-
Die
vorliegende Erfindung betrifft allgemein Prozeßsteuerungs- und Sicherheitsysteme,
die in Prozeßanlagen
verwendet werden, und speziell eine Prüfentität, die dazu dient, den Ablauf
von Online-Geräteprüfungen innerhalb
einer Prozeßlage
zu steuern.
-
Prozeßsteuerungssysteme,
wie sie etwa in chemischen Prozessen, in der Erdölindustrie oder anderen Prozessen
verwendet werden, weisen charakteristisch eine oder mehrere Prozeßsteuereinheiten
auf, die kommunikativ mit mindestens einem Hauptrechner oder einer
Bediener-Workstation und mit einem oder mehreren Feldgeräten über analoge, digitale
oder kombinierte Analog-/Digital-Busse oder -Leitungen gekoppelt
sind. Die Feldgeräte,
die beispielsweise Ventile, Ventilpositionierer, Schalter und Geber
(z. B. Temperatur-, Druck- und Durchflußmengensensoren) sein können, führen innerhalb
der Prozeßanlage
Funktionen aus wie etwa das Öffnen
oder Schließen
von Ventilen und das Messen von Prozeßparametern. Die Prozeßsteuereinheiten
empfangen Signale, die Prozeßmessungen,
die von den Feldgeräten
vorgenommen wurden, und/oder andere Informationen in Bezug auf die
Feldgeräte
bezeichnen, nutzen diese Informationen zur Ausführung von Steuerungsroutinen
und erzeugen dann Steuersignale, die über die Busse oder Leitungen
zu den Feldgeräten
gesendet werden, um den Ablauf des Prozesses zu steuern, indem etwa
Ventile geöffnet
und geschlossen werden usw. Information von den Feldgeräten und
den Steuereinheiten wird typischerweise für eine oder mehrere Anwendungen
verfügbar
gemacht, die von der Bediener-Workstation ausgeführt werden, um einem Bediener
die Ausführung
einer gewünschten
Funktion in bezug auf den Prozeß zu
ermöglichen,
etwa Konfigurieren des Prozesses, Betrachten des aktuellen Zustands
des Prozesses, Modifizieren des Prozeßablaufs usw.
-
Feiner
ist in vielen Prozessen ein separates Sicherheitssystem vorgesehen,
das signifikante sicherheitsbezogene Probleme innerhalb der Prozeßanlage
detektiert und automatisch Ventile schließt, die Energieversorgung von
Einrichtungen abschaltet, Durchflüsse innerhalb der Anlage umsteuert
usw., wenn ein Problem auftritt, das in einer schwerwiegenden Gefährdung in
der Anlage resultieren oder zu einer solchen führen könnte, etwa zu dem Austritt
von giftigen Chemikalien, einer Explosion usw. Diese Sicherheitssysteme
haben charakteristisch eine oder mehrere separate Steuereinheiten
getrennt von den Standardsteuereinheiten für die Prozeßsteuerung, die als Logikauflöser bezeichnet
werden und die mit Sicherheitsfeldgeräten über separate Busse oder Übertragungsleitungen
verbunden sind, die innerhalb der Prozeßanlage installiert sind. Die
Logikauflöser nutzen
die Sicherheitsfeldeinrichtungen, um Prozeßbedingungen zu detektieren,
die bedeutsamen Ereignissen zugeordnet sind, etwa die Position von
bestimmten Sicherheitsschaltern oder Abschaltventilen, Bereichsüber- oder
-unterschreitungen im Prozeß, den
Betrieb von wichtigen Energieerzeugungs- oder -steuereinrichtungen,
den Betrieb von Fehlerdetektiereinrichtungen usw., um dadurch "Ereignisse" innerhalb der Prozeßanlage
zu detektieren. Wenn ein Ereignis detektiert wird, führt die
Sicherheitssteuereinheit irgendeine Aktivität aus, um die schädliche Natur
des Ereignisses zu begrenzen, etwa das Schließen von Ventilen, die Abschaltung
von Geräten,
die Energieabschaltung von Teilen der Anlage usw. Im allgemeinen
umfassen diese Aktivitäten
oder Wirkungen das Umschalten von Sicherheitseinrichtungen in eine
ausgelöste
oder "sichere" Betriebsart, die
dazu bestimmt ist, einen kritischen oder gefährlichen Zustand innerhalb
der Prozeßanlage
zu verhindern.
-
Für den ordnungsgemäßen Ablauf
sowohl von Prozeßsteuerungssystemen
als auch Sicherheitssystemen ist es wichtig, daß die Feldgeräte funktionsfähig bleiben,
damit Prozeßsteuerungs-
und Sicherheitssteuerungsvorgänge,
die unter Verwendung dieser Geräte
durchgeführt
werden, auch tatsächlich
implementiert werden. Dies gilt insbesondere in bezug auf Ventile
und andere Feldgeräte,
die bewegliche Elemente haben, die dazu tendieren, sich zu verklemmen,
und somit nicht ordnungsgemäß auf Steuersignale
ansprechen, die von einer Prozeßsteuerungs-
oder Sicherheitssystem-Steuereinheit übermittelt
werden.
-
In
der Vergangenheit wurden Ventile und andere Einrichtungen im allgemeinen
periodisch aus einem Prozeß entfernt,
um offline geprüft
zu werden, oder wurden geprüft,
während
sie noch in den Prozeß eingeschaltet
waren, der Prozeß jedoch
nicht im Normalbetrieb beispielsweise zur Erzeugung eines Produkts
war. Leider verhinderten diese beiden Ofline-Prüfverfahren den Ablauf des Prozesses
während
der Prüfung,
erforderten viel Zeit und Mannstunden, insbesondere zum Aus- und
erneuten Einbau von Ventilen und anderen geprüften Einrichtungen, und machten
es nicht möglich,
die Feldgeräte
bei Bedarf zu prüfen,
z. B. immer dann, wenn eine solche Prüfung eingeleitet werden soll.
-
In
jüngerer
Zeit sind einige Prüfroutinen
für Feldgeräte entwickelt
worden, die es ermöglichen, ein
Feldgerät
wie etwa ein Ventil online, also während des Normalbetriebs des
Prozesses, zu prüfen.
Diese Online-Prüfroutinen
ermöglichen
die Prüfung
des Betriebszustands des Feldgeräts,
ohne das Gerät
aus dem Prozeß zu
entfernen und ohne den Prozeß während der
Prüfung
anzuhalten oder zu unterbrechen. Insbesondere ist es bei einigen
intelligenten Feldgeräten,
d. h. bei solchen, die einen eingebauten Prozessor und einen Speicher
haben, möglich,
in dem Speicher des Geräts
eine Online-Selbstdiagnoseprüfung zu
speichern und die Prüfung
durch einen oder mehrere Befehle auszulösen, die an das Gerät gesendet
werden. Die Ventileinrichtung DVC6000 HART, hergestellt von Fisher
Controls International LLC, ist ein beispielhaftes Ventilgerät, das Online-Prüffähigkeiten
aufweisen kann, wobei das Ventil einen Teilhub ausführt, um
festzustellen, ob das Ventil verklemmt ist oder irgendein anderes
detektierbares Problem hat, das den ordnungsgemäßen Betrieb des Ventils verhindern
oder behindern kann.
-
Diese
Online-Selbstprüfungen
bzw. -Selbsttests können
zwar mit Wartungssoftware ausgelöst werden,
etwa der Asset Management Software, die von Rosemount, Inc., hergestellt
und verkauft wird, aber eine Wartungsperson muß das Gerät anschließen und eine bestimmte Anforderung
an das Gerät senden,
um die Selbstprüfung
auszulösen.
Infolgedessen wird die Prüfung
der Feldgeräte
mit diesen Online-Prüffähigkeiten
nur ausgeführt,
wenn eine Wartungsperson eine bestimmte und typischerweise vorübergehende
Verbindung mit dem Gerät
herstellt und die Prüfung
verlangt; somit bleibt das Prozeßsteuerungssystem oder das
Sicherheitssystem dennoch anfällig
für einen
Geräteausfall,
wenn die Wartungsperson aus welchen Gründen auch immer das Gerät nicht
ausreichend oder nicht zum richtigen Zeitpunkt prüft; auch
wird es dem Steuerungs- oder Sicherheitssystem dadurch nicht ermöglicht zu
wissen, wann die letzte Geräteprüfung durchgeführt wurde
oder was die Ergebnisse dieser Prüfung waren. Bisher gibt es
tatsächlich
keine Möglichkeit,
die Online-Prüffähigkeiten
dieser Feldgeräte
mit den Prozeßsteuerungs-
oder Sicherheitssteuerungsprogrammen zu integrieren, die die Geräte zur Durchführung von
Operationen innerhalb des Prozesses verwenden, etwa Operationen,
die zur Herstellung eines Produkts notwendig sind, oder Operationen,
die in einem Sicherheitssystem angewandt werden, um den Prozeß als Reaktion
auf die Detektierung eines Gefahrenzustands abzuschalten.
-
Ein
Prozeßsteuerungs-
oder Sicherheitssystem innerhalb eines Prozeßanlage verwendet einen oder
mehrere Prüfblöcke zur
Durchführung
des rechtzeitigen und sicheren Ablaufs von Online-Selbstprüfroutinen
innerhalb von Feldgeräten
wie etwa Ventilen, die in dem Prozeßsteuerungs- oder Sicherheitssystem
verwendet werden. Diese Blöcke, die
leicht zu implementieren und in das Prozeßsteuerungs- oder Sicherheitssystem
einzufügen
sind, können
es möglich
machen, daß die
periodische oder bedarfsweise Prüfung
von Feldgeräten
in den normalen oder laufenden Betrieb des Prozeßsteuerungs- oder Sicherheitssystems
integriert wird, ohne Ablaufplanungs- oder Verbindungsprobleme zu
verursachen und ohne die Notwendigkeit, sich auf Wartungs- oder
anderes Personal zu verlassen, was zu einer besseren Überwachung
des Betriebsstatus der Feldgeräte
führt,
die innerhalb der Prozeßsteuerungs- oder
Sicherheitssysteme verwendet werden. Diese Blöcke können auch den Status des Feldgeräts überwachen,
um Probleme mit dem Gerät
zu detektieren. Diese Prüf-
und Überwachungsfunktionalität ist besonders
wichtig in Sicherheitssystemen, bei denen es erwünscht ist, den Betriebsstatus
der Geräte,
die zum Herunterfahren des Prozesses im Fall eines nicht sicheren
Zustands dienen, rechtzeitig zu überwachen
oder zu bewerten, um dadurch sicherzustellen, daß die Auslösung einer Abschaltung durch
das Sicherheitssystem auch tatsächlich
in einer Abschaltung dieses Systems resultiert.
