-
TECHNISCHER EINSATZBEREICH
-
Diese vorliegende Offenlegung bezieht sich allgemein auf Sicherheitsrelais zur Verwendung in Prozesssteuerungssystemen und spezifischer auf ein Sicherheitsrelais mit unabhängig testbaren Kontakten.
-
HINTERGRUND DER ERFINDUNG
-
Prozesssteuerungssysteme der Art, wie sie in Prozessen in der Chemie-, Petroleum- oder anderen Industrien eingesetzt werden, weisen typischerweise eine oder mehrere zentrale Prozesssteuerungen auf, die über analoge, digitale oder kombinierte analoge/digitale Busse mit mindestens einer Host- oder Bedienerstation und einem oder mehreren Feldgeräten oder Relais kommunikativ verbunden sind. Die Feldgeräte, bei denen es sich beispielsweise um Ventile, Ventilsteller, Schalter und Geber (beispielsweise Temperatur-, Druck- und Strömungsgeschwindigkeitssensoren) handeln kann, erfüllen innerhalb des Prozesses bestimmte Funktionen wie beispielsweise Öffnen oder Schließen von Ventilen und Messung von Prozessparametern. Die Relais, die Solid-State-Relais, mechanische Relais, Schutzrelais, Uberstromrelais, Sicherheitsrelais etc. sein können, führen innerhalb des Prozesses Funktionen aus, um ein Signal zu replizieren, mechanische Stellglieder, Ventile und/oder Schalter zu öffnen und/oder zu schließen, um selektiv Energie und/oder andere Signale an Feldgeräte etc. zu übertragen. Die Prozesssteuerungen empfangen Signale, die von den Feldgeräten durchgeführte Prozessmessungen und/oder andere Informationen im Zusammenhang mit den Feldgeräten und Relais repräsentieren, verwenden diese Information zur Durchführung einer oder mehrerer Steuerungsroutinen und erzeugen im Anschluss daran Steuersignale, die über die Busse oder andere Kommunikationsleitungen zu den Feldgeräten und/oder Relais übertragen werden, um den Ablauf des Prozesses zu steuern. Die von den Feldgeräten, Relais und den Steuerungen kommenden Informationen können einer oder mehreren Anwendungen zur Verfügung gestellt werden, die von der Bedienerstation ausgeführt werden, damit ein Bediener gewünschte Funktionen in Bezug auf den Prozess durchführen kann. Hierbei kann es sich beispielsweise um die Betrachtung des aktuellen Status des Prozesses, eine Änderung des Prozessablaufs, das Testen des Betriebs des Prozesses etc. handeln.
-
Einige Prozesssteuerungssysteme oder Teile davon können erhebliche Sicherheitsrisiken darstellen. Beispielsweise können chemische Verarbeitungsanlagen, Kraftwerke etc. kritische Prozesse implementieren, die, wenn sie nicht ordnungsgemäß kontrolliert und/oder rasch mittels einer zuvor festgelegten Abschaltsequenz abgeschaltet werden, zu erheblichen Personenschäden, Umweltschäden und/oder Schäden an Ausrüstungen führen könnten. Um den Sicherheitsrisiken zu begegnen, die mit derartige kritische Prozesse aufweisenden Prozesssteuerungssystemen verbunden sind, bieten viele Anbieter von Prozesssteuerungssystemen Produkte an, die sicherheitsbezogenen Standards entsprechen wie beispielsweise dem International Electrotechnical Commission (IEC) Standard 61508 und dem Standard IEC 61511.
-
Allgemein werden Prozesssteuerungssysteme, die einem oder mehreren bekannten sicherheitsbezogenen Standards entsprechen, mittels einer Sicherheits-Mess-, Steuerungs- und Regelungssystemarchitektur implementiert, in der die Steuerungen, Relais und Feldgeräte, die dem grundlegenden Prozesssteuerungssystem zugeordnet sind, das für die kontinuierliche Steuerung des Gesamtprozesses verantwortlich ist, physisch und logisch getrennt von den speziellen Zwecken dienenden Feldgeräten und anderen speziellen Zwecken dienenden Steuerungselementen getrennt sind, die dem Sicherheits-Mess-, Steuerungs- und Regelungssystem zugeordnet sind, das für die Ausführung von Sicherheits-Mess-, Steuerungs- und Regelungsfunktionen zuständig ist, um die sichere Abschaltung des Prozesses als Reaktion auf Steuerungsbedingungen zu gewährleisten, die ein signifikantes Sicherheitsrisiko darstellen. Insbesondere erfordert die Einhaltung zahlreicher bekannter sicherheitsbezogener Standards, dass ein grundlegendes Prozesssteuerungssystem durch speziellen Zwecken dienende Steuerungselemente wie beispielsweise Logik-Solver, sicherheitszertifizierte Feldgeräte (beispielsweise Sensoren, Sicherheitsrelais, Stellglieder wie beispielsweise pneumatisch betätigte Ventile) und sicherheitszertifizierte Software oder Code (beispielsweise zertifizierte Anwendungen, Funktionsmodule, Funktionsblöcke etc.) ergänzt werden.
-
Wie zuvor diskutiert, können Sicherheits-Mess-, Steuerungs- und Regelungssysteme Sicherheitsrelais aufweisen, was einen relativ hohen Grad an Diagnosereichweite und Fehlertoleranz erfordern kann. Beispielsweise bedeutet eine Hardwaregeräte-Fehlertoleranz von zwei, dass zwei Komponenten des Geräts ausfallen könnten und die Funktion immer noch von dem Gerät ausgeführt würde. Aus diesen Forderungen wurden Sicherheitsrelais entwickelt, die multiple Schaltelemente zur Verfügung stellen, um einen elektrischen Pfad beispielsweise zwischen einer Stromquelle oder einer anderen Signalquelle und einem Feldgerät zu unterbrechen. Allgemein verwenden diese Sicherheitsrelais multiple zwangsgeführte Relais, die mechanisch verbundene Kontakte aufweisen. Demzufolge bewegen sich die Relaiskontakte gemeinsam, wenn eine oder mehrere Relaisspulen erregt oder entregt werden. Derartige zwangsgeführte Relais sind jedoch teuer zu warten und zu betreiben, da derartige Relais physisch vom Prozess entfernt werden müssen, um den Betrieb der Relais zu testen. Gleichermaßen muss, wenn ein Fehler am Relais wie beispielsweise ein oder mehrere nicht betriebsfähige Kontakte (beispielsweise ein oder mehrere verschweißte Kontakte) vorliegt, der Prozess abgeschaltet werden, um das fehlerhafte Relais zu ersetzen.
-
ZUSAMMENFASSUNG
-
Nach einem Aspekt weist ein Prozesssteuerungssystem, das eine Mehrzahl von Feldgeräten steuern kann, ein beispielhaftes Relaismodul auf, das als Sicherheitsrelais mit unabhängig testbaren Relaiskontakten konfiguriert ist. Spezifischer ist ein beispielhaftes Sicherheitsrelais mit einer Mehrzahl den Relaisspulen zugeordneter, parallel geschalteter Relaisspulen und einer Mehrzahl in Reihe geschalteter Relaiskontakte konfiguriert, wobei der Betrieb eines jeden der Relaiskontakte als Antwort auf ein an die Relaisspulen angelegtes Signal testbar ist.
-
Nach einem weiteren Aspekt weist ein beispielhaftes Sicherheitsrelais eine Mehrzahl von Relaisspulen, eine Mehrzahl von Schaltern und eine Mehrzahl von Relaiskontakten auf. Spezifischer sind die Relaiskontakte in Reihe geschaltet und die Relaisspulen sind parallel geschaltet, sodass jeder Relaiskontakt von jeweils einem der Schalter unabhängig gesteuert werden kann.
-
Nach noch einem weiteren Aspekt wird ein beispielhaftes Verfahren zum Testen eines Sicherheitsrelais wie beispielsweise einem Sicherheitsrelais mit unabhängig testbaren Kontakten beschrieben. Das beispielhafte Verfahren stellt einen Prozess zur Verfügung, um einen Schalter an den beispielhaften Sicherheitsrelais zu öffnen, um jeweils einen einer Mehrzahl von Relaiskontakten unabhängig zu testen und um ein der Mehrzahl von Relaiskontakten zugeordnetes elektrisches Potenzial zu testen. Das elektrische Potenzial identifiziert die Betriebsfähigkeit oder Betriebsunfähigkeit des von dem Schalter gesteuerten Relaiskontakt, um beispielsweise festzustellen, ob der Relaiskontakt verschweißt ist.
-
Figurenliste
-
- 1 ist ein Blockdiagramm eines beispielhaften Prozesssteuerungssystems, das die hierin beschriebenen beispielhaften Sicherheitsrelais verwenden kann.
- 2 ist ein detailliertes Blockdiagramm eines Teils des Sicherheits-Mess-, Steuerungs- und Regelungssystemteils des beispielhaften Prozesssteuerungssystems in 1.
- 3 ist eine Schemadarstellung einer bekannten Sicherheitsrelaiskonfiguration.
