JP4117111B2 - Process control system - Google Patents
Process control system Download PDFInfo
- Publication number
- JP4117111B2 JP4117111B2 JP2001098841A JP2001098841A JP4117111B2 JP 4117111 B2 JP4117111 B2 JP 4117111B2 JP 2001098841 A JP2001098841 A JP 2001098841A JP 2001098841 A JP2001098841 A JP 2001098841A JP 4117111 B2 JP4117111 B2 JP 4117111B2
- Authority
- JP
- Japan
- Prior art keywords
- input
- rewrite
- output
- operation end
- process control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
【0001】
【発明の属する技術分野】
本発明はプロセス操作端の保護・駆動回路を備えたプロセス制御装置のプロセス入出力装置に関する。
【0002】
【従来の技術】
プロセス制御システムは、プラントの操作端(プロセス操作端)を作動させることで、プラントを運用するものである。このプロセス制御システムの一部を構成するプロセス操作端の保護・端駆動回路は、従来、リレー回路等で構成していた。また、制御に必要なソフトウエアは、不揮発性の固定式メモリ素子に格納していた。これは、プロセス制御装置の停止時もその動作を継続させる必要があること、プロセス制御装置の停電からの復旧を短時間で行うこと、さらに、誤回路混入の可能性をなくすためである。
【0003】
【発明が解決しようとする課題】
しかし、従来から用いられている回路はメンテナンス性が悪かった。例えば、回路の変更が生じた場合、リレー回路では配線の変更が必要となる。また、不揮発性の固定式メモリ素子では内容の焼き直しやそのメモリ素子自体の交換を行う必要があった。
【0004】
また、このような回路は動作状態の視認性が悪いため、プラント異常時の状態把握,原因調査が困難であった。例えば、回路内の信号を確認するには、その実際の配線、タイマー、リレーの動作を追わなければならなかった。
【0005】
さらに、このような回路の製作工程には配線工数が多く、誤配線混入の可能性が高い。誤配線を防ぐには検査工数を多くせざるを得ない。
【0006】
不揮発性の固定式メモリ素子に格納されていたソフトウエアの改造・動作状態確認の容易化を図るには、ソフトウエアを不揮発性書き換え可能型メモリ素子に格納することも考えられる。しかし、このようなメモリ素子は、信頼性の面で問題があった。例えば、書き換え時の電気的ストレスによってデータが消失してしまう可能性もあった。
【0007】
本発明は、動作信頼性及び不揮発性を確保しつつ、動作状態視認性,回路変更の容易性、メンテナンス性の向上を図ると共に、回路製作の配線工数低減と検査工数低減を図ったプロセス制御装置のプロセス入出力装置を提供することを目的とする。
【0008】
【課題を解決するための手段】
本発明においては、従来、リレー回路で構成していた基本的な回路をソフトウエア化するとともに、これらのソフトウエアを不揮発性書き換え可能型メモリ素子に格納した。このソフトウエアは、必要に応じて保守管理ツールによって変更可能にする一方で、誤操作による消去を防ぐために書き換え許可スイッチを設け安全性を確保した。
【0009】
本発明の構成をより具体的に述べれば以下の通りである。
【0010】
本発明の第1の態様としては、プラントの操作端を操作することで、プラントを運用するプロセス制御システムにおいて、
上記プラントの状態を示す状態情報の入力を受け付ける入力処理、および、別途決定された上記操作端の操作内容を上記操作端に指示する出力処理を行う複数のプロセス入出力装置と、
上記複数のプロセス入出力装置とバスで接続され、該複数のプロセス入出力装置の受け付けた上記状態情報に基づいて、上記操作内容を決定するプロセス制御装置と、
上記複数のプロセス入出力装置及び上記プロセス制御装置を保守管理する保守管理装置と、
を備え、
上記プロセス入出力装置は、
前記状態情報が予め定められた条件を満たすと保護駆動信号を生成する保護駆動条件処理プログラムと、該保護駆動条件処理プログラムの実行で該保護駆動信号が生成されると、上記プロセス制御装置で決定された上記操作内容に関わらず、該保護駆動信号に応じたロック信号を上記操作端に出力する操作端駆動プログラムとを含む入出力プログラムであって、上記入力処理および上記出力処理の内容を定義した入出力プログラムの格納された不揮発性書換可能型メモリ素子と、
上記入出力プログラムを実行する演算ユニットと、
操作に応じて、上記不揮発性書換可能型メモリ素子の記憶内容の書換許可の旨の信号と書換不許可の旨の信号とのうちの一方の信号を前記演算ユニットに送る、物理的に存在する書換許可スイッチと、
を含み、
前記演算ユニットは、上記書換許可スイッチから上記書換許可の旨の信号を受けたときに、上記不揮発性書換可能型メモリ素子の記憶内容の書換を許可し、上記保守管理装置からの該書換の内容を受け付けて、該書換の内容を上記不揮発性書換可能型メモリ素子に格納する書換処理を実行し、
上記保守管理装置は、上記不揮発性書換可能型メモリ素子の記憶内容の書換を許可する予め定められたキーワードを受け付けるキーワード入力部を有し、該キーワード入力部が該予め定められたキーワードを受け付けると、上記書換の内容を受け付け、上記プロセス制御装置及び上記バスを介して、上記プロセス入出力装置に上記書換の内容を送る、
ことを特徴とするプロセス制御システムが提供される。
【0012】
上記不揮発性書換可能型メモリ素子には、さらに、それまでに上記書換処理が行われた回数を示す書換回数値が記憶されており、上記保守監視装置は、前記演算ユニットにより上記不揮発性書換可能型メモリ素子の記憶内容の書換が許可され、且つ上記書換を行う際には該書換回数値を確認して、該確認の結果その時の書換回数値が別途定められた制限回数以下であった場合のみ上記書換の内容を上記プロセス入出力装置に送るとともに、当該書換回数値を更新するものでであってもよい。
【0013】
上記プロセス入出力装置は、上記書換処理が行われている間、上記操作端に対してあらかじめ定められた操作内容を出力するものであってもよい。
【0014】
上記プロセス入出力装置は、上記操作端毎に別途定められた制御許可条件を備え、上記プロセス制御装置から入力された操作内容が上記制御許可条件を満たす場合のみ当該操作内容を上記操作端に出力するものであることが好ましい。
