DE102020127820A1 - Technologien zum konfigurieren von abstimmungsblöcken, die einem prozesssteuerungssystem zugeordnet sind - Google Patents

Technologien zum konfigurieren von abstimmungsblöcken, die einem prozesssteuerungssystem zugeordnet sind Download PDF

Info

Publication number
DE102020127820A1
DE102020127820A1 DE102020127820.9A DE102020127820A DE102020127820A1 DE 102020127820 A1 DE102020127820 A1 DE 102020127820A1 DE 102020127820 A DE102020127820 A DE 102020127820A DE 102020127820 A1 DE102020127820 A1 DE 102020127820A1
Authority
DE
Germany
Prior art keywords
block
voting
inputs
control
input
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102020127820.9A
Other languages
English (en)
Inventor
Gary K. Law
Godfrey R. Sherriff
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fisher Rosemount Systems Inc
Original Assignee
Fisher Rosemount Systems Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fisher Rosemount Systems Inc filed Critical Fisher Rosemount Systems Inc
Publication of DE102020127820A1 publication Critical patent/DE102020127820A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0423Input/output
    • G05B19/0425Safety, monitoring
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/418Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM]
    • G05B19/4183Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM] characterised by data acquisition, e.g. workpiece identification
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/418Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM]
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0428Safety, monitoring
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/418Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM]
    • G05B19/4185Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM] characterised by the network communication
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • G05B9/03Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/10Plc systems
    • G05B2219/14Plc safety
    • G05B2219/14123Majority voting, dynamic redundant, persistency and integrity
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24192Configurable redundancy

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Automation & Control Theory (AREA)
  • General Engineering & Computer Science (AREA)
  • Manufacturing & Machinery (AREA)
  • Quality & Reliability (AREA)
  • Safety Devices In Control Systems (AREA)
  • Programmable Controllers (AREA)

Abstract

Es werden Techniken beschrieben, um die Konfiguration eines Abstimmungsblocks zur Verwendung in einem Prozesssteuerungssystem einer Prozessanlage zu ermöglichen. Gemäß bestimmten Aspekten kann der Abstimmungsblock ein Abstimmungsschema aufweisen, das einen Ausgang basierend auf einem Satz von Eingängen vorschreibt, wobei der Abstimmungsblock unter Verwendung verschiedener Steuerungsauswahlmöglichkeiten, die das Verhalten des Abstimmungsschemas festlegen, parametrisch konfiguriert werden kann. Insbesondere kann für einen oder mehrere Eingänge eine Bypass-Verschlechterungsauswahl vorgegeben werden, die steuert, ob ein „Bypass“-Eingang das Abstimmungsschema verschlechtert, eine Status-Verschlechterungsauswahl kann für einen oder mehrere Eingänge vorgegeben werden, die steuert, ob ein „schlechter“ Eingang das Abstimmungsschema verschlechtert, und eine Auslöse-Aktivierungswahl kann vorgegeben werden, die steuert, ob eine Auslösung unter bestimmten Bedingungen automatisch erfolgt. Die Steuerungsauswahl ermöglicht das Konfigurieren der Abstimmungsblöcke, so dass sie verschiedenen Spezifikationen und anderen Anforderungen entsprechen.

