JP2019061661A - オープンプロセス自動化システムにおいて使用される分散制御ノードに基づいたプロセス信頼性向上方法 - Google Patents

オープンプロセス自動化システムにおいて使用される分散制御ノードに基づいたプロセス信頼性向上方法 Download PDF

Info

Publication number
JP2019061661A
JP2019061661A JP2018153862A JP2018153862A JP2019061661A JP 2019061661 A JP2019061661 A JP 2019061661A JP 2018153862 A JP2018153862 A JP 2018153862A JP 2018153862 A JP2018153862 A JP 2018153862A JP 2019061661 A JP2019061661 A JP 2019061661A
Authority
JP
Japan
Prior art keywords
control
dcn
control node
node
management system
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2018153862A
Other languages
English (en)
Other versions
JP6750650B2 (ja
Inventor
佐藤 敦
Atsushi Sato
敦 佐藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Yokogawa Electric Corp
Original Assignee
Yokogawa Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Yokogawa Electric Corp filed Critical Yokogawa Electric Corp
Publication of JP2019061661A publication Critical patent/JP2019061661A/ja
Application granted granted Critical
Publication of JP6750650B2 publication Critical patent/JP6750650B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/418Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM]
    • G05B19/4184Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM] characterised by fault tolerance, reliability of production system
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0426Programming the control sequence
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • G06F11/1637Error detection by comparing the output of redundant processing systems using additional compare functionality in one or some but not all of the redundant processing components
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • G06F11/1654Error detection by comparing the output of redundant processing systems where the output of only one of the redundant processing components can drive the attached hardware, e.g. memory or I/O
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/20Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
    • G06F11/202Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant
    • G06F11/2023Failover techniques
    • G06F11/2025Failover techniques using centralised failover control functionality
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F13/00Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
    • G06F13/14Handling requests for interconnection or transfer
    • G06F13/20Handling requests for interconnection or transfer for access to input/output bus
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/25Pc structure of the system
    • G05B2219/25428Field device
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1608Error detection by comparing the output signals of redundant hardware
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/35Switches specially adapted for specific applications
    • H04L49/351Switches specially adapted for specific applications for local area network [LAN], e.g. Ethernet switches
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02PCLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
    • Y02P90/00Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
    • Y02P90/02Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Automation & Control Theory (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Health & Medical Sciences (AREA)
  • Computing Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Manufacturing & Machinery (AREA)
  • Testing And Monitoring For Control Systems (AREA)
  • Safety Devices In Control Systems (AREA)

Abstract

【課題】オープンアーキテクチャの要件を満たしながら、クリティカルプロセスに求められる高信頼性を達成し、かつ従来の特許製品より安い費用を維持する分散制御ノードDCNを含むプラント施設のための管理システムを提供する。【解決手段】システムは、プロセス値を計測する第1フィールド装置と、プロセス値に基づいて第1制御値を計算する第1制御ノードと、第1制御値に従って作動する第2フィールド装置と、第1制御値を計算するための1つまたは複数のパラメータを設定するアプリケーションノードとを含む。第1制御ノードは、第1制御値を、第1フィールド装置、第1制御ノード、第2制御ノード、アプリケーションノードのうちの1つにより計算された第2制御値と比較する。第1及び第2制御値が同一であると判定された時、第1制御ノードは、第2フィールド装置に第1制御値を設定する。【選択図】なし

