WO2022113345A1

WO2022113345A1 - 制御切替装置

Info

Publication number: WO2022113345A1
Application number: PCT/JP2020/044516
Authority: WO
Inventors: 陽一郎 ▲濱▼谷
Original assignee: 三菱電機株式会社
Priority date: 2020-11-30
Filing date: 2020-11-30
Publication date: 2022-06-02
Also published as: US20230352200A1; JP7391244B2; JPWO2022113345A1; CA3194191A1

Abstract

制御切替装置は、第一制御装置（３１Ａ）に接続されたＡ１、Ａ２ボタンと、第二制御装置（３１Ｂ）に接続されたＢ１、Ｂ２ボタンとを有し第一場所（１０）に備えられた第一操作盤（１１）と、第一制御装置（３１Ａ）に接続されたａ１、ａ２ボタンと、第二制御装置（３１Ｂ）に接続されたｂ１、ｂ２ボタンとを有し第二場所（２０）に備えられた第二操作盤（２１）とを備え、第一制御装置（３１Ａ）は、第一操作盤（１１）からのＡ１、Ａ２、Ｂ１、Ｂ２ボタンの操作信号から第一場所（１０）に配置された入出力装置（１０ＴＡ）との間の入出力を停止するか否かを判断する第一判定器（Ｊ１）を備え、第二制御装置（３１Ｂ）も第一判定器（Ｊ１）と同様の第二判定器（Ｊ２）を備える。

Description

制御切替装置

　本願は、制御切替装置に関するものである。

　従来の原子力発電所における中央制御室から遠隔停止設備（原子炉制御室外の原子炉停止装置）への制御切替装置（以下、単に制御切替装置という）は、中央制御室が火災等によって即座に利用できなくなる事態を想定し、中央制御室と防火区画が異なる場所に設置されている。一つしかない制御切替装置の設置場所が中央制御室以外の場合、人による誤操作、或いは制御切替装置の操作ボタンの短絡等による誤信号によって、不必要な中央制御室から遠隔停止設備への制御の切替が発生する可能性がある。その対策として、制御切替装置を２か所に設ける対策が提案されている（例えば、特許文献１参照）。

特開２０１２－８３２３２号公報

　制御切替装置を２か所に設ける上述の対策案を含めて、従来の制御切替装置は、切替操作の１つのボタンを操作することによって制御を切替えるようになっており、多重性が確保されていない。そのため、単一の要因による故障によって、制御切替装置が誤動作する、又は動作しない可能性があるという課題があった。

　本願は、上記のような課題を解決するための技術を開示するものであり、不用意な（悪意のある）第一場所から第二場所への監視制御機能の切替を防止できる制御切替装置を提供することを目的とする。

　本願に開示される制御切替装置は、
２重化された制御装置への入出力を、それぞれ第一場所に配置された入出力装置から、第二場所に配置された入出力装置に切り替える制御切替装置であって、
前記制御装置としての第一制御装置に接続されたＡ１ボタンとＡ２ボタンと、前記制御装置としての第二制御装置に接続されたＢ１ボタンとＢ２ボタンとを有し、前記第一場所に備えられた第一操作盤と、
前記第一制御装置に接続されたａ１ボタンとａ２ボタンと、前記第二制御装置に接続されたｂ１ボタンとｂ２ボタンとを有し、前記第二場所に備えられた第二操作盤と、
前記第一制御装置と前記第二制御装置との間で、各前記ボタンの操作信号を授受するネットワークとを備え、
前記第一制御装置は、前記第一操作盤からの前記Ａ１ボタン、前記Ａ２ボタン、前記Ｂ１ボタン、前記Ｂ２ボタンの各操作信号から前記第一場所に配置された入出力装置との間の入出力を停止するか否かを判断すると共に、前記第二操作盤からの前記ａ１ボタン、前記ａ２ボタン、前記ｂ１ボタン、前記ｂ２ボタンの各操作信号から前記第二場所に配置された入出力装置との間の入出力を開始するか否かを判断する第一判定器を備え、
前記第二制御装置は、前記第一操作盤からの前記Ａ１ボタン、前記Ａ２ボタン、前記Ｂ１ボタン、前記Ｂ２ボタンの各操作信号から前記第一場所に配置された入出力装置との間の入出力を停止するか否かを判断すると共に、前記第二操作盤からの前記ａ１ボタン、前記ａ２ボタン、前記ｂ１ボタン、前記ｂ２ボタンの各操作信号から前記第二場所に配置された入出力装置との間の入出力を開始するか否かを判断する第二判定器を備えるものである。