Description

  • TECHNOLOGIEBEREICH
  • Diese Offenbarung betrifft allgemein das Konfigurieren von Abstimmungsblöcken für Prozesssteuerungssysteme und insbesondere das effektive und effiziente Ermöglichen der Konfiguration von Abstimmungsblöcken unter Verwendung verschiedener Steuereingänge, um verschiedene Spezifikationen zu erfüllen.
  • HINTERGRUND
  • Prozesssteuerungssysteme, wie diejenigen, die in Chemie-, Erdöl-, Industrie- oder sonstigen Prozessanlagen zur Herstellung, Veredelung, Umformung, Erzeugung oder Produktion von physischen Materialien oder Produkten verwendet werden, beinhalten üblicherweise eine oder mehrere Prozesssteuerungen, die über analoge, digitale oder kombinierte Analog-/Digital-Busse oder über eine drahtlose Kommunikationsverbindung oder ein -Netzwerk mit einem oder mehreren Feldgeräten gekoppelt sind. Die Feldgeräte, wobei es sich z. B. um Ventile, Ventil-Stellungsregler, Schalter und Geber (z. B. Temperatur, Druck-, Füllstands- und Durchflusssensoren) handeln kann, sind innerhalb der Prozessumgebung platziert und übernehmen üblicherweise physische oder Prozesssteuerungs-Funktionen, wie z. B. das Öffnen oder Schließen von Ventilen, das Messen von Prozess- und/oder Umweltparametern, wie z. B. Temperatur oder Druck usw., zur Steuerung von einem oder mehreren Prozessen innerhalb der Prozessanlage oder des Systems. Intelligente Feldgeräte, wie z. B. die Feldgeräte, die dem bekannten FeldbusProtokoll entsprechen, können auch Steuerungsberechnungen, Alarmfunktionen und andere in der Steuerung übliche Steuerfunktionen ausführen. Die Prozesssteuerungen, die sich ebenfalls typischerweise in der Anlagenumgebung befinden, empfangen Signale, die auf die von den Feldgeräten durchgeführten Prozessmessungen und/oder andere die Feldgeräte betreffende Informationen hinweisen, und führen eine Steuerungsanwendung aus, in der z. B. verschiedene Steuerungsmodule laufen, die Entscheidungen zur Prozesssteuerung treffen, auf der Grundlage der empfangenen Informationen Steuersignale generieren und sich mit den Steuerungsmodulen oder -Blöcken koordinieren, die in den Feldgeräten ausgeführt werden, wie z. B. HART®-, WirelessHART®- und FOUNDATION®-Fieldbus-Feldgeräte. Die Steuerungsmodule in der Steuerung senden die Steuersignale über die Kommunikationsleitungen oder -Verbindungen zu den Feldgeräten, um dadurch den Betrieb mindestens eines Anteils der Prozessanlage oder des Systems (z. B. mindestens einen Anteil eines oder mehrerer industrieller Prozesse) zu steuern, die innerhalb der Anlage oder des Systems laufen oder ausgeführt werden. Zum Beispiel steuern die Steuerungen und die Feldgeräte mindestens einen Anteil eines Prozesses, der von der Prozessanlage oder dem System gesteuert wird. I/O-Geräte, die typischerweise ebenfalls innerhalb der Anlagenumgebung platziert sind, sind typischerweise zwischen einer Steuerung und einem oder mehreren Feldgeräten angeordnet und ermöglichen dort die Kommunikation untereinander, z. B. durch Umwandlung elektrischer Signale in digitale Werte und umgekehrt. Wie vorliegend verwendet, werden Feldgeräte und Steuerungen im Allgemeinen als „Prozesssteuerungsgeräte“ bezeichnet.
  • Informationen von den Feldgeräten und der Steuerung werden in der Regel über eine Datenautobahn oder ein Kommunikationsnetzwerk einem oder mehreren anderen Hardwaregeräten zur Verfügung gestellt, wie z. B. Bedienerarbeitsplätzen, Personal Computern oder Rechengeräten, Datenhistorikern, Berichtsgeneratoren, zentralisierten Datenbanken oder anderen zentralisierten administrativen Rechengeräten, die typischerweise in Leitstellen oder an anderen Orten abseits der raueren Anlagenumgebung platziert sind. Jedes dieser Hardware-Geräte ist in der Regel über die gesamte Prozessanlage oder einen Anteil der Prozessanlage hinweg zentralisiert. Diese Hardwaregeräte führen Anwendungen aus, die es beispielsweise einem Bediener ermöglichen können, Funktionen in Bezug auf die Steuerung eines Prozesses und/oder den Betrieb der Prozessanlage auszuführen, wie z. B. das Ändern der Einstellungen der Prozesssteuerroutine, das Ändern des Betriebs der Steuerungsmodule innerhalb der Steuerungen oder der Feldgeräte, das Anzeigen der aktuellen Prozessbedingung, das Anzeigen von Alarmen, die von Feldgeräten und Steuerungen generiert werden, das Simulieren des Betriebs des Prozesses zum Zweck der Schulung von Personal oder das Testen der Prozesssteuerungssoftware, das Führen und Aktualisieren einer Konfigurationsdatenbank usw. Die von den Hardwaregeräten, Steuerungen und Feldgeräten verwendete Datenautobahn kann einen drahtgebundenen Kommunikationsweg, einen drahtlosen Kommunikationsweg oder eine Kombination aus drahtgebundenen und drahtlosen Kommunikationswegen beinhalten.
  • In vielen Prozesssteuerungssystemen ist ein separates Sicherheitssystem bereitgestellt, um signifikante sicherheitsrelevante Probleme in der Prozessanlage zu erkennen und Vorbeugemaßnahmen automatisch zu ermöglichen, z. B. Ventile automatisch zu schließen, den Strom von Geräten zu trennen, die Flüsse innerhalb der Anlage umschalten usw., wenn ein Problem auftritt, das eine ernste Gefahr in der Anlage hervorrufen oder zu einer solchen werden könnte (wie z. B. das Austreten giftiger Chemikalien, eine Explosion usw.). Diese Sicherheitssysteme verfügen in der Regel neben den Standardsteuerungen der Prozesssteuerung über eine oder mehrere separate Steuerungen, die so genannten Logic Solver (Logiklösungen), die über separate Busse, Kommunikationsleitungen oder drahtlose Netzwerke, die in der Prozessanlage installiert sind, mit Sicherheitsfeldgeräten verbunden sind. Die Logic Solver verwenden die Sicherheitsfeldgeräte zum Erkennen von Prozesszuständen, die wichtigen Ereignissen zugeordnet sind, wie z. B. der Position bestimmter Sicherheitsschalter oder Abschaltventile, Über- oder Unterläufe im Prozess, dem Betrieb wichtiger Stromerzeugungs- oder -Steuergeräte, dem Betrieb von Fehlersuchgeräten usw., um dadurch „Ereignisse“ innerhalb der Prozessanlage zu erkennen. Wenn ein Ereignis erkannt wird, ergreift die Sicherheitssteuerung Maßnahmen zur Begrenzung des Schadenspotenzials des Ereignisses wie z. B. das Schließen von Ventilen, das Ausschalten von Geräten, das Abschalten der Stromversorgung von Anlagenabschnitten usw. Generell beinhalten derartige Maßnahmen das Umschalten von Sicherheitsgeräten in einen ausgelösten oder „sicheren“ Betriebsmodus, der dazu ausgelegt ist, einen schwerwiegenden oder gefährlichen Zustand innerhalb der Prozessanlage zu verhindern.
  • Funktionsblöcke innerhalb des sicherheitsinstrumentierten Systems oder des Logic Solvers können mit einer Logik programmiert werden, die die Verwendung eines Signals oder einen erkannten Zustand eines Feldgeräts umgeht oder übersteuert, wenn beispielsweise das vom Feldgerät empfangene Signal schlecht ist, wenn sich die Logik innerhalb des Feldgeräts in einem schlechten oder anormalen Modus befindet, oder wenn ein manuelles Signal von einer Bedienerarbeitsstation gesendet wird, um einen solchen Bypass (Umgehung) oder eine solche Übersteuerung auszulösen. Beispielsweise sind einige Funktionsblöcke mit analogem Eingang (AI) oder digitalem Eingang (DI) so programmiert, dass sie einen Bypass oder eine Übersteuerung der Logik innerhalb der Sicherheitssystemsteuerung bereitstellen, wodurch verhindert wird, dass die Sicherheitssystemsteuerungs-Logik den Ausgang des Feldgeräts (d. h. den Ausgang des AI- oder des DI-Blocks) als gültigen Eingang verwendet, der zu verwenden ist, um zu bestimmen, ob ein Ereignis aufgetreten ist. Diese Funktionsblöcke stellen jedoch typischerweise ein solches Bypass- oder Übersteuerungssignal als Reaktion auf ein manuelles Aktivierungssignal zur Verfügung, das von einem Bediener oder Ingenieur generiert wird, wenn beispielsweise ein Feldgerät gewartet wird.
  • In ähnlicher Weise ist es in sicherheitsinstrumentierten Systemen üblich, redundante Eingangsgeräte wie Sender und Schalter zu verwenden, um Ereignisse innerhalb des Systems zu erkennen, um eine höhere Sicherheitsintegrität oder Verfügbarkeit von Messgrößen für Prozessvariablen bereitzustellen. In solchen Systemen ist es manchmal erforderlich, Abstimmungslogikfunktionen in der Abschaltlogik bereitzustellen, um zu bestimmen, ob die Prozessbedingung basierend auf den redundanten Eingängen akzeptabel oder gefährlich ist. Eine solche Abstimmungslogik ist ziemlich einfach, da sie typischerweise nur eine Mehrheitsentscheidung der Eingänge bestimmen muss, um zu erkennen, ob eine Ereignisbedingung aufgetreten ist. Beispielsweise kann ein Zwei-von-Drei-Abstimmungsblock (2oo3) ein Auslösen eines Sicherheitssystems erfordern, wenn zwei der drei Eingänge im Zustand TRIP (ausgelöst) sind. Darüber hinaus ist es möglich, Abstimmungsfunktionsblöcke mit Übersteuerungs- und Bypassfunktionen bereitzustellen, um beispielsweise den Betrieb des Abschaltsystems während des Hochlaufs des Prozesssteuerungssystems zu verhindern, damit das Wartungspersonal Wartungsvorgänge an einem oder mehreren der Eingangsgeräte durchführen kann, damit ausgewählte Prozessbedingungen vorübergehend ignoriert werden können usw.
  • Derzeit werden Abstimmungsblöcke nach Bedarf programmiert und sind nicht konfigurierbar. Das heißt, jedes Mal, wenn ein Abstimmungsblock ein anderes als ein ursprünglich definiertes „Standard“-Verhalten zeigen muss, muss der Block manuell neu programmiert werden. Dadurch entsteht die Möglichkeit von menschlichem Versagen während des Programmierprozesses, das zu Situationen führen könnte, die bestenfalls suboptimal und im schlimmsten Fall gefährlich und/oder lebensbedrohlich sind. Ferner wird in einigen Fällen einem generischen Abstimmungsblock ein „Berechnungsblock“ hinzugefügt, um seine programmierte Abstimmungsstrategie „anzupassen“ oder zu modifizieren. Die Verwendung zusätzlicher Berechnungsblöcke bietet nicht nur Gelegenheiten für menschliches Versagen, sondern führt auch zu Verzögerungen und Ungenauigkeiten im Sicherheitssystem, wenn zwei Blöcke zu festgelegten Abtastzeiten von begrenzter Dauer arbeiten, wodurch möglicherweise Race-Bedingungen und Lese-/Schreibprobleme auftreten.
  • Dementsprechend besteht neben anderen Vorteilen die Gelegenheit, die Konfiguration von Abstimmungsblöcken effektiv und effizient zu ermöglichen, um menschliches Versagen zu reduzieren und eine Vielzahl von Spezifikationen einzuhalten.
  • KURZFASSUNG
  • Hierin werden Techniken, Systeme, Vorrichtungen, Komponenten, Geräte und Verfahren zum Konfigurieren von Abstimmungsblöcken offenbart. Die genannten Techniken, Systeme, Vorrichtungen, Komponenten, Geräte und Verfahren können auf industrielle Prozesssteuerungssysteme, -Umgebungen und/oder -Anlagen angewendet werden, die hier austauschbar als „industrielle Steuerungs-“, „Prozesssteuerungs-“ oder „Prozess“-Systeme‟, -Umgebungen und/oder -Anlagen bezeichnet werden. Üblicherweise bieten solche Systeme und Anlagen eine dezentrale Steuerung eines oder mehrerer Prozesse, die zur Herstellung, Optimierung, Umwandlung, Erzeugung oder Produktion von physischen Materialien oder Produkten eingesetzt werden. Ein Prozesssteuerungs- oder sicherheitsinstrumentiertes System verwendet eine Funktionsblocklogik, um die Logik innerhalb des Prozesssteuerungs- oder sicherheitsinstrumentierten Systems mit Betriebszuständen von Feldgeräten zu koordinieren.
  • In einer Ausführungsform wird ein computerimplementiertes Verfahren bereitgestellt, um die Konfiguration eines konfigurierbaren Abstimmungsblocks für ein Prozesssteuerungssystem in einer Prozessanlage zu ermöglichen. Der konfigurierbare Abstimmungsblock kann ein Abstimmungsschema aufweisen, das einem Satz von Eingängen zugeordnet ist, und das Verfahren kann umfassen: Empfangen, über eine Benutzerschnittstelle, einer ersten Steuerungsauswahl, die festlegt, ob das Abstimmungsschema für den konfigurierbaren Abstimmungsblock für eine erste Instanz eines ersten Eingangstyps von einem des Satzes von Eingängen verschlechtert wird; Empfangen, über die Benutzerschnittstelle, einer zweiten Steuerungsauswahl, die festlegt, ob das Abstimmungsschema für den konfigurierbaren Abstimmungsblock für eine zweite Instanz des ersten Eingangstyps von einem anderen des Satzes von Eingängen verschlechtert wird; Konfigurieren des konfigurierbaren Abstimmungsblocks gemäß der ersten Steuerungsauswahl und der zweiten Steuerungsauswahl; Empfangen des Satzes von Eingängen von einem Satz von Geräten, die der Prozessanlage zugeordnet sind; und Verarbeiten des Satzes von Eingängen gemäß dem konfigurierbaren Abstimmungsblock, der konfiguriert wurde, wobei die Verarbeitung zu einem Ausgang des konfigurierbaren Abstimmungsblocks führt.
  • In einer weiteren Ausführungsform wird ein Rechengerät bereitgestellt, um die Konfiguration eines konfigurierbaren Abstimmungsblocks für ein Prozesssteuerungssystem in einer Prozessanlage zu ermöglichen. Der konfigurierbare Abstimmungsblock kann ein Abstimmungsschema aufweisen, das einem Satz von Eingängen zugeordnet ist, und das Rechengerät kann umfassen: eine Benutzerschnittstelle, einen Speicher, der einen Satz von computerausführbaren Anweisungen speichert, und einen Prozessor, der an die Benutzerschnittstelle und den Speicher angeschaltet ist, und dazu konfiguriert ist, den Satz von computerausführbaren Anweisungen auszuführen, um den Prozessor zu veranlassen zum: Empfangen, über die Benutzerschnittstelle, einer ersten Steuerungsauswahl, die festlegt, ob das Abstimmungsschema für den konfigurierbaren Abstimmungsblock für eine erste Instanz eines ersten Eingangstyps von einem des Satzes von Eingängen verschlechtert wird; Empfangen, über die Benutzerschnittstelle, einer zweiten Steuerungsauswahl, die festlegt, ob das Abstimmungsschema für den konfigurierbaren Abstimmungsblock für eine zweite Instanz des ersten Eingangstyps von einem anderen des Satzes von Eingängen verschlechtert wird; Konfigurieren des konfigurierbaren Abstimmungsblocks gemäß der ersten Steuerungsauswahl und der zweiten Steuerungsauswahl; Empfangen des Satzes von Eingängen von einem Satz von Geräten, die der Prozessanlage zugeordnet sind; und Verarbeiten des Satzes von Eingängen gemäß dem konfigurierbaren Abstimmungsblock, der konfiguriert wurde, wobei die Verarbeitung zu einem Ausgang des konfigurierbaren Abstimmungsblocks führt.
  • In einer weiteren Ausführungsform wird ein Steuerungsmodul zur Verwendung in einer Prozessanlage mit einem Prozessor bereitgestellt, der kommunikativ gekoppelt ist, um ein oder mehrere Feldgeräte zu steuern. Das Steuerungsmodul kann umfassen: ein nicht transitorisches computerlesbares Medium; und einen Funktionsblock, der auf dem nicht transitorischen computerlesbaren Medium gespeichert ist und auf dem Prozessor ausgeführt wird, wobei der Funktionsblock umfasst: einen Satz von Eingängen, die jeweils dazu konfiguriert sind, ein Eingangssignal aus der Prozessanlage zu empfangen, das eine Prozessbedingung angibt; einen ersten Steuerblock umfassend einen ersten Steuerungsparameter, der festlegt, ob ein Abstimmungsschema für den Funktionsblock für eine erste Instanz eines ersten Eingangstyps von einem des Satzes von Eingängen verschlechtert wird; einen zweiten Steuerblock, der einen zweiten Steuerungsparameter umfasst, der festlegt, ob das Abstimmungsschema für den Funktionsblock für eine zweite Instanz des ersten Eingangstyps von einem anderen des Satzes von Eingängen verschlechtert wird; einen Ausgang, der ein Ausgangssignal bereitstellt, und einen Wählerlogikblock, der zwischen dem ersten Steuerblock, dem zweiten Steuerblock und dem Ausgang gekoppelt ist, wobei der Wählerlogikblock dazu konfiguriert ist, das Ausgangssignal basierend auf dem Satz von Eingangssignalen, dem ersten Steuerungsparameter und dem zweiten Steuerungsparameter zu erzeugen.
  • Figurenliste
    • 1 ist ein Blockdiagramm einer beispielhaften Prozessanlage mit einem Sicherheitssystem, das in ein Prozesssteuerungssystem gemäß bestimmten Ausführungsformen integriert ist;
    • 2 ist ein Blockdiagramm eines der konfigurierbaren Wählerfunktionsblöcke von 1 gemäß bestimmten Ausführungsformen;
    • 3A-3C zeigen beispielhafte Zustandsdiagramme für verschiedene Abstimmungsschemata mit einer Verschlechterungsoption gemäß bestimmten Ausführungsformen;
    • 4A-4I zeigen beispielhafte Wahrheitstabellen, die Ein- und Ausgänge für verschiedene konfigurierbare Abstimmungsblöcke mit unterschiedlichen Steuerungsauswahlmöglichkeiten gemäß bestimmten Ausführungsformen zeigen; und
    • 5 ist ein Flussdiagramm eines beispielhaften Verfahrens zum Ermöglichen der Konfiguration eines konfigurierbaren Abstimmungsblocks gemäß bestimmten Ausführungsformen.
  • DETAILLIERTE BESCHREIBUNG
  • Prozesssteuerungssysteme für Prozessanlagen enthalten häufig ein oder mehrere sicherheitsinstrumentierte Systeme, die den Zustand von Werten und Parametern innerhalb bestimmter Betriebsgrenzen überwachen. Wenn Risikobedingungen auftreten, können die Sicherheitssysteme Alarme auslösen und/oder einen oder mehrere Anteile von Prozessanlagen in einen sicheren Zustand oder einen Abschaltzustand versetzen. Solche Sicherheitssysteme sind dazu ausgelegt, Unfälle (z. B. Brände, Explosionen, Schäden an Ausrüstungen usw.) innerhalb und außerhalb der Prozessanlagen zu vermeiden.
  • Gemäß den hier erörterten Systemen und Verfahren beinhalten die Sicherheitssysteme konfigurierbare Abstimmungsfunktionsblöcke, die in eine Programmierumgebung integriert werden können, um eine Abstimmungslogik zu implementieren, die von einem Benutzer vorgegeben werden kann. In Ausführungsformen kann jeder konfigurierbare Abstimmungsblock mehrere Eingängen von Sensoren oder anderen Feldgeräten empfangen und einen vorgegebenen Ausgang erzeugen, wenn eine voreingestellte Anzahl der Eingänge angibt, dass der Ausgang erwünscht ist. Zum Beispiel müssten in einem 2-von-3-(„2003‟)-Abstimmungsblock mindestens zwei der drei Eingänge eine „Auslöse“-Bedingung angeben, damit der Abstimmungsblock ein „Auslöse“-Signal ausgeben kann; andernfalls würde der Abstimmungsblock „normal“ ausgeben.
  • Im Allgemeinen kann ein Abstimmungsblock bedenkenlos arbeiten, wenn die einzigen Eingänge in den Abstimmungsblock NML (normal) oder TRP (Auslösung) sind. Es gibt jedoch zusätzliche Arten von Eingängen, die einer Prozessanlage zugeordnet sind. Beispielsweise kann ein Eingang TRP (schlecht) sein, beispielsweise wenn das entsprechende Feldgerät nicht funktionsfähig oder unzuverlässig ist (oder kein Signal empfangen wird), oder BYP (Bypass), beispielsweise während der Wartung des Feldgeräts oder wenn ein „Auslöse“-Signal als fehlerhaft bekannt ist. Ein Abstimmungsblock kann eine andere Logik implementieren, um BAD- und BYP-Eingänge zu berücksichtigen. In einer Implementierung kann ein 2oo3-Abstimmungsblock einen „Auslöse“-Ausgang erzeugen, wenn die Eingänge BAD-NML-TRP sind (d. h. so, dass der BAD-Eingang als TRP-Eingang behandelt wird). In einer weiteren Implementierung kann ein 2oo3-Abstimmungsblock einen „normalen“ Ausgang erzeugen, wenn die Eingänge BAD-NML-TRP sind (d. h. so, dass der BAD-Eingang als NML-Eingang behandelt wird). In ähnlicher Weise können verschiedene Implementierungen einen BYP-Eingang als TRP-Eingang oder NML-Eingang behandeln.
  • Es gibt eine Anzahl unterschiedlicher Abstimmungsblockkonfigurationen, die erwünscht sein können, z. B. wenn unterschiedliche Kunden unterschiedliche Arten von Abstimmungsstrategien benötigen, manchmal für unterschiedliche Anteile der Prozessanlagen, wobei die Strategien aufgrund verschiedener Faktoren wie Sicherheitsphilosophien, Kosten, Leistungszeit, Art der Steuerungsfunktion und/oder andere Faktoren unterschiedlich sein können. Herkömmlicherweise werden Abstimmungsblöcke nach Bedarf programmiert und sind nicht konfigurierbar. Folglich muss ein Abstimmungsblock jedes Mal, wenn er ein anderes als ein ursprünglich definiertes „Standard“-Verhalten zeigen soll, manuell neu programmiert werden. Dadurch entsteht die Möglichkeit von menschlichem Versagen während des Programmierprozesses, das zu Situationen führen könnte, die bestenfalls suboptimal und im schlimmsten Fall gefährlich und/oder lebensbedrohlich sind. Ferner kann in einigen Fällen einem generischen Abstimmungsblock ein „Berechnungsblock“ hinzugefügt werden, um seine programmierte Abstimmungsstrategie „anzupassen“ oder zu modifizieren. Die Verwendung zusätzlicher Berechnungsblöcke bietet nicht nur Gelegenheiten für menschliches Versagen, sondern führt auch zu Verzögerungen und Ungenauigkeiten im Sicherheitssystem, wenn zwei Blöcke zu festgelegten Abtastzeiten von begrenzter Dauer arbeiten, wodurch möglicherweise Race-Bedingungen und Lese-/Schreibprobleme auftreten.