【0016】
作用を説明する。
【0017】
プロセス入出力装置は、プラントの状態を示す状態情報の入力を受け付ける。プロセス制御装置は、プロセス入出力装置の受け付けた状態情報に基づいて、操作内容を決定する。プロセス入出力装置は、決定された操作端の操作内容を操作端に指示する。この場合、プロセス入出力装置は、プロセス制御装置から入力された操作内容が制御許可条件を満たす場合のみ当該操作内容を操作端に出力するようにすれば、プロセス制御装置の異常にも対処できる。
【0018】
プロセス入出力装置の行うこのような入出力処理は、演算ユニットが入出力プログラムを実行することで実現できる。入出力プログラムを不揮発性書換可能型メモリ素子に格納しておけば、保守監視装置はその内容を読み出すことで、入出力装置の動作状態を確認できる。また、必要に応じて、書き換えることができる。
【0019】
入出力プログラムの書換を行う際には、保守監視装置は、まず、不揮発性書換可能型メモリ素子に格納されているそれまでの書換回数値を確認する。該確認の結果、その時の書換回数値が別途定められた制限回数以下であった場合のみ上記書換処理を行うとともに、書換回数値を更新する。このようにすることでデータ保持の信頼性を担保できる。
【0020】
書換処理が行われている間、プロセス入出力装置は、操作端に対してあらかじめ定められた操作内容を出力することで、プラントの状態が乱れるのを防ぐことができる。
【0021】
なお、具体的なプログラムおよび回路の構成にもよるが、さらにプロセス入出力装置へのプロセス制御装置からの入出力を停止させるとともに、状態情報などについても書換を行う直前に操作端から入力された内容を保持するようにしておけば、信頼性、安全性をより確実なものとできる。
【0022】
誤って書換処理が行われてしまうような事態は、制限機構を設けることで防ぐことができる。
【0023】
【発明の実施の形態】
以下、本発明の実施形態を図面を用いて説明する。
【0024】
本実施形態のプロセス制御システムは、図1に示すとおり、プロセス制御装置1と、バス2と、1または2以上のプロセス入出力装置3と、保守・監視装置6と、から構成される。プロセス操作端s自体は、制御対象となるプロセス自体が有するものである。
【0025】
プロセス操作端sは、プラントを運用するのに必要な補機(例えば、一方向回転補機、電動弁、電磁弁等)の操作端であり、各補機毎に割り付けられている。このプロセス操作端sは、プロセス入出力装置3からの動作指令に従ってその補機の状態を変更させることができるようになっている。また、それと同時に、その補機の動作状態をプロセス入出力装置3に出力するようになっている。
【0026】
[プロセス制御装置1]
プロセス制御装置1は、プロセス操作端sの動作管理を一括して行う装置である。プロセス制御装置1は、図2に示すとおり、CPU101、揮発性書換可能型メモリ素子102およびこれらをつなぐバス103などを含んで構成されている。CPU101によって実行される動作管理プログラムソフト(プロセス制御用プログラム7)は、揮発性書換可能型メモリ素子102に格納されている。
【0027】
プラント運用時、該プロセス制御装置1は、プロセス制御用プログラム7を実行することで、各プロセス入出力装置3に動作指令を出力する。動作指令の決定の際に必要となる各種情報は、制御対象となるプロセス操作端sが割り付けられているプロセス入出力装置3から状態情報として入力されるようになっている。
【0028】
[プロセス入出力装置3]
プロセス入出力装置3は、プロセス制御装置1とプロセス操作端sとの間に位置し、各種制御信号の入出力処理を行うものである。該プロセス入出力装置3は、プロセス操作端sごとに設けられている。該プロセス入出力装置3は、機能的には、通常駆動条件処理回路30と、保護駆動条件処理回路31、操作端駆動回路32とを備えている(図4参照)。
【0029】
通常駆動条件処理回路30は、プラントの通常運転を行う際に必要な当該補機の駆動条件(駆動許可条件)を生成するとともに、この駆動許可条件が成立しているか否かを判定するものである。
【0030】
保護駆動条件処理回路31は、何らかの異常発生時にプラントの主要機器を保護するために、プロセス操作端sを駆動させるためのものである。異常発生時、保護駆動条件処理回路31は、上述の駆動許可条件を無視して強制的に操作端駆動回路32に駆動指示をするようになっている。
【0031】
操作端駆動回路32は、当該補機のプロセス操作端sに駆動信号を出力する回路である。該操作端駆動回路32は、通常は、通常駆動条件処理回路30による判定の結果、駆動条件が成立していた場合に駆動信号を出力する。但し、何らかの異常時には、後述する保護駆動条件処理回路31からの駆動指示に従って、駆動信号を出力するようになっている。
【0032】
本実施形態のプロセス入出力装置3は、図2に示すとおり、具体的には、MPU301、不揮発性書換可能型メモリ素子302、バス303、操作端駆動回路32からなる。上述の通常駆動条件処理回路30および保護駆動条件処理回路31は、MPU301が不揮発性書換可能型メモリ素子302に格納されているプロセス入出力用プログラム8を実行することで実現されている。このような構成を取った結果、本実施形態では、主要機器の状態の変化を常時監視し何らかの異常が発生した時には、主要機器の破損や焼損を防ぎ安全な方向へ状態を速やかに移行させることができる。
【0033】
なお、プロセス入出力用プログラム8は、保守・監視装置6によって書換、モニタが可能に構成されている。不揮発性書換可能型メモリ素子302へのプロセス入出力用プログラム8の格納形態は、該書換を考慮したものとなっている。この点については、後ほど図6などを用いて詳細に説明する。
【0034】
以下、プロセス制御装置1およびプロセス入出力装置3によるプロセス制御の手順を図3、図4を用いて説明する。
【0035】
プロセス入出力装置3には、プロセス操作端sの状態を示す状態信号11aがプロセス操作端sから入力されている。プロセス入出力装置3は、該状態信号11aをそのままプロセス制御装置1へ条件信号9として出力する(図4参照)。この条件信号9は、プロセス制御装置1がプラントの状態を解析するための判断材料となる信号であり、全てのプロセス入出力装置3からプロセス制御装置1へ出力されている。
【0036】
プロセス入出力装置3には、このほかにも操作端駆動許可信号11bがプロセス操作端sから入力されている。この操作端駆動許可信号11bは、後述する操作端制御信号10が、プロセス操作端sを正常に作動させることができるか否かを判定するための基準,条件となるものである。実際の操作端駆動許可信号11bは、例えば、関連する他のプロセス操作端sの動作状態やプラントの状態信号等からなる。プロセス入出力装置3は、この操作端駆動許可信号11bを取り込んで、不揮発性書換可能型メモリ素子302に格納する。
