Funktionsblock-Implementierung einer Ursache- und Wirkung-Matrix zum Gebrauch in einem Prozesssicher

专利摘要:
EinUrsache-und-Wirkung-Funktionsblock, der leicht in eine Funktionsblockdiagramm-Programmierungsumgebungin dem Sicherheitssystem einer Prozeßanlage integrierbar ist, umdie durch eine traditionelle Ursache-und-Wirkung-Matrix bezeichneteUrsache-und-Wirkung-Logik zu implementieren, weist einen Satz vonUrsache-Eingängenund einen Satz von Wirkungs-Ausgängenauf. Ein Multiplexer in dem Ursache-und-Wirkung-Funktionsblock empfängt jedenvon den Ursache-Eingängenund ist mit einer oder mehreren Zustandsmaschinen gekoppelt, wobeifür jedenWirkungs-Ausgang eine separate Zustandsmaschine existiert. Der Multiplexerdocodiert jeden der Ursache-Eingängeund liefert auf der Basis der Ursache-Eingänge und der vorher identifiziertenUrsache-und-Wirkung-Matrixlogik ein Auslösesignal an eine oder mehrereder Zustandsmaschinen. Bei Empfang eines Auslösesignals zwingt eine Zustandsmaschineeinen zugeordneten Wirkungs-Ausgang in einen ausgelösten odersicheren Zustand. Falls gewünscht,kann die Zustandsmaschine dann eines oder mehrere andere Signalewie etwa Signale von einem Anwender oder von dem Prozeß für den Übergangzwischen einem Satz von verschiedenen Zuständen nutzen, die dazu dienen,die Prozeßanlageaus dem ausgelöstenbzw. sicheren Zustand sicher in den Normalbetriebszustand zurückzubringen.
公开号:DE102004014747A1
申请号:DE200410014747
申请日:2004-03-25
公开日:2004-11-18
发明作者:Robert Elgin Havekost；Gary Georgetown Law；Julian Cedar Park Naidoo；Michael G. Austin Ott；Godfrey R. Austin Sherriff；Dennis Round Rock Stevenson
申请人:Fisher Rosemount Systems Inc；
IPC主号:G05B9-02

