DE102013111035A1 - Mit Sicherheitsinstrumenten ausgestattete Prozesssteuerungsvorrichtung und -verfahren - Google Patents

Mit Sicherheitsinstrumenten ausgestattete Prozesssteuerungsvorrichtung und -verfahren Download PDF

Info

Publication number
DE102013111035A1
DE102013111035A1 DE102013111035.5A DE102013111035A DE102013111035A1 DE 102013111035 A1 DE102013111035 A1 DE 102013111035A1 DE 102013111035 A DE102013111035 A DE 102013111035A DE 102013111035 A1 DE102013111035 A1 DE 102013111035A1
Authority
DE
Germany
Prior art keywords
gate
switch
processor
voltage
diagnostic controller
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102013111035.5A
Other languages
English (en)
Inventor
Gary Keith Law
Kent Allen Burr
Robert Stock
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fisher Rosemount Systems Inc
Original Assignee
Fisher Rosemount Systems Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from US14/023,110 external-priority patent/US9628065B2/en
Application filed by Fisher Rosemount Systems Inc filed Critical Fisher Rosemount Systems Inc
Publication of DE102013111035A1 publication Critical patent/DE102013111035A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/05Programmable logic controllers, e.g. simulating logic interconnections of signals according to ladder diagrams or function charts
    • G05B19/058Safety, monitoring
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/048Monitoring; Safety
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • G05B9/03Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/25Pc structure of the system
    • G05B2219/25248Microcontroller as time switch

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Safety Devices In Control Systems (AREA)

Abstract

Eine beispielhafte Vorrichtung und Verfahren zum Trennen der Stromzufuhr zu einem Feldgerät werden offenbart. Eine beispielhafte Vorrichtung umfasst einen ersten Schalter zum Steuern der Stromzufuhr zum Feldgerät und einen zweiten Schalter, der ein erstes Gate und ein zweites Gate umfasst. Das zweite Gate ist mit dem ersten Gate elektrisch parallel geschaltet und der zweite Schalter ist mit dem ersten Schalter elektrisch in Reihe geschaltet. Die beispielhafte Vorrichtung umfasst auch eine erste Diagnosesteuerung zur Steuerung des ersten und des zweiten Gates, einen ersten Prozessor zur Steuerung des ersten Schalters, einen dritten Schalter zur Steuerung der Stromzufuhr zum Feldgerät und einen vierten Schalters, der ein drittes Gate und ein viertes Gate umfasst. Das vierte Gate ist mit dem dritten Gate elektrisch parallel geschaltet und der vierte Schalter ist mit dem dritten Schalter elektrisch in Reihe geschaltet. Die beispielhafte Vorrichtung umfasst auch einen zweiten Prozessor zur Steuerung des dritten Schalters, und eine zweite Diagnosesteuerung, um das dritte Gate und das vierte Gate zu steuern.

