JP6787239B2 - 制御装置、制御方法、及び制御プログラム - Google Patents

制御装置、制御方法、及び制御プログラム Download PDF

Info

Publication number
JP6787239B2
JP6787239B2 JP2017086225A JP2017086225A JP6787239B2 JP 6787239 B2 JP6787239 B2 JP 6787239B2 JP 2017086225 A JP2017086225 A JP 2017086225A JP 2017086225 A JP2017086225 A JP 2017086225A JP 6787239 B2 JP6787239 B2 JP 6787239B2
Authority
JP
Japan
Prior art keywords
input
state
power supply
output module
modules
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2017086225A
Other languages
English (en)
Other versions
JP2018185616A (ja
Inventor
麗衣 森田
麗衣 森田
和司 坂本
和司 坂本
篤 寺山
篤 寺山
斎 半田
斎 半田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Yokogawa Electric Corp
Original Assignee
Yokogawa Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Yokogawa Electric Corp filed Critical Yokogawa Electric Corp
Priority to JP2017086225A priority Critical patent/JP6787239B2/ja
Priority to EP18727889.0A priority patent/EP3571556B1/en
Priority to PCT/JP2018/016679 priority patent/WO2018199116A1/en
Priority to CN201880020702.2A priority patent/CN110462534B/zh
Publication of JP2018185616A publication Critical patent/JP2018185616A/ja
Priority to US16/551,720 priority patent/US11079826B2/en
Application granted granted Critical
Publication of JP6787239B2 publication Critical patent/JP6787239B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0428Safety, monitoring
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F1/00Details not covered by groups G06F3/00 - G06F13/00 and G06F21/00
    • G06F1/26Power supply means, e.g. regulation thereof
    • G06F1/32Means for saving power
    • G06F1/3203Power management, i.e. event-based initiation of a power-saving mode
    • G06F1/3206Monitoring of events, devices or parameters that trigger a change in power modality
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/045Programme control other than numerical control, i.e. in sequence controllers or logic controllers using logic state machines, consisting only of a memory or a programmable logic device containing the logic for the controlled machine and in which the state of its outputs is dependent on the state of its inputs or part of its own output states, e.g. binary decision controllers, finite state controllers
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F1/00Details not covered by groups G06F3/00 - G06F13/00 and G06F21/00
    • G06F1/26Power supply means, e.g. regulation thereof
    • G06F1/32Means for saving power
    • G06F1/3203Power management, i.e. event-based initiation of a power-saving mode
    • G06F1/3234Power saving characterised by the action undertaken
    • G06F1/325Power saving in peripheral device
    • G06F1/3278Power saving in modem or I/O interface
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F1/00Details not covered by groups G06F3/00 - G06F13/00 and G06F21/00
    • G06F1/26Power supply means, e.g. regulation thereof
    • G06F1/32Means for saving power
    • G06F1/3203Power management, i.e. event-based initiation of a power-saving mode
    • G06F1/3234Power saving characterised by the action undertaken
    • G06F1/3287Power saving characterised by the action undertaken by switching off individual functional units in the computer system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/4401Bootstrapping
    • G06F9/4418Suspend and resume; Hibernate and awake

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Automation & Control Theory (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Safety Devices In Control Systems (AREA)
  • Programmable Controllers (AREA)

