CN1570793A - 过程控制和安全***内用无效和忽略协调现场装置操作 - Google Patents
过程控制和安全***内用无效和忽略协调现场装置操作 Download PDFInfo
- Publication number
- CN1570793A CN1570793A CNA200410071407XA CN200410071407A CN1570793A CN 1570793 A CN1570793 A CN 1570793A CN A200410071407X A CNA200410071407X A CN A200410071407XA CN 200410071407 A CN200410071407 A CN 200410071407A CN 1570793 A CN1570793 A CN 1570793A
- Authority
- CN
- China
- Prior art keywords
- field device
- signal
- configuration status
- functional block
- logic
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000004886 process control Methods 0.000 title claims abstract description 61
- 238000000034 method Methods 0.000 claims description 128
- 230000008569 process Effects 0.000 claims description 92
- 230000006870 function Effects 0.000 claims description 78
- 230000008859 change Effects 0.000 claims description 41
- 230000002159 abnormal effect Effects 0.000 claims description 40
- 238000004891 communication Methods 0.000 claims description 40
- GOLXNESZZPUPJE-UHFFFAOYSA-N spiromesifen Chemical compound CC1=CC(C)=CC(C)=C1C(C(O1)=O)=C(OC(=O)CC(C)(C)C)C11CCCC1 GOLXNESZZPUPJE-UHFFFAOYSA-N 0.000 claims description 34
- 230000014509 gene expression Effects 0.000 claims description 16
- 230000004044 response Effects 0.000 claims description 8
- 230000005540 biological transmission Effects 0.000 claims description 6
- 230000004224 protection Effects 0.000 claims description 6
- 230000000694 effects Effects 0.000 claims description 4
- 238000011156 evaluation Methods 0.000 claims description 2
- 238000013073 enabling process Methods 0.000 claims 1
- 238000012360 testing method Methods 0.000 abstract description 36
- 238000012905 input function Methods 0.000 description 23
- 230000009471 action Effects 0.000 description 14
- 238000001514 detection method Methods 0.000 description 12
- 238000012423 maintenance Methods 0.000 description 10
- 230000007246 mechanism Effects 0.000 description 10
- 238000012369 In process control Methods 0.000 description 7
- 238000010965 in-process control Methods 0.000 description 7
- 230000002950 deficient Effects 0.000 description 5
- 238000010586 diagram Methods 0.000 description 5
- 230000008676 import Effects 0.000 description 5
- NJPPVKZQTLUDBO-UHFFFAOYSA-N novaluron Chemical compound C1=C(Cl)C(OC(F)(F)C(OC(F)(F)F)F)=CC=C1NC(=O)NC(=O)C1=C(F)C=CC=C1F NJPPVKZQTLUDBO-UHFFFAOYSA-N 0.000 description 5
- 230000003138 coordinated effect Effects 0.000 description 4
- 238000013461 design Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- 238000004088 simulation Methods 0.000 description 4
- 230000004913 activation Effects 0.000 description 3
- 230000006399 behavior Effects 0.000 description 3
- 230000000875 corresponding effect Effects 0.000 description 3
- 238000007689 inspection Methods 0.000 description 3
- 230000003213 activating effect Effects 0.000 description 2
- 230000033228 biological regulation Effects 0.000 description 2
- 230000001276 controlling effect Effects 0.000 description 2
- 238000003745 diagnosis Methods 0.000 description 2
- 238000005259 measurement Methods 0.000 description 2
- 230000006641 stabilisation Effects 0.000 description 2
- 238000011105 stabilization Methods 0.000 description 2
- 238000010561 standard procedure Methods 0.000 description 2
- 241000406668 Loxodonta cyclotis Species 0.000 description 1
- 230000005856 abnormality Effects 0.000 description 1
- 230000000712 assembly Effects 0.000 description 1
- 238000000429 assembly Methods 0.000 description 1
- 231100000481 chemical toxicant Toxicity 0.000 description 1
- 230000002596 correlated effect Effects 0.000 description 1
- 230000002939 deleterious effect Effects 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 230000005611 electricity Effects 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 230000002045 lasting effect Effects 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 230000005055 memory storage Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000000644 propagated effect Effects 0.000 description 1
- 230000001105 regulatory effect Effects 0.000 description 1
- 230000008439 repair process Effects 0.000 description 1
- 238000010998 test method Methods 0.000 description 1
- 239000003440 toxic substance Substances 0.000 description 1
- 239000002699 waste material Substances 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/04—Programme control other than numerical control, i.e. in sequence controllers or logic controllers
- G05B19/042—Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B23/00—Testing or monitoring of control systems or parts thereof
- G05B23/02—Electric testing or monitoring
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B9/00—Safety arrangements
- G05B9/02—Safety arrangements electric
Landscapes
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Engineering & Computer Science (AREA)
- Automation & Control Theory (AREA)
- Safety Devices In Control Systems (AREA)
- Testing And Monitoring For Control Systems (AREA)
Abstract
