Integriertes Sicherungssystem in einer Prozessanlage mit einem Prozesssteuerungssystem und einem Sic

专利摘要:
EineProzessanlage umfasst ein Sicherheitssystem, das physikalisch undlogisch derart in ein Prozesssteuerungssystem eingegliedert ist,dass das Sicherheits- und das Prozesssteuerungssystem eine gemeinsameHard- und Software fürSicherung, Kommunikation und Anzeige in der Prozessanlage verwendenkönnen, während gleichzeitigimmer noch eine funktionale Entkopplung zwischen den Sicherheitssystemsteuerungenund den Prozesssteuerungssystemsteuerungen vorgesehen ist. Diesesintegrierte Prozesssteuerungs- und Sicherheitssystem verwendet einegemeinsame Datenkommunikationsstruktur für sowohl das Sicherheits- alsauch das Prozesssteuerungssystem, so dass die Anwendungen Datenauf dieselbe Weise an Gerätein jedem System schicken oder von diesen empfangen können, beispielsweise,indem dieselbe Kommunikationshardware und -software verwendet wird.Die gemeinsame Datenkommunikationsstruktur ist jedoch so aufgebaut,dass sie eine Sicherungsanwendung zwischen einem Prozesssteuerungssystem-und einem Sicherheitssystemgerätunterscheiden lassen kann, indem sie Kennzeichen, Adressen oderandere Felder in den an die Gerätegeschickten oder von diesen eingegangenen Nachrichten verwendet,welche es ermöglichen,dass mit dem Prozesssteuerungssystem zusammenhängende Daten von mit dem Sicherheitssystemzusammenhängenden Datenunterschieden werden können,wodurch die Sicherungsanwendung in einer Benutzeroberfläche in dieLage vesetzt wird, die Daten automatisch je nach der Herkunft (oder...
公开号:DE102004003569A1
申请号:DE200410003569
申请日:2004-01-23
公开日:2004-12-09
发明作者:Gary Georgetown Law；Michael Austin Ott；Cindy Georgetown Scott；Godfrey Austin Sherriff
申请人:Fisher Rosemount Systems Inc；
IPC主号:G05B9-03