Description

本発明は概して、プラント施設の管理システム及びプラント施設の管理方法に関する。
プラントまたは工場(以下「プラント」とまとめて称する)は通常、プロセス自動化システム(PAS)を利用して、産業プロセスにおける様々な種類のプロセスデータ(例えば圧力、温度、流量等)を制御及び管理する高度自動動作を実施する。
特に化学、石油、またはガス関連製品を生産するプラントのPASは、可用性及び信頼性に関して高水準を満たさなければならない。可用性は、システムがエラーの発生に関係なくその動作を続けられる能力を意味し、信頼性は、エラーを検出して、システムを停止する、及び/またはシステム全体にダメージを与えることなく継続的動作を行うためにバックアップシステムに切り替える能力を意味する。このような生産プラントにおいて、PASの故障は、材料及び資源の大損失だけでなく、人命が関わる過酷な事故も引き起こし得る。例えば、電気雑音の発生により、システムが制御装置(例えばバルブ)に対し異常値(すなわち、異常又は無効な状態又は事態を示す値)を不適切に出力する時、故障が起こり得る。このような故障を防ぎ、システムの信頼性を向上させるために、様々な種類のスキームが開発されてきた。
最近、PASに接続される入出力(I/O)装置の数が増えるにつれ、コントローラの信頼性の重要性が増している。高信頼性PASを達成する解決策として、いくつかのPASメーカーやベンダーは、自身のPAS用コントローラを開発した。高信頼性コントローラに関する従来の解決策のうちの1つが、図1(日本公開特許出願H06‐242979)において示され、これは冗長構成によりPASにおける信頼性のあるデータ処理を保証する。「ペアとスペア」(P&SP)と呼ばれる当スキームは、冗長コントローラ及び冗長ネットワークにより高信頼性を達成する。さらにそれぞれのコントローラは、2つのCPUから出力される値を比較して、データ計算における不一致を検出する2つのCPU及びコンパレータを有する。
一方、異なるメーカーにより個別に開発されたこのようなコントローラは、PASの相互運用性及び拡張性に影響を及ぼす傾向にあることが知られている。プラント施設のオーナー又はユーザーは、コントローラの互換性の低さ及び高い費用のため、コントローラの拡張または取り替えの際困難に直面する。よって、システムが単に汎用または商用オフザシェルフ(COTS)ハードウェア及びソフトウェアによって構成されることを意味する「オープンアーキテクチャ」に従ってシステムを設計する別の手法もまた考慮されている。米国特許出願公開第2016/0065656号は、このようなPAS用オープンアーキテクチャプラットフォームを提案する。当公開の図1Aは、サーバと、制御ノードと、フィールド装置(I/O装置)とを含むプラットフォームを示す。このようなプラットフォームにおいて、ユーザーが特定のメーカーに依存することなく自身のシステムを開発可能なように、可搬性の高い標準アプリケーション、プロトコル、及びアプリケーションプログラミングインタフェース(API)が採用される。ユーザーはまた、費用の低減、拡張性の向上、及びシステムの最新化の容易さといった利益も享受することが可能である。
しかしながら、オープンプラットフォームの手法には欠点がある。様々なメーカーにより開発されたハードウェア及びソフトウェアの任意の組み合わせは、コントローラ及びI/O装置を含むコアコンポーネントの信頼性、並びにそのネットワーク接続に影響を及ぼす。オープンアーキテクチャに従って開発されたシステムが、特定のメーカーにより開発されたプロプライエタリシステムと同じレベルの信頼性を達成することは難しい。
オープンアーキテクチャに従って作動するこのようなシステムにおいて特定レベルの信頼性を確保するために、1つのコントローラに接続するI/O装置の総数を制限することが提案されている。特に、I/O装置からの入力信号、またはI/O装置への出力信号を処理するために、分散制御ノード(DCN)が定義される。当構成において、DCNにおいて起こったエラーは、単一入力及び単一出力装置から成る単一ループにのみ影響を及ぼすため、これにより他の制御ループに伝播することが防がれる。
本発明の1つまたは複数の実施形態は、プロセス値を計測する第1フィールド装置と、プロセス値に基づいて第1制御値を計算する第1制御ノードと、第1制御値に従って作動する第2フィールド装置と、第1制御値を計算するための1つまたは複数のパラメータを設定するアプリケーションノードとを備えるプラント施設の管理システムを提供し、第1制御ノードは第1制御値を、第1フィールド装置、第1制御ノード、第2制御ノード、アプリケーションノードのうちの1つにより計算された第2制御値と比較し、第1及び第2制御値が同一であると判定された時、第1制御ノードは、第2フィールド装置に第1制御値を設定する。
本発明の1つまたは複数の実施形態は、第1フィールド装置においてプロセス値を計測することと、第1制御ノードにおいて、計測されたプロセス値及びアプリケーションノードにより設定された1つまたは複数のパラメータに基づいて第2フィールド装置を作動させる第1制御値を計算することと、第1フィールド装置、第1制御ノード、第2制御ノード、アプリケーションノードのうちの1つにおいて、第2フィールド装置を作動させる第2制御値を計算することと、第1制御ノードにおいて、第1制御値を第2制御値と比較することと、第1制御ノードにおいて、第1及び第2制御値が同一である時、第2フィールド装置に第1制御値を設定することとを含むプラント施設の管理方法を提供する。
本発明の別の態様は、以下の発明を実施するための形態及び添付の特許請求の範囲から明らかとなるであろう。
従来のPASの概略図を示す。 本発明の1つまたは複数の実施形態による、管理システムのブロック図を示す。 本発明の1つまたは複数の実施形態による、管理システムが実行する動作のシーケンス図を示す。 本発明の1つまたは複数の実施形態による、管理システムが実行する動作のシーケンス図を示す。 本発明の1つまたは複数の実施形態による、管理システムのブロック図を示す。 本発明の1つまたは複数の実施形態による、管理システムのブロック図を示す。 本発明の1つまたは複数の実施形態による、管理システムが実行する動作のシーケンス図を示す。 本発明の1つまたは複数の実施形態による、管理システムが実行する動作のシーケンス図を示す。 本発明の1つまたは複数の実施形態における有益な効果を説明する図を示す。 本発明の1つまたは複数の実施形態による、管理システムのブロック図を示す。 本発明の1つまたは複数の実施形態による、管理システムのブロック図を示す。 本発明の1つまたは複数の実施形態による、管理システムが実行する動作のシーケンス図を示す。 本発明の1つまたは複数の実施形態による、管理システムのブロック図を示す。 本発明の1つまたは複数の実施形態による、管理システムが実行する動作のシーケンス図を示す。 本発明の1つまたは複数の実施形態による、管理システムが実行する動作のシーケンス図を示す。 本発明の1つまたは複数の実施形態による、管理システムのブロック図を示す。 本発明の1つまたは複数の実施形態による、管理システムが実行する動作のシーケンス図を示す。 本発明の1つまたは複数の実施形態による、管理システムが実行する動作のシーケンス図を示す。 本発明の1つまたは複数の実施形態による、管理システムのブロック図を示す。 本発明の1つまたは複数の実施形態による、管理システムのブロック図を示す。 本発明の1つまたは複数の実施形態による、管理システムが実行する動作のシーケンス図を示す。 本発明の1つまたは複数の実施形態による、DCNの実施態様例を示す。
本発明の特定の実施形態が、これから添付図を参照して詳しく説明される。様々な図における同様の要素は、一貫性を保つために同様の参照番号で示される。
本発明のより完全な理解を提供するために、本発明の実施形態の以下の詳細説明において、多数の具体的な詳細が明記される。しかしながら、本発明はこれらの具体的な詳細がなくとも実行可能であることは、当業者には明らかであろう。別の事例では、説明を不必要に複雑にすることを避けるために、周知の特徴は詳しく説明されていない。
PASにおいて使用されるDCNは、オープンアーキテクチャに従って、最小数のI/O信号を処理するように限定されるため、信頼性及び可用性に対するその要求レベルは、従来のコントローラより比較的低い。しかしながら、オープンアーキテクチャPASにおいてもクリティカルプロセスは存在し、プロセスデータ計算及び制御に関して高い可用性及び信頼性を要する。このようなシステムにおいて、1つのエラーが、プラントまたは他のシステムの全制御に深刻な影響を与え得る。
オープンアーキテクチャプラットフォームの下、汎用ハードウェア及びソフトウェアを使用する冗長構成により、システムの可用性は改善され得る。しかしながら、システムに接続されるI/O装置の数に比例してDCNの数は増加する傾向にあるため、DCNの信頼性を大幅に改善し、その費用面において従来のシステムと同レベルの信頼性を達成することは難しい。言うまでもなく、システムの信頼性を改善するためであっても、特定のメーカーにより設計された特許製品は、オープンアーキテクチャシステムに導入不可能である。
