特許 5854219 プロセス制御システム

(19)【発行国】日本国特許庁(JP)

(12)【公報種別】特許公報(B2)

(11)【特許番号】5854219

(24)【登録日】2015年12月18日

(45)【発行日】2016年2月9日

(54)【発明の名称】プロセス制御システム

(51)【国際特許分類】

   H04L 12/70 20130101AFI20160120BHJP

   H04L 12/713 20130101ALI20160120BHJP

【ＦＩ】

   H04L12/70 100A

   H04L12/713

【請求項の数】3

【全頁数】11

(21)【出願番号】特願2012-12063(P2012-12063)

(22)【出願日】2012年1月24日

(65)【公開番号】特開2013-153267(P2013-153267A)

(43)【公開日】2013年8月8日

【審査請求日】2014年11月28日

(73)【特許権者】

【識別番号】000006507

【氏名又は名称】横河電機株式会社

(72)【発明者】

【氏名】中元 康之

【審査官】 浦口 幸宏

(56)【参考文献】

【文献】 特開２００３−００８５８１（ＪＰ，Ａ）

【文献】 特開平０９−０３６８６２（ＪＰ，Ａ）

(58)【調査した分野】（Int.Cl.，ＤＢ名）

Ｈ０４Ｌ １２／００−１２／２８

１２／４４−１２／９５５

(57)【特許請求の範囲】

【請求項1】

無線フィールド機器と制御システムとの通信経路が、異常を検知するための最大応答待ち時間Ｔａが設定されたゲートウェイで冗長化されたプロセス制御システムにおいて、
前記制御システムは、
前記ゲートウェイへのデータ取得要求に対する所定の応答待ち時間Ｔｂを監視する応答待ち時間監視手段と、
前記所定の応答待ち時間Ｔｂが経過した時点で前記ゲートウェイから応答がない場合には通信経路を切断する通信経路切断手段と、
切断された前記通信経路について再度通信経路の確立要求を行う通信経路確立要求手段と、
前記通信経路再確立要求に対する所定の再確立応答待ち時間Ｔｃを監視する再確立応答待ち時間監視手段と、
前記所定の再確立応答待ち時間Ｔｃが経過した時点で前記ゲートウェイから応答がない場合には異常と判断してアラームを出力する異常判断手段、
を設け、
前記最大応答待ち時間Ｔａと応答待ち時間Ｔｂと再確立応答待ち時間Ｔｃは、次式で示す関係を満たすように設定されていることを特徴とするプロセス制御システム。
最大応答待ち時間Ｔａ≧応答待ち時間Ｔｂ＋再確立応答待ち時間Ｔｃ

【請求項2】

前記無線フィールド機器は、前記制御システムに測定データを送信する伝送器であることを特徴とする請求項１に記載のプロセス制御システム。

【請求項3】

前記無線フィールド機器は、前記制御システムから出力される操作信号により駆動される操作端末であることを特徴とする請求項１に記載のプロセス制御システム。

【発明の詳細な説明】

【技術分野】

【0001】

本発明は、プロセス制御システムに関し、詳しくは、フィールド機器と制御システムとの通信を無線で行うように構成されたプロセス制御システムの改良に関する。

【0002】

プロセス制御システムにおけるフィールド機器と制御システムとの通信は、２線式の信号線による４〜２０ｍＡのアナログ通信→４〜２０ｍＡのアナログ通信にデジタル信号が重畳されたHART(登録商標)などのハイブリッド通信→FOUNDATION Fieldbus(登録商標)やPROFIBUS(登録商標)などのデジタル通信を経て、国際計測制御学会（ISA: International Society of Automation）のISA100委員会により策定され２００９年９月に発行されたインダストリアルオートメーション用無線通信規格ISA100.11aに代表される無線へと進化してきた。

【0003】

ハイブリッド通信やデジタル通信により、プラント操業で利用できる情報量が飛躍的に増大した結果、機器が発信する複数のプロセス量や診断結果などの多様な情報をＤＣＳ（Distributed Control System：分散制御システム）や機器管理システムなどの上位システムに伝えることができるようになり、設備管理や予知保全などが可能になった。