Description

  • GEBIET DER OFFENBARUNG
  • Die vorliegende Offenbarung bezieht sich allgemein auf Prozesssteuerungssysteme und insbesondere auf Vorrichtungen und Verfahren für mit Sicherheitsinstrumenten ausgestattete Prozesssteuerungssysteme.
  • HINTERGRUND DER ERFINDUNG
  • Prozesssteuerungssysteme wie sie in chemischen Prozessen, der Mineralölverarbeitung, pharmazeutischen Prozessen, der Zellstoff- und Papierverarbeitung und anderen Herstellungsprozessen verwendet werden, umfassen häufig ein Backup- oder Sicherungssystem, um den Betrieb eines oder mehrerer Feldgeräte zu gewährleisten oder deren Stromzufuhr zu unterbrechen, falls im Primärsystem eine Fehlfunktion auftritt. Feldgeräte, die z. B. Gerätesteuerungen, Ventile, Ventilstellantriebe, Ventilstellungsregler, Schalter und Transmitter (z. B. Temperatur-, Druck-, Fließgeschwindigkeitsfühler und Sensoren für die chemische Zusammensetzung) oder Kombinationen davon sein können, führen innerhalb des Prozesssteuerungssystem Funktionen aus, wie beispielsweise das Öffnen oder Schließen von Ventilen und das Messen oder Ableiten von Prozessparametern. Im Gefahrenfall kann die Stromzufuhr von den Feldgeräten getrennt werden.
  • Bekannte mit Sicherheitsinstrumenten ausgestattete Prozesssteuerungssysteme umfassen gewöhnlich eine Steuerung einer Input-/Output (I/O)-Karte, die mehrere Kanäle aufweist. Wird die Stromzufuhr von einem Feldgerät getrennt, das mit einem der Kanäle der I/O-Karte verbunden ist, ist eine Gruppenabschaltung aller Kanäle erforderlich. Um die Auswirkungen einer Gruppenabschaltung zu mindern werden I/O-Karten gewöhnlich in redundanten Paaren eingesetzt. Das Versagen eines einzigen Kanals auf einer der Karten im redundanten Paar verhindert jedoch das Trennen der Stromzufuhr von einem Feldgerät, wodurch die Gesamtsicherheit des Systems gefährdet ist.
  • KURZDARSTELLUNG
  • Es wird eine beispielhafte Vorrichtung zum Trennen der Stromzufuhr zu einem Feldgerät offenbart. Die beispielhafte Vorrichtung umfasst einen ersten Schalter zur Steuerung der Stromzufuhr zum Feldgerät und einen zweiten Schalter, der ein erstes Gate und ein zweites Gate umfasst. Das zweite Gate ist mit dem ersten Gate elektrisch parallel geschaltet und der zweite Schalter ist mit dem ersten Schalter elektrisch in Reihe geschaltet. Die beispielhafte Vorrichtung umfasst auch eine erste Diagnosesteuerung zur Steuerung des ersten und des zweiten Gates, einen ersten Prozessor zur Steuerung des ersten Schalters, einen dritten Schalter zur Steuerung der Stromzufuhr zum Feldgerät und einen vierten Schalters, der ein drittes Gate und ein viertes Gate umfasst. Das vierte Gate ist mit dem dritten Gate elektrisch parallel geschaltet und der vierte Schalter ist mit dem dritten Schalter elektrisch in Reihe geschaltet. Die beispielhafte Vorrichtung umfasst auch einen zweiten Prozessor zur Steuerung des dritten Schalters, und eine zweite Diagnosesteuerung, um das dritte Gate und das vierte Gate zu steuern.
  • Ebenfalls wird ein beispielhaftes Verfahren zum Steuern der Stromzufuhr zu einem Feldgerät offenbart. Das Verfahren umfasst das Senden eines Signals, um die Stromzufuhr zum ersten Feldgerät zu trennen, das Öffnen eines ersten Schalters und das Messen einer ersten Spannung am ersten Schalter. Wenn die erste Spannung im Wesentlichen nicht Null ist, das Anweisen einer ersten Diagnosesteuerung, die Stromzufuhr zum ersten Schalter zu trennen, indem ein zweiter Schalter geöffnet wird. Der zweite Schalter ist mit dem ersten Schalter elektrisch in Reihe geschaltet und umfasst erste und zweite Gates. Das erste Gate ist mit dem zweiten Gate elektrisch parallel geschaltet.
  • KURZE BESCHREIBUNG DER ZEICHNUNGEN
  • Es zeigen:
  • 1 ein schematisches Diagramm einer beispielhaften Sicherheitsvorrichtung gemäß den Lehren dieser Offenbarung.
  • 2 ein Blockdiagramm der beispielhaften Vorrichtung von 1.
  • 3 ein Flussdiagramm, das ein beispielhaftes Verfahren des Betriebs der Vorrichtung von 1 darstellt.
  • 4 ein Flussdiagramm, das ein weiteres beispielhaftes Verfahren des Betriebs der Vorrichtung von 1 darstellt.
  • 5 eine beispielhafte Prozessorplattform, die zum Ausführen der Verfahren von 3 und/oder 4 verwendet werden kann, um eine oder alle der hierin offenbarten beispielhaften Verfahren und/oder Vorrichtungen auszuführen.
  • AUSFÜHRLICHE BESCHREIBUNG
  • Obwohl diese Patentschrift beispielhafte Vorrichtungen und Verfahren offenbart, einschließlich u. a. Komponenten, Software und/oder Firmware, die auf Hardware ausgeführt wird, muss zur Kenntnis genommen werden, dass solche Vorrichtungen lediglich der Veranschaulichung dienen und nicht als einschränkend angesehen werden dürfen. Zum Beispiel wird erwogen, dass beliebige oder alle dieser Hardware-, Software- und Firmwarekomponenten ausschließlich in Hardware, ausschließlich in Software oder in einer beliebigen Kombination aus Hardware und Software ausgeführt werden können. Dementsprechend versteht der Durchschnittsfachmann leicht, dass im Folgenden zwar beispielhafte Vorrichtungen und Methoden beschrieben werden, die bereitgestellten Beispiele jedoch nicht die einzige Möglichkeit zur Ausführung solcher Vorrichtungen und Methoden sind.
  • Ein beispielhaftes Prozesssteuerungssystem umfasst mehrere Feldgeräte, die Arbeitsvorgänge (wie beispielsweise Steuern von Ventilen, Steuern von Motoren, Steuern von Boilern, Überwachung, Messen von Parametern usw.) im Zusammenhang mit einem bestimmten Prozess (beispielsweise einem chemischen Prozess, einem Erdölverarbeitungsprozess, einem pharmazeutischen Prozess, einem Prozess in der Zellstoff- und Papierverarbeitung usw.) ausführen. Manche Prozesssteuerungssysteme sind kritische Prozesssysteme, also Systeme, die bei eventuell auftretenden Problemen in einem sicheren Zustand geschützt werden müssen. So muss beispielsweise in manchen Situationen, z. B. einer Notfallsituation, die Stromzufuhr zu den Feldgeräten unterbrochen oder getrennt werden. Prozesssteuerungsgeräte mit einem hohen Grad diagnostischer Abdeckung erbringen während Notabschaltanwendungen gute Leistungen. Prozesssteuerungsgeräte können mit verschiedenen Fehlertoleranzstufen eingerichtet werden. Beispielsweise bedeutet eine Hardwarefehlertoleranz von eins (z. B. 1oo2, 1oo3), dass eine von zwei oder drei Komponenten versagen kann und die mit jeder dieser Komponenten in Verbindung stehenden Funktionen weiterhin ausgeführt werden.
  • Ein mit Sicherheitsinstrumenten ausgestattetes System (SIS), das Hardware-, Software- und Firmwaresteuerungen eines Prozesssteuerungssystems umfasst, wird zur Durchführung bestimmter Steuerungsfunktionen verwendet, um den sicheren Betrieb des Prozesssteuerungssystems beizubehalten und/oder dieses abzuschalten. Ein beispielhaftes SIS umfasst eine Steuerkarte (z. B. eine I/O-Karte, einen Mikroprozessor), die die Stromzufuhr zu einem oder mehreren Feldgeräten steuert (z. B. ansteuert, schaltet oder reguliert). Beispielhafte Karten weisen mehrere Kanäle oder Elemente auf (z. B. Transistoren, FETs, Relais, Schalter), die so angeordnet sind, dass Redundanz bereitgestellt wird, so dass im Fall des Versagen eines Elements ein anderes Element die Fähigkeit zur Bereitstellung der gewünschten Funktion aufrechterhält, wie beispielsweise das Abschalten oder Unterbrechen eines elektrischen Pfads zu einem oder mehreren Feldgerät(en) um die Stromzufuhr von dem (den) Feldgerät(en) zu trennen. Manche beispielhafte Steuer- oder I/O-Karten weisen 8, 16 oder 32 Kanäle auf. In manchen Beispielen werden die einzelnen Kanäle der Karte dazu verwendet, die Stromzufuhr zu den entsprechenden Feldgeräten zu trennen, und/oder die ganzen Karte kann auf der Ebene des Hauptstroms abgeschaltet werden, um die Stromzufuhr von allen Kanälen auf einer einzelnen Karte zu trennen und so ein sicheres Abschalten aller Feldgeräte zu gewährleisten, die mit der Karte verbunden sind.
  • In den hierin offenbarten beispielhaften Systemen integriert das SIS Redundanz, so dass pro Kanal wählbare Redundanz vorhanden ist. Die Redundanz gewährleistet, dass kritische Kanäle, wenn sie gewählt werden, während des Betriebs des SIS betriebsbereit sind. Da die Redundanz zu den Kanälen auf selektiver Basis hinzugefügt werden kann, werden zusätzliche Kosten für ein Hinzufügen von Redundanz zu anderen Kanälen, die keine Redundanz benötigen, vermieden. Demnach verwenden die beispielhaften Vorrichtungen, wie unten ausführlicher beschrieben, eine Anordnung (z. B. Architektur) von Elementen auf der Ausgabeebene, um den Stromfluss zu Feldgeräten zu steuern, während höhere Redundanz bereitgestellt wird, um die Stromzufuhr zu trennen falls ein oder mehrere Elemente versagen. Außerdem stellen die beispielhaften Vorrichtungen und Verfahren auch mehrere diagnostische Prüfungen (z. B. Tests) bereit, um die Bereitschaft der Abschaltkapazität zu gewährleisten.