即使当对于过程控制或安全***来讲由外部启动现场装置的操作状态是时,过程控制或安全仪器***也可使用功能块逻辑来协调过程控制或安全仪器***内的逻辑与这些操作状态。与现场装置相关的输入或表决功能块内的逻辑可监视或确定何时将相关现场装置置于测试或校准模式中,并可相应这些检测到的现场装置配置状态,自动启动适当的忽略或无效(bypass oroverride)功能。类似地,当现场装置放置回到它们正常操作配置状态中时,功能块逻辑可自动去除忽略或无效功能。
Description
本申请是一个部分连续申请,要求来自共同待审的标题为“On-LineDevice Testing Block Integrated Into a Process Control/Safety System(集成到过程控制/安全***中的在线装置测试部件)”、序列号为No.10/404,156的美国专利申请的优先权,该申请于2003年4月1日提交,该申请披露的全部内容在此特别引入以作参考。
技术领域
本发明一般涉及用于过程设施中的过程控制和安全***,更具体地,涉及在过程控制器或安全***控制器内,通过使用无效或忽略(bypass oroverride)来协调现场装置操作的***。
背景技术
如用在化学、石油或其它过程中的过程控制***,一般包括一个或多个过程控制器,过程控制器通过模拟、数字或模拟/数字组合的总线或线路,通信地连接到至少一个主机或操作者工作站以及一个或多个现场装置。现场装置例如可以是阀、阀***、开关和变送器(transmitter)(如,温度、压力和流率传感器),在过程设施内执行各自功能,如打开或关闭阀以及测量过程参数。过程控制器接收由现场装置测得的表示过程测量的信号,和/或与现场装置有关的其它信息,用这些信息来执行控制程序,然后产生控制信号,该控制信号通过总线或线路传送到现场装置,来控制过程的操作。来自现场装置和控制器的信息,一般对于由操作者工作站执行的一个或多个应用是可用的,以使操作者能够执行与过程有关的任何期望的功能,如配置过程、查看过程的当前状态、修改过程操作等等。
此外,在许多过程中,提供单独的安全***来检测过程设施内有关安全的重要问题,当设施中可能导致或引起严重危险的问题产生时,如有毒化学品溢出、***等等,该安全***将在设施内自动关闭阀、切断设备动力、切换流量等等。这些安全***一般具有一个或多个与标准过程控制控制器分离的单独控制器,称为逻辑解算器,它们通过安装在过程设施内的单独总线或通信线路连接到安全现场装置。逻辑解算器使用安全现场装置检测与重要事件相关的过程状况,如某些安全开关或停机阀的位置、过程中的上溢或下溢、重要的动力产生或控制设备的操作、故障检测设备的操作等等,由此在过程设施内检测“事件”。当检测到一个事件时,安全控制器采取一些动作来限制事件的有害影响,如关闭阀、关掉设备、从设施的区段中切断动力等等。通常地,这些动作包括将安全设备切换到操作的失误(tripped)或“安全”模式中,该模式设计为防止过程设施内严重或危险的状况。
例如,当从现场装置接收的信号不良时,当现场装置内的逻辑处于不良或非正常模式时,或者当从操作者工作站发送手动信号来启动这种忽略或无效时,安全仪器***或逻辑解算器内的功能块可用逻辑来编程,该逻辑忽略或无效信号的使用或现场装置的检测状况。例如,对一些模拟输入(AI)或数字输入(DI)功能块编程,将忽略或无效提供给安全***控制器内的逻辑,防止安全***控制器逻辑使用现场装置的输出(即,AI或DI块的输出)作为有效输入,用来确定事件是否已经发生。但是,这些功能块一般提供与手动激活信号有关的这种忽略或无效信号,例如当现场装置进行维护时,该手动激活信号由操作者或者工程师发出。
类似地,通常情况下在安全仪器***中,使用如发送器和开关等冗余输入设备来检测***内的事件,提供更高的安全完整性或过程变量测量有效性。在这种***中,有时需要在停机逻辑中提供表决逻辑功能,根据冗余输入来确定过程状况是容许的还是危险的。这种表决逻辑相当简单,因为它一般仅需要确定该输入的多数表决,来检测是否事件状况已经发生。此外,如标题为“Voter Logic Block Including Operational and Maintenance Overridesin a Process Control System(过程控制***中包括运行和维护无效的表决逻辑模块)”、序列号为No.10/409,576的美国专利申请中所详细描述地,该专利申请交给了本发明的代理人,并在此特别引入以作参考,它能够将无效和忽略的性能提供给表决功能块,来例如在过程控制***启动期间防止停机***操作、使维护人员能够在一个或多个输入设备上进行维护操作、允许暂时忽略所选的过程状况等等。
但是,一般来说,这些忽略或无效,特别是维护忽略,在维护程序开始时由操作者或维护人员手动启动的。对于表决逻辑或逻辑解算器内忽略或无效自动启动的情况,这些无效和忽略一般与逻辑***正在采取的行动有关,如启动程序、延迟特性等等,并与现场装置状态中从正常状态到测试或校准状态的外部启动变化无关。这样,过去,在现场装置测试程序运行期间,工程师协调现场装置的忽略或无效,使其与***仪器***中的逻辑解算器的操作状态一致时,此时,这种协调是手动过程并由此受到人错误的影响。例如,当在现场装置上运行维护程序时,工程师不得不手动提供一个忽略启动信号给安全仪器逻辑,致使与现场装置有关的如AI、DI等输入块或表决逻辑块忽略来自现场装置的信号或输入,以便防止安全逻辑根据现场装置信号来识别或者检测事件,并启动停机程序。逻辑解算器内的功能块没有机构用于将现场装置状态中的外部启动变化识别为测试状态,并没有机构用于自动提供设备输出的忽略或无效作为现场装置中这种变化的结果。
因此,如果在启动现场装置测试之前,工程师忘记了在逻辑解算器中手动设置忽略或无效,逻辑解算器可能会根据来自所测试现场装置的信号在设施中检测到问题,并不必要的启动停机程序。这种停机程序在过程设施内的材料和时间损失方面浪费很大,并且对于进行设备测试的人有危害或很危险,特别是如果设备测试正从设施底部手动运行。此外,如果在安全逻辑解算器内设置手动忽略或无效,在维护程序完成之后,工程师可能忘记清除这种无效或忽略,因此降低了安全***的性能,并当根据有效的、但忽略了的现场装置测量或状况的这样一种程序适用时,可能导致启动停机程序的失败。
再有,典型的现场装置结合了写保护机构,设计该机构来防止来自未授权源对现场装置的配置改变。特别是,现场装置通常结合了写保护变量,设置时该变量防止现场装置配置设置中的任何改变,不设置时允许这种改变。此外,许多这些现场装置必须经受动力循环,来识别这种写保护变量的变化状态,使得现场装置进入测试状态(如固定电流模式或校准模式)才能改变现场装置的配置,写保护变量必须设置为不保护状态,现场装置必须通过加电程序的循环。当使得***较不易受对现场装置的未授权改变的影响时,这种写保护特征通常使得在现场装置上仅能运行手动测试,因为在复位写保护变量来将现场装置置于能够测试现场装置的状态之后,现场装置要手动关电和上电。当现场装置处于保护状态时,因为现场装置写保护机构必须手动改变或关闭,所以一般很难或实际上不可能使安全逻辑解算器对现场装置自动启动设备测试或校准程序。
发明内容
过程控制或安全仪器***使用功能块逻辑来协调在过程控制或安全仪器***内的逻辑,使其与现场装置操作状态一致,即使对于过程控制或安全***来说这些操作状态由外部启动时。特别是,与现场装置有关的输入或表决功能块内的逻辑可监视并确定何时将相关现场装置置入测试或校准模式中,并可自动启动与这种所检测现场装置状况有关的适当忽略或无效功能。类似地,当现场装置置回到它们的正常操作模式中时,功能块逻辑可自动去除忽略或无效功能。这种忽略和无效的自动启动有助于防止将过程设施内的安全***启动停机程序作为手动启动的设备测试的结果,该手动启动设备测试由例如附加到现场装置上的手持设备完成。类似地,忽略和无效的自动去除有助于防止因为用户忘了手动去除为了允许设备测试而设置的忽略或无效,而造成过程设施内安全***不能正常操作。
再有,逻辑***和现场装置可用指令子集编程,即使当现场装置写保护时,该子集也能由安全逻辑***启动,以将现场装置置于测试或校准模式中。在这种情况下,逻辑***和现场装置可具有结合了写检查机构的附加保护指令,如IEC61511所需的,但是当现场装置仍配置为写保护时,该指令也能够使得现场装置进入固定电流模式或校准模式,并能够发送和启动。新指令不需要由现场装置写保护机制保护,因为它们由已知并受托的源启动,如安全逻辑***。但是,这些新指令使逻辑***能够改变现场装置的配置,将现场装置置于测试或校准模式中,而不需要上电或其他手动程序。于是,安全逻辑***能够以安全方式协调现场装置所需要的维护功能,而不会使现场装置遭受其他不想要的配置改变。类似地,即使当现场装置以别的方式写保护时,安全***和现场装置也能够存储在现场装置与逻辑解算器之间传送的指令和应答的记录,提供现场装置上所采取动作的全部日志。如果需要,附加的指令子集可在如Hart指令的厂商特定分类中,并由此能与现场装置支持的已存在指令一起动作。使用这种厂商通信能力,逻辑解算器能够连续地监视现场装置的状态。
附图说明
图1为具有安全***的示范性过程设施的框图,该安全***结合了过程控制***,并使用一个或多个可配置AI、DI和表决功能块,来自动控制***停机和维护过程设施内的忽略与无效行动;
图2为图1中的一个可配置表决功能块的框图,结合了忽略和无效功能;
图3为包括一个忽略输入的多个示范性表决方案的表,该忽略输入可由图2中的表决功能块使用;
图4为一个示范性表,表示当给表决功能块的一个输入状态不好时,表决方案会降级的方式;和
图5为一个输入功能块的框图,具有现场装置状态检测和启动逻辑,该逻辑在现场装置与功能块中相关忽略和无效功能之间通信连接,用于根据所检测的现场装置状态在安全逻辑解算器内控制逻辑,以及用于控制现场装置配置。
具体实施方式
现在参见图1,过程设施10包括结合了安全***14(由虚线表示)的过程控制***12,该安全***通常运作为安全仪器***(SIS),监视并无效由过程控制***12提供的控制,由此将过程设施10的可能安全操作最大化。过程设施10还包括一个或多个主机工作站、计算机或用户接口16(它可为任何类型的个人计算机、工作站、PDA等等),它们可由设施人员访问,如过程控制操作者、维护人员、安全工程师等等。在图1所示的例子中,示出了两个用户接口16,通过公用通信线路或总线22,连接到两个单独的过程控制/安全控制节点18和20和配置数据库21。通信网络22可使用任何想用的总线型或非总线型硬件、使用任何想用的硬连线或无线通信结构、并使用任何想用的或者合适的通信协议,如以太网协议来实现。
一般来说,过程设施10的节点18和20中的每个都有包括过程控制***设备和安全***设备,它们通过总线结构连接在一起,该结构可设置在基架(backplane)上,不同的设备附接在该基架中。图1中节点18图示为包括过程控制器24(它可为一控制器冗余对)以及一个或多个过程控制***输入/输出(I/O)设备28、30和32,同时节点20图示为包括过程控制器26(它可为一控制器冗余对)以及一个或多个过程控制***I/O设备34和36。每个过程控制***I/O设备28、30、32、34和36通信连接到一组有关过程控制的现场装置上,图1中图示为现场装置40和42。过程控制器24和26、I/O设备28-36以及控制器现场装置40和42通常组成了图1的过程控制***12。
类似地,节点18包括一个或多个安全***逻辑解算器50、52,同时节点20包括安全***逻辑解算器54和56。每个逻辑解算器50-56为I/O设备,具有处理器57,执行存储在存储器79中的安全逻辑模块58,并通信连接来将控制信号提供给安全***现场装置60和62,和/或从安全***现场装置60和62接收信号。另外,节点18和20中的每个包括信息传播设备(MPD)70或72,彼此通过环形总线连接件74(在图1中仅示出了部分)通信连接。安全***逻辑解算器50-56、安全***现场装置60和62、MPD70和72、以及总线74通常组成了图1的安全***14。