专利说明:
[0001] DieseAnmeldung ist eine Teilweiterverfolgung der US-Patentanmeldung laufendeNr. 10/352,396 mit dem Titel „ProcessContro/-System withan Embedded Safety System",welche am 28. Januar 2003 eingereicht wurde, deren Offenbarung hiermitdurch Bezug hierin ausdrücklichmitaufgenommen wird.
[0002] Dievorliegende Erfindung bezieht sich allgemein auf Sicherheitssysteme,die in Prozessanlagen verwendet werden und im Spezielleren auf einSicherheitssystem, das funktional oder logisch in einem Prozesssteuerungssystemeiner Prozessanlage eingebettet oder darin integriert ist.
[0003] Prozesssteuerungssysteme,wie diejenigen, die in chemischen, Erdöl- oder anderen Prozessen eingesetztwerden, umfassen typischerweise eine oder mehrere Prozesssteuerung/en,die überanaloge, digitale, oder kombinierte analoge/digitale Busse kommunikativmit mindestens einem Host- oder Bedienerarbeitsplatzrechner undeinem oder mehreren Feldgerätengekoppelt sind. Die Feldgeräte,welche beispielsweise Ventile, Ventilstellglieder, Schalter undMesswertgeber (z.B. Temperatur-, Druck- und Fließgeschwindigkeitssensoren)sein können,erfüllenAufgaben innerhalb der Prozessanlage, wie Öffnen und Schließen vonVentilen, und Messen von Prozessparametern. Die Prozesssteuerungenempfangen Signale, die von den Feldgeräten durchgeführte Prozessmessungenund/oder andere die Feldgerätebetreffenden Informationen anzeigen, verwenden diese Informationen,um Steuerroutinen zu implementieren und dann Steuersignale zu erzeugen,die überdie Busse an die Feldgerätegeschickt werden, um den Ablauf des Prozesses zu steuern. Informationenaus den Feldgerätenund den Steuerungen werden typischerweise einer oder mehreren Anwendungenzur Verfügunggestellt, die vom Bedienerarbeitsplatzrechner ausgeführt werden,um einen Bediener in die Lage zu versetzen, irgendeine gewünschte Aufgabeim Hinblick auf den Prozess zu erfüllen, wie Konfigurieren desProzesses, den momentanen Zustand des Prozesses zu überblicken, denAblauf des Prozesses zu verändern,etc.
[0004] Darüber hinausist bei vielen Prozessen ein separates Sicherheitssystem vorgesehen,um signifikante sicherheitsbezogene Probleme innerhalb der Prozessanlagezu erfassen und Ventile automatisch zu schließen, Geräte stromfrei zu schalten, Durchflussmengeninnerhalb der Anlage zu regeln, etc., wenn ein Problem auftritt,das in einer ernsthaften Gefahr in der Anlage, wie einem Auslaufengiftiger Chemikalien, einer Explosion, etc. enden oder dazu führen könnte. DieseSicherheitssysteme besitzen neben den Prozesssteuerungssteuerungentypischerweise noch einen oder mehrere separate Steuerungen, die über separate,innerhalb der Prozessanlage angeordnete Busse oder Kommunikationsleitungenan die Feldgeräteangeschlossen sind. Die Sicherheitssteuerungen verwenden die Sicherheitsfeldgeräte, um Prozessbedingungenzu erfassen, die mit signifikanten Ereignissen zusammenhängen, wie diePosition bestimmter Sicherheitsschalter oder Abschaltventile, Über- oderUnterlaufbedingungen im Prozess, den Betrieb wichtiger Stromerzeugungs- oderSteuergeräte,den Betrieb von Fehlererfassungsgeräten, etc., um dadurch „Ereignisse" innerhalb der Prozessanlagezu erfassen. Wird ein Ereignis erfasst, ergreift die Sicherheitssteuerungirgendeine Maßnahme,um die schädlicheAuswirkung des Ereignisses einzuschränken, wie Ventile zu schließen, Geräte abzuschalten,Abschnitte der Anlage stromfrei zu schalten, etc.
[0005] EineEntkopplung zwischen Prozesssteuerungen und Sicherheitssteuerungenwird als wichtig erachtet (und wird häufig durch geltende staatliche Richtlinienangeordnet), weil eine Verwendung einer Prozesssteuerung zur Durchführung vonSicherheitsaufgaben zum gleichzeitigen Ausfall der Sicherheits- undProzesssteuerungsfunktionen führt,wenn die Prozesssteuerung ausfällt.Die Sicherheitsfunktionen werden jedoch dann am Kritischsten, wenndie Prozesssteuerung ausfällt,weil dabei der Prozess teilweise oder gänzlich außer Kontrolle ist.
[0006] DieEntkopplung zwischen den Prozesssteuerungen und den Sicherheitssteuerungenin Prozessanlagen hat dazu geführt,dass diese Systeme von unterschiedlichen Personen entwickelt wurden, dieunterschiedliche Hard- und Software verwenden. Tatsächlich wirdin manchen Fällen,weil die Sicherheitssysteme nicht die Hard- und Softwareinfrastrukturdes Prozesssteuerungssystems verwenden, an verschiedenen Stelleninnerhalb derselben Prozessanlage eine unterschiedliche und vollkommenunzusammenhängendeSicherheitssystemhardware und -software etwa an verschiedenen Knotenverwendet. Jedenfalls führtdie Entkopplung zwischen dem Prozesssteuerungssystem und dem Sicherheitssystem zueiner Anzahl unterschiedlicher und unzusammenhängender Sicherheitssystemein derselben Anlage, die separat konfiguriert und überwachtwerden müssen.Im Ergebnis wird typischerweise eine unterschiedliche Kommunikationsinfrastruktureingesetzt, um diese unter schiedlichen Systeme innerhalb derselbenAnlage zu implementieren, wobei unterschiedliche Konfigurations-und Diagnoseanwendungen und Arbeitsplatzrechner verwendet werden,um diese gesonderten Systeme zu konfigurieren und zu überwachen.Gleichermaßenwird typischerweise unterschiedliches Personal zur Durchführung derKonfigurations-, Diagnose- und Überwachungstätigkeiten bzw.-vorgängeim Hinblick auf diese unterschiedlichen Systeme benötigt, wasinsgesamt zu zusätzlichenKosten beim Konfigurieren und Betreiben einer Prozessanlage führt, dieein Sicherheitssystem verwendet. Da sich die Konfigurations- undDiagnosesoftware des Sicherheitssystems von der Konfigurations-und Diagnosesoftware des Steuerungssystems unterscheidet, müssen Personenin diesen unterschiedlichen Softwareprogrammen getrennt geschultwerden, was zu einer erhöhtenSchulungszeit führt.
[0007] Eswurden in der Vergangenheit Versuche unternommen, Daten aus denin derselben Anlage vorhandenen Prozesssteuerungs- und Sicherheitssystemenauf ein und derselben Benutzeroberfläche zu integrieren, um dadurchdas bildliche Darstellen und Handhaben dieser unterschiedlichenDaten an ein und derselben Stelle zu ermöglichen. Diese Integrationfindet aber erst nach der Tatsache statt, dass herkömmlicheKonfigurations-, Sicht- und Diagnoseanwendungen des Steuersystemsals zugrundeliegende Softwareplattform verwendet wird und dann dieSicherheitssystemdaten in die Steuerungssystemsoftware importiertwerden. Unglücklicherweise stellenherkömmlicheSteuerungssysteme nicht die Flexibilität bereit, Sicherheitssystemdatenvon Steuerungssystemdaten zu unterscheiden. Wenn erst einmal dieSicherheitssysteminformation in den Steuerungssystemanwendungenintegriert ist, erscheinen im Ergebnis die dem Benutzer angezeigtenSicherheitssystemwerte als dieselben wie die Steuerungssystemwerte,was es schwierig macht, die Sicherheitssystemdaten nachzuverfolgenoder zu unterscheiden.
[0008] Darüber hinauserfordern diese integrierten Anzeigesysteme typischerweise, dassdie Sicherheitssystemdaten der Steuerungssystemkonfiguration zugeordnetwerden, damit ein Benutzer erfährt, woherdie Sicherheitssystemdaten im Hinblick auf die Steuerungssystemhardwarestammen. In diesen Fällenwird eine separate Software innerhalb einer Benutzeroberfläche verwendet,um Daten zwischen den beiden Systemen aufgrund der unterschiedlichenArchitekturen zuzuordnen, die zur Definition der Daten (oder derIdentifizierungs-Kennzeichen, die die Herkunft oder Bestimmung derDaten angeben) verwendet werden, die mit den beiden Systemen zusammenhängen. DieseDatenzuordnungsverfahren erfordern, dass eine zusätzlicheBenutzerprogrammierung sowohl installiert als auch gepflegt wird,und könnenaufgrund von Fehlern, die durch die Zuordnungsfunktion eingeschlepptwerden, zu fehlerhaften Daten führen.
[0009] Nochweiter darüberhinaus, lässtsich Sicherheit in Systemen schwieriger handhaben, welche versuchen,Sicherheitssystemdaten in einer herkömmlichen Steuerungssystemanwendungzu integrieren. Währendmanche Benutzeroberflächen- oderMensch-Maschine-Schnittstellenprodukte (Mensch-Maschine-Schnittstelle – HMI – HumanMachine Interface) (im Gegensatz zu Steuerungssystemen) in der Lagesind, eine eindeutige Sicherheit über einzelne HMI-Datenwerte/Kennzeichen(„tags") bereitzustellen,muss innerhalb der HMI immer noch ein zusätzliches Benutzerprogramm installiertwerden, um sicherzustellen, dass jeder Wert und/oder jedes Kennzeichenkorrekt als vom Sicherheitssystem stammend gekennzeichnet ist, umsicherzustellen, dass diese Sicherheit aufgerufen wird. Diese Funktionist von Natur aus fehleranfälligerund von daher weniger sicher, weil sie von der die HMI programmierendenund pflegenden Person abhängt,die sicherstellen soll, dass alle Werte aus dem Sicherheitssystemkorrekt der Steuersystemschnittstelle zugeordnet sind. Darüber hinausmacht solch ein Zuordnungsverfahren die HMI-Sicherheit kritisch, was das Sicherheitsinstrumentierungssystemverkompliziert, was es schwieriger macht, den Grad an Sicherheitsintegrität zu prüfen undnachzuweisen.
[0010] ImErgebnis mangelt es diesen Benutzeroberflächenintegrationssystemen ander Fähigkeit, Lese-und Schreibwerte des Sicherheitsinstrumentierungssystems direktin eine Benutzergraphik zu stellen, ohne dass dabei eine Zuordnungzwischen der Steuerungs- und Sicherheitssystemkonfiguration odereine spezielle in den Sicherheitssystemsteuerungen untergebrachteSicherheitsinstrumentierungssteuerlogik erforderlich wäre, dieeine „Firewall" zwischen der Benutzeroberfläche undder Logik des Sicherheitsinstrumentierungssystems herstellt, um dadurchunbefugte Einschreibevorgängein das Sicherheitsinstrumentierungssystem zu verhindern. Darüber hinausmangelt es diesen bekannten integrierten Benutzeroberflächensystemenan einem sicheren Schreibmechanismus, der sicherstellt, dass keineVerfälschungdes eingegebenen Werts oder Pfads während eines Einschreibvorgangsin das Sicherheitsinstrumentierungssystem stattfindet, und es mangeltihnen auch an einem eindeutigen, in das Steuerungssystem eingebautenSicherheitsschutz, der gewährleistet,dass alle Einschreibvorgängevon Werten entweder aus einer Prozessgraphik oder irgendeiner anderenAnwendung, die Werte in das Sicherheitsinstrumentierungssystem einschreiben kann,in das Sicherheitsinstrumentierungssystem spezielle Rechte oderBerechtigungen erfordert.
[0011] Zusätzlich wurdendie Konfigurationen des Sicherheitssystems und des Steuerungssystemstypischerweise unter Verwendung von an separaten Stellen innerhalbder Prozessanlage gespeicherten, unterschiedlichen Konfigurationsanwendungenerstellt und bildlich dargestellt, und es bestand wenig oder garkeine Interaktion (wechselseitige Verbindung) zwischen Konfigurationsdatendes Sicherheitssystems und Konfigurationsdaten des Steuerungssystems.Im Ergebnis ist es füreinen Benutzer schwierig, auf eine umfassende Weise die Konfigurationdes Steuerungssystems und des Sicherheitssystems integriert darzustellenoder diese nachzuvollziehen, z.B. auf eine Weise, die die Art undWeise anzeigt oder darstellt, auf die diese beiden Systeme miteinanderinteragieren, oder auf die die Geräte und die Logik, die mit denunterschiedlichen Systemen zusammenhängen, physikalisch und logischmit der Anlage verschaltet sind.
[0012] Genausowurden Diagnoseanwendungen, die mit Steuerungs- und Sicherheitssystemen zusammenhängen, wieAlarm-, Test- und andere Diagnosewerkzeuge in vielen Fällen separatausgebildet, was es einem Einzelbenutzer schwer macht, nachzuvollziehen,wie Probleme in einem System sich auf Probleme innerhalb des anderenSystems auswirken oder damit zusammenhängen können. Zusätzlich haben diese separatenDiagnoseanwendungen dazu geführt,dass die Alarm- und anderen Diagnosedaten, die mit den unterschiedlichenSystemen zusammenhängen,typischerweise unterschiedlichen Benutzern auf verschiedenen Anzeigenangezeigt werden, oder auf derselben Anzeige zu unterschiedlichenZeiten mittels unterschiedlicher Programme. Diese nicht integrierteVerwendung und Anzeige von Diagnosedaten macht es noch schwieriger,den Betrieb der gesamten Anlage und die Art und Weise, auf die dasSicherheitssystem mit dem Prozesssteuerungssystem während desBetriebs der Anlage zusammenwirkt, nachzuvollziehen.
[0013] Während, wieoben angegeben, bekannt ist, eine integrierte Anzeige der Prozesssteuerungsalarmeund der Sicherheitssystemalarme vorzusehen, werden die Sicherheitssystemalarmeim Wesentlichen in der Alarmanzeigenumgebung des Prozesssteuerungssystemsals Prozesssteuerungssystemalarm verzeichnet. Im Ergebnis werdendie Sicherheitssystemalarme im Wesentlichen als Prozessteuerungssystemalarmedargestellt, was es fürBenutzer der Alarmanzeige schwierig macht, Sicherheitssystem- vonProzesssteuerungssystemalarmen problemlos zu trennen oder diesezu erkennen. Weil die Sicherheitssystemalarme zu Anzeigezweckenin Prozesssteuerungssystemalarme umgewandelt werden müssen, werdenzusätzlichdie umgewandelten Sicherheitssystemalarme zu dem Zeitpunkt mit einem Zeitstempelversehen, zu dem sie im Prozesssteuerungssystem generiert werden,d.h. wenn die Alarme durch die Anzeigeanwendung umgewandelt werden, anstattzu dem Zeitpunkt mit einem Zeitstempel versehen zu werden, zu demdiese Alarme tatsächlich imSicherheitssystem erfasst werden. Im Ergebnis gehen die Daten verloren,die den tatsächlichenZeitpunkt betreffen, zu dem die Sicherheitsdaten im Sicherheitssystemgeneriert wurden, was zu irreführenderInformation zu Zwecken der Alarmprotokollierung, Alarmquittierungund Alarmbeantwortung führt.
[0014] EineProzessanlage umfasst ein Sicherheitssystem, das physikalisch undlogisch auf eine Weise in ein Prozesssteuerungssystem eingegliedertist, die es ermöglicht,dass das Sicherheitssystem und das Prozesssteuerungssystem einegemeinsame Hard- und Software fürKommunikation, Konfiguration, Diagnose und Anzeige innerhalb derProzessanlage verwenden können,währendsie gleichzeitig immer noch eine funktionale Entkopplung zwischenden Sicherheitssystemsteuerungen und den Prozesssteuerungssystemsteuerungenvorsieht. Wie typisch ist, sind separate Sicherheitssystemsteuerungen über eineSicherheitskommunikationsinfrastruktur an Sicherheitsfeldgeräte angeschlossen,währendProzesssteuerungssystemsteuerungen über standardmäßige Steuerungssystembusseoder Kommunikationsleitungen an die Steuerungssystemfeldgeräte angeschlossensind. Jedoch sind die Sicherheitssystemsteuerungen kommunikativmit den Prozesssteuerungssystemsteuerungen über einen Bus oder einen anderenKommunikationskanal verbunden und jeweils mit einem oder mehrerenBedienerarbeitsplatzrechnern innerhalb der Prozessanlage über ein gemeinsamesKommunikationsnetz verbunden, wodurch es möglich ist, dass die Softwarein den Bedienerarbeitsplatzrechnern sowohl mit den Prozesssteuerungssteuerungen(und damit zusammenhängendenProzesssteuerungsfeldgeräten)als auch den Sicherheitssystemsteuerungen (und damit zusammenhängendenSicherheitsfeldgeräten)kommunizieren und diese konfigurieren und deren Betrieb bildlichdarstellen kann.
[0015] DieseIntegration beinhaltet die Verwendung einer gemeinsamen Datenkommunikationsstruktur für sowohldas Sicherheitssystem als auch das Prozesssteuerungssystem, so dassAnwendungen Daten an die Gerätein jedem System auf dieselbe Weise schicken und von diesen empfangenkönnen,z.B. unter Verwendung derselben Kommunikationshardware und -software.Die gemeinsame Datenkommunikationsstruktur kann aber Prozesssteuerungsgeräte von Sicherheitsgeräten unterscheiden,indem sie Kennzeichen, Adressen oder andere Felder innerhalb deran die Gerätegeschickten oder von diesen empfangenen Nachrichten verwendet, wodurchDaten, die mit dem Prozesssteuerungssystem zusammenhängen, vonDaten unterscheidbar sind, die mit dem Sicherheitssystem zusammenhängen, wodurch eineAnwendung innerhalb einer Benutzoberfläche in die Lage versetzt wird,diese Daten je nach der Herkunft (oder Bestimmung) der Daten unterschiedlich zubehandeln.
[0016] Ineinem Beispiel könnenAnzeige-, Konfigurations-, Steuerungs- und Diagnoseanwendungen ermöglichen,dass Einschreibevorgänge(oder Auslesevorgänge)sowohl in die (aus den) Prozesssteuerungssystemgeräte(n) alsauch Sicherheitssystemgeräte(n)vorgenommen werden können,während dieEinschreibvorgängein die Sicherheitssystemgeräteautomatisch mit Sicherheitsprozeduren zwangsbeaufschlagt werden,die fürdie Einschreibvorgänge indie Prozesssteuerungssystemgerätenicht notwendig sind, oder umgekehrt. Diese Einschreibevorgänge können abervon derselben Anzeige freigegeben werden, die Einschreibevorgänge in dasSicherheitssystem von Einschreibevorgängen in das Prozesssteuerungssystembasierend auf der Anzeige unterscheidet, in welche die einzuschreibendenDaten gestellt wurden. Auf diese Weise können die Anzeige-, Konfigurations-,Steuerungs- und Diagnoseanwendungen Einschreibungen in jedes Systemvornehmen, ohne die Daten aus dem Prozesssteuerungssystem dem Sicherheitssystemoder umgekehrt zuordnen zu müssen.
[0017] Zusätzlich können Konfigurations-und Diagnoseanwendungen eine gemeinsame Schnittstelle bereitstellen,um Konfigurations- und Diagnosevorgänge innerhalb der Prozessanlagefür sowohldas Prozesssteuerungssystem als auch das Sicherheitssystem durchzuführen. Insbesonderekann es eine Konfigurationsanwendung einem Benutzer ermöglichen,das Prozesssteuerungssystem und/oder das Sicherheitssystem zu konfigurieren,und kann die Konfigurationsinformation in einer gemeinsamen Datenbankmit bekannten Assoziationen zwischen den Prozesssteuerungssystemgeräten (derProzesssteuerungssystemgerätelogik)und den Sicher heitssystemgeräten(der Sicherheitssystemgerätelogik)abspeichern, um es leichter zu machen, die wechselseitigen Beziehungenzwischen der Steuerungssystem- und der Sicherheitssystemkonfigurationnachzuvollziehen. Noch weiter darüber hinaus kann eine gemeinsameBildschirmmaske sowohl die Konfigurationsinformation des Prozesssteuerungssystemsals auch die Konfigurationsinformation des Sicherheitssystems anzeigen,und Daten, die in einem dieser Systeme generiert wurden, können beider Konfiguration oder Implementierung des anderen dieser Systemeverwendet werden, ohne dass dabei ein gesonderter Zuordnungsvorgangdurchgeführtwird. Diese gemeinsame oder integrierte Konfigurationsanwendungmacht es leichter, die gesamte Anlage unter Verwendung einer einzigenKonfigurationsanwendung zu konfigurieren, was wiederum die Notwendigkeitaus der Welt schafft, dieselben oder verschiedene Benutzer in unterschiedlichenKonfigurationsanwendungen zu schulen.
[0018] Gleichermaßen können Diagnoseanwendungenso programmiert werden, dass sie Daten sowohl aus dem Prozesssteuerungs- als auch aus dem Sicherheitssystemverwenden, indem sie eine integrierte Diagnose durchführen, ohnedie Herkunft der Diagnosedaten aus den Augen zu verlieren. Beispielsweisekann eine Alarmanzeigeanwendung verwendet werden, um sowohl dieProzesssteuerungssystem- als auch die Sicherheitssystemalarme auf derselbenOberflächeanzuzeigen, die Alarme nach Priorität zu ordnen und einen gewissenHinweis auf das Verhältnisunter diesen Alarmen bereitzustellen, z.B., dass ein bestimmterProzesssteuerungssystemalarm in gewisser Weise mit einem bestimmtenSicherheitssystemalarm in Beziehung steht. Da diese Alarme unterVerwendung eines gemeinsamen Kommunikationsformats, das zwischenSicherheitssystem- und Prozesssteuerungssystemgeräten unterscheidet,an die Diagnoseanwendung geschickt werden, kann die Diagnoseanwendungerfassen, ob ein Alarm im Prozesssteuerungs- oder Sicherheitssystemgeneriert wurde, und kann beide Alarmarten anzeigen, ohne dabeiaus den Augen zu verlieren, wo und wann diese Alarme generiert wurden.
[0019] 1 ist ein Blockschema einerbeispielhaften Prozessanlage mit einem Sicherheitssystem, das ineinem Prozesssteuerungssystem integriert ist und Schnittstellen-,Konfigurations- und Diagnoseanwendungen beinhaltet, die integrierteSicherungs-, Konfigurations- und Diagnosevorgänge im Hinblick auf das Prozesssteuerungs-und Sicherheitssystem bereitstellt;
[0020] 2 ist ein Blockschema mehrererSicherheitssystemsteuerungen, die über ein erstes Kommunikationsnetzkommunikativ miteinander verbunden und zusätzlich über ein zweites und gemeinsamesKommunikationsnetz mit Prozesssteuerungssystemsteuerungen und Benutzeroberflächen verbundensind;
[0021] 3 ist ein Beispiel einer,durch die Konfigurationsanwendung von 1 erzeugtenBildschirmmaske, die eine Konfigurationsansicht der Prozessanlagevon 1 darstellt, diesowohl die Prozesssteuerungssystem- als auch die Sicherheitssystemgeräte zeigt;
[0022] 4 ist ein Blockschema derDiagnoseanwendung von 1,welche dazu ausgelegt ist, die Anzeige und Handhabung von Prozesssteuerungssystem-und Sicherheitssystemalarmen in einer einzigen Benutzeroberfläche zu integrieren;
[0023] 5 ist eine Darstellung einesBeispiels einer Alarmbildschirmmaske, die von der Diagnoseanwendungvon 4 erzeugt wird,die Alarme aus sowohl dem Prozesssteuerungs- als auch dem Sicherheitssystemvon 1 anzeigt;
[0024] 6 ist ein Blockschema einesBeispiels einer Sicherungsanwendung, die in einem oder mehrerender Arbeitsplatzrechner von 1 angeordnet ist,die automatisch verschiedene Sicherheitsgesetze im Hinblick aufdas Einschreiben von Daten in die oder Auslesen von Daten aus denProzesssteuerungssystem- und Sicherheitssystemgeräten von 1 durchsetzt; und
[0025] 7 ist eine Darstellung einesBeispiels einer Benutzeroberflächenanzeige,die gesicherte Einschreibevorgängein und Auslesevorgängeaus verschiedenen Geräteninnerhalb des Prozesssteuerungs- und Sicherheitssystems von 1 unter Verwendung der Sicherungsanwendungvon 6 ermöglicht.
[0026] Nunumfasst mit Bezug auf 1 eineProzessanlage 10 ein Prozesssteuerungssystem 12, dasmit einem (durch unterbrochene Linien angezeigten) Sicherheitssystem 14 integriertist, welches im Allgemeinen als sicherheitsinstrumentiertes System(SIS) arbeitet, um die vom Prozesssteuerungssystem 12 bereitgestellteSteuerung/Regelung zur Maximierung des wahrscheinlichen Sicherheitsbetriebsder Prozessanlage 10 zu überwachen und durch OverrideaußerKraft zu setzen. Die Prozessanlage 10 umfasst auch einenoder mehrere Host-Arbeitsplatzrechner, Computer oder Benutzeroberflächen 16 (dieirgendeine Art von PC, Arbeitsplatzrechner, etc. sein können), aufdie durch das Anlagenpersonal wie Prozesssteuerungsoperatoren, Wartungspersonal,Systemtechniker, etc. zugegriffen werden kann. In dem in 1 dargestellten Beispielsind drei Benutzeroberflächen 16 gezeigt,die mit zwei separaten Prozesssteuerungs-/Sicherheitssteuerungsknoten 18 und 20 undmit einer Konfigurationsdatenbank 21 über eine gemeinsame Kommunikationsleitung odereinen gemeinsamen Kommunikationsbus 22 verbunden sind.Das Kommunikationsnetz 22 kann unter Verwendung einer beliebigenauf Bus basierenden oder nicht auf Bus basierenden Hardware implementiertsein, unter Verwendung einer beliebigen festverdrahteten oder drahtlosenKommunikationsstruktur, und unter Verwendung eines beliebigen odergeeigneten Kommunikationsprotokolls wie einem Ethernet-Protokoll.
[0027] Allgemeinausgedrückt,umfasst jeder der Knoten 18 und 20 der Prozessanlage 10 sowohlProzesssteuerungssystem- als auch Sicher heitssystemgeräte, die über eineBusstruktur miteinander verbunden sind, die auf einer Rückwandplatinevorgesehen werden kann, in der die verschiedenen Geräte befestigtsind. Der Knoten 18 ist in 1 alseine Prozesssteuerung 24 (welche ein redundantes Rechnerpaarsein kann) sowie ein oder mehrere Eingabe-/Ausgabegeräte (E/A-Geräte) 28, 30 und 32 des Prozesssteuerungssystemsumfassend dargestellt, währendder Knoten 20 als eine Prozesssteuerung 26 (welcheein redundantes Rechnerpaar sein kann) sowie ein oder mehrere E/A-Geräte 34 und 36 des Prozesssteuerungssystemsumfassend dargestellt ist. Jedes der E/A-Geräte 28, 30, 32, 34 und 36 des Prozesssteuerungssystemsist kommunikativ mit einer Gruppe von prozesssteuerungsbezogenenFeldgerätenverbunden, die in 1 alsFeldgeräte 40 und 42 dargestelltsind. Die Prozesssteuerungen 24 und 26, die E/A-Geräte 28–36 unddie Prozesssteuerungsfeldgeräte 40 und 42 machenallgemein das Prozesssteuerungssystem 12 von 1 aus.
[0028] Ebensoumfasst der Knoten 18 einen oder mehrere Sicherheitssystemlogiklöser 50 und 52, während derKnoten 20 Sicherheitssystemlogiklöser 54 und 56 umfasst.Jeder dieser Logiklöser 50–56 ist einE/A-Gerät(verschiedentlich auch als Sicherheitscontroller bezeichnet) miteinem Prozessor 57, der in einem Speicher abgespeicherteSicherheitslogikmodule 58 ausführt, und steht kommunikativin Verbindung, um Steuersignale an die Feldgeräte 60 und 62 zuschicken und/oder Signale von diesen zu empfangen. Zusätzlich kannjeder der Knoten 18 und 20 mindestens ein Nachrichtenverbreitungsgerät (MPD – MessagePropagation Device) 70 bzw. 72 umfassen, welche über eineRingbusverbindung 74 (wovon nur ein Teil in 1 dargestellt ist) miteinanderverbunden sind. Die Sicherheitssystemlogiklöser 50–56, die Sicherheitssystemfeldgeräte 60 und 62,die MPDs 70 und 72 und der Bus 74 machenallgemein das Sicherheitssystem 14 von 1 aus.
[0029] DieProzesssteuerungen 24 und 26, bei denen es sichnur beispielhaft um Delta V^TM-Rechner, dievon Emerson Process Management vertrieben werden, oder irgendeineandere beliebige Art von Prozesssteuerungen handeln kann, sind soprogrammiert, dass sie eine Prozess steuerungsfunktionalität (indemsie das verwenden, was allgemein als Steuermodule bezeichnet wird)unter Verwendung der E/A-Geräte 28, 30 und 32 (für die Steuerungbzw. den Rechner 24), der E/A-Geräte 34 und 36 (für die Steuerungbzw. den Rechner 26), und der Feldgeräte 40 und 42 bereitstellen.Insbesondere implementiert oder überwachtjeder der Rechner 24 und 26 ein oder mehrere daringespeicherte oder anderweitig damit zusammenhängende Prozesssteuerungsroutinen 75 (dieauch als Steuermodule bezeichnet werden) und kommuniziert mit denFeldgeräten 40 und 42 undden Arbeitsplatzrechnern 14, um den Prozess 10 odereinen Teil des Prozesses 10 auf eine gewünschte Weisezu steuern/regeln. Die Feldgeräte 40 und 42 können jedebeliebige Art von Feldgerätensein, wie Sensoren, Ventile, Messwertgeber, Stellglieder, etc.,und könnenjedem gewünschtenoffenen, geschlossenen oder anderen Kommunikations- oder Programmierprotokoll,einschließlichbeispielsweise dem HART- oder dem 4–20 mA-Protokoll (wie für die Feldgeräte 40 dargestellt),jedem Feldbusprotokoll wie dem Protokoll Foundation^® Fieldbus(wie fürdie Feldgeräte 42 dargestellt),oder den CAN-, Profibus-, AS-Interface-Protokollen entsprechen,um nur einige wenige zu nennen. Ähnlichkönnendie E/A-Geräte 28–36 irgendeinebekannte Art von E/A-Gerätenfür dieProzesssteuerung sein, die irgendein geeignetes oder irgendwelchegeeigneten Kommunikationsprotokolle verwenden.
[0030] DieSicherheitslogiklöser 50–56 von 1 können eine beliebige Art vonSicherheitssystemsteuergerätensein, die einen Prozessor 57 und einen Speicher umfassen,in dem Sicherheitslogikmodule 58 abgespeichert sind, diedazu ausgelegt sind, auf dem Prozessor 57 ausgeführt zu werden,um Steuerungsfunktionalitätin Zusammenhang mit dem Sicherheitssystem 14 unter Verwendungder Sicherheitsfeldgeräte 60 und 62 bereitzustellen.Natürlich können dieSicherheitsfeldgeräte 60 und 62 einebeliebige Art von Feldgerätensein, die irgendeinem bekannten oder gewünschten Kommunikationsprotokoll,wie den oben erwähnten,entsprechen oder dieses verwenden. Insbesondere können dieFeldgeräte 60 und 62 sicherheitsbezogeneFeldgeräteder Art sein, die herkömmlicherWeise von einem separaten, zweckgebundenen sicherheitsbezo genenSteuersystem gesteuert werden. In der in 1 dargestellten Prozessanlage 10 sinddie Sicherheitsfeldgeräte 60 sodargestellt, dass sie ein zweckgebundenes oder Punkt-zu-Punkt-Kommunikationsprotokoll,wie das HART- oder 4–20mA-Protokoll verwenden, währenddie Sicherheitsfeldgeräte 62 sodargestellt sind, dass sie ein Buskommunikationsprotokoll wie ein Fieldbus-Protokollverwenden. Typischerweise werden die Sicherheitsgeräte (sowohldie Sicherheitssystemlogiklöser(rechner)) 50–56,als auch die Sicherheitssystemfeldgeräte 60 und 62,die als Teil des Sicherheitssystems 14 verwendet werden,zu den Sicherheitsgerätengezählt,was typischerweise bedeutet, dass diese Geräte ein Bewertungsverfahren durchlaufenmüssen,um durch eine geeignete Instanz als Sicherheitsgerät eingeordnetzu werden.
[0031] Einegemeinsame Rückwandplatine 76 (angezeigtdurch eine unterbrochene Linie durch die Rechner 24, 26,die E/A-Geräte 28–36,die Sicherheitslogiklöser 50–56 unddie MPDs 70 und 72) wird in jedem der Knoten 18 und 20 verwendet,um die Rechner 24 und 26 an die E/A-Karten 28, 30 und 32 oder 34 und 36 derProzesssteuerung sowie an die Sicherheitslogiklöser 52 und 54 oder 56 und 58 und andie MPDs 70 oder 72 anzuschließen. Die Steuerungen 24 und 26 sindauch kommunikativ an den Bus 22 angeschlossen und wirkenfür diesenals Busarbitrator, um die E/A-Geräte 28–36, die Logiklöser 52–56 bzw.die MPDs 70 und 72 in die Lage zu versetzen, über denBus 22 mit einem der Arbeitsplatzrechner 16 zukommunizieren.
[0032] Wieklar wird, ermöglichtes die Verwendung der Rückwandplatine 76 injedem der Knoten 18 und 20 den Sicherheitslogiklösern 50–56,lokal miteinander zu kommunizieren, um Sicherheitsfunktionen zu koordinieren,die von jedem dieser Gerätebewerkstelligt werden, um einander Daten mitzuteilen oder andereintegrierte Funktionen zu erfüllen.Andererseits wirken die MPDs 70 und 72 so, dasssie es Teilen des Sicherheitssystems 14, die sich an äußerst unterschiedlichenStellen der Anlage 10 befinden, ermöglichen, immer noch miteinanderzu kommunizieren, um einen koordinierten Sicherheitsbetrieb an unterschiedlichenKnoten der Prozessanlage 10 bereitzustellen. Insbesondereermöglichen esdie MPDs 70 und 72 zusammen mit dem Bus 74,dass die Sicherheitslogiklöser,die mit den verschiedenen Knoten 18 und 20 derProzessanlage 10 zusammenhängen, kommunikativ in Kaskadenschaltungmiteinander verbunden sind, um fürdie Kaskadenschaltung von sicherheitsbezogenen Funktionen innerhalbder Prozessanlage 10 nach einer zugeteilten Priorität zu sorgen.Alternativ könnenzwei oder mehre sicherheitsbezogene Funktionen an unterschiedlichenStellen innerhalb der Prozessanlage 10 verknüpft odermiteinander verbunden werden, ohne dass dabei eine zweckgebundeneLeitung zu einzelnen Sicherheitsfeldgeräten innerhalb der gesondertenphysikalischen Bereiche oder Knoten der Anlage 10 verlegt werdenmüsste.Anders ausgedrücktermöglichtes der Einsatz der MPDs 70 und 72 und des Busses 74 einemSystemtechniker, ein Sicherheitssystem 14 zu entwerfenund konfigurieren, das von der Art her über die gesamte Prozessanlage 10 verteiltist, dessen unterschiedliche Komponenten aber kommunikativ miteinanderverbunden sind, um es der verschiedenen sicherheitsbezogenen Hardwarezu ermöglichen,wie erforderlich miteinander zu kommunizieren. Dieses Merkmal sorgtauch füreine Skalierbarkeit des Sicherheitssystems 14, indem esermöglicht,dass zusätzlicheLogiklöserdem Sicherheitssystem 14 hinzugefügt werden können, wenn sie benötigt werden, oderwenn der Prozessanlage 10 neue Prozesssteuerungsknotenhinzugefügtwerden.
