DE112016004597T5

DE112016004597T5 - System und Verfahren zum Konfigurieren getrennter Überwachungs- und Wirkungsblöcke eines Prozessleitsystems

Info

Publication number: DE112016004597T5
Application number: DE112016004597.2T
Authority: DE
Inventors: Gary K. Law; Sergio Diaz; Godfrey R. Sherriff
Original assignee: Fisher Rosemount Systems Inc
Current assignee: Fisher Rosemount Systems Inc
Priority date: 2015-10-09
Filing date: 2016-10-07
Publication date: 2018-06-21
Also published as: US10802456B2; GB2599607B; GB2597870B; GB201805352D0; CN113050570B; GB2558819B; WO2017062791A1; US10809689B2; CN108139725B; JP6959228B2; GB201805353D0; GB202202688D0; GB201805478D0; JP2023012542A; GB2558820B; US11709472B2; US11886159B2; CN108139724A; GB2558817B; JP2018530072A

Abstract

Ein System und Verfahren zum Bedienen von Funktionsblöcken in einem Prozessleitsystem für eine Prozessanlage beinhalten ein Zugreifen auf eine anfängliche Ursache-Wirkungs-Tabelle (CEM), die einen Satz Ursachen und einen Satz Wirkungen aufweist. Das System und Verfahren können dann einen Satz zusammenhängender Gruppen in der anfänglichen CEM definieren, beinhaltend: (i) Zugreifen auf einen Satz Regeln, der mit dem Satz zusammenhängender Gruppen verbunden ist, (ii) Identifizieren eines Teils des Satzes Ursachen, die mit einem Teil des Satzes Wirkungen zusammenhängen, gemäß dem Satz Regeln und auf Grundlage zumindest eines Teils der entsprechenden Ursache-Wirkungs-Paare, und (iii) Umordnen des Teils des Satzes Ursachen und des Teils des Satzes Wirkungen, sodass der Teil der entsprechenden Ursache-Wirkungs-Paare umgeordnet wird.

Description

Verwandte Anmeldungen
Diese Patentanmeldung ist eine reguläre Patentanmeldung, welche die Priorität und den Vorteil des Einreichungsdatum der vorläufigen US-Patentanmeldung mit der Seriennummer 62/239.657 und dem Titel „A System and Method for Configuring Separated Monitor and Effect Blocks of a Process Control System“ beansprucht, die am 09. Oktober 2015 eingereicht wurde und die hiermit durch Bezugnahme ausdrücklich in den vorliegenden Gegenstand mit einbezogen wird.
Gebiet der Offenbarung
Die vorliegende Offenbarung betrifft im Allgemeinen das Bedienen eines Prozessleitsystems in einer Prozessanlage und insbesondere das Konfigurieren von Ursache-Wirkungs-Tabellen (Cause and Effect Matrices - CEM), die mit dem Prozessleitsystem verbunden sind, und das Erstellen damit verbundener Überwachungsblöcke und Wirkungsblöcke.
Allgemeiner Stand der Technik
Prozessleitsysteme wie jene, die in chemischen, erdöltechnischen oder anderen Prozessen verwendet werden, beinhalten typischerweise einen oder mehrere Prozessregler, die über analoge, digitale oder eine Kombination aus analogen/digitalen Busse(n) oder Leitungen mit mindestens einer Host- oder Bedienerarbeitsstation und mit einem oder mehreren Feldgeräten in Kommunikationsverbindung stehen. Die Feldgeräte, bei denen es sich z. B. um Ventile, Ventilstellungsregler, Schalter und Messumformer (z. B. Temperatur-, Druck- und Durchflusssensoren) handeln kann, führen in der Prozessanlage Funktionen wie etwa das Öffnen oder Schließen von Ventilen und das Messen von Prozessparametern aus. Die Prozessregler empfangen Signale, die von den Feldgeräten vorgenommene Prozessmessungen und/oder andere die Feldgeräte betreffende Informationen angeben, verwenden diese Informationen zum Implementieren von Regelungsroutinen und erzeugen dann Signale, die zur Regelung des Betriebs des Prozesses über die Busse oder Leitungen zu den Feldgeräten gesendet werden. Informationen von den Feldgeräten und den Reglern werden typischerweise für eine oder mehrere Anwendungen verfügbar gemacht, die von der Bedienerarbeitsstation ausgeführt werden, um es einem Bediener zu ermöglichen, eine beliebige gewünschte Funktion bezüglich des Prozesses durchzuführen, wie etwa ein Konfigurieren des Prozesses, Beobachten des Istzutands des Prozesses, Modifizieren des Betriebs des Prozesses usw.
Zudem ist in vielen Prozessen ein separates Sicherheitssystem bereitgestellt, um wesentliche sicherheitsrelevante Probleme in der Prozessanlage zu erkennen und in der Anlage automatisch Ventile zu schließen, Vorrichtungen Energie zu entziehen, Strömungen zu ändern usw., wenn ein Problem auftritt, das eine schwerwiegende Gefahr in der Anlage, wie etwa ein Auslaufen giftiger Chemikalien, eine Explosion usw., zur Folge haben oder dazu führen kann. Diese Sicherheitssysteme verfügen typischerweise über einen oder mehrere separate Regler abgesehen von den standardmäßigen Reglern zur Prozessführung, sogenannte Logiklöser, die über separate Busse oder Kommunikationsleitungen, welche innerhalb der Prozessanlage installiert sind, an Sicherheitsfeldgeräte angeschlossen sind. Die Logiklöser verwenden die Sicherheitsfeldgeräte, um Prozessbedingungen zu erkennen, die mit wesentlichen Ereignissen verbunden sind, wie etwa mit der Position von bestimmten Sicherheitsschaltern oder Abschaltventilen, Überläufen oder Unterläufen im Prozess, dem Betrieb wichtiger Energieerzeugungs- oder Regelvorrichtungen, dem Betrieb von Fehlererkennungsvorrichtungen usw., um dadurch „Ereignisse“ in der Prozessanlage zu erkennen. Wenn ein Ereignis (typischerweise als „Ursache“ bezeichnet), bei dem es sich um eine Einzelbedingung oder das simultane Eintreten von zwei oder mehr Bedingungen handeln kann, erkannt wird, trifft der Sicherheitsregler gewisse Maßnahmen (typischerweise als „Wirkung“ bezeichnet), um die nachteilige Eigenschaft des Ereignisses einzugrenzen, wie etwa ein Schließen von Ventilen, Abschalten von Vorrichtungen, Entziehen von Energie von Teilen der Anlage usw. Zu diesen Maßnahmen oder Wirkungen zählen im Allgemeinen das Schalten von Sicherheitsvorrichtungen in einen ausgelösten oder „sicheren“ Betriebsmodus, der dazu ausgelegt ist, eine schwerwiegende oder gefährliche Bedingung in der Prozessanlage zu verhüten.
Bediener einer Prozessanlage wie etwa Manager oder Techniker pflegen typischerweise eine Datenbankstruktur, in der zusammenhängende Ursachen und Wirkungen gespeichert werden. Beispielsweise kann eine Tabelle eine Vielzahl an Zeilen und Spalten aufweisen, wobei jede Zeile einer Ursache entspricht, jede Spalte einer Wirkung entspricht und jede Zelle der Tabelle einem Ursache-Wirkungs-Zusammenhang entspricht. Die Zellen können mit verschiedenen Auslösern befüllt sein, welche den Zusammenhang zwischen jeder Ursache und Wirkung angeben. Sogenannte Ursache-Wirkungs-Tabellen (CEMs) sind im Allgemeinen gemäß Anforderungsdokumenten konfiguriert, welche die sicherheitstechnische Gestaltung für das Leitsystem oder die Anlage vorgeben. Ein Regelungstechniker kann die CEMs nutzen, um das Leitsystem derart zu entwickeln, dass die sicherheitstechnische Gestaltung entsprechend implementiert wird. Allerdings sind solche CEMs durch die vorgegebene Größe der Tabelle begrenzt und häufig nicht groß genug, um alle gewünschten Zusammenhänge zwischen Ursache-Wirkungs-Daten zu bewältigen. Ferner vermögen es solche CEMs nicht, komplexere/anspruchsvollere Ursache-Wirkungen wie etwa Verketten, Verknüpfen, Abgleichen, Schleifenbildung usw. zu bewältigen. Darüber hinaus ist die Implementierung einer umfangreichen CEM in Steuerlogik umständlich und damit bei der Implementierung fehleranfällig. In Sicherheitssystemen ist es unerlässlich, eine akkurate CEM zu pflegen, da Fehler in der CEM schwerwiegend sein können, weil es zu gravierenden Verletzungen oder gar zum Tod auf Seiten des Anlagenpersonals und zum Verlust von möglicherweise Millionen Dollar an Ausrüstung und Material in einer Anlage führen kann, wenn das Sicherheitssystem nicht einwandfrei arbeitet.
Kurzdarstellung
Ein Prozessleitsystem für eine Prozessanlage kann über ein Sicherheitssystem verfügen, das derart implementiert oder gestaltet sein kann, die in einer Ursache-Wirkungs-Tabelle (CEM) definierte Steuerlogik zu erwirken, wobei es sich bei der CEM um eine Übersicht über die Sicherheitsmaßnahmen für die Prozessanlage handelt, die in einer visuellen Darstellung angezeigt wird. Allgemein gesprochen, definiert die CEM die grundlegenden Ursache-Wirkungs-Zusammenhänge für verschiedene Sicherheitsprotokolle oder -abläufe in der Prozessanlage. Im Allgemeinen kann eine CEM einen Satz Eingaben und einen Satz Ausgaben beinhalten, wobei jede von dem Satz Eingaben eine Bedingung in der Prozessanlage repräsentiert und jede von dem Satz Ausgaben eine Wirkung oder Maßnahme repräsentiert, die in der Prozessanlage durchzuführen ist. Ferner hängen zumindest manche von dem Satz Eingaben und dem Satz Ausgaben als Ursache-Wirkungs-Paare zusammen, wobei die jeweilige Wirkung als Reaktion auf ein Eintreten der entsprechenden Bedingung oder Ursache aktiviert wird.
Ein Administrator des Prozessleitsystems kann die CEM als einen Satz unterschiedlicher Funktionsblöcke implementieren. Allerdings kann eine jeweilige CEM je nach Größe und/oder Komplexität der Prozessanlage zahlreiche Ursachen, Wirkungen und Ursache-Wirkungs-Paare enthalten, weshalb eine entsprechend große Menge an Funktionsblöcken zum Implementieren erforderlich sein kann. Diese Implementierung kann daher zeitintensiv, kompliziert und aufwändig werden, was zu potentiellen Implementierungsfehler führt. Gemäß den beschriebenen Systemen und Verfahren sind verschiedene Techniken zum Implementieren einer CEM in einem Prozessleitsystem als ein Satz getrennter, aber vernetzter Funktionsblöcke, die als Überwachungsfunktionsblöcke und Wirkungsfunktionsblöcke beschrieben werden, zum Implementieren von CEM-Logik bereitgestellt.
