JP2018071882A - 燃焼装置および燃料電池システム - Google Patents

燃焼装置および燃料電池システム Download PDF

Info

Publication number
JP2018071882A
JP2018071882A JP2016211952A JP2016211952A JP2018071882A JP 2018071882 A JP2018071882 A JP 2018071882A JP 2016211952 A JP2016211952 A JP 2016211952A JP 2016211952 A JP2016211952 A JP 2016211952A JP 2018071882 A JP2018071882 A JP 2018071882A
Authority
JP
Japan
Prior art keywords
control unit
safety control
fuel
abnormality
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2016211952A
Other languages
English (en)
Inventor
貴嗣 井上
Takatsugu Inoue
貴嗣 井上
リンベック ウーヴェ
Limbeck Uwe
リンベック ウーヴェ
フリーデ ヴォルフガング
Friede Wolfgang
フリーデ ヴォルフガング
クリーガー クラウス
Klaus Krieger
クリーガー クラウス
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Aisin Corp
Original Assignee
Robert Bosch GmbH
Aisin Seiki Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH, Aisin Seiki Co Ltd filed Critical Robert Bosch GmbH
Priority to JP2016211952A priority Critical patent/JP2018071882A/ja
Priority to EP17198510.4A priority patent/EP3316372A1/en
Publication of JP2018071882A publication Critical patent/JP2018071882A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H01ELECTRIC ELEMENTS
    • H01MPROCESSES OR MEANS, e.g. BATTERIES, FOR THE DIRECT CONVERSION OF CHEMICAL ENERGY INTO ELECTRICAL ENERGY
    • H01M8/00Fuel cells; Manufacture thereof
    • H01M8/04Auxiliary arrangements, e.g. for control of pressure or for circulation of fluids
    • H01M8/04007Auxiliary arrangements, e.g. for control of pressure or for circulation of fluids related to heat exchange
    • H01M8/04014Heat exchange using gaseous fluids; Heat exchange by combustion of reactants
    • H01M8/04022Heating by combustion
    • HELECTRICITY
    • H01ELECTRIC ELEMENTS
    • H01MPROCESSES OR MEANS, e.g. BATTERIES, FOR THE DIRECT CONVERSION OF CHEMICAL ENERGY INTO ELECTRICAL ENERGY
    • H01M8/00Fuel cells; Manufacture thereof
    • H01M8/04Auxiliary arrangements, e.g. for control of pressure or for circulation of fluids
    • H01M8/04298Processes for controlling fuel cells or fuel cell systems
    • H01M8/04313Processes for controlling fuel cells or fuel cell systems characterised by the detection or assessment of variables; characterised by the detection or assessment of failure or abnormal function
    • H01M8/0432Temperature; Ambient temperature
    • H01M8/04373Temperature; Ambient temperature of auxiliary devices, e.g. reformers, compressors, burners
    • HELECTRICITY
    • H01ELECTRIC ELEMENTS
    • H01MPROCESSES OR MEANS, e.g. BATTERIES, FOR THE DIRECT CONVERSION OF CHEMICAL ENERGY INTO ELECTRICAL ENERGY
    • H01M8/00Fuel cells; Manufacture thereof
    • H01M8/04Auxiliary arrangements, e.g. for control of pressure or for circulation of fluids
    • H01M8/04298Processes for controlling fuel cells or fuel cell systems
    • H01M8/04313Processes for controlling fuel cells or fuel cell systems characterised by the detection or assessment of variables; characterised by the detection or assessment of failure or abnormal function
    • H01M8/04664Failure or abnormal function
    • H01M8/04686Failure or abnormal function of auxiliary devices, e.g. batteries, capacitors
    • HELECTRICITY
    • H01ELECTRIC ELEMENTS
    • H01MPROCESSES OR MEANS, e.g. BATTERIES, FOR THE DIRECT CONVERSION OF CHEMICAL ENERGY INTO ELECTRICAL ENERGY
    • H01M8/00Fuel cells; Manufacture thereof
    • H01M8/04Auxiliary arrangements, e.g. for control of pressure or for circulation of fluids
    • H01M8/04298Processes for controlling fuel cells or fuel cell systems
    • H01M8/04694Processes for controlling fuel cells or fuel cell systems characterised by variables to be controlled
    • H01M8/04746Pressure; Flow
    • H01M8/04776Pressure; Flow at auxiliary devices, e.g. reformer, compressor, burner
    • HELECTRICITY
    • H01ELECTRIC ELEMENTS
    • H01MPROCESSES OR MEANS, e.g. BATTERIES, FOR THE DIRECT CONVERSION OF CHEMICAL ENERGY INTO ELECTRICAL ENERGY
    • H01M8/00Fuel cells; Manufacture thereof
    • H01M8/04Auxiliary arrangements, e.g. for control of pressure or for circulation of fluids
    • H01M8/04298Processes for controlling fuel cells or fuel cell systems
    • H01M8/04694Processes for controlling fuel cells or fuel cell systems characterised by variables to be controlled
    • H01M8/04955Shut-off or shut-down of fuel cells
    • HELECTRICITY
    • H01ELECTRIC ELEMENTS
    • H01MPROCESSES OR MEANS, e.g. BATTERIES, FOR THE DIRECT CONVERSION OF CHEMICAL ENERGY INTO ELECTRICAL ENERGY
    • H01M8/00Fuel cells; Manufacture thereof
    • H01M8/06Combination of fuel cells with means for production of reactants or for treatment of residues
    • H01M8/0606Combination of fuel cells with means for production of reactants or for treatment of residues with means for production of gaseous reactants
    • H01M8/0612Combination of fuel cells with means for production of reactants or for treatment of residues with means for production of gaseous reactants from carbon-containing material
    • H01M8/0618Reforming processes, e.g. autothermal, partial oxidation or steam reforming
    • HELECTRICITY
    • H01ELECTRIC ELEMENTS
    • H01MPROCESSES OR MEANS, e.g. BATTERIES, FOR THE DIRECT CONVERSION OF CHEMICAL ENERGY INTO ELECTRICAL ENERGY
    • H01M8/00Fuel cells; Manufacture thereof
    • H01M8/10Fuel cells with solid electrolytes
    • H01M8/12Fuel cells with solid electrolytes operating at high temperature, e.g. with stabilised ZrO2 electrolyte
    • H01M2008/1293Fuel cells with solid oxide electrolytes
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02EREDUCTION OF GREENHOUSE GAS [GHG] EMISSIONS, RELATED TO ENERGY GENERATION, TRANSMISSION OR DISTRIBUTION
    • Y02E60/00Enabling technologies; Technologies with a potential or indirect contribution to GHG emissions mitigation
    • Y02E60/30Hydrogen technology
    • Y02E60/50Fuel cells

Landscapes

  • Engineering & Computer Science (AREA)
  • Chemical & Material Sciences (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Manufacturing & Machinery (AREA)
  • Sustainable Development (AREA)
  • Sustainable Energy (AREA)
  • Chemical Kinetics & Catalysis (AREA)
  • Electrochemistry (AREA)
  • General Chemical & Material Sciences (AREA)
  • Combustion & Propulsion (AREA)
  • Fuel Cell (AREA)
  • Regulation And Control Of Combustion (AREA)

Abstract

【課題】燃焼装置および燃料電池システムにおいて、制御装置の故障を検出するとともにその故障時に燃料遮断弁を確実に閉じる。【解決手段】発電ユニット10は、各安全制御部15b1,15b2とメイン制御部15aとを電気的に接続する信号線であって、いずれかの安全制御部15b1,15b2がエラー検出部15b1b,15b2bによって異常を検出した場合、その旨を示す信号である異常出力信号をメイン制御部15aに送信するための専用の異常出力信号線17bを備えている。メイン制御部15aは、異常出力信号を受信した場合、電源遮断装置15fを駆動して電源電圧の供給を遮断することにより、燃料の供給を遮断する第二燃料遮断制御部15a2を備えている。【選択図】 図2