- 4 ist eine Schemadarstellung eines beispielhaften Sicherheitsrelais mit unabhängig testbaren Relaiskontakten.
- 5 ist eine Schemadarstellung des beispielhaften Sicherheitsrelais in 4 in einem Teststatus, in dem ein betriebsfähiger Relaiskontakt geöffnet ist.
- 6 ist eine Schemadarstellung des beispielhaften Sicherheitsrelais in 4 in einem Teststatus, in dem ein nicht betriebsfähiger Relaiskontakt nicht öffnet.
- 7 ist eine Schemadarstellung eines zweiten beispielhaften Sicherheitsrelais mit unabhängig testbaren Kontakten.
- 8 ist eine Schemadarstellung eines dritten beispielhaften Sicherheitsrelais mit unabhängig testbaren Kontakten.
- 9 ist eine Schemadarstellung eines vierten beispielhaften Sicherheitsrelais mit unabhängig testbaren Kontakten.
- 10 ist ein ein beispielhaftes Verfahren zum Testen eines beispielhaften Sicherheitsrelais zeigendes Flussdiagramm.
- 11 ist ein ein beispielhaftes Verfahren zeigendes Flussdiagramm, das verwendet werden kann, um den in 10 dargestellten Sicherheitsrelaistestprozess zu implementieren.
- 12 ist eine Schemadarstellung eines beispielhaften Verarbeitungssystem, das zur Implementierung der hierin beschriebenen Verfahren und Vorrichtungen verwendet werden kann.
-
DETAILLIERTE BESCHREIBUNG
-
Allgemein beziehen sich die hierin beschriebenen Vorrichtungen und Verfahren auf Sicherheitsrelais, die beispielsweise innerhalb eines Prozesssteuerungssystems und insbesondere eines Sicherheits-Mess-, Steuerungs- und Regelungs-Prozesssteuerungssystems verwendet werden können, um ein redundantes, testbares und fehlertolerantes System zur Verfügung zu stellen. Spezifischer wird in einer beispielhaften Implementierung ein Sicherheitsrelais mit unabhängig testbaren Kontakten offengelegt. Das beispielhafte Sicherheitsrelais ist mit einer Mehrzahl den Relaisspulen zugeordneter, parallel geschalteter Relaisspulen und einer Mehrzahl in Reihe geschalteter Relaiskontakte konfiguriert, wobei der Betrieb eines jeden der Relaiskontakte als Antwort auf ein an die Relaisspulen angelegtes Signal testbar ist. Im Fall eines oder mehrerer nicht betriebsfähiger Relaiskontakte (beispielsweise verschweißte Kontakte) kann das Signal die jeweiligen fehlerbehafteten Relaiskontakte auf der Grundlage einer gemessenen elektrischen Kenngröße der Relaiskontakte (beispielsweise eines elektrischen Potenzials, eines elektrischen Stroms etc.) identifizieren.
-
In einer weiteren hierin beschriebenen beispielhaften Implementierung ist ein Sicherheitsrelais konfiguriert, das Testen eines Sicherheitsrelais zu ermöglichen, während eines oder mehrere Feldgeräte, die von dem Sicherheitsrelais gesteuert werden können, während des Testens weiterhin von einer Energiequelle betätigt werden können. Spezifischer weist das beispielhafte Sicherheitsrelais einen Bypass-Schalter auf, um einen alternativen elektrischen Pfad zwischen der Energiequelle und den Feldgeräten zur Verfügung zu stellen.
-
In einem anderen Aspekt wird ein beispielhaftes Verfahren zum Testen von Sicherheitsrelais beschrieben. Das beispielhafte Verfahren stellt einen Prozess zur Verfügung, um einen Schalter an den beispielhaften Sicherheitsrelais zu öffnen, um jeweils einen einer Mehrzahl von Relaiskontakten unabhängig zu steuern und um eine elektrische Kenngröße (beispielsweise ein elektrisches Potenzial, einen elektrischen Strom etc.) der Mehrzahl von Relaiskontakten zu messen. Die elektrische Kenngröße identifiziert die Betriebsfähigkeit oder Betriebsunfähigkeit des von dem Schalter gesteuerten Relaiskontaktes, um beispielsweise festzustellen, ob der Relaiskontakt verschweißt ist.
-
Im Gegensatz zu bekannten Sicherheitsrelais versetzen die hierin beschriebenen Sicherheitsrelais mithin einen menschlichen Bediener, eine elektronische Steuerung und/oder jedes programmierbare Gerät, die Betriebsfähigkeit der Sicherheitsrelais zu testen. Somit bieten die hierin beschriebenen beispielhaften Sicherheitsrelais auch im Vergleich zu bekannten Sicherheitsrelais einen hohen Grad an Testbarkeit, um die Sicherheit weiter zu verbessern. Auch können die hierin beschriebenen beispielhaften Sicherheitsrelais Feldgeräte und Prozesssteuerungssysteme in die Lage versetzen, während eines derartigen Testens kontinuierlich zu arbeiten, sodass die betrieblichen Auswirkungen auf die Feldgeräte und Prozesssteuerungssysteme signifikant reduziert werden. Entsprechend braucht das Testen der hierin beschriebenen beispielhaften Sicherheitsrelais keine Außerbetriebsetzung oder eine andere derartige Beendigung des Betriebs von Feldgeräten und/oder Prozesssteuerungssystemen zu erfordern, was signifikante Produktionskosten und Zeit erfordern kann. Beispielsweise kann das Testen der beispielhaften Sicherheitsrelais und mithin der Sicherheit von Feldgeräten und/oder Prozesssteuerungssystemen häufiger erfolgen, da derartiges Testen keine Betriebsunterbrechnungen zu beinhalten braucht.
-
1 ist ein Blockdiagramm eines exemplarischen Prozesssteuerungssystems 10, das die hierin beschriebenen beispielhaften Sicherheitsrelaisvorrichtungen, Verfahren und Produkte verwendet. Wie in 1 dargestellt, weist das Prozesssteuerungssystem 10 einen grundlegenden Prozesssteuerungssystemteil 12 und einen Sicherheits-Mess-, Steuerungs- und Regelungsteil 14 auf. Der grundlegende Prozesssteuerungssystemteil 12 ist für die kontinuierliche Ausführung eines gesteuerten Prozesses verantwortlich, während der Sicherheits-Mess-, Steuerungs- und Regelungsteil 14 für die Durchführung einer Abschaltung des gesteuerten Prozesses als Antwort auf einen oder mehrere unsichere Zustände verantwortlich ist. Wie in 1 dargestellt, weist der grundlegende Prozesssteuerungssystemteil 12 eine Steuerung 120, eine Bedienerstation 122, eine aktive Anwendungsstation 124 und eine Standby-Anwendungsstation 126 auf, von denen jeder/jede kommunikativ über einen Bus oder ein lokales Netzwerk (LAN) 130, das allgemein als Anwendungssteuerungsnetzwerk (ACN) bezeichnet wird, verbunden sein kann. Die Bedienerstation 122 und die Anwendungsstationen 124 und 126 können mittels eines oder mehrerer Bedienrechner oder beliebige andere geeignete Computersysteme oder Verarbeitungseinheiten implementiert werden. Beispielsweise könnten die Anwendungsstationen 124 und 126 mittels Personal Computern ähnlich dem nachstehend in 12 dargestellten beispielhaften Prozessorsystem 1200, Einfach- oder Multi-Prozessor-Bedienrechnern etc. implementiert werden. Zusätzlich kann das LAN 130 mittels jedes gewünschten Kommunikationsprotokolls und -mediums einschließlich festverdrahteter oder drahtloser Kommunikationsverbindungen implementiert werden. So kann das LAN 130 beispielsweise auf einem festverdrahteten oder drahtlosen Ethernet-Kommunikationssystem basieren, das bestens bekannt ist und daher hierin nicht ausführlicherer beschrieben wird. Für den technisch Versierten ist jedoch sofort ersichtlich, dass auch jedes andere geeignete Kommunikationsmedium und -protokoll verwendet werden kann. Darüber hinaus ist zwar nur ein einzelnes LAN dargestellt, jedoch können mehr als ein LAN und geeignete Kommunikationshardware innerhalb der Anwendungsstationen 124 und 126 eingesetzt werden, um redundante Kommunikationspfade zwischen der Bedienerstation 122, den Anwendungsstationen 124 und 126 sowie der Steuerung 120 zu schaffen.
