸気逃がし弁から逃がす機能と、加圧器８内の蒸気を加圧器逃がし弁から逃がす機能とがある。原子力施設１内に閉じ込める機能としては、給水管２６内部に流通する冷却材を原子炉格納容器１０の内外において隔離する主給水隔離機能と、蒸気管２１に流通する冷却材を原子炉格納容器１０の内外において隔離する主蒸気隔離機能と、原子炉格納容器１０内に冷却水を散布する格納容器スプレイ機能と、原子炉格納容器１０の内外を隔離する格納容器隔離機能とがある。

　そして、図３に示すように、異常事象と機能の種類とに応じて、ＣＣＦ対策設備４４の自動制御盤５２により行うものと、ＣＣＦ対策設備４４の手動操作盤５３により行うものと、機器の配設現場に移動して手動操作するものとに分類される。ここで、自動制御盤５２により行うものとしては、異常事象の発生頻度が高く、且つ早期の操作が必要なものであり、具体的には、図３に示す記号Ａである。手動操作盤５３により行うものとしては、異常事象の発生頻度が高いが、操作に時間的余裕のあるものであり、具体的には、図３に示す記号Ｂである。配設現場において機器を手動操作するものとしては、異常事象の発生頻度は低いが、異常事象による影響が大きく且つ手動操作が必要なものであり、具体的には、図３に示す記号Ｃである。

　以上の構成によれば、安全保護系設備４３が正常に作動している状態において、検出センサ５０から異常検出信号が安全保護系設備４３およびＣＣＦ対策設備４４に入力されると、安全保護系設備４３は、各機器を安全側に作動制御した結果、各機器が正常に作動した場合に正常作動信号Ｓ１を出力する。このとき、ＣＣＦ対策設備４４には、正常作動信号Ｓ１が入力されるが、ＮＯＴ回路７６，８６，９８を通ることで、第１ＡＮＤ回路７５，８５，１００には、信号が入力されない。このため、第１ＡＮＤ回路７５，８５，１００に異常検出信号が入力されても、第１ＡＮＤ回路７５，８５，１００から補助作動信号Ｓ２が出力されない。これにより、安全保護系設備４３が正常に作動している状態において、原子力施設１に異常が発生すると、安全保護系設備４３が、正常作動信号Ｓ１を出力することで、ＣＣＦ対策設備４４は、第１ＡＮＤ回路７５，８５，１００により補助作動信号Ｓ２の出力を阻止することができる。一方で、安全保護系設備４３のデジタル設備にＣＣＦが発生した状態（誤作動状態）において、検出センサ５０から異常検出信号が安全保護系設備４３およびＣＣＦ対策設備４４に入力されると、安全保護系設備４３から正常作動信号Ｓ１が出力されない場合がある。このとき、ＣＣＦ対策設備４４には、正常作動信号Ｓ１が入力されないが、ＮＯＴ回路７６，８６，９８を通ることで、第１ＡＮＤ回路７５，８５，１００には、信号が入力される。このため、ＣＣＦ対策設備４４が正常に作動して、第１ＡＮＤ回路７５，８５，１００に異常検出信号が入力された場合、第１ＡＮＤ回路７５，８５，１００には、ＮＯＴ回路７６，８６，９８からの信号と、異常検出信号とが入力されるため、第１ＡＮＤ回路７５，８５，１００は補助作動信号Ｓ２を出力することができる。これにより、ＣＣＦ対策設備４４が正常に作動する場合、安全保護系設備４３にＣＣＦが発生しても、ＣＣＦ対策設備４４から補助作動信号Ｓ２を出力することができるため、原子力施設１に設けられた機器を安全側に作動させることができる。

　また、ディレイ回路７４，８４，９６を設けることにより、異常検出信号は、正常作動信号Ｓ１がＮＯＴ回路７６，８６，９８を介して第１ＡＮＤ回路７５，８５，１００へ入力された後に入力される。このため、第１ＡＮＤ回路７５，８５，１００は、ＮＯＴ回路７６，８６，９８から出力される信号の入力の有無を検知した後で、異常検出信号の入力の有無を検知することで、補助作動信号Ｓ２の出力の有無を行うことができる。

　また、手動操作盤５３が手動操作されることにより、許可信号Ｋ１，Ｋ２，Ｋ３が第２ＡＮＤ回路８２，９２，９９に入力されると、第２ＡＮＤ回路８２，９２，９９は、補助作動信号Ｓ２を出力可能な状態とすることができる。一方で、手動操作盤５３が手動操作されることにより、許可信号Ｋ１，Ｋ２，Ｋ３が第２ＡＮＤ回路８２，９２，９９に入力されなければ、第２ＡＮＤ回路８２，９２，９９は、補助作動信号Ｓ２を出力不能な状態とすることができる。これにより、手動操作盤５３を適宜手動操作することで、運転員は、簡単に補助作動信号Ｓ２の出力の有無をコントロールすることができる。

　また、手動操作盤５３が手動操作されることにより、ＯＲ回路７９に、原子炉トリップ信号Ｔが入力されれば、ＯＲ回路７９は、原子炉トリップ信号Ｔ（第２補助作動信号）を出力することができる。これにより、手動操作盤５３を適宜手動操作することで、運転員は、簡単に原子炉トリップ信号Ｔを出力することができるため、手動操作により機器を安全側へ作動させることができる。

