WO2012049935A1

WO2012049935A1 - 原子力施設の制御システム

Info

Publication number: WO2012049935A1
Application number: PCT/JP2011/070903
Authority: WO
Inventors: 弘志藤本; 篠原　広信; 安武秋月; 俊樹福井; 田中　佑一; 信二木内; 寛司白澤
Original assignee: 三菱重工業株式会社
Priority date: 2010-10-12
Filing date: 2011-09-13
Publication date: 2012-04-19
Also published as: US20130204453A1; EP2629301A1; JP2012083231A; US9627877B2; JP5675256B2; EP2629301A4; EP2629301B1

Abstract

　第１安全側作動信号Ｓ１を出力する一方で、第１非安全側作動信号Ｊ１を出力する安全保護系設備４３と、第２安全側作動信号Ｓ２を出力するＣＣＦ設備４４と、安全保護系設備４３およびＣＣＦ設備４４に接続された信号入出力回路４５とを備え、信号入出力回路４５は、第１安全側作動信号Ｓ１および第２安全側作動信号Ｓ２の入力の有無に基づいて、第３安全側作動信号Ｓ３を出力するＯＲ回路と、ＯＲ回路の出力側に接続され、第３安全側作動信号Ｓ３の入力の有無を否定して出力するＮＯＴ回路と、ＮＯＴ回路から出力される信号の入力の有無および第１非安全側作動信号Ｊ１の入力の有無に基づいて、第３非安全側作動信号Ｊ３を出力するＡＮＤ回路とを有する。

Description

原子力施設の制御システム

　本発明は、原子力施設の異常発生時に、原子力施設に設けられた機器を安全側に作動させる原子力施設の制御システムに関するものである。

　従来、原子力施設の制御システムとして、特許文献１に記載された原子力発電プラントのデジタルプラント保護システムが知られている。このデジタルプラント保護システムは、主制御室と、遠隔運転停止パネルと、機器制御システムプロセッサとを有している。主制御室は、機器制御システムプロセッサに接続されており、主制御室から機器制御システムプロセッサへ信号が送信されることにより、原子力発電プラントに設けられた緊急応答システムの機器を作動させることができる。また、遠隔運転停止パネルも、機器制御システムプロセッサに接続されており、主制御室が滞在不能の場合、遠隔運転停止パネルから機器制御システムプロセッサへ信号が送信されることにより、原子力発電プラントに設けられた緊急応答システムの機器を手動により作動させることができる。そして、作動した緊急応答システムの機器は、原子炉の運転停止等の緊急措置を実施する。

特表２００２－５２５６１５号公報

　ところで、原子力施設に設けられる機器は、安全保護系設備と、常用系設備（非安全保護系設備）とに区分されている。安全保護系設備とは、異常発生時において原子力施設を安全側に作動させるための設備であり、常用系設備とは、通常運転時に原子力施設の制御を行うための設備である。安全保護系設備をデジタル設備とした場合、安全保護系設備では、共通要因故障（Common　Cause　Failure）等の不具合が発生することが想定される。このため、原子力施設には、安全保護系設備の共通要因故障の発生を想定して、ＣＣＦ設備が設けられている。このＣＣＦ設備は、常用系設備として運用されている。このとき、安全保護系設備は、常用系設備であるＣＣＦ設備に比して動作保証が高くなるように設計されている。このため、規制上、安全保護系設備から出力される信号が、ＣＣＦ設備から出力される信号によって阻害されることがないように、安全保護系設備から出力される信号が、常用系設備から出力される信号よりも優先されるように構成する必要がある。

　ここで、従来のデジタルプラント保護システムにおいて、例えば、主制御室に設けられた装置が安全保護系設備であり、遠隔運転停止パネルがＣＣＦ設備である場合、安全保護系設備から出力される信号、およびＣＣＦ設備から出力される信号は、機器制御システムプロセッサに送信される。このとき、安全保護系設備から出力される信号は、ＣＣＦ設備から出力される信号によって阻害される虞がある。

　そこで、本発明は、常用系の補助制御装置から信号が出力されても、安全系の主制御装置から出力される信号を阻害することなく、原子力施設に設けられた機器を安全側に作動させることができる原子力施設の制御システムを提供することを課題とする。