过程控制器24和26仅示例的方式可为由Emerson Process Management出售的DeltaVTM控制器或任何其他想用类型的过程控制器,使用I/O设备28、32和32(对于控制器24)、I/O设备34和36(对于控制器26)、以及现场装置40和42,编程该过程控制器,提供过程控制功能(使用通常称作控制模块的模块)。特别地,每个控制器24和26完成或监督一个或多个存储在其中或以其他方式与其相关联的过程控制程序,并与现场装置40和42以及工作站14通信,来以任何想用的方式控制过程10或过程10的一部分。现场装置40和42可为任何想用类型的现场装置,如传感器、阀、发送器、***等等,并可遵照任何想用的开放的、专有的或其他通信或编程的协议,例如包括HART或4-20ma协议(如图示用于现场装置40的)、任何现场总线协议如FOUNDATIONFieldbus协议(如图示用于现场装置42的)、或者CAN,Profibus,AS-Interface协议,仅举出几个名字。类似地,I/O设备28-36可为使用任何适当通信协议的任何已知类型的过程控制I/O设备。
图1中的安全逻辑解算器50-56可为任何想用类型的安全***控制设备,该设备包括处理器57和存储器,该存储器存储适于在处理器57上执行的安全逻辑模块58,使用现场装置60和62提供与安全***14相关的控制功能。当然,安全现场装置60和62可为任何想用类型的现场装置,遵照或使用任何已知或想用的通信协议,如上面提到的那些协议。特别地,现场装置60和62可为有关安全的现场装置类型,该类型传统上由单独、专用的有关安全的控制***控制。在图1所示的过程设施10中,安全现场装置60描述为使用专用的或点到点的通信协议,如HART或4-20ma协议,而安全现场装置62图示为使用总线通信协议,如Fieldbus协议。安全现场装置60可执行任何想要的功能,如停机阀、切断开关功能等等。
共用基架76(由穿过控制器24和26、I/O设备28-36、安全逻辑解算器50-56以及MPD70和72的虚线表示)用在节点18和20中的每一个,将控制器24和26连接到过程控制I/O卡28、30和32或者34和36,以及连接到安全逻辑解算器50、52、54或者56,还连接到MPD70或72。控制器24和26还通信连接到总线22,并操作为总线22的总线公断者,使每个I/O设备28-36、逻辑解算器50-56和MPD70与72通过总线22与任何工作站16通信。
如将要理解,每个工作站16包括处理器77和存储器78,该存储器储存适于在处理器77上执行的一个或多个配置和/或浏览应用。配置应用80和浏览应用82在图1的分解图中图示为储存在一个工作站16中,同时诊断应用84图示为储存在另一个工作站16中。但是,如果需要,这些和其他的应用可在不同的工作站16中或者在与过程设施10相关的其他计算机中储存并执行。一般来说,配置应用80向安全工程师提供配置信息,使安全工程师能够配置一些或全部过程设施10的元件,并在配置数据库21中储存该配置。作为由配置应用80执行的部分配置行动,安全工程师可生成用于过程控制器24和26的控制程序或控制模块,可生成用于任何和全部安全逻辑解算器50-56的安全逻辑模块58(包括用在安全逻辑解算器50-56中或者甚至为在控制器24和26中的生成和编程输入、表决和其他功能块),还可通过总线22和控制器24与26,将这些不同的控制和安全模块下载到适当的过程控制器24和26与安全逻辑解算器50-56中。类似地,配置应用80可用来生成并下载其他程序和逻辑到I/O设备28-36、任何现场装置40、42、60和62等等。
相反地,浏览应用82可用来提供一个或多个显示给用户,如给过程控制操作者、安全操作者等等,如果特别需要,该显示包括在单独各视图中或在同一视图中关于过程控制***12和安全***14状态的信息。例如,浏览应用82可为警报显示应用,接收警报指示并向操作者显示警报指示。如果需要,这种警报浏览应用可采用如标题为“Process Control System IncludingAlarm Priority Adjustment(包括报警优先调节的过程控制***)”的美国专利No.5,768,119中和标题为“Integrated Alarm Display in a ProcessControl Network(在过程控制网络中的集成报警显示)”的美国专利申请No.09/707,580中披露的形式,这两个文件都托交给了本申请的代理人,并在此特别引入以作参考。但是将理解,这些专利的警报显示或警报栏可在集成的警报显示器中接收并显示来自过程控制***12和安全***14两者的警报,由此来自***12和14两者的警报将传送给执行警报显示应用的操作者工作站14,并将从不同设备上可识别为警报。类似地,操作者可用与过程控制警报同样的方式,处理在警报栏中显示的安全警报。例如,操作者或用户可用警报显示器认可安全警报、关闭安全警报等等,该动作将使用总线22和基架76上的通信,将消息传送给安全***14内适当的过程控制器24、26,来采取与安全警报有关的相应动作。在类似方式中,另一浏览应用可显示来自过程控制***12和安全***14两者的信息或数据,由此这些***可使用相同类型和种类的参数、安全性和基准,使得来自***12和14之一的任何数据能够集成到为过程控制***惯常提供的显示或视图中。
诊断应用84可用来完成设施10的过程控制和安全***内的诊断或维护程序。这种诊断应用可执行任何想用类型的诊断或维护过程,如运行过程和阀测试、启动过程等等,可以或者不可以向过程设施10内使用的一个或多个AI、DI或表决功能块提供无效,来防止根据来自一个或多个设备的输入由诊断程序引起的安全***操作。类似地,手持配置或测试设备85可连接到任何现场装置40、42、60和62,在这些现场装置上执行配置、测试和校准过程,同时向过程设施10内的一个或多个AI、DI或表决功能块传送或不传送忽略或无效信号。
在任何情况中,应用80、82和84以及任何其他应用可将单独的配置和其他信号传送给每个过程控制器24和26以及每个安全***逻辑解算器50-56,并可从每个过程控制器24和26以及从每个安全***逻辑解算器50-56接收数据。这些信号可包括与控制过程现场装置40和42的操作参数有关的过程级别信息,还可包括与控制有关安全现场装置60和62的操作参数有关的安全级别信息。当安全逻辑解算器50-56可编程来识别过程级别信息和安全级别信息两者时,安全逻辑解算器50-56能够在两种类型的信息之间进行辨别,并将不能够由过程级别配置信号编程或实现。在一个示例中,传送到过程控制***设备的编程信息可包括某些字段或地址,它们由安全***设备识别并防止那些信号用来对安全***设备编程。
如果需要,与用于过程控制I/O卡28-36的硬件和软件设计相比,安全逻辑解算器50-56可使用相同或不同的硬件或软件设计。用于过程控制***12内设备和安全***14内设备的替代技术的使用,可最小化或消除共同造成的硬件或软件故障。此外,包括逻辑解算器50-56的安全***设备可使用任何想用的隔离和安全技术,减少或消除未授权改变的机会,由此制得所实行的有关安全功能。例如,安全逻辑解算器50-56和配置应用80可要求具有特殊的权利级别的人,或者位于特殊的工作站处的人,来对逻辑解算器50-56内的安全模块进行改变,这种权力级别或位置不同于对过程控制功能进行改变所需的权力、访问级别或位置,该过程控制功能由控制器24和26以及I/O设备28-36执行。在这种情况下,仅有那些指定在安全软件内或者位于授权对安全***14进行改变的工作站处的人,具有授权来改变有关安全的功能,这样最小化了对安全***14操作的讹误机会。如将要理解地,为了实现这种安全性,安全逻辑解算器50-56内的处理器评定用于适当形式和安全性的输入信息,并象看门者那样操作,对安全逻辑解算器50-56内执行的安全级别控制模块58进行改变。
每个节点18和20中基架76的使用,使安全逻辑解算器50和52以及安全逻辑解算器54和56能够彼此本地通信,协调由每个这些设备实现的安全功能,彼此通信数据,或执行其他集成的功能。另一方面,MPD70和72操作,使设置在设施10中许多不同地点的安全***14部分仍能够彼此通信,在过程设施10的不同节点处提供协调后的安全操作。特别地,与总线74连接的MPD70和72使与过程设施10不同节点18和20相关的安全逻辑解算器能够通信地级联在一起,根据所分配的优先级考虑过程设施10内有关安全功能的级联。另外,在过程设施10内不同地点处的两个或多个有关安全功能,可互锁或互连,而不需给设施10各单独区域或节点内的各个安全现场装置运行专线。换句话说,MPD70和72以及总线74的使用使安全工程师能够设计并配置安全***14,该***实际上分布在遍及过程设施10中,但是具有其通信互连的不同组件,使各不相同的有关安全的硬件在需要时彼此通信。这一特征还提供了安全***14的可伸缩性,因为当需要附加的安全逻辑解算器,或者当新过程控制节点加到过程设施10上时,它使附加的安全逻辑解算器能够加到安全***14上。
如果需要,可使用功能块编程模式对逻辑解算器50-56编程,来执行与安全设备60和62有关的控制行动。特别地,如在逻辑解算器54的一个安全控制模块58a(储存在存储器79中)展开图中所示,安全控制模块可包括一组通信互连的功能块,可生成该功能块并下载到逻辑解算器54,用于在过程10操作期间实施。如图1中所示,控制模块58a包括具有与其他功能块90通信互连的输入的两个表决功能块92和94,该功能块90例如可为模拟输入(AI)、数字输入(DI)功能块、或者设计来向表决功能块92提供信号的其他功能块。表决功能块92和94具有至少一个输出,连接到一个或多个其他功能块91,该功能块91可为模拟输出(AO)、数字输出(DO)、实现目标(cause)和效果逻辑的目标效果功能块、可接收来自表决功能块92和94的输出信号来控制安全设备60和62操作的控制和诊断功能块等等。当然,安全控制模块58a可用任何想用的方式编程,来包括与一个或多个表决功能块在一起的任何类型功能块,该功能块以任何想用或有用的方式配置,执行任何想要的功能。此外或替换地,如AI和DI功能块等其他输入功能块可直接连接到安全***逻辑,用于提供安全逻辑控制模块,安全逻辑控制模块通过在一个或多个事件的发生时启动一个或多个停机设备,响应由AI或DI功能块检测这些事件,。
这样,当图1中安全控制模块58a的展开图包括具有五个数字输入的数字表决功能块92和具有三个模拟输入的模拟表决功能块94时,可以理解,能够创建任何数量的不同安全逻辑模块58,并在每个不同逻辑解算器50-56内使用,每个这些模块可包括任何数量的AI、DI、表决或其他输入功能块,该功能块具有以任何想用方式通信连接到其他功能块的任何想要数量的输入。类似地,如果在例如Fieldbus网络中使用,表决功能块92和94可为任何现场总线类型功能块或者连接到那里的任何其他功能块,能够在其他设备中设置并实现,如在现场装置62中。如果在安全***外部使用,表决功能块92和94以及其他输入功能块可在过程控制器24、26,I/O设备28-36,现场装置42等中实现。如通常理解地,表决功能块92和94典型地接收由安全***14内冗余传感器或变送器提供的冗余输入,并给这些输入施加表决方案,来根据所有那些输入确定是否存在安全***失误状况。此外,可对这些表决功能块编程来启动安全***逻辑内的忽略或无效。
