Koordination von Feldgerätoperationen mit Übergehungen und Umgehungen in einem Prozesssteuerungs- un

专利摘要:
Ein Prozesssteuerungs- oder instrumentiertes -sicherheitssystem verwendet Funktionsblocklogik, um die Logik in dem Prozesssteuerungs- oder -sicherheitssystem mit Betriebszuständen von Feldgeräten auch dann zu koordinieren, wenn diese Betriebszustände von außen in dem Prozesssteuerungs- oder -sicherheitssystem initiiert werden. Logik in Eingabe- oder Entscheiderfunktionsblöcken, die Feldgeräten zugeordnet sind, kann überwachen und bestimmen, wann die zugeordneten Feldgeräte in Prüf- oder Kalibriermoden gebracht werden, und kann automatisch eine entsprechende Umgehungs- oder Übergehungsfunktionalität als Reaktion auf solche detektierten Feldgerätkonfigurationszustände initiieren. Ebenso kann die Funktionsblocklogik Umgehungs- oder Übergehungsfunktionen automatisch entfernen, wenn die Feldgeräte zurück in ihre Normalbetriebskonfigurationszustände gebracht sind. Dieses automatische Initiieren von Um- und Übergehungen trägt dazu bei, zu verhindern, dass ein Sicherheitssystem in einer Prozessanlage einen Abschaltprozess als Folge einer Geräteprüfung auslöst, die manuell beispielsweise von einer Hand-held-Einrichtung, die an einem Feldgerät angebracht ist, eingeleitet wurde. Ebenso trägt das automatische Entfernen von Um- und Übergehungen dazu bei zu verhindern, dass ein in einer Prozessanlage vorhandenes Sicherheitssystem fehlerhaft arbeitet, weil ein Benutzer vergessen hat, eine Umgehung oder Übergehung manuell zu entfernen, die eingerichtet wurde, um eine Geräteprüfung zu ...
公开号:DE102004015616A1
申请号:DE102004015616
申请日:2004-03-30
公开日:2004-11-04
发明作者:Gary Georgetown Law；Michael G. Austin Ott
申请人:Fisher Rosemount Systems Inc；
IPC主号:G05B9-02