  • Die hier beschriebenen Systeme und Verfahren lösen diese Probleme, indem sie es einer Person (z. B. einem Konfigurationsingenieur) ermöglichen, das Verhalten eines einzelnen Abstimmungsblocks parametrisch zu konfigurieren, anstatt das Programmieren eines neuen Blocks und/oder das Hinzufügen eines Berechnungsblocks zu erfordern. Die Systeme und Verfahren können eine Benutzerschnittstelle mit Dropdown-Feldern beinhalten, die es der Person ermöglichen können, das Verhalten jedes Eingangs oder jeder Kombination von Eingängen festzulegen. Gemäß Ausführungsformen können die konfigurierbaren Abstimmungsblöcke einen ersten Eingang (eine erste Instanz eines BAD- oder BYP-Eingangs) anders als einen zweiten oder nachfolgenden Eingang des gleichen Typs behandeln (z. B. asymmetrische Eingangsbehandlung), im Gegensatz zu herkömmlichen Blöcken, bei denen jeder Eingang der gleichen logischen Auswertung, die im Block programmiert ist, unterliegt. Beispielsweise kann ein konfigurierbarer Abstimmungsblock eine erste Instanz eines BAD-Eingangs als NML und eine zweite Instanz eines BAD-Eingangs als TRP behandeln, oder kann eine erste Instanz eines BAD-Eingangs als NML behandeln, aber wenn zwei BAD-Eingänge auftreten, dann beide BAD-Eingänge als TRP behandeln.
  • 1 zeigt eine Prozessanlage 10, die ein Prozesssteuerungssystem 12 aufweist, das in ein Sicherheitssystem 14 integriert ist (durch gepunktete Linien angegeben), das im Allgemeinen als sicherheitsinstrumentiertes System (SIS) arbeitet, um die vom Prozesssteuerungssystem 12 bereitgestellte Steuerung zu überwachen und zu übersteuern, um den wahrscheinlich sicheren Betrieb der Prozessanlage 10 zu maximieren. Die Prozessanlage 10 umfasst auch eine oder mehrere Host-Arbeitsstationen, Computer oder Benutzerschnittstellen 16 (die jede Art von Personalcomputern, Laptops, Desktops, mobilen Geräten, Arbeitsstationen, PDAs usw. sein können), auf die das Anlagenpersonal, wie z. B. Prozesssteuerungsbediener, Wartungspersonal, Sicherheitsingenieure usw., zugreifen kann. In dem in 1 veranschaulichten Beispiel sind zwei Benutzerschnittstellen 16 als mit zwei getrennten Prozesssteuerungs-/Sicherheitssteuerungsknoten 18 und 20 und mit einer Konfigurationsdatenbank 21 über eine gemeinsame Kommunikationsleitung oder einen gemeinsamen Bus 22 verbunden dargestellt. Das Kommunikationsnetzwerk 22 kann unter Verwendung einer beliebigen gewünschten Bus-basierten oder nicht-Bus-basierten Hardware, unter Verwendung einer beliebigen fest verdrahteten oder drahtlosen Kommunikationsstruktur und unter Verwendung eines beliebigen gewünschten oder geeigneten Kommunikationsprotokolls, beispielsweise eines Ethernet-Protokolls, implementiert werden.
  • Gemäß Ausführungsformen umfasst jeder der Knoten 18 und 20 der Prozessanlage 10 sowohl Prozesssteuerungssystemgeräte als auch Sicherheitssystemgeräte, die über eine Busstruktur miteinander verbunden sind, die auf einer Rückwandplatine bereitgestellt sein kann, an der die verschiedenen Geräte angebracht sind. Der Knoten 18 ist in 1 so veranschaulicht, dass er eine Prozesssteuerung 24 (die ein redundantes Paar von Steuerungen sein kann) sowie eine oder mehrere Eingangs-/Ausgangs-(I/O)-Geräte 28, 30 und 32 des Prozesssteuerungssystems aufweist, während der Knoten 20 so veranschaulicht ist, dass er eine Prozesssteuerung 26 (die ein redundantes Paar von Steuerungen sein kann) sowie ein oder mehrere Prozesssteuerungssystem-I/O-Geräte 34 und 36 enthält. Jedes der Prozesssteuerungssystem-I/O-Geräte 28, 30, 32, 34 und 36 ist kommunikativ mit einem Satz prozesssteuerungsbezogener Feldgeräte verbunden, die in 1 als Feldgeräte 40 und 42 veranschaulicht sind. Die Prozesssteuerungen 24 und 26, die I/O-Geräte 28-36 und die Steuerungsfeldgeräte 40 und 42 bilden im Allgemeinen das Prozesssteuerungssystem 12 von 1.
  • Ebenso enthält der Knoten 18 einen oder mehrere Sicherheitssystem-Logic Solver 50, 52, während der Knoten 20 die Sicherheitssystem-Logic Solver 54 und 56 enthält. Jeder der Logic Solver 50-56 ist ein I/O-Gerät mit einem Prozessor 57, der Sicherheitslogikmodule 58 ausführt, die in einem Speicher 79 gespeichert sind, und ist kommunikativ verbunden, um Steuersignale an die Sicherheitssystemfeldgeräte 60 und 62 bereitzustellen und/oder Signale von ihnen zu empfangen. Zusätzlich enthält jeder der Knoten 18 und 20 mindestens ein Nachrichtenverbreitungsgerät (MPD) 70 oder 72, die über eine Ringbusverbindung 74 (von der nur ein Teil in 1 veranschaulicht ist) kommunikativ miteinander gekoppelt sind. Die Sicherheitssystem-Logic Solver 50-56, die Sicherheitssystemfeldgeräte 60 und 62, die MPDs 70 und 72 und der Bus 74 bilden im Allgemeinen das Sicherheitssystem 14 von 1. Es versteht sich, dass das hier beschriebene Sicherheitssystem 14 ein Beispiel ist und dass zusätzliche oder alternative Sicherheitssysteme vorgesehen sind.
  • Die Prozesssteuerungen 24 und 26, bei denen es sich beispielsweise unter Umständen nur um von Emerson Process Management vertriebene DeltaV™-Steuerungen oder einen anderen gewünschten Typ von Prozesssteuerungen handelt, sind so programmiert, dass sie Prozesssteuerungsfunktionen (unter Verwendung dessen, was üblicherweise als Steuerungsmodule bezeichnet wird) unter Verwendung der I/O-Geräte 28, 30 und 32 (für die Steuerung 24), der I/O-Geräte 34 und 36 (für die Steuerung 26) und der Feldgeräte 40 und 42 bereitstellen. Insbesondere implementiert oder überwacht jede der Steuerungen 24 und 26 eine oder mehrere darin gespeicherte oder anderweitig diesen zugeordnete Prozesssteuerungsroutinen und kommuniziert mit den Feldgeräten 40 und 42 und den Arbeitsstationen 14, um den Prozess 10 oder einen Anteil des Prozesses 10 auf jede gewünschte Weise zu steuern. Die Feldgeräte 40 und 42 können alle gewünschten Arten von Feldgeräten sein, wie Sensoren, Ventile, Sender, Stellungsregler usw., und können jedem gewünschten offenen, proprietären oder anderen Kommunikations- oder Programmierprotokoll entsprechen, einschließlich beispielsweise dem HART®- oder dem 4-20-mA-Protokoll (wie für die Feldgeräte 40 veranschaulicht), jedem Feldbusprotokoll wie dem FOUNDATION®-Fieldbus-Protokoll (wie für die Feldgeräte 42 veranschaulicht) oder dem CAN-, Profibus-, AS-Schnittstellen-Protokoll, um nur einige zu nennen. In ähnlicher Weise können die I/O-Geräte 28-36 beliebige bekannte Arten von Prozesssteuerungs-I/O-Geräten sein, die (ein) geeignete(s) Kommunikationsprotokoll(e) verwenden.
  • Die Sicherheits-Logic Solver 50-56 von 1 können jeder gewünschte Typ von Sicherheitssystem-Steuergeräten sein, die einen Prozessor 57 und einen Speicher aufweisen, der Sicherheitslogikmodule 58 speichert, die zur Ausführung auf dem Prozessor 57 angepasst sind, um Steuerfunktionen bereitzustellen, die dem Sicherheitssystem 14 unter Verwendung der Feldgeräte 60 und 62 zugeordnet sind. Natürlich können die Sicherheitsfeldgeräte 60 und 62 jede gewünschte Art von Feldgeräten sein, die einem bekannten oder gewünschten Kommunikationsprotokoll entsprechen oder dieses verwenden, wie z. B. den vorstehend genannten. Insbesondere können die Feldgeräte 60 und 62 sicherheitsrelevante Feldgeräte des Typs sein, der herkömmlicherweise durch ein separates dediziertes sicherheitsrelevantes Steuerungssystem gesteuert wird. In der in 1 veranschaulichten Prozessanlage 10 sind die Sicherheitsfeldgeräte 60 so gezeigt, dass sie ein dediziertes oder Punkt-zu-Punkt-Kommunikationsprotokoll verwenden, wie beispielsweise das HART®- oder das 4-20-mA-Protokoll, während die Sicherheitsfeldgeräte 62 so veranschaulicht sind, dass sie ein Buskommunikationsprotokoll verwenden, wie ein FOUNDATION® Fieldbus-Protokoll. Die Sicherheitsfeldgeräte 60 können jede gewünschte Funktion ausführen, wie beispielsweise die eines Absperrventils, eines Hauptschalters usw.
  • In jedem der Knoten 18 und 20 wird eine gemeinsame Rückwandplatine 76 (die durch eine gestrichelte Linie durch die Steuerungen 24, 26, die I/O-Geräte 28-36, die Sicherheits-Logic Solver 50-56 und die MPDs 70 und 72 angegeben ist) zum Verbinden der Steuerungen 24 und 26 mit den Prozesssteuerungs-I/O-Karten 28, 30 und 32 oder 34 und 36 sowie mit den Sicherheits-Logic Solvern 50, 52, 54 oder 56 und mit den MPDs 70 oder 72 verwendet. Die Steuerungen 24 und 26 sind auch kommunikativ mit dem Bus 22 gekoppelt und führen eine Buszuteilungsfunktion für diesen aus, um jedem der I/O-Geräte 28-36, den Logic Solvern 50-56 und den MPDs 70 und 72 die Kommunikation mit einer der Arbeitsstationen 16 über den Bus 22 zu ermöglichen.
  • Gemäß Ausführungsformen umfasst jede der Arbeitsstationen 16 einen Prozessor 77 und einen Speicher 78, der eine oder mehrere Konfigurations- und/oder Anzeigeanwendungen speichert, die zur Ausführung auf dem Prozessor 78 angepasst sind. Eine Konfigurationsanwendung 80 und eine Anzeigeanwendung 82 sind in einer Explosionsansicht in 1 als in einer der Arbeitsstationen 16 gespeichert veranschaulicht, während eine Diagnoseanwendung 84 als in der anderen der Arbeitsstationen 16 gespeichert veranschaulicht ist. Falls gewünscht, könnten diese und andere Anwendungen jedoch in verschiedenen der Arbeitsstationen 16 oder in anderen Computern, die der Prozessanlage 10 zugeordnet sind, gespeichert und ausgeführt werden. Im Allgemeinen stellt die Konfigurationsanwendung 80 einem Sicherheitsingenieur Konfigurationsinformationen bereit und ermöglicht es dem Sicherheitsingenieur, einige oder alle Elemente der Prozessanlage 10 zu konfigurieren und diese Konfiguration in der Konfigurationsdatenbank 21 zu speichern. Als Teil der Konfigurationsaktivitäten, die von der Konfigurationsanwendung 80 ausgeführt werden, kann der Sicherheitsingenieur Steuerroutinen oder Steuerungsmodule für die Prozesssteuerungen 24 und 26 erstellen, kann Sicherheitslogikmodule 58 für alle Sicherheits-Logic Solver 50-56 erstellen (einschließlich des Erstellens und Programmierens von Wählerfunktionsblöcken zur Verwendung in den Sicherheits-Logic Solvern 50-56 oder sogar in den Steuerungen 24 und 26) und kann diese verschiedenen Steuerungs- und Sicherheitsmodule auf die entsprechenden der Prozesssteuerungen 24 und 26 und die Sicherheits-Logic Solver 50-56 über den Bus 22 und die Steuerungen 24 und 26 herunterladen. In ähnlicher Weise kann die Konfigurationsanwendung 80 verwendet werden, um andere Programme und Logik zu erstellen und auf die I/O-Geräte 28-36, beliebige der Feldgeräte 40, 42, 60 und 62 usw., herunterzuladen.
  • Umgekehrt kann die Anzeigeanwendung 82 dazu verwendet werden, einem Benutzer eine oder mehrere Anzeigen bereitzustellen, wie beispielsweise einem Prozesssteuerungsbediener, einem Sicherheitsbediener usw., die Informationen über den Zustand des Prozesssteuerungssystems 12 und des Sicherheitssystems 14 entweder in separaten Ansichten oder auf Wunsch in derselben Ansicht enthalten. Beispielsweise kann die Anzeigeanwendung 82 eine Alarmanzeigeanwendung sein, die Alarmangaben empfängt und einem Bediener anzeigt. Gemäß Ausführungsformen kann die Anzeigeanwendung 82 Alarme sowohl vom Prozesssteuerungssystem 12 als auch vom Sicherheitssystem 14 in einer integrierten Alarmanzeige empfangen und anzeigen, da die Alarme von den beiden Systemen 12 und 14 an die Bedienerarbeitsstation 14 gesendet werden, die die AlarmanzeigeAnwendung ausführt, und als Alarme von verschiedenen Geräten erkannt werden. Ebenso kann ein Bediener in einem Alarmbanner angezeigte Sicherheitsalarme auf dieselbe Weise wie Prozesssteuerungsalarme behandeln. Beispielsweise kann der Bediener oder Benutzer mittels der Alarmanzeige Sicherheitsalarme bestätigen, Sicherheitsalarme ausschalten usw. die Nachrichten an die entsprechende Prozesssteuerung 24, 26 innerhalb des Sicherheitssystems 14 unter Verwendung von Kommunikation über den Bus 22 und die Rückwandplatine 76 senden, um die entsprechenden Maßnahmen in Bezug auf den Sicherheitsalarm zu ergreifen. In ähnlicher Weise können andere Anzeigeanwendungen Informationen oder Daten sowohl vom Prozesssteuerungssystem 12 als auch vom Sicherheitssystem 14 anzeigen, da diese Systeme die gleichen Typen und Arten von Parametern, Sicherheit und Referenzierung verwenden können, so dass alle Daten von einem der Systeme 12 und 14 in eine Anzeige oder Ansicht integriert werden können, die traditionell für ein Prozesssteuerungssystem vorgesehen ist.
  • Die Diagnoseanwendung 84 kann dazu verwendet werden, Diagnose- oder Wartungsprogramme innerhalb des Prozesssteuerungs- und Sicherheitssystems der Anlage 10 zu implementieren. Solche Diagnoseanwendungen, die alle gewünschten Arten von Diagnose- oder Wartungsprozeduren, wie z. B. das Ausführen von Prozess- und Ventiltests, Hochlaufprozeduren usw. ausführen können, können Übersteuerungen für einen oder mehrere Wählerfunktionsblöcke (nachstehend beschrieben) bereitstellen, die in der Prozessanlage 10 dazu verwendet werden, den Betrieb des Sicherheitssystems basierend auf Eingängen von einem oder mehreren Geräten, die durch die Diagnoseverfahren bewirkt werden, zu verhindern.
  • In jedem Fall können die Anwendungen 80, 82 und 84 sowie alle anderen Anwendungen separate Konfigurations- und andere Signale an jede der Prozesssteuerungen 24 und 26 sowie an jeden der Sicherheitssystem-Logic Solver 50-56 senden und Daten von diesen empfangen. Diese Signale können Nachrichten auf Prozessebene enthalten, die sich auf das Steuern der Betriebsparameter der Prozessfeldgeräte 40 und 42 beziehen, und können Nachrichten auf Sicherheitsebene enthalten, die sich auf das Steuern der Betriebsparameter der sicherheitsrelevanten Feldgeräte 60 und 62 beziehen. Während die Sicherheits-Logic Solver 50-56 so programmiert sein können, dass sie sowohl die Meldungen auf Prozessebene als auch die Meldungen auf Sicherheitsebene erkennen, können die Sicherheits-Logic Solver 50-56 zwischen den beiden Arten von Nachrichten unterscheiden und können nicht durch Konfigurationssignale auf Prozessebene programmiert oder bewirkt werden. In einem Beispiel können die an die Geräte des Prozesssteuerungssystems gesendeten Programmierungsnachrichten bestimmte Felder oder Adressen enthalten, die von den Geräten des Sicherheitssystems erkannt werden und die verhindern, dass diese Signale zum Programmieren der Geräte des Sicherheitssystems verwendet werden.
  • Falls gewünscht, können die Sicherheits-Logic Solver 50-56 dasselbe oder ein anderes Hardware- oder Software-Design verwenden als das Hardware- und Software-Design, das für die Prozesssteuerungs-I/O-Karten 28-36 verwendet wird. Die Verwendung alternativer Technologien für die Geräte innerhalb des Prozesssteuerungssystems 12 und Geräte innerhalb des Sicherheitssystems 14 kann Hardware- oder Softwarefehler mit häufigen Ursachen minimieren oder beseitigen. Darüber hinaus können die Sicherheitssystemgeräte, einschließlich der Logic Solver 50-56, beliebige Isolations- und Sicherheitstechniken verwenden, um die Wahrscheinlichkeit zu verringern oder zu eliminieren, dass nicht autorisierte Änderungen an den dadurch implementierten sicherheitsrelevanten Funktionen vorgenommen werden. Beispielsweise können die Sicherheits-Logic Solver 50-56 und die Konfigurationsanwendung 80 erfordern, dass eine Person mit einer bestimmten Berechtigungsstufe oder eine Person, die sich an einem bestimmten Arbeitsplatz befindet, Änderungen an den Sicherheitsmodulen innerhalb der Logic Solver 50-56 vornimmt, wobei diese Berechtigungsstufe oder dieser Standort sich von der Berechtigungs- oder Zugriffsebene oder dem Standort unterscheidet, die erforderlich sind, um Änderungen an den Prozesssteuerungsfunktionen vorzunehmen, die von den Steuerungen 24 und 26 und den I/O-Geräten 28-36 ausgeführt werden. In diesem Fall haben nur diejenigen Personen, die in der Sicherheitssoftware benannt sind oder sich an Arbeitsstationen befinden, die zur Durchführung von Änderungen am Sicherheitssystem 14 berechtigt sind, die Berechtigung, sicherheitsrelevante Funktionen zu ändern, wodurch die Wahrscheinlichkeit einer Beschädigung für den Betrieb des Sicherheitssystems 14 minimiert wird. Es versteht sich, dass - um diese Sicherheit zu implementieren - die Prozessoren in den Sicherheits-Logic Solvern 50-56 die eingehenden Nachrichten auf korrekte Form und Sicherheit bewerten und bei Änderungen an den Steuerungsmodulen 58 der Sicherheitsebene, die in den Sicherheits-Logic Solvern 50-56 ausgeführt werden, als Gatekeeper fungieren.
  • Gemäß Ausführungsformen ermöglicht die Verwendung der Rückwandplatine 76 in jedem der Knoten 18 und 20, dass die Sicherheits-Logic Solver 50 und 52 und die Sicherheits-Logic Solver 54 und 56 lokal miteinander kommunizieren, um die von jedem dieser Geräte implementierten Sicherheitsfunktionen zu koordinieren, um einander Daten zu kommunizieren oder um andere integrierte Funktionen auszuführen. Andererseits arbeiten die MPDs 70 und 72 so, dass Anteile des Sicherheitssystems 14, die an sehr unterschiedlichen Orten der Anlage 10 angeordnet sind, weiterhin miteinander kommunizieren können, um einen koordinierten Sicherheitsbetrieb an verschiedenen Knoten der Prozessanlage 10 bereitzustellen. Insbesondere ermöglichen die MPDs 70 und 72 in Verbindung mit dem Bus 74, dass die Sicherheits-Logic Solver, die verschiedenen Knoten 18 und 20 der Prozessanlage 10 zugeordnet sind, kommunikativ zueinander kaskadiert werden, um die Kaskadierung sicherheitsrelevanter Funktionen innerhalb der Prozessanlage 10 gemäß einer zugewiesenen Priorität zu ermöglichen. Alternativ können zwei oder mehr sicherheitsrelevante Funktionen an verschiedenen Stellen innerhalb der Prozessanlage 10 verriegelt oder miteinander verbunden sein, ohne dass eine dedizierte Leitung zu einzelnen Sicherheitsfeldgeräten in den getrennten Bereichen oder Knoten der Anlage 10 verlegt werden muss. Mit anderen Worten ermöglicht es die Verwendung der MPDs 70 und 72 und des Busses 74 einem Sicherheitsingenieur, ein Sicherheitssystem 14 auszulegen und zu konfigurieren, das physisch über die Prozessanlage 10 verteilt ist, dessen verschiedene Komponenten aber kommunikativ miteinander verbunden sind, um zu ermöglichen, dass ungleichartige sicherheitsrelevante Hardware nach Bedarf miteinander kommuniziert. Dieses Merkmal bietet auch Skalierbarkeit des Sicherheitssystems 14, indem es das Hinzufügen von zusätzlichen Sicherheits-Logic Solver zu dem Sicherheitssystem 14 ermöglicht, wenn sie benötigt werden oder wenn neue Prozesssteuerungsknoten zur Prozessanlage 10 hinzugefügt werden.
  • Gemäß Ausführungsformen können die Logic Solver 50-56 so programmiert werden, dass sie Steuerungsaktivitäten in Bezug auf die Sicherheitsgeräte 60 und 62 unter Verwendung eines Funktionsblock-Programmierparadigmas ausführen. Insbesondere kann, wie in einer erweiterten Ansicht eines der Sicherheitssteuerungsmodule 58a (gespeichert in dem Speicher 79) des Logic Solvers 54 veranschaulicht, ein Sicherheitssteuerungsmodul einen Satz von kommunikativ miteinander verbundenen Funktionsblöcken enthalten, die erstellt und auf den Logic Solver 54 zur Implementierung während des Betriebs des Prozesses 10 heruntergeladen werden können. Wie in 1 veranschaulicht, umfasst das Steuerungsmodul 58a zwei Wählerfunktionsblöcke 92 und 94 mit Eingängen, die kommunikativ mit anderen Funktionsblöcken 90 verbunden sind, die beispielsweise Analogeingang (AI), Digitaleingang (DI) oder andere Funktionsblöcke sein können, um Signale an die Wählerfunktionsblöcke 92 bereitzustellen. Die Wählerfunktionsblöcke 92 und 94 haben mindestens einen Ausgang, der mit einem oder mehreren anderen Funktionsblöcken 91 verbunden ist, die Analogausgang (AO), Digitalausgang (DO), Ursache- und Wirkungs-Funktionsblöcke, die Ursache-Wirkungs-Logik implementieren, Steuerungs- und Diagnosefunktionsblöcke, die Ausgangssignale von den Wählerfunktionsblöcken 92 und 94 empfangen können, um den Betrieb der Sicherheitsgeräte 60 und 62 usw. zu steuern, sein können. Natürlich kann das Sicherheitssteuerungsmodul 58a auf jede gewünschte Weise programmiert werden, um beliebige Arten von Funktionsblöcken zusammen mit einem oder mehreren Wählerfunktionsblöcken einzuschließen, die auf eine beliebige oder nützliche Weise konfiguriert sind, um eine gewünschte Funktionalität auszuführen.