【0037】
プロセス制御装置1は、条件信号9の内容等に基づいてプラントの状態を解析する。解析の結果、なんらかの操作を行わせる必要のあるプロセス操作端sに対しては、当該プロセス操作端sに対応づけられているプロセス入出力装置3に操作端制御信号10を出力する。
【0038】
プロセス入出力装置3は、入力された操作端制御信号10を、一旦、不揮発性書換可能型メモリ素子302に格納する。そして、通常駆動条件処理部30は、この時入力された操作端制御信号10の内容が、操作端駆動許可信号11bが示す基準、条件を満たしているか否かを判定する。該判定の結果、基準を満たしていた場合には、その操作端制御信号10を操作端駆動回路32へ出力する。操作端駆動回路32は、該操作端制御信号10に基づいてプロセス操作端sを駆動するべく、操作端駆動信号12をプロセス操作端sへ出力する。
【0039】
[保守・監視装置6]
保守・監視装置6は、プロセス入出力装置3の保守・監視を行うためのものである。保守・監視装置6は、図2に示すとおり、CPU601、メモリ602、バス603、モニタ605を備えている。そして、プロセス制御装置1および/またはプロセス入出力装置3に接続されている。CPU601は、メモリ602に格納しているプログラムを実行することで保守・監視のための各種機能を実現している。例えば、該保守・監視装置6は、プロセス制御装置1を経由して、プロセス入出力装置3にアクセスすることで、不揮発性書換可能型メモリ素子302に格納されているプログラム,データの書換を行う機能を備えている。また、不揮発性書換可能型メモリ素子302に格納されているプログラム、プロセス入出力装置3の動作状態に関する情報を獲得してモニタ605に表示する機能を備えている。さらに、不揮発性書換可能型メモリ素子302の書換を行った回数をカウントする書換回数管理回路26を備えている。該書換回数管理回路26も実際には、他の機能と同様、CPU601がメモリ602にあらかじめ格納されているプログラムを実行することで実現されている。
【0040】
以下、該保守・監視装置6の動作を図5〜図9を用いて説明する。ここでは、動作の内容毎に分けて説明する。
【0041】
(1)プロセス入出力装置3の動作状態の表示
保守・監視装置6は、プロセス入出力装置3の動作状態を示す情報を獲得し、これを制御ロジック図として、モニタ605に表示する。該情報は、図5に示すとおり、プロセス制御装置1を経由して(動作状態信号14)、プロセス入出力装置3から獲得される。
【0042】
(2)プロセス入出力用プログラム8の更新
保守・監視装置6のメモリ602には、新たなプロセス入出力用プログラムである書換プログラム22をあらかじめ格納しておく。該書換プログラム22は、図6に示すとおり、N個のグループ(グループ22ー1〜グループ22ーN)に分けて構成しておく。さらに、保守・監視装置6は、書換処理を行った回数をカウントする書換回数管理回路26を備えている。
【0043】
一方、不揮発性書換可能型メモリ素子302は、図6に示すとおり、プログラムを記憶するメモリエリア17と、書換回数を保持するための書換回数カウントエリア21とに分けられている。メモリエリア17は、さらに、N個の小さなエリア(エリア17ー1〜エリア17ーN)に分けられている。そして、各エリアには、それぞれ上述の書換プログラム22がグループ単位で書き込まれている。つまり、エリア17ー1にはグループ22ー1が、また、エリア17ー2にはグループ22ー2が格納されている。
【0044】
プログラムの書換は、プロセス入出力装置3を書換モードに移行させた上で、新たなプログラムを不揮発性書換可能型メモリ302に転送することで行う。
【0045】
つまり、保守・監視装置6は、プロセス入出力装置3にプログラム書換指令13を出力する(図5参照)。該プログラム書換指令13を入力されたプロセス入出力装置3は、書換モードに移行する。この後、続いて行う新たなプログラムの転送は、基本的にはグループ単位で行う。
【0046】
プロセス入出力用プログラム8を部分的に書き換える場合には、保守・監視装置6は、書換プログラム22のうち書換対象となっている部分が含まれているグループのみを、当該グループを格納すべきエリアに転送する。以下、図6乃至図7を用いて詳しく説明する。
【0047】
保守・監視装置6は、書換処理を開始すると、図7に示すとおり、まず、不揮発性書換可能型メモリ302の書換回数カウントエリア21にアクセスし、それまでの書換回数を確認する。書換回数を確認後は、プログラムの転送を開始する。この場合、まず、書換の対象となっているか否かをグループ毎に判定する。該判定は、書換処理の対象として、使用者によってあらかじめ指定されているか否かを判定することで行う。書換の対象となっていなければ、そのまま、次のグループについての判定に移る。書換の対象となっていた場合には、当該グループを対応するエリアに転送する。図6、図7の例では、グループ22ー2のみを書き換えている。
【0048】
すべてのグループについての判定等を実行し終わると、書換回数管理回路26は書換回数を1だけカウントアップする。そして、この新たな書換回数を、書換回数カウントエリア21に格納する。
【0049】
プロセス入出力用プログラム8の全体を書き換える場合も同様の処理を行うことで、書換プログラム22を構成するすべてのグループを順次転送する(図8、図9参照)。つまり、保守・監視装置6はまず、この書換プログラム22のうちのグループ22ー1を不揮発性書換可能型メモリ素子302のエリア17ー1に転送する。グループ22ー1の転送が終了すると、続いて、グループ22ー2をエリア17ー2に転送する。以下同様に、残りのグループ22ー3〜22ーNを、メモリエリア17ー3〜17ーNへ順次転送する。
【0050】
書換回数管理回路26による書換回数のカウントおよび書換回数カウントエリア21の更新も同様である。
【0051】
なお、書換回数を確認した結果、別途定められた制限回数(本実施形態では、1000回)を越えていた場合には、書換がプロセス入出力用プログラム8の全体であるか一部であるかに関わらずその旨を保守・監視装置6のモニタ605に表示させて、書き換えを中止する。このような書換回数の制限を設けることで、不揮発性書換可能型メモリ素子302の記憶内容の信頼性を維持することができる。なお、制限回数は、不揮発性書換可能型メモリ素子302として使用しているメモリの故障率などに応じて定め、これを保守監視装置6のメモリ602に格納しておくものとする。
【0052】
