-
Die vorliegende Erfindung bezieht sich allgemein auf Sicherheitssysteme, die in Prozessanlagen verwendet werden und im Spezielleren auf ein Sicherheitssystem, das in einem Prozesssteuerungssystem einer Prozessanlage eingebettet oder darin integriert ist.
-
Prozesssteuerungssysteme, wie diejenigen, die in chemischen, Erdöl- oder anderen Prozessen eingesetzt werden, umfassen typischerweise einen oder mehrere Prozessrechner, die über analoge, digitale, oder kombinierte analoge/digitale Busse kommunikativ mit mindestens einem Host- oder Bedienerarbeitsplatzrechner und einem oder mehreren Feldgeräten gekoppelt sind. Die Feldgeräte, welche beispielsweise Ventile, Ventilstellglieder, Schalter und Messwertgeber (z. B. Temperatur-, Druck- und Fließgeschwindigkeitssensoren) sein können, erfüllen Aufgaben innerhalb der Prozessanlage, wie Öffnen und Schließen von Ventilen, und Messen von Prozessparametern. Die Prozessrechner empfangen Signale, die von den Feldgeräten durchgeführte Prozessmessungen und/oder andere die Feldgeräte betreffenden Informationen anzeigen, verwenden diese Informationen, um Steuerprogramme zu implementieren und dann Steuersignale zu erzeugen, die über die Busse an die Feldgeräte geschickt werden, um den Ablauf des Prozesses zu steuern. Informationen aus den Feldgeräten und den Rechnern werden typischerweise einer oder mehreren Anwendungen zur Verfügung gestellt, die vom Bedienerarbeitsplatzrechner ausgeführt werden, um einen Bediener in die Lage zu versetzen, irgendeine gewünschte Aufgabe im Hinblick auf den Prozess zu erfüllen, wie Konfigurieren des Prozesses, den momentanen Zustand des Prozesses zu überblicken, den Ablauf des Prozesses zu verändern, etc.
-
Darüber hinaus ist bei vielen Prozessen ein separates Sicherheitssystem vorgesehen, um signifikante sicherheitsbezogene Probleme innerhalb der Prozessanlage zu erfassen und Ventile automatisch zu schließen, Geräte stromfrei zu schalten, Durchflussmengen innerhalb der Anlage zu regeln, etc., wenn ein Problem auftritt, das in einer ernsthaften Gefahr in der Anlage, wie ein Auslaufen giftiger Chemikalien, eine Explosion, etc enden oder dazu führen könnte. Diese Sicherheitssysteme besitzen neben den Prozesssteuerungsrechnern typischerweise noch einen oder mehrere separate Rechner, die über separate, innerhalb der Prozessanlage angeordnete Busse oder Kommunikationsleitungen an die Feldgeräte angeschlossen sind. Die Sicherheitsrechner verwenden die Sicherheitsfeldgeräte, um Prozessbedingungen zu erfassen, die mit signifikanten Ereignissen zusammenhängen, wie die Position bestimmter Sicherheitsschalter oder Abschaltventile, Über- oder Unterlaufbedingungen im Prozess, den Betrieb wichtiger Stromerzeugungs- oder Steuergeräte, den Betrieb von Fehlererfassungsgeräten, etc., um dadurch „Ereignisse” innerhalb der Prozessanlage zu erfassen. Wird ein Ereignis erfasst, ergreift der Sicherheitsrechner irgendeine Maßnahme, um die schädliche Auswirkung des Ereignisses einzuschränken, wie Ventile zu schließen, Geräte abzuschalten, Abschnitte der Anlage stromfrei zu schalten, etc.
-
Eine Entkopplung zwischen Prozessrechnern und Sicherheitsrechnern wird als wichtig erachtet (und wird häufig durch geltende staatliche Richtlinien angeordnet), weil eine Verwendung eines Prozessrechners zur Durchführung von Sicherheitsaufgaben zum gleichzeitigen Ausfall der Sicherheits- und Prozesssteuerungsfunktionen führt, wenn der Prozessrechner ausfällt. Die Sicherheitsfunktionen werden jedoch dann am Kritischsten, wenn der Prozessrechner ausfällt, weil dabei der Prozess teilweise oder gänzlich außer Kontrolle ist.
-
Unglücklicherweise führte die Entkopplung zwischen den Prozess- und Sicherheitsrechnern in Prozessanlagen dazu, dass diese Systeme voneinander vollkommen getrennt sind. Im Ergebnis wird typischerweise eine unterschiedliche Kommunikationsstruktur verwendet, um diese unterschiedlichen Systeme innerhalb derselben Anlage einzusetzen, wobei unterschiedliche Konfigurationsanwendungen und Arbeitsplatzrechner verwendet werden, um diese separaten Systeme zu konfigurieren und zu überwachen. Aufgrund dieser Unterschiede wird typischerweise unterschiedliches Personal gebraucht, um Konfigurations- und Überwachungstätigkeiten im Hinblick auf diese unterschiedlichen Systeme durchzuführen, was insgesamt zu zusätzlichen Kosten beim Konfigurieren und Betreiben einer Prozessanlage führt, die ein Sicherheitssystem verwendet.
-
Da darüber hinaus Sicherheitssysteme nicht die Prozesssteuerungssysteminfrastruktur verwenden, wird häufig innerhalb ein und derselben Prozessanlage eine unterschiedliche und vollständig unzusammenhängende Sicherheitssystemhardware an unterschiedlichen Stellen wie etwa unterschiedlichen Knoten verwendet. Dies führt zu einer Anzahl von unterschiedlichen und unzusammenhängenden Sicherheitssystemen in ein und derselben Anlage, die separat konfiguriert und überwacht werden müssen.
-
Aus der
US 2004 021 0326 A1 ist ein Sicherheitssteuerungssystem (Safety Unit Controller System) mit eingebettetem Sicherheitsnetz bekannt, das einen Computer mit Host-Funktion, eine Steuerung, mehrere E/A-Karten mit bzw. ohne Sicherheitsfunktionalität und zugehörige Bussysteme umfasst.
-
Eine Prozessanlage umfasst ein Sicherheitssystem, das physikalisch auf eine Weise in ein Prozesssteuerungssystem integriert ist, die es ermöglicht, dass das Sicherheits- und das Prozesssteuerungssystem eine gemeinsame Hard- und Software für Kommunikation, Konfiguration und Anzeige in der Prozessanlage verwenden können, während sie immer noch eine funktionale Entkopplung zwischen den Sicherheitssystem- und den Prozesssteuerungssystemrechnern bereitstellen. Noch weiter darüber hinaus kann die Sicherheitssystemhardware an den unterschiedlichen Knoten einer Prozessanlage miteinander kommunizieren, um ein einziges und integriertes Sicherheitssystem innerhalb der Prozessanlage herzustellen.
-
Wie typisch ist, sind separate Sicherheitssystemrechner über eine Sicherheitskommunikationsinfrastruktur mit den Sicherheitsgeräten verbunden, während Prozesssteuerungssystemrechner über standardmäßige Steuerungssystembusse oder -kommunikationsleitungen mit Steuerungssystemfeldgeräten verbunden sind. Die Sicherheitssystemrechner sind jedoch über einen Bus oder eine andere Kommunikationsleitung kommunikativ mit den Prozesssteuerungssystemrechnern verbunden und jeweils über ein gemeinsames Kommunikationsnetz mit einem oder mehreren Bedienerarbeitsplatzrechnern innerhalb der Prozessanlage verbunden, wodurch es möglich ist, dass die Software in den Bedienerarbeitsplatzrechnern sowohl mit den Prozesssteuerungsrechnern (und damit zusammenhängenden Prozesssteuerungsfeldgeräten) als auch den Sicherheitssystemrechnern (und damit zusammenhängenden Sicherheitsfeldgeräten) kommunizieren und diese konfigurieren und deren Betrieb bildlich darstellen kann. Während jedoch die Sicherheitssystem- und Prozesssteuerungssystemrechner miteinander kommunizieren können, um dadurch Daten voneinander zu erhalten, sind sie so programmiert, dass die Prozesssteuerungssystemrechner keines der Sicherheitssystemgeräte steuern oder konfigurieren können, was für die notwendige funktionale Entkopplung zwischen sowohl dem Prozesssteuerungs- als auch dem Sicherheitssystem sorgt.
-
Diese Integration schafft den Bedarf nach einer zusätzlichen Kommunikations- und Anzeigestruktur innerhalb der Anlage aus der Welt, die, abgesehen vom Prozesssteuerungssystem nicht unbedingt für einen ordnungsgemäßen Betrieb des Sicherheitssystems gebraucht wird, und ermöglicht es einer mit der Prozessanlage zusammenhängenden Konfigurationsanwendung, sowohl das Prozesssteuerungs- als auch das Sicherheitssystem zu konfigurieren und die Hard- und Software sowohl der Prozess- als auch der Sicherheitssteuerung in einer gemeinsamen oder integrierten Ansicht der Prozessanlage anzuzeigen.
-
1 ist ein Blockschema einer beispielhaften Prozessanlage mit einem in ein Prozesssteuerungssystem integrierten Sicherheitssystem;
-
2 ist eine Bildschirmanzeige, die durch eine Konfigurationsanwendung in einem der Arbeitsplatzrechner von 1 generiert wurde und eine Konfigurationsansicht der Prozessanlage von 1 darstellt, die sowohl Prozesssteuerungssystem- als auch Sicherheitssystemgeräte zeigt;
-
3 ist ein Blockschema mehrerer Sicherheitssystemrechner, die über ein erstes Kommunikationsnetz miteinander und zusätzlich über ein zweites und gemeinsames Kommunikationsnetz mit Prozesssteuerungssystemrechnern und Benutzeroberflächen verbunden sind; und
-
4 ist eine Schemazeichnung, die einen Buszyklus eines nicht-hierarchischen (Peer-to-Peer) Busses darstellt, der im Sicherheitssystem der 1 und 3 verwendet wird.
