DE102019106956A1

DE102019106956A1 - Fernstrecken-sicherheitssystem-auslösungen

Info

Publication number: DE102019106956A1
Application number: DE102019106956.4A
Authority: DE
Inventors: Gary K. Law; Godfrey R. Sherriff
Original assignee: Fisher Rosemount Systems Inc
Current assignee: Fisher Rosemount Systems Inc
Priority date: 2018-03-20
Filing date: 2019-03-19
Publication date: 2019-09-26
Also published as: JP7542300B2; GB2574090B; CN110308703A; JP2019192222A; GB201903701D0; US10663929B2; GB2574090A; US20190294124A1

Abstract

Eine Fernstrecken-Prozesssteuerungsanlage umfasst ein Prozesssteuerungssystem, das die in der Anlage ablaufenden industriellen Prozesse steuert, und ein Safety Instrumented System, das das Prozesssteuerungssystem bedient, das sicherheitsrelevante Probleme innerhalb der Anlage erkennt und Sicherheitsnachrichten innerhalb und zwischen Abschnitten der Prozessanlage, z. B. um eine Fahrt oder eine andere schadensbegrenzende Maßnahme zu bewirken, übermittelt. Um Sicherheitsnachrichten zwischen Remote-gelegenen Abschnitten der Prozessanlage über eine Fernstreckenverbindung mit geringer Bandbreite zu übertragen, kombiniert ein Sicherheitsdaten-Konzentrator einzelne Sicherheitsnachrichten, die von den an einem Abschnitt der Anlage angeordneten Sicherheitslogik-Solvern erzeugt werden, in eine konzentrierte Sicherheitsnachricht und überträgt die konzentrierte Sicherheitsnachricht an einen Sicherheitsdaten-Dekonzentrator im Remote-Abschnitt der Anlage. Der Sicherheitsdaten-Dekonzentrator stellt die einzelnen Sicherheitsnachrichten aus der konzentrierten Sicherheitsnachricht wieder her und übermittelt die wiederhergestellten Sicherheitsnachrichten an im Remote-Abschnitt der Anlage angeordnete Empfänger-Sicherheitslogik-Solver.

Description

TECHNISCHER BEREICH
Die vorliegende Offenbarung betrifft im Allgemeinen Systeme und Verfahren zum Transportieren von Sicherheitsnachrichten zwischen Remote-gelegenen Abschnitten eines Safety Instrumented Systems, das in einer Prozessanlage betrieben wird.
HINTERGRUND
Verteilte Prozesssteuerungssysteme („PCS“) oder Prozesssteuerungsnetzwerke, wie sie in chemischen, Erdöl-, Industrie- oder anderen Prozessanlagen zur Herstellung, Verfeinerung, Umwandlung, Erzeugung oder Produktion physikalischer Materialien oder Produkte verwendet werden, umfassen typischerweise einen oder mehrere Prozesscontroller, die kommunikativ mit einem oder mehreren Feldgeräten über analoge, digitale oder kombinierte analoge/digitale Busse und/oder über eine oder mehrere drahtgebundene und/oder drahtlose Kommunikationsverbindungen oder Netzwerke sowie andere Komponenten gekoppelt sind. Die Feldgeräte, wie z. B. Ventile, Ventilpositionierer, Schalter und Transmitter (z. B. Temperatur-, Druck-, Füllstand- und Durchflusssensoren), befinden sich innerhalb der Prozessumgebung (die hier austauschbar als Anlagenumgebung, Feldumgebung oder Front-End-Umgebung der Prozessanlage bezeichnet wird), und im Allgemeinen physikalische oder Prozesssteuerungsfunktionen ausführen, wie Öffnen oder Schließen von Ventilen, Messen von Prozessparametern wie Druck, Temperatur usw., um einen oder mehrere industrielle Prozesse zu steuern, die in dieser Prozessanlage oder in diesem System ausgeführt werden. Intelligente Feldgeräte, wie beispielsweise Feldgeräte, die dem bekannten Fieldbus-Protokoll entsprechen, können auch Steuerungsberechnungen, Alarmfunktionen und andere Steuerungsfunktionen ausführen, die üblicherweise in einem Prozesscontroller implementiert sind. Die Prozesscontroller, die sich typischerweise ebenfalls in der Anlagenumgebung befinden, empfangen Signale, die Prozessmessungen anzeigen, die von den Feldgeräten vorgenommen werden, und/oder andere Informationen, die sich auf die Feldgeräte beziehen, und führen jeweilige Controller-Anwendungen aus, die beispielsweise unterschiedliche Steuermodule ausführen, Prozesssteuerungsentscheidungen treffen, Steuersignale basierend auf den empfangenen Informationen erzeugen und mit den Steuermodulen oder -blöcken, die in den Feldgeräten ausgeführt werden, wie z. B. HART®-, WirelessHART®- und FOUNDATION® Fieldbus-Feldgeräten, koordinieren. Die Steuermodule in einem Steuerungscontroller senden die Steuersignale über die Kommunikationsverbindungen zu den Feldgeräten, um dadurch den Betrieb mindestens eines Abschnitts der Prozessanlage oder des Systems zu steuern, z. B. um dadurch mindestens einen Abschnitt eines oder mehrerer industrieller Prozesse zu steuern, die innerhalb der Anlage oder des Systems laufen oder ausgeführt werden. E/A-Geräte, die ebenfalls innerhalb der Anlagenumgebung platziert sind, sind typischerweise zwischen einem Controller und einem oder mehreren Feldgeräten angeordnet und ermöglichen dort die Kommunikation untereinander, z. B. durch Umwandlung elektrischer Signale in digitale Werte und umgekehrt. Wie hierin verwendet, bezieht sich der Begriff „Prozesssteuerungsgeräte“ im Allgemeinen auf Feldgeräte, Controller und E/A-Geräte, die im Allgemeinen in einer Feldumgebung eines Prozesssteuerungssystems oder einer Anlage lokalisiert, angeordnet oder installiert sind.
In vielen Prozess- oder Industrieanlagen ist das Prozesssteuerungsnetzwerk außerdem an ein Safety Instrumented System („SIS“) gekoppelt, das signifikante sicherheitsbezogene Bedingungen, Fehler oder Probleme innerhalb des Prozesssteuerungssystems und/oder der Prozessanlage erkennt (z. B. eine Oszillation, wenn deren Amplitude mit der Zeit zunimmt, ein Wertestrom, der außerhalb des erwarteten Bereichs liegt, wenn ein Teil des Prozesses nicht kontrolliert wird, das Auftreten einer oder mehrerer Bedingungen, die zu einer ernsthaften Gefahr in der Anlage führen können, z. B. ein Leck giftiger Chemikalien, ein festsitzendes Ventil usw.). Safety Instrumented Systems unterstützen oder warten mindestens Abschnitte des Prozesssteuerungssystems innerhalb der Prozessanlage, übermitteln Sicherheitsnachrichten zwischen Geräten und/oder Abschnitten der Prozessanlage, um automatisch vorbeugende oder schadensbegrenzende Maßnahmen auszulösen, wie z. B. Stromversorgung von Geräten, Schalten von Flüssen innerhalb der Anlage, Auslösen oder Versetzen eines oder mehrerer Geräte in den sicheren Modus und/oder andere vorbeugende oder schadensbegrenzende Maßnahmen. Im Allgemeinen umfassen Safety Instrumented Systems einen oder mehrere Sicherheitscontroller, die typischerweise getrennt sind und sich von den Prozesssteuerungscontrollern unterscheiden, die in der Anlage zur Steuerung des Prozesses betrieben werden. SIS-Controller können einen oder mehrere Sicherheitssystem-Logik-Solver umfassen, die über Sicherheitsbusse, Kommunikationsleitungen, Verbindungen, verdrahtete Netzwerke und/oder drahtlose Netzwerke, die in der Prozessanlage installiert sind, kommunikativ mit Sicherheitsfeldgeräten verbunden sind, und kann kommunikativ mit Prozesssteuerungsfeldgeräten und Controllern verbunden sein. Üblicherweise kommunizieren SIS-Geräte wie SIS-Controller, Geräte, Logik-Solver usw. über Sicherheitskommunikationsbusse, -verbindungen, -netze usw. auf direkte, Punkt-zu-Punkt-Weise, z. B. auf der E/A-Ebene des Prozesssteuerungssystems (zum Beispiel unter Verwendung eines Nachrichtenformats, das für die Kommunikation durch E/A-Karten, die in dem Prozesssteuerungssystem enthalten sind, verwendet und/oder implementiert wird) oder einer anderen geeigneten Kommunikationsebene.
Sicherheitssystemlogik-Solver führen entsprechende Sicherheitsinformationsfunktionsroutinen (SIF-Routinen) aus, die jeweilige Eingabesignale empfangen und verarbeiten, die von anderen Sicherheitssystemlogik-Solvern oder -Controllern, Sicherheitsfeldgeräten, Prozesssteuerungsfeldgeräten und/oder Prozesssteuerungscontrollern erzeugt werden, und die indikativ für verschiedene Bedingungen sind, wie beispielsweise Wert(e) bestimmter Parameter, die Position bestimmter Sicherheitsschalter oder Abschaltventile, Über- oder Unterlauf im Prozess, den Betrieb wichtiger Energieerzeugungs- oder Steuervorrichtungen, den Betrieb von Fehlererfassungsvorrichtungen usw. Eine Sicherheitsinformationsfunktionsroutine arbeitet an den empfangenen Eingaben in Übereinstimmung mit ihrer jeweiligen Logik, um zu bestimmen, ob die Kombination der empfangenen Eingaben ein Auftreten eines sicherheitsrelevanten oder sicherheitsbezogenen Ereignisses anzeigt oder nicht (z. B. „Sicherheitsereignisse“) innerhalb der Prozessanlage oder deren Eintrittswahrscheinlichkeit. Ein Sicherheitsereignis kann beispielsweise durch einen einzelnen Zustand in einem Abschnitt der Anlage, das gleichzeitige Auftreten von zwei oder mehr Zuständen in einem oder mehreren Teilen der Anlage und dergleichen erfasst oder angezeigt werden. Im Allgemeinen, wenn auch nicht notwendigerweise, ist ein „wahres“ Signal, das von einer Sicherheitsfunktionsroutine beim Empfang mehrerer Eingabesignale und beim Verarbeiten der Eingaben gemäß der Routinenlogik zum Erzeugen der Ausgabe ausgegeben wird, kennzeichnend für das Auftreten eines Sicherheitsereignisses oder eine erhebliche Eintrittswahrscheinlichkeit davon. Wenn der Eintritt eines Sicherheitsereignisses (oder eine signifikante Eintrittswahrscheinlichkeit davon) erkannt wird, ergreift ein Sicherheitscontroller einige Maßnahmen, um die schädliche Natur des Ereignisses zu begrenzen, z. B. durch Senden von Steuersignalen zum Schließen von Ventilen, Ausschalten von Geräten und Unterbrechen der Stromversorgung von Geräten und/oder Anlagenteilen usw. Zum Beispiel kann ein Sicherheitscontroller Steuersignal(e) senden, um andere Geräte oder Komponenten in einen ausgelösten Zustand oder einen „sicheren“ Betriebsmodus zu zwingen, der die Auswirkungen eines schwerwiegenden oder gefährlichen Zustands in der Prozessanlage verhindern oder abschwächen soll.
Informationen von den Feldgeräten, den Prozesscontrollern und den Sicherheitssystemlogik-Solvern (auch Sicherheitscontroller genannt) werden normalerweise über eine oder mehrere Datenautobahnen oder Kommunikationsnetzwerke für eine oder mehrere andere Hardwaregeräte zur Verfügung gestellt, wie z. B. Bedienarbeitsstationen, Personalcomputer oder andere Arten von Computergeräten mit Benutzeroberflächen, Datenhistorikern, Berichterstellern, zentralisierten Datenbanken oder anderen zentralisierten Verwaltungscomputereinheiten, die im Prozesssteuerungsnetzwerk enthalten sind und die typischerweise in Kontrollräumen oder anderen Orten entfernt von der raueren Feldumgebung der Anlage angeordnet sind, z. B. in einer Back-End-Umgebung der Prozessanlage. Jedes dieser Hardware-Geräte ist typischerweise über die gesamte Prozessanlage oder einen Abschnitt der Prozessanlage hinweg zentralisiert. Diese Hardware-Geräte führen Anwendungen aus, die dem Steuerungs- oder Sicherheitssystembediener ermöglichen, Funktionen in Bezug auf die Steuerung eines Prozesses und/oder den Betrieb der Prozessanlage auszuführen, wie z. B. das Ändern der Einstellungen der Prozesssteuerungsroutine oder einer Sicherheitsroutine, Ändern der Funktionsweise der Steuerungsmodule innerhalb der Prozesscontroller, der Sicherheitssystemcontroller, der Feldgeräte usw., Anzeigen des aktuellen Status des Prozesses, Anzeigen der von den Feldgeräten, Prozesscontrollern oder Sicherheitssystemcontrollern erzeugten Alarme, das Simulieren der Bedienung des Prozesses für die Schulung von Personal oder das Testen der Prozesssteuerungssoftware, das Verwalten und Aktualisieren einer Konfigurationsdatenbank, usw. Die von den Hardware-Geräten, Controllern und Feldgeräten verwendete Datenautobahn kann einen verkabelten Kommunikationsweg, einen drahtlosen Kommunikationsweg oder eine Kombination aus verkabelten und drahtlosen Kommunikationswegen umfassen. Typischerweise sind Datenautobahnen/Kommunikationsnetzwerke, die Steuerinformationen transportieren, die von Prozesssteuerungsfeldgeräten und Controllern erzeugt werden, getrennt und unterscheiden sich von Datenautobahnen/Kommunikationsnetzwerken, die Sicherheitsinformationen transportieren, die von Sicherheitsfeldgeräten und -Controllern erzeugt werden, obwohl in einigen Konfigurationen zumindest einige Abschnitte einer Steuerungsdatenautobahn und einer Sicherheitsdatenautobahn integral sein oder gemeinsam implementiert werden können.
Als Beispiel enthält das DeltaV™-Prozesssteuerungssystem, das von Emerson Process Management vertrieben wird, mehrere Anwendungen, die in verschiedenen Geräten an verschiedenen Orten innerhalb einer Prozessanlage gespeichert und ausgeführt werden. Eine Konfigurationsanwendung, die in einer oder mehreren Arbeitsstationen oder Computergeräten untergebracht ist, ermöglicht dem Benutzer in der Back-End-Umgebung eines Prozesssteuerungssystems oder einer Anlage das Erstellen oder Ändern von Prozesssteuerungsmodulen und das Herunterladen dieser Prozesssteuerungsmodule über eine Datenautobahn auf dedizierte dezentrale Controller. Typischerweise bestehen diese Steuermodule aus kommunikativ miteinander verbundenen Funktionsblöcken, die Objekte in einem objektorientierten Programmierprotokoll sein können, die Funktionen innerhalb des Steuerungsschemas auf der Basis von Eingaben ausführen und die Ausgaben an andere Funktionsblöcke innerhalb des Steuerungsschemas bereitstellen. Die Konfigurationsanwendung ermöglicht es einem Konfigurationsdesigner außerdem, Bedienerschnittstellen zu erstellen oder zu ändern, die von einer Anzeigeanwendung verwendet werden, um einem Bediener Daten anzuzeigen und dem Bediener die Möglichkeit zu geben, Einstellungen wie Sollwerte innerhalb der Prozesssteuerungsroutinen zu ändern. Jeder spezielle Controller, (wie die Prozesscontroller und die Sicherheitssystemcontroller) und in einigen Fällen ein oder mehrere Feldgeräte, speichert und führt eine entsprechende Controller- oder Sicherheitsanwendung aus, welche die diesem zugewiesene und darauf heruntergeladenen Steuermodule zur Implementierung der eigentlichen Prozesssteuerungs- oder Sicherheitssystemfunktionalität ausführt.
Darüber hinaus können eine oder mehrere Benutzerschnittstellenvorrichtungen oder Anlagenanzeigeanwendungen, die auf einer oder mehreren Benutzerschnittstellenvorrichtungen ausgeführt werden, wie etwa Bedienerarbeitsstationen, eine oder mehrere Remote-Rechenvorrichtungen in kommunikativer Verbindung mit den Bedienerarbeitsstationen und der Datenautobahn usw., Daten von den Controllern und Feldgeräten über die Datenautobahn(en) empfangen und diese Daten über einen Bildschirm der Benutzerschnittstelle an die Entwickler, Bediener oder Benutzer von Prozesssteuerungssystemen anzeigen. Diese Benutzeroberflächengeräte oder -anwendungen bieten eine Reihe verschiedener Ansichten, wie z. B. die Sicht eines Bedieners, eine Sicht eines Ingenieurs, eine Sicht eines Technikers usw., die auf Aktionen von verschiedenen Benutzern in der Anlage zugeschnitten sind. Darüber hinaus wird eine Datenhistoriker-Anwendung typischerweise in einer Datenhistoriker-Vorrichtung gespeichert und von dieser ausgeführt, die einige oder alle über die Datenautobahn(en) bereitgestellten Daten sammelt und speichert, während eine Konfigurationsdatenbankanwendung auf einem weiteren Computer ausgeführt wird, der an die Datenautobahnen angeschlossen ist, um die aktuelle Konfiguration der Prozesssteuerungsroutine und damit verbundene Daten zu speichern. Alternativ kann die Konfigurationsdatenbank in derselben Arbeitsstation wie die Konfigurationsanwendung platziert sein.
In Fernstreckenprozessanlagen-Konfigurationen (z. B. Ölpipelines, Offshore-Plattformen, entfernte Bohrlöcher usw.) können miteinander verbundene Teile einer Feldumgebung des Prozesssteuerungssystems entfernt voneinander platziert oder angeordnet sein (z. B. getrennt durch einen großen Abstand voneinander und/oder durch physische Hindernisse, Barrieren oder Hindernisse wie Wasser, Berge, unterirdische Brunnen usw.). Zum Beispiel können ein oder mehrere Abschnitte des Prozesssteuerungssystems geographisch vom Rest des Systems entfernt sein, z. B. können sie sich unter der Erde befinden, während der Rest des Systems sich oberirdisch befindet, unter Wasser liegt, während der Rest des Systems an Land, Meilen entfernt in der Wüste ist, während sich der Rest des Systems in einer Stadt befindet, usw. Sicherheitsbedingungen, die sogar in sehr entfernten Abschnitten eines Prozesssteuerungssystems auftreten, können in einigen Fällen die Sicherheit anderer Abschnitte der Prozesssteuerungssystem an anderen Orten und/oder als Ganzes und umgekehrt beeinträchtigen. Dementsprechend ist in vielen Fällen das Übermitteln von Sicherheitsnachrichten zwischen Remote-Abschnitten eines Safety Instrumented Systems, das das Prozesssteuerungssystem bedient, notwendig, um Gefahren für die Anlage, wie beispielsweise das Austreten giftiger Chemikalien, Explosionen usw., und/oder um Auswirkungen selbst kleinerer Sicherheitsereignisse zu verhindern oder zu vermindern. Gegenwärtig bekannte Safety Instrumented Systems kommunizieren typischerweise Sicherheitsnachrichten zwischen lokalen Abschnitten einer Prozessanlage unter Verwendung von lokalen Kommunikationsbussen oder lokalen Datenautobahnen und kommunizieren normalerweise Sicherheitsnachrichten zwischen Abschnitten der Prozessanlage, die durch Fernstrecken voneinander getrennt sind (z. B. die Remote-angeordnet sind) durch Verbindungen mit höherer Bandbreite wie Satelliten und Glasfaserkabel. Die Verwendung solcher Verbindungen mit hoher Bandbreite ist jedoch teuer und hängt im Falle von Satellitenkommunikation von einem Drittanbieter ab. Für einige langsame Kommunikationsnachrichten (z. B. Herzschlag-Nachrichten und dergleichen) mit niedriger Geschwindigkeit ist der von Verbindungen mit hoher Bandbreite bereitgestellte Bandbreitenbereich zu übertrieben und daher ist ihre Verwendung keine vernünftige finanzielle Entscheidung. Andererseits, während die Verwendung einer Transportverbindung mit geringerer Bandbreite oder auf andere Weise „"langsamerem“ Datentransport zwischen Abschnitten eines Sicherheitssystems, die durch Fernstrecken voneinander getrennt sind, zwar weniger kostspielig ist, ist eine Verbindung mit niedriger Bandbreite jedoch typischerweise nicht effizient und effektiv beim Transportieren großer oder häufig erzeugter Sicherheitsnachrichten über Fernstreckenentfernungen hinweg mit ausreichender Genauigkeit und innerhalb der Zeitvorgaben, die für den sicheren Betrieb einer Prozessanlage erforderlich sind.
ZUSAMMENFASSUNG
Die hierin offenbarten Systeme, Verfahren, Vorrichtungen und Techniken ermöglichen den effizienteren und effektiveren Transport von Sicherheitsnachrichten (z. B. Sicherheitsnachrichtenpaketen) zwischen Abschnitten eines Safety Instrumented Systems (SIS) einer Prozessanlage, die physisch durch Fernstreckenentfernungen getrennt sind, mit geringeren Kosten im Vergleich zur Verwendung von Verbindungen mit höherer Bandbreite wie Satelliten und Glasfaserkabeln. Die hierin offenbarten Systeme, Verfahren, Vorrichtungen und Techniken sind besonders geeignet, um kleine und/oder selten übertragene Sicherheitsnachrichten über lange Entfernungen auf effiziente, effektive und kostengünstige Weise zu transportieren, sie sind jedoch nicht nur auf solche Übertragungsarten von Sicherheitsnachrichten beschränkt. Darüber hinaus sind die hierin offenbarten Systeme, Verfahren, Vorrichtungen und Techniken leicht und einfach in einem vorhandenen (z. B. zuvor installiertem) Safety Instrumented System (SIS) einer Prozessanlage integriert, in der ein industrieller Prozess ausgeführt und durch ein Prozesssteuerungssystem gesteuert wird.
In einer Ausführungsform ist ein Sicherheitsdaten-Konzentrator (SDC) mit einem Sicherheitsdaten-Dekonzentrator (SDD) gepaart und durch eine Fernstreckenkommunikationsverbindung kommunikativ mit diesem verbunden. Der SDC befindet sich innerhalb eines Safety Instrumented Systems (SIS), das ein Prozesssteuerungssystem (PCS) einer Prozessanlage am oder in der Nähe eines Sendeendes eines Fernstreckenabschnitts der Prozessanlage unterstützt, und der SDD befindet sich am oder ist nahe dem Empfangsende des Fernstreckenabschnitts der Prozessanlage. In einer beispielhaften Konfiguration befindet sich beispielsweise ein SDC an Land und sein gepaarter SDD befindet sich an einer kilometerweit im Meer gelegenen Bohrstation. Die Fernstrecken-Kommunikationsverbindung, die den SDC und den SDD kommunikativ verbindet, hat eine geringere Bandbreite (z. B. ist „langsamer“ oder hat eine geringere Kapazität) als Fernstrecken-Kommunikationsverbindungen mit hoher Bandbreite, die typischerweise in Fernstrecken-Konfigurationen verwendet werden, wie z. B. Satellitenverbindungen und Glasfaserkabel. Beispielsweise kann die Fernstrecken-Kommunikationsverbindung mit geringerer Bandbreite über ein Unterseekabel, eine drahtlose Fernstreckenverbindung, eine terrestrische Nicht-Satelliten-Funkverbindung, eine Piggyback-Kommunikationsverbindung (z. B. überlagert oder anders unterstützt) auf einer drahtgebundenen Kommunikationsverbindung, ein VPN (Virtual Private Network) mit geringerer Bandbreite oder eine virtuelle Verbindung, die in einer Verbindung mit höherer Bandbreite enthalten ist oder umfasst ist, usw. implementiert werden.
Der SDC und der SDD sind jeweils mit einem Satz von Sicherheitslogik-Solvern (LS) verbunden, die sich physisch an ihrem jeweiligen Ende des Fernstreckenabschnitts der Prozessanlage befinden. Aus Sicht der Sicherheitslogik-Solver scheinen der SDC und der SDD E/A-Karten oder ein anderer bekannter Transportmechanismus zu sein, über den Sicherheitslogik-Solver und -geräte typischerweise miteinander kommunizieren, z. B. auf der E/A-Ebene und/oder beim Verwenden eines anderen bekannten Kommunikationsformats auf einer bekannten Kommunikationsebene oder -schicht. Das heißt, die Sicherheitslogik-Solver kennen die Geschwindigkeit, die Entfernung und den physischen Transportmechanismus, über den ihre Sicherheitsnachrichten übertragen und empfangen werden, nicht. In manchen Implementierungen kennen die Sicherheitslogik-Solver das Vorhandensein des SDC und des SDD nicht. Sicherheitsnachrichten, die von Logik-Solvern gesendet und/oder empfangen werden, erscheinen den Logik-Solvern als lokal kommuniziert, unabhängig davon, ob ein SDC/SDD-Paar für den Transport verwendet wird oder nicht. Das heißt, egal ob der Fernstrecken-Transportmechanismus einschließlich des SDC/SDD-Paars verwendet wird oder nicht, er ist für die Logik-Solver transparent.
Im Allgemeinen komprimiert und/oder konsolidiert ein SDC mehrere einzelne Sicherheitsnachrichten in eine konzentrierte Sicherheitsnachricht (z. B. eine einzelne konzentrierte Sicherheitsnachricht) und überträgt die konzentrierte Sicherheitsnachricht über die Fernstrecken-Kommunikationsverbindung mit geringerer Bandbreite an den SDD. Beim Empfang der konzentrierten Sicherheitsnachricht werden die einzelnen Sicherheitsnachrichten aus der konzentrierten Sicherheitsnachricht von dem SDD abgebaut oder auf andere Weise wiederhergestellt und an die vorgesehenen Empfänger weitergeleitet. Durch Verwendung eines SDC/SDD-Paares und einer Fernstrecken-Kommunikationsverbindung mit geringerer Bandbreite wird somit weniger Gesamtbandbreite verwendet, um Sicherheitsnachrichten zwischen Remote-gelegenen Abschnitten der Prozessanlage zu übertragen, und somit werden erhebliche Einsparungen bei der Bandbreitennutzung und niedrigere Kosten bei der Übertragung von Sicherheitsnachrichten, insbesondere über große Entfernungen, erreicht. Zusätzlich verringern die Komprimierung, Konsolidierung und/oder Konzentration mehrerer Sicherheitsnachrichten in einer Gruppennachricht vorteilhafterweise die Wahrscheinlichkeit von Fehlern einzelner Nachrichteninhalte. Da die Verwendung des SDC/SDD-Paares und der Fernstrecken-Kommunikationsverbindung für Sicherheitslogik-Solver transparent ist, kann das SDC/SDD-Paar nahtlos zu einem vorhandenen SIS-System hinzugefügt werden, ohne dass eingebettete Sicherheitssystemkomponenten, wie z. B. Logik-Solver und Geräte, erneut konfiguriert werden müssen.
In einem Aspekt wird ein Safety Instrumented System zur Verwendung in einer Fernstreckenprozessanlage mit einem Prozesssteuersystem offenbart. Das Safety Instrumented System umfasst einen Sicherheitsdaten-Konzentrator, der kommunikativ mit einem oder mehreren Sicherheitslogik-Solvern verbunden ist, die in einem ersten Abschnitt des Safety Instrumented Systems angeordnet sind und mit einer oder mehreren Prozesssteuerungsvorrichtungen und/oder Sicherheitsvorrichtungen des Prozesssteuerungssystems wirkverbunden sind, das vom Safety Instrumented System bedient wird. Die eine oder die mehreren Prozesssteuerungsvorrichtungen des Prozesssteuerungssystems führen eine oder mehrere physikalische Funktionen aus, um dadurch den in der Fernstreckenprozessanlage ausgeführten industriellen Prozess zu steuern. Der Sicherheitsdaten-Konzentrator ist so konfiguriert, dass er mehrere Sicherheitsnachrichten, die von einem oder mehreren Sicherheitslogik-Solvern erzeugt werden, in eine einzelne konzentrierte Sicherheitsnachricht kombiniert, wobei die einzelne konzentrierte Sicherheitsnachricht eine Gesamtlänge aufweist, die geringer ist als die Summe der jeweiligen Längen der Sicherheitsnachrichten, die in den mehreren Sicherheitsnachrichten enthalten sind. Zusätzlich ist der Sicherheitsdaten-Konzentrator so konfiguriert, dass er die konzentrierte Sicherheitsnachricht über eine Fernstreckenverbindung an einen zweiten Abschnitt des Safety Instrumented Systems überträgt.
In einem weiteren Aspekt wird ein Verfahren zur Verwendung in einem Safety Instrumented System offenbart, das ein Prozesssteuerungssystem einer Fernstreckenprozessanlage bedient. Das Verfahren umfasst das Empfangen durch einen Sicherheitsdaten-Konzentrator, der kommunikativ mit einem ersten Satz von einem oder mehreren Sicherheitslogik-Solvern verbunden ist, die in einem ersten Abschnitt eines Safety Instrumented Systems angeordnet sind und die mit einem ersten Satz von einem oder mehreren Prozesssteuerungsvorrichtungen eines Prozesssteuerungssystems wirkverbunden sind, das von dem Safety Instrumented System bedient wird, von mehreren Sicherheitsnachrichten, die von dem ersten Satz von einem oder mehreren Sicherheitslogik-Solvern erzeugt werden. Das Verfahren umfasst ferner das Kombinieren der mehreren Sicherheitsnachrichten durch den Sicherheitsdaten-Konzentrator in eine einzelne konzentrierte Sicherheitsnachricht, wobei die einzelne konzentrierte Sicherheitsnachricht eine Gesamtlänge aufweist, die geringer ist als die Summe der einzelnen Längen der enthaltenen Sicherheitsnachrichten in den mehreren Sicherheitsnachrichten. Darüber hinaus umfasst das Verfahren das Übertragen der einzelnen konzentrierten Sicherheitsnachricht an einen Sicherheitsdaten-Dekonzentrator, der kommunikativ mit einem zweiten Satz von einem oder mehreren Sicherheitslogik-Solvern verbunden ist, die in einem zweiten Abschnitt des Safety Instrumented Systems angeordnet sind und die mit einem zweiten Satz von einer oder mehreren Prozesssteuerungsvorrichtungen des Prozesssteuerungssystems wirkverbunden sind, durch den Sicherheitsdaten-Konzentrator über eine Fernstreckenverbindung, wobei der Sicherheitsdaten-Konzentrator konfiguriert ist, um die mehreren Sicherheitsnachrichten aus der konzentrierten Sicherheitsnachricht zur Kommunikation mit dem zweiten Satz von Sicherheitslogik-Solvern wiederherzustellen, und der erste Satz von einer oder mehreren Prozesssteuerungsvorrichtungen und der zweite Satz von einer oder mehreren Prozesssteuerungsvorrichtungen eine oder mehrere physikalische Funktionen ausführen, um dadurch einen industriellen Prozess zu steuern, der in der Fernstrecken-Prozessanlage ausgeführt wird.