专利说明:
[0001] DieseAnmeldung ist eine Teilfortführungsanmeldungund beansprucht die Prioritätder gleichzeitig anhängigenUS-Patentanmeldung Nr. 10/404,156 mit dem Titel "On-Line Device Testing Block IntegratedInto a Process Control/Safety System", angemeldet am 1. April 2003, derengesamter Inhalt hiermit ausdrücklichdurch Bezugnahme in die vorliegende Anmeldung mit eingeschlossenwird.
[0002] Dievorliegende Erfindung betrifft allgemein Prozesssteuerungs- undProzesssicherheitssysteme, die in Prozessanlagen verwendet werden,und speziell ein System, das Feldgerätoperationen mit der Verwendungvon Übergehungen(„Overrides") oder Umgehungen(„Bypasses") innerhalb einerProzesssteuerung bzw. Prozesssteuereinheit oder einer Sicherheitssystemsteuerungbzw. -steuereinheit koordiniert.
[0003] Prozesssteuerungssysteme,wie sie etwa in chemischen Prozessen, in der Erdölindustrie oder anderen Prozessenverwendet werden, weisen typischerweise eine oder mehrere Prozesssteuerungen bzw.Prozesssteuereinheiten auf, die kommunikativ mit mindestens einemHost bzw. Hauptrechner oder einer Operator- bzw. Bediener-Workstationund mit einem oder mehreren Feldgeräten über analoge, digitale oderkombinierte Analog/Digital-Busse oder -Leitungen gekoppelt sind.Die Feldgeräte,die beispielsweise Ventile, Ventilpositionierer, Schalter und Geber(z. B. Temperatur-, Druck- und Durchflussmengensensoren) sein können, führen innerhalbder Prozessanlage Funktionen aus wie etwa das Öffnen oder Schließen vonVentilen und das Messen von Prozessparametern. Die Prozesssteuerungenempfangen Signale, die Prozessmessungen, die von den Feldgeräten vorgenommenwurden, und/oder andere Informationen in bezug auf die Feldgeräte angeben. DieProzesssteuerungen verwenden diese Informationen zur Ausführung vonSteuerungsroutinen und erzeugen dann Steuersignale, die über dieBusse oder Leitungen zu den Feldgeräten gesendet werden, um denAblauf des Prozesses zu steuern. Informationen von den Feldgeräten undden Steuerungen werden typischerweise für eine oder mehrere Anwendungen verfügbar gemacht,die von der Operator-Workstationausgeführtwerden, um einem Operator bzw. Bediener die Ausführung einer gewünschtenFunktion in bezug auf den Prozess zu ermöglichen, etwa Konfigurierendes Prozesses, Betrachten des aktuellen Zustands des Prozesses,Modifizieren des Prozessablaufs usw.
[0004] Fernerist in vielen Prozessen ein separates Sicherheitssystem vorgesehen,das signifikante sicherheitsbezogene Probleme innerhalb der Prozessanlagedetektiert und automatisch Ventile schließt, die Energieversorgung vonEinrichtungen abschaltet, Durchflüsse innerhalb der Anlage umsteuertusw., wenn ein Problem auftritt, das in einer schwerwiegenden Gefährdung inder Anlage resultieren oder zu einer solchen führen könnte, etwa dem Austritt vongiftigen Chemikalien, einer Explosion usw. Diese Sicherheitssystemehaben charakteristisch eine oder mehrere separate Steuerungen getrenntvon den Standardsteuerungen fürdie Prozesssteuerung, die als Logikauflöser bezeichnet werden und diemit Sicherheitsfeldgeräten über separateBusse oder Übertragungsleitungenverbunden sind, die innerhalb der Prozessanlage installiert sind.Die Logikauflöser nutzendie Sicherheitsfeldeinrichtungen, um Prozessbedingungen zu detektieren,die bedeutsamen Ereignissen zugeordnet sind, etwa die Position von bestimmtenSicherheitsschaltern oder Abschaltventilen, Bereichsüber- oder-unterschreitungen im Prozess, den Betrieb von wichtigen Energieerzeugungs- oder-steuereinrichtungen, den Betrieb von Fehlerdetektiereinrichtungenusw., um dadurch "Ereignisse" innerhalb der Prozessanlagezu detektieren. Wenn ein Ereignis detektiert wird, führt dieSicherheitssteuerung irgendeine Aktivität aus, um die schädliche Naturdes Ereignisses zu begrenzen, etwa das Schließen von Ventilen, die Abschaltungvon Geräten,die Energieabschaltung von Teilen der Anlage usw. Im allgemeinenumfassen diese Aktivitätenoder Wirkungen das Umschalten von Sicherheitseinrichtungen in eineausgelösteoder "sichere" Betriebsart, diedazu bestimmt ist, einen kritischen oder gefährlichen Zustand innerhalbder Prozessanlage zu verhindern.
[0005] Funktionsblöcke in deminstrumentierten Sicherheitssystem oder Logikauflöser können mitLogik programmiert sein, die die Nutzung eines Signals oder einesdetektierten Zustands eines Feldgeräts umgeht oder übergeht,wenn beispielsweise das von dem Feldgerät empfangene Signal schlechtist, wenn Logik innerhalb des Feldgeräts in einem schlechten oderabnormalen Modus ist oder wenn ein manuelles Signal von einer Bediener-Workstationgesendet wird, um eine solche Umgehung oder Übergehung einzuleiten. Beispielsweisesind manche Analogeingangs- bzw. AI- oder Digitaleingangs- bzw. DI-Funktionsblöcke so programmiert,dass sie eine Umgehung oder ein Übergehenvon Logik in der Sicherheitssystemsteuerung vorsehen, was verhindert, dassdie Logik der Sicherheitssystemsteuerung den Ausgang des Feldgeräts (d. h.den Ausgang des AI- oder des DI-Blocks) als gültigen Eingang bei der Bestimmungnutzt, ob ein Ereignis aufgetreten ist. Diese Funktionsblöcke liefernjedoch typischerweise ein solches Umgehungs- oder Übergehungssignalals Reaktion auf ein manuelles Aktivierungssignal, das von einemBediener oder Techniker erzeugt wird, wenn ein Feldgerät beispielsweisegewartet wird.
[0006] Ebensoist es in instrumentierten Sicherheitssystemen üblich, redundante Eingabeeinrichtungenwie etwa Geber und Schalter zu verwenden, um Ereignisse innerhalbdes Systems zu detektieren und dadurch eine größere Sicherheitsintegrität oder Verfügbarkeitvon Messungen von Prozessvariablen zu erhalten. In solchen Systemenist es manchmal erforderlich, eine Entscheidungslogikfunktionalität in derAbschaltlogik vorzusehen, um auf der Basis der redundanten Eingänge zu bestimmen,ob der Prozesszustand akzeptabel oder gefährlich ist. Diese Entscheidungslogikist relativ unkompliziert insofern, als sie typischerweise nur eineMehrheitsentscheidung der Eingängezu bestimmen hat, um zu detektieren, ob ein Ereigniszustand eingetretenist. Wie ferner in der US-Patentanmeldung mit der Nr. 10/409,576mit dem Titel "VoterLogic Block Including Operational and Maintenance Overrides in aProcess Control System" ausgeführt ist,die auf die Rechtsnachfolgerin der vorliegenden Erfindung übertragen istund deren gesamter Inhalt hiermit ausdrücklich durch Bezugnahme indie vorliegende Anmeldung mit eingeschlossen wird, ist es möglich, Entscheidungsfunktionsblöcke mit Übergehungs-und Umgehungsfähigkeitenzu versehen, um beispielsweise die Operation des Abschaltsystemswährenddes Hochfahrens des Prozesssteuerungssystems zu verhindern, so dassWartungspersonal die Möglichkeiterhält,Wartungsarbeiten an einer oder mehreren der Eingangseinrichtungenauszuführen,ausgewählte Prozessbedingungenvorübergehendignoriert werden können,usw.
[0007] Allgemeingesagt, werden jedoch diese Umgehungen oder Übergehungen, insbesondere Wartungs-Umgehungen,manuell von einem Bediener oder von Wartungspersonal zu Beginn derWartungsvorgängeeingeleitet. Insoweit Umgehungen oder Übergehungen automatisch innerhalbder Entscheidungslogik oder des Logikauflösers eingeleitet werden, sinddiese Umgehungen und Übergehungenallgemein Aktivitätenzugeordnet, die von dem Logiksystem ausgeführt werden wie etwa Hochfahrvorgänge, Verzögerungs-Features usw., undsind nicht einer extern eingeleiteten Änderung in dem Feldgerätzustandvon einem Normalzustand in einen Prüf- oder Kalibrierzustand zugeordnet.Ingenieure haben also bisher die Um- oder Übergehung von Feldgeräten während Feldgerät-Prüfvorgängen mitdem Operationszustand eines Logikauflösers in einem instrumentiertenSicherheitssystem koordiniert; diese Koordinierung ist jedoch einmanueller Prozess und unterliegt somit menschlichen Fehlern. Wennbeispielsweise ein Wartungsprozess an einem Feldgerät abläuft, muß ein Ingenieurder Sicherheitsinstrumentenlogik manuell ein Umgehungseinleitungssignalliefern, um zu bewirken, dass der Eingangsblock wie etwa der AI-,DI- oder Entscheidungslogikblock, der dem Feldgerät zugeordnetist, das Signal oder den Eingang von dem Feldgerät umgeht, um zu verhindern,dass die Sicherheitslogik auf der Basis des Feldgerätsignalsein Ereignis erkennt oder detektiert und einen Abschaltprozess einleitet.Die Funktionsblöckeinnerhalb des Logikauflösershaben keinen Mechanismus, um eine extern eingeleitete Änderung desZustands eines Feldgerätsin einen Prüfzustand zuerkennen und automatisch eine Umgehung oder Übergehung der Ausgangssignaledes Gerätsals Ergebnis einer solchen Änderungin dem Feldgerätvorzusehen.
[0008] Wenndaher ein Ingenieur vergisst, die Umgehung oder Übergehung manuell in den Logikauflöser zu setzen,bevor eine Feldgerätprüfung eingeleitetwird, kann es sein, dass der Logikauflöser ein Problem in der Anlageauf der Basis der Signale von dem gerade geprüften Feldgerät detektiertund unnötigerweisedas Auftreten eines Abschaltvorgangs bewirkt. Dieser Abschaltvorgangkann in bezug auf Material- und Zeitverluste innerhalb der Prozessanlageteuer und fürdie die Geräteprüfung ausführende Person gefährlich seinoder ein Unglückauslösen,und zwar speziell dann, wenn die Geräteprüfung manuell vom Anlagebodenher ausgeführtwird. Wenn ferner die manuelle Umgehung oder Übergehung in dem Sicherheits-Logikauflöser gesetztist, kann der Ingenieur vergessen, diese Umgehung oder Übergehung nachBeendigung des Wartungsvorgangs wieder rückgängig zu machen, wodurch dasBetriebsverhalten des Sicherheitssystems verschlechtert wird und potentielldie Gefahr besteht, dass ein Abschaltvorgang nicht eingeleitet wird,wenn ein solcher Vorgang auf der Basis einer gültigen, jedoch ignoriertenFeldgerätmessungoder -bedingung angezeigt ist.
[0009] Außerdem habentypische Feldgeräteeinen Schreibschutzmechanismus, der dazu dient, Konfigurationsänderungendes Feldgeräts,die von unbefugten Quellen kommen, zu verhindern. Insbesondere enthaltenFeldgerätegewöhnlicheine Schreibschutzvariable, die, wenn sie gesetzt ist, jegliche Änderungder Feldgerätkonfigurationseinstellungenverhindert und die, wenn sie nicht gesetzt ist, solche Änderungenzuläßt. Außerdem müssen vieledieser Feldgeräteeinen Hochfahrzyklus ausführen,um den geändertenZustand dieser Schreibschutzvariablen zu erkennen, so dass zur Änderungder Konfiguration des Feldgeräts,damit das Feldgerätin einen Prüfzustand(etwa einen Feststrommodus oder Kalibriermodus) eintreten kann,die Schreibschutzvariable in den ungeschützten Zustand gesetzt werdenund das Feldgeräteinen Hochfahrzyklus durchlaufen muß. Das System wird zwar für unbefugte Änderungenan den Feldgerätenweniger anfällig,aber diese Schreibschutz-Eigenschaft macht es allgemein möglich, nurmanuelle Prüfungenan dem Feldgerätablaufen zu lassen, weil das Feldgerät nach dem erneuten Setzender Schreibschutzvariablen manuell aus- und eingeschaltet werdenmuß, umes in einen Zustand zu bringen, der eine Prüfung des Feldgeräts erlaubt.Es ist derzeit schwierig oder praktisch unmöglich vorzusehen, dass derSicherheits-Logikauflöser automatischeine Geräteprüfung odereinen Kalibriervorgang an einem Feldgerät einleitet, wenn das Feldgerät in einemgeschütztenZustand ist, weil der Feldgerät-Schreibschutzmechanismusmanuell geändert oderausgeschaltet werden muß.
[0010] EinProzesssteuerungs- oder instrumentiertes -sicherheitssystem verwendetFunktionsblocklogik zum Koordinieren der Logik innerhalb des Prozesssteuerungs-oder instrumentierten -sicherheitssystems mit Betriebszuständen vonFeldgeräten, auchwenn diese Betriebszuständeaußerhalbdes Prozesssteuerungs- oder Sicherheitssystems initiiert werden.Insbesondere kann Logik in Eingangs- oder Entscheiderfunktionsblöcken, dieFeldgerätenzugeordnet sind, überwachenund bestimmen, wenn die zugehörigenFeldgerätein Prüf-oder Kalibriermoden gebracht werden, und kann automatisch eine geeigneteUmgehungs- oder Übergehungsfunktionalität als Reaktionauf diese detektierten Feldgerätzustände initiieren.Ebenso kann die Funktionsblocklogik die Umgehungs- oder Übergehungsfunktionalität automatischentfernen, wenn die Feldgerätewieder in ihre normalen Betriebszustände gebracht werden. Dieseautomatische Initiierung bzw. Einleitung von Umgehungen und Übergehungenträgt dazubei, zu verhindern, dass ein Sicherheitssystem in einer Prozessanlageeinen Abschaltprozess als Folge einer Geräteprüfung auslöst, die manuell beispielsweise voneiner an einem Feldgerätangebrachten Hand-held-Einrichtung eingeleitet wird. Ebenso trägt das automatischeEntfernen von Umgehungen und Übergehungendazu bei, zu verhindern, dass ein Sicherheitssystem in einer Prozessanlagenicht richtig funktionieren kann, weil ein Benutzer bzw. Anwender vergessenhat, eine Umgehung oder Übergehung, dieeingerichtet wurde, um eine Geräteprüfung zuermöglichen,manuell zu entfernen.
[0011] Fernerkönnendas Logiksystem und die Feldgerätemit einer Untermenge von Befehlen programmiert werden, die von demSicherheitslogiksystem initiiert bzw. ausgelöst werden können, um das Feldgerät in Prüf- oderKalibriermoden zu bringen, und zwar auch dann, wenn das Feldgerät schreibgeschützt ist.In diesem Fall könnendas Logiksystem und das FeldgerätzusätzlichegeschützteBefehle haben, die einen Schreibprüfmechanismus wie gemäß IEC 61511erforderlich, enthalten, die jedoch bewirken, dass das Feldgerät in einenFeststrommodus oder einen Kalibriermodus eintritt, und die gesendet undinitiiert werden können,wenn das Feldgerätnoch so konfiguriert ist, dass es schreibgeschützt ist. Die neuen Befehlebrauchen nicht von dem Schreibschutzmechanismus des Feldgeräts geschützt zu werden,weil sie von einer bekannten und vertrauenswürdigen Quelle, z. B. dem Sicherheitslogiksystem, initiiertwerden. Diese neuen Befehle aktivieren jedoch das Logiksystem dahingehend,die Konfiguration eines Feldgerätszu ändern,um das Feldgerätin einen Prüf-oder Kalibriermodus zu bringen, ohne dass ein Hochfahrvorgang oderein anderer manueller Vorgang notwendig ist. Infolgedessen kanndas Sicherheitslogiksystem die erforderlichen Wartungsfunktionenfür dasFeldgerätauf sichere Weise koordinieren, ohne dass das Feldgerät anderenunerwünschtenKonfigurationsänderungenausgesetzt wird. Ebenso könnenein Sicherheitssystem und das Feldgerät eine Aufzeichnung der Befehleund Antworten speichern, die zwischen dem Feldgerät und demLogikauflösergesendet werden, um ein vollständigesLog bzw. eine vollständigeAufzeichung von Aktionen zu liefern, die an dem Feldgerät vorgenommenwurden, und zwar auch dann, wenn das Feldgerät im übrigen schreibgeschützt ist.Falls gewünscht,kann die zusätzlicheUntermenge von Befehlen zu der Kategorie von herstellerspezifischen Befehlenwie beispielsweise HART-Befehlen gehören und kann somit parallelzu den vorhandenen Befehlen wirksam sein, die von dem Feldgerät unterstützt werden.Bei Verwendung einer solchen Hersteller-Kommunikationsfähigkeitkann der Logikauflöserden Zustand des Feldgerätskontinuierlich überwachen.
[0012] 1 ist ein Blockbild einerbeispielhaften Prozessanlage, die ein Sicherheitssystem hat, das miteinem Prozesssteuerungssystem integriert ist und einen oder mehrerekonfigurierbare AI-, DI- und Entscheiderfunktionsblöcke verwendet,um Systemabschalt- sowieWartungs-, Umgehungs- und -Übergehungsaktivitäten innerhalbder Prozessanlage automatisch zu steuern;
[0013] 2 ist ein Blockbild voneinem der konfigurierbaren Entscheiderfunktionsblöcke von 1, der Umgehungs- und Übergehungsfunktionalität aufweist;
[0014] 3 ist eine Tabelle von mehrerenbeispielhaften Entscheidungsabläufen,wobei ein umgangener Eingang betroffen ist, der von dem Entscheiderfunktionsblockvon 2 genutzt werdenkann;
[0015] 4 ist eine beispielhafteTabelle, die zeigt, wie sich ein Entscheidungsablauf verschlechtern kann,wenn einer der Eingängezu dem Entscheiderfunktionsblock einen schlechten Status hat; und
[0016] 5 ist ein Blockbild einesEingangsfunktionsblocks, der Feldgerätzustands-Detektier- und -Initiierungslogik hatund zwischen ein Feldgerätund zugeordnete Umgehungs- und Übergehungsfunktionalität innerhalbdes Funktionsblocks kommunikativ gekoppelt ist, um Logik in einemSicherheits-Logikauflöserauf der Basis von detektierten Feldgerätzuständen zu steuern sowie die Feldgerätkonfiguration zusteuern.
[0017] Eswird nun auf 1 Bezuggenommen. Eine Prozessanlage 10 weist ein Prozesssteuerungssystem 12 auf,in das ein Sicherheitssystem 14 (in Strichlinien angedeutet)integriert ist, das allgemein als ein System mit Sicherheitsinstrumentarium (SafetyInstrumented System = SIS) wirkt, um die von dem Prozesssteuerungssystem 12 ausgeführte Steuerungzu überwachenund zu übergehen,um so die Wahrscheinlichkeit eines sicheren Betriebs der Prozessanlage 10 zumaximieren. Die Prozessanlage 10 weist ferner einen odermehrere Hauptrechner-Workstations, Computer oder Benutzerschnittstellen 16 auf(die jede Art von PC, Workstations, PDAs usw. sein können), aufdie von Anlagenpersonal zugegriffen werden kann, beispielsweisevon Prozesssteuerungs-Bedienungspersonen, Wartungspersonal, Sicherheitsingenieurenusw.
[0018] Beidem in 1 gezeigten Beispielsind zwei Benutzerschnittstellen 16 gezeigt und mit zwei separatenProzesssteuerungs-/Sicherheitssteuerungs-Knoten 18 und 20 undmit einer Konfigurationsdatenbank 21 über eine gemeinsame Kommunikationsleitungoder einen Bus 22 verbunden. Das Kommunikationsnetz 22 kannunter Verwendung jeder gewünschtenbus-basierten oder nicht-busbasierten Hardware implementiert sein,wobei jede gewünschtehartverdrahtete oder drahtlose Kommunikationsstruktur und jedesgewünschteoder geeignete Kommunikationsprotokoll wie etwa ein Ethernet-Protokollverwendet wird.
[0019] Allgemeingesagt, weist jeder der Knoten 18 und 20 der Prozessanlage 10 sowohlProzesssteuerungssystem-Einrichtungen als auch Sicherheitssystem-Einrichtungenauf, die übereine Busstruktur miteinander verbunden sind, die an einer Rückwandplatinevorgesehen sein kann, in der die verschiedenen Einrichtungen angebrachtsind. Der Knoten 18 weist gemäß 1 eine Prozesssteuerung 24 (dieein redundantes Paar von Steuerungen sein kann) sowie eine odermehrere Prozesssteuerungssystem-Ein-Ausgabe- bzw. -E/A-Einrichtungen 28, 30 und 32 auf,wogegen der Knoten 20 in der Figur eine Prozesssteuerung 26 (dieein redundantes Paar von Steuerungen sein kann) sowie eine odermehrere Prozesssteuerungssystem-E/A-Einrichtungen 34 und 36 aufweist.Jede der Prozesssteuerungssystem-E/A-Einrichtungen 28, 30, 32, 34 und 36 istmit einem Satz von auf die Prozesssteuerung bezogenen Feldgeräten kommunikativverbunden, die in 1 alsFeldgeräte 40 und 42 gezeigtsind. Die Prozesssteuerungen 24 und 26, die E/A-Einrichtungen 28 bis 36 unddie Steuerungs-Feldgeräte 40 und 42 bildenallgemein das Prozesssteuerungssystem 12 von 1.