-
Die Steuerung 120 kann über einen digitalen Datenbus 132 und ein Eingabe-/Ausgabe-(E/A-) Gerät 128 mit einer Mehrzahl intelligenter Feldgeräte 140 und 142 verbunden werden. Das E/A-Gerät 128 stellt eine oder mehrere Schnittstellen für die Steuerung 120 und alle anderen mit dem digitalen Datenbus 132 verbundenen Geräte (beispielsweise die intelligenten Feldgeräte 140 und 142, das Relaismodul 150 etc.) bereit, um gemeinsam mit über diese Schnittstellen gesendeten und empfangenen Signalen zu kommunizieren. Beispielsweise kann das E/A-Gerät 128 mittels jedes Typs einer aktuellen oder zukünftigen Standardschnittstelle wie beispielsweise eine externe Speicherschnittstelle, einen seriellen Port, eine Eingabe/Ausgabe für allgemeine Zwecke oder jedes anderen Typs eines aktuellen oder zukünftigen Kommunikationsgeräts wie beispielsweise ein Modem, eine Netzwerkschnittstellenkarte etc. implementiert werden. Der digitale Datenbus 132 kann jedes physische Arrangement sein, das logische Kommunikationsfunktionalität zur Verfügung stellt, wie beispielsweise parallele elektrische Busse mit multiplen Verbindungen, bitserielle Verbindungen, sowohl parallele als auch bitserielle Verbindungen, Switched-Hub-Verbindungen, eine Multidrop-Topologie, eine Daisy-Chain-Topologie etc. Bei den intelligenten Feldgeräten 140 und 142 kann es sich um Feldbus-geeignete Ventile, Stellglieder, Sensoren etc. handeln. In diesem Fall kommunizieren die intelligenten Feldgeräte 140 und 142 mittels des bestens bekannten Feldbus-Protokolls über den digitalen Datenbus 132. Statt dessen könnten selbstverständlich jedoch auch andere Arten von intelligenten Feldgeräten und Kommunikationsprotokollen verwendet werden. So könnte es sich beispielsweise bei den intelligenten Feldgeräten 140 und 142 statt dessen um Profibus- oder HART-geeignete Geräte handeln, die mittels der bestens bekannten Profibus- und HART-Kommunikationsprotokolle über den Datenbus 132 kommunizieren. Mit der Steuerung 120 können zusätzliche E/A-Geräte (ähnlich dem E/A-Gerät 128 bzw. identisch mit diesem) verbunden werden, um zusätzliche Gruppen von intelligenten Feldgeräten, bei denen es sich um Feldbus-Geräte, HART-Geräte etc. handeln kann, in die Lage zu versetzen, mit der Steuerung 120 zu kommunizieren.
-
Zusätzlich zu den intelligenten Feldgeräten 140 und 142 kann die Steuerung 120 über den digitalen Datenbus 132 mit einem Relaismodul 150 verbunden werden. Das Relaismodul 150 kann auf von der Steuerung 120 über den Datenbus 132 gesendete Signale antworten. Beispielsweise kann das Relaismodul 150 auf ein Signal von der Steuerung 120 antworten und anschließend einen oder mehrere Schalter am Relaismodul 150 öffnen und/oder schließen. In der hierin enthaltenen Diskussion kann ein Relaismodul ein oder mehrere Relais aufweisen, die einen oder mehrere elektrische Schalter veranlassen, als Antwort auf ein elektrisches Signal nicht notwendigerweise gleichzeitig zu öffnen und/oder zu schließen. Die Komponenten des Relais oder der Relaismodule können eine oder mehrere elektronische Solid-State Komponente(n) und/oder elektromechanische Komponente(n) aufweisen, um diese Funktionalität zur Verfügung zu stellen. Zusätzlich kann die Steuerung 120 den Wert einer elektrischen Kenngröße wie beispielsweise eines elektrischen Potenzials, eines elektrischen Stroms, eines Widerstands etc. der Relaiskontakte auf dem Relaismodul 150 über den digitalen Datenbus 132 erhalten.
-
Das Relaismodul 150 kann mit einem unintelligenten Feldgerät 144 über eine festverdrahtete Verbindung 134 verbunden sein, das auf ein Signal antworten kann, das von dem Relaismodul 150 als Antwort auf ein Signal übertragen wird, das an dem Relaismodul 150 von der Steuerung 120 empfangen wurde. Das unintelligente Feldgerät 144 kann beispielsweise bei einer hohen Spannung und/oder Stromstärke über einen Wechsel- oder Gleichstrompfad arbeiten. Das Relaismodul 150 kann elektronisch mit dem Feldgerät 144 verbunden sein, um die Leitung von Energie und/oder anderen Signalen an das Feldgerät 144 zu steuern. Im Betrieb kann das Relaismodul 150 daher verwendet werden, das Feldgerät 144 mit Energie zu versorgen, die Energieversorgung von dem Feldgerät 144 zu trennen oder jedes andere Signal an das Feldgerät 144 anzulegen und/oder von diesem zu trennen. Weiterhin kann, obwohl das beispielhafte Relaismodul 150 als mit einem einzelnen unintelligenten Feldgerät (beispielsweise dem unintelligenten Feldgerät 144) verbunden dargestellt ist, das beispielhafte Relaismodul 150 mit einer Mehrzahl von Feldgeräten verbunden werden.
-
Zusätzlich zu Kommunikationen über den digitalen Datenbus 132 kann die Steuerung 120 mit einem beispielhaften Relaismodul 151 und den Feldgeräten 180 und 182 über die festverdrahteten Kreise 170 und 172 verbunden werden. Die festverdrahteten Kreise 170 und 172 können ein digitales oder kombiniert analog/digitales Kommunikationsprotokoll (beispielsweise HART, Fieldbus etc.) oder jedes analoge Kommunikationsprotokoll implementieren. Gleichermaßen können das beispielhafte Relaismodul 151 und die Feldgeräte 180 und 182 als Feldgeräte implementiert werden, die mit konventionellen 4-20-Milliampère- (mA-) oder 0-10-Volt-Gleichstrom- (VGS-) Schaltungen oder als mit Solid-State-Komponenten implementierte Feldgeräte implementiert sind.
-
Bei der Steuerung 120 kann es sich beispielsweise um eine Steuerung DeltaV™ handeln, die von Fisher-Rosemount Systems, Inc., und Emerson Process Management™ vertrieben wird, handeln. Statt dessen könnte jedoch jede andere Steuerung verwendet werden. Während in 1 zwar nur eine einzelne Steuerung dargestellt ist, könnten jedoch zusätzliche Steuerungen jedes gewünschten Typs oder in jeder Kombination von Typen mit dem LAN 130 verbunden werden. Die Steuerung 120 kann eine oder mehrere Prozesssteuerungsroutinen ausführen, die dem Prozesssteuerungssystem 10 zugeordnet sind. Derartige Prozesssteuerungsroutinen können von einem Systemingenieur oder einem anderen menschlichen Bediener mittels der Bedienerstation 122 erzeugt und in die Steuerung 120 heruntergeladen und dort instantisiert werden.
-
Wie in 1 dargestellt, weist der Sicherheits-Mess-, Steuerungs- und Regelungsteil 14 des Prozesssteuerungssystems 10 ein Relaismodul 152, die Feldgeräte 146 und 148 sowie die Logik-Solver 160 und 162 auf. Die Logik-Solver 160 und 162 können beispielsweise mittels des von Fisher-Rosemount Systems, Inc, und Emerson Process Management™ hergestellten und im Handel erhältlichen Logik-Solvers DeltaV SLS 1508 implementiert werden. Alternativ können die Logik-Solver160 und 162 durch jedes logische Gerät wie beispielsweise eine speicherprogrammierbare Steuerung („SPS“) oder einen Prozessor implementiert werden. Allgemein arbeiten die Logik-Solver 160 und 162 als ein redundantes Paar über eine Redundanzverbindung 138 zusammen. Die redundanten Logik-Solver 160 und 162 könnten statt dessen jedoch ein einzelner, nicht redundanter Logik-Solver oder multiple, nicht redundante Logik-Solver sein. Auch sind die beispielhaften Logik-Solver 160 und 162 im allgemeinen sicherheitsgeprüfte elektronische Steuerungen, die konfiguriert sind, eine oder mehrere Sicherheits-Mess-, Steuerungs- und Regelungsfunktionen zu implementieren. Wie bekannt ist, ist eine Sicherheits-Mess-, Steuerungs- und Regelungsfunktion dafür zuständig, eine oder mehrere Prozessbedingungen, die einer spezifischen Gefahr oder einem spezifischen unsicheren Zustand zugeordnet sind, zu überwachen, die Prozessbedingungen auszuwerten, um festzustellen, ob eine Abschaltung des Prozesses erforderlich ist, und um ein oder mehrere Stellglieder (beispielsweise Absperrventile) zu veranlassen, einen Prozess erforderlichenfalls abzuschalten.
-
Eine Sicherheits-Mess-, Steuerungs- und Regelungsfunktion kann mittels eines Erfassungsgeräts, eines Logik-Solvers, eines Relais und/oder eines Stellglieds (beispielsweise eines Ventils) implementiert werden. Der Logik-Solver kann konfiguriert sein, mindestens einen Prozesssteuerungsparameter über den Sensor zu überwachen und bei Erkennen eines gefährlichen Zustands das Stellgliedgerät über das Relais zu betätigen, um eine sichere Abschaltung des Prozesses zu bewirken. Beispielsweise kann ein Logik-Solver (beispielsweise der Logik-Solver 160) kommunikativ mit einem Druckgeber (beispielsweise dem Feldgerät 146) verbunden werden, das den Druck in einem Gefäß oder Tank erfasst, und er kann konfiguriert werden, einem Relaismodul (beispielsweise dem Relaismodul 152) zu signalisieren, ein Ablassventil (beispielsweise das Feldgerät 148) zu öffnen, wenn über den Druckgeber ein unsicherer Uberdruckzustand erkannt wird. Selbstverständlich kann jeder Logik-Solver innerhalb eines Sicherheits-Mess-, Steuerungs- und Regelungssystems dafür verantwortlich sein, eine oder multiple Sicherheits-Mess-, Steuerungs- und Regelungsfunktionen auszuführen, und kann daher kommunikativ mit multiplen Sensoren, Relaismodulen und/oder Stellgliedern verbunden sein, die sämtlich typischerweise sicherheitsgeprüft oder zertifiziert sind.