Description

本発明は、燃焼装置および燃料電池システムに関する。
燃料電池システムの一形式として、特許文献1に示されているものが知られている。特許文献1の図1に示されているように、燃料電池システムは、燃料電池本体4と、燃料を改質して前記燃料電池本体に供給するための燃料処理系3と、前記燃料処理系へ送る燃料を遮断するための2つのフェイルクローズ式燃料遮断弁9,10と、前記燃料電池本体に酸素を供給するための空気供給系5と、前記フェイルクローズ式燃料遮断弁を制御するための制御装置6と、を有する。
特開2010−170913号公報
上述した特許文献1に記載されている燃料電池システムの制御装置6は、燃料電池システムの統括運転を行なっている。しかし、制御装置6は1つだけであり、制御装置6が故障した場合、燃料電池システムの運転、特に燃料を遮断するための2つのフェイルクローズ式燃料遮断弁9,10の閉処理ができなくなるおそれがあった。そこで、制御装置6の故障の検出および制御装置6が万一故障した場合にフェイルクローズ式燃料遮断弁9,10の閉処理を行って燃料供給の停止を確実に行う要請があった。
本発明は、上述した問題を解消するためになされたもので、燃焼装置および燃料電池システムにおいて、制御装置の故障を検出するとともにその故障時に燃料遮断弁を確実に閉じることを目的とする。
上記の課題を解決するため、請求項1に係る燃焼装置の発明は、燃焼部と、燃焼部にて燃焼させるために使用される複数の補機と、を備え、複数の補機は、少なくとも、燃焼部に燃料を供給する燃料供給管に設けられて燃料供給管を開閉する常閉型の複数の燃料遮断弁を含んでいる燃焼装置であって、燃焼装置を統括して制御するメイン制御部と、複数の燃料遮断弁を少なくともそれぞれ制御するとともにメイン制御部とは独立して作動する複数の安全制御部と、各燃料遮断弁に対する電源電圧の供給を遮断する電源遮断装置と、を備えた燃焼装置であって、各安全制御部は、自分自身の異常、自分自身と電気的に接続されかつ検出結果を出力するセンサの異常および他の安全制御部の異常を検出可能であるエラー検出部と、エラー検出部によって異常が検出された場合、電源遮断装置を駆動して電源電圧の供給を遮断することにより、燃料の供給を遮断する第一燃料遮断制御部と、備え、燃焼装置は、各安全制御部とメイン制御部とを電気的に接続する信号線であって、いずれかの安全制御部がエラー検出部によって異常を検出した場合、その旨を示す信号である異常出力信号をメイン制御部に送信するための専用の異常出力信号線をさらに備え、安全制御部は、エラー検出部によって異常が検出された場合、異常出力信号をメイン制御部に送信する送信部をさらに備え、メイン制御部は、異常出力信号を受信した場合、電源遮断装置を駆動して電源電圧の供給を遮断することにより、燃料の供給を遮断する第二燃料遮断制御部を備えている。
これによれば、各安全制御部のエラー検出部は、自分自身の異常、自分自身と電気的に接続されかつ検出結果を出力するセンサの異常および他の安全制御部の異常を検出可能である。よって、安全制御部の故障やセンサの故障を確実に検出することができる。さらに、各安全制御部の第一燃料遮断制御部は、エラー検出部によって異常が検出された場合、電源遮断装置を駆動して燃料遮断弁に対する電源電圧の供給を遮断することにより、燃料の供給を遮断する。これに加えて、安全制御部が検出した異常(安全制御部の故障やセンサの故障など)は、安全制御部から異常出力信号線を介してメイン制御部に送信することができる。メイン制御部の第二燃料遮断制御部は、異常を受信した場合、電源遮断装置を駆動して燃料遮断弁に対する電源電圧の供給を遮断することにより、燃料の供給を遮断する。このように、安全制御部の故障やセンサの故障が発生した場合、安全制御部とメイン制御部の両方が燃料の供給を遮断する制御を行うので、安全制御部が万一故障しても、燃料の供給停止を確実に行うことができる。
本発明による燃料電池システムの一実施形態の概要を示す概要図である。 図1に示す燃料電池システムを示すブロック図である。 第一および第二安全制御部の構成を示すブロック図である。 図2に示す第一および第二安全制御部で実行される制御プログラムのフローチャートである。 図2に示す第一および第二安全制御部で実行される制御プログラム(ROMチェック処理)のフローチャートである。 ROMチェック処理におけるROM領域を示す図である。 図2に示す第一および第二安全制御部で実行される制御プログラム(RAMチェック処理)のフローチャートである。 図2に示す第一および第二安全制御部で実行される制御プログラム(レジスタチェック処理)のフローチャートである。 図2に示す第一および第二安全制御部で実行される制御プログラム(相互監視処理)のフローチャートである。 図2に示す第一および第二安全制御部で実行される制御プログラム(プログラムシーケンスチェック処理)のフローチャートである。 図2に示す第一および第二安全制御部で実行される制御プログラム(プログラムシーケンスチェック処理)のフローチャートである。 図2に示す第一および第二安全制御部で実行される制御プログラム(スタックオーバフローチェック処理)のフローチャートである。 図2に示す第一および第二安全制御部で実行される制御プログラム(命令セットチェック処理)のフローチャートである。 図2に示す第一および第二安全制御部で実行される制御プログラム(発振子チェック処理)のフローチャートである。 図2に示す第一および第二安全制御部で実行される制御プログラムのフローチャートである。 図2に示すメイン制御部で実行される制御プログラムのフローチャートである。
以下、本発明による燃料電池システムの一実施形態について説明する。図1に示すように、燃料電池システムは、発電ユニット10(燃焼装置に相当する)および貯湯槽21を備えている。発電ユニット10は、筐体10a、燃料電池モジュール11、熱交換器12、インバータ装置13、水タンク14、および制御装置15を備えている。制御装置15は、図2に示すように、メイン制御部15a、第一安全制御部15b1および第二安全制御部15b2(以下、安全制御部15bと略称する場合もある)を備えている。
図1に示すように、燃料電池モジュール11は、後述するように燃料電池34を少なくとも含んで構成されるものである。燃料電池モジュール11は、改質用原料、改質水およびカソードエアが供給されている。具体的には、燃料電池モジュール11は、一端が供給源Gsに接続されて改質用原料が供給される改質用原料供給管11a(燃料供給管)の他端が接続されている。さらに、燃料電池モジュール11は、一端が水タンク14に接続されて改質水が供給される水供給管11bの他端が接続されている。水供給管11bは、改質水ポンプ11b1が設けられている。さらに、燃料電池モジュール11は、一端がカソードエアブロワ11c1に接続されてカソードエアが供給されるカソードエア供給管11cの他端が接続されている。カソードエア供給管11cは、燃料電池34に供給されているカソードエアの流量すなわち単位時間あたりの流量を検出する流量センサ11c2が設けられている。
改質用原料供給管11aに関して詳述する。改質用原料供給管11aには、上流から順番に燃料遮断弁11a1、脱硫器11a2、流量センサ11a3、圧力センサ11a4、バッファタンク11a5、および原料ポンプ11a6が設けられている。燃料遮断弁11a1、脱硫器11a2、流量センサ11a3、圧力センサ11a4、バッファタンク11a5、および原料ポンプ11a6は、筐体10a内に収納されている。
燃料遮断弁11a1は、制御装置15(安全制御部15b)の指令によって、改質用原料供給管11aを開閉自在に遮断する常閉型の弁(2連弁)である。具体的には、燃料遮断弁11a1は、それぞれ開閉自在に遮断する第一燃料遮断弁11a1aおよび第二燃料遮断弁11a1bから構成されている。第一燃料遮断弁11a1aおよび第二燃料遮断弁11a1bは、信頼性の高い部品である。信頼性が高いとは、例えば、使用開始から寿命を迎えるまでの期間を通して、故障や性能の劣化が発生しないことをいう。
なお、補機Aは、燃料電池34を発電させるために使用されるものである。例えば、補機Aは、本明細書に記載されている、第一および第二燃料遮断弁11a1a,11a1b、各ポンプ11a6,11b1、22a、カソードエアブロワ11c1、各センサ11a3,11a4,11c2,34d,36b1,36b2である。
脱硫器11a2は、改質用原料中の硫黄分(例えば、硫黄化合物)を除去するものである。流量センサ11a3は、燃料電池34に供給されている燃料(改質用原料)の流量すなわち単位時間あたりの流量を検出するものであり、その検出結果を制御装置15のメイン制御部15aに送信している。圧力センサ11a4は、燃料電池34に供給されている燃料(改質用原料)の圧力(特に圧力センサ11a4の設置場所の圧力)を検出するものであり、その検出結果を制御装置15のメイン制御部15aに送信している。バッファタンク11a5は、原料ポンプ11a6の気体流れを整流するものである。原料ポンプ11a6は、燃料電池34に燃料(改質用原料)を供給する供給装置であり、制御装置15のメイン制御部15aからの制御指令値にしたがって供給源Gsからの燃料供給量(供給流量(単位時間あたりの流量))を調整するものである。この原料ポンプ11a6は、改質用原料を吸入し改質部33に圧送する圧送装置である。
なお、改質用原料供給管11aには、原料ポンプ11a6と燃料電池モジュール11(蒸発部32)との間に逆止弁(図示省略)を配設するようにしてもよい。また、燃料遮断弁11a1、脱硫器11a2、流量センサ11a3、圧力センサ11a4、バッファタンク11a5、および原料ポンプ11a6の配置は、上述した順番に限定されない。
燃料電池モジュール11(30)は、ケーシング31、蒸発部32、改質部33および燃料電池34を備えている。ケーシング31は、断熱性材料で箱状に形成されている。
蒸発部32は、後述する燃焼ガスにより加熱されて、供給された改質水を蒸発させて水蒸気を生成するとともに、供給された改質用原料を予熱するものである。蒸発部32は、このように生成された水蒸気と予熱された改質用原料を混合して改質部33に供給するものである。改質用原料としては天然ガス、LPガスなどの改質用気体燃料、灯油、ガソリン、メタノールなどの改質用液体燃料があり、本実施形態においては天然ガスにて説明する。
蒸発部32には、一端(下端)が水タンク14に接続された水供給管11bの他端が接続されている。また、蒸発部32には、一端が供給源Gsに接続された改質用原料供給管11aが接続されている。供給源Gsは、例えば都市ガスのガス供給管、LPガスのガスボンベである。
改質部33は、上述した燃焼ガスにより加熱されて水蒸気改質反応に必要な熱が供給されることで、蒸発部32から供給された混合ガス(改質用原料、水蒸気)から改質ガスを生成して導出するものである。改質部33内には、触媒(例えば、RuまたはNi系の触媒)が充填されており、混合ガスが触媒によって反応し改質されて水素ガスと一酸化炭素などを含んだガスが生成されている(いわゆる水蒸気改質反応)。改質ガスは、水素、一酸化炭素、二酸化炭素、水蒸気、未改質の天然ガス(メタンガス)、改質に使用されなかった改質水(水蒸気)を含んでいる。このように、改質部33は改質用原料(原燃料)と改質水とから改質ガス(燃料)を生成して燃料電池34に供給する。なお、水蒸気改質反応は吸熱反応である。
燃料電池34は、燃料極、空気極(酸化剤極)、および両極の間に介装された電解質からなる複数のセル34aが積層されて構成されている。本実施形態の燃料電池は、固体酸化物形燃料電池であり、電解質として固体酸化物の一種である酸化ジルコニウムを使用している。燃料電池34の燃料極には、燃料として水素、一酸化炭素、メタンガスなどが供給される。動作温度は400〜1000℃程度である。なお、400℃以下でも定格以下の発電量の発電は可能である。また、600℃で発電開始を許可している。水素だけではなく天然ガスや石炭ガスなども直接燃料として用いることが可能である。この場合、改質部33は省略することができる。
セル34aの燃料極側には、燃料である改質ガスが流通する燃料流路34bが形成されている。セル34aの空気極側には、酸化剤ガスである空気(カソードエア)が流通する空気流路34cが形成されている。
燃料電池34は、燃料電池34の温度を検出する温度センサ34dを備えている。温度センサ34dは、燃料電池34のセル34aの積層方向の中央部分であって上下方向中央部分に設けられている。温度センサ34dは、その検出結果を制御装置15のメイン制御部15aに送信するようになっている。