本発明の1つまたは複数の実施形態は、オープンアーキテクチャの要件を満たしながら、クリティカルプロセスに求められる高信頼性を達成し、かつ従来の特許製品より安い費用を維持するDCNを含むシステムを提供する。その結果、ユーザーは、様々なメーカーにより提供される汎用ハードウェア及びソフトウェアを用いたミッションクリティカルプロセス制御を伴う自身のPASを設計及び実施し得る。
図2は、本発明の1つまたは複数の実施形態による、管理システム1のブロック図を示す。管理システム1は、センサ10と、センサ10を制御するDCN20と、アクチュエータ30と、アクチュエータ30を制御するDCN40と、アプリケーションDCNとしてのPC50とを備える。センサ10とアクチュエータ30は、HART及びファウンデーションフィールドバス(FF)等のフィールドネットワークにより、または4〜20mAのアナログ信号通信により、それぞれDCN20とDCN40に接続される。PC50は、イーサネット等のリアルタイムネットワークにより、DCN20及びDCN40に接続される。DCN20とDCN40は、リアルタイムネットワークを介して互いと通信し得る。
本発明の1つまたは複数の実施形態において、フィールドネットワークは、ワイヤレスHART又はISA100.11a等の無線ネットワークであり得る。本発明の1つまたは複数の実施形態において、リアルタイムネットワークは、信頼性のあるクロック同期機能に対応する任意の種類のネットワークであり得る。リアルタイムネットワークは、スイッチ、ルータ、または同等物を含む任意の種類のネットワークトポロジーを有し得る。
センサ10は、プラント施設内に配備され、かつ温度、気圧、水圧等のプロセス値(PV)を計測する第1フィールド装置の実施例である。計測されたPVは、DCN20へ送信、またはDCN20により定期的に読み出される。
DCN20は、1つのフィールド装置(例えばセンサ10)から1つのPVを受信する単一点DCNの実施例である。DCN20は、リアルタイムネットワークにより、DCN40とPC50に対し定期的にPVを送信する。DCN40とPC50に対するPVの送信間隔は異なり得る。本発明の1つまたは複数の実施形態において、DCN40に対するPVの送信間隔は、PC50に対するPVの送信間隔(例えば1秒)より短い(例えば100ミリ秒)。
アクチュエータ30は、プラント施設内に配備され、かつバルブ、モータ、ポジショナ等の制御対象を制御する第2フィールド装置の実施例である。アクチュエータ30は、DCN40により設定される操作値(MV)すなわち制御値に従って制御対象を制御する。
DCN40は、PV、並びに設定値(SV)及び調整パラメータ(TP)といったPC50が設定する1つまたは複数のパラメータに基づいてMVを計算するよう線形積分微分型制御(PID)アプリケーションのような基本制御アプリケーションが作動する単一点DCNである。SV及びTPは、PIDアプリケーションがMVを計算する前に、PC50により設定される。一旦MVが適切に(すなわちエラーなく)計算されると、DCN40は、MVをアクチュエータ30に設定し、MVをPC50へ送信する。MVをアクチュエータ30に設定するタイミングと、MVをPC50へ送信するタイミングは、非依存関係であり得る。
PC50は、オペレータがSV及びTPを手動で設定し、かつDCN40から送信される計算済みMV及びエラーを表示及び監視することを可能にするヒューマンマシンインタフェース(HMI)及び高度プロセス制御(APC)を含む様々なアプリケーションを実行するアプリケーションDCNの実施例である。PC50は、CPUと関連メモリとを備える任意の種類のコンピュータであり得る。本発明の1つまたは複数の実施形態において、PC50は、ネットワーク上の分散コンピュータにより構成される1つまたは複数の汎用コンピュータもしくはシステムであり得る。
発明の1つまたは複数の実施形態において、DCN40は、2つのプロセッサ(または2つのプロセッサコア)で同時に同じ動作を並行して実行してこのような動作におけるエラーを検出し得るロックステップマイクロプロセッサユニット(MPU)を備える。つまり、ロックステップMPUは、2つのプロセッサにより計算された結果を比較することにより、動作の不整合を検出し得る。本発明の1つまたは複数の実施形態において、DCN40(PIDアプリケーション)は、各プロセッサまたはロックステップMPUのコアに、MVを計算させ、MV計算におけるエラーを検出させ得る。エラーが検出されなかった時(すなわち2つのプロセッサにおいて計算されたMVが同一である時)、DCN40はMVをアクチュエータ30に設定する。反対に、エラーが検出された時(すなわち計算されたMVが同一でない時)、DCN40はMVをアクチュエータ30に設定しない。代わりに、DCN40は、エラーをPC50へ報告する。この場合、アクチュエータ30は、現在のMV値を用いて動作し続ける。
図3は、本発明の1つまたは複数の実施形態による、管理システム1が実行する動作のシーケンス図を示す。図3は、DCN40が、計算したMVをアクチュエータ30に正しく設定するシナリオを例示する。
まず、PC50は、PVに基づいてMVを計算するPIDアプリケーションにより使用されるSV及びTPを、DCN40に設定する(S101)。当ステップは、SV及びTPが設定または更新される必要があると随時、実行され得る。例えば、PC50のオペレータは、HMIによりSV及びTPの設定を始動し得る。
一旦SV及びTPが設定されると、センサ10は、PVを計測し、フィールドネットワークによりPVをDCN20へ送信する(S102)。PVの送信は、DCN20の読み出し行動により始動され得る。PVを受信すると、DCN20は、リアルタイムネットワークによりPVを、DCN40へ送信し(S103)、かつPC50へ送信する(S104)。DCN40とPC50に対するPVの送信は、独立して行われ得る。例えば、DCN20からDCN40へのPVの送信は、特定の間隔で、または所定の同期信号に従って自動で行われ、PC50へのPVの送信は、PC50からの要求に基づいて行われ得る。
前もって設定されたSV及びTP、並びに受信したPVにより、DCN40(PIDアプリケーション)はMVを計算する(S105)。ここで、PIDアプリケーションはロックステップMPU上で作動しており、よってDCN40(ロックステップMPU)は、MV計算の不整合を検出し得る。言い換えると、DCN40は、MV計算を並行して行い、2つの計算したMVを比較する(S106)。2つの結果が一致する(同一である)時、DCN40は、DCN40がMV計算を誤っていないと判断し、フィールドネットワークによりMVをアクチュエータ30に設定する(S107)。DCN40はまた、計算したMVを、リアルタイムネットワークによりPC50へ送信する(S108)。MVの設定及び送信は、独立して行われ得る。例えば、PC50へのMVの送信は、PC50からの要求により始動され得る。
図4は、本発明の1つまたは複数の実施形態による、管理システム1が実行する動作のシーケンス図を示す。図4は、DCN40がエラーを検出し、異常値をアクチュエータ30に設定することを避けるシナリオを例示する。
ステップS151〜S156は、図3において示されるS101〜106にそれぞれ対応する。
S157において、2つの結果が一致しない(同一でない)時、DCN40は、DCN40がMV計算を誤っていると判断し、計算したMVをアクチュエータ30に設定することをやめる。代わりにDCN40は、エラーをPC50へ送信し(S158)、PC50のオペレータにシステム内にエラーが発生したことを知らせる。
本発明の1つまたは複数の実施形態によれば、一時的電気雑音のためにDCN40においてある計算エラーが発生したとしても、プラントまたは他のシステムの全制御に深刻な影響を与え得る潜在的誤MVは、アクチュエータ30に送信される前に検出され、これにより深刻な事故は防がれ得る。
本発明の1つまたは複数の実施形態によれば、アクチュエータ30に接続されたDCN40のみがロックステップMPUを有する必要があり、これは、特に数千のフィールド装置が接続されるシステムの費用削減に貢献する。DCN40のロックステップMPUはCOTS製品であり、よって管理システム1はなお、オープンアーキテクチャの概念から逸脱することなく設計され得る。
図5は、本発明の1つまたは複数の実施形態による、管理システム1aのブロック図を示す。管理システム1aは、センサ10と、センサ10を制御するDCN20aと、アクチュエータ30と、アクチュエータ30を制御するDCN40aと、アプリケーションDCNとしてのPC50aとを備える。センサ10とアクチュエータ30は、フィールドネットワークによりDCN20aとDCN40aにそれぞれ接続され、PC50aは、図2の実施例と同様にリアルタイムネットワークによりDCN20a及びDCN40aに接続される。DCN20aとDCN40aは、リアルタイムネットワークにより互いと通信し得る。
