DE102004015616B4 - Sicherheitssystemsteuerung zur Verwendung in einer Prozessumgebung, Prozesssteuerungssystem sowie entsprechendes Steuerungsverfahren - Google Patents

Sicherheitssystemsteuerung zur Verwendung in einer Prozessumgebung, Prozesssteuerungssystem sowie entsprechendes Steuerungsverfahren Download PDF

Info

Publication number
DE102004015616B4
DE102004015616B4 DE102004015616.6A DE102004015616A DE102004015616B4 DE 102004015616 B4 DE102004015616 B4 DE 102004015616B4 DE 102004015616 A DE102004015616 A DE 102004015616A DE 102004015616 B4 DE102004015616 B4 DE 102004015616B4
Authority
DE
Germany
Prior art keywords
field device
signal
configuration state
normal operating
logic
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE102004015616.6A
Other languages
English (en)
Other versions
DE102004015616A1 (de
Inventor
Gary Law
Michael G. Ott
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fisher Rosemount Systems Inc
Original Assignee
Fisher Rosemount Systems Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from US10/404,156 external-priority patent/US6898542B2/en
Application filed by Fisher Rosemount Systems Inc filed Critical Fisher Rosemount Systems Inc
Publication of DE102004015616A1 publication Critical patent/DE102004015616A1/de
Application granted granted Critical
Publication of DE102004015616B4 publication Critical patent/DE102004015616B4/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B23/00Testing or monitoring of control systems or parts thereof
    • G05B23/02Electric testing or monitoring
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric

Abstract

Sicherheitssystemsteuerung (24, 26) zur Verwendung in einer Prozessumgebung mit mindestens einem Feldgerät (40, 42, 60, 62, 125), das in eine Mehrzahl von verschiedenen Konfigurationszuständen bringbar ist, die einen normalen Betriebskonfigurationszustand und einen nicht-normalen Betriebskonfigurationszustand beinhalten, wobei das mindestens eine Feldgerät (40, 42, 60, 62, 125) mindestens einen Ausgang zur Ausgabe erster Signale (IN1, IN2, IN3) hat, wobei die Sicherheitssystemsteuerung (24, 26) zur Durchführung von Sicherheitssystemsteuerfunktionen ausgebildet ist und folgendes aufweist:eine Signalempfangseinheit zum Empfangen der ersten Signale (INI, IN2, IN3) und mindestens eines zweiten Signals von dem mindestens einen Feldgerät (40, 42, 60, 62, 125) über eine Kommunikationsverbindung (76), wobei das mindestens eine zweite Signal einen Konfigurationszustand des Feldgeräts (40, 42, 60, 62, 125) angibt;eine Steuereinheit, die die Sicherheitssystemsteuerfunktionen unter Verwendung der ersten Signale (INI, IN2, IN3) ausführt, wenn kein Sperrsignal (BYPASSx) vorliegt,eine Detektiereinheit zum Detektieren anhand des zweiten Signals von dem mindestens einen Feldgerät (40, 42, 60, 62, 125), ob das Feldgerät in dem nicht-normalen Betriebskonfigurationszustand ist; undeine Sperreinheit (98a, 98b, 98c) zur Ausgabe eines Sperrsignals (BYPASSx), wenn das mindestens eine Feldgerät (40, 42, 60, 62, 125) in dem nicht-normalen Betriebskonfigurationszustand ist, um die Verwendung des mindestens einen ersten Signals (IN1, IN2, IN3) von dem Feldgerät (40, 42, 60, 62, 125) bei der Durchführung der Sicherheitssystemsteuerfunktionen zu sperren, wobei die Sperreinheit (98a, 98b, 98c) ausgebildet ist, um das Sperrsignal (BYPASSx) nach einer vorbestimmten Zeitdauer automatisch zu entfernen, die Sicherheitssystemsteuerung ferner beinhaltend eine Benachrichtigungslogik, die einen Benutzer davon benachrichtigt, dass das Sperrsignal (BYPASSx) nach der vorbestimmten Zeitdauer entfernt werden wird, bevor die Sperreinheit (98a, 98b, 98c) das Sperrsignal (BYPASSx) entfernt, wobei die Sperreinheit (98a, 98b, 98c) einem Benutzer erlaubt, die vorbestimmte Zeitdauer zu verlängern, bevor die Sperreinheit (98a, 98b, 98c) das Sperrsignal (BYPASSx) entfernt.