[0020] Ebensoweist der Knoten 18 einen oder mehrere Sicherheitssystem-Logikauflöser 50, 52 auf,wogegen der Knoten 20 Sicherheitssystem-Logikauflöser 54 und 56 aufweist.Jeder der Logikauflöser 50 bis 56 isteine E/A-Einrichtung mit einem Prozessor 57, der Sicherheitslogikmodule 58 ausführt, diein einem Speicher 79 gespeichert sind, und ist kommunikativso gekoppelt, dass Steuersignale an Sicherheitssystem-Feldgeräte 60 und 62 geliefertund/oder Signale von den Sicherheitssystem-Feldgeräten 60 und 62 empfangenwerden. Außerdemweist jeder Knoten 18 und 20 mindestens eine Meldungsverbreitungseinrichtung(MPD) 70 oder 72 auf, die kommunikativ über eineBusverbindung 74 vom Ringtyp (von der nur ein Teil in 1 gezeigt ist) miteinander gekoppeltsind. Die Sicherheitssystem-Logikauflöser 50 bis 56,die Sicherheitssystem-Feldeinrichtungen 60 und 62,die MPDs 70 und 72 und der Bus 74 bilden allgemeindas Sicherheitssystem 14 von 1.
[0021] DieProzesssteuerungen 24 und 26, die, nur als Beispiel,DeltaV^TM-Steuerungen von Emerson ProcessManagement, oder von jeder anderen gewünschten Art von Prozesssteuerungsein können, sindso programmiert, dass sie eine Prozesssteuerungsfunktionalität ermöglichen(unter Verwendung von Mitteln, die gewöhnlich als Steuermodule bezeichnetwerden), wobei die E/A-Einrichtungen 28, 30 und 32 (für die Steuerung 24),die E/A-Einrichtungen 34 und 36 (für die Steuerung 26)und die Feldgeräte 40 und 42 verwendetwerden. Speziell implementiert oder beaufsichtigt jede der Steuereinheiten bzw.Steuerungen 24 und 26 eine oder mehrere Prozesssteuerungsroutinen,die darin gespeichert oder anderweitig zugeordnet sind, und kommuniziertmit den Feldgeräten 40 und 42 undden Workstations 16, um den Prozess 10 oder einenTeil des Prozesses 10 auf eine gewünschte Weise zu steuern. DieFeldgeräte 40 und 42 können jedegewünschteAxt von Feldgerätensein wie etwa Sensoren, Ventile, Geber, Positionierer usw. und können jedemgewünschten offenen,proprietärenoder anderen Kommunikations- oder Programmierprotokoll entsprechen,das beispielsweise das HART-Protokoll oder das 4-20-ma-Protokoll(wie es fürdie Feldgeräte 40 gezeigtist), jedes Fieldbus-Protokoll wie etwa das FOUNDATION^® Fieldbus-Protokoll(wie es fürdie Feldgeräte 42 gezeigtist) oder das CAN-, Profibus-, AS-Interface-Protokoll, um nur einigezu nennen, sein kann. Ebenso könnendie E/A-Einrichtungen 28 bis 36 jeder bekannteTyp von Prozesssteuerungs-E/A-Einrichtungen sein, die ein geeignetes Kommunikationsprotokollbzw. solche Protokolle verwenden.
[0022] DieSicherheits-Logikauflöser 50 bis 56 von 1 können jede gewünschte Artvon Sicherheitssystem-Steuereinrichtungen sein, die einen Prozessor 57 undeinen Speicher aufweisen, in dem Sicherheitslogikmodule 58 gespeichertsind, die dazu ausgebildet sind, auf dem Prozessor 57 ausgeführt zu werden,um eine Steuerungsfunktionalitätbereitzustellen, die dem Sicherheitssystem 14 zugeordnetist, das die Feldeinrichtungen 60 und 62 verwendet. Selbstverständlich können dieSicherheitsfeldeinrichtungen 60 und 62 jede gewünschte Artvon Feldeinrichtungen sein, die einem bekannten oder gewünschtenKommunikationsprotokoll wie etwa den oben erwähnten entsprechen oder dieses verwenden.Insbesondere könnendie Feldeinrichtungen 60 und 62 sicherheitsbezogeneFeldeinrichtungen des Typs sein, der herkömmlich von einem separaten, festzugeordneten sicherheitsbezogenen Steuerungssystem gesteuert werden.In der in 1 gezeigtenProzessanlage 10 sind die Sicherheitsfeldeinrichtungen 60 sodargestellt, dass sie ein fest zugeordnetes oder Punkt-zu-Punkt-Kommunikationsprotokollwie das HART- oderdas 4-20-ma-Protokoll verwenden, wogegen die Sicherheitsfeldeinrichtungen 62 inder Darstellung ein Buskommunikationsprotokoll wie etwa ein Fieldbus-Protokollverwenden. Die Sicherheitsfeldeinrichtungen 60 können jedegewünschteFunktion ausführen,etwa die eines Abschaltventils, eines Ausschalters usw.
[0023] Injedem der Knoten 18 und 20 wird eine gemeinsameRückwandplatine 76 verwendet(die mittels einer Strichlinie durch die Steuereinheiten 24, 26, dieE/A-Einrichtungen 28 bis 36, die Sicherheits-Logikauflöser 50 bis 56 unddie MPDs 70 und 72 bezeichnet ist), um die Steuereinheiten 24 und 26 mit denProzesssteuerungs-E/A-Karten 28, 30 und 32 oder 34 und 36 sowiemit den Sicherheits-Logikauflösern 50, 52, 54 oder 56 undmit dem MPDs 70 oder 72 zu verbinden. Die Steuerungen 24 und 26 sindferner kommunikativ mit dem Bus 22 gekoppelt und wirkenals Busvermittler fürden Bus 22, um jeder der E/A-Einrichtungen 28 bis 36,den Logikauflösern 50 bis 56 undden MPDs 70 und 72 die Kommunikation mit jederder Workstations 16 überden Bus 22 zu ermöglichen.
[0024] Esversteht sich, dass jede der Workstations 16 einen Prozessor 77 undeinen Speicher 78 aufweist, in dem eine oder mehrere Konfigurations- und/oderBetrachtungsanwendungen gespeichert sind, die dazu ausgebildet sind,auf dem Prozessor 77 ausgeführt zu werden. Eine Konfigurationsanwendung 80 undeine Betrachtungsanwendung 82 sind in einer Explosionsansichtin 1 in der Weise gezeigt,dass sie in einer der Workstations 16 gespeichert sind,währendfür eineDiagnoseanwendung 84 gezeigt ist, dass sie in der anderender Workstations 16 gespeichert ist. Falls gewünscht, könnten diese Anwendungenaber auch in verschiedenen der Workstations 16 oder inanderen zu der Prozessanlage 10 gehörigen Computern gespeichertund ausgeführt werden.Allgemein gesagt, liefert die Konfigurationsanwendung 80 Konfigurationsinformationenan einen Sicherheitsingenieur und ermöglicht es dem Sicherheitsingenieur,einige oder alle Elemente der Prozessanlage 10 zu konfigurierenund diese Konfiguration in der Konfigurationsdatenbank 21 zuspeichern. Als Teil der Konfigurationshandlungen, die von der Konfigurationsanwendung 80 ausgeführt werden, kannder Sicherheitsingenieur Steuerroutinen oder Steuermodule für die Prozesssteuerungen 24 und 26 erzeugen,kann Sicherheitslogikmodule 58 für jeden und sämtlicheder Sicherheits-Logikauflöser 50 bis 56 erzeugen(einschließlichder Erzeugung und Programmierung von Eingangs-, Entscheider- undanderen Funktionsblöckenzum Gebrauch in den Sicherheits-Logikauflösern 50 bis 56 oderauch in den Steuerungen 24 und 26) und kann dieseverschiedenen Steuer- und Sicherheitsmodule in die entsprechendender Prozesssteuerungen 24 und 26 und die Sicherheits-Logikauflöser 50 bis 56 über denBus 22 und die Steuerungen 24 und 26 herunterladen.Ebenso kann die Konfigurationsanwendung 80 genutzt werden,um andere Programme und Logik zu erzeugen und in die E/A-Einrichtungen 28 bis 36,jedes der Feldgeräte 40, 42, 60 und 62 usw.herunterzuladen.
[0025] Dagegenkann die Betrachtungsanwendung 82 genutzt werden, um einemBenutzer wie etwa einem Prozesssteuerungs-Bediener, einem Sicherheitstechnikerusw. Anzeigen zu liefern, die Information über den Zustand des Prozesssteuerungssystems 12 unddes Sicherheitssystems 14 entweder in gesonderten Ansichtenoder, falls gewünscht,in derselben Ansicht bieten. Beispielsweise kann die Betrachtungsanwendung 82 eineAlarmdisplayanwendung sein, die Anzeigen von Alarmen für einenBediener empfängtund anzeigt. Falls gewünscht,kann eine solche Alarmbetrachtungsanwendung die Form haben, wiesie in der US-PS 5 768 119 mitdem Titel "ProcessControl System Including Alarm Priority Adjustment" und in der US-PatentanmeldungNr. 09/707 580 mit dem Titel "IntegratedAlarm Display in a Process Control Network" angegeben ist; beide Dokumente sindauf die Rechtsnachfolgerin des vorliegenden Patents übertragenund deren gesamter Inhalt wird hiermit ausdrücklich durch Bezugnahme indie vorliegende Anmeldung mit eingeschlossen. Es versteht sich jedoch,dass die Alarmanzeige oder Alarmfläche dieser Patente Alarme sowohlvon dem Prozesssteuerungssystem 12 als auch dem Sicherheitssystem 14 ineiner integrierten Alarmanzeige empfangen und anzeigen kann, dadie Alarme von beiden Systemen 12 und 14 an dieBediener-Workstation 14 gesendet werden, welche die Alarmdisplayanwendungausführt,und als Alarme von verschiedenen Einrichtungen erkennbar sind. Ebensokann ein Bediener Sicherheitsalarme, die in einer Alarmfläche anzeigtwerden, auf die gleiche Weise wie Prozesssteuerungsalarme behandeln.Beispielsweise kann der Bediener oder Benutzer Sicherheitsalarme,Abschalt-Sicherheitsalarme usw. unter Anwendung des Alarmdisplaysquittieren, das Meldungen an die entsprechende Prozesssteuerung 24, 26 innerhalbdes Sicherheitssystems 14 sendet unter Nutzung von Kommunikationenauf dem Bus 22 und der Rückplatine 76, um inbezug auf den Sicherheitsalarm die entsprechende Maßnahme zuergreifen. Auf ähnliche Weisekönnenandere Betrachtungsanwendungen Informationen oder Daten sowohl vondem Prozesssteuerungssystem 12 als auch dem Sicherheitssystem 14 anzeigen,da diese Systeme die gleichen Typen und Arten von Parametern, Sicherheitund Verweisen nutzen können,so dass alle Daten von einem der Systeme 12 und 14 ineinem Display oder einer Anzeige integriert werden können, dietraditionell für einProzesssteuerungssystem verwendet wird.
[0026] DieDiagnoseanwendung 84 kann dazu dienen, Diagnose- oder Wartungsprogrammeinnerhalb des Prozesssteuerungs- und Sicherheitssystems der Anlage 10 zuimplementieren. Eine solche Diagnoseanwendung, die alle gewünschtenArten von Diagnose- oder Wartungsprozessen ausführen kann, etwa die Durchführung vonProzess- und Ventilprüfungen, Hochfahrprozessenusw., kann einem oder mehreren AI-, DI- oder Entscheiderfunktionsblöcken, diein der Prozessanlage 10 verwendet werden, Übergehungenbereitstellen oder auch nicht, um die Operation des Sicherheitssystemsauf der Basis von Eingängen voneiner oder mehreren Einrichtungen zu verhindern, die durch die Diagnoseprozessebeeinflußt werden.Ebenso kann eine Hand-held-Konfigurations-oder Prüfeinrichtung 85 mitjedem der Feldgeräte 40, 42, 60 und 62 verbundenwerden, um Konfigurations-, Prüf-und Kalibrierprozesse an diesen Feldgeräten auszuführen, wobei ein Um- oder Übergehungssignalan einen oder mehrere der AI-, DI- oder Entscheiderfunktionsblöcke in derProzessanlage 10 gesendet werden kann oder auch nicht.
[0027] Injedem Fall könnendie Anwendungen 80, 82 und 84 wie auchjede beliebige andere Anwendung separate Konfigurations- und andereSignale an jede Prozesssteuerung 24 und 26 undjeden Logikauflöser 50 bis 56 sendenund könnenvon diesen sowie von jedem der Logikauflöser 50 bis 56 desSicherheitssystems Daten empfangen. Diese Signale können Meldungenauf Prozessebene aufweisen, die auf die Steuerung der Betriebsparameterder Prozessfeldgeräte 40 und 42 bezogensind, und können Meldungenauf Sicherheitsebene aufweisen, die auf die Steuerung der Betriebsparameterder sicherheitsbezogenen Feldeinrichtungen 60 und 62 bezogen sind.Die Sicherheits-Logikauflöser 50 bis 56 können zwarso programmiert sein, dass sie sowohl die Meldungen auf Prozessebeneals auch die Meldungen auf Sicherheitsebene erkennen, aber die Sicherheits-Logikauflöser 50 bis 56 sindimstande, zwischen den beiden Meldungsarten zu unterscheiden undsind nicht imstande, von Konfigurationssignalen auf Prozessebeneprogrammiert oder beeinflußtzu werden. Bei einem Beispiel könnendie Programmiermeldungen, die zu den Prozesssteuerungssystemeinrichtungengesendet werden, bestimmte Felder oder Adressen aufweisen, die vonden Sicherheitssystemeinrichtungen erkannt werden und verhindern,dass diese Signale zur Programmierung der Sicherheitssystemeinrichtungengenutzt werden.
[0028] Fallsgewünscht,könnendie Sicherheits-Logikauflöser 50 bis 56 dasgleiche oder ein anderes Hardware- oder Software-Design verwendenals das Hardware- und Software-Design,das fürdie Prozesssteuerungs-E/A-Karten 28 bis 36 verwendet wird.Die Verwendung von alternativen Technologien für die Einrichtungen innerhalbdes Prozesssteuerungssystems 112 und für die Einrichtungen innerhalbdes Sicherheitssystems 14 kann Hardware- oder Softwareausfälle, dieeine gemeinsame Ursache haben, minimieren oder eliminieren. Fernerkönnendie Sicherheitssystemeinrichtungen einschließlich der Logikauflöser 50 bis 56 allegewünschten Trenn-und Sicherheitstechniken verwenden, um die Möglichkeit von nichtautorisierten Änderungenan den dadurch implementierten sicherheitsbezogenen Funktionen zuverringern oder auszuschließen.Beispielsweise könnendie Sicherheits-Logikauflöser 50 bis 56 unddie Konfigurationsanwendung 80 eine Person einer bestimmtenBefugnisebene oder eine Person, die sich an einer bestimmten Workstationbefindet, auffordern, an den Sicherheitsmodulen innerhalb der Logikauflöser 50 bis 56 Änderungenvorzunehmen, wobei diese Befugnisebene oder dieser Ort von der Befugnis- oder Zugangsebeneoder dem Ort verschieden ist, der erforderlich ist, um Änderungen anden Prozesssteuerungsfunktionen auszuführen, die von den Steuerungen 24 und 26 undden E/A-Einrichtungen 28 bis 36 ausgeführt werden.In diesem Fall haben nur diejenigen Personen, die innerhalb derSicherheitssoftware benannt sind oder die sich an Workstations befinden,die befugt sind, Änderungenan dem Sicherheitssystem 14 vorzunehmen, die Befugnis,sicherheitsbezogene Funktionen zu ändern, wodurch die Möglichkeiteneiner unberechtigten Änderungdes Betriebs des Sicherheitssystems 14 minimiert werden.Es versteht sich, dass zur Implementierung dieser Sicherheit dieProzessoren innerhalb der Sicherheits-Logikauflöser 50 bis 56 die ankommendenMeldungen auf richtige Form und Sicherheit auswerten und als Wächter inbezug auf Änderungenwirksam sind, die an den Steuermodulen 58 der Sicherheitsebene,die innerhalb der Sicherheits-Logikauflöser 50 bis 56 ausgeführt werden,vorgenommen werden.
[0029] DieVerwendung der Rückwandplatine 76 in jedemder Knoten 18 und 20 ermöglicht es den Sicherheits-Logikauflösern 50 und 52 undden Sicherheits-Logikauflösern 54 und 56,lokal miteinander zu kommunizieren, um Sicherheitsfunktionen zukoordinieren, die von jeder dieser Einrichtungen implementiert sind,Daten zueinander zu übertragenoder andere integrierte Funktionen auszuüben. Andererseits sind dieMPDs 70 und 72 wirksam, um Bereiche des Sicherheitssystems 14,die an vollkommen verschiedenen Stellen in der Anlage 10 angeordnetsind, miteinander kommunizieren zu lassen, um koordinierte Sicherheitsoperationenan verschiedenen Knoten der Prozessanlage 10 zu ermöglichen.Insbesondere ermöglichenes die MPDs 70 und 72 in Verbindung mit dem Bus 74 denSicherheits-Logikauflösern,die verschiedenen Knoten 18 und 20 der Prozessanlage 10 zugeordnetsind, kommunikativ aneinandergereiht zu werden, um die Aneinanderreihungvon sicherheitsbezogenen Funktionen innerhalb der Prozessanlage 10 gemäß einerzugewiesenen Prioritätzuzulassen. Alternativ könnenzwei oder mehr sicherheitsbezogene Funktionen an verschiedenen Stellen innerhalbder Prozessanlage 10 miteinander verkoppelt oder verbundenwerden, ohne dass eine spezielle Leitung zu einzelnen Sicherheitsfeldgeräten innerhalbder separaten Bereiche oder Knoten der Anlage 10 gelegtzu werden braucht. Mit anderen Worten ermöglicht es die Verwendung derMPDs 70 und 72 und des Busses 74 einemSicherheitsingenieur, ein Sicherheitssystem 14 zu entwerfenund zu konfigurieren, das von Natur aus überall in der gesamten Prozessanlage 10 verteiltist, von dem aber verschiedene Komponenten kommunikativ miteinanderverbunden sind, um es den ungleichen sicherheitsbezogenen Hardwarekomponentenzu ermöglichen,nach Bedarf miteinander zu kommunizieren. Dieses Merkmal ermöglicht auchdie Skalierbarkeit des Sicherheitssystems 14 insofern,als es das Hinzufügenvon weiteren Sicherheits-Logikauflösern zu dem Sicherheitssystem 14 entwedernach Bedarf oder bei Hinzufügungneuer Prozesssteuerungsknoten zu der Prozessanlage 10 möglich macht.
[0030] Fallsgewünscht,könnendie Logikauflöser 50 bis 56 programmiertwerden, um Steuerungsaktivitätenin bezug auf die Sicherheitseinrichtungen 60 und 62 auszuführen, undzwar unter Nutzung eines Funktionsblock-Programmierparadigmas. Wieinsbesondere eine vergrößerte Ansichtvon einem der Sicherheitssteuermodule 58a (in einem Speicher 79 gespeichert)des Logikauflösers 54 zeigt,kann ein Sicherheitssteuermodul eine Menge von kommunikativ miteinanderverbundenen Funktionsblöckenaufweisen, die zur Implementierung während des Betriebs des Prozesses 10 erzeugtund in den Logikauflöser 54 heruntergeladenwerden können.Wie 1 zeigt, weist dasSteuermodul 58a zwei Entscheiderfunktionsblöcke 92 und 94 auf,die Eingängehaben, die kommunikativ mit anderen Funktionsblöcken 90 verbundensind, die beispielsweise Analogeingangs- bzw. AI-, Digitaleingangs-bzw. DI-Funktionsblöcke, Entscheiderfunktionsblöcke oderandere Funktionsblöckesein können,die dazu ausgebildet sind, an die Entscheiderfunktionsblöcke 92 Signalezu liefern. Die Entscheiderfunktionsblöcke 92 und 94 habenmindestens einen Ausgang, der mit ein oder mehr anderen Funktionsblöcken 91 verbundenist, welche Analogausgabe- bzw. AO-, Digitalausgabe- bzw. DO-, Ursache-und-Wirkung-Funktionsblöcke, dieUrsache-und-Wirkung-Logikimplementieren, Steuer- und Diagnosefunktionsblöcke, welche Ausgangssignale vonden Entscheiderfunktionsblöcken 92 und 94 empfangenkönnen,um die Operation der Sicherheitsfeldgeräte 60 und 62 zusteuern, usw. sein können.Selbstverständlichkann das Sicherheitssteuermodul 58a auf jede gewünschte Weiseprogrammiert sein, um alle Arten von Funktionsblöcken gemeinsam mit einem odermehreren Entscheiderfunktionsblöckenaufzuweisen, die auf jede gewünschteoder nützlicheWeise konfiguriert sind, um jede gewünschte Funktionalität auszuführen. Zusätzlich oderalternativ könnenandere Eingangsfunktionsblöckewie AI- und DI-Funktionsblöcke direktmit Sicherheitssystemlogik gekoppelt sein, um ein Sicherheitslogik-Steuermodulbereitzustellen, das auf von den AI- oder DI-Blöcken detektierte Ereignissedadurch reagiert, dass es ein oder mehr Abschalteinrichtungen beimAuftreten von einem oder mehreren solchen Ereignissen aktiviert.
[0031] Dievergrößerte Darstellungdes Sicherheitssteuermoduls 58a in 1 weist zwar einen digitalen Entscheiderfunktionsblock 92 mitfünf Digitaleingängen undeinen analogen Entscheiderfunktionsblock 94 mit drei Analogeingängen auf,es versteht sich jedoch, dass jede beliebige Anzahl von verschiedenen Sicherheitslogikmodulen 58 für jedender verschiedenen Logikauflöser 50 bis 56 erzeugtund darin verwendet werden kann, und dass jedes dieser Module jedebeliebige Anzahl von AI-, DI-, Entscheider- oder anderen Eingabefunktionsblöcken aufweisenkann, die jede beliebige Anzahl von Eingängen haben, die mit anderenFunktionsblöckenauf jede gewünschte Weisekommunikativ verbunden sind. Wenn sie beispielsweise in einem Fieldbus-Netzwerkverwendet werden, könntengleichermaßendie Entscheiderfunktionsblöcke 92 und 94,die jede Fieldbusart von Funktionsblöcken sein können, oder jeder beliebige deranderen damit verbundenen Funktionsblöcke in anderen Einrichtungenwie etwa in den Feldgeräten 62 angeordnetund implementiert sein. Wenn sie außerhalb eines Sicherheitssystemsverwendet werden, könntendie Entscheiderfunktionsblöcke 92 und 94 sowiedie anderen Eingabefunktionsblöckein den Prozesssteuerungen 24, 26, den E/A-Einrichtungen 28 bis 36,den Feldgeräten 42 usw.implementiert sein. Ganz allgemein versteht es sich, dass die Entscheiderfunktionsblöcke 92 und 94 typischerweise redundanteEingaben empfangen, die von redundanten Sensoren oder Gebern innerhalbdes Sicherheitssystems 14 geliefert werden, und an diesenEingaben ein Entscheidungsschema anwenden, um zu bestimmen, ob aufder Basis all dieser Eingaben ein Sicherheitssystem-Auslösezustandvorliegt. Außerdemkönnendiese Entscheiderfunktionsblöckeprogrammiert werden, um innerhalb der Sicherheitssystemlogik Umgehungenoder Übergehungenzu initiieren.