-
Wie in 1 dargestellt, sind die Feldgeräte 146 und 148, das Relaismodul 152 sowie die Logik-Solver 160 und 162 über die Verbindungen 164, 166 und 168 verbunden. Im Falle dass das Relaismodul 152 und die Feldgeräte 146 und 148 intelligente Geräte sind, können die Logik-Solver 160 und 162 mittels eines festverdrahteten digitalen Kommunikationsprotokolls (beispielsweise HART, Fieldbus etc.) kommunizieren. Statt dessen können jedoch alle anderen gewünschten Kommunikationsmedien (beispielsweise festverdrahtet, drahtlos etc.) und -protokoll(e) verwendet werden. Wie in 1 dargestellt, sind die Logik-Solver 160 und 162 kommunikativ mit der Steuerung 120 über den digitalen Datenbus 132 und das E/A-Gerät 128 verbunden. Die Logik-Solver 160 und 162 könnten alternativ kommunikativ mit dem System 10 auf jede gewünschte Weise wie beispielsweise über ein Standalone-Sicherheitssystem, das unabhängig von der Steuerung 120 arbeitet, verbunden sein. Beispielsweise könnten die Logik-Solver 160 und 162 direkt mit dem LAN 130 verbunden werden. Ungeachtet der Art und Weise, auf die die Logik-Solver 160 und 162 mit dem System 10 verbunden sind, sind die Logik-Solver 160 und 162 vorzugsweise, jedoch nicht notwendigerweise, in Bezug auf die Steuerung 120 logisch gleichberechtigt.
-
Das Relaismodul 152 kann ein sicherheitszertifiziertes oder -geprüftes Relaismodul sein, das verwendet werden kann, um eine kontrollierte Abschaltung des Prozesssteuerungssystems 10 zu bewirken. Während der beispielhafte Sicherheits-Mess-, Steuerungs- und Regelungsteil 14 des Prozesssteuerungssystems 10 mit einem einzelnen Relais (beispielsweise dem Relaismodul 152) dargestellt ist, kann das Prozesssteuerungssystem 10 mit einer Mehrzahl von Relais oder Relaismodulen implementiert werden. Zusätzlich kann das Relaismodul 152, während das Relaismodul 152 als mit einem einzelnen Feldgerät (beispielsweise dem Feldgerät 148) verbunden dargestellt ist, statt dessen mit einer Mehrzahl von Feldgeräten verbunden sein. Da das Relaismodul 152 ein sicherheitszertifiziertes oder -geprüftes Relais sein kann, können die Logik-Solver 160 und 162 und die Steuerung 120 redundant mit dem Relaismodul 152 über die Verbindungen 164 - 168 kommunizieren. Die Kommunikationen zwischen den Logik-Solvern 160 und 162, der Steuerung 120 und dem Relaismodul 152 können implementiert werden, um die Fehlertoleranz des Relaismoduls 152 zu testen, um die Fehlertoleranz des Prozesssteuerungssystems 10 zu gewährleisten. Wie nachstehend detaillierter beschrieben wird, kann die Steuerung 120 beispielsweise das Relaismodul 152 testen, indem sie Signale zum Offnen und Schließen von Schaltern innerhalb des Relaismoduls 152 und/oder zum Messen einer einem Satz von Relaiskontakten des Relaismoduls 152 zugeordneten elektrischen Kenngröße sendet.
-
Die Feldgeräte 146 und 148 können intelligente oder unintelligente Sensoren, Stellglieder und/oder alle anderen Prozesssteuerungsgeräte sein, die verwendet werden können, um Prozessbedingungen zu überwachen und/oder eine kontrollierte Abschaltung des Prozesssteuerungssystems 10 zu bewirken. Beispielsweise können die Feldgeräte 146 und 148 sicherheitszertifizierte oder -geprüfte Durchflusssensoren, Temperaturfühler, Druckgeber, Absperrventile, Entlüftungsventile, Trennventile, kritische Ein-/Aus-Ventile, Kontakte etc. sein. Während lediglich zwei Logik-Solver, zwei Feldgeräte und ein Sicherheitsrelais in dem Sicherheits-Mess-, Steuerungs- und Regelungsteil 14 des beispielhaften Prozesssteuerungssystems 10 in 1 dargestellt sind, können zusätzliche Feldgeräte, Relais und/oder Logik-Solver verwendet werden, um jede gewünschte Zahl von Sicherheits-Mess-, Steuerungs- und Regelungsfunktionen zu implementieren.
-
2 ist ein detailliertes Blockdiagramm eines Teils 200 des Sicherheits-Mess-, Steuerungs- und Regelungsteils 14 des beispielhaften Prozesssteuerungssystems 10 in 1. Das beispielhafte System 200 weist einen Logik-Solver 202, der dem Logik-Solver 160 oder 162 in 1 entsprechen kann, ein Relaismodul 204, das dem beispielhaften Relaismodul 152 in 1 entsprechen kann, ein Feldstellglied 208, das dem beispielhaften Feldgerät 148 in 1 entsprechen kann, sowie eine Feldstromquelle 206, die das Feldstellglied 208 mit Strom versorgen kann, auf. Die Feldstromquelle 206 kann eine Wechselstrom- oder Gleichstromquelle sein. Der Logik-Solver 202 kann mit dem Relaismodul 204 durch einen oder mehrere festverdrahtete Verbinder 210 verbunden sein, der/die beispielsweise einen Gleichstromkreis zwischen dem Logik-Solver 202 und dem Relaismodul 204 herstellt/herstellen. Auch kann das Relaismodul 204 mit der Feldstromquelle 206 durch einen oder mehrere festverdrahtete Verbinder 212 und mit dem Feldstellglied 208 durch einen oder mehrere festverdrahtete Verbinder 214 verbunden sein. Die festverdrahteten Verbinder 212 und 214 können beispielsweise einen oder mehrere Gleichstrom- und/oder Wechselstromkreise zwischen der Stromquelle 206 und dem Feldstellglied 208 erzeugen. Weiterhin können die Verbinder 210, 212 und 214 als Drähte, Mehrleiterverkabelung oder alle anderen Medien implementiert werden, die für den Transport elektrischer Signale und/oder Energie geeignet sind.
-
Beispielsweise kann das Relaismodul 204 konfiguriert werden, die Feldstromquelle 206 mit dem Feldstellglied 208 zu verbinden und die Feldstromquelle vom Feldstellglied 208 zu trennen, um den Betrieb des Feldstellglieds 208 zu steuern. Wenn beispielsweise der Logik-Solver 202 über die festverdrahtete Verbindung(en) 210 signalisiert, kann das Relaismodul 204 die festverdrahteten Verbinder 212 und 214 trennen (beispielsweise um das Feldstellglied 208 zu schließen) oder verbinden (beispielsweise um das Feldstellglied 208 zu öffnen), um Strom aus der Stromquelle 206 zu dem Feldstellglied 208 zu leiten oder die Stromversorgung des Feldstellglieds 208 zu beenden. Der Logik-Solver 202 und das Relaismodul 204 sind üblicherweise nach dem Ruhestromprinzip konfiguriert (d.h. das Potenzial zu verringern oder ein Potenzial von im Wesentlichen Null an dem/den festverdrahteten Verbinder(n) 210 anzulegen, um den Status der Relaismodulkontakte zu ändern, um die Energie vom Feldstellglied 208 zu entfernen), jedoch kann er nach dem Arbeitsstromprinzip konfiguriert sein (d.h. das Potenzial zu erhöhen oder ein Potenzial von im Wesentlichen nicht Null an dem/den festverdrahteten Verbinder(n) 210 anzulegen, um den Status der Relaismodulkontakte zu ändern).