In einer Ausführungsform können die Systeme und Verfahren Muster und Gruppierungen in einer CEM identifizieren und einen Satz Überwachungsblocks und einen Satz Wirkungsblocks gemäß den identifizierten Mustern und Gruppierungen implementieren, um somit die Komplexität der Implementierung der CEM zu reduzieren. In einer Implementierung kann eine Gruppierung von Daten in einer CEM (bspw. eine Spalte der CEM) als numerische Repräsentation der Logik definiert werden, welche durch diesen Teil der CEM definiert wird, um eine einfache und weniger komplizierte Art und Weise des Verstehens und Bestätigens bereitzustellen, dass die Logik der CEM in den Funktionsblöcken (bspw. den Überwachungs- und Wirkungsblöcken), die zum Implementieren der CEM-Logik verwendet werden, implementiert wird. Ferner kann ein Werkzeug zum Analysieren und Neuanordnen oder Umordnen einer CEM (bspw. der Zeilen und/oder Spalten einer CEM) verwendet werden, um bessere, logischere, einfacher zu implementierende usw. Gruppierungen der CEM-Logik bereitzustellen, die als einer oder mehrere Sätze von Ursache-Wirkungs-Blöcken zu implementieren sind.
Die vorliegende Offenbarung stellt zusätzliche Techniken zum Bedienen einer CEM bereit. Insbesondere können die hier beschriebenen Systeme und Verfahren zum derartigen Konfigurieren einer CEM verwendet werden, dass sie eine interaktive Funktionalität beinhaltet. Beispielsweise kann eine konfigurierte CEM beinhalten: Verknüpfungen oder Auswahlen zum Zugreifen auf ein oder mehrere Dokumente, die Sicherheitsprotokolle aufführen, welche die Ursache-Wirkungs-Zusammenhänge der CEM bilden, Graphen, welche die aktuellen und/oder vergangenen Status einer oder mehrerer Wirkungen der CEM abbilden, um es einem Benutzer zu ermöglichen, die vorherigen Bedingungen oder Operationen bezüglich bestimmter Wirkungen, wie in der Anlage implementiert, einfacher zu verstehen, und Diagramme der Prozessanlage, die Vorrichtungen beinhalten, die mit Ursachen und Wirkungen der CEM zusammenhängen.
Zudem kann es aufgrund der oftmals großen Informationsmenge, die in einer CEM enthalten ist, für einen Techniker schwierig sein, jegliche Abweichungen oder Fehler zu identifizieren, die in einem Prozessleitsystem enthalten sind. Die hier bereitgestellten Systeme und Verfahren ermöglichen ferner das Implementieren einer Technik und eines Systems zur Nachkonstruktion, um automatisch eine Test-CEM zu erstellen, welche die CEM-Logik, die tatsächlich durch die Vorrichtungen und Steuerlogik in der Prozessanlage (oder, in manchen Implementierungen, den Überwachungs- und Wirkungsblöcken in dem Prozessleitsystem) implementiert wird, und die erforderlichen Sicherheitsprotokolle für die jeweilige Prozessanlage definiert. Dementsprechend können die hier beschriebenen Systeme und Verfahren die Test-CEM mit der bestehenden CEM vergleichen, um jegliche Abweichungen oder Fehler zwischen der tatsächlichen Konfiguration des Anlagenbetriebs und jener, die in einem Gestaltungsdokument aufgeführt sein kann, zu identifizieren.
Figurenliste
Die nachfolgend beschriebenen Figuren bilden unterschiedliche Aspekte des Systems und der Verfahren, die dort offenbart sind, ab. Es versteht sich, dass jede Figur eine Ausführungsform eines bestimmten Aspekts des Systems und der Verfahren, die offenbart sind, abbildet, und dass jede der Figuren dazu beabsichtigt ist, mit einer möglichen Ausführungsform davon übereinzustimmen. Ferner verweist die folgende Beschreibung, so möglich, auf die in den folgenden Figuren enthaltenen Bezugszeichen, wobei in mehreren Figuren abgebildete Merkmale durchgehend mit den gleichen Bezugszeichen gekennzeichnet sind.
In den Zeichnungen werden Anordnungen gezeigt, die vorliegend erläutert werden, wobei es sich allerdings versteht, dass die vorliegenden Ausführungsformen nicht auf die gezeigten exakten Anordnungen und Instrumentalitäten beschränkt sind, wobei:

1 ein Blockdiagramm einer beispielhaften Prozessanlage ist;
2 ein Blockdiagramm einer beispielhaften Arbeitsstation ist, die in 1 schematisch dargestellt wird;
3 eine Darstellung einer beispielhaften Ursache-Wirkungs-Tabelle ist;
4 eine Darstellung eines beispielhaften Satzes von Überwachungs- und Wirkungsblöcken ist;
5 eine Darstellung eines ersten Beispiels für einen Satz von Funktionsblöcken ist, die zum Implementieren von Überwachungs- und Wirkungsblöcken verwendet werden können;
6 eine Darstellung eines zweiten Beispiels für einen Satz von Funktionsblöcken ist, die zum Implementieren von Überwachungs- und Wirkungsblöcken verwendet werden können;
7 ein Ablaufdiagramm eines Beispielverfahrens zum Konfigurieren von Überwachungsblocks und Wirkungsblocks, die mit einer Prozessanlage verbunden sind, ist;
8 eine Darstellung eines zweiten Beispiels für eine Ursache-Wirkungs-Tabelle ist;
9 eine Darstellung des zweiten Beispiels für die Ursache-Wirkungs-Tabelle aus 8 ist, die umorganisiert und in separate Logikblöcke konfiguriert wurde;
10 ein Ablaufdiagramm eines Beispielverfahrens zum Umorganisieren einer Ursache-Wirkungs-Tabelle ist;
11 eine Darstellung des zweiten Beispiels für eine Ursache-Wirkungs-Tabelle mit beispielhaften numerischen Repräsentationen ist;
12 ein Ablaufdiagramm eines Beispielverfahrens zum Berechnen numerischer Repräsentationen für eine Logik einer Ursache-Wirkungs-Tabelle ist;
13 eine beispielhafte Darstellung verschiedener miteinander verknüpfter Benutzerschnittstellen ist, welche der Sicherheitslogik einer Ursache-Wirkungs-Tabelle entsprechen;
14 ein Flussdiagramm eines Beispielverfahrens zum Navigieren zwischen den miteinander verknüpften Benutzerschnittstellen aus 13 ist;
15 ein Flussdiagramm eines Beispielverfahrens zum Nachkonstruieren einer Ursache-Wirkungs-Testtabelle ist;
Die 16A-16D Darstellungen beispielhafter Benutzerschnittstellen sind, die ein überwachtes Sicherheitsereignis anzeigen;
17 ein Flussdiagramm eines Beispielverfahrens zum Anzeigen eines überwachten Sicherheitsereignisses ist;
18 eine Darstellung einer beispielhaften Ursache-Wirkungs-Tabelle ist, die zulassende und zeitlich verzögerte Auslöser beinhaltet.

Die Figuren bilden nur zur Veranschaulichung bevorzugte Ausführungsformen ab. Für den Fachmann wird es sich aus der folgenden Erläuterung ohne Weiteres erschließen, dass alternative Ausführungsformen der hier dargestellten Systeme und Verfahren eingesetzt werden können, ohne von den Prinzipien der hier beschriebenen Erfindung abzuweichen.
Detaillierte Beschreibung
1 ist ein Blockdiagramm einer beispielhaften Prozessanlage 10, die einen oder mehrere Knoten 12, 16, 18 und 20 beinhaltet. In der beispielhaften Prozessanlage 10 in 1 beinhaltet jeder der Knoten 12 und 16 einen Prozessregler 12a, 16a, der mit einem oder mehreren Feldgeräten 22 und 23 über Ein-/Ausgangs(E/A)-Vorrichtungen 24 verbunden ist, bei denen es sich beispielsweise um Foundation-Fieldbus-Schnittstellen, HART-Schnittstellen usw. handeln kann. Die Regler 12a und 16a sind auch mit einer oder mehreren Host- oder Bedienerarbeitsstation 18a und 20a in den Knoten 18 und 20 über ein Netzwerk 30 verbunden, das beispielsweise eines oder mehrere von einem Bus, einem drahtgebundenen lokalen Netzwerk (Local Area Network - LAN) wie etwa einem Ethernet-LAN, einem drahtlosen LAN, einem Weitverkehrsnetzwerk (Wide Area Network - WAN), einem Intranet usw. sein kann. Die Reglerknoten 12, 16 und die E/A-Vorrichtungen 24 und Feldgeräte 22, 23, die damit verbunden sind, befinden sich zwar typischerweise unten und im Inneren und sind über die gesamte, manchmal raue Anlagenumgebung verteilt, die Bedienerarbeitsstation-Knoten 18 und 20 jedoch befinden sich zumeist in Leitständen oder anderen weniger rauen Umgebungen, die für mit der Regelung betrautem Personal leicht zugänglich sind.
Allgemein gesprochen, können die Arbeitsstationen 18a und 20a der Knoten 18 und 20 dazu verwendet werden, Anwendungen zu speichern und auszuführen, die zum Konfigurieren und Überwachen der Prozessanlage 10 und/oder zum Bedienen der Vorrichtungen 22, 23, 24 und Regler 12a, 16a in der Prozessanlage 10 verwendet werden. Beispielsweise können die Arbeitsstationen 18a und/oder 20a Werkzeuge wie etwa eine Systemnavigatoranwendung 15, ein Ursache-Wirkungs-Analysewerkzeug 17, eine Prozessleitkonfigurationsanwendung 19 und eine Sicherheitskonfigurationsanwendung 21 enthalten, die implementiert werden können, um die Sicherheitsanforderungen der Prozessanlage 10 zu bedienen. Die Systemnavigatoranwendung 15 kann implementiert werden, um eine Gruppe miteinander verknüpfter Benutzerschnittstellen bereitzustellen, die Informationen bezüglich der Sicherheitsanforderungen und -vorrichtungen in der Prozessanlage bereitstellen. Das Ursache-Wirkungs-Analysewerkzeug kann implementiert werden, um eine Ursache-Wirkungs-Tabelle (CEM) zu bedienen und/oder um Ursache-Wirkungs-Tabellen durch Nachkonstruieren auf Basis bekannter Sicherheitsanforderungen und/oder Funktionsblöcke zu erstellen. Ferner können die Prozessleitkonfigurationsanwendung 19 und Sicherheitskonfigurationsanwendung 21 einem Benutzer die Fähigkeit verschaffen, die Vorrichtungen der Prozessanlage durch die Arbeitsstationen 18a und/oder 20a zu bedienen. Eine Konfigurationsdatenbank 32 kann mit dem Netzwerk 30 verbunden werden und als Datenhistorieneinheit und/oder Konfigurationsdatenbank arbeiten, welche die aktuelle Konfiguration der Prozessanlage 10 speichert, als in den Knoten 12, 16, 18, 20 heruntergeladen und/oder gespeichert. Die Konfigurationsdatenbank kann auch Regeln 31 zum Umordnen von CEMs und/oder numerische Repräsentationen 33 enthalten.