图2为框图,图示了图1中具有忽略和无效功能的示例的表决功能块94的组件。表决功能块92是模拟表决功能块,因为它处理通过例如模拟输入(AI)功能块90递送的模拟输入信号。通常,表决功能块94包括标为IN1、IN2和IN3的三个输入,它们适于接收来自例如过程设施10内冗余传感器或其他冗余元件的模拟输入信号,如来自图1中现场装置60和62。将每个输入IN1、IN2和IN3提供给一个失误界限检查块95a、95b或95c和一个预定界限检查块96a、96b或96c。失误界限检查块95将递送到那里的输入与预置界限进行比较,确定是否输入信号已经达到了与失误状况相关的值(该值可为上限值、下限值或预定范围内的值)。以类似的方式,预定界限检查块96将递送给其的输入与预置预定界限进行比较,确定是否输入信号已经达到了与指明失误状况的警报或警告相关的值(该值可为上限值、下限值或预定范围内的值),虽然失误状况还不存在,但即将发生。实际上,预定界限检查块96使警报或事件信号能够产生,表示危险或其他不理想的状况虽然还不存在,但是即将发生。
每个失误界限检查块95和预定界限检查块96的输出(例如该输出可为数字信号,当块95和96中达到界限或预定界限时,该数字信号设置为上限值)递送给一组输入忽略禁止块98a、98b和98c之一。输入忽略禁止块98在各个输入IN1、IN2和IN3上执行输入禁止,使得可禁止一个或多个这些输入,也就是说,在表决功能块94内不使用它们来确定是否失误状况存在或者是否预定失误警报状况存在。每个输入忽略禁止块98将用于相关失误界限状况的输出提供给失误表决逻辑块100a,并将用于相关预定界限状况的输出提供给预定失误表决逻辑块100b。表决逻辑块100a和100b执行任何想要操作的表决逻辑,来根据其输入确定是否失误状况或预定失误警报状况存在。
失误表决逻辑块100a和预定失误表决逻辑块100b分别向禁止或无效块102提供失误信号和预定失误警报信号(当这些状况确定存在时),该禁止或无效块可禁止表决功能块94在例如想要禁止表决功能块94操作的启动或其他工作、运行时间或维护程序期间,提供任何失误信号或预定失误警报信号输出。禁止块102发出所确定的失误输出信号(标记为Out)作为失误表决逻辑块100a操作和启动禁止块逻辑的结果,此外还开发出所确定的Pre_out信号作为预定失误表决逻辑块100b操作和启动禁止块逻辑的结果。Out信号可用来驱动图1中安全***14内的停机程序操作,而Pre_out信号可用来提供警报,表示过程设施10内失误状况即将发生的事实。当然,如果非常需要,Out和Pre_out信号也可用于其他目的。
表决功能块94可包括一组参数,它们中的一些在图2中标示在它们用于其中的块的上方或下方,例如在表决功能块94的配置期间设置它们,实现或指定表决功能块94的操作。特别地,使用失误界限(Trip_Lim)和预定失误界限(Pre_Trip_Lim)参数,来设置或建立用在失误界限块95中的失误界限,并设置用在预定界限检查块96中的预定失误界限。失误界限和/或预定失误界限参数可对于每个不同的块95和96是相同的,或者可对于每个块95和96单独设置。类似地,失误滞后(Trip_Hys)和预定失误滞后(Pre_Trip_Hys)参数用来设置块95和96必须在连续失误之间传播引起的滞后。也就是说,一旦一个块95或96检测到高于(或低于)界限的一个输入信号,类型滞后参数(用于块95)的滞后值和预定失误滞后参数(用于块96)的滞后值确定在失误信号(或预定失误信号)关闭之前,或者在使第二失误信号(或者预定失误信号)能够由该块设置之前,输入信号必须在界限下方(或上方)传播多远。
表决功能块94还具有名为Trip_Type的内部失误型配置参数,该参数限定与表决功能块94的输入和/或输出相关的正常和失误状态值。例如,当表决功能块94配置为“断电失误(De-energized to Trip)”(它可为缺省值)时,输出的正常操作值是一,失误状态值是零。相反地,当表决功能块94配置为“上电失误(Energized to Trip)”时,正常操作值是零,失误状态值是一。这种初始确定在失误界限检查块95a、95b和95c处以及在预定界限检查块96a、96b和96c处进行,它们分别与输入IN1、IN2和IN3相对应。检测类型(Detect_Type)参数可用来确定对失误界限的比较是否大于(上限)比照,或者小于(下限)比照。这一比较产生在适当的失误界限检查块95和预定界限检查块96处,以确定输入信号是否已经达到了预定的界限。
如将要理解,每个失误界限检查块95的输出将表示失误是否由相应的一个输入IN1、IN2和/或IN3表示了。如上所述,维护无效或忽略能够由输入忽略禁止块98对每个单独的输入IN1、IN2和IN3应用,来防止那些输入用在由表决逻辑块100应用的表决逻辑中。当例如在变送器或其他向表决功能块94提供输入信号现场装置上正进行维护时,这种忽略特征非常需要。当使用表决逻辑根据多个输入确定失误输出时,维护忽略不总是必须的,因为对失误的信号错误表决(这可能由于在提供该输入的传感器上的维护动作造成)不一定会导致失误。但是,这种忽略功能是需要的,来防止维护动作期间的错误失误,并可能在一些表决逻辑中是需要的,如在二选一的表决逻辑方案中,在该方案中甚至来自冗余传感器的单一失误信号的存在也将导致失误。
当一个输入忽略禁止块98引起一个输入被忽略时,即使该输入值超过了由失误界限或者预定失误界限参数规定的界限,所忽略的输入也将不由表决逻辑块100a和100b使用来产生失误信号或预定失误警报信号。为了能够忽略,忽略许可(Bypass_Permit)参数首先能够控制是否输入忽略在第一位置是允许的。一般来说,如果设置了Bypass_Permit参数或激活了它,将允许输入上的忽略;而如果没有设置Bypass_Permit参数或没有激活它,将不允许输入忽略。当单一的Bypass_Permit参数可适用于所有忽略禁止块98时,将为每个输入忽略禁止块98a、98b、98c设置单独的忽略许可。
如果设置了Bypass_Permit参数或激活了它,那么BYPASSx参数可用于引起一个或多个忽略禁止块98操作,来禁止相关的一个输入IN1、IN2或IN3的使用。BYPASSx参数中的x表示输入IN1、IN2或IN3的哪一个失效了。如果需要,在任何特殊的时间可禁止多于一个的输入,或者可配置表决功能块94,一次仅允许禁止一个输入。Bypass_Permi t和BYPASSx参数可用任何想用的方式设置或发布,如通过操作者或维护屏幕上的操作者显示按钮、物理键形开关、进入安全模式的离散输入,通过配置、控制、显示或诊断应用,通过另一输入功能块(下面将更详细地描述),或者通过任何其他方式。当然,如果在表决功能块94的任何特殊实施中,不需要使用忽略许可,可设置Bypass_Permit参数的缺省值,以在表决功能块94的配置中激活。
忽略超时(Bypass_Timeout)参数可用来设置时间总量,在该时间总量之后,设置用于一个块98的忽略,使得该忽略将自动期满。在这种情况下,每个输入忽略禁止块98可包括作为一组计时器110中的一个的忽略计时器,将该计时器设置为Bypass_Timeout参数值,并且该计时器可在忽略开始时倒计数。在这种情况下,输入忽略禁止块98可禁止相关输入的使用,直到BYPASSx关闭,或直到忽略计时器到达零。如将要理解地,忽略计时器可用来保证在预定时间总量后去除忽略。
如果需要,还可配置输入忽略禁止块98来向如操作员、安全工程师、技术员等用户提供提醒警报,提醒用户或使用户注意忽略超时将近。如果在一个忽略超时上配置忽略为消失或不激活,那么通过将提醒时间(REMINDER_TIME)参数设置为某个非零值,可在超时前将通知送给用户或其他操作者。在这种情况下,如果忽略计时器非零但小于提醒时间参数,并且任一忽略输入表决为失误,可激活提醒警报来向用户提供警报,表示随着即将来临的忽略计时器期满将发生停机。如果没有忽略输入表决为失误,尽管仍可激活警报,但也不需要激活它。但是,可以理解,即使当激活忽略超时警报时,失误也不会立即来临,因为没有足够的其他输入表决为失误,来引起失误表决逻辑块100a产生失误信号。
在一个实施例中,仅当第一忽略超时的时候,忽略计时器才可重新装备。但是,忽略计时器可为可写参数,使得在通知了超时即将产生之后,可使用操作者显示器按钮(或一些其他适当的技术)增大忽略计时器,来延长忽略时间。例如当维护程序仍然在现场装置上进行时,向表决功能块94提供忽略的输入,这种特征使用户能够延长忽略时间。另外,例如仅当该忽略计时器超时的时候忽略激活时,忽略超时的通知才可用于指示目的。在这种情况下,即使提醒时间参数设置为零,当忽略计时器超时的时候,也可将提醒警报设置为有效。然而,如果提醒时间参数为非零值,该提醒仍将先于超时(如果该输入表决为失误)而发生。提醒警报和忽略警报可以是确认的或不确认的警报。
由表决逻辑块100a和100b执行的表决逻辑可为“N选M(M out of N)”逻辑功能。根据这种功能,从全体N个输入中必须有M个输入表决为失误。例如,表决功能块94可配置为3选2(2oo3)的表决,这意味着在表决逻辑块100a的输出设置为失误状态值之前,三个输入中的两个必须符合失误界限,并且在预定失误表决逻辑块100b设置为预定失误警报值之前,三个输入中的两个必须符合预定失误界限。“N选M”函数中的N值由未禁止的输入数量确定,M值根据称作失误数量(NUM_TO_TRIP)的块内部参数确定,配置中它的缺省值可设置为等于或小于N的任何想要值。通常的表决方案可包括例如三选二(2oo3)、二选一(1oo2)、二选二(2oo2)等等。但是,还可使用任何其他的表决逻辑。由于块94的其他特征,表决功能块94还可用于单一变送器的应用,如在一选一(1oo1)表决功能逻辑情形中。
一般来说,1oo2或1oo1表决方案将需要维护忽略功能,因为维护动作期间,以一种方式禁止即使一个变送器将必然导致由表决逻辑块100a设置的失误状况,该方式在对于该变送器的表决功能块94的输入处引起检测失误状况。但是,配置为需要多表决失误的表决功能块仍可从忽略功能中受益,用于维护程序期间的多个可预测行为。
忽略一个输入IN1、IN2或IN3可用两种方式中的一种实现表决功能块100a和100b。可使得需要确定失误状况(或预定失误警报状况)的输入数量减少一个,或者可使得这一输入数量维持不变。例如,当表决逻辑块100a配置为2oo3表决逻辑块,并且一个输入IN1、IN2或IN3忽略时,表决方案后来可变为1oo2表决方案,意思是需要表决为失误的输入数量减少了一个(同可用的输入数量一起)。可选地,当所选的输入忽略时,2oo3表决方案可改变为2oo2表决方案,意思是需要表决为失误的输入数量维持不变(即使可用的输入数量减少了一个)。当忽略一个输入时,忽略选项参数可用来确定失误需要的准确数量是减少了一个还是没有。图3图示了在几个不同表决方案中这一选项的结果。图3中的第一列表示没有禁止输入而配置的表决逻辑方案;图3中的第二列表示当禁止了一个输入并使用判定失误的初始配置数量M时的表决逻辑;图3中的第三列表示当禁止了一个输入并且将判定失误数量M减少了一时的表决逻辑。当然,另外的输入禁止也可在图3第二和第三列内表示的值中引起类似的改变。不论怎样,失误表决逻辑块100a(和预定失误表决逻辑块100b)通常不会将用于判定失误所需的输入实际数量减少到小于一,并且当表决失误的可能输入减少到零时,如在1oo1表决方案中,将禁止失误。
可配置输入忽略禁止块98的缺省行为,一次仅允许一个输入忽略。这一功能可由写保护特征强制执行,防止第二个输入忽略。可选地,能同时忽略多个输入。如果需要,BYPASSx参数可具有附加的写保护,这要求在BYPASSx参数设置前,设置忽略许可BYPASS_PERMIT参数或使其为真。
在失误表决逻辑块100a处执行表决之后,根据所选的N选M表决方案,可应用失误延迟打开时间参数TRIP_DELAY_ON,使得在OUT信号改变为失误状态值之前,对于可配置的时间周期(其缺省值可在零秒处设置)表决失误状况必须动作。以类似方式,可应用失误延迟关闭时间参数TRIP_DELAY_OFF(其缺省值可在零秒处设置),当表决为失误状态清除时,即,当根据其输入失误表决逻辑块100a确定失误状况不存在时,来延迟时间,此间OUT信号恢复到正常状态值。当然,失误延迟打开时间参数和失误延迟关闭时间参数可具有不同的和任何想要的值,并可应用到由失误表决逻辑块100a产生的OUT信号和由预定失误表决逻辑块100b产生的Pre_out警报信号两者上,或应用到两者之一上。如果需要,失误延迟打开时间和失误延迟关闭时间周期可为失误表决逻辑块100a和预定失误表决逻辑块100b独立配置,并可由一个计时器110追踪。