In noch einem anderen Aspekt wird ein Verfahren zur Verwendung in einem Safety Instrumented System offenbart, das ein Prozesssteuerungssystem einer Fernstreckenprozessanlage bedient. Das Verfahren umfasst das Empfangen einer einzelnen konzentrierten Sicherheitsnachricht durch einen Sicherheits-Dekonzentrator, die von einem Sicherheitsdaten-Konzentrator übertragen wird, der kommunikativ mit einem ersten Satz von einem oder mehreren Sicherheitslogik-Solvern, die in dem ersten Abschnitt des Safety Instrumented Systems angeordnet sind, verbunden ist, über eine Fernstreckenverbindung von einem ersten Abschnitt des Safety Instrumented Systems, und die mit einem ersten Satz von einer oder mehreren Prozesssteuerungsvorrichtungen eines Prozesssteuerungssystems, das von dem Safety Instrumented System bedient wird, wirkverbunden sind. Der Sicherheitsdaten-Konzentrator ist so konfiguriert, dass er mehrere Sicherheitsnachrichten, die von dem ersten Satz von einem oder mehreren Sicherheitslogik-Solvern erzeugt werden, in die einzelne konzentrierte Sicherheitsnachricht kombiniert, und der Sicherheitsdaten-Dekonzentrator ist kommunikativ mit einem zweiten Satz von einem oder mehreren Sicherheitslogik-Solvern verbunden, die in einem zweiten Abschnitt des Sicherheitssystems angeordnet sind und die mit einem zweiten Satz von einer oder mehreren Prozesssteuerungsvorrichtungen des Prozesssteuerungssystems wirkverbunden sind. Außerdem führen der erste Satz von einer oder mehreren Prozesssteuerungsvorrichtungen und der zweite Satz von einer oder mehreren Prozesssteuerungsvorrichtungen eine oder mehrere physikalische Funktionen aus, wodurch ein in der Fernstreckenprozessanlage ausgeführter industrieller Prozess gesteuert wird. Das Verfahren umfasst ferner das Wiederherstellen der mehreren Sicherheitsnachrichten aus der einzelnen konzentrierten Sicherheitsnachricht durch den Sicherheitsdaten-Konzentrator und das Übermitteln der mehreren wiederhergestellten Sicherheitsnachrichten an den zweiten Satz von einem oder mehreren Sicherheitslogik-Solvern.
Figurenliste

1 zeigt ein Blockdiagramm eines beispielhaften Sicherheitssystems (SIS), das eine beispielhafte Prozessanlage bedient, die eine Fernstrecken-Konfiguration umfasst.
2A-2D zeigen jeweils detaillierte Blockschaltbilder von Ausführungsformen des beispielhaften Fernstrecken-Sicherheitssystems von 1.
3 zeigt ein beispielhaftes Signaldiagramm, das einem beispielhaften Sicherheitssystem zugeordnet ist, das in einer Prozessanlage enthalten ist, die eine Fernstrecken-Konfiguration aufweist.
4A zeigt ein Flussdiagramm eines beispielhaften Verfahrens zur Verwendung in einem Prozesssteuerungssystem oder einer Anlage, das eine Fernstrecken-Konfiguration aufweist.
4B zeigt ein Flussdiagramm eines beispielhaften Verfahrens zur Verwendung in einem Prozesssteuerungssystem oder einer Prozessanlage, das/die eine Fernstrecken-Konfiguration aufweist.
5A zeigt ein Blockdiagramm eines beispielhaften Sicherheitsdaten-Konzentrators (SDC) und 5B zeigt ein Blockschaltbild eines beispielhaften Sicherheitsdaten-Dekonzentrators (SDD), von dem jeder in dem Sicherheitssystem von 1 enthalten sein kann.
6 zeigt ein detaillierteres Blockdiagramm der beispielhaften Fernstreckenprozessanlage und des beispielhaften Fernstrecken-Sicherheitssystems von 1.

DETAILLIERTE BESCHREIBUNG
In Fernstreckenprozessanlagen-Konfigurationen wie Ölpipelines, Offshore-Plattformen, Remote-Bohrlochköpfen usw. können miteinander verbundene Teile eines Prozesssteuerungssystems Remote- oder voneinander entfernt angeordnet sein (z. B. weit voneinander entfernt, geographisch entfernt oder getrennt durch physische Hindernisse, Barrieren oder Hindernisse wie Wasser, Berge, unterirdische Brunnen usw.). Zum Beispiel kann ein Remote-Abschnitt des Prozesssteuerungssystems unterirdisch angeordnet sein, während sich der Rest des Systems oberirdisch oder unter Wasser befindet, während der Rest des Systems an Land ist usw. Als ein Beispiel werden unter Wasser stehende Ölbohrlöcher von Offshore-Ölplattformen aus gebohrt, bei denen es sich beispielsweise um eine künstliche Insel handeln kann, die schwimmend am Meeresboden befestigt ist, usw. Diese Offshore-Ölplattformen befinden sich oft hunderte von Kilometern vom Land entfernt, und ihre zugehörigen unter Wasser stehenden Ölquellen befinden sich normalerweise Tausende von Metern unter dem Meeresspiegel. Darüber hinaus muss aus solchen Bohrlöchern gewonnenes Öl in der Regel an Landanlagen zur Raffination geleitet werden. In diesem Beispiel bilden die untergetauchten Ölbohrungen, Offshore-Ölplattformen und die Raffinerieanlage an Land die Prozessanlage. Aus einer Perspektive umfasst der „lokale“ Abschnitt der Prozessanlage die Raffinerie an Land, während die „Remote“-Abschnitte der Prozessanlage die Offshore-Ölplattformen und untergetauchten Ölquellen umfassen. Aus einer anderen Perspektive ist der „lokale“ Abschnitt der Prozessanlage eine besondere Offshore-Ölplattform/-bohrung, und die „Remote“-Abschnitte umfassen andere Offshore-Plattformen/-bohrungen und die landgestützte Raffinerie. Der Betrieb der Prozessanlage wird durch ein Prozesssteuerungssystem mit Abschnitten gesteuert, die jeweils in jede lokale und Remote-Umgebung integriert sind, und das Sicherheitsrisiko der Prozessanlage wird zumindest teilweise durch ein Safety Instrumented System mit entsprechenden Abschnitten verwaltet, die in jede lokale und Remote-Umgebung integriert sind. Zusätzlich sind der lokale Abschnitt und der Remote-Abschnitt der Prozessanlage über eine oder mehrere Fernstreckenübertragungsverbindungen verbunden.
Sicherheitsbedingungen, die selbst in sehr abgelegenen Bereichen eines Prozesssteuerungssystems auftreten, können die Sicherheit des gesamten Prozesssteuerungssystems und/oder lokaler Bereiche des Prozesssteuerungssystems beeinträchtigen und umgekehrt. Beispielsweise kann ein Ölleck an einer beliebigen Stelle in einer Ölgewinnungs- und -veredelungsanlage einen unsicheren Zustand mit Explosionsgefahr und/oder anderen unerwünschten Folgen an anderen lokalen oder Remote-Abschnitten der Prozessanlage erzeugen. Darüber hinaus können Sicherheitsbedingungen, die in einem Remote-Abschnitt eines Prozesssteuerungssystems auftreten, in einigen Fällen durch Maßnahmen an anderen Abschnitten des Prozesssteuerungssystems verhindert werden. Wenn zum Beispiel ein Ölleck in einem Abschnitt einer Anlage festgestellt wird, kann ein Ventil, das sich entfernt in einem anderen Abschnitt der Anlage befindet, geschlossen werden, um den Ölstrom durch das Leck zu verringern oder zu verhindern.
Folglich ist die Übermittlung von Sicherheitsnachrichten zwischen lokalen und Remote-Abschnitten eines Prozesssteuerungssystems erforderlich, um Gefahren für die Anlage zu vermeiden, wie z. B. das Austreten giftiger Chemikalien (z. B. Ölverschmutzungen von Ozeanen), Explosionen, usw. Safety Instrumented Systems, die normalerweise Prozessanlagen bedienen, übertragen Sicherheitsnachrichten zwischen lokalen Abschnitten einer Prozessanlage unter Verwendung eines lokalen Kommunikationsbusses oder einer lokalen Datenautobahn, die dieselbe Datenautobahn sein kann oder nicht, die von dem Prozesssteuerungssystem zum Übermitteln von prozesssteuerungsrelevanten Nachrichten verwendet wird. In Fernstreckenkonfigurationen (z. B. Konfigurationen, in denen Teile der Prozessanlage über große Entfernungen und/oder über physische Barrieren wie Wasser, Berge, unterirdische Brunnen usw. verteilt sind) werden typischerweise Sicherheitsdatenautobahnen implementiert, um Remote-Abschnitte der Prozessanlage unter Verwendung von Verbindungen mit hoher Bandbreite zu erreichen, die sich über große Entfernungen erstrecken, wie etwa Satellitenverbindungen. Solche Verbindungen mit hoher Bandbreite sind jedoch recht teuer in der Verwendung und verlassen sich im Falle von Satellitenkommunikation auf Drittanbieter. Andererseits sind kostengünstigere Transportverbindungen mit geringerer Bandbreite oder auf andere Weise „langsamere Transportverbindungen“ (z. B. terrestrische Nicht-Satelliten-Wireless-Verbindungen, Piggyback-Verbindungen auf drahtgebundenen Kommunikationsverbindungen, VPN mit niedrigerer Bandbreite (Virtual Private Network), die in einer Verbindung mit höherer Bandbreite beinhaltet ist usw.) normalerweise nicht in der Lage, große oder häufig ausgegebene Sicherheitsnachrichten effizient und effektiv über Fernstreckenentfernungen zu transportieren. Wenn beispielsweise versucht wird, große Sicherheitsnachrichten oder eine große Anzahl von Sicherheitsnachrichten über eine Verbindung mit geringer Bandbreite über lange Entfernungen, insbesondere über einen kurzen Zeitraum hinweg, zu senden, kann die Verbindung überlastet werden und einige von den Sicherheitsnachrichten können verzögert oder einfach nicht übertragen werden. Da Sicherheitsnachrichten jedoch zeitabhängig sind, können Verzögerungen und/oder andere Probleme bei der Übertragung von Sicherheitsnachrichten zu unsicheren Betriebsbedingungen in der Prozessanlage führen.
Die hierin offenbarten Systeme, Verfahren und/oder Techniken befassen sich mit diesen und anderen Nachteilen bekannter Fernstrecken-SIS-Systeme unter Verwendung eines Sicherheitsdaten-Konzentrators (SDC) und eines Sicherheitsdaten-Dekonzentrators (SDD) zum Übermitteln von Sicherheitsnachrichten zwischen Remoteangeordneten Teilen einer Prozessanlage über eine Fernstrecken-Kommunikationsverbindung mit geringerer Bandbreite, die die Entfernung zwischen den Remote-gelegenen Abschnitten überspannt. In einer Ausführungsform ist ein SDC in einen ersten Abschnitt eines Safety Instrumented Systems integriert, das ein Prozesssteuerungssystem bedient, und kombiniert individuelle Sicherheitsnachrichten, die von verschiedenen Vorrichtungen und Komponenten erzeugt werden, die im ersten Abschnitt des Prozesssteuerungssystems enthalten sind, in eine konzentrierte Sicherheitsnachricht (z. B. in eine einzelne konzentrierte Sicherheitsnachricht). Der SDC überträgt die konzentrierte Sicherheitsnachricht über die Fernstreckenverbindung mit geringerer Bandbreite an einen SDD, der in einen zweiten Abschnitt des Safety Instrumented Systems integriert ist, der von dem ersten Abschnitt Remote-angeordnet ist (z. B. in einer Fernstreckenentfernung). Der SDD stellt die einzelnen Sicherheitsnachrichten aus der konzentrierten Sicherheitsnachricht wieder her und übermittelt die wiederhergestellten Sicherheitsnachrichten an ihre jeweiligen Empfangsvorrichtungen oder Komponenten, die in dem zweiten Remote-Abschnitt des Safety Instrumented Systems angeordnet sind.
In einer beispielhaften Anordnung ist der SDC insbesondere kommunikativ mit einem Satz von Sicherheitslogik-Solvern verbunden, die im ersten Abschnitt der Prozessanlage angeordnet sind. Die Sicherheitslogik-Solver sind wiederum kommunikativ mit mehreren Prozesssteuerungsgeräten (z. B. Controllern, Prozesssteuerungsfeldgeräten, Sicherheitsfeldgeräten usw.) verbunden, typischerweise (aber nicht notwendigerweise) auf einer E/A-Ebene. Die Sicherheitslogik-Solver überwachen die Prozesssteuerungsgeräte und den entsprechenden Nachrichtenverkehr und erkennen sicherheitsrelevante Bedingungen, die innerhalb der Anlage auftreten. Sicherheitsrelevante oder sicherheitsbeeinträchtigende Bedingungen können beispielsweise auf der Grundlage von Prozessbedingungen wie Parameterwerten, der Position bestimmter Sicherheitsschalter oder Abschaltventile, Über- oder Unterlauf im Prozess, dem Betrieb wichtiger Stromerzeugungs- oder Steuerungsvorrichtungen, dem Betrieb von Fehlererfassungsgeräten, Status und/oder Daten, die von den überwachten Geräten usw. erzeugt werden, und/oder Kombinationen davon, erfasst werden. Wenn ein sicherheitsbezogener Zustand erkannt wird, erzeugen die Sicherheitslogik-Solver Sicherheitsnachrichten oder -signale und verteilen diese an die entsprechenden Geräte und Komponenten in verschiedenen Teilen der Anlage, um entsprechende Sicherheitsmaßnahmen auszulösen. Verschiedene Arten von Sicherheitsnachrichten oder -signalen können verteilt werden, z. B. Auslösungsnachrichten/-signale, Stillsetzungsnachrichten/-signale, Alarmnachrichten/-signale, Warnnachrichten/-signale, Nachrichten/Signale für den Wechseln in den sicheren Modus, Nachrichten/Signale für die Verriegelungsaktivierung und dergleichen.
Sicherheitsnachrichten werden innerhalb und zwischen lokalen Teilen der Anlage durch bekannte lokale Sicherheitskommunikationsmechanismen lokal verteilt, z. B. über eine lokale Sicherheitsdatenautobahn oder einen lokalen Sicherheitskommunikationsbus, wie U. S. Patent-Nr. 7289861 . In einigen Prozessanlagenkonfigurationen unterscheidet sich der lokale Sicherheitskommunikationsbus oder die Datenautobahn von jedem der Kommunikationsnetze (z. B. Datenautobahnen, drahtlose Netzwerke, Kommunikationsbusse usw.), die vom Prozesssteuerungssystem verwendet werden. In anderen Prozessanlagenkonfigurationen sind mindestens einige Teile des lokalen Sicherheitskommunikationsbusses/der Datenautobahn und mindestens einige Teile eines oder mehrerer Kommunikationsbusse/Datenautobahnen des Prozesssteuerungssystems integral implementiert. Andererseits werden dem SDC Sicherheitsnachrichten, die an Remote-Geräte verteilt werden sollen, die in Remote-gelegenen Abschnitten der Anlage angeordnet sind, zur Konzentration und Abgabe/Verteilung an die Remote-gelegenen Anlagenteile über die Fernstrecken-Kommunikationsverbindung, wie unten näher beschrieben, bereitgestellt. Die Sicherheitsnachrichten, egal ob lokal oder Remote-verteilt, und ob sie von geeigneten Geräten oder Komponenten empfangen werden, lösen Maßnahmen aus, um die nachteiligen Eigenschaften der erkannten sicherheitsbezogenen Bedingungen zu begrenzen, z. B. durch Senden von Steuersignalen, um Geräte auszuschalten, Teile der Anlage von der Stromversorgung zu trennen, Ventile zu schließen, Sicherheitsvorrichtungen und/oder Prozesssteuerungsvorrichtungen in einen ausgelösten oder „sicheren“ Modus zu wechseln, einen Alarm auszulösen usw. In einigen Situationen kann eine empfangene Sicherheitsnachricht selbst eine Bedingung sein, die durch einen Logik-Solver mit anderen erkannten Bedingungen kombiniert wird, um zu bestimmen, ob eine Sicherheitsmaßnahme eingeleitet oder ausgelöst werden soll.
Vorteilhafterweise stellen Sicherheitslogik-Solver in einer Ausführungsform an einem ersten Abschnitt der Prozessanlage Sicherheitsnachrichten an den SDC auf die gleiche oder ähnliche Weise bereit, in der sie Sicherheitsnachrichten untereinander und/oder mit lokal angeordneten Prozesssteuerungsvorrichtungen innerhalb des ersten Teils des Prozesssteuerungssystems bereitstellen. In einer beispielhaften Implementierung übertragen Sicherheitslogik-Solver Sicherheitsnachrichten an lokale Sicherheitsfeldgeräte, an andere lokal angeordnete Sicherheitslogik-Solver und an den SDC direkt auf der E/A-Ebene. Bei dem SDC werden mehrere individuelle Sicherheitsnachrichten, die von Sicherheitslogik-Solvern empfangen werden, kombiniert und verdichtet (z. B. durch Komprimieren, Konzentrieren, Multiplexen, Wrapping usw.) in eine konzentrierte Sicherheitsnachricht (z. B. eine einzelne konzentrierte Sicherheitsnachricht), die kleiner oder geringer als die Summe der einzelnen Größen/Längen der mehreren, individuellen Sicherheitsnachrichten ist. Der SDC kann eine Gruppe einzelner Sicherheitsnachrichten zu einer einzelnen konzentrierten Sicherheitsnachricht kombinieren, die beispielsweise auf einer oder mehreren Eigenschaften der Fernstrecken-Kommunikationsverbindung (z. B. verfügbare und/oder maximale Bandbreite) basiert. Zusätzlich oder alternativ kann der SDC eine Gruppe von Sicherheitsnachrichten in eine konzentrierte Sicherheitsnachricht basierend auf einer oder mehreren Eigenschaften der Nachrichten kombinieren, z. B. dem Inhalt der einzelnen Sicherheitsnachrichten, dem Fehlen oder Vorhandensein bestimmter Sicherheitsnachrichten, einer erwarteten Zeit der Übertragung für eine oder mehrere der Sicherheitsnachrichten, eine Zeit, zu der ein Empfängersystem eine Sicherheitsnachricht empfangen soll, usw. Der SDC sendet die konzentrierte Sicherheitsnachricht über eine Fernstreckenverbindung vom ersten Abschnitt der Prozessanlage an den SDD zum zweiten, Remote-gelegenen Abschnitt der Prozessanlage. Da die konzentrierte Sicherheitsnachricht kleiner ist als die Summe der einzelnen Größen der mehreren Sicherheitsnachrichten, wird die zur Kommunikation der mehreren Sicherheitsnachrichten zwischen dem Remote-gelegenen ersten und zweiten Abschnitt der Anlage erforderliche Bandbreite reduziert. Dementsprechend ermöglicht der SDC durch Kombinieren und Verdichten der Sicherheitsnachrichten vor der Übertragung vorteilhafterweise eine Übertragung von Sicherheitsnachrichteninformationen mit geringerer Bandbreite zu Remote-Abschnitten der Prozessanlage innerhalb der Beschränkungen der Fernstreckenverbindung, während die Wiedergabetreue erhalten wird und die Wahrscheinlichkeit, dass Nachrichten verloren gehen, aufgrund von Überlastbedingungen gesenkt wird.
An dem zweiten Abschnitt der Prozessanlage, der in einem Fernstreckenabstand von dem ersten Abschnitt der Prozessanlage entfernt liegt, stellt der SDD nach Empfangen der konzentrierten Sicherheitsnachricht über die Fernstreckenverbindung die einzelnen Sicherheitsnachrichten aus der empfangenen, konzentrierten Sicherheitsnachricht wieder her (z. B. durch Trennen, Demultiplexen, Auspacken usw.). Der SDD überträgt die wiederhergestellten Sicherheitsnachrichten (z. B. direkt auf der E/A-Ebene über die Sicherheitskommunikationsbusse oder - verbindungen und/oder über einen oder mehrere Prozesssteuerungskommunikationsbusse oder -verbindungen) an Sicherheitslogik-Solver und/oder andere Empfängergeräte, die jeweils durch die wiederhergestellten Sicherheitsnachrichten angezeigt werden und sich im zweiten Abschnitt der Anlage befinden. Anschließend können die Sicherheitslogik-Solver auf der Grundlage der empfangenen individuellen Sicherheitsnachrichten geeignete Maßnahmen ergreifen, z. B. durch Verteilen entsprechender Sicherheitsnachrichten an entsprechende Empfänger-Prozesssteuerungsvorrichtungen, Prozesscontroller, Sicherheitsvorrichtungen und/oder Sicherheitscontroller, die in dem Remote-Abschnitt der Anlage angeordnet sind, indem eine oder mehrere Kontrollnachrichten und/oder Signale gesendet werden, um eine Auslösung oder eine andere schadensbegrenzende Maßnahme zu bewirken, indem ein Alarm ausgelöst wird usw.
Im Allgemeinen sind SDC und SDD also ein gespiegeltes Paar, das in der Kommunikation bidirektional sein kann. In einer beispielhaften Implementierung sind die Ausgaben des SDC über den Transportmechanismus, der die Fernstreckenverbindung mit niedrigerer Bandbreite umfasst, direkt logisch mit den Eingaben des SDD verbunden und umgekehrt.
Indem der SDC einzelne Sicherheitsnachrichten in eine konzentrierten Nachricht komprimiert und kombiniert, und indem der SDD die einzelnen Sicherheitsnachrichten aus der konzentrierten Nachricht wiederherstellt, erleichtern der SDC und der SDD vorteilhafterweise den effizienten und effektiven Transport über die Fernstreckenverbindung mit geringerer Bandbreite von Sicherheitsnachrichten, die von Geräten erzeugt werden, die in dem lokalen Teil der Prozessanlage angeordnet sind, an Empfängervorrichtungen, die im Remote-Abschnitt der Prozessanlage angeordnet sind. Das heißt, im Allgemeinen können Daten effizienter und effektiver über die Fernstreckenverbindung mit geringerer Bandbreite transportiert werden, wenn Sicherheitsnachrichten oder Pakete so konfiguriert werden, dass die Bandbreite und andere Einschränkungen der Fernstreckenverbindungen mit niedriger Bandbreite berücksichtigt werden, z. B. indem die Pakete auf eine bestimmte Größe und/oder eine bestimmte Frequenz begrenzt werden. Dementsprechend kann der SDC durch Komprimieren und Kombinieren mehrerer Sicherheitsnachrichten, die von den Sicherheitslogik-Solvern erzeugt werden, zu konzentrierten Sicherheitsnachrichten, sowohl die Größe (z. B. durch Komprimieren der Sicherheitsnachrichten) als auch die Häufigkeit (z. B. durch Kombinieren von Gruppen von Sicherheitsnachrichten, die in weniger häufigen Intervallen zusammen gesendet werden, anstatt dass jede Nachricht sofort gesendet wird, sobald sie empfangen wird) der Sicherheitsnachrichten reduzieren, die vom ersten Abschnitt der Prozessanlage zum zweiten Remote-Abschnitt der Prozessanlage übertragen werden. Wenn die Größe und die Häufigkeit der übertragenen Sicherheitsnachrichten reduziert werden, kann die Fernstreckenverbindung mit geringerer Bandbreite effektiv und effizient für die Übertragung von Sicherheitsnachrichten an Remote-Abschnitte der Anlage verwendet werden, ohne die Verbindung zu überfordern und möglicherweise kritische Sicherheitsnachrichten zu verwerfen. Somit kann die kostengünstigere Fernstreckenverbindung mit geringerer Bandbreite dazu verwendet werden, die Sicherheit der Prozessanlage ohne Verlust der Genauigkeit und ohne Erhöhung der Sicherheitsrisiken aufrechtzuerhalten.
Es wird angemerkt, dass in einigen Konfigurationen ein Safety Instrumented System sowohl eine Fernstreckenverbindung mit geringerer Bandbreite als auch eine Standard-Fernstreckenverbindung mit höherer Bandbreite umfassen kann. Somit kann die am besten geeignete Fernstreckenverbindung zur Übertragung verschiedener Arten von Sicherheitsnachrichten verwendet werden. Zum Beispiel kann eine Sicherheitsnachricht mit extrem hoher Dringlichkeit sowohl über die Fernstreckenverbindung mit höherer Bandbreite als auch mit niedriger Bandbreite gesendet werden. Andererseits können Herzschlag-Nachrichten ausschließlich über die Fernstreckenverbindung mit niedriger Bandbreite übertragen werden.
Es wird auch angemerkt, dass der SDC und der SDD bidirektional gekoppelt sein können (aber nicht sein müssen). Beispielsweise kann ein SDC, der an einem ersten Ende einer Fernstreckenverbindung angeordnet ist, als Konzentrator für Nachrichten dienen, die an das andere Ende der Fernstreckenverbindung geliefert werden sollen, und kann als Dekonzentrator für Nachrichten dienen, die vom anderen Ende der Fernstreckenverbindung empfangen werden, während ein mit dem SDC gepaarter SDD am anderen Ende der Fernstreckenverbindung angeordnet sein kann und die gleichen Funktionalitäten für das andere Ende der Fernstreckenverbindung ausführen kann.
In einigen Ausführungsformen umfasst der SDC und/oder der SDD zusätzlich zu ihren jeweiligen Konzentrations- und Dekonzentrationsfunktionen eine jeweilige interne Logik zum Verarbeiten bestimmter Bedingungen, um das Vorhandensein eines oder mehrerer Sicherheitsereignisse zu erkennen, die eine Auslösung oder eine andere schadensbegrenzende Maßnahme auslösen können. Im Allgemeinen, aber nicht notwendigerweise, beziehen sich diese Bedingungen auf die Fernstreckenverbindung mit geringerer Bandbreite. Beispielsweise kann das Eintreffen bestimmter Kommunikationspakete und/oder Kommunikationspakete einschließlich bestimmter Indikatoren, entweder allein oder in Kombination, am SDC und/oder am SDD in einigen Fällen einen Ausfall einer oder mehrerer Komponenten oder Geräte auslösen. Zusätzlich oder alternativ kann ein Ausfall einer oder mehrerer Komponenten oder Geräte ausgelöst werden, wenn der SDC und/oder der SDD Bedingungen wie beispielsweise einen Verlust von Kommunikationspaketen über die Fernstreckenverbindung (z. B. über einen bestimmten Zeitraum), schlechte oder mangelhafte Qualität der Kommunikationspakete, die über die Fernstreckenverbindung empfangen werden (z. B. über einen bestimmten Zeitraum), das Ausmaß, in dem die Qualität der Kommunikationspakete schlecht oder mangelhaft ist, usw. feststellen.
Ein zusätzlicher Vorteil der hier offenbarten Systeme, Verfahren und Techniken besteht darin, dass der SDC und der SDD nahtlos in vorhandene Safety Instrumented Systems integriert werden können. Das heißt, weil die Kommunikation zwischen den Sicherheitslogik-Solvern und dem SDC und/oder dem SDD die gleiche Kommunikationsstufe und -form verwendet, wie sie zwischen den Sicherheitslogik-Solvern und anderen lokalen Geräten (z. B. anderen Sicherheitslogik-Solvern, Prozesssteuerungs-E/A-Geräten, Sicherheitsfeldgeräten, Prozesssteuerungsfeldgeräten, Prozesscontrollern usw.) verwendet wird, kennen eingebettete Sicherheitslogik-Solver nicht die Tatsache, dass sie einen SDC und/oder einen SDD für die Fernstreckenübertragung und/oder den Empfang der Sicherheitsnachrichten verwenden. Zum Beispiel können Sicherheitslogik-Solver mit beiden lokalen Geräten und mit dem SDC/SDD auf E/A-Ebene kommunizieren, und Sender-/Empfängeradressen einzelner Sicherheitsnachrichten/-signale können in der konzentrierten Sicherheitsnachricht gehalten werden. Dementsprechend scheinen die Sicherheitsnachrichten aus Sicht der Sicherheitslogik-Solver lokal gesendet und empfangen zu werden. Folglich können der SDC und der SDD leicht in vorhandene Safety Instrumented Systems lokaler und Remote-Abschnitte einer Prozessanlage integriert werden und die Kommunikation von Sicherheitsnachrichten zwischen den vorhandenen Sicherheitslogik-Solvern jedes Systems auf einfache Weise erleichtern. Vorteilhafterweise sind keine Hardware- oder Softwareänderungen an Sicherheitslogik-Solvern erforderlich, um den SDC, den SDD und die Fernstreckenverbindung in ein vorhandenes Safety Instrumented System einer Prozessanlage zu implementieren. Dementsprechend funktioniert die Anordnung der SDC/Fernstreckenverbindung/SDD-Funktionen innerhalb des SIS als logische Fernstrecken-Transportleitung.
1 zeigt ein Blockschaltbild auf hoher Ebene einer beispielhaften Prozessanlage 10, die ein beispielhaftes Safety Instrumented System (SIS) 100 und ein beispielhaftes Prozesssteuerungssystem (PCS) 110 umfasst, und in dem verschiedene Teile der Feldumgebung der Anlage 10 geographisch über eine Fernstreckenstrecke, z. B. eine „Fernstrecken“-Prozessanlage 10, angeordnet sind. Wie in 1 umfasst die Prozessanlage 10 eine lokale Umgebung 12 und eine Remote-Umgebung 14, die sich in einer Fernstreckenentfernung von der lokalen Umgebung 12 befindet. Die lokale Umgebung 12 umfasst lokale Umgebungsabschnitte 16, 18 und 20 und der Remote-Umgebungsabschnitt 14 umfasst Remote-Umgebungsabschnitte 22 und 24. Jeder der lokalen Umgebungsabschnitte 14, 16, 18 und der Remote-Umgebungsabschnitte 22, 24 umfasst einen jeweiligen Abschnitt 36-44 des Prozesssteuerungssystems (PCS) 110, der in der Prozessanlage 10 arbeitet, sowie einen entsprechenden Abschnitt 46-54 des SIS 100, der den jeweiligen Abschnitt 36-44 des PCS 110 bedient. Im Allgemeinen steuert das PCS 110 einen oder mehrere industrielle Prozesse der Prozessanlage 10 in Echtzeit, während das SIS 100 sicherheitsbezogene Probleme und/oder Zustände erkennt, die in dem PCS 110 und/oder der Prozessanlage 10 auftreten, und erzeugt und überträgt Sicherheitsnachrichten/-signale innerhalb und zwischen Abschnitten der Prozessanlage 10, um die nachteilige Natur erfasster sicherheitsbezogener Zustände zu verhindern oder zu begrenzen, beispielsweise durch Senden von Steuersignalen, um z. B. Geräte abzuschalten, Strom aus Abschnitten der Anlage zu trennen z. B. durch Schließen von Ventilen, Umschalten von Sicherheitsvorrichtungen und/oder Steuerungsvorrichtungen in einen ausgelösten oder „sicheren“ Modus usw. In einigen Situationen kann eine empfangene Sicherheitsnachricht selbst eine Bedingung sein, die von einem Logik-Solver mit anderen erkannten Bedingungen kombiniert wird, um zu bestimmen, ob eine Sicherheits-Auslösung eingeleitet werden soll oder nicht.