  • Während die erweiterte Ansicht des Sicherheitssteuerungsmoduls 58a von 1 einen digitalen Wählerfunktionsblock 92 mit fünf digitalen Eingängen und einen analogen Wählerfunktionsblock 94 mit drei analogen Eingängen umfasst, versteht es sich, dass eine beliebige Anzahl verschiedener Sicherheitslogikmodule 58 für jeden der verschiedenen Logic Solver 50-56 erstellt und in diesen verwendet werden kann, und jedes dieser Module kann eine beliebige Anzahl von Wählerfunktionsblöcken mit einer beliebigen Anzahl von Eingängen enthalten, die auf beliebige Weise kommunikativ mit anderen Funktionsblöcken verbunden sind. Ebenso könnten, beispielsweise bei Verwendung in einem Feldbus-Netzwerk, die Wählerfunktionsblöcke 92 und 94, die beliebige Feldbus-Funktionsblöcke sein können, oder irgendeiner der anderen damit verbundenen Funktionsblöcke in anderen Geräten angeordnet und implementiert sein, wie z. B. in den Feldgeräten 62. Bei Verwendung außerhalb eines Sicherheitssystems könnten die Wählerfunktionsblöcke 92 und 94 in den Prozesssteuerungen 24, 26, den I/O-Geräten 28-36, den Feldgeräten 42 usw. implementiert sein. Nach allgemeinem Verständnis empfangen die Wählerfunktionsblöcke 92 und 94 typischerweise redundante Eingänge, die von redundanten Sensoren oder Sendern innerhalb des Sicherheitssystems 14 bereitgestellt werden, und wenden ein Abstimmungsschema auf diese Eingänge an, um zu bestimmen, ob basierend auf all diesen Eingängen eine Auslösebedingung des Sicherheitssystems vorliegt.
  • 2 ist ein Blockdiagramm, das die Komponenten des beispielhaften Wählerfunktionsblocks 94 von 1 veranschaulicht, der ein analoger Wählerfunktionsblock ist, indem er analoge Eingangssignale verarbeitet, die beispielsweise über Funktionsblöcke 90 mit analogem Eingang (AI) geliefert werden. Im Allgemeinen enthält der Wählerfunktionsblock 94 drei mit IN1, IN2 und IN3 bezeichnete Eingänge, die zum Empfangen von Eingangssignalen von beispielsweise redundanten Sensoren oder anderen redundanten Elementen innerhalb der Prozessanlage 10, wie beispielsweise von den Feldgeräten 60 und 62 von 1, angepasst sind. Jeder der Eingänge IN1, IN2 und IN3 kann einem Auslösegrenzprüfblock 95a, 95b oder 95c und einem Vorgrenzprüfblock 96a, 96b oder 96c bereitgestellt werden. Die Auslösegrenzprüfblöcke 95 vergleichen den dazu gelieferten Eingang mit einer voreingestellten Grenze, um zu bestimmen, ob das Eingangssignal einen Wert erreicht hat (der ein hoher Wert, ein niedriger Wert oder ein Wert innerhalb eines vorgegebenen Bereichs sein kann), der einer Auslösebedingung zugeordnet ist. In ähnlicher Weise vergleichen die Vorgrenzprüfblöcke 96 den an sie gelieferten Eingang mit einer voreingestellten Vorgrenze, um zu bestimmen, ob das Eingangssignal einen Wert erreicht hat (der ein hoher Wert, ein niedriger Wert oder ein Wert innerhalb eines vorgegebenen Bereichs sein kann), der einem Alarm oder einer Warnung zugeordnet ist, die darauf hinweist, dass eine Auslösebedingung zwar noch nicht vorliegt, aber nahezu vorliegt. Tatsächlich ermöglichen die Vorgrenzprüfblöcke 96 das Erstellen eines Alarm- oder Ereignissignals, das angibt, dass eine gefährliche oder auf andere Weise unerwünschte Bedingung zwar noch nicht vorliegt, aber nahezu vorliegt.
  • Die Ausgänge der Auslösegrenzprüfblöcke 95 und der Vorgrenzprüfblöcke 96 (die beispielsweise digitale Signale sein können, die auf einen hohen Wert eingestellt sind, wenn die Grenzen oder Vorgrenzen in den Blöcken 95 und 96 erreicht werden) werden jeweils an einen von einem Satz von Eingangs-Bypass-Sperrblöcken 98a, 98b, und 98c geliefert. Die Eingangs-Bypass-Sperrblöcke 98 führen Eingangssperren an den einzelnen Eingängen IN1, IN2 und IN3 durch, so dass einer oder mehrere dieser Eingänge gesperrt werden können, d. h. nicht innerhalb des Wählerfunktionsblocks 94 verwendet werden, um zu bestimmen, ob eine Auslösebedingung vorliegt oder ob eine Vorauslöse-Alarmbedingung vorliegt. Jeder der Eingangs-Bypass-Sperrblöcke 98 stellt einen Ausgang für die zugeordnete Auslösegrenzbedingung an einen Auslöse-Wählerlogikblock 100a bereit und stellt einen Ausgang für die zugeordnete Vorgrenzbedingung an einen Vorauslöse-Wählerlogikblock 100b bereit. Die Wählerlogikblöcke 100a und 100b führen Wählerlogik wie nachstehend ausführlicher beschrieben durch, um zu bestimmen, ob basierend auf den Eingängen dazu eine Auslösebedingung oder eine Vorauslöse-Alarmbedingung vorliegt.
  • Der Auslöse-Wählerlogikblock 100a und der Vorauslöse-Wählerlogikblock 100b stellen ein Auslösesignal bzw. ein Vorauslösealarmsignal (wenn bestimmt wird, dass diese Bedingungen vorliegen) für einen Hochlaufsperrblock 102 bereit, was verhindern kann, dass der Wählerfunktionsblock 94 ein Auslösesignal oder ein Vorauslösealarmsignal z. B. während eines Hochlaufs oder einer anderen Leistung oder einer Laufzeitprozedur ausgibt, während der erwünscht ist, den Betrieb des Wählerfunktionsblocks 94 zu sperren. Der Hochlaufsperrblock 102 entwickelt ein Auslöseausgangssignal (mit Out bezeichnet), das als Ergebnis des Betriebs des Auslöse-Wählerlogikblocks 100a und der Hochlaufsperre-Blocklogik bestimmt wird, und entwickelt zusätzlich ein Pre_out-Signal, das als Ergebnis des Betriebs des Vorauslöse-Wählerlogikblocks 100 b und der Hochlaufsperre-Blocklogik bestimmt wird. Das Aus-Signal kann dazu verwendet werden, den Betrieb einer Abschaltprozedur innerhalb des Sicherheitssystems 14 von 1 zu steuern, während das Pre_out-Signal dazu verwendet werden kann, einen Alarm bereitzustellen, um auf den Umstand hinzuweisen, dass innerhalb der Prozessanlage 10 eine Auslösebedingung nahezu vorliegt. Natürlich können die Out- und Pre_out-Signale auf Wunsch auch zu anderen Zwecken verwendet werden.
  • Der Wählerfunktionsblock 94 kann einen Satz von Parametern enthalten, von denen einige in 2 über oder unter den Blöcken angegeben sind, in denen sie verwendet werden, die beispielsweise während der Konfiguration des Wählerfunktionsblocks 94 eingestellt werden, um den Betrieb des Wählerfunktionsblocks 94 zu bewirken oder vorzugeben. Insbesondere werden ein Auslösegrenz- (Trip_Lim) und ein Vor-Auslösegrenz-(Pre Trip Lim)-Parameter dazu verwendet, die in den Auslösegrenzblöcken 95 verwendeten Auslösegrenzen einzustellen oder einzurichten und die in den Vorgrenzprüfblöcken verwendeten Vorauslösegrenzen 96 einzustellen. Die Auslösegrenz- und/oder die Vorauslösegrenzparameter können für jeden der verschiedenen Blöcke 95 und 96 gleich sein oder können für jeden der Blöcke 95 und 96 einzeln eingestellt werden. In ähnlicher Weise werden ein Auslösehysterese-(Trip_Hys)- und ein Vorauslösehysterese-(Pre_Trip_4ys)-Parameter dazu verwendet, die Hysterese festzulegen, die die Blöcke 95 und 96 zwischen aufeinanderfolgenden Auslösungen durchlaufen müssen. Das heißt, sobald einer der Blöcke 95 oder 96 erkennt, dass eines der Eingangssignale über (oder unter) einer Grenze liegt, bestimmen der Hysteresewert vom Typ Hystereseparameter (für die Blöcke 95) und der Hysteresewert des Vorauslöse-Hystereseparameters (für die Blöcke 96), wie weit unter (oder über) der Grenze das Eingangssignal laufen muss, bevor das Auslösesignal (oder Vorauslösesignal) ausgeschaltet wird oder bevor ein zweites Auslösesignal (oder Vorauslösesignal) von diesem Block eingestellt werden kann.
  • Der Wählerfunktionsblock 94 hat auch einen internen Konfigurationsparameter für den Auslösetyp mit der Bezeichnung Trip Type, der die Werte für den normalen und den ausgelösten Zustand definiert, die den Ein- und/oder Ausgängen des Wählerfunktionsblocks 94 zugeordnet sind. Wenn beispielsweise der Wählerfunktionsblock 94 als „Zum Auslösen stromlos“ konfiguriert ist (was der Standardwert sein kann), ist der Wert für den Normalbetrieb des Ausgangs Eins und der Wert für den ausgelösten Zustand ist Null. Wenn umgekehrt der Wählerfunktionsblock 94 als „Zum Auslösen erregt“ konfiguriert ist, ist der Wert für den Normalbetrieb Null und der Wert für den ausgelösten Zustand ist Eins. Diese anfängliche Bestimmung erfolgt an den Auslösegrenzprüfblöcken 95a, 95b, und 95c und an den Vorgrenzprüfblöcken 96a, 96b, und 96c, die den Eingängen IN1, IN2 bzw. IN3 entsprechen. Ein Typerkennungs-(Detect_Type)-Parameter kann verwendet werden, um zu bestimmen, ob der Vergleich mit der Auslösegrenze ein Vergleich „größer als“ (Obergrenze) oder ein Vergleich „kleiner als“ (Untergrenze) sein soll. Dieser Vergleich erfolgt an den entsprechenden Auslösegrenzprüfblöcken 95 und den Vorgrenzprüfblöcken 96, um zu bestimmen, ob die Eingangssignale die vorgegebenen Grenzen erreicht haben.
  • Es versteht sich, dass die Ausgänge der Auslösegrenzprüfblöcke 95 jeweils angeben, ob eine Auslösung durch einen entsprechenden der Eingänge IN1, IN2 und/oder IN3 angegeben wird. Wie vorstehend erörtert, kann eine Wartungsübersteuerung oder ein - Bypass durch die Eingangs-Bypass-Sperrblöcke 98 für jeden der einzelnen Eingänge IN1, N2 und IN3 angewendet werden, um zu verhindern, dass diese Eingänge in der von den Wählerlogikblöcken 100 angewendeten Abstimmungslogik verwendet werden. Diese Bypassfunktion ist wünschenswert, wenn beispielsweise eine Wartung an einem Sender oder einem anderen Feldgerät durchgeführt wird, die das Eingangssignal an den Wählerfunktionsblock 94 bereitstellt. Bei Verwendung einer Abstimmungslogik, die einen Auslöseausgang basierend auf mehreren Eingängen bestimmt, sind Wartungs-Bypässe nicht immer erforderlich, da eine einzelne falsche Stimme für Auslösung (die aufgrund von Wartungsaktivitäten am Sensor, der den Eingang bereitstellt, auftreten kann) nicht unbedingt zu einer Auslösung führt. Diese Bypass-Funktionalität ist jedoch wünschenswert, um Fehlauslösungen während Wartungsaktivitäten zu verhindern, und kann in einigen Wählerlogiken erforderlich sein, beispielsweise in einem von zwei Wählerlogikschemata, bei denen das Vorhandensein auch nur eines einzigen Auslösesignals von redundanten Sensoren zu einer Auslösung führt.
  • Wenn einer der Eingangs-Bypasssperrblöcke 98 bewirkt, dass ein Eingang umgangen wird, wird der umgangene Eingang von den Wählerlogikblöcken 100a und 100b nicht verwendet, um ein Auslösesignal oder ein Vorauslöse-Alarmsignal zu entwickeln, selbst wenn der Eingangswert die durch die Auslösegrenz- oder Vorauslösegrenzparameter vorgegebenen Grenzen überschreitet. Um das Umgehen zu ermöglichen, kann zunächst ein Parameter, der Umgehen erlaubt (Bypass_Permit) aktiviert werden, um zu steuern, ob das Umgehen der Eingänge überhaupt zulässig sein soll. Allgemein gesprochen, ist das Umgehen von Eingängen zulässig, wenn der Parameter Bypass_Permit eingestellt oder aktiviert ist, während das Umgehen von Eingängen nicht zulässig ist, wenn der Parameter Bypass_Permit nicht eingestellt oder nicht aktiviert ist. Während ein einzelner Bypass_Permit-Parameter für alle Bypass-Sperrblöcke 98 gelten kann, kann für jeden der Eingangs-Bypass-Sperrblöcke 98a, 98b, 98c eine separate Bypass-Erlaubnis eingestellt werden.
  • Wenn der Parameter Bypass Permit eingestellt oder aktiviert ist, kann ein BYPASSx-Parameter dazu verwendet werden, zu bewirken, dass einer oder mehrere der Bypass-Sperrblöcke 98 betätigt werden, um die Verwendung eines zugeordneten der Eingänge IN1, IN2 oder IN3 zu sperren. Das x im Parameter BYPASSx gibt an, welcher der Eingänge IN1, IN2 oder IN3 deaktiviert werden soll. Falls gewünscht, kann mehr als ein Eingang zu einem bestimmten Zeitpunkt gesperrt werden, oder der Wählerfunktionsblock 94 kann so konfiguriert werden, dass jeweils nur ein Eingang gleichzeitig gesperrt werden kann. Die Parameter Bypass_Permit und BYPASSx können auf jede gewünschte Weise eingestellt oder ausgegeben werden, beispielsweise durch eine Bedieneranzeigeschaltfläche auf einem Bediener- oder Wartungsbildschirm, einen physischen Schlüsselschalter, einen diskreten Eingang in das Sicherheitsmodul, durch eine Konfiguration, Steuerung, Anzeige oder Diagnoseanwendung oder auf andere Weise. Wenn die Verwendung einer Bypass-Erlaubnis in einer bestimmten Implementierung des Wählerfunktionsblocks 94 nicht erforderlich ist, kann natürlich der Standardwert des Parameters Bypass_Permit so eingestellt werden, dass er bei der Konfiguration des Wählerfunktionsblocks 94 aktiviert wird.
  • Ein Bypass-Timeout-(Bypass_Timeout)-Parameter kann dazu verwendet werden, den Zeitraum einzustellen, nach dem ein Bypass für einen der Blöcke 98 so eingestellt wird, dass der Bypass automatisch abläuft. In diesem Fall kann jeder der Eingangs-Bypass-Sperrblöcke 98 als einen von einem Satz von Zeitgebern 110 einen Bypass-Zeitgeber enthalten, der auf den Bypass_Timeout-Parameterwert eingestellt ist und zu Beginn des Bypass heruntergezählt werden kann. In diesem Fall können die Eingangs-Bypass-Sperrblöcke 98 die Verwendung des zugeordneten Eingangs sperren, bis der BYPASSx ausgeschaltet wird oder bis der Bypass-Zeitgeber Null erreicht. Es versteht sich, dass Bypass-Zeitgeber verwendet werden, um sicherzustellen, dass Bypässe nach einer vorgegebenen Zeitdauer entfernt werden.
  • Ein Bypass-Verschlechterungs-(Bypass_Degrad)-Parameter kann verwendet werden, um festzulegen, ob ein Bypass-Eingang für einen der Blöcke 98 das Abstimmungsschema verschlechtert. Beispielsweise wird ein 2oo3-Abstimmungsschema, das verschlechtert wird, zu einem 1oo3-Abstimmungsschema. Jeder der Blöcke 98a, 98b, 98c kann einen Bypass-Verschlechterungsparameter aufweisen, so dass jeder Block 98 festlegen kann, ob der jeweilige Bypass-Eingang das Abstimmungsschema verschlechtert.
  • In ähnlicher Weise kann ein Statusverschlechterungs-(Status_Degrad)-Parameter verwendet werden, um festzulegen, ob ein schlechter Eingang für einen der Blöcke 98 das Abstimmungsschema verschlechtert. Beispielsweise wird ein 2oo3-Abstimmungsschema, das verschlechtert wird, zu einem 1oo3-Abstimmungsschema. Jeder der Blöcke 98a, 98b, 98c kann einen Status-Verschlechterungsparameter aufweisen, so dass jeder Block 98 festlegen kann, ob der jeweilige schlechte Eingang das Abstimmungsschema verschlechtert.
  • Eine Auslösesperre-Aktivierungsauswahl (Trip_INH) kann verwendet werden, um festzulegen, ob eine Auslösung automatisch erfolgt, wenn die Anzahl der erforderlichen Stimmen die Anzahl der Stimmen überschreitet, die nicht umgangen werden oder schlecht sind. Beispielsweise würde in einem gegebenen Abstimmungsschema AooB eine Auslösung automatisch stattfinden, wenn die Anzahl der erforderlichen Stimmen (A) die Anzahl der Stimmen, die nicht umgangen werden oder schlecht (B) sind (d. h. A>B), überschreitet. Die Parameter Bypass_Degrad, Status_Degrad und Trip INH werden ausführlicher beschrieben in Bezug auf 4A-4I.
  • Falls gewünscht, können die Eingangs-Bypass-Sperrblöcke 98 auch dazu konfiguriert sein, einem Benutzer, wie einem z. B. einem Bediener, Sicherheitsingenieur, Techniker usw., einen Erinnerungsalarm bereitzustellen, um den Benutzer daran zu erinnern oder darüber zu benachrichtigen, dass ein Bypass-Timeout unmittelbar bevorsteht. Wenn Bypässe so konfiguriert sind, dass sie bei einem Bypass-Timeout verschwinden oder nicht aktiviert werden, kann eine Benachrichtigung vor dem Timeout an einen Benutzer oder einen anderen Bediener gesendet werden, indem ein Parameter für die Erinnerungszeit (REMINDER_TIME) auf einen Wert ungleich Null gesetzt wird. In diesem Fall kann, wenn der Bypass-Zeitgeber ungleich Null, aber kleiner als der Erinnerungszeitparameter ist und ein umgangener Eingang für das Auslösen stimmt, der Erinnerungsalarm aktiviert werden, um dem Benutzer einen Alarm bereitzustellen, der angibt, dass ein Herunterfahren nach Ablauf des Bypass-Zeitgebers, der unmittelbar bevorsteht, auftreten kann. Wenn keine umgangenen Eingänge vorhanden sind, die für Auslösen stimmen, muss der Alarm nicht aktiviert werden, obgleich er unter Umständen noch aktiviert ist. Es versteht sich jedoch, dass selbst wenn der Bypass-Timeout-Alarm aktiv ist, eine Auslösung nicht notwendigerweise unmittelbar bevorsteht, da es unter Umständen nicht genügend andere Eingänge gibt, die für Auslösen stimmen, um zu bewirken, dass der Auslöse-Wählerlogikblock 100a ein Auslösesignal erzeugt.
  • In einer Ausführungsform wird der Bypass-Zeitgeber nur dann wieder scharfgeschaltet, wenn der erste Bypass abgelaufen ist. Der Bypass-Zeitgeber kann jedoch ein schreibbarer Parameter sein, so dass der Bypass-Zeitgeber nach Benachrichtigung über den bevorstehenden Timeout mittels einer Bedieneranzeigeschaltfläche (oder einer anderen geeigneten Technik) inkrementiert werden kann, um die Bypass-Zeit zu verlängern. Ein solches Merkmal ermöglicht es einem Benutzer, die Bypass-Zeit zu verlängern, wenn beispielsweise noch ein Wartungsvorgang an dem Feldgerät durchgeführt wird, das den Bypass-Eingang für den Wählerfunktionsblock 94 bereitstellt. Alternativ erfolgt die Benachrichtigung über das Bypass-Zeitlimit unter Umständen nur zu Zwecken der Angabe, wenn beispielsweise ein Bypass nicht deaktiviert werden soll, wenn der Bypass-Timer abläuft. In diesem Fall kann der Erinnerungsalarm so eingestellt werden, dass er aktiv ist, wenn der Bypass-Timer abläuft, selbst wenn der Erinnerungszeitparameter auf Null eingestellt ist. Wenn der Erinnerungszeitparameter jedoch nicht Null ist, erfolgt die Erinnerung noch immer vor dem Timeout (wenn der Eingang für Auslösen stimmt). Die Erinnerungsalarme und Bypass-Alarme können bestätigte oder nicht bestätigte Alarme sein.
  • Die von den Wählerlogikblöcken 100a und 100b durchgeführte Abstimmungslogik ist vorzugsweise als „M aus N“-Logikfunktion konfiguriert. Gemäß dieser Funktionalität müssen M Eingänge aus der Summe von N Eingängen für Auslösen stimmen. Beispielsweise kann der Wählerfunktionsblock 94 als Zwei-von-Drei-(2oo3)-Wähler konfiguriert werden, was bedeutet, dass zwei der drei Eingänge die Auslösegrenze erreichen müssen, bevor der Ausgang des Wählerlogikblocks 100a auf den Auslösezustandswert einstellt wird, und zwei von drei der Eingänge die Vorauslösegrenze erreichen müssen, bevor der Vorauslöse-Wählerlogikblock 100b auf einen Vorauslöse-Alarmwert eingestellt wird. Der N-Wert in der Funktion „M aus N“ wird aus der Anzahl der nicht gesperrten Eingänge bestimmt, während der M-Wert basierend auf einem internen Parameter des Blocks mit der Bezeichnung Anzahl bis Auslösung (NUM_TO_TRP) bestimmt wird, dessen Standardwert auf einen beliebigen Wert eingestellt werden kann, der bei der Konfiguration gleich oder kleiner als N ist. Häufige Abstimmungsschemata können beispielsweise Zwei-von-Drei (2oo3), Eins-von-Zwei (1oo2), Zwei-von-Zwei (2oo2) usw. beinhalten. Es kann jedoch jede andere Abstimmungslogik verwendet werden. Aufgrund der anderen Merkmale des Blocks 94 kann der Wählerfunktionsblock 94 auch für Einzelsenderanwendungen verwendet werden, wie beispielsweise in einer Situation einer Eins-von-Eins-(1oo1)-Wählerfunktionslogik.
  • Im Allgemeinen können die 1oo2- oder 1oo1-Abstimmungsschemata eine Wartungs-Bypassfunktion erfordern, da das Deaktivieren auch nur eines der Sender auf eine Weise, die eine erkannte Auslösebedingung am Eingang des Wählerfunktionsblocks 94 für diesen Sender während Wartungsaktivitäten bewirkt, notwendigerweise dazu führt, dass eine Auslösebedingung durch den Wählerlogikblock 100a eingestellt wird. Wählerfunktionsblöcke, die so konfiguriert sind, dass mehrere Stimmen für die Auslösung erforderlich sind, können jedoch weiterhin von einer Bypass-Funktion profitieren, um ein vorhersehbareres Verhalten während Wartungsprozeduren zu erzielen.
  • Das Umgehen eines der Eingänge IN1, IN2 oder IN3 kann die Wählerlogikblöcke 100a und 100b auf eine von zwei Arten beeinflussen. Dies kann entweder dazu führen, dass die Anzahl von Eingängen, die zum Bestimmen einer Auslösebedingung (oder einer Vorauslöse-Alarmbedingung) erforderlich sind, um eins reduziert wird, oder es kann dazu führen, dass diese Anzahl von Eingängen gleich bleibt. Wenn zum Beispiel der Wählerlogikblock 100a als 2oo3-Wählerlogikblock konfiguriert ist und einer der Eingänge IN1, IN2 oder IN3 umgangen wird, kann das Abstimmungsschema dann zu einem 1oo2-Abstimmungsschema werden, was bedeutet, dass die Anzahl von Eingängen, die für Auslösen stimmen müssen, um eins (zusammen mit der Anzahl der möglichen Eingänge) reduziert wird. Optional kann das 2oo3-Abstimmungsschema in ein 2oo2-Abstimmungsschema geändert werden, wenn ein ausgewählter Eingang umgangen wird, was bedeutet, dass die Anzahl von Eingängen, die für Auslösen stimmen müssen, gleich bleibt (obwohl die Anzahl von möglichen Eingängen um eins reduziert wird). Ein Parameter für Bypass-Optionen kann verwendet werden, um vorzugeben, ob die tatsächlich zum Auslösen erforderliche Anzahl um eins reduziert werden muss oder nicht, wenn ein Eingang umgangen wird.