【0004】

フィールド機器と制御システム間の通信を無線化するフィールド無線技術は、これらに加え、配線やエンジニアリングコストを削減できる、配線が困難な場所にも機器の設置が可能 になる、機器の追加や削除が容易であるなど、多くのメリットを持つことから、これらのメリットを活用することで、今まで不可能とされていたことを可能にする計装の実現が期待できる。

【0005】

図４は、ISA100.11aに準拠したシステム構成の一例を示すブロック図である。無線ネットワーク１は、たとえば４台の無線フィールド機器２ａ〜２ｄで構成されている。これら無線フィールド機器２ａ〜２ｄは、従来からプロセス制御システムで用いられている伝送器や操作端末などのフィールド機器に無線通信機能が付加されたものである。

【0006】

バックボーンルータ３は、無線フィールド機器２ａ〜２ｄの相互間および無線フィールド機器２ａ〜２ｄとゲートウェイ５を相互に接続するための機能を持つものであり、たとえば３台のバックボーンルータ３ａ〜３ｃがバックボーンネットワーク４に接続されている。これらバックボーンルータ３ａ〜３ｃは、無線フィールド機器２ａ〜２ｄをバックボーンネットワーク４に接続するためのアクセスポイント機能、ゲートウェイ５と接続するためのインタフェース機能、バックボーンネットワーク４を経由して無線フィールド機器２ａ〜２ｄが通信するためのルーティング機能などを有する。

【0007】

バックボーンネットワーク４の通信プロトコルとしては、たとえばIP(Internet Protocol)を用いる。

【0008】

ゲートウェイ５は、ＤＣＳ１０などの上位システムとISA100.11aに基づく無線ネットワーク１間をインタフェースする機能を有するものである。図４の例では、バックボーンネットワーク４とコントロールネットワーク９の間に２台のゲートウェイ５ａ、５ｂが接続されていて、上位システムのアプリケーションに依存した処理を行う。

【0009】

ゲートウェイ５ａ、５ｂには、それぞれModbusサーバ６ａ、６ｂが実装されている。無線フィールド機器２ａ〜２ｄの測定データは、バックボーンルータ３ａ〜３ｃを介してゲートウェイ５ａ、５ｂに通知され、ゲートウェイ５ａ、５ｂ内に実装されているModbusサーバ６ａ、６ｂに転送格納される。これらModbusサーバ６ａ、６ｂに転送格納された測定データは、ModbusクライアントであるＤＣＳ１０からのデータ取得要求に応じてＤＣＳ１０に転送出力される。

【0010】

ゲートウェイ５ａ、５ｂとＤＣＳ１０などの上位システムとは、メタルまたは光メディアに対応したイーサネット(登録商標)の100BASE-TXや100BASE-FXなどで接続される。光メディアを使用することにより、電磁ノイズが大きな環境でも安定した通信が行える。

【0011】

ゲートウェイ５ａ、５ｂとＤＣＳ１０との通信プロトコルとしては、たとえばModbus/TCP(Modbus/Transmission Control Protocol)を用いる。Modbus/TCPは、イーサネットのTCP/IPプロトコル上にModbusプロトコルが実装されたものであり、産業界で広く使用されている。

【0012】

バックボーンネットワーク４には、システムマネージャ７とセキュリティマネージャ８も接続されている。

【0013】

システムマネージャ７は、無線フィールド機器２ａ〜２ｄの通信周期、通信エラー処理など、ISA100.11aに基づく無線ネットワーク１の動作を統括して制御する機能を有している。

【0014】

セキュリティマネージャ８は、システムマネージャ７と連係してフィールド無線通信のセキュリティを確保する機能を有するものであり、セキュリティ鍵の配布や更新、機器の認証などの管理を行う。

【0015】

なお、ISA100.11aで規定されているこれらゲートウェイとシステムマネージャとセキュリティマネージャとバックボーンルータを含む４つの機能が一体化された一体型ゲートウェイも実用化されている。

【0016】

図４の構成によれば、無線フィールド機器２ａ〜２ｄとＤＣＳ１０との間の通信経路は３台のバックボーンルータ３ａ〜３ｃで冗長化されることになり、無線フィールド機器２ａ〜２ｄとバックボーンルータ３ａ〜３ｃとの間の無線通信経路も冗長化されることになる。ISA100.11aは、通信の信頼性を高めるためのさまざまな基本機能を規定しているといえる。