Description

本発明は、制御装置に関し、特に、安全計装システムのF&G(Fire and Gas system)における、二重化された入出力モジュールの制御状態(稼働/待機)の切り替えを抑制する制御装置に関する。
従来から、石油精製、石油化学プロセスや、上下水道の水処理プロセス等を行うプラントにおいては、工業プロセスにおける、例えば、圧力、温度、流量等のような状態量を制御するプロセス制御システムは、安全性を確保しつつ高度な制御を行うために、分散制御システム(DCS:Distributed Control System)等の制御システムと、安全計装システム(SIS:Safety Instrumented System)等の安全システムとを備える。
上記の分散制御システムは、例えば流量計や伝送器のようなフィールド機器と、これらを制御する制御装置とがネットワークを介して接続され、フィールド機器で測定された測定データを制御装置が収集し、収集された測定データに応じて制御装置がフィールド機器を制御することによって、各種状態量の制御を行うシステムである。
上記の安全計装システムは、ガス、炎、熱、煙等を検知するフィールド機器が設けられており、フィールド機器の検知結果に応じてアラームが出力される。このアラームの緊急度に応じて、プラントを確実に安全な状態に停止させることで、人身事故や環境汚染を未然に防止するとともに、プラントにおける設備の保護を図るシステムである。
例えば、非特許文献1には、安全計装システムで用いられる制御装置の構成例が開示されている。
特許文献1には、安全計装システムにおいてフィールド機器から出力されるアラームを解除するため、フィールド機器の電源におけるオン/オフ制御を行う技術が開示されている。
山城 靖彦、「ProSafe−RSハードウェアの特長」、横河技報、横河電機株式会社、2005年10月30日、Vol.49 No.4(2005) p.155−158
特開2017−059115号公報
図1は、従来の安全計装システムで用いられる制御装置1の構成例を示す。制御装置1はVnet/IP(登録商標)等のような制御用ネットワーク7を介して、操作監視端末5やエンジニアリング端末6と接続される。図1において、制御装置1は電源モジュール141・142、プロセッサモジュール131・132、入出力モジュール111−116(以下I/Oモジュールとする)、通信バスモジュール121・122、及びI/Oモジュール111−116を介して接続されるフィールド機器4から構成されるセーフティコントロールユニットと、電源モジュール231・232、I/Oモジュール211−218、通信バスモジュール221・222、及びI/Oモジュール211−218を介して接続されるフィールド機器(図示せず)から構成される第1のセーフティノードユニットと、電源モジュール331・332、I/Oモジュール311−318、通信バスモジュール321・322、及びI/Oモジュール311−318を介して接続されるフィールド機器(図示せず)から構成される第2のセーフティノードユニットとから構成される。これら電源モジュール141・142、231・232、及び、331・332、プロセッサモジュール131・132、I/Oモジュール111−116、211−218、及び、311−318、並びに、通信バスモジュール121・122、221・222、及び、321・322の各モジュールは2つのモジュールを1組のモジュールとして、一方を稼働状態(稼働側)、他方を待機状態(待機側)とする二重化構成をとることができる。
電源モジュール141・142、231・232、及び、331・332は、制御装置1を構成するプロセッサモジュール131・132、I/Oモジュール111−116、211−218、及び、311−318、及び通信バスモジュール121・122、221・222、及び、321・322へ電力供給を行う。
プロセッサモジュール131・132は、制御用ネットワーク7と接続され、I/Oモジュール111−116、211−218、及び、311−318を介してフィールド機器4の測定値を取得し、プラントを制御するための制御用パラメータを算出するための演算処理を行う。
通信バスモジュール121・122は、他の通信バスモジュール221、222、321、及び、322と通信バスを介し接続して、I/Oモジュール211−218、311−318を含む制御装置1を拡張する。
I/Oモジュール111−116、211−218、及び、311−318は、フィールド機器4と接続され、フィールド機器4から入出力される信号をプロセッサモジュール131・132でプラントを制御するための制御用パラメータを算出するための演算処理を行うことができる形式に変換する。さらに、変換された信号は、プラントを制御するための制御用パラメータを算出するための演算処理を行うためプロセッサモジュール131・132へ送信する。
また、I/Oモジュール111−116、211−218、及び、311−318は、接続されるフィールド機器4を動作させるため、フィールド機器4における電力の供給を行う。ここで、二重化されたI/Oモジュールがフィールド機器4へ電力供給を行う場合、稼働状態(稼働側)である一方のモジュールから電力供給を行う。このとき、待機状態(待機側)である他方のモジュールは、電力供給を行う稼働状態(稼働側)である一方のモジュールが、例えば、故障等によって電力供給を行うことができなくなったとき、代わりに電力供給を行えるようにフィールド機器4と接続され、待機している。
なお、二重化されたI/Oモジュールを介して電力供給を行う場合、稼働状態(稼働側)であるモジュール、及び、待機状態(待機側)であるモジュールの両方から電力供給を行ってもよい。
ここで、I/Oモジュール111−116、211−218、及び、311−318に接続されたフィールド機器4は、所定の閾値を超えた測定値が検出されると、その旨を示すアラームを出力する。フィールド機器4は、一度測定値が閾値を超えると、測定値が閾値未満に収まってもアラームを出力し続ける。これは、プラントのオペレータや保守作業員等に、プラントにおける危険/異常がフィールド機器4によって検出されたことを必ず知らせなければならないためである。フィールド機器4におけるアラームの出力状態を解除するために、フィールド機器4の電源を一旦オフ状態にする必要がある。以下、フィールド機器4におけるアラームの出力状態を解除し、通常状態(アラームが出力されていない状態)に戻すため、I/Oモジュール111−116、211−218、及び、311−318を介してフィールド機器4への電力供給を中断し、その後電力供給を再開する(すなわち、電源をオフし、その後オンする)ことを「リセット」と呼ぶ。
フィールド機器4のリセットを行う場合、制御装置1は、フィールド機器4と接続されるI/Oモジュール111−116、211−218、及び、311−318を介してフィールド機器4への電力供給を制御する。
二重化されたI/Oモジュール111−112は、制御装置1からフィールド機器4をリセットする旨の指示を受けると、図示しない制御手段によりI/Oモジュール111−112を制御状態から未制御状態に遷移させ、フィールド機器4への電力供給を中断する。ここで、未制御状態は、二重化されたI/Oモジュール111−112が制御装置1によって制御することができない状態(オフライン状態)を指す。一方、二重化されたI/Oモジュール111−112を、一方のモジュールを稼働状態(稼働側)、他方のモジュールを待機状態(待機側)として、制御装置1が制御することができる状態を制御状態(オンライン状態)という。
予め設定された時間が経過すると、制御装置1から、フィールド機器4を復帰する旨の指示によって、I/Oモジュール111−112はフィールド機器4へ電力供給を再開する。
ここで、二重化されるI/Oモジュール111−112は、フィールド機器4へ電力供給を中断する、及び、電力供給を再開するとき、I/Oモジュール111−112の稼働状態(稼働側)または待機状態(待機側)が切り替わることがある。例えば、リセット操作が行われると、リセット前は待機状態(待機側)であったI/Oモジュール111が稼働状態(稼働側)として、リセット前は稼働状態(稼働側)であったI/Oモジュール112が待機状態(待機側)として、I/Oモジュール111−112の制御状態(稼働/待機)が復帰し、フィールド機器4へ電力を供給する。
すなわち、リセット操作の前後で各I/Oモジュール111−112の稼働状態(稼働側)が待機状態(待機側)に、または、待機状態(待機側)が稼働状態(稼働側)に切り替わり、フィールド機器4は電力供給される。
例えば、図1のI/Oモジュールを例とすると、I/Oモジュール111が待機状態(待機側)、I/Oモジュール112が稼働状態(稼働側)として動作する、二重化されたI/Oモジュール111−112に接続されるフィールド機器へリセット操作が行われるとする。すると、リセットが行われた後、I/Oモジュール111が稼働状態(稼働側)、I/Oモジュール112が待機状態(待機側)として、フィールド機器4に電力供給されることになる。すなわち、フィールド機器4のリセット操作に伴い、I/Oモジュール111−112の稼働状態(稼働側)と待機状態(待機側)が切り替わってしまう。
二重化されるI/Oモジュール111−112の稼働状態(稼働側)が待機状態(待機側)に、または、待機状態(待機側)が稼働状態(稼働側)に切り替わると、プラントではI/Oモジュール111−112に故障または障害が発生したものとして記録され、運転員へI/Oモジュール111−112の故障・障害が伝えられる。しかし、記録されるI/Oモジュール111−112の故障・障害は、フィールド機器4へのリセット操作に基づくものか、I/Oモジュール111−112の故障・障害か等の原因を特定することができない。
そのため、運転員はI/Oモジュール111−112の故障・障害に対する対応が迅速に行うことができない。この結果、I/Oモジュール111−112の故障・障害の原因特定作業の発生や、I/Oモジュール111−112の交換作業が発生し、運転員の作業が煩雑になる。
そこで、本発明は、フィールド機器4のリセット操作に伴う、二重化されるI/Oモジュール111−112における稼働状態から待機状態、または、待機状態から稼働状態への切り替えを抑制することを目的とする。