プログラムの転送中(あるいは、後述する書換許可スイッチが書き込み許可中)は、書換がプロセス入出力用プログラム8の全体であるか一部であるかに関わらず、プロセス制御装置1とプロセス入出力装置3との間でのデータの入出力は一時停止する。また、プロセス操作端sからプロセス入出力装置3への入力も停止する。その一方で、プロセス入出力装置3は、操作端駆動信号12を書き込み処理開始直前の値(あるいは、あらかじめ決められた値)に保持するようにしている。これにより書換によるプラントへの影響を抑制できる。
【0053】
ここまでの説明では特に述べなかったが、本実施形態では、誤操作によってプロセス入出力用プログラム8等を失うことのないように、書換許可スイッチを設けている。該書換許可スイッチは、ハードウエアとソフトウエアとのいずれでも実現可能である。それぞれの一例を図10に示した。
【0054】
プロセス入出力装置3の本体に設けた書換許可スイッチ28は、ハードウエアで構成されている。通常は、書換許可スイッチ28を“不許可”位置にしておく。この状態では、保守・監視装置6から書換指令13がきても、不揮発性書換可能型メモリ302内のデータを書換できない。不揮発性書換可能型メモリ302内のプログラム,データを書き換える際は、書換指令13を送る前に、あらかじめ書換許可スイッチ28を手動で“許可”位置に切替えておく。
【0055】
保守・監視装置6に設けた書換許可スイッチ27は、ソフトウエアで実現されたものである。該書換許可スイッチ27は、別途定められたキーワードが入力されない限り、保守・監視装置6の機能を制限するようになっている。ここでは、このキーワードが入力されない限り、プロセス入出力装置3への書換プログラム等を送信できないようになっている。
【0056】
なお、図10の例では、より確実を期するために、書換許可スイッチ28(ハードスイッチ)と書換許可スイッチ27(ソフトスイッチ)とを併用している。従って、どちらか一方でもロックが解除されていない場合には、不揮発性書換可能型メモリ素子302内のデータの書換ができないようになっている。
【0057】
以上説明した実施形態のプロセス制御システムでは、回路をソフトウエア化したことで、リレー回路等が不要となり、プロセス入出力装置、ひいてはプロセス制御システム全体の小型化が可能となった。
【0058】
プロセス入出力装置等の動作信号を読み出すことで、その動作状態を容易に確認できる。このようなプラント制御動作の視認性の向上は、プラント監視性の向上、プラント異常への対応処置の迅速化につながる。
【0059】
不揮発性の書換可能型メモリ素子を用いているため、回路変更に対応してソフトウエアを書き換えることが可能で保守性が高い。さらに、停電時にもソフトウエアが失われることがないため、停電後にソフトウエアを再書き込みする必要がない。再書き込み回数が少なければ書き込み時のエラー発生の可能性も小さくなるため、信頼性が高くなる。書換回数に制限を設けたことで、ソフトウエア保持の信頼性はさらに高まる。
【0060】
書き込み許可/不許可スイッチを設けたことで、不用意にソフトウエアを変更してしまうことはないため、プロセス制御の安全性が高い。
【0061】
ソフトウエアの更新処理中は直前の値などを出力するようにしているため、更新中もプラントに外乱を与えることなく安全性が高い
なお、上述した実施形態では、プロセス入出力装置3の備える機能(回路)のうち、通常駆動条件処理回路30、保護駆動条件処理回路31のみをソフトウエア化していた。しかし、操作端駆動回路32についてもソフトウエア化しても構わない。
【0062】
また、後述する操作端制御信号10が、プロセス操作端sを正常に作動させることができるか否かを判定するための基準,条件は、プロセス操作端sから入力される操作端駆動許可信号11bを用いていた。しかし、これらの基準、条件は、別途、あらかじめプロセス入出力装置に入力しておくようにしても構わない。
【0063】
特許請求の範囲において言う“操作端”とは、上記実施形態においてはプロセス操作端sに相当する。“状態情報“とは、状態信号11a(条件信号9)に含まれている内容に相当する。“操作内容”とは、操作端制御信号10の内容に相当する。“入出力プログラム”とは、プロセス入出力用プログラム8に相当する。“不揮発性書換可能型メモリ素子”とは、不揮発性書換可能型メモリ素子302に相当する。“演算ユニット”とは、MPU301に相当する。“書換回数値”とは、書換回数カウントエリア21に格納されている値に相当する。“制御許可条件”とは、操作端駆動許可信号11bに応じて定められた不揮発性書換可能型メモリ素子302に格納されている基準、条件に相当するものである。“制限機構”とは、書換許可スイッチに相当する。
【0064】
【発明の効果】
以上説明したとおり本発明によれば、信頼性,メンテナンス性,視認性の高いプロセス入出力装置が得られる。また、製造工程における配線工数、配線ミス、検査工数を減らすことができる。
【図面の簡単な説明】
【図1】本発明の実施形態であるプロセス入出力装置3を含んだプロセス制御システムの全体構成を示す図である。
【図2】プロセス入出力装置3,プロセス制御装置1,保守・監視装置6の内部構成を示す図である。
【図3】各部間で授受される信号を示す図である。
【図4】プロセス入出力装置3の処理の概要を信号の流れに基づいて示した図である。
【図5】保護・監視装置6による保護・監視動作における信号の流れを示す図である。
【図6】メモリエリア17の一部を書き換える場合の様子を示す図である。
【図7】メモリエリア17の一部を書き換える手順を示す図である。
【図8】メモリエリア17の全体を書き換える様子を示す図である。
【図9】メモリエリア17の全体を書き換える手順を示す図である。
【図10】不揮発性書換可能型メモリ素子302の書換許可スイッチ27,28を示す図である。
【符号の説明】
1…プロセス制御装置、2…バス、3…プロセス入出力装置、6…保守・監視装置、7…プロセス制御用プログラム、8…プロセス入出力用プログラム、9…条件信号、10…操作端制御信号、11a…状態信号、11b…操作端駆動許可信号、12…操作端駆動信号、13…プログラム書換指令、14…動作状態信号、15…プログラム書換指令、16…動作状態信号、17…メモリエリア、21…書換回数カウントエリア、22…書換プログラム、27…書換許可スイッチ、28…書換許可スイッチ、30…通常駆動条件処理回路、31…保護駆動条件処理回路、32…操作端駆動回路、101…CPU、102…揮発性書換可能型メモリ素子、103…バス、301…CPU、302…不揮発性書換可能型メモリ素子、303…バス、601…CPU、602…メモリ、603…バス、605…モニタ、s…プロセス操作端[0001]
BACKGROUND OF THE INVENTION