Wie in 1 gezeigt, bedient in der lokalen Umgebung 12 der lokale Abschnitt 46 des SIS 100 den Abschnitt Teil 36 des PCS 110, der lokale Abschnitt 48 des SIS 100 bedient den lokalen Abschnitt 38 des PCS 110 und der lokale Abschnitt 50 des SIS den lokalen Abschnitt 40 des PCS. In ähnlicher Weise bedient der Remote-Abschnitt 52 des SIS 100 in der Remote-Umgebung 14 den Remote-Abschnitt 42 des PCS 110 und der Remote-Abschnitt 54 des SIS 100 bedient den Remote-Abschnitt 44 des PCS 110. Natürlich dienen die Anzahl und Anordnung der SIS-Abschnitte 46 bis 54 und der PCS-Abschnitte 36 bis 44, die in 1 beispielhaft dargestellt sind, der Erleichterung (und nicht der Einschränkung) der Erörterung. Zum Beispiel kann die lokale Umgebung 12 (und/oder die Remote-Umgebung 14) eine beliebige Anzahl von SIS-Abschnitten enthalten, die nach Wunsch eine beliebige Anzahl von PCS-Abschnitten in einer Eins-zu-Eins-, Eins-zu-Viele- oder Viele-zu-Eins-Anordnung bedienen. Ferner können Teile des SIS, die vollständig in der lokalen Umgebung 12 (oder vollständig in der Remote-Umgebung 14) angeordnet sind, auf jede geeignete Weise (z. B. über eine oder mehrere direkte Querverbindungen, einen Ring usw.) kommunikativ miteinander verbunden sein. In ähnlicher Weise können Abschnitte des PCS, die in der lokalen Umgebung 12 (oder der Remote-Umgebung 14) angeordnet sind, auf irgendeine geeignete Weise kommunikativ miteinander verbunden sein.
Auf jeden Fall können, wie oben diskutiert, Sicherheitsbedingungen, die in einem Teil 12 der Anlage 10 auftreten, die Sicherheit der Anlage 10 insgesamt und/oder an einem Remote-gelegenen Abschnitt 14 der Anlage 10 und umgekehrt beeinflussen. Darüber hinaus können vorbeugende oder schadensbegrenzende Maßnahmen, die in einem Abschnitt 12 der Anlage ergriffen werden, dazu beitragen, Sicherheitsereignisse und -bedingungen in anderen Abschnitten 14 der Anlage 10 (und umgekehrt) ebenfalls zu verhindern oder zu mildern. Um das Sicherheitsrisiko in der Prozessanlage 10 effektiv zu bewältigen, müssen dementsprechend sicherheitsrelevante Meldungen, die Sicherheitsbedingungen in der Anlage 10 anzeigen, innerhalb und zwischen lokalen Abschnitten einer Anlage 10 (z. B. lokal zwischen einem der lokalen SIS-Abschnitte 46, 48, 50 und einem anderen lokalen SIS-Abschnitt 46, 48, 50; und lokal zwischen den Remote-SIS-Abschnitten 52 und 54) sowie zwischen Remote-gelegenen Abschnitten der Anlage 10 (z. B. zwischen einem oder mehreren lokalen SIS-Abschnitten 46, 48, 50 und einem oder mehreren Remote-SIS-Abschnitten 52, 54) gesendet werden, um geeignete vorbeugende und/oder schadensbegrenzende Maßnahmen auszulösen. Um die Übermittlung von Sicherheitsnachrichten zwischen den lokalen Abschnitten 46, 48, 50 des SIS 100 und den Remote-Abschnitten 52, 54 des SIS 100 über eine Fernstreckenentfernung zu erleichtern, ist ein Sicherheitsdaten-Konzentrator (SDC) 128 innerhalb der lokalen Umgebung 12 und kommunikativ mit einem oder mehreren lokalen Abschnitten 46, 48, 50 des SIS 100 gekoppelt, während ein Sicherheitsdaten-Dekonzentrator (SDD) 130 in der Remote-Umgebung 14 angeordnet ist und kommunikativ mit einem oder mehreren Remote-Abschnitten 52, 54 des SIS 100 verbunden ist. In 1 ist der SDC 128 so dargestellt, dass er kommunikativ mit den lokalen SIS-Abschnitten 46, 48, 50 gekoppelt ist, und der SDD ist so dargestellt, dass er kommunikativ mit den Remote-SIS-Abschnitten 52, 54 gekoppelt ist, wobei diese Anordnung jedoch nur der Veranschaulichung dient. Obwohl es nicht gezeigt wird, kann beispielsweise eine beliebige Anzahl von lokalen SIS-Abschnitten kommunikativ mit dem SDC 128 verbunden sein, und eine beliebige Anzahl von Remote-SIS-Abschnitten kann kommunikativ mit dem SDD 130 verbunden sein. In einigen Ausführungsformen (auch nicht gezeigt) kann mehr als ein SDC 128 in der lokalen Umgebung 12 angeordnet sein, und jeweilige Teilsätze lokaler SIS-Abschnitte können kommunikativ mit jedem SDC 128 gekoppelt sein. In ähnlicher Weise können in einigen Ausführungsformen (auch nicht gezeigt) mehr als ein SDD 130 in der Remote-Umgebung 14 angeordnet sein, und entsprechende Teilsätze von Remote-SIS-Abschnitten können kommunikativ mit jedem SDD 130 gekoppelt sein.
Wie in 1 dargestellt, konzentriert der SDC 128 einzelne Sicherheitsnachrichten, die von den lokalen SIS-Abschnitten 46, 48 und 50 erzeugt werden und von einem oder mehreren der Remote-SIS-Abschnitte 52, 54 empfangen werden sollen, in eine oder mehrere konzentrierte Sicherheitsnachrichten, und überträgt die konzentrierte(n) Sicherheitsnachricht(en) über eine Fernstreckenverbindung 132 an den in der Remote-Umgebung 14 angeordneten SDD 130. In der Remote-Umgebung 14 stellt der SDD 130 die einzelnen Sicherheitsnachrichten aus den konzentrierten Sicherheitsnachrichten wieder her und stellt sie ihren vorgesehenen Empfängern zur Verfügung, z. B. Logik-Solvern, die im Remote-SIS-Abschnitt 52 und/oder im Remote-SIS-Abschnitt 54 angeordnet sind. Zusammen umfassen der SDC 128, der SDD 130 und die Fernstreckenverbindung 132 den Fernstreckenabschnitt 134 (z. B. den Fernstrecken-Transportmechanismus 134) des Safety Instrumented Systems 100.
Der Fernstrecken-Transportmechanismus 134 verbindet die lokale Umgebung 12 und die Remote-Umgebung 14, die physisch und/oder geographisch, z. B. in einem signifikanten Fernstreckenabstand, voneinander entfernt sind. In einer Ausführungsform ist der geographische Abstand zwischen zwei beliebigen lokalen Umgebungsabschnitten 16, 18, 20 kürzer als der geographische Abstand zwischen der lokalen Umgebung 12 und der Remote-Umgebung 14 und der geographische Abstand zwischen den Remote-Umgebungsabschnitten 22, 24 ist kürzer als die geographische Entfernung zwischen der lokalen Umgebung 12 und der Remote-Umgebung 14. In einer beispielhaften Konfiguration befindet sich die lokale Umgebung 12 der Prozessanlage 10 an Land, während sich die Remote-Umgebung 14 der Anlage 10 in Wasser befindet (z. B. Offshore und/oder Unterwasser). In einer anderen beispielhaften Konfiguration befindet sich die lokale Umgebung 12 der Anlage 10 oberirdisch, während sich die Remote-Umgebung 14 unter der Erde befindet. Natürlich sind das Vorangegangene nur einige Beispiele für mögliche Fernstrecken-Konfigurationen der Prozessanlagen 10 und zusätzliche Konfigurationen, in denen die Remote-Umgebung 14 der Prozessanlage 10 entfernt von der lokalen Umgebung 12 der Prozessanlage 10 angeordnet ist.
In der lokalen Umgebung 12 kommunizieren die lokalen Umgebungsteile 46, 48, 50 des SIS 100 über eine oder mehrere Sicherheitssystem-Datenautobahnen (z. B. direkt auf der E/A-Ebene oder auf einer anderen festgelegten Ebene), Busse und/oder Ringe (die hierin auch austauschbar als „Sicherheitssystem-Kommunikationsverbindungen“ bezeichnet werden), die in der lokalen Umgebung 12 angeordnet sind, miteinander. In ähnlicher Weise kommunizieren in der Remote-Umgebung 14 die Remote-Umgebungsteile 52, 54 des SIS über eine oder mehrere Sicherheitssystem-Kommunikationsverbindungen, die miteinander (z. B. direkt auf der E/A-Ebene oder auf einer anderen festgelegten Ebene) in der Remote-Umgebung 14 angeordnet sind. Wie in 1 gezeigt, sind jeder SIS-Abschnitt und sein entsprechender PCS-Abschnitt in einer bestimmten Umgebung 12, 14 über die Kommunikationsverbindung eines oder mehrerer residenter Sicherheitssysteme (z. B. auf der E/A-Ebene oder auf einer anderen festgelegten Ebene) der bestimmten Umgebung 12, 14 miteinander verbunden. Dementsprechend erhält jeder SIS-Abschnitt Signale und/oder Nachrichten von seinem entsprechenden PCS-Abschnitt und von anderen lokal angeordneten SIS-Abschnitten über die Kommunikationsverbindung(en) des residenten Sicherheitssystems. Beispielsweise ist der SIS-Abschnitt 52 über eine oder mehrere in der Remote-Umgebung 14 angeordnete Sicherheitssystem-Kommunikationsverbindungen kommunikativ mit dem PCS-Abschnitt 42 verbunden und erhält dadurch Signale und/oder Nachrichten von dem PCS-Abschnitt 42 über die Sicherheitssystem-Kommunikationsverbindung(en).
Ferner werden in der lokalen Umgebung 12 von einem oder mehreren lokalen SIS-Abschnitten 46, 48, 50 erzeugte Sicherheitsnachrichten über eine oder mehrere Kommunikationsverbindungen eines residenten Sicherheitssystems der lokalen Umgebung 12, z. B. E/A-Ebene oder auf einer anderen festgelegten Ebene an den SDC 128 übertragen, die von den lokalen SIS-Abschnitten 46, 48, 50 zum Übermitteln von Sicherheitsnachrichten nativ verwendet wird. In ähnlicher Weise werden in der Remote-Umgebung 14 von dem SDD 130 wiederhergestellte Sicherheitsnachrichten an einen oder mehrere Remote-SIS-Abschnitte 52, 54 über eine oder mehrere Kommunikationsverbindungen des residenten Sicherheitssystems der Remote-Umgebung 14, z. B. auf einem anderen festgelegten Niveau, das von den Remote-SIS-Abschnitten 52, 54 zum Übertragen von Sicherheitsnachrichten nativ verwendet wird, übertragen. Zum Beispiel ist, wie in 1 gezeigt, der lokale SIS-Abschnitt 50 über die eine oder die mehreren Sicherheitssystem-Kommunikationsverbindungen, die von den lokalen SIS-Abschnitten 46, 48, 50 verwendet werden, kommunikativ mit dem SDC 128 verbunden, und der SDD 130 ist über die eine oder die mehreren Sicherheitssystem-Kommunikationsverbindungen, die von Remote-SIS-Abschnitten 52, 54 verwendet werden, kommunikativ mit dem SDD 130 verbunden. Die Verbindung des lokalen SIS-Abschnitts 50 und des SDC 128 und die Verbindung des SDD 130 und des Remote-SIS-Abschnitts 52 werden in einem späteren Abschnitt ausführlicher beschrieben.
Wie oben erläutert, kommunizieren verschiedene PCS-Abschnitte innerhalb einer bestimmten Umgebung 12, 14 unter Verwendung einer oder mehrerer geeigneter Datenautobahnen, Busse und/oder Netzwerke mit residenter Prozesssteuerungskommunikation miteinander (hierin auch austauschbar als „Prozesssteuerungskommunikationsverbindungen“ bezeichnet), die in der jeweiligen Umgebung 12, 14 angeordnet sind. Allgemein gesagt können Prozesssteuerungskommunikationsverbindungen, die vollständig in einer bestimmten Umgebung 12, 14 des PCS 110 angeordnet sind, drahtgebunden oder drahtlos sein und sind typischerweise (aber nicht notwendigerweise) andere Kommunikationsverbindungen als die Sicherheitssystem-Kommunikationsverbindungen des SIS 110, das die PCS 100 unterstützt.
Andererseits übertragen und empfangen der SDC 128 und der SDD 130 konzentrierte Sicherheitsnachrichten untereinander unter Verwendung der Fernstreckenverbindung 132, die die Entfernung zwischen der lokalen Umgebung 12 und der Remote-Umgebung 14 überspannt. In einer Ausführungsform ist die Fernstreckenverbindung 132 eine Transportverbindung mit geringerer Bandbreite oder anderweitig „langsamer“ im Vergleich zu einem Satelliten oder einer anderen Verbindung mit hoher Bandbreite. Zum Beispiel kann die Fernstreckenverbindung 132 unter Verwendung einer oder mehrerer terrestrischer Nicht-Satelliten-Funkverbindungen, einer oder mehrerer Piggyback-Verbindungen auf drahtgebundenen Kommunikationsverbindungen, eines oder mehrerer VPNs mit niedrigerer Bandbreite, die in einer oder mehreren insgesamt höheren Bandbreitenverbindungen enthalten sind und/oder jede andere geeignete Fernstreckenverbindung mit niedriger Bandbreite implementiert werden. Im Allgemeinen ist die Fernstreckenverbindung 132 im Vergleich zu den lokalen Sicherheitssystem-Kommunikationsverbindungen, die die lokalen SIS-Abschnitte 46, 48, 50 verbinden, und den lokalen Sicherheitssystem-Kommunikationsverbindungen, die die Remote-SIS-Abschnitte 52, 54 miteinander verbinden, eine langsamere oder niedrigere Bandbreite und die Fernstreckenverbindung 132 ist im Vergleich zu einer Satellitenverbindung oder einer optischen Faserverbindung eine langsamere oder niedrigere Bandbreite. Vorteilhafterweise sind solche langsameren Verbindungen mit niedrigerer Bandbreite in der Regel günstiger zu betreiben und/oder zu verwenden als eine Verbindung mit höherer Bandbreite. Typischerweise werden Kommunikationen, die zwischen dem SDC 128 und dem SDD 130 über die Fernstreckenverbindung 132 gesendet werden, über einen oder mehrere Mechanismen oder Techniken geschützt, z. B. Autorisierung, Authentifizierung, Verschlüsselung, Schlüssel und/oder andere geeignete Sicherheitsmechanismen oder -techniken.
Obwohl 1 den SDC 128 in der lokalen Umgebung 12 und den SDD 130 in der Remote-Umgebung 14 angeordnet zeigt, kann in einigen Ausführungsformen der SDC 128 in der Remote-Umgebung 14 angeordnet sein, während der SDD 130 in der lokalen Umgebung 12 angeordnet ist, z. B. wenn in der Remote-Umgebung 14 auftretende sicherheitsbezogene Bedingungen an in der lokalen Umgebung 12 angeordnete Geräte kommuniziert werden müssen. In einigen Ausführungsformen umfasst sowohl die lokale Umgebung 12 als auch die Remote-Umgebung 14 sowohl einen jeweiligen SDC 128 als auch einen jeweiligen SDD 130 und/oder mehr als einen SDC 128 und/oder mehr als einen SDD 130. In solchen Ausführungsformen kann die Fernstreckenverbindung 132 eine bidirektionale Verbindung sein, oder es können zusätzliche Fernstreckenverbindungen für die Kommunikation zwischen jedem SDC/SDD-Paar über Fernstreckenentfernungen vorhanden sein. Ferner können bei einigen Implementierungen ein SDC 128 und ein SDD 130, die in derselben Umgebung angeordnet sind (z. B. sowohl in der lokalen Umgebung 12 als auch in der Remote-Umgebung 14), falls gewünscht, als integrale Vorrichtung implementiert sein. Weiterhin kann die Abbildung von SDCs, die in einer Umgebung 12, 14 über Fernstreckenentfernungen zu SDDs angeordnet sind, in einer anderen Umgebung 12, 14 als eins-zu-eins (wie in 1 dargestellt), eins-zu-viele oder viele-zu-eins (nicht gezeigt) angeordnet sein. Obwohl in 1 nur eine lokale Umgebung 12 und eine Remote-Umgebung 14 gezeigt sind, können verschiedene Prozessanlagenanordnungen eine beliebige Anzahl von lokalen Umgebungen und eine beliebige Anzahl von Remote-Umgebungen umfassen.
2A zeigt ein Blockdiagramm einer Ausführungsform 140 eines Abschnitts des Safety Instrumented Systems (SIS) 100 von 1. In der beispielhaften Ausführungsform 140 von 2A umfassen ein oder mehrere Abschnitte des SIS 100, die in der lokalen Umgebung 12 angeordnet sind, einen oder mehrere Sicherheitslogik-Solver 142, 144, 146, die Sicherheitsnachrichten erzeugen, die an einen oder mehrere Sicherheitslogik-Solver 148, 150, 152 des SIS 100, die in der Remote-Umgebung 14 angeordnet sind, geliefert werden sollen. Zur Erleichterung der Diskussion stellt 2A die lokalen Logik-Solver 142, 144, 146 als in dem lokalen SIS-Abschnitt 50 enthalten dar, jedoch können in anderen Ausführungsformen die lokalen Logik-Solver 142, 144, 146 in einem anderen lokalen SIS-Abschnitt 46, 48 enthalten sein oder können über zwei oder mehr lokale Abschnitte 46, 48, 50 des SIS 100 angeordnet sein. In ähnlicher Weise stellt 2A die Remote-Logik-Solver 148, 150, 152 als in dem Remote-SIS-Abschnitt 52 enthalten dar, jedoch können die Remote-Logik-Solver 148, 150, 152 im Remote-SIS-Abschnitt 54 oder über beide Remote-Abschnitte 52, 54 des SIS 100 angeordnet sein. In einem veranschaulichenden beispielhaften Szenario können verschiedene sicherheitsrelevante Bedingungen von den lokalen Logik-Solvern 142, 144, 146 erfasst werden (z. B. durch Empfangen oder Erhalten einer oder mehrerer Nachrichten und/oder Signale über eine lokale Sicherheitsdatenautobahn und/oder eine lokale PCS Data Highway), von denen einige bewirken können, dass eine entsprechende Sicherheitsnachricht von dem einen oder den mehreren lokalen Logik-Solvern 142, 144, 146 zur Zustellung an einen oder mehrere Remote-Empfängerlogik-Solver 148, 150, 152 erzeugt wird, die in einer Fernstreckenentfernung von den lokalen Logik-Solvern 142, 144, 146 entfernt angeordnet sind.
Dementsprechend werden die Sicherheitsnachrichten, die von den lokalen Sicherheitslogik-Solvern 142, 144, 146 erzeugt werden und für einen oder mehrere der Remote-Sicherheitslogik-Solver 148, 150, 152 bestimmt sind, von der lokalen Umgebung 12 zu der Remote-Umgebung 14 über die Fernstreckenverbindung 134 des SIS 100 transportiert. Insbesondere wie in 2A dargestellt werden von den lokalen Logik-Solvern 142, 144, 146 erzeugte Sicherheitsnachrichten über den SDC 128, die Fernstreckenverbindung 132 und den SDD 130 an die beabsichtigten Remote-Empfängerlogik-Solver 148, 150, 152 übermittelt. Der eigentliche Transportmechanismus, der verwendet wird, um die Sicherheitsnachrichten an seine jeweiligen Empfänger zu übermitteln (z. B. den Fernstreckentransportabschnitt 134 des SIS 100) oder einen lokalen Transportmechanismus, wie beispielsweise eine lokale Sicherheitsdatenautobahn, Bus oder Ring) kann für die Logik-Solver 142, 144, 146, 148, 150, 152 transparent sein. In einem Beispiel wissen „Sender“-Logik-Solver nicht, ob sich „Empfänger“-Logik-Solver lokal oder Remote- in Bezug auf die Senderlogik-Solver befinden. Dementsprechend adressieren Senderlogik-Solver einfach Sicherheitsnachrichten an die jeweiligen beabsichtigten Empfängerlogik-Solver und übertragen die Nachrichten auf dieselbe Weise unabhängig davon, ob die Empfängerlogik-Solver lokal oder Remote-angeordnet sind. Beispielsweise kann ein Senderlogik-Solver Sicherheitsnachrichten erzeugen und an einen anderen Logik-Solver auf E/A-Ebene (oder auf einer anderen Ebene und/oder einem anderen Kommunikationsformat) senden, unabhängig davon, ob der Empfängerlogik-Solver lokal oder Remote-angeordnet ist. Insbesondere müssen die lokalen Sender-Logik-Solver 142, 144, 146 keine Anzeige (z. B. Adresse, Wrapper oder eine andere Angabe) liefern, ob die erzeugte Sicherheitsnachrichten über den SDC 128 übertragen werden sollen oder nicht. Das heißt, eine Adresse oder eine andere Angabe des SDC 128 muss nicht in den Sicherheitsnachrichten angegeben werden, die von den Senderlogik-Solvern 142, 144, 146 erzeugt werden.
Der SDC 128 dient als eine Gateway- oder Wegstation, an der die mehreren Sicherheitsnachrichten, die von den Sendersicherheitslogik-Solvern 142, 144, 146 (und optional von anderen lokalen Sendersicherheitslogik-Solvern) erzeugt werden und die für Remote-angeordnete Geräte bestimmt sind, vorübergehend zum Kombinieren in eine oder mehrere konzentrierte Sicherheitsnachrichten gesammelt oder bereitgestellt. Das Kombinieren der mehreren Sicherheitsnachrichten in die konzentrierte(n) Sicherheitsnachricht(en) kann unter Verwendung einer beliebigen geeigneten Technik durchgeführt werden, zum Beispiel Komprimieren, Konzentrieren, Konsolidieren, Multiplexen und/oder andere geeignete Kombinationsarten der individuellen Nachrichten in eine einzelne Nachricht. Im Allgemeinen ist jedoch die Gesamtlänge einer konzentrierten Sicherheitsnachricht kürzer als eine Summe der Längen der einzelnen Sicherheitsnachrichten, die in die konzentrierte Sicherheitsnachricht kombiniert werden. Ferner kann das Kombinieren mehrerer Sicherheitsnachrichten auf einem oder mehreren Kriterien basieren. Zum Beispiel können das eine oder die mehreren Kombinationskriterien mindestens eine Eigenschaft der Fernstreckenverbindung 132 mit geringerer Bandbreite wie etwa verfügbare Bandbreite, maximale Bandbreite, Rauschpegel usw. enthalten. Zusätzlich oder alternativ dazu können das eine oder die mehreren Kombinationskriterien der Sicherheitsnachrichten Eigenschaften der Nachrichten selbst umfassen, z. B. Nachrichten, die Inhalte enthalten, die an einen bestimmten Gegenstand gerichtet sind, Nachrichten, die eine gemeinsame Empfängervorrichtung aufweisen, eine erforderliche Ankunftszeit einer Nachricht, eine Dringlichkeit der Sicherheit in der Nachricht enthaltene Informationen, eine Priorität der in der Nachricht enthaltenen Sicherheitsinformationen, eine tolerierbare Verzögerung usw.
Andere Arten der Nachrichtenkonzentration sind eventuell möglich. Zum Beispiel können erwartete Herzschlag-Nachrichten, die von den Logik-Solvern 142, 144, 146 am SDC 128 empfangen werden, nicht über die Fernstreckenverbindung 132 übertragen werden, und stattdessen kann der SDD 130 automatisch und lokal erwartete Herzschlag-Nachrichten für die Logik-Solver 142, 144, 146 erzeugen und sie an ihre jeweiligen Empfänger weiterleiten. Wenn jedoch Herzschlag-Nachrichten vom SDC 128 von den Logik-Solvern 142, 144, 146 in einem unerwarteten Muster aus Sicht des SDC 128 empfangen werden (z. B. unerwarteter Inhalt, fehlende Nachrichten, verzögerte Nachrichten usw.), kann der SDC 128 dann über die Fernstreckenverbindung 132 ein dies anzeigendes Signal erzeugen und an den SDD 130 senden. Bei Empfang des Signals kann der SDD 130 die Erzeugung der erwarteten Herzschlag-Nachrichten für die Logik-Solver 142, 144, 146 beenden und stattdessen Sicherheitsnachrichten/Signale erzeugen und senden, die das unerwartete Muster anzeigen.
Am Remote-Ende der Fernstreckenverbindung 132 empfängt der SDD 130 eine konzentrierte Sicherheitsnachricht und stellt die ursprünglichen individuellen Sicherheitsnachrichten davon wieder her. Beispielsweise kann der SDD 130 eine Wiederherstellungstechnik verwenden, die das Gegenteil des anderweitig vom dem SDC 128 verwendete Kombinationsverfahren ist (z. B. Dekomprimierung/Komprimierung, Demultiplexen/Multiplexen, Umwickeln/Entpacken usw.) oder die sie anderweitig negiert. Der SDC 130 liefert die wiederhergestellten Sicherheitsnachrichten an ihre beabsichtigten Empfängerlogik-Solver 148, 150, 152, die sich in dem Remote-Umgebungsabschnitt 14 des SIS befinden. Zum Beispiel überträgt der SDD 130 einzelne wiederhergestellte Sicherheitsnachrichten auf der E/A-Ebene oder unter Verwendung einer anderen Ebene und/oder eines anderen Kommunikationsformats, die für ihre jeweiligen Empfänger-Sicherheitslogik-Solver 148, 150, 152 nativ sind. Auf der Grundlage des Empfangs und/oder des Inhalts der empfangenen Sicherheitsnachrichten können die Empfängerlogik-Solver 148, 150, 152 eine oder mehrere schadensbegrenzende Sicherheitsmaßnahmen einleiten, wie etwa das Senden von Steuerungsnachrichten oder Signalen, um eine Auslösung zu bewirken, ein Ventil zu öffnen, usw. Ähnlich wie die lokalen Sicherheitslogik-Solver 142, 144, 146 müssen die Remote-Sicherheitslogik-Solver 148, 150, 152 das Vorhandensein des Fernstrecken-Transportmechanismus 134, der in dem SIS 100 enthalten ist, nicht kennen und/oder nicht einmal wissen, dass die empfangenen Sicherheitsnachrichten über den Fernstrecken-Transportmechanismus 134 übermittelt wurden.
In Anbetracht der obigen Erörterung muss der Transportmechanismus, der zum Liefern verschiedener Sicherheitsnachrichten verwendet wird, den Sicherheitslogik-Solvern 142, 144, 146, 148, 150, 152 nicht bekannt sein. Das heißt, die Sicherheitslogik-Solver 142, 144, 146, 148, 150, 152 müssen nicht wissen, ob eine Sicherheitsnachricht über den Fernstrecken-Transportmechanismus 134 oder über eine lokale Sicherheitsdatenautobahn, einen Bus oder über einen Ring übermittelt werden soll. In der Tat können sich die Sicherheitslogik-Solver 142, 144, 146, 148, 150, 152, wie oben besprochen, nicht einmal der Existenz des Fernstrecken-Transportmechanismus 134 bewusst sein. Somit kann der Fernstrecken-Transportmechanismus 134 (z. B. einschließlich des SDC 128, der Fernstreckenverbindung 132 und des gepaarten SDD 130) innerhalb des SIS 100 als eine logische Pipe fungieren, die die lokale Umgebung 12 und die Remote-Umgebung 14 des SIS 100 verbindet. Folglich können ein SDC 128/SDD 130-Paar und eine entsprechende Fernstreckenverbindung 132 nahtlos in bestehende lokale Umgebungen 12 und Remote-Umgebungen 14 des SIS 100 einer Prozesssteuerungsanlage 10 integriert werden, ohne eingebettete Sicherheitslogik-Solver 142, 144, 146, 148, 150, 152 zu beeinflussen oder gar zu benachrichtigen.
In 2B umfasst der SDC 128 in einer beispielhaften Ausführungsform 155 des Fernstreckenabschnitts 134 des SIS 100 eine oder mehrere interne Funktionen F_SDC
x . Die eine oder die mehreren internen Funktionen F_SDC
x bestimmen, welche Sicherheitsnachrichten von den Sicherheitslogik-Solvern 142, 144, 146 miteinander kombiniert werden sollen, wann Sicherheitsnachrichten kombiniert werden sollen und wann konzentrierte Sicherheitsnachrichten übertragen werden sollen und/oder für den Transport über die Fernstreckenverbindung 132 durch den SDC 128 vorgesehen sind. Die eine oder die mehreren internen Funktionen F_SDC
x nehmen diese Bestimmungen auf der Grundlage von einem oder mehreren Faktoren und/oder Eingaben vor, beispielsweise dem Inhalt jeder Sicherheitsnachricht, dem Zeitpunkt der Sicherheitsnachrichten, der Dringlichkeit jeder Sicherheitsnachricht, dem Sicherheitslogik-Solver, von dem jede Sicherheitsnachricht stammt, oder einer bestimmten Kombination von Sicherheitslogik-Solvern, von denen ein Satz von Sicherheitsnachrichten stammt, der Anzahl der erhaltenen Sicherheitsnachrichten, der Anzahl der von jedem einzelnen Sicherheitslogik-Solver erhaltenen Sicherheitsnachrichten, der Häufigkeit der empfangenen Sicherheitsnachrichten, erwarteten Sicherheitsnachrichten, die nicht empfangen werden (z. B. „Herzschlag“ - Nachrichten) usw. oder einer Kombination dieser Faktoren und/oder Eingaben.
In einer beispielhaften Implementierung bestimmen die eine oder die mehreren internen Funktionen F_SDC
x , dass mehrere einzelne Sicherheitsnachrichten in eine konzentrierte Sicherheitsnachricht basierend auf dem Inhalt jeder einzelnen Sicherheitsnachricht kombiniert werden. In einigen Szenarien werden einzelne Sicherheitsnachrichten, die sich auf dasselbe Feldgerät oder den gleichen Feldgerätetyp beziehen, kombiniert. Zusätzlich oder alternativ werden in einigen Szenarien einzelne Sicherheitsnachrichten, die sich auf einen bestimmten Standort oder eine bestimmte Einheit der Anlage beziehen, kombiniert. Darüber hinaus werden in einigen Szenarien Sicherheitsnachrichten, die sich auf einen bestimmten Zustand in der Anlage beziehen, wie etwa ein Überlauf, kombiniert und/oder einzelne Sicherheitsnachrichten, die bei demselben Sicherheitslogik-Solver empfangen werden sollen, werden in eine konzentrierte Sicherheitsnachricht kombiniert.
In einer beispielhaften Implementierung bestimmen die eine oder die mehreren internen Funktionen F_SDC
x , dass mehrere einzelne Sicherheitsnachrichten in eine konzentrierten Sicherheitsnachricht basierend auf dem Zeitpunkt des Empfangs der einzelnen Sicherheitsnachrichten an dem SDC 128 kombiniert werden. In einigen Ausführungsformen werden beispielsweise einzelne Sicherheitsnachrichten, die von dem SDC 128 innerhalb einer bestimmten Zeitspanne empfangen werden, kombiniert. In einem anderen Beispiel bestimmen die eine oder die mehreren internen Funktionen F_SDC
X , wann einzelne Sicherheitsnachrichten kombiniert werden sollen, und/oder bestimmen, wann konzentrierte Sicherheitsnachrichten übertragen und/oder für den Transport über die Fernstreckenverbindung 132 bereitgestellt werden sollten, basierend auf dem Empfangszeitpunkt der einzelnen Sicherheitsnachrichten an dem SDC 128. Zum Beispiel wird in einigen Ausführungsformen eine konzentrierte Sicherheitsnachricht, die durch Kombinieren einzelner Sicherheitsnachrichten, die von dem SDC 128 innerhalb einer bestimmten Zeitdauer empfangen werden, gebildet wird, wiederum zu einer bestimmten Zeit an den SDD 130 übertragen.