-
3 ist eine Schemadarstellung eines bekannten Sicherheitsrelais 300, das verwendet werden kann, um das beispielhafte Relaismodul 204 in 2 zu implementieren. Das beispielhafte Sicherheitsrelais 300 weist ein erstes Relais 310, ein zweites Relais 312 und ein drittes Relais 314 auf, die parallel zwischen einem ersten Knoten 302 und einem zweiten Knoten 304 konfiguriert sind. Die Relais 310, 312 und 314 weisen die jeweiligen Relaisspulen 320, 322 und 324 auf, die elektromagnetisch mit den jeweiligen Relaiskontakten 330, 332 und 334 gekoppelt sind. Die Relaiskontakte 330 - 334 sind in Reihe zwischen einem dritten Knoten 306 und einem vierten Knoten 308 geschaltet. In dieser Konfiguration bietet das beispielhafte Sicherheitsrelais 300 eine gewisse Fehlertoleranz, da ein elektrisches Potenzial zwischen dem ersten Knoten 302 und dem zweiten Knoten 304 die drei parallelen Relaisspulen 320 und 324 erregt, von denen jede beliebige den elektrischen Pfad zwischen dem dritten Knoten 306 und dem vierten Knoten 308 öffnen kann. Wenn beispielsweise der Relaiskontakt 330 nicht betriebsfähig ist (beispielsweise verschweißt, sodass die Relaiskontakte zu einem geschlossenen Zustand verschmolzen sind) kann einer oder beide der verbleibenden Relaiskontakte 332 und 334 nach wie vor betriebsfähig sein, um den elektrischen Pfad zwischen dem dritten Knoten 306 und dem vierten Knoten 308 zu öffnen.
-
Der Betrieb eines jeden der Relaiskontakte 330 - 334 ist jedoch nicht unabhängig testbar, da die Relais 310 - 314 direkt parallel zwischen dem ersten Knoten 302 und dem zweiten Knoten 304 verbunden sind. Spezifischer sprechen sämtliche der Relaiskontakte 330 - 334 auf dasselbe Signal an, das zur selben Zeit an sämtliche der Relaisspulen 320 - 324 angelegt wird. Wenn daher der erste Relaiskontakt 330 nicht betriebsfähig wird (beispielsweise verschweißt wird, verschmilzt, schmilzt etc.) und das zweite und dritte Relais 322 und 324 betriebsfähig bleiben, wird der elektrische Pfad zwischen dem ersten und zweiten Knoten 306 und 308 trotz des verschweißten Relaiskontakts 330 nach wie vor öffnen. Das beispielhafte Sicherheitsrelais 330 ist daher nicht vollständig testbar, da das Testen nicht unmittelbar eine Reduzierung der Hardware-Fehlertoleranz wie beispielsweise einen oder zwei nicht betriebsfähige Relaiskontakte feststellen kann.
-
4 ist ein beispielhaftes Sicherheitsrelais 400 mit unabhängig testbaren Relaiskontakten, das verwendet werden kann, um das Relaismodul 204 in 2 zu implementieren. Das beispielhafte Sicherheitsrelais 400 weist die Schalter 402, 404 und 406 auf, die zwischen einem ersten Knoten 440 und einem zweiten Knoten 442 parallel geschaltet sind. Der erste und der zweite Knoten 440 und 442 können jeweils mit einer Steuerung oder einem Logik-Solver verbunden werden (beispielsweise über den/die festverdrahteten Verbinder 210 in 2). Auch weist das beispielhafte Sicherheitsrelais 440 die Relais 410, 412 und 414 auf, die jeweils mit den entsprechenden einen der Schalter 402 und 404 in Reihe geschaltet sind. Jedes der Relais 410 - 414 weist eine der Relaisspulen 420, 422 und 424 auf, die operativ oder elektromagnetisch mit einem Relaiskontakt der drei Relaiskontakte 430, 432 und 434 gekoppelt sind. Die Relaiskontakte 430, 432 und 434 sind in Reihe zwischen einem dritten Knoten 444 und einem vierten Knoten 446 verbunden. Der dritte und vierte Knoten 444 und 446 können jeweils mit den festverdrahteten Verbindern 212 und 214 in 2 koppeln.
-
Der Begriff „Knoten“ bezeichnet hierin einen elektrischen Punkt innerhalb eines Stromkreises und kann beispielsweise einer elektrischen Verbindung oder einem Verbinder, einem elektrischen Abschlusspunkt, einem Punkt, an dem eine elektrische Messung durchgeführt werden kann, etc. entsprechen. Zusätzlich könnten, während die beispielhaften Sicherheitsrelais, die in Verbindung mit 4 oben und 5 und 6 unten beschrieben sind, die Verwendung von drei Relais und Kontakten zeigen, statt dessen Sicherheitsrelais mit zwei Relais oder mehr als drei Relais verwendet werden, um ähnliche Ergebnisse zu erzielen.
-
Das beispielhafte Sicherheitsrelais 400 ist dergestalt fehlertolerant, dass, wenn ein elektrisches Potenzial von dem ersten und zweiten Knoten 440 und 442 genommen und die Schalter 402 - 406 geschlossen sind, jede beliebige der drei erregten Relaisspulen 420 - 424 jeweils einen der Relaiskontakte 430 - 434 öffnen kann, um den elektrischen Pfad zwischen dem dritten und vierten Knoten 444 und 446 zu öffnen. Auch ist das beispielhafte Sicherheitsrelais 400 vollständig testbar, da während eines Feldtests, wie nachstehend beschrieben, die Schalter 402 - 406 verwendet werden können, um die Relaiskontakte 430 - 434 unabhängig zu bedienen oder zu steuern, um beispielsweise festzustellen, ob einer der drei Relaiskontakte 430 - 434 nicht betriebsfähig ist (beispielsweise verschweißte Kontakte). Die beispielhaften Schalter 402 - 406 können implementiert werden, um manuell von einem menschlichen Bediener oder, wie nachstehend beschrieben, von einer speicherprogrammierbaren Steuerung („SPS“), einem Personal Computer ähnlich dem in 12 unten dargestellten beispielhaften Prozessorsystem 1200, Ein-Prozessor oder Multiprozessor-Bedienrechnern etc. betätigt zu werden.
-
5 ist eine Schemadarstellung des beispielhaften Sicherheitsrelais 400 in 4 in einem Teststatus, in dem ein betriebsfähiger Relaiskontakt offen ist. Spezifischer sind, wenn der Schalter 402 geöffnet und ein elektrisches Potenzial über den ersten und zweiten Knoten 440 und 442 angelegt wird, um die zweite und dritte Relaisspule 422 und 424 zu erregen, der zweite und dritte Relaiskontakt 432 und 434 geschlossen. In diesem Zustand ist der erste Relaiskontakt 430 offen oder unterbricht den elektrischen Pfad zwischen dem dritten und vierten Knoten 444 und 446 und veranlasst dadurch das elektrische Potenzial über den dritten und vierten Knoten 444 und 446, zu steigen oder im Wesentlichen nicht Null zu sein. In diesem Fall zeigt, da das elektrische Potenzial im Wesentlichen nicht Null ist, der Test an, dass der erste Relaiskontakt6 430 betriebsfähig ist (beispielsweise dass der Kontakt 430 in 5 nicht verschweißt ist). Gleichermaßen können der zweite und dritte Relaiskontakt 432 und 434 getestet werden, indem die jeweiligen Schalter 404 und 406 geöffnet werden. Die Verfügbarkeit des beispielhaften Sicherheitsrelais, um den elektrischen Pfad zwischen dem dritten und vierten Knoten 422 und 424 zu öffnen oder zu unterbrechen, ist mithin durch Beobachten der Betriebsfähigkeit eines jeden der Relaiskontakte 430, 432 und 434 testbar.
-
6 ist eine Schemadarstellung des beispielhaften Sicherheitsrelais 400 in 4 in einem Teststatus, in dem ein nicht betriebsfähiger Relaiskontakt nicht öffnet. Spezifischer sind, wenn der Schalter 402 geöffnet und ein elektrisches Potenzial über den ersten und zweiten Knoten 440 und 442 angelegt wird, um die zweite und dritte Relaisspule 422 und 424 zu erregen, der zweite und dritte Relaiskontakt 432 und 434 geschlossen. In diesem Zustand sollte der erste Relaiskontakt 430 den elektrischen Pfad zwischen dem dritten und vierten Knoten 444 und 446 öffnen. Der erste Relaiskontakt 430 ist jedoch nicht betriebsfähig (beispielsweise verschweißt) und öffnet mithin nicht. Daher wird das elektrische Potenzial über den dritten und vierten Knoten 444 und 446 im Wesentlichen Null sein, da der Pfad über den dritten und vierten Knoten 444 und 446 von dem ersten Relaiskontakt 430 nicht geöffnet oder auf sonstige Weise unterbrochen wird. Entsprechend kann jeder der Schalter 404 und 406 unabhängig geöffnet werden, um seine jeweilige eine der Relaisspulen 442 und 424 zu entregen, um jeweils einen seiner Relaiskontakte 432 und 434 zu öffnen. In dem beispielhaften Teststatus in 6 ist die beeinträchtigte Verfügbarkeit des beispielhaften Sicherheitsrelais 400, den elektrischen Pfad zwischen dem dritten und vierten Knoten 422 und 424 redundant zu öffnen oder zu unterbrechen, zu beobachten. Spezifischer zeigt der beispielhafte Teststatus in 6 insbesondere die Betriebsunfähigkeit (beispielsweise Verschweißen) des Relaiskontakts 430.
