DE102020124318A1

DE102020124318A1 - Verfahren und vorrichtungen zur umsetzung von sicherheitsanwendungen in verbindung mit prozesssteuerungssystemen

Info

Publication number: DE102020124318A1
Application number: DE102020124318.9A
Authority: DE
Inventors: Gary K. Law; Godfrey R. Sherriff; Sergio Diaz
Original assignee: Fisher Rosemount Systems Inc
Current assignee: Fisher Rosemount Systems Inc
Priority date: 2019-09-18
Filing date: 2020-09-17
Publication date: 2021-03-18
Also published as: US11914360B2; US11537088B2; JP2021047855A; CN112526941A; US20230130898A1; GB202013795D0; US20210080913A1; GB2590759A; GB2622965A; GB2590759B; GB202318171D0

Abstract

Es werden Verfahren und Vorrichtungen zur Implementierung von Sicherheitsanwendungen im Zusammenhang mit Prozesssteuerungssystemen offenbart. Eine Vorrichtung umfasst einen Konfigurationscontroller zum: Bereitstellen mehrerer verfügbarer Sicherheitsanwendungen zur Implementierung durch ein Sicherheitsauslösegerät für einen Benutzer zur Auswahl, wobei eine erste der Sicherheitsanwendungen einem ersten Satz von E/A-Signalen zugeordnet ist, wobei eine zweite der Sicherheitsanwendungen einem zweiten Satz von E/A-Signalen zugeordnet ist, wobei die erste Sicherheitsanwendung auf der Grundlage von ersten vorprogrammierten Befehlen implementiert wird, die im Speicher des Sicherheitsauslösegeräts gespeichert sind, wobei die zweite Sicherheitsanwendung auf der Grundlage von zweiten vorprogrammierten Befehlen implementiert wird, die im Speicher gespeichert sind; und, als Reaktion auf eine Benutzerauswahl der ersten Sicherheitsanwendung, Auffordern des Benutzers, Konfigurationseinstellwerte zu spezifizieren, die der ersten Sicherheitsanwendung zugeordnet sind. Die Vorrichtung umfasst ebenso einen E/A-Analysator zur Implementierung der ersten Sicherheitsanwendung.

Description

GEBIET DER OFFENBARUNG
Diese Offenbarung bezieht sich im Allgemeinen auf sicherheitsinstrumentierte Systeme und im Besonderen auf Verfahren und Vorrichtungen zur Implementierung von Sicherheitsanwendungen in Verbindung mit Prozesssteuerungssystemen.
HINTERGRUND
Viele Prozesssteuerungsanwendungen (z. B. verteilte Steuerungssysteme (DCS), übergeordnete Steuerungs- und Datenerfassungssysteme (SCADA) usw.) beinhalten Ausrüstungen zum Auslösen von Sicherheitsabschaltungen für den Fall, dass ein oder mehrere überwachte Parameterwerte außerhalb der Grenzen der entsprechenden Abschaltgrenzen liegen und/oder eine andere Sicherheitsbedingung erfüllt ist. Solche Sicherheitsauslösungen können unter Verwendung verschiedener Ausrüstungstypen implementiert werden, abhängig von der Anzahl der Ein-/Ausgänge (E/A) für das Sicherheitssystem und/oder der damit verbundenen Komplexität des Systems. Beispielsweise kann in anspruchsvollen Implementierungen ein Sicherheitslogik-Löser so konfiguriert werden, dass er eine variable Anzahl von E/A-Punkten (die in die Tausende gehen kann) unterschiedlicher Typen handhaben kann, die in einer vollständig konfigurierbaren (z. B. programmierbaren) Weise verarbeitet werden können. Am anderen Ende des Spektrums empfangen relativ einfache Geräte, die allgemein als Auslöseverstärker oder Sicherheitsrelais bezeichnet werden, typischerweise ein einziges Eingangssignal und vergleichen es mit einem Grenzwert für das Auslösen eines Ausgangssignals (typischerweise ein diskreter Ausgang).
ZUSAMMENFASSUNG
Es werden Verfahren und Vorrichtungen zur Implementierung von Sicherheitsanwendungen in Verbindung mit Prozesssteuerungssystemen offenbart. Eine Beispiel-Vorrichtung umfasst: einen Konfigurationscontroller, der folgende Aufgaben hat: Bereitstellen mehrerer verfügbarer Sicherheitsanwendungen zur Implementierung durch ein Sicherheitsauslösegerät, das einem Prozesssteuerungssystem zugeordnet ist, für einen Benutzer zur Auswahl, wobei eine erste der Sicherheitsanwendungen einem ersten Satz von E/A-Signalen zugeordnet ist, eine zweite der Sicherheitsanwendungen einem zweiten Satz von E/A-Signalen zugeordnet ist, wobei sich der erste Satz von E/A-Signalen von dem zweiten Satz von E/A-Signalen unterscheidet, wobei die erste Sicherheitsanwendung auf der Grundlage erster vorprogrammierter Befehle implementiert wird, die im Speicher des Sicherheitsauslösegeräts gespeichert sind, und wobei die zweite Sicherheitsanwendung auf der Grundlage zweiter vorprogrammierter Befehle implementiert wird, die im Speicher des Sicherheitsauslösegeräts gespeichert sind; und als Reaktion auf eine Benutzerauswahl der ersten Sicherheitsanwendung, Auffordern des Benutzers, Werte für Konfigurationseinstellungen zu spezifizieren, die der ersten Sicherheitsanwendung zugeordnet sind, wobei die ersten vorprogrammierten Befehle die Konfigurationseinstellungen definieren; und einen E/A-Analysator, um die erste Sicherheitsanwendung auf der Grundlage der Konfigurationseinstellwerte, die vom Benutzer spezifiziert wurden, und auf der Grundlage der ersten vorprogrammierten Befehle zu implementieren.
Nichttransitorisches computerlesbares Medium mit Beispielbefehlen, die bei ihrer Ausführung ein Sicherheitsauslösegerät zu mindestens Folgendem veranlassen: Bereitstellen mehrerer verfügbarer Sicherheitsanwendungen zur Implementierung durch das Sicherheitsauslösegerät, das einem Prozesssteuerungssystem zugeordnet ist, für einen Benutzer zur Auswahl, wobei eine erste der Sicherheitsanwendungen einem ersten Satz von E/A-Signalen zugeordnet ist, eine zweite der Sicherheitsanwendungen einem zweiten Satz von E/A-Signalen zugeordnet ist, wobei sich der erste Satz von E/A-Signalen von dem zweiten Satz von E/A-Signalen unterscheidet, wobei die erste Sicherheitsanwendung auf der Grundlage erster vorprogrammierter Befehle implementiert wird, die im Speicher des Sicherheitsauslösegeräts gespeichert sind, wobei die zweite Sicherheitsanwendung auf der Grundlage zweiter vorprogrammierter Befehle implementiert wird, die im Speicher des Sicherheitsauslösegeräts gespeichert sind; als Reaktion auf eine Benutzerauswahl der ersten Sicherheitsanwendung, Auffordern des Benutzers, Werte für Konfigurationseinstellungen zu spezifizieren, die der ersten Sicherheitsanwendung zugeordnet sind, wobei die ersten vorprogrammierten Befehle die Konfigurationseinstellungen definieren; und Implementieren der ersten Sicherheitsanwendung auf der Grundlage der vom Benutzer spezifizierten Konfigurationseinstellwerte und auf der Grundlage der ersten vorprogrammierten Befehle.
Ein Beispielverfahren umfasst Folgendes: Bereitstellen mehrerer verfügbarer Sicherheitsanwendungen zur Implementierung durch ein Sicherheitsauslösegerät, das einem Prozesssteuerungssystem zugeordnet ist, für einen Benutzer zur Auswahl, wobei eine erste der Sicherheitsanwendungen einem ersten Satz von E/A-Signalen zugeordnet ist, eine zweite der Sicherheitsanwendungen einem zweiten Satz von E/A-Signalen zugeordnet ist, wobei sich der erste Satz von E/A-Signalen von dem zweiten Satz von E/A-Signalen unterscheidet, wobei die erste Sicherheitsanwendung auf der Grundlage erster vorprogrammierter Befehle implementiert wird, die im Speicher des Sicherheitsauslösegeräts gespeichert sind, und wobei die zweite Sicherheitsanwendung auf der Grundlage zweiter vorprogrammierter Befehle implementiert wird, die im Speicher des Sicherheitsauslösegeräts gespeichert sind; als Reaktion auf eine Benutzerauswahl der ersten Sicherheitsanwendung, Auffordern des Benutzers, Werte für Konfigurationseinstellungen zu spezifizieren, die der ersten Sicherheitsanwendung zugeordnet sind, wobei die ersten vorprogrammierten Befehle die Konfigurationseinstellungen definieren; und Implementieren der ersten Sicherheitsanwendung auf der Grundlage der Konfigurationseinstellwerte, die vom Benutzer spezifiziert wurden, und auf der Grundlage der ersten vorprogrammierten Befehle.
Ein Sicherheitsauslösegerät umfasst: ein Gehäuse mit einer Rückwandplatine; Klemmleisten mit entsprechenden Steckplätzen, wobei die Steckplätze zur Aufnahme eines ersten Satzes von Abschlussmodulen zur Kommunikation mit einem ersten Satz von Feldgeräten dienen, die einer ersten Sicherheitsanwendung zugeordnet sind, die einem Prozesssteuerungssystem zugeordnet ist, wobei die Steckplätze zur Aufnahme eines zweiten Satzes von Abschlussmodulen zur Kommunikation mit einem zweiten Satz von Feldgeräten dienen, die einer zweiten Sicherheitsanwendung zugeordnet sind, die dem Prozesssteuerungssystem zugeordnet ist; und einen E/A-Scanner zur Kommunikation mit den Abschlussmodulen in den Steckplätzen der Klemmleisten über die Rückwandplatine, wobei der E/A-Scanner einen Speicher umfasst, um erste vorprogrammierte Befehle zu speichern, die den Betrieb der ersten Sicherheitsanwendung definieren, und um zweite vorprogrammierte Befehle zu speichern, die den Betrieb der zweiten Sicherheitsanwendung definieren.
Figurenliste

1 zeigt ein Beispiel für ein Prozesssteuerungssystem, innerhalb dessen die Lehren dieser Offenbarung umgesetzt werden können.
2 zeigt das Beispiel-Prozesssteuerungssystem aus 1 mit den Beispiel-Sicherheitsauslösegeräten in einer anderen Anordnung.
3 zeigt eines der Beispiel-Sicherheitsauslösegeräte aus 1 und/oder 2.
4 ist ein Blockdiagramm, das eine Beispiel-Implementierung eines der Beispiel-E/A-Scanner aus 3 zeigt.
5 ist ein Ablaufdiagramm, das maschinenlesbare Befehle repräsentiert, die ausgeführt werden können, um den Beispiel-E/A-Scanner aus 4 zu implementieren.
6 ist ein Blockdiagramm einer Beispiel-Verarbeitungsplattform, die so strukturiert ist, dass sie die Befehle von 5 ausführt, um den Beispiel-E/A-Scanner von 4 zu implementieren.

Die Figuren sind nicht maßstabsgetreu. Die Dicke der Schichten oder Bereiche kann jedoch in den Zeichnungen vergrößert werden. Im Allgemeinen werden in der/den Zeichnung(en) und der begleitenden schriftlichen Beschreibung dieselben Referenznummern verwendet, um auf gleiche oder ähnliche Teile verweisen. Die in diesem Patent verwendete Angabe, dass irgendein Teil (z. B. eine Schicht, ein Film, eine Fläche, ein Bereich oder eine Platte) in irgendeiner Weise auf einem anderen Teil liegt (z. B. auf einem anderen Teil positioniert, angeordnet oder geformt ist usw.), zeigt an, dass das referenzierte Teil entweder in Kontakt mit dem anderen Teil steht oder dass das referenzierte Teil über dem anderen Teil liegt und sich ein oder mehrere Zwischenteil(e) dazwischen befinden. Verbindungsreferenzen (z. B. angefügt, gekoppelt, verbunden und zusammengesteckt) sind weit auszulegen und können, sofern nicht anders angegeben, Zwischenglieder zwischen einer Sammlung von Elementen und die Relativbewegung zwischen Elementen umfassen. Als solche lassen Verbindungsreferenzen nicht notwendigerweise den Schluss zu, dass zwei Elemente direkt miteinander verbunden sind und in einer festen Beziehung zueinander stehen. Die Angabe, dass ein Teil mit einem anderen Teil in Kontakt steht, bedeutet, dass sich zwischen den beiden Teilen kein Zwischenteil befindet. Obwohl die Figuren Schichten und Bereiche mit klaren Linien und Grenzen zeigen, können einige oder alle dieser Linien und/oder Grenzen idealisiert sein. In der Realität können die Grenzen und/oder Linien nicht erkennbar, überdeckt und/oder unregelmäßig sein.
Die Deskriptoren „erste“, „zweite“, „dritte“ usw. werden hier verwendet, wenn mehrere Elemente oder Komponenten benannt werden, auf die separat Bezug genommen werden kann. Sofern nicht anders angegeben oder aus dem Verwendungskontext hervorgehend, werden diese Deskriptoren nicht im Sinne einer Priorität, einer physischen Reihenfolge oder Anordnung in einer Liste oder einer zeitlichen Reihenfolge verwendet, sondern lediglich zur Bezeichnung mehrerer Elemente oder Komponenten, um das Verständnis der offenbarten Beispiele zu erleichtern. In einigen Beispielen kann der Deskriptor „erster/erste(s)“ verwendet werden, um auf ein Element in der detaillierten Beschreibung zu verweisen, während auf dasselbe Element in einem Anspruch mit einem anderen Deskriptor wie „zweiter/zweite(s)“ oder „dritter/dritte(s)“ verwiesen werden kann. In solchen Fällen sollte verstanden werden, dass solche Deskriptoren lediglich dazu verwendet werden, um das Verweisen auf mehrere Elemente oder Komponenten zu erleichtern.
AUSFÜHRLICHE BESCHREIBUNG
Die zur Implementierung von Sicherheitsanwendungen im Zusammenhang mit Prozesssteuerungssystemen verwendete Ausrüstung kann von hochentwickelten Logik-Lösern, die eine große Anzahl von E/A-Signalen flexibel verarbeiten können, bis hin zu Einzweck-Sicherheitsrelais reichen, die einen Eingang eines bestimmten Typs überwachen und einen Ausgang erzeugen. Während hochentwickelte Sicherheitsgeräte (z. B. Logik-Löser) eine hohe Flexibilität für viele verschiedene Anwendungen in vollständig konfigurierbarer Weise bereitstellen, sind solche Geräte relativ teuer und aufgrund der Komplexität, die mit der Programmierung und/oder Konfiguration der zu implementierenden Sicherheitsanwendung(en) verbunden ist, schwierig umzusetzen. Die Komplexität bei der Programmierung und/oder Konfiguration von Sicherheitsanwendungen kann nicht nur menschliches Fehlverhalten zur Folge haben, die Flexibilität eines voll programmierbaren Systems birgt auch die Möglichkeit, dass eine Sicherheitsanwendung nach korrekter Konfiguration (versehentlich oder böswillig (z. B. durch einen Cyberangriff)) manipuliert werden kann.