[0032] DasBlockbild von 2 zeigtdie Komponenten des beispielhaften Entscheiderfunktionsblocks 94 von 1, der Umgehungs- und Übergehungsfähigkeitenhat. Der Entscheiderfunktionsblock 94 ist ein analogerEntscheiderfunktionsblock insofern, als ex Analogeingangssignaleverarbeitet, die beispielsweise überAnalogeingangs- bzw. AI-Funktionsblöcke 90 geliefert werden.Im allgemeinen umfaßtder Entscheiderfunktionsblock 94 drei Eingänge, diemit IN1, IN2 und IN3 bezeichnet und dazu ausgebildet sind, Analogeingangssignalebeispielsweise von redundanten Sensoren oder anderen redundantenElementen innerhalb der Prozessanlage 10 wie etwa von denFeldgeräten 60 und 62 von 1 zu empfangen. Jeder derEingängeIN1, IN2 und IN3 wird einem von einem Ausöselimit-Prüfblock 95a, 95b oder 95c undeinem Vorlimit-Prüfblock 96a, 96b oder 96c zugeführt. DieAuslöselimit-Prüfblöcke 95 vergleichendas ihnen zugeführteEingangssignal mit einem voreingestellten Limit, um zu bestimmen,ob das Eingangssignal einen einem Auslösezustand zugeordneten Wert(der ein hoher Wert, ein niedriger Wert oder ein Wert innerhalbeines vorbestimmten Bereichs sein kann) erreicht hat. Auf ähnlicheWeise vergleichen die Vorlimit-Prüfblöcke 96 das ihnen zugeführte Eingangssignalmit einem voreingestellten Vorlimit, um zu bestimmen, ob das Eingangssignaleinen Wert (der ein hoher Wert, ein niedriger Wert oder ein Wertinnerhalb eines vorbestimmten Bereichs sein kann) erreicht hat,der einem Alarm oder einer Warnung zugeordnet ist, die einen Auslösezustand bezeichnet,der zwar noch nicht existiert, jedoch bald existieren wird. Somiterlauben die Vorlimit-Prüfblöcke 96 dieErzeugung eines Alarm- oder Ereignissignals, das angibt, dass eingefährlicheroder anderweitig unerwünschterZustand dicht bevorsteht, obwohl er noch nicht vorliegt.
[0033] DieAusgangssignale der Auslöselimit-Prüfblöcke 95 undder Vorlimit-Prüfblöcke 96 (diebeispielsweise Digitalsignale sein können, die auf einen Hochwertgesetzt sind, wenn die Limits oder die Vorlimits in den Blöcken 95 und 96 erfüllt sind)werden jeweils einem von einer Gruppe von Eingangsumgehungssperrblöcken 98a, 98b und 98c zugeführt. Die Eingangsumgehungssperrblöcke 98 führen Eingangssperrungenan den einzelnen EingängenIN1, IN2 und IN3 durch, so dass einer oder mehrere dieser Eingänge gesperrtwerden können,d. h. innerhalb des Entscheiderfunktionsblocks 94 nichtdazu genutzt werden könnenzu bestimmen, ob ein Auslösezustandvorliegt oder ob ein Vorauslösealarmzustandexistiert. Jeder der Eingangsumgehungssperrblöcke 98 liefert einAusgangssignal fürden zugeordneten Auslöselimitzustandan einen Auslöseentscheiderlogikblock 100a undliefert ein Ausgangssignal fürden zugeordneten Vorlimitzustand an einen Vorauslöseentscheiderlogikblock 100b.Die Entscheiderlogikblöcke 100a und 100b führen dieEntscheiderlogik jeder gewünschtenOperation aus, um auf der Basis der ihnen zugeführten Eingangssignale zu bestimmen,ob ein Auslösezustandoder ein Vorauslösealarmzustandexistiert.
[0034] DerAuslöseentscheiderlogikblock 100a und derVorauslöseentscheiderlogikblock 100b liefernein Auslösesignalbzw. ein Vorauslösealarmsignal(wenn bestimmt wird, dass diese Bedingungen vorliegen) an einenSperr- oder Übergehungsblock 102,der den Entscheiderfunktionsblock 94 darin hindern kann,ein Auslösesignaloder ein Vorauslösealarmsignalzu liefern, das beispielsweise währendeines Hochfahr- oder anderen Vorgangs, während eines Laufzeit- oderWartungsvorgangs ausgegeben wird, wobei es vorteilhaft ist, dieOperation des Entscheiderfunktionsblocks 94 zu sperren.Der Sperrblock 102 entwickelt ein Auslöseausgangssignal (mit Out bezeichnet),das als Ergebnis der Operation des Auslöseentscheiderlogikblocks 100a undder Hochfahrsperrblocklogik bestimmt ist, und entwickelt zusätzlich ein Pre_Out-Signal,das als Ergebnis der Operation des Vorauslöseentscheiderlogikblocks 100b undder Hochfahrsperrblocklogik bestimmt wird. Das Out-Signal kann genutztwerden, um die Operation eines Abschaltprozesses innerhalb des Sicherheitssystems 14 von 1 zu treiben, wogegen dasPre_Out-Signal genutzt werden kann, um eine Warnung zu liefern unddie Tatsache anzuzeigen, dass in der Prozessanlage 10 nahezuein Auslösezustandexistiert. Selbstverständlichkönnendie Signale Out und Pre_Out, falls gewünscht, für andere Zwecke genutzt werden.
[0035] DerEntscheiderfunktionsblock 94 kann eine Menge von Parameternaufweisen, von denen einige in 2 über oderunter den Blöckenangegeben sind, in denen sie verwendet werden, und die beispielsweisewährendder Konfigurierung des Entscheiderfunktionsblocks 94 gesetztwerden, um die Operation des Entscheiderfunktionsblocks 94 zubewirken oder zu bezeichnen. Insbesondere werden ein Auslöselimit-Parameter(Trip_Lim) und ein Vorauslöselimit-Parameter(Pre_Trip_Lim) verwendet, um die Auslöselimits, die in den Auslöselimitblöcken 94 genutztwerden, zu setzen oder zu etablieren und die in den Vorlimitprüfblöcken 96 verwendetenVorauslöselimitszu setzen. Die Auslöselimit-und/oder Vorauslöselimitparameterkönnenfür jedender verschiedenen Blöcke 95 und 96 diegleichen sein oder fürjeden der Blöcke 95 und 96 individuellvorgegeben werden. Gleichermaßenwerden ein Auslösehysterese-Parameter(Trip_Hys) und ein Vorauslösehysterese-Parameter(Pre_Trip_Hys) genutzt, um die Hysterese einzustellen, welche dieBlöcke 95 und 96 zwischenaufeinanderfolgenden Auslösevorgängen durchlaufenmüssen.Das heißt,wenn einer der Blöcke 95 oder 96 detektiert,dass eines der Eingangssignale über(oder unter) einem Limit ist, dann bestimmt der Hysteresewert desAuslösehystereseparameters(für dieBlöcke 95)und der Hysteresewert des Vorauslösehystereseparameters (für die Blöcke 96),wie weit unter (oder über)das Limit das Eingangssignal gehen darf, bevor das Auslösesignal (oderdas Vorauslösesignal)abgeschaltet wird oder bevor es möglich ist, ein zweites Auslösesignal(oder Vorauslösesignal)von diesem Block setzen zu lassen.
[0036] DerEntscheiderfunktionsblock 94 hat ferner einen internenAuslösetyp-Konfigurationsparameter Trip_Type,der die Normal- und Auslösezustandswertedefiniert, die den Eingängenund/oder Ausgängen desEntscheiderfunktionsblocks 94 zugeordnet sind. Wenn beispielsweiseder Entscheiderfunktionsblock 94 als "fürAuslösungdeaktiviert" konfiguriertist (was der Standardwert sein kann), ist der Normalbetriebswertdes Ausgangs Eins und der Auslösezustandswertist Null. Wenn umgekehrt der Entscheiderfunktionsblock 94 als "zum Auslösen aktiviert" konfiguriert ist,ist der Normalbetriebswert Null, und der Auslösezustandswert ist Eins. DieseAnfangsbestimmung wird an den Auslöselimitprüfblöcken 95a, 9b und 95c undden Vorlimitprüfblöcken 96a, 96b und 96c vorgenommen,was jeweils den EingängenIN1, IN2 bzw. IN3 entspricht. Ein Detektiertyp-Parameter (Detect_Type)kann verwendet werden, um zu bestimmen, ob der Vergleich mit demAuslöselimitein Größer-als-Vergleich (hohesLimit) oder ein Weniger-als-Vergleich (niedriges Limit) sein soll.Dieser Vergleich erfolgt an den entsprechenden Auslöselimitprüfblöcken 95 undden Vorlimitprüfblöcken 96, umzu bestimmen, ob die Eingangssignale die vorbestimmten Limits erreichthaben.
[0037] Esversteht sich, dass die Ausgängeder Auslöselimitprüfblöcke 95 jeweilszeigen, ob eine Auslösungdurch einen entsprechenden der Eingänge IN1, IN2 und/oder IN3 angezeigtist. Wie oben erörtertwird, kann von den Eingangsumgehungssperrblöcken 98 für jedender einzelnen EingängeIN1, IN2 und IN3 eine Wartungsübergehungoder -umgehung angewandt werden, um zu verhindern, dass diese Eingänge in derEntscheidungslogik genutzt werden, die von den Entscheiderlogikblöcken 100 angewandt wird.Dieses Umgehungs-Feature ist vorteilhaft, wenn beispielsweise eineWartung an einem Geber oder einem anderen Feldgerät ausgeführt wird,welches das Eingangssignal fürden Entscheiderfunktionsblock 94 liefert. Bei Verwendungvon Entscheidungslogik, die auf der Basis einer Vielzahl von Eingängen einenAuslöseausgangbestimmt, sind Wartungsumgehungen nicht immer erforderlich, weileine einzige falsche Auslöseentscheidung(die aufgrund von Wartungsaktivitäten an dem den Eingang lieferndenSensor resultieren kann) nicht notwendigerweise in einer Auslösung resultiert.Diese Umgehungsfunktionalitätist aber vorteilhaft, um falsche Auslösungen während Wartungsmaßnahmenzu verhindern, und kann bei einer anderen Entscheiderlogik notwendig sein,etwa bei einem Ein-aus-Zwei-Entscheiderlogikschema, bei dem das Vorliegennur eines einzigen Auslösesignalsvon redundanten Sensoren in einer Auslösung resultiert.
[0038] Wenneiner der Eingangsumgehungssperrblöcke 98 die Umgehungeines Eingangs veranlaßt, wirdder umgangene Eingang von den Entscheiderlogikblöcken 100a und 100b nichtzur Ausbildung eines Auslösesignalsoder eines Vorauslösealarmsignals genutzt,und zwar auch dann nicht, wenn der Eingangswert die Limits überschreitet,die durch die Auslöselimit-oder die Vorauslöselimit-Parameterangegeben sind. Um das Umgehen zu ermöglichen, kann zuerst ein Umgehungserlaubnis-bzw. Bypass Permit-Parameter aktiviert werden, um zu prüfen, ob dasUmgehen der Eingänge überhauptzugelassen werden soll. Allgemein gesagt, wird das Umgehen von Eingängen dannzugelassen, wenn der Bypass Permit-Parameter gesetzt oder aktiviertist, wird jedoch nicht zugelassen, wenn der Bypass Permit-Parameterrückgesetztoder nicht aktiviert ist. Es kann zwar ein einziger Bypass Permit-Parameterfür sämtlicheUmgehungssperrblöcke 98 anwendbarsein, aber eine separate Umgehungserlaubnis kann für jedender Eingangsumgehungssperrblöcke 98a, 98b, 98c gesetztwerden.
[0039] Wennder Bypass Permit-Parameter gesetzt oder aktiviert ist, kann einBYPASSx-Parameterverwendet werden, um einen oder mehrere der Umgehungssperrblöcke 98 zuveranlassen, das Sperren der Verwendung eines zugehörigen derEingänge IN1,IN2 oder IN3 zu bewirken. Das x in dem BYPASSx-Parameter bezeichnet,welcher der Eingänge IN1,IN2 oder IN3 zu deaktivieren ist. Falls gewünscht, kann mehr als ein Eingangzu einem bestimmten Zeitpunkt gesperrt werden, oder der Entscheiderfunktionsblock 94 kannso konfiguriert sein, dass jeweils nur ein Eingang gesperrt werdendarf. Der Bypass-Permit- und der BYPASSx-Parameter können aufjede gewünschteWeise gesetzt oder ausgegeben werden, etwa durch eine Bedienerdisplaytasteoder einen Bediener- oder Wartungsbildschirm, einen physischen Tastenschalter,eine diskrete Eingabe in das Sicherheitsmodul, durch eine Konfigurations-,Steuerungs-, Display- oder Diagnoseanwendung, durch einen anderenEingangsfunktionsblock (wie noch im einzelnen beschrieben wird) oderauf irgendeine andere Weise. Selbstverständlich kann, wenn der Gebraucheiner Umgehungserlaubnis in einer bestimmten Implementierung des Entscheiderfunktionsblocks 94 nichtbenötigtwird, der Standardwert des Bypass Permit- Parameters so eingestellt werden, dasser bei der Konfiguration des Entscheiderfunktionsblocks 94 aktiviertwird.
[0040] EinUmgehungszeitablauf- bzw. Bypass_Timeout-Parameter kann verwendetwerden, um die Zeitdauer einzustellen, nach der eine für einender Blöcke 98 gesetzteUmgehung automatisch abläuft.In diesem Fall kann jeder von den Eingangsumgehungssperrblöcken 98 einenUmgehungszeitgeber als einen von einer Gruppe von Zeitgebern 110 aufweisen,der auf den Bypass_Timeout-Parameterwert eingestellt ist und zuBeginn der Umgehung abwärtsgezählt wird.In dieser Situation könnendie Eingangsumgehungssperrblöcke 98 dieNutzung des zugeordneten Eingangs sperren, bis entweder der BYPASSxabgeschaltet wird oder der Umgehungszähler Null erreicht. Es verstehtsich, dass Umgehungszeitgeber genutzt werden können, um sicherzustellen, dass Umgehungennach einer vorbestimmten Zeitdauer entfernt werden.
[0041] Fallsgewünscht,könnendie Eingangsumgehungssperrblöcke 98 auchso konfiguriert werden, dass sie einem Benutzer wie etwa einem Bediener, Sicherheitsingenieur,Techniker usw. einen Erinnerungsalarm liefern, um den Benutzer daranzu erinnern oder ihm mitzuteilen, dass ein Umgehungszeitablauf unmittelbarbevorsteht. Wenn Umgehungen so konfiguriert sind, daß sie beiUmgehungszeitablauf verschwinden oder deaktiviert werden, kann eine Mitteilungan einen Benutzer oder sonstigen Bediener vor dem Zeitablauf gesendetwerden, indem ein Erinnerungszeit- bzw. REMINDER_TIME-Parameter auf irgendeinenvon Null verschiedenen Wert gesetzt wird. Wenn in diesem Fall derUmgehungszeitgeber nicht Null, aber kleiner als der Erinnerungszeitparameterist und irgendein umgangener Eingang die Auslösung entscheidet, kann derErinnerungsalarm aktiviert werden, um dem Benutzer eine Warnungzu liefern, die anzeigt, dass eine Abschaltung bei Ablauf des Umgehungszeitgebers,der unmittelbar bevorsteht, erfolgen kann. Wenn es keine umgangenen Eingänge gibt,die die Auslösungentschieden haben, braucht der Alarm nicht aktiviert zu werden,er kann jedoch trotzdem aktiviert sein. Es versteht sich aber, dassauch dann, wenn der Umgehungszeitablaufalarm aktiv ist, eine Auslösung nichtnotwendigerweise unmittelbar bevorsteht, weil eventuell nicht genügend anderedie Auslösungentscheidende Eingängevorhanden sind, um den Auslöseentscheiderlogikblock 100a zuveranlassen, ein Auslösesignalzu erzeugen.
[0042] Beieiner Ausführungsformkann der Umgehungszeitgeber nur dann erneut aktiviert werden, wenndie Zeitdauer fürdie erste Umgehung abgelaufen ist. Der Umgehungszeitgeber kann aberein schreibfähigerParameter sein, so dass nach der Mitteilung, dass gleich ein Zeitablauferfolgen wird, der Umgehungszeitgeber unter Verwendung eine Bedienerdisplaytaste(oder einer anderen geeigneten Technik) inkrementiert werden kann,um die Umgehungszeit zu verlängern.Ein solches Merkmal ermöglichtes einem Benutzer, die Umgehungszeit zu verlängern, wenn beispielsweiseein Wartungsprozess an dem Feldgerät noch läuft, das dem Entscheiderfunktionsblock 94 dieumgangene Eingabe liefert. Alternativ kann die Mitteilung des Umgehungszeitablaufsauch nur fürAnzeigezwecke erfolgen, wenn beispielsweise eine Umgehung nichtdeaktiviert werden soll, wenn der Umgehungszeitgeber abläuft. Indiesem Fall kann der Erinnerungsalarm so eingestellt sein, dasser aktiv ist, wenn der Umgehungszeitgeber abläuft, auch wenn der Erinnerungszeitparameterauf Null gesetzt ist. Wenn jedoch der Erinnerungszeitparameter nichtNull ist, tritt die Erinnerung dennoch vor dem Zeitablauf auf (wennder Eingang fürdie Auslösungstimmt). Die Erinnerungsalarme und Umgehungsalarme können quittierteoder nichtquittierte Alarme sein.
[0043] Dievon den Entscheiderlogikblöcken 100a und 100b ausgeführte Entscheidungslogikkann eine "M-aus-N"-Logikfunktion sein.Gemäß dieserFunktionalitätmüssenM Eingängeaus der Gesamtmenge von N Eingängenfür dieAuslösungstimmen. Beispielsweise kann der Entscheiderfunktionsblock 94 alsein Zwei-aus-Drei- bzw. 2oo3-Entscheiderkonfiguriert sein, was bedeutet, dass zwei der drei Eingänge dasAuslöselimiterfüllenmüssen,bevor der Ausgang des Entscheiderlogikblocks 100a auf denAuslösezustandswertgesetzt wird, und zwei von drei der Eingänge müssen das Vorauslöselimiterfüllen,bevor der Vorauslöseentscheider-Logikblock 100b aufeinen Vorauslösealarmwertgesetzt wird. Der N-Wert in der "M-aus-N"-Funktion wird ausder Anzahl von nichtgesperrten Eingängen bestimmt, wogegen der M-Wertauf der Basis eines internen Parameters des Blocks bestimmt wird,der als Anzahl-zum-Auslösen bzw.NUM-TO-TRIP bezeichnet ist und dessen Standardwert auf jeden gewünschtenWert gesetzt sein kann, der bei der Konfiguration gleich oder kleinerals N ist. ÜblicheEntscheidungsschemata könnenbeispielsweise Zwei-aus-Drei (2oo3), Ein-aus-Zwei (1oo2), Zwei-aus-Zwei(2oo2) usw. umfassen. Es kann jedoch jede andere Entscheidungslogikverwendet werden. Wegen der übrigenMerkmale des Blocks 94 kann der Entscheiderfunktionsblock 94 auchfür einzelneGeberanwendungen wie etwa in einer Situation einer Ein-aus-Ein-bzw. 1oo1-Entscheiderfunktionslogik verwendet werden.
[0044] Allgemeingesagt, benötigen1oo2- oder 1oo1-Entscheidungsmuster eine Wartungsumgehungsfunktion,weil die Deaktivierung auch nur eines der Geber auf eine Weise,die am Eingang des Entscheiderfunktionsblocks 94 einendetektierten Auslösezustandfür diesenGeber währendWartungsaktivitätenverursacht, notwendigerweise darin resultiert, dass der Entscheiderlogikblock 100a einenAuslösezustandsetzt. Entscheiderfunktionsblöcke,die so konfiguriert sind, dass sie eine Vielzahl von Auslöseenscheidungenerfordern, könnenjedoch immer noch Vorteil aus einer Umgehungsfunktion für ein besservorhersagbares Verhalten währendWartungsprozessen ziehen.
[0045] DasUmgehen eines der EingängeIN1, IN2 oder IN3 kann die Entscheiderlogikblöcke 100a und 100b aufeine von zwei Weisen beeinflussen. Es kann entweder bewirken, dassdie Anzahl von Eingängen,die zum Bestimmen eines Auslösezustands (odereines Vorauslösealarmzustands)notwendig sind, um eins verringert wird, oder es kann bewirken, dassdiese Anzahl von Eingängengleich bleibt. Wenn beispielsweise der Entscheiderlogikblock 100a alsein 2oo3-Entscheiderlogikblock konfiguriert ist und einer der Eingänge IN1,IN2 oder IN3 umgangen wird, kann das Entscheidungsschema ein 1oo2-Entscheidungsschemawerden, was bedeutet, dass die notwendige Anzahl von Eingängen für eine Auslöseentscheidungum eins verringert wird (zusammen mit der Anzahl von möglichenEingängen).Optional kann das 2oo3-Entscheidungsschema zu einem 2oo2-Entscheidungsschemageändertwerden, wenn ein ausgewählterEingang umgangen wird, was bedeutet, dass die Anzahl von Eingängen, dieerforderlich sind, um füreine Auslösungzu stimmen, gleich bleibt (auch wenn die Anzahl möglicherEingängeum eins verringert wird). Es kann ein Umgehungsoptionen-Parameterverwendet werden, um anzugeben, ob die tatsächlich erforderliche Auslöseanzahlum eins verringert wird oder nicht, wenn ein Eingang umgangen wird. 3 zeigt die Auswirkung dieserOption auf mehrere verschiedene Entscheidungsschemata. Die ersteSpalte von 3 bezeichnetdas konfigurierte Entscheidungslogikschema ohne gesperrte Eingänge, diezweite Spalte von 3 bezeichnetdie Entscheidungslogik, wenn ein einziger Eingang gesperrt ist,wobei die ursprünglichkonfigurierte Anzahl genutzt wird, um M auszulösen, und die dritte Spaltevon 3 bezeichnet dieEntscheidungslogik, wenn ein einziger Eingang gesperrt ist und dieAuslöseanzahlM um eins verringert ist. Selbstverständlich könnten zusätzliche Sperrungen von Eingängen ähnliche Änderungender Werte bewirken, die in der zweiten und dritten Spalte von 3 angegeben sind. Auf jedenFall wird der Entscheiderlogikblock 100a (und der Vorauslöseentscheiderlogikblock 100b)im allgemeinen die tatsächlicheAnzahl von Eingängen,die füreine Auslösung erforderlichsind, nicht auf weniger als eins verringern und sperrt die Auslösung, wenndie möglichenEingängefür dieAuslöseentscheidungauf Null verringert sind, etwa in einem 1oo1-Entscheidungsschema.