Zusätzlich oder alternativ bestimmen die eine oder die mehreren internen Funktionen F_SDC
x , dass mehrere Sicherheitsnachrichten in eine konzentrierte Sicherheitsnachricht basierend auf der Dringlichkeit jeder einzelnen Sicherheitsnachricht kombiniert werden sollen. Beispielsweise werden einzelne Sicherheitsnachrichten, die dringender sind, in eine konzentrierte Sicherheitsnachricht zusammengefasst, während einzelne Sicherheitsnachrichten, die weniger dringend sind, in eine andere konzentrierte Sicherheitsnachricht oder andere konzentrierte Sicherheitsnachrichten kombiniert werden. In einigen Situationen bestimmen die eine oder die mehreren internen Funktionen F_SDC
x außerdem, wann einzelne Sicherheitsnachrichten in eine konzentrierte Sicherheitsnachricht kombiniert werden sollen oder wann eine konzentrierte Sicherheitsnachricht gesendet werden soll, basierend auf der Dringlichkeit der einzelnen Sicherheitsnachrichten und/oder der konzentrierten Sicherheitsnachricht. Zum Beispiel werden in einigen Ausführungsformen dringendere individuelle Sicherheitsnachrichten zu einem früheren Zeitpunkt in eine konzentrierte Sicherheitsnachricht kombiniert und/oder die konzentrierte Sicherheitsnachricht, die die dringenderen Sicherheitsnachrichten enthält, wird zu einem früheren Zeitpunkt übertragen, während weniger dringende individuelle Sicherheitsnachrichten zu einem späteren Zeitpunkt kombiniert und/oder in einer konzentrierten Sicherheitsnachricht übertragen werden.
In einigen Implementierungen bestimmen die eine oder die mehreren internen Funktionen F_SDC
x , dass einzelne Sicherheitsnachrichten auf der Grundlage des Sicherheitslogik-Solvers, von dem jede einzelne Sicherheitsnachricht stammt, oder basierend auf einer bestimmten Kombination von Sicherheitslogik-Solvern, in eine konzentrierte Sicherheitsnachricht kombiniert werden sollen, von denen eine Reihe einzelner Sicherheitsnachrichten stammen. In einigen Szenarien wird beispielsweise eine Reihe von Sicherheitsnachrichten, die von einem bestimmten Sicherheitslogik-Solver erzeugt werden (z. B. über einen bestimmten Zeitraum oder bis eine Schwellenanzahl von Sicherheitsnachrichten empfangen wird) in eine konzentrierte Sicherheitsnachricht kombiniert. Als ein anderes Beispielszenario werden die einzelnen Sicherheitsnachrichten, die von den Sicherheitslogik-Solvern A, B und C erzeugt werden (z. B. über einen bestimmten Zeitraum oder bis eine Schwellenanzahl von Sicherheitsnachrichten empfangen wird) in eine konzentrierte Sicherheitsnachricht kombiniert, wobei die von den Sicherheitslogik-Solvern D und E erzeugten Sicherheitsnachrichten in eine weitere konzentrierte Sicherheitsnachricht kombiniert werden. In zusätzlichen oder alternativen Szenarien bestimmen die eine oder die mehreren internen Funktionen F_SDC
x , dass einzelne Sicherheitsnachrichten basierend auf dem Sicherheitslogik-Solver, von dem jede Sicherheitsnachricht stammt, oder einer bestimmten Kombination von Sicherheitslogik-Solvern, aus denen ein Satz von individuellen erzeugten Sicherheitsnachrichten kombiniert werden sollen. Wenn der SDC 128 beispielsweise Sicherheitsnachrichten von bestimmten Sicherheitslogik-Solvern empfängt (z. B. nachdem der SDC 128 eine Sicherheitsnachricht von sowohl dem Sicherheitslogik-Solver A als auch dem Sicherheitslogik-Solver B erhalten hat), müssen die Sicherheitsnachrichten sofort in eine einzelne Sicherheitsnachricht kombiniert werden und/oder die konzentrierte Sicherheitsnachricht muss sofort (oder innerhalb einer bestimmten Zeit) übertragen werden.
Ferner bestimmen in einigen Ausführungsformen die eine oder die mehreren internen Funktionen F_SDC
x , dass individuelle Sicherheitsnachrichten in eine konzentrierte Sicherheitsnachricht kombiniert werden sollen, basierend auf der Anzahl der von der SDC 128 empfangenen Sicherheitsnachrichten und/oder der Häufigkeit einzelner Sicherheitsnachrichten, die von dem SDC 128 empfangen werden. Wenn der SDC 128 beispielsweise eine bestimmte Schwellenwertanzahl einzelner Sicherheitsnachrichten empfängt oder wenn der SDC 128 eine bestimmte Schwellenwertanzahl einzelner Sicherheitsnachrichten während eines bestimmten Zeitraums empfängt, kann der SDC 128 die empfangenen Sicherheitsnachrichten in eine konzentrierte Sicherheitsnachricht kombinieren. In ähnlicher Weise bestimmen in einigen Szenarien die eine oder die mehreren internen Funktionen F_SDC
x , wann die einzelnen Sicherheitsnachrichten kombiniert werden sollen und/oder wann die konzentrierte Sicherheitsnachricht über die Fernstreckenverbindung 132 übertragen werden soll basierend auf der Anzahl der individuellen Sicherheitsnachrichten, die von dem SDC 128 empfangen werden und/oder der Häufigkeit einzelner Sicherheitsnachrichten, die von dem SDC 128 empfangen werden. Wenn der SDC 128 beispielsweise eine bestimmte Schwellenwertanzahl von Sicherheitsnachrichten empfängt oder wenn der SDC 128 eine bestimmte Schwellenwertanzahl von Sicherheitsnachrichten während eines bestimmten Zeitraums empfängt, kombiniert der SDC 128 empfangene Sicherheitsnachrichten in eine konzentrierte Sicherheitsnachricht und/oder überträgt die konzentrierte Sicherheitsnachricht über die Fernstreckenverbindung 132.
Darüber hinaus bestimmen in einigen Implementierungen die eine oder die mehreren internen Funktionen F_SDC
x , dass einzelne Sicherheitsnachrichten kombiniert werden sollen, basierend darauf, ob erwartete Sicherheitsnachrichten empfangen werden oder nicht (z. B. „Herzschlag“ -Nachrichten) oder basierend darauf, ob eine erwartete Sicherheitsnachricht innerhalb eines bestimmten Zeitraums empfangen wurde. Zusätzlich oder alternativ bestimmen die eine oder die mehreren internen Funktionen F_SDC
x zusätzlich oder alternativ, wann Sicherheitsnachrichten basierend auf erwarteten Sicherheitsnachrichten, die nicht empfangen werden, oder basierend auf erwarteten Sicherheitsnachrichten, die nicht innerhalb eines bestimmten Zeitintervalls empfangen werden, kombiniert oder übertragen werden sollen.
Die obigen beispielhaften Implementierungen und Szenarien sind natürlich nur einige Beispiele dafür, wie die eine oder die mehreren internen Funktionen F_SDC
x bestimmen, welche Sicherheitsnachrichten miteinander kombiniert werden, wann die Sicherheitsnachrichten kombiniert werden sollen und wann die konzentrierte Sicherheitsnachricht übermittelt und/oder für den Transport über die Fernstreckenverbindung bereitgestellt werden soll. Ferner können jede(s) der obigen beispielhaften Kombinationsimplementierungen und Szenarien vom SIS 100 einzeln und/oder in Kombination mit anderen Kombinationsimplementierungen und Szenarien durchgeführt werden.
Zusätzlich oder alternativ umfasst der SDD 130 in einigen Ausführungsformen eine oder mehrere interne Funktionen F_SDDy . Die eine oder die mehreren internen Funktionen F_SDDy bestimmen beim Empfang einer kombinierten Sicherheitsnachricht, die über die Fernstreckenverbindung 132 übertragen wird, wie jede der wiederhergestellten individuellen Sicherheitsnachrichten unter den empfangenden Sicherheitslogik-Solvern 148, 150, 152 verteilt werden soll. Beispielsweise kann eine interne Funktion F_SDDy bestimmen, dass mehrere Sicherheitsnachrichten, die zu derselben schadensbegrenzenden Maßnahme führen, beispielsweise in verschiedenen konzentrierten Nachrichten am SDD 130 empfangen wurden, und möglicherweise nur eine der doppelten Nachrichten an ihren Empfänger übermitteln. In einer anderen Ausführungsform können eine oder mehrere interne Funktionen F_SDD
y des SDD 130 bestimmen, dass verschiedene Empfänger eine zweite bestimmte Sicherheitsnachricht empfangen sollen, basierend darauf, ob die zweite bestimmte Sicherheitsnachricht an dem SDD 130 innerhalb eines bestimmten Zeitintervalls nach Erhalt einer ersten bestimmten Sicherheitsnachricht empfangen wurde. Selbstverständlich sind andere Szenarien möglich, die die eine oder die mehreren internen Funktionen F_SDD
y des SDD 130 verwenden.
In 2C umfasst der SDC 128 in einer beispielhaften Ausführungsform 157 des Fernstreckenabschnitts 134 des SIS 100 einen oder mehrere interne Logik-Solver 158, 160, 162, die einen Teil der mit Verarbeitung verbundenen F_SDC
x abwickeln. Der eine oder die mehreren internen Logik-Solver 158, 160, 162 empfangen als Eingabe Sicherheitsnachrichten und/oder Signale von anderen Sicherheitslogik-Solvern, die in der lokalen Umgebung 12 angeordnet sind (z. B. den Sicherheitslogik-Solvern 142, 144, 146). Die internen Logik-Solver 158, 160, 162 führen jeweils Sicherheitslogikfunktionen aus, die der Konzentration von Sicherheitsnachrichten entsprechen, und geben entsprechend eine Ausgabe oder liefern ein resultierendes Signal (oder geben in einigen Situationen kein Signal aufgrund der ausgeführten Sicherheitslogikfunktion aus), das als eine Eingabe in die eine oder die mehreren Funktionen F_SDC
x bereitgestellt wird. Zum Beispiel können eine oder mehrere Funktionen F_SDC
x , die in dem SDC 128 enthalten sind, verschiedene konzentrierte Sicherheitsnachrichten über die Fernstreckenverbindung 132 basierend auf den Schwellenbedingungen, der Abstimmung über bestimmte Bedingungen und/oder Ausgaben anderer Logikfunktionen, die angegeben sind oder von einem oder mehreren der internen Logik-Solver 158, 160, 162 nicht angezeigt werden, konzentrieren und/oder übertragen. In einer beispielhaften Implementierung können die eine oder die mehreren Funktionen F_SDC
x den Inhalt und/oder den Zeitpunkt der Übertragung verschiedener konzentrierter Sicherheitsnachrichten bestimmen, die über die Fernstreckenverbindung 132 übertragen werden sollen, basierend auf dem Fehlen und/oder dem Vorhandensein von einer oder mehreren Sicherheitsbedingungen oder Signale, die von einem oder mehreren der internen Logik-Solver 158, 160, 162 bereitgestellt werden. Das Einbinden der internen Logik-Solver 158, 160, 162 in den SDC 128 kann eine einfachere Konfiguration und/oder Änderungen an die lokale Schwellwert-/Abstimmungs-/Logikfunktionsanforderungen ermöglichen, z. B. in der lokalen Umgebung 12. Ferner kann diese Ausführungsform besonders für Situationen geeignet sein, in denen ein einzelner Sicherheitsdaten-Dekonzentrator SDD 130 Signale von mehreren Instanzen von Sicherheitsdaten-Konzentratoren SDC 128 verarbeitet. Zusätzlich oder alternativ kann die Verwendung der internen Logik-Solver 158, 160, 162 beim Verwalten der Bandbreite helfen, die über die Fernstreckenverbindung 132 verwendet wird.
In ähnlicher Weise umfasst der SDD 130 in einigen Ausführungsformen zusätzlich einen oder mehrere interne Logik-Solver 159, 161, 163, die einen Teil der mit F_SDD
y verbundenen Verarbeitung abwickeln. In einer Ausführungsform ist jeder der internen Logik-Solver 159, 161, 163, die in dem SDD 130 enthalten sind, jeweils kommunikativ mit einem oder mehreren verschiedenen SDCs 128 verbunden, z. B. in einer ähnlichen Anordnung zu dem in 2D Gezeigten und Beschriebenen und führt entsprechende Sicherheitslogikfunktionen aus (z. B. Schwellenwertvergleich, Abstimmung über bestimmte Bedingungen und/oder andere Arten von Sicherheitslogikfunktionen) basierend auf ihre(n) empfangene(n) Eingabe(n) aus. Die resultierenden Ausgangssignale (oder das Fehlen resultierender Ausgangssignale) werden als Eingabe in der einen oder den mehreren Funktionen F_SDD
y bereitgestellt. Basierend auf dem Fehlen und/oder Vorhandensein von Sicherheitsbedingungen oder Signalen, die von den internen Logik-Solvern 159, 161, 163 bereitgestellt werden, können die eine oder die mehreren Funktionen F_SDD
y , die in dem SDD 130 enthalten sind, einzelne Sicherheitsnachrichten wiederherstellen (und/oder erzeugen) und Sicherheitsnachrichten an verschiedene Empfänger senden, die in der Remote-Umgebung 14 angeordnet sind. Zum Beispiel können die eine oder die mehreren Funktionen F_SDD
y basierend auf dem Vorhandensein und/oder dem Fehlen von Signalen/Bedingungen, die von einem oder mehreren der internen Logik-Solver 159, 161, 163 angezeigt werden, bestimmen, dass es sich bei einer oder mehreren individuellen Sicherheitsnachrichten um einen oder mehrere zusätzliche empfangende Sicherheitslogik-Solver in der Remote-Umgebung 14 handelt, die verteilt werden sollen, und/oder dass eine oder mehrere wiederhergestellte individuelle Sicherheitsnachrichten nicht an ihre vorgesehenen Empfänger übermittelt werden müssen (z. B. im Fall von Duplikaten der wiederhergestellten individuellen Nachrichten von verschiedenen SDCs 128). Die eine oder die mehreren Funktionen F_SDD
y können einzelne Sicherheitsnachrichten an Empfängerlogik-Solver verteilen, basierend auf einer Kombination von Arten von Signalen/Bedingungen, die von den internen Logik-Solvern 159, 161, 163 bereitgestellt werden (und/oder nicht bereitgestellt werden), basierend auf einem Zeitpunkt der bereitgestellten Bedingungen/Signale (und/oder nicht bereitgestellt werden) durch die internen Logik-Solver 159, 161, 163 usw.
Für noch weitere Flexibilität können in einigen Ausführungsformen zusätzliche oder alternative interne Logik-Solver (in 2C nicht gezeigt) in dem SDD 130 enthalten sein und stromabwärts von mindestens einigen der einen oder mehreren Funktionen F_SDD
y angeordnet sein. Derartige zusätzliche oder alternative interne Logik-Solver empfangen die Ausgaben der mindestens einen der mehreren Funktionen F_SDD
y und führen entsprechende Logikfunktionen darauf aus, um zu bestimmen, welche Logik-Solver, die in der Remote-Umgebung 14 angeordnet sind, die einzelnen wiederhergestellten (und/oder erzeugten) Sicherheitsnachrichten empfangen sollen und wann. Das Einbeziehen der internen Logik-Solver 158, 160, 162 (und/oder zusätzlicher oder alternativer interner Logik-Solver, die Ausgaben der einen oder mehreren Funktionen F_SDD
y empfangen) in dem SDD 130 kann eine noch einfachere Konfiguration und/oder Änderungen der lokalen Schwellenwerts/Abstimmungs-/Logikfunktionsanforderungen, z. B. in der lokalen Umgebung 12, ermöglichen. Ähnlich wie das Einbeziehen der internen Logik-Solver 158, 160, 162 in den SDC 128, können die internen Logik-Solver 159, 161, 163 (und/oder die zusätzlichen internen Logik-Solver, die stromabwärts von F_SDD
y angeordnet sind) in dem SDD 130 insbesondere für Situationen, in denen ein einzelner Sicherheitsdaten-Dekonzentrator SDD 130 Signale von mehreren Instanzen von Sicherheitsdaten-Konzentratoren SDC 128 verarbeitet, enthalten. Zusätzlich oder alternativ kann die Verwendung von internen Logik-Solvern 159, 161, 163 (und/oder die Verwendung von zusätzlichen internen Logik-Solvern, die stromabwärts von F_SDD
y angeordnet sind) in dem SDD 130 bei der Bandbreitenverwaltung unterstützen, die für die Bereitstellung von individuellen Sicherheitsnachrichten an Empfänger in der Remote-Umgebung 14 verwendet wird.
In einigen Ausführungsformen erkennen der SDC 128 und/oder der SDD 130 selbst jeweils verschiedene Sicherheitsbedingungen, die bewirken, dass der SDC 128 und/oder der SDD 130 eine Auslösung oder eine andere Art einer individuellen Sicherheitsnachricht erzeugen, die typischerweise an einen oder mehrere lokal angeordnete Logik-Solver übermittelt wird. Bei Erkennung solcher Bedingungen kann der SDC 128 beispielsweise mehrere Sicherheitsnachrichten an verschiedene in der lokalen Umgebung 12 angeordnete Logik-Solver 142, 144, 146 liefern, und bei Erkennung solcher Bedingungen kann der SDD 130 auf ähnliche Weise eine oder mehrere Sicherheitsnachrichten an verschiedene Logik-Solver 148, 150, 152, die in der Remote-Umgebung 14 angeordnet sind, übertragen. Im Allgemeinen beziehen sich Sicherheitsbedingungen, die von dem SDC 128 und/oder dem SDD 130 erfasst werden, auf die Bedingungen und/oder den Zustand der Fernstreckenverbindung 132, die das Paar 128, 130 miteinander verbindet. Beispiele solcher Bedingungen umfassen den Verlust von Kommunikationspaketen (z. B. über ein vorbestimmtes Zeitintervall), eine schlechte Qualität von Kommunikationspaketen (z. B. Qualität unterhalb des vorbestimmten Schwellenwerts, die sich über ein vorbestimmtes Zeitintervall erstreckt), einen Grad von Kommunikationspaketen von schlechter Qualität (z. B. Qualität unterhalb des vorbestimmten Schwellenwerts A über Zeitintervall X, Qualität unterhalb des vorbestimmten Schwellenwerts B über Zeitintervall Y usw.). Die Erfassung der verschiedenen Sicherheitsbedingungen in Bezug auf die Fernstreckenverbindung 132 kann in dem SDC 128 und/oder in dem SDC 130 durch eine oder mehrere interne Funktionen (z. B. F_SDC
x bzw. F_SDD
y ) und/oder durch jeweils einen oder mehrere interne Logik-Solver (z. B. jeweils interne Logik-Solver 158, 160, 162 und/oder interne Logik-Solver 159, 161, 163) implementiert werden. Die vom SDC 128 und/oder von dem SDD 130 erzeugten Auslösungen oder Sicherheitsnachrichten können durch eine positive Logik (z. B. Fehlen verschiedener Bedingungen) und/oder durch eine negative Logik (z. B. Vorhandensein verschiedener Bedingungen, wie z. B. wenn Pakete ankommen und/oder einen expliziten Indikator enthalten) ausgelöst werden.
In 2D kann in einer beispielhaften Ausführungsform 165 des SIS 100 das SIS 100 mehrere Fernstreckenverbindungen 132, 167, 169, 171, 173 enthalten, die mehrere Instanzen von SDCs 128, 168₁ -168_m unterstützen, die in der lokalen Umgebung 12 angeordnet sind und/oder die mehrere Instanzen von SDDs 130, 170₁ -170_n unterstützen, die in der Remote-Umgebung 14 angeordnet sind. Die bestimmten Paarungen der SDCs 128, 168₁ -168_m mit den SDDs 170₁ -170_n können eins-zu-eins sein (z. B. SDC 128 und SDD 130 über die Fernstreckenverbindung 132), viele-zu-eins (z. B. SDC 168₁ und SDD 170_n über die Fernstreckenverbindung 167 und SDC 168₂ und SDD 170_n über die Fernstreckenverbindung 169) und/oder eins-zu-viele sein (z. B. SDC 168_m und SDD 170₁ über die Fernstreckenverbindung 171 und SDC 168_m und SDD 170₂ über die Fernstreckenverbindung 173). Jede Instanz der SDCs 128, 168₁ -168_m und jede Instanz der SDDs 130, 170₁ -170_n kann individuell in einer Weise konfiguriert sein, die anderen Instanzen innerhalb des SIS 100 ähnlich ist, teilweise ähnlich ist oder sich von anderen Instanzen unterscheidet. Beispielsweise kann jede SDC-Instanz 128, 168₁ -168_m eine jeweilige oder mehrere Funktionen F_SDCx und/oder einen oder mehrere interne Logik-Solver 158, 160, 162 enthalten. In ähnlicher Weise kann jede SDD-Instanz eine jeweilige oder mehrere Funktionen F_SDDy und/oder einen jeweiligen oder mehrere interne Logik-Solver 159, 161, 163 (und/oder einen oder mehrere zusätzliche interne Logik-Solver enthalten, die stromabwärts ihrer jeweiligen einen oder mehreren Funktionen F_SDDy angeordnet sind).
3 zeigt ein Signaldiagramm 300, das einem beispielhaften Fernstrecken-Safety Instrumented System (SIS) in einer Fernstreckenprozessanlage zugeordnet ist. Gleichzeitig Bezug nehmend auf 1 und 2A zur Vereinfachung der Darstellung und nicht zur Einschränkung umfasst das Signaldiagramm 300 einen ersten Satz von Sicherheitslogik-Solvern 302 (wie z. B. Sicherheitslogik-Solver 142, 144, 146), einen Sicherheitsdaten-Konzentrator 304 (wie z. B. SDC 128), einen Sicherheitsdaten-Dekonzentrator 306 (wie z. B. SDD 130) und einen zweiten Satz von Sicherheitslogik-Solvern 308 (wie z. B. Sicherheitslogik-Solver 148, 150, 152). Der erste Satz von Sicherheitslogik-Solvern 302 entspricht einem ersten Abschnitt (z. B. dem Abschnitt 50 des SIS, der der lokalen Umgebung 12 entspricht) einer Prozessanlage (z. B. Prozessanlage 10), während der zweite Satz von Sicherheitslogik-Solvern 308 zum Beispiel einem zweiten Remote-Abschnitt (z. B. dem Abschnitt 52 des SIS entsprechend der Remote-Umgebung 14) der Prozessanlage 10 entspricht.
In dem Signaldiagramm 300 erzeugt (310) der erste Satz von Sicherheitslogik-Solvern 302 mehrere Sicherheitsnachrichten (z. B. basierend auf in der Anlage erfassten Sicherheitsbedingungen). Die Sicherheitslogik-Solver 302 kommunizieren (312) die mehreren Sicherheitsnachrichten an den SDC 304, z. B. direkt auf der E/A-Ebene. Das heißt, die Sicherheitslogik-Solver 302 kommunizieren die mehreren Sicherheitsnachrichten an den SDC auf dieselbe Weise, wie die Sicherheitslogik-Solver 302 innerhalb der lokalen Umgebung 12 miteinander kommunizieren. Als nächstes kombiniert (314) der SDC 304 die mehreren Sicherheitsnachrichten in eine konzentrierte Sicherheitsnachricht. Darüber hinaus sendet (316) der SDC 304 die konzentrierte Sicherheitsnachricht über eine Fernstreckenverbindung (z. B. die Fernstreckenverbindung 132) an den SDD 306. Der SDD 306 stellt die mehreren Sicherheitsnachrichten aus der konzentrierten Sicherheitsnachricht wieder her (318). Zusätzlich kommuniziert (320) der SDD 306 die mehreren wiederhergestellten Sicherheitsnachrichten an den zweiten Satz von Sicherheitslogik-Solvern 308, z. B. direkt auf der E/A-Ebene. Dementsprechend führt (322) der zweite Satz von Sicherheitslogik-Solvern 308 geeignete Prozesssteuerungs-/schadensbegrenzende Maßnahmen auf der Grundlage der mehreren wiederhergestellten Sicherheitsnachrichten durch. Natürlich ist das Signaldiagramm 300 nur beispielhaft und in zusätzlichen oder alternativen Ausführungsformen können zusätzliche oder alternative Mittel zum Übertragen von Daten implementiert werden.
4A zeigt ein Flussdiagramm eines beispielhaften Verfahrens 400 zur Verwendung in einer Fernstreckenprozessanlage (wie zum Beispiel der Prozessanlage 10). In einigen Ausführungsformen wird das Verfahren 400 von einem Sicherheitsdaten-Konzentrator (z. B. SDC 128 und/oder SDC 304) eines Safety Instrumented Systems (z. B. SIS 100) durchgeführt. Im Allgemeinen kann das Verfahren 400 in Verbindung mit Ausführungsformen der Systeme (und Abschnitte davon) arbeiten, die in den 1 und 2A-2D dargestellt sind, oder anderer Systeme und/oder in Übereinstimmung mit dem Signalisierungsdiagramm 300 von 3 und dem Verfahren 400, wie im Folgenden unter gleichzeitiger Bezugnahme der erläuternden (und nicht einschränkenden) Zwecke beschrieben wird.
Bei Block 402 werden mehrere Sicherheitsnachrichten, die von dem ersten Satz von einem oder mehreren Sicherheitslogik-Solvern (z. B. Sicherheitslogik-Solvern 142, 144, 146 oder 302) erzeugt werden, beispielsweise von dem SDC 128 und/oder dem SDC 304 empfangen. Der erste Satz von Sicherheitslogik-Solvern ist kommunikativ mit einem ersten Satz von Prozesssteuerungsvorrichtungen verbunden (und empfängt dadurch Signale oder Nachrichten von und/oder zu diesem gehörend), wobei der erste Satz von Prozesssteuervorrichtungen zum Beispiel andere Sicherheitslogik-Solver oder Controller, Sicherheitsfeldgeräte, Prozesssteuerungsfeldgeräte, Prozesssteuerungscontroller usw. enthalten kann. Im Allgemeinen sind der erste Satz von einem oder mehreren Sicherheitslogik-Solvern und der erste Satz von Prozesssteuerungsgeräten lokal in derselben Umgebung angeordnet.
Bei Block 404 werden die mehreren Sicherheitsnachrichten in eine einzelne konzentrierte Sicherheitsnachricht zusammengefasst, z. B. durch den SDC 128 und/oder den SDC 304. Das Kombinieren der mehreren Sicherheitsnachrichten umfasst beispielsweise das Komprimieren, Konzentrieren, Konsolidieren, Multiplexen und/oder eine beliebige andere geeignete Kombinationsart der Sicherheitsnachrichten. In einigen Ausführungsformen werden die mehreren Sicherheitsnachrichten auf der Grundlage einer erwarteten Zeit der Übertragung der konzentrierten Sicherheitsnachricht in die einzelne konzentrierte Sicherheitsnachricht kombiniert. Beispielsweise werden mehrere Sicherheitsnachrichten mit der gleichen erwarteten Übertragungszeit in eine einzelne konzentrierte Sicherheitsnachricht zusammengefasst.
In bestimmten Ausführungsformen oder Fällen werden die mehreren Sicherheitsnachrichten, die in der einzelnen konzentrierten Sicherheitsnachricht kombiniert sind, von einem bestimmten Sicherheitslogik-Solver erzeugt. In anderen Ausführungsformen oder Fällen werden die mehreren Sicherheitsnachrichten, die in der einzelnen konzentrierten Sicherheitsnachricht kombiniert sind, von mehr als einem Sicherheitslogik-Solver erzeugt. Zusätzlich werden in einigen Ausführungsformen oder Fällen mehrere verschiedene Arten von Sicherheitsnachrichten in die einzelne konzentrierte Sicherheitsnachricht kombiniert, während in anderen Ausführungsformen oder Fällen mehrere von einem bestimmten Typ von Sicherheitsnachricht in die einzelne konzentrierte Sicherheitsnachricht kombiniert werden. Andere Kriterien zum Kombinieren von Sicherheitsnachrichten können Kriterien, wie sie zuvor an anderer Stelle hierin erörtert wurden, und/oder andere gewünschte Kriterien einschließen. Die Bewertung von Kriterien zum Kombinieren kann zum Beispiel durch eine oder mehrere interne Funktionen F_SDCx durchgeführt werden, die in dem SDC enthalten sind.
Bei Block 406 wird die konzentrierte Sicherheitsnachricht (z. B. vom SDC 128 und/oder SDC 304) an einen Sicherheitsdaten-Dekonzentrator (z. B. SDD 130 und/oder SDD 306) über eine Fernstreckenverbindung (z. B. Fernstreckenverbindung 132) übertragen. Die Fernstreckenverbindung ist beispielsweise ein drahtgebundener Kommunikationsmechanismus, ein VPN mit niedriger Bandbreite innerhalb einer Verbindung mit höherer Bandbreite, eine Glasfaserverbindung, ein Unterseekabel, eine drahtlose Fernstreckenverbindung oder eine andere geeignete Fernstreckenverbindung mit geringer Bandbreite. Die Fernstreckenverbindung verbindet den ersten Abschnitt des SIS (z. B. Abschnitt 46, 48 und/oder 50) mit einem zweiten Abschnitt (z. B. Abschnitt 52 und/oder 54) des SIS (z. B. SIS 100). In einigen Ausführungsformen ist der zweite Abschnitt des SIS geographisch vom ersten Abschnitt des SIS entfernt. Zum Beispiel kann die Fernstreckenprozessanlage eine Ölpipeline, eine Offshore-Plattform, einen entfernten Bohrlochkopf usw. umfassen, der von anderen Teilen der Prozessanlage entfernt ist. In solchen Fällen befindet sich der erste Abschnitt des SIS oberirdisch, während der zweite Abschnitt beispielsweise unter der Erde liegt. Als ein weiteres Beispiel kann sich der erste Abschnitt des SIS an Land befinden, während sich der zweite Abschnitt auf Wasser oder unter Wasser befindet. Als ein noch weiteres Beispiel kann der erste Abschnitt des SIS in einem Abschnitt der Prozessanlage liegen, der vom Ort des zweiten Abschnitts geographisch entfernt ist.
Der SDD entspricht dem zweiten Abschnitt des SIS und ist so konfiguriert, dass er die übertragene konzentrierte Sicherheitsnachricht empfängt, die mehreren Sicherheitsnachrichten daraus wiederherstellt und anschließend die wiederhergestellten Nachrichten an den zweiten Satz von Sicherheitslogik-Solvern (z. B. Sicherheitslogik-Solver 148, 150, 152 oder 308) übermittelt. Der zweite Satz von Sicherheitslogik-Solvern ist in dem zweiten Abschnitt des SIS angeordnet und steht wiederum in operativer Kommunikation mit einem zweiten Satz von Prozesssteuervorrichtungen des Prozesssteuerungssystems (und kann dadurch Nachrichten/Signale an diesen senden oder übertragen). Der zweite Satz von Prozesssteuerungsvorrichtungen ist ebenfalls im zweiten Abschnitt des SIS angeordnet und kann beispielsweise andere Sicherheitslogik-Solver oder -Controller, Sicherheitsfeldgeräte, Prozesssteuerungsfeldgeräte, Prozesssteuerungscontroller usw. umfassen.