专利说明:
[0001] Dievorliegende Erfindung betrifft allgemein Sicherheitssysteme, diein Prozeßanlagenverwendet werden, und speziell eine Funktionsblock-Implementierungeiner Ursache- und-Wirkung-Matrix,die zur Steuerung des Betriebs eines in einer Prozeßanlageverwendeten Sicherheitssystems dient.
[0002] Prozeßsteuerungssysteme,wie sie etwa in chemischen Prozessen, in der Erdölindustrie oder anderen Prozessenverwendet werden, weisen charakteristisch eine oder mehrere Prozeßsteuereinheitenauf, die kommunikativ mit mindestens einem Hauptrechner oder einerBediener-Workstation und mit einem oder mehreren Feldgeräten über analoge, digitaleoder kombinierte Analog-/Digital-Busse oder -Leitungen gekoppeltsind. Die Feldgeräte,die beispielsweise Ventile, Ventilpositionierer, Schalter und Geber(z. B. Temperatur-, Druck- und Durchflußmengensensoren) sein können, führen innerhalbder ProzeßanlageFunktionen aus wie etwa das Öffnenoder Schließenvon Ventilen und das Messen von Prozeßparametern. Die Prozeßsteuereinheitenempfangen Signale, die Prozeßmessungen,die von den Feldgerätenvorgenommen wurden, und/oder andere Informationen in bezug auf dieFeldgerätebezeichnen, nutzen diese Informationen zur Ausführung von Steuerungsroutinenund erzeugen dann Steuersignale, die über die Busse oder Leitungenzu den Feldgerätengesendet werden, um den Ablauf des Prozesses zu steuern. Informationvon den Feldgeräten undden Steuereinheiten wird typischerweise für eine oder mehrere Anwendungenverfügbargemacht, die von der Bediener-Workstationausgeführtwerden, um einem Bediener die Ausführung einer gewünschtenFunktion in bezug auf den Prozeß zuermöglichen,etwa Konfigurieren des Prozesses, Betrachten des aktuellen Zustandsdes Prozesses, Modifizieren des Prozeßablaufs usw.
[0003] Fernerist in vielen Prozessen ein separates Sicherheitssystem vorgesehen,das signifikante sicherheitsbezogene Probleme innerhalb der Prozeßanlagedetektiert und automatisch Ventile schließt, die Energieversorgung vonEinrichtungen abschaltet, Durchflüsse innerhalb der Anlage umsteuertusw., wenn ein Problem auftritt, das in einer schwerwiegenden Gefährdung inder Anlage resultieren oder zu einer solchen führen könnte, etwa dem Austritt vongiftigen Chemikalien, einer Explosion usw. Diese Sicherheitssystemehaben charakteristisch eine oder mehrere separate Steuereinheitengetrennt von den Standardsteuereinheiten für die Prozeßsteuerung, die als Logikauflöser bezeichnetwerden und die mit Sicherheitsfeldgeräten über separate Busse oder Übertragungsleitungenverbunden sind, die innerhalb der Prozeßanlage installiert sind. DieLogikauflöser nutzendie Sicherheitsfeldeinrichtungen, um Prozeßbedingungen zu detektieren,die bedeutsamen Ereignissen zugeordnet sind, etwa die Position vonbestimmten Sicherheitsschaltern oder Abschaltventilen, Bereichsüber- oder-unterschreitungen im Prozeß, denBetrieb von wichtigen Energieerzeugungs- oder -steuereinrichtungen,den Betrieb von Fehlerdetektiereinrichtungen usw., um dadurch "Ereignisse" innerhalb der Prozeßanlagezu detektieren. Wenn ein Ereignis (typischerweise als "Ursache" bezeichnet) detektiertwird, führtdie Sicherheitssteuereinheit irgendeine Aktivität (typischerweise als "Wirkung" bezeichnet) aus,um die schädlicheNatur des Ereignisses zu begrenzen, etwa das Schließen vonVentilen, die Abschaltung von Geräten, die Energieabschaltungvon Teilen der Anlage usw. Im allgemeinen umfassen diese Aktivitäten oderWirkungen das Umschalten von Sicherheitseinrichtungen in eine ausgelöste oder "sichere" Betriebsart, diedazu bestimmt ist, einen kritischen oder gefährlichen Zustand innerhalbder Prozeßanlagezu verhindern.
[0004] Bisherwerden Sicherheitssysteme programmiert unter Anwendung von etwas,was typischerweise als Ursache-und-Wirkung-Matrix bezeichnet wird, diejede einer Menge von Ursachen (die typischerweise detektierte Prozeßzustände sind)mit einer oder mehreren auszuführendenWirkungen (d. h. Schalten von Sicherheitseinrichtungen in einensicheren Modus) in Beziehung bringt. Dabei bezeichnet die Ursache-und-Wirkung-Matrix eine odermehrere Wirkungen, die eintreten sollten, wenn jede von einer Mengevon Ursachen als innerhalb der Prozeßanlage vorhanden detektiertwird. Die Anwesenheit einer bestimmten Ursache kann in einer odermehreren Wirkungen resultieren, z. B. der Operation von einer odermehreren verschiedenen Sicherheitseinrichtungen innerhalb des Sicherheitssystems.Zum Bezeichnen der Operation eines Sicherheitssystems erzeugt einSicherheitsingenieur gewöhnlicheine Ursache-und-Wirkung-Matrix, in der sämtliche Ursachen auf der einenSeite einer zweidimensionalen Matrix aufgelistet sind (die z. B.den Reihen der Matrix entsprechen) und sämtliche Wirkungen auf einer anderenSeite der Matrix aufgelistet sind (die z. B. den Spalten der Matrixentsprechen). Die Matrixelemente, wie sie durch eine Reihe und eineSpalte definiert sind, werden dazu genutzt anzugeben, ob die diesemMatrixelement zugeordnete Ursache in der Ausführung der Wirkung resultierensollte, die diesem Matrixelement zugeordnet ist. Im Allgemeinen überprüft der Konfigurations-oder Sicherheitsingenieur die Elemente der Matrix, um aufzuzeigen,daß die Detektionder Ursache fürdas Element (spezifiziert von der Zeile des Matrixelements) in dieAbarbeitung der Wirkung fürdas Element (spezifiziert von der Spalte des Matrixelements) führt. Sobedeutet beispielsweise eine Marke in der Matrix am Schnittpunkt derzweiten Zeile und der dritten Spalte, daß die Anwesenheit der der zweitenReihe zugeordneten Ursache in der Ausführung der der dritten Spalteder Matrix zugeordneten Wirkung resultieren sollte. Auf diese Weisekann jede Wirkung als ein Ergebnis von einer oder mehreren der Ursachenbezeichnet werden.
[0005] Nachdemder Konfigurations- oder Sicherheitsingenieur eine geeignete Ursache-und-Wirkung-Matrix für das Sicherheitssystemoder einen Bereich davon festgelegt hat, müssen die Steuerroutinen desSicherheitssystems erzeugt werden, um die durch die Ursache-und-Wirkung-Matrixdefinierte Logik zu implementieren. Bisher haben Konfigurations-und Sicherheitsingenieure die Ursache-und-Wirkung-Matrix manuellin die Steuereinheiten des Sicherheitssystems unter Anwendung verschiedenerProgrammiersprachen übersetzt;dieser Programmierschritt ist aber leider umständlich, zeitaufwendig und fehleranfällig, waskritisch sein kann, weil eine Störungim ordnungsgemäßen Betriebdes Sicherheitssystems zu schweren Verletzungen oder auch zum Todvon in der Anlage beschäftigtemPersonal sowie zur Zerstörungvon Einrichtungen und Güternin einer Anlage im Wert von Millionen von Dollar führen kann.
[0006] Inder letzten Zeit sind Programme entwickelt worden, um eine Ursache-und-Wirkung-Matrix automatischin ein höheresSteuerungsprogramm wie etwa eines, das mit Leiterlogik arbeitet,zu übersetzen.Diese automatische Programmerzeugung ist zwar hilfreich, resultiertaber immer noch in einem in einer bestimmten Programmiersprachegeschriebenen Programm, das in die Steuerungsstrategie des Sicherheitssystemsintegriert werden und getestet und ausgeprüft werden muß. Da Sicherheitslogik,die auf solche Weise übersetztworden ist, in hochkomplexen Programmen resultieren kann, kann esimmer noch schwierig und zeitaufwendig sein, diese Programme zutesten und auszuprüfen,und einen großenDokumentationsaufwand erfordern. Ferner ist es schwierig, dieseProgrammtypen in einer Steuerungsroutine anzuwenden, die eine Funktionsblock-Programmierungsstrategiefür dieImplementierung von Steuerfunktionen verwendet.
[0007] EinSicherheitssystem innerhalb einer Pxozeßanlage verwendet einen odermehrere Ursache-und-Wirkung-Funktionsblöcke, die auf einfache Weisein eine Funktionsblockdiagramm-Programmierungsumgebung integriertwerden können,um die Ursache-und-Wirkung-Logik zu implementieren, die durch eineherkömmlicheUrsache- und-Wirkung-Matrixbezeichnet ist. Ein solcher Ursache-und-Wirkung-Funktionsblock,der leicht zu kreieren, anzuwenden, zu testen, auszuprüfen undzu dokumentieren ist, umfaßteinen oder mehrere Ursache-Eingängeund einen oder mehrere Wirkungs-Ausgänge undist so programmiert, daß die Ankunfteines Ursachensignals an einem der Ursache-Eingänge darin resultiert, daß eineroder mehrere der Wirkungs-Ausgängein einen abgeschalteten oder sicheren Zustand gesetzt werden. DieUrsache-Eingängekönnenmit anderen Funktionsblöcken wieetwa Entscheider-Funktionsblöckenverbunden sein, die die Existenz der Ursachen bestimmen, während dieWirkungs-Ausgänge mitanderen Funktionsblöckenwie etwa Analog- oder Digital-Ausgabefunktionsblöcken verbundensein können,die den Betrieb von Sicherheitseinrichtungen oder anderen Einrichtungeninnerhalb der Prozeßanlagesteuern.
[0008] DerUrsache-und-Wirkung-Funktionsblock kann eine Ursache-und-Wirkung-Matrixlogikoder einen Ursache-und-Wirkung-Matrix-Multiplexer aufweisen, dermit einer oder mehreren Zustandsmaschinen gekoppelt ist, wobei für jedenWirkungsausgang eine separate Zustandsmaschine existiert. Der Multiplexerempfängtund decodiert jeden der Ursache-Eingänge und liefert auf der Basisder Ursache-Eingängeund einer vorher identifizierten Ursache-und-Wirkung-Matrixlogikein Abschaltsignal an eine oder mehrere der Zustandsmaschinen. Bei Empfangeines Abschaltsignals zwingt eine Zustandsmaschine einen zugeordnetenWirkungs-Ausgang in einen abgeschalteten oder sicheren Zustand. Fallsgewünscht,kann die Zustandsmaschine dann eines oder mehrere andere Signalewie etwa Rücksetzsignalevon einem Anwender oder von dem Prozeß anfordern für den Übergangzwischen einem Set von Zuständen,die der sicheren Rückkehrdes Sicherheitssystems aus dem Abschalt- oder sicheren Zustand ineinen Normalzustand (in dem der Prozeß normalerweise abläuft) zugeordnetsind. Ferner kann jede Zustandsmaschine ein Signal, das den aktuellen Zustandder Zustandsmaschine bezeichnet, sowie ein Signal liefern, das dieerste Ursache bezeichnet, die dazu geführt hat, daß die Zustandsmaschine ihr zugeordnetesWirkungssignal in den Ausschalt- oder sicheren Zustand gezwungenhat.
[0009] DieserUrsache-und-Wirkung-Funktionsblock ist leicht zu erzeugen, da erin seiner Grundform nur verlangt, daß der Konfigurations- oderSicherheitsingenieur eine Ursache-und-Wirkung-Matrixlogik liefertund Werte füreine Menge von Parametern bezeichnet, um die gewünschte Operation des Ursache-und-Wirkung-Funktionsblockszu definieren. Dieser Ursache-und-Wirkung-Funktionsblock ist auchleicht in eine Steuereinheit oder einen Logikauflöser zu integrieren,der Funktionsblocklogik verwendet, da der Ursache-und-Wirkung-Funktionsblockauf die gleiche Weise wie jeder andere Funktionsblock integrierbarist, indem Eingängeund Ausgängedes Ursache-und-Wirkung-Funktionsblocks mitanderen Funktionsblöckenoder Elementen innerhalb der Steuerungsstrategie verbunden werden.Somit ist es auch leicht, diesen Ursache-und-Wirkung-Funktionsblock zu dokumentieren,zu testen und auszuprüfen.Ferner kann dieser Ursache-und-Wirkung-Funktionsblock eine zusätzliche Funktionalität bieten,die in Sicherheitssystemen normalerweise nicht vorgesehen ist, indemetwa das Sicherheitssystem in die Lage versetzt wird, eine Serie vonZuständenzyklisch zu durchlaufen, bevor eine bestimmte Sicherheitseinrichtungaus einem ausgelöstenoder sicheren Zustand in einen normalen Betriebszustand zurückgebrachtwird.
[0010] 1 ist ein Blockbild einerbeispielhaften Prozeßanlagemit einem Sicherheitssystem, das in ein Prozeßsteuerungssystem integriertist und einen oder mehrere Ursache-und-Wirkung-Funktionsblöcke verwendet, um Steuerungsaktivitäten in bezug aufSicherheitseinrichtungen innerhalb der Prozeßanlage auszuführen;
[0011] 2 ist ein Blockbild voneinem der Ursache-und-Wirkung-Funktionsblöcke von 1;
[0012] 3 ist eine grafische Darstellungeines Beispiels einer Ursache-und-Wirkung-Matrix; und
[0013] 4 ist ein Zustandsdiagramm,das ein Set von Zuständenzeigt, die jeder Zustandsmaschine in dem Ursache-und-Wirkung-Funktionsblockvon 2 potentiell zugeordnetsind.
[0014] Eswird nun auf 1 Bezuggenommen. Eine Prozeßanlage 10 weistein Pxozeßsteuerungssystem 12 auf,in das ein Sicherheitssystem 14 (in Strichlinien angedeutet)integriert ist, das allgemein als ein System mit Sicherheitsinstrumentarium(Safety Instrumented System = SIS) wirkt, um die von dem Prozeßsteuerungssystem 12 ausgeführte Steuerung zu überwachenund in diese einzugreifen, um die Wahrscheinlichkeit eines sicherenBetriebs der Prozeßanlage 10 zumaximieren. Die Prozeßanlage 10 weistferner einen oder mehrere Hauptrechner-Workstations, Computer oderAnwenderschnittstellen 16 auf (die jede Art von PC, Workstations,Hand-PCs usw. sein können),auf die von Anlagenpersonal zugegriffen werden kann, beispielsweisevon Prozeßsteuerungs-Bedienungspersonen,Wartungspersonal, Sicherheitsingenieuren usw. Bei dem in 1 gezeigten Beispiel sindzwei Anwenderschnittstellen 16 gezeigt und mit zwei separatenProzeßsteuerungs-/Sicherheitssteuerungs-Knoten 18 und 20 und miteiner Konfigurationsdatenbank 21 über eine gemeinsame Kommunikationsleitungoder einen Bus 22 verbunden. Das Kommunikationsnetz 22 kannunter Verwendung jeder gewünschtenbus-basierten oder nicht-busbasierten Hardware implementiert sein,wobei jede gewünschtehartverdrahtete oder drahtlose Kommunikationsstruktur und jedesgewünschteoder geeignete Kommunikationsprotokoll wie etwa ein Ethernet-Protokollverwendet wird.
[0015] Allgemeingesagt, weist jeder der Knoten 18 und 20 der Prozeßanlage 10 sowohlProzeßsteuerungssystem-Einrichtungenals auch Sicherheitssystem-Einrichtungen auf, die über eineBusstruktur miteinander verbunden sind, die an einer Rückwandplatinevorgesehen sein kann, in der die verschiedenen Einrichtungen angebrachtsind. Der Knoten 18 weist gemäß 1 eine Prozeßsteuereinheit 24 (dieein redundantes Paar von Steuereinheiten sein kann) sowie eine odermehrere Prozeßsteuerungssystem-Ein-Ausgabe- bzw. -E/A-Einrichtungen 28, 30 und 32 auf,wogegen der Knoten 20 in der Figur eine Prozeßsteuereinheit 26 (dieein redundantes Paar von Steuereinheiten sein kann) sowie eine odermehrere Prozeßsteuerungssystem-E/A-Einrichtungen 34 und 36 aufweist.Jede der Prozeßsteuerungssystem-E/A-Einrichtungen 28, 30, 32, 34 und 36 istmit einem Satz von auf die Prozeßsteuerung bezogenen Feldgeräten kommunikativverbunden, die in 1 alsFeldgeräte 40 und 42 gezeigtsind. Die Prozeßsteuereinheiten 24 und 26,die E/A-Einrichtungen 28 bis 36 und die Steuereinheits-Feldgeräte 40 und 42 bildenallgemein das Prozeßsteuerungssystem 12 von 1.
