知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】6483735
(24)【登録日】2019年2月22日
(45)【発行日】2019年3月13日
(54)【発明の名称】水素燃料補給ステーション用制御システム
(51)【国際特許分類】
F17C 13/02 20060101AFI20190304BHJP
【FI】
F17C13/02 301Z
【請求項の数】31
【外国語出願】
【全頁数】26
(21)【出願番号】特願2017-34806(P2017-34806)
(22)【出願日】2017年2月27日
(65)【公開番号】特開2017-166693(P2017-166693A)
(43)【公開日】2017年9月21日
【審査請求日】2017年6月8日
(31)【優先権主張番号】PA 2016 70112
(32)【優先日】2016年2月26日
(33)【優先権主張国】DK
(31)【優先権主張番号】PA 2016 70123
(32)【優先日】2016年3月2日
(33)【優先権主張国】DK
(73)【特許権者】
【識別番号】517064016
【氏名又は名称】ネル ハイドロジェン アクティーゼルスカブ
(74)【代理人】
【識別番号】100099759
【弁理士】
【氏名又は名称】青木 篤
(74)【代理人】
【識別番号】100102819
【弁理士】
【氏名又は名称】島田 哲郎
(74)【代理人】
【識別番号】100123582
【弁理士】
【氏名又は名称】三橋 真二
(74)【代理人】
【識別番号】100141081
【弁理士】
【氏名又は名称】三橋 庸良
(74)【代理人】
【識別番号】100147555
【弁理士】
【氏名又は名称】伊藤 公一
(72)【発明者】
【氏名】ヘンレク ヒラゲ モーデンスン
(72)【発明者】
【氏名】クラウス ドゥーウ スィンディング
(72)【発明者】
【氏名】イェスパ ニスン ボイスン
【審査官】
宮崎 基樹
(56)【参考文献】
【文献】
特開2008−019996(JP,A)
【文献】
特開2005−265067(JP,A)
【文献】
特開平08−068497(JP,A)
【文献】
特開2007−239956(JP,A)
【文献】
特開平10−169896(JP,A)
【文献】
米国特許出願公開第2013/0139897(US,A1)
(58)【調査した分野】(Int.Cl.,DB名)
F17C 1/00−13/12
(57)【特許請求の範囲】
【請求項1】
車両(3)の容器(2)を水素で充填するための水素燃料補給ステーション(HRS)(1)であって、前記水素燃料補給ステーション(1)は、
水素供給源と、
前記車両(3)の前記容器(2)に流体的に接続可能な、水素取出し口と、
基本プロセス制御システムであって、プロセスコントローラ(13)と、複数のプロセス測定装置(18a)と、複数の最終プロセス要素(20a)と、前記水素燃料補給ステーション(1)の作動の監視及び制御を容易にする、関連する複数の基本プロセス制御機能と、を備える、基本プロセス制御システムと、
を備え、
前記水素燃料補給ステーション(1)は、更に、安全計装システムを備え、前記安全計装システムは、安全コントローラ(12)と、複数の安全測定装置(18b)と、複数の最終安全要素(20b)と、関連する複数の安全計装機能と、を備え、
前記最終プロセス要素(20a)と前記最終安全要素(20b)との少なくとも1つは、関連する前記プロセスコントローラ(13)又は関連する前記安全コントローラ(12)それぞれの制御のもとで、前記水素燃料補給ステーション(1)の前記作動のトリップを容易にしている、
水素燃料補給ステーション(1)。
水素供給源と、
前記車両(3)の前記容器(2)に流体的に接続可能な、水素取出し口と、
基本プロセス制御システムであって、プロセスコントローラ(13)と、複数のプロセス測定装置(18a)と、複数の最終プロセス要素(20a)と、前記水素燃料補給ステーション(1)の作動の監視及び制御を容易にする、関連する複数の基本プロセス制御機能と、を備える、基本プロセス制御システムと、
を備え、
前記水素燃料補給ステーション(1)は、更に、安全計装システムを備え、前記安全計装システムは、安全コントローラ(12)と、複数の安全測定装置(18b)と、複数の最終安全要素(20b)と、関連する複数の安全計装機能と、を備え、
前記最終プロセス要素(20a)と前記最終安全要素(20b)との少なくとも1つは、関連する前記プロセスコントローラ(13)又は関連する前記安全コントローラ(12)それぞれの制御のもとで、前記水素燃料補給ステーション(1)の前記作動のトリップを容易にしている、
水素燃料補給ステーション(1)。
【請求項2】
基本プロセス制御機能の数は、安全計装機能の数よりも大きい、
請求項1に記載の水素燃料補給ステーション(1)。
請求項1に記載の水素燃料補給ステーション(1)。
【請求項3】
前記安全計装機能は、前記基本プロセス制御機能に入力を提供している、
請求項1又は2に記載の水素燃料補給ステーション(1)。
請求項1又は2に記載の水素燃料補給ステーション(1)。
【請求項4】
前記基本プロセス制御機能への入力が、前記水素燃料補給ステーション(1)の作動のモードを変更するために、好ましくは、前記水素燃料補給ステーション(1)の作動を停止するために、使用されている、
請求項1〜3のいずれか1項に記載の水素燃料補給ステーション(1)。
請求項1〜3のいずれか1項に記載の水素燃料補給ステーション(1)。
【請求項5】
前記安全コントローラ(12)と前記プロセスコントローラとは、独立しているマイクロプロセッサを備えている、
請求項1〜4のいずれか1項に記載の水素燃料補給ステーション(1)。
請求項1〜4のいずれか1項に記載の水素燃料補給ステーション(1)。
【請求項6】
前記車両の前記容器を充填するときの前記水素の温度は、マイナス10℃より低く、好ましくは、マイナス30℃よりも低く、最も好ましくは、マイナス33℃とマイナス43℃との間である、
請求項1〜5のいずれか1項に記載の水素燃料補給ステーション(1)。
請求項1〜5のいずれか1項に記載の水素燃料補給ステーション(1)。
【請求項7】
前記車両の前記容器の燃料補給の端部側における前記水素の圧力は、500バール以上、好ましくは、750バール以上、最も好ましくは、875バール以下である、
請求項1〜6のいずれか1項に記載の水素燃料補給ステーション(1)。
請求項1〜6のいずれか1項に記載の水素燃料補給ステーション(1)。
【請求項8】
前記水素燃料補給ステーション(1)は、車両(3)の容器(2)を水素で充填することを容易にし、前記水素燃料補給ステーション(1)は、
水素供給源と、
前記車両(3)の前記容器(2)に接続可能な、水素取出し口と、
前記水素燃料補給ステーション(1)の前記作動を監視及び制御するように構成されている、プロセスコントローラ(13)と、
を備え、
第1のパラメータの値は、プロセス測定装置(18a)により測定され、前記水素燃料補給ステーション(1)を制御するための前記プロセスコントローラ(13)への入力として使用され、
前記プロセスコントローラ(13)による前記水素燃料補給ステーション(1)の前記制御は、前記第1のパラメータのプロセス評価に基づいて前記水素燃料補給ステーション(1)の前記作動を停止することを含み、
前記水素燃料補給ステーション(1)は、安全コントローラ(12)を更に備え、前記安全コントローラ(12)は、前記水素燃料補給ステーション(1)の複数のパラメータを監視し、前記水素燃料補給ステーション(1)を少なくとも部分的に制御するように構成されており、
前記第1のパラメータの前記値は、安全測定装置(18b)によっても測定され、前記安全コントローラ(12)への入力として使用され、
前記安全コントローラ(12)は、前記第1のパラメータの安全評価を行い、
前記安全コントローラ(12)の前記制御は、前記第1のパラメータの前記値の前記安全評価に基づいて、最終安全要素(20b)の状態を変更することにより、前記水素燃料補給ステーション(1)の、作動の通常モードから作動の非通常モードへの変化を容易にしている、
請求項1〜7のいずれか1項に記載の水素燃料補給ステーション(1)。
水素供給源と、
前記車両(3)の前記容器(2)に接続可能な、水素取出し口と、
前記水素燃料補給ステーション(1)の前記作動を監視及び制御するように構成されている、プロセスコントローラ(13)と、
を備え、
第1のパラメータの値は、プロセス測定装置(18a)により測定され、前記水素燃料補給ステーション(1)を制御するための前記プロセスコントローラ(13)への入力として使用され、
前記プロセスコントローラ(13)による前記水素燃料補給ステーション(1)の前記制御は、前記第1のパラメータのプロセス評価に基づいて前記水素燃料補給ステーション(1)の前記作動を停止することを含み、
前記水素燃料補給ステーション(1)は、安全コントローラ(12)を更に備え、前記安全コントローラ(12)は、前記水素燃料補給ステーション(1)の複数のパラメータを監視し、前記水素燃料補給ステーション(1)を少なくとも部分的に制御するように構成されており、
前記第1のパラメータの前記値は、安全測定装置(18b)によっても測定され、前記安全コントローラ(12)への入力として使用され、
前記安全コントローラ(12)は、前記第1のパラメータの安全評価を行い、
前記安全コントローラ(12)の前記制御は、前記第1のパラメータの前記値の前記安全評価に基づいて、最終安全要素(20b)の状態を変更することにより、前記水素燃料補給ステーション(1)の、作動の通常モードから作動の非通常モードへの変化を容易にしている、
請求項1〜7のいずれか1項に記載の水素燃料補給ステーション(1)。
【請求項9】
前記プロセス測定装置及び安全測定装置(18a、18b)により測定される第1のパラメータは、前記水素供給源と前記水素取出し口との間の水素流路において測定され、前記第1のパラメータは、圧力、水素の流量、弁の位置、温度、及び時間を含むリストから選択されている、
請求項1〜8のいずれか1項に記載の水素燃料補給ステーション(1)。
請求項1〜8のいずれか1項に記載の水素燃料補給ステーション(1)。
【請求項10】
前記プロセスコントローラ(13)と前記安全コントローラ(12)との間の通信は、前記安全コントローラ(12)から前記プロセスコントローラ(13)への一方向である、
請求項1〜9のいずれか1項に記載の水素燃料補給ステーション(1)。
請求項1〜9のいずれか1項に記載の水素燃料補給ステーション(1)。
【請求項11】
前記安全コントローラ(12)は、第1のパラメータの値の安全評価がその限界を超えていると判断されていると同時に、前記水素燃料補給ステーション(1)が通常作動モードで作動されている場合、前記プロセスコントローラ(13)に停止信号を通信する、
