DE102004003571B4 - Prozesssteuerungssystem mit eingebettetem Sicherheitssystem - Google Patents

Prozesssteuerungssystem mit eingebettetem Sicherheitssystem Download PDF

Info

Publication number
DE102004003571B4
DE102004003571B4 DE102004003571.7A DE102004003571A DE102004003571B4 DE 102004003571 B4 DE102004003571 B4 DE 102004003571B4 DE 102004003571 A DE102004003571 A DE 102004003571A DE 102004003571 B4 DE102004003571 B4 DE 102004003571B4
Authority
DE
Germany
Prior art keywords
security
process control
logic
card
communication bus
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE102004003571.7A
Other languages
English (en)
Other versions
DE102004003571A1 (de
Inventor
Gary K. Law
Michael G. Ott
Tom Aneweer
Kent A. Burr
Larry O. Jundt
Marty J. Lewis
Julian K. Naidoo
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fisher Rosemount Systems Inc
Original Assignee
Fisher Rosemount Systems Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fisher Rosemount Systems Inc filed Critical Fisher Rosemount Systems Inc
Publication of DE102004003571A1 publication Critical patent/DE102004003571A1/de
Application granted granted Critical
Publication of DE102004003571B4 publication Critical patent/DE102004003571B4/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B23/00Testing or monitoring of control systems or parts thereof
    • G05B23/02Electric testing or monitoring
    • G05B23/0205Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
    • G05B23/0259Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterized by the response to fault detection
    • G05B23/0267Fault communication, e.g. human machine interface [HMI]
    • G05B23/027Alarm generation, e.g. communication protocol; Forms of alarm
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/418Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM]
    • G05B19/4184Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM] characterised by fault tolerance, reliability of production system
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B23/00Testing or monitoring of control systems or parts thereof
    • G05B23/02Electric testing or monitoring
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F13/00Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
    • G06F13/10Program control for peripheral devices
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02PCLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
    • Y02P90/00Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
    • Y02P90/02Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Automation & Control Theory (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Human Computer Interaction (AREA)
  • Manufacturing & Machinery (AREA)
  • Quality & Reliability (AREA)
  • Safety Devices In Control Systems (AREA)
  • Hardware Redundancy (AREA)

Abstract

Prozesssteuerungssystem (12) mit einem eingebetteten Sicherheitsnetz, folgendes umfassend: einen Host-Computer, der ausgelegt ist, Prozesssteuerungs- und Sicherheitsnachrichten zu senden und zu empfangen; ein erstes Kommunikationsnetz (22); eine Steuerung (24, 26), die durch das erste Kommunikationsnetz (22) operativ mit dem Host-Computer verbunden und dazu ausgelegt ist, Prozessteuerungsfunktionalität zu leisten; und mehrere Eingabe/Ausgabe-(E/A-)Karten (28, 30, 32, 34, 36, 50, 52, 54, 56), die über ein zweites Kommunikationsnetz (100, 102) mit der Steuerung (24, 26) verbunden sind um einen ersten Prozesssteuerungs-/Sicherheitssteuerungsknoten (18, 20) zu definieren, wobei die mehreren E/A-Karten (28, 30, 32, 34, 36, 50, 52, 54, 56) umfassen: eine erste E/A-Karte (28, 30, 32, 34, 36), die für operative Kommunikation mit einem ersten prozesssteuerungsbezogenen Feldgerät ausgelegt ist; eine zweite E/A-Karte (50, 52, 54, 56), die für operative Kommunikation mit einem sicherheitsbezogenen Feldgerät ausgelegt ist, wobei die zweite E/A-Karte (50, 52, 54, 56) einen Prozessor (57) umfasst, der ein Sicherheitsmodul ausführt, um getrennt von der Prozesssteuerungsfunktionalität Sicherheitsfunktionalität zu implementieren, indem er das sicherheitsbezogene Feldgerät verwendet; und ein Nachrichtenverbreitungsgerät (70, 72), das mit der zweiten I/O-Karte über einen lokalen Kommunikationsbus (104, 106) operativ verbunden ist und das ausgebildet ist, eine Sicherheits-bezogene Nachricht, die mit einem zweiten Prozesssteuerungs-/Sicherheitssteuerungsknoten (18, 20) assoziiert ist, von der zweiten I/O-Karte (50, 52, 54, 56) über ein drittes Kommunikationsnetzwerk (74) weiterzuverbreiten.

