CN104252164B - 用于关停现场设备的系统和方法 - Google Patents
用于关停现场设备的系统和方法 Download PDFInfo
- Publication number
- CN104252164B CN104252164B CN201410281400.4A CN201410281400A CN104252164B CN 104252164 B CN104252164 B CN 104252164B CN 201410281400 A CN201410281400 A CN 201410281400A CN 104252164 B CN104252164 B CN 104252164B
- Authority
- CN
- China
- Prior art keywords
- control
- field device
- hardware
- module
- commission
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 66
- 230000004044 response Effects 0.000 claims abstract description 10
- 238000012795 verification Methods 0.000 claims description 15
- 238000012544 monitoring process Methods 0.000 claims description 9
- 230000005611 electricity Effects 0.000 claims 1
- 238000001514 detection method Methods 0.000 abstract description 7
- 230000008569 process Effects 0.000 description 40
- 238000004891 communication Methods 0.000 description 29
- 238000004886 process control Methods 0.000 description 22
- 230000006870 function Effects 0.000 description 16
- 238000013461 design Methods 0.000 description 4
- 238000011217 control strategy Methods 0.000 description 3
- 238000005259 measurement Methods 0.000 description 3
- 238000012369 In process control Methods 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000010965 in-process control Methods 0.000 description 2
- 238000012905 input function Methods 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 239000000126 substance Substances 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000008878 coupling Effects 0.000 description 1
- 238000010168 coupling process Methods 0.000 description 1
- 238000005859 coupling reaction Methods 0.000 description 1
- 238000000354 decomposition reaction Methods 0.000 description 1
- 238000002405 diagnostic procedure Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000003863 physical function Effects 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 230000008439 repair process Effects 0.000 description 1
- 238000004088 simulation Methods 0.000 description 1
- 230000001502 supplementing effect Effects 0.000 description 1
- 239000002341 toxic gas Substances 0.000 description 1
- 239000011800 void material Substances 0.000 description 1
Classifications
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/04—Programme control other than numerical control, i.e. in sequence controllers or logic controllers
- G05B19/042—Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
- G05B19/0428—Safety, monitoring
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/418—Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM]
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B9/00—Safety arrangements
- G05B9/02—Safety arrangements electric
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/24—Pc safety
- G05B2219/24031—Fpga takes over control if emergency or programmed stop, to shut down sequence
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/24—Pc safety
- G05B2219/24117—If error detected, shut down
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/24—Pc safety
- G05B2219/24211—Override normal program, execute urgency program so machine operates safe
Landscapes
- Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Automation & Control Theory (AREA)