燃料電池34は、マニホールド35上に設けられている。マニホールド35には、改質部33からの改質ガスが改質ガス供給管38を介して供給される。燃料流路34bは、その下端(一端)がマニホールド35の燃料導出口に接続されており、その燃料導出口から導出される改質ガスが下端から導入され上端から導出されるようになっている。カソードエアブロワ11c1によって送出されたカソードエアはカソードエア供給管11cを介して供給され、空気流路34cの下端から導入され上端から導出されるようになっている。
燃焼部36は、燃料電池34と蒸発部32および改質部33との間に設けられている。燃焼部36は、燃料電池34からのアノードオフガス(燃料オフガス)と燃料電池34からのカソードオフガス(酸化剤オフガス)とが燃焼されて改質部33を加熱する。
燃焼部36では、アノードオフガスが燃焼されて火炎37が発生している。燃焼部36では、アノードオフガスが燃焼されてその燃焼排ガスが発生している。燃焼部36には、アノードオフガスを着火させるための一対の着火ヒータ36a1,36a2が設けられている。また、燃焼部36には、燃焼部36の温度を検出するための第一および第二燃焼部温度センサ36b1,36b2(以下、燃焼部温度センサ36bと省略する場合もある)が設けられている。第一および第二燃焼部温度センサ36b1,36b2の検出結果(出力信号)は制御装置15の第一および第二安全制御部15b1,15b2に送信されている。
熱交換器12は、燃料電池モジュール11から排気される燃焼排ガスが供給されるとともに貯湯槽21からの貯湯水が供給され、燃焼排ガスと貯湯水とが熱交換する熱交換器である。具体的には、貯湯槽21は、貯湯水を貯湯するものであり、貯湯水が循環する(図にて矢印の方向に循環する)貯湯水循環ライン22が接続されている。貯湯水循環ライン22上には、貯湯槽21の下端から上端に向かって順番に貯湯水循環ポンプ22aおよび熱交換器12が配設されている。熱交換器12は、燃料電池モジュール11からの排気管11dが接続(貫設)されている。熱交換器12は、水タンク14に接続されている凝縮水供給管12aが接続されている。
熱交換器12において、燃料電池モジュール11からの燃焼排ガスは、排気管11dを通って熱交換器12内に導入され、貯湯水との間で熱交換が行われ凝縮されるとともに冷却される。凝縮後の燃焼排ガスは排気管11dを通って外部に排出される。また、凝縮された凝縮水は、凝縮水供給管12aを通って水タンク14に供給される。なお、水タンク14は、凝縮水をイオン交換樹脂によって純水化するようになっている。
上述した熱交換器12、貯湯槽21および貯湯水循環ライン22から、排熱回収システム20が構成されている。排熱回収システム20は、燃料電池モジュール11の排熱を貯湯水に回収して蓄える。
さらに、インバータ装置13は、燃料電池34から出力される直流電圧を入力し所定の交流電圧に変換して、交流の系統電源16aおよび外部電力負荷16c(例えば電化製品)に接続されている電源ライン16bに出力する。また、インバータ装置13は、系統電源16aからの交流電圧を電源ライン16bを介して入力し所定の直流電圧に変換して補機A(各ポンプ、ブロワなど)や制御装置15に出力する。
制御装置15は、補機Aを駆動して燃料電池システムの運転を制御する。制御装置15のメイン制御部15aは、発電ユニット10ひいては燃料電池システムを統括して制御する。
図2に示すように、メイン制御部15aは、各流量センサ11a3,11c2、圧力センサ11a4、温度センサ34d、各ポンプ11a6,11b1,22a、カソードエアブロワ11c1、着火ヒータ36a1,36a2、インバータ装置13、および記憶部15cが接続されている。メイン制御部15aはマイクロコンピュータ(図示省略)を有しており、マイクロコンピュータは、バスを介してそれぞれ接続された入出力インターフェース、CPU、RAMおよびROM(いずれも図示省略)を備えている。CPUは、燃料電池システムの統括運転を実施している。RAMは同プログラムの実行に必要な変数を一時的に記憶するものであり、ROMは前記プログラムを記憶するものである。
メイン制御部15aは、第一ドライブ回路15e1、および第一スイッチ15f1が接続されている。第一ドライブ回路15e1は、メイン制御部15aからの開閉指令に応じて第一燃料遮断弁11a1aを開閉制御するものである。メイン制御部15aから閉指令があった場合、第一ドライブ回路15e1は、電源V1から第一燃料遮断弁11a1aの電磁コイルへの駆動電圧の供給を停止する。これにより、第一燃料遮断弁11a1aの電磁コイルが非励磁されて、付勢部材による付勢力によって第一燃料遮断弁11a1aが閉状態となる。一方、メイン制御部15aから開指令があった場合、第一ドライブ回路15e1は、電源V1から第一燃料遮断弁11a1aの電磁コイルへの駆動電圧の供給を開始する。これにより、第一燃料遮断弁11a1aの電磁コイルが励磁されて、付勢部材による付勢力に抗して第一燃料遮断弁11a1aが開状態となる。
第一スイッチ15f1は、電源V1と第一ドライブ回路15e1との間に設けられ、メイン制御部15aからのオン・オフ指令に応じて電源V1と第一燃料遮断弁11a1aとを連通・遮断するものである。メイン制御部15aからオン指令があった場合、第一スイッチ15f1は、電源V1と第一燃料遮断弁11a1aとを連通する。一方、メイン制御部15aからオフ指令があった場合、第一スイッチ15f1は、電源V1と第一燃料遮断弁11a1aとを遮断する。
メイン制御部15aは、送受信部15a1、および第二燃料遮断制御部15a2を備えている。
送受信部15a1は、第一安全制御部15b1の送受信部15b1aおよび第二安全制御部15b2の送受信部15b2aとの間でデータ(異常を検出した旨の信号、異常出力信号など)を送信したり受信したりする。
第二燃料遮断制御部15a2は、異常出力信号線17bを介して異常出力信号を受信した場合、電源遮断装置15fを駆動して電源電圧の供給を遮断することにより、燃料の供給を遮断する。
制御装置15の第一および第二安全制御部15b1,15b2は、複数の燃料遮断弁11a1a,11a1bを少なくともそれぞれ制御するとともにメイン制御部15aとは独立して作動する。図2に示すように、制御装置15の第一安全制御部15b1は、第一燃焼部温度センサ36b1、第一ドライブ回路15e1、第一スイッチ15f1、および記憶部15d1が接続されている。第一ドライブ回路15e1は、第一安全制御部15b1からの開閉指令に応じて第一燃料遮断弁11a1aを開閉制御するものである。第一安全制御部15b1から閉指令があった場合、第一ドライブ回路15e1は、電源V1から第一燃料遮断弁11a1aの電磁コイルへの駆動電圧の供給を停止する。これにより、第一燃料遮断弁11a1aの電磁コイルが非励磁されて、付勢部材による付勢力によって第一燃料遮断弁11a1aが閉状態となる。一方、第一安全制御部15b1から開指令があった場合、第一ドライブ回路15e1は、電源V1から第一燃料遮断弁11a1aの電磁コイルへの駆動電圧の供給を開始する。これにより、第一燃料遮断弁11a1aの電磁コイルが励磁されて、付勢部材による付勢力に抗して第一燃料遮断弁11a1aが開状態となる。
第一スイッチ15f1は、電源V1と第一ドライブ回路15e1との間に設けられ、第一安全制御部15b1からのオン・オフ指令に応じて電源V1と第一燃料遮断弁11a1aとを連通・遮断するものである。第一安全制御部15b1からオン指令があった場合、第一スイッチ15f1は、電源V1と第一燃料遮断弁11a1aとを連通する。一方、第一安全制御部15b1からオフ指令があった場合、第一スイッチ15f1は、電源V1と第一燃料遮断弁11a1aとを遮断する。
記憶部15d1は、DataFlashやEEPROMである。
制御装置15の第二安全制御部15b2は、第二燃焼部温度センサ36b2、第二ドライブ回路15e2、第二スイッチ15f2、および記憶部15d2が接続されている。第二ドライブ回路15e2は第一ドライブ回路15e1と同様に構成され、第二スイッチ15f2は第一スイッチ15f1と同様に構成されている。なお、第一および第二スイッチ15f1,15f2は、各燃料遮断弁11a1に対する電源電圧V1の供給を遮断する電源遮断装置15fを構成する。また、以下、第一および第二スイッチ15f1,15f2をスイッチ15fと略称する場合がある。
第一および第二安全制御部15b1,15b2は、マイクロコンピュータで構成されており、図3に示すように、バスを介してそれぞれ接続された、CPU41、RAM42、ROM43、調歩同期通信回路44、タイマ回路45および位相同期回路46をそれぞれ備えている。
CPU41は、主として燃料遮断弁11a1の制御を実施している。RAM42は制御プログラムの実行に必要な変数を一時的に記憶するものであり、ROM43は制御プログラムを記憶するものである。調歩同期通信回路44は、他の安全制御部の調歩同期通信回路44と互いに通信可能である。調歩同期通信回路44は、調歩同期式の通信を行う回路である。調歩同期式とは、シリアル通信において、一文字分の文字情報を送るたびに、データの先頭にデータ送信開始の情報(スタートビット)と、データ末尾にデータ送信終了の信号(ストップビット)を付け加えて送受信を行う方式のことである。調歩同期式では、データそのものに同期用信号を追加して同期を取っている。
タイマ回路45は、ハードウェア時間計測器である。タイマ回路45は、一定間隔でCPU41に対して割り込みを発生させたり(例えばインターバルタイマ)、コンピュータシステムの正常動作を確認したりするためのものである(例えばウォッチドッグタイマ)。タイマ回路45は、CPU41や調歩同期通信回路44に信号(割込み信号や、調歩同期通信回路44の基準速度生成としてのタイマカウンタ動作での信号)を入力する。
位相同期回路46は、入力される周期的な信号を元にフィードバック制御を加えて、別の発振器から位相が同期した信号を出力する電子回路である。位相同期回路46は、基準周波数となる入力信号と、電圧に応じて周波数が変化するVCO(電圧制御発振器)出力のフィードバック信号との位相差をそのVCOに入力することにより、入力信号と出力信号の位相を同期させる。
発振子47(発振回路)は、クロック信号を出力する。クロック信号は、クロック同期設計のデジタル論理回路が動作する時に、複数の回路のタイミングを合わせる(同期を取る)ために使用される。クロック信号は、位相同期回路46を介してCPU41、RAM42、ROM43、調歩同期通信回路44およびタイマ回路45に出力されている。なお、発振子47は、安全制御部15b1の外部に設けるようにしたが、安全制御部15b1の内部に設けるようにしてもよい。
さらに、第一安全制御部15b1は、送受信部15b1a(送信部に相当する)、エラー検出部15b1b、および第一燃料遮断制御部15b1cを備えている。
送受信部15b1aは、エラー検出部15b1bによって異常が検出された場合、異常出力信号をメイン制御部15aに送信する。
エラー検出部15b1bは、第一安全制御部15b1自分自身の異常、第一安全制御部15b1自分自身と電気的に接続されかつ検出結果を出力するセンサ(例えば第一燃焼部温度センサ36b1)の異常および他の安全制御部(例えば第二安全制御部15b2)の異常を検出可能である。
第一燃料遮断制御部15b1cは、エラー検出部15b1bによって前記異常が検出された場合、電源遮断装置15fを駆動して電源電圧の供給を遮断することにより、燃料の供給を遮断する。
第二安全制御部15b2は、第一安全制御部15b1と同様に、送受信部15b2a(送信部に相当する)、エラー検出部15b2b、および第一燃料遮断制御部15b2cを備えている。
送受信部15b2aは、エラー検出部15b2bによって異常が検出された場合、異常出力信号をメイン制御部15aに送信する。
エラー検出部15b2bは、第二安全制御部15b2自分自身の異常、第二安全制御部15b2自分自身と電気的に接続されかつ検出結果を出力するセンサ(例えば第二燃焼部温度センサ36b2)の異常および他の安全制御部(例えば第一安全制御部15b1)の異常を検出可能である。
第一燃料遮断制御部15b2cは、エラー検出部15b2bによって前記異常が検出された場合、電源遮断装置15fを駆動して電源電圧の供給を遮断することにより、燃料の供給を遮断する。
メイン制御部15a、第一および第二安全制御部15b1,15b2は、互いに通信可能に接続されている。第一燃焼部温度センサ36b1からの検出信号は、第一安全制御部15b1に入力される。この検出信号は、第一安全制御部15b1を介してメイン制御部15aに出力されている。第二燃焼部温度センサ36b2からの検出信号は、第二安全制御部15b2に入力される。この検出信号は、第二安全制御部15b2を介してメイン制御部15aに出力されている。
一方、メイン制御部15aが入力した情報(センサからの検出信号)は、第一および第二安全制御部15b1,15b2に出力されている。