In einigen Ausführungsformen wird die einzelne konzentrierte Sicherheitsnachricht basierend auf einer oder mehreren Sicherheitsbedingungen, die durch mindestens eine der mehreren Sicherheitsnachrichten angegeben sind, über die Fernstreckenverbindung übertragen. In anderen Ausführungsformen wird die einzelne konzentrierte Sicherheitsnachricht über die Fernstreckenverbindung übertragen, basierend auf einer Ausgabe eines Schwellenwertlogik-Komparators, der an eine oder mehrere der mehreren Sicherheitsnachrichten angelegt wird. In noch anderen Ausführungsformen wird die einzelne konzentrierte Sicherheitsnachricht über die Fernstreckenverbindung übertragen, basierend auf einer Ausgabe eines Logikbewerters, der an eine oder mehrere der mehreren Sicherheitsnachrichten angelegt wird. Zusätzlich oder alternativ wird in noch anderen Ausführungsformen die einzelne konzentrierte Sicherheitsnachricht basierend auf dem Fehlen oder Vorhandensein einer bestimmten Sicherheitsnachricht in den mehreren Sicherheitsnachrichten über die Fernstreckenverbindung übertragen. In noch anderen Ausführungsformen wird die einzelne konzentrierte Sicherheitsnachricht basierend auf dem Inhalt einer oder mehrerer der mehreren Sicherheitsnachrichten über die Fernstreckenverbindung übertragen. Natürlich wird in einigen Ausführungsformen die einzelne konzentrierte Sicherheitsnachricht auf der Grundlage mehrerer der vorstehend beschriebenen Faktoren oder Ausgaben, die hierin beschrieben sind, und/oder basierend auf nicht aufgelisteten Faktoren oder Ausgaben über die Fernstreckenverbindung übertragen. In einer Ausführungsform umfassen ein oder mehrere Sicherheitslogik-Solver, die in dem SDC enthalten sind, Schwellenwert-Komparator, Abstimmungslogik-Auswertegeräte und/oder andere Mechanismen und/oder Techniken zum Bestimmen von Logikfunktionen, die sich auf Sicherheitsnachrichten und/oder Bedingungen beziehen, um die Faktoren zu verarbeiten und die Ausgaben zu erzeugen.
In einigen Ausführungsformen wird die einzelne konzentrierte Sicherheitsnachricht an mehrere SDDs übertragen, z. B. über eine oder mehrere Fernstreckenverbindungen. Zum Beispiel kann die einzelne konzentrierte Sicherheitsnachricht an zusätzliche SDDs in verschiedenen Abschnitten des SIS und in einigen Ausführungsformen an verschiedene Remote-gelegene Fernstreckenabschnitte übertragen werden. Zusätzlich werden in einigen Ausführungsformen mehrere Sicherheitsnachrichten an einen oder mehrere SDDs übertragen, die in demselben Remote-Fernstreckenabschnitt oder über mehrere Remote-Fernstreckenabschnitte angeordnet sein können.
In einigen Ausführungsformen werden Sicherheitsnachrichten zusätzlich zwischen Abschnitten des SIS über eine lokale Verbindung übertragen, die sich von der Fernstreckenverbindung unterscheidet. Die andere Verbindung ist im Allgemeinen eine Verbindung, die konfiguriert ist, um Abschnitte des SIS zu verbinden, die sich in unmittelbarer Nähe befinden. Das heißt, während die Fernstreckenverbindung Abschnitte des SIS verbindet, die voneinander entfernt sind (geographisch oder anderweitig), verbindet die zweite Verbindung Abschnitte des SIS, die relativ nahe zueinander liegen (z. B. lokal angeordnet sind). In einigen Ausführungsformen ist die Verbindung, die die Abschnitte des SIS verbindet, die einander benachbart sind, eine Verbindung mit höherer Bandbreite, während die Fernstreckenverbindung eine Verbindung mit niedrigerer Bandbreite ist.
4B zeigt ein Flussdiagramm eines beispielhaften Verfahrens 450 zur Verwendung in einer Fernstreckenprozessanlage (z. B. Prozessanlage 10). In einigen Ausführungsformen wird das Verfahren von einem Sicherheitsdaten-Dekonzentrator (z. B. SDD 130 und/oder SDD 306) eines Safety Instrumented Systems (z. B. SIS 100) durchgeführt. Im Allgemeinen kann das Verfahren 450 in Verbindung mit Ausführungsformen der Systeme (und Abschnitte davon), die in den 1 und 2A-2D dargestellt sind, oder anderer Systeme und/oder in Übereinstimmung mit dem Signalisierungsdiagramm 300 von 3 arbeiten. In einigen Ausführungsformen kann das Verfahren 450 in Verbindung mit mindestens einem Teil des Verfahrens 400 durchgeführt werden.
Bei Block 452 wird eine einzelne konzentrierte Sicherheitsnachricht, die von einem Sicherheitsdaten-Konzentrator (z. B. SDC 128 und/oder SDC 304) gesendet wird, über eine Fernstreckenverbindung, z. B. über den SDD 130 und/oder SDD 306, übertragen. Der SDC, von dem die konzentrierte Sicherheitsnachricht empfangen wird, entspricht einem ersten Abschnitt (z. B. Abschnitt 50) eines SIS und ist kommunikativ mit einem ersten Satz von einem oder mehreren Sicherheitslogik-Solvern (z. B. Sicherheitslogik-Solver 142, 144, 146 oder 302) verbunden. Die Sicherheitslogik-Solver entsprechen auch dem ersten Abschnitt des SIS. Die Sicherheitslogik-Solver sind außerdem kommunikativ mit einem ersten Satz von Prozesssteuerungsvorrichtungen wirkverbunden (wobei sie dadurch Signale oder Nachrichten von und/oder gehörend zu einem solchen empfangen), wobei der erste Satz von Prozesssteuerungsvorrichtungen beispielsweise andere Sicherheitslogik-Solver oder Controller, Sicherheitsfeldgeräte, Prozesssteuerungsfeldgeräte, Prozesssteuerungscontroller usw. des Prozesssteuerungssystems umfassen kann. Der erste Satz von Prozesssteuerungsvorrichtungen ist im Allgemeinen am ersten Abschnitt des SIS 100 angeordnet. Darüber hinaus ist der SDC so konfiguriert, dass er mehrere Sicherheitsnachrichten, die von dem ersten Satz von Sicherheitslogik-Solvern erzeugt werden, in konzentrierte Sicherheitsnachrichten kombiniert und die konzentrierten Sicherheitsnachrichten über die Fernstreckenverbindung an den SDD überträgt. In einigen Ausführungsformen werden konzentrierte Sicherheitsnachrichten empfangen, die von mehreren SDCs mit ähnlichen Konfigurationen (d. h. an andere Abschnitte des SIS) übertragen werden. Die konzentrierte Sicherheitsnachricht wird über eine Fernstreckenverbindung (z. B. die Fernstreckenverbindung 132) übertragen und empfangen, wie z. B. einen drahtgebundenen Kommunikationsmechanismus, ein VPN mit niedriger Bandbreite innerhalb einer Verbindung mit höherer Bandbreite, eine Glasfaserverbindung und ein Unterseekabel, eine drahtlose Fernstreckenverbindung oder eine andere geeignete Fernstreckenverbindung mit geringer Bandbreite, die zum Senden und/oder Empfangen konzentrierter Sicherheitsnachrichten von verschiedenen Abschnitten eines SIS konfiguriert ist.
In einigen Fällen kombiniert der SDC mehrere Sicherheitsnachrichten, die von einem Sicherheitslogik-Solver erzeugt werden, während in anderen Fällen der SDC Sicherheitsnachrichten kombiniert, die von mehr als einem der Sicherheitslogik-Solver erzeugt werden. In ähnlicher Weise kombiniert der SDC in einigen Konfigurationen mehrere verschiedene Arten von Sicherheitsnachrichten in eine einzelne konzentrierte Nachricht, während in anderen Konfigurationen der SDC mehrere ähnliche Typen von Sicherheitsnachrichten in der einzelnen konzentrierten Nachricht kombiniert. In einigen Ausführungsformen kombiniert der SDC mehrere Sicherheitsnachrichten, die von dem ersten Satz von Sicherheitslogik-Solvern erzeugt werden, in eine konzentrierte Sicherheitsnachricht basierend auf einer erwarteten Zeit der Übertragung der konzentrierten Sicherheitsnachrichten. In einigen Ausführungsformen werden diese verschiedenen Konfigurationen natürlich kombiniert.
Zusätzlich wird die konzentrierte Sicherheitsnachricht basierend auf einer oder mehreren Sicherheitsbedingungen übertragen, die durch mindestens eine der mehreren Sicherheitsnachrichten angezeigt werden. In einigen Ausführungsformen wird die konzentrierte Sicherheitsnachricht basierend auf der Ausgabe eines Schwellenwertlogik-Komparators übertragen, der an eine oder mehrere der mehreren Sicherheitsnachrichten angelegt wird. In anderen Konfigurationen wird die konzentrierte Sicherheitsnachricht basierend auf einer Ausgabe eines Logikbewerters (z. B. Schwellenwertbewerter, Abstimmungsbewerter und/oder anderer Sicherheitsfunktionsbewerter) übertragen, der an eine oder mehrere der mehreren Sicherheitsnachrichten angelegt wird. In zusätzlichen oder alternativen Ausführungsformen wird die konzentrierte Sicherheitsnachricht basierend auf dem Fehlen oder Vorhandensein einer bestimmten Sicherheitsnachricht in den mehreren kombinierten Sicherheitsnachrichten übertragen. In anderen Ausführungsformen wird die konzentrierte Sicherheitsnachricht basierend auf dem Inhalt einer oder mehrerer der mehreren Sicherheitsnachrichten übertragen.
Der SDD ist kommunikativ mit einem zweiten Satz von Sicherheitslogik-Solvern (z. B. Sicherheitslogik-Solver 148, 150, 152 oder 308) verbunden. Der zweite Satz von Sicherheitslogik-Solvern entspricht einem zweiten Abschnitt (z. B. Abschnitt 52) des SIS und ist kommunikativ mit (und kann dadurch Nachrichten/Signale übertragen oder zusenden) einem zweiten Satz eines oder mehrerer Prozesssteuerungsgeräte (z. B. Sicherheitssystem-Feldgeräte) des Prozesssteuerungssystems verbunden. Der zweite Satz von Prozesssteuerungsgeräten ist im Allgemeinen an dem zweiten Abschnitt des SIS angeordnet und kann beispielsweise andere Sicherheitslogik-Solver oder -Controller, Sicherheitsfeldgeräte, Prozesssteuerungsfeldgeräte, Prozesssteuerungscontroller usw. umfassen.
Bei Block 454 werden mehrere Sicherheitsnachrichten aus der einzelnen konzentrierten Sicherheitsnachricht wiederhergestellt, z. B. durch den SDD 130 und/oder SDD 306, und bei Block 456 werden die wiederhergestellten mehreren Sicherheitsnachrichten z. B. durch den SDD 130 und/oder SDD 306 an die jeweiligen beabsichtigten Empfänger, die in dem zweiten Satz von Sicherheitslogik-Solvern enthalten sind, übermittelt. Im Allgemeinen sind die beabsichtigten Empfänger in dem zweiten Satz von Prozesssteuerungsgeräten enthalten, mit denen der zweite Satz von Logik-Solvern kommunikativ verbunden ist. In einigen Ausführungsformen werden die wiederhergestellten Sicherheitsnachrichten an den zweiten Satz von Sicherheitslogik-Solvern basierend auf einer oder mehreren Sicherheitsbedingungen übermittelt, die durch eine oder mehrere der wiederhergestellten Sicherheitsnachrichten angezeigt werden.
In anderen Ausführungsformen werden die wiederhergestellten Sicherheitsnachrichten an den zweiten Satz von Sicherheitslogik-Solvern auf der Grundlage einer Ausgabe eines Schwellenwertlogik-Komparators übermittelt, der an eine oder mehrere der wiederhergestellten Sicherheitsnachrichten angelegt wird. In einigen Konfigurationen werden die wiederhergestellten Sicherheitsnachrichten an den zweiten Satz von Sicherheitslogik-Solvern auf der Grundlage einer Ausgabe eines Logikbewerters (z. B. Schwellenwertbewerter, Abstimmungsbewerter und/oder eines anderen Sicherheitsfunktionsbewerters) übermittelt, die an einen oder mehrere der Sicherheitsfunktionen der wiederhergestellten Sicherheitsnachrichten angelegt werden. In zusätzlichen oder alternativen Konfigurationen werden die wiederhergestellten Sicherheitsnachrichten an den zweiten Satz von Sicherheitslogik-Solvern auf der Grundlage des Fehlens oder Vorhandenseins einer bestimmten Sicherheitsnachricht in den wiederhergestellten Sicherheitsnachrichten übermittelt. In noch anderen Ausführungsformen werden die wiederhergestellten Sicherheitsnachrichten auf der Grundlage des Inhalts einer oder mehrerer der wiederhergestellten Sicherheitsnachrichten an den zweiten Satz von Sicherheitslogik-Solvern übermittelt. In bestimmten Fällen werden bestimmte wiederhergestellte Sicherheitsnachrichten nur an bestimmte Sicherheitslogik-Solver übermittelt, während andere wiederhergestellte Sicherheitsnachrichten an andere Sicherheitslogik-Solver übermittelt werden. In anderen Fällen werden natürlich alle wiederhergestellten Sicherheitsnachrichten an alle Sicherheitslogik-Solver übermittelt. Selbstverständlich können empfangene und wiederhergestellte Sicherheitsnachrichten an verschiedene Empfänger basierend auf einem oder mehreren der hier beschriebenen mehreren Faktoren und/oder basierend auf anderen Faktoren gesendet werden. In einer Ausführungsform sind ein oder mehrere Sicherheitslogik-Solver in dem SDD enthalten, z. B. Schwellenwert-Komparator, Abstimmungslogik-Auswertegeräte und/oder andere Sicherheitslogikfunktionsmechanismen zum Bestimmen einer Sicherheitslogik, die sich auf das lokale Übermitteln von Sicherheitsnachrichten an verschiedene Empfänger bezieht.
In einigen Ausführungsformen werden Sicherheitsnachrichten zusätzlich über eine zweite Verbindung zwischen Remote-gelegenen Abschnitten des SIS übertragen. In einigen Ausführungsformen hat die zweite Verbindung (z. B. eine Satellitenverbindung, eine Faseroptikverbindung usw.) eine höhere Bandbreite als die Fernstreckenverbindung. Über die zweite Verbindung können beispielsweise Sicherheitsnachrichten übertragen werden, deren Empfang zeitkritischer ist. Zusätzlich sind in einigen Ausführungsformen die über die zweite Verbindung übertragenen Sicherheitsnachrichten nicht konzentriert.
5A zeigt ein Blockschaltbild eines beispielhaften Sicherheitsdaten-Konzentrators (SDC) 500, der in dem Safety Instrumented System von 1 und Ausführungsformen davon, die hier beschrieben sind, enthalten sein kann, wie die in Verbindung mit den 2A-2D und/oder 3 beschriebenen. Zusätzlich oder alternativ kann der Sicherheitsdaten-Konzentrator 500 verwendet werden, um Ausführungsformen des Verfahrens 400 und/oder des Verfahrens 450 von 4A bzw. 4B auszuführen. Zur Erleichterung der Erörterung und nicht zu Einschränkungszwecken wird 5A im Folgenden unter gleichzeitiger Bezugnahme auf die 1 und 2A-2D beschrieben.
Wie in 5A umfasst der SDC 500 einen oder mehrere Prozessoren 502 (die in einigen Implementierungen Mehrkernprozessoren sein können) und einen oder mehrere greifbare, nicht flüchtige computerlesbare Medien oder Speicher 505, auf denen computerausführbare Anweisungen 508 für das Erzeugen und Senden konzentrierter Sicherheitsnachrichten über eine Fernstreckenverbindung 132 eines Safety Instrumented Systems 100, das eine Fernstreckenverarbeitungsanlage 10 bedient, gespeichert werden. Das heißt, dass die computerausführbaren Anweisungen 508, wenn sie von einem oder mehreren Prozessoren 502 ausgeführt werden, den SDC 500 veranlassen, Sicherheitsnachrichten oder -signale (z. B. einzelne Sicherheitsnachrichten oder -signale) zu empfangen oder zu erhalten, die von den Logik-Solvern 142, 144, 146, die lokal innerhalb des SIS 100 in Bezug auf den SDC 500 angeordnet sind, erzeugt werden, zwei oder mehr der empfangenen Sicherheitsnachrichten zu einer einzelnen konzentrierten Sicherheitsnachricht gemäß einem oder mehreren Konzentrationskriterien (z. B. wie oben beschrieben) zu konzentrieren und die einzelne konzentrierte Sicherheitsnachricht an einen oder mehrere Sicherheitsdaten-Dekonzentratoren (SDD) (z. B. einen oder mehrere der SDDs 130, 170₁ -170_n ) über entsprechende Fernstreckenverbindungen (z. B. Fernstreckenverbindungen 132, 167, 169, 171, 173) zu übermitteln. Im Allgemeinen ist eine Gesamtlänge der erzeugten, einzelnen konzentrierten Sicherheitsnachricht, die von dem SDC 500 erzeugt wird, geringer als die Summe der jeweiligen Längen der lokalen Sicherheitsnachrichten, aus denen die konzentrierte Sicherheitsnachricht besteht. Die computerausführbaren Anweisungen 508 werden hierin als Konzentrationsanweisungen 508 bezeichnet und können eine oder mehrere interne Funktionen F_SDCx enthalten oder implementieren, die die verschiedenen Kriterien angeben, auf deren Grundlage ausgewählte lokale Sicherheitsnachrichten kombiniert werden oder nicht.
Der SDC 500 umfasst eine oder mehrere lokale SIS-Schnittstellen 510, über die Sicherheitsnachrichten 512a bis 512n, die von lokal angeordneten Logik-Solvern (z. B. lokalen Logik-Solvern 142, 144, 146) erzeugt werden, erhalten werden. In einer beispielhaften Implementierung sind die eine oder die mehreren lokalen SIS-Schnittstellen 510 kommunikativ mit einer oder mehreren lokalen Sicherheitsdatenautobahnen oder lokalen Sicherheitskommunikationsbussen verbunden, über die Sicherheitsnachrichten innerhalb des in der lokalen Umgebung 12 angeordneten Abschnitts des SIS 100 übermittelt werden. Beispielsweise können die eine oder die mehreren lokalen SIS-Schnittstellen 510 auf der Ebene arbeiten, auf der Informationen zwischen verschiedenen Komponenten des SIS 100 ausgetauscht werden, z. B. über E/A-Karten und/oder unter Verwendung von Protokollen und/oder Formaten, die von E/A-Karten unterstützt werden.
Die erhaltenen, lokal erzeugten Sicherheitsnachrichten 512a bis 512n werden von dem SDC 500 in einem Stagingbereich 515 bereitgestellt (z. B. vorübergehend gespeichert). Der Stagingbereich 515 kann in dem SDC 500 enthalten sein, wie in 5A gezeigt, oder kann außerhalb des SDC 500 (nicht gezeigt) angeordnet und für diesen zugänglich sein. Der Stagingbereich 515 kann in einem oder mehreren Speichern 505 implementiert sein oder kann in einem anderen Satz von einem oder mehreren Speichern (nicht gezeigt) implementiert sein. In einer beispielhaften Konfiguration steuern die Konzentrationsanweisungen 508 das Bereitstellen der erhaltenen Sicherheitsnachrichten 512a bis 512n auf der Grundlage einer oder mehrerer Bedingungen, z. B. das Nicht-Bereitstellen doppelter Nachrichten, das Verwalten der Speicherkonfiguration des Stagingbereichs 515, um die Speicherung zu optimieren, das Ein- und Ausschalten der Zeitgeber im Zusammenhang mit verschiedenen Sicherheitsnachrichten, das Entfernen oder Löschen von Sicherheitsnachrichten aus dem Stagingbereich 515 usw.
Die Konzentrationsanweisungen 508 bearbeiten zumindest einen Teil der lokalen Sicherheitsnachrichten 512a bis 512n und kombinieren zwei oder mehr der Sicherheitsnachrichten in eine einzelne konzentrierte Sicherheitsnachricht 518 gemäß einem oder mehreren Kombinationskriterien, die z. B. basierend auf dem Inhalt der Sicherheitsnachrichten, den jeweiligen lokalen Logik-Solvern, die die verschiedenen Sicherheitsnachrichten erzeugt haben, den jeweiligen Fernstreckenlogik-Solvern, die die Empfänger der verschiedenen Sicherheitsnachrichten sein sollen, einer Dringlichkeit der Sicherheitsnachrichten, einem erwarteten Zeitpunkt oder Zeit der Übertragung, einer Anzahl empfangener/erhaltener Sicherheitsnachrichten, einer Art von Sicherheitsnachricht, einer Häufigkeit empfangener/erhaltener Sicherheitsnachrichten und/oder anderen geeigneten Kombinationskriterien. Das Konzentrieren der zwei oder mehr bereitgestellten Sicherheitsnachrichten in die einzelne konzentrierte Sicherheitsnachricht 518 kann eine oder mehrere geeignete Techniken verwenden, wie etwa Komprimieren, Konsolidieren, Multiplexen usw., die an den Kopfzeilen der bereitgestellten Sicherheitsnachrichten und/oder auf den Inhalt der bereitgestellten Sicherheitsnachrichten ausgeführt werden können.
Der SDC 500 umfasst eine oder mehrere Fernstreckenverbindungsschnittstellen 520, über die konzentrierte Sicherheitsnachrichten 518 über jeweilige Fernstreckenverbindungen (z. B. Fernstreckenverbindungen 132, 167, 169, 171, 173) an jeweilige SDDs übertragen werden. In einigen Implementierungen umfasst der SDC 500 mehrere Fernstreckenverbindungsschnittstellen 520 verschiedener Typen, z. B. zur Unterstützung von Konfigurationen des SIS 100, die mehrere Typen von Fernstreckenverbindungen enthalten, die die lokalen Abschnitte 12 und Remote-Abschnitte 14 des SIS 100 verbinden. Zum Beispiel kann der SDC 500 eine Fernstreckenverbindungsschnittstelle 520 mit einer virtuellen Verbindung enthalten, die in einer Fernstreckenverbindung mit höherer Bandbreite enthalten ist oder beinhaltet ist, und kann auch eine andere Fernstreckenverbindungsschnittstelle 520 zu einer drahtlosen Fernstreckenverbindung umfassen.
In einigen Ausführungsformen umfasst der SDC 500 einen oder mehrere interne Logik-Solver 522a bis 522m. Zum Beispiel können der eine oder die mehreren internen Logik-Solver 522a bis 522m einen oder mehrere der internen Logik-Solver 158, 160, 162 enthalten. In 5A sind die internen Logik-Solver 522 als stromabwärts der lokalen SIS-Schnittstellen 510 und stromaufwärts der Prozessoren 502 und/oder des Sicherheitsnachrichten-Stagingbereichs 515 angeordnet dargestellt. Das heißt, die internen Logik-Solver 522 empfangen Nachrichten und/oder Signale von den lokalen SIS-Schnittstellen 510 und liefern eine Ausgabe an die Prozessoren 502. In einigen Ausführungsformen (nicht gezeigt) können einer oder mehrere der internen Logik-Solver 522 integral eine jeweilige lokale SIS-Schnittstelle 510 enthalten.
Jeder der internen Logik-Solver 522 kann mit Signalen arbeiten, die die erhaltenen, lokal erzeugten Sicherheitsnachrichten oder deren Fehlen angeben (die in 5A durch das Bezugszeichen 525 gemeinsam dargestellt sind), entsprechende Logikoperationen darauf ausführen (z. B. Schwellenvergleiche, Abstimmungsfunktionen usw.) und ein jeweiliges Ausgabesignal erzeugen (das in 5A gemeinsam durch das Bezugszeichen 528 dargestellt ist), das den Prozessoren 502 bereitgestellt wird. Die Prozessoren 502, die die Konzentrationsanweisungen 508 ausführen, können die Ausgabesignale 528 als zusätzliche Eingabe für die Kombinationsfunktionen F_SDCx verwenden. Basierend auf einem Ausgabesignal des internen Logik-Solvers 522 können die Konzentrationsbefehle 508 beispielsweise eine oder mehrere bereitgestellte Sicherheitsnachrichten 512a bis 512n entfernen oder löschen, einen Zeitgeber starten oder stoppen, der einem Zeitintervall zum Sammeln lokaler Sicherheitsnachrichten entspricht, eine einzelne, lokal erzeugte Sicherheitsnachricht übertragen, ohne sie mit anderen Sicherheitsnachrichten zu kombinieren, eine neue Sicherheitsnachricht zur Zustellung an einen oder mehrere Remote-Abschnitte des SIS über die Fernstreckenschnittstellen 520 erzeugen usw.
5B zeigt ein Blockschaltbild eines beispielhaften Sicherheitsdaten-Dekonzentrators (SDD) 550, der in dem Safety Instrumented System von 1 und Ausführungsformen davon, die hier beschrieben sind, enthalten sein kann, wie die in Verbindung mit den 2A-2D und/oder 3 beschrieben. Zusätzlich oder alternativ kann der Sicherheitsdaten-Dekonzentrator 550 verwendet werden, um Ausführungsformen des Verfahrens 400 und/oder des Verfahrens 450 von 4A bzw. 4B auszuführen. Zusätzlich oder alternativ kann der Sicherheitsdaten-Dekonzentrator 550 in Verbindung mit dem Sicherheitsdaten-Konzentrator 500 verwendet werden. Zur Erleichterung der Erörterung und nicht zu Einschränkungszwecken, wird 5B im Folgenden unter gleichzeitiger Bezugnahme auf die 1, 2A-2D und 5B beschrieben.
Wie in 5B umfasst der SDD 550 einen oder mehrere Prozessoren 552 (die in einigen Implementierungen Mehrkernprozessoren sein können) und einen oder mehrere greifbare, nicht flüchtige computerlesbare Medien oder Speicher 555, auf denen computerausführbare Anweisungen 558 gespeichert sind. Die computerausführbaren Anweisungen 558 sind ausführbar, um einzelne Sicherheitsnachrichten aus konzentrierten Sicherheitsnachrichten über eine Fernstreckenverbindung 132 eines Safety Instrumented Systems 100, das eine Fernstreckenprozessanlage 10 bedient, wiederherzustellen und zum Beispiel die jeweiligen Sicherheitsnachrichten an die jeweiligen Empfänger zu liefern. Das heißt, dass die computerausführbaren Anweisungen 558, wenn sie von einem oder mehreren Prozessoren 552 ausgeführt werden, bewirken, dass der SDD 550 eine konzentrierte Sicherheitsnachricht über eine Fernstreckenverbindung 132 eines SIS 100 empfängt, die konzentrierte Sicherheitsnachricht in ihre individuellen Sicherheitsnachrichten dekonzentriert (oder die einzelnen Sicherheitsnachrichten anderweitig aus der konzentrierten Sicherheitsnachricht wiederherstellt), und die wiederhergestellten Sicherheitsnachrichten an lokal im SIS 100 angeordnete Empfänger-Sicherheitslogik-Solver bezüglich des SDD 550 (z. B. zu Logik-Solver 148, 150, 152) kommuniziert. Im Allgemeinen ist eine Gesamtlänge der einzelnen konzentrierten Sicherheitsnachricht, die von dem SDD 550 empfangen oder erhalten wird, geringer als die Summe der jeweiligen Längen der einzelnen Sicherheitsnachrichten, aus denen die konzentrierte Sicherheitsnachricht besteht. Die computerausführbaren Anweisungen 558 werden hierin als Dekonzentrationsanweisungen 558 bezeichnet und können eine oder mehrere interne Funktionen F_SDDy enthalten oder implementieren, die ein oder mehrere Kriterien angeben, auf deren Grundlage ausgewählte lokale Sicherheitsnachrichten an lokale Empfänger-Sicherheitslogik-Solver übermittelt werden sollen oder nicht.
Der SDD 550 umfasst eine oder mehrere Fernstreckenverbindungsschnittstellen 560, über die konzentrierte Sicherheitsnachrichten (z. B. die in 5A gezeigte konzentrierte Sicherheitsnachricht 518) über jeweilige Fernstreckenverbindungen (z. B. Fernstreckenverbindungen 132, 167, 169, 171, 173) von jeweiligen SDCs, wie den SDCs 128, 168₁ -168_m , 500 übertragen werden. In einigen Implementierungen umfasst der SDD 550 mehrere Fernstreckenverbindungsschnittstellen 560 verschiedener Typen, z. B. zur Unterstützung von Konfigurationen des SIS 100, die mehrere Typen von Fernstreckenverbindungen enthalten, die die lokalen Abschnitte 12 und Remote-Abschnitte 14 des SIS 100 verbinden. Beispielsweise kann der SDD 550 eine Fernstreckenverbindungsschnittstelle 560 zu einer Fernstreckenverbindung enthalten, die auf eine drahtgebundene Kommunikationsverbindung Piggyback-getragen wird, und kann auch eine andere Fernstreckenverbindungsschnittstelle 560 zu einer drahtlosen Fernstreckenverbindung enthalten.
Die Dekonzentrationsanweisungen 558 können die empfangene konzentrierte Sicherheitsnachricht 518 bearbeiten, um die einzelnen Sicherheitsnachrichten 512a bis 512n wiederherzustellen, die am anderen Ende der Fernstreckenverbindung kombiniert wurden, um die konzentrierte Sicherheitsnachricht 518 zu bilden. Das Wiederherstellen der einzelnen Sicherheitsnachrichten 512a bis 512n aus der einzelnen konzentrierten Sicherheitsnachricht 518 kann eine oder mehrere geeignete Techniken verwenden, wie etwa Dekomprimieren, Dekonsolidieren, Demultiplexen usw., die an dem Header der konzentrierten Sicherheitsnachricht 518 und/oder an dem Inhalt der konzentrierten Sicherheitsnachricht 518 durchgeführt werden. In einer Ausführungsform trennen die Dekonzentrationsanweisungen 558 die einzelnen Sicherheitsnachrichten aus der konzentrierten Sicherheitsnachricht 518, indem sie eine entgegengesetzte oder inverse Technik in Bezug auf die Kombinationstechnik ausführen, als die von dem jeweiligen SDC 500 verwendet wird, die die konzentrierte Sicherheitsnachricht 518 am Übertragungsende der Fernstreckenverbindung verwendet.
In einer Ausführungsform können die Dekonzentrationsanweisungen 558 einen Stagingbereich 562 verwenden, um konzentrierte Sicherheitsnachrichten und wiederhergestellte Sicherheitsnachrichten bereitzustellen oder temporär zu speichern. Der Stagingbereich 562 kann in dem SDD 550 enthalten sein, wie in 5B gezeigt, oder kann außerhalb des SDD 550 (nicht gezeigt) angeordnet und für diesen zugänglich sein. Der Stagingbereich 562 kann in dem einen oder den mehreren Speichern 555 implementiert sein oder kann in einem anderen Satz von einem oder mehreren Speichern (nicht gezeigt) implementiert sein. In einer beispielhaften Konfiguration steuern die Dekonzentrationsanweisungen 558 die Übermittlung wiederhergestellter Sicherheitsnachrichten 512a bis 512n an lokal angeordnete Empfänger auf der Grundlage einer oder mehrerer Bedingungen, z. B. Nichtzustellung doppelter Nachrichten, Verwalten der Speicherkonfiguration des Bereitstellungsbereichs 562, um die Speicherung zu optimieren, Zeitgeber, die verschiedenen Sicherheitsnachrichten zugeordnet sind, ein- und auszuschalten usw.