Jeder der Regler 12a und 16a, bei denen es sich beispielhalber um den von Emerson Process Management vertriebenen DeltaV ™ -Regler handeln kann, kann eine Regleranwendung speichern und ausführen, die eine Regelungsstrategie unter Verwendung einiger verschiedener, unabhängig ausgeführter Regelmodule oder -blöcke implementiert. Die Regelmodule können jeweils daraus bestehen, was gemeinhin als Funktionsblöcke bezeichnet wird, wobei jeder Funktionsblock ein Teil einer Teilroutine einer Gesamtregelroutine ist und mit anderen Funktionsblöcken (über Kommunikationsverbindungen, die als Verknüpfungen bezeichnet werden) zusammenarbeitet, um Prozessleitschleifen in der Prozessanlage 10 zu implementieren. Wie allgemein bekannt, führen Funktionsblöcke typischerweise eine der Folgenden aus: eine Eingangsfunktion (wie etwa jene, die mit einem Messumformer, einem Sensor oder einer anderen Prozessparametermessvorrichtung verbunden ist), eine Regelfunktion (wie etwa jene, die mit einer Regelroutine verbunden ist, die eine PID-, Fuzzy-Logik- usw. Regelung ausführt) oder eine Ausgangsfunktion, welche den Betrieb einer Vorrichtung (wie etwa einem Ventil) regelt, um eine physische Funktion in der Prozessanlage 10 auszuführen. Selbstverständlich existieren Mischformen und andere Arten von Funktionsblöcken und können genutzt werden. Während ein Feldbusprotokoll und das DeltaV ™ -Systemprotokoll Regelmodule und Funktionsblöcke verwenden können, die in einem objektorientierten Programmierungsprotokoll gestaltet und implementiert sind, könnten die Regelmodule unter Verwendung eines beliebigen gewünschten Regelprogrammierungsschemas gestaltet werden, darunter beispielsweise eines sequenziellen Funktionsblocks, einer Leiterlogik usw., und sie sind nicht darauf beschränkt, unter Verwendung eines Funktionsblocks oder einer sonstigen bestimmten Programmierungstechnik gestaltet zu werden. Typischerweise kann die Konfiguration des Regelmoduls, wie in den Prozessleitknoten 12 und 16 gespeichert, in der Konfigurationsdatenbank 32 gespeichert sein, auf die Anwendungen zugreifen können, die von den Arbeitsstationen 18a und 20a ausgeführt werden. Funktionsblöcke können beispielsweise in dem Regler 12a, 16a gespeichert und von diesem ausgeführt werden, was typischerweise der Fall ist, wenn diese Funktionsblöcke für standardmäßige 4-20-mA□Vorrichtungen und einige Arten intelligenter Feldgeräte wie HART□Vorrichtungen verwendet werden oder mit diesen verbunden sind, oder sie können in den Feldgeräten an sich gespeichert und von diesen implementiert werden, was bei Feldbus□Vorrichtungen der Fall sein kann.
In dem in 1 dargestellten System kann es sich bei den mit den Reglern 12a und 16a gekoppelten Feldgeräten 22 und 23 um standardmäßige 4-20-mA□Vorrichtungen handeln, oder es kann sich um intelligente Feldgeräte wie etwa HART, Profibus oder Foundation-Fieldbus-Feldgeräte handeln, die einen Prozessor und einen Speicher beinhalten. Manche dieser Vorrichtungen, wie etwa Foundation-Fieldbus-Feldgeräte (in 1 mit dem Bezugszeichen 23 gekennzeichnet) können Module oder Teilmodule wie etwa Funktionsblöcke, die mit der in den Reglern 12a und 16a implementierten Regelungsstrategie verbunden sind, speichern und ausführen. Selbstverständlich kann es sich bei den drahtgebundenen Feldgeräten 22, 23 um beliebige Arten von Vorrichtungen handeln, wie etwa Sensoren, Ventile, Messumformer, Stellungsregler usw., und bei den E/A-Vorrichtungen 24 kann es sich um beliebige Arten von E/A□Vorrichtungen handeln, die einem beliebigen gewünschten Kommunikations- oder Regelungsprotokoll entsprechen, wie etwa HART, Foundation Fieldbus, Profibus usw.
Die Regler 12a und 16a beinhalten jeweils einen Prozessor, der eine oder mehrere Prozessleitroutinen implementiert oder überwacht, die in einem Speicher gespeichert sind, der Regelschleifen beinhalten kann, die darin gespeichert oder anderweitig damit verbunden sind. Die Regler 12a und 16a kommunizieren mit den Feldgeräten 22, 23, den Arbeitsstationen 18a, 20a und der Datenbank 32, um einen Prozess auf beliebige gewünschte Art und Weise zu leiten. Die Regler 12a, 16a können jeweils dazu konfiguriert sein, eine Regelungsstrategie oder Regelungsroutine auf beliebige gewünschte Art und Weise zu implementieren.
Die Prozessanlage 10 kann zudem ein Sicherheitssystem 14 (anhand gepunkteter Linien angegeben) beinhalten, das mit den Prozessleitknoten 12 und 16 integriert ist. Das Sicherheitssystem 14 kann im Allgemeinen als Safety Instrumented System (SIS) arbeiten, um die Regelung, welche durch die Prozessleitknoten 12 und 16 bereitgestellt wird, zum Maximieren des wahrscheinlich sicheren Betriebs der Prozessanlage 10 zu überwachen und darin einzugreifen.
Jeder der Knoten 12 und 16 kann einen oder mehrere Sicherheitssystem-Logiklöser 50 beinhalten. Jeder der Logiklöser 50 ist eine E/A-Vorrichtung mit einem Prozessor und einem Speicher und dazu konfiguriert, in dem Speicher gespeicherte Sicherheitslogikmodule auszuführen. Jeder Logiklöser 50 ist kommunikativ gekoppelt, um Regelsignale an Sicherheitssystem-Feldgeräte 60 und 62 bereitzustellen und/oder Signale von diesen zu empfangen. Außerdem kann jeder Knoten 12 und 16 zumindest eine Mitteilungsverbreitungsvorrichtung (Message Propagation Device - MPD) 70 beinhalten, die über eine Ring- oder Busverbindung 74 (wovon in 1 nur ein Teil dargestellt ist) kommunikativ mit anderen MPDs 70 gekoppelt ist. Die Sicherheitssystem-Logiklöser 50, die Sicherheitssystem-Feldgeräte 60 und 62, die MPDs 70 und der Bus 74 bilden im Allgemeinen das Sicherheitssystem 14 von 1.
Bei den Logiklösern 50 in 1 kann es sich um jede beliebige Art von Sicherheitssystem-Regelvorrichtungen handeln, die einen Prozessor und einen Speicher beinhalten, der Sicherheitslogikmodule speichert, die dazu ausgelegt sind, in dem Prozessor ausgeführt zu werden, um eine mit dem Sicherheitssystem 14 verbundene Regelfunktionalität unter Verwendung der Feldgeräte 60, 62 bereitzustellen. Selbstverständlich kann es sich bei den Sicherheitsfeldgeräten 60 und 62 um jede beliebige Art von Feldgeräten handeln, die jedem beliebigen oder gewünschten Kommunikationsprotokoll, wie etwa den weiter oben erwähnten, entsprechen oder diese verwenden. Insbesondere kann es sich bei den Feldgeräten 60 und 62 um sicherheitstechnische Feldgeräte der Art handeln, die herkömmlicherweise durch ein separates, dediziertes sicherheitstechnisches Leitsystem geregelt werden. Bei der in 1 dargestellten Prozessanlage 10 sind die Sicherheitsfeldgeräte 60 so abgebildet, dass sie ein dediziertes oder Punkt-zu-Punkt-Kommunikationsprotokoll wie etwa das HART- oder das 4-20-mA-Protokoll verwenden, wohingegen die Sicherheitsfeldgeräte 62 der Darstellung nach ein Buskommunikationsprotokoll wie etwa ein Feldbus-Protokoll verwenden. Die Sicherheitsfeldgeräte 60 können jede beliebige Funktion ausführen, wie etwa jene eines Abschaltventils, eines Schalters zum Abschalten usw. Allerdings könnte es sich bei den Sicherheitssystem-Feldgeräten 60 und 62 auch um andere Arten von Vorrichtungen handeln, und sie könnten andere Arten von Kommunikationsprotokollen zum Kommunizieren mit den Logiklösern 50 verwenden, einschließlich jedes beliebigen drahtgebundenen oder drahtlosen Kommunikationsprotokolls.
Eine (nicht gezeigte) gemeinsame Rückwand kann in jedem der Knoten 12 und 16 verwendet werden, um die Regler 12a und 16a kommunikativ mit den Prozessleit-E/A-Karten 24, mit den Sicherheitslogiklösern 50 und mit den MPDs 70 zu koppeln. Die Regler 12a und 16a sind zudem kommunikativ mit dem Netzwerk 30 gekoppelt. Die Regler 12a und 16a, die E/A-Vorrichtungen 24, die Logiklöser 50, die MPDs 70 können über das Netzwerk 30 mit den Knoten 18 und 20 kommunizieren.
Wie es dem Durchschnittsfachmann ersichtlich sein wird, ermöglicht es die (nicht gezeigte) Rückwand in dem Knoten 12, 16, dass die Logiklöser 50 lokal miteinander kommunizieren, um durch diese Vorrichtungen implementierte Sicherheitsfunktionen zu koordinieren, um einander Daten zu kommunizieren und/oder um andere integrierte Funktionen auszuführen. Ähnlich dazu ermöglicht es die (nicht gezeigte) Rückwand in dem Knoten 16, dass die Logiklöser 50 lokal miteinander kommunizieren, um durch diese Vorrichtungen implementierte Sicherheitsfunktionen zu koordinieren, um einander Daten zu kommunizieren und/oder um andere integrierte Funktionen auszuführen. Andererseits ermöglichen es die MPDs 70 von ihrem Betrieb her, dass Teile des Sicherheitssystems 14, die an sehr unterschiedlichen Stellen der Anlage 10 angeordnet sind, dennoch miteinander kommunizieren, um einen koordinierten Sicherheitsbetrieb an unterschiedlichen Knoten der Prozessanlage 10 bereitzustellen. Insbesondere ermöglichen es die MPDs 70 gemeinsam mit dem Bus 74, dass die Logiklöser 50, die mit verschiedenen Knoten 12 und 16 der Prozessanlage 10 verbunden sind, kommunikativ zusammen kaskadiert werden, um die Kaskadierung sicherheitstechnischer Funktionen in der Prozessanlage 10 gemäß einer zugewiesenen Priorität zuzulassen. Die MPDs 70 und der Bus 74 stellen dem Sicherheitssystem eine Kommunikationsverknüpfung bereit, die eine Alternative zu dem Netzwerk 30 darstellt.
Alternativ können zwei oder mehr sicherheitstechnische Funktionen an verschiedenen Stellen in der Prozessanlage 10 wechselseitig verriegelt oder miteinander verknüpft werden, ohne dass eine dedizierte Leitung zu einzelnen Sicherheitsfeldgeräten in den separaten Bereichen oder Knoten der Anlage 10 durch die Verwendung der MPDs 70 und der Kommunikationsleitungen 74 gelegt werden muss. Anders formuliert, ermöglicht es die Verwendung der MPDs 70 und des Busses 74 einem Sicherheitstechniker, ein Sicherheitssystem 14 zu gestalten und zu konfigurieren, das vom Wesen her über die Prozessanlage 10 verteilt ist, bei dem jedoch verschiedene Komponenten davon kommunikativ miteinander verknüpft sind, um es zu ermöglichen, dass die disparate sicherheitstechnische Hardware je nach Bedarf miteinander kommuniziert. Dieses Merkmal stellt zudem eine Skalierbarkeit des Sicherheitssystems 14 bereit, da es ein Hinzufügen zusätzlicher Sicherheitslogiklöser zu dem Sicherheitssystem 14 ermöglicht, je nach dem, ob diese notwendig sind, oder, ob der Prozessanlage 10 neue Prozessleitknoten hinzugefügt werden. Es versteht sich, dass die Logiklöser 50 typischerweise die Steuerlogik beinhalten, die eine Sicherheitslogik implementiert, welche durch eine oder mehrere Ursache-Wirkungs-Tabellen (CEMs) definiert wird.