如上所述,禁止块102为启动或其他操作无效功能。如果需要,这一无效功能可由另一功能块启动,如在输入功能块中(如下面将更详细描述地)。例如,可能需要无效掉表决功能块94的输出,迫使OUT信号处于正常状态,用于启动或其他临时操作情形的短时间周期,包括一些现场装置测试情形。这种禁止或无效功能例如可用来撤销由表决功能块94产生的持续失误请求,因为过程或其相应部分处于停机状态,现场装置处于维护状况等等,由此允许过程启动程序进入这样一点,在这里在表决功能块94的输入处所提供的过程值不再为表示失误应当启动的值,或者使得全部完整的维护程序能够在一个或多个现场装置上执行的值。
在一个例子中,禁止块102可包括缺省行动,在接收可通过设置Startup参数表示的启动指示时,禁止块102迫使OUT信号,如果需要,和Pre_out信号到正常状态值,在由启动延迟(STARTUP_DELAY)参数限定的一个可配置时间周期中。禁止块102可包括启动倒计数计时器,作为计时器110之一,该计时器设置为由启动延迟参数规定的值,并在通过启动参数接收启动指示后开始倒计数。当倒计数计数器超时的时候,失误表决逻辑块100a和预定失误表决逻辑块100b恢复正常失误检测。可这样配置禁止块102,使得当启动计时器倒计时的时候,启动参数的连续设置不会影响启动时间。可选地,可以允许每个启动参数的新设置重新装备启动计时器,使得超时的时候能够避免将发生的失误。
类似于输入忽略禁止块98,禁止块102可具有提醒功能,该功能例如可通过设置忽略参数打开。当这一提醒功能为输入忽略(维护忽略)运作时,它以实质上相同的方式也为启动忽略运作。由此,当启动计时器大于零但小于可配置提醒时间(REMINDER_TIME)参数(该参数可在配置时设置),并有足够的表决失误时,提醒警报状况变为有效的,表示忽略将要期满,根据输入IN1、IN2和IN3的值,将导致停机。
如果需要,当输入已稳定时,也就是说,当对于可配置的时间周期没有足够的表决失误时,启动计时器可另外或替换地自动期满。这一稳定时间可由稳定计时器追踪,该计时器可为计时器110之一,并当表决逻辑块100a的输出稳定时检测例如对于指定时间周期的非失误或正常值。在这种情况下,当启动计时器倒计时的时候,每当没有足够的表决失误时该稳定计时器可正计时,并且每当失误表决符合或超出失误所需的数量时可复位。如果稳定计时器达到了配置的稳定时间值,启动计时器就复位到零,并恢复正常的失误探测功能。当然,稳定计时器在启动时间周期的末端不复位,但是当有足够的失误表决时,可在启动开始处和启动禁止周期期间的任何时间处复位。
另外,启动忽略时间不需要基于固定时间周期或表决功能块94的输入IN1、IN2和IN3的值,但是代替地,可基于事件的发生或不发生。在这种情况下,当设置启动复位参数或其变为设置或真时,启动忽略结束,这可随着事件的检测而产生。在这种方式中,启动忽略可依赖于不能确定的时间长度事件的存在或不存在。
如果需要,输入IN1、IN2和/或IN3的状态可用来影响表决功能块94的行动,并且这一状态行为可用状态选项参数设置。如将要理解地,在许多***中,如在HART和Fieldbus***中,变送器或其他现场装置将与过程变量信号或过程值一起发送状态信号,其中状态信号表示发送器本身的状态。这种状态信号可表示变送器处于正常或良好的状态,或者处于异常状态,如不良或其他不理想的状态,该状态可引起由变送器发送的过程变量值是可疑性的。由此,可确定向表决功能块94的IN1、IN2和IN3输入提供的输入信号状态,并用来实现表决方案或方式,其中输入将用在表决方案中。
如果需要,可设置由块100使用的表决方案,使得当其他变送器有效地表示所测量过程变量的有效值时,一个失败的发送器(即,一个具有不良状态的输入)不会自动启动失误。当考虑输入信号状态时,一个选项将总会使用输入IN1、IN2或IN3的值,而不顾输入的状态。在这种方式中,硬件失败不必引起停机,并将有时间允许修复。另一选项将处理输入上的不良状态,类似于将输入忽略,在如上所述与输入忽略禁止块98同样的方式中,防止该输入表决为失误。如果输入状态不良,第三选项将自动把输入考虑为失误表决。可将这配置缺省选项,向1ooX表决方案提供安全的最高级别。图4图示了当对于上述每个选项一个输入信号为不良状态时,几个共用的表决方案都降级的方式。例如,如图4第一行第一列中所示,当总使用该输入值时,2oo3表决方案有效地降级为2oo3(如果来自不良发送器的信号值为非失误值)或者1oo2表决方案(如果来自不良发送器的信号值为失误值)。相反地,如图4第一行第二列中所示,如果没有使用不良发送器的值,则2oo3表决方案降级为2oo2表决方案(或根据所选择的忽略特征可降级为1oo2方案)。类似地,如图4第一行第三列中所示,如果不良发送器的值处理为失误表决,那么无论该信号的实际值可表示什么,2oo3表决方案都将有效降级为1oo2表决方案。
当然,表决功能块94输入状态的使用在每个失误表决逻辑块100a和预定失误表决逻辑块100b中可进行相同或不同的处理。如果需要,Out信号和Pre_out信号状态可设置为Good,除非所有未忽略的输入都为不良状态,在那种情况下,Out和Pre_out信号的状态可设置为Bad。如果需要,当任何未忽略输入为不良状态时,可由表决功能块94设置表示不良输入的警报状况参数。
如将从上面讨论中理解地,表决功能块可由此在其中包括忽略和无效功能。但是,过去,这一功能由表决功能块输入的模式或状态启动,或者由操作者发送的手动信号启动,如由一个操作者显示设备16,启动这一功能。但是,可配置输入功能块本身,来探测何时现场装置置于与现场装置正常操作无关的配置或模式中时,如测试或校准模式。例如,HART设备可置于固定电流模式中,来检查逻辑解算器的输入和相关现场线路的写入,或者执行校准,这样做之后,可使用Hart通信来表示现场装置处于固定电流模式中。逻辑解算器使用一个输入功能块,能够检测这一固定电流模式,并自动启动逻辑解算器内的忽略或无效功能(如上面所述的表决功能块忽略或无效功能),来处理来自现场装置的相关输入,如忽略。类似地,输入功能块可探测现场装置从固定电流模式到正常操作模式的返回,并可包括去除忽略或无效的逻辑,由此自动保证现场装置的输入用在安全逻辑中,来探测过程设施中的事件。当然,其他去除逻辑,如上面所述的超时特征,也可用来自动去除由输入功能块探测到的忽略或无效特征。
图5图示了输入功能块120,在这种情况下,该功能块是AI功能块,结合了逻辑,该逻辑自动探测相关现场装置的配置状态,并使用所探测的这一状态产生或启动逻辑解算器内的忽略或无效功能。如图5中所示,功能块120通信连接到现场装置125、表决逻辑块127和其他安全***逻辑129。输入功能块120可包括标准通信栈130,该通信栈使用任何想用的通信协议与现场装置125通信,如象HART通信协议或Fieldbus通信协议等标准通信协议。当然,通信栈提供软件,用于现场装置125通信,接收来自现场装置125的标准(或者如果需要,也可为非标准的)通信,如果需要还可向现场装置125发送信息。
设备配置检测块132连接到通信栈130,接收来自现场装置125的信息并解码,以确定现场装置125的配置状态。标准软件未显示在图5中但包括在输入功能块120内,用于与现场装置通信,接收来自现场装置125的信号,解码并译出这些信号,在功能块120的输出处产生IN1信号。IN1信号可提供给例如表决功能块127或安全***逻辑内任何其他想用的块。
输入功能块120还可包括设备配置检测块132,设备配置检测块132例如可接收并检测来自现场装置125的信号(如,信息),该信号表示现场装置125已经置于固定电流模式中(表示现场装置125已经由例如图1中的手持配置设备85外部地置于测试模式中)或者一些其他非正常操作配置模式中。如果需要,设备配置检测块132可定期或响应于在现场装置状况中所检测到的变化,传送信号给现场装置125,查询关于现场装置125的配置状况,由此引起现场装置125响应于表示现场装置125配置状态的信号。
探测到配置状况中的变化或者现场装置125的状态从正常操作配置状态到非正常操作配置状态的变化之后,设备配置探测块132发送信号给忽略/无效逻辑块134,该块使用任何想用/适当的逻辑来启动忽略或无效(与现场装置125相关的),并将这种忽略或无效信号提供给表决功能块127。例如,随着探测到通过将现场装置125置于例如固定电流模式中,将其置于探测模式中,无效/忽略逻辑134可自动生成忽略或无效,用在表决功能块127中,防止表决功能块127使用过程设施内探测事件中来自现场装置125的输出信号。在类似的方式中,随着探测到现场装置125已经从测试或校准模式(如,非正常操作配置状态)置于正常操作模式中,无效/忽略逻辑134可自动去除先前发送到表决功能块127的忽略或无效,由此使得表决功能块127再次使用现场装置125的输出信号(即,IN1信号),探测过程设施内的事件。
在这种方式中,输入功能块120包括逻辑,即使当现场装置配置的改变由外部设备造成,而没有带有安全***逻辑的其他协调时,该逻辑也能用现场装置配置中的变化自动协调忽略和无效的使用。这种协调的结果,当现场装置由任何用户或源置于测试、校准或其他非正常操作状态中时,安全***将自动忽略或无效来自现场装置的输入。相反地,当现场装置从测试、校准或其他非正常操作配置状态置于正常操作状态时,安全***将自动去除无效或忽略,由此用安全***中使用的无效和忽略协调现场装置的状态。
当探测现场装置为返回正常操作状态,无效/忽略逻辑134描述为去除无效或忽略时,无效/忽略逻辑134可替换或另外采用基于计时器无效或忽略的自动去除,如与图2中表决功能块94相关的上面所述的那些。这样,无效/忽略逻辑134可包括逻辑,当忽略或无效启动后计时器超时的时候,该逻辑自动去除该忽略或无效,提醒用户时间期满或时间即将期满,或采用与表决功能块94内无效或忽略的去除有关的上述任何其他行动。
另外,即使当现场装置125处于写保护状态时,安全***也可通过能够将现场装置125从正常操作状态置于测试、校准或其他非正常操作状态,而不用由用户或操作者手动协助,来进一步协调现场装置的测试。特别地,输入功能块120可包括设备配置控制块140,即使当现场装置125处于写保护状态时,设备配置控制块140也能够访问一组指令142,并将指令142发送给现场装置125来改变现场装置125的配置设置。如果需要,设备配置控制块140可响应于逻辑解算器内由其他逻辑提供的信号,即SIS逻辑129,引起现场装置配置中的变化,由此使逻辑129能够通过测试程序、校准程序等运行现场装置,作为安全***逻辑的一部分。
指令142可为特殊配置的指令子集,即使现场装置125被写保护,也能引起现场装置125产生配置变化,如从正常操作模式到固定电流模式等等。这样一组指令通常需要加到由现场装置125识别的指令组中,并由此,将需要对现场装置125编程,来根据例如安全逻辑***内来自设备配置控制块140的一个或多个有效信号的接收,激活这些配置变化。这样一套指令可包括HART协议的Command 35,该指令是能够用来再配置HART设备的“写范围值”指令。当然,也可使用来自HART或其他协议的其他写指令。