　本願に開示される制御切替装置によれば、
不用意な（悪意のある）第一場所から第二場所への監視制御機能の切替を防止できる。

実施の形態１による制御切替装置を組み込んだ、原子力発電プラント用の制御装置の構成を示す概念図である。実施の形態１による制御切替装置を組み込んだ、原子力発電プラント用の制御装置の構成を示す概念図である。実施の形態１による第一操作盤の各ボタンの接続状態を示す回路図である。実施の形態１による第二操作盤の各ボタンの接続状態を示す回路図である。実施の形態２による第一操作盤の各ボタンの接続状態を示す回路図である。実施の形態２による第二操作盤の各ボタンの接続状態を示す回路図である。実施の形態３による第一操作盤の各ボタンの接続状態を示す回路図である。実施の形態３による第二操作盤の各ボタンの接続状態を示す回路図である。実施の形態４による第一操作盤の各ボタンの接続状態を示す回路図である。実施の形態５による第一操作盤の各ボタンの接続状態を示す回路図である。各制御装置の構成を示す図である。

実施の形態１．
　以下、実施の形態１による制御切替装置（以下、単に制御切替装置という）を図を用いて説明する。本実施の形態では、非常時において、原子炉等のプラントの制御を、中央制御室（第一場所）からその外部に配置された原子炉停止設備（第二場所）へ切り替える例を用いて説明する。

　図１は、冗長化された設備の制御切替装置を組み込んだ、原子力発電プラント１００用の制御装置の構成を示す概念図である。説明の都合上、遠隔停止設備２０の配線は省略している。
図２は、冗長化された設備の制御切替装置を組み込んだ、原子力発電プラント１００用の制御装置の構成を示す概念図である。説明の都合上、中央制御室１０の配線は省略している。したがって、実際には、図１と図２を合わせた配線が存在する。
図３は、操作盤１１（第一操作盤）の各ボタンの接続状態を示す回路図である。
図４は、操作盤２１（第二操作盤）の各ボタンの接続状態を示す回路図である。
図１、図２に示すように、原子力発電プラント１００は、中央制御室１０（ＭＣＲ：　Ｍａｉｎ　Ｃｏｎｔｒｏｌ　Ｒｏｏｍ）と、遠隔停止設備２０と、安全系制御盤室３０Ａと、安全系制御盤室３０Ｂと、常用系制御盤室４０とを備える。中央制御室１０は、通常時において原子炉および周辺プラントの運転を制御するために使用する制御室である。遠隔停止設備２０は、非常時において、原子炉の緊急停止を行う装置類を制御する機能を中央制御室１０から切り替えてこれらを制御するために使用する設備である。安全系制御盤室３０Ａおよび安全系制御盤室３０Ｂは、原子力発電プラント１００の健全性に関する監視制御を行う装置が設置されている。

　安全系制御盤室３０Ａには、原子力発電プラント１００の安全系に関する制御を行う安全系制御装置３１Ａ（第一制御装置）と、安全系制御装置３１Ａに対して監視および操作を行う安全系監視操作装置３２Ａとを備える。また、安全系制御装置３１Ａは、詳細を後述する判定器Ｊ１（第一判定器）を備える。同様に、安全系制御盤室３０Ｂには、原子力発電プラント１００の安全系に関する制御を行う安全系制御装置３１Ｂと、安全系制御装置３１Ｂ（第二制御装置）に対して監視および操作を行う安全系監視操作装置３２Ｂとを備える。また、安全系制御装置３１Ｂは、詳細を後述する判定器Ｊ２（第二判定器）を備える。安全系制御装置３１Ａと安全系制御装置３１Ｂとは、冗長化、すなわち２重化されており、一方の装置に異常が発生した場合であっても、原子力発電プラント１００の健全性が確保できる。

　常用系制御盤室４０には、原子力発電プラント１００の安全系以外の通常の制御を行う常用系制御装置４１と、常用系制御装置４１に対して監視および操作を行う常用系監視操作装置４２とを備える。

　中央制御室１０には、タッチパネル１０Ｔ、タッチパネル１０ＴＡおよびタッチパネル１０ＴＢ（入出力装置）が設置されている。タッチパネル１０Ｔは、常用系制御盤室４０に設置された常用系監視操作装置４２に接続され、タッチパネル１０ＴＡは、安全系制御盤室３０Ａに設置された安全系監視操作装置３２Ａに接続され、タッチパネル１０ＴＢは、安全系制御盤室３０Ｂに設置された安全系監視操作装置３２Ｂに接続されている。さらに中央制御室１０には、中央制御室１０から遠隔停止設備２０へ、安全系監視操作装置３２Ａと、安全系監視操作装置３２Ｂと、常用系監視操作装置４２との接続を切り替えるための操作盤１１が設置されている。

　遠隔停止設備２０には、中央制御室１０と同様に、タッチパネル２０Ｔ、タッチパネル２０ＴＡおよびタッチパネル２０ＴＢ（入出力装置）が設置されている。さらに遠隔停止設備２０には、中央制御室１０から遠隔停止設備２０へ安全系監視操作装置３２Ａと、安全系監視操作装置３２Ｂと、常用系監視操作装置４２との接続を切り替えるための操作盤２１が設置されている。

