WO2023100275A1

WO2023100275A1 - 安全保護装置

Info

Publication number: WO2023100275A1
Application number: PCT/JP2021/044019
Authority: WO
Inventors: 奨奥田
Original assignee: 三菱電機株式会社
Priority date: 2021-12-01
Filing date: 2021-12-01
Publication date: 2023-06-08
Also published as: JPWO2023100275A1

Abstract

複数の検出器（１０１、１０２、１０３、１０４）のそれぞれに接続され、検出器の検出値を入力し、前記検出値があらかじめ定められた閾値以上となったとき作動要求信号を出力する複数の第１の判定回路（２１１、２１２）と、複数の第１の判定回路の出力を入力するとともに、装置外部から複数の第２の判定回路（３１１、３１２）の出力を入力し、入力された第１および第２の判定回路の出力の総数の内、作動要求信号の出力の総数が、半数または過半数の場合に、多数決と判断する多数決回路とを備え、多数決回路の判断結果が第２の判定回路の出力のみに寄らないように制限する制限回路を、多数決回路の前段、後段、または多数決回路に備えたことを特徴とする安全保護装置であって、自装置に接続した検出器からの信号にてプロセスパラメータの異常を検出した場合のみ、制限機能を実行する機能を多数決回路に付加する構成により、他装置からの信号のみにより自装置の機能を制限あるいは無効化されることを防止することができる。

Description

安全保護装置

本願は、安全保護装置に関する。

　原子力発電所向け安全保護装置では、高い信頼性を実現するため、プロセスパラメータを検出するための検出器を多重化し、多重化されたそれぞれの検出器からの信号を安全機能の作動設定値と比較することにより判定を実施し、それぞれの判定結果を用いて多数決回路により、安全機能の動作を決定する。

　例えば、特許文献１の安全機能のロジックでは、検出器を４重化、安全保護装置を２重化したシステム構成における安全機能作動ロジックを開示している。多重化した安全保護装置は互いに独立して機能を実行可能である必要がある。例えば、特許文献１のロジックでは、４つの検出器からの信号の内２つを第１の安全保護装置に、残りの２つの検出器からの信号を第２の安全保護装置に入力することにより、検出器からの信号は２重化した安全保護装置間で相互に送受信する構成としている。すなわち、第１の安全保護装置は、２つの検出器の判定結果、および第２の安全保護装置から入力した残りの２つの検出器の判定結果の多数決回路（ＴＷＯ　ＯＦ　ＦＯＵＲ　ＶＯＴＥＲ）により、安全機能の作動信号を出力可能な構成としている。このような構成により、一方の安全保護装置が機能喪失した際にも、他方の安全保護装置にて安全機能を実行可能な安全機能作動ロジックとしている。

国際公開第２０１６／１６０４９２号

　特許文献１の安全機能作動ロジックでは、第２の安全保護装置から異常と判定された２つの判定結果を第１の安全保護装置で受信すると、第１の安全保護装置に入力された２つの検出器の判定結果が異常と判定していない場合でも多数決回路（ＴＷＯ　ＯＦ　ＦＯＵＲ　ＶＯＴＥＲ）から安全機能の作動信号を発信するが、安全性を損なう事象ではないため許容している。

　しかしながら、この安全機能作動ロジックを、安全機能を制限する機能に適用すると、第２の安全保護装置からの判定結果によって安全機能を無効化してしまうため、２重化した装置の独立性が確保できない。このため、この安全機能作動ロジックは安全機能を制限する機能には適用できない。

　ここで、安全機能を制限する機能とは、例えば、加圧水型の原子炉では炉心の冷却水を加圧することにより冷却水の沸騰を防いでいるため、冷却材の圧力がある値よりも低くなると安全機能として原子炉を緊急停止する機能を備えている。ただし、原子力発電所を停止状態から運転状態へ起動していく過程では、冷却水の圧力は原子力発電所の出力とともに上昇させていく運用とする。このため、冷却材の圧力が低いことによる緊急停止機能を一時制限しておく必要がある。この制限を発電所出力が低いことを条件として、冷却材圧力が低いことによる緊急停止機能を無効化するロジックにより実装している。