　本発明の原子力施設の制御システムは、原子力施設の異常発生時において、原子力施設に設けられた機器を安全側に作動させるための第１安全側作動信号を出力する一方で、原子力施設の正常運転時において、機器を非安全側に作動させるための第１非安全側作動信号を出力する安全系の主制御装置と、原子力施設の異常発生時において、機器を安全側に作動させるための第２安全側作動信号を出力し、主制御装置の補助となる常用系の補助制御装置と、主制御装置および補助制御装置から出力される各種作動信号が入力されると共に、入力される各種作動信号に基づいて、機器を安全側に作動させる第３安全側作動信号または機器を非安全側に作動させる第３非安全側作動信号を出力する作動信号入出力手段と、を備え、作動信号入出力手段は、第１安全側作動信号の入力の有無、および第２安全側作動信号の入力の有無に基づいて、第３安全側作動信号を出力可能なＯＲ回路と、ＯＲ回路の出力側に接続され、第３安全側作動信号の入力の有無を否定して出力可能なＮＯＴ回路と、ＮＯＴ回路から出力される信号の入力の有無、および第１非安全側作動信号の入力の有無に基づいて、第３非安全側作動信号を出力可能なＡＮＤ回路と、を有していることを特徴とする。

　この構成によれば、原子力施設の異常発生時において、誤作動により安全系の主制御装置がＯＲ回路へ向けて第１安全側作動信号を出力せず、常用系の補助制御装置が第２安全側作動信号をＯＲ回路へ向けて出力した場合、ＯＲ回路には、第１安全側作動信号が入力されず、第２安全側作動信号が入力される。この場合、ＯＲ回路は、第３安全側作動信号を出力することができる。これにより、作動信号入出力手段は、安全系の主制御装置からの第１安全側作動信号を阻害することなく、常用系の補助制御装置からの第２安全側作動信号を優先させることができる。一方で、安全系の主制御装置が正常に作動して、ＯＲ回路へ向けて第１安全側作動信号を出力し、常用系の補助制御装置が第２安全側作動信号をＯＲ回路へ向けて出力した場合、ＯＲ回路には、第１安全側作動信号が入力され、第２安全側作動信号が入力される。この場合、ＯＲ回路は、第３安全側作動信号を出力することができる。これにより、作動信号入出力手段は、安全系の主制御装置からの第１安全側作動信号を、常用系の補助制御装置からの第２安全側作動信号により阻害されることなく、出力することができる。また、原子力施設の異常発生時において、誤作動により主制御装置がＡＮＤ回路へ向けて第１非安全側作動信号を出力した場合であっても、ＯＲ回路から出力された第３安全側作動信号は、ＮＯＴ回路を通過することにより入力無しとしてＡＮＤ回路に入力される。このため、ＡＮＤ回路は、ＮＯＴ回路からの入力無しの信号により、第１非安全側作動信号をブロックすることができる。これにより、作動信号入出力手段は、第３安全側作動信号の出力の有無に基づいて、第３非安全側作動信号を出力することができる。

　この場合、補助制御装置は、原子力施設の異常発生時において、第２安全側作動信号を自動で出力可能な自動補助制御手段と、手動操作により第２安全側作動信号を出力可能な手動補助制御手段と、自動補助制御手段から出力される第２安全側作動信号の入力の有無、および手動補助制御手段から出力される第２安全側作動信号の入力の有無に基づいて、第２安全側作動信号を出力可能な補助側ＯＲ回路と、を有していることが、好ましい。

　この構成によれば、補助制御装置から出力される第２安全側作動信号を、自動または手動により出力することができる。これにより、補助制御装置は、用途に応じて、自動により第２安全側作動信号を出力する場合と、手動により第２安全側作動信号を出力する場合と、に適宜分けることができる。

　この場合、手動補助制御手段は、手動により第２安全側作動信号を出力可能な操作部と、操作部による第２安全側作動信号の出力を許可する許可信号を出力可能な信号出力許可手段と、操作部から出力される第２安全側作動信号の入力の有無、および許可信号の入力の有無に基づいて、第２安全側作動信号を出力可能な補助側ＡＮＤ回路と、を有していることが、好ましい。

　この構成によれば、許可信号が入力され、且つ、第２安全側作動信号が入力された場合に、手動補助制御手段は、第２安全側作動信号を出力することができる。つまり、許可信号が入力されなければ、オペレータが誤って操作部を操作しても、手動補助制御手段は、第２安全側作動信号を出力することができない。これにより、手動補助制御手段は、信号出力許可手段を設けることで、オペレータの誤操作を低減することができる。

　この場合、信号出力許可手段は、手動補助制御手段に電力を投入可能な遮断器であり、遮断器により手動補助制御手段に電力が投入されることで、許可信号が補助側ＡＮＤ回路に入力されることが、好ましい。