[0033] 2 stellt die Kommunikationsverbindungeninnerhalb und zwischen den Knoten 18 und 20 derProzessanlage 10 ausführlicherdar. Allgemein ausgedrückt,sind die Bestandteile von 1,die in 2 dargestelltsind, mit denselben Bezugszahlen bezeichnet. Jedoch ist jeder derProzessrechner bzw. -steuerungen 24 und 26 in 2 als ein redundantes Rechnerpaar 24A, 24B und 26A und 26B dargestellt,welche irgendwelche standardmäßigen Redundanztechnikenverwenden können.Gleichermaßenist jeder der Sicherheitslogiklöser 50–56 alsein Gerätepaarmit einem primärenSicherheitslogiklöser 50A, 52A, 54A und 56A undeinem sekundärenSicherheitslogiklöser 50B, 52B, 54B und 56B injedem Paar dargestellt. Wie klar wird, ist jedes Paar der Sicherheitslogiklöser 50–56 andie (in 2 nicht dargestellten)Sicherheitsfeldgeräteangeschlossen und kann dieselben Sicherheitslogikmodule 58 zurVerwendung bei der Erfüllungvon Sicherheitsfunktionen innerhalb des Sicherheitssystems 14 speichern.Jedes Paar der Sicherheitslogiklöser 50–56 umfassteinen zweckgebundenen Bus 50C, 52C, 54C und 56CC,der zwischen den primärenund sekundären Logiklösern angeschlossenist, um Steuerverbindungen zwischen dem Logiklöserpaar bereitzustellen. Dieprimärenund sekundärenLogiklöserlassen gleichzeitig Berechnungen ablaufen und führen sie durch, und die Ausgabendieser beiden Gerätekönnen über diegeeigneten Busse 50C, 52C, 54C und 56C einandermitgeteilt und bestätigtwerden. Falls gewünscht,kann das primäreGerät eineAuswahllogik umfassen, die die Ausgabe des Paars der Sicherheitslogiklöser basierendauf der Ausgabe sowohl der primärenals auch der sekundärenGerätebestimmt. Alternativ könnenirgendwelche beliebigen oder bekannten Redundanztechniken für die Logiklöserpaare 50–56 verwendetwerden.
[0034] Darüber hinausist jeder der MPDs 70 und 72 als redundantes Gerätepaar 70A, 70B und 72A, 72B dargestellt,wobei die MPDs der verschiedenen Knoten 18 und 20 miteinem redundanten Paar von knotenübergreifenden Kommunikationsleitungenoder -bussen 74 verbunden sind. Während die Kommunikationsverbindungenzwischen nur zwei Knoten 18 und 20 in den 1 und 2 dargestellt sind, wird klar, dass nurein einziges oder ein redundantes Paar von MPDs in beliebig vielenunterschiedlichen Knoten der Prozessanlage 10 angeordnetund miteinander in einer Ringbusstruktur verbunden sein kann, umauf irgendeine gewünschteWeise knotenübergreifende Verbindungenbereitzustellen. Obwohl im Allgemeinen (aber nicht unbedingt) einRingbuskommunikationsaufbau verwendet wird, werden die MPDs des erstenKnotens mit den MPDs des zweiten Knotens verbunden, welcher mitden MPDs des dritten Knotens verbunden wird, usw., wobei die MPDsdes letzten Knotens mit den MPDs des ersten Knotens, alle jeweils über denRingbus 74, verbunden werden. Gibt es, wie in 1 dargestellt, nur zweiKnoten in der Prozessanlage 10, wird der aus den MPDs 72A und 72B desKnotens 20 austretende Bus 74 direkt an die Eingänge derMPDs 70A und 70B des Knotens 18 angeschlossen.
[0035] Zusätzlich zurDarstellung der Verbindung zwischen den Steuerungen 24 und 26 undden Arbeitsplatzrechnern von 1,stellt 2 die Rückwandplatinen 76 ausführlicherdar. Insbesondere sind am Knoten 18 die Steuerungen 24A und 24B an dieE/A-Geräte 28, 30 und32, an die redundanten Paare der Sicherheitslogiköser 50A, 50B und 52A, 52B undan das redundante Paar der MPDs 70A und 70B über eineSchienenbuskommunikationsverbindung 100 angeschlossen,die vorzugsweise in der Rückwandplatine 76 angeordnetist. Genauso sind am Knoten 20 die Rechner 26A und 26B andie E/A-Geräte 34 und 36,die Paare der Logiklöser 54A, 54B und 56A, 56B undan das redundante Paar der MPDs 72A und 72B über eineSchienenbuskommunikationsverbindung 102 angeschlossen,die in der Rückwandplatine 76 angeordnetist. Die Rechner 24 und 26 verwenden die Schienenbusverbindungen 100 und 102,um Kommunikationsverbindungen zwischen den Arbeitsplatzrechnern 14 einerseitsund den E/A-Geräten 28–36 undden Sicherheitssystemlogiklösern 50–56 undden MPDs 70 und 72 andererseits bereitzustellen,sowie Kommunikationsverbindungen zwischen den E/A-Geräten 28–36 einerseits undden Sicherheitslogiklösern 50–56 undden MPDs 70 und 72 andererseits bereitzustellen.Anders ausgedrücktwerden die Schienenbusleitungen 100 und 102 alsKommunikationsnetz verwendet, das es ermöglicht, dass die Sicherheitssystemgeräte innerhalbder Prozessanlage 10 mit den Prozesssteuerungssystemgeräten aufeiner höherenEbene integriert werden können,so dass dieselben Konfigurations- und Anzeigeanwendungen, die inden Arbeitsplatzrechnern 14 angeordnet sind, sowohl mitden Prozesssteuerungssystem- als auch den Sicherheitssystemgeräten kommunizieren,diese konfigurieren und Information von diesen anzeigen können.
[0036] Zusätzlich umfasstdie Rückwandplatine 76, wieim Hinblick auf den Knoten 18 dargestellt ist, einen erstennicht-hierarchischen oder P2P-Bus (P2P – Peer-to-Peer) 104A,der die Sicherheitssystemlogiklöser 50 bis 52 jeweilsmit dem primärenMPD 70A verbindet, währendein zweiter P2P-Bus 104B die Sicherheitssystemlogiklöser 50 und 52 jeweils mitdem sekundärenMPD 70B verbindet. Die ersten und zweiten P2P-Busse 104A und 104B sindlokale P2P-Busse, die lokale Kommunikationsverbindungen zwischenden Sicherheitslogiklösernin einer einzelnen Rückwandplatine 76 sowiedem MPD 70 bereitstellen, der zur Rückwandplatine 76 gehört oder mitihr verbunden ist. Auf ähnlicheWeise umfasst der Knoten 20 einen ersten nicht-hierarchischenBus (P2P-Bus) 106A, der die redundanten Paare der Sicherheitssystemlogiklöser 54 und 56 jeweilsmit dem primärenMPD 72A verbindet, währendein zweiter P2P-Bus 106 jeweils die redundanten Paare derSicherheitssystemlogiklöser 54 und 56 mitdem sekundärenMPD 72B verbindet. Der erste und der zweite P2P-Bus 106A und 106B sindlokale P2P-Busse, die lokale Kommunikationsverbindungen zwischenden Sicherheitslogiklösernund dem MPD 72 in der Rückwandplatine 76 desKnotens 20 bereitstellen. Wie klar wird, stellen die erstenund zweiten P2P-Busse 104A, 104B, 106A und 106B redundanteKommunikationspfade zwischen allen sicherheitsbezogenen Logiklösern 50–56 aufden jeweiligen Rückwandplatinen 76 bereit.Falls gewünscht,könnendie lokalen P2P-Busse 104 und 106 als Rundrufbussewirken, indem jedes an den Bus angeschlossene Sicherheitslogiklöser- undMPD-Gerät die Übertragungenaller anderen Geräteauf dem Bus empfängtund immer nur ein Gerätsenden kann. Während 2 zwei an jede der Rückwandplatinen 76 inden unterschiedlichen Knoten 18 und 20 angeschlosseneSicherheitslogiklöserdarstellt, könnennatürlichbeliebig viele Sicherheitslogiklöser,die redundante Logiklöserpaare oderalleinstehende Logiklösersein können,an die Rückwandplatine 76 anjeden der Knoten 18 und 20 (und dadurch an denlokalen P2P-Bus 104 oder 106) angeschlossen werden.
[0037] Fallsgewünscht,könnensich die Sicherheitslogiklöserdie lokalen P2P-Buseinrichtungen unter Verwendung einer Zeitvielfachzugriffsmethode (TDMA)teilen, wobei alle lokalen Sicherheitslogiklöser auf einer speziellen Rückwandplatinemiteinander synchronisiert sind. In einem Fall können die lokalen P2P-Busse 104 und 106 einRS485 Manchester-codiertes HDLC-Protokoll mit einem Durchsatz vonbeispielsweise 2 Mb/sec. verwenden. Dieses Manchester-Codierschemalässt dieLeitung mit 4 Mb/s anfahren. Die angegebenen Geschwindigkeiten sind nurbeispielhaft, da auch genauso andere geeignete Geschwindigkeitenund Codierschemata gewähltwerden können.Darüberhinaus kann, falls gewünscht,jeder der lokalen Sicherheitslogiklöser auf einer speziellen Rückwandplatineseinen Übertragungszeitschlitzinnerhalb des auf der Rückwandplatine 76 verwendetenTDMA-Schemas basierend auf seiner physikalischen Anordnung auf derRückwandplatine 76 bestimmenoder zugeteilt bekommen, was die Anzahl an Konfigurationsschrittenreduziert, die zum Installieren der Rückwandplatine 76 aneinem bestimmten Knoten erforderlich sind. Noch weiter darüber hinauskönnendie ersten und zweiten P2P-Busse 104 und 106 derRückwandplatinen 76 jedebeliebige Nachrichtenart unterstützen,und die physikalischen Verknüpfungenfür dielokalen P2P-Busse 104 und 106 können inder Rückwandplatine 76 liegen.
[0038] DieP2P-Fernbusse 74 verwenden vorzugsweise eine Ringtopologie,um zuzulassen, dass Daten zwischen Sicherheitslogiklösern, diesich an unterschiedlichen Knoten der Prozessanlage 10 befindenund deshalb auf unterschiedlichen Rückwandplatinen 76 angeordnetsind, übertragenwerden können.Die MPDs 70 und 72 sind für die Verbreitung von Nachrichtenum den Ring verantwortlich, der aus dem P2P-Fernbus 74 besteht,um Nachrichten, die aus einem Sicherheitslogiklöser auf derselben Rückwandplatinewie des MPDs 70 oder 72 zum Ring 74 geleitetwerden, unterzubringen, und um die Nachrichten, die sich im Ring 74 befindenund an einen Sicherheitslogiklöserauf derselben Rückwandplatine wieeines MPDs 70 oder 72 adressiert sind, zu eben diesemSicherheitslogiklöserzu schicken. Während jedeAnzahl an Nachrichten auf dem P2P-Fernbus 74 verbreitetwerden kann, sieht eine Ausführungsform einMaximum von zweiunddreißig(32) Nachrichten vor, die währendjedes P2P-Buszyklus verbreitet werden sollen. Diese Nachrichtenkönnenvon 1 bis 32 separaten und verschiedenen Sicherheitslogiklösern stammen,einschließlichder Sicherheitslogiklöser 50–56 aufden Rückwandplatinen 76 derKnoten 18 und 20, sowie von irgendwelchen anderenRückwandplatinenauf anderen Knoten in der Prozessanlage 10, die durch denRingbus 74 miteinander verbunden werden. Als Ergebnis dieserOperation könnenjedoch alle der Sicherheitslogiklöser im Sicherheitssystem 14 synchronarbeiten, selbst wenn sie sich an unterschiedlichen Knoten befinden,weil der Ringbus 74 eine Kommunikationsverbindung zwischendiesen Gerätenbereitstellt, was ermöglicht, dasseine Synchronisation erzielt werden kann. Der Ringbus 74 kannjede gewünschteArt von Busstruktur und -protokoll einsetzen, verwendet aber vorzugsweisePunkt-zu-Punkt-Kabel mit verdrillten Aderpaaren mit einem 10Base-T-Ethernet-Protokoll,bzw. Glasfaserkabel und ein 10Base-F-Ethernet-Protokoll, welcheseine Übertragungsratevon 10 Mbit/sec. hat.
[0039] Miterneutem Bezug auf 1 umfasstjeder der Arbeitsplatzrechner 16 einen Prozessor 77 und einenSpeicher 78, der beliebig viele Benutzeroberflächen-, Konfigurations-,Diagnose- und/oder Anzeigeanwendungen speichern kann, die dazu ausgelegt sind,auf dem Prozessor 77 ausgeführt zu werden. Eine Konfigurationsanwendung 80 undeine Diagnoseanwendung 82 sind in 1 in einer in ihre Einzelteile zerlegtenAnsicht dargestellt, wie sie in einem der Arbeitsplatzrechner 16 abgespeichertsind, währendeine Benutzeroberflächen-oder Anzeigeanwendung 85 als in einem zweiten der Arbeitsplatzrechner 16 gespeichertdargestellt ist. Jedoch könnten,falls gewünscht,diese Anwendungen auch in anderen als den Arbeitsplatzrechnern 16 oderin anderen zur Prozessanlage 10 gehörenden Computern abgespeichertsein und von diesen ausgeführtwerden. Allgemein ausgedrücktstellt die Konfigurationsanwendung 80 einem Systemtechnikereine Konfigurationsinformation zur Verfügung und ermöglicht esihm, einige oder alle Elemente der Prozessanlage 10 zu konfigurierenoder diese Konfiguration in der Konfigurationsdatenbank 21 zuspeichern. Als Teil dieser von der Konfigurationsanwendung 80 durchgeführten Konfigurationsvorgänge kannder Systemtechniker Steuerroutinen oder Steuermodule für die Prozesssteuerungen 24 und 26 erstellen,kann Sicherheitslogikmodule 58 für einige oder alle der Sicherheitslogiklöser 50–56 erstellen,und kann diese unterschiedlichen Steuer- und Sicherheitsmodule über denBus 22 und die Rechner 24 und 26 aufdie geeigneten der Prozessrechner 24 und 26 undder Sicherheitslogiklöser 50–56 herunterladen. Ähnlich kann dieKonfigurationsanwendung 80 dazu verwendet werden, andereProgramme und Logik zu erstellen und auf die E/A-Geräte 28–36,irgendwelche der Feldgeräte 40, 42, 60 und 62,etc., herunterzuladen. Wie klar wird, können diese Prozess- und Sicherheitssteuerungsmodulefür diegetrennten Prozesssteuerungs- und Sicherheitssysteme unabhängig vonden Gerätenerstellt werden, in denen diese Module ausgeführt werden, und können kommunikativ miteinanderverknüpftwerden, indem sie direkt aufeinander verweisen, um dadurch die Prozesssteuerungs-und Sicherheitslogik in die Lage zu versetzen, miteinander zu kommunizieren,bevor sie irgendwelchen bestimmten Geräten zugeteilt werden. Dieses Merkmalermöglichtes den Prozesssteuerungssystem- und Sicherheitssystemmodulen, alsVorlagen erstellt und abgespeichert werden zu können, sorgt für eine einfachereTragbarkeit dieser Module, wenn Geräte innerhalb der Prozessanlageausgetauscht, entfernt, etc. werden, und lässt allgemein zu, dass dieLogikkonfiguration sowohl des Prozesssteuerungssystems 12 alsauch des Sicherheitssystems 14 vor den physikalischen Geräten, diemit diesen Systemen zusammenhängen,eingebaut werden kann.
[0040] Umgekehrtkann die Diagnoseanwendung 82 dazu eingesetzt werden, einemBenutzer wie einem Prozesssteuerungsoperator, einem Sicherheitsoperator,etc., eine oder mehrere Anzeigen, falls das so gewünscht wird,entweder in gesonderten Ansichten oder in ein und derselben Ansichtbereitzustellen, welche Informationen über den Zustand des Prozesssteuerungssystems 12 unddes Sicherheitssystems 14 beinhaltet. Beispielsweise kanndie Diagnoseanwendung 82 eine Alarmanzeigeanwendung sein,die Alarmmeldungen empfängtund einem Bediener anzeigt. Falls gewünscht, kann solch eine Alarmanzeigeanwendungeine Form annehmen, wie sie im US-Patent Nr. 5,768,119 mit dem Titel „ProcessControl System Including Alarm Priority Adjustment" und der US-PatentanmeldungNr. 09/707,580 mit dem Titel „IntegratedAlarm Display in a Process Control Network" offenbart ist, die beide dem Übernehmerdieses Patents zugeteilt sind und hiermit ausdrücklich durch Bezugnahme mitaufgenommen werden. Es wird jedoch klar, dass die Alarmanzeige oderdas Alarmbanner dieser Patente Alarme sowohl vom Prozesssteuerungssystem 12 alsauch dem Sicherheitssystem 14 empfangen und in einer integriertenAlarmanzeige anzeigen kann, da die Alarme aus beiden Systemen 12 und 14 zumBedienerarbeitsplatzrechner 16 geschickt werden, der dieAlarmanzeigeanwendung ausführt,und werden als Alarme aus unterschiedlichen Gerätearten erkennbar sein, einschließlich, obes sich um Alarme entweder aus dem Prozesssteuerungssystem oderdem Sicherheitssystem handelt. Falls gewünscht, kann ein Bediener diein einem Alarmbanner angezeigten Sicherheitsalarme genauso wie Prozesssteuerungsalarme beantworten(z.B. quittieren, sperren, etc.). Beispielsweise kann der Bedieneroder Benutzer unter Verwendung irgendwelcher Leistungsmerkmale der AlarmanzeigeSicherheitsalarme quittieren, abschalten, etc. Durch solche Maßnahmenwerden Nachrichten an das geeignete Sicherheitslogikgerät 50–56 imSicherheitssystem 14 unter Verwendung von Kommunikationsverbindungen über denBus 22 und die Rückwandplatine 76 verschickt,wodurch das Sicherheitssystem 14 dazu veranlasst wird,die entsprechende Maßnahmeim Hinblick auf den Sicherheitsalarm zu ergreifen. Auf ähnlicheWeise können andereDiagnoseanwendungen Diagnoseinformationen oder -daten anzeigen,die sowohl aus dem Prozesssteuerungssystem 12 als auchdem Sicherheitssystem 14 erhalten werden, weil diese Systemedieselben Typen und Arten von Parametern, Sicherung und Verweisenbzw. Bezügenbenutzen, so dass alle Daten aus einem der Systeme 12 und 14 ineiner Anzeige oder Ansicht integriert werden können, die herkömmlicherWeise fürein Prozesssteuerungssystem vorgesehen ist.
[0041] DieBenutzeroberflächenanwendung 85 kannirgendeine Art von Oberflächesein, die es beispielsweise einem Benutzer ermöglicht, Datenwerte zu verarbeiten(z.B. Auslese- oder Einschreibvorgänge durchzuführen), umdadurch den Betrieb von Steuer- oder Sicherheitsmodulen im Steuerungssystemund/oder dem Sicherheitssystem zu verändern und gleichzeitig denrichtigen Sicherheitsgrad und die richtige Sicherheitsart bereitzustellen.Wenn somit beispielsweise ein Einschreibvorgang bestimmt wird, deran einem mit dem Steuerungssystem 12 zusammenhängendenSteuermodul wie einem der Steuermodule 75 oder einem derFeldgeräte 42 vorgenommenwerden soll, erzwingt beispielsweise die Anwendung 85 dierichtigen Sicherheitsprozeduren, damit dieser Einschreibvorgangstattfinden kann. Ist andererseits der Einschreibvorgang dazu bestimmt, aneinem mit dem Sicherheitssystem 14 zusammenhängendenModul wie an einem der Module 58 oder einem der Feldgeräte 62 vorgenommenzu werden, erzwingt die Anwendung 85 beispielsweise dierichtigen Sicherheitsmaßnahmenund -prozeduren, damit dieser Einschreibvorgang stattfindet, undschickt, wenn die Sicherheitsmaßnahmengetroffen wurden, den Schreibbefehl an das geeignete Sicherheitsgerät, ohnedass dabei eine weitere Firewall in den Sicherheitssystemsteuerungen 50–56 notwendigwäre.
[0042] Aufjeden Fall könnendie Anwendungen 80, 82 und 85 separateKonfigurations-, Diagnose- und andere Signale an jeden der Prozessrechner 24 und 26 sowiejeden der Sicherheitssystemlogiklöser 50–56 schicken und von diesenempfangen. Diese Signale könnenNachrichten auf Prozessebene umfassen, die sich auf die Steuerungder Betriebsparameter der prozesssteuerungsbezogenen Feldgeräte 40 und 42 beziehen,könnenNachrichten auf Sicherheitsebene umfassen, die sich auf die Steuerungder Betriebsparameter der sicherheitsbezogenen Feldgeräte 60 und 62 beziehen,und könnenNachrichten auf Geräteebeneumfassen, die sich auf Gerätebesonderheitensowohl der Prozesssteuerungs- als auch der Sicherheitssystemgeräte beziehen.Währenddie Sicherheitslogiklöser 50–56 soprogrammiert werden können,dass sie sowohl die Nachrichten auf Prozessebene als auch auf Sicherheitsebene erkennenkönnen,sind die Sicherheitslogiklöser 50–56 dazuin der Lage, zwischen den beiden Nachrichtenarten zu unterscheidenund könnennicht durch Konfigurationssignale auf Prozessebene programmiertoder beeinflusst werden. In einem Beispiel können die an die Prozesssteuerungsgeräte verschicktenProgrammiernachrichten bestimmte Felder oder Adressen enthalten,welche von den Sicherheitssystemgeräten erkannt werden, und welcheverhindern, dass diese Signale dazu verwendet werden, die Sicherheitssystemgeräte zu programmieren.Insbesondere kann das Identifizierungskennzeichen (wie ein Pfadname)oder die Adresse der an das Sicherheitssystemgerät oder -routine wie einem derSicherheitssystemlogikgeräte 50–56 zuverschickenden oder von dort zu empfangenden Daten ein speziellesFeld oder eine spezielle Überschriftent halten, die das Gerätoder die Einheit als mit dem Sicherheitssystem 14 zusammenhängend kennzeichnet.Ist dies der Fall, kann die in jeder Anwendung eingebettete Schreibschutzsoftwaredurch das Identifizierungskennzeichen oder die Adresse, die mitden Daten zusammenhängen,bestimmen, wann ein Einschreibversuch in die Sicherheitssystemkomponente erfolgensoll. Bestimmt die Schutzsoftware, dass ein Einschreibvorgang (oderauch Auslesevorgang) für dasSicherheitssystem angefordert wird, kann die Schutzroutine automatischjede gewünschteSchutzprozedur wie Überprüfen desPassworts und der Berechtigung des Benutzers anwenden, um sicherzustellen,dass der Benutzer überdie Rechte verfügt, einenEinschreibvorgang in das/die (oder einen Auslesevorgang aus dem/der)Sicherheitssystemgerät oderSicherheitssystemlogikeinheit vorzunehmen.
[0043] Fallsgewünscht,könnendie Sicherheitslogiklöser 50–56 imVergleich zur Hardware- und Softwareauslegung, die für die E/A-Karten 28–36 derProzesssteuerung verwendet werden, dieselbe oder eine andere Hardware-oder Softwareauslegung verwenden. Der Einsatz von wechselnden Technologien für die Geräte im Prozesssteuerungssystem 12 und dieGeräteim Sicherheitssystem 14 kann jedoch Hard- und Softwareausfälle minimierenoder ausschalten, die eine gemeinsame Ursache haben.
[0044] DieSicherheitssystemgeräteeinschließlich derLogiklöser 50– 56 können auchirgendwelche beliebigen Entkopplungs- und Schutztechniken benutzen,um die Wahrscheinlichkeit zu reduzieren oder auszuschalten, dassunberechtigte Änderungenan dadurch implementierten sicherheitsbezogenen Funktionen vorgenommenwerden. Beispielsweise könnendie Sicherheitslogiklöser 50–56 unddie Konfigurationsanwendung 80 eine Person mit einem besonderenBerechtigungsgrad oder eine Person, die sich an einem besonderenArbeitsplatzrechner befindet, auffordern, Änderungen an den Sicherheitsmodulenin den Logiklösern 50–56 vorzunehmen,wobei dieser Berechtigungsgrad oder diese Berechtigungsstelle sichvom Grad oder der Stelle der Berechtigung oder des Zugriffs unterscheidet,der/die erforderlich ist, um Änderungenan den von den Steuerungen 24 und 26 und den E/A-Geräten 28–36 durchgeführten Steuerfunktionenvorzunehmen. In diesem Fall haben nur diejenigen Personen, die inder Sicherheitssoftware benannt sind oder sich an Arbeitsplätzen befinden,die dazu berechtigt sind, Änderungenam Sicherheitssystem vorzunehmen, eine Berechtigung, sicherheitsbezogeneFunktionen zu ändern,was die Gefahr minimiert, den Betrieb des Sicherheitssystems 14 zuverfälschen.Wie klar wird, könnendie Prozessoren in den Sicherheitslogiklösern, um einen solchen Schutzoder eine solche Sicherung bereitzustellen, auf die eingehendenNachrichten zugreifen und auf passende Form und Sicherung überprüfen, undals Wächter über Änderungenwirken, die an den Steuermodulen 58 auf Sicherheitsebene,die in den Sicherheitslogiklösern 50–56 ausgeführt werden, vorgenommenwerden. Alternativ können,wie weiter unten noch ausführlicherbeschrieben wird, die Anwendungen, die Nachrichten an die Sicherheitslogiklöser 50–56 erzeugen,Sicherungsprozeduren implementieren und den Versand einer Nachrichtverweigern, wenn der Sicherheitsgrad des Benutzers nicht angemessengenug ist, um einen Einschreibvorgang in ein oder einen Auslesevorgangaus einem Sicherheitssystemgerätvorzunehmen.
[0045] Somitkann, falls gewünscht,wenn sicherheitsbezogene Funktionen in den Logiklösern 50–56 ersteinmal freigegeben sind, keine Statusveränderung an den Sicherheitsfunktionen über dieBedienerarbeitsplatzrechner 16 ohne angemessene Zugriffsrechtevorgenommen werden, was es ermöglicht, dassdie mit dem Prozesssteuerungssystem 12 zusammenhängende Kommunikationsstrukturdazu verwendet werden kann, eine Initialisierung für das Sicherheitssystem 14 undeine Ablaufliste des Betriebs des Sicherheitssystems 14 bereitzustellen, aberimmer noch das Prozesssteuerungssystem 12 vom Sicherheitssystem 14 indem Sinne zu entkoppeln, dass Veränderungen am Prozesssteuerungssystem 12 sichnicht auf den Betrieb des Sicherheitssystem 14 auswirkenkönnen.
[0046] 3 stellt eine Bildschirmmaske 183 dar, diedurch die Konfigurationsroutine 80 von 1 erzeugt werden kann, und die eine Konfigurationsdarstellungveranschaulicht, bei der das Sicherheitssystem 14 (einschließlich derLogiklöser 50–56 undder Sicherheitsfeldgeräte 60, 62)mit dem Prozesssteuerungssystem 12 integriert ist. Es wirdklar, dass die Konfigurationsbildschirmmaske 183 von 3 die Art und Weise darstellt,auf die die Konfigurationsanwendung 80 die mit den verschiedenenGeräteninnerhalb der Prozessanlage 10 zusammenhängende Softwarekonfiguriert hat und von einem Systemtechniker dazu verwendet werdenkann, um die gegenwärtigeKonfiguration der Prozessanlage zu erstellen oder zu verändern, indemeine neue Konfizgurationssoftware auf die Geräte innerhalb der Prozessanlage 10,einschließlichder Prozesssteuerungssystem- und Sicherheitssystemgeräte heruntergeladenwird.
[0047] Wiein der Bildschirmmaske 183 dargestellt ist, umfasst dieProzessanlage 10 einen physikalischen Netzabschnitt 184,der zur Anzeige der physikalischen Verknüpfungen der Geräte innerhalbder Prozessanlage 10 verwendet wird, und einen Sicherheitsnetzabschnitt 185,der zum Konfigurieren von Sicherheitssystemgeräten verwendet wird. Der physikalischeNetzabschnitt 184 umfasst einen Steuernetzabschnitt 186 miteiner Steuerung 187 (CTRL1 genannt). Der Rechner 187,bei dem es sich um einen der Rechner 24, 26 von 1 handeln kann, umfassteine Gruppe zugeteilter Module 188, welche Steuermodulesind, die im Rechner 187 gespeichert sind und von diesemausgeführtwerden, und einen E/A-Geräteabschnitt 189,der zu Kommunikationszwecken an die Steuerung 187 angeschlossenist. Der E/A-Geräteabschnitt 189 isterweitert, um alle Karten 190 darzustellen, die an denRechner 187 (CTRL1) übereine der Rückwandplatinen 76 von 1 angeschlossen sind. Indiesem Beispiel umfasst der E/A-Geräteabschnitt 189 Eingabe-/AusgabekartenC01–C05,C11–C15und C21 der Prozesssteuerung. Jede dieser Karten kann erweitertwerden, um die Kennung der unterschiedlichen Feldgeräte oderandere damit zusammenhängendeInformationen darzustellen (welche Feldgeräte einzelne der Feldgeräte 40 und 42 von 1 sind), die an jede dieserKarten angeschlossen sind. Auf ähnlicheWeise sind zur Darstellung der physikalischen Anschlüsse zweiSicherheitssystemkarten C07 (BLR1BMS genannt) und C017 (noch nichtkonfiguriert) in schraffier tem Format dargestellt und können indiesem Abschnitt nicht erweitert werden, weil sie nicht in und durchdas Steuernetz konfiguriert werden können. Aber, wie klar wird,könnendie Geräte,die mit dem Prozesssteuerungssystem 12 zusammenhängen, unterVerwendung des Steuernetzabschnitts 186 der Bildschirmmaske 183 konfiguriertwerden, indem Steuermodule, E/A-Geräte und/oder Feldgeräte in diesemAbschnitt der Konfigurationsdarstellung hinzugefügt, gelöscht oder verändert werden.
[0048] DasSicherheitssystem 14 ist im Sicherheitsnetzabschnitt 185 derBildschirmmaske 183 als drei Sicherheitslogiklöser 191–193 umfassenddargestellt, die als BLR1BMS, BLR2BMS und LS1 bezeichnet sind. Gleichermaßen können, fallsgewünscht, Nachrichtenverbreitungsgeräte (wiedie MPDs 70 und 72 von 1) im Sicherheitsnetzabschnitt 185 dargestelltsein. In der Bildschirmmaske 183 ist der Sicherheitslogiklöser 191 erweitert,um darzustellen, dass er zugewiesene Sicherheitsmodule, einen oder mehrereKanäle(die an die Sicherheitsfeldgerätewie die Geräte 60 und 62 von 1 angeschlossen sind) undSchutzparameter enthält.Jedes dieser Elemente könntein diesem Abschnitt der Bildschirmmaske 183 weiter angezeigt,hinzugefügt,gelöschtoder verändertwerden, um dadurch das Sicherheitssystem 14 zu konfigurieren.Insbesondere kann das Sicherheitssystem 14 unter Verwendungdes Sicherheitsnetzabschnitts 185 auf eine ähnlicheWeise konfiguriert und modifiziert werden wie das Konfigurieren desProzesssteuerungsnetzes 12 unter Verwendung des Steuernetzabschnitts 186.Wie klar wird, können alsoSteuer- und Sicherheitsmodule erstellt und jedem dieser unterschiedlichenSteuer- und Sicherheitssysteme zugewiesen werden, indem das Verfahrenzum Konfigurieren eines Prozesssteuerungssystems verwendet wird,wie es im US-Patent Nr. 5,838,563 beschrieben ist, welches dem Übernehmerdieses Patents zugeteilt ist und hiermit ausdrücklich durch Bezugnahme mitaufgenommen wird.
[0049] Allgemeinausgedrücktkönnenjedoch Sicherheitslogikmodule aus Modulvorlageobjekten erstelltwerden, die in einer Konfigurationsbibliothek gespeichert und dazuausgelegt sind, in einem speziellen Sicherheitslogiklöser zumEinsatz zu kommen, um Sicherheits funktionen im Hinblick auf spezielle Sicherheitsfeldgeräte innerhalbder Prozessanlage 10 zu erfüllen. Um einen Sicherheitslogikmodulzu erstellen, kann ein Sicherheitstechniker eine spezielle Steuervorlagekopieren (die dazu verwendet werden kann, um sowohl in Prozesssterungenablaufende Prozesssteuerungsmodule als auch in Sicherheitslogiklösern ablaufendeSicherheitslogikmodule zu erstellen), um einen bestimmten Sicherheitslogikmodul zuerstellen, und kann diesen Sicherheitslogikmodul einem bestimmtenSicherheitselement, wie einem der Sicherheitslogiklöser zuweisen,indem dieser Sicherheitslogikmodul durch Drag-and-Drop auf oder untereine Anzeige des gewünschtenSicherheitslogiklösersin der Konfigurationsbildschirmmaske 183 von 3 verschoben wird. Bei derImplementierung des offenbarten Systems entsteht eine neue Benutzerrolleals Sicherheitstechniker. Beim Konfigurieren des Sicherheitssystems 14 kannder Systemtechniker, der den Prozesssteuerungsabschnitt bzw. -teil leitet,nicht die geeigneten Rechte haben, um Sicherheitsmodule zu konfigurieren,und somit wird eine Konfiguration der Sicherheitsmodule von einemSicherheitstechniker durchgeführt.Somit lässteine Sicherung innerhalb des Systems die Berufsbeschreibung gesonderterSicherheits- und Systemtechniker zu.
[0050] Ineinem besonderen Beispiel kann ein Sicherheitstechniker Sicherheitslogiklöser unterdem Sicherheitsnetzabschnitt 185 hinzufügen, indem eine (nicht gezeigte)Menüoption „Add LogicSolver" aus einemSicherheitsnetzmenü gewählt wird(welches zum Beispiel ein Pop-up-Menü oder ein Pull-down-Menü sein kann).Dabei wird ein Logiklösermit dem nächstenverfügbarenSystemnamen unter dem Sicherheitsnetz 185 erstellt. Automatischerstellte Systemnamen könnenbeispielsweise mit LS1 beginnen, können aber auch zu irgendeinemallgemein unverwechselbaren Namen im Konfigurationssystem für die Prozessanlage 10 umbenanntwerden. 3 stellt denFall dar, bei dem zwei Logiklöserumbenannt wurden und einer (LS1) nicht umbenannt wurde. An diesemPunkt ist der Logiklöserimmer noch ein Platzhalter, der nicht an einen physikalischen Logiklöser gebundenist. Danach kann der Benutzer einen Logiklöser durch Drag-and-Drop von unterdem physikalischen Netzabschnitt 184 (wie demjenigen derKarten unter dem E/A-Abschnitt 189) auf den Sicherheitsnetzabschnitt 185 verschieben, umeinen bestimmten physikalischen Logiklöser (d.h., eine Karte) an denerstellten Platzhalter zu binden. Wenn ein bestimmter Logiklöser unterdem Sicherheitsnetzabschnitt 185 erst einmal gebunden ist, erfolgenan dem und auf den speziellen physikalischen Logiklöser heruntergeladeneKonfigurationsveränderungen,wie unter dem physikalischen Netzabschnitt 184 spezifiziertist. Darüberhinaus kann, wenn einmal gebunden, der Logiklöser unter dem Sicherheitsnetzabschnitt 185 denphysikalischen Pfad in Klammern und der Logiklöser (die Karte) unter dem physikalischenNetzabschnitt 184 den Logiklösernamen in Klammern anzeigen.In 3 sind das Sicherheitslogikgerät 191 unddie Karte C07 auf diese Weise aneinander gebunden. Die Karte C07unter dem physikalischen Netzabschnitt 184 ist durchgestrichen,um darzustellen, dass sie unter dem Prozesssteuerungsnetzabschnitt 186 nichtkonfiguriert werden kann, sondern statt dessen über den Sicherheitsnetzabschnitt 185 konfiguriertwerden muss. Noch weiter darüberhinaus zeigt ein Abschnitt Ports [Fieldbus] unter dem Sicherheitsnetzabschnitt 185 Fieldbusportsan, denen Fieldbus-Sicherheitsgeräte hinzugefügt oderan die Sicherheitslogikeinheit oder die Sicherheitssteuerung 191 angeschlossenwerden können.
[0051] Fallsgewünschtkann ein Binden auch dadurch erfolgen, dass ein ungebundener Logiklöser unterdem Sicherheitsnetzabschnitt 185 zu einem ungebundenemLogiklöserunter dem physikalischen Netzabschnitt 184 gezogen wird,oder ein ungebundener Logiklöserunter dem physikalischen Netzabschnitt 184 unter den Sicherheitsnetzabschnitt 185 verschobenwird. In jedem Fall führtdas Binden eines Platzhalters an einen physikalischen Logiklöser zu einemin Klammern gezeigten Verweis. Natürlich ist das Verschieben einesPlatzhalters unter dem Sicherheitsnetzabschnitt 185 zuE/A unter einem Rechner in einem Steuernetzabschnitt nicht unterstützt (undwird genaugenommen vom Sicherheitssystem verhindert), so dass esnicht möglichist, eine Logiklöserkarteunter einem E/A-Gerät des Prozessrechners zuerstellen. Dies sorgt füreine funktionale Trennung zwischen den Prozesssteuerungs- und denSicherheitsgeräten.Niedrigrangigere Sicherheitselemente wie Sicherheitsfeldgeräte, Sicherheitsmodule,Parameter, etc. könneneinem bestimmten Sicherheits logiklöser zugewiesen oder an ihngebunden werden, indem eine Anzeige dieser niedrigrangigeren Elementean die geeignete Stelle der Bildschirmmaske 183 (z.B. durchDrag-and-Drop) gesetzt wird.