  • 1 ist ein schematisches Diagramm einer beispielhaften redundanten Sicherheitsvorrichtung 100, die beispielsweise zum Trennen der Stromzufuhr zu einem Feldgerät in einem Prozesssteuerungssystem verwendet werden kann. Die Vorrichtung 100 umfasst einen ersten Prozessor 102 (z. B. einen Mikroprozessor, eine Karte, eine I/O-Karte, ein FPGA, ein ASIC und/oder ein beliebiges anderes Prozessgerät) und einen zweiten Prozessor 104 zur Steuerung des Stromflusses zu einem Verbraucher 106 (z. B. einem Feldgerät, einer Steuerung, einem Ventil, einem Aktor, einem Ventilstellungsregler, einem Schalter, einem Transmitter und/oder einem anderen Verbraucher in Verbindung mit einem Prozesssteuerungsgerät). Der erste Prozessor 102 ist mit einem ersten Element 108 und einem zweiten Element 110 verbunden, um das Anlegen von elektrischem Strom an den Verbraucher 106 oder dessen Versorgung mit elektrischem Strom von einer ersten Stromquelle 112 steuern. Im gezeigten Beispiel können das erste und das zweite Element 108, 110 beispielsweise ein oder mehrere Schaltelemente (z. B. einen Metall-Oxid-Halbleiter-Feldeffekttransistor (MOSFET), einen Sperrschicht-Feldeffekttransistor (SFET), einen Bipolartransistor (BJT), ein elektromechanisches Schaltelement und/oder andere geeignete Schaltelemente beinhalten. Das zweite Element 110 beinhaltet ein erstes Gate 114 und ein zweites Gate 116, die parallel geschaltet (z. B. elektrisch verbunden) sind. In diesem Beispiel ist das zweite Element 110 mit dem ersten Element 108 in Reihe geschaltet (z. B. elektrisch verbunden). Wenn das erste Element 108 und das ersten oder das zweite oder beide Gate(s) 114, 116 des zweiten Elements 110 elektrisch geschlossen sind (d. h. der Schaltkreis geschlossen ist, so dass elektrischer Strom durch die Elemente 108, 110 geleitet wird), wird der Verbraucher 106 von der ersten Stromquelle 112 mit elektrischem Strom versorgt. Sind jedoch entweder das erste Element 108 oder sowohl das erste als auch das zweite Gate 114, 116 elektrisch geöffnet (d. h. der Schaltkreis unvollständig ist und kein elektrischer Strom geleitet wird), wird der elektrische Strom zum Verbraucher 106 abgeschaltet (z. B. getrennt, unterbrochen). In diesem Beispiel agiert das zweite Element 110 als Sicherheitsmechanismus (z. B. Sicherheitsschalter). Wenn daher der Sicherheitsbetrieb den Schaltkreis öffnen soll, um die Stromzufuhr zum Verbraucher 106 (z. B. einem Feldgerät) zu trennen, und das erste Element 108 im geschlossenen Zustand versagt (d.h. sich nicht öffnet und weiterhin Strom leitet), wird das zweite Element 110 eingesetzt, um den Stromfluss durch das erste Element 108 und zum Verbraucher 106 über ein Öffnen von sowohl dem ersten als auch dem zweiten Gate 114, 116 abzuschalten.
  • In der beispielhaften Vorrichtung 100 wird das erste Element 108 vom ersten Prozessor 102 gesteuert. Der erste Prozessor 102 sendet ein Signal zum Öffnen und/oder Schließen des ersten Elements 108, um das Anlegen von Strom durch das erste Element 108 an den Verbraucher 106 zu steuern. Das erste und das zweite Gate 114, 116 des zweiten Elements 110 werden von einer ersten Diagnosesteuerung 118 gesteuert, die kommunikativ mit dem ersten Prozessor 102 verbunden ist. Die erste Diagnosesteuerung 118 kann beispielsweise ein FPGA, ein ASIC oder eine beliebige andere Kombination von Komponenten zur Steuerung und zum Testen des ersten und des zweiten Gates 114, 116 sein, wie unten ausführlich offenbart wird.
  • Bei Betrieb sendet die erste Diagnosesteuerung 118 ein Signal zum Öffnen und/oder Schließen des ersten Gates 114 und/oder des zweiten Gates 116, um das Anlegen von Strom an das erste Element 108 oder dessen Versorgung mit Strom durch das zweite Element 110 zu steuern. Das erste Element 108, das erste Gate 114 und das zweite Gate 116 stehen mit jeweiligen Dioden 120, 122, 124 in Verbindung. Die Dioden 120, 122, 124 können beliebige geeignete Diodentypen oder beliebige andere geeignete Gleichrichtergeräte sein. Die Dioden 120, 122, 124 werden zusammen mit den Spannungswerten verwendet, die unten ausführlich offenbart werden.
  • Wie in 1 gezeigt, beinhaltet der zweite Prozessor 104 Ausgabeschaltungen, die denen des ersten Prozessors 102 ähneln und als Redundanzpunkt fungieren, um die Stromzufuhr zum Verbraucher 106 bereitzustellen und zu trennen. Der zweite Prozessor 104 steuert ein drittes Element 126, um einen Stromfluss von einer zweiten Stromquelle 128 zum Verbraucher 106 zu steuern. Alternativ können die Stromquellen 112, 128 die gleiche Stromquelle sein. Die Vorrichtung 100 umfasst ein viertes Element 130, um die Stromzufuhr zum dritten Element 126 zu steuern. Im gezeigten Beispiel können das dritte und das vierte Element 126, 130 beispielsweise ein oder mehrere Schaltelemente (z. B. einen Metall-Oxid-Halbleiter-Feldeffekttransistor (MOSFET), einen Sperrschicht-Feldeffekttransistor (SFET), einen Bipolartransistor (BJT), ein elektromechanisches Schaltelement und/oder andere geeignete Schaltelemente beinhalten. Das vierte Element 130 beinhaltet in diesem Beispiel ein drittes Gate 132 und ein viertes Gate 134, die parallel geschaltet (z. B. elektrisch verbunden) sind. In diesem Beispiel ist das vierte Element 130 mit dem dritten Element 126 in Reihe geschaltet (z. B. elektrisch verbunden). Eine zweite Diagnosesteuerung 136, die kommunikativ mit dem zweiten Prozessor 104 verbunden ist, steuert das dritte und das vierte Gate 132, 134. Wenn das dritte Element 126 und das dritte oder das vierte oder beide Gate(s) 132, 134 elektrisch geschlossen sind, wird der Verbraucher 106 von der zweiten Stromquelle 128 mit elektrischem Strom versorgt. Sind jedoch entweder das dritte Element 126 oder sowohl das dritte als auch das vierte Gate 132, 134 elektrisch geöffnet, wird der elektrische Strom zum Verbraucher 106 unterbrochen. Das vierte Element 130 agiert als Sicherheitsmechanismus. Wenn daher der Sicherheitsbetrieb den Schaltkreis öffnen soll, um die Stromzufuhr zum Verbraucher 106 (z. B. einem Feldgerät) zu trennen, und das dritte Element 126 im geschlossenen Zustand versagt (d.h. das Öffnen und Unterbrechen des Stromkreises nicht bewirkt), wird das vierte Element 130 eingesetzt, um den Stromfluss durch das dritte Element 126 zum Verbraucher 106 zu verhindern. Das dritte Element 126, das dritte Gate 132 und das vierte Gate 134 stehen ebenfalls mit jeweiligen Dioden 138, 140 und 142 in Verbindung, die im Zusammenhang mit den Spannungswerten verwendet werden, die unten ausführlicher offenbart werden. Ähnlich den Dioden 120, 122, 124 können die Dioden 138, 140, 142 beliebige geeignete Diodentypen oder beliebige andere geeignete Gleichrichtergerätetypen sein.
  • Wie in 1 gezeigt, umfasst die Ausgabeschaltung des ersten Prozessors 102 eine erste Zenerdiode 144 und die Ausgabeschaltung des zweiten Prozessors 104 umfasst eine zweite Zenerdiode 146. Die erste und die zweite Zenerdiode 144, 146 sind Sicherheitsmechanismen, um den Stromfluss an eine Erde zu ermöglichen falls die Spannung in der Schaltung zu hoch wird (d. h., wenn die Spannung über einer bestimmten Durchschlagspannung liegt).
  • Bei Betrieb können der erste Prozessor 102 und dessen entsprechende Ausgabeschaltung und/oder der zweite Prozessor 104 und dessen entsprechende Ausgabeschaltung den Verbraucher 106 mit Strom versorgen. In einer Notabschaltsituation, in der die Stromzufuhr vom Verbraucher 106 getrennt werden muss, betreiben der erste und der zweite Prozessor 102, 104 und die erste und die zweite Diagnosesteuerung 118, 136 das erste, zweite, dritte und vierte Element 108, 110, 126, 130, um den Schaltkreis elektrisch zu öffnen und somit die Stromzufuhr zum Verbraucher 106 zu unterbrechen. Daher besteht in diesen Beispielen Redundanz der Sicherheitsabschaltung auf der Ebene der Prozessorausgabe. Mit anderen Worten sind sowohl der erste als auch der zweite Prozessor 102, 104 in der Lage, die Stromzufuhr zum Verbraucher 106 anzusteuern und ihre eigenen Sicherheitsmechanismen (z. B. die zweiten und vierten Elemente 110, 130) bereitzustellen, wenn das erste Element 108 und/oder das dritte Element 126 im geschlossenen Zustand versagen sollte.
  • Beispielsweise öffnet der erste Prozessor 102 in einer Notabschaltsituation, wenn die Stromzufuhr zum Verbraucher 106 getrennt werden muss, unter der Annahme, dass das zweite Element 110 geschlossen ist, das erste Element 108, um die Stromzufuhr von der ersten Stromquelle 112 zum Verbraucher 106 zu unterbrechen. Der erste Prozessor 102 misst dann die Spannung an der Diode 120 des ersten Elements. Wird eine Spannung von im Westlichen Null festgestellt, funktionierte das erste Element 108 ordnungsgemäß und es fließt kein Strom zum Verbraucher 106. Versagte das erste Element 108 jedoch im geschlossenen Zustand (d. h. der Schaltkreis ist vollständig und Strom fließt durch das erste Element 108 zum Verbraucher 106), stellt der erste Prozessor 102 an der Diode 120 des ersten Elements eine Spannung (z. B. eine Spannung, die größer als Null ist) fest. In diesem Fall sendet der erste Prozessor 102 ein Signal an die erste Diagnosesteuerung 118, um das zweite Element 110 (d. h. das erste und das zweite Gate 114, 116) zu öffnen. Wenn das zweite Element 110 offen ist, ist die Stromzufuhr zum ersten Element 108, und somit zum Verbraucher 106 unterbrochen. Daher agiert das zweite Element 110 als Sicherung oder Sicherheitsmechanismus für den Fall, dass sich das erste Element 108 nicht öffnet.
