-
TECHNISCHES
GEBIET
-
Die
vorliegende Erfindung bezieht sich allgemein auf Prozesssteuerungs-
und Sicherheitssysteme für
Prozessanlagen, und insbesondere auf ein System mit einen Auswahllogikblock
mit Ausblendungsfunktionen für
Betrieb und Wartung.
-
BESCHREIBUNG
DES STANDES DER TECHNIK
-
Prozesssteuerungssysteme,
wie sie z.B. in Prozessen der chemischen Industrie, Prozessen der Petrochemie
und für
andere Prozesse eingesetzt werden, umfassen typischerweise ein oder
mehrere Prozesssteuerungsgeräte,
die mit wenigstens einem Host oder einer Bediener-Workstation und
mit einer oder mehreren Feldvorrichtungen über analoge, digitale oder
kombinierte analog/digitale Busse bzw. Datenstrecken oder Kommunikationsleitungen
kommunikativ verbunden sind. Die Feldvorrichtungen, bei denen es
sich z.B. um Ventile, Ventilsteller, Schalter und Messwertumformer
(z.B. für
Temperatur-, Druck- und Durchflusssensoren) handelt, nehmen Funktionen
innerhalb des Prozesses wahr, z.B. Öffnen und Schließen von
Ventilen und Erfassen von Prozessparametern. Die Prozesssteuerungen
erhalten Signale, die Prozessdaten von den Feldvorrichtungen und/oder
andere Informationen, betreffend die Feldvorrichtungen, vermitteln,
und nut zen diese Information zur Implementierung von Steuerungsroutinen, um
Steuersignale zu generieren, die über die Datenstrecken oder
andere Kommunikationsleitungen an die Feldvorrichtungen übermittelt
werden, um die Arbeitsweise des Prozesses zu steuern. Informationen von
den Feldvorrichtungen und den Steuerungen können einer oder mehreren Applikationen
zur Verfügung
gestellt werden, die von der Bediener-Workstation ausgeführt werden,
um einem Bediener zu ermöglichen,
die jeweils gewünschten
Funktionen bezüglich
des Prozesses zu veranlassen, etwa Konfigurieren des Prozesses,
Abfragen des aktuellen Prozesszustandes, Modifizieren des Prozessablaufs, etc.
-
Darüber hinaus
ist in vielen Prozessen ein separates Sicherheitssystem bereitgestellt,
um bedeutende sicherheitsrelevante Probleme innerhalb der Prozessanlage
zu detektieren, und um automatisch Ventile zu schließen, die
Energiezufuhr zu Vorrichtungen zu unterbrechen, Fluidströme innerhalb der
Anlage zu steuern etc., wenn ein Problem auftritt, das ernsthafte
Schäden
an der Anlage verursachen oder solche nach sich ziehen könnte, etwa
ein Austreten toxischer Chemikalien, eine Explosion etc. Diese Sicherheitssysteme
verfügen
typischerweise über
ein oder mehrere, von den normalen Steuerungsgeräten für die Prozesssteuerung getrennte Steuerungsgeräte, die
als Logiksolver bezeichnet werden, und die über separate Busse oder Kommunikationsleitungen
mit innerhalb der Anlage installierten Sicherheitsfeldvorrichtungen
verbunden sind. Die Logiksolver nutzen die Sicherheitsfeldvorrichtungen, um
Prozessbedingungen zu detektieren, die mit signifikanten Ereignissen
wie z.B. der Position bestimmter Sicherheitsschalter oder Absperrventile, Über- oder
Unterschreitung bestimmter Prozessgrößen, der Bereitschaft wichtiger
Energieversorgungen oder Steuerungseinrichtungen, der Funktion von
Vorrichtungen zur Erfassung von Fehlersituationen etc. verbunden
sind, um "Ereignisse" innerhalb der Prozessanlage
zu erkennen. Wenn ein Ereignis festgestellt wird, veranlasst die
Sicherheitssteuerung Maßnahmen
zur Begrenzung der schädlichen
Auswirkung des Ereignisses, beispielsweise das Schließen von Ventilen,
das Abschalten von Geräten,
die Unterbrechung der Energiezufuhr zu Teilen der Anlage etc. Ganz
allgemein umfassen diese Maßnahmen
das Verbringen von Sicherheitsvorrichtungen in einen abgeschalteten
oder "sicheren" Betriebsmodus, der
so gewählt
ist, das eine schwerwiegende oder gefahrenträchtige Bedingung innerhalb
der Prozessanlage verhindert wird.
-
Es
ist allgemein üblich,
für die
Instrumentierung von Sicherheitssystemen Eingabegeräte wie beispielsweise
Messwertumformer und Schalter in redundanter Ausführung zu
verwenden, um für
die Detektierung von Ereignissen innerhalb des Systems eine höhere Sicherheit
oder Verfügbarkeit
der Messung von Prozessvariablen zu erzielen. In solchen Systemen
ist es manchmal erforderlich, eine Auswahllogikfunktion innerhalb
der Abschaltlogik vorzusehen, um auf Basis der redundanten Eingänge zu bestimmen,
ob der Prozesszustand akzeptabel oder gefahrenträchtig ist. Während sich
eine solche Auswahllogikfunktion relativ einfach gestaltet, da sie
typischerweise nur eine Mehrheitsentscheidung aus den Eingängen treffen
muss, um festzustellen, ob eine Ereignisbedingung aufgetreten ist,
verfügen
diese Auswahlsysteme über
keine effektive Ausblendungsmöglichkeit.
Es ist jedoch oftmals wünschenswert, sowohl
in den Sicherheitssystemen als auch in einigen Prozesssteuerungssystemen
die Möglichkeit
einer Ausblendung des Ausgangs der Auswahlfunktion zu haben, um
beispielsweise ein Ansprechen des Abschaltsystems während des
Anfahrens des Prozesssteuerungssystems zu verhindern, um dem Wartungspersonal
die Durchführung
von Wartungsmaßnahmen
an einer oder mehreren der Eingangsbaugruppen zu ermöglichen,
um ausgewählte
Prozessbedingungen vorübergehend
zu ignorieren etc.
-
Obwohl
in der Vergangenheit die Konfigurationstechniker oder die Sicherheitsingenieure
manchmal auf manuellem Wege und unter Verwendung verschiedener Programmiersprachen
Auswahllogiken in die Steuerungsgeräte des Sicherheitssystems einprogrammiert
haben, war eine solche Maßnahme
zur Programmierung leider umständlich,
zeitraubend und fehlerträchtig,
was schwerwiegende Folgen nach sich ziehen konnte, da eine Fehlfunktion
des Sicherheitssystems zu schweren Verletzungen oder sogar zum Tod
von Anlagenpersonal und möglicherweise zu
Schäden
in Höhe
von mehreren Millionen Dollar bei Ausrüstung und Material an der Prozessanlage führen kann.
Allgemein gesagt, umfassen einige nützliche Merkmale, die nicht
in einfacher Weise in bekannte Auswahllogikkonzepte integriert werden können, die
Ausblendung ausgewählter
Eingänge des
Auswahllogiksystems für
Wartungszwecke, Ausblendungen für
den Anlauf, Verzögerungszeiten
für Anlauf
und/oder Abschaltung etc.
-
ZUSAMMENFASSUNG
DER OFFENBARUNG
-
Ein
Sicherheitssystem innerhalb einer Prozessanlage nutzt einen oder
mehrere Auswahlfunktionsblöcke,
die in einfacher Weise in eine Programmierumgebung für Funktionsblockdiagramme
integriert werden können,
um die von einem Nutzer spezifizierte Auswahllogik mit verschiedenen
Möglichkeiten
für Außerkraftsetzung
und Ausblendung zu implementieren. Ein derartiger Auswahlfunktionsblock, der
in einfacher Weise zu erstellen, anzuwenden, zu testen, von Fehlern
zu bereinigen und zu dokumentieren ist, weist eine oder mehrere
Grenzwert-Detektierungseinheiten auf, die feststellen, wenn ein
zugeordneter Eingang einen bestimmten Grenzwert erreicht hat, der
einen Zustand innerhalb der Prozessanlage kennzeichnet, eine Eingangs-Ausblendungseinheit,
die von einem Nutzer gesetzt werden kann, um die Berücksichtigung
des betreffenden Eingangs bei der Auswahlfunktion zu übergehen,
ein Auswahlfunktionslogikobjekt zur Feststellung des Vorliegens einer
Abschaltbedingung auf Basis der Werte der gültigen Eingänge, und einen Sperrblock,
der für
das Außerkraftsetzen
des Ausgangs des Auswahllogikblocks während, beispielsweise des Anlaufs
oder anderer Betriebszustände,
genutzt werden kann. Der Auswahlfunktionsblock kann kommunikativ
mit anderen Funktionsblöcken
verbunden sein, beispielsweise mit analogen oder digitalen Eingangsfunktionsblöcken, analogen
oder digitalen Ausgangsfunktionsblöcken, Steuerungsfunktionsblöcken, Ursache/-Wirkungsfunktionsblöcken zur
Implementierung von Ursache/Wirkungslogik etc., um die Auswahllogik
als Teil einer umfangreicheren Prozesssteuerungs- oder Sicherheitssystemstrategie
zu implementieren. In einem Fall kann der Auswahlfunktionsblock
genutzt werden, um das Vorliegen eines Ereignisses innerhalb eines
Prozesssicherheitssystems auf Basis einer Mehrzahl von Messungen
einer Prozessvariablen festzustellen, die in redundanter Weise durch Mess-
oder Sensorvorrichtungen erfasst werden.
-
Der
hierin beschriebene Auswahlfunktionsblock kann in einfacher Weise
erstellt werden, da er in seiner Grundform nur erfordert, dass ein
Konfigurierungs- oder Sicherheitstechniker bzw. -ingenieur Angaben
zur Anzahl der auszuwertenden Eingänge, zum Typ der anzuwendenden
Auswahllogik und zu den zu berücksichtigenden
Ausblendungen bzw. Außerkraftsetzungen
macht, die zur Definition der gewünschten Funktionsweise des
Auswahlfunktionsblocks erforderlich sind. Dieser Auswahlfunktionsblock
ist ebenso in einfacher Weise in ein Steuerungsgerät oder einen
Logiksolver zu integrieren, der Funktionsblocklogik nutzt, da der
Auswahlfunktionsblock in der gleichen Weise wie andere Funktionsblöcke integriert
werden kann, indem Eingänge
und Ausgänge
des Auswahlfunktionsblocks mit anderen Funktionsblöcken oder
-elementen innerhalb der Steuerungsstrategie verbunden werden. Im
Ergebnis ist der Auswahlfunktionsblock auch in einfacher Weise zu
dokumentieren, zu testen und von Fehlern zu bereinigen. Des Weiteren
kann der Auswahlfunktionsblock zusätzliche Funktionsmerkmale bereitstellen,
die in Sicherheitssystemen nicht immer zur Verfügung stehen, z.B. die Bereitstellung
von Ausblendungs- oder Außerkraftsetzungsfunktionen,
die zur Laufzeit sowie für
Wartung und Inbetriebnahme genutzt werden können.
-
KURZBESCHREIBUNG
DER ZEICHNUNGEN
-
1 ist ein Blockdiagramm
einer beispielhaften Prozessanlage, die über ein in ein Prozesssteuerungssystem
integriertes Sicherheitssystem verfügt, das einen oder mehrere
konfigurierbare Auswahlfunktionsblöcke nutzt, um Ausblendungen
für das
Herunterfahren des Systems und für
Wartungsmaßnahmen
zu kontrollieren;
-
2 ist ein Blockdiagramm
eines konfigurierbaren Auswahlfunktionsblocks der 1;
-
3 ist eine Tabelle mehrerer
beispielhafter Auswahlschemata, die einen ausgeblendeten Eingang
beinhalten, und die im Auswahlfunktionsblock der 2 Anwendung finden können;
-
4 ist eine beispielhafte
Tabelle zur Darstellung der Art und Weise, in der sich das Auswahlschema
reduzieren kann, wenn einer der Eingänge des Auswahlfunktionsblocks
einen Fehlerstatus annimmt; und
-
5 ist ein Zustandsdiagramm,
das mehrere Zustände
aufzeigt, die sich potentiell im Zusammenhang mit dem Auswahlfunktionsblock
der 2 einstellen können.