[0046] DasStandardverhalten der Eingangsumgehungssperrblöcke 98 kann so konfiguriertsein, dass jeweils nur die Umgehung eines Eingangs zur Zeit zugelassenwird. Diese Funktionalitätkann von einem Schreibprüf-Featureerzwungen werden, das die Umgehung eines zweiten Eingangs verhindert. Optionalkann gleichzeitig eine Vielzahl von Eingängen umgangen werden. Fallsgewünscht,kann der BYPASSx-Parameter eine zusätzliche Schreibprüfung haben,die verlangt, daß derUmgehungserlaubnis- bzw. BYPASS-PERMIT-Parameter wahr oder gesetztist, bevor der BYPASSx-Parameter gesetzt werden kann.
[0047] Eskann ein Auslöseverzögerungs-Aktivzeit- bzw.TRIP-DELAY-ON-Parameter angewandt werden, und zwar nach Durchführung derEntscheidung an dem Auslöseentscheiderlogikblock 100a,entsprechend dem gewähltenM-aus-N-Entscheidungsschema,und so dass der entschiedene Auslösezustand während eines konfigurierbarenZeitraums (dessen Standardwert auf null Sekunden gesetzt werden kann)aktiv sein muß,bevor sich das OUT-Signal in den Ausgelöst-Zustand-Wert ändert. Auf ähnliche Weisekann ein Auslöseverzögerungs-Inaktivzeit- bzw.TRIP-DELAY-OFF-Parameter(dessen Standardwert auf null Sekunden gesetzt werden kann) angewandtwerden, um die Zeit zu verzögern,zu der das OUT-Signal in den Normalzustandswert zurückgebrachtwird, wenn der Auslöseentscheidungszustandaufgehoben ist, d. h. wenn der Auslöseentscheiderlogikblock 100a aufder Basis der ihm zugeführtenEingängebestimmt, dass ein Auslösezustand nichtexistiert. Selbstverständlichkönnendie Auslöseverzögerungs-Aktivzeit-Parameterund der Auslöseverzögerungs-Inaktivzeit-Parameter verschiedeneWerte und jeden gewünschtenWert haben und könnenbei einem oder beiden von dem Out-Signal, das von dem Auslöseentscheiderlogikblock 100a erzeugtwird, und dem Vor-Aus-Alarmsignal, das von dem Vorauslöseentscheiderlogikblock 100b erzeugt wird,angewandt werden. Falls gewünscht,können dieAuslöseverzögerungs-Aktivzeitdauerund die Auslöseverzögerungs-Inaktivzeitdauerunabhängig für den Auslöseentscheiderlogikblock 100a undden Vorauslöseentscheiderlogikblock 100b konfigurierbarsein und könnenvon einem der Zeitgeber 110 verfolgt werden.
[0048] Wieoben gesagt, ermöglichtder Sperrblock 102 eine Hochfahr- oder andere Operations-Übergehungsfunktionalität. Fallsgewünscht,kann diese Übergehungsfunktionalität von einemanderen Funktionsblock wie etwa einem Eingabefunktionsblock eingeleitetwerden (was noch im einzelnen beschrieben wird). Es kann beispielsweisenotwendig sein, den Ausgang des Entscheiderfunktionsblocks 94 zu übergehen,um zu erzwingen, dass das Out-Signal für einen kurzen Zeitraum während desHochfahrens oder anderer vorübergehenderBetriebssituationen einschließlicheiniger Feldgerät-Prüfsituationenim Normalzustand ist. Diese Sperr- oder Übergehungsfunktionalität kann beispielsweisegenutzt werden, um eine von dem Entscheiderfunktionsblock 94 erzeugteanhaltende Auslöseforderungzu inaktivieren, weil der Prozess oder ein relevanter Anteil davonin einem Abschaltzustand ist, ein Feldgerät in einem Wartungszustandist usw., so dass dadurch der Hochfahrablauf des Prozesses bis zudem Punkt ablaufen kann, an dem die Prozesswerte, die an den Eingängen desEntscheiderfunktionsblocks 94 vorliegen, nicht länger aufWerten sind, die anzeigen, dass eine Auslösung eingeleitet werden sollteoder dass an einem oder mehreren Feldgeräten ein vollständiger undkompletter Wartungsprozess durchgeführt werden sollte.
[0049] Beieinem Beispiel kann der Sperrblock 102 solches Standardverhaltenaufweisen, dass bei Empfang einer Anzeige eines Hochfahrens, wasdurch Setzen eines Hochfahrparameters gezeigt werden kann, der Sperrblock 102 dasOut-Signal und, falls gewünscht,das Pre_Out-Signal füreine konfigurationsfähigeZeitdauer, die durch einen Hochfahrverzögerungs- bzw. STARTUP-DELAY-Parameterdefiniert ist, in den Normalzustandswert zwingt. Der Sperrblock 102 kanneinen Hochfahr-Countdownzählerals einen der Zähler 110 aufweisen,der auf den von dem Hochfahr-Verzögerungs-Parameter bezeichneten Wert eingestelltist und der bei Empfang der Hochfahranzeige über den Hochfahr-Parameterregressiv zu zählenbeginnt. Wenn der Countdownzählerabläuft,nehmen der Auslöseentscheiderlogikblock 100a undder Vorauslöseentscheiderlogikblock 100b dienormale Auslösedetektierungwieder auf. Der Sperrblock 102 kann so konfiguriert sein,dass ein anschließendesSetzen des Hochfahrparameters die Hochfahrzeit nicht beeinflußt, während derHochfahrzählerabläuft.Optional ist es möglich,zuzulassen, dass jedes neue Setzen des Hochfahrparameters den Hochfahrzähler neusetzt, so dass eine bevorstehende Auslösung bei Zeitablauf vermiedenwerden kann.
[0050] Ähnlich wiedie Eingangsumgehungssperrblöcke 98 kannder Sperrblock 102 eine Erinnerungsfunktion haben, diebeispielsweise durch Setzen eines Umgehungsparameters aktiviertwird. Diese Erinnerungsfunktionalität ist für Hochfahrumgehungen im wesentlichenauf die gleiche Weise wirksam wie für Eingangsumgehungen (Wartungsumgehungen). Wennalso der Hochfahrzeitgeber größer alsnull, aber kleiner als ein konfigurierbarer Erinnerungszeit-Parameterbzw. REMINDER-TIME-Parameter ist (der bei der Konfiguration vorgegebenwerden kann) und ausreichend Entscheidungen zum Auslösen vorliegen,wird ein Erinnerungsalarmzustand aktiv, der anzeigt, dass der Ablaufder Umgehung unmittelbar bevorsteht, was in einem Abschalten aufder Basis der Werte der EingängeIN1, IN2 und IN3 resultieren wird.
[0051] Fallsgewünscht,kann der Hochfahrzeitgeber zusätzlichoder alternativ automatisch ablaufen, wenn sich die Eingänge stabilisierthaben, d. h. wenn übereinen konfigurierbaren Zeitraum nicht ausreichend Auslöseentscheidungenvorhanden waren. Diese stabile Zeit kann von einem stabilen Zeitgeber verfolgtwerden, der einer der Zeitgeber 110 sein kann und detektierenkann, wenn der Ausgang des Entscheiderlogikblocks 100a beispielsweisebei einem Nichtauslöse-oder Normalwert fürdie bezeichnete Zeitdauer stabil ist. In diesem Fall kann der stabileZeitgeber, währendder Hochfahrzeitgeber rückwärts zählt, immerdann vorwärtszählen,wenn nicht genügendAuslöseentscheidungenvorliegen, und kann immer dann rückgesetztwerden, wenn die Auslöseentscheidungendie zum Auslösenerforderliche Anzahl erreichen oder überschreiten. Wenn der stabileZeitgeber den konfigurierten stabilen Zeitwert erreicht, wird derHochfahrzeitgeber auf null rückgesetzt,und die normale Auslösedetektierfunktionalität wird wiederaufgenommen. Selbstverständlichsetzt sich der stabile Zeitgeber am Ende der Hochfahrperiode nichtzurück,sondern wird zu Beginn eines Hochfahrens und jederzeit während derHochfahrsperrperiode, wenn ausreichend Auslöseentscheidungen vorliegen,rückgesetzt.
[0052] Alternativbraucht die Hochfahrumgehungszeit nicht auf einem festgelegten Zeitraumoder auf Werten der EingängeIN1, IN2 und IN3 zu dem Entscheiderfunktionsblock 94 zubasieren, sondern kann statt dessen auf dem Auftreten oder Nichtauftreten einesEreignisses basieren. In diesem Fall endet die Hochfahrumgehung,wenn ein Hochfahr-Rücksetzparametergesetzt ist oder gesetzt wird oder wahr wird, was beim Detektierendes Ereignisses stattfinden kann. Auf diese Weise kann die Hochfahrumgehungmit dem Vorliegen oder Nichtvorliegen eines Ereignisses unbestimmterZeitdauer verknüpftsein.
[0053] Fallsgewünscht,kann der Status der EingängeIN1, IN2 und/oder IN3 genutzt werden, um das Verhalten des Entscheiderfunktionsblocks 94 zubeeinflussen, und dieses Statusverhalten kann unter Anwendung einesStatusoptions-Parameters eingestellt werden. Es versteht sich, dassin vielen Systemen wie etwa in HART- und Fieldbus-Systemen Geber oderandere Feldgeräteein Statussignal zusammen mit einem Prozessvariablensignal odereinem Prozesswert senden, wobei das Statussignal den Status desGebers selbst bezeichnet. Diese Statussignale können bedeuten, dass der Geberin einem normalen oder guten Zustand ist oder in einem abnormalenZustand wie etwa einem schlechten oder anderen unerwünschtenZustand ist, was dazu führenkann, dass der Wert der von dem Geber übermittelten Prozessvariablenvon zweifelhafter Natur ist. Somit kann der Status der Eingangssignale,die den IN1-, IN2- und IN3-Eingängendes Entscheiderfunktionsblocks 94 zugeführt werden, bestimmt und dazu genutztwerden, das Entscheidungsschema oder die Art und Weise zu beeinflussen,wie die Eingängein dem Entscheidungsschema genutzt werden.
[0054] Fallsgewünscht,könnendie Entscheidungsschemata, die von den Blöcken 100 genutzt werden, sovorgegeben sein, dass ein fehlerhafter Geber (d. h. ein Eingangmit schlechten Status) nicht automatisch eine Auslösung einleitet,wenn andere Geber verfügbarsind, die einen gültigenWert der gerade gemessenen Prozessvariablen bezeichnen. Bei Betrachtungdes Status der Eingangssignale besteht eine Option darin, immerden Wert des Eingangs IN1, IN2 oder IN3 ungeachtet des Status desEingangs zu verwenden. Auf diese Weise führt ein Hardwarefehler nichtunbedingt zu einer Abschaltung, und es steht Zeit zur Verfügung, umeine Reparatur auszuführen. Eineandere Option ist, einen schlechten Status an einem Eingang so zubehandeln, als ob der Eingang umgangen würde, wodurch verhindert wird,dass der Eingang die Auslösungentscheidet, und zwar auf die gleiche Weise, wie das oben in bezugauf die Eingangsumgehungssperrblöcke 98 beschriebenwird. Eine dritte Option besteht darin, den Eingang automatischals Entscheidung zum Auslösenzu betrachten, wenn der Status des Eingangs schlecht ist. Dies kannals die Standardoption konfiguriert werden, die die höchste Sicherheitsstufefür 1ooX-Entscheidungsschematabietet. 4 zeigt dieArt und Weise, in der mehrere üblicheEntscheidungsschemata verschlechtert werden, wenn ein einziger Eingangeinen schlechten Status hat, und zwar für jede der oben beschriebenenOptionen. Wie beispielsweise in der ersten Reihe und der erstenSpalte von 4 gezeigtist, verschlechtert sich ein 2oo3-Entscheidungsschema effektiv entwederzu einem 2oo3-Entscheidungsschema(wenn der Wert des Signals von dem schlechten Geber ein Nichtauslösewert ist)oder zu einem 1oo2-Entscheidungsschema (wenn der Wert des Signalsvon dem schlechten Geber ein Auslösewert ist), wenn der Wertdes Eingangs immer genutzt wird. Wie dagegen in der ersten Reiheund zweiten Spalte von 4 zusehen ist, verschlechtert sich das 2oo3-Entscheidungsschema zu einem2oo2-Entscheidungsschema,wenn der Wert des schlechten Gebers überhaupt nicht genutzt wird(oder kann sich zu einem 1oo2-Schema in Abhängigkeit davon verschlechtern,ob das Umgehungs-Merkmal ausgewähltist). Wie in der ersten Reihe und dritten Spalte von 4 zu sehen ist, verschlechtertsich das 2oo3-Entscheidungsschema gleichermaßen effektiv zu einem 1oo2-Entscheidungsschema,wenn der Wert des schlechten Gebers als eine Auslöseentscheidungbehandelt wird, wobei es keine Rolle spielt, was der tatsächlicheWert dieses Signals bedeutet.
[0055] Selbstverständlich kanndie Nutzung des Status der Eingängezu dem Entscheiderfunktionsblock 94 in jedem von dem Auslöseentscheiderlogikblock 100a unddem Vorauslöseentscheiderlogikblock 100 aufdie gleiche Weise oder davon verschieden behandelt werden. Fallsgewünscht,kann der Status des Out-Signals und des Pre_Out-Signals als gut gesetzt werden, es seidenn, alle nicht umgangenen Eingängehaben einen schlechten Status, und in diesem Fall kann der Statusdes Out- und des Pre_Out-Signals als schlecht gesetzt werden. Falls gewünscht, kanndann, wenn irgendein nichtumgangener Eingang einen schlechten Statushat, ein Alarmzustand-Parameter, der einen schlechten Eingang bezeichnet,von dem Entscheiderfunktionsblock 94 gesetzt werden.
[0056] Wieaus der vorstehenden Diskussion ersichtlich ist, kann der Entscheiderfunktionsblocksomit eine Umgehungs- und Übergehungs-Funktionalität enthalten.In der Vergangenheit wurde diese Funktionalität jedoch entweder durch denModus oder den Status der Eingängezu dem Entscheiderfunktionsblock oder durch ein manuelles Signaleingeleitet, das von einem Bediener wie etwa von einer der Bedienerdisplayeinrichtung 16 gesendetwurde und diese Funktionalitäteinleitete. Die Eingangsfunktionsblöcke selber können jedochso konfiguriert werden, dass sie detektieren, wenn ein Feldgerät in eine Konfigurationoder einen Modus gebracht ist, der dem Normalbetrieb des Feldgeräts nichtzugeordnet ist, wie etwa einen Prüf- oder Kalibriermodus. BeispielsweisekönnenHART-Einrichtungen in einen Feststrommodus gebracht werden, um denEingang zu dem Logikauflöserund die zugeordnete Feldverdrahtung zu prüfen oder eine Kalibrierungauszuführen,und könnendadurch HART-Kommunikationen nutzen, um anzuzeigen, dass das Feldgerät in einem Feststrommodusist. Der Logikauflöser,der einen der Eingangsfunktionsblöcke verwendet, kann diesen Feststrommodusdetektieren und die Umgehungs- oder Übergehungs-Funktionalität innerhalbdes Logikauflösersautomatisch einleiten (etwa die Umgehungs- oder Übergehungs-Funktionalität des Entscheiderfunktionsblocks,wie oben beschrieben wurde), um die zugeordneten Eingänge vondem Feldgerätbeispielsweise als umgangen zu behandeln. Ebenso können dieEingangsfunktionsblöckedie Rückkehrdes Feldgerätsaus dem Feststrommodus in den Normalbetriebsmodus detektieren undkönnen Logikaufweisen, welche die Umgehung oder Übergehung aufhebt, um dadurchautomatisch sicherzustellen, dass der Feldgeräteingang in der Sicherheitslogikgenutzt wird, um Ereignisse innerhalb der Prozessanlage zu detektieren.Selbstverständlich kannandere Aufhebungslogik, wie etwa die oben beschriebenen Zeitablauf-Merkmale,verwendet werden, um die Umgehungs- oder Übergehungs-Merkmale zu entfernen,die von den Eingangsfunktionsblöckenautomatisch detektiert werden.
[0057] 5 zeigt einen Eingangsfunktionsblock 120,der in diesem Fall ein AI-Funktionsblock ist und Logik enthält, dieautomatisch den Konfigurationszustand eines zugeordneten Feldgeräts detektiertund diesen detektierten Zustand verwendet, um eine geeignete Umgehungs-oder Übergehungs-Funktionalität innerhalbdes Logikauflöserszu erzeugen oder einzuleiten. Wie 5 zeigt,ist der Funktionsblock 120 kommunikativ mit einem Feldgerät 125,einem Entscheiderlogikblock 127 und einer anderen Sicherheitssystemlogik 129 verbunden.Der Eingangsfunktionsblock 120 kann einen Standard-Kommunikationsstapel 130 haben,der mit dem Feldgerät 125 unterAnwendung jedes gewünschtenKommunikationsprotokolls in Verbindung ist, beispielsweise eines Standard-Kommunikationsprotokollswie dem HART- oder dem Fieldbus-Kommunikationsprotokoll.Selbstverständlichweist der Kommunikationsstapel Software zur Kommunikation mit demFeldgerät 125 auf, umvon dem Feldgerät 125 Standard-Kommunikationen (oder,falls gewünscht,Nicht-Standard-Kommunikationen) zu empfangen und Meldungen an das Feldgerät 125 zuliefern, wenn dies gewünschtwird.
[0058] EinGerätkonfigurationsdetektierblock 132 ist mitdem Kommunikationsstapel 130 verbunden, um Meldungen vondem Feldgerät 125 zuempfangen und zu decodieren, um den Konfigurationsstatus des Feldgeräts 125 zubestimmen. In 5 nichtgezeigt, aber in dem Eingangsfunktionsblock 120 enthalten istStandardsoftware zur Kommunikation mit dem Feldgerät, um Signalevon dem Feldgerät 125 zu empfangen,diese Signale zu decodieren und zu interpretieren, um das IN1-Signalan einem Ausgang des Funktionsblocks 120 zu erzeugen. DasIN1-Signal kann beispielsweise dem Entscheiderfunktionsblock 127 oderjedem anderen gewünschtenBlock innerhalb der Sicherheitssystemlogik zugeführt werden.
[0059] DerEingangsfunktionsblock 120 kann ferner einen Gerätkonfigurationsdetektierblock 132 aufweisen,der beispielsweise Signale (z. B. Meldungen) von dem Feldgerät 125 empfangenund detektieren kann, die anzeigen, dass das Feldgerät 125 ineinen Feststrommodus (was bedeutet, dass das Feldgerät 125 externbeispielsweise von einer Hand-held-Konfigurationseinrichtung 85 von 1 in einen Prüfmodus gebrachtworden ist) oder einen anderen nicht-normalen Betriebskonfigurationsmodusgebracht worden ist. Falls erforderlich, kann der Gerätkonfigurationsdetektierblock 132 entwederperiodisch oder in Abhängigkeitvon einer detektierten Änderungdes Zustands des Feldgerätsein Signal an das Feldgerät 125 sendenund in bezug auf den Konfigurationsstatus des Feldgeräts 125 anfragen,um dadurch das Feldgerät 125 zu veranlassen,mit einem Signal zu antworten, das den Konfigurationszustand desFeldgeräts 125 bezeichnet.
[0060] BeiDetektierung einer Änderungder Konfigurationsbedingung oder des -zustands des Feldgeräts 125 voneinem normalen Betriebskonfigurationszustand in einen nicht-normalen Betriebskonfigurationszustandsendet der Gerätkonfigurationsdetektierblock 132 einSignal an einen Umgehungs-/Übergehungs-Logikblock 134,der jede gewünschteoder geeignete Logik verwendet, um eine Umgehung oder eine Übergehung(die dem Feldgerät 125 zugeordnet ist)einzuleiten und an den Entscheiderfunktionsblock 127 einsolches Umgehungs- oder Übergehungssignalzu übergeben.Bei Detektierung, dass das Feldgerät 125 in einen Prüfmodus gebrachtworden ist, indem es beispielsweise in einen Feststrommodus gebrachtwird, kann beispielsweise die Übergehungs-/Umgehungs-Logik 134 automatischeine Umgehung oder eine Übergehungzum Gebrauch in dem Entscheiderfunktionsblock 127 erzeugen,um den Entscheiderfunktionsblock 127 daran zu hindern,das Ausgangssignal des Feldgeräts 125 beider Detektierung eines Ereignisses innerhalb der Prozessanlage zunutzen. Auf ähnlicheWeise kann bei Detektierung, dass das Feldgerät 125 aus einem Prüf- oderKalibriermodus (z. B. einem nicht normalen Betriebskonfigurationszustand)in einen Normalbetriebsmodus gebracht worden ist, die Übergehungs-/Umgehungslogik 134 automatischeine Umgehung oder eine Übergehungaufheben, die vorher an den Entscheiderfunktionsblock 127 gesendetwurde, um dadurch zu bewirken, dass der Entscheiderfunktionsblock 127 dasAusgangssignal von dem Feldgerät 125 (d.h. das IN1-Signal) erneut nutzt, um Ereignisse innerhalb der Prozessanlagezu detektieren.