  • Gleichermaßen öffnet der zweite Prozessor 104 in einer Notabschaltsituation das dritte Element 126. Sollte jedoch das dritte Element 126 im geschlossenen Zustand versagen, sendet der zweite Prozessor 104 ein Signal an die zweite Diagnosesteuerung 136, um das dritte und das vierte Gate 132, 134 des vierten Elements 130 zu öffnen, wodurch der Strom daran gehindert wird zum dritten Element 126 und somit zum Verbraucher 106 zu fließen.
  • Wie in der beispielhaften Vorrichtung 100 gezeigt, wird Sicherheitsabschaltredundanz auch am allgemeinen Prozessorpunkt gebildet. Die erste und die zweite Diagnosesteuerung 118, 136 sind kommunikativ miteinander und mit dem ersten und dem zweiten Prozessor 102, 104 über einen erste Kommunikationsweg 148 an entsprechenden Knoten 150, 152 verbunden (z. B. kreuzgekoppelt). Sollte der erste Prozessor 102 versagen, kann er das erste und/oder das zweite Element 108, 110 nicht steuern, und sollte der zweite Prozessor 104 versagen, kann dieser das dritte und/oder das vierte Element 126, 130 nicht steuern. Da jedoch der erste und der zweite Prozessor 102, 104 und die erste und die zweite Diagnosesteuerung 118, 136 kommunikativ miteinander verbunden sind, kann ein funktionsfähiger Prozessor ein Signal an die Diagnosesteuerung senden, die zu dem versagenden Prozessor gehört, um die entsprechenden Elemente zu öffnen und den Strom zum Verbraucher 106 zu unterbrechen. In manchen Beispielen ist der erste Kommunikationsweg 148 gewöhnlich ein statischer Weg. Somit ist der erste Kommunikationsweg 148 bei normalem Betrieb des Prozesssteuerungssystem signalfrei. Tritt ein Versagen auf und einer der Prozessoren 102, 104 muss die andern Elemente 110, 130, die zum anderen Prozessor gehören, steuern, wird ein Puls erzeugt und über den ersten Kommunikationsweg 148 kommuniziert. Daher kann in manchen Beispielen die Redundanzsteuerung aufgrund des Feststellens eines beliebigen Signals auf dem ersten Kommunikationsweg 148 ausgeführt werden.
  • Beispielsweise muss der erste Prozessor 102 in einer Notabschaltsituation das erste Element 108 öffnen, und der zweite Prozessor 104 muss das dritte Element 126 öffnen, um den Stromfluss zum Verbraucher 106 zu unterbrechen. Sollte bei einem Prozessor ein Versagen auftreten, sollte beispielsweise der erste Prozessor 102 nicht reagieren, erkennt der zweite Prozessor 104, dass der erste Prozessor 102 versagt hat, z. B. über Kommunikationen oder fehlende Kommunikationen über den ersten Kommunikationsweg 148 (z. B. wenn der Kommunikationsweg 148 kein statischer Weg ist) und/oder einen zweiten Kommunikationsweg 154 und/oder über andere Sensoren im beispielhaften System 100. Da der erste Prozessor 102 versagt hat, sendet der erste Prozessor 102 kein Signal an das erste und/oder das zweite Element 108, 110, um die Stromzufuhr zum Verbraucher 106 zu unterbrechen, und somit fließt weiterhin Strom zum Verbraucher 106. Der zweite Prozessor 104 oder die zweite Diagnosesteuerung 136 sendet dann über den ersten Kommunikationsweg 148 ein Signal an die erste Diagnosesteuerung 118, um das zweite Element 110 (d. h. das erste und das zweite Gate 114, 116) zu öffnen, um den Stromfluss zum ersten Element 108 und somit zum Verbraucher 108 zu verhindern. Diese Redundanz am Punkt der Prozessoren gewährleistet ein ordnungsgemäßes Abschalten im Fall eines Prozessorversagens während einer Notabschaltsituation.
  • Die Vorrichtung 100 bildet auch einen weiteren Redundanzpunkt in der ersten und in der zweiten Diagnosesteuerung 118, 136, und im zweiten und vierten Element 110, 130, wie unten ausführlicher beschrieben. Dieser Redundanzpunkt ist betriebsbereit, um zu gewährleisten, dass der Verbraucher 106 mit Strom versorgt wird, während die Bereitschaft der Sicherheitsvorrichtung 100 getestet wird. Obwohl die Vorrichtung 100 mit zwei Kanälen abgebildet ist, kann die Vorrichtung 100 eine beliebige Vielzahl an Kanälen aufweisen, um die Redundanz zu steigern.
  • 2 ist ein Blockdiagramm einer beispielhaften Sicherheitsvorrichtung 200, die die beispielhafte redundante Sicherheitsvorrichtung 100 von 1 beinhalten kann. Die beispielhafte Vorrichtung 200 umfasst eine Stromquelle 202, die mit mehreren Gates 204 verbunden ist. Im gezeigten Beispiel steuern die Gates 204 den Stromfluss zu einem Verbraucher 206. Die Stromquelle 202 kann beispielsweise die erste oder zweite Stromquelle 112, 128 der in 1 gezeigten Sicherheitsvorrichtung 100 sein, und die Gates 204 können beispielsweise das erste, zweite, dritte oder vierte Element 108, 110, 126, 130 oder mehrere dieser Elemente der in 1 gezeigten Sicherheitsvorrichtung 100 sein. Im gezeigten Beispiel können die Gates 204 unter Verwendung eines Transistors, eines FET oder eines Relais ausgeführt sein, um den von der Stromquelle 202 an den Verbraucher 206 gelieferten Strom zu steuern.
  • Wie in 2 gezeigt, umfasst die Vorrichtung 200 einen Prozessor 208, der mit den Gates 204 verbunden ist. Der Prozessor 208 sendet Signale an die Gates 204, um die Gates 204 zu öffnen und zu schließen und so den Stromfluss zu steuern, mit dem der Verbraucher 206 versorgt wird. Im gezeigten Beispiel stellt der Prozessor 208 auch fest, ob die Gates 204 ordnungsgemäß geöffnet und/oder geschlossen wurden. Beispielsweise kann der Prozessor 208 ein Signal an ein oder mehrere Gates 204 senden, um die Stromzufuhr zum Verbraucher 206 abzuschalten oder zu trennen. Der Prozessor 208 kann dann messen, ob der Strom noch über das (die) Gate(s) 204 fließt, um festzustellen, ob sich das (die) Gate(s) 204 geöffnet hat (haben). Sollte(n) sich das (die) Gate(s) 204 nicht geöffnet haben, kann der Prozessor 208 ein oder mehrere Signale an ein oder mehrere andere Gate(s) senden, beispielsweise Gates, die vor dem ersten Gate angeordnet sind, um die Stromzufuhr zum versagenden Gate (d. h. dem ersten Gate in diesem Beispiel) zu unterbrechen.
  • Im gezeigten Beispiel ist der Prozessor 208 auch mit einer Diagnosesteuerung 210 verbunden, die ebenfalls mit den Gates 204 verbunden ist. Die Diagnosesteuerung 210 kann beispielsweise die erste oder zweite Diagnosesteuerung 118, 136 sein, die das zweite und das vierte Element 110 bzw. 130 in der in 1 gezeigten beispielhaften Vorrichtung 100 steuern. Die Diagnosesteuerung 210 des gezeigten Beispiels führt mehrere Öffnungs- und Schließtests aus, um zu gewährleisten, dass die Gates 204 ordnungsgemäß funktionieren und somit einsatzbereit sind, falls ein Notfall oder eine andere Situation den Betrieb der Sicherheitsvorrichtung 200 auslöst.
  • Beim Testen der Bereitschaft der Sicherheitsvorrichtung 200 öffnet und/oder schließt die Diagnosesteuerung 210 Gates und liest dabei Spannungsebenen für die Gates ab. Sind beispielsweise zwei Gates elektrisch parallel geschaltet (z. B. Gates 114, 116 der Vorrichtung von 1), prüft die Diagnosesteuerung 210 die Bereitschaft der Vorrichtung 200, indem beispielsweise das erste Gate geöffnet, das zweite Gate geschlossen und eine Spannung für das erste Gate gemessen wird. Wird eine Spannung von im Wesentlichen Null festgestellt, entscheidet die Vorrichtung 200, dass das erste Gate ordnungsgemäß funktioniert hat und somit betriebsbereit ist, falls die Sicherheitsvorrichtung 200 ausgelöst werden sollte. Um das Testen der Betriebsbereitschaft fortzuführen schließt die Diagnosesteuerung 210 auch das erste Gate, öffnet das zweite Gate und misst eine Spannung für das zweite Gate. Wird eine Spannung von im Wesentlichen Null festgestellt, entscheidet die Vorrichtung 200, dass das zweite Gate ordnungsgemäß funktioniert hat und somit betriebsbereit ist, falls die Sicherheitsvorrichtung 200 ausgelöst werden sollte. Ein Zyklus alternierender Tests zwischen dem ersten Gate und dem zweiten Gate kann fortgeführt werden solange sich die Gates ordnungsgemäß öffnen und schließen. In einigen Beispielen kann das Testen der Bereitschaft ungefähr alle 50 Millisekunden durchgeführt werden. Es können jedoch auch andere geeignete Zeitspannen verwendet werden, einschließlich beispielsweise uneinheitlicher Zeitspannen (d. h. aperiodisch).
  • In manchen beispielhaften Prozesssystemen ist es auch erwünscht, den Verbraucher 206 kontinuierlich mit Strom zu versorgen, solange kein Notfall oder eine andere Situation vorliegt, die die Sicherheitsvorrichtung 200 dazu veranlasst, die Stromzufuhr vom Verbraucher 206 zu trennen. In solchen beispielhaften Vorrichtungen werden zwei Gates bereitgestellt und elektrisch parallel geschaltet, um die Vorrichtung mit Redundanz zu versehen. So kann ein erstes Gate geschlossen bleiben, um den Verbraucher mit Strom zu versorgen, während ein zweites Gate geöffnet und getestet wird. Dann wird das zweite Gate geschlossen, um den Verbraucher mit Strom zu versorgen, während das zweite Gate geöffnet und getestet wird.