このような課題を解決するために、本発明のうち請求項1に記載の発明は、
フィールド機器が設置されるプラントにおける、複数の入出力モジュールを介し前記フィールド機器と通信する制御装置であって、2つの前記入出力モジュールのうち、一方を稼働させ、他方を待機させることで前記入出力モジュールの二重化を行う制御装置において、
動作管理情報を格納する記憶部と、
前記フィールド機器への電力供給を中断するための信号を送信するアプリケーション実行部と、
前記信号に基づき、前記入出力モジュールからの電力供給を中断する旨の指示を送信するリセット部と、
を具備し、
前記リセット部は、前記信号の受信に基づき、前記動作管理情報に記憶される前記入出力モジュールの制御状態を記憶または更新することを特徴とする。
請求項2記載の発明は、請求項1に記載の制御装置において、
前記動作管理情報は、二重化された前記入出力モジュールの稼働中である状態または待機中である状態、を含むことを特徴とする。
請求項3記載の発明は、請求項1または請求項2に記載の制御装置において、
前記動作管理情報は、前記電力供給を中断する旨の指示の送信時点における前記入出力モジュールの稼働中の状態又は待機中の状態、または、前記制御装置とネットワークを介して接続される操作監視端末により前記フィールド機器への電力供給を中断するための操作が行われた時点の前記入出力モジュールの稼働中の状態又は待機中の状態の少なくともいずれかを含むことを特徴とする。
請求項4記載の発明は、請求項1から請求項3のいずれかに記載の制御装置において、
前記二重化された入出力モジュールは、前記電力供給を中断する旨の指示を受信すると、予め設定された時間が経つと前記稼働中である状態における入出力モジュールからの電力供給を中断することを特徴とする。
請求項5記載の発明は、請求項1から請求項4のいずれかに記載の制御装置において、
前記制御装置は、
前記フィールド機器への電力供給を再開するための信号を送信するアプリケーション実行部と、
前記電力供給を再開するための信号に基づき、前記入出力モジュールからの電力供給を再開する旨の指示を送信するリセット部と、
予め設定した前記入出力モジュールからの電力供給が中断された状態である時間の経過に基づき、前記入出力モジュールからの電力供給を再開する旨の指示を送信する起動部と、
を具備することを特徴とする。
請求項6記載の発明は、請求項1から請求項5のいずれかに記載の制御装置において、
前記二重化された入出力モジュールは、前記動作管理情報に基づき、前記起動部から前記入出力モジュールからの電力供給を再開する旨の指示を受信すると、前記稼働中であった状態の入出力モジュールからの電力供給を再開することを特徴とする。
請求項7記載の発明は、請求項1から請求項6のいずれかに記載の制御装置において、
前記入出力モジュールは、前記入出力モジュールの前記稼働中である状態又は前記待機中である状態を切り替える制御手段を備え、
前記動作管理情報は、前記制御手段によって前記入出力モジュールの前記稼働中である状態又は前記待機中である状態を切り替えたことに基き、前記入出力モジュールに備わるメモリに格納される前記入出力モジュールの前記稼働中である状態又は前記待機中である状態を示す情報が記憶または更新されることを特徴とする。
このような課題を解決するために、本発明のうち請求項8に記載の発明は、
フィールド機器が設置されるプラントにおける、複数の入出力モジュールを介し前記フィールド機器と通信し、動作管理情報を格納する記憶部を有する制御装置による制御方法であって、2つの前記入出力モジュールのうち、一方を稼働させ、他方を待機させることで前記入出力モジュールの二重化を行う制御方法において、
前記フィールド機器への電力供給を中断するための信号を送信するステップと、
前記信号に基づき、前記入出力モジュールからの電力供給を中断する旨の指示を送信するステップと、
予め設定した前記入出力モジュールからの電力供給が中断された状態である時間の経過に基づき、前記入出力モジュールからの電力供給を再開する旨の指示を送信するステップと、
前記再開する旨の指示の受信に基づき、前記動作管理情報に記憶される前記入出力モジュールの制御状態を記憶または更新するステップと、
を含む。
このような課題を解決するために、本発明のうち請求項9に記載の発明は、
コンピュータに、
フィールド機器が設置されるプラントにおける、複数の入出力モジュールを介し前記フィールド機器と通信し、動作管理情報を格納する記憶部を有する制御装置で実行される制御プログラムであって、2つの前記入出力モジュールのうち、一方を稼働させ、他方を待機させることで前記入出力モジュールの二重化を行う制御プログラムにおいて、
前記フィールド機器への電力供給を中断するための信号を送信するモジュールと、
前記信号に基づき、前記入出力モジュールからの電力供給を中断する旨の指示を送信するモジュールと、
予め設定した前記入出力モジュールからの電力供給が中断された状態である時間の経過に基づき、前記入出力モジュールからの電力供給を再開する旨の指示をするモジュールと、
を含み、
前記入出力モジュールからの電力供給を中断する旨の指示を送信するモジュールは、前記再開する旨の指示の受信に基づき、前記動作管理情報の前記入出力モジュールにおける制御状態を記憶または更新することを特徴とする。
フィールド機器が設置されるプラントにおける、複数の入出力モジュールを介し前記フィールド機器と通信する制御装置であって、2つの前記入出力モジュールのうち、一方を稼働させ、他方を待機させることで前記入出力モジュールの二重化を行う制御装置において、動作管理情報を格納する記憶部と、前記フィールド機器への電力供給を中断するための信号を送信するアプリケーション実行部と、前記信号に基づき、前記入出力モジュールからの電力供給を中断する旨の指示を送信するリセット部と、を具備し、前記リセット部は、前記信号の受信に基づき、前記動作管理情報に記憶される前記入出力モジュールの制御状態を記憶または更新することで、入出力モジュールからの電力供給が中断される前の入出力モジュールの稼働状態(稼働側)または待機状態(待機側)を制御装置が把握できるため、二重化される入出力モジュールの稼働状態(稼働側)または待機状態(待機側)の切り替えを抑制することができる。
従来の安全計装システムにおける制御装置の構成例を示す構成図である。 本発明の安全計装システムにおける制御装置の構成例を示す構成図である。 本発明の実施例を示す構成説明図である。 従来のプロセス制御システムの一例を示す基本構成説明図である。 本発明のI/Oモジュールからの電力供給を中断する動作の一例を示すフローチャートである。 本発明のI/Oモジュールからの電力供給を再開する動作の一例を示すフローチャートである。
<安全計装システムにおける制御装置の構成例>
以下、図面をもとに本発明に係る安全計装システムにおける制御装置に関する詳細な説明を行う。図2は本発明の基本構成説明図であり、図1と共通する部分には同一の符号を付けている。
図2において、制御装置100は、制御装置100は電源モジュール141・142、プロセッサモジュール131・132、I/Oモジュール111−116、及び通信バスモジュール121・122と、I/Oモジュール111−116を介して接続されるフィールド機器4から構成されるセーフティコントロールユニットと、電源モジュール231・232、I/Oモジュール211−218、通信バスモジュール221・222、及びI/Oモジュール211−218を介して接続されるフィールド機器(図示せず)から構成される第1のセーフティノードユニットと、電源モジュール331・332、I/Oモジュール311−318、通信バスモジュール321・322、及びI/Oモジュール311−318を介して接続されるフィールド機器(図示せず)から構成される第2のセーフティノードユニットから構成される。なお、セーフティコントロールユニットおよびこれらセーフティノードユニットは通信バスモジュール121・122、221・222、及び、321・322、及びI/Oモジュール111−116、211−218、及び、311−318等を介してフィールド機器4と接続される図1と同様にVnet/IP(登録商標)等のような制御用ネットワーク7を介して、操作監視端末5、エンジニアリング端末6と接続される。また、制御装置100を構成する電源モジュール141・142、231・232、及び、331・332、プロセッサモジュール131・132、I/Oモジュール111−116、211−218、及び、311−318、並びに、通信バスモジュール121・122、221・222、及び、321・322の各モジュールは、2つのモジュールを1組のモジュールとして、一方を稼働状態(稼働側)、他方を待機状態(待機側)とする二重化構成をとることができる。
フィールド機器4は、例えば流量計や温度センサ等のセンサ機器、流量制御弁や開閉弁等のバルブ機器、ファンやモータ等のアクチュエータ機器、その他のプラントの現場に設置される機器である。
操作監視端末5は、例えば、プラントのオペレータによって操作され、プロセスの監視に用いられる装置である。また、操作監視端末5には、例えば、フィールド機器4への電力供給を中断、再開を操作できるような計器図501・502を表示してもよい。エンジニアリング端末6は、制御装置100によって実行されるプログラムを作成するための装置である。
本発明では、二重化されるI/Oモジュール111−112からの電力供給を一旦中断し、その後再開するという動作を介して、フィールド機器4をアラーム出力状態から通常状態(アラームが出力されていない状態)に戻す、という一連のリセット操作を実行することに起因した、二重化されたI/Oモジュールにおける稼働状態(稼働側)又は待機状態(待機側)の切り替えにおける抑制をプロセッサモジュール131・132において実現する。また、本実施例では二重化される一方の稼働状態(稼働側)のプロセッサモジュール131におけるI/Oモジュールの稼働状態(稼働側)又は待機状態(待機側)の切り替え抑制機能8について記載を行うが、他方の待機状態(待機側)のプロセッサモジュール132にも同様のI/Oモジュールの稼働状態(稼働側)又は待機状態(待機側)の切り替え抑制機能(図示せず)が搭載されている。