-
Bei
einer Implementierung kann ein Prüfblock in einer Sicherheits-
oder Prozeßsteuerungs-E/A-Einrichtung
gespeichert sein und ist so konfiguriert, daß er Befehle von einer oder
mehreren anderen Prozeßsteuerungs-
oder Sicherheitsroutinen oder von einem Anwender wie etwa einem
Bediener empfängt,
um eine periodische oder bedarfsweise Prüfung eines Feldgeräts wie etwa
eines Ventils zu ermöglichen
und auszulösen.
Der Prüfblock überwacht
die Prüfung,
um festzustellen, ob die Prüfung
ausgeführt
wird, detektiert die Prüfungsergebnisse
und kann diese zurück
zu der Steuerungs- oder sonstigen Routine oder zum Anwender übermitteln, wodurch
der Betriebsstatus des Feldgeräts überwacht
wird. Wenn die Prüfung
einen fehlerhaften Zustand wie etwa ein klemmendes Ventil anzeigt,
kann der Prüfblock
oder ein anderer Block, der die Prüfergebnisse empfängt, automatisch
einen Alarm oder eine Warnung an einen Prozeßsteuerungs- oder Sicherheitsingenieur
senden, kann den Ablauf des Prozesses anhalten oder kann auf jede
sonstige gewünschte
Weise innerhalb des Prozeßsteuerungs- oder
Sicherheitssystems genutzt werden. Zusätzlich oder alternativ kann
der Prüfblock
den Status der Signale überwachen,
die von dem Feldgerät
gesendet werden, um ein Problem in Verbindung mit dem Feldgerät zu detektieren
und ein Alarm- oder
sonstiges Signal als Reaktion auf die Detektierung eines schwachen,
schlechten, abnormalen usw. Status erzeugen.
-
Die
Erfindung wird nachstehend auch hinsichtlich weiterer Merkmale und
Vorteile anhand der Beschreibung von Ausführungsbeispielen unter Bezugnahme
auf die beiliegenden Zeichnungen näher erläutert. Diese zeigen in:
-
1 ein Blockbild einer beispielhaften
Prozeßanlage,
die ein in ein Prozeßsteuerungssystem integriertes
Sicherheitssystem hat und einen oder mehrere Prüfblöcke verwendet, um die Online-Selbstprüfungen auszulösen und
zu überwachen, die
an oder von Feldgeräten
innerhalb der Prozeßanlage
durchgeführt
werden;
-
2 ein Logikdiagramm von
beispielhaften Prüfblöcken von 1, die in ein Prozeßsteuerungs- oder
Sicherheitssystem integriert sind;
-
3 ein Blockbild eines beispielhaften Prüfblocks
der 1 und 2; und
-
4 ein Zustandsdiagramm,
das ein Set von Zuständen
zeigt, die einer Zustandsmaschine innerhalb des Prüfblocks
von 3 zugeordnet sein können.
-
Es
wird nun auf 1 Bezug
genommen. Eine Prozeßanlage 10 weist
ein Prozeßsteuerungssystem 12 auf,
in das ein Sicherheitssystem 14 (in Strichlinien angedeutet)
integriert ist, das allgemein als ein System mit Sicherheitsinstrumentarium
(Safety Instrumented System = SIS) wirkt, um die von dem Prozeßsteuerungssystem 12 ausgeführte Steuerung zu überwachen
und in diese einzugreifen, um die Wahrscheinlichkeit eines sicheren
Betriebs der Prozeßanlage 10 zu
maximieren. Die Prozeßanlage 10 (auch
als das Prozeßsteuerungs-/Sicherheitssystem 10 bezeichnet)
weist ferner einen oder mehrere Hauptrechner-Workstations, Computer
oder Anwenderschnittstellen 1G auf (die jede Art von PC,
Workstations, Hand-PCs usw. sein können), auf die von Anlagenpersonal
zugegriffen werden kann, beispielsweise von Prozeßsteuerungs-Bedienungspersonen, Wartungspersonal,
Sicherheitsingenieuren usw. Bei dem in 1 gezeigten Beispiel sind zwei Anwenderschnittstellen 16 gezeigt
und mit zwei separaten Prozeßsteuerungs-/Sicherheitssteuerungs-Knoten 18 und 20 und
mit einer Konfigurationsdatenbank 21 über eine gemeinsame Kommunikationsleitung
oder einen Bus 22 verbunden. Das Kommunikationsnetz 22 kann
unter Verwendung jeder gewünschten bus-basierten
oder nicht-busbasierten Hardware implementiert sein, wobei jede
gewünschte
hartverdrahtete oder drahtlose Kommunikationsstruktur und jedes
gewünschte
oder geeignete Kommunikationsprotokoll wie etwa ein Ethernet-Protokoll
verwendet wird.
-
Allgemein
gesagt, weist jeder Knoten 18 und 20 der Prozeßanlage 10 sowohl
Prozeßsteuerungssystem-Einrichtungen
als auch Sicherheitssystem-Einrichtungen auf, die über eine
Busstruktur miteinander verbunden sind, die an einer Rückwandplatine
vorgesehen sein kann, in der die verschiedenen Einrichtungen angebracht
sind. Der Knoten 18 weist gemäß 1 eine Prozeßsteuereinheit 24 (die
ein redundantes Paar von Steuereinheiten sein kann) sowie eine oder
mehrere Prozeßsteuerungssystem-Ein-Ausgabe- bzw. -E/A-Einrichtungen 28, 30 und 32 auf,
wogegen der Knoten 20 in der Figur eine Prozeßsteuereinheit 26 (die
ein redundantes Paar von Steuereinheiten sein kann) sowie eine oder
mehrere Prozeßsteuerungssystem-E/A-Einrichtungen 34 und 36 aufweist.
Jede der Prozeßsteuerungssystem-E/A-Einrichtungen 28, 30, 32, 34 und 36 ist
mit einem Satz von auf die Prozeßsteuerung bezogenen Feldgeräten kommunikativ
verbunden, die in 1 als
Feldgeräte 40 und 42 gezeigt
sind. Die Prozeßsteuereinheiten 24 und 26,
die E/A-Einrichtungen 28 bis 36 und die Steuereinheits-Feldgeräte 40 und 42 bilden
allgemein das Prozeßsteuerungssystem 12 von 1.
-
Ebenso
weist der Knoten 18 einen oder mehrere Sicherheitssystem-Logikauflöser 50, 52 auf,
wogegen der Knoten 20 Sicherheitssystem-Logikauflöser 54 und 56 aufweist.
Jeder der Logikauflöser 50 bis 56 ist
eine E/A-Einrichtung, die Sicherheitslogikmodule 58 ausführt, die
in einem Speicher gespeichert sind, und ist kommunikativ so gekoppelt,
daß Steuersignale
an Sicherheitssystem-Feldgeräte 60 und 62 geliefert
und/oder Signale von den Sicherheitssystem-Feldgeräten 60 und 62 empfangen
werden. Außerdem
weist jeder Knoten 18 und 20 mindestens eine Meldungsverbreitungseinrichtung (MPD) 64 oder 66 auf,
die kommunikativ über
eine Busverbindung 68 vom Ringtyp (von der nur ein Teil in 1 gezeigt ist) miteinander
gekoppelt sind. Die Sicherheitssystem-Logikauflöser 50 bis 56,
die Sicherheitssystem-Feldeinrichtungen 60 und 62,
die MPDs 64 und 66 und der Bus 68 bilden
allgemein das Sicherheitssystem 14 von 1.
-
Die
Prozeßsteuereinheiten 24 und 26,
die nur beispielhaft DeltaVTM-Steuereinheiten
von Fisher-Rosemount Systems, Inc., oder jeder andere gewünschte Typ
von Prozeßsteuereinheiten
sein können,
die einen Prozessor 70 aufweisen, der programmiert ist,
um eine Prozeßsteuerungsfunktionalität zu ermöglichen
(unter Verwendung von Mitteln, die gewöhnlich als Steuermodule 72 bezeichnet
werden), wobei die E/A-Einrichtungen 28, 30 und 32 (für die Steuereinheit 24),
die E/A-Einrichtungen 34 und 36 (für die Steuereinheit 26)
und die Feldgeräte 40 und 42 verwendet
werden. Speziell implementiert oder beaufsichtigt jede der Steuereinheiten 24 und 26 eine oder
mehrere Prozeßsteuerungsroutinen 72,
die darin gespeichert oder anderweitig zugeordnet sind, und kommuniziert
mit den Feldgeräten 40 und 42 und den
Workstations 16, um den Prozeß 10 oder einen Teil
des Prozesses 10 auf eine gewünschte Weise zu steuern.
-
Wie
in einer erweiterten Ansicht für
die E/A-Einrichtung 34 gezeigt ist, weisen die dem Prozeßsteuerungssystem 12 zugeordneten
E/A-Einrichtungen 28, 30, 34 und 36 jeweils
einen Prozessor 74, einen Speicher 76 und eine
oder mehrere in dem Speicher 76 gespeicherte Routinen 78 auf,
die dazu dienen, mit den Feldgeräten 40 und 42,
den Steuereinheiten 24 oder 26 usw. zu kommunizieren,
oder für andere
Zwecke verwendet werden. Die Feldgeräte 40 und 42 können jede
gewünschte
Art von Feldgeräten
sein wie etwa Sensoren, Ventile, Geber, Positionierer usw. und können jedem
gewünschten
offenen, firmenspezifischen oder anderen Kommunikations- oder Programmierprotokoll
entsprechen, das beispielsweise das HART-Protokoll oder das 4-20-ma-Protokoll
(wie es für
die Feldgeräte 40 gezeigt
ist), jedes Fieldbus-Protokoll wie etwa das FOUNDATION® Fieldbus-Protokoll
(wie es für
die Feldgeräte 42 gezeigt
ist) oder das CAN-, Profibus-, AS-Interface-Protokoll, um nur einige
zu nennen, sein kann. Ebenso können
die E/A-Einrichtungen 28 bis 36 jeder bekannte
Typ von Prozeßsteuerungs-E/A-Einrichtungen sein,
die ein geeignetes Kommunikationsprotokoll bzw. solche Protokolle
verwenden.
-
Die
Sicherheits-Logikauflöser 50 bis 56 von 1 können jede gewünschte Art
von Sicherheitssystem-Steuereinrichtungen sein, und wie eine erweiterte
Darstellung des Logikauflösers 56 zeigt, kann
jeder der Logikauflöser 50 bis 56 einen
Prozessor 80, einen Speicher 82 und eines oder
mehrere Sicherheitslogikmodule 84 aufweisen, die so ausgebildet
sind, daß sie
auf dem Prozessor 80 ausgeführt werden, um eine dem Sicherheitssystem 14 zugeordnete
Steuerungsfunktionalität
unter Verwendung der Feldgeräte 60 und 62 zu
ermöglichen.
Selbstverständlich
können
die Sicherheitsfeldeinrichtungen 60 und 62 jede
gewünschte
Art von Feldeinrichtungen sein, die einem bekannten oder gewünschten
Kommunikationsprotokoll wie etwa den oben erwähnten entsprechen oder dieses
verwenden. Insbesondere können
die Feldeinrichtungen 60 und 62 sicherheitsbezogene
Feldeinrichtungen des Typs sein, der herkömmlich von einem separaten,
fest zugeordneten sicherheitsbezogenen Steuerungssystem gesteuert werden.