  • Im oben offenbarten gezeigten Beispiel führen der Prozessor 208 und die Diagnosesteuerung 210 das Testen der Bereitschaft an den Gates 204 aus, um zu gewährleisten, dass die Gates 204 ordnungsgemäß funktionieren. Für den Fall, dass eines oder mehrere der Gates 204 nicht ordnungsgemäß funktionieren (z. B. im geschlossenen Zustand versagten und sich nicht öffneten), verfügt die Vorrichtung 200 über ein Warnmodul 212. Das Warnmodul 212 sendet ein Ausgabesignal 214, um das zuständige Personal darauf aufmerksam zu machen, dass eines oder mehrere der Gates 204 der Sicherheitsvorrichtung 200 fehlerhaft funktioniert und repariert oder ersetzt werden muss.
  • In der beispielhaften Vorrichtung 200 von 2 sind die Stromquelle 202, die Gates 204, der Prozessor 208, die Diagnosesteuerung 210 und das Alarmmodul 212 über Kommunikationsverbindungen 218 kommunikativ miteinander verbunden. Die Kommunikationsverbindungen 218 können verdrahtete (z. B. ein Datenbus, eine USB-Verbindung usw.) oder drahtlose Kommunikationsmechanismen (z. B. Radiofrequenz, Infrarot usw.) eines beliebigen Typs sein und vergangene, gegenwärtige oder zukünftige Kommunikationsprotokolle (z. B. Bluetooth, USB 2.0 usw.) verwenden. Die Komponenten der beispielhaften Vorrichtung 200 können auch in ein Gerät integriert, über zwei oder mehr Geräte verteilt und/oder zu Redundanzzwecken und höhere Sicherheit dupliziert werden.
  • Während in 1 und 2 beispielhafte Ausführungsweisen der Sicherheitsvorrichtungen 100, 200 gezeigt wurden, können eines/r oder mehrere der in 1 und 2 gezeigten Elemente, Prozesse und/oder Geräte auf beliebig andere Weise kombiniert, unterteilt, neu geordnet, ausgelassen, eliminiert und/oder ausgeführt werden. Ferner können die beispielhaften Prozessoren 102, 104, 208, die beispielhaften Diagnosesteuerungen 118, 136, 210, die beispielhaften Stromquellen 112, 128, 202, die beispielhaften Gates 108, 114, 116, 126, 132, 134, 204, die beispielhaften Warnmodule 212, die beispielhafte Ausgabe 214 und/oder, allgemeiner, die beispielhaften Vorrichtungen 100, 200 von 1 und 2 von Hardware, Software, Firmware und/oder beliebigen Kombinationen von Hardware, Software und/oder Firmware ausgeführt werden. So können z. B. beliebige der beispielhaften Prozessoren 102, 104, 208, der beispielhaften Diagnosesteuerungen 118, 136, 210, der beispielhaften Stromquellen 112, 128, 202, der beispielhaften Gates 108, 114, 116, 126, 132, 134, 204, der beispielhaften Warnmodule 212, der beispielhaften Ausgabe 214 und/oder, allgemeiner, der beispielhaften Vorrichtungen 100, 200 von 1 und 2 von einem oder mehreren Schaltkreisen, programmierbaren Prozessoren, anwendungsspezifischen integrierten Schaltkreisen (ASICs), programmierbaren logischen Schaltungen (PLDs) und/oder im Feld programmierbaren logischen Schaltungen (FPLDs) ausgeführt werden. Wenn einer der Vorrichtungsansprüche oder Verfahrensansprüche dieses Patents so ausgelegt wird, dass ausschließlich Software und/oder Firmwareausführung abgedeckt wird, ist mindestens eines der Beispiele, der beispielhaften Prozessoren 102, 104, 208, der beispielhaften Diagnosesteuerungen 118, 136, 210, der beispielhaften Stromquellen 112, 128, 202, der beispielhaften Gates 108, 114, 116, 126, 132, 134, 204, der beispielhaften Warnmodule 212 und/oder der beispielhaften Ausgabe 214 hiermit ausdrücklich so definiert, dass es ein greifbares computerlesbares Medium wie ein Speicher, eine DVD, eine CD, Blu-ray usw. beinhaltet, das die Software und/oder Firmware speichert. Ferner können darüber hinaus die beispielhaften Vorrichtungen 100, 200 von 1 und 2 ein oder mehrere Elemente, Prozesse und/oder Geräte zusätzlich zu oder anstelle der in 1 und 2 gezeigten umfassen und/oder mehr als eines von beliebigen oder allen gezeigten Elementen, Prozessen und Vorrichtungen einbeziehen.
  • In 3 und 4 werden Flussdiagramme gezeigt, die repräsentativ für beispielhafte Prozesse oder Methoden zur Ausführung der beispielhaften Vorrichtungen 100, 200 von 1 und 2 sind. In diesem Beispiel können die Verfahren durchgeführt werden, indem ein Programm zur Ausführung durch einen Prozessor, wie dem unten im Zusammenhang mit 5 dargelegten beispielhaften Computer 500 gezeigten Prozessor 512, verwendet wird. Das Programm kann in Software ausgeführt werden, die auf einem greifbaren computerlesbaren Medium wie einer CD-ROM, einer Diskette, einer Festplatte, einer Digital Versatile Disk (DVD), einer Blu-ray-Disk oder einem mit dem Prozessor 512 verbundenen Speicher gespeichert ist, alternativ können das gesamte Programm und/oder Teile davon jedoch von einer anderen Vorrichtung als dem Prozessor 512 realisiert und/oder in Firmware oder zweckbestimmter Hardware ausgeführt werden. Ferner können, obwohl das beispielhafte Programm bezüglich der in 3 und 4 gezeigten Flussdiagramme beschrieben wird, alternativ viele andere Verfahren zur Ausführung der beispielhaften Vorrichtungen 100, 200 verwendet werden. Beispielsweise kann die Anordnung der Ausführung der Blocks geändert werden und/oder einige der beschriebenen Blocks können geändert, eliminiert oder kombiniert werden.
  • Wie oben erwähnt können die beispielhaften Verfahren von 3 und 4 anhand kodierter Anweisungen (z. B. computerlesbarer Anweisungen) ausgeführt werden, die auf einem greifbaren computerlesbaren Medium wie einem Festplattenlaufwerk, einem Flash-Speicher, einem schreibgeschützten Speicher (ROM) einer Compact Disk (CD), einer Digital Versatile Disk (DVD), einem Cache, einem Random-Access Memory (RAM) und/oder einem beliebigen anderen Speichermedium gespeichert werden, auf dem Informationen über einen beliebigen Zeitraum (z. B. über längere Zeiträume, permanent, kurzfristig, zum temporären Puffern und/oder zum Zwischenspeichern der Informationen) gespeichert werden. Im vorliegenden Dokument ist der Begriff „greifbares computerlesbares Speichermedium“ ausdrücklich so definiert, dass jeder Typ computerlesbarer Speichergeräte und/oder Speicherdisks einbezogen und Übertragungssignale und Übertragungsmedien ausgeschlossen sind. Zudem oder alternativ können die beispielhaften Verfahren von 3 und 4 anhand kodierter Anweisungen (z. B. computerlesbarer Anweisungen) ausgeführt werden, die auf einem nicht vorübergehenden computerlesbaren Medium wie einem Festplattenlaufwerk, einem Flash-Speicher, einem schreibgeschützten Speicher (ROM) einer Compact Disk (CD), einer Digital Versatile Disk (DVD), einem Cache, einem Random-Access Memory (RAM) und/oder einem beliebigen anderen Speichermedium gespeichert werden, auf dem Informationen über einen beliebigen Zeitraum (z. B. über längere Zeiträume, permanent, kurzfristig, zum temporären Puffern und/oder zum Zwischenspeichern der Informationen) gespeichert werden. Im vorliegenden Dokument ist der Begriff „nicht vorübergehendes computerlesbares Medium“ ausdrücklich so definiert, dass jeder Typ computerlesbarer Speichergeräte und/oder Speicherdisks einbezogen und Übertragungssignale und Übertragungsmedien ausgeschlossen sind. Wenn im vorliegenden Dokument der Satz „mindestens“ als Übergangsbegriff in der Einleitung eines Anspruchs verwendet wird, ist er gleichermaßen offen wie der Begriff „umfassend“ offen ist. Wenn daher in der Einleitung eines Anspruchs „mindestens“ als Übergangsbegriff verwendet wird, kann der Anspruch zusätzlich zu den im ihm ausdrücklich erwähnten Elementen noch zusätzliche Elemente enthalten.
  • Ein beispielhaftes Verfahren 300 zum Testen der Bereitschaft einer Vorrichtung (Block 300) ist in 3 gezeigt. Das beispielhafte Verfahren 300 kann z. B. von der ersten Diagnosesteuerung 118 und dem ersten Prozessor 102 am ersten und zweiten Gate 114, 116 und/oder von der zweiten Diagnosesteuerung 136 und dem zweiten Prozessor 104 am dritten und vierten Gate 132, 134 in der in 1 gezeigten beispielhaften Vorrichtung 100 durchgeführt werden. Beispielsweise muss, wie in 1 gezeigt, das erste Element 108 den Stromfluss von der ersten Stromquelle 112 zum Verbraucher 106 steuern. Sollte das erste Element 108 während einer Notabschaltsituation im geschlossenen Zustand versagen, muss das zweite Element 110, das das erste und das zweite Gate 114, 116 umfasst, die Stromzufuhr zum ersten Element 108, und somit zum Verbraucher 106 unterbrechen. Das beispielhafte Verfahren 300 kann als weiterer Redundanzpunkt verwendet werden, um zu gewährleisten, dass das zweite Element 110 (d. h. der Sicherheitsmechanismus) ordnungsgemäß funktioniert.
  • Der beispielhafte Prozess 300 umfasst das Schließen des ersten Gates (Block 302), das Öffnen des zweiten Gates (Block 304) und das Messen einer Spannung an der Diode des zweiten Gates (Block 306). Die Spannung kann z. B., wie in der Vorrichtung 100 von 1 gezeigt, vom ersten Prozessor 102 gemessen werden. Wird eine Spannung festgestellt (Block 308) (d. h. die Spannung ist nicht Null und Strom fließt durch das zweite Gate), wird entschieden, dass sich das zweite Gate nicht geöffnet hat, und ein Alarmsignal zum Auswechseln des zweiten Gates wird ausgegeben (Block 310), indem beispielsweise ein optischer und/oder akustischer Alarm an eine Arbeitsstation der Prozesssteuerung ausgegeben wird. Wird keine Spannung festgestellt (eine Spannung vom im Wesentlichen Null) (Block 308), wird entschieden, dass sich das zweite Gate ordnungsgemäß geöffnet hat, und der Strom durch das zweite Gate unterbrochen wurde.