Im Gegensatz dazu haben Sicherheitsauslösegeräte mit geringer Komplexität (z. B. Sicherheitsrelais) den Vorteil, dass sie aufgrund ihrer begrenzten festen Funktionalität relativ kostengünstig und einfach einzurichten sind. Darüber hinaus verringert die eingeschränkte Funktionalität die Wahrscheinlichkeit menschlichen Fehlverhaltens bei der Konfiguration solcher Geräte und verhindert auch, dass die Implementierung solcher Geräte durch Cyberangriffe manipuliert werden kann. Aufgrund des einfachen Aufbaus und der einfachen Funktion der Sicherheitsrelais ist ihr Betrieb sehr zuverlässig. Viele Sicherheitsrelais bieten jedoch keine Redundanz, so dass im Falle eines Systemausfalls kein eingebautes Backup vorhanden ist, um auf das Problem zu reagieren. Darüber hinaus sind viele Sicherheitsauslösegeräte eigenständige Geräte, die eine Kommunikation mit anderen Überwachungssystemen nicht zulassen (z. B. Bohrlochkopfanwendungen, bei denen eine Auslösung an eine Hauptstation weitergeleitet werden muss).
Einige Sicherheitsanwendungen können mehrere verschiedene E/A-Signale umfassen (z. B. Anwendungen, die auf Wählerlogik basieren). In einigen solchen Situationen können mehrere verschiedene Sicherheitsrelais fest miteinander verdrahtet sein, um die gewünschte Funktionalität, die der Anwendung zugeordnet ist, bereitzustellen. Dies erhöht zwar die Komplexität im Vergleich zur Verwendung eines einzelnen Sicherheitsauslösegeräts, kann aber immer noch ausreichend weniger komplex sein als die Notwendigkeit, einen hochentwickelten, voll programmierbaren Logik-Löser zu beschaffen, einzurichten und zu warten. Wenn außerdem die E/A-Zahl solcher Sicherheitsanwendungen relativ klein bleibt (z. B. weniger als 25), rechtfertigt die Einfachheit solcher Anwendungen möglicherweise nicht die Kosten eines voll programmierbaren Logik-Lösers. Für einige Sicherheitsanwendungen, die mehrere, aber relativ kleine Anzahlen von E/A-Signalen umfassen, wurden spezielle Sicherheitsauslösegeräte entwickelt, um die Notwendigkeit zu vermeiden, mehrere Sicherheitsrelais mit einem Eingang fest zu verdrahten. Diese dedizierten Sicherheitsauslösegeräte verfügen in der Regel über eine feste Anzahl von E/A eines vordefinierten Typs, die einer bestimmten Sicherheitsanwendung entsprechen. Solche Geräte bieten zwar Bequemlichkeit beim Einrichten und Konfigurieren des Systems, sind aber in der Regel starr oder in ihrer Bedienung und Funktionalität je nach der speziellen Anwendung, für die sie entwickelt wurden, eingeschränkt. Infolgedessen können solche Geräte nicht ohne weiteres an neue Umstände und/oder verschiedene Typen von Sicherheitsanwendungen (die beispielsweise verschiedenen Typen von E/A-Signalen zugeordnet sind) angepasst werden, die über die begrenzten Einschränkungen hinausgehen, die durch ihre Konstruktion und Herstellung definiert sind. Wie bei vielen Sicherheitsrelais bieten solche dedizierten Sicherheitsauslösegeräte häufig keine Redundanz.
Die hier offenbarten Beispiel-Sicherheitsauslösegeräte können an verschiedene Typen von Sicherheitsanwendungen angepasst werden, die unterschiedlichen Typen und/oder einer unterschiedlichen Anzahl von E/A-Signalen zugeordnet sind, ohne dass der Endbenutzer Zeit und Kosten für die Programmierung des Geräts für jede unterschiedliche Sicherheitsanwendung aufwenden muss. Vielmehr werden in einigen Beispielen maschinenlesbare Befehle (z. B. Software und/oder Firmware) zur Implementierung einschlägiger Sicherheitsanwendungen vorinstalliert und/oder vorprogrammiert und dem Benutzer zur Auswahl für die Implementierung auf einem Sicherheitsauslösegerät zur Verfügung gestellt. Wie hier verwendet, ist der Begriff „vorprogrammiert“ ausdrücklich definiert als von jemand anderem als einem Endbenutzer programmiert, bevor der Endbenutzer das Beispiel-Sicherheitsauslösegerät für eine entsprechende Sicherheitsanwendung verwendet. In einigen Beispielen werden die maschinenlesbaren Befehle, die bestimmten Sicherheitsanwendungen zugeordnet sind, von einem Hersteller des Beispiel-Sicherheitsauslösegeräts vorprogrammiert und zum Zeitpunkt der Herstellung installiert. Darüber hinaus können in einigen Beispielen vorprogrammierte Befehle für bestimmte Sicherheitsanwendungen von dritten Entitäten (z. B. einem Erstausrüster (OEM)) zur Installation zum Zeitpunkt der Herstellung entwickelt werden. Zusätzlich oder alternativ können in einigen Beispielen vorprogrammierte Befehle (unabhängig davon, ob sie vom Hersteller oder einem anderen Dritten entwickelt wurden) einem Endbenutzer zum Herunterladen und zur Installation nach der Herstellung eines Sicherheitsauslösegeräts bereitgestellt werden.
Obwohl es sich bei den hier aufgeführten Beispielen um „vorprogrammierte“ Befehle für bestimmte Sicherheitsanwendungen handelt, können solche Befehle mit der Fähigkeit programmiert werden, bestimmte Werte für relevante Sicherheitsparameter und/oder andere Konfigurationseinstellungen zu definieren und/oder zu spezifizieren. Beispiel-Sicherheitsparameter und/oder andere Konfigurationseinstellungen, die einer bestimmten Sicherheitsanwendung zugeordnet sind, können eine Auslösegrenze (z. B. ein Sollwert), Einheiten für die Auslösegrenze, die Richtung der Auslösung (z. B. hoch oder niedrig), eine der Auslösung zugeordnete Verzögerungszeit usw. umfassen. Während ein Endbenutzer die Möglichkeit erhält, solche Konfigurationseinstellungen vorzunehmen, ist der restliche Betrieb und die Funktionalität einer zugehörigen Sicherheitsanwendung in den vorprogrammierten Befehlen vordefiniert. Das heißt, der jeweilige Typ und die Anzahl der Eingangs- und Ausgangssignale sowie die Verfahren, durch die die E/A-Signale analysiert und/oder verarbeitet werden, sind bereits definiert. In einigen Beispielen umfassen die hier offenbarten Sicherheitsauslösegeräte eine Kommunikationsschnittstelle, um die Kommunikation mit übergeordneten und/oder anderen Systemen unter Verwendung eines geeigneten Kommunikationsprotokolls (z. B. Modbus) zu ermöglichen. In einigen solchen Beispielen wird auch die Zuordnung der Kommunikationsadressen (z. B. Register) für die verschiedenen E/A-Parameter und/oder Signalwerte durch die vorprogrammierten Befehle definiert, so dass ein Benutzer nur grundlegende Kommunikationsport-Einstellungen (z. B. Modbus-Port-Einstellungen) angeben muss, um die Einrichtung des Systems abzuschließen. Infolgedessen ist die Einrichtung von Sicherheitsanwendungen unter Verwendung der hier offenbarten Beispiel-Sicherheitsauslösegeräte viel schneller und einfacher als voll programmierbare Logik-Löser und weniger anfällig für menschliches Fehlverhalten. Darüber hinaus ermöglicht die Fähigkeit des Anwenders, verschiedene vorprogrammierte Sicherheitsanwendungen auszuwählen, dass die Beispiel-Sicherheitsauslösegeräte flexibler sind als Sicherheitsrelais und/oder dedizierte Sicherheitsauslösegeräte mit einer festen Funktionalität.
Ein weiterer Vorteil von vorprogrammierten Befehlen, die von Herstellern und/oder anderen dritten Entitäten entwickelt wurden, besteht darin, dass diese Entitäten für die vorprogrammierten Befehle eine Zertifizierung von den zuständigen Behörden oder leitenden Organen für die Einhaltung der Sicherheitsvorschriften erhalten können. Daher können sich die Endbenutzer getrost auf solche vorprogrammierten Befehle verlassen, die alle notwendigen Sicherheitsanforderungen und/oder Codes erfüllen, ohne dass sie Zeit und Kosten für die Programmierung ihrer eigenen Anwendungen aufwenden und bei jeder Entwicklung einer neuen Anwendung die entsprechenden Zertifizierungen beantragen müssen. Darüber hinaus bieten die hier aufgeführten Beispiel-Sicherheitsauslösegeräte Redundanz und erhöhen dadurch die Zuverlässigkeit im Vergleich zu anderen Sicherheitsauslösegeräten mit relativ geringer E/A-Zahl (z. B. Sicherheitsrelais und dedizierte Sicherheitsauslösegeräte). Im Gegensatz zu vollständig programmierbaren Logik-Lösern, die anfälliger für Manipulationen sind, verhindern einige offenbarte Beispiele, dass ein Endbenutzer und/oder ein böswilliger Angreifer die zugrunde liegenden (vorprogrammierten) Befehle für bestimmte Sicherheitsanwendungen ändert. Darüber hinaus werden in einigen Beispielen Endbenutzer und/oder böswillige Angreifer daran gehindert, die jeweils implementierte Sicherheitsanwendung und/oder die zugehörigen Konfigurationseinstellungen für die Anwendung ohne physische Bestätigung der Benutzeranwesenheit zu ändern, wodurch die Cybersicherheit solcher Geräte erhöht wird.
Um auf die Zeichnungen im Detail einzugehen, zeigt 1 ein Beispiel für ein Prozesssteuerungssystem 100, in dem die Lehren dieser Offenbarung umgesetzt werden können. Dieses besondere Beispiel entspricht einem eigenständigen sicherheitstechnischen System (SIS), wie es an einem Bohrlochkopf implementiert werden kann. Dieses Beispiel dient lediglich der Veranschaulichung. Die hier offenbarten Lehren können in Verbindung mit Sicherheitsanwendungen für jeden Typ von Prozesssteuerungssystemen (z. B. verteilte Steuerungssysteme (DCS), Überwachungs-, Steuerungs- und Datenerfassungssysteme (SCADA) usw.) von größerer oder geringerer Komplexität als im dargestellten Beispiel gezeigt, umgesetzt werden.
Wie im dargestellten Beispiel von 1 gezeigt, umfasst das Beispiel-System 100 eine Remote Terminal Unit (RTU) 102 in Kommunikation mit einem oder mehreren Feldgeräten 104, 106. Zusätzlich, wie in 1 gezeigt, steht die RTU 102 auch in Kommunikation mit einem System-Host 108 (z. B. einem bestehenden SCADA-Netzwerk), der dem Beispiel-System 100 zugeordnet ist. Im dargestellten Beispiel kann die Kommunikation zwischen der RTU 102 und dem Systemhost 108 über jedes geeignete Kommunikationsgerät und/oder jedes geeignete Medium erfolgen. In diesem Beispiel implementieren die RTU 102 und die zugehörigen Feldgeräte 104, 106 die nicht sicherheitsrelevanten Aspekte des Beispiel-Prozesssteuerungssystems 100.
Mit dem Beispiel-System-Host 108 von 1 kann ein Bediener, Ingenieur und/oder anderes Anlagenpersonal (von denen jeder hier als Benutzer bezeichnet werden kann) einen oder mehrere Bedienerbildschirme und/oder Anwendungen einsehen und/oder mit ihnen interagieren, die es dem Benutzer ermöglichen, Systemvariablen, Zustände, Bedingungen und/oder Alarme, die dem Beispiel-Steuersystem 100 zugeordnet sind, zu betrachten; (z. B. Sollwerte, Betriebszustände, Clear-Alarme, Stille-Alarme usw.) für das Beispiel-Steuersystem 100; Konfigurieren und/oder Kalibrieren von Geräten innerhalb des Beispiel-Steuersystems 100; Durchführen von Diagnosen von Geräten innerhalb des Beispiel-Steuersystems 100; und/oder anderweitiges Interagieren mit Geräten innerhalb des Beispiel-Steuersystems 100.
Der Beispiel-System-Host 108 von 1 kann unter Verwendung einer oder mehreren Arbeitsstationen und/oder anderen geeigneten Computersystemen und/oder Verarbeitungssystemen implementiert werden. Zum Beispiel könnte der System-Host 108 unter Verwendung von Einzelprozessor-Personalcomputern, Einzel- oder Multiprozessor-Arbeitsstationen, einem tragbaren Laptop-Computer usw. implementiert werden. Der Host 108 kann mit einer oder mehreren Anwendungsstationen konfiguriert werden, um eine oder mehrere informationstechnologische Anwendungen, benutzerinteraktive Anwendungen und/oder Kommunikationsanwendungen auszuführen. Beispielsweise kann eine Anwendungsstation so konfiguriert werden, dass sie in erster Linie prozesssteuerungsbezogene Anwendungen durchführt, während eine andere Anwendungsstation so konfiguriert werden kann, dass sie in erster Linie Kommunikationsanwendungen durchführt, die es dem Steuerungssystem 100 ermöglichen, mit anderen Geräten oder Systemen über beliebige Kommunikationsmedien (z. B. drahtlos, festverdrahtet usw.) und Protokolle (z. B. HTTP, SOAP usw.) zu kommunizieren. Das Beispiel-System 100 von 1 umfasst ein oder mehrere Sicherheitsauslösegeräte 110, 112, 114, von denen jedes mit einem oder mehreren Feldgeräten 116, 118, 120, 122 in Kommunikation steht. Obwohl die Sicherheitsauslösegeräte 110, 112, 114 in Verbindung mit dem Prozesssteuerungssystem 100 gezeigt und beschrieben werden, können die Sicherheitsauslösegeräte 110, 112, 114 in einigen Beispielen als Teil eines oder mehrerer sicherheitsinstrumentierter Systeme implementiert werden, die unabhängig vom Rest des Systems 100 arbeiten. In einigen Beispielen können eine oder mehrere der Feldgeräte 116, 118, 120, 122 mit zwei oder mehreren der Sicherheitsauslösegeräte 110, 112, 114 kommunizieren. Zusätzlich oder alternativ können in einigen Beispielen eines oder mehrere der Feldgeräte 116, 118, 120, 122 in Kommunikation mit einem oder mehreren der Sicherheitsauslösegeräte 110, 112, 114 einem oder mehreren der Feldgeräte in Kommunikation mit der RTU 102 entsprechen. In einigen Beispielen können zumindest einige der Beispiel-Feldgeräte 104, 106, 116, 118, 120, 122 intelligente Feldgeräte wie feldbuskonforme Ventile, Aktoren, Sensoren usw. sein. In diesem Fall kommunizieren die intelligenten Feldgeräte 104, 106, 116, 118, 120, 122 mit dem RTU 102 und/oder den Sicherheitsauslösegeräten 110, 112, 114 unter Verwendung des bekannten Foundation Fieldbus-Protokolls über eines der drahtgebundenen oder drahtlosen Kommunikationsmedien. Selbstverständlich können stattdessen auch andere Arten von intelligenten Feldgeräten und Kommunikationsprotokollen verwendet werden. Beispielsweise könnten die intelligenten Feldgeräte 104, 106, 116, 118, 120, 122 stattdessen Profibus®- und/oder HART®-konforme Geräte sein, die mit der RTU 102 und/oder den Sicherheitsauslösegeräten 110, 112, 114 über die bekannten Kommunikationsprotokolle Profibus® und HART® kommunizieren. Zusätzlich oder alternativ, in einigen Beispielen, können die Feldgeräte 104, 106, 116, 118, 120, 122 über ein lokales drahtloses Netzwerk gemäß dem WirelessHART™ Protokoll kommunikativ gekoppelt werden. Ferner können in einigen Beispielen zumindest einige der Feldgeräte 104, 106, 116, 118, 120, 122 nichtintelligente Feldgeräte sein, wie z. B. konventionelle 4-20 Milliampere (mA) oder 0-24 Volt Gleichstromgeräte (VDC), die über entsprechende festverdrahtete Verbindungen mit der RTU 102 und/oder den Sicherheitsauslösegeräten 110, 112, 114 kommunizieren. Weitere Einzelheiten zur Kommunikation der Beispiel-Feldgeräte 116, 118, 120, 122 mit den Beispiel-Sicherheitsauslösegeräten 110, 112, 114 werden weiter unten in Verbindung mit 3 aufgeführt.