2 ist ein Blockdiagramm, das die Struktur einer beispielhaften Arbeitsstation 18a schematisch darstellt (die Arbeitsstation 20a kann die gleiche oder eine ähnliche Vorrichtung umfassen). Die Arbeitsstation 18a kann zumindest einen Prozessor 100, einen flüchtigen Speicher 104 und einen nichtflüchtigen Speicher 108 beinhalten. Zu dem flüchtigen Speicher 104 kann beispielsweise ein Direktzugriffsspeicher (Random Access Memory - RAM) zählen. In manchen Ausführungsformen kann der RAM durch eine oder mehrere Batterien überbrückt werden, damit im Falle eines Netzausfalls keine Daten verloren gehen. Zu dem nichtflüchtigen Speicher 108 können beispielsweise eines oder mehrere der Folgenden zählen: eine Festplatte, ein Festwertspeicher (Read-Only Memory - ROM), ein Compact-Disk-ROM (CD-ROM), ein programmierbarer ROM (PROM), ein löschbarer programmierbarer ROM (EPROM), ein elektrisch löschbarer programmierbarer ROM (EEPROM), eine Digital Versatile Disk (DVD), ein Flash-Speicher usw. Die Arbeitsstation 18a kann auch eine Arbeitsstation-E/A-Vorrichtung 112 beinhalten. Der Prozessor 100, der flüchtige Speicher 104, der nichtflüchtige Speicher 108 und die Arbeitsstation-E/A-Vorrichtung 112 können über einen Adress-/Datenbus 116 vernetzt werden. Die Arbeitsstation 18a kann auch zumindest eine Anzeigevorrichtung 120 und zumindest eine Benutzereingabevorrichtung 124 beinhalten, bei der es sich beispielsweise um eines oder mehrere von einer Tastatur, einem Tastenfeld, einer Maus, einer Rollkugel, einem berührungsempfindlichen Bildschirm, einem Lichtgriffel usw. handeln kann. In manchen Ausführungsformen können eines oder mehrere von dem flüchtigen Speicher 104, nichtflüchtigen Speicher 108 und der Arbeitsstation-E/A-Vorrichtung 112 über einen Bus, der von dem Adress-/Datenbus 116 (nicht gezeigt) getrennt ist, mit dem Prozessor 100 gekoppelt sein oder direkt mit dem Prozessor 100 gekoppelt sein.
Die Anzeigevorrichtung 120 und die Benutzereingabevorrichtung 124 sind mit der Arbeitsstation-E/A-Vorrichtung 112 gekoppelt. Zudem ist die Arbeitsstation 18a über die Arbeitsstation-E/A-Vorrichtung 112 mit dem Netzwerk 30 gekoppelt. In 2 ist die Arbeitsstation-E/A-Vorrichtung 112 zwar als eine Vorrichtung dargestellt, doch kann sie mehrere Vorrichtungen umfassen. Außerdem können in manchen Ausführungsformen eine oder mehrere von der Anzeigevorrichtung 120 und der Benutzereingabevorrichtung 124 direkt mit dem Adress-/Datenbus 116 oder dem Prozessor 100 gekoppelt sein.
Eine Prozessleitkonfigurationsanwendung 19, nun unter Bezug auf 1 und 2, die mit einem oder mehreren der Regelknoten 12, 16 verbunden ist, kann in einer oder mehreren Arbeitsstationen 18a und 20a gespeichert und davon ausgeführt werden. Beispielsweise könnte die Prozessleitkonfigurationsanwendung 19 in dem nichtflüchtigen Speicher 108 und/oder dem flüchtigen Speicher 104 gespeichert und von dem Prozessor 100 ausgeführt werden. Dabei könnte diese Anwendung, so gewünscht, auch in anderen Computern, die mit der Prozessanlage 10 verbunden sind, gespeichert und davon ausgeführt werden. Allgemein gesprochen, gestattet es die Prozessleitkonfigurationsanwendung 19 einem Programmierer, Regelungstechniker oder anderem Personal, Regelroutinen, Regelmodule, Funktionsblöcke, Programme, Logik usw. zu erstellen und zu konfigurieren, welche durch die Regler 12a, 16a, E/A-Vorrichtungen 24 und/oder die Feldgeräte 22, 23 implementiert werden sollen. Diese Regelroutinen, Regelmodule, Funktionsblöcke, Programme, Logik usw. können dann über das Netzwerk 30 auf geeignete von den Reglern 12a, 16a, E/A-Vorrichtungen 24 und/oder Feldgeräten 22, 23 heruntergeladen werden.
Ähnlich dazu kann die mit dem Sicherheitssystem 14 verbundene Sicherheitssystemkonfigurationsanwendung 21 in einer oder mehreren Arbeitsstationen 18a und 20a gespeichert und davon ausgeführt werden. Beispielsweise könnte die Sicherheitssystemkonfigurationsanwendung 21 in dem nichtflüchtigen Speicher 108 und/oder dem flüchtigen Speicher 104 gespeichert und von dem Prozessor 100 ausgeführt werden. Dabei könnte diese Anwendung, so gewünscht, auch in anderen Computern, die mit der Prozessanlage 10 verbunden sind, gespeichert und davon ausgeführt werden. Allgemein gesprochen, gestattet es die Sicherheitssystemkonfigurationsanwendung einem Programmierer, Sicherheitstechniker oder anderem Personal, sicherheitstechnische Regelroutinen, Sicherheitslogikmodule, Funktionsblöcke, Programme, Logik usw. zu erstellen und zu konfigurieren, welche durch die Logiklöser 50 und/oder die Vorrichtungen 60, 62 implementiert werden sollen. Diese Regelroutinen, Sicherheitsmodule, Funktionsblöcke, Programme, Logik usw. können dann über das Netzwerk 30 auf geeignete von den Reglern 12a, 16a, Logiklösern 50 und/oder Feldgeräten 60, 62 heruntergeladen werden.
Sicherheitssysteme sind typischerweise in einer oder mehreren Sprachen programmiert, welche vom Standard 61131-3 der International Electrotechnical Commission (IEC) definiert sind, und in manchen Fällen kann die Sicherheitslogik aus einer Reihe vernetzter Funktionsblöcke oder anderer Routinen bestehen. Unabhängig von der Programmiersprache bildet normalerweise ein Dokument mit Ausführungen den Ausgangspunkt, in dem die Anforderungen für die Regelungs- und/oder Sicherheitsmaßnahmen spezifiziert werden. Im Falle von Sicherheitssystemen sind die Sicherheitsanforderungen in der Spezifikation der Sicherheitsanforderungen (Safety Requirement Specification - SRS) festgehalten. Die SRS, die nachfolgend ausführlicher beschrieben wird, kann Logikbeschreibungen bereitstellen, die entweder mittels Klartext, Logikdiagrammen oder Ursache-Wirkungs-Diagrammen (auch als Ursache-Wirkungs-Tabellen bezeichnet) repräsentiert werden könnten. Eine Ursache-Wirkungs-Tabelle (CEM) ist eine Übersicht der durch das Sicherheitssystem bereitgestellten Sicherheitsmaßnahmen in einer einfachen visuellen Darstellung. Somit definiert eine CEM die grundlegenden Ursache-Wirkungs-Zusammenhänge, welche von der Sicherheitslogik implementiert werden, und sie bildet die Grundlage für die Konfiguration von Sicherheitslogik.
3 stellt eine beispielhafte Repräsentation einer CEM 300 dar, die anhand jeder beliebigen Art von Anzeigevorrichtung anzeigbar sein kann. Insbesondere kann die Anzeigevorrichtung Teil einer mit der Sicherheitskonfigurationsanwendung 21 verbundenen Benutzerschnittstelle sein, und die Anzeige kann einem Programmierer oder Administrator präsentiert werden, beispielsweise über die Anzeigevorrichtung 120 der Arbeitsstation 18a. Die beispielhafte CEM 300, die in herkömmlichen Prozessleitsystemen genutzt werden kann, enthält eine Vielzahl Ursachen und eine Vielzahl Wirkungen. Die Ursachen der CEM werden im Allgemeinen von der Spezifikation der Sicherheitsanforderungen definiert und stehen mit den Bedingungen in Zusammenhang, welche durch die oder an den Logiklöser(n) 50, Feldgerät(en) 22, 23, 60 und 62 usw. in der gesamten Prozessanlage 10 angezeigt, gemessen oder erkannt werden. Eine in der CEM 300 definierte jeweils andere Ursache C1, C2 usw. ist mit jeder Zeile der CEM 300 verbunden. Eine Ursache kann beispielsweise sein, dass ein Sensor anzeigt, dass die Temperatur eines bestimmten Bereichs der Anlage einen sicheren oder vorgegebenen Bereich über- oder unterschreitet.
Wenn eine Bedingung eintritt, die einer Ursache entspricht, dann kann eine Wirkung ausgelöst werden, wobei eine Wirkung eine in der Anlage auszuführende Maßnahme sein kann. Eine jeweils andere Wirkung, E1, E2 usw., der CEM 300 ist für jede Spalte der CEM 300 definiert und damit verbunden. Beispielsweise kann eine Wirkung der CEM 300 (bspw. E3) mit einer in der Anlage auszuführenden Sicherheitsmaßnahme zusammenhängen, wie etwa dem Schließen eines Ventils, dem Schlagen eines Alarms usw. Wird eine bestimmte Ursache (bspw. C2 oder C6) eine bestimmte Wirkung (E3) auslöst, dann liegt ein entsprechendes Ursache-Wirkungs-Paar oder ein entsprechender Ursache-Wirkungs-Zusammenhang vor.
In der CEM 300 sind die Ursache-Wirkungs-Zusammenhänge mit einem „X“ in jeder Zelle gekennzeichnet, was darauf hinweist, dass die mit der Spalte der Zelle verbundene Wirkung von der Ursache, die mit der Zeile der Zelle verbunden ist, ausgelöst wird. Diese Zusammenhänge können hier als Ursache-Wirkungs-Paare bezeichnet werden. In alternativen Umsetzungen können die Zellen durch diverse „Auslöser“ befüllt sein, welche genauer angeben, wie die verbundene Ursache und Wirkung zusammenhängen können. Die Auslöser können beispielsweise die Form eines „X“ annehmen, was darauf hinweist, dass die Wirkung sofort aktiviert werden wird, wenn die Ursache empfangen wird; eines „T“, das bedeutet, dass die Wirkung mit einer Zeitverzögerung aktiviert werden wird, wenn die Ursache empfangen wird; eines „P“, das darauf hinweist, dass die Wirkung zulassend sein wird, wenn die Ursache empfangen wird, usw. Ferner kann eine leere Zelle darauf hinweisen, dass ein bestimmtes Ursache/Wirkungs-Paar in der Tabelle aktuell keinen Zusammenhang aufweist und somit in der Anlage nicht aktiv sein kann (sprich, dass das Eintreten der Ursache keinen auslösenden Zusammenhang mit der Wirkung hat).