請求項1〜10のいずれか1項に記載の水素燃料補給ステーション(1)。
請求項1〜10のいずれか1項に記載の水素燃料補給ステーション(1)。
【請求項12】
前記プロセスコントローラと前記安全コントローラとは、同じ最終要素(20)を制御している、
請求項1〜11のいずれか1項に記載の水素燃料補給ステーション(1)。
請求項1〜11のいずれか1項に記載の水素燃料補給ステーション(1)。
【請求項13】
前記プロセス測定装置及び安全測定装置(18a、18b)は、第1のパラメータを、同じ位置で監視している、
請求項1〜12のいずれか1項に記載の水素燃料補給ステーション(1)。
請求項1〜12のいずれか1項に記載の水素燃料補給ステーション(1)。
【請求項14】
前記プロセス測定装置及び安全測定装置(18a、18b)は、同じ筐体内に位置している、
請求項1〜13のいずれか1項に記載の水素燃料補給ステーション(1)。
請求項1〜13のいずれか1項に記載の水素燃料補給ステーション(1)。
【請求項15】
前記安全コントローラ(12)は、前記水素燃料補給ステーション(1)の通常作動の間は、常にアクティブである、
請求項1〜14のいずれか1項に記載の水素燃料補給ステーション(1)。
請求項1〜14のいずれか1項に記載の水素燃料補給ステーション(1)。
【請求項16】
前記安全コントローラ(12)は、作動不可とすることができる、
請求項1〜15のいずれか1項に記載の水素燃料補給ステーション(1)。
請求項1〜15のいずれか1項に記載の水素燃料補給ステーション(1)。
【請求項17】
前記安全コントローラ(12)は、前記プロセスコントローラ(13)の安全レベル以上の安全レベルである、
請求項1〜16のいずれか1項に記載の水素燃料補給ステーション(1)。
請求項1〜16のいずれか1項に記載の水素燃料補給ステーション(1)。
【請求項18】
前記安全測定装置(18b)は、前記プロセス測定装置(18a)の安全レベル以上の安全レベルである、
請求項1〜17のいずれか1項に記載の水素燃料補給ステーション(1)。
請求項1〜17のいずれか1項に記載の水素燃料補給ステーション(1)。
【請求項19】
前記プロセス測定装置と安全測定装置(18a、18b)とは、異なる製品である、
請求項1〜18のいずれか1項に記載の水素燃料補給ステーション(1)。
請求項1〜18のいずれか1項に記載の水素燃料補給ステーション(1)。
【請求項20】
作動の通常モードから非通常モードへの変化は、少なくとも1つの最終安全要素(20b)により、前記水素燃料補給ステーション(1)の前記作動をトリップすることにより行われている、
請求項1〜19のいずれか1項に記載の水素燃料補給ステーション(1)。
請求項1〜19のいずれか1項に記載の水素燃料補給ステーション(1)。
【請求項21】
前記水素燃料補給ステーション(1)の前記トリップは、前記安全コントローラ(12)単独により作動される最終安全要素(20b)によって行われている、
請求項1〜20のいずれか1項に記載の水素燃料補給ステーション(1)。
請求項1〜20のいずれか1項に記載の水素燃料補給ステーション(1)。
【請求項22】
前記安全コントローラ(12)により行われる第1のパラメータの値の安全評価は、前記値が、定義された閾値を超えるか、又は下回るか、を監視することを備えている、
請求項1〜21のいずれか1項に記載の水素燃料補給ステーション(1)。
請求項1〜21のいずれか1項に記載の水素燃料補給ステーション(1)。
【請求項23】
閾値が、前記水素燃料補給ステーション(1)の作動中に動的に決定されている、
請求項1〜22のいずれか1項に記載の水素燃料補給ステーション(1)。
請求項1〜22のいずれか1項に記載の水素燃料補給ステーション(1)。
【請求項24】
前記安全コントローラ(12)は、前記水素燃料補給ステーション(1)の前記作動のトリップに使用される最終プロセス要素(20a)の制御を行っている、
請求項1〜23のいずれか1項に記載の水素燃料補給ステーション(1)。
請求項1〜23のいずれか1項に記載の水素燃料補給ステーション(1)。
【請求項25】
前記安全コントローラのプログラムソフトウェアは、前記プロセスコントローラのプログラムソフトウェアとは異なっている、
請求項1〜24のいずれか1項に記載の水素燃料補給ステーション(1)。
請求項1〜24のいずれか1項に記載の水素燃料補給ステーション(1)。
【請求項26】
前記安全コントローラのプログラムソフトウェアは、複数の安全計装機能を実現している、
請求項1〜25のいずれか1項に記載の水素燃料補給ステーション(1)。
請求項1〜25のいずれか1項に記載の水素燃料補給ステーション(1)。
【請求項27】
前記複数の安全計装機能は、作動のための個々のウィンドウを有している、
請求項1〜26のいずれか1項に記載の水素燃料補給ステーション(1)。
請求項1〜26のいずれか1項に記載の水素燃料補給ステーション(1)。
【請求項28】
前記安全計装機能は、過剰水素流量監視、スタートアップ燃料補給漏洩チェック、水素供給圧力監視、冷却区分モニタ、水素中間圧力監視、目標圧力監視、車両開始圧力監視を含むリストから選択されている、
請求項1〜27のいずれか1項に記載の水素燃料補給ステーション(1)。
請求項1〜27のいずれか1項に記載の水素燃料補給ステーション(1)。
【請求項29】
請求項1〜28のいずれか1項に記載の水素燃料補給ステーション(1)を、車両(3)の容器(2)に燃料補給するために使用する、使用。
【請求項30】
請求項1に記載の水素燃料補給ステーション(1)の安全計装システムの安全コントローラにおける実現のための安全計装機能を決定する方法であって、前記方法は、
水素燃料補給ステーション(1)を制御するために必要な制御機能を、請求項28に記載のリストから選択されて前記安全コントローラにより制御される、安全計装機能と、請求項28に記載のリストに含まれておらず、基本プロセスコントローラにより制御される、非安全計装機能と、に分割するステップと、
前記安全計装機能を監視するために、前記安全コントローラに対して必要とされる入力を決定するステップと、
前記安全コントローラが、前記安全計装機能を制御することを可能とするために、前記安全コントローラから必要とされる出力を決定するステップと、
を備える、
方法。
水素燃料補給ステーション(1)を制御するために必要な制御機能を、請求項28に記載のリストから選択されて前記安全コントローラにより制御される、安全計装機能と、請求項28に記載のリストに含まれておらず、基本プロセスコントローラにより制御される、非安全計装機能と、に分割するステップと、
前記安全計装機能を監視するために、前記安全コントローラに対して必要とされる入力を決定するステップと、
前記安全コントローラが、前記安全計装機能を制御することを可能とするために、前記安全コントローラから必要とされる出力を決定するステップと、
を備える、
方法。
【請求項31】
少なくとも部分的には安全コントローラにより制御される、請求項1〜28のいずれか1項に記載の水素燃料補給ステーション(1)であって、
前記安全コントローラにより行われる制御は、少なくとも1つの安全計装機能に基づいている、
水素燃料補給ステーション(1)。
前記安全コントローラにより行われる制御は、少なくとも1つの安全計装機能に基づいている、
水素燃料補給ステーション(1)。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、水素燃料補給ステーション用制御システムと、そのような制御システムを有する水素燃料補給ステーションの制御方法に関する。
【背景技術】
【0002】
水素燃料補給ステーション(Hydrogen Refuelling Station(HRS))の数が増加し始めており、HRS製造会社の関心は、安全性を損なうことなく、個々のHRSの価格を切り下げることにある。
【0003】
HRS用制御システムは特許文献1に記載されている。この制御システムのアーキテクチャは、制御マネージャと、複数のサブシステムマネージャに依存している。マスタ制御マネージャは、複数の専用サブシステムマネージャを介して浄化水素生成器の制御を管理する。従って、燃料、水、空気などを制御するサブシステムは、マスタ制御マネージャに通信可能に取り付けられているサブシステムコントローラにより、分散的な方法で制御される。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】WO2006065602号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
特許文献1は、HRSの制御に関連してなされた安全性を考慮した例である。しかし、これらの考慮は、システムレベルでなされており、従って、実現、システムレベルで起こる欠陥、欠陥状況における制御戦略などのような広い範囲の問題を解決しない。
【課題を解決するための手段】
【0006】
本発明の目的は、これらの問題を克服することである。従って、本発明は、車両の容器に水素を充填するためのHRSに関し、HRSは、水素供給源と、車両の容器に接続可能な水素取出し口と、プロセスコントローラ、複数のプロセス測定装置、最終プロセス要素、及びHRSの作動の監視と制御を容易にする、関連する複数の基本プロセス制御機能を備える基本プロセス制御システムと、を備え、HRSは更に、安全コントローラと、複数の安全測定装置と、複数の最終安全要素と、関連する複数の安全計装機能と、を備える安全計装システムを備え、最終プロセス要素と最終安全要素の少なくとも1つは、関連するプロセスコントローラ、又は、関連する安全コントローラそれぞれの制御のもとで、HRSの作動のトリップを容易にすることを特徴とする。
【0007】
HRSの作動のトリップは、プロセスコントローラによるプロセス制御機能の実行により行われるのが好適であり、もし、何らかの理由でトリップが起こらない場合は、HRSの作動は、安全コントローラによる安全計装機能の実行によりトリップされると有利である。
【0008】
基本プロセス制御機能と安全計装機能は、好ましくは、安全コントローラのマイクロプロセッサにより実行されるプログラムコードであり、プロセス制御機能は、好ましくは、プロセスコントローラにより実行されるプログラムコードである。
【0009】
HRSのトリップ作動は、好ましくは、HRSの作動の即時停止という結果になり、例えば、危険な状況が検出された場合は、燃料補給プロセスは即時停止され、冷却システム、コンプレッサなどを停止する。危険な状況は、例えば、高すぎる圧力又は温度、低すぎる圧力又は温度、漏洩、火気などである。
【0010】
HRSの作動を停止できる最終要素は、好ましくは、ノズルへの水素流路における水素の流量を停止する弁、又は、煙突を介して、水素放出を容易にする弁である。最終要素は、制御信号に反応することにより画定され、最終要素の制御の結果の例としては、水素流量を停止し、水素を煙突から外に安全に誘導すること、コンプレッサをトリップすることなどを挙げることができる。