-
Nun umfasst mit Bezug auf 1 eine Prozessanlage 10 ein Prozesssteuerungssystem 12, das mit einem (durch unterbrochene Linien angezeigtes) Sicherheitssystem 14 integriert ist, welches im Allgemeinen als sicherheitsinstrumentiertes System (SIS) arbeitet, um die vom Prozesssteuerungssystem 12 bereitgestellte Steuerung/Regelung zur Maximierung des wahrscheinlichen Sicherheitsbetriebs der Prozessanlage 10 zu überwachen und durch Override außer Kraft zu setzen. Die Prozessanlage 10 umfasst auch einen oder mehreren Host-Arbeitsplatzrechner, Computer oder Benutzeroberflächen 16 (die irgendeine Art von PC, Arbeitsplatzrechner, etc. sein können), auf die durch das Anlagenpersonal wie Prozesssteuerungsoperatoren, Wartungspersonal, Systemtechniker, etc. zugegriffen werden kann. In dem in 1 dargestellten Beispiel sind drei Benutzeroberflächen 16 gezeigt, die mit zwei separaten Prozesssteuerungs-/Sicherheitssteuerungsknoten 18 und 20 und mit einer Konfigurationsdatenbank 21 über eine gemeinsame Kommunikationsleitung oder einen gemeinsamen Kommunikationsbus 22 verbunden sind. Das Kommunikationsnetz 22 kann unter Verwendung einer beliebigen auf Bus basierenden oder nicht auf Bus basierenden Hardware implementiert sein, unter Verwendung einer beliebigen festverdrahteten oder drahtlosen Kommunikationsstruktur, und unter Verwendung eines beliebigen oder geeigneten Kommunikationsprotokolls wie einem Ethernet-Protokoll.
-
Allgemein ausgedrückt, umfasst jeder der Knoten 18 und 20 der Prozessanlage 10 sowohl Prozesssteuerungssystem- als auch Sicherheitssystemgeräte, die über eine Busstruktur miteinander verbunden sind, die auf einer Rückwandplatine vorgesehen werden kann, in der die verschiedenen Geräte befestigt sind. Der Knoten 18 ist in 1 als einen Prozessrechner 24 (welcher ein redundantes Rechnerpaar sein kann) sowie ein oder mehrere Eingabe-/Ausgabegeräte (E/A-Geräte) 28, 30 und 32 des Prozesssteuerungssystems umfassend dargestellt, während der Knoten 20 als einen Prozessrechner 26 (welcher ein redundantes Rechnerpaar sein kann) sowie ein oder mehrere E/A-Geräte 34 und 36 des Prozesssteuerungssystems umfassend dargestellt ist. Jedes der E/A-Geräte 28, 30, 32, 34 und 36 des Prozesssteuerungssystems ist kommunikativ mit einer Gruppe von prozesssteuerungsbezogenen Feldgeräten verbunden, die in 1 als Feldgeräte 40 und 42 dargestellt sind. Die Prozessrechner 24 und 26, die E/A-Geräte 28–36 und die Prozesssteuerungsfeldgeräte 40 und 42 machen allgemein das Prozesssteuerungssystem 12 von 1 aus.
-
Ebenso umfasst der Knoten 18 einen oder mehrere Sicherheitssystemlogiklöser 50, 52, während der Knoten 20 Sicherheitssystemlogiklöser 54 und 56 umfasst. Jeder dieser Logiklöser 50–56 ist ein E/A-Gerät mit einem Prozessor 57, der in einem Speicher abgespeicherte Sicherheitslogikbausteine 58 ausführt, und steht kommunikativ in Verbindung, um Steuersignale an die Feldgeräte 60 und 62 zu schicken und/oder Signale von diesen zu empfangen. Zusätzlich umfasst jeder der Knoten 18 und 20 mindestens ein Nachrichtenverbreitungsgerät (MPD – Message Propagation Device) 70 bzw. 72, welche über eine Ringbusverbindung 74 miteinander verbunden sind. Die Sicherheitssystemlogiklöser 50–56, die Sicherheitssystemfeldgeräte 60 und 62, die MPDs 70 und 72 und der Bus 74 machen allgemein das Sicherheitssystem 14 von 1 aus.
-
Die Prozessrechner 24 und 26, bei denen es sich nur beispielhaft um Delta VTM-Rechner, die von Fisher-Rosemount Systems, Inc. vertrieben werden, oder irgendeine andere beliebige Art von Prozessrechnern handeln kann, sind so programmiert, dass sie eine Prozesssteuerungsfunktionalität (indem sie das verwenden, was allgemein als Steuerbausteine bezeichnet wird) unter Verwendung der E/A-Geräte 28, 30 und 32 (für den Rechner 24), der E/A-Geräte 34 und 36 (für den Rechner 26), und der Feldgeräte 40 und 42 bereitstellen. Insbesondere implementiert oder überwacht jeder der Rechner 24 und 26 ein oder mehrere darin gespeicherte oder anderweitig damit zusammenhängende Prozesssteuerungsprogramme und kommuniziert mit den Feldgeräten 40 und 42 und den Arbeitsplatzrechnern 16, um den Prozess 10 oder einen Teil des Prozesses 10 auf eine gewünschte Weise zu steuern/regeln. Die Feldgeräte 40 und 42 können jede beliebige Art von Feldgeräten sein, wie Sensoren, Ventile, Messwertgeber, Stellglieder, etc., und können jedem gewünschten offenen, geschlossenen oder anderen Kommunikations- oder Programmierprotokoll, einschließlich beispielsweise dem HART- oder dem 4–20 ma-Protokoll (wie für die Feldgeräte 40 dargestellt), jedem Feldbusprotokoll wie dem Protokoll Foundation Fieldbus (wie für die Feldgeräte 42 dargestellt), oder den CAN-, Profibus-, AS-Interface-Protokollen entsprechen, um nur einige wenige zu nennen. Ähnlich können die E/A-Geräte 28–36 irgendeine bekannte Art von E/A-Geräten für die Prozesssteuerung sein, die irgendein geeignetes oder irgendwelche geeigneten Kommunikationsprotokolle verwendet/verwenden.
-
Die Sicherheitslogiklöser 50–56 von 1 können eine beliebige Art von Sicherheitssystemsteuergeräten sein, die einen Prozessor 57 und einen Speicher umfassen, der Sicherheitslogikbausteine 58 speichert, die dazu ausgelegt sind, auf dem Prozessor 57 ausgeführt zu werden, um Steuerungsfunktionalität in Zusammenhang mit dem Sicherheitssystem 14 unter Verwendung der Sicherheitsfeldgeräte 60 und 62 bereitzustellen. Natürlich können die Sicherheitsfeldgeräte 60 und 62 eine beliebige Art von Feldgeräten sein, die irgendeinem bekannten oder gewünschten Kommunikationsprotokoll, wie den oben erwähnten, entsprechen oder dieses verwenden. Insbesondere können die Feldgeräte 60 und 62 sicherheitsbezogene Feldgeräte der Art sein, die herkömmlicher Weise von einem separaten, zweckgebundenen sicherheitsbezogenen Steuersystem gesteuert werden. In der in 1 dargestellten Prozessanlage 10 sind die Sicherheitsfeldgeräte 60 so dargestellt, dass sie ein zweckgebundenes oder Punkt-zu-Punkt-Kommunikationsprotokoll, wie das HART- oder 4–20 ma-Protokoll verwenden, während die Sicherheitsfeldgeräte 62 so dargestellt sind, dass sie ein Buskommunikationsprotokoll wie ein Fieldbus-Protokoll verwenden.
-
Eine gemeinsame Rückwandplatine 76 (angezeigt durch eine unterbrochene Linie durch die Rechner 24, 26, die E/A-Geräte 28–36, die Sicherheitslogiklöser 50–56 und die MPDs 70 und 72) wird in jedem der Knoten 18 und 20 verwendet, um die Rechner 24 und 26 an die E/A-Karten 28, 30 und 32 oder 34 und 36 der Prozesssteuerung sowie an die Sicherheitslogiklöser 52, 54 oder 56 und 58 und an die MPDs 70 oder 72 anzuschließen. Die Rechner 24 und 26 sind auch kommunikativ an den Bus 22 angeschlossen und wirken für diesen als Busarbitrator, um die E/A-Geräte 28–36, die Logiklöser 52–56 bzw. die MPDs 70 und 72 in die Lage zu versetzen, über den Bus 22 mit einem der Arbeitsplatzrechner 16 zu kommunizieren.
-
Wie klar wird, umfasst jeder der Arbeitsplatzrechner 16 einen Prozessor 77 und einen Speicher 78, der eine oder mehrere Konfigurations- und/oder Anzeigeanwendungen speichert, die dazu ausgelegt sind, auf dem Prozessor 77 ausgeführt zu werden. Eine Konfigurationsanwendung 80 und eine Anzeigeanwendung 82 sind in 1 in einer in ihre Einzelteile zerlegten Ansicht dargestellt, wie sie in einem der Arbeitsplatzrechner 16 abgespeichert sind. Jedoch könnten, falls gewünscht, diese Anwendungen in anderen als den Arbeitsplatzrechnern 16 oder in anderen zur Prozessanlage 10 gehörenden Computern abgespeichert sein und von diesen ausgeführt werden. Allgemein ausgedrückt stellt die Konfigurationsanwendung 80 einem Systemtechniker eine Konfigurationsinformation zur Verfügung und ermöglicht es ihm, einige oder alle Elemente der Prozessanlage 10 zu konfigurieren oder diese Konfiguration in der Konfigurationsdatenbank 21 zu speichern. Als Teil dieser von der Konfigurationsanwendung 80 durchgeführten Konfigurationstätigkeiten kann der Systemtechniker Steuerprogramme oder Steuerbausteine für die Prozessrechner 24 und 26 erstellen, kann Sicherheitslogikbausteine für irgendwelche bzw. alle der Sicherheitslogiklöser 50–56 erstellen, und kann diese unterschiedlichen Steuer- und Sicherheitsbausteine über den Bus 22 und die Rechner 24 und 26 auf die geeigneten der Prozessrechner 24 und 26 und der Sicherheitslogiklöser 50–56 herunterladen. Ähnlich kann die Konfigurationsanwendung 80 dazu verwendet werden, andere Programme und Logik zu erstellen und auf die E/A-Geräte 28–36, irgendwelche der Feldgeräte 40, 42, 60 und 62, etc., herunterzuladen.