[0061] Aufdiese Weise weist der Eingangsfunktionsblock 120 Logikauf, die automatisch die Anwendung von Umgehungen und Übergehungenbei Änderungender Feldgerätkonfigurationkoordiniert, auch wenn Änderungender Feldgerätkonfiguration durcheine externe Einrichtung vorgenommen werden, und zwar ohne sonstigeKoordination mit der Sicherheitssystemlogik. Als Ergebnis dieserKoordination umgeht oder übergehtdas Sicherheitssystem automatisch Eingänge von einem Feldgerät, wenn diesesFeldgerätin einen Prüf-,Kalibrier- oder anderen nicht-normalen Betriebszustand von einemBenutzer oder einer Quelle gebracht worden ist. Umgekehrt entferntdas Sicherheitssystem automatisch die Über- oder Umgehung, wenn einFeldgerätaus einem Prüf-,Kalibrier- oder anderen nicht-normalen Betriebszustand in den Normalbetriebszustandgebracht wird, wodurch der Zustand des Feldgeräts mit Über- und Umgehungen, die in dem Sicherheitssystemverwendet werden, koordiniert wird.
[0062] Eswird zwar beschrieben, dass die Übergehungs-/Umgehungs-Logik 134 Über- oderUmgehungen aufhebt, wenn detektiert wird, dass das Feldgerät in einenNormalbetriebszustand zurückgebracht ist,aber die Übergehungs-/Umgehungs-Logik 134 könnte stattdessen oder zusätzlichdie automatische Aufhebung der Übergehungenoder Umgehungen auf der Basis von Zeitgebern verwenden, wie sie obenin bezug auf den Entscheiderfunktionsblock 94 von 2 beschrieben werden. Somitkönntedie Übergehungs-/Umgehungs-Logik 134 eineLogik aufweisen, die dann, wenn ein Zeitgeber nach der Einleitungeiner Umgehung oder einer Übergehungabläuft,automatisch diese Umgehung oder Übergehungaufhebt, einen Benutzer überdie abgelaufene oder bald ablaufende Zeit informiert oder eine deranderen Aktionen ausführt,die oben in bezug auf die Aufhebung von Übergehungen oder Umgehungeninnerhalb des Entscheiderfunktionsblocks 94 beschriebenwerden.
[0063] Außerdem kanndas Sicherheitssystem die Prüfungeines Feldgerätsdadurch koordinieren, dass es imstande ist, das Feldgerät 125 ausdem Normalbetriebszustand in einen Prüf-, Kalibrier- oder sonstigennicht-normalen Betriebszustand ohne manuelle Unterstützung durcheinen Benutzer oder Bediener zu bringen, auch wenn sich das Feldgerät 125 ineinem Schreibschutzzustand befindet. Insbesondere kann der Eingangsfunktionsblock 120 einenGerätkonfigurationssteuerblock 140 aufweisen,der auf ein Set von Befehlen 142 Zugriff hat, die an dasFeldgerät 125 gesendetwerden können,um die Konfigurationseinstellung des Feldgeräts 125 auch dann zu ändern, wennsich das Feldgerät 125 ineinem schreibgeschütztenZustand befindet. Falls gewünscht,kann der Gerätkonfigurationssteuerblock 140 aufSignale reagieren, die von weiterer Logik innerhalb des Logikauflösers, d.h. der SIS-Logik 129, kommen, um eine Änderung in der Feldgerätkonfigurationeinzuleiten und dadurch die Logik 129 zu aktivieren, sodass sie das Feldgerätdurch einen Prüfprozess,einen Kalibrierprozess usw. als Teil der Sicherheitssystemlogikbringt.
[0064] DieBefehle 142 könneneine Untermenge von Befehlen sein, die speziell konfiguriert sind,um das Feldgerät 125 zuveranlassen, eine Konfigurationsänderungetwa von einem Normalbetriebszustand in einen Feststromprüfmodus usw.vorzunehmen, auch wenn das Feldgerät 125 schreibgeschützt ist.Eine solche Menge von Befehlen müßte allgemeinder Menge von Befehlen hinzugefügtwerden, die von dem Feldgerät 125 erkanntwerden, und daher müßte dasFeldgerät 125 soprogrammiert werden, dass diese Konfigurationsänderungen auf der Basis desEmpfangs von einem oder mehreren gültigen Signalen von dem Gerätkonfigurationssteuerblock 140 innerhalbbeispielsweise des Sicherheitslogiksystems aktiviert werden. Einesolche Menge von Befehlen kann den Befehl 35 des HART-Protokollsbeinhalten, der ein "writerange values"-Befehl (=Schreibe-Bereichswerte-Befehl)ist, der verwendet werden kann, um ein HART-Gerät zu rekonfigurieren. Selbstverständlich könnten ebensoandere Schreibbefehle aus dem HART-Protokoll oder anderen Protokollenverwendet werden.
[0065] Beidem in 5 gezeigten Beispielweist das Feldgerät 125 einentypischen Kommunikationsstapel 150 auf, der die Kommunikationzu und von dem Feldgerät 125 unterVerwendung jedes gewünschtenoder bekannten Kommunikationsprotokolls erlaubt. Das Feldgerät 125 weistferner Konfigurationssteuersoftware auf, die den Konfigurationszustanddes Feldgeräts 125 steuert.Diese Konfigurationssteuersoftware kann Standard-Konfigurationssteuersoftwaresein, wie sie etwa in bekannten Feldgeräten verwendet wird, die einenSchreibschutzparameter 154 verwenden, um festzustellen,ob geforderte Konfigurationsänderungenvorgenommen werden sollen. Die Konfigurationssteuersoftware 152 kannjedoch so programmiert sein, dass sie eine Menge von Befehlen 142 voneiner vertrauenswürdigenQuelle wie etwa von einer bekannten Logik- oder Prozesssteuerungerkennt, und Änderungender Konfiguration des Feldgeräts 125 beieinem gültigen Empfangeines dieser Befehle einleitet, während der Schreibschutzparameter 154 nochin einen geschütztenZustand gesetzt ist. Auf diese Weise kann eine Logiksteuerung odereine Prozesssteuerung oder eine andere vertrauenswürdige Quelleimstande sein, Änderungenan der Konfiguration des Feldgeräts 125 vorzunehmen,ohne dass der Schreibschutzparameter 154 in einen ungeschützten Zustandgeändertwerden muß (wasauch andere Konfigurationsänderungendurch andere, unbefugte Quellen ermöglichen würde) und ohne dass das Feldgerät durcheinen Hochfahrzyklus gezwungen werden muß. Falls gewünscht, können dieBefehle 142 einen Befehl aufweisen, um eine Konfigurationsänderungwie etwa von einem Normalbetriebszustand in einen Prüf- oderKalibrierzustand oder umgekehrt vorzunehmen, und können eineBezeichnung der Quelle des Befehls, d. h. der Einrichtung, die denBefehl sendet, aufweisen. Das Feldgerät 125 kann fernerso programmiert sein, dass die von einem der Befehle 142 bezeichneteKonfigurationsänderungnur dann eingeleitet wird (ungeachtet der Tatsache, ob das Schreibschutz-Featuredes Feldgeräts 125 gesetztist), wenn der Befehl 142 von einer bestimmten Quelle (wieetwa einem Funktionsblock) oder einer Einrichtung kommt oder seinenUrsprung dort hat. Auf diese Weise können die Befehle 142 von einervertrauenswürdigenQuelle gesendet werden, um Konfigurationsänderungen in dem Feldgerät auch dannzu bewirken, wenn sich das Feldgerät 125 in einem Schreibschutzzustandgemäß der Definition durchdie Schutzvariable 154 befindet.
[0066] Injedem Fall kann unter Anwendung der neuen Menge von Befehlen derLogikauflöserKonfigurationsänderungenan dem Feldgerät 125 vornehmenund das Feldgerät 125 veranlassen,in einen Prüf-oder Kalibriermodus einzutreten oder diesen zu verlassen. Dieseneuen Befehle könneneinen Schreibprüfmechanismusenthalten gemäß der Forderungnach IEC 61511, veranlassen aber das Feldgerät, in einen Feststrommodusoder einen Kalibriermodus zu gehen, und können gesendet und eingeleitetwerden, wenn das Feldgerät 125 nochso konfiguriert ist, dass es schreibgeschützt ist. Die neuen Befehlebrauchen aber nicht von dem Schreibschutzmechanismus 154 desFeldgeräts 125 geschützt zu werden,weil sie von einer bekannten und vertrauenswürdigen Quelle, d. h. dem Sicherheitslogiksystem, eingeleitetwerden. Als Ergebnis dieser Befehle kann das Sicherheitslogiksystemdie erforderlichen Wartungsfunktionen für das Feldgerät 125 aufsichere Weise koordinieren, ohne das Feldgerät 125 anderen, unerwünschtenKonfigurationsänderungenauszusetzen.
[0067] Fallsgewünscht,könnenals Teil dieses Prozesses sowohl der Gerätkonfigurationssteuerblock 140 desEingangsfunktionsblocks 120 und/oder das Feldgerät 125 Logsbzw. Aufzeichnungseinheiten 160 und 162 aufweisen,die die Meldungen und Konfigurationsänderungen, die von dem Gerätkonfigurationssteuerblock 140 durchgeführt werden,und die Reaktionen auf diese Meldungen, die von dem Feldgerät 125 abgegebenwerden, speichern oder protokollieren. Selbstverständlich können dieseLogs auf jede übliche,bekannte oder gewünschteWeise konfiguriert sein. Auf diese Weise können das Sicherheitssystemund das Feldgerät 125 eineAufzeichnung der Befehle und Antworten speichern, die zwischen demFeldgerät 125 unddem Logikauflöserdes Sicherheitssystems gesendet werden, um ein vollständiges Protokollvon Aktionen zu erhalten, die an dem Feldgerät 125 vorgenommenwerden, auch wenn das Feldgerät125 im übrigenschreibgeschützt ist.
[0068] Fallsgewünschtund wie oben erwähnt,kann die Untermenge von Befehlen 142 nur von dem Logikauflöser wieetwa von dem Gerätkonfigurationssteuerblock 140 von 5 eingeleitet werden, umsicherzustellen, dass nur eine vertrauenswürdige Quelle, z. B. der Logikauflöser innerhalbdes Sicherheitssystems 14, imstande ist, diese Befehlezu nutzen, um Konfigurationsänderungenvorzunehmen, auch wenn das Feldgerät 125 von anderenQuellen wie etwa der Hand-held-Konfigurationseinrichtung 85 von 1 manipuliert werden kann,nachdem es in einen Prüf-, Kalibrier-oder anderen nicht-normalen Operationsmodus gebracht ist. Fernerkann, falls gewünscht, dasFeldgerät 125 soeingerichtet sein, dass es nur von dem Logikauflöser konfiguriert werden kannoder nur von diesem eine Änderungvorgenommen werden kann, um dadurch sicherzustellen, dass alle Konfigurationsänderungen,die an dem Feldgerät 125 vorgenommenwerden, mit der Operation des Sicherheitssystems 14 koordiniertsind.
[0069] DerEingangsfunktionsblock fürdie Koordination zwischen dem Feldgerät und dem Logikauflöser istzwar im einzelnen als ein AI-Funktionsblock beschrieben worden;aber jede Art von Funktionsblock wie etwa ein AI-, DI-, Entscheider-oder anderer Eingangsfunktionsblock kann so programmiert werden,dass diese Funktionalitäterhalten wird. Währendalso die Gerätkonfigurationssteuerlogik 140 und dieGerätkonfigurationsdetektierlogik 132 sogezeigt und beschrieben sind, dass sie in einem Eingangsfunktionsblockvorgesehen sind, könntediese Logik statt dessen oder zusätzlich in anderen Funktionsblöcken untergebrachtsein, was selbständigeFunktionsblöckeumfaßt,die der Logik in dem Logikauflöser zugeordnetsind. Feiner sind die Gerätkonfigurationsdetektier-und -steuerblöcke 132 und 140 hierso beschrieben, dass sie mit dem Logikauflöser verknüpft sind und darin verwendetwerden, aber sie könntenin anderen Arten von Steuerblöckenoder -routinen verwendet werden, wie sie etwa bei der Ausführung von traditionellenProzesssteuerfunktionen implementiert sind wie etwa die Steuerungssoftwarein den Steuerungen 24 und 26 von 1 oder in allen anderen Einrichtungen,die Steueraktivitätenausführen.Ferner wurde der Eingangsfunktionsblock 120 von 5 so beschrieben, dass ereinem Entscheiderfunktionsblock 127 in einem Sicherheitslogiksystem Umgehungs-oder Übergehungssignalezuführt,aber der Eingangsfunktionsblock 120 könnte statt dessen oder zusätzlich solche Übergehungs- oder Umgehungssignalean andere Elemente in einem Sicherheitssystem (oder einem Prozesssteuerungssystem) senden,um andere Arten von Umgehungen oder Übergehungen von anderen Funktionalitäten, die diesenSystemen zugeordnet sind, zu bewirken. Die obige Erläuterungvon Entscheiderfunktionsblock-Übergehungs-und -Umgehungsmerkmalen soll also nur als Beispiel einer Möglichkeitdienen, wie die automatisch erzeugten Umgehungs- oder Übergehungssignalegenutzt werden können,und soll nicht als die einzige Möglichkeitder Anwendung dieser Umgehungs- oder Übergehungssignale angesehenwerden.
[0070] Diehier beschriebene Gerätkonfigurations- und-steuerlogik wird zwar in einem Beispiel unter Verwendung des HART-Kommunikationsprotokolls beschrieben,sie könnteaber mit jedem anderen gewünschtenKommunikations- und Einrichtungsprotokoll verwendet werden, etwadem Fieldbus-, Profibus-, CAN-Protokoll usw. Außerdem kann diese Logik indem Foundation Fieldbus-Protokoll oder in jedem anderen System verwendetwerden, in dem die Sicherheitsfunktionen vollständig in den Feldgeräten eingesetztwerden oder eventuell eingesetzt werden. Die hier beschriebene Gerätdetektier-und -konfigurationslogik ist zwar so beschrieben, dass sie in einer vondem gesteuerten Feldgerätgetrennten Einrichtung vorhanden ist, aber sie kann in dem Feldgerät selbstimplementiert sein.
[0071] 1 zeigt zwar, dass das Sicherheitslogiksystem 14 Entscheiderfunktionsblöcke verwendet, dieEingängevon AI-, DI- oder anderen Eingangsfunktionsblöcken empfangen, aber das Sicherheitslogiksystem 14 kannEingängevon anderen Arten von Funktionsblöcken verwenden, oder es können Eingänge alsandere Arten von Signalen innerhalb der Prozessanlage 10 erzeugtwerden. Beispielsweise könnte,wie sich versteht, Rahmenunterstützungauf einer Ebene oberhalb des Kommunikationsstapels in dem Sicherheitssystemvorgesehen werden zum Lesen von Eingangs-/Ausgangswerten und Gerätzustands-/-status-/-modussignalenund zum Betrachten von anderen Befehlen oder Meldungen, die zwischen Einrichtungengesendet werden, um die Detektierung einer Konfigurationsänderungin einem Gerätzu ermöglichen.Dieses Rahmenwerk könnteauch in anderen Steuersprachen wie etwa Leiterlogik-, Sequenzarbeitsplan-,Zustandsübergang-und kundenspezifischen Funktionsblocksprachen, um nur einige zunennen, verwendet werden durch Beobachten oder Lesen von Signalen,die Zustandsänderungen bezeichnen,oder von anderen Operationen in diesen Sprachen, die eine Konfigurationsänderungoder eine andere Änderunginnerhalb des Systems bedeuten, die zu der Einleitung oder der Aufhebungeiner Umgehung oder einer Übergehunginnerhalb des Sicherheitssystems führen könnten.
[0072] Fernersind die Ausgängeder Entscheiderfunktionsblöcke 92 und 94 von 1 zwar so dargestellt, dasssie mit Ausgangsfunktionsblöckenwie etwa AO-, DO- oder anderen Funktionsblöcken wie etwa einem Ursache-und-Wirkung-Funktionsblock odereiner Steuerroutine verbunden sind, aber diese Ausgänge können mitjeder anderen gewünschten Artvon Funktionsblöckenverbunden sein wie etwa Sequenzer-Funktionsblöcken, Staging- bzw. Aufbereitungsfunktionsblöcken usw.,die dem Sicherheitslogiksystem 14 zugeordnet sind, oderauch direkt mit anderen Anwendungen oder Programmierungsumgebungeninnerhalb der Prozessanlage 10. Ebenso ist die hier beschriebeneLogik unter Verwendung eines Funktionsblock-Programmierparadigmasausgeführt,aber die gleiche Logik kann in anderen Arten von Programmierungsumgebungenvorgesehen sein und dennoch als ein Funktionsblock im hier verwendetenSinn angesehen werden. Die hier beschriebenen Funktionsblöcke sindzwar zum Gebrauch in einem Sicherheitssystem einer Prozessanlagen-oder Prozesssteuerungsumgebung beschrieben, aber diese oder ähnlicheFunktionsblöckekönntenin einer Standard-Prozesssteuerungsumgebung oder für anderegewünschteVerwendungen als in einem Sicherheitssystem verwendet werden.
[0073] Wennsie implementiert sind, könnenalle hier beschriebenen Elemente einschließlich der Eingangsblöcke, Entscheiderblöcke, Sperrblöcke, Entscheiderlogikblöcke, Gerätekonfigurations-und -detektierblöcke,Signalverbindungen usw. in Software implementiert sein, die in jedemcomputerlesbaren Speicher wie etwa auf einer Magnetplatte, einerLaser- oder Bildplatte oder einem anderen Speichermedium, in einemRAM oder ROM eines Computers oder Prozessors usw. gespeichert ist.Hier beschriebene Signale und Signalleitungen können jede Form haben, was tatsächlicheDrähte,Datenregister, Speicherplätzeusw. einschließt.Die hier beschriebene Software kann jede Form haben, etwa Anwendungssoftware,die auf einem Universalcomputer oder -prozessor ausgeführt wird,oder hartcodierte Software, die beispielsweise in eine anwendungsspezifischeintegrierte Schaltung bzw. ASIC gebrannt ist, ein EPROM, EEPROModer jede andere Firmware-Einrichtung. Ebenso kann diese Softwareeinem Benutzer, einer Prozessanlage, einer Bediener-Workstation,einer Steuerung, einem Logikauflöseroder jeder anderen Recheneinrichtung unter Anwendung jedes bekanntenoder gewünschtenLieferverfahrens geliefert werden, beispielsweise auf einer computerlesbarenPlatte oder einer anderen transportierbaren Computerspeichereinrichtungoder übereinen Übertragungskanalwie etwa eine Telefonleitung, das Internet, das World Wide Web,jedes andere lokale Netz (LAN) oder Weitverkehrsnetz (WAN) usw.(wobei diese Lieferung als gleich oder austauschbar mit der Lieferungdieser Software auf einem transportierbaren Speichermedium angesehenwird). Ferner kann diese Software direkt ohne Modulation oder Verschlüsselunggeliefert werden oder moduliert und/oder verschlüsselt werden unter Anwendungjeder geeigneten Modulationsträgerwelleund/oder Verschlüsselungstechnik,bevor sie übereinen Kommunikationskanal übermitteltwird.
[0074] Selbstverständlich können diehier beschriebenen Funktionsblöckeunter Verwendung , eines externen Prozesssteuerungs-Kommunikationsprotokolls(neben einem Fieldbus-Protokolloder einem DeltaV-Protokoll) implementiert und verwendet werden,um mit jeder Axt von Funktionsblock zu kommunizieren einschließlich jedesFunktionsblocks, der gleichartig oder gleich wie jeder der verschiedenen Funktionsblöcke ist,die speziell von dem Fieldbus-Protokoll bezeichnet oder unterstützt werden. Außerdem können zwardie Eingangs- und Entscheiderfunktionsblöcke bei einer Ausführungsformder Erfindung als Fieldbus-"Funktionsblöcke" sein, es ist aberzu beachten, dass der hier verwendete Ausdruck "Funktionsblock" nicht auf das beschränkt ist, wasdas Fieldbus-Protokoll als Funktionsblock bezeichnet, sondern stattdessen jede andere Art von Block-, Programm-, Hardware-, Firmware-Entität usw. umfaßt, dieirgendeiner Art von Steuerungssystem und/oder Kommunikationsprotokollzugeordnet ist, das zur Implementierung der Funktionalität einer Prozesssteuerungsroutine-Funktionalität genutzt werdenkann oder das einen vordefinierten Aufbau oder ein vordefiniertesProtokoll hat, um anderen derartigen Funktionsblöcken Informationen oder Daten zuliefern. Funktionsblöckehaben also zwar typischerweise die Form von Objekten innerhalb einer objektorientiertenProgrammierungsumgebung, dies braucht jedoch nicht der Fall zu sein,und es kann sich statt dessen um andere Logikeinheiten handeln, diezur Ausführungvon bestimmten Steuerungsfunktionen (einschließlich Eingabe- und Ausgabefunktionen)innerhalb einer Prozessanlage oder -steuerungsumgebung dienen, wobeijede gewünschte Programmierungsstrukturoder jedes Programmierungsparadigma verwendet wird.
[0075] Dievorliegende Erfindung wird zwar unter Bezugnahme auf bestimmte Ausführungsformenbeschrieben, diese sind jedoch nur beispielhaft und sollen die Erfindungnicht einschränken.Für denFachmann auf dem Gebiet ist ersichtlich, dass Änderungen, Hinzufügungen oderWeglassungen an den beschriebenen Ausführungsformen vorgenommen werdenkönnen,ohne von Geist und Geltungsbereich der Erfindung abzuweichen.