<I/Oモジュールの制御状態の切り替え抑制機能の構成例>
次に、図2に安全計装システムにおける制御装置100の構成要素である、プロセッサモジュール131内で構成されるI/Oモジュールの稼働状態(稼働側)又は待機状態(待機側)の切り替え抑制機能8について図3を用いて詳細に説明する。図3は、本発明の制御装置100で用いられるプロセッサモジュール131の一実施例のうちI/Oモジュールの制御状態(稼働/待機)の切り替え抑制機能8の構成説明図である。
本発明のI/Oモジュールの稼働状態(稼働側)又は待機状態(待機側)の切り替え抑制機能8は、アプリケーション実行部81、記憶部82、リセット部83、診断部84、モジュール起動部85から構成される。
また、図3ではプロセッサモジュール131と接続される、I/Oモジュール111−112と、I/Oモジュール111−112を介して接続されるフィールド機器401−416も表記している。
なお、記憶部82はメモリや外部の記憶媒体に構成されるものでもよい。
アプリケーション実行部81は、ダウンロードされた制御プログラム等のプログラムを実行し、I/Oモジュール111−112を介してフィールド機器401−416から測定値等のデータを収集する。なお、フィールド機器401−416からの測定値はプロセス値を含む。アプリケーション実行部81は、収集されたデータを演算し、他のフィールド機器401−416に対して駆動信号を送信し、予め定められた制御プログラムに基づき、制御対象のプロセスを制御する。
ここで、ダウンロードされた制御プログラム等のプログラムは、アプリケーションロジックを含む。アプリケーションロジックは、エンジニアリング端末6によって作成され、プログラムとして記憶部82に格納される。アプリケーションロジックは、グラフィカルユーザインタフェースを用いて、機能ブロック図(FBD:Functional Block Diagram)形式などで記述される。
また、アプリケーションロジックを格納する記憶部82は、図示しない記憶部82とは異なるデータベース、メモリや外部の記憶媒体としてもよい。
機能ブロック811−812は(詳細は後述する)、操作監視端末5でフィールド機器401−416に対するリセット操作が入力されると、制御用ネットワーク7を介してリセット操作の指示を受信する。
また、機能ブロック811−812は、リセット操作の指示を受信すると、リセット部83へI/Oモジュール111−112からの電力供給を中断する旨の指示を行うための信号を送信する。
なお、機能ブロックは、アプリケーション実行部81に、各のフィールド機器401−416のそれぞれに対して1機能ブロックずつ用意される。
また、機能ブロック811−812は、フィールド機器401−416への電力供給が中断されてから、再びフィールド機器401−416への電力供給が開始されるまでの時間(リセット時間)をカウントするカウンタ(図示せず)を備える。
このカウンタが、リセット時間をカウントし終えると、リセット部83へリセット時間が終了し未制御状態から制御状態に復帰させる旨を送信する(詳細は後述する)。
記憶部82は、上述した機能ブロック811−812図形式などで記述されたアプリケーションロジックや、後述する二重化されたI/Oモジュール111−112の稼働状態(稼働側)又は待機状態(待機側)である制御状態を記録する動作管理情報、フィールド機器401−416と接続されるI/Oモジュール111−112が、例えば、断線がない状態、故障がない状態で正常に動作するか否かについて、診断部84で診断した診断結果等を格納する。
また、記憶部82は、フィールド機器401−416が測定したプロセス値を格納してもよい。なお、記憶部82は、メモリや外部の記憶媒体としてもよい。
リセット部83は、機能ブロック811−812から受信した、フィールド機器401−416における電源をオフする旨の指示に基づき、フィールド機器401−416への電力供給を中断するために、I/Oモジュール111−112を制御状態から未制御状態に遷移させる旨の指示をI/Oモジュール111−112へ送信する。
さらに、リセット部83は、I/Oモジュール111−112からの電力供給を中断するために、I/Oモジュール111−112を制御状態から未制御状態に遷移させる旨の指示をI/Oモジュール111−112へ送信する場合、フィールド機器401−416への電力供給を中断する前における1組のI/Oモジュール111−112の稼働状態(稼働側)又は待機状態(待機側)を確認し、動作管理情報に記憶し、更新する。このとき、1組の二重化I/Oモジュール111−112の稼働状態(稼働側)または待機状態(待機側)は、後述する診断部84でI/Oモジュール111−112に設定されている稼働状態(稼働側)または待機状態(待機側)がフィールド機器401−416から測定値を取得するときに確認され、各I/Oモジュールごとに確認された稼働状態(稼働側)または待機状態(待機側)である旨を示す情報が動作管理情報に記憶され、更新される。
また、リセット部83は、機能ブロック811−812に備えたカウンタ(図示しない)によって、リセット時間がカウントされると、I/Oモジュール111−112へフィールド機器401−416の電力供給を再開するために、I/Oモジュール111−112を未制御状態から制御状態に復帰させる旨を送信する。
ここで、動作管理情報の一例を図4に示す。動作管理情報はI/Oモジュール111−112の制御状態(稼働/待機)41、リセット操作に基づくリセット部83によるI/Oモジュール111−112からの電力供給を中断する前の稼働状態(稼働側)又は待機状態(待機側)である制御状態42を含む。
なお、I/Oモジュール111−112からの電力供給が中断される前の稼働状態(稼働側)又は待機状態(待機側)である制御状態42は、I/Oモジュール111−112へ電力供給を中断する指示を送信した場合における所定時点の状態、または、操作監視端末5でフィールド機器401−416に対してリセット操作が行われた場合における所定時点の状態のうち、少なくともいずれかの場合における状態を含むものでよい。
また、図4ではI/Oモジュール111−112の稼働状態(稼働側)又は待機状態(待機側)を、TRUE、FALSEと表記しているが、稼働状態、待機状態が判別できるものであれば、例えば、稼働・待機、又は、○・×等と表記してもよい。
診断部84は、フィールド機器401−416から測定値を取得するとき、後述するI/Oモジュール111−112のメモリに格納される、二重化されたI/Oモジュール111−112の稼働状態(稼働側)又は待機状態(待機側)を確認する。そして、I/Oモジュール111−112における、稼働状態(稼働側)又は待機状態(待機側)の確認の後、記憶部82に格納される動作管理情報にI/Oモジュール111−112の稼働状態(稼働側)又は待機状態(待機側)である制御状態として記録する。
なお、フィールド機器401−416から測定値を取得するタイミング、及び、二重化されたI/Oモジュール111−112の稼働状態(稼働側)又は待機状態(待機側)を確認するタイミングは、ユーザが設定してよい。
また、診断部84は、I/Oモジュール111−112が例えば、断線又はリセット操作が行われているか、若しくは、故障・障害がないか等、異常なく動作するか、フィールド機器401−416へ電力供給を中断するために、制御状態から未制御状態に遷移されたI/Oモジュール111−112や、図示しないフィールド機器へ電力供給を行うI/Oモジュールに対して、診断を行う。このとき、診断部84はI/Oモジュールに対する診断結果を、記憶部82へ格納する。
ここで、診断部84が、I/Oモジュール111−112を、例えば、二重化されるI/Oモジュールの稼働状態(稼働側)又は待機状態(待機側)の切り替えや、断線等の故障、リセット操作が行われている等による異常状態であると診断した場合、操作監視端末5を介して、I/Oモジュール111−112の動作異常としてアラームを表示させてもよい。
なお、記憶部82にI/Oモジュール111−112の故障・障害として記録してもよい。
モジュール起動部85は、機能ブロック811−812に備わるカウンタが、リセット時間をカウントし終え、かつ、記憶部82に格納される動作管理情報のI/Oモジュール111−112からの電力供給を中断する前の稼働状態(稼働側)又は待機状態(待機側)である制御状態、及び、I/Oモジュール111−112について、I/Oモジュール111−112が未制御状態から制御状態に復帰したか否か等の診断結果に基づき、I/Oモジュール111−112へフィールド機器401−416の電力供給を再開する(すなわち電源をオンする)旨の指示を行う。
また、モジュール起動部85は、記憶部82に格納される、診断部84による、I/Oモジュール111−112が、例えば、断線又はリセット操作が行われているか、若しくは、故障・障害がないか等の異常なく動作するか否かの診断結果を、予め設定されるタイミングで定期的に確認する。
なお、モジュール起動部85が、診断部84による診断結果を定期的に確認するタイミングは、ユーザが設定してもよい。
I/Oモジュール111−112は、1つのモジュールに対して複数チャネル、具体的には16ch(チャネル)有し、各chに1つのフィールド機器401−416を接続することができる。I/Oモジュール111−112を二重化して構成する場合、二重化されたI/Oモジュール111−112で1つのチャネルにフィールド機器401−416をそれぞれ接続する。このとき、二重化されるI/Oモジュール111−112において、モジュール自身が各モジュールのどちらが稼働状態(稼働側)又は待機状態(待機側)のいずれかの状態であるかを判断できるように、稼働状態(稼働側)又は待機状態(待機側)である制御状態を記憶するメモリ(図示せず)も有する。
なお、本発明で用いる実施例では、I/Oモジュール111−112をアナログ入力用として記載するが、I/Oモジュール111−112はアナログ入出力(AI、AO)、デジタル入出力(DI、DO)のいずれであってもよい。