  • Der beispielhafte Prozess 300 umfasst auch das Schließen des zweiten Gates (Block 312) und das Öffnen des ersten Gates (Block 314). Die Spannung wird an der Diode des ersten Gates gemessen (Block 316). Die Spannung kann z. B. vom ersten Prozessor gemessen werden. Wird eine Spannung festgestellt (Block 318) (d. h. die Spannung ist nicht Null und Strom fließt durch das erste Gate), wird entschieden, dass sich das erste Gate nicht geöffnet hat (d. h. im geschlossenen Zustand versagt hat), und der beispielhafte Prozess 300 gibt ein Warnsignal zum Auswechseln des ersten Gates aus (Block 310), indem beispielsweise ein optischer und/oder akustischer Alarm an eine Arbeitsstation der Prozesssteuerung ausgegeben wird. Wird keine Spannung festgestellt (Block 318), wird entschieden, dass sich das erste Gate ordnungsgemäß geöffnet hat, und der beispielhafte Prozess zum Testen der Bereitschaft der Sicherheitsvorrichtung 300 wird erneut gestartet. Der beispielhafte Prozess 300 kann sich ungefähr alle 50 Millisekunden oder in kürzeren Zeitabständen wiederholen, wobei wiederholt geprüft wird, ob das zweite Element 110 und/oder das vierte Element 130 oder der Sicherheitsmechanismus ordnungsgemäß funktionieren (z. B. bereit sind).
  • Im gezeigten Beispiel ist eines der beiden Gates immer geschlossen und stellt somit einen geschlossener Schaltkreis zur Stromversorgung der Verbraucher bereit. In manchen beispielhaften Prozessvorrichtungen ist eine konstante Stromzufuhr erwünscht. Daher ermöglicht das Bereitstellen von zwei elektrisch parallel geschalteten Gates, dass die Diagnosesteuerung Systemdiagnostik, einschließlich Bereitschaftsbewertungen durchführen kann, indem ein Gate geöffnet und geprüft wird, während parallel ein geschlossenes Gate beibehalten wird, um einen ununterbrochenen Stromfluss zum Verbraucher zu liefern.
  • 4 ist ein Flussdiagramm eines beispielhaften Verfahrens 400 zum Trennen der Stromzufuhr von einem Feldgerät (Block 400). Der beispielhafte Prozess 400 wurde beispielsweise vom in 1 gezeigten beispielhaften System 100 durchgeführt, um die Stromzufuhr zum Verbraucher 106 zu trennen. Beispielsweise muss, wie in 1 gezeigt, das erste Element 108 den Stromfluss von der ersten Stromquelle 112 zum Verbraucher 106 steuern. Sollte das erste Element 108 während einer Notabschaltsituation im geschlossenen Zustand versagen, muss das zweite Element 110, das das erste und das zweite Gate 114, 116 umfasst, die Stromzufuhr zum ersten Element 108, und somit zum Verbraucher 106 unterbrechen. Sollte der erste Prozessor 102 versagen sendet der zweite Prozessor 104 oder die zweite Diagnosesteuerung 136 auch ein Pulssignal zur ersten Diagnosesteuerung 118, um das zweite Element 110 zu öffnen und die Stromzufuhr zum Verbraucher 106 zu unterbrechen.
  • Der beispielhafte Prozess 400 umfasst das Senden eines Signals, um den Strom von einem Feldgerät zu trennen (Block 402). Beispielsweise sendet eine Arbeitsstation der Prozesssteuerung oder ein anderes Logiksystem ein Signal zum ersten Prozessor, um die Stromzufuhr vom Feldgerät/dem Verbraucher zu trennen. Der erste Prozessor sendet ein Signal, um das erste Element (Block 404) zu öffnen und trennt somit die Stromzufuhr, die zum Feldgerät fließt. Wird festgestellt, dass der erste Prozessor reagiert (Block 406), wird die Spannung an der Diode des ersten Elements gemessen (Block 408), um zu gewährleisten, dass das erste Element die Stromzufuhr zum Verbraucher ordnungsgemäß unterbrochen hat. Im beispielhaften Prozess 400 wird festgestellt, ob an der Diode des ersten Elements eine Spannung vorhanden ist (Block 410). Wird an der Diode des ersten Elements keine Spannung (z. B. eine Spannung von im Wesentlichen Null) festgestellt, wurde das erste Element ordnungsgemäß geöffnet, es fließt kein Strom zum Feldgerät und der beispielhafte Prozess 400 endet (Block 412). Wird jedoch eine Spannung festgestellt, die im Wesentlichen nicht Null ist (Block 410), wird ein Signal zum Betätigen der ersten Diagnostik gesendet (Block 414), das dazu verwendet wird das zweite Element (Block 416) zu öffnen, um die Stromzufuhr zum ersten Element und somit zum Feldgerät zu trennen. In diesem Beispiel wird angenommen, dass das zweite Element aufgrund des Einrichtens des beispielhaften Bereitschaftstestprozesses 300 von 3 ordnungsgemäß funktioniert. Mit dem offenen zweiten Element (Block 416) endet der beispielhafte Prozess 400 (Block 412).
  • Wird im beispielhaften Prozess 400 von 4 festgestellt, dass der erste Prozessor nicht reagiert (Block 406), öffnet der erste Prozessor das erste Element nicht und/oder löst den Betrieb des ersten Diagnoseelements aus, um das zweite Element zu öffnen und die Stromzufuhr zum Feldgerät zu trennen. Sollte der erste Prozessor nicht reagieren (Block 406), erkennt die zweite Diagnosesteuerung oder der zweite Prozessor die Fehlfunktion des ersten Prozessors und sendet ein Pulssignal an die erste Diagnosesteuerung (block 418). Die erste Diagnosesteuerung öffnet das zweite Element (Block 416), um die Stromzufuhr zum ersten Element und somit die Stromzufuhr zum Feldgerät zu unterbrechen, und der beispielhafte Prozess 400 endet (Block 412).
  • 5 ist ein Blockdiagramm eines beispielhaften Computers 500, der dazu in der Lage ist, die Anweisungen aus 3 und 4 auszuführen, um die beispielhaften Vorrichtungen 100, 200 in 1 und 2 durchzuführen. Der Computer 500 kann beispielsweise ein Server, ein PC, ein Internetgerät, ein Blu-ray-Player oder ein beliebiger anderer Rechnervorrichtungstyp sein.
  • Die Vorrichtung 500 des vorliegenden Beispiels umfasst einen Prozessor 512. Beispielsweise kann der Prozessor 512 von einem oder mehreren Mikroprozessoren oder Steuerungen von einer/m beliebigen erwünschten Familie oder Hersteller ausgeführt sein.
  • Der Prozessor 512 umfasst einen lokalen Speicher 513 (z. B. einen Cache) und steht mit einem Hauptspeicher, einschließlich eines flüchtigen Speichers 514 und einem nicht-flüchtigen Speicher 516 über einen Bus 518 in Kommunikation. Der flüchtige Speicher 514 kann von einem Synchronous Dynamic Random Access Memory (SDRAM), Dynamic Random Access Memory (DRAM), RAMBUS Dynamic Random Access Memory (RDRAM) und/oder einem beliebigen anderen Random Access Memory (RAM)-Gerätetyp ausgeführt werden. Der nicht-flüchtige Speicher 516 kann durch Flash-Speicher und/oder beliebige andere gewünschte Speichergerättyp ausgeführt werden. Der Zugriff auf den Hauptspeicher 514, 516 wird von einer Speichersteuerung gesteuert (nicht gezeigt).
  • Der Computer 500 umfasst auch eine Schnittstellenschaltung 520. Der Schnittstellenschaltkreis 520 kann von einer beliebigen Schnittstellennorm ausgeführt werden, wie einer Ethernet-Schnittstelle, einer Universal Serial Bus (USB)-Schnittstelle und/oder einer PCI Express-Schnittstelle.
  • Mit dem Schnittstellenschaltkreis 520 sind ein oder mehrere Eingabegeräte 522 verbunden. Die Eingabegeräte 522 ermöglichen dem Benutzer das Eingeben von Daten und Befehlen in den Prozessor 512. Die Eingabegeräte können beispielsweise als Tastatur, Maus, Touchscreeen, Track-Pad, Trackball, Isopoint und/oder ein Spracherkennungssystem ausgeführt werden.
  • Ein oder mehrere Ausgabegeräte 524 sind auch mit der Schnittstellenschaltung 520 verbunden. Die Ausgabegeräte 524 können beispielsweise als Anzeigegeräte (z. B. eine Flüssigkeitskristallanzeige, eine Kathodenstrahlenröhren (CRT)-Anzeige, einen Drucker oder Lautsprecher) ausgeführt sein. Die Schnittstellenschaltung 520 umfasst daher gewöhnlich eine grafische Treiberkarte.
  • Die Schnittstellenschaltung 520 umfasst auch eine Kommunikationsvorrichtung wie ein Modem oder eine Netzwerkschnittstellenkarte, um den Datenaustausch mit externen Computern über ein Netzwerk 526 zu erleichtern (z. B. eine Ethernetverbindung, eine Digital Subscriber Line (DSL), eine Telefonleitung, Koaxialkabel, ein Mobiltelefonsystem usw.).
  • Der Computer 500 umfasst auch ein oder mehrere Massenspeichergeräte 528 zum Speichern von Software und Daten. Beispiele für solche Massenspeichergeräte 528 sind u.a. Diskettenlaufwerke, Festplattenlaufwerke, CD-Laufwerke und DVD-Laufwerke. Das Massenspeichergerät 528 kann ein örtliches Speichergerät ausführen.
  • Kodierte Anweisungen 532 zum Ausführen der Verfahren von 3 und 4 können im Massenspeichergerät 528, im flüchtigen Speicher 514, im nicht-flüchtigen Speicher 516 und/oder auf einem entfernbaren Speichermedium wie einer CD oder einer DVD gespeichert werden.
  • Die hierin offenbarten beispielhaften Systeme und Verfahren schaffen mehrere Redundanzpunkte auf einer Basis pro Kanal, um das ordnungsgemäße Abschalten eines Feldgeräts zu gewährleisten.
  • Obwohl hierin bestimmte beispielhafte Verfahren, Geräte und Herstellungsprodukte offenbart wurden, ist der Umfang der Abdeckung dieses Patents nicht auf diese beschränkt. Dieses Patent deckt im Gegenteil alle Verfahren, Vorrichtungen und Herstellungsartikel ab, die angemessen in den Umfang der Ansprüche dieses Patents fallen.