Die beispielhafte CEM 300 ist eine 7 x 7-Tabelle, die kleiner als eine typische Ursache-Wirkungs-Tabelle einer Prozessanlage sein kann, die zur Veranschaulichung jedoch in einfacher Form gezeigt ist. Die beispielhafte CEM 300 beinhaltet 10 Ursache/Wirkungs-Zusammenhänge, die in jedem Satz entsprechender Zellen mit einem „X“ gekennzeichnet sind. Zum Beispiel ist für die Ursache 2 (U2) ein „X“ in jeder Zelle eingetragen, die den Wirkungen 3, 4 bzw. 5 (W3, W4 bzw. W5) entspricht. Wenn das verbundene Ereignis von Ursache 2 (U2) eintritt, können die jeweiligen Maßnahmen der Wirkungen 3, 4 und 5 (W3, W4 und W5) in der Prozessanlage durch Sicherheitslogikmodule in der Anlage ausgelöst werden. In manchen Ausführungsformen jedoch kann es jede dieser Wirkungen 3, 4 und 5 auch erfordern, dass andere verbundene Ursachen eintreten, bevor sie ausgelöst werden. Beispielsweise kann es die Wirkung 4 je nach der im System verwendeten Logik erfordern, dass eine oder mehrere der Ursachen 2, 3, 4 und/oder 5 aktiviert werden, bevor die Wirkung 4 ausgelöst wird (sprich, weil bei der Wirkung 4 für jede der Ursachen 2, 3, 4 und 5 ein „X“ eingetragen ist). Daher kann die durch eine CEM definierte Logik auf einer „ODER“-Logik beruhen (sprich, das Eintreten irgendeiner Ursache in der Wirkungsspalte wird die Initiation der Wirkung ergeben), oder sie kann auf einer „UND“-Logik beruhen (sprich, jede Ursache in der Wirkungsspalte muss vorliegen, bevor die Wirkung durch die Sicherheitslogik ausgelöst wird).
In einer anderen Ausführungsform können Wirkungen (wie etwa die Wirkung 4) je nachdem, welche Ursachen eintreten, verschiedenartig ausgelöst werden. Wenn beispielsweise eine verbundene Ursache auftritt, kann eine Wirkung (wie etwa die Wirkung 4) verzögert ausgelöst werden, wohingegen eine Wirkung (wie etwa die Wirkung 4) sofort ausgelöst werden kann, wenn zwei oder mehr verbundene Ursachen eintreten. Ferner können manche verbundene Ursachen einen automatischen Auslöser aktivieren, wohingegen andere Ursachen einen verzögerten Auslöser für eine Wirkung, wie etwa die Wirkung 4, aktivieren können. Ferner können manche verbundene Ursachen eine Wirkung unabhängig von den anderen verbundenen Ursachen auslösen, wohingegen andere verbundene Ursachen eine Wirkung erst dann auslösen können, wenn sie in Kombination mit einer oder mehreren anderen Ursachen vorliegen. Die bereitgestellten Beispiele sind nicht als einschränkend gedacht, und jede beliebige Kombination aus Logik und/oder Verzögerungen kann anhand entsprechender Ursache-Wirkungs-Paare implementiert werden.
Wie noch ausführlicher erläutert werden wird, kann die durch eine CEM definierte Logik in mehrere Logiksätze oder -gruppen untergegliedert werden, die an Teilsätzen der durch eine CEM definierten Ursachen und Wirkungen implementiert werden können, und diese unterschiedlichen Logikteilsätze können durch bestimmte Funktionsblöcke in einer Sicherheitslogikimplementierung implementiert werden. Beispielsweise können die Funktionsblöcke verwendet werden, um die Logik zu implementieren, welche durch ausgewählte Logikblöcke 305 und 310, dargestellt in der CEM 300, definiert wird. In diesem Falle würde der Logikblock 305 zwei Ursacheneingaben (U2 und U3) beinhalten, und er würde drei Wirkungsausgaben (W3, W4 und W5) entsprechen. In diesem Ausführungsbeispiel werden die Logikteilsätze, die durch die Logikblöcke 305 und 310 zu implementieren sind, einfach dadurch Erkennen von Gruppierungen befüllter Zellen in der CEM 300 identifiziert. Hier enthalten die Logikblöcke 305 und 310, obwohl sie nur 12 der 49 Zellen der CEM 300 abdecken, den Großteil der wichtigen Informationen (Ursache/Wirkungs-Zusammenhänge), die von der CEM 300 angegeben werden. In anderen Ausführungsformen können die Logikblöcke 305 und 310 vergrößert werden und/oder eine weitere Logikblocklogik kann hinzugefügt oder so identifiziert werden, dass sie die übrigen befüllten Zellen der CEM 300 beinhaltet, die nicht in den Logikblöcken 305 und 310 beinhaltet sind. Wie nachfolgend ausführlicher erläutert, kann eine CEM umgeordnet werden, um befüllte Zellen besser oder effizienter zu gruppieren, um dadurch das Identifizieren von Logikblöcken zu erleichtern und dann Funktionsblöcke zu erstellen. Diese Gruppierung scheint angesichts der CEM 300 zwar eine banale Übung zu sein, doch ist es für einen Menschen möglicherweise nahezu unmöglich, effizient Muster in CEMs mit Hunderten (oder Tausenden) Zellen zu identifizieren.
In herkömmlichen Systemen werden CEMs durch Zustandsmaschinen-Funktionsblöcke repräsentiert, in denen die Ursachen Eingaben und die Wirkungen Ausgaben sind. Typischerweise wird ein Zustandsmaschinen-Funktionsblock für jede Wirkung in der CEM erstellt. Infolgedessen ist die Verwendung von Zustandsmaschinen-Funktionsblöcken durch deren festgelegte Größe begrenzt, weshalb ihre Anzahl stark ansteigen kann. Anders als herkömmliche Systeme organisiert das vorliegende System eine CEM jedoch in zwei Arten von Funktionsblöcken, konkret in Überwachungsblöcke und Wirkungsblöcke, was dazu dient, die Komplexität der Logik zu verringern und die Optimierung von Logikimplementierungen in einem Sicherheitssystem zu steigern, wenn eine komplexe oder umfangreiche CEM implementiert wird.
Insbesondere lassen sich durch das Verwenden separater Überwachungsblöcke und Wirkungsblöcke zum Implementieren beliebiger Logikmuster oder -gruppen, die in einer entsprechenden CEM definiert sind, die Nachteile herkömmlicher Systeme beheben, indem die Ursachen und die Wirkungen in zwei verschiedene Kategorien von Blöcken getrennt werden. Im Allgemeinen handelt es sich bei Überwachungsblöcken (ÜB) um abstrakte Repräsentationen von Ursachen, und bei Wirkungsblöcken (WB) handelt es sich um abstrakte Repräsentationen von Wirkungen. Somit kann das System eine umfangreiche CEM, und die Ursachen und Wirkungen davon, durch einen oder mehrere Überwachungsblöcke repräsentieren, die mit einem oder mehreren Wirkungsblöcken verknüpft oder anderweitig verbunden sind. Beispielsweise können die Ausgaben eines Satzes Überwachungsblöcke als Eingaben in einen oder mehrere Wirkungsblöcke dienen, und dementsprechend können die Eingaben jedes Wirkungsblocks als Ausgaben von einem oder mehreren Überwachungsblöcken entstehen. In einer Ausführungsform kann eine Ausgabe eines Überwachungsblocks alternativ oder zusätzlich als Eingabe in einen oder mehrere andere Überwachungsblöcke dienen. Infolgedessen können Überwachungsblöcke und/oder Wirkungsblöcke je nach Bedarf verkettet, verschachtelt, geschichtet und/oder abgeglichen sein, um eine gewünschte CEM-Logik optimal zu implementieren. Darüber hinaus ermöglicht das Repräsentieren (und Implementieren) einer CEM als eine Vielzahl von ÜB und WB eine leichtere Implementierung und Pflege von Sicherheitssystemen und lässt ferner ein leichtes Repräsentieren und Konfigurieren komplexer CEM-Zusammenhänge zu.
Das Erstellen separater Überwachungsblöcke und Wirkungsblöcke geht mit vielen Vorteilen einher. Insbesondere kann die Größe der ÜB und WB bedarfsweise eingestellt werden, was zu einer zügigeren und einfacheren Implementierung führt, die weniger fehleranfällig ist. Zudem sind Testen und Fehlerdiagnose (oder im Allgemeinen die Nachkonstruktion) der Regelung oder des Sicherheitssystems unter Verwendung dieser ÜB und WB mit geringerer Größe als Funktionsblöcke zum Implementieren von CEM-Logik aufgrund der transparenten Wiedergabe der kausalen Zusammenhänge leichter. Ferner kann eine umfangreiche CEM in Logikblöcke mit leichter zu handhabender Größe aufgegliedert werden. Ferner lassen sich komplexe Ursache-Wirkungs-Zusammenhänge leichter repräsentieren, indem separate ÜB und WB verwendet werden. Beispielsweise können eine Schichtung, Schleifenbildung, Verschachtelung, Verkettung usw. allesamt unter Verwendung separater Überwachungs- und Wirkungsblöcke wiedergegeben werden.
4 ist eine schematische Darstellung 400 eines Satzes vernetzter Überwachungsblöcke und Wirkungsblöcke. Der Satz Überwachungsblöcke und Wirkungsblöcke in 4 beinhaltet (implementiert) die Gesamtheit der Informationen oder Logik, welche in der CEM 300 in 3 bereitgestellt oder dadurch definiert wird. Hier entsprechen die Überwachungsblöcke 405 und 410 allgemein den Ursachen (U2-U5) der Logikblöcke 305 und 310, wohingegen die Wirkungsblöcke 415 und 420 allgemein den Wirkungen (W3, W4, W5, W6) der Logikblöcke 305 und 310 entsprechen oder damit verbunden sind. Beispielsweise beinhaltet der Überwachungsblock 1 (ÜB1) 405 die Ursache 2 und die Ursache 3 der CEM 300 als Eingaben. Allerdings entsprechen die Ausgaben von ÜB 1 405 nicht direkt den Wirkungen 3, 4 und 5 der CEM 300 (wie bei Logikblock 305 der Fall). Im Gegensatz zu den Zustandsmaschinen, die normalerweise erstellt werden würden, um die Logik der Logikblöcke 305 und 310 zu implementieren, welche direkte Ursache-Wirkungs-Zusammenhänge implementieren, können Überwachungsblöcke Eingaben (wie etwa Ursachen und Ausgaben von anderen Überwachungsblöcken) und Ausgaben (die an andere Überwachungsblöcke oder die Wirkungsblöcke gesendet werden können) beinhalten, die jedoch nicht direkt Wirkungen entsprechen. Beispielsweise werden die Ausgaben von ÜB1 405 an verschiedene andere Überwachungs- und Wirkungsblöcke in dem Satz 400 gesendet. Insbesondere wird eine Ausgabe 401 des Überwachungsblocks ÜB1 (405) an einen Wirkungsblock 1 (WB1) 415 gesendet, eine Ausgabe 402 des Überwachungsblocks ÜB1 wird an einen Überwachungsblock 2 (ÜB2) 410 gesendet, und eine Ausgabe 403 des Überwachungsblocks ÜB 1 wird an einen Wirkungsblock 2 (WB2) 420 gesendet.