また、二重化されるI/Oモジュール111−112は、モジュール自身が各モジュールのどちらが稼働状態(稼働側)又は待機状態(待機側)を判断するため、稼働状態(稼働側)又は待機状態(待機側)である制御状態を記憶する外部メモリと接続されるものであってもよい。
また、I/Oモジュール111−112は、リセット部83からI/Oモジュールからの電力供給を中断する旨の指示を受信すると、カウントを開始する図示しないカウンタ(タイマ)を備える。このカウンタは、一方の待機状態(待機側)であるモジュールが未制御状態(二重化されたI/Oモジュール111−112が制御装置によって制御することができない状態)になると、カウントを開始し、I/Oモジュール111−112の制御手段(図示しない)は、予め設定した時間が経過したことを確認すると、他方の稼働状態(稼働側)であるモジュールを稼働状態から未制御状態に遷移させることで、フィールド機器401−416への電力供給を中断することができる。
これにより、リセット信号に基づき、二重化されるI/Oモジュール111−112における一方の待機状態(待機側)であるモジュールが未制御状態となり、予め設定した時間が経過すると、他方の稼働状態(稼働側)であるモジュールが未制御状態に遷移することで、フィールド機器401−416への電力供給を中断することができる。
また、機能ブロック811−812に備わるカウンタが、予め設定されたリセット時間をカウントし終えると、リセット操作前の二重化されたI/Oモジュール111−112における稼働状態(稼働側)又は待機状態(待機側)に基づいて、I/Oモジュール111−112の制御状態は復帰される。そして、I/Oモジュール111−112は稼働状態(稼働側)又は待機状態(待機側)として動作する。I/Oモジュール111−112における制御状態への復帰に基づき、I/Oモジュール111−112はフィールド機器401−416への電力供給を再開することができる。
<リセット信号における動作>
本発明の安全計装システムの制御装置は、フィールド機器401−416のアラームを出力し続けている状態から通常状態(アラームが出力されていない状態)に変更するため、オペレータによって二重化されるI/Oモジュール111−112を制御してフィールド機器401−416へリセット操作を行う際、I/Oモジュール111−112の稼働状態(稼働側)又は待機状態(待機側)を切り替えることなく、リセット後もリセット前と同様の稼働状態(稼働側)又は待機状態(待機側)でI/Oモジュール111−112を動作させることを可能とするものである。図5〜図6を用いてオペレータからリセット操作が行われ、フィールド機器401−416のリセットを行う方法について、具体的に説明する。
(I/Oモジュールからの電力供給を中断する動作)
図5は本発明の安全計装システムの制御装置の一実施例における、オペレータからI/Oモジュール111−112を制御してフィールド機器401−416にリセット操作を行い、I/Oモジュール111−112の制御によるフィールド機器401−416への電力供給を中断する指示が入力され、I/Oモジュール111−112からの電力供給を中断するため、I/Oモジュール111−112が制御状態から未制御状態に遷移されるフローチャートである。
先ず、ステップS501において、オペレータは、操作監視端末5を介してプラントに設置されるフィールド機器401−416の信号に応じて表示されるアラームを確認し、プラントの安全を確認すると、操作監視端末5に表示される、フィールド機器401−416に対応するリセットを行うための計器図501・502上のリセットボタン501・502を押下する(ステップS501)。リセットボタンが押下されると、制御用ネットワークを介して、アプリケーション実行部81で動作する機能ブロック811−812へフィールド機器401−416のリセット操作を行う旨の信号が送信される。
ステップS501において、操作監視端末5によって、フィールド機器401−416のリセットボタンが押下された時点のI/Oモジュール111−112における稼働状態(稼働側)又は待機状態(待機側)である制御状態を、記憶部82に格納される動作管理情報に記録してもよい。
次に、ステップS502において、機能ブロック811−812はフィールド機器401−416のリセット操作を行う旨の信号を操作監視端末5から受信すると、リセットするフィールド機器401−416が接続される、I/Oモジュール111−112からフィールド機器401−416への電力供給を中断する旨の信号をリセット部83へ送信する(ステップS502)。
ステップS503において、リセット部83は、記憶部82に格納される動作管理情報に記録される、I/Oモジュール111−112の稼働状態(稼働側)又は待機状態(待機側)を確認し、I/Oモジュール111−112からの電力供給を中断する前の稼働状態(稼働側)又は待機状態(待機側)である制御状態として、動作管理情報のフィールド機器401−416におけるリセット前のI/Oモジュール111−112の稼働状態(稼働側)又は待機状態(待機側)を更新する(ステップS503)。
また、ステップS503における動作管理情報のフィールド機器401−416におけるリセット前のI/Oモジュール111−112の稼働状態(稼働側)又は待機状態(待機側)である制御状態を更新するとき、I/Oモジュール111−112からの電力供給を中断する前の稼働状態(稼働側)又は待機状態(待機側)である制御状態は、I/Oモジュール111−112へ電力供給を中断する指示を送信した場合における所定時点の状態、または、操作監視端末5でフィールド機器401−416に対してリセット操作が行われた場合における所定時点の状態のうち、少なくともいずれか一方の時点でよい。
なお、ステップS503において、動作管理情報に記録されるI/Oモジュール111−112の稼働状態(稼働側)又は待機状態(待機側)である制御状態は、診断部84が定期的に診断する、接続される二重化されたI/Oモジュール111−112の稼働状態(稼働側)又は待機状態(待機側)である制御状態における診断結果に基づくものである。
ステップS504において、リセット部83はI/Oモジュール111−112へ、フィールド機器401−416への電力供給を中断するため、I/Oモジュール111−112を制御状態から未制御状態に遷移させる旨の指示を送信する(ステップS504)。
次に、ステップS505において、二重化されるI/Oモジュール111−112は、フィールド機器401−416への電力供給を中断するために、I/Oモジュール111−112を制御状態から未制御状態にさせる旨の指示を受信すると、自身の稼働状態(稼働側)又は待機状態(待機側)をそれぞれ確認する(ステップS505)。このとき、各I/Oモジュール111−112は、各I/Oモジュール111−112に備えるメモリに記録されている稼働状態(稼働側)又は待機状態(待機側)である制御状態に関する情報から、二重化されるモジュールのうち、どちらが稼働状態(稼働側)又は待機状態(待機側)であるかどうかを確認する。
さらに、ステップS506において、ステップS505で確認した各I/Oモジュール111−112の稼働状態(稼働側)又は待機状態(待機側)に基づいて、I/Oモジュール111−112を未制御状態にする旨の指示を受けた各I/Oモジュール111−112は、それぞれが二重化されるモジュールのうち稼働側であるか待機側であるかを判断する、すなわち、稼働状態であるか待機状態であるかを判断する(ステップS506)。
ステップS507において、ステップS506で一方のI/Oモジュールが待機側であると判断されると、図示しないI/Oモジュールの制御手段は、リセット部83からのI/Oモジュール111−112を制御状態から未制御状態に遷移させる旨の指示に基づき、待機側であるI/Oモジュールを未制御状態に遷移させる(ステップS507)。
また、ステップS507において、待機側のI/Oモジュールから未制御状態にする理由は、稼働側のI/Oモジュールから電力供給を中断するために未制御状態に遷移させると、従来技術に説明したように、I/Oモジュール111−112の稼働側又は待機側が切り替わってしまうことや、稼働側又は待機側が切り替わることにより、I/Oモジュール111−112が故障した旨の情報が記憶されてしまうためである。
ここで、未制御状態とは、二重化されたI/Oモジュール111−112が制御装置によって制御できない状態(オフライン状態)、例えば、フィールド機器401−416への電力供給を制御することができない状態を指す。
ステップS508において、ステップS506でI/Oモジュールの一方が稼働側であると判断されると、このI/Oモジュールの図示しない制御手段は、リセット部83からの電力供給を中断するためにI/Oモジュール111−112を未制御状態にする旨の指示を受信しても、稼働側であるI/Oモジュールからの電力供給を維持する(ステップS508)。
また、ステップS508で稼働側であるI/Oモジュールの電力供給を維持すると、このI/Oモジュール111−112に備えるカウンタが起動しカウントを開始する。
ステップS509において、図示しないI/Oモジュール111−112の制御手段は、I/Oモジュール111−112のカウンタでカウントされる時間と、予め設定される稼働側のモジュールの電力供給を維持する時間と、を比較する(ステップS509)。
このとき、予め設定された稼働側の電力供給を維持する時間は、ユーザが設定してもよい。また、予め設定された稼働側の電力供給を維持する時間は、I/Oモジュール111−112に備えるメモリに格納されるものでもよい。
ステップS510において、ステップS509でカウンタの示す時間を経過したと判断されると、図示しないI/Oモジュール111−112の制御手段は、稼働側のモジュールからの電力供給を中断するために、稼働側のモジュールを制御状態から未制御状態に遷移させる(ステップS510)。
このとき、二重化されるI/Oモジュール111−112は、フィールド機器401−416への電力供給を中断するために、制御状態から未制御状態に遷移させる旨の指示を受けると、待機側であるモジュールから、未制御状態となり、所定の時間が経過すると、稼働側のモジュールが未制御状態となる。すなわち、フィールド機器401−416への電力供給を中断する場合、二重化されるI/Oモジュール111−112の双方が、未制御状態となる。