Claims (20)

  1. Vorrichtung, die Folgendes umfasst: einen ersten Schalter zum Steuern der Stromzufuhr zu einem Feldgerät; einen zweiten Schalter, der ein erstes Gate und ein zweites Gate umfasst, wobei das zweite Gate elektrisch mit dem ersten Gate parallelgeschaltet ist, und wobei der zweite Schalter mit dem ersten Schalter elektrisch in Reihe geschaltet ist; eine erste Diagnosesteuerung, um das erste Gate und das zweite Gate zu steuern; einen erste Prozessor, um den ersten Schalter zu steuern; einen dritten Schalter, um die Stromzufuhr zum Feldgerät zu steuern; einen vierten Schalter, der ein drittes Gate und ein viertes Gate umfasst, wobei das vierte Gate mit dem dritten Gate elektrisch parallelgeschaltet ist, und wobei der vierte Schalter mit dem dritten Schalter elektrisch in Reihe geschaltet ist; einen zweiten Prozessor, um den dritten Schalter zu steuern; und eine zweite Diagnosesteuerung, um das dritte Gate und das vierte Gate zu steuern.
  2. Vorrichtung nach Anspruch 1, wobei die erste Diagnosesteuerung kommunikativ mit der zweiten Diagnosesteuerung verbunden ist.
  3. Vorrichtung nach Anspruch 1 oder 2, wobei der erste Prozessor und der zweite Prozessor kommunikativ miteinander verbunden sind.
  4. Vorrichtung nach einem der vorhergehenden Ansprüche, wobei der erste Prozessor kommunikativ mit der ersten Diagnosesteuerung verbunden ist und der zweite Prozessor kommunikativ mit der zweiten Diagnosesteuerung verbunden ist.
  5. Vorrichtung nach einem der vorhergehenden Ansprüche, wobei der erste Prozessor kommunikativ mit der zweiten Diagnosesteuerung verbunden ist und der zweite Prozessor kommunikativ mit der ersten Diagnosesteuerung verbunden ist.
  6. Vorrichtung nach einem der vorhergehenden Ansprüche, wobei die Stromzufuhr von einer Vielzahl von Quellen bereitgestellt wird.
  7. Vorrichtung nach einem der vorhergehenden Ansprüche, wobei einer oder mehrere der Komponenten erster Schalter, erstes Gate, zweites Gate, dritter Schalter, drittes Gate oder viertes Gate einen Transistor, einen Feldeffekttransistor (FET) oder ein Relais umfasst.
  8. Vorrichtung nach einem der vorhergehenden Ansprüche, wobei die erste Diagnosesteuerung den vierten Schalter steuert, wenn der dritte Schalter oder der zweite Prozessor versagt.
  9. Vorrichtung nach einem der vorhergehenden Ansprüche, wobei die zweite Diagnosesteuerung den zweiten Schalter steuert, wenn der erste Schalter oder der erste Prozessor versagt.
  10. Vorrichtung nach einem der vorhergehenden Ansprüche, wobei die erste Diagnosesteuerung abwechselnd das erste und das zweite Gate testet, und die zweite Diagnosesteuerung abwechselnd das dritte und das vierte Gate testet.
  11. Vorrichtung nach einem der vorhergehenden Ansprüche, insbesondere nach Anspruch 10, wobei das Testen der Gates regelmäßig stattfindet.
  12. Vorrichtung nach einem der vorhergehenden Ansprüche, wobei der erste Prozessor eine erste Spannung in Verbindung mit dem ersten Gate, eine zweite Spannung in Verbindung mit dem zweiten Gate und eine dritte Spannung in Verbindung mit dem ersten Schalter misst.
  13. Vorrichtung nach einem der vorhergehenden Ansprüche, wobei der zweite Prozessor eine vierte Spannung in Verbindung mit dem dritten Gate, eine fünfte Spannung in Verbindung mit dem vierten Gate und eine sechste Spannung in Verbindung mit dem dritten Schalter misst.
  14. Ein Verfahren, das Folgendes umfasst: Senden eines Signals zu einem ersten Prozessor, um die Stromzufuhr zu einem Feldgerät zu trennen; Öffnen eines ersten Schalters; und Messen einer ersten Spannung am ersten Schalter, wobei, wenn die erste Spannung im Wesentlichen nicht Null ist, eine erste Diagnosesteuerung angewiesen wird, die Stromzufuhr zum ersten Schalter zu trennen, indem ein zweiter Schalter geöffnet wird, und wobei der zweite Schalter mit dem ersten Schalter elektrisch in Reihe geschaltet ist und ein erstes und ein zweites Gate umfasst, wobei das erste Gate mit dem zweiten Gate elektrisch parallel geschaltet ist.
  15. Verfahren nach Anspruch 14, das ferner umfasst, dass festgestellt wird, ob der erste Prozessor reagiert und, wenn der erste Prozessor nicht reagiert, dass ein Signal von einer zweiten Diagnosesteuerung oder einem zweiten Prozessor an die erste Diagnosesteuerung gesendet wird, um den zweiten Schalter zu öffnen.
  16. Verfahren nach Anspruch 14 oder 15, das weiterhin Folgendes umfasst: Schließen des ersten Gates; Öffnen des zweiten Gates; und Messen einer zweiten Spannung in Verbindung mit dem zweiten Gate, wobei, wenn die zweite Spannung im Wesentlichen Null ist, das zweite Gate geschlossen, das erste Gate geöffnet und eine dritte Spannung in Verbindung mit dem ersten Gate gemessen wird, und, wenn die Messung für die zweite oder dritte Spannung im Wesentlichen nicht Null ist, ein Warnsignal gegeben wird.
  17. Verfahren nach Anspruch 16, wobei das Schließen und Öffnen des ersten und des zweiten Gates während des Betriebs des Feldgeräts regelmäßig stattfindet.
  18. Verfahren nach einem der Ansprüche 14 bis 17, das ferner das Trennen der Stromzufuhr zum ersten Schalter umfasst, indem der zweite Schalter geöffnet wird, wenn der erste Prozessor und/oder der erste Schalter versagt.
  19. Vorrichtung, die Folgendes umfasst: Mittel zum Trennen der Stromzufuhr von einem Feldgerät, die Mittel zum Steuern der Stromzufuhr zu einem ersten Schalter umfassen, wobei die Mittel zum Trennen der Stromzufuhr redundante Mittel zum Steuern eines zweiten Schalters aufweisen, wobei der zweite Schalter mit dem ersten Schalter elektrisch parallelgeschaltet ist.
  20. Vorrichtung nach Anspruch 19, die weiterhin Mittel zum abwechselnden Testen des ersten und des zweiten Gates im zweiten Schalter umfasst.
DE102013111035.5A 2012-10-05 2013-10-04 Mit Sicherheitsinstrumenten ausgestattete Prozesssteuerungsvorrichtung und -verfahren Pending DE102013111035A1 (de)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
US201261710464P 2012-10-05 2012-10-05
US61/710,464 2012-10-05
US14/023,110 2013-09-10
US14/023,110 US9628065B2 (en) 2012-10-05 2013-09-10 Safety instrumented process control apparatus and methods