In der in 1 gezeigten
Prozeßanlage 10 sind
die Sicherheitsfeldeinrichtungen 60 so dargestellt, daß sie ein
fest zugeordnetes oder Punktzu-Punkt-Kommunikationsprotokoll wie
das HART- oder das 4-20-ma-Protokoll verwenden, wogegen die Sicherheitsfeldeinrichtungen 62 in
der Darstellung ein Buskommunikationsprotokoll wie etwa ein Fieldbus-Protokoll
verwenden. Die Sicherheitsfeldeinrichtungen 60 können jede
gewünschte
Funktion ausführen,
etwa die eines Abschaltventils, eines Ausschalters usw.
-
In
jedem der Knoten 18 und 20 wird eine gemeinsame
Rückwandplatine 86 verwendet
(die mittels einer Strichlinie durch die Steuereinheiten 24, 26, die
E/A-Einrichtungen 28 bis 36, die Sicherheits-Logikauflöser 50 bis 56 und
die MPDs 64 und 6 bezeichnet ist), um die Steuereinheiten 24 und 26 mit den
Prozeßsteuerungs-E/A-Karten 28, 30 und 32 oder 34 und 36 sowie
mit den Sicherheits-Logikauflösern 50, 52, 54 oder 56 und
mit den MPDs 64 oder 66 zu verbinden. Die Steuereinheiten 24 und 26 sind
ferner kommunikativ mit dem Bus 22 gekoppelt und wirken
als Busvermittler für
den Bus 22, um jeder der E/A-Einrichtungen 28 bis 36,
den Logikauflösern 50 bis 56 und
den MPDs 64 und 66 die Kommunikation mit jeder
der Workstations 16 über
den Bus 22 zu ermöglichen.
-
Wie
bekannt ist, können
eines oder mehrere der Feldgeräte 40, 42, 60 und 62 Online-Einrichtungsselbstprüfroutinen 88 aufweisen,
die darin gespeichert sind. Selbstprüfroutinen 88 sind
zwar in 1 so dargestellt,
daß sie
in einer Reihe der Feldgeräte 40, 42, 60 und 62 gespeichert
sind, es versteht sich aber, daß diese
Routinen in jedem der anderen Feldgeräte gespeichert sein können und
jede gewünschte
oder verfügbare
Online-Selbstprüfroutine
sein können,
wie sie etwa in HART-, Fieldbus- oder anderen Arten von intelligenten
Feldgeräten verwendet
werden. Natürlich
brauchen die Einrichtungsselbstprüfungsroutinen 88 von 1 nicht der gleiche Typ
von Routine zu sein und sind im allgemeinen unterschiedlich und
basieren auf der Art des Feldgeräts
(Ventil, Sensor usw.), in dem sie vorgesehen sind, des Protokolls,
an welches das Feldgerät angepaßt ist,
usw. Selbstverständlich
sind die Selbstprüfroutinen 88 dafür ausgebildet,
auf einem Prozessor in den Feldgeräten 40, 42, 60 und 62 ausgeführt zu werden,
in denen sich diese Routinen befinden, um eine Selbstprüfung an
diesen Feldgeräten
auszuführen.
-
Eine
solche Selbstprüfroutine,
die in einem Ventil verwendet werden kann, um einen Teilhub zur Erfassung
des Betriebszustands des Ventils auszuführen, ist in der
US-PS 6 186 167 vom 13. Februar 2001
mit dem Titel "Emergency
Shutdown Test System" angegeben.
Außerdem
zeigt die US-Patentanmeldung 10/116940 mit dem Titel "Control Device Test
System with a Remote Switch Activation", angemeldet am 5. April 2002, die Aktivierung
einer solchen Selbstprüfung
unter Verwendung eines an dem Feldgerät befindlichen Schalters. Andere
Online-Selbstprüfroutinen
könnten
jedoch statt der oben beschriebenen oder zusätzlich zu diesen verwendet werden.
-
Außerdem hat
jede der E/A-Einrichtungen 30, 32 und 34 und
jeder der Logikauflöser 50 bis 56 (die
kommunikativ mit Feldgeräten
gekoppelt sind, in denen Selbstprüfroutinen 88 vorhanden
sind) eine Prüfeinheit
oder einen Prüfblock 90,
der wirksam ist, um mit einer jeweiligen der Selbstprüfroutinen 88 innerhalb
der Feldgeräte 40, 42, 60 oder 62 und
mit anderen Elementen innerhalb des Prozeßsteuerungs-/Sicherheitssystems 10 zu
kommunizieren und dadurch die Operation der Selbstprüfroutinen
innerhalb der Funktionalität
des Prozeßsteuerungs-/Sicherheitssystems 10 zu
integrieren. Wie die erweiterte Ansicht der E/A-Einrichtung 34 und
des Sicherheits-Logikauflösers 56 zeigt,
können
die E/A-Einrichtungen 30 bis 34 und die Sicherheits-Logikauflöser 50 bis 56 jede
Anzahl von Prüfeinheiten 90 aufweisen,
die in einem Speicher davon gespeichert sind. Allgemein gesagt,
gibt es eine jeweils andere Prüfeinheit 90 für jede der
verschiedenen Selbstprüfroutinen 88,
die in einem Feldgerät
gespeichert ist, mit dem eine E/A-Einrichtung oder ein Sicherheits-Logikauflöser verbunden
ist, obwohl dies nicht unbedingt erforderlich ist.
-
Die
Prüfeinheiten
oder -blöcke 90 veranlassen
im allgemeinen die jeweiligen Selbstprüfroutinen 88 zu starten, überwachen
den Ablauf der Routinen 88 und können die Ergebnisse der Prüfungen automatisch
zu anderen Elementen innerhalb des Prozeßsteuerungs-/Sicherheitssystems 10 übermitteln, beispielsweise
zu einer oder mehreren der Steuerungsroutinen 72, den Sicherheitsmodulen 84,
den Anwenderschnittstellen oder Workstations 16 oder jeder
anderen Entität,
die aus den Ergebnissen der Online-Selbstdiagnoseprüfungen 88 an
den Feldgeräten 40, 42, 60 und 62 Nutzen
ziehen kann oder sie nutzen kann, um irgendeine Funktionalität innerhalb des
Prozeßsteuerungs-/Sicherheitssystems
10 auszuführen.
-
Es
versteht sich, daß jede
der Workstations 16 einen Prozessor 92 und einen
Speicher 94 hat, in dem eine oder mehrere Konfigurations-,
Diagnose-, Betrachtungs- oder andere Anwendungen gespeichert sind,
die dazu ausgebildet sind, auf dem Prozessor 92 ausgeführt zu werden.
Eine Konfigurationsanwendung 96 und eine Betrachtungsanwendung 97 sind
in einer erweiterten Ansicht in 1 so dargestellt,
daß sie
in einer der Workstations 16 gespeichert sind, wogegen
eine Diagnoseanwendung 98 dort in einer anderen der Workstations 16 gespeichert
ist. Falls gewünscht,
könnten
jedoch diese und andere Anwendungen in verschiedenen der Workstations 16 oder
in anderen der Prozeßanlage 10 zugeordneten
Computern gespeichert und ausgeführt werden.
Allgemein gesagt, liefert die Konfigurationsanwendung 96 Konfigurationsinformation
an einen Prozeß-
oder einen Sicherheitsingenieur und ermöglicht diesem, einige oder
alle Elemente der Prozeßanlage 10 zu
konfigurieren und diese Konfiguration in der Konfigurationsdatenbank 21 zu
speichern. Diese Konfigurationsanwendung 96 kann so ausgelegt sein,
daß es
dem Prozeßsteuerungs-
oder Sicherheitsingenieur ermöglicht
wird, sowohl die Selbstprüfroutinen 88 zu
erstellen und in die Feldgeräte 40, 42, 60 und 62 herunterzuladen
als auch die Prüfeinheiten 90 zu
erstellen und sie in den verschiedenen Einrichtungen des Systems
zu speichern oder anderweitig zu konfigurieren.
-
Als
Teil der Konfigurationstätigkeiten,
die von der Konfigurationsanwendung 96 ausgeführt werden, kann
der Ingenieur natürlich
die Steuerroutinen oder Steuermodule 72 für die Prozeßsteuereinheiten 24 und 26 erzeugen,
kann die Sicherheits-Logikmodule 84 für sämtliche Sicherheits-Logikauflöser 50 bis 56 erzeugen,
kann die Kommunikations- oder
anderen Routinen 78 erzeugen, die in den E/A-Einrichtungen 28 bis 36 gespeichert
werden, kann diese und andere Anwendungen kommunikativ mit den Prüfeinheiten 90 koppeln
und kann diese verschiedenen Steuer- und Sicherheitsmodule in die
entsprechenden Prozeßsteuereinheiten 24 und 26,
die E/A-Einrichtungen 28 bis 36 und die Sicherheits-Logikauflöser 50 bis 56 über den
Bus 22 und die Steuereinheiten 24 und 26 herunterladen.
Gleichermaßen
kann die Konfigurationsanwendung 96 dazu genutzt werden,
andere Programme und Logik zu erstellen und in die E/A-Einrichtungen
28 bis 36, jedes der Feldgeräte 40, 42, 60 und 62 usw.
herunterzuladen.