【0011】
本発明の実施の形態によれば、基本プロセス制御機能の数は、安全計装機能の数よりも多い。安全に関連する、すなわち、危険な状況に繋がる可能性のある基本プロセス制御機能のみが、安全計装システムにより監視されると好適である。そのため、基本プロセス制御機能と同じ数の安全計装機能は必要でない。
【0012】
本発明の実施の形態によれば、安全計装機能は、基本プロセス制御機能へ入力を提供する。
【0013】
本発明の実施の形態によれば、入力は、HRSの作動のモードを変更、好ましくは、HRSの作動を停止するために使用される。これは、安全計装機能がその入力(の安全性)を評価し、その結果が、危険な状況が起きている、又は、起こりそうであるという状況においては利点である。そのため、安全計装機能は、プロセスコントローラに、HRSの作動を停止するように依頼することができ、及び/又は、その最終安全要素により、HRSの作動の停止を開始することができる。
【0014】
作動のモードの停止又は変更は、好ましくは、危険な状況がエスカレートすることを防止するために、可能な限り速く行われる。
【0015】
本発明の実施の形態によれば、安全コントローラ及びプロセスコントローラは、独立したマイクロプロセッサを備える。コントローラが完全に独立しているという点において利点がある。
【0016】
本発明の実施の形態によれば、車両の容器に水素を充填するときの水素の温度は、マイナス20℃より低く、好ましくは、マイナス30℃より低く、最も好ましくは、マイナス33℃とマイナス40℃との間である。
【0017】
本発明の実施の形態によれば、車両の容器へ燃料補給する端部側での水素の圧力は、500バール以上であり、好ましくは、750バール以上であり、最も好ましくは、875バール以下である。燃料補給の開始圧力は、好ましくは、HRSディスペンサモジュールに接続するときの容器における圧力に依存して、1から700バールである。好ましくは、燃料補給の端部側における圧力は、ホース及びノズルを含むHRS構成要素が、HRSディスペンサを車両に接続する圧力に制限されるべきである。可能な限り多くの水素を車両容器に燃料補給するためには、端部側の圧力は、好ましくは、800と875バールの間である。
【0018】
本発明の実施の形態によれば、HRSは、車両の容器に水素を充填することを容易にし、HRSは、水素供給源と、車両の容器に接続可能な水素取出し口と、HRSの作動の監視と制御をするプロセスコントローラと、を備え、第1のパラメータの値は、プロセス測定装置により測定され、HRSを制御するプロセスコントローラへの入力として使用され、プロセスコントローラによるHRSの制御は、第1のパラメータのプロセス評価に基づいてHRSの作動を停止することを含み、HRSは、HRSの複数のパラメータを監視し、少なくとも部分的には、HRSを制御するように構成されている安全コントローラを更に備え、第1のパラメータの値はまた、安全測定装置によっても測定され、安全コントローラへの入力として使用され、安全コントローラは、第1のパラメータの安全評価を行い、安全コントローラの制御は、HRSの作動の通常モードから、作動の非通常モードへの変更を、第1のパラメータの値の安全評価に基づいて、最終安全要素の状態を変更することにより容易にする。
【0019】
本発明のHRSは、例えば、ソフトウェアによる構成要素における故障の結果としてのHRSにおける深刻な事故のリスクを削減するという点において利点がある。これは、安全コントローラにより提供される上位の監視、又は、プロセスコントローラにより行われる制御及びプロセスコントローラを支配して作動のモードを変更する安全コントローラの権利によるためである。従って、HRSの制御は、プロセスコントローラにより行われ、作動パラメータの値が限界を外れ、プロセスコントローラが行動を取らない場合のみ、安全コントローラは、HRSの制御を受け継ぎ、安全モードにする(HRSのトリップ)ことを確実にする。すなわち、通常作動の間、安全コントローラは、HRSの制御に干渉せずに、HRSの作動を監視するのみである。
【0020】
水素供給源は、好ましくは、弁を介して、HRSへの水素の流量を可能にする水素ストレージである。水素ストレージは、HRSの一部(内部ストレージ)又は、HRSの外部に位置するストレージである。或いは、水素取入れ口は、水素供給ネットワークなどに接続できる。
【0021】
監視はまた、制御システムのコントローラ、特には、安全コントローラにおいて行われる計算も含むことができる。従って、内部比較、集積、及び任意の種類の計算もまたパラメータの値という結果になり、このパラメータの値は、プロセス又は安全コントローラの何れかによるHRSの制御に使用できる。監視が単に計算の場合は、第1の及び第2の測定装置は、コントローラのデータプロセッサであることがよくある。好ましくは、ここで言及されるコントローラは、安全コントローラ及びプロセスコントローラであるが、しかし、必要であれば、追加コントローラを、プロセス及び安全コントローラがそれぞれの機能を行うことをサポートすることにおける異なる目的で使用できる。
【0022】
第1の及び第2の測定装置は、HRSの略同じ位置において同じパラメータを測定する同一の装置であってよい。測定装置の例としては(計算のための上記のプロセッサの他に)、圧力、温度、流量、時間、弁の位置(例えば、開/閉)などを監視するためのトランスデューサを挙げることができる。
【0023】
測定装置により測定されるパラメータ(第1の、第2の、・・・第Nパラメータ)の値は、直接、又は間接的に、流量、圧力、温度、水素濃度などを表わす、例えば、「1」又は「0」(例えば、値は「オン」又は「オフ」)、離散値、又は連続値であってよい。
【0024】
パラメータの値の評価は、例えば、その値を、そのパラメータに対する最小又は最大許容可能値であることがよくある閾値と比較することであってよい。評価はまた、互いに距離をおいて位置している圧力の2つの測定値の比較であってよく、この測定値は、水素の流量を表すことができる測定値、すなわち、間接的測定値であってよい。安全コントローラにより行われる評価は、安全評価と称されることがあり、プロセスコントローラにより行われる評価は、プロセス評価と称されることがある。
【0025】
安全コントローラとプロセスコントローラは、上記第1のパラメータのようなパラメータを、複数の異なるプロセス及び安全測定装置から受信できるということは言及されるべきである。
【0026】
安全コントローラとプロセスコントローラは、同じ筐体(enclosure)において実現することができるが、依然として、安全コントローラとプロセスコントローラは、好ましくは、個々のマイクロプロセッサを有しており、更に、故障問題の1つを削減又は削除するために、完全に独立して作動することが要求される。
【0027】
安全コントローラにより行われる制御は、最終安全要素と称されるアクチュエータにより行われる。安全コントローラは、例えば、燃料補給プロセスを制御するようには設計されておらず、HRSを、非安全作動モードから安全作動モードにするように設計されている。プロセスコントローラにより行われる制御は、最終プロセス要素と称されるアクチュエータにより行われる。安全コントローラとは反対に、プロセスコントローラは、HRSの完全な制御を容易にする。最終要素は弁であることが多い。
【0028】
好ましくは、安全コントローラは、同時に、複数の異なるパラメータを監視している。
【0029】
好ましくは、安全コントローラは、HRSの作動のモードを監視及び変更するのみである。これは、1つコントローラのみがHRSを制御しているが、2つのコントローラが、HRSを監視し、その両者が、より安全な状況を得るために、作動のモードを変更する権限を有しているという点において利点がある。これは、HRSの作動を停止することを含む、HRSの作動を制限することを意味することがよくある。
【0030】
本発明の実施の形態によれば、プロセス及び安全測定装置により測定される第1のパラメータは、水素供給源と水素出力口との間の水素流路において測定され、第1のパラメータは、圧力、水素の流量、弁の位置、温度、及び時間を含むリストから選択される。好ましくは、パラメータはディスペンサにおいて測定され、又は、少なくとも、車両に最も近い、すなわち、ノズルの形状の水素出力口に最も近い適切な測定装置により測定される。水素流路は、水素ライン、弁、及び他の構成要素により画定され、この水素流路を通って、車両に燃料補給するときに水素が流れ、水素流量において行われる測定は、好ましくは、これらの構成要素により、又はこれらの構成要素において行われる。
【0031】
これらのパラメータはすべて、上記のような第1のパラメータと称される。これらのパラメータは、好ましくは、水素取出し口に可能な限り近いディスペンサにおいて測定される。これらのパラメータは、その値がその限界を超えると、危険な状況を示すので、重要パラメータと区分される。従って、これらのパラメータを監視して、定義された限界内に保ち、それにより、車両の容器の安全な充填を確実にすることは好適である。そのような限界は、HRSの設計が基づいている設計パラメータにより定義できる。
【0032】
上述したように、第1のパラメータの値は、他の測定値に基づいて、間接的に決定できる。例としては、水素の濃度が必要なときに、2つの圧力測定値と温度測定値から導出できる水素の流量を挙げることができる。
【0033】
本発明の実施の形態によれば、プロセスコントローラと安全コントローラとの間の通信は、安全コントローラからプロセスコントローラへの一方向である。これは、プロセスコントローラが、安全コントローラにより行われる支配的制御行動を通知され、従って、プロセスコントローラにより可能とされるべきであるという点において利点がある。従って、安全コントローラは、プロセスコントローラよりも高い制御レベルを有し、それにより、安全コントローラがプロセスコントローラの制御を支配することを可能にする。
【0034】
好ましくは、安全状態信号のみが安全コントローラからプロセスコントローラに通信される。安全状態信号は、例えば、HRSの作動をトリップするような、安全コントローラにより行われる制御、安全コントローラの状態などに関する情報を備えることができる。
【0035】
安全コントローラの状態は、HRSの(作動の)健全性を示すので、2つの安全状態のみ、すなわち、通常作動状態と、アラーム作動状態が必要である。
【0036】