-
DETAILLIERTE
BESCHREIBUNG
-
1 zeigt eine Prozessanlage 10,
die ein mit einem Sicherheitssystem 14 (durch gestrichelte Linien
angedeutet) kombiniertes Prozesssteuerungssystem 12 umfasst,
das generell als ein sicherheitsgerichtet instrumentiertes System
(SIS – Safety
Instrumented System) arbeitet, um die vom Prozesssteuerungssystem 12 bewirkten
Steuerungseingriffe geeignet zu überwachen
und außer
Kraft zu setzen, so dass die Wahrscheinlichkeit des sicheren Betriebs der
Prozessanlage 10 maximiert wird. Die Prozessanlage 10 umfasst
außerdem
eine oder mehrere Host-Workstations, Computer oder Bedienerschnittstellen 16 (bei
denen es sich um jede Art von Personalcomputern, Workstations, PDAs
etc. handeln kann), die dem Anlagenpersonal wie beispielsweise Prozesssteuerungsbedienern,
Wartungspersonal, Sicherheitsingenieuren etc. zugänglich sind.
Im Beispiel der 1 sind
zwei Bedienerschnittstellen 16 dargestellt, die hier mit
zwei verschiedenen Prozesssteuerungs-/Sicherheitssteuerungsknoten 18 und 20 und
mit einer Konfigurationsdatenbank 21 über eine gemeinsame Verbindungsleitung
oder einen Bus 22 verbunden sind. Das Kommunikationsnetzwerk 22 kann
unter Verwendung jeder beliebigen busbasierten oder nicht busbasierten
Hardware, jeder beliebigen festverdrahteten oder drahtlosen Kommunikationsstruktur
und unter Verwendung jedes gewünschten
oder geeigneten Kommunikationsprotokolls, beispielsweise eines Ethernet-Protokoll,
realisiert werden.
-
Allgemein
gesagt, enthält
jeder der Knoten 18 und 20 der Prozessanlage 10 sowohl
Vorrichtungen des Prozesssteuerungssystems als auch Vorrichtungen
des Sicherheitssystems, die über
eine Busstruktur miteinander verbunden sind, die auf einer Leiterplatte
bereitgestellt ist, welche die verschiedenen Vorrichtungen aufnimmt.
Der Knoten 18 ist in 1 dargestellt
und enthält
dabei ein Prozesssteuerungsgerät 24 (bei
dem es sich um ein redundantes Paar zweier Steuerungsgeräte handeln
kann) sowie eine oder mehrere Prozesssteuerungssystem-Eingabe-/Ausgabe-(I/O)-Vorrichtungen 28, 30 und 32, wäh rend der
Knoten 20 mit einem Prozesssteuerungsgerät 26 (bei
dem es sich um ein redundantes Paar zweier Steuerungsgeräte handeln
kann) und eine oder mehrere Prozesssteuerungssystem-(I/O)-Vorrichtungen 34 und 36 dargestellt
sind. Jede der Prozesssteuerungssystem-(I/O)-Vorrichtungen 28, 30, 32, 34 und 36 ist
kommunikativ mit einer Gruppe prozesssteuerungsbezogener Feldvorrichtungen
verbunden, die in 1 als
Feldvorrichtungen 40 und 42 wiedergegeben sind.
Die Prozesssteuerungsgeräte 24 und 26,
die I/O-Vorrichtungen 28–36 und
die Feldvorrichtungen 40 und 42 der Steuerung
bilden im Allgemeinen das Prozesssteuerungssystem 12 der 1.
-
In ähnlicher
Weise umfasst der Knoten 18 einen oder mehrere Sicherheitssystem-Logiksolver 50, 52,
während
der Knoten 20 Sicherheitssystem-Logiksolver 54 und 56 umfasst.
Jeder der Logiksolver 50–56 ist eine I/O-Vorrichtung,
die mit einem Prozessor 57 versehen ist, der die Sicherheitslogikmodule 58 ausführt, die
in einem Speicher 79 gespeichert sind, und der kommunikativ
verbunden ist, um Steuersignale an Feldvorrichtungen 60 und 62 des
Sicherheitssystems abzusetzen bzw. Signale von diesen zu erhalten.
Außerdem
umfasst jeder der Knoten 18 und 20 wenigstens
eine Meldungsweitergabevorrichtung (MPD – Message Propagation Device) 70 oder 72,
die über
eine Ringbusleitung 74 (in 1 nur
teilweise dargestellt) kommunikativ miteinander verbunden sind.
Die Logiksolver 50–56 des
Sicherheitssystems, die Feldvorrichtungen 60 und 62 des Sicherheitssystems,
die MPD's 70 und 72 und
der Bus 74 bilden im Allgemeinen insgesamt das Sicherheitssystem 14 der 1.
-
Die
Prozesssteuerungsgeräte 24 und 26,
bei denen es sich beispielsweise um DeltaVTM Steuerungsgeräte, wie
sie von Fisher-Rosemount Systems, Inc., vertrieben werden, oder
um beliebige andere Prozesssteuerungsgeräte handeln kann, sind programmiert,
um (unter Verwendung von normalerweise als Steuerungsmodule bezeichneten
Komponenten) eine Funktionalität
zur Prozesssteuerung bereitzustellen, wobei sie auf die I/O-Vorrichtungen 28, 30 und 32 (für das Steuerungsgerät 24),
die I/O-Vorrichtungen 34 und 36 (für das Steuerungsgerät 26) und
die Feldvorrichtungen 40 und 42 zurückgreifen. Insbesondere
implementiert oder überwacht
jedes der Steuerungsgeräte 24 und 26 eine
oder mehrere Prozesssteuerungsroutinen, die in diesem gespeichert
oder in anderer Weise mit diesem verbunden sind, und kommuniziert
mit den Feldvorrichtungen 40 und 42 und den Workstations 14,
um den Prozess 10 oder einen Teil des Prozesses 10 in
irgendeiner gewünschten
Weise zu steuern. Bei den Feldvorrichtungen 40 und 42 kann
es sich um jeden gewünschten Typ
von Feldvorrichtungen handeln, beispielsweise Sensoren, Ventile,
Geber, Stellungsregler etc., die jedem gewünschten offenen, proprietären oder
anderen Kommunikations- oder Programmprotokoll entsprechen können, einschließlich beispielsweise
dem HART- oder dem 4-20 ma-Protokoll (wie für die Feldvorrichtungen 40 dargestellt),
jedem Fieldbus-Protokoll wie dem FOUNDATION® Fieldbus
Protokoll (wie für
die Feldvorrichtungen 42 dargestellt), oder dem CAN-, dem
Profibus- oder dem AS-Interface-Protokoll, um nur einige zu nennen.
Entsprechend kann es sich bei den I/O-Vorrichtungen 28–36 um
jeden bekannten Typ von Prozesssteuerungs-I/O-Vorrichtungen handeln,
die irgendein geeignetes Kommunikationsprotokoll verwenden können.
-
Bei
den Sicherheitslogiksolvern 50–56 der 1 kann es sich um jeden
beliebigen Typ von Sicherheitssystemsteuerungsvorrichtungen handeln, die
einen Prozessor 57 und einen Speicher enthalten, der Sicherheitslogikmodule 58 speichert,
die geeignet sind, auf dem Prozessor 57 ausgeführt zu werden,
um einen dem Sicherheitssystem 14 zugehörigen Steuerungsfunktionsumfang
bereitzustellen, der die Feldvorrichtungen 60 und 62 einbezieht.
Es versteht sich von selbst, dass die Sicherheitsfeldvorrichtungen 60 und 62 von
jedem gewünschten
Typ einer Feldvorrichtung sein können,
der mit einem beliebigen bekannten oder gewünschten Kommunikationsprotokoll übereinstimmt
oder dieses verwendet, beispielsweise eines der weiter oben erwähnten. Insbesondere
können
die Feldvorrichtungen 60 und 62 sicherheitsbezogene
Feldvorrichtungen des Typs sein, der herkömmlicherweise durch ein separates,
zweckgebundenes sicherheitsbezogenes Steuerungssystem gesteuert
wird. In der in 1 dargestellten
Prozessanlage 10 sind die Sicherheitsfeldvorrichtungen 60 in
einer Form dargestellt, die ein zweckgebundenes oder Punkt-zu-Punkt-Kommunikationsprotokoll nutzt,
beispielsweise das HART- oder das 4-20 ma-Protokoll, während die
Sicherheitsfeldvorrichtungen 62 unter Verwendung eines
Buskommunikationsprotokolls, beispielsweise des Fieldbus-Protokolls,
dargestellt sind. Die Sicherheitsfeldvorrichtungen 60 können jede
gewünschte
Funktion wahrnehmen, beispielsweise die eines Absperrventils, eines Stoppschalters
etc.
-
Eine
gemeinsame Leiterplatte 76 (durch eine gestrichelte Linie
durch die Steuerungsgeräte 24, 26, die
I/O-Vorrichtungen 28–36,
die Sicherheitslogiksolver 50–56 und die MPD's 70 und 72 angedeutet)
wird in jedem der Knoten 18 und 20 verwendet,
um die Steuerungsgeräte 24 und 26 mit
den Prozesssteuerungs-I/O-Karten 28, 30 und 32 oder 34 und 36 sowie mit
den Sicherheitslogiksolvern 50, 52, 54 oder 56 und
den MPD's 70 oder 72 zu
verbinden. Die Steuerungsgeräte 24 und 26 sind
ebenfalls kommunikativ mit dem Busmanager verbunden und arbeiten
als solche für
den Bus 22, um jeder der I/O-Vorrichtungen 28–36,
den Logiksolvern 50–56 und
den MPD's 70 und 72 die
Kommunikation mit jeder der Workstations 16 über den
Bus 22 zu ermöglichen.
-
Selbstverständlich enthält jede
der Workstations 16 einen Prozessor 77 und einen
Speicher 78, der eine oder mehrere Konfigurierungs- und/oder
Anzeigeapplikationen speichert, die so angelegt sind, dass sie vom
Prozessor 78 ausgeführt
werden können.
Eine Konfigurierungsapplikation 80 und eine Anzeigeapplikation 82 sind
in 1 in Explosionsansicht
als einer der Workstations 16 gespeichert angedeutet, während eine
Diagnoseapplikation 84 als in der anderen der Workstations 16 gespeichert
dargestellt ist. Wenn gewünscht,
können
diese und andere Applikationen jedoch in anderen als den Workstations 16 gespeichert
und ausgeführt
weiden, oder auch in anderen Computern, die mit der Prozessanlage 10 zugeordnet
sind. Allgemein gesagt, stellt die Konfigurierungsapplikation 80 einem
Sicherheitsingenieur Konfigurationsinformation bereit und ermöglicht es
dem Sicherheitsingenieur, einige oder alle Elemente der Prozessanlage 10 zu
konfigurieren und die Konfiguration in der Konfigurationsdatenbank 21 zu
speichern. Als Teil der mittels der Konfigurierungsapplikation 80 vorgenommenen
Konfigurierungsaktivitäten
kann der Sicherheitsingenieur Steuerungsroutinen oder Steuerungsmodule
für die
Prozesssteuerungsgeräte 24 und 26 erstellen,
er kann Sicherheitslogikmodule 58 für jedes und alle der Sicherheitslogiksolver 50–56 erstellen
(einschließlich Erstellung
und Programmierung von Auswahlfunktionsblöcken für den Einsatz in den Sicherheitslogiksolvern 50–56 oder
sogar in den Steuerungsgeräten 24 und 26),
und kann diese verschiedenen Steuerungs- und Sicherheitsmodule über den
Bus 22 und die Steuerungsgeräte 24 und 26 in
das jeweils geeignete Prozesssteuerungsgerät 24 und 26 bzw.
den jeweils geeigneten der Sicherheitslogiksolver 50–56 laden.
In entsprechender Weise kann die Konfigurierungsapplikation 80 genutzt
werden, um andere Programme und Logikstrukturen in die I/O-Vorrichtungen 28–36,
in beliebige der Feldvorrichtungen 40, 42, 60 und 62 etc.
zu laden.