　本願は、上述のような問題を解決するためになされたもので、自装置に接続した検出器からの信号にてプロセスパラメータの異常を検出した場合のみ、安全機能を制限する安全保護装置を提供することを目的とする。

　本願に開示される安全保護装置は、複数の検出器のそれぞれに接続され、検出器の検出値を入力し、検出値があらかじめ定められた閾値以上となったとき作動要求信号を出力する複数の第１の判定回路、複数の第１の判定回路の出力を入力するとともに、装置外部から複数の第２の判定回路の出力を入力し、入力された第１および第２の判定回路の出力の総数の内、作動要求信号の出力の総数が、半数または過半数の場合に、多数決と判断する多数決回路、を備えたものであって、多数決回路の判断結果が第２の判定回路の出力のみに寄らないように制限する制限回路を、多数決回路の前段、後段、または多数決回路に備えたことを特徴とする。

　本願に開示される安全保護装置によれば、自装置に接続した検出器からの信号にてプロセスパラメータの異常を検出した場合のみ、安全機能を制限する構成により、他装置からの信号のみにより自装置の機能を制限あるいは無効化されることを防止することができる。

実施の形態１に係る安全保護装置の安全機能制限のための実行ロジックの構成図である。実施の形態２に係る安全保護装置の安全機能制限のための実行ロジックの構成図である。実施の形態２に係る多数決回路の一例を示す回路構成図である。実施の形態３に係る安全保護装置の安全機能制限のための実行ロジックの構成図である。

　以下、本願に係る安全保護装置の好適な実施の形態について、図面を参照して説明する。なお、同一内容および相当部については同一符号を配し、その詳しい説明は省略する。以降の実施形態も同様に、同一符号を付した構成について重複した説明は省略する。

実施の形態１．
　図１は、本実施の形態に係る安全保護装置の安全機能制限のための実行ロジックの構成図である。検出器１０１から１０４は、例えば原子力発電所のプラント系統で使用される冷却水の流量、水位、圧力、温度などのプロセスパラメータを計測する。それぞれのプロセス値は、複数の検出器にて多重化した構成としている。ここでは、一例として検出器１０１から１０４は、冷却水の圧力を検出しているとする。

　検出器１０１、１０２の検出信号は安全保護装置２に入力し、検出器１０３，１０４の検出信号は、安全保護装置３に入力する。安全保護装置２において、検出器１０１からの検出信号の圧力値が、あらかじめ定められた閾値以上であるか否かを判定回路２１１で判定し、閾値以上となったときに圧力値の異常状態と判定し、作動要求信号を出力する。同様に、検出器１０２からの検出信号の圧力値が、あらかじめ定められた閾値以上であるか否かを判定回路２１２で判定し、閾値以上となったときに圧力値の異常状態と判定し作動要求信号を出力する。

　安全保護装置３において、検出器１０３からの検出信号の圧力値が、あらかじめ定められた閾値以上であるか否かを判定回路３１１で判定し、閾値以上となったときに圧力値の異常状態と判定し、作動要求信号を出力する。同様に、検出器１０２からの検出信号の圧力値が、あらかじめ定められた閾値以上であるか否かを判定回路３１２で判定し、閾値以上となったときに圧力値の異常状態と判定し、作動要求信号を出力する。

　安全保護装置２の多数決回路２２２は、入力された判定回路からの信号の内、半数または過半数が作動要求信号である場合に、安全信号を出力する。本実施の形態の場合、図１に示すように、４つの判定回路２１１、２１２、３１１、３１２の内、複数（２以上）の判定回路からの作動要求信号を入力した場合に、安全信号を出力する（ＴＷＯ　ＯＦ　ＦＯＵＲ　ＶＯＴＥＲ）。しかし、判定回路２１１、２１２のいずれかから作動要求信号が出力されているときのみ、安全保護装置２の安全保護動作の制限が実行される構成とする。

　この構成を実現するために、図１に示すように判定回路２１１、２１２の出力の論理和（ＯＲ回路２２１）の出力と、多数決回路２２２の出力との論理積（ＡＮＤ回路２２３）を安全保護装置２の出力とするように構成する。これにより、安全保護装置２外からの出力、例えば安全保護装置３からの判定回路３１１、３１２の作動要求信号のみによって、安全保護装置２の安全保護動作の制限が実行されることを防止する。