-
Dagegen
kann die Betrachtungsanwendung
97 genutzt werden, um dem
Anwender wie etwa einem Prozeßsteuerungs-Bediener,
einem Sicherheitstechniker usw. eine oder mehrere Anzeigen bzw. Displays
zu bieten, die Information über
den Zustand des Prozeßsteuerungssystems
12 und
des Sicherheitssystems
14 entweder in gesonderten Ansichten oder,
falls gewünscht,
in derselben Ansicht bieten. Als Teil dieser Betrachtungsfunktionen
kann die Betrachtungsanwendung
97 dem Anwender die Fähigkeit
bieten, eine bedarfsweise Online-Selbstprüfung
88 innerhalb
eines oder mehrerer der Feldgeräte
40,
42,
60 und
62 auszuführen oder
zu implementieren und eine periodische Prüfrate für diese Geräte einzustellen, und/oder sie
kann ein Alarmdisplay bieten, das für einen Bediener oder anderen
Anwender Hinweise auf Alarme oder andere Prüfergebnisse empfängt und
anzeigt, die durch die Routinen
88 bestimmt und von den
Prüfeinheiten
90 gesammelt
werden. Falls gewünscht,
kann eine solche Alarmbetrachtungsanwendung die Form annehmen, die
in der
US-PS 5 768 119 mit
dem Titel "Process
Control System Including Alarm Priority Adjustment" und in der US-Patentanmeldung 09/707580
mit dem Titel "Integrated
Alarm Display in a Process Control Network" angegeben ist, die beide auf die Erwerberin des
vorliegenden Patents übertragen
sind und hier summarisch eingeführt
werden. Es versteht sich jedoch, daß die Alarmanzeige oder das
Alarmfeld dieser Patente Alarme sowohl von dem Prozeßsteuerungssystem
12 als
auch dem Sicherheitssystem
14 in einer integrierten Alarmanzeige
empfangen und anzeigen kann, da die Alarme von beiden Systemen
12 und
14 zu
der Bediener-Workstation
16 gesendet werden, die die Alarmanzeige-Anwendung
ausführt, und
als Alarme von unterschiedlichen Einrichtungen erkennbar sind. Die
Betrachtungsanwendung
97 kann es einem Bediener ermöglichen,
Sicherheitsalarme, die in einem Alarmfeld angezeigt werden, auf die
gleiche Weise wie Prozeßsteuerungsalarme
zu behandeln. Beispielsweise kann der Bediener oder Anwender Sicherheitsalarme
quittieren, Sicherheitsalarme abschalten usw. unter Verwendung des Alarmdisplays,
das Meldungen über
die entsprechenden Prozeßsteuereinheiten
24,
26 zu
den Prüfeinheiten
90 unter
Nutzung der Übertragungsmöglichkeiten über den
Bus
22 und die Rückplatine
86 sendet,
um in bezug auf den Alarm die entsprechende Maßnahme einzuleiten. Auf ähnliche
Weise können
andere Betrachtungsanwendungen Informationen oder Daten sowohl von
dem Prozeßsteuerungssystem
12 als
auch dem Sicherheitssystem
14 anzeigen, da diese Systeme
die gleichen Arten und Typen von Parametern, Sicherheit und Verweisen
nutzen können,
so daß alle
Daten von einem der Systeme
12 und
14 in einer
Anzeige oder Ansicht integriert werden können, die traditionell für ein Prozeßsteuerungssystem
bereitgestellt wird.
-
Die
Diagnoseanwendung 98 kann ebenfalls so funktionieren, daß eine bedarfsweise
Prüfung
von einem oder mehreren der Feldgeräte 40, 42, 60 und 62 automatisch
ausgelöst
wird durch Senden eines geeigneten Signals an einen oder mehrere
der Prüfblöcke 90 und Nutzen
der Ergebnisse dieser Prüfung für weitere
diagnostische Aktivitäten.
Außerdem kann
die Diagnoseanwendung 98 wirksam sein, um eine periodische
Prüfung
von einem oder mehreren der Feldgeräte 40, 42, 60 und 62 unter
Nutzung der Prüfblöcke 90 einzurichten.
Selbstverständlich
kann die Diagnoseanwendung 98 die Selbstprüfungen 88 aus
jedem gewünschten
Grund einleiten, kann die Ergebnisse dieser Prüfungen empfangen und aus jedem
gewünschten
Grund oder als Teil einer gewünschten
Anwendung nutzen, wobei es sich versteht, daß die Diagnoseroutine 98 die
Prüfblöcke 90 verwendet,
um die Online-Selbstprüfungen 88 der Feldgeräte 40, 42, 60 und 62 einzuleiten
und die Ergebnisse dieser Prüfung
zu gewinnen.
-
Selbstverständlich können andere
Anwendungen zusätzlich
zu den Anwendungen 96 bis 98 kommunikativ mit
den Prüfblöcken 90 gekoppelt
sein und bewirken, daß die
Selbstprüfroutinen 88 ausgeführt werden,
und/oder die Ergebnisse dieser Prüfungen über die Prüfblöcke 90 empfangen,
wenn diese Prüfungen
ausgeführt
werden. Ebenso kann jede Anzahl von Prüfblöcken 90 für jede Anzahl
von Selbstprüfroutinen 88 vorgesehen
sein, die in jedem der Feldgeräte 40, 42, 60 und 62 gespeichert
sind und von ihnen ausgeführt
werden.
-
2 zeigt ein Logikdiagramm 100 einer
Art und Weise, wie verschiedene Entitäten innerhalb der Prozeßanlage 10 von 1 miteinander kommunizieren
können,
um die Selbstprüfroutinen
zu implementieren und die Ergebnisse dieser Prüfungen zu überwachen oder zu empfangen.
Die Blöcke
von 2 stellen verschiedene
Routinen oder Entitäten dar,
während
die Linien Kommunikationsnetze oder -wege darstellen. Eine Vollinie
stellt eine direkte Kommunikationsstrecke dar, etwa eine in der
Einzeleinrichtung oder einen direkten Bus oder andere Leitungsverbindungen
zwischen zwei Einrichtungen, wogegen eine Linie mit einem Schraffursymbol
(mit 102 bezeichnet) eine indirekte Kommunikationsstrecke wie etwa
eine bezeichnet, die durch eine andere Einrichtung oder durch eine
Protokollumwandlung verläuft.
Ferner bezeichnen die Strichlinien in 2 den
Ort der verschiedenen Elemente wie etwa in den Workstations 16,
den Prozeßsteuereinheiten 24 und 26,
den E/A-Einrichtungen 28 bis 36 und 50 bis 56 und
den Feldgeräten 40, 42, 60 und 62.
-
Wie 2 zeigt, kann jeder Prüfblock 90 mit einer
anderen der Selbstprüfroutinen 88 über einen anderen
oder in manchen Fällen
denselben Bus oder ein Kommunikationsnetz kommunikativ verbunden sein.
Das jeweils verwendete spezielle Kommunikationsnetz ist abhängig von
der Art des Feldgeräts,
in dem sich die Selbstprüfroutine 88 befindet,
etwa in einem HART- oder einem Fieldbus-Feldgerät. Ebenso kann jede von der
Konfigurationsanwendung 96, der Betrachtungsanwendung 97,
der Diagnoseanwendung 98 sowie jede andere Anwendung, die
in den Workstations 16 gespeichert ist oder ausgeführt wird, mit
einem oder mehreren der Prüfblöcke 90 über ein indirektes
Kommunikationsnetz kommunizieren, das den Bus 22, die Steuereinheiten 24 oder 26 und
die Rückplatine 86 aufweist.
Die Prozeßsteuerroutinen wie
etwa die Routinen 72a können
mit den Prüfeinheiten 90 im
selben Knoten beispielsweise über
eine der Rückplatinen 86 direkt
kommunizieren, und die Prozeßsteuerroutinen 72b können mit
den Prüfeinheiten 90 in
einem anderen Knoten beispielsweise durch den Bus 22, die
andere von den Steuereinheiten und die Rückplatine 86 indirekt
kommunizieren. Die direkte Kommunikation findet statt, wenn beispielsweise
eine Prozeßsteuerroutine 72a in
der Steuereinheit 26 (von 1)
mit einem Prüfblock 90 innerhalb
einer der E/A-Einrichtungen 34 oder 36 oder
in einem der Sicherheits-Logikauflöser 54 oder 56 kommuniziert.
Die indirekte Kommunikation kann stattfinden, wenn beispielsweise
eine Steuerroutine 72b innerhalb der Steuereinheit 26 mit
einer Prüfroutine 90 kommuniziert,
die in einer der E/A-Einrichtungen 30 oder 32 oder
einem der Sicherheits-Logikauflöser 50 oder 52 gespeichert
ist.
-
Zusätzlich können die
E/A-Routinen 78a, die in demselben Knoten wie die Prüfeinheiten 90 gespeichert
sind, direkt mit diesen Prüfeinheiten 90 kommunizieren,
weil entweder die E/A-Routinen 78a und die Prüfeinheiten 90 in derselben
Einrichtung vorliegen oder weil die E/A-Routinen 78a und die Prüfeinheiten 90 durch
die Rückplatine 86 desselben Knotens
miteinander verbunden sind. Die E/A-Routinen 78b können mit
den Prüfeinheiten 90 eines
anderen Knotens beispielsweise über
die Rückplatine 86 (eines
ersten Knotens), die Steuereinheit (des ersten Knotens) des Busses 22,
die Steuereinheit (des zweiten Knotens) und die Rückplatine 86 (des
zweiten Knotens) kommunizieren. Ebenso können die in demselben Knoten
wie die Prüfeinheiten 90 gespeicherten
Sicherheitsmodule 84a direkt mit diesen Prüfeinheiten 90 kommunizieren,
weil entweder die Sicherheitsmodulroutinen 84a und die
Prüfeinheiten 90 in
derselben Einrichtung vorliegen oder weil die Sicherheitsmodulroutinen 84a und
die Prüfeinheiten 90 durch
die Rückplatine 86 desselben
Knotens miteinander verbunden sind. Die Sicherheitsmodule 84b können mit
den Prüfeinheiten 90 eines
anderen Knotens beispielsweise über
die Rückplatine 86 (eines ersten
Knotens), die Steuereinheit (des ersten Knotens) des Busses 22,
die Steuereinheit (des zweiten Knotens) und die Rückplatine 86 (des
zweiten Knotens) oder über
die Rückplatine 86 des
ersten Knotens, die MPDs 64 und 66, den Bus 68 und
die Rückplatine 86 des
zweiten Knotens kommunizieren.
-
Die
Kommunikation zwischen den verschiedenen Geräten bzw. Einrichtungen oder
Elementen innerhalb dieser Einrichtungen kann die Form von adressierbaren
Meldungen, Statusmeldungen, Konfigurationsmeldungen oder jeder anderen
Art von Meldungen haben, die zu den Prüfblöcken 90 gesendet werden
oder davon erzeugt werden können.
In einem Fall kann der Prüfblock 90 einfach
Statusanzeigen oder -felder der E/A- oder Sicherheitslogikeinrichtung,
in der er sich befindet, bewirken, und andere Anwendungen oder Einrichtungen
können
mit dem Prüfblock
in Dialog treten durch Lesen dieser Statusanzeigen oder -felder.
Gleichermaßen
kann die Konfiguration des Prüfblocks 90 ausgeführt werden durch
Setzen von Konfigurationsfeldern oder -anzeigen in der E/A- oder Sicherheitslogikeinrichtung,
in der sich der entsprechende Prüfblock 90 befindet.
Alternativ oder zusätzlich
können
die Prüfblöcke 90 Objekte
oder andere Entitäten
sein, die separat adressierbar sind, so daß Kommunikationen direkt zwischen
Anwendungen und den Prüfblöcken 90 eingerichtet
werden können.
Bei einem Beispiel kann einer oder können mehrere der Prüfblöcke 90 als
Funktionsblock ausgebildet sein wie etwa als ein Foundation Fieldbus-Funktionsblock
oder jeder andere Typ von Funktionsblock und können imstande sein, direkt mit
anderen Elementen oder Anwendungen innerhalb des Prozeßsteuerungs-/Sicherheitssystems 10 zu
kommunizieren.