Im dargestellten Beispiel kommunizieren die Sicherheitsauslösegeräte 110, 112, 114 mit der RTU 102 über ein primäres Netzwerk 124 über einen ersten Switch 126 und ein redundantes Netzwerk 128 über einen zweiten Switch 130. In einigen Beispielen können die Switches 126, 130 weggelassen werden. In diesem Beispiel werden die Netzwerke 124, 128 unter Verwendung des bekannten Modbus-Protokolls implementiert. In anderen Beispielen können jedoch auch andere Kommunikationsprotokolle verwendet werden. Im dargestellten Beispiel von 1 ist jedes der Beispiel- Sicherheitsauslösegeräte 110, 112, 114 unabhängig mit den beiden Netzwerken 124, 128 verbunden, um unabhängige sicherheitsinstrumentierte Funktionen (SIFs) bereitzustellen. Durch die kommunikative Kopplung der Sicherheitsauslösegeräte 110, 112, 114 mit der RTU 102 können SIS-Informationen gemeinsam vom Personal an einer dem System-Host 108 zugeordneten Arbeitsstation genutzt werden.
Das Beispiel-Prozesssteuerungssystem 100 des in 1 gezeigten Beispiels umfasst auch eine Mensch-Maschine-Schnittstelle 132, um die Anzeige von Informationen im Zusammenhang mit dem Betrieb des Prozesssteuerungssystems 100 einschließlich der RTU 102 und/oder der Sicherheitsauslösegeräte 110, 112, 114 zu ermöglichen. Ferner kann in einigen Beispielen ein Konfigurationswerkzeug 134 kommunikativ mit den Sicherheitsauslösegeräten 110, 112, 114 gekoppelt werden, so dass ein Benutzer jedes Sicherheitsauslösegerät 110, 112, 114 konfigurieren und/oder einrichten kann, um eine bestimmte Sicherheitsanwendung zu implementieren. In einigen Beispielen, wie in 1 gezeigt, kommuniziert das Konfigurationswerkzeug 134 mit den Sicherheitsauslösegeräten 110, 112, 114 über das Primärnetzwerk 124 über den ersten Switch 126. Zusätzlich oder alternativ kann in einigen Beispielen das Konfigurationswerkzeug 134 direkt mit einem bestimmten der Sicherheitsauslösegeräte 110, 112, 114 verdrahtet sein. Wie oben erwähnt und weiter unten weiter beschrieben, umfassen die Sicherheitsauslösegeräte 110, 112, 114 in einigen Beispielen vorprogrammierte Befehle im Zusammenhang mit verschiedenen Sicherheitsanwendungen, die im Speicher gespeichert sind und einem Benutzer zur Auswahl und Konfiguration zur Verfügung stehen. In einigen Beispielen wählt der Benutzer die bestimmte Sicherheitsanwendung über das Konfigurationswerkzeug 134 aus und gibt weiter Werte für relevante Konfigurationsparameter und/oder Einstellungen über das Konfigurationswerkzeug 134 an. Darüber hinaus können Benutzer in einigen Beispielen eine andere (z. B. neue) vorprogrammierte Anwendung von einer Website (z. B. vom Hersteller des Sicherheitsauslösegeräts und/oder einer dritten Entität) mit Hilfe des Konfigurationswerkzeugs 134 herunterladen und anschließend die neue Anwendung auf dem Sicherheitsauslösegerät 110, 112, 114 installieren. Das Konfigurationswerkzeug 134 kann ein Laptop-Computer, ein Notebook-Computer, ein Smartphone, ein Handheld-Gerät und/oder jedes andere Rechengerät sein.
In einigen Beispielen können die Sicherheitsauslösegeräte 110, 112, 114 so konfiguriert werden, dass sie eine beliebige geeignete Anzahl von E/A-Punkten und/oder Kanälen bis zu einer durch die Größe der Auslösegeräte definierten Grenze verarbeiten können. In einigen Beispielen sind die Sicherheitsauslösegeräte 110, 112, 114 so konstruiert, dass sie bis zu zwölf E/A-Kanäle verarbeiten können, was ausreicht, um Flexibilität für viele Sicherheitsanwendungen mit relativ geringer E/A-Zahl bereitzustellen. In Situationen, in denen die E/A-Zählung für eine bestimmte Sicherheitsanwendung mehr E/A-Kanäle umfasst als auf einem Sicherheitsauslösegerät verfügbar sind, können mehrere Geräte kombiniert werden, wie im dargestellten Beispiel von 2 gezeigt. Insbesondere 2 zeigt das Beispiel-Prozesssteuerungssystem 100 aus 1 so umkonfiguriert, dass das zweite Sicherheitsauslösegerät 112 als Slave-Knoten zum ersten Sicherheitsauslösegerät 110 als Master-Knoten dient. Wenn zwei Sicherheitsauslösegeräte auf diese Weise kombiniert werden, verdoppelt sich die für ein einzelnes SIF verfügbare E/A-Zahl (z. B. 24 E/A statt 12 E/A). Während die hier beschriebenen Beispiele für Sicherheitsauslösegeräte zwölf E/A-Kanäle umfassen, können andere Beispiele für Auslösegeräte mehr oder weniger als 12 E/A-Kanäle haben.
Obwohl die Beispiel-Sicherheitsauslösegeräte 110, 112, 114 als bis zu 12 E/A-Kanäle umfassend beschrieben werden, kann die tatsächliche Anzahl der Kanäle, die für eine bestimmte Anwendung verwendet werden, vom Benutzer auf der Grundlage der Anforderungen der zu implementierenden Anwendung konfiguriert werden. Das heißt, bei einer Anwendung dürfen nur vier der Kanäle genutzt werden, während bei einer anderen Anwendung elf der Kanäle genutzt werden können. Darüber hinaus kann der jeweilige Typ des E/A-Signals, das einem der Kanäle zugeordnet ist, an die jeweilige zu implementierende Anwendung angepasst werden. Beispielsweise kann in einer Anwendung der erste E/A-Kanal für einen 4-20 mA Analogeingang vorgesehen sein. In einer zweiten anderen Anwendung kann der erste E/A-Kanal für einen Thermoelementeingang vorgesehen sein. Verschiedene Typen von E/A-Signalen, die mit dem Beispiel der Sicherheitsauslösegeräte 110, 112, 114 kompatibel sind, umfassen ein analoges Eingangssignal von 4-20 mA, ein analoges Ausgangssignal von 4-20 mA, ein analoges Eingangssignal von 0-10 V, ein analoges Ausgangssignal von 0-10 V, ein Thermoelementsignal, ein RTD-Signal (RTD = Resistance Temperature Detector), ein trockenes oder diskretes NAMUR-Eingangssignal, ein diskretes High-Side-Ausgangssignal, ein isoliertes diskretes Eingangssignal oder diskretes Ausgangssignal für höhere Ströme oder höhere VAC-Spannungen, ein Relaiskontakt-Ausgangssignal usw. Die Möglichkeit, eine beliebige Kombination dieser verschiedenen Typen von E/A-Signalen in beliebiger Anzahl bis zur strukturellen Kapazität eines Sicherheitsauslösegeräts (und mehr, wenn mehrere Auslösegeräte kombiniert werden) bereitzustellen, bietet wesentlich mehr Flexibilität bei der Anpassung des Sicherheitsauslösegeräts an verschiedene Verwendungen und Anwendungen, als dies mit vorhandenen dedizierten Sicherheitsauslösegeräten möglich ist, die für eine bestimmte Anwendung ausgelegt sind. Darüber hinaus macht die Bereitstellung vorprogrammierter Befehle, die bestimmten Anwendungen entsprechen, zur Auswahl für einen Benutzer die Konfiguration und Einrichtung solcher Bausteine wesentlich weniger komplex als dies mit einem voll programmierbaren Logik-Löser möglich ist.
3 zeigt eine detailliertere Ansicht des ersten Beispiel-Sicherheitsauslösegeräts 110 aus 1 und/oder 2. Obwohl die nachfolgende Erörterung in Bezug auf das erste Sicherheitsauslösegerät 110 dargelegt wird, können das zweite und dritte Sicherheitsauslösegerät 112, 114 der 1 und/oder 2 dem ersten Sicherheitsauslösegerät 110 ähnlich oder identisch sein. Das Beispiel-Sicherheitsauslösegerät 110 des gezeigten Beispiels umfasst ein Gehäuse 302, das einen oder mehrere E/A-Scanner 304, 306 trägt. In diesem Beispiel gibt es zwei E/A-Scanner, wobei der erste E/A-Scanner 304 als primärer E/A-Scanner und der zweite E/A-Scanner 306 als redundanter E/A-Scanner dient. Die E/A-Scanner 304, 306 sind kommunikativ mit den entsprechenden E/A-Ports 308, 310 gekoppelt, über die die E/A-Scanner 304, 306 kommunikativ mit dem in 1 gezeigten ersten und zweiten Netzwerk 124, 128 gekoppelt werden können. Zusätzlich oder alternativ können die E/A-Ports 308, 310 verwendet werden, um mehrere Sicherheitsauslösegeräte kommunikativ miteinander zu verbinden, wie die ersten und zweiten Sicherheitsauslösegeräte 110, 112 in 2 zeigen, In einigen Beispielen sind die E/A-Scanner 304, 306 über eine im Gehäuse 302 enthaltene Rückwandplatine kommunikativ mit den E/A-Ports 308, 310 gekoppelt.
In einigen Beispielen sind die E/A-Scanner 304, 306 selektiv aus dem Gehäuse 302 herausnehmbar, wodurch der Austausch eines bestimmten E/A-Scanners durch einen anderen Scanner ermöglicht wird. In einigen dieser Beispiele werden Clips oder Verriegelungen 312 und/oder andere Verriegelungsmechanismen verwendet, um die E/A-Scanner 304, 306 an Ort und Stelle zu sichern, wenn sie mit dem Gehäuse 302 gekoppelt sind. In anderen Beispielen sind die E/A-Scanner 304, 306 in das Gehäuse 302 integriert. Wie bei den E/A-Scannern 304, 306 sind in einigen Beispielen die E/A-Ports 308, 310 selektiv vom Gehäuse 302 abnehmbar, wodurch der Austausch eines bestimmten E/A-Ports durch einen anderen Port möglich ist (z. B. Ports, die mehrere Kommunikationsstecker umfassen und nicht nur einen, wie im dargestellten Beispiel gezeigt). In einigen Beispielen sichern Clips oder Riegel 314 und/oder andere Verriegelungsmechanismen die E/A-Ports 308, 310 am Gehäuse. In anderen Beispielen sind die E/A-Ports 308, 310 in das Gehäuse 302 integriert.
Wie im dargestellten Beispiel gezeigt, umfasst das Sicherheitsauslösegerät 110 auch mehrere Klemmleisten 316. In diesem Beispiel gibt es zwölf Klemmleisten 316. In anderen Beispielen können mehr oder weniger als zwölf Klemmleisten 316 vorhanden sein. Die Beispiel-Klemmleisten 316 stellen eine erste physische Schnittstelle (z. B. Drahtabschlusspunkte 318) bereit, auf die ein oder mehrere Drähte der Feldgeräte 116, 118, 120, 122 aufgelegt werden können. Weiterhin umfassen die Beispiel-Klemmleisten 316 eine zweite physische Schnittstelle (z. B. einen Steckplatz oder Sockel 320 mit darin enthaltenen elektrischen Kontakten 322), um eines von mehreren verschiedenen Typen von E/A-Abschlussmodulen 324 aufzunehmen und zu halten. Im dargestellten Beispiel werden E/A-Abschlussmodule 324 in die Steckplätze 320 der ersten, zweiten, dritten, fünften und zwölften Klemmleiste 316 eingesetzt. In einigen Beispielen sind die Abschlussmodule CHARMs (Charakterisierungsmodule), entwickelt von Emerson Process Management.
Im dargestellten Beispiel umfasst das Sicherheitsauslösegerät 110 auch einen Adress-Stecker 326. In einigen Beispielen kann der Adress-Stecker 326 einem von zwei Typen entsprechen, die in einem entsprechenden Schlitz im Gehäuse 302 des Sicherheitsauslösegeräts 110 selektiv miteinander vertauscht werden können. Ein erster Typ von Adress-Stecker 326 ist ein Laufzeit-Adress-Stecker, bei dem es sich um einen Standardtyp von Adress-Steckern handelt, der Adressinformationen für die verschiedenen Abschlussmodule 324 für die E/A-Scanner 304, 306 bereitstellt. Ein zweiter Typ des Adress-Steckers 326 ist ein Konfigurations-Adress-Stecker, der speziell verwendet werden kann, wenn der Sicherheitsauslösegerät 110 für eine bestimmte Sicherheitsanwendung konfiguriert wird, wie weiter unten ausführlicher erörtert wird.
In einigen Beispielen sind die Klemmleisten 316 selektiv vom Gehäuse 302 abnehmbar, um den Austausch durch verschiedene Klemmleisten zu ermöglichen (z. B. mit unterschiedlicher Anzahl und/oder unterschiedlichem Typ von Anschlusspunkten 318 zum Anschluss an verschiedene Typen von Feldgeräten). In einigen dieser Beispiele können die E/A-Abschlussmodule 324 mit entsprechenden Klemmleisten 316 integriert werden, so dass die verschiedenen E/A-Abschlussmodule 324 und Klemmleisten 316 selektiv aus dem Sicherheitsauslösegerät 110 als Einheit entfernt und/oder ersetzt werden können. In anderen Beispielen können die Klemmleisten 316 in das Gehäuse 302 integriert werden, wobei nur die E/A-Abschlussmodule 324 selektiv abnehmbar sind.
In dem gezeigten Beispiel sind die elektrischen Kontakte 322 auf den Klemmleisten 316 elektrisch mit den Abschlusspunkten 318 gekoppelt, um die Kommunikation zwischen den Feldgeräten 116, 118, 120, 122 (verdrahtet mit den Abschlusspunkten 318) und den E/A-Abschlussmodulen 324 zu ermöglichen, die in die Steckplätze 320 der entsprechenden Klemmleisten 316 eingesetzt sind. Ferner sind die elektrischen Kontakte 322 der Klemmleisten 316 elektrisch mit der Rückwandplatine des Gehäuses 302 gekoppelt, um die Kommunikation zwischen den E/A-Scannern 304, 306 und den entsprechenden E/A-Abschlussmodulen 324, die in die Klemmleisten 316 eingesetzt sind, zu ermöglichen. Insbesondere umfasst die Rückwandplatine des Gehäuses 302 in einigen Beispielen einen universellen E/A-Bus (z. B. einen gemeinsamen oder gemeinsam genutzten Kommunikationsbus), der die E/A-Abschlussmodule 324 in einer der Klemmleisten 316 mit den E/A-Scannern 304, 306 kommunikativ koppelt.
