DE102004016929A1 - Auswahllogikblock mit Ausblendungsfunktionen für Betrieb und Wartung für ein Prozesssteuerungssystem - Google Patents

Auswahllogikblock mit Ausblendungsfunktionen für Betrieb und Wartung für ein Prozesssteuerungssystem Download PDF

Info

Publication number
DE102004016929A1
DE102004016929A1 DE102004016929A DE102004016929A DE102004016929A1 DE 102004016929 A1 DE102004016929 A1 DE 102004016929A1 DE 102004016929 A DE102004016929 A DE 102004016929A DE 102004016929 A DE102004016929 A DE 102004016929A DE 102004016929 A1 DE102004016929 A1 DE 102004016929A1
Authority
DE
Germany
Prior art keywords
signal
block
shutdown
selection logic
switch
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE102004016929A
Other languages
English (en)
Other versions
DE102004016929B4 (de
Inventor
Michael G. Austin Ott
Gary Georgetown Law
Dennis Round Rock Stevenson
Robert Elgin Havekost
Godfrey Austin Sherriff
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fisher Rosemount Systems Inc
Original Assignee
Fisher Rosemount Systems Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fisher Rosemount Systems Inc filed Critical Fisher Rosemount Systems Inc
Publication of DE102004016929A1 publication Critical patent/DE102004016929A1/de
Application granted granted Critical
Publication of DE102004016929B4 publication Critical patent/DE102004016929B4/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • G05B9/03Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B23/00Testing or monitoring of control systems or parts thereof
    • G05B23/02Electric testing or monitoring
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric

Abstract

Ein Auswahlfunktionsblock, der in die Programmierumgebung eines Funktionsblockdiagramms in einem Steuerungs- oder Sicherheitssystem einer Prozessanlage integriert werden kann, implementiert eine Auswahllogik in Verbindung mit der Bereitstellung von Ausblendungsfunktionen für Betrieb und Wartung, die zur Ausblendung individueller Eingänge des Auswahlfunktionsblocks und zur Ausblendung des Ausgangs des Auswahlfunktionsblocks eingestellt werden können. Der Auswahlfunktionsblock, der einfach erzeugt, genutzt, getestet, von Fehlern befreit und dokumentiert werden kann, umfasst eine oder mehrere Eingangsgrenzwert-Detektierungseinheiten, die detektieren, ob ein spezieller redundanter Eingang einen spezifizierten Grenzwert erreicht hat, der einen Zustand innerhalb der Prozessanlage anzeigt, eine Ausblendungseinheit, die von einem Nutzer eingestellt werden kann, um die Berücksichtigung dieses Eingangs in der Auswahlfunktion auszublenden, ein Auswahllogikobjekt, das bestimmt, ob auf Basis der Werte der gültigen oder nicht gesperrten Eingänge eine Abschaltbedingung vorliegt, und einen Sperrblock, der genutzt werden kann, um den Ausgang des Auswahllogikblocks beispielsweise während des Anfahrens oder eines anderen Betriebszustands auszublenden. Der Auswahlfunktionsblock kann in ein Prozessteuerungs- oder Sicherheitssystem integriert werden, und zwar durch eine kommunikative Verbindung mit anderen Funktionsblöcken, wie beispielsweise Analog- oder Digitaleingangsfunktionsblöcken, ...