-
Allgemein
gesagt, kann der Prüfblock 90 entweder
bedarfsweise Prüfungen,
wie sie etwa von einem Anwender, einem Steuerungs- oder Sicherheitsprogramm
oder jeder anderen Anwendung, Person oder Entität innerhalb des Prozeßsteuerungs-/Sicherheitssystems
10 eingeleitet werden, zu jedem gewünschten Zeitpunkt auslösen, oder
periodische Prüfungen
auslösen,
die automatisch auf einer periodischen oder planmäßigen Basis
ablaufen oder ausgeführt
werden, auslösen.
Eine periodische Prüfung wird
ausgelöst
durch Konfigurieren des Zeitraums zwischen Prüfungen, und zusätzlich kann
der Anwender den Zeitraum nach Beendigung einer erfolgreichen Prüfung, nach
dessen Überschreitung
der Prüfblock 90 einen
Verspätete-Prüfung-Status
oder Alarm erzeugt, konfigurieren. Diese Alarmfähigkeit stellt sicher, daß Prüfungen innerhalb
eines vordefinierten Zeitrahmens für die Zertifizierung durchgeführt werden.
Andere Ereignisse, die zum Alarmieren oder zum Protokollieren von
Ereignissen genutzt werden können,
sind beispielsweise Prüfungsstörungen,
verweigerte Prüfungen,
nichtunterstützte
Einrichtungen und erfolgreiche Prüfungen. Außerdem kann die Prüfeinheit 90 die
Zeitdauer, bis die nächste periodische
Prüfung
stattfindet, sowie die Zeitdauer seit der Durchführung der letzten erfolgreichen
Prüfung überwachen
oder bereitstellen. Bei einem Beispiel kann die Prüfeinheit 90 eine
Ventil-Teilhubprüfung
an einem Notabschaltventil wie etwa dem Gerät DVC 6000 ESD von Fisher Controls
International LLC einleiten und überwachen,
um zu prüfen,
ob die Ventilspindel bewegbar ist oder nicht. Außerdem kann die Prüfeinheit 90 automatisch
das Statusfeld der Kommunikationen von jedem Feldgerät überwachen,
das in seinen Mitteilungen eine Statusanzeige liefert, um zu bestimmen,
ob das Feldgerät
außer dem
durch die Selbstprüfungsroutine
festgestellten Problem ein anderes Problem wie etwa ein Kommunikationsproblem
hat.
-
Bei
einer Ausführungsform
ist die Prüfeinheit 90 (und
somit die E/A-Einrichtung, in der sie sich befindet) für Selbstprüfungsvorgänge verantwortlich und
setzt Statusflags oder – variablen
in der E/A-Einrichtung auf der Basis des Zustands der Prüfeinheit 90.
Selbstverständlich
sind die Steuereinheiten 24 und 26 und Anwenderschnittstellen 16 von 1 verantwortlich für die Weiterleitung
von Anforderungen vom Anwender oder von anderen Anwendungen oder
Entitäten
innerhalb des Prozeßsteuerungs-/Sicherheitssystems 10,
etwa Konfigurationsmitteilungen und Prüfstartanforderungen, und die
Handhabung der Sicherheit, um zu verhindern, daß Anwender ungewollt das Feldgerät deaktivieren,
in dem die Selbstprüfung
abläuft
oder vorgesehen ist. Die Steuereinheiten 24 und 26 können ihre
eigenen Startanforderungen auf der Basis von Steuerungs- oder Ablaufalgorithmen
nach Bedarf erzeugen. Die Steuereinheiten 24 und 26 können auch
Ereignisse generieren, um sie für
Alarmierungs- und Protokollierungszwecke zu verwenden, und zwar
auf der Basis des Status, der von der Prüfeinheit 90 in der
E/A-Einrichtung oder den Sicherheits-Logikauflösern vorgegeben ist, in denen
sich die Prüfeinheiten 90 befinden, oder
durch Meldungen, die von der Prüfeinheit 90 gesendet
werden.
-
Allgemein
gesagt, weisen die Prüfblöcke 90 Kommunikationsfähigkeiten
auf, die so ausgebildet sind, daß die Kommunikation mit einer
oder, falls gewünscht,
mit einer Gruppe von Selbstprüfungsroutinen 88 innerhalb
der gleichen oder von verschiedenen Feldgeräten möglich ist. Die Prüfblöcke 90 sind so
konfiguriert, daß sie
entsprechend kommunizieren, um die Selbstprüfungsroutinen 88 zu
initiieren, die Operation des Feldgeräts oder der Selbstprüfungsroutinen 88 überwachen
und die Ergebnisse der Selbstprüfungsroutinen 88 erhalten
sowie mit den Feldgeräten
kommunizieren und andere Statusinformationen außer den Selbstprüfungsroutinen 88 von
den Feldgeräten
empfangen. Außerdem
ist der Prüfblock 90 imstande,
die Ergebnisse der Selbstprüfung
und eventuell weitere Informationen wie etwa die Feldgerät-Statusinformation
an jede gewünschte Entität innerhalb
des Prozeßsteuerungssystems 10 unter
Anwendung jeder gewünschten
Kommunikationstechnik zu übermitteln.
Selbstverständlich
können
die Prüfeinheiten 90 in
Form jeder gewünschten Software
in jeder gewünschten
Programmiersprache oder jedem gewünschten Paradigma implementiert werden.
-
Wie 3 zeigt, kann eine Prüfeinheit 90 eine
Feldgerät-Kommunikationseinheit
oder – routine 110 aufweisen,
die so ausgebildet ist, daß sie
mit einer oder mehreren der Selbstprüfroutinen 88 in den Feldgeräten 40, 42, 60 und 62 kommuniziert
unter Nutzung der jeweils entsprechenden Signale oder Meldungen,
die jeweils erforderlich sind, um diese Prüfungen einzuleiten und zu überwachen.
Wie hier beschrieben wird, sind diese Meldung Prüfungseinleitungs- und -überwachungsmeldungen,
und es versteht sich, daß es
Meldungen oder Kommunikationen in jeder beliebigen Form und jedem
beliebigen Protokoll sind, die/das notwendig ist, um die eigentlichen Selbstprüfungsroutinen 88 einzuleiten
und zu überwachen.
Selbstverständlich
sind diese Meldungen bzw. Nachrichten von dem Typ, der Beschaffenheit und
dem Protokoll von Selbstprüfungsroutinen 88 und
den Kommunikationsnetzen, die die Feldgeräte verbinden, in denen sich
die Selbstprüfungsroutinen 88 befinden,
und den E/A- oder Sicherheitslogikeinrichtungen abhängig, in
denen sich die Prüfroutinen 90 befinden.
Außerdem
nutzt die Prüfeinheit 90 die Kommunikationsroutine 110,
um mit dem Feldgerät zu
kommunizieren, in dem sich eine Selbstprüfungsroutine 88 befindet
(oder auch mit einem Feldgerät, das
keine Selbstprüfungsroutine 88 aufweist),
um andere Statusinformation zu bestimmen, die von diesem Feldgerät im allgemeinen
geliefert wird, etwa die Statusfelder der Meldungen von diesem Feldgerät. Diese
Statusfelder sind gewöhnlich
in Meldungen oder Kommunikationen von HART- oder Fieldbus-Feldgeräten enthalten
und bezeichnen den Status des Feldgeräts als gut, schlecht, normal,
abnormal, fehlerhafter Modus usw. Diese zusätzliche Statusinformation,
die außerhalb
der Selbsprüfungsroutinen 88 erzeugt
wird, kann auch genutzt werden, um Alarme, Ereignisse oder andere
Meldungen zu anderen Prozeßeinheiten
wie. etwa Steuerungsroutinen, Sicherheitsmodulen, Diagnoseanwendungen
usw. zu erzeugen.
-
Zusätzlich kann
die Prüfeinheit 90 eine
zweite Kommunikationseinheit oder -routine 112 aufweisen
zur Kommunikation mit anderen Entitäten innerhalb des Prozeßsteuerungs-/Sicherheitssystems 10 wie
etwa mit den Sicherheitsmodulen 84, den Steuerroutinen 72,
den E/A-Routinen 78, den Anwendungen 96 bis 98 oder
irgendwelchen anderen Entitäten. Einige
der Meldungen oder Kommunikationen zu und von der Prüfeinheit 90 können Statusmeldungen
aufweisen wie etwa einen TestRunning-Status (= TestLäuft-Status), der gesetzt
wird, wenn eine Prüfung gerade
läuft,
einen TestSuccess-Status (=TestErfolgreich-Status), der das Ende
einer erfolgreichen Prüfung
bezeichnet, einen TestFailed-Status (=TestFehlerhaft-Status), der
am Ende einer Prüfung
gesetzt wird, wenn sich das Gerät
in einem Fehlermodus befindet oder die Prüfung fehlerhaft ist, einen
TestLate-Status (=TestVerspätet-Status),
der gesetzt wird, wenn eine Bedarfs- oder periodische Prüfung verspätet ausgeführt wird,
einen TestDenied-Status (=TestVerweigert-Status), der gesetzt wird,
wenn die Prüfung
nicht beginnen kann, weil das Feldgerät nicht imstande ist, die Prüfung einzuleiten,
wenn sich etwa das Feldgerät
in einem Kalibrier- oder Diagnosemodus befindet, und einen TestNotSupported-Status
(=PrüfungNichtUnterstützt-Status),
der gesetzt wird, wenn das Feldgerät die geforderte Prüfung nicht
unterstützt.
Die Kommunikationseinheit 112 kann auch genutzt werden,
um Bezeichnungen des Meldungsstatus zu liefern, der von den Feldgeräten empfangen
wird, in denen sich die Selbstprüfungsroutinen 88 befinden.
-
Die
Kommunikationsroutine 112 ist zwar als kommunikativ mit
anderen verdrahteten Netzen wie etwa der Rückwandplatine 86 oder
den Steuereinheiten 24 und 26 verbunden dargestellt,
sie kann aber zusätzlich
oder alternativ mit einem seriellen Port an der E/A-Einrichtung verbunden
sein, in der sich die Prüfroutine
befindet. Ein Anwender kann dann eine mobile Konfigurations- oder
Kommunikationseinrichtung (etwa einen Hand- PC) an die Prüfeinheit 90 über den
seriellen Port anschließen,
um dadurch die Selbstprüfungen 88 auf
jede gewünschte
Weise zu konfigurieren, zu steuern und die Ergebnisse zu erhalten.
Alternativ kann der serielle Port mit einem drahtlosen Netz wie
etwa einem Satelliten- oder Mobilfunknetz, einer drahtlosen Ethernet-Verbindung usw.
verbunden werden, um drahtlose Kommunikationen zwischen der Prüfeinheit 90 und
anderen Entitäten
in dem Prozeß,
die an voneinander weit entfernten geografischen Orten liegen, zu
ermöglichen.