Description

  • Verwandte Anmeldungen
  • Diese Anmeldung ist eine Teilfortführungsanmeldung und beansprucht die Priorität der gleichzeitig anhängigen US-Patentanmeldung Nr. 10/404,156 mit dem Titel „On-Line Device Testing Block Integrated Into a Process Control/Safety System“, angemeldet am 1. April 2003, deren gesamter Inhalt hiermit ausdrücklich durch Bezugnahme in die vorliegende Anmeldung mit eingeschlossen wird.
  • Technisches Gebiet
  • Die vorliegende Erfindung betrifft allgemein Prozesssteuerungs- und Prozesssicherheitssysteme, die in Prozessanlagen verwendet werden, und speziell ein System, das Feldgerätoperationen mit der Verwendung von Übergehungen („Overrides“) oder Umgehungen („Bypasses“) innerhalb einer Prozesssteuerung bzw. Prozesssteuereinheit oder einer Sicherheitssystemsteuerung bzw. -steuereinheit koordiniert.
  • Beschreibung des Standes der Technik
  • Prozesssteuerungssysteme, wie sie etwa in chemischen Prozessen, in der Erdölindustrie oder anderen Prozessen verwendet werden, weisen typischerweise eine oder mehrere Prozesssteuerungen bzw. Prozesssteuereinheiten auf, die kommunikativ mit mindestens einem Host bzw. Hauptrechner oder einer Operator- bzw. Bediener-Workstation und mit einem oder mehreren Feldgeräten über analoge, digitale oder kombinierte Analog-/Digital-Busse oder -Leitungen gekoppelt sind. Die Feldgeräte, die beispielsweise Ventile, Ventilpositionierer, Schalter und Geber (z. B. Temperatur-, Druck- und Durchflussmengensensoren) sein können, führen innerhalb der Prozessanlage Funktionen aus wie etwa das Öffnen oder Schließen von Ventilen und das Messen von Prozessparametern. Die Prozesssteuerungen empfangen Signale, die Prozessmessungen, die von den Feldgeräten vorgenommen wurden, und/oder andere Informationen in bezug auf die Feldgeräte angeben. Die Prozesssteuerungen verwenden diese Informationen zur Ausführung von Steuerungsroutinen und erzeugen dann Steuersignale, die über die Busse oder Leitungen zu den Feldgeräten gesendet werden, um den Ablauf des Prozesses zu steuern. Informationen von den Feldgeräten und den Steuerungen werden typischerweise für eine oder mehrere Anwendungen verfügbar gemacht, die von der Operator-Workstation ausgeführt werden, um einem Operator bzw. Bediener die Ausführung einer gewünschten Funktion in bezug auf den Prozess zu ermöglichen, etwa Konfigurieren des Prozesses, Betrachten des aktuellen Zustands des Prozesses, Modifizieren des Prozessablaufs usw.
  • Ferner ist in vielen Prozessen ein separates Sicherheitssystem vorgesehen, das signifikante sicherheitsbezogene Probleme innerhalb der Prozessanlage detektiert und automatisch Ventile schließt, die Energieversorgung von Einrichtungen abschaltet, Durchflüsse innerhalb der Anlage umsteuert usw., wenn ein Problem auftritt, das in einer schwerwiegenden Gefährdung in der Anlage resultieren oder zu einer solchen führen könnte, etwa dem Austritt von giftigen Chemikalien, einer Explosion usw. Diese Sicherheitssysteme haben charakteristisch eine oder mehrere separate Steuerungen getrennt von den Standardsteuerungen für die Prozesssteuerung, die als Logikauflöser bezeichnet werden und die mit Sicherheitsfeldgeräten über separate Busse oder Übertragungsleitungen verbunden sind, die innerhalb der Prozessanlage installiert sind. Die Logikauflöser nutzen die Sicherheitsfeldeinrichtungen, um Prozessbedingungen zu detektieren, die bedeutsamen Ereignissen zugeordnet sind, etwa die Position von bestimmten Sicherheitsschaltern oder Abschaltventilen, Bereichsüber- oder - unterschreitungen im Prozess, den Betrieb von wichtigen Energieerzeugungs- oder -steuereinrichtungen, den Betrieb von Fehlerdetektiereinrichtungen usw., um dadurch „Ereignisse“ innerhalb der Prozessanlage zu detektieren. Wenn ein Ereignis detektiert wird, führt die Sicherheitssteuerung irgendeine Aktivität aus, um die schädliche Natur des Ereignisses zu begrenzen, etwa das Schließen von Ventilen, die Abschaltung von Geräten, die Energieabschaltung von Teilen der Anlage usw. Im Allgemeinen umfassen diese Aktivitäten oder Wirkungen das Umschalten von Sicherheitseinrichtungen in eine ausgelöste oder „sichere“ Betriebsart, die dazu bestimmt ist, einen kritischen oder gefährlichen Zustand innerhalb der Prozessanlage zu verhindern.
  • Funktionsblöcke in dem instrumentierten Sicherheitssystem oder Logikauflöser können mit Logik programmiert sein, die die Nutzung eines Signals oder eines detektierten Zustands eines Feldgeräts umgeht oder übergeht, wenn beispielsweise das von dem Feldgerät empfangene Signal schlecht ist, wenn Logik innerhalb des Feldgeräts in einem schlechten oder abnormalen Modus ist oder wenn ein manuelles Signal von einer Bediener-Workstation gesendet wird, um eine solche Umgehung oder Übergehung einzuleiten. Beispielsweise sind manche Analogeingangs- bzw. AI- oder Digitaleingangs- bzw. DI-Funktionsblöcke so programmiert, dass sie eine Umgehung oder ein Übergehen von Logik in der Sicherheitssystemsteuerung vorsehen, was verhindert, dass die Logik der Sicherheitssystemsteuerung den Ausgang des Feldgeräts (d. h. den Ausgang des AI- oder des DI-Blocks) als gültigen Eingang bei der Bestimmung nutzt, ob ein Ereignis aufgetreten ist. Diese Funktionsblöcke liefern jedoch typischerweise ein solches Umgehungs- oder Übergehungssignal als Reaktion auf ein manuelles Aktivierungssignal, das von einem Bediener oder Techniker erzeugt wird, wenn ein Feldgerät beispielsweise gewartet wird.
  • Ebenso ist es in instrumentierten Sicherheitssystemen üblich, redundante Eingabeeinrichtungen wie etwa Geber und Schalter zu verwenden, um Ereignisse innerhalb des Systems zu detektieren und dadurch eine größere Sicherheitsintegrität oder Verfügbarkeit von Messungen von Prozessvariablen zu erhalten. In solchen Systemen ist es manchmal erforderlich, eine Entscheidungslogikfunktionalität in der Abschaltlogik vorzusehen, um auf der Basis der redundanten Eingänge zu bestimmen, ob der Prozesszustand akzeptabel oder gefährlich ist. Diese Entscheidungslogik ist relativ unkompliziert insofern, als sie typischerweise nur eine Mehrheitsentscheidung der Eingänge zu bestimmen hat, um zu detektieren, ob ein Ereigniszustand eingetreten ist. Es ist möglich, Entscheidungsfunktionsblöcke mit Übergehungs- und Umgehungsfähigkeitenzu versehen, um beispielsweise die Operation des Abschaltsystems während des Hochfahrens des Prozesssteuerungssystems zu verhindern, so dass Wartungspersonal die Möglichkeit erhält, Wartungsarbeiten an einer oder mehreren der Eingangseinrichtungen auszuführen, ausgewählte Prozessbedingungen vorübergehend ignoriert werden können, usw.
  • Allgemein gesagt, werden jedoch diese Umgehungen oder Übergehungen, insbesondere Wartungs-Umgehungen, manuell von einem Bediener oder von Wartungspersonal zu Beginn der Wartungsvorgänge eingeleitet. Insoweit Umgehungen oder Übergehungen automatisch innerhalb der Entscheidungslogik oder des Logikauflösers eingeleitet werden, sind diese Umgehungen und Übergehungen allgemein Aktivitäten zugeordnet, die von dem Logiksystem ausgeführt werden wie etwa Hochfahrvorgänge, Verzögerungs-Features usw., und sind nicht einer extern eingeleiteten Änderung in dem Feldgerätzustand von einem Normalzustand in einen Prüf- oder Kalibrierzustand zugeordnet. Ingenieure haben also bisher die Um- oder Übergehung von Feldgeräten während Feldgerät-Prüfvorgängen mit dem Operationszustand eines Logikauflösers in einem instrumentierten Sicherheitssystem koordiniert; diese Koordinierung ist jedoch ein manueller Prozess und unterliegt somit menschlichen Fehlern. Wenn beispielsweise ein Wartungsprozess an einem Feldgerät abläuft, muß ein Ingenieur der Sicherheitsinstrumentenlogik manuell ein Umgehungseinleitungssignal liefern, um zu bewirken, dass der Eingangsblock wie etwa der AI-, DI- oder Entscheidungslogikblock, der dem Feldgerät zugeordnet ist, das Signal oder den Eingang von dem Feldgerät umgeht, um zu verhindern, dass die Sicherheitslogik auf der Basis des Feldgerätsignals ein Ereignis erkennt oder detektiert und einen Abschaltprozess einleitet. Die Funktionsblöcke innerhalb des Logikauflösers haben keinen Mechanismus, um eine extern eingeleitete Änderung des Zustands eines Feldgeräts in einen Prüfzustand zu erkennen und automatisch eine Umgehung oder Übergehung der Ausgangssignale des Geräts als Ergebnis einer solchen Änderung in dem Feldgerät vorzusehen.
  • Wenn daher ein Ingenieur vergisst, die Umgehung oder Übergehung manuell in den Logikauflöser zu setzen, bevor eine Feldgerätprüfung eingeleitet wird, kann es sein, dass der Logikauflöser ein Problem in der Anlage auf der Basis der Signale von dem gerade geprüften Feldgerät detektiert und unnötigerweise das Auftreten eines Abschaltvorgangs bewirkt. Dieser Abschaltvorgang kann in bezug auf Material- und Zeitverluste innerhalb der Prozessanlage teuer und für die die Geräteprüfung ausführende Person gefährlich sein oder ein Unglück auslösen, und zwar speziell dann, wenn die Geräteprüfung manuell vom Anlageboden her ausgeführt wird. Wenn ferner die manuelle Umgehung oder Übergehung in dem Sicherheits-Logikauflöser gesetzt ist, kann der Ingenieur vergessen, diese Umgehung oder Übergehung nach Beendigung des Wartungsvorgangs wieder rückgängig zu machen, wodurch das Betriebsverhalten des Sicherheitssystems verschlechtert wird und potentiell die Gefahr besteht, dass ein Abschaltvorgang nicht eingeleitet wird, wenn ein solcher Vorgang auf der Basis einer gültigen, jedoch ignorierten Feldgerätmessung oder -bedingung angezeigt ist.
  • Außerdem haben typische Feldgeräte einen Schreibschutzmechanismus, der dazu dient, Konfigurationsänderungen des Feldgeräts, die von unbefugten Quellen kommen, zu verhindern. Insbesondere enthalten Feldgeräte gewöhnlich eine Schreibschutzvariable, die, wenn sie gesetzt ist, jegliche Änderung der Feldgerätkonfigurationseinstellungen verhindert und die, wenn sie nicht gesetzt ist, solche Änderungen zuläßt. Außerdem müssen viele dieser Feldgeräte einen Hochfahrzyklus ausführen, um den geänderten Zustand dieser Schreibschutzvariablen zu erkennen, so dass zur Änderung der Konfiguration des Feldgeräts, damit das Feldgerät in einen Prüfzustand (etwa einen Feststrommodus oder Kalibriermodus) eintreten kann, die Schreibschutzvariable in den ungeschützten Zustand gesetzt werden und das Feldgerät einen Hochfahrzyklus durchlaufen muß. Das System wird zwar für unbefugte Änderungen an den Feldgeräten weniger anfällig, aber diese Schreibschutz-Eigenschaft macht es allgemein möglich, nur manuelle Prüfungen an dem Feldgerät ablaufen zu lassen, weil das Feldgerät nach dem erneuten Setzen der Schreibschutzvariablen manuell aus- und eingeschaltet werden muß, um es in einen Zustand zu bringen, der eine Prüfung des Feldgeräts erlaubt. Es ist derzeit schwierig oder praktisch unmöglich vorzusehen, dass der Sicherheits-Logikauflöser automatisch eine Geräteprüfung oder einen Kalibriervorgang an einem Feldgerät einleitet, wenn das Feldgerät in einem geschützten Zustand ist, weil der Feldgerät-Schreibschutzmechanismus manuell geändert oder ausgeschaltet werden muß.
  • DE29917651U1 betrifft einen Meßumformer, der zur Versorgung mit der zum Betrieb erforderlichen Energie und zur Übertragung eines einen Meßwert darstellenden Stromsignals an zumindest eine Zweidrahtleitung anschließbar ist. Hierbei sind Diagnosemittel zur Feststellung vorgesehen, ob der Meßumformer gut arbeitet, ausgefallen ist oder einer Wartung bedarf, und wobei Mittel vorgesehen sind, um im „Gut“-Zustand ein den Meßwert darstellendes Stromsignal, bei Ausfall statisch ein von einem Meßwert unterscheidbares Stromsignal und bei Wartungsbedarf derart kurzzeitig ein von einem Meßwert unterscheidbares Stromsignal auszugeben, daß es von dem statischen Stromsignal, das bei Ausfall ausgegeben wird, unterscheidbar ist.
  • WO02/091390A1 bezieht sich auf ein digitales Reaktorschutzsystem, das in der Lage ist, einen Software-Gleichtaktfehler selbst auszuschließen. Das System umfasst vier Kanäle, wobei jeder Kanal zwei bistabile Prozessoren, zwei Prozessoren mit lokaler Koinzidenzlogik, zwei Systemschnittstellenprozessoren, zwei Auslöselogiken, zwei Reaktorauslösungen, zwei Aktivierungssysteme mit konstruierten Sicherheitsmerkmalen, zwei Wartungs- und Testtafeln und zwei Bedienermodule umfasst. Die Reaktorsteuerung wird entsprechend unter Verwendung der vierkanaligen Messsignale ausgeführt und bei mehrkanaligem Fehler gestoppt, wenn kein Bypass-Sperrsignal für einen Kanaltest- bzw. Sperrbetrieb vorliegt.
  • Zusammenfassung der Offenbarung
  • Die vorliegende Erfindung offenbart eine Sicherheitssystemsteuerung gemäß Anspruch 1, ein Prozesssteuerungssystem gemäß Anspruch 9, ein Steuerungsverfahren gemäß Anspruch 22, sowie ein computerlesbares Medium gemäß Anspruch 31.
  • Ein Prozesssteuerungs- oder instrumentiertes -sicherheitssystem verwendet Funktionsblocklogik zum Koordinieren der Logik innerhalb des Prozesssteuerungs- oder instrumentierten -sicherheitssystems mit Betriebszuständen von Feldgeräten, auch wenn diese Betriebszustände außerhalb des Prozesssteuerungs- oder Sicherheitssystems initiiert werden. Insbesondere kann Logik in Eingangs- oder Entscheiderfunktionsblöcken, die Feldgeräten zugeordnet sind, überwachen und bestimmen, wenn die zugehörigen Feldgeräte in Prüf- oder Kalibriermoden gebracht werden, und kann automatisch eine geeignete Umgehungs- oder Übergehungsfunktionalität als Reaktion auf diese detektierten Feldgerätzustände initiieren. Ebenso kann die Funktionsblocklogik die Umgehungs- oder Übergehungsfunktionalität automatisch entfernen, wenn die Feldgeräte wieder in ihre normalen Betriebszustände gebracht werden. Diese automatische Initiierung bzw. Einleitung von Umgehungen und Übergehungen trägt dazu bei, zu verhindern, dass ein Sicherheitssystem in einer Prozessanlage einen Abschaltprozess als Folge einer Geräteprüfung auslöst, die manuell beispielsweise von einer an einem Feldgerät angebrachten Hand-held-Einrichtung eingeleitet wird. Ebenso trägt das automatische Entfernen von Umgehungen und Übergehungen dazu bei, zu verhindern, dass ein Sicherheitssystem in einer Prozessanlage nicht richtig funktionieren kann, weil ein Benutzer bzw. Anwender vergessen hat, eine Umgehung oder Übergehung, die eingerichtet wurde, um eine Geräteprüfung zu ermöglichen, manuell zu entfernen.
  • Ferner können das Logiksystem und die Feldgeräte mit einer Untermenge von Befehlen programmiert werden, die von dem Sicherheitslogiksystem initiiert bzw. ausgelöst werden können, um das Feldgerät in Prüf- oder Kalibriermoden zu bringen, und zwar auch dann, wenn das Feldgerät schreibgeschützt ist. In diesem Fall können das Logiksystem und das Feldgerät zusätzliche geschützte Befehle haben, die einen Schreibprüfmechanismus wie gemäß IEC 61511 erforderlich, enthalten, die jedoch bewirken, dass das Feldgerät in einen Feststrommodus oder einen Kalibriermodus eintritt, und die gesendet und initiiert werden können, wenn das Feldgerät noch so konfiguriert ist, dass es schreibgeschützt ist. Die neuen Befehle brauchen nicht von dem Schreibschutzmechanismus des Feldgeräts geschützt zu werden, weil sie von einer bekannten und vertrauenswürdigen Quelle, z. B. dem Sicherheitslogiksystem, initiiert werden. Diese neuen Befehle aktivieren jedoch das Logiksystem dahingehend, die Konfiguration eines Feldgeräts zu ändern, um das Feldgerät in einen Prüf- oder Kalibriermodus zu bringen, ohne dass ein Hochfahrvorgang oder ein anderer manueller Vorgang notwendig ist. Infolgedessen kann das Sicherheitslogiksystem die erforderlichen Wartungsfunktionen für das Feldgerät auf sichere Weise koordinieren, ohne dass das Feldgerät anderen unerwünschten Konfigurationsänderungen ausgesetzt wird. Ebenso können ein Sicherheitssystem und das Feldgerät eine Aufzeichnung der Befehle und Antworten speichern, die zwischen dem Feldgerät und dem Logikauflöser gesendet werden, um ein vollständiges Log bzw. eine vollständige Aufzeichung von Aktionen zu liefern, die an dem Feldgerät vorgenommen wurden, und zwar auch dann, wenn das Feldgerät im übrigen schreibgeschützt ist. Falls gewünscht, kann die zusätzliche Untermenge von Befehlen zu der Kategorie von herstellerspezifischen Befehlen wie beispielsweise HART-Befehlen gehören und kann somit parallel zu den vorhandenen Befehlen wirksam sein, die von dem Feldgerät unterstützt werden. Bei Verwendung einer solchen Hersteller-Kommunikationsfähigkeit kann der Logikauflöser den Zustand des Feldgeräts kontinuierlich überwachen.
  • Figurenliste
    • 1 ist ein Blockbild einer beispielhaften Prozessanlage, die ein Sicherheitssystem hat, das mit einem Prozesssteuerungssystem integriert ist und einen oder mehrere konfigurierbare AI-, DI- und Entscheiderfunktionsblöcke verwendet, um Systemabschaltsowie Wartungs-, Umgehungs- und -Übergehungsaktivitäten innerhalb der Prozessanlage automatisch zu steuern;
    • 2 ist ein Blockbild von einem der konfigurierbaren Entscheiderfunktionsblöcke von 1, der Umgehungs- und Übergehungsfunktionalität aufweist;
    • 3 ist eine Tabelle von mehreren beispielhaften Entscheidungsabläufen, wobei ein umgangener Eingang betroffen ist, der von dem Entscheiderfunktionsblock von 2 genutzt werden kann;
    • 4 ist eine beispielhafte Tabelle, die zeigt, wie sich ein Entscheidungsablauf verschlechtern kann, wenn einer der Eingänge zu dem Entscheiderfunktionsblock einen schlechten Status hat; und
    • 5 ist ein Blockbild eines Eingangsfunktionsblocks, der Feldgerätzustands-Detektier- und -Initiierungslogik hat und zwischen ein Feldgerät und zugeordnete Umgehungs- und Übergehungsfunktionalität innerhalb des Funktionsblocks kommunikativ gekoppelt ist, um Logik in einem Sicherheits-Logikauflöser auf der Basis von detektierten Feldgerätzuständen zu steuern sowie die Feldgerätkonfiguration zu steuern.
  • Detaillierte Beschreibung
  • Es wird nun auf 1 Bezug genommen. Eine Prozessanlage 10 weist ein Prozesssteuerungssystem 12 auf, in das ein Sicherheitssystem 14 (in Strichlinien angedeutet) integriert ist, das allgemein als ein System mit Sicherheitsinstrumentarium (Safety Instrumented System = SIS) wirkt, um die von dem Prozesssteuerungssystem 12 ausgeführte Steuerung zu überwachen und zu übergehen, um so die Wahrscheinlichkeit eines sicheren Betriebs der Prozessanlage 10 zu maximieren. Die Prozessanlage 10 weist ferner einen oder mehrere Hauptrechner-Workstations, Computer oder Benutzerschnittstellen 16 auf (die jede Art von PC, Workstations, PDAs usw. sein können), auf die von Anlagenpersonal zugegriffen werden kann, beispielsweise von Prozesssteuerungs-Bedienungspersonen, Wartungspersonal, Sicherheitsingenieuren usw. Bei dem in 1 gezeigten Beispiel sind zwei Benutzerschnittstellen 16 gezeigt und mit zwei separaten Prozesssteuerungs-/Sicherheitssteuerungs-Knoten 18 und 20 und mit einer Konfigurationsdatenbank 21 über eine gemeinsame Kommunikationsleitung oder einen Bus 22 verbunden. Das Kommunikationsnetz 22 kann unter Verwendung jeder gewünschten bus-basierten oder nicht-busbasierten Hardware implementiert sein, wobei jede gewünschte hartverdrahtete oder drahtlose Kommunikationsstruktur und jedes gewünschte oder geeignete Kommunikationsprotokoll wie etwa ein Ethernet-Protokoll verwendet wird.