Description

  • TECHNISCHES GEBIET
  • Die vorliegende Erfindung bezieht sich allgemein auf Prozesssteuerungs- und Sicherheitssysteme für Prozessanlagen, und insbesondere auf ein System mit einen Auswahllogikblock mit Ausblendungsfunktionen für Betrieb und Wartung.
  • BESCHREIBUNG DES STANDES DER TECHNIK
  • Prozesssteuerungssysteme, wie sie z.B. in Prozessen der chemischen Industrie, Prozessen der Petrochemie und für andere Prozesse eingesetzt werden, umfassen typischerweise ein oder mehrere Prozesssteuerungsgeräte, die mit wenigstens einem Host oder einer Bediener-Workstation und mit einer oder mehreren Feldvorrichtungen über analoge, digitale oder kombinierte analog/digitale Busse bzw. Datenstrecken oder Kommunikationsleitungen kommunikativ verbunden sind. Die Feldvorrichtungen, bei denen es sich z.B. um Ventile, Ventilsteller, Schalter und Messwertumformer (z.B. für Temperatur-, Druck- und Durchflusssensoren) handelt, nehmen Funktionen innerhalb des Prozesses wahr, z.B. Öffnen und Schließen von Ventilen und Erfassen von Prozessparametern. Die Prozesssteuerungen erhalten Signale, die Prozessdaten von den Feldvorrichtungen und/oder andere Informationen, betreffend die Feldvorrichtungen, vermitteln, und nut zen diese Information zur Implementierung von Steuerungsroutinen, um Steuersignale zu generieren, die über die Datenstrecken oder andere Kommunikationsleitungen an die Feldvorrichtungen übermittelt werden, um die Arbeitsweise des Prozesses zu steuern. Informationen von den Feldvorrichtungen und den Steuerungen können einer oder mehreren Applikationen zur Verfügung gestellt werden, die von der Bediener-Workstation ausgeführt werden, um einem Bediener zu ermöglichen, die jeweils gewünschten Funktionen bezüglich des Prozesses zu veranlassen, etwa Konfigurieren des Prozesses, Abfragen des aktuellen Prozesszustandes, Modifizieren des Prozessablaufs, etc.
  • Darüber hinaus ist in vielen Prozessen ein separates Sicherheitssystem bereitgestellt, um bedeutende sicherheitsrelevante Probleme innerhalb der Prozessanlage zu detektieren, und um automatisch Ventile zu schließen, die Energiezufuhr zu Vorrichtungen zu unterbrechen, Fluidströme innerhalb der Anlage zu steuern etc., wenn ein Problem auftritt, das ernsthafte Schäden an der Anlage verursachen oder solche nach sich ziehen könnte, etwa ein Austreten toxischer Chemikalien, eine Explosion etc. Diese Sicherheitssysteme verfügen typischerweise über ein oder mehrere, von den normalen Steuerungsgeräten für die Prozesssteuerung getrennte Steuerungsgeräte, die als Logiksolver bezeichnet werden, und die über separate Busse oder Kommunikationsleitungen mit innerhalb der Anlage installierten Sicherheitsfeldvorrichtungen verbunden sind. Die Logiksolver nutzen die Sicherheitsfeldvorrichtungen, um Prozessbedingungen zu detektieren, die mit signifikanten Ereignissen wie z.B. der Position bestimmter Sicherheitsschalter oder Absperrventile, Über- oder Unterschreitung bestimmter Prozessgrößen, der Bereitschaft wichtiger Energieversorgungen oder Steuerungseinrichtungen, der Funktion von Vorrichtungen zur Erfassung von Fehlersituationen etc. verbunden sind, um "Ereignisse" innerhalb der Prozessanlage zu erkennen. Wenn ein Ereignis festgestellt wird, veranlasst die Sicherheitssteuerung Maßnahmen zur Begrenzung der schädlichen Auswirkung des Ereignisses, beispielsweise das Schließen von Ventilen, das Abschalten von Geräten, die Unterbrechung der Energiezufuhr zu Teilen der Anlage etc. Ganz allgemein umfassen diese Maßnahmen das Verbringen von Sicherheitsvorrichtungen in einen abgeschalteten oder "sicheren" Betriebsmodus, der so gewählt ist, das eine schwerwiegende oder gefahrenträchtige Bedingung innerhalb der Prozessanlage verhindert wird.
  • Es ist allgemein üblich, für die Instrumentierung von Sicherheitssystemen Eingabegeräte wie beispielsweise Messwertumformer und Schalter in redundanter Ausführung zu verwenden, um für die Detektierung von Ereignissen innerhalb des Systems eine höhere Sicherheit oder Verfügbarkeit der Messung von Prozessvariablen zu erzielen. In solchen Systemen ist es manchmal erforderlich, eine Auswahllogikfunktion innerhalb der Abschaltlogik vorzusehen, um auf Basis der redundanten Eingänge zu bestimmen, ob der Prozesszustand akzeptabel oder gefahrenträchtig ist. Während sich eine solche Auswahllogikfunktion relativ einfach gestaltet, da sie typischerweise nur eine Mehrheitsentscheidung aus den Eingängen treffen muss, um festzustellen, ob eine Ereignisbedingung aufgetreten ist, verfügen diese Auswahlsysteme über keine effektive Ausblendungsmöglichkeit. Es ist jedoch oftmals wünschenswert, sowohl in den Sicherheitssystemen als auch in einigen Prozesssteuerungssystemen die Möglichkeit einer Ausblendung des Ausgangs der Auswahlfunktion zu haben, um beispielsweise ein Ansprechen des Abschaltsystems während des Anfahrens des Prozesssteuerungssystems zu verhindern, um dem Wartungspersonal die Durchführung von Wartungsmaßnahmen an einer oder mehreren der Eingangsbaugruppen zu ermöglichen, um ausgewählte Prozessbedingungen vorübergehend zu ignorieren etc.
    •
  • Obwohl in der Vergangenheit die Konfigurationstechniker oder die Sicherheitsingenieure manchmal auf manuellem Wege und unter Verwendung verschiedener Programmiersprachen Auswahllogiken in die Steuerungsgeräte des Sicherheitssystems einprogrammiert haben, war eine solche Maßnahme zur Programmierung leider umständlich, zeitraubend und fehlerträchtig, was schwerwiegende Folgen nach sich ziehen konnte, da eine Fehlfunktion des Sicherheitssystems zu schweren Verletzungen oder sogar zum Tod von Anlagenpersonal und möglicherweise zu Schäden in Höhe von mehreren Millionen Dollar bei Ausrüstung und Material an der Prozessanlage führen kann. Allgemein gesagt, umfassen einige nützliche Merkmale, die nicht in einfacher Weise in bekannte Auswahllogikkonzepte integriert werden können, die Ausblendung ausgewählter Eingänge des Auswahllogiksystems für Wartungszwecke, Ausblendungen für den Anlauf, Verzögerungszeiten für Anlauf und/oder Abschaltung etc.
  • ZUSAMMENFASSUNG DER OFFENBARUNG
  • Ein Sicherheitssystem innerhalb einer Prozessanlage nutzt einen oder mehrere Auswahlfunktionsblöcke, die in einfacher Weise in eine Programmierumgebung für Funktionsblockdiagramme integriert werden können, um die von einem Nutzer spezifizierte Auswahllogik mit verschiedenen Möglichkeiten für Außerkraftsetzung und Ausblendung zu implementieren. Ein derartiger Auswahlfunktionsblock, der in einfacher Weise zu erstellen, anzuwenden, zu testen, von Fehlern zu bereinigen und zu dokumentieren ist, weist eine oder mehrere Grenzwert-Detektierungseinheiten auf, die feststellen, wenn ein zugeordneter Eingang einen bestimmten Grenzwert erreicht hat, der einen Zustand innerhalb der Prozessanlage kennzeichnet, eine Eingangs-Ausblendungseinheit, die von einem Nutzer gesetzt werden kann, um die Berücksichtigung des betreffenden Eingangs bei der Auswahlfunktion zu übergehen, ein Auswahlfunktionslogikobjekt zur Feststellung des Vorliegens einer Abschaltbedingung auf Basis der Werte der gültigen Eingänge, und einen Sperrblock, der für das Außerkraftsetzen des Ausgangs des Auswahllogikblocks während, beispielsweise des Anlaufs oder anderer Betriebszustände, genutzt werden kann. Der Auswahlfunktionsblock kann kommunikativ mit anderen Funktionsblöcken verbunden sein, beispielsweise mit analogen oder digitalen Eingangsfunktionsblöcken, analogen oder digitalen Ausgangsfunktionsblöcken, Steuerungsfunktionsblöcken, Ursache/-Wirkungsfunktionsblöcken zur Implementierung von Ursache/Wirkungslogik etc., um die Auswahllogik als Teil einer umfangreicheren Prozesssteuerungs- oder Sicherheitssystemstrategie zu implementieren. In einem Fall kann der Auswahlfunktionsblock genutzt werden, um das Vorliegen eines Ereignisses innerhalb eines Prozesssicherheitssystems auf Basis einer Mehrzahl von Messungen einer Prozessvariablen festzustellen, die in redundanter Weise durch Mess- oder Sensorvorrichtungen erfasst werden.
  • Der hierin beschriebene Auswahlfunktionsblock kann in einfacher Weise erstellt werden, da er in seiner Grundform nur erfordert, dass ein Konfigurierungs- oder Sicherheitstechniker bzw. -ingenieur Angaben zur Anzahl der auszuwertenden Eingänge, zum Typ der anzuwendenden Auswahllogik und zu den zu berücksichtigenden Ausblendungen bzw. Außerkraftsetzungen macht, die zur Definition der gewünschten Funktionsweise des Auswahlfunktionsblocks erforderlich sind. Dieser Auswahlfunktionsblock ist ebenso in einfacher Weise in ein Steuerungsgerät oder einen Logiksolver zu integrieren, der Funktionsblocklogik nutzt, da der Auswahlfunktionsblock in der gleichen Weise wie andere Funktionsblöcke integriert werden kann, indem Eingänge und Ausgänge des Auswahlfunktionsblocks mit anderen Funktionsblöcken oder -elementen innerhalb der Steuerungsstrategie verbunden werden. Im Ergebnis ist der Auswahlfunktionsblock auch in einfacher Weise zu dokumentieren, zu testen und von Fehlern zu bereinigen. Des Weiteren kann der Auswahlfunktionsblock zusätzliche Funktionsmerkmale bereitstellen, die in Sicherheitssystemen nicht immer zur Verfügung stehen, z.B. die Bereitstellung von Ausblendungs- oder Außerkraftsetzungsfunktionen, die zur Laufzeit sowie für Wartung und Inbetriebnahme genutzt werden können.
    •
  • KURZBESCHREIBUNG DER ZEICHNUNGEN
  • 1 ist ein Blockdiagramm einer beispielhaften Prozessanlage, die über ein in ein Prozesssteuerungssystem integriertes Sicherheitssystem verfügt, das einen oder mehrere konfigurierbare Auswahlfunktionsblöcke nutzt, um Ausblendungen für das Herunterfahren des Systems und für Wartungsmaßnahmen zu kontrollieren;
  • 2 ist ein Blockdiagramm eines konfigurierbaren Auswahlfunktionsblocks der 1;
  • 3 ist eine Tabelle mehrerer beispielhafter Auswahlschemata, die einen ausgeblendeten Eingang beinhalten, und die im Auswahlfunktionsblock der 2 Anwendung finden können;
  • 4 ist eine beispielhafte Tabelle zur Darstellung der Art und Weise, in der sich das Auswahlschema reduzieren kann, wenn einer der Eingänge des Auswahlfunktionsblocks einen Fehlerstatus annimmt; und
  • 5 ist ein Zustandsdiagramm, das mehrere Zustände aufzeigt, die sich potentiell im Zusammenhang mit dem Auswahlfunktionsblock der 2 einstellen können.
  • DETAILLIERTE BESCHREIBUNG
  • 1 zeigt eine Prozessanlage 10, die ein mit einem Sicherheitssystem 14 (durch gestrichelte Linien angedeutet) kombiniertes Prozesssteuerungssystem 12 umfasst, das generell als ein sicherheitsgerichtet instrumentiertes System (SIS – Safety Instrumented System) arbeitet, um die vom Prozesssteuerungssystem 12 bewirkten Steuerungseingriffe geeignet zu überwachen und außer Kraft zu setzen, so dass die Wahrscheinlichkeit des sicheren Betriebs der Prozessanlage 10 maximiert wird. Die Prozessanlage 10 umfasst außerdem eine oder mehrere Host-Workstations, Computer oder Bedienerschnittstellen 16 (bei denen es sich um jede Art von Personalcomputern, Workstations, PDAs etc. handeln kann), die dem Anlagenpersonal wie beispielsweise Prozesssteuerungsbedienern, Wartungspersonal, Sicherheitsingenieuren etc. zugänglich sind. Im Beispiel der 1 sind zwei Bedienerschnittstellen 16 dargestellt, die hier mit zwei verschiedenen Prozesssteuerungs-/Sicherheitssteuerungsknoten 18 und 20 und mit einer Konfigurationsdatenbank 21 über eine gemeinsame Verbindungsleitung oder einen Bus 22 verbunden sind. Das Kommunikationsnetzwerk 22 kann unter Verwendung jeder beliebigen busbasierten oder nicht busbasierten Hardware, jeder beliebigen festverdrahteten oder drahtlosen Kommunikationsstruktur und unter Verwendung jedes gewünschten oder geeigneten Kommunikationsprotokolls, beispielsweise eines Ethernet-Protokoll, realisiert werden.
  • Allgemein gesagt, enthält jeder der Knoten 18 und 20 der Prozessanlage 10 sowohl Vorrichtungen des Prozesssteuerungssystems als auch Vorrichtungen des Sicherheitssystems, die über eine Busstruktur miteinander verbunden sind, die auf einer Leiterplatte bereitgestellt ist, welche die verschiedenen Vorrichtungen aufnimmt. Der Knoten 18 ist in 1 dargestellt und enthält dabei ein Prozesssteuerungsgerät 24 (bei dem es sich um ein redundantes Paar zweier Steuerungsgeräte handeln kann) sowie eine oder mehrere Prozesssteuerungssystem-Eingabe-/Ausgabe-(I/O)-Vorrichtungen 28, 30 und 32, wäh rend der Knoten 20 mit einem Prozesssteuerungsgerät 26 (bei dem es sich um ein redundantes Paar zweier Steuerungsgeräte handeln kann) und eine oder mehrere Prozesssteuerungssystem-(I/O)-Vorrichtungen 34 und 36 dargestellt sind. Jede der Prozesssteuerungssystem-(I/O)-Vorrichtungen 28, 30, 32, 34 und 36 ist kommunikativ mit einer Gruppe prozesssteuerungsbezogener Feldvorrichtungen verbunden, die in 1 als Feldvorrichtungen 40 und 42 wiedergegeben sind. Die Prozesssteuerungsgeräte 24 und 26, die I/O-Vorrichtungen 2836 und die Feldvorrichtungen 40 und 42 der Steuerung bilden im Allgemeinen das Prozesssteuerungssystem 12 der 1.
  • In ähnlicher Weise umfasst der Knoten 18 einen oder mehrere Sicherheitssystem-Logiksolver 50, 52, während der Knoten 20 Sicherheitssystem-Logiksolver 54 und 56 umfasst. Jeder der Logiksolver 5056 ist eine I/O-Vorrichtung, die mit einem Prozessor 57 versehen ist, der die Sicherheitslogikmodule 58 ausführt, die in einem Speicher 79 gespeichert sind, und der kommunikativ verbunden ist, um Steuersignale an Feldvorrichtungen 60 und 62 des Sicherheitssystems abzusetzen bzw. Signale von diesen zu erhalten. Außerdem umfasst jeder der Knoten 18 und 20 wenigstens eine Meldungsweitergabevorrichtung (MPD – Message Propagation Device) 70 oder 72, die über eine Ringbusleitung 74 (in 1 nur teilweise dargestellt) kommunikativ miteinander verbunden sind. Die Logiksolver 5056 des Sicherheitssystems, die Feldvorrichtungen 60 und 62 des Sicherheitssystems, die MPD's 70 und 72 und der Bus 74 bilden im Allgemeinen insgesamt das Sicherheitssystem 14 der 1.
  • Die Prozesssteuerungsgeräte 24 und 26, bei denen es sich beispielsweise um DeltaVTM Steuerungsgeräte, wie sie von Fisher-Rosemount Systems, Inc., vertrieben werden, oder um beliebige andere Prozesssteuerungsgeräte handeln kann, sind programmiert, um (unter Verwendung von normalerweise als Steuerungsmodule bezeichneten Komponenten) eine Funktionalität zur Prozesssteuerung bereitzustellen, wobei sie auf die I/O-Vorrichtungen 28, 30 und 32 (für das Steuerungsgerät 24), die I/O-Vorrichtungen 34 und 36 (für das Steuerungsgerät 26) und die Feldvorrichtungen 40 und 42 zurückgreifen. Insbesondere implementiert oder überwacht jedes der Steuerungsgeräte 24 und 26 eine oder mehrere Prozesssteuerungsroutinen, die in diesem gespeichert oder in anderer Weise mit diesem verbunden sind, und kommuniziert mit den Feldvorrichtungen 40 und 42 und den Workstations 14, um den Prozess 10 oder einen Teil des Prozesses 10 in irgendeiner gewünschten Weise zu steuern. Bei den Feldvorrichtungen 40 und 42 kann es sich um jeden gewünschten Typ von Feldvorrichtungen handeln, beispielsweise Sensoren, Ventile, Geber, Stellungsregler etc., die jedem gewünschten offenen, proprietären oder anderen Kommunikations- oder Programmprotokoll entsprechen können, einschließlich beispielsweise dem HART- oder dem 4-20 ma-Protokoll (wie für die Feldvorrichtungen 40 dargestellt), jedem Fieldbus-Protokoll wie dem FOUNDATION® Fieldbus Protokoll (wie für die Feldvorrichtungen 42 dargestellt), oder dem CAN-, dem Profibus- oder dem AS-Interface-Protokoll, um nur einige zu nennen. Entsprechend kann es sich bei den I/O-Vorrichtungen 2836 um jeden bekannten Typ von Prozesssteuerungs-I/O-Vorrichtungen handeln, die irgendein geeignetes Kommunikationsprotokoll verwenden können.