DCN20aは、センサ10からPVを受信または取得し、DCN20a上で作動するPIDアプリケーションでMV(以下「MV(a)」と称する)を計算し得る。DCN20aにおいてMV(a)を計算するために、パラメータSV及びTPが、事前または随時にPC50aにより設定される。DCN20aは、受信したPVをPC50a並びにDCN40aへ送信する。さらに、DCN20aは、後続の比較動作のために、計算したMV(a)をDCN40aへ送信する。本発明の1つまたは複数の実施形態において、DCN20aは、MV(a)を計算するために使用されたSV及びTP(以下「SV(a)」及び「TP(a)」と称する)を、DCN40aへ送信し得る。SV(a)及びTP(a)は、DCN40aにおけるMV計算に同一のSV及びTPが使用されていることを確かめるために、DCN40aにより使用される。
管理システム1aのDCN40aは、DCN20aから受信したMV(a)を、DCN20aから受信したPVに基づいてDCN40aにおけるPIDアプリケーションが計算したMV(b)と比較するMVコンパレータを備える。パラメータSV及びTPは、PC50aにより設定されており、その計算に使用される。図6に示されるように、MVコンパレータは次いで、MV(a)及びMV(b)を読み取り、MV(a)とMV(b)が「同一」である場合、すなわち、双方の値が文字通り同一であるか、双方の値の差が所定の値以下である場合、MV(a)(またはMV(b))をアクチュエータ30及びPC50aに出力する。一方、MV(a)とMV(b)が同一でないか、双方の値の差が所定の値より大きい場合、MVコンパレータはエラーをPC50aに報告する。図6に図示されていないが、MVコンパレータは、エラーを他のシステムまたはDCNに報告し得る。MVコンパレータは、ハードウェア(すなわちDCN40aに組み込まれた回路)、またはソフトウェア(すなわちDCN40a上で作動するアプリケーション)により実施され得る。
本発明の1つまたは複数の実施形態において、MV(b)を計算する前に、DCN40aのPIDアプリケーションは、PC50aにより設定されたSVとTP(すなわちSV(b)とTP(b))が、SV(a)とTP(a)とそれぞれ同一であることを確認し得る。当動作により、DCN20aのPIDアプリケーションとDCN40aのPIDアプリケーションが、同一パラメータで設定されていることが確認される。
本発明の1つまたは複数の実施形態において、DCN40aは、DCN20aから受信したSV(a)及びTP(a)にのみ基づいて、MV(b)を計算し得る。当構成はまた、DCN40aのPIDアプリケーションが不整合なパラメータに基づいてMV(b)を計算することを防ぐ。本発明の他の実施形態では、PC50aにより設定されたSVとTP(すなわちSV(b)とTP(b))がSV(a)とTP(a)とそれぞれ同一でないと判断したときに、DCN40aのPIDアプリケーションは、DCN20aから受信したSV(a)及びTP(a)にのみ基づいてMV(b)を計算し得る。
図7は、本発明の1つまたは複数の実施形態による、管理システム1aが実行する動作のシーケンス図を示す。図7は、DCN40aが、計算されたMVをアクチュエータ30に正しく設定するシナリオを例示する。
まず、PC50aは、SV及びTPをDCN20a及びDCN40aに設定する(S201及びS202)。これらの設定は、マルチキャスト送信により同時に行われ得る。
次に、センサ10は、計測を行い、PVをDCN20aへ送信する(S203)。前述のように、このような送信は、DCN20aの読み出し行動により始動され得る。DCN20a(PIDアプリケーション)は次いで、受信したPV並びにパラメータSV(a)及びTP(a)に基づいてMV(a)を計算し(S204)、計算したMV(a)をPVと共にDCN40aへ送信する(S205)。DCN20aはまた、SV(a)及びTP(a)を、MV(a)及びPVと共にDCN40aへ送信し得る。さらに、DCN20aは、PVをPC50aへ送信する(S206)。
一旦PV及びMV(a)を受信すると、DCN40a(PIDアプリケーション)は、受信したPV並びにパラメータSV(b)及びTP(b)に基づいてMV(b)を計算する(S207)。次いで、DCN40aのMVコンパレータは、DCN20aから受信したMV(a)を、DCN40aが計算したMV(b)と比較する(S208)。MV(a)とMV(b)が同一である場合、DCN40aのMVコンパレータは、MV(a)(またはMV(b))をアクチュエータ30に設定する(S209)。加えて、DCN40aは、MV(a)(またはMV(b))をPC50aへ送信する(S210)。
図8は、本発明の1つまたは複数の実施形態による、管理システム1aが実行する動作のシーケンス図を示す。図8は、DCN40aがエラーを検出し、異常値をアクチュエータ30に設定することを避けるシナリオを例示する。
ステップS251〜S258は、図7において示されるS201〜S208にそれぞれ対応する。
S259において、DCN20aが計算したMV(a)とDCN40aが計算したMV(b)が一致しない(同一でない)時、DCN40aのMVコンパレータは、エラーを検出し、MV(a)またはMV(b)のどちらにしてもアクチュエータ30に設定することをやめる。代わりにDCN40aは、エラーをPC50aへ送信し(S260)、PC50aのオペレータにシステム内に異常が発生したことを知らせる。
本発明の1つまたは複数の実施形態によれば、オープンアーキテクチャに従うDCNを使用するシステムにおいて、アクチュエータ30に異常値が設定されることが防がれ得る。さらに、図9により明示されるように、本発明の実施形態は入力フィールド装置に接続されたDCNに追加MV計算の実行を求めるにも関わらず、このような計算時間は全システムのパフォーマンスに影響を及ぼさない。
従来の管理システムにおいて使用される典型的レガシーコントローラは、数千を超すI/O装置を扱い、よってその計算能力のおおよそ30%をI/O動作の処理に消費する必要がある。言い換えると、制御サイクルが100ミリ秒に設定されていると仮定すると、30ミリ秒がI/O動作に費やされる。本発明の1つまたは複数の実施形態において、それぞれのDCNは基本的に、1つのフィールド装置(例えばセンサ及びアクチュエータ)を取り扱い、これにより何千ものI/O及び制御動作を並行して実行することができる。従って、DCNの一部が、本実施形態が求める追加MV計算を実行する必要があったとしても、各動作は制御サイクル全体に悪影響を与えない。
図10は、本発明の1つまたは複数の実施形態による、管理システム1bのブロック図を示す。管理システム1bにおいて、センサ10と共に冗長センサ10’が提供され、DCN20b及び40bと共に冗長DCN20b’及び40b’が提供される。前述の管理システム1aのDCN20aと同様に、DCN20bと20b’はそれぞれ、センサ10と10’から取得したPVに基づいてMV(a)を計算し得る。さらに、DCN40aと同様に、DCN40bと40b’はそれぞれMV(b)を計算し、それをMV(a)と比較して、システムにおける計算エラーを検出し得る。センサ10と10’は、プラント内において近くに配置され、実質的に同一のPVを計測するため、DCN40bと40b’は同一のMVを計算すると見込まれる。それぞれのDCN20b、20b’、40b、40b’は、リアルタイムネットワークにより、PC50bと接続される。
管理システム1bにおいて、それぞれのDCNは、ハードウェア(例えば回路)、ソフトウェア(例えばアプリケーション)、及びそれらの組み合わせのうちのいずれかにより実施される冗長マネージャ(RM)を備える。各RMは、DCNの状態、すなわち「稼働」、「待機」、及び「非稼働」を制御する。非稼働以外の全てのDCNが、MV計算を行い得る。しかしながら、稼働DCNのみが計算されたMVをアクチュエータに設定し得る(例えば図10におけるDCN40b)。これを達成するために、稼働DCN40b及び待機DCN40b’のそれぞれは、ハードウェア(例えば回路)、ソフトウェア(例えばアプリケーション)、及びそれらの組み合わせのうちのいずれかにより実施されるゲートを介して、アクチュエータ30に接続される。MV計算においてエラーが起こらない限り、DCN40bのゲートのみが開放され、DCN40bが独占的にMVをアクチュエータ30に設定する。DCN40bにおいてエラーが起こった場合、DCN40bのゲートは閉鎖され、DCN40b’のゲートが開放され、これによりDCN40b’がアクチュエータ30に対するMVの設定を開始する。