　安全保護装置３も安全保護装置２と同じように構成される。この場合、判定回路２１１、２１２の出力は、安全保護装置３内の多数決回路３２２に入力される。

　以上のように、自装置に接続した検出器からの信号にてプロセスパラメータの異常を検出した場合のみ、制限機能を実行する機能を多数決回路に付加する構成により、他装置からの信号のみにより自装置の機能を制限あるいは無効化されることを防止することができる。

実施の形態２．
　図２は、本実施の形態に係る安全保護装置の安全機能制限のための実行ロジックの構成である。検出器１０１から１０４の構成および動作、判定回路２１１，２１２，３１１，３１２の構成および動作は実施の形態１と同じであるため、説明を省略する。

　多数決回路２２２ａは、入力された判定回路からの信号の内、半数または過半数が作動要求信号である場合に、安全信号を出力する。本実施の形態の場合、４つの判定回路２１１、２１２、３１１、３１２の内、少なくとも２つの判定回路から作動要求信号を入力した場合に安全保護装置２の安全保護動作の制限が実行される構成とする（ＴＷＯ　ＯＦ　ＦＯＵＲ　ＶＯＴＥＲ）。ただし、安全保護装置３の判定回路３１１、３１２からの作動要求信号のみでは、信号を出力しない回路構成とする。

　多数決回路２２２ａの具体的な回路構成を図３に示す。図３に示す多数決回路は以下の信号を入力とするＯＲ回路２２２７によって信号を出力する構成としている。
（１）判定回路２１１及び判定回路２１２を入力とするＡＮＤ回路２２２１の出力
（２）判定回路２１１及び判定回路３１１を入力とするＡＮＤ回路２２２２の出力
（３）判定回路２１１及び判定回路３１２を入力とするＡＮＤ回路２２２３の出力
（４）判定回路２１２及び判定回路３１１を入力とするＡＮＤ回路２２２４の出力
（５）判定回路２１２及び判定回路３１２を入力とするＡＮＤ回路２２２５の出力
なお、判定回路３１１及び判定回路３１２の信号では、安全保護装置３からの信号のみの入力となるため、ＯＲ回路２２２７に入力しない。

　安全保護装置３も安全保護装置２と同じように構成される。この場合、判定回路２１１、２１２の出力は、安全保護装置３内の多数決回路３２２ａに入力される。

　以上の構成により、自装置に接続した検出器からの信号にてプロセスパラメータの異常を検出した場合のみ、制限機能を実行するように多数決回路を構成することにより、他装置からの信号のみにより自装置の機能を制限あるいは無効化されることを防止することができる。また、実施の形態１に比べ多数決回路に外付けの回路を追加する必要がなく、回路構成を簡素化および小型化することが可能となる。

実施の形態３．
　図４は、本実施の形態に係る安全保護装置の安全機能制限のための実行ロジックの構成である。検出器１０１から１０４の構成および動作、判定回路２１１，２１２，３１１，３１２、多数決回路２２２の構成および動作は実施の形態１と同じであるため、説明を省略する。

　安全保護装置３の判定回路３１１、３１２からの信号は、安全保護装置２の判定回路２１１、２１２の出力信号を入力とするＯＲ回路２４１の出力とともにＡＮＤ回路２４３、２４４に入力され、ＡＮＤ回路２４３、２４４の出力が、判定回路２１１、２１２の出力とともに多数決回路２２２に入力される。これにより、安全保護装置２の判定回路２１１、２１２のいずれかからの信号なしに作動することを防止する。すなわち、多数決回路２２２に入力された判定回路からの信号の内、半数または過半数が作動要求信号であるとともに、判定回路２１１、２１２のいずれかから作動要求信号が出力されているときのみ、安全保護装置２の安全保護動作の制限が実行される構成とする。

　安全保護装置３も安全保護装置２と同じように構成される。この場合、判定回路２１１、２１２の出力は、安全保護装置３内のＡＮＤ回路３４３、３４４にそれぞれ入力される。

　以上の構成により、自装置に接続した検出器からの信号にてプロセスパラメータの異常を検出した場合のみ、制限機能を実行する機能を多数決回路に付加する構成により、他装置からの信号のみにより自装置の機能を制限あるいは無効化されることを防止することができる。