【0017】

なお、図４では図示していないが、冗長化されているゲートウェイ５ａ、５ｂにVIP（Virtual IP）機能を設けることにより、ModbusクライアントであるＤＣＳ１０は、ゲートウェイ５ａ、５ｂの制御権が切り替わってもゲートウェイ５がシングル構成であるか冗長化されているかを意識することなく常に１つのIPアドレスに対して通信すればよい通信環境を構築でき、ＤＣＳ１０の実装を簡略化できる。

【0018】

非特許文献１には、ISA100.11aに準拠したフィールド無線ソリューションのコンセプトと、ＤＣＳを中心としたフィールド無線システムのコンセプトが記載されている。

【0019】

非特許文献２には、ISA100.11aに準拠した無線フィールド機器およびフィールド無線システムに関連する技術が記載されている。

【0020】

特許文献１には、アドレス可能な冗長ゲートウェイを介して他のシステムにアクセスするシステムにおける接続確立を簡略化するための技術が記載されている。

【0021】

特許文献２には、二重化ゲートウェイを交互に使用することにより、二重化されたゲートウェイの故障を早期に検知する技術が記載されている。

【先行技術文献】

【非特許文献】

【0022】

【非特許文献1】山本 周二、外２名、「計装を革新するISA100.11a準拠フィールド無線ソリューション」、横河技報、横河電機株式会社、２０１０年、Ｖｏｌ．５３ Ｎｏ．２（２０１０） ｐ．７−ｐ．１２

【非特許文献2】山本 周二、外３名、「世界初ISA100.11a準拠無線フィールド機器」、横河技報、横河電機株式会社、２０１０年、Ｖｏｌ．５３ Ｎｏ．２（２０１０） ｐ．１３−ｐ．１６

【特許文献】

【0023】

【特許文献1】特表２００８−５０２２１６号公報

【特許文献2】特開平１０−２８５２０２号公報

【発明の概要】

【発明が解決しようとする課題】

【0024】

図５は、図４における各部の動作説明図である。図５において、一方のゲートウェイ５ａは現在制御権を有していて制御状態にあり、他方のゲートウェイ５ｂは待機状態にあるものとする。

【0025】

ModbusクライアントであるＤＣＳ１０は、制御側のゲートウェイ５ａに対してVIPアドレスを送信し、通信経路の確立を要求する（Ｓ１）。ゲートウェイ５ａは、ＤＣＳ１０からの通信経路の確立要求に対し、問題がなければ通信経路確立要求ＯＫを返信する（Ｓ２）。ＤＣＳ１０は、ゲートウェイ５ａからの通信経路確立要求ＯＫの返信を確認すると、ゲートウェイ５ａに対してデータ取得要求を送信する（Ｓ３）。ゲートウェイ５ａは、ＤＣＳ１０からのデータ取得要求に対し、問題がなければデータ取得要求ＯＫを返信するとともに、測定データも送信する（Ｓ４）。以降、ＤＣＳ１０とゲートウェイ５ａは、正常に動作している状態では、データ取得要求と通信経路確立要求ＯＫおよび測定データの授受を繰り返す（Ｓ５、Ｓ６）。

【0026】

ところが、ゲートウェイ５ａに故障が発生すると、ＤＣＳ１０からのデータ取得要求に対し（Ｓ７）、データ取得要求ＯＫを返信できなくなる。待機側のゲートウェイ５ｂは制御側のゲートウェイ５ａの状態を常時監視していて、制御側のゲートウェイ５ａが故障したと認識すると、制御系統の接続を切り替えて制御権を得る（Ｓ８）。これにより、他方のゲートウェイ５ｂが制御状態になる。なお、これらゲートウェイ５の応答時間は最大応答待ち時間（たとえば４sec）に比べて十分短い時間（たとえば25msec未満）に設計されている。また、ゲートウェイ５の切り替わり時間はたとえば最大１secとする。

【0027】

一方、ＤＣＳ１０は、最大応答待ち時間を超えてゲートウェイ５ａから応答がない場合にはゲートウェイ５ａが故障したと認識し、測定データが正しく取得できなかったことを意味するアラームをユーザに通知する（Ｓ９）。