　この構成によれば、手動補助制御手段は、遮断器により手動補助制御手段に電力が投入されることで、補助側ＡＮＤ回路への許可信号の入力を有りとすることができる一方、遮断器により手動補助制御手段への電力供給を遮断することで、補助側ＡＮＤ回路への許可信号の入力を無しとすることができる。これにより、オペレータは、遮断器を操作することで、簡単に許可信号の入力を行うことができる。また、許可信号を入力を行うための専用の設備を新たに設ける必要がない。

　本発明の原子力施設の制御システムによれば、主制御装置および補助制御装置のどちらから信号が出力されても、安全系の主制御装置から出力される信号が優先されるため、常用系の補助制御装置の誤作動を抑制することができ、原子力施設に設けられた機器を安全側に作動させることができる。

図１は、本実施例に係る制御システムにより制御される原子力施設を模式的に表した概略構成図である。図２は、本実施例に係る原子力施設の制御システムの構成図である。図３は、信号入出力回路の構成図である。

　以下、添付した図面を参照して、本発明に係る原子力施設の制御システムについて説明する。なお、以下の実施例によりこの発明が限定されるものではない。また、下記実施例における構成要素には、当業者が置換可能かつ容易なもの、或いは実質的に同一のものが含まれる。

　図１は、本実施例に係る制御システムにより制御される原子力施設を模式的に表した概略構成図である。本発明に係る原子力施設１の制御システム４０は、原子炉５を有する原子力施設１を制御するものであり、原子炉５としては、例えば、加圧水型原子炉（ＰＷＲ：Pressurized　Water　Reactor）が用いられている。この加圧水型の原子炉５を用いた原子力施設１は、原子炉５を含む一次冷却系３と、一次冷却系３と熱交換する二次冷却系４とで構成されており、一次冷却系３には、一次冷却材が流通し、二次冷却系４には、二次冷却材が流通している。

　一次冷却系３は、原子炉５と、コールドレグ６ａおよびホットレグ６ｂから成る冷却材配管６ａ，６ｂを介して原子炉５に接続された蒸気発生器７とを有している。また、ホットレグ６ｂには、加圧器８が介設され、コールドレグ６ａには、冷却材ポンプ９が介設されている。そして、原子炉５、冷却材配管６ａ，６ｂ、蒸気発生器７、加圧器８および冷却材ポンプ９は、原子炉格納容器１０に収容されている。

　原子炉５は、上記したように加圧水型原子炉であり、その内部は一次冷却材で満たされている。そして、原子炉５内には、多数の燃料集合体１５が収容されると共に、燃料集合体１５の核分裂を制御する多数の制御棒１６が、各燃料集合体１５に対し、抜差し可能に設けられている。

　制御棒１６により核分裂反応を制御しながら燃料集合体１５を核分裂させると、この核分裂により熱エネルギーが発生する。発生した熱エネルギーは一次冷却材を加熱し、加熱された一次冷却材は、ホットレグ６ｂを介して蒸気発生器７へ送られる。一方、コールドレグ６ａを介して各蒸気発生器７から送られてきた一次冷却材は、原子炉５内に流入して、原子炉５内を冷却する。

　ホットレグ６ｂに介設された加圧器８は、高温となった一次冷却材を加圧することにより、一次冷却材の沸騰を抑制している。また、蒸気発生器７は、高温高圧となった一次冷却材を、二次冷却材と熱交換させることにより、二次冷却材を蒸発させて蒸気を発生させ、且つ、高温高圧となった一次冷却材を冷却している。各冷却材ポンプ９は、一次冷却系３において一次冷却材を循環させており、一次冷却材を各蒸気発生器７からコールドレグ６ａを介して原子炉５へ送り込むと共に、一次冷却材を原子炉５からホットレグ６ｂを介して各蒸気発生器７へ送り込んでいる。

　ここで、原子力施設１の一次冷却系３における一連の動作について説明する。原子炉５内の核分裂反応により発生した熱エネルギーにより、一次冷却材が加熱されると、加熱された一次冷却材は、各冷却材ポンプ９によりホットレグ６ｂを介して各蒸気発生器７に送られる。ホットレグ６ｂを通過する高温の一次冷却材は、加圧器８により加圧されることで沸騰が抑制され、高温高圧となった状態で、各蒸気発生器７に流入する。各蒸気発生器７に流入した高温高圧の一次冷却材は、二次冷却材と熱交換を行うことにより冷却され、冷却された一次冷却材は、各冷却材ポンプ９によりコールドレグ６ａを介して原子炉５に送られる。そして、冷却された一次冷却材が原子炉５に流入することで、原子炉５が冷却される。つまり、一次冷却材は、原子炉５と蒸気発生器７との間を循環している。なお、一次冷却材は、冷却材および中性子減速材として用いられる軽水である。