[0052] Selbstverständlich kannaber auch eine ähnlicheTechnik verwendet werden, um das Prozesssteuerungsnetz 186 unterVerwendung der Konfigurationsbildschirmmaske 183 zu konfigurieren,so dass sowohl das Prozesssteuerungsnetz(system) als auch das Sicherheitssystemunter Verwendung derselben Anwendung konfiguriert werden kann, undum die Wechselbeziehungen zwischen Elementen im Prozesssteuerungs-und Sicherheitsnetz festzulegen. Zusätzlich können, weil die Konfigurationsanwendung 80 dasselbeBenennungskonstrukt verwendet, um sowohl das Prozesssteuerungsnetz 186 als auchdas Sicherheitsnetz 185 zu konfigurieren (wobei Änderungenin den Feldern dieser Namen dazu verwendet werden, zu bestimmen,ob ein Element mit dem Prozesssteuerungs- oder dem Sicherheitsnetzzusammenhängt),alle anderen Anwendungen leicht basierend auf dem mit den Datenverbundenen Namen oder (Identifizierungs-)Kennzeichen feststellen,ob Daten oder Signale von einem Prozesssteuerungs- oder einem Sicherheitselementstammen oder an dieses geschickt werden. Als Ergebnis dieser gemeinsamenKonfigurations- und Benennungsstruktur müssen Daten aus dem Sicherheitssystemnicht dem Prozesssteuerungssystem oder umgekehrt zugeordnet werden.Statt dessen kann jede Anwendung Daten oder Befehle zu jedem derProzesssteuerungs- oder Sicherheitssystemgeräte schicken oder davon empfangen(vorausgesetzt, die Sicherheitsmaßnahmen sind erfüllt) undbasierend auf dem Namen oder Identifizierungskennzeichen des Geräts oderder logischen Einheit, an die die Daten geschickt werden, nachvollziehen,zu welchem System diese Daten gehören.
[0053] Darüber hinauskann aufgrund der gemeinsamen Benennungsstruktur, die zwischen denProzesssteuerungssystemgerätenund der Prozesssteuerungssystemlogik und der Sicherheitssystemlogik undden Sicherheitssystemgerätenverwendet wird, und aufgrund dessen, dass die KonfigurationsdatenbankDaten füralle diese Entitätenspeichert, ein Systemtechniker Prozesssteuerungsmodule Sicherheitslogikmodule ansprechenlassen und umgekehrt (sie also miteinander kommunizieren lassen),ohne Zuordnungen vornehmen zu müssen.Der Systemtechniker kann nämlichSicherheitslogikmodule so konfigurieren, dass sie Prozesssteuerungslogikmodulenansprechen oder umgekehrt, auf dieselbe Weise wie der Technikerzwei Sicherheitslogikmodule oder zwei Prozesssteuerungslogikmoduleaufeinander verweisen lässt.Bekanntlich kann ein solches Verweisen grafisch erfolgen, indemauf einer grafischen Konfigurationsbildschirmmaske Linien zwischenden geeigneten Ein- und Ausgängender beiden Module gezogen werden, oder indem die Parameter, diein Bezug gesetzt werden sollen bzw. auf die verwiesen werden soll,manuell durch das richtige Identifizierungskennzeichen, den richtigenNamen, die richtige Adresse, etc. festgelegt werden. In einer Ausführungsformkönnendiese Verweise bzw. Bezügeunter Verwendung des hinlänglichbekannten Namens- und Parameterverweisschemas hergestellt werden.In diesem Fall werden der Name des Moduls oder einer anderen Entität und derParameter dieser Entitätals Teil des (Identifizierungs-)Kennzeichens (Pfads) festgelegt,das (der) mit einer Verbindung zwischen den beiden Modulen zusammenhängt.
[0054] Nochweiter darüberhinaus können,falls gewünscht,die Konfigurationsdaten, die mit dem Prozesssteuerungs- und demSicherheitssystem zusammenhängen,auf integrierte Weise in einer gemeinsamen Datenbank hinterlegtwerden, und es kann auf sie durch eine einzelne Anwendung, wie derKonfigurationsanwendung 80 zu jedem beliebigen Zeitpunkt zugegriffenwerden. Alternativ könnenKonfigurationsdaten fürunterschiedliche Abschnitte der Anlage an verschiedene Stellen inder Anlage 10 verteilt und dort gespeichert werden. ZumBeispiel könnendie Konfigurationsdaten fürden Knoten 18 der Anlage von 1 (für sowohldie Prozesssteuerungs- als auch die Sicherheitssystemgeräte, diemit dem Knoten 18 zusammenhängen) im Rechner 24 desKnotens 18 als Datenbank oder Speicher 202 gespeichertwerden, und die Konfigurationsdaten für den Knoten 20 derAnlage von 1 (für sowohldie Prozesssteuerungs- als auch die Sicherheitssystemgeräte, diemit dem Knoten 20 zusammenhängen) können in der Steuerung 26 desKnotens 20 als Datenbank oder Speicher 204 gespeichertwerden.
[0055] Aufdiese Weise könnenKonfigurationsvorgängevon derselben Konfigurationsanwendung aus bewerkstelligt werden,um sowohl das Prozesssteuerungsnetz 12 als auch das Sicherheitsnetz 14,die mit der Anlage 10 zusammenhängen, zu konfigurieren, unddie Konfigurationsdaten fürbeide dieser Systeme könnenzusammengefasst werden, um die Wechselbeziehungen zwischen der Hard-und Software des Prozesssteuerungs- und Sicherheitssystems darzustellen.Aufgrund dessen, dass das gemeinsame Konfigurationsparadigma verwendetwird, kann jedoch die Namens- und Datenadressierung der Elementeim Prozesssteuerungssystem 12 und Sicherheitssystem 14 sichergestelltwerden, um einen eindeutigen Namen oder eine eindeutige Adressefür jedesGerät sovorzusehen, dass Sicherheitssystemkomponenten (und -daten) leichtvon Prozesssteuerungssystemkomponenten (und -daten) unterschiedenwerden können.Dies wiederum schafft die Notwendigkeit aus der Welt, Daten zuordnenzu müssen. Wieersichtlich wird, verwendet die Konfigurationsanwendung 80 eingemeinsames Kennzeichnungs-, Benennungs-, Adressierungs- und Verweisformatfür sowohldas Prozesssteuerungssystem (und alle darin vorhandenen logischenund physikalischen Entitäten)als auch das Sicherheitssystem (und alle darin vorhandenen logischenund physikalischen Entitäten).
[0056] Nochweiter darüberhinaus müssenalle Konfigurations- und Ablaufpunkte, die standortabhängig (oderBEREICHsabhängig)sind, nur einmal fürdas Prozesssteuerungs- und Sicherheitssystem (und nicht separatfür jedesSystem) festgelegt werden, weil die Prozesssteuerungs- und die Sicherheitsmoduleinnerhalb desselben Bereichs aneinander gebunden sind. Das ist logisch,weil jeder Bereich eine logische Gruppierung von Ausrüstung mitsowohl Prozesssteuerungssystem- als auch Sicherheitssystemausrüstung (und-logik) ist. Beispielsweise kann es in dem Bereich mehrere Dampfkesselgeben, welche „BOILER" genannt werden könnten. JederDampfkessel innerhalb des „BOILER"-Bereichs besitztseine eigene Sicherheits- und Prozesssteuerungsausrüstung und-logik. Indem sich damit im Bereich „BOILER" die Sicherheitsmodule am selben logischenStandort befinden wie die Prozessmodule, werden alle relevantenInformationen fürden Benutzer zusammengefasst, und es kann über eine einzige oder gemeinsameKonfigurationsanwendung auf sie zugegriffen werden. Falls gewünscht, kannin diesem Beispiel der Benutzer einen weiteren ,verzeichnisartigenOrdner' (wie diein 3 dargestellten Ordner) unterdem „BOILER"-Bereich anlegen,der UNITS genannt wird. In diesem Ordner könnte es eine Boiler Unit 1,eine Boiler Unit 2 und eine Boiler Unit 3 geben, die mit drei verschiedenenDampfkesseln zusammenhängen.Wieder könnensowohl Sicherheits- als auch Prozesssteuerungsmodule unter das richtige BoilerUnit-Verzeichnis gesetzt werden, um anzuzeigen, welche Sicherheitsmodule(und Prozesssteuerungsmodule) fürwelchen Dampfkessel verwendet werden, wodurch weitere eine weitereUntergliederung in der Konfigurationsanzeige bereitgestellt wird.
[0057] Wieersichtlich, könnendeshalb eine sicherheitsinstrumentierte System- und Prozesssteuerungskonfigurationvon denselben Technikanwendungen aus durchgeführt werden, was es ermöglicht, dassKonfigurationsanzeige, -verwaltung, -prüfung, -sicherung, etc. voneiner einzigen Stelle aus durchgeführt werden kann. Insbesonderekönneneine einzige Verwaltungsroutine für die Konfigurationsdatenbank,wie eine Sicherungsroutine, welches die Konfigurationsdatenbanksichert, eine Importroutine, welches Daten in die Konfigurationsdatenbankimportiert, und weitere Routinen sowohl auf die Prozesssteuerungssystem-als auch die Sicherheitssystemdaten in der Konfigurationsdatenbankangewendet werden, wodurch die Anzahl an unterstützenden Anwendungen reduziertwird, die bei gesonderten Systemen benötigt werden. Noch weiter darüber hinaus können diesicherheitsinstrumentierten Funktionen für einen besonderen Abschnitt(z.B. Bereich) der Anlage 10 an derselben Stelle wie dieProzesssteuerungskonfiguration füreben diesen Abschnitt (z.B. Bereich) konfiguriert und gesichertwerden.
[0058] ImErgebnis befinden sich alle relevanten Informationen für einenBereich sowohl aus der Prozesssteuerungs- als auch Sicherheitssystemperspektivean einer einzigen Stelle und werden mit derselben Anwendung konfiguriert.Insbesondere die Prozesssteuerungssystem elemente (wie die Prozesssteuerungen 24, 26 oderdie Feldgeräte 40, 42 unddie Module oder eine andere darin ausgeführte Logik) und die Sicherheitssystemelemente(wie die Sicherheitssteuerungen 50–56 oder die Feldgeräte 60, 62 unddie Module oder eine andere darin ausgeführte Logik) werden zusammendurch dieselbe Anwendung innerhalb eines Bereichs konfiguriert,ungeachtet dessen, welcher Rechner zum Ausführen der Prozesssteuerungs-oder Sicherheitssystemlogik eingesetzt wird. Im Ergebnis kann dieKonfigurationslogik fürsowohl das Prozesssteuerungs- als auch das Sicherheitssystem erstelltwerden, bevor bekannt ist, wie viele Rechner es dort gibt, wo dieRechner im System (Adresse und/oder Name) angeordnet werden, undwelcher Steuerung die Logik zugewiesen wird. Aufgrund dessen mussdie physikalische Auslegung des Prozesssteuerungssystems nicht bekanntsein, um die Sicherheitsmodule zu konfigurieren. Da diese Konfigurationauf einer logischen anstatt einer physikalischen Basis erfolgt,wird auch eine einfache Übertragbarkeitzwischen Systemen, eine einfache Neuzuweisung von Modulen zu Logiklösern alsReaktion auf Veränderungenin den physikalischen Auslegungen innerhalb der Prozessanlage, unddas Erstellen auswählbarerBibliotheksvorlagen möglich,die verwendet werden sollen, um eine Prozesssteuerungs- und Sicherheitssystemkonfigurationslogikzu erstellen. Auch, weil die Verweise zwischen Sicherheitsmodulen über Name/Parameter desSicherheitsmoduls hergestellt werden, kann eine Kommunikation zwischenden Sicherheitsmodulen unabhängigvom Logiklöserkonfiguriert werden, dem die Sicherheitsmodule zugewiesen sind.
[0059] Wievorstehend angemerkt, verfügtdie Konfigurationsanwendung, obwohl die Prozesssteuerungs- und Sicherheitssystemkonfigurationintegriert ist, überSchutzmaßnahmen,die die Benutzer bestimmen können,die Konfigurationsvorgängeam Prozesssteuerungs- und Sicherheitssystem separat vornehmen können. Insbesonderekann die Konfigurationsanwendung 80 so installiert werden,dass auf sie überverschiedene Benutzer-Accounts zugegriffen werden kann, wobei jederBenutzer-Account mit einer speziellen Benutzereinheit zusammenhängt. Beieiner Benutzereinheit kann es sich um einen oder mehrere Benutzer handelnund in manchen Fällen umeine Anwendung, die unabhängigvon einem menschlichen Wesen arbeitet. Der Einfachheit halber wirdhier austauschbar auf Benutzer und Benutzer-Accounts Bezug genommen.
[0060] Wieklar wird, kann jeder Benutzer-Account unterschiedliche Zugriffsrechtehaben oder zugeteilt bekommen, die die Rechte der Benutzereinheitim Hinblick auf sowohl das Prozesssteuerungs- als auch Sicherheitssystemdefinieren. Ein und derselbe Benutzer-Account kann andere Zugriffsrechtefür Prozesssteuerungssystemkonfigurationsfunktionen alsfür Sicherheitssystemkonfigurationsfunktionen haben,und jeder Benutzer-Account kann eine gewisse Zugriffsebene sowohlfür dasProzesssteuerungs- als auch das Sicherheitssystem festlegen, sogar, dasskein Zugriff besteht. Falls gewünscht,kann ein spezieller Benutzer-AccountZugriffsrechte haben, die es der Benutzereinheit ermöglichen,eine oder mehrere Maßnahmenim Hinblick auf nur das Prozesssteuerungssystem zu ergreifen, eineoder mehrere Maßnahmenim Hinblick nur auf das Sicherheitssystem zu ergreifen, oder eineoder mehrere Maßnahmenim Hinblick auf sowohl das Prozesssteuerungs- als auch das Sicherheitssystemzu ergreifen. Weiter darüberhinaus könnenverschiedene Ebenen von Zugriffsrechten für das Prozesssteuerungs- bzw. Sicherheitssystemdefiniert werden, einschließlich beispielsweiseeiner Ebene, die eine Benutzereinheit in die Lage versetzt, Prozesssteuerungs-oder Sicherheitssystemdaten auszulesen, einer Ebene, die einen Benutzerin die Lage versetzt, Prozesssteuerungs- oder Sicherheitssystemparameteroder -einstellungen einzuschreiben oder zu verändern, einer Ebene, die einenBenutzer in die Lage versetzt, Prozesssteuerungs- oder Sicherheitssystemmodule odereine andere Logik zu erstellen, einer Ebene, die einen Benutzerin die Lage versetzt, Prozesssteuerungs- oder Sicherheitssystemmoduleauf geeignete Geräteherunterzuladen, und einer Ebene, die einen Benutzer in die Lageversetzt, Eichvorgängean einem oder mehreren Prozesssteuerungs- oder Sicherheitssystemgeräten vorzunehmen.Natürlich können jederBenutzereinheit beliebig viele dieser Zugriffsrechte für das Prozesssteuerungs-und/oder Sicherheitssystem verliehen werden, und andere mögliche Ebenenvon Rechte könnenauch oder anstatt der hier aufgelisteten verwendet werden.
[0061] Aufdiese Weise kann ein Prozesssteuerungstechniker daran gehindertwerden, das Sicherheitssystem in der Anlage zu konfigurieren, undein Sicherheitssystemtechniker kann daran gehindert werden, dasProzesssteuerungssystem in der Anlage zu konfigurieren. Wie vorstehendangegeben, kann das Sicherheitssystem, welches einen Benutzerschutzfür Konfigurationund Ablaufrechte leistet, voll in eine einzelne Anwendung (wie dieKonfigurationsanwendung) sowohl für das Prozesssteuerungs- alsauch das Sicherheitssystem integriert werden. Wie vorstehend angemerkt,könnenBenutzer-Accounts installiert werden, um die Rechte zu bestimmen,die ein Benutzer an einer bestimmten Stelle (oder innerhalb einerbesonderen Anwendung) hat. Falls gewünscht, kann die Ausführungszeitspanne einesBenutzers fürdie Steuerung pro Bereich, sowie Prozesssteuerungs- und Sicherheitssystemfunktionalität bestimmtwerden. Somit kann einem Bediener Zugriff zu sowohl dem Sicherheitsalsauch Prozesssteuerungssystem füreinen oder mehrere bestimmte Bereiche erteilt werden, aber nichtzu anderen Bereichen. Auf diese Weise kann eine Sicherung auf einer kombiniertenBenutzer-/Standortbasis geleistet werden. Falls gewünscht, kanndie Sicherung auch basierend auf dem Standort der Konfigurationsanwendungoder des Computers, der diese ausführt, bewerkstelligt werden,so dass ein Benutzer die richtigen Zugriffsrechte an einem bestimmtenComputer haben muss, um von diesem Computer aus Konfigurationsfunktionendurchführenzu können.
[0062] Wieklar wird, könnenVorgängeder Sicherheitssystemkonfiguration als wechselseitig verbundenelogische Elemente (wie Funktionsblöcke oder -module) in einergrafischen Anzeige auf die Weise definiert werden, wie in den US-PatentenNr. 5,838,563; 5,940,294 und 6,078,320 offenbart ist, die alle hiermitausdrücklichdurch Bezugnahme hier mitaufgenommen werden. In diesem Fall kanndie Sicherheitssystemfunktionalität oder -logik (in Form vonSicherheitssystemmodulen) unabhängigdavon erstellt werden, festlegen zu müssen, welche tatsächlicheSicherheitssystemhardware diese Logik ausführen wird, und welche E/A-Kanäle des Sicherheitssystemsverwendet werden. Liegen die Hardware- und Kanalfestlegungen ersteinmal fest, könneneinfache Vorgängeder Hardware- und E/A-Zuteilung (wie die Drag-and-Drop-Operationen auf der Konfigurationsbildschirmmaskevon 3) verwendet werden,um die Logik an die Hardware zu binden. Dieses Vorgehen ermöglicht,dass Sicherheitssystemfunktionen zwischen Sicherheitssystemen inhohem Grade übertragbarsind, und stellt eine größere Flexibilität bei derInstallation der Hardwareanordnung und der Kanaladressierung für das Sicherheitssystem 14 bereit.Noch darüberhinaus könnendie Sicherheitssystemlogikmodule, ähnlich wie Prozesssteuerungsmodule,zur einfachen Wiederverwendung als Vorlagen in einer Bibliothekgespeichert werden, um zu ermöglichen,dass derselbe allgemeine Typ Sicherheitsmodul für eine ähnliche Ausrüstung odereine identische Ausrüstungin unterschiedlichen Bereichen der Anlage wiederverwendbar sein kann.Auf diese Weise könnendie Sicherheitssystemlogikvorlagen auf die geeigneten Bereiche kopiert undder Sicherheitssystemhardware zugeteilt werden.
[0063] Nochweiter darüberhinaus ist es wichtig, da ein Sicherheitssystem typischerweise kleinerist als sein dazugehörigesProzesssteuerungssystem, die Sicherheitssystemhardware und -logikgetrennt von der Prozesssteuerungssystemhardware und -logik leichtauffinden und sichten zu können,um die Zuweisung von Sicherheitslogikmodulen zur Sicherheitssystemhardwareanschauen zu können.Das wie vorstehend im Hinblick auf 3 beschriebene Konfigurationssystemerfülltdiese Funktion, indem es ermöglicht,dass die Konfigurationsinformation des Sicherheitssystems 14 unddes Prozesssteuerungssystems 12 getrennt oder unter unterschiedlichen Überschriftenim Konfigurationsdiagramm unterschieden werden kann.
[0064] Überdieswird die Information aus der Sicherheitssystemlogik typischerweiseim Prozesssteuerungssystem zu Zwecken des Sperrens, etc. gebraucht.Wie vorstehend angenommen, erforderte dies herkömmlicher Weise, dass die Konfiguration desSicherheitssystems in Halteregister oder andere wohldefinierte Datenstrukturenfür dasProzess steuerungssystem übertragenwird, die vom Prozesssteuerungssystem bei Steuerstrategien eingesetzt werdensollen. Bei der vorstehend beschriebenen integrierten Konfigurationsind die Sicherheitssysteminformationen und -daten für die Prozesssteuerungssystemlogikohne Eintragen dieser Daten schnell verfügbar, weil alle diese Datenin einer integrierten Konfiguration vorliegen und gespeichert sind,und somit Daten aus dem Sicherheitssystem genauso direkt in derProzesssteuerungssystemlogik genutzt werden können wie Daten aus anderenTeilen der Prozesssteuerungssystemlogik in der Prozesssteuerungssystemlogikverwendet werden können.Diese Integration reduziert sowohl die Zeit als auch Komplexität bei derKonfiguration, und reduziert auch signifikant Fehler, die mit demEintragen von Daten verbunden sind.
[0065] Wieklar wird sind auch Konfigurations- und Statusdaten der Sicherheitssystemgeräte in dieser einzelnenKonfigurationsumgebung integriert. Dies umfasst sowohl die gerätespezifischeInformation als auch die gerätebezogeneSteuersysteminformation wie die Konfiguration für die Gerätealarme. Bei einigen Kommunikationsprotokollenwie dem Foundation Fieldbus, kann die Steuerinformation in den Feldgeräten selbstliegen. Soll diese Information als Teil einer Sicherheitssystemfunktiongenutzt werden, ist die Möglichkeit,diese Information in derselben Einzelkonfigurationsumgebung vorliegenzu haben wichtig, um die Logik nachzuvollziehen. Zusätzlich kanndie Statusinformation aus irgendeinem Teil des Sicherheitssystems 14,einschließlichder Sensoren, Stellglieder und Logiklöser je nachdem entweder im Steuerungssystem 12 oderim Sicherheitssystem 14 genutzt werden. Beispielsweisekann das Herabsetzen von Auswahlschemata basierend auf der Systemgesundheitoder das Einstellen einer Sperre im Steuerungssystem 12 basierendauf der Gerätegesundheiterfolgen. Solch ein gemeinsames Nutzen von Information durch dasProzesssteuerungssystem 12 und das Sicherheitssystem 14 wäre ohneintegrierte Konfigurationsumgebung äußerst schwierig zu bewerkstelligen.
[0066] Wieaus der vorstehenden Erörterungersichtlich wird, kann bei der integrierten Konfiguration das ganzeVergeben von Identifizie rungskennzeichen, Parameterverweisen, Namen,Sicherung, etc. von einer gemeinsamen Datenbank aus konfiguriert werden.Dies ermöglichtes Benutzern, den Hebel bei Investitionen, Schulungen, etc. anzusetzen,die beim Prozesssteuerungssystem für sicherheitskritische Funktionenvorgesehen sind. Zusätzlichermöglicht esdie gemeinsame Explorer-Ansicht (wie diejenige von 3, die Prozesssteuerungsgeräte und -logik mitSicherheitssystemgerätenund -logik integriert) einem Benutzer, leicht zwischen Prozess-,Geräte- undSicherheitsfunktionen zu unterscheiden, einen Zusammenhang zum geeignetenObjekt in der Ansicht herzustellen, klar Befehle für die imZusammenhang befindlichen, ausgewählten Objekte zu differenzieren,etc. Auch sorgt die integrierte Hierarchie für einfaches Navigieren, Suchen,Auflisten, etc. von bezeichneten Objekten. Ein Setzen von Präferenzenin der Explorer-Ansicht ermöglichtauch, dass die Funktionen, die der Benutzer nicht braucht, verdecktbleiben. Falls gewünscht,kann nämlichjeder Benutzer oder jeder Benutzer-Account unterschiedliche Präferenzenhaben, was sich auf die Art und Weise auswirkt, auf die die KonfigurationsinformationeinschließlichProzesssteuerungssystem- und Sicherheitssystemkonfigurationsinformationdiesem Benutzer angezeigt wird.
[0067] Zusätzlich zuKonfigurationsvorgängenkönnenDiagnosevorgänge,die mit dem Prozesssteuerungssystem 12 und dem Sicherheitssystem 14 zusammenhängen, ineiner gemeinsamen Anwendung und einer gemeinsamen Ansicht oder Anzeige,die einem Benutzer zur Verfügunggestellt werden, integriert sein. Insbesondere kann die Diagnoseanwendung 82 von 1 Diagnoseinformation liefernund Diagnosevorgängeunter Verwendung einer gemeinsamen Schnittstelle sowohl für das Prozesssteuerungssystem 12 alsauch das Sicherheitssystem 14 durchführen. In einem Beispiel kanndie Diagnoseanwendung 82 eine Alarmanzeigeanwendung sein,die jedwede Art von Alarmen wie Prozessalarme/-warnungen, Gerätealarme/-warnungen,Kommunikationsalarme/-warnungen,etc. empfängt,die sowohl in den Prozessrechnern 24 und 26 alsauch den Sicherheitslogiklösern 50–56 erzeugtoder erfasst werden. Da die von den Prozesssteuerungen 24 und 26 und denSicherheitslogiklösern 50–56 verschicktenNachrichten als mit der Hardware/Software der Prozesssteuerung oderdes Sicherheitssystems zusammenhängendunterschieden werden können,könnendiese Alarme oder Warnungen in einer gemeinsamen Anzeige oder ineiner gemeinsamen Diagnoseanwendung integriert werden, während dieHerkunft des Alarms im Auge behalten und angezeigt wird, das heißt, ob essich bei dem Alarm um einen Sicherheitssystem- oder Prozesssteuerungsalarmhandelt, und währendim Auge behalten wird, wann der Alarm ursprünglich ausgelöst odervom Prozesssteuerungssystem 12 oder Sicherheitssystem 14 miteinem Zeitstempel versehen wurde.
[0068] Genauerausgedrücktbraucht die Diagnoseanwendung 82 von 1, weil sie auf dieselbe Weise wie vorstehendim Hinblick auf die Konfigurationsanwendung 80 erörtert, sowohlProzesssteuerungs- als auch Sicherheitssystemalarme erkennen kann, eineArt von Alarm nicht in eine Anzeige zu übertragen, die für die andereArt von Alarm gebaut ist. Statt dessen kann die Anwendung 82 sicheinfach der Alarmerfassungs- undZeitstempelmechanismen bedienen, die während des Erstellens der Alarmnachrichtvon einem der Logiklöser 50–56 odereinem der Prozesssteuerungen 24 oder 26 generiertwurde, und diese Information in irgendeinem passenden Format aufeiner Benutzeroberflächeanzeigen. Die Diagnoseanwendung 82 kann jedoch konsistente Regelnauf jeden der Alarme anlegen, die von der Prozesssteuerungs- oderSicherheitssystemhardware eingehen, um eine Alarmpriorität zu bestimmen,eine Quittierung von Alarmen zu steuern und Leistungsmerkmale sowohlvon Prozesssteuerungs- als auch Sicherheitssystemalarmen freizugeben/zu sperren.
[0069] Wieklar wird, erfasst, versieht mit einem Zeitstempel und schickt dieAlarmerfassungssoftware oder -logik in den Prozessrechnern 24 und 26,um die Integration von Alarmen zu ermöglichen, Alarme an die Diagnoseanwendung 82,wie es in einem Prozesssteuerungssystem üblich ist. Zusätzlich erfasst, versiehtmit einem Zeitstempel und schickt eine Alarmerfassungssoftware oder-logik in den Sicherheitslogiklösern 50–56 Alarmmeldungenan die Diagnoseanwendung 82. Das Format der (von den Rechnern 24 und 26 verschickten) Prozesssteuerungsalarmmeldungenund der (von den Logiklösern 50–56 verschickten)Sicherheitssystemalarmmeldungen wird insofern ähnlich sein, als beide dasselbeoder ein gemeinsames Format, ein Zeitstempelfeld, ein Alarmbezeichnungs-oder Typenfeld, etc. haben. Zusätzlichweisen die Meldungen eine gewisse Anzeige wie ein Feld, eine Adresse,ein Identifizierungskennzeichen, etc. auf, das die Meldung oderden Alarm als von entweder einem Prozesssteuerungssystem- oder Sicherheitssystemgerät stammendbe- bzw. kennzeichnet. Die Diagnoseanwendung 82 kann danndie Anzeige verwenden, um auf einer Alarmanzeige anzuzeigen, dassein bestimmter Alarm ein Sicherheitssystem- oder ein Prozesssteuerungssystemalarmist. Zusätzlichkann die Diagnoseanwendung 82 unterschiedliche Leistungsmerkmalezum Quittieren, Anzeigen und Freigeben/Sperren für jeden Alarm basierend daraufbereitstellen, ob der Alarm ein Sicherheitssystem- oder Prozesssteuerungssystemalarmist. Beispielsweise kann die Diagnoseanwendung 82 einenAlarm in einer anderen Farbe, in einem anderen Bereich der Anzeige,mit einem anderen Namen, etc. basierend darauf darstellen, ob der Alarmein Sicherheitssystem- oder Prozesssteuerungssystemalarm ist. Auf ähnlicheWeise kann die Diagnoseanwendung 82 ein Filtern oder Sortieren derAlarme durch irgendwelche Kategorien wie Priorität, Bezeichnung, Art ermöglichenund/oder ob der Alarm ein Sicherheitssystem- oder Prozesssteuerungssystemalarmist. Die Diagnoseanwendung 82 kann jedoch Sicherheitssystem-und Prozesssteuerungssystemalarme (zum Setzen von Priorität) unter Verwendungeines gemeinsamen Regelsatzes kategorisieren, um eine konsistenteKategorisierung von Alarmen sowohl im Prozesssteuerungs- als auchSicherheitssystem bereitzustellen. Zusätzlich spiegelt der Zeitstempelder Alarme wieder, wann sie zuerst entweder im Prozesssteuerungssystem 12 oderim Sicherheitssystem 14 erfasst wurden, was zu einer besserenund genaueren Information darüberführt, wanndie Alarme in den Prozesssteuerungs- und Sicherheitssystemen generiertwurden.
[0070] 4 stellt ein Beispiel einerDiagnoseanwendung 82 dar, die in einem Arbeitsplatzrechner 16 abläuft, umeine integrierte Prozesssteuerungs- und Sicherheitssystemalarmanzeigebereitzustellen.
[0071] Allgemeingesprochen zeigt die Diagnoseanwendung 82 Information über dasProzesssteuerungssystem 12 und das Sicherheitssystem 14 an, diefür dasVerständnisoder die Fähigkeitdes Bedieners sachdienlich ist, den gegenwärtigen Betriebsstatus des Prozessesim Hinblick auf im Prozess vorhandene Alarme zu überblicken. Ein Beispiel einer Anzeige,die von der Anwendung 82 erstellt werden kann, ist in 5 als ein Alarmbanner 273 umfassenddargestellt, das Alarmanzeigen und eine erste Anzeige 271 aufweist,die einen Abschnitt der Prozessanlage einschließlich der mit diesem Abschnitt derProzessanlage zusammenhängendenProzesssteuerungs- und Sicherheitssystemgeräte und anderer Ausrüstung darstellt,die füreinen oder mehrere der Alarme im Alarmbanner maßgeblich sind. Die erste Anzeige 271 kannInformation überden aktuellen Zustand der Prozessanlage liefern, wie den Füllstandin den Behältern,Fließeigenschaftenvon Ventilen und anderen Fluidleitungen, Geräteeinstellungen, Messwertevon Sensoren, etc. Zusätzlichkann diese Anzeige den aktuellen Zustand von Sicherheitsgeräten wieAbschaltventilen, Schaltern, etc. angeben. Somit kann, wie klarwird, ein Bediener die Diagnoseanwendung 82 dazu verwenden,sich unterschiedliche Teile von oder Ausrüstung in der Prozessanlage 10 anzeigenzu lassen, und dabei kommuniziert die Diagnoseanwendung 82 mitden Steuerungen 24 und 26 und den Sicherheitslogiklösern 50–56 undnötigenfallsden Feldgeräten 40, 42, 60 und 62 undirgendwelchen anderen Gerätenin der Anlage, um relevante Werte, Einstellungen und Messungen zuerhalten, die mit der Prozessanlage zusammenhängen oder darin vorgenommenwerden.
[0072] DieDiagnoseanwendung 82 kann so konfiguriert sein, dass sieAlarme empfängt,die von einer Alarmgenerierungssoftware in einigen oder allen der Rechner 24 oder 26,E/A-Geräte 28–36,Sicherheitslogiklöser 50–56 undFeldgeräte 40, 42, 60 und 62 generiertwerden. Noch weiter darüberhinaus kann die Diagnoseanwendung 82 unterschiedliche Alarmkategorienempfangen, einschließlichbeispielsweise Prozessalarme (die typischerweise von Prozesssteuerungssoftware-oder Sicherheitssystemmodulen wie denjenigen generiert werden, dieaus wechselseitig kommunikativ verbundenen Funktionsblöcken bestehenund Prozesssteuerungs- und Sicherheitsroutinen bilden, die während desProzessablaufs eingesetzt werden), Hardwarealarme, wie Alarme, dievon den Steuerungen 24, 26, E/A-Geräten 30–36,Sicherheitslogiklösern 50–56,anderen Arbeitsplatzrechnern 16, etc. generiert werden,die den Zustand oder Funktionszustand dieser Geräte betreffen, und Gerätealarme,welche von einigen oder allen der Feldgeräte 40, 42, 60 und 62 generiertwerden, um mit diesen Gerätenverbundene Probleme anzuzeigen. Diese oder andere Alarmkategorienkönnenauf jede beliebige Weise erstellt werden. Natürlich kann die Diagnoseanwendung 82 dieAlarmart darstellen (z.B. Prozessalarm, Hardwarealarm und Gerätealarm)zusätzlichdazu, wo der Alarm seinen Ursprung nahm, d.h., im Prozesssteuerungssystem 12 oderim Sicherheitssystem 14.
[0073] Fallsgewünscht,kann die Diagnoseanwendung 82 Alarme basierend auf einerAnzahl von Faktoren empfangen und filtern. Insbesondere kann die Diagnoseanwendung 82 Alarmebasierend auf dem Arbeitsplatzrechner filtern, auf dem die Anwendung 82 abläuft, basierendauf dem Bediener oder der Person, der/die in den Arbeitsplatzrechnereingeloggt ist, und basierend auf bedienerkonfigurierbaren Einstellungenwie Kategorie, Art (Prozess, Hardware, Gerät, etc.), Priorität, Status,Entstehungszeit, Herkunft (Prozesssteuerung oder Sicherheitssystem),etc. des Alarms. Beispielsweise kann die Anwendung 82 die Alarmefiltern, um nur Alarme aus den Bereichen oder Abschnitten der Anlagezu filtern, fürdie der Arbeitsplatzrechner, auf dem die Anwendung 82 abläuft, zumEmpfang konfiguriert ist. Das heißt, Alarme für bestimmteBereiche oder Abschnitte der Anlage können an bestimmten Arbeitsplatzrechnernnicht angezeigt werden, sondern jeder Arbeitsplatzrechner kann stattdessen darauf beschränktsein, Alarme für einenoder mehrere spezielle Bereiche der Anlage anzuzeigen. Gleichermaßen können Alarmedurch Bedienerkennung gefiltert werden. Insbesondere können Bedienerdarauf beschränktsein, Alarme einer bestimmten Kategorie, eines bestimmten Typs, einerbestimmten Priorität,etc. zu sichten, oder könnendarauf beschränktsein, Alarme aus einem Abschnitt oder Teilabschnitt (z.B. und Bereich)der Anlage zu sichten. Die Diagnoseanwendung 82 filtert auchAlarme zur Anzeige basierend auf der Bedienerfreigabe heraus. DieseFiltereinstellungen über Arbeitsplatzrechnerund Bediener werden hier als Steuerungen im Rahmen des Arbeitsplatzrechners undBedieners bezeichnet und könnenSicherungsleistungsmerkmale umfassen, die es bestimmten Bedienernermöglichen,Prozesssteuerungs- und/oder Sicherheitssystemalarmezu sichten und zu bearbeiten.
[0074] DieDiagnoseanwendung 82 kann auch die darstellbaren Alarme(d.h. diejenigen, die in die Steuerungen im Rahmen des Arbeitsplatzrechnersund Bedieners fallen) basierend auf bedienerkonfigurierbaren Einstellungenfiltern, die beispielsweise die Alarmkategorie (z.B. Prozess-, Geräte- oderHardwarealarm), Alarmtypen (Kommunikation, Ausfall, Beratung, Wartung,etc.), die Prioritätdes Alarms, den Modul, das Gerät,die Hardware, den Knoten oder Bereich, die der Alarm betrifft, umfassen,ob der Alarm quittiert oder unterdrückt wurde, ob der Alarm aktivist, ob der Alarm ein Sicherheitssystem- oder Prozesssteuerungssystemalarmist, etc.