  • Bei den Sicherheitslogiksolvern 5056 der 1 kann es sich um jeden beliebigen Typ von Sicherheitssystemsteuerungsvorrichtungen handeln, die einen Prozessor 57 und einen Speicher enthalten, der Sicherheitslogikmodule 58 speichert, die geeignet sind, auf dem Prozessor 57 ausgeführt zu werden, um einen dem Sicherheitssystem 14 zugehörigen Steuerungsfunktionsumfang bereitzustellen, der die Feldvorrichtungen 60 und 62 einbezieht. Es versteht sich von selbst, dass die Sicherheitsfeldvorrichtungen 60 und 62 von jedem gewünschten Typ einer Feldvorrichtung sein können, der mit einem beliebigen bekannten oder gewünschten Kommunikationsprotokoll übereinstimmt oder dieses verwendet, beispielsweise eines der weiter oben erwähnten. Insbesondere können die Feldvorrichtungen 60 und 62 sicherheitsbezogene Feldvorrichtungen des Typs sein, der herkömmlicherweise durch ein separates, zweckgebundenes sicherheitsbezogenes Steuerungssystem gesteuert wird. In der in 1 dargestellten Prozessanlage 10 sind die Sicherheitsfeldvorrichtungen 60 in einer Form dargestellt, die ein zweckgebundenes oder Punkt-zu-Punkt-Kommunikationsprotokoll nutzt, beispielsweise das HART- oder das 4-20 ma-Protokoll, während die Sicherheitsfeldvorrichtungen 62 unter Verwendung eines Buskommunikationsprotokolls, beispielsweise des Fieldbus-Protokolls, dargestellt sind. Die Sicherheitsfeldvorrichtungen 60 können jede gewünschte Funktion wahrnehmen, beispielsweise die eines Absperrventils, eines Stoppschalters etc.
  • Eine gemeinsame Leiterplatte 76 (durch eine gestrichelte Linie durch die Steuerungsgeräte 24, 26, die I/O-Vorrichtungen 2836, die Sicherheitslogiksolver 5056 und die MPD's 70 und 72 angedeutet) wird in jedem der Knoten 18 und 20 verwendet, um die Steuerungsgeräte 24 und 26 mit den Prozesssteuerungs-I/O-Karten 28, 30 und 32 oder 34 und 36 sowie mit den Sicherheitslogiksolvern 50, 52, 54 oder 56 und den MPD's 70 oder 72 zu verbinden. Die Steuerungsgeräte 24 und 26 sind ebenfalls kommunikativ mit dem Busmanager verbunden und arbeiten als solche für den Bus 22, um jeder der I/O-Vorrichtungen 2836, den Logiksolvern 5056 und den MPD's 70 und 72 die Kommunikation mit jeder der Workstations 16 über den Bus 22 zu ermöglichen.
  • Selbstverständlich enthält jede der Workstations 16 einen Prozessor 77 und einen Speicher 78, der eine oder mehrere Konfigurierungs- und/oder Anzeigeapplikationen speichert, die so angelegt sind, dass sie vom Prozessor 78 ausgeführt werden können. Eine Konfigurierungsapplikation 80 und eine Anzeigeapplikation 82 sind in 1 in Explosionsansicht als einer der Workstations 16 gespeichert angedeutet, während eine Diagnoseapplikation 84 als in der anderen der Workstations 16 gespeichert dargestellt ist. Wenn gewünscht, können diese und andere Applikationen jedoch in anderen als den Workstations 16 gespeichert und ausgeführt weiden, oder auch in anderen Computern, die mit der Prozessanlage 10 zugeordnet sind. Allgemein gesagt, stellt die Konfigurierungsapplikation 80 einem Sicherheitsingenieur Konfigurationsinformation bereit und ermöglicht es dem Sicherheitsingenieur, einige oder alle Elemente der Prozessanlage 10 zu konfigurieren und die Konfiguration in der Konfigurationsdatenbank 21 zu speichern. Als Teil der mittels der Konfigurierungsapplikation 80 vorgenommenen Konfigurierungsaktivitäten kann der Sicherheitsingenieur Steuerungsroutinen oder Steuerungsmodule für die Prozesssteuerungsgeräte 24 und 26 erstellen, er kann Sicherheitslogikmodule 58 für jedes und alle der Sicherheitslogiksolver 5056 erstellen (einschließlich Erstellung und Programmierung von Auswahlfunktionsblöcken für den Einsatz in den Sicherheitslogiksolvern 5056 oder sogar in den Steuerungsgeräten 24 und 26), und kann diese verschiedenen Steuerungs- und Sicherheitsmodule über den Bus 22 und die Steuerungsgeräte 24 und 26 in das jeweils geeignete Prozesssteuerungsgerät 24 und 26 bzw. den jeweils geeigneten der Sicherheitslogiksolver 5056 laden. In entsprechender Weise kann die Konfigurierungsapplikation 80 genutzt werden, um andere Programme und Logikstrukturen in die I/O-Vorrichtungen 2836, in beliebige der Feldvorrichtungen 40, 42, 60 und 62 etc. zu laden.
  • Umgekehrt kann die Anzeigeapplikation 82 genutzt werden, um ein oder mehrere Displays für einen Nutzer bereitzustellen, beispielsweise für einen Prozesssteuerungsbediener, einen Sicherheitsbediener etc., wobei diese Displays Information hinsichtlich des Zustands des Prozesssteuerungssystems 12 und des Sicherheitssystems 14 in getrennten Darstellungen oder, wenn dies gewünscht ist, in einer gemeinsamen Darstellung enthalten. Beispielsweise kann die Anzeigeapplikation 82 eine Alarmdisplayapplikation sein, die Alarmmeldungen erhält und für einen Operator zur Anzeige bringt. Wenn gewünscht, kann eine solche Alarmanzeigeapplikation eine Form haben wie in der US-Patentschrift Nr. 5,768,119 mit dem Titel "Process Control System Including Alarm Priority Adjustment" und der US-Patenschrift Nr. 09/707,580 mit dem Titel "Integrated Alarm Display in a Process Control Network" offenbart, die beide an die Rechtsnachfolgerin des vorliegenden Patents abgetreten wurden und hierin durch Referenz einbezogen sind. Es versteht sich jedoch von selbst, dass das Alarmdisplay oder die Alarmbanner dieser Patente Alarme in einer integrierten Alarmanzeige sowohl vom Prozesssteuerungssystem 12 und vom Sicherheitssystem 14 erhalten und darstellen können, da die Alarme beider System 12 und 14 an die Bediener-Workstation 14 übermittelt werden, die die Alarmdisplayapplikation ausführt, und dort als Alarme von unterschiedlichen Geräten erkannt werden können. Ebenso kann ein Operator in einem Alarmbanner angezeigte Sicherheitsalarme in gleicher Weise behandeln wie Prozesssteuerungsalarme. Beispielsweise kann der Bediener bzw. Operator oder Nutzer Sicherheitsalarme quittieren, ausschalten etc., indem er das Alarmdisplay verwendet, welches dabei durch Kommunikation über den Bus 22 und die Leiterplatte 76 Meldungen an die entsprechenden Prozesssteuerungen 24, 26 innerhalb des Sicherheitssystems 14 sendet, um die entsprechende Maßnahme hinsichtlich des Sicherheitsalarms zu treffen. In entsprechender Weise können andere Anzeigeapplikationen Informationen oder Daten sowohl vom Prozesssteuerungssystem 12 als auch vom Sicherheitssystem 14 zur Ausgabe bringen, da diese Systeme die gleichen Typen und Arten von Parametern, Sicherheits- und Verweisstrukturen verwenden können, so dass beliebige Daten von jedem der Systeme 12 und 14 in ein herkömmlicherweise für ein Prozesssteuerungssystem bereitgestelltes Display bzw. eine Anzeige integriert werden können.
  • Die Diagnoseapplikation 84 kann zur Implementierung von Diagnose- oder Wartungsprogrammen innerhalb des Prozesssteuerungs- und Sicherheitssystems der Anlage 10 genutzt werden. Derartige Diagnoseapplikationen, die jeden beliebigen Typ von Diagnose- oder Wartungsprozeduren ausführen können, beispielsweise das Laufenlassen von Prozessen und Ventil-Tests, von Anfahrvorgängen etc., können Ausblendungen betreffend einen oder mehrere der innerhalb der Prozessanlage 10 verwendeten Auswahlfunktionsblöcke (weiter unten beschrieben) veranlassen, um ein durch die Diagnoseprozeduren auf Basis von Eingangssignalen von einer oder mehreren Vorrichtungen veranlasstes Ansprechen des Sicherheitssystems zu unterdrücken.
  • In jedem Fall können die Applikationen 80, 82 und 84 ebenso wie alle anderen Applikationen separate Konfigurations- und andere Signale an jedes der Prozesssteuerungsgeräte 24 und 26 und jedes der Sicherheitssystem-Logiksolver 5056 übermitteln, und sie können Daten von diesen empfangen. Diese Signale können Meldungen auf Prozessebene umfassen, die die Betriebsparameter der prozessbezogenen Feldvorrichtungen 40 und 42 betreffen, und sie können Meldungen auf Sicherheitsebene umfassen, die die Betriebsparameter der sicherheitsbezogenen Feldvorrichtungen 60 und 62 betreffen. Während die Sicherheitslogiksolver 5056 so programmiert sein können, dass sie sowohl die Meldungen auf Prozessebene als auch die Meldungen auf Sicherheitsebene erfassen, sind die Sicherheitslogiksolver 5056 fähig, zwischen den beiden Meldungstypen zu unterscheiden, und können nicht durch Konfigurierungssignale auf Prozessebene programmiert oder beeinflusst werden. In einem Beispiel können die an die Vorrichtungen des Prozesssteuerungsystems gesendeten Programmierungsanweisungen bestimmte Felder oder Adressen enthalten, die von den Vorrichtungen des Sicherheitssystems erkannt werden, und die vermeiden, dass diese Signale verwendet werden, um Sicherheitssystemvorrichtungen zu programmieren.
  • Wenn dies gewünscht ist, können die Sicherheitslogiksolver 5056 ein Hard- oder Softwarekonzept verwenden, das dem für die Prozesssteuerungs-I/O-Karten 2836 ver wendeten Hard- oder Softwarekonzept gleicht oder von diesem verschieden ist. Die Nutzung unterschiedlicher Technologien für die Vorrichtungen innerhalb des Prozesssteuerungssystems 12 und die Vorrichtungen innerhalb des Sicherheitssystems 14 kann das Auftreten von Hard- oder Softwarefehlern aufgrund gemeinsamer Ursachen minimieren oder eliminieren. Außerdem können die Vorrichtungen des Sicherheitssystems einschließlich der Logiksolver 5056 jede gewünschten Schutz- und Sicherheitstechniken verwenden, um die Möglichkeiten nicht autorisierter Veränderungen an dadurch implementierten sicherheitsbezogenen Funktionen zu verringern oder ganz zu eliminieren. Beispielsweise können die Sicherheitslogiksolver 5056 und die Konfigurierungsapplikation 80 eine Person mit einem bestimmten Autoritätslevel oder eine Person an einer bestimmten Workstation erfordern, um Änderungen an den Sicherheitsmodulen in den Logiksolvern 5056 vorzunehmen, wobei das Autoritätslevel oder die Zugriffsstation von dem Autoritäts- oder Zugangslevel oder dem Ort der notwendig ist, um Änderungen an den Prozesssteuerungsfunktionen vorzunehmen, welche von den Steuerungsgeräten 24 und 26 und den I/O-Vorrichtungen 2836 durchgeführt werden. In diesem Fall verfügen nur die Personen, die in der Sicherheitssoftware benannt sind oder die an Workstations arbeiten, die für Änderungen am Sicherheitssystem 14 freigegeben sind, über die Berechtigung, sicherheitsbezogene Funktionen zu verändern, wodurch die Möglichkeit einer unberechtigten Veränderung der Funktion des Sicherheitssystems 14 minimiert wird. Es ist klar, dass für die Implementierung einer solchen Sicherheitsstruktur die Prozessoren in den Sicherheitslogiksolvern 5056 die eintreffenden Meldungen auf korrekte und sicherheitsgerichtete Form überprüfen und somit eine Türsteherfunktion wahrnehmen, wenn Änderungen an den Steuerungsmodulen 58 der Sicherheitsebene erfolgen, die in den Sicherheitslogiksolvern 5056 ausgeführt werden.
  • Es ist klar, dass durch die Verwendung der Leiterplatte 76 in jedem der Knoten 18 und 20 die Sicherheitslogiksolver 50 und 52 und die Sicherheitslogiksolver 54 und 56 lokal miteinander kommunizieren können, um die von jeder der Vorrichtungen implementierten Sicherheitsfunktionen zu koordinieren, um Daten miteinander auszutauschen, oder um andere integrierte Funktionen auszuführen. Andererseits arbeiten die MPD's 70 und 72 derart, dass Abschnitte des Sicherheitssystems 14, die sich an erheblich unterschiedlichen Orten der Anlage 10 befinden, immer noch miteinander kommunizieren können, um koordinierte Sicherheitsfunktionen an verschiedenen Knoten der Prozessanlage 10 bereitzustellen. Insbesondere versetzen die MPD's 70 und 72 in Verbindung mit dem Bus 74 die mit verschiedenen Knoten 18 und 20 der Prozessanlage 10 verbundenen Sicherheitslogiksolver in die Lage, eine kaskadierte Kommunikation zu unterhalten, um die Kaskadierung der sicherheitsbezogenen Funktionen innerhalb der Prozessanlage 10 entsprechend der zugeordneten Priorität zu ermöglichen. Alternativ können zwei oder mehr sicherheitsbezogene Funktionen an verschiedenen Punkten innerhalb der Prozessanlage 10 gegeneinander verriegelt oder miteinander verbunden sein, ohne eine jeweils eigene Verbindungsleitung zu einzelnen Sicherheitsfeldvorrichtungen innerhalb der separaten Bereiche oder Knoten der Anlage 10 zu führen. Anders gesagt, die Verwendung der MPD's 70 und 72 und des Busses 74 versetzt einen Sicherheitsingenieur in die Lage, ein Sicherheitssystem 14 zu konzipieren und zu konfigurieren, das von seinem Wesen her über die Prozessanlage 10 verteilt ist, das aber verschiedene Komponenten aufweist, die kommunikativ miteinander verbunden sind, damit die unterschiedliche sicherheitsbezogene Hardware wie erforderlich miteinander kommunizieren kann. Dieses Merkmal stellt außerdem die Anpassungsfähigkeit des Sicherheitssystems 14 dahingehend bereit, dass dem Sicherheitssystem 14 je nach Bedarf oder im Zuge der Einführung neuer Prozesssteuerungsknoten in die Prozessanlage 10 zusätzliche Sicherheitslogiksolver hinzugefügt werden können.
  • Es versteht sich von selbst, dass die Logiksolver 5056 programmiert werden können, um Überwachungsaktivitäten in Bezug auf die Sicherheitsvorrichtungen 60 und 62 wahrzunehmen, wobei ein Beispiel für einen Funktionsblock als Grundlage verwendet wird. Insbesondere kann, wie in einer vergrößerten Darstellung eines der Sicherheits-Steuerungsmodule 58a (im Speicher 79 abgelegt) des Logiksolvers 54 dargestellt, ein Sicherheits-Steuerungsmodul eine Gruppe kommunikativ verbundener Funktionsblöcke enthalten, die erstellt und in den Logiksolver 54 geladen werden können, um diese im Betrieb der Prozessanlage 10 zu implementieren. Wie in 1 gezeigt, umfasst das Steuerungsmodul 58a zwei Auswahlfunktionsblöcke 92 und 94, deren Eingänge kommunikativ mit anderen Funktionsblöcken 90 verbunden sind, wobei es sich um Funktionsblöcke mit analogen Eingängen (AI), um solche mit digitalen Eingängen (DI) oder um andere Funktionsblöcke handeln kann, die konzipiert sind, um Signale für die Auswahlfunktions blöcke 92 bereitzustellen. Die Auswahlfunktionsblöcke 92 und 94 haben mindestens einen Ausgang, der mit einem oder mehreren anderen Funktionsblöcken 91 verbunden ist, bei denen es sich um Funktionsblöcke mit analogen Ausgängen (AO), um solche mit digitalen Ausgängen (DO), um reagierende Funktionsblöcke, die Ursache/Wirkungslogik implementieren, um Funktionsblöcke für Steuerung und Diagnose, die Ausgangssignale von den Auswahlfunktionsblöcken 92 und 94 erhalten können, um die Funktion der Sicherheitsvorrichtungen 60 und 62 zu steuern, etc. handeln kann. Selbstverständlich kann das Sicherheits-Steuerungsmodul 58a in jeder gewünschten Weise programmiert sein, um jeden Typ eines Funktionsblocks zusammen mit einem oder mehreren Auswahlfunktionsblöcken zu enthalten, die in jeder gewünschten oder nützlichen Weise konfiguriert sein können, um so jede gewünschte Funktion zu übernehmen.
  • Obwohl die vergrößerte Darstellung des Sicherheits-Steuerungsmoduls 58a der 1 einen digitalen Auswahlfunktionsblock 92 mit fünf digitalen Eingängen und einen analogen Auswahlfunktionsblock 94 mit drei analogen Eingängen aufweist, versteht es sich von selbst, dass jede beliebige Anzahl verschiedener Sicherheitslogikmodule 58 für jeden der verschiedenen Logiksolver 5056 erstellt und in diesem eingesetzt werden kann, wobei jedes dieser Module jede beliebige Anzahl von Auswahlfunktionsblöcken umfassen kann, die jede beliebige Anzahl von Eingängen aufweisen können, die in jeder gewünschten Weise kommunikativ mit anderen Funktionsblöcken verbunden sein können. Ebenso können etwa beim Einsatz in einem Fieldbusnetz die Auswahlfunktionsblöcke 92 und 94, bei denen es sich um jeden Typ eines Fieldbus-Funktionsblocks handeln kann, oder jeder der anderen damit verbundenen Funktionsblöcke in anderen Vorrichtungen angeordnet und implementiert sein, beispielsweise in den Feldvorrichtungen 62. Bei der Verwendung außerhalb eines Sicherheitssystems könnten die Auswahlfunktionsblöcke 92 und 94 in den Prozesssteuerungsgeräten 24, 26, den I/O-Vorrichtungen 2836, den Feldvorrichtungen 42 etc. angeordnet werden. Allgemein ist dabei klar, dass die Auswahlfunktionsblöcke 92 und 94 typischerweise redundante Eingänge erhalten, die von redundanten Sensoren oder Gebern innerhalb des Sicherheitssystems 14 bereitgestellt werden, und ein Auswahlschema auf diese Eingänge zur Anwendung bringen, um auf Basis aller dieser Eingänge festzustellen, ob eine Situation vorliegt, die ein Ansprechen des Sicherheitssystems bedingt.