-
Umgekehrt
kann die Anzeigeapplikation 82 genutzt werden, um ein oder
mehrere Displays für
einen Nutzer bereitzustellen, beispielsweise für einen Prozesssteuerungsbediener,
einen Sicherheitsbediener etc., wobei diese Displays Information
hinsichtlich des Zustands des Prozesssteuerungssystems 12 und
des Sicherheitssystems 14 in getrennten Darstellungen oder,
wenn dies gewünscht
ist, in einer gemeinsamen Darstellung enthalten. Beispielsweise
kann die Anzeigeapplikation 82 eine Alarmdisplayapplikation
sein, die Alarmmeldungen erhält
und für
einen Operator zur Anzeige bringt. Wenn gewünscht, kann eine solche Alarmanzeigeapplikation eine
Form haben wie in der US-Patentschrift Nr. 5,768,119 mit dem Titel "Process Control System
Including Alarm Priority Adjustment" und der US-Patenschrift Nr. 09/707,580
mit dem Titel "Integrated Alarm
Display in a Process Control Network" offenbart, die beide an die Rechtsnachfolgerin
des vorliegenden Patents abgetreten wurden und hierin durch Referenz
einbezogen sind. Es versteht sich jedoch von selbst, dass das Alarmdisplay
oder die Alarmbanner dieser Patente Alarme in einer integrierten Alarmanzeige
sowohl vom Prozesssteuerungssystem 12 und vom Sicherheitssystem 14 erhalten
und darstellen können,
da die Alarme beider System 12 und 14 an die Bediener-Workstation 14 übermittelt werden,
die die Alarmdisplayapplikation ausführt, und dort als Alarme von
unterschiedlichen Geräten erkannt
werden können.
Ebenso kann ein Operator in einem Alarmbanner angezeigte Sicherheitsalarme
in gleicher Weise behandeln wie Prozesssteuerungsalarme. Beispielsweise
kann der Bediener bzw. Operator oder Nutzer Sicherheitsalarme quittieren,
ausschalten etc., indem er das Alarmdisplay verwendet, welches dabei
durch Kommunikation über
den Bus 22 und die Leiterplatte 76 Meldungen an
die entsprechenden Prozesssteuerungen 24, 26 innerhalb
des Sicherheitssystems 14 sendet, um die entsprechende
Maßnahme
hinsichtlich des Sicherheitsalarms zu treffen. In entsprechender
Weise können
andere Anzeigeapplikationen Informationen oder Daten sowohl vom
Prozesssteuerungssystem 12 als auch vom Sicherheitssystem 14 zur
Ausgabe bringen, da diese Systeme die gleichen Typen und Arten von
Parametern, Sicherheits- und Verweisstrukturen verwenden können, so
dass beliebige Daten von jedem der Systeme 12 und 14 in
ein herkömmlicherweise
für ein Prozesssteuerungssystem
bereitgestelltes Display bzw. eine Anzeige integriert werden können.
-
Die
Diagnoseapplikation 84 kann zur Implementierung von Diagnose-
oder Wartungsprogrammen innerhalb des Prozesssteuerungs- und Sicherheitssystems
der Anlage 10 genutzt werden. Derartige Diagnoseapplikationen,
die jeden beliebigen Typ von Diagnose- oder Wartungsprozeduren ausführen können, beispielsweise
das Laufenlassen von Prozessen und Ventil-Tests, von Anfahrvorgängen etc., können Ausblendungen
betreffend einen oder mehrere der innerhalb der Prozessanlage 10 verwendeten
Auswahlfunktionsblöcke
(weiter unten beschrieben) veranlassen, um ein durch die Diagnoseprozeduren
auf Basis von Eingangssignalen von einer oder mehreren Vorrichtungen
veranlasstes Ansprechen des Sicherheitssystems zu unterdrücken.
-
In
jedem Fall können
die Applikationen 80, 82 und 84 ebenso
wie alle anderen Applikationen separate Konfigurations- und andere
Signale an jedes der Prozesssteuerungsgeräte 24 und 26 und
jedes der Sicherheitssystem-Logiksolver 50–56 übermitteln,
und sie können
Daten von diesen empfangen. Diese Signale können Meldungen auf Prozessebene umfassen,
die die Betriebsparameter der prozessbezogenen Feldvorrichtungen 40 und 42 betreffen,
und sie können
Meldungen auf Sicherheitsebene umfassen, die die Betriebsparameter
der sicherheitsbezogenen Feldvorrichtungen 60 und 62 betreffen.
Während
die Sicherheitslogiksolver 50–56 so programmiert
sein können,
dass sie sowohl die Meldungen auf Prozessebene als auch die Meldungen
auf Sicherheitsebene erfassen, sind die Sicherheitslogiksolver 50–56 fähig, zwischen
den beiden Meldungstypen zu unterscheiden, und können nicht durch Konfigurierungssignale
auf Prozessebene programmiert oder beeinflusst werden. In einem
Beispiel können
die an die Vorrichtungen des Prozesssteuerungsystems gesendeten
Programmierungsanweisungen bestimmte Felder oder Adressen enthalten, die
von den Vorrichtungen des Sicherheitssystems erkannt werden, und
die vermeiden, dass diese Signale verwendet werden, um Sicherheitssystemvorrichtungen
zu programmieren.
-
Wenn
dies gewünscht
ist, können
die Sicherheitslogiksolver 50–56 ein Hard- oder
Softwarekonzept verwenden, das dem für die Prozesssteuerungs-I/O-Karten 28–36 ver wendeten
Hard- oder Softwarekonzept gleicht oder von diesem verschieden ist.
Die Nutzung unterschiedlicher Technologien für die Vorrichtungen innerhalb
des Prozesssteuerungssystems 12 und die Vorrichtungen innerhalb des
Sicherheitssystems 14 kann das Auftreten von Hard- oder
Softwarefehlern aufgrund gemeinsamer Ursachen minimieren oder eliminieren.
Außerdem können die
Vorrichtungen des Sicherheitssystems einschließlich der Logiksolver 50–56 jede
gewünschten
Schutz- und Sicherheitstechniken verwenden, um die Möglichkeiten
nicht autorisierter Veränderungen
an dadurch implementierten sicherheitsbezogenen Funktionen zu verringern
oder ganz zu eliminieren. Beispielsweise können die Sicherheitslogiksolver 50–56 und
die Konfigurierungsapplikation 80 eine Person mit einem
bestimmten Autoritätslevel
oder eine Person an einer bestimmten Workstation erfordern, um Änderungen
an den Sicherheitsmodulen in den Logiksolvern 50–56 vorzunehmen,
wobei das Autoritätslevel
oder die Zugriffsstation von dem Autoritäts- oder Zugangslevel oder
dem Ort der notwendig ist, um Änderungen
an den Prozesssteuerungsfunktionen vorzunehmen, welche von den Steuerungsgeräten 24 und 26 und
den I/O-Vorrichtungen 28–36 durchgeführt werden.
In diesem Fall verfügen
nur die Personen, die in der Sicherheitssoftware benannt sind oder
die an Workstations arbeiten, die für Änderungen am Sicherheitssystem 14 freigegeben
sind, über
die Berechtigung, sicherheitsbezogene Funktionen zu verändern, wodurch
die Möglichkeit
einer unberechtigten Veränderung
der Funktion des Sicherheitssystems 14 minimiert wird.
Es ist klar, dass für die
Implementierung einer solchen Sicherheitsstruktur die Prozessoren
in den Sicherheitslogiksolvern 50–56 die eintreffenden
Meldungen auf korrekte und sicherheitsgerichtete Form überprüfen und
somit eine Türsteherfunktion
wahrnehmen, wenn Änderungen
an den Steuerungsmodulen 58 der Sicherheitsebene erfolgen,
die in den Sicherheitslogiksolvern 50–56 ausgeführt werden.
-
Es
ist klar, dass durch die Verwendung der Leiterplatte 76 in
jedem der Knoten 18 und 20 die Sicherheitslogiksolver 50 und 52 und
die Sicherheitslogiksolver 54 und 56 lokal miteinander
kommunizieren können,
um die von jeder der Vorrichtungen implementierten Sicherheitsfunktionen
zu koordinieren, um Daten miteinander auszutauschen, oder um andere
integrierte Funktionen auszuführen.
Andererseits arbeiten die MPD's 70 und 72 derart,
dass Abschnitte des Sicherheitssystems 14, die sich an
erheblich unterschiedlichen Orten der Anlage 10 befinden,
immer noch miteinander kommunizieren können, um koordinierte Sicherheitsfunktionen
an verschiedenen Knoten der Prozessanlage 10 bereitzustellen.
Insbesondere versetzen die MPD's 70 und 72 in
Verbindung mit dem Bus 74 die mit verschiedenen Knoten 18 und 20 der
Prozessanlage 10 verbundenen Sicherheitslogiksolver in
die Lage, eine kaskadierte Kommunikation zu unterhalten, um die
Kaskadierung der sicherheitsbezogenen Funktionen innerhalb der Prozessanlage 10 entsprechend
der zugeordneten Priorität
zu ermöglichen.
Alternativ können zwei
oder mehr sicherheitsbezogene Funktionen an verschiedenen Punkten
innerhalb der Prozessanlage 10 gegeneinander verriegelt
oder miteinander verbunden sein, ohne eine jeweils eigene Verbindungsleitung
zu einzelnen Sicherheitsfeldvorrichtungen innerhalb der separaten
Bereiche oder Knoten der Anlage 10 zu führen. Anders gesagt, die Verwendung der
MPD's 70 und 72 und
des Busses 74 versetzt einen Sicherheitsingenieur in die
Lage, ein Sicherheitssystem 14 zu konzipieren und zu konfigurieren,
das von seinem Wesen her über
die Prozessanlage 10 verteilt ist, das aber verschiedene
Komponenten aufweist, die kommunikativ miteinander verbunden sind, damit
die unterschiedliche sicherheitsbezogene Hardware wie erforderlich
miteinander kommunizieren kann. Dieses Merkmal stellt außerdem die
Anpassungsfähigkeit
des Sicherheitssystems 14 dahingehend bereit, dass dem
Sicherheitssystem 14 je nach Bedarf oder im Zuge der Einführung neuer
Prozesssteuerungsknoten in die Prozessanlage 10 zusätzliche
Sicherheitslogiksolver hinzugefügt
werden können.
-
Es
versteht sich von selbst, dass die Logiksolver 50–56 programmiert
werden können,
um Überwachungsaktivitäten in Bezug
auf die Sicherheitsvorrichtungen 60 und 62 wahrzunehmen,
wobei ein Beispiel für
einen Funktionsblock als Grundlage verwendet wird. Insbesondere
kann, wie in einer vergrößerten Darstellung
eines der Sicherheits-Steuerungsmodule 58a (im
Speicher 79 abgelegt) des Logiksolvers 54 dargestellt,
ein Sicherheits-Steuerungsmodul eine Gruppe kommunikativ verbundener Funktionsblöcke enthalten,
die erstellt und in den Logiksolver 54 geladen werden können, um
diese im Betrieb der Prozessanlage 10 zu implementieren. Wie
in 1 gezeigt, umfasst
das Steuerungsmodul 58a zwei Auswahlfunktionsblöcke 92 und 94,
deren Eingänge
kommunikativ mit anderen Funktionsblöcken 90 verbunden
sind, wobei es sich um Funktionsblöcke mit analogen Eingängen (AI),
um solche mit digitalen Eingängen
(DI) oder um andere Funktionsblöcke
handeln kann, die konzipiert sind, um Signale für die Auswahlfunktions blöcke 92 bereitzustellen. Die
Auswahlfunktionsblöcke 92 und 94 haben
mindestens einen Ausgang, der mit einem oder mehreren anderen Funktionsblöcken 91 verbunden
ist, bei denen es sich um Funktionsblöcke mit analogen Ausgängen (AO),
um solche mit digitalen Ausgängen (DO),
um reagierende Funktionsblöcke,
die Ursache/Wirkungslogik implementieren, um Funktionsblöcke für Steuerung
und Diagnose, die Ausgangssignale von den Auswahlfunktionsblöcken 92 und 94 erhalten
können,
um die Funktion der Sicherheitsvorrichtungen 60 und 62 zu
steuern, etc. handeln kann. Selbstverständlich kann das Sicherheits-Steuerungsmodul 58a in
jeder gewünschten
Weise programmiert sein, um jeden Typ eines Funktionsblocks zusammen
mit einem oder mehreren Auswahlfunktionsblöcken zu enthalten, die in jeder
gewünschten
oder nützlichen
Weise konfiguriert sein können,
um so jede gewünschte
Funktion zu übernehmen.