発電ユニット10は、制御部間信号線17aおよび異常出力信号線17bを備えている。
制御部間信号線17aは、第一および第二安全制御部15b1,15b2とメイン制御部15aとを電気的に接続する信号線であって、各安全制御部15b1,15b2とメイン制御部15aとが異常出力信号(後述する)以外のデータを通信するための信号線(CPU間通信線)である。より具体的には、制御部間信号線17aは、第一安全制御部15b1の送受信部15b1a、第二安全制御部15b2の送受信部15b2a、およびメイン制御部15aの送受信部15a1を互いに(並列に)電気的に接続する。
異常出力信号線17bは、第一および第二安全制御部15b1,15b2とメイン制御部15aとを電気的に接続する信号線であって、いずれかの安全制御部15b1,15b2がエラー検出部15b1b,15b2bによって異常を検出した場合、その旨を示す信号である異常出力信号をメイン制御部15aに送信するための専用の信号線である。異常出力信号線17bは、制御部間信号線17aとは別の信号線である。異常出力信号線17bは、第一安全制御部15b1の送受信部15b1aとメイン制御部15aの送受信部15a1とを電気的に接続する。異常出力信号線17bは、第二安全制御部15b2の送受信部15b2aとメイン制御部15aの送受信部15a1とを電気的に接続する。
(異常チェック処理)
次に、安全制御部15bが実行する各チェック処理について図4に示すフローチャートに沿って説明する。安全制御部15bは、そのフローチャートに沿ったプログラムを所定時間毎に繰り返し実行する。
安全制御部15bは、ステップS102において、後述する各異常チェック処理を行う処理タイミングとなったか否かを判定する。いずれの異常チェック処理のタイミングとなっていない場合には、ステップS102にて「NO」と判定し、本プログラムを一旦停止する。一方、いずれかの異常チェック処理のタイミングとなった場合には、ステップS102にて「YES」と判定し、いずれかの異常チェック処理(ステップS104−126)を行う。
いずれの異常チェック処理においても異常を検出しない場合、すなわち安全制御部15bが故障(マイコン故障)していない場合、安全制御部15bは、ステップS128にて「NO」と判定し、本プログラムを一旦停止する。一方、いずれかの異常チェック処理において異常を検出した場合、すなわち安全制御部15bが故障している場合、安全制御部15bは、ステップS128にて「YES」と判定し、インターロック動作を行う(ステップS130)。
インターロック動作は、安全制御部15bが燃料遮断弁11a1に対して閉指示を行い、その結果、燃料遮断弁11a1を遮断する動作と、安全制御部15bがスイッチ15fに対してオフ指示を行い、その結果燃料遮断弁11a1への電源供給を停止する動作と、を合わせた動作のことである。なお、燃料遮断弁11a1への電源供給を停止する動作のみをインターロック動作としてもよい。
なお、全ての異常チェック処理(ステップS104−126)は、エラー検出部15b1b,15b2bと同様に、自分自身の異常、および他の前記安全制御部の異常を検出可能であるエラー検出部である。また、ステップS130の処理は、第一燃料遮断制御部15b1c,15b2cと同様に、エラー検出部によって異常が検出された場合、電源遮断装置15fを駆動して電源電圧V1の供給を遮断することにより、燃料の供給を遮断する第一燃料遮断制御部である。
上述したように、安全制御部15bは、マイコン故障を検出すると、発電ユニット10(燃焼装置)内の燃焼部36へ接続されている改質用原料供給管11a(燃料供給管)に設けた燃料遮断弁11a1を遮断制御するとともに、燃料遮断弁11a1への電源供給も遮断する。その結果、たとえマイコンポート故障に伴い駆動指示ポートから遮断制御できない場合(例えばマイコンポートのHiラッチ故障時)でも、燃料遮断弁11a1を確実に閉止することができる。
なお、安全制御部15bは、マイコン故障が発生した場合、その故障回数をカウントして予め設定した回数に到達した場合にインターロック動作しても良いし、一回でもマイコン故障発生を検知すると即座にインターロック動作しても良い。
また、安全制御部15bは、マイコン異常を検出するとその異常検知した旨を記憶部15dに記憶する。安全制御部15bは、修理業者によるメンテナンス実施時以外には、記憶部15d(15d1,15d2)に記憶されているマイコン異常を検知した旨の消去およびインターロック動作の解除をできないように制御するのが望ましい。さらに、安全制御部15bは、起動時に、記憶部15dにマイコン異常を検知した旨が記憶されている場合には、インターロック動作を行うように制御するのが望ましい。これにより、停電や修理業者以外のユーザ操作による電源スイッチのオフによって、偶発的にマイコン異常を検知した旨の消去やインターロック動作の解除を抑制することができる。
(ROMチェック処理)
以下、各異常チェック処理について詳述する。安全制御部15bは、ROMチェック実施タイミングとなったとき、ROMチェック処理を行う(ステップS104)。
安全制御部15bは、最初に第一ROMチェック処理を行う。第一ROMチェック処理は、第一格納領域A1に格納されている第一ROMチェック処理プログラムにより行われるものであり、第一格納領域A1を含む全ROM領域に対してデータチェックを行う処理である。データチェックは、第一格納領域A1を含む全ROM領域のCRCコード/BCCコード/チェックサム等のチェック値を算出し、その算出結果が理論値と比較することにより、ROM41が正常であるか否かを検出する。なお、ROM41は、図6に示すように、全領域を区画して形成された複数の領域(ROMアドレス)A1・・・Anを備えている。なお、CRCは、巡回冗長検査である。BCC(Block checking character)は、誤り検出で用いられる冗長符号である。
具体的には、安全制御部15bは、図5に示すフローチャートに沿ったプログラムを実行する。安全制御部15bは、ステップS202において、第一格納領域A1を含む全ROM領域のチェックコードを算出する。安全制御部15bは、ステップS204において、ステップS202にて算出したチェックコードを、予め記憶している理論値と比較する。安全制御部15bは、ステップS204の比較結果が不一致である場合には、ステップS206にて「YES」と判定し、ROMチェック結果はNGである旨の判定、すなわちROM41は異常である旨の判定を行う(ステップS208)。一方、安全制御部15bは、ステップS204の比較結果が一致である場合には、ステップS206にて「NO」と判定し、プログラムをステップS210に進めて、さらに第二ROMチェック処理を行う。
第二ROMチェック処理は、第一格納領域A1とは異なる領域である第二格納領域A2に格納されている第二ROMチェック処理プログラムにより行われるものであり、第二格納領域A2を含む全ROM領域に対してデータチェックを行う処理である。データチェックは、第二格納領域A2を含む全ROM領域のCRCコード/BCCコード/チェックサム等のチェック値を算出し、その算出結果が理論値と比較することにより、ROM41が正常であるか否かを検出する。
具体的には、安全制御部15bは、ステップS210において、第二格納領域A2を含む全ROM領域のチェックコードを算出する。安全制御部15bは、ステップS212において、ステップS210にて算出したチェックコードを、予め記憶している理論値と比較する。安全制御部15bは、ステップS212の比較結果が不一致である場合には、ステップS214にて「YES」と判定し、ROMチェック結果はNGである旨の判定、すなわちROM41は異常である旨の判定を行う(ステップS208)。一方、安全制御部15bは、ステップS212の比較結果が一致である場合には、ステップS214にて「NO」と判定し、ROMチェック結果はOKである旨の判定、すなわちROM41は正常である旨の判定を行う(ステップS216)。
ROMチェック処理自体が格納されているROM領域が1つである場合、そのROM領域が故障した場合、その異常を検出しそれを通知できない可能性がある。これに対して、上述したように、複数のROMチェック処理を異なるROM領域へ冗長的に配置することにより、ROMチェック処理自体が格納されたROM領域が故障したとしても、確実にROM41の故障を検出することができる。
上述したROMチェック処理(ステップS104)が、安全制御部15bに設けられたROM43を自己診断によりチェックすることにより、自分自身の異常の有無を検出するROMチェック部である。
(RAMチェック処理)
安全制御部15bは、RAMチェック実施タイミングとなったとき、RAMチェック処理を行う(ステップS106)。
安全制御部15bは、RAM全領域において各bit(RAMアドレス)に対して読み書き照合(RAM全領域の各アドレスに対してbit毎に全てチェックする)を行って、RAMを構成するメモリ全ビットの短絡等の故障を検出する。RAMへの書込みデータとRAMからの読込みデータが一致する場合はRAM42が正常であると判断し、一致しない場合はRAM42が故障であると判断する。
具体的には、安全制御部15bは、図7に示すフローチャートに沿ったプログラムを実行する。安全制御部15bは、RAM先頭アドレスをチェック対象アドレスに設定し(ステップS252)、チェック対象アドレスのRAMデータ内容を退避させ(ステップS254)、チェック対象アドレスにチェックパターンを書き込み(ステップS256)、チェック対象アドレスからチェックパターンを読み込む(ステップS258)。
安全制御部15bは、ステップS260において、書き込みデータと読み込みデータとが一致するか否かを判定する。両データが一致しない場合、安全制御部15bは、ステップS260にて「no」と判定し、RAM42の故障を検出する(ステップS262)。一方、両データが一致する場合、安全制御部15bは、ステップS260にて「yes」と判定し、ステップS264に進め、RAM42の全領域のチェックを行う(ステップS266,254−260,264)。
そして、RAM42の全領域のデータのチェックが正常である場合には、安全制御部15bは、ステップS264にて「yes」と判定し、RAM42が正常であると判断する。
(レジスタチェック処理)
安全制御部15bは、レジスタチェック実施タイミングとなったとき、レジスタチェック処理を行う(ステップS108)。
安全制御部15bは、RAMチェック処理と同様に、CPU41内における全レジスタの各bitに対して読み書き照合を行い、レジスタを構成するメモリ全ビットの短絡等の故障を検出する。レジスタとしては、汎用レジスタ、制御レジスタ、スタックポインタレジスタなどがある。
具体的には、安全制御部15bは、図8に示すフローチャートに沿ったプログラムを実行する。安全制御部15bは、チェック対象レジスタを一個目のレジスタに設定し(ステップS302)、チェック対象レジスタのデータ内容を退避させ(ステップS304)、チェック対象レジスタにチェックパターンを書き込み(ステップS306)、チェック対象レジスタからチェックパターンを読み込む(ステップS308)。
安全制御部15bは、ステップS310において、書き込みデータと読み込みデータとが一致するか否かを判定する。両データが一致しない場合、安全制御部15bは、ステップS310にて「no」と判定し、レジスタの故障を検出する(ステップS312)。一方、両データが一致する場合、安全制御部15bは、ステップS310にて「yes」と判定し、ステップS314に進め、全レジスタのチェックを行う(ステップS316,304−310,314)。
そして、全レジスタのチェックが正常である場合には、安全制御部15bは、ステップS314にて「yes」と判定し、レジスタが正常であると判断する。
(相互監視処理)
安全制御部15bは、相互監視実施タイミングとなったとき、相互監視処理を行う(ステップS110)。
相互監視処理は、通信ラインで接続されている複数の安全制御部15bが互いに監視し合うことにより、1つの安全制御部15bだけでは検出できない故障を容易に検出するものである。1つの安全制御部15bだけでは検出できない故障は、例えば、CPU41に対して一定間隔で割り込みを発生させるタイマ回路45(インターバルタイマ機能)の故障である。
具体的には、第一安全制御部15b1は、図9に示すフローチャートに沿ったプログラムを実行する。第一安全制御部15b1は、ステップS352において、自分のECU41に対するタイマ回路45からの割り込み回数(単位時間あたり)を計測する。同時に、第一安全制御部15b1は、計測した割り込み回数を第二安全制御部15b2に送信する。第一安全制御部15b1は、ステップS354において、相手(第二安全制御部15b2)のECU41に対するタイマ回路45からの割り込み回数を受信して格納(記憶)する。