  • Allgemein gesagt, weist jeder der Knoten 18 und 20 der Prozessanlage 10 sowohl Prozesssteuerungssystem-Einrichtungen als auch Sicherheitssystem-Einrichtungen auf, die über eine Busstruktur miteinander verbunden sind, die an einer Rückwandplatine vorgesehen sein kann, in der die verschiedenen Einrichtungen angebracht sind. Der Knoten 18 weist gemäß 1 eine Prozesssteuerung 24 (die ein redundantes Paar von Steuerungen sein kann) sowie eine oder mehrere Prozesssteuerungssystem-Ein-Ausgabe- bzw. -E/A-Einrichtungen 28, 30 und 32 auf, wogegen der Knoten 20 in der Figur eine Prozesssteuerung 26 (die ein redundantes Paar von Steuerungen sein kann) sowie eine oder mehrere Prozesssteuerungssystem-E/A-Einrichtungen 34 und 36 aufweist. Jede der Prozesssteuerungssystem-E/A-Einrichtungen 28, 30, 32, 34 und 36 ist mit einem Satz von auf die Prozesssteuerung bezogenen Feldgeräten kommunikativ verbunden, die in 1 als Feldgeräte 40 und 42 gezeigt sind. Die Prozesssteuerungen 24 und 26, die E/A-Einrichtungen 28 bis 36 und die Steuerungs-Feldgeräte 40 und 42 bilden allgemein das Prozesssteuerungssystem 12 von 1.
  • Ebenso weist der Knoten 18 einen oder mehrere Sicherheitssystem-Logikauflöser 50, 52 auf, wogegen der Knoten 20 Sicherheitssystem-Logikauflöser 54 und 56 aufweist. Jeder der Logikauflöser 50 bis 56 ist eine E/A-Einrichtung mit einem Prozessor 57, der Sicherheitslogikmodule 58 ausführt, die in einem Speicher 79 gespeichert sind, und ist kommunikativ so gekoppelt, dass Steuersignale an Sicherheitssystem-Feldgeräte 60 und 62 geliefert und/oder Signale von den Sicherheitssystem-Feldgeräten 60 und 62 empfangen werden. Außerdem weist jeder Knoten 18 und 20 mindestens eine Meldungsverbreitungseinrichtung (MPD) 70 oder 72 auf, die kommunikativ über eine Busverbindung 74 vom Ringtyp (von der nur ein Teil in 1 gezeigt ist) miteinander gekoppelt sind. Die Sicherheitssystem-Logikauflöser 50 bis 56, die Sicherheitssystem-Feldeinrichtungen 60 und 62, die MPDs 70 und 72 und der Bus 74 bilden allgemein das Sicherheitssystem 14 von 1.
  • Die Prozesssteuerungen 24 und 26, die, nur als Beispiel, DeltaV™-Steuerungen von Emerson Process Management, oder von jeder anderen gewünschten Art von Prozesssteuerung sein können, sind so programmiert, dass sie eine Prozesssteuerungsfunktionalität ermöglichen (unter Verwendung von Mitteln, die gewöhnlich als Steuermodule bezeichnet werden), wobei die E/A-Einrichtungen 28, 30 und 32 (für die Steuerung 24), die E/A-Einrichtungen 34 und 36 (für die Steuerung 26) und die Feldgeräte 40 und 42 verwendet werden. Speziell implementiert oder beaufsichtigt jede der Steuereinheiten bzw. Steuerungen 24 und 26 eine oder mehrere Prozesssteuerungsroutinen, die darin gespeichert oder anderweitig zugeordnet sind, und kommuniziert mit den Feldgeräten 40 und 42 und den Workstations 16, um den Prozess oder einen Teil des Prozesses auf eine gewünschte Weise zu steuern. Die Feldgeräte 40 und 42 können jede gewünschte Art von Feldgeräten sein wie etwa Sensoren, Ventile, Geber, Positionierer usw. und können jedem gewünschten offenen, proprietären oder anderen Kommunikations- oder Programmierprotokoll entsprechen, das beispielsweise das HART-Protokoll oder das 4-20-mA-Protokoll (wie es für die Feldgeräte 40 gezeigt ist), jedes Fieldbus-Protokoll wie etwa das FOUNDATION® Fieldbus-Protokoll (wie es für die Feldgeräte 42 gezeigt ist) oder das CAN-, Profibus-, AS-Interface-Protokoll, um nur einige zu nennen, sein kann. Ebenso können die E/A-Einrichtungen 28 bis 36 jeder bekannte Typ von Prozesssteuerungs-E/A-Einrichtungen sein, die ein geeignetes Kommunikationsprotokoll bzw. solche Protokolle verwenden.
  • Die Sicherheits-Logikauflöser 50 bis 56 von 1 können jede gewünschte Art von Sicherheitssystem-Steuereinrichtungen sein, die einen Prozessor 57 und einen Speicher aufweisen, in dem Sicherheitslogikmodule 58 gespeichert sind, die dazu ausgebildet sind, auf dem Prozessor 57 ausgeführt zu werden, um eine Steuerungsfunktionalität bereitzustellen, die dem Sicherheitssystem 14 zugeordnet ist, das die Feldeinrichtungen 60 und 62 verwendet. Selbstverständlich können die Sicherheitsfeldeinrichtungen 60 und 62 jede gewünschte Art von Feldeinrichtungen sein, die einem bekannten oder gewünschten Kommunikationsprotokoll wie etwa den oben erwähnten entsprechen oder dieses verwenden. Insbesondere können die Feldeinrichtungen 60 und 62 sicherheitsbezogene Feldeinrichtungen des Typs sein, der herkömmlich von einem separaten, fest zugeordneten sicherheitsbezogenen Steuerungssystem gesteuert werden. In der in 1 gezeigten Prozessanlage 10 sind die Sicherheitsfeldeinrichtungen 60 so dargestellt, dass sie ein fest zugeordnetes oder Punkt-zu-Punkt-Kommunikationsprotokoll wie das HART- oder das 4-20-ma-Protokoll verwenden, wogegen die Sicherheitsfeldeinrichtungen 62 in der Darstellung ein Buskommunikationsprotokoll wie etwa ein Fieldbus-Protokoll verwenden. Die Sicherheitsfeldeinrichtungen 60 können jede gewünschte Funktion ausführen, etwa die eines Abschaltventils, eines Ausschalters usw.
  • In jedem der Knoten 18 und 20 wird eine gemeinsame Rückwandplatine 76 verwendet (die mittels einer Strichlinie durch die Steuereinheiten 24, 26, die E/A-Einrichtungen 28 bis 36, die Sicherheits-Logikauflöser 50 bis 56 und die MPDs 70 und 72 bezeichnet ist), um die Steuereinheiten 24 und 26 mit den Prozesssteuerungs-E/A-Karten 28, 30 und 32 oder 34 und 36 sowie mit den Sicherheits-Logikauflösern 50, 52, 54 oder 56 und mit dem MPDs 70 oder 72 zu verbinden. Die Steuerungen 24 und 26 sind ferner kommunikativ mit dem Bus 22 gekoppelt und wirken als Busvermittler für den Bus 22, um jeder der E/A-Einrichtungen 28 bis 36, den Logikauflösern 50 bis 56 und den MPDs 70 und 72 die Kommunikation mit jeder der Workstations 16 über den Bus 22 zu ermöglichen.
  • Es versteht sich, dass jede der Workstations 16 einen Prozessor 77 und einen Speicher 78 aufweist, in dem eine oder mehrere Konfigurations- und/oder Betrachtungsanwendungen gespeichert sind, die dazu ausgebildet sind, auf dem Prozessor 77 ausgeführt zu werden. Eine Konfigurationsanwendung 80 und eine Betrachtungsanwendung 82 sind in einer Explosionsansicht in 1 in der Weise gezeigt, dass sie in einer der Workstations 16 gespeichert sind, während für eine Diagnoseanwendung 84 gezeigt ist, dass sie in der anderen der Workstations 16 gespeichert ist. Falls gewünscht, könnten diese Anwendungen aber auch in verschiedenen der Workstations 16 oder in anderen zu der Prozessanlage 10 gehörigen Computern gespeichert und ausgeführt werden. Allgemein gesagt, liefert die Konfigurationsanwendung 80 Konfigurationsinformationen an einen Sicherheitsingenieur und ermöglicht es dem Sicherheitsingenieur, einige oder alle Elemente der Prozessanlage 10 zu konfigurieren und diese Konfiguration in der Konfigurationsdatenbank 21 zu speichern. Als Teil der Konfigurationshandlungen, die von der Konfigurationsanwendung 80 ausgeführt werden, kann der Sicherheitsingenieur Steuerroutinen oder Steuermodule für die Prozesssteuerungen 24 und 26 erzeugen, kann Sicherheitslogikmodule 58 für jeden und sämtliche der Sicherheits-Logikauflöser 50 bis 56 erzeugen (einschließlich der Erzeugung und Programmierung von Eingangs-, Entscheider- und anderen Funktionsblöcken zum Gebrauch in den Sicherheits-Logikauflösern 50 bis 56 oder auch in den Steuerungen 24 und 26) und kann diese verschiedenen Steuer- und Sicherheitsmodule in die entsprechenden der Prozesssteuerungen 24 und 26 und die Sicherheits-Logikauflöser 50 bis 56 über den Bus 22 und die Steuerungen 24 und 26 herunterladen. Ebenso kann die Konfigurationsanwendung 80 genutzt werden, um andere Programme und Logik zu erzeugen und in die E/A-Einrichtungen 28 bis 36, jedes der Feldgeräte 40, 42, 60 und 62 usw. herunterzuladen.
  • Dagegen kann die Betrachtungsanwendung 82 genutzt werden, um einem Benutzer wie etwa einem Prozesssteuerungs-Bediener, einem Sicherheitstechniker usw. Anzeigen zu liefern, die Information über den Zustand des Prozesssteuerungssystems 12 und des Sicherheitssystems 14 entweder in gesonderten Ansichten oder, falls gewünscht, in derselben Ansicht bieten. Beispielsweise kann die Betrachtungsanwendung 82 eine Alarmdisplayanwendung sein, die Anzeigen von Alarmen für einen Bediener empfängt und anzeigt. Falls gewünscht, kann eine solche Alarmbetrachtungsanwendung die Form haben, wie sie in der US-PS 5 768 119 mit dem Titel „Process Control System Including Alarm Priority Adjustment“ und in der US-Patentanmeldung Nr. 09/707 580 mit dem Titel „Integrated Alarm Display in a Process Control Network“ angegeben ist; beide Dokumente sind auf die Rechtsnachfolgerin des vorliegenden Patents übertragen und deren gesamter Inhalt wird hiermit ausdrücklich durch Bezugnahme in die vorliegende Anmeldung mit eingeschlossen. Es versteht sich jedoch, dass die Alarmanzeige oder Alarmfläche dieser Patente Alarme sowohl von dem Prozesssteuerungssystem 12 als auch dem Sicherheitssystem 14 in einer integrierten Alarmanzeige empfangen und anzeigen kann, da die Alarme von beiden Systemen 12 und 14 an die Bediener-Workstation 14 gesendet werden, welche die Alarmdisplayanwendung ausführt, und als Alarme von verschiedenen Einrichtungen erkennbar sind. Ebenso kann ein Bediener Sicherheitsalarme, die in einer Alarmfläche anzeigt werden, auf die gleiche Weise wie Prozesssteuerungsalarme behandeln. Beispielsweise kann der Bediener oder Benutzer Sicherheitsalarme, Abschalt-Sicherheitsalarme usw. unter Anwendung des Alarmdisplays quittieren, das Meldungen an die entsprechende Prozesssteuerung 24, 26 innerhalb des Sicherheitssystems 14 sendet unter Nutzung von Kommunikationen auf dem Bus 22 und der Rückplatine 76, um in bezug auf den Sicherheitsalarm die entsprechende Maßnahme zu ergreifen. Auf ähnliche Weise können andere Betrachtungsanwendungen Informationen oder Daten sowohl von dem Prozesssteuerungssystem 12 als auch dem Sicherheitssystem 14 anzeigen, da diese Systeme die gleichen Typen und Arten von Parametern, Sicherheit und Verweisen nutzen können, so dass alle Daten von einem der Systeme 12 und 14 in einem Display oder einer Anzeige integriert werden können, die traditionell für ein Prozesssteuerungssystem verwendet wird.
  • Die Diagnoseanwendung 84 kann dazu dienen, Diagnose- oder Wartungsprogramme innerhalb des Prozesssteuerungs- und Sicherheitssystems der Anlage 10 zu implementieren. Eine solche Diagnoseanwendung, die alle gewünschten Arten von Diagnose- oder Wartungsprozessen ausführen kann, etwa die Durchführung von Prozess- und Ventilprüfungen, Hochfahrprozessen usw., kann einem oder mehreren AI-, DI- oder Entscheiderfunktionsblöcken, die in der Prozessanlage 10 verwendet werden, Übergehungen bereitstellen oder auch nicht, um die Operation des Sicherheitssystems auf der Basis von Eingängen von einer oder mehreren Einrichtungen zu verhindern, die durch die Diagnoseprozesse beeinflußt werden. Ebenso kann eine Hand-held-Konfigurations- oder Prüfeinrichtung 85 mit jedem der Feldgeräte 40, 42, 60 und 62 verbunden werden, um Konfigurations-, Prüf- und Kalibrierprozesse an diesen Feldgeräten auszuführen, wobei ein Um- oder Übergehungssignal an einen oder mehrere der AI-, DI- oder Entscheiderfunktionsblöcke in der Prozessanlage 10 gesendet werden kann oder auch nicht.
  • In jedem Fall können die Anwendungen 80, 82 und 84 wie auch jede beliebige andere Anwendung separate Konfigurations- und andere Signale an jede Prozesssteuerung 24 und 26 und jeden Logikauflöser 50 bis 56 senden und können von diesen sowie von jedem der Logikauflöser 50 bis 56 des Sicherheitssystems Daten empfangen. Diese Signale können Meldungen auf Prozessebene aufweisen, die auf die Steuerung der Betriebsparameter der Prozessfeldgeräte 40 und 42 bezogen sind, und können Meldungen auf Sicherheitsebene aufweisen, die auf die Steuerung der Betriebsparameter der sicherheitsbezogenen Feldeinrichtungen 60 und 62 bezogen sind. Die Sicherheits-Logikauflöser 50 bis 56 können zwar so programmiert sein, dass sie sowohl die Meldungen auf Prozessebene als auch die Meldungen auf Sicherheitsebene erkennen, aber die Sicherheits-Logikauflöser 50 bis 56 sind imstande, zwischen den beiden Meldungsarten zu unterscheiden und sind nicht imstande, von Konfigurationssignalen auf Prozessebene programmiert oder beeinflußt zu werden. Bei einem Beispiel können die Programmiermeldungen, die zu den Prozesssteuerungssystemeinrichtungen gesendet werden, bestimmte Felder oder Adressen aufweisen, die von den Sicherheitssystemeinrichtungen erkannt werden und verhindern, dass diese Signale zur Programmierung der Sicherheitssystemeinrichtungen genutzt werden.
  • Falls gewünscht, können die Sicherheits-Logikauflöser 50 bis 56 das gleiche oder ein anderes Hardware- oder Software-Design verwenden als das Hardware- und Software-Design, das für die Prozesssteuerungs-E/A-Karten 28 bis 36 verwendet wird. Die Verwendung von alternativen Technologien für die Einrichtungen innerhalb des Prozesssteuerungssystems 12 und für die Einrichtungen innerhalb des Sicherheitssystems 14 kann Hardware- oder Softwareausfälle, die eine gemeinsame Ursache haben, minimieren oder eliminieren. Ferner können die Sicherheitssystemeinrichtungen einschließlich der Logikauflöser 50 bis 56 alle gewünschten Trenn- und Sicherheitstechniken verwenden, um die Möglichkeit von nichtautorisierten Änderungen an den dadurch implementierten sicherheitsbezogenen Funktionen zu verringern oder auszuschließen. Beispielsweise können die Sicherheits-Logikauflöser 50 bis 56 und die Konfigurationsanwendung 80 eine Person einer bestimmten Befugnisebene oder eine Person, die sich an einer bestimmten Workstation befindet, auffordern, an den Sicherheitsmodulen innerhalb der Logikauflöser 50 bis 56 Änderungen vorzunehmen, wobei diese Befugnisebene oder dieser Ort von der Befugnis- oder Zugangsebene oder dem Ort verschieden ist, der erforderlich ist, um Änderungen an den Prozesssteuerungsfunktionen auszuführen, die von den Steuerungen 24 und 26 und den E/A-Einrichtungen 28 bis 36 ausgeführt werden. In diesem Fall haben nur diejenigen Personen, die innerhalb der Sicherheitssoftware benannt sind oder die sich an Workstations befinden, die befugt sind, Änderungen an dem Sicherheitssystem 14 vorzunehmen, die Befugnis, sicherheitsbezogene Funktionen zu ändern, wodurch die Möglichkeiten einer unberechtigten Änderung des Betriebs des Sicherheitssystems 14 minimiert werden. Es versteht sich, dass zur Implementierung dieser Sicherheit die Prozessoren innerhalb der Sicherheits-Logikauflöser 50 bis 56 die ankommenden Meldungen auf richtige Form und Sicherheit auswerten und als Wächter in bezug auf Änderungen wirksam sind, die an den Steuermodulen 58 der Sicherheitsebene, die innerhalb der Sicherheits-Logikauflöser 50 bis 56 ausgeführt werden, vorgenommen werden.
  • Die Verwendung der Rückwandplatine 76 in jedem der Knoten 18 und 20 ermöglicht es den Sicherheits-Logikauflösern 50 und 52 und den Sicherheits-Logikauflösern 54 und 56, lokal miteinander zu kommunizieren, um Sicherheitsfunktionen zu koordinieren, die von jeder dieser Einrichtungen implementiert sind, Daten zueinander zu übertragen oder andere integrierte Funktionen auszuüben. Andererseits sind die MPDs 70 und 72 wirksam, um Bereiche des Sicherheitssystems 14, die an vollkommen verschiedenen Stellen in der Anlage 10 angeordnet sind, miteinander kommunizieren zu lassen, um koordinierte Sicherheitsoperationen an verschiedenen Knoten der Prozessanlage 10 zu ermöglichen. Insbesondere ermöglichen es die MPDs 70 und 72 in Verbindung mit dem Bus 74 den Sicherheits-Logikauflösern, die verschiedenen Knoten 18 und 20 der Prozessanlage 10 zugeordnet sind, kommunikativ aneinandergereiht zu werden, um die Aneinanderreihung von sicherheitsbezogenen Funktionen innerhalb der Prozessanlage 10 gemäß einer zugewiesenen Priorität zuzulassen. Alternativ können zwei oder mehr sicherheitsbezogene Funktionen an verschiedenen Stellen innerhalb der Prozessanlage 10 miteinander verkoppelt oder verbunden werden, ohne dass eine spezielle Leitung zu einzelnen Sicherheitsfeldgeräten innerhalb der separaten Bereiche oder Knoten der Anlage 10 gelegt zu werden braucht. Mit anderen Worten ermöglicht es die Verwendung der MPDs 70 und 72 und des Busses 74 einem Sicherheitsingenieur, ein Sicherheitssystem 14 zu entwerfen und zu konfigurieren, das von Natur aus überall in der gesamten Prozessanlage 10 verteilt ist, von dem aber verschiedene Komponenten kommunikativ miteinander verbunden sind, um es den ungleichen sicherheitsbezogenen Hardwarekomponenten zu ermöglichen, nach Bedarf miteinander zu kommunizieren. Dieses Merkmal ermöglicht auch die Skalierbarkeit des Sicherheitssystems 14 insofern, als es das Hinzufügen von weiteren Sicherheits-Logikauflösern zu dem Sicherheitssystem 14 entweder nach Bedarf oder bei Hinzufügung neuer Prozesssteuerungsknoten zu der Prozessanlage 10 möglich macht.
  • Falls gewünscht, können die Logikauflöser 50 bis 56 programmiert werden, um Steuerungsaktivitäten in bezug auf die Sicherheitseinrichtungen 60 und 62 auszuführen, und zwar unter Nutzung eines Funktionsblock-Programmierparadigmas. Wie insbesondere eine vergrößerte Ansicht von einem der Sicherheitssteuermodule 58a (in einem Speicher 79 gespeichert) des Logikauflösers 54 zeigt, kann ein Sicherheitssteuermodul eine Menge von kommunikativ miteinander verbundenen Funktionsblöcken aufweisen, die zur Implementierung während des Betriebs des Prozesses 10 erzeugt und in den Logikauflöser 54 heruntergeladen werden können. Wie 1 zeigt, weist das Steuermodul 58a zwei Entscheiderfunktionsblöcke 92 und 94 auf, die Eingänge haben, die kommunikativ mit anderen Funktionsblöcken 90 verbunden sind, die beispielsweise Analogeingangs- bzw. AI-, Digitaleingangs- bzw. DI-Funktionsblöcke, Entscheiderfunktionsblöcke oder andere Funktionsblöcke sein können, die dazu ausgebildet sind, an die Entscheiderfunktionsblöcke 92 Signale zu liefern. Die Entscheiderfunktionsblöcke 92 und 94 haben mindestens einen Ausgang, der mit ein oder mehr anderen Funktionsblöcken 91 verbunden ist, welche Analogausgabe- bzw. AO-, Digitalausgabe- bzw. DO-, Ursache-und-Wirkung-Funktionsblöcke, die Ursache-und-Wirkung-Logik implementieren, Steuer- und Diagnosefunktionsblöcke, welche Ausgangssignale von den Entscheiderfunktionsblöcken 92 und 94 empfangen können, um die Operation der Sicherheitsfeldgeräte 60 und 62 zu steuern, usw. sein können. Selbstverständlich kann das Sicherheitssteuermodul 58a auf jede gewünschte Weise programmiert sein, um alle Arten von Funktionsblöcken gemeinsam mit einem oder mehreren Entscheiderfunktionsblöcken aufzuweisen, die auf jede gewünschte oder nützliche Weise konfiguriert sind, um jede gewünschte Funktionalität auszuführen. Zusätzlich oder alternativ können andere Eingangsfunktionsblöcke wie AI- und DI-Funktionsblöcke direkt mit Sicherheitssystemlogik gekoppelt sein, um ein Sicherheitslogik-Steuermodul bereitzustellen, das auf von den AI- oder DI-Blöcken detektierte Ereignisse dadurch reagiert, dass es ein oder mehr Abschalteinrichtungen beim Auftreten von einem oder mehreren solchen Ereignissen aktiviert.