The present invention relates to a process input / output device of a process control device provided with a protection / drive circuit for a process operation end.
[0002]
[Prior art]
The process control system operates a plant by operating an operation end (process operation end) of the plant. Conventionally, a protection / end driving circuit for a process operation end constituting a part of the process control system has been constituted by a relay circuit or the like. Further, software necessary for control is stored in a nonvolatile fixed memory element. This is because it is necessary to continue the operation even when the process control device is stopped, to recover from the power failure of the process control device in a short time, and to eliminate the possibility of erroneous circuit mixing.
[0003]
[Problems to be solved by the invention]
However, the conventionally used circuit has poor maintainability. For example, when the circuit is changed, the relay circuit needs to be changed in wiring. In addition, it has been necessary to rewrite the contents of the nonvolatile fixed memory element and replace the memory element itself.
[0004]
In addition, since such a circuit has poor visibility of the operation state, it is difficult to grasp the state and investigate the cause when the plant is abnormal. For example, in order to check the signal in the circuit, it was necessary to follow the actual wiring, timer, and relay operations.
[0005]
Furthermore, the manufacturing process of such a circuit requires a large number of wiring steps, and there is a high possibility of erroneous wiring mixing. In order to prevent miswiring, the inspection man-hours must be increased.
[0006]
In order to facilitate remodeling of the software stored in the nonvolatile fixed memory element and confirmation of the operation state, it is also conceivable to store the software in the nonvolatile rewritable memory element. However, such a memory device has a problem in reliability. For example, data may be lost due to electrical stress during rewriting.
[0007]
The present invention is a process control apparatus that improves operational state visibility, ease of circuit change, and maintainability while ensuring operational reliability and non-volatility, and also reduces wiring man-hours and inspection man-hours for circuit fabrication. An object of the present invention is to provide a process input / output device.
[0008]
[Means for Solving the Problems]
In the present invention, the basic circuit that has been conventionally constituted by the relay circuit is made into software, and the software is stored in the nonvolatile rewritable memory element. While this software can be changed by a maintenance management tool as necessary, a rewrite permission switch is provided to ensure safety in order to prevent erasure due to an erroneous operation.
[0009]
The configuration of the present invention will be described more specifically as follows.