-
7 ist eine Schemadarstellung eines zweiten beispielhaften Sicherheitsrelais 700 mit unabhängig testbaren Relaiskontakten, das verwendet werden kann, um das Relaismodul 204 in 2 zu implementieren. Das beispielhafte Sicherheitsrelais 700 weist die Schalter 702, 704 und 706 auf, die zwischen einem ersten Knoten 740 und einem zweiten Knoten 742 parallel geschaltet sind. Der erste und zweite Knoten 740 und 742 können jeweils mit dem/den festverdrahteten Verbinder(n) 210 in 2 koppeln. Das beispielhafte Sicherheitsrelais 700 weist auch die Relais 712, 714 und 716 auf, die mit jeweils einem der Schalter 702 - 706 in Reihe geschaltet sind. Die Relais 712 - 716 weisen die jeweiligen Relaisspulen 722, 724 und 726 auf, die elektromagnetisch mit jeweils einem der Kontakte 732, 734 und 736 gekoppelt sind, die zwischen einem dritten Knoten 744 und einem vierten Knoten 746 in Reihe geschaltet sind. Der dritte und vierte Knoten 744 und 746 können jeweils mit den festverdrahteten Verbindern 212 und 214 in 2 koppeln.
-
Das beispielhafte Sicherheitsrelais 700 weist weiterhin einen Widerstand 750 und eine Leuchtdiode („LED“) 752 auf, um Licht abzustrahlen, wenn das elektrische Potenzial zwischen dem ersten und zweiten Knoten 740 und 742 groß genug ist, um die LED zu treiben. Die LED 750 bietet einem menschlichen Bediener ein Anzeigelicht, dass das beispielhafte Sicherheitsrelais 700 erregt ist. Zusätzlich weist das beispielhafte Sicherheitsrelais 700 die Transistoren 762, 764 und 766 auf, die jeweils einem der Schalter 702 - 706 entsprechen. Auch sind die Dioden 772, 774 und 776 mit den Transistoren 762 - 766 und den Relaisspulen 722 - 726 gekoppelt. Im Betrieb begrenzen die Dioden 772 - 776 die Spannung über die Relaisspulen 722 -726 und schalten die plötzliche Änderung des Stromflusses durch die Relaisspulen 722 - 726 parallel, die auftreten kann, wenn sich das an die Relaisspulen 722 - 726 angelegte elektrische Potenzial rasch ändert. Wenn sich beispielsweise das elektrische Potenzial über den ersten und zweiten Knoten 740 und 742 von einer positiven Spannung zu einer Spannung von im Wesentlichen Null ändert, kann ein resultierendes Magnetfeld von den Relaisspulen 722 - 726 erhebliche Stoßspannungen (beispielsweise Flyback) erzeugen.
-
Die Transistoren 762 - 766 können konfiguriert werden, eine hohe Eingangsimpedanz zur Verfügung zu stellen, um den durch die Schalter 702 - 706 fließenden Strom wesentlich zu begrenzen und ein Solid-State-Gerät zum Schalten des Stroms auf die Relaisspulen 722 - 726 zur Verfügung zu stellen. In einer gefährlichen Umgebung, die von geprüften oder explosionsgeschützten Komponenten profitieren und/oder diese erfordern kann, ist das beispielhafte Sicherheitsrelais 700 mithin konfiguriert, ein Schalten ohne Erzeugen eines Zündfunken oder Lichtbogens zu ermöglichen. Beispielsweise kann das beispielhafte Sicherheitsrelais 700 innerhalb petrochemischer, chemischer und pharmazeutischer Umgebungen konfiguriert werden, die während des normalen Betriebs und/oder während abnormaler Umstände explosive Gase oder Staub enthalten. Wenn beispielsweise der Schalter 702 offen ist und der Transistor 762 ausgeschaltet wird (beispielsweise wenn eine Steuerspannung an das Gatter und die Quelle angelegt wird, um die Leitfähigkeit zwischen Senke und Quelle zu erhöhen), ist der Strom durch und das elektrische Potential am Schalter 702 im Wesentlichen Null. Wenn der Schalter 702 schließt, erfolgt mithin eine Entladung von im Wesentlichen Null an den Kontakten des Schalters 702 (beispielsweise im Wesentlichen null Funkenbildung, im Wesentlichen null Lichtbogenbildung etc.). Entsprechend sind, wenn der Schalter 702 geschlossen ist und der Transistor 762 abgeschaltet wird, der Strom durch den Schalter 702 und das an diesem anliegende elektrische Potenzial im Wesentlichen Null. Wenn der Schalter 702 öffnet, erfolgt mithin eine Entladung von im Wesentlichen Null an den Kontakten des Schalters 702 (beispielsweise im Wesentlichen null Funkenbildung, im Wesentlichen null Lichtbogenbildung etc.).
-
Zusätzlich können die Transistoren 762 - 766 konfiguriert werden, eine im Wesentlichen konstante Stromquelle mit hoher Ausgangsimpedanz zur Verfügung zu stellen, um die Relaisspulen 722 - 726 von einem relativ geringen elektrischen Potenzial an dem ersten und zweiten Knoten 740 und 742 zu treiben. In einer derartigen Konfiguration bieten die Transistoren 762 - 766 unmittelbarere Schaltfähigkeiten und verhindern, dass die Relaisspulen in Sättigung geraten. Wenn beispielsweise der Transistor 762 eingeschaltet wird (beispielsweise wird eine Steuerspannung an das Gatter und die Quelle angelegt, um die Leitfähigkeit zwischen Senke und Quelle zu erhöhen), ist der Strom zur Relaisspule 722 relativ konstant und folglich ist das Magnetfeld über der Relaisspule 722 relativ konstant. Wenn der Transistor 762 ausgeschaltet wird (beispielsweise wird eine Steuerspannung vom Gatter und der Quelle getrennt, um die Leitfähigkeit zwischen Senke und Quelle zu senken), nimmt der Strom zur Relaisspule 722 rasch ab und folglich bricht das Magnetfeld über der Relaisspule 722 schnell zusammen.
-
8 ist eine Schemadarstellung eines dritten beispielhaften Sicherheitsrelais 800 mit unabhängig testbaren Relaiskontakten, das verwendet werden kann, um das Relaismodul 204 in 2 zu implementieren. Das beispielhafte Sicherheitsrelais 800 weist die Schalter 802, 804 und 806 auf, die zwischen einem ersten Knoten 840 und einem zweiten Knoten 842 parallel geschaltet sind. Der erste und zweite Knoten 840 und 842 können jeweils mit dem/den festverdrahteten Verbinder(n) 210 in 2 koppeln. Das beispielhafte Sicherheitsrelais 800 weist auch die jeweiligen Relais 810, 812 und 814 auf, die mit jeweils einem der Schalter 802 - 806 in Reihe geschaltet sind. Die Relais 810 - 814 weisen die jeweiligen Relaisspulen 820, 822 und 824 auf, die elektromagnetisch mit den jeweiligen Relaiskontakten 830, 832 und 834 gekoppelt sind. Die Relaiskontakte 830 -834 sind in Reihe zwischen einem dritten Knoten 844 und einem vierten Knoten 846 geschaltet. Zusätzlich weist das beispielhafte Relais 800 einen Bypass-Schalter 860 auf, der verwendet werden kann, um die Relaiskontakte 830 - 834 von dem dritten und vierten Knoten 844 und 846 zu entkoppeln und um einen zweiten oder alternativen elektrischen Pfad zwischen dem dritten und vierten Knoten 844 und 846 über einen Bypass-Kreis 864 zur Verfügung zu stellen. Während der Bypass-Schalter 860 in dem Beispiel in 8 implementiert ist, um die Relaiskontakte 830 - 834 von dem vierten Knoten 846 zu entkoppeln, kann der Bypass-Schalter 860 alternativ implementiert werden, um die Relaiskontakte 830 - 834 von dem dritten Knoten 844 zu entkoppeln.
-
Um das beispielhafte Sicherheitsrelais 800 zu testen, kann ein menschlicher Bediener den Bypass-Schalter 860 manuell betätigen. Wie in 8 dargestellt, stellt der beispielhafte Bypass-Schalter 860 einen zweiten elektrischen Pfad über den Bypass-Kreis 864 zur Verfügung, der es ermöglicht, dass ein beispielhaftes Feldgerät (beispielsweise das Feldstellglied 208 in 2) während des Testens der Kontakte 830 - 834 weiterhin über den dritten und vierten Knoten 844 und 846 (beispielsweise die festverdrahteten Verbinder 212 und 214 in 2) Energie erhält. Insbesondere versetzt der beispielhafte Bypass-Schalter 860 einen menschlichen Bediener in die Lage, die Relaiskontakte 830 - 834 mittels der Schalter 802 - 806 zu testen, wie dies vorstehend in Verbindung mit 4 - 6 beschrieben wurde, ohne den elektrischen Pfad zwischen dem dritten und vierten Knoten 844 und 846 zu öffnen und anschließend das/die mit den Knoten 844 und 846 verbundene(n) Feldgerät(e) zu sperren.