Description

  • Die vorliegende Erfindung bezieht sich allgemein auf Sicherheitssysteme, die in Prozessanlagen verwendet werden und im Spezielleren auf ein Sicherheitssystem, das in einem Prozesssteuerungssystem einer Prozessanlage eingebettet oder darin integriert ist.
  • Prozesssteuerungssysteme, wie diejenigen, die in chemischen, Erdöl- oder anderen Prozessen eingesetzt werden, umfassen typischerweise einen oder mehrere Prozessrechner, die über analoge, digitale, oder kombinierte analoge/digitale Busse kommunikativ mit mindestens einem Host- oder Bedienerarbeitsplatzrechner und einem oder mehreren Feldgeräten gekoppelt sind. Die Feldgeräte, welche beispielsweise Ventile, Ventilstellglieder, Schalter und Messwertgeber (z. B. Temperatur-, Druck- und Fließgeschwindigkeitssensoren) sein können, erfüllen Aufgaben innerhalb der Prozessanlage, wie Öffnen und Schließen von Ventilen, und Messen von Prozessparametern. Die Prozessrechner empfangen Signale, die von den Feldgeräten durchgeführte Prozessmessungen und/oder andere die Feldgeräte betreffenden Informationen anzeigen, verwenden diese Informationen, um Steuerprogramme zu implementieren und dann Steuersignale zu erzeugen, die über die Busse an die Feldgeräte geschickt werden, um den Ablauf des Prozesses zu steuern. Informationen aus den Feldgeräten und den Rechnern werden typischerweise einer oder mehreren Anwendungen zur Verfügung gestellt, die vom Bedienerarbeitsplatzrechner ausgeführt werden, um einen Bediener in die Lage zu versetzen, irgendeine gewünschte Aufgabe im Hinblick auf den Prozess zu erfüllen, wie Konfigurieren des Prozesses, den momentanen Zustand des Prozesses zu überblicken, den Ablauf des Prozesses zu verändern, etc.
  • Darüber hinaus ist bei vielen Prozessen ein separates Sicherheitssystem vorgesehen, um signifikante sicherheitsbezogene Probleme innerhalb der Prozessanlage zu erfassen und Ventile automatisch zu schließen, Geräte stromfrei zu schalten, Durchflussmengen innerhalb der Anlage zu regeln, etc., wenn ein Problem auftritt, das in einer ernsthaften Gefahr in der Anlage, wie ein Auslaufen giftiger Chemikalien, eine Explosion, etc enden oder dazu führen könnte. Diese Sicherheitssysteme besitzen neben den Prozesssteuerungsrechnern typischerweise noch einen oder mehrere separate Rechner, die über separate, innerhalb der Prozessanlage angeordnete Busse oder Kommunikationsleitungen an die Feldgeräte angeschlossen sind. Die Sicherheitsrechner verwenden die Sicherheitsfeldgeräte, um Prozessbedingungen zu erfassen, die mit signifikanten Ereignissen zusammenhängen, wie die Position bestimmter Sicherheitsschalter oder Abschaltventile, Über- oder Unterlaufbedingungen im Prozess, den Betrieb wichtiger Stromerzeugungs- oder Steuergeräte, den Betrieb von Fehlererfassungsgeräten, etc., um dadurch „Ereignisse” innerhalb der Prozessanlage zu erfassen. Wird ein Ereignis erfasst, ergreift der Sicherheitsrechner irgendeine Maßnahme, um die schädliche Auswirkung des Ereignisses einzuschränken, wie Ventile zu schließen, Geräte abzuschalten, Abschnitte der Anlage stromfrei zu schalten, etc.
  • Eine Entkopplung zwischen Prozessrechnern und Sicherheitsrechnern wird als wichtig erachtet (und wird häufig durch geltende staatliche Richtlinien angeordnet), weil eine Verwendung eines Prozessrechners zur Durchführung von Sicherheitsaufgaben zum gleichzeitigen Ausfall der Sicherheits- und Prozesssteuerungsfunktionen führt, wenn der Prozessrechner ausfällt. Die Sicherheitsfunktionen werden jedoch dann am Kritischsten, wenn der Prozessrechner ausfällt, weil dabei der Prozess teilweise oder gänzlich außer Kontrolle ist.
  • Unglücklicherweise führte die Entkopplung zwischen den Prozess- und Sicherheitsrechnern in Prozessanlagen dazu, dass diese Systeme voneinander vollkommen getrennt sind. Im Ergebnis wird typischerweise eine unterschiedliche Kommunikationsstruktur verwendet, um diese unterschiedlichen Systeme innerhalb derselben Anlage einzusetzen, wobei unterschiedliche Konfigurationsanwendungen und Arbeitsplatzrechner verwendet werden, um diese separaten Systeme zu konfigurieren und zu überwachen. Aufgrund dieser Unterschiede wird typischerweise unterschiedliches Personal gebraucht, um Konfigurations- und Überwachungstätigkeiten im Hinblick auf diese unterschiedlichen Systeme durchzuführen, was insgesamt zu zusätzlichen Kosten beim Konfigurieren und Betreiben einer Prozessanlage führt, die ein Sicherheitssystem verwendet.
  • Da darüber hinaus Sicherheitssysteme nicht die Prozesssteuerungssysteminfrastruktur verwenden, wird häufig innerhalb ein und derselben Prozessanlage eine unterschiedliche und vollständig unzusammenhängende Sicherheitssystemhardware an unterschiedlichen Stellen wie etwa unterschiedlichen Knoten verwendet. Dies führt zu einer Anzahl von unterschiedlichen und unzusammenhängenden Sicherheitssystemen in ein und derselben Anlage, die separat konfiguriert und überwacht werden müssen.
  • Aus der US 2004 021 0326 A1 ist ein Sicherheitssteuerungssystem (Safety Unit Controller System) mit eingebettetem Sicherheitsnetz bekannt, das einen Computer mit Host-Funktion, eine Steuerung, mehrere E/A-Karten mit bzw. ohne Sicherheitsfunktionalität und zugehörige Bussysteme umfasst.
  • Eine Prozessanlage umfasst ein Sicherheitssystem, das physikalisch auf eine Weise in ein Prozesssteuerungssystem integriert ist, die es ermöglicht, dass das Sicherheits- und das Prozesssteuerungssystem eine gemeinsame Hard- und Software für Kommunikation, Konfiguration und Anzeige in der Prozessanlage verwenden können, während sie immer noch eine funktionale Entkopplung zwischen den Sicherheitssystem- und den Prozesssteuerungssystemrechnern bereitstellen. Noch weiter darüber hinaus kann die Sicherheitssystemhardware an den unterschiedlichen Knoten einer Prozessanlage miteinander kommunizieren, um ein einziges und integriertes Sicherheitssystem innerhalb der Prozessanlage herzustellen.
  • Wie typisch ist, sind separate Sicherheitssystemrechner über eine Sicherheitskommunikationsinfrastruktur mit den Sicherheitsgeräten verbunden, während Prozesssteuerungssystemrechner über standardmäßige Steuerungssystembusse oder -kommunikationsleitungen mit Steuerungssystemfeldgeräten verbunden sind. Die Sicherheitssystemrechner sind jedoch über einen Bus oder eine andere Kommunikationsleitung kommunikativ mit den Prozesssteuerungssystemrechnern verbunden und jeweils über ein gemeinsames Kommunikationsnetz mit einem oder mehreren Bedienerarbeitsplatzrechnern innerhalb der Prozessanlage verbunden, wodurch es möglich ist, dass die Software in den Bedienerarbeitsplatzrechnern sowohl mit den Prozesssteuerungsrechnern (und damit zusammenhängenden Prozesssteuerungsfeldgeräten) als auch den Sicherheitssystemrechnern (und damit zusammenhängenden Sicherheitsfeldgeräten) kommunizieren und diese konfigurieren und deren Betrieb bildlich darstellen kann. Während jedoch die Sicherheitssystem- und Prozesssteuerungssystemrechner miteinander kommunizieren können, um dadurch Daten voneinander zu erhalten, sind sie so programmiert, dass die Prozesssteuerungssystemrechner keines der Sicherheitssystemgeräte steuern oder konfigurieren können, was für die notwendige funktionale Entkopplung zwischen sowohl dem Prozesssteuerungs- als auch dem Sicherheitssystem sorgt.
  • Diese Integration schafft den Bedarf nach einer zusätzlichen Kommunikations- und Anzeigestruktur innerhalb der Anlage aus der Welt, die, abgesehen vom Prozesssteuerungssystem nicht unbedingt für einen ordnungsgemäßen Betrieb des Sicherheitssystems gebraucht wird, und ermöglicht es einer mit der Prozessanlage zusammenhängenden Konfigurationsanwendung, sowohl das Prozesssteuerungs- als auch das Sicherheitssystem zu konfigurieren und die Hard- und Software sowohl der Prozess- als auch der Sicherheitssteuerung in einer gemeinsamen oder integrierten Ansicht der Prozessanlage anzuzeigen.
  • 1 ist ein Blockschema einer beispielhaften Prozessanlage mit einem in ein Prozesssteuerungssystem integrierten Sicherheitssystem;
  • 2 ist eine Bildschirmanzeige, die durch eine Konfigurationsanwendung in einem der Arbeitsplatzrechner von 1 generiert wurde und eine Konfigurationsansicht der Prozessanlage von 1 darstellt, die sowohl Prozesssteuerungssystem- als auch Sicherheitssystemgeräte zeigt;
  • 3 ist ein Blockschema mehrerer Sicherheitssystemrechner, die über ein erstes Kommunikationsnetz miteinander und zusätzlich über ein zweites und gemeinsames Kommunikationsnetz mit Prozesssteuerungssystemrechnern und Benutzeroberflächen verbunden sind; und
  • 4 ist eine Schemazeichnung, die einen Buszyklus eines nicht-hierarchischen (Peer-to-Peer) Busses darstellt, der im Sicherheitssystem der 1 und 3 verwendet wird.
  • Nun umfasst mit Bezug auf 1 eine Prozessanlage 10 ein Prozesssteuerungssystem 12, das mit einem (durch unterbrochene Linien angezeigtes) Sicherheitssystem 14 integriert ist, welches im Allgemeinen als sicherheitsinstrumentiertes System (SIS) arbeitet, um die vom Prozesssteuerungssystem 12 bereitgestellte Steuerung/Regelung zur Maximierung des wahrscheinlichen Sicherheitsbetriebs der Prozessanlage 10 zu überwachen und durch Override außer Kraft zu setzen. Die Prozessanlage 10 umfasst auch einen oder mehreren Host-Arbeitsplatzrechner, Computer oder Benutzeroberflächen 16 (die irgendeine Art von PC, Arbeitsplatzrechner, etc. sein können), auf die durch das Anlagenpersonal wie Prozesssteuerungsoperatoren, Wartungspersonal, Systemtechniker, etc. zugegriffen werden kann. In dem in 1 dargestellten Beispiel sind drei Benutzeroberflächen 16 gezeigt, die mit zwei separaten Prozesssteuerungs-/Sicherheitssteuerungsknoten 18 und 20 und mit einer Konfigurationsdatenbank 21 über eine gemeinsame Kommunikationsleitung oder einen gemeinsamen Kommunikationsbus 22 verbunden sind. Das Kommunikationsnetz 22 kann unter Verwendung einer beliebigen auf Bus basierenden oder nicht auf Bus basierenden Hardware implementiert sein, unter Verwendung einer beliebigen festverdrahteten oder drahtlosen Kommunikationsstruktur, und unter Verwendung eines beliebigen oder geeigneten Kommunikationsprotokolls wie einem Ethernet-Protokoll.
  • Allgemein ausgedrückt, umfasst jeder der Knoten 18 und 20 der Prozessanlage 10 sowohl Prozesssteuerungssystem- als auch Sicherheitssystemgeräte, die über eine Busstruktur miteinander verbunden sind, die auf einer Rückwandplatine vorgesehen werden kann, in der die verschiedenen Geräte befestigt sind. Der Knoten 18 ist in 1 als einen Prozessrechner 24 (welcher ein redundantes Rechnerpaar sein kann) sowie ein oder mehrere Eingabe-/Ausgabegeräte (E/A-Geräte) 28, 30 und 32 des Prozesssteuerungssystems umfassend dargestellt, während der Knoten 20 als einen Prozessrechner 26 (welcher ein redundantes Rechnerpaar sein kann) sowie ein oder mehrere E/A-Geräte 34 und 36 des Prozesssteuerungssystems umfassend dargestellt ist. Jedes der E/A-Geräte 28, 30, 32, 34 und 36 des Prozesssteuerungssystems ist kommunikativ mit einer Gruppe von prozesssteuerungsbezogenen Feldgeräten verbunden, die in 1 als Feldgeräte 40 und 42 dargestellt sind. Die Prozessrechner 24 und 26, die E/A-Geräte 2836 und die Prozesssteuerungsfeldgeräte 40 und 42 machen allgemein das Prozesssteuerungssystem 12 von 1 aus.
  • Ebenso umfasst der Knoten 18 einen oder mehrere Sicherheitssystemlogiklöser 50, 52, während der Knoten 20 Sicherheitssystemlogiklöser 54 und 56 umfasst. Jeder dieser Logiklöser 5056 ist ein E/A-Gerät mit einem Prozessor 57, der in einem Speicher abgespeicherte Sicherheitslogikbausteine 58 ausführt, und steht kommunikativ in Verbindung, um Steuersignale an die Feldgeräte 60 und 62 zu schicken und/oder Signale von diesen zu empfangen. Zusätzlich umfasst jeder der Knoten 18 und 20 mindestens ein Nachrichtenverbreitungsgerät (MPD – Message Propagation Device) 70 bzw. 72, welche über eine Ringbusverbindung 74 miteinander verbunden sind. Die Sicherheitssystemlogiklöser 5056, die Sicherheitssystemfeldgeräte 60 und 62, die MPDs 70 und 72 und der Bus 74 machen allgemein das Sicherheitssystem 14 von 1 aus.
  • Die Prozessrechner 24 und 26, bei denen es sich nur beispielhaft um Delta VTM-Rechner, die von Fisher-Rosemount Systems, Inc. vertrieben werden, oder irgendeine andere beliebige Art von Prozessrechnern handeln kann, sind so programmiert, dass sie eine Prozesssteuerungsfunktionalität (indem sie das verwenden, was allgemein als Steuerbausteine bezeichnet wird) unter Verwendung der E/A-Geräte 28, 30 und 32 (für den Rechner 24), der E/A-Geräte 34 und 36 (für den Rechner 26), und der Feldgeräte 40 und 42 bereitstellen. Insbesondere implementiert oder überwacht jeder der Rechner 24 und 26 ein oder mehrere darin gespeicherte oder anderweitig damit zusammenhängende Prozesssteuerungsprogramme und kommuniziert mit den Feldgeräten 40 und 42 und den Arbeitsplatzrechnern 16, um den Prozess 10 oder einen Teil des Prozesses 10 auf eine gewünschte Weise zu steuern/regeln. Die Feldgeräte 40 und 42 können jede beliebige Art von Feldgeräten sein, wie Sensoren, Ventile, Messwertgeber, Stellglieder, etc., und können jedem gewünschten offenen, geschlossenen oder anderen Kommunikations- oder Programmierprotokoll, einschließlich beispielsweise dem HART- oder dem 4–20 ma-Protokoll (wie für die Feldgeräte 40 dargestellt), jedem Feldbusprotokoll wie dem Protokoll Foundation Fieldbus (wie für die Feldgeräte 42 dargestellt), oder den CAN-, Profibus-, AS-Interface-Protokollen entsprechen, um nur einige wenige zu nennen. Ähnlich können die E/A-Geräte 2836 irgendeine bekannte Art von E/A-Geräten für die Prozesssteuerung sein, die irgendein geeignetes oder irgendwelche geeigneten Kommunikationsprotokolle verwendet/verwenden.
  • Die Sicherheitslogiklöser 5056 von 1 können eine beliebige Art von Sicherheitssystemsteuergeräten sein, die einen Prozessor 57 und einen Speicher umfassen, der Sicherheitslogikbausteine 58 speichert, die dazu ausgelegt sind, auf dem Prozessor 57 ausgeführt zu werden, um Steuerungsfunktionalität in Zusammenhang mit dem Sicherheitssystem 14 unter Verwendung der Sicherheitsfeldgeräte 60 und 62 bereitzustellen. Natürlich können die Sicherheitsfeldgeräte 60 und 62 eine beliebige Art von Feldgeräten sein, die irgendeinem bekannten oder gewünschten Kommunikationsprotokoll, wie den oben erwähnten, entsprechen oder dieses verwenden. Insbesondere können die Feldgeräte 60 und 62 sicherheitsbezogene Feldgeräte der Art sein, die herkömmlicher Weise von einem separaten, zweckgebundenen sicherheitsbezogenen Steuersystem gesteuert werden. In der in 1 dargestellten Prozessanlage 10 sind die Sicherheitsfeldgeräte 60 so dargestellt, dass sie ein zweckgebundenes oder Punkt-zu-Punkt-Kommunikationsprotokoll, wie das HART- oder 4–20 ma-Protokoll verwenden, während die Sicherheitsfeldgeräte 62 so dargestellt sind, dass sie ein Buskommunikationsprotokoll wie ein Fieldbus-Protokoll verwenden.
  • Eine gemeinsame Rückwandplatine 76 (angezeigt durch eine unterbrochene Linie durch die Rechner 24, 26, die E/A-Geräte 2836, die Sicherheitslogiklöser 5056 und die MPDs 70 und 72) wird in jedem der Knoten 18 und 20 verwendet, um die Rechner 24 und 26 an die E/A-Karten 28, 30 und 32 oder 34 und 36 der Prozesssteuerung sowie an die Sicherheitslogiklöser 52, 54 oder 56 und 58 und an die MPDs 70 oder 72 anzuschließen. Die Rechner 24 und 26 sind auch kommunikativ an den Bus 22 angeschlossen und wirken für diesen als Busarbitrator, um die E/A-Geräte 2836, die Logiklöser 5256 bzw. die MPDs 70 und 72 in die Lage zu versetzen, über den Bus 22 mit einem der Arbeitsplatzrechner 16 zu kommunizieren.