[0016] Ebensoweist der Knoten 18 einen oder mehrere Sicherheitssystem-Logikauflöser 50, 52 auf,wogegen der Knoten 20 Sicherheitssystem-Logikauflöser 54 und 56 aufweist.Jeder der Logikauflöser 50 bis 56 isteine E/A-Einrichtung mit einem Prozessor 57, der Sicherheitslogikmodule 58 ausführt, diein einem Speicher gespeichert sind, und ist kommunikativ so gekoppelt,daß Steuersignalean Sicherheitssystem-Feldgeräte 60 und 62 geliefertund/oder Signale von den Sicherheitssystem-Feldgeräten 60 und 62 empfangenwerden. Außerdemweist jeder Knoten 18 und 20 mindestens eine Meldungsverbreitungseinrichtung(MPD) 70 oder 72 auf, die kommunikativ über eineBusverbindung 74 vom Ringtyp (von der nur ein Teil in 1 gezeigt ist) miteinandergekoppelt sind. Die Sicherheitssystem-Logikauflöser 50 bis 56,die Sicherheitssystem-Feldeinrichtungen 60 und 62,die MPDs 70 und 72 und der Bus 74 bildenallgemein das Sicherheitssystem 14 von 1.
[0017] DiePxozeßsteuereinheiten 24 und 26,die nur beispielhaft DeltaVTM-Steuereinheiten von Fisher-RosemountSystems, Inc., oder jeder andere gewünschte Typ von Prozeßsteuereinheitensein können,sind so programmiert, daß sieeine Prozeßsteuerungsfunktionalität ermöglichen(unter Verwendung von Mitteln, die gewöhnlich als Steuermodule bezeichnetwerden), wobei die E/A-Einrichtungen 28, 30 und 32 (für die Steuereinheit 24),die E/A-Einrichtungen 34 und 36 (für die Steuereinheit 26)und die Feldgeräte 40 und 42 verwendetwerden. Speziell implementiert oder beaufsichtigt jede der Steuereinheiten 24 und 26 eineoder mehrere Prozeßsteuerungsroutinen,die darin gespeichert oder anderweitig zugeordnet sind, und kommuniziertmit den Feldgeräten 40 und 42 undden Workstations 16, um den Prozeß 10 oder einen Teildes Prozesses 10 auf eine gewünschte Weise zu steuern. DieFeldgeräte 40 und 42 können jedegewünschteArt von Feldgerätensein wie etwa Sensoren, Ventile, Geber, Positionierer usw. und können jedemgewünschtenoffenen, firmenspezifischen oder anderen Kommunikations- oder Programmierprotokollentsprechen, das beispielsweise das HART-Protokoll oder das 4-20-ma-Protokoll(wie es fürdie Feldgeräte 40 gezeigtist), jedes Fieldbus-Protokoll wie etwa das FOUNDATION^® Fieldbus-Protokoll (wie esfür die Feldgeräte 42 gezeigtist) oder das CAN-, Profibus-, AS-Interface-Protokoll, um nur einige zunennen, sein kann. Ebenso könnendie E/A-Einrichtungen 28 bis 36 jederbekannte Typ von Prozeßsteuerungs-E/A-Einrichtungensein, die ein geeignetes Kommunikationsprotokoll bzw. solche Protokolleverwenden.
[0018] DieSicherheits-Logikauflöser 50 bis 56 von 1 können jede gewünschte Artvon Sicherheitssystem-Steuereinrichtungen sein, die einen Prozessor 57 undeinen Speicher aufweisen, in dem Sicherheitslogikmodule 58 gespeichertsind, die dazu ausgebildet sind, auf dem Prozessor 57 ausgeführt zu werden,um eine Steuerungsfunktionalitätbereitzustellen, die dem Sicherheitssystem 14 zugeordnetist, das die Feldeinrichtungen 60 und 62 verwendet. Selbstverständlich können dieSicherheitsfeldeinrichtungen 60 und 62 jede gewünschte Artvon Feldeinrichtungen sein, die einem bekannten oder gewünschtenKommunikationsprotokoll wie etwa den oben erwähnten entsprechen oder diesesverwenden. Insbesondere könnendie Feldeinrichtungen 60 und 62 sicherheitsbezogeneFeldeinrichtungen des Typs sein, der herkömmlich von einem separaten, festzugeordneten sicherheitsbezogenen Steuerungssystem gesteuert werden.In der in 1 gezeigtenProzeßanlage 10 sinddie Sicherheitsfeldeinrichtungen 60 so dargestellt, daß sie einfest zugeordnetes oder Punkt-zu-Punkt-Kommunikationsprotokoll wiedas HART- oder das4-20-ma-Protokoll verwenden, wogegen die Sicherheitsfeldeinrichtungen 62 inder Darstellung ein Buskommunikationsprotokoll wie etwa ein Fieldbus-Protokollverwenden. Die Sicherheitsfeldeinrichtungen 60 können jedegewünschteFunktion ausführen,etwa die eines Abschaltventils, eines Ausschalters usw.
[0019] Injedem der Knoten 18 und 20 wird eine gemeinsameRückwandplatine 76 verwendet(die mittels einer Strichlinie durch die Steuereinheiten 24, 26, dieE/A-Einrichtungen 28 bis 36, die Sicherheits-Logikauflöser 50 bis 56 unddie MPDs 70 und 72 bezeichnet ist), um die Steuereinheiten 24 und 26 mit denProzeßsteuerungs-E/A-Karten 28, 30 und 32 oder 34 und 36 sowiemit den Sicherheits-Logikauflösern 50, 52, 54 oder 56 undmit dem MPDs 70 oder 72 zu verbinden. Die Steuereinheiten 24 und 26 sind fernerkommunikativ mit dem Bus 22 gekoppelt und wirken als Busvermittlerfür denBus 22, um jeder der E/A-Einrichtungen 28 bis 36,den Logikauflösern 50 bis 56 undden MPDs 70 und 72 die Kommunikation mit jederder Workstations 16 überden Bus 22 zu ermöglichen.
[0020] Esversteht sich, daß jededer Workstations 16 einen Prozessor 77 und einenSpeicher 78 aufweist, in dem eine oder mehrere Konfigurations- und/oderBetrachtungsanwendungen gespeichert sind, die dazu ausgebildet sind,auf dem Prozessor 77 ausgeführt zu werden. Eine Konfigurationsanwendung 80 undeine Betrachtungsanwendung 82 sind in einer Explosionsansichtin 1 gezeigt und ineiner der Workstations 16 gespeichert. Falls gewünscht, könnten dieseAnwendungen aber auch in verschiedenen der Workstations 16 oderin anderen zu der Prozeßanlage 10 gehörigen Computerngespeichert und ausgeführtwerden. Allgemein gesagt, liefert die Konfigurationsanwendung 80 Konfigurationsinformationenan einen Sicherheitsingenieur und ermöglicht ihm, einige oder alleElemente der Prozeßanlage 10 zukonfigurieren und diese Konfiguration in der Konfigurationsdatenbank 21 zuspeichern. Als Teil der Konfigurationshandlungen, die von der Konfigurationsanwendung 80 ausgeführt werden,kann der Sicherheitsingenieur Steuerroutinen oder Steuermodule für die Prozeßsteuereinheiten 24 und 26 entwickeln,kann Sicherheitslogikmodule 58 für jeden und sämtlicheder Sicherheits-Logikauflöser 50 bis 56 entwickeln(einschließlichder Entwicklung und Programmierung von Ursache-und-Wirkung-Funktionsblöcken zumGebrauch in den Sicherheits-Logikauflösern 50 bis 56)und kann diese verschiedenen Steuer- und Sicherheitsmodule in dieentsprechenden der Pxozeßsteuereinheiten 24 und 2G unddie Sicherheits-Logikauflöser 50 bis 56 über denBus 22 und die Steuereinheiten 24 und 26 herunterladen. Ebensokann die Konfigurationsanwendung 80 genutzt werden, umandere Programme und Logikeinrichtungen zu erzeugen und in die E/A-Einrichtungen 28 bis 36,jedes der Feldgeräte 40, 42, 60 und 62 usw.herunterzuladen.
[0021] Dagegenkann die Betrachtungsanwendung 82 genutzt werden, um einemAnwender wie etwa einem Prozeßsteuerungs-Bediener,einem Sicherheitstechniker usw. Anzeigen zu liefern, die Information über denZustand des Prozeßsteuerungssystems 12 unddes Sicherheitssystems 14 entweder in gesonderten Ansichtenoder, falls gewünscht,in derselben Ansicht bieten. Beispielsweise kann die Betrachtungsanwendung 82 eineAlarmdisplayanwendung sein, die Anzeigen von Alarmen für einenBediener empfängtund anzeigt. Falls gewünscht,kann eine solche Alarmbetrachtungsanwendung die Form haben, wiesie in der US-PS 5 768 119 mitdem Titel "ProcessControl System Including Alarm Priority Adjustment" und in der US-PatentanmeldungNr. 09/707 580 mit dem Titel "IntegratedAlarm Display in a Process Control Network" angegeben ist; beide Dokumente sindauf die Erwerberin des vorliegenden Patents übertragen und werden hier summarischeingeführt.Es versteht sich jedoch, daß dieAlarmanzeige oder Alarmflächedieser Patente Alarme sowohl von dem Prozeßsteuerungssystem 12 alsauch dem Sicherheitssystem 14 in einer integrierten Alarmanzeigeempfangen und anzeigen kann, da die Alarme von beiden Systemen 12 und 14 andie Bediener-Workstation 14 gesendet werden, welche dieAlarmdisplayanwendung ausführt,und als Alarme von verschiedenen Einrichtungen erkennbar sind. Ebensokann ein Bediener Sicherheitsalarme, die in einer Alarmfläche anzeigtwerden, auf die gleiche Weise wie Prozeßsteuerungsalarme behandeln.Beispielsweise kann der Bediener oder Anwender Sicherheitsalarme,Abschalt-Sicherheitsalarmeusw. unter Anwendung des Alarmdisplays quittieren, das Meldungen andie entsprechende Prozeßsteuereinheit 24, 26 innerhalbdes Sicherheitssystems 14 sendet unter Nutzung von Nachrichtenübertragungenauf dem Bus 22 und der Rückplatine 76, um inBezug auf den Sicherheitsalarm die entsprechende Maßnahme zuergreifen. Auf ähnlicheWeise könnenandere Betrachtungsanwendungen Informationen oder Daten sowohl vondem Prozeßsteuerungssystem 12 alsauch dem Sicherheitssystem 14 anzeigen, da diese Systemedie gleichen Typen und Arten von Parametern, Sicherheit und Verweisennutzen können,so daß alle Datenvon einem der Systeme 12 und 14 in einem Displayoder einer Anzeige integriert werden können, die traditionell für ein Prozeßsteuerungssystemverwendet wird.
[0022] Injedem Fall könnendie Anwendungen 80 und 82 separate Konfigurations-und andere Signale an jede Prozeßsteuereinheit 24 und 26 undjeden der Logikauflöser 50 bis 56 sendenund könnenvon diesen sowie von jedem der Logikauflöser 50 bis 56 des SicherheitssystemsDaten empfangen. Diese Signale könnenMeldungen auf Prozeßebeneaufweisen, die auf die Steuerung der Betriebsparameter der Prozeßfeldgeräte 40 und 42 bezogensind, und können Meldungenauf Sicherheitsebene aufweisen, die auf die Steuerung der Betriebsparameterder sicherheitsbezogenen Feldeinrichtungen 60 und 62 bezogen sind.Die Sicherheits-Logikauflöser 50 bis 56 können zwarso programmiert sein, daß siesowohl die Meldungen auf Prozeßebeneals auch die Meldungen auf Sicherheitsebene erkennen, aber die Sicherheits-Logikauflöser 50 bis 56 sindimstande, zwischen den beiden Meldungsarten zu unterscheiden undsind nicht imstande, von Konfigurationssignalen auf Prozeßebene programmiertoder beeinflußtzu werden. Bei einem Beispiel könnendie Programmiermeldungen, die zu den Prozeßsteuerungssystemeinrichtungengesendet werden, bestimmte Felder oder Adressen aufweisen, die vonden Sicherheitssystemeinrichtungen erkannt werden und verhindern,daß dieseSignale zur Programmierung der Sicherheitssystemeinrichtungen genutztwerden.
[0023] Fallsgewünscht,könnendie Sicherheits-Logikauflöser 50 bis 56 dasgleiche oder ein anderes Hardware- oder Software-Design verwendenals das Hardware- und Software-Design,das fürdie Prozeßsteuerungs-E/A-Karten 28 bis 36 verwendetwird. Die Verwendung von alternativen Technologien für die Einrichtungeninnerhalb des Prozeßsteuerungssystems 112 undfür dieEinrichtungen innerhalb des Sicherheitssystems 14 kannHardware- oder Softwareausfälle,die eine gemeinsame Ursache haben, minimieren oder eliminieren.
[0024] Fernerkönnendie Sicherheitssystemeinrichtungen einschließlich der Logikauflöser 50 bis 56 alle gewünschtenTrenn- und Sicherheitstechniken verwenden, um die Möglichkeitvon nichtautorisierten Änderungenan den dadurch implementierten sicherheitsbezogenen Funktionen zuverringern oder auszuschließen.Beispielsweise könnendie Sicherheits- Logikauflöser 50 bis 56 unddie Konfigurationsanwendung 80 eine Person einer bestimmtenBefugnisebene oder eine Person, die sich an einer bestimmten Workstationbefindet, auffordern, an den Sicherheitsmodulen innerhalb der Logikauflöser 50 bis 56 Änderungenvorzunehmen, wobei diese Befugnisebene oder dieser Ort von der Befugnis- oder Zugangsebeneoder dem Ort verschieden ist, der erforderlich ist, um Änderungenan den Prozeßsteuerungsfunktionenauszuführen,die von den Steuereinheiten 24 und 26 und denE/A-Einrichtungen 28 bis 36 ausgeführt werden.In diesem Fall haben nur diejenigen Personen, die innerhalb derSicherheitssoftware benannt sind oder die sich an Workstations befinden,die befugt sind, Änderungenan dem Sicherheitssystem 14 vorzunehmen, die Befugnis,sicherheitsbezogene Funktionen zu ändern, wodurch die Möglichkeiteneiner unberechtigten Änderungdes Betriebs des Sicherheitssystems 14 minimiert werden.Es versteht sich, daß zurImplementierung dieser Sicherheit die Prozessoren innerhalb derSicherheits-Logikauflöser 50 bis 56 dieankommenden Meldungen auf richtige Form und Sicherheit bewerten undals Wächterin bezug auf Änderungenwirksam sind, die an den Steuermodulen 58 der Sicherheitsebene,die innerhalb der Sicherheits-Logikauflöser 50 bis 56 ausgeführt werden,vorgenommen werden.
[0025] Nachdemsicherheitsbezogene Funktionen innerhalb der Logikauflöser 50 bis 56 aktiviertsind, kann ferner, falls gewünscht,keine Änderungdes Status der Sicherheitsfunktionen über die Bediener-Workstations 14 ohnedie richtigen Zugangsrechte vorgenommen werden, was es möglich macht,daß diedem Prozeßsteuerungssystem 12 zugehörige Kommunikationsstrukturgenutzt werden kann, um die Initialisierung für das Sicherheitssystem 14 vorzunehmen,und genutzt werden kann, um die Laufzeitberichte des Betriebs desSicherheitssystems 14 bereitzustellen und dennoch das Prozeßsteuerungssystem 12 indem Sinn von dem Sicherheitssystem 14 zu trennen, daß Änderungendes Prozeßsteuerungssystems 12 denBetrieb des Sicherheitssystems 14 nicht beeinflussen können.