　二次冷却系４は、蒸気管２１を介して各蒸気発生器７に接続されたタービン２２と、タービン２２に接続された復水器２３と、復水器２３と各蒸気発生器７とを接続する給水管２６に介設された給水ポンプ２４と、を有している。そして、上記のタービン２２には、発電機２５が接続されている。

　ここで、原子力施設１の二次冷却系４における一連の動作について説明する。蒸気管２１を介して各蒸気発生器７から蒸気がタービン２２に流入すると、タービン２２は回転を行う。タービン２２が回転すると、タービン２２に接続された発電機２５は、発電を行う。この後、タービン２２から流出した蒸気は復水器２３に流入する。復水器２３は、その内部に冷却管２７が配設されており、冷却管２７の一方には冷却水（例えば、海水）を供給するための取水管２８が接続され、冷却管２７の他方には冷却水を排水するための排水管２９が接続されている。そして、復水器２３は、タービン２２から流入した蒸気を冷却管２７により冷却することで、蒸気を液体に戻している。液体となった二次冷却材は、給水ポンプ２４により給水管２６を介して各蒸気発生器７に送られる。各蒸気発生器７に送られた二次冷却材は、各蒸気発生器７において一次冷却材と熱交換を行うことにより再び蒸気となる。

　図２は、本実施例に係る原子力施設の制御システムの構成図である。上記のように構成された原子力施設１には、原子力施設１に設けられた上記の各種ポンプや図示しないバルブ等の各機器の作動を制御する制御システム４０が配設されている。制御システム４０は、図示しない中央制御設備と、図示しないプラント制御設備と、安全保護系設備（主制御装置）４３と、ＣＣＦ設備（補助制御装置）４４とを有している。

　図示は省略するが、中央制御設備は、原子力施設１の運転状況を表示する表示装置や、原子力施設１を操作する操作装置等が設けられている。そして、原子力施設１を運転するオペレータは、表示装置を視認して原子力施設１の運転状況を把握し、操作装置を適宜操作することで、原子力施設１を運転する。プラント制御設備は、中央制御設備の操作装置から出力された操作信号に基づいて、原子力施設１の原子炉５や各機器の運転を制御している。

　図２に示すように、安全保護系設備４３は、原子力施設１に異常が発生した場合、原子力施設１が安全に停止するように、原子力施設１に設けられた各機器を制御している。ＣＣＦ設備４４は、安全保護系設備４３を補助するバックアップ設備となっており、安全保護系設備４３に不具合等が生じた場合、原子力施設１が安全に停止するように、原子力施設１に設けられた各機器を制御している。ここで、安全保護系設備４３およびＣＣＦ設備４４には、信号入出力回路（作動信号入出力手段）４５が接続されている。つまり、信号入出力回路４５は、その入力側に安全保護系設備４３およびＣＣＦ設備４４が接続され、その出力側に原子力施設１に設けられた各機器が接続されている。

　安全保護系設備４３は、ＣＰＵ等の演算装置やＨＤＤ等の記憶装置を搭載した、いわゆるデジタル設備であり、演算装置により記憶装置に記憶された各種プログラムを実行することで、原子力施設１の安全保護系を制御可能な設備となっている。なお、安全保護系とは、原子炉５の核反応を停止させる、原子力施設１を冷却する、原子力施設１からの放射性物質の漏洩を防ぐという機能を有する機能系統である。そして、安全保護系設備４３は、確実に作動可能で、且つ、厳しい環境下においても作動可能なように、動作保証が高いものとなっている。

　安全保護系設備４３には、原子力施設１内に配設された各種検出センサ５０が接続されており、各種検出センサ５０から得られる検出結果に基づいて、原子力施設１に異常が発生したか否かを判断している。そして、安全保護系設備４３は、原子力施設１に異常が発生したと判断した場合、各機器を安全側に作動させる第１安全側作動信号Ｓ１を、各機器へ向けて出力する。一方で、安全保護系設備４３は、原子力施設１が正常に運転していると判断した場合、各機器を非安全側に作動させる第１非安全側作動信号Ｊ１を、各機器へ向けて出力する。

　ＣＣＦ設備４４は、安全保護系設備４３に共通要因故障（Common　Cause　Failure）等の不具合が発生することを想定して設けられている。ＣＣＦ設備４４は、アナログ設備であり、スイッチやリレー等の電気回路部品を用い、各接点を電線でつなぐことにより構成されている。ここで、共通要因故障とは、共通の要因で故障することであり、特に、デジタル設備において用いられる演算装置等のハードウェアが共通の要因により故障したり、あるいはソフトウェアがバグ等の共通の要因により実行されなかったりすることである。