  • Wie klar wird, umfasst jeder der Arbeitsplatzrechner 16 einen Prozessor 77 und einen Speicher 78, der eine oder mehrere Konfigurations- und/oder Anzeigeanwendungen speichert, die dazu ausgelegt sind, auf dem Prozessor 77 ausgeführt zu werden. Eine Konfigurationsanwendung 80 und eine Anzeigeanwendung 82 sind in 1 in einer in ihre Einzelteile zerlegten Ansicht dargestellt, wie sie in einem der Arbeitsplatzrechner 16 abgespeichert sind. Jedoch könnten, falls gewünscht, diese Anwendungen in anderen als den Arbeitsplatzrechnern 16 oder in anderen zur Prozessanlage 10 gehörenden Computern abgespeichert sein und von diesen ausgeführt werden. Allgemein ausgedrückt stellt die Konfigurationsanwendung 80 einem Systemtechniker eine Konfigurationsinformation zur Verfügung und ermöglicht es ihm, einige oder alle Elemente der Prozessanlage 10 zu konfigurieren oder diese Konfiguration in der Konfigurationsdatenbank 21 zu speichern. Als Teil dieser von der Konfigurationsanwendung 80 durchgeführten Konfigurationstätigkeiten kann der Systemtechniker Steuerprogramme oder Steuerbausteine für die Prozessrechner 24 und 26 erstellen, kann Sicherheitslogikbausteine für irgendwelche bzw. alle der Sicherheitslogiklöser 5056 erstellen, und kann diese unterschiedlichen Steuer- und Sicherheitsbausteine über den Bus 22 und die Rechner 24 und 26 auf die geeigneten der Prozessrechner 24 und 26 und der Sicherheitslogiklöser 5056 herunterladen. Ähnlich kann die Konfigurationsanwendung 80 dazu verwendet werden, andere Programme und Logik zu erstellen und auf die E/A-Geräte 2836, irgendwelche der Feldgeräte 40, 42, 60 und 62, etc., herunterzuladen.
  • Umgekehrt kann die Anzeigeanwendung 82 dazu eingesetzt werden, einem Benutzer wie einem Prozesssteuerungsoperator, einem Sicherheitsoperator, etc., eine oder mehrere Anzeigen, falls das so gewünscht wird, entweder in gesonderten Ansichten oder in ein und derselben Ansicht bereitzustellen, welche Informationen über den Zustand des Prozesssteuerungssystems 12 und des Sicherheitssystems 14 beinhaltet. Beispielsweise kann die Anzeigeanwendung 82 eine Alarmanzeigeanwendung sein, die Alarmmeldungen empfängt und einem Bediener anzeigt. Falls gewünscht, kann solch eine Alarmanzeigeanwendung eine Form annehmen, wie sie im US-Patent Nr. 5,768,119 mit dem Titel „Process Control System Including Alarm Priority Adjustment” und der US-Patentanmeldung Nr. 09/707,580 mit dem Titel ”Integrated Alarm Display in a Process Control Network” offenbart ist. Es wird jedoch klar, dass die Alarmanzeige oder das Alarmbanner dieser Patente Alarme sowohl vom Prozesssteuerungssystem 12 als auch dem Sicherheitssystem 14 empfangen und in einer integrierten Alarmanzeige anzeigen kann, da die Alarme aus beiden Systemen 12 und 14 zum Bedienerarbeitsplatzrechner 16 geschickt werden, der die Alarmanzeigeanwendung ausführt, und werden als Alarme aus unterschiedlichen Geräten erkennbar sein. Gleichermaßen kann ein Bediener Sicherheitsalarme, die in einem Alarmbanner angezeigt werden, auf dieselbe Weise bearbeiten wie Prozesssteuerungsalarme. Beispielsweise kann der Bediener oder Benutzer Sicherheitsalarme quittieren, abschalten, etc., indem er die Alarmanzeige verwendet, die dann Nachrichten an die geeigneten Prozessrechner 24, 26 im Sicherheitssystem 14 schickt, indem sie Verbindungen über den Bus 22 und die Rückwandplatine 76 verwendet, um im Hinblick auf den Sicherheitsalarm die entsprechende Maßnahme zu ergreifen. Auf ähnliche Weise können andere Diagnoseanwendungen Diagnoseinformationen oder -daten aus dem Prozesssteuerungssystem 12 und dem Sicherheitssystem 14 anzeigen, weil diese Systeme dieselben Typen und Arten von Parametern, Schutz und Verweisen benutzen, so dass alle Daten aus einem der Systeme 12 und 14 in einer Anzeige oder Ansicht integriert werden können, die herkömmlicher Weise für ein Prozesssteuerungssystem vorgesehen ist.
  • Auf jeden Fall können die Anwendungen 80 und 82 separate Konfigurations- und andere Signale an jeden der Prozessrechner 24 und 26 schicken und von diesen sowie jedem der Sicherheitssystemlogiklöser 5056 empfangen. Diese Signale können Nachrichten auf Prozessebene umfassen, die sich auf die Steuerung der Betriebsparameter der prozesssteuerungsbezogenen Feldgeräte 40 und 42 beziehen, und können Nachrichten auf Sicherheitsebene umfassen, die sich auf die Steuerung der Betriebsparameter der sicherheitsbezogenen Feldgeräte 60 und 62 beziehen Während die Sicherheitslogiklöser 5056 so programmiert werden können, dass sie sowohl die Nachrichten auf Prozessebene als auch auf Sicherheitsebene erkennen können, sind die Sicherheitslogiklöser 5056 dazu in der Lage, zwischen den beiden Nachrichtenarten zu unterscheiden und können nicht durch Konfigurationssignale auf Prozessebene programmiert oder beeinflusst werden. In einem Beispiel können die an die Prozesssteuerungssystemgeräte verschickten Programmiernachrichten bestimmte Felder oder Adressen enthalten, welche von den Sicherheitssystemgeräten erkannt werden, und welche verhindern, dass diese Signale dazu verwendet werden, die Sicherheitssystemgeräte zu programmieren.
  • Falls gewünscht, können die Sicherheitslogiklöser 5056 im Vergleich zur Hardware- und Softwareauslegung, die für die E/A-Karten 2836 der Prozesssteuerung verwendet werden, dieselbe oder eine andere Hardware- oder Softwareauslegung verwenden. Der Einsatz von wechselnden Technologien für die Geräte im Prozesssteuerungssystem 12 und die Geräte im Sicherheitssystem 14 kann jedoch Hard- und Softwareausfälle minimieren oder ausschalten, die eine gemeinsame Ursache haben.
  • Darüber hinaus können die Sicherheitssystemgeräte einschließlich der Logiklöser 5056 können auch irgendwelche beliebigen Entkopplungs- und Schutztechniken benutzen, um die Wahrscheinlichkeit zu reduzieren oder auszuschalten, dass unberechtigte Änderungen an dadurch implementierten sicherheitsbezogenen Funktionen vorgenommen werden. Beispielsweise können die Sicherheitslogiklöser 5056 und die Konfigurationsanwendung 80 eine Person mit einem besonderen Berechtigungsgrad oder eine Person, die sich an einem besonderen Arbeitsplatzrechner befindet, auffordern, Änderungen an den Sicherheitsbausteinen in den Logiklösern 5056 vorzunehmen, wobei dieser Berechtigungsgrad oder diese Berechtigungsstelle sich vom Grad oder der Stelle der Berechtigung oder des Zugriffs unterscheidet, der/die erforderlich ist, um Änderungen an den von den Rechnern 24 und 26 und den E/A-Geräten 2836 durchgeführten Steuerfunktionen vorzunehmen. In diesem Fall haben nur diejenigen Personen, die in der Sicherheitssoftware benannt sind oder sich an Arbeitsplätzen befinden, die dazu berechtigt sind, Änderungen am Sicherheitssystem vorzunehmen, eine Berechtigung, sicherheitsbezogene Funktionen zu ändern, was die Gefahr minimiert, den Betrieb des Sicherheitssystems 14 zu verfälschen. Wie klar wird, können die Prozessoren in den Sicherheitslogiklösern 5056, um einen solchen Schutz oder eine solche Sicherung bereitzustellen, auf die eingehenden Nachrichten zugreifen und auf passende Form und Sicherung überprüfen, und als Wächter über Änderungen wirken, die an den Steuerbausteinen 58 auf Sicherheitsebene, die in den Sicherheitslogiklösern 5056 ausgeführt werden, vorgenommen werden.
  • Darüber hinaus kann, falls gewünscht, wenn sicherheitsbezogene Funktionen in den Logiklösern 5056 erst einmal freigegeben sind, keine Statusveränderung an den Sicherheitsfunktionen über die Bedienerarbeitsplatzrechner 14 ohne angemessene Zugriffsrechte vorgenommen werden, was es ermöglicht, dass die mit dem Prozesssteuerungssystem 12 zusammenhängende Kommunikationsstruktur dazu verwendet werden kann, eine Initialisierung für das Sicherheitssystem 14 und eine Ablaufliste des Betriebs des Sicherheitssystems 14 bereitzustellen, aber immer noch das Prozesssteuerungssystem 12 vom Sicherheitssystem 14 in dem Sinne zu entkoppeln, dass Veränderungen am Prozesssteuerungssystem 12 sich nicht auf den Betrieb des Sicherheitssystems 14 auswirken können.
  • Wie klar wird, ermöglicht es die Verwendung der Rückwandplatine 76 in jedem der Knoten 18 und 20 den Sicherheitslogiklösern 50 und 52 und den Sicherheitslogiklösern 54 und 56, lokal miteinander zu kommunizieren, um Sicherheitsfunktionen zu koordinieren, die von jedem dieser Geräte bewerkstelligt werden, um einander Daten mitzuteilen oder andere integrierte Funktionen zu erfüllen. Andererseits wirken die MPDs 70 und 72 so, dass sie es Teilen des Sicherheitssystems 14, die sich an äußerst unterschiedlichen Stellen der Anlage 10 befinden, ermöglichen, immer noch miteinander zu kommunizieren, um einen koordinierten Sicherheitsbetrieb an unterschiedlichen Knoten der Prozessanlage 10 bereitzustellen. Insbesondere ermöglichen es die MPDs 70 und 72 zusammen mit dem Bus 74, dass die Sicherheitslogiklöser, die mit den verschiedenen Knoten 18 und 20 der Prozessanlage 10 zusammenhängen, kommunikativ in Kaskadenschaltung miteinander verbunden sind, um für die Kaskadenschaltung von sicherheitsbezogenen Funktionen innerhalb der Prozessanlage 10 nach einer zugeteilten Priorität zu sorgen. Alternativ können zwei oder mehr sicherheitsbezogene Funktionen an unterschiedlichen Stellen innerhalb der Prozessanlage 10 verknüpft oder miteinander verbunden werden, ohne dass dabei eine zweckgebundene Leitung zu einzelnen Sicherheitsfeldgeräten innerhalb der gesonderten Bereiche oder des Knotens der Anlage 10 verlegt werden müsste. Anders ausgedrückt ermöglicht es der Einsatz der MPDs 70 und 72 und des Busses 74 einem Systemtechniker, ein Sicherheitssystem 14 zu entwerfen und konfigurieren, das von der Art her über die gesamte Prozessanlage 10 verteilt ist, dessen unterschiedlichen Komponenten aber kommunikativ miteinander verbunden sind, um es der verschiedenen sicherheitsbezogenen Hardware zu ermöglichen, wie erforderlich miteinander zu kommunizieren. Dieses Merkmal sorgt auch für eine Skalierbarkeit des Sicherheitssystem 14, indem es ermöglicht, dass zusätzliche Logiklöser dem Sicherheitssystem 14 hinzugefügt werden können, wenn sie benötigt werden, oder wenn der Prozessanlage 10 neue Prozesssteuerungsknoten hinzugefügt werden.
  • 2 stellt eine Bildschirmmaske 83 dar, die durch das Konfigurationsprogramm 80 von 1 erzeugt werden kann, und die eine Konfigurationsdarstellung veranschaulicht, bei der das Sicherheitssystem 14 (einschließlich der Logiklöser und der Sicherheitsfeldgeräte) mit dem Prozesssteuerungssystem 12 integriert ist. Es wird klar, dass die Konfigurationsbildschirmmaske 83 von 2 die Art und Weise darstellt, in der die Konfigurationsanwendung 80 die mit den verschiedenen Geräten innerhalb der Prozessanlage 10 zusammenhängende Software konfiguriert hat und von einem Systemtechniker dazu verwendet werden kann, um die gegenwärtige Konfiguration der Prozessanlage zu erstellen oder zu verändern, indem eine neue Konfigurationssoftware auf die Geräte innerhalb der Prozessanlage 10, einschließlich der Prozesssteuerungssystem- und Sicherheitssystemgeräte heruntergeladen wird.
  • Wie in der Bildschirmmaske 83 dargestellt ist, umfasst die Prozessanlage 10 einen physikalischen Netzabschnitt 84, der zur Anzeige der physikalischen Verknüpfungen der Geräte innerhalb der Prozessanlage 10 verwendet wird, und einen Sicherheitsnetzabschnitt 85, der zum Konfigurieren von Sicherheitssystemgeräten verwendet wird. Der physikalische Netzabschnitt 84 umfasst einen Steuernetzabschnitt 86 mit einem Rechner 87 (CTRL1 genannt). Der Rechner 87, bei dem es sich um einen der Rechner von 1 handeln kann, umfasst eine Gruppe zugeteilter Bausteine 88, welche Steuerbausteine sind, die im Rechner 87 gespeichert sind und von diesem ausgeführt werden, und einen E/A-Geräteabschnitt 89, der zu Kommunikationszwecken an den Rechner 87 angeschlossen ist. Der E/A-Geräteabschnitt 89 ist erweitert, um alle Karten 90 darzustellen, die an den Rechner 87 (CTRL1) über eine der Rückwandplatinen 76 von 1 angeschlossen sind. In diesem Beispiel umfasst der E/A-Geräteabschnitt 89 Eingabe-/Ausgabekarten C01–C05, C11–C15 und C21 der Prozesssteuerung. Jede dieser Karten kann erweitert werden, um die Kennung der unterschiedlichen Feldgeräte oder andere damit zusammenhängende Informationen darzustellen (welche Feldgeräte einzelne der Feldgeräte 40 und 42 von 1 sind), die an jede dieser Karten angeschlossen sind. Auf ähnliche Weise sind zur Darstellung der physikalischen Anschlüsse zwei Sicherheitssystemkarten C07 (BLR1BMS genannt) und CO17 (noch nicht konfiguriert) dargestellt. Diese Karten sind in schraffiertem Format dargestellt und können in diesem Abschnitt nicht erweitert werden, weil sie nicht in und durch das Steuernetz konfiguriert werden können. Aber, wie klar wird, können die Geräte, die mit dem Prozesssteuerungssystem 12 zusammenhängen, unter Verwendung des Steuernetzabschnitts 86 der Bildschirmmaske 83 konfiguriert werden, indem Steuerbausteine, E/A-Geräte und/oder Feldgeräte in diesem Abschnitt der Konfigurationsdarstellung hinzugefügt, gelöscht oder verändert werden.
  • Das Sicherheitssystem 14 ist im Sicherheitsnetzabschnitt 85 der Bildschirmmaske 83 als drei Sicherheitslogiklöser 9193 umfassend dargestellt, die als BLR1BMS, BLR2BMS und LS1 bezeichnet sind. Gleichermaßen können, falls gewünscht, Nachrichtenverbreitungsgeräte (wie die MPDs 70 und 72 von 1) im Sicherheitsnetzabschnitt 85 dargestellt sein. In der Bildschirmmaske 83 ist der Sicherheitslogiklöser 91 erweitert, um darzustellen, dass er zugewiesene Sicherheitsbausteine, einen oder mehrere Kanäle (die an die Sicherheitsfeldgeräte wie die Geräte 60 und 62 von 1 angeschlossen sind) und Schutzparameter enthält. Jedes dieser Elemente könnte in diesem Abschnitt der Bildschirmmaske 83 weiter angezeigt, hinzugefügt, gelöscht oder verändert werden, um dadurch das Sicherheitssystem 14 zu konfigurieren. Insbesondere kann das Sicherheitssystem 14 unter Verwendung des Sicherheitsnetzabschnitts 85 auf eine ähnliche Weise konfiguriert und modifiziert werden wie das Konfigurieren des Prozesssteuerungsnetzes 12 unter Verwendung des Steuernetzabschnitts 86. Wie klar wird, können nämlich Steuer- und Sicherheitsbausteine erstellt und jedem dieser unterschiedlichen Steuer- und Sicherheitssysteme zugewiesen werden, indem das Verfahren zum Konfigurieren eines Prozesssteuerungssystems verwendet wird, wie es im US-Patent Nr. 5,838,563 beschrieben ist, welches dem Übernehmer dieses Patents zugeteilt ist. Allgemein ausgedrückt können jedoch Sicherheitslogikbausteine aus Bausteinvorlageobjekten erstellt werden, die in einer Konfigurationsbibliothek gespeichert und dazu ausgelegt sind, in einem speziellen Sicherheitslogiklöser zum Einsatz zu kommen, um Sicherheitsfunktionen im Hinblick auf spezielle Sicherheitsfeldgeräte innerhalb der Prozessanlage 10 zu erfüllen. Um einen Sicherheitslogikbaustein zu erstellen, kann ein Sicherheitstechniker eine spezielle Steuervorlage kopieren (die dazu verwendet werden kann, um sowohl in Prozessrechnern ablaufende Prozesssteuerungsbausteine als auch in Sicherheitslogiklösern ablaufende Sicherheitslogikbausteine zu erstellen), um einen bestimmten Sicherheitslogikbaustein zu erstellen, und kann diesen Sicherheitslogikbaustein einem bestimmten Sicherheitselement, wie einem der Sicherheitslogiklöser zuweisen, indem dieser Sicherheitslogikbaustein durch Drag-and-Drop unter eine Anzeige des gewünschten Sicherheitslogiklösers in der Konfigurationsbildschirmmaske 83 von 2 verschoben wird. Bei der Implementierung des offenbarten Systems entsteht eine neue Benutzerrolle als Sicherheitstechniker. Beim Konfigurieren des Sicherheitssystems kann der Systemtechniker, der den Prozesssteuerungsabschnitt leitet, nicht die geeigneten Rechte haben, um Sicherheitsbausteine zu konfigurieren, und somit wird eine Konfiguration der Sicherheitsbausteine von einem Sicherheitstechniker durchgeführt. Somit lässt ein Schutz innerhalb des Systems die Berufsbeschreibung gesonderter Sicherheits- und Systemtechniker zu.
  • In einem besonderen Beispiel kann ein Sicherheitstechniker Sicherheitslogiklöser unter dem Sicherheitsnetzabschnitt 85 hinzufügen, indem eine (nicht gezeigte) Menüoption „Add Logic Solver” aus einem Sicherheitsnetzmenü gewählt wird (welches zum Beispiel ein Pop-up-Menü oder ein Pull-down-Menü sein kann). Dabei wird ein Logiklöser mit dem nächsten verfügbaren Systemnamen unter dem Sicherheitsnetz 85 erstellt. Automatisch erstellte Systemnamen können beispielsweise mit LS1 beginnen, können aber auch zu irgendeinem allgemein unverwechselbaren Namen im Konfigurationssystem für die Prozessanlage 10 umbenannt werden. 2 stellt den Fall dar, bei dem zwei Logiklöser umbenannt wurden und einer (LS1) nicht umbenannt wurde. An diesem Punkt ist der Logiklöser immer noch ein Platzhalter, der nicht an einen physikalischen Logiklöser gebunden ist. Danach kann der Benutzer einen Logiklöser durch Drag-and-Drop von unter dem physikalischen Netzabschnitt 84 auf den Sicherheitsnetzabschnitt 85 verschieben, um einen bestimmten physikalischen Logiklöser an den erstellten Platzhalter zu binden. Wenn ein bestimmter Logiklöser unter dem Sicherheitsnetzabschnitt 85 erst einmal gebunden ist, erfolgen an dem und auf den speziellen physikalischen Logiklöser heruntergeladene Konfigurationsveränderungen, wie unter dem physikalischen Netzabschnitt 84 spezifiziert ist. Darüber hinaus kann, wenn einmal gebunden, der Logiklöser unter dem Sicherheitsnetzabschnitt 85 den physikalischen Pfad in Klammern und der Logiklöser unter dem physikalischen Netzabschnitt 84 den Logiklösernamen in Klammern anzeigen. In 2 sind das Sicherheitslogikgerät 91 und die Karte CO7 auf diese Weise aneinander gebunden.
  • Falls gewünscht, kann ein Binden auch dadurch erfolgen, dass ein ungebundener Logiklöser unter dem Sicherheitsnetzabschnitt 85 zu einem ungebundenem Logiklöser unter dem physikalischen Netzabschnitt 84 gezogen werden kann, oder ein ungebundener Logiklöser unter dem physikalischen Netzabschnitt 84 unter den Sicherheitsnetzabschnitt 85 verschoben werden kann. In jedem Fall führt das Binden eines Platzhalters an einen physikalischen Logiklöser zu einem in Klammern gezeigten Bezug. Natürlich ist das Verschieben eines Platzhalters unter dem Sicherheitsnetzabschnitt 85 zu E/A unter einem Controller in einem Steuernetzabschnitt nicht unterstützt, so dass es nicht möglich ist, eine Logiklöserkarte unter einem E/A-Gerät des Prozessrechners zu erstellen. Dies sorgt für eine funktionale Trennung zwischen den Prozesssteuerungs- und den Sicherheitsgeräten. Niedrigrangigere Sicherheitselemente wie Sicherheitsfeldgeräte, Sicherheitsbausteine, Parameter, etc. können einem bestimmten Sicherheitslogiklöser zugewiesen oder an ihn gebunden werden, indem eine Anzeige dieser niedrigrangigeren Elemente an die geeignete Stelle der Bildschirmmaske 83 gesetzt wird.
  • 3 stellt die Kommunikationsverbindungen innerhalb und zwischen den Knoten 18 und 20 der Prozessanlage 10 ausführlicher dar. Allgemein ausgedrückt, sind die Bestandteile von 1, die in 3 dargestellt sind, mit denselben Bezugszahlen bezeichnet. Jedoch ist jeder der Prozessrechner 24 und 26 in 3 als ein redundantes Rechnerpaar 24A, 24B und 26A und 26B dargestellt, welche irgendwelche standardmäßigen Redundanztechniken verwenden können. Gleichermaßen ist jeder der Sicherheitslogiklöser 5056 als ein Gerätepaar mit einem primären Sicherheitslogiklöser 50A, 52A, 54A und 56A und einem sekundären Sicherheitslogiklöser 50B, 52B, 54B und 56B in jedem Paar dargestellt. Wie klar wird, ist jedes Paar der Sicherheitslogiklöser 5056 an (in 2 nicht dargestellte) Sicherheitsfeldgeräte angeschlossen und kann dieselben Sicherheitslogikbausteine 58 zur Verwendung bei der Erfüllung von Sicherheitsfunktionen innerhalb des Sicherheitssystems 14 speichern. Jedes Paar der Sicherheitslogiklöser 5056 umfasst einen zweckgebundenen Bus 50C, 52C, 54C und 56C, der zwischen den primären und sekundären Logiklösern angeschlossen ist, um Steuerverbindungen zwischen dem Logiklöserpaar bereitzustellen. Die primären und sekundären Logiklöser lassen gleichzeitig Berechnungen ablaufen und führen sie durch, und die Ausgaben dieser beiden Geräte können über die geeigneten Busse 50C, 52C, 54C und 56C einander mitgeteilt und bestätigt werden. Falls gewünscht, kann das primäre Gerät eine Auswahllogik umfassen, die die Ausgabe des Paars der Sicherheitslogiklöser basierend auf der Ausgabe sowohl der primären als auch der sekundären Geräte bestimmt. Alternativ können irgendwelche beliebigen oder bekannten Redundanztechniken für die Logiklöserpaare 5056 verwendet werden. Darüber hinaus ist jeder der MPDs 70 und 72 als redundantes Gerätepaar 70A, 70B und 72A, 72B dargestellt, wobei die MPDs der verschiedenen Knoten 18 und 20 mit einem redundanten Paar von knotenübergreifenden Kommunikationsleitungen oder -bussen 74 verbunden sind. Während die Kommunikationsverbindungen zwischen nur zwei Knoten 18 und 20 in den 1 und 3 dargestellt sind, wird klar, dass nur ein einziges oder ein redundantes Paar von MPDs in beliebig vielen unterschiedlichen Knoten der Prozessanlage 10 angeordnet und miteinander in einer Ringbusstruktur verbunden sein kann, um auf irgendeine gewünschte Weise knotenübergreifende Verbindungen bereitzustellen. Obwohl im Allgemeinen aber nicht unbedingt) ein Ringbuskommunikationsaufbau verwendet wird, werden die MPDs des ersten Knotens mit den MPDs des zweiten Knotens verbunden, welcher mit den MPDs des dritten Knotens verbunden wird, usw., wobei die MPDs des letzten Knotens mit den MPDs des ersten Knotens, alle jeweils über den Ringbus 74, verbunden werden. Gibt es, wie in 1 dargestellt, nur zwei Knoten in der Prozessanlage 10, wird der aus den MPDs 72A und 72B des Knotens 20 austretende Bus 74 direkt an die Eingänge der MPDs 70A und 70B des Knotens 18 angeschlossen.
  • Zusätzlich zur Darstellung der Verbindung zwischen den Rechnern 24 und 26 und den Arbeitsplatzrechnern von 1, stellt 3 die Rückwandplatinen 76 ausführlicher dar. Insbesondere sind am Knoten 18 die Rechner 24A und 24B an die E/A-Geräte 28, 30 und 32, an die redundanten Paare der Sicherheitslogiköser 50A, 50B und 52A, 52B und an das redundante Paar der MPDs 70A und 70B über eine Schienenbuskommunikationsverbindung 100 angeschlossen, die vorzugsweise in der Rückwandplatine 76 angeordnet ist. Genauso sind am Knoten 20 die Rechner 26A und 26B an die E/A-Geräte 34 und 36, die Paare der Logiklöser 54A, 54B und 56A, 56B und an das redundante Paar der MPDs 72A und 72B über eine Schienenbuskommunikationsverbindung 102 angeschlossen, die in der Rückwandplatine 76 angeordnet ist. Die Rechner 24 und 26 verwenden die Schienenbusverbindungen 100 und 102, um Kommunikationsverbindungen zwischen den Arbeitsplatzrechnern 14 einerseits und den E/A-Geräten 28, 30, 32, 34 und 36 und den Sicherheitssystemlogiklösern 50, 52, 54, 56, 70 und 72 andererseits, sowie Kommunikationsverbindungen zwischen den E/A-Geräten 28, 30, 32, 34 und 36 einerseits und den Sicherheitslogiklösern 50, 52, 54, 56, 70 und 72 andererseits bereitzustellen. Anders ausgedrückt werden die Schienenbusleitungen 100 und 102 als Kommunikationsnetz verwendet, das es ermöglicht, dass die Sicherheitssystemgeräte innerhalb der Prozessanlage 10 mit den Prozesssteuerungssystemgeräten auf einer höheren Ebene integriert werden können, so dass dieselben Konfigurations- und Anzeigeanwendungen, die in den Arbeitsplatzrechnern 14 angeordnet sind, sowohl mit den Prozesssteuerungssystem- als auch den Sicherheitssystemgeräten kommunizieren, diese konfigurieren und Information von diesen anzeigen können.
  • Zusätzlich umfasst die Rückwandplatine 76, wie im Hinblick auf den Knoten 18 dargestellt ist, einen ersten nicht-hierarchischen oder P2P-Bus (P2P – Peer-to-Peer) 104A, der die Sicherheitssystemlogiklöser 50 und 52 jeweils mit dem primären MPD 70A verbindet, während ein zweiter P2P-Bus 104B die Sicherheitssystemlogiklöser 50 und 52 jeweils mit dem sekundären MPD 70B verbindet. Die ersten und zweiten P2P-Busse 104A und 104B sind lokale P2P-Busse, die lokale Kommunikationsverbindungen zwischen den Sicherheitslogiklösern in einer einzelnen Rückwandplatine 76 sowie dem MPD 70 bereitstellt, der zur Rückwandplatine 76 gehört oder mit ihr verbunden ist. Auf ähnliche Weise umfasst der Knoten 20 einen ersten nicht-hierarchischen Bus (P2P-Bus) 106A, der die redundanten Paare der Sicherheitssystemlogiklöser 54 und 56 jeweils mit dem primären MPD 72A verbindet, während ein zweiter P2P-Bus 106B jeweils die redundanten Paare der Sicherheitssystemlogiklöser 54 und 56 mit dem sekundären MPD 72B verbindet. Der erste und der zweite P2P-Bus 106A und 106B sind lokale P2P-Busse, die lokale Kommunikationsverbindungen zwischen den Sicherheitslogiklösern und dem MPD 72 in der Rückwandplatine 76 des Knotens 20 bereitstellen. Wie klar wird, stellen die ersten und zweiten P2P-Busse 104A, 104B, 106A und 106B redundante Kommunikationspfade zwischen allen sicherheitsbezogenen Logiklösern 5056 auf den jeweiligen Rückwandplatinen 76 bereit. Falls gewünscht, können die lokalen P2P-Busse 104 und 106 als Rundrufbusse wirken, indem jedes an den Bus angeschlossene Sicherheitslogiklöser- und MPD-Gerät die Übertragungen aller anderen Geräte auf dem Bus empfängt und immer nur ein Gerät senden kann. Während 3 zwei an jede der Rückwandplatinen 76 in den unterschiedlichen Knoten 18 und 20 angeschlossene Sicherheitslogiklöser darstellt, können natürlich beliebig viele Sicherheitslogiklöser, die redundante Logiklöserpaare oder alleinstehende Logiklöser sein können, an die Rückwandplatine 76 an jedem der Knoten 18 und 20 (und dadurch an den lokalen P2P-Bus 104 oder 106) angeschlossen werden.
  • Falls gewünscht, können sich die Sicherheitslogiklöser die lokalen P2P-Buseinrichtungen unter Verwendung einer Zeitvielfachzugriffsmethode (TDMA) teilen, wobei alle lokalen Sicherheitslogiklöser auf einer speziellen Rückwandplatine miteinander synchronisiert sind. In einem Fall können die lokalen P2P-Busse 104 und 106 ein RS485 Manchester-codiertes HDLC-Protokoll mit einem Durchsatz von beispielsweise 2 Mb/sec. verwenden. Dieses Manchester-Codierschema lässt die Leitung mit 4 Mb/s anfahren. Die angegebenen Geschwindigkeiten sind nur beispielhaft, da auch genauso andere geeignete Geschwindigkeiten und Codierschemata gewählt werden können. Darüber hinaus kann, falls gewünscht, jeder der lokalen Sicherheitslogiklöser auf einer speziellen Rückwandplatine seinen Übertragungszeitschlitz innerhalb des auf der Rückwandplatine 76 verwendeten TDMA-Schemas basierend auf seiner physikalischen Anordnung auf der Rückwandplatine 76 bestimmen oder zugeteilt bekommen, was die Anzahl an Konfigurationsschritten reduziert, die zum Installieren der Rückwandplatine 76 an einem bestimmten Knoten erforderlich sind. Noch weiter darüber hinaus können die ersten und zweiten P2P-Busse 104 und 106 der Rückwandplatinen 76 jede beliebige Nachrichtenart unterstützen, und die physikalischen Verknüpfungen für die lokalen P2P-Busse 104 und 106 können in der Rückwandplatine 76 liegen.
  • Die P2P-Fernbusse 74 verwenden vorzugsweise eine Ringtopologie, um zuzulassen, dass Daten zwischen Sicherheitslogiklösern, die sich an unterschiedlichen Knoten der Prozessanlage 10 befinden und deshalb auf unterschiedlichen Rückwandplatinen 76 angeordnet sind, übertragen werden können. Die MPDs 70 und 72 sind für die Verbreitung von Nachrichten um den Ring verantwortlich, der aus dem P2P-Fernbus 74 besteht, um Nachrichten unterzubringen, die aus einem Sicherheitslogiklöser auf derselben Rückwandplatine wie des MPDs 70 oder 72 zum Ring 74 geleitet werden, und um die Nachrichten, die sich im Ring 74 befinden und an einen Sicherheitslogiklöser auf derselben Rückwandplatine wie eines MPDs 70 oder 72 adressiert sind, zu eben diesem Sicherheitslogiklöser zu schicken. Während jede Anzahl an Nachrichten auf dem P2P-Fernbus 74 verbreitet werden kann, sieht eine Ausführungsform ein Maximum von zweiunddreißig (32) Nachrichten vor, die während jedes P2P-Buszyklus verbreitet werden sollen, Diese Nachrichten können von 1 bis 32 separaten und verschiedenen Sicherheitslogiklösern stammen, einschließlich der Sicherheitslogiklöser 5056 auf den Rückwandplatinen 76 der Knoten 18 und 20, sowie von irgendwelchen anderen Rückwandplatinen auf anderen Knoten in der Prozessanlage 10, die durch den Ringbus 74 miteinander verbunden werden. Als Ergebnis dieser Operation können jedoch alle Sicherheitslogiklöser im Sicherheitssystem 14 synchron arbeiten, selbst wenn sie sich an unterschiedlichen Knoten befinden, weil der Ringbus 74 eine Kommunikationsverbindung zwischen diesen Geräten bereitstellt, was ermöglicht, dass eine Synchronisation erzielt werden kann. Der Ringbus 74 kann jede gewünschte Art von Busstruktur und -protokoll einsetzen, verwendet aber vorzugsweise Punkt-zu-Punkt-Glasfaserkabel mit einem 10Base-T-Ethernet-Protokoll, welches eine Übertragungsrate von 10 Mb/sec. hat.
  • 4 veranschaulicht einen Impulsplan 300 für einen einzelnen Buszyklus 302, der auf den lokalen P2P-Bussen 104 und 106 verwendet wird, und der eine für die Art und Weise beispielhafte Impulssequenz darstellt, auf die die P2P-Nachrichten im Verhältnis zu anderen Aktivitäten im Sicherheitssystem 14 über den P2P-Bus verschickt werden. Der Buszyklus 302 reflektiert einen geeigneten Buszykluszeitrahmen oder eine geeignete Buszyklusdauer und wird in eine geeignete Anzahl von einzelnen Zeitschlitzen aufgeteilt, wobei jeder einzelne Zeitschlitz eine ausgewählte Länge hat. Alternativ können alle einzelnen Zeitschlitze dieselbe festgelegte Länge haben. Ein Fachmann wird sofort in der Lage sein, eine geeignete Buszyklusdauer und angemessene Zeitintervalle für die einzelnen Zeitschlitze je nach dem verwendeten Kommunikationsprotokoll und anderen bekannten Auslegungserwägungen wählen, Auf ähnliche Weise könnten außer TDMA-Verbindungen auch andere Arten von Buskommunikationen auf den P2P-Bussen 104 und 106 verwendet werden, falls das so gewünscht wird.
  • Allgemein ausgedrückt ist der Buszyklus 302 von 4 in eine Anzahl von einzelnen Zeitblöcken aufgeteilt. Gemäß dieses offenbarten Beispiels gibt es vier Zeitblöcke 304, 306, 308 und 310, jeder mit verschiedenen Anzahlen von Zeitschlitzen mit verschiedenen Längen. Im Buszyklus 302 von 4 umfasst der Zeitblock 304 einen geeignete Anzahl einzelner Zeitschlitze, wobei jeder Zeitschlitz eine geeignete Länge hat. Auf ähnliche Weise umfassen die Zeitblöcke 306, 308 und 310 jeweils eine geeignete Anzahl einzelner Zeitschlitze, wobei die Zeitschlitze der Zeitblöcke 306, 308 und 310 jeweils eine geeignete Länge haben. Die Anzahl und Länge der einzelnen Zeitschlitze in jedem der Zeitblöcke 304, 306, 308 und 310 kann basierend auf den Einzelheiten des Kommunikationsprotokolls gewählt werden, das vom Endbenutzer des Systems 14 gewählt wird. Allgemein ausgedrückt werden die den Zeitblöcken 304 zugeteilten Zeitschlitze nicht dazu verwendet, um irgendwelche besondere Nachrichten über den P2P-Bus 104 oder 106 zu verschicken. Während eines Abschnitts 312 des Zeitblocks 304 führen die Logiklöser auf dem Bus 104 oder 106 jedoch eine Eingabeabtastung durch (d. h. sie tasten Eingaben aus den daran angeschlossenen Feldgeräten 60 und 62 ab) und führen dann die Sicherheitslogikalgorithmen oder -bausteine in den Sicherheitslogiklösern aus. Natürlich können, da diese Aktivitäten die P2P-Busse 104 und 106 nicht verwenden, dem Zeitblock 304 alle Nachrichtenarten zugeteilt werden, solange diese Nachrichtenarten die Abtast- und Sicherheitssteuerungsaktivitäten nicht stören, die während dieser Zeitdauer stattfinden. Jedenfalls kann, wie in 4 angegeben ist, ein Zeitabschnitt 314 verwendet werden, um Synchronisationssignale zwischen redundanten Sicherheitslogiklöserpaaren zu verschicken, indem beispielsweise die Leitungen 50C, 52C, 54C und 56C von 3 verwendet werden. Auch werden während einer Zeitdauer 316 die einzelnen Sicherheitslogikbausteine in den Sicherheitslogiklösern auf den Bussen 104 und 106 ausgeführt und die Ausgänge dieser Sicherheitsbausteine berechnet und eingestellt.
  • Während des Zeitblocks 306 übertragen die Sicherheitslogiklöser auf dem Bus 104 oder 106 eine Satz Boolescher Datenwerte. Die Booleschen Datenwerte werden von den einzelnen Logiklösern generiert und sind vorzugsweise ein digitales Signal, das ein Ergebnis einer in den Logiklösern ablaufenden Logik angibt. In dem offenbarten Beispiel kann sich solch ein digitales Signal besonders für sicherheitsbezogene Unterbrechungsnachrichten eignen, die typischerweise im Sicherheitssystem 14 verwendet werden. Insbesondere wird jeder Sicherheitslogiklöser während der Blockzeitdauer 306 zum Durchführen dieser Tätigkeit mit einem oder mehreren Zeitschlitzen versehen, und jeder der anderen Sicherheitslogiklöser und jedes der MPD-Geräte auf dem Bus 104 oder 106 erhalten diese Übertragungen Boolescher Daten.
  • Während des dritten Zeitblocks 308 übertragen die Sicherheitslogiklöser ihre E/A-Ursprungsdatenwerte über den lokalen P2P-Bus 104 oder 106 in zugeteilten Zeitschlitzen. Einmal wieder empfängt jeder der anderen lokalen Sicherheitslogiklöser auf der entsprechenden Rückwandplatine 76 diese Übertragungen, während die MPDs diese ignorieren. Hat jedoch das MPD auf dem Bus 104 oder 106 eine Boolesche Nachricht mit einer allgemeingültigen Bestimmungsadresse erhalten (d. h. einer Bestimmungsadresse, die sich auf einer anderen Rückwandplatine befindet, die mit einem anderen Knoten der Prozessanlage 10 zusammenhängt) verpackt das MPD diese Nachricht mit anderen solcher allgemeingültigen Nachrichten und schickt die allgemeingültigen Nachrichten während der Zeitdauer 318 über den allgemeingültigen P2P-Bus 74 an das nächste MPD weiter. Während dieses Vorgangs schicken die MPDs auch (an das nächste MPD im Ring 74) irgendwelche von anderen MPDs, die sich vorher im Ring befinden, eingegangene Nachrichten weiter. Ein MPD hört mit dem Weiterschicken einer Nachricht auf, wenn es Datenwerte sieht, die von lokaler Herkunft sind.
  • Während des Zeitblocks 310 verbreitet das MPD allgemeingültige Nachrichten (Nachrichten, die über den Bus 74 von anderen entfernt angeordneten Rückwandplatinen zum MPD kommen) an diejenigen Sicherheitslogiklöser über den Bus 104 und 106, welche an die Sicherheitslogiklöser adressiert sind. Da diese allgemeingültigen Nachrichten zuvor vom MPD auf der entfernt angeordneten Rückwandplatine in eine einzige Nachricht gepackt wurden, kann ein einziger und relativ großer Zeitschlitz erforderlich sein.
  • Wie klar wird, sind die MPDs verantwortlich für das Verbreiten allgemeingültiger Boolescher Nachrichten von den Sicherheitslogiklösern auf jeder Rückwandplatine an andere Sicherheitslogiklöser auf anderen Rückwandplatinen, die den Ringbus 74 verwenden. Die MPDs können jedoch dazu eingesetzt werden, die Kommunikationsaktivität auf den lokalen P2P-Bussen 104 und 106, den P2P-Fernbussen 74 und den Sende- oder Empfangsabschnitt der entsprechenden Schienenbusse 100 zu überwachen. Falls gewünscht, ist das erste MPD (z. B. 70A oder 72A) an den entsprechenden ersten lokalen P2P-Bus 104A oder 106A, an den ersten P2P-Fernbus 74A und die Übertragungsseite der entsprechenden Schienenbusse 90 und 92 angeschlossen. Alternativ sind die zweiten MPDs 70B und 72B an die entsprechenden zweiten lokalen P2P-Busse 104B bzw. 106B, den zweiten P2P-Fernbus und die Empfangsseite der Schienenbusse 100 und 102 angeschlossen. Auf diese Weise können die MPDs jegliche Aktivität auf den Schienenbussen 100 und 102 und den lokalen und P2P-Fernbussen 104, 106 und 74 überwachen. Falls gewünscht, können die MPDs alle Nachrichten sammeln und zeitprotokollieren, bevor sie sie beispielsweise auf dem Bus 74 unter Verwendung eines 10BaseT-Ethernet-Überwachungsports verschicken. Es kann ein externer Ethernet-Paketschnüffler verwendet werden, um alle Nachrichten, die vom Überwachungsport kommen, festzuhalten und zu visualisieren. In einem Beispiel kann jede der Rückwandplatinen 76 zweiunddreißig (32) sicherheitsbezogene E/A-Karten und zwei (2) Nachrichtenverbreitungsgeräte (MPDs) tragen.
  • Die Herkunftsadresse für die verschiedenen Sicherheitslogikgeräte und MPDs kann aus Schienenbusnachrichten abgeleitet werden, kann aus einer Rückwandplatinen-ID (BPID – backplane ID), die an jedem Knoten gleich, aber innerhalb der Prozessanlage einzigartig ist, und einer Schlitz-ID (SID – slot-ID) bestehen, die sich von Knoten zu Knoten wiederholen kann, aber innerhalb eines Knotens einzigartig ist. Auch können die Sicherheitslogiklöser ihre Sendezeitschlitze (relativ zu anderen Geräten) im lokalen P2P-Bus 104 oder 106 aus ihrer SID ableiten. Falls gewünscht, können die Rückwandplatinen an verschiedenen Knoten miteinander auf innerhalb 10 ms synchronisiert werden.
  • Vorzugsweise werden Nachrichten über den P2P-Fernbus 74 in der Reihenfolge übertragen, in der sie empfangen werden, und werden nur während des Dateneingangsabschnitts 308 eines P2P-Buskommunikationszyklus als Gruppe verschickt. Falls gewünscht, können die Sicherheitslogiklöser in angrenzenden Schlitzen, beispielsweise die Logiklöser 50A und 50B, basierend auf Ihrer Position in der Rückwandplatine 76 automatisch so konfiguriert werden, dass sie redundant und das primäre oder sekundäre redundante Gerät sind. Der Redundanzbus 50C, 52C, etc., kann in der Rückwandplatine 76 angeordnet werden, um das Paar redundanter Geräte zu verbinden. Allgemein ausgedrückt, überträgt der aktive oder primäre Sicherheitslogiklöser die allgemeingültigen Booleschen Nachrichten, wenn er dazu konfiguriert ist, während der sekundäre oder im Bereitschaftszustand befindliche Sicherheitslogiklöser des redundanten Paars keine allgemeingültigen Booleschen Nachrichten überträgt, so dass die MPDs nur allgemeingültige Boolesche Nachrichten aus dem primären oder aktiven Sicherheitslogiklöser verbreiten. Selbstverständlich erhält der sekundäre oder im Bereitschaftszustand befindliche Sicherheitslogikläser in einem redundanten Paar seine Konfiguration vom aktiven oder primären Logiklöser über die Redundanzverbindung 50C, 52C, 54C oder 56C. Der im Bereitschaftszustand befindliche Sicherheitslogiklöser erhält seine Booleschen und E/A-Daten vom aktiven Gerät über die P2P-Verbindung 104 oder 106. Im Falle eines Umschaltens bei Ausfall (Umschalten zwischen dem aktiven und dem im Bereitschaftszustand befindlichen Sicherheitslogiklöser) wird der neu aktivierte Sicherheitslogikläser das Senden im selben Zeitschlitz auf dem lokalen P2P-Bus 104 oder 106 beginnen, der zuvor vom ausgefallenen aktiven Gerät benutzt wurde. Falls der aktive Sicherheitslogiklöser bei einer bestimmten Anzahl von Zeitschlitzen nicht überträgt, kann der im Bereitschaftszustand befindliche Sicherheitslogiklöser automatisch als aktiver Sicherheitslogiklöser übernehmen, der neue aktive Sicherheitslogiklöser wird aber in diesem Fall in seinem eigenen lokalen Zeitschlitz senden und nicht im Zeitschlitz des zuvor aktiven Sicherheitslogiklösers.
  • Die folgende Methodik kann verwendet werden, um die an einen lokalen P2P-Bus 104 oder 106 angeschlossenen Sicherheitslogiklöser zu synchronisieren. Zuerst werden die Geräte mit Strom versorgt und es werden die BPID und SID von der Rechnervorrichtung (welche den Schienenbus 100 oder 102 verwaltet) zugeteilt. Als Nächstes beginnen die Logiklöser, Pakete aus dem P2P-Bus 104 oder 106 zu empfangen und zu analysieren, indem sie Zeitschlitze verwenden, wie durch die SID bestimmt ist. Diese Tätigkeit wird eine „Warte bis zum Übertragen” lange Anzahl von Sekunden durchgeführt, welche sich berechnen lässt als: Warte bis zum Übertragen (sec) = ((64)(Zeitschlitzdauer)) + ((mein Zeitschlitz – 1)(Zeitschlitzdauer))
  • Gehen keine P2P-Buspakete ein, bevor die Sekunden „Warte bis zum Übertragen” verstrichen sind, überträgt der Sicherheitslogiklöser unverzüglich eine Nachricht „NICHT KONFIGURIERT” („NOT CONFIGURED”) an den lokalen P2P-Bus 104 oder 106. Erhält jedoch der Sicherheitslogiklöser ein oder mehrere Pakete während der Zeit „Warte bis zum Übertragen”, verwendet er die Zeit und den Zeitschlitz dieser Nachrichten, um die relative (zeitliche) Position seines eigenen Übertragungszeitschlitzes zu bestimmen.
  • Allgemein ausgedrückt, synchronisieren sich die MPDs auf einer Rückwandplatine auf den lokalen Bus 104 oder 106. In Abwesenheit eines Sichheitslogiklösers jedoch, welcher diese Synchronisierung bereitstellt, überträgt das MPD nicht auf dem lokalen P2P-Bus, und stimmt sich erst auf den lokalen Bus ein, wenn ein lokaler Sicherheitslogiklöser zu senden beginnt. Empfängt das MPD eine Nachricht von einem lokalen Sicherheitslogiklöser, kann es seinen Zeitschlitz bezüglich dieses Sicherheitslogiklösers bestimmen.
  • Obwohl das eingebettete Sicherheitssystem beliebig viele mögliche Nachrichtenstrukturen oder Kommunikationsprotokolle verwenden kann, kann die folgende Nachrichtenstruktur auf den lokalen P2P-Bussen 104 und 106 und dem P2P-Fernbus 74 verwendet werden.
  • Alle lokalen P2P-Busnachrichten umfassen im Allgemeinen drei grundlegende Teile, die einen Datenvorlauf umfassen, (z. B. 1 Byte), einen Daten- oder Nachrichtenteil (z. B. 129 Bytes) und einen Datennachlauf (z. B. 1 Byte). Die Datenvorlauf- und Nachlaufteil sind für eine Hardwaresynchronisierung vorgesehen, während der Datenteil die tatsächliche Nachricht enthält, die eine Bedeutung für eine bestimmte Adresse hat. Falls gewünscht, kann eine Hardwarebiteinfügung im Nachrichtenteil der Nachrichtenstruktur auf hoher Ebene erfolgen.
  • Allgemein ausgedrückt ist der Daten- oder Nachrichtenteil einer Nachricht in sieben Felder mit einer Gesamtlänge von bis zu einer maximal verfügbaren Länge für eine bestimmte Anwendung aufgeteilt. Beispielsweise kann es 138 verfügbare Bytes geben (einschließlich 11 Bytes der Protokollorganisation). Der Nachrichtenteil kann eine 2-Byte-Quellenadresse, eine 2-Byte-Bestimmungsadresse, ein 1-Byte-Typenfeld, ein 1-Byte-Gerätestatusfeld, ein 1-Byte-Längenfeld, ein 0- bis 128-Byte-Nachrichtenfeld und ein 4-Byte-CRC-Feld umfassen, welches zyklische Redundanzdaten bereitstellt.
  • Beispielsweise enthält in einer Verwendungsweise für diese Felder das Quellenadressenfeld die Adresse des Sendegeräts. Das hochrangigere Byte enthält die Rückwandplatinen-ID (BPID), also die Rückwandplatinenkennung, und das niedrigrangigere Byte enthält die Schlitz-ID (SID), also die Schlitzkennung. Bevor der Sicherheitslogiklöser keine konfigurierte QUELLENADRESSE hat, kann er auf dem lokalen P2P-Bus weder senden noch empfangen. Beim Hochfahren erhält jeder Logiklöser über den Schienenbus seine komplette QUELLENADRESSE (SOURCE ADDRESS). Der Rückwandplatinen-ID-Teil (BPID-Teil) der QUELLENADRESSE ist gleich wie das niedrigwertigste Oktett der ID-Adresse des Rechners eingestellt. Der Schlitz-ID-Teil (SID-Teil) der QUELLENADRESSE wird von den Schienenbusnachrichten des Prozessrechners abgeleitet. Vorzugsweise kommuniziert (sendet oder empfängt) jeder Sicherheitslogiklöser erst dann, wenn er eine vollständige QUELLENADRESSE hat.
  • Ein Feld BESTIMMUNGSADRESSE (DESTINATION ADDRESS) enthält die Adresse des Bestimmungsgeräts. Das hochrangigere Byte enthält die BPID, und das niedrigrangigere Byte enthält die SID. Ist das hochrangigere Byte HB = 0 und das niedrigrangigere Byte LB = 0, ist die Nachricht für alle entfernt und lokal angeordneten Sicherheitslogiklöser auf dem Bus gedacht. Ist HB = BPID und LB = 0, ist die Nachricht für alle Knoten auf der lokalen Rückwandplatine gedacht. Ist HB = BPID und LB = SID, ist die Nachricht für eine spezielle SID auf einer lokalen Rückwandplatine gedacht. Ist schließlich HB = 0 und LB = 0, ist eine unzulässige Adresse angegeben.
  • Das Feld ART (TYPE) der Nachricht enthält Information hinsichtlich der Art von Nachricht, die in diesem Nachrichtendatenfeld enthalten ist. Es kann eine Anzahl unterschiedlicher Nachrichten festgelegt werden.
  • Das Feld GERÄTESTATUS (DEVICE STATUS) kann auf geeignete Weise aufgeteilt werden, um beispielsweise den Diagnosestatus (der keinen Fehler oder einen Fehler anzeigt), den Umschaltstatus (der keinen Fortschritt oder einen Fortschritt anzeigt), die Rechnerbetriebsart (die eine normale Betriebsrat oder eine Entwicklungsbetriebsart anzeigt), den Sicherheitsauslösungsstatus (der nicht ausgelöst oder ausgelöst anzeigt), den Redundanzstatus (der nicht redundant oder redundant anzeigt), den Konfigurationsstatus (der nicht konfiguriert oder konfiguriert anzeigt), die Rechnerart (die vom Logiklöser bestimmt ist und anzeigt, ob er in Bereitschaft oder aktiv ist), und die Betriebsart anzeigt (der Betriebsartwert kommt über den Bus vom Rechner und zeigt eine Entwicklungs- oder eine normale Betriebsart an).
  • Das Feld LÄNGE (LENGTH) enthält die Länge in Bytes des anstehenden Felds NACHRICHTENDATEN (MESSAGE DATA) und ist nach richtenabhängig.
  • Das Feld NACHRICHTENDATEN ist das Nutzdatenfeld der Nachricht, die entsprechend der ART der Nachricht formatiert ist und eine von der Nachricht abhängige Länge hat.
  • Schließlich berechnet sich noch das Feld CRC oder Cyclic Redundancy Check/Code aus den Feldern QUELLENADRESSE, ART, GERÄTESTATUS, LÄNGE und NACHRICHTENDATEN und ist auch nachrichtenabhängig.
  • In dem offenbarten Beispiel können P2P-Fernbusnachrichten nur zwischen MPDs verschickt werden. Allgemein ausgedrückt, sind alle P2P-Fernbusnachrichten im Abschnitt DATEN eines Ethernet IEEE 802.3 Protokollpakets eingeschlossen, das zum Beispiel, einen 7-Byte-Datenvorlauf, einen 1-Byte-Bildstartbegrenzer, eine 6-Byte-Bestimmungsadresse, eine 6-Byte-Quellenadresse, ein 2-Byte Feld Art/Länge, ein 46- bis 1500-Byte Datenfeld und ein 4-Byte-Bildprüffolgenfeld umfasst.
  • Bekanntlich beginnt das Bild mit einem 7-Byte-Datenvorlauf aus abwechselnden Einsen und Nullen. Ist das Bild Manchester-codiert, gibt der Datenvorlauf den Empfangsstationen ein bekanntes Muster, an das sie sich anhängen. Der Bildstartbegrenzer folgt auf den Datenvorlauf und kündigt den Beginn des Bilds an. Die Bestimmungs- und Quellenadressen sind jeweils allgemein irrelevant, weil die Empfänger in gemischter Betriebsart auf Empfang stehen.
  • Das Ethernet-Feld ART/ das IEEE 802.3-Feld LÄNGE bedeutet das Protokoll, das im restlichen Bild verwendet wird, und das Feld LÄNGE legt die Länge des Datenteils des Bildes fest. Damit Ethernet- und IEEE802.3-Bilder gemeinsam auf demselben LAN vorkommen können, muss sich das Längenfeld des Bildes immer von irgendwelchen verwendeten Artenfeldern unterscheiden. Diese Tatsache schränkt die Länge des Datenteils des Bildes auf 1.500 Bytes und die gesamte Bildlänge auf 1.518 Bytes ein. Für die Sicherheitslogiklöseranwendung wird die Art Ethernet und die Länge des Datenfelds die Größe der Nachrichten sein. Das Datenfeld enthält die Nachricht, die von einem Sicherheitslogiklöser verschickt wird. Nachrichten, deren Datenlänge weniger als 46 Bytes beträgt, werden aufgefüllt. Bekanntlich sind die 4 Bytes des Bildprüfabfolgefelds ein standardmäßiges 43-bit-CCITT-CRC-Polynom.
  • Falls gewünscht, wird der Datenteil der Nachrichtenstruktur auf hoher Ebene in drei Felder mit einer Gesamtlänge von bis zu maximal 551 Bytes (einschließlich 6 Bytes für die Protokollorganisation) aufgeteilt. Darüber hinaus sorgt die Nachrichtenstruktur auf niedriger Ebene für 256 Nachrichtenarten. Das Artenfeld kennzeichnet jede Nachrichtenart eindeutig, und die Nachrichtenart besitzt einen entsprechenden Wert für das Längenfeld, welches die Länge des Datenteils jeder Nachricht festlegt. Bei den Nachrichtenarten kann es sich um eingeschlossene Boolesche Daten handeln, wobei irgendeine Anzahl von 1–32 Boolesche Datennachrichten in der Gesamtnachricht eingeschlossen sind. Natürlich könnten auch andere Arten von Nachrichten verschickt werden, falls das so gewünscht wird. BEZUGSZEICHENLISTE
    10 Prozessanlage
    12 Prozesssteuerungssystem
    14 Sicherheitssystem
    16 Host-Arbeitsplatzrechner, Computer oder Benutzeroberflächen
    18, 20 Knoten Prozesssteuerung/Sicherheitssteuerung
    21 Konfigurationsdatenbank
    22 Kommunikationsleitung oder -bus, Kommunikationsnetz
    24 Prozessrechner
    26 Prozessrechner
    28, 30, 32, 34, 36 Eingabe-/Ausgabegeräte, E/A-Geräte
    40, 42 Feldgeräte
    50, 52, 54, 56 Sicherheitssystemlogiklöser
    50A, 52A, 54A, 56A Primärer Sicherheitslogiklöser
    50B, 52B, 54B, 56B Sekundärer Sicherheitslogiklöser
    50C, 52C, 54C, 56C Zweckgebundener Bus, Leitungen, Redundanzverbindung
    57 Prozessor
    58 Sicherheitslogikbausteine
    60, 62 Sicherheitssystemfeldgeräte
    70, 72 Nachrichtenverbreitungsgerät, MPD
    70A, 70B, 72A, 72B Redundantes MPD-Paar
    74, 74A, 74B Ringbusverbindung, Kommunikationsleitung oder -bus
    75 Prozesssteuerungsprogramme
    76 Rückwandplatine
    78 Speicher
    80 Konfigurationsanwendung
    82 Anzeigeanwendung
    83 Bildschirmmaske
    84 Physikalischer Netzabschnitt
    85 Sicherheitsnetzabschnitt
    86 Steuernetzabschnitt
    87 Rechner CTRL1
    88 Bausteine
    89 E/A-Geräteabschnitt
    90 Karten
    90, 92 Schienenbus
    9193 Sicherheitslogiklöser
    100, 102 Schienenbuskommunikationsverbindung
    104A, 104B, 106A, 106B P2P-Bus, P2P-Verbindung
    300 Impulsplan
    302 Buszyklus
    304, 306, 308, 310 Zeitblöcke
    312 Abschnitt von Zeitblock 304
    314 Zeitabschnitt
    316, 318 Zeitdauer

Claims (38)

  1. Prozesssteuerungssystem (12) mit einem eingebetteten Sicherheitsnetz, folgendes umfassend: einen Host-Computer, der ausgelegt ist, Prozesssteuerungs- und Sicherheitsnachrichten zu senden und zu empfangen; ein erstes Kommunikationsnetz (22); eine Steuerung (24, 26), die durch das erste Kommunikationsnetz (22) operativ mit dem Host-Computer verbunden und dazu ausgelegt ist, Prozessteuerungsfunktionalität zu leisten; und mehrere Eingabe/Ausgabe-(E/A-)Karten (28, 30, 32, 34, 36, 50, 52, 54, 56), die über ein zweites Kommunikationsnetz (100, 102) mit der Steuerung (24, 26) verbunden sind um einen ersten Prozesssteuerungs-/Sicherheitssteuerungsknoten (18, 20) zu definieren, wobei die mehreren E/A-Karten (28, 30, 32, 34, 36, 50, 52, 54, 56) umfassen: eine erste E/A-Karte (28, 30, 32, 34, 36), die für operative Kommunikation mit einem ersten prozesssteuerungsbezogenen Feldgerät ausgelegt ist; eine zweite E/A-Karte (50, 52, 54, 56), die für operative Kommunikation mit einem sicherheitsbezogenen Feldgerät ausgelegt ist, wobei die zweite E/A-Karte (50, 52, 54, 56) einen Prozessor (57) umfasst, der ein Sicherheitsmodul ausführt, um getrennt von der Prozesssteuerungsfunktionalität Sicherheitsfunktionalität zu implementieren, indem er das sicherheitsbezogene Feldgerät verwendet; und ein Nachrichtenverbreitungsgerät (70, 72), das mit der zweiten I/O-Karte über einen lokalen Kommunikationsbus (104, 106) operativ verbunden ist und das ausgebildet ist, eine Sicherheits-bezogene Nachricht, die mit einem zweiten Prozesssteuerungs-/Sicherheitssteuerungsknoten (18, 20) assoziiert ist, von der zweiten I/O-Karte (50, 52, 54, 56) über ein drittes Kommunikationsnetzwerk (74) weiterzuverbreiten.
  2. Prozesssteuerungssystem (12) nach Anspruch 1, das eine dritte E/A-Karte (52, 56) aufweist, wobei die dritte E/A-Karte (52, 56) für operative Kommunikation mit einem zweiten sicherheitsbezogenen Feldgerät ausgelegt ist, und wobei die dritte E/A-Karte (52, 56) einen zweiten Prozessor (57) umfasst, der ein zweites Sicherheitsmodul ausführt, um die Sicherheitsfunktionalität zu implementieren, indem er das zweite sicherheitsbezogene Feldgerät verwendet.
  3. Prozesssteuerungssystem (12) nach Anspruch 2, bei dem die zweite und die dritte E/A-Karte (50, 52, 54, 56) durch einen lokalen Kommunikationsbus (104, 106) verbunden sind, der dazu ausgelegt ist, Sicherheitsnachrichten zwischen der zweiten und der dritten E/A-Karte (50, 52, 54, 56) zu übertragen.
  4. Prozesssteuerungssystem (12) nach Anspruch 3, wobei die dritte E/A-Karte (54, 56) operativ mit einer ersten Nachrichtenverbreitungseinrichtung (70, 72) auf dem lokalen Kommunikationsbus (104, 106) verbunden ist.
  5. Prozesssteuerungssystem (12) nach Anspruch 2, wobei die zweite und die dritte E/A-Karte (50, 52, 54, 56) operativ über einen ersten und einen zweiten lokalen Kommunikationsbus (104, 104A, 104B, 106, 106A, 106B) mit einer ersten Nachrichtenverbreitungseinrichtung (70, 72) über einen ersten lokalen Kommunikationsbus und mit einer zweiten Nachrichtenverbreitungseinrichtung (70, 72) über einen zweiten lokalen Kommunikationsbus verbunden sind.
  6. Prozesssteuerungssystem (12) nach Anspruch 2, wobei die zweite und die dritte E/A-Karte (50, 52, 54, 56) durch einen ersten lokalen Kommunikationsbus (104A, 106A) und durch einen zweiten lokalen Kommunikationsbus (104B, 106B) verbunden sind, wobei der erste und der zweite lokale Kommunikationsbus jeweils dazu ausgelegt sind, sicherheitsbezogene Nachrichten zwischen der zweiten (50, 54) und der dritten E/A-Karte (52, 56) zu übertragen.
  7. Prozesssteuerungssystem (12) nach Anspruch 1, wobei die zweite E/A-Karte (50, 54) operativ mit einer zweiten Nachrichtenverbreitungseinrichtung (70, 72) verbunden ist, wobei die erste und die zweite Nachrichtenverbreitungseinrichtung (70, 72) in operativer Verbindung mit dem zweiten Kommunikationsnetz (104, 106) stehen.
  8. Prozesssteuerungssystem (12) nach Anspruch 7, wobei die erste und zweite Nachrichtenverbreitungseinrichtung (70, 72) über eine redundante lokale Kommunikationsverbindung (74) mit der zweiten E/A-Karte (50, 54) verbunden sind.
  9. Prozesssteuerungssystem (12) nach Anspruch 1, mehrere zusätzliche sicherheitsbezogene E/A-Karten (28, 30, 32, 34, 36) umfassend, wobei jede der zusätzlichen sicherheitsbezogenen E/A-Karten mit einem von mehreren zusätzlichen sicherheitsbezogenen Feldgeräten in operativer Kommunikation ist, und wobei jede der zusätzlichen sicherheitsbezogenen E/A-Karten (28, 30, 32, 34, 36) einen Prozessor umfasst, der dazu ausgelegt ist, zusätzliche Sicherheitsmodule auszuführen, indem er ein entsprechendes der zusätzlichen sicherheitsbezogenen Feldgeräte verwendet.
  10. Prozesssteuerungssystem (12) nach Anspruch 1, wobei der Host-Computer eine Bedienungsschnittstelle umfasst, die eingerichtet ist, um Umprogrammierungssignale an sowohl die erste E/A-Karte (28, 30, 32, 34, 36) als auch die zweite E/A-Karte (50, 52, 54, 56) zu schicken, wobei der Prozessor (57) der zweiten E/A-Karte so programmiert ist, dass er die Umprogrammierungssignale auswerten kann, um zu bestimmen, ob die Umprogrammierungssignale an die zweite E/A-Karte (50, 52, 54, 56) gerichtet sind.
  11. Prozesssteuerungssystem (12) nach Anspruch 1, wobei der Host-Computer ausgelegt ist, prozessbezogene Umprogrammierungssignale und sicherheitsbezogene Umprogrammierungssignale an das zweite Kommunikationsnetz (104, 106) zu übermitteln, und wobei der Prozessor (57) der zweiten E/A-Karte (50, 54) so programmiert ist, um die prozessbezogenen Umprogrammierungssignale von den sicherheitsbezogenen Umprogrammierungssignalen unterscheiden zu können.
  12. Prozesssteuerungssystem (12) nach Anspruch 1, wobei der Host-Computer eine Anzeigeanwendung umfasst, die dazu ausgelegt ist, Prozesssteuerungsdaten aus der ersten E/A-Karte (28, 30, 32, 34, 36) und Sicherheitsdaten aus der zweiten E/A-Karte (50, 54) zu empfangen und die Prozesssteuerungs- und Sicherheitsdaten einem Benutzer in einer integrierten Anzeige anzuzeigen.
  13. Prozesssteuerungssystem (12) nach Anspruch 12, wobei die Steuerung so eingerichtet ist, dass sie Alarmdaten generiert, die mit den Prozesssteuerungsdaten zusammenhängen, wobei die Steuerung (24, 26) darüber hinaus eingerichtet ist, Alarmdaten zu generieren, die mit den Sicherheitsdaten zusammenhängen.
  14. Prozesssteuerungssystem (12) nach Anspruch 1, wobei die erste E/A-Karte (28, 30, 32, 34, 36) eine erste damit verbundene Sicherheitsebene hat, die dazu verwendet wird, es der ersten E/A-Karte zu ermöglichen, Prozesssteuerungsumprogrammierungssignale von dem Host-Computer anzunehmen, und wobei die zweite E/A-Karte (50, 54) eine zweite damit verbundene Sicherheitsebene hat, um es der zweiten E/A-Karte (50, 54) zu ermöglichen, Umprogrammierungssignale von dem Host-Computer anzunehmen, wobei die erste und die zweite Sicherheitsebene unterschiedliche Sicherheitsebenen sind.
  15. Prozesssteuerungssystem (12) nach Anspruch 14, wobei die erste und die zweite Sicherheitsebene auf der Benutzeridentität beruhende Sicherheitsebenen sind.
  16. Prozesssteuerungssystem (12) nach Anspruch 15, wobei die erste und die zweite Sicherheitsebene auf dem Ort beruhende Sicherheitsebenen sind.
  17. Sicherheitssystem (14) zur Verwendung in einer Prozessanlage (10), wobei das Sicherheitssystem (14) umfasst: ein erstes Sicherheitslogikgerät, das kommunikativ mit einem ersten Sicherheitsfeldgerät verbunden ist; ein erstes Sicherheitslogikmodul, das in der ersten Sicherheitslogikeinrichtung gespeichert und dazu ausgelegt ist, von der ersten Sicherheitslogikeinrichtung ausgeführt zu werden, um eine erste Sicherheitsfunktionalität unter Verwendung des ersten Sicherheitsfeldgeräts durchzuführen; eine zweite Sicherheitslogikeinrichtung, die kommunikativ mit einem zweiten Sicherheitsfeldgerät verbunden ist; ein zweite Sicherheitslogikmodul, das in der zweiten Sicherheitslogikeinrichtung gespeichert und dazu ausgelegt ist, von der zweiten Sicherheitslogikeinrichtung ausgeführt zu werden, um eine zweite Sicherheitsfunktionalität unter Verwendung des zweiten Sicherheitsfeldgeräts durchzuführen; und einen ersten Kommunikationsbus, der die erste und die zweite Sicherheitslogikeinrichtung miteinander verbindet, um es der ersten und der zweiten Sicherheitslogikeinrichtung zu ermöglichen, miteinander zu kommunizieren, wobei die erste und die zweite Sicherheitslogikeinrichtung an einem ersten Knoten der Prozessanlage angeordnet sind, und das darüber hinaus eine erste Nachrichtenverbreitungseinrichtung umfasst, die am ersten Knoten der Prozessanlage angeordnet und mit dem Kommunikationsbus verbunden ist, um mit der ersten und der zweiten Sicherheitslogikeinrichtung zu kommunizieren, und das eine dritte Sicherheitslogikeinrichtung umfasst, die an einem zweiten Knoten der Prozessanlage angeordnet ist, ein drittes Sicherheitslogikmodul, das in der dritten Sicherheitslogikeinrichtung gespeichert und dazu ausgelegt ist, von dieser ausgeführt zu werden, um eine dritte Sicherheitsfunktionalität zu leisten, eine zweite Nachrichtenverbreitungseinrichtung, die am zweiten Knoten der Prozessanlage angeordnet ist, wobei ein zweiter Kommunikationsbus die dritte Sicherheitslogikeinrichtung mit der zweiten Nachrichtenverbreitungseinrichtung am zweiten Knoten der Prozessanlage verbindet, und einen Remotekommunikationsbus, der die erste Nachrichtenverbreitungseinrichtung am ersten Knoten der Prozessanlage und die zweite Nachrichtenverbreitungseinrichtung am zweiten Knoten der Prozessanlage verbindet.
  18. Sicherheitssystem (14) nach Anspruch 17, wobei die erste Sicherheitslogikeinrichtung einen primären redundanten Sicherheitslogiklöser (50A, 52A, 54A, 56A) und einen sekundären redundanten Sicherheitslogiklöser (50B, 52B, 54B und 56B) umfasst.
  19. Sicherheitssystem (14) nach Anspruch 18, wobei der erste Kommunikationsbus einen primären redundanten Kommunikationsbus und einen sekundären redundanten Kommunikationsbus umfasst.
  20. Sicherheitssystem (14) nach Anspruch 17, wobei der erste Kommunikationsbus in einer Rückwandplatine eines Knotens der Prozessanlage vorgesehen ist, und wobei die erste und die zweite Sicherheitslogikeinrichtung dazu ausgelegt ist, an der Rückwandplatine befestigt zu werden.
  21. Sicherheitssystem (14) nach Anspruch 17, wobei der erste und der zweite Kommunikationsbus ein Zeitmultiplexkommunikationsschema verwenden.
  22. Sicherheitssystem (14) nach Anspruch 21, wobei das erste und das zweite Sicherheitsgerät dazu ausgelegt sind, einander lokale Sicherheitsnachrichten über den ersten Kommunikationsbus zu übertragen, und das erste und/oder zweite Sicherheitsgerät dazu ausgelegt ist, über den ersten Kommunikationsbus, die zweite Nachrichtenverbreitungseinrichtung, den Remotekommunikationsbus, die zweite Nachrichtenverbreitungseinrichtung und den zweiten Kommunikationsbus Sicherheitsfernnachrichten an das dritte Sicherheitsgerät zu schicken.
  23. Sicherheitssystem (14) nach Anspruch 17, wobei der Remotekommunikationsbus ein Ringbus ist.
  24. Sicherheitssystem (14) nach Anspruch 17, darüber hinaus eine Prozesssteuerung umfassend, die über ein weiteres Kommunikationsnetz kommunikativ mit der ersten und der zweiten Sicherheitslogikeinrichtung verbunden ist, und eine Benutzer-Workstation, die über ein drittes Kommunikationsnetz mit der Prozesssteuerung verbunden ist.
  25. Sicherheitssystem (14) nach Anspruch 24, wobei das dritte Kommunikationsnetz ein Ethernet-Bus ist.
  26. Sicherheitssystem (14) nach Anspruch 24, darüber hinaus eine Prozesssteuerungs-Eingabe/Ausgabeeinrichtung umfassend, die kommunikativ mit dem weiteren Kommunikationsnetz verbunden ist, und ein oder mehrere Prozesssteuerungsfeldgerät/e, das/die mit der Prozesssteuerungs-Eingabe/Ausgabeeinrichtung verbunden ist/sind.
  27. Sicherheitssystem (14) nach Anspruch 17, darüber hinaus eine Prozesssteuerung umfassend, die über einen zweiten Kommunikationsbus kommunikativ mit der ersten und der zweiten Sicherheitslogikeinrichtung verbunden ist, und eine Benutzer-Workstation, die über einen dritten Kommunikationsbus mit der Prozesssteuerung verbunden ist.
  28. Sicherheitssystem (14) nach Anspruch 27, darüber hinaus eine Prozesssteuerungs-Eingabe/Ausgabevorrichtung umfassend, die kommunikativ mit dem zweiten Kommunikationsnetz verbunden ist, und ein oder mehrere Prozesssteuerungsfeldgerät/e, das/die mit der Prozesssteuerungs-Eingabe/Ausgabeeinrichtung verbunden ist/sind.
  29. Konfigurationssystem zur Verwendung in einer Prozessanlage (10) mit einem Sicherheitsnetz, einem Prozesssteuerungsnetz und einer Benutzer-Workstation, die kommunikativ über ein gemeinsames Kommunikationsnetz mit dem Sicherheitsnetz und dem Prozesssteuerungsnetz verbunden ist, wobei das Konfigurationssystem umfasst: einen computerlesbaren Speicher; eine Konfigurationsanwendung (80), die in dem computerlesbaren Speicher gespeichert ist, einen ersten Kontroll-/Sicherheitsknoten konfiguriert und dazu ausgelegt ist, auf einem Prozessor ausgeführt zu werden, um ein Sicherheitsmodul einem ersten Sicherheitselement in dem Sicherheitsnetz zuzuweisen, um eine Sicherheitsfunktion auszuführen; ein Prozesssteuerungsmodul einem Prozesssteuerungselement im Prozesssteuerungsnetz zuzuweisen, um eine Prozesssteuerungsfunktion auszuführen; über das gemeinsame Kommunikationsnetz das Sicherheitsmodul auf das Sicherheitselement und das Prozesssteuerungsmodul auf das Prozesssteuerungselement herunterzuladen; und ein erstes Nachrichtenverbreitungsgerät, das mit dem ersten Sicherheitselement über das Sicherheitsnetzwerk operativ verbunden ist und ausgebildet ist, eine Sicherheits-bezogene Nachricht, die mit einem zweiten Kontroll-/Sicherheitsknoten assoziiert ist, von dem ersten Sicherheitselement über ein drittes Kommunikationsnetzwerk zu verbreiten.
  30. Konfigurationssystem nach Anspruch 29, wobei die Konfigurationsanwendung (80) dazu ausgelegt ist, es einem Benutzer zu ermöglichen, das Sicherheitsmodul zu erstellen.
  31. Konfigurationssystem nach Anspruch 30, wobei die Konfigurationsanwendung (80) dazu ausgelegt ist, das Sicherheitsmodul zu erstellen, um mit anderen Sicherheitsmodulen, die sich in anderen Sicherheitselementen am selben Knoten der Prozessanlage befinden, über einen lokalen Bus zu kommunizieren, der zwischen das erste Sicherheitselement und die anderen Sicherheitselemente zwischengeschaltet, aber nicht mit dem Prozesssteuerungselement verbunden ist.
  32. Konfigurationssystem nach Anspruch 31, wobei sich das erste Sicherheitselement an einem ersten Knoten der Prozessanlage befindet, und wobei die Konfigurationsanwendung (80) dazu ausgelegt ist, das Sicherheitsmodul zu erstellen, um mit einem entfernt angeordneten Sicherheitsmodul in einem entfernt angeordneten Sicherheitselement an dem zweiten Knoten der Prozessanlage über einen Fernbus zu kommunizieren, der zwischen den ersten und den zweiten Knoten der Prozessanlage zwischengeschaltet ist.
  33. Konfigurationssystem nach Anspruch 29, wobei die Konfigurationsanwendung (80) dazu ausgelegt ist, die Sicherheitselemente und das Prozesssteuerungselement in einer integrierten Konfigurationsansicht anzuzeigen.
  34. Konfigurationssystem nach Anspruch 33, wobei die Konfigurationsanwendung (80) dazu ausgelegt ist, in der integrierten Konfigurationsansicht den Sicherheitsbaustein als mit den Sicherheitselementen zusammenhängend anzuzeigen.
  35. Konfigurationssystem nach Anspruch 29, wobei die Konfigurationsanwendung (80) dazu ausgelegt ist, es dem Benutzer zu ermöglichen, das Sicherheitsmodul zu erstellen und das Sicherheitsmodul den Sicherheitselementen zuzuweisen, indem das Sicherheitsmodul in der Konfigurationsansicht zu den Sicherheitselement verschoben wird.
  36. Sicherheitslogikmodulsystem zur Verwendung in einem Sicherheitsnetz, das in einer Prozessanlage (10) mit einer Prozesssteuerung angeordnet ist, die kommunikativ über einen ersten Kommunikationsbus mit einem oder mehreren Prozesssteuerungs-Eingabe-/Ausgabegerät/en, welche/s Prozesssteuerungsfunktionen erfüllt/erfüllen, und mit einem Sicherheitslogiklöser (50, 52, 54, 56) verbunden ist, wobei der Sicherheitslogiklöser (50, 52, 54, 56) mit einem oder mehreren Sicherheitsfeldgerät/en verbunden ist, wobei das Sicherheitslogikbausteinsystem umfasst: einen computerlesbaren Speicher; ein Sicherheitslogikmodul, das in dem computerlesbaren Speicher gespeichert und dazu ausgelegt ist, auf einem Prozessor des Sicherheitslogiklösers (50, 52, 54, 56) ausgeführt zu werden, um eine Sicherheitsfunktion im Hinblick auf das eine oder die mehreren Sicherheitsfeldgerät/e zu erfüllen; über einen zweiten Kommunikationsbus mit einem anderen Sicherheitslogikmodul in einem anderen Sicherheitslogiklöser (50, 52, 54, 56) zu kommunizieren, der mit dem ersten Kommunikationsbus verbunden ist; und über den ersten Kommunikationsbus mit dem Prozessrechner und den Prozesssteuerungs-Eingabe-/Ausgabegeräten zu kommunizieren, wobei die Prozessanlage eine erste Nachrichtenverbreitungseinrichtung, die mit der Steuerung kommunikativ über den ersten Kommunikationsbus an einem ersten Knoten und einem zweiten Knoten mit einem oder mehreren Sicherheitslogiklösern (50, 52, 54, 56) verbunden ist, und eine zweite Nachrichtenverbreitungseinrichtung umfasst, die mit der ersten Nachrichtenverbreitungseinrichtung über einen dritten Kommunikationsbus verbunden ist, und wobei das Sicherheitslogikmodul dazu ausgelegt ist, über die Nachrichtenverbreitungseinrichtungen und den dritten Kommunikationsbus mit einem oder mehreren Sicherheitslogiklösern (50, 52, 54, 56) am zweiten Knoten der Prozessanlage zu kommunizieren.
  37. Sicherheitslogikmodulsystem nach Anspruch 36, wobei das Sicherheitslogikmodul darüber hinaus dazu ausgelegt ist, über den ersten Kommunikationsbus Prozesssteuerungsnachrichten aus der Steuerung oder dem einen oder den mehreren Prozesssteuerungs-Eingabe-/Ausgabegerät/en zu empfangen und zu lesen, und Sicherheitsnachrichten über den zweiten Kommunikationsbus aus anderen Sicherheitsmodulen zu empfangen und zu lesen, die in anderen Sicherheitslogiklösern (50, 52, 54, 56) angeordnet sind.
  38. Sicherheitslogikmodulsystem nach Anspruch 36, wobei das Sicherheitslogikmodul dazu ausgelegt ist, über den zweiten Kommunikationsbus mit dem anderen Sicherheitslogikmodul zu kommunizieren, indem er ein Zeitmultiplexkommunikationsschema verwendet.
DE102004003571.7A 2003-01-28 2004-01-23 Prozesssteuerungssystem mit eingebettetem Sicherheitssystem Expired - Lifetime DE102004003571B4 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US10/352,396 US7289861B2 (en) 2003-01-28 2003-01-28 Process control system with an embedded safety system
US10/352396 2003-01-28

Publications (2)

Publication Number Publication Date
DE102004003571A1 DE102004003571A1 (de) 2004-09-02
DE102004003571B4 true DE102004003571B4 (de) 2015-02-12

Family

ID=31978145

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102004003571.7A Expired - Lifetime DE102004003571B4 (de) 2003-01-28 2004-01-23 Prozesssteuerungssystem mit eingebettetem Sicherheitssystem

Country Status (6)

Country Link
US (1) US7289861B2 (de)
JP (4) JP4260643B2 (de)
CN (2) CN101807074B (de)
DE (1) DE102004003571B4 (de)
GB (3) GB2423834B (de)
HK (4) HK1064454A1 (de)

Families Citing this family (69)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2002097543A1 (fr) * 2001-05-31 2002-12-05 Omron Corporation Unite securisee, systeme de commande, procede de concatenation de dispositifs de commande, procede de commande de systeme de commande, et procede de surveillance de systeme de commande
SE0203819D0 (sv) * 2002-12-19 2002-12-19 Abb As Method to increase the safety integrity level of a control system
US7865251B2 (en) 2003-01-28 2011-01-04 Fisher-Rosemount Systems, Inc. Method for intercontroller communications in a safety instrumented system or a process control system
GB0312414D0 (en) * 2003-05-30 2003-07-02 Fortress Interlocks Ltd Security or safety bus system
DE102005007477B4 (de) * 2005-02-17 2015-06-11 Bosch Rexroth Aktiengesellschaft Programmierbare Steuerung zur Maschinen-und/oder Anlagenautomatisierung mit Standard-Steuerungs- und Sicherheitsfunktionen und Kommunikation mit einer Sicherheits-EA sowie Verfahren zum Betrieb der programmierbaren Steuerung
US20060212855A1 (en) * 2005-03-16 2006-09-21 Bournas Redha M Methods, systems and computer program products for implementing production processes
DE102005043771A1 (de) * 2005-09-13 2007-03-15 Endress + Hauser Flowtec Ag Verfahren zur Energieversorgung eines Feldgerätes der Automatisierungstechnik
CN101297248B (zh) * 2005-10-27 2013-07-10 Vega格里沙贝两合公司 用于现场设备的数据库接口
WO2007051478A1 (de) * 2005-11-01 2007-05-10 Technische Universität Braunschweig Verfahren zur rundfunkübertragung von einer vielzahl von unterschiedlichen informationsangeboten und sende- und empfangseinrichtung hierzu
GB2434537A (en) * 2006-01-26 2007-08-01 Karl Turner Disposable arm barrier for use with a blood pressure measurement cuff
JP4664252B2 (ja) * 2006-07-31 2011-04-06 富士通株式会社 監視ユニット及び被監視ユニット
JP4671131B2 (ja) * 2006-08-10 2011-04-13 横河電機株式会社 安全計装システム
US7894917B2 (en) * 2006-10-20 2011-02-22 Rockwell Automation Technologies, Inc. Automatic fault tuning
US7725200B2 (en) 2006-10-20 2010-05-25 Rockwell Automation Technologies, Inc. Validation of configuration settings in an industrial process
US8601435B2 (en) * 2006-10-20 2013-12-03 Rockwell Automation Technologies, Inc. Module class subsets for industrial control
US8392008B2 (en) 2006-10-20 2013-03-05 Rockwell Automation Technologies, Inc. Module arbitration and ownership enhancements
US7680550B2 (en) * 2006-10-20 2010-03-16 Rockwell Automation Technologies, Inc. Unit module state processing enhancements
US7684877B2 (en) * 2006-10-20 2010-03-23 Rockwell Automation Technologies, Inc. State propagation for modules
US7844349B2 (en) 2006-10-20 2010-11-30 Rockwell Automation Technologies, Inc. Standard MES interface for discrete manufacturing
US7676292B2 (en) 2006-10-20 2010-03-09 Rockwell Automation Technologies, Inc. Patterns employed for module design
AT504739B1 (de) * 2007-01-08 2013-09-15 Bernecker & Rainer Ind Elektronik Gmbh Anordnung und ein verfahren zur sicheren datenkommunikation über ein nicht sicheres netzwerk
JP4941748B2 (ja) * 2007-07-19 2012-05-30 横河電機株式会社 安全制御システム
DE102007050708B4 (de) * 2007-10-22 2009-08-06 Phoenix Contact Gmbh & Co. Kg System zum Betreiben wenigstens eines nicht-sicherheitskritischen und wenigstens eines sicherheitskritischen Prozesses
FI20085086A0 (fi) * 2008-01-31 2008-01-31 Metso Automation Oy Menetelmä prosessin ohjaamiseksi ja prosessilaitteiston kunnon valvomiseksi ja automaatiojärjestelmä
US8914783B2 (en) 2008-11-25 2014-12-16 Fisher-Rosemount Systems, Inc. Software deployment manager integration within a process control system
US8898660B2 (en) 2008-11-25 2014-11-25 Fisher-Rosemount Systems, Inc. Systems and methods to provide customized release notes during a software system upgrade of a process control system
US9354629B2 (en) * 2009-02-19 2016-05-31 Fisher-Rosemount Systems, Inc. Methods and apparatus to configure a process control system using an electronic description language script
KR101288578B1 (ko) * 2009-05-13 2013-07-22 필즈엔지니어링 주식회사 정유 또는 석유화학 공정의 컬럼용 기계식 압력 저감 장치 및 이의 방법
DE102009026124A1 (de) * 2009-07-07 2011-01-13 Elan Schaltelemente Gmbh & Co. Kg Verfahren und System zur Erfassung, Übertragung und Auswertung sicherheitsgerichteter Signale
CN102577313B (zh) * 2009-09-01 2016-04-06 信息控制公司 用于分布式资产管理的通信协议的方法和***
DE102009042354C5 (de) * 2009-09-23 2017-07-13 Phoenix Contact Gmbh & Co. Kg Verfahren und Vorrichtung zur sicherheitsgerichteten Kommunikation im Kommunikations-Netzwerk einer Automatisierungs-Anlage
US9285799B2 (en) * 2009-11-23 2016-03-15 Fisher-Rosemount Systems, Inc. Methods and apparatus to dynamically display data associated with a process control system
US8503190B2 (en) * 2010-05-18 2013-08-06 General Electric Company Monitoring systems and backplane for a monitoring system
US8442663B2 (en) * 2010-08-23 2013-05-14 Fisher-Rosemount Systems, Inc. Methods, apparatus and articles of manufacture to test process control systems
US8717374B2 (en) 2010-09-13 2014-05-06 Fisher-Rosemount Systems, Inc. Methods and apparatus to display process control information
DE102010056078A1 (de) * 2010-12-23 2012-06-28 Abb Technology Ag Gemeinsames Kommunikationssystem für mehrere artfremde Automatisierungssysteme eines automatisierungstechnischen Verbundes
US9678483B2 (en) 2011-01-26 2017-06-13 Honeywell International Inc. Programmable controller with both safety and application functions
DE102011082962A1 (de) 2011-09-19 2013-01-24 Siemens Aktiengesellschaft System und Verfahren zur Bereitstellung eines Steuerungsprogrammcodes
JP2013123275A (ja) * 2011-12-09 2013-06-20 Fuji Electric Co Ltd 可変速駆動装置
DE102012102187C5 (de) * 2012-03-15 2016-11-03 Phoenix Contact Gmbh & Co. Kg Steuerungsvorrichtung zum Steuern von sicherheitskritischen Prozessen in einer automatisierten Anlage und Verfahren zur Parametrierung der Steuerungsvorrichtung
US8938219B2 (en) * 2012-05-03 2015-01-20 Bristol, Inc. Flow computers having wireless communication protocol interfaces and related methods
CN103676640B (zh) * 2012-09-03 2016-12-28 上海航天测控通信研究所 应用于交会对接的数据通信装置
CN103235765B (zh) * 2013-05-06 2015-11-25 杭州和利时自动化有限公司 一种智能仪表设备管理方法、***及装置
JP6302209B2 (ja) * 2013-10-28 2018-03-28 キヤノン株式会社 画像処理装置、その制御方法、及びプログラム
CN107003644B (zh) * 2014-06-26 2020-10-02 Abb瑞士股份有限公司 用于使用冗余本地监督控制器来控制过程工厂的方法
US10007261B2 (en) * 2014-10-03 2018-06-26 Fisher-Rosemount Systems, Inc. Methods and apparatus to filter process control system alarms based on alarm source type and/or alarm purpose
WO2016132479A1 (ja) * 2015-02-18 2016-08-25 東芝三菱電機産業システム株式会社 鉄鋼プラントアラームマネジメント装置
US10514683B2 (en) 2015-09-16 2019-12-24 Profire Energy, Inc. Distributed networking system and method to implement a safety state environment
CA2998638A1 (en) * 2015-09-16 2017-03-23 Profire Energy, Inc. Distributed networking system and method
US10432754B2 (en) 2015-09-16 2019-10-01 Profire Energy, Inc Safety networking protocol and method
EP3252550B1 (de) * 2016-06-01 2020-02-19 Siemens Aktiengesellschaft Modulare sicherheits-steuerungseinrichtung mit kryptografischer funktionalität
US10671038B2 (en) 2016-07-15 2020-06-02 Fisher-Rosemount Systems, Inc. Architecture-independent process control
US10154006B2 (en) 2016-07-22 2018-12-11 Rockwell Automation Technologies, Inc. Systems, methods and apparatus for supporting multiple network addressing modes
US10108216B2 (en) 2016-07-22 2018-10-23 Rockwell Automation Technologies, Inc. Power tap with adjustable configuration
US10218699B2 (en) 2016-07-22 2019-02-26 Rockwell Automation Technologies, Inc. Systems and methods for adding a non-inherent component to a device key of a networked device
US10108238B2 (en) * 2016-07-22 2018-10-23 Rockwell Automation Technologies, Inc. Intelligent power tap for providing power and communicating in industrial automation applications
US10126799B2 (en) * 2016-07-22 2018-11-13 Rockwell Automation Technologies, Inc. Intelligent power tap with zone control and safety zone control
US10440620B2 (en) 2016-07-22 2019-10-08 Rockwell Automation Technologies, Inc. Systems and methods for bidirectional network geography delivery
EP3388902A1 (de) 2017-04-10 2018-10-17 Siemens Aktiengesellschaft Sicherheitsgerichtetes automatisierungssystem
CN108170116A (zh) * 2017-11-24 2018-06-15 中核控制***工程有限公司 一种安全级网关通信模块智能配置通信总线的方法
US10663929B2 (en) 2018-03-20 2020-05-26 Fisher-Rosemount Systems, Inc. Long-haul safety system trips
DE102018120347A1 (de) * 2018-08-21 2020-02-27 Pilz Gmbh & Co. Kg Automatisierungssystem zur Überwachung eines sicherheitskritischen Prozesses
US11966519B2 (en) * 2019-09-09 2024-04-23 Baker Hughes Oilfield Operations Llc Instrument panel for computing system
US11513490B2 (en) * 2020-03-24 2022-11-29 Honeywell International Inc. I/O mesh architecture for a safety instrumented system
US11762742B2 (en) 2020-03-31 2023-09-19 Honeywell International Inc. Process control system with different hardware architecture controller backup
US11989084B2 (en) 2020-09-23 2024-05-21 Honeywell International Inc. Self-healing process control system
US11732820B2 (en) 2020-10-23 2023-08-22 Fisher Controls International Llc Activating trip functions of a safety valve positioner by way of a control panel to achieve a safe state
US11874938B2 (en) 2020-11-03 2024-01-16 Honeywell International Inc. Admittance mechanism
US11424865B2 (en) 2020-12-10 2022-08-23 Fisher-Rosemount Systems, Inc. Variable-level integrity checks for communications in process control environments

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5768119A (en) * 1996-04-12 1998-06-16 Fisher-Rosemount Systems, Inc. Process control system including alarm priority adjustment
US5838563A (en) * 1996-04-12 1998-11-17 Fisher-Rosemont Systems, Inc. System for configuring a process control environment
WO2002097543A1 (fr) * 2001-05-31 2002-12-05 Omron Corporation Unite securisee, systeme de commande, procede de concatenation de dispositifs de commande, procede de commande de systeme de commande, et procede de surveillance de systeme de commande
US6774786B1 (en) * 2000-11-07 2004-08-10 Fisher-Rosemount Systems, Inc. Integrated alarm display in a process control network

Family Cites Families (31)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US3849056A (en) * 1972-11-02 1974-11-19 Combustion Eng Computer based plant protection system
US4410329A (en) * 1981-11-06 1983-10-18 General Electric Company Washing machine with oversuds detection and correction capability
US4598355A (en) * 1983-10-27 1986-07-01 Sundstrand Corporation Fault tolerant controller
US4816647A (en) * 1987-11-13 1989-03-28 General Electric Company Power control for appliance having a glass ceramic cooking surface
JPH0476605A (ja) * 1990-07-13 1992-03-11 Hitachi Ltd 通信装置付プログラマブルコントローラのネットワークシステム
US5195098A (en) * 1991-05-10 1993-03-16 Echelon Corporation Binary data error correction using hint signal
US5581242A (en) * 1991-08-22 1996-12-03 Hitachi, Ltd. Automatic alarm display processing system in plant
EP0810499B1 (de) * 1992-06-12 2001-10-17 The Dow Chemical Company Sicheres Frontenverbindungssystem und Verfahren für Prozesssteuerungsrechner
US5420397A (en) * 1992-12-15 1995-05-30 Micro Weiss Electronics, Inc. Control device and safety circuit for heating pads with PTC heater
JPH0736367A (ja) * 1993-07-15 1995-02-07 Matsushita Electric Works Ltd プログラマブルコントローラの通信システム
US5553237A (en) * 1994-12-13 1996-09-03 Base Ten Systems, Inc. Safety critical monitoring of microprocessor controlled embedded systems
US5742286A (en) * 1995-11-20 1998-04-21 International Business Machines Corporation Graphical user interface system and method for multiple simultaneous targets
US5864657A (en) * 1995-11-29 1999-01-26 Texas Micro, Inc. Main memory system and checkpointing protocol for fault-tolerant computer system
US5940294A (en) * 1996-04-12 1999-08-17 Fisher-Rosemont Systems, Inc. System for assisting configuring a process control environment
US5909368A (en) * 1996-04-12 1999-06-01 Fisher-Rosemount Systems, Inc. Process control system using a process control strategy distributed among multiple control elements
US5984504A (en) * 1997-06-11 1999-11-16 Westinghouse Electric Company Llc Safety or protection system employing reflective memory and/or diverse processors and communications
JPH1139008A (ja) * 1997-07-15 1999-02-12 Matsushita Electric Works Ltd プログラマブルコントローラ用のプログラム作成装置
US6999824B2 (en) * 1997-08-21 2006-02-14 Fieldbus Foundation System and method for implementing safety instrumented systems in a fieldbus architecture
DE29824256U1 (de) 1998-12-14 2001-06-13 Wratil Peter Einheit zur Sicherheitsüberwachung von Steuerungseinrichtungen
US6647301B1 (en) * 1999-04-22 2003-11-11 Dow Global Technologies Inc. Process control system with integrated safety control system
DE19928517C2 (de) * 1999-06-22 2001-09-06 Pilz Gmbh & Co Steuerungssystem zum Steuern von sicherheitskritischen Prozessen
JP2001042925A (ja) * 1999-07-28 2001-02-16 Toshiba Corp 発電所運転管理システム
DE19939567B4 (de) 1999-08-20 2007-07-19 Pilz Gmbh & Co. Kg Vorrichtung zum Steuern von sicherheitskritischen Prozessen
US6445963B1 (en) * 1999-10-04 2002-09-03 Fisher Rosemount Systems, Inc. Integrated advanced control blocks in process control systems
US6446202B1 (en) * 1999-10-04 2002-09-03 Fisher-Rosemount Systems, Inc. Process control configuration system for use with an AS-Interface device network
US7369902B2 (en) * 2001-05-31 2008-05-06 Omron Corporation Slave units and network system as well as slave unit processing method and device information collecting method
US7107358B2 (en) * 2001-09-12 2006-09-12 Rockwell Automation Technologies, Inc. Bridge for an industrial control system using data manipulation techniques
US6915444B2 (en) * 2001-09-12 2005-07-05 Rockwell Automation Technologies, Inc. Network independent safety protocol for industrial controller using data manipulation techniques
EP1479007B1 (de) * 2002-02-07 2018-01-10 Invensys Systems, Inc. System und verfahren zur authentifizierung und ausfallsicheren übertragung von sicherheitsnachrichten
DE10247520A1 (de) 2002-10-11 2004-04-22 Siemens Ag Verfahren und Einrichtung zur Prozessautomatisierung mit Steuergeräten zur Ansteuerung von Peripheriegeräten über ein Bussystem
SE0203819D0 (sv) 2002-12-19 2002-12-19 Abb As Method to increase the safety integrity level of a control system

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5768119A (en) * 1996-04-12 1998-06-16 Fisher-Rosemount Systems, Inc. Process control system including alarm priority adjustment
US5838563A (en) * 1996-04-12 1998-11-17 Fisher-Rosemont Systems, Inc. System for configuring a process control environment
US6774786B1 (en) * 2000-11-07 2004-08-10 Fisher-Rosemount Systems, Inc. Integrated alarm display in a process control network
WO2002097543A1 (fr) * 2001-05-31 2002-12-05 Omron Corporation Unite securisee, systeme de commande, procede de concatenation de dispositifs de commande, procede de commande de systeme de commande, et procede de surveillance de systeme de commande
US20040210326A1 (en) * 2001-05-31 2004-10-21 Yasuo Muneta Safety unit controller system, controller concatenation method, controller system control method, and controller system monitor method

Also Published As

Publication number Publication date
HK1093788A1 (en) 2007-03-09
GB0401722D0 (en) 2004-03-03
CN101807074B (zh) 2014-05-07
GB2423836A (en) 2006-09-06
GB2423836B (en) 2007-01-31
CN1525271A (zh) 2004-09-01
CN1525271B (zh) 2010-10-06
JP2008102954A (ja) 2008-05-01
HK1064454A1 (en) 2005-01-28
US7289861B2 (en) 2007-10-30
JP4586061B2 (ja) 2010-11-24
HK1091911A1 (en) 2007-01-26
DE102004003571A1 (de) 2004-09-02
GB2423834B (en) 2007-09-05
JP4260643B2 (ja) 2009-04-30
JP2008102953A (ja) 2008-05-01
GB0602516D0 (en) 2006-03-22
US20040158713A1 (en) 2004-08-12
GB0602510D0 (en) 2006-03-22
CN101807074A (zh) 2010-08-18
HK1095891A1 (en) 2007-05-18
JP4586062B2 (ja) 2010-11-24
JP2008077687A (ja) 2008-04-03
GB2398888B (en) 2007-01-31
GB2398888A (en) 2004-09-01
JP2004246888A (ja) 2004-09-02
GB2423834A (en) 2006-09-06
JP4610602B2 (ja) 2011-01-12

Similar Documents

Publication Publication Date Title
DE102004003571B4 (de) Prozesssteuerungssystem mit eingebettetem Sicherheitssystem
DE102007045729B4 (de) System und Verfahren der Kommunikation zwischen zwei Prozesssteuerungen innerhalb eines Prozesssteuerungssystems
DE102004003570B4 (de) Integriertes Diagnosesystem in einer Prozessanlage mit einem Prozesssteuerungssystem und einem Sicherheitssystem
DE102004003569B4 (de) Prozessanlage, Sicherungssystem zur Verwendung in einer Prozessanlage und Verfahren zum Durchführen von Sicherungsprozeduren in einer Prozessanlage
DE102004003605A1 (de) Integriertes Diagnosesystem in einer Prozessanlage mit einem Prozesssteuerungssystem und einem Sicherheitssystem
DE102004015617B4 (de) Online-Geräteprüfblock, der in ein Prozeßsteuerungs-/Sicherheitssystem integriert ist
EP1738236B1 (de) Automatisierungsnetzwerk mit zustandsmeldenden netzwerkkomponenten
EP2817682B1 (de) Verfahren zum ausfallsicheren betreiben eines prozesssteuersystems mit redundanten steuereinrichtungen
DE102009042354C5 (de) Verfahren und Vorrichtung zur sicherheitsgerichteten Kommunikation im Kommunikations-Netzwerk einer Automatisierungs-Anlage
EP1527554B1 (de) Rechnernetzwerk mit diagnoserechnerknoten
EP2504739B1 (de) Steuerungssystem zum steuern von sicherheitskritischen und nichtsicherheitskritischen prozessen
EP2981868B1 (de) Steuer- und datenübertragungsanlage, prozesseinrichtung und verfahren zur redundanten prozesssteuerung mit dezentraler redundanz
DE102005016596A1 (de) Teilnehmer, Master-Einheit, Kommunikationssystem und Verfahren zu deren Betreiben
DE102008056114B3 (de) Verfahren und Vorrichtung zur Diagnose von Netzwerken, insbesondere von Feldbussystemen
EP3622357B1 (de) Steuerungssystem zum steuern von sicherheitskritischen und nichtsicherheitskritischen prozessen mit master-slave-funktionalität
EP3547618B1 (de) Verfahren zum aufbau einer redundanten kommunikationsverbindung und ausfallgesicherte steuerungseinheit
EP2637362B1 (de) Busteilnehmer-einrichtung zum anschluss an einen linienredundanten, seriellen datenbus und verfahren zur steuerung der kommunikation eines busteilnehmers mit einem linienredundanten, seriellen datenbus
DE102006061063A1 (de) Redundantes Überwachungssteuersystem, und Redundanzschaltverfahren des Gleichen
EP2302472A2 (de) Steuerungssystem zum Steuern von sicherheitskritischen Prozessen
EP2490372A1 (de) Portunabhängiges topologisch geplantes Echtzeitnetzwerk
EP1296207B1 (de) HMI Gerät und Verfahren zur Bedienung einer technischen Einrichtung, Automatisierungssystem mit HMI Gerät und Computerprogrammprodukt mit Programm zur Durchführung des Verfahrens in einem HMI Gerät oder Automatisierungssystem
EP2825921B1 (de) Steuerungsvorrichtung zum steuern von sicherheitskritischen prozessen in einer automatisierten anlage und verfahren zur parameterierung der steuerungsvorrichtung
EP2165474B1 (de) Schnelle ringredundanz eines netzwerkes
DE19842593C2 (de) Verfahren zum Betrieb eines Busmasters an einem Feldbus
EP3470937A1 (de) Verfahren und vorrichtungen zum überwachen der reaktionszeit einer durch ein sicherheitssystem bereitgestellten sicherheitsfunktion

Legal Events

Date Code Title Description
8110 Request for examination paragraph 44
R016 Response to examination communication
R018 Grant decision by examination section/examining division
R020 Patent grant now final
R071 Expiry of right