[0026] Esist ersichtlich, daß dieVerwendung der Rückwandplatine 76 injedem der Knoten 18 und 20 es den Sicherheits-Logikauflösern 50 und 52 undden Sicherheits-Logikauflösern 54 und 56 ermöglicht,lokal miteinander zu kommunizieren, um Sicherheitsfunktionen zukoordinieren, die von jeder dieser Einrichtungen implementiert sind,Daten zueinander zu übertragenoder andere integrierte Funktionen auszuüben. Andererseits sind dieMPDs 70 und 72 wirksam, um Bereiche des Sicherheitssystems 14,die an vollkommen verschiedenen Stellen in der Anlage 10 angeordnetsind, miteinander kommunizieren zu lassen, um koordinierte Sicherheitsoperationenan verschiedenen Knoten der Prozeßanlage 10 zu ermöglichen.Insbesondere ermöglichenes die MPDs 70 und 72 in Verbindung mit dem Bus 74 denSicherheits-Logikauflösern,die verschiedenen Knoten 18 und 20 der Prozeßanlage 10 zugeordnetsind, kommunikativ aneinandergereiht zu werden, um die Aneinanderreihungvon sicherheitsbezogenen Funktionen innerhalb der Prozeßanlage 10 gemäß einerzugewiesenen Prioritätzuzulassen. Alternativ können zweioder mehr sicherheitsbezogene Funktionen an verschiedenen Stelleninnerhalb der Prozeßanlage 10 miteinanderverkoppelt oder verbunden werden, ohne daß eine spezielle Leitung zueinzelnen Sicherheitsfeldgeräteninnerhalb der separaten Bereiche oder Knoten der Anlage 10 gelegtzu werden braucht. Mit anderen Worten ermöglicht es die Verwendung derMPDs 70 und 72 und des Busses 74 einemSicherheitsingenieur, ein Sicherheitssystem 14 zu entwerfenund zu konfigurieren, das von Natur aus in der gesamten Prozeßanlage 10 verteiltist, aber verschiedene Komponenten hat, die kommunikativ miteinanderverbunden sind, um es den ungleichen sicherheitsbezogenen Hardwarekomponentenzu ermöglichen,nach Bedarf miteinander zu kommunizieren. Dieses Merkmal ermöglicht auchdie Erweiterung des Sicherheitssystems 14 insofern, alses das Hinzufügenvon weiteren Sicherheits-Logikauflösern zu dem Sicherheitssystem 14 entwedernach Bedarf oder bei Hinzufügungneuer Prozeßsteuerungsknotenzu der Prozeßanlage 10 möglich macht.
[0027] Esversteht sich, daß dieLogikauflöser 50 bis 56 programmiertwerden können,um Steuerungsaktivitätenin bezug auf die Sicherheitseinrichtungen 60 und 62 auszuführen, undzwar unter Nutzung eines Funktionsblock-Programmierparadigmas. Wieinsbesondere eine vergrößerte Ansichtvon einem der Sicherheitssteuermodule 58a (in einem Speicher 79 gespeichert)des Logikauflösers 54 zeigt,kann ein Sicherheitssteuermodul eine Menge von kommunikativ miteinanderverbundenen Funktionsblöckenaufweisen, die zur Implementierung während des Betriebs des Prozesses 10 erzeugtund in den Logikauflöser 54 heruntergeladenwerden können.Wie 1 zeigt, weist dasSteuermodul 58a zwei Ursache-und-Wirkung- bzw. CE-Funktionsblöcke 92 und 94 auf,die Eingänge(als Ursache-Eingängebezeichnet) haben, die kommunikativ mit anderen Funktionsblöcken 96 verbundensind, die beispielsweise Analogeingangs- bzw. AI-, Digitaleingangs-bzw. DI-Funktionsblöcke, Entscheiderfunktionsblöcke oderandere Funktionsblöckesein können,die dazu ausgebildet sind, an die Ursache-und-Wirkung-Funktionsblöcke 92 und 94 Ursachensignalezu liefern. Die Ursache-und-Wirkung-Funktionsblöcke 92 und 94 habenAusgänge (alsWirkungs-Ausgängebezeichnet), die mit Ausgabefunktionsblöcken 98 verbundensind, die Analogausgabe- bzw. AO-, Digitalausgabe- bzw. DO- oder andereFunktionsblöckesein können,die von den Ursache-und-Wirkung-Funktionsblöcken 92 und 94 Wirkungssignaleempfangen, um die Operation der Sicherheitseinrichtungen 60 und 62 zusteuern, die etwa Schalter, Ventile usw. sind. Selbstverständlich kanndas Sicherheitssteuermodul 58a auf jede gewünschte Weiseprogrammiert sein, um alle Arten von Funktionsblöcken gemeinsam mit einem oder mehrerenUrsache-und-Wirkung-Funktionsblöcken aufzuweisen,die auf jede gewünschteoder nützliche Weisekonfiguriert sind, um jede gewünschteFunktionalitätauszuführen.
[0028] Dievergrößerte Darstellungdes Sicherheitssteuermoduls 58a in 1 weist zwar zwei Ursache-und-Wirkung-Funktionsblöcke darinauf, es versteht sich jedoch, daß jede beliebige Anzahl vonverschiedenen Sicherheitslogikmodulen 58 für jedender verschiedenen Logikauflöser 50 bis 56 erzeugtund darin verwendet werden kann, und daß jedes dieser Module jedebeliebige Anzahl von Ursache-und-Wirkung-Funktionsblöcken aufweisen kann, die mitanderen Funktionsblöckenauf jede gewünschteWeise kommunikativ verbunden sind. Wenn sie beispielsweise in einemFieldbusnetz verwendet werden, könntenebenso die Ursache-und-Wirkung-Funktionsblöcke 92 und 92,die jede Fieldbusart von Funktionsblöcken sein können, oder jeder beliebigeder anderen damit verbundenen Funktionsblöcke in anderen Einrichtungenwie etwa in den Feldeinrichtungen 62 angeordnet und implementiertsein. Wenn sie außerhalbeines Sicherheitssystems verwendet werden, könnten die Ursache-und-Wirkung-Funktionsblöcke in denProzeßsteuereinheiten 24, 26,den E/A-Einrichtungen 28 bis 36,den Feldgeräten 42 usw.implementiert sein.
[0029] 2 ist ein Blockbild, dasdie Komponenten des Ursache-und-Wirkung-Funktionsblocks 92 von 1 zeigt. Der Ursache-und-Wirkung-Funktionsblock 92 weistin diesem Fall sieben Ursache-Eingänge 100 auf, von denenjeder als Cause1, Cause2, Cause3 usw. bezeichnet und so ausgebildetist, daß erein von einer anderen Quelle wie etwa einem der Eingangsfunktionsblöcke 96 von 1 zugeführtes Ursachensignal empfängt. Alternativkönntendie Ursachensignale außervon den Funktionsblöckenvon anderen Anwendungen oder anderen Elementen innerhalb des Prozessesgeliefert werden. Jeder der Ursacheneingänge 100 wird einemMatrixlogikblock zugeführt,der hier als Multiplexer 102 bezeichnet ist und der Ursache-und-Wirkung-Matrix-bzw. CEM-Logik 105 verwendet, beispielsweise einer typischen Ursache-und-Wirkung-Matrix,die von einem Sicherheitsingenieur an einem Eingang 106 bereitgestellt wird,um zu bestimmen, welche Wirkungen – falls überhaupt – aktiviert oder ausgeschaltetwerden sollten als Folge eines bestimmten Ursacheneingangs-Änderungszustands,um die Detektierung eines bestimmten, nicht sicheren Zustands innerhalb desProzesses 10 anzuzeigen.
[0030] Einebeispielhafte Ursache-und-Wirkung-Matrix 105, die typischeUrsache-und-Wirkung-Logikzeigt, ist im einzelnen in 3 dargestellt.Die Ursache-und-Wirkung-Matrix 105, die in dem Ursache-und-Wirkung-Funktionsblock 92 verwendetwerden kann, weist sieben Ursachen auf, die von oben nach untenauf der linken Seite der Matrix aufgelistet sind (wobei jede Ursacheeiner anderen Zeile der Matrix 105 zugeordnet ist), undhat zwei Wirkungen, die entlang dem oberen Ende der Matrix aufgelistetsind (wobei jede Wirkung einer anderen Spalte der Matrix 105 zugeordnetist). Die Ursachen sind als komplexe Datenvariablen oder Signale DESC_CAUSE1-Folge,DESC_CAUSE2-Folge usw. bezeichnet, von denen jede einen zugeordneten Wertund Status haben kann, und die Wirkungen sind als komplexe Datenvariablenoder Signale DESC_EFFECT1-Folge, DESC_EFFECT2-Folge usw. bezeichnet,von denen jede einen zugehörigen Wertund Status haben kann: Die Matrix 105 ist zwar so dargestellt,daß siebis zu 16 Ursachen und 16 Wirkungen zeigen kann, in diesem Fallwerden aber nur sieben Ursachen und zwei Wirkungen verwendet, weildies die Art und Weise ist, in der der beispielhafte Ursache-und-Wirkung-Funktionsblock 92 konfiguriertist. Es versteht sich jedoch, daß ein Ursache-und-Wirkung-Funktionsblock,wie er hier vorgeschlagen wird, jede vernünftige Anzahl von Ursachen undWirkungen (Eingängeund Ausgänge)zugeordnet haben kann und daß dieUrsache-und-Wirkung-Matrix im allgemeinen die gleiche Anzahl von Ursachenund Wirkungen aufweist, wie Ursache-Eingänge und Wirkungs-Ausgänge desUrsache-und-Wirkung-Funktionsblocks vorgesehen sind. Außerdem könnte dieMatrix 105 jede gewünschte Größe haben,was jede Größe einschließt, dievon der Größe 16 × 16 gemäß 3 verschieden ist.
[0031] DieMatrix 105 ist in 3 sogezeigt, wie sie beispielsweise einem Sicherheitsingenieur gezeigt wird,wenn dieser den Ursache-und-Wirkung-Funktionsblock 92 konfiguriertoder erstellt. Um die richtige Programmierung der Matrixlogik 105 zuermöglichen, kanndie fürjede Ursache und Wirkung vorgesehene Folge auf besondere Weise dieUrsache oder Wirkung bezeichnen oder benennen, um sicherzustellen,daß derSicherheitsingenieur versteht, welche Ursachen und Wirkungen tatsächlich inder Matrix 105 dargestellt sind. Ebenso können einevertikale Linie 106 und eine horizontale Linie 107 vondem Sicherheitsingenieur benutzt und manipuliert werden, um dieKästchenoder Elemente der Matrix 105 mit speziellen Ursachen undWirkungen auszufluchten, die auf der linken und der oberen Seiteder Matrix 105 aufgeführtsind. Auf diese Weise kann der Sicherheitsingenieur imstande sein,deutlich zu erkennen, welches Kästchensich auf welche Ursache und Wirkung bezieht. Ebenso können dieKästchenoder Elemente der Matrix 105 ausgegraut werden, wenn sie nichtverwendet werden sollen.
[0032] Esversteht sich, daß einKreuzchen in einem bestimmten Kästchender Ursache-und-Wirkung-Matrix 105 bedeutet,daß diediesem KästchenzugehörigeUrsache in der diesem Kästchenzugeordneten Wirkung resultiert, wogegen die Abwesenheit eines Kreuzchensbedeutet, daß dieUrsache nicht in der Wirkung resultiert. So resultiert die ersteUrsache DESC_CAUSE1 darin, daß beideWirkungen DESC_EFFECT1 und DESC_EFFECT2 ausgelöst oder aktiviert werden. Diezweite Ursache DESC_CAUSE2 resultiert jedoch nur darin, daß die ersteWirkung DESC_EFFECT1 ausgelöstwird. Natürlichkann der Sicherheitsingenieur ein Kästchen unter Verwendung einerMaus oder einer Tastatur, durch Ziehen eines Kreuzchens über dasKästchen undEinsetzen in dieses oder auf jede andere gewünschte Weise auswählen. DieUrsache-und-Wirkung-Matrix 105 gehört zu dem Multiplexer 102 von 2 und wird diesem vor derOperation des Ursache-und-Wirkung-Funktionsblocks 92 hinzugefügt.
[0033] Eswird erneut auf 2 Bezuggenommen. Bei Empfang von einem oder mehreren Ursacheneingaben erzeugtder Multiplexer 102 Ausgaben auf geeigneten von Auslösesignalleitungen 108 und 110, welchedie aktiven Ursachen bezeichnen, die momentan an dem Eingang desMultiplexers 102 für jededer beiden Wirkungen anwesend sind, gemäß der Definition durch dieUrsache-und-Wirkung-Matrix 105. Jede der Auslösesignalleitungen 108 und 110 ist miteiner von zwei Zustandsmaschinen 112 und 114 innerhalbdes Ursache-und-Wirkung-Funktionsblocks 92 verbunden. Dieverschiedenen Zustandsmaschinen 112 und 114 sindden verschiedenen Wirkungs-Ausgängen zugeordnetund erzeugen die verschiedenen Wirkungssignale, die von dem Ursache-und-Wirkung-Funktionsblock 92 gebildetwerden. Dabei veranlassen die Zustandsmaschinen 112 und 114,daß Wirkungsausgänge 116 bzw. 118 (die mitEffect1 und Effect2 bezeichnet sind) in Abhängigkeit von der Anwesenheiteiner Ursachenbezeichnung auf den Leitungen 108 und/oder 110 ausgelöst oderin den sicheren bzw. ausgelöstenZustand gesetzt werden. In diesem Beispiel geschieht folgendes:Wenn die Matrix 105 von 3 verwendetwird und wenn die Cause1- und Cause2-Eingänge 100 gleichzeitigan den entsprechenden Ursacheneingängen 100 aktiv werden(währendgleichzeitig jede der anderen Ursachen Cause3 bis Cause7 inaktiv bleibt),führt derMultiplexer 102 ein Signal auf die Auslösesignalleitung 108,das eine Bezeichnung von Cause1 und Cause1 umfaßt, weil diese beiden Ursachenin dem Vorgang oder der Auslösungder Wirkung Effect1 entsprechend der Matrixlogik 105 von 3 resultieren. Ebenso legtder Multiplexer 102 ein Signal auf die Auslösesignalleitung 110,das nur Cause1 bezeichnet, welche die einzige aktive Ursache ist,die darin resultiert, daß Effect1gesetzt oder ausgelöstwird, und zwar gemäß der Matrix 105 von 3.
[0034] Allgemeingesagt, gibt es eine einzige und jeweils andere Zustandsmaschinefür jedeWirkung oder jeden Wirkungsausgang, der einem Ursache-und-Wirkung-Funktionsblockzugeordnet ist. In diesem Fall von 2 gibtes, weil der Ursache-und-Wirkung-Funktionsblock 92 nurzwei Wirkungsausgängehat, nur zwei Zustandsmaschinen 112 und 114. Wennjedoch der Ursache-und-Wirkung-Funktionsblock 92 mehr Wirkungs-Ausgänge hätte, etwazehn oder zwölfWirkungs-Ausgänge, würde derUrsache-und-Wirkung-Funktionsblock 92 zehnoder zwölfZustandsmaschinen aufweisen. Ebenso wäre der Multiplexer 102 mitjeder dieser Zustandsmaschinen beispielsweise über eine jeweils andere Auslösesignalleitunggekoppelt, um diesen Zustandsmaschinen auf der Basis der Bedingungen desUrsache-Eingangs 100 und der dem Multiplexer 102 zurVerfügungstehenden Matrix 105 eine aktive Ursachenfolge zu liefern.
[0035] Nachstehendwird die Operation der Effect1-Zustandsmaschine 112 beschrieben,wobei es sich versteht, daß dieanderen Zustandsmaschinen innerhalb des Ursache-und-Wirkung-Funktionsblocks 92 auf ähnlicheWeise wirksam sind. Dabei empfängtdie Zustandsmaschine 112 für Effect1 ein Auslöse_Typ-bzw. Trip_Type-Eingangssignal auf einer Leitung 120, einenAktive_Ursache- bzw. Active_Cause1-Eingang bzw. -Signal auf derAuslösesignalleitung 108 sowieein Set von Bedingungseingängen,umfassend ein Require_Reset1-Signal 122, ein Reset_Permit1-Signal 124,ein Reset1-Signal 126 und ein Start_Permit1-Signal 128.Der Auslösesignaleingangund die Bedingungseingängeveranlassen einen Übergangder Zustandsmaschine 112 zwischen verschiedenen Zuständen, wiehier noch beschrieben wird, um eine Änderung des Effect1-Signals 116 amAusgang des Ursache-und-Wirkung-Funktionsblocks 92 zu bewirken undeine Änderungzwischen einem normalen oder nichtausgelösten Wert und einem ausgelösten oder Sicherheitswertund umgekehrt zwischen einem ausgelösten oder Sicherheitswert unddem normalen oder nichtausgelöstenWert zu bewirken.
[0036] Wenndabei die Active_Causes1-Folge auf Leitung 108 bedeutet,daß eineoder mehrere Ursachen (von denen angenommen wird, daß sie dazu führen, daß das Effect1-Signalin einen sicheren oder ausgelöstenZustand geht) momentan aktiv sind, zwingt die Zustandsmaschine 112 dasEffect1-Ausgangssignal 116, den ausgelösten oder sicheren Zustandanzunehmen. Die Definition des ausgelösten oder sicheren Zustandskann von einem Trip_Type-Signal auf Leitung 120 abhängig oderdavon definiert sein, das dem Eingang der Zustandsmaschine 112 zugeführt wird.Dabei kann das Trip_Type-Signal auf der Leitung 120 entwedereine Eins oder eine Null, ein Hoch- oder ein Niedrigpegel usw. sein.Gleichzeitig kann das Trip_Type-Signal 120 den Zustandoder Wert der Ursachensignale 100 definieren, die, wennsie dem Multiplexer 102 zugeführt werden, anzeigen, daß eine Ursachevorliegt oder nicht vorliegt. Das heißt, ein Ursachensignal 100 kannebenfalls entweder als eine Null oder eine Eins, ein Niedrig- oderein Hochpegel usw. definiert sein, um die An- oder Abwesenheit einerdetektierten Ursache innerhalb des Prozesses zu bezeichnen. Das Trip_Type-Signalauf der Leitung 120 kann die Werte der Ursachen und dieWirkungen, die zu einer detektierten Ursache und einem sicherenWirkungszustand fürdie ordnungsgemäße Operationdes Ursache-und-Wirkung-Funktionsblocks 92 führen, definieren.Allgemein gesagt, definiert jeder der Ursacheneingänge 100 dieAnwesenheit einer Ursache (z. B. entweder als eine Eins oder eineNull) auf die gleiche Weise, und jedes der Wirkungsausgangssignale 116 und 118 definierteine Wirkung (z. B. als eine Eins oder eine Null) auf die gleicheWeise. Wenn dies der Fall ist, kann das gleiche Trip Type-Signalauf der Leitung 120 jeder Zustandsmaschine in dem Ursache-und-Wirkung-Funktionsblock 92 zugeführt werden.Wenn dies nicht der Fall ist, kann ein separates Trip_Type-Signalfür jededer verschiedenen Zustandsmaschinen innerhalb des Ursache-und-Wirkung-Funktionsblocks 92 definiertund diesen jeweils separat zugeführtwerden.