在图5所示的例子中,现场装置125包括典型通信栈150,该栈使用任何想用或已知的通信协议,与现场装置125来回通信。现场装置125也包括控制现场装置125的配置状态的配置控制软件。这种配置控制软件可为标准配置控制软件,如用在已知现场装置中的,该软件使用写保护参数154来控制是否得到了所要求的配置改变。但是,可编程配置控制软件152来识别来自受托源的一组指令142,如来自已知逻辑或过程控制器,并当写保护参数154仍设置为保护状态时,在这些指令之一有效接收后,启动现场装置125配置的改变。在这种方式中,逻辑控制器、过程控制器或其他受托源能够对现场装置125的配置进行改变,而不需将写保护参数154改变为不保护状态(这也将使其它配置改变能够由其他未授权的源来进行),并不需通过动力循环来强制现场装置。如果需要,指令142可包括使配置改变的指令,如从正常操作状态到测试或校准状态,或者反之亦然,并可包括指令源的指定,即,发送指令的设备。还可对现场装置125编程,仅当指令142由特殊的源(如功能块)或设备传送来或初始化时,启动由该指令142之一指定的配置改变(无论是否设置了现场装置125的写保护特征)。在这种方式中,即使当现场装置125写保护时,如由写保护变量154所限定,指令142也可由受托源发送,引起现场装置中的配置改变。
在任何事件中,使用新的指令组,逻辑解算器可使得现场装置125配置改变,引起现场装置125进入或离开测试或校准模式。除了引起现场装置进入固定电流模式或校准模式之外,这些新指令还可结合写检查机制,如IEC61511所要求的,当现场装置125仍配置为写保护时,这些新指令还可发送并启动。但是,新指令不需由现场装置125的写保护机构154保护,因为它们由已知并受托的源,即安全逻辑***启动。作为这些指令的结果,安全逻辑***能够以安全的方式为现场装置协调必须的维护功能,而不需使现场装置125遭受其他不想要的配置改变。
如果需要,作为这一过程的一部分,输入功能块120的设备配置控制块140和/或现场装置125两者或之一可包括日志160和162,该日志储存或记录由设备配置控制块140造成的信息和配置改变,以及由现场装置125产生的对这些信息的响应。当然,这些日志可用任何标准、已知或想用的方式配置。在这种方式中,即使当现场装置125以其他方式写保护时,安全***和现场装置125也可储存指令记录和现场装置125与安全***逻辑解算器之间的应答,提供现场装置125上所采取行动的完整日志。
如果需要,并如上所提,一旦置于测试、校准或其他非正常操作模式中,指令142的子集仅由逻辑解算器启动,如由图5中设备配置控制块140启动,保证只有受托源如安全***14内的逻辑解算器能够使用这些指令来进行配置改变,尽管现场装置125可由其他源操作,如由图1中手持配置设备85等。再有,如果需要,可装备现场装置125,使得它仅可由逻辑解算器配置或具有配置上的变化,由此保证现场装置125的任何配置改变都与安全***14的操作一致。
当用于提供现场装置与逻辑解算器之间协调的输入功能块详细描述为AI功能块时,可编程任何类型的功能块如AI、DI、表决或其他输入功能块,来提供这种功能。这样,当设备配置控制逻辑140和设备配置探测逻辑132图示并描述为在输入功能块内提供时,这种逻辑能够代替或另外设置到其他功能块中,包括逻辑解算器中与逻辑相关的独立功能块。此外,当描述为在逻辑解算器中绑定并使用时,在此描述的设备配置探测和控制块132和140可用在其他类型的控制块或例程中,如在执行传统过程控制功能块中实现的那些,如图1中控制器24和26里或执行控制动作的任何其他设备中的控制软件。再有,当图5中的输入功能块120描述为向安全逻辑***中的表决功能块127提供忽略或无效信号时,输入功能块120可代替或另外提供这种无效或忽略信号给安全***(或过程控制***)内的其他元件,引起与那些***相关的其他类型忽略或无效的其他功能。这样,上面所提供的表决功能块无效和忽略特征的解释仅表示一种方式的例子,在其中可使用自动产生的忽略或无效信号,并不认为是使用这些忽略或无效信号的唯一方式。
当在使用HART通信协议的例子中描述时,在此所述的设备配置探测和控制逻辑可与任何其他想用的通信和设备协议一起使用,如Fieldbus、Profibus、CAN等协议。另外,这种逻辑可用在Foundantion Fieldbus协议中或任何其他***中,在其中安全功能是或可完全用于现场装置中。这样,当图示为在来自现场装置的独立设备中控制时,在此所述的设备探测和配置逻辑可在现场装置自身中实现。
当图1表示安全逻辑***14使用表决功能块接收来自AI、DI或其他输入功能块的输入时,***逻辑***14可使用来自任何其他类型功能块的输入,或可将所产生的输入作为过程设施10内的其他类型信号。例如,并如将要理解地,在安全***中可在通信栈上方的一个级别处提供结构支撑,用于读输入/输出值和设备状态/情况/模式信号,并用于提取设备间发送的任何其他指令或信息,使能够在设备内进行配置改变的探测。这种结构还能用在其他控制语言中,如梯形逻辑、顺序功能表、状态转换和自定义功能块语言,仅列出几个名字,通过观察或读取表示状态改变的信号,或者这些语言内的其他操作中,表示***内配置改变或其他改变,这将导致安全***内忽略或无效的启动或不启动。
再有,当图1中表决功能块92和94的输出图示为连接到输出功能块时,如AO、DO或如引起并实现功能块或控制例程等其他功能块,这些输出可连接到任何其他想用类型的、与安全逻辑***14相关的功能块,如顺序功能块、分级功能块等等,或者甚至可直接连接到过程设施10内的其他应用或编程环境中。类似地,当在此所述的逻辑使用功能块编程样式实现时,相同的逻辑可提供在其他类型编程环境中,并仍看作如在此使用的功能块。这样,当在此描述的功能块描述为用在过程设施或过程控制环境的安全***中时,这些或类似的功能块可用在标准过程控制环境中,或者用于除了在安全***中外其他想用的使用。
当实现时,在此所述的任何元件包括输入块、表决块、禁止块、表决逻辑块、设备配置和检测块、信号连接等等,可在任何计算机可读存储器中储存的软件中实现,如在磁盘上、激光或光盘上、或其他存储介质上、计算机的RAM或AOM或处理器中等等。在此所述的信号和信号线可采用任何形式,包括实际的线、数据寄存器、存储器位置等等。在此所述的软件可采用任何形式,包括在通用计算机或处理器上执行的应用软件,或者烧入例如应用型专用集成电路(ASIC)、EPROM、EEPROM或任何其他固件设备中的硬编码软件。类似地,这种软件可使用任何已知或想用的传递方法,包括在计算机可读磁盘上或其他可转移计算机存储机制上,或者通过通信信道如电话线、因特网、万维网、任何其他局域网或广域网等等(该传递视为与通过可传输存储媒介提供这种软件相同或者可互换),传递给用户、过程设施、操作者工作站、控制器、逻辑解算器或者任何其他计算设备。此外,这种软件可直接提供,而不需调制或加密,或者可在通过通信信道传输之前使用任何适当的调制载波和/或加密技术调制和/加密。
当然,在此所述的功能块能够使用任何外部过程控制通信协议(此外还包括Fieldbus协议或者DeltaV协议)来实现,并可用来与任何类型的功能块通信,包括与由Fieldbus协议特别认定或支持的任何不同功能块相似或相同的任何功能块。此外,当在此一个实施例中的输入和表决功能块可为Fieldbus“功能块”,注意,此处“功能块”一词的使用不限于Fieldbus协议定义为功能块的那些,替代地,可以是任何其他类型的块、程序、硬件、固件等等,与任何类型的控制***和/或通信协议相关的实体,该通信协议可用来实现一些过程控制例程功能,或者具有预定的设置或协议,用于向其他这些功能块提供信息或数据。这样,尽管功能块典型地采用面向对象编程环境内的对象形式,但这不是必须的情况,替代地可为所使用的其他逻辑单元,来用任何想用的编程结构或模式在过程设施或控制环境内执行特定的控制(包括输入和输出)功能。
因此,当本发明参考特定示例描述时,该示例仅用于说明而不是限制本发明,对本领域中的那些普通技术人员来说显而易见地,对所披露的实施例可作改变、增加或者删除,而不脱离本发明的实质和范围。
Claims (56)
1.一种功能块实体,用在具有通信连接来控制一个或多个现场装置的处理器的过程环境中,该现场装置中的至少一个是可配置为许多不同的配置状态,该状态包括正常操作配置状态和至少一个非正常操作配置状态,该功能块实体包括:
计算机可读介质;和
功能块,存储在计算机可读介质上并适于在处理器上执行,该功能块包括:
输入,其适于接收来自过程环境内的输入信号,输入信号表示至少一个现场装置的配置状态;
检测单元,其连接到输入,检测何时该至少一个现场装置处于非正常操作配置状态;和
禁止逻辑,其当该至少一个现场装置处于非正常操作配置状态时,自动产生禁止信号,以禁止来自该至少一个现场装置的信号的进一步使用。
2.如权利要求1所述的功能块实体,其中禁止逻辑产生忽略信号,用于忽略来自该至少一个现场装置的进一步信号的使用。
3.如权利要求1所述的功能块实体,其中禁止逻辑产生无效信号,用于无效使用来自该至少一个现场装置的进一步信号进行的判定。
4.如权利要求1所述的功能块实体,其中功能块包括第二输入,用于接收来自该至少一个现场装置的进一步的信号。
5.如权利要求1所述的功能块实体,其中检测单元根据来自所述至少一个现场装置的输入信号,进一步检测何时所述至少一个现场装置从非正常操作配置状态进入正常操作配置状态,并且其中当所述至少一个现场装置处于正常操作配置状态时,禁止逻辑自动去除禁止信号,允许来自该至少一个现场装置的进一步信号的使用。
6.如权利要求1所述的功能块实体,其中所述至少一个现场装置包括写保护变量,该变量的状态一般控制何时所述至少一个现场装置能够在正常操作配置状态与非正常操作配置状态之间切换;其中功能块进一步包括存储配置改变指令的存储器,当写保护变量处于一般禁止所述至少一个现场装置在正常操作配置状态与非正常操作配置状态之间切换的状态中时,该配置改变指令使得该至少一个现场装置在正常操作配置状态与非正常操作配置状态之间转换;并且其中功能块包括指令发送器,向该至少一个现场装置发送配置改变指令,引起所述至少一个现场装置发生配置改变,而不用复位写保护变量。
7.如权利要求6所述的功能块实体,其中功能块包括日志,表示何时功能块向该至少一个现场装置发送配置改变指令。
8.如权利要求7所述的功能块实体,其中功能块包括另一日志,表示何时所述至少一个现场装置响应了从功能块接收的配置改变指令。
9.如权利要求1所述的功能块实体,其中输入适于接收符合HART通信协议的输入信号。
10.如权利要求1所述的功能块,其中在预定时间总量之后,禁止逻辑适于自动去除禁止信号。
11.根据权利要求10所述的功能块,其中进一步包括通知逻辑,通知用户用于第二预定时间总量的禁止信号已启动。
12.如权利要求10所述的功能块,其中进一步包括通知逻辑,在预定时间总量之后,禁止逻辑去除禁止信号之前,通知用户该禁止信号将被去除。
13.如权利要求1所述的功能块,进一步包括通知逻辑,通知用户对于预定时间总量禁止信号已启动。
14.一种用在过程环境中的过程控制***,包括:
现场装置,可配置的设置多种不同配置状态,包括正常操作配置状态和非正常操作配置状态,其中现场装置产生有关过程的信号;
通信链路;和
控制器,通过通信链路连接到现场装置,并适于使用有关过程的信号执行过程环境内的控制活动,该控制器包括:
处理器;
信号接收单元,其适于在处理器上执行,通过通信链路接收来自现场装置的一个或多个信号;
检测单元,其适于根据来自现场装置的一个或多个信号,检测何时现场装置处于非正常操作配置状态;和
禁止单元,其当现场装置处于非正常操作配置状态时,自动产生禁止信号,通过控制器在过程环境中执行控制活动,禁止来自与该现场装置有关过程信号的使用。
15.如权利要求14所述的过程控制***,其中检测单元进一步适于根据来自现场装置的一个或多个信号,检测何时现场装置从非正常操作配置状态进入正常操作配置状态;并且其中当现场装置处于正常操作配置状态时,禁止单元自动去除禁止信号,使能够由控制器进行来自现场装置有关过程信号的使用。
16.如权利要求14所述的过程控制***,其中现场装置为传感器。
17.如权利要求14所述的过程控制***,其中现场装置为由控制器控制的阀。
18.如权利要求14所述的过程控制***,其中控制器为安全***控制器,使用有关过程的信号来启动过程环境内的停机程序。