安全制御部15b1は、ステップS356において、自分の割り込み回数と相手の割り込み回数とが一致するか否かを判定する。両割り込み回数が一致しない場合、安全制御部15b1は、ステップS356にて「no」と判定し、タイマ回路45やCPU41の故障を検出する(ステップS358)。一方、両割り込み回数が一致する場合、安全制御部15b1は、ステップS356にて「yes」と判定し、タイマ回路45やCPU41が正常である旨を検出する(ステップS360)。
第二安全制御部15b2も、第一安全制御部15b1と同様に相互監視処理を行う。なお、単位時間あたりの割り込み回数の代わりに、割り込み周期を算出するようにしてもよい。この場合、各安全制御部15bは、割り込み周期が判定周期内にあるか否かを判定することにより、正常であるか否かを判定すればよい。安全制御部15bの各割り込み周期が異なる場合に有効である。
上述した相互監視処理(ステップS110)が、他の安全制御部15bとの間で行われる通信により互いに監視し合うことにより、自分自身の安全制御部15b(例えば第一安全制御部15b1)または他の安全制御部15b(例えば第二安全制御部15b2)の異常の有無を検出する相互監視部である。
(プログラムシーケンスチェック処理)
安全制御部15bは、プログラムシーケンスチェック実施タイミングとなったとき、プログラムシーケンスチェック処理を行う(ステップS112)。安全制御部15bは、メイン周期において未実行の関数があった場合、それを検知する。すなわち、安全制御部15bは、各関数実行時にチェックカウンタをカウントアップし、1メイン周期の処理を完了したとき全関数を過不足なく正常実行したことを確認する。
具体的には、安全制御部15bは、図10に示すフローチャートに沿ったプログラムを実行する。安全制御部15bは、メイン周期の実行中において、最初の関数Aを実行し(ステップS402)、関数Aの実行時にチェックカウンタをカウントアップする(ステップS404)。安全制御部15bは、次の関数の実行時にも関数Aと同様にチェックカウンタをカウントアップし、最後の関数Xを実行し(ステップS406)、関数Xの実行時にチェックカウンタをカウントアップする(ステップS408)。その後、安全制御部15bは、プログラムシーケンスチェック処理を行う(ステップS410)。
安全制御部15bは、図11に示すフローチャートに沿ったプログラムを実行する。安全制御部15bは、関数X実行時に算出したチェックカウンタ(ゲートカウンタ値ともいう)と、理論値とを比較する(ステップS412)。チェックカウンタと理論値とが一致しない場合、安全制御部15bは、ステップS414にて「no」と判定し、プログラムシーケンスチェック異常である旨を検出する(ステップS416)。一方、一致する場合、安全制御部15bは、ステップS414にて「yes」と判定し、プログラムシーケンスチェック正常である旨を検出する(ステップS418)。なお、プログラムシーケンスチェック異常は、未実行関数があり、または、重複実行関数があるなど、ECU41の故障である。
(スタックオーバフローチェック処理)
安全制御部15bは、スタックオーバフローチェック実施タイミングとなったとき、スタックオーバフローチェック処理を行う(ステップS114)。スタックオーバフローチェック処理は、RAM領域内に予め設定された使用可能なスタック領域をオーバしてスタックを使用するスタックオーバーフローの発生をチェックする。スタック領域は、ソフトウェアで使用可能な領域であり、通常は予め設定されているものである。予め設定された使用可能領域をオーバしてスタックを使用した場合、ソフトウェア動作が不定になる可能性が高い。
具体的には、安全制御部15bは、図12に示すフローチャートに沿ったプログラムを実行する。安全制御部15bは、チェック実施RAMアドレスを設定する(ステップS452)。チェック実施RAMアドレスとしては、例えば、スタック領域の先頭アドレスがある。設定したアドレスのRAM値が初期値(例えば0)以外である場合、安全制御部15bは、ステップS454にて「yes」と判定し、スタックオーバーフロー異常である旨(すなわち、スタックオーバーフローが発生した旨)を検出する(ステップS456)。一方、設定したアドレスのRAM値が初期値である場合、安全制御部15bは、ステップS454にて「no」と判定し、スタックオーバーフロー異常でない(正常である)旨を検出する(ステップS458)。
(命令セットチェック処理)
安全制御部15bは、命令セットチェック実施タイミングとなったとき、命令セットチェック処理を行う(ステップS116)。命令セットチェック処理は、CPU41内で実行される全アセンブラ命令の正常動作をチェックする。アセンブラ命令は、CPU41で実行可能な全ての命令、もしくは、マイコンで動作させるソフトウェアに含まれる全命令のどちらかをチェックする。
具体的には、安全制御部15bは、図13に示すフローチャートに沿ったプログラムを実行する。安全制御部15bは、第一チェック対象の命令を実行する(ステップS502)。第一チェック対象の命令が正常に動作していない場合、安全制御部15bは、ステップS504にて「no」と判定し、異常が発生したとして(異常を検出したとして)命令セットチェック処理の停止工程を実施する(ステップS510)。一方、第一チェック対象の命令が正常に動作している場合、安全制御部15bは、ステップS504にて「yes」と判定し、異常が発生していないとして(正常を検出したとして)、次のチェック対象命令の動作をチェックする。
安全制御部15bは、最後の第nチェック対象の命令を実行する(ステップS506)。第nチェック対象の命令が正常に動作していない場合、安全制御部15bは、ステップS506にて「no」と判定し、異常が発生したとして命令セットチェック処理の停止工程を実施する(ステップS510)。一方、第nチェック対象の命令が正常に動作している場合、安全制御部15bは、ステップS508にて「yes」と判定し、異常が発生していないとして(正常を検出したとして)、通常動作を継続する(ステップS512)。
なお、上記例では一命令実施毎に正常動作チェックをしているが、複数命令をまとめて実行した後に正常動作チェックをするようにしてもよい。
(発振子チェック処理)
安全制御部15bは、発振子チェック実施タイミングとなったとき、発振子チェック処理を行う(ステップS118)。発振子チェック処理は、調歩同期通信で相互通信する2個以上のマイコン(本実施形態では安全制御部15b1,15b2である)と、それらに接続された各発振子47とを使用して行われる。
調歩同期通信は予め両マイコン(安全制御部15b1,15b2である)で決められたボーレートで通信する事を前提としており、そのボーレートがずれると期待タイミングでパリティビットやストップビットを受理できない為、互いの電文データを正しく受信できない。各マイコンは各々発振子47の生成クロック信号を基準として調歩同期通信回路44で通信データを送出/受信する。よって、元のクロック信号がズレた場合、その両発振子47間の誤差が、ある範囲以内であれば、正常に他デバイスと通信できるが、その範囲以上のズレがあると、正常に通信できない。クロック信号がズレたことを発振子ズレという。このように、専用の検出手段を設けなくても、発振子ズレを検出することができる。
具体的には、安全制御部15bは、図14に示すフローチャートに沿ったプログラムを実行する。一の安全制御部15b(第一安全制御部15b1)は、ステップS522において、他の安全制御部15b2と調歩同期通信により定期的に通信し、上述した通信異常検出を実施する。異常を検出しない場合、第一安全制御部15b1は、ステップS524にて「no」と判定し、通信正常である(すなわち発振子47は正常であるとみなす)旨を検出し、燃料電池システムの通常の動作を継続する(ステップS526)。
一方、異常を検出した場合、第一安全制御部15b1は、ステップS524にて「yes」と判定し、通信異常である(すなわち発振子47は異常であるとみなす)旨を検出する。その後、第一安全制御部15b1は、プログラムをステップS528以降に進めて、最終的に燃料電池システムの動作(暖機運転・発電運転)を停止する。
第一安全制御部15b1は、通信異常の発生原因を特定する。受信完了割り込みが途絶している場合、第一安全制御部15b1は、ステップS528にて「yes」と判定し、異常原因が、両安全制御部15b1,15b2の発振子47は正常であるが、他の安全制御部15b2のシステムダウンまたは通信線断線による通信自体の途絶であると判定する(ステップS530)。
受信完了割り込みが途絶しておらず、かつ、オーバーランエラーが発生した場合、第一安全制御部15b1は、ステップS528,532にて「no」、「yes」と判定し、異常原因が、自分のマイコンソフト不良による受信データバッファ読み出し遅れであると判定する(ステップS534)。
受信完了割り込みが途絶しておらず、かつ、オーバーランエラーが発生していない場合、第一安全制御部15b1は、ステップS528,532にてそれぞれ「no」と判定し、異常原因が、自分の発振子47が異常であるか、相手の発振子47が異常であるか、両発振子47は正常であるがノイズによる通信データ化けであると判定する(ステップS536)。
上述した発振子チェック処理(ステップS118)が、安全制御部15bに設けられた発振子47を自己診断によりチェックすることにより、自分自身の安全制御部15b(例えば第一安全制御部15b1)または他の安全制御部15b(例えば第二安全制御部15b2)の異常の有無を検出する発振子チェック部である。
また、2つの安全制御部を例に説明したが、本方式は2つの制御部の相互通信だけではなく2つ以上の制御装置の相互通信でも同じ効果が得られる。
(相互監視通信異常チェック処理)
安全制御部15bは、相互監視通信異常チェック実施タイミングとなったとき、相互監視通信異常チェック処理を行う(ステップS120)。具体的には、安全制御部15bは、他の安全制御部15bとの間で通信される通信電文に付与したCRCやBCCにより、相互監視通信そのものの通信成立をチェックする。CRCやBCCが不一致または、通信相手端末が沈黙する場合、通信異常とする。
(外部記憶手段チェック処理)
安全制御部15bは、外部記憶手段チェック実施タイミングとなったとき、外部記憶手段チェック処理を行う(ステップS122)。具体的には、安全制御部15bは、外部記憶手段として記憶部15dが接続されており、記憶部15dの記憶データのチェックを目的としてCRC付与や、データ多重化による照合チェックを実施する。記憶データチェックで異常発生する場合、その記憶データが信用できないため、故障とする。
(マイコンAD変換器の線形性チェック処理)
安全制御部15bは、マイコンAD変換器の線形性チェック実施タイミングとなったとき、マイコンAD変換器の線形性チェック処理を行う(ステップS124)。具体的には、安全制御部15bは、マイコン外部回路として、例えば複数の一定電圧を発生する基準電圧回路に接続されており、その電圧に基づいてAD変換するAD変換器を備えている。安全制御部15bは、基準電圧回路からの各電圧のAD変換結果によりAD変換器をチェックする。
複数の安全制御部15b(15b1,15b2)は、例えば異常検出に用いるセンサ信号を分岐して入力し、独自にAD変換と異常検出を実施する。これにより、一方のCPUのAD変換器故障時においても異常検出機能を喪失しないようにする。
また、前述の相互監視通信でAD変換結果も送受信し、同一センサ信号を入力した場合における、他マイコンでのAD変換結果と自マイコンでのAD変換結果を比較し、正常な誤差範囲を逸脱したAD変換結果差分を検出すると異常を検出するようにしてもよい。
(マイコンデジタルI/Oポートのチェック処理)
安全制御部15bは、マイコンデジタルI/Oポートのチェック実施タイミングとなったとき、マイコンデジタルI/Oポートのチェック処理を行う(ステップS126)。具体的には、安全制御部15bの入力ポートは、入力信号をマイコン外部で分岐するとともに冗長入力化し、その入力結果を比較する事でチェックできる。安全制御部15bの出力ポートは、出力信号をマイコン外部で分岐し一片側をマイコンに入力し、出力値と入力値を比較することでチェックできる。
複数の安全制御部15b(15b1,15b2)は、例えば異常検出に用いるセンサ信号を分岐して入力し、独自に入力処理と異常検出を実施する。これにより、一方のCPUの入力ポート故障時にも異常検出機能を喪失しないようにする。出力ポート信号はたとえば複数CPUに同一出力機能を設け、その出力値を論理合成して補機A等に指示を与えられる様に外部回路を設ければ、一方のCPU出力がポート故障により期待通りの出力とならない場合でも不安全な出力にならない。