また、ステップS510において、リセット部83がI/Oモジュール111−112へ電力供給を中断する指示を送信することで、機能ブロック811−812に備わるカウンタが、予め設定された電力供給を中断する時間のカウントを開始する。
なお、フィールド機器401−416へ電力供給を中断する時間は、予めユーザが設定してもよい。
ステップS511において、ステップS606でカウンタの示す時間予め設定された時間を経過していないと判断すると、I/Oモジュール111−112の制御手段(図示せず)は、稼働側であるI/Oモジュールからの電力供給を維持するために、稼働側を維持する(ステップS511)。
このようにすることで、操作監視端末5を介してI/Oモジュール111−112を制御してフィールド機器に対するリセット操作が行われると、I/Oモジュール111−112からの電力供給を中断する前の稼働状態(稼働側)又は待機状態(待機側)である制御状態は、I/Oモジュール111−112へ電力供給を中断する指示を送信した場合における所定の時点、または、操作監視端末5でフィールド機器401−416に対してリセット操作が行われた場合における所定の時点のうち、少なくともいずれか一方の時点における稼働状態(稼働側)又は待機状態(待機側)である制御状態に基づいて動作管理情報に記憶され、更新される。そのため、制御装置100は、フィールド機器401−416がリセット操作される前のI/Oモジュール111−112における稼働状態(稼働側)又は待機状態(待機側)である制御状態を記憶することができる。
また、I/Oモジュール111−112は、I/Oモジュール111−112の稼働状態(稼働側)又は待機状態(待機側)が切り替わることなく、フィールド機器401−416への電力供給を中断することができる。
なお、オペレータがI/Oモジュール111−112の各チャネルに接続されるそれぞれのフィールド機器401−416のいずれか1つに対してリセット操作すると、I/Oモジュール111−112の各チャネルに接続される全てのフィールド機器(図示しない)がリセットされてもよい。
(I/Oモジュールからの電力供給を再開する動作)
図6は図5で示したフィールド機器401−416へ電力供給を中断するために、I/Oモジュール111−112を制御状態から未制御状態に遷移させる旨の指示が入力され、フィールド機器401−416への電力供給を中断した後、所定の時間が経過されると電力供給を再開するフローチャートである。
先ず、ステップS601において、機能ブロック811−812は、I/Oモジュール111−112からの電力供給が中断状態になってから所定の期間を経過したかをI/Oモジュール111−112に備わるカウンタで確認する。所定期間が経過したものと確認される場合には、リセット部83へI/Oモジュール111−112からの電力供給が中断になってから所定の時間を経過した旨の信号を送信し、ステップS602に進む(ステップS601)。
ステップS602において、リセット部83は、フィールド機器401−416への電力供給を再開するために、未制御状態から制御状態に復帰させる旨の指示を、I/Oモジュール111−112へ送信する。(ステップS602)。このとき、診断部84がI/Oモジュール111−112に対して、I/Oモジュール111−112が未制御状態から稼働状態または待機状態(制御状態)に復帰した、又は、復帰できないと診断すると、稼働状態または待機状態(制御状態)に復帰した、又は、復帰できないことを示す情報を記憶部82へ診断結果を格納する。
ステップS603において、モジュール起動部85は、記憶部82に格納される、診断部84により、I/Oモジュール111−112に対して、例えば、リセット操作が行われ、未制御状態でないか、または、故障・障害がないか等の異常があるか否かにおける診断結果を定期的に確認する(ステップS603)。
ステップS604において、モジュール起動部85は、I/Oモジュール111−112からの電力供給が中断される前の稼働状態(稼働側)又は待機状態(待機側)である制御状態を、記憶部82に格納される動作管理情報から確認する(ステップS604)。
次に、ステップS605において、モジュール起動部85は、ステップS603、及び、ステップS604において確認した、記憶部82に格納される、診断部84により、I/Oモジュール111−112に対して、例えば、リセット操作が行われ、未制御状態でないか、または、故障・障害がないか等の、I/Oモジュール111−112に異常があるか否かを定期的に診断した診断結果、及び、動作管理情報のI/Oモジュール111−112からの電力供給が中断される前の稼働状態(稼働側)又は待機状態(待機側)である制御状態に基づいて、フィールド機器401−416への電力供給を再開するために、I/Oモジュール111−112の未制御状態を制御状態に復帰させる旨の信号を送信する(ステップS605)。
また、ステップS605において、モジュール起動部85は例えば、ステップS602によって、リセット部83がI/Oモジュール111−112へ未制御状態から制御状態に復帰させる旨の指示を送信し、復帰した等の正常であると判断した診断結果に基づき、フィールド機器401−416への電力供給を再開するために、未制御状態から制御状態に復帰させる旨の信号を送信する。
さらに、ステップS606において、モジュール起動部85からI/Oモジュール111−112からの電力供給を再開するために、未制御状態から制御状態に復帰させる旨の信号に基づいて、図示しないI/Oモジュール111−112の制御手段が、記憶部82に記憶される動作管理情報に基づき、それぞれ二重化されるモジュールのどちらが稼働側のモジュールであるか、待機側のモジュールであるかを判断する(ステップS606)。なお、I/Oモジュール111−112は、動作管理情報を記憶する図示しない記憶部を有するものであってもよい。
ステップS607において、ステップS606で稼働側であったと判断されると、リセット前に稼働側であったI/Oモジュールから電力供給を再開させるために、図示しないI/Oモジュール111−112の制御手段は、未制御状態から制御状態に復帰させ、稼働側として一方のモジュールを動作させる(ステップS607)。
ステップS607において、ステップS606で待機側であったと判断されると、図示しないI/Oモジュール111−112の制御手段は、待機側であったI/Oモジュールを未制御状態で維持し、I/Oモジュール111−112に備わるカウンタが起動する。
ステップS608おいて、図示しないI/Oモジュール111−112の制御手段は、I/Oモジュール111−112に備えるカウンタでカウントされる時間と、予め設定されたリセット前に待機側であったI/Oモジュールを未制御状態で維持する時間と比較する(ステップS608)。
予め設定されたリセット前に待機側であったI/Oモジュールを未制御状態で維持する時間は、図示しないI/Oモジュール111−112に備わるメモリに記憶されている。
また、予め設定されたリセット前に待機側であったI/Oモジュールを未制御状態で維持する時間は、ユーザが設定してもよい。
ステップS609おいて、ステップS608でカウンタのカウントされる時間が予め設定された時間をカウントしたと判断されると、待機側のI/Oモジュールとして、未制御状態から制御状態に復帰する(ステップS609)。
ステップS610おいて、ステップS608のI/Oモジュール111−112に備わるカウンタで示す時間が予め設定された時間をカウントしてないと判断されると、リセット前に待機側であったI/Oモジュールを未制御状態で維持する(ステップS610)。
このようにすることで、操作監視端末5から、フィールド機器401−416に対してリセット操作を行うことで、フィールド機器401−416へ電力供給を中断しても、I/Oモジュール111−112はリセット操作前の稼働状態(稼働側)又は待機状態(待機側)である制御状態を維持し、フィールド機器401−416へ電力供給を再開することができる。
さらに、リセット前に待機側であった一方のモジュールを、予め設定した時間が経過した後、待機側のモジュールとして未制御状態から制御状態に復帰させることにより、I/Oモジュール111−112自身が、二重化されたI/Oモジュール111−112のどちらが稼働側または待機側かどうか判断することができる、すなわち、稼働状態または待機状態かどうか判断することができる。
なお、本実施例では、フィールド機器401−416への電力供給は、二重化されるI/Oモジュール111−112における一方の稼働状態(稼働側)あるモジュールによって行うことと記載されるが、稼働状態(稼働側)、又は、待機状態(待機側)のモジュールの両方から、フィールド機器401−416へ電力供給を行ってもよい。
このように、本実施形態に係る制御装置は、動作管理情報を格納する記憶部と、前記フィールド機器への電力供給を中断するための信号を送信するアプリケーション実行部と、前記信号に基づき、前記入出力モジュールからの電力供給を中断する旨の指示を送信するリセット部と、を具備する。
このような構成にすることにより、本発明の安全計装システムにおける制御装置は、操作監視端末5から、フィールド機器4に対してリセット操作が行われても、I/Oモジュール111−112はリセット操作前の稼働状態(稼働側)又は待機状態(待機側)を維持することができる。そのため、不要なI/Oモジュール111−112に故障おける通知を低減することができるため、プラントのオペレータや保守作業員等はI/Oモジュール111−112の故障に対する対応が迅速に行うことができる。
以上、本発明の実施形態について図面を参照して詳述してきたが、具体的な構成は上述の実施形態に限られるものではなく、この発明の要旨を逸脱しない範囲の設計等も含まれる。例えば、上述の実施形態において説明した各機能は、任意に組み合わせることができる。
1、100 制御装置
4、401−416 フィールド機器
5 操作監視端末
6 エンジニアリング端末
7 制御ネットワーク
8 稼働状態の切り替え抑制機能
81 アプリケーション実行部
82 記憶部
83 リセット部
84 診断部
85 モジュール起動部