プロセスコントローラが、安全コントローラと通信するためのアクセスを制限されることは、安全コントローラが、安全制御において、プロセスコントローラからの入力を使用するリスクがないという点において、更に利点がある。従って、幾つかの実施の形態においては、プロセスコントローラが安全コントローラと通信できず、他の実施の形態においては、そのような通信が安全なとき、又は、例えば、安全と判定されるときのみ、すなわち、安全コントローラにおける通信レシーバが、所定の安全計装機能であるとき、又は、安全計装機能に影響を与えない、又は安全計装機能に対する制御された影響を確実にするときのみ通信が可能である。それにより、HRSの作動の向上された安全性に対して、2つの完全に分離した監視及び制御システムが得られる。
【0037】
本発明の実施の形態によれば、HRSが通常作動モードで作動しているが、同時に、第1の作動パラメータの値の安全評価がその限界を超えていると判定された場合は、安全コントローラは、停止信号をプロセスコントローラに通信する。
【0038】
本発明の実施の形態によれば、プロセスコントローラと安全コントローラは、同じ最終要素を制御している。これは、アクチュエータ(最終要素)が正しく制御されない場合でも、アクチュエータが危険な状況という結果になり得ない場所に位置して、その場所で、例えば、水素流量を制御している場合に利点である。
【0039】
2つの個々の内部アクチュエータを有しているさらなるアクチュエータを使用することができ、これらは、安全コントローラ及びプロセスコントローラにより制御できる。
【0040】
本発明の実施の形態によれば、プロセス測定装置及び安全測定装置は、略同じ位置において第1のパラメータを監視している。これは、温度又は圧力センサのような1つのトランスデューサの誤作動が、それ自体、このパラメータが監視されないということを引き起こさないという点において利点がある。従って、プロセス測定装置及び安全測定装置の1つが誤作動していても、他の装置がパラメータを測定し、HRSの制御に使用できる。
【0041】
本発明の実施の形態によれば、プロセス測定装置及び安全測定装置は、同じ筐体内に位置している。プロセス測定装置及び安全測定装置は、同じ筐体において実現でき、又は、2つの出力を有する1つの測定装置として実現できる。後者の場合、2つの出力は、異なる安全条件に準拠することができる。
【0042】
本発明の実施の形態によれば、安全コントローラは、HRSの通常作動の間は、常にアクティブである。これは、プロセスコントローラと安全コントローラの組み合わせにより提供される安全レベルが、常に維持されるという点において利点がある。
【0043】
通常作動は、HRSが車両に燃料補給する準備ができている、又は車両に燃料補給しているときとして理解されるべきである。作動の他のモードとしては、HRSのメンテナンスが行われるサービスモードがある。
【0044】
本発明の実施の形態によれば、安全コントローラを作動不可にすることができる。これは、安全計装システム、すなわち、安全コントローラ自身、又は接続された測定装置又は最終要素の整備部分に関して関連がある。
【0045】
本発明の実施の形態によれば、安全コントローラは、プロセスコントローラの安全レベルと等しい、又はそれより高い安全レベルである。
【0046】
本発明の実施の形態によれば、安全測定装置は、プロセス測定装置の安全レベルと等しい、又はそれより高い安全レベルである。これは、理論的には、プロセスコントローラとプロセス測定装置と比較して、安全コントローラと安全測定装置の、より高い信頼性を保証するという点において利点がある。コントローラ及び測定装置のような構成要素の安全レベルを定義する1つの方法は、機能安全IEC61508規格又は安全度水準(SIL評価)の必要条件に従うこと、及びそれに準拠することである。
【0047】
本発明の実施の形態によれば、プロセス測定装置及び安全測定装置は、異なる製品である。これは、プロセス測定装置及び安全測定装置の両者における誤作動のリスクを、例えば、同じ設計エラーが、両者の測定装置に影響を与えることがないので、削減されるという点において利点がある。従って、高温、又は所与の作動時間量は、両者の測定装置が同時に故障するこということを引き起こさない。
【0048】
本発明の実施の形態によれば、作動の通常モードから、非通常モードへの変更は、少なくとも1つの最終安全要素によりHRSの作動をトリップすることにより容易にされる。トリップとは、HRSの通常作動を停止するということとして理解されるべきである。好ましくは、トリップは、エラーが位置していると推定される場所に、水素ストレージに対して(向けて)下流に位置している弁の位置を変更することにより容易にされる。この代替として、又は、これに追加して、ノズルの近くに位置している弁もまた、自動車及びHRSのユーザを保護するために閉じられる。
【0049】
トリップすることの代替として、又はそれに追加して、安全コントローラはまた、水素の放出を容易にでき、ストレージ又は、水素ラインの部分における水素を隔離でき、サービス要員、消防団、医療関係者などとコンタクトを取ることができる。故障状況に関連して行われるリスクアセスメントに準拠することはすべて、エラー/故障により引き起こされた安全でない状況から離れて、少なくとも、水素の流量の停止を含む、安全な状況になることを記述している。
【0050】
プロセスコントローラもまた、トリップを容易にでき、及びこの代替として、特に、安全コントローラが変更を容易にする前に、プロセスコントローラが、作動の通常モードから通常モードへの変更を容易にする状況において、トリップを容易にできるということは言及されるべきである。
【0051】
本発明の実施の形態によれば、HRSのトリップは、安全コントローラ単独で作動される最終安全要素により容易にされる。これは、危険な状況を引き起こす可能性のあるトリップイベントにおけるそのようなアクチュエータの誤作動のリスクを削減するという点において利点がある。
【0052】
本発明の実施の形態によれば、安全コントローラにより行われる第1のパラメータの値の評価は、値が定義された閾値を超えるか、又は下回るかどうかを監視することを含む。通常作動の間は、第1のパラメータの値が2つの閾値に挟まれる細い区間内にあるべきである2つの閾値を定義することができるということは言及されるべきである。
【0053】
本発明の実施の形態によれば、閾値は、HRSの作動中に動的に決定される。これは、パラメータの監視が動的に行われ、それにより、周囲の条件(温度、圧力、湿度など)、燃料補給される車両、ストレージ、作動のモード、HRSの他の構成要素からの情報のような所与の状況に適合されるという点において利点がある。
【0054】
本発明の実施の形態によれば、安全コントローラは、HRSの作動をトリップするために使用される最終プロセス要素の制御を容易にする。
【0055】
本発明の実施の形態によれば、安全コントローラ上のソフトウェアプログラムは、プロセスコントローラ上のソフトウェアプログラムとは異なる。これは、2つのソフトウェアプログラムが同じではなく、好ましくは、同じプログラマにより作成されていないので、両者のコントローラにおいて同じエラーが起こるリスクが相当に削減されるという点において利点がある。
【0056】
本発明の実施の形態によれば、安全コントローラのソフトウェアプログラムは、複数の安全計装機能を実現する。安全計装機能とは、HRSの作動の安全に重要な、多数の輪郭を明確にされた制御機能として理解されるべきである。従って、HRSに関して安全性を高めるためには、これらの安全計装機能に関連する監視及び制御を高めることが有利である。安全計装機能は、漏洩、車両容器圧、冷却システム、車両に提供される水素の圧力などを監視(そして、必要であれば、例えばトリップなどの制御)ができる。
【0057】
本発明の実施の形態によれば、複数の安全計装機能は、作動のための個々のウィンドウを有している。これは、燃料補給プロセスに対する必要条件が、第1の燃料補給から次の燃料補給にかけて変化(周囲の条件、異なる開始圧力を有する異なる車両など)する可能性があるという点において利点がある。従って、作動の個々の安全計装機能ウィンドウは、開始及び停止し、すなわち、その監視は、いわゆる安全コントローラが、測定された弁の位置の変化、圧力又は温度の変化、検出された流量などのような、1つ又は一連のイベントを観測したときに、開始又は停止する。これは、例えば、燃料補給プロセスのような所与の状態として安全コントローラにより解釈され、安全コントローラは、作動の異なる状態における作動条件を知っているので、HRSの作動が安全かどうかを判定できる。
【0058】
本発明の実施の形態によれば、安全計装機能は、過剰水素流量監視(Excess Hydrogen Flow Monitoring)、スタートアップ燃料補給漏洩チェック(Start Up Refueling Leak Check)、水素提供圧力監視(Hydrogen Delivery Pressure Monitoring)、冷却区分モニタ(Cooling Catergory Monitor)、水素中間圧力監視(Hydrogen Middle Pressure Monitoring)、目標圧力監視(Target Pressure Monitoring)、及び車両開始圧力監視(Vehicle Start Pressure Monitoring)を含むリストから選択される。
【0059】
更に、本発明は、車両の容器に燃料補給するための先行する請求項のいずれか1項に記載のHRSの使用に関する。
【0060】
更に、本発明は、HRSの安全コントローラにおける実現のための安全計装機能を判定する方法に関し、方法は、HRSを制御するために必要な制御機能を、安全計装機能と、非安全計装機能に分割するステップと、安全コントローラが安全計装機能を監視するために必要な入力を判定するステップと、安全コントローラが、安全計装機能を制御可能となるために、安全コントローラから要求される出力を判定するステップを備える。
【0061】
更に、本発明は、請求項1〜28のいずれか1項に記載のHRSに関し、少なくとも部分的には、安全コントローラにより制御され、安全コントローラにより行われる制御は、少なくとも1つの安全計装機能に基づく。好ましくは、安全コントローラにより提供される制御は、HRSの作動のトリップである。
【0062】
以下において、本発明の幾つかの例としての実施の形態を、図面を参照して記述する。
【図面の簡単な説明】
【0063】
【図1】本発明の実施の形態に係るHRSを例示している。
【図2】本発明の実施の形態に係る、通信しているセンターモジュールとディスペンサモジュールを例示している。
【図3】本発明の実施の形態に係るHRSの制御の例を例示している。
【図4a】本発明の実施の形態に係る安全計装システムの模式図である。
【発明を実施するための形態】
【0064】
図1は、本発明の実施の形態に係るHRS1の模式図を例示している。HRS1は、供給ネットワーク4、外部水素ストレージ5、内部水素ストレージ6、又は一時的水素ストレージ7の形状の水素供給源から、車両3の受取り容器2へ水素を供給する。