[0010]
As a first aspect of the present invention, in a process control system for operating a plant by operating an operation end of the plant,
A plurality of process input / output devices for performing input processing for receiving input of state information indicating the state of the plant, and output processing for instructing the operation end of the operation content of the operation end separately determined;
A process control device that is connected to the plurality of process input / output devices by a bus and determines the operation content based on the status information received by the plurality of process input / output devices;
A maintenance management device for maintaining and managing the plurality of process input / output devices and the process control device;
With
The process input / output device is
A protection drive condition processing program for generating a protection drive signal when the state information satisfies a predetermined condition, and when the protection drive signal is generated by executing the protection drive condition processing program, the process control device determines An input / output program including an operation end drive program for outputting a lock signal corresponding to the protection drive signal to the operation end regardless of the operation details performed, and defining the contents of the input process and the output process A nonvolatile rewritable memory element storing the input / output program
An arithmetic unit for executing the input / output program;
Depending on the operation, one of a signal indicating permission to rewrite the stored contents of the nonvolatile rewritable memory element and a signal indicating permission not to be rewritten is physically sent to the arithmetic unit. A rewrite permission switch;
Including
The arithmetic unit, when have received the necessary signal indicating that the rewriting permission from the rewriting permission switch, allow rewriting of stored contents of the nonvolatile rewritable memory device, the contents of the rewritten from the maintenance apparatus And executing a rewrite process for storing the content of the rewrite in the nonvolatile rewritable memory element,
The maintenance management device has a keyword input unit that receives a predetermined keyword that permits rewriting of the storage contents of the nonvolatile rewritable memory element, and the keyword input unit receives the predetermined keyword. , with receiving the contents of the rewrite, via the process control device and the bus, and sends the contents of the rewrite to the process input and output devices,
A process control system is provided.
[0012]
The non-volatile rewritable memory element further stores a rewrite count value indicating the number of times the rewrite processing has been performed so far, and the maintenance monitoring device can perform the non-volatile rewrite by the arithmetic unit. When the rewrite of the storage contents of the type memory element is permitted, and when the above rewrite is performed, the rewrite count value is confirmed, and as a result of the confirmation, the rewrite count value at that time is equal to or less than a separately defined limit count only together sending the content of the rewriting in the process input-output device, it may be intended to update the number of rewriting times value.
[0013]
The process input / output device may output a predetermined operation content to the operation end while the rewriting process is being performed.
[0014]
The process input / output device has a control permission condition separately defined for each operation end, and outputs the operation content to the operation end only when the operation content input from the process control device satisfies the control permission condition. It is preferable that
[0016]
The operation will be described.
[0017]
The process input / output device receives input of state information indicating the state of the plant. The process control device determines the operation content based on the status information received by the process input / output device. The process input / output device instructs the operation end of the determined operation content of the operation end. In this case, if the process input / output device outputs the operation content to the operation end only when the operation content input from the process control device satisfies the control permission condition, the process input / output device can cope with the abnormality of the process control device.
[0018]
Such input / output processing performed by the process input / output device can be realized by the arithmetic unit executing the input / output program. If the input / output program is stored in the non-volatile rewritable memory element, the maintenance monitoring device can check the operation state of the input / output device by reading the contents. Moreover, it can be rewritten as needed.
[0019]
When the input / output program is rewritten, the maintenance monitoring apparatus first confirms the rewrite count value stored so far in the nonvolatile rewritable memory element. As a result of the confirmation, the rewrite process is performed and the rewrite count value is updated only when the rewrite count value at that time is equal to or less than a separately defined limit count. By doing so, the reliability of data retention can be ensured.
[0020]
While the rewriting process is being performed, the process input / output device can output a predetermined operation content to the operation end to prevent the plant state from being disturbed.
[0021]
Depending on the specific program and circuit configuration, input / output from the process control device to the process input / output device is further stopped, and status information and the like are input from the operation end immediately before rewriting. If the contents are maintained, reliability and safety can be further ensured.
[0022]
A situation in which the rewriting process is erroneously performed can be prevented by providing a limiting mechanism.
[0023]
DETAILED DESCRIPTION OF THE INVENTION
Hereinafter, embodiments of the present invention will be described with reference to the drawings.
[0024]
As shown in FIG. 1, the process control system of the present embodiment includes a
[0025]
The process operation end s is an operation end of an auxiliary machine (for example, a one-way rotary auxiliary machine, a motor operated valve, an electromagnetic valve, etc.) necessary for operating the plant, and is assigned to each auxiliary machine. The process operation end s can change the state of the auxiliary machine in accordance with an operation command from the process input /
[0026]
[Process control device 1]
The
[0027]
During plant operation, the
[0028]
[Process input / output device 3]
The process input /
[0029]
The normal drive
[0030]
The protection drive condition processing circuit 31 is for driving the process operation end s in order to protect the main equipment of the plant when any abnormality occurs. When an abnormality occurs, the protection drive condition processing circuit 31 ignores the drive permission condition described above and forcibly instructs the operation
[0031]
The operation
[0032]
As shown in FIG. 2, the process input /
[0033]
The process input / output program 8 can be rewritten and monitored by the maintenance /
[0034]
The process control procedure by the
[0035]
A state signal 11a indicating the state of the process operation end s is input to the process input /
[0036]
In addition to this, the process input /
[0037]
The
[0038]
The process input /
[0039]
[Maintenance / monitoring device 6]
The maintenance /
[0040]
The operation of the maintenance /
[0041]
(1) Display of Operation Status of Process Input /
[0042]
(2) Update of Process Input / Output Program 8 In the
[0043]
On the other hand, the non-volatile
[0044]
The program is rewritten by transferring the new program to the nonvolatile
[0045]
In other words, the maintenance and
[0046]
When the process input / output program 8 is partially rewritten, the maintenance /
[0047]
When the maintenance /
[0048]
When the determination for all the groups has been executed, the rewrite
[0049]
When the entire process input / output program 8 is rewritten, the same processing is performed to sequentially transfer all the groups constituting the rewrite program 22 (see FIGS. 8 and 9). That is, the maintenance /
[0050]
The same applies to the count of the number of rewrites and the update of the rewrite
[0051]
In addition, as a result of checking the number of times of rewriting, if the number of times specified separately (1000 in the present embodiment) is exceeded, whether the rewriting is the entire process input / output program 8 or a part thereof. Regardless, the fact is displayed on the
[0052]
While the program is being transferred (or when a rewrite permission switch described later is permitted to be written), the
[0053]
Although not described in particular so far, in the present embodiment, a rewrite permission switch is provided so that the process input / output program 8 and the like are not lost due to an erroneous operation. The rewrite permission switch can be realized by either hardware or software. An example of each is shown in FIG.