-
Obwohl
die vergrößerte Darstellung
des Sicherheits-Steuerungsmoduls 58a der 1 einen digitalen Auswahlfunktionsblock 92 mit
fünf digitalen Eingängen und
einen analogen Auswahlfunktionsblock 94 mit drei analogen
Eingängen
aufweist, versteht es sich von selbst, dass jede beliebige Anzahl verschiedener
Sicherheitslogikmodule 58 für jeden der verschiedenen Logiksolver 50–56 erstellt
und in diesem eingesetzt werden kann, wobei jedes dieser Module
jede beliebige Anzahl von Auswahlfunktionsblöcken umfassen kann, die jede
beliebige Anzahl von Eingängen
aufweisen können,
die in jeder gewünschten
Weise kommunikativ mit anderen Funktionsblöcken verbunden sein können. Ebenso
können etwa
beim Einsatz in einem Fieldbusnetz die Auswahlfunktionsblöcke 92 und 94,
bei denen es sich um jeden Typ eines Fieldbus-Funktionsblocks handeln kann,
oder jeder der anderen damit verbundenen Funktionsblöcke in anderen
Vorrichtungen angeordnet und implementiert sein, beispielsweise
in den Feldvorrichtungen 62. Bei der Verwendung außerhalb
eines Sicherheitssystems könnten
die Auswahlfunktionsblöcke 92 und 94 in
den Prozesssteuerungsgeräten 24, 26,
den I/O-Vorrichtungen 28–36, den Feldvorrichtungen 42 etc.
angeordnet werden. Allgemein ist dabei klar, dass die Auswahlfunktionsblöcke 92 und 94 typischerweise
redundante Eingänge
erhalten, die von redundanten Sensoren oder Gebern innerhalb des
Sicherheitssystems 14 bereitgestellt werden, und ein Auswahlschema
auf diese Eingänge
zur Anwendung bringen, um auf Basis aller dieser Eingänge festzustellen,
ob eine Situation vorliegt, die ein Ansprechen des Sicherheitssystems
bedingt.
-
2 ist ein Blockdiagramm,
das die Komponenten des beispielhaften Auswahlfunktionsblocks 94 der 1 wiedergibt, wobei es sich
um einen analogen Auswahlfunktionsblock handelt, da er analoge Eingangssignale
verarbeitet, die über
beispielsweise Funktionsblöcke 90 für analoge
Eingänge
(AI) geliefert werden. Generell enthält der Auswahlfunktionsblock 94 drei
Eingänge
mit den Bezeichnungen IN1, IN2 und IN3, die geeignet sind, analoge
Signale von beispielsweise redundanten Sensoren oder anderen redundanten
Elementen innerhalb der Prozessanlage 10 wie beispielsweise
von den Feldvorrichtungen 60 und 62 der 1 zu übernehmen. Jeder der Eingänge IN1,
IN2 und IN3 wird an einen Abschaltgrenzwert-Prüfblock 95a, 95b oder 95c und
an einen Grenzbereichs-Prüfblock 96a, 96b und 96c übergeben.
Die Abschaltgrenzwert-Prüfblöcke 95 vergleichen
die an sie gelieferten Eingänge
mit einem voreingestellten Grenzwert, um zu bestimmen, ob das Eingangssignal
einen Wert erreicht hat (wobei es sich um einen hohen Wert, einen
niedrigen Wert oder um einen Wert innerhalb eines bestimmten Bereichs handeln
kann), der einer Abschaltbedingung zugeordnet ist. In entsprechender
Weise vergleichen die Grenzbereichs-Prüfblöcke 96 die an sie
gelieferten Eingänge
mit einem voreingestellten Grenzbereichswert, um zu bestimmen, ob
das Eingangssignal einen Wert erreicht hat (wobei es sich um einen
hohen Wert, einen niedrigen Wert oder um einen Wert innerhalb eines
bestimmten Bereichs handeln kann), der einem Alarm oder einer Warnung
zugeordnet ist, die eine Abschaltbedingung signalisiert, die zwar
noch nicht gegeben, aber nahezu erreicht ist. Im Ergebnis ermöglichen
es die Grenzbereichs-Prüfblöcke 96,
ein Alarm- oder ein Ereignissignal zu generieren, das eine nahezu
eingetretene gefahrenträchtige
oder in anderer Weise nicht wünschenswerte
Bedingung anzeigt, die jedoch noch nicht tatsächlich gegeben ist.
-
Die
Ausgänge
der Abschaltgrenzwert-Prüfblöcke 95 und
der Vor-Grenzwert-Prüfblöcke 96 (bei denen
es sich beispielsweise um digitale Signale handeln kann, die auf
einen oberen Pegel gesetzt werden, wenn die Grenzen oder die Vor-Grenzwerte in
den Blöcken 95 und 96 erreicht
werden) werden jeweils an eine Gruppe von Eingangsausblendungsblöcken 98a, 98b und 98c geliefert.
Die Eingangsausblendungsblöcke 98 bewirken
die Ausblendung der einzelnen Eingänge IN1, IN2 und IN3, so dass
einer oder mehrere dieser Eingänge
ausgeblendet werden können,
d.h. nicht mehr im Auswahlfunktionsblock 94 genutzt werden,
um zu bestimmen, ob eine Abschaltbedingung oder eine Voralarmbedingung
gegeben ist. Jeder der Eingangsausblendungsblöcke 98 stellt einen
Ausgang für
die zugehörige
Abschalt-Grenzbedingung an einen Abschalt-Auswahllogikblock 100a und
einen Ausgang für
die zugehörige
Vor-Grenzwertbedingung an einen Vor-Abschalt-Auswahllogikblock 100b bereit.
Die Auswahllogikblöcke 100a und 100b wickeln
Auswahllogik ab, die weiter unten detaillierter beschrieben wird,
um auf Basis der an sie übermittelten
Eingänge
festzustellen, ob eine Abschaltbedingung oder eine Voralarmbedingung
gegeben ist.
-
Der
Abschalt-Auswahllogikblock 100a und der Vor-Abschalt-Auswahllogikblock 100b stellen
jeweils ein Abschaltsignal und ein Vor-Abschalt-Alarmsignal (wenn
das Vorliegen der betreffenden Bedingungen festgestellt wird) an
einen Anlaufsperrblock 102 bereit, der den Auswahlfunktionsblock 94 sperren
kann, so dass dieser kein Abschaltsignal bzw. kein Vor-Abschalt-Alarmsignal
während
beispielsweise des Anlaufs oder eines anderen Vorgangs oder im Zuge
der Ausführung
einer Laufzeitprozedur ausgibt, bei der es wünschenswert ist, die Funktion
des Auswahlfunktionsblocks 94 außer Kraft zu setzen. Der Anlaufsperrblock 102 bereitet
ein Ausgangssignal zur Abschaltung auf (mit der Bezeichnung Out),
das aus der Funktion des Abschalt-Auswahllogikblocks 100a und
der Logik des Anlaufsperrblocks gebildet wird, und er bereitet außerdem ein
Signal Pre_out auf, das aus der Funktion des Vor-Abschalt-Auswahllogikblocks 100b und
des Anlaufsperrblocks gebildet wird. Das Signal Out kann genutzt
werden, um die Funktion einer Abschaltprozedur innerhalb des Sicherheitssystems 14 der 1 anzusteuern, während das
Signal Pre_out genutzt werden kann, um einen Alarm abzusetzen, der
auf die Tatsache hinweist, dass eine Abschaltbedingung innerhalb
der Prozessanlage 10 nahezu erreicht ist. Wenn dies gewünscht ist,
können
die Signale Out und Pre-out selbstverständlich auch für andere
Zwecke herangezogen werden.
-
Der
Auswahlfunktionsblock 94 kann einen Satz Parameter enthalten,
von denen einige in 2 über oder
unter den jeweiligen Blöcken
angedeutet sind, in denen sie verwendet werden, wobei diese Parameter
beispielsweise während
der Konfigurierung des Auswahlfunktionsblocks 94 gesetzt
werden, um die Funktionsweise des Auswahlfunktionsblocks 94 zu
steuern oder festzulegen. Insbesondere weiden ein Parameter für den Abschaltgrenzwert (Trip_Lim)
und ein Parameter für
den Vor-Abschalt-Grenzwert (Pre_Trip_Lim) genutzt, um die in den
Abschaltgrenzwert-Prüfblöcken 95 verwendeten Abschaltgrenzwerte
und die in den Vor-Grenzwert-Prüfblöcken 96 verwendeten
Vor-Grenzwertschranken
zu setzen oder festzulegen. Die Parameter für den Abschaltgrenzwert und/oder
den Vor-Abschalt-Grenzwert können
für jeden
der verschiedenen Blöcke 95 und 96 dieselben
sein, oder sie können
für jeden
der Blöcke 95 und 96 individuell
gesetzt werden. In ähnlicher
Weise werden Parameter für eine
Abschalthysterese (Trip_Hys) und eine Vor-Abschalt-Hysterese (Pre_Trip_Hys)
verwendet, um die Hysterese vorzugeben, die die Blöcke 95 und 96 zwischen
aufeinander folgenden Abschaltungen durchlaufen müssen. Dies
bedeutet, dass dann, wenn einer der Blöcke 95 oder 96 detektiert,
dass eines der Eingangssignale oberhalb (oder unterhalb) eines Grenzwerts
liegt, der Hysteresewert des Typs Hystereseparameter (für die Blöcke 95)
und der Hysteresewert des Parameters für die Vor-Abschalt-Hysterese (für die Blöcke 96)
bestimmen, wie weit das Eingangssignal den Grenzwert überschreiten
(oder unterschreiten) muss, bevor das Abschaltsignal (oder das Vor-Abschaltsignal)
zurückgenommen
wird oder bevor vom betreffenden Block ein zweites Abschaltsignal
(oder ein Vor-Abschaltsignal) gesetzt werden kann.
-
Der
Auswahlfunktionsblock 94 hat des Weiteren einen internen
Abschalt-Konfigurationsparameter-Typ
mit der Bezeichnung Trip Type, der die Normal- und die Abschaltzustandswerte
definiert, die den Ein- und/oder Ausgängen des Auswahlfunktionsblocks 94 zugeordnet
sind. Wenn beispielsweise der Auswahlfunktionsblock 94 als "Spannungslos für Abschaltung" konfiguriert ist
(was der Vorgabewert sein kann), ist der Normalbetrieb des Ausgangs
Eins, und der Abschalt-Zustandswert ist Null. Umgekehrt ist dann,
wenn der Auswahlfunktionsblock 94 als "Spannungsführend für Abschaltung" konfiguriert ist,
der Normalbetriebswert Null, und der Abschalt-Zustandswert ist Eins.
Die anfängliche
Festsetzung erfolgt in den Abschalt-Grenzwert-Prüfblöcken 95a, 95b und 95c und
in den Vor-Grenzwert-Prüfblöcken 96a, 96b und 96c,
die jeweils den Eingänge
IN1, IN2 und IN3 entsprechen. Ein Detektierungs-Typ-Parameter (Detect_Type)
kann verwendet werden, um festzulegen, ob der Vergleich mit dem
Abschaltgrenzwert ein Vergleich auf größer (oberer Grenzwert) oder
ein Vergleich auf kleiner (unterer Grenzwert) sein soll. Dieser
Vergleich erfolgt in den jeweils zugehörigen Abschaltgrenzwert- Prüfblöcken 95 und
den Grenzbereichs-Prüfblöcken 96,
um festzustellen, ob die Eingangssignale die vorbestimmten Grenzen
erreicht haben.
-
Es
ist klar, dass die Ausgänge
der Abschaltgrenzwert-Prüfblöcke 95 jeweils
anzeigen, ob durch den zugehörigen
Eingang IN1, IN2 und/oder IN3 eine Abschaltung angezeigt wird. Wie
weiter oben erläutert,
kann für
Wartungszwecke durch die Eingangsausblendungsblöcke 98 ein Übergehen
bzw. ein Ausblenden für
jeden der einzelnen Eingänge IN1,
IN2 und IN3 eingerichtet weiden, um zu verhindern, dass diese Eingänge in die
durch die Auswahllogikblöcke 100 angewendete
Auswahllogik eingehen. Dieses Ausblendungsmerkmal ist wünschenswert,
wenn beispielsweise Wartungsmaßnahmen
an einem Geber oder an einer anderen Feldvorrichtung durchgeführt werden,
die Eingangssignale für
den Auswahlfunktionsblock 94 bereitstellen. Bei Verwendung
einer Auswahllogik zum Setzen eines Abschaltausgangs auf Basis mehrerer
Eingänge
sind Ausblendungen für
Wartungsmaßnahmen
nicht immer erforderlich, da eine einzelne falsche Abschaltanforderung
(etwa infolge von Wartungsmaßnahmen
am für
die Bereitstellung des Eingangs vorgesehenen Sensor) nicht zwingend
zu einer Abschaltung führt. Diese
Ausblendungsfunktion ist wünschenswert,
um Fehlabschaltungen während
Wartungsaktivitäten
zu vermeiden, und sie kann für
bestimmte Auswahllogiken, beispielsweise in einem Eins-aus-Zwei-Logikkonzept
erforderlich sein, bei dem bereits das Vorliegen eines einzigen
Abschaltsignals von redundanten Sensoren in einer Abschaltung resultieren
kann.