【0065】
水素の圧力、温度、流量、時間などを、車両3に水素を燃料補給するための、例えば、SAE J2601規格のような現在の規格に準拠するように調整するために、HRS1は、コンプレッサ8と、冷却システム9と、制御及び監視システム10を備え、これらはすべて、好ましくは、HRS1の筐体11内に位置している。
【0066】
燃料補給プロセスは、幾つかの状態を含み、ユーザから燃料補給を要求されたときに「準備完了状態」から「燃料補給前状態」に移行することを含む。ユーザがノズルを持ち上げ、ノズルを車両に取り付けると、ユーザは、「燃料補給スタートアップ状態(Refueling Start Up State)」を開始でき、車両の容器の開始圧力が決定される。開始圧力が決定されると、他の初期パラメータ「主要燃料補給状態(Main Refueling State)」が行われ、水素が、車両の容器を充填する目的で車両の容器に提供される。燃料補給が完了すると、「燃料補給停止状態(Refueling Stop State)」になり、準備完了状態に戻るための、ホース及びノズル内の水素を空にするような準備が行われる。
【0067】
制御及び監視システム10は、下記により詳細に記述される、安全コントローラ12とプロセスコントローラ13を含む。
【0068】
HRS1のほとんどの位置において、HRS筐体11を、ホース15とノズル16(水素取出し口)により車両3に接続可能なディスペンサ14から物理的に分離することは好適である。HRS筐体11とディスペンサ14は、水素を、HRS1から、ディスペンサ14を介して、車両3の受取り容器2に供給するための1つ以上の供給ライン17により接続される。
【0069】
図1に例示されているHRS1は、分離されて、供給ライン17で接続されている筐体11とディスペンサ14を備えているように例示されているが、水素供給源4、5、6、7から、ノズル16として図1に例示されている水素取出し口までのHRS1の構成要素、及び、その間の水素流路におけるすべて(弁、トランスデューサ、アクチュエータなど、すなわち、水素流量を制御するために使用されるすべての構成要素)は、完全に1つの筐体に統合でき、又は図1に例示されているように、1つ以上の個々の構成要素とすることができるということは言及されるべきである。
【0070】
図2は、本発明の実施の形態に係るHRS1の制御及び監視システム10の模式図を例示している。
【0071】
制御及び監視システム10の主な目的は、HRS1が、安全性及び燃料補給の両者に関して、すべての関連規格に準拠することを確実にすることである。従って、制御及び監視システム10は、図2においては、水素ライン19(ラインは、水素の流量を容易にするパイプのことである)における圧力Pを測定している複数のトランスデューサ18a、18b(全体として18と称される)からの入力を受信している。しかし、トランスデューサ18は、水素供給源4、5、6、7から、ノズル16における水素取出し口までのHRS1におけるいずれの場所にも位置できる。更に、トランスデューサ18はまた、HRS筐体11の内部及び外部の温度などのような外部値に関する入力も提供できる。トランスデューサ18は、流量、圧力、温度、弁の位置などに関する入力を提供している。
【0072】
トランスデューサ18aは、プロセス測定装置の例であり、トランスデューサ18bは、安全測定装置の例であるということは言及されるべきである。
【0073】
入力は、制御及び監視システム10により、圧力、温度、流量などを調整するために使用される。図2においては、この制御は、例示されている弁20a、20b(全体として20と称される)により容易にされ、弁20は、水素ライン21における流量を制御し、それにより、ディスペンサ14への供給ライン17とディスペンサ14における流量を制御する。制御及び監視システム10により行われる制御は、好ましくは、コンプレッサ8、冷却システム9、弁20などを制御することにより行われる。
【0074】
弁20aは、最終プロセス要素の例であり、弁20bは、最終安全要素の例であるということは言及されるべきである。
【0075】
安全コントローラ12とプロセスコントローラ13は通信できるが、下記に記述するように、安全に対する理由から、安全コントローラ12のみがプロセスコントローラ13に情報を提供することが好適である。このため、本発明の実施の形態においては、制限された情報を、プロセスコントローラ13から安全コントローラ12に送ることができ、この例としては、プロセスコントローラ13が活動中/オンラインであることを示すウォッチドッグ信号がある。安全コントローラ12の監視及び制御(すなわち、好ましくは、HRS1の作動のトリップ)で使用されるデータは、プロセスコントローラ13から提供されない。
【0076】
トリップは、HRSの作動を、いずれかの通常プロセス状態から、安全状態にすることと理解されるべきで、それは、ほとんどの場合、例えば、水素流量を制御する弁を開閉することによりHRSの作動を停止又は閉鎖することを意味する。これは、HRSが作動する温度及び圧力の両者の制御が困難であり、適切に制御されない場合、人に対して危険であり得るという点において利点がある。
【0077】
コントローラ12と13との間(好ましくは、安全コントローラ12からプロセスコントローラ13へのみ)で交換された情報は、安全コントローラ12により扱われるすべてのデータを含むことができる。従って、HRS1の作動の状態又はモード、閾値、測定されたパラメータ/値などに関するデータは、プロセスコントローラ13により記録できる。そのようなデータがプロセスコントローラ13に提供された場合は、そのデータは、HRS1の制御において使用されないということは言及されるべきである。従って、そのようなデータは、プロセスコントローラ13により得られる測定値の検証に使用できる。
【0078】
しかし、安全コントローラは、基本プロセス制御機能の実行における、例えば、最後の漏洩チェックから所与の時間が経過した状況において、割り込みを容易にできる。典型的には、安全コントローラ12がHRSの作動をトリップした場合、これは、プロセスコントローラにより、その測定装置を介して観測され、続いて、プロセスコントローラもまた作動の安全モードに変化する。作動の通常モードはスタンバイ及び燃料補給モードを含み、作動の非通常モードは、作動の安全及び緊急モードを含むことができる。従って、燃料補給モードのようなHRSの作動の通常モードは、構成要素の故障がなく、制御ソフトウェアのエラーが起きず、すべてのパラメータがその閾値内に保たれているときに起こる。作動の安全モード又は緊急モードのような、HRS1の作動の非通常モードは、構成要素が故障し、制御ソフトウェアが故障し、パラメータがその閾値を超え、燃料補給に対する現在の規格に準拠しなくなり、又は、HRS1の近くの人間に対する危険などという結果になるときに起こる。
【0079】
図2においては、制御及び監視システム10の安全コントローラ12とプロセスコントローラ13と、トランスデューサ18と、及び最終要素20は、通信ライン22a、22b、22cを介して通信しているように例示されている。しかし、安全コントローラ12と、その安全測定装置18b及び最終安全要素20b、すなわち、まとめて安全計装システム又は、略してSISと称されるものとの間の分離した通信のような代替通信構成も好適である。安全計装システムの通信に加えて、又はそれと平行して、プロセスコントローラ13とそのプロセス測定装置18a及び最終プロセス要素20a(まとめて、基本プロセス制御システム、略してBPCSと称される)との間の分離した通信は好ましくは容易にされる。通信経路22a、22b、22cは、1つ以上の通信システムにおいて、有線である必要はないということは言及されるべきである。通信は、少なくとも部分的には、任意の種類の無線通信、及び可能であれば、任意の種類の通信バスなどとして実現できる。
【0080】
従って、制御及び監視システム10は、プロセスコントローラ13によりHRS1の制御を容易にし、この制御の監視を安全コントローラ12により容易にする。
【0081】
本発明の実施の形態によれば、安全コントローラ12によるHRS1の監視は、好ましくは、動的閾値に基づく。これは、測定されるパラメータの値が、HRS1の作動のモードによっては異なる限界を有することを可能にする。従って、スタンバイモードにおいては、ディスペンサ14における水素の圧力及び温度は、圧力及び温度の値が現在の規格に準拠すべき燃料補給モードにおける値よりも小さいことが可能とされる。
【0082】
従って、安全コントローラ12は、パラメータに対する1つ以上の閾値をリアルタイムで決定して、これらの決定された閾値の安全性を、安全測定装置18bにより測定されるパラメータにより評価する。閾値は、テーブルルックアップから決定されてよく、所与の状況/モードに対して予め決定されてよく、値は、例えば、作動のモードに基づいて決定される。すなわち、閾値は、スタンバイモードにおいては第1の値を、燃料補給モードにおいては第2の値を有することを可能とされ、第1の及び第2の値の両者は、テーブルから見出すことができる。
【0083】
測定されたパラメータと決定された閾値の評価(安全又はプロセス評価)は、測定されたパラメータの規格化、複数の測定されたパラメータの比較、計算などの数学的操作を含むことができる。この例としては、流量計算が、2つの圧力測定値及び温度測定値に基づいて行われることが挙げられる。圧力は、圧力降下を提供する構成要素の両側において測定される。水素の温度を知ることで、水素の密度を計算でき、水素の流量を決定するときに使用される。例えば、作動モードの変更を示すために使用される測定値を測定する測定装置18bからの入力を安全コントローラ12が得るという点において、評価が可能とされ、動的とされる。そのため、例えば、ディスペンサ14に位置している弁の1つを監視している弁ポジショナから受信したパラメータが、弁状態「閉(CLOSE)」を示すパラメータから「開(OPEN)」を示すパラメータに変化したときに、安全コントローラ12は、この入力を使用して、現在作動モードは、例えば、スタンバイから燃料補給モードに変化したと判定する。
【0084】
本発明の実施の形態によれば、ユーザは、燃料補給を、ユーザインタフェースUIを介して、例えば、安全コントローラ12とプロセスコントローラ13の両者により記録される支払により燃料補給を開始する。そして、安全コントローラ12は、例えば、弁ポジショナ18bからの情報を使用して、スタータ圧力をいつ得るかを決定する。同じように、弁ポジショナと圧力センサ18bからの情報は、水素ストレージにおけるシフト(燃料補給に使用される)がいつか、及びいつ燃料補給が終わるかを決定するために使用できる。
【0085】