  • 3A-3B zeigen beispielhafte Zustandsdiagramme für verschiedene Abstimmungsschemata eines konfigurierbaren Abstimmungsblocks. Insbesondere zeigt 3A ein beispielhaftes Zustandsdiagramm 305 für ein 2oo3-Abstimmungsschema mit einer Verschlechterungsoption, 3B zeigt ein beispielhaftes Zustandsdiagramm 325 für ein 2oo2-Abstimmungsschema mit einer Verschlechterungsoption, und 3C zeigt ein beispielhaftes Zustandsdiagramm 350 für ein 1oo2-Abstimmungsschema mit einer Verschlechterungsoption. Insbesondere veranschaulichen die Zustandsdiagramme 305, 325, 350, wie ein Abstimmungsschema eines Abstimmungsblocks basierend auf bestimmten Steuerungsauswahlmöglichkeiten verschlechtert oder modifiziert wird. Die durchgestrichenen (d. h. mit einem „x“ gekennzeichneten) Linien stehen für ungültige Pfade.
  • 4A-4I zeigen beispielhafte Wahrheitstabellen, beispielsweise konfigurierbare Abstimmungsblöcke. Jede der Wahrheitstabellen gibt ein Abstimmungsschema (jeweils 2oo3) und einen Satz von Eingängen (jeweils Eingang 1, Eingang 2 und Eingang 3) an. Gemäß Ausführungsformen kann jeder des Satzes von Eingängen einen von vier Werten aufweisen: NORMAL (Normal - „NML“), TRIP (Auslösung - „TRP“), BYPASS (Bypass - „BYP“) oder BAD (schlecht - „BAD“).
  • Zusätzlich gibt jede beispielhafte Wahrheitstabelle einen Satz von Steuerungsauswahlmöglichkeiten an, die von einem Benutzer über eine Benutzerschnittstelle vorgegeben oder ausgewählt werden können. In einer Implementierung kann der Satz von Steuerungsauswahlmöglichkeiten über eine Benutzerschnittstelle ausgewählt werden, die ein Dropdown-Menü oder eine andere Auswahltechnik implementieren kann. Eine der Steuerungsauswahlmöglichkeiten ist eine Bypass-Verschlechterungsauswahl, die festlegt, ob ein BYP-Eingang das Abstimmungsschema verschlechtert. Beispielsweise wird ein 2oo3-Abstimmungsschema, das verschlechtert wird, zu einem 1oo3-Abstimmungsschema. Gemäß Ausführungsformen legt eine Auswahl „N“ (Normal) fest, dass ein BYP-Eingang das Abstimmungsschema nicht verschlechtert, und eine Auswahl „R“ (Reduzieren) legt fest, dass ein BYP-Eingang das Abstimmungsschema verschlechtert. Die Bypass-Verschlechterungsauswahl ermöglicht es einem Benutzer, ein „N“ oder „R“ für mehrere Instanzen eines BYP-Eingangs vorzugeben. Beispielsweise kann ein „N“ für die erste Instanz eines BYP-Eingangs und ein „R“ für die zweite Instanz eines BYP-Eingangs vorgegeben werden (oder umgekehrt). Es sollte sich verstehen, dass andere Kombinationen von „N“ und „R“ vorgesehen sind.
  • In ähnlicher Weise ist eine weitere der Steuerungsauswahlmöglichkeiten eine Statusverschlechterungsauswahl, die festlegt, ob ein BAD-Eingang das Abstimmungsschema verschlechtert. Gemäß Ausführungsformen legt eine Auswahl „N“ (normal) fest, dass ein BAD-Eingang das Abstimmungsschema nicht verschlechtert, und eine Auswahl „V“ (für Auslösen stimmen) legt fest, dass ein BAD-Eingang das Abstimmungsschema verschlechtert. Die Status-Verschlechterungsauswahl ermöglicht es einem Benutzer, ein „N“ oder „V‟ für mehrere Instanzen eines BAD-Eingangs vorzugeben. Beispielsweise kann ein „N“ für die erste Instanz eines BAD-Eingangs und ein „V“ für die zweite Instanz eines BAD-Eingangs vorgegeben werden (oder umgekehrt). Es sollte sich verstehen, dass andere Kombinationen von „N“ und „V“ vorgesehen sind. Die Steuerungsauswahlmöglichkeiten können auch eine Situation unterstützen, in der mehrere BAD-Eingänge auftreten, wobei jeder BAD-Eingang (unabhängig von der Statusverschlechterungsauswahl) als TRP behandelt wird.
  • Ferner ist eine andere der Steuerungsauswahlmöglichkeiten eine Auslösesperre-Aktivierungsauswahl, die festlegt, ob eine Auslösung automatisch erfolgt, wenn die Anzahl der erforderlichen Stimmen die Anzahl der Stimmen, die nicht umgangen werden oder schlecht sind, überschreitet. Gemäß Ausführungsformen kann eine Auswahl „N“ (Nein) festlegen, dass eine Auslösung nicht automatisch erfolgt, und eine Auswahl „Y“ (Ja) kann festlegen, dass eine Auslösung automatisch erfolgt. Beispielsweise würde in einem gegebenen Abstimmungsschema AooB eine Auslösung automatisch stattfinden, wenn die Anzahl der erforderlichen Stimmen (A) die Anzahl der Stimmen, die nicht umgangen werden oder schlecht (B) sind (d. h. A>B), überschreitet.
  • Jede Wahrheitstabelle gibt einen Satz von Spalten mit Werten oder Status an, die vom Abstimmungsschema, dem Satz von Eingängen und der Steuerungsauswahlmöglichkeiten abhängig sind. Insbesondere enthält jede Wahrheitstabelle eine Spalte „Num Votes“ (Anzahl Stimmen), die eine Anzahl von Stimmen angibt (d. h. die Anzahl der empfangenen TRP-Eingänge), und eine Spalte „Degraded Scheme“ (Verschlechtertes Schema), die ein aktualisiertes oder überarbeitetes Abstimmungsschema (in einigen Fällen ein verschlechtertes Abstimmungsschema), basierend auf den Eingängen und der Steuerungsauswahlmöglichkeiten angibt. Zusätzlich enthält jede Wahrheitstabelle eine Spalte „Ausgang“, die die Ausgänge des konfigurierbaren Abstimmungsblocks basierend auf den jeweiligen Eingängen und den Steuerungsauswahlmöglichkeiten angibt. Darüber hinaus enthält jede Wahrheitstabelle eine Spalte „Bypass-Status“, die angibt, ob ein Bypass zulässig wäre.
  • Im Allgemeinen repräsentiert in jeder Wahrheitstabelle die zweite Zahl im überarbeiteten Abstimmungsschema der Spalte „Verschlechtertes Schema“ (z. B. die „3“ in 2oo3) die Anzahl der von 3 subtrahierten BYP- oder BAD-Eingänge. Wenn beispielsweise die zweite Zahl „2“ ist, beträgt die Anzahl der BYP- oder BAD-Eingänge eins; wenn die zweite Zahl „1“ ist, beträgt die Anzahl der BYP- oder BAD-Eingänge zwei und so weiter. Die zweite Zahl repräsentiert dann die Anzahl der GOOD (guten) nicht umgangenen Eingänge in einem effektiven Abstimmungsschema.
  • In einer Wahrheitstabelle 400, wie sie in 4A gezeigt ist, sind die Bypass-Verschlechterungsauswahlmöglichkeiten „N“ (402) und „R“ (404) (d. h. die erste Instanz eines BYP-Eingangs verschlechtert das Abstimmungsschema nicht und eine zweite Instanz eines BYP-Eingangs verschlechtert das Abstimmungsschema); die Status-Verschlechterungsauswahlmöglichkeiten sind „V“ (406) und „N“ (408) (d. h. die erste Instanz eines BAD-Eingangs verschlechtert das Abstimmungsschema und eine zweite Instanz eines BAD-Eingangs verschlechtert das Abstimmungsschema nicht); und die Auslösesperre-Aktivierungsauswahl ist „N“ (410) (d. h. eine Auslösung tritt nicht automatisch auf, wenn die Anzahl der erforderlichen Stimmen die Anzahl der Stimmen überschreitet, die nicht umgangen werden oder schlecht sind).
  • Wie in 4A gezeigt, enthält eine Zeile 411 einen Satz von Eingängen NML, NML und TRP, was dazu führt, dass die „Num Votes“ „1“ ist, ein aktualisiertes Abstimmungsschema (2oo3), einen Ausgang „NML“ (weil zwei der drei Eingänge NML sind), und wobei ein Bypass zulässig ist; eine Zeile 412 enthält einen Satz von Eingängen NML, TRP und TRP, was dazu führt, dass die „Num Votes“ „2“ ist, ein aktualisiertes Abstimmungsschema (2oo3), einen Ausgang „TRP“ (weil zwei der drei Eingängen TRP sind), und wobei ein Bypass zulässig ist; eine Zeile 413 enthält einen Satz von Eingängen BYP, NML und NML, was dazu führt, dass die „Num Votes“ „0“ ist, ein aktualisiertes Abstimmungsschema „2oo2“ (der erste BYP-Eingang verschlechtert das Abstimmungsschema nicht), einen Ausgang „NML“ (weil zwei der drei Eingänge NML sind), und wobei ein Bypass zulässig ist (weil ein zweiter BYP-Eingang so konfiguriert ist, dass er die Stimmen für Auslösen reduziert, so dass ein zweiter Bypass in ein 1oo1-Schema übergehen würde); und eine Zeile 414 enthält einen Satz von Eingängen BYP, BYP und NML, was dazu führt, dass die „Num Votes“ „0“ ist, ein aktualisiertes Abstimmungsschema „1oo1“ (weil der zweite BYP-Eingang das Abstimmungsschema verschlechtert), einen Ausgang „NML“ (weil der erste BYP als NML-Eingang behandelt wird), und wobei ein Bypass nicht zulässig ist. Die verbleibenden Zeilen der Wahrheitstabelle 400 bewirken, dass der konfigurierbare Abstimmungsblock ähnlich arbeitet.
  • 4B zeigt eine zusätzliche beispielhafte Wahrheitstabelle 420 mit einem 2oo3-Abstimmungsschema und dem folgenden Satz von Steuerungsauswahlmöglichkeiten 421: N, N, N, N und N. Eine repräsentative Zeile 422 der Wahrheitstabelle 420 enthält einen Satz von Eingängen BYP, NML und NML, was dazu führt, dass die „Num Votes“ „0“ ist, ein aktualisiertes Abstimmungsschema „2oo2“ (die erste BYP-Eingang verschlechtert das Abstimmungsschema nicht), einen Ausgang „NML“ (da zwei der drei Eingänge NML sind), und wobei ein Bypass nicht zulässig ist (da ein zweiter BYP-Eingang so konfiguriert ist, dass die Stimmen für Auslösen nicht reduziert werden, sodass ein zweiter Bypass nicht auftreten kann, da er so konfiguriert ist, dass die 2 nicht auf 1 reduziert wird, somit ist der Bypass nicht zulässig, da ein unzulässiger Zustand eingegeben werden würde). Eine weitere repräsentative Zeile 423 der Wahrheitstabelle 420 enthält einen Satz von Eingängen BAD, TRP und NML, was dazu führt, dass die „Num Votes“ „1“ ist, ein aktualisiertes Abstimmungsschema „2oo2“ (der BAD-Eingang verschlechtert das Abstimmungsschema nicht), einen Ausgang „NML“ (da die BAD-Eingang als NML behandelt wird), und wobei ein Bypass nicht zulässig ist.
  • 4C zeigt eine zusätzliche beispielhafte Wahrheitstabelle 425 mit einem 2oo3-Abstimmungsschema und dem folgenden Satz von Steuerungsauswahlmöglichkeiten 426: R, N, N, N und N. Eine repräsentative Zeile 427 der Wahrheitstabelle 425 enthält einen Satz von Eingängen BYP, TRP und NML, was dazu führt, dass die „Num Votes“ „1“ ist, ein aktualisiertes Abstimmungsschema „1oo2“ (der erste BYP-Eingang verschlechtert das Abstimmungsschema), einen Ausgang „TRP“ (weil der BYP-Eingang als TRP behandelt wird), und wobei ein Bypass zulässig ist. Eine weitere repräsentative Zeile 428 der Wahrheitstabelle 425 enthält einen Satz von Eingängen BAD, TRP und NML, was dazu führt, dass die „Num Votes“ „1“ ist, ein aktualisiertes Abstimmungsschema „2oo2“ (der BAD-Eingang verschlechtert das Abstimmungsschema nicht), einen Ausgang „NML“ (da die BAD-Eingang als NML behandelt wird), und wobei ein Bypass nicht zulässig ist.
  • 4D zeigt eine zusätzliche beispielhafte Wahrheitstabelle 430 mit einem 2oo3-Abstimmungsschema und dem folgenden Satz von Steuerungsauswahlmöglichkeiten 431: N, R, N, N und N. Eine repräsentative Zeile 432 der Wahrheitstabelle 430 enthält einen Satz von Eingängen BYP, TRP und NML, was dazu führt, dass die „Num Votes“ „1“ ist, ein aktualisiertes Abstimmungsschema „2oo2“ (der erste BYP-Eingang verschlechtert das Abstimmungsschema nicht), einen Ausgang „NML“ (da der BYP-Eingang als NML behandelt wird), und wobei ein Bypass zulässig ist. Eine weitere repräsentative Zeile 433 der Wahrheitstabelle 430 enthält einen Satz von Eingängen BAD, NML und NML, was dazu führt, dass die „Num Votes“ „0“ ist, ein aktualisiertes Abstimmungsschema „2oo2“ (der BAD-Eingang verschlechtert das Abstimmungsschema nicht), einen Ausgang „NML“ (der BAD-Eingang wird als NML behandelt), und wobei ein Bypass nicht zulässig ist.
  • 4E zeigt eine zusätzliche beispielhafte Wahrheitstabelle 435 mit einem 2oo3-Abstimmungsschema und dem folgenden Satz von Steuerungsauswahlmöglichkeiten 436: R, R, N, N und N. Eine repräsentative Zeile 437 der Wahrheitstabelle 435 enthält einen Satz von Eingängen BYP, TRP und NML, was dazu führt, dass die „Num Votes“ „1“ ist, ein aktualisiertes Abstimmungsschema „1oo2“ (der erste BYP-Eingang verschlechtert das Abstimmungsschema), einen Ausgang „TRP“ (weil der BYP-Eingang die Anzahl der für das Auslösen erforderlichen Stimmen reduziert und es einen TRP-Eingang gibt, der den TRP-Ausgang im resultierenden Abstimmungsschema „1oo2“ verursacht), und wobei ein Bypass nicht zulässig ist. Eine weitere repräsentative Zeile 438 der Wahrheitstabelle 435 enthält einen Satz von Eingängen BYP, BAD und NML, was dazu führt, dass die „Num Votes“ „0“ ist, ein aktualisiertes Abstimmungsschema „1oo1“ (der BAD-Eingang verschlechtert das Abstimmungsschema), einen Ausgang „NML“ (da es in einem 1oo1-Abstimmungsschema einen NML-Eingang gibt), und wobei ein Bypass nicht zulässig ist.
  • 4F zeigt eine zusätzliche beispielhafte Wahrheitstabelle 440 mit einem 2oo3-Abstimmungsschema und dem folgenden Satz von Steuerungsauswahlmöglichkeiten 441: N, N, V, N und N. Eine repräsentative Zeile 442 der Wahrheitstabelle 440 enthält einen Satz von Eingängen BAD, TRP und NML, was dazu führt, dass die „Num Votes“ „1“ ist, ein aktualisiertes Abstimmungsschema „1oo2“ (der BAD-Eingang verschlechtert das Abstimmungsschema), einen Ausgang „TRP“ (weil der BAD-Eingang die Anzahl der zum Auslösen erforderlichen Stimmen reduziert und es einen TRP-Eingang gibt, der den TRP-Ausgang in dem resultierenden Abstimmungsschema „1oo2“ bewirkt), und wobei ein Bypass zulässig ist. Eine weitere repräsentative Zeile 443 der Wahrheitstabelle 440 enthält einen Satz von Eingängen BAD, BAD und NML, was dazu führt, dass die „Num Votes“ „0“ ist, ein aktualisiertes Abstimmungsschema „1oo1“ (der erste BAD-Eingang verschlechtert das Abstimmungsschema), einen Ausgang „NML“ (weil es einen NML-Eingang in einem 1oo1-Abstimmungsschema gibt), und wobei ein Bypass nicht zulässig ist.
  • 4G zeigt eine zusätzliche beispielhafte Wahrheitstabelle 445 mit einem 2oo3-Abstimmungsschema und dem folgenden Satz von Steuerungsauswahlmöglichkeiten 446: N, N, N, V und N. Eine repräsentative Zeile 447 der Wahrheitstabelle 445 enthält einen Satz von Eingängen BAD, TRP und NML, was dazu führt, dass die „Num Votes“ „1“ ist, ein aktualisiertes Abstimmungsschema „2oo2“ (der erste BAD-Eingang verschlechtert das Abstimmungsschema nicht), einen Ausgang „NML“ (weil der BAD-Eingang ignoriert wird und es nur einen einzelnen TRP-Eingang im 2oo2-Abstimmungsschema gibt), und wobei ein Bypass nicht zulässig ist. Eine andere repräsentative Zeile 448 der Wahrheitstabelle 445 enthält einen Satz von Eingängen BYP, BAD und NML, was dazu führt, dass die „Num Votes“ „0“ ist, ein aktualisiertes effektives Abstimmungsschema „2oo1“ (der BAD-Eingang verschlechtert das Abstimmungsschema nicht), einen Ausgang „TRP“ (weil es einen BAD-Eingang gibt, der eine VOTE (Stimme) für Auslösen ist), und wobei ein Bypass nicht zulässig ist.
  • 4H zeigt eine zusätzliche beispielhafte Wahrheitstabelle 450 mit einem 2oo3-Abstimmungsschema und dem folgenden Satz von Steuerungsauswahlmöglichkeiten 451: N, N, V, V und N. Eine repräsentative Zeile 452 der Wahrheitstabelle 450 enthält einen Satz von Eingängen BAD, TRP und NML, was dazu führt, dass die „Num Votes“ „1“ ist, ein aktualisiertes Abstimmungsschema „1oo2“ (der erste BAD-Eingang verschlechtert das Abstimmungsschema nicht), einen Ausgang „TRP“ (weil der BYP-Eingang als TRP behandelt wird), und wobei ein Bypass zulässig ist. Eine weitere repräsentative Zeile 453 der Wahrheitstabelle 450 enthält einen Satz von Eingängen BAD, BAD und NML, was dazu führt, dass die „Num Votes“ „0“ ist, ein aktualisiertes Abstimmungsschema „0oo1“ (jede BAD-Eingang verschlechtert das Abstimmungsschema), einen Ausgang „TRP“ (da beide BAD-Eingänge als eine Stimme behandelt werden), und wobei ein Bypass zulässig ist.
  • 41 zeigt eine zusätzliche beispielhafte Wahrheitstabelle 455 mit einem 2oo3-Abstimmungsschema und dem folgenden Satz von Steuerungsauswahlmöglichkeiten 456: N, N, N, N und Y. Eine repräsentative Zeile 457 der Wahrheitstabelle 455 enthält einen Satz von Eingängen BYP, BYP und NML, was dazu führt, dass die „Num Votes“ „0“ ist, ein aktualisiertes Abstimmungsschema „2oo1“ (die BYP-Eingänge verschlechtern das Abstimmungsschema nicht), einen Ausgang „INH“ (da die Auslöse-INH-Aktivierung „Y“ ist und 2>1 im 2oo1-Abstimmungsschema), und wobei ein Bypass nicht zulässig ist. Eine weitere repräsentative Zeile 458 der Wahrheitstabelle 455 enthält einen Satz von Eingängen BAD, TRP und TRP, was dazu führt, dass die „Num Votes“ „2“ ist, ein aktualisiertes Abstimmungsschema „2oo2“ (der BAD-Eingang verschlechtert das Abstimmungsschema nicht), einen Ausgang „TRP“ (weil es zwei TRP-Eingänge gibt), und wobei ein Bypass nicht zulässig ist.
  • 5 zeigt ein Blockdiagramm eines beispielhaften Verfahrens 500 zum Aktivieren der Konfiguration eines konfigurierbaren Abstimmungsblocks für ein Prozesssteuerungssystem in einer Prozessanlage. Gemäß Ausführungsformen kann der konfigurierbare Abstimmungsblock ein Abstimmungsschema aufweisen, das einem Satz von Eingängen zugeordnet ist. Ferner kann das Verfahren 500 durch ein Computergerät (und insbesondere einen Prozessor von diesem) erleichtert werden, das dazu konfiguriert ist, eine Verbindung zum Implementieren des konfigurierbaren Abstimmungsblocks herzustellen, und sich an eine Steuerung anzuschalten, die dem Prozesssteuerungssystem zugeordnet ist.
  • Das Verfahren 500 kann beginnen, wenn das Computergerät in einer Benutzerschnittstelle Angaben über (i) einen Satz von Eingängen für einen konfigurierbaren Abstimmungsblock anzeigt (Block 505) und (ii) ein Satz von Ausgängen des konfigurierbaren Abstimmungsblocks dem Satz von Angaben entspricht, die dem Satz von Eingängen zugeordnet sind. Gemäß Ausführungsformen kann der Satz von Eingängen eine oder mehrere Kombinationen verschiedener Eingänge, einschließlich NML, TRP, BYP, BAD und/oder andere, repräsentieren, wobei es sich bei dem Satz von Eingängen um „Test“-Eingänge handeln kann, die einem Benutzer des Computergeräts das Bewerten des Satzes von Eingängen in Kombination mit dem Satz von Ausgängen ermöglichen kann, wie in 4A-4I. Ferner kann jeder Ausgang des Satzes von Ausgängen mehreren Eingängen des Satzes von Eingängen entsprechen und kann auf einem Satz von Steuerungsauswahlmöglichkeiten basieren, die unter Umständen über die Benutzerschnittstelle konfigurierbar sind. Es versteht sich, dass der konfigurierbare Abstimmungsblock mit einem Abstimmungsschema (z. B. 2oo3) konfiguriert sein kann, das standardmäßig oder vom Computergerät oder einem Benutzer von diesem konfiguriert sein kann.
  • Das Computergerät kann über die Benutzerschnittstelle eine erste Steuerungsauswahl empfangen (Block 510), die festlegt, ob das Abstimmungsschema für den konfigurierbaren Abstimmungsblock für eine erste Instanz eines ersten Eingangstyps von einem des Satzes von Eingängen verschlechtert wird. Ferner kann das Computergerät über die Benutzerschnittstelle eine zweite Steuerungsauswahl empfangen (Block 515), die festlegt, ob das Abstimmungsschema für den konfigurierbaren Abstimmungsblock für eine zweite Instanz des zweiten Eingangstyps von einem anderen des Satzes von Eingängen verschlechtert wird. Zusätzlich kann das Computergerät über die Benutzerschnittstelle eine dritte Steuerungsauswahl empfangen (Block 520), die festlegt, ob das Abstimmungsschema für den konfigurierbaren Abstimmungsblock für eine erste Instanz eines zweiten Eingangstyps von dem einem des Satzes von Eingängen verschlechtert wird. Weiterhin kann das Computergerät über die Benutzerschnittstelle eine vierte Steuerungsauswahl empfangen (Block 525), die festlegt, ob das Abstimmungsschema für den konfigurierbaren Abstimmungsblock für eine zweite Instanz des zweiten Eingangstyps von dem anderen des Satzes von Eingängen verschlechtert wird.
  • Gemäß Ausführungsformen kann der erste Eingangstyp ein BYP-Eingang sein (in diesem Fall entsprechen die erste und die zweite Steuerungsauswahl Bypass-Verschlechterungsauswahlmöglichkeiten, die festlegen, ob das Abstimmungsschema für den konfigurierbaren Abstimmungsblock verschlechtert wird), und der zweite Eingangstyp kann ein BAD-Eingang sein (in diesem Fall entsprechen die erste und die zweite Steuerungsauswahl den Status-Verschlechterungsauswahlmöglichkeiten, die festlegen, ob das Abstimmungsschema für den konfigurierbaren Abstimmungsblock verschlechtert wird), oder der erste Eingangstyp kann ein BAD-Eingang sein und der zweite Eingangstyp kann ein BYP-Eingang sein.
  • In einer Implementierung kann das Computergerät über die Benutzerschnittstelle eine Auslöse-Aktivierungsauswahl empfangen (Block 530), die festlegt, ob ein Ausgang des konfigurierbaren Abstimmungsblocks automatisch auslöst, wenn eine Anzahl erforderlicher Stimmen des Abstimmungsschemas eine Anzahl von Stimmen des Abstimmungsschemas, die nicht umgangen werden oder schlecht sind (d. h. A > B bei einem AooB-Abstimmungsschema), überschreitet.
  • Das Computergerät kann den konfigurierbaren Abstimmungsblock gemäß der ersten Steuerungsauswahl, der zweiten Steuerungsauswahl, der dritten Steuerungsauswahl, der vierten Steuerungsauswahl und der Auslöse-Aktivierungswahl konfigurieren (Block 535). Ferner kann das Computergerät von einem Satz von Geräten, die der Prozessanlage zugeordnet sind, den Satz von Eingängen empfangen (Block 540). Insbesondere kann das Computergerät anfänglich von einem ersten Gerät des Satzes von Geräten die erste Instanz des ersten Eingangstyps (oder des zweiten Eingangstyps) von dem einen des Satzes von Eingängen empfangen und anschließend von einem zweiten Gerät von dem Satz von Geräten die zweite Instanz des ersten Eingangstyps (oder des zweiten Eingangstyps) von dem anderen des Satzes von Eingängen empfangen.