Der SDD 550 umfasst eine oder mehrere lokale SIS-Schnittstellen 565, über die die wiederhergestellten Sicherheitsnachrichten 512a bis 512n an ihre jeweiligen, lokal vorgesehenen Logik-Solver (z. B. an die Logik-Solver 148, 150, 152) geliefert werden. In einer beispielhaften Implementierung sind die eine oder die mehreren lokalen SIS-Schnittstellen 565 kommunikativ mit einer oder mehreren lokalen Sicherheitsdatenautobahnen oder lokalen Sicherheitskommunikationsbussen verbunden, über die Sicherheitsnachrichten innerhalb des Abschnitts des SIS 100 übermittelt werden, der in der lokalen Umgebung des SDD 550 angeordnet ist. Zum Beispiel können die eine oder die mehreren lokalen SIS-Schnittstellen 565 auf der Ebene arbeiten, auf der Informationen zwischen verschiedenen Komponenten des SIS 100 ausgetauscht werden, z. B. über E/A-Karten und/oder unter Verwendung von Protokollen und/oder Formaten, die mit E/A-Karten kompatibel sind.
In einigen Ausführungsformen umfasst der SDD 550 einen ersten Satz von einem oder mehreren internen Logik-Solvern 568a bis 568m. Beispielsweise können der eine oder die mehreren internen Logik-Solver 568 einen oder mehrere der internen Logik-Solver 159, 161, 163 enthalten. In einer beispielhaften Anordnung ist jeder interne Logik-Solver 568 jeweils und kommunikativ mit einem oder mehreren verschiedenen SDCs verbunden, z. B. in einer Anordnung ähnlich der, die in Bezug auf 2D gezeigt und beschrieben ist. Jeder der internen Logik-Solver 568 kann mit Signalen arbeiten, die konzentrierte Sicherheitsnachrichten anzeigen, die über eine oder mehrere Fernstreckenverbindungen oder deren Fehlen empfangen werden (die in 5B durch Referenz 570 gemeinsam dargestellt sind), entsprechende Logikoperationen darauf ausführen (z. B. Schwellenwertvergleiche, Abstimmungsfunktionen usw.), und ein entsprechendes Ausgabesignal erzeugen (das in 5B gemeinsam durch die Referenz 572 dargestellt ist), das den Prozessoren 552 bereitgestellt wird. Die Prozessoren 552, die die Dekonzentrationsanweisungen 558 ausführen, können die Ausgabesignale 572 als zusätzliche Eingabe in den Wiederherstellungsfunktionen F_SDDy verwenden. Beispielsweise können die Dekonzentrationsanweisungen 558 basierend auf einem Ausgabesignal eines internen Logik-Solvers 568 eine neue Sicherheitsnachricht erstellen und die neue Sicherheitsnachricht einem oder mehreren Empfängern mitteilen, wobei lokal angeordnete Logik-Solver eine bestimmte wiederhergestellte einzelne Sicherheitsnachricht verlieren oder ihren Versand an lokal angeordnete Logik-Solver verhindern, einen Zeitgeber setzen oder löschen, der mit anderen empfangenen konzentrierten Sicherheitsnachrichten verbunden ist, eine wiederhergestellte Sicherheitsnachricht löschen oder aus dem Stagingbereich 562 entfernen können, usw.
In einigen Ausführungsformen umfasst der SDD 550 zusätzlich oder alternativ einen zweiten Satz von einem oder mehreren internen Logik-Solvern 575a bis 575p. In 5B ist der zweite Satz von internen Logik-Solvern 575 so dargestellt, dass er vor den lokalen SIS-Schnittstellen 565 und stromabwärts der Prozessoren 552 und/oder des Sicherheitsnachrichten-Stagingbereichs 562 angeordnet ist. Das heißt, der zweite Satz von internen Logik-Solvern 575 empfängt Signale 578 von den Prozessoren 552 und liefert Ausgaben 580 an eine oder mehrere lokale SIS-Schnittstellen 565. In einigen Ausführungsformen (nicht gezeigt) können einer oder mehrere der internen Logik-Solver 575 integral eine jeweilige lokale SIS-Schnittstelle 565 enthalten. Allgemein gesagt, empfangen die internen Logik-Solver 575 von den Prozessoren 552 eine oder mehrere Ausgaben, die durch die Dekonzentrationsanweisungen 558 erzeugt werden (die in 5B gemeinsam durch die Referenz 578 dargestellt sind), die beispielsweise von einer oder mehreren der Funktionen F_SDDy erzeugt werden, und führen entsprechende Logikfunktionen darauf aus (z. B. Schwellenvergleiche, Abstimmungsfunktionen usw.). Die Ausgaben der internen Logik-Solver 575 (die in 5B gemeinsam durch die Referenz 580 dargestellt sind) können die Zustellung einzelner Sicherheitsnachrichten an lokal angeordnete Empfänger-Sicherheitslogik-Solver informieren. Beispielsweise können die Dekonzentrationsanweisungen 558 basierend auf einem Ausgabesignal eines internen Logik-Solvers 575 eine neue Sicherheitsnachricht erstellen und die neue Sicherheitsnachricht einem oder mehreren Empfängern mitteilen, wobei lokal angeordnete Logik-Solver eine bestimmte, wiederhergestellte, einzelne Sicherheitsnachricht verlieren oder ihren Versand an beliebige lokal angeordnete Logik-Solver verhindern, einen Zeitgeber setzen oder löschen, der mit anderen empfangenen konzentrierten Sicherheitsnachrichten verbunden ist, eine wiederhergestellte Sicherheitsnachricht löschen oder aus dem Stagingbereich 562 entfernen können, usw.
Im Allgemeinen verarbeitet der erste Satz von internen Logik-Solvern 568 des SDD 550 Signale, die konzentrierten Sicherheitsnachrichten entsprechen, die über die Fernstreckenverbindung(en) empfangen werden, an die der SDD 550 angeschlossen ist, um dadurch die Dekonzentrationstechniken zu beeinflussen, um zu bestimmen, welche bestimmten Sicherheitsnachrichten (z. B. welche Sicherheitsnachrichten wiederhergestellt werden können, oder neu erzeugte Sicherheitsnachrichten) an welche bestimmten lokal angeordneten Sicherheitslogik-Solver übermittelt werden sollen, um die Effizienz bei der Kommunikation von Sicherheitsnachrichten an lokal angeordnete Sicherheitslogik-Solver zu erhöhen usw. Der zweite Satz von internen Logik-Solvern 575 des SDD 550 arbeitet mit Signalen, die den Ausgaben des Dekonzentrators 558 entsprechen, um zu bestimmen, welche bestimmten Sicherheitsnachrichten (z. B. welche wiederhergestellten Sicherheitsnachrichten oder neu erzeugten Sicherheitsnachrichten wiederhergestellt werden sollen) an welche bestimmten lokal angeordneten Sicherheitslogik-Solver kommuniziert werden, um zu bestimmen, wann bestimmte Sicherheitsnachrichten lokal kommuniziert werden sollen, um die Effizienz in der Kommunikation von Sicherheitsnachrichten an lokal angeordnete Sicherheitslogik-Solver zu erhöhen usw.
6 zeigt ein Blockdiagramm einer Ausführungsform der beispielhaften Fernstreckenprozessanlage und des beispielhaften Fernstrecken-Safety Instrumented Systems von 1. Insbesondere zeigt 6 den lokalen Umgebungsabschnitt 20 der lokalen Umgebung 12 und den Remote-Umgebungsabschnitt 22 der Remote-Umgebung 14 in zusätzlichen Einzelheiten. Es versteht sich, dass der lokale Umgebungsabschnitt 18 der lokalen Umgebung 12 und der Remote-Umgebungsabschnitt 24 der Remote-Umgebung 14 in 6 weniger detailliert gezeigt sind, aber ähnliche Merkmale und Details in verschiedenen Ausführungsformen enthalten können.
Wie in 6 gezeigt umfassen der lokale Umgebungsabschnitt 20 und der Remote-Umgebungsabschnitt 22 der Prozessanlage 10 jeweils ein oder mehrere Sicherheitssystemfeldgeräte 602, 604, die sich innerhalb der Anlagenumgebung befinden. Die Sicherheitssystem-Feldgeräte 602 sind kommunikativ mit den Sicherheitslogik-Solvern 142, 144, 146 des lokalen SIS-Abschnitts 50 verbunden, z. B. über verschiedene Busse, Kommunikationsverbindungen, drahtlose Netzwerke usw., die in der Prozessanlage 10 installiert sind. In ähnlicher Weise sind die Sicherheitssystemfeldgeräte 604 kommunikativ mit Sicherheitslogik-Solvern 148, 150, 152 des Remote-SIS-Abschnitts 52 verbunden. Die jeweiligen Sicherheitslogik-Solver 142, 144, 146 des lokalen SIS-Abschnitts 50 und die Sicherheitslogik-Solver 148, 150, 152 des Remote-SIS-Abschnitts 52 ermöglichen die Kommunikation zwischen den Sicherheitssystem-Feldgeräten 602, 604 und ihren jeweiligen Prozesscontrollern 616, 620.
In ähnlicher Weise umfassen der lokale Umgebungsabschnitt 20 und der Remote-Umgebungsabschnitt 22 jeweils entsprechende Prozesssteuerungsfeldgeräte 606, 608, die sich in der Anlagenumgebung befinden. Die Prozesssteuerungsfeldgeräte 606 sind jeweils kommunikativ mit jeweiligen Prozesssteuerungs-E/A-Geräten 610 des lokalen PCS-Abschnitts 40 verbunden, z. B. über verschiedene Busse, Kommunikationsverbindungen, drahtlose Netzwerke usw., die in der Prozessanlage 10 installiert sind. In ähnlicher Weise sind die Prozesssteuerungsfeldgeräte 608 jeweils kommunikativ mit den jeweiligen Prozesssteuerungs-E/A-Geräten 612 des Remote-PCS-Abschnitts 42 verbunden. Die jeweiligen Prozesssteuerungs-E/A-Geräte 610 des lokalen PCS-Abschnitts 40 und die Prozesssteuerungs-E/A-Geräte 612 des Remote-PCS-Abschnitts 42 ermöglichen die Kommunikation zwischen den Prozesssteuerungs-Feldgeräten 606, 608 und ihren jeweiligen Prozesscontrollern 616, 618.
In verschiedenen Ausführungsformen umfassen die Sicherheitssystem-Feldgeräte 602, 604 und die Prozesssteuerungsfeldgeräte 606, 608 zum Beispiel Ventile, Ventilpositionierer, Schalter und Sender (z. B. Temperatur-, Druck-, Füllstand- und Durchflusssensoren) und allgemein physische oder Prozesssteuerungsfunktionen wie Öffnen oder Schließen von Ventilen, Messen von Prozessparametern wie Druck, Temperatur usw. um einen oder mehrere industrielle Prozesse zu steuern, die in der Prozessanlage oder dem System ausgeführt werden. Zusätzlich umfassen in einigen Ausführungsformen die Sicherheitssystem-Feldgeräte 602, 604 und die Prozesssteuerungsfeldgeräte 606, 608 intelligente Feldgeräte, wie beispielsweise Feldgeräte, die dem bekannten Fieldbus-Protokoll entsprechen, das beispielsweise Steuerungsberechnungen, Alarmfunktionen und andere Steuerfunktionen durchführen kann, die üblicherweise in einem Prozesscontroller implementiert sind, wie z. B. Prozesscontroller 616, 618.
Ferner, wie in 6 gezeigt, umfassen der lokale Umgebungsabschnitt 18, der lokale Umgebungsabschnitt 20, der Remote-Umgebungsabschnitt 22 und der Remote-Umgebungsabschnitt 24 jeweils entsprechende Nachrichtenausbreitungseinrichtungen (MPDs) 622, 624, 626 und 628. Jede MPD ist kommunikativ mit einem jeweiligen SIS-Abschnitt 48, 50, 52, 54 verbunden. Darüber hinaus sind die MPDs 622, 624 in den lokalen Umgebungsabschnitten 18 und 20 durch eine oder mehrere Verbindungen (z. B. eine Ringbusverbindung und/oder eine andere geeignete Verbindungsart) kommunikativ miteinander verbunden, über die Sicherheitsnachrichten zwischen den lokalen Umgebungsabschnitten 18 und 20 übertragen und empfangen werden. In ähnlicher Weise sind die MPDs 626, 628 in Remote-Umgebungsabschnitten 22 und 24 auch durch eine oder mehrere geeignete Verbindungen kommunikativ miteinander verbunden, über die Sicherheitsnachrichten zwischen den lokalen Umgebungsabschnitten 22 und 24 übertragen und empfangen werden.
Darüber hinaus umfasst die Prozessanlage 10 ferner eine oder mehrere Host-Workstations, Computer oder Benutzeroberflächen (z. B. Personalcomputer, Workstations usw.) 630 zugreifbar für das Anlagenpersonal, z. B. Bediener des Prozesscontrollers, Wartungspersonal, Konfigurationstechniker usw. Jeder Computer 630 ist über eine gemeinsame Kommunikationsverbindung oder einen gemeinsamen Bus 634 mit einer Konfigurationsdatenbank 632 verbunden. Das Kommunikationsnetzwerk kann unter Verwendung einer beliebigen gewünschten Bus-basierten oder nicht-Bus-basierten Hardware implementiert werden, unter Verwendung einer beliebigen fest verdrahteten oder drahtlosen Kommunikationsstruktur und unter Verwendung eines beliebigen gewünschten oder geeigneten Kommunikationsprotokolls, beispielsweise eines Ethernet-Protokolls.
Es versteht sich, dass jeder der Computer 630 einen Prozessor (nicht gezeigt) sowie einen Speicher (nicht gezeigt) enthalten kann, der eine oder mehrere Konfigurations- und/oder Anzeigeanwendungen speichert, die zur Ausführung auf dem Prozessor geeignet sind. Im Allgemeinen stellen die eine oder die mehreren Konfigurationsanwendungen einem Konfigurationsingenieur Konfigurationsinformationen bereit und ermöglichen dem Konfigurationsingenieur dementsprechend, einige oder alle Elemente der Prozessanlage 10 zu konfigurieren und diese Konfiguration in der Konfigurationsdatenbank 632 zu speichern. Als Teil der Konfigurationsaktivitäten, die von einer oder mehreren Konfigurationsanwendungen ausgeführt werden, erstellt ein Konfigurationsingenieur typischerweise Steuerroutinen oder Steuermodule für die Prozesscontroller 614, 616, 618, 620 und Sicherheitslogikmodule für einen beliebigen und alle Sicherheitslogik-Solver 142, 144, 146, 148, 150, 152. Außerdem lädt der Konfigurationstechniker diese unterschiedlichen Steuerungs- und Sicherheitsmodule normalerweise über den Bus 634 auf die entsprechenden Prozesscontroller 614, 616, 618, 620 und die Sicherheitslogik-Solver 142, 144, 146, 148, 150, 152 herunter. In einigen Fällen werden eine oder mehrere Konfigurationsanwendungen verwendet, um andere Programme und Logik zu erstellen und zu den PCS-E/A-Geräten 610, 612 eines der Sicherheitssystemfeldgeräte 602, 604; eines der Prozesssteuerungsfeldgeräte 606, 608 usw. zu laden.
Während die vorliegende Erfindung unter Bezugnahme auf spezifische Beispiele beschrieben wurde, die nur veranschaulichend sein sollen und die Erfindung nicht einschränken sollen, ist es für den Durchschnittsfachmann offensichtlich, dass Änderungen, Hinzufügungen oder Streichungen zu den offenbarten Ausführungsformen möglich sind, ohne vom Geist und Umfang der Erfindung abzuweichen. Ferner sind die Anwendungen und Vorteile der hier beschriebenen Systeme, Verfahren und Techniken nicht nur auf die obigen Beispiele beschränkt. Durch die Verwendung der hier beschriebenen Systeme, Verfahren und Techniken sind viele andere Anwendungen und Vorteile möglich.
Obwohl der vorangehende Text eine detaillierte Beschreibung zahlreicher unterschiedlicher Ausführungsformen darstellt, sollte darüber hinaus verstanden werden, dass der Umfang des Patents durch die Worte der Ansprüche definiert ist, die am Ende dieses Patents dargelegt sind. Die detaillierte Beschreibung ist nur als Beispiel zu verstehen und beschreibt nicht jede mögliche Ausführungsform, da das Beschreiben jeder möglichen Ausführungsform unpraktisch, wenn nicht unmöglich wäre. Zahlreiche alternative Ausführungsformen könnten unter Verwendung entweder gegenwärtiger Technologie oder nach dem Anmeldetag dieses Patents entwickelter Technologie umgesetzt werden und würden immer noch in den Geltungsbereich der Ansprüche und allen Entsprechungen davon fallen. Als Beispiel und nicht als Einschränkung betrachtet die Offenbarung hierin mindestens die folgenden Aspekte:

1. Safety Instrumented System zur Verwendung in einer Fernstreckenprozessanlage mit einem Prozesssteuerungssystem, wobei das Safety Instrumented System einen Sicherheitsdaten-Konzentrator umfasst, der kommunikativ mit einem oder mehreren Sicherheitslogik-Solvern verbunden ist, die in einem ersten Abschnitt des Safety Instrumented Systems angeordnet sind, die in operativer Kommunikation mit einer oder mehreren Prozesssteuerungsvorrichtungen des Prozesssteuerungssystems stehen, wobei das Prozesssteuerungssystem von dem Safety Instrumented System bedient wird, und die eine oder die mehreren Prozesssteuerungsvorrichtungen des Prozesssteuerungssystems eine oder mehrere physikalische Funktionen ausführen um einen industriellen Prozess zu steuern, der in der Fernstreckenprozessanlage ausgeführt wird. Der Sicherheitsdaten-Konzentrator ist konfiguriert zum: Kombinieren mehrerer Sicherheitsnachrichten, die von einem oder mehreren Sicherheitslogik-Solvern erzeugt werden, in eine einzelne konzentrierte Sicherheitsnachricht, wobei die einzelne konzentrierte Sicherheitsnachricht eine Gesamtlänge aufweist, die kleiner als die Summe der Längen der jeweiligen mehreren Sicherheitsnachrichten ist; und Übertragen der einzelnen konzentrierten Sicherheitsnachricht über eine Fernstreckenverbindung an einen zweiten Abschnitt des Safety Instrumented Systems.
2. Safety Instrumented System des vorangehenden Aspekts, wobei: der eine oder die mehreren Sicherheitslogik-Solver ein erster Satz von einem oder mehreren Sicherheitslogik-Solvern ist; und die eine oder die mehreren Prozesssteuerungsvorrichtungen ein erster Satz von einer oder mehreren Prozesssteuerungsvorrichtungen ist.
3. Safety Instrumented System nach einem der vorangehenden Aspekte, das ferner einen Sicherheitsdaten-Dekonzentrator umfasst, der kommunikativ mit einem zweiten Satz von einem oder mehreren Sicherheitslogik-Solvern, die in dem zweiten Teil des Sicherheitssystems angeordnet sind, verbunden sind, und die mit einem zweiten Satz von einer oder mehreren Prozesssteuerungsvorrichtungen des Prozesssteuerungssystems wirkverbunden sind. Der Sicherheitsdaten-Dekonzentrator ist so konfiguriert, dass er die einzelne konzentrierte Sicherheitsnachricht über die Fernstreckenverbindung empfängt, die mehreren Sicherheitsnachrichten aus der einzelnen konzentrierten Sicherheitsnachricht wiederherstellt und die mehreren wiederhergestellten Sicherheitsnachrichten an den zweiten Satz von einem oder mehreren Sicherheitslogik-Solvern übermittelt.
4. Safety Instrumented System nach einem der vorangehenden Aspekte, wobei der erste Satz von einem oder mehreren Prozesssteuerungsvorrichtungen in einem ersten Abschnitt des Prozesssteuersystems, der durch den ersten Abschnitt des Sicherheitssystems gewartet wird, angeordnet ist.
5. Safety Instrumented System nach einem der vorangehenden Aspekte, wobei der zweite Satz von einer oder mehreren Prozesssteuerungsvorrichtungen in einem zweiten Abschnitt des Prozesssteuerungssystems angeordnet ist, der von dem zweiten Abschnitt des Safety Instrumented Systems bedient wird.
6. Safety Instrumented System nach einem der vorangehenden Aspekte, wobei der Sicherheitsdaten-Dekonzentrator ausgebildet ist, um die mehreren wiederhergestellten Sicherheitsnachrichten an den zweiten Satz von einem oder mehreren Sicherheitslogik-Solvern basierend auf einem oder mehreren Sicherheitsbedingungen, die in den mehreren wiederhergestellten Sicherheitsnachrichten angegeben sind, zu kommunizieren.
7. Safety Instrumented System nach einem der vorangehenden Aspekte, wobei der Sicherheitsdaten-Dekonzentrator so konfiguriert ist, dass er die mehreren wiederhergestellten Sicherheitsnachrichten an den zweiten Satz von einem oder mehreren Sicherheitslogik-Solvern auf der Grundlage einer Ausgabe eines Schwellenwertlogik-Komparators übermittelt, wobei der Schwellenwertlogik-Komparator auf einen ersten Satz von Signalen angewendet wird, die eine oder mehrere wiederhergestellte Sicherheitsnachrichten anzeigen, und der Schwellenwertlogik-Komparator ein erster interner Logik-Solver ist, der in dem Sicherheitsdaten-Dekonzentrator enthalten ist.
8. Safety Instrumented System nach einem der vorangehenden Aspekte, wobei der Sicherheitsdaten-Dekonzentrator so konfiguriert ist, dass er die mehreren wiederhergestellten Sicherheitsnachrichten an den zweiten Satz von einem oder mehreren Sicherheitslogik-Solvern auf der Grundlage einer Ausgabe eines Abstimmungslogik-Komparators übermittelt, wobei der Abstimmungslogik-Komparator auf einen zweiten Satz von Signalen angewendet wird, die eine zweite oder mehrere wiederhergestellte Sicherheitsnachrichten anzeigen, und der Abstimmungslogik-Komparator ein zweiter interner Logik-Solver ist, der im Sicherheitsdaten-Dekonzentrator enthalten ist.
9. Safety Instrumented System nach einem der vorangehenden Aspekte, wobei der Sicherheitsdaten-Dekonzentrator so konfiguriert ist, dass er die mehreren wiederhergestellten Sicherheitsnachrichten an den zweiten Satz von einem oder mehreren Sicherheitslogik-Solvern auf der Grundlage der jeweiligen Ausgaben eines oder mehrerer anderer interner Logik-Solver übermittelt, die in dem Sicherheitsdaten-Dekonzentrator enthalten sind und die einen dritten Satz von Signalen bearbeiten, die eine dritte oder mehrere wiederhergestellte Sicherheitsnachrichten anzeigen.
10. Safety Instrumented System nach einem der vorangehenden Aspekte, wobei der Sicherheitsdaten-Dekonzentrator konfiguriert ist, um die mehreren wiederhergestellten Sicherheitsnachrichten an den zweiten Satz von einem oder mehreren Sicherheitslogik-Solvern auf der Grundlage eines Fehlens oder Vorhandenseins einer bestimmten zu übermittelnden Sicherheitsnachricht in den mehreren wiederhergestellten Sicherheitsnachrichten zu übertragen.
11. Safety Instrumented System nach einem der vorangehenden Aspekte, wobei der Sicherheitsdaten-Dekonzentrator konfiguriert ist, um die mehreren wiederhergestellten Sicherheitsnachrichten an den zweiten Satz von einem oder mehreren Sicherheitslogik-Solvern auf der Grundlage eines Inhalts von mindestens einer wiederhergestellten Sicherheitsnachricht zu übermitteln.
12. Safety Instrumented System nach einem der vorangehenden Aspekte, wobei der Sicherheitsdaten-Konzentrator konfiguriert ist, um die mehreren Sicherheitsnachrichten auf der Grundlage einer erwarteten Übertragungszeit der einzelnen konzentrierten Sicherheitsnachricht in die einzelnen, konzentrierte Sicherheitsnachricht zu kombinieren.
13. Safety Instrumented System nach einem der vorangehenden Aspekte, wobei der Sicherheitsdaten-Konzentrator konfiguriert ist, um die mehreren Sicherheitsnachrichten auf der Grundlage einer oder mehrerer Sicherheitsbedingungen, die in den mehreren Sicherheitsnachrichten angegeben sind, in die einzelne konzentrierte Sicherheitsnachricht zu kombinieren.
14. Safety Instrumented System nach einem der vorangehenden Aspekte, wobei der Sicherheitsdaten-Konzentrator konfiguriert ist, um die mehreren Sicherheitsnachrichten in die einzelne konzentrierte Sicherheitsnachricht basierend auf einer Ausgabe eines Schwellenwert-Komparators zu kombinieren, wobei der Schwellenwertlogik-Komparator auf einen ersten Satz von Signalen angewendet wird, die eine oder mehrere erste Sicherheitsnachrichten anzeigen, die in den mehreren Sicherheitsnachrichten enthalten sind, und der Schwellenwert-Komparator ein erster interner Logik-Solver ist, der in dem Sicherheitsdaten-Konzentrator enthalten ist.
15. Safety Instrumented System nach einem der vorangehenden Aspekte, wobei der Sicherheitsdaten-Konzentrator konfiguriert ist, um die mehreren Sicherheitsnachrichten in die einzelne konzentrierte Sicherheitsnachricht basierend auf einer Ausgabe eines Abstimmungsbewerters zu kombinieren, wobei der Abstimmungsbewerter auf einen zweiten Satz von Signalen angewendet wird, die eine oder mehrere zweite Sicherheitsnachrichten anzeigen, die in den mehreren Sicherheitsnachrichten enthalten sind, und der Abstimmungsbewerter ein zweiter interner Logik-Solver ist, der in dem Sicherheitsdaten-Konzentrator enthalten ist.
16. Safety Instrumented System nach einem der vorangehenden Aspekte, wobei der Sicherheitsdaten-Konzentrator konfiguriert ist, um die mehreren Sicherheitsnachrichten in die einzelne konzentrierte Sicherheitsnachricht auf der Grundlage der jeweiligen Ausgaben eines oder mehrerer anderer interner Logik-Solver zu kombinieren, die in dem Sicherheitsdaten-Konzentrator enthalten sind, und der an einem dritten Satz von Signalen arbeitet, die eine dritte oder mehrere Sicherheitsnachrichten anzeigen, die in den mehreren Sicherheitsnachrichten enthalten sind.
17. Safety Instrumented System nach einem der vorangehenden Aspekte, wobei der Sicherheitsdaten-Konzentrator konfiguriert ist, um die mehreren Sicherheitsnachrichten in die einzelne konzentrierte Sicherheitsnachricht basierend auf einem Fehlen oder Vorhandensein einer bestimmten Sicherheitsnachricht in den mehreren Sicherheitsnachrichten zu kombinieren.
18. Safety Instrumented System nach einem der vorangehenden Aspekte, wobei der Sicherheitsdaten-Konzentrator konfiguriert ist, um die mehreren Sicherheitsnachrichten in die einzelne konzentrierte Sicherheitsnachricht basierend auf einem Inhalt von mindestens einer Sicherheitsnachricht zu kombinieren, die in den mehreren Sicherheitsnachrichten enthalten ist.
19. Safety Instrumented System nach einem der vorangehenden Aspekte, wobei der Sicherheitsdaten-Konzentrator konfiguriert ist, um die einzelne konzentrierte Sicherheitsnachricht basierend auf einer erwarteten Übertragungszeit der einzelnen konzentrierten Sicherheitsnachricht zu übertragen.
20. Safety Instrumented System nach einem der vorangehenden Aspekte, wobei der Sicherheitsdaten-Konzentrator konfiguriert ist, um die einzelne konzentrierte Sicherheitsnachricht basierend auf einer oder mehreren Sicherheitsbedingungen zu übertragen, die in den mehreren Sicherheitsnachrichten angegeben sind.
21. Safety Instrumented System nach einem der vorangehenden Aspekte, wobei der Sicherheitsdaten-Konzentrator konfiguriert ist, um die einzelne konzentrierte Sicherheitsnachricht basierend auf einer Ausgabe eines Schwellenwert-Komparators zu übertragen, wobei der Schwellenwertlogik-Komparator an einen ersten Satz anzeigender Signale eines ersten Satzes von einer oder mehreren Sicherheitsnachrichten, die in den mehreren Sicherheitsnachrichten enthalten sind, angelegt wird, und der Schwellenwert-Komparator ein erster interner Logik-Solver ist, der in dem Sicherheitsdaten-Konzentrator enthalten ist.
22. Safety Instrumented System nach einem der vorangehenden Aspekte, wobei der Sicherheitsdaten-Konzentrator konfiguriert ist, um die einzelne konzentrierte Sicherheitsnachricht basierend auf einer Ausgabe eines Abstimmungskomparators zu übertragen, wobei der Abstimmungsbewerter auf einen zweiten Satz von Signalen angewendet wird, die für eine zweite oder mehrere Sicherheitsnachrichten hinweisend sind, die in den mehreren Sicherheitsnachrichten enthalten sind, und der Abstimmungsbewerter ein zweiter interner Logik-Solver ist, der in dem Sicherheitsdaten-Konzentrator enthalten ist.
23. Safety Instrumented System nach einem der vorangehenden Aspekte, wobei der Sicherheitsdaten-Konzentrator konfiguriert ist, um die einzelne konzentrierte Sicherheitsnachricht basierend auf den jeweiligen Ausgaben eines oder mehrerer anderer interner Logik-Solver zu übertragen, die im Sicherheitsdaten-Konzentrator enthalten sind und sich auf einen dritten Satz von Signalen anwenden, die eine dritte oder mehrere Sicherheitsnachrichten angeben, die in den mehreren Sicherheitsnachrichten enthalten sind.
24. Safety Instrumented System nach einem der vorangehenden Aspekte, wobei der Sicherheitsdaten-Konzentrator konfiguriert ist, um die einzelne konzentrierte Sicherheitsnachricht basierend auf dem Fehlen oder Vorhandensein einer bestimmten Sicherheitsnachricht in den mehreren Sicherheitsnachrichten zu übertragen.
25. Safety Instrumented System nach einem der vorangehenden Aspekte, wobei der Sicherheitsdaten-Konzentrator konfiguriert ist, um die einzelne konzentrierte Sicherheitsnachricht basierend auf einem Inhalt von mindestens einer Sicherheitsnachricht zu übertragen, die in den mehreren Sicherheitsnachrichten enthalten ist.
26. Safety Instrumented System nach einem der vorangehenden Aspekte, ferner umfassend eine zweite Verbindung, über die Sicherheitsnachrichten zwischen zwei oder mehreren Abschnitten des Safety Instrumented Systems übertragen werden; wobei die Fernstreckenverbindung eine Bandbreite aufweist, die geringer ist als eine Bandbreite der zweiten Verbindung; und wobei ein geographischer Abstand zwischen dem ersten Abschnitt des Safety Instrumented Systems und dem zweiten Abschnitt des Safety Instrumented Systems größer ist als ein geographischer Abstand zwischen zwei beliebigen Teilen des Safety Instrumented Systems, die von der zweiten Verbindung unterstützt werden.
27. Safety Instrumented System nach einem der vorangehenden Aspekte, wobei die Fernstreckenverbindung eine Glasfaserverbindung, ein Unterseekabel, eine Fernstrecken-Funkverbindung, eine Kommunikationsverbindung, die einer drahtgebundenen Kommunikationsverbindung überlagert ist oder von dieser unterstützt wird, oder eine virtuelle Verbindung mit geringerer Bandbreite, die in einer Verbindung mit höherer Bandbreite enthalten ist, ist.
28. Safety Instrumented System nach einem der vorangehenden Aspekte, wobei der eine oder die mehreren Logik-Solver Signale eines bestimmten Formats von der einen oder den mehreren Prozesssteuerungsvorrichtungen erhalten, und wobei die mehreren Sicherheitsnachrichten durch den einen oder die mehreren Logik-Solver des jeweiligen Formats erzeugt und vom Sicherheitsdaten-Konzentrator erhalten werden.