[0037] Wenndas Active_Causes1-Signal auf der Leitung 108 einen Wertoder Zustand bezeichnet, der mit dem Detektieren von einer odermehreren Ursachen innerhalb des Prozesses zusammenhängt, zwingtdie Zustandsmaschine 112 in jedem Fall das Effect1-Ausgangssignal 116,seinen ausgelösten odersicheren Wert anzunehmen. Wenn sich das Effect1-Ausgangssignal 116 indem sicheren Zustand befindet, kann es allerdings sein, daß die Zustandsmaschine 112 zwischeneiner Reihe von zusätzlichenZuständenwirksam sein oder sich bewegen muß, um das Effect1-Ausgangssignal 116 zurück in dennormalen oder nichtausgelöstenWert oder Zustand zu zwingen bzw. zu ändern. Die Operation der Zustandsmaschine 112 wirdzu einem großenTeil durch die Signale bestimmt, die an den Bedingungseingängen Require_Reset1 122,Reset_Permit1 124, Reset1 126 und Start_Permit1 128 derZustandsmaschine 112 vorhanden sind und die, wie sich versteht, anjeder einzelnen Zustandsmaschine von dem Sicherheitsingenieur odereinem anderen Anwender individuell konfigurierbar sind, um Erlaubnislogikzu bezeichnen, die fürden Übergangzwischen ausgelöstenund normalen Zuständenoder umgekehrt genutzt wird. Da die Bedingungseingänge voneiner Zustandsmaschine zur nächstenverschieden sein können,kann jedem Wirkungs-Ausgang des Ursache-und-Wirkung-Funktionsblocks 92 einunterschiedliches Übergangsverhaltenzugeordnet sein.
[0038] 4 zeigt ein Zustandsdiagramm 130,das verschiedene Zuständeverdeutlicht, die die Zustandsmaschine 112 zyklisch durchlaufenkann, um von einem ausgelöstenoder sicheren Modus in einen nichtausgelösten oder Normalmodus oderumgekehrt zu gehen. Das Zustandsdiagramm 130 von 4 umfaßt sechs Zustände, diewie folgt definiert sind: ein Ausgelöst-Zustand 132, einWarten-auf-Rücksetzerlaubnis-Zustand 134,ein Bereit-zum-Rücksetzen-Zustand 136,ein Warten-auf-Starterlaubnis-Zustand 138, ein Normalbetriebszustand 140 undein Auslösen-eingeleitet-verzögert-Zustand 142.Die Pfeile zwischen den Zuständenin dem Zustandsdiagramm 130 bezeichnen die möglichenZustandsübergänge zwischenden Zuständen 132 bis 142.
[0039] Wieaus dem Zustandsdiagramm 130 ersichtlich ist, kann dieZustandsmaschine 112 in den Ausgelöst-Zustand 132 ausjedem der Zustände 134, 136, 138, 140 und 142 eintreten,in dem sie sich aktuell befindet, und zwar als Reaktion darauf,daß die Zustandsmaschine 112 eineaktive Ursache an dem Auslösesignaleingang 108 empfängt. Wennsich also die Zustandsmaschine 112 im Normalbetriebszustand 140 befindetund das Effect1-Signal 116 im Normalzustand ist, bewirktdie Anwesenheit von einer oder mehreren aktiven Ursachen auf derAuslösesignalleitung 108,daß dieZustandsmaschine 112 in den Ausgelöst-Zustand 132 eintritt.Ebenso bewirkt die Anwesenheit einer aktiven Ursachenbezeichnungauf der Auslösesignalleitung 108,daß die Zustandsmaschine 112 inden Ausgelöst-Zustand 132 geht,wenn sich die Zustandsmaschine 112 in einem der anderenZustände 134, 136, 138 und 142 befindet.
[0040] Nachdemsie in den Ausgelöst-Zustand 132 gelangtist, zwingt die Zustandsmaschine 112 das Effect1-Signal 116 inden ausgelöstenoder sicheren Wert gemäß der Definitiondurch das Trip_Type-Signal auf Leitung 120. Die Zustandsmaschine 112 bleibtin dem Ausgelöst-Zustand(und hältdadurch das Effect1-Ausgangssignal 116 auf dem ausgelösten odersicheren Wert), bis alle aktiven Ursachensignale auf der Leitung 108 entferntsind, d. h. bis alle Ursachensignale an den Eingängen 100, die in der WirkungEffect1 resultieren, auf einen "Keine-Ursache-vorhanden"-Wert gesetzt sind.Die Zustandsmaschine 112 kann in jeden der Zustände 134, 136, 138 und 140 ausdem Ausgelöst-Zustand 132 eintretenin Abhängigkeitvon den Signalen, die an den Bedingungseingängen 122, 124, 126 und 128 zuder Zustandsmaschine 112 anwesend sind. Wenn beispielsweisedas Require_Reset1-Signal 122 hoch oder aktiv gesetzt istund das Reset_Permit1-Signal 124 niedrig oder inaktiv ist,muß dieZustandsmaschine 132 aus dem Ausgelöst-Zustand 132 inden Warte- oder Rücksetz-Erlaubnis-Zustand 134 gehenund ist nicht imstande, direkt in einen der anderen Zustände einzutreten.Nachdem die Zustandsmaschine 112 in das Warten auf denRücksetz-Erlaubnis-Zustand 134 eingetretenist, prüftdie Zustandsmaschine 112 den Wert des Reset_Permit1-Signals 124. Wenndieses Signal hoch oder aktiv wird, was bedeutet, daß eine Rücksetzerlaubnis(die beispielsweise von einem Bediener oder sonstigem Personal indem Prozeßsteuerungssystem 10,das die Anwenderschnittselle 16 von 1 verwendet, ausgegeben werden kann)von der Zustandsmaschine 112 empfangen worden ist, trittdie Zustandsmaschine 112 in den Bereit-zum-Rücksetzen-Zustand 136 ein.Wenn alternativ das Require_Reset1-Signal 122 niedrig ist (wasbedeutet, daß eineRücksetzerlaubnisnicht notwendig ist), kann die Zustandsmaschine 132 aus demAusgelöst-Zustand 132 direktin den Bereit-zum-Rücksetzen-Zustand 136 übergehen.
[0041] Indem Bereit-zum-Rücksetzen-Zustand 136 bewirktdas Entfernen des Reset_Permit1-Signals 124,wenn das Require_Reset1-Signal 122 aktiv ist, daß die Zustandsmaschine 112 zurück in denWarten-auf-Rücksetzerlaubnis-Zustand 134 geht.Alternativ wartet die Zustandsmaschine 112 im Bereit-zum-Rücksetzen-Zustand 136 darauf,daß das Reset1-Signal 126,das durch eine Tastenbetätigung odereinen Befehl vom Bediener oder durch eine Anwendung wie etwa eineStapelausführungsanwendungerzeugt wird, an dem Bedingungseingang 126 der Zustandsmaschine 112 erscheint.Wenn das Reset1-Signal 126 empfangen wird, gelangt dieZustandsmaschine 112 in den Normalbetriebszustand 140,wenn ein Start_Permit1-Signal 128 am Eingang zu der Zustandsmaschine 112 anwesendoder aktiv ist, oder tritt in den Warten-auf-Starterlaubnis-Zustand 138 ein,wenn das Start_Permit1-Signal an dem Bedingungseingang 128 derZustandsmaschine 112 nicht anwesend oder aktiv ist. Alternativkann die Zustandsmaschine 112 aus dem Ausgelöst-Zustand 132 direktin den Warten-auf-Starterlaubnis-Zustand 138 treten, wenneine Rücksetzerlaubnisnicht notwendig ist oder notwendig und anwesend ist (d. h. wenndas Require_Reset1-Signal 122 inaktiv oder aktiv ist unddas Reset_Permit1-Signal 124 anwesend oder aktiv ist) undwenn das Reset1-Signal 126 anwesend oder aktiv ist.
[0042] Wenndie Zustandsmaschine 112 im Warten-auf-Starterlaubnis-Zustand 138 ist,wartet sie, bis das Start_Permit1-Signal am Bedingungseingang 128 hochoder aktiv wird, und tritt dann in den Normalbetriebszustand 140 ein.Das Start_Permit1-Signal kann von einem Bediener beispielsweise über eineder Anwenderschnittstellen 16 von 1, von einer Anwendung in einer Steuereinheitoder einem anderen Computer innerhalb des Prozeßsteuerungsnetzes 10,von einer Prozeßvariablenoder einem anderen Prozeßsignaloder auf jede andere gewünschteWeise erzeugt werden. Ein Starterlaubnissignal wird jedoch typischerweisevon dem Bediener oder von einer anderen Software innerhalb eines Programmswie etwa einer Stapelsoftwareanwendung erzeugt, um den Ursache-und-Wirkung-Funktionsblockanzuweisen, den Operationszyklus im Normalmodus zu starten.
[0043] DieZustandsmaschine 12 kann direkt aus dem Ausgelöst-Zustand 132 inden Normalbetriebszustand 140 gehen, wenn eine Rücksetzerlaubnis nichtangefordert ist oder angefordert und anwesend ist (d. h. wenn dasRequire_Reset1-Signal 122 inaktiv ist oder aktiv ist unddas Reset_Permit1-Signal 124 anwesend oder aktiv ist) undsowohl das Reset1-Signal 126 als auch das Start_Permit-Signal 128 anwesendoder aktiv sind. In jedem Fall zwingt die Zustandsmaschine 112,wenn sie im Normalbetriebszustand 140 ist, das Effect1-Signal 116 inseinen normalen oder nichtausgelöstenZustand gemäß der Definitiondurch das Trip_Type-Signal 120 und erlaubt dadurch dieSteuerung des Normalbetriebs des Prozesses in bezug auf die WirkungEffect1 durch die Zustandsmaschine 112.
[0044] Esversteht sich, daß dieErlaubnislogik der Zustandsmaschine 112 durch Manipulationvon internen Parametern erreicht oder definiert werden kann, dieals Bedingungseingängezu dem Ursache-und-Wirkung-Funktionsblock 92 exponiertwerden können.Ein Sicherheitsingenieur kann fürjedes Wirkungssignal entscheiden, welche Bedingungssignale erforderlichsind, bevor das Wirkungssignal in den Normalbetriebszustand übergeht.Wenn beispielsweise in dem Zustandsdiagramm von 4 ein Rücksetzen durch den Bedienergefordert wird, sind eine Rücksetzerlaubnis,das Bediener-Rücksetzen selbstund eine Starterlaubnis notwendig, um in den Normalbetriebszustand überzugehen.Wenn ein Bediener-Rücksetzennicht verlangt wird, braucht nur die Start-Erlaubnis anwesend zusein, nachdem alle zugehörigenUrsachensignale inaktiv geworden sind.
[0045] DieZustandsmaschine 112 kann aus dem Normalbetriebszustand 140 unmittelbarin den Ausgelöst-Zustand 132 übergehenbei Empfang von einer oder mehreren aktiven Ursachen auf der Auslösesignalleitung 108 von 2. Falls gewünscht, kanndie Zustandsmaschine 112 aber auch so eingerichtet sein,daß sieaus dem Normalbetriebszustand 140 in den Auslösen-eingeleitet-verzögert-Zustand 142 übergeht,wenn die Zustandsmaschine 112 eine oder mehrere aktiveUrsachen auf der Auslösesignalleitung 108 empfängt. Einseparater Eingang kann jeder der Zustandsmaschinen 112 und 114 zugeführt werden,um anzuzeigen, ob diese Zustandsmaschinen den Auslösen-eingeleitet-verzögert-Zustand 142 nutzensollen, oder die Zustandsmaschinen 112 und 114 können beider Erstellung so konfiguriert werden, daß sie den Auslösen-eingeleitet-verzögert-Zustand 142 nutzenoder nicht nutzen. Wenn sie in dem Auslösen-eingeleitet-verzögert-Zustand 142 ist,setzt die Zustandsmaschine 112 einen Taktgeber oder anderenZählerund zähltabwärts(oder aufwärts)bis zu einem vorbestimmten Wert, um dadurch eine bestimmte Zeitdauerzu warten, bevor sie in den Ausgelöst-Zustand 132 eintritt.Nach Ablauf der Zeitdauer gelangt die Zustandsmaschine 112 inden Ausgelöst-Zustand 132.Währenddes Auslösen-eingeleitet-verzögert-Zustands 142 jedochhält dieZustandsmaschine 112 das Effect1-Ausgangssignal 116 von 2 im normalen oder nichtausgelösten Zustand. Fallsgewünscht,kann die Zustandsmaschine 112 so ausgebildet sein, daß sie imstandeist, wieder in den Normalbetriebszustand 140 einzutreten,wenn sämtlicheUrsachenanzeigen auf der Auslösesignalleitung 108 entferntsind, bevor der Taktgeber fertiggezählt hat, oder wenn ein Abbruchsignal(wie es etwa von einem Bediener ausgegeben wird) von der Zustandsmaschine 112 vorAblauf der Zähldauerdes Taktgebers empfangen wird. Alternativ kann die Zustandsmaschine 112 soausgebildet sein, daß sienur imstande ist, den Auslösen-eingeleitet-verzögert-Zustand 142 inden Ausgelöst-Zustand 132 zubringen. Der Auslösen-eingeleitet-verzögert-Zustand 142 kanndazu genutzt werden zu verhindern, daß Rauschen oder geringfügige Schwankungenin den Ursachensignalen 100 zu einer Abschaltung führen (was imHinblick auf Zeitverlust, Mannstunden und Materialien sehr kostspieligsein kann), oder kann einem Bediener oder anderen Anwender eineMöglichkeit zugeben, eine Abschaltung abzubrechen.
[0046] DasZustandsmaschinendiagramm 130 von 4 zeigt eine Art und Weise, wie es denZustandsmaschinen des Ursache-und-Wirkung-Funktionsblocks 92 ermöglicht wird,den Übergangzwischen einem Normalbetriebszustand und einem Ausgelöst-Zustandzu erreichen und umgekehrt; es versteht sich, daß die Zustandsmaschinen soausgebildet sein könnten,daß sieweniger von diesen Zuständennutzen oder zusätzlicheZuständeoder irgendeine Kombination zwischen beiden nutzen. Ferner ermöglicht esdie Operation der Zustandsmaschinen 112 und 114 demUrsache-und-Wirkung-Funktionsblock 92, eine zusätzlicheFunktionalität über diejenigehinaus zu bieten, die in einer bekannten Ursache-und-Wirkung-Logikgeboten wird, die in anderen Programmierungsumgebungen erzeugt wird.
[0047] Fallsgewünscht,kann die Zustandsmaschine 112 eine Reihe von anderen Ausgängen erzeugen,um beispielsweise einem Bediener oder anderen Anwender Informationzu liefern, oder zur Nutzung durch andere Anwendungen oder Steuerroutineninnerhalb des Prozesses 10. Beispielsweise kann die Zustandsmaschine 112 eineState1-Ausgabe 140 erzeugen, die eine Impulsfolge oderein anderes Signal liefert, das den Zustand (etwa einen der Zustände 132 bis 142 von 4) bezeichnet, in dem sichdie Zustandsmaschine 112 momentan befindet. Außerdem kanndie Zustandsmaschine 112 ein First_Out1-Signal 142 erzeugen, das dieerste Ursache der Ursacheneingaben 100 bezeichnet, diedazu geführthaben, daß dieZustandsmaschine 112 in den Ausgelöst-Zustand 132 eingetretenist. Das First_Out1-Signal 142 kann genutzt werden, nachdemeine Prozeßanlageoder ein Bereich davon abgeschaltet worden ist, um festzustellen,welche Ursache die erste am Eingang der Zustandsmaschine 112 war,die verursacht hat, daß dieZustandsmaschine 112 in den Ausgelöst-Zustand 132 (von 4) gelangt ist. Dieses Signal,das im allgemeinen rückgesetztwird, wenn die Zustandsmaschine in den Normalbetriebsmodus eintritt,ist hilfreich oder kann in manchen Fällen notwendig sein, weil das Überführen desEffect1-Ausgangs 116 in den Ausgelöst-Zustand darin resultierenkann, daß andereUrsachensignale 100 aktiv werden oder den Hochpegel annehmen, wasdazu führenkann, daß diegleichen oder auch andere Wirkungs-Ausgänge ausgelöst werden. Ohne den Erste-Ursache-Ausgangist es dabei schwer zu sagen, welche Ursache die Abschaltfolge ausgelöst hat.