  • Das Computergerät kann den Satz von Eingängen gemäß dem konfigurierbaren Abstimmungsblock verarbeiten (Block 545), der in Block 535 konfiguriert wurde, was zu dem(den) Ausgang(Ausgängen) des konfigurierbaren Abstimmungsblocks führt. In Ausführungsformen kann das Computergerät nach dem Verarbeiten des Satzes von Eingängen in der Benutzerschnittstelle einen Satz von Aktualisierungen für den Satz von Ausgängen gemäß dem konfigurierbaren Abstimmungsblock, der konfiguriert wurde, anzeigen.
  • Die Ausführungsformen der in der vorliegenden Offenbarung beschriebenen Techniken können eine beliebige Anzahl der folgenden Aspekte - entweder allein oder in Kombination - enthalten:
  • 1. Computerimplementiertes Verfahren zum Ermöglichen der Konfiguration eines konfigurierbaren Abstimmungsblocks für ein Prozesssteuerungssystem in einer Prozessanlage, wobei der konfigurierbare Abstimmungsblock ein Abstimmungsschema aufweist, das einem Satz von Eingängen zugeordnet ist, wobei das Verfahren umfasst: Empfangen, über eine Benutzerschnittstelle, einer ersten Steuerungsauswahl, die festlegt, ob das Abstimmungsschema für den konfigurierbaren Abstimmungsblock für eine erste Instanz eines ersten Eingangstyps von einem des Satzes von Eingängen verschlechtert wird; Empfangen, über die Benutzerschnittstelle, einer zweiten Steuerungsauswahl, die festlegt, ob das Abstimmungsschema für den konfigurierbaren Abstimmungsblock für eine zweite Instanz des ersten Eingangstyps von einem anderen des Satzes von Eingängen verschlechtert wird; Konfigurieren des konfigurierbaren Abstimmungsblocks gemäß der ersten Steuerungsauswahl und der zweiten Steuerungsauswahl; Empfangen des Satzes von Eingängen von einem Satz von Geräten, die der Prozessanlage zugeordnet sind; und Verarbeiten des Satzes von Eingängen gemäß dem konfigurierbaren Abstimmungsblock, der konfiguriert wurde, wobei die Verarbeitung zu einem Ausgang des konfigurierbaren Abstimmungsblocks führt.
  • 2. Computerimplementiertes Verfahren nach Anspruch 1, wobei die erste Steuerungsauswahl festlegt, dass das Abstimmungsschema für den konfigurierbaren Abstimmungsblock verschlechtert wird, und wobei die zweite Steuerungsauswahl festlegt, dass das Abstimmungsschema für den konfigurierbaren Abstimmungsblock nicht verschlechtert wird.
  • 3. Computerimplementiertes Verfahren nach Anspruch 1, wobei die erste Steuerungsauswahl festlegt, dass das Abstimmungsschema für den konfigurierbaren Abstimmungsblock nicht verschlechtert wird, und wobei die zweite Steuerungsauswahl festlegt, dass das Abstimmungsschema für den konfigurierbaren Abstimmungsblock verschlechtert wird.
  • 4. Computerimplementiertes Verfahren nach einem der Ansprüche 1 bis 3, wobei der erste Eingangstyp ein Bypass-(BYP)-Eingang oder ein schlechter (BAD)-Eingang ist.
  • 5. Computerimplementiertes Verfahren nach einem der Ansprüche 1 bis 4, ferner umfassend: Empfangen, über die Benutzerschnittstelle, einer dritten Steuerungsauswahl, die festlegt, ob das Abstimmungsschema für den konfigurierbaren Abstimmungsblock für eine erste Instanz eines zweiten Eingangstyps von dem einen des Satzes von Eingängen verschlechtert wird; und Empfangen, über die Benutzerschnittstelle, einer vierten Steuerungsauswahl, die festlegt, ob das Abstimmungsschema für den konfigurierbaren Abstimmungsblock für eine zweite Instanz des zweiten Eingangstyps von dem anderen des Satzes von Eingängen verschlechtert wird.
  • 6. Computerimplementiertes Verfahren nach einem der Ansprüche 1 bis 5, wobei das Empfangen des Satzes von Eingängen umfasst: Empfangen, von einem ersten Gerät des Satzes von Geräten, der ersten Instanz des ersten Eingangstyps von dem einen des Satzes von Eingängen; und anschließend Empfangen, von einem zweiten Gerät des Satzes von Geräten, der zweiten Instanz des ersten Eingangstyps von dem anderen des Satzes von Eingängen.
  • 7. Computerimplementiertes Verfahren nach einem der Ansprüche 1 bis 6, ferner umfassend: Empfangen, über die Benutzerschnittstelle, einer Auslöse-Aktivierungswahl, die festlegt, ob der Ausgang des konfigurierbaren Abstimmungsblocks automatisch ausgelöst wird, wenn eine Anzahl von erforderlichen Stimmen des Abstimmungsschemas eine Anzahl von Stimmen des Abstimmungsschemas überschreitet, die nicht umgangen werden oder schlecht sind.
  • 8. Computerimplementiertes Verfahren nach einem der Ansprüche 1 bis 7, ferner umfassend: Anzeigen, in der Benutzerschnittstelle, von Angaben von (i) dem Satz von Eingängen für den konfigurierbaren Abstimmungsblock und (ii) dass ein Satz von Ausgängen des konfigurierbaren Abstimmungsblocks dem Satz von Eingängen entspricht; und nach dem Verarbeiten des Satzes von Eingängen gemäß dem konfigurierbaren Abstimmungsblock, der konfiguriert wurde, Anzeigen, in der Benutzerschnittstelle, eines Satzes von Aktualisierungen des Satzes von Ausgängen gemäß dem konfigurierbaren Abstimmungsblock, der konfiguriert wurde.
  • 9. Computerimplementiertes Verfahren nach einem der Ansprüche 1 bis 8, wobei das Abstimmungsschema Zwei-von-Drei (2oo3) ist.
  • 10. Rechengerät zum Ermöglichen der Konfiguration eines konfigurierbaren Abstimmungsblocks für ein Prozesssteuerungssystem in einer Prozessanlage, wobei der konfigurierbare Abstimmungsblock ein Abstimmungsschema aufweist, das einem Satz von Eingängen zugeordnet ist, umfassend: eine Benutzerschnittstelle; einen Speicher, in dem ein Satz von computerausführbaren Anweisungen gespeichert ist; und einen Prozessor, der an die Benutzerschnittstelle und den Speicher angeschaltet und dazu konfiguriert ist, den Satz von computerausführbaren Anweisungen auszuführen, um zu bewirken, dass der Prozessor: über die Benutzerschnittstelle eine erste Steuerungsauswahl empfängt, die festlegt, ob das Abstimmungsschema für den konfigurierbaren Abstimmungsblock für eine erste Instanz eines ersten Eingangstyps von einem des Satzes von Eingängen verschlechtert wird; Empfangen, über die Benutzerschnittstelle, einer zweiten Steuerungsauswahl, die festlegt, ob das Abstimmungsschema für den konfigurierbaren Abstimmungsblock für eine zweite Instanz des ersten Eingangstyps von einem anderen des Satzes von Eingängen verschlechtert wird; Konfigurieren des konfigurierbaren Abstimmungsblocks gemäß der ersten Steuerungsauswahl und der zweiten Steuerungsauswahl; Empfangen, von einem Satz von Geräten, die der Prozessanlage zugeordnet sind, des Satzes von Eingängen und Verarbeiten des Satzes von Eingängen gemäß dem konfigurierbaren Abstimmungsblock, der konfiguriert wurde, wobei die Verarbeitung zu einem Ausgang des konfigurierbaren Abstimmungsblocks führt.
  • 11. Rechengerät nach Anspruch 10, wobei die erste Steuerungsauswahl festlegt, dass das Abstimmungsschema für den konfigurierbaren Abstimmungsblock verschlechtert wird, und wobei die zweite Steuerungsauswahl festlegt, dass das Abstimmungsschema für den konfigurierbaren Abstimmungsblock nicht verschlechtert wird.
  • 12. Rechengerät nach Anspruch 10, wobei die erste Steuerungsauswahl festlegt, dass das Abstimmungsschema für den konfigurierbaren Abstimmungsblock nicht verschlechtert wird, und wobei die zweite Steuerungsauswahl festlegt, dass das Abstimmungsschema für den konfigurierbaren Abstimmungsblock verschlechtert wird.
  • 13. Rechengerät nach einem der Ansprüche 10 bis 12, wobei der erste Eingangstyp ein Bypass-(BYP)-Eingang oder ein schlechter (BAD)-Eingang ist.
  • 14. Rechengerät nach einem der Ansprüche 10 bis 13, wobei der Prozessor ferner konfiguriert ist zum: Empfangen, über die Benutzerschnittstelle, einer dritten Steuerungsauswahl, die festlegt, ob das Abstimmungsschema für den konfigurierbaren Abstimmungsblock für eine erste Instanz eines zweiten Eingangstyps von dem einen des Satzes von Eingängen verschlechtert wird; und Empfangen, über die Benutzerschnittstelle, einer vierten Steuerungsauswahl, die festlegt, ob das Abstimmungsschema für den konfigurierbaren Abstimmungsblock für eine zweite Instanz des zweiten Eingangstyps von dem anderen des Satzes von Eingängen verschlechtert wird.
  • 15. Rechengerät nach einem der Ansprüche 10 bis 14, wobei der Prozessor zum Empfangen des Satzes von Eingängen konfiguriert ist zum: Empfangen, von einem ersten Gerät des Satzes von Geräten, der ersten Instanz des ersten Eingangstyps von dem einen des Satzes von Eingängen, und anschließend Empfangen, von einem zweiten Gerät des Satzes von Geräten, der zweiten Instanz des ersten Eingangstyps von dem anderen des Satzes von Eingängen.
  • 16. Rechengerät nach einem der Ansprüche 10 bis 15, wobei der Prozessor ferner konfiguriert ist zum: Empfangen, über die Benutzerschnittstelle, einer Auslöse-Aktivierungswahl, die festlegt, ob der Ausgang des konfigurierbaren Abstimmungsblocks automatisch ausgelöst wird, wenn eine Anzahl von erforderlichen Stimmen des Abstimmungsschemas eine Anzahl von Stimmen des Abstimmungsschemas überschreitet, die nicht umgangen werden oder schlecht sind.
  • 17. Rechengerät nach einem der Ansprüche 10 bis 16, wobei der Prozessor ferner konfiguriert ist zum: Veranlassen, dass die Benutzerschnittstelle Angaben von (i) dem Satz von Eingängen für den konfigurierbaren Abstimmungsblock anzeigt und (ii) ein Satz von Ausgängen des konfigurierbaren Abstimmungsblocks dem Satz von Eingängen entspricht; und nach dem Verarbeiten des Satzes von Eingängen gemäß dem konfigurierbaren Abstimmungsblock, der konfiguriert wurde, Veranlassen, dass die Benutzerschnittstelle einen Satz von Aktualisierungen des Satzes von Ausgängen gemäß dem konfigurierbaren Abstimmungsblock, der konfiguriert wurde, anzeigt.
  • 18. Rechengerät nach einem der Ansprüche 10 bis 17, wobei das Abstimmungsschema Zwei-von-Drei (2oo3) ist.
  • 19. Steuerungsmodul zur Verwendung in einer Prozessanlage mit einem Prozessor, der kommunikativ gekoppelt ist, um ein oder mehrere Feldgeräte zu steuern, umfassend: ein nicht transitorisches computerlesbares Medium; und einen Funktionsblock, der auf dem nicht transitorischen computerlesbaren Medium gespeichert ist und auf dem Prozessor ausgeführt wird, wobei der Funktionsblock umfasst: einen Satz von Eingängen, die jeweils dazu konfiguriert sind, ein Eingangssignal aus der Prozessanlage zu empfangen, das eine Prozessbedingung angibt; einen ersten Steuerblock umfassend einen ersten Steuerungsparameter, der festlegt, ob ein Abstimmungsschema für den Funktionsblock für eine erste Instanz eines ersten Eingangstyps von einem des Satzes von Eingängen verschlechtert wird; einen zweiten Steuerblock, der einen zweiten Steuerungsparameter umfasst, der festlegt, ob das Abstimmungsschema für den Funktionsblock für eine zweite Instanz des ersten Eingangstyps von einem anderen des Satzes von Eingängen verschlechtert wird; einen Ausgang, der ein Ausgangssignal bereitstellt, und einen Wählerlogikblock, der zwischen dem ersten Steuerblock, dem zweiten Steuerblock und dem Ausgang gekoppelt ist, wobei der Wählerlogikblock dazu konfiguriert ist, das Ausgangssignal basierend auf dem Satz von Eingangssignalen, dem ersten Steuerungsparameter und dem zweiten Steuerungsparameter zu erzeugen.
  • 20. Steuerungsmodul nach Anspruch 19, wobei der erste Steuerungsparameter festlegt, dass das Abstimmungsschema für den Funktionsblock verschlechtert wird, und wobei der zweite Steuerungsparameter festlegt, dass das Abstimmungsschema für den Funktionsblock nicht verschlechtert wird.
  • 21. Steuerungsmodul nach Anspruch 19, wobei der erste Steuerungsparameter festlegt, dass das Abstimmungsschema für den Funktionsblock nicht verschlechtert wird, und wobei der zweite Steuerungsparameter festlegt, dass das Abstimmungsschema für den Funktionsblock verschlechtert wird.
  • 22. Steuerungsmodul nach einem der Ansprüche 19 bis 21, wobei der erste Eingangstyp ein Bypass-(BYP)-Eingang oder ein schlechter (BAD) Eingang ist.
  • 23. Steuerungsmodul nach einem der Ansprüche 19 bis 22, wobei der Funktionsblock ferner umfasst: einen dritten Steuerblock, der einen dritten Steuerungsparameter umfasst, der festlegt, ob das Abstimmungsschema für den Funktionsblock für eine erste Instanz eines zweiten Eingangstyps von dem einen des Satzes von Eingängen verschlechtert wird, und einen vierten Steuerblock, der einen vierten Steuerungsparameter umfasst, der festlegt, ob das Abstimmungsschema für den Funktionsblock für eine zweite Instanz des zweiten Eingangstyps von dem anderen des Satzes von Eingängen verschlechtert wird.
  • 24. Steuerungsmodul nach einem der Ansprüche 19 bis 23, wobei der Funktionsblock ferner umfasst: einen fünften Steuerblock, der einen Auslöse-Aktivierungsparameter umfasst, der festlegt, ob das Ausgangssignal des Funktionsblocks automatisch auslöst, wenn eine Anzahl von erforderlichen Stimmen des Abstimmungsschemas eine Anzahl von Stimmen des Abstimmungsschemas überschreitet, die nicht umgangen werden oder schlecht sind.
  • 25. Steuerungsmodul nach einem der Ansprüche 19 bis 24, wobei das Abstimmungsschema Zwei-von-Drei (2oo3) ist.
  • Darüber hinaus sind die vorherigen Aspekte der Offenbarung nur beispielhaft und sollen den Umfang der Offenbarung nicht einschränken.
  • Die folgenden zusätzlichen Überlegungen gelten für die vorhergehende Erörterung. In dieser Spezifikation beziehen sich die von einem Gerät oder einer Routine als durchgeführt beschriebenen Aktionen im Allgemeinen auf Aktionen oder Prozesse eines Prozessors, der Daten gemäß maschinenlesbarer Anweisungen verändert oder transformiert. Die maschinenlesbaren Anweisungen können auf einem Speichergerät, das kommunikativ mit dem Prozessor gekoppelt ist, gespeichert und von diesem abgerufen werden. Das heißt, dass die hierin beschriebenen Verfahren durch einen Satz von maschinenausführbaren Anweisungen verkörpert sein können, die auf einem computerlesbaren Medium (d. h. auf einem Speichergerät) gespeichert sind. Wenn die Anweisungen von einem oder mehreren Prozessoren eines entsprechenden Geräts (z. B. einer Bedienerarbeitsstation, einem Inbetriebnahme-Tool usw.) ausgeführt werden, veranlassen die Prozessoren die Ausführung des Verfahrens. Wenn Anweisungen, Routinen, Module, Prozesse, Dienste, Programme und/oder Anwendungen hierin als gespeichert oder in einem computerlesbaren Speicher oder auf einem computerlesbaren Medium abgelegt beschrieben sind, sollen die Wörter „gespeichert“ und „abgelegt“ transitorische Signale ausschließen.
  • Darüber hinaus werden Begriffe wie „Bediener“, „Personal“, „Person“, „Benutzer“, „Techniker“, „Administrator“ und ähnliche andere Begriffe verwendet, um Personen in der Prozessanlagenumgebung zu beschreiben, die unter Umständen die hier beschriebenen Systeme, Vorrichtungen und Verfahren verwenden oder mit ihnen interagieren. Diese Begriffe sollen jedoch nicht einschränkend verstanden werden. Wenn in der Beschreibung ein bestimmter Begriff verwendet wird, wird der Begriff teilweise aufgrund der traditionellen Aktivitäten verwendet, die das Betriebspersonal vornimmt, soll jedoch nicht das Personal einschränken, das diese bestimmte Aktivität vornehmen könnte.
  • Zusätzlich können in dieser gesamten Spezifikation mehrere Instanzen Komponenten, Vorgänge oder Strukturen implementieren, die als eine einzelne Instanz beschrieben werden. Obwohl einzelne Vorgänge von einem oder mehreren Verfahren als separate Vorgänge veranschaulicht und beschrieben sind, können einer oder mehrere der einzelnen Vorgänge gleichzeitig ausgeführt werden, und es ist nicht erforderlich, die Vorgänge in der veranschaulichten Reihenfolge auszuführen. Strukturen und Funktionen, die als separate Komponenten in Beispielkonfigurationen dargestellt werden, können als kombinierte Struktur oder Komponente implementiert werden. In ähnlicher Weise können Strukturen und Funktionen, die als eine einzelne Komponente dargestellt werden, als separate Komponenten implementiert werden. Diese und andere Variationen, Änderungen, Hinzufügungen und Verbesserungen fallen in den Umfang des hier behandelten Gegenstandes.
  • Sofern nicht ausdrücklich etwas anderes spezifiziert ist, können sich hierin Erörterungen, die Wörter wie „Verarbeiten“, „Rechnen“, „Berechnen“ „Bestimmen“, „Identifizieren“, „Darstellen“, „Darstellen bewirkend“, „Anzeigen bewirkend“, „Anzeigen“ oder dergleichen auf Aktionen oder Prozesse einer Maschine (z. B. eines Computers) beziehen, die Daten verändern oder umwandeln, die als physische (z. B. elektronische, magnetische, biologische oder optische) Größen innerhalb eines oder mehrerer Speicher (z. B. flüchtiger Speicher, nichtflüchtiger Speicher oder eine Kombination davon), Register oder anderer Maschinenkomponenten dargestellt sind, die Informationen empfangen, speichern, übertragen oder anzeigen.
  • Wenn sie in Software implementiert sind, können alle der hierin beschriebenen Anwendungen, Dienste und Maschinen in jedem materiellen, nichtflüchtigen computerlesbaren Speicher, wie z. B. auf einer Magnetplatte, einer Laserplatte, einem Festkörper-Speichergerät, einem molekularen Speichergerät oder einem anderen Speichermedium, in einem RAM oder ROM eines Computers oder Prozessors usw. gespeichert werden. Obwohl die hierin offenbarten Beispiel-Systeme so offenbart werden, dass sie neben anderen Komponenten auf Hardware ausgeführte Software und/oder Firmware enthalten, sei darauf hingewiesen, dass solche Systeme rein beispielhaft sind und nicht als einschränkend angesehen werden sollten. Zum Beispiel wird in Betracht gezogen, dass irgendeine oder alle dieser Hardware-, Software- und Firmware-Komponenten ausschließlich in Hardware, ausschließlich in Software oder in irgendeiner Kombination von Hardware und Software ausgeführt werden können. Daher werden Personen mit durchschnittlichen Fachkenntnissen problemlos erkennen, dass die bereitgestellten Beispiele nicht die einzige Möglichkeit sind, solche Systeme zu implementieren.
  • Während also die vorliegende Erfindung anhand konkreter Beispiele beschrieben wurde, die nur zur Veranschaulichung und nicht zur Beschränkung der Erfindung gedacht sind, wird es für Personen mit gewöhnlichen Fachkenntnissen offensichtlich sein, dass Änderungen, Ergänzungen oder Löschungen an den offenbarten Ausführungsformen vorgenommen werden können, ohne vom Geist und Umfang der Erfindung abzuweichen.
  • Es sollte auch verstanden werden, dass, außer wenn ein Begriff in diesem Patent ausdrücklich unter Verwendung des Satzes „Die Bedeutung des Begriffs „wie er hierin verwendet ist, lautet hiermit definitionsgemäß‟ ...„, oder eines ähnlichen Satzes definiert ist, keine Absicht besteht, die Bedeutung dieses Begriffs, weder ausdrücklich noch implizit, über seine einfache oder gewöhnliche Bedeutung hinaus einzuschränken, und dieser Begriff sollte nicht so ausgelegt werden, dass sein Umfang aufgrund einer Aussage in irgendeinem Abschnitt dieses Patents (mit Ausnahme der Formulierungen der Ansprüche) eingeschränkt wird. In dem Maß, in dem jeder in den Ansprüchen am Ende dieses Patents zitierte Begriff in diesem Patent in einer mit einer einzigen Bedeutung übereinstimmenden Weise erwähnt wird, erfolgt dies nur aus Gründen der Klarheit, um den Leser nicht zu verwirren, und es ist es auch nicht beabsichtigt, dass ein solcher Anspruchsbegriff implizit oder anderweitig auf diese einzige Bedeutung einzuschränken ist. Schließlich soll, sofern ein Anspruchselement nicht mit dem Wort „bedeutet“ definiert wird und eine Funktion ohne Erwähnung von irgendeiner Struktur definiert wird, der Umfang eines Anspruchselements nicht basierend auf der Anmeldung 35 USC § 112 (f) und/oder prä-AIA 35 USC § 112, sechster Absatz, interpretiert werden.
  • Weiterhin, obgleich der vorstehende Text eine detaillierte Beschreibung zahlreicher verschiedener Ausführungsformen enthält, versteht sich, dass der Umfang des Patents durch den Wortlaut der am Ende dieses Patents ausgeführten Ansprüche definiert wird. Die detaillierte Beschreibung ist nur als Beispiel zu verstehen und beschreibt nicht jede mögliche Ausführungsform, da das Beschreiben jeder möglichen Ausführungsform unpraktisch, wenn nicht unmöglich wäre. Zahlreiche alternative Ausführungsformen können entweder unter Verwendung aktueller Technologie oder von Technologie, die nach dem Einreichungsdatum dieses Patents entwickelt wird, die noch innerhalb des Umfangs dieser Ansprüche liegen würde, implementiert werden.