In einigen Beispielen können sich die E/A-Signale, die an die verschiedenen Feldgeräte 116, 118, 120, 122 übertragen oder von diesen empfangen werden, je nach Typ des betreffenden Feldgeräts im Typ unterscheiden. Als Folge davon sind die E/A-Signale möglicherweise nicht direkt mit dem universellen E/A-Bus kompatibel, da sie auf unterschiedlichen Kommunikationsprotokollen basieren. Dementsprechend werden in einigen Beispielen Übertragungen zu und von verschiedenen Typen von Feldgeräten 116, 118, 120, 122, die verschiedenen Typen von E/A-Signalen zugeordnet sind (die auf der Grundlage verschiedener Kommunikationsprotokolle übermittelt werden), von verschiedenen Typen von E/A-Abschlussmodulen 324 verarbeitet, die so konfiguriert sind, dass sie die entsprechenden Typen von E/A-Signalen verarbeiten. Das heißt, verschiedene Typen von E/A-Abschlussmodulen 324 enthalten unterschiedliche Logikschaltungen, um Feldgeräteinformationen auf der Grundlage eines bestimmten Kommunikationsprotokolls von entsprechenden Feldgeräten zu empfangen und die Feldgeräteinformationen an die E/A-Scanner 304, 306 unter Verwendung eines anderen Kommunikationsprotokolls, das dem universellen E/A-Bus zugeordnet ist, zu übermitteln. Gleichermaßen können die E/A-Scanner 304, 306 Feldgeräteinformationen an die E/A-Abschlussmodule 324 auf der Grundlage des dem universellen E/A-Bus zugeordneten Kommunikationsprotokolls kommunizieren, woraufhin die Logikschaltung in jedem E/A-Abschlussmodul 324 die Feldgeräteinformationen extrahieren und diese an die jeweiligen Feldgeräte gemäß dem besonderen Typ des E/A-Signals und des zugeordneten Kommunikationsprotokolls, das für jedes bestimmte Feldgerät vorgesehen ist, kommunizieren kann.
Dank der Fähigkeit, verschiedene E/A-Abschlussmodule 324 zu verwenden, die für die Verarbeitung verschiedener Arten von E/A-Signalen (die verschiedenen Kommunikationsprotokollen zugeordnet sind) konstruiert sind, ist es möglich, das Sicherheitsauslösegerät 110 an verschiedene Sicherheitsanwendungen anzupassen, indem die geeigneten Typen von E/A-Abschlussmodulen 324 entsprechend den besonderen Arten von E/A-Signalen ausgewählt werden, die in jeder gewünschten Anwendung involviert sind, und diese Module 324 in die Klemmleisten 316 eingesetzt werden. Damit die E/A-Scanner 304, 306 die E/A-Signale für eine bestimmte Sicherheitsanwendung angemessen analysieren und/oder verarbeiten können, müssen die E/A-Scanner 304, 306 natürlich entsprechend programmiert und/oder konfiguriert werden. In einigen Beispielen umfassen die E/A-Scanner 304, 306 Speicher, um vorprogrammierte Befehle zu speichern, die verschiedenen Typen von Sicherheitsanwendungen zugeordnet sind, damit der Endbenutzer die E/A-Scanner nicht jedes Mal programmieren muss, wenn das Sicherheitsauslösegerät 110 an eine neue Sicherheitsanwendung angepasst wird. In einigen Beispielen werden die vorprogrammierten Befehle zum Zeitpunkt der Herstellung vor dem Verkauf des Sicherheitsauslösegeräts 110 im Speicher gespeichert. Zusätzlich oder alternativ können die vorprogrammierten Befehle vom Endbenutzer heruntergeladen und nach dem Kauf des Sicherheitsauslösegeräts 110 auf den E/A-Scannern 304, 306 gespeichert werden.
Durch das Bereitstellen vorprogrammierter Befehle für bestimmte Sicherheitsanwendungen, die ein Endbenutzer nicht entwickeln muss, wird die Komplexität der Einrichtung des Sicherheitsauslösegeräts 110 für solche Sicherheitsanwendungen erheblich reduziert. In einigen Beispielen definieren die vorprogrammierten Befehle zum Beispiel die Anzahl und Typen von E/A-Signalen für eine bestimmte Sicherheitsanwendung sowie die Beziehung dieser Signale zueinander und wie sie behandelt und/oder verarbeitet werden sollen. Ferner definieren die vorprogrammierten Befehle in einigen Beispielen nicht nur die logische(n) Sequenz(en) der Operation für eine bestimmte Sicherheitsanwendung, sondern sie definieren auch die Zuordnung der Kommunikationsadressen (z. B. Register) für die verschiedenen E/A-Signale, die in der bestimmten Anwendung für die Kommunikation mit externen Komponenten (z. B. das Host-System 108 in 1) beteiligt sind. Wenn ein Endbenutzer das Sicherheitsauslösegerät 110 für die Implementierung einer bestimmten Sicherheitsanwendung konfigurieren möchte, wählt er daher die entsprechenden vorprogrammierten Anweisungen aus, setzt die entsprechenden E/A-Abschlussmodule 324 ein und definiert bestimmte Konfigurationseinstellungen und/oder Kommunikationsport-Einstellungen. In einigen Beispielen umfassen die Konfigurationseinstellungen das Festlegen von Werten für relevante Sicherheitsparameter wie den Wert einer Auslösegrenze (z. B. einen Sollwert), die Einheiten für die Auslösegrenze, die Richtung der Auslösung (z. B. hoch oder niedrig), eine der Auslösung zugeordnete Verzögerungszeit usw. In einigen Beispielen umfassen die Einstellungen der Kommunikationsanschlüsse (z. B. Modbus-Port-Einstellungen) das Definieren von Internet-Protokolladressen (IP-Adressen), Subnetzmaske, Port-Nummern usw., die den Klemmleisten 316 und/oder den mit der Sicherheitsanwendung verknüpften E/A-Signalen zugeordnet sind.
In einigen Beispielen können die vorprogrammierten Befehle von einer zuständigen Behörde oder einem leitenden Organ im Bereich der Einhaltung von Sicherheitsvorschriften zertifiziert werden. Eine solche Zertifizierung muss nur einmal durchgeführt werden und kann dann zuverlässig auf einer beliebigen Anzahl von Sicherheitsauslösegeräten 110 durch eine beliebige Anzahl von Endbenutzern verwendet werden. Um sicherzustellen, dass die Zertifizierung gültig bleibt, wird in einigen Beispielen verhindert, dass Endbenutzer die vorprogrammierten Befehle ändern. Das heißt, während ein Anwender geeignete Konfigurationseinstellungen für eine bestimmte Implementierung der zugehörigen Sicherheitsanwendung auswählen und bereitstellen kann, kann der Anwender daran gehindert werden, auf die zugrunde liegenden Logiksequenzen und die zugehörigen Beziehungen und Interaktionen der E/A-Signale, wie sie in den vorprogrammierten Befehlen definiert sind, zuzugreifen, sie anzuzeigen und/oder zu ändern. Auch wenn Endbenutzer in einigen Beispielen nicht in der Lage sind, vorprogrammierte Befehle, die auf den E/A-Scannern 304, 306 gespeichert sind, zu ändern, können Endbenutzer ihre eigenen Programme entwickeln, die von den E/A-Scannern 304, 306 implementiert werden, wenn z. B. vorprogrammierte Befehle für eine bestimmte Sicherheitsanwendung nicht verfügbar sind. In solchen Beispielen kann der Endbenutzer das Programm bei Bedarf aktualisieren und/oder ändern.
In einigen Beispielen ist die Auswahl einer bestimmten Sicherheitsanwendung in Verbindung mit vorprogrammierten Befehlen, die in den E/A-Scannern 304, 306 gespeichert sind, und die zugehörige Konfiguration solcher Befehle zur Implementierung darauf beschränkt, wenn ein Konfigurations-Adress-Stecker 326 anstelle eines Standard-Laufzeitadress-Steckers 326 in das Sicherheitsauslösegerät 110 eingesteckt wird. Die Beschränkung von Änderungen an der Konfiguration und Einrichtung einer bestimmten Sicherheitsanwendung auf den Zeitpunkt, zu dem der Konfigurations-Adress-Stecker 326 in das Sicherheitsauslösegerät 110 eingesteckt wird, stellt effektiv einen Test auf die Anwesenheit des Benutzers zur Erhöhung der Sicherheit bereit, bevor Änderungen vorgenommen werden können, da ein Benutzer den Konfigurations-Adress-Stecker 326 physisch einstecken muss. Wenn das Sicherheitsauslösegerät 110 für eine bestimmte Sicherheitsanwendung eingerichtet und konfiguriert wurde und der Standard-Laufzeit-Adress-Stecker den Konfigurations-Adress-Stecker 326 ersetzt hat, arbeitet das Sicherheitsauslösegerät 110 konfigurationsgemäß, ohne dass die Gefahr besteht, dass jemand versehentlich oder böswillig die Konfigurationseinstellungen für die Anwendung manipuliert (und/oder den Betrieb des Sicherheitsauslösegeräts 110 so umschaltet, dass er einer anderen Sicherheitsanwendung entspricht, die einem anderen Satz vorprogrammierter Befehle zugeordnet ist). Mit anderen Worten, der Konfigurations-Adress-Stecker 326 versetzt das Sicherheitsauslösegerät 110 in einen Konfigurationsmodus, in dem die Sicherheitsanwendung zwar geändert, aber nicht implementiert werden kann. Andererseits versetzt der Laufzeitadress-Stecker 326 das Sicherheitsauslösegerät in einen Betriebsmodus, in dem die Sicherheitsanwendung zwar implementiert, aber nicht geändert werden kann.
4 ist ein Blockdiagramm, das eine Beispiel-Implementierung des primären E/A-Scanners 304 aus 3 zeigt. Obwohl die nachstehende Erörterung in Bezug auf den primären E/A-Scanner 304 bereitgestellt wird, kann der redundante E/A-Scanner 306 dem primären E/A-Scanner 304 ähnlich oder identisch sein. Wie im dargestellten Beispiel gezeigt, umfasst der primäre E/A-Scanner 304 ein Beispiel für die externe Kommunikationsschnittstelle 402, ein Beispiel für die E/A-Kommunikationsschnittstelle 404, ein Beispiel für die Konfiguration des Controllers 406, ein Beispiel für den E/A-Analysator 408 und ein Beispiel für den Speicher 410. Die beispielhafte externe Kommunikationsschnittstelle 402 ermöglicht die Kommunikation mit Komponenten außerhalb des Sicherheitsauslösegeräts 110. Das heißt, in diesem Beispiel ist die externe Kommunikationsschnittstelle 402 mit den entsprechenden E/A-Anschlüssen 308, 310 verbunden, um die Kommunikation mit den Netzwerken 124, 128 und/oder die Kommunikation mit anderen Sicherheitsauslösegeräten 110 zu ermöglichen. Beispielsweise kann ein Anwender unter anderem eine bestimmte Sicherheitsanwendung auf dem Sicherheitsauslösegerät 110 über das Konfigurationswerkzeug 134 der 1 und 2 auswählen und/oder konfigurieren, die über die externe Kommunikationsschnittstelle 402 des E/A-Scanners 304 mit dem Sicherheitsauslösegerät 110 in Kommunikation steht.
Das Beispiel der E/A-Kommunikationsschnittstelle 404 ermöglicht die Kommunikation mit den verschiedenen E/A-Abschlussmodulen 324, die in die Klemmleisten 316 an dem Sicherheitsauslösegerät 110 eingesetzt sind. In solchen Beispielen kommuniziert die E/A-Kommunikationsschnittstelle 404 mit den E/A-Abschlussmodulen 324 über die Rückwand des Gehäuses 302 unter Verwendung des universellen E/A-Busses, wie oben beschrieben. In einigen Beispielen ermöglicht die E/A-Kommunikationsschnittstelle 404 auch die Kommunikation zwischen dem primären E/A-Scanner 304 und dem redundanten E/A-Scanner 306. Infolgedessen werden in einigen Beispielen Modifikationen und/oder Änderungen an einem der E/A-Scanner 304, 306 automatisch an den anderen weitergegeben. Obwohl die externe Kommunikationsschnittstelle 402 separat von der E/A-Kommunikationsschnittstelle 404 dargestellt wird, kann die externe Kommunikationsschnittstelle 402 in einigen Beispielen integriert und/oder mit der E/A-Kommunikationsschnittstelle 404 kombiniert werden.
Der Beispiel-Konfigurationscontroller 406 des E/A-Scanners 304 aus 4 verwaltet die Benutzerauswahl und -konfiguration einer Sicherheitsanwendung, die durch das Sicherheitsauslösegerät 110 implementiert werden soll. In einigen Beispielen bestimmt der Konfigurationscontroller 406, ob der Adress-Stecker 326 ein Konfigurations-Adress-Stecker oder ein Laufzeit-Adress-Stecker ist. Wenn der Stecker 326 ein Laufzeit-Adress-Stecker ist, verhindert der Konfigurationscontroller 406, dass ein Anwender eine Sicherheitsanwendungsbezeichnung zur Implementierung auf dem Sicherheitsauslösegerät 110 auswählen (z. B. ändern) kann. Wenn der Adress-Stecker 326 ein Laufzeit-Adress-Stecker ist, kann der Konfigurationscontroller 406 außerdem verhindern, dass ein Benutzer die Konfigurationseinstellungen für die aktuell vorgesehene Sicherheitsanwendung ändert. Ist dagegen der Adress-Stecker 326 ein Konfigurations-Adress-Stecker, kann der Konfigurationscontroller 406 dem Anwender die Auswahl und/oder Konfiguration einer Sicherheitsanwendung zur Implementierung durch das Sicherheitsauslösegerät 110 ermöglichen. Der Konfigurations-Adress-Stecker 326 verhindert jedoch aufgrund des Fehlens gültiger Adressinformationen, dass die Sicherheitsanwendung tatsächlich implementiert wird. Erst wenn der Standard-Laufzeit-Adress-Stecker 326 wieder in das Sicherheitsauslösegerät 110 eingesteckt wird, kann die bezeichnete Sicherheitsanwendung implementiert werden.