-
Wenn
einer der Eingangsausblendungsblöcke 98 die
Ausblendung eines Eingangs bewirkt, wird der ausgeblendete Eingang
von den Auswahllogikblöcken 100a und 100b nicht
in die Bildung eines Abschaltsignals oder eines Vor-Abschalt-Alarmsignals einbezogen,
und zwar selbst dann nicht, wenn der Eingangswert die durch die
Parameter für
den Abschaltgrenzwert und den Vor-Abschalt-Grenzwert vorgegebenen
Grenzwerte überschreitet.
Um die Ausblendung freizugeben, kann ein Parameter für die Zulassung
der Ausblendung (Bypass_Permit) zuerst freigegeben werden, um festzulegen,
ob als erstes eine Ausblendung der Eingänge erfolgen kann. Allgemein
gesagt, die Ausblendung von Eingängen ist
erlaubt, wenn der Parameter Bypass_Permit gesetzt oder freigegeben
ist, während
die Ausblendung von Eingängen
nicht erlaubt ist, wenn der Parameter Bypass_Permit nicht gesetzt
oder nicht freigegeben ist. Obwohl ein einziger Parameter Bypass_Permit auf
alle Ausblendungsblöcke 98 angewendet
werden kann, ist es auch möglich,
eine separate Zulassung der Ausblendung für jeden der Eingangsausblendungsblöcke 98a, 98b, 98c zu
setzen.
-
Wenn
der Parameter Bypass_Permit gesetzt oder freigegeben ist, kann ein
Parameter BYPASSx verwendet werden, um zu bewirken, dass ein oder mehrere
Ausblendungsblöcke 98 aktiviert
werden, um die Verwendung eines zugehörigen Eingangs IN1, IN2 oder
IN3 zu sperren. Das x in BYPASSx gibt an, welcher der Eingänge IN1,
IN2 oder IN3 zu sperren ist. Wenn dies gewünscht ist, können zu
jedem beliebigen Zeitpunkt mehr als ein Eingang gesperrt werden,
oder der Auswahlfunktionsblock 94 kann so konfiguriert
werden, dass zu einem bestimmten Zeitpunkt nur jeweils ein Eingang
ausgeblendet werden kann. Die Parameter Bypass_Permit und BYPASSx können in
jeder gewünschten
Weise gesetzt oder vorgegeben weiden, beispielsweise mittels eines
im Operator- oder Wartungsbildschirm zur Verfügung gestellten Bedienknopfs,
durch einen physikalischen Schlüsselschalter, über einen
getrennten Eingang in das Sicherheitsmodul, durch eine Konfigurierungs-, Steuerungs-,
Display- oder Diagnoseapplikation oder in jedes anderen Weise. Wenn
für eine
bestimmte Implementierung des Auswahlfunktionsblocks 94 die Verwendung
einer Ausblendungsfreigabe nicht erforderlich ist, ist es selbstverständlich möglich, bei
der Konfigurierung des Auswahlfunktionsblocks 94 den Parameter
Bypass_Permit standardmäßig mit
Freigabe vorzubesetzen.
-
Ein
Parameter für
die zeitliche Begrenzung der Ausblendung (Bypass_Timeout) kann genutzt werden,
um den Zeitraum vorzugeben, des nach dem Einstellen einer Ausblendung
für einen
der Blöcke 98 bewirkt,
dass nach dem Ablauf der betreffenden Zeit die Ausblendung automatisch
wieder zurückgenommen
wird. In diesem Fall kann jedes der Eingangsausblendungsblöcke 98 einen
Ausblendungszeitgeber aus einer Zeitgebergruppe 110 enthalten, der
entsprechend dem Parameter Bypass_Timeout gesetzt wird, und der
ab dem Einstellen der Ausblendung heruntergezählt werden kann. In diesem
Fall können
die Eingangsausblendungsblöcke 98 die
Einbeziehung des zugehörigen
Eingangs sperren, bis BYPASSx zurückgenommen wird oder bis der
Ausblendungszeitgeber den Wert null erreicht hat. Es ist klar, dass
Ausblendungszeitgeber genutzt werden, um si cherzustellen, dass Ausblendungen
nach Ablauf eines vorbestimmten Zeitraums zurückgenommen werden.
-
Wenn
gewünscht,
können
die Eingangsausblendungsblöcke 98 außerdem konfiguriert
werden, um einen Erinnerungsalarm für einen Nutzer wie z.B. einen
Bediener bzw. Operator, einen Sicherheitsingenieur, einen Techniker
etc. bereitzustellen, um den Nutzer zu erinnern bzw. diesem mitzuteilen,
dass der Auslauf eines Ausblendungszeitgebers bevorsteht. Wenn Ausblendungen
so konfiguriert werden, dass diese nach einer Zeitbegrenzung für die Ausblendung
nicht mehr gegeben bzw. nicht mehr wirksam sind, kann vor Ablauf
der Zeitbegrenzung eine Nachricht an einen Nutzer oder einen anderen
Operator übermittelt
werden, indem ein Parameter für
die Erinnerungszeit (REMINDER_TIME) auf einen entsprechenden Wert
ungleich null gesetzt wird. Wenn in diesem Fall der Ausblendungszeitgeber
ungleich null ist, aber einen niedrigeren Wert erreicht hat, als
der Parameter für
die Erinnerungszeit, und wenn gleichzeitig ein ausgeblendeter Eingang
eine Abschaltung anfordert, kann der Erinnerungsalarm aktiviert
werden, um einen Alarm für
einen Nutzer bereitzustellen, der anzeigt, dass nach dem bevorstehenden
Ablauf des Ausblendungszeitgebers eine Abschaltung erfolgen kann.
Wenn keiner der ausgeblendeten Eingänge eine Abschaltung anfordert,
braucht der Alarm nicht aktiviert zu werden, er kann aber trotzdem
aktiviert werden. Es ist klar, dass selbst dann, wenn der dem Ausblendungszeitgeber
zugeordnete Alarm aktiv ist, nicht notwendigerweise eine Abschaltung
bevorsteht, da möglicherweise
nicht ausreichend viele weitere Eingänge eine Abschaltung anfordern,
um den Abschalt-Auswahllogikblock 100a zum Absetzen eines
Abschaltsignals zu veranlassen.
-
In
einer Ausführungsform
wird der Ausblendungszeitgeber nur dann erneut gestartet, wenn die Zeitbegrenzung
der ersten Ausblendung ausgelaufen ist. Der Ausblendungszeitgeber
kann jedoch auch als schreibfähiger
Parameter konfiguriert sein, wobei dann, wenn die Meldung eines
anstehenden Auslaufs der Zeitbegrenzung erfolgt, der Ausblendungszeitgeber
mittels eines Bedienknopfs im Operatordisplay (oder durch ein anderes
geeignetes Verfahren) inkrementiert werden kann, um die Ausblendungszeit
zu verlängern.
Ein derartiges Merkmal ermöglicht
es einem Nutzer, die Ausblendungszeit zu verlängern, wenn beispielsweise
eine Wartungsmaßnahme
an der Feldvorrichtung, die den ausgeblendeten Eingang für den Auswahlfunktionsblock 94 zur Verfügung stellt,
noch nicht abgeschlossen ist. Alternativ kann die Meldung des Auslaufs
einer Ausblendung ausschließlich
zu Anzeigezwecken dienen, beispielsweise wenn eine Ausblendung nach
dem Auslauf der Zeitbegrenzung nicht mehr außer Kraft gesetzt werden muss.
In diesem Fall kann der Erinnerungsalarm mit Auslauf des Ausblendungszeitgebers aktiviert
werden, und zwar auch dann, wenn der Parameter für die Erinnerungszeit auf null
gesetzt ist. Wenn jedoch der Parameter für die Erinnerungszeit ungleich
null ist, erfolgt vor dem Auslauf der Zeitbegrenzung weiterhin eine
Erinnerung (sofern der Eingang eine Abschaltung anfordert). Die
Erinnerungsalarme und die Ausblendungsalarme können zu bestätigende
oder nicht zu bestätigende
Alarme sein.
-
Die
in den Auswahllogikblöcken 100a und 100b realisierte
Auswahllogik ist vorzugsweise als "M-von-N"-Logikfunktion konfiguriert. Entsprechend dieser
Funktionalität
müssen
M Eingänge
aus insgesamt N Eingängen
eine Abschaltung anfordern. Beispielsweise kann der Auswahlfunktionsblock 94 entsprechend
einer 2-aus-3-Logik (2oo3-Logik) konfiguriert sein, was bedeutet,
dass zwei der drei Eingänge den
Abschaltgrenzwert erreichen müssen,
bevor der Ausgang des Auswahllogikblocks 100a in den Abschaltzustand
versetzt wird, und dass zwei von dreien der Eingänge den Vor-Abschalt-Grenzwert
erreichen müssen,
bevor der Vor-Abschalt-Auswahllogikblock 100b auf einen
Vor-Abschalt-Alarmwert
gesetzt wird. Der Wert N der "M-aus-N"-Funktion ist durch
die Anzahl der nicht ausgeblendeten Eingänge gegeben, während der
Wert M auf Basis eines internen Parameters des Blocks mit der Bezeichnung
Anzahl für Abschaltung
(NUM_TO_TRIP) festgelegt wird, dessen Vorgabewert auf jeden beliebigen
Wert gleich oder kleiner als N bei der Konfigurierung gesetzt werden
kann. Gebräuchliche
Auswahlschemata können beispielsweise
2-aus-3 (2oo3), 1-aus-2 (1oo2), 2-aus-2 (2oo2) etc. enthalten. Es
kann jedoch auch jede andere Auswahllogik verwendet werden. Aufgrund
der sonstigen Merkmale des Blocks 94 kann der Auswahlfunktionsblock 94 auch
für einzelne
Geber-Anwendungen
in beispielsweise einer 1-aus-1-Auswahllogiksituation (1oo1) verwendet werden.
-
Allgemein
gesagt, die Auswahlschemata 1oo2 und 1oo1 erfordern eine Ausblendungsfunktion für Wartungszwecke,
da bereits die Außerbetriebnahme
eines der Geber in einer Weise, die während Wartungsmaßnahmen
die Detektion einer Abschaltbedingung für diesen Geber am Eingang des
Auswahlfunktionsblocks 94 bewirkt, notwendigerweise zum
Setzen einer Abschaltbedingung durch den Auswahllogikblock 100a führt. Eine
Ausblendungsfunktion kann jedoch auch für Auswahlfunktionsblöcke von Nutzen
sein, die so konfiguriert sind, dass sie mehrere Anforderungen für eine Abschaltung
benötigen, um
ein exakter vorhersehbares Verhalten bei Wartungsmaßnahmen
zu erhalten.
-
Die
Ausblendung eines der Eingänge
IN1, IN2 oder IN3 kann sich in zweierlei Weise auf die Auswahllogikblöcke 100a und 100b auswirken.
Entweder kann dadurch die Anzahl der zur Erkennung einer Abschaltbedingung
(oder einer Vor-Abschalt-Alarmbedingung) erforderlichen Eingänge um eins
reduziert werden, oder aber die Anzahl dieser Eingänge kann
dabei die gleiche bleiben. Wenn beispielsweise der Auswahllogikblock 100a als
Auswahllogikblock des Typs 2oo3 konfiguriert ist und einer der Eingänge IN1,
IN2 oder IN3 ausgeblendet wird, kann sich das Auswahlschema zu einem
Auswahlschema 1oo2 wandeln, was bedeutet, dass die erforderliche
Anzahl von Eingängen
mit einer Abschaltanforderung um eins reduziert wird (zusammen mit
der Anzahl der möglichen
Eingänge).