　ＣＣＦ設備４４にも、上記の各種検出センサ５０が接続されており、安全保護系設備４３と同様に、各種検出センサ５０から得られる検出結果に基づいて、原子力施設１に異常が発生したか否かを判断している。そして、ＣＣＦ設備４４は、原子力施設１に異常が発生したと判断した場合、各機器を安全側に作動させる第２安全側作動信号Ｓ２を、各機器へ向けて出力する。なお、ＣＣＦ設備４４は、原子力施設１に異常が発生したときに、安全保護系設備４３を補助するために設けられていることから、非安全側作動信号は出力しない。また、ＣＣＦ設備４４は、原子力施設１に異常が発生した場合であっても、安全保護系設備４３が正常に作動した場合、第２安全側作動信号Ｓ２を出力しない。

　また、ＣＣＦ設備４４は、第２安全側作動信号Ｓ２を自動で出力可能な自動制御盤（自動補助制御手段）５２と、手動操作により第２安全側作動信号Ｓ２を出力可能な手動操作盤（手動補助制御手段）５３と、自動制御盤５２および手動操作盤５３と接続されたＣＣＦ側ＯＲ回路（補助側ＯＲ回路）５４と、を有している。

　ＣＣＦ側ＯＲ回路５４には、自動制御盤５２から出力された第２安全側作動信号Ｓ２と、手動操作盤５３から出力された第２安全側作動信号Ｓ２とが入力される。そして、ＣＣＦ側ＯＲ回路５４は、自動制御盤５２から出力された第２安全側作動信号Ｓ２の入力の有無、および手動操作盤５３から出力された第２安全側作動信号Ｓ２の入力の有無に基づいて、第２安全側作動信号Ｓ２を出力する。つまり、ＣＣＦ側ＯＲ回路５４は、自動制御盤５２および手動操作盤５３のうち、少なくともいずれか一方から第２安全側作動信号Ｓ２が入力されたら、第２安全側作動信号Ｓ２を出力する。

　自動制御盤５２は、検出センサ５０から得られる検出結果に基づいて、原子力施設１に異常が発生したと判断した場合、各機器を安全側に作動させる第２安全側作動信号Ｓ２を、各機器へ向けて出力する。

　手動操作盤５３は、手動により第２安全側作動信号Ｓ２を出力可能な操作部６１と、手動操作盤５３に電力を投入可能な遮断器６２と、操作部６１および遮断器６２に接続されたＣＣＦ側ＡＮＤ回路（補助側ＡＮＤ回路）６３と、を有している。

　操作部６１は、オペレータにより操作されることで第２安全側作動信号Ｓ２を出力する一方で、オペレータによる操作がなければ第２安全側作動信号Ｓ２を出力しない。遮断器６２は、オペレータにより電力投入側へ操作されることで、手動操作盤５３へ電力が供給される一方、オペレータにより電力遮断側へ操作されることで、手動操作盤５３への電力供給が遮断される。また、オペレータが遮断器６２を電力投入側へ操作すると、ＣＣＦ側ＡＮＤ回路６３には、操作部６１による第２安全側作動信号Ｓ２の出力を許可する許可信号Ｔが入力される。一方で、オペレータが遮断器６２を電力遮断側へ操作すると、ＣＣＦ側ＡＮＤ回路６３には、操作部６１による第２安全側作動信号Ｓ２の出力を許可する許可信号Ｔが入力されない。

　ＣＣＦ側ＡＮＤ回路６３には、操作部６１から出力された第２安全側作動信号Ｓ２と、遮断器６２が操作されることによって出力された許可信号Ｔとが入力される。そして、ＣＣＦ側ＡＮＤ回路６３は、操作部６１から出力された第２安全側作動信号Ｓ２の入力の有無、および許可信号Ｔの入力の有無に基づいて、第２安全側作動信号Ｓ２を出力する。つまり、ＣＣＦ側ＡＮＤ回路６３は、操作部６１から第２安全側作動信号Ｓ２が入力され、且つ、許可信号Ｔが入力されたら、第２安全作動信号Ｓ２を出力する。

　手動操作盤５３から第２安全側作動信号Ｓ２を出力する場合、オペレータは、遮断器６２を電力遮断側から電力投入側に切り替えた後、操作部６１を操作することにより、手動操作盤５３から第２安全側作動信号Ｓ２が出力される。これにより、オペレータは、遮断器６２を電力投入側に切り替えなければ、操作部６１を操作しても、第２安全側作動信号Ｓ２が出力されることはない。