19.如权利要求14所述的过程控制***,其中现场装置包括写保护变量,该变量的状态一般控制何时现场装置能够在正常操作配置状态与非正常操作配置状态之间切换,并且其中控制器进一步包括存储配置改变指令的现场装置配置单元,当写保护变量处于一般禁止现场装置在正常操作配置状态与非正常操作配置状态之间切换的状态中时,该指令适于引起现场装置在正常操作配置状态与非正常操作配置状态之间转换。
20.如权利要求19所述的过程控制***,其中控制器或现场装置包括日志,记录何时控制器发送配置改变指令给现场装置。
21.如权利要求19所述的过程控制***,其中控制器或现场装置包括日志,记录何时现场装置在一个正常操作配置状态和非正常操作配置状态与另一个正常操作配置状态和非正常操作配置状态之间变化。
22.如权利要求1 9所述的过程控制***,其中控制器进一步包括逻辑,发送信号给现场装置配置单元,使得现场装置配置单元造成现场装置产生配置状态改变。
23.如权利要求14所述的过程控制***,其中现场装置的非正常操作配置状态为固定电流模式。
24.如权利要求23所述的过程控制***,其中现场装置遵守HART协议。
25.如权利要求14所述的过程控制***,其中禁止单元适于在预定时间总量后去除禁止信号。
26.如权利要求25所述的过程控制***,进一步包括通知逻辑,通知用户对于第二预定时间总量禁止信号已经启动。
27.如权利要求25所述的过程控制***,进一步包括通知逻辑,在预定时间总量之后,禁止单元去除禁止信号之前,通知用户将去除禁止信号。
28.如权利要求14所述的过程控制***,进一步包括通知逻辑,通知用户对于预定时间总量所述禁止信号已经启动。
29.一种用在过程环境中的控制***,具有现场装置和连接到现场装置的通信链路,该现场装置可配置为多种不同配置状态,包括正常操作配置状态和非正常操作配置状态,该控制***包括:
存储器;
处理器;
第一控制例程,其存储在存储器上,适于在处理器上执行,使用来自现场装置的第一信号来执行过程环境内的过程控制功能;和
第二例程,包括:
输入,其适于通过通信链路接收来自现场装置、表示现场装置配置状态的第二信号;
检测单元,其适于根据第二信号,检测何时现场装置处于非正常操作配置状态;和
禁止单元,其当现场装置处于非正常操作配置状态时自动产生禁止信号,并向第一控制例程提供该禁止信号,由第一控制例程禁止来自现场装置第一信号的使用。
30.如权利要求29所述的控制***,其中第二例程存储在存储器上,并适于在处理器上执行。
31.如权利要求29所述的控制***,进一步包括第二存储器和第二处理器,其中第二例程存储在第二存储器上,并适于在第二处理器上执行。
32.如权利要求29所述的控制***,其中检测单元进一步适于根据来自现场装置的第二信号,检测何时现场装置从非正常操作配置状态进入到正常操作配置状态中;并且其中当现场装置处于正常操作配置状态时,禁止单元适于自动去除来自第一控制例程的禁止信号,使能够由第一控制例程进行来自现场装置的第一信号的使用。
33.如权利要求32所述的控制***,其中第一控制例程为安全***控制例程,使用来自现场装置的第一信号来启动过程环境内的停机程序。
34.如权利要求29所述的控制***,其中禁止单元产生忽略信号作为禁止信号,使得在是否进行过程控制功能的评定中,第一控制例程不使用来自该现场装置的第一信号。
35.如权利要求29所述的控制***,其中禁止单元产生无效信号作为禁止信号,使得当控制例程内使用第一信号判定是否执行过程功能的逻辑表示过程控制功能应当执行时,第一控制例程不执行过程控制功能。
36.如权利要求29所述的控制***,其中该现场装置包括写保护变量,该变量的状态一般控制何时现场装置能够在正常操作配置状态与非正常操作配置状态之间切换;并且其中控制***进一步包括存储配置改变指令的第三例程,和将配置改变指令传送给现场装置的信号发送器,当写保护变量处于一般禁止现场装置在正常操作配置状态与非正常操作配置状态之间切换的状态中时,该配置改变指令引起现场装置在正常操作配置状态与非正常操作配置状态之间转换。
37.如权利要求36所述的控制***,其中第三例程通信地连接到第一控制例程,并适于响应于来自第一控制例程的控制信号,向现场装置传输配置改变指令。
38.如权利要求36所述的控制***,其中第三例程包括日志,记录何时第三例程给现场装置发送的配置改变指令。
39.如权利要求36所述的控制***,其中第二例程包括日志,响应于第三例程发送给现场装置的配置改变指令,记录何时现场装置在一个正常操作配置状态和非正常操作配置状态与另一个正常操作配置状态和非正常操作配置状态之间改变。
40.如权利要求29所述的控制***,其中禁止单元适于在预定时间总量后自动去除禁止信号。
41.如权利要求40所述的控制***,进一步包括时钟,确定预定的时间总量。
42.如权利要求40所述的控制***,进一步包括通知逻辑,在预定时间总量之后,禁止单元去除禁止信号之前,通知用户禁止信号将被去除。
43.如权利要求42所述的控制***,其中禁止单元使用户能够在禁止单元去除禁止信号之前,增加预定的时间总量。
44.如权利要求29所述的控制***,进一步包括通知逻辑,通知用户对于预定时间总量禁止信号已经启动。
45.一种用在过程环境控制器中的方法,用现场装置协调控制器内的逻辑,其中现场装置通过通信链路连接到控制器,并可配置设置为许多不同的配置状态,包括正常操作配置状态和非正常操作配置状态,该方法包括:
接收来自现场装置的第一信号,并使用第一信号执行与过程环境有关的控制功能;
通过通信链路接收来自现场装置的第二信号,该信号表示现场装置的配置状态;
根据来自现场装置的第二信号,检测何时现场装置处于非正常操作配置状态;和
当现场装置处于非正常操作配置状态时,自动禁止执行控制功能中第一信号的使用。
46.如权利要求45所述的方法,其中检测进一步包括根据来自现场装置的第二信号,检测何时现场装置从非正常操作配置状态进入正常操作配置状态;并且其中自动禁止包括当现场装置处于正常操作配置状态时,自动允许执行控制功能中第一信号的使用。
47.如权利要求45所述的方法,其中控制功能为安全***控制功能,使用来自现场装置的第一信号启动过程环境内的停机程序。
48.如权利要求45所述的方法,其中现场装置包括写保护变量,该变量的状态一般控制何时现场装置能够在正常操作配置状态与非正常操作配置状态之间切换;并且其中该方法进一步包括存储配置改变指令,当写保护变量处于一般禁止现场装置在正常操作配置状态与非正常操作配置状态之间切换的状态中时,该配置改变指令适于引起现场装置在正常操作配置状态与非正常操作配置状态之间转换,并发送配置改变指令给现场装置,使得现场装置发生配置改变而不用复位写保护变量。
49.如权利要求48所述的方法,进一步包括存储日志,该日志表示何时控制器发送配置改变指令给现场装置。
50.如权利要求48所述的方法,进一步包括存储日志,该日志表示何时现场装置响应从控制器接收的配置改变指令。
51.如权利要求45所述的方法,其中自动禁止执行控制功能中的第一信号的使用,包括产生忽略信号,该信号使得用来判定是否执行控制功能的逻辑在评定是否执行控制功能中不使用第一信号。
52.如权利要求45所述的方法,其中自动禁止执行控制功能中的第一信号的使用包括产生禁止信号,当使用第一信号判定是否执行控制功能的逻辑表示控制功能应当执行时,该信号使得用来执行控制功能的逻辑不执行控制功能。
53.如权利要求45所述的方法,其中自动禁止包括在预定时间总量后自动允许执行控制功能中第一信号的使用。
54.如权利要求53所述的方法,其中自动禁止包括使用时钟来确定预定的时间总量。
55.如权利要求53所述的方法,其中自动禁止包括在预定时间总量之后,预定时间总量后且自动允许第一信号的使用来执行控制功能之前,通知用户将允许第一信号执行控制功能。
56.如权利要求55所述的方法,其中自动禁止包括在预定时间总量后,自动允许使用第一信号执行控制功能之前,使用户能够增加预定的时间总量。
57.如权利要求45所述的方法,其中自动禁止包括在预定时间总量之后,通知用户已经防止使用第一信号来执行控制功能。
Applications Claiming Priority (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US10/404,156 US6898542B2 (en) | 2003-04-01 | 2003-04-01 | On-line device testing block integrated into a process control/safety system |
| US10/404,156 | 2003-04-01 | ||
| US10/668,013 | 2003-09-22 | ||
| US10/668,013 US7010450B2 (en) | 2003-04-01 | 2003-09-22 | Coordination of field device operations with overrides and bypasses within a process control and safety system |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1570793A true CN1570793A (zh) | 2005-01-26 |
| CN100485557C CN100485557C (zh) | 2009-05-06 |
Family
ID=32302480
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB200410071407XA Expired - Lifetime CN100485557C (zh) | 2003-04-01 | 2004-04-01 | 过程控制和安全***内用无效和忽略协调现场装置操作 |
Country Status (5)
| Country | Link |
|---|---|
| JP (1) | JP4511861B2 (zh) |
| CN (1) | CN100485557C (zh) |
| DE (1) | DE102004015616B4 (zh) |
| GB (1) | GB2403819B (zh) |
| HK (1) | HK1071609A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104281121A (zh) * | 2013-07-11 | 2015-01-14 | 横河电机株式会社 | 现场装置和数据处理方法 |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7130703B2 (en) | 2003-04-08 | 2006-10-31 | Fisher-Rosemount Systems, Inc. | Voter logic block including operational and maintenance overrides in a process control system |
| DE102008019195A1 (de) | 2008-04-17 | 2009-10-29 | Beckhoff Automation Gmbh | Verfahren zum Betreiben einer Sicherheitssteuerung und Automatisierungsnetzwerk mit einer solchen Sicherheitssteuerung |
| GB2460024B (en) * | 2008-05-12 | 2013-10-16 | Rolls Royce Plc | Developments in or relating to system prognostics |