Optional kann beim Ausblenden eines ausgewählten Eingangs das 2oo3-Auswahlschema in
ein 2oo2-Auswahlschema gewandelt weiden, was bedeutet, dass die
erforderliche Anzahl der Eingänge
mit einer Abschaltanforderung die gleiche bleibt (obwohl die Anzahl
der möglichen
Eingänge
um eins reduziert ist). Ein Parameter für Ausblendungsoptionen kann
genutzt werden, um zu bestimmen, ob die nach der Ausblendung eines
Eingangs aktuell für
eine Abschaltung erforderliche Anzahl um eins reduziert wird oder
nicht. 3 verdeutlicht
die Auswirkung dieser Option für
verschiedene unterschiedliche Auswahlschemata. Die erste Spalte
der 3 gibt die Konfiguration
der Auswahllogikschemata ohne ausgeblendete Eingänge an, die zweite Spalte der 3 gibt die Auswahllogik
nach Ausblendung eines einzelnen Eingangs an, wobei die ursprünglich konfigurierte Anzahl
M für eine
Abschaltung beibehalten wird, und die dritte Spalte der 3 gibt die Auswahllogik
nach Ausblendung eines einzelnen Eingangs an, wobei die Anzahl M
für eine
Abschaltung um eins reduziert wird. Selbstverständlich können zusätzliche Ausblendungen von Eingängen entsprechende Änderungen der
in der zweiten und dritten Spalte der 3 angegebenen
Werte bewirken. In jedem Fall wird der Abschalt-Auswahllogikblock 100a (und
der Vor-Abschalt-Grenzwert-Auswahllogikblock 100b) die aktuelle
Anzahl der für
eine Abschaltung erforderlichen Eingänge generell nicht auf weniger
als eins reduzieren, und er wird eine Abschaltung verhindern, wenn die
Anzahl der möglichen
Eingänge
für eine
Abschaltanforderung auf null reduziert ist, wie z.B. in einem 1oo1-Auswahlschema.
-
Das
standardmäßige Verhalten
des Eingangsausblendungsblocks 98 kann so konfiguriert weiden,
dass immer nur ein Eingang ausgeblendet werden kann. Diese Funktionsweise
kann durch eine Eintragskontrolle erzwungen werden, die die Ausblendung
eines zweiten Eingangs verhindert. Optional können mehrere Eingänge gleichzeitig
ausgeblendet werden. Wenn gewünscht,
kann der Parameter BYPASSx eine zusätzliche Eintragskontrolle haben,
die erfordert, dass der Parameter BYPASS_PERMIT wahr oder gesetzt
ist, bevor der Parameter BYPASSx besetzt werden kann.
-
Nachdem
im Abschalt-Auswahllogikblock 100a eine Auswahl entsprechend
dem M-aus-N-Auswahlschema getroffen wurde, kann ein Zeitparameter TRIP_DELAY_ON
zum Anschalten einer Verzögerung
der Abschaltung zur Anwendung gebracht werden, so dass die durch
Auswahl erhaltene Abschaltbedingung für eine konfigurierbare Zeitperiode
(deren Vorgabewert auf null Sekunden gesetzt sein kann) gegeben
sein muss, bevor das Signal OUT in den Zustand für eine Abschaltung wechselt.
In entsprechender Weise kann ein Zeitparameter TRIP DELAY_OFF zur
Abschaltung einer Abschalt-Verzögerung
zur Anwendung gebracht werden (dessen Vorgabewert auf null Sekunden
gesetzt sein kann), um nach dem Ausbleiben der Abschaltanforderung die
Rückkehr
des Signals OUT in den Normalzustand zeitlich zu verzögern, d.h.
wenn der Abschalt-Auswahllogikblock 100a auf Basis der
an ihn angelegten Eingänge
feststellt, dass die Abschaltbedingung nicht mehr gegeben ist. Selbstverständlich können der
Zeitparameter zur Verzögerung
der Abschaltung und der Zeitparameter zur Verzögerung der Rücknahme
der Abschaltung unterschiedliche und wie gewünscht einstellbare Werte haben,
und sie können auf
das Abschaltsignal vom Abschalt-Auswahllogikblock 100a und
auf das Abschalt-Voralarmsignal
vom Vor-Abschalt-Auswahllogikblock 100b oder auch auf beide
Signale angewendet werden. Wenn gewünscht, können die Zeiten zum Anschalten
der Verzögerung
der Abschaltung und zum Abschalten der Verzögerung der Abschaltung unabhängig für den Abschalt-Auswahllogikblock 100a und
den Vor-Abschalt-Auswahllogik block 100b konfigurierbar
sein, und sie können
durch einen der Zeitgeber 110 verfolgt werden.
-
Wie
weiter oben angemerkt, ermöglicht
der Anlaufsperrblock 102 das Ausblenden für den Anlauf oder
für andere
betriebliche Funktionen. Es kann beispielsweise erforderlich sein,
den Ausgang des Auswahlfunktionsblocks 94 zu übergehen,
um das Abschaltsignal während
des Anlaufs oder für
andere vorübergehende
betriebliche Situationen für
einen kurzen Zeitraum im Normalzustand zu erzwingen. Diese Anlaufsperrfunktion
kann beispielsweise genutzt werden, um eine anstehende Abschaltanforderung zu
deaktivieren, die vom Auswahlfunktionsblock 94 generiert
wird, wenn sich der Prozess oder ein erheblicher Teil desselben
noch im Stillstand befindet, so dass der Anlaufvorgang bis zu einem
Punkt ablaufen kann, ab dem die an den Eingängen des Auswahlfunktionsblocks 94 anstehenden
Prozessdaten keine Werte mehr aufweisen, aus denen hervorgeht, dass eine
Abschaltung erfolgen sollte.
-
In
einem Beispiel kann der Anlaufsperrblock 102 ein standardmäßiges Verhalten
aufweisen, bei dem mit Erhalt einer Anzeige des Anlaufvorgangs, die
beispielsweise durch Setzen eines Anlaufparameters mitgeteilt werden
kann, der Anlaufsperrblock 102 das Abschaltsignal, und
wenn gewünscht,
das Vox-Abschalt-Signal, für
eine konfigurierbare Zeitperiode, die durch einen Parameter für die Anlaufverzögerung (STARTUP_DELAY)
festgelegt werden kann, in den Normalzustand zwingt. Der Anlaufsperrblock 102 kann
einen abwärtszählenden
Zeitgeber als einen der Zeitgeber 110 enthalten, der auf
den durch den Parameter für
die Anlaufverzögerung
spezifizierten Wert gesetzt wird, und der mit der Abwärtszählung beginnt,
sobald die Anlaufmeldung über
den Anlaufparameter eintrifft. Wenn der abwärtszählende Zeitgeber ausläuft, kehren
der Abschalt-Auswahllogikblock 100a und der Vor-Abschalt-Auswahllogikblock 100b zur
normalen Detektierung einer Abschaltung zurück. Der Anlaufsperrblock 102 kann
so konfiguriert werden, dass ein nachfolgendes Neusetzen des Anlaufparameters
während
des Ablaufs des Anlaufzeitgebers die Anlaufzeit nicht beeinflusst.
Optional ist es möglich,
jedem erneuten Setzen des Anlaufparameters ein Rücksetzen des Anlaufzeitgebers zu
ermöglichen,
so dass eine bevorstehende Abschaltung aufgrund des Auslaufens des
Zähler
verhindert werden kann.
-
In ähnlicher
Weise wie die Eingangsausblendungsblöcke 98 kann der Anlaufsperrblock 102 eine Erinnerungsfunktion
aufweisen, die beispielsweise durch das Setzen eines Ausblendungsparameters aktiviert
werden kann. Die Erinnerungsfunktion arbeitet für Ausblendungen in der Anlaufphase
im Wesentlichen in der gleichen Weise wie für die Ausblendung von Eingängen (Ausblendungen
für Wartungszwecke).
Demzufolge wird dann, wenn der Anlaufzeitgeber größer als
null, aber kleiner als ein konfigurierbarer Parameter für die Erinnerungszeit (REMINDER_TIME)
eingestellt ist (wobei Letzterer im Zuge der Konfigurierung gesetzt
werden kann), und hinreichend viele Abschaltanforderungen vorliegen,
eine Bedingung für
einen Erinnerungsalarm aktiv, die anzeigt, dass die Ausblendung
ausläuft,
was zu einer Abschaltung auf Basis der Werte der Eingänge IN1,
IN2 und IN3 führen
wird.
-
Wenn
gewünscht,
kann der Anlaufzeitgeber zusätzlich
oder wahlweise automatisch auslaufen, sobald sich die Eingänge stabilisiert
haben, d.h., wenn innerhalb eines konfigurierbaren Zeitraums nicht
mehr hinreichend viele Anforderungen vorliegen, um eine Abschaltung
zu bewirken. Diese Stabilisierungszeit kann durch einen Zeitgeber
für die
Stabilisierung verfolgt werden, bei dem es sich um einen der Zeitgeber 110 handeln
kann, und wobei dieser feststellen kann, wenn sich der Ausgang des
Auswahllogikblocks 100a auf beispielsweise einem nicht für eine Abschaltung
genügenden
bzw. einen normalen Wert stabilisiert hat. In diesem Fall kann,
während der
Anlaufzeitgeber nach unten zählt,
der Stabilisierungszeitgeber nach oben zählen, wenn nicht ausreichend
viele Abschaltanforderungen vorliegen, und kann sich zurückzusetzen,
wenn die Abschaltanforderungen die für eine Abschaltung erforderliche
Anzahl erreichen oder überschreiten.
Wenn der Anlaufzeitgeber den konfigurierten Zeitwert für die Stabilisierung
erreicht, wird der Stabilisierungszeitgeber auf null rückgesetzt
und die normale Funktion zur Erfassung einer Abschaltbedingung wird
wieder aufgenommen. Selbstverständlich
wird der Stabilisierungszeitgeber am Ende der Anlaufzeitperiode
nicht rückgesetzt,
er wird jedoch mit dem Beginn eines Anlaufs und zu jedem Zeitpunkt
während
der Anlaufsperrzeit rückgesetzt,
wenn hinreichend viele Abschaltanforderungen vorliegen.
-
Wahlweise
muss die Anlauf-Ausblendungszeit nicht auf einer festen Zeitperiode
oder auf den Werten der Eingänge
IN1, IN2 und IN3 für
den Auswahlfunktionsblock 94 basieren, sondern sie kann stattdessen
auf dem Auftreten oder dem Ausbleiben eines Ereignisses basieren.
In diesem Fall endet die Anlaufausblendung dann, wenn ein Anlauf-Rücksetzparameter gesetzt ist
oder gesetzt wird bzw. den Wert Wahr annimmt, was bei der Detektierung
eines Ereignisses eintreten kann. Auf diese Weise kann die Anlaufausblendung
mit dem Vorliegen oder dem Nichtvorliegen eines Ereignisses von
unbestimmter zeitlicher Länge
verknüpft
werden.
-
Wenn
gewünscht,
kann der Zustand der Eingänge
IN1, IN2 und/oder IN3 genutzt werden, um das Verhalten des Auswahlfunktionsblocks 94 zu
steuern, wobei das erwähnte
Verhalten mittels eines Parameters für Statusoptionen vorgegeben
werden kann. Es ist klar, dass in einer Vielzahl von Systemen, wie
z.B. in den HART- und Fieldbussystemen, Geber oder andere Feldvorrichtungen
zusammen mit dem Signal einer Prozessvariablen oder einer Prozessgröße ein Statussignal übermitteln,
wobei das Statussignal den Zustand des Gebers selbst übermittelt. Derartige
Statussignale können
anzeigen, dass sich der Geber im normalen oder guten Zustand, oder
in einem abnormalen Zustand, beispielsweise in einem schlechten
oder nicht wünschenswerten
Zustand befindet, der bewirken kann, dass der von dem Geber übermittelte
Wert der Prozessvariablen von fraglicher Natur ist. Folglich kann
der Status der Eingangssignale an den Eingängen IN1, IN2 und IN3 des Auswahlfunktionsblocks 94 bestimmt
und zur Bildung des Auswahlschemas und der Art und Weise der Auswertung
der Eingänge
innerhalb des Auswahlschemas genutzt werden.
-
Wenn
gewünscht,
können
die von den Blöcken 100 verwendeten
Auswahlschemata so gesetzt werden, dass ein ausgefallener Geber
(d.h. ein Eingang nimmt einen Fehlerstatus an) nicht automatisch eine
Abschaltung auslöst,
wenn andere Geber verfügbar
sind, um einen gültigen
Wert für
die erfasste Prozessvariable zu liefern. Bei der Berücksichtigung des
Status des Eingangssignals ist es eine Option, ungeachtet des Status
des Eingangs, stets den Wert des Eingangs IN1, IN2 oder IN3 zu verwenden.