　ここで、ＣＣＦ設備４４から第２安全側作動信号Ｓ２を出力する一連の動作について説明する。ＣＣＦ設備４４は、検出センサ５０から入力された検出信号に基づいて原子力施設１に異常が発生したと判断した場合や、オペレータにより手動操作盤５３が操作された場合に、第２安全側作動信号Ｓ２を出力する。原子力施設１に異常が発生した場合、ＣＣＦ設備４４の自動制御盤５２は、ＣＣＦ側ＯＲ回路５４へ向けて第２安全側作動信号Ｓ２を出力する。一方、オペレータにより手動操作盤５３が操作された場合、ＣＣＦ設備４４の手動操作盤５３は、ＣＣＦ側ＯＲ回路５４へ向けて第２安全側作動信号Ｓ２を出力する。そして、ＣＣＦ側ＯＲ回路５４は、自動制御盤５２および手動操作盤５３の少なくともいずれか一方から第２安全側作動信号Ｓ２が入力されると、信号入出力回路４５へ向けて第２安全側作動信号Ｓ２を出力する。

　なお、自動制御盤５２から出力される第２安全側作動信号Ｓ２によって作動する機器は、手動操作盤５３から出力される第２安全側作動信号Ｓ２によって作動する機器と一部異なっている。つまり、自動制御盤５２により作動する機器としては、例えば、迅速に作動させるものを対象としている。一方で、手動操作盤５３により作動する機器としては、例えば、作動させるまでに時間的余裕のあるものを対象としている。

　図３は、信号入出力回路の構成図である。図３に示すように、信号入出力回路４５は、安全保護系設備４３およびＣＣＦ設備４４と、各機器との間のインターフェースとなっている。この信号入出力回路４５には、第１安全側作動信号Ｓ１、第１非安全側作動信号Ｊ１および第２安全側作動信号Ｓ２が入力される。一方で、信号入出力回路４５からは、第３安全側作動信号Ｓ３および第３非安全側作動信号Ｊ３が出力される。

　信号入出力回路４５は、ＯＲ回路７０と、ＮＯＴ回路７１と、ＡＮＤ回路７２とを有している。ＯＲ回路７０は、その入力側に安全保護系設備４３およびＣＣＦ設備４４が接続され、その出力側に各機器が接続されている。ＮＯＴ回路７１は、その入力側にＯＲ回路７０の出力側が接続され、その出力側にＡＮＤ回路７２の入力側が接続されている。ＡＮＤ回路７２は、その入力側に安全保護系設備４３およびＮＯＴ回路７１が接続され、その出力側に各機器が接続されている。

　ＯＲ回路７０は、安全保護系設備４３から出力される第１安全側作動信号Ｓ１の入力の有無と、ＣＣＦ設備４４から出力される第２安全側作動信号Ｓ２の入力の有無とに基づいて、各機器へ第３安全側作動信号Ｓ３を出力している。つまり、ＯＲ回路７０は、第１安全側作動信号Ｓ１および第２安全側作動信号Ｓ２のうち、少なくともいずれか一方が入力されたら、第３安全側作動信号Ｓ３を出力する。

　ＮＯＴ回路７１は、ＯＲ回路７０から出力される第３安全側作動信号Ｓ３の入力の有無を否定した信号を、ＡＮＤ回路７２へ向けて出力している。つまり、ＮＯＴ回路７１は、第３安全側作動信号Ｓ３の入力有りの信号が入力されると、入力無しの信号をＡＮＤ回路７２に出力する。一方で、ＮＯＴ回路７１は、第３安全側作動信号Ｓ３の入力無しの信号が入力されると、すなわち、第３安全側作動信号Ｓ３が入力されないと、入力有りの信号をＡＮＤ回路７２に出力する。

　ＡＮＤ回路７２は、安全保護系設備４３から出力される第１非安全側作動信号Ｊ１の入力の有無と、ＮＯＴ回路７１から出力される信号の入力の有無とに基づいて、各機器へ第３非安全側作動信号Ｊ３を出力している。つまり、ＡＮＤ回路７２は、第１非安全側作動信号Ｊ１が入力され、且つ、ＮＯＴ回路７１から入力有りの信号が入力されたら、第３非安全作動信号Ｊ３を出力する。

　ここで、原子力施設１の正常運転時における信号入出力回路４５の一連の動作と、原子力施設１の異常発生時に安全保護系設備４３が作動した場合における信号入出力回路４５の一連の動作と、原子力施設１の異常発生時にＣＣＦ設備４４が作動した場合における信号入出力回路４５の一連の動作と、についてそれぞれ説明する。