【0028】

このように制御権がゲートウェイ５ａから５ｂに切り替わる過程において、ModbusクライアントであるＤＣＳ１０とゲートウェイ５ａ間の通信経路は切断される（Ｓ１０）。そこで、ＤＣＳ１０は新しく制御状態になったゲートウェイ５ｂに対してVIPアドレスを送信し、通信経路の確立を要求する（Ｓ１１）。ゲートウェイ５ｂは、ＤＣＳ１０からの通信経路の確立要求に対し、問題がなければ通信経路確立要求ＯＫを返信する（Ｓ１２）。ＤＣＳ１０は、ゲートウェイ５ｂからの通信経路確立要求ＯＫの返信を確認すると、ゲートウェイ５ｂに対してデータ取得要求を送信する（Ｓ１３）。ゲートウェイ５ｂは、ＤＣＳ１０からのデータ取得要求に対し、問題がなければデータ取得要求ＯＫを返信するとともに、測定データも送信する（Ｓ１４）。なお、ユーザに対するアラーム通知は、新しく制御状態になったゲートウェイ５ｂからの測定データ取得が完了するまで継続して行われる（Ｓ１５）。

【0029】

しかし、図４のようにゲートウェイが冗長化されたシステムにおいて、Modbusクライアントはゲートウェイが冗長化されているかどうかを意識していないため、制御側のゲートウェイが故障した場合には待機側のゲートウェイが新制御側となるものの、最大応答待ち時間に基づいて制御側のゲートウェイの異常を検出してしまい、最大応答待ち時間中における最新の測定データを取得できなくなる。

【0030】

また、無線フィールド機器２がＤＣＳ１０から出力される操作信号により駆動されるバルブなどの操作端末の場合には、操作信号出力が中断してしまうことになる。

【0031】

本発明は、このような従来の問題点に着目したものであり、その目的は、冗長化されているゲートウェイの一方が故障して他方に切り替わった場合でも、無線フィールド機器と制御システムとの間で継続して信号の授受が行えるプロセス制御システムを提供することにある。

【課題を解決するための手段】

【0032】

このような課題を達成する請求項１の発明は、
無線フィールド機器と制御システムとの通信経路が、異常を検知するための最大応答待ち時間Ｔａが設定されたゲートウェイで冗長化されたプロセス制御システムにおいて、
前記制御システムは、
前記ゲートウェイへのデータ取得要求に対する所定の応答待ち時間Ｔｂを監視する応答待ち時間監視手段と、
前記所定の応答待ち時間Ｔｂが経過した時点で前記ゲートウェイから応答がない場合には通信経路を切断する通信経路切断手段と、
切断された前記通信経路について再度通信経路の確立要求を行う通信経路確立要求手段と、
前記通信経路再確立要求に対する所定の再確立応答待ち時間Ｔｃを監視する再確立応答待ち時間監視手段と、
前記所定の再確立応答待ち時間Ｔｃが経過した時点で前記ゲートウェイから応答がない場合には異常と判断してアラームを出力する異常判断手段、
を設け、
前記最大応答待ち時間Ｔａと応答待ち時間Ｔｂと再確立応答待ち時間Ｔｃは、次式で示す関係を満たすように設定されていることを特徴とするプロセス制御システムである。
最大応答待ち時間Ｔａ≧応答待ち時間Ｔｂ＋再確立応答待ち時間Ｔｃ

【0034】

請求項２の発明は、請求項１に記載のプロセス制御システムにおいて、
前記無線フィールド機器は、前記制御システムに測定データを送信する伝送器であることを特徴とする。

【0035】

請求項３の発明は、請求項１に記載のプロセス制御システムにおいて、
前記無線フィールド機器は、前記制御システムから出力される操作信号により駆動される操作端末であることを特徴とする。

【発明の効果】

【0036】

これらにより、冗長化されているゲートウェイ間で制御権の切り替わりが発生しても、無線フィールド機器の測定データを継続して取得したり、無線フィールド機器に対する操作信号を継続して伝送できる。そして、両方のゲートウェイが故障している場合には、従来と同様に、最大応答待ち時間経過後に、ユーザにゲートウェイの故障を表すアラームを出力できる。