　上記接続が切り替えられると、タッチパネル２０Ｔは、常用系制御盤室４０に設置された常用系監視操作装置４２に接続され、タッチパネル２０ＴＡは、安全系制御盤室３０Ａに設置された安全系監視操作装置３２Ａに接続され、タッチパネル２０ＴＢは、安全系制御盤室３０Ｂに設置された安全系監視操作装置３２Ｂに接続されることになる。

　次に、図１、図２における各装置間の通信ネットワークについて述べる。常用系制御装置４１、安全系制御装置３１Ａおよび安全系制御装置３１Ｂはデータ通信を行うためネットワークＮ１によって接続されている。安全系制御装置３１Ａと安全系制御装置３１Ｂとは、安全系トレイン（安全系に関する装置群）間で専用データ通信を実施するためのネットワークＮ２によって接続されている。ネットワークＮ２は、片方向通信のため、２つの通信ケーブル（安全系制御装置３１Ａから安全系制御装置３１Ｂへ、および安全系制御装置３１Ｂから安全系制御装置３１Ａへ）によって構成されている。同じトレイン内の安全系制御装置と安全系監視操作装置、すなわち安全系制御装置３１Ａと安全系監視操作装置３２Ａとは、ネットワークＮ３０Ａによって接続され、安全系制御装置３１Ｂと安全系監視操作装置３２Ｂとは、ネットワークＮ３０Ｂによって接続されている。

　次に、操作盤１１と操作盤２１の構成について説明する。
原子力発電プラント１００の安全系制御装置は、規制要求である単一故障基準を満足するために、物理的、電気的、機能的に分離された独立した２系統以上の設備で構成されている（ここでは２系統を想定し、それぞれの系統をＡトレイン、Ｂトレインという）。

　これらの２系統の各設備は、同一の機能を有しており、センサ等の計測設備、ポンプ等の補機等も全て２重化され、それぞれの系統の安全系制御装置３１Ａ、３２Ｂと接続されている。

　操作盤１１および操作盤２１も同様に、物理的、電気的、機能的に分離された独立した２系統の装置である。さらに操作盤１１は、Ａトレインの接続を切り替えるボタンを２個備え、Ｂトレインの接続を切り替えるボタンも２個備える。同様に、操作盤２１は、Ａトレインの接続を切り替えるボタンを２個備え、Ｂトレインの接続を切り替えるボタンも２個備える。

　具体的には、操作盤１１は、Ａトレイン用のＡ１ボタンおよびＡ２ボタンと、Ｂトレイン用のＢ１ボタンおよびＢ２ボタンとを備え、操作盤２１は、Ａトレイン用のａ１ボタンおよびａ２ボタンと、Ｂトレイン用のｂ１ボタンおよびｂ２ボタンとを備える。

　操作盤１１のＡ１ボタンとＡ２ボタンをそれぞれ操作すると、安全系制御装置３１Ａのデジタル入力カードに操作信号が入力され、操作盤１１のＢ１ボタンとＢ２ボタンをそれぞれ操作すると、安全系制御装置３１Ｂのデジタル入力カードに操作信号が入力される。

　同様に操作盤２１のａ１ボタンとａ２ボタンをそれぞれ操作すると、安全系制御装置３１Ａのデジタル入力カードに操作信号が入力され、操作盤１１のｂ１ボタンとｂ２ボタンをそれぞれ操作すると、安全系制御装置３１Ｂのデジタル入力カードに操作信号が入力される。

　次に、操作盤１１および操作盤２１を用いた制御の切替動作について説明する。
初めに、中央制御室１０を利用中に中央制御室１０から遠隔停止設備２０に監視制御機能を切り替える手順、すなわち、タッチパネル１０Ｔ、タッチパネル１０ＴＡ、タッチパネル１０ＴＢへの入出力を停止し、タッチパネル２０Ｔ、タッチパネル２０ＴＡ、タッチパネル２０ＴＢへの入出力を開始する方法を説明する。

　中央制御室１０から遠隔停止設備２０に監視制御機能を切り替えるには、まず、中央制御室１０の操作盤１１のＡ１、Ａ２、Ｂ１、Ｂ２ボタンを押下する。上記のとおり操作盤１１のＡ１ボタンとＡ２ボタンの操作信号は、安全系制御装置３１Ａの判定器Ｊ１に、Ｂ１ボタンとＢ２ボタンの操作信号は、安全系制御装置３１Ｂの判定器Ｊ２に入力される。安全系制御装置３１Ａは、入力された２つの操作信号を、安全系制御装置３１ＢにネットワークＮ２経由で送信する。同様に、安全系制御装置３１Ｂは、入力された２つの操作信号を、安全系制御装置３１ＡにネットワークＮ２経由で送信する。よって、４つのボタンが全て正常に動作していれば、安全系制御装置３１Ａの判定器Ｊ１および安全系制御装置３１Ｂの判定器Ｊ２にはそれぞれ操作盤１１の４つボタンが押下された事を示す４つの操作信号が入力されることになる。反対に、いずれかのボタンが故障していれば、当該ボタンからの操作信号は届かない。また、いずれかのボタンが誤動作していれば、誤動作したボタンの操作信号だけ入力されることになる。