[0048] DerMultiplexer 102 des Ursache-und-Wirkung-Funktionsblocks 92 kannauf der Basis des Werts der Ursachensignale wirksam sein oder Ursachendetektieren, aber der Multiplexer 102 kann zusätzlich oderstatt dessen das Statussignal nutzen, das einem oder mehreren derUrsachensignale 100 zugeordnet ist, um festzustellen, obeine Ursache vorhanden ist. In diesem Fall kann der Multiplexer 102 von 2 einen Statuslogikblock 150 aufweisen,um zu bestimmen, wie und wann Auslösesignale auf den Leitungen 108 und 110 aufder Basis der Ursacheneingängeund der Ursache-und-Wirkung-Matrix 105 zu erzeugen sind.Beispielsweise kann in einer Betriebsart, wie oben beschrieben,der Statuslogikblock 150 den Multiplexer 102 veranlassen,eine Ursachenanzeige auf einer oder mehreren der Auslösesignalleitungen 108 und 110 zuerzeugen, wenn der Wert der eigentlichen Ursachensignale die Anwesenheiteiner Ursache innerhalb der Anlage 10 bezeichnet, wobeies keine Rolle spielt, was der Status der Ursachensignale ist. Ineiner anderen Betriebsart kann der Statuslogikblock 150 desMultiplexers 102 ein Auslösen jeder Wirkungszustandsmaschinefür einebestimmte Ursache gemäß der Definitiondurch die Ursache-und-Wirkung-Matrix 105 veranlassen, wennentweder der Wert des Ursachensignals die Anwesenheit eines detektiertenZustands bezeichnet und der Status des Ursachensignals gut odernormal ist, oder wenn der Status des Ursachensignals schlecht ist,auch wenn der Wert des Ursachensignals in einem guten oder "Ursache-nicht-anwesend"-Zustand ist. Innoch einer anderen Betriebsart kann der Statuslogikblock 150 desMultiplexers 102 das letzte tatsächliche Ursachensignal (für einenbestimmten Ursache-Eingang 100), das einen guten oder normalenStatus hatte, nutzen und alle folgenden Ursachensignale, die einenschlechten Status haben, ignorieren. Wenn in diesem Fall ein Ursachensignaleinen schlechten Status annimmt, nutzt der Multiplexer 102 einfachden letzten Wert, der demjenigen Ursachensignal zugeordnet ist,das einen guten oder normalen Status hat (wodurch das schlechteUrsachensignal im wesentlichen ignoriert wird). Selbstverständlich könnte derStatuslogikblock 150 des Multiplexers 102 andereKombinationen der Wert- und Statusanzeigen oder andere Parameterfür jedesUrsachensignal nutzen, um die An- oder Abwesenheit einer Ursacheinnerhalb der Prozeßanlage 10 zudetektieren.
[0049] Eswurde zwar nur die Operation der Zustandsmaschine 112 beschrieben,es versteht sich jedoch, daß jededer anderen Zustandsmaschinen wie etwa die Zustandsmaschine 114 desUrsache-und-Wirkung-Funktionsblocks 92 auf gleiche Weisewie in bezug auf die Zustandsmaschine 112 beschrieben wirksamist. Ebenso kann jede Anzahl von verschiedenen Zustandsmaschinenin jedem bestimmten Ursache-und-Wirkung-Funktionsblock vorgesehen sein, wobeidie Anzahl durch die Anzahl der Wirkungen bestimmt ist, die vondem Ursache-und-Wirkung-Funktionsblock erzeugt oder gesteuert werden.
[0050] Fallsgewünscht,kann der Ursache-und-Wirkung-Funktionsblock 92 andere Parameterund Statusmerkmale aufweisen. Beispielsweise kann der Ursache-und-Wirkung-Funktionsblock 92 einen Zwangswirkungsparameteraufweisen, der von einem Anwender, einer anderen Anwendung usw.vorgegeben sein kann, um eines oder mehrere der Wirkungssignalein den ausgelöstenoder sicheren Zustand zu zwingen. Ein solcher Parameter kann dazu genutztwerden, einen Abschaltprozeß zuverursachen oder das System in einem Abschaltzustand zu halten.Die Operation des Zwangswirkungsparameters kann einen Sofort-Abschaltvorganggemäß der Definitiondurch die Wirkung, die in den ausgelösten Zustand gezwungen wird,verursachen, und zwar auch dann, wenn die Zustandsmaschine, dieder in den ausgelöstenZustand gezwungenen Wirkung zugeordnet ist, sich in dem Auslösen-eingeleitet-verzögert-Zustand 142 von 4 befindet. Ebenso kann einZwangsnormalparameter, der der gleiche oder ein anderer Parameterals der Zwangswirkungsparameter sein kann, eine Wirkung in einenNormalzustand oder -wert zwingen, und zwar ungeachtet der am Eingangdes Ursache-und-Wirkung-Funktionsblocks anwesenden Ursachensignale.
[0051] JedesWirkungssignal oder jeder Ausgang des Ursache-und-Wirkung-Funktionsblockskann einen ihm zugeordneten Status haben, der beispielsweise durchden Zustand, in dem sich die Zustandsmaschine, die dem Wirkungssignalzugeordnet ist, befindet, oder durch den Status der Ursachensignale,die dem Wirkungssignal zugeordnet sind (gemäß der Definition durch dieMatrixlogik, die in dem Multiplexer 102 verwendet wird),bestimmt ist. Wenn dabei die Statuslogik 150 des Multiplexers 102 denStatus der Ursachensignale ignoriert oder eine Anwesenheit einerUrsache detektiert, wenn der Status eines Ursachensignals schlechtist, kann der Status des Wirkungssignals auf gut gesetzt werden,es sei denn, der Status von jedem der Ursachensignale, die dem Wirkungssignalzugeordnet sind (gemäß der Definitiondurch die Matrixlogik 105), ist schlecht, und in diesemFall wird der Status des Wirkungssignals auf schlecht gesetzt. DerStatus des Wirkungssignals kann auf gut gesetzt werden, wenn dieStatuslogik 150 den letzten guten Wert der Ursachensignale nutzt,d. h. die Ursachensignale mit schlechtem Status ignoriert. Natürlich könnten für jedesWirkungssignal andere Statusbedingungen definiert werden.
[0052] EinUrsachenmaskenparameter kann dem Ursache-und-Wirkung-Funktionsblockhinzugefügt sein,um unter bestimmten Bedingungen zu verhindern, daß einesoder mehrere Ursachensignale aktiv werden. Beispielsweise kann einStapelausführungsprogrammden Ursachenmaskenparameter füreines oder mehrere Ursachensignale, die in den Ursache-und-Wirkung-Funktionsblockeingegeben werden, setzen, wenn kein Stapel abgearbeitet wird, wodurchdas Auslösender Wirkungen verhindert wird, wenn nicht zu erwarten ist, daß ein Problemvorliegt.
[0053] Ein Übersteuerungsparameterkann von dem Ursache-und-Wirkung-Funktionsblock verwendet oder ausgegebenwerden, um anzugeben, wenn die normale Logik des Ursache-und-Wirkung-Funktionsblocksnicht genutzt wird. Dies kann beispielsweise der Fall sein, wennder Ursachenmaskenparameter gesetzt ist, wenn die Zwangsnormal-oder Zwangswirkungs-Parameter gesetzt sind usw. Dieser Parameterkann beispielsweise in einer Anwenderschnittstelle genutzt werden,um Status- oder Alarminformation an einen Anwender wie etwa einenBediener zu liefern. Selbstverständlichkann der Ursache-und-Wirkung-Funktionsblockalle gewünschten Warnsignaleliefern, etwa Alarme, die einen schlechten Status, einen Zwangswirkungs-oder einen Zwangsnormalzustand, einen ausgelösten Zustand an einer odermehreren der Wirkungen usw. bezeichnen. Es versteht sich, daß alle sonstigengewünschtenAlarme ebenso oder zusätzlichzu den hier beschriebenen genutzt werden können.
[0054] Esist ersichtlich, daß dieVerwendung des Ursache-und-Wirkung-Funktionsblocks, wie sie hier beschriebenwird, die Erzeugung eines Funktionsblocks vereinfacht, der ein bekanntesFormat hat und somit, nachdem er einmal erzeugt ist, nur mit einer entsprechendenMatrix und Parametervorgaben programmiert werden muß, um dierichtige Operation zu ermöglichen.Die Implementierung des Ursache-und-Wirkung-Funktionsblocks innerhalb einer Funktionsblock-Programmierumgebungist leicht, weil der Ursache-und-Wirkung-Funktionsblock auf jedebekannte oder gewünschteWeise erzeugt und kommunikativ mit anderen Funktionsblöcken verbundenwerden kann. Ebenso wird das Durchprüfen des Ursache-und-Wirkung-Funktionsblockseinfacher als im Fall von Ursache-und-Wirkung-Matrixlogik, die in anderenProgrammiersprachen erzeugt ist, weil der Ursache-und-Wirkung-Funktionsblocktypischerweise nur im Zusammenhang damit, wie er innerhalb der Programmierumgebungverschaltet ist, und in bezug auf die ihm übermittelten Konfigurationsparameter durchgeprüft werdenmuß. Fernerist die Dokumentation des Ursache-und-Wirkung-Funktionsblocks einfach,weil es ein typischer Funktionsblock ist, der Standarddokumentationhat, die nur durch seine individuellen Parameter- und Matrixvorgabengeändert wird.
[0055] 1 zeigt zwar, daß die Ursache-und-Wirkung-Funktionsblöcke 92 und 94 Eingabenvon AI-, DI-, Entscheider- oder anderen Funktionsblöcken empfangen,aber die Ursacheneingaben könnenvon jeder anderen Art von Funktionsblöcken kommen oder als andereSignale innerhalb der Prozeßanlage 10 erzeugtwerden. Ferner sind zwar die Wirkungsausgaben der Ursache-und-Wirkung-Funktionsblöcke 92 und 94 alsmit Ausgabefunktionsblöckenwie AO-, DO- oder anderen Ausgabefunktionsblöcken verbunden gezeigt, aberdiese Ausgängekönnenmit jeder anderen gewünschtenArt von Funktionsblöckenverbunden sein wie etwa Sequencer-Funktionsblöcken, Zwischen-Funktionsblöcken usw.oder auch direkt mit anderen Anwendungen oder Programmierungsumgebungeninnerhalb der Prozeßanlage 10. Ebensoist die hier beschriebene Logik unter Anwendung eines Funktionsblock-Programmierungsparadigmasausgeführt,aber die gleiche Logik kann in anderen Arten von Programmierungsumgebungenvorgesehen sein und dennoch als Funktionsblock im vorliegenden Sinnangesehen werden. Ferner werden die hier beschriebenen Ursache-und-Wirkung-Funktionsblöcke zurVerwendung in einem Sicherheitssystem einer Prozeßanlageoder Prozeßsteuerungsumgebungbeschrieben, aber diese oder gleichartige Funktionsblöcke könnten ineiner Standard-Prozeßsteuerungsumgebungoder fürandere gewünschteVerwendungen, bei denen es sich nicht um ein Sicherheitssystem handelt,genutzt werden.
[0056] Fernersind die Ursache-und-Wirkung-Funktionsblöcke hier so beschrieben, daß sie Zustandsmaschinenaufweisen, es versteht sich jedoch, daß diese Zustandsmaschinen injeder Form etwa via Hardware oder Software implementiert sein können, diein jeder beliebigen Programmiersprache geschrieben ist. Um einesolche Zustandsmaschine zu sein, braucht ein Element wie etwa einSoftwareprogramm, eine Routine, ein Objekt usw. nur den Funktionsblockzum Übergangzwischen Zuständenzu veranlassen, wie hier erläutertoder definiert wurde oder durch die Ausgänge von Funktionsblöcken dargestelltist, um dadurch den Übergangder Wirkungs-Ausgängevon einem sicheren oder ausgelöstenZustand in einen normalen oder nicht-ausgelösten Zustand oder umgekehrtzu bewirken.
[0057] Wennsie implementiert sind, könnenalle hier beschriebenen Elemente einschließlich des Multiplexers, derBlöcke,Zustandsmaschinen, Signalverbindungen usw. in Software implementiertsein, die in jedem computerlesbaren Speicher wie etwa auf einerMagnetplatte, einer Laser- oder Bildplatte oder einem anderen Speichermedium,in einem RAM oder ROM eines Computers oder Prozessors usw. gespeichertist. Hier beschriebene Signale und Signalleitungen können jedeForm haben, was tatsächlicheDrähte,Datenregister, Speicherplätzeusw. einschließt. DieseSoftware kann jede Form haben, etwa Anwendungssoftware, die aufeinem Universalcomputer oder -prozessor ausgeführt wird, oder hartcodierte Software,die beispielsweise in eine anwendungsspezifische integrierte Schaltungbzw. ASIC gebrannt ist, ein EPROM, EEPROM oder jede andere Firmware-Einrichtung.Ebenso kann diese Software einem Anwender, einer Prozeßanlage,einer Bediener-Workstation, einer Steuereinheit, einem Logikauflöser oderjeder anderen Recheneinrichtung unter Anwendung jedes bekanntenoder gewünschten Lieferverfahrensgeliefert werden, beispielsweise auf einer computerlesbaren Platteoder einer anderen transportierbaren Computerspeichereinrichtungoder übereinen Übertragungskanalwie etwa eine Telefonleitung, das Internet, das World Wide Web,jedes andere lokale Netz oder weiträumige Netz usw. (wobei dieseLieferung als gleich oder austauschbar mit der Lieferung dieserSoftware auf einem transportierbaren Speichermedium angesehen wird).Ferner kann diese Software direkt ohne Modulation oder Verschlüsselunggeliefert werden oder moduliert und/oder verschlüsselt werden unter Anwendungjeder geeigneten Modulationsträgerwelleund/oder Verschlüsselungstechnik,bevor sie übereinen Kommunikationskanal übermitteltwird.
[0058] Selbstverständlich können diehier beschriebenen Blöckeunter Verwendung eines externen Prozeßsteuerungs-Kommunikationsprotokolls(neben einem Fieldbus-Protokoll oder einem DeltaV-Protokoll) implementiertund könnenverwendet werden, um mit jeder Art von Funktionsblock zu kommuniziereneinschließlichjedes Funktionsblocks, der gleichartig oder gleich wie jeder derverschiedenen Funktionsblöckeist, die speziell von dem Fieldbus-Protokoll bezeichnet und unterstützt werden.Außerdem werdenzwar die Ursache-und-Wirkung-Funktionsblöcke bei einer Ausführungsformder Erfindung als Fieldbus-"Funktionsblöcke" bezeichnet, es istaber zu beachten, daß derhier verwendete Ausdruck "Funktionsblock" nicht auf das beschränkt ist,was das Fieldbus-Protokoll als Funktionsblock bezeichnet, sondernstatt dessen jede andere Art von Block-, Programm-, Hardware-, Firmware-Entität usw. umfaßt, dieirgendeiner Art von Steuerungssystem und/oder Kommunikationsprotokollzugeordnet ist, das zur Implementierung der Funktionalität einerProzeßsteuerungsroutinegenutzt werden kann oder das einen vordefinierten Aufbau oder einvordefiniertes Protokoll hat, um anderen derartigen Funktionsblöcken Informationenoder Daten zu liefern. Funktionsblöcke haben also zwar typischerweisedie Form von Objekten innerhalb einer objektorientierten Programmierungsumgebung,dies braucht jedoch nicht der Fall zu sein, und es kann sich stattdessen um andere Logikeinheiten handeln, die zur Ausführung vonbestimmten Steuerungsfunktionen (einschließlich Eingabe- und Ausgabefunktionen)innerhalb einer Prozeßanlageoder Steuerungsumgebung dienen, wobei jede gewünschte Programmierungsstrukturoder jedes Programmierungsparadigma verwendet wird.
[0059] Dievorliegende Erfindung wird zwar unter Bezugnahme auf bestimmte Ausführungsformenbeschrieben, diese sind jedoch nur beispielhaft und sollen die Erfindungnicht einschränken.Für denFachmann auf dem Gebiet ist ersichtlich, daß Änderungen, Hinzufügungen undWeglassungen an den beschriebenen Ausführungsformen vorgenommen werdenkönnen,ohne vom Umfang der Erfindung abzuweichen.

权利要求:
Claims (47)
[1] Funktionsblockentität zum Gebrauch in einer Prozeßanlage,die einen Prozessor hat, der ausgebildet ist, um eines oder mehrereFeldgerätezu steuern, dadurch gekennzeichnet, daß die Funktionsblockentität folgendesaufweist: ein computerlesbares Medium; und einen Funktionsblock,der auf dem computerlesbaren Medium gespeichert und so ausgebildetist, daß er aufdem Prozessor ausgeführtwerden kann, wobei der Funktionsblock folgendes aufweist: einenSatz von Ursache-Eingängen,die so ausgebildet sind, daß sieUrsachesignale von innerhalb der Prozeßanlage empfangen, wobei jedesder Ursachesignale die An- oder Abwesenheit einer detektierten Ursache-Bedingungbezeichnet; einen oder mehrere Wirkungs-Ausgänge, dieso ausgebildet sind, daß sieein Wirkungssignal liefern, um innerhalb der Prozeßanlageeine Wirkung zu erzeugen; Ursache-und-Wirkung-Matrixlogik,die jeden der Ursache-Eingängemit den Wirkungs-Ausgängenin Beziehung setzt; einen Multiplexer, der mit jedem der Ursache-Eingänge gekoppeltist und die Ursache-und-Wirkung-Matrixlogik nutzt, um eines odermehrere Auslösesignalezu erzeugen; und eine oder mehrere Zustandsmaschinen, wobeijede Zustandsmaschine mit einem jeweils anderen der Auslösesignaleund mit einem jeweils anderen der Wirkungs-Ausgänge gekoppelt ist, und wobeijede Zustandsmaschine so ausgebildet ist, daß sie einen zugeordneten Wirkungs-Ausgangin Abhängigkeit voneinem zugeordneten der Auslösesignalein einen ausgelöstenWert zwingt.
[2] Funktionsblockentität nach Anspruch 1, dadurchgekennzeichnet, daß eineder Zustandsmaschinen einen oder mehrere Bedingungseingänge aufweistund so ausgebildet ist, daß sieden zugeordneten Wirkungs-Ausgang in den ausgelösten Wert zwingt, wenn siein einem ersten Zustand ist, den zugeordneten Wirkungs-Ausgang ineinen Normalwert zwingt, wenn sie in einem zweiten Zustand ist,und einen oder mehrere zusätzlicheZuständezyklisch durchläuft,wenn sie auf der Basis von Signalen an dem einen oder den mehrerenBedingungseingängenvon dem ersten Zustand in den zweiten Zustand übergeht.
[3] Funktionsblockentität nach Anspruch 2, dadurchgekennzeichnet, daß einerder Bedingungseingängeein Rücksetzerlaubnisbedingungs-Eingang ist,der eine Erlaubnis zum Rücksetzendes zugeordneten Wirkungs-Ausgangs bezeichnet, und daß einer vondem einen oder den mehreren zusätzlichenZuständenein Rücksetzzustandist, in dem die eine von den Zustandsmaschinen auf ein Rücksetzerlaubnissignalan dem Rücksetzerlaubnisbedingungs-Eingangwartet.
[4] Funktionsblockentität nach Anspruch 3, dadurchgekennzeichnet, daß einzweiter von den Bedingungseingängenein Erlaubnisanforderungsbedingungs-Eingang ist, der bezeichnet,ob ein Rücksetzerlaubnissignalerforderlich ist, um das zugeordnete Wirkungssignal rückzusetzen.
[5] Funktionsblockentität nach Anspruch 3, dadurchgekennzeichnet, daß einzweiter von den Bedingungseingängenein Rücksetzsignaleingangist, der bezeichnet, daß dieeine von den Zustandsmaschinen den zugeordneten Wirkungs-Ausgangrücksetzensoll, und daß einzweiter von dem einen oder den mehreren zusätzlichen Zuständen einzusätzlicherRücksetzzustandist, in dem die eine von den Zustandsmaschinen auf ein Rücksetzsignalan dem Rücksetzsignaleingangwartet.
[6] Funktionsblockentität nach Anspruch 5, dadurchgekennzeichnet, daß eindritter von den Bedingungseingängenein Starterlaubnis-Eingang ist, der bezeichnet, daß die einevon den Zustandsmaschinen in den zweiten Zustand gehen soll, indem der zugeordnete Wirkungs-Ausgang in den Normalwert gezwungenwird, und daß eindritter von dem einen oder den mehreren zusätzlichen Zuständen einStartzustand ist, in dem die eine von den Zustandsmaschinen aufein Starterlaubnissignal an dem Starterlaubniseingang wartet.
[7] Funktionsblockentität nach Anspruch 2, dadurchgekennzeichnet, daß einervon den Bedingungseingängenein Rücksetzsignaleingangist, der bezeichnet, daß dieeine von den Zustandsmaschinen den zugeordneten Wirkungs-Ausgangrücksetzensoll, und daß einervon dem einen oder den mehreren zusätzlichen Zuständen einRücksetzzustand ist,in dem die eine der Zustandsmaschinen auf ein Rücksetzsignal an dem einen vondem Rücksetzsignaleingangwartet.
[8] Funktionsblockentität nach Anspruch 2, dadurchgekennzeichnet, daß einerder Bedingungseingängeein Starterlaubniseingang ist, der bezeichnet, daß die einevon den Zustandsmaschinen in den zweiten Zustand gehen soll, indem der zugeordnete Wirkungs-Ausgang in den Normalwert gezwungen ist,und daß einervon dem einen oder den mehreren zusätzlichen Zuständen einStartzustand ist, in dem die eine von den Zustandsmaschinen aufein Starterlaubnissignal an dem Starterlaubniseingang wartet.
[9] Funktionsblockentität nach Anspruch 2, dadurchgekennzeichnet, daß dieeine von den Zustandsmaschinen so ausgebildet ist, daß sie ineinen weiteren Zustand eintritt, wenn sie von dem zweiten Zustandin den ersten Zustand geht, wobei der weitere Zustand bewirkt, daß die einevon den Zustandsmaschinen eine vorbestimmte Zeitdauer abwartet, bevorsie in den ersten Zustand geht.
[10] Funktionsblockentität nach Anspruch 9, dadurchgekennzeichnet, daß dieeine von den Zustandsmaschinen einen Taktgeber aufweist, um die vorbestimmteZeitdauer zu bestimmen, währendder die eine der Zustandsmaschinen in dem weiteren Zustand ist.
[11] Funktionsblockentität nach Anspruch 2, dadurchgekennzeichnet, daß dieeine von den Zustandsmaschinen eine weitere Ausgabe erzeugt, die einenbestimmten Zustand bezeichnet, in dem sich die eine von den Zustandsmaschinenbefindet.
[12] Funktionsblockentität nach Anspruch 1, dadurchgekennzeichnet, daß dieeine von den Zustandsmaschinen so ausgebildet ist, daß sie denzugeordneten Wirkungs-Ausgang in den ausgelösten Wert zwingt, wenn siein einem ersten Zustand ist, den zugeordneten Wirkungs-Ausgang ineinen Normalwert zwingt, wenn sie in einem zweiten Zustand ist,und so ausgebildet ist, daß siebeim Übergang vondem zweiten Zustand in den ersten Zustand einen dritten Zustandzyklisch durchläuft,wobei der dritte Zustand bewirkt, daß die eine von den Zustandsmaschineneine vorbestimmte Zeitdauer wartet, bevor sie in den ersten Zustandgeht.
[13] Funktionsblockentität nach Anspruch 12, dadurchgekennzeichnet, daß dieeine von den Zustandsmaschinen einen Taktgeber aufweist, um die vorbestimmteZeitdauer zu bestimmen, währendder die eine von den Zustandsmaschinen in dem dritten Zustand ist.
[14] Funktionsblockentität nach Anspruch 1, dadurchgekennzeichnet, daß derMultiplexer so ausgebildet ist, daß er einen Wert der Ursachen-Eingaben gemeinsammit der Ursache-und-Wirkung-Matrixlogik verwendet, um das eine oderdie mehreren Auslösesignalezu erzeugen.
[15] Funktionsblockentität nach Anspruch 1, dadurchgekennzeichnet, daß einesder Ursachen-Signale einen Wert und einen Status aufweist und daß der MultiplexerStatuslogik aufweist, die so ausgebildet ist, daß sie den Status und den Wertdes einen der Ursachensignale gemeinsam mit der Ursache-und-Wirkung-Matrixlogiknutzt, um das eine oder die mehreren Auslösesignale zu erzeugen.
[16] Funktionsblockentität nach Anspruch 15, dadurchgekennzeichnet, daß dieStatuslogik des Multiplexers eines von dem einen oder den mehreren Auslösesignalennach Maßgabeder Ursache-und-Wirkung-Matrixlogik erzeugt, wenn der Status deseinen der Ursachensignale schlecht ist.
[17] Funktionsblockentität nach Anspruch 16, dadurchgekennzeichnet, daß dieStatuslogik ferner das eine von dem einen oder den mehreren Auslösesignalennach Maßgabeder Ursache-und-Wirkung-Matrixlogik erzeugt, wenn der Status vondem einen der Ursachensignale gut ist und wenn der Wert des einen vonden Ursachensignalen die Anwesenheit einer Bedingung bezeichnet.
[18] Funktionsblockentität nach Anspruch 15, dadurchgekennzeichnet, daß dieStatuslogik des Multiplexers eines von dem einen oder den mehreren Auslösesignalennach Maßgabeder Ursache-und-Wirkung-Matrixlogik unter Nutzung des letzten Wertsvon dem einen der Ursachensignale erzeugt, für welches der Status gut war.
[19] Funktionsblockentität nach Anspruch 1, ferner gekennzeichnetdurch eine Auslösetyp-Bezeichnung,die einen Wert von einem der Ursachensignale definiert, das derAnwesenheit einer Ursache zugeordnet ist, und wobei der Multiplexerdie Auslösetyp-Bezeichnung nutzt,um auf der Basis des Werts von dem einen der Ursachensignale dieAnwesenheit einer Ursache zu detektieren.
[20] Funktionsblockentität nach Anspruch 1, ferner gekennzeichnetdurch eine Auslösetyp-Bezeichnung,die einen Wert von einem der Wirkungs-Ausgänge bezeichnet, der dem ausgelösten Wertzugeordnet ist, und wobei eine von den Zustandsmaschinen die Auslösetyp-Bezeichnungnutzt, um den zugeordneten Wirkungs-Ausgang auf den ausgelösten Wertzu setzen.
[21] Funktionsblockentität nach Anspruch 1, dadurchgekennzeichnet, daß einevon den Zustandsmaschinen eine weitere Ausgabe erzeugt, die eine ersteUrsacheneingabe bezeichnet, die darin resultiert hat, daß die eineder Zustandsmaschinen den zugeordneten Wirkungsausgang in den ausgelösten Wertgezwungen hat.
[22] Steuerungssystem zum Gebrauch in einer Prozeßanlage,die eine Vielzahl von Feldgerätenhat, die innerhalb eines Prozesses verbunden sind, dadurchgekennzeichnet, daß dasSteuerungssystem folgendes aufweist: eine Steuerungsvorrichtung,die mit der Vielzahl von Feldgerätenkommunikativ gekoppelt ist, wobei die Steuerungsvorrichtung einenProzessor und ein computerlesbares Medium aufweist; und einenSteuerblock, der auf dem computerlesbaren Medium gespeichert unddazu ausgebildet ist, auf dem Prozessor ausgeführt zu werden, wobei der Steuerblockfolgendes aufweist: einen Satz von Ursache-Eingängen, diedazu ausgebildet sind, Ursachensignale von innerhalb der Prozeßanlagezu empfangen, wobei jedes der Ursachensignale eine An- oder eineAbwesenheit einer detektierten Ursachenbedingung bezeichnet; einenoder mehrere Wirkungs-Ausgänge,die dazu ausgebildet sind, ein Wirkungssignal abzugeben, um eineWirkung innerhalb der Prozeßanlage,die eines von der Vielzahl von Feldgeräten verwendet, zu erzeugen; Ursache-und-Wirkung-Matrixlogik,die jeden der Ursache-Eingängemit den Wirkungs-Ausgängenin Beziehung setzt; einen Multiplexer, der mit jedem der Ursache-Eingänge gekoppeltist und die Ursache-und-Wirkung-Matrixlogik nutzt, um eines odermehrere Auslösesignalezu erzeugen; und eine oder mehrere Zustandsmaschinen, wobeijede Zustandsmaschine mit einem jeweils anderen der Auslösesignalegekoppelt ist und jeweils mit einem anderen der Wirkungs-Ausgänge gekoppeltist, wobei jede Zustandsmaschine dazu ausgebildet ist, einen zugeordnetenWirkungs-Ausgang in Abhängigkeitvon einem zugeordneten der Auslösesignalein einen ausgelöstenWert zu zwingen.
[23] Steuerungssystem nach Anspruch 22, dadurch gekennzeichnet,daß derSteuerblock ein Funktionsblock ist.
[24] Steuerungssystem nach Anspruch 22, dadurch gekennzeichnet,daß derSteuerblock ein Funktionsblock ist, der einem Fieldbus-Protokollentspricht.
[25] Steuerungssystem nach Anspruch 22, dadurch gekennzeichnet,daß einevon den Zustandsmaschinen einen oder mehrere Bedingungseingänge aufweistund so ausgebildet ist, daß sieden zugeordneten Wirkungs-Ausgang in den ausgelösten Wert zwingt, wenn siein einem ersten Zustand ist, den zugeordneten Wirkungs-Ausgang ineinen Normalwert zwingt, wenn sie in einem zweiten Zustand ist,und auf der Basis von Signalen an dem einen oder den mehreren Bedingungseingängen einenoder mehrere zusätzlicheZuständezyklisch durchläuft,wenn sie von dem ersten Zustand in den zweiten Zustand übergeht.
[26] Steuerungssystem nach Anspruch 25, dadurch gekennzeichnet,daß einerder Bedingungseingängeein Rücksetzerlaubnisbedingungs-Eingang ist,der eine Erlaubnis zum Rücksetzendes zugeordneten Wirkungs-Ausgangs bezeichnet, und daß einer vondem einen oder den mehreren zusätzlichenZuständenein Rücksetzzustandist, in dem die eine von den Zustandsmaschinen auf ein Rücksetzerlaubnissignalan dem Rücksetzerlaubnisbedingungs-Eingangwartet.
[27] Steuerungssystem nach Anspruch 25, dadurch gekennzeichnet,daß einervon den Bedingungseingängenein Rücksetzsignaleingangist, der bezeichnet, daß dieeine von den Zustandsmaschinen den zugeordneten Wirkungs-Ausgangrücksetzensoll, und daß einervon dem einen oder den mehreren zusätzlichen Zuständen einRücksetzzustand ist,in dem die eine von den Zustandsmaschinen auf ein Rücksetzsignalan dem Rücksetzsignaleingang wartet.
[28] Steuerungssystem nach Anspruch 25, dadurch gekennzeichnet,daß einervon den Bedingungseingängenein Starterlaubniseingang ist, der bezeichnet, daß die einevon den Zustandsmaschinen in den zweiten Zustand eintreten soll,in dem der zugeordnete Wirkungs-Ausgang in den Normalwert gezwungenist, und daß einervon dem einen oder den mehreren zusätzlichen Zuständen einStartzustand ist, in dem die eine von den Zustandsmaschinen aufein Starterlaubnissignal an dem einen Starterlaubniseingang wartet.
[29] Steuerungssystem nach Anspruch 25, dadurch gekennzeichnet,daß dieeine von den Zustandsmaschinen so ausgebildet ist, daß sie beim Übergangvon dem zweiten Zustand in den ersten Zustand in einen weiterenZustand eintritt, wobei der weitere Zustand bewirkt, daß die einevon den Zustandsmaschinen eine vorbestimmte Zeitdauer wartet, bevorsie in den ersten Zustand eintritt.
[30] Steuerungssystem nach Anspruch 25, dadurch gekennzeichnet,daß dieeine von den Zustandsmaschinen eine weitere Ausgabe erzeugt, die einenbestimmten Zustand bezeichnet, in dem sich die eine von den Zustandsmaschinenbefindet.
[31] Steuerungssystem nach Anspruch 22, dadurch gekennzeichnet,daß einesvon den Ursachensignalen einen Wert und einen Status aufweist und daß der MultiplexerStatuslogik aufweist, die dazu ausgebildet ist, den Status und denWert des einen der Ursachensignale gemeinsam mit der Ursache-und-Wirkung-Matrixlogikzu nutzen, um das eine oder mehrere Auslösesignale zu erzeugen.
[32] Steuerungssystem nach Anspruch 31, dadurch gekennzeichnet,daß dieStatuslogik des Multiplexers eines von dem einen oder den mehreren Auslösesignalennach Maßgabeder Ursache-und-Wirkung-Matrixlogik erzeugt, wenn der Status deseinen der Ursachensignale schlecht ist.
[33] Steuerungssystem nach Anspruch 31, dadurch gekennzeichnet,daß dieStatuslogik des Multiplexers eines von dem einen oder den mehreren Auslösesignalennach Maßgabeder Ursache-und-Wirkung-Matrixlogik erzeugt unter Nutzung des letztenWerts des einen der Ursachensignale, für welches der Status gut war.
[34] Steuerungssystem nach Anspruch 22, dadurch gekennzeichnet,daß einevon den Zustandsmaschinen eine weitere Ausgabe erzeugt, die eine ersteUrsacheneingabe bezeichnet, die darin resultiert hat, daß die einevon den Zustandsmaschinen den zugeordneten Wirkungs-Ausgang in denausgelöstenWert gezwungen hat.
[35] Steuerungssystem nach Anspruch 22, dadurch gekennzeichnet,daß derSteuerungsblock ein erster Funktionsblock ist, wobei das Systemferner zusätzlicheFunktionsblöckeaufweist, die mit dem ersten Funktionsblock über die Ursache-Eingänge oderdie Wirkungs-Ausgängekommunikativ verbunden sind.
[36] Verfahren, um eines oder mehrere Wirkungssignale,die innerhalb einer Prozeßanlagezur Steuerung von Feldgerätendienen, zwangsweise zwischen einem Normalwert und einem ausgelösten Wertzu ändern, dadurchgekennzeichnet, daß dasVerfahren die folgenden Schritte aufweist: Empfangen einesSatzes von Ursachensignalen von innerhalb der Prozeßanlage,wobei jedes der Ursachensignale eine An- oder eine Abwesenheit einer detektiertenUrsachenbedingung bezeichnet; Speichern von Ursache-und-Wirkung-Matrixlogik,die jedes der Ursachensignale mit einem oder mehreren Wirkungssignalenin Beziehung setzt; Nutzen der Ursache-und-Wirkung-Matrixlogik,um einen Satz von Auslösesignalenauf der Basis der Ursachensignale zu erzeugen; Abgeben vonjedem der Auslösesignalean eine separate Zustandsmaschine, wobei jede Zustandsmaschine einemjeweils anderen der Wirkungssignale zugeordnet ist; und Nutzender Zustandsmaschinen zum Erzeugen der Wirkungssignale, so daß diesein Abhängigkeitvon den Auslösesignalenin dem Normalwert oder in dem ausgelösten Wert sind.
[37] Verfahren nach Anspruch 36, dadurch gekennzeichnet,daß dasNutzen der Zustandsmaschinen folgendes aufweist: Zwingen von einemder Wirkungssignale in den ausgelösten Wert auf der Basis voneinem der Auslösesignale,wenn eine der Zustandsmaschinen in einem ersten Zustand ist, Zwingendes einen der Wirkungssignale auf der Basis des einen der Auslösesignalein einen Normalwert, wenn die eine der Zustandsmaschinen in einemzweiten Zustand ist, und ferner folgendes aufweist: Abgeben voneinem oder mehreren Bedingungssignalen an die eine der Zustandsmaschinenund zyklisches Durchlaufenlassen der einen der Zustandsmaschinendurch einen oder mehrere zusätzlicheZustände aufder Basis von Werten von dem einen oder den mehreren Bedingungssignalen,wenn sie von dem ersten Zustand in den zweiten Zustand übergeht.
[38] Verfahren nach Anspruch 37, dadurch gekennzeichnet,daß dasAbgeben von einem oder mehreren Bedingungssignalen aufweist: Abgebeneines Rücksetzerlaubnissignals,das eine Erlaubnis zum Rücksetzendes einen der Wirkungssignale bezeichnet, und daß das zyklische Durchlaufenlassen dereinen der Zustandsmaschinen durch den einen oder mehrere zusätzlicheZuständeaufweist: Bewirken, daß dieeine der Zustandsmaschinen in einen Rücksetzzustand eintritt, indem die eine Zustandsmaschine auf das Rücksetzerlaubnissignal wartet.
[39] Verfahren nach Anspruch 37, dadurch gekennzeichnet,daß dasAbgeben von einem oder mehreren Bedingungssignalen aufweist: Abgebeneines Rücksetzsignals,das einen Befehl zum Rücksetzendes einen der Wirkungssignale bezeichnet, und daß das zyklische Durchlaufenlassender einen der Zustandsmaschinen durch den einen oder mehrere zusätzlicheZuständeaufweist: Bewirken, daß die eineder Zustandsmaschinen in einen Rücksetzzustandeintritt, in dem die eine der Zustandsmaschinen auf das Rücksetzsignalwartet.
[40] Verfahren nach Anspruch 37, dadurch gekennzeichnet,daß dasAbgeben von einem oder mehreren Bedingungssignalen aufweist: Abgebeneines Starterlaubnissignals, das eine Erlaubnis zum Starten desProzesses bezeichnet, der von dem einen der Wirkungssignale ausgeführt wird,und daß daszyklische Durchlaufenlassen der einen der Zustandsmaschinen durchden einen oder mehrere zusätzlicheZuständeaufweist: Bewirken, daß dieeine der Zustandsmaschinen in einen Startzustand eintritt, in demdie eine der Zustandsmaschinen auf das Starterlaubnissignal wartet.
[41] Verfahren nach Anspruch 37, ferner gekennzeichnetdurch Erzeugen eines Ausgangssignals, das einen bestimmten Zustandbezeichnet, in dem sich die eine der Zustandsmaschinen befindet.
[42] Verfahren nach Anspruch 36, dadurch gekennzeichnet,daß dieVerwendung der Zustandsmaschinen aufweist: Zwingen von einem derWirkungssignale in den ausgelöstenWert auf der Basis von einem der Auslösesignale, wenn eine der Zustandsmaschinenin einem ersten Zustand ist, Zwingen des einen der Wirkungssignalein den Normalwert auf der Basis des einen der Auslösesignale,wenn die eine der Zustandsmaschinen in einem zweiten Zustand ist,und ferner aufweist: Bewirken, daß die eine der Zustandsmaschinenzyklisch einen dritten Zustand durchläuft, wenn sie von dem zweitenZustand in den ersten Zustand übergeht,wobei der dritte Zustand bewirkt, daß die eine der Zustandsmaschineneine vorbestimmte Zeitdauer wartet, bevor sie in den ersten Zustandeintritt.
[43] Verfahren nach Anspruch 36, dadurch gekennzeichnet,daß dieNutzung der Ursache-und-Wirkung-Matrixlogik zum Erzeugen des Satzesvon Auslösesignalenauf der Basis der Ursachensignale aufweist: Nutzen eines Werts voneinem der Ursachensignale gemeinsam mit der Ursache-und-Wirkung-Matrixlogik,um die Auslösesignale zuerzeugen.
[44] Verfahren nach Anspruch 36, dadurch gekennzeichnet,daß dasEmpfangen des Satzes von Ursachensignalen von innerhalb der Prozeßanlage aufweist:Empfangen eines Werts und eines Status, die mindestens einem derUrsachensignale zugeordnet sind, und daß das Nutzen der Ursache-und-Wirkung-Matrixlogikzum Erzeugen des Satzes von Auslösesignalenauf der Basis der Ursachensignale aufweist: Nutzen des Werts unddes Status von dem mindestens einen der Ursachensignale gemeinsam mitder Ursache-und-Wirkung-Matrixlogikzum Erzeugen der Auslösesignale.
[45] Verfahren nach Anspruch 44, dadurch gekennzeichnet,daß dasNutzen des Werts und des Status von dem mindestens einen der Ursachensignalegemeinsam mit der Ursache-und-Wirkung-Matrixlogik zum Erzeugen derAuslösesignaleaufweist: Erzeugen von einem oder mehreren der Auslösesignalenach Maßgabeder Ursache-und-Wirkung-Matrixlogik,wenn der Status des mindestens einen der Ursachensignale schlechtist.
[46] Verfahren nach Anspruch 44, dadurch gekennzeichnet,daß dasNutzen des Werts und des Status von dem mindestens einen der Ursachensignalegemeinsam mit der Ursache-und-Wirkung-Matrixlogik zum Erzeugen derAuslösesignaleaufweist: Erzeugen von einem oder mehreren der Auslösesignalenach Maßgabeder Ursache-und-Wirkung-Matrixlogikunter Nutzung des letzten Werts von dem mindestens einen der Ursachensignale,für welches derStatus gut war.
[47] Verfahren nach Anspruch 36, ferner gekennzeichnetdurch Bereitstellen einer weiteren Ausgabe, die ein erstes Ursachensignalbezeichnet, das darin resultiert hat, daß eine der Zustandsmaschineneines der Wirkungssignale in den ausgelösten Wert gezwungen hat.

类似技术:

---

公开号 | 公开日 | 专利标题

---

US9971914B2|2018-05-15|Industrial simulation using redirected I/O module configurations

---

JP6343307B2|2018-06-13|ダウンロードスクリプトを作成する方法、機械的にアクセス可能な指示データを格納する製造品

---

RU2564634C2|2015-10-10|Портативное устройство эксплуатационного обслуживания с возможностью моделирования полевого устройства

---

EP0964325B1|2002-08-14|Managementsystem von Feldgeräten

---

US7250856B2|2007-07-31|Integrated alarm display in a process control network

---

JP4786137B2|2011-10-05|プロセスイベントのデータヒストリアンへの自動リンク

---

US7114155B2|2006-09-26|Programmable controller

---

EP1221075B1|2003-10-01|Vorrichtung zum steuern von sicherheitskritischen prozessen

---

US7113085B2|2006-09-26|Enhanced device alarms in a process control system

---

US7069580B1|2006-06-27|Function-based process control verification and security in a process control system

---

EP1096348B1|2005-01-12|Integration eines Feldleitgerätes in ein Anlagenleitsystem

---

EP1966658B1|2012-11-21|Verfahren zur anlagenüberwachung mit einem feldbus der prozessautomatisierungstechnik

---

EP1606673B1|2009-04-29|Verfahren zur übertragung von softwarecode von einer steuereinheit zu einem feldgerät der prozessautomatisierungstechnik

---

US8607307B2|2013-12-10|Scalable and flexible information security for industrial automation

---

CN100476660C|2009-04-08|用触发式现场设备数据收集的诊断系统、现场设备及方法

---

JP4576159B2|2010-11-04|独立バッチ実行プロセスを有するバッチ実行エンジン

---

RU2395830C2|2010-07-27|Технологическое устройство с супервизорной надстройкой

---

CN102269989B|2017-05-31|基于过程控制标签间关系的用于数据驱动界面的方法及装置

---

EP1433033B1|2008-02-13|Verfahren zum bedienen eines feldgerätes mittels browser

---

US7076311B2|2006-07-11|Configurable safety system for implementation on industrial system and method of implementing same

---

Cockburn1996|Artificial Intelligence System for Industrial Applications

---

US9130980B2|2015-09-08|Integrated unified threat management for a process control system

---

EP1395884B1|2006-04-05|Verbesserter hart-gerätealarm in einem prozesssteuerungssystem

---

CA2097563C|2002-01-22|Method for controlling window displays in an open systems windows environment

---

US8044793B2|2011-10-25|Integrated device alerts in a process control system

同族专利:

---

公开号 | 公开日

---

DE102004014747B4|2015-09-03|

---

CN1534420A|2004-10-06|

---

JP4578839B2|2010-11-10|

---

GB2400190B|2007-02-21|

---

US6898468B2|2005-05-24|

---

JP2004303247A|2004-10-28|

---

GB2400190A|2004-10-06|

---

US20040193290A1|2004-09-30|

---

CN100465841C|2009-03-04|

---

GB0406816D0|2004-04-28|

---

HK1069642A1|2005-05-27|

引用文献:

---

公开号 | 申请日 | 公开日 | 申请人 | 专利标题

---

法律状态:
2008-08-07| 8110| Request for examination paragraph 44|

---

2014-02-03| R016| Response to examination communication|

---

2015-05-13| R018| Grant decision by examination section/examining division|

---

2016-06-04| R020| Patent grant now final|

优先权:

---

申请号 | 申请日 | 专利标题

---