- General Engineering & Computer Science (AREA)
- Manufacturing & Machinery (AREA)
- Quality & Reliability (AREA)
- Testing And Monitoring For Control Systems (AREA)
- Programmable Controllers (AREA)
- Safety Devices In Control Systems (AREA)
- Arrangements For Transmission Of Measured Signals (AREA)
Abstract
本发明提供了用于关停现场设备的系统和方法。一种用于在安全仪表系统中实现的现场设备的诊断系统和方法包括:检测与现场设备相关联的安全事件的发生;响应于检测到安全事件的发生,越权控制现场设备的正常控制,以使得现场设备进入安全状态;验证对现场设备的正常控制的越权控制;以及发送控制信号,以使得现场设备进入安全状态。
Description
技术领域
本文的公开整体涉及控制安全仪表系统中的现场设备,更具体地涉及用于将现场设备置于安全状态的系统和方法。
背景技术
过程控制系统如化学、石油和其他过程中使用的那些过程控制系统典型地包括一个或多个控制器,该控制器经由模拟、数字或组合的模拟/数字总线可通信地耦接到至少一个主机或用户工作站和一个或多个现场设备。现场设备例如可以包括控制阀、阀定位器、开关和发射器(例如温度、压强和流速传感器),其执行过程之中的功能,如打开或关闭阀以及测量过程参数。过程控制器接收用于指示由现场设备做出的过程测量的信号和/或涉及现场设备的其他信息,并且使用该信息来实现控制例程以生成控制信号,该控制信号可以通过总线发送到现场设备以控制过程的操作。在现场设备失效的情况中,可能危及整个过程控制系统的操作状态。
安全仪表系统(SIS)可用于防护过程控制系统以防止危险事件,如毒气、易燃或易爆化学品的泄漏。SIS是用于补充过程控制系统并且当必要时采取行动来使过程控制系统进入安全状态的独特的、可靠的系统。SIS利用传感器、逻辑解算器和致动器来实现安全仪表功能(SIF)以达到或维持安全状态。安全完整性等级(SIL)是SIS的完整性的统计表示并且可以根据风险降低因子(RRF)来限定。换句话说,SIL是一种用于指示特定安全功能的可容忍失效率的方式。RRF的倒数是要求失效概率(probability of failure on demand,PFD)并且多个离散的SIL等级与PFD相关联,其中SIL等级1表示可接受的风险的最高等级,并且SIL等级4表示可接受的风险的最低等级。
SIS可以典型地包括两种类型的设备、仪器、子系统或模块;即类型A和类型B。通常,被分类为类型A的单元是不具有板载复杂处理器的设备,并且每个组件,例如阀、中继器、螺线管、开关等等的所有可能的失效都能够被限定。被分类为类型B的单元包括至少一个具有未被良好限定的失效模式的组件,例如微处理器、专用集成电路(ASIC)、“智能”发射器。根据安全性,可以将失效分为两种类别:安全失效和危险失效。安全失效是在设备内的模块和子系统等级上的那些失效,其导致安全状态并且可能被或不被内部诊断检测到。危险失效是不导致安全状态的失效。但是危险失效可能被内部诊断检测到,内部诊断向用户警告该失效并且使得能够及时的维修,使得要求失效概率(PFD)不像失效未被检测到那样受影响。安全失效比率(SFF)参数指示导致安全失效的设备的总体失效率与全部失效相比的比率。SFF可以被定义为1-(危险的未检测到的失效)/(总失效),其中,总失效包括已检测到的安全失效、未检测到的安全失效、已检测到的危险失效和未检测到的危险失效。未检测到的危险失效不利地影响与设备相关联的PFD和/或SFF。
发明内容
本文公开了用于改善对工厂操作的控制的示例性系统和方法。在实现在计算机设备上的一个示例性方法中,一种用于控制在安全仪表系统中实现的现场设备的方法包括:在硬件模块处检测与在安全仪表系统中实现的现场设备相关联的安全事件的发生;响应于检测到安全事件的发生,在硬件模块处越权控制现场设备的正常控制,以使得现场设备进入安全状态;在软件模块处检测与安全仪表系统的现场设备相关联的安全事件的发生;在软件模块处监视对现场设备的正常控制的越权控制;在软件模块处验证对现场设备的正常控制的越权控制;并且在软件模块处发送软件控制信号,以使得现场设备进入安全状态。
在另一个示例性实施方式中,一种用于控制在安全仪表系统中实现的控制元件的系统包括具有可操作地耦接到软件模块的硬件模块的现场设备。硬件模块可操作地耦接到转换器设备的控制输入,并且硬件模块响应于安全事件的发生,在检测到安全事件的发生之后,硬件模块越权控制现场设备的正常控制并且发送硬件控制信号以驱动转换器设备到安全状态。软件模块包括可操作地耦接到存储器和转换器设备的控制输入的处理器。软件模块响应于安全事件的发生,在检测到安全事件的发生之后,软件模块验证由硬件模块进行的对现场设备的正常控制的越权控制并且然后发送软件控制信号以使转换器设备进入安全状态。
在另一个示例性实施方式中,一种用于控制在安全仪表系统中实现的控制元件的系统包括:用于检测与在安全仪表系统中实现的现场设备相关联的安全事件的发生的单元;用于响应于检测到安全事件的发生越权控制现场设备的正常控制以使得现场设备进入安全状态的单元;用于监视对现场设备的正常控制的越权控制的单元;用于验证对现场设备的正常控制的越权控制的单元;以及用于发送软件控制信号以使得现场设备进入安全状态的单元。
在另一个示例性实施方式中,一种有形的非暂态计算机可读介质包括存储在其上的指令,当指令被一个或多个处理器执行时使得一个或多个处理器:在软件模块处检测与在安全仪表系统中实现的现场设备相关联的安全事件的发生;在软件模块处监视由硬件模块对现场设备的正常控制的越权控制;在软件模块处验证由硬件模块对现场设备的正常控制的越权控制;并且在软件模块处发送软件控制信号,以使得现场设备进入安全状态。
进一步根据本文的创造性的方案,一个或多个前述实施方式可以进一步包括以下形式中的任意一个或多个。
在另一个形式中,监视对现场设备的正常控制的越权控制的步骤包括监视可操作地耦接到现场设备的输入的硬件控制信号。
在另一个形式中,验证对现场设备的正常控制的越权控制的步骤包括将安全状态信号与硬件控制信号进行比较。
在另一个形式中,该方法包括记录对现场设备的正常控制的越权控制的验证。
在另一个形式中,记录对现场设备的正常控制的越权控制的验证的步骤包括如果所监测到的硬件控制信号不等于安全状态信号,则登记检测到的失效。
在另一个形式中,该系统包括可操作地耦接在硬件模块和现场设备之间的控制信号转换器,该控制信号转换器进一步可操作地耦接在软件模块与现场设备之间。
在另一个形式中,控制信号转换器是电流到压强(I/P)转换器或电压到压强(E/P)转换器。
在另一个形式中,该系统包括可操作地耦接到硬件模块以用于检测安全事件的发生的第一传感器,在检测到安全事件的发生之后,第一传感器开始从硬件模块向控制信号转换器提供硬件控制信号,以及可操作地耦接到软件模块以用于检测安全事件的发生的第二传感器,其中在检测到安全事件的发生之后,第二传感器开始从软件模块向控制信号转换器发送软件控制信号。可替换地,第一传感器和第二传感器可以不是独立的传感器,而是单个传感器。即用于检测安全事件的发生的单个传感器可以可操作地耦接到硬件模块和软件模块,在检测到安全事件的发生之后,该单个传感器开始从硬件模块提供硬件控制信号以及从软件模块提供软件控制信号。