权利要求:
Claims (57)
[1] Funktionsblockentität zum Gebrauch in einer Prozessumgebung,die einen Prozessor hat, der kommunikativ zur Steuerung von einemoder mehreren Feldgerätengekoppelt ist, von denen wenigstens eines so konfigurierbar ist,dass es in eine Vielzahl von verschiedenen Konfigurationszuständen bringbarist, die einen normalen Betriebskonfigurationszustand und mindestenseinen nicht-normalen Betriebskonfigurationszustand beinhalten, wobeidie Funktionsblockentitätfolgendes aufweist: ein computerlesbares Medium; und einenauf dem computerlesbaren Medium gespeicherten Funktionsblock, derausgebildet ist, um auf dem Prozessor ausgeführt zu werden, wobei der Funktionsblockfolgendes aufweist: einen Eingang, der so ausgebildet ist,dass er ein Eingangssignal von innerhalb der Prozessumgebung empfängt, daseinen Konfigurationszustand von mindestens einem der Feldgeräte angibt; eineDetektiereinheit, die mit dem Eingang gekoppelt ist und detektiert,wenn das mindestens eine der Feldgeräte in einem nicht-normalenBetriebskonfigurationszustand ist; und eine Sperrlogik, dieautomatisch ein Sperrsignal erzeugt, wenn das mindestens eine derFeldgerätein einem nicht-normalen Betriebskonfigurationszustand ist, um dieVerwendung eines weiteren Signals von dem mindestens einen der Feldgeräte zu sperren.
[2] Funktionsblockentität nach Anspruch 1, wobei dieSperrlogik ein Umgehungssignal zur Umgehung der Verwendung des weiterenSignals von dem mindestens einen der Feldgeräte hervorbringt.
[3] Funktionsblockentität nach Anspruch 1, wobei dieSperrlogik ein Übergehungssignalhervorbringt, um eine Entscheidung zu übergehen, die unter Verwendungdes weiteren Signals von dem mindestens einen der Feldgeräte getroffenwurde.
[4] Funktionsblockentität nach Anspruch 1, wobei derFunktionsblock einen zweiten Eingang zum Empfang des weiteren Signalsvon dem mindestens einen der Feldgeräte aufweist.
[5] Funktionsblockentität nach Anspruch 1, wobei dieDetektiereinheit ferner auf der Basis des Eingangssignals von demmindestens einen der Feldgerätedetektiert, wenn das mindestens eine der Feldgeräte aus dem nicht-normalen Betriebskonfigurationszustandin den normalen Betriebskonfigurationszustand eintritt, und wobeidie Sperrlogik das Sperrsignal automatisch entfernt, wenn das mindestens eineder Feldgerätein dem normalen Betriebskonfigurationszustand ist, um die Verwendungdes weiteren Signals von dem mindestens einen der Feldgeräte zuzulassen.
[6] Funktionsblockentität nach Anspruch 1, wobei dasmindestens eine der Feldgeräteeine Schreibschutzvariable aufweist, deren Zustand im allgemeinensteuert, wann das mindestens eine der Feldgeräte zwischen dem normalen Betriebskonfigurationszustandund einem nicht-normalen Betriebskonfigurationszustand umgeschaltetwerden kann, und wobei der Funktionsblock ferner einen Speicheraufweist, in dem ein Konfigurationsänderungsbefehl gespeichert ist,der so ausgebildet ist, dass er das mindestens eine der Feldgeräte zu einem Übergangzwischen dem normalen Betriebskonfigurationszustand und einem nicht-normalenBetriebskonfigurationszustand veranlasst, wenn die Schreibschutzvariablein einem Zustand ist, der im allgemeinen das Umschalten des mindestenseinen der Feldgerätezwischen dem normalen Betriebskonfigurationszustand und dem nicht-normalenBetriebskonfigurationszustand verhindert, und wobei der Funktionsblockeinen Befehlsübermittleraufweist, der den Konfigurationsänderungsbefehlan das mindestens eine der Feldgeräte übermittelt, um das mindestenseine der Feldgeräte zueiner Konfigurationsänderungzu veranlassen, ohne die Schreibschutzvariable zurückzusetzen.
[7] Funktionsblockentität nach Anspruch 6, wobei derFunktionsblock ein Log aufweist, das angibt, wann der Funktionsblockden Konfigurationsänderungsbefehlan das mindestens eine der Feldgeräte gesendet hat.
[8] Funktionsblockentität nach Anspruch 7, wobei derFunktionsblock ein anderes Log aufweist, das angibt, wann das mindestenseine der Feldgeräteauf den von dem Funktionsblock empfangenen Konfigurationsänderungsbefehlgeantwortet hat.
[9] Funktionsblockentität nach Anspruch 1, wobei derEingang ausgebildet ist, um ein Eingangssignal zu empfangen, daszu dem HART-Kommunikationsprotokoll konform ist.
[10] Funktionsblock nach Anspruch 1, wobei die Sperrlogikausgebildet ist, um das Sperrsignal nach einer vorbestimmten Zeitdauerautomatisch zu entfernen.
[11] Funktionsblock nach Anspruch 10, ferner enthaltendeine Benachrichtigungslogik, die einen Benutzer davon benachrichtigt,dass das Sperrsignal für einezweite vorbestimmte Zeitdauer initiiert worden ist.
[12] Funktionsblock nach Anspruch 10, ferner enthaltendeine Benachrichtigungslogik, die vor dem Entfernen des Sperrsignalsdurch die Sperrlogik einen Benutzer davon benachrichtigt, dass dasSperrsignal nach der vorbestimmten Zeitdauer entfernt werden wird.
[13] Funktionsblock nach Anspruch 1, ferner enthaltendeine Benachrichtigungslogik, die einen Benutzer davon benachrichtigt,dass das Sperrsignal für einevorbestimmte Zeitdauer initiiert worden ist.
[14] Prozesssteuerungssystem zur Verwendung in einerProzessumgebung, wobei das Prozesssteuerungssystem folgendes aufweist: einFeldgerät,das so konfigurierbar ist, dass es in eine Vielzahl von verschiedenenKonfigurationszuständengebracht werden kann, die einen normalen Betriebskonfigurationszustandund einen nicht-normalen Betriebskonfigurationszustand beinhalten,wobei das Feldgerätein prozessbezogenes Signal erzeugt; eine Kommunikationsverbindung;und eine Steuerung, die mit dem Feldgerät durch die Kommunikationsverbindunggekoppelt und so ausgebildet ist, dass sie eine Steuerungsaktivität innerhalbder Prozessumgebung unter Verwendung des prozessbezogenen Signalsausführt; wobeidie Steuerung folgendes aufweist: einen Prozessor; eineSignalempfangseinheit, die dazu ausgebildet ist, auf dem Prozessorausgeführtzu werden, um über dieKommunikationsverbindung eines oder mehrere Signale von dem Feldgerät zu empfangen; eineDetektiereinheit, die dazu ausgebildet ist, auf der Basis von demeinen oder den mehreren der Signale von dem Feldgerät zu detektieren,wenn das Feldgerätin dem nicht-normalen Betriebskonfigurationszustand ist; und eineSperreinheit, die automatisch ein Sperrsignal hervorbringt, wenndas Feldgerätin dem nicht-normalen Betriebskonfigurationszustand ist, um dieVerwendung des prozessbezogenen Signals von dem Feldgerät durchdie Steuerung bei der Durchführung derSteuerungsaktivitätin der Prozessumgebung zu sperren.
[15] Prozesssteuerungssystem nach Anspruch 14, wobeidie Detektiereinheit ferner dazu ausgebildet ist, auf der Basisdes einen oder der mehreren Signale von dem Feldgerät zu detektieren,wenn das Feldgerätaus dem nicht-normalen Betriebskonfigurationszustand in den normalenBetriebskonfigurationszustand eintritt, und wobei die Sperreinheitdas Sperrsignal automatisch entfernt, wenn das Feldgerät in demnormalen Betriebskonfigurationszustand ist, um die Verwendung desprozessbezogenen Signals von dem Feldgerät durch die Steuerung zu ermöglichen.
[16] Prozesssteuerungssystem nach Anspruch 14, wobeidas Feldgerätein Sensor ist.
[17] Prozesssteuerungssystem nach Anspruch 14, wobeidas Feldgerätein von der Steuerung gesteuertes Ventil ist.
[18] Prozesssteuerungssystem nach Anspruch 14, wobeidie Steuerung eine Sicherheitssystemsteuerung ist, die das prozessbezogeneSignal verwendet, um einen Abschaltprozess innerhalb der Prozessumgebungeinzuleiten.
[19] Prozesssteuerungssystem nach Anspruch 14, wobeidas Feldgeräteine Schreibschutzvariable beinhaltet, deren Zustand im allgemeinensteuert, wann das Feldgerätzwischen dem normalen Betriebskonfigurationszustand und dem nicht-normalen Betriebskonfigurationszustandumgeschaltet werden kann, und wobei die Steuerung ferner eine Feldgerätkonfigurationseinheitaufweist, in der ein Konfigurationsänderungsbefehl gespeichertist, der ausgebildet ist, um das Feldgerät zu einem Übergang zwischen dem normalenBetriebskonfigurationszustand und dem nicht-normalen Betriebskonfigurationszustand zuveranlassen, wenn die Schreibschutzvariable in einem Zustand ist,der im allgemeinen ein Umschalten des Feldgeräts zwischen dem normalen Betriebskonfigurationszustandund dem nicht-normalen Betriebskonfigurationszustand unterbindet.
[20] Prozesssteuerungssystem nach Anspruch 19, wobeidie Steuerung oder das Feldgerätein Log aufweist, das aufzeichnet, wenn die Steuerung den Konfigurationsänderungsbefehlan das Feldgerät sendet.
[21] Prozesssteuerungssystem nach Anspruch 19, wobeidie Steuerung oder das Feldgerätein Log aufweist, das aufzeichnet, wenn das Feldgerät zwischendem einen von dem normalen Betriebskonfigurationszustand und demnicht-normalen Betriebskonfigurationszustand und dem anderen vondem normalen Betriebskonfigurationszustand und dem nicht-normalenBetriebskonfigurationszustand umschaltet.
[22] Prozesssteuerungssystem nach Anspruch 19, wobeidie Steuerung ferner Logik aufweist, die ein Signal an die Feldgerätkonfigurationseinheitsendet, um die Feldgerätkonfigurationseinheitzu veranlassen zu bewirken, dass das Feldgerät eine Änderung des Konfigurationszustandserfährt.
[23] Prozesssteuerungssystem nach Anspruch 14, wobeider nicht-normale Betriebskonfigurationszustand des Feldgeräts ein Feststrommodusist.
[24] Prozesssteuerungssystem nach Anspruch 23, wobeidas Feldgerätkonform zu dem HART-Protokoll ist.
[25] Prozesssteuerungssystem nach Anspruch 14, wobeidie Sperreinheit dazu ausgebildet ist, das Sperrsignal nach einervorbestimmten Zeitdauer zu entfernen.
[26] Prozesssteuerungssystem nach Anspruch 25, fernerbeinhaltend eine Benachrichtigungslogik, die einen Benutzer davonbenachrichtigt, dass das Sperrsignal für eine zweite vorbestimmteZeitdauer initiiert worden ist.
[27] Prozesssteuerungssystem nach Anspruch 25, fernerbeinhaltend eine Benachrichtigungslogik, die, bevor die Sperreinheitdas Sperrsignal entfernt, einen Benutzer davon benachrichtigt, dassdas Sperrsignal nach einer vorbestimmten Zeitdauer entfernt werdenwird.
[28] Prozesssteuerungssystem nach Anspruch 14, fernerbeinhaltend eine Benachrichtigungslogik, die einen Benutzer davonbenachrichtigt, dass das Sperrsignal für eine vorbestimmte Zeitdauerinitiiert worden ist.
[29] Steuerungssystem zur Verwendung in einer Prozessumgebungmiteinem Feldgerät,das so konfigurierbar ist, dass es in eine Mehrzahl von verschiedenenKonfigurationszuständenbringbar ist, die einen normalen Betriebskonfigurationszustand undeinen nicht-normalen Betriebskonfigurationszustand beinhalten, undeiner Kommunikationsverbindung, die mit dem Feldgerät verbundenist, wobei das Steuerungssystem folgendes aufweist: einen Speicher; einenProzessor; eine erste Steuerungsroutine, die in dem Speicher gespeichertund zur Ausführungauf dem Prozessor ausgebildet ist, um ein erstes Signal von demFeldgerätzur Ausführungeiner Prozesssteuerungsfunktion in der Prozessumgebung zu verwenden;und eine zweite Routine, die folgendes aufweist: einenEingang, der ausgebildet ist, um ein zweites Signal, das den Konfigurationszustanddes Feldgeräts angibt, über dieKommunikationsverbindung von dem Feldgerät zu empfangen; eine Detektiereinheit,die ausgebildet ist, um auf der Basis des zweiten Signals zu detektieren,wenn sich das Feldgerätin dem nicht-normalen Betriebskonfigurationszustand befindet; und eineSperreinheit, die automatisch ein Sperrsignal hervorbringt, wenndas Feldgerätin dem nicht-normalen Betriebskonfigurationszustand ist, und das Sperrsignalan die erste Steuerungsroutine liefert, um die Verwendung des erstenSignals von dem Feldgerätdurch die erste Steuerungsroutine zu sperren.
[30] Steuerungssystem nach Anspruch 29, wobei die zweiteRoutine in dem Speicher gespeichert und ausgebildet ist, um aufdem Prozessor ausgeführtzu werden.
[31] Steuerungssystem nach Anspruch 29, ferner beinhaltendeinen zweiten Speicher und einen zweiten Prozessor, wobei die zweiteRoutine in dem zweiten Speicher gespeichert und ausgebildet ist,um auf dem zweiten Prozessor ausgeführt zu werden.
[32] Steuerungssystem nach Anspruch 29, wobei die Detektiereinheitferner ausgebildet ist, um auf der Basis des zweiten Signals vondem Feldgerätzu detektieren, wenn das Feldgerätaus dem nicht-normalen Betriebskonfigurationszustand in den normalen Betriebskonfigurationszustandeintritt, und wobei die Sperreinheit ausgebildet ist, um das Sperrsignalautomatisch von der ersten Steuerungsroutine zu entfernen, wenndas Feldgerätin dem normalen Betriebskonfigurationszustand ist, um die Verwendung desersten Signals von dem Feldgerätdurch die erste Steuerungsroutine zuzulassen.
[33] Steuerungssystem nach Anspruch 32, wobei die ersteSteuerungsroutine eine Sicherheitssystemsteuerungsroutine ist, diedas erste Signal von dem Feldgerätnutzt, um einen Abschaltprozess in der Prozessumgebung einzuleiten.
[34] Steuerungssystem nach Anspruch 29, wobei die Sperreinheitein Umgehungssignal als das Sperrsignal erzeugt, das die erste Steuerungsroutineveranlasst, das erste Signal von dem Feldgerät bei der Bewertung, ob dieProzesssteuerungsfunktion auszuführenist, nicht zu verwenden.
[35] Steuerungssystem nach Anspruch 29, wobei die Sperreinheitein Übergehungssignalals das Sperrsignal hervorbringt, das die erste Steuerungsroutineveranlasst, die Prozesssteuerungsfunktion nicht auszuführen, wennLogik in der Steuerungsroutine, die das erste Signal verwendet,um zu entscheiden, ob die Prozesssteuerungsfunktion auszuführen ist,angibt, dass die Prozesssteuerungsfunktion ausgeführt werdensollte.
[36] Steuerungssystem nach Anspruch 29, wobei das Feldgerät eine Schreibschutzvariablebeinhaltet, deren Zustand im allgemeinen steuert, wann das Feldgerät zwischendem normalen Betriebskonfigurationszustand und dem nicht-normalen Betriebskonfigurationszustandumgeschaltet werden kann, und wobei das Steuerungssystem ferneraufweist: eine dritte Routine, die einen Konfigurationsänderungsbefehlspeichert, der ausgebildet ist, einen Übergang des Feldgeräts zwischendem normalen Betriebskonfigurationszustand und dem nicht-normalen Betriebskonfigurationszustandzu bewirken, wenn die Schreibschutzvariable in einem Zustand ist,der im allgemeinen verhindert, dass das Feldgerät zwischen dem normalen Betriebskonfigurationszustandund dem nicht-normalen Betriebskonfigurationszustand umgeschaltetwird, und einen Signalübermittler,der den Konfigurationsänderungsbefehlan das Feldgerät übermittelt.
[37] Steuerungssystem nach Anspruch 36, wobei die dritteRoutine kommunikativ mit der ersten Steuerungsroutine verbundenund ausgebildet ist, um den Konfigurationsänderungsbefehl in Abhängigkeitvon einem Steuersignal von der ersten Steuerungsroutine an das Feldgerät zu übermitteln.
[38] Steuerungssystem nach Anspruch 36, wobei die dritteRoutine ein Log aufweist, das aufzeichnet, wenn die dritte Routineden Konfigurationsänderungsbefehlan das Feldgerät übermittelt.
[39] Steuerungssystem nach Anspruch 36, wobei die zweiteRoutine ein Log aufweist, das aufzeichnet, wenn das Feldgerät in Abhängigkeitdavon, dass die dritte Routine den Konfigurationsänderungsbefehlan das Feldgerät übermittelt,zwischen dem einen von dem normalen Betriebskonfigurationszustandund dem nicht-normalen Betriebskonfigurationszustand und dem anderenvon dem normalen Betriebskonfigurationszustand und dem nicht-normalenBetriebskonfigurationszustand wechselt.
[40] Steuerungssystem nach Anspruch 29, wobei die Sperreinheitausgebildet ist, um das Sperrsignal nach einer vorbestimmten Zeitdauerautomatisch zu entfernen.
[41] Steuerungssystem nach Anspruch 40, ferner beinhaltendeinen Zeitgeber, der die vorbestimmte Zeitdauer bestimmt.
[42] Steuerungssystem nach Anspruch 40, ferner beinhaltendeine Benachrichtigungslogik, die einen Benutzer davon benachrichtigt,dass das Sperrsignal nach der vorbestimmten Zeitdauer entfernt werden wird,bevor die Sperreinheit das Sperrsignal entfernt.
[43] Steuerungssystem nach Anspruch 42, wobei die Sperreinheiteinem Benutzer erlaubt, die vorbestimmte Zeitdauer zu verlängern, bevordie Sperreinheit das Sperrsignal entfernt.
[44] Steuerungssystem nach Anspruch 29, ferner beinhaltendeine Benachrichtigungslogik, die einen Benutzer davon benachrichtigt,dass das Sperrsignal füreine vorbestimmte Zeitdauer initiiert worden ist.
[45] Verfahren zur Verwendung in einer Steuerung einerProzessumgebung zum Koordinieren von Logik innerhalb der Steuerungmit einem Feldgerät, wobeidas Feldgerätmit der Steuerung übereine Kommunikationsverbindung verbunden und so konfigurierbar ist,dass es in eine Vielzahl von verschiedenen Konfigurationszuständen gebrachtwerden kann, die einen normalen Betriebskonfigurationszustand undeinen nicht-normalen Betriebskonfigurationszustand beinhalten, wobeidas Verfahren die folgenden Schritte aufweist: Empfangen einesersten Signals von dem Feldgerät undVerwenden des ersten Signals zum Durchführen einer Steuerfunktion inbezug auf die Prozessumgebung; Empfangen eines zweiten Signalsvon dem Feldgerät durchdie Kommunikationsverbindung, das einen Konfigurationszustand desFeldgerätsangibt; Detektieren auf der Basis des zweiten Signals von demFeldgerät,wenn das Feldgerätin dem nicht-normalen Betriebskonfigurationszustand ist; und automatischesSperren der Verwendung des ersten Signals bei der Durchführung derSteuerfunktion, wenn das Feldgerätin dem nicht-normalen Betriebskonfigurationszustand ist.
[46] Verfahren nach Anspruch 45, wobei der Schritt desDetektierens ferner beinhaltet: Detektieren auf der Basis deszweiten Signals von dem Feldgerät,wenn das Feldgerätaus dem nicht-normalen Betriebskonfigurationszustand in den normalenBetriebskonfigurationszustand eintritt, und wobei der Schritt desautomatischen Sperrens ein automatisches Zulassen der Verwendungdes ersten Signals bei der Ausführungder Steuerfunktion beinhaltet, wenn das Feldgerät in dem normalen Betriebskonfigurationszustandist.
[47] Verfahren nach Anspruch 45, wobei die Steuerfunktioneine Sicherheitssystemsteuerfunktion ist, die das erste Signal vondem Feldgerätverwendet, um einen Abschaltprozess innerhalb der Prozessumgebungeinzuleiten.
[48] Verfahren nach Anspruch 45, wobei das Feldgerät eine Schreibschutzvariablebeinhaltet, deren Zustand im allgemeinen steuert, wann das Feldgerät zwischendem normalen Betriebskonfigurationszustand und dem nicht-normalenBetriebskonfigurationszustand umgeschaltet werden kann, und wobei dasVerfahren ferner ein Speichern eines Konfigurationsänderungsbefehlsbeinhaltet, der ausgebildet ist, um das Feldgerät zu einem Übergang zwischen dem normalenBetriebskonfigurationszustand und dem nicht-normalen Betriebskonfigurationszustand zuveranlassen, wenn die Schreibschutzvariable in einem Zustand ist,der im allgemeinen ein Umschalten des Feldgeräts zwischen dem normalen Betriebskonfigurationszustandund dem nicht-normalen Betriebskonfigurationszustand verhindert,und ein Senden des Konfigurationsänderungsbefehls an das Feldgerät beinhaltet,um eine Konfigurationsänderungdes Feldgerätszu bewirken, ohne die Schreibschutzvariable zurückzusetzen.
[49] Verfahren nach Anspruch 48, ferner beinhaltend dasSpeichern eines Logs, das angibt, wann die Steuerung den Konfigurationsänderungsbefehlan das Feldgerätgesendet hat.
[50] Verfahren nach Anspruch 48, ferner beinhaltend dasSpeichern eines Logs, das angibt, wann das Feldgerät auf denvon der Steuerung empfangenen Konfigurationsänderungsbefehl geantwortethat.
[51] Verfahren nach Anspruch 45, wobei das automatischeSperren der Verwendung des ersten Signals bei der Durchführung derSteuerfunktion ein Erzeugen eines Umgehungssignals beinhaltet, dasbewirkt, dass Logik, die verwendet wird, um zu entscheiden, ob dieSteuerfunktion auszuführenist, das erste Signal nicht fürdie Bewertung verwendet, ob die Steuerfunktion auszuführen ist.
[52] Verfahren nach Anspruch 45, wobei das automatischeSperren der Verwendung des ersten Signals bei der Ausführung derSteuerfunktion das Erzeugen eines Sperrsignals beinhaltet, das bewirkt, dassLogik, die zur Ausführungder Steuerfunktion verwendet wird, veranlasst wird, die Steuerfunktion nichtauszuführen,wenn die Logik, die das erste Signal nutzt, um zu entscheiden, obdie Steuerfunktion auszuführenist, angibt, dass die Steuerfunktion ausgeführt werden sollte.
[53] Verfahren nach Anspruch 45, wobei das automatischeSperrenein automatisches Zulassen der Verwendung des ersten Signalsbei der Ausführung derSteuerfunktion nach einer vorbestimmten Zeitdauer beinhaltet.
[54] Verfahren nach Anspruch 53, wobei das automatischeSperren ein Verwenden eines Zeitgebers beinhaltet, um die vorbestimmteZeitdauer zu bestimmen.
[55] Verfahren nach Anspruch 53, wobei das automatischeSperren ein Benachrichtigen eines Benutzers davon beinhaltet, dassdem ersten Signal erlaubt wird, die Steuerfunktion nach der vorbestimmtenZeitdauer auszuführen,bevor automatisch die Verwendung des ersten Signals zur Ausführung der Steuerfunktionnach der vorbestimmten Zeitdauer zugelassen wird.
[56] Verfahren nach Anspruch 55, wobei das automatischeSperren beinhaltet, es einem Benutzer zu ermöglichen, die vorbestimmte Zeitdauerzu verlängern,bevor automatisch die Verwendung des ersten Signals zur Ausführung derSteuerfunktion nach der vorbestimmten Zeitdauer zugelassen wird.
[57] Verfahren nach Anspruch 45, wobei das automatischeSperren ein Benachrichtigen eines Benutzers davon beinhaltet, dassdie Verwendung des ersten Signals zur Ausführung der Steuerfunktion nach einervorbestimmten Zeitdauer verhindert worden ist.