　次に、安全系制御装置３１Ａの判定器Ｊ１は、最初の操作信号を受信してから所定の時間内に届いた操作信号について４分の２の投票演算（２　ｏｕｔ　ｏｆ　４演算、以下２ｏｏ演算という）を実施し、２つ以上の操作信号が入力される条件が成立すれば、操作員がスイッチ操作を行ったと判断する。

　そして、安全系制御装置３１Ａは、監視制御を停止させる停止信号を常用系制御装置４１、常用系監視操作装置４２、安全系制御装置３１Ａ（自装置）、安全系監視操作装置３２Ａに送信する。安全系制御装置３１Ｂは、安全系制御装置３１Ａとは機能的に独立しているため、安全系制御装置３１Ｂには停止信号を送信しない。

　安全系制御装置３１Ｂの判定器Ｊ２も同様に、最初の操作信号を受信してから所定の時間内に届いた操作信号について４分の２の投票演算（２ｏｏ４演算）を実施し、２つ以上の操作信号が入力される条件が成立すれば、操作員がスイッチ操作を行ったと判断する。

　そして、安全系制御装置３１Ｂは、監視制御を停止させる停止信号を常用系制御装置４１、常用系監視操作装置４２、安全系制御装置３１Ｂ（自装置）、安全系監視操作装置３２Ｂに送信する。安全系制御装置３１Ａは、安全系制御装置３１Ｂとは機能的に独立しているため、安全系制御装置３１Ａには停止信号を送信しない。

　条件が成立すると、常用系監視操作装置４２は、タッチパネル１０Ｔの監視操作機能を停止し、中央制御室１０からの監視操作機能が不可となるが、遠隔停止設備２０のタッチパネル２０Ｔへの切替は、この段階では実施しない。

　同様に、条件が成立すると、安全系監視操作装置３２Ａおよび安全系監視操作装置３２Ｂもタッチパネル１０ＴＡ、タッチパネル１０ＴＢの監視操作機能を停止するが遠隔停止設備２０のタッチパネル２０ＴＡ、タッチパネル２０ＴＢヘの切替は、この段階では実施しない。

　また、条件が成立する場合に限り遠隔停止設備２０に設置されている操作盤２１が操作可能となる。なお、常用系制御装置４１、安全系制御装置３１Ａ、安全系制御装置３１Ｂは、他の操作入力がある場合はその操作入力を無効化する。

　操作員は、遠隔停止設備２０へ移動後、操作盤２１のａ１、ａ２、ｂ１、ｂ２ボタンを押下する。操作盤１１の場合と同様に、操作盤２１のａ１ボタンとａ２ボタンのボタン操作は、安全系制御装置３１Ａの判定器Ｊ１に、ｂ１ボタンとｂ２ボタンのボタン操作は、安全系制御装置３１Ｂの判定器Ｊ２に入力される。安全系制御装置３１Ａは、入力された２つの操作信号を、安全系制御装置３１ＢにネットワークＮ２経由で送信する。同様に、安全系制御装置３１Ｂは、入力された２つの操作信号を、安全系制御装置３１ＡにネットワークＮ２経由で送信する。よって、４つのボタンが全て正常に動作していれば、安全系制御装置３１Ａの判定器Ｊ１および安全系制御装置３１Ｂの判定器Ｊ２にはそれぞれ操作盤１１の４つボタンが押下された事を示す４つの操作信号が入力されることになる。反対に、いずれかのボタンが故障していれば、当該ボタンからの操作信号は届かない。また、いずれかのボタンが誤動作していれば、誤動作したボタンの操作信号だけ入力されることになる。

　次に、安全系制御装置３１Ａの判定器Ｊ１は、最初の操作信号を受信してから所定の時間内に届いた操作信号について４分の２の投票演算（２ｏｏ４演算）を実施し、２つ以上の操作信号が入力される条件が成立すれば、操作員がスイッチ操作を行ったと判断する。

　そして、安全系制御装置３１Ａは、監視制御を開始させる開始信号を常用系制御装置４１、常用系監視操作装置４２、安全系制御装置３１Ａ（自装置）、安全系監視操作装置３２Ａに送信する。安全系制御装置３１Ｂは、安全系制御装置３１Ａとは機能的に独立しているため、安全系制御装置３１Ｂには開始信号を送信しない。

　そして、安全系制御装置３１Ｂは、監視制御を開始させる開始信号を常用系制御装置４１、常用系監視操作装置４２、安全系制御装置３１Ｂ（自装置）、安全系監視操作装置３２Ｂに送信する。安全系制御装置３１Ａは、安全系制御装置３１Ｂとは機能的に独立しているため、安全系制御装置３１Ａには開始信号を送信しない。