  • Die vergrößerte Darstellung des Sicherheitssteuermoduls 58a in 1 weist zwar einen digitalen Entscheiderfunktionsblock 92 mit fünf Digitaleingängen und einen analogen Entscheiderfunktionsblock 94 mit drei Analogeingängen auf, es versteht sich jedoch, dass jede beliebige Anzahl von verschiedenen Sicherheitslogikmodulen 58 für jeden der verschiedenen Logikauflöser 50 bis 56 erzeugt und darin verwendet werden kann, und dass jedes dieser Module jede beliebige Anzahl von AI-, DI-, Entscheider- oder anderen Eingabefunktionsblöcken aufweisen kann, die jede beliebige Anzahl von Eingängen haben, die mit anderen Funktionsblöcken auf jede gewünschte Weise kommunikativ verbunden sind. Wenn sie beispielsweise in einem Fieldbus-Netzwerk verwendet werden, könnten gleichermaßen die Entscheiderfunktionsblöcke 92 und 94, die jede Fieldbusart von Funktionsblöcken sein können, oder jeder beliebige der anderen damit verbundenen Funktionsblöcke in anderen Einrichtungen wie etwa in den Feldgeräten 62 angeordnet und implementiert sein. Wenn sie außerhalb eines Sicherheitssystems verwendet werden, könnten die Entscheiderfunktionsblöcke 92 und 94 sowie die anderen Eingabefunktionsblöcke in den Prozesssteuerungen 24, 26, den E/A-Einrichtungen 28 bis 36, den Feldgeräten 42 usw. implementiert sein. Ganz allgemein versteht es sich, dass die Entscheiderfunktionsblöcke 92 und 94 typischerweise redundante Eingaben empfangen, die von redundanten Sensoren oder Gebern innerhalb des Sicherheitssystems 14 geliefert werden, und an diesen Eingaben ein Entscheidungsschema anwenden, um zu bestimmen, ob auf der Basis all dieser Eingaben ein Sicherheitssystem-Auslösezustand vorliegt. Außerdem können diese Entscheiderfunktionsblöcke programmiert werden, um innerhalb der Sicherheitssystemlogik Umgehungen oder Übergehungen zu initiieren.
  • Das Blockbild von 2 zeigt die Komponenten des beispielhaften Entscheiderfunktionsblocks 94 von 1, der Umgehungs- und Übergehungsfähigkeiten hat. Der Entscheiderfunktionsblock 94 ist ein analoger Entscheiderfunktionsblock insofern, als er Analogeingangssignale verarbeitet, die beispielsweise über Analogeingangs- bzw. AI-Funktionsblöcke 90 geliefert werden. Im allgemeinen umfaßt der Entscheiderfunktionsblock 94 drei Eingänge, die mit IN1, IN2 und IN3 bezeichnet und dazu ausgebildet sind, Analogeingangssignale beispielsweise von redundanten Sensoren oder anderen redundanten Elementen innerhalb der Prozessanlage 10 wie etwa von den Feldgeräten 60 und 62 von 1 zu empfangen. Jeder der Eingänge IN1, IN2 und IN3 wird einem von einem Auslöselimit-Prüfblock 95a, 95b oder 95c und einem Vorlimit-Prüfblock 96a, 96b oder 96c zugeführt. Die Auslöselimit-Prüfblöcke 95 vergleichen das ihnen zugeführte Eingangssignal mit einem voreingestellten Limit, um zu bestimmen, ob das Eingangssignal einen einem Auslösezustand zugeordneten Wert (der ein hoher Wert, ein niedriger Wert oder ein Wert innerhalb eines vorbestimmten Bereichs sein kann) erreicht hat. Auf ähnliche Weise vergleichen die Vorlimit-Prüfblöcke 96 das ihnen zugeführte Eingangssignal mit einem voreingestellten Vorlimit, um zu bestimmen, ob das Eingangssignal einen Wert (der ein hoher Wert, ein niedriger Wert oder ein Wert innerhalb eines vorbestimmten Bereichs sein kann) erreicht hat, der einem Alarm oder einer Warnung zugeordnet ist, die einen Auslösezustand bezeichnet, der zwar noch nicht existiert, jedoch bald existieren wird. Somit erlauben die Vorlimit-Prüfblöcke 96 die Erzeugung eines Alarm- oder Ereignissignals, das angibt, dass ein gefährlicher oder anderweitig unerwünschter Zustand dicht bevorsteht, obwohl er noch nicht vorliegt.
  • Die Ausgangssignale der Auslöselimit-Prüfblöcke 95 und der Vorlimit-Prüfblöcke 96 (die beispielsweise Digitalsignale sein können, die auf einen Hochwert gesetzt sind, wenn die Limits oder die Vorlimits in den Blöcken 95 und 96 erfüllt sind) werden jeweils einem von einer Gruppe von Eingangsumgehungssperrblöcken 98a, 98b und 98c zugeführt. Die Eingangsumgehungssperrblöcke 98 führen Eingangssperrungen an den einzelnen Eingängen IN1, IN2 und IN3 durch, so dass einer oder mehrere dieser Eingänge gesperrt werden können, d. h. innerhalb des Entscheiderfunktionsblocks 94 nicht dazu genutzt werden können zu bestimmen, ob ein Auslösezustand vorliegt oder ob ein Vorauslösealarmzustand existiert. Jeder der Eingangsumgehungssperrblöcke 98 liefert ein Ausgangssignal für den zugeordneten Auslöselimitzustand an einen Auslöseentscheiderlogikblock 100a und liefert ein Ausgangssignal für den zugeordneten Vorlimitzustand an einen Vorauslöseentscheiderlogikblock 100b. Die Entscheiderlogikblöcke 100a und 100b führen die Entscheiderlogik jeder gewünschten Operation aus, um auf der Basis der ihnen zugeführten Eingangssignale zu bestimmen, ob ein Auslösezustand oder ein Vorauslösealarmzustand existiert.
  • Der Auslöseentscheiderlogikblock 100a und der Vorauslöseentscheiderlogikblock 100b liefern ein Auslösesignal bzw. ein Vorauslösealarmsignal (wenn bestimmt wird, dass diese Bedingungen vorliegen) an einen Sperr- oder Übergehungsblock 102, der den Entscheiderfunktionsblock 94 darin hindern kann, ein Auslösesignal oder ein Vorauslösealarmsignal zu liefern, das beispielsweise während eines Hochfahr- oder anderen Vorgangs, während eines Laufzeit- oder Wartungsvorgangs ausgegeben wird, wobei es vorteilhaft ist, die Operation des Entscheiderfunktionsblocks 94 zu sperren. Der Sperrblock 102 entwickelt ein Auslöseausgangssignal (mit Out bezeichnet), das als Ergebnis der Operation des Auslöseentscheiderlogikblocks 100a und der Hochfahrsperrblocklogik bestimmt ist, und entwickelt zusätzlich ein Pre_Out-Signal, das als Ergebnis der Operation des Vorauslöseentscheiderlogikblocks 100b und der Hochfahrsperrblocklogik bestimmt wird. Das Out-Signal kann genutzt werden, um die Operation eines Abschaltprozesses innerhalb des Sicherheitssystems 14 von 1 zu treiben, wogegen das Pre_Out-Signal genutzt werden kann, um eine Warnung zu liefern und die Tatsache anzuzeigen, dass in der Prozessanlage 10 nahezu ein Auslösezustand existiert. Selbstverständlich können die Signale Out und Pre_Out, falls gewünscht, für andere Zwecke genutzt werden.
  • Der Entscheiderfunktionsblock 94 kann eine Menge von Parametern aufweisen, von denen einige in 2 über oder unter den Blöcken angegeben sind, in denen sie verwendet werden, und die beispielsweise während der Konfigurierung des Entscheiderfunktionsblocks 94 gesetzt werden, um die Operation des Entscheiderfunktionsblocks 94 zu bewirken oder zu bezeichnen. Insbesondere werden ein Auslöselimit-Parameter (Trip_Lim) und ein Vorauslöselimit-Parameter (Pre_Trip_Lim) verwendet, um die Auslöselimits, die in den Auslöselimitblöcken 95 genutzt werden, zu setzen oder zu etablieren und die in den Vorlimitprüfblöcken 96 verwendeten Vorauslöselimits zu setzen. Die Auslöselimit- und/oder Vorauslöselimitparameter können für jeden der verschiedenen Blöcke 95 und 96 die gleichen sein oder für jeden der Blöcke 95 und 96 individuell vorgegeben werden. Gleichermaßen werden ein Auslösehysterese-Parameter (Trip_Hys) und ein Vorauslösehysterese-Parameter (Pre_Trip_Hys) genutzt, um die Hysterese einzustellen, welche die Blöcke 95 und 96 zwischen aufeinanderfolgenden Auslösevorgängen durchlaufen müssen. Das heißt, wenn einer der Blöcke 95 oder 96 detektiert, dass eines der Eingangssignale über (oder unter) einem Limit ist, dann bestimmt der Hysteresewert des Auslösehystereseparameters (für die Blöcke 95) und der Hysteresewert des Vorauslösehystereseparameters (für die Blöcke 96), wie weit unter (oder über) das Limit das Eingangssignal gehen darf, bevor das Auslösesignal (oder das Vorauslösesignal) abgeschaltet wird oder bevor es möglich ist, ein zweites Auslösesignal (oder Vorauslösesignal) von diesem Block setzen zu lassen.
  • Der Entscheiderfunktionsblock 94 hat ferner einen internen Auslösetyp-Konfigurationsparameter Trip_Type, der die Normal- und Auslösezustandswerte definiert, die den Eingängen und/oder Ausgängen des Entscheiderfunktionsblocks 94 zugeordnet sind. Wenn beispielsweise der Entscheiderfunktionsblock 94 als „für Auslösung deaktiviert“ konfiguriert ist (was der Standardwert sein kann), ist der Normalbetriebswert des Ausgangs Eins und der Auslösezustandswert ist Null. Wenn umgekehrt der Entscheiderfunktionsblock 94 als „zum Auslösen aktiviert“ konfiguriert ist, ist der Normalbetriebswert Null, und der Auslösezustandswert ist Eins. Diese Anfangsbestimmung wird an den Auslöselimitprüfblöcken 95a, 95b und 95c und den Vorlimitprüfblöcken 96a, 96b und 96c vorgenommen, was jeweils den Eingängen IN1, IN2 bzw. IN3 entspricht. Ein Detektiertyp-Parameter (Detect_Type) kann verwendet werden, um zu bestimmen, ob der Vergleich mit dem Auslöselimit ein Größer-als-Vergleich (hohes Limit) oder ein Weniger-als-Vergleich (niedriges Limit) sein soll. Dieser Vergleich erfolgt an den entsprechenden Auslöselimitprüfblöcken 95 und den Vorlimitprüfblöcken 96, um zu bestimmen, ob die Eingangssignale die vorbestimmten Limits erreicht haben.
  • Es versteht sich, dass die Ausgänge der Auslöselimitprüfblöcke 95 jeweils zeigen, ob eine Auslösung durch einen entsprechenden der Eingänge IN1, IN2 und/oder IN3 angezeigt ist. Wie oben erörtert wird, kann von den Eingangsumgehungssperrblöcken 98 für jeden der einzelnen Eingänge IN1, IN2 und IN3 eine Wartungsübergehung oder -umgehung angewandt werden, um zu verhindern, dass diese Eingänge in der Entscheidungslogik genutzt werden, die von den Entscheiderlogikblöcken 100 angewandt wird. Dieses Umgehungs-Feature ist vorteilhaft, wenn beispielsweise eine Wartung an einem Geber oder einem anderen Feldgerät ausgeführt wird, welches das Eingangssignal für den Entscheiderfunktionsblock 94 liefert. Bei Verwendung von Entscheidungslogik, die auf der Basis einer Vielzahl von Eingängen einen Auslöseausgang bestimmt, sind Wartungsumgehungen nicht immer erforderlich, weil eine einzige falsche Auslöseentscheidung (die aufgrund von Wartungsaktivitäten an dem den Eingang liefernden Sensor resultieren kann) nicht notwendigerweise in einer Auslösung resultiert. Diese Umgehungsfunktionalität ist aber vorteilhaft, um falsche Auslösungen während Wartungsmaßnahmen zu verhindern, und kann bei einer anderen Entscheiderlogik notwendig sein, etwa bei einem Ein-aus-Zwei-Entscheiderlogikschema, bei dem das Vorliegen nur eines einzigen Auslösesignals von redundanten Sensoren in einer Auslösung resultiert.
  • Wenn einer der Eingangsumgehungssperrblöcke 98 die Umgehung eines Eingangs veranlaßt, wird der umgangene Eingang von den Entscheiderlogikblöcken 100a und 100b nicht zur Ausbildung eines Auslösesignals oder eines Vorauslösealarmsignals genutzt, und zwar auch dann nicht, wenn der Eingangswert die Limits überschreitet, die durch die Auslöselimit- oder die Vorauslöselimit-Parameter angegeben sind. Um das Umgehen zu ermöglichen, kann zuerst ein Umgehungserlaubnis- bzw. Bypass_Permit-Parameter aktiviert werden, um zu prüfen, ob das Umgehen der Eingänge überhaupt zugelassen werden soll. Allgemein gesagt, wird das Umgehen von Eingängen dann zugelassen, wenn der Bypass_Permit-Parameter gesetzt oder aktiviert ist, wird jedoch nicht zugelassen, wenn der Bypass_Permit-Parameter rückgesetzt oder nicht aktiviert ist. Es kann zwar ein einziger Bypass_Permit-Parameter für sämtliche Umgehungssperrblöcke 98 anwendbar sein, aber eine separate Umgehungserlaubnis kann für jeden der Eingangsumgehungssperrblöcke 98a, 98b, 98c gesetzt werden.
  • Wenn der Bypass_Permit-Parameter gesetzt oder aktiviert ist, kann ein BYPASSx-Parameter verwendet werden, um einen oder mehrere der Umgehungssperrblöcke 98 zu veranlassen, das Sperren der Verwendung eines zugehörigen der Eingänge IN1, IN2 oder IN3 zu bewirken. Das x in dem BYPASSx-Parameter bezeichnet, welcher der Eingänge IN1, IN2 oder IN3 zu deaktivieren ist. Falls gewünscht, kann mehr als ein Eingang zu einem bestimmten Zeitpunkt gesperrt werden, oder der Entscheiderfunktionsblock 94 kann so konfiguriert sein, dass jeweils nur ein Eingang gesperrt werden darf. Der Bypass-Permit- und der BYPASSx-Parameter können auf jede gewünschte Weise gesetzt oder ausgegeben werden, etwa durch eine Bedienerdisplaytaste oder einen Bediener- oder Wartungsbildschirm, einen physischen Tastenschalter, eine diskrete Eingabe in das Sicherheitsmodul, durch eine Konfigurations-, Steuerungs-, Display- oder Diagnoseanwendung, durch einen anderen Eingangsfunktionsblock (wie noch im einzelnen beschrieben wird) oder auf irgendeine andere Weise. Selbstverständlich kann, wenn der Gebrauch einer Umgehungserlaubnis in einer bestimmten Implementierung des Entscheiderfunktionsblocks 94 nicht benötigt wird, der Standardwert des Bypass_Permit-Parameters so eingestellt werden, dass er bei der Konfiguration des Entscheiderfunktionsblocks 94 aktiviert wird.
  • Ein Umgehungszeitablauf- bzw. Bypass_Timeout-Parameter kann verwendet werden, um die Zeitdauer einzustellen, nach der eine für einen der Blöcke 98 gesetzte Umgehung automatisch abläuft. In diesem Fall kann jeder von den Eingangsumgehungssperrblöcken 98 einen Umgehungszeitgeber als einen von einer Gruppe von Zeitgebern 110 aufweisen, der auf den Bypass_Timeout-Parameterwert eingestellt ist und zu Beginn der Umgehung abwärtsgezählt wird. In dieser Situation können die Eingangsumgehungssperrblöcke 98 die Nutzung des zugeordneten Eingangs sperren, bis entweder der BYPASSx abgeschaltet wird oder der Umgehungszähler Null erreicht. Es versteht sich, dass Umgehungszeitgeber genutzt werden können, um sicherzustellen, dass Umgehungen nach einer vorbestimmten Zeitdauer entfernt werden.
  • Falls gewünscht, können die Eingangsumgehungssperrblöcke 98 auch so konfiguriert werden, dass sie einem Benutzer wie etwa einem Bediener, Sicherheitsingenieur, Techniker usw. einen Erinnerungsalarm liefern, um den Benutzer daran zu erinnern oder ihm mitzuteilen, dass ein Umgehungszeitablauf unmittelbar bevorsteht. Wenn Umgehungen so konfiguriert sind, daß sie bei Umgehungszeitablauf verschwinden oder deaktiviert werden, kann eine Mitteilung an einen Benutzer oder sonstigen Bediener vor dem Zeitablauf gesendet werden, indem ein Erinnerungszeit- bzw. REMINDER_TIME-Parameter auf irgendeinen von Null verschiedenen Wert gesetzt wird. Wenn in diesem Fall der Umgehungszeitgeber nicht Null, aber kleiner als der Erinnerungszeitparameter ist und irgendein umgangener Eingang die Auslösung entscheidet, kann der Erinnerungsalarm aktiviert werden, um dem Benutzer eine Warnung zu liefern, die anzeigt, dass eine Abschaltung bei Ablauf des Umgehungszeitgebers, der unmittelbar bevorsteht, erfolgen kann. Wenn es keine umgangenen Eingänge gibt, die die Auslösung entschieden haben, braucht der Alarm nicht aktiviert zu werden, er kann jedoch trotzdem aktiviert sein. Es versteht sich aber, dass auch dann, wenn der Umgehungszeitablaufalarm aktiv ist, eine Auslösung nicht notwendigerweise unmittelbar bevorsteht, weil eventuell nicht genügend andere die Auslösung entscheidende Eingänge vorhanden sind, um den Auslöseentscheiderlogikblock 100a zu veranlassen, ein Auslösesignal zu erzeugen.
  • Bei einer Ausführungsform kann der Umgehungszeitgeber nur dann erneut aktiviert werden, wenn die Zeitdauer für die erste Umgehung abgelaufen ist. Der Umgehungszeitgeber kann aber ein schreibfähiger Parameter sein, so dass nach der Mitteilung, dass gleich ein Zeitablauf erfolgen wird, der Umgehungszeitgeber unter Verwendung einer Bedienerdisplaytaste (oder einer anderen geeigneten Technik) inkrementiert werden kann, um die Umgehungszeit zu verlängern. Ein solches Merkmal ermöglicht es einem Benutzer, die Umgehungszeit zu verlängern, wenn beispielsweise ein Wartungsprozess an dem Feldgerät noch läuft, das dem Entscheiderfunktionsblock 94 die umgangene Eingabe liefert. Alternativ kann die Mitteilung des Umgehungszeitablaufs auch nur für Anzeigezwecke erfolgen, wenn beispielsweise eine Umgehung nicht deaktiviert werden soll, wenn der Umgehungszeitgeber abläuft. In diesem Fall kann der Erinnerungsalarm so eingestellt sein, dass er aktiv ist, wenn der Umgehungszeitgeber abläuft, auch wenn der Erinnerungszeitparameter auf Null gesetzt ist. Wenn jedoch der Erinnerungszeitparameter nicht Null ist, tritt die Erinnerung dennoch vor dem Zeitablauf auf (wenn der Eingang für die Auslösung stimmt). Die Erinnerungsalarme und Umgehungsalarme können quittierte oder nichtquittierte Alarme sein.
  • Die von den Entscheiderlogikblöcken 100a und 100b ausgeführte Entscheidungslogik kann eine „M-aus-N“-Logikfunktion sein. Gemäß dieser Funktionalität müssen M Eingänge aus der Gesamtmenge von N Eingängen für die Auslösung stimmen. Beispielsweise kann der Entscheiderfunktionsblock 94 als ein Zwei-aus-Drei- bzw. 2oo3-Entscheider konfiguriert sein, was bedeutet, dass zwei der drei Eingänge das Auslöselimit erfüllen müssen, bevor der Ausgang des Entscheiderlogikblocks 100a auf den Auslösezustandswert gesetzt wird, und zwei von drei der Eingänge müssen das Vorauslöselimit erfüllen, bevor der Vorauslöseentscheider-Logikblock 100b auf einen Vorauslösealarmwert gesetzt wird. Der N-Wert in der „M-aus-N“-Funktion wird aus der Anzahl von nichtgesperrten Eingängen bestimmt, wogegen der M-Wert auf der Basis eines internen Parameters des Blocks bestimmt wird, der als Anzahl-zum-Auslösen bzw. NUM-TO-TRIP bezeichnet ist und dessen Standardwert auf jeden gewünschten Wert gesetzt sein kann, der bei der Konfiguration gleich oder kleiner als N ist. Übliche Entscheidungsschemata können beispielsweise Zwei-aus-Drei (2oo3), Ein-aus-Zwei (1002), Zwei-aus-Zwei (2oo2) usw. umfassen. Es kann jedoch jede andere Entscheidungslogik verwendet werden. Wegen der übrigen Merkmale des Blocks 94 kann der Entscheiderfunktionsblock 94 auch für einzelne Geberanwendungen wie etwa in einer Situation einer Ein-aus-Ein- bzw. 1001-Entscheiderfunktionslogik verwendet werden.
  • Allgemein gesagt, benötigen 1002- oder 1001-Entscheidungsmuster eine Wartungsumgehungsfunktion, weil die Deaktivierung auch nur eines der Geber auf eine Weise, die am Eingang des Entscheiderfunktionsblocks 94 einen detektierten Auslösezustand für diesen Geber während Wartungsaktivitäten verursacht, notwendigerweise darin resultiert, dass der Entscheiderlogikblock 100a einen Auslösezustand setzt. Entscheiderfunktionsblöcke, die so konfiguriert sind, dass sie eine Vielzahl von Auslöseentscheidungen erfordern, können jedoch immer noch Vorteil aus einer Umgehungsfunktion für ein besser vorhersagbares Verhalten während Wartungsprozessen ziehen.