本発明の1つまたは複数の実施形態において、ゲートの代わりに、DCN40bと40b’は両方とも、稼働DCNからアクチュエータ30に対するMVのみを送り得るスイッチを介して、アクチュエータ30に接続され得る。MVが稼働DCNからアクチュエータ30へ送られることを可能にするために、その他の同等装置も使用され得る。
図11は、DCN40bにてエラーが検出された時の管理システム1bにおけるDCN20b、20b’、40b、及び40b’の状態遷移を例示する。一旦DCN40bにエラーが発生すると(「1.エラー検出」)、エラーは、DCNの各RM、並びにPC50bへ報告される(「2.エラーメッセージ発信」)。次に、DCN20b及び40bのRMは、自身の状態を「非稼働」に変更し、DCN20b’及び40b’のRMは、自身の状態を「稼働」に変更する(「3.切り替え」)。DCN40bは次いでゲートを閉鎖し、DCN40b’はゲートを開放する(「4.ゲート動作」)。最後に、DCN20b’及び40b’はそれぞれ、現在非稼働のDCN20b及び40bの動作を引継ぎ、アクチュエータ30に対するMVの設定を開始する。一旦非稼働になると、DCN20b及び40bは、自身の動作を停止し得る。
図12は、本発明の1つまたは複数の実施形態による、管理システム1bが実行する動作のシーケンス図を示す。図12は、稼働DCN40bにおいてエラーが発生し、そこで待機DCN40b’が動作を引き継ぐシナリオを例示する。ここで、RMによる状態遷移動作の説明に焦点を絞るために、PC50bとの対話は図から省略される。
ステップS301〜S306はそれぞれ、図8において示されるS253〜S255及びS257〜S259に対応する。
DCN40bがエラーを検出する(すなわちDCN40bにより計算されたMV(b)と、DCN20bにより計算されたMV(a)が同一ではない)時、DCN40bのコンパレータは、DCN20b、20b’、及び40b’の各RMに対しエラーを送信する(S307、S308、及びS309)。エラーを受信したDCN20b及び20b’の各RMは、切り替え動作を行い、すなわちDCN20bのRMは自身の状態を「非稼働」に変更し、DCN20b’のRMは自身の状態を「稼働」に変更する(S310)。同様に、DCN40b及び40b’の各RMは、切り替え動作を行う(S311)。続いて、DCN40bはゲートを閉鎖し(S312)、DCN40b’はゲートを開放する(S313)。その結果、DCN40b’は、DCN40bの動作を引継ぎ、代わりにアクチュエータ30に対するMVの設定を開始する(S314)。
本発明の1つまたは複数の実施形態によれば、一旦DCN40bがMVの計算においてエラーを検出すると、冗長DCN40b’はDCN40bの動作を引継ぎ、よってシステムはメンテナンスなしで作動し続け得る。その結果、システムの信頼性及び可用性は有利に向上する。
本発明の1つまたは複数の実施形態において、冗長(待機)DCN20b’及び40b’は、MVをアクチュエータ30に設定すること以外、図12において破線で示されるように、稼働DCN20b及び40bが作動しているのと同じ様に作動していることが可能である。この冗長構成は、「ホットスタンバイ」と呼ばれる。あるいは、冗長DCN20b’及び40b’は、切り替えが起こった後にのみ、その動作を開始し、これは「ウォームスタンバイ」と呼ばれる。待機DCNを稼働化し、稼働DCNを非稼働化させる切り替え動作に、その他の冗長スキームが使用可能である。
本発明の1つまたは複数の実施形態において、図12に図示されていないが、RMはエラーをPC50bへ送信し得る。例えば、PC50bのHMIは、オペレータにエラー及び/または切り替え動作の発生を知らせ得る。
本発明の1つまたは複数の実施形態において、S307〜S309におけるエラー送信は、マルチキャスト送信により行われ得る。本発明の1つまたは複数の実施形態において、切り替え動作S310、S311は、並行して行われ得る。本発明の1つまたは複数の実施形態において、ゲート閉鎖S312、及びゲート開放S313は、並行して行われ得る。さらに、ゲートの開放又は閉鎖などの各ゲーティング動作は、各DCNによって並行して行われ得る。切り替え完了後、全てのRMは、完了メッセージを互いへ、並びにPC50bへ送信し得る。
図13は、本発明の1つまたは複数の実施形態による、管理システム1cのブロック図を示す。管理システム1cは、1つまたは複数のセンサ10‐1〜10‐xに接続されたDCN20cを備える。これは、DCN20cが、これらのセンサから1つまたは複数のPV(PV1〜PVx)を受信し得ることを意味する。加えて、管理システム1cは、DCN20cを介して受信したPV(PV1〜PVx)に基づいてMV(a)(MV1(a)〜MVx(a))をそれぞれが計算する1つまたは複数のPIDアプリケーションを実行するPC50cを備える。MVを計算するために、PC50cは、パラメータSV1〜SVx及びTP1〜TPxをPIDアプリケーションにそれぞれ設定する。
MV1(a)〜MVx(a)を計算したPC50cは、MV(a)及びPV(並びに任意でSV及びTP)をアクチュエータに接続されたDCNそれぞれに送信する。図13の実施例において、代表的なDCN40cのみが図示され、これは、PV1並びにPC50cにより事前に設定されたパラメータSV1及びTP1に基づいて、MV1(b)を計算する。続いて、図5に示されるDCN40a、または図10に示されるDCN40bと同様に、DCN40cは、計算したMV1(b)を受信したMV1(a)と比較し、両者が同一である場合には、DCN40cはMV1(a)(またはMV1(b))をアクチュエータ30に設定する。同一でない場合、DCN40cは、エラーをPC50cへ送信する。
図14は、本発明の1つまたは複数の実施形態による、管理システム1cが実行する動作のシーケンス図を示す。図14は、DCN40cが、計算されたMVをアクチュエータ30に正しく設定するシナリオを例示する。当実施例において、説明のため、DCN20cに接続された2つのセンサ10‐1、10‐x、並びにDCN40cとアクチュエータ30の1つのペアのみが図示される。
まずPC50cは、SV1〜SVx及びTP1〜TPxを、PC50cで動作しているPIDアプリケーションに設定する(S401)。次にPC50cは、SV1及びTP1をDCN40cに設定する(S402)。図14に図示されていないが、PC50cは、残りのパラメータを、他のアクチュエータにそれぞれ接続された他のDCNに設定し得る。
パラメータが設定された後、DCN20cは、センサ10‐1からPV1を取得または受信し(S403)、それをPC50cへ送信する(S404)。続いて(または同時に)、DCN20cは、センサ10‐xからPVxを取得または受信し(S405)、それをPC50cへ送信する(S406)。当実施例において、PVxは未だPC50cに届いていない。
PV1を受信すると、PC50cは、受信したPV1並びに設定したSV1及びTP1に基づいてMV1(a)を計算し(S407)、計算したMV1(a)をPV1と共にDCN40cへ送信する(S408)。後続のステップS409〜S412は、図7のS207〜S210に類似する。
図15は、本発明の1つまたは複数の実施形態による、管理システム1cが実行する動作のシーケンス図を示す。図15は、DCN40cがMV計算のエラーを検出し、異常値をアクチュエータ30に設定することを避けるシナリオを例示する。
ステップS451〜S458は、図14において示されるS401〜S408にそれぞれ対応する。さらに、後続のステップS459〜S462は、図8のS257〜S260に類似する。
本発明の1つまたは複数の実施形態によれば、入力フィールド装置に接続されたDCN20cは、MV計算を行わないため、計算能力が少なくて済む。従って、既存の単一入力モジュールまたは複数入力モジュールがDCN20cとして使用可能であるため、全システムの初期費用及びメンテナンス費用は大幅に削減され得る。
本発明の1つまたは複数の実施形態において、DCN20cは、32個以上のフィールド装置から入力信号を受け付け得る複数入力モジュールまたは複数入力DCNであり得る。本発明の1つまたは複数の実施形態において、PC50cは、汎用コンピュータと同等の機能を有するコントローラであり得る。あるいは、PC50cは、ネットワークを介して互いに接続された1つまたは複数のコンピュータを含む分散コンピュータシステムであり得る。
図16は、本発明の1つまたは複数の実施形態による、管理システム1dのブロック図を示す。管理システム1dは、PIDアプリケーションを実行し、かつ計測したPVに基づいてMV(a)を計算することがそれぞれ可能な1つまたは複数のセンサ10d‐1〜10d‐xを備える。管理システム1dはまた、DCN40dを介してセンサ10d‐1〜10d‐xそれぞれに対し、パラメータSV及びTP(SV1〜SVx及びTP1〜TPx)を設定し得るPC50dを備える。さらに、管理システム1dは、センサ10d‐1〜10d‐xからのPVに基づいてそれぞれ制御される1つまたは複数のアクチュエータ30‐1〜30‐xを備える。センサ10d‐1〜10d‐xとアクチュエータ30‐1〜30‐xは、DCN40dを介して接続される。