Claims (15)

  1. Computerimplementiertes Verfahren zum Ermöglichen der Konfiguration eines konfigurierbaren Abstimmungsblocks für ein Prozesssteuerungssystem in einer Prozessanlage, wobei der konfigurierbare Abstimmungsblock ein Abstimmungsschema aufweist, das einem Satz von Eingängen zugeordnet ist, wobei das Verfahren umfasst: Empfangen, über eine Benutzerschnittstelle, einer ersten Steuerungsauswahl, die festlegt, ob das Abstimmungsschema für den konfigurierbaren Abstimmungsblock für eine erste Instanz eines ersten Eingangstyps von einem des Satzes von Eingängen verschlechtert Empfangen, über die Benutzerschnittstelle, einer zweiten Steuerungsauswahl, die festlegt, ob das Abstimmungsschema für den konfigurierbaren Abstimmungsblock für eine zweite Instanz des ersten Eingangstyps von einem anderen des Satzes von Eingängen verschlechtert wird; Konfigurieren des konfigurierbaren Abstimmungsblocks gemäß der ersten Steuerungsauswahl und der zweiten Steuerungsauswahl; Empfangen des Satzes von Eingängen von einem Satz von Geräten, die der Prozessanlage zugeordnet sind; und Verarbeiten des Satzes von Eingängen gemäß dem konfigurierbaren Abstimmungsblock, der konfiguriert wurde, wobei das Verarbeiten zu einem Ausgang des konfigurierbaren Abstimmungsblocks führt.
  2. Computerimplementiertes Verfahren nach Anspruch 1, wobei die erste Steuerungsauswahl festlegt, dass das Abstimmungsschema für den konfigurierbaren Abstimmungsblock verschlechtert wird, und wobei die zweite Steuerungsauswahl festlegt, dass das Abstimmungsschema für den konfigurierbaren Abstimmungsblock nicht verschlechtert wird; und/oder wobei die erste Steuerungsauswahl festlegt, dass das Abstimmungsschema für den konfigurierbaren Abstimmungsblock nicht verschlechtert wird, und wobei die zweite Steuerungsauswahl festlegt, dass das Abstimmungsschema für den konfigurierbaren Abstimmungsblock verschlechtert wird.
  3. Computerimplementiertes Verfahren nach Anspruch 1 oder 2, wobei der erste Eingangstyp ein Bypass (BYP)-Eingang oder ein schlechter (BAD) Eingang ist; und/oder wobei das Abstimmungsschema Zwei-von-Drei (2oo3) ist.
  4. Computerimplementiertes Verfahren nach einem der Ansprüche 1 bis 3, ferner umfassend: Empfangen, über die Benutzerschnittstelle, einer dritten Steuerungsauswahl, die festlegt, ob das Abstimmungsschema für den konfigurierbaren Abstimmungsblock für eine erste Instanz eines zweiten Eingangstyps von dem einen des Satzes von Eingängen verschlechtert wird; und Empfangen, über die Benutzerschnittstelle, einer vierten Steuerungsauswahl, die festlegt, ob das Abstimmungsschema für den konfigurierbaren Abstimmungsblock für eine zweite Instanz des zweiten Eingangstyps von dem anderen des Satzes von Eingängen verschlechtert wird; und/oder ferner umfassend: Anzeigen, in der Benutzerschnittstelle, von Angaben (i) des Satzes von Eingängen für den konfigurierbaren Abstimmungsblock und (ii) eines Satzes von Ausgängen des konfigurierbaren Abstimmungsblocks entsprechend dem Satz von Eingängen; und nach dem Verarbeiten des Satzes von Eingängen gemäß dem konfigurierbaren Abstimmungsblock, der konfiguriert wurde, Anzeigen, in der Benutzerschnittstelle, eines Satzes von Aktualisierungen für den Satz von Ausgängen gemäß dem konfigurierbaren Abstimmungsblock, der konfiguriert wurde.
  5. Computerimplementiertes Verfahren nach einem der Ansprüche 1 bis 4, wobei das Empfangen des Satzes von Eingängen umfasst: Empfangen der ersten Instanz des ersten Eingangstyps von dem einen des Satzes von Eingängen von einem ersten Gerät des Satzes von Geräten; und anschließend Empfangen der zweiten Instanz des ersten Eingangstyps von dem anderen des Satzes von Eingängen von einem zweiten Gerät des Satzes von Geräten; und/oder ferner umfassend: Empfangen, über die Benutzerschnittstelle, einer Auslöse-Aktivierungswahl, die festlegt, ob der Ausgang des konfigurierbaren Abstimmungsblocks automatisch ausgelöst wird, wenn eine Anzahl von erforderlichen Stimmen des Abstimmungsschemas eine Anzahl von Stimmen des Abstimmungsschemas überschreitet, die nicht umgangen werden oder schlecht sind.
  6. Rechengerät zum Ermöglichen der Konfiguration eines konfigurierbaren Abstimmungsblocks für ein Prozesssteuerungssystem in einer Prozessanlage, wobei der konfigurierbare Abstimmungsblock ein Abstimmungsschema aufweist, das einem Satz von Eingängen zugeordnet ist, umfassend: eine Benutzerschnittstelle; einen Speicher, in dem ein Satz von computerausführbaren Anweisungen gespeichert ist; und einen Prozessor, der an die Benutzerschnittstelle und den Speicher angeschaltet ist und dazu konfiguriert ist, den Satz von computerausführbaren Anweisungen auszuführen, um den Prozessor zu veranlassen zum: Empfangen, über die Benutzerschnittstelle, einer ersten Steuerungsauswahl, die festlegt, ob das Abstimmungsschema für den konfigurierbaren Abstimmungsblock für eine erste Instanz eines ersten Eingangstyps von einem des Satzes von Eingängen verschlechtert wird, Empfangen, über die Benutzerschnittstelle, einer zweiten Steuerungsauswahl, die festlegt, ob das Abstimmungsschema für den konfigurierbaren Abstimmungsblock für eine zweite Instanz des ersten Eingangstyps von einem anderen des Satzes von Eingängen verschlechtert wird, Konfigurieren des konfigurierbaren Abstimmungsblocks gemäß der ersten Steuerungsauswahl und der zweiten Steuerungsauswahl, Empfangen des Satzes von Eingängen von einem Satz von Geräten, die der Prozessanlage zugeordnet sind, und Verarbeiten des Satzes von Eingängen gemäß dem konfigurierbaren Abstimmungsblock, der konfiguriert wurde, wobei das Verarbeiten zu einem Ausgang des konfigurierbaren Abstimmungsblocks führt.
  7. Rechengerät nach Anspruch 6, wobei die erste Steuerungsauswahl festlegt, dass das Abstimmungsschema für den konfigurierbaren Abstimmungsblock verschlechtert wird, und wobei die zweite Steuerungsauswahl festlegt, dass das Abstimmungsschema für den konfigurierbaren Abstimmungsblock nicht verschlechtert wird; und/oder wobei die erste Steuerungsauswahl festlegt, dass das Abstimmungsschema für den konfigurierbaren Abstimmungsblock nicht verschlechtert wird, und wobei die zweite Steuerungsauswahl festlegt, dass das Abstimmungsschema für den konfigurierbaren Abstimmungsblock verschlechtert wird.
  8. Rechengerät nach Anspruch 6 oder 7, wobei der erste Eingangstyp ein Bypass (BYP)-Eingang oder ein schlechter (BAD) Eingang ist; und/oder wobei das Abstimmungsschema Zwei-von-Drei (2oo3) ist.
  9. Rechengerät nach einem der Ansprüche 6 bis 8, wobei der Prozessor ferner konfiguriert ist zum: Empfangen, über die Benutzerschnittstelle, einer dritten Steuerungsauswahl, die festlegt, ob das Abstimmungsschema für den konfigurierbaren Abstimmungsblock für eine erste Instanz eines zweiten Eingangstyps von dem einen des Satzes von Eingängen verschlechtert wird, und Empfangen, über die Benutzerschnittstelle, einer vierten Steuerungsauswahl, die festlegt, ob das Abstimmungsschema für den konfigurierbaren Abstimmungsblock für eine zweite Instanz des zweiten Eingangstyps von dem anderen des Satzes von Eingängen verschlechtert wird; und/oder wobei der Prozessor ferner konfiguriert ist zum: Veranlassen, dass die Benutzerschnittstelle Angaben von (i) dem Satz von Eingängen für den konfigurierbaren Abstimmungsblock und (ii) einem Satz von Ausgängen des konfigurierbaren Abstimmungsblocks anzeigt, der dem Satz von Eingängen entspricht, und nach dem Verarbeiten des Satzes von Eingängen gemäß dem konfigurierbaren Abstimmungsblock, der konfiguriert wurde, Veranlassen, dass die Benutzerschnittstelle einen Satz von Aktualisierungen für den Satz von Ausgängen gemäß dem konfigurierbaren Abstimmungsblock, der konfiguriert wurde, anzeigt.
  10. Rechengerät nach einem der Ansprüche 6 bis 9, wobei der Prozessor zum Empfangen des Satzes von Eingängen konfiguriert ist zum: Empfangen der ersten Instanz des ersten Eingangstyps von dem einen des Satzes von Eingängen von einem ersten Gerät des Satzes von Geräten, und anschließend Empfangen der zweiten Instanz des ersten Eingangstyps von dem anderen des Satzes von Eingängen von einem zweiten Gerät des Satzes von Geräten; und/oder wobei der Prozessor ferner konfiguriert ist zum: Empfangen, über die Benutzerschnittstelle, einer Auslöse-Aktivierungswahl, die festlegt, ob der Ausgang des konfigurierbaren Abstimmungsblocks automatisch ausgelöst wird, wenn eine Anzahl von erforderlichen Stimmen des Abstimmungsschemas eine Anzahl von Stimmen des Abstimmungsschemas überschreitet, die nicht umgangen werden oder schlecht sind.
  11. Steuerungsmodul zur Verwendung in einer Prozessanlage mit einem Prozessor, der kommunikativ gekoppelt ist, um ein oder mehrere Feldgeräte zu steuern, umfassend: ein nicht transitorisches computerlesbares Medium; und einen Funktionsblock, der auf dem nicht transitorischen computerlesbaren Medium gespeichert ist und auf dem Prozessor ausgeführt wird, wobei der Funktionsblock umfasst: einen Satz von Eingängen, die jeweils so konfiguriert sind, dass sie ein Eingangssignal aus der Prozessanlage empfangen, das eine Prozessbedingung anzeigt, einen ersten Steuerblock, der einen ersten Steuerungsparameter umfasst, der festlegt, ob ein Abstimmungsschema für den Funktionsblock für eine erste Instanz eines ersten Eingangstyps von einem des Satzes von Eingängen verschlechtert wird, einen zweiten Steuerblock, der einen zweiten Steuerungsparameter umfasst, der festlegt, ob das Abstimmungsschema für den Funktionsblock für eine zweite Instanz des ersten Eingangstyps von einem anderen des Satzes von Eingängen verschlechtert wird, einen Ausgang, der ein Ausgangssignal bereitstellt, und einen Wählerlogikblock, der zwischen dem ersten Steuerblock, dem zweiten Steuerblock und dem Ausgang gekoppelt ist, wobei der Wählerlogikblock dazu konfiguriert ist, das Ausgangssignal basierend auf dem Satz von Eingangssignalen, dem ersten Steuerungsparameter und dem zweiten Steuerungsparameter zu erzeugen.
  12. Steuerungsmodul nach Anspruch 11, wobei der erste Steuerungsparameter festlegt, dass das Abstimmungsschema für den Funktionsblock verschlechtert wird, und wobei der zweite Steuerungsparameter festlegt, dass das Abstimmungsschema für den Funktionsblock nicht verschlechtert wird; und/oder wobei der erste Steuerungsparameter festlegt, dass das Abstimmungsschema für den Funktionsblock nicht verschlechtert wird, und wobei der zweite Steuerungsparameter festlegt, dass das Abstimmungsschema für den Funktionsblock verschlechtert wird.
  13. Steuerungsmodul nach Anspruch 11 oder 12, wobei der erste Eingangstyp ein Bypass-(BYP)-Eingang oder ein schlechter (BAD) Eingang ist; und/oder wobei das Abstimmungsschema Zwei-von-Drei (2oo3) ist.
  14. Steuerungsmodul nach einem der Ansprüche 11 bis 13, wobei der Funktionsblock ferner umfasst: einen dritten Steuerblock, der einen dritten Steuerungsparameter umfasst, der festlegt, ob das Abstimmungsschema für den Funktionsblock für eine erste Instanz eines zweiten Eingangstyps von dem einen des Satzes von Eingängen verschlechtert wird, und einen vierten Steuerblock, der einen vierten Steuerungsparameter umfasst, der festlegt, ob das Abstimmungsschema für den Funktionsblock für eine zweite Instanz des zweiten Eingangstyps von dem anderen des Satzes von Eingängen verschlechtert wird; und/oder wobei der Funktionsblock ferner umfasst: einen fünften Steuerblock mit einem Auslöse-Aktivierungsparameter, der festlegt, ob das Ausgangssignal des Funktionsblocks automatisch auslöst, wenn eine Anzahl erforderlicher Stimmen des Abstimmungsschemas eine Anzahl von Stimmen des Abstimmungsschemas überschreitet, die nicht umgangen werden oder schlecht sind.
  15. Ein computerlesbares Medium mit gespeicherten Instruktionen, die, wenn durch mindestens einen Prozessor ausgeführt, den mindestens einen Prozessor veranlassen, ein Verfahren nach einem der Ansprüche 1 bis 5 zu implementieren.
DE102020127820.9A 2019-10-22 2020-10-22 Technologien zum konfigurieren von abstimmungsblöcken, die einem prozesssteuerungssystem zugeordnet sind Pending DE102020127820A1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US16/660,439 2019-10-22
US16/660,439 US11656594B2 (en) 2019-10-22 2019-10-22 Technologies for configuring voting blocks associated with a process control system