[0075] Miterneutem Bezug auf 4 istdie Diagnoseanwendung 82 so dargestellt, dass sie in einem derArbeitsplatzrechner 16 von 1 ausgeführt wird,welcher auch Kommunikationssoftware wie eine Kommunikationsschichtoder einen Kommunikationsstapel 262 speichert und ausführt, die/dermit den Steuerungen 24 und 26 über die Ethernetverbindung 22 kommuniziert,um Signale zu empfangen, die von den Steuerungen 24 und 26,den Sicherheitslogikmodulen 50–56, den E/A-Geräten 28–36,den Feldgeräten 40, 42, 60 und 62 und/oderweiteren Arbeitsplatzrechnern 16 verschickt werden. DieKommunikationsschicht 262 formatiert auch Nachrichten ordnungsgemäß, die andie Steuerungen, E/A-Geräte,Feldgeräte,Sicherheitslogiklöserund andere Arbeitsplatzrechner als Alarmquittierungssignale verschicktwerden sollen. Die Kommunikationssoftware kann irgendeine bekannteoder beliebige Kommunikationssoftware sein, die gegenwärtig beispielsweise mitEthernetverbindungen verwendet wird. Natürlich kann der Kommunikationsstapel 262 anandere Software gekoppelt werden, welche andere Funktionen wie Konfigurationsanwendungen,Diagnose- oder andere Prozessanwendungen, Datenbankverwaltungsanwendungen,etc., durchführt,die innerhalb des Arbeitsplatzrechners 16 ablaufen.
[0076] DieDiagnoseanwendung 82 von 4 umfassteine Alarmverarbeitungseinheit 264, welche Alarme von derKommunikationsschicht 262 empfängt, decodiert diese Alarmeund kann die decodierten Alarme in einer Datenbank 266 speichern.Die Diagnoseanwendung 82 umfasst auch ein Filter 268, welchesdie Alarmverarbeitungseinheit 264 verwendet, um zu bestimmen,welche Alarme auf einer mit dem Arbeitsplatzrechner 16 zusammenhängenden Benutzeroberfläche (wieeinem CRT-, LCD-, LED-, Plasmadisplay, einem Drucker, etc.) angezeigtwerden sollen. Das Filter 268 kann Einstellungen haben, diein der Datenbank 266 gespeichert sind, und diese Filtereinstellungenkönnenvorkonfiguriert sein und/oder sind durch einen Benutzer basierendauf dessen Präferenzenveränderbar.
[0077] Allgemeinkönnendie Filtereinstellungen die Alarmkategorie und -priorität steuernund, falls gewünscht,die Reihenfolge der anzuzeigenden Alarme festlegen, indem eine Anzahlunterschiedlicher Kriterien angesetzt wird. Zuerst bewirken dieSteuerungen im Umfeld des Arbeitsplatzrechners und Bedieners, wasein besonderer Bediener sehen kann (welche Alarme an einem bestimmtenArbeitsplatzrechner angezeigt werden können) basierend auf der Bedienerkennungund dem Arbeitsplatzrechner, in den der Bediener eingeloggt ist,ob die Alarme Prozesssteuerungs- oder Sicherheitssystemalarme sind,etc. In diesem Fall kann jedem Arbeitsplatzrechner eine Operationszulassungzugeteilt sein und ohne eine Operationszulassung werden die Alarmanzeigen- undalle Alarmlisten-/Zusammenfassungsanzeigen leer sein, d.h. keineaktiven oder unterdrücktenAlarme irgendeiner Kategorie (Prozess, Hardware oder Gerät) oderirgendeiner Herkunft (Prozesssteuerungs- oder Sicherheitssystem)wird von der Alarmverarbeitungseinheit 264 angezeigt. Nochweiter darüberhinaus könnennur Alarme aus einem Anlagenbereich im Umfeld des gegenwärtigen Bedienersgewähltwerden (fürgewöhnlichbekommt der Bediener mindestens einen Sicherheitsschlüssel indem Anlagenbereich), die in den Alarmanzeigen auf diesem Arbeitsplatzrechnererscheinen sollen. Auch können nurAlarme aus einem Anlagenbereich oder einer Anlageneinheit gewählt werden,der/die nicht „abgeschaltet" wurde, indem derAnlagenbereichs- oder die Anlageneinheitfilteranzei ge(n) wählbar sind,die in der Alarmanzeige erscheinen sollen. Auf diese Weise verhindertdas Filter 268 zuerst die Anzeige von Alarmen außerhalbdes Arbeitsplatzrechner- und Bedienerumfelds, und von Alarmen ausAnlagenbereichen oder -einheiten, die vom Bediener abgeschaltetwurden.
[0078] Nachdem Überprüfen derAlarme auf Übereinstimmungmit den Steuerungen im Umfeld des Arbeitsplatzrechners und Bedienersfiltert und bestimmt das Filter 268 dann die Anzeigereihenfolgevon Alarmen basierend auf Bedienereinstellungen heraus, welche beispielsweisedie Alarmkategorie, die Prioritätdes Alarms, die Alarmart, den Quittierungsstatus des Alarms, denUnterdrückungsstatusdes Alarms, die Herkunft des Alarms (d.h. aus dem Prozesssteuerungs-oder Sicherheitssystem), etc. umfassen können. Die eingegangenen Alarme,welche unter Verwendung von Alarmmeldungen an die Anwendung 82 geschicktwerden, umfassen Parameter fürjeden dieser Werte, und das Filter filtert Alarme zum Anzeigen,indem die geeigneten Parameter der Alarme mit den Filtereinstellungenverglichen werden. Die Alarmverarbeitungseinheit 264 kanndie Herkunft des Alarms basierend auf der Adresse, von der der Alarm stammt,einem Feld in der Alarmmeldung, etc. erfassen. Während der Bediener die Anzeigereihenfolge derAlarme, welche vom Filter 268 durchgelassen werden, festlegenkann, kann die Reihenfolge aber auch durch vorkonfigurierte Einstellungenbestimmt werden, was zu einer konsistenteren Anzeige der unterschiedlichenAlarme führt.
[0079] Aufjeden Fall kann der Bediener die Art und Weise kundenspezifischanpassen, mit der Alarme basierend auf der Herkunft und/oder denAlarmkategorien, an denen der Bediener oder Benutzer am meisteninteressiert ist, angezeigt werden, welche alle aus einer Alarmkategoriewie Prozess-, Geräte- oderHardwarealarmen oder alle aus einer Herkunft eines Alarms wie einProzesssteuerungs- oder ein Sicherheitssystemalarm oder eine Kombinationvon zwei oder mehreren Kategorien und Herkunftsquellen von Alarmensein könnten.Der Benutzer kann auch eine Kontrolle darüber haben, wie die Alarme präsentiertwerden und welche Information mit den Alarmen bereitgestellt wird.Auf diese Weise kann die Diagnoseanwendung 82 dazu eingesetztwerden, es einer Einzelperson zu ermöglichen, die Arbeiten einesSicherheits- und eines Prozesssteuerungsoperators durchzuführen. Alternativkann im selben System zu unterschiedlichen Zeiten ein Prozesssteuerungsoperatordasselbe System verwenden, um nur die Prozesssteuerungsalarme zusichten, während einSicherheitsoperator die Sicherheitsalarme sichten kann. Auf dieseWeise kann ein und dieselbe Diagnoseanwendung (an unterschiedlichenArbeitsplätzen)von unterschiedlichen Arten von Leuten gleichzeitig verwendet werden,um unterschiedliche Aspekte der Alarme zu sichten, die mit den Arbeitsablauffunktionendes Prozesssteuerungssystems 12 und des Sicherheitssystems 14 zusammenhängen.
[0080] Nachdemdie Alarmverarbeitungseinheit 264 das Filter 268 einsetzt,um zu entscheiden, welcher) Alarme) dem Benutzer über dieAnzeige 269 angezeigt und in welcher Reihenfolge die Alarmeangezeigt werden sollen, stellt die Alarmverarbeitungseinheit 264 dieseInformation einer Benutzeranzeigenoberfläche 270 zur Verfügung, welcheirgendein standardmäßiges odergewünschtesBetriebssystem verwendet, um Alarminformation auf irgendeine beliebigeWeise auf der Alarmanzeige 269 anzuzeigen. Natürlich erhält die Benutzeranzeigenoberfläche 270 auchweitere Information, die sie benötigt,wie Information überdie Auslegung oder die Konfiguration des Prozesssteuerungssystems 12 oderdes Sicherheitssystems 14, die Parameter- oder Signalwerteinnerhalb dieser Systeme etc., aus der Datenbank 266 oderaus anderen Kommunikationssignalen, die über die Kommunikationsschicht 262 vonder Prozessanlage her eingehen. Auch empfängt die Benutzeranzeigenoberfläche 270 Befehlevom Benutzer, der beispielsweise mehr Information über bestimmteAlarme, Änderungenan Alarm- oder Filtereinstellungen, neue Alarmanzeigen, etc., abruft,und liefert diese Information an die Verarbeitungseinheit 264,die dann die angeforderte Maßnahmeergreift, die Datenbank 266 auf die Alarminformation, etc.,hin durchsucht, um dem Benutzer überdie Anzeige 269 einen neue Alarmansicht bereitzustellen.
[0081] Wievorstehend angemerkt, werden die unterschiedlichen Alarmkategorienund -herkunftsquellen, die Prozesssteuerungs- und Sicherheitsalarme umfassen,zur potentiellen Anzeige auf der Anzeigevorrichtung 269 inirgendeinem passenden Nachrichtenformat an die Diagnoseanwendung 82 geschickt undvon dieser empfangen. Im Ergebnis können unterschiedliche Alarmkategorienund -typen auf derselben Oberflächeintegriert werden, um einem Bediener mehr Information bezüglich einesfehlerhaften Betriebs des Prozesssteuerungs- und Sicherheitssystemszu liefern. Mit den hierin beschriebenen integrierten Anzeigen kannein Bediener aktuelle Prozesssteuerungs- und Sicherheitssystemalarmeauf ein und derselben Bildschirm- oder Anzeigevorrichtung sichtenund kann jeden dieser Alarme auf dieselbe Weise behandeln.
[0082] Esgibt natürlichviele Wege, wie die unterschiedlichen Prozesssteuerungs- und Sicherheitsalarmeauf integrierte Weise auf einer Benutzeroberfläche angezeigt werden können. Ineiner Ausführungsformkönnendie Prozesssteuerungs- und Sicherheitsalarme auf eine ähnlicheWeise behandelt werden wie Prozessalarme herkömmlicher Weise auf einer Anzeigebehandelt wurden. Im Ergebnis kann ein Bediener Sicherheitsalarmegenauso quittieren oder unterdrücken,wie der Bediener Prozesssteuerungsalarme quittiert oder unterdrückt. Gleichermaßen können Prozesssteuerungs-und Sicherheitsalarme auch so angezeigt werden, dass Art, Priorität, Name,Abschnitt des Prozesses, Zustand, etc. des Alarms angezeigt wird.Auch kann dem Bediener eine erste, mit dem Alarm zusammenhängende Anzeigegeboten- werden, die dazu ausgelegt ist, den Benutzer dabei zu unterstützen, dieHerkunft des Alarms oder die Funktionalität des mit dem Alarm zusammenhängendenHard- oder Softwareelements nachzuvollziehen oder zu sehen, wieetwa das Modul, die Prozessschleife, das Gerät, den Knoten, den Bereich,etc., wofürder Alarm generiert wurde oder womit der Alarm zusammenhängt. Eineerste Anzeige kann beispielsweise ein physikalisches Bild eines Gerätes sein,ein digitales Bild oder eine digitale Zeichnung des Raums oder Bereichs,in dem sich ein Gerätbefindet, oder eine andere mit dem Gerät zusammenhängende Information wie etwaein Teil einer Anlagenzeichnung, eine Schema- oder Konzeptzeichnung,die die Verbindungen zwischen dem Gerät in der Anlage während derImplementierung, etc. zeigt. Erste Anzeigen für Alarme können von Benutzern erstelltwerden und könnenbeispielsweise auf Module (fürProzessalarme), Geräte(für Gerätealarme)und auf Knoten (fürHardwarealarme) oder auf Bereiche oder Abschnitte der Anlage ausgerichtet sein,die mit dem Alarm zusammenhängen.Die ersten Anzeigen könnenauch auf verschiedene Funktionen gelenkt sein. Beispielsweise können Prozessalarmanzeigenauf Prozessbetriebsfunktionen ausgerichtet sein, erste Gerätealarmsteuerungsanzeigen können aufFeldgerätewartungsfunktionenausgerichtet sein, und erste Hardwaresteuerungsanzeigen können aufKnotenwartungsfunktionen ausgerichtet sein. Erste Anzeigen für Hardwarealarmekönnen beispielsweiseBilder der Stelle sein, wo sich die Steuerung befindet, schematischeDarstellungen der E/A-Hardware der Steuerung, wobei alle Hardwarealarmzustände angegebensind, Tasten, um zur Übersicht über dieEinheit zu navigieren oder erste Anzeigen, die eine Steuerung unterstützt, Wartungsvorgangsprüflisten,etc. Gleichermaßenkönnenerste Anzeigen fürGerätealarmevon Benutzern erstellt werden und können beispielsweise auf Gerätewartungsfunktionenausgerichtet sein. Die ersten Anzeigen können in der Datenbank 266 (4) gespeichert werden, undauf der Anzeige 269 kann auf sie zugegriffen und können siedargestellt werden, wenn ein Alarm ausgewählt wird, der die erste Anzeigeverwendet. Natürlichkann dieselbe erste Anzeige oder können unterschiedliche ersteAnzeigen fürunterschiedliche Alarme verwendet werden.
[0083] Ineiner Ausführungsformwird die integrierte Alarminformation einem Benutzer auf einer Anzeige inForm eines Alarmbanners an beispielsweise einem Rand einer Bildschirmmaskeangezeigt. Nun befindet sich mit Bezug auf 5 das Alarmbanner 273 untenauf dem Bildschirm. Das Alarmbanner 273 umfasst eine ersteZeile, die Anzeigen verschiedener Alarme anzeigt, die vom Prozesssteuerungssystem 12 unddem Sicherheitssystem 14 erzeugt wurden, und die über dasFilter 268 zur Anzeige gelangt sind. Mindestens einer derim Alarmbanner 273 angezeigten Alarme kann mit dem Abschnittbzw. Teil des Prozesssteuerungs- undSicherheitssystems zusammenhängen,der in der ersten Anzeige 271 dargestellt ist. Die speziellenim Alarmbanner 273 angezeigten Alarme und deren Reihenfolgewerden entsprechend der Filtereinstellungen des Filters 268 bestimmt.Allgemein ausgedrücktwerden die Alarme mit der höchstenPriorität,welche nicht quittiert oder unterdrückt wurden, zuerst angezeigt,wobei die Alarme mit der nächsthöchstenPrioritätals nächstesangezeigt werden, usw. Im Bildschirmmaskenbeispiel von 5 ist der Alarm 274 mitder höchstenPriorität einProzesssteuerungsalarm, der als mit einer Steuerungsroutine mitdem Namen PID101 zusammenhängenddargestellt ist. Der Alarm 274 ist rot dargestellt, umzu veranschaulichen, dass seine Priorität kritisch ist. Auf der zweitenZeile des Alarmbanners 273 zeigt ein Alarminformationsfeld 276 einemit dem aktuell ausgewähltenAlarm im Alarmbanner 273 zusammenhängende Information an. Im Beispielvon 5, bei dem der Prozesssteuerungsalarm 274 ausgewählt ist,zeigt das Alarminformationsfeld 276, dass der Alarm 274 amFreitag um 12:52:19 ausgewähltwurde, mit der „Füllstandssteuerungvon Tank 16" („tank 16level control")zusammenhängt,eine Bezeichnung oder einen Namen PID101/HI_HI_ALM hat, eine sehrhohe Prioritätaufweist und ein kritischer Alarm ist. Blinkt der Alarm 274,bedeutet dies, dass er nicht quittiert wurde, während eine konstante (nichtblinkende) Alarmanzeige im Alarmbanner 273 bedeutet, dassder Alarm von irgendeinem Bediener oder Benutzer quittiert wurde.Natürlichkönntenauch andere Arten von Alarminformation auf dem Alarminformationsfeld 276 angezeigtwerden.
[0084] Natürlich könnten andereAlarmanzeigen im Alarmbanner 273, wie etwa der Alarmhinweis 278, einSicherheitssystemalarm sein, der mit den Sicherheitssystemgeräten in einemrelevanten Bereich oder Abschnitt der Prozessanlage zusammenhängt. DieserSicherheitssystemalarm kann irgendeine Art von Alarm sein, einschließlich einesProzessalarms (der von den Sicherheitslogikmodulen generiert wird),eines Hardwarealarms (der von einem Sicherheitslogiklöser generiertwird) und eines Gerätealarms(der von einem der Feldgeräte 60, 62 desSicherheitssystems generiert wird). Diese anderen Alarmanzeigenkönntenandersfarbig sein, wie gelb, purpurrot, etc., um andere Grade vonBedeutung oder Prioritätbei dem Alarm oder andere Herkunftsquellen des Alarms anzuzeigen.Wird ein anderer Alarm ausgewählt,wie etwa der Alarm 278, 280, 281 oder 282,würde einediesen Alarm betreffende Alarminformation im Alarm informationsfeld 276 angezeigt.Durch das Sichten eines Alarms im Alarmbanner 273 kannein Bediener den Alarm quittieren und das Wartungs- oder Technikpersonalauffordern, die geeigneten Maßnahmenzu ergreifen, um den Umstand, der zum Alarm führte, zu korrigieren, oderandere geeignete Maßnahmenim Prozesssteuerungs- oder Sicherheitssystem zu ergreifen, wie etwabestimmte Sollwerte neu einzustellen, um den Alarmzustand abzumildern.Wenn sie nur zur Anzeige von Prozesssteuerungsalarmen verwendetwird, ist die Anzeige von 5 ähnlich einerbekannten Bedieneranzeige, die gegenwärtig im DeltaV-Steuerungssystemvorgesehen ist. Dennoch wird klar, dass die Alarmanzeige von 5 die Anzeige und Steuerung sowohlvon Prozesssteuerungs- als auch Sicherheitssystemalarmen integriert.
[0085] Wievorstehend angegeben, wird durch das Auswählen eines der Alarme im Alarmbanner 273 (wieetwa des Alarms 274) eine erste Anzeige 271 für diesenAlarm geboten. Insbesondere umfasst, wie in 5 gezeigt, der Hauptteil der Bildschirmmaske eineerste Anzeige 271 oder Veranschaulichung der betreffendenHardware, die mit einem bestimmten Alarm (einem ausgewählten Alarm)in der Prozessanlage zusammenhängt.Im Beispiel von 5 umfasstdie Hardware drei Tanks, die überverschiedene Ventile und Fluidströmungsleitungen zusammen mit verschiedenendaran befestigten Sensoren miteinander verbunden sind. Die Hardwareveranschaulichungist eine Darstellung der Ausrüstungin einem Teil der Prozessanlage und liefert eine bestimmte Information über denBetrieb eines Teils der Ausrüstungwie etwa bestimmte Werte oder Parameter, die mit dem Tank, den Sensoren,etc. zusammenhängen.Die dargestellte Ausrüstungkann Prozesssteuerungs- und/oder Sicherheitssystemausrüstung sein. Natürlich kannein Teil dieser Information durch in der Datenbank 266 gespeicherteKonfigurationsinformation oder Signale aus den Sensoren im Prozesssteuerungs-und Sicherheitssystem bereitgestellt werden. Im letzteren Fall wirdeine solche Information nach oben durch die Kommunikationsschicht 262 geschicktund der Benutzeranzeigenoberfläche 270 über irgendeinebekannte oder gewünschteSoftware zur Verfügunggestellt.
[0086] Auchist, wie in 5 dargestellt,eine Frontplatte 272, die ein „virtuelles Instrument" veranschaulicht,für einePID-Steuereinheit (ein PID-Steuereinheitsmodul) als zusätzlicheInformation füreinen der Alarme (in diesem Fall dem Prozesssteuerungsalarm 274)im Alarmbanner dargestellt. Die Frontplatte 272 lieferteine weitere, den ausgewähltenProzesssteuerungsalarm betreffende Information und kennzeichnetden Namen der Steuereinheit (des Moduls PID101) und bestimmte Einstellungenoder Parameter, die mit diesem Modul zusammenhängen. Das Erstellen einer solchenbildlichen Beschreibung des Prozesses wird heutzutage für Prozesssteuerungsalarmeeingesetzt und ist im Stande der Technik bekannt, und wird deshalbnicht im Einzelnen beschrieben. Es genügt, zu erwähnen, dass diese oder irgendeineandere beliebige bildliche oder nicht bildliche Beschreibung einesTeils oder der ganzen Prozessanlage auf dem Bildschirm dargestelltwerden kann, damit ein Benutzer, wie etwa ein Bediener, die Betriebs-oder Hardwarefunktion jedes Teils der Prozessanlage, einschließlich derProzesssteuerungs- und Sicherheitssystementitäten ansehen kann. Die Anzeigenkönnennatürlicheinzelne Hardwareeinheiten, verwandte Hardwaregruppen, Blockschemata oderandere Schemata von Teilen oder Bereichen von Anlagen etc. veranschaulichenoder anderweitig darstellen.
[0087] Wiedermit Bezug auf 4 kanndie Diagnoseanwendung 82 ein Steuerungsroutine 290 zum Zusammenfassenaktiver Alarme und eine Steuerung 292 zum ZusammenfassenunterdrückterAlarme umfassen. Diese Routinen können dazu eingesetzt werden,einem Benutzer Anzeigen bereitzustellen, die eine Zusammenfassungder momentan im System aktiven oder unterdrückten Alarme darstellt. Natürlich können dieseZusammenfassungen geordnet und auf der Anzeige 269 aufjede Art und Weise dargestellt werden, wobei vorausgesetzt wird,dass diese Zusammenfassungen Prozesssteuerungs- und Sicherheitssystemalarmezusammen in einer Anzeige oder Liste oder, falls gewünscht, separatzusammenfassen können.Natürlichkann die Diagnoseanwendung 82 auch eine Sicherungsroutine 294 umfassen,das die geeigneten Sicherungsprozeduren bei der Entscheidung bewerkstelligt,ob ein Benutzer irgendeinen speziellen Alarm sichten und bearbeiten darf.Insbesondere kann die Sicherungsroutine 294 einen Satzvon Regeln implementieren, die dazu ausgelegt sind, zu steuern,welche Benutzer Prozesssteuerungs- und/oder Sicherheitssystemalarme sichtendürfen,und welche Benutzer diese Alarme bearbeiten dürfen, indem sie sie quittieren,unterdrücken, etc.Auf diese Weise kann die Sicherungsanwendung 294 einenbestimmten Benutzer in die Lage versetzen, bestimmte Prozesssteuerungsalarme,aber keine Sicherheitssystemalarme zu quittieren oder zu unterdrücken, kannes einem anderen Benutzer erlauben, bestimmte Sicherheitssystemalarmeaber keine Prozesssteuerungssystemalarme zu quittieren oder zu unterdrücken, undkann es einem weiteren Benutzer erlauben, beide Alarmarten zu quittierenoder zu unterdrücken.Natürlichkönnenbestimmte Regeln oder Rechte zum Sichten der Prozesssteuerungs- undSicherheitssystemalarme, zum Quittieren dieser Alarme, zum Unterdrücken dieserAlarme, etc. festgelegt und durchgesetzt werden. Falls gewünscht, können verschiedenartigeAlarme so zusammen angezeigt werden, dass beispielsweise Sicherheitsgerätealarmemit Prozesssteuerungsgerätealarmenangezeigt werden können,Sicherheitsprozessalarme mit Prozesssteuerungssystemprozessalarmenangezeigt werden, und Sicherheitshardwarealarme mit Prozesssteuerungssystemhardwarealarmenangezeigt werden können.Natürlichkönnendiese unterschiedlichen Alarme zusammen oder separat gesichtet werden,basierend auf den Arten und Herkunftsquellen der Alarme oder irgendeinerKombination von diesen.
[0088] Nochweiter darüberhinaus werden Sicherheitsalarme und -ereignisse zusammen mit denProzessalarmen und -ereignissen in derselben Datenbank elektronischgespeichert, wobei jeder/jedes beim Einspeichern in die Datenbankzeiterfasst wird. Im Ergebnis wird eine zeiterfasste, zeitlich gestaffelte Aufzeichnungvon Prozessalarmen und -ereignissen mit einer zeiterfassten, zeitlichgestaffelten Aufzeichnung von Sicherheitsalarmen und -ereignissenzusammengefasst, und diese integrierte Zusammenfassung kann dazuverwendet werden, die Interaktion zwischen dem Prozesssteuerungssystem 12 und demSicherheitssystem 14 basierend auf den darin stattfindendenAlarmen und Ereignissen noch leichter zu überblicken und zu bestimmen.
[0089] Esist klar, dass die Diagnoseanwendung 82 dieselben wie obenim Hinblick auf die Konfigurationsanwendung 80 beschriebenenBenutzer-Accounts und -Rechte verwenden kann, um verschiedene Diagnose-oder Alarmsichtungszugriffsrechte zu definieren, wobei diese Rechteso eingestellt werden können,dass verschiedene Benutzereinheiten basierend auf der Art des Alarms,der Herkunft des Alarms (Prozesssteuerung oder Sicherheitssystem), etc.,Alarme ansehen, quittieren, abschalten (freigeben/sperren) können. Wieklar wird, könnenmanche Benutzer nur Prozesssteuerungssystemalarme, nur Sicherheitssystemalarmeoder einige oder alle von beiden ansehen, quittieren oder abschalten.Noch weiter darüberhinaus könnenPräferenzenmit jedem Benutzer-Account verbunden sein, um es der Diagnoseanwendung 82 (z.B.Alarmsichtung) zu ermöglichen,basierend darauf, welche Benutzereinheit auf die Anwendung 82 zugreift,automatisch unterschiedliche Ansichten, Filtereinstellungen, etc.bereitzustellen.
[0090] Während eineintegrierte Anwendung zum Sichten von Alarmen (und Warnungen) alsein Beispiel füreine integrierte Diagnoseanwendung 82 erörtert wurde,könntengenauso auch andere Arten von integrierten Diagnoseanwendungen verwendet werden.Insbesondere könnteeine Diagnoseanwendung 82 eine hierarchische Ansicht derBereiche, Einheiten, Geräten,Steuerungen, Module, Logikeinheiten, etc. in der Anlage bieten,um es einem Benutzer zu ermöglichen,jede in der Anlage enthaltene Diagnoseinformation zu erhalten, wieetwa diejenige, die in den Gerätenoder der Ausrüstungin der Anlage enthalten ist. Solch eine hierarchische Ansicht kann ähnlich derKonfigurationsansicht von 3 sein aberunterschiedliche Geräte,Module, etc. fürdas Prozesssteuerungs- bzw. Sicherheitssystem darstellen, das mitunterschiedlichen Bereichen, Einheiten etc. zusammenhängt. UnterVerwendung dieser Ansicht könntesich ein Benutzer in einen Prozessbereich, eine Einheit, etc. vorarbeiten,um zu einem Prozesssteuerungssystemgerät, -modul, -funktionsblock,etc. (und/) oder zu einem Sicherheitssystemgerät, -modul, -funktionsblock,etc. zu gelangen. An jedem Punkt in der Ansicht kann der Benutzerin der Lage sein, auf die gegenwärtigverfügbaren Diagnosedatenaus dem oder überdas Gerät,das Modul, Funktionsblock, etc. zuzugreifen oder sie anzusehen, einschließlich derDiagnosedaten, die vom Gerät, Modul,Funktionsblock, etc. selbst generiert werden, oder Diagnosedaten,die von anderen Werkzeugen wie Eich- und Prüfwerkzeugen (die Hard- undSoftwaretools sein können)für dieseEntitätbestimmt werden. Diese Diagnosedaten können Gesundheits-, Modus- undStatusdaten, momentane Einstellungen oder Betriebsparameterdatenoder irgendwelche andere Daten umfassen, die von der Ausrüstung herzur Verfügungstehen. Auf diese Weise kann der Benutzer die Diagnoseanwendung 82 dazuverwenden, um ein organisiertes und integriertes Verständnis desgegenwärtigenZustands und der gegenwärtigenGesundheit sowohl der Prozesssteuerungssystem- als auch der Sicherheitssystemausrüstung zuerlangen, und um übereine gemeinsame Anwendung und sogar über eine gemeinsame Bildschirmanzeigemaske Zugriffzu allen Diagnosedaten in der Anlage zu erhalten.
[0091] Zusätzlich kanneine solche Diagnoseanwendung 82 zusammenfassende Ansichtenbereitstellen, die Diagnosedaten von der Prozesssteuerungssystem – und/oderSicherheitssystemausrüstungenthalten. Noch weiter darüberhinaus können dieintegrierten Ansichten vorgerollt werden, so dass Diagnosedatenfür eineEinheit, einen Bereich, etc. auf eine zusammenfassende oder kombinierteWeise angesehen werden könnenund so, dass eine Gesamtintegritätzu diesem Bereich, dieser Einheit, etc. bestimmt werden kann, indemdie Diagnosedaten von sowohl der Prozesssteuerungssystem – als auch derSicherheitssystemausrüstungin diesem Bereich, dieser Einheit, etc. verwendet werden. Fallsgewünscht,könnenauch Diagnosewerkzeuge in dieser Diagnoseanwendung gespeichert undvon ihr aus implementiert werden. Beispielsweise kann eine Regelschleifenabstimmvorrichtung(die beispielsweise entweder in einer Sicherheitssystem- oder einer Prozesssteuerungssystemregelschleifeeingesetzt werden kann) in der Diagnoseanwendung 82 gespeichertwerden oder von dieser betrieben werden. Ein Benutzer kann auswählen, diesesWerkzeug zu benutzen, wenn Diagnosedaten über eine Regelschleife oderein Steuermodul anzeigen, dass ein Regelkreis schlecht abgestimmtist oder nicht innerhalb von Solltoleranzen arbeitet.
[0092] AndereDiagnosewerkzeuge könnenEich- und Prüfwerkzeugeumfassen, die an irgendwelchen Arten von Geräten, Logikmodulen, etc. eingesetzt werden.
[0093] Nochweiter darüberhinaus kann eine gemeinsame Sicherungsanwendung in einem Arbeitsplatzrechner 16 (1) ablaufen, um eine Sicherheit für diesenArbeitsplatzrechner bereitzustellen, wodurch ein Benutzer sich nureinmal (z.B. übereinen Benutzer-Account) in den Arbeitsplatzrechner einloggen undverschiedene Anwendungen ablaufen lassen kann, um das Prozesssteuerungssystem 12 und/oderdas Sicherheitssystem 14 beispielsweise zu konfigurieren/inBetrieb zu nehmen, herunterzuladen, zu sichten und betreiben (d.h.Parameterwerte einzuschreiben), basierend auf den Rechten, die der Benutzereinheitund dem Arbeitsplatzrechner 16 zugeteilt wurden. DieseIntegration von Anwendungen übereine gemeinsame Sicherungsanwendung ermöglicht es Benutzern, die kombinierteFunktionalität (z.B.dass es einen Platz zum Konfigurieren von Alarmprioritäten, Sicherheit,etc. gibt) leichter handhaben zu können, und macht es für Benutzerauch einfacher, das System zu erweitern, das System zu modifizieren(weil keine Übertragungenerforderlich sind, um das System zu überarbeiten), und das Systemzu aktualisieren (weil eine einzige, koordinierte Aktualisierungsstrategiesowohl fürdas Prozesssteuerungs- als auch Sicherheitssystem eingesetzt werdenkann). ÜberdieskönnenBenutzer die Aktualisierung der Geräte, des Steuersystems und desSicherheitssystems je nach Bedarf im Ganzen oder in Teilen vornehmen.Darüberhinaus brauchen Benutzer die unterschiedlichen Teile des Systemsnicht separat zu prüfenund zu hoffen, dass alles zusammenspielt, wenn alle Teile eingebautsind, weil die integrierte Natur des Systems es ihnen ermöglicht,alles zusammen zu konfigurieren, zu prüfen und zu diagnostizieren.
[0094] 6 stellt eine Sicherungsanwendung 300 dar,die in einem der Arbeitsplatzrechner 16 von 1 angeordnet ist, der automatischSicherheitsvorgängean Maßnahmen(wie Lese- und Schreibvorgängen)vornehmen kann, die im integrierten Prozesssteuerungs- und Sicherheitssystemvon 1 basierend daraufergriffen werden, ob die Maßnahme (z.B.der Lese- oder Schreibvorgang) mit einem Prozesssteuerungssystem-oder einem Sicherheitssystemgerätzusammenhängt.Obwohl diese Sicherungsanwendung 300 als eine freistehendeAnwendung dargestellt ist, kann diese Anwendung natürlich auchin irgendwelche andere Anwendungen eingebaut sein, die in den Bedienerarbeitsplatzrechnern 16 (oderirgendwelchen anderen Computern) von 1 zumEinsatz kommen, um sicherzustellen, dass Auslesevorgänge ausdem oder Einschreibvorgängein das Sicherheitssystem 14 (und, falls gewünscht, dasProzesssteuerungssystem 12) auf eine gesicherte Weise stattfinden.Obwohl die Sicherungsanwendung 300 als ein Teil (z.B. einUnterprogramm bzw. Subroutine) der zuvor erörterten Konfigurationsanwendung 80 undDiagnoseanwendung 82 verwendet werden kann, kann sie auchin jeder Benutzeroberflächenanwendung 85 eingesetztwerden, die es einem Benutzer ermöglicht, Änderungen am oder Einschreibvorgänge in dasProzesssteuerungs- oder Sicherheitssystem vorzunehmen oder eineInformation überdiese Systeme zu sichten. Auch kann die Sicherungsanwendung 300 natürlich auchdie vorstehend im Hinblick auf die Konfigurations- und Diagnoseanwendungen 80 und 82 erörtertenBenutzer-Accountsund Zugriffsrechte festlegen und durchsetzen.
[0095] DieSicherungsanwendung 300 ist in 6 so dargestellt, dass sie kommunikativzwischen einer Kommunikationsschicht 262 und einer Benutzeranzeigenoberfläche 270,wie etwa derjenigen, die vorstehend mit Bezug auf 4 erörtertwurden, im Arbeitsplatzrechner 16 eingebunden ist und eineSicherheitsverarbeitungseinheit 301 umfasst, die Sicherheitsprozedurenim Hinblick auf irgendwelche gewünschtenAuslese- oder Einschreibvorgängeaus oder in das Prozesssteuerungssystem 12 oder das Sicherheitssystem 14 vornimmt.Die Sicherungsanwendung 300 kann einen Satz von Sicherheitssystemregeln 302 undeinen Satz von Prozesssteuerungssystemregeln 304 speichern,welche die Arten und die Natur der Sicherheit definieren, die für Auslesevorgänge ausdem und Einschreibvorgängein das Sicherheitssystem 14 bzw. Prozesssteuerungssystem 12 zumTragen kommen sollen. Die Sicherheitsverarbeitungseinheit 301 kannmit der Benutzeranzeigenoberfläche 270 zusammenarbeiten,um Anforderungen nach Auslesevorgängen aus oder Einschreibvorgänge in Elementeim Prozesssteuerungssystem 12 und Sicherheitssystem 14 zuerfassen.
[0096] Basierendauf Information aus der Benutzeranzeigenoberfläche 270, die einenangeforderten Lese- oder Schreibvorgang betrifft, kann die Sicherheitsverarbeitungseinheit 301 eineHerkunfts-/Bestimmungsableitungsdatei 306 verwenden, umzu bestimmen, ob der angeforderte Lese- oder Schreibvorgang einElement (oder einen Parameter) des Prozessteuerungssystems oderein Element (einen Parameter) des Sicherheitssystems betrifft. DieHerkunfts-/Bestimmungsableitungsdatei 306 kann auf einfacheWeise Information darüberbereitstellen, welche Felder in der von der Benutzeroberfläche erzeugtenAnzeige welchen Elementen in der Prozessanlage entsprechen, undkann, falls gewünscht,die Identifizierungskennzeichen oder Adressen speichern, die mitBestimmungen von Anzeigefeldern in der Anzeige auf der Benutzeroberfläche zusammenhängen, umdadurch zu ermöglichen,dass die Sicherheitsverarbeitungseinheit 301 bestimmenkann, ob sich eine besondere Maßnahmeoder Abfrage auf der Benutzeranzeige auf ein Prozesssteuerungs- oderSicherheitssystemelement bezieht. Nötigenfalls kann die Sicherheitsverarbeitungseinheit 301 statt dessenauch Konfigurationsinformation verwenden, die in einer Konfigurationsdatenbankgespeichert ist, um zu bestimmen, ob ein bestimmtes Element einSicherheitssystem- oder ein Prozesssteuerungssystemelement ist.Auf jeden Fall kann, nachdem bestimmt wurde, ob eine angeforderteMaßnahmeein Prozesssteuerungssystem- oder ein Sicherheitssystemelement betrifft(und allgemein ausgedrückt, nachdemdie Adresse oder das Kennzeichen bestimmt wurde, die/das mit einemangeforderten Auslesevorgang aus oder Einschreibvorgang in solchein Element verbunden ist), die Sicherheitsverarbeitungseinheit 301 aufdie Sicherheitsregeln 302 oder die Prozesssteuerungsregeln 304 zugreifen,um zu bestimmen, ob ein solcher Lese- oder Schreibvorgang gestattetist, und, falls dem so ist, irgendwelche Sicherheitsprozeduren imHinblick auf einen solchen Lese- oder Schreibvorgang durchführen bzw.implementieren.