管理システム1dにおいて、それぞれのセンサ10d‐1〜10d‐xは、計算したMV(a)(MV1(a)〜MVx(a))及び計測したPV(PV1〜PVx)(並びに、任意で、パラメータSV1(a)〜SVx(a)及びTP1(a)〜TPx(a))を、DCN40dへ送信する。DCN40dは次いでMV(b)(MV1(a)〜MVx(a)にそれぞれ対応するMV1(b)〜MVx(b))を計算し、それを、受信したMV(a)(MV1(a)〜MVx(a)それぞれ)と比較する。DCN40dにより計算されたMV(b)とセンサ10dから受信されたMV(a)が同一である時、DCN40dは、MV(a)(またはMV(b))を対応アクチュエータ30に設定する。反対に、MV(b)とMV(a)が同一でない場合、DCN40dはエラーをPC50dへ送信する。
図17は、本発明の1つまたは複数の実施形態による、管理システム1dが実行する動作のシーケンス図を示す。図17は、DCN40dが、MVをアクチュエータ30‐1に正しく設定するシナリオを例示する。当実施例において、センサ10d‐1、10d‐x及びアクチュエータ30‐1以外のセンサ及びアクチュエータは、説明の簡易化のため省略される。
まずPC50dは、SV1〜SVx及びTP1〜TPxをDCN40dに設定する(S501)。次いでDCN40dはSVとTPのペアを、センサ10d‐1、10d‐xそれぞれに設定する(S502、S503)。一旦パラメータが設定されると、センサ10d‐1、10d‐xはそれぞれ、PV1、PVxを計測し、MV1(a)、MVx(a)を計算する(S504、S505)。センサ10d‐1、10d‐xは、計算したMV1(a)、MVx(a)をPV1、PVxと共にDCN40dへそれぞれ送信する(S506、S507)。
DCN40dがセンサ10d‐1からPV1及びMV1(a)を受信すると、DCN40dは、PV1をPC50dへ送信する(S508)。後続のステップS509〜S512は、図7のS207〜S210に類似する。
図18は、本発明の1つまたは複数の実施形態による、管理システム1dが実行する動作のシーケンス図を示す。図18は、DCN40dのうちの1つがMV計算のエラーを検出し、異常値をアクチュエータ30‐1に設定することを避けるシナリオを例示する。
ステップS551〜S558は、図17において示されるS451〜S458にそれぞれ対応する。さらに、後続のステップS559〜S562は、図8のS257〜S260に類似する。
本発明の1つまたは複数の実施形態によれば、全ての動作(すなわちパラメータ設定、PV計測、並びにMV計算及び比較)は、DCN40dの制御ループ内で完了し得る。例えば、一旦DCN40dがMV計算のエラーを検出すると、DCN40dは、誤計算に関わるセンサ及びアクチュエータの動作のみを停止し得る。よって、DCN40dは、潜在的欠陥のあるセンサを除外するために自身の動作を停止する必要はなく、エラーの可能性がある制御ループだけを停止する。つまりDCN40dは、システムの一部の独立運転を可能とする。
加えて、いくつかのアクチュエータ及びセンサは1つのDCN40dにより制御されるため、全システム内のDCNの総数は減少し、これによりオペレータは全システムを保全及び拡張しやすくなる。
本発明の1つまたは複数の実施形態において、それぞれのセンサ10d‐1〜10d‐xは、HARTまたはFFの規格に従って作動するインテリジェントセンサであり得る。本発明の1つまたは複数の実施形態において、DCN40dは、16個以上のフィールド装置から入力信号を受け付け、16個以上のフィールド装置に対する出力信号を生成し得る複数入力/出力DCNであり得る。
図19は、本発明の1つまたは複数の実施形態による、管理システム1eのブロック図を示す。管理システム1eは、図16において示されるセンサ10d‐1と同様の機能を有するセンサ10eを備える。センサ10e及びアクチュエータ30は、図16において示されるDCN40dと同様の機能を有するDCN40eを介して接続される。加えて、管理システム1eは、図10において示される管理システム1bのように、センサ10e及びDCN40eの冗長セット、すなわち冗長センサ10e’及び冗長DCN40e’を備える。
図19の実施例において、DCN40eは、センサ10eが計算したMV(a)を取得し、MV(a)をDCN40eが計算したMV(b)と比較して、MV計算にエラーが発生したか否かを判定する。一旦エラーが発生すると、図10の管理システム1bと同様に、冗長センサ10e’と冗長DCN40e’は、センサ10eとDCN40eのそれぞれの動作を引き継ぐ。DCN40e、40e’のそれぞれの状態は、前述のようにRMにより管理される。
図20は、DCN40eにて計算エラーが検出された時の管理システム1eにおけるDCN40e及びDCN40e’の状態遷移を例示する。一旦DCN40eにエラーが発生すると(「1.エラー検出」)、エラーは、DCN40e及びDCN40e’の各RMへ報告される(「2.エラーメッセージ発信」)。次に、DCN40eのRMは自身の状態を「非稼働」に変更し、DCN40e’のRMは自身の状態を「稼働」に変更する(「3.切り替え」)。DCN40eは次いでゲートを閉鎖し、DCN40e’はゲートを開放する(「4.ゲート動作」)。最後に、DCN40e’は、非稼働DCN40eの動作を引継ぎ、アクチュエータ30に対するMVの設定を開始する。
図21は、本発明の1つまたは複数の実施形態による、管理システム1eが実行する動作のシーケンス図を示す。図21は、稼働DCN40eにおいてエラーが発生し、そこで待機DCN40e’がその動作を引き継ぐシナリオを例示する。ここで、RMによる状態遷移の説明に焦点を絞るために、PC50eとの対話は図から省略される。
ステップS601〜S605はそれぞれ、図18において示されるS554、S556、及びS559〜S561に対応する。
DCN40eがエラーを検出する(すなわちDCN40eにより計算されたMV(b)と、センサ10eにより計算されたMV(a)が同一ではない)時、DCN40eのMVコンパレータは、DCN40e及びDCN40e’の各RMへエラーを送信する(S606)。続いて、DCN40e及びDCN40e’の各RMは切り替えを行い(S607)、すなわちDCN40eのRMは自身の状態を「非稼働」に変更し、DCN20e’のRMは自身の状態を「稼働」に変更する。DCN40eは次いでゲートを閉鎖し(S608)、DCN40e’はゲートを開放する(S609)。その結果、DCN40e’は、DCN40eの動作を引継ぎ、アクチュエータ30にMVを設定する(S610)。
本発明の1つまたは複数の実施形態によれば、一旦DCN40eがMVの計算においてエラーを検出すると、冗長DCN40e’はDCN40eの動作を引継ぎ得る。その結果、システムは非稼働DCN40eを取り替えることなく、その運転を継続し得る。
本発明の1つまたは複数の実施形態において、冗長(待機)DCN40e’は、アクチュエータ30にMVを設定すること以外、図21において破線で示されるように、稼働DCN40eが作動しているのと同じ様に作動していることが可能である(ホットスタンバイ)。あるいは、冗長DCN40e’は、切り替えが始動された時にのみ、その動作を開始し得る(ウォームスタンバイ)。DCN40eからDCN40e’へ動作を切り替えるために、その他の冗長スキームも使用され得る。
本発明の1つまたは複数の実施形態において、図21においてPC50eは図示されていないが、DCN40eはエラーをPC50eへ送信し得る。例えば、PC50eのHMIは、オペレータにDCN40eにてエラーが発生したことを知らせ得る。
本発明の1つまたは複数の実施形態において、ゲート閉鎖S608、及びゲート開放S609は、同時に行われ得る。切り替え完了後、全てのRMは、完了メッセージを互いへ、並びにPC50eへ送信し得る。
図22は、本発明の1つまたは複数の実施形態による、DCNの実施態様例を示す。
本発明の1つまたは複数の実施形態において、DCNは、CPU1001と、CPU1001に対応付けられたメモリ1002と、フィールドネットワークを介してフィールド装置と通信するI/Oインタフェース1003と、リアルタイムネットワークを介してPCと通信するネットワークインタフェース1004とを備え得る。これらのコンポーネント1001〜1004のうちの2つ以上が単一回路に統合され得る。DCNは、図22に図示されていないその他のハードウェアコンポーネントも備え得る。前述のように、DCNはまた、コンパレータ及びゲート用回路を備え得る。
本発明は限られた数の実施形態に関して説明されたが、当開示の利益を享受する当業者は、本明細書において開示される発明の範囲から逸脱しない他の実施形態が案出可能であることを認識するであろう。従って、本発明の範囲は、添付の特許請求の範囲によってのみ限定されるべきである。