　なお、実施の形態１から３では、安全保護装置の数を２，検出器の数を４、判定回路の数を４としているが、これに限るものではない。

　本願は、様々な例示的な実施の形態及び実施例が記載されているが、１つ、または複数の実施の形態に記載された様々な特徴、態様、及び機能は特定の実施の形態の適用に限られるのではなく、単独で、または様々な組み合わせで実施の形態に適用可能である。
従って、例示されていない無数の変形例が、本願明細書に開示される技術の範囲内において想定される。例えば、少なくとも１つの構成要素を変形する場合、追加する場合または省略する場合、さらには、少なくとも１つの構成要素を抽出し、他の実施の形態の構成要素と組み合わせる場合が含まれるものとする。

２、３：安全保護装置、１０１、１０２、１０３、１０４：検出器、２１１、２１２、３１１、３１２：判定回路、２２２、２２２ａ：多数決回路

Claims

　複数の検出器のそれぞれに接続され、前記検出器の検出値を入力し、前記検出値があらかじめ定められた閾値以上となったとき作動要求信号を出力する複数の第１の判定回路、
　複数の前記第１の判定回路の出力を入力するとともに、装置外部から複数の第２の判定回路の出力を入力し、入力された第１および第２の判定回路の出力の総数の内、前記作動要求信号の出力の総数が、半数または過半数の場合に、多数決と判断する多数決回路、
を備えた安全保護装置において、
　前記多数決回路の判断結果が前記第２の判定回路の出力のみに寄らないように制限する制限回路を、前記多数決回路の前段、後段、または前記多数決回路に備えたことを特徴とする安全保護装置。
　複数の検出器のそれぞれに接続され、前記検出器の検出値を入力し、前記検出値があらかじめ定められた閾値以上となったとき作動要求信号を出力する複数の第１の判定回路、
　複数の前記第１の判定回路の出力を入力するとともに、装置外部から複数の第２の判定回路の出力を入力し、入力された第１および第２の判定回路の出力の総数の内、前記作動要求信号の出力の総数が半数または過半数の場合に、多数決と判断する多数決回路、
　前記多数決回路の判断結果が、前記第２の判定回路の出力のみによる場合、前記多数決回路の出力を装置外部に出力しない制限回路、
を備えたことを特徴とする安全保護装置。
　前記制限回路は、複数の前記第１の判定回路の論理和の出力と前記多数決回路の出力との論理積を出力する回路であることを特徴とする請求項２に記載の安全保護装置。
　複数の検出器のそれぞれに接続され、前記検出器の検出値を入力し、前記検出値があらかじめ定められた閾値以上となったとき作動要求信号を出力する複数の第１の判定回路、
　複数の前記第１の判定回路の出力を入力するとともに、装置外部から複数の第２の判定回路の出力を入力し、入力された第１および第２の判定回路の出力の総数の内、前記作動要求信号の出力の総数が、半数または過半数の場合に多数決と判断するとともに、前記第２の判定回路の出力のみによる判断を多数決の判断に反映しない多数決回路、
を備えたことを特徴とする安全保護装置。
　複数の検出器のそれぞれに接続され、前記検出器の検出値を入力し、前記検出値があらかじめ定められた閾値以上となったとき作動要求信号を出力する複数の第１の判定回路、
　複数の前記第１の判定回路の出力を入力するとともに、装置外部から複数の第２の判定回路の出力を入力し、入力された第１および第２の判定回路の出力の総数の内、前記作動要求信号の出力の総数が、半数または過半数の場合に、多数決と判断する多数決回路、
　前記多数決回路の判断結果が、前記第２の判定回路の出力のみに寄らないよう、前記第２の判定回路の出力の前記多数決回路への入力を制限する制限回路、
を備えたことを特徴とする安全保護装置。
　前記制限回路は、複数の前記第１の判定回路の出力の論理和と前記第２の判定回路の出力との論理積を前記多数決回路へ入力する回路であることを特徴とする請求項５に記載の安全保護装置。