安全コントローラ12が監視するとき、及び少なくともHRS1を部分的に制御するときに基づく閾値はまた「固定」であってよく、例えば、圧力及び温度のような入力値に基づいてルックアップテーブルから見出すことができるということに留意すべきである。閾値が「固定」又は動的かは、続く燃料補給プロトコルにより決定できる。好適な燃料補給プロトコルは、SAE J2601規格において見出される。固定閾値の例としては、規格又はノズルの定格圧力のいずれかにより決定される、ノズルにおける圧力を挙げることができる。最大可能ノズル圧力に対する閾値は、例えば、830バールである。
【0086】
或いは、安全コントローラ12及び関連する安全計装機能により、作動のウィンドウ(Window of Operation)内で監視される作動パラメータに対する限界又は閾値は、動的であってよい。これは、燃料補給の第1の部の間は、例えば可能な温度に対する閾値は、燃料補給の第2の部の間の温度とは異なっているからである。従って、個々の安全計装機能がこれを考慮し、その入力を現在の閾値に対して評価すると、有利である。従って、1つの温度は、HRSの作動の制御(好ましくは、トリップのみ)において、燃料補給プロセスの1つの部分において安全コントローラからの相互作用を開始し、別の部分では開始しない。
【0087】
プロセスコントローラ13は、スタンバイモードは燃料補給モードに変化すべきであるという入力を、その測定装置18aから、例えば、ユーザがノズルをディスペンサ14から取り外した、ディスペンサ14におけるユーザインタフェースUIが起動された、支払が受諾されたなどが登録されたときに受信する。上記のように、安全コントローラ12は好ましくは、同じ入力をそれ自身の安全測定装置18bから受信する。
【0088】
そして、安全コントローラ12は、その制御ソフトウェアに基づいて、閾値を決定できる。パラメータによっては、閾値は、パラメータに対する上方値と下方値の両者を含むこと、すなわち、パラメータ値がその内部でなければならない細い区間を含むことができる。トランスデューサ18による測定されるパラメータ値は、典型的には、圧力、温度、流量などを直接又は間接的に表す。
【0089】
測定されたパラメータが、パラメータが細い区間から外れようとしている、又は外れた、又は閾値を越えたことを示す場合は、安全コントローラ12は、作動のモードを、通常から非通常の作動のモードに変更できる。安全コントローラ12は、作動のモードを、弁のような、その最終要素20bの1つを制御して、例えば、車両3への水素の流量を停止することにより変更できる。これは、好ましくは、車両3の燃料補給を制御するプロセスコントローラ13との相互作用及び情報の交換がまったくなく行われる。
【0090】
そのような状況において、安全コントローラ12は、好ましくは、プロセスコントローラ13に作動モードの変更を通知する。これは、プロセスコントローラ13もまた、新しい作動モードに従って制御でき、例えば、その制御可能最終要素20aの1つを閉じることができるという点において利点がある。
【0091】
図3を参照して、上記の例を記述する。プロセスコントローラ13は、ユーザが車両3の燃料補給を開始しているという入力を、ユーザインタフェースUIから受信する。そして、プロセスコントローラ13は、作動のモードをスタンバイモードから、ディスペンサ14から車両3への水素の流量を容易にする弁V1を開くことを含む、作動の燃料補給モードに変更する。燃料補給の間、水素ライン21の領域Aにおける圧力P1は、プロセスコントローラ13により、圧力トランスデューサP1pで測定される。ユーザインタフェースUIと圧力トランスデューサP1pは両者とも、プロセス測定装置18aの例であり、弁V1は、最終プロセス要素20aの例であるということは言及されるべきである。
【0092】
安全コントローラ12は、弁V1が開けられたという入力を、弁ポジショナVP1から受信し、この情報を使用して、例えば、領域Aでの水素ライン21における水素の許容圧力P1に対する閾値を決定することを開始する。弁ポジショナVP1と圧力トランスデューサP1は、安全測定装置18bの例であるということに留意すべきである。
【0093】
作動の燃料補給モードは、現在の燃料補給規格に準拠するために、プロセスコントローラ13により制御及び監視される。燃料補給の間、水素ライン21の領域Aにおける圧力は、安全コントローラ12による圧力トランスデューサP1sと、プロセスコントローラ13による圧力トランスデューサP1pの両者により測定される。
【0094】
好ましくは、圧力を測定するトランスデューサP1sとP1pとの間の距離は0から2メートルの間であり、好ましくは、1メートル未満である。図3において、トランスデューサP1pとP1sは直列に例示されているが、並列に位置させることもできる。
【0095】
通常は、例えば、領域Aにおける圧力がその閾値を超えた場合は、プロセスコントローラ13は、例えば、水素の流量を停止する1つ以上の最終プロセス要素を閉じることにより、燃料補給モードを確実に中断させる。しかし、1つ以上のプロセス測定装置18aからの入力がなかったり、又はその入力が誤った判断を示したり、制御ソフトウェアがクラッシュしたり、1つ以上の最終プロセス要素20aが誤作動したときは、水素の流量をタイムリーに停止させることはできない。
【0096】
そのような状況においては、安全コントローラ12は、作動の通常モードから、非通常モードへの変化を確実にする。これは、好ましくは、安全制御ソフトウェアである制御ソフトウェアを含む安全コントローラ12と、測定装置18bと、最終安全要素20bを備える安全計装システムにより可能であり、好ましくは、これらはすべて、プロセスコントローラ13と、その制御ソフトウェアと、測定装置18aと、最終プロセス要素20aとは完全に独立している。
【0097】
手短に述べれば、プロセスコントローラ13は、現在の規格の従ってHRS1を制御するということができるが、一方、安全コントローラ12は、HRS1の作動を監視し、現在の規格が遵守されない場合に行動を起こすだけである。追加的に、当然好ましいことであるが、安全コントローラ12はまた、例えば、水素ストレージ、パイプなどの設計限界を超えているかも監視する。そのような監視は、圧力、温度などと関連することができる。
【0098】
従って、領域Aにおいて測定された圧力のような第1のパラメータがその閾値(すなわち、許容値/制限値、好ましくは現在の規格により定義される)を超えた場合、安全コントローラ12は、なぜこれが起きているかを知ることはできず、また、なぜプロセスコントローラ13が行動を起こさないかを知ることはできないが、安全コントローラ12は、例えば、水素の流量を確実に停止し、それにより、プロセスコントローラ13の制御を支配する。
【0099】
プロセスコントローラ13により使用される閾値は、典型的には、安全コントローラ12における閾値よりも控えめである。これは、例えば、必要なときにHRS1を閉鎖するのはプロセスコントローラであることが好適であるからである。このため、2つのコントローラ12、13において同じ閾値により作動することにより、最大の安全を維持しながら、より大きな作動ウィンドウが得られる。
【0100】
図3を参照すると、これは、トランスデューサP1s、18bにより例示されており、これらが、決定された閾値を超える圧力を測定したときは、この情報は、安全コントローラ12により使用されて、弁V2を閉じ、通信経路22aを介して、その制御行動又は作動モードの変更がプロセスコントローラ13に通信される。弁V2は、最終安全要素20bの例であるということは言及されるべきである。
【0101】
例えば、欠陥のあるプロセス測定装置及びデータプロセッサ、ソフトウェアエラーなどの場合、プロセスコントローラ13は、閾値を超えたことを観測できす、V1を閉じることを開始しないため、緊急状況のリスクが起こる。そのような状況を防止するため、本発明は、並列安全計装システムを使用する。従って、安全コントローラ12からの通信に基づいて、プロセスコントローラ13は、好ましくは、弁V1を閉じ、それにより、燃料補給プロセスは、好ましくは、安全コントローラ12が弁V2を閉じ、プロセスコントローラ13が弁V1を閉じるという両方のことにより中断される。
【0102】
安全コントローラ12が、HRS1の作動を中断すると、これは、典型的には、基本プロセス制御システムにおけるある種の誤作動を示す。従って、この事象の根本原因を調べることがしばしば必要となる。そのような調査は、コントローラ12、13からのデータを解析すること、及びエラーの手動又は自動リセットの前の、測定装置18と最終要素20の手動による調査を含むことができる。
【0103】
典型的には、いわゆるハード閾値を超えると、安全コントローラにより行われたトリップは、手動によるリセットを必要とする。これは、そのようなエラーはあってはならないことであるべきであるが、それが起こったので、サービス要員は、そのようなエラーの原因を調べなければならない。ハード閾値の例としては、例えば、830バールのノズルの最大圧力を挙げることができる。
【0104】
例えば、水素温度が少し高過ぎるというような、燃料補給に関連するエラーは、プロセスコントローラ13により補正されるべきである。しかし、何らかの理由で、温度を下げられないときは、安全コントローラは、燃料補給プロセスをトリップ又は中止できる。しかし、そのようなエラーは、後続する燃料補給プロセスを妨げるべき種類のものではないので、自動的にリセットできる。
【0105】
測定装置/トランスデューサは、好ましくは、ディスペンサ14における質量流量、ディスペンサ14からの水素流量を制御する弁の位置、ノズルに可能な限り近い位置での圧力、ディスペンサ14からの水素流量の温度などを測定する。更に、車両からの、例えば、赤外線通信チャネルを介しての情報は、安全コントローラ12へのデータと、プロセスコントローラ13へデータに分割でき、又は、例えば、安全コントローラ12を介してプロセスコントローラ13へのようにして、両者のコントローラ12、13へのデータに分割できるということは言及されるべきである。
【0106】
上記の記述から、本発明の制御システム10は、HRS1の作動を制御するプロセスコントローラ13を容易にし、すなわち、制御ソフトウェアにおけるいずれのステップが次に行われるべきか、ということについて容易にするということが今では明白である。これは、HRS1の監視事象に基づいて、例えば、プロセスコントローラ13が、HRS1の制御の次のステップに移行するかどうかを評価する安全コントローラ12とは反対である。
【0107】