  • 2 ist ein Blockdiagramm, das die Komponenten des beispielhaften Auswahlfunktionsblocks 94 der 1 wiedergibt, wobei es sich um einen analogen Auswahlfunktionsblock handelt, da er analoge Eingangssignale verarbeitet, die über beispielsweise Funktionsblöcke 90 für analoge Eingänge (AI) geliefert werden. Generell enthält der Auswahlfunktionsblock 94 drei Eingänge mit den Bezeichnungen IN1, IN2 und IN3, die geeignet sind, analoge Signale von beispielsweise redundanten Sensoren oder anderen redundanten Elementen innerhalb der Prozessanlage 10 wie beispielsweise von den Feldvorrichtungen 60 und 62 der 1 zu übernehmen. Jeder der Eingänge IN1, IN2 und IN3 wird an einen Abschaltgrenzwert-Prüfblock 95a, 95b oder 95c und an einen Grenzbereichs-Prüfblock 96a, 96b und 96c übergeben. Die Abschaltgrenzwert-Prüfblöcke 95 vergleichen die an sie gelieferten Eingänge mit einem voreingestellten Grenzwert, um zu bestimmen, ob das Eingangssignal einen Wert erreicht hat (wobei es sich um einen hohen Wert, einen niedrigen Wert oder um einen Wert innerhalb eines bestimmten Bereichs handeln kann), der einer Abschaltbedingung zugeordnet ist. In entsprechender Weise vergleichen die Grenzbereichs-Prüfblöcke 96 die an sie gelieferten Eingänge mit einem voreingestellten Grenzbereichswert, um zu bestimmen, ob das Eingangssignal einen Wert erreicht hat (wobei es sich um einen hohen Wert, einen niedrigen Wert oder um einen Wert innerhalb eines bestimmten Bereichs handeln kann), der einem Alarm oder einer Warnung zugeordnet ist, die eine Abschaltbedingung signalisiert, die zwar noch nicht gegeben, aber nahezu erreicht ist. Im Ergebnis ermöglichen es die Grenzbereichs-Prüfblöcke 96, ein Alarm- oder ein Ereignissignal zu generieren, das eine nahezu eingetretene gefahrenträchtige oder in anderer Weise nicht wünschenswerte Bedingung anzeigt, die jedoch noch nicht tatsächlich gegeben ist.
  • Die Ausgänge der Abschaltgrenzwert-Prüfblöcke 95 und der Vor-Grenzwert-Prüfblöcke 96 (bei denen es sich beispielsweise um digitale Signale handeln kann, die auf einen oberen Pegel gesetzt werden, wenn die Grenzen oder die Vor-Grenzwerte in den Blöcken 95 und 96 erreicht werden) werden jeweils an eine Gruppe von Eingangsausblendungsblöcken 98a, 98b und 98c geliefert. Die Eingangsausblendungsblöcke 98 bewirken die Ausblendung der einzelnen Eingänge IN1, IN2 und IN3, so dass einer oder mehrere dieser Eingänge ausgeblendet werden können, d.h. nicht mehr im Auswahlfunktionsblock 94 genutzt werden, um zu bestimmen, ob eine Abschaltbedingung oder eine Voralarmbedingung gegeben ist. Jeder der Eingangsausblendungsblöcke 98 stellt einen Ausgang für die zugehörige Abschalt-Grenzbedingung an einen Abschalt-Auswahllogikblock 100a und einen Ausgang für die zugehörige Vor-Grenzwertbedingung an einen Vor-Abschalt-Auswahllogikblock 100b bereit. Die Auswahllogikblöcke 100a und 100b wickeln Auswahllogik ab, die weiter unten detaillierter beschrieben wird, um auf Basis der an sie übermittelten Eingänge festzustellen, ob eine Abschaltbedingung oder eine Voralarmbedingung gegeben ist.
  • Der Abschalt-Auswahllogikblock 100a und der Vor-Abschalt-Auswahllogikblock 100b stellen jeweils ein Abschaltsignal und ein Vor-Abschalt-Alarmsignal (wenn das Vorliegen der betreffenden Bedingungen festgestellt wird) an einen Anlaufsperrblock 102 bereit, der den Auswahlfunktionsblock 94 sperren kann, so dass dieser kein Abschaltsignal bzw. kein Vor-Abschalt-Alarmsignal während beispielsweise des Anlaufs oder eines anderen Vorgangs oder im Zuge der Ausführung einer Laufzeitprozedur ausgibt, bei der es wünschenswert ist, die Funktion des Auswahlfunktionsblocks 94 außer Kraft zu setzen. Der Anlaufsperrblock 102 bereitet ein Ausgangssignal zur Abschaltung auf (mit der Bezeichnung Out), das aus der Funktion des Abschalt-Auswahllogikblocks 100a und der Logik des Anlaufsperrblocks gebildet wird, und er bereitet außerdem ein Signal Pre_out auf, das aus der Funktion des Vor-Abschalt-Auswahllogikblocks 100b und des Anlaufsperrblocks gebildet wird. Das Signal Out kann genutzt werden, um die Funktion einer Abschaltprozedur innerhalb des Sicherheitssystems 14 der 1 anzusteuern, während das Signal Pre_out genutzt werden kann, um einen Alarm abzusetzen, der auf die Tatsache hinweist, dass eine Abschaltbedingung innerhalb der Prozessanlage 10 nahezu erreicht ist. Wenn dies gewünscht ist, können die Signale Out und Pre-out selbstverständlich auch für andere Zwecke herangezogen werden.
  • Der Auswahlfunktionsblock 94 kann einen Satz Parameter enthalten, von denen einige in 2 über oder unter den jeweiligen Blöcken angedeutet sind, in denen sie verwendet werden, wobei diese Parameter beispielsweise während der Konfigurierung des Auswahlfunktionsblocks 94 gesetzt werden, um die Funktionsweise des Auswahlfunktionsblocks 94 zu steuern oder festzulegen. Insbesondere weiden ein Parameter für den Abschaltgrenzwert (Trip_Lim) und ein Parameter für den Vor-Abschalt-Grenzwert (Pre_Trip_Lim) genutzt, um die in den Abschaltgrenzwert-Prüfblöcken 95 verwendeten Abschaltgrenzwerte und die in den Vor-Grenzwert-Prüfblöcken 96 verwendeten Vor-Grenzwertschranken zu setzen oder festzulegen. Die Parameter für den Abschaltgrenzwert und/oder den Vor-Abschalt-Grenzwert können für jeden der verschiedenen Blöcke 95 und 96 dieselben sein, oder sie können für jeden der Blöcke 95 und 96 individuell gesetzt werden. In ähnlicher Weise werden Parameter für eine Abschalthysterese (Trip_Hys) und eine Vor-Abschalt-Hysterese (Pre_Trip_Hys) verwendet, um die Hysterese vorzugeben, die die Blöcke 95 und 96 zwischen aufeinander folgenden Abschaltungen durchlaufen müssen. Dies bedeutet, dass dann, wenn einer der Blöcke 95 oder 96 detektiert, dass eines der Eingangssignale oberhalb (oder unterhalb) eines Grenzwerts liegt, der Hysteresewert des Typs Hystereseparameter (für die Blöcke 95) und der Hysteresewert des Parameters für die Vor-Abschalt-Hysterese (für die Blöcke 96) bestimmen, wie weit das Eingangssignal den Grenzwert überschreiten (oder unterschreiten) muss, bevor das Abschaltsignal (oder das Vor-Abschaltsignal) zurückgenommen wird oder bevor vom betreffenden Block ein zweites Abschaltsignal (oder ein Vor-Abschaltsignal) gesetzt werden kann.
  • Der Auswahlfunktionsblock 94 hat des Weiteren einen internen Abschalt-Konfigurationsparameter-Typ mit der Bezeichnung Trip Type, der die Normal- und die Abschaltzustandswerte definiert, die den Ein- und/oder Ausgängen des Auswahlfunktionsblocks 94 zugeordnet sind. Wenn beispielsweise der Auswahlfunktionsblock 94 als "Spannungslos für Abschaltung" konfiguriert ist (was der Vorgabewert sein kann), ist der Normalbetrieb des Ausgangs Eins, und der Abschalt-Zustandswert ist Null. Umgekehrt ist dann, wenn der Auswahlfunktionsblock 94 als "Spannungsführend für Abschaltung" konfiguriert ist, der Normalbetriebswert Null, und der Abschalt-Zustandswert ist Eins. Die anfängliche Festsetzung erfolgt in den Abschalt-Grenzwert-Prüfblöcken 95a, 95b und 95c und in den Vor-Grenzwert-Prüfblöcken 96a, 96b und 96c, die jeweils den Eingänge IN1, IN2 und IN3 entsprechen. Ein Detektierungs-Typ-Parameter (Detect_Type) kann verwendet werden, um festzulegen, ob der Vergleich mit dem Abschaltgrenzwert ein Vergleich auf größer (oberer Grenzwert) oder ein Vergleich auf kleiner (unterer Grenzwert) sein soll. Dieser Vergleich erfolgt in den jeweils zugehörigen Abschaltgrenzwert- Prüfblöcken 95 und den Grenzbereichs-Prüfblöcken 96, um festzustellen, ob die Eingangssignale die vorbestimmten Grenzen erreicht haben.
  • Es ist klar, dass die Ausgänge der Abschaltgrenzwert-Prüfblöcke 95 jeweils anzeigen, ob durch den zugehörigen Eingang IN1, IN2 und/oder IN3 eine Abschaltung angezeigt wird. Wie weiter oben erläutert, kann für Wartungszwecke durch die Eingangsausblendungsblöcke 98 ein Übergehen bzw. ein Ausblenden für jeden der einzelnen Eingänge IN1, IN2 und IN3 eingerichtet weiden, um zu verhindern, dass diese Eingänge in die durch die Auswahllogikblöcke 100 angewendete Auswahllogik eingehen. Dieses Ausblendungsmerkmal ist wünschenswert, wenn beispielsweise Wartungsmaßnahmen an einem Geber oder an einer anderen Feldvorrichtung durchgeführt werden, die Eingangssignale für den Auswahlfunktionsblock 94 bereitstellen. Bei Verwendung einer Auswahllogik zum Setzen eines Abschaltausgangs auf Basis mehrerer Eingänge sind Ausblendungen für Wartungsmaßnahmen nicht immer erforderlich, da eine einzelne falsche Abschaltanforderung (etwa infolge von Wartungsmaßnahmen am für die Bereitstellung des Eingangs vorgesehenen Sensor) nicht zwingend zu einer Abschaltung führt. Diese Ausblendungsfunktion ist wünschenswert, um Fehlabschaltungen während Wartungsaktivitäten zu vermeiden, und sie kann für bestimmte Auswahllogiken, beispielsweise in einem Eins-aus-Zwei-Logikkonzept erforderlich sein, bei dem bereits das Vorliegen eines einzigen Abschaltsignals von redundanten Sensoren in einer Abschaltung resultieren kann.
  • Wenn einer der Eingangsausblendungsblöcke 98 die Ausblendung eines Eingangs bewirkt, wird der ausgeblendete Eingang von den Auswahllogikblöcken 100a und 100b nicht in die Bildung eines Abschaltsignals oder eines Vor-Abschalt-Alarmsignals einbezogen, und zwar selbst dann nicht, wenn der Eingangswert die durch die Parameter für den Abschaltgrenzwert und den Vor-Abschalt-Grenzwert vorgegebenen Grenzwerte überschreitet. Um die Ausblendung freizugeben, kann ein Parameter für die Zulassung der Ausblendung (Bypass_Permit) zuerst freigegeben werden, um festzulegen, ob als erstes eine Ausblendung der Eingänge erfolgen kann. Allgemein gesagt, die Ausblendung von Eingängen ist erlaubt, wenn der Parameter Bypass_Permit gesetzt oder freigegeben ist, während die Ausblendung von Eingängen nicht erlaubt ist, wenn der Parameter Bypass_Permit nicht gesetzt oder nicht freigegeben ist. Obwohl ein einziger Parameter Bypass_Permit auf alle Ausblendungsblöcke 98 angewendet werden kann, ist es auch möglich, eine separate Zulassung der Ausblendung für jeden der Eingangsausblendungsblöcke 98a, 98b, 98c zu setzen.
  • Wenn der Parameter Bypass_Permit gesetzt oder freigegeben ist, kann ein Parameter BYPASSx verwendet werden, um zu bewirken, dass ein oder mehrere Ausblendungsblöcke 98 aktiviert werden, um die Verwendung eines zugehörigen Eingangs IN1, IN2 oder IN3 zu sperren. Das x in BYPASSx gibt an, welcher der Eingänge IN1, IN2 oder IN3 zu sperren ist. Wenn dies gewünscht ist, können zu jedem beliebigen Zeitpunkt mehr als ein Eingang gesperrt werden, oder der Auswahlfunktionsblock 94 kann so konfiguriert werden, dass zu einem bestimmten Zeitpunkt nur jeweils ein Eingang ausgeblendet werden kann. Die Parameter Bypass_Permit und BYPASSx können in jeder gewünschten Weise gesetzt oder vorgegeben weiden, beispielsweise mittels eines im Operator- oder Wartungsbildschirm zur Verfügung gestellten Bedienknopfs, durch einen physikalischen Schlüsselschalter, über einen getrennten Eingang in das Sicherheitsmodul, durch eine Konfigurierungs-, Steuerungs-, Display- oder Diagnoseapplikation oder in jedes anderen Weise. Wenn für eine bestimmte Implementierung des Auswahlfunktionsblocks 94 die Verwendung einer Ausblendungsfreigabe nicht erforderlich ist, ist es selbstverständlich möglich, bei der Konfigurierung des Auswahlfunktionsblocks 94 den Parameter Bypass_Permit standardmäßig mit Freigabe vorzubesetzen.
  • Ein Parameter für die zeitliche Begrenzung der Ausblendung (Bypass_Timeout) kann genutzt werden, um den Zeitraum vorzugeben, des nach dem Einstellen einer Ausblendung für einen der Blöcke 98 bewirkt, dass nach dem Ablauf der betreffenden Zeit die Ausblendung automatisch wieder zurückgenommen wird. In diesem Fall kann jedes der Eingangsausblendungsblöcke 98 einen Ausblendungszeitgeber aus einer Zeitgebergruppe 110 enthalten, der entsprechend dem Parameter Bypass_Timeout gesetzt wird, und der ab dem Einstellen der Ausblendung heruntergezählt werden kann. In diesem Fall können die Eingangsausblendungsblöcke 98 die Einbeziehung des zugehörigen Eingangs sperren, bis BYPASSx zurückgenommen wird oder bis der Ausblendungszeitgeber den Wert null erreicht hat. Es ist klar, dass Ausblendungszeitgeber genutzt werden, um si cherzustellen, dass Ausblendungen nach Ablauf eines vorbestimmten Zeitraums zurückgenommen werden.
  • Wenn gewünscht, können die Eingangsausblendungsblöcke 98 außerdem konfiguriert werden, um einen Erinnerungsalarm für einen Nutzer wie z.B. einen Bediener bzw. Operator, einen Sicherheitsingenieur, einen Techniker etc. bereitzustellen, um den Nutzer zu erinnern bzw. diesem mitzuteilen, dass der Auslauf eines Ausblendungszeitgebers bevorsteht. Wenn Ausblendungen so konfiguriert werden, dass diese nach einer Zeitbegrenzung für die Ausblendung nicht mehr gegeben bzw. nicht mehr wirksam sind, kann vor Ablauf der Zeitbegrenzung eine Nachricht an einen Nutzer oder einen anderen Operator übermittelt werden, indem ein Parameter für die Erinnerungszeit (REMINDER_TIME) auf einen entsprechenden Wert ungleich null gesetzt wird. Wenn in diesem Fall der Ausblendungszeitgeber ungleich null ist, aber einen niedrigeren Wert erreicht hat, als der Parameter für die Erinnerungszeit, und wenn gleichzeitig ein ausgeblendeter Eingang eine Abschaltung anfordert, kann der Erinnerungsalarm aktiviert werden, um einen Alarm für einen Nutzer bereitzustellen, der anzeigt, dass nach dem bevorstehenden Ablauf des Ausblendungszeitgebers eine Abschaltung erfolgen kann. Wenn keiner der ausgeblendeten Eingänge eine Abschaltung anfordert, braucht der Alarm nicht aktiviert zu werden, er kann aber trotzdem aktiviert werden. Es ist klar, dass selbst dann, wenn der dem Ausblendungszeitgeber zugeordnete Alarm aktiv ist, nicht notwendigerweise eine Abschaltung bevorsteht, da möglicherweise nicht ausreichend viele weitere Eingänge eine Abschaltung anfordern, um den Abschalt-Auswahllogikblock 100a zum Absetzen eines Abschaltsignals zu veranlassen.
  • In einer Ausführungsform wird der Ausblendungszeitgeber nur dann erneut gestartet, wenn die Zeitbegrenzung der ersten Ausblendung ausgelaufen ist. Der Ausblendungszeitgeber kann jedoch auch als schreibfähiger Parameter konfiguriert sein, wobei dann, wenn die Meldung eines anstehenden Auslaufs der Zeitbegrenzung erfolgt, der Ausblendungszeitgeber mittels eines Bedienknopfs im Operatordisplay (oder durch ein anderes geeignetes Verfahren) inkrementiert werden kann, um die Ausblendungszeit zu verlängern. Ein derartiges Merkmal ermöglicht es einem Nutzer, die Ausblendungszeit zu verlängern, wenn beispielsweise eine Wartungsmaßnahme an der Feldvorrichtung, die den ausgeblendeten Eingang für den Auswahlfunktionsblock 94 zur Verfügung stellt, noch nicht abgeschlossen ist. Alternativ kann die Meldung des Auslaufs einer Ausblendung ausschließlich zu Anzeigezwecken dienen, beispielsweise wenn eine Ausblendung nach dem Auslauf der Zeitbegrenzung nicht mehr außer Kraft gesetzt werden muss. In diesem Fall kann der Erinnerungsalarm mit Auslauf des Ausblendungszeitgebers aktiviert werden, und zwar auch dann, wenn der Parameter für die Erinnerungszeit auf null gesetzt ist. Wenn jedoch der Parameter für die Erinnerungszeit ungleich null ist, erfolgt vor dem Auslauf der Zeitbegrenzung weiterhin eine Erinnerung (sofern der Eingang eine Abschaltung anfordert). Die Erinnerungsalarme und die Ausblendungsalarme können zu bestätigende oder nicht zu bestätigende Alarme sein.
  • Die in den Auswahllogikblöcken 100a und 100b realisierte Auswahllogik ist vorzugsweise als "M-von-N"-Logikfunktion konfiguriert. Entsprechend dieser Funktionalität müssen M Eingänge aus insgesamt N Eingängen eine Abschaltung anfordern. Beispielsweise kann der Auswahlfunktionsblock 94 entsprechend einer 2-aus-3-Logik (2oo3-Logik) konfiguriert sein, was bedeutet, dass zwei der drei Eingänge den Abschaltgrenzwert erreichen müssen, bevor der Ausgang des Auswahllogikblocks 100a in den Abschaltzustand versetzt wird, und dass zwei von dreien der Eingänge den Vor-Abschalt-Grenzwert erreichen müssen, bevor der Vor-Abschalt-Auswahllogikblock 100b auf einen Vor-Abschalt-Alarmwert gesetzt wird. Der Wert N der "M-aus-N"-Funktion ist durch die Anzahl der nicht ausgeblendeten Eingänge gegeben, während der Wert M auf Basis eines internen Parameters des Blocks mit der Bezeichnung Anzahl für Abschaltung (NUM_TO_TRIP) festgelegt wird, dessen Vorgabewert auf jeden beliebigen Wert gleich oder kleiner als N bei der Konfigurierung gesetzt werden kann. Gebräuchliche Auswahlschemata können beispielsweise 2-aus-3 (2oo3), 1-aus-2 (1oo2), 2-aus-2 (2oo2) etc. enthalten. Es kann jedoch auch jede andere Auswahllogik verwendet werden. Aufgrund der sonstigen Merkmale des Blocks 94 kann der Auswahlfunktionsblock 94 auch für einzelne Geber-Anwendungen in beispielsweise einer 1-aus-1-Auswahllogiksituation (1oo1) verwendet werden.