　また、ＣＣＦ対策設備４４は、炉心損傷防止機器を安全側に作動させる補助作動信号Ｓ２と、容器破損防止機器を安全側に作動させる補助作動信号Ｓ２とを出力すればよいため、ＣＣＦ対策設備４４を最低限の構成することができ、これにより、ＣＣＦ対策設備４４を簡易な構成とすることができる。

　また、安全保護系設備４３がデジタル設備を含み、ＣＣＦ対策設備４４をアナログ設備とすることができるため、共通の要因による故障の発生を抑制することができる。これにより、安全保護系設備４３にＣＣＦが発生した場合であっても、ＣＣＦ対策設備４４は正常に作動するため、原子力施設１の異常発生時において、原子力施設１に設けられた機器を安全側に作動させることができる。

　以上のように、本発明に係る原子力施設の制御システムは、安全保護系設備とＣＣＦ対策設備とを有する原子力施設において有用であり、特に、異常発生時に原子力施設に設けられた機器を安全側に作動させると共に、安全保護系設備が正常に作動する場合、ＣＣＦ対策設備の誤作動によって機器を安全側に作動させることがなく、原子力施設の稼働率低下を抑制する場合に適している。

　１　　原子力施設
　３　　原子炉冷却系
　４　　タービン系
　５　　原子炉
　７　　蒸気発生器
　８　　加圧器
　１０　原子炉格納容器
　１５　燃料集合体
　１６　制御棒
　２２　タービン
　２５　発電機
　４０　制御システム
　４３　安全保護系設備
　４４　ＣＣＦ対策設備
　５０　検出センサ
　５２　自動制御盤
　５３　手動操作盤
　６０　原子炉停止回路
　６１　補助給水起動回路
　６２　警報回路
　７４　原子炉停止回路のディレイ回路
　７５　原子炉停止回路の第１ＡＮＤ回路
　７６　原子炉停止回路のＮＯＴ回路
　７８　原子炉停止回路のラッチ回路
　８４　補助給水起動回路のディレイ回路
　８５　補助給水起動回路の第１ＡＮＤ回路
　８６　補助給水起動回路のＮＯＴ回路
　８８　補助給水起動回路のラッチ回路
　９６　警報回路のディレイ回路
　９７　警報回路のラッチ回路
　９８　警報回路のＮＯＴ回路
　９９　警報回路の第２ＡＮＤ回路
　Ｓ１　正常作動信号
　Ｓ２　補助作動信号
　Ｔ　　原子炉トリップ信号
　Ｓ　　補助給水信号
　Ａ　　警報信号
　Ｋ１　トリップ許可信号
　Ｋ２　補助給水許可信号
　Ｋ３　警報許可信号

Claims

　原子力施設に設けられ、前記原子力施設の異常発生時において、異常検出信号を出力可能な検出センサと、
　前記異常検出信号に基づいて、前記原子力施設に設けられた機器を安全側に作動制御した結果、前記機器が正常に作動した場合に正常作動信号を出力する主制御装置と、
　前記異常検出信号および前記正常作動信号の出力結果から、前記原子力施設の異常発生時に前記機器が正常に作動しなかったと判断した場合、前記機器を安全側に作動させるための補助作動信号を出力し、前記主制御装置の補助となる補助制御装置と、を有し、
　前記補助制御装置は、
　前記主制御装置の出力側に接続され、前記正常作動信号の入力の有無を否定して出力可能なＮＯＴ回路と、
　前記ＮＯＴ回路から出力される信号の入力の有無、および前記異常検出信号の入力の有無に基づいて、前記補助作動信号を出力可能な第１ＡＮＤ回路と、を有していることを特徴とする原子力施設の制御システム。
　前記補助制御装置は、前記主制御装置が前記異常検出信号を受信してから、前記第１ＡＮＤ回路へ前記正常作動信号を出力するまでの所定時間分、前記異常検出信号の前記第１ＡＮＤ回路への出力を遅らせるディレイ回路を有していることを特徴とする請求項１に記載の原子力施設の制御システム。
　手動操作により前記補助作動信号の出力を許可するための許可信号を出力可能な第１手動操作部を、さらに備え、
　前記補助制御装置は、前記第１ＡＮＤ回路から出力される前記補助作動信号の入力の有無、および前記許可信号の入力の有無に基づいて、前記補助作動信号を出力可能な第２ＡＮＤ回路を、さらに有していることを特徴とする請求項１または２に記載の原子力施設の制御システム。
　手動操作により前記原子力施設に設けられた機器を安全側に作動させるための手動作動信号を出力可能な第２手動操作部を、さらに備え、
　前記第２ＡＮＤ回路から出力される前記補助作動信号の入力の有無、および前記手動作動信号の入力の有無に基づいて、第２補助作動信号を出力可能なＯＲ回路を、さらに有していることを特徴とする請求項３に記載の原子力施設の制御システム。
　前記原子力施設は、内部に炉心を有する原子炉と、前記原子炉を格納する原子炉格納容器と、前記機器と、を有し、
　前記機器は、前記炉心の損傷を防止する炉心損傷防止機器と、前記原子炉格納容器の破損を防止する容器破損防止機器と、を有し、
　前記補助制御装置は、
　前記補助作動信号を出力することで、前記炉心損傷防止機器および前記容器破損防止機器を安全側に作動させることを特徴とする請求項１ないし４のいずれか１項に記載の原子力施設の制御システム。
　前記主制御装置は、ハードウェア上においてソフトウェアが実行されるデジタル設備を有し、
　前記補助制御装置は、電子部品の各接点を配線により接続して構成されたアナログ設備であることを特徴とする請求項１ないし５のいずれか１項に記載の原子力施設の制御システム。