Die Ausgaben der ÜB stellen im Allgemeinen Informationen bezüglich der entsprechenden Eingaben bereit. Beispielsweise stellt die Ausgabe 401 Informationen bezüglich der Ursache 2 bereit (das „X“ in der entsprechenden Zelle von ÜB 1 405 kennzeichnet diesen Zusammenhang). Ähnlich dazu stellt die Ausgabe 402 Informationen bereit, welche die Ursache 2 und/oder die Ursache 3 betreffen. Beispielsweise könnte die Ausgabe 402 hoch sein (eine logische), wenn eine der Ursachen U2 oder U3 vorliegt (bspw. logisch richtig ist), oder die Ausgabe 402 könnte nur dann hoch sein, wenn sowohl die Ursache U2 als auch die Ursache U3 vorliegt. Selbstverständlich könnten in Bezug auf die Ursachen U2 und U3 auch andere logische Operationen, wie etwa Kontravalenz usw., durchgeführt werden, um die Ausgabe 402 zu bestimmen. Auf ähnliche Weise stellt eine Ausgabe 411 des ÜB2 410 Informationen bezüglich der drei Eingaben (Ausgabe 402 von ÜB1 405, Ursache 4 und Ursache 5) bereit. Anders formuliert, stellt die Ausgabe 411 Informationen bezüglich der Ursachen 2 und 3 (wie durch die Logik definiert, welche die Ausgabe 402 des Ursachenblocks ÜB 1 erzeugte) und der Ursachen 4 und 5 bereit.
Der Wirkungsblock 1 (WB1) 415, nun in Bezug auf die Wirkungsblöcke 415 und 420, empfängt zwei Eingaben, konkret die Eingabe 401 von dem Überwachungsblock ÜB1 (die vom Zustand von Ursache 2 abhängig ist), und die Ursache 6 (welche der Ursache 6 aus der CEM 300 entspricht). Der Wirkungsblock WB1 (415) entspricht nur einer Wirkung, und zwar Wirkung 3. Daher korreliert der Wirkungsblock WB1 (415), wie die CEM 300, die Ursachen 2 und 6, um die Wirkung 3 zu erstellen, bei der es sich um die Ausgabe des Wirkungsblocks WB1 (415) handelt. Es versteht sich, dass der Wirkungsblock WB1 (415) jede beliebige(n) gewünschte(n) Logik und Verzögerungen auf Grundlage des Zustands der Ausgabe 401 (die wiederum mit dem Zustand der Wirkung 2 zusammenhängt) und des Zustands der Ursache 6 (U6) implementieren kann.
Gleichermaßen entspricht der Wirkungsblock WB2 (420) der Logik, welche die Zustände der Wirkungen 4, 5 und 6 der CEM 300 erstellt oder definiert - oder er implementiert diese. Durch Zurückverfolgen der Eingaben des Wirkungsblocks WB2 (420) zu den entsprechenden Überwachungsblöcken lässt sich erkennen, dass die Ursache-Wirkungs-Zusammenhänge im Falle der Wirkungen 4, 5 und 6 der CEM 300 durch den Wirkungsblock WB2 (420) bewirkt werden. Insbesondere empfängt der Wirkungsblock WB2 420 eine Ausgabe 411, welche auf den in den Überwachungsblock ÜB2 eingegebenen Ursachen 4 und 5 beruht und welche auf der Ausgabe 402 des Überwachungsblocks ÜB 1 beruht. Damit weist die Ausgabe 411 einen Wert oder Zustand auf, der aus den Ursachen 2, 3, 4 und 5 abgeleitet ist und der verwendet wird, um die Wirkung 4 in dem Wirkungsblock WB2 auszulösen. Zudem empfängt der Wirkungsblock WB2 die Ausgaben 403 und 412, welche durch die Ursachen 2 und 4 logisch definiert sind und welche in einem logischen Ausdruck verwendet werden, um die Wirkung 5 auszulösen. Ferner empfängt der Wirkungsblock WB2 die Ausgabe 413, die einem logischen Wert auf Grundlage der Ursachen 4 und 5 entspricht oder als dieser definiert ist, und verwendet die Ausgabe 413, um die Wirkung 6 auszulösen. Der Satz Überwachungs- und Wirkungsblöcke 400 in 4 beinhaltet seinerseits sämtliche Zusammenhangsinformationen (und Logik), die zuvor in der CEM 300 in 3 bereitgestellt oder dafür definiert wurden. Wenngleich die Vorteile, welche das Zerlegen der CEM 300 in den Satz Überwachungs- und Wirkungsblöcke 400 verschafft, in diesem Beispiel eventuell nicht deutlich sind, treten die Vorteile deutlicher hervor, wenn umfangreichere CEMs zerlegt werden. Es ist zu beachten, dass der Satz Überwachungs- und Wirkungsblöcke 400, wie er in 4 abgebildet ist, nur als Beispiel gemeint ist, und dass Überwachungsblöcke und Wirkungsblöcke in zahllosen Größen und Konfigurationen erstellt und organisiert werden können, um eine durch eine CEM definierte Logik zu implementieren.
5 ist ein Beispiel einer Darstellung eines Konfigurationsbildschirms 500, der anhand einer Anzeigevorrichtung angezeigt werden kann und der einen Satz Überwachungs- und Wirkungsfunktionsblöcke repräsentiert oder abbildet, welche eine Logik einer CEM oder einen Teil einer CEM implementieren. Der Konfigurationsbildschirm 500 ist für eine detailliertere Funktionsblockimplementierung der Überwachungs- und Wirkungsblöcke repräsentativ, im Gegensatz zu dem Satz Überwachungs- und Wirkungsblöcke 400, die als schematische Repräsentation der mit den Überwachungs- und Wirkungsblöcken verbundenen Logik gedacht sind. Im Beispiel von 5 beinhaltet der Konfigurationsbildschirm 500 Eingaben (die Ursachen 508, die Ursachenmaske 512 und die Logikart 506), einen Überwachungsblock 502, der dem Überwachungsblock ÜB1 (405) in 4 entspricht, und einen Wirkungsblock 504, welcher dem Wirkungsblock WB1 (415) in 4 entspricht.
Der Überwachungsblock 502 empfängt vier Eingaben (EIN_D1 und EIN_D2, EIN_MASKE und LOGIK_ART), die jeweils zwei Ursachen 508, einer Ursachenmaskeneingabe 512 und einer Logikart 506 entsprechen. Die Logikart 506 definiert, welche Art Logik im aktuellen Überwachungs- und Wirkungsblock-Satz implementiert wird. In einer Ausführungsform kann die Logikart positiv oder negativ sein. Eine positive Logik kann darauf hinweisen, dass alle Ursachen anfänglich im „Falsch“-Zustand beginnen und, wenn sie ausgelöst werden, „Richtig“ werden. Wenn eine oder mehrere Ursachen „Richtig“ sind, kann die entsprechende Ausgabe „Richtig“ lauten. Ein entsprechender Wirkungsblock kann seinerseits eine oder mehrere „Richtig“-Eingaben empfangen, was den Status des Wirkungsblocks anheben und/oder den Wirkungsblock auslösen kann. Die negative Logik kann ähnlich sein, dabei beginnen die Ursachen jedoch anfänglich als „Richtig“ und werden auf „Falsch“ gesetzt, wenn die Ursache eintritt. Die beispielhafte Logik ist nicht als einschränkend gedacht, und die Logikart 506 kann auch eine „UND“-Logik, „ODER“-Logik oder jedwede sonstige Logik beinhalten, die beim Implementieren der Überwachungs- und Wirkungsblöcke hilfreich sein kann.
Die Ursachenmaskeneingabe 512 kann einen Anfangsparameter zum Filtern von Ursachen 508, die durch den Überwachungsblock 502 empfangen werden, repräsentieren. Der Überwachungsblock 502 beinhaltet auch drei Konfigurationsmasken KFG_MASKE 1, KFG_MASKE 2 und KFG_MASKE 3 510, die zum Konfigurieren des Überwachungsblocks 502 verwendet werden, wobei jede Maske repräsentiert, welche Ursachen welcher Ausgabe, und, in manchen Fällen, der Logik entsprechen, die verwendet wird, um die Ausgabe von den nicht maskierten Eingaben ausgehend zu erzeugen. Die Konfigurationsmasken 510 können numerische Repräsentationen sein, die aus den CEM abgeleitet sind, wie nachfolgend ausführlicher beschrieben.
Der Überwachungsblock 502 beinhaltet auch fünf Ausgaben (AUS_D1 bis AUS_D3 514, ROH_VAL 516 und MASKE_VAL 518), wobei eine der Ausgaben 514 (AUS_D1) als Eingabe in den Wirkungsblock 504 dient (wie in der Konfiguration in 4 identifiziert). Die Rohwerte 516 können die empfangenen Werte der Ursachen 508 einfach ausgeben, wohingegen die maskierten Werte 518 die Werte der Ursachen 508 nach Anwenden der Ursachenmaske 512 ausgeben können. Ferner entsprechen AUS_D1 bis AUS_D3 den Ausgaben 401-403 von ÜB1 405 in 4. Die Konfigurationsmasken 510 geben an, welche Ursachen der jeweiligen Ausgabe entsprechen. Beispielsweise ist die KFG_MASKE1 (von den Konfigurationsmasken 510) auf ,A' gesetzt, was darauf hinweisen kann, dass nur die Ursache 2 (von den Ursachen 508) der AUS_D1 (von den Ausgaben 514) entspricht. Ferner ist die KFG_MASKE2 (von den Konfigurationsmasken 510) auf ,B' gesetzt, was darauf hinweisen kann, dass sowohl die Ursache 2 als auch die Ursache 3 (von den Ursachen 508) der AUS_D2 (von den Ausgaben 514) entspricht. Ferner können die Konfigurationsmasken 510 in manchen Fällen numerische Ausdrücke wie etwa hexadezimale Zahlen sein, die repräsentieren, welche Überwachungsblockeingaben eine jeweilige Überwachungsblockausgabe und/oder die tatsächliche Logik antreiben oder bewirken, die verwendet wird, um die Blockausgabe von den Blockeingaben ausgehend zu erzeugen.
Wie in 5 dargestellt, kann der Wirkungsblock 504 vier Eingaben (EIN_D1 und EIN_D2 520, eine Zurücksetzung 522 und LOGIK_ART 506) und zwei Ausgaben (Zustand 526 und AUS_D 524) beinhalten. Zu den Eingaben 520 des Wirkungsblocks 504 zählen eine Ausgabe 514 des Überwachungsblocks 502 und auch die Ursache 6 der CEM 300 von 3. Der Zustand 526 des Wirkungsblocks 504 kann dem Betriebszustand der Vorrichtung entsprechen, die dem Wirkungsblock 504 entspricht. Anders formuliert: wenn keine entsprechenden „Richtig“-Ursachen empfangen wurden, dann kann der Zustand 526 normal sein. Wenn allerdings eine oder mehrere der Ursachen auf den „Richtig“-Wert gesetzt sind, beispielsweise empfangen wurden, kann sich der Zustand ändern, um den neuen Status (bspw. „Warnung“, „Gefahr“, „ausgelöst“) anzugeben. Die zurückgesetzte Eingabe 522 kann es einem Benutzer ermöglichen, den Zustand des Wirkungsblocks 504 automatisch auf normal zurückzusetzen, sobald die notwendigen Maßnahmen ausgeführt worden sind, wenn sich der Wirkungsblock 504 in einem nicht normalen Zustand befindet. Selbstverständlich können einem Wirkungsblock auch andere zustandsändernde Eingaben bereitgestellt werden, wie etwa eine Zulassungszurücksetzung (bspw. bei einer Zustandsänderung einer Ursacheneingabe oder einer Überwachungsblockeingabe usw.). Ferner kann es sich bei der Ausgabe, AUS_D, die in diesem Fall der Wirkung 3 der CEM 300 entspricht, um die ausgelöste Reaktion handeln, wenn eine oder mehrere der empfangenen Eingaben 520 „Richtig“ sind, da die Logikart 506 in diesem Falle auf positiv gesetzt ist.