　原子力施設１が正常に運転している場合、信号入出力回路４５には、第１非安全側作動信号Ｊ１のみが入力され、第１安全側作動信号Ｓ１および第２安全側作動信号Ｓ２が入力されない。この場合、ＯＲ回路７０には、第１安全側作動信号Ｓ１および第２安全側作動信号Ｓ２が入力されないため、第３安全側作動信号Ｓ３は出力されない。一方、ＡＮＤ回路７２には、入力が無い第３安全側作動信号Ｓ３を否定する信号、すなわち入力有りの信号がＮＯＴ回路７１から入力されると共に、第１非安全側作動信号Ｊ１が入力される。このため、ＡＮＤ回路７２は、第３非安全側作動信号Ｊ３を出力する。よって、信号入出力回路４５は、原子力施設１が正常に運転している場合、第３安全側作動信号Ｓ３を出力せず、第３非安全側作動信号Ｊ３を出力し、これにより、各機器は非安全側へ作動する。

　原子力施設１の異常発生時に安全保護系設備４３が作動した場合、ＣＣＦ設備４４は、第２安全側作動信号Ｓ２を出力しない。このため、信号入出力回路４５には、第１安全側作動信号Ｓ１が入力される一方で、第１非安全側作動信号Ｊ１および第２安全側作動信号Ｓ２が入力されない。この場合、ＯＲ回路７０には、第１安全側作動信号Ｓ１が入力される一方、第２安全側作動信号Ｓ２が入力されないため、第３安全側作動信号Ｓ３が出力される。ＡＮＤ回路７２には、入力された第３安全側作動信号Ｓ３を否定する信号が入力され、すなわちＮＯＴ回路７１から信号が入力されず、また、第１非安全側作動信号Ｊ１が入力されない。このため、ＡＮＤ回路７２は、第３非安全側作動信号Ｊ３を出力しない。よって、信号入出力回路４５は、第３安全側作動信号Ｓ３を出力し、第３非安全側作動信号Ｊ３を出力しない。これにより、原子力施設１に異常が発生した場合、各機器は安全側へ作動する。

　原子力施設１の異常発生時にＣＣＦ設備４４が作動した場合、安全保護系設備４３は共通要因故障等の不具合により第１安全側作動信号Ｓ１を出力せず、第１非安全側作動信号Ｊ１を出力する虞がある。このため、信号入出力回路４５には、第１非安全側作動信号Ｊ１および第２安全側作動信号Ｓ２が入力される一方で、第１安全側作動信号Ｓ１が入力されない場合がある。この場合、ＯＲ回路７０には、第１安全側作動信号Ｓ１が入力されず、一方で、第２安全側作動信号Ｓ２が入力されるため、第３安全側作動信号Ｓ３が出力される。ＡＮＤ回路７２には、入力された第３安全側作動信号Ｓ３を否定する信号が入力され、すなわちＮＯＴ回路７１から信号が入力されず、一方、第１非安全側作動信号Ｊ１が入力される。このため、ＡＮＤ回路７２は、第３非安全側作動信号Ｊ３を出力しない。よって、信号入出力回路４５は、第３安全側作動信号Ｓ３を出力し、第３非安全側作動信号Ｊ３を出力しない。これにより、原子力施設１に異常が発生した場合、各機器は安全側へ作動する。

　以上の構成によれば、第１安全側作動信号Ｓ１が出力される場合、信号入出力回路４５は、第１安全側作動信号Ｓ１を第３安全側作動信号Ｓ３として出力することができる。また、第１安全側作動信号Ｓ１が出力されない場合、信号入出力回路４５は、第２安全側作動信号Ｓ２を第３安全側作動信号Ｓ３として出力することができる。これにより、原子力施設１の異常発生時に、信号入出力回路４５は、そのＯＲ回路７０において、第１安全側作動信号Ｓ１を阻害することなく、第３安全側作動信号Ｓ３として出力することができる。

　また、第１非安全側作動信号Ｊ１が出力される場合、信号入出力回路４５は、第３安全側作動信号Ｓ３が出力されたら第１非安全側作動信号Ｊ１をブロックする一方で、第３安全側作動信号Ｓ３が出力されなかったら第１非安全側作動信号Ｊ１を第３非安全側作動信号Ｊ３として出力することができる。さらに、第１非安全側作動信号Ｊ１が出力されない場合、信号入出力回路４５は、第３安全側作動信号Ｓ３が出力されたら第３非安全側作動信号Ｊ３をブロックする一方で、第３安全側作動信号Ｓ３が出力されなかったら第３非安全側作動信号Ｊ３を出力することができる。これにより、信号入出力回路４５は、第３安全側作動信号Ｓ３の出力の有無に基づいて、第３非安全側作動信号Ｊ３を出力することができる。