Claims (9)

  1. フィールド機器が設置されるプラントにおける、複数の入出力モジュールを介し前記フィールド機器と通信する制御装置であって、2つの前記入出力モジュールのうち、一方を稼働させ、他方を待機させることで前記入出力モジュールの二重化を行う制御装置において、
    動作管理情報を格納する記憶部と、
    前記フィールド機器への電力供給を中断するための信号を送信するアプリケーション実行部と、
    前記信号に基づき、前記入出力モジュールからの電力供給を中断する旨の指示を送信するリセット部と、
    を具備し、
    前記リセット部は、前記信号の受信に基づき、前記動作管理情報に記憶される前記入出力モジュールの制御状態を記憶または更新することを特徴とする制御装置。
  2. 前記動作管理情報は、二重化された前記入出力モジュールの稼働中である状態または待機中である状態を含むことを特徴とする請求項1に記載の制御装置。
  3. 前記動作管理情報は、前記電力供給を中断する旨の指示の送信時点における前記入出力モジュールの稼働中の状態又は待機中の状態、または、前記制御装置とネットワークを介して接続される操作監視端末により前記フィールド機器への電力供給を中断するための操作が行われた時点の前記入出力モジュールの稼働中の状態又は待機中の状態の少なくともいずれかを含むことを特徴とする請求項1または請求項2に記載の制御装置。
  4. 前記二重化された入出力モジュールは、前記電力供給を中断する旨の指示を受信すると、予め設定された時間が経つと前記稼働中である状態における入出力モジュールからの電力供給を中断することを特徴とする請求項1から請求項3のいずれかに記載の制御装置。
  5. 前記制御装置は、
    前記フィールド機器への電力供給を再開するための信号を送信するアプリケーション実行部と、
    前記電力供給を再開するための信号に基づき、前記入出力モジュールからの電力供給を再開する旨の指示を送信するリセット部と、
    予め設定した前記入出力モジュールからの電力供給が中断された状態である時間の経過に基づき、前記入出力モジュールからの電力供給を再開する旨の指示を送信する起動部と、
    を具備することを特徴とする請求項1から4のいずれかに記載の制御装置。
  6. 前記二重化された入出力モジュールは、前記動作管理情報に基づき、前記起動部から前記入出力モジュールからの電力供給を再開する旨の指示を受信すると、前記稼働中であった状態の入出力モジュールからの電力供給を再開することを特徴とする請求項5のいずれかに記載の制御装置。
  7. 前記入出力モジュールは、前記入出力モジュールの前記稼働中である状態又は前記待機中である状態を切り替える制御手段を備え、
    前記動作管理情報は、前記制御手段によって前記入出力モジュールの前記稼働中である状態又は前記待機中である状態を切り替えたことに基づき、前記入出力モジュールに備わるメモリに格納される前記入出力モジュールの前記稼働中である状態又は前記待機中である
    状態を示す情報が記憶または更新されることを特徴とする請求項1から請求項6のいずれかに記載の制御装置。
  8. フィールド機器が設置されるプラントにおける、複数の入出力モジュールを介し前記フィールド機器と通信し、動作管理情報を格納する記憶部を有する制御装置による制御方法であって、2つの前記入出力モジュールのうち、一方を稼働させ、他方を待機させることで前記入出力モジュールの二重化を行う制御方法において、
    前記フィールド機器への電力供給を中断するための信号を送信するステップと、
    前記信号に基づき、前記入出力モジュールからの電力供給を中断する旨の指示を送信するステップと、
    予め設定した前記入出力モジュールからの電力供給が中断された状態である時間の経過に基づき、前記入出力モジュールからの電力供給を再開する旨の指示を送信するステップと、
    前記再開する旨の指示の受信に基づき、前記動作管理情報に記憶される前記入出力モジュールの制御状態を記憶または更新するステップと、
    を含む制御方法。
  9. コンピュータに、
    フィールド機器が設置されるプラントにおける、複数の入出力モジュールを介し前記フィールド機器と通信し、動作管理情報を格納する記憶部を有する制御装置で実行される制御プログラムであって、2つの前記入出力モジュールのうち、一方を稼働させ、他方を待機させることで前記入出力モジュールの二重化を行う制御プログラムにおいて、
    前記フィールド機器への電力供給を中断するための信号を送信するモジュールと、
    前記信号に基づき、前記入出力モジュールからの電力供給を中断する旨の指示を送信するモジュールと、
    予め設定した前記入出力モジュールからの電力供給が中断された状態である時間の経過に基づき、前記入出力モジュールからの電力供給を再開する旨の指示をするモジュールと、
    を含み、
    前記入出力モジュールからの電力供給を中断する旨の指示を送信するモジュールは、前記再開する旨の指示の受信に基づき、前記動作管理情報の前記入出力モジュールにおける制御状態を記憶または更新することを特徴とするプログラム。
JP2017086225A 2017-04-25 2017-04-25 制御装置、制御方法、及び制御プログラム Active JP6787239B2 (ja)