  • Das Umgehen eines der Eingänge IN1, IN2 oder IN3 kann die Entscheiderlogikblöcke 100a und 100b auf eine von zwei Weisen beeinflussen. Es kann entweder bewirken, dass die Anzahl von Eingängen, die zum Bestimmen eines Auslösezustands (oder eines Vorauslösealarmzustands) notwendig sind, um eins verringert wird, oder es kann bewirken, dass diese Anzahl von Eingängen gleich bleibt. Wenn beispielsweise der Entscheiderlogikblock 100a als ein 2oo3-Entscheiderlogikblock konfiguriert ist und einer der Eingänge IN1, IN2 oder IN3 umgangen wird, kann das Entscheidungsschema ein 1002-Entscheidungsschema werden, was bedeutet, dass die notwendige Anzahl von Eingängen für eine Auslöseentscheidung um eins verringert wird (zusammen mit der Anzahl von möglichen Eingängen). Optional kann das 2oo3-Entscheidungsschema zu einem 2oo2-Entscheidungsschema geändert werden, wenn ein ausgewählter Eingang umgangen wird, was bedeutet, dass die Anzahl von Eingängen, die erforderlich sind, um für eine Auslösung zu stimmen, gleich bleibt (auch wenn die Anzahl möglicher Eingänge um eins verringert wird). Es kann ein Umgehungsoptionen-Parameter verwendet werden, um anzugeben, ob die tatsächlich erforderliche Auslöseanzahl um eins verringert wird oder nicht, wenn ein Eingang umgangen wird. 3 zeigt die Auswirkung dieser Option auf mehrere verschiedene Entscheidungsschemata. Die erste Spalte von 3 bezeichnet das konfigurierte Entscheidungslogikschema ohne gesperrte Eingänge, die zweite Spalte von 3 bezeichnet die Entscheidungslogik, wenn ein einziger Eingang gesperrt ist, wobei die ursprünglich konfigurierte Anzahl genutzt wird, um M auszulösen, und die dritte Spalte von 3 bezeichnet die Entscheidungslogik, wenn ein einziger Eingang gesperrt ist und die Auslöseanzahl M um eins verringert ist. Selbstverständlich könnten zusätzliche Sperrungen von Eingängen ähnliche Änderungen der Werte bewirken, die in der zweiten und dritten Spalte von 3 angegeben sind. Auf jeden Fall wird der Entscheiderlogikblock 100a (und der Vorauslöseentscheiderlogikblock 100b) im allgemeinen die tatsächliche Anzahl von Eingängen, die für eine Auslösung erforderlich sind, nicht auf weniger als eins verringern und sperrt die Auslösung, wenn die möglichen Eingänge für die Auslöseentscheidung auf Null verringert sind, etwa in einem 1001-Entscheidungss chema.
  • Das Standardverhalten der Eingangsumgehungssperrblöcke 98 kann so konfiguriert sein, dass jeweils nur die Umgehung eines Eingangs zur Zeit zugelassen wird. Diese Funktionalität kann von einem Schreibprüf-Feature erzwungen werden, das die Umgehung eines zweiten Eingangs verhindert. Optional kann gleichzeitig eine Vielzahl von Eingängen umgangen werden. Falls gewünscht, kann der BYPASSx-Parameter eine zusätzliche Schreibprüfung haben, die verlangt, daß der Umgehungserlaubnis- bzw. BYPASS-PERMIT-Parameter wahr oder gesetzt ist, bevor der BYPASSx-Parameter gesetzt werden kann.
  • Es kann ein Auslöseverzögerungs-Aktivzeit- bzw. TRIP-DELAY-ON-Parameter angewandt werden, und zwar nach Durchführung der Entscheidung an dem Auslöseentscheiderlogikblock 100a, entsprechend dem gewählten M-aus-N-Entscheidungsschema, und so dass der entschiedene Auslösezustand während eines konfigurierbaren Zeitraums (dessen Standardwert auf null Sekunden gesetzt werden kann) aktiv sein muß, bevor sich das OUT-Signal in den Ausgelöst-Zustand-Wert ändert. Auf ähnliche Weise kann ein Auslöseverzögerungs-Inaktivzeit- bzw. TRIP-DELAY-OFF-Parameter (dessen Standardwert auf null Sekunden gesetzt werden kann) angewandt werden, um die Zeit zu verzögern, zu der das OUT-Signal in den Normalzustandswert zurückgebracht wird, wenn der Auslöseentscheidungszustand aufgehoben ist, d. h. wenn der Auslöseentscheiderlogikblock 100a auf der Basis der ihm zugeführten Eingänge bestimmt, dass ein Auslösezustand nicht existiert. Selbstverständlich können die Auslöseverzögerungs-Aktivzeit-Parameter und der Auslöseverzögerungs-Inaktivzeit-Parameter verschiedene Werte und jeden gewünschten Wert haben und können bei einem oder beiden von dem Out-Signal, das von dem Auslöseentscheiderlogikblock 100a erzeugt wird, und dem Vor-Aus-Alarmsignal, das von dem Vorauslöseentscheiderlogikblock 100b erzeugt wird, angewandt werden. Falls gewünscht, können die Auslöseverzögerungs-Aktivzeitdauer und die Auslöseverzögerungs-Inaktivzeitdauer unabhängig für den Auslöseentscheiderlogikblock 100a und den Vorauslöseentscheiderlogikblock 100b konfigurierbar sein und können von einem der Zeitgeber 110 verfolgt werden.
  • Wie oben gesagt, ermöglicht der Sperrblock 102 eine Hochfahr- oder andere Operations-Übergehungsfunktionalität. Falls gewünscht, kann diese Übergehungsfunktionalität von einem anderen Funktionsblock wie etwa einem Eingabefunktionsblock eingeleitet werden (was noch im einzelnen beschrieben wird). Es kann beispielsweise notwendig sein, den Ausgang des Entscheiderfunktionsblocks 94 zu übergehen, um zu erzwingen, dass das Out-Signal für einen kurzen Zeitraum während des Hochfahrens oder anderer vorübergehender Betriebssituationen einschließlich einiger Feldgerät-Prüfsituationen im Normalzustand ist. Diese Sperr- oder Übergehungsfunktionalität kann beispielsweise genutzt werden, um eine von dem Entscheiderfunktionsblock 94 erzeugte anhaltende Auslöseforderung zu inaktivieren, weil der Prozess oder ein relevanter Anteil davon in einem Abschaltzustand ist, ein Feldgerät in einem Wartungszustand ist usw., so dass dadurch der Hochfahrablauf des Prozesses bis zu dem Punkt ablaufen kann, an dem die Prozesswerte, die an den Eingängen des Entscheiderfunktionsblocks 94 vorliegen, nicht länger auf Werten sind, die anzeigen, dass eine Auslösung eingeleitet werden sollte oder dass an einem oder mehreren Feldgeräten ein vollständiger und kompletter Wartungsprozess durchgeführt werden sollte.
  • Bei einem Beispiel kann der Sperrblock 102 solches Standardverhalten aufweisen, dass bei Empfang einer Anzeige eines Hochfahrens, was durch Setzen eines Hochfahrparameters gezeigt werden kann, der Sperrblock 102 das Out-Signal und, falls gewünscht, das Pre_Out-Signal für eine konfigurationsfähige Zeitdauer, die durch einen Hochfahrverzögerungs- bzw. STARTUP-DELAY-Parameter definiert ist, in den Normalzustandswert zwingt. Der Sperrblock 102 kann einen Hochfahr-Countdownzähler als einen der Zähler 110 aufweisen, der auf den von dem Hochfahr-Verzögerungs-Parameter bezeichneten Wert eingestellt ist und der bei Empfang der Hochfahranzeige über den Hochfahr-Parameter runter zu zählen beginnt. Wenn der Countdownzähler abläuft, nehmen der Auslöseentscheiderlogikblock 100a und der Vorauslöseentscheiderlogikblock 100b die normale Auslösedetektierung wieder auf. Der Sperrblock 102 kann so konfiguriert sein, dass ein anschließendes Setzen des Hochfahrparameters die Hochfahrzeit nicht beeinflußt, während der Hochfahrzähler abläuft. Optional ist es möglich, zuzulassen, dass jedes neue Setzen des Hochfahrparameters den Hochfahrzähler neu setzt, so dass eine bevorstehende Auslösung bei Zeitablauf vermieden werden kann.
  • Ähnlich wie die Eingangsumgehungssperrblöcke 98 kann der Sperrblock 102 eine Erinnerungsfunktion haben, die beispielsweise durch Setzen eines Umgehungsparameters aktiviert wird. Diese Erinnerungsfunktionalität ist für Hochfahrumgehungen im wesentlichen auf die gleiche Weise wirksam wie für Eingangsumgehungen (Wartungsumgehungen). Wenn also der Hochfahrzeitgeber größer als null, aber kleiner als ein konfigurierbarer Erinnerungszeit-Parameter bzw. REMINDER-TIME-Parameter ist (der bei der Konfiguration vorgegeben werden kann) und ausreichend Entscheidungen zum Auslösen vorliegen, wird ein Erinnerungsalarmzustand aktiv, der anzeigt, dass der Ablauf der Umgehung unmittelbar bevorsteht, was in einem Abschalten auf der Basis der Werte der Eingänge IN1, IN2 und IN3 resultieren wird.
  • Falls gewünscht, kann der Hochfahrzeitgeber zusätzlich oder alternativ automatisch ablaufen, wenn sich die Eingänge stabilisiert haben, d. h. wenn über einen konfigurierbaren Zeitraum nicht ausreichend Auslöseentscheidungen vorhanden waren. Diese stabile Zeit kann von einem stabilen Zeitgeber verfolgt werden, der einer der Zeitgeber 110 sein kann und detektieren kann, wenn der Ausgang des Entscheiderlogikblocks 100a beispielsweise bei einem Nichtauslöse- oder Normalwert für die bezeichnete Zeitdauer stabil ist. In diesem Fall kann der stabile Zeitgeber, während der Hochfahrzeitgeber rückwärts zählt, immer dann vorwärts zählen, wenn nicht genügend Auslöseentscheidungen vorliegen, und kann immer dann rückgesetzt werden, wenn die Auslöseentscheidungen die zum Auslösen erforderliche Anzahl erreichen oder überschreiten. Wenn der stabile Zeitgeber den konfigurierten stabilen Zeitwert erreicht, wird der Hochfahrzeitgeber auf null rückgesetzt, und die normale Auslösedetektierfunktionalität wird wieder aufgenommen. Selbstverständlich setzt sich der stabile Zeitgeber am Ende der Hochfahrperiode nicht zurück, sondern wird zu Beginn eines Hochfahrens und jederzeit während der Hochfahrsperrperiode, wenn ausreichend Auslöseentscheidungen vorliegen, rückgesetzt.
  • Alternativ braucht die Hochfahrumgehungszeit nicht auf einem festgelegten Zeitraum oder auf Werten der Eingänge IN1, IN2 und IN3 zu dem Entscheiderfunktionsblock 94 zu basieren, sondern kann statt dessen auf dem Auftreten oder Nichtauftreten eines Ereignisses basieren. In diesem Fall endet die Hochfahrumgehung, wenn ein Hochfahr-Rücksetzparameter gesetzt ist oder gesetzt wird oder wahr wird, was beim Detektieren des Ereignisses stattfinden kann. Auf diese Weise kann die Hochfahrumgehung mit dem Vorliegen oder Nichtvorliegen eines Ereignisses unbestimmter Zeitdauer verknüpft sein.
  • Falls gewünscht, kann der Status der Eingänge IN1, IN2 und/oder IN3 genutzt werden, um das Verhalten des Entscheiderfunktionsblocks 94 zu beeinflussen, und dieses Statusverhalten kann unter Anwendung eines Statusoptions-Parameters eingestellt werden. Es versteht sich, dass in vielen Systemen wie etwa in HART- und Fieldbus-Systemen Geber oder andere Feldgeräte ein Statussignal zusammen mit einem Prozessvariablensignal oder einem Prozesswert senden, wobei das Statussignal den Status des Gebers selbst bezeichnet. Diese Statussignale können bedeuten, dass der Geber in einem normalen oder guten Zustand ist oder in einem abnormalen Zustand wie etwa einem schlechten oder anderen unerwünschten Zustand ist, was dazu führen kann, dass der Wert der von dem Geber übermittelten Prozessvariablen von zweifelhafter Natur ist. Somit kann der Status der Eingangssignale, die den IN1-, IN2- und IN3-Eingängen des Entscheiderfunktionsblocks 94 zugeführt werden, bestimmt und dazu genutzt werden, das Entscheidungsschema oder die Art und Weise zu beeinflussen, wie die Eingänge in dem Entscheidungsschema genutzt werden.
  • Falls gewünscht, können die Entscheidungsschemata, die von den Blöcken 100 genutzt werden, so vorgegeben sein, dass ein fehlerhafter Geber (d. h. ein Eingang mit schlechten Status) nicht automatisch eine Auslösung einleitet, wenn andere Geber verfügbar sind, die einen gültigen Wert der gerade gemessenen Prozessvariablen bezeichnen. Bei Betrachtung des Status der Eingangssignale besteht eine Option darin, immer den Wert des Eingangs IN1, IN2 oder IN3 ungeachtet des Status des Eingangs zu verwenden. Auf diese Weise führt ein Hardwarefehler nicht unbedingt zu einer Abschaltung, und es steht Zeit zur Verfügung, um eine Reparatur auszuführen. Eine andere Option ist, einen schlechten Status an einem Eingang so zu behandeln, als ob der Eingang umgangen würde, wodurch verhindert wird, dass der Eingang die Auslösung entscheidet, und zwar auf die gleiche Weise, wie das oben in bezug auf die Eingangsumgehungssperrblöcke 98 beschrieben wird. Eine dritte Option besteht darin, den Eingang automatisch als Entscheidung zum Auslösen zu betrachten, wenn der Status des Eingangs schlecht ist. Dies kann als die Standardoption konfiguriert werden, die die höchste Sicherheitsstufe für looX-Entscheidungsschemata bietet. 4 zeigt die Art und Weise, in der mehrere übliche Entscheidungsschemata verschlechtert werden, wenn ein einziger Eingang einen schlechten Status hat, und zwar für jede der oben beschriebenen Optionen. Wie beispielsweise in der ersten Reihe und der ersten Spalte von 4 gezeigt ist, verschlechtert sich ein 2oo3-Entscheidungsschema effektiv entweder zu einem 2oo3-Entscheidungsschema (wenn der Wert des Signals von dem schlechten Geber ein Nichtauslösewert ist) oder zu einem 1002-Entscheidungsschema (wenn der Wert des Signals von dem schlechten Geber ein Auslösewert ist), wenn der Wert des Eingangs immer genutzt wird. Wie dagegen in der ersten Reihe und zweiten Spalte von 4 zu sehen ist, verschlechtert sich das 2oo3-Entscheidungsschema zu einem 2oo2-Entscheidungsschema, wenn der Wert des schlechten Gebers überhaupt nicht genutzt wird (oder kann sich zu einem 1002-Schema in Abhängigkeit davon verschlechtern, ob das Umgehungs-Merkmal ausgewählt ist). Wie in der ersten Reihe und dritten Spalte von 4 zu sehen ist, verschlechtert sich das 2oo3-Entscheidungsschema gleichermaßen effektiv zu einem 1002-Entscheidungsschema, wenn der Wert des schlechten Gebers als eine Auslöseentscheidung behandelt wird, wobei es keine Rolle spielt, was der tatsächliche Wert dieses Signals bedeutet.
  • Selbstverständlich kann die Nutzung des Status der Eingänge zu dem Entscheiderfunktionsblock 94 in jedem von dem Auslöseentscheiderlogikblock 100a und dem Vorauslöseentscheiderlogikblock 100b auf die gleiche Weise oder davon verschieden behandelt werden. Falls gewünscht, kann der Status des Out-Signals und des Pre_Out-Signals als gut gesetzt werden, es sei denn, alle nicht umgangenen Eingänge haben einen schlechten Status, und in diesem Fall kann der Status des Out- und des Pre_Out-Signals als schlecht gesetzt werden. Falls gewünscht, kann dann, wenn irgendein nichtumgangener Eingang einen schlechten Status hat, ein Alarmzustand-Parameter, der einen schlechten Eingang bezeichnet, von dem Entscheiderfunktionsblock 94 gesetzt werden.
  • Wie aus der vorstehenden Diskussion ersichtlich ist, kann der Entscheiderfunktionsblock somit eine Umgehungs- und Übergehungs-Funktionalität enthalten. In der Vergangenheit wurde diese Funktionalität jedoch entweder durch den Modus oder den Status der Eingänge zu dem Entscheiderfunktionsblock oder durch ein manuelles Signal eingeleitet, das von einem Bediener wie etwa von einer der Bedienerdisplayeinrichtung 16 gesendet wurde und diese Funktionalität einleitete. Die Eingangsfunktionsblöcke selber können jedoch so konfiguriert werden, dass sie detektieren, wenn ein Feldgerät in eine Konfiguration oder einen Modus gebracht ist, der dem Normalbetrieb des Feldgeräts nicht zugeordnet ist, wie etwa einen Prüf- oder Kalibriermodus. Beispielsweise können HART-Einrichtungen in einen Feststrommodus gebracht werden, um den Eingang zu dem Logikauflöser und die zugeordnete Feldverdrahtung zu prüfen oder eine Kalibrierung auszuführen, und können dadurch HART-Kommunikationen nutzen, um anzuzeigen, dass das Feldgerät in einem Feststrommodus ist. Der Logikauflöser, der einen der Eingangsfunktionsblöcke verwendet, kann diesen Feststrommodus detektieren und die Umgehungs- oder Übergehungs-Funktionalität innerhalb des Logikauflösers automatisch einleiten (etwa die Umgehungs- oder Übergehungs-Funktionalität des Entscheiderfunktionsblocks, wie oben beschrieben wurde), um die zugeordneten Eingänge von dem Feldgerät beispielsweise als umgangen zu behandeln. Ebenso können die Eingangsfunktionsblöcke die Rückkehr des Feldgeräts aus dem Feststrommodus in den Normalbetriebsmodus detektieren und können Logik aufweisen, welche die Umgehung oder Übergehung aufhebt, um dadurch automatisch sicherzustellen, dass der Feldgeräteingang in der Sicherheitslogik genutzt wird, um Ereignisse innerhalb der Prozessanlage zu detektieren. Selbstverständlich kann andere Aufhebungslogik, wie etwa die oben beschriebenen Zeitablauf-Merkmale, verwendet werden, um die Umgehungs- oder Übergehungs-Merkmale zu entfernen, die von den Eingangsfunktionsblöcken automatisch detektiert werden.
  • 5 zeigt einen Eingangsfunktionsblock 120, der in diesem Fall ein AI-Funktionsblock ist und Logik enthält, die automatisch den Konfigurationszustand eines zugeordneten Feldgeräts detektiert und diesen detektierten Zustand verwendet, um eine geeignete Umgehungs- oder Übergehungs-Funktionalität innerhalb des Logikauflösers zu erzeugen oder einzuleiten. Wie 5 zeigt, ist der Funktionsblock 120 kommunikativ mit einem Feldgerät 125, einem Entscheiderlogikblock 127 und einer anderen Sicherheitssystemlogik 129 verbunden. Der Eingangsfunktionsblock 120 kann einen Standard-Kommunikationsstapel 130 haben, der mit dem Feldgerät 125 unter Anwendung jedes gewünschten Kommunikationsprotokolls in Verbindung ist, beispielsweise eines Standard-Kommunikationsprotokolls wie dem HART- oder dem Fieldbus-Kommunikationsprotokoll. Selbstverständlich weist der Kommunikationsstapel Software zur Kommunikation mit dem Feldgerät 125 auf, um von dem Feldgerät 125 Standard-Kommunikationen (oder, falls gewünscht, Nicht-Standard-Kommunikationen) zu empfangen und Meldungen an das Feldgerät 125 zu liefern, wenn dies gewünscht wird.
  • Ein Gerätkonfigurationsdetektierblock 132 ist mit dem Kommunikationsstapel 130 verbunden, um Meldungen von dem Feldgerät 125 zu empfangen und zu decodieren, um den Konfigurationsstatus des Feldgeräts 125 zu bestimmen. In 5 nicht gezeigt, aber in dem Eingangsfunktionsblock 120 enthalten ist Standardsoftware zur Kommunikation mit dem Feldgerät, um Signale von dem Feldgerät 125 zu empfangen, diese Signale zu decodieren und zu interpretieren, um das IN1-Signal an einem Ausgang des Funktionsblocks 120 zu erzeugen. Das INI-Signal kann beispielsweise dem Entscheiderfunktionsblock 127 oder jedem anderen gewünschten Block innerhalb der Sicherheitssystemlogik zugeführt werden.
  • Der Eingangsfunktionsblock 120 kann ferner einen Gerätkonfigurationsdetektierblock 132 aufweisen, der beispielsweise Signale (z. B. Meldungen) von dem Feldgerät 125 empfangen und detektieren kann, die anzeigen, dass das Feldgerät 125 in einen Feststrommodus (was bedeutet, dass das Feldgerät 125 extern beispielsweise von einer Hand-held-Konfigurationseinrichtung 85 von 1 in einen Prüfmodus gebracht worden ist) oder einen anderen nicht-normalen Betriebskonfigurationsmodus gebracht worden ist. Falls erforderlich, kann der Gerätkonfigurationsdetektierblock 132 entweder periodisch oder in Abhängigkeit von einer detektierten Änderung des Zustands des Feldgeräts ein Signal an das Feldgerät 125 senden und in bezug auf den Konfigurationsstatus des Feldgeräts 125 anfragen, um dadurch das Feldgerät 125 zu veranlassen, mit einem Signal zu antworten, das den Konfigurationszustand des Feldgeräts 125 bezeichnet.
  • Bei Detektierung einer Änderung der Konfigurationsbedingung oder des -zustands des Feldgeräts 125 von einem normalen Betriebskonfigurationszustand in einen nicht-normalen Betriebskonfigurationszustand sendet der Gerätkonfigurationsdetektierblock 132 ein Signal an einen Umgehungs-/Übergehungs-Logikblock 134, der jede gewünschte oder geeignete Logik verwendet, um eine Umgehung oder eine Übergehung (die dem Feldgerät 125 zugeordnet ist) einzuleiten und an den Entscheiderfunktionsblock 127 ein solches Umgehungs- oder Übergehungssignal zu übergeben. Bei Detektierung, dass das Feldgerät 125 in einen Prüfmodus gebracht worden ist, indem es beispielsweise in einen Feststrommodus gebracht wird, kann beispielsweise die Übergehungs-/Umgehungs-Logik 134 automatisch eine Umgehung oder eine Übergehung zum Gebrauch in dem Entscheiderfunktionsblock 127 erzeugen, um den Entscheiderfunktionsblock 127 daran zu hindern, das Ausgangssignal des Feldgeräts 125 bei der Detektierung eines Ereignisses innerhalb der Prozessanlage zu nutzen. Auf ähnliche Weise kann bei Detektierung, dass das Feldgerät 125 aus einem Prüf- oder Kalibriermodus (z. B. einem nicht normalen Betriebskonfigurationszustand) in einen Normalbetriebsmodus gebracht worden ist, die Übergehungs-/Umgehungslogik 134 automatisch eine Umgehung oder eine Übergehung aufheben, die vorher an den Entscheiderfunktionsblock 127 gesendet wurde, um dadurch zu bewirken, dass der Entscheiderfunktionsblock 127 das Ausgangssignal von dem Feldgerät 125 (d. h. das INI-Signal) erneut nutzt, um Ereignisse innerhalb der Prozessanlage zu detektieren.