在另一个形式中,现场设备是气动阀控制器,其包括被分类为类型A设备的硬件模块和被分类为类型B设备的软件模块。
附图说明
图1是具有过程控制系统和安全仪表系统的示例性过程工厂的示意性表示。
图2是(根据本文的公开的原理来构造的)用于将最终控制元件如阀置于安全状态的过程工厂的一部分的示例性配置的方框图。
图3示出了能够在图2中所述的过程工厂中使用以将现场设备置于安全状态的示例性模块或过程流图。
具体实施方式
本文的公开涉及提供用于确保使在安全仪表系统中实现的现场设备进入安全状态的控制系统和方法。图1中所示的能够实现本发明的一个或多个实施方式的示例性过程工厂10包括过程控制系统12和通常作为安全仪表系统(SIS)来操作的安全系统14(描绘在虚线中)。SIS14能够执行安全仪表功能(SIF)以达到或维持过程控制系统12中的安全状态。如果必要,则SIS14可以越权控制过程控制系统12。
过程工厂10包括一个或多个主机工作站16或计算设备如个人计算机,其例如具有包括可被工厂人员访问的键盘和显示屏的用户接口。在图1中所示的实例中,两个工作站16被显示为经由公共通信线路或总线22连接到过程控制/安全控制节点18和数据历史库20。数据历史库20可以是任意希望类型的数据采集单元,其具有任意希望类型的存储器和任意希望或已知的软件、硬件或固件以用于存储数据。虽然数据历史库20在图1中被示为独立的设备,但是其可以改为或另外作为一个工作站16或另一个设备如服务器的一部分。可以使用任意希望的基于总线的或非基于总线的硬件,使用任意希望的有线或无线通信结构并且使用任意希望的或合适的通信协议如以太网协议,来实现通信总线22。
通常,过程工厂10包括经由可以在底板26上提供的总线结构可操作地连接在一起的过程控制系统设备和安全系统设备,其中,不同的过程控制器和输入/输出设备附接到底板26中。图1中所示的过程工厂10包括至少一个过程控制器24以及一个或多个过程控制系统输入/输出(I/O)设备28、29、30、31、32。过程控制系统I/O设备28、29、30、31、32中的每一个可通信地连接到图1中被示为现场设备40、41、42、48的一组过程控制相关现场设备。过程控制器24、I/O设备28、29、30、31、32和控制器现场设备40、41、42、48通常构成图1的过程控制系统12。
举例而言,过程控制器24可以是由爱默生过程管理公司所销售的DeltaVTM或者任意其他希望类型的过程控制器,其被编程为使用I/O设备28、29、30、31、32和现场设备40、41、42、48来提供过程控制功能。具体而言,控制器24实现或者监管一个或多个过程控制模块46或者存储在其中的存储器中或者与其相关的存储器中的例程并且与现场设备40、41、42、48和工作站16通信,以用任意希望的方式控制过程工厂10或者过程工厂10的一部分。
可以用任意希望的软件格式如使用梯形逻辑、顺序功能图、控制例程图、面向对象编程或任意其他软件编程语言或设计范例来实现控制例程46,控制例程46可以是多个控制模块或一个控制程序的任意部分如子例程、子例程的部分(如代码行)等等。类似地,本文所述的控制例程可以被硬编码到例如一个或多个EPROM、EEPROM、专用集成电路(ASIC)、PLC或任意其他硬件或固件元件中。可以使用任意设计工具(包括图形设计工具或任意其他类型的软件/硬件/固件编程或设计工具)来设计控制例程。
控制器24可以被配置为用任意希望的方式实现控制例程或控制策略。控制器24可以例如使用通常被称为功能块的东西来实现控制策略,其中,每个功能块是总控制例程的一部分或一个对象并且(经由被称为通信的链路)结合其他功能块来操作,以实现过程控制系统12中的过程控制回路。功能块典型地执行以下功能之中的一个:输入功能,如与发射器、传感器或其他过程参数测量设备相关联的输入功能;控制功能,如与用于执行PID、模糊逻辑等等控制的控制例程相关联的控制功能;或者输出功能,用于控制一些设备如阀的操作以执行过程控制系统12中的一些物理功能。也可以存在这些功能块的混合以及其他类型的功能块。
功能块和控制例程可以存储在控制器24中并且由控制器24执行,这典型而言是当功能块用于或者关联标准4-20ma设备和一些类型的智能现场设备如HART设备时的情况。功能块和控制例程也可以存储在现场设备自身中并且由现场设备自身执行,这可能是利用现场总线设备时的情况。
为了本文的公开的目的,术语控制策略、控制例程、控制模块、控制功能块、安全模块、安全逻辑模块和控制回路本质上表示为了控制过程而执行的控制程序,并且这些术语可以在本文互换使用。然而,为了以下讨论的目的,将使用术语模块。应该进一步注意到,本文所述的模块根据需要可以使其各个部分由不同控制器或其他设备实现或执行。另外,本文所述的要实现在过程控制系统12和安全系统14中的模块可以采取任意形式,包括软件、固件、硬件或其任意组合。
现场设备40、41、42、48可以具有任意希望的类型,如传感器、阀、发射器、定位器等等并且可以符合任意希望的开放、私有或其他有线和/或无线通信或编程协议,包括例如仅举几个例子而言HART或4-20ma协议(如对于现场设备40所示的)、任意总线协议如现场总线协议(如对于现场设备41所示的)、或CAN、Profibus、和AS接口协议。类似地,I/O设备28、29、30、31、32中的每一个可以是使用任意合适的通信协议的任意已知类型的过程控制I/O设备。
除了有线通信之外,或者代替有线通信,可以使用任意希望的无线通信设备,包括现在已知或以后开发的硬件、软件、固件或其任意组合,在控制器24和现场设备40、41、42、48之间建立无线通信。在图1中所示的实施方式中,天线47耦接到并且专用于执行发射器42的无线通信,而具有天线45的无线路由器或其他模块43被耦接为统一地处理可操作地与其耦接的发射器42的无线通信。类似地,天线37耦接到控制阀组件48以执行控制阀组件的无线通信。现场设备或相关硬件40、41、42、48可以实现由合适的无线通信协议使用的协议栈操作以经由天线37、45、47接收、解码、路由、编码和发送无线信号,以实现过程控制器24和发射器42和控制阀组件48之间的无线通信。
如果希望,则发射器42可以在各个过程传感器(发射器)和过程控制器24之间形成唯一的链路,并且依赖这些发射器42来发送准确的信号给控制器24以确保维持过程性能。通常被称为过程变量发射器(PVT)的该发射器因此可能在总体控制过程的控制中扮演重要角色。另外,作为其操作的一部分,控制阀组件48可以提供由控制阀组件48中的传感器做出的测量值或者可以提供由控制阀组件48生成或计算的其他数据给控制器24。当然,如已知的,控制阀组件48还可以从控制器24接收控制信号,以影响总体过程中的物理参数,如流量。
过程控制器24耦接到一个或多个I/O设备31、32,每个I/O设备连接到相应的天线33、35,并且这些I/O设备和天线作为发射器/接收器来操作,以经由一个或多个无线通信网络执行与无线现场设备42、48的无线通信。可以使用一个或多个已知无线通信协议如协议、Ember协议、WiFi协议、IEEE无线标准等等,执行现场设备之间的无线通信。进一步地,I/O设备31、32还可以实现由这些通信协议使用的协议栈操作以经由天线33、35接收、解码、路由、编码和发送无线信号,以实现控制器24和发射器和控制阀组件48之间的无线通信。
过程工厂10还包括一个或多个安全系统逻辑解算器50、51、52、53。逻辑解算器51、52、53、54中的每一个可以是具有处理器54的安全控制器(总是又被称为I/O设备),其中,处理器54执行存储在存储器中的安全逻辑模块58并且被可通信地连接为向安全系统现场设备60、62、65、66提供控制信号和/或从安全系统现场设备60、62、65、66接收信号。安全控制器50、51、52、53和安全系统现场设备60、62、65、66通常构成图1的安全系统14(SIS)。