Auf diese Weise führt
ein Hardwarefehler nicht notwendigerweise zu einer Abschaltung,
so dass Zeit für
Reparaturmaßnahmen
verbleibt. Eine andere Option besteht darin, einen Eingang mit Fehlerstatus
so zu behandeln, als ob der Eingang ausgeblendet wäre, wodurch
verhindert wird, dass der Eingang eine Abschaltanforderung in der
weiter oben für
die Eingangsaus blendungsblöcke 98 beschriebenen
Weise absetzt. Eine dritte Option ist die automatische Einbeziehung
des Eingangs als einen Eingang mit Abschaltanforderung, sobald der
Status des Eingangs „schlecht" ist. Dies kann als
standardmäßige Option konfiguriert
werden, die das höchste
Sicherheitsniveau für
1ooX-Auswahlschemata bietet. 4 macht deutlich,
wie verschiedene übliche
Auswahlschemata unter Anwendung der oben beschriebenen Optionen
herabgestuft werden, wenn ein einzelner Eingang einen schlechten
Status aufweist. Wie beispielsweise in der ersten Spalte der ersten
Reihe von 4 gezeigt,
geht dann, wenn der betreffende Wert stets einbezogen wird, ein
2oo3-Auswahlschema entweder wieder in ein 2oo3-Auswahlschema (wenn der
Wert des Signals von dem schlechten Geber keine Abschaltung anfordert)
oder in ein 1oo2-Auswahlschema über
(wenn der Wert des Signals von dem schlechten Geber eine Abschaltung
anfordert). Dagegen zeigt die zweite Spalte der ersten Reihe der 4, dass das 2oo3-Auswahlschema
in ein 2oo2-Auswahlschema übergeht,
wenn der Wert des schlechten Gebers überhaupt nicht einbezogen wird (oder
es kann je nach den gewählten
Ausblendungsmerkmalen in ein 1oo2-Auswahlschema übergehen). Wie entsprechend
in der dritten Spalte der ersten Reihe von 4 zeigt, geht das 2oo3-Auswahlschema
in ein 1oo2-Auswahlschema über,
wenn der Wert des schlechten bzw. fehlerhaften Gebers unabhängig vom
tatsächlichen
Wert des Signals als Abschaltanforderung betrachtet wird.
-
Selbstverständlich kann
die Nutzung des jeweiligen Status der Eingänge für den Auswahlfunktionsblock 94 in
gleicher oder in abweichender Weise auch beim Abschalt-Auswahllogikblock 100a und beim
Vor-Abschalt-Auswahllogikblock 100 angewendet werden. Wenn
gewünscht,
kann der Status des Out-Signals und des Pre_out-Signals auf "Gut" gesetzt werden,
außer
wenn alle nicht ausgeblendeten Signale einen schlechten Status aufweisen,
in welchem Fall der Status der Signale Out und Pre_out auf "Schlecht" gesetzt werden kann.
Wenn gewünscht, kann
dann, wenn irgendeiner der nicht ausgeblendeten Eingänge einen
schlechten Status aufweist, ein Parameter für einen Alarmzustand gesetzt
werden, der anzeigt, dass ein schlechter Eingang durch den Auswahlfunktionsblock 94 gesetzt
werden kann.
-
5 zeigt ein Zustandsdiagramm 130,
das verschiedene Zustände
verdeutlicht, die der Auswahlfunktionsblock 94 durchlaufen
kann, um aus einer Abschaltbedingung (bei der das Signal Out in
den Abschaltzustand gebracht ist) in einen nicht abgeschalteten
oder normalen Zustand (bei dem das Signal Out in den Normalzustand
gebracht ist) zu gelangen oder umgekehrt. Das Zustandsdiagramm 130 umfasst
fünf Zustände, die
als Abschaltzustand 132, ein Auswahl-Normal-Verzögerungszustand 134,
ein Auswahl-zu-Abschalt-Verzögerungszustand 136, Abschaltsperrzustand 138 und
als Normalzustand 140 definiert sind. Die Pfeile oder Verbindungslinien zwischen
den Zuständen
im Zustandsdiagramm 130 zeigen die möglichen Zustandswechsel zwischen den
Zuständen 132–140 an.
Die durchgezogenen Linien in 5 kennzeichnen
die häufig
auftretenden Zustandswechsel, die zu erwarten sind, wenn der erfasste
Prozesswert den Abschaltgrenzwert über- oder unterschreitet. Die
gestrichelten Linien in 5 stehen
für weniger
häufige
Zustandswechsel.
-
Der
Auswahlfunktionsblock 94 tritt aus jedem der anderen Zustände in den
Abschaltsperrzustand 138 ein, wenn eine Anlaufausblendung
aktiv ist, oder wenn eine Abschaltung nicht möglich ist, da nicht ausreichend
viele Eingänge
am Auswahlschema beteiligt sind, entweder weil ein oder mehrere
Eingänge ausgeblendet
sind, oder weil ein oder mehrere Eingänge einen schlechten Zustand
bzw. Fehlerstatus aufweisen und ein schlechter Zustand dahin gehend behandelt
wird, dass der Eingang nicht in die Auswahl einbezogen wird. Aus
dem Zustand der Abschaltsperrung 138 kann der Auswahlfunktionsblock 94 auf
Basis der Einstellungen der Verzögerungsparameter
(Abschalt-Verzögerungs-An-Parameter
und der Abschalt-Verzögerungs-Aus-Parameter)
sowie der Eingänge
zum Auswahlfunktionsblock 94 in jeden anderen Zustand wechseln,
wenn die Sperrbedingung aufgehoben wird.
-
Aus
dem Zustandsdiagramm 130 wird klar, dass sich der Auswahlfunktionsblock 94 allgemein
im Normalzustand 140 befindet, wenn die Eingänge des Auswahlfunktionsblocks 94 Werte
derart aufweisen, dass das im Abschalt-Auswahllogikblock 100a der 2 verwendete Auswahlschema
anzeigt, dass keine Abschaltbedingung vorliegt. Selbstverständlich kann
der Auswahllogikblock 100a alle Eingänge verwenden und ausgeblendete
Eingänge
in jeder oben beschriebenen Weise verwenden, um zu entscheiden,
dass keine Abschaltbedingung gegeben ist. Wenn vom Auswahlfunktionsblock 100a eine
Abschaltbedingung festgestellt wird, kann der Auswahlfunktionsblock 94 direkt
in den Abschalt zustand 132 gehen, sofern keine Abschalt-Verzögerungs-An-Zeit eingestellt
ist, oder er kann in den Auswahl-zu-Abschalt-Verzögerungzustand 136 wechseln,
wenn der Abschalt-Verzögerungs-An-Parameter
auf einen Wert ungleich null gesetzt ist.
-
Der
Auswahlfunktionsblock 94 verbleibt während der Verzögerungszeitperiode
im Auswahl-zu-Abschalt-Verzögerungzustand 136,
wie durch Abschalt-Verzögerungs-An-Zeitparameter gesetzt,
der von einem Nutzer, einem Konfigurierungsingenieur etc. konfiguriert
werden kann. Wenn die Abschalt-Verzögerungs-An-Zeitperiode ausläuft (und nicht
vom Nutzer erneut zurückgesetzt
wird) und die Abschaltbedingung noch gegeben ist, tritt der Auswahlfunktionsblock 94 in
den Abschaltzustand 132 ein und setzt das Signal Out auf
den Wert für
Abschaltung. Wenn dagegen die Abschaltbedingung während des
Auswahl-zu-Abschalt-Verzögerungszustands 136 aufgehoben
wird, kehrt der Auswahlfunktionsblock 94 in den Normalzustand 140 zurück, ohne
auf das Signal Out Einfluss zu nehmen.
-
Wenn
sich der Auswahlfunktionsblock 94 im Abschaltzustand 132 befindet,
bringt er das Signal Out in den Abschaltzustand und hält es in
diesem Zustand, bis der Auswahlfunktionsblock 94 entweder
in den Zustand der Abschaltsperrung 138 oder in den Normalzustand 140 eintritt.
Wenn eine Abschaltbedingung aufgehoben wird, weil sich beispielsweise einer
oder mehrere der Eingänge
des Auswahlfunktionsblocks 94 ändern und dadurch die Abschalt-Auswahllogik
eine nicht zur Abschaltung führende
Bedingung detektiert, geht der Auswahlfunktionsblock 94 bei
nicht gesetzter Abschalt-Verzögerungs-An-Zeitperiode direkt
in den Normalzustand 140, oder er tritt in den Auswahl-Normal-Verzögerungszustand 134 ein,
wenn der Abschalt-Verzögerungs-Aus-Parameter
auf einen Wert ungleich null gesetzt ist. Der Auswahlfunktionsblock 94 verbleibt
im Zustand des Auswahl-Normal-Verzögerungszustands 134,
bis der erste der Abschalt-Verzögerungs-Aus-Zeitgeber zur Verzögerung der
Rücknahme
der Abschaltung ausläuft
(zu welcher Zeit der Auswahlfunktionsblock 94 in den Normalzustand 140 eintritt),
eine Abschalt-Sperrbedingung
auftritt (zu welcher Zeit der Auswahlfunktionsblock 94 in
den Abschaltsperrzustand 138 eintritt), oder bis eine Auswahl-zu-Abschalt-Bedingung
auf Basis einer Änderung
der Eingänge
erneut auftritt (zu welcher Zeit der Auswahlfunktionsblock 94 in
den Abschaltzustand 132 zurückkehrt).
-
Während das
Zustandsdiagramm 130 der 5 eine
Betriebsweise wiedergibt, bei der der Auswahlfunktionsblock 94 aus
einem normalen Betriebszustand in einen Abschaltzustand übergehen kann
und umgekehrt, ist klar, dass, wenn gewünscht, der Auswahlfunktionsblock 94 konzipiert
werden kann, um weniger als die dargestellten Zustände oder
um zusätzliche
Zustände
oder um eine Kombination beider Möglichkeiten zu nutzen. Außerdem ist klar,
dass während
die Zustandsmaschinerie 130 spezifisch so beschrieben ist,
dass sie zur Steuerung des Zustands des Signals Out, d.h. des Abschaltsignals
verwendet wird, ein ähnliches
Diagramm einer Zustandsmaschinerie verwendet werden könnte, um, die
Funktion des Signals Pre_out zu beschreiben, das von einem Normalzustand
in einen Alarmzustand bzw. gesetzten Zustand wechselt und umgekehrt.
-
Wenn
gewünscht,
kann der Auswahlfunktionsblock 94 des Weiteren eine oder
mehrere Statusvariablen oder Statussignale bereitstellen, die den Abschaltzustand
oder den Vor-Abschaltzustand anzeigen, in dem sich der Auswahlfunktionsblock 94 befindet.
Ein typischer Statuswert für
diese Signale kann "Normal" oder seltener "Abgeschaltet" sein. Wie jedoch
aus dem Zustandsdiagramm 130 der 5 hervorgeht, kann der Abschaltzustand,
und wenn gewünscht
auch der Vorabschaltzustand, einen Wert "Delayed" annehmen, wenn der Abschalt-Verzögerungs-An-
oder der Abschalt-Verzögerungs-Aus-Parameter auf einen
Wert ungleich null gesetzt ist, und ein Wechsel zwischen dem Normal-
und dem Abschaltzustand erfolgt. In ähnlicher Weise können das Abschaltsignal
und das Vox-Abschaltsignal (Out und Pre_out) einen "Sperrstatus" aufweisen, wenn
sich der Auswahlfunktionsblock 94 im Zustand der Abschaltsperrung 138 befindet.