-
Umgekehrt kann die Anzeigeanwendung
82 dazu eingesetzt werden, einem Benutzer wie einem Prozesssteuerungsoperator, einem Sicherheitsoperator, etc., eine oder mehrere Anzeigen, falls das so gewünscht wird, entweder in gesonderten Ansichten oder in ein und derselben Ansicht bereitzustellen, welche Informationen über den Zustand des Prozesssteuerungssystems
12 und des Sicherheitssystems
14 beinhaltet. Beispielsweise kann die Anzeigeanwendung
82 eine Alarmanzeigeanwendung sein, die Alarmmeldungen empfängt und einem Bediener anzeigt. Falls gewünscht, kann solch eine Alarmanzeigeanwendung eine Form annehmen, wie sie im
US-Patent Nr. 5,768,119 mit dem Titel „Process Control System Including Alarm Priority Adjustment” und der US-Patentanmeldung Nr. 09/707,580 mit dem Titel ”Integrated Alarm Display in a Process Control Network” offenbart ist. Es wird jedoch klar, dass die Alarmanzeige oder das Alarmbanner dieser Patente Alarme sowohl vom Prozesssteuerungssystem
12 als auch dem Sicherheitssystem
14 empfangen und in einer integrierten Alarmanzeige anzeigen kann, da die Alarme aus beiden Systemen
12 und
14 zum Bedienerarbeitsplatzrechner
16 geschickt werden, der die Alarmanzeigeanwendung ausführt, und werden als Alarme aus unterschiedlichen Geräten erkennbar sein. Gleichermaßen kann ein Bediener Sicherheitsalarme, die in einem Alarmbanner angezeigt werden, auf dieselbe Weise bearbeiten wie Prozesssteuerungsalarme. Beispielsweise kann der Bediener oder Benutzer Sicherheitsalarme quittieren, abschalten, etc., indem er die Alarmanzeige verwendet, die dann Nachrichten an die geeigneten Prozessrechner
24,
26 im Sicherheitssystem
14 schickt, indem sie Verbindungen über den Bus
22 und die Rückwandplatine
76 verwendet, um im Hinblick auf den Sicherheitsalarm die entsprechende Maßnahme zu ergreifen. Auf ähnliche Weise können andere Diagnoseanwendungen Diagnoseinformationen oder -daten aus dem Prozesssteuerungssystem
12 und dem Sicherheitssystem
14 anzeigen, weil diese Systeme dieselben Typen und Arten von Parametern, Schutz und Verweisen benutzen, so dass alle Daten aus einem der Systeme
12 und
14 in einer Anzeige oder Ansicht integriert werden können, die herkömmlicher Weise für ein Prozesssteuerungssystem vorgesehen ist.
-
Auf jeden Fall können die Anwendungen 80 und 82 separate Konfigurations- und andere Signale an jeden der Prozessrechner 24 und 26 schicken und von diesen sowie jedem der Sicherheitssystemlogiklöser 50–56 empfangen. Diese Signale können Nachrichten auf Prozessebene umfassen, die sich auf die Steuerung der Betriebsparameter der prozesssteuerungsbezogenen Feldgeräte 40 und 42 beziehen, und können Nachrichten auf Sicherheitsebene umfassen, die sich auf die Steuerung der Betriebsparameter der sicherheitsbezogenen Feldgeräte 60 und 62 beziehen Während die Sicherheitslogiklöser 50–56 so programmiert werden können, dass sie sowohl die Nachrichten auf Prozessebene als auch auf Sicherheitsebene erkennen können, sind die Sicherheitslogiklöser 50–56 dazu in der Lage, zwischen den beiden Nachrichtenarten zu unterscheiden und können nicht durch Konfigurationssignale auf Prozessebene programmiert oder beeinflusst werden. In einem Beispiel können die an die Prozesssteuerungssystemgeräte verschickten Programmiernachrichten bestimmte Felder oder Adressen enthalten, welche von den Sicherheitssystemgeräten erkannt werden, und welche verhindern, dass diese Signale dazu verwendet werden, die Sicherheitssystemgeräte zu programmieren.
-
Falls gewünscht, können die Sicherheitslogiklöser 50–56 im Vergleich zur Hardware- und Softwareauslegung, die für die E/A-Karten 28–36 der Prozesssteuerung verwendet werden, dieselbe oder eine andere Hardware- oder Softwareauslegung verwenden. Der Einsatz von wechselnden Technologien für die Geräte im Prozesssteuerungssystem 12 und die Geräte im Sicherheitssystem 14 kann jedoch Hard- und Softwareausfälle minimieren oder ausschalten, die eine gemeinsame Ursache haben.
-
Darüber hinaus können die Sicherheitssystemgeräte einschließlich der Logiklöser 50–56 können auch irgendwelche beliebigen Entkopplungs- und Schutztechniken benutzen, um die Wahrscheinlichkeit zu reduzieren oder auszuschalten, dass unberechtigte Änderungen an dadurch implementierten sicherheitsbezogenen Funktionen vorgenommen werden. Beispielsweise können die Sicherheitslogiklöser 50–56 und die Konfigurationsanwendung 80 eine Person mit einem besonderen Berechtigungsgrad oder eine Person, die sich an einem besonderen Arbeitsplatzrechner befindet, auffordern, Änderungen an den Sicherheitsbausteinen in den Logiklösern 50–56 vorzunehmen, wobei dieser Berechtigungsgrad oder diese Berechtigungsstelle sich vom Grad oder der Stelle der Berechtigung oder des Zugriffs unterscheidet, der/die erforderlich ist, um Änderungen an den von den Rechnern 24 und 26 und den E/A-Geräten 28–36 durchgeführten Steuerfunktionen vorzunehmen. In diesem Fall haben nur diejenigen Personen, die in der Sicherheitssoftware benannt sind oder sich an Arbeitsplätzen befinden, die dazu berechtigt sind, Änderungen am Sicherheitssystem vorzunehmen, eine Berechtigung, sicherheitsbezogene Funktionen zu ändern, was die Gefahr minimiert, den Betrieb des Sicherheitssystems 14 zu verfälschen. Wie klar wird, können die Prozessoren in den Sicherheitslogiklösern 50–56, um einen solchen Schutz oder eine solche Sicherung bereitzustellen, auf die eingehenden Nachrichten zugreifen und auf passende Form und Sicherung überprüfen, und als Wächter über Änderungen wirken, die an den Steuerbausteinen 58 auf Sicherheitsebene, die in den Sicherheitslogiklösern 50–56 ausgeführt werden, vorgenommen werden.
-
Darüber hinaus kann, falls gewünscht, wenn sicherheitsbezogene Funktionen in den Logiklösern 50–56 erst einmal freigegeben sind, keine Statusveränderung an den Sicherheitsfunktionen über die Bedienerarbeitsplatzrechner 14 ohne angemessene Zugriffsrechte vorgenommen werden, was es ermöglicht, dass die mit dem Prozesssteuerungssystem 12 zusammenhängende Kommunikationsstruktur dazu verwendet werden kann, eine Initialisierung für das Sicherheitssystem 14 und eine Ablaufliste des Betriebs des Sicherheitssystems 14 bereitzustellen, aber immer noch das Prozesssteuerungssystem 12 vom Sicherheitssystem 14 in dem Sinne zu entkoppeln, dass Veränderungen am Prozesssteuerungssystem 12 sich nicht auf den Betrieb des Sicherheitssystems 14 auswirken können.
-
Wie klar wird, ermöglicht es die Verwendung der Rückwandplatine 76 in jedem der Knoten 18 und 20 den Sicherheitslogiklösern 50 und 52 und den Sicherheitslogiklösern 54 und 56, lokal miteinander zu kommunizieren, um Sicherheitsfunktionen zu koordinieren, die von jedem dieser Geräte bewerkstelligt werden, um einander Daten mitzuteilen oder andere integrierte Funktionen zu erfüllen. Andererseits wirken die MPDs 70 und 72 so, dass sie es Teilen des Sicherheitssystems 14, die sich an äußerst unterschiedlichen Stellen der Anlage 10 befinden, ermöglichen, immer noch miteinander zu kommunizieren, um einen koordinierten Sicherheitsbetrieb an unterschiedlichen Knoten der Prozessanlage 10 bereitzustellen. Insbesondere ermöglichen es die MPDs 70 und 72 zusammen mit dem Bus 74, dass die Sicherheitslogiklöser, die mit den verschiedenen Knoten 18 und 20 der Prozessanlage 10 zusammenhängen, kommunikativ in Kaskadenschaltung miteinander verbunden sind, um für die Kaskadenschaltung von sicherheitsbezogenen Funktionen innerhalb der Prozessanlage 10 nach einer zugeteilten Priorität zu sorgen. Alternativ können zwei oder mehr sicherheitsbezogene Funktionen an unterschiedlichen Stellen innerhalb der Prozessanlage 10 verknüpft oder miteinander verbunden werden, ohne dass dabei eine zweckgebundene Leitung zu einzelnen Sicherheitsfeldgeräten innerhalb der gesonderten Bereiche oder des Knotens der Anlage 10 verlegt werden müsste. Anders ausgedrückt ermöglicht es der Einsatz der MPDs 70 und 72 und des Busses 74 einem Systemtechniker, ein Sicherheitssystem 14 zu entwerfen und konfigurieren, das von der Art her über die gesamte Prozessanlage 10 verteilt ist, dessen unterschiedlichen Komponenten aber kommunikativ miteinander verbunden sind, um es der verschiedenen sicherheitsbezogenen Hardware zu ermöglichen, wie erforderlich miteinander zu kommunizieren. Dieses Merkmal sorgt auch für eine Skalierbarkeit des Sicherheitssystem 14, indem es ermöglicht, dass zusätzliche Logiklöser dem Sicherheitssystem 14 hinzugefügt werden können, wenn sie benötigt werden, oder wenn der Prozessanlage 10 neue Prozesssteuerungsknoten hinzugefügt werden.