【図面の簡単な説明】

【0037】

【図1】本発明の一実施例を示すブロック図である。

【図2】図１における各部の動作説明図である。

【図3】図１の動作の流れを説明するフローチャートである。

【図4】従来のシステム構成の一例を示すブロック図である。

【図5】図４における各部の動作説明図である。

【発明を実施するための最良の形態】

【0038】

以下、本発明について、図面を用いて説明する。図１は本発明の一実施例を示すブロック図であり、図４と共通する部分には同一の符号を付けている。図１と図４の相違点は、図１の制御システムとして動作するＤＣＳ１０には、本発明に基づく所定の機能ブロックを設けていることである。

【0039】

図１において、ＤＣＳ１０には、応答待ち時間監視部１１と、通信経路切断部１２と、通信経路再確立要求部１３と、再確立応答待ち時間監視部１４と、異常判断部１５が設けられている。

【0040】

図２は図１における各部の動作説明図であり、図５と共通する部分には同一の符号を付けている。なお、図２において、一方のゲートウェイ５ａは現在制御権を有していて制御状態にあり、他方のゲートウェイ５ｂは待機状態にあるものとする。

【0041】

制御システムとして動作しModbusクライアントでもあるＤＣＳ１０は、制御側のゲートウェイ５ａに対してVIPアドレスを送信し、通信経路の確立を要求する（Ｓ１）。ゲートウェイ５ａは、ＤＣＳ１０からの通信経路の確立要求に対し、問題がなければ通信経路確立要求ＯＫを返信する（Ｓ２）。ＤＣＳ１０は、ゲートウェイ５ａからの通信経路確立要求ＯＫの返信を確認すると、ゲートウェイ５ａに対してデータ取得要求を送信する（Ｓ３）。ゲートウェイ５ａは、ＤＣＳ１０からのデータ取得要求に対し、問題がなければデータ取得要求ＯＫを返信するとともに、測定データも送信する（Ｓ４）。以降、ＤＣＳ１０とゲートウェイ５ａは、正常に動作している状態では、データ取得要求と通信経路確立要求ＯＫおよび測定データの授受を繰り返す（Ｓ５、Ｓ６）。

【0042】

ところが、ゲートウェイ５ａに故障が発生すると、ＤＣＳ１０からのデータ取得要求に対し（Ｓ７）、データ取得要求ＯＫを返信できなくなる。待機側のゲートウェイ５ｂは制御側のゲートウェイ５ａの状態を常時監視していて、制御側のゲートウェイ５ａが故障したと認識すると、制御系統の接続を切り替えて制御権を得る（Ｓ８）。これにより、他方のゲートウェイ５ｂが制御状態になる。なお、これらゲートウェイ５の応答時間は最大応答待ち時間Ｔａ（たとえば４sec）に比べて十分短い時間（たとえば25msec未満）に設計されている。また、ゲートウェイ５の切り替わり時間はたとえば最大１secとする。

【0043】

ＤＣＳ１０の応答待ち時間監視部１１は、ゲートウェイ５ａへのデータ取得要求に対する所定の応答待ち時間Ｔｂの経過を監視する。通信経路切断部１２は、応答待ち時間監視部１１が監視している所定の応答待ち時間Ｔｂが経過した時点でゲートウェイ５ａから応答がないことを確認して通信経路を切断する（Ｓ１０）。

【0044】

通信経路確立要求部１３は、新しく制御状態になったゲートウェイ５ｂに対してVIPアドレスを送信し、通信経路の再確立を要求する（Ｓ１１）。ゲートウェイ５ｂは、ＤＣＳ１０からの通信経路の再確立要求に対し、問題がなければ通信経路確立要求ＯＫを返信する（Ｓ１２）。

【0045】

再確立応答待ち時間監視部１４は、通信経路再確立要求に対する所定の再確立応答待ち時間Ｔｃの経過を監視する。異常判断部１５は、再確立応答待ち時間監視部１４が監視している所定の再確立応答待ち時間Ｔｃが経過した時点でゲートウェイ５ｂから応答がないことを確認すると異常と判断してアラームを出力するが、図２では異常と判断していないのでアラーム出力は図示しない。

【0046】

なお、これら最大応答待ち時間Ｔａと応答待ち時間Ｔｂと再確立応答待ち時間Ｔｃは、次式で示す関係が成立するように設定されている。
最大応答待ち時間Ｔａ≧応答待ち時間Ｔｂ＋再確立応答待ち時間Ｔｃ