また、第一安全制御部15b1(または第二安全制御部15b2)は、図15に示すように、第一燃焼部温度センサ36b1(または第二燃焼部温度センサ36b2)の異常を検出したか否かを判定する(ステップS602)。第一安全制御部15b1(または第二安全制御部15b2)は、第一燃焼部温度センサ36b1(または第二燃焼部温度センサ36b2)の異常を検出した場合、ステップS602にて「YES」と判定し、プログラムをステップS604以降に進める。なお、第一安全制御部15b1(または第二安全制御部15b2)は、第一燃焼部温度センサ36b1(または第二燃焼部温度センサ36b2)の異常を検出しない(正常である)場合、ステップS602にて「NO」と判定し、ステップS602の処理を繰り返し実行する。
第一安全制御部15b1(または第二安全制御部15b2)は、ステップS604において、第一燃料遮断弁11a1a(または第二燃料遮断弁11a1b)を閉状態にする。第一安全制御部15b1(または第二安全制御部15b2)は、ステップS606において、制御部間信号線17aを介して第一燃焼部温度センサ36b1(または第二燃焼部温度センサ36b2)の異常を検出した旨をメイン制御部15aに送信(通知)する。
さらに、第一安全制御部15b1(または第二安全制御部15b2)は、ステップS608において、異常出力信号線17bを介して第一燃焼部温度センサ36b1(または第二燃焼部温度センサ36b2)の異常を検出した旨をメイン制御部15aに送信(通知)する。例えば、異常出力信号線17bは、ハイ電圧とロー電圧とからなるデジタル信号を伝える線であり、ハイ電圧でONすなわち異常であることを示し、ロー電圧でOFFすなわち正常であることを示す。
また、図16に示すように、メイン制御部15aは、第一安全制御部15b1(または第二安全制御部15b2)から制御部間信号線17aを介してセンサ異常(例えば第一燃焼部温度センサ36b1異常(または第二燃焼部温度センサ36b2異常))である旨の通知を受信した場合、ステップS652にて「YES」と判定し、プログラムをステップS656に進める。
一方、メイン制御部15aは、第一安全制御部15b1(または第二安全制御部15b2)から制御部間信号線17aを介してセンサ異常(例えば第一燃焼部温度センサ36b1異常(または第二燃焼部温度センサ36b2異常))である旨の通知を受信しない場合、ステップS652にて「NO」と判定し、プログラムをステップS654に進める。メイン制御部15aは、第一安全制御部15b1(または第二安全制御部15b2)との間にて制御部間信号線17aを介する通信状態が異常であり、かつ、異常出力信号線17bを介して異常出力信号を受信した場合、ステップS654にて「YES」と判定し、プログラムをステップS656に進める。また、メイン制御部15aは、第一安全制御部15b1(または第二安全制御部15b2)との間にて制御部間信号線17aを介する通信状態が異常でなく、また、異常出力信号線17bを介して異常出力信号を受信しない場合、ステップS654にて「NO」と判定し、プログラムをステップS652に戻す。
なお、通信状態が異常である場合とは、通信が途絶する場合、通信データが異常である場合などである。
メイン制御部15aは、ステップS656において、燃料電池システムのシャットダウンを実行する。具体的には、メイン制御部15a(第二燃料遮断制御部15a2)は、電源遮断装置15fを駆動して電源電圧の供給を遮断することにより、燃料の供給を遮断する。また、メイン制御部15aは、インバータ装置13の制御を停止するようにしてもよい。メイン制御部15aは、原料ポンプ11a6、改質水ポンプ11b1、カソードエアブロワ11c1の制御を停止するようにしてもよい。換言すると、メイン制御部15aは、燃料電池システムの制御を停止するための処理であるシステムシャットダウンを実行することができる。
上述した説明から明らかなように、本実施形態の発電ユニット10(燃焼装置)は、燃焼部36と、燃焼部36にて燃焼させるために使用される複数の補機Aと、を備え、複数の補機Aは、少なくとも、燃焼部36に燃料を供給する改質用原料供給管11a(燃料供給管)に設けられて改質用原料供給管11aを開閉する常閉型の複数の燃料遮断弁11a1a,11a1bを含んでいる燃焼装置である。発電ユニット10は、発電ユニット10は、を統括して制御するメイン制御部15aと、複数の燃料遮断弁11a1a,11a1bを少なくともそれぞれ制御するとともにメイン制御部15aとは独立して作動する複数の安全制御部15b1,15b2と、各燃料遮断弁11a1a,11a1bに対する電源電圧の供給を遮断する電源遮断装置15fと、を備えた燃焼装置である。各安全制御部15b1,15b2は、自分自身の異常、自分自身と電気的に接続されかつ検出結果を出力するセンサ(例えば、第一および第二燃焼部温度センサ36b1,36b2)の異常および他の安全制御部15b1,15b2の異常を検出可能であるエラー検出部15b1b,15b2bと、エラー検出部15b1b,15b2bによって異常が検出された場合、電源遮断装置15fを駆動して電源電圧の供給を遮断することにより、燃料の供給を遮断する第一燃料遮断制御部15b1c,15b2cと、備えている。発電ユニット10は、各安全制御部15b1,15b2とメイン制御部15aとを電気的に接続する信号線であって、いずれかの安全制御部15b1,15b2がエラー検出部15b1b,15b2bによって異常を検出した場合、その旨を示す信号である異常出力信号をメイン制御部15aに送信するための専用の異常出力信号線17bをさらに備え、安全制御部15b1,15b2は、エラー検出部15b1b,15b2bによって異常が検出された場合、異常出力信号をメイン制御部15aに送信する送信部15b1a,15b2aをさらに備え、メイン制御部15aは、異常出力信号を受信した場合、電源遮断装置15fを駆動して電源電圧の供給を遮断することにより、燃料の供給を遮断する第二燃料遮断制御部15a2を備えている。
これによれば、各安全制御部15b1,15b2のエラー検出部15b1b,15b2bは、自分自身の異常、自分自身と電気的に接続されかつ検出結果を出力するセンサの異常および他の安全制御部15b1,15b2の異常を検出可能である。よって、安全制御部15b1,15b2の故障やセンサの故障を確実に検出することができる。さらに、各安全制御部15b1,15b2の第一燃料遮断制御部15b1c,15b2cは、エラー検出部15b1b,15b2bによって異常が検出された場合、電源遮断装置15fを駆動して燃料遮断弁11a1a,11a1bに対する電源電圧の供給を遮断することにより、燃料の供給を遮断する。これに加えて、安全制御部15b1,15b2が検出した異常(安全制御部15b1,15b2の故障やセンサの故障など)は、安全制御部15b1,15b2から異常出力信号線17bを介してメイン制御部15aに送信することができる。メイン制御部15aの第二燃料遮断制御部15a2は、異常を受信した場合、電源遮断装置15fを駆動して燃料遮断弁11a1a,11a1bに対する電源電圧の供給を遮断することにより、燃料の供給を遮断する。このように、安全制御部15b1,15b2の故障やセンサの故障が発生した場合、安全制御部15b1,15b2とメイン制御部15aの両方が燃料の供給を遮断する制御を行うので、安全制御部15b1,15b2が万一故障しても、燃料の供給停止を確実に行うことができる。ひいては、燃料電池システムのシャットダウンを確実に行うことができる。
また、発電ユニット10は、各安全制御部15b1,15b2とメイン制御部15aとを電気的に接続する信号線であって、各安全制御部15b1,15b2とメイン制御部15aとが異常出力信号以外のデータを通信するための制御部間信号線17aをさらに備え、第二燃料遮断制御部15a2は、制御部間信号線17aを介する通信状態が異常であり、かつ、異常出力信号を受信した場合、電源遮断装置15fを駆動して電源電圧の供給を遮断することにより、燃料の供給を遮断する。
これによれば、各安全制御部15b1,15b2とメイン制御部15aとの間において制御部間信号線17aを介する通信が異常であっても、専用の異常出力信号線17bを介する異常出力信号を受信した場合には、第二燃料遮断制御部15a2は、電源遮断装置15fを駆動して電源電圧の供給を遮断することにより、燃料の供給を遮断することができる。よって、安全制御部15b1,15b2が万一故障しても、メイン制御部15aは燃料の供給停止を確実に行うことができる。
また、各安全制御部15b1,15b2の第一燃料遮断制御部15b1c,15b2cおよびメイン制御部15aの第二燃料遮断制御部15a2は、燃料遮断弁11a1a,11a1bに閉指示を行う。
これによれば、より確実に燃料遮断弁11a1a,11a1bを閉じることができるので、燃料の供給停止をより確実に行うことができる。
また、安全制御部15b1,15b2のエラー検出部(ステップS104−126)は、安全制御部15b1,15b2に設けられたROM43を自己診断によりチェックすることにより、自分自身(安全制御部15b1,15b2)の異常の有無を検出するROMチェック部(ステップS104)を備え、ROMチェック部は、全ROM領域のうち第一格納領域に格納されている第一ROMチェック処理プログラムにより行われる第一ROMチェック処理(ステップS202−206)と、第一格納領域とは異なる領域である第二格納領域に格納されている第二ROMチェック処理プログラムにより行われる第二ROMチェック処理(ステップS210−214)と、を行う。
これによれば、各安全制御部15b1,15b2のエラー検出部は、自分自身の異常を簡便かつ確実に検出することができる。
また、安全制御部15b1,15b2のエラー検出部(ステップS104−126)は、安全制御部15b1,15b2に設けられた発振子47を自己診断によりチェックすることにより、自分自身の異常の有無または他の安全制御部15b1,15b2の異常の有無を検出する発振子チェック部(ステップS118)を備え、発振子チェック部は、同期通信により相互通信可能である他の安全制御部15b1,15b2との間で通信される通信データの通信状態に基づいて行う。
これによれば、各安全制御部15b1,15b2のエラー検出部は、自分自身または他の安全制御部15b1,15b2の異常を簡便かつ確実に検出することができる。
また、安全制御部15b1,15b2のエラー検出部(ステップS104−126)は、他の安全制御部15b1,15b2との間で行われる通信により互いに監視し合うことにより、自分自身の異常の有無または他の安全制御部15b1,15b2の異常の有無を検出する相互監視部(ステップS110)を備え、相互監視部は、自分自身における割り込み情報と、通信により受信した他の安全制御部15b1,15b2における割り込み情報とを比較することにより、自分自身の異常の有無または他の安全制御部15b1,15b2の異常の有無を検出する。
これによれば、各安全制御部15b1,15b2のエラー検出部は、自分自身または他の安全制御部15b1,15b2の異常を簡便かつ確実に検出することができる。
また、上述した燃料電池システムは、燃焼装置である発電ユニット10を含んで構成されている。
これによれば、燃焼装置である発電ユニット10を含んで構成されている燃料電池システムにおいても、上述した各作用・効果を得ることができる。
なお、上述した実施形態においては、燃焼装置として、発電ユニット10を挙げて説明したが、他の燃焼装置にも本発明は適用可能である。他の燃焼装置は、燃焼部と、燃焼部にて燃焼させるために使用される複数の補機と、を備え、複数の補機は、少なくとも、燃焼部に燃料を供給する燃料供給管に設けられて燃料供給管を開閉する常閉型の複数の燃料遮断弁を含んでいる燃焼装置であればよい。さらに、燃焼装置は、燃焼装置を統括して制御するメイン制御部と、複数の燃料遮断弁を少なくともそれぞれ制御するとともにメイン制御部とは独立して作動する複数の安全制御部と、各燃料遮断弁に対する電源電圧の供給を遮断する電源遮断装置と、を備えていればよい。
10…発電ユニット(燃焼装置)、11a…改質用原料供給管(燃料供給管)、15…制御装置、15a…メイン制御部(第二燃料遮断制御部)、15b…安全制御部(送信部、エラー検出部、第一燃料遮断制御部、ROMチェック部、発振子チェック部、相互監視部)、15b1…第一安全制御部、15b2…第二安全制御部、15f…電源遮断装置、15f1…第一スイッチ、15f2…第二スイッチ、17a…制御部間信号線、17b…異常出力信号線、41…CPU、43…ROM、47…発振子、A…補機。