[0054]
The rewrite permission switch 28 provided in the main body of the process input /
[0055]
The
[0056]
In the example of FIG. 10, the rewrite permission switch 28 (hard switch) and the rewrite permission switch 27 (soft switch) are used in combination for more certainty. Accordingly, when the lock is not released in either one, the data in the nonvolatile
[0057]
In the process control system of the embodiment described above, since the circuit is softwareized, a relay circuit or the like is not required, and the process input / output device, and thus the process control system as a whole can be downsized.
[0058]
By reading the operation signal of the process input / output device or the like, the operation state can be easily confirmed. Such improvement in the visibility of the plant control operation leads to an improvement in plant monitoring performance and a quick response to the plant abnormality.
[0059]
Since a non-volatile rewritable memory element is used, software can be rewritten in response to a circuit change, and the maintainability is high. Furthermore, software is not lost during a power failure, so there is no need to rewrite the software after a power failure. If the number of rewrites is small, the possibility of an error during writing is reduced, so that the reliability is increased. By providing a limit on the number of rewrites, the reliability of software maintenance is further increased.
[0060]
By providing the write permission / non-permission switch, the software is not inadvertently changed, so that process control is highly safe.
[0061]
Since the previous value is output during the software update process, the safety is high without causing disturbance to the plant even during the update. In the above-described embodiment, the function provided in the process input /
[0062]
An operation end drive permission signal 11b input from the process operation end s is used as a reference and a condition for determining whether an operation
[0063]
The “operation end” in the claims corresponds to the process operation end s in the above embodiment. “Status information” corresponds to the content included in the status signal 11a (condition signal 9). The “operation content” corresponds to the content of the operation
[0064]
【The invention's effect】
As described above, according to the present invention, a process input / output device having high reliability, maintainability, and high visibility can be obtained. Further, the number of wiring steps, wiring mistakes, and inspection steps in the manufacturing process can be reduced.
[Brief description of the drawings]
FIG. 1 is a diagram showing an overall configuration of a process control system including a process input /
FIG. 2 is a diagram showing an internal configuration of a process input /
FIG. 3 is a diagram illustrating signals exchanged between the units.
FIG. 4 is a diagram showing an outline of processing of the process input /
FIG. 5 is a diagram showing a signal flow in a protection / monitoring operation by the protection /
6 is a diagram showing a state in which a part of the
FIG. 7 is a diagram showing a procedure for rewriting a part of the
FIG. 8 is a diagram showing how the
FIG. 9 is a diagram showing a procedure for rewriting the
10 is a diagram showing rewrite permission switches 27 and 28 of the nonvolatile
[Explanation of symbols]
DESCRIPTION OF
Claims (4)
上記プラントの状態を示す状態情報の入力を受け付ける入力処理、および、別途決定された上記操作端の操作内容を上記操作端に指示する出力処理を行う複数のプロセス入出力装置と、
上記複数のプロセス入出力装置とバスで接続され、該複数のプロセス入出力装置の受け付けた上記状態情報に基づいて、上記操作内容を決定するプロセス制御装置と、
上記複数のプロセス入出力装置及び上記プロセス制御装置を保守管理する保守管理装置と、
を備え、
上記プロセス入出力装置は、
前記状態情報が予め定められた条件を満たすと保護駆動信号を生成する保護駆動条件処理プログラムと、該保護駆動条件処理プログラムの実行で該保護駆動信号が生成されると、上記プロセス制御装置で決定された上記操作内容に関わらず、該保護駆動信号に応じたロック信号を上記操作端に出力する操作端駆動プログラムとを含む入出力プログラムであって、上記入力処理および上記出力処理の内容を定義した入出力プログラムの格納された不揮発性書換可能型メモリ素子と、
上記入出力プログラムを実行する演算ユニットと、
操作に応じて、上記不揮発性書換可能型メモリ素子の記憶内容の書換許可の旨の信号と書換不許可の旨の信号とのうちの一方の信号を前記演算ユニットに送る、物理的に存在する書換許可スイッチと、
を含み、
前記演算ユニットは、上記書換許可スイッチから上記書換許可の旨の信号を受けたときに、上記不揮発性書換可能型メモリ素子の記憶内容の書換を許可し、上記保守管理装置からの該書換の内容を受け付けて、該書換の内容を上記不揮発性書換可能型メモリ素子に格納する書換処理を実行し、
上記保守管理装置は、上記不揮発性書換可能型メモリ素子の記憶内容の書換を許可する予め定められたキーワードを受け付けるキーワード入力部を有し、該キーワード入力部が該予め定められたキーワードを受け付けると、上記書換の内容を受け付け、上記プロセス制御装置及び上記バスを介して、上記プロセス入出力装置に上記書換の内容を送る、
ことを特徴とするプロセス制御システム。In the process control system that operates the plant by operating the operation end of the plant,
A plurality of process input / output devices for performing input processing for receiving input of state information indicating the state of the plant, and output processing for instructing the operation end of the operation content of the operation end separately determined;
A process control device that is connected to the plurality of process input / output devices by a bus and determines the operation content based on the status information received by the plurality of process input / output devices;
A maintenance management device for maintaining and managing the plurality of process input / output devices and the process control device;
With
The process input / output device is
A protection drive condition processing program for generating a protection drive signal when the state information satisfies a predetermined condition, and when the protection drive signal is generated by executing the protection drive condition processing program, the process control device determines An input / output program including an operation end drive program for outputting a lock signal corresponding to the protection drive signal to the operation end regardless of the operation details performed, and defining the contents of the input process and the output process A nonvolatile rewritable memory element storing the input / output program
An arithmetic unit for executing the input / output program;
Depending on the operation, one of a signal indicating permission to rewrite the stored contents of the nonvolatile rewritable memory element and a signal indicating permission not to be rewritten is physically sent to the arithmetic unit. A rewrite permission switch;
Including
The arithmetic unit, when have received the necessary signal indicating that the rewriting permission from the rewriting permission switch, allow rewriting of stored contents of the nonvolatile rewritable memory device, the contents of the rewritten from the maintenance apparatus And executing a rewrite process for storing the content of the rewrite in the nonvolatile rewritable memory element,
The maintenance management device has a keyword input unit that receives a predetermined keyword that permits rewriting of the storage contents of the nonvolatile rewritable memory element, and the keyword input unit receives the predetermined keyword. , with receiving the contents of the rewrite, via the process control device and the bus, and sends the contents of the rewrite to the process input and output devices,
A process control system characterized by that.