Wie oben erwähnt, verwendet ein Benutzer in einigen Beispielen das Konfigurationswerkzeug 134, um eine bestimmte Sicherheitsanwendung auszuwählen und zu konfigurieren. Somit kommuniziert in einigen Beispielen der Konfigurationscontroller 406 mit dem Konfigurationswerkzeug 134 über die externe Kommunikationsschnittstelle 402, um Aufforderungen und/oder Optionen bereitzustellen, die ein Benutzer während des Konfigurationsprozesses auswählen und/oder Feedback geben kann. Insbesondere stellt der Konfigurationscontroller 406 in einigen Beispielen einem Benutzer verfügbare Sicherheitsanwendungen zur Auswahl, die auf einem Anzeigebildschirm des Konfigurationswerkzeugs 134 dargestellt werden. In einigen Beispielen kann der Konfigurationscontroller 406 eine grafische Benutzeroberfläche mit den entsprechenden Benutzeroptionen zum Rendern über eine Anzeige auf dem Konfigurationswerkzeug 134 erzeugen. In anderen Beispielen kann der Konfigurationscontroller 406 relevante Informationen übertragen, damit das Konfigurationswerkzeug 134 eine geeignete grafische Benutzeroberfläche zwecks Anzeige der Informationen für den Benutzer erzeugen kann. Verfügbare Sicherheitsanwendungen können in jeder geeigneten Form angezeigt werden (z. B. in einer Dropdown-Liste, in einer Tabelle usw.).
In einigen Beispielen entsprechen die verfügbaren Sicherheitsanwendungen, die dem Benutzer zur Auswahl bereitgestellt werden, allen Sicherheitsanwendungen, die vorprogrammierten Befehlen zugeordnet sind, die im Speicher 410 des E/A-Scanners 304 gespeichert sind.
Zusätzlich oder alternativ können in einigen Beispielen die verfügbaren Sicherheitsanwendungen, die dem Benutzer bereitgestellt werden, Anwendungen umfassen, die der Benutzer (oder ein anderer Endbenutzer) zuvor entwickelt und im Speicher 410 gespeichert hat. In einigen Beispielen können die verfügbaren Sicherheitsanwendungen, die dem Benutzer zur Auswahl bereitgestellt werden, einer Teilmenge aller Sicherheitsanwendungen mit vorprogrammierten Anweisungen entsprechen, die in dem Speicher 410 gespeichert sind. Beispielsweise können in einigen Beispielen nur die Sicherheitsanwendungen, die einem bestimmten Typ von Prozesssteuerungssystem (z. B. Bohrlochkopf-Sicherheitsanwendungen) zugeordnet sind, dem Anwender zur Verfügung gestellt werden.
In einigen Beispielen können die verfügbaren Sicherheitsanwendungen vorprogrammierte Befehle umfassen, die noch nicht im Speicher 410 gespeichert sind. In solchen Beispielen kann dem Benutzer die Möglichkeit geboten werden, solche vorprogrammierten Befehle zu erhalten, indem er sie mit Hilfe des Konfigurationswerkzeugs 134 von einer Website herunterlädt. Nach dem Herunterladen kann das Konfigurationswerkzeug 134 die vorprogrammierten Befehle an den E/A-Scanner 304 übertragen, um sie im Speicher 410 zu speichern. In einigen Beispielen kann es vorkommen, dass der Konfigurationscontroller 406 vorprogrammierte Anwendungen, die nicht im Speicher 410 gespeichert sind, nicht spezifisch identifiziert, aber dennoch dem Benutzer die Möglichkeit bietet, nach neuen und/oder anderen Sicherheitsanwendungen zu suchen, die nicht im Speicher 410 gespeichert sind und verfügbar sein könnten.
Die verfügbaren Sicherheitsanwendungen können jedem geeigneten Anwendungstyp entsprechen, der in einem sicherheitsinstrumentierten System implementiert werden kann. Verschiedene Beispiel-Sicherheitsanwendungen mit vorprogrammierten Befehlen, die im Speicher 410 gespeichert sein können, umfassen Anwendungen des Brennermanagementsystems (BMS), Notabschaltungsanwendungen (ESD), Anwendungen des automatischen Überlaufschutzsystems (AOPS), Anwendungen des hochintegrierten Druckschutzsystems (HIPPS), Einzelwähleranwendungen (z. B. 1 aus 2 (1oo2), 2 aus 3 (2oo3) usw.), Anwendungen für Wähler mit mehreren Iterationen (z. B. zwei Iterationen eines 2oo3-Wählers, drei Iterationen eines loo2-Wählers usw.), Bohrlochkopf-Anwendungen usw.
In einigen Beispielen ruft der Konfigurationscontroller 406, sobald ein Benutzer eine bestimmte Sicherheitsanwendung zur Implementierung auswählt, die zugehörigen Befehle ab, die im Speicher 410 gespeichert sind, und fordert den Benutzer
(z. B. über das Konfigurationswerkzeug 134) auf, Werte für relevante Parameter und andere Konfigurationseinstellungen (z. B. Auslösegrcnzen, Auslöserichtung, Zeitverzögerungen usw.) bereitzustellen. In einigen Beispielen kann der Konfigurationscontroller 406 dem Anwender (z. B. über das Konfigurationstool 134) eine Auflistung der Arten von E/A-Signalen bereitstellen, die an der ausgewählten Sicherheitsanwendung beteiligt sind, damit der Anwender bestätigen kann, dass die korrekten E/A-Abschlussmodule 324 in die Klemmleisten 316 des Sicherheitsauslösegeräts 110 eingesetzt sind. In einigen Beispielen kann ein Benutzer die Typen der Abschlussmodule 324, die in dem Sicherheitsauslösegerät 110 installiert sind, sowie ihre Positionen innerhalb der verschiedenen Klemmleisten 316 angeben, damit der Konfigurationscontroller 406 bestätigen kann, dass die korrekten E/A-Abschlussmodule 324 auf der Grundlage der E/A-Signale verwendet werden, die bei der ausgewählten Anwendung gemäß der Definition in den vorprogrammierten Befehlen beteiligt sind. Ferner kann der Benutzer durch Angabe der Position (z. B. E/A-Kanal) für jedes der E/A-Abschlussmodule 324 den Konfigurationscontroller 406 befähigen, ihre Kommunikationsadressen entsprechend zu konfigurieren. In einigen Beispielen kann der Konfigurationscontroller 406 automatisch die E/A-Abschlussmodule 324 abtasten, um zu bestätigen, dass die Module die richtigen Typen sind, die den E/A-Signalen entsprechen, die in den vorprogrammierten Befehlen definiert sind, die der vom Benutzer ausgewählten Sicherheitsanwendung zugeordnet sind, und/oder um die bestimmte Klemmleiste 316 zu bestimmen, in die jedes E/A-Abschlussmodul 324 eingesetzt ist. In einigen Beispielen, wenn ein falsches E/A-Abschlussmodul 324 erkannt wird und/oder ein relevantes E/A-Abschlussmodul 324 nicht erkannt wird, kann der Konfigurationscontroller 406 einen Alarm oder eine Fehlermeldung erzeugen, um den Benutzer über den erkannten Fehler zu informieren.
Sobald der Konfigurationscontroller 406 alle Konfigurationseinstellungen und KommunikationsPort-Einstellungen vom Benutzer erhalten hat, kann der Konfigurationscontroller 406 überwachen, ob der Konfigurations-Adress-Stecker 326 vom Sicherheitsauslösegerät 110 entfernt und durch einen Laufzeit-Adress-Stecker ersetzt wird. Sobald der Laufzeit-Adress-Stecker 326 eingesteckt ist, geht die Steuerung und/oder der Betrieb des E/A-Scanners 304 an den Beispiel-E/A-Analysator 408 über. Der E/A-Analysator 408 implementiert die vorprogrammierten Befehle, um die Implementierung der vom Benutzer gewählten Sicherheitsanwendung zu steuern. Das heißt, der E/A-Analysator 408 erzeugt Feldgeräteinformationen, die an die vorgesehenen Feldgeräte 116, 118, 120, 122 zu übermitteln sind, und empfängt und verarbeitet auch Feldgeräteinformationen, die von den Feldgeräten 116, 118, 120, 122 empfangen werden. Insbesondere vergleicht der E/A-Analysator 408 die relevanten E/A-Signale mit den vom Benutzer konfigurierten Auslösegrenzen und/oder verarbeitet die E/A-Signale anderweitig in Übereinstimmung mit der/den logischen Sequenz(en) von Operationen, die in den vorprogrammierten Befehlen festgelegt sind, um die zugehörige Sicherheitsanwendung zu ermöglichen.
Während eine beispielhafte Art der Implementierung des E/A-Scanners 304 aus 3 in 4 gezeigt wird, können ein oder mehrere der in 4 gezeigten Elemente, Prozesse und/oder Geräte kombiniert, geteilt, neu angeordnet, weggelassen, entfernt und/oder auf jede andere Art und Weise implementiert werden. Ferner können die beispielhafte externe Kommunikationsschnittstelle 402, die Beispiel- E/A-Kommunikationsschnittstelle 404, der Beispiel-Konfigurationscontroller 406, der Beispiel-E/A-Analysator 408, der Beispiel-Speicher 410 und/oder, allgemeiner, der Beispiel-E/A-Scanner 304 aus 3 durch Hardware, Software, Firmware und/oder eine beliebige Kombination von Hardware, Software und/oder Firmware implementiert werden. So könnte z. B. jedes der beispielhaften externen Kommunikationsschnittstelle 402, der Beispiel-E/A-Kommunikationsschnittstelle 404, des Beispiel-Konfigurationscontrollers 406, des Beispiel-E/A-Analysators 408, des Beispiel-Speichers 410 und/oder, allgemeiner, des Beispiel-E/A-Scanners 304 durch eine oder mehrere analoge oder digitale Schaltung(en), Logikschaltungen, programmierbare Prozessor(en), programmierbare Controller, Grafikverarbeitungseinheit(en) (GPU(s)), digitale Signalprozessor(en) (DSP(s)), anwendungsspezifische integrierte Schaltung(en) (ASIC(s)), programmierbare Logikgerät(e) (PLD(s)) und/oder feldprogrammierbare Logikgerät(e) (FPLD(s)) implementiert werden. Beim Lesen eines der Vorrichtungs- oder Systemansprüche dieses Patents, die eine reine Software- und/oder Firmware-Implementierung abdecken, wird hiermit ausdrücklich definiert, dass die beispielhafte externe Kommunikationsschnittstelle 402, die Beispiel-E/A-Kommunikationsschnittstelle 404, der Beispiel-Konfigurationscontroller 406, der Beispiel-E/A-Analysator 408 und/oder der Beispiel-Speicher 410 ein nichttransitorisches computerlesbares Speichergerät oder eine Speicherplatte wie einen Speicher, eine Digital Versatile Disk (DVD), eine Compact Disk (CD), eine Blu-ray-Disk usw. einschließlich der Software und/oder Firmware umfassen. Ferner kann der Beispiel-E/A-Scanner 304 aus 3 ein oder mehrere Elemente, Prozesse und/oder Geräte zusätzlich zu oder anstelle der in 4 gezeigten Elemente, Prozesse und/oder Geräte umfassen und/oder mehr als eines oder alle der gezeigten Elemente, Prozesse und Geräte umfassen. Dabei wird der Ausdruck „in Kommunikation“, einschließlich Variationen davon, hier so verwendet, dass er die direkte Kommunikation und/oder indirekte Kommunikation über eine oder mehrere Zwischenkomponenten einschließt und keine direkte physische Kommunikation (z. B. über Kabel) und/oder konstante Kommunikation erfordert, sondern vielmehr zusätzlich selektive Kommunikation in regelmäßigen Intervallen, geplanten Intervallen, unregelmäßigen Intervallen und/oder einmalige Ereignisse einschließt.
Ein Ablaufdiagramm, das für eine beispielhafte Hardwarelogik, maschinenlesbare Anweisungen, durch Hardware implementierte Zustandsmaschinen und/oder Kombinationen davon zum Implementieren des E/A-Scanners 304 aus 3 und/oder 4 repräsentativ ist, wird in 5 gezeigt. Die maschinenlesbaren Befehle können ein oder mehrere ausführbare Programme oder Teil(e) eines ausführbaren Programms zur Ausführung durch einen Computerprozessor wie den Prozessor 612 sein, der in dem unten in Verbindung mit 6 behandelten Beispiel der Prozessorplattform 600 gezeigt wird. Das Programm kann in Software integriert sein, die auf einem nichttransitorischen computerlesbaren Speichermedium wie einer CD-ROM, einer Diskette, einer Festplatte, einer DVD, einer Blu-ray-Disk oder einem dem Prozessor 612 zugeordneten Speicher gespeichert ist, wobei jedoch das gesamte Programm und/oder Teile davon alternativ auch von einem anderen Gerät als dem Prozessor 612 ausgeführt werden können und/oder in Firmware oder spezieller Hardware integriert sein können. Obwohl das Beispiel-Programm unter Bezugnahme auf das in 5 gezeigte Ablaufdiagramm beschrieben wird, können alternativ viele andere Verfahren zur Implementierung des Beispiel-E/A-Scanners 304 verwendet werden. Beispielsweise kann die Ausführungsreihenfolge der Blöcke geändert werden und/oder einige der beschriebenen Blöcke können geändert, beseitigt oder kombiniert werden. Zusätzlich oder alternativ kann jeder Block oder können alle Blöcke durch eine oder mehrere Hardwareschaltungen (z. B. diskrete und/oder integrierte analoge und/oder digitale Schaltungen, ein FPGA, ein ASIC, ein Komparator, ein Operationsverstärker (op-amp), eine Logikschaltung usw.) implementiert werden, die so aufgebaut sind, dass sie die entsprechende Operation ausführen, ohne Software oder Firmware auszuführen.
Die hier beschriebenen maschinenlesbaren Befehle können in einem oder mehreren der folgenden Formate gespeichert werden: komprimiertes Format, verschlüsseltes Format, fragmentiertes Format, kompiliertes Format, ausführbares Format, gepacktes Format usw. Maschinenlesbare Befehle, wie hierin beschrieben, können als Daten (z. B. Teile von Befehlen, Code, Code-Darstellungen usw.) gespeichert werden, die zur Erstellung, Herstellung und/oder Produktion maschinenlesbarer Befehle verwendet werden können. Beispielsweise können die maschinenlesbaren Anweisungen fragmentiert und auf einem oder mehreren Speichergeräten und/oder Rechengeräten (z. B. Servern) gespeichert sein. Die maschinenlesbaren Befehle können Installation, Modifikation, Anpassung, Aktualisierung, Kombination, Ergänzung, Konfiguration, Entschlüsselung, Dekomprimierung, Entpacken, Verteilung, Neuzuweisung und/oder Kompilierung usw. erfordern, um sie direkt lesbar, interpretierbar und/oder ausführbar durch ein Computergerät und/oder eine andere Maschine zu machen. Beispielsweise können die maschinenlesbaren Anweisungen in mehreren Teilen gespeichert sein, die einzeln komprimiert, verschlüsselt und auf separaten Rechengeräten gespeichert sind, wobei die Teile, wenn sie entschlüsselt, dekomprimiert und kombiniert werden, einen Satz ausführbarer Anweisungen darstellen, die ein Programm, wie das hier beschriebene, implementieren.
Bei einem anderen Ausführungsbeispiel können die maschinenlesbaren Anweisungen in einem Zustand gespeichert sein, in dem sie von einem Computer gelesen werden können, jedoch zum Ausführen der Anweisungen auf einem bestimmten Rechengerät oder einem anderen Gerät das Hinzufügen einer Bibliothek (z. B. einer Dynamic Link Library (DLL)), eines Software Development Kits (SDK), einer Programmierschnittstelle (API) usw. erfordern. Bei einem anderen Ausführungsbeispiel müssen die maschinenlesbaren Anweisungen möglicherweise konfiguriert werden (z. B. gespeicherte Einstellungen, Dateneingabe, aufgezeichnete Netzwerkadressen usw.), bevor die maschinenlesbaren Anweisungen und/oder die entsprechenden Programme vollständig oder teilweise ausgeführt werden können. Für die offenbarten maschinenlesbaren Anweisungen und/oder entsprechenden Programme ist daher vorgesehen, dass sie diese maschinenlesbaren Anweisungen und/oder Programme unabhängig von dem genauen Format oder Zustand der maschinenlesbaren Anweisungen und/oder Programme einschließen, wenn sie gespeichert oder anderweitig im Ruhe- oder Übertragungszustand sind.
Die hier beschriebenen maschinenlesbaren Befehle können durch jede vergangene, gegenwärtige oder zukünftige Befehlssprache, Skriptsprache, Programmiersprache usw. dargestellt werden. Beispielsweise können die maschinenlesbaren Befehle in einer der folgenden Sprachen dargestellt werden: C, C++, Java, C#, Perl, Python, JavaScript, HyperText Markup Language (HTML), Structured Query Language (SQL), Swift, usw.
Wie oben erläutert, können die beispielhaften Prozesse von 5 unter Verwendung ausführbarer Anweisungen (z. B. computer- und/oder maschinenlesbarer Anweisungen) implementiert werden, die auf einem nichttransitorischen computer- und/oder maschinenlesbaren Speichermedium, wie einem Festplattenlaufwerk, einem Flash-Speicher, einem Festwertspeicher, einer CD, einer DVD, in einem Cache, einem Direktzugriffsspeicher und/oder einem anderen Speichergerät oder einer anderen Speicherplatte, auf der Informationen für eine beliebige Dauer gespeichert sind (z. B. für längere Zeiträume, dauerhaft, für kurze Zeiträume, zum vorübergehenden Puffern und/oder zum Zwischenspeichern der Informationen). Dabei wird der Begriff nichttransitorisches computerlesbares Speichermedium hier ausdrücklich so definiert, dass er jeden Typ von computerlesbarem Speichergerät und/oder Speicherplatte einschließt und Propagierungssignale und Übertragungsmedien ausschließt.
„Beinhalten‟ und „umfassen“ (und alle Formen und Zeiten davon) werden hier als nicht begrenzende Ausdrücke verwendet. Wann immer ein Anspruch Formen von „beinhalten“ oder „umfassen“ (z. B. umfasst, beinhaltet, umfassend, beinhaltend, aufweisend usw.) als einen Oberbegriff oder innerhalb eines Anspruchszitats irgendeiner Art verwendet, versteht es sich daher, dass zusätzliche Elemente, Begriffe usw. vorliegen können, ohne dass der Rahmen des entsprechenden Anspruchs oder der entsprechenden Beschreibung verlassen wird. Wenn, wie hier verwendet, der Ausdruck „mindestens“ als Übergangsbegriff z. B. in der Präambel eines Anspruchs verwendet wird, ist er in der gleichen Weise unbegrenzt wie die Begriffe „umfassend“ und „einschließlich“. Der Begriff „und/oder“, wenn er z. B. in einer Form wie A, B und/oder C verwendet wird, bezieht sich auf jede Kombination oder Teilmenge von A, B, C wie (1) A allein, (2) B allein, (3) C allein, (4) A mit B, (5) A mit C, (6) B mit C und (7) A mit B und mit C. Wie hier im Zusammenhang mit der Beschreibung von Strukturen, Komponenten, Gegenständen, Objekten und/oder Dingen verwendet, bezieht sich der Ausdruck „mindestens eines von A und B“ auf Implementierungen, die (1) mindestens ein A, (2) mindestens ein B und (3) mindestens ein A und mindestens ein B umfassen. In ähnlicher Weise bezieht sich der Ausdruck „mindestens eines von A oder B“, wie er hier im Zusammenhang mit der Beschreibung von Strukturen, Komponenten, Gegenständen, Objekten und/oder Dingen verwendet wird, auf Implementierungen, die (1) mindestens ein A, (2) mindestens ein B und (3) mindestens ein A und mindestens ein B umfassen. Wie hier im Zusammenhang mit der Beschreibung der Durchführung oder Ausführung von Prozessen, Befehlen, Handlungen, Aktivitäten und/oder Schritten verwendet, bezieht sich der Ausdruck „mindestens eines von A und B“ auf Implementierungen, die (1) mindestens ein A, (2) mindestens ein B und (3) mindestens ein A und mindestens ein B umfassen. In ähnlicher Weise, wie sie hier im Zusammenhang mit der Beschreibung der Durchführung oder Ausführung von Prozessen, Befehlen, Handlungen, Aktivitäten und/oder Schritten verwendet wird, bezieht sich der Ausdruck „mindestens eines von A oder B“ auf Implementierungen, die (1) mindestens ein A, (2) mindestens ein B und (3) mindestens ein A und mindestens ein B umfassen.
In der hier verwendeten Form schließen singuläre Verweise (z. B. „einer“, „erster/erste(s)“, „zweiter/zweite(s)“ usw.) eine Mehrzahl nicht aus. Der Begriff „eine“ Entität bezieht sich in der hier verwendeten Form auf eine oder mehrere dieser Entitäten. Die Begriffe „ein“, „ein oder mehrere“ und „mindestens ein“ können hier austauschbar verwendet werden. Darüber hinaus können, obwohl einzeln aufgeführt, mehrere Mittel, Elemente oder Verfahrensmaßnahmen z. B. durch eine einzige Einheit oder einen einzigen Prozessor implementiert werden. Darüber hinaus, obwohl einzelne Merkmale in verschiedenen Beispielen oder Ansprüchen enthalten sein können, können diese möglicherweise kombiniert werden, wobei die Einbeziehung in verschiedene Beispiele oder Ansprüche nicht bedeutet, dass eine Kombination von Merkmalen nicht durchführbar und/oder vorteilhaft ist.
Das Programm von 5 beginnt bei Block 502, wo der Beispiel-Konfigurationscontroller 406 bestimmt, ob der E/A-Scanner 304 mit dem Konfigurationswerkzeug 134 kommunikativ gekoppelt ist. Wenn ja, fährt die Steuerung mit Block 504 fort, wo die beispielhafte externe Kommunikationsschnittstelle 402 bestimmt, ob eine Anforderung zur Änderung der aktuellen Sicherheitsanwendung empfangen wird. Wenn ja, fährt die Steuerung mit Block 506 fort, wo der Beispiel-Konfigurationscontroller 406 bestimmt, ob im Sicherheitsauslösegerät 110 ein Konfigurations-Adress-Stecker 326 vorhanden ist. Wenn ja, fährt die Steuerung mit Block 508 fort, wo der Beispiel-Konfigurationscontroller 406 einem Benutzer verfügbare Sicherheitsanwendungen zur Auswahl bereitstellt. Beim Empfang einer Benutzerauswahl in Block 510 bestimmt der Beispiel-Konfigurationscontroller 406, ob die gewählte Sicherheitsanwendung bereits auf dem E/A-Scanner 304 installiert ist. Wenn nein, fährt die Steuerung mit Block 512 fort, wo der Beispiel-Konfigurationscontroller 406 den Benutzer auffordert, die ausgewählte Sicherheitsanwendung herunterzuladen und zu installieren. In einigen Beispielen kann der Benutzer die Sicherheitsanwendung unabhängig herunterladen, ohne dazu aufgefordert zu werden (z. B. vor Beginn des Einrichtungsprozesses der jeweiligen Sicherheitsanwendung). In einigen dieser Beispiele kann der Benutzer einfach angeben, dass er eine neue Sicherheitsanwendung auf dem E/A-Scanner 304 installieren möchte.
Sobald die Anwendung installiert ist, fährt die Steuerung mit Block 514 fort. Wenn die ausgewählte Sicherheitsanwendung bereits installiert ist, kehrt die Steuerung direkt zu Block 510 zurück und fährt mit Block 514 fort. Im Block 514 fordert der Beispiel-Konfigurationscontroller 406 den Benutzer auf, Konfigurationseinstellwerte anzugeben, die der ausgewählten Sicherheitsanwendung zugeordnet sind. Im Block 516 fordert der Beispiel-Konfigurationscontroller 406 den Benutzer auf, die der ausgewählten Sicherheitsanwendung zugeordneten Kommunikationsport-Einstellungen anzugeben. Danach fährt die Steuerung mit Block 518 fort.
Wenn bei der Rückkehr zu Block 502 der E/A-Scanner 304 nicht kommunikativ mit dem Konfigurationswerkzeug 134 gekoppelt ist, fährt die Steuerung direkt mit Block 518 fort. Ähnlich verhält es sich bei der Rückkehr zu Block 504: Wenn die externe Kommunikationsschnittstelle 402 keine Anforderung zur Änderung der aktuellen Sicherheitsanwendung empfängt, fährt die Steuerung in Richtung Block 518 fort. In gleicher Weise fährt bei der Rückkehr zu Block 506, wenn der Beispiel-Konfigurationscontroller 406 bestimmt, dass der Konfigurations-Adress-Stecker 326 nicht vorhanden ist (z. B. ein Laufzeit-Adress-Stecker ist im Sicherheitsauslösegerät 110), die Steuerung direkt mit Block 518 fort. In Block 518 bestimmt der Beispiel-E/A-Analysator 408, ob die Sicherheitsanwendung implementiert werden soll. In einigen Beispielen erfolgt diese Bestimmung auf der Grundlage von Rückmeldungen des Benutzers, der angibt, dass die Konfiguration der Anwendung abgeschlossen ist und/oder dass der Benutzer die Anwendung implementieren möchte, nachdem er die Blöcke 508-516 durchlaufen hat. Diese Bestimmung kann zusätzlich oder alternativ auf der Grundlage des Status des Systems im Hinblick darauf erfolgen, dass die Blöcke 508-516 aufgrund einer Entscheidung in einem der Blöcke 502-506 übersprungen werden. Wenn die Sicherheitsanwendung nicht implementiert werden soll, fährt die Steuerung mit Block 524 fort. Wenn die Sicherheitsanwendung implementiert werden soll, fährt die Steuerung mit Block 520 fort, wo der Beispiel-Konfigurationscontroller 406 erneut bestimmt, ob der Konfigurations-Adress-Stecker 326 im Sicherheitsauslösegerät 110 vorhanden ist. Diese Bestimmung erfolgt in Block 506, um unbeabsichtigte Änderungen an der Auswahl und/oder Konfiguration einer Sicherheitsanwendung zu verhindern, während dieselbe Bestimmung in Block 520 erfolgt, um die unbeabsichtigte Implementierung der aktuell ausgewählten und konfigurierten Sicherheitsanwendung zu verhindern. Wenn der Konfigurations-Adress-Stecker 326 vorhanden ist, wird die Sicherheitsanwendung nicht implementiert und die Steuerung fährt mit Block 524 fort. Wenn der Konfigurations-Adress-Stecker 326 nicht vorhanden ist (z. B. ist ein Laufzeit-Adress-Stecker im Sicherheitsauslösegerät 110), fährt die Steuerung mit Block 522 fort, wo der Beispiel-E/A-Analysator 408 Befehle ausführt, die der Sicherheitsanwendung zugeordnet sind. Danach fährt die Steuerung mit Block 504 fort, wo bestimmt wird, ob der Prozess fortgesetzt werden soll. Wenn ja, kehrt die Steuerung zum Block 502 zurück. Andernfalls wird der Beispiel-Prozess aus 5 beendet.
6 ist ein Blockdiagramm einer Beispiel-Prozessorplattform 600, die so strukturiert ist, dass sie die Befehle von 5 ausführt, um den E/A-Scanner 304 von 3 und/oder 4 zu implementieren. Die Prozessorplattform 600 kann z. B. ein Server, ein PC, eine Arbeitsstation, eine selbstlernende Maschine (z. B. ein neuronales Netz), ein mobiles Gerät (z. B. ein Mobiltelefon, ein Smartphone, ein Tablet wie ein iPad™) oder jeder andere Typ von Rechengerät sein.
Die Prozessorplattform 600 des dargestellten Beispiels umfasst einen Prozessor 612. Der Prozessor 612 des dargestellten Beispiels ist Hardware. Beispielsweise kann der Prozessor 612 durch eine oder mehrere integrierte Schaltungen, Logikschaltungen, Mikroprozessoren, GPU, DSP oder Steuerungen einer beliebigen gewünschten Familie oder eines beliebigen Herstellers implementiert werden. Der Hardwareprozessor kann ein Gerät auf Halbleiterbasis (z. B. auf Siliziumbasis) sein. In diesem Beispiel implementiert der Prozessor den Beispiel-Konfigurationscontroller 406 und den Beispiel-E/A-Analysator 408.
Der Prozessor 612 des dargestellten Beispiels umfasst einen lokalen Speicher 613 (z. B. einen Cache). Der Prozessor 612 des dargestellten Beispiels kommuniziert über einen Bus 618 mit einem Hauptspeicher, umfassend einen flüchtigen Speicher 614 und einen nichtflüchtigen Speicher 616. Der flüchtige Speicher 614 kann durch Synchronous Dynamic Random Access Memory (SDRAM), Dynamic Random Access Memory (DRAM), RAMBUS® Dynamic Random Access Memory (RDRAM®) und/oder eine andere Art von Direktzugriffsspeicher implementiert sein. Der nichtflüchtige Speicher 616 kann durch einen Flash-Speicher und/oder jede andere gewünschte Art von Speichergerät implementiert sein. Der Zugriff auf den Hauptspeicher 614, 616 wird von einem Speicher-Controller gesteuert. In diesem Beispiel umfasst der nichtflüchtige Speicher 616 den Speicher 410.
Die Prozessorplattform 600 des dargestellten Beispiels umfasst darüber hinaus eine Schnittstellenschaltung 620. Die Schnittstellenschaltung 620 kann durch jede Art von Schnittstellenstandard implementiert sein, beispielsweise eine Ethernet-Schnittstelle, einen universellen seriellen Bus (USB), eine Bluetooth®-Schnittstelle, eine NFC-Schnittstelle (Near Field Communication) und/oder eine PCI-Express-Schnittstelle.
Im dargestellten Beispiel sind ein oder mehrere Eingabegeräte 622 mit der Schnittstellenschaltung 620 verbunden. Das (die) Eingabegerät(e) 622 erlaubt (erlauben) es einem Benutzer, Daten und/oder Befehle in den Prozessor 612 einzugeben. Die Eingabegeräte können beispielsweise durch einen Audiosensor, ein Mikrofon, eine Kamera (Standbild oder Video), eine Tastatur, eine Taste, eine Maus, einen Touchscreen, ein Trackpad, einen Trackball, ein Isopoint-Gerät und/oder ein Spracherkennungssystem implementiert sein.
Ein oder mehrere Ausgabegeräte 624 sind ebenfalls mit der Schnittstellenschaltung 620 des dargestellten Beispiels verbunden. Die Ausgabegeräte 624 können zum Beispiel durch Anzeigegeräte (z. B. eine Leuchtdiode (LED), eine organische Leuchtdiode (OLED), eine Flüssigkristallanzeige (LCD), eine Kathodenstrahlröhrenanzeige (CRT), eine In-Place-Switching (IPS)-Anzeige, einen Touchscreen usw.), ein taktiles Ausgabegerät, einen Drucker und/oder einen Lautsprecher implementiert sein. Die Schnittstellenschaltung 620 des dargestellten Beispiels umfasst somit typischerweise eine Grafiktreiberkarte, einen Grafiktreiberchip und/oder einen Grafiktreiberprozessor.