  • Auf diese Weise weist der Eingangsfunktionsblock 120 Logik auf, die automatisch die Anwendung von Umgehungen und Übergehungen bei Änderungen der Feldgerätkonfiguration koordiniert, auch wenn Änderungen der Feldgerätkonfiguration durch eine externe Einrichtung vorgenommen werden, und zwar ohne sonstige Koordination mit der Sicherheitssystemlogik. Als Ergebnis dieser Koordination umgeht oder übergeht das Sicherheitssystem automatisch Eingänge von einem Feldgerät, wenn dieses Feldgerät in einen Prüf-, Kalibrier- oder anderen nicht-normalen Betriebszustand von einem Benutzer oder einer Quelle gebracht worden ist. Umgekehrt entfernt das Sicherheitssystem automatisch die Über- oder Umgehung, wenn ein Feldgerät aus einem Prüf-, Kalibrier- oder anderen nicht-normalen Betriebszustand in den Normalbetriebszustand gebracht wird, wodurch der Zustand des Feldgeräts mit Über- und Umgehungen, die in dem Sicherheitssystem verwendet werden, koordiniert wird.
  • Es wird zwar beschrieben, dass die Übergehungs-/Umgehungs-Logik 134 Über- oder Umgehungen aufhebt, wenn detektiert wird, dass das Feldgerät in einen Normalbetriebszustand zurückgebracht ist, aber die Übergehungs-/Umgehungs-Logik 134 könnte statt dessen oder zusätzlich die automatische Aufhebung der Übergehungen oder Umgehungen auf der Basis von Zeitgebern verwenden, wie sie oben in bezug auf den Entscheiderfunktionsblock 94 von 2 beschrieben werden. Somit könnte die Übergehungs-/Umgehungs-Logik 134 eine Logik aufweisen, die dann, wenn ein Zeitgeber nach der Einleitung einer Umgehung oder einer Übergehung abläuft, automatisch diese Umgehung oder Übergehung aufhebt, einen Benutzer über die abgelaufene oder bald ablaufende Zeit informiert oder eine der anderen Aktionen ausführt, die oben in bezug auf die Aufhebung von Übergehungen oder Umgehungen innerhalb des Entscheiderfunktionsblocks 94 beschrieben werden.
  • Außerdem kann das Sicherheitssystem die Prüfung eines Feldgeräts dadurch koordinieren, dass es imstande ist, das Feldgerät 125 aus dem Normalbetriebszustand in einen Prüf-, Kalibrier- oder sonstigen nicht-normalen Betriebszustand ohne manuelle Unterstützung durch einen Benutzer oder Bediener zu bringen, auch wenn sich das Feldgerät 125 in einem Schreibschutzzustand befindet. Insbesondere kann der Eingangsfunktionsblock 120 einen Gerätkonfigurationssteuerblock 140 aufweisen, der auf ein Set von Befehlen 142 Zugriff hat, die an das Feldgerät 125 gesendet werden können, um die Konfigurationseinstellung des Feldgeräts 125 auch dann zu ändern, wenn sich das Feldgerät 125 in einem schreibgeschützten Zustand befindet. Falls gewünscht, kann der Gerätkonfigurationssteuerblock 140 auf Signale reagieren, die von weiterer Logik innerhalb des Logikauflösers, d. h. der SIS-Logik 129, kommen, um eine Änderung in der Feldgerätkonfiguration einzuleiten und dadurch die Logik 129 zu aktivieren, so dass sie das Feldgerät durch einen Prüfprozess, einen Kalibrierprozess usw. als Teil der Sicherheitssystemlogik bringt.
  • Die Befehle 142 können eine Untermenge von Befehlen sein, die speziell konfiguriert sind, um das Feldgerät 125 zu veranlassen, eine Konfigurationsänderung etwa von einem Normalbetriebszustand in einen Feststromprüfmodus usw. vorzunehmen, auch wenn das Feldgerät 125 schreibgeschützt ist. Eine solche Menge von Befehlen müßte allgemein der Menge von Befehlen hinzugefügt werden, die von dem Feldgerät 125 erkannt werden, und daher müßte das Feldgerät 125 so programmiert werden, dass diese Konfigurationsänderungen auf der Basis des Empfangs von einem oder mehreren gültigen Signalen von dem Gerätkonfigurationssteuerblock 140 innerhalb beispielsweise des Sicherheitslogiksystems aktiviert werden. Eine solche Menge von Befehlen kann den Befehl 35 des HART-Protokolls beinhalten, der ein „write range values“-Befehl (=Schreibe-Bereichswerte-Befehl) ist, der verwendet werden kann, um ein HART-Gerät zu rekonfigurieren. Selbstverständlich könnten ebenso andere Schreibbefehle aus dem HART-Protokoll oder anderen Protokollen verwendet werden.
  • Bei dem in 5 gezeigten Beispiel weist das Feldgerät 125 einen typischen Kommunikationsstapel 150 auf, der die Kommunikation zu und von dem Feldgerät 125 unter Verwendung jedes gewünschten oder bekannten Kommunikationsprotokolls erlaubt. Das Feldgerät 125 weist ferner Konfigurationssteuersoftware auf, die den Konfigurationszustand des Feldgeräts 125 steuert. Diese Konfigurationssteuersoftware kann Standard-Konfigurationssteuersoftware sein, wie sie etwa in bekannten Feldgeräten verwendet wird, die einen Schreibschutzparameter 154 verwenden, um festzustellen, ob geforderte Konfigurationsänderungen vorgenommen werden sollen. Die Konfigurationssteuersoftware 152 kann jedoch so programmiert sein, dass sie eine Menge von Befehlen 142 von einer vertrauenswürdigen Quelle wie etwa von einer bekannten Logik- oder Prozesssteuerung erkennt, und Änderungen der Konfiguration des Feldgeräts 125 bei einem gültigen Empfang eines dieser Befehle einleitet, während der Schreibschutzparameter 154 noch in einen geschützten Zustand gesetzt ist. Auf diese Weise kann eine Logiksteuerung oder eine Prozesssteuerung oder eine andere vertrauenswürdige Quelle imstande sein, Änderungen an der Konfiguration des Feldgeräts 125 vorzunehmen, ohne dass der Schreibschutzparameter 154 in einen ungeschützten Zustand geändert werden muß (was auch andere Konfigurationsänderungen durch andere, unbefugte Quellen ermöglichen würde) und ohne dass das Feldgerät durch einen Hochfahrzyklus gezwungen werden muß. Falls gewünscht, können die Befehle 142 einen Befehl aufweisen, um eine Konfigurationsänderung wie etwa von einem Normalbetriebszustand in einen Prüf- oder Kalibrierzustand oder umgekehrt vorzunehmen, und können eine Bezeichnung der Quelle des Befehls, d. h. der Einrichtung, die den Befehl sendet, aufweisen. Das Feldgerät 125 kann ferner so programmiert sein, dass die von einem der Befehle 142 bezeichnete Konfigurationsänderung nur dann eingeleitet wird (ungeachtet der Tatsache, ob das Schreibschutz-Feature des Feldgeräts 125 gesetzt ist), wenn der Befehl 142 von einer bestimmten Quelle (wie etwa einem Funktionsblock) oder einer Einrichtung kommt oder seinen Ursprung dort hat. Auf diese Weise können die Befehle 142 von einer vertrauenswürdigen Quelle gesendet werden, um Konfigurationsänderungen in dem Feldgerät auch dann zu bewirken, wenn sich das Feldgerät 125 in einem Schreibschutzzustand gemäß der Definition durch die Schutzvariable 154 befindet.
  • In jedem Fall kann unter Anwendung der neuen Menge von Befehlen der Logikauflöser Konfigurationsänderungen an dem Feldgerät 125 vornehmen und das Feldgerät 125 veranlassen, in einen Prüf- oder Kalibriermodus einzutreten oder diesen zu verlassen. Diese neuen Befehle können einen Schreibprüfmechanismus enthalten gemäß der Forderung nach IEC 61511, veranlassen aber das Feldgerät, in einen Feststrommodus oder einen Kalibriermodus zu gehen, und können gesendet und eingeleitet werden, wenn das Feldgerät 125 noch so konfiguriert ist, dass es schreibgeschützt ist. Die neuen Befehle brauchen aber nicht von dem Schreibschutzmechanismus 154 des Feldgeräts 125 geschützt zu werden, weil sie von einer bekannten und vertrauenswürdigen Quelle, d. h. dem Sicherheitslogiksystem, eingeleitet werden. Als Ergebnis dieser Befehle kann das Sicherheitslogiksystem die erforderlichen Wartungsfunktionen für das Feldgerät 125 auf sichere Weise koordinieren, ohne das Feldgerät 125 anderen, unerwünschten Konfigurationsänderungen auszusetzen.
  • Falls gewünscht, können als Teil dieses Prozesses sowohl der Gerätkonfigurationssteuerblock 140 des Eingangsfunktionsblocks 120 und/oder das Feldgerät 125 Logs bzw. Aufzeichnungseinheiten 160 und 162 aufweisen, die die Meldungen und Konfigurationsänderungen, die von dem Gerätkonfigurationssteuerblock 140 durchgeführt werden, und die Reaktionen auf diese Meldungen, die von dem Feldgerät 125 abgegeben werden, speichern oder protokollieren. Selbstverständlich können diese Logs auf jede übliche, bekannte oder gewünschte Weise konfiguriert sein. Auf diese Weise können das Sicherheitssystem und das Feldgerät 125 eine Aufzeichnung der Befehle und Antworten speichern, die zwischen dem Feldgerät 125 und dem Logikauflöser des Sicherheitssystems gesendet werden, um ein vollständiges Protokoll von Aktionen zu erhalten, die an dem Feldgerät 125 vorgenommen werden, auch wenn das Feldgerät 125 im übrigen schreibgeschützt ist.
  • Falls gewünscht und wie oben erwähnt, kann die Untermenge von Befehlen 142 nur von dem Logikauflöser wie etwa von dem Gerätkonfigurationssteuerblock 140 von 5 eingeleitet werden, um sicherzustellen, dass nur eine vertrauenswürdige Quelle, z. B. der Logikauflöser innerhalb des Sicherheitssystems 14, imstande ist, diese Befehle zu nutzen, um Konfigurationsänderungen vorzunehmen, auch wenn das Feldgerät 125 von anderen Quellen wie etwa der Hand-held-Konfigurationseinrichtung 85 von 1 manipuliert werden kann, nachdem es in einen Prüf-, Kalibrier- oder anderen nicht-normalen Operationsmodus gebracht ist. Ferner kann, falls gewünscht, das Feldgerät 125 so eingerichtet sein, dass es nur von dem Logikauflöser konfiguriert werden kann oder nur von diesem eine Änderung vorgenommen werden kann, um dadurch sicherzustellen, dass alle Konfigurationsänderungen, die an dem Feldgerät 125 vorgenommen werden, mit der Operation des Sicherheitssystems 14 koordiniert sind.
  • Der Eingangsfunktionsblock für die Koordination zwischen dem Feldgerät und dem Logikauflöser ist zwar im einzelnen als ein AI-Funktionsblock beschrieben worden; aber jede Art von Funktionsblock wie etwa ein AI-, DI-, Entscheider- oder anderer Eingangsfunktionsblock kann so programmiert werden, dass diese Funktionalität erhalten wird. Während also die Gerätkonfigurationssteuerlogik 140 und die Gerätkonfigurationsdetektierlogik 132 so gezeigt und beschrieben sind, dass sie in einem Eingangsfunktionsblock vorgesehen sind, könnte diese Logik statt dessen oder zusätzlich in anderen Funktionsblöcken untergebracht sein, was selbständige Funktionsblöcke umfaßt, die der Logik in dem Logikauflöser zugeordnet sind. Ferner sind die Gerätkonfigurationsdetektier- und -steuerblöcke 132 und 140 hier so beschrieben, dass sie mit dem Logikauflöser verknüpft sind und darin verwendet werden, aber sie könnten in anderen Arten von Steuerblöcken oder -routinen verwendet werden, wie sie etwa bei der Ausführung von traditionellen Prozesssteuerfunktionen implementiert sind wie etwa die Steuerungssoftware in den Steuerungen 24 und 26 von 1 oder in allen anderen Einrichtungen, die Steueraktivitäten ausführen. Ferner wurde der Eingangsfunktionsblock 120 von 5 so beschrieben, dass er einem Entscheiderfunktionsblock 127 in einem Sicherheitslogiksystem Umgehungs- oder Übergehungssignale zuführt, aber der Eingangsfunktionsblock 120 könnte statt dessen oder zusätzlich solche Übergehungs- oder Umgehungssignale an andere Elemente in einem Sicherheitssystem (oder einem Prozesssteuerungssystem) senden, um andere Arten von Umgehungen oder Übergehungen von anderen Funktionalitäten, die diesen Systemen zugeordnet sind, zu bewirken. Die obige Erläuterung von Entscheiderfunktionsblock-Übergehungs- und - Umgehungsmerkmalen soll also nur als Beispiel einer Möglichkeit dienen, wie die automatisch erzeugten Umgehungs- oder Übergehungssignale genutzt werden können, und soll nicht als die einzige Möglichkeit der Anwendung dieser Umgehungs- oder Übergehungssignale angesehen werden.
  • Die hier beschriebene Gerätkonfigurations- und -steuerlogik wird zwar in einem Beispiel unter Verwendung des HART-Kommunikationsprotokolls beschrieben, sie könnte aber mit jedem anderen gewünschten Kommunikations- und Einrichtungsprotokoll verwendet werden, etwa dem Fieldbus-, Profibus-, CAN-Protokoll usw. Außerdem kann diese Logik in dem Foundation Fieldbus-Protokoll oder in jedem anderen System verwendet werden, in dem die Sicherheitsfunktionen vollständig in den Feldgeräten eingesetzt werden oder eventuell eingesetzt werden. Die hier beschriebene Gerätdetektier- und - konfigurationslogik ist zwar so beschrieben, dass sie in einer von dem gesteuerten Feldgerät getrennten Einrichtung vorhanden ist, aber sie kann in dem Feldgerät selbst implementiert sein.
  • 1 zeigt zwar, dass das Sicherheitslogiksystem 14 Entscheiderfunktionsblöcke verwendet, die Eingänge von AI-, DI- oder anderen Eingangsfunktionsblöcken empfangen, aber das Sicherheitslogiksystem 14 kann Eingänge von anderen Arten von Funktionsblöcken verwenden, oder es können Eingänge als andere Arten von Signalen innerhalb der Prozessanlage 10 erzeugt werden. Beispielsweise könnte, wie sich versteht, Rahmenunterstützung auf einer Ebene oberhalb des Kommunikationsstapels in dem Sicherheitssystem vorgesehen werden zum Lesen von Eingangs-/Ausgangswerten und Gerätzustands-/-status-/-modussignalen und zum Betrachten von anderen Befehlen oder Meldungen, die zwischen Einrichtungen gesendet werden, um die Detektierung einer Konfigurationsänderung in einem Gerät zu ermöglichen. Dieses Rahmenwerk könnte auch in anderen Steuersprachen wie etwa Leiterlogik-, Sequenzarbeitsplan-, Zustandsübergang- und kundenspezifischen Funktionsblocksprachen, um nur einige zu nennen, verwendet werden durch Beobachten oder Lesen von Signalen, die Zustandsänderungen bezeichnen, oder von anderen Operationen in diesen Sprachen, die eine Konfigurationsänderung oder eine andere Änderung innerhalb des Systems bedeuten, die zu der Einleitung oder der Aufhebung einer Umgehung oder einer Übergehung innerhalb des Sicherheitssystems führen könnten.
  • Ferner sind die Ausgänge der Entscheiderfunktionsblöcke 92 und 94 von 1 zwar so dargestellt, dass sie mit Ausgangsfunktionsblöcken wie etwa AO-, DO- oder anderen Funktionsblöcken wie etwa einem Ursache-und-Wirkung-Funktionsblock oder einer Steuerroutine verbunden sind, aber diese Ausgänge können mit jeder anderen gewünschten Art von Funktionsblöcken verbunden sein wie etwa Sequenzer-Funktionsblöcken, Staging- bzw. Aufbereitungsfunktionsblöcken usw., die dem Sicherheitslogiksystem 14 zugeordnet sind, oder auch direkt mit anderen Anwendungen oder Programmierungsumgebungen innerhalb der Prozessanlage 10. Ebenso ist die hier beschriebene Logik unter Verwendung eines Funktionsblock-Programmierparadigmas ausgeführt, aber die gleiche Logik kann in anderen Arten von Programmierungsumgebungen vorgesehen sein und dennoch als ein Funktionsblock im hier verwendeten Sinn angesehen werden. Die hier beschriebenen Funktionsblöcke sind zwar zum Gebrauch in einem Sicherheitssystem einer Prozessanlagen- oder Prozesssteuerungsumgebung beschrieben, aber diese oder ähnliche Funktionsblöcke könnten in einer Standard-Prozesssteuerungsumgebung oder für andere gewünschte Verwendungen als in einem Sicherheitssystem verwendet werden.
  • Wenn sie implementiert sind, können alle hier beschriebenen Elemente einschließlich der Eingangsblöcke, Entscheiderblöcke, Sperrblöcke, Entscheiderlogikblöcke, Gerätekonfigurations- und -detektierblöcke, Signalverbindungen usw. in Software implementiert sein, die in jedem computerlesbaren Speicher wie etwa auf einer Magnetplatte, einer Laser- oder Bildplatte oder einem anderen Speichermedium, in einem RAM oder ROM eines Computers oder Prozessors usw. gespeichert ist. Hier beschriebene Signale und Signalleitungen können jede Form haben, was tatsächliche Drähte, Datenregister, Speicherplätze usw. einschließt. Die hier beschriebene Software kann jede Form haben, etwa Anwendungssoftware, die auf einem Universalcomputer oder -prozessor ausgeführt wird, oder hartcodierte Software, die beispielsweise in eine anwendungsspezifische integrierte Schaltung bzw. ASIC gebrannt ist, ein EPROM, EEPROM oder jede andere Firmware-Einrichtung. Ebenso kann diese Software einem Benutzer, einer Prozessanlage, einer Bediener-Workstation, einer Steuerung, einem Logikauflöser oder jeder anderen Recheneinrichtung unter Anwendung jedes bekannten oder gewünschten Lieferverfahrens geliefert werden, beispielsweise auf einer computerlesbaren Platte oder einer anderen transportierbaren Computerspeichereinrichtung oder über einen Übertragungskanal wie etwa eine Telefonleitung, das Internet, das World Wide Web, jedes andere lokale Netz (LAN) oder Weitverkehrsnetz (WAN) usw. (wobei diese Lieferung als gleich oder austauschbar mit der Lieferung dieser Software auf einem transportierbaren Speichermedium angesehen wird). Ferner kann diese Software direkt ohne Modulation oder Verschlüsselung geliefert werden oder moduliert und/oder verschlüsselt werden unter Anwendung jeder geeigneten Modulationsträgerwelle und/oder Verschlüsselungstechnik, bevor sie über einen Kommunikationskanal übermittelt wird.
  • Selbstverständlich können die hier beschriebenen Funktionsblöcke unter Verwendung eines externen Prozesssteuerungs-Kommunikationsprotokolls (neben einem Fieldbus-Protokoll oder einem DeltaV-Protokoll) implementiert und verwendet werden, um mit jeder Art von Funktionsblock zu kommunizieren einschließlich jedes Funktionsblocks, der gleichartig oder gleich wie jeder der verschiedenen Funktionsblöcke ist, die speziell von dem Fieldbus-Protokoll bezeichnet oder unterstützt werden. Außerdem können zwar die Eingangs- und Entscheiderfunktionsblöcke bei einer Ausführungsform der Erfindung als Fieldbus-„Funktionsblöcke“ sein, es ist aber zu beachten, dass der hier verwendete Ausdruck „Funktionsblock“ nicht auf das beschränkt ist, was das Fieldbus-Protokoll als Funktionsblock bezeichnet, sondern statt dessen jede andere Art von Block-, Programm-, Hardware-, Firmware-Entität usw. umfaßt, die irgendeiner Art von Steuerungssystem und/oder Kommunikationsprotokoll zugeordnet ist, das zur Implementierung der Funktionalität einer Prozesssteuerungsroutine-Funktionalität genutzt werden kann oder das einen vordefinierten Aufbau oder ein vordefiniertes Protokoll hat, um anderen derartigen Funktionsblöcken Informationen oder Daten zu liefern. Funktionsblöcke haben also zwar typischerweise die Form von Objekten innerhalb einer objektorientierten Programmierungsumgebung, dies braucht jedoch nicht der Fall zu sein, und es kann sich statt dessen um andere Logikeinheiten handeln, die zur Ausführung von bestimmten Steuerungsfunktionen (einschließlich Eingabe- und Ausgabefunktionen) innerhalb einer Prozessanlage oder -steuerungsumgebung dienen, wobei jede gewünschte Programmierungsstruktur oder jedes Programmierungsparadigma verwendet wird.
  • Die vorliegende Erfindung wird zwar unter Bezugnahme auf bestimmte Ausführungsformen beschrieben, diese sind jedoch nur beispielhaft und sollen die Erfindung nicht einschränken. Für den Fachmann auf dem Gebiet ist ersichtlich, dass Änderungen, Hinzufügungen oder Weglassungen an den beschriebenen Ausführungsformen vorgenommen werden können, ohne von Geist und Geltungsbereich der Erfindung abzuweichen.