Claims (4)

  1. 燃焼部と、前記燃焼部にて燃焼させるために使用される複数の補機と、を備え、前記複数の補機は、少なくとも、前記燃焼部に燃料を供給する燃料供給管に設けられて前記燃料供給管を開閉する常閉型の複数の燃料遮断弁を含んでいる燃焼装置であって、
    前記燃焼装置は、
    前記燃焼装置を統括して制御するメイン制御部と、
    前記複数の燃料遮断弁を少なくともそれぞれ制御するとともに前記メイン制御部とは独立して作動する複数の安全制御部と、
    前記各燃料遮断弁に対する電源電圧の供給を遮断する電源遮断装置と、を備え、
    前記各安全制御部は、
    自分自身の異常、前記自分自身と電気的に接続されかつ検出結果を出力するセンサの異常および他の前記安全制御部の異常を検出可能であるエラー検出部と、
    前記エラー検出部によって前記異常が検出された場合、前記電源遮断装置を駆動して前記電源電圧の供給を遮断することにより、前記燃料の供給を遮断する第一燃料遮断制御部と、備え、
    前記燃焼装置は、前記各安全制御部と前記メイン制御部とを電気的に接続する信号線であって、いずれかの前記安全制御部が前記エラー検出部によって前記異常を検出した場合、その旨を示す信号である異常出力信号を前記メイン制御部に送信するための専用の異常出力信号線をさらに備え、
    前記安全制御部は、前記エラー検出部によって前記異常が検出された場合、前記異常出力信号を前記メイン制御部に送信する送信部をさらに備え、
    前記メイン制御部は、前記異常出力信号を受信した場合、前記電源遮断装置を駆動して前記電源電圧の供給を遮断することにより、前記燃料の供給を遮断する第二燃料遮断制御部を備えている燃焼装置。
  2. 前記燃焼装置は、前記各安全制御部と前記メイン制御部とを電気的に接続する信号線であって、前記各安全制御部と前記メイン制御部とが前記異常出力信号以外のデータを通信するための制御部間信号線をさらに備え、
    前記第二燃料遮断制御部は、前記制御部間信号線を介する通信状態が異常であり、かつ、前記異常出力信号を受信した場合、前記電源遮断装置を駆動して前記電源電圧の供給を遮断することにより、前記燃料の供給を遮断する請求項1記載の燃焼装置。
  3. 前記各燃料遮断制御部は、さらに前記燃料遮断弁に閉指示を行う請求項1または請求項2記載の燃焼装置。
  4. 請求項1乃至請求項3の何れか一項に記載の燃焼装置を含んで構成されている燃料電池システム。
JP2016211952A 2016-10-28 2016-10-28 燃焼装置および燃料電池システム Pending JP2018071882A (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2016211952A JP2018071882A (ja) 2016-10-28 2016-10-28 燃焼装置および燃料電池システム
EP17198510.4A EP3316372A1 (en) 2016-10-28 2017-10-26 Combustion device and fuel cell system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016211952A JP2018071882A (ja) 2016-10-28 2016-10-28 燃焼装置および燃料電池システム