安全系统现场设备60、62、65、66可以是符合或使用任意已知或希望的有线和/或无线通信协议(如上文关于过程控制系统12所述的那些有线和/或无线通信协议)的任意类型的现场设备。具体而言,现场设备60、62、65、66可以是通常受独立专用安全相关控制系统(如紧急关停(ESD)阀)控制的类型的安全相关现场设备。在图1中所示的过程工厂10中,安全现场设备60被描述为使用专用或点对点通信协议如HART或4-20ma协议,而安全现场设备62被描述为使用总线通信协议如现场总线协议。通常,作为安全系统14的一部分的安全设备(控制器50、51、52、53和安全系统现场设备60、62、65、66)被评级是安全设备,其典型地表示这些设备必须经历评级程序,以被合适的团体评级为安全设备。
类似于过程控制系统12,安全系统14也可以包括设置在工厂中的将要被控制的多个无线现场设备65、66。现场设备65、66可以包括发射器65(如过程变量传感器)以及包括例如控制阀和致动器的控制阀组件66。可以使用任意希望的无线通信设备,包括现在已知或以后开发的硬件、软件、固件或其任意组合,在安全控制器50、51、52、53和现场设备60、62、65、66之间建立无线通信。在图1中所示的实施方式中,天线67被耦接为并且专用于执行发射器65的无线通信,而无线路由器或具有天线69的其他模块63被耦接为统一地处理与其可操作地耦接的发射器65的无线通信。类似地,天线59耦接到控制阀组件66以执行控制阀组件的无线通信。现场设备或相关硬件60、62、65、66可以实现被合适的无线通信协议使用的协议栈操作以经由天线59、67、69接收、解码、路由、编码和发送无线信号,以实现安全控制器50、51、52、53和发射器65和控制阀组件66之间的无线通信。
每个发射器65可以构成各种过程传感器(发射器)与安全控制器50、51、52、53之间的多个链路中的一个,并且依赖这些发射器65来发送准确的信号给安全控制器以确保维持过程性能。另外,作为其操作的一部分,控制阀组件66可以提供由控制阀组件66中的传感器做出的测量值或者可以提供由控制阀组件66生成或计算的其他数据给控制器50、51、52、53。当然,如已知的,控制阀组件66还可以从控制器50、51、52、53接收控制信号,以影响总体控制中的物理参数如流量。
(由经过过程控制器24、I/O设备28、29、30、31、32和安全控制器50、51、52、53的虚线指示的)公共底板26用于将过程控制器24连接到过程控制I/O卡28、29、30、31、32和安全控制器50、51、52、53。过程控制器24还可通信地耦接到总线22并且可以作为总线仲裁器,以使得I/O设备28、29、30、31、32和安全控制器50、51、52、53中的每一个能够经由总线22与任意工作站16通信。底板26进一步使得安全控制器50、51、52、53能够与由这些设备中的每一个实现的安全功能彼此通信并且协调,以彼此传送数据或者执行其他集成功能。
每个工作站16包括工作站处理器34和存储器36,存储器36可以存储被适配为由过程工厂10中的处理器24、34、50、51、52、53中的任意一个执行的应用或模块。显示应用44在图1中的分解视图中被显示为存储在一个工作站16的存储器36中。然而,如果希望则显示应用44可以在不同的工作站16或在与过程工厂10相关联的另一个计算设备中存储和执行。显示应用44可以是任意类型的接口,其例如使得用户能够操作数据值(例如执行读取或写入)以便因而改变控制系统12和安全系统14中的任意一个或两个中的控制模块46或安全模块58的操作。因此,如果例如指定对与过程系统12相关联的控制模块46或者对现场设备40、41、42、48中的一个进行写入,则显示应用44使得写入能够发生。另外,如果例如指定对与安全系统14相关联的安全逻辑模块58或者对现场设备60、62、65、66中的一个进行写入,则显示应用44使得写入能够发生。
诊断应用38可以包括一个或多个诊断模块,其例如也可以存储在工作站16的存储器中以便稍后被控制系统12或安全系统14中的工厂人员使用。概括而言,当被控制系统12或安全系统14中相应的处理器24、34、50、51、52、53执行时,诊断应用38能够检查或测试在其中正在使用的现场设备40、41、42、48、60、62、65、66的操作状态。例如,控制回路调谐器(其可以例如用于过程控制系统控制回路12或安全系统控制回路14上)可以是诊断应用38、控制模块46、或者安全逻辑模块58中的一个模块,其能够被处理器24、34、50、51、52、53执行。当关于控制回路的诊断数据指示控制回路糟糕调谐或者未操作在希望的容限中时,用户可以选择运行该特定模块。
另一个示例性诊断应用38包括冗余安全检查模块,用于确保用于安全系统14中的现场设备的功能性能。冗余安全检查模块可以包括硬件模块和软件模块,它们中的每一个被配置为响应于检测到需要将现场设备置于安全状态的安全事件的发生,使现场设备进入安全状态,例如关停。为了使得设备被分类为类型A,硬件模块被设计为在不依赖于软件模块而检测到安全事件时使现场设备进入安全状态。类型B软件模块也被设计为通过将其输出设置为安全状态来响应安全事件,这将使得即使硬件模块未能越权控制软件模块也使现场设备进入安全状态。因此,如果硬件模块未能使现场设备进入安全状态,则软件模块将使现场设备进入安全状态。另外,软件模块可以监视硬件模块的安全功能并且记录当硬件模块成功地开始使阀进入安全状态和/或未能成功地使阀进入安全状态的时刻。
图2描述了用于现场设备的正常控制和安全关停的示例性配置200的方框图。在该实施方式中,安全系统包括现场设备206,其响应于正常控制信号和由控制信号的改变所传递的安全事件的发生。现场设备206可以是用于当安全事件发生时需要打开或关闭的最终控制元件214(如气动控制阀等等)的控制器。安全事件的发生可以被安全系统中的另一个设备如控制器202或传感器或被控制人员检测到。例如,控制器202中的传感器和/或处理器可以检测安全事件的发生,并且发送安全/传感器信号给现场设备206,现场设备206经由转换器设备212助于致动器和/或阀214的移动。在从传感器204接收到安全/传感器信号之后,硬件模块208提供硬件控制信号(例如越权控制信号)给转换器设备210,转换器设备210输出对应的控制压强信号给致动器/阀214,以打开或关闭阀。转换器设备212可以是电流到压强设备或者电压到压强设备。简而言之,硬件模块206有效地越权控制通常由软件模块210执行的现场设备206的正常控制,硬件模块206可以包括处理器和I/O设备,如图1中所述的控制器。软件模块210可以经由由安全系统的相同的或其他控制器或传感器或由控制人员发送给软件模块的安全/传感器信号204,独立地检测安全事件的发生。在接收到安全/传感器信号之后,软件模块210将监视并且/或者验证硬件模块208已经提供了硬件控制信号给转换器设备212。软件模块可以经由从转换器设备接收的反馈信号(例如I/P回读信号)监视由硬件模块进行的越权控制。软件模块可以通过将硬件控制信号与安全状态信号进行比较,验证硬件模块已经开始越权控制现场设备(或转换器)的正常控制。如果软件模块210确定硬件模块208未越权控制现场设备206或者已经开始对现场设备206的越权控制并且提供了硬件控制信号给转换器设备212,则软件模块210可以记录并且/或者报告该失效。不管硬件模块208是否正确地工作,软件模块210都将发送软件控制信号(例如控制信号)给转换器设备212。在任意一个情况中,软件控制信号将被在转换器设备212处转换成控制压强信号以被发送,以打开和/或关闭致动器/阀214。如果硬件模块208令人满意地执行了越权控制功能,则软件控制信号将没有效果。然而,如果硬件模块208未能执行它的越权控制功能,则软件控制信号将使阀214进入安全状态。