-
Bei
dem Beispiel von 3 weist
die Prüfeinheit 90 Konfigurationsvariablen 113 auf,
die durch die TestOnDemand-Variable (= TestBeiBedarf-Variable),
die TestPeriodic-Variable (=TestPeriodisch-Variable) und die TestLateTime-Variable
(=TestVerspätetZeitpunkt-Variable) bezeichnet
sind. Die TestOnDemand-Variable kann gesetzt werden, um die Einleitung
von Bedarfsprüfungen
durch die Prüfeinheit 90 bei
Empfang einer bedarfsweisen Prüfungsanforderung
von einer anderen Anwendung oder einem Anwender innerhalb der Prozeßanlage 10 zu
aktivieren, und kann rückgesetzt
werden, um die Unterstützung
für die
Bedarfsprüfungen
zu deaktivieren. Die TestPeriodic-Variable kann beispielsweise auf
Null gesetzt werden, um die Einleitung von automatischen oder periodischen
Prüfungen
mit einer periodischen Rate durch die Prüfeinheit 90 zu deaktivieren. Alternativ
kann die TestPeriodic-Variable auf einen von Null verschiedenen
Wert gesetzt werden, um die Prüfeinheit 90 so
zu konfigurieren, daß sie
automatisch periodische Prüfungen
des Feldgeräts
unter Anwendung der Selbstprüfungsroutine 88 anfordert, und
der von Null verschiedene Wert kann die periodische Rate sein, mit
der diese Prüfungen
von der Prüfeinheit 90 automatisch
angefordert oder eingeleitet werden sollen. Falls gewünscht, kann
natürlich
eine separate Variable gesetzt werden, um eine Anforderungsrate
für periodische
Prüfungen
oder auch einen nichtperiodischen Prüfungsablauf zu etablieren.
Die TestLateTime-Variable kann auf einen Wert gesetzt werden, der
die Zeitdauer nach der vorhergehenden Prüfung oder beim Hochfahren bezeichnet, über die hinaus
dann, wenn keine Prüfung
eingeleitet wird, der TestLate-Status
gesetzt wird, was eine verspätete
Prüfung
bezeichnet. Andere Variablen können nach
Wunsch vorgesehen sein, um den Zeitpunkt, die Art und den Typ der
anzufordernden Prüfungen zu
konfigurieren.
-
Die
Prüfeinheit 90 kann
ferner einen oder mehrere Zeitgeber 114 aufweisen, die
genutzt werden können,
um die von der Prüfeinheit 90 einzuleitenden
periodischen Prüfungen
zeitlich zu steuern, wenn die TestPeriodic-Variable 113 gesetzt
ist, sowie zu auf der Basis der TestLateTime-Variablen 113 zu bestimmen,
ob ein Alarm gesetzt oder gesendet werden soll. Falls gewünscht, kann
der Zeitgeber 114 ein Zeitgeber beispielsweise mit einer
Auflösung
von einer Sekunde sein. Nachdem die erste erfolgreiche Prüfung abgeschlossen
ist, kann eine abgelaufene Zeitgebervariable (nicht gezeigt) jede
Sekunde inkrementiert werden. Dieser Zeitgeber kann am Ende jeder
erfolgreichen Prüfung
gelöscht
werden. Außerdem
kann der Wert dieses Zeitgebers von einem Anwender oder einer Anwendung
innerhalb der Prozeßanlage
jederzeit ausgelesen werden, um festzustellen, wie viel Zeit vergangen
ist, seit die Prüfung
zum letzten Mal ausgeführt
wurde, oder seit dem Hochfahren vergangen ist, bei dem die Prüfung durchgeführt wurde,
falls noch keine Prüfung
durchgeführt wurde.
Wenn die TestLateTime-Variable aktiv ist, kann ein Verspätungs-Zeitgeber,
der ursprünglich
auf diesen Wert eingestellt wurde, jede Sekunde dekrementiert werden,
wenn sein Wert größer als
Null ist. Wenn dieser Zeitgeber Null erreicht, kann die Prüfeinheit 90 den
TestLate-Status setzen, der über
die Kommunikationseinheit 112 einer Überwachungsanwendung wie etwa
einer Alarm- oder Steuerungsanwendung zugeführt wird. Dieser Zeitgeber
wird am Ende jeder erfolgreichen Prüfung und bei einer Änderung
des Werts während
der Konfigurierung mit der TestLateTime initialisiert. Selbstverständlich kann
der TestLate-Status durch eine C1earTestStatus-Anforderung (=TestLöschenStatus-Anforderung)
gelöscht werden,
die der Prüfeinheit 90 zu
jeder Zeit zugeführt werden
kann. Bei einer Ausführungsform
kann bei Bestätigung
eines Alarms durch einen Anwender eine Steuereinheit oder eine Überwachungsanwendung
die C1earTestStatus-Anforderung an die Prüfeinheit 90 senden.
-
Wenn
die TestPeriodic-Variable gesetzt oder aktiviert ist, kann ein hier
als TestPeriodicTimer bezeichneter Zeitgeber, wenn er größer als
Null ist, jede Sekunde dekrementiert werden. Wenn dieser Zeitgeber
Null erreicht, erzeugt die Prüfeinheit 90 ein
internes TestStart-Ereignis, um eine neue periodische Prüfung zu
starten. Dieser Zeitgeber kann mit der TestPeriodic-Variablen zu
Beginn jeder erfolgreichen Prüfung
und bei einer Wertänderung
während
der Konfiguration initialisiert werden. Selbstverständlich kann
ein Speicher 115 die Meldungen und Daten speichern, die
zur Durchführung
all dieser Kommunikationen erforderlich sind.
-
Ebenso
weist bei dem Beispiel von 3 die Prüfeinheit 90 eine
Zustandsmaschine 116 auf, die den Ablauf der Kommunikationen
steuert, die zwischen der Prüfeinheit 90,
den Selbstprüfungen 88 und
den anderen Entitäten
innerhalb des Prozeßsteuerungs-/Sicherheitssystems 10 stattfinden
unter Anwendung der Zeitgeber 114, der Variablen 113,
der Meldungen und Daten, die in dem Speicher 114 gespeichert
sind, und wobei, falls gewünscht,
die Ergebnisse der Selbstprüfungen 88 genutzt
werden, die in einem Speicher 118 gespeichert sein können. Selbstverständlich kann
die Prüfeinheit 90 Prüfungsergebnisdaten,
eine Ausführungsrate
der periodischen Selbstprüfung,
Konfigurationsdaten wie etwa, ob Bedarfs- oder periodische Prüfungen aktiviert werden
sollen usw., in jeder anderen Weise speichern, um die Operation
der Zustandsmaschine 116 zu implementieren.
-
4 zeigt ein Zustandsdiagramm 120,
das verwendet werden kann, um die Operation der Zustandsmaschine 11G von 3 zu beschreiben. Insbesondere
weist das Zustandsdiagramm 120 einen Keine-Kommunikation-Zustand 130,
einen Vorkonfiguriert-Zustand 132, einen Bereit-Zustand 134,
einen Start-Zustand 136, einen Ablauf-Zustand 140 und
einen Deaktiviert-Zustand 142 auf, die nachstehend sämtlich im
einzelnen beschrieben werden. Die möglichen Übergänge zwischen diesen Zuständen sind durch
Pfeile in dem Zustandsdiagramm 120 bezeichnet. Selbstverständlich können zusätzliche,
weniger und andere Zustände
verwendet werden. Auch kann die Zustandsmaschine 116 auf
jede gewünschte
Weise unter Anwendung jeder gewünschten
Software, Hardware, Firmware usw. implementiert sein, wobei es sich
versteht, daß die
in dem Zustandsdiagramm 120 gezeigten Zustände nur
beispielhaft sind.
-
Wenn
sie in dem Keine-Kommunikation-Zustand 130 ist, in den
der Eintritt beim Hochfahren erfolgen kann, versucht die Zustandsmaschine 116 (und
somit der Prozessor innerhalb der E/A-Einrichtung, in welcher die
Prüfeinheit 90 vorgesehen
ist), Kommunikationen mit dem Feldgerät herzustellen, in dem sich
die der Prüfeinheit 90 zugeordnete
Selbstprüfung 88 befindet.
Beim Eintritt in diesen Zustand werden der TestNotSupported- und
der TestRunning-Status gelöscht.
Während
dieser Zeit sendet die E/A-Einrichtung oder die Prüfeinheit 90 eine
Leseanforderung an das Feldgerät,
um Geräteinformation von
dem Feldgerät
zu gewinnen, damit sie mit der Etablierung von Kommunikationen mit
dem Feldgerät beginnen
kann. Wenn das Feldgerät
ein HART-Gerät ist, kann
die Prüfeinheit 90 an
das Feldgerät
eine HART-Anforderung Read-Unique-Identifier
im Kurzmodus an die Adresse 0 senden. Wenn die Nachricht ein Fehlversuch
ist, bleibt die Zustandsmaschine 116 im Keine-Kommunikation-Status 130,
versucht jedoch weiterhin, Kommunikationen mit dem Feldgerät zu etablieren.
Bei einer gültigen
Antwort von dem Feldgerät,
wenn sowohl die TestPeriodic-Variable (die definiert, ob periodische
Prüfungen
zugelassen werden sollen oder von der Prüfeinheit 90 unterstützt werden)
als auch die TestOnDemand-Variable (die definiert, ob bedarfsweise
Prüfungen
zugelassen werden sollen oder von der Prüfeinheit 90 unterstützt werden)
deaktiviert sind, geht die Zustandsmaschine 116 in den
Vorkonfiguriert-Zustand 132 über. Wenn eine oder beide von
der TestPeriodic-Väriablen
oder der TestOnDemand-Variablen
aktiviert sind, geht die Zustandsmaschine 116 in den Bereit-Zustand 134. Wenn
als Reaktion auf die Nachricht an das Feldgerät das Feldgerät anzeigt,
daß es
die Prüfung
nicht unterstützt,
wird der TestNotSupported-Status gesetzt, und die Zustandsmaschine 116 geht
in den Deaktiviert-Zustand 142. (Wenn beispielsweise die Prüfeinheit 90 als
Reaktion auf die Read-Unique-Identifier-Meldung eine Hersteller-
oder Geräte-ID
empfängt,
die die Selbstprüfung 88 nicht
unterstützt,
tritt die Prüfzustandsmaschine 116 in
den Deaktiviert-Zustand 142 ein.) Im Keine-Kommunikation-Zustand 130 reagiert
die Prüfeinheit 90 auf
eine Anforderung zum Start einer Selbstprüfung mit einem RequestFailed-Status,
was anzeigt, daß die
Anforderung für
eine bedarfsweise Selbstprüfung
erfolglos war. Selbstverständlich
kann die Prüfeinheit 90 die Tatsache,
daß sie
in dem Keine-Kommunikation-Zustand ist, an andere Entitäten innerhalb
der Prozeßanlage
auf jede gewünschte
Weise übermitteln,
indem sie beispielsweise eine Statusvariable in der E/A-Einrichtung
verwendet, in der sich die Prüfeinheit 90 befindet.