　常用系監視操作装置４２は、安全系制御装置３１Ａまたは安全系制御装置３１Ｂの一方から開始信号を受信すると、タッチパネル１０Ｔの監視操作機能を開始する。

　同様に、条件が成立した安全系監視操作装置３２Ａ、安全系監視操作装置３２Ｂもタッチパネル１０ＴＡ、タッチパネル１０ＴＢの監視操作機能を開始する。

　次に、２ｏｏ４演算による誤動作防止と、故障による機能喪失防止の方法について説明する。もし、ＡトレインとＢトレイン用に、それぞれ１つのボタンしか有しない制御盤を用いるとすると、単一の故障によって１つのトレインの切替機能喪失が発生する。この場合に、ネットワークＮ２を適用し、２つの操作信号でＡＮＤ演算を実施する場合は、上記と同様に機能喪失となる。

　２つの操作信号に対してＯＲ演算を実施した場合には、１つのトレインに故障（不動作）が発生した場合には問題ないが、故障（誤動作）が発生した場合、ＡトレインおよびＢトレインが不必要に切り替わってしまう。一方、実施の形態１で説明したとおり、ＡトレインおよびＢトレインにそれぞれ２つのボタンを設置し、安全系制御装置３１Ａ、３１Ｂ間のネットワークＮ２を利用した２ｏｏ４演算を実施した場合、Ａ１ボタン、Ａ２ボタン、Ｂ１ボタン、Ｂ２ボタンのいずれかで単一の故障（誤動作）が発生した場合は、ＡトレインおよびＢトレインの両方とも２ｏｏ４演算が成立することはなく切替信号の誤動作を防ぐことができる。

　また、Ａ１ボタン、Ａ２ボタン、Ｂ１ボタン、Ｂ２ボタンのいずれのボタンに単一の故障（不動作）が発生した場合にも、残りの３つのボタンの操作信号にて２ｏｏ４演算が、ＡトレインおよびＢトレインで成立することから、切替機能を喪失することを防止できる。

　なお、本実施の形態では、安全系制御装置３１Ａと、安全系監視操作装置３２Ａとを個別に設置し、安全系制御装置３１Ｂと、安全系監視操作装置３２Ｂとを個別に設置し、常用系制御装置４１と、常用系監視操作装置４２とを個別に設置した例を用いて説明したが、それぞれ１台に集約してもよい。

　実施の形態１による制御切替装置によれば、上述のとおり、操作盤１１のＡ１、Ａ２、Ｂ１、Ｂ２ボタンのボタン操作によって中央制御室１０に備える各タッチパネルを無効化し、遠隔停止設備２０の操作盤２１を有効化し、それに続く操作盤２１のａ１、ａ２、ｂ１、ｂ２ボタンのボタン操作によって、遠隔停止設備２０の各タッチパネルの有効化がはじめて可能となる。このような構成にすることによって不用意な（悪意のある）中央制御室１０から遠隔停止設備２０への原子力発電プラント１００の監視操作機能の切替を防止することができる。

　また、各操作ボタンに単一の故障が発生した場合においても、制御の切替機能を喪失することなく、中央制御室１０外に配置された遠隔停止設備２０への制御の切り替えができる。

実施の形態２．
　以下、実施の形態２による制御切替装置について、実施の形態１と異なる部分を中心に説明する。

　本実施の形態２では、冗長化された安全系制御装置２３１Ａと安全系制御装置２３１Ｂとの機能的独立性を強化するための方法について図５、図６を用いて説明する。
図５は、本実施の形態２の操作盤１１の各ボタンの接続状態を示す回路図である。
図６は、本実施の形態２の操作盤２１の各ボタンの接続状態を示す回路図である。
実施の形態１と同様に、本実施の形態２でも、２ｏｏ４演算によって中央制御室１０と遠隔停止設備２０の停止信号、開始信号を生成しているが、電気的、物理的に独立でない操作盤１１のＢトレインのＢ１ボタンとＢ２ボタンが単一の要因によって故障（誤動作）した場合、ネットワークＮ２の通信を介して２ｏｏ４演算がＡトレイン及びＢトレインで成立することによって、不必要な制御の切替操作が発生する可能性がある。

　そこで、これを防止するための手段として、判定器Ｊ１、Ｊ２は、自トレインの２つの操作信号のＯＲ演算と、これまで説明した２ｏｏ４演算とのＡＮＤ演算を実施する（２ｏｏ４　＋　１ｏｏ２　演算）。具体的には、安全系制御装置２３１Ａの判定器Ｊ１では、Ａ１ボタン、Ａ２ボタン、Ｂ１ボタン、Ｂ２ボタンの入力の２ｏｏ４演算結果に加えて、Ａ１ボタンとＡ２ボタンの入力のＯＲ演算を行い、それぞれの結果に対するＡＮＤ演算を行い、いずれも条件を満たす場合に停止信号を送信することにする。