Zum Beispiel stellt 5 den Zustand jeder von AUS_D1 (des Blocks 502), EIN_D2 und AUS_D (des Blocks 504) dar, wenn die Eingaben der Ursachen 2 und Ursache 3 „Falsch“ sind und die Logikart beider Blöcke 502 und 504 auf positiv gesetzt ist. Sollte nun die Ursache 2 (von den Ursachen 508) in der Prozessanlage eintreten, so kann sich der Status der Ursache 2 von „falsch“ auf „richtig“ ändern. Daher würde ÜB1 502 die Eingabe EIN_D1 als richtig empfangen. Die entsprechenden Ausgaben AUS_1 würden sich dann auf Grundlage der positiven Logikart bei der Logik_Art-Eingabe und der Konfigurationsmaske für AUS_D1 (Ausgabe 1), d. h., KFG_MASKE1, ebenfalls auf richtig ändern. Nachdem die Konfigurationsmasken 510 angewendet wurden, treibt in diesem Beispiel EIN_D1 den Wert jeder der Ausgaben (AUS_D1 bis AUS_D3) 514 an oder bewirkt diesen. Insbesondere kann AUS_D1 auf Grundlage dessen auf „richtig“ gesetzt werden, dass EIN_D1 auf „richtig“ gesetzt ist. Demnach würde WB 1 504 dann zumindest eine „Richtig“-Eingabe (EIN_D1) empfangen. Infolgedessen würde sich der Zustand 526 von WB 1 504 auf „ausgelöst“ ändern, und die Ausgabe 524 AUS_D des Wirkungsblocks 504 würde auf „Richtig“ gesetzt werden, was bedeutet, dass die Wirkung 3 in 4 ausgelöst oder „Richtig“ wäre. Demzufolge wurde die Wirkung ausgelöst, und in der Prozessleitanlage kann jede beliebige entsprechende Maßnahme und/oder jeder beliebige entsprechende Alarm ausgelöst werden.
6 ist ein anderes Beispiel einer Darstellung eines Konfigurationsbildschirms 600, der anhand einer Anzeigevorrichtung angezeigt werden und eine Konfiguration von Überwachungs- und Wirkungsblöcken repräsentieren kann. Im Beispiel von 6 ist das Hauptaugenmerk auf den Überwachungsblock ÜB2 und den Wirkungsblock WB2 aus 4 gelegt. Der Veranschaulichung halber ist die Logikart 606 auf negativ gesetzt, was bedeutet, dass von den Ursachen alle „richtig“ sind, wenn der Zustand normal ist. Wenn im Falle der negativen Logikart eine oder mehrere Eingaben eintreten, so wechselt der Status auf „falsch“, die entsprechenden Ausgaben des Überwachungsblocks können auf „Falsch“ gesetzt werden, was der Wirkungsblock empfangen kann, der daraufhin die Wirkungen auslösen kann, was die Wirkung auf „richtig“ setzt.
Ferner beinhaltet der Wirkungsblock WB 604 Zeitverzögerungseingaben 608. In diesem Falle kann die Eingabe 1 (EIN_D1) des Wirkungsblocks 604 verursachen, dass die Ausgabe, AUS_D, mit einer Verzögerung (VERZÖGERUGSZEIT1) von 20 Sekunden ausgelöst wird, weil „20“ die Eingabe in die Verzögerungszeit-1-Eingabe des Wirkungsblocks 604 ist. Allerdings kann die Eingabe 2 (EIN_D2) dieses Beispiels verursachen, dass die Ausgabe (AUS_D) sofort ausgelöst wird, weil die Zeitverzögerung (ZEITVERZÖGERUNG2) auf Null gesetzt ist. Dieses Beispiel ist nicht als einschränkend gedacht, und für einen jeweiligen Wirkungsblock kann eine beliebige Anzahl von Verzögerungen und können beliebige Verzögerungszeiten eingestellt werden.
Sollte zum Beispiel die Ursache 4 eintreten, dann würde sich der Status der Ursache 4 (und demzufolge EIN_D2) auf „falsch“ ändern. Erneut unter Hinzunahme von 4 lässt sich erkennen, dass die Ursache 4 jeder der Ausgaben 411-413 des Überwachungsblocks 410 entspricht oder diese bewirkt. Daher kann die Ursache 4 (und EIN_D2) in diesem Beispiel alle der Ausgaben (AUS_D1 bis AUS_D3) von ÜB2 gemäß der Logik antreiben oder bewirken, welche durch die Konfigurationsmasken des Überwachungsblocks 602 implementiert werden. Insbesondere kann AUS_D1 von ÜB2 602 auf „Falsch“ gesetzt werden. In_D2 von EB2 604 wird ihrerseits als „Falsch“ empfangen. Daher können die entsprechenden Wirkungen von EB2 604 sofort ausgelöst werden, da die Zeitverzögerung (ZEITVERZÖGERUNG2), die EIN_D2 von WB2 604 entspricht, für null Zeitverzögerung eingestellt ist. Wenn zum Beispiel die Ausgabe 411 von ÜB2 410 in 4 AUS_D1 von ÜB2 602 entspricht, dann treiben nur diese Ausgaben die Wirkung 4 (der CEM 300) an, welche als AUS_D1 in WB 604 repräsentiert werden können. Daher kann AUS_D1 von WB 604 nun ausgelöst und auf „Richtig“ gesetzt werden.
Die in 5 und 6 bereitgestellten beispielhaften Überwachungs- und Wirkungsblöcke sind zu Demonstrationszwecken vereinfachend gedacht. Beispielsweise weist der Überwachungsblock 502 in der Darstellung in 5 zwar vier Eingaben und fünf Ausgaben auf, doch können andere Ausführungsformen jede beliebige notwendige Anzahl an Eingaben und Ausgaben beinhalten, je nach Funktionalität des Überwachungsblocks. In einer Ausführungsform entspricht die Anzahl der Eingaben EIN_Dx und Ausgaben AUS_Dx im Allgemeinen der Anzahl an Eingaben und Ausgaben in jedem Logikblock der umorganisierten CEM. Ferner kann das System die Masken derart konfigurieren, dass ein Überwachungsblock dazu implementiert werden kann, eine Vielzahl von Wirkungsblöcken und zusätzliche Überwachungsblöcke anzutreiben oder zu bewirken. Die CEM kann ihrerseits in eine Vielzahl von Überwachungs- und Wirkungsblöcken getrennt werden, an denen eine Schichtung, Schleifenbildung, Verschachtelung, Verkettung usw. vorgenommen werden kann, was dem System eine größere Flexibilität zum Konfigurieren der Systeme der Prozessanlage verschaffen kann als eine traditionelle Zustandsmaschinenimplementierung.
7 ist ein Ablaufdiagramm eines Beispielverfahrens 700 zum Konfigurieren von Überwachungsblöcken und Wirkungsblöcken, die mit einer Prozessanlage verbunden sind. Das Verfahren 700 kann periodisch und/oder als Reaktion auf ein auslösendes Ereignis umgesetzt werden, wie beispielsweise auf eine Anzeige oder ein Initiationssignal, durch einen Konfigurationstechniker oder anderen Benutzer oder anderen Sicherheitslogikgestalter. Das Verfahren 700 kann durch eine elektronische Vorrichtung (bspw. das Ursache-Wirkungs-Analysewerkzeug 17) ausgeführt werden, die eine oder mehrere Komponenten einer Prozessanlage beinhalten kann, wie etwa die wie unter Bezug auf 1 erläuterte Prozessanlage 10.
Bei Block 710 kann die elektronische Vorrichtung eine CEM empfangen oder anderweitig darauf zugreifen. In bestimmten Ausführungsformen kann es von Nutzen sein, die CEM umzuordnen, um dünne Besetzungen zu beseitigen und ansonsten Informationen in Gruppierungen von Gruppen zu sammeln, bevor Logikblöcke identifiziert werden. Bei Block 715 kann die elektronische Vorrichtung die CEM automatisch umordnen und/oder es einem Benutzer ermöglichen, die CEM umzuordnen. Ein Verfahren zum automatischen Umordnen einer CEM wird nachfolgend ausführlicher erläutert. Bei Block 720 kann die elektronische Vorrichtung einen Satz Überwachungsblöcke und Wirkungsblöcke zum Implementieren der Logik der CEM identifizieren und erstellen. Bei Block 730 kann die elektronische Vorrichtung die Überwachungs- und Wirkungsblöcke einem Benutzer anzeigen, wie etwa einem Konfigurations- oder Sicherheitslogiktechniker, der die Sicherheits- oder Steuerlogik gestalten kann, welche die CEM implementieren soll. Insbesondere kann eine elektronische Vorrichtung verursachen, dass eine Anzeigevorrichtung eine grafische Benutzeroberfläche (Graphical User Interface - GUI) anzeigt, wobei die GUI einen ersten Überwachungsblock, einen zweiten Überwachungsblock und einen Wirkungsblock anzeigen kann. Ferner können jeder von dem ersten Überwachungsblock, dem zweiten Überwachungsblock und dem Wirkungsblock eine Vielzahl von Zellen anzeigen, die in einer Tabelle mit einer ersten Dimension und einer zweiten Dimension angeordnet sind, wobei Positionen entlang der ersten Dimension Ausgaben anzeigen können und Positionen entlang der zweiten Dimension Eingaben entsprechen können, sodass die Vielzahl von Zellen Eingabe/Ausgabe-Paare auf Grundlage der Positionen der Vielzahl von Zellen relativ zur ersten und zweiten Dimension definieren kann.
Bei Block 740 kann die elektronische Vorrichtung die Überwachungsblöcke und die Wirkungsblöcke dazu konfigurieren, die Logik der CEM zu implementieren - oder den Benutzer dazu befähigen. In einer Ausführungsform kann die elektronische Vorrichtung einen Benutzer befähigen, Konfigurationsdaten über eine Eingabevorrichtung einzugeben. In einer anderen Ausführungsform kann die elektronische Vorrichtung die Konfigurationsdaten durch Parsing der CEM automatisch bestimmen oder erzeugen. Umsetzungen gemäß kann die elektronische Vorrichtung eine der Ausgaben des ersten Überwachungsblocks dazu konfigurieren, dass sie als eine der Eingaben des zweiten Überwachungsblocks dient; sie kann eine zusätzliche der Ausgaben des ersten Überwachungsblocks und eine der Ausgaben des zweiten Überwachungsblocks dazu konfigurieren, dass sie als Eingaben in den Wirkungsblock dienen, und/oder sie kann zumindest eine aus der Vielzahl von Zellen von jedem von dem ersten Überwachungsblock, dem zweiten Überwachungsblock und dem Wirkungsblock als Auslöser designieren, der mit dem jeweiligen Eingabe/Ausgabe-Paar der jeweiligen Zelle verbunden ist und einer Bedingung in der Prozessanlage entspricht.