  • Allgemein gesagt, die Auswahlschemata 1oo2 und 1oo1 erfordern eine Ausblendungsfunktion für Wartungszwecke, da bereits die Außerbetriebnahme eines der Geber in einer Weise, die während Wartungsmaßnahmen die Detektion einer Abschaltbedingung für diesen Geber am Eingang des Auswahlfunktionsblocks 94 bewirkt, notwendigerweise zum Setzen einer Abschaltbedingung durch den Auswahllogikblock 100a führt. Eine Ausblendungsfunktion kann jedoch auch für Auswahlfunktionsblöcke von Nutzen sein, die so konfiguriert sind, dass sie mehrere Anforderungen für eine Abschaltung benötigen, um ein exakter vorhersehbares Verhalten bei Wartungsmaßnahmen zu erhalten.
  • Die Ausblendung eines der Eingänge IN1, IN2 oder IN3 kann sich in zweierlei Weise auf die Auswahllogikblöcke 100a und 100b auswirken. Entweder kann dadurch die Anzahl der zur Erkennung einer Abschaltbedingung (oder einer Vor-Abschalt-Alarmbedingung) erforderlichen Eingänge um eins reduziert werden, oder aber die Anzahl dieser Eingänge kann dabei die gleiche bleiben. Wenn beispielsweise der Auswahllogikblock 100a als Auswahllogikblock des Typs 2oo3 konfiguriert ist und einer der Eingänge IN1, IN2 oder IN3 ausgeblendet wird, kann sich das Auswahlschema zu einem Auswahlschema 1oo2 wandeln, was bedeutet, dass die erforderliche Anzahl von Eingängen mit einer Abschaltanforderung um eins reduziert wird (zusammen mit der Anzahl der möglichen Eingänge). Optional kann beim Ausblenden eines ausgewählten Eingangs das 2oo3-Auswahlschema in ein 2oo2-Auswahlschema gewandelt weiden, was bedeutet, dass die erforderliche Anzahl der Eingänge mit einer Abschaltanforderung die gleiche bleibt (obwohl die Anzahl der möglichen Eingänge um eins reduziert ist). Ein Parameter für Ausblendungsoptionen kann genutzt werden, um zu bestimmen, ob die nach der Ausblendung eines Eingangs aktuell für eine Abschaltung erforderliche Anzahl um eins reduziert wird oder nicht. 3 verdeutlicht die Auswirkung dieser Option für verschiedene unterschiedliche Auswahlschemata. Die erste Spalte der 3 gibt die Konfiguration der Auswahllogikschemata ohne ausgeblendete Eingänge an, die zweite Spalte der 3 gibt die Auswahllogik nach Ausblendung eines einzelnen Eingangs an, wobei die ursprünglich konfigurierte Anzahl M für eine Abschaltung beibehalten wird, und die dritte Spalte der 3 gibt die Auswahllogik nach Ausblendung eines einzelnen Eingangs an, wobei die Anzahl M für eine Abschaltung um eins reduziert wird. Selbstverständlich können zusätzliche Ausblendungen von Eingängen entsprechende Änderungen der in der zweiten und dritten Spalte der 3 angegebenen Werte bewirken. In jedem Fall wird der Abschalt-Auswahllogikblock 100a (und der Vor-Abschalt-Grenzwert-Auswahllogikblock 100b) die aktuelle Anzahl der für eine Abschaltung erforderlichen Eingänge generell nicht auf weniger als eins reduzieren, und er wird eine Abschaltung verhindern, wenn die Anzahl der möglichen Eingänge für eine Abschaltanforderung auf null reduziert ist, wie z.B. in einem 1oo1-Auswahlschema.
  • Das standardmäßige Verhalten des Eingangsausblendungsblocks 98 kann so konfiguriert weiden, dass immer nur ein Eingang ausgeblendet werden kann. Diese Funktionsweise kann durch eine Eintragskontrolle erzwungen werden, die die Ausblendung eines zweiten Eingangs verhindert. Optional können mehrere Eingänge gleichzeitig ausgeblendet werden. Wenn gewünscht, kann der Parameter BYPASSx eine zusätzliche Eintragskontrolle haben, die erfordert, dass der Parameter BYPASS_PERMIT wahr oder gesetzt ist, bevor der Parameter BYPASSx besetzt werden kann.
  • Nachdem im Abschalt-Auswahllogikblock 100a eine Auswahl entsprechend dem M-aus-N-Auswahlschema getroffen wurde, kann ein Zeitparameter TRIP_DELAY_ON zum Anschalten einer Verzögerung der Abschaltung zur Anwendung gebracht werden, so dass die durch Auswahl erhaltene Abschaltbedingung für eine konfigurierbare Zeitperiode (deren Vorgabewert auf null Sekunden gesetzt sein kann) gegeben sein muss, bevor das Signal OUT in den Zustand für eine Abschaltung wechselt. In entsprechender Weise kann ein Zeitparameter TRIP DELAY_OFF zur Abschaltung einer Abschalt-Verzögerung zur Anwendung gebracht werden (dessen Vorgabewert auf null Sekunden gesetzt sein kann), um nach dem Ausbleiben der Abschaltanforderung die Rückkehr des Signals OUT in den Normalzustand zeitlich zu verzögern, d.h. wenn der Abschalt-Auswahllogikblock 100a auf Basis der an ihn angelegten Eingänge feststellt, dass die Abschaltbedingung nicht mehr gegeben ist. Selbstverständlich können der Zeitparameter zur Verzögerung der Abschaltung und der Zeitparameter zur Verzögerung der Rücknahme der Abschaltung unterschiedliche und wie gewünscht einstellbare Werte haben, und sie können auf das Abschaltsignal vom Abschalt-Auswahllogikblock 100a und auf das Abschalt-Voralarmsignal vom Vor-Abschalt-Auswahllogikblock 100b oder auch auf beide Signale angewendet werden. Wenn gewünscht, können die Zeiten zum Anschalten der Verzögerung der Abschaltung und zum Abschalten der Verzögerung der Abschaltung unabhängig für den Abschalt-Auswahllogikblock 100a und den Vor-Abschalt-Auswahllogik block 100b konfigurierbar sein, und sie können durch einen der Zeitgeber 110 verfolgt werden.
  • Wie weiter oben angemerkt, ermöglicht der Anlaufsperrblock 102 das Ausblenden für den Anlauf oder für andere betriebliche Funktionen. Es kann beispielsweise erforderlich sein, den Ausgang des Auswahlfunktionsblocks 94 zu übergehen, um das Abschaltsignal während des Anlaufs oder für andere vorübergehende betriebliche Situationen für einen kurzen Zeitraum im Normalzustand zu erzwingen. Diese Anlaufsperrfunktion kann beispielsweise genutzt werden, um eine anstehende Abschaltanforderung zu deaktivieren, die vom Auswahlfunktionsblock 94 generiert wird, wenn sich der Prozess oder ein erheblicher Teil desselben noch im Stillstand befindet, so dass der Anlaufvorgang bis zu einem Punkt ablaufen kann, ab dem die an den Eingängen des Auswahlfunktionsblocks 94 anstehenden Prozessdaten keine Werte mehr aufweisen, aus denen hervorgeht, dass eine Abschaltung erfolgen sollte.
  • In einem Beispiel kann der Anlaufsperrblock 102 ein standardmäßiges Verhalten aufweisen, bei dem mit Erhalt einer Anzeige des Anlaufvorgangs, die beispielsweise durch Setzen eines Anlaufparameters mitgeteilt werden kann, der Anlaufsperrblock 102 das Abschaltsignal, und wenn gewünscht, das Vox-Abschalt-Signal, für eine konfigurierbare Zeitperiode, die durch einen Parameter für die Anlaufverzögerung (STARTUP_DELAY) festgelegt werden kann, in den Normalzustand zwingt. Der Anlaufsperrblock 102 kann einen abwärtszählenden Zeitgeber als einen der Zeitgeber 110 enthalten, der auf den durch den Parameter für die Anlaufverzögerung spezifizierten Wert gesetzt wird, und der mit der Abwärtszählung beginnt, sobald die Anlaufmeldung über den Anlaufparameter eintrifft. Wenn der abwärtszählende Zeitgeber ausläuft, kehren der Abschalt-Auswahllogikblock 100a und der Vor-Abschalt-Auswahllogikblock 100b zur normalen Detektierung einer Abschaltung zurück. Der Anlaufsperrblock 102 kann so konfiguriert werden, dass ein nachfolgendes Neusetzen des Anlaufparameters während des Ablaufs des Anlaufzeitgebers die Anlaufzeit nicht beeinflusst. Optional ist es möglich, jedem erneuten Setzen des Anlaufparameters ein Rücksetzen des Anlaufzeitgebers zu ermöglichen, so dass eine bevorstehende Abschaltung aufgrund des Auslaufens des Zähler verhindert werden kann.
  • In ähnlicher Weise wie die Eingangsausblendungsblöcke 98 kann der Anlaufsperrblock 102 eine Erinnerungsfunktion aufweisen, die beispielsweise durch das Setzen eines Ausblendungsparameters aktiviert werden kann. Die Erinnerungsfunktion arbeitet für Ausblendungen in der Anlaufphase im Wesentlichen in der gleichen Weise wie für die Ausblendung von Eingängen (Ausblendungen für Wartungszwecke). Demzufolge wird dann, wenn der Anlaufzeitgeber größer als null, aber kleiner als ein konfigurierbarer Parameter für die Erinnerungszeit (REMINDER_TIME) eingestellt ist (wobei Letzterer im Zuge der Konfigurierung gesetzt werden kann), und hinreichend viele Abschaltanforderungen vorliegen, eine Bedingung für einen Erinnerungsalarm aktiv, die anzeigt, dass die Ausblendung ausläuft, was zu einer Abschaltung auf Basis der Werte der Eingänge IN1, IN2 und IN3 führen wird.
  • Wenn gewünscht, kann der Anlaufzeitgeber zusätzlich oder wahlweise automatisch auslaufen, sobald sich die Eingänge stabilisiert haben, d.h., wenn innerhalb eines konfigurierbaren Zeitraums nicht mehr hinreichend viele Anforderungen vorliegen, um eine Abschaltung zu bewirken. Diese Stabilisierungszeit kann durch einen Zeitgeber für die Stabilisierung verfolgt werden, bei dem es sich um einen der Zeitgeber 110 handeln kann, und wobei dieser feststellen kann, wenn sich der Ausgang des Auswahllogikblocks 100a auf beispielsweise einem nicht für eine Abschaltung genügenden bzw. einen normalen Wert stabilisiert hat. In diesem Fall kann, während der Anlaufzeitgeber nach unten zählt, der Stabilisierungszeitgeber nach oben zählen, wenn nicht ausreichend viele Abschaltanforderungen vorliegen, und kann sich zurückzusetzen, wenn die Abschaltanforderungen die für eine Abschaltung erforderliche Anzahl erreichen oder überschreiten. Wenn der Anlaufzeitgeber den konfigurierten Zeitwert für die Stabilisierung erreicht, wird der Stabilisierungszeitgeber auf null rückgesetzt und die normale Funktion zur Erfassung einer Abschaltbedingung wird wieder aufgenommen. Selbstverständlich wird der Stabilisierungszeitgeber am Ende der Anlaufzeitperiode nicht rückgesetzt, er wird jedoch mit dem Beginn eines Anlaufs und zu jedem Zeitpunkt während der Anlaufsperrzeit rückgesetzt, wenn hinreichend viele Abschaltanforderungen vorliegen.
  • Wahlweise muss die Anlauf-Ausblendungszeit nicht auf einer festen Zeitperiode oder auf den Werten der Eingänge IN1, IN2 und IN3 für den Auswahlfunktionsblock 94 basieren, sondern sie kann stattdessen auf dem Auftreten oder dem Ausbleiben eines Ereignisses basieren. In diesem Fall endet die Anlaufausblendung dann, wenn ein Anlauf-Rücksetzparameter gesetzt ist oder gesetzt wird bzw. den Wert Wahr annimmt, was bei der Detektierung eines Ereignisses eintreten kann. Auf diese Weise kann die Anlaufausblendung mit dem Vorliegen oder dem Nichtvorliegen eines Ereignisses von unbestimmter zeitlicher Länge verknüpft werden.
  • Wenn gewünscht, kann der Zustand der Eingänge IN1, IN2 und/oder IN3 genutzt werden, um das Verhalten des Auswahlfunktionsblocks 94 zu steuern, wobei das erwähnte Verhalten mittels eines Parameters für Statusoptionen vorgegeben werden kann. Es ist klar, dass in einer Vielzahl von Systemen, wie z.B. in den HART- und Fieldbussystemen, Geber oder andere Feldvorrichtungen zusammen mit dem Signal einer Prozessvariablen oder einer Prozessgröße ein Statussignal übermitteln, wobei das Statussignal den Zustand des Gebers selbst übermittelt. Derartige Statussignale können anzeigen, dass sich der Geber im normalen oder guten Zustand, oder in einem abnormalen Zustand, beispielsweise in einem schlechten oder nicht wünschenswerten Zustand befindet, der bewirken kann, dass der von dem Geber übermittelte Wert der Prozessvariablen von fraglicher Natur ist. Folglich kann der Status der Eingangssignale an den Eingängen IN1, IN2 und IN3 des Auswahlfunktionsblocks 94 bestimmt und zur Bildung des Auswahlschemas und der Art und Weise der Auswertung der Eingänge innerhalb des Auswahlschemas genutzt werden.
  • Wenn gewünscht, können die von den Blöcken 100 verwendeten Auswahlschemata so gesetzt werden, dass ein ausgefallener Geber (d.h. ein Eingang nimmt einen Fehlerstatus an) nicht automatisch eine Abschaltung auslöst, wenn andere Geber verfügbar sind, um einen gültigen Wert für die erfasste Prozessvariable zu liefern. Bei der Berücksichtigung des Status des Eingangssignals ist es eine Option, ungeachtet des Status des Eingangs, stets den Wert des Eingangs IN1, IN2 oder IN3 zu verwenden. Auf diese Weise führt ein Hardwarefehler nicht notwendigerweise zu einer Abschaltung, so dass Zeit für Reparaturmaßnahmen verbleibt. Eine andere Option besteht darin, einen Eingang mit Fehlerstatus so zu behandeln, als ob der Eingang ausgeblendet wäre, wodurch verhindert wird, dass der Eingang eine Abschaltanforderung in der weiter oben für die Eingangsaus blendungsblöcke 98 beschriebenen Weise absetzt. Eine dritte Option ist die automatische Einbeziehung des Eingangs als einen Eingang mit Abschaltanforderung, sobald der Status des Eingangs „schlecht" ist. Dies kann als standardmäßige Option konfiguriert werden, die das höchste Sicherheitsniveau für 1ooX-Auswahlschemata bietet. 4 macht deutlich, wie verschiedene übliche Auswahlschemata unter Anwendung der oben beschriebenen Optionen herabgestuft werden, wenn ein einzelner Eingang einen schlechten Status aufweist. Wie beispielsweise in der ersten Spalte der ersten Reihe von 4 gezeigt, geht dann, wenn der betreffende Wert stets einbezogen wird, ein 2oo3-Auswahlschema entweder wieder in ein 2oo3-Auswahlschema (wenn der Wert des Signals von dem schlechten Geber keine Abschaltung anfordert) oder in ein 1oo2-Auswahlschema über (wenn der Wert des Signals von dem schlechten Geber eine Abschaltung anfordert). Dagegen zeigt die zweite Spalte der ersten Reihe der 4, dass das 2oo3-Auswahlschema in ein 2oo2-Auswahlschema übergeht, wenn der Wert des schlechten Gebers überhaupt nicht einbezogen wird (oder es kann je nach den gewählten Ausblendungsmerkmalen in ein 1oo2-Auswahlschema übergehen). Wie entsprechend in der dritten Spalte der ersten Reihe von 4 zeigt, geht das 2oo3-Auswahlschema in ein 1oo2-Auswahlschema über, wenn der Wert des schlechten bzw. fehlerhaften Gebers unabhängig vom tatsächlichen Wert des Signals als Abschaltanforderung betrachtet wird.
  • Selbstverständlich kann die Nutzung des jeweiligen Status der Eingänge für den Auswahlfunktionsblock 94 in gleicher oder in abweichender Weise auch beim Abschalt-Auswahllogikblock 100a und beim Vor-Abschalt-Auswahllogikblock 100 angewendet werden. Wenn gewünscht, kann der Status des Out-Signals und des Pre_out-Signals auf "Gut" gesetzt werden, außer wenn alle nicht ausgeblendeten Signale einen schlechten Status aufweisen, in welchem Fall der Status der Signale Out und Pre_out auf "Schlecht" gesetzt werden kann. Wenn gewünscht, kann dann, wenn irgendeiner der nicht ausgeblendeten Eingänge einen schlechten Status aufweist, ein Parameter für einen Alarmzustand gesetzt werden, der anzeigt, dass ein schlechter Eingang durch den Auswahlfunktionsblock 94 gesetzt werden kann.
  • 5 zeigt ein Zustandsdiagramm 130, das verschiedene Zustände verdeutlicht, die der Auswahlfunktionsblock 94 durchlaufen kann, um aus einer Abschaltbedingung (bei der das Signal Out in den Abschaltzustand gebracht ist) in einen nicht abgeschalteten oder normalen Zustand (bei dem das Signal Out in den Normalzustand gebracht ist) zu gelangen oder umgekehrt. Das Zustandsdiagramm 130 umfasst fünf Zustände, die als Abschaltzustand 132, ein Auswahl-Normal-Verzögerungszustand 134, ein Auswahl-zu-Abschalt-Verzögerungszustand 136, Abschaltsperrzustand 138 und als Normalzustand 140 definiert sind. Die Pfeile oder Verbindungslinien zwischen den Zuständen im Zustandsdiagramm 130 zeigen die möglichen Zustandswechsel zwischen den Zuständen 132140 an. Die durchgezogenen Linien in 5 kennzeichnen die häufig auftretenden Zustandswechsel, die zu erwarten sind, wenn der erfasste Prozesswert den Abschaltgrenzwert über- oder unterschreitet. Die gestrichelten Linien in 5 stehen für weniger häufige Zustandswechsel.
  • Der Auswahlfunktionsblock 94 tritt aus jedem der anderen Zustände in den Abschaltsperrzustand 138 ein, wenn eine Anlaufausblendung aktiv ist, oder wenn eine Abschaltung nicht möglich ist, da nicht ausreichend viele Eingänge am Auswahlschema beteiligt sind, entweder weil ein oder mehrere Eingänge ausgeblendet sind, oder weil ein oder mehrere Eingänge einen schlechten Zustand bzw. Fehlerstatus aufweisen und ein schlechter Zustand dahin gehend behandelt wird, dass der Eingang nicht in die Auswahl einbezogen wird. Aus dem Zustand der Abschaltsperrung 138 kann der Auswahlfunktionsblock 94 auf Basis der Einstellungen der Verzögerungsparameter (Abschalt-Verzögerungs-An-Parameter und der Abschalt-Verzögerungs-Aus-Parameter) sowie der Eingänge zum Auswahlfunktionsblock 94 in jeden anderen Zustand wechseln, wenn die Sperrbedingung aufgehoben wird.