　これにより、Ｂトレインの操作盤１１のボタンが２つとも単一の要因によって故障（誤動作）した場合に、２ｏｏ４演算がＡトレインおよびＢトレインの両方で成立するが、Ａトレインでは、Ａ１ボタンとＡ２ボタンのＯＲ演算が成立しないことから、Ａトレインの不必要な切替を防ぐことができる（故障したＢトレインの誤動作は防ぐことができない）。

　これにより、Ａトレインのタッチパネル１０ＴＡによる監視操作機能を中央制御室１０に維持することが可能となり、最低限のプラント監視操作機能が中央制御室１０に残り、原子力発電プラント１００の運転を継続することができる。安全系制御装置２３１Ｂについては、判定器Ｊ２は、Ａ１ボタン、Ａ２ボタン、Ｂ１ボタン、Ｂ２ボタンの入力の２ｏｏ４演算結果と、Ｂ１ボタンとＢ２ボタンの入力のＯＲ演算結果のＡＮＤ演算の結果、停止信号を送信することになる。

　上記の２ｏｏ４　＋　１ｏｏ２　演算を適用すると、一つのトレイン（ＡトレインもしくはＢトレイン）の操作盤１１のボタンが２つとも単一の要因によって故障（不動作）となった場合、故障となったトレインの切替が不可能となるが、多重化された残りのトレインの機能が維持されることから健全性の問題はない。

　実施の形態２による制御切替装置によれば、一方のトレイン用の２つのボタンが単一の要因によって故障した場合であっても、一方の安全系制御装置によって、原子力発電プラント１００の健全性を維持できる。

実施の形態３．
　以下、実施の形態３による制御切替装置について、実施の形態１、２と異なる部分を中心に説明する。
図７は、本実施の形態３の操作盤１１の各ボタンの接続状態を示す回路図である。
図８は、本実施の形態３の操作盤２１の各ボタンの接続状態を示す回路図である。
実施の形態２による制御切替装置では、Ｂトレインの操作盤１１のボタンが２つとも単一の要因によって故障（誤動作）した場合に、Ｂトレインの誤切替を防ぐことができないという問題があった。
そこで、実施の形態３では、操作盤１１、１２のそれぞれ４つのボタンを全て、物理的、電気的、機能的に分離、独立して構成し、実施の形態１で行っていた判定器Ｊ１、Ｊ２による２ｏｏ４演算を、３ｏｏ４演算、すなわち、それぞれ４つのボタンの内の、３つのボタンの押下を検知した時点で、操作員による操作と判断することとする。これにより、２つのボタンが単一の要因によって誤動作、不動作となる自体を排除できるとともに、万一、１つのボタンに誤動作、不動作が発生したとしても、適切に両トレインの制御を切り替えることができる。

実施の形態４．
　以下、実施の形態４による制御切替装置について、実施の形態１と異なる部分を中心に説明する。
図９は、本実施の形態４の操作盤１１の各ボタンの接続状態を示す回路図である。

　実施の形態１では、操作盤１１に各系統用に２個ずつ、計４つのボタンを配置し、操作盤２１に各系統用に２個ずつ、計４つのボタンを配置し、安全系制御装置３１Ａ、３１Ｂの判定器Ｊ１、Ｊ２でそれぞれ２ｏｏ４演算を実施し、中央制御室１０から遠隔停止設備２０への制御の切り替えを実施した。それぞれ４つのボタンによる２ｏｏ４演算に基づく切替操作は、誤動作防止と機能喪失防止が必要な他の機能にも適用可能である。例えば、原子力発電所の原子炉内の燃料棒が破損し、放射性物質の放散の可能性がある場合に、これらを防止または抑制し、発電所周辺の一般公衆および発電所従業員の安全を確保する工学的安全施設の手動操作スイッチとして利用できる。

　実施の形態２で説明したとおり、判定器Ｊ１、Ｊ２で２ｏｏ４演算に加え自トレインのＯＲ演算（１ｏｏ２　演算）を加えて用いない場合、他トレインの故障によって誤動作を引き起こす可能性があるが、工学的安全施設の動作は、プラントの保護に対して有用であり、これを適用する必要はない。

実施の形態５．
　以下、実施の形態５による制御切替装置について、実施の形態１と異なる部分を中心に説明する。
図１０は、本実施の形態５の操作盤１１の各ボタンの接続状態を示す回路図である。

　実施の形態２では、操作盤１１に各系統用に２個ずつ、計４つのボタンを配置し、操作盤２１に各系統用に２個ずつ、計４つのボタンを配置し、安全系制御装置３１Ａ、３１Ｂの判定器Ｊ１、Ｊ２でそれぞれ２ｏｏ４演算を実施し、自トレインの２つの操作信号のＯＲ演算と、上記２ｏｏ４演算とのＡＮＤ演算を実施する（２ｏｏ４　＋　１ｏｏ２　演算）することによって、中央制御室１０から遠隔停止設備２０への制御の切り替えを実施した。このような演算に基づく切替操作は、誤動作防止と機能喪失防止が必要な他の機能にも適用可能である。