-
2 stellt eine Bildschirmmaske 83 dar, die durch das Konfigurationsprogramm 80 von 1 erzeugt werden kann, und die eine Konfigurationsdarstellung veranschaulicht, bei der das Sicherheitssystem 14 (einschließlich der Logiklöser und der Sicherheitsfeldgeräte) mit dem Prozesssteuerungssystem 12 integriert ist. Es wird klar, dass die Konfigurationsbildschirmmaske 83 von 2 die Art und Weise darstellt, in der die Konfigurationsanwendung 80 die mit den verschiedenen Geräten innerhalb der Prozessanlage 10 zusammenhängende Software konfiguriert hat und von einem Systemtechniker dazu verwendet werden kann, um die gegenwärtige Konfiguration der Prozessanlage zu erstellen oder zu verändern, indem eine neue Konfigurationssoftware auf die Geräte innerhalb der Prozessanlage 10, einschließlich der Prozesssteuerungssystem- und Sicherheitssystemgeräte heruntergeladen wird.
-
Wie in der Bildschirmmaske 83 dargestellt ist, umfasst die Prozessanlage 10 einen physikalischen Netzabschnitt 84, der zur Anzeige der physikalischen Verknüpfungen der Geräte innerhalb der Prozessanlage 10 verwendet wird, und einen Sicherheitsnetzabschnitt 85, der zum Konfigurieren von Sicherheitssystemgeräten verwendet wird. Der physikalische Netzabschnitt 84 umfasst einen Steuernetzabschnitt 86 mit einem Rechner 87 (CTRL1 genannt). Der Rechner 87, bei dem es sich um einen der Rechner von 1 handeln kann, umfasst eine Gruppe zugeteilter Bausteine 88, welche Steuerbausteine sind, die im Rechner 87 gespeichert sind und von diesem ausgeführt werden, und einen E/A-Geräteabschnitt 89, der zu Kommunikationszwecken an den Rechner 87 angeschlossen ist. Der E/A-Geräteabschnitt 89 ist erweitert, um alle Karten 90 darzustellen, die an den Rechner 87 (CTRL1) über eine der Rückwandplatinen 76 von 1 angeschlossen sind. In diesem Beispiel umfasst der E/A-Geräteabschnitt 89 Eingabe-/Ausgabekarten C01–C05, C11–C15 und C21 der Prozesssteuerung. Jede dieser Karten kann erweitert werden, um die Kennung der unterschiedlichen Feldgeräte oder andere damit zusammenhängende Informationen darzustellen (welche Feldgeräte einzelne der Feldgeräte 40 und 42 von 1 sind), die an jede dieser Karten angeschlossen sind. Auf ähnliche Weise sind zur Darstellung der physikalischen Anschlüsse zwei Sicherheitssystemkarten C07 (BLR1BMS genannt) und CO17 (noch nicht konfiguriert) dargestellt. Diese Karten sind in schraffiertem Format dargestellt und können in diesem Abschnitt nicht erweitert werden, weil sie nicht in und durch das Steuernetz konfiguriert werden können. Aber, wie klar wird, können die Geräte, die mit dem Prozesssteuerungssystem 12 zusammenhängen, unter Verwendung des Steuernetzabschnitts 86 der Bildschirmmaske 83 konfiguriert werden, indem Steuerbausteine, E/A-Geräte und/oder Feldgeräte in diesem Abschnitt der Konfigurationsdarstellung hinzugefügt, gelöscht oder verändert werden.
-
Das Sicherheitssystem
14 ist im Sicherheitsnetzabschnitt
85 der Bildschirmmaske
83 als drei Sicherheitslogiklöser
91–
93 umfassend dargestellt, die als BLR1BMS, BLR2BMS und LS1 bezeichnet sind. Gleichermaßen können, falls gewünscht, Nachrichtenverbreitungsgeräte (wie die MPDs
70 und
72 von
1) im Sicherheitsnetzabschnitt
85 dargestellt sein. In der Bildschirmmaske
83 ist der Sicherheitslogiklöser
91 erweitert, um darzustellen, dass er zugewiesene Sicherheitsbausteine, einen oder mehrere Kanäle (die an die Sicherheitsfeldgeräte wie die Geräte
60 und
62 von
1 angeschlossen sind) und Schutzparameter enthält. Jedes dieser Elemente könnte in diesem Abschnitt der Bildschirmmaske
83 weiter angezeigt, hinzugefügt, gelöscht oder verändert werden, um dadurch das Sicherheitssystem
14 zu konfigurieren. Insbesondere kann das Sicherheitssystem
14 unter Verwendung des Sicherheitsnetzabschnitts
85 auf eine ähnliche Weise konfiguriert und modifiziert werden wie das Konfigurieren des Prozesssteuerungsnetzes
12 unter Verwendung des Steuernetzabschnitts
86. Wie klar wird, können nämlich Steuer- und Sicherheitsbausteine erstellt und jedem dieser unterschiedlichen Steuer- und Sicherheitssysteme zugewiesen werden, indem das Verfahren zum Konfigurieren eines Prozesssteuerungssystems verwendet wird, wie es im
US-Patent Nr. 5,838,563 beschrieben ist, welches dem Übernehmer dieses Patents zugeteilt ist. Allgemein ausgedrückt können jedoch Sicherheitslogikbausteine aus Bausteinvorlageobjekten erstellt werden, die in einer Konfigurationsbibliothek gespeichert und dazu ausgelegt sind, in einem speziellen Sicherheitslogiklöser zum Einsatz zu kommen, um Sicherheitsfunktionen im Hinblick auf spezielle Sicherheitsfeldgeräte innerhalb der Prozessanlage
10 zu erfüllen. Um einen Sicherheitslogikbaustein zu erstellen, kann ein Sicherheitstechniker eine spezielle Steuervorlage kopieren (die dazu verwendet werden kann, um sowohl in Prozessrechnern ablaufende Prozesssteuerungsbausteine als auch in Sicherheitslogiklösern ablaufende Sicherheitslogikbausteine zu erstellen), um einen bestimmten Sicherheitslogikbaustein zu erstellen, und kann diesen Sicherheitslogikbaustein einem bestimmten Sicherheitselement, wie einem der Sicherheitslogiklöser zuweisen, indem dieser Sicherheitslogikbaustein durch Drag-and-Drop unter eine Anzeige des gewünschten Sicherheitslogiklösers in der Konfigurationsbildschirmmaske
83 von
2 verschoben wird. Bei der Implementierung des offenbarten Systems entsteht eine neue Benutzerrolle als Sicherheitstechniker. Beim Konfigurieren des Sicherheitssystems kann der Systemtechniker, der den Prozesssteuerungsabschnitt leitet, nicht die geeigneten Rechte haben, um Sicherheitsbausteine zu konfigurieren, und somit wird eine Konfiguration der Sicherheitsbausteine von einem Sicherheitstechniker durchgeführt. Somit lässt ein Schutz innerhalb des Systems die Berufsbeschreibung gesonderter Sicherheits- und Systemtechniker zu.
-
In einem besonderen Beispiel kann ein Sicherheitstechniker Sicherheitslogiklöser unter dem Sicherheitsnetzabschnitt 85 hinzufügen, indem eine (nicht gezeigte) Menüoption „Add Logic Solver” aus einem Sicherheitsnetzmenü gewählt wird (welches zum Beispiel ein Pop-up-Menü oder ein Pull-down-Menü sein kann). Dabei wird ein Logiklöser mit dem nächsten verfügbaren Systemnamen unter dem Sicherheitsnetz 85 erstellt. Automatisch erstellte Systemnamen können beispielsweise mit LS1 beginnen, können aber auch zu irgendeinem allgemein unverwechselbaren Namen im Konfigurationssystem für die Prozessanlage 10 umbenannt werden. 2 stellt den Fall dar, bei dem zwei Logiklöser umbenannt wurden und einer (LS1) nicht umbenannt wurde. An diesem Punkt ist der Logiklöser immer noch ein Platzhalter, der nicht an einen physikalischen Logiklöser gebunden ist. Danach kann der Benutzer einen Logiklöser durch Drag-and-Drop von unter dem physikalischen Netzabschnitt 84 auf den Sicherheitsnetzabschnitt 85 verschieben, um einen bestimmten physikalischen Logiklöser an den erstellten Platzhalter zu binden. Wenn ein bestimmter Logiklöser unter dem Sicherheitsnetzabschnitt 85 erst einmal gebunden ist, erfolgen an dem und auf den speziellen physikalischen Logiklöser heruntergeladene Konfigurationsveränderungen, wie unter dem physikalischen Netzabschnitt 84 spezifiziert ist. Darüber hinaus kann, wenn einmal gebunden, der Logiklöser unter dem Sicherheitsnetzabschnitt 85 den physikalischen Pfad in Klammern und der Logiklöser unter dem physikalischen Netzabschnitt 84 den Logiklösernamen in Klammern anzeigen. In 2 sind das Sicherheitslogikgerät 91 und die Karte CO7 auf diese Weise aneinander gebunden.