-
Wenn
gewünscht,
kann das Prozesssteuerungssystem 12 konfiguriert werden,
um Information in einer Ereignishistorie zu speichern, wenn Eingänge ausgeblendet
werden oder wenn eine Ausblendung aufgehoben wird, basierend auf
den dem Auswahlfunktionsblock 94 zugeordneten Signalen
und Parametern. In vielen Fällen
können
diese Ereignisse inhärent
aufgezeichnet werden, da der Ausblendungsparameter direkt in den
Auswahlfunktionsblock 94 eingeschrieben wird. In einigen
Fällen
sind Ausblendungen und Ausblendungsfreigaben fest mit physikalischen
Druckknopfschaltern verdrahtet, und es kann eine spezielle Eintragskontrolle/Ereignisprotokollierung
erforderlich sein. In der Praxis kann die Ausblendungsfreigabe für eine Gruppe
von Auswahlfunktionsblöcken
oder für einen
einzelnen Auswahlfunktionsblock erfolgen. Wenn zeitliche Begrenzungen
für die
Ausblendung einbezogen werden, kann eine spezielle Ereignisprotokollierung
verwendet werden, um auch den Sachverhalt der Aufhebung der Ausblendungen
durch den Block zu erfassen. Selbstverständlich kann der Auswahllogikblock 94 jede
gewünschte
Ereignisaufzeichnung generieren (durch Erzeugen von Ereignis-Aufzeichnungs-Signalen),
die beispielsweise an die Konfigurations- oder die Historiendatenbank 21 der 1 übermittelt und dort gespeichert
werden sollen. Eine derartige Ereignisaufzeichnung oder derartige
Ereignis-Aufzeichnungs-Signale können
beispielsweise enthalten: Aufzeichnungen eines jeden Setzens oder Änderns des
Ausblendungs-Erlaubnis-Parameters, des Parameters BYPASSx, des Bypass-Timeouts
(typischerweise durch die Grenzwert-Prüfblöcke 95 erzeugt), Anlaufausblendungen
und Anlauf-Timeouts (typischerweise durch den Anlaufsperrblock 102 erzeugt),
sowie auch Aufzeichnungen von Zustandsänderungen, die bestimmten Eingängen, die
eine Sperrung (oder eine Vorsperrung) auswählen, zugeordnet sind, die
beispielsweise von den Auswahlfunktionsblöcken 100 oder den
Abschaltgrenzwert-Prüfblöcken 95 erzeugt werden
können.
Solche Ereignisaufzeichnungen sind von hohem Wert für Nutzer
bei Ereignisabfolgeermittlungen, die typischerweise nach dem Auftreten
einer Abschaltung in einem Sicherheitssystem stattfinden.
-
Wie
daraus hervorgeht, kann durch die Verwendung des hierin beschriebenen
Auswahlfunktionsblocks 94 in einfacher Weise ein Funktionsblock erstellt
werden, der ein bekanntes Format hat, und der somit nach seiner
Erstellung nur noch mittels geeigneter Einstellungen der Konfigurierungsparameter auf
die richtige Funktionsweise programmiert werden muss. Die Implementierung
des Auswahlfunktionsblocks innerhalb einer Programmierumgebung für Funktionsblöcke gestaltet
sich einfach, da der Auswahlfunktionsblock in jeder bekannten oder
gewünschten
Weise erstellt und kommunikativ mit anderen Funktionsblöcken verbunden
werden kann. In ähnlicher
Weise ist die Fehlerbereinigung des Auswahlfunktionsblocks einfacher
als bei Auswahllogiken, die in anderen Programmiersprachen erzeugt sind,
da der Auswahllogikblock typischerweise nur im Rahmen des Kontexts
seiner Einbindung innerhalb der Programmierumgebung und aufgrund
der auf ihn angewendeten Konfigurationsparameter fehlerbereinigt
werden muss. Darüber
hinaus kann der Auswahlfunktionsblock in einfacher Weise dokumentiert werden,
da es sich um einen typischen Funktionsblock mit standardisierter
Dokumentation handelt, die nur hinsichtlich der jeweils verwendeten
Parametereinstellungen abzuändern
ist.
-
Während hierin
der Auswahlfunktionsblock 94, bei dem es sich um einen
analogen Auswahlfunktionsblock handelt, detailliert beschrieben
wurde, ist klar, dass digitale Auswahlfunktionsblöcke in ähnlicher
Weise arbeiten können.
In einem digitalen Auswahlfunktionsblock (der digitale Eingangssignale
verarbeitet), arbeiten jedoch die Grenzwertprüfblöcke oder Detektierungseinheiten 95 nur
derart, dass sie den Wert des digitalen Eingangssignals als logisch Eins
oder logisch Null behandeln, wobei einer dieser Zustände als
zutreffend für
eine Abschaltbedingung und der andere als nicht zutreffend für eine Abschaltbedingung
definiert ist. Außerdem
kann bei digitalen Auswahlfunktionsblöcken die Verwendung der Vor-Grenzwert-Prüfblöcke oder
Detektierungseinheiten 96 nicht erforderlich oder nicht
möglich
sein, da die digitalen Eingangssignale typischerweise einen von
zwei Zuständen
annehmen und nicht gegen einen anderen Grenzwert zwischen diesen
beiden Zuständen
abgeprüft
werden können.
Wenn gewünscht,
können
jedoch die Ausgänge
des Abschaltgrenzwert-Prüfblocks 95 an
einen zweiten Auswahllogikblock (der ein weniger exaktes Auswahlschema verwendet
als das vom Abschalt-Auswahllogikblock 100a verwendete
Auswahlschema) übergeben
werden, um das Vorliegen eines Vor-Abschalt-Alarms festzustellen. Außerdem ist
es möglich,
auch wenn die Auswahlfunktionsblöcke 92 und 94 hierin
mit jeweils fünf
und drei Eingängen
beschrieben wurden, jede beliebige andere Anzahl von Eingängen einzubeziehen.
-
Während nach 1 die Auswahlfunktionsblöcke 92 und 94 Eingänge von
Funktionsblöcken des
Typs AI, DI und andere erhalten, können die in die Auswahl einbezogenen
Eingänge
von jedem anderen Typ eines Funktionsblocks kommen oder als andere
Typen von Signalen innerhalb der Prozessanlage 10 generiert
werden. Außerdem
können,
auch wenn die Ausgänge
der Auswahlfunktionsblöcke 92 und 94 als
mit Ausgangsfunktionsblöcken
beispielsweise des Typs AO, DO und anderen, wie z.B. einem Ursache/Wirkung-Funktionsblock
oder einer Steuerungsroutine, verbunden dargestellt sind, diese
Ausgänge
mit jedem anderen gewünschten
Typ von Funktionsblöcken
verbunden werden, etwa mit Folgesteuerungs- und Zwischenspeicherblöcken etc., oder
sogar direkt mit anderen Applikationen oder Programmierumgebungen
innerhalb der Prozessanlage 10. In ähnlicher Weise kann, während die
hierin beschriebene Logik anhand einer bestimmten beispielhaften
Funktionsblockprogrammierung realisiert wurde, die gleiche Logik
unter anderen Programmierumgebungen bereitgestellt und dennoch als
Funktionsblock im hierin beschriebenen Sinn aufgefasst werden. Des
Weiteren können,
während
die hierin beschriebenen Auswahlfunktionsblöcke für die Verwendung in einem Sicherheitssystem
einer Prozessanlage oder einer Prozesssteuerungsumgebung beschrieben
sind, diese oder ähnliche
Funktionsblöcke in
einer normalen Prozesssteuerungsumgebung oder für andere gewünschte Zwecke
außerhalb
eines Sicherheitssystems verwendet werden.
-
Während die
Auswahlfunktionsblöcke
hierin anhand von Diagrammen zur Statusmaschinerie beschrieben wurden,
sind diese Diagramme nur gedacht, um die Funktionsweise der Auswahllogik
und der Funktionalität
der Ausblendungen zu beschreiben. Es ist klar, das keine Statusmaschinerie
verwendet werden muss, und dass bei Verwendung einer solchen diese
in jeder Form, beispielsweise durch Hardware oder durch Software
in jeder beliebigen Programmiersprache implementiert werden kann. Um
eine solche Statusmaschinerie zu realisieren, muss lediglich nur
ein Element wie z.B. ein Softwareprogramm, eine Routine, ein Objekt
etc. den Funktionsblock zum Übergang
zwischen Zuständen,
wie hierin erläutert
oder definiert (oder anderen Zuständen), oder wie durch die Ausgänge des
Funktionsblocks dargestellt anstoßen und so einen Wechsel des
Ausgangs von einem Normal- in einen Abschaltzustand oder umgekehrt
bewirken.
-
Zur
Implementierung kann jedes der hierin beschriebenen Elemente, einschließlich der
Sperrblöcke,
der Auswahlfunktionsblöcke,
der Statusmaschinerien, der Signalverbindungen etc., in Form von Software
realisiert werden, die auf einem beliebigen rechnerlesbaren Speichermedium
wie z.B. Magnetplatte, Laser- oder optische Disk, oder auf einem
anderen Speichermedium, in einem RAM oder einem ROM eines Computers
oder Prozessors etc. gespeichert ist. Die hierin beschriebenen Signale
und Signalleitungen können
jede Form haben, einschließlich wirklicher
Drahtleitungen, Datenregister, Speicherplätze etc. Die Software kann
jede beliebige Form haben, einschließlich auf einem Universalrechner
oder -prozessor ausgeführte
Applikationssoftware, oder es kann sich um festkodierte Software
handeln, die beispielsweise in einem Applikationsspezifischen Integrierten
Schaltkreis (ASIC – Application
Specific Integrated Circuit) realisiert oder in ein EPROM, EEPROM
oder ein anderes Firmwareelement eingebrannt ist. In ähnlicher
Weise kann die Software an einen Nutzer, einen Betrieb oder eine
Bedienerworkstation, eine Steuerung, einen Logiksolver oder an eine
beliebige bekannte Rechnervorrichtung auf jede bekannte oder gewünschte Art
der Lieferung einschließlich
beispielsweise auf einer rechnerlesbaren Disk oder einem anderen
transportablen Speichermedium für
Computer oder über
einen Kommunikationskanal wie z.B. eine Telefonleitung, das Internet, das
World Wide Web, jedes andere lokale oder Fernnetz etc. übermittelt
werden (wobei unter Übermittlung
auch die Bereitstellung solcher Software auf einem transportablen
Speichermedium zu verstehen ist). Des Weiteren kann die Software
direkt ohne Modulation oder Verschlüsselung bereitgestellt werden, oder
sie kann unter Verwendung jeder geeigneten Modulationsträgerwelle
und/oder Verschlüsselungstechnik
moduliert und/oder verschlüsselt
weiden, bevor sie über
einen Kommunikationskanal übermittelt wird.
-
Selbstverständlich können die
hierin beschriebenen Auswahlfunktionsblöcke mittels eines jeden externen
Kommunikationsprotokolls zur Prozesssteuerung (neben dem Fieldbus-Protokoll
oder einem DeltaV-Protokoll) implementiert werden, und sie können genutzt
werden, um mit jedem Typ eines Funktionsblocks einschließlich eines
jeden Funktionsblocks, der ähnlich
oder gleich einem der verschiedenen Funktionsblöcke ist, die speziell für das Fieldbus-Protokoll
identifiziert sind bzw. von diesem unterstützt weiden, zu kommunizieren.
Des Weiteren ist anzumerken, dass trotz der Bezeichung der Auswahlfunktionsblöcke in einer
Ausführungsform
hiervon als Fieldbus-"Funktionsblöcke" der Begriff "Funktionsblock" hierin nicht auf
etwas beschränkt
ist, das das Fieldbus-Protokoll als Funktionsblock identifiziert,
sondern stattdessen jeden anderen Typ eines Blocks, eines Programms,
einer Hardware, Firmware etc., also eines jeden Objekts umfasst,
das mit jeder Art von Steuerungssystem und/oder Kommunikationsprotokoll
in Zusammenhang steht, das für
die Implementierung der Funktionalität einer Prozesssteuerungsroutine
genutzt werden kann, oder das übel
ein vordefiniertes Setup oder Protokoll verfügt, um Information oder Daten
für andere
derartige Funktionsblöcke
bereitzustellen. Das bedeutet, dass Funktionsblöcke zwar typischerweise die
Form von Objekten in einer objektorientierten Programmierumgebung
haben, wobei dies aber nicht notwendigerweise der Fall ist, so dass
stattdessen andere logische Einheiten genutzt werden können, um
eine bestimmte Steuerungsfunktion (einschließlich der Ein- und Ausgänge) innerhalb einer
Prozessanlage oder einer Steuerungsumgebung zu erfüllen, wobei
jede beliebige Programmstruktur oder -vorgabe zu Grunde gelegt werden
kann.
-
Während die
vorliegende Erfindung unter Bezugnahme auf spezifische Ausführungsformen
beschrieben worden ist, die die Erfindung nur verdeutlichen und
nicht einschränken
sollen, wird es für
den Fachmann offensichtlich sein, daß Änderungen, Hinzufügungen oder
Weglassungen an den offenbarten Ausführungsformen vorgenommen werden
können, ohne
vom Grundgedanken und Geltungsbereich der Erfindung abzuweichen.