Claims (20)

  1. プロセス値を計測する第1フィールド装置と、
    前記プロセス値に基づいて第1制御値を計算する第1制御ノードと、
    前記第1制御値に従って作動する第2フィールド装置と、
    前記第1制御値を計算するための1つまたは複数のパラメータを設定するアプリケーションノードと
    を備えるプラント施設の管理システムであって、
    前記第1制御ノードは、前記第1制御値を、前記第1フィールド装置、前記第1制御ノード、第2制御ノード、前記アプリケーションノードのうちの1つにより計算された第2制御値と比較し、
    前記第1及び前記第2制御値が同一であると判定された時、前記第1制御ノードは、前記第2フィールド装置に前記第1制御値を設定する、
    前記プラント施設の管理システム。
  2. 前記第1制御ノードは、2つのプロセッサコアを有するプロセッサを備え、
    前記2つのプロセッサコアはそれぞれ、前記第1及び前記第2制御値を計算し、
    前記プロセッサは、前記第1及び前記第2制御値が同一であるか否かを判定する、
    請求項1に記載の管理システム。
  3. 前記第2制御ノードは、
    前記第1フィールド装置から前記プロセス値を取得し、
    前記取得したプロセス値に基づいて前記第2制御値を計算し、
    前記第1制御ノードは、前記第1制御ノードにより計算された前記第1制御値を、前記第2制御ノードにより計算された前記第2制御値と比較する、
    請求項1に記載の管理システム。
  4. 前記第1制御ノードは、コンパレータを備え、
    前記コンパレータは、前記第1及び前記第2制御値を比較する、
    請求項3に記載の管理システム。
  5. 前記第2制御ノードは、前記アプリケーションノードから前記第2制御値を計算するための1つまたは複数のパラメータを受信し、
    前記第2制御ノードは、前記受信した1つまたは複数のパラメータを、前記取得したプロセス値及び前記計算した第2制御値と共に、前記第1制御ノードへ送信する、
    請求項3に記載の管理システム。
  6. 前記第1及び前記第2制御ノードのためにそれぞれ提供された第1及び第2冗長制御ノードと、
    前記第1フィールド装置のために提供された冗長フィールド装置と
    をさらに備え、
    前記第1制御ノードが前記第1及び前記第2制御値は同一でないと判断すると、前記第1冗長制御ノードは、前記冗長フィールド装置からの前記プロセス値に基づいて計算された第3制御値を、前記第2フィールド装置に設定する、
    請求項3に記載の管理システム。
  7. 一旦前記第1制御ノードが前記第1及び前記第2制御値は同一でないと判断すると、前記第1及び前記第2冗長制御ノードは、前記第1及び前記第2制御ノードの動作をそれぞれ引き継ぐ、
    請求項6に記載の管理システム。
  8. 前記動作の前記引継ぎは、前記第1及び前記第2制御ノード並びに前記第1及び前記第2冗長制御ノードのそれぞれにおいて作動する冗長マネージャにより管理される、
    請求項7に記載の管理システム。
  9. 前記第1制御ノード及び前記第1冗長制御ノードはそれぞれゲートを備え、
    一旦前記第1制御ノードが前記第1及び前記第2制御値は同一でないと判断すると、前記第1制御ノードの前記ゲートは閉鎖され、前記第1冗長制御ノードの前記ゲートが開放される、
    請求項6に記載の管理システム。
  10. 前記第2制御ノードは、前記第1フィールド装置から前記プロセス値を取得し、
    前記アプリケーションノードは、
    前記第2制御ノードから前記プロセス値を受信し、
    前記取得したプロセス値に基づいて前記第2制御値を計算し、
    前記第1制御ノードは、前記第1制御ノードにより計算された前記第1制御値を、前記アプリケーションノードにより計算された前記第2制御値と比較する、
    請求項1に記載の管理システム。
  11. 前記第2制御ノードは、複数点入力モジュールである、
    請求項10に記載の管理システム。
  12. 前記第1及び前記第2フィールド装置は、前記第1制御ノードに接続され、
    前記第1フィールド装置は、前記計測したプロセス値に基づいて前記第2制御値を計算し、
    前記第1制御ノードは、前記第1制御ノードにより計算された前記第1制御値を、前記第1フィールド装置により計算された前記第2制御値と比較する、
    請求項1に記載の管理システム。
  13. 前記第1制御ノードは、複数点DCNである、
    請求項12に記載の管理システム。
  14. 前記第1制御ノードのために提供された冗長制御ノードと、
    前記第1フィールド装置のために提供された冗長フィールド装置と
    をさらに備え、
    前記第1及び前記第2フィールド装置は、前記第1制御ノードに接続され、
    前記冗長及び前記第2フィールド装置は、前記冗長制御ノードに接続され、
    前記第1フィールド装置は、前記計測したプロセス値に基づいて前記第2制御値を計算し、
    前記第1制御ノードは、前記第1制御ノードにより計算された前記第1制御値を、前記第1フィールド装置により計算された前記第2制御値と比較し、
    前記第1制御ノードが前記第1及び前記第2制御値は同一でないと判断すると、前記冗長制御ノードは、前記冗長フィールド装置からの前記プロセス値に基づいて計算された第3制御値を、前記第2フィールド装置に設定する、
    請求項1に記載の管理システム。
  15. 前記第1制御ノード及び前記冗長制御ノードの両者は、複数点DCNである、
    請求項14に記載の管理システム。
  16. 前記第1及び前記第2フィールド装置のうちの少なくとも1つは、フィールドネットワークにより前記第1制御ノードに接続される、
    請求項1に記載の管理システム。
  17. 前記アプリケーションノードは、リアルタイムネットワークにより前記第1制御ノードに接続される、
    請求項1に記載の管理システム。
  18. 前記アプリケーションノードは、前記第2フィールド装置に設定される前記第1制御値を、前記第1制御ノードから受信する、
    請求項1に記載の管理システム。
  19. 前記アプリケーションノードは、汎用コンピュータである、
    請求項1に記載の管理システム。
  20. 第1フィールド装置においてプロセス値を計測することと、
    第1制御ノードにおいて、前記計測されたプロセス値及びアプリケーションノードにより設定された1つまたは複数のパラメータに基づいて、第2フィールド装置を作動させる第1制御値を計算することと、
    前記第1フィールド装置、前記第1制御ノード、第2制御ノード、前記アプリケーションノードのうちの1つにおいて、前記第2フィールド装置を作動させる第2制御値を計算することと、
    前記第1制御ノードにおいて、前記第1制御値を前記第2制御値と比較することと、
    前記第1制御ノードにおいて、前記第1及び前記第2制御値が同一である時、前記第2フィールド装置に前記第1制御値を設定することと
    を含むプラント施設の管理方法。
JP2018153862A 2017-09-22 2018-08-20 オープンプロセス自動化システムにおいて使用される分散制御ノードに基づいたプロセス信頼性向上方法 Active JP6750650B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US15/713,033 2017-09-22
US15/713,033 US10244043B1 (en) 2017-09-22 2017-09-22 Management system for a plant facility and method for managing a plant facility