[0097] Beispielsweisekann ein Benutzer unter Verwendung der Benutzeranzeige 269 anfordern,einen Parameter in einem Sicherheitssystemgerät wie etwa einen Sollwert,der mit dem Erfassen eines Fehlerzustands zusammenhängt, zu ändern. DieSicherheitsverarbeitungseinheit 301 bestimmt dann (für gewöhnlich zusammenmit oder als Teil der Anwendung, die dazu ausgelegt ist, solcheSchreibvorgängefreizugeben) die Bestimmung des Schreibvorgangs, indem sie die Adresseoder das Identifizierungskennzeichen des Parameters bestimmt, für den einSchreibvorgang angefordert wird. Solch eine Adresse oder solch einIdentifizierungskennzeichen kann in der Herkunfts-/Bestimmungsableitungsdatei 306 gespeichertoder davon abgeleitet werden. Basierend auf der Adresse oder demIdentifizierungskennzeichen bestimmt die Sicherheitsverarbeitungseinheit 301,ob die Anfrage an einen Sicherheitssystem- oder einem Prozesssteuerungssystemparametergerichtet ist. Ist die Anfrage an einen Sicherheitssystemparametergerichtet, verwendet die Sicherheitsverarbeitungseinheit 301 dieRegeln in der Sicherheitsregeldatenbank 302, um zu bestimmen,ob dieser Schreibvorgang gestattet ist, d.h., ob der Benutzer diegeeignete Berechtigung hat, den Einschreibvorgang in die Einheitvorzunehmen. In manchen Fällenkann es sein, dass die Benutzeroberflächenanwendung die Identität des Benutzersbereits kennt und die Einschreibmöglichkeit des Benutzers zeitlichfrüheranzeigt, indem sie Abschnitte des Benutzeroberflächenbildschirms grau darstellt,in die der Benutzer nicht einschreiben kann. In anderen Fällen kanndie Benutzeroberflächenanwendungbei der Anforderung der Sicherheitsverarbeitungseinheit 301,den Benutzer auffordern, ein Passwort oder eine Benutzerkennungeinzugeben, und kann diese nach der richtigen Berechtigung überprüfen, bevorder angeforderte Schreibvorgang stattfindet.
[0098] Richtetsich der angeforderte Schreibvorgang andererseits an ein Prozesssteuerungssystemgerät, kanndie Sicherheitsverarbeitungseinheit 301 auf Regeln (oderZugriffsberechtigungen) in der Prozesssteuerungsregeldatenbank 304 zugreifen,um zu bestimmen, ob der Benutzer im Prozesssteuerungssystem diegeeignete Berechtigung hat, um den angeforderten Schreibvorgangvorzunehmen. Selbstverständlichkann die Sicherheitsverarbeitungseinheit 301 dieselbenoder unterschiedliche Sicherheitsregeln für Lese- und Schreibvorgänge sowiedieselben oder unterschiedlichen Sicherheitsregeln für Maßnahmenan Prozesssteuerungssystem- und Sicherheitssystemelementen durchsetzen.Jedenfalls lässtdie Sicherheitsverarbeitungseinheit 301, wenn sie bestimmt,dass der Benutzer (was eine Anwendung zusätzlich zu einer Person, dieeine Benutzeroberflächeverwendet, sein kann) die geeignete Berechtigung für den angefordertenLese- oder Schreibvorgang hat, die Kommunikationsschicht 262 eine geeigneteLese- oder Schreibnachricht an das Prozesssteuerungs- oder Sicherheitssystemgerät schicken.Zusätzlichkann die Sicherheitsverarbeitungseinheit 301 irgendwelcheanderen Sicherheitsprozeduren (wie sie in den Regeldatenbänken 302 oder 304 gespeichertsind), wie etwa Schreibüberprüfungsprozeduren,implementieren, die füreinen Lese- oder Schreibvorgang erforderlich sind.
[0099] 7 stellt einen einfachenAnzeigebildschirm 320 dar, der eine Benutzeroberfläche zeigt, diees einem Benutzer ermöglicht,Auslesevorgänge ausden und Einschreibvorgängein sowohl die Prozesssteuerungssystem- als auch die Sicherheitssystemelementevorzunehmen, indem sie die von der Sicherungsanwendung 300 bereitgestellteSicherheit verwendet. Insbesondere hängt die linke Seite des Anzeigebildschirms 320 mitAuslese- und Einschreibvorgängendes Prozesssteuerungssystems fürein bestimmtes Prozesssteuerungssystemelement zusammen, während dierechte Seite des Bildschirms 320 mit Auslese- und Einschreibvorgängen desSicherheitssystems fürein bestimmtes Sicherheitssystemelement zusammenhängt.
[0100] Wieaus 7 ersichtlich wird,kann ein Benutzer (oder die zugrundeliegende Anwendung) Werte ansehen(auslesen), die mit einem Prozesssteuerungssystemregelkreis, derCNTRLOOP1 genannt ist, zusammenhängen,die verschiedenen Temperatur-, Druck- und Strömungswerte umfassen, die gegenwärtig indiesem Kreis gemessen werden. Solche Ablesungen können permanentsein (nicht vom Benutzer veränderbar),wie in der Anzeige 320 im Bereich 321 dargestelltist. Zusätzlichkann der Benutzer den aktuellen Temperatursollwert und die Regler verstärkung ansehen,die im Reglerkreis namens CNTRLOOP1 verwendet wird. Falls gewünscht, kann derBenutzer diese Werte verändern,indem er neue Werte in die Felder 322 und 324 eingibt,die mit dem Temperatursollwert und der Reglerverstärkung zusammenhängen.
[0101] Auf ähnlicheWeise kann der Benutzer unter Verwendung der Anzeige 320 Informationansehen und verändern,die ein Sicherheitssystemelement betrifft. Insbesondere stellt dierechte Seite des Bildschirms 320 Information dar, die miteinem Sicherheitssystemkreis zusammenhängt (welcher beispielsweisemit der Hardware zusammenhängt,die vom Regelkreis CNTRLOOP1 gesteuert wird). in diesem Fall können bestimmteSicherheitssystemwerte wie der momentane Zustand von Abschaltventilen undDruckschaltern dargestellt werden (wie bei 325 gezeigtist). Noch weiter darüberhinaus könnenbenutzerkonfigurierbare Sicherheitssystemparameter wie ein Abschaltfüllstandfür einenBehälternamens Tank 1 und Abschalttemperaturen für Behälter namens Tank 1 und Tank2 in den Feldern 326 und 328 gezeigt werden, welchees zusätzlichermöglichen, dassdiese Parameter vom Benutzer verändertwerden können.
[0102] Allgemeinausgedrückthängt jedesder Felder im Bildschirm 320 mit einer Adresse oder einem Elementinnerhalb des Prozesssteuerungs- oder des Sicherheitssystems zusammen,und dieser Zusammenhang kann in der Herkunfts-/Bestimmungsableitungsdatei 306 (6) gespeichert werden. Jedenfallskann die Sicherungsanwendung von 6 dazu verwendetwerden, sicherzustellen, dass wenn ein bestimmter Benutzer versucht,einen überschreibbarenParameter zu verändern,dieser Benutzer auch den geeigneten Berechtigungsgrad dazu hat.Auf diese Weise kann die Sicherungsanwendung 300 auf Parameterzugreifen und ermöglichen,dass sie aus dem Prozesssteuerungs- oder dem Sicherheitssystem nurdann ausgelesen werden können,wenn der Benutzer oder die anfordernde Anwendung auch die geeigneteBerechtigung oder Genehmigung dazu besitzt. Aufgrund des gemeinsamenKommunikationsformats, das Adressen-, Kennzeichen- oder andere Felderverwendet, um Prozesssteuerungssystem- von Sicherheitssystemelementenzu unterscheiden, kann die Sicherungsanwendung 300 aufeinfache Weise eine separate Sicherheit für Auslesevorgänge ausund Einschreibvorgängein das Prozesssteuerungssystem und für Auslesevorgänge ausund Einschreibvorgängein das Sicherheitssystem (basierend auf den Feldern im Bildschirm 320)unterscheiden und implementieren, wodurch ermöglicht wird, dass diese Auslese-und Einschreibvorgängevon einer gemeinsamen Benutzeroberflächenanwendung aus erfolgenkönnen.Natürlichkann die Sicherungsanwendung 300 zusammen mit der Benutzeroberflächenanwendungdarauf hinwirken, Bereiche in der Anzeige 320 grau auszulegen,auf die der Benutzer keine Lese- oder Schreibrechte hat. Während dieSicherungsanwendung 300 hier so beschrieben ist, dass sieSicherheit fürAuslese- und Einschreibvorgängeaus dem und in das Prozesssteuerungs- und das Sicherheitssystem(und die darin befindlichen Geräteoder anderen Entitäten)bereitstellt, wird klar, dass die Sicherungsanwendung 300 auchandere Zugriffsebenen fürdie unterschiedlichen Anwendungen durchsetzen kann, wie beispielsweisedas Erstellen von Logikmodulen freizugeben oder zu verhindern, Logikmoduleherunterzuladen, Eichprozeduren durchzuführen, Alarme zu sichten, quittieren undfreizugeben/sperren, etc.
[0103] Wieklar wird, ist Benutzersicherheit für die Sicherheitssystemwerteim Vergleich zu den Prozesssteuerungssystemwerten eindeutig definiert, undes kann ein zusätzlicherSchutz fürVeränderungendurch einen on-line-Benutzer fürSicherheitssystemwerte überProzesssteuerungssystemwerte implementiert werden, wobei eine solchezusätzlicheSicherheit durch die Sicherheitsregeldatenbank 302 unddie Prozesssteuerungsregeldatenbank 304 (6) festgelegt ist. Es ist nämlich dieFähigkeit, denUnterschied zwischen Sicherheitssystem- und Prozesssteuerungssystemwertenzu erkennen, die es ermöglicht,dass die eindeutige Handhabung von Sicherheitssystemwerten erzieltwerden kann. Somit kann jede Anwendung, die die Sicherungsanwendung 300 verwendet,automatisch Auslese- und Einschreibevorgänge aus und in das Sicherheitssystem erkennenund sicherstellen, dass die richtige Sicherheit und Schreibüberprüfung vorliegt,um einen Wert in der Prozessanlage 10 zu verändern. Diesesautomatische Verfahren zum Bewerkstelligen ge sicherter Einschreibvorgänge kanneingesetzt werden, um sicherzustellen, dass Schreibwerte, die andie Sicherheitssteuerung geschickt werden, gültig sind, wodurch eine umfangreicheBenutzerprogrammierung, die mit anderen Arten von Lösungen erforderlichist, entfällt.
[0104] Alsein Beispiel füreine Sicherheitsprozedur, wird ein Verfahren zum Durchführen gesicherterEinschreibvorgängenachstehend ausführlicherbeschrieben. Als Hintergrund erfordert der IEC 61511-Standard, jedes Mal,wenn eine Änderungan einem Betriebsparameter eines Sicherheitssystems vorgenommenwird, einen Bestätigungswiederholungsschritt.Die Sicherheitsverarbeitungseinheit 301 kann diesen Bestätigungswiederholungsschrittautomatisch implementieren, wenn er in der Sicherheitsregeldatenbank 302 alsProzedur definiert ist, die für Einschreibvorgänge in dasSicherheitssystem durchzuführenist. Somit kann die Sicherungsanwendung 300 unter Verwendungder Regeldatenbank 302 einen Bestätigungswiederholungsschritt(oder irgendeine andere Prozedur) bei allen Einschreibvorgängen indas Sicherheitssystem ohne zusätzliche Programmierungoder spezielle Konfiguration seitens eines Benutzers erzwingen.
[0105] DerIEC-Standard ist auf eine Weise formuliert, die den Wunsch ausdrückt, einenBediener daran zu hindern, das falsche Objekt ändern zu wollen oder die Prozessfolgender Veränderungnicht nachvollziehen zu können,und zur Verhinderung von Nachrichtenverfälschung beizutragen. Um diesen Standarddurchzusetzen, übernehmendie meisten integrierten Prozesssteuerungs- und SicherheitssystemeDaten aus dem Prozesssteuerungssystem in das Sicherheitssystem understellen dann „bistdu sicher "-Dialogein der Bedienergrafik, bevor eine einzige Nachricht verschickt wird,die das Sicherheitssystem verändert.
[0106] Eswird jedoch nachstehend ein sichereres Verfahren zum Implementiereneines Leistungsmerkmals des gesicherten Schreibens im Einzelnenbeschrieben, das füralle Anwendungen wie Arbeitsabläufe,Konfigurations- und Diagnoseanwendungen verwendet werden kann. Eswäre festzuhalten,dass diese Technik oder dieses Leistungsmerkmal auf jede von einemBenutzer ausgelösteVeränderung oderMaßnahmeam Sicherheitslogiklöser,der von irgendeiner Anwendung aus eingeleitet wurde, angewandt werdenkann, und als solches dazu eingesetzt werden kann, Werte in einemSicherheitssystemlogiklöserzu verändern,indem irgendwelche Befehle wie Inbetriebsetzungsbefehle, Befehlezum Herunterladen, Sperrbefehle, Umschaltbefehle, etc. verwendetwerden. Zusätzlichkann das nachstehend beschriebene Leistungsmerkmal des gesicherten Schreibensfür irgendwelcheNachrichten verwendet werden, die zwischen irgendwelchen zwei Anwendungenverschickt werden, um eine verstärkteSicherheit bereitzustellen, um sowohl versehentliche Verfälschungals auch unerlaubte Änderungenzu verhindern, wie etwa diejenigen, die durch Hacker, Viren unddergleichen ausgelöstwerden.
[0107] Umdas Leistungsmerkmal eines gesicherten Schreibvorgangs zu implementieren,befindet sich ein Server 350 für gesicherte Schreibvorgänge (6) im Host-Arbeitsplatzrechner 16,und, wie in 1 dargestellt,befindet sich ein (Rechner-Client 360 genannter) Client 360 für gesicherteSchreibvorgängein den Prozesssteuerungssystemsterungen 24 oder 26,und ein (Logiklöser-Client 370 genannter) Client 370 für gesicherteSchreibvorgängebefindet sich in den Sicherheitslogiklösern 50–56. Wird ein Änderungsbefehldurch einen Benutzer oder eine andere Anwendungsart ausgelöst, überprüft die Sicherungsanwendungzuerst, ob der Benutzer (oder die Anwendung) die erforderlichenZugriffsrechte oder -zulassungen hat, um die Änderung vorzunehmen. Ist demso, wirken der Server 350 für gesicherte Schreibvorgänge unddie Clients 360 und 370 daraufhin, sicherzustellen,dass der Benutzer, der die Änderungvornehmen soll, und die Nachricht nicht während der Übertragung entweder vom Host-Arbeitsplatzrechner 16 zuden Steuerungen 24 oder 25 bzw. von den Steuerungen 24 oder 26 zuden Sicherheitslogiklösern 50–56 verfälscht wird.Darüberhinaus stellen der Server 350 für gesicherte Schreibvorgänge unddie Clients 360, 370 sicher, dass die Nachricht amrichtigen Bestimmungsort ankommt und verhindern gleichzeitig, dasseine falsch erzeugte Nachricht eine Veränderung verursacht.
[0108] Allgemeinausgedrückt,verpackt der Server 350 für gesicherte Schreibvorgänge beimEmpfang eines Änderungsbefehlsvon einem Benutzer oder einer anderen Anwendungsart den Änderungsbefehl mitden nötigenDaten wie der Bestimmung, dem zu ändernden Parameter, dem Wert,etc., und fügtein CRC-Feld (CRC – cyclicalredundancy check) fürzyklische Redundanzprüfunghinzu, das fürdieses Paket oder diese Nachricht erzeugt wird. Dann schickt derServer 350 fürgesicherte Schreibvorgängeden Änderungsbefehlmit der CRC an den geeigneten Steuerungs-Client 360, welcherden Änderungsbefehlquittiert (und, falls gewünscht,eine Antwort zurückan den Server 350 fürgesicherte Schreibvorgängeschickt, mit den Einzelheiten darüber, was der Steuerungs-Client 360 als Änderungsinformation empfangenhat). Der Server 350 fürgesicherte Schreibvorgängezeigt die Änderungsinformationwie etwa den Namen, das Schlüsselwortdes Objekts, und was zu ändernangefordert wurde, dem Benutzer zur Überprüfung an. Falls gewünscht, kannder Server 350 fürgesicherte Schreibvorgängedie Änderungsdatenaus dem Änderungsbefehlwie er an den Steuerungs-Client 360 geschickt wurde, hernehmen, umsicherzustellen, dass der Benutzer auch die Information überprüft, dietatsächlichan den Steuerungs-Client 360 geschickt wurde. Schickt derSteuerungs-Client 360 hingegen die Änderungsdaten wie sie vom Steuerungs-Client 360 empfangenwurden, zurückzum Server 350 fürgesicherte Schreibvorgänge,kann dieser diese Information dem Benutzer zur Überprüfung anzeigen.
[0109] DerServer 350 fürgesicherte Schreibvorgängekann dem Benutzer die Änderungsinformation beispielsweise über einDialogfeld auf der Benutzeranzeige anzeigen, das es dem Benutzerermöglicht, zu überprüfen, obdie Änderungsinformationkorrekt ist (indem er beispielsweise eine OK- oder eine Bestätigungstasteim Dialogfeld wählt).Nach der Überprüfung durchden Benutzer (oder, falls notwendig, eine Anwendung), schickt derServer 350 fürgesicherte Schreibvorgängeeinen zweiten Änderungsbefehl(einen Änderungswiederholungsbefehl)mit den Änderungsdetails,wie sie vom Benutzer überprüft wurden,an den Steuerungs-Client 360. Insbesondere verpackt derServer 350 für gesicherte Schreibvorgänge die Änderungsbefehlsdaten(wie sie vom Benutzer überprüft wurden),einschließlich, zumBeispiel, der Bestimmung, dem zu ändernden Parameter, dem Wert,etc., zusammen mit einer CRC, die für dieses Paket oder diese Nachrichterstellt wurde, und schickt diesen zweiten Änderungsbefehl an den Steuerungs-Client 360.Es wärefestzuhalten, dass, wenn keine Verfälschung stattgefunden hat,der erste Änderungsbefehl(und die CRC-Daten) und der zweite oder Änderungswiederholungsbefehl (undseine CRC-Daten) identisch sein werden.
[0110] Nachdem Empfang des zweiten oder Änderungswiederholungsbefehlsvergleicht der Steuerungs-Client 360 den zweiten Änderungsbefehlmit dem ersten, um zu sehen, ob sie gleich sind (was bedeutet, dasskeine Verfälschungaufgetreten ist, und dass der Benutzer die im ersten Änderungsbefehl vorhandene Änderungsinformation überprüft hat). Fallsgewünscht,kann der Steuerungs-Client 360 einfach bestimmen, ob diebeiden Änderungsnachrichtengleich sind oder dieselben CRC-Daten aufweisen. Alternativ kannder Steuerungs-Client 360 die Nachrichten decodieren, umzu sehen, ob die in jeder enthaltene Änderungsinformation gleichist, obwohl dieses Vorgehen in manchen Sicherheitssystemen nichtzugelassen sein kann. Sind die Nachrichten oder Änderungsinformationen gleich,schickt der Steuerungs-Client 360 dann eine Änderungsanforderungan den entsprechenden Logiklöser-Client 370. Fallsgewünscht,kann diese Änderungsanforderung Informationsowohl aus dem ersten als auch dem zweiten Änderungsbefehl enthalten. Alternativkönnennur die CRC-Daten aus sowohl den Änderungsbefehlen als auch dieDaten aus einem der Befehle, z.B. dem ersten Änderungsbefehl, als Teil der Änderungsanforderungvom Steuerungs-Client 360 zum Logiklöser-Client 370 geschicktwerden.
[0111] DerLogiklöser-Client 370 empfängt die Änderungsanforderungund decodiert die Anforderung, um sicherzustellen, dass die Änderungsanforderung andie richtige Stelle geschickt wurde und ansonsten unverfälscht ist.Diese Schritte könnenein Prüfeneines oder beider der CRC-Datenpakete mit sich bringen, um zu bestimmen,ob die CRC-Infor mation wirklich der eingeschlossenen Änderungsnachrichtentspricht, indem bestimmt wird, ob die CRC-Pakete gleich sind (wassie sein sollten), und indem bestimmt wird, ob der Bestimmungsortfür die Änderung sichinnerhalb des Sicherheitslogikösersbefindet oder überihn geht. Ist die Änderungsinformationaus den beiden Änderungsbefehlenin dieser Nachricht enthalten, kann der Logilöser-Client wieder überprüfen, umzu bestimmen, ob die Änderungsinformation mitder Prüfung übereinstimmt,um sicherzustellen, dass bei der Übertragung vom Steuerungs-Client 360 zumLogiklöser-Client 370 keineVerfälschung stattgefundenhat. Bestimmt der Logiklöser-Client 370,dass die Änderungsnachrichtkorrekt ist, kann der Logiklöser-Client 370 dieLogiklöser 50–56 die Änderungimplementieren lassen, und schickt eine Bestätigung zurück an den Steuerungs-Client 360, dassdie Änderungimplementiert wird. Der Steuerungs-Client 360 kann dieseBestätigungan der Server 350 fürgesicherte Schreibvorgängeschicken, der dem Benutzer eine Bestätigung anzeigen kann, dassdie Änderungdurchgeführtwird. Tritt irgendwo im Prozess ein Fehler auf, können derLogiklöser-Client 370 und/oderder Steuerungs-Client 360 den Server 350 für gesicherteSchreibvorgänge über den Fehlerund irgendwelche bekannten Einzelheiten über den Fehler informieren(wie etwa, dass die CRCs nicht passten, die Nachricht an einem falschen Bestimmungsortankam, etc.). Der Server 350 für gesicherte Schreibvorgänge kannden Benutzer dann darüberinformieren, dass die Änderungnicht durchgeführtwurde, und kann ihn überirgendwelche gewünschtenDetails überdiesen Fehler informieren, der im Schreibprozess aufgetreten ist.
[0112] AlsBeispiel kann ein Benutzer eine gewünschte Änderung über ein Dialogfeld für gesicherteSchreibvorgängein einer Bildschirmanzeige eingeben. Nachdem sie bestimmt hat, obder Benutzer die Berechtigung zum Durchführen der Änderung hat, ruft die Anwendungdann den Server 350 fürgesicherte Schreibvorgängeauf und gibt den Pfad, den Parametertyp und den aktuellen Wert andiesen weiter. Der Server fürgesicherte Schreibvorgängegeneriert dann eine Anforderung für einen gesicherten Schreibvorgangmit dem Befehl „Parameter, Änderung" (Parameter, Change),dem Pfad, dem neuen Wert und der CRC und schickt diese Anforderungfür einengesicherten Schreibvorgang an den entsprechenden Prozesssteuerungssystemsteuerung 24 oder 26.Der Server 350 fürgesicherte Schreibvorgängeerstellt dann den Bestätigungsdialogmit dem Benutzer, indem er Daten aus einer Kopie der zyklisch redundant überprüften (CRC-)Daten, die an den Rechner 24 oder 26 geschicktwurden, verwendet. Das Dialogfeld kann den Pfad und den Wert darstellen,und der Server 350 fürgesicherte Schreibvorgängekann die Bestätigungs-oder OK-Taste im Dialogfeld nur dann freigeben lassen, wenn der Änderungsbefehlvom richtigen Rechner 24 oder 26 quittiert wurde.Beim Empfang des Änderungsbefehls quittiertder Steuerungs-Client 360 inder Steuerung 24 oder 26 den Änderungsbefehl und speichertdas zyklisch redundant überprüfte Datenelementim entsprechenden Modul oder Block ab.
[0113] Andiesem Punkt überprüft der Benutzer,ob der Wert im Bestätigungsdialogfeldrichtig ist und wähltdie Bestätigungs-oder OK-Taste. DerServer 350 fürgesicherte Schreibvorgängegeneriert dann den zweiten oder Änderungswiederholungsbefehl (diezweite Nachricht) als den Befehl (Parameter, Change), den Pfad,den Wert aus dem Bestätigungsdialogund der CRC fürdiese Daten enthaltend, und schickt diese Nachricht an den Steuerungs-Client 360.Die Prozesssteuerung 24, 26 empfängt den zweitenoder Änderungswiederholungsbefehlund vergleicht das zyklisch redundant überprüfte Datenelement aus diesemBefehl mit dem frühergespeicherten (das mit dem ersten Änderungsbefehl zusammenhängt). Sindsie gleich, werden die beiden Elemente (z.B. der ganze erste Änderungsbefehlmit CRC und die CRC aus dem zweiten Änderungsbefehl) in eine Änderungsanforderunggestellt, die an den geeigneten Logiklöser 50–56 geschickt werden soll.Im Ergebnis werden nur Änderungsanforderungen,die überprüft wurden,an den Sicherheitslogiklöser 50–56 geschickt,was die Möglichkeit,unerlaubte Änderungenund irgendeine Verfälschungzu machen noch mehr reduziert, weil Steuernetzkommunikationen, Arbeitsplatz-oder Steuerungsprobleme am Steuerungs-Client erfasst werden.
[0114] DerLogiklöser-Client 370 empfängt den Änderungsbefehlund überprüft, ob diebeiden CRCs übereinstimmen.Der Logiklöser-Client 370 nimmt danndie Änderungsdatenin der Nachricht und überprüft die CRCfür dieseDaten. Ist die CRC einwandfrei oder richtig, wird dann der Pfad überprüft, um sicherzustellen,dass die Nachricht an die richtige Stelle geschickt wurde. Dieserletzte Überprüfungsschritt stelltsicher, dass keine Verfälschungim Kommunikationspfad vom Rechner 24, 26 zu denSicherheitslogiklösern 50–56 stattgefundenhat. Wenn der Logiklöser-Client 370 feststellt,dass alle Prüfungeneinwandfrei sind, wird der Wert in den Parameter eingeschriebenund der Status des Schreibvorgangs an den Steuerungs-Client 360 zurückgemeldet,welcher wiederum dem Server 350 für gesicherte Schreibvorgänge eineBestätigungsnachrichtbereitstellen kann, die dem Benutzer angezeigt werden soll.
[0115] Indemdiese Prozedur verwendet wird, werden sowohl die ursprünglicheAnforderung als auch die bestätigteAnforderung von einem Menschen, der Steuerung und dem Sicherheitslogiklöser verglichen, wasdiese Prozedur sicherer macht als andere bekannte Lösungen,die nur einen Vergleich durch den Menschen vorsehen, ohne zwei Anforderungenzu verwenden. Andere Systeme nämlich,die Wiederholungsnachrichten erzeugen, tun dies typischerweise nurbei der Benutzeranwendung, indem sie den Benutzer mit einem Bestätigungsdialogauffordern, bevor der Änderungsbefehlvon der Benutzeroberflächenmaschinetatsächlichverschickt wurde. Diese Systeme schicken aber nur eine Nachrichtan das Sicherheitsgerät,in dem das Element geändertwerden soll. Im Ergebnis verhindern diese bekannten Verfahren keineVerfälschungwährendder Übertragung undstellen auch nicht sicher, dass die Nachricht am richtigen Bestimmungsortankommt (z.B., wenn das Bestimmungsfeld in der Nachricht verfälscht wird).
[0116] Obwohldie Schreibwiederholungsprozedur vorstehend als von einem Server 350 zueinem Steuerungs-Client 360 und dann zu einem Logiklöser-Client 370 ablaufendbeschrieben wurde, wird auch klar, dass die Prozedur mehr oder wenigerStufen umfassen könnte.Werden mehr Stufen verwendet, kann die dritte und nachfolgende Stufeam empfan genden Ende ähnlichwie der Logiklöser-Client 370 undam sendenden Ende ähnlichwie der Steuerungs-Client 360 bis zur letzten Stufe arbeiten.Werden weniger Stufen verwendet, sollte der Server 350 immernoch zwei Schreibbefehle verschicken, wenn der Client aber feststellt,dass sie gleich sind, kann er dann die Änderung implementieren. Darüber hinauswird klar, dass der Server 350 und die Clients 360 und 370 software-,hardware- und firmwaremäßig unterVerwendung irgendeines beliebigen Kommunikations- und Softwareprotokollsimplementiert werden können.
[0117] Wievorstehend festgestellt, könnenNachrichten von und an Sicherheitssystem- und Prozesssteuerungssystemgeräten durchdie Adresse oder das Identifizierungskennzeichen erfasst werden, die/dasmit dem Gerätzusammenhängt.Falls gewünscht,kann die Herkunftsadresse fürdie verschiedenen Sicherheitslogikgeräte aus Schienenbusnachrichtenabgeleitet werden und kann aus einer Rückwandplatinen-ID (BPID – backplaneID), die an jedem Knoten gleich aber innerhalb der Prozessanlageeinzigartig ist, und einer Schlitz-ID (SID – slot-ID) bestehen, die sichvon Knoten zu Knoten wiederholen kann, aber innerhalb eines Knotenseinzigartig ist. Auf diese Weise kann jedes Gerät eine eindeutige Adresse habenund somit als ein Sicherheitssystemgerät oder ein Prozesssteuerungssystemgerät unterscheidbarsein.
[0118] Obwohldas eingebettete Sicherheitssystem irgendeine/s von vielen möglichenNachrichtenstrukturen oder Kommunikationsprotokollen benutzen kann,könnenin einem Fall die folgenden Nachrichtenstrukturen benutzt werden.Insbesondere können Busnachrichtenim Allgemeinen drei grundlegende Teile umfassen, die einen Datenvorlaufumfassen, (z.B. 1 Byte), einen Daten- oder Nachrichtenteil (z.B. 129Bytes) und einen Datennachlauf (z.B. 1 Byte). Die Datenvorlauf-und Datennachlaufteile sind für eineHardwaresynchronisierung vorgesehen, während der Datenteil die tatsächlicheNachricht enthält, dieeine Bedeutung füreine bestimmte Adresse hat. Falls gewünscht, kann eine Hardwarebiteinfügung im Nachrichtenteilder Nachstruktur auf hoher Ebene erfolgen.
[0119] Allgemeinausgedrücktkann der Daten- oder Nachrichtenteil einer Nachricht in sieben Feldermit einer Gesamtlängevon bis zu einer maximal verfügbarenLänge für eine bestimmteAnwendung aufgeteilt werden. Beispielsweise kann es 138 verfügbare Bytesgeben (einschließlich11 Bytes der Protokollorganisation). Der Nachrichtenteil kann eine 2-Byte-Quellenadresse,eine 2-Byte-Bestimmungsadresse, ein 1-Byte-Typenfeld, ein 1-Byte-Gerätestatusfeld,ein 1-Byte-Längenfeld,ein 0- bis 128-Byte-Nachrichtenfeld und ein 4-Byte-CRC-Feld umfassen,welches zyklische Redundanzdaten bereitstellt. Beispielsweise enthält in einerVerwendungsweise fürdiese Felder das Quellenadressenfeld die Adresse des Sendegeräts. Dashochrangigere Byte enthältdie Rückwandplatinen-ID (BPID), also dieRückwandplatinenkennung,und das niedrigrangigere Byte enthält die Schlitz-ID (SID), alsodie Schlitzkennung. Beim Hochfahren erhält jeder Logiklöser über denSchienenbus seine komplette QUELLENADRESSE (SOURCE ADDRESS) vonder Steuerung. Der Rückwandplatinen-ID-Teil(BPID-Teil) der QUELLENADRESSE ist gleich wie das niedrigwertigsteOktett der ID-Adresse der Steuerung eingestellt. Der Schlitz-ID-Teil(SID-Teil) der QUELLENADRESSE wird von den Schienenbusnachrichtender Prozesssteuerung abgeleitet. Vorzugsweise kommuniziert (sendetoder empfängt)jeder Sicherheitslogiklösererst dann, wenn er eine vollständigeQUELLENADRESSE hat.
[0120] EinFeld BESTIMMUNGSADRESSE (DESTINATION ADDRESSS) kann die Adressedes Bestimmungsgerätsenthalten. Das hochrangigere Byte kann die BPID enthalten, und dasniedrigrangigere Byte kann die SID der Bestimmung enthalten. Das FeldART (TYPE) der Nachricht enthältInformation hinsichtlich der Art von Nachricht, die in diesem Nachrichtendatenfeldenthalten ist. Es kann eine Anzahl unterschiedlicher Nachrichtenfestgelegt werden. Das Feld GERÄTESTATUS(DEVICE STATUS) kann auf geeignete Weise aufgeteilt werden, um beispielsweiseden Diagnosestatus (der keinen Fehler oder einen Fehler anzeigt),den Umschaltstatus (der keinen Fortschritt oder einen Fortschrittanzeigt), die Steuerungsbetriebsart (die eine normale Betriebsrat odereine Entwicklungsbetriebsart anzeigt), den Sicherheitsauslösungsstatus(der nicht ausgelöstoder ausgelöstanzeigt), den Redundanzstatus (der nicht redundant oder redundantanzeigt), den Konfigurationsstatus (der nicht konfiguriert oderkonfiguriert anzeigt), die Steuerungsart (die vom Logiklöser bestimmtist und anzeigt, ob er in Bereitschaft oder aktiv ist), und dieBetriebsart anzeigt (der Betriebsartwert kommt über den Bus von der Steuerungund zeigt eine Entwicklungs- oder eine normale Betriebsart an).
[0121] EinFeld LÄNGE(LENGTH) kann die Länge inBytes des anstehenden Felds NACHRICHTENDATEN (MESSAGE DATA) enthaltenund ist nachrichtenabhängig.Ein Feld NACHRICHTENDATEN ist das Nutzdatenfeld der Nachricht, dieentsprechend der ART der Nachricht formatiert ist und eine von der NachrichtabhängigeLänge hat.Schließlichberechnet sich noch das Feld CRC oder Cyclic Redundancy Check/Codeaus den Feldern QUELLENADRESSE, ART, GERÄTESTATUS, LÄNGE und NACHRICHTENDATEN undist auch nachrichtenabhängig.
[0122] Allgemeinausgedrücktkann die Steuerung, um eine Nachricht über den Bus 22 (1) zu verschicken, Busnachrichtenim Abschnitt DATEN eines Ethernet IEEE 802.3 Protokollpakets einschließen, diezum Beispiel, einen 7-Byte-Datenvorlauf, einen 1-Byte-Bildstartbegrenzer,eine 6-Byte-Bestimmungsadresse, eine 6-Byte-Quellenadresse, ein 2-Byte Feld Art/Länge, ein46- bis 1500-Byte Datenfeld und ein 4-Byte-Bildprüffolgenfeldumfasst. Bekanntlich beginnt das Bild mit einem 7-Byte-Datenvorlaufaus abwechselnden Einsen und Nullen. Ist das Bild Manchester-codiert,gibt der Datenvorlauf den Empfangsstationen ein bekanntes Muster,an das sie sich anhängen.Der Bildstartbegrenzer folgt auf den Datenvorlauf und kündigt denBeginn des Bilds an. Die Bestimmungs- und Quellenadressen sind jeweilsallgemein irrelevant, weil die Empfänger in gemischter Betriebsartauf Empfang stehen.
[0123] DasEthernet-Feld ART/ das IEEE 802.3-Feld LÄNGE bedeutet das Protokoll,das im restlichen Bild verwendet wird, und das Feld LÄNGE legtdie Längedes Datenteils des Bildes fest. Damit Ethernet- und IEEE802.3-Bildergemeinsam auf demselben LAN vorkommen können, muss sich das Längenfelddes Bildes immer von irgendwelchen verwendeten Artenfeldern unterscheiden.Diese Tatsache schränktdie Längedes Datenteils des Bildes auf 1.500 Bytes und die gesamte Bildlänge auf1.518 Bytes ein. Fürdie Sicherheitslogiklöseranwendung wirddie Art Ethernet und die Längedes Datenfelds die Größe der Nachrichtensein. Das Datenfeld enthältdie Nachricht, die von einem Sicherheitslogiklöser oder einer Prozesssteuerungverschickt wird. Nachrichten, deren Datenlänge weniger als 46 Bytes beträgt, werdenaufgefüllt.Bekanntlich sind die 4 Bytes des Bildprüfabfolgefelds ein standardmäßiges 43-bit-CCITT-CRC-Polynom. Natürlich istdas nur eine Art von Nachrichtencodierung, die an Nachrichten vorgenommenwerden kann, die an und von Prozesssteuerungs- und Sicherheitssystemgeräte/n verschicktwerden können,wobei klar wird, dass irgendein anderes beliebiges Nachrichtenformatstatt dessen verwendet werden kann, das in der Lage ist, Prozesssteuerungssystem-von Sicherheitssystemgerätenunterscheiden zu können.
[0124] Während dievorliegende Erfindung mit Bezug auf spezielle Beispiele beschriebenwurde, die nur veranschaulichend für die Erfindung sein und sie nichteinschränkensollen, wird es fürden durchschnittlichen Fachmann offensichtlich sein, dass Änderungen,Hinzufügungenund Weglassungen an den offenbarten Ausführungsformen vorgenommen werdenkönnen,ohne dass dabei vom Aussagegehalt und Umfang der Erfindung abgewichenwürde.