　例えば、運転状態によって不要となる原子炉トリップ操作信号をブロックするための手動パーミッシブに適用可能である。手動パーミッシブは、安全系機能を意図的にブロックするためのものであり、他トレインの故障によって両方のトレインのパーミッシブが誤動作することは、安全上不適切であるため、実施の形態２述べた２ｏｏ４　＋　１ｏｏ２　演算を適用すると良い。

　なお、安全系制御装置３１Ａ、３１Ｂ、安全系監視操作装置３２Ａ、３２Ｂ、常用系制御装置４１、常用系監視操作装置４２は、ハードウエアの一例を図１１に示すように、プロセッサ６０と記憶装置６１とから構成される。記憶装置６１は、図示していないが、ランダムアクセスメモリ等の揮発性記憶装置と、フラッシュメモリ等の不揮発性の補助記憶装置とを備える。

　また、フラッシュメモリの代わりにハードディスクの補助記憶装置を備えてもよい。プロセッサ６０は、記憶装置６１から入力されたプログラムを実行する。この場合、補助記憶措置から揮発性記憶装置を介してプロセッサ６０にプログラムが入力される。また、プロセッサ６０は、演算結果等のデータを記憶装置６１の揮発性記憶装置に出力してもよいし、揮発性記憶装置を介して補助記憶装置にデータを保存してもよい。

　本願は、様々な例示的な実施の形態及び実施例が記載されているが、１つ、または複数の実施の形態に記載された様々な特徴、態様、及び機能は特定の実施の形態の適用に限られるのではなく、単独で、または様々な組み合わせで実施の形態に適用可能である。
従って、例示されていない無数の変形例が、本願に開示される技術の範囲内において想定される。例えば、少なくとも１つの構成要素を変形する場合、追加する場合または省略する場合、さらには、少なくとも１つの構成要素を抽出し、他の実施の形態の構成要素と組み合わせる場合が含まれるものとする。

　１００　原子力発電プラント、１０　中央制御室、１０Ｔ，１０ＴＡ，１０ＴＢ，２０Ｔ，２０ＴＡ，２０ＴＢ　タッチパネル、１１，２１　操作盤、Ａ１，Ａ２，Ｂ１，Ｂ２，ａ１，ａ２，ｂ１，ｂ２　ボタン、Ｊ１，Ｊ２　判定器、２０　遠隔停止設備、３０Ａ，３０Ｂ　安全系制御盤室、３１Ａ，３１Ｂ，２３１Ａ，２３１Ｂ　安全系制御装置、３２Ａ，３２Ｂ　安全系監視操作装置、４０　常用系制御盤室、４１　常用系制御装置、４２　常用系監視操作装置、Ｎ１，Ｎ２，Ｎ３０Ａ，Ｎ３０Ｂ　ネットワーク、６０　プロセッサ、６１　記憶装置。