  • Aus dem Zustandsdiagramm 130 wird klar, dass sich der Auswahlfunktionsblock 94 allgemein im Normalzustand 140 befindet, wenn die Eingänge des Auswahlfunktionsblocks 94 Werte derart aufweisen, dass das im Abschalt-Auswahllogikblock 100a der 2 verwendete Auswahlschema anzeigt, dass keine Abschaltbedingung vorliegt. Selbstverständlich kann der Auswahllogikblock 100a alle Eingänge verwenden und ausgeblendete Eingänge in jeder oben beschriebenen Weise verwenden, um zu entscheiden, dass keine Abschaltbedingung gegeben ist. Wenn vom Auswahlfunktionsblock 100a eine Abschaltbedingung festgestellt wird, kann der Auswahlfunktionsblock 94 direkt in den Abschalt zustand 132 gehen, sofern keine Abschalt-Verzögerungs-An-Zeit eingestellt ist, oder er kann in den Auswahl-zu-Abschalt-Verzögerungzustand 136 wechseln, wenn der Abschalt-Verzögerungs-An-Parameter auf einen Wert ungleich null gesetzt ist.
  • Der Auswahlfunktionsblock 94 verbleibt während der Verzögerungszeitperiode im Auswahl-zu-Abschalt-Verzögerungzustand 136, wie durch Abschalt-Verzögerungs-An-Zeitparameter gesetzt, der von einem Nutzer, einem Konfigurierungsingenieur etc. konfiguriert werden kann. Wenn die Abschalt-Verzögerungs-An-Zeitperiode ausläuft (und nicht vom Nutzer erneut zurückgesetzt wird) und die Abschaltbedingung noch gegeben ist, tritt der Auswahlfunktionsblock 94 in den Abschaltzustand 132 ein und setzt das Signal Out auf den Wert für Abschaltung. Wenn dagegen die Abschaltbedingung während des Auswahl-zu-Abschalt-Verzögerungszustands 136 aufgehoben wird, kehrt der Auswahlfunktionsblock 94 in den Normalzustand 140 zurück, ohne auf das Signal Out Einfluss zu nehmen.
  • Wenn sich der Auswahlfunktionsblock 94 im Abschaltzustand 132 befindet, bringt er das Signal Out in den Abschaltzustand und hält es in diesem Zustand, bis der Auswahlfunktionsblock 94 entweder in den Zustand der Abschaltsperrung 138 oder in den Normalzustand 140 eintritt. Wenn eine Abschaltbedingung aufgehoben wird, weil sich beispielsweise einer oder mehrere der Eingänge des Auswahlfunktionsblocks 94 ändern und dadurch die Abschalt-Auswahllogik eine nicht zur Abschaltung führende Bedingung detektiert, geht der Auswahlfunktionsblock 94 bei nicht gesetzter Abschalt-Verzögerungs-An-Zeitperiode direkt in den Normalzustand 140, oder er tritt in den Auswahl-Normal-Verzögerungszustand 134 ein, wenn der Abschalt-Verzögerungs-Aus-Parameter auf einen Wert ungleich null gesetzt ist. Der Auswahlfunktionsblock 94 verbleibt im Zustand des Auswahl-Normal-Verzögerungszustands 134, bis der erste der Abschalt-Verzögerungs-Aus-Zeitgeber zur Verzögerung der Rücknahme der Abschaltung ausläuft (zu welcher Zeit der Auswahlfunktionsblock 94 in den Normalzustand 140 eintritt), eine Abschalt-Sperrbedingung auftritt (zu welcher Zeit der Auswahlfunktionsblock 94 in den Abschaltsperrzustand 138 eintritt), oder bis eine Auswahl-zu-Abschalt-Bedingung auf Basis einer Änderung der Eingänge erneut auftritt (zu welcher Zeit der Auswahlfunktionsblock 94 in den Abschaltzustand 132 zurückkehrt).
  • Während das Zustandsdiagramm 130 der 5 eine Betriebsweise wiedergibt, bei der der Auswahlfunktionsblock 94 aus einem normalen Betriebszustand in einen Abschaltzustand übergehen kann und umgekehrt, ist klar, dass, wenn gewünscht, der Auswahlfunktionsblock 94 konzipiert werden kann, um weniger als die dargestellten Zustände oder um zusätzliche Zustände oder um eine Kombination beider Möglichkeiten zu nutzen. Außerdem ist klar, dass während die Zustandsmaschinerie 130 spezifisch so beschrieben ist, dass sie zur Steuerung des Zustands des Signals Out, d.h. des Abschaltsignals verwendet wird, ein ähnliches Diagramm einer Zustandsmaschinerie verwendet werden könnte, um, die Funktion des Signals Pre_out zu beschreiben, das von einem Normalzustand in einen Alarmzustand bzw. gesetzten Zustand wechselt und umgekehrt.
  • Wenn gewünscht, kann der Auswahlfunktionsblock 94 des Weiteren eine oder mehrere Statusvariablen oder Statussignale bereitstellen, die den Abschaltzustand oder den Vor-Abschaltzustand anzeigen, in dem sich der Auswahlfunktionsblock 94 befindet. Ein typischer Statuswert für diese Signale kann "Normal" oder seltener "Abgeschaltet" sein. Wie jedoch aus dem Zustandsdiagramm 130 der 5 hervorgeht, kann der Abschaltzustand, und wenn gewünscht auch der Vorabschaltzustand, einen Wert "Delayed" annehmen, wenn der Abschalt-Verzögerungs-An- oder der Abschalt-Verzögerungs-Aus-Parameter auf einen Wert ungleich null gesetzt ist, und ein Wechsel zwischen dem Normal- und dem Abschaltzustand erfolgt. In ähnlicher Weise können das Abschaltsignal und das Vox-Abschaltsignal (Out und Pre_out) einen "Sperrstatus" aufweisen, wenn sich der Auswahlfunktionsblock 94 im Zustand der Abschaltsperrung 138 befindet.
  • Wenn gewünscht, kann das Prozesssteuerungssystem 12 konfiguriert werden, um Information in einer Ereignishistorie zu speichern, wenn Eingänge ausgeblendet werden oder wenn eine Ausblendung aufgehoben wird, basierend auf den dem Auswahlfunktionsblock 94 zugeordneten Signalen und Parametern. In vielen Fällen können diese Ereignisse inhärent aufgezeichnet werden, da der Ausblendungsparameter direkt in den Auswahlfunktionsblock 94 eingeschrieben wird. In einigen Fällen sind Ausblendungen und Ausblendungsfreigaben fest mit physikalischen Druckknopfschaltern verdrahtet, und es kann eine spezielle Eintragskontrolle/Ereignisprotokollierung erforderlich sein. In der Praxis kann die Ausblendungsfreigabe für eine Gruppe von Auswahlfunktionsblöcken oder für einen einzelnen Auswahlfunktionsblock erfolgen. Wenn zeitliche Begrenzungen für die Ausblendung einbezogen werden, kann eine spezielle Ereignisprotokollierung verwendet werden, um auch den Sachverhalt der Aufhebung der Ausblendungen durch den Block zu erfassen. Selbstverständlich kann der Auswahllogikblock 94 jede gewünschte Ereignisaufzeichnung generieren (durch Erzeugen von Ereignis-Aufzeichnungs-Signalen), die beispielsweise an die Konfigurations- oder die Historiendatenbank 21 der 1 übermittelt und dort gespeichert werden sollen. Eine derartige Ereignisaufzeichnung oder derartige Ereignis-Aufzeichnungs-Signale können beispielsweise enthalten: Aufzeichnungen eines jeden Setzens oder Änderns des Ausblendungs-Erlaubnis-Parameters, des Parameters BYPASSx, des Bypass-Timeouts (typischerweise durch die Grenzwert-Prüfblöcke 95 erzeugt), Anlaufausblendungen und Anlauf-Timeouts (typischerweise durch den Anlaufsperrblock 102 erzeugt), sowie auch Aufzeichnungen von Zustandsänderungen, die bestimmten Eingängen, die eine Sperrung (oder eine Vorsperrung) auswählen, zugeordnet sind, die beispielsweise von den Auswahlfunktionsblöcken 100 oder den Abschaltgrenzwert-Prüfblöcken 95 erzeugt werden können. Solche Ereignisaufzeichnungen sind von hohem Wert für Nutzer bei Ereignisabfolgeermittlungen, die typischerweise nach dem Auftreten einer Abschaltung in einem Sicherheitssystem stattfinden.
  • Wie daraus hervorgeht, kann durch die Verwendung des hierin beschriebenen Auswahlfunktionsblocks 94 in einfacher Weise ein Funktionsblock erstellt werden, der ein bekanntes Format hat, und der somit nach seiner Erstellung nur noch mittels geeigneter Einstellungen der Konfigurierungsparameter auf die richtige Funktionsweise programmiert werden muss. Die Implementierung des Auswahlfunktionsblocks innerhalb einer Programmierumgebung für Funktionsblöcke gestaltet sich einfach, da der Auswahlfunktionsblock in jeder bekannten oder gewünschten Weise erstellt und kommunikativ mit anderen Funktionsblöcken verbunden werden kann. In ähnlicher Weise ist die Fehlerbereinigung des Auswahlfunktionsblocks einfacher als bei Auswahllogiken, die in anderen Programmiersprachen erzeugt sind, da der Auswahllogikblock typischerweise nur im Rahmen des Kontexts seiner Einbindung innerhalb der Programmierumgebung und aufgrund der auf ihn angewendeten Konfigurationsparameter fehlerbereinigt werden muss. Darüber hinaus kann der Auswahlfunktionsblock in einfacher Weise dokumentiert werden, da es sich um einen typischen Funktionsblock mit standardisierter Dokumentation handelt, die nur hinsichtlich der jeweils verwendeten Parametereinstellungen abzuändern ist.
  • Während hierin der Auswahlfunktionsblock 94, bei dem es sich um einen analogen Auswahlfunktionsblock handelt, detailliert beschrieben wurde, ist klar, dass digitale Auswahlfunktionsblöcke in ähnlicher Weise arbeiten können. In einem digitalen Auswahlfunktionsblock (der digitale Eingangssignale verarbeitet), arbeiten jedoch die Grenzwertprüfblöcke oder Detektierungseinheiten 95 nur derart, dass sie den Wert des digitalen Eingangssignals als logisch Eins oder logisch Null behandeln, wobei einer dieser Zustände als zutreffend für eine Abschaltbedingung und der andere als nicht zutreffend für eine Abschaltbedingung definiert ist. Außerdem kann bei digitalen Auswahlfunktionsblöcken die Verwendung der Vor-Grenzwert-Prüfblöcke oder Detektierungseinheiten 96 nicht erforderlich oder nicht möglich sein, da die digitalen Eingangssignale typischerweise einen von zwei Zuständen annehmen und nicht gegen einen anderen Grenzwert zwischen diesen beiden Zuständen abgeprüft werden können. Wenn gewünscht, können jedoch die Ausgänge des Abschaltgrenzwert-Prüfblocks 95 an einen zweiten Auswahllogikblock (der ein weniger exaktes Auswahlschema verwendet als das vom Abschalt-Auswahllogikblock 100a verwendete Auswahlschema) übergeben werden, um das Vorliegen eines Vor-Abschalt-Alarms festzustellen. Außerdem ist es möglich, auch wenn die Auswahlfunktionsblöcke 92 und 94 hierin mit jeweils fünf und drei Eingängen beschrieben wurden, jede beliebige andere Anzahl von Eingängen einzubeziehen.
  • Während nach 1 die Auswahlfunktionsblöcke 92 und 94 Eingänge von Funktionsblöcken des Typs AI, DI und andere erhalten, können die in die Auswahl einbezogenen Eingänge von jedem anderen Typ eines Funktionsblocks kommen oder als andere Typen von Signalen innerhalb der Prozessanlage 10 generiert werden. Außerdem können, auch wenn die Ausgänge der Auswahlfunktionsblöcke 92 und 94 als mit Ausgangsfunktionsblöcken beispielsweise des Typs AO, DO und anderen, wie z.B. einem Ursache/Wirkung-Funktionsblock oder einer Steuerungsroutine, verbunden dargestellt sind, diese Ausgänge mit jedem anderen gewünschten Typ von Funktionsblöcken verbunden werden, etwa mit Folgesteuerungs- und Zwischenspeicherblöcken etc., oder sogar direkt mit anderen Applikationen oder Programmierumgebungen innerhalb der Prozessanlage 10. In ähnlicher Weise kann, während die hierin beschriebene Logik anhand einer bestimmten beispielhaften Funktionsblockprogrammierung realisiert wurde, die gleiche Logik unter anderen Programmierumgebungen bereitgestellt und dennoch als Funktionsblock im hierin beschriebenen Sinn aufgefasst werden. Des Weiteren können, während die hierin beschriebenen Auswahlfunktionsblöcke für die Verwendung in einem Sicherheitssystem einer Prozessanlage oder einer Prozesssteuerungsumgebung beschrieben sind, diese oder ähnliche Funktionsblöcke in einer normalen Prozesssteuerungsumgebung oder für andere gewünschte Zwecke außerhalb eines Sicherheitssystems verwendet werden.
  • Während die Auswahlfunktionsblöcke hierin anhand von Diagrammen zur Statusmaschinerie beschrieben wurden, sind diese Diagramme nur gedacht, um die Funktionsweise der Auswahllogik und der Funktionalität der Ausblendungen zu beschreiben. Es ist klar, das keine Statusmaschinerie verwendet werden muss, und dass bei Verwendung einer solchen diese in jeder Form, beispielsweise durch Hardware oder durch Software in jeder beliebigen Programmiersprache implementiert werden kann. Um eine solche Statusmaschinerie zu realisieren, muss lediglich nur ein Element wie z.B. ein Softwareprogramm, eine Routine, ein Objekt etc. den Funktionsblock zum Übergang zwischen Zuständen, wie hierin erläutert oder definiert (oder anderen Zuständen), oder wie durch die Ausgänge des Funktionsblocks dargestellt anstoßen und so einen Wechsel des Ausgangs von einem Normal- in einen Abschaltzustand oder umgekehrt bewirken.
  • Zur Implementierung kann jedes der hierin beschriebenen Elemente, einschließlich der Sperrblöcke, der Auswahlfunktionsblöcke, der Statusmaschinerien, der Signalverbindungen etc., in Form von Software realisiert werden, die auf einem beliebigen rechnerlesbaren Speichermedium wie z.B. Magnetplatte, Laser- oder optische Disk, oder auf einem anderen Speichermedium, in einem RAM oder einem ROM eines Computers oder Prozessors etc. gespeichert ist. Die hierin beschriebenen Signale und Signalleitungen können jede Form haben, einschließlich wirklicher Drahtleitungen, Datenregister, Speicherplätze etc. Die Software kann jede beliebige Form haben, einschließlich auf einem Universalrechner oder -prozessor ausgeführte Applikationssoftware, oder es kann sich um festkodierte Software handeln, die beispielsweise in einem Applikationsspezifischen Integrierten Schaltkreis (ASIC – Application Specific Integrated Circuit) realisiert oder in ein EPROM, EEPROM oder ein anderes Firmwareelement eingebrannt ist. In ähnlicher Weise kann die Software an einen Nutzer, einen Betrieb oder eine Bedienerworkstation, eine Steuerung, einen Logiksolver oder an eine beliebige bekannte Rechnervorrichtung auf jede bekannte oder gewünschte Art der Lieferung einschließlich beispielsweise auf einer rechnerlesbaren Disk oder einem anderen transportablen Speichermedium für Computer oder über einen Kommunikationskanal wie z.B. eine Telefonleitung, das Internet, das World Wide Web, jedes andere lokale oder Fernnetz etc. übermittelt werden (wobei unter Übermittlung auch die Bereitstellung solcher Software auf einem transportablen Speichermedium zu verstehen ist). Des Weiteren kann die Software direkt ohne Modulation oder Verschlüsselung bereitgestellt werden, oder sie kann unter Verwendung jeder geeigneten Modulationsträgerwelle und/oder Verschlüsselungstechnik moduliert und/oder verschlüsselt weiden, bevor sie über einen Kommunikationskanal übermittelt wird.
  • Selbstverständlich können die hierin beschriebenen Auswahlfunktionsblöcke mittels eines jeden externen Kommunikationsprotokolls zur Prozesssteuerung (neben dem Fieldbus-Protokoll oder einem DeltaV-Protokoll) implementiert werden, und sie können genutzt werden, um mit jedem Typ eines Funktionsblocks einschließlich eines jeden Funktionsblocks, der ähnlich oder gleich einem der verschiedenen Funktionsblöcke ist, die speziell für das Fieldbus-Protokoll identifiziert sind bzw. von diesem unterstützt weiden, zu kommunizieren. Des Weiteren ist anzumerken, dass trotz der Bezeichung der Auswahlfunktionsblöcke in einer Ausführungsform hiervon als Fieldbus-"Funktionsblöcke" der Begriff "Funktionsblock" hierin nicht auf etwas beschränkt ist, das das Fieldbus-Protokoll als Funktionsblock identifiziert, sondern stattdessen jeden anderen Typ eines Blocks, eines Programms, einer Hardware, Firmware etc., also eines jeden Objekts umfasst, das mit jeder Art von Steuerungssystem und/oder Kommunikationsprotokoll in Zusammenhang steht, das für die Implementierung der Funktionalität einer Prozesssteuerungsroutine genutzt werden kann, oder das übel ein vordefiniertes Setup oder Protokoll verfügt, um Information oder Daten für andere derartige Funktionsblöcke bereitzustellen. Das bedeutet, dass Funktionsblöcke zwar typischerweise die Form von Objekten in einer objektorientierten Programmierumgebung haben, wobei dies aber nicht notwendigerweise der Fall ist, so dass stattdessen andere logische Einheiten genutzt werden können, um eine bestimmte Steuerungsfunktion (einschließlich der Ein- und Ausgänge) innerhalb einer Prozessanlage oder einer Steuerungsumgebung zu erfüllen, wobei jede beliebige Programmstruktur oder -vorgabe zu Grunde gelegt werden kann.
  • Während die vorliegende Erfindung unter Bezugnahme auf spezifische Ausführungsformen beschrieben worden ist, die die Erfindung nur verdeutlichen und nicht einschränken sollen, wird es für den Fachmann offensichtlich sein, daß Änderungen, Hinzufügungen oder Weglassungen an den offenbarten Ausführungsformen vorgenommen werden können, ohne vom Grundgedanken und Geltungsbereich der Erfindung abzuweichen.