明白なことであるが、安全コントローラ12に対する要請は、プロセスコントローラ13に対する要請とはまったく異なる。例として、安全コントローラ12は、HRSの監視に基づいて、例えば、燃料補給プロセスを停止するか又は一時中断するかの差を推定しなければならない。この例としては、安全コントローラは、いわゆるバンクシフトによる弁の閉鎖と、燃料補給の終了(すなわち、燃料補給のプロセスにおける一時中断であり、停止ではない)とを区別できる能力を有するべきであるということが挙げられる。図4aは、安全計装システム、すなわち、最終安全要素20bを制御する安全コントローラ12に入力を提供する安全測定装置18bの模式図である。従って、図4aは、安全コントローラ12により制御される安全計装システムに関連するのみであるが、プロセスコントローラ13により制御される基本プロセス制御システムの類似の模式図も存在する。測定装置18bと最終要素20bが好ましくは接続されるI/Oモジュールは例示されていない。これらのI/Oモジュールは、好ましくは、ケーブルを介して、安全コントローラ12のI/Oモジュールに接続される。
【0108】
安全計装システム(Safety Instrumented System(SIS))に言及するときは、重要プロセスシステムにおいて特に使用される、ハードウェア及びソフトウェア制御の設計されたセットを備えるシステムに言及しているということは、言及されるべきである。重要プロセスシステムは、いったん稼働し、作動上の問題が起こると、逆の「安全、健全、及び環境(Safety、Health and Environment」という結果を回避するために、「安全状態(Safety State)」にすることが必要なシステム、すなわち、危険状況における、又は危険状況を回避するためにHRS1の作動をトリップすることが必要となるようなシステムとして識別できる。
【0109】
SISにより行われる特定制御機能は、安全計装機能(Safety Instrumented Function(SIF))と称される。SIFは、些細な機器の損傷から、エネルギー及び/又は物質の、制御不能な破局的放出を含む事象にわたる、以前に識別された安全、健全、及び環境事象の可能性を削除するために意図されている、総合リスク削減対策の一部として実現される。
【0110】
安全コントローラは、信号処理及び、固有SIFにより識別される別個の機能を実行するためのロジックを含む。従って、SIFは、測定装置18bから入力を受信し、最終要素20bを制御する安全コントローラの一部として実現される。そのため、安全計装システム(SIS)は、容認できないプロセス条件が検出されたときに、プロセスの安全状態を維持するように設計されている。SISに関連する計装機器(Instrumentation)及び制御機器は、基本プロセス制御システムとは独立して作動する。
【0111】
基本プロセス制御は、例えば、範囲外である圧力又は温度を、再び範囲内にするための制御行動を適切に行う保護の第1のレイヤを提供する。安全コントローラのSIFは、保護の第2のレイヤであり、基本制御が、例えば、温度又は圧力を範囲内に戻せないときに使用され、従って、SIFは、危険な状況を防止する。SIFを必要とする構成要素又は制御機能は、リスク解析により決定される。最終的に、安全コントローラが、何らかの理由で、危険な状況を、例えば、作動をトリップすることにより停止しない場合は、第3のレベル、すなわち、機械的圧力制御弁を起動できる。
【0112】
SISはまた、燃料補給プロセスのどこに、であるか、すなわち、プロセスコントローラの何れの状態であるかを、弁の位置、圧力、質量流量などにおける変化のパターンを観測することにより識別できる。プロセスコントローラが、燃料補給プロセスのどこであるかを知ることにより、SIS、従ってSIFは、作動のそれぞれのウィンドウがいつ開閉するかを知る。例としては、燃料補給に対する圧力傾斜を監視することを挙げることができ、そのウィンドウは、車両の開始圧力が測定されたときに開き、例えば、放出弁が開いたときに閉じることができる。
【0113】
図4bは、HRS筐体11、及び図4aに例示されている安全計装システムの構成要素のHRS1のディスペンサ14における位置を例示している。安全計装機能(SIF)の幾つかの例を、ここで図4bを参照して記述する。
【0114】
上述したように、安全計装システムは、1つ以上の安全計装機能を備え、それぞれの安全計装機能は、HRS1の1つ以上の安全関連故障モードを監視する。更に、安全計装機能は、安全計装システムの最終要素が、安全計装機能により検出された危険要素が進展することを停止、又はその危険要素を削除するために起動されることを確実にする。
【0115】
SIF(安全計装機能)の第1の例は、車両開始圧力監視に関する。このSIFは、燃料補給の特別なフェイズ、すなわち、受取り容器2の圧力と、ディスペンサ14、例えば、水素ライン21における水素の圧力と、の間の圧力均等化ステップの間の安全として意図されている。
このSIFは、ユーザが燃料補給を開始した後10秒開く作動のウィンドウにおいて、HRSの作動をトリップできるのみであるべきである。これは、弁ポジショナで、安全コントローラ12により検出できる。従って、圧力均等化の作動のウィンドウは、例えば、質量流量が検出され、基準が満たされたときに開始でき、安全コントローラ12が、ディスペンサノード弁(Dispenser Node Valve)及びディスペンサノズル弁(Dispenser Nozzle Valve)が共に閉じた位置であることを検出したときに終了される。
【0116】
このSIFは、圧力トランスデューサP2(安全測定装置18b)からの入力を必要とし、この入力に基づいて、安全コントローラ12は弁V3(最終安全要素20b)を制御する。そのような制御は、例えば、60秒以内に圧力が均等化されない場合に、水素の流量を停止することを含むことができる。
【0117】
SIFの第2の例は、燃料補給スタートアップの際の漏洩チェックに関する。ディスペンサ14のホース15は、HRS1と車両3との間の直接インタフェースである。安全且つ信頼性のある燃料補給を確実にするために、ホース15は、燃料補給スタートアップシーケンスにおいてチェックされ、所与の時間枠の間に、有意の圧力を失ってはならない。このSIFは、燃料補給の特別なフェイズ、すなわち、ホース燃料補給漏洩チェックの間の安全として意図されている。
このSIFは、プロセスコントローラ13と安全コントローラ12が、水素ライン21における流量を検出したときに開く作動のウィンドウにおいて、HRS1の作動をトリップできるのみであるべきである。ウィンドウは、漏洩チェックが完了したときに閉じる。
このSIFのロジックは、弁V4の位置を監視する弁ポジショナV4posと、圧力トランスデューサP2と、温度トランスデューサT1を含む安全測定装置18bからの入力を必要とする。これらの入力に基づいて、安全コントローラ12は、弁V3を含む最終安全要素20bを制御する。
そのような制御は、例えば、1バール及び50℃の違いが第1の圧力/温度チェックと、例えば2秒の時間間隔をおいた、第2の圧力/温度チェックとの間にあるときに、弁V3を閉じることを含むことができる。
【0118】
SIFの第3の例は、ディスペンサにおける、過剰水素流量監視に関する。ディスペンサ14における水素流量は、既知の流量規制全体にわたる圧力差に基づいて計算される。質量流量は、2つの圧力トランスミッタを含み、中間制御弁が閉じられた場合は、水素の流量を不可とし、誤った流量計算という結果になる。これを回避するために、上記の制御弁の状態が、弁ポジショナ(Valve Positioner)により、安全コントローラ12に供給される。測定された(計算された)質量流量が、容認可能な限界を、弁が開いている間に、例えば、2秒より長く超える場合は、燃料補給は、弁のような最終安全要素20bを閉じることによる停止される。この安全統合システムに対する作動のウィンドウは、HRS1の通常作動の間は、常に開いている。
【0119】
このSIFのロジックは、ディスペンサ14における水素の質量流量の入力と、ノズル弁の状態を監視する弁ポジショナからの信号を必要とする。従って、ディスペンサ14における計算された質量流量が、例えば、0.060kg/秒の限界を、制御弁ポジショナがノズル弁は開いていることを示している間に、2秒より長く超えた場合は、コンプレッサの作動はトリップし、最終安全要素20bは閉じ、HRS1における異なる位置での水素流量を停止する。更に、プロセスコントローラ13は通知される。このSIFからのトリップは、手動によるリセットを必要とする。
【0120】
SIFの第4の例は、水素供給圧力監視である。主要燃料補給期間の間、HRSは、燃料補給ルックアップテーブルに基づいて、平均圧力傾斜率(Average Pressure Ramp Rate)値を目標に圧力を加える。加えられる圧力は、主要燃料補給期間経過時間に基づく、上方及び下方許容誤差内であるべきである。主要燃料補給期間の最初の5秒間を除いて、圧力傾斜を、上方及び下方許容誤差内に維持することができない場合は、HRSは、5秒以内に燃料補給を停止すべきである。このSIFは、燃料補給の特別なフェイズ(主要燃料補給状態)の間の安全として意図され、安全コントローラ12が必要な燃料補給パラメータを判定したときに開き、燃料補給完了状態になったとき、すなわち、弁ポジショナが、ホース及びノズルの水素の放出を容易にする放出弁が開いていると測定したときに閉じる作動のウィンドウにおいて、トリップができるのみであるべきである。
このSIFのロジックは、ノズル圧力トランスミッタからの入力を必要とし、この圧力が上方及び下方閾値の間であることを監視する。上方閾値を超えると、安全コントローラは、HRS1の作動をトリップする。圧力が、下方閾値を下回ると、ポーズタイマーが作動していない限り、HRS1の作動はトリップされる。主要燃料補給状態の最初の5秒間を除いて、ノズル圧力が1/2×平均圧力傾斜率より小さい圧力増加を体験すると、ポーズタイマーが指定され、すなわち、ノズル圧力の測定及び格納が一時中断される。ポーズタイマーがオンの間、上方及び下方圧力許容誤差(Upper and Lower Pressure Tolerance)は一定に保たれ、圧力は、HRS1の作動のトリップを容易にすることなく、閾値以下に低下できる。
ポーズタイマーは、ディスペンサ供給圧力トランスミッタが、1/2×平均圧力傾斜率を超える圧力増加を体験すると停止され、上方及び下方圧力許容誤差の展開がここで再開される。例えば、20から35秒後に、ポーズタイマーがタイムアウトとなる場合、HRS1の作動がトリップされると好適である。更に、ノズル圧力から、一時中断中(例えば、水素供給の変更を容易にするための間)の間に測定された圧力を差し引いた圧力の絶対値が、100バールよりも小さく、ノズル圧力が、下方閾値未満である場合で、ポーズタイマーが停止されてから、例えば、最大10秒が経過するときも、HRS1の作動はトリップされる。これにより、例えば、バンクシフトの間に最初に気付かれる、燃料補給中の漏洩の徴候が得られる。
【0121】