-
Im
Vorkonfiguriert-Zustand 132 kommuniziert die E/A-Einrichtung,
in der sich die Prüfeinheit 90 befindet,
mit dem Feldgerät,
und sowohl die TestPeriodic- als auch die TestOnDemand-Variable
sind deaktiviert. Während
dieses Zustands kann die E/A-Einrichtung
mit dem Feldgerät
kommunizieren, um Variablendaten des Feldgeräts auszulesen. Wenn das Feldgerät ein HART-Gerät ist, kann
die Prüfeinheit 90 eine
HART-Anforderung
Read-Dynamic-Variables an das Feldgerät senden. Die Prüfeinheit 90 bleibt
jedoch in dem Vorkonfiguriert-Zustand, bis sie konfiguriert wird
oder bis die Prüfeinheit 90 die Nachrichtenverbindung
mit dem Feldgerät
verliert. Wenn die Prüfeinheit 90 die Nachrichtenverbindung mit
dem Feldgerät
verliert, geht die Zustandsmaschine 116 in den Keine-Kommunikation-Zustand 130. Wenn
jedoch die Prüfeinheit 90 eine
Konfigurationsnachricht wie diejenige empfängt, die die TestOnDemand-Variable
und/oder die TestPeriodic-Variable aktiviert, geht die Zustandsmaschine 116 in
den Bereit-Zustand 134 über,
da sie nunmehr konfiguriert ist. Wenn sie im Vorkonfiguriert-Zustand 132 ist,
reagiert die Prüfeinheit 90 auf
eine Anforderung zum Start einer Selbstprüfung mit einem RequestFailed-
bzw. AnforderungMißerfolg-Status,
der bezeichnet, daß die
Anforderung für
eine bedarfsweise Selbstprüfung erfolglos
war.
-
Im
Bereit-Zustand 134 wartet die Prüfeinheit 90 auf eine
TestStart-Anforderung, um eine bedarfsweise Selbstprüfung 88 zu
starten, oder wartet auf das Auftreten eines internen TestStart-Ereignisses, wie
es durch die Operation der Zeitgeber 114 und die TestPeriodic-Variable
definiert ist. Der Eintritt in den Bereit-Zustand 134 erfolgt
nur, wenn entweder die TestOnDemand-Variable oder die TestPeriodic-Variable
aktiviert ist und die Prüfeinheit 90 mit
dem Feldgerät
in Kommunikation ist. Beim Eintritt in den Bereit-Zustand 134 löscht die
Zustandsmaschine 116 den TestRunning-Status und sendet
eine Leseanforderung an das Feldgerät, um geeignete Variablen des
Feldgeräts
auszulesen oder anderweitig zu bestimmen, ob das Feldgerät zur Durchführung einer Prüfung bereit
ist. Wenn das Feldgerät
ein HART-Gerät
ist, kann die Prüfeinheit 90 eine
HART-Anforderung
Read-Dynamic-Variables (=dynamische Variablen lesen) an das Feldgerät senden.
Wenn die Prüfeinheit 90 die
Verbindung mit dem Feldgerät
verliert, geht die Zustandsmaschine 116 in den Keine-Kommunikation-Zustand 130 über. Wenn
in dem Zustand 134 die Prüfeinheit 90 dadurch
rekonfiguriert wird, daß beispielsweise
sowohl die TestPeriodic-Variable als auch die TestOnDemand-Variable
deaktiviert werden, geht die Zustandsmaschine 116 in den
Vorkonfiguriert-Zustand 132 über.
-
Wenn
der Zeitgeber 114 ein internes TestStart-Ereignis ausgibt,
um eine periodische Prüfung zu
beginnen (und die TestPeriodic-Variable aktiviert ist), oder wenn
die Prüfeinheit 90 eine
bedarfsgemäße TestStart-Anforderung
empfängt
(und die TestOnDemand-Variable aktiviert ist), geht die Prüfeinheit 90 in
den Start-Zustand 136 über.
Vor dem Eintritt in den Start-Zustand 136 kann die Zustandsmaschine 116 bei
Empfang einer TestStart-Anforderung einen RequestSuccess-Status
(=ErfolgAnforderung-Status) senden, der bezeichnet, daß die bedarfsgemäße Prüfungsanforderung
erfolgreich war. Wenn die Prüfeinheit 90 ein
Bedarfs-Prüfungssignal
empfängt
und die TestOnDemand-Variable deaktiviert ist, kann die Zustandsmaschine 116 mit
einem RequestFailed-Status antworten, was bedeutet, daß die Bedarfs-Prüfungsanforderung
ein Mißerfolg
war.
-
Im
Start-Zustand 136 initiiert die Zustandsmaschine 116 die
Selbstprüfungsroutine 88,
die beispielsweise eine Teilhubprüfung sein kann, unter Nutzung
der entsprechenden Meldungen in dem entsprechenden Protokoll. Die
Zustandsmaschine 116 kann eine HART-Anforderung Read-Dynamic-Variables
an ein HART-Feldgerät
senden. Wenn das Feldgerät
die Prüfung
unterstützt,
sendet die Zustandsmaschine 116 ein Prüfung-starten-Signal an das Feldgerät, um die
Prüfung
einzuleiten. Wenn jedoch das Feldgerät die Prüfung 88 nicht unterstützt, geht
die Zustandsmaschine 116 in den Deaktiviert-Zustand 142.
Bei erfolgreicher Reaktion auf die Anforderung durch das Feldgerät geht die
Zustandsmaschine 116 in den Ausführen-Zustand 140.
Wenn als Reaktion auf die TestStart-Anforderung irgendein anderer
Fehler zurückkommt,
setzt die Zustandsmaschine 116 den TestDenied-Status (=PrüfungVerweigert-Status).
In diesem Fall findet kein Zustandsübergang statt, und der Start-Zustand 136 wird
wiederholt.
-
Wenn
die Prüfeinheit 90 während des Start-Zustands 136 die
Kommunikation mit dem Feldgerät
verliert, geht die Zustandsmaschine 116 in den Keine-Kommunikation-Zustand 130.
Wenn die Prüfeinheit 90 rekonfiguriert
wird, so daß sowohl
die TestPeriodic-Variable
als auch die TestOnDemand-Variable deaktiviert sind, geht die Zustandsmaschine 116 in
den Vorkonfiguriert-Zustand 132. Wenn die Prüfeinheit 90 eine
TestStart-Anforderung empfängt
und TestOnDemand deaktiviert worden ist, reagiert die Prüfeinheit 90 mit
einem RequestSuccess-Status, führt
aber keinen Zustandsübergang aus.
-
Im
Ablaufzustand 140 überwacht
die Zustandsmaschine 116 den Status der Selbstprüfung 88,
um zu detektieren, wann die Prüfung 88 abgeschlossen
ist und ob die Prüfung
bestanden oder nicht bestanden wurde. Beim Eintritt in den Ablaufzustand 140 wird
der periodische Zeitgeber 114 erneut mit der TestPeriodic-Variablen
initialisiert, falls diese aktiviert ist. Der TestRunning-Zustand
wird gesetzt, und der TestDenied-Status wird gelöscht. Außerdem sendet die Prüfeinheit 90 eine
Nachricht an das Feldgerät,
um Informationen in bezug auf den Ablauf der Prüfung zu erhalten. Wenn das
Feldgerät
ein HART-Gerät
ist, kann die Prüfeinheit 90 eine HART-Anforderung
Read-Dynamic-Variables
an das Feldgerät
senden und dann eine HART-Anforderung Read-Additional-Device-Status an
das Gerät
senden, um den Zustand der Prüfung
zu überwachen. Diese
Anforderungen werden bei jeder Abtastung wiederholt, bis das Feldgerät die Prüfung abgeschlossen
hat, was bei einem HART-Gerät
dadurch angezeigt werden kann, daß die Diagnose-Betriebsart
gelöscht
wird. Beim Abschluß der
Prüfung
liest die Prüfeinheit 90 die
Ergebnisse der Prüfung
in der Form aus, in der sie von der Selbstprüfungsroutine 88 bereitgestellt
werden. Wenn die Prüfung
einen Fehler bzw. eine Störung
des Geräts
anzeigt, etwa ein klemmendes Ventil bei einer Ventil-Teilhubprüfung, setzt
die Zustandsmaschine 116 den TestFailed-Zustand und löscht den
TestSuccess- und den TestRunning-Zustand. Zu diesem Zeitpunkt führt die Zustandsmaschine 116 einen Übergang
zurück
in den Bereit-Zustand 134 aus. Wenn dagegen die Prüfung zeigt,
daß das
Gerät die
Prüfung
bestanden hat, setzt die Zustandsmaschine 116 den TestSuccess-Zustand und löscht den
TestFailed- und den TestRunning-Zustand und geht dann in den Bereit-Zustand 134 zurück. Selbstverständlich können andere Ergebnisse
außer
Mißerfolg
und Erfolg in jeder gewünschten
Form bereitgestellt werden.
-
Wenn
während
des Ablauf-Zustands 140 die Prüfeinheit 90 die Verbindung
mit dem Feldgerät
verliert, geht die Zustandsmaschine 116 in den Keine-Kommunikation-Zustand 130 über. Wenn
die Prüfeinheit 90 rekonfiguriert
ist, so daß sowohl
die TestPeriodic-Variable
als auch die TestOnDemand-Variable deaktiviert sind, geht die Zustandsmaschine 116 in
den Vorkonfiguriert-Zustand 140 über. Wenn die Prüfeinheit 90 eine
TestStart-Anforderung empfängt und
TestOnDemand aktiviert worden ist, reagiert die Prüfeinheit 90 mit
einem RequestSuccess-Status und bleibt im Ablauf-Zustand 140.
-
In
dem Deaktiviert-Zustand 142 verhindert die Zustandsmaschine 116 die
Durchführung
jeglicher Prüfung,
da der Eintritt in diesen Zustand erfolgt, wenn das Feldgerät die geforderte
Selbstprüfung nicht
unterstützt
und entweder die TestPeriodic- oder die TestOnDemand-Variable aktiviert
worden ist. Beim Eintritt in diesen Zustand setzt die Zustandsmaschine 116 den
TestNotSupported-Status, was anzeigt, daß die Prüfung in dem Feldgerät nicht
unterstützt
wird. Im Deaktiviert-Zustand 142 kann die Prüfeinheit 90 periodisch
Leseanforderungen an das Feldgerät
senden wie etwa die HART-Anforderung Read-Dynamic-Variables in einem
HART-Feldgerät, um
periodisch zu bestimmen, ob die Selbstprüfung unterstützt wird.
Wenn die Prüfeinheit 90 die
Verbindung mit dem Feldgerät
verliert, geht die Zustandsmaschine 116 in den Keine-Kommunikation-Zustand 130 über. Wenn
im Deaktiviert-Zustand 142 die Prüfeinheit 90 eine TestStart-Anforderung empfängt, reagiert
die Zustandsmaschine mit einem RequestFailed-Status.