Claims (31)

  1. Sicherheitssystemsteuerung (24, 26) zur Verwendung in einer Prozessumgebung mit mindestens einem Feldgerät (40, 42, 60, 62, 125), das in eine Mehrzahl von verschiedenen Konfigurationszuständen bringbar ist, die einen normalen Betriebskonfigurationszustand und einen nicht-normalen Betriebskonfigurationszustand beinhalten, wobei das mindestens eine Feldgerät (40, 42, 60, 62, 125) mindestens einen Ausgang zur Ausgabe erster Signale (IN1, IN2, IN3) hat, wobei die Sicherheitssystemsteuerung (24, 26) zur Durchführung von Sicherheitssystemsteuerfunktionen ausgebildet ist und folgendes aufweist: eine Signalempfangseinheit zum Empfangen der ersten Signale (INI, IN2, IN3) und mindestens eines zweiten Signals von dem mindestens einen Feldgerät (40, 42, 60, 62, 125) über eine Kommunikationsverbindung (76), wobei das mindestens eine zweite Signal einen Konfigurationszustand des Feldgeräts (40, 42, 60, 62, 125) angibt; eine Steuereinheit, die die Sicherheitssystemsteuerfunktionen unter Verwendung der ersten Signale (INI, IN2, IN3) ausführt, wenn kein Sperrsignal (BYPASSx) vorliegt, eine Detektiereinheit zum Detektieren anhand des zweiten Signals von dem mindestens einen Feldgerät (40, 42, 60, 62, 125), ob das Feldgerät in dem nicht-normalen Betriebskonfigurationszustand ist; und eine Sperreinheit (98a, 98b, 98c) zur Ausgabe eines Sperrsignals (BYPASSx), wenn das mindestens eine Feldgerät (40, 42, 60, 62, 125) in dem nicht-normalen Betriebskonfigurationszustand ist, um die Verwendung des mindestens einen ersten Signals (IN1, IN2, IN3) von dem Feldgerät (40, 42, 60, 62, 125) bei der Durchführung der Sicherheitssystemsteuerfunktionen zu sperren, wobei die Sperreinheit (98a, 98b, 98c) ausgebildet ist, um das Sperrsignal (BYPASSx) nach einer vorbestimmten Zeitdauer automatisch zu entfernen, die Sicherheitssystemsteuerung ferner beinhaltend eine Benachrichtigungslogik, die einen Benutzer davon benachrichtigt, dass das Sperrsignal (BYPASSx) nach der vorbestimmten Zeitdauer entfernt werden wird, bevor die Sperreinheit (98a, 98b, 98c) das Sperrsignal (BYPASSx) entfernt, wobei die Sperreinheit (98a, 98b, 98c) einem Benutzer erlaubt, die vorbestimmte Zeitdauer zu verlängern, bevor die Sperreinheit (98a, 98b, 98c) das Sperrsignal (BYPASSx) entfernt.
  2. Sicherheitssystemsteuerung (24, 26) nach Anspruch 1, wobei die Detektiereinheit ferner ausgebildet ist, um auf der Basis des zweiten Signals von dem Feldgerät (40, 42, 60, 62, 125) zu detektieren, wenn das Feldgerät (40, 42, 60, 62, 125) aus dem nicht-normalen Betriebskonfigurationszustand in den normalen Betriebskonfigurationszustand eintritt, und wobei die Sperreinheit (98a, 98b, 98c) ausgebildet ist, um das Sperrsignal (BYPASSx) zu entfernen, wenn das Feldgerät (40, 42, 60, 62, 125) in dem normalen Betriebskonfigurationszustand ist, um die Verwendung des mindestens ersten Signals (IN1, IN2, IN3) von dem Feldgerät (40, 42, 60, 62, 125) bei der Durchführung der Sicherheitssystemsteuerfunktion zuzulassen.
  3. Sicherheitssystemsteuerung (24, 26) nach Anspruch 1 oder 2, wobei das Feldgerät (40, 42, 60, 62, 125) eine Schreibschutzvariable beinhaltet, deren Zustand im allgemeinen steuert, wann das Feldgerät (40, 42, 60, 62, 125) zwischen dem normalen Betriebskonfigurationszustand und dem nicht-normalen Betriebskonfigurationszustand umgeschaltet werden kann, und wobei die Sicherheitssystemsteuerung (24, 26) ferner eine dritte Routine ausführt, die einen Konfigurationsänderungsbefehl speichert, der ausgebildet ist, einen Übergang des Feldgeräts (40, 42, 60, 62, 125) zwischen dem normalen Betriebskonfigurationszustand und dem nicht-normalen Betriebskonfigurationszustand zu bewirken, wenn die Schreibschutzvariable in einem Zustand ist, der im allgemeinen verhindert, dass das Feldgerät (40, 42, 60, 62, 125) zwischen dem normalen Betriebskonfigurationszustand und dem nicht-normalen Betriebskonfigurationszustand umgeschaltet wird, und einen Signalübermittler, der den Konfigurationsänderungsbefehl an das Feldgerät (40, 42, 60, 62, 125) übermittelt.
  4. Sicherheitssystemsteuerung (24, 26) nach Anspruch 3, wobei die dritte Routine dazu ausgebildet ist, um den Konfigurationsänderungsbefehl in Abhängigkeit von einem Steuersignal von einer ersten Steuerungsroutine an das Feldgerät (40, 42, 60, 62, 125) zu übermitteln.
  5. Sicherheitssystemsteuerung (24, 26) nach Anspruch 3 oder 4, wobei die dritte Routine ein Log verwendet, das aufzeichnet, wenn die dritte Routine den Konfigurationsänderungsbefehl an das Feldgerät (40, 42, 60, 62, 125) übermittelt.
  6. Sicherheitssystemsteuerung (24, 26) nach Anspruch 3 oder 4, wobei die Empfangseinheit dazu ausgebildet ist ein Log zu erzeugen, das aufzeichnet, wenn das Feldgerät (40, 42, 60, 62, 125) in Abhängigkeit davon, dass die dritte Routine den Konfigurationsänderungsbefehl an das Feldgerät (40, 42, 60, 62, 125) übermittelt, zwischen dem einen von dem normalen Betriebskonfigurationszustand und dem nicht-normalen Betriebskonfigurationszustand und dem anderen von dem normalen Betriebskonfigurationszustand und dem nicht-normalen Betriebskonfigurationszustand wechselt.
  7. Sicherheitssystemsteuerung (24, 26) nach Anspruch 1, ferner beinhaltend einen Zeitgeber (110) der die vorbestimmte Zeitdauer bestimmt.
  8. Sicherheitssystemsteuerung (24, 26) nach Anspruch 1, ferner beinhaltend eine Benachrichtigungslogik, die einen Benutzer davon benachrichtigt, dass das Sperrsignal (BYPASSx) für eine vorbestimmte Zeitdauer initiiert worden ist.
  9. Prozesssteuerungssystem zur Verwendung in einer Prozessumgebung, wobei das Prozesssteuerungssystem folgendes aufweist: mindestens ein Feldgerät (40, 42, 60, 62, 125), das so konfigurierbar ist, dass es in eine Vielzahl von verschiedenen Konfigurationszuständen gebracht werden kann, die einen normalen Betriebskonfigurationszustand und einen nicht-normalen Betriebskonfigurationszustand beinhalten, wobei das Feldgerät (40, 42, 60, 62, 125) mindestens einen Ausgang zur Ausgabe erster Signale (IN1, IN2, IN3) hat; eine Kommunikationsverbindung (76); und eine Sicherheitssystemsteuerung (24, 26) gemäß einem der Ansprüche 1 bis 8.
  10. Prozesssteuerungssystem nach Anspruch 9, wobei das Feldgerät (40, 42, 60, 62, 125) ein Sensor ist.
  11. Prozesssteuerungssystem nach Anspruch 9, wobei das Feldgerät (40, 42, 60, 62, 125) ein von der Sicherheitssystemsteuerung (24, 26) gesteuertes Ventil ist.
  12. Prozesssteuerungssystem nach Anspruch 9, wobei das Feldgerät eine Schreibschutzvariable beinhaltet, deren Zustand im allgemeinen steuert, wann das Feldgerät (40, 42, 60, 62, 125) zwischen dem normalen Betriebskonfigurationszustand und dem nicht-normalen Betriebskonfigurationszustand umgeschaltet werden kann, und wobei die Sicherheitssystemsteuerung (24, 26) ferner eine Feldgerätkonfigurationseinheit aufweist, in der ein Konfigurationsänderungsbefehl gespeichert ist, der ausgebildet ist, um das Feldgerät (40, 42, 60, 62, 125) zu einem Übergang zwischen dem normalen Betriebskonfigurationszustand und dem nicht-normalen Betriebskonfigurationszustand zu veranlassen, wenn die Schreibschutzvariable in einem Zustand ist, der im allgemeinen ein Umschalten des Feldgeräts zwischen dem normalen Betriebskonfigurationszustand und dem nicht-normalen Betriebskonfigurationszustand unterbindet.
  13. Prozesssteuerungssystem nach Anspruch 9, wobei die Sicherheitssystemsteuerung (24, 26) oder das Feldgerät (40, 42, 60, 62, 125) ein Log aufweist, das aufzeichnet, wenn die Sicherheitssystemsteuerung den Konfigurationsänderungsbefehl an das Feldgerät (40, 42, 60, 62, 125) sendet.
  14. Prozesssteuerungssystem nach Anspruch 12, wobei die Sicherheitssystemsteuerung (24, 26) oder das Feldgerät (40, 42, 60, 62, 125) ein Log aufweist, das aufzeichnet, wenn das Feldgerät (40, 42, 60, 62, 125) zwischen dem einen von dem normalen Betriebskonfigurationszustand und dem nicht-normalen Betriebskonfigurationszustand und dem anderen von dem normalen Betriebskonfigurationszustand und dem nicht-normalen Betriebskonfigurationszustand umschaltet.
  15. Prozesssteuerungssystem nach Anspruch 12, wobei die Sicherheitssystemsteuerung ferner Logik aufweist, die ein Signal an die Feldgerätkonfigurationseinheit sendet, um die Feldgerätkonfigurationseinheit zu veranlassen zu bewirken, dass das Feldgerät (40, 42, 60, 62, 125) eine Änderung des Konfigurationszustands erfährt.
  16. Prozesssteuerungssystem nach Anspruch 9, wobei der nicht-normale Betriebskonfigurationszustand des Feldgeräts (40, 42, 60, 62, 125) ein Feststrommodus ist.
  17. Prozesssteuerungssystem nach Anspruch 16, wobei das Feldgerät (40, 42, 60, 62, 125) konform zu dem HART-Protokoll ist.
  18. Prozesssteuerungssystem nach Anspruch 9, wobei die Sperreinheit dazu ausgebildet ist, das Sperrsignal (BYPASSx) nach einer vorbestimmten Zeitdauer zu entfernen.
  19. Prozesssteuerungssystem nach Anspruch 18, ferner beinhaltend eine Benachrichtigungslogik, die einen Benutzer davon benachrichtigt, dass das Sperrsignal (BYPASSx) für eine zweite vorbestimmte Zeitdauer initiiert worden ist.
  20. Prozesssteuerungssystem nach Anspruch 18, ferner beinhaltend eine Benachrichtigungslogik, die, bevor die Sperreinheit das Sperrsignal (BYPASSx) entfernt, einen Benutzer davon benachrichtigt, dass das Sperrsignal (BYPASSx) nach einer vorbestimmten Zeitdauer entfernt werden wird.
  21. Prozesssteuerungssystem nach Anspruch 9, ferner beinhaltend eine Benachrichtigungslogik, die einen Benutzer davon benachrichtigt, dass das Sperrsignal (BYPASSx) für eine vorbestimmte Zeitdauer initiiert worden ist.
  22. Steuerungsverfahren für eine Prozessumgebung, in der mindestens ein Feldgerät (40, 42, 60, 62, 125) mit mindestens einer Sicherheitssystemsteuerung (24, 26) über eine Kommunikationsverbindung (76) verbunden und so konfigurierbar ist, dass es in eine Vielzahl von verschiedenen Konfigurationszuständen gebracht werden kann, die einen normalen Betriebskonfigurationszustand und einen nicht-normalen Betriebskonfigurationszustand beinhalten, wobei das Verfahren die folgenden Schritte aufweist: Empfangen von ersten Signalen von dem mindestens einen Feldgerät (40, 42, 60, 62, 125) durch die Sicherheitssystemsteuerung (24, 26) und Verwenden von mindestens einem der ersten Signale zum Durchführen einer Sicherheitssystemsteuerfunktion, wenn kein Sperrsignal (BYPASSx) vorliegt; Empfangen eines zweiten Signals von dem mindestens einen Feldgerät (40, 42, 60, 62, 125) durch die mindestens eine Sicherheitssystemsteuerung (24, 26) mittels der Kommunikationsverbindung (76), das einen Konfigurationszustand des Feldgeräts (40, 42, 60, 62, 125) angibt; Detektieren durch die mindestens eine Sicherheitssystemsteuerung (24, 26) auf der Basis des zweiten Signals von dem mindestens einen Feldgerät (40, 42, 60, 62, 125), wenn das Feldgerät (40, 42, 60, 62, 125) in dem nicht-normalen Betriebskonfigurationszustand ist; und automatisches Sperren der Verwendung eines der ersten Signale bei der Durchführung der Sicherheitssystemsteuerfunktion durch das Ausgeben des Sperrsignals (BYPASSx), wenn das Feldgerät (40, 42, 60, 62, 125) in dem nicht-normalen Betriebskonfigurationszustand ist, wobei das automatische Sperren ein automatisches Zulassen der Verwendung des ersten Signals bei der Ausführung der Steuerfunktion nach einer vorbestimmten Zeitdauer beinhaltet, wobei das automatische Sperren ein Benachrichtigen eines Benutzers davon beinhaltet, dass dem ersten Signal erlaubt wird, die Steuerfunktion nach der vorbestimmten Zeitdauer auszuführen, bevor automatisch die Verwendung des ersten Signals zur Ausführung der Steuerfunktion nach der vorbestimmten Zeitdauer zugelassen wird, und wobei das automatische Sperren beinhaltet, es einem Benutzer zu ermöglichen, die vorbestimmte Zeitdauer zu verlängern, bevor automatisch die Verwendung des ersten Signals zur Ausführung der Steuerfunktion nach der vorbestimmten Zeitdauer zugelassen wird.
  23. Verfahren nach Anspruch 22, wobei der Schritt des Detektierens ferner beinhaltet: Detektieren auf der Basis des zweiten Signals von dem Feldgerät, wenn das Feldgerät aus dem nicht-normalen Betriebskonfigurationszustand in den normalen Betriebskonfigurationszustand eintritt, und wobei der Schritt des automatischen Sperrens ein automatisches Zulassen der Verwendung des ersten Signals bei der Ausführung der Steuerfunktion beinhaltet, wenn das Feldgerät in dem normalen Betriebskonfigurationszustand ist.
  24. Verfahren nach Anspruch 22, wobei das Feldgerät (40, 42, 60, 62, 125) eine Schreibschutzvariable beinhaltet, deren Zustand im allgemeinen steuert, wann das Feldgerät zwischen dem normalen Betriebskonfigurationszustand und dem nicht-normalen Betriebskonfigurationszustand umgeschaltet werden kann, und wobei das Verfahren ferner ein Speichern eines Konfigurationsänderungsbefehls beinhaltet, der ausgebildet ist, um das Feldgerät (40, 42, 60, 62, 125) zu einem Übergang zwischen dem normalen Betriebskonfigurationszustand und dem nicht-normalen Betriebskonfigurationszustand zu veranlassen, wenn die Schreibschutzvariable in einem Zustand ist, der im allgemeinen ein Umschalten des Feldgeräts (40, 42, 60, 62, 125) zwischen dem normalen Betriebskonfigurationszustand und dem nicht-normalen Betriebskonfigurationszustand verhindert, und ein Senden des Konfigurationsänderungsbefehls an das Feldgerät (40, 42, 60, 62, 125) beinhaltet, um eine Konfigurationsänderung des Feldgeräts (40, 42, 60, 62, 125) zu bewirken, ohne die Schreibschutzvariable zurückzusetzen.
  25. Verfahren nach Anspruch 24, ferner beinhaltend das Speichern eines Logs, das angibt, wann die Sicherheitssystemsteuerung (24, 26) den Konfigurationsänderungsbefehl an das Feldgerät gesendet hat.
  26. Verfahren nach Anspruch 24, ferner beinhaltend das Speichern eines Logs, das angibt, wann das Feldgerät (40, 42, 60, 62, 125) auf den von der Sicherheitssystemsteuerung (24, 26) empfangenen Konfigurationsänderungsbefehl geantwortet hat.
  27. Verfahren nach Anspruch 22, wobei das automatische Sperren der Verwendung des ersten Signals bei der Durchführung der Steuerfunktion ein Erzeugen eines Umgehungssignals beinhaltet, das bewirkt, dass Logik, die verwendet wird, um zu entscheiden, ob die Steuerfunktion auszuführen ist, das erste Signal nicht für die Bewertung verwendet, ob die Steuerfunktion auszuführen ist.
  28. Verfahren nach Anspruch 22, wobei das automatische Sperren der Verwendung des ersten Signals bei der Ausführung der Steuerfunktion das Erzeugen eines Sperrsignals (BYPASSx) beinhaltet, das bewirkt, dass Logik, die zur Ausführung der Steuerfunktion verwendet wird, veranlasst wird, die Steuerfunktion nicht auszuführen, wenn die Logik, die das erste Signal nutzt, um zu entscheiden, ob die Steuerfunktion auszuführen ist, angibt, dass die Steuerfunktion ausgeführt werden sollte.
  29. Verfahren nach Anspruch 22, wobei das automatische Sperren ein Verwenden eines Zeitgebers (110) beinhaltet, um die vorbestimmte Zeitdauer zu bestimmen.
  30. Verfahren nach Anspruch 22, wobei das automatische Sperren ein Benachrichtigen eines Benutzers davon beinhaltet, dass die Verwendung des ersten Signals zur Ausführung der Steuerfunktion nach einer vorbestimmten Zeitdauer verhindert worden ist.
  31. Ein computerlesbares Medium mit Operationsbefehlen zur Ausführung auf einer Recheneinheit, wobei die Operationsbefehle dazu angepasst sind, die Recheneinheit zu veranlassen das Verfahren gemäß einem der Ansprüche 22 bis 30 durchzuführen, wenn sie auf der Recheneinheit ausgeführt werden.
DE102004015616.6A 2003-04-01 2004-03-30 Sicherheitssystemsteuerung zur Verwendung in einer Prozessumgebung, Prozesssteuerungssystem sowie entsprechendes Steuerungsverfahren Expired - Lifetime DE102004015616B4 (de)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
US10/404,156 US6898542B2 (en) 2003-04-01 2003-04-01 On-line device testing block integrated into a process control/safety system
US10/404156 2003-04-01
US10/668013 2003-09-22
US10/668,013 US7010450B2 (en) 2003-04-01 2003-09-22 Coordination of field device operations with overrides and bypasses within a process control and safety system