SIFの第5の例は、ディスペンサ14における冷却区分の監視に関する。いずれの冷却区分、すなわち、30秒のスタートアップ期間の後、及び、意図的非燃料補給時間(Intended Non−Fueling Time)(例えば、バンクシフト(水素源の変更)、中間漏洩チェックなどにおいて起こる)後10秒後の、燃料補給の速度に対して決定する水素の温度間隔に対して、冷却区分は、その対応する温度範囲を維持すべきである。そのような温度範囲の例としては、マイナス33℃からマイナス40℃のT40冷却区分に対する温度範囲を挙げることができ、ここにおいて、水素温度が20秒以内に範囲に戻る場合は、マイナス30℃の水素温度も容認される。HRS1が燃料供給温度を、これらの冷却区分温度範囲に保持できない場合は、HRSの性能を削減する後退手順に従うか、可能な限り迅速に、しかし5秒以内に燃料供給を停止すべきである。上記の温度範囲は冷却区分(Cooling Catergory)として定義され、この安全計装機能が、アクティブに水素温度を監視する30秒前に決定される。従って、この安全計装機能の意図は、冷却区分の変化を倍にする、分配された水素の温度の変化は、シャットダウンという結果としなくてはならないということである。この安全計装機能は、燃料補給の特別なフェイズ(主要燃料補給状態)の間の安全として意図され、作動のウィンドウにおいてトリップができるのみであるべきであり、作動のウィンドウは、燃料補給パラメータの状態(Refueling Parameter State)(平均圧力傾斜率と目標圧力のような燃料補給を開始するために必要なパラメータが判定される状態)の後、30秒開き、燃料補給完了又は停止状態(Complete or stop Refueling State)(燃料補給が終了した状態)に入ると、閉じる。
この安全計装機能は、ノズル温度測定装置から入力を得るので、ノズル温度が、現在の冷却区分に対する上限を超えた場合、「より熱い」冷却区分への変更が開始され、この変更について信号がプロセスコントローラ13に提供される。ノズル温度が、上限を2回超えると、安全コントローラ12がHRS1の作動をトリップすることが行われ、プロセスコントローラ13は通知される。
【0122】
SIFの第6の例は、ディスペンサ14における、水素中間圧力監視に関する。主要燃料補給期間の間、HRS1は、燃料補給ルックアップテーブルに基づく、平均圧力傾斜率値を目標として圧力を加える。加えられる圧力は、主要燃料補給期間経過時間に基づく、上方及び下方閾値(平均圧力傾斜率の上方及び下方限界を定義する)内になるべきである。主要燃料補給期間の最初の5秒を除いて、HRS1は、圧力傾斜を上方及び下方閾値内に維持できない場合は、5秒以内に燃料供給を停止すべきである。このSIFは、平均圧力傾斜率の閾値に関連する圧力を監視し、一時中断及び冷却区分の変更、及びバンクスイッチは、閾値の通常の時間依存展開を変更する可能性があるので、SIFは、平均圧力傾斜率の閾値を継続的に更新しなければならない。
このSIFの意図は、車両の燃料補給の間の圧力が、平均圧力傾斜率を定義する指定閾値を外れた場合は、これは、HRSの作動のトリップ、又は、ある期間の後に自動的にリセットされる燃料補給プロセスの少なくとも停止という結果にしなければならないということである。
このSIFは、燃料補給の特別なフェイズ(主要燃料補給状態)の間の安全として意図され、安全コントローラ12が、平均圧力傾斜率又は目標圧力のような必要な燃料補給パラメータを判定したときに開き、燃料補給完了状態(Complete Refueling State)になったとき、すなわち、例えば、ホース及びノズルから水素を放出する放出弁がプロセスコントローラ13により開けられたときに閉じる作動のウィンドウにおいてトリップができるのみであるべきである。
このSIFのロジックは、好ましくは、SIFの第4の例において上述したノズル圧力センサとは異なるノズル圧力センサからの入力を必要とする。このSIFのロジックは、同じ出力を有する、上述した第4の例のロジックのロジックとして作動する。
【0123】
SIFの第7の例は、目標圧力監視に関する。目標圧力は、安全燃料補給に対する上限を定義する。プロセスコントローラ13は、目標圧力(Target Pressure)から許容誤差を差し引いた圧力を、首尾よく終了する燃料補給を認識するために使用し、一方、安全コントローラ12は、このSIFを通してシャットダウンを行わなければならない。目標圧力は、燃料補給パラメータの状態において決定されるが、通信が途絶えた場合は、変更できる。通信の途絶えに対処するために、ステーションは、目標圧力を、通信あり燃料補給(refueling with Communication)から、通信なし目標圧力(Target Pressure without Communication)に変更できる。通信が途絶えたときに、ノズル圧力が非通信目標圧力(Non−communication Target pressure)を超えた場合は、燃料補給は停止される。このSIFの意図は、プロセスコントローラ13が燃料補給の目標圧力から許容誤差を差し引いた圧力への到達に対する行動に失敗した場合に、HRS1の作動のトリップを強制するということである。目標圧力から許容誤差を差し引いたものは、燃料補給の成功する終了を決定する1つの手段である。
【0124】
このSIFは、燃料補給の特別なフェイズ(圧力均等化状態(Pressure Equalization State))の間における安全として意図され、パラメータが開始されたときに開き、燃料補給完了状態が達成されたときに閉じる作動ウィンドウにおいて、トリップができるのみであるべきである。このSIFのロジックは圧力トランスミッタ(例えば、ディスペンサ圧力供給トランスミッタと目標圧力)である。安全コントローラ12は、目標圧力のルックアップテーブル値を読まなければならず、安全コントローラは、目標圧力のルックアップテーブル値を、例えば、事前冷却温度区分の変更により、燃料補給充填シーケンスの間に変更できるということを知っていなければならない。従って、SIFは、ルックアップテーブル値をその作動のウィンドウ内で実行し、従って、SIFは、ルックアップ値を、圧力測定値と比較するだけである。
ディスペンサ圧力供給トランスミッタが目標圧力を超えた場合は、HRS1の作動はトリップされる。しかし、安全コントローラ12が、通信が途絶え、ディスペンサ圧力供給トランスミッタが、通信が途絶えたときの、車両との通信なしの燃料補給において容認される目標圧力よりも高いことを記録すると、10秒間待つ。この10秒の間に、圧力が50バールを超えて降下した場合は、プロセスコントローラ13は、燃料補給完了状態に入ったと仮定され、このSIFはもはやアクティブではなくなる。
このSIFによるHRS1のトリップは、コンプレッサの作動をトリップすることを含み、幾つかの安全最終要素20bは、閉じられて、HRS1における異なる位置での水素流量を停止する。更に、プロセスコントローラ13は通知される。このSIFからのトリップは、手動によるリセットが必要である。
【0125】
SIFの第8の例は、ディスペンサ14における車両開始圧力監視に関する。スタートアップの間に測定された初期圧縮水素ストレージシステム圧力は、規格SAE J2601のルックアップテーブルの適用において、P0として使用される。測定された初期CHSS圧力が5バール未満、又は、圧力クラス公称作動圧力(700MPa)より高い場合は、HRS1は、可能な限り早く、しかし5秒以内に燃料補給手順を停止しなければならない。このSIFは、質量流量がある限界を超えたときにウィンドウが閉じる作動のウィンドウ内で作動する。質量流量は、各パルスに対して、瞬間的にはゼロとは異なってよいが、しかし、25g/sを超える定常質量流量のみが、首尾よく達成される圧力均等化状態を示すべきである。このSIFの意図は、開始圧力が安全範囲内であることを確実にすることであって、そうでない場合は、燃料補給を拒絶しなければならない。
このSIFは、燃料補給の特別なフェイズ(圧力均等化状態)の間の安全として意図され、燃料補給要求(Refueling Request)の後25秒開き、25g/sより高い質量流量が、1から5秒の間一貫して記録されるときに閉じる作動のウィンドウにおいてHRS1の作動をトリップできるのみであるべきである。
このSIFのロジックは、圧力供給圧力を測定する圧力センサからの入力を必要とし、ディスペンサを通しての、質量流量に関連する安全コントローラからの入力を必要とする。下記のシーケンスが、燃料補給手順が作動ウィンドウ内のときに行われる。
例えば、60秒でタイマーを開始する。
ディスペンサ供給圧力トランスミッタ測定値が安全範囲、例えば、5バールから700バールの範囲外の場合は、HRS1の作動はトリップされ、プロセスコントローラ13は通知される。
例えば、60秒後のタイムアウトが、質量流量基準(例えば、2秒間の25g/s)を記録することなく経過すると、HRS1の作動はトリップされ、プロセスコントローラ13は通知される。
このSIFは、例えば、60秒後に自動でリセットできる。
【0126】
上記には、安全コントローラ12により行われる制御と監視を説明するために幾つかのSIFのみを記述した。SIFの上記の例において、センサ/トランスデューサは測定装置18bであり、トリップを容易にする最終要素は、20bと称されるということは言及されるべきである。
【0127】
上記のように、安全コントローラ12は、好ましくは、トリップ又は他の制御行動が行われた場合に、プロセスコントローラ13に情報を提供する。安全計装機能が、規格に準拠していることが分かった場合もまた情報を提供できる。
【0128】
本発明のHRSは、ボート、列車、航空機など、車両以外の燃料充填にも使用できるということは言及されるべきである。
【0129】
更に、上記では明確ではない場合、記述又は例示されたすべての実施の形態及び特徴は、所望のHRS設計/制御を達成するために組み合わせることができるということがここにおいて言及される。
【0130】
最後に、HRS1は、プロセス及び安全コントローラによるHRSの安全なシャットダウンを容易にするUPS(連続電力供給電源(Uniterruptible Power Supply))を備えると好適であるということは言及されるべきである。
【符号の説明】
【0131】
1 HRS2 受取り容器
3 車両
4 水素供給ネットワーク
5 外部水素ストレージ
6 内部水素ストレージ
7 一時的水素ストレージ
8 コンプレッサ
9 冷却システム
10 制御及び監視システム
11 HRS筐体
12 安全コントローラ
13 プロセスコントローラ
14 ディスペンサ
15 ホース
16 ノズル
17 供給ライン
18 測定装置
18a プロセス測定装置(Vp1、P1s)
18b 安全測定装置(UI、P1p)
19 水素ライン
20 最終要素
20a 最終プロセス要素(V1)
20b 最終安全要素(V2)
21 水素ライン
22a、22b、22c 通信ライン
A 水素ラインにおける圧力測定領域