Publications (1)

Publication Number Publication Date
DE102020127820A1 true DE102020127820A1 (de) 2021-04-22

Family

ID=73223854

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102020127820.9A Pending DE102020127820A1 (de) 2019-10-22 2020-10-22 Technologien zum konfigurieren von abstimmungsblöcken, die einem prozesssteuerungssystem zugeordnet sind

Country Status (5)

Country Link
US (1) US11656594B2 (de)
JP (1) JP2021068433A (de)
CN (1) CN112698626A (de)
DE (1) DE102020127820A1 (de)
GB (1) GB2593249A (de)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11914347B2 (en) * 2021-02-12 2024-02-27 Ge Infrastructure Technology Llc Configurable industrial protection system

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4774709A (en) 1986-10-02 1988-09-27 United Technologies Corporation Symmetrization for redundant channels
EP0844567A1 (de) 1996-11-21 1998-05-27 Hewlett-Packard Company PCI-Busbrücke für Fernübertragung
US6448982B1 (en) * 1998-04-23 2002-09-10 Siemens Energy & Automation, Inc. System for graphically generating logic for a cause and effects matrix
US6128691A (en) 1998-09-30 2000-10-03 Intel Corporation Apparatus and method for transporting interrupts from secondary PCI busses to a compatibility PCI bus
US6973526B2 (en) 2002-06-28 2005-12-06 Intel Corporation Method and apparatus to permit external access to internal configuration registers
DE10234992A1 (de) 2002-07-31 2004-02-19 Advanced Micro Devices, Inc., Sunnyvale Retry-Mechanismus für blockierende Schnittstellen
US7313146B2 (en) 2003-01-31 2007-12-25 Broadcom Corporation Transparent data format within host device supporting differing transaction types
US6898542B2 (en) * 2003-04-01 2005-05-24 Fisher-Rosemount Systems, Inc. On-line device testing block integrated into a process control/safety system
JP4511861B2 (ja) 2003-04-01 2010-07-28 フィッシャー−ローズマウント システムズ, インコーポレイテッド オーバライドおよびバイパスを利用したプロセス制御・安全システム内におけるフィールドデバイスの動作調整
US7130703B2 (en) * 2003-04-08 2006-10-31 Fisher-Rosemount Systems, Inc. Voter logic block including operational and maintenance overrides in a process control system
US7380018B2 (en) 2003-05-15 2008-05-27 Broadcom Corporation Peripheral bus transaction routing using primary and node ID routing information
US7103703B1 (en) 2004-06-14 2006-09-05 Advanced Micro Devices, Inc. Back to back connection of PCI host bridges on a single PCI bus

Also Published As

Publication number Publication date
GB202015880D0 (en) 2020-11-18
JP2021068433A (ja) 2021-04-30
CN112698626A (zh) 2021-04-23
US11656594B2 (en) 2023-05-23
GB2593249A (en) 2021-09-22
US20210116878A1 (en) 2021-04-22

Similar Documents

Publication Publication Date Title
DE102004014747B4 (de) Funktionsblock-Implementierung einer Ursache- und Wirkung-Matrix zum Gebrauch in einem Prozesssicherheitssystem
DE102004016929B4 (de) Steuerverfahren und System zur Bestimmung des Vorliegens einer Abschaltbedingung innerhalb einer Prozessanlage
DE102004015617B4 (de) Online-Geräteprüfblock, der in ein Prozeßsteuerungs-/Sicherheitssystem integriert ist
EP2353052B1 (de) Sicherheitssteuerung und verfahren zum steuern einer automatisierten anlage
DE102014109569A1 (de) Zustandsmaschinen-funktionsblock mit benutzerdefinierbaren aktionen an einem übergang zwischen zuständen
EP2422244B1 (de) Sicherheitssteuerung und verfahren zum steuern einer automatisierten anlage
EP3264208B1 (de) Verfahren zum aktualisieren von prozessobjekten in einem engineerings-system
DE102005008517A1 (de) Verfahren und System zum Integrieren von Alarmen in ein Prozeßsteuersystem
DE102008010864A1 (de) Verfahren zum Betreiben eines Feldgerätes
DE102008008357A1 (de) Verfahren und System zur Ermittlung von Zuverlässigkeitsparametern einer technischen Anlage
EP2746883A1 (de) Verfahren und Server zur Generierung einer Anzeige- und Bedienansicht für ein Bedien- und Beobachtungsgerät einer industriellen Automatisierungsanordnung
DE112016004638T5 (de) System und verfahren zum repräsentieren einer ursache-wirkungs-tabelle als satz numerischer repräsentationen
DE102019107401A1 (de) Systeme und verfahren zur verwaltung von warnungen im zusammenhang mit geräten eines prozesssteuerungssystems
EP2246756B1 (de) Verfahren und Bediengerät zum Bedienen einer sicherheitsgerichteten industriellen Automatisierungskomponente
DE102020116200A1 (de) Verbessertes arbeitsauftrags-generierungs- und -verfolgungssystem
DE102020129214A1 (de) Intelligente Benachrichtigung als Warnung vor Parameteränderung durch Feldgerät-Regelkreis
DE102015108359A1 (de) Verfahren und Vorrichtung zur automatischen Validierung von Sicherheitsfunktionen an einem modular aufgebauten Sicherheitssystem
DE102005041632A1 (de) Verfahren und Vorrichtung zur Überwachung einer technischen Einrichtung
EP2808749B1 (de) Verfahren zum Austausch von Steuerungsinformationen zwischen Bedien- und Beobachtungsgeräten eines industriellen Automatisierungssystems und industrielles Automatisierungssystem
DE102004015616B4 (de) Sicherheitssystemsteuerung zur Verwendung in einer Prozessumgebung, Prozesssteuerungssystem sowie entsprechendes Steuerungsverfahren
DE102020127820A1 (de) Technologien zum konfigurieren von abstimmungsblöcken, die einem prozesssteuerungssystem zugeordnet sind
WO2007128544A1 (de) Automatisierungssystem mit zugriffschutz für auf feldgeräten gespeicherten parametern
DE102009019096A1 (de) Sicherheitssteuerung und Verfahren zum Steuern einer automatisierten Anlage
EP3470937B1 (de) Verfahren und vorrichtungen zum überwachen der reaktionszeit einer durch ein sicherheitssystem bereitgestellten sicherheitsfunktion
EP3470939B1 (de) Verfahren und system zum überwachen der sicherheitsintegrität einer durch ein sicherheitssystem bereitgestellten sicherheitsfunktion

Legal Events

Date Code Title Description
R012 Request for examination validly filed