现在参考图3,显示了能够在图1或2中所述的控制系统中实现的本发明的一个实施方式的示例性方法300的流程图。具体而言,由硬件模块检测安全事件的发生(方框302)。还由软件模块检测安全事件的发生(方框304)。安全事件可以是需要现场设备和/或受现场设备控制的控制元件被置于安全状态(如完全打开或关闭紧急关停阀)的事件。响应于检测到安全事件的发生,硬件模块经由致动器使得阀进入安全或关停状态(方框306)。即,硬件模块能够通过提供硬件控制信号给可操作地耦接到致动器/阀的转换器设备,独立地取得阀的控制。可以经由转换器设备来正常地控制致动器/阀的操作的软件模块监视由硬件模块执行的越权控制(方框308)并且验证硬件模块已经开始提供硬件控制信号给转换器设备以使致动器/阀进入安全状态,例如关停状态(方框310)。在一个实施方式中,软件模块可以监视以电流的形式提供给I/P转换器设备的硬件控制信号,以验证硬件模块越权控制。软件模块可以通过将由硬件模块提供的硬件控制信号(例如越权控制信号)与安全状态信号进行比较,来验证由硬件模块进行的越权控制。如果硬件控制信号等于安全状态信号,则越权控制已经由硬件模块开始。如果硬件控制信号不等于安全状态信号,则硬件模块未能开始越权控制。软件模块记录该验证并且可以将与验证相关联的内容存储在存储器设备中(方框312)。例如如果硬件模块令人满意地执行了阀的关停的开始,则软件模块将相应地进行记录。另一方面,如果硬件模块未能令人满意地执行阀的关停的开始,则软件模块相应地记录该信息。另外,无论硬件设备是否导致致动器/阀进入安全状态,软件模块都将发送软件控制信号给转换器设备以进入安全状态(方框314)。优选地在软件模块已经验证硬件模块通过提供硬件控制信号给转换器设备和/或致动器/阀而越权控制或未越权控制转换器设备和/或致动器/阀之后,从软件模块发送软件控制信号。
上述系统和方法实现两个独立的功能,如果一个功能失效则另一个功能将导致关停,从而提供了功能冗余和比单独实现任意一个有更高的可靠性。具体而言,现场设备结合了被分类为类型A的硬件模块来与被分类为类型B的软件模块进行协作,其中,硬件模块的传统上有依赖性的方面受软件模块支持,以使现场设备和/或最终控制元件进入安全状态。由软件模块检测硬件模块未能越权控制现场设备以实现关停,这允许这些失效被排除在与现场设备相关联的安全失效分数(SFF)参数和/或要求失效概率(PFD)值的计算之外。通过增加硬件模块的检测失效的数量,从而可以改进现场设备的SFF和/或PFD。具有改进的SFF和/或PFD的现场设备可以避免安全仪表系统中需要冗余设备并且/或者可以允许更低频率的诊断测试以实现需要的PFD平均值。
虽然本文描述了特定示例性方法、装置和制品,但是本专利的覆盖范围不限于此。相反,本专利覆盖在文字上或者在等同教导之下清楚地落入所附权利要求的范围中的所有方法、装置和制品。
Claims (20)
1.一种用于控制在安全仪表系统中实现的现场设备的方法,所述方法包括:
在硬件模块处检测与在安全仪表系统中实现的现场设备相关联的安全事件的发生;
响应于检测到安全事件的发生,在硬件模块处越权控制所述现场设备的正常控制,以使得所述现场设备进入安全状态;
在软件模块处检测与所述安全仪表系统的所述现场设备相关联的所述安全事件的发生;
在软件模块处监视对所述现场设备的正常控制的所述越权控制;
在软件模块处验证对所述现场设备的正常控制的所述越权控制;以及
在软件模块处发送软件控制信号,以使得所述现场设备进入所述安全状态。
2.如权利要求1所述的方法,进一步包括:
在软件模块处记录对所述现场设备的正常控制的越权控制的验证。
3.如权利要求2所述的方法,其中,越权控制所述现场设备的正常控制的步骤包括所述硬件模块提供硬件控制信号。
4.如权利要求3所述的方法,其中,监视对所述现场设备的正常控制的越权控制的步骤包括监视由所述硬件模块提供的所述硬件控制信号。
5.如权利要求4所述的方法,其中,验证对所述现场设备的正常控制的越权控制的步骤包括将安全状态信号与所监视的硬件控制信号进行比较。
6.如权利要求5所述的方法,其中,如果所监视的硬件控制信号不等于所述安全状态信号,则记录对所述现场设备的正常控制的越权控制的验证的步骤包括记录检测到的所述硬件模块的失效。
7.如权利要求1所述的方法,其中,所述硬件模块是被分类为类型A的设备,其包括可操作地耦接到控制元件的控制输出。
8.如权利要求1所述的方法,其中,所述软件模块是被分类为类型B的设备,其包括可操作地耦接到控制元件的控制输出。
9.一种用于控制可操作地耦接到在安全仪表系统中实现的控制元件的现场设备的系统,所述系统包括:
可操作地耦接到控制元件并且在安全仪表系统中实现的现场设备,所述现场设备包括可操作地耦接到软件模块的硬件模块,其中
所述硬件模块可操作地耦接到所述控制元件的控制输入,所述硬件模块响应于安全事件的发生,在检测到所述安全事件的发生之后,所述硬件模块越权控制所述现场设备的正常控制并且提供硬件控制信号给所述控制元件;并且
所述软件模块包括可操作地耦接到存储器和所述控制元件的控制输入的处理器,所述软件模块响应于所述安全事件的发生,在检测到所述安全事件的发生之后,所述软件模块验证由所述硬件模块进行的对所述现场设备的正常控制的越权控制并且提供软件控制信号给所述控制元件。
10.如权利要求9所述的系统,其中,所述控制元件是阀。
11.如权利要求9所述的系统,进一步包括:
可操作地耦接到所述硬件模块、所述软件模块和所述控制元件的转换器设备。
12.如权利要求11所述的系统,其中,所述转换器设备是电流到压强(I/P)转换器或电压到压强(E/P)转换器。
13.如权利要求11所述的系统,其中,将所述硬件控制信号提供给所述转换器设备。
14.如权利要求11所述的系统,其中,将所述软件控制信号发送给所述转换器设备。
15.如权利要求9所述的系统,进一步包括:
可操作地耦接到所述软件模块以用于检测所述安全事件的发生的传感器,其中在检测到所述安全事件的发生之后,所述传感器开始提供所述硬件控制信号给所述控制元件,并且所述传感器可操作地耦接到所述软件模块以用于检测所述安全事件的发生,并且在检测到所述安全事件的发生之后,所述传感器开始将所述软件控制信号发送到所述控制元件。
16.如权利要求9所述的系统,其中,验证对所述现场设备的正常控制的所述越权控制包括所述硬件控制信号与安全状态信号的比较。
17.如权利要求16所述的系统,其中,如果所述硬件控制信号不等于所述安全状态信号,则所述软件模块登记检测到的所述硬件模块的失效。
18.如权利要求9所述的系统,其中,所述硬件模块是被分类为类型A的设备,并且所述软件模块是被分类为类型B的设备。
19.一种有形的非暂态计算机可读介质,其具有存储在其上的指令,当所述指令被一个或多个处理器执行时使得所述一个或多个处理器:
在软件模块处检测与安全仪表系统的现场设备相关联的安全事件的发生;
在软件模块处监视所述硬件模块对所述现场设备的正常控制的越权控制以使得所述现场设备进入安全状态;
在软件模块处验证所述硬件模块对所述现场设备的正常控制的所述越权控制;并且
在软件模块处发送软件控制信号,以使得所述现场设备进入所述安全状态。