Publications (1)

Publication Number Publication Date
JP2018071882A true JP2018071882A (ja) 2018-05-10

Family

ID=60387804

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016211952A Pending JP2018071882A (ja) 2016-10-28 2016-10-28 燃焼装置および燃料電池システム

Country Status (2)

Country Link
EP (1) EP3316372A1 (ja)
JP (1) JP2018071882A (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20210035288A (ko) * 2018-08-30 2021-03-31 와트 퓨얼 셀 코퍼레이션 연료 소모 장치용 안전 제어 시스템 및 방법

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN210136967U (zh) * 2019-08-15 2020-03-10 潍柴动力股份有限公司 一种燃料电池过热保护系统
WO2021145221A1 (ja) * 2020-01-17 2021-07-22 パナソニックIpマネジメント株式会社 燃料電池システム及び燃料電池システムの制御方法

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8485137B2 (en) * 2005-01-26 2013-07-16 Noritz Corporation Combustion control device
JP5198301B2 (ja) 2009-01-23 2013-05-15 東芝燃料電池システム株式会社 燃料電池発電システム
JP6317194B2 (ja) * 2014-06-30 2018-04-25 アイシン精機株式会社 燃焼装置および燃料電池システム

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20210035288A (ko) * 2018-08-30 2021-03-31 와트 퓨얼 셀 코퍼레이션 연료 소모 장치용 안전 제어 시스템 및 방법
KR102542108B1 (ko) * 2018-08-30 2023-06-13 와트 퓨얼 셀 코퍼레이션 연료 소모 장치용 안전 제어 시스템 및 방법

Also Published As

Publication number Publication date
EP3316372A1 (en) 2018-05-02

Similar Documents

Publication Publication Date Title
JP6317194B2 (ja) 燃焼装置および燃料電池システム
JP5789783B2 (ja) 燃料電池システム
JP2018071882A (ja) 燃焼装置および燃料電池システム
WO2012132410A1 (ja) 燃料電池システム及びその運転方法
EP3413382A1 (en) Fuel cell assembly system and operating method therefor
JP2009217951A (ja) 燃料電池システム
WO2016189875A1 (ja) 発電装置、発電システム、および発電システムの制御方法
JP2013218811A (ja) 燃料電池システム
JP2011014458A (ja) 燃料電池発電システム
JP2009283278A (ja) 燃料電池システム
JP6720574B2 (ja) 燃料電池システム
JP2014002924A (ja) 燃料電池システム
JP2016167382A (ja) 燃料電池システムおよびその運転方法
WO2007114425A1 (ja) 燃料電池システム
JP6330521B2 (ja) 燃料電池システム
EP2963719B1 (en) Fuel cell system
JP6801331B2 (ja) 燃料電池システム
JP7052416B2 (ja) 燃焼装置及び燃料電池システム
JP7195193B2 (ja) 燃料電池システム
WO2018216811A1 (ja) 発電装置、制御装置及び制御プログラム
JP2016141606A (ja) 水素生成装置および燃料電池システム
WO2012132259A1 (ja) 燃料電池システム及びその運転方法
JP2023137224A (ja) 発電システムの運転方法
JP2011090863A (ja) 燃料電池システム
JP2010040306A (ja) 燃料電池発電装置