　また、ＣＣＦ設備４４から出力される第２安全側作動信号Ｓ２を、自動または手動により出力することができるため、用途に応じて、適宜、使い分けることができる。

　また、許可信号ＴがＣＣＦ側ＡＮＤ回路６３に入力されなければ、オペレータが誤って操作部６１を操作しても、手動操作盤５３は、第２安全側作動信号Ｓ２を出力することはないため、オペレータによる誤操作を低減することができる。

　以上のように、本発明に係る原子力施設の制御システムは、安全保護系設備とＣＣＦ設備とを有する原子力施設において有用であり、特に、異常発生時に原子力施設に設けられた機器を安全側に作動させる場合に適している。

　１　　原子力施設
　３　　一次冷却系
　４　　二次冷却系
　５　　原子炉
　７　　蒸気発生器
　８　　加圧器
　１５　燃料集合体
　１６　制御棒
　２２　タービン
　２５　発電機
　４０　制御システム
　４３　安全保護系設備
　４４　ＣＣＦ設備
　４５　信号入出力回路
　５０　検出センサ
　５２　自動制御盤
　５３　手動操作盤
　５４　ＣＣＦ側ＯＲ回路
　６１　操作部
　６２　遮断器
　６３　ＣＣＦ側ＡＮＤ回路
　７０　ＯＲ回路
　７１　ＮＯＴ回路
　７２　ＡＮＤ回路
　Ｓ１　第１安全側作動信号
　Ｊ１　第１非安全側作動信号
　Ｓ２　第２安全側作動信号
　Ｓ３　第３安全側作動信号
　Ｊ３　第３非安全側作動信号
　Ｔ　　許可信号

Claims

　原子力施設の異常発生時において、前記原子力施設に設けられた機器を安全側に作動させるための第１安全側作動信号を出力する一方で、前記原子力施設の正常運転時において、前記機器を非安全側に作動させるための第１非安全側作動信号を出力する安全系の主制御装置と、
　前記原子力施設の異常発生時において、前記機器を安全側に作動させるための第２安全側作動信号を出力し、前記主制御装置の補助となる常用系の補助制御装置と、
　前記主制御装置および前記補助制御装置から出力される各種作動信号が入力されると共に、入力される各種作動信号に基づいて、前記機器を安全側に作動させる第３安全側作動信号または前記機器を非安全側に作動させる第３非安全側作動信号を出力する作動信号入出力手段と、を備え、
　前記作動信号入出力手段は、
　前記第１安全側作動信号の入力の有無、および前記第２安全側作動信号の入力の有無に基づいて、前記第３安全側作動信号を出力可能なＯＲ回路と、
　前記ＯＲ回路の出力側に接続され、前記第３安全側作動信号の入力の有無を否定して出力可能なＮＯＴ回路と、
　前記ＮＯＴ回路から出力される信号の入力の有無、および前記第１非安全側作動信号の入力の有無に基づいて、前記第３非安全側作動信号を出力可能なＡＮＤ回路と、を有していることを特徴とする原子力施設の制御システム。
　前記補助制御装置は、
　前記原子力施設の異常発生時において、前記第２安全側作動信号を自動で出力可能な自動補助制御手段と、
　手動操作により前記第２安全側作動信号を出力可能な手動補助制御手段と、
　前記自動補助制御手段から出力される前記第２安全側作動信号の入力の有無、および前記手動補助制御手段から出力される前記第２安全側作動信号の入力の有無に基づいて、前記第２安全側作動信号を出力可能な補助側ＯＲ回路と、を有していることを特徴とする請求項１に記載の原子力施設の制御システム。
　前記手動補助制御手段は、
　手動により前記第２安全側作動信号を出力可能な操作部と、
　前記操作部による前記第２安全側作動信号の出力を許可する許可信号を出力可能な信号出力許可手段と、
　前記操作部から出力される前記第２安全側作動信号の入力の有無、および前記許可信号の入力の有無に基づいて、前記第２安全側作動信号を出力可能な補助側ＡＮＤ回路と、を有していることを特徴とする請求項２に記載の原子力施設の制御システム。
　前記信号出力許可手段は、前記手動補助制御手段に電力を投入可能な遮断器であり、前記遮断器により前記手動補助制御手段に電力が投入されることで、前記許可信号が前記補助側ＡＮＤ回路に入力されることを特徴とする請求項３に記載の原子力施設の制御システム。