Die Schnittstellenschaltung 620 des gezeigten Beispiels umfasst auch eine Kommunikationseinrichtung wie einen Sender, einen Empfänger, einen Transceiver, ein Modem, ein Residential Gateway, einen drahtlosen Zugangspunkt und/oder eine Netzwerk-Schnittstelle zur Erleichterung des Datenaustauschs mit externen Maschinen (z. B. Rechengeräten aller Art) über ein Netzwerk 626. Die Kommunikation kann beispielsweise über eine Ethernet-Verbindung, eine digitalen Teilnehmeranschlussleitung (Digital Subscriber Line, DSL), eine Telefonleitungsverbindung, ein Koaxialkabelsystem, ein Satellitensystem, ein drahtloses Lineof-Site-System, ein Mobilfunktelefonsystem usw. erfolgen. In diesem Beispiel implementiert die Schnittstellenschaltung 620 die externe Kommunikationsschnittstelle 402 und die E/A-Kommunikationsschnittstelle 404.
Die Prozessorplattform 600 des dargestellten Beispiels umfasst auch ein oder mehrere Massenspeichergeräte 628 zum Speichern von Software und/oder Daten. Beispiele für diese Massenspeichergeräte 628 sind Diskettenlaufwerke, Festplattenlaufwerke, Compact Disk-Laufwerke, Blu-ray-Laufwerke, RAID-Systeme (Redundant Array of Independent Disks) und DVD-Laufwerke (Digital Versatile Disk). In diesem Beispiel umfasst das Massenspeichergerät 628 den Speicher 410.
Die maschinenausführbaren Befehle 632 von 5 können im Massenspeichergerät 628, im flüchtigen Speicher 614, im nichtflüchtigen Speicher 616 und/oder auf einem entfernbaren, nichttransitorischen, computerlesbaren Speichermedium wie einer CD oder DVD gespeichert werden.
Aus den vorstehenden Ausführungen ergibt sich, dass beispielhafte Verfahren, Vorrichtungen und Herstellungsgegenstände offenbart wurden, mit denen die Einrichtung und Konfiguration eines Sicherheitsauslösegeräts mit wesentlich geringerem Zeit- und Arbeitsaufwand möglich ist, als dies bei Verwendung vorhandener voll programmierbarer Logik-Löser der Fall ist, da die hier offenbarten Beispiele den Benutzern die Möglichkeit bieten, vorprogrammierte Befehle auszuwählen, die bestimmten Sicherheitsanwendungen entsprechen. Solche vorprogrammierten Befehle können von den zuständigen Behörden für die Einhaltung der Sicherheitsvorschriften zertifiziert werden, wodurch die Endbenutzer größeres Vertrauen in die Zuverlässigkeit solcher Sicherheitsanwendungen gewinnen und/oder die Komplexität und die Kosten für die Entwicklung eigener Anwendungen und die Suche nach einer eigenen Zertifizierung für solche Anwendungen verringert werden. Darüber hinaus können einige Beispiel-Sicherheitsauslösegeräte nur konfiguriert und eingerichtet werden, wenn ein Konfigurationsmodul eingesetzt und erst implementiert wird, nachdem das Konfigurationsmodul entfernt wurde, und bieten damit eine größere Sicherheit als vorhandene voll programmierbare Logik-Löser, die anfälliger für Manipulationen sind. Während die hier offenbarten Beispiele eine viel einfachere Endbenutzererfahrung auf der Grundlage der vorprogrammierten Befehle bieten, bieten die Beispiele auch eine viel größere Flexibilität als andere dedizierte Sicherheitsauslösegeräte und/oder Sicherheitsrelais, da die hier offenbarten Sicherheitsauslösegeräte mehrere verschiedene Sätze von Befehlen speichern können, die verschiedenen Typen von Sicherheitsanwendungen zugeordnet sind. Diese Flexibilität wird durch die Implementierung von Beispiel-Sicherheitsauslösegeräten mit selektiv entfernbaren Abschlussmodulen ermöglicht, die verschiedene Typen von E/A-Signalen verarbeiten können, so dass eine bestimmte Sicherheitsanwendung einfach durch Einsetzen der entsprechenden Abschlussmodule implementiert werden kann, die den E/A-Signalen entsprechen, die an der betreffenden Sicherheitsanwendung von Interesse beteiligt sind.
Beispiel 1 umfasst eine Vorrichtung, umfassend einen Konfigurationscontroller, der folgende Aufgaben hat: Bereitstellen mehrerer verfügbarer Sicherheitsanwendungen zur Implementierung durch ein Sicherheitsauslösegerät, das einem Prozesssteuerungssystem zugeordnet ist, für einen Benutzer zur Auswahl, wobei eine erste der Sicherheitsanwendungen einem ersten Satz von E/A-Signalen zugeordnet ist, eine zweite der Sicherheitsanwendungen einem zweiten Satz von E/A-Signalen zugeordnet ist, wobei sich der erste Satz von E/A-Signalen von dem zweiten Satz von E/A-Signalen unterscheidet, wobei die erste Sicherheitsanwendung auf der Grundlage erster vorprogrammierter Befehle implementiert wird, die im Speicher des Sicherheitsauslösegeräts gespeichert sind, und wobei die zweite Sicherheitsanwendung auf der Grundlage zweiter vorprogrammierter Befehle implementiert wird, die im Speicher des Sicherheitsauslösegeräts gespeichert sind, Inspektion und als Reaktion auf eine Benutzerauswahl der ersten Sicherheitsanwendung, Auffordern des Benutzers, Konfigurationseinstellwerte zu spezifizieren, die der ersten Sicherheitsanwendung zugeordnet sind, wobei die ersten vorprogrammierten Befehle die Konfigurationseinstellungen definieren, und einen E/A-Analysator, um die erste Sicherheitsanwendung auf der Grundlage der Konfigurationseinstellwerte, die vom Benutzer spezifiziert wurden, und auf der Grundlage der ersten vorprogrammierten Befehle zu implementieren.
Beispiel 2 umfasst die Vorrichtung von Beispiel 1, wobei der erste Satz von E/A-Signalen einer ersten E/A-Zählung und der zweite Satz von E/A-Signalen einer zweiten E/A-Zählung entspricht, wobei sich die erste E/A-Zählung von der zweiten E/A-Zählung unterscheidet. Beispiel 3 umfasst die Vorrichtung von Beispiel 1, wobei der erste Satz von E/A-Signalen einer ersten Teilmenge verschiedener Typen von E/A-Signalen entspricht und der zweite Satz von E/A-Signalen einer zweiten Teilmenge der verschiedenen Typen von E/A-Signalen entspricht, wobei sich die erste Teilmenge der verschiedenen Typen von E/A-Signalen von der zweiten Teilmenge der verschiedenen Typen von E/A-Signalen unterscheidet.
Beispiel 4 umfasst die Vorrichtung aus Beispiel 3, wobei der erste Satz von E/A-Signalen zwischen einem Prozessor des Sicherheitsauslösegeräts und Feldgeräten über einen ersten Satz von Abschlussmodulen, die von einem Gehäuse des Sicherheitsauslösegeräts getragen werden, kommuniziert wird, wobei der erste Satz von Abschlussmodulen verschiedene Typen von Abschlussmodulen umfasst, die dem ersten Teilsatz der verschiedenen Typen von E/A-Signalen entsprechen.
Beispiel 5 umfasst die Vorrichtung aus Beispiel 4, wobei einige aus dem ersten Satz von Abschlussmodulen selektiv innerhalb des Gehäuses durch andere aus einem zweiten Satz von Abschlussmodulen ersetzt werden können, wobei der zweite Satz von Abschlussmodulen verschiedene Typen von Abschlussmodulen umfasst, die dem zweiten Teilsatz der verschiedenen Typen von E/A-Signalen entsprechen.
Beispiel 6 umfasst die Vorrichtung von Beispiel 1, wobei die mehreren verfügbaren Sicherheitsanwendungen einen ersten Satz von Anwendungen umfassen, die im Speicher gespeichert sind, und einen zweiten Satz von Anwendungen, die zum Herunterladen bereitstehen.
Beispiel 7 umfasst die Vorrichtung aus Beispiel 1, wobei einige der mehreren verfügbaren Sicherheitsanwendungen von einer Behörde für die Einhaltung der Sicherheitsvorschriften zertifiziert werden, bevor sie dem Benutzer zur Auswahl bereitgestellt werden.
Beispiel 8 umfasst die Vorrichtung von Beispiel 1, wobei der Konfigurationscontroller als Reaktion auf das Einsetzen eines Konfigurations-Adress-Steckers in einen Schlitz eines Gehäuses des Sicherheitsauslösegeräts die mehreren verfügbaren Sicherheitsanwendungen dem Benutzer zur Auswahl bereitstellen und es dem Benutzer ermöglichen soll, Konfigurationseinstellwerte zu spezifizieren, die der ersten Sicherheitsanwendung zugeordnet sind, und als Reaktion auf das Einsetzen eines Laufzeit-Adress-Steckers in den Schlitz des Gehäuses des Sicherheitsauslösegeräts verhindern soll, dass der Benutzer die Konfigurationseinstellungen ändert oder von der ersten Sicherheitsanwendung zur zweiten Sicherheitsanwendung wechselt.
Beispiel 9 umfasst ein nichttransitorisches computerlesbares Medium mit Beispielbefehlen, die bei ihrer Ausführung ein Sicherheitsauslösegerät zu mindestens Folgendem veranlassen: Bereitstellen mehrerer verfügbarer Sicherheitsanwendungen zur Implementierung durch das Sicherheitsauslösegerät, das einem Prozesssteuerungssystem zugeordnet ist, für einen Benutzer zur Auswahl, wobei eine erste der Sicherheitsanwendungen einem ersten Satz von E/A-Signalen zugeordnet ist, eine zweite der Sicherheitsanwendungen einem zweiten Satz von E/A-Signalen zugeordnet ist, wobei sich der erste Satz von E/A-Signalen von dem zweiten Satz von E/A-Signalen unterscheidet, wobei die erste Sicherheitsanwendung auf der Grundlage erster vorprogrammierter Befehle implementiert wird, die im Speicher des Sicherheitsauslösegeräts gespeichert sind, wobei die zweite Sicherheitsanwendung auf der Grundlage zweiter vorprogrammierter Befehle implementiert wird, die im Speicher des Sicherheitsauslösegeräts gespeichert sind, als Reaktion auf eine Benutzerauswahl der ersten Sicherheitsanwendung, Auffordern des Benutzers, Konfigurationseinstellwerte zu spezifizieren, die der ersten Sicherheitsanwendung zugeordnet sind, wobei die ersten vorprogrammierten Befehle die Konfigurationseinstellungen definieren; und Implementieren der ersten Sicherheitsanwendung auf der Grundlage der vom Benutzer spezifizierten Konfigurationseinstellwerte und auf der Grundlage der ersten vorprogrammierten Befehle.
Beispiel 10 umfasst das nichttransitorische computerlesbare Medium von Beispiel 9, wobei der erste Satz von E/A-Signalen einer ersten E/A-Zählung und der zweite Satz von E/A-Signalen einer zweiten E/A-Zählung entspricht, wobei sich die erste E/A-Zählung von der zweiten E/A-Zählung unterscheidet.
Beispiel 11 umfasst das nichttransitorische computerlesbare Medium von Beispiel 9, wobei der erste Satz von E/A-Signalen einer ersten Teilmenge verschiedener Typen von E/A-Signalen entspricht und der zweite Satz von E/A-Signalen einer zweiten Teilmenge der verschiedenen Typen von E/A-Signalen entspricht, wobei sich die erste Teilmenge der verschiedenen Typen von E/A-Signalen von der zweiten Teilmenge der verschiedenen Typen von E/A-Signalen unterscheidet.
Beispiel 12 umfasst das nichttransitorische computerlesbare Medium von Beispiel 11, wobei der erste Satz von E/A-Signalen zwischen einem Prozessor des Sicherheitsauslösegeräts und Feldgeräten über einen ersten Satz von Abschlussmodulen kommuniziert wird, die von einem Gehäuse des Sicherheitsauslösegeräts getragen werden, wobei der erste Satz von Abschlussmodulen verschiedene Typen von Abschlussmodulen umfasst, die dem ersten Teilsatz der verschiedenen Typen von E/A-Signalen entsprechen.
Beispiel 13 umfasst das nichttransitorische computerlesbare Medium von Beispiel 12, wobei einige aus dem ersten Satz von Abschlussmodulen selektiv innerhalb des Gehäuses durch andere aus einem zweiten Satz von Abschlussmodulen austauschbar sind, wobei der zweite Satz von Abschlussmodulen verschiedene Arten von Abschlussmodulen umfasst, die dem zweiten Teilsatz der verschiedenen Typen von E/A-Signalen entsprechen.
Beispiel 14 umfasst das nichttransitorische computerlesbare Medium von Beispiel 9, wobei die mehreren verfügbaren Sicherheitsanwendungen einen ersten Satz von Anwendungen umfassen, die im Speicher gespeichert sind, und einen zweiten Satz von Anwendungen, die zum Herunterladen bereit stehen.
Beispiel 15 umfasst das nichttransitorische computerlesbare Medium von Beispiel 9, wobei einige der mehreren verfügbaren Sicherheitsanwendungen von einer Behörde für die Einhaltung der Sicherheitsvorschriften zertifiziert werden, bevor sie dem Benutzer zur Auswahl bereitgestellt werden.
Beispiel 16 umfasst das nichttransitorische computerlesbare Medium von Beispiel 9, wobei die Befehle ferner bewirken, dass der Sicherheitsauslöser als Reaktion auf das Einsetzen eines Konfigurations-Adress-Steckers in einen Schlitz eines Gehäuses des Sicherheitsauslösers die mehreren verfügbaren Sicherheitsanwendungen dem Benutzer zur Auswahl bereitstellt und es dem Benutzer ermöglicht, Konfigurationseinstellwerte zu spezifizieren, die der ersten Sicherheitsanwendung zugeordnet sind, und als Reaktion auf das Einsetzen eines Laufzeit-Adress-Steckers in den Schlitz des Gehäuses des Sicherheitsauslösers verhindert, dass der Benutzer die Konfigurationseinstellungen ändert oder von der ersten Sicherheitsanwendung zur zweiten Sicherheitsanwendung wechselt.
Beispiel 17 umfasst ein Verfahren, Folgendes umfassend: Bereitstellen mehrerer verfügbarer Sicherheitsanwendungen zur Implementierung durch ein Sicherheitsauslösegerät, das einem Prozesssteuerungssystem zugeordnet ist, für einen Benutzer zur Auswahl, wobei eine erste der Sicherheitsanwendungen einem ersten Satz von E/A-Signalen zugeordnet ist, eine zweite der Sicherheitsanwendungen einem zweiten Satz von E/A-Signalen zugeordnet ist, wobei sich der erste Satz von E/A-Signalen von dem zweiten Satz von E/A-Signalen unterscheidet, wobei die erste Sicherheitsanwendung auf der Grundlage erster vorprogrammierter Befehle implementiert wird, die im Speicher des Sicherheitsauslösegeräts gespeichert sind, und wobei die zweite Sicherheitsanwendung auf der Grundlage zweiter vorprogrammierter Befehle implementiert wird, die im Speicher des Sicherheitsauslösegeräts gespeichert sind, als Reaktion auf eine Benutzerauswahl der ersten Sicherheitsanwendung, Auffordern des Benutzers, Konfigurationseinstellwerte zu spezifizieren, die der ersten Sicherheitsanwendung zugeordnet sind, wobei die ersten vorprogrammierten Befehle die Konfigurationseinstellungen definieren, und Implementieren der ersten Sicherheitsanwendung auf der Grundlage der Konfigurationseinstellwerte, die vom Benutzer spezifiziert wurden, und auf der Grundlage der ersten vorprogrammierten Befehle.