29. Safety Instrumented System nach einem der vorangehenden Aspekte, wobei das bestimmte Format auf der E/A-Ebene des Prozesssteuerungssystems implementiert ist.
30. Verfahren zur Verwendung in einem Safety Instrumented System zum Warten eines Prozesssteuerungssystems einer Fernstreckenprozessanlage, wobei das Verfahren Folgendes umfasst: Empfangen mehrerer Sicherheitsnachrichten, die durch den ersten Satz von einem oder mehreren Sicherheitslogik-Solvern erzeugt wurden, an einem kommunikativ mit einem ersten Satz von einem oder mehreren Sicherheitslogik-Solvern verbundenen Sicherheitsdaten-Konzentrator in einem ersten Abschnitt des Safety Instrumented Systems, und die mit einem ersten Satz von einer oder mehreren Prozesssteuerungsvorrichtungen des Prozesssteuerungssystems der Fernstreckenprozessanlage wirkverbunden sind; Kombinieren der mehreren Sicherheitsnachrichten durch den Sicherheitsdaten-Konzentrator in eine einzelne konzentrierte Sicherheitsnachricht, wobei die einzelne konzentrierte Sicherheitsnachricht eine Gesamtlänge aufweist, die kleiner als eine Summe der einzelnen Längen der mehreren Sicherheitsnachrichten ist; und Übertragen der einzelnen konzentrierten Sicherheitsnachricht über eine Fernstreckenverbindung zu einem zweiten Abschnitt des Safety Instrumented Systems an einen Sicherheitsdaten-Dekonzentrator, der kommunikativ mit einem zweiten Satz von einem oder mehreren Sicherheitslogik-Solvern verbunden ist, die sich im zweiten Abschnitt des Safety Instrumented Systems befinden, und die mit einem zweiten Satz von einer oder mehreren Prozesssteuerungsvorrichtungen des Prozesssteuerungssystems wirkverbunden sind, wobei der Sicherheitsdaten-Dekonzentrator so konfiguriert ist, dass er die mehreren Sicherheitsnachrichten aus der einzelnen konzentrierten Sicherheitsnachricht wiederherstellt, zur Übertragung an den zweiten Satz von Sicherheitslogik-Solvern und dem ersten Satz von einer oder mehreren Prozesssteuerungsvorrichtungen und dem zweiten Satz von einer oder mehreren Prozesssteuerungsvorrichtungen, die eine oder mehrere physikalische Funktionen ausführen, wodurch ein in der Fernstreckenprozessanlage ausgeführter industrieller Prozess gesteuert wird.
31. Verfahren nach Aspekt 30, wobei es von einem der Safety Instrumented Systems der Aspekte 1 bis 29 durchgeführt wird.
32. Verfahren nach einem der Aspekte 30 bis 31, wobei das Kombinieren der mehreren Sicherheitsnachrichten in die einzelne konzentrierte Sicherheitsnachricht das Kombinieren der mehreren Sicherheitsnachrichten in die einzelne konzentrierte Sicherheitsnachricht basierend auf einer erwarteten Übertragungszeit der einzelnen konzentrierten Sicherheitsnachricht umfasst.
33. Verfahren nach einem der Aspekte 30 bis 32, wobei das Kombinieren der mehreren Sicherheitsnachrichten in die einzelne konzentrierte Sicherheitsnachricht das Kombinieren mehrerer Sicherheitsnachrichten in die einzelne konzentrierte Sicherheitsnachricht basierend auf einer oder mehreren Sicherheitsbedingungen, die durch mindestens eine Sicherheitsnachricht in den mehreren Sicherheitsnachrichten enthalten sind, angezeigt werden.
34. Verfahren nach einem der Aspekte 30 bis 33, wobei das Kombinieren der mehreren Sicherheitsnachrichten in die einzelne konzentrierte Sicherheitsnachricht das Kombinieren mehrerer Sicherheitsnachrichten in die einzelne konzentrierte Sicherheitsnachricht basierend auf einer Ausgabe eines Schwellenwert-Komparators umfasst, wobei der Schwellenwertlogik-Komparator auf einen ersten Satz von Signalen angewendet wird, die eine oder mehrere erste Sicherheitsnachrichten anzeigen, die in den mehreren Sicherheitsnachrichten enthalten sind, und der Schwellenwert-Komparator ein erster interner Logik-Solver ist, der in dem Sicherheitsdaten-Konzentrator enthalten ist.
35. Verfahren nach einem der Aspekte 30 bis 34, wobei das Kombinieren der mehreren Sicherheitsnachrichten in die einzelne konzentrierte Sicherheitsnachricht das Kombinieren mehrerer Sicherheitsnachrichten in die einzelne konzentrierte Sicherheitsnachricht basierend auf einer Ausgabe eines Abstimmungsbewerters umfasst, wobei der Abstimmungskomparator auf einen zweiten Satz von Signalen angewendet wird, die eine oder mehrere zweite Sicherheitsnachrichten anzeigen, die in den mehreren Sicherheitsnachrichten enthalten sind, und der Abstimmungskomparator ein zweiter interner Logik-Solver ist, der in dem Sicherheitsdaten-Konzentrator enthalten ist.
36. Verfahren nach einem der Aspekte 30 bis 35, wobei das Kombinieren der mehreren Sicherheitsnachrichten in die einzelne konzentrierte Sicherheitsnachricht das Kombinieren der mehreren Sicherheitsnachrichten in die einzelne konzentrierte Sicherheitsnachricht basierend auf jeweiligen Ausgaben eines oder mehrerer anderer interner Logik-Solver umfasst, die in dem Sicherheitsdaten-Konzentrator enthalten sind und mit einem dritten Satz von Signalen arbeiten, die eine dritte oder mehrere Sicherheitsnachrichten anzeigen, die in den mehreren Sicherheitsnachrichten enthalten sind.
37. Verfahren nach einem der Aspekte 30 bis 36, wobei das Kombinieren der mehreren Sicherheitsnachrichten in die einzelne konzentrierte Sicherheitsnachricht das Kombinieren mehrerer Sicherheitsnachrichten in die einzelne konzentrierte Sicherheitsnachricht basierend auf einem Fehlen oder Vorhandensein einer bestimmten Sicherheitsnachricht in den mehreren Sicherheitsnachrichten umfasst.
38. Verfahren nach einem der Aspekte 30 bis 37, wobei das Kombinieren der mehreren Sicherheitsnachrichten in die einzelne konzentrierte Sicherheitsnachricht das Kombinieren mehrerer Sicherheitsnachrichten in die einzelne konzentrierte Sicherheitsnachricht basierend auf einem Inhalt von mindestens einer Sicherheitsnachricht umfasst, die in den mehreren Sicherheitsnachrichten enthalten ist.
39. Verfahren nach einem der Aspekte 30 bis 38, wobei das Übertragen der einzelnen konzentrierten Sicherheitsnachricht das Übertragen der einzelnen konzentrierten Sicherheitsnachricht basierend auf einer erwarteten Zeit der Übertragung der einzelnen konzentrierten Sicherheitsnachricht umfasst.
40. Verfahren nach einem der Aspekte 30 bis 39, wobei das Übertragen der einzelnen konzentrierten Sicherheitsnachricht das Übertragen der einzelnen konzentrierten Sicherheitsnachricht basierend auf einer oder mehreren Sicherheitsbedingungen umfasst, die durch mindestens eine Sicherheitsnachricht angezeigt werden, die in den mehreren Sicherheitsnachrichten enthalten ist.
41. Verfahren nach einem der Aspekte 30 bis 40, wobei das Übertragen der einzelnen konzentrierten Sicherheitsnachricht das Übertragen der einzelnen konzentrierten Sicherheitsnachricht basierend auf einer Ausgabe eines Schwellenwert-Komparators umfasst, wobei der Schwellenwertlogik-Komparator auf einen ersten Satz von indikativen Signalen eines ersten Satzes von einer oder mehreren Sicherheitsnachrichten, die in den mehreren Sicherheitsnachrichten enthalten sind, angewendet wird, und der Schwellenwert-Komparator ein erster interner Logik-Solver ist, der in dem Sicherheitsdaten-Konzentrator enthalten ist.
42. Verfahren nach einem der Aspekte 30 bis 41, wobei das Übertragen der einzelnen konzentrierten Sicherheitsnachricht das Übertragen der einzelnen konzentrierten Sicherheitsnachricht basierend auf einer Ausgabe eines Abstimmungsbewerters umfasst, wobei der Abstimmungsbewerter auf einen zweiten Satz von Signalen angewendet wird, die für eine zweite oder mehrere Sicherheitsnachrichten, die in den mehreren Sicherheitsnachrichten enthalten sind, bezeichnend sind, und der Abstimmungsbewerter ein zweiter interner Logik-Solver ist, der in dem Sicherheitsdaten-Konzentrator enthalten ist.
43. Verfahren nach einem der Aspekte 30 bis 42, wobei das Übertragen der einzelnen konzentrierten Sicherheitsnachricht das Übertragen der einzelnen konzentrierten Sicherheitsnachricht basierend auf den jeweiligen Ausgaben eines oder mehrerer anderer interner Logik-Solver umfasst, die in dem Sicherheitsdaten-Konzentrator enthalten sind und sich auf einen dritten Satz von Signalen anwenden, die für eine dritte oder mehrere Sicherheitsnachrichten, die in mehreren Sicherheitsnachrichten enthalten sind, hinweisend sind.
44. Verfahren nach einem der Aspekte 30 bis 43, wobei das Übertragen der einzelnen konzentrierten Sicherheitsnachricht das Übertragen der einzelnen konzentrierten Sicherheitsnachricht basierend auf dem Fehlen oder Vorhandensein einer bestimmten Sicherheitsnachricht in den mehreren Sicherheitsnachrichten umfasst.
45. Verfahren nach einem der Aspekte 30 bis 44, wobei das Übertragen der einzelnen konzentrierten Sicherheitsnachricht das Übertragen der einzelnen konzentrierten Sicherheitsnachricht basierend auf einem Inhalt von mindestens einer Sicherheitsnachricht umfasst, die in den mehreren Sicherheitsnachrichten enthalten ist.
46. Verfahren nach einem der Aspekte 30 bis 45, wobei das Kombinieren der mehreren Sicherheitsnachrichten in die einzelne konzentrierte Sicherheitsnachricht ferner das Kombinieren mehrerer Sicherheitsnachrichtent, die von einem bestimmten Sicherheitslogik-Solver des ersten Satzes von einem oder mehreren Sicherheitslogik-Solvern erzeugt werden, in die einzelne konzentrierte Sicherheitsnachricht umfasst.
47. Verfahren nach einem der Aspekte 30 bis 46, wobei das Kombinieren der mehreren Sicherheitsnachrichten in die einzelne konzentrierte Sicherheitsnachricht ferner das Kombinieren von Sicherheitsnachrichten, die von mehr als einem Logik-Solver erzeugt werden, die in dem ersten Satz von einem oder mehreren Sicherheitslogik-Solvern enthalten sind, in die einzelne konzentrierte Sicherheitsnachricht umfasst.
48. Verfahren nach einem der Aspekte 30 bis 47, wobei das Kombinieren der mehreren Sicherheitsnachrichten in die einzelne konzentrierte Sicherheitsnachricht ferner mehrere unterschiedliche Arten von Sicherheitsnachrichten in die einzelne konzentrierte Sicherheitsnachricht umfasst.
49. Verfahren nach einem der Aspekte 30 bis 48, ferner umfassend das Übertragen anderer Sicherheitsnachrichten über eine zweite Verbindung zwischen zwei oder mehreren Abschnitten des Safety Instrumented Systems; und wobei die Fernstreckenverbindung eine Bandbreite hat, die geringer als eine Bandbreite der zweiten Verbindung ist, und eine geographische Entfernung zwischen dem ersten Abschnitt des Safety Instrumented Systems und dem zweiten Abschnitt des Safety Instrumented Systems größer ist als eine geographische Entfernung zwischen zwei beliebigen Abschnitten des Safety Instrumented Systems, die von der zweiten Verbindung unterstützt werden.
50. Verfahren nach einem der Aspekte 30 bis 49, wobei das Übertragen der einzelnen konzentrierten Sicherheitsnachricht an den Sicherheitsdaten-Dekonzentrator über die Fernstreckenverbindung das Übertragen der einzelnen konzentrierten Sicherheitsnachricht an den Sicherheitsdaten-Dekonzentrator über eine Glasfaserverbindung, ein Unterwasserkabel, eine drahtlose Fernstreckenverbindung, eine Kommunikationsverbindung, die einer drahtgebundenen Kommunikationsverbindung überlagert ist oder von dieser unterstützt wird, oder eine virtuelle Verbindung mit geringerer Bandbreite, die in einer Verbindung mit höherer Bandbreite enthalten ist, umfasst.
51. Verfahren nach einem der Aspekte 30 bis 50, wobei: der Sicherheitsdaten-Dekonzentrator ein bestimmter Sicherheitsdaten-Dekonzentrator ist; die Fernstreckenverbindung eine bestimmte Fernstreckenverbindung ist; und das Verfahren ferner das Übertragen der einzelnen konzentrierten Sicherheitsnachricht an den Sicherheitsdaten-Dekonzentrator durch den Sicherheitsdaten-Konzentrator über mehrere Fernstrecken-Verbindungen umfasst, wobei die mehreren Sicherheitsdaten-Dekonzentratoren den bestimmten Sicherheitsdaten-Dekonzentrator enthalten und die mehreren Fernstreckenverbindungen die bestimmte Fernstreckenverbindung enthalten.
52. Verfahren nach einem der Aspekte 30 bis 51, wobei die einzelne konzentrierte Sicherheitsnachricht eine bestimmte konzentrierte Sicherheitsnachricht ist, und wobei das Verfahren ferner das Übertragen mehrerer konzentrierter Sicherheitsnachrichten durch den Sicherheitsdaten-Konzentrator über die Fernstreckenverbindung an den Sicherheitsdaten-Dekonzentrator umfasst, wobei die mehreren konzentrierten Sicherheitsnachrichten die bestimmte konzentrierte Sicherheitsnachricht enthalten.
53. Verfahren nach einem der Aspekte 30 bis 52, wobei: die einzelne konzentrierte Sicherheitsnachricht eine bestimmte einzelne konzentrierte Sicherheitsnachricht ist; der Sicherheitsdaten-Dekonzentrator ein bestimmter Sicherheitsdaten-Dekonzentrator ist; die Fernstreckenverbindung eine bestimmte Fernstreckenverbindung ist; und das Verfahren ferner das Übertragen mehrerer konzentrierter Sicherheitsnachrichten an den Sicherheitsdaten-Dekonzentrator durch den Sicherheitsdaten-Konzentrator über mehrere Fernstreckenverbindungen umfasst, wobei die mehreren konzentrierten Sicherheitsnachrichten die bestimmte konzentrierte Sicherheitsnachricht enthalten und die mehreren Sicherheitsdaten-Dekonzentratoren den bestimmten Sicherheitsdaten-Konzentrator enthalten, und die mehreren Fernstreckenverbindungen die bestimmte Fernstreckenverbindung enthalten.
54. Verfahren zur Verwendung in einem Safety Instrumented System zum Warten eines Prozesssteuerungssystems einer Fernstreckenprozessanlage, wobei das Verfahren umfasst: Empfangen, durch einen Sicherheitsdaten-Dekonzentrator, über eine Fernstreckenverbindung von einem ersten Abschnitt des Safety Instrumented Systems, einer einzelnen konzentrierten Sicherheitsnachricht, die von einem Sicherheitsdaten-Konzentrator übertragen wird, der kommunikativ mit einem ersten Satz von einem oder mehreren Sicherheitslogik-Solvern verbunden ist, die in dem ersten Abschnitt des Safety Instrumented Systems angeordnet sind und die mit einem ersten Satz von einer oder mehreren Prozesssteuerungsvorrichtungen des Prozesssteuerungssystems wirkverbunden sind, wobei der Sicherheitsdaten-Konzentrator konfiguriert ist, um mehrere Sicherheitsnachrichten zu kombinieren, die von dem ersten Satz von einem oder mehreren Sicherheitslogik-Solvern erzeugt werden, in die einzelne konzentrierte Sicherheitsnachricht mit einer Gesamtlänge, die geringer ist als eine Summe der einzelnen Längen der mehreren Sicherheitsnachrichten, wobei der Sicherheitsdaten-Dekonzentrator kommunikativ mit einem zweiten Satz von einem oder mehreren Sicherheitslogik-Solvern wirkverbunden ist, die in einem zweiten Abschnitt des Safety Instrumented Systems angeordnet sind und die mit einem zweiten Satz von einer oder mehreren Prozesssteuerungsvorrichtungen des Prozesssteuerungssystems wirkverbunden sind, und wobei der erste Satz von einer oder mehreren Prozesssteuerungsvorrichtungen und der zweite Satz von einer oder mehreren Prozesssteuerungsvorrichtungen eine oder mehrere physikalische Funktionen ausführen, wodurch ein in der Fernstreckenprozessanlage ausgeführter industrieller Prozess gesteuert wird. Das Verfahren umfasst ferner das Wiederherstellen der mehreren Sicherheitsnachrichten aus der einzelnen konzentrierten Sicherheitsnachricht durch den Sicherheitsdaten-Dekonzentrator; und das Übermitteln der mehreren wiederhergestellten Sicherheitsnachrichten an den zweiten Satz von einem oder mehreren Sicherheitslogik-Solvern.
55. Verfahren von Aspekt 54 in Kombination mit einem der Verfahren der Aspekte 30 bis 53.
56. Verfahren nach einem der Aspekte 54 bis 55, wobei es von einem der Safety Instrumented Systems der Aspekte 1 bis 29 durchgeführt wird.
57. Verfahren nach einem der Aspekte 54 bis 56, wobei die mehreren Sicherheitsnachrichten von dem Sicherheitsdaten-Konzentrator basierend auf einer erwarteten Zeit der Übertragung der einzelnen konzentrierten Sicherheitsnachricht kombiniert oder übertragen werden.
58. Verfahren nach einem der Aspekte 54 bis 57, wobei die mehreren Sicherheitsnachrichten basierend auf einer oder mehreren Sicherheitsbedingungen, die in den mehreren Sicherheitsnachrichten angegeben sind, kombiniert oder von dem Sicherheitsdaten-Konzentrator übertragen wurden;
59. Verfahren nach einem der Aspekte 54 bis 58, wobei die mehreren Sicherheitsnachrichten basierend auf einer Ausgabe eines Schwellenwert-Komparators kombiniert oder von dem Sicherheitsdaten-Konzentrator übertragen werden, wobei der Schwellenwertlogik-Komparator auf einen ersten Satz von Signalen angewendet wird hinweisend für eine oder mehrere erste Sicherheitsnachrichten, die in den mehreren Sicherheitsnachrichten enthalten sind, und wobei der Schwellenwert-Komparator ein erster interner Logik-Solver ist, der in dem Sicherheitsdaten-Konzentrator enthalten ist;
60. Verfahren nach einem der Aspekte 54 bis 59, wobei die mehreren Sicherheitsnachrichten basierend auf einer Ausgabe eines Abstimmungsbewerters kombiniert oder durch den Sicherheitsdaten-Konzentrator übertragen werden, wobei der Abstimmungsbewerter auf einen zweiten Satz von Signalen, die für eine zweite oder mehrere Sicherheitsnachrichten hinweisend sind, die in den mehreren Sicherheitsnachrichten enthalten sind, und wobei der Abstimmungsbewerter ein zweiter interner Logik-Solver ist, der in dem Sicherheitsdaten-Konzentrator enthalten ist;
61. Verfahren nach einem der Aspekte 54 bis 60, wobei die mehreren Sicherheitsnachrichten basierend auf jeweiligen Ausgaben eines oder mehrerer anderer interner Logik-Solver, die in dem Sicherheitsdaten-Konzentrator enthalten sind, kombiniert oder von dem Sicherheitsdaten-Konzentrator übertragen werden und die an einem dritten Satz von Signalen arbeiten, die eine dritte oder mehrere Sicherheitsnachrichten anzeigen, die in den mehreren Sicherheitsnachrichten enthalten sind.
62. Verfahren nach einem der Aspekte 54 bis 61, wobei die mehreren Sicherheitsnachrichten durch den Sicherheitsdaten-Konzentrator auf der Grundlage eines Fehlens oder Vorhandenseins einer bestimmten Sicherheitsnachricht in den mehreren Sicherheitsnachrichten kombiniert oder übertragen werden.
63. Verfahren nach einem der Aspekte 54 bis 62, wobei die mehreren Sicherheitsnachrichten basierend auf einem Inhalt mindestens einer Sicherheitsnachricht, die in den mehreren Sicherheitsnachrichten enthalten ist, kombiniert oder von dem Sicherheitsdaten-Konzentrator übertragen werden.
64. Verfahren nach einem der Aspekte 54 bis 63, ferner umfassend das Empfangen von Sicherheitsnachrichten, die über eine zweite Verbindung zwischen zwei oder mehreren Abschnitten des Safety Instrumented Systems übertragen werden; und wobei die Fernstreckenverbindung eine Bandbreite hat, die geringer als eine Bandbreite der zweiten Verbindung ist, und eine geographische Entfernung zwischen dem ersten Abschnitt des Safety Instrumented Systems und dem zweiten Abschnitt des Safety Instrumented Systems größer ist als eine geographische Entfernung zwischen zwei beliebigen Abschnitten des Safety Instrumented Systems, die von der zweiten Verbindung unterstützt werden.
65. Verfahren nach einem der Aspekte 54 bis 64, wobei das Empfangen der einzelnen konzentrierten Sicherheitsnachricht, die von einem Sicherheitsdaten-Konzentrator über die Fernstreckenverbindung von dem ersten Abschnitt des Safety Instrumented Systems gesendet wird, das Empfangen der einzelnen übertragenen Sicherheitsnachricht durch den Sicherheitsdaten-Konzentrator über eine Glasfaserverbindung, ein Unterseekabel, eine drahtlose Fernstreckenverbindung, eine Kommunikationsverbindung, die einer drahtgebundenen Kommunikationsverbindung überlagert ist oder von dieser unterstützt wird, oder eine virtuelle Verbindung mit niedrigerer Bandbreite, die in einer Verbindung mit höherer Bandbreite enthalten ist, umfasst.
66. Verfahren nach einem der Aspekte 54 bis 65, wobei das Kommunizieren der mehreren wiederhergestellten Sicherheitsnachrichten an den zweiten Satz von einem oder mehreren Sicherheitslogik-Solvern das Kommunizieren einer oder mehrerer der wiederhergestellten mehreren Sicherheitsnachrichten basierend auf einer oder mehreren Sicherheitsbedingungen, die in den mehreren wiederhergestellten Sicherheitsnachrichten angegeben sind, umfasst.
67. Verfahren nach einem der Aspekte 54 bis 66, wobei das Kommunizieren der mehreren wiederhergestellten Sicherheitsnachrichten an den zweiten Satz von einem oder mehreren Sicherheitslogik-Solvern das Kommunizieren einer oder mehrerer der mehreren wiederhergestellten Sicherheitsnachrichten basierend auf einer Ausgabe eines Schwellenwertlogik-Komparators umfasst, wobei der Schwellenwertlogik-Komparator auf einen ersten Satz von Signalen angewendet wird, die eine erste oder mehrere wiederhergestellte Sicherheitsnachrichten anzeigen, und der Schwellenwertlogik-Komparator ein erster interner Logik-Solver ist, der in dem Sicherheitsdaten-Dekonzentrator enthalten ist.
68. Verfahren nach einem der Aspekte 54 bis 67, wobei das Kommunizieren der mehreren wiederhergestellten Sicherheitsnachrichten an den zweiten Satz von einem oder mehreren Sicherheitslogik-Solvern das Kommunizieren einer oder mehrerer der mehreren wiederhergestellten Sicherheitsnachrichten auf der Grundlage einer Ausgabe eines Abstimmungslogik-Komparators umfasst, wobei der Abstimmungslogik-Komparator auf einen zweiten Satz von Signalen angewendet wird, die eine zweite oder mehrere wiederhergestellte Sicherheitsnachrichten anzeigen, und der Abstimmungslogik-Komparator ein zweiter interner Logik-Solver ist, der in dem Sicherheitsdaten-Dekonzentrator enthalten ist.
69. Verfahren nach einem der Aspekte 54 bis 68, wobei das Kommunizieren der mehreren wiederhergestellten Sicherheitsnachrichten an den zweiten Satz von einem oder mehreren Sicherheitslogik-Solvern das Kommunizieren einer oder mehrerer der mehreren wiederhergestellten Sicherheitsnachrichten auf der Grundlage von jeweiligen Ausgaben von einem oder mehreren anderen internen Logik-Solvern umfasst, die in dem Sicherheitsdaten-Dekonzentrator enthalten sind und die einen dritten Satz von Signalen bearbeiten, die eine dritte oder mehrere wiederhergestellte Sicherheitsnachrichten anzeigen.
70. Verfahren nach einem der Aspekte 54 bis 69, wobei das Kommunizieren der mehreren wiederhergestellten Sicherheitsnachrichten an den zweiten Satz von einem oder mehreren Sicherheitslogik-Solvern das Kommunizieren einer oder mehrerer der mehreren wiederhergestellten Sicherheitsnachrichten auf der Grundlage eines Fehlens oder Vorhandenseins von einer bestimmten Sicherheitsnachricht in den mehreren wiederhergestellten Sicherheitsnachrichten umfasst.
71. Verfahren nach einem der Aspekte 54 bis 70, wobei das Übertragen der mehreren wiederhergestellten Sicherheitsnachrichten an den zweiten Satz von einem oder mehreren Sicherheitslogik-Solvern das Übertragen einer oder mehrerer der wiederhergestellten Sicherheitsnachrichten basierend auf einem Inhalt von mindestens einer wiederhergestellte Sicherheitsnachricht umfasst.
72. Verfahren nach einem der Aspekte 54 bis 71, wobei die Fernstreckenverbindung eine bestimmte Fernstreckenverbindung ist, die in mehreren Fernstreckenverbindungen enthalten ist, die den ersten Abschnitt des Safety Instrumented Systems kommunikativ mit dem zweiten Abschnitt des Safety Instrumented Systems verbinden; und das Verfahren ferner umfasst: Empfangen einer oder mehrerer zusätzlicher konzentrierter Sicherheitsnachrichten, die von einem oder mehreren zusätzlichen Sicherheitsdaten-Konzentratoren, die in dem ersten Abschnitt des Safety Instrumented Systems angeordnet sind, übertragen werden, über die mehreren Fernstreckenverbindungen; Wiederherstellen der jeweiligen mehreren Sicherheitsnachrichten von jeder der einen oder mehreren zusätzlichen konzentrierten Sicherheitsnachrichten; und Übermitteln von mindestens einigen der wiederhergestellten Sicherheitsnachrichten an den zweiten Satz von einem oder mehreren Sicherheitslogik-Solvern.
73. Verfahren nach einem der Aspekte 54 bis 72, ferner umfassend das Bestimmen der mindestens einigen der wiederhergestellten Sicherheitsnachrichten, die an den zweiten Satz von einem oder mehreren Sicherheitslogik-Solvern übermittelt werden sollen, basierend auf einem oder mehreren der folgenden Elemente: einer Ausgabe von einem Schwellenwertlogik-Komparator, wobei der Schwellenwertlogik-Komparator auf einen ersten Satz von Signalen angewendet wird, die der einen oder den mehreren zusätzlichen konzentrierten Sicherheitsnachrichten entsprechen, wobei der Schwellenwertlogik-Komparator ein erster interner Logik-Solver ist, der in dem Sicherheitsdaten-Dekonzentrator enthalten ist; eine Ausgabe eines Abstimmungslogikbewerters, wobei der Abstimmungslogikbewerter an einen zweiten Satz von Signalen angelegt wird, die der einen oder den mehreren zusätzlichen konzentrierten Sicherheitsnachrichten entsprechen, wobei der Abstimmungslogikbewerter ein zweiter interner Logik-Solver ist, der in dem Sicherheitsdaten-Dekonzentrator enthalten ist; oder jeweilige Ausgaben eines oder mehrerer anderer interner Logik-Solver, die in dem Sicherheitsdaten-Dekonzentrator enthalten sind und die einen dritten Satz von Signalen bearbeiten, die der einen oder den mehreren zusätzlichen konzentrierten Sicherheitsnachrichten entsprechen.
74. Verfahren nach einem der Aspekte 54 bis 73, ferner umfassend: Erzeugen von einer zusätzlichen Sicherheitsnachricht basierend auf dem einen oder den mehreren von Folgendem: der Ausgabe des Schwellenlogik-Komparators, der Ausgabe des Abstimmungslogikbewerters oder den jeweiligen Ausgaben der einen oder der mehreren anderen internen Logik-Solver des Sicherheitsdaten-Dekonzentrators; und Übermitteln der zusätzlichen Sicherheitsnachricht an einen oder mehrere Empfänger-Sicherheitslogik-Solver, die in dem zweiten Abschnitt des Safety Instrumented Systems angeordnet sind.
75. Jeder der vorherigen Aspekte in Kombination mit irgendeinem anderen der vorherigen Aspekte.

Während die vorliegende Erfindung unter Bezugnahme auf spezifische Beispiele beschrieben wurde, die nur veranschaulichend sein sollen und die Erfindung nicht einschränken sollen, ist es für den Durchschnittsfachmann offensichtlich, dass Änderungen, Hinzufügungen oder Streichungen zu den offenbarten Ausführungsformen möglich sind, ohne vom Geist und Umfang der Erfindung abzuweichen.
ZITATE ENTHALTEN IN DER BESCHREIBUNG
Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
Zitierte Patentliteratur

US 7289861 [0021]

Claims

Safety Instrumented System zur Verwendung in einer Fernstreckenprozessanlage mit einem Prozesssteuerungssystem, wobei das Safety Instrumented System Folgendes umfasst: einen Sicherheitsdaten-Konzentrator, der kommunikativ mit einem oder mehreren Sicherheitslogik-Solvern verbunden ist, die in einem ersten Abschnitt des Safety Instrumented Systems angeordnet sind und mit einer oder mehreren Prozesssteuerungsvorrichtungen des Prozesssteuerungssystems wirkverbunden sind, das Prozesssteuerungssystem, das vom Safety Instrumented System bedient wird, wobei eine oder mehrere Prozesssteuerungsvorrichtungen des Prozesssteuerungssystems eine oder mehrere physikalische Funktionen ausführen, um dadurch einen industriellen Prozess zu steuern, der in der Fernstreckenprozessanlage ausgeführt wird, und den Sicherheitsdaten-Konzentrator, der konfiguriert ist zum: Kombinieren mehrerer Sicherheitsnachrichten, die von einem oder mehreren Sicherheitslogik-Solvern erzeugt werden, in eine einzelne konzentrierte Sicherheitsnachricht, wobei die einzelne konzentrierte Sicherheitsnachricht eine Gesamtlänge aufweist, die geringer ist als eine Summe der jeweiligen Längen der mehreren Sicherheitsnachrichten; und Übertragen der einzelnen konzentrierten Sicherheitsnachricht über eine Fernstreckenverbindung an einen zweiten Abschnitt des Safety Instrumented Systems.