20.如权利要求19所述的有形的非暂态计算机可读介质,进一步具有存储在其上的指令,当该指令被一个或多个处理器执行时使得所述一个或多个处理器:
在软件模块处记录对所述现场设备的正常控制的越权控制的验证。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US13/931,239 | 2013-06-28 | ||
| US13/931,239 US10185291B2 (en) | 2013-06-28 | 2013-06-28 | System and method for shutting down a field device |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104252164A CN104252164A (zh) | 2014-12-31 |
| CN104252164B true CN104252164B (zh) | 2018-06-15 |
Family
ID=51211360
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410281400.4A Active CN104252164B (zh) | 2013-06-28 | 2014-06-20 | 用于关停现场设备的系统和方法 |
| CN201420334657.7U Expired - Lifetime CN204065793U (zh) | 2013-06-28 | 2014-06-20 | 用于控制现场设备的系统 |
Family Applications After (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201420334657.7U Expired - Lifetime CN204065793U (zh) | 2013-06-28 | 2014-06-20 | 用于控制现场设备的系统 |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US10185291B2 (zh) |
| EP (1) | EP3014364B1 (zh) |
| CN (2) | CN104252164B (zh) |
| AR (1) | AR096764A1 (zh) |
| CA (1) | CA2916021C (zh) |
| RU (1) | RU2662571C2 (zh) |
| WO (1) | WO2014210410A1 (zh) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10185291B2 (en) * | 2013-06-28 | 2019-01-22 | Fisher Controls International Llc | System and method for shutting down a field device |
| DE102015102486B4 (de) * | 2015-02-20 | 2021-01-28 | Krohne Messtechnik Gmbh | Feldgerät zur Bestimmung einer Messgröße und Verfahren zum Kommunizieren |
| DE102016202749A1 (de) * | 2016-02-23 | 2017-08-24 | Festo Ag & Co. Kg | Sicherheitsgerichtete Steuervorrichtung und Verfahren zum Betrieb einer sicherheitsgerichteten Steuervorrichtung |
| US10234840B2 (en) * | 2016-09-08 | 2019-03-19 | Saudi Arabian Oil Company | Emergency shutdown system for dynamic and high integrity operations |
| US10848483B2 (en) * | 2016-12-08 | 2020-11-24 | Ricoh Company, Ltd. | Shared terminal, communication system, and display control method, and recording medium |
| CN107861379A (zh) * | 2017-12-15 | 2018-03-30 | 中国恩菲工程技术有限公司 | 一种加压釜的紧急停车系统及其停车方法 |
| CN108121430B (zh) * | 2017-12-20 | 2021-04-02 | 福建利利普光电科技有限公司 | 一种运用于数据采集系统的带电池路径的软开机电路 |
| US11513490B2 (en) * | 2020-03-24 | 2022-11-29 | Honeywell International Inc. | I/O mesh architecture for a safety instrumented system |
| US11693382B2 (en) | 2020-12-22 | 2023-07-04 | Fisher Controls International Llc | Methods and apparatus to adjust operation of a fluid flow control assembly |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1947077A (zh) * | 2004-04-27 | 2007-04-11 | 西门子公司 | 用于过程自动化的电现场设备 |
| EP1832943A1 (de) * | 2006-03-06 | 2007-09-12 | Siemens Aktiengesellschaft | Verfahren und Anordnung zum Austauschen eines elektronischen Gerätes |
| CN204065793U (zh) * | 2013-06-28 | 2014-12-31 | 费希尔控制国际公司 | 用于控制现场设备的系统 |
Family Cites Families (27)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US4245310A (en) * | 1978-12-18 | 1981-01-13 | General Electric Company | Microprocessor based control circuit for washing appliances with overfill protection |
| GB2200476B (en) * | 1987-01-29 | 1991-02-06 | British Gas Plc | Monitor system |
| US5746203A (en) * | 1996-09-26 | 1998-05-05 | Johnson & Johnson Medical, Inc. | Failsafe supervisor system for a patient monitor |