权利要求:
Claims (67)
[1] Sicherungssystem zur Verwendung in einer Prozessanlagemit einem Prozesssteuerungssystem, das herstellungsbezogene Steuer-/Regelfunktionenim Hinblick auf die Prozessanlage durchführt, und einem Sicherheitssystem,das sicherheitsbezogene Steuer-/Regelfunktionen im Hinblick aufdie Prozessanlage durchführt,Folgendes umfassend: einen Computer mit einem Prozessor undeinem Speicher; eine Prozesssteuerung, die kommunikativ mitdem Computer verbunden und dazu ausgelegt ist, unter Verwendungeines Prozesssteuerungsfeldgeräts odermehrerer Prozesssteuerungsfeldgeräte Prozesssteuerungsfunktionalität durchzuführen; eineSicherheitssystemsteuerung, die kommunikativ mit dem Computer verbundenund dazu ausgelegt ist, unter Verwendung eines Sicherheitssystemfeldgeräts odermehrerer Sicherheitssystemfeldgeräte Sicherheitssystemfunktionalität durchzuführen; eineSicherungsdatenbank, die dazu ausgelegt ist, Zugriffsrechte zu speichern,die sich sowohl auf die Prozesssteuerungs- als auch die Sicherheitssystemfunktionalität beziehen; eineoder mehrere Benutzeranwendung/en, die im Speicher des Computersgespeichert und dazu ausgelegt ist/sind, auf dem Prozessor ausgeführt zu werden,um Prozesssteuerungssystemnachrichten an die Prozesssteuerung zu übermittelnbzw. von dieser zu empfangen, und um Sicherheitssystemnachrichtenan die Sicherheitssteuerung zu übermittelnbzw. von dieser zu empfangen; und eine integrierte Sicherungsanwendung,die im Speicher des Computers gespeichert und dazu ausgelegt ist,auf dem Prozessor ausgeführtzu werden, um die Sicherungsdatenbank zu verwenden, um es einem Benutzerder einen oder mehreren Benutzeranwendungen zu ermöglichen,auf sowohl die Prozesssteuerung als auch die Sicherheitssystemsteuerung über dieProzesssteuerungssystem- als auch die Sicherheitssystemnachrichtenbasierend auf den fürden Benutzer in der Sicherungsdatenbank gespeicherten Rechten zuzugreifen.
[2] Sicherungssystem nach Anspruch 1, wobei die SicherungsdatenbankZugriffsrechte füreinen oder mehrere Benutzer-Account/s speichert, wobei jeder Benutzer-AccountZugriffsrechte fürein gesonderte Benutzerentitätumfasst, und wobei der Benutzer der einen oder mehreren Benutzeranwendung/endie Benutzerentitätvon mindestens einem der einen oder der mehreren Benutzer-Account/s ist.
[3] Sicherungssystem nach Anspruch 2, wobei die Sicherungsdatenbankdazu ausgelegt ist, Zugriffsrechte zu speichern, die Zugriffsberechtigungenfür sowohldas Prozesssteuerungs- als auch das Sicherheitssystem basierendauf einer Kennung eines bestimmten Benutzer-Accounts festlegen.
[4] Sicherungssystem nach Anspruch 1, wobei die Sicherungsdatenbankdazu ausgelegt ist, Zugriffsrechte zu speichern, die Zugriffsberechtigungenfür sowohldas Prozesssteuerungs- als auch das Sicherheitssystem basierendauf einer Kennung des Computers festlegen, auf dem die eine odermehreren Benutzeranwendung/en ausgeführt wird/werden.
[5] Sicherungssystem nach Anspruch 1, wobei die SicherungsdatenbankZugriffsrechte füreinen oder mehrere Benutzer-Account/s speichert, wobei jeder Benutzer-AccountZugriffsrechte fürein gesonderte Benutzerentitätumfasst, wobei die Sicherungsdatenbank dazu ausgelegt ist, Zugriffsrechtezu speichern, die Zugriffsberechtigungen für sowohl das Prozesssteuerungs-als auch das Sicherheitssystem basierend auf einer Kennung einesbestimmten Benutzer-Accounts und basierend auf einer Kennung des Computersfestlegen, auf dem die eine oder mehreren Benutzeranwendung/en ausgeführt wird/werden.
[6] Sicherungssystem nach Anspruch 1, wobei mindestenseine der einen oder mehreren Benutzeranwendung/en eine Konfigurationsanwendungist, die sowohl eine Konfiguration der Prozesssteuerung als auchder Sicherheitssystemsteuerung ermöglicht.
[7] Sicherungssystem nach Anspruch 1, wobei mindestenseine der einen oder mehreren Benutzeranwendung/en eine Diagnoseanwendungist, die es einem Benutzer ermöglicht,eine Diagnose im Hinblick auf sowohl die Prozesssteuerung als auchdie Sicherheitssystemsteuerung durchzuführen.
[8] Sicherungssystem nach Anspruch 1, wobei mindestenseine der einen oder mehreren Benutzeranwendung/en eine Anzeigeanwendungist, die es einem Benutzer ermöglicht,Daten im Hinblick auf sowohl die Prozesssteuerung als auch die Sicherheitssystemsteuerungauf einer einzelnen Benutzeranzeige darzustellen.
[9] Sicherungssystem nach Anspruch 8, wobei mindestenseine der einen oder mehreren Benutzeranwendung/en eine Schreibanwendungist, die es einem Benutzer ermöglicht,Parameter im Prozesssteuerungs- und im Sicherheitssystem zu ändern.
[10] Sicherungssystem nach Anspruch 9, wobei die Sicherungsdatenbankeine Prozedurdatenbank umfasst, die eine Schreibprozedur, um einen Schreibvorgangin das Sicherheitssystem zu implementieren, speichert und wobeidie Sicherungsanwendung die Schreibprozedur automatisch implementiert,wenn die mindestens eine der einen oder mehreren Benutzeranwendungeneinen Schreibvorgang in das Sicherheitssystem implementiert.
[11] Sicherungssystem nach Anspruch 10, wobei die Schreibprozedureine Schreibwiederholungsbestätigungsprozedurist, die zwei Schreibbefehle schickt, um einen Schreibvorgang durchzuführen.
[12] Sicherungssystem nach Anspruch 1, wobei die Sicherungsdatenbankdazu ausgelegt ist, eine Mehrzahl von unterschiedlichen möglichenEbenen von Zugriffsrechten fürsowohl das Prozesssteuerungs- als auch das Sicherheitssystem zuspeichern, und wobei die Sicherungsdatenbank dazu ausgelegt ist,eine erste der möglichenEbenen von Zugriffsrechten füreinen bestimmten Benutzer fürdas Prozesssteuerungssystem und eine zweite und andere der möglichenEbenen von Zugriffsrechten fürden bestimmten Benutzer fürdas Sicherheitssystem zu speichern.
[13] Sicherungssystem nach Anspruch 1, wobei die Sicherungsdatenbankdazu ausgelegt ist, eine Mehrzahl von unterschiedlichen möglichenEbenen von Zugriffsrechten fürsowohl das Prozesssteuerungs- als auch das Sicherheitssystem zuspeichern, wobei eine erste der möglichen Ebenen von Zugriffsrechtenes einem Benutzer ermöglicht,Parameter aus dem Prozesssteuerungs- oder dem Sicherheitssystemauszulesen, und eine zweite der möglichen Ebenen von Zugriffsrechtenes einem Benutzer ermöglicht,Parameter in das Prozesssteuerungs- oder das Sicherheitssystem zuschreiben.
[14] Sicherungssystem nach Anspruch 1, wobei die Sicherungsdatenbankdazu ausgelegt ist, eine Mehrzahl von unterschiedlichen möglichen Ebenen vonZugriffsrechten fürsowohl das Prozesssteuerungs- als auch das Sicherheitssystem zuspeichern, wobei eine der möglichenEbenen von Zugriffsrechten es einem Benutzer ermöglicht, Logik zu erstellen, dieim Prozesssteuerungs- oder im Sicherheitssystem implementiert werdensoll.
[15] Sicherungssystem nach Anspruch 1, wobei die Sicherungsdatenbankdazu ausgelegt ist, eine Mehrzahl von unterschiedlichen möglichenEbenen von Zugriffsrechten fürsowohl das Prozesssteuerungs- als auch das Sicherheitssystem zuspeichern, wobei eine der möglichenEbenen von Zugriffsrechten es einem Benutzer ermöglicht, Logik, die im Prozesssteuerungs-oder im Sicherheitssystem implementiert werden soll, auf die Prozesssteuerungoder die Sicherheitssystemsteuerung herunterzuladen.
[16] Sicherungssystem nach Anspruch 1, wobei die Sicherungsdatenbankdazu ausgelegt ist, eine Mehrzahl von unterschiedlichen möglichenEbenen von Zugriffsrechten fürsowohl das Prozesssteuerungs- als auch das Sicherheitssystem zuspeichern, wobei eine der möglichenEbenen von Zugriffsrechten es einem Benutzer ermöglicht, Parameter in das Prozesssteuerungs-oder das Sicherheitssystem zu schreiben.
[17] Sicherungssystem nach Anspruch 1, wobei die Sicherungsdatenbankdazu ausgelegt ist, eine Mehrzahl von unterschiedlichen möglichenEbenen von Zugriffsrechten fürsowohl das Prozesssteuerungs- als auch das Sicherheitssystem zuspeichern, wobei eine der möglichenEbenen von Zugriffsrechten es einem Benutzer ermöglicht, ein Gerät innerhalbdes Prozesssteuerungssystems oder ein Gerät innerhalb des Sicherheitssystemszu kalibrieren.
[18] Sicherungssystem nach Anspruch 1, wobei die Sicherungsdatenbankdazu ausgelegt ist, Zugriffsrechte für jeden von einer Mehrzahlvon unterschiedlichen Benutzern zu speichern, wobei ein Zugriffsrechtfür einenbestimmten Benutzer ein erstes Zugriffsrecht für das Prozesssteuerungssystemund ein zweites Zugriffsrecht fürdas Sicherheitssystem festlegt.
[19] Sicherungssystem nach Anspruch 1, wobei die mindestenseine der einen oder mehreren Benutzeranwendungen dazu ausgelegtist, einem Benutzer eine Anzeige mit einer ersten Gruppe von Feldern, diesich auf das Prozesssteuerungssystem beziehen, und einer zweitenGruppe von Feldern, die sich auf das Sicherheitssystem beziehen,zu zeigen und wobei die Sicherungsanwendung basierend auf einer Kennungeines Felds der Anzeige erfasst, ob eine Operation am Prozesssteuerungs-oder am Sicherheitssystem vorgenommen wird.
[20] Sicherungssystem nach Anspruch 1, wobei die mindestenseine der einen oder mehreren Benutzeranwendungen dazu ausgelegtist, einem Benutzer eine Anzeige mit einer ersten Gruppe von Feldern, diesich auf das Prozesssteuerungssystem beziehen, und einer zweitenGruppe von Feldern, die sich auf das Sicherheitssystem beziehen,zu zeigen, wobei jedes Feld in der ersten und der zweiten Gruppevon Feldern ein zugeordnetes Kennzeichen hat und wobei die Sicherungsanwendungbasierend auf dem Kennzeichen, das einem Feld der Anzeige zugeordnetist, erfasst, ob eine Operation am Prozesssteuerungs- oder am Sicherheitssystemvorgenommen wird.
[21] Sicherungssystem nach Anspruch 20, wobei jedes Kennzeicheneinen Pfad umfasst, der festlegt, ob ein zugeordnetes der Feldereiner Prozesssteuerungssystem- oder einer Sicherheitssystemeinheit zugeordnetist.
[22] Sicherungssystem nach Anspruch 1, wobei die Sicherungsanwendungerfasst, ob eine Operation innerhalb einer von der einen oder denmehreren Benutzeranwendungen an einer Prozesssteuerungssystem- oderan einer Sicherheitssystemeinheit vorgenommen wird und Zugriffsrechte,wie sie in der Sicherungsdatenbank gespeichert sind, basierend daraufanwendet, ob die Operation an einer Prozesssteuerungssystem- oderan einer Sicherheitssystemeinheit vorgenommen wird.
[23] Sicherungssystem nach Anspruch 1, wobei die Sicherungsanwendungeine Sicherungsprozedur speichert, die basierend darauf implementiertwerden soll, ob eine Operation an einer Sicherheitssystemeinheitvorgenommen wird oder nicht, und wobei die Sicherungsanwendung dieSicherungsprozedur implementiert, wenn die Operation an einer Sicherheitssystemeinheitvorgenommen wird.
[24] Sicherungssystem zur Verwendung in einer Prozessanlagemit einem Prozesssteuerungssystem, das herstellungsbezogene Steuer-/Regelfunktionenunter Verwendung eines Prozesssteuerungsfeldgeräts oder mehrerer Prozesssteuerungsfeldgeräte durchführt, undeinem Sicherheitssystem, das sicherheitsbezogene Steuer-/Regelfunktionenunter Verwendung eines Sicherheitsfeldgeräts oder mehrerer Sicherheitsfeldgeräte durchführt, wobeidas Sicherungssystem umfasst: einen Computer mit einem Prozessorund einem Speicher; eine Prozesssteuerung, die kommunikativmit dem Computer verbunden und dazu ausgelegt ist, unter Verwendungdes einen Prozesssteuerungsfeldgeräts oder der mehreren Prozesssteuerungsfeldgeräte Prozesssteuerungssystemfunktionalität durchzuführen; eineSicherheitssystemsteuerung, die kommunikativ mit dem Computer verbundenund dazu ausgelegt ist, unter Verwendung des einen Sicherheitssystemfeldgeräts oderder mehreren Sicherheitssystemfeldgeräte Sicherheitssystemfunktionalität durchzuführen; eineSicherungsdatenbank, die dazu ausgelegt ist, Zugriffsrechte zu speichern,die sich sowohl auf die Prozesssteuerungs- als auch die Sicherheitssystemfunktionalität beziehen; eineoder mehrere Benutzeranwendung/en, die im Speicher des Computersgespeichert und dazu ausgelegt ist/sind, auf dem Prozessor ausgeführt zu werden,um unter Verwendung eines gemeinsamen Kommunikationsformats Prozesssteuerungssystemnachrichtenan die Prozesssteuerung zu übermitteln bzw.von dieser zu erhalten, und Sicherheitssystemnachrichten an dieSicherheitssystemsteuerung zu übermittelnbzw. von dieser zu erhalten, wobei jede Nachricht ein Datenfeldhat, das anzeigt, ob die Nachricht mit einer Prozesssteuerungssystem-oder einer Sicherheitssystementität zusammenhängt; und eine integrierteSicherungsanwendung, die im Speicher gespeichert und dazu ausgelegtist, auf dem Prozessor ausgeführtzu werden, um zu unterscheiden, ob sich eine Operation, die voneiner der einen oder mehreren Benutzeranwendung/en implementiertwerden soll, auf eine Prozesssteuerungssystem- oder eine Sicherheitssystementität bezieht,und die Sicherungsdatenbank zu verwenden, um es einem Benutzer dereinen der einen oder mehreren Benutzeranwendung/en zu ermöglichen,basierend auf den fürden Benutzer in der Sicherungsdatenbank gespeicherten Rechten dieOperation durchzuführen.
[25] Sicherungssystem nach Anspruch 24, wobei die SicherungsdatenbankZugriffsrechte füreinen oder mehrere Benutzer-Account/s speichert, wobei jeder Benutzer-AccountZugriffsrechte füreine gesonderte Benutzerentitätumfasst, und wobei der Benutzer der einen oder mehreren Benutzeranwendung/endie Benutzerentitätvon mindestens einer der einen oder der mehreren Benutzer-Account/s ist.
[26] Sicherungssystem nach Anspruch 24, wobei das Datenfeldjeder Nachricht, das angibt, ob die Nachricht einer Prozesssteuerungssystem-oder einer Sicherheitssystementität zugeordnet ist, ein Adressfeldist.
[27] Sicherungssystem nach Anspruch 24, wobei das Datenfeldjeder Nachricht, das angibt, ob die Nachricht einer Prozesssteuerungssystem-oder einer Sicherheitssystementität zugeordnet ist, ein Kennzeichenist, das einen Kommunikationspfad angibt.
[28] Sicherungssystem nach Anspruch 24, wobei die Sicherungsanwendungunterscheidet, ob sich eine Operation, die durch die eine der einenoder mehreren Benutzeranwendung/en implementiert werden soll, aufeine Prozesssteuerungssystem- oder eine Sicherheitssystementität bezieht,und zwar basierend auf dem Datenfeld in einer der Operation zugeordnetenNachricht.
[29] Sicherungssystem nach Anspruch 24, wobei die Sicherungsdatenbankdazu ausgelegt ist, Zugriffsrechte zu speichern, die Zugriffsberechtigungen für sowohldie Prozesssteuerungssystemals auch die Sicherheitssystementitäten basierendauf einer Kennung eines bestimmten Benutzers festlegen.
[30] Sicherungssystem nach Anspruch 29, wobei die SicherungsdatenbankZugriffsrechte füreinen oder mehrere Benutzer-Account/s speichert, wobei jeder Benutzer-AccountZugriffsrechte füreine gesonderte Benutzerentitätumfasst und die Kennung des bestimmten Benutzers als die Benutzerentität von mindestenseinem der einen oder der mehreren Benutzer-Accounts bestimmt wird.
[31] Sicherungssystem nach Anspruch 24, wobei die Sicherungsdatenbankdazu ausgelegt ist, Zugriffsrechte zu speichern, die Zugriffsberechtigungen für sowohldie Prozesssteuerungssystemals auch die Sicherheitssystementitäten basierendauf einer Kennung des Computers festlegen, auf dem die eine der einenoder der mehreren Benutzeranwendung/en ausgeführt werden.
[32] Sicherungssystem nach Anspruch 24, wobei die Sicherungsdatenbankdazu ausgelegt ist, Zugriffsrechte zu speichern, die Zugriffsberechtigungen für sowohldie Prozesssteuerungssystemals auch die Sicherheitssystementitäten basierendauf einer Kennung eines bestimmten Benutzers und basierend auf einer Kennungdes Computers festlegen, auf dem die eine der einen oder mehrerenBenutzeranwendung/en ausgeführtwerden.
[33] Sicherungssystem nach Anspruch 24, wobei eine dereinen oder der mehreren Benutzeranwendung/en eine Konfigurationsanwendungist, die sowohl eine Konfiguration der Prozesssteuerungssystem-als auch der Sicherheitssystementitäten ermöglicht.
[34] Sicherungssystem nach Anspruch 24, wobei eine dereinen oder der mehreren Benutzeranwendung/en eine Diagnoseanwendungist, die es einem Benutzer ermöglicht,eine Diagnose im Hinblick auf sowohl die Prozesssteuerungssystem-als auch die Sicherheitssystementitäten durchzuführen.
[35] Sicherungssystem nach Anspruch 24, wobei eine dereinen oder der mehreren Benutzeranwendungen eine Schreibanwendungist, die es einem Benutzer ermöglicht,Parameter in den Prozesssteuerungssystem- und den Sicherheitssystementitäten zu verändern.
[36] Sicherungssystem nach Anspruch 24, wobei die Sicherungsdatenbankeine Prozedurdatenbank umfasst, die eine Schreibprozedur speichert,um einen Schreibvorgang in eine der Prozesssteuerungssystem- undder Sicherheitssystementitätenzu implementieren, und wobei die Sicherungsanwendung die Schreibprozedurautomatisch implementiert, wenn die eine der einen oder der mehrerenBenutzeranwendungen einen Schreibvorgang in die eine der Prozesssteuerungssystem-und der Sicherheitssystementitätenimplementiert.
[37] Sicherungssystem nach Anspruch 36, wobei die Schreibprozedureine Schreibwiederholungsbestätigungsprozedurist, die zwei Schreibbefehle schickt.
[38] Sicherungssystem nach Anspruch 24, wobei die SicherungsdatenbankZugriffsrechte füreinen oder mehrere Benutzer-Account/s speichert, wobei jeder Benutzer-AccountZugriffsrechte füreine gesonderte Benutzerentitätumfasst, wobei die Sicherungsdatenbank auch dazu ausgelegt ist,eine Mehrzahl von unterschiedlichen möglichen Ebenen von Zugriffsrechtenim Hinblick auf sowohl das Prozesssteuerungs- als auch das Sicherheitssystemzu speichern, und wobei die Sicherungsdatenbank dazu ausgelegt ist,eine erste der möglichenEbenen von Zugriffsrechten füreinen bestimmten Benutzer-Account für das Prozesssteuerungssystem,und eine zweite und andere der möglichenEbenen von Zugriffsrechten fürden bestimmten Benutzer-Account für das Sicherheitssystem zuspeichern.
[39] Sicherungssystem nach Anspruch 24, wobei die SicherungsdatenbankZugriffsrechte füreinen oder mehrere Benutzer-Account/s speichert, wobei jeder Benutzer-AccountZugriffsrechte füreine gesonderte Benutzerentitätumfasst, und wobei die Sicherungsdatenbank auch dazu ausgelegt ist,eine Mehrzahl von unterschiedlichen möglichen Ebenen von Zugriffsrechtenim Hinblick auf sowohl das Prozesssteuerungs- als auch das Sicherheitssystemzu speichern, wobei eine erste der möglichen Ebenen von Zugriffsrechtenes einem Benutzer-Account ermöglicht,Parameter vom Prozesssteuerungs- oder vom Sicherheitssystem auszulesen,und eine zweite der möglichenEbenen von Zugriffsrechten es einem Benutzer-Account ermöglicht,Parameter in das Prozesssteuerungs- oder das Sicherheitssystem zu schreiben.
[40] Sicherungssystem nach Anspruch 39, wobei eine dritteder möglichenEbenen von Zugriffsrechten es einem Benutzer-Account ermöglicht,Logik zu erstellen, die im Prozesssteuerungs- oder im Sicherheitssystemimplementiert werden soll.
[41] Sicherungssystem nach Anspruch 40, wobei eine vierteder möglichenEbenen von Zugriffsrechten es einem Benutzer-Account ermöglicht,Logik, die im Prozesssteuerungs- oder im Sicherheits system implementiertwerden soll, auf die Prozesssteuerung oder die Sicherheitssystemsteuerungherunterzuladen.
[42] Sicherungssystem nach Anspruch 40, wobei eine fünfte dermöglichenEbenen von Zugriffsrechten es einem Benutzer-Account ermöglicht,eine Kalibrationsprozedur durchzuführen, die im Prozesssteuerungs-oder im Sicherheitssystem implementiert werden soll.
[43] Sicherungssystem nach Anspruch 24, wobei die Sicherungsdatenbankdazu ausgelegt ist, Zugriffsrechte für jeden von einer Mehrzahlunterschiedlicher Benutzer zu speichern, wobei die Zugriffsrechtefür einenbestimmten Benutzer ein erstes Zugriffsrecht für das Prozesssteuerungssystemund ein zweites Zugriffsrecht fürdas Sicherheitssystem festlegen.
[44] Sicherungssystem zur Verwendung in einer Prozessanlagemit einem Prozesssteuerungssystem mit einer Prozesssteuerung, diedazu ausgelegt ist, eine herstellungsbezogene Steuer-/Regelfunktionalität unterVerwendung eines Prozesssteuerungsfeldgeräts oder mehrerer Prozesssteuerungsfeldgeräte durchzuführen, einemSicherheitssystem mit einer Sicherheitssystemsteuerung, die dazuausgelegt ist, sicherheitsbezogene Steuer-/Regelfunktionalität unterVerwendung eines Sicherheitsfeldgeräts oder mehrerer Sicherheitsfeldgeräte durchzuführen, und einemHost-Computer mit einem Prozessor, der kommunikativ mit der Prozesssteuerungund der Sicherheitssystemsteuerung verbunden ist, und einer oder mehrerenBenutzeranwendung/en, die auf dem Prozessor ausgeführt wird/werden,um Prozesssteuerungssystemnachrichten an die Prozesssteuerung zu übermittelnbzw. von dieser zu erhalten, und um Sicherheitssystemnachrichtenan die Sicherheitssteuerung zu übermittelnoder von dieser zu erhalten, wobei das Sicherungssystem umfasst: einenSpeicher; eine Sicherungsdatenbank, die dazu ausgelegt ist, Zugriffsrechtezu speichern, die sich sowohl auf das Prozesssteuerungs- als auchdas Sicherheitssystem beziehen; und eine Sicherungsanwendung,die im Speicher gespeichert und dazu ausgelegt ist, auf dem Prozessorausgeführtzu werden, um es einer oder mehreren Benutzeranwendung/en zu ermöglichen,basierend auf den in der Sicherungsdatenbank gespeicherten Zugriffsrechtenauf das Prozesssteuerungs- und das Sicherheitssystem über dieProzesssteuerungs- und die Sicherheitssystemnachrichten zuzugreifen.
[45] Sicherungssystem nach Anspruch 44, wobei die SicherungsdatenbankZugriffsrechte füreinen oder mehrere Benutzer-Account/s speichert, wobei jeder Benutzer-AccountZugriffsrechte füreine gesonderte Benutzerentitätumfasst.
[46] Sicherungssystem nach Anspruch 44, wobei die Sicherungsdatenbankdazu ausgelegt ist, Zugriffsrechte zu speichern, die Zugriffsberechtigungen für sowohldas Prozesssteuerungs- als auch das Sicherheitssystem basierendauf einer Kennung eines bestimmten Benutzers festlegen.
[47] Sicherungssystem nach Anspruch 44, wobei die Sicherungsdatenbankdazu ausgelegt ist, Zugriffsrechte zu speichern, die Zugriffsberechtigungen für sowohldas Prozesssteuerungs- als auch das Sicherheitssystem basierendauf einer Kennung des Computers festlegen, auf dem die eine odermehreren Benutzeranwendung/en ausgeführt wird/werden.
[48] Sicherungssystem nach Anspruch 44, wobei die Sicherungsdatenbankeine Prozedurdatenbank umfasst, die eine Schreibprozedur, um einen Schreibvorgangin das Prozesssteuerungs- und/oder das Sicherheitssystem zu implementieren,speichert, und wobei die Sicherungsanwendung die Schreibprozedurautomatisch implementiert, wenn die eine oder die mehreren Benutzeranwendung/eneinen Schreibvorgang in das Prozesssteuerungs- oder das Sicherheitssystemimplementiert/implementieren.
[49] Sicherungssystem nach Anspruch 48, wobei die Schreibprozedureine Schreibwiederholungsbestätigungsprozedurist, die zwei Schreibbefehle erzeugt.
[50] Sicherungssystem nach Anspruch 44, wobei die Sicherungsdatenbankdazu ausgelegt ist, eine Mehrzahl von unterschiedlichen möglichenEbenen von Zugriffsrechten fürsowohl das Prozesssteuerungs- als auch das Sicherheitssystem zuspeichern, und wobei die Sicherungsdatenbank dazu ausgelegt ist,eine erste der möglichenEbenen von Zugriffsrechten füreinen bestimmten Benutzer fürdas Prozesssteuerungssystem, und eine zweite und andere der möglichenEbenen von Zugriffsrechten fürden bestimmten Benutzer fürdas Sicherheitssystem zu speichern.
[51] Sicherungssystem nach Anspruch 44, wobei die Sicherungsdatenbankdazu ausgelegt ist, eine Mehrzahl von unterschiedlichen möglichenEbenen von Zugriffsrechten fürsowohl das Prozesssteuerungs- als auch das Sicherheitssystem zuspeichern, wobei eine erste der möglichen Ebenen von Zugriffsrechtenes einem Benutzer ermöglicht,Parameter vom Prozesssteuerungs- odervom Sicherheitssystem zu lesen, und eine zweite der möglichenEbenen von Zugriffsrechten es einem Benutzer ermöglicht, Parameter in das Prozesssteuerungs-oder das Sicherheitssystem zu schreiben.
[52] Sicherungssystem nach Anspruch 44, wobei die Sicherungsdatenbankdazu ausgelegt ist, Zugriffsrechte für jeden von einer Mehrzahlunterschiedlicher Benutzer-Accounts zu speichern, wobei die Zugriffsrechtefür jedeneinzelnen Benutzer-Account ein erstes Zugriffsrecht für das Prozesssteuerungssystemund ein zweites Zugriffsrecht fürdas Sicherheitssystem festlegen.
[53] Sicherungssystem nach Anspruch 44, wobei die Sicherungsanwendungdazu ausgelegt ist, zu erfassen, ob eine Operation in der einenoder den mehreren Benutzeranwendung/en an einer Prozesssteuerungssystem-oder einer Sicherheitssystemeinheit vorgenommen wird, und Zugriffsrechte,wie sie in der Sicherungsdatenbank gespeichert sind, basierend daraufanzuwenden, ob die Operation an einer Prozesssteuerungssystem- odereiner Sicherheitssystemeinheit vorgenommen wird.
[54] Verfahren zum Durchführen von Sicherungsprozedurenin einer Prozessanlage mit einem Prozesssteuerungssystem mit einerProzesssteuerung, die dazu ausgelegt ist, eine herstellungsbezogene Steuer-/Regelfunktionalität unterVerwendung eines Prozesssteuerungsfeldgeräts oder mehrerer Prozesssteuerungsfeldgeräte durchzuführen, undeinem Sicherheitssystem mit einer Sicherheitssystemsteuerung, diedazu ausgelegt ist, sicherheitsbezogene Steuer-/Regelfunktionalität unterVerwendung eines Sicherheitsfeldgeräts oder mehrerer Sicherheitsfeldgeräte durchzuführen, wobeidas Verfahren umfasst: Zugriffsrechte, die sich sowohl aufdas Prozesssteuerungs- als auch das Sicherheitssystem beziehen,in einer Sicherungsdatenbank zu speichern; zu erfassen, obsich eine im Hinblick auf die Prozessanlage zu ergreifende Maßnahme aufdas Prozesssteuerungs- oder das Sicherheitssystem bezieht; einengeeigneten Satz von Zugriffsrechten aus der Sicherungsdatenbankbasierend darauf zu bestimmen, ob die zu ergreifende Maßnahme sichauf das Prozesssteuerungs- oder das Sicherheitssystem bezieht; und diezu ergreifende Maßnahmebasierend auf dem geeigneten Satz von Zugriffsrechten zu verhindernoder zuzulassen.
[55] Verfahren nach Anspruch 54 zum Durchführen vonSicherungsprozeduren in einer Prozessanlage, wobei das Speichernvon Zugriffsrechten in der Sicherungsdatenbank umfasst, Zugriffsrechte zu speichern,die Zugriffsberechtigungen fürsowohl das Prozesssteuerungs- als auch das Sicherheitssystem basierendauf einer Kennung einer bestimmten Benutzerentität festlegen, die die zu ergreifendeMaßnahmeeinleitet.
[56] Verfahren nach Anspruch 54 zum Durchführen vonSicherungsprozeduren in einer Prozessanlage, wobei das Speichernvon Zugriffsrechten in der Sicherungsdatenbank umfasst, Zugriffsrechtezu speichern, die Zugriffsberechtigungen für sowohl das Prozesssteuerungs-als auch das Sicherheitssystem basierend auf einer Kennung einesComputers festlegen, der die zu ergreifende Maßnahme anstößt.
[57] Verfahren nach Anspruch 54 zum Durchführen vonSicherungsprozeduren in einer Prozessanlage, wobei das Speichernvon Zugriffsrechten in der Sicherungsdatenbank umfasst, Zugriffsrechtezu speichern, die Zugriffsberechtigungen für sowohl das Prozesssteuerungs-als auch das Sicherheitssystem basierend auf einer Kennung einerbestimmten Benutzerentität,die die zu ergreifende Maßnahmeeinleitet, und einer Kennung eines Computers, der die zu ergreifendeMaßnahmeanstößt, festlegen.
[58] Verfahren nach Anspruch 54 zum Durchführen vonSicherungsprozeduren in einer Prozessanlage, wobei das Speichernvon Zugriffsrechten umfasst, eine Sicherungsprozedur zur Implementierung imHinblick auf das Prozesssteuerungs- oder das Sicherheitssystem zuspeichern, und darüberhinaus umfasst, die Sicherungsprozedur automatisch zu implementieren,wenn der geeignete Satz von Zugriffsrechten es zulässt, dassdie Maßnahmeergriffen werden kann.
[59] Verfahren nach Anspruch 58 zum Durchführen vonSicherungsprozeduren in einer Prozessanlage, wobei die Sicherungsprozedureine Schreibwiederholungsbestätigungsprozedurist und wobei das automatische Implementieren der Sicherungsprozedurumfasst, die Schreibwiederholungsbestätigungsprozedur durchzuführen, wenndie zu ergreifende Maßnahmeein Schreibvorgang in das Prozesssteuerungs- oder das Sicherheitssystemist.
[60] Verfahren nach Anspruch 54 zum Durchführen vonSicherungsprozeduren in einer Prozessanlage, wobei das Speichernvon Zugriffsrechten in der Sicherungsdatenbank umfasst, eine Mehrzahlvon unterschiedlichen möglichenEbenen von Zugriffsrechten fürsowohl das Prozessteuerungs- als auch das Sicherheitssystem festzulegen,und umfasst, eine erste der möglichenEbenen von Zugriffsrechten füreine bestimmte Benutzerentitätfür dasProzesssteuerungssystem, und eine zweite und andere der möglichenEbenen von Zugriffsrechten fürdie bestimmte Benutzerentitätfür dasSicherheitssystem zu speichern.
[61] Verfahren nach Anspruch 54 zum Durchführen vonSicherungsprozeduren in einer Prozessanlage, wobei das Speichernvon Zugriffsrechten in der Sicherungsdatenbank umfasst, eine Mehrzahlvon unterschiedlichen möglichenEbenen von Zugriffsrechten fürsowohl das Prozessteuerungs- als auch das Sicherheitssystem festzulegen,wobei eine erste der möglichenEbenen von Zugriffsrechten es einer Benutzerentität ermöglicht,Parameter aus dem Prozesssteuerungs- oder dem Sicherheitssystemzu lesen, und eine zweite der möglichenEbenen von Zugriffsrechten es einer Benutzerentität ermöglicht,Parameter in das Prozesssteuerungs- oder das Sicherheitssystem zu schreiben.
[62] Verfahren nach Anspruch 61 zum Durchführen vonSicherungsprozeduren in einer Prozessanlage, wobei eine dritte dermöglichenEbenen von Zugriffsrechten es einer Benutzerentität ermöglicht,Logik zu erstellen, die im Prozesssteuerungs- oder im Sicherheitssystemimplementiert werden soll.
[63] Verfahren nach Anspruch 61 zum Durchführen vonSicherungsprozeduren in einer Prozessanlage, wobei eine dritte dermöglichen Ebenenvon Zugriffsrechten es einer Benutzerentität ermöglicht, Logik herunterzuladen,die im Prozesssteuerungs- oder im Sicherheitssystem implementiertwerden soll.
[64] Verfahren nach Anspruch 61 zum Durchführen vonSicherungsprozeduren in einer Prozessanlage, wobei eine dritte dermöglichenEbenen von Zugriffsrechten es einer Benutzerentität ermöglicht, eineKalibrierungsprozedur im Prozesssteuerungs- oder im Sicherheitssystemdurchzuführen.
[65] Verfahren nach Anspruch 54 zum Durchführen vonSicherungsprozeduren in einer Prozessanlage, wobei das Speichernvon Zugriffsrechten in der Sicherungsdatenbank umfasst, Zugriffsrechtefür einebestimmte Benutzerentitätzu speichern, die ein erstes Zugriffsrecht für das Prozesssteuerungssystemund ein zweites Zugriffsrecht fürdas Sicherheitssystem festlegen.
[66] Verfahren nach Anspruch 54 zum Durchführen vonSicherungsprozeduren in einer Prozessanlage, wobei das Erfassen,ob eine im Hinblick auf die Prozessanlage zu ergreifende Maßnahme sichauf das Prozesssteuerungs- oder das Sicherheitssystem bezieht, umfasst,zu bestimmen, ob ein Feld in einer Nachricht, die der zu ergreifendenMaßnahmezugeordnet ist, ein Prozesssteuerungssystem- oder ein Sicherheitssystemgerät kennzeichnet.
[67] Verfahren nach Anspruch 54 zum Durchführen vonSicherungsprozeduren in einer Prozessanlage, wobei das Erfassen,ob eine im Hinblick auf die Prozessanlage zu ergreifende Maßnahme sichauf das Prozesssteuerungs- oder das Sicherheitssystem bezieht, umfasst,zu bestimmen, ob ein Feld in einer Benutzeranzeige, von der ausdie Maßnahmeangestoßenwird, einem Prozesssteuerungssystem- oder einem Sicherheitssystemparameterzugeordnet ist.