上記保守監視装置は、前記演算ユニットにより上記不揮発性書換可能型メモリ素子の記憶内容の書換が許可され、且つ上記書換を行う際には該書換回数値を確認して、該確認の結果その時の書換回数値が別途定められた制限回数以下であった場合のみ上記書換の内容を上記プロセス入出力装置に送るとともに、当該書換回数値を更新するものであること、
を特徴とする請求項1記載のプロセス制御システム。The nonvolatile rewritable memory element further stores a rewrite count value indicating the number of times the rewrite processing has been performed so far.
In the maintenance monitoring device, rewriting of the storage contents of the nonvolatile rewritable memory element is permitted by the arithmetic unit, and when performing the rewriting, the rewrite count value is confirmed, and as a result of the confirmation, Only when the rewrite count value is equal to or less than a separately defined limit count, the rewrite content is sent to the process input / output device, and the rewrite count value is updated.
The process control system according to claim 1.
を特徴とする請求項2に記載のプロセス制御システム。The process input / output device outputs a predetermined operation content to the operation end while the rewriting process is performed;
The process control system according to claim 2.
を特徴とする請求項3に記載のプロセス制御システム。The process input / output device has a control permission condition separately defined for each operation end, and outputs the operation content to the operation end only when the operation content input from the process control device satisfies the control permission condition. What to do,
The process control system according to claim 3.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2001098841A JP4117111B2 (en) | 2001-03-30 | 2001-03-30 | Process control system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2001098841A JP4117111B2 (en) | 2001-03-30 | 2001-03-30 | Process control system |
Related Parent Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP8007500A Division JPH09198266A (en) | 1996-01-19 | 1996-01-19 | Process control system |
Related Child Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2006244232A Division JP4724076B2 (en) | 2006-09-08 | 2006-09-08 | Process control system |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2001318703A JP2001318703A (en) | 2001-11-16 |
JP4117111B2 true JP4117111B2 (en) | 2008-07-16 |
Family
ID=18952453
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2001098841A Expired - Fee Related JP4117111B2 (en) | 2001-03-30 | 2001-03-30 | Process control system |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4117111B2 (en) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007018172A (en) * | 2005-07-06 | 2007-01-25 | Canon Inc | Information processor and information processing method |
JP2014145663A (en) * | 2013-01-29 | 2014-08-14 | Toshiba Corp | Safety protection system and control device |
-
2001
- 2001-03-30 JP JP2001098841A patent/JP4117111B2/en not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2001318703A (en) | 2001-11-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US5630139A (en) | Program download type information processor | |
US11392368B2 (en) | Electronic control system for updating circuit | |
US7478207B2 (en) | Control system with a write filter for protection of data | |
JP4724076B2 (en) | Process control system | |
US20210034441A1 (en) | System and method capable of remotely controlling electronic apparatus to execute program | |
JP5041290B2 (en) | PROGRAMMABLE CONTROLLER AND ITS ERROR RECOVERY METHOD | |
JP4117111B2 (en) | Process control system | |
JP6520759B2 (en) | Programmable controller, control program of programmable controller | |
CN109643096A (en) | Programmable logic controller system, programmable logic controller (PLC) and engineering tools program | |
WO2016071974A1 (en) | Remote control device and control system | |
JPH09198266A (en) | Process control system | |
JP2010176201A (en) | Data loss prevention device for flash memory, and data loss prevention method for flash memory | |
JPH10187454A (en) | Bios reloading system | |
JP4782475B2 (en) | Process controller | |
JP4450161B2 (en) | Unit and programmable controller | |
JP2008254885A (en) | Control system of elevator | |
JP2001211231A (en) | Transmission unit management system and history management system used for the system | |
JP4336849B2 (en) | Computer system, input / output control device, and computer system operating method | |
JP2008158634A (en) | Information processing apparatus, software trace data recording method and software trace data recording program | |
US7596717B2 (en) | Microcomputer and debugging method | |
JP2020064340A (en) | Control system | |
JP3729457B2 (en) | Alarm history display system | |
WO2021166603A1 (en) | Information processing device, program update system, and program update method | |
JP4009431B2 (en) | Fault path storage device and fault path storage method used therefor | |
JPS5918722B2 (en) | process control equipment |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20060328 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20060529 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20060711 |
|
RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20060810 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20060908 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20061019 |
|
A911 | Transfer of reconsideration by examiner before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20061024 |
|
A912 | Removal of reconsideration by examiner before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A912 Effective date: 20061215 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20080317 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20080421 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110425 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110425 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120425 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120425 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130425 Year of fee payment: 5 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130425 Year of fee payment: 5 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140425 Year of fee payment: 6 |
|
LAPS | Cancellation because of no payment of annual fees |