-
Falls gewünscht, kann ein Binden auch dadurch erfolgen, dass ein ungebundener Logiklöser unter dem Sicherheitsnetzabschnitt 85 zu einem ungebundenem Logiklöser unter dem physikalischen Netzabschnitt 84 gezogen werden kann, oder ein ungebundener Logiklöser unter dem physikalischen Netzabschnitt 84 unter den Sicherheitsnetzabschnitt 85 verschoben werden kann. In jedem Fall führt das Binden eines Platzhalters an einen physikalischen Logiklöser zu einem in Klammern gezeigten Bezug. Natürlich ist das Verschieben eines Platzhalters unter dem Sicherheitsnetzabschnitt 85 zu E/A unter einem Controller in einem Steuernetzabschnitt nicht unterstützt, so dass es nicht möglich ist, eine Logiklöserkarte unter einem E/A-Gerät des Prozessrechners zu erstellen. Dies sorgt für eine funktionale Trennung zwischen den Prozesssteuerungs- und den Sicherheitsgeräten. Niedrigrangigere Sicherheitselemente wie Sicherheitsfeldgeräte, Sicherheitsbausteine, Parameter, etc. können einem bestimmten Sicherheitslogiklöser zugewiesen oder an ihn gebunden werden, indem eine Anzeige dieser niedrigrangigeren Elemente an die geeignete Stelle der Bildschirmmaske 83 gesetzt wird.
-
3 stellt die Kommunikationsverbindungen innerhalb und zwischen den Knoten 18 und 20 der Prozessanlage 10 ausführlicher dar. Allgemein ausgedrückt, sind die Bestandteile von 1, die in 3 dargestellt sind, mit denselben Bezugszahlen bezeichnet. Jedoch ist jeder der Prozessrechner 24 und 26 in 3 als ein redundantes Rechnerpaar 24A, 24B und 26A und 26B dargestellt, welche irgendwelche standardmäßigen Redundanztechniken verwenden können. Gleichermaßen ist jeder der Sicherheitslogiklöser 50–56 als ein Gerätepaar mit einem primären Sicherheitslogiklöser 50A, 52A, 54A und 56A und einem sekundären Sicherheitslogiklöser 50B, 52B, 54B und 56B in jedem Paar dargestellt. Wie klar wird, ist jedes Paar der Sicherheitslogiklöser 50–56 an (in 2 nicht dargestellte) Sicherheitsfeldgeräte angeschlossen und kann dieselben Sicherheitslogikbausteine 58 zur Verwendung bei der Erfüllung von Sicherheitsfunktionen innerhalb des Sicherheitssystems 14 speichern. Jedes Paar der Sicherheitslogiklöser 50–56 umfasst einen zweckgebundenen Bus 50C, 52C, 54C und 56C, der zwischen den primären und sekundären Logiklösern angeschlossen ist, um Steuerverbindungen zwischen dem Logiklöserpaar bereitzustellen. Die primären und sekundären Logiklöser lassen gleichzeitig Berechnungen ablaufen und führen sie durch, und die Ausgaben dieser beiden Geräte können über die geeigneten Busse 50C, 52C, 54C und 56C einander mitgeteilt und bestätigt werden. Falls gewünscht, kann das primäre Gerät eine Auswahllogik umfassen, die die Ausgabe des Paars der Sicherheitslogiklöser basierend auf der Ausgabe sowohl der primären als auch der sekundären Geräte bestimmt. Alternativ können irgendwelche beliebigen oder bekannten Redundanztechniken für die Logiklöserpaare 50–56 verwendet werden. Darüber hinaus ist jeder der MPDs 70 und 72 als redundantes Gerätepaar 70A, 70B und 72A, 72B dargestellt, wobei die MPDs der verschiedenen Knoten 18 und 20 mit einem redundanten Paar von knotenübergreifenden Kommunikationsleitungen oder -bussen 74 verbunden sind. Während die Kommunikationsverbindungen zwischen nur zwei Knoten 18 und 20 in den 1 und 3 dargestellt sind, wird klar, dass nur ein einziges oder ein redundantes Paar von MPDs in beliebig vielen unterschiedlichen Knoten der Prozessanlage 10 angeordnet und miteinander in einer Ringbusstruktur verbunden sein kann, um auf irgendeine gewünschte Weise knotenübergreifende Verbindungen bereitzustellen. Obwohl im Allgemeinen aber nicht unbedingt) ein Ringbuskommunikationsaufbau verwendet wird, werden die MPDs des ersten Knotens mit den MPDs des zweiten Knotens verbunden, welcher mit den MPDs des dritten Knotens verbunden wird, usw., wobei die MPDs des letzten Knotens mit den MPDs des ersten Knotens, alle jeweils über den Ringbus 74, verbunden werden. Gibt es, wie in 1 dargestellt, nur zwei Knoten in der Prozessanlage 10, wird der aus den MPDs 72A und 72B des Knotens 20 austretende Bus 74 direkt an die Eingänge der MPDs 70A und 70B des Knotens 18 angeschlossen.
-
Zusätzlich zur Darstellung der Verbindung zwischen den Rechnern 24 und 26 und den Arbeitsplatzrechnern von 1, stellt 3 die Rückwandplatinen 76 ausführlicher dar. Insbesondere sind am Knoten 18 die Rechner 24A und 24B an die E/A-Geräte 28, 30 und 32, an die redundanten Paare der Sicherheitslogiköser 50A, 50B und 52A, 52B und an das redundante Paar der MPDs 70A und 70B über eine Schienenbuskommunikationsverbindung 100 angeschlossen, die vorzugsweise in der Rückwandplatine 76 angeordnet ist. Genauso sind am Knoten 20 die Rechner 26A und 26B an die E/A-Geräte 34 und 36, die Paare der Logiklöser 54A, 54B und 56A, 56B und an das redundante Paar der MPDs 72A und 72B über eine Schienenbuskommunikationsverbindung 102 angeschlossen, die in der Rückwandplatine 76 angeordnet ist. Die Rechner 24 und 26 verwenden die Schienenbusverbindungen 100 und 102, um Kommunikationsverbindungen zwischen den Arbeitsplatzrechnern 14 einerseits und den E/A-Geräten 28, 30, 32, 34 und 36 und den Sicherheitssystemlogiklösern 50, 52, 54, 56, 70 und 72 andererseits, sowie Kommunikationsverbindungen zwischen den E/A-Geräten 28, 30, 32, 34 und 36 einerseits und den Sicherheitslogiklösern 50, 52, 54, 56, 70 und 72 andererseits bereitzustellen. Anders ausgedrückt werden die Schienenbusleitungen 100 und 102 als Kommunikationsnetz verwendet, das es ermöglicht, dass die Sicherheitssystemgeräte innerhalb der Prozessanlage 10 mit den Prozesssteuerungssystemgeräten auf einer höheren Ebene integriert werden können, so dass dieselben Konfigurations- und Anzeigeanwendungen, die in den Arbeitsplatzrechnern 14 angeordnet sind, sowohl mit den Prozesssteuerungssystem- als auch den Sicherheitssystemgeräten kommunizieren, diese konfigurieren und Information von diesen anzeigen können.
-
Zusätzlich umfasst die Rückwandplatine 76, wie im Hinblick auf den Knoten 18 dargestellt ist, einen ersten nicht-hierarchischen oder P2P-Bus (P2P – Peer-to-Peer) 104A, der die Sicherheitssystemlogiklöser 50 und 52 jeweils mit dem primären MPD 70A verbindet, während ein zweiter P2P-Bus 104B die Sicherheitssystemlogiklöser 50 und 52 jeweils mit dem sekundären MPD 70B verbindet. Die ersten und zweiten P2P-Busse 104A und 104B sind lokale P2P-Busse, die lokale Kommunikationsverbindungen zwischen den Sicherheitslogiklösern in einer einzelnen Rückwandplatine 76 sowie dem MPD 70 bereitstellt, der zur Rückwandplatine 76 gehört oder mit ihr verbunden ist. Auf ähnliche Weise umfasst der Knoten 20 einen ersten nicht-hierarchischen Bus (P2P-Bus) 106A, der die redundanten Paare der Sicherheitssystemlogiklöser 54 und 56 jeweils mit dem primären MPD 72A verbindet, während ein zweiter P2P-Bus 106B jeweils die redundanten Paare der Sicherheitssystemlogiklöser 54 und 56 mit dem sekundären MPD 72B verbindet. Der erste und der zweite P2P-Bus 106A und 106B sind lokale P2P-Busse, die lokale Kommunikationsverbindungen zwischen den Sicherheitslogiklösern und dem MPD 72 in der Rückwandplatine 76 des Knotens 20 bereitstellen. Wie klar wird, stellen die ersten und zweiten P2P-Busse 104A, 104B, 106A und 106B redundante Kommunikationspfade zwischen allen sicherheitsbezogenen Logiklösern 50–56 auf den jeweiligen Rückwandplatinen 76 bereit. Falls gewünscht, können die lokalen P2P-Busse 104 und 106 als Rundrufbusse wirken, indem jedes an den Bus angeschlossene Sicherheitslogiklöser- und MPD-Gerät die Übertragungen aller anderen Geräte auf dem Bus empfängt und immer nur ein Gerät senden kann. Während 3 zwei an jede der Rückwandplatinen 76 in den unterschiedlichen Knoten 18 und 20 angeschlossene Sicherheitslogiklöser darstellt, können natürlich beliebig viele Sicherheitslogiklöser, die redundante Logiklöserpaare oder alleinstehende Logiklöser sein können, an die Rückwandplatine 76 an jedem der Knoten 18 und 20 (und dadurch an den lokalen P2P-Bus 104 oder 106) angeschlossen werden.
-
Falls gewünscht, können sich die Sicherheitslogiklöser die lokalen P2P-Buseinrichtungen unter Verwendung einer Zeitvielfachzugriffsmethode (TDMA) teilen, wobei alle lokalen Sicherheitslogiklöser auf einer speziellen Rückwandplatine miteinander synchronisiert sind. In einem Fall können die lokalen P2P-Busse 104 und 106 ein RS485 Manchester-codiertes HDLC-Protokoll mit einem Durchsatz von beispielsweise 2 Mb/sec. verwenden. Dieses Manchester-Codierschema lässt die Leitung mit 4 Mb/s anfahren. Die angegebenen Geschwindigkeiten sind nur beispielhaft, da auch genauso andere geeignete Geschwindigkeiten und Codierschemata gewählt werden können. Darüber hinaus kann, falls gewünscht, jeder der lokalen Sicherheitslogiklöser auf einer speziellen Rückwandplatine seinen Übertragungszeitschlitz innerhalb des auf der Rückwandplatine 76 verwendeten TDMA-Schemas basierend auf seiner physikalischen Anordnung auf der Rückwandplatine 76 bestimmen oder zugeteilt bekommen, was die Anzahl an Konfigurationsschritten reduziert, die zum Installieren der Rückwandplatine 76 an einem bestimmten Knoten erforderlich sind. Noch weiter darüber hinaus können die ersten und zweiten P2P-Busse 104 und 106 der Rückwandplatinen 76 jede beliebige Nachrichtenart unterstützen, und die physikalischen Verknüpfungen für die lokalen P2P-Busse 104 und 106 können in der Rückwandplatine 76 liegen.
-
Die P2P-Fernbusse 74 verwenden vorzugsweise eine Ringtopologie, um zuzulassen, dass Daten zwischen Sicherheitslogiklösern, die sich an unterschiedlichen Knoten der Prozessanlage 10 befinden und deshalb auf unterschiedlichen Rückwandplatinen 76 angeordnet sind, übertragen werden können. Die MPDs 70 und 72 sind für die Verbreitung von Nachrichten um den Ring verantwortlich, der aus dem P2P-Fernbus 74 besteht, um Nachrichten unterzubringen, die aus einem Sicherheitslogiklöser auf derselben Rückwandplatine wie des MPDs 70 oder 72 zum Ring 74 geleitet werden, und um die Nachrichten, die sich im Ring 74 befinden und an einen Sicherheitslogiklöser auf derselben Rückwandplatine wie eines MPDs 70 oder 72 adressiert sind, zu eben diesem Sicherheitslogiklöser zu schicken. Während jede Anzahl an Nachrichten auf dem P2P-Fernbus 74 verbreitet werden kann, sieht eine Ausführungsform ein Maximum von zweiunddreißig (32) Nachrichten vor, die während jedes P2P-Buszyklus verbreitet werden sollen, Diese Nachrichten können von 1 bis 32 separaten und verschiedenen Sicherheitslogiklösern stammen, einschließlich der Sicherheitslogiklöser 50–56 auf den Rückwandplatinen 76 der Knoten 18 und 20, sowie von irgendwelchen anderen Rückwandplatinen auf anderen Knoten in der Prozessanlage 10, die durch den Ringbus 74 miteinander verbunden werden. Als Ergebnis dieser Operation können jedoch alle Sicherheitslogiklöser im Sicherheitssystem 14 synchron arbeiten, selbst wenn sie sich an unterschiedlichen Knoten befinden, weil der Ringbus 74 eine Kommunikationsverbindung zwischen diesen Geräten bereitstellt, was ermöglicht, dass eine Synchronisation erzielt werden kann. Der Ringbus 74 kann jede gewünschte Art von Busstruktur und -protokoll einsetzen, verwendet aber vorzugsweise Punkt-zu-Punkt-Glasfaserkabel mit einem 10Base-T-Ethernet-Protokoll, welches eine Übertragungsrate von 10 Mb/sec. hat.
-
4 veranschaulicht einen Impulsplan 300 für einen einzelnen Buszyklus 302, der auf den lokalen P2P-Bussen 104 und 106 verwendet wird, und der eine für die Art und Weise beispielhafte Impulssequenz darstellt, auf die die P2P-Nachrichten im Verhältnis zu anderen Aktivitäten im Sicherheitssystem 14 über den P2P-Bus verschickt werden. Der Buszyklus 302 reflektiert einen geeigneten Buszykluszeitrahmen oder eine geeignete Buszyklusdauer und wird in eine geeignete Anzahl von einzelnen Zeitschlitzen aufgeteilt, wobei jeder einzelne Zeitschlitz eine ausgewählte Länge hat. Alternativ können alle einzelnen Zeitschlitze dieselbe festgelegte Länge haben. Ein Fachmann wird sofort in der Lage sein, eine geeignete Buszyklusdauer und angemessene Zeitintervalle für die einzelnen Zeitschlitze je nach dem verwendeten Kommunikationsprotokoll und anderen bekannten Auslegungserwägungen wählen, Auf ähnliche Weise könnten außer TDMA-Verbindungen auch andere Arten von Buskommunikationen auf den P2P-Bussen 104 und 106 verwendet werden, falls das so gewünscht wird.
-
Allgemein ausgedrückt ist der Buszyklus 302 von 4 in eine Anzahl von einzelnen Zeitblöcken aufgeteilt. Gemäß dieses offenbarten Beispiels gibt es vier Zeitblöcke 304, 306, 308 und 310, jeder mit verschiedenen Anzahlen von Zeitschlitzen mit verschiedenen Längen. Im Buszyklus 302 von 4 umfasst der Zeitblock 304 einen geeignete Anzahl einzelner Zeitschlitze, wobei jeder Zeitschlitz eine geeignete Länge hat. Auf ähnliche Weise umfassen die Zeitblöcke 306, 308 und 310 jeweils eine geeignete Anzahl einzelner Zeitschlitze, wobei die Zeitschlitze der Zeitblöcke 306, 308 und 310 jeweils eine geeignete Länge haben. Die Anzahl und Länge der einzelnen Zeitschlitze in jedem der Zeitblöcke 304, 306, 308 und 310 kann basierend auf den Einzelheiten des Kommunikationsprotokolls gewählt werden, das vom Endbenutzer des Systems 14 gewählt wird. Allgemein ausgedrückt werden die den Zeitblöcken 304 zugeteilten Zeitschlitze nicht dazu verwendet, um irgendwelche besondere Nachrichten über den P2P-Bus 104 oder 106 zu verschicken. Während eines Abschnitts 312 des Zeitblocks 304 führen die Logiklöser auf dem Bus 104 oder 106 jedoch eine Eingabeabtastung durch (d. h. sie tasten Eingaben aus den daran angeschlossenen Feldgeräten 60 und 62 ab) und führen dann die Sicherheitslogikalgorithmen oder -bausteine in den Sicherheitslogiklösern aus. Natürlich können, da diese Aktivitäten die P2P-Busse 104 und 106 nicht verwenden, dem Zeitblock 304 alle Nachrichtenarten zugeteilt werden, solange diese Nachrichtenarten die Abtast- und Sicherheitssteuerungsaktivitäten nicht stören, die während dieser Zeitdauer stattfinden. Jedenfalls kann, wie in 4 angegeben ist, ein Zeitabschnitt 314 verwendet werden, um Synchronisationssignale zwischen redundanten Sicherheitslogiklöserpaaren zu verschicken, indem beispielsweise die Leitungen 50C, 52C, 54C und 56C von 3 verwendet werden. Auch werden während einer Zeitdauer 316 die einzelnen Sicherheitslogikbausteine in den Sicherheitslogiklösern auf den Bussen 104 und 106 ausgeführt und die Ausgänge dieser Sicherheitsbausteine berechnet und eingestellt.
-
Während des Zeitblocks 306 übertragen die Sicherheitslogiklöser auf dem Bus 104 oder 106 eine Satz Boolescher Datenwerte. Die Booleschen Datenwerte werden von den einzelnen Logiklösern generiert und sind vorzugsweise ein digitales Signal, das ein Ergebnis einer in den Logiklösern ablaufenden Logik angibt. In dem offenbarten Beispiel kann sich solch ein digitales Signal besonders für sicherheitsbezogene Unterbrechungsnachrichten eignen, die typischerweise im Sicherheitssystem 14 verwendet werden. Insbesondere wird jeder Sicherheitslogiklöser während der Blockzeitdauer 306 zum Durchführen dieser Tätigkeit mit einem oder mehreren Zeitschlitzen versehen, und jeder der anderen Sicherheitslogiklöser und jedes der MPD-Geräte auf dem Bus 104 oder 106 erhalten diese Übertragungen Boolescher Daten.
-
Während des dritten Zeitblocks 308 übertragen die Sicherheitslogiklöser ihre E/A-Ursprungsdatenwerte über den lokalen P2P-Bus 104 oder 106 in zugeteilten Zeitschlitzen. Einmal wieder empfängt jeder der anderen lokalen Sicherheitslogiklöser auf der entsprechenden Rückwandplatine 76 diese Übertragungen, während die MPDs diese ignorieren. Hat jedoch das MPD auf dem Bus 104 oder 106 eine Boolesche Nachricht mit einer allgemeingültigen Bestimmungsadresse erhalten (d. h. einer Bestimmungsadresse, die sich auf einer anderen Rückwandplatine befindet, die mit einem anderen Knoten der Prozessanlage 10 zusammenhängt) verpackt das MPD diese Nachricht mit anderen solcher allgemeingültigen Nachrichten und schickt die allgemeingültigen Nachrichten während der Zeitdauer 318 über den allgemeingültigen P2P-Bus 74 an das nächste MPD weiter. Während dieses Vorgangs schicken die MPDs auch (an das nächste MPD im Ring 74) irgendwelche von anderen MPDs, die sich vorher im Ring befinden, eingegangene Nachrichten weiter. Ein MPD hört mit dem Weiterschicken einer Nachricht auf, wenn es Datenwerte sieht, die von lokaler Herkunft sind.
-
Während des Zeitblocks 310 verbreitet das MPD allgemeingültige Nachrichten (Nachrichten, die über den Bus 74 von anderen entfernt angeordneten Rückwandplatinen zum MPD kommen) an diejenigen Sicherheitslogiklöser über den Bus 104 und 106, welche an die Sicherheitslogiklöser adressiert sind. Da diese allgemeingültigen Nachrichten zuvor vom MPD auf der entfernt angeordneten Rückwandplatine in eine einzige Nachricht gepackt wurden, kann ein einziger und relativ großer Zeitschlitz erforderlich sein.
-
Wie klar wird, sind die MPDs verantwortlich für das Verbreiten allgemeingültiger Boolescher Nachrichten von den Sicherheitslogiklösern auf jeder Rückwandplatine an andere Sicherheitslogiklöser auf anderen Rückwandplatinen, die den Ringbus 74 verwenden. Die MPDs können jedoch dazu eingesetzt werden, die Kommunikationsaktivität auf den lokalen P2P-Bussen 104 und 106, den P2P-Fernbussen 74 und den Sende- oder Empfangsabschnitt der entsprechenden Schienenbusse 100 zu überwachen. Falls gewünscht, ist das erste MPD (z. B. 70A oder 72A) an den entsprechenden ersten lokalen P2P-Bus 104A oder 106A, an den ersten P2P-Fernbus 74A und die Übertragungsseite der entsprechenden Schienenbusse 90 und 92 angeschlossen. Alternativ sind die zweiten MPDs 70B und 72B an die entsprechenden zweiten lokalen P2P-Busse 104B bzw. 106B, den zweiten P2P-Fernbus und die Empfangsseite der Schienenbusse 100 und 102 angeschlossen. Auf diese Weise können die MPDs jegliche Aktivität auf den Schienenbussen 100 und 102 und den lokalen und P2P-Fernbussen 104, 106 und 74 überwachen. Falls gewünscht, können die MPDs alle Nachrichten sammeln und zeitprotokollieren, bevor sie sie beispielsweise auf dem Bus 74 unter Verwendung eines 10BaseT-Ethernet-Überwachungsports verschicken. Es kann ein externer Ethernet-Paketschnüffler verwendet werden, um alle Nachrichten, die vom Überwachungsport kommen, festzuhalten und zu visualisieren. In einem Beispiel kann jede der Rückwandplatinen 76 zweiunddreißig (32) sicherheitsbezogene E/A-Karten und zwei (2) Nachrichtenverbreitungsgeräte (MPDs) tragen.
-
Die Herkunftsadresse für die verschiedenen Sicherheitslogikgeräte und MPDs kann aus Schienenbusnachrichten abgeleitet werden, kann aus einer Rückwandplatinen-ID (BPID – backplane ID), die an jedem Knoten gleich, aber innerhalb der Prozessanlage einzigartig ist, und einer Schlitz-ID (SID – slot-ID) bestehen, die sich von Knoten zu Knoten wiederholen kann, aber innerhalb eines Knotens einzigartig ist. Auch können die Sicherheitslogiklöser ihre Sendezeitschlitze (relativ zu anderen Geräten) im lokalen P2P-Bus 104 oder 106 aus ihrer SID ableiten. Falls gewünscht, können die Rückwandplatinen an verschiedenen Knoten miteinander auf innerhalb 10 ms synchronisiert werden.
-
Vorzugsweise werden Nachrichten über den P2P-Fernbus 74 in der Reihenfolge übertragen, in der sie empfangen werden, und werden nur während des Dateneingangsabschnitts 308 eines P2P-Buskommunikationszyklus als Gruppe verschickt. Falls gewünscht, können die Sicherheitslogiklöser in angrenzenden Schlitzen, beispielsweise die Logiklöser 50A und 50B, basierend auf Ihrer Position in der Rückwandplatine 76 automatisch so konfiguriert werden, dass sie redundant und das primäre oder sekundäre redundante Gerät sind. Der Redundanzbus 50C, 52C, etc., kann in der Rückwandplatine 76 angeordnet werden, um das Paar redundanter Geräte zu verbinden. Allgemein ausgedrückt, überträgt der aktive oder primäre Sicherheitslogiklöser die allgemeingültigen Booleschen Nachrichten, wenn er dazu konfiguriert ist, während der sekundäre oder im Bereitschaftszustand befindliche Sicherheitslogiklöser des redundanten Paars keine allgemeingültigen Booleschen Nachrichten überträgt, so dass die MPDs nur allgemeingültige Boolesche Nachrichten aus dem primären oder aktiven Sicherheitslogiklöser verbreiten. Selbstverständlich erhält der sekundäre oder im Bereitschaftszustand befindliche Sicherheitslogikläser in einem redundanten Paar seine Konfiguration vom aktiven oder primären Logiklöser über die Redundanzverbindung 50C, 52C, 54C oder 56C. Der im Bereitschaftszustand befindliche Sicherheitslogiklöser erhält seine Booleschen und E/A-Daten vom aktiven Gerät über die P2P-Verbindung 104 oder 106. Im Falle eines Umschaltens bei Ausfall (Umschalten zwischen dem aktiven und dem im Bereitschaftszustand befindlichen Sicherheitslogiklöser) wird der neu aktivierte Sicherheitslogikläser das Senden im selben Zeitschlitz auf dem lokalen P2P-Bus 104 oder 106 beginnen, der zuvor vom ausgefallenen aktiven Gerät benutzt wurde. Falls der aktive Sicherheitslogiklöser bei einer bestimmten Anzahl von Zeitschlitzen nicht überträgt, kann der im Bereitschaftszustand befindliche Sicherheitslogiklöser automatisch als aktiver Sicherheitslogiklöser übernehmen, der neue aktive Sicherheitslogiklöser wird aber in diesem Fall in seinem eigenen lokalen Zeitschlitz senden und nicht im Zeitschlitz des zuvor aktiven Sicherheitslogiklösers.
-
Die folgende Methodik kann verwendet werden, um die an einen lokalen P2P-Bus 104 oder 106 angeschlossenen Sicherheitslogiklöser zu synchronisieren. Zuerst werden die Geräte mit Strom versorgt und es werden die BPID und SID von der Rechnervorrichtung (welche den Schienenbus 100 oder 102 verwaltet) zugeteilt. Als Nächstes beginnen die Logiklöser, Pakete aus dem P2P-Bus 104 oder 106 zu empfangen und zu analysieren, indem sie Zeitschlitze verwenden, wie durch die SID bestimmt ist. Diese Tätigkeit wird eine „Warte bis zum Übertragen” lange Anzahl von Sekunden durchgeführt, welche sich berechnen lässt als: Warte bis zum Übertragen (sec) = ((64)(Zeitschlitzdauer)) + ((mein Zeitschlitz – 1)(Zeitschlitzdauer))
-
Gehen keine P2P-Buspakete ein, bevor die Sekunden „Warte bis zum Übertragen” verstrichen sind, überträgt der Sicherheitslogiklöser unverzüglich eine Nachricht „NICHT KONFIGURIERT” („NOT CONFIGURED”) an den lokalen P2P-Bus 104 oder 106. Erhält jedoch der Sicherheitslogiklöser ein oder mehrere Pakete während der Zeit „Warte bis zum Übertragen”, verwendet er die Zeit und den Zeitschlitz dieser Nachrichten, um die relative (zeitliche) Position seines eigenen Übertragungszeitschlitzes zu bestimmen.
-
Allgemein ausgedrückt, synchronisieren sich die MPDs auf einer Rückwandplatine auf den lokalen Bus 104 oder 106. In Abwesenheit eines Sichheitslogiklösers jedoch, welcher diese Synchronisierung bereitstellt, überträgt das MPD nicht auf dem lokalen P2P-Bus, und stimmt sich erst auf den lokalen Bus ein, wenn ein lokaler Sicherheitslogiklöser zu senden beginnt. Empfängt das MPD eine Nachricht von einem lokalen Sicherheitslogiklöser, kann es seinen Zeitschlitz bezüglich dieses Sicherheitslogiklösers bestimmen.
-
Obwohl das eingebettete Sicherheitssystem beliebig viele mögliche Nachrichtenstrukturen oder Kommunikationsprotokolle verwenden kann, kann die folgende Nachrichtenstruktur auf den lokalen P2P-Bussen 104 und 106 und dem P2P-Fernbus 74 verwendet werden.
-
Alle lokalen P2P-Busnachrichten umfassen im Allgemeinen drei grundlegende Teile, die einen Datenvorlauf umfassen, (z. B. 1 Byte), einen Daten- oder Nachrichtenteil (z. B. 129 Bytes) und einen Datennachlauf (z. B. 1 Byte). Die Datenvorlauf- und Nachlaufteil sind für eine Hardwaresynchronisierung vorgesehen, während der Datenteil die tatsächliche Nachricht enthält, die eine Bedeutung für eine bestimmte Adresse hat. Falls gewünscht, kann eine Hardwarebiteinfügung im Nachrichtenteil der Nachrichtenstruktur auf hoher Ebene erfolgen.
-
Allgemein ausgedrückt ist der Daten- oder Nachrichtenteil einer Nachricht in sieben Felder mit einer Gesamtlänge von bis zu einer maximal verfügbaren Länge für eine bestimmte Anwendung aufgeteilt. Beispielsweise kann es 138 verfügbare Bytes geben (einschließlich 11 Bytes der Protokollorganisation). Der Nachrichtenteil kann eine 2-Byte-Quellenadresse, eine 2-Byte-Bestimmungsadresse, ein 1-Byte-Typenfeld, ein 1-Byte-Gerätestatusfeld, ein 1-Byte-Längenfeld, ein 0- bis 128-Byte-Nachrichtenfeld und ein 4-Byte-CRC-Feld umfassen, welches zyklische Redundanzdaten bereitstellt.
-
Beispielsweise enthält in einer Verwendungsweise für diese Felder das Quellenadressenfeld die Adresse des Sendegeräts. Das hochrangigere Byte enthält die Rückwandplatinen-ID (BPID), also die Rückwandplatinenkennung, und das niedrigrangigere Byte enthält die Schlitz-ID (SID), also die Schlitzkennung. Bevor der Sicherheitslogiklöser keine konfigurierte QUELLENADRESSE hat, kann er auf dem lokalen P2P-Bus weder senden noch empfangen. Beim Hochfahren erhält jeder Logiklöser über den Schienenbus seine komplette QUELLENADRESSE (SOURCE ADDRESS). Der Rückwandplatinen-ID-Teil (BPID-Teil) der QUELLENADRESSE ist gleich wie das niedrigwertigste Oktett der ID-Adresse des Rechners eingestellt. Der Schlitz-ID-Teil (SID-Teil) der QUELLENADRESSE wird von den Schienenbusnachrichten des Prozessrechners abgeleitet. Vorzugsweise kommuniziert (sendet oder empfängt) jeder Sicherheitslogiklöser erst dann, wenn er eine vollständige QUELLENADRESSE hat.
-
Ein Feld BESTIMMUNGSADRESSE (DESTINATION ADDRESS) enthält die Adresse des Bestimmungsgeräts. Das hochrangigere Byte enthält die BPID, und das niedrigrangigere Byte enthält die SID. Ist das hochrangigere Byte HB = 0 und das niedrigrangigere Byte LB = 0, ist die Nachricht für alle entfernt und lokal angeordneten Sicherheitslogiklöser auf dem Bus gedacht. Ist HB = BPID und LB = 0, ist die Nachricht für alle Knoten auf der lokalen Rückwandplatine gedacht. Ist HB = BPID und LB = SID, ist die Nachricht für eine spezielle SID auf einer lokalen Rückwandplatine gedacht. Ist schließlich HB = 0 und LB = 0, ist eine unzulässige Adresse angegeben.
-
Das Feld ART (TYPE) der Nachricht enthält Information hinsichtlich der Art von Nachricht, die in diesem Nachrichtendatenfeld enthalten ist. Es kann eine Anzahl unterschiedlicher Nachrichten festgelegt werden.
-
Das Feld GERÄTESTATUS (DEVICE STATUS) kann auf geeignete Weise aufgeteilt werden, um beispielsweise den Diagnosestatus (der keinen Fehler oder einen Fehler anzeigt), den Umschaltstatus (der keinen Fortschritt oder einen Fortschritt anzeigt), die Rechnerbetriebsart (die eine normale Betriebsrat oder eine Entwicklungsbetriebsart anzeigt), den Sicherheitsauslösungsstatus (der nicht ausgelöst oder ausgelöst anzeigt), den Redundanzstatus (der nicht redundant oder redundant anzeigt), den Konfigurationsstatus (der nicht konfiguriert oder konfiguriert anzeigt), die Rechnerart (die vom Logiklöser bestimmt ist und anzeigt, ob er in Bereitschaft oder aktiv ist), und die Betriebsart anzeigt (der Betriebsartwert kommt über den Bus vom Rechner und zeigt eine Entwicklungs- oder eine normale Betriebsart an).
-
Das Feld LÄNGE (LENGTH) enthält die Länge in Bytes des anstehenden Felds NACHRICHTENDATEN (MESSAGE DATA) und ist nach richtenabhängig.
-
Das Feld NACHRICHTENDATEN ist das Nutzdatenfeld der Nachricht, die entsprechend der ART der Nachricht formatiert ist und eine von der Nachricht abhängige Länge hat.
-
Schließlich berechnet sich noch das Feld CRC oder Cyclic Redundancy Check/Code aus den Feldern QUELLENADRESSE, ART, GERÄTESTATUS, LÄNGE und NACHRICHTENDATEN und ist auch nachrichtenabhängig.
-
In dem offenbarten Beispiel können P2P-Fernbusnachrichten nur zwischen MPDs verschickt werden. Allgemein ausgedrückt, sind alle P2P-Fernbusnachrichten im Abschnitt DATEN eines Ethernet IEEE 802.3 Protokollpakets eingeschlossen, das zum Beispiel, einen 7-Byte-Datenvorlauf, einen 1-Byte-Bildstartbegrenzer, eine 6-Byte-Bestimmungsadresse, eine 6-Byte-Quellenadresse, ein 2-Byte Feld Art/Länge, ein 46- bis 1500-Byte Datenfeld und ein 4-Byte-Bildprüffolgenfeld umfasst.
-
Bekanntlich beginnt das Bild mit einem 7-Byte-Datenvorlauf aus abwechselnden Einsen und Nullen. Ist das Bild Manchester-codiert, gibt der Datenvorlauf den Empfangsstationen ein bekanntes Muster, an das sie sich anhängen. Der Bildstartbegrenzer folgt auf den Datenvorlauf und kündigt den Beginn des Bilds an. Die Bestimmungs- und Quellenadressen sind jeweils allgemein irrelevant, weil die Empfänger in gemischter Betriebsart auf Empfang stehen.
-
Das Ethernet-Feld ART/ das IEEE 802.3-Feld LÄNGE bedeutet das Protokoll, das im restlichen Bild verwendet wird, und das Feld LÄNGE legt die Länge des Datenteils des Bildes fest. Damit Ethernet- und IEEE802.3-Bilder gemeinsam auf demselben LAN vorkommen können, muss sich das Längenfeld des Bildes immer von irgendwelchen verwendeten Artenfeldern unterscheiden. Diese Tatsache schränkt die Länge des Datenteils des Bildes auf 1.500 Bytes und die gesamte Bildlänge auf 1.518 Bytes ein. Für die Sicherheitslogiklöseranwendung wird die Art Ethernet und die Länge des Datenfelds die Größe der Nachrichten sein. Das Datenfeld enthält die Nachricht, die von einem Sicherheitslogiklöser verschickt wird. Nachrichten, deren Datenlänge weniger als 46 Bytes beträgt, werden aufgefüllt. Bekanntlich sind die 4 Bytes des Bildprüfabfolgefelds ein standardmäßiges 43-bit-CCITT-CRC-Polynom.
-
Falls gewünscht, wird der Datenteil der Nachrichtenstruktur auf hoher Ebene in drei Felder mit einer Gesamtlänge von bis zu maximal 551 Bytes (einschließlich 6 Bytes für die Protokollorganisation) aufgeteilt. Darüber hinaus sorgt die Nachrichtenstruktur auf niedriger Ebene für 256 Nachrichtenarten. Das Artenfeld kennzeichnet jede Nachrichtenart eindeutig, und die Nachrichtenart besitzt einen entsprechenden Wert für das Längenfeld, welches die Länge des Datenteils jeder Nachricht festlegt. Bei den Nachrichtenarten kann es sich um eingeschlossene Boolesche Daten handeln, wobei irgendeine Anzahl von 1–32 Boolesche Datennachrichten in der Gesamtnachricht eingeschlossen sind. Natürlich könnten auch andere Arten von Nachrichten verschickt werden, falls das so gewünscht wird. BEZUGSZEICHENLISTE
10 | Prozessanlage |
12 | Prozesssteuerungssystem |
14 | Sicherheitssystem |
16 | Host-Arbeitsplatzrechner, Computer oder Benutzeroberflächen |
18, 20 | Knoten Prozesssteuerung/Sicherheitssteuerung |
21 | Konfigurationsdatenbank |
22 | Kommunikationsleitung oder -bus, Kommunikationsnetz |
24 | Prozessrechner |
26 | Prozessrechner |
28, 30, 32, 34, 36 | Eingabe-/Ausgabegeräte, E/A-Geräte |
40, 42 | Feldgeräte |
50, 52, 54, 56 | Sicherheitssystemlogiklöser |
50A, 52A, 54A, 56A | Primärer Sicherheitslogiklöser |
50B, 52B, 54B, 56B | Sekundärer Sicherheitslogiklöser |
50C, 52C, 54C, 56C | Zweckgebundener Bus, Leitungen, Redundanzverbindung |
57 | Prozessor |
58 | Sicherheitslogikbausteine |
60, 62 | Sicherheitssystemfeldgeräte |
70, 72 | Nachrichtenverbreitungsgerät, MPD |
70A, 70B, 72A, 72B | Redundantes MPD-Paar |
74, 74A, 74B | Ringbusverbindung, Kommunikationsleitung oder -bus |
75 | Prozesssteuerungsprogramme |
76 | Rückwandplatine |
78 | Speicher |
80 | Konfigurationsanwendung |
82 | Anzeigeanwendung |
83 | Bildschirmmaske |
84 | Physikalischer Netzabschnitt |
85 | Sicherheitsnetzabschnitt |
86 | Steuernetzabschnitt |
87 | Rechner CTRL1 |
88 | Bausteine |
89 | E/A-Geräteabschnitt |
90 | Karten |
90, 92 | Schienenbus |
91–93 | Sicherheitslogiklöser |
100, 102 | Schienenbuskommunikationsverbindung |
104A, 104B, 106A, 106B | P2P-Bus, P2P-Verbindung |
300 | Impulsplan |
302 | Buszyklus |
304, 306, 308, 310 | Zeitblöcke |
312 | Abschnitt von Zeitblock 304 |
314 | Zeitabschnitt |
316, 318 | Zeitdauer |