Claims (59)

  1. Funktionsblockeinheit zur Nutzung in einer Prozessanlage, mit einem Prozessor, der zur Steuerung einer oder mehrerer Feldvorrichtungen kommunikativ verbunden ist, wobei die Funktionsblockeinheit Folgendes aufweist: – ein computerlesbares Medium; und – einen auf computerlesbarem Medium gespeicherten und so angelegten Funktionsblock, dass er auf dem Prozessor ausgeführt wird, wobei der Funktionsblock Folgendes aufweist: – eine Gruppe von Eingängen, wobei jeder Eingang ausgelegt ist, um ein Eingangssignal von innerhalb der Prozessanlage zu erhalten, das einen Prozesszustand angibt; – eine Grenzwert-Detektierungseinheit, die mit jedem Eingang aus der Gruppe der Eingänge verbunden ist, wobei jede Grenzwert-Detektierungseinheit ein Grenzwertsignal erzeugt, das angibt, ob das Eingangssignal am zugehörigen Eingang einem Abschaltkriterium entspricht; – einen für die Bereitstellung eines Abschaltsignals geeigneten Ausgang; – einen zwischen die Grenzwert-Detektierungseinheiten und den Ausgang zwischengeschalteten Auswahllogikblock, wobei der Auswahllogikblock geeignet ist, Auswahllogik auf die Grenzwertsignale anzuwenden, um das Abschaltsignal als einen Abschaltwert am Ausgang zu erzeugen, wenn eine bestimmte Anzahl Eingangssignale dem Abschaltkriterium entspricht, und um das Abschaltsignal als einen Normalwert am Ausgang zu erzeugen, wenn die bestimmte Anzahl der Eingangssignale nicht dem Abschaltkriterium entspricht; und einen Ausblendungsblock, der geeignet ist, um die Nutzung mindestens eines der Eingänge der Gruppe durch den Auswahllogikblock zu verhindern, oder um das vom Auswahllogikblock am Ausgang erzeugte Abschaltsignal auszublenden.
  2. Funktionsblockeinheit nach Anspruch 1, wobei der Ausblendungsblock ein Eingangssperrblock ist, der die Nutzung eines der Eingänge der Gruppe durch den Auswahllogikblock verhindert.
  3. Funktionsblockeinheit nach Anspruch 2, wobei der Ausblendungsblock einen Ausblendungszeitparameter enthält, der einen ersten Zeitraum spezifiziert, für den die Nutzung des einen der Eingänge der Gruppe durch den Auswahllogikblock verhindert werden muss.
  4. Funktionsblockeinheit nach Anspruch 3, wobei der Ausblendungsblock einen Erinnerungszeitparameter enthält, der einen zweiten Zeitraum vor Ablauf des ersten Zeitraums spezifiziert, an dem ein Erinnerungssignal zu veranlassen ist, wobei das Erinnerungssignal den bevorstehenden Ablauf des ersten Zeitraums anzeigt.
  5. Funktionsblockeinheit nach Anspruch 1, wobei der Ausblendungsblock einen Eingangssperrblock für jeden der Eingänge der Gruppe enthält wobei jeder Sperrblock getrennt gesetzt werden kann, um die Nutzung eines anderen Eingangs der Gruppe durch den Auswahllogikblock zu sperren.
  6. Funktionsblockeinheit nach Anspruch 1, wobei der Ausblendungsblock eine betriebliche Ausblendung besitzt, aber gesetzt werden kann, um zu verhindern, dass der Abschaltwert des Abschaltsignals dem Ausgang weitergegeben wird.
  7. Funktionsblockeinheit nach Anspruch 6, wobei der Ausblendungsblock einen Zeitgeber enthält, der die Zeit der betrieblichen Ausblendung überwacht und nach einem vorbestimmten Zeitraum unterbricht um zu ermöglichen, dass der Abschaltwert des Abschaltsignals an den Ausgang weitergegeben wird.
  8. Funktionsblockeinheit nach Anspruch 6, wobei der Ausblendungsblock angepasst ist, um zu detektieren, wenn der Auswahllogikblock einen Wert für das Abschaltsignal erzeugt, der für einen vorbestimmten Zeitraum stabil ist und die Weitergabe des Abschaltsignalwerts an den Ausgang zulässt, nachdem detektiert wurde, dass der Abschaltsignalwert während des vorbestimmten Zeitraums stabil geblieben ist.
  9. Funktionsblockeinheit nach Anspruch 6, wobei der Ausblendungsblock einen Ereignisdetektierungsparameter enthält und diesen nutzt, um die Weitergabe des Abschaltwerts des Abschaltsignals an den Ausgang zuzulassen, wenn der Ereignisdetektierungsparameter anzeigt, dass ein Ereignis entweder aufgetreten oder ausgeblieben ist.
  10. Funktionsblockeinheit nach Anspruch 1, wobei der Ausblendungsblock einen Eingangssperrblock für jeden Eingang der Gruppe enthält, wobei jeder Eingangssperrblock getrennt gesetzt werden kann, um die Nutzung eines der Eingänge der Gruppe durch den Auswahllogikblock zu verhindern, und bei dem der Ausblendungsblock ferner einen betrieblichen Sperrblock enthält, der gesetzt werden kann, um den Auswahllogikblock durch Setzen des Abschaltsignals auf den Normalzustand am Ausgang auszublenden.
  11. Funktionsblockeinheit nach Anspruch 1, wobei der Auswahllogikblock ein M-aus-N-Auswahllogikschema enthält, bei dem N die Anzahl der berücksichtigten Eingänge und M die Anzahl der Grenzwertsignale ist, die anzeigen müssen, dass das Abschaltkriterium für den Auswahllogikblock erreicht ist, um das Vorhandensein einer Abschaltbedingung zu detektieren und das Abschaltsignal auf den Abschaltwert zu setzen.
  12. Funktionsblockeinheit nach Anspruch 11, wobei der Ausblendungsblock ein Eingangssperrblock ist, der die Nutzung eines Eingangs der Gruppe durch den Auswahllogikblock verhindert und wobei das Auswahllogikschema die Anzahl N der berücksichtigten Eingänge vermindert, wenn einer der Eingänge der Gruppe ausgeblendet wird, aber die Anzahl der Grenzwertsignale M auf dem gleichen Stand hält, wenn einer der Eingänge der Gruppe ausgeblendet ist.
  13. Funktionsblockeinheit nach Anspruch 11, wobei der Ausblendungsblock ein Eingangssperrblock ist, der die Nutzung eines Eingangs der Gruppe durch den Auswahllogikblock verhindert, und wobei das Auswahllogikschema sowohl die Anzahl der Eingänge N als auch die Anzahl der Grenzwertsignale M im Auswahllogikschema reduziert, wenn einer der Eingänge der Gruppe ausgeblendet ist.
  14. Funktionsblockeinheit nach Anspruch 11, wobei eines der Eingangssignale einen Zustands- und einen Wertparameter enthält, und wobei eine der Grenzwert-Detektierungseinheiten den Zustandsparameter nutzt, um zu entscheiden, wie der Wertparameter des betreffenden Eingangssignals behandelt werden muss.
  15. Funktionsblockeinheit nach Anspruch 14, wobei die eine der Grenzwert-Detektierungseinheiten automatisch das eine der Eingangssignale mit einem schlechten Zustandsparameter als ein Eingangssignal behandelt, das dem Abschaltkriterium entspricht.
  16. Funktionsblockeinheit nach Anspruch 14, wobei die eine der Grenzwert-Detektierungseinheiten das eine der Eingangssignale mit einem schlechten Zustandsparameter als ein gesperrtes Eingangssignal behandelt, um die Nutzung des einen der Eingangssignale durch den Auswahllogikblock zu verhindern.
  17. Funktionsblockeinheit nach Anspruch 1, die ferner eine Vor-Grenzwert-Detektierungseinheit aufweist, die jedem der Eingänge der Gruppe zugeordnet ist, wobei jede Vor-Grenzwert-Detektierungseinheit ein Vor-Abschalt-Grenzwertsignal erzeugt, das anzeigt, ob das Eingangssignal an dem zugehörigen Eingang ein Vor-Abschalt-Kriterium erfüllt, das sich vom Abschaltkriterium unterscheidet, sowie ferner einen Vor-Abschalt-Ausgang aufweist, der geeignet ist, um ein Vor-Abschalt-Alarmsignal bereitzustellen, und einen Vor-Abschalt-Auswahllogikblock, der zwischen die Vor-Grenzwert-Detektierungseinheiten und den Vor-Abschalt-Ausgang geschaltet ist, wobei der Vor-Abschalt-Auswahllogikblock geeignet ist, um weitere Auswahllogik auf die Vor-Abschalt-Grenzwertsignale anzuwenden, um das Vor-Abschalt-Alarmsignal als einen Vor-Abschalt-Alarmwert zu erzeugen, wenn eine bestimmte Anzahl Eingangssignale dem Vor-Abschalt-Kriterium entspricht.
  18. Funktionsblockeinheit nach Anspruch 1, wobei jeder der Eingänge geeignet ist, ein analoges Signal als Eingangssignal zu empfangen.
  19. Funktionsblockeinheit nach Anspruch 1, wobei jeder der Eingänge geeignet ist, ein digitales Signal als Eingangssignal zu empfangen.
  20. Funktionsblockeinheit nach Anspruch 1, wobei der Ausblendungsblock ausgelegt ist, um ein mit einem Betrieb verbundenes Ereignis-Aufzeichnungs-Signal zu erzeugen, um die Nutzung mindestens eines der Eingänge der Gruppe durch den Auswahllogikblock zu verhindern, oder um das vom Auswahllogikblock am Ausgang erzeugte Abschaltsignal auszublenden.
  21. Funktionsblockeinheit nach Anspruch 1, wobei eine der Grenzwert-Detektierungseinheiten ausgelegt ist, um ein Ereignis-Aufzeichnungs-Signal zu erzeugen, mit dem ein Wechsel eines der Eingangssignale von einem dem Abschaltkriterium entsprechenden Zustand in einen dem Abschaltkriterium nicht entsprechenden Zustand oder umgekehrt angezeigt wird.
  22. Steuerungssystem zur Verwendung in einer Prozessanlage mit einer Vielzahl von Feldvorrichtungen, die innerhalb eines Prozesses verbunden sind, wobei das Steuerungssystem Folgendes umfasst: – eine kommunikativ mit der Vielzahl der Feldvorrichtungen verbundene Vorrichtung, wobei die Vorrichtung einen Prozessor und ein computerlesbares Medium umfasst; und – einen auf dem computerlesbaren Medium gespeicherten und vom Prozessor ausführbaren Auswahlblock, wobei der Auswahlblock Folgendes umfasst: – eine Gruppe von Eingängen, wobei jeder Eingang geeignet ist, ein Eingangssignal von innerhalb der Prozessanlage zu erhalten, mit dem ein Prozesszustand angezeigt wird; – eine mit jedem der Eingänge der Gruppe verbundene Grenzwert-Detektierungseinheit, wobei jede Grenzwert-Detektierungseinheit ein Grenzwertsignal erzeugt, das anzeigt, ob das Eingangssignal am zugehörigen Eingang einem Abschaltkriterium entspricht; – ein Ausgang, der ein Abschaltsignal bereitstellen kann; – ein zwischen die Grenzwert-Detektierungseinheiten und den Ausgang geschalteter Auswahllogikblock, wobei der Auswahllogikblock geeignet ist, Auswahllogik auf die Grenzwertsignale anzuwenden, um das Abschaltsignal am Ausgang als Abschaltwert zu erzeugen, wenn eine bestimmte Anzahl Eingangssignale dem Abschaltkriterium entspricht, und das Abschaltsignal am Ausgang als Normalwert zu erzeugen, wenn die bestimmte Anzahl Eingangssignale dem Abschaltkriterium nicht entsprechen; und – ein Ausblendungsblock, der ausgelegt ist, um die Nutzung mindestens eines der Eingänge der Gruppe durch den Auswahllogikblock zu verhindern, oder um das vom Auswahllogikblock am Ausgang erzeugte Abschaltsignal auszublenden.
  23. Steuerungssystem nach Anspruch 22, bei dem der Auswahlblock ein Funktionsblock ist.
  24. Steuerungssystem nach Anspruch 22, wobei der Ausblendungsblock ein Eingangssperrblock ist, der die Nutzung eines der Eingänge der Gruppe durch den Auswahllogikblock verhindert.
  25. Steuerungssystem nach Anspruch 24, wobei der Ausblendungsblock einen Ausblendungszeitparameter enthält, der einen ersten Zeitraum spezifiziert, für welchen die Nutzung des einen der Eingänge der Gruppe durch den Auswahllogikblock verhindert werden soll.
  26. Steuerungssystem nach Anspruch 25, wobei der Ausblendungsblock einen Erinnerungszeitparameter enthält, der einen zweiten Zeitraum vor Ablauf des ersten Zeitraums spezifiziert, zu dem ein Erinnerungssignals erzeugt werden soll, wobei das Erinnerungssignal den bevorstehenden Ablauf des ersten Zeitraums anzeigt.
  27. Steuerungssystem nach Anspruch 22, wobei der Ausblendungsblock eine Ausblendung enthält, die eingesetzt werden kann, um die Weitergabe des Abschaltwerts des Abschaltsignalwerts an den Ausgang zu verhindern.
  28. Steuerungssystem nach Anspruch 27, wobei der Ausblendungsblock einen Zeitgeber enthält, der die Zeit der betrieblichen Ausblendung der Betriebsfreigabe verfolgt, und der nach einer vorbestimmten Zeit unterbricht, damit der Abschaltwert des Abschaltsignalwerts an den Ausgang weitergegeben werden kann.
  29. Steuerungssystem nach Anspruch 27, wobei der Ausblendungsblock ausgelegt ist, um zu detektieren, wenn der Auswahllogikblock einen Wert für das Abschaltsignal liefert, der während eines vorbestimmten Zeitraums stabil bleibt, und der die Weitergabe des Abschaltsignalwerts an den Ausgang zulässt, nachdem detektiert wurde, dass der Abschaltsignalwert während des vorbestimmten Zeitraums stabil geblieben ist.
  30. Steuerungssystem nach Anspruch 27, wobei der Ausblendungsblock einen Ereignisdetektierungsparameter enthält und diesen Parameter nutzt, um die Weitergabe des Abschaltwerts des Abschaltsignals an den Ausgang zuzulassen, wenn der Ereignisdetektierungsparameter anzeigt, dass ein Ereignis entweder aufgetreten oder ausgeblieben ist.
  31. Steuerungssystem nach Anspruch 22, wobei der Ausblendungsblock einen Eingangssperrblock für jeden der Eingänge der Gruppe enthält, wobei jeder Eingangssperrblock getrennt gesetzt werden kann, um die Nutzung eines der Eingänge der Gruppe durch den Auswahllogikblock zu verhindern, und wobei der Ausblendungsblock außerdem einen Betriebssperrblock enthält, der so gesetzt werden kann, dass der Auswahllogikblock durch das Setzen des ausgangsseitigen Abschaltsignals auf Normalzustand ausgeblendet wird.
  32. Steuerungssystem nach Anspruch 22, wobei der Ausblendungsblock einen Eingangssperrblock für jeden der Eingänge der Gruppe enthält, wobei jeder Sperrblock getrennt gesetzt werden kann, um die Nutzung eines anderen Eingangs der Gruppe durch den Auswahllogikblock zu verhindern, und wobei der Ausblendungsblock außerdem einen Betriebssperrblock enthält, der gesetzt werden kann, um die Weitergabe des Abschaltsignalwerts an den Ausgang zu verhindern.
  33. Steuerungssystem nach Anspruch 32, wobei der Auswahllogikblock ein M-aus-N-Auswahllogikschema enthält, bei dem N die Anzahl der berücksichtigten Eingänge und M die Anzahl der Grenzwertsignale ist, die anzeigen müssen, dass das Abschaltkriterium erreicht ist, damit der Auswahllogikblock das Vorhandensein einer Abschaltbedingung detektieren und das Abschaltsignal auf den Abschaltwert setzt.
  34. Steuerungssystem nach Anspruch 33, wobei das Auswahllogikschema die Anzahl der berücksichtigten Eingänge N vermindert, wenn einer der Eingänge der Gruppe durch einen der Eingangssperrblöcke ausgeblendet wird, jedoch die Anzahl der Grenzwertsignale M auf dem gleichen Stand hält, wenn der eine der Eingänge der Gruppe durch den einen der Eingangssperrblöcke ausgeblendet ist.
  35. Steuerungssystem nach Anspruch 33, wobei das Auswahllogikschema sowohl die Anzahl der Eingänge N als auch die der Grenzwertsignale M im Auswahllogikschema reduziert, wenn einer der Eingänge der Gruppe durch einen der Eingangssperrblöcke ausgeblendet ist.
  36. Steuerungssystem nach Anspruch 33, wobei eines der Eingangssignale einen Zustandsparameter und einen Wertparameter enthält, und wobei eine der Grenzwert-Detektierungseinheiten den Zustandsparameter nutzt, um über die Behandlung des Wertparameters des betreffenden Eingangssignals zu entscheiden.
  37. Steuerungssystem nach Anspruch 36, wobei die eine der Grenzwert-Detektierungseinheiten das eine der Eingangssignale mit einem schlechten bzw. fehlerhaften Zustandsparameter automatisch als ein Eingangssignal behandelt, das dem Abschaltkriterium entspricht.
  38. Steuerungssystem nach Anspruch 36, wobei die eine der Grenzwert-Detektierungseinheiten das eine der Eingangssignale mit einem schlechten bzw. fehlerhaften Zustandsparameter als ein ausgeblendetes Eingangssignal behandelt, um die Nutzung des betreffenden Eingangssignals durch den Auswahllogikblock zu verhindern.
  39. Steuerungssystem nach Anspruch 33, das ferner eine Vor-Grenzwert-Detektierungseinheit, die jedem der Eingänge der Gruppe zugeordnet ist, umfasst, wobei jede dieser Einheiten ein Vor-Abschalt-Grenzwert-Signal erzeugt, das anzeigt, ob das Eingangssignal am zugehörigen Eingang ein Vor-Abschalt-Kriterium erfüllt, das sich vom Abschaltkriterium unterscheidet, sowie einen Vor-Abschalt-Ausgang, der geeignet ist, ein Vor-Abschalt-Alarmsignal bereitzustellen, und einen Vor-Abschalt-Auswahllogikblock, der zwischen die Vor-Grenzwert-Detektierungseinheiten und den Vor-Abschalt-Ausgang eingeschaltet ist, wobei der Vor-Abschalt-Auswahllogikblock ausgelegt ist, weitere Auswahllogik auf die Vor-Abschalt-Grenzwert-Signale anzuwenden, um das Vor-Abschalt-Alarmsignal als Vor-Abschalt-Alarmwert zu erzeugen, wenn eine bestimmte Anzahl Eingangssignale das Vor-Abschalt-Kriterium erfüllt.
  40. Steuerungssystem nach Anspruch 22, wobei jeder der Eingänge geeignet ist, ein Analogsignal als Eingangssignal zu empfangen.
  41. Steuerungssystem nach Anspruch 22, wobei der Ausblendungsblock ausgelegt ist, um ein mit einem Betrieb verbundenes Ereignis-Aufzeichnungs-Signal zu erzeugen, um die Nutzung mindestens eines der Eingänge der Gruppe durch den Auswahllogikblock zu verhindern oder das vom Auswahllogikblock am Ausgang erzeugte Abschaltsignal auszublenden.
  42. Steuerungssystem nach Anspruch 41, wobei eine der Grenzwert-Detektierungseinheiten ausgelegt ist, um ein Ereignis-Aufzeichnungs-Signal zu erzeugen, das einen Wechsel eines der Eingangssignale von einem dem Abschaltkriterium entsprechenden Zustand in einen Zustand anzeigt, der dem Abschaltkriterium nicht entspricht, oder umgekehrt.
  43. Verfahren zur Bestimmung des Vorliegens einer Abschaltbedingung innerhalb einer Prozessanlage aus einer Vielzahl redundanter Messungen einer Prozessvariablen, wobei das Verfahren Folgendes aufweist: – Erfassen eines Signals, das jede der redundanten Messungen anzeigt; – Bestimmen, ob jedes der erfassten Signale ein Abschaltkriterium erfüllt; – Verwenden eines Auswahllogikschemas, um ein Abschaltsignal als einen Normalwert zu erzeugen, wenn eine bestimmte Anzahl erfasster Signale das Abschaltkriterium nicht erfüllt, und um das Abschaltsignal als Abschaltwert zu erzeugen, wenn die bestimmte Anzahl erfasster Signale das Abschaltkriterium erfüllt; – Empfangen eines Sperrsignals von einer weiteren Einheit innerhalb der Prozessanlage; und – Verhinderung der Nutzung mindestens eines der erfassten Signale durch das Auswahllogikschema oder das Verhindern des Setzens des Abschaltsignals auf den Abschaltwert bei Empfang des Sperrsignals.
  44. Verfahren nach Anspruch 43, wobei das Empfangen des Sperrsignals den Empfang eines einem der erfassten Signale zugeordneten Eingangssperrsignals umfasst und wobei die Verhinderung der Nutzung von mindestens einem der erfassten Signale die Verhinderung der Nutzung des mindestens einen der erfassten Signale innerhalb des Auswahllogikschemas für einen vorbestimmten Zeitraum umfasst.
  45. Verfahren nach Anspruch 44, wobei die Verhinderung der Nutzung des mindestens einen der erfassten Signale die Erzeugung einer Erinnerungsmeldung zu einem voreingestellten Zeitpunkt vor Ablauf des vorbestimmten Zeitraums umfasst.
  46. Verfahren nach Anspruch 43, wobei die Verhinderung der Nutzung von mindestens einem der erfassten Signale durch das Auswahllogikschema oder die Verhinderung des Setzens des Abschaltsignals auf den Abschaltwert bei Empfang des Sperrsignals eine Verhinderung des Setzens des Abschaltsignals auf den Abschaltwert für einen vorbestimmten Zeitraum umfasst.
  47. Verfahren nach Anspruch 43, wobei die Verhinderung der Nutzung von mindestens einem der erfassten Signale durch das Auswahllogikschema oder die Verhinderung des Setzens des Abschaltsignals auf den Abschaltwert bei Empfang des Sperrsignals eine Verhinderung des Setzens des Abschaltsignals auf den Abschaltwert umfasst, bis das Auswahllogikschema feststellt, dass die bestimmte Anzahl erfasster Signale für einen festgelegten Zeitraum nicht das Abschaltkriterium erfüllt.
  48. Verfahren nach Anspruch 43, wobei die Verhinderung der Nutzung von mindestens einem der erfassten Signale durch das Auswahllogikschema oder die Verhinderung des Setzens des Abschaltsignals auf den Abschaltwert bei Empfang des Sperrsignals eine Verhinderung des Setzens des Abschaltsignals auf den Abschaltwert umfasst, bis ein Ereignis als vorhanden oder nicht vorhanden detektiert wird.
  49. Verfahren nach Anspruch 43, wobei die Verhinderung der Nutzung von mindestens einem der erfassten Signale durch das Auswahllogikschema oder die Verhinderung des Setzens des Abschaltsignals auf den Abschaltwert bei Empfang des Sperrsignals, eine Verhinderung der Nutzung von mindestens einem der erfassten Signale durch das Auswahllogikschema bei Empfang eines ersten Sperrsignals und eine Verhinderung des Setzens des Abschaltsignals auf den Abschaltwert bei Empfang eines zweiten Sperrsignals umfasst.
  50. Verfahren nach Anspruch 43, wobei die Nutzung des Auswahllogikschemas zur Erzeugung eines Abschaltsignals auch die Nutzung eines Auswahllogikschemas umfasst, das eine M-aus-N-Auswahllogik enthält, wobei N die Anzahl der berücksichtigten erfassten Signale und M die bestimmte Anzahl der erfassten Signale ist, die dem Abschaltkriterium entsprechen müssen, um das Abschaltsignal als Abschaltwert zu erzeugen.
  51. Verfahren nach Anspruch 50, wobei ferner die Anzahl der vom Auswahllogikschema berücksichtigten erfassten Signale N vermindert wird, wenn eines der erfassten Signale infolge des Sperrsignals ausgeblendet wird, jedoch eine bestimmte Anzahl erfasster Signale M, die dem Abschaltkriterium entsprechen müssen, auf dem gleichen Stand gehalten wird, wenn das eine der erfassten Signale infolge des Sperrsignals ausgeblendet wird.
  52. Verfahren nach Anspruch 50, wobei ferner sowohl die Anzahl der vom Auswahllogikschema berücksichtigten erfassten Signale N als auch die bestimmte Anzahl der erfassten Signale M, die dem Abschaltkriterium entsprechen müssen, vermindert wird, wenn das eine der erfassten Signale infolge des Sperrsignals ausgeblendet wird.
  53. Verfahren nach Anspruch 43, wobei die Bestimmung, ob jedes der erfassten Signale dem Abschaltkriterium entspricht, die Nutzung eines Zustandsparameters umfasst, der jedem der erfassten Signale zugeordnet ist, um zu bestimmen, ob die erfassten Signale dem Abschaltkriterium entsprechen.
  54. Verfahren nach Anspruch 53, wobei die Nutzung des Zustandsparameters eine automatische Behandlung eines erfassten Signals mit einem schlechten Zustandsparameter, als ein erfasstes Signal, das das Abschaltkriterium erfüllt, umfasst.
  55. Verfahren nach Anspruch 53, wobei die Nutzung des Zustandsparameters eine automatische Verhinderung der Nutzung eines erfassten Signals mit einem schlechten Zustandsparameter durch das Auswahllogikschema zur Erzeugung des Abschaltsignals umfasst.
  56. Verfahren nach Anspruch 43, das ferner eine Bestimmung umfasst, ob jedes der erfassten Signale einem Vor-Grenzwert-Abschaltkriterium entspricht, wobei ein anderes Auswahllogikschema zur Erzeugung eines Vor-Abschalt-Alarmsignals als Normalwert verwendet wird, wenn die bestimmte Anzahl der erfassten Signale nicht dem Vor-Grenzwert-Abschaltkritexium entspricht, und zur Erzeugung des Vor-Abschalt-Alarmsignals als Alarmwert verwendet wird, wenn die bestimmte Anzahl erfasster Signale dem Vor-Grenzwert-Abschaltkriterium entspricht.
  57. Verfahren nach Anspruch 43, wobei die Erfassung eines Signals, das indikativ für jede der redundanten Messungen ist, die Erfassung eines separaten Digitalsignals, das indikativ für jede der redundanten Messungen ist, umfasst.
  58. Verfahren nach Anspruch 43, wobei die Verhinderung der Nutzung von mindestens einem der erfassten Signale durch das Auswahllogikschema oder die Verhinderung des Setzens des Abschaltsignals auf den Abschaltwert bei Empfang des Sperrsignals die Erzeugung eines Ereignis-Aufzeichnungs-Signals, das mit einer Verhinderung der Nutzung von mindestens einem der erfassten Signale oder einer Verhinderung des Setzens des Abschaltsignals auf den Abschaltwert zugeordnet ist, umfasst.
  59. Verfahren nach Anspruch 43, wobei die Bestimmung, ob jedes der erfassten Signale dem Abschaltkriterium entspricht, eine Erzeugung eines Ereignis-Aufzeichnungs-Signals umfasst, wenn eines der erfassten Signale zwischen einem Zustand wechselt, der das Abschaltkriterium erfüllt, und einem Zustand, der das Abschaltkriterium nicht erfüllt, oder umgekehrt.
DE102004016929.2A 2003-04-08 2004-04-06 Steuerverfahren und System zur Bestimmung des Vorliegens einer Abschaltbedingung innerhalb einer Prozessanlage Expired - Lifetime DE102004016929B4 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US10/409576 2003-04-08
US10/409,576 US7130703B2 (en) 2003-04-08 2003-04-08 Voter logic block including operational and maintenance overrides in a process control system