Priority Applications (5)

Application Number Priority Date Filing Date Title
JP2017086225A JP6787239B2 (ja) 2017-04-25 2017-04-25 制御装置、制御方法、及び制御プログラム
EP18727889.0A EP3571556B1 (en) 2017-04-25 2018-04-24 Control apparatus, control method, and program
PCT/JP2018/016679 WO2018199116A1 (en) 2017-04-25 2018-04-24 Control apparatus, control method, and program
CN201880020702.2A CN110462534B (zh) 2017-04-25 2018-04-24 控制装置、控制方法和程序
US16/551,720 US11079826B2 (en) 2017-04-25 2019-08-27 Control apparatus, control method, and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017086225A JP6787239B2 (ja) 2017-04-25 2017-04-25 制御装置、制御方法、及び制御プログラム

Publications (2)

Publication Number Publication Date
JP2018185616A JP2018185616A (ja) 2018-11-22
JP6787239B2 true JP6787239B2 (ja) 2020-11-18

Family

ID=62386882

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017086225A Active JP6787239B2 (ja) 2017-04-25 2017-04-25 制御装置、制御方法、及び制御プログラム

Country Status (5)

Country Link
US (1) US11079826B2 (ja)
EP (1) EP3571556B1 (ja)
JP (1) JP6787239B2 (ja)
CN (1) CN110462534B (ja)
WO (1) WO2018199116A1 (ja)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102017109029A1 (de) * 2017-04-27 2018-10-31 Endress+Hauser Process Solutions Ag Anordnung, Feldbuszugriffseinheit und Verfahren zum Überwachen einer Anlage der Automatisierungstechnik
CN113311695B (zh) * 2021-04-26 2022-08-19 中国船舶重工集团公司第七0三研究所 一种不同控制地点的控制状态自动跟随方法
CN115113612B (zh) * 2022-07-20 2024-06-04 中国核动力研究设计院 一种核电厂dcs系统冗余开关量输出诊断系统及诊断方法
US20240160175A1 (en) * 2022-11-11 2024-05-16 Rockwell Automation Technologies, Inc. High availability redundant power module with i/o input monitoring

Family Cites Families (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0833790B2 (ja) * 1986-12-26 1996-03-29 株式会社東芝 コンピユ−タにおける電源遮断装置
DE69211969T2 (de) * 1991-12-09 1997-01-09 Yokogawa Electric Corp Verteiltes Steuersystem
US6262493B1 (en) * 1999-10-08 2001-07-17 Sun Microsystems, Inc. Providing standby power to field replaceable units for electronic systems
JP3874171B2 (ja) * 2001-12-26 2007-01-31 横河電機株式会社 二重化通信モジュール装置
US7130703B2 (en) * 2003-04-08 2006-10-31 Fisher-Rosemount Systems, Inc. Voter logic block including operational and maintenance overrides in a process control system
JP3808874B2 (ja) * 2004-03-12 2006-08-16 東芝ソリューション株式会社 分散システム及び多重化制御方法
JP4408259B2 (ja) * 2004-12-16 2010-02-03 株式会社日立ハイテクノロジーズ 動作制御システム
JP4776374B2 (ja) * 2005-12-27 2011-09-21 株式会社東芝 二重化監視制御システム、及び同システムの冗長化切替え方法
JP2007293448A (ja) * 2006-04-21 2007-11-08 Hitachi Ltd ストレージシステム及びその電源制御方法
JP4802970B2 (ja) * 2006-10-26 2011-10-26 横河電機株式会社 二重化電流出力装置
JP2008262426A (ja) * 2007-04-12 2008-10-30 Fuji Electric Fa Components & Systems Co Ltd 2重化コントローラシステム、そのコントローラ
JP5210147B2 (ja) * 2008-01-24 2013-06-12 株式会社荏原製作所 給水装置
JP5594116B2 (ja) * 2010-12-15 2014-09-24 富士電機株式会社 入出力二重化装置
US8650419B2 (en) * 2010-12-20 2014-02-11 Hitachi, Ltd. Storage apparatus and its control method
US8972067B2 (en) * 2011-05-11 2015-03-03 General Electric Company System and method for optimizing plant operations
JP5854188B2 (ja) * 2011-06-02 2016-02-09 横河電機株式会社 I/oモジュールおよびそれを用いた2重化システム
CN102355048B (zh) * 2011-09-19 2013-11-13 河北工业大学 智能型双电源自动切换开关及其运行方法
GB2508704B (en) * 2012-10-05 2019-06-26 Fisher Rosemount Systems Inc Safety instrumented process control systems and methods
AU2014376751B2 (en) * 2014-01-10 2017-07-27 Hitachi, Ltd. Redundant system and method for managing redundant system
CN103730951B (zh) * 2014-01-24 2016-04-13 加弘科技咨询(上海)有限公司 一种电源管理系统及其方法
JP6344350B2 (ja) * 2015-09-18 2018-06-20 横河電機株式会社 制御装置

Also Published As

Publication number Publication date
EP3571556B1 (en) 2020-05-13
US20190384371A1 (en) 2019-12-19
JP2018185616A (ja) 2018-11-22
CN110462534B (zh) 2022-05-10
US11079826B2 (en) 2021-08-03
CN110462534A (zh) 2019-11-15
EP3571556A1 (en) 2019-11-27
WO2018199116A1 (en) 2018-11-01

Similar Documents

Publication Publication Date Title
JP6787239B2 (ja) 制御装置、制御方法、及び制御プログラム
JP5638730B1 (ja) モータ制御装置およびモータ制御システム
JP5915627B2 (ja) プロセス制御システム
CN103357136A (zh) 消防作业控制装置及方法
JP6344350B2 (ja) 制御装置
JP7257304B2 (ja) アラーム発報装置およびアラーム発報方法
US10395516B2 (en) Safety instrumented control apparatus and method thereof, and safety instrumented system
JPWO2015151242A1 (ja) モータ制御装置およびモータ制御システム
JP2013090550A (ja) ディジタル保護制御装置
JP2004206212A (ja) 運用監視システム
JPH11296206A (ja) 発電運転システム
JP5481238B2 (ja) ビル監視制御システムおよびビル監視制御方法
KR20150124097A (ko) 안전 모니터링이 가능한 hmi 시스템
JP2005157608A (ja) プラント設備の予防保全支援装置
JP2006285349A (ja) 生産設備管理システム
JP7362261B2 (ja) 監視システムおよび監視システムの運転方法
JP4348161B2 (ja) 火災受信機
JP4774029B2 (ja) 計装制御システム
JP2017068392A (ja) 火災報知設備及び火災受信機
JP2017058901A (ja) 入出力制御装置、入出力制御方法、および監視制御システム
KR20150030795A (ko) 선박 운용 감시 시스템 및 그것의 경보 방법
JP2008282066A (ja) 故障予告リレー
JP2013061864A (ja) 監視システムにおける通報装置
JP2000311014A (ja) 工業用プラントコントローラ
JP2004271225A (ja) ガスメータ及びガスメータの解除受け付け方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190326

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20200515

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200612

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200929

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20201012

R150 Certificate of patent or registration of utility model

Ref document number: 6787239

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250