| DE19718284C2 (de) * | 1997-05-01 | 2001-09-27 | Kuka Roboter Gmbh | Verfahren und Vorrichtung zum Überwachen einer Anlage mit mehreren Funktionseinheiten |
| US5947907A (en) * | 1998-03-04 | 1999-09-07 | Critikon Company, Llc | Failsafe method and apparatus for a modular multi-parameter patient monitor |
| CA2334641A1 (en) * | 1998-06-10 | 1999-12-16 | Siemens Aktiengesellschaft | Control device for a machine, system or appliance and method for monitoring a controller |
| US20100241342A1 (en) * | 2009-03-18 | 2010-09-23 | Ford Global Technologies, Llc | Dynamic traffic assessment and reporting |
| US7348690B2 (en) * | 2002-02-25 | 2008-03-25 | Alfred Wade Muldoon | Preventing unsafe operation by monitoring switching means |
| DE10233873B4 (de) * | 2002-07-25 | 2006-05-24 | Siemens Ag | Steuerung für eine Krananlage, insbesondere einen Containerkran |
| US20050109395A1 (en) * | 2003-11-25 | 2005-05-26 | Seberger Steven G. | Shut down apparatus and method for use with electro-pneumatic controllers |
| JP3944156B2 (ja) * | 2003-12-03 | 2007-07-11 | ファナック株式会社 | 非常停止回路 |
| US7149655B2 (en) * | 2004-06-18 | 2006-12-12 | General Electric Company | Methods and apparatus for safety controls in industrial processes |
| JP2006055348A (ja) * | 2004-08-19 | 2006-03-02 | Olympus Corp | 電動湾曲制御装置 |
| JP4709513B2 (ja) * | 2004-08-19 | 2011-06-22 | オリンパス株式会社 | 電動湾曲制御装置 |
| US7556238B2 (en) * | 2005-07-20 | 2009-07-07 | Fisher Controls International Llc | Emergency shutdown system |
| EP1911058B1 (de) * | 2005-08-02 | 2008-12-03 | Phoenix Contact GmbH & Co. KG | Sicherheitsschaltgerät zum steuern einer sicherheitstechnischen einrichtung in einen sicheren zustand |
| EP1898280B1 (de) * | 2006-09-06 | 2011-07-06 | Rotzler GmbH + Co. KG | Steuerungsvorrichtung mit einem Bus zum Betrieb einer Maschine |
| US7539560B2 (en) * | 2007-01-05 | 2009-05-26 | Dresser, Inc. | Control valve and positioner diagnostics |
| DE102009019087A1 (de) * | 2009-04-20 | 2010-11-11 | Pilz Gmbh & Co. Kg | Sicherheitssteuerung und Verfahren zum Steuern einer automatisierten Anlage |
| US8635176B2 (en) * | 2010-09-30 | 2014-01-21 | Applied Engineering Solutions, Inc. | System to create and use test plans usable in validating a real world model in software of a safety instrumented system architecture for safety instrumented systems in a facility |
| JP5683294B2 (ja) * | 2011-01-31 | 2015-03-11 | 三菱重工業株式会社 | 安全装置、安全装置の演算方法 |
| US9158303B2 (en) * | 2012-03-27 | 2015-10-13 | General Electric Company | Systems and methods for improved reliability operations |
| US20130317780A1 (en) * | 2012-05-23 | 2013-11-28 | General Electric Company | Probability of failure on demand calculation using fault tree approach for safety integrity level analysis |
| US9628065B2 (en) * | 2012-10-05 | 2017-04-18 | Fisher-Rosemount Systems, Inc. | Safety instrumented process control apparatus and methods |
| US9122253B2 (en) * | 2012-11-06 | 2015-09-01 | General Electric Company | Systems and methods for dynamic risk derivation |
| US9280617B2 (en) * | 2012-11-06 | 2016-03-08 | General Electric Company | Systems and methods for improved reliability operations |
| US9551633B2 (en) * | 2013-10-15 | 2017-01-24 | General Electric Company | Systems and methods for improved reliability operations |