Publications (2)

Publication Number Publication Date
JP2019061661A true JP2019061661A (ja) 2019-04-18
JP6750650B2 JP6750650B2 (ja) 2020-09-02

Family

ID=63708072

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018153862A Active JP6750650B2 (ja) 2017-09-22 2018-08-20 オープンプロセス自動化システムにおいて使用される分散制御ノードに基づいたプロセス信頼性向上方法

Country Status (4)

Country Link
US (1) US10244043B1 (ja)
EP (1) EP3460599A1 (ja)
JP (1) JP6750650B2 (ja)
CN (1) CN109542050B (ja)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10606764B1 (en) * 2017-10-02 2020-03-31 Northrop Grumman Systems Corporation Fault-tolerant embedded root of trust using lockstep processor cores on an FPGA
US11750696B2 (en) * 2021-03-22 2023-09-05 Yokogawa Electric Corporation Commissioning distributed control nodes
US11418447B1 (en) * 2021-04-29 2022-08-16 Yokogawa Electric Corporation Leveraging out-of-band communication channels between process automation nodes
EP4293438A1 (en) * 2022-06-13 2023-12-20 Abb Schweiz Ag Generating configuration information for newly integrated field devices

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10289004A (ja) * 1997-04-17 1998-10-27 Shimadzu Corp 信号出力装置
JPH1115502A (ja) * 1997-06-24 1999-01-22 Mitsubishi Electric Corp ディジタル制御装置
JP2006003929A (ja) * 2004-06-15 2006-01-05 Toshiba Corp プロセスコントローラ、プロセスコントローラの制御データの診断方法
JP2010039628A (ja) * 2008-08-01 2010-02-18 Fujitsu Ltd 制御システム、監視方法及びプログラム
JP2016058011A (ja) * 2014-09-12 2016-04-21 富士電機株式会社 制御システムおよび中継装置
JP2016192158A (ja) * 2015-03-31 2016-11-10 アズビル株式会社 異常判断装置、異常判断方法、及び異常判断プログラム

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH06242979A (ja) 1993-02-16 1994-09-02 Yokogawa Electric Corp 二重化コンピュータ装置
US6088665A (en) * 1997-11-03 2000-07-11 Fisher Controls International, Inc. Schematic generator for use in a process control network having distributed control functions
WO2000070531A2 (en) * 1999-05-17 2000-11-23 The Foxboro Company Methods and apparatus for control configuration
DE10325277A1 (de) * 2003-06-03 2005-01-13 Endress + Hauser Flowtec Ag, Reinach Variables Feldgerät für die Prozessautomatisierungstechnik
JP2007536634A (ja) * 2004-05-04 2007-12-13 フィッシャー−ローズマウント・システムズ・インコーポレーテッド プロセス制御システムのためのサービス指向型アーキテクチャ
US7729789B2 (en) * 2004-05-04 2010-06-01 Fisher-Rosemount Systems, Inc. Process plant monitoring based on multivariate statistical analysis and on-line process simulation
US7496473B2 (en) * 2004-08-31 2009-02-24 Watlow Electric Manufacturing Company Temperature sensing system
EP1913478B1 (de) * 2005-08-11 2018-10-10 Continental Teves AG & Co. OHG Mikroprozessorsystem zur steuerung bzw. regelung von zumindest zum teil sicherheitskritischen prozessen
US7738975B2 (en) * 2005-10-04 2010-06-15 Fisher-Rosemount Systems, Inc. Analytical server integrated in a process control network
GB2474545B (en) * 2009-09-24 2015-06-24 Fisher Rosemount Systems Inc Integrated unified threat management for a process control system
JP6157365B2 (ja) * 2011-03-03 2017-07-05 イートン コーポレーションEaton Corporation 建設機械で利用される電子油圧システムを制御するための、故障検知、分離、再構成システム及び方法
US9817382B2 (en) * 2013-06-03 2017-11-14 Tescom Corporation System and methods for control and monitoring of a field device
JP5971282B2 (ja) * 2014-06-04 2016-08-17 横河電機株式会社 フィールド機器管理システム
US9912737B2 (en) * 2014-08-27 2018-03-06 Exxonmobil Research And Engineering Company Method and system for modular interoperable distributed control
US10324797B2 (en) * 2016-02-26 2019-06-18 Tttech Auto Ag Fault-tolerant system architecture for the control of a physical system, in particular a machine or a motor vehicle
US10700942B2 (en) * 2016-06-21 2020-06-30 Johnson Controls Technology Company Building management system with predictive diagnostics
US10657776B2 (en) * 2016-10-24 2020-05-19 Fisher-Rosemount Systems, Inc. Alarm handling and viewing support in a process plant

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10289004A (ja) * 1997-04-17 1998-10-27 Shimadzu Corp 信号出力装置
JPH1115502A (ja) * 1997-06-24 1999-01-22 Mitsubishi Electric Corp ディジタル制御装置
JP2006003929A (ja) * 2004-06-15 2006-01-05 Toshiba Corp プロセスコントローラ、プロセスコントローラの制御データの診断方法
JP2010039628A (ja) * 2008-08-01 2010-02-18 Fujitsu Ltd 制御システム、監視方法及びプログラム
JP2016058011A (ja) * 2014-09-12 2016-04-21 富士電機株式会社 制御システムおよび中継装置
JP2016192158A (ja) * 2015-03-31 2016-11-10 アズビル株式会社 異常判断装置、異常判断方法、及び異常判断プログラム

Also Published As

Publication number Publication date
CN109542050A (zh) 2019-03-29
EP3460599A1 (en) 2019-03-27
US20190098072A1 (en) 2019-03-28
US10244043B1 (en) 2019-03-26
CN109542050B (zh) 2022-04-29
JP6750650B2 (ja) 2020-09-02

Similar Documents

Publication Publication Date Title
JP6750650B2 (ja) オープンプロセス自動化システムにおいて使用される分散制御ノードに基づいたプロセス信頼性向上方法
Rostan et al. EtherCAT enabled advanced control architecture
JP5026413B2 (ja) 拡張可能な動作制御システム
CN101004587A (zh) 用于正常和失配状况期间无缝切换的冗余控制器同步方法
JP6795444B2 (ja) 異常検知システム、半導体装置の製造システムおよび製造方法
US7774073B2 (en) Modular programmable automation controller with multi-processor architecture
TWI713719B (zh) 智慧型工具監控系統
JP6809790B2 (ja) フィールドデバイスフィードバックのためのシステム及び方法
WO2020129545A1 (ja) 制御装置およびプログラム
CN107785998B (zh) 一种配电***中配电自动化设备的监控方法
JP2011227902A (ja) 外部制御システムとフィールドバス装置を同期させるシステムおよび方法
WO2019125519A1 (en) Method for replacing legacy programmable logic controllers
CN113867128A (zh) 一种数控装备智能冗余控制***及方法
US20170111212A1 (en) Fault tolerant physical layer solution for foundation fieldbus h1 networks or other networks in industrial process control and automation systems
CN108369403A (zh) 现场总线耦合器、***和用于配置故障保险模块的方法
US10386832B2 (en) Redundant control system for an actuator and method for redundant control thereof
RU2431174C1 (ru) Комплекс резервируемых программно-аппаратных средств автоматизации контроля и управления
KR20140141938A (ko) Plc 시스템에서 통신모듈의 이중화 방법
KR20110085425A (ko) 안전 증설 베이스 및 그의 제어방법
US20110264832A1 (en) Systems, methods, and apparatus for facilitating communications between an external controller and fieldbus devices
JP2017516190A (ja) 制御ループにおけるコントローラ更新の低減、被制御デバイスを制御する方法、プロセス制御システム、プロセスコントローラ
JP2023181157A (ja) シンプレックスi/oコンポーネントの非中断的交換のための装置及び方法
KR101677812B1 (ko) 멀티 통신 프로토콜을 지원하는 통신장치 및 이를 포함하는 산업용 제어 시스템
US11734201B2 (en) Control system
JPH0462081B2 (ja)

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20180820

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20190719

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20190806

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190910

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20200107

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200302

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200714

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200727

R150 Certificate of patent or registration of utility model

Ref document number: 6750650

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250