【0047】

ＤＣＳ１０は、ゲートウェイ５ｂからの通信経路確立要求ＯＫの返信を確認すると、ゲートウェイ５ｂに対してデータ取得要求を送信する（Ｓ１３）。ゲートウェイ５ｂは、ＤＣＳ１０からのデータ取得要求に対し、問題がなければデータ取得要求ＯＫを返信するとともに、測定データも送信する（Ｓ１４）。

【0048】

図３は、図１の動作の流れを説明するフローチャートである。ＤＣＳ１０は、制御権を有するゲートウェイ５に対してデータ取得要求を送信した後（Ｓ１）、データ取得要求に対するゲートウェイ５からの応答受信の有無を確認する（Ｓ２）。ゲートウェイ５からの応答を受信できた場合は、応答内容には関係なくゲートウェイ５は正常に動作していることを意味するので、引き続きデータ取得要求を実行する。

【0049】

データ取得要求に対するゲートウェイ５からの応答受信が確認できない場合、データ取得要求送信後の待ち時間が所定の応答待ち時間Ｔｂを超えたか否かを確認し（Ｓ３）、超えたら一旦通信経路を切断する（Ｓ４）。

【0050】

通信経路切断後、再度、制御権を有するゲートウェイ５に対して通信経路確立要求を実施し（Ｓ５）、通信経路再確立要求に対するゲートウェイ５からの応答受信の有無を確認する（Ｓ６）。

【0051】

通信経路再確立要求に対するゲートウェイ５からの応答受信が確認できた場合、その応答が正常か否かを確認する（Ｓ７）。正常と確認したらゲートウェイ５の切り替わりが完了して新しいゲートウェイとの通信路が確立されたと判断し、ステップＳ１以降の一連の処理を実行して新しいゲートウェイ５から測定データを受信する。通信経路再確立要求に対するゲートウェイ５からの応答受信を異常と確認したら、ユーザに異常を通知する（Ｓ８）。

【0052】

通信経路再確立要求に対するゲートウェイ５からの応答受信が確認できない場合、通信経路再確立要求送信後の待ち時間が所定の再確立時間Ｔｃを超えたか否かを確認する（Ｓ９）。所定の再確立時間Ｔｃを超えたらゲートウェイ５が異常であると判断し、ユーザにデータが取得できなかったことを意味する異常を通知する（Ｓ８）。

【0053】

このように、図３のステップＳ１→Ｓ２→Ｓ３→Ｓ４→Ｓ５→Ｓ６→Ｓ７→Ｓ１・・のループ処理を実行することにより、ユーザは冗長化されているゲートウェイ５の一方が故障しても他方を介して測定データを継続して取り込むことができる。

【0054】

そして、冗長化されているゲートウェイ５の両方が故障している場合あるいはシングル構成の場合には、ステップＳ１→Ｓ２→Ｓ３→Ｓ４→Ｓ５→Ｓ６→Ｓ９→Ｓ８の処理を実行することにより、従来と同様に、最大応答待ち時間Ｔａ（≧応答待ち時間Ｔｂ＋再確立応答待ち時間Ｔｃ）の経過後にユーザに異常を通知することができる。

【0055】

なお、上記実施例では、無線フィールド機器２が、制御システムであるＤＣＳ１０に測定データを送信する伝送器の例について説明したが、伝送器に限るものではなく、ModbusクライアントであるＤＣＳ１０から出力される操作信号により駆動されるバルブなどの操作端末であっても、冗長化されているゲートウェイが切り替わった場合に同様の処理手順にしたがって操作信号を伝送することができる。

【0056】

以上説明したように、本発明によれば、冗長化されているゲートウェイの一方が故障して他方に切り替わった場合でも無線フィールド機器と制御システムとの間で継続して信号の授受が行えるプロセス制御システムが実現でき、プロセス制御システムを安定に駆動できる。

【符号の説明】

【0057】

１ 無線ネットワーク
２ 無線フィールド機器
３ バックボーンルータ
４ バックボーンネットワーク
５ ゲートウェイ
６ Modbusサーバ
７ システムマネージャ
８ セキュリティマネージャ
９ コントロールネットワーク
１０ ＤＣＳ
１１ 応答待ち時間監視部
１２ 通信経路切断部
１３ 通信経路再確立要求部
１４ 再確立応答待ち時間監視部
１５ 異常判断部

【図1】

【図2】

【図3】

【図4】

【図5】