Publications (1)

Publication Number Publication Date
DE102013111035A1 true DE102013111035A1 (de) 2014-04-10

Family

ID=49630214

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102013111035.5A Pending DE102013111035A1 (de) 2012-10-05 2013-10-04 Mit Sicherheitsinstrumenten ausgestattete Prozesssteuerungsvorrichtung und -verfahren

Country Status (2)

Country Link
DE (1) DE102013111035A1 (de)
GB (1) GB2508704B (de)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109597326A (zh) * 2018-11-16 2019-04-09 深圳和而泰智能控制股份有限公司 控制电路和吸尘器
CN111361463A (zh) * 2020-03-02 2020-07-03 株洲中车时代电气股份有限公司 交流牵引网柔性双边供电潮流控制系统

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6787239B2 (ja) * 2017-04-25 2020-11-18 横河電機株式会社 制御装置、制御方法、及び制御プログラム
CN109306875B (zh) * 2018-09-25 2021-02-09 中国船舶重工集团公司第七0三研究所 一种汽轮机deh双控制器同步热备冗余切换装置及方法

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4429650B2 (ja) * 2003-07-25 2010-03-10 日本制禦機器株式会社 セーフティコントローラー
JP2010108131A (ja) * 2008-10-29 2010-05-13 Yokogawa Electric Corp スイッチング装置
JP4992882B2 (ja) * 2008-10-29 2012-08-08 横河電機株式会社 スイッチング装置

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109597326A (zh) * 2018-11-16 2019-04-09 深圳和而泰智能控制股份有限公司 控制电路和吸尘器
CN109597326B (zh) * 2018-11-16 2024-02-13 深圳和而泰智能控制股份有限公司 控制电路和吸尘器
CN111361463A (zh) * 2020-03-02 2020-07-03 株洲中车时代电气股份有限公司 交流牵引网柔性双边供电潮流控制系统

Also Published As

Publication number Publication date
GB2508704B (en) 2019-06-26
GB2508704A (en) 2014-06-11
GB201317612D0 (en) 2013-11-20

Similar Documents

Publication Publication Date Title
DE102007046574B4 (de) Sicherheitsrelais mit unabhängig testbaren Kontakten
DE102004015617B4 (de) Online-Geräteprüfblock, der in ein Prozeßsteuerungs-/Sicherheitssystem integriert ist
EP3069202B2 (de) Sicherheitssteuerung mit konfigurierbaren eingängen
DE69119523T2 (de) Fehlererkennung in Relaisansteuerungsschaltungen
DE2833761C3 (de) Schaltungsanordnung zur Überwachung des Zustands von Signalanlagen, insbesondere von Straßenverkehrs-Lichtsignalanlagen
EP2017869A2 (de) Sicherheitsvorrichtung zum mehrkanaligen Steuern einer sicherheitstechnischen Einrichtung
EP1738382A1 (de) Sicherheitsschalteinrichtung für eine sicherheitsschaltung
DE102017116651A1 (de) Tragbares wartungswerkzeug für den einsatz vor ort, konfiguriert für mehrere kommunikationsprotokolle zur prozessleitung
DE102013111035A1 (de) Mit Sicherheitsinstrumenten ausgestattete Prozesssteuerungsvorrichtung und -verfahren
DE102012023350B4 (de) Systeme, Schaltungen und ein Verfahren zum Erzeugen einer konfigurierbaren Rückmeldung
EP3696558A1 (de) Vorrichtung und verfahren zur automatischen prüfung eines schaltorgans
EP3400452B1 (de) Transporteinheit mit zumindest einer anlage
DE1125069B (de) Gegen innere Fehler geschuetzte digital-binaere Steuerung
EP1202313A1 (de) Einrichtung in der Sicherheitstechnik zur Kontrolle der Schaltstellung mechanischer Schaltkontakte
DE2651314C2 (de) Sicherheits-Ausgabeschaltung für eine Binärsignale abgebende Datenverarbeitungsanlage
EP2434358A1 (de) Verfahren zum Betreiben eines redundanten Systems und System
EP3557598A1 (de) Sicherheitsschalter
EP2437228B1 (de) Gefahrenmelder, Gefahrenmeldeanlage und Verfahren zum Erkennen von Leitungsfehlern
EP2127992A2 (de) Schaltung zur Überwachung von Endlagenschaltern eines 4-Draht-Drehstrom-Antriebs einer Weiche
DE102017123910A1 (de) Verfahren und Vorrichtung zum Überwachen der Sicherheitsintegrität einer durch ein Sicherheitssystem bereitgestellten Sicherheitsfunktion
EP3531137B1 (de) Energieversorgungsvorrichtung und verfahren zum betreiben einer energieversorgungsvorrichtung
DE102011109975A1 (de) Schaltung und Verfahren zur Überwachung der Weichenlage innerhalb eines Stellwerkes
DE102017116746A1 (de) Tragbares Feldwartungswerkzeug mit Widerstandsnetzwerk zum intrinsisch sicheren Betrieb
DE112017006135B4 (de) Ersetzungseinrichtung, informationsverarbeitungssystem und ersetzungsverfahren
EP4163739B1 (de) Verfahren zur überwachung einer elektrischen schaltanordnung

Legal Events

Date Code Title Description
R012 Request for examination validly filed