Publications (2)

Publication Number Publication Date
DE102004016929A1 true DE102004016929A1 (de) 2004-11-25
DE102004016929B4 DE102004016929B4 (de) 2022-06-09

Family

ID=32326243

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102004016929.2A Expired - Lifetime DE102004016929B4 (de) 2003-04-08 2004-04-06 Steuerverfahren und System zur Bestimmung des Vorliegens einer Abschaltbedingung innerhalb einer Prozessanlage

Country Status (6)

Country Link
US (1) US7130703B2 (de)
JP (1) JP4557588B2 (de)
CN (1) CN100445907C (de)
DE (1) DE102004016929B4 (de)
GB (1) GB2400688B (de)
HK (1) HK1068967A1 (de)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1855172A1 (de) * 2006-05-12 2007-11-14 Siemens Aktiengesellschaft Verfahren zur Alarmunterdrückung in einer Prozessanlage
DE102009013303A1 (de) * 2009-03-16 2010-09-30 Siemens Aktiengesellschaft Verwendung eines IO-Links
DE102014110018A1 (de) * 2014-07-16 2016-01-21 Phoenix Contact Gmbh & Co. Kg Sicheres elektronisches Gerät

Families Citing this family (25)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7565340B2 (en) * 2006-01-09 2009-07-21 The State Of Oregon Acting By And Through The State Board Of Higher Education On Behalf Of Oregon State University Methods for assisting computer users performing multiple tasks
DE102006002824B4 (de) * 2006-01-19 2008-10-09 Phoenix Contact Gmbh & Co. Kg Verfahren und Vorrichtung zur Umwandlung mehrkanalig vorliegender Nachrichten in eine einkanalige sichere Nachricht
US8285402B2 (en) * 2008-07-14 2012-10-09 Ge Intelligent Platforms, Inc. Method and system for safety monitored terminal block
KR100980043B1 (ko) * 2008-10-22 2010-09-06 한국전력기술 주식회사 Fpga를 이용한 발전소 보호 시스템 및 보호 방법
DE102009020151A1 (de) * 2009-05-06 2010-11-11 Siemens Aktiengesellschaft Verfahren zur Ermittlung und Bewertung von Kenngrößen einer elektrischen Energieversorgung
US8769360B2 (en) 2010-10-14 2014-07-01 International Business Machines Corporation Dynamic detection and identification of the functional state of multi-processor cores
US20130173024A1 (en) * 2012-01-03 2013-07-04 William Robert Pettigrew Method and system for control system redundancy
US9239576B2 (en) * 2012-02-17 2016-01-19 Fisher-Rosemount Systems, Inc. Methods and apparatus to apply multiple trip limits to a device in a process control system
US9625349B2 (en) * 2012-02-29 2017-04-18 Fisher Controls International Llc Time-stamped emissions data collection for process control devices
US9122253B2 (en) * 2012-11-06 2015-09-01 General Electric Company Systems and methods for dynamic risk derivation
DE102013100159A1 (de) 2012-11-28 2014-05-28 Endress + Hauser Gmbh + Co. Kg Feldgerät zur Bestimmung oder Überwachung einer Prozessgröße in der Automatisierungstechnik
WO2015162541A1 (en) * 2014-04-25 2015-10-29 Bombardier Inc. Monitor performance analysis
US9589142B2 (en) 2014-06-18 2017-03-07 Thales Canada Inc Apparatus and method for communications in a safety critical system
JP2016081340A (ja) * 2014-10-17 2016-05-16 株式会社東芝 多重化制御装置
DE102014226075A1 (de) * 2014-12-16 2016-06-16 Siemens Aktiengesellschaft Vorrichtung zum koordinierten Steuern eines Betriebszustandes einer Produktionsanlage sowie Produktionssystem und Verfahren
US9997265B2 (en) * 2015-03-27 2018-06-12 Mitsubishi Electric Power Products, Inc. Safety system for a nuclear power plant and method for operating the same
DE112016004638T5 (de) * 2015-10-09 2018-06-21 Fisher-Rosemount Systems, Inc. System und verfahren zum repräsentieren einer ursache-wirkungs-tabelle als satz numerischer repräsentationen
JP6787239B2 (ja) * 2017-04-25 2020-11-18 横河電機株式会社 制御装置、制御方法、及び制御プログラム
US20210096964A1 (en) * 2019-09-26 2021-04-01 Gulfstream Aerospace Corporation Monitoring of triple redundant circular data
US11656594B2 (en) * 2019-10-22 2023-05-23 Fisher-Rosemount Systems, Inc. Technologies for configuring voting blocks associated with a process control system
EP3828648B1 (de) * 2019-11-28 2023-02-15 ABB Schweiz AG Schätzung der motordrehzahl für sicherheitssystem
CN111737830A (zh) * 2020-05-14 2020-10-02 广州明珞汽车装备有限公司 多轴气缸的逻辑块生成方法、系统、装置和存储介质
CN112395236A (zh) * 2020-11-13 2021-02-23 中车株洲电力机车有限公司 一种分布式车载安全计算机系统
CN112526979B (zh) * 2020-12-16 2023-06-09 中国兵器装备集团自动化研究所 一种多重冗余架构的串行通信接口诊断系统及方法
CN114388164B (zh) * 2021-12-27 2023-05-02 华能山东石岛湾核电有限公司 一种堆机联锁系统、方法、电子设备及存储介质

Family Cites Families (35)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4427620A (en) 1981-02-04 1984-01-24 Westinghouse Electric Corp. Nuclear reactor power supply
JPS57189213A (en) * 1981-05-18 1982-11-20 Hitachi Ltd Monitoring method of process state
US4448033A (en) 1982-03-29 1984-05-15 Carrier Corporation Thermostat self-test apparatus and method
US4804515A (en) * 1984-10-31 1989-02-14 Westinghouse Electric Corp. Distributed microprocessor based sensor signal processing system for a complex process
US4752869A (en) 1985-05-09 1988-06-21 Westinghouse Electric Corp. Auxiliary reactor protection system
JP2912425B2 (ja) * 1990-06-15 1999-06-28 株式会社日立製作所 原子炉安全保護装置
GB9119575D0 (en) 1991-09-13 1991-10-23 Atomic Energy Authority Uk Monitoring system
JPH062881U (ja) * 1992-06-11 1994-01-14 三菱電機株式会社 プラント監視装置
JP2903877B2 (ja) * 1992-07-07 1999-06-14 株式会社日立製作所 原子炉安全保護装置
FR2704329B1 (fr) * 1993-04-21 1995-07-13 Csee Transport Système de sécurité à microprocesseur, applicable notamment au domaine des transports ferroviaires.
US5768119A (en) 1996-04-12 1998-06-16 Fisher-Rosemount Systems, Inc. Process control system including alarm priority adjustment
US5970430A (en) 1996-10-04 1999-10-19 Fisher Controls International, Inc. Local device and process diagnostics in a process control network having distributed control functions
US6049578A (en) 1997-06-06 2000-04-11 Abb Combustion Engineering Nuclear Power, Inc. Digital plant protection system
US6292523B1 (en) 1997-06-06 2001-09-18 Westinghouse Electric Company Llc Digital engineered safety features actuation system
US6014612A (en) 1997-10-02 2000-01-11 Fisher Controls International, Inc. Remote diagnostics in a process control network having distributed control functions
EP1055077B1 (de) 1998-01-20 2007-06-06 Invensys Systems, Inc. Elektromagnet- vorrichtung mit zwei von drei elektromagneten die immer betätigt sind
EP1141813A4 (de) 1998-12-23 2007-10-24 Triconex Corp Entwicklungs- und testsystem für die wartung eines programms mit ursache-wirkung-diagramm
US6806847B2 (en) * 1999-02-12 2004-10-19 Fisher-Rosemount Systems Inc. Portable computer in a process control environment
US6774786B1 (en) 2000-11-07 2004-08-10 Fisher-Rosemount Systems, Inc. Integrated alarm display in a process control network
US6186167B1 (en) 1999-03-04 2001-02-13 Fisher Controls International Inc. Emergency shutdown test system
US6510351B1 (en) * 1999-03-15 2003-01-21 Fisher-Rosemount Systems, Inc. Modifier function blocks in a process control system
JP2000305601A (ja) * 1999-04-22 2000-11-02 Mitsubishi Electric Corp プラント制御装置
JP3758427B2 (ja) * 1999-07-23 2006-03-22 富士電機システムズ株式会社 プロセス制御システム
US6850973B1 (en) * 1999-09-29 2005-02-01 Fisher-Rosemount Systems, Inc. Downloadable code in a distributed process control system
DE59914913D1 (de) 1999-10-07 2009-01-08 Endress Hauser Gmbh Co Verfahren und eine Vorrichtung zur Funktionsüberprüfung eines Grenzschalters
US6721609B1 (en) * 2000-06-14 2004-04-13 Fisher-Rosemount Systems, Inc. Integrated optimal model predictive control in a process control system
KR100399759B1 (ko) * 2000-11-01 2003-09-29 한국과학기술원 원자력 발전소의 디지털 온라인 능동 시험 발전소 보호시스템 및 그 방법
US7113085B2 (en) * 2000-11-07 2006-09-26 Fisher-Rosemount Systems, Inc. Enhanced device alarms in a process control system
JP4154853B2 (ja) * 2000-11-13 2008-09-24 富士電機機器制御株式会社 制御データを等値化する冗長化プログラマブルコントローラ及び等値化方法。
US6722383B2 (en) 2001-01-09 2004-04-20 Angela Summers Variable function voting solenoid-operated valve apparatus and testing method therefor
US6862547B2 (en) 2001-04-05 2005-03-01 Saudi Arabian Oil Company Control device test system with a remote switch activation
US6701258B2 (en) 2002-05-13 2004-03-02 Entek Ird International Corporation Modular monitoring and protection system with distributed voting logic
US6898468B2 (en) 2003-03-28 2005-05-24 Fisher-Rosemount Systems, Inc. Function block implementation of a cause and effect matrix for use in a process safety system
US6898542B2 (en) 2003-04-01 2005-05-24 Fisher-Rosemount Systems, Inc. On-line device testing block integrated into a process control/safety system
DE102004015616B4 (de) 2003-04-01 2022-03-17 Fisher-Rosemount Systems, Inc. Sicherheitssystemsteuerung zur Verwendung in einer Prozessumgebung, Prozesssteuerungssystem sowie entsprechendes Steuerungsverfahren

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1855172A1 (de) * 2006-05-12 2007-11-14 Siemens Aktiengesellschaft Verfahren zur Alarmunterdrückung in einer Prozessanlage
US7620464B2 (en) 2006-05-12 2009-11-17 Siemens Aktiengesellschaft Method for operating a process plant, process plant and computer program product
DE102009013303A1 (de) * 2009-03-16 2010-09-30 Siemens Aktiengesellschaft Verwendung eines IO-Links
DE102014110018A1 (de) * 2014-07-16 2016-01-21 Phoenix Contact Gmbh & Co. Kg Sicheres elektronisches Gerät
US10691079B2 (en) 2014-07-16 2020-06-23 Phoenix Contact Gmbh & Co.Kg Secure electronic device

Also Published As

Publication number Publication date
US20040255013A1 (en) 2004-12-16
CN100445907C (zh) 2008-12-24
GB2400688A (en) 2004-10-20
JP4557588B2 (ja) 2010-10-06
CN1536457A (zh) 2004-10-13
JP2004310779A (ja) 2004-11-04
HK1068967A1 (en) 2005-05-06
DE102004016929B4 (de) 2022-06-09
GB0407892D0 (en) 2004-05-12
GB2400688B (en) 2007-02-21
US7130703B2 (en) 2006-10-31

Similar Documents

Publication Publication Date Title
DE102004016929B4 (de) Steuerverfahren und System zur Bestimmung des Vorliegens einer Abschaltbedingung innerhalb einer Prozessanlage
DE102004015617B4 (de) Online-Geräteprüfblock, der in ein Prozeßsteuerungs-/Sicherheitssystem integriert ist
DE102004014747B4 (de) Funktionsblock-Implementierung einer Ursache- und Wirkung-Matrix zum Gebrauch in einem Prozesssicherheitssystem
EP2353052B1 (de) Sicherheitssteuerung und verfahren zum steuern einer automatisierten anlage
EP0742499B1 (de) Sicheres Verarbeiten von sicherheitsgerichteten Prozesssignalen
DE102007046574B4 (de) Sicherheitsrelais mit unabhängig testbaren Kontakten
EP2356526B1 (de) Sicherheitssteuerung und verfahren zum steuern einer automatisierten anlage
EP2202592B1 (de) Sicherheitsvorrichtung zum mehrkanaligen Steuern einer sicherheitstechnischen Einrichtung
EP1950639B1 (de) Verfahren zum Betreiben einer Prozessanlage, Prozessanlage und Computerprogrammprodukt
EP3098673B1 (de) Verfahren und vorrichtung zur automatischen validierung von sicherheitsfunktionen an einem modular aufgebauten sicherheitssystem
EP2422244A1 (de) Sicherheitssteuerung und verfahren zum steuern einer automatisierten anlage
DE102004015616B4 (de) Sicherheitssystemsteuerung zur Verwendung in einer Prozessumgebung, Prozesssteuerungssystem sowie entsprechendes Steuerungsverfahren
DE102006024378A1 (de) Elektronische Steuereinrichtung eines elektrischen Antriebssystems, elektronische Antriebseinheit eines elektrischen Antriebssystems und elektrisches Antriebssystem
EP3470939B1 (de) Verfahren und system zum überwachen der sicherheitsintegrität einer durch ein sicherheitssystem bereitgestellten sicherheitsfunktion
EP3470937B1 (de) Verfahren und vorrichtungen zum überwachen der reaktionszeit einer durch ein sicherheitssystem bereitgestellten sicherheitsfunktion
DE102020127820A1 (de) Technologien zum konfigurieren von abstimmungsblöcken, die einem prozesssteuerungssystem zugeordnet sind
EP2767877B1 (de) Steuerungs- und Datenübertragungssystem zum Übertragen von sicherheitsbezogenen Daten über einen Feldbus
DE102007009141A1 (de) Sicherheitsvorrichtung und Sicherheitsverfahren mit mehreren Verarbeitungsstufen
DE102013101516A1 (de) Verfahren und Vorrichtung, um multiple Auslösegrenzwerte auf ein Gerät in einem Prozesssteuersystem anzuwenden
DE102019109353B3 (de) Dynamische Anomalieerkennung und -behandlung
EP2950176A1 (de) Verfahren und Automatisierungskomponente zur Generierung einer Ereignismeldung
EP3026514B1 (de) Automatisierungsanlage und verfahren zur externen steuerung eines selbsttestalgorithmus in einer dezentralen sicherheitseinrichtung
EP3940467A1 (de) Steuerungssystem zur steuerung einer vorrichtung oder anlage
DE10233879A1 (de) Verfahren zum Steuern und Überwachen einer sicherheitskritischen Anlage, insbesondere Verkehrs-Signalanlage sowie Vorrichtung zur Durchführung des Verfahrens

Legal Events

Date Code Title Description
8110 Request for examination paragraph 44
R016 Response to examination communication
R016 Response to examination communication
R016 Response to examination communication
R018 Grant decision by examination section/examining division
R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: G05B0009020000

Ipc: G05B0009030000

R020 Patent grant now final
R071 Expiry of right