| DE102008038912B4 (de) * | 2008-08-13 | 2021-05-06 | Phoenix Contact Gmbh & Co. Kg | Steuerungsvorrichtung zur Kleinsteuerung eines sicherheitsrelevanten Funktionsbausteins |
| DE102010025515A1 (de) * | 2010-06-29 | 2011-12-29 | Phoenix Contact Gmbh & Co. Kg | Kommunikationssystem zum Verbinden von Feldgeräten mit einer überlagerten Steuereinrichtung |
| US9239576B2 (en) * | 2012-02-17 | 2016-01-19 | Fisher-Rosemount Systems, Inc. | Methods and apparatus to apply multiple trip limits to a device in a process control system |
| FR3005142B1 (fr) * | 2013-04-24 | 2015-05-22 | Dalkia France | Systeme et procede de controle d'une installation sous pression, et installation equipee d'un tel systeme |
| US11656594B2 (en) | 2019-10-22 | 2023-05-23 | Fisher-Rosemount Systems, Inc. | Technologies for configuring voting blocks associated with a process control system |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US4427620A (en) * | 1981-02-04 | 1984-01-24 | Westinghouse Electric Corp. | Nuclear reactor power supply |
| JPS57189213A (en) * | 1981-05-18 | 1982-11-20 | Hitachi Ltd | Monitoring method of process state |
| JPS5991507A (ja) * | 1982-11-16 | 1984-05-26 | Toshiba Corp | プロセス制御システム |
| JPH062881U (ja) * | 1992-06-11 | 1994-01-14 | 三菱電機株式会社 | プラント監視装置 |
| US5768119A (en) | 1996-04-12 | 1998-06-16 | Fisher-Rosemount Systems, Inc. | Process control system including alarm priority adjustment |
| US6448982B1 (en) | 1998-04-23 | 2002-09-10 | Siemens Energy & Automation, Inc. | System for graphically generating logic for a cause and effects matrix |
| JP2000047724A (ja) * | 1998-07-24 | 2000-02-18 | Toshiba Corp | 監視制御装置 |
| US6633782B1 (en) | 1999-02-22 | 2003-10-14 | Fisher-Rosemount Systems, Inc. | Diagnostic expert in a process control system |
| DE19939567B4 (de) | 1999-08-20 | 2007-07-19 | Pilz Gmbh & Co. Kg | Vorrichtung zum Steuern von sicherheitskritischen Prozessen |
| DE29917651U1 (de) | 1999-10-07 | 2000-11-09 | Siemens Ag | Meßumformer sowie Prozeßleitsystem |
| US8671460B1 (en) | 2000-09-25 | 2014-03-11 | Fisher-Rosemount Systems, Inc. | Operator lock-out in batch process control systems |
| KR100408493B1 (ko) | 2001-05-07 | 2003-12-06 | 한국전력기술 주식회사 | 소프트웨어 공통유형고장을 자체 배제한 디지털원자로 보호시스템 및 그 제어방법 |
-
2004
- 2004-03-30 JP JP2004100803A patent/JP4511861B2/ja not_active Expired - Lifetime
- 2004-03-30 DE DE102004015616.6A patent/DE102004015616B4/de not_active Expired - Lifetime
- 2004-04-01 GB GB0407444A patent/GB2403819B/en not_active Expired - Lifetime
- 2004-04-01 CN CNB200410071407XA patent/CN100485557C/zh not_active Expired - Lifetime
-
2005
- 2005-04-08 HK HK05102936A patent/HK1071609A1/xx not_active IP Right Cessation
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104281121A (zh) * | 2013-07-11 | 2015-01-14 | 横河电机株式会社 | 现场装置和数据处理方法 |
| CN104281121B (zh) * | 2013-07-11 | 2017-09-22 | 横河电机株式会社 | 现场装置和数据处理方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| DE102004015616A1 (de) | 2004-11-04 |
| CN100485557C (zh) | 2009-05-06 |
| HK1071609A1 (en) | 2005-07-22 |
| GB2403819B (en) | 2007-01-10 |
| JP4511861B2 (ja) | 2010-07-28 |
| DE102004015616B4 (de) | 2022-03-17 |
| GB0407444D0 (en) | 2004-05-05 |
| GB2403819A (en) | 2005-01-12 |
| JP2004310767A (ja) | 2004-11-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7010450B2 (en) | Coordination of field device operations with overrides and bypasses within a process control and safety system | |
| EP2345015B1 (en) | System and method for improved coordination between control and safety systems | |
| JP4499436B2 (ja) | プロセス制御システムおよび安全システムを備えるプロセスプラントにおける統合型セキュリティ | |
| JP4963779B2 (ja) | プロセス制御システムおよび安全システムを備えるプロセスプラントにおける統合型コンフィギュレーション | |
| JP4557588B2 (ja) | プロセス制御システムにおける動作オーバライドおよびメンテナンスオーバライドを有する採決ロジックブロック | |
| RU2395830C2 (ru) | Технологическое устройство с супервизорной надстройкой | |
| TWI421786B (zh) | 用於工業自動化之可伸縮及彈性資訊安全 | |
| CN100472381C (zh) | 过程设备验证 | |
| JP2004234655A (ja) | プロセス制御システムおよび安全システムを備えるプロセスプラントにおける統合型診断 | |
| US20040193290A1 (en) | Function block implementation of a cause and effect matrix for use in a process safety system | |
| CN107950002A (zh) | 用于工业设备的防护密码管理的***和方法 | |
| RU2662571C2 (ru) | Система и способ отключения полевого устройства | |
| CN103914035A (zh) | 用于机器人组的可配置的安全监控装置和方法 | |
| CN100485557C (zh) | 过程控制和安全***内用无效和忽略协调现场装置操作 | |
| CA2706970A1 (en) | Electrical circuit with physical layer diagnostics system | |
| JP2007263442A (ja) | 空気調和機の故障診断システム | |
| CN103975371A (zh) | 用于对工作机进行控制的方法、***、以及装置 | |
| CN112698626A (zh) | 用于配置与过程控制***相关联的表决块的技术 | |
| CN103257629A (zh) | 对过程控制***中的设备应用多个触发限制的方法和装置 | |
| US11669391B2 (en) | Data processing procedure for safety instrumentation and control (IandC) systems, IandC system platform, and design procedure for IandC system computing facilities | |
| CN114488963A (zh) | 由控制面板激活安全阀***的跳闸功能以实现安全状态 | |
| Solutions | Safety controls, alarms, and interlocks as IPLs | |
| KR20100018434A (ko) | 유지보수용 툴, 산업용 장치의 원격제어 시스템 및 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CX01 | Expiry of patent term | ||
| CX01 | Expiry of patent term |
Granted publication date: 20090506 |