-
In
jedem von dem Vorkonfiguriert-Zustand 132, dem Bereit-Zustand
134, dem Start-Zustand 136,
dem Ablauf-Zustand 140 und dem Deaktiviert-Zustand 142 kann
die Prüfeinheit 90 alle
Statusfelder lesen oder interpretieren, die eventuell in den Meldungen
von dem Feldgerät
vorhanden sind, um zu bestimmen, ob das Feldgerät ein Problem hat oder sich
in einem abnormalen Zustand befindet (abgesehen von einem von der
Selbstprüfung 88 detektierten
Zustand), der eventuell die richtige Funktionsweise des Feldgeräts verhindert.
Wenn in den Meldungen von dem Feldgerät ein schlechter, abnormaler
oder anderweitig fehlerhafter Status anwesend ist, kann die Prüfeinheit 90 eine
Schlechter-Status-Meldung, eine Alarm- oder Ereignis- oder andere
Meldung an eine Einrichtung oder Anwendung (wie etwa eine Steuereinheit
oder eine Nutzerschnittstellenanwendung) senden, die konfiguriert
ist, um diese Meldung zu empfangen. Zusätzlich zu dem Anfordern und Überwachen
einer Selbstprüfung 88 kann
also die Prüfeinheit 90 auf
der Basis von Statusmeldungen von dem Feldgerät automatisch andere potentielle
Probleme mit dem Feldgerät
feststellen, die eventuell verhindern, daß das Feldgerät richtig
funktioniert, wenn ihm ein Abschaltsignal übermittelt wird. Die Prüfeinheit 90 kann
tatsächlich
periodisch Kommunikationen mit dem Feldgerät einleiten, um diese Kommunikationsstatusmeldungen
zu empfangen (die in typischen HART- und Fieldbus-Kommunikationen
bereits enthalten sind), oder kann die Statusfelder jeder Nachricht,
die von dem Feldgerät
gesendet wird, automatisch daraufhin betrachten, ob das Feldgerät auf die
Prüfeinheit 90 oder
irgendeine andere Meldung oder einen anderen Befehl, die/der von
einem anderen Gerät
oder einer anderen Anwendung gesendet wird, anspricht.
-
Falls
gewünscht,
können
andere Nachrichtenausgaben oder Zustände ausgeführt oder gesetzt werden, um
andere Informationen über
die Operation der Prüfeinheit 90 zu
erhalten. Beispielsweise kann ein ReadTestTimeRernaining-Parameter
(=verbleibende Prüfungszeit
lesen) verwendet werden, um die verbleibende Zeit anzugeben, die
bis zum Start der nächsten
periodischen Prüfung
verbleibt, ein ReadTestTimeElapsed-Parameter (=abgelaufene Prüfungszeit
lesen) kann genutzt werden, um die abgelaufene Zeit seit der letzten
erfolgreichen Prüfung
anzugeben, und ein ResetTestStatus (=Prüfstatus rücksetzen) kann genutzt werden,
um einen schlechten Status durch Löschen desselben (d. h. des
LateStatus) zu quittieren. Wenn in diesem Fall die Prüfeinheit eine
ReadTestTimeRemaining-Variable empfängt und die TestPeriodic-Variable
aktiviert ist, reagiert die Prüfeinheit 90 mit
dem TestPeriodicTimer-Wert. Wenn jedoch die TestPeriodic-Variable
deaktiviert ist, reagiert die Prüfeinheit 90 mit
einem RequestFailed-Status.
Wenn ferner die Prüfeinheit 90 eine ReadTestTimeElapsed-Anforderung
empfängt
und mindestens eine erfolgreiche Prüfung abgeschlossen ist, kann
die Prüfeinheit 90 mit
dem TestElapsedTimer-Wert reagieren. Wenn eine erfolgreiche Prüfung noch
nicht abgeschlossen worden ist, kann die Prüfeinheit 90 mit einem
RequestFailed-Status reagieren.
-
Es
versteht sich, daß die
Logik der Zustandsmaschine 116 durch Manipulation von internen
Parametern erhalten oder definiert werden kann, die als Bedingungseingaben
in die Prüfeinheit 90 exponiert werden
können.
Ferner zeigt zwar das Zustandsdiagramm 120 von 4 eine Möglichkeit der Aktivierung der
Zustandsmaschine 116, zwischen verschiedenen Zuständen zu
wechseln, die der Einleitung und der Überwachung einer Selbstprüfung zugeordnet
sind, es versteht sich jedoch, daß die Zustandsmaschine 116 so
ausgebildet sein könnte,
daß sie weniger
von diesen Zuständen
oder zusätzliche
Zustände
oder irgendeine Kombination von beiden verwendet. Ferner ermöglicht es
die Operation der Prüfeinheit 90 derselben,
eine zusätzliche
Funktionalität über diejenige
hinaus zu bieten, die normalerweise bei bekannten Möglichkeiten
der Kommunikation mit Selbstprüfungsroutinen
gegeben ist, weil sie es den Selbstprüfungsroutinen 88 ermöglicht,
in ein Steuerungs- oder Sicherheitssystem integriert zu werden. Falls
gewünscht,
kann die Prüfeinheit 90 natürlich jede
Anzahl von weiteren Ausgaben produzieren, um beispielsweise Informationen
für einen
Bediener oder anderen Anwender zur Nutzung durch andere Anwendungen
oder Steuerungs- oder Sicherheitsroutinen innerhalb der Prozeßanlage 10 zu
liefern.
-
Die
hier beschriebenen Prüfblöcke 90 sind zwar
so dargestellt, daß sie
mit Geräte-Selbstprüfungen 88 kommunizieren,
die sich in den zu prüfenden speziellen
Feldgeräten befinden,
aber die Geräteprüfung 88 könnte statt
dessen in derselben Einrichtung wie der Prüfblock 90 (d. h. in
einem anderen Gerät als
dem gerade geprüften
Gerät)
gespeichert sein und könnte
tatsächlich
in den Prüfblock 90 integriert sein.
Bei dieser Konfiguration würde
der Prüfblock 90 die
Geräteprüfung 88 entweder
als eine separate Anwendung oder als Teil des Prüfblocks 90 beispielsweise
in der E/A-Einrichtung, in der sich der Prüfblock 90 befindet,
einleiten. Die Geräteprüfung 88 würde dann
mit dem zu prüfenden
Feldgerät
nach Bedarf während
der Implementierung der Prüfung über ein
Kommunikationsnetz kommunizieren, das zwischen das Feldgerät und die
Einrichtung, in der sich die Geräteprüfung 88 befindet,
gekoppelt ist. Die Geräteprüfung 88 würde dann
die entsprechenden Gerätebefehle
senden und Meldungen von dem Feldgerät oder von anderen Einrichtungen
empfangen, um das Ergebnis der Geräteprüfung zu bestimmen, und würde dann
dieses Ergebnis an den Prüfblock 90 liefern.
Selbstverständlich
könnte
der Prüfblock
90 im wesentlichen auf die hier beschriebene Weise wirksam sein
und mit der Geräteprüfung 88 kommunizieren
mit der Ausnahme, daß Kommunikationen
zwischen der Prüfeinheit 90 und
der Geräteprüfung 88 innerhalb
derselben Einrichtung stattfinden und Kommunikationen zwischen dem
gerade geprüften
Feldgerät
und der Geräteprüfung 88 über ein externes
Kommunikationsnetz wie etwa ein HART- oder ein Fieldbus-Netz erfolgen
würden.
Der Logikauflöser 56 von 1 ist so dargestellt, daß er eine Geräteprüfung 88a in
derselben Einrichtung aufweist und intern mit einer der Prüfeinheiten 90 gekoppelt ist.
In diesem Fall kommuniziert die Geräteprüfung 88a (die ein
Teil der Prüfeinheit 90 oder
separat davon sein könnte)
mit einem der Feldgeräte 60 wie etwa
dem Feldgerät 60a,
in dem keine Geräteprüfung vorhanden
ist, um die gewünschte
Geräteprüfung zu implementieren.
-
Wenn
sie implementiert sind, können
alle hier beschriebenen Elemente einschließlich des Multiplexers, der
Blöcke,
Zustandsmaschinen, Signalverbindungen usw. in Software implementiert
sein, die in jedem computerlesbaren Speicher wie etwa auf einer
Magnetplatte, einer Laser- oder Bildplatte oder einem anderen Speichermedium,
in einem RAM oder ROM eines Computers oder Prozessors usw. gespeichert
ist. Hier beschriebene Signale und Signalleitungen können jede
Form haben, was tatsächliche
Drähte,
Datenregister, Speicherplätze
usw. einschließt. Die
hier erwähnte
Software, die Routinen oder Programme können jede Form haben, etwa
Anwendungssoftware, die auf einem Universalcomputer oder -prozessor
ausgeführt
wird, oder hartcodierte Software sein, die beispielsweise in eine
anwendungsspezifische integrierte Schaltung bzw. ASIC gebrannt ist,
ein EPROM, EEPROM oder jede andere Firmware-Einrichtung. Ebenso
kann diese Software einem Anwender, einer Prozeßanlage, einer Bediener-Workstation,
einer Steuereinheit, einem Logikauflöser oder jeder anderen Recheneinrichtung
unter Anwendung jedes bekannten oder gewünschten Lieferverfahrens geliefert
werden, beispielsweise auf einer computerlesbaren Platte oder einer
anderen transportierbaren Computerspeichereinrichtung oder über einen Übertragungskanal
wie etwa eine Telefonleitung, das Internet, das World Wide Web,
jedes andere lokale Netz oder weiträumige Netz usw. (wobei diese
Lieferung als gleich oder austauschbar mit der Lieferung dieser
Software auf einem transportierbaren Speichermedium angesehen wird).
Ferner kann diese Software direkt ohne Modulation oder Verschlüsselung
geliefert oder moduliert und/oder verschlüsselt werden unter Anwendung
jeder geeigneten Modulationsträgerwelle
und/oder Verschlüsselungstechnik,
bevor sie über
einen Kommunikationskanal übermittelt
wird. Selbstverständlich
können
die hier beschriebenen Prüfeinheiten 90 unter
Verwendung eines externen Prozeßsteuerungs-Kommunikationsprotokolls
(was beispielsweise ein Fieldbus-Protokoll oder ein gleichartiges
Protokoll einschließt)
implementiert und verwendet werden, um mit jeder Art von Prozeßentität einschließlich eines
Funktionsblocks oder einer anderen Anwendung zu kommunizieren.
-
Die
vorliegende Erfindung wird zwar unter Bezugnahme auf bestimmte Ausführungsformen
beschrieben, diese sind jedoch nur beispielhaft und sollen die Erfindung
nicht einschränken.
Für den
Fachmann auf dem Gebiet ist ersichtlich, daß Änderungen, Hinzufügungen und
Weglassungen an den beschriebenen Ausführungsformen vorgenommen werden
können,
ohne vom Umfang der Erfindung abzuweichen.