类似技术:

---

公开号 | 公开日 | 专利标题

---

JP6088006B2|2017-03-01|プロセス制御状態ロールアップの管理方法、装置、及び機械アクセス可能な媒体

---

Morris et al.2014|Industrial control system traffic data sets for intrusion detection research

---

JP5476438B2|2014-04-23|Safety relay with individually testable contacts

---

US8044793B2|2011-10-25|Integrated device alerts in a process control system

---

DE602005004855T2|2009-02-12|Flexibele und skalierbare Informationssicherheitsarkitectur zur industrieller Automatisierung

---

US10862902B2|2020-12-08|System and methodology providing automation security analysis and network intrusion protection in an industrial environment

---

DE10154534B4|2017-04-13|Integrierte Alarmanzeige in einem Prozeßsteuerungsnetzwerk

---

EP1906289B1|2016-05-11|Angepasste industrielle Alarme

---

EP1362269B1|2005-02-16|Verfahren und vorrichtung zum programmieren einer sicherheitssteuerung

---

EP0109602B1|1987-03-18|Fehlertolerante, redundante Steuerung

---

JP5079501B2|2012-11-21|安全計装システム、診断システム及び診断方法

---

JP4999240B2|2012-08-15|プロセス制御システムとそのセキュリティシステムおよび方法並びにそのソフトウェアシステム

---

US7530113B2|2009-05-05|Security system and method for an industrial automation system

---

RU2328027C2|2008-06-27|Способ контролирования полевого прибора |

---

US7213168B2|2007-05-01|Safety controller providing for execution of standard and safety control programs

---

US7289861B2|2007-10-30|Process control system with an embedded safety system

---

DE60210448T2|2006-11-30|Verbesserter hart-gerätealarm in einem prozesssteuerungssystem

---

JP3716803B2|2005-11-16|リスク評価支援装置及びプログラム製品

---

JP4773093B2|2011-09-14|安全制御装置および新規動作プログラムを安全制御装置上にロードする方法

---

JP6437224B2|2018-12-12|状態間の遷移に対するユーザ定義可能な動作を有する状態マシン機能ブロック

---

KR950014724B1|1995-12-13|공정설비에서의 공정제어기와 그 표시장치와 제어장치 및 제어방법

---

US7486999B2|2009-02-03|System and method for implementing safety instrumented systems in a fieldbus architecture

---

US8676357B2|2014-03-18|System and method for implementing an extended safety instrumented system

---

DE10217107B4|2013-02-07|Erweiterte Gerätealarme in einem Prozesssteuersystem

---

EP1517199B1|2008-04-23|Hochgeschwindigkeitssynchronisation in einer doppelrechnerbasierten Sicherheitssteuerung

同族专利:

---

公开号 | 公开日

---

GB0407444D0|2004-05-05|

---

CN1570793A|2005-01-26|

---

GB2403819A|2005-01-12|

---

HK1071609A1|2005-07-22|

---

GB2403819B|2007-01-10|

---

CN100485557C|2009-05-06|

---

JP2004310767A|2004-11-04|

---

JP4511861B2|2010-07-28|

引用文献:

---

公开号 | 申请日 | 公开日 | 申请人 | 专利标题

---

法律状态:
2008-08-14| 8110| Request for examination paragraph 44|

---

2009-02-19| 8128| New person/name/address of the agent|Representative=s name: MEISSNER, BOLTE & PARTNER GBR, 80538 MUENCHEN |

---

2015-05-29| R016| Response to examination communication|

---

2019-10-28| R016| Response to examination communication|

---

2021-12-07| R018| Grant decision by examination section/examining division|

优先权:

---

申请号 | 申请日 | 专利标题

---