类似技术:

---

公开号 | 公开日 | 专利标题

---

US20200326801A1|2020-10-15|Method and apparatus for controlling a process plant with location aware mobile devices

---

US10097585B2|2018-10-09|Model-based security policy configuration and enforcement in an industrial automation system

---

JP2015222597A|2015-12-10|プロセス制御システムのための一体型統合脅威管理

---

EP2927854A1|2015-10-07|Industriell befähigtes mobiles gerät

---

CN103336473B|2016-11-09|一种用于保护一过程控制设备的方法

---

JP2018530841A|2018-10-18|プロセス制御ループのための自動ループ試験

---

GB2557726A|2018-06-27|Apparatus and methods for communicatively coupling field devices to controllers in a process control system using a distributed marshaling architecture

---

EP1395884B1|2006-04-05|Verbesserter hart-gerätealarm in einem prozesssteuerungssystem

---

JP3499161B2|2004-02-23|プロセス制御ネットワークで使用するためのシャドウ機能ブロックインターフェイス

---

CN104903884B|2018-02-27|现场设备配置方法、现场设备配置验证方法及资产管理系统

---

CN100507785C|2009-07-01|热电厂维护服务提供方法

---

US6098116A|2000-08-01|Process control system including a method and apparatus for automatically sensing the connection of devices to a network

---

US7246193B2|2007-07-17|Interface module for use with a Modbus device network and a Fieldbus device network

---

US6795799B2|2004-09-21|Remote diagnosis server

---

JP6194252B2|2017-09-06|プロセス制御システム

---

DE10154534B4|2017-04-13|Integrierte Alarmanzeige in einem Prozeßsteuerungsnetzwerk

---

US7246194B2|2007-07-17|Interface module for use with a fieldbus device network and with internet and non-internet based process control networks

---

US7835295B2|2010-11-16|Interface module with power over Ethernet function

---

US6618630B1|2003-09-09|User interface that integrates a process control configuration system and a field device management system

---

CN1497442B|2010-04-28|仿真创建系统及其方法

---

US5995916A|1999-11-30|Process control system for monitoring and displaying diagnostic information of multiple distributed devices

---

JP5147741B2|2013-02-20|プロセス制御システム内のアラーム処理方法、及びプロセス制御ネットワーク内のアラーム処理システム

---

JP5571302B2|2014-08-13|バッチ処理を実行する方法及びバッチ処理を制御するシステム

---

CN104536696B|2018-07-31|用于安全装备式过程控制系统的安全数据写入装置和方法

---

US7275062B2|2007-09-25|Automatic linkage of process event data to a data historian

同族专利:

---

公开号 | 公开日

---

US7237109B2|2007-06-26|

---

GB2399192B|2006-08-16|

---

JP4499436B2|2010-07-07|

---

GB2399192A|2004-09-08|

---

US20040148513A1|2004-07-29|

---

GB0401718D0|2004-02-25|

---

HK1064469A1|2005-01-28|

---

CN1550942A|2004-12-01|

---

CN100407080C|2008-07-30|

---

JP2004234657A|2004-08-19|

引用文献:

---

公开号 | 申请日 | 公开日 | 申请人 | 专利标题

---

法律状态:
2008-06-26| 8110| Request for examination paragraph 44|

---

2014-05-12| R016| Response to examination communication|

优先权:

---

申请号 | 申请日 | 专利标题

---