Publications (2)

Publication Number Publication Date
DE102004015616A1 DE102004015616A1 (de) 2004-11-04
DE102004015616B4 true DE102004015616B4 (de) 2022-03-17

Family

ID=32302480

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102004015616.6A Expired - Lifetime DE102004015616B4 (de) 2003-04-01 2004-03-30 Sicherheitssystemsteuerung zur Verwendung in einer Prozessumgebung, Prozesssteuerungssystem sowie entsprechendes Steuerungsverfahren

Country Status (5)

Country Link
JP (1) JP4511861B2 (de)
CN (1) CN100485557C (de)
DE (1) DE102004015616B4 (de)
GB (1) GB2403819B (de)
HK (1) HK1071609A1 (de)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7130703B2 (en) 2003-04-08 2006-10-31 Fisher-Rosemount Systems, Inc. Voter logic block including operational and maintenance overrides in a process control system
DE102008019195A1 (de) 2008-04-17 2009-10-29 Beckhoff Automation Gmbh Verfahren zum Betreiben einer Sicherheitssteuerung und Automatisierungsnetzwerk mit einer solchen Sicherheitssteuerung
GB2460024B (en) 2008-05-12 2013-10-16 Rolls Royce Plc Developments in or relating to system prognostics
DE102008038912B4 (de) * 2008-08-13 2021-05-06 Phoenix Contact Gmbh & Co. Kg Steuerungsvorrichtung zur Kleinsteuerung eines sicherheitsrelevanten Funktionsbausteins
DE102010025515A1 (de) * 2010-06-29 2011-12-29 Phoenix Contact Gmbh & Co. Kg Kommunikationssystem zum Verbinden von Feldgeräten mit einer überlagerten Steuereinrichtung
US9239576B2 (en) * 2012-02-17 2016-01-19 Fisher-Rosemount Systems, Inc. Methods and apparatus to apply multiple trip limits to a device in a process control system
FR3005142B1 (fr) * 2013-04-24 2015-05-22 Dalkia France Systeme et procede de controle d'une installation sous pression, et installation equipee d'un tel systeme
JP5862614B2 (ja) * 2013-07-11 2016-02-16 横河電機株式会社 フィールド機器及びデータ処理方法
US11656594B2 (en) 2019-10-22 2023-05-23 Fisher-Rosemount Systems, Inc. Technologies for configuring voting blocks associated with a process control system

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5768119A (en) 1996-04-12 1998-06-16 Fisher-Rosemount Systems, Inc. Process control system including alarm priority adjustment
DE10007971A1 (de) 1999-02-22 2000-10-26 Fisher Rosemount Systems Inc Diagnoseexpertensystem zum Einsatz in der Prozesssteuerung
DE29917651U1 (de) 1999-10-07 2000-11-09 Siemens Ag Meßumformer sowie Prozeßleitsystem
DE19939567A1 (de) 1999-08-20 2001-03-08 Pilz Gmbh & Co Vorrichtung zum Steuern von sicherheitskritischen Prozessen
DE10147050A1 (de) 2000-09-25 2002-07-04 Fisher Rosemount Systems Inc Bedienersperre in Steuersystemen von Batchprozessen
WO2002091390A1 (en) 2001-05-07 2002-11-14 Korea Power Engineering Company, Inc. Digital reactor protection system for preventing common-mode failures
US20020194218A1 (en) 1998-04-23 2002-12-19 Klapper John P. System for graphically generating logic for a cause and effects matrix

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4427620A (en) * 1981-02-04 1984-01-24 Westinghouse Electric Corp. Nuclear reactor power supply
JPS57189213A (en) * 1981-05-18 1982-11-20 Hitachi Ltd Monitoring method of process state
JPS5991507A (ja) * 1982-11-16 1984-05-26 Toshiba Corp プロセス制御システム
JPH062881U (ja) * 1992-06-11 1994-01-14 三菱電機株式会社 プラント監視装置
JP2000047724A (ja) * 1998-07-24 2000-02-18 Toshiba Corp 監視制御装置

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5768119A (en) 1996-04-12 1998-06-16 Fisher-Rosemount Systems, Inc. Process control system including alarm priority adjustment
US20020194218A1 (en) 1998-04-23 2002-12-19 Klapper John P. System for graphically generating logic for a cause and effects matrix
DE10007971A1 (de) 1999-02-22 2000-10-26 Fisher Rosemount Systems Inc Diagnoseexpertensystem zum Einsatz in der Prozesssteuerung
DE19939567A1 (de) 1999-08-20 2001-03-08 Pilz Gmbh & Co Vorrichtung zum Steuern von sicherheitskritischen Prozessen
DE29917651U1 (de) 1999-10-07 2000-11-09 Siemens Ag Meßumformer sowie Prozeßleitsystem
DE10147050A1 (de) 2000-09-25 2002-07-04 Fisher Rosemount Systems Inc Bedienersperre in Steuersystemen von Batchprozessen
WO2002091390A1 (en) 2001-05-07 2002-11-14 Korea Power Engineering Company, Inc. Digital reactor protection system for preventing common-mode failures

Also Published As

Publication number Publication date
JP4511861B2 (ja) 2010-07-28
CN1570793A (zh) 2005-01-26
HK1071609A1 (en) 2005-07-22
DE102004015616A1 (de) 2004-11-04
GB2403819B (en) 2007-01-10
GB0407444D0 (en) 2004-05-05
GB2403819A (en) 2005-01-12
JP2004310767A (ja) 2004-11-04
CN100485557C (zh) 2009-05-06

Similar Documents

Publication Publication Date Title
DE102004014747B4 (de) Funktionsblock-Implementierung einer Ursache- und Wirkung-Matrix zum Gebrauch in einem Prozesssicherheitssystem
DE102004016929B4 (de) Steuerverfahren und System zur Bestimmung des Vorliegens einer Abschaltbedingung innerhalb einer Prozessanlage
DE102004015617B4 (de) Online-Geräteprüfblock, der in ein Prozeßsteuerungs-/Sicherheitssystem integriert ist
DE102004003605B4 (de) Integriertes Diagnosesystem in einer Prozessanlage mit einem Prozesssteuerungssystem und einem Sicherheitssystem
DE102004003569B4 (de) Prozessanlage, Sicherungssystem zur Verwendung in einer Prozessanlage und Verfahren zum Durchführen von Sicherungsprozeduren in einer Prozessanlage
EP2353052B1 (de) Sicherheitssteuerung und verfahren zum steuern einer automatisierten anlage
EP2356526B1 (de) Sicherheitssteuerung und verfahren zum steuern einer automatisierten anlage
EP2422271B1 (de) Verfahren und vorrichtung zum erstellen eines anwenderprogramms für eine sicherheitssteuerung
DE102005054932A1 (de) Sichere Datenschreibvorrichtung und Verfahren zur Anwendung in Prozesssteuersystemen mit Sicherheitsmaßnahmen
DE102010037740A1 (de) Integriertes Unified-Threat-Management für ein Prozesssteuersystem
EP1950639B1 (de) Verfahren zum Betreiben einer Prozessanlage, Prozessanlage und Computerprogrammprodukt
EP2422244B1 (de) Sicherheitssteuerung und verfahren zum steuern einer automatisierten anlage
DE102004015616B4 (de) Sicherheitssystemsteuerung zur Verwendung in einer Prozessumgebung, Prozesssteuerungssystem sowie entsprechendes Steuerungsverfahren
EP2954534B1 (de) Vorrichtung und verfahren zur erkennung von unbefugten manipulationen des systemzustandes einer steuer- und regeleinheit einer kerntechnischen anlage
EP3470937B1 (de) Verfahren und vorrichtungen zum überwachen der reaktionszeit einer durch ein sicherheitssystem bereitgestellten sicherheitsfunktion
EP3470939B1 (de) Verfahren und system zum überwachen der sicherheitsintegrität einer durch ein sicherheitssystem bereitgestellten sicherheitsfunktion
DE102020127820A1 (de) Technologien zum konfigurieren von abstimmungsblöcken, die einem prozesssteuerungssystem zugeordnet sind
EP3761195B1 (de) Verifizierungsverfahren für eine sauerstoffreduzierungsanlage
EP3726309A1 (de) Verfahren und system zum überwachen eines aktuellen integritätszustandes eines verteilten automatisierungssystems
EP3486825A1 (de) Verfahren und vorrichtung zum rechnergestützten bestimmen eines schweregrads einer festgestellten verletzung der integrität
DE10233879B4 (de) Verfahren zum Steuern und Überwachen einer sicherheitskritischen Anlage, insbesondere Verkehrs-Signalanlage sowie Vorrichtung zur Durchführung des Verfahrens
EP4096186A1 (de) Verfahren und system zur gesicherten ausführung von steuerungsanwendungen, programmablaufsteuerungseinrichtung und überprüfungseinrichtung
DE102021114559A1 (de) Zugriffsicheres Feldgerät
EP3940467A1 (de) Steuerungssystem zur steuerung einer vorrichtung oder anlage
EP3912002A1 (de) Kontextsensitives audit trail eines technischen systems

Legal Events

Date Code Title Description
8110 Request for examination paragraph 44
8128 New person/name/address of the agent

Representative=s name: MEISSNER, BOLTE & PARTNER GBR, 80538 MUENCHEN

R016 Response to examination communication
R016 Response to examination communication
R018 Grant decision by examination section/examining division
R020 Patent grant now final
R071 Expiry of right