Beispiel 18 umfasst das Verfahren von Beispiel 17, wobei der erste Satz von E/A-Signalen einer ersten E/A-Zählung und der zweite Satz von E/A-Signalen einer zweiten E/A-Zählung entspricht, wobei sich die erste E/A-Zählung von der zweiten E/A-Zählung unterscheidet. Beispiel 19 umfasst das Verfahren von Beispiel 17, wobei der erste Satz von E/A-Signalen einer ersten Teilmenge verschiedener Typen von E/A-Signalen entspricht und der zweite Satz von E/A-Signalen einer zweiten Teilmenge der verschiedenen Typen von E/A-Signalen entspricht, wobei sich die erste Teilmenge der verschiedenen Typen von E/A-Signalen von der zweiten Teilmenge der verschiedenen Typen von E/A-Signalen unterscheidet.
Beispiel 20 umfasst das Verfahren von Beispiel 19, wobei der erste Satz von E/A-Signalen zwischen einem Prozessor des Sicherheitsauslösegeräts und Feldgeräten über einen ersten Satz von Abschlussmodulen kommuniziert wird, die von einem Gehäuse des Sicherheitsauslösegeräts getragen werden, wobei der erste Satz von Abschlussmodulen verschiedene Typen von Abschlussmodulen umfasst, die dem ersten Teilsatz der verschiedenen Typen von E/A-Signalen entsprechen.
Beispiel 21 umfasst das Verfahren von Beispiel 20, wobei einige aus dem ersten Satz von Abschlussmodulen selektiv innerhalb des Gehäuses durch andere aus einem zweiten Satz von Abschlussmodulen austauschbar sind, wobei der zweite Satz von Abschlussmodulen verschiedene Arten von Abschlussmodulen umfasst, die dem zweiten Teilsatz der verschiedenen Typen von E/A-Signalen entsprechen.
Beispiel 22 umfasst das Verfahren von Beispiel 17, wobei die mehreren verfügbaren Sicherheitsanwendungen einen ersten Satz von Anwendungen umfassen, die im Speicher gespeichert sind, und einen zweiten Satz von Anwendungen, die zum Herunterladen bereitstehen.
Beispiel 23 umfasst das Verfahren von Beispiel 17, wobei einige der mehreren verfügbaren Sicherheitsanwendungen einen ersten Satz von Anwendungen umfassen, die im Speicher gespeichert sind, und einen zweiten Satz von Anwendungen, die zum Herunterladen bereitstehen.
Beispiel 24 umfasst das Verfahren von Beispiel 17, ferner umfassend als Reaktion auf das Einsetzen eines Konfigurations-Adress-Steckers in einen Schlitz eines Gehäuses des Sicherheitsauslösegeräts, das Bereitstellen der mehreren verfügbaren Sicherheitsanwendungen für den Benutzer zur Auswahl und das Ermöglichen, dass der Benutzer Konfigurationseinstellwerte spezifizieren kann, die der ersten Sicherheitsanwendung zugeordnet sind, und als Reaktion auf das Einsetzen eines Laufzeit-Adress-Steckers in den Schlitz des Gehäuses des Sicherheitsauslösegeräts, das Verhindern, dass der Benutzer die Konfigurationseinstellungen ändert oder von der ersten Sicherheitsanwendung zur zweiten Sicherheitsanwendung wechselt.
Beispiel 25 umfasst ein Sicherheitsauslösegerät, umfassend ein Gehäuse mit einer Rückwandplatine, Klemmleisten mit entsprechenden Steckplätzen, wobei die Steckplätze zur Aufnahme eines ersten Satzes von Abschlussmodulen zur Kommunikation mit einem ersten Satz von Feldgeräten dienen, die einer ersten Sicherheitsanwendung zugeordnet sind, die einem Prozesssteuerungssystem zugeordnet ist, wobei die Steckplätze zur Aufnahme eines zweiten Satzes von Abschlussmodulen zur Kommunikation mit einem zweiten Satz von Feldgeräten dienen, die einer zweiten Sicherheitsanwendung zugeordnet sind, die dem Prozesssteuerungssystem zugeordnet ist; und einen E/A-Scanner zur Kommunikation mit den Abschlussmodulen in den Steckplätzen der Klemmleisten über die Rückwandplatine, wobei der E/A-Scanner einen Speicher umfasst, um erste vorprogrammierte Befehle zu speichern, die den Betrieb der ersten Sicherheitsanwendung definieren, und um zweite vorprogrammierte Befehle zu speichern, die den Betrieb der zweiten Sicherheitsanwendung definieren.
Obwohl bestimmte beispielhafte Verfahren, Vorrichtungen und Herstellungsgegenstände hier offenbart wurden, ist der Abdeckungsumfang dieses Patents nicht auf diese beschränkt. Im Gegenteil - dieses Patent deckt alle Verfahren, Vorrichtungen und Herstellungsgegenstände ab, die in den Geltungsbereich der Patentansprüche fallen.
Die folgenden Ansprüche werden hiermit durch diesen Verweis in diese Ausführliche Beschreibung aufgenommen, wobei jeder Anspruch für sich genommen eine separate Ausführungsform der vorliegenden Offenbarung darstellt.

Claims

Vorrichtung, umfassend: einen Konfigurationscontroller, der folgende Aufgaben hat: Bereitstellen mehrerer verfügbarer Sicherheitsanwendungen zur Implementierung durch ein Sicherheitsauslösegerät, das einem Prozesssteuerungssystem zugeordnet ist, für einen Benutzer zur Auswahl, wobei eine erste der Sicherheitsanwendungen einem ersten Satz von E/A-Signalen zugeordnet ist, eine zweite der Sicherheitsanwendungen einem zweiten Satz von E/A-Signalen zugeordnet ist, wobei sich der erste Satz von E/A-Signalen von dem zweiten Satz von E/A-Signalen unterscheidet, wobei die erste Sicherheitsanwendung auf der Grundlage erster vorprogrammierter Befehle implementiert wird, die im Speicher des Sicherheitsauslösegeräts gespeichert sind, und wobei die zweite Sicherheitsanwendung auf der Grundlage zweiter vorprogrammierter Befehle implementiert wird, die im Speicher des Sicherheitsauslösegeräts gespeichert sind; und als Reaktion auf eine Benutzerauswahl der ersten Sicherheitsanwendung, Auffordern des Benutzers, Konfigurationseinstellwerte zu spezifizieren, die der ersten Sicherheitsanwendung zugeordnet sind, wobei die ersten vorprogrammierten Befehle die Konfigurationseinstellungen definieren; und einen E/A-Analysator, um die erste Sicherheitsanwendung auf der Grundlage der vom Benutzer angegebenen Konfigurationseinstellwerte und auf der Grundlage der ersten vorprogrammierten Befehle zu implementieren.
Vorrichtung nach Anspruch 1, wobei der erste Satz von E/A-Signalen einer ersten E/A-Zählung und der zweite Satz von E/A-Signalen einer zweiten E/A-Zählung entspricht, wobei sich die erste E/A-Zählung von der zweiten E/A-Zählung unterscheidet.
Vorrichtung nach Anspruch 1 oder 2, wobei der erste Satz von E/A-Signalen einer ersten Teilmenge verschiedener Typen von E/A-Signalen entspricht und der zweite Satz von E/A-Signalen einer zweiten Teilmenge der verschiedenen Typen von E/A-Signalen entspricht, wobei sich die erste Teilmenge der verschiedenen Typen von E/A-Signalen von der zweiten Teilmenge der verschiedenen Typen von E/A-Signalen unterscheidet; insbesondere wobei der erste Satz von E/A-Signalen zwischen einem Prozessor des Sicherheitsauslösegeräts und Feldgeräten über einen ersten Satz von Abschlussmodulen, die von einem Gehäuse des Sicherheitsauslösegeräts getragen werden, kommuniziert wird, wobei der erste Satz von Abschlussmodulen verschiedene Typen von Abschlussmodulen umfasst, die dem ersten Teilsatz der verschiedenen Typen von E/A-Signalen entsprechen; ganz insbesondere wobei einige aus dem ersten Satz von Abschlussmodulen selektiv innerhalb des Gehäuses durch andere aus einem zweiten Satz von Abschlussmodulen ersetzt werden können, wobei der zweite Satz von Abschlussmodulen verschiedene Typen von Abschlussmodulen umfasst, die dem zweiten Teilsatz der verschiedenen Typen von E/A-Signalen entsprechen.
Vorrichtung nach einem der Ansprüche 1 bis 3, wobei die mehreren verfügbaren Sicherheitsanwendungen einen ersten Satz von Anwendungen umfassen, die im Speicher gespeichert sind, und einen zweiten Satz von Anwendungen, die zum Herunterladen bereitstehen; und/oder wobei einige der mehreren verfügbaren Sicherheitsanwendungen von einer Behörde für die Einhaltung der Sicherheitsvorschriften zertifiziert werden, bevor sie dem Benutzer zur Auswahl bereitgestellt werden.
Vorrichtung nach einem der Ansprüche 1 bis 4, wobei der Konfigurationscontroller folgende Aufgaben hat: als Reaktion auf das Einsetzen eines Konfigurations-Adress-Steckers in einen Schlitz eines Gehäuses des Sicherheitsauslösegeräts, Bereitstellen der mehreren verfügbaren Sicherheitsanwendungen für den Benutzer zur Auswahl und Ermöglichen, dass der Benutzer Konfigurationseinstellwerte spezifizieren kann, die der ersten Sicherheitsanwendung zugeordnet sind; und als Reaktion auf das Einsetzen eines Laufzeit-Adress-Steckers in den Schlitz des Gehäuses des Sicherheitsauslösegeräts, Verhindern, dass der Benutzer die Konfigurationseinstellungen ändert oder von der ersten Sicherheitsanwendung zur zweiten Sicherheitsanwendung wechselt.
Verfahren, Folgendes umfassend: Bereitstellen mehrerer verfügbarer Sicherheitsanwendungen zur Implementierung durch ein Sicherheitsauslösegerät, das einem Prozesssteuerungssystem zugeordnet ist, für einen Benutzer zur Auswahl, wobei eine erste der Sicherheitsanwendungen einem ersten Satz von E/A-Signalen zugeordnet ist, eine zweite der Sicherheitsanwendungen einem zweiten Satz von E/A-Signalen zugeordnet ist, wobei sich der erste Satz von E/A-Signalen von dem zweiten Satz von E/A-Signalen unterscheidet, wobei die erste Sicherheitsanwendung auf der Grundlage erster vorprogrammierter Befehle implementiert wird, die im Speicher des Sicherheitsauslösegeräts gespeichert sind, und wobei die zweite Sicherheitsanwendung auf der Grundlage zweiter vorprogrammierter Befehle implementiert wird, die im Speicher des Sicherheitsauslösegeräts gespeichert sind; als Reaktion auf eine Benutzerauswahl der ersten Sicherheitsanwendung, Auffordern des Benutzers, Konfigurationseinstellwerte zu spezifizieren, die der ersten Sicherheitsanwendung zugeordnet sind, wobei die ersten vorprogrammierten Befehle die Konfigurationseinstellungen definieren; und Implementieren der ersten Sicherheitsanwendung auf der Grundlage der vom Benutzer angegebenen Konfigurationsreinstellwerte und auf der Grundlage der ersten vorprogrammierten Befehle.
Verfahren nach Anspruch 6, wobei der erste Satz von E/A-Signalen einer ersten E/A-Zählung und der zweite Satz von E/A-Signalen einer zweiten E/A-Zählung entspricht, wobei sich die erste E/A-Zählung von der zweiten E/A-Zählung unterscheidet.
Verfahren nach Anspruch 6 oder 7, wobei der erste Satz von E/A-Signalen einer ersten Teilmenge verschiedener Typen von E/A-Signalen entspricht und der zweite Satz von E/A-Signalen einer zweiten Teilmenge der verschiedenen Typen von E/A-Signalen entspricht, wobei sich die erste Teilmenge der verschiedenen Typen von E/A-Signalen von der zweiten Teilmenge der verschiedenen Typen von E/A-Signalen unterscheidet; insbesondere wobei der erste Satz von E/A-Signalen zwischen einem Prozessor des Sicherheitsauslösegeräts und Feldgeräten über einen ersten Satz von Abschlussmodulen kommuniziert wird, die von einem Gehäuse des Sicherheitsauslösegeräts getragen werden, wobei der erste Satz von Abschlussmodulen verschiedene Typen von Abschlussmodulen umfasst, die dem ersten Teilsatz der verschiedenen Typen von E/A-Signalen entsprechen; ganz insbesondere wobei einige aus dem ersten Satz von Abschlussmodulen selektiv innerhalb des Gehäuses durch andere aus einem zweiten Satz von Abschlussmodulen austauschbar sind, wobei der zweite Satz von Abschlussmodulen verschiedene Arten von Abschlussmodulen umfasst, die dem zweiten Teilsatz der verschiedenen Typen von E/A-Signalen entsprechen.
Verfahren nach einem der Ansprüche 6 bis 8, wobei die mehreren verfügbaren Sicherheitsanwendungen einen ersten Satz von Anwendungen umfassen, die im Speicher gespeichert sind, und einen zweiten Satz von Anwendungen, die zum Herunterladen bereitstehen.
Verfahren nach einem der Ansprüche 6 bis 9, wobei einige der mehreren verfügbaren Sicherheitsanwendungen einen ersten Satz von Anwendungen umfassen, die im Speicher gespeichert sind, und einen zweiten Satz von Anwendungen, die zum Herunterladen bereitstehen.
Verfahren nach einem der Ansprüche 6 bis 10, ferner Folgendes umfassend: als Reaktion auf das Einsetzen eines Konfigurations-Adress-Steckers in einen Schlitz eines Gehäuses des Sicherheitsauslösegeräts, Bereitstellen der mehreren verfügbaren Sicherheitsanwendungen für den Benutzer zur Auswahl und Ermöglichen, dass der Benutzer Konfigurationseinstellwerte spezifizieren kann, die der ersten Sicherheitsanwendung zugeordnet sind; und als Reaktion auf das Einsetzen eines Laufzeit-Adress-Steckers in den Schlitz des Gehäuses des Sicherheitsauslösegeräts, Verhindern, dass der Benutzer die Konfigurationseinstellungen ändert oder von der ersten Sicherheitsanwendung zur zweiten Sicherheitsanwendung wechselt.
Ein nichttransitorisches computerlesbares Medium mit gespeicherten Instruktionen, die, wenn durch mindestens einen Prozessor, insbesondere einem Sicherheitsauslösegerät, ausgeführt, den mindestens einen Prozessor, insbesondere das Sicherheitsauslösegerät, veranlassen, ein Verfahren nach einem der Ansprüche 6 bis 11 zu implementieren.