-
2013
- 2013-06-28 US US13/931,239 patent/US10185291B2/en active Active
-
2014
- 2014-06-20 CN CN201410281400.4A patent/CN104252164B/zh active Active
- 2014-06-20 CN CN201420334657.7U patent/CN204065793U/zh not_active Expired - Lifetime
- 2014-06-27 WO PCT/US2014/044486 patent/WO2014210410A1/en active Application Filing
- 2014-06-27 RU RU2016101149A patent/RU2662571C2/ru active
- 2014-06-27 EP EP14741491.6A patent/EP3014364B1/en active Active
- 2014-06-27 CA CA2916021A patent/CA2916021C/en active Active
- 2014-06-30 AR ARP140102439A patent/AR096764A1/es unknown
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1947077A (zh) * | 2004-04-27 | 2007-04-11 | 西门子公司 | 用于过程自动化的电现场设备 |
| EP1832943A1 (de) * | 2006-03-06 | 2007-09-12 | Siemens Aktiengesellschaft | Verfahren und Anordnung zum Austauschen eines elektronischen Gerätes |
| CN204065793U (zh) * | 2013-06-28 | 2014-12-31 | 费希尔控制国际公司 | 用于控制现场设备的系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CA2916021C (en) | 2023-09-05 |
| CN204065793U (zh) | 2014-12-31 |
| RU2016101149A (ru) | 2017-08-02 |
| AR096764A1 (es) | 2016-02-03 |
| CA2916021A1 (en) | 2014-12-31 |
| RU2662571C2 (ru) | 2018-07-26 |
| US10185291B2 (en) | 2019-01-22 |
| US20150005904A1 (en) | 2015-01-01 |
| CN104252164A (zh) | 2014-12-31 |
| EP3014364B1 (en) | 2020-12-09 |
| WO2014210410A1 (en) | 2014-12-31 |
| EP3014364A1 (en) | 2016-05-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104252164B (zh) | 用于关停现场设备的系统和方法 | |
| US7813820B2 (en) | Method to increase the safety integrity level of a control system | |
| US8914135B2 (en) | Integrated monitoring, control and equipment maintenance and tracking system | |
| CN100465841C (zh) | 实现用在处理安全系统中的因果矩阵的功能块 | |
| US10599134B2 (en) | Portable field maintenance tool configured for multiple process control communication protocols | |
| US8233998B2 (en) | Secure data write apparatus and methods for use in safety instrumented process control systems | |
| US10505585B2 (en) | Portable field maintenance tool with a bus for powering and communicating with a field device | |
| US20110264396A1 (en) | Electrical circuit with physical layer diagnostics system | |
| WO2011158120A2 (en) | Method and platform to implement safety critical systems | |
| CN110678817B (zh) | 用于参数化现场设备的方法和可参数化的现场设备 | |
| KR101469179B1 (ko) | 원자력 발전 시뮬레이터의 통신 진단 시스템 | |
| US11966217B2 (en) | Faulty variable identification technique for data-driven fault detection within a process plant | |
| CN112698626A (zh) | 用于配置与过程控制系统相关联的表决块的技术 | |
| US7890557B2 (en) | Reliable recording of input values | |
| CN218158810U (zh) | 用于控制安全阀的系统 | |
| CN114625075A (zh) | 过程控制环境中通信的变量级别完整性校验 | |
| FI129898B (en) | Security arrangements for automation systems | |
| Konuk | Redundant and safe work implementation for S7-1200 PLC family | |
| KR101484210B1 (ko) | 자동화 라인의 이상회로 점검방법 | |
| Gambhir | Design and Implementation of a Safe and Reliable Instrumentation and Control System in Oil and Gas Industry | |
| Mack | Industrial programmable controllers in safety applications | |
| Mohd Syazwan Mohd Zaki | Foundation Fieldbus Interoperability Test, System Development and Configuration-Foxboro |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant |