特許第6656593号(P6656593)IP Force 特許公報掲載プロジェクト 2022.1.31 β版

ホーム > 特許ランキング > 横河電機株式会社

このエントリーをはてなブックマークに追加

知財求人 - 知財ポータルサイト「IP Force」

▶ 横河電機株式会社の特許一覧

特許6656593安全計装制御装置及びその方法並びに安全計装システム
<>
  • 特許6656593-安全計装制御装置及びその方法並びに安全計装システム 図000002
  • 特許6656593-安全計装制御装置及びその方法並びに安全計装システム 図000003
  • 特許6656593-安全計装制御装置及びその方法並びに安全計装システム 図000004
  • 特許6656593-安全計装制御装置及びその方法並びに安全計装システム 図000005
  • 特許6656593-安全計装制御装置及びその方法並びに安全計装システム 図000006
  • 特許6656593-安全計装制御装置及びその方法並びに安全計装システム 図000007
  • 特許6656593-安全計装制御装置及びその方法並びに安全計装システム 図000008
< >
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】6656593
(24)【登録日】2020年2月7日
(45)【発行日】2020年3月4日
(54)【発明の名称】安全計装制御装置及びその方法並びに安全計装システム
(51)【国際特許分類】
   G05B 23/02 20060101AFI20200220BHJP
【FI】
   G05B23/02 301Z
【請求項の数】12
【全頁数】25
(21)【出願番号】特願2017-80651(P2017-80651)
(22)【出願日】2017年4月14日
(65)【公開番号】特開2018-180995(P2018-180995A)
(43)【公開日】2018年11月15日
【審査請求日】2018年9月25日
(73)【特許権者】
【識別番号】000006507
【氏名又は名称】横河電機株式会社
(72)【発明者】
【氏名】森田 麗衣
【審査官】 藤井 浩介
(56)【参考文献】
【文献】 特開2017−059115(JP,A)
【文献】 特開2009−181394(JP,A)
【文献】 特開平06−314390(JP,A)
【文献】 実開昭64−046897(JP,U)
【文献】 特開平08−128772(JP,A)
【文献】 特開2014−059645(JP,A)
【文献】 特開2010−033118(JP,A)
【文献】 特開2004−030429(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
G05B 23/00−23/02
(57)【特許請求の範囲】
【請求項1】
異常検知に基づき、リセット操作があるまで、アラーム出力を続けるフィールド機器からの出力に基づき表示装置にアラームメッセージを送信する安全計装制御装置において、
前記表示装置におけるアラーム表示の抑制対象として予め定められる前記フィールド機器から構成されるグループを識別するグループIDを記憶する記憶部と、
前記リセット操作後、所定時間経過までタイマーカウントを行うリセット管理部と、
前記グループIDに属する前記フィールド機器のうち少なくともいずれかについてのタイマーカウント中は、該グループIDに属する機器に係る前記アラームメッセージに表示抑制情報を付与し、この情報に基づきアラーム表示を抑制する診断部と、
を備えたことを特徴とする安全計装制御装置。
【請求項2】
前記記憶部は、
自装置に接続される入出力モジュールにおける前記各フィールド機器が接続されるチャネル情報と前記グループIDとが対応づけられた定義情報を記憶し、
前記診断部は、
前記フィールド機器からの出力を受信した入出力モジュールのチャネル情報に基づき、前記定義情報を参照して、前記リセット操作対象のフィールド機器の属するグループIDを特定する
ことを特徴とする請求項1に記載の安全計装制御装置。
【請求項3】
前記診断部は、
前記フィールド機器の出力値に基づいて、自装置の被制御対象であるプロセス制御における異常を検出し、前記表示装置に表示するためのアラームメッセージとしてプロセスアラームを送信するプロセスアラーム診断部を有する
ことを特徴とする請求項1または2に記載の安全計装制御装置。
【請求項4】
前記診断部は、
前記フィールド機器から出力に基づいて、自装置、前記入出力モジュール、前記各フィールド機器、または、これらの接続状態のうち少なくともいずれかの状態を診断してシステムの異常を検出し、前記表示装置に表示するためのアラームメッセージとしてシステムアラームを送信するシステム診断部を有する
ことを特徴とする請求項に記載の安全計装制御装置。
【請求項5】
前記アラームメッセージの表示を抑制することには、アラームメッセージを表示しないこと、または、通常とは異なる態様でアラームメッセージを表示することを含む、
ことを特徴とする請求項1〜4のいずれかに記載の安全計装制御装置。
【請求項6】
前記定義情報は、前記リセット操作の対象となる少なくとも1個以上の前記フィールド機器を識別するリセット識別情報と前記グループIDとが対応づけられており、
前記リセット管理部は、
前記リセット操作に基づき、前記定義情報を参照して前記リセット識別情報から前記グループIDを特定し、該グループIDのタイマーカウントを開始する
ことを特徴とする請求項2または4に記載の安全計装制御装置。
【請求項7】
前記入出力モジュールにリセット指令を送信するリセット部を備え、
前記リセット部は、
前記リセット操作と、前記定義情報と、前記リセット識別情報とに基づいて、前記特定されたチャネルを介して前記各フィールド機器が接続されるチャネル情報を特定し、リセット指令を送信する
ことを特徴とする請求項に記載の安全計装制御装置。
【請求項8】
前記リセット中か否かにかかわらずアラームが保存される履歴保存部と、
前記フィールド機器の起動状態を管理する起動状態管理部と、
を具備し、
前記診断部は、前記タイマーカウント終了後、前記起動状態管理部を確認し、前記フィールド機器のいずれかが復帰していない場合、前記履歴保存部に保存されたリセット中のアラームを前記表示装置に再送することを特徴とした請求項1〜のいずれかに記載の安全計装制御装置。
【請求項9】
請求項1〜に記載の安全計装制御装置と、
前記表示装置におけるアラーム表示の抑制対象として予め定められる前記フィールド機器から構成されるグループを識別するグループIDおよび/または前記安全計装制御装置に接続される入出力モジュールにおける前記各フィールド機器が接続されるチャネル情報と前記グループIDとが対応づけられた定義情報を予め定義し、前記制御装置の記憶部へダウンロードするエンジニアリング端末と、
を備えたことを特徴とした、安全計装システム。
【請求項10】
前記安全計装制御装置と、
前記安全計装制御装置から送信されたアラームメッセージを、ネットワークを介して受信し、前記アラームメッセージに表示抑制情報が付与されている場合は前記アラームメッセージの表示を抑制し、前記アラームメッセージに表示抑制情報が付与されていない場合は前記アラームメッセージを表示する表示装置と、
を備えたことを特徴とした、請求項に記載の安全計装システム。
【請求項11】
異常検知に基づき、リセット操作があるまで、アラーム出力を続けるフィールド機器からの出力に基づき表示装置にアラームメッセージを送信するプラント制御方法において、
前記表示装置におけるアラーム表示の抑制対象として予め定められる前記フィールド機器から構成されるグループを識別するグループIDを記憶するステップと、
前記リセット操作後、所定時間経過までタイマーカウントを行うステップと、
前記グループIDに属する前記フィールド機器のうち少なくともいずれかについてのタイマーカウント中は、該グループIDに属する機器に係る前記アラームメッセージに表示抑制情報を付与するステップと、
を含むことを特徴とするプラント制御方法。
【請求項12】
更に、前記制御装置に接続される入出力モジュールにおける前記各フィールド機器が接続されるチャネル情報と前記グループIDとが対応づけられた定義情報を記憶するステップと、
前記フィールド機器からの出力を受信した入出力モジュールのチャネル情報に基づき、前記定義情報を参照して、前記リセット操作対象のフィールド機器の属するグループIDを特定するステップと、
を含むことを特徴とする請求項11に記載のプラント制御方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、プラントやビル等の監視に使用されるガス検知器、炎検知器、熱検知器、および煙検知器(以下、F&G(Fire and Gas)機器と総称する。)の少なくともいずれかを備え、F&G機器の出力に基づき監視対象の安全管理を実行する安全計装システムに関する。
【背景技術】
【0002】
従来から、プラントや工場等(以下、これらを総称する場合には、単に「プラント」という)においては、工業プロセスにおける各種の状態量(例えば、圧力、温度、流量等)を制御するプロセス制御システムが構築されており、高度な自動操業が実現されている。このプロセス制御システムは、安全性を確保しつつ高度な制御を行うために、分散制御システム(DCS:Distributed Control System)等の制御システムと、安全計装システム(SIS:Safety Instrumented System)等の安全システムとを備える。
【0003】
安全計装システムは、有毒薬品の溢流、爆発などの如き深刻な災害になるおそれのある問題が発生した場合、プラント内の安全に関する重要な問題を検出し、バルブの閉鎖、フィールド機器電力の切断、プラント内のフローの切換えなどを実行してプラントを安全側に停止させるシステムである。安全計装システムは、プロセス制御システムの一部として、或いは、プロセス制御システムとは独立して設けられる。
【0004】
従来の安全計装システムにおいては、ガス、炎、熱、煙等を検知するF&G機器を備えており、F&G機器による測定結果または検知結果に応じてアラームを出力する。下記特許文献1には、F&G機器を用いた安全計装システムが開示されている。たとえば、安全計装システムは、F&G機器の測定値が所定の閾値を超えることにより異常を検出し、アラームを操作監視端末に出力して、操作監視端末の表示部にアラームメッセージを表示する。更に、F&G機器の測定値が予め定められた所定の条件を満たすことによりトリップを検出し、安全計装システムはプラントを安全側に停止させるプラントシャットダウンを実行する。これらの動作は、安全計装システムにおいて実行されるアプリケーションプログラムによって実現される。
【0005】
F&G機器は、ガス、炎、熱、煙等の異常を一旦検知すると、異常の原因が取り除かれた後でも異常を示す測定値であるアラーム値を出力し続ける仕様になっている。これは、異常が解消された後、安全を確認した上で、プラントの運転員の意思でアラームを解除する必要があるためである。プラントの運転員が異常発生を確認した後、このF&G機器の異常検知の状態をリセットするためには、F&G機器に供給している電力を一旦遮断しなければならない。そのため、F&G機器を用いた安全計装システムでは、F&G機器に電力を供給する電源を一時的にオフすることによってF&G機器をリセットする方法が、従来から使用されている。例えば、従来の安全計装システムでは、電源からF&G機器に電力を供給するために接続される電源ラインの途中にリレー回路を設け、そのリレー回路に接続されたスイッチなどの入力手段からの入力によりリレー回路がF&G機器への電力の供給を遮断する回路とすることによって、プラントの運転員の意思によりF&G機器をリセットし、アラームを解除することを可能としていた。
【先行技術文献】
【特許文献】
【0006】
【特許文献1】特願2015−185017号公報
【特許文献2】US8、354、935B2号公報
【発明の開示】
【発明が解決しようとする課題】
【0007】
安全計装システムは、システムの異常やプロセスの異常を検出し、アラームメッセージを操作監視端末の表示部に表示する機能を備える。例えば入力信号に断線がある場合は、システムの異常および/またはプロセスの異常として検出され、断線が発生した旨のアラームメッセージが操作監視端末の表示部に表示される。プラントの運転員は、操作監視端末の表示部に表示されたアラームメッセージに基づいてメンテナンス等を行う。
【0008】
安全計装システムが備えるF&G機器が出力するアラーム値に基づいて、安全計装システムは異常を検出し、操作監視端末の表示部にアラームメッセージを表示する。プラントの運転員は、このアラームメッセージを操作監視端末の表示部で確認することができる。異常が解消された後、プラントの運転員は安全を確認した上で、プラントの運転員の意思でアラームを解除する。そのため、たとえば、リセット手段等によりF&G機器をリセットすることが可能な安全計装システムが従来から用いられている。リセットされたF&G機器は、一定の時間の経過後、再度起動して通常の稼働状態に戻る。
【0009】
F&G機器がリセットを開始してから起動するまでの間(以下、「リセット中」という。)、F&G機器の出力は通常の稼働状態の出力とは異なる不定値を出力するため、安全計装システムは、例えば断線といったシステムの異常あるいはプロセスの異常として検出し、アラームメッセージが操作監視端末において表示される。なお、システムの異常はプラント制御システムを構成する制御装置に設けられたシステム診断部によって検出される。プロセスの異常は制御装置で実行されるアプリケーションプログラム(アプリケーションロジック)によって検出される。検出されたシステムの異常及び検出されたプロセスの異常はアラームメッセージとして制御装置から操作監視端末へ送信され、操作監視端末は受信したアラームメッセージを表示部へ表示する。
しかしながら、この場合に表示されるアラームメッセージは、F&G機器がリセットされたことによって表示されてしまうものであり、システムの異常またはプロセスの異常を示すアラームメッセージとはいえない。そのため、プラントの運転員はこのアラームメッセージに基づいて、プラント設備のメンテナンス等をするべきではない。このような問題を解決するべく、従来から、F&G機器がリセット中におけるアラームメッセージを操作監視端末の表示部に表示しないアラームの表示抑制の技術が用いられていた。
【0010】
例えば、従来は、リセット中のアラーム検出を行わないロジックをアプリケーションプログラムで組むことにより、アラームの表示抑制を行っていた。
【0011】
安全計装システムは、プラントのプロセスの異常についてのアラームであるプロセスアラームの代用として、アナンシェータ(プロセスの状態が異常になったことを運転員に伝達する手段として、表示装置に表示すると同時に、信号を発して注意を促す手段)を用いていた。そして、F&G機器がリセット中の場合は、制御装置はプロセスの異常の検出を行わないことによってアナンシェータのメッセージを操作監視端末へ送信せず、F&G機器がリセット中ではない場合は、制御装置はプロセスアラームを検出することによってアナンシェータのメッセージを操作監視端末へ送信するアプリケーションプログラムをエンジニアが提供することによって対策されていた。
しかしこの場合、エンジニアは、新たなプラントの制御設計又は設計変更に応じて新しくアプリケーションプログラムを組む度に、従来は不要であったリセット中のアラームの抑制を行うロジックを組まなければならないため、その分のシステム資源を余計に消費する等の問題や、エンジニアリング工数、費用が掛かる問題があった。
【0012】
また、安全計装システムは、安全計装システムそのもの又はその一部の異常を知らせるためのアラームであるシステムアラームを取り扱う。このシステムアラームは、上述のアプリケーションプログラムとは別の機能として安全計装システムに設けられたシステム診断部で検出される。システムそのものまたはその一部から異常が検出されると、システム診断部からアラーム信号が送信され、操作監視端末でアラームメッセージが表示される。
しかしながら、操作監視端末の表示部へのアラームメッセージの表示を抑制することが必要である一方で、操作監視端末の有するアラーム管理機能はアラーム解析等を目的として、全てのシステムアラームを取り扱う必要がある。システムアラームの通知は安全システムの根幹たるSIL2の認証に関わる部分であるためである。このため、リセット中のシステムアラームの表示を抑制する方法として、アプリケーションプログラムからシステム診断部を制御してシステムのアラームの発報を停止する方法が考えられるが、アラームの発報を停止している間は操作監視端末に送信されるはずのアラームが送信されないことになるため、操作監視端末の有するアラーム管理機能が、発生する全てのシステムアラームを取り扱うことができなくなるので採用されていなかった。そこで、リセット中のアラームの表示抑制をする場合のシステムアラームは、システム診断部の代わりに、アプリケーションプログラムで使用可能なアナンシェータで代用されていた。具体的には、システム診断部の動作をオフにするように制御装置の稼働前に予め設定してシステム診断部が動作しないようにしておき、制御装置の稼働中はアプリケーションプログラムでシステムの異常を検出することによってアナンシェータメッセージを操作監視端末へ送信する方法がとられていた。さらに、F&G機器がリセット中の場合は、アプリケーションプログラムでシステムの異常の検出を抑制することによってアナンシェータメッセージを操作監視端末へ送信しないようにする方法がとられていた。
このように、安全計装システムにF&G機器を制御対象とした新たなアプリケーションプログラムを構築する度に、システムアラームを抑制するためのアプリケーションロジックを構築しなければならないため、その分のシステム資源を余計に消費する等の問題や、エンジニアリング工数、費用が掛かる問題があった。
また、システム診断部の動作をオフにする設定をするため、その設定の漏れ等のヒューマンエラーが起こり得る問題があった。さらに、アナンシェータは本来、プロセスの異常に関するメッセージを表示するためのものであり、アナンシェータメッセージは、プロセスについてのアラームメッセージを表示するために設けられた表示装置の所定の場所に表示されるものの、システムアラームを表示するために設けられた表示装置の所定の場所に表示できないため、対策としては不十分であるという問題があった。
【0013】
F&G機器がリセット中の場合、システムアラームの表示を抑制できない理由について更に詳しく説明する。図2は、従来の安全計装システムの一例を示す構成図である。安全計装システム200は、主に、安全コントローラなどの安全制御装置1、操作監視端末2、入出力インタフェース部220〜223、F&G機器206−1〜206−3、F&G機器206−1、206−2をリセットするためのスイッチ225、F&G機器206−1〜206−2に電力を供給するための外付けの電源227、F&G機器206−1〜206−2に供給される電力を遮断するためのリレー回路226、F&G機器206−3に電力を供給するための外付けの電源228、アプリケーション実行部214、プロセス制御システムとの結合部215から構成される。
【0014】
アプリケーション実行部214で実行されるアプリケーションロジックを構成する機能ブロック214−1A、214−1B、214−1Cは、フィールド機器(F&G機器を含む。)を制御する為に制御コントローラ内で動作する演算、制御等を行うものであり、図2においては、F&G機器206−1〜206−3の出力するデータに基づいてプラントのプロセスを診断し、プロセスアラームを検出する機能を有する。写像ブロック215A、215B、215Cは、安全制御システムとプロセス制御システムを論理的に結合する、プロセス制御システムとの結合部215の一部であり、図2においては機能ブロック214−1A、214−1B、214−1Cが検出したプロセスのアラーム信号を、プロセス制御システムの一部である操作監視端末2へメッセージ送信部13を介して送信する。
【0015】
リセットスイッチ225が押下されると、入出力インタフェース部220を介してリセット信号が機能ブロック214−1Aに入力される。入力されたリセット信号に基づいて機能ブロック214−1Aから出力されるリセット信号は、入出力インタフェース部222を介してリレー回路226に出力される。F&G機器206−1、206−2は、電源(PS)227から電力が供給されているが、リレー回路(RL)226にリセット信号が入力された場合、リレー回路226により電力の供給は一時遮断されるため、F&G機器206−1、206−2はリセットされる。
【0016】
F&G機器206−1の出力は、入出力インタフェース部221のチャネルCH1を経て、システム診断部211を介して機能ブロック214−1Aに接続されている。F&G機器206−2の出力は、入出力インタフェース部221のチャネルCH2を経て、システム診断部211を介して機能ブロック214−1Bに接続されている。したがって、F&G機器206−1、206−2がリセットされることによりリセット中に通常の稼働状態の測定値とは異なる不定の値を出力すれば、システム診断部211は入出力モジュールIOM2のチャネルCH1と入出力モジュールIOM2のチャネルCH2についてのシステムアラームのアラーム信号を、メッセージ送信部13を介して操作監視端末2に送信する。また、リセットされていないF&G機器206−3からはリセットによる通常の稼働状態の測定値とは異なる不定の値は出力されないため、システム診断部11は入出力モジュールIOM4のチャネルCH1についての前記不定の値に起因したシステムのアラーム信号を送信しない。また、機能ブロック214−1A,214−1Bはプロセスの異常を検出し、写像ブロック214A、214Bはメッセージ送信部13を介して操作監視端末2へプロセスアラームのアラーム信号を送信する。また、機能ブロック214−1Cは、プロセスの異常を検出しないため、写像ブロック215Cはアラーム信号を送信しない。
【0017】
上述のように、システム診断部211が検出する入出力モジュールIOM2のチャネルCH1と入出力モジュールIOM2のチャネルCH2についてのリセット中のシステムアラームは、F&G機器206−1、206−2のリセットにより発生したものであって、本来検出される正しいアラームではないため、表示抑制されるべきものである。
しかしながら、システム診断部211は、前記システムアラームがF&G機器206−1、206−2がリセットされたことにより発生したものか否か判断する手段がないため、アラームの表示を抑制することはできない。このような判断をするためには、システム診断部211にどの入出力インタフェース部のどのチャネルCHにリセットスイッチからのリセット信号が入力され、それにより、どの入出力モジュールのどのチャネルに接続されたF&G機器がリセット中になるかの情報が入力される必要がある。
しかし、安全計装システムの制御装置1では、安全計装システムが稼働している場合に、システム診断部211へ、どの入出力インタフェース部のどのチャネルCHのリセットスイッチからのリセット信号が入力されたかの情報、すなわちリセット入力手段の実装位置の情報、を伝達することができる仕組みを作ることができない。安全計装システムが国際標準規格IEC61131−3に準拠することによる。図2の構成では、リセットスイッチ225からのリセット信号は、入出力インタフェース部220を介してシステム診断部211に入力される。しかし、上記の通り、システム診断部211は、入出力インタフェース部220を介したリセットスイッチ225の実装位置情報を、取得することができない。そこで、リセットスイッチ225の実装位置情報をシステム診断部211に設定するためには、予めエンジニアリング端末3から手動で定義する必要が出てくる。しかし、この方法は、エンジニアリングの作業の負荷が増え、ミスの原因にもなるため現実的ではない。また、リセット信号が、操作監視端末2に実装される計器図(図示しない)から写像ブロック215A、215B、215Cを介して、機能ブロック214−1A、214−1B、214−1Cに入力されることも可能である。さらに、他の端末のツール(図示しない)からネットワークNを介してリセット信号を受信して、F&G機器がリセットされる場合もある。これらのリセット入力手段によるリセット信号を、システム診断部211に入力して、さらにリセットされたF&G機器の実装位置を取得できれば、アラームの表示抑制が可能になると考えられる。しかし、システム診断部211はリセット入力手段の実装位置の情報を取得できないことと同様に、安全計装システムが国際標準規格IEC61131−3に準拠することにより、システム診断部211は、機能ブロック214−1A、214−1B、214−1Cに対応したF&G機器の実装位置情報を取得することができない。そこで、前記F&G機器の実装位置情報を、システム診断部211に設定するために、予めエンジニアリング端末3から手動で定義する必要が出てくる。しかし、上記リセットスイッチ225の場合と同様、この方法は現実的ではない。従来技術においては、これらのように、システム診断部211はリセット信号の入力先の実装位置を取得できないため、システム診断部211はアラームの表示抑制をすることができないといった問題点があった。
【0018】
リセット入力の手段に関わらず、リセット信号は機能ブロックのリセット入力端子に入力される。そのため、機能ブロック214−1Aに入力されるリセット信号に基づいて機能ブロック214−1Aから出力されるリセット信号をシステム診断部211に接続すれば、システム診断部211は、リセットが入力されたか否か判断でき得るため、あとはリセットされたF&G機器の実装位置を取得できれば、アラームの表示抑制が可能になると考えられる。しかし、F&G機器206−1の出力信号は、システム診断部211を介して機能ブロックに接続されるが、接続される機能ブロックの端子には、F&G機器がどの入出力インタフェース部のどのチャネルCHに接続しているかの情報は伝達されない。また、機能ブロック214−1A、214−1B、214−1Cが、国際標準規格IEC61131−3に準拠していることにより、該情報が伝達する仕組みを作ることは現実的でない。そのため、機能ブロックから出力されるリセット信号をシステム診断部211に接続したとしても、どの入出力インタフェース部のどのチャネルCHについてのシステムアラームを表示抑制するのか、システム診断部211は判断できないといった問題点があった。
【0019】
プロセスアラームの場合は、アプリケーションプログラムにおいて、F&G機器のリセット中は、プロセスの異常を検出しないか、または、プロセスの異常を検出してもプロセスのアラームとしてのアナンシェータメッセージを操作監視端末2へ送信しないことにより、プロセスアラームの発生を抑制していた。
【0020】
また、リセット信号は、いずれかの機能ブロックに必ず入力されることから、機能ブロックにおいてリセットが入力されたか否かの判断は可能であり、あとは同時にリセットされた全てのF&G機器の実装位置情報を機能ブロックが取得できれば、アラームの表示抑制を可能にできると考えられる。しかしながら、機能ブロック214−1A、214−1B、214−1Cが、国際標準規格IEC61131−3に準拠していることにより、該情報が機能ブロックに伝達する仕組みを作ることは現実的ではない。そのため、プロセスアラームの表示抑制をすることができないといった問題点があった。
【0021】
このように、図2に示す従来の安全計装システムの構成では、F&G機器のリセット中のシステムアラームおよび/またはプロセスアラームの表示を適切に抑制することができない。そのため、誤ったアラームの表示に基づく運転員の混乱が生じ得る。
【0022】
本発明は上記事情に鑑みてなされたものであり、リセット中のF&G機器についてのアラームを適切に表示抑制することが可能な安全計装制御装置及びその方法並びに安全計装システムを提供することを目的とする。
【課題を解決するための手段】
【0023】
(1)上記の課題を解決するため、本発明の安全計装制御装置は、異常検知に基づき、リセット操作があるまで、アラーム出力を続けるフィールド機器からの出力に基づき表示装置にアラームメッセージを送信する安全計装制御装置において、
前記表示装置におけるアラーム表示の抑制対象として予め定められる前記フィールド機器から構成されるグループを識別するグループIDを記憶する記憶部と、
前記リセット操作後、所定時間経過までタイマーカウントを行うリセット管理部と、
前記グループIDに属する前記フィールド機器のうち少なくともいずれかについてのタイマーカウント中は、該グループIDに属する機器に係る前記アラームメッセージに表示抑制情報を付与し、この情報に基づきアラーム表示を抑制する診断部と、
を備える。
【0024】
(2)また、本発明の安全計装制御装置において、
前記記憶部は、
自装置に接続される入出力モジュールにおける前記各フィールド機器が接続されるチャネル情報と前記グループIDとが対応づけられた定義情報を記憶し、
前記診断部は、
前記フィールド機器からの出力を受信した入出力モジュールのチャネル情報に基づき、前記定義情報を参照して、前記リセット操作対象のフィールド機器の属するグループIDを特定する
ことを特徴とする。
【0025】
(3)また、本発明の安全計装制御装置において、
前記診断部は、
前記フィールド機器の出力値に基づいて、自装置の被制御対象であるプロセス制御における異常を検出し、前記表示装置に表示するためのアラームメッセージとしてプロセスアラームを送信するプロセスアラーム診断部を有する
ことを特徴とする。
【0026】
(4)また、本発明の安全計装制御装置において、
前記診断部は、
前記フィールド機器から出力に基づいて、自装置、前記入出力モジュール、前記各フィールド機器、または、これらの接続状態のうち少なくともいずれかの状態を診断してシステムの異常を検出し、前記表示装置に表示するためのアラームメッセージとしてシステムアラームを送信するシステム診断部を有する
ことを特徴とする。
【0027】
(5)また、本発明の安全計装制御装置において、
前記アラームメッセージの表示を抑制することには、アラームメッセージを表示しないこと、または、通常とは異なる態様でアラームメッセージを表示することを含む、
ことを特徴とする。
【0028】
(6)また、本発明の安全計装制御装置において、
前記記憶部は、
前記リセット操作の対象となる少なくとも1個以上の前記フィールド機器を識別するリセット識別情報と前記グループIDとが対応づけられた前記定義情報を記憶し、
前記リセット管理部は、
前記リセット操作に基づき、前記定義情報を参照して前記リセット識別情報から前記グループIDを特定し、該グループIDのタイマーカウントを開始する
ことを特徴とする。
【0029】
(7)また、本発明の安全計装制御装置において、
前記入出力モジュールにリセット指令を送信するリセット部を備え、
前記リセット部は、
前記リセット操作と、前記定義情報と、前記リセット識別情報とに基づいて、前記特定されたチャネルを介して前記各フィールド機器が接続されるチャネル情報を特定し、リセット指令を送信することを特徴とする。
【0030】
(8)また、本発明の安全計装制御装置において、
前記フィールド機器の出力値に基づいてトリップを検出すると自装置の被制御対象であるプロセス制御のシャットダウンを実行するトリップ動作ロジックと、
少なくとも1個以上のフィールド機器の出力値に基づいて前記トリップが検出された場合であっても、当該フィールド機器の属する前記グループIDと、前記リセット操作の対象であり予め定められた時間が経過するまでタイマーによるカウントが行われているフィールド機器の属する前記グループIDと、が同一であれば、前記トリップ動作ロジックを実行しないアプリケーションプログラムと、
を備えたことを特徴とする。
【0031】
(9)また、本発明の安全計装システムは、
前記
安全計装制御装置と、
前記表示装置におけるアラーム表示の抑制対象として予め定められる前記フィールド機器から構成されるグループを識別するグループIDおよび/または前記安全計装装置に接続される入出力モジュールにおける前記各フィールド機器が接続されるチャネル情報と前記グループIDとが対応づけられた定義情報を予め定義し、前記制御装置の記憶部へダウンロードするエンジニアリング端末と、
を備えたことを特徴とする。
【0032】
(10)また、本発明の安全計装システムは、
前記安全計装制御装置と、
前記安全計装制御装置から送信されたアラームメッセージを、ネットワークを介して受信し、前記アラームメッセージに表示抑制情報が付与されている場合は前記アラームメッセージの表示を抑制し、前記アラームメッセージに表示抑制情報が付与されていない場合は前記アラームメッセージを表示する表示装置と、
を備えたことを特徴とする。
【0033】
(11)また、本発明のプラント制御方法は、
異常検知に基づき、リセット操作があるまで、アラーム出力を続けるフィールド機器からの出力に基づき表示装置にアラームメッセージを送信するプラント制御方法において、
前記表示装置におけるアラーム表示の抑制対象として予め定められる前記フィールド機器から構成されるグループを識別するグループIDを記憶するステップと、
前記リセット操作後、所定時間経過までタイマーカウントを行うステップと、
前記グループIDに属する前記フィールド機器のうち少なくともいずれかについてのタイマーカウント中は、該グループIDに属する機器に係る前記アラームメッセージに表示抑制情報を付与するステップと、
を含むことを特徴とする。
【0034】
(12)また、本発明のプラント制御方法は、
更に、前記制御装置に接続される入出力モジュールにおける前記各フィールド機器が接続されるチャネル情報と前記グループIDとが対応づけられた定義情報を記憶するステップと、
前記フィールド機器からの出力を受信した入出力モジュールのチャネル情報に基づき、前記定義情報を参照して、前記リセット操作対象のフィールド機器の属するグループIDを特定するステップと、
を含むことを特徴とする。
【発明の効果】
【0035】
本発明によれば、上述した従来の課題を解決でき、F&G機器の電源をリセットすることにより生ずるアラームであっても操作監視端末への表示を抑制することができ、運転員の誤アラームの表示に基づく混乱を低減することが可能となる。
【図面の簡単な説明】
【0036】
図1】本発明の第1の実施形態による安全計装システムの構成図である。
図2】従来の安全計装システムを説明する構成図である。
図3】本発明の第1の実施形態によるリセット管理部のフローチャートである。
図4】本発明の第1の実施形態によるシステムアラームの発報のフローチャートである。
図5】本発明の第1の実施形態によるプロセスアラームの発報のフローチャートである。
図6】本発明の第1の実施形態による操作監視端末のフローチャートである。
図7】本発明の第2の実施形態による安全計装システムの構成図である。
【発明を実施するための最良の形態】
【0037】
安全計装システムの具体例として、FGS(Fire and Gas System)について説明する。
FGSとは、ビルなどの建物やプラントにて発生した事故の拡大を防止するために構築されるシステムである。FGSを構築するために使用されるF&G機器は、例えば、ガス検知器、炎検知器、熱検知器、および煙検知器である。プラント等で異常が発生した場合(たとえば煙や炎等が異常に発生した場合)、F&G機器の測定値は、例えば所定の閾値を超えた値となる。F&G機器は、測定値が所定の閾値を超えると、アラームまたはアラーム値を出力する。F&G機器は、一度測定値が閾値を超えると、測定値が閾値未満に収まってもアラームまたはアラーム値を出力し続ける。これは、プラント等で発生した異常を確実に通知するためである。なお、異常が発生したときにF&G機器の測定値が所定の閾値を超えると述べたが、F&G機器の仕様によってはこれに限られない。
【0038】
図1は、本発明の安全計装システムの第1の実施例を示す構成図である。図1において、安全計装システム100は、主に、安全コントローラなどの安全制御装置(以下、制御装置という)1、操作監視端末2、エンジニアリング端末3、入出力インタフェース部4−1、4−2、F&G機器6−1〜6−3から構成される。制御装置1は、システム診断部11、アプリケーション実行部14、DCSとの統合部15、リセット部17、から構成される。入出力インタフェース部4−1は、電源(PS)7−1を具備し、入出力インタフェース部4−2は、電源(PS)7−2を具備する。
なお、1つの制御装置1は、2つの入出力インタフェース部4−1、4−2を具備しているが、この構成は一例であり、1個または3個以上の入出力インタフェース部を具備することも可能である。また、1つの入出力インタフェース部4−1は、1つの電源(PS)7−1を具備し、2つのF&G機器6−1、6−2と接続されており、また、1つの入出力インタフェース部4−2は、1つの電源(PS)7−2を具備し、1つのF&G機器6−3と接続されているが、これらの構成は一例であり、入出力インタフェース部が3個以上のF&G機器と接続され、3個以上の電源を備えることも可能である。
【0039】
制御装置1、操作監視端末2、およびエンジニアリング端末3は、例えばイーサネット(登録商標)等のネットワークNを介して接続される。操作監視端末2は、例えばプラントの運転員によって操作され、プロセス制御システムと安全計装システム100との統合環境としてプロセスの監視のために用いられる装置である。エンジニアリング端末3は、制御装置1によって実行されるプログラムを作成するための装置である。また、エンジニアリング端末3は、プログラムの作成以外にも、プログラムを実行するために必要なデータの作成や、制御装置1の各種設定を行うことにも用いる。操作監視端末2とエンジニアリング端末3とは、1つの端末で実現されてもよい。
【0040】
制御装置1は、エンジニアリング端末3で作成したアプリケーションを、エンジニアリング端末3からダウンロードされて、プラントシャットダウンその他のロジックを実行するために用いられる装置である。制御装置1は、アプリケーション実行部14と、記憶部16とを有する。記憶部16は、アプリケーション実行部14によって実行されるプログラム(アプリケーションロジック)を記憶している。アプリケーションロジックは、エンジニアリング端末3によって設定され、制御装置1へダウンロードされる。アプリケーションロジックは、エンジニアリング端末3等のグラフィカルユーザインターフェースを用いて、機能ブロック図(FBD:Functional Block Diagram)形式などで記述される。機能ブロックとは、フィールド機器を制御する為に制御コントローラ内で動作する演算、制御等の機能を持たせた単位のことである。例えば、アナログ信号や接点信号に対する汎用的な演算処理、入力指示、手動操作、信号選択、信号設定、といったさまざまな種類が用意されている。制御装置1は、エンジニアリング端末3によって作成されたアプリケーションロジックを、プログラムとして記憶部16にダウンロードし、記憶する。
【0041】
図1に示されるように、F&G機器6−1〜6−3は、配線および入出力インタフェースを介して制御装置1と接続されている。制御装置1は、F&G機器6−1〜6−3から出力されたアラームまたはアラーム値を受信する。制御装置1のアプリケーション実行部14において機能ブロック14−1A、14−1B、14−1Cはアラームまたはアラーム値を検出し、DCSとの統合部15の写像ブロック15A、15B、15Cは、F&G機器6−1〜6−3において異常を検知したことを示すアラーム信号をメッセージ送信部13から操作監視端末2に送信する。
ここで、写像ブロック15A、15B、15Cとは、安全計装システムで使用するデータをDCSとの統合環境である操作監視端末2で直接取り扱える形式に変換するためのアプリケーションロジックであり、機能ブロック(アプリケーション実行部14によって実行されるアプリケーションロジック)に付随して作成されるものである。すなわち、写像ブロック15Aと機能ブロック14−1A、写像ブロック15Bと機能ブロック14−1B、写像ブロック15Cと機能ブロック14−1Cは、それぞれ対になっている。また、写像ブロック15A、15B、15Cは、機能ブロック14−1A、14−1B、14−1Cで検出したアラームを、操作監視端末2で表示できる形式に変換する。
【0042】
メッセージ送信部は、システム診断部12、写像ブロック15A、15B,15Cが検出した異常についてのアラーム信号を操作監視端末2に送信する。操作監視端末2は、アラーム信号を受信する。受信したアラーム信号がプロセスの異常であれば、アラームの内容はプロセスアラームビュー22に表示される。受信したアラーム信号がシステムの異常であれば、アラームの内容はシステムアラームビュー23に表示される。プロセスアラームビュー22、システムアラームビュー23へは、アラームメッセージが最新のものから順に一覧表示される。表示されたアラームの内容はプラントの運転員によって確認される。
【0043】
システム診断部11は、安全計装システム100の異常を診断する。F&G機器6−1〜6−3から制御装置1が受信した測定値はシステム診断部11において所定の閾値と比較され、断線等の異常が検出された場合、制御装置1はアラーム信号をメッセージ送信部13から操作監視端末2に送信する。操作監視端末2では、受信したアラーム信号をシステムアラームとしてシステムアラームビュー23に表示する。
【0044】
操作監視端末2は、図示しない表示部と、入力部と、通信部とを有する。表示部は、例えば液晶ディスプレイ等の表示装置である。入力部は、例えばキーボードやマウス等の入力装置である。通信部は、ネットワークNを介して制御装置1と通信する。
【0045】
F&G機器6−1〜6−3は、上述のように異常の原因が解消されてもアラームまたはアラーム値を出力し続ける。F&G機器6−1〜6−3のアラームを解除するためには、F&G機器6−1〜6−3の電源をオフした後、電源をオンすることにより、リセットする必要がある。なお、F&G機器をリセットするための操作方法として、オフ操作とオン操作の計2回操作する場合と、オフ/オンを1回の操作で行う場合があり、これは構築するアプリケーションに依存する。
【0046】
操作監視端末2の通信部が制御装置1からアラーム信号を受信すると、表示部はアラームの内容(少なくともアラーム値を含む)を表示する。これによって、プラントの運転員は、プラント内における異常の発生場所や異常の内容を把握することができ、異常を解消するための対処を行うことができる。
アラームの内容は、プロセスアラームビュー22、システムアラームビュー23、計器図2−1〜2−3といったソフトウェアのウィンドウ画面に表示される。また、制御装置ではアラーム信号のアラームレベル(重警報、中警報、軽警報、記録警報、参考警報)が指定され、これらアラームレベルとともにアラームの内容が表示される。また、制御装置でアラーム信号によって非表示の指定をすることにより、アラームの内容は表示されないようにすることもできる。
【0047】
プラントの運転員は、アラームの原因となった異常が解消されたことを確認した後、必要に応じてF&G機器をリセットする操作をする。例えば、計器図2−1にF&G機器6−1のプロセスアラームの発生を示すアラームステータスが表示されている場合、機能ブロック14−1Aはアラームを検出し続けている状態であり、または、F&G機器はアラーム値を出力し続けている状態であるため、これを解除して通常の稼働状態に戻すために、計器図2−1のリセット入力手段に対してリセット操作を行う。リセット操作は、計器図2−1から写像ブロック15Aを介して機能ブロック14−1Aに伝達され、リセット信号がリセット用変数19−1を介してリセット管理部12およびリセット部17へ入力される。
【0048】
計器図は、プロセス制御システムおよび/または安全計装システムの制御対象のフィールド機器(F&G機器を含む)を操作監視するためのソフトウェアにより構築されるウィンドウ画面である。
計器図2−1〜2−3は、リセット入力手段を備えている。また、計器図2−1〜2−3は、ネットワークNを介して制御装置1のDCSとの統合部15の写像ブロック15A、15B、15Cとそれぞれ接続されている。写像ブロック15Aと機能ブロック14−1A、写像ブロック15Bと機能ブロック14−1B、写像ブロック15Cと機能ブロック14−1Cは、それぞれ対になっており、互いに接続される。機能ブロック14−1A、14−1B、14−1Cからはリセット信号が出力され、それぞれリセット用変数19−1〜19−3を介してリセット管理部12およびリセット部17に接続されている。
【0049】
リセット用変数19−1〜19−3とは、F&G機器6−1〜6−3に対するリセット信号をリセット管理部12、リセット部17に伝達するために扱われる変数であり、リセット信号とともに、入出力インタフェース部(入出力モジュール)4−1、4−2に付された入出力インタフェース部(入出力モジュール)の識別番号(例えば、IOM:IOM1、IOM2)、チャネルの識別番号(例えば、CH:CH1、CH2)、リセットグループID(例えば、ID:1、2)を取り扱うことができるようにする変数である。
リセット用変数19−1〜19−3の変数名は、後述するテーブル20での定義に用いる。図1に示す通り、リセット用変数19−1、19−2、19−3には、I1−B1、I1−B2、I2−B1と名称が付されている。
また、これらのリセット用変数19−1、19−2、19−3と、制御装置1に電気的に接続される入出力モジュールの識別番号(例えば、IOM:IOM1、IOM2)とそのチャネル(例えば、CH:CH1、CH2)、および、予め定められたリセットグループID(例えば、ID:1、2)の関係が、データベース18のテーブル20に記憶される。
ここで、リセットグループとは、1つのリセット入力手段によってF&G機器がリセットされた場合に、同時にリセットがかかるF&G機器のグループをいい、リセットグループIDとは、リセットグループの識別番号であり、ユーザがエンジニアリング端末3から設定する。
リセット管理部12、リセット部17が、リセット用変数19−1〜19−3およびテーブル20をどのように用いるかについては後述する。
【0050】
F&G機器6−1、6−2には入出力インタフェース部4−1が内蔵する電源(PS)7−1が接続されている。また、F&G機器6−3には入出力インタフェース部4−2が内蔵する電源(PS)7−2が接続されている。
【0051】
F&G機器が実装されている入出力モジュールとそのチャネル、リセット用変数の名称及びリセットグループIDの関係がエンジニアリング端末3であらかじめ定義され、制御装置のデータベース18にテーブル20として保存されている。
リセット部17は、機能ブロック14−1A、14−1B、14−1Cからリセット用変数19−1、19−2、19−3を介して出力されるリセット信号に基づいて、入出力インタフェース部4−1、4−2に適合した形式のリセット指令を送信する。リセット部17は、制御装置1の動作周期たるスキャンごとに全ての入出力モジュール(IOM)、チャネル(CH)に対してリセット指令を送る必要があるか否かを前述したテーブル20に基づいて各チャネル(CH)に設定されたリセット用変数19−1〜19−3の名称を参照することによりチェックし、該チェック結果に基づき処理対象のIOM、CHに対してリセット指令を送信する。リセット信号がリセット用変数19−1を介して出力された場合は、リセット指令の送信先は、識別番号がIOM1である入出力インタフェース部4−1である。リセット指令を受信した入出力インタフェース部4−1は、内蔵された電源(PS)7−1を一時的にオフする。これにより、F&G機器6−1、6−2は、電源(PS)7−1から供給される電力が一時遮断されるため、リセットされる。リセット指令を受信した入出力インタフェース部4−2も同様に、内蔵された電源(PS)7−2を一時オフする。これにより、F&G機器6−3は電源(PS)7−2から供給される電力が一時遮断されるため、リセットされる。
【0052】
なお、入出力インタフェース部にはいくつかの種類があり、リセットの方法がその種類により異なる場合がある。
第1の方法では、入出力インタフェース部4−1、4−2が電源(PS)7−1,7−2のリセット機能を有する場合は、リセット部17が、電源(PS)7−1,7−2をリセットする命令をリセット指令として入出力インタフェース部4−1、4−2に送信する。
第2の方法では、入出力インタフェース部4−1、4−2がチャネルCHごとに電源を備える場合(図示しない)であって、それぞれのCHごとに電源をリセットする機能を有する場合は、リセット部17が、リセットの対象となっているF&G機器が接続されている入出力インタフェース部4−1、4−2のCHを指定して、電源をリセットする命令をリセット指令として入出力インタフェース部4−1、4−2に送信する。
このように、リセット部17は、いくつかの既知のリセット方法を備えており、入出力インタフェース部の種類に応じて適切なリセット指令を送信する。
【0053】
なお、F&G機器6−1〜6−3に電力を供給するための電源(PS)7−1、7−2は、入出力インタフェースモジュール4−1,4−2に内蔵されているが、この構成に限らず、外付けの電源とリレー回路との組み合わせによって実現されたものでもよい。
また、リセット入力手段は、上記のほか、操作監視端末2以外の端末からソフトウェアツールによって実現されてもよい。
【0054】
リセット管理部12は、F&G機器6−1〜6−3がリセット中であるか否かをリセットグループIDごとに把握する機能を有する。リセット管理部12には、機能ブロック14−1A、14−1B、14−1Cからリセット信号が接続される。リセット管理部12は、リセットグループIDのそれぞれについてタイマー(図示しない)を有している。リセット管理部12は、データベース18から参照されるテーブル20と、リセット用変数の名称とを照合し、リセット信号が入力された場合に特定されるリセットグループIDについてのタイマーをスタートさせる。スタートしたタイマーは一定時間経過後終了する。タイマーカウント中は、そのリセットグループIDのF&G機器がリセット中であることを意味する。タイマーカウントの時間はエンジニアリング端末3からユーザによって予め設定される。なお、前記テーブル20とリセット用変数の名称とを照合することには、リセット用変数のアドレスを用いてもよい。
【0055】
リセット管理部12は、図1の右下の表に示すように、リセットフラグとタイマー値を取り扱う。具体的には、リセット管理部12は、リセットグループID(ID)と、リセットフラグと、タイマー値との関係を示す表2を有しており、タイマーの動作に基づき表21を更新する。
リセット管理部12は、機能ブロック14−1Aからリセット用変数19−1を介してリセット信号が入力されると、データベース18から参照されるテーブル20と、リセット用変数19−1の名称I1−C1とを照合し、リセット信号がリセット用変数I1−C1に入力された場合に、リセットグループIDが1であることを特定する。
リセット管理部12は、リセット管理部12内に有するリセットグループIDの値が1に対応するタイマー(図示せず)をスタートさせる。この場合、図1の表21に示すように、リセットグループIDの値が1に対応するリセットフラグはTRUEの値となり、タイマー値はカウント終了までの残り時間であるタイマーカウント値2000msとして更新される。リセット管理部12の表21では、タイマー(図示せず)が所定の期間のカウントを終了すると、そのタイマー値は0、リセットフラグはFALSEの値として更新される。なお、タイマー(図示せず)のカウントする所定の期間は、エンジニアリング端末3からあらかじめ設定された値である。
リセット管理部12は、リセットフラグがTRUEの間はF&G機器がリセット中であるものとして取り扱う。ここで、リセット中とはリセット状態であること、言い換えれば、まだリセットが完了していない状態を意味する。タイマーによって所定の時間をカウントするのは、F&G機器6−1〜6−3のリセットが開始され、再度起動して稼働状態になるまでに一定の時間がかかるからである。
【0056】
第1のアラームの表示抑制方法として、システムアラームの表示抑制について説明する。システム診断部11は、システムの異常を検出すると、データベース18から、テーブル20を参照する。システムの異常が検出されたF&G機器の実装位置を示す入出力モジュールの識別番号(IOM)とチャネルの識別番号(CH)の情報を、システム診断部11は取得することができるため、テーブル20を参照することによりリセットグループIDを特定することができる。例えば、図1のテーブル20に示すように、入出力モジュールの識別情報(IOM)が1、チャネルの識別番号(CH)が1の信号であれば、リセットグループIDは1である。特定されたリセットグループIDについての、リセット管理部12のリセットフラグを参照する。
システム診断部11は、システムの異常が検出されたF&G機器の属するリセットグループIDのリセットフラグがTRUEである場合は、メッセージ送信部13から操作監視端末へ、表示抑制情報として「非表示」の指定をしたアラーム信号を送信する。
操作監視端末2は通信部(図示しない)を介して、このアラーム信号を受信すると、該アラーム信号には表示抑制情報として「非表示」が指定されているため、操作監視端末2の制御部(図示せず)は表示部(図示しない)を制御してアラームの内容を表示しない。
そして、システム診断部11は、F&G機器6−1に対するリセット操作が行われると入出力インタフェース部4−1のCH1にシステムの異常を検出した場合には、リセット管理部12のリセットグループIDの値が1のリセットフラグがTRUEであることを確認すると、メッセージ送信部13を介して操作監視端末へ「非表示」の指定をしたアラーム信号を送信する。これにより、F&G機器6−1がリセット中におけるアラーム、言い換えれば、F&G機器6−1がリセット状態により発生してしまうアラームであっても、操作監視端末2への表示を適切に抑制することができる。
【0057】
第2のアラームの表示抑制方法として、プロセスアラームの表示抑制について説明する。機能ブロック14−1Aは、F&G機器6−1の出力値に基づいてプロセスの異常を検出すると、機能ブロック14−1Aに設定されたリセットグループID14−3Aを参照する。機能ブロック14−1A〜14−1Cに設定されたリセットグループID14−3A〜14−3Cは、エンジニアリング端末3で予め設定されたものである。機能ブロック14−1Aは、自己に設定されたリセットグループID14−3Aに対するリセット管理部12のリセットフラグを参照する。プロセスの異常が検出されたF&G機器の属するリセットグループIDに対するリセットフラグがTRUEである場合は、メッセージ送信部13から操作監視端末2へ、「非表示」の指定をしたアラーム信号を送信する。操作監視端末2は通信部(図示しない)を介して、このアラーム信号を受信すると、該アラーム信号には「非表示」が指定されているため、操作監視端末2の制御部(図示せず)は表示部(図示しない)を制御してアラームの内容を表示しない。F&G機器6−1にリセット操作が行われたことに起因して、機能ブロック14−1Aが入出力インタフェース部4−1のCH1に接続されたF&G機器6−1の断線であるプロセスの異常を検出した場合、機能ブロック14−1Aは、リセット管理部12のリセットグループIDの値が1に対するリセットフラグがTRUEであることを確認すると、写像ブロック15Aからメッセージ送信部13を介して操作監視端末へ「非表示」の指定をしたアラーム信号を送信する。これにより、F&G機器6−1がリセット中におけるアラーム、言い換えれば、F&G機器6−1がリセット状態であることにより発生してしまうアラームであっても、操作監視端末2への表示を適切に抑制することができる。なお、前記F&G機器6−1の断線であるプロセスの異常を検出した場合には、F&G機器6−1の測定値からプロセスの異常を検出した場合を含んでも良い。
【0058】
第三のアラームの表示抑制方法について説明する。上述のように、システム診断部11と写像ブロック15A、15B、15Cは、アラームの表示を抑制するためにメッセージ送信部13を介して「非表示」を指定してアラーム信号を送信するアラームの表示抑制の方法のほかに、アラーム信号に通常より低いアラームレベルを指定し、送信するものであってもよい。この場合、操作監視端末2の表示部には、通常より低いアラームレベルとともにアラームの内容が表示される。通常とは異なる態様でアラームメッセージが表示されるため、プラントの運転員が、F&G機器がリセット状態であることにより発生してしまう誤ったアラームによって混乱することは低減される。
【0059】
第四のアラームの表示抑制方法について説明する。上記のほか、リセットフラグがTRUEの期間中は、システム診断部11および/または写像ブロック15A、15B、15Cからアラーム信号を送信しないようにしてもよい。この場合、操作監視端末2の表示部にはアラームの内容は表示されない。そのためプラントの運転員が誤ったアラームによって混乱することは低減される。なお、前記アラーム信号を送信しないようにすることには、アラームの検出自体を停止する方法であってもよい。
【0060】
F&G機器のリセット中に、真の異常(断線等)が発生した場合、その真のアラームは操作監視端末2において表示が抑制される。しかし本来、真のアラームは通常の通り操作監視端末2に表示される必要がある。そのため、真のアラームの表示が抑制された場合はタイマーカウント終了後に表示するよう、以下に述べる対策を行う。
前記制御装置2は、リセット中か否かにかかわらずシステムアラームのメッセージ、プロセスアラームのメッセージが保存される履歴保存部(図示しない)を具備する。そして、前記制御装置2は監視対象の全てのF&G機器が、リセットされてから正常に復帰したか否かを管理する起動状態管理部(図示しない)を具備する。前記システム診断部は、タイマーカウント終了後、起動状態管理部を確認し、前記フィールド機器のいずれかが復帰していない場合、履歴保存部に保存されたリセット中のシステムのアラームを前記表示装置に「非表示」を指定しないで再送する。写像ブロックは、タイマーカウント終了後プロセスアラームの発生を診断し、プロセスの異常として例えば断線を検出した場合、履歴保存部に保存されたリセット中のプロセスのアラームを、前記表示装置に「非表示」を指定しないで再送する。なお、前記履歴保存部に保存されるプロセスアラームのメッセージは、断線を示すものだけであってもよい。
【0061】
本発明の安全計装システムでは、アプリケーション実行部14の機能ブロック14−1A、14−1B、14−1Cは、トリップを検出するとプラントを安全側に停止させるプラントシャットダウンを実行する機能であるトリップ動作ロジック14−2A、14−2B、14−2Cを備える。
機能ブロック14−1A、14−1B、14−1Cは、トリップを検出した場合、リセット管理部12を参照して機能ブロックに設定されているリセットグループID14−3A、14−3B、14−3CについてのリセットフラグがTRUEであれば、当該機能ブロックに接続されているトリップ動作ロジックを動作させない。これにより、F&G機器をリセットしたことによる誤ったトリップの検出によって、プラントシャットダウンを実行することを防ぐことができ、誤トリップによる不必要なプラントシャットダウンによってプラントに損害が発生することを防ぐことができる。
【0062】
プロセス制御システムおよび/または安全計装システムのアラームの操作監視端末2における出力先には、システムアラームビュー23、プロセスアラームビュー22、計器図2−1〜2−3、統合型アラーム管理機能(図示しない)、アラームメッセージを収集するヒストリカル機能(図示しない)がある。本発明では、システムアラームビュー23、プロセスアラームビュー22へのF&G機器のリセット中のアラーム表示を抑制する。
システムアラームビュー23、プロセスアラームビュー22における表示は、計器図2−1〜2−3とは異なりアラームの表示と同時にリセット中である旨を表示せず、アラーム信号のみを表示するので、リセットによるアラームの表示を抑制する必要がある。
【0063】
本発明のリセット部17は、上記で述べたように、いくつかの既知の入出力インタフェース部に対応しているため、例えば今後、チャネルCHごとに電源を有する入出力インタフェース部が普及して、既設の入出力インタフェース部が置き換えられたとしても、設計変更することなく使い続けることができる。
【0064】
図3は、本発明の一実施形態である安全計装システムのリセット管理部12の動作を説明するフローチャートである。
ステップ301において、リセット入力手段を有する計器図2−1〜2−3では、リセット操作が入力されたか確認される。ステップS301において、計器図2−1〜2−3のいずれかのリセット入力手段からリセット入力操作がされると、制御装置のリセット管理部はリセット操作が入力されたものと判断され、ステップS302に進む。
ステップS302において、アプリケーション実行部14の機能ブロック14−1A、14−1B、14−1Cには、計器図2−1〜2−3のいずれかのリセット入力手段からのリセット信号が入力される。
ステップS303では、リセット管理部12は、テーブル20と、リセット用変数の名称を照合し、リセット信号が入力された場合にリセットグループIDを特定する。なお、リセット用変数の名称を照合することには、リセット用変数のアドレスを用いても良い。
ステップS304において、リセット管理部12は、内蔵するタイマーを制御して、特定されたリセットグループIDに対応するタイマーのカウントをスタートさせる。
ステップS306において、リセット管理部12は、予め設定されたカウント値に基づき、タイマーのカウントが終了したか否かを判断する。ステップS306において、リセット管理部12はタイマーのカウントが終了したものと判断すると、ステップS301に進む。つまり、リセット管理部12は、計器図2−1〜2−3のいずれかのリセット入力手段からのリセット操作の待ち状態となる。
また、ステップS306において、タイマーのカウントが終了しないものと判断されるとステップS305に移行する。ステップS305において、リセット部17は、内蔵するタイマーを制御してカウントを続ける。なお、リセット管理部12におけるタイマーカウント中は、F&G機器がリセット中を意味する。
【0065】
図4は、本発明の一実施形態である安全計装システムのシステムアラーム発報の動作を説明するフローチャートである。
ステップS401において、システム診断部11では、システムの異常、例えば断線、が発生したかを確認する。ステップS401において、システム診断部11においてシステムの異常が検出されると、ステップS402に進む。
ステップ402において、システム診断部11は、データベース18を読んでテーブル20を参照し、システムの異常が検出された入出力モジュールの識別番号(IOM)とチャネルの識別番号(CH)から、リセットグループのグループIDを特定する。
ステップS403において、システム診断部11は、リセット管理部12の内容である特定されたリセットグループIDのリセットフラグまたはタイマー値を参照し、ステップS404に進む。
ステップS404において、システム診断部11は、参照したリセットフラグの値またはタイマー値に基づいて、リセット中か否かを判断する。
ステップS403で参照したリセットフラグの値がTRUEまたはタイマー値がカウント中であれば、システム診断部11はリセット中と判断し、ステップS406に進む。
ステップS406において、システム診断部11は、アラーム信号に「非表示」を指定して、ステップS407へ進む。ステップS407において、メッセージ送信部13は、「非表示」を指定したアラーム信号を操作監視端末2へ送信する。
ステップS403で参照したリセットフラグの値がFALSEまたはタイマー値が0であれば、システム診断部11はリセット中ではないと判断し、ステップS405に進む。ステップS405において、システム診断部11は、アラーム信号に「非表示」を指定しないで、ステップS407へ進む。ステップS407において、メッセージ送信部13は、「非表示」を指定しないアラーム信号を操作監視端末2へ送信する。
【0066】
図5は、本発明の一実施形態である安全計装システムのプロセスアラームの発報の動作を説明するフローチャートである。
ステップS501において、アプリケーション実行部14の機能ブロック14−1A、14−1B,14−1Cは、プロセスの異常が発生したかを確認する。ステップS501において、アプリケーション実行部14の機能ブロック14−1A、14−1B、14−1Cにおいてプロセスの異常が検出されると、ステップS502に進む。
ステップ502において、プロセスの異常を検出した機能ブロック14−1A、14−1B、14−1Cは、エンジニアリング端末3において予め自己に設定されたリセットグループID 14−3A、14−3B、14−3Cを参照し、プロセスの異常が発生したF&G機器の属するリセットグループIDを特定する。
ステップS503において、アプリケーション実行部14の機能ブロック14−1A、14−1B、14−1Cは、リセット管理部12の内容、すなわち特定されたリセットグループIDのリセットフラグまたはタイマー値を参照し、ステップS508に進む。
ステップS508において、アプリケーション実行部14の機能ブロック14−1A、14−1B、14−1Cが参照したリセット中であるか否かの情報が、写像ブロック15A、15B、15Cへ伝達され、ステップS504に進む。なお、該リセット中であるか否かの情報は、リセットフラグの値またはタイマー値であっても良い。
ステップS504において、DCSとの統合部15の写像ブロック15A、15B、15Cは、機能ブロック14−1A、14−1B、14−1Cが参照したリセットフラグの値またはタイマー値に基づいて、リセット中か否かを判断する。
ステップS503で参照したリセット中であるか否かの情報がリセット中であれば、DCSとの統合部15の写像ブロック15A、15B、15Cはリセット中と判断し、ステップS506に進む。
ステップS506において、DCSとの統合部15の写像ブロック15A、15B、15Cは、検出したアラームに対するアラーム信号に「非表示」を指定して、ステップS507へ進む。ステップ507において、メッセージ送信部13は、「非表示」を指定したアラーム信号を操作監視端末2へ送信する。
ステップS503で参照したリセットフラグの値がFALSEまたはタイマー値が0であれば、DCSとの統合部15の写像ブロック15A、15B、15Cはリセット中ではないと判断し、ステップS505に進む。
ステップS505において、DCSとの統合部15の写像ブロック15A、15B、15Cは、検出したアラームに対するアラーム信号に「非表示」を指定しないで、ステップS507へ進む。ステップS507において、メッセージ送信部13は、「非表示」を指定しないアラーム信号を操作監視端末2へ送信する。
【0067】
図6は、本発明の一実施形態である安全計装システムの操作監視端末2の動作を説明するフローチャートである。
ステップS601において、操作監視端末2は制御装置1のメッセージ送信部13から送信されたアラーム信号を受信したか判断し、受信していればステップS602に進む。ステップ602において、受信したアラーム信号がシステムアラームであれば、ステップS603に進む。ステップS603において、操作監視端末2は受診したアラーム信号に「非表示」が指定されているか否か判断する。「非表示」指定されている場合は、ステップS601に進む。この場合、アラームの内容は、操作監視端末2の画面に表示されない。「非表示」が指定されていない場合は、ステップS605へ進む。ステップ602において、受信したアラーム信号がプロセスアラームであれば、ステップS604に進む。ステップS604において、操作監視端末2は受診したアラーム信号に「非表示」が指定されているか否か判断する。「非表示」指定されている場合は、ステップS606に進む。この場合、アラームの内容は、操作監視端末2の画面に表示されない。「非表示」が指定されていない場合は、ステップS606へ進む。ステップS606では、アラームの内容を操作監視端末2のプロセスアラームビュー22に表示する。
【0068】
図7は、本発明の安全計装システムの第2の実施例を示す構成図である。図2において、安全計装システム700は、主に、制御装置1、操作監視端末2、エンジニアリング端末3、入出力インタフェース部220〜224、F&G機器206−1〜206−3から構成される。制御装置1は、システム診断部211、アプリケーション実行部214、DCSとの統合部215、から構成される。電源(PS)227はリレー回路226を介してF&G機器206−1、206−2へ電力を供給する。電源(PS)228はF&G機器206−3へ電力を供給する。
【0069】
本実施例では、F&G機器206−1〜206−3がリセット中であるか否かをリセットグループIDごとに把握する機能を操作監視端末2で実現する。この場合、計器図2−1〜2−3は、F&G機器6−1〜6−3がリセット中であるか否かを把握するためのタイマーを有する(図示しない)。計器図2−1〜2−3には、エンジニアリング端末3から予めリセットグループID2−4〜2−6とタイマーカウント値が設定される。計器図2−1〜2−3が有するリセット入力手段に対してリセット入力操作がされると、タイマーがスタートする。タイマーがスタートしてからタイマーカウントが終了するまで、すなわちリセット中は、リセットが入力された計器図が、システムアラームビュー23またはプロセスアラームビュー22を制御して、リセット入力された計器図に設定されているリセットグループID2−4〜2−6に対応するアラームの表示を抑制する。
【0070】
制御装置1のアプリケーション実行部214で実行されるアプリケーションロジックを構成する機能ブロック214−1A、214−1B、214−1Cは、エンジニアリグ端末3で予めリセットグループID214−3A、214−3B、214−3Cが設定される。機能ブロック214−1A、214−1B、214−1Cは、システム診断部211を介してF&G機器206−1〜206−3が出力するアラーム値に基づいて、プロセスの異常を検出する。写像ブロック215A、215B、215Cは、機能ブロック214−1A、214−1B、214−1Cに設定されているリセットグループID214−3A、214−3B、214−3Cを機能ブロック214−1A、214−1B、214−1Cから受信して、リセットグループIDを指定してアラームメッセージを、メッセージ送信部13を介して操作監視端末2に送信する。
【0071】
制御装置1のデータベース18には、第1の実施例と同様に、エンジニアリング端末3で予め定義されたF&G機器206−1〜206−3の実装位置を示す入出力モジュールの識別番号(IOM)とチャネルの識別番号(CH)の情報とリセットグループIDとの関係が保存されている。システム診断部211は、F&G機器206−1〜206−3が出力するアラーム値に基づいて、システムの異常を検出する。この際、データベース18を参照し、アラーム値を出力しているF&G機器の実装位置を示す入出力モジュールIOMとチャネルCHの情報から、リセットグループIDを特定し、リセットグループIDとともにアラームメッセージを、メッセージ送信部13を介して操作監視端末2に送信する。
【0072】
以下、計器図2−1にリセット操作がされた場合のアラーム抑制の動作について説明する。計器図2−1からリセット操作がされると、写像ブロック215Aを介して機能ブロック214−1Aにリセットが入力される。機能ブロック214−1Aからはリセット信号が出力され、入出力インタフェース222を介してリレー回路226に入力される。それによって、リレー回路226が作動するため、電源(PS)227からF&G機器206−1、206−2へ供給される電力の供給を一定時間遮断され、F&G機器206−1、206−2はリセットされる。
【0073】
リセット中は、F&G機器206−1、206−2は通常の稼働状態の出力とは異なる値を出力するため、システム診断部211はシステムの異常として検出する。システム診断部211は、データベース18に保存されているF&G機器206−1、206−2の実装位置を示す入出力モジュールの識別番号(IOM)とチャネルの識別番号(CH)の情報とリセットグループIDの関係を参照して、システムの異常が検出されたF&G機器206−1、206−2の属するリセットグループIDを特定する。そして、システム診断部211は、そのリセットグループIDを指定して、システムについてのアラームメッセージを、メッセージ送信部13を介して操作監視端末2へ送信する。
【0074】
同様に、機能ブロック214−1A、214−1Bは、プロセスの異常を検出する。写像ブロック215A、215Bは、機能ブロック214−1A、214−1Bに設定されたリセットグループID214−3A、214−3Bを指定して、プロセスについてのアラームメッセージを、メッセージ送信部13を介して操作監視端末2へ送信する。
【0075】
計器図2−1にリセット操作がされた場合、計器図2−1の有するタイマーがカウントをスタートする。計器図2−1は、システムアラームビュー23、プロセスアラームビュー22に対して、計器図2−1に設定されたリセットグループID2−4の値である1を表示抑制の対象のリセットグループIDとして設定する。該タイマーのカウント中は、システムアラームビュー23は、制御装置から受信した、リセットグループIDとして1が指定されたシステムについてのアラームメッセージを表示せず、リセットグループIDとして1以外が指定されたシステムについてのアラームメッセージを表示する。また、プロセスアラームビュー22は、制御装置から受信した、リセットグループIDとして1が指定されたプロセスについてのアラームメッセージを表示せず、リセットグループIDとして1以外が指定されたプロセスについてのアラームメッセージを表示する。
【0076】
計器図2−1の有するタイマーがカウント終了すると、計器図2−1は、システムアラームビュー23、プロセスアラームビュー22に対して、表示抑制の対象として設定されたリセットグループIDの設定を解除する。これにより、システムアラームビュー23、プロセスアラームビュー22は、リセットグループIDとして1が指定されたアラームメッセージも表示するようになる。
以上により、F&G機器206−1、206−2がリセット状態であることにより発生してしまうアラームであっても、操作監視端末2への表示を適切に抑制することができる。
【0077】
次に、スイッチ(SW)225へのリセット操作がされた場合のアラーム抑制の動作について説明する。スイッチ(SW)225にリセット操作がされると、システム診断部211を介して機能ブロック214−1Aにリセットが入力される。機能ブロック214−1Aからはリセット信号が出力され、入出力インタフェース222を介してリレー回路226に入力される。それによって、リレー回路226が作動するため、電源(PS)227からF&G機器206−1、206−2へ供給される電力の供給を一定時間遮断され、F&G機器206−1、206−2はリセットされる。
【0078】
一方、写像ブロックを介して計器図2−1にリセット入力が伝達される。これにより、計器図2−1が有するタイマーがスタートする。計器図2−1は、システムアラームビュー23、プロセスアラームビュー22に対して、計器図2−1に設定されたリセットグループID2−4の値である1を表示抑制の対象のリセットグループIDとして設定する。
【0079】
F&G機器206−1、206−2がリセットされると、通常の稼働状態の出力とは異なる値が出力されるため、システム診断部211は、F&G機器206−1、206−2についてシステムの異常を検出する。システム診断部211は、データベース18に保存されているF&G機器206−1、206−2の実装位置を示す入出力モジュールの識別番号(IOM)とチャネルの識別番号(CH)の情報とリセットグループIDの関係を参照して、システムの異常が検出されたF&G機器206−1、206−2の属するリセットグループIDを特定する。そして、システム診断部211は、そのリセットグループIDを指定して、システムについてのアラームメッセージを、メッセージ送信部13を介して操作監視端末2へ送信する。
【0080】
同様に、機能ブロック214−1A、214−1Bは、プロセスの異常を検出する。写像ブロック215A、215Bは、機能ブロック214−1A、214−1Bに設定されたリセットグループID214−3A、214−3Bを指定して、プロセスについてのアラームメッセージを、メッセージ送信部13を介して操作監視端末2へ送信する。
【0081】
計器図2−1の有するタイマーのカウント中は、システムアラームビュー23は、制御装置から受信した、リセットグループIDとして1が指定されたシステムについてのアラームメッセージを表示せず、リセットグループIDとして1以外が指定されたシステムについてのアラームメッセージを表示する。また、プロセスアラームビュー22は、制御装置から受信した、リセットグループIDとして1が指定されたプロセスについてのアラームメッセージを表示せず、リセットグループIDとして1以外が指定されたプロセスについてのアラームメッセージを表示する。
【0082】
計器図2−1の有するタイマーがカウント終了すると、計器図2−1は、システムアラームビュー23、プロセスアラームビュー22に対して、表示抑制の対象として設定されたリセットグループIDの設定を解除する。これにより、システムアラームビュー23、プロセスアラームビュー22は、リセットグループIDとして1が指定されたアラームメッセージも表示するようになる。
以上により、F&G機器206−1、206−2がリセット状態であることにより発生してしまうアラームであっても、操作監視端末2への表示を適切に抑制することができる。
【0083】
上述に示したように本発明における安全計装制御装置では、異常検知に基づき、リセット操作があるまで、アラーム出力を続けるフィールド機器からの出力に基づき表示装置にアラームメッセージを送信する安全計装制御装置において、前記表示装置におけるアラーム表示の抑制対象として予め定められる前記フィールド機器から構成されるグループを識別するグループIDを記憶する記憶部と、前記リセット操作後、所定時間経過までタイマーカウントを行うリセット管理部と、前記グループIDに属する前記フィールド機器のうち少なくともいずれかについてのタイマーカウント中は、該グループIDに属する機器に係る前記アラームメッセージに表示抑制情報を付与する診断部と、を備えたことを特徴とすることにより、上述した従来の課題を解決でき、F&G機器の電源リセットにより生ずるアラームであっても、操作監視端末への表示を抑制することができ、運転員の誤アラームの表示に基づく混乱を低減することが可能となる。
【0084】
また、上述に示したように本発明における安全計装制御装置では、前記アラームメッセージの表示を抑制することには、アラームメッセージを表示しないこと、または、通常とは異なる態様でアラームメッセージを表示することを含む、ことを特徴とすることにより、上述した従来の課題を解決でき、F&G機器の電源リセットにより生ずるアラームであっても、操作監視端末への表示を抑制することができ、運転員の誤アラームの表示に基づく混乱を低減することが可能となる。
【0085】
上述に示したように本発明における安全計装制御装置では、前記入出力モジュールにリセット指令を送信するリセット部を備え、前記リセット部は、前記リセット操作に基づき、前記定義情報を参照して前記リセット識別情報から前記特定されたチャネルを介して前記各フィールド機器が接続されるチャネル情報を特定し、リセット指令を送信することを特徴とすることにより、上述した従来の課題を解決でき、F&G機器の電源リセットにより生ずるアラームであっても、操作監視端末への表示を抑制することができ、運転員の誤アラームの表示に基づく混乱を低減することが可能となる。
【符号の説明】
【0086】
1 制御装置
2 操作監視端末
2−1、2−2 計器図
3 エンジニアリング端末
4−1、4−2 入出力インタフェース部
6−1、6−2、6−3 F&G機器
7−1、7−2電源(PS)
11 システム診断部
12 リセット管理部
13 メッセージ送信部
14 アプリケーション実行部
14−1A、14−1B、14−1C 機能ブロック
14−2A、14−2B、14−2C トリップ動作ロジック
15 DCSとの統合部
15A,15B,15C 写像ブロック
16 記憶部
17 リセット部
18 データベース
19−1、19−2、19−3 リセット用変数
22 プロセスアラームビュー
23 システムアラームビュー
100 安全計装システム
200 従来の安全計装システム
225 スイッチ
226 リレー回路(RL)
図1
図2
図3
図4
図5
図6
図7
Copyright © 2010-2025 Science Impact Inc. All Rights Reserved.