-
Der beispielhafte Bypass-Schalter 860 kann beispielsweise mittels eines manuellen, federgespannten Schalters oder eines Zeitschalters implementiert werden, der gewährleistet, dass ein menschlicher Bediener den Bypass-Schalter 860 nicht in einer falschen Stellung (beispielsweise mit den Relaiskontakten 830 - 834 von dem vierten Knoten 846 entkoppelt) verlassen kann. Zusätzlich kann der beispielhafte Bypass-Schalter 860 einen zwangsgeführten Mechanismus verwenden, sodass ein menschlicher Bediener das Sicherheitsrelais 800 nicht testen kann, wenn der Bypass-Schalter 860 nicht betriebsfähig ist (beispielsweise wenn die Kontakte des Bypass-Schalters 860 verschweißt sind).
-
9 ist ein beispielhaftes Sicherheitsrelais 900 mit unabhängig testbaren Relaiskontakten, das verwendet werden kann, um das Relaismodul 150 in 1 zu implementieren. Das beispielhafte Sicherheitsrelais 900 weist die Schalter 902, 904 und 906 auf, die zwischen einem ersten Knoten 940 und einem zweiten Knoten 942 parallel geschaltet sind. Das beispielhafte Sicherheitsrelais 900 weist auch die Relais 910, 912 und 914 auf, die mit jeweils einem der Schalter 902 - 906 in Reihe geschaltet sind. Die Relais 910 -914 weisen die jeweiligen Relaisspulen 922, 924 und 926 auf, die elektromagnetisch mit den jeweiligen einen der Relaiskontakte 930, 932 und 934 gekoppelt sind. Die Relaiskontakte 930 -934 sind in Reihe zwischen einem dritten Knoten 944 und einem vierten Knoten 946 geschaltet. Zusätzlich weist das beispielhafte Relais 900 einen Bypass-Schalter 960 auf, der verwendet werden kann, um die Relaiskontakte 930 - 934 von dem vierten Knoten 946 zu entkoppeln und um einen zweiten oder alternativen elektrischen Pfad zwischen dem dritten und vierten Knoten 944 und 946 über einen Bypass-Kreis 964 zur Verfügung zu stellen.
-
Auch sind in dem beispielhaften Sicherheitsrelais 900 die Schalter 902, 904 und 906 sowie der Bypass-Schalter 960 mit einem Datenbus 944 wie beispielsweise dem Datenbus 132 in 1 gekoppelt. Als Antwort auf über den Datenbus 944 übertragene Kommunikationen oder Signale können die beispielhaften Schalter 902 - 906 und/oder der Bypass-Schalter 960 öffnen und/oder schließen. Die Kommunikationen oder Signale auf dem Datenbus 944 können beispielsweise von einer Steuerung (beispielsweise der Steuerung 120 in 1), einem Logik-Solver (beispielsweise den Logik-Solvern 160 und 162 in 1) oder jedem anderen Gerät gesendet werden, das zum Kommunizieren über einen Datenbus (beispielsweise speicherprogrammierbare Steuerungen, Personal Computer ähnlich dem in 12 unten dargestellten beispielhaften Prozessorsystem 1200, Ein- oder MultiProzessor-Bedienrechner etc.) freigegeben ist. Mittels derartiger Signale zur Kommunikation mit dem beispielhaften Sicherheitsrelais 900 und den vorgenannten Geräten kann ein menschlicher Bediener das beispielhafte Sicherheitsrelais mittels eines Prozesses ferntesten, der dem in Verbindung mit 4 - 6 beschriebenen Prozess ähnlich ist. Weiterhin kann ein menschlicher Bediener mittels derartiger Signale die Stellung des Bypass-Schalters 960 des beispielhaften Sicherheitsrelais 900 ferntesten. Beispielsweise kann ein menschlicher Bediener feststellen, ob die Relaiskontakte 930 - 934 von dem elektrischen Pfad zwischen dem dritten und vierten Knoten 944 und 946 entkoppelt sind. Alternativ oder zusätzlich kann der Testprozess automatisch durchgeführt werden, wie nachstehend in Verbindung mit 10 und 11 beschrieben.
-
10 ist ein Flussdiagramm, das ein beispielhaftes Verfahren zum Testen eines beispielhaften Sicherheitsrelais wie beispielsweise der hierin beschriebenen beispielhaften Sicherheitsrelais mit unabhängig testbaren Kontakten darstellt. Die in Verbindung mit den in 10 und 11 dargestellten Verfahren beschriebenen Operationen können mittels maschinenlesbarer Anweisungen, Code, Software etc. implementiert werden, die auf einem computerlesbaren Medium gespeichert und auf die dort zugegriffen werden kann. Ein derartiges computerlesbares Medium umfasst unter anderem optische Speichergeräte, Magnetspeichergeräte, einen nichtflüchtigen Solid-State-Speicher und einen flüchtigen Solid-State-Speicher. Weiterhin können einige oder sämtliche der Operationen manuell durchgeführt werden und/oder die Reihenfolge der Operationen kann geändert werden und/oder einige der Operationen können modifiziert oder ausgelassen werden. Gleichermaßen können einige oder sämtliche der Operationen eines jeden Blocks iterativ ausgeführt werden. Die in 10 und 11 dargestellten Operationen können von der beispielhaften Steuerung 120, den beispielhaften Logik-Solvern 160 und 162, der beispielhaften Bedienerstation 122 und/oder den Anwendungsstationen 124 und 126 in 1 ausgeführt werden, um die beispielhaften Relaismodule 150 - 152 in 1 zu testen.
-
Wie im Detail in 10 dargestellt, beginnt der beispielhafte Prozess 1000 an einer Schleife, die feststellt, ob der Prozess 1000 damit fortfahren sollte, ein Sicherheitsrelais (beispielsweise das beispielhafte Sicherheitsrelais 900 in 9) zu testen, oder ob er weiterhin warten soll (Block 1002). Nach der Feststellung, dass es Zeit ist, ein Sicherheitsrelais zu testen, und nach dem Verlassen der Schleife an Block 1002 umgeht der beispielhafte Prozess 1000 das Sicherheitsrelais (beispielsweise verbindet er den Knoten 946 und den Bypass-Kreis 964 mit dem Bypass-Schalter 960 in 9) (Block 1004). Nachdem das Sicherheitsrelais umgangen wurde (Block 1004), testet der beispielhafte Prozess 1000 eine den Relaiskontakten zugeordnete elektrische Kenngröße (beispielsweise einen den Relaiskontakten 932 - 936 in 9 zugeordneten elektrischen Strom, ein elektrisches Potenzial, einen Widerstand, etc.), die anzeigt, dass die Relaiskontakte nicht umgangen sind (Block 1006). Wenn eine derartige elektrische Kenngröße festgestellt wird (beispielsweise ein elektrischer Strom von im Wesentlichen nicht Null oder ein durch die Relaiskontakte 932 - 936 (9) fließender elektrischer Strom, der größer ist als ein vorher bestimmter Wert) (Block 1006), verlangt der beispielhafte Prozess 1000 einen manuellen Vorrangeingriff (Block 1014). Der manuelle Vorrangeingriff (Block 1014) kann ein Signal zur Verfügung stellen, um einen Eingriff eines menschlichen Bedieners zu verlangen (beispielsweise eine LED, eine Warnung auf einer grafischen Benutzerschnittstelle etc.), und einen Zeitschalter starten, um ein Prozesssteuerungssystem (beispielsweise das Prozesssteuerungssystem 10) auf eine zuvor festgelegte Weise automatisch abzuschalten.
-
Wenn die elektrische Kenngröße festgestellt wird (beispielsweise ein elektrischer Strom von im Wesentlichen Null oder ein durch die Relaiskontakte 932 - 936 (9) fließender elektrischer Strom, der geringer ist als ein vorher bestimmter Wert), der anzeigt, dass die Relaiskontakte umgangen werden (Block 1012), testet der beispielhafte Prozess 1000 das Sicherheitsrelais (Block 1008). Nachdem das Sicherheitsrelais getestet wurde (Block 1008), bestimmt der beispielhafte Prozess 1000, ob der Bypass in seine ursprüngliche Stellung zurückzustellen ist, um das Sicherheitsrelais zu reaktivieren (Block 1010). Wenn beispielsweise festgestellt wird, dass eine spezifizierte Anzahl von Relaiskontakten nicht betriebsfähig ist (beispielsweise verschweißte oder auf andere Weise fehlerhafte Kontakte) (Block 1008) verlangt der beispielhafte Prozess 1000, wie vorstehend diskutiert, einen manuellen Vorrangeingriff (Block 1014). Alternativ führt der beispielhafte Prozess 1000 das Sicherheitsrelais wieder in einen aktiven Zustand zurück (beispielsweise verbindet er den Knoten 946 und die Relaiskontakte 930 - 934 mit dem Bypass-Schalter 960 in 9) (Block 1012). Nachdem der Bypass zurückgestellt wurde und das Sicherheitsrelais aktiv ist, wartet der beispielhafte Prozess 1000 auf einen weiteren Testzyklus (Block 1002).