Sicherheitssystem nach Anspruch 1, wobei: der eine oder die mehreren Sicherheitslogik-Solver ein erster Satz von einem oder mehreren Sicherheitslogik-Solvern ist; das eine oder die mehreren Prozesssteuerungsgeräte ein erster Satz von einem oder mehreren Prozesssteuerungsgeräten ist; und das Safety Instrumented System ferner umfasst: einen Sicherheitsdaten-Dekonzentrator, der kommunikativ mit einem zweiten Satz von einem oder mehreren Sicherheitslogik-Solvern verbunden ist, die in dem zweiten Abschnitt des Safety Instrumented Systems angeordnet sind und die mit einem zweiten Satz von einer oder mehreren Prozesssteuerungsvorrichtungen des Prozesssteuerungssystems wirkverbunden sind, wobei der Daten-Dekonzentrator konfiguriert ist, um die einzelne konzentrierte Sicherheitsnachricht über die Fernstreckenverbindung zu empfangen, die mehreren Sicherheitsnachrichten aus der einzelnen konzentrierten Sicherheitsnachricht wiederherzustellen und die mehreren wiederhergestellten Sicherheitsnachrichten an den zweiten Satz von einem oder mehreren Sicherheitslogik-Solvern zu übertragen, und/oder wobei der erste Satz von einem oder mehreren Prozesssteuerungsvorrichtungen in einem ersten Abschnitt des Prozesssteuerungssystems durch den ersten Abschnitt des Safety Instrumented Systems bedient angeordnet ist, und wobei der zweite Satz von einer oder mehreren Prozesssteuerungsvorrichtungen in einem zweiten Abschnitt des Prozesssteuerungssystems angeordnet ist, der von dem zweiten Abschnitt des Safety Instrumented Systems bedient wird, und/oder wobei der Sicherheitsdaten-Dekonzentrator ausgebildet ist, die mehreren wiederhergestellten Sicherheitsnachrichten an den zweiten Satz von einem oder mehreren Sicherheitslogik-Solvern zu kommunizieren, basierend auf einem oder mehrere von: einer oder mehrerer Sicherheitsbedingungen, die in den mehreren wiederhergestellten Sicherheitsnachrichten angegeben sind; eine Ausgabe eines Schwellenwertlogik-Komparators, wobei der Schwellenwertlogik-Komparator an einen ersten Satz von Signalen angelegt wird, die eine oder mehrere erste wiederhergestellte Sicherheitsnachrichten anzeigen, und wobei der Schwellenwertlogik-Komparator ein erster interner Logik-Solver ist, der in dem Sicherheitsdaten-Dekonzentrator enthalten ist; eine Ausgabe eines Abstimmungslogik-Komparators, wobei der Abstimmungslogik-Komparator an einen zweiten Satz von Signalen angelegt wird, der eine oder mehrere wiederhergestellte Sicherheitsnachrichten anzeigt, und der Abstimmungslogik-Komparator ein zweiter interner Logik-Solver ist, der in dem Sicherheitsdaten-Dekonzentrator enthalten ist; jeweilige Ausgaben eines oder mehrerer anderer interner Logik-Solver, die in dem Sicherheitsdaten-Dekonzentrator enthalten sind und die einen dritten Satz von Signalen bearbeiten, die eine dritte oder mehrere wiederhergestellte Sicherheitsnachrichten anzeigen; ein Fehlen oder Vorhandensein einer bestimmten Sicherheitsnachricht in den mehreren wiederhergestellten Sicherheitsnachrichten; oder ein Inhalt von mindestens einer wiederhergestellten Sicherheitsnachricht.
Safety Instrumented System nach Anspruch 1 oder 2, insbesondere nach Anspruch 1, wobei der Sicherheitsdaten-Konzentrator konfiguriert ist, um die mehreren Sicherheitsnachrichten in die einzelne konzentrierte Sicherheitsnachricht basierend auf mindestens einem der Folgenden zu kombinieren: eine erwartete Zeit der Übertragung der einzelnen konzentrierten Sicherheitsnachricht; eine oder mehrere Sicherheitsbedingungen, die in den mehreren Sicherheitsnachrichten angegeben sind; eine Ausgabe eines Schwellenwert-Komparators, wobei der Schwellenwertlogik-Komparator an einen ersten Satz von Signalen angelegt wird, die eine oder mehrere erste Sicherheitsnachrichten anzeigen, die in den mehreren Sicherheitsnachrichten enthalten sind, und der Schwellenwert-Komparator ein erster interner Logik-Solver ist, der in dem Sicherheitsdaten-Konzentrator enthalten ist; eine Ausgabe eines Abstimmungsbewerters, wobei der Abstimmungsbewerter an einen zweiten Satz von Signalen angelegt wird, die eine zweite oder mehrere Sicherheitsnachrichten anzeigen, die in den mehreren Sicherheitsnachrichten enthalten sind, und der Abstimmungsbewerter ein zweiter interner Logik-Solver ist, der in dem Sicherheitsdaten-Konzentrator enthalten ist; jeweilige Ausgaben eines oder mehrerer anderer interner Logik-Solver, die in dem Sicherheitsdaten-Konzentrator enthalten sind und die einen dritten Satz von Signalen bearbeiten, die eine dritte oder mehrere dritte Sicherheitsnachrichten anzeigen, die in den mehreren Sicherheitsnachrichten enthalten sind; ein Fehlen oder Vorhandensein einer bestimmten Sicherheitsnachricht in den mehreren Sicherheitsnachrichten; oder einen Inhalt von mindestens einer Sicherheitsnachricht, die in den mehreren Sicherheitsnachrichten enthalten ist.
Safety Instrumented System nach einem der Ansprüche 1 bis 3, insbesondere nach Anspruch 1, wobei der Sicherheitsdaten-Konzentrator konfiguriert ist, um die einzelne konzentrierte Sicherheitsnachricht basierend auf einem oder mehreren der Folgenden zu übertragen: einer erwarteten Zeit der Übertragung der einzelnen konzentrierten S icherhe itsnachricht; einer oder mehreren Sicherheitsbedingungen, die in den mehreren Sicherheitsnachrichten angegeben sind; einem Ausgang eines Schwellenwert-Komparators, wobei der Schwellenwertlogik-Komparator an einen ersten Satz von Signalen angelegt wird, die eine oder mehrere erste Sicherheitsnachrichten anzeigen, die in den mehreren Sicherheitsnachrichten enthalten sind, und der Schwellenwert-Komparator ein erster interner Logik-Solver ist, der in dem Sicherheitsdaten-Konzentrator enthalten ist; einer Ausgabe eines Abstimmungsbewerters, wobei der Abstimmungsbewerter an einen zweiten Satz von Signalen angelegt wird, die eine zweite oder mehrere Sicherheitsnachrichten anzeigen, die in den mehreren Sicherheitsnachrichten enthalten sind, und der Abstimmungsbewerter ein zweiter interner Logik-Solver ist, der in dem Sicherheitsdaten-Konzentrator enthalten ist; jeweiligen Ausgaben eines oder mehrerer anderer interner Logik-Solver, die in dem Sicherheitsdaten-Konzentrator enthalten sind und die einen dritten Satz von Signalen bearbeiten, die eine dritte oder mehrere dritte Sicherheitsnachrichten anzeigen, die in den mehreren Sicherheitsnachrichten enthalten sind; einem Fehlen oder Vorhandensein einer bestimmten Sicherheitsnachricht in den mehreren Sicherheitsnachrichten; oder einem Inhalt von mindestens einer Sicherheitsnachricht, die in den mehreren Sicherheitsnachrichten enthalten ist.
Safety Instrumented System nach einem der Ansprüche 1 bis 4, insbesondere nach Anspruch 1, ferner umfassend eine zweite Verbindung, über die Sicherheitsnachrichten zwischen zwei oder mehreren Abschnitten des Safety Instrumented Systems übertragen werden; wobei die Fernstreckenverbindung eine Bandbreite aufweist, die geringer ist als eine Bandbreite der zweiten Verbindung; und wobei eine geographische Entfernung zwischen dem ersten Abschnitt des Safety Instrumented Systems und dem zweiten Abschnitt des Safety Instrumented Systems größer ist als eine geographische Entfernung zwischen beliebigen zwei Abschnitten des Safety Instrumented Systems, die von der zweiten Verbindung unterstützt werden.
Safety Instrumented System nach einem der Ansprüche 1 bis 5, insbesondere nach Anspruch 1, wobei die Fernstreckenverbindung eine Glasfaserverbindung, ein Unterseekabel, eine Fernstrecken-Funkverbindung, eine Kommunikationsverbindung ist, die einer drahtgebundenen Kommunikationsverbindung überlagert ist oder von dieser unterstützt wird, oder eine virtuelle Verbindung mit geringerer Bandbreite, die in einer Verbindung mit höherer Bandbreite enthalten ist.
Safety Instrumented System nach einem der Ansprüche 1 bis 6, insbesondere nach Anspruch 1, wobei der eine oder die mehreren Logik-Solver Signale in einem bestimmten Format aus einer oder mehreren Prozesssteuerungsvorrichtungen erhalten, und wobei die mehreren Sicherheitsnachrichten, die durch den einen oder die mehreren Logik-Solver erzeugt werden, in einem bestimmten Format sind und vom Sicherheitsdaten-Konzentrator empfangen werden.
Safety Instrumented System nach einem der Ansprüche 1 bis 7, insbesondere nach Anspruch 1, wobei das bestimmte Format in der E/A-Ebene des Prozessleitsystems implementiert ist.
Verfahren zur Verwendung in einem Safety Instrumented System, zum Warten eines Prozessleitsystems einer Fernstreckenprozessanlage, wobei das Verfahren Folgendes umfasst: Empfangen an einem Sicherheitsdaten-Konzentrator, der kommunikativ mit einem ersten Satz von einem oder mehreren Sicherheitslogik-Solvern verbunden ist, die in einem ersten Abschnitt des Safety Instrumented Systems angeordnet sind und die mit einem ersten Satz von einer oder mehreren Prozesssteuerungsvorrichtungen des Prozesssteuerungssystems der Fernstreckenprozessanlage wirkverbunden sind, mehrerer Sicherheitsnachrichten, die von dem ersten Satz von einem oder mehreren Sicherheitslogik-Solvern erzeugt werden; Kombinieren der mehreren Sicherheitsnachrichten durch den Sicherheitsdaten-Konzentrator in eine einzelne konzentrierte Sicherheitsnachricht, wobei die einzelne konzentrierte Sicherheitsnachricht eine Gesamtlänge aufweist, die kleiner als eine Summe der einzelnen Längen der mehreren Sicherheitsnachrichten ist; und Übertragen der einzelnen konzentrierten Sicherheitsnachricht durch den Sicherheitsdaten-Konzentrator über eine Fernstreckenverbindung zu einem zweiten Abschnitt des Safety Instrumented Systems an einen Sicherheitsdaten-Dekonzentrator, der kommunikativ mit einem zweiten Satz von einem oder mehreren Sicherheitslogik-Solvern verbunden ist, die sich im zweiten Abschnitt des Safety Instrumented Systems befinden, und die mit einem zweiten Satz von einer oder mehreren Prozesssteuerungsvorrichtungen des Prozesssteuerungssystems wirkverbunden sind, wobei der Sicherheitsdaten-Dekonzentrator konfiguriert ist, um mehrere Sicherheitsnachrichten aus der einzelnen konzentrierten Sicherheitsnachricht zum Kommunizieren an den zweiten Satz von Sicherheitslogik-Solvern wiederherzustellen, und der erste Satz von einer oder mehreren Prozesssteuerungsvorrichtungen und der zweite Satz von einer oder mehreren Prozesssteuerungsvorrichtungen eine oder mehrere physikalische Funktionen ausführen, um dadurch einen industriellen Prozess zu steuern, der in der Fernstreckenprozessanlage ausgeführt wird.
Verfahren nach Anspruch 9, wobei das Kombinieren der mehreren Sicherheitsnachrichten in die einzelne konzentrierte Sicherheitsnachricht das Kombinieren der mehreren Sicherheitsnachrichten in die einzelne konzentrierte Sicherheitsnachricht zumindest auf einem der Folgenden basiert: einer erwarteten Zeit der Übertragung der einzelnen konzentrierten Sicherheitsnachricht; einer oder mehreren Sicherheitsbedingungen, die durch mindestens eine Sicherheitsnachricht angezeigt werden, die in den mehreren Sicherheitsnachrichten enthalten ist; einer Ausgabe eines Schwellenwert-Komparators, wobei der Schwellenwertlogik-Komparator an einen ersten Satz von Signalen angelegt wird, die eine oder mehrere erste Sicherheitsnachrichten anzeigen, die in den mehreren Sicherheitsnachrichten enthalten sind, und der Schwellenwert-Komparator ein erster interner Logik-Solver ist, der in dem Sicherheitsdaten-Konzentrator enthalten ist; einer Ausgabe eines Abstimmungsbewerters, wobei der Abstimmungsbewerter an einen zweiten Satz von Signalen angelegt wird, die eine zweite oder mehrere Sicherheitsnachrichten anzeigen, die in den mehreren Sicherheitsnachrichten enthalten sind, und der Abstimmungsbewerter ein zweiter interner Logik-Solver ist, der in dem Sicherheitsdaten-Konzentrator enthalten ist; jeweiligen Ausgaben eines oder mehrerer anderer interner Logik-Solver, die in dem Sicherheitsdaten-Konzentrator enthalten sind und die einen dritten Satz von Signalen bearbeiten, die eine dritte oder mehrere dritte Sicherheitsnachrichten anzeigen, die in den mehreren Sicherheitsnachrichten enthalten sind; einem Fehlen oder Vorhandensein einer bestimmten Sicherheitsnachricht in den mehreren Sicherheitsnachrichten; oder einem Inhalt von mindestens einer Sicherheitsnachricht, die in den mehreren Sicherheitsnachrichten enthalten ist, und/oder wobei: der Sicherheitsdaten-Dekonzentrator ein bestimmter Sicherheitsdaten-Dekonzentrator ist; die Fernstreckenverbindung eine bestimmte Fernstreckenverbindung ist; und das Verfahren ferner das Übertragen der einzelnen konzentrierten Sicherheitsnachricht an den Sicherheitsdaten-Konzentrator über mehrere Fernstreckenverbindungen an mehrere Sicherheitsdaten-Dekonzentratoren umfasst, wobei die mehreren Sicherheitsdaten-Dekonzentratoren den bestimmten Sicherheitsdaten-Dekonzentrator und die mehreren Fernstreckenverbindungen die bestimmte Fernstreckenverbindung enthalten, und/oder wobei die einzelne konzentrierte Sicherheitsnachricht eine bestimmte konzentrierte Sicherheitsnachricht ist, und wobei das Verfahren ferner das Übertragen, durch den Sicherheitsdaten-Konzentrator über die Fernstreckenverbindung mehrerer konzentrierte Sicherheitsnachrichten an den Sicherheitsdaten-Dekonzentrator umfasst, wobei die mehreren konzentrierten Sicherheitsnachrichten die bestimmte konzentrierte Sicherheitsnachricht enthalten, und/oder wobei: die einzelne konzentrierte Sicherheitsnachricht eine bestimmte einzelne konzentrierte Sicherheitsnachricht ist; der Sicherheitsdaten-Dekonzentrator ein bestimmter Sicherheitsdaten-Dekonzentrator ist; die Fernstreckenverbindung eine bestimmte Fernstreckenverbindung ist; und das Verfahren ferner das Übertragen mehrerer konzentrierter Sicherheitsnachrichten durch den Sicherheitsdaten-Konzentrator über mehrere Fernstreckenverbindungen an den Sicherheitsdaten-Dekonzentrator umfasst, wobei die mehreren konzentrierten Sicherheitsnachrichten die bestimmte konzentrierte Sicherheitsnachricht enthalten und die mehreren Sicherheitsdaten-Dekonzentratoren den bestimmten Sicherheitsdaten-Dekonzentrator enthalten, und die mehreren Fernstreckenverbindungen die bestimmte Fernstreckenverbindung enthalten.
Verfahren nach Anspruch 9 oder 10, insbesondere nach Anspruch 9, wobei das Übertragen der einzelnen konzentrierten Sicherheitsnachricht ferner das Übertragen der einzelnen konzentrierten Sicherheitsnachricht basierend auf einem oder mehreren umfasst: einer erwarteten Zeit der Übertragung der einzelnen konzentrierten Sicherheitsnachricht; einer oder mehreren Sicherheitsbedingungen, die durch mindestens eine der mehreren Sicherheitsnachrichten angezeigt werden; einer Ausgabe eines Schwellenwert-Komparators, wobei der Schwellenwertlogik-Komparator an einen ersten Satz von Signalen angelegt wird, die eine oder mehrere erste Sicherheitsnachrichten anzeigen, die in den mehreren Sicherheitsnachrichten enthalten sind, und der Schwellenwert-Komparator ein erster interner Logik-Solver ist, der in dem Sicherheitsdaten-Konzentrator enthalten ist; einer Ausgabe eines Abstimmungsbewerters, wobei der Abstimmungsbewerter an einen zweiten Satz von Signalen angelegt wird, die eine zweite oder mehrere Sicherheitsnachrichten anzeigen, die in den mehreren Sicherheitsnachrichten enthalten sind, und der Abstimmungsbewerter ein zweiter interner Logik-Solver ist, der in dem Sicherheitsdaten-Konzentrator enthalten ist; jeweiligen Ausgaben eines oder mehrerer anderer interner Logik-Solver, die in dem Sicherheitsdaten-Konzentrator enthalten sind und die einen dritten Satz von Signalen bearbeiten, die eine dritte oder mehrere dritte Sicherheitsnachrichten anzeigen, die in den mehreren Sicherheitsnachrichten enthalten sind; einem Fehlen oder Vorhandensein einer bestimmten Sicherheitsnachricht in den mehreren Sicherheitsnachrichten; oder einem Inhalt von mindestens einer Sicherheitsnachricht, die in den mehreren Sicherheitsnachrichten enthalten ist.
Verfahren nach einem der Ansprüche 9 bis 11, insbesondere nach Anspruch 9, wobei das Kombinieren der mehreren Sicherheitsnachrichten in die einzelne konzentrierte Sicherheitsnachricht ferner das Kombinieren mehrerer Sicherheitsnachrichten, die durch einen bestimmten Sicherheitslogik-Solver des ersten Satzes von einem oder mehreren Sicherheitslogik-Solvern erzeugt werden, in die einzelne konzentrierte Sicherheitsnachricht umfasst.
Verfahren nach einem der Ansprüche 9 bis 12, insbesondere nach Anspruch 9, wobei das Kombinieren mehrerer konzentrierter Sicherheitsnachrichten in die einzelne konzentrierte Sicherheitsnachricht ferner das Kombinieren durch mehr als einen Logik-Solver, der in dem ersten Satz von einem oder mehreren Sicherheitslogik-Solvern enthalten ist, in die einzelne konzentrierte Sicherheitsnachricht umfasst.
Verfahren nach einem der Ansprüche 9 bis 13, insbesondere nach Anspruch 9, wobei das Kombinieren der mehreren Sicherheitsnachrichten in die einzelne konzentrierte Sicherheitsnachricht ferner das Kombinieren der mehreren unterschiedlichen Arten von Sicherheitsnachrichten in die einzelne konzentrierte Sicherheitsnachricht umfasst.
Verfahren nach einem der Ansprüche 9 bis 14, insbesondere nach Anspruch 9, ferner umfassend: Übertragen anderer Sicherheitsnachrichten über eine zweite Verbindung zwischen zwei oder mehreren Abschnitten des Safety Instrumented Systems; und wobei die Fernstreckenverbindung eine Bandbreite hat, die geringer ist als eine Bandbreite der zweiten Verbindung, und eine geographische Entfernung zwischen dem ersten Abschnitt des Safety Instrumented Systems und dem zweiten Abschnitt des Safety Instrumented Systems größer ist als eine geographische Entfernung zwischen beliebigen zwei Abschnitten des Safety Instrumented Systems, die von der zweiten Verbindung unterstützt werden.
Verfahren nach einem der Ansprüche 9 bis 15, insbesondere nach Anspruch 9, wobei die Übertragung der einzelnen konzentrierten Sicherheitsnachricht an den Sicherheitsdaten-Dekonzentrator über die Fernstreckenverbindung umfasst: Übertragen der einzelnen konzentrierten Sicherheitsnachricht an den Sicherheitsdaten-Dekonzentrator über eine Glasfaserverbindung, ein Unterseekabel, eine drahtlose Fernstreckenverbindung, eine Kommunikationsverbindung, die eine drahtgebundene Kommunikationsverbindung überlagert oder von dieser unterstützt wird, oder eine virtuelle Verbindung mit niedrigerer Bandbreite, die in einer Verbindung mit höherer Bandbreite enthalten ist.
Verfahren zur Verwendung in einem Safety Instrumented System eines Prozesssteuerungssystems einer Fernstreckenprozessanlage, wobei das Verfahren Folgendes umfasst: Empfangen einer einzelnen konzentrierten Sicherheitsnachricht, die von einem Sicherheitsdaten-Konzentrator übertragen wird, der kommunikativ mit einem ersten Satz von einem oder mehreren Sicherheitslogik-Solvern verbunden ist, die in einem ersten Abschnitt des Safety Instrumented Systems angeordnet sind und kommunikativ mit einem ersten Satz von einem oder mehreren Prozesssteuerungsvorrichtungen des Prozesssteuerungssystems wirkverbunden sind, über eine Fernstreckenverbindung durch einen Sicherheitsdaten-Dekonzentrator, wobei der Sicherheitsdaten-Konzentrator so konfiguriert ist, dass er mehrere Sicherheitsnachrichten kombiniert, die von dem ersten Satz von einem oder mehreren Sicherheitslogik-Solvern erzeugt werden, in die einzelne konzentrierte Sicherheitsnachricht, wobei die einzelne konzentrierte Sicherheitsnachricht eine Gesamtlänge aufweist, die geringer ist als die Summe der individuelle Längen der mehreren Sicherheitsnachrichten, der Sicherheitsdaten-Dekonzentrator kommunikativ mit einem zweiten Satz von einem oder mehreren Sicherheitslogik-Solvern verbunden ist, die in einem zweiten Abschnitt des Sicherheitssystems angeordnet sind und die mit einem zweiten Satz von einer oder mehreren Prozesssteuerungsvorrichtungen des Prozesssteuerungssystems kommunikativ wirkverbunden sind, und Ausführen durch den ersten Satz von einer oder mehreren Prozesssteuerungsvorrichtungen und den zweiten Satz von einer oder mehreren Prozesssteuerungsvorrichtungen einer oder mehrerer physikalischer Funktionen, wodurch ein in der Fernstreckenprozessanlage ausgeführter industrieller Prozess gesteuert wird; Wiederherstellen der mehreren Sicherheitsnachrichten aus der einzelnen konzentrierten Sicherheitsnachricht durch den Sicherheitsdaten-Dekonzentrator; und Übertragen der mehreren wiederhergestellten Sicherheitsnachrichten an den zweiten Satz von einem oder mehreren Sicherheitslogik-Solvern.
Verfahren nach Anspruch 17, wobei die mehreren Sicherheitsnachrichten, von denen mindestens eine durch den Sicherheitsdaten-Konzentrator kombiniert oder übertragenen wurde, auf mindestens einem der Folgenden basieren: einer erwarteten Zeit der Übertragung der einzelnen konzentrierten Sicherheitsnachricht; einer oder mehreren Sicherheitsbedingungen, die in den mehreren Sicherheitsnachrichten angegeben sind; einer Ausgabe eines Schwellenwert-Komparators, wobei der Schwellenwertlogik-Komparator an einen ersten Satz von Signalen angelegt wird, die eine oder mehrere erste Sicherheitsnachrichten anzeigen, die in den mehreren Sicherheitsnachrichten enthalten sind, und der Schwellenwert-Komparator ein erster interner Logik-Solver ist, der in dem Sicherheitsdaten-Konzentrator enthalten ist; einer Ausgabe eines Abstimmungsbewerters, wobei der Abstimmungsbewerter an einen zweiten Satz von Signalen angelegt wird, die eine zweite oder mehrere Sicherheitsnachrichten anzeigen, die in den mehreren Sicherheitsnachrichten enthalten sind, und der Abstimmungsbewerter ein zweiter interner Logik-Solver ist, der in dem Sicherheitsdaten-Konzentrator enthalten ist; jeweiligen Ausgaben eines oder mehrerer anderer interner Logik-Solver, die in dem Sicherheitsdaten-Konzentrator enthalten sind und die einen dritten Satz von Signalen bearbeiten, die eine dritte oder mehrere dritte Sicherheitsnachrichten anzeigen, die in den mehreren Sicherheitsnachrichten enthalten sind; einem Fehlen oder Vorhandensein einer bestimmten Sicherheitsnachricht in den mehreren Sicherheitsnachrichten; oder einem Inhalt von mindestens einer Sicherheitsnachricht, die in den mehreren Sicherheitsnachrichten enthalten ist.
Verfahren nach Anspruch 17 oder 18, insbesondere nach Anspruch 17, ferner umfassend das Empfangen von Sicherheitsnachrichten, die über eine zweite Verbindung zwischen zwei oder mehreren Abschnitten des Safety Instrumented Systems übertragen werden; und wobei die Fernstreckenverbindung eine Bandbreite hat, die geringer ist als eine Bandbreite der zweiten Verbindung, und eine geographische Entfernung zwischen dem ersten Abschnitt des Safety Instrumented Systems und dem zweiten Abschnitt des Safety Instrumented Systems größer ist als eine geographische Entfernung zwischen beliebigen zwei Teilen des Safety Instrumented Systems, die von der zweiten Verbindung unterstützt werden.
Verfahren nach einem der Ansprüche 17 bis 19, insbesondere nach Anspruch 17, wobei das Empfangen der einzelnen konzentrierten Sicherheitsnachricht, die von einem Sicherheitsdaten-Konzentrator über die Fernstreckenverbindung von dem ersten Abschnitt des Safety Instrumented Systems übertragen wird, Folgendes umfasst: Empfangen der einzelnen konzentrierten Sicherheitsnachricht, die durch den Sicherheitsdaten-Konzentrator über eine Glasfaserverbindung, ein Unterseekabel, eine drahtlose Fernstreckenverbindung, eine Kommunikationsverbindung, die einer drahtgebundenen Kommunikationsverbindung überlagert ist oder von dieser unterstützt wird, oder eine virtuelle Verbindung mit niedrigerer Bandbreite, die in einer Verbindung mit höherer Bandbreite enthalten ist, übertragen wird.
Verfahren nach einem der Ansprüche 17 bis 20, insbesondere nach Anspruch 17, wobei das Übertragen der mehreren wiederhergestellten Sicherheitsnachrichten zu dem zweiten Satz von einem oder mehreren Sicherheitslogik-Solvern das Übertragen von einer oder mehreren der mehreren wiederhergestellten Sicherheitsnachrichten basierend auf einem oder mehreren von Folgendem umfasst: einer oder mehreren Sicherheitsbedingungen, die in den mehreren wiederhergestellten Sicherheitsnachrichten angegeben sind; einer Ausgabe eines Schwellenwertlogik-Komparators, wobei der Schwellenwertlogik-Komparator an einen ersten Satz von Signalen angelegt wird, die eine oder mehrere erste wiederhergestellte Sicherheitsnachrichten anzeigen, und wobei der Schwellenwertlogik-Komparator ein erster interner Logik-Solver ist, der in dem Sicherheitsdaten-Dekonzentrator enthalten ist; einer Ausgabe eines Abstimmungslogik-Komparators, wobei der Abstimmungslogik-Komparator an einen zweiten Satz von Signalen angelegt wird, der eine oder mehrere wiederhergestellte Sicherheitsnachrichten anzeigt, und der Abstimmungslogik-Komparator ein zweiter interner Logik-Solver ist, der in dem Sicherheitsdaten-Dekonzentrator enthalten ist; jeweiligen Ausgaben eines oder mehrerer anderer interner Logik-Solver, die in dem Sicherheitsdaten-Dekonzentrator enthalten sind und die einen dritten Satz von Signalen bearbeiten, die eine dritte oder mehrere wiederhergestellte Sicherheitsnachrichten anzeigen; einem Fehlen oder Vorhandensein einer bestimmten Sicherheitsnachricht in den mehreren wiederhergestellten Sicherheitsnachrichten; oder einem Inhalt von mindestens einer wiederhergestellten Sicherheitsnachricht.
Verfahren nach einem der Ansprüche 17 bis 21, insbesondere nach Anspruch 17, wobei: die Fernstreckenverbindung eine bestimmte Fernstreckenverbindung ist, die in mehreren Fernstreckenverbindungen enthalten ist, die den ersten Abschnitt des Safety Instrumented Systems kommunikativ mit dem zweiten Abschnitt des Safety Instrumented Systems verbinden; und wobei das Verfahren ferner umfasst: Empfangen einer oder mehrerer zusätzlicher konzentrierter Sicherheitsnachrichten, die von einem oder mehreren zusätzlichen Sicherheitsdaten-Konzentratoren, die in dem ersten Abschnitt des Safety Instrumented Systems angeordnet sind, übertragen werden, über die mehreren Fernstreckenverb i nd u ngen; Wiederherstellen mehrerer Sicherheitsnachrichten von jeder der einen oder mehreren zusätzlichen konzentrierten Sicherheitsnachrichten; und Übertragen mindestens einiger der wiederhergestellten Sicherheitsnachrichten an den zweiten Satz von einem oder mehreren Sicherheitslogik-Solvern.
Verfahren nach einem der Ansprüche 17 bis 22, insbesondere nach Anspruch 17, ferner umfassend das Bestimmen des zumindest einen Teils der wiederhergestellten Sicherheitsnachrichten, der zu dem zweiten Satz von einem oder mehreren Sicherheitslogik-Solvern basierend auf einem oder mehreren von Folgenden kommuniziert werden soll: einer Ausgabe eines Schwellenwertlogik-Komparators, wobei der Schwellenwertlogik-Komparator an einen ersten Satz von Signalen angelegt wird, die der einen oder den mehreren zusätzlichen konzentrierten Sicherheitsnachrichten entsprechen, wobei der Schwellenwertlogik-Komparator ein erster interner Logik-Solver ist, der in dem Sicherheitsdaten-Dekonzentrator enthalten ist; einer Ausgabe eines Abstimmungslogikbewerters, wobei der Abstimmungslogikbewerter an einen zweiten Satz von Signalen angelegt wird, die der einen oder den mehreren zusätzlichen konzentrierten Sicherheitsnachrichten entsprechen, wobei der Abstimmungslogikbewerter ein zweiter interner Logik-Solver ist, der in dem Sicherheitsdaten-Dekonzentrator enthalten ist; oder jeweiligen Ausgaben eines oder mehrerer anderer interner Logik-Solver, die in dem Sicherheitsdaten-Dekonzentrator enthalten sind und die einen dritten Satz von Signalen bearbeiten, die der einen oder den mehreren zusätzlichen konzentrierten Sicherheitsnachrichten entsprechen, und/oder ferner umfassend: Erzeugen einer zusätzlichen Sicherheitsnachricht basierend auf dem einen oder den mehreren von: der Ausgabe des Schwellenwertlogik-Komparators, der Ausgabe des Abstimmungslogikbewerters oder den jeweiligen Ausgaben des einen oder der mehreren anderen internen Logik-Solver des Sicherheitsdaten-Dekonzentrators; und Übertragen der zusätzlichen Sicherheitsnachricht an einen oder mehrere Empfänger-Sicherheitslogik-Solver, die in dem zweiten Abschnitt des Safety Instrumented Systems angeordnet sind.
Computer-lesbares Speichermedium, welches Instruktionen enthält, die mindestens einen Prozessor dazu veranlassen, ein Verfahren nach einem der Ansprüche 9 bis 16 und/oder 17 bis 23 zu implementieren, wenn die Instruktionen durch mindestens einen Prozessor ausgeführt werden.