Claims

２重化された制御装置への入出力を、それぞれ第一場所に配置された入出力装置から、第二場所に配置された入出力装置に切り替える制御切替装置であって、
前記制御装置としての第一制御装置に接続されたＡ１ボタンとＡ２ボタンと、前記制御装置としての第二制御装置に接続されたＢ１ボタンとＢ２ボタンとを有し、前記第一場所に備えられた第一操作盤と、
前記第一制御装置に接続されたａ１ボタンとａ２ボタンと、前記第二制御装置に接続されたｂ１ボタンとｂ２ボタンとを有し、前記第二場所に備えられた第二操作盤と、
前記第一制御装置と前記第二制御装置との間で、各前記ボタンの操作信号を授受するネットワークとを備え、
前記第一制御装置は、前記第一操作盤からの前記Ａ１ボタン、前記Ａ２ボタン、前記Ｂ１ボタン、前記Ｂ２ボタンの各操作信号から前記第一場所に配置された入出力装置との間の入出力を停止するか否かを判断すると共に、前記第二操作盤からの前記ａ１ボタン、前記ａ２ボタン、前記ｂ１ボタン、前記ｂ２ボタンの各操作信号から前記第二場所に配置された入出力装置との間の入出力を開始するか否かを判断する第一判定器を備え、
前記第二制御装置は、前記第一操作盤からの前記Ａ１ボタン、前記Ａ２ボタン、前記Ｂ１ボタン、前記Ｂ２ボタンの各操作信号から前記第一場所に配置された入出力装置との間の入出力を停止するか否かを判断すると共に、前記第二操作盤からの前記ａ１ボタン、前記ａ２ボタン、前記ｂ１ボタン、前記ｂ２ボタンの各操作信号から前記第二場所に配置された入出力装置との間の入出力を開始するか否かを判断する第二判定器を備える制御切替装置。
前記第一制御装置は、前記第一場所に配置された入出力装置との間の入出力を停止する場合に限り前記第二操作盤のボタン操作を可能とし、
前記第二制御装置は、前記第一場所に配置された入出力装置との間の入出力を停止する場合に限り前記第二操作盤のボタン操作を可能とする請求項１に記載の制御切替装置。
前記第一判定器は、
前記第一操作盤からの前記Ａ１ボタン、前記Ａ２ボタン、前記Ｂ１ボタン、前記Ｂ２ボタンの各操作信号の内、２以上の操作信号を受信した場合に、前記第一制御装置と、前記第一場所に配置された入出力装置との間の入出力を停止させると判断し、
前記第二操作盤からの前記ａ１ボタン、前記ａ２ボタン、前記ｂ１ボタン、前記ｂ２ボタンの各操作信号の内、２以上の操作信号を受信した場合に、前記第一制御装置と、前記第二場所に配置された入出力装置との間の入出力を開始させると判断し、
前記第二判定器は、
前記第一操作盤からの前記Ａ１ボタン、前記Ａ２ボタン、前記Ｂ１ボタン、前記Ｂ２ボタンの各操作信号の内、２以上の操作信号を受信した場合に、前記第二制御装置と、前記第一場所に配置された入出力装置との間の入出力を停止させると判断し、
前記第二操作盤からの前記ａ１ボタン、前記ａ２ボタン、前記ｂ１ボタン、前記ｂ２ボタンの各操作信号の内、２以上の操作信号を受信した場合に、前記第二制御装置と、前記第二場所に配置された入出力装置との間の入出力を開始させると判断する請求項１又は請求項２に記載の制御切替装置。
前記第一判定器は、
前記第一操作盤からの前記Ａ１ボタン、前記Ａ２ボタン、前記Ｂ１ボタン、前記Ｂ２ボタンの各操作信号の内、２以上の操作信号を受信し、かつ、Ａ１ボタンとＡ２ボタンのいずれか一方の操作信号を受信した場合に、前記第一制御装置と、前記第一場所に配置された入出力装置との間の入出力を停止させると判断し、
前記第二操作盤からの前記ａ１ボタン、前記ａ２ボタン、前記ｂ１ボタン、前記ｂ２ボタンの各操作信号の内、２以上の操作信号を受信した場合に、前記第一制御装置と、前記第二場所に配置された入出力装置との間の入出力を開始させると判断し、
前記第二判定器は、
前記第一操作盤からの前記Ａ１ボタン、前記Ａ２ボタン、前記Ｂ１ボタン、前記Ｂ２ボタンの各操作信号の内、２以上の操作信号を受信し、かつ、Ｂ１ボタンとＢ２ボタンのいずれか一方の操作信号を受信した場合に、前記第二制御装置と、前記第一場所に配置された入出力装置との間の入出力を停止させると判断し、
前記第二操作盤からの前記ａ１ボタン、前記ａ２ボタン、前記ｂ１ボタン、前記ｂ２ボタンの各操作信号の内、２以上の操作信号を受信した場合に、前記第二制御装置と、前記第二場所に配置された入出力装置との間の入出力を開始させると判断する請求項１又は請求項２に記載の制御切替装置。
全ての前記ボタンは、物理的、電気的、機能的に分離、独立して構成され、
前記第一判定器は、
前記第一操作盤からの前記Ａ１ボタン、前記Ａ２ボタン、前記Ｂ１ボタン、前記Ｂ２ボタンの各操作信号の内、３以上の操作信号を受信した場合に、前記第一制御装置と、前記第一場所に配置された入出力装置との間の入出力を停止させると判断し、
前記第二操作盤からの前記ａ１ボタン、前記ａ２ボタン、前記ｂ１ボタン、前記ｂ２ボタンの各操作信号の内、３以上の操作信号を受信した場合に、前記第一制御装置と、前記第二場所に配置された入出力装置との間の入出力を開始させると判断し、
前記第二判定器は、
前記第一操作盤からの前記Ａ１ボタン、前記Ａ２ボタン、前記Ｂ１ボタン、前記Ｂ２ボタンの各操作信号の内、３以上の操作信号を受信した場合に、前記第二制御装置と、前記第一場所に配置された入出力装置との間の入出力を停止させると判断し、
前記第二操作盤からの前記ａ１ボタン、前記ａ２ボタン、前記ｂ１ボタン、前記ｂ２ボタンの各操作信号の内、３以上の操作信号を受信した場合に、前記第二制御装置と、前記第二場所に配置された入出力装置との間の入出力を開始させると判断する請求項１又は請求項２に記載の制御切替装置。
前記第一場所は、原子力発電プラントの中央制御室であり、
前記第二場所は、前記中央制御室外に配置された遠隔停止設備である請求項１から請求項５のいずれか１項に記載の制御切替装置。
前記第一制御装置および前記第二制御装置は、原子力発電プラントの安全施設の制御装置である請求項１から請求項３のいずれか１項に記載の制御切替装置。
前記第一操作盤および前記第二操作盤は、原子力発電プラントの原子炉トリップ機能のブロック操作を行うためのパーミッシブ手動操作を実施する操作パネルである請求項４に記載の制御切替装置。