-
11 ist ein ein beispielhaftes Verfahren zeigendes Flussdiagramm, das verwendet werden kann, um den in 10 dargestellten Sicherheitsrelaistest 1008 zu implementieren. Wie vorstehend diskutiert, kann der beispielhafte Sicherheitsrelaistestprozess 1008 in 11 beispielsweise verwendet werden, um die beispielhaften Relaismodule 150 - 152 in 1 zu testen. Der beispielhafte Sicherheitsrelaistestprozess 1008 in 11 beginnt, indem er einen Schalter am Sicherheitsrelais (beispielsweise einen der Schalter 902 - 906 in 9) öffnet, der eine Relaisspule am Sicherheitsrelais (beispielsweise eine der Relaisspulen 922 - 926 in 9) entregt (Block 1100). Nachdem der Schalter am Sicherheitsrelais geöffnet wurde (Block 1100), testet der beispielhafte Sicherheitsrelaistestprozess 1008 in 11 eine den Relaiskontakten am Sicherheitsrelais zugeordnete elektrische Kenngröße (beispielsweise ein den Relaiskontakten 932 - 936 in 9 zugeordnetes elektrisches Potenzial, einen Widerstand etc.) (Block 1102). Wenn der beispielhafte Sicherheitsrelaistestprozess 1008 in 11 eine elektrische Kenngröße feststellt (beispielsweise ein elektrisches Potenzial von im Wesentlichen Null oder ein elektrisches Potenzial an den Relaiskontakten 932 - 936 in 9, das kleiner ist als ein zuvor bestimmter Wert), die anzeigt, dass ein dem geöffneten Schalter und der entregten Relaisspule zugeordneter Relaiskontakt nicht betriebsfähig ist (beispielsweise ein verschweißter Kontakt) (Block 1102), zeigt der beispielhafte Sicherheitsrelaistestprozess 1008 an, dass der dem geöffneten Schalter und der entregten Spule zugeordnete Relaiskontakt nicht betriebsfähig ist (Block 1004). Der beispielhafte Sicherheitsrelaistestprozess 1008 kann den nicht betriebsfähigen Kontakt beispielsweise durch Signalisierung an einen menschlichen Bediener (beispielsweise mittels einer LED, einer Warnung auf einer grafischen Benutzerschnittstelle etc.) und durch Erhöhen einer Zählervariablen anzeigen, die die Anzahl nicht betriebsfähiger Relaiskontakte addiert.
-
Wenn der beispielhafte Sicherheitsrelaistestprozess 1008 in 11 eine elektrische Kenngröße feststellt, (beispielsweise ein elektrisches Potenzial von im Wesentlichen nicht Null oder ein elektrisches Potenzial, das größer ist als ein zuvor bestimmter Wert etc.), die anzeigt, dass der dem geöffneten Schalter und der entregten Relaisspule zugeordneter Relaiskontakt funktioniert hat (Block 1102), oder nachdem ein Relaiskontakt als nicht betriebsfähig angezeigt wurde (Block 1104), schließt der beispielhafte Sicherheitsrelaistestprozess 1008 in 11 den Schalter, der in Block 1100 geöffnet wurde (Block 1106). Nachdem der Schalter geschlossen wurde (Block 1106), stellt der beispielhafte Sicherheitsrelaistestprozess 1008 in 11 fest, ob zusätzliche Schalter am Sicherheitsrelais getestet werden müssen, indem ein jeweiliger Schalter geöffnet wird (Block 1108). Wenn ein zusätzlicher Schalter des Sicherheitsrelais getestet werden muss, öffnet der beispielhafte Sicherheitsrelaistestprozess 1008 in 11 den nächsten Schalter (Block 1108). Alternativ, wenn kein zusätzlicher Schalter am Sicherheitsrelais getestet werden muss, endet der beispielhafte Sicherheitsrelaistestprozess 1008 in 11 und gibt alle Ergebnisse an den beispielhaften Prozess 1000 in 10 zurück.
-
12 ist eine Schemazeichnung einer beispielhaften Prozessorplattform 1200, die verwendet und/oder programmiert werden kann, um die beispielhafte Steuerung 120, die beispielhaften Logik-Solver 160 und 162, die beispielhafte Bedienerstation 122 und/oder die Anwendungsstationen 124 und 126 in 1 zu implementieren. Beispielsweise kann die Prozessorplattform 1200 von einem oder mehreren Single-Thread- und/oder Multi-Thread-Prozessoren für allgemeine Zwecke, Kernen, Mikrokontrollern etc. implementiert werden. Die Prozessorplattform 1200 kann auch durch eines oder mehrere Computergeräte implementiert werden, die beliebige einer Vielzahl gleichzeitig ausführender Single-Thread- und/oder Multi-Thread-Prozessoren, Kerne, Mikrokontroller etc. enthalten. die Prozessorplattform 1200 des Beispiels in 12 weist mindestens einen programmierbaren Prozessor für allgemeine Zwecke 1205 auf. Der Prozessor 1205 führt kodierte Anweisungen 1210 aus, die im Hauptspeicher des Prozessors 1205 (beispielsweise ein Direktzugriffsspeicher (RAM) 1215) vorhanden sind. Die kodierten Anweisungen 1210 können verwendet werden, um die durch die beispielhaften Prozesse in 10 und 11 repräsentierten Operationen zu implementieren. Der Prozessor 1205 kann jeder Typ einer Verarbeitungseinheit wie beispielsweise ein Prozessorkern, ein Prozessor und/oder Mikrokontroller sein. Der Prozessor ist über einen Bus 1225 in Kommunikation mit dem Hauptspeicher (einschließlich eines Nur-Lese-Speichers (ROM) 1220 und des RAM 1215). Der RAM 1215 kann durch einen dynamischen RAM (DRAM), synchronen DRAM (SDRAM) und/oder jeden anderen Typ eines RAM-Geräts implementiert werden und der ROM kann durch ein Flash Memory und/oder jeden anderen gewünschten Typ eines Speichergeräts implementiert werden. Der Zugriff auf den Speicher 1215 und 1220 kann durch eine (nicht dargestellte) Speichersteuerung erfolgen.
-
Die Prozessorplattform 1200 weist weiterhin einen Schnittstellenkreis 1230 auf. Der Schnittstellenkreis 1230 kann von jedem Typ eines Schnittstellenstandards wie beispielsweise einer externe Speicherschnittstelle, einem seriellen Port, einer Eingabe/Ausgabe für allgemeine Zwecke etc. implementiert werden. Ein oder mehrere Eingabegeräte 1235 und ein oder mehrere Ausgabegeräte 1240 sind mit dem Schnittstellenkreis 1230 verbunden.
-
Mindestens einige der vorstehend beschriebenen beispielhaften Verfahren und/oder Vorrichtungen werden durch eines oder mehrere auf einem Computerprozessor laufende Software- und/oder Firmwareprogramme implementiert. Gleichermaßen können jedoch dedizierte Hardwareimplementierungen einschließlich unter anderem anwendungsspezifischer integrierter Schaltungen, programmierbarer logischer Arrays und anderer Hardwaregeräte ebenso konstruiert werden, um einige oder sämtliche der hierin beschriebenen beispielhaften Verfahren und/oder Vorrichtungen entweder insgesamt oder teilweise zu implementieren. Darüber hinaus können alternative Softwareimplementierungen einschließlich unter anderem Distributed Processing oder Component/Object Distributed Processing, Parallelverarbeitung oder Virtual-Machine-Verarbeitung konstruiert werden, um die hierin beschriebenen beispielhaften Verfahren und/oder Vorrichtungen zu implementieren.
-
Weiterhin sei darauf hingewiesen, dass die hierin beschriebenen beispielhaften Software- und/oder Firmwareimplementierungen optional in einem greifbaren Speichermedium gespeichert werden wie beispielsweise auf einem magnetischen Medium (beispielsweise einer Magnetplatte oder Band), einem magnetooptischen oder optischen Medium wie beispielsweise einer optischen Disk oder einem Solid-State-Medium wie beispielsweise einer Speicherkarte oder einem anderen Paket, das einen oder mehrere Nur-Lese- (nichtflüchtige) Speicher, Direktzugriffsspeicher oder andere wiederbeschreibbare (flüchtige) Speicher aufweist, oder in einem Rechenanweisungen enthaltenden Signal. Eine einer E-Mail angehängte digitale Datei oder ein anderes Informationsarchiv oder ein Satz von Archiven werden als ein Verteilungsmedium betrachtet, das einem greifbaren Speichermedium gleichwertig ist. Entsprechend können die hierin beschriebene beispielhafte Software und/oder Firmware auf einem greifbaren Speichermedium oder Verteilungsmedium wie den vorstehend beschriebenen oder auf Nachfolger-Speichermedien gespeichert werden.
-
Soweit die vorstehende Spezifikation beispielhafte Komponenten und Funktionen unter Bezugnahme auf bestimmte Standards und Protokolle beschreibt, ist darauf hingewiesen, dass der Umfang dieses Patents nicht auf derartige Standards und Protokolle beschränkt ist. Diese Standards werden periodisch durch schnellere oder effizientere Äquivalente ersetzt, die dieselbe allgemeine Funktionalität aufweisen. Entsprechend sind dieselben Funktionen aufweisende Ersatzstandards und -protokolle Äquivalente, die von diesem Patent berücksichtigt werden, und diese sollen im Rahmen der beigefügten Ansprüche enthalten sein.