In einer Ausführungsform kann die elektronische Vorrichtung zum Konfigurieren der Überwachungsblöcke und der Wirkungsblöcke zumindest einen zusätzlichen Überwachungsblock integrieren, der eine zusätzliche Vielzahl Zellen aufweist, die zusätzliche Eingabe/Ausgabe-Paare definieren, zumindest eine Ausgabe des zusätzlichen Überwachungsblocks dazu konfigurieren, dass sie als Eingabe in zumindest einen von dem ersten Überwachungsblock, dem zweiten Überwachungsblock und dem Wirkungsblock dient, und zumindest eine aus der zusätzlichen Vielzahl von Zellen als zusätzlichen Auslöser designieren, der mit dem jeweiligen zusätzlichen Eingabe/Ausgabe-Paar der jeweiligen zusätzlichen Zelle verbunden ist und einer zusätzlichen Bedingung in der Prozessanlage entspricht. In einer anderen Ausführungsform kann die elektronische Vorrichtung zum Konfigurieren der Überwachungsblöcke und der Wirkungsblöcke zumindest einen zusätzlichen Wirkungsblock integrieren, der eine zusätzliche Vielzahl Zellen aufweist, die zusätzliche Eingabe/Ausgabe-Paare definieren, zumindest eine Eingabe des zusätzlichen Wirkungsblocks konfigurieren, damit sie einer Ausgabe von einem von dem ersten Überwachungsblock oder dem zweiten Überwachungsblock entspricht, und zumindest eine aus der zusätzlichen Vielzahl von Zellen als zusätzlichen Auslöser designieren, der mit dem jeweiligen zusätzlichen Eingabe/Ausgabe-Paar der jeweiligen zusätzlichen Zelle verbunden ist und einer zusätzlichen Bedingung in der Prozessanlage entspricht.
Zusätzlich dazu kann die elektronische Vorrichtung zum Konfigurieren der Überwachungsblöcke und der Wirkungsblöcke in einer Ausführungsform die Eingaben für jeden von dem ersten Überwachungsblock und dem zweiten Überwachungsblock konfigurieren; sie kann eine Eingabemaske für zumindest einen von dem ersten Überwachungsblock und dem zweiten Überwachungsblock konfigurieren, wobei die Eingabemaske logisch mit den Eingaben des zumindest einen von dem ersten Überwachungsblock und dem zweiten Überwachungsblock zu verbinden ist; und sie kann zumindest einen der Auslöser als zeitlich verzögerten Auslöser designieren, um zu verursachen, dass sich die verbundene Wirkung mit einer Zeitverzögerung aktiviert; und/oder sie kann zumindest einen der Auslöser als zulassenden Auslöser designieren.
Bei Block 750 kann die elektronische Vorrichtung die konfigurierten Überwachungsblöcke und Wirkungsblöcke speichern. Insbesondere kann die elektronische Vorrichtung die Konfigurationsdaten in einem computerlesbaren Medium speichern, das mit dem ersten Überwachungsblock, dem zweiten Überwachungsblock und dem Wirkungsblock verbunden ist. In einer Ausführungsform kann die elektronische Vorrichtung ferner die Vielzahl von Zellen für jeden von dem ersten Überwachungsblock, dem zweiten Überwachungsblock und dem Wirkungsblock an der Anzeigevorrichtung anzeigen und den jeweiligen Auslöser in der jeweiligen Vielzahl von Zellen anzeigen.
Selbstverständlich kann das Verfahren 700 eine beliebige Anzahl an Überwachungs- und Wirkungsblöcken erstellen, die auf beliebig viele Arten vernetzt sind, um die Logik einer CEM unter Verwendung dieser vernetzten Überwachungs- und Wirkungsblöcke zu implementieren. Jeder Überwachungsblock kann eine beliebige Anzahl oder einen beliebigen Teilsatz der Ursachen der CEM als Eingaben darein beinhalten, und er kann Eingaben beinhalten, die an Ausgaben anderer Überwachungsblöcke dort gebunden sind, um dadurch kaskadierte Überwachungsblöcke zu bewirken. Darüber hinaus kann jeder beliebige Block eine oder mehrere Wirkungen aus einem Satz Eingaben bestimmen, und er kann, als Eingaben, jede beliebige von den Ausgaben der Überwachungsblöcke und/oder beliebige Ursacheneingaben empfangen. Ferner kann das Verfahren 700 die verschiedenen Überwachungsblöcke und die anderen Überwachungsblöcke und die Wirkungsblöcke vernetzen (d. h., die Verbindungen dazwischen definieren) oder einen Benutzer dazu befähigen. Somit beinhaltet jeder Überwachungsblock Logik, die eine oder mehrere Logikzwischenbedingungen oder -signale auf Grundlage eines oder mehrere der Ursachensignale bestimmt (welche entweder direkt oder in Form eines anderen Logikzwischensignals in den Überwachungsblock eingegeben wurden, das sich aus Ursachensignalen heraus entwickelt hat, welche in einen anderen vorgeschalteten Überwachungsblock eingegeben wurden). Gleichermaßen erzeugt jeder Wirkungsblock ein oder mehrere Wirkungssignale auf Grundlage eines Satzes Eingaben darein, wobei es sich bei solchen Eingaben um Ursachensignale und/oder Logikzwischensignale handelt, die von einem oder mehreren der Übergangsblöcke ausgegeben werden. Auf diese Weise ermöglicht es das Verfahren 700, dass sich in einem oder mehreren Überwachungsblöcken ein Logikzwischensignal entwickelt, das eine logische Kombination aus Ursachensignalen repräsentiert, und dass dieses Logikzwischensignal als Eingaben in einen oder mehrere Wirkungsblöcke bereitgestellt oder verwendet wird, um dadurch die Konfiguration, Größe und Logik zu vereinfachen, die zum Erstellen von Wirkungssignalen durch die Wirkungsblöcke implementiert wird.
Im Falle kleinerer CEMs ist es eventuell möglich, dass ein Sicherheitstechniker die CEM bei Bock 715 des Verfahrens 700 manuell umordnet und/oder konfiguriert, wie etwa durch Identifizieren von Mustern oder durch Versuchen, Ursachen und Wirkungen zu Gruppen zusammenzufassen, die zusammenhängen. Ein solches Umordnen kann manuell über die grafische Benutzeroberfläche implementiert werden, indem ein Benutzer verschiedene Zeilen und/oder Spalten der CEM um eine Gruppe von Zellen herum bewegt oder umordnet, welche Ursache-Wirkungs-Zusammenhänge definieren (bspw. die mit einem X markierten Zellen), damit sie nahe beieinander liegen oder dichtere Gruppierungen bilden. Dabei gibt es mehrere Möglichkeiten, umfangreichere CEMs umzuorganisieren, und es ist von Nutzen, die beste Umorganisationsoption zu identifizieren. Dementsprechend liegt darin eine Gelegenheit, CEMs dynamisch und automatisch zu analysieren und umzuorganisieren, die mit einem Prozessleitsystem verbunden sind.
In einer Ausführungsform kann das System (d. h. das Computersystem von 1) das Ursache-Wirkungs-Analysewerkzeug 17 derart implementieren, dass es eine umfangreiche CEM auf Grundlage eines Satzes Regeln automatisch umorganisiert. In einer Ausführungsform können die Regeln 31 in der Konfigurationsdatenbank 32 von 1 gespeichert sein und/oder über die Benutzerschnittstelle der Arbeitsstationen 18a und/oder 20a empfangen werden. Das Analysewerkzeug 17 kann eine CEM analysieren, um die am besten geeignete oder optimierte Konfiguration der CEM (d. h., die beste Art und Weise, die CEM umzuordnen, um einen Satz Überwachungs- und Wirkungsblöcke zu erzeugen) angesichts des Satzes Regeln 31 zu bestimmen. Der Satz Regeln 31 kann auf Grundlage der aktuellen Notwendigkeiten oder Konfiguration der jeweiligen Prozessanlage durch einen Techniker spezifiziert oder ansonsten durch einen Computer wie etwa das Analysewerkzeug 17 automatisch erzeugt werden. Beispielsweise kann der Satz Regeln 31 angeben, dass die CEM in Gruppen organisiert werden sollte, wobei bestimmte Ursachen und/oder Wirkungen auf Grundlage der entsprechenden Logiklöser 50, MPD 70 und/oder Feldgeräte 22, 23, 24, 60 und 62 zusammengefasst werden, in denen die Logik zu implementieren ist. Ferner kann der Satz Regeln 31 angeben, dass die CEM umorganisiert werden sollte, um dünne Besetzungen zu beseitigen, was auf Grundlage bestimmter Muster, auf Grundlage der Effizienz des Systems und/oder auf Grundlage anderer Kriterien erfolgt. In einer anderen Ausführungsform kann der Satz Regeln 31 angeben, dass bestimmte Ursachen und/oder Wirkungen (oder Gruppen von Ursachen und/oder Wirkungen) nicht zu bewegen sind. In einer weiteren Ausführungsform kann der Satz Regeln 31 Gewichtungen für bestimmte Ursachen und/oder Wirkungen angeben, die umorganisiert werden müssen, wobei die Gewichte verwendet werden, um Konflikte bei dem Versuch zu lösen, mehrere Regeln anzuwenden, welche zu verschiedenen Ergebnissen führen.
In einer Ausführungsform kann der Satz Regeln 31 angeben, dass die CEM in eine bestimmte Anzahl an Gruppen und/oder Gruppen einer bestimmten Größe umzuorganisieren ist. Der Satz Regeln 31 kann ferner die Art und Weise angeben, auf welche die Gruppen zu organisieren sind. Beispielsweise kann der Satz Regeln 31 angeben, dass jede Gruppe eine bestimmte Anzahl, eine bestimmte maximale Anzahl oder eine bestimmte minimale Anzahl an Ursachen und/oder Wirkungen enthalten sollte. In einer Ausführungsform kann der Satz Regeln 31 angeben, dass Gruppen keine überlappenden Ursachen und/oder Wirkungen enthalten sollten. Die Regeln 31 können auch spezifizieren, dass bestimmte Ursachen oder Wirkungen zusammengefasst werden sollten, beispielsweise, weil diese Ursachen durch einen bestimmten Logiklöser oder in einem bestimmten Knoten erkannt werden oder weil die Wirkungen möglicherweise durch einen bestimmten Logiklöser an einem bestimmten Knoten implementiert werden müssen. Sobald eine CEM umorganisiert worden ist, kann in jedem Fall der Satz Regeln 31 ferner einen Techniker befähigen, bestimmte Ursachen und/oder Wirkungen in der CEM manuell zu konfigurieren. Es versteht sich, dass alternative oder zusätzliche Regeln vorgesehen sind.
In einer Implementierung kann ein Analysewerkzeug einen Satz Regeln 31 empfangen oder erzeugen, der angibt, dass nur bestimmte Ursachen und/oder Wirkungen, die nur bestimmten Bereichen der Prozessanlage entsprechen, umorganisiert werden sollten, oder dass diese Ursachen und Wirkungen zusammen oder als Gruppe umorganisiert werden sollten. Ähnlich dazu kann der Satz Regeln 31 angeben, dass nur ein bestimmter Teilsatz der Ursachen und Wirkungen der CEM umorganisiert werden sollten. Das Analysewerkzeug kann auch einen Satz Regeln 31 empfangen oder erzeugen, der bestimmte Zeilen und/oder Spalten „sperrt“, um ein Bewegen der empfangenen Zeilen und/oder Spalten während der Umorganisation zu verhindern. Ferner kann das Analysewerkzeug einen Satz Regeln 31 empfangen oder erzeugen, der angibt, dass die Ursachen, die einer positiven Logik entsprechen (d. h., wenn die die Ursache „an“ ist, dann wird die Wirkung aktiviert), zusammengefasst werden sollten, und dass Ursachen, die einer negativen Logik entsprechen (d. h., wenn die Ursache „an“ ist, dann wird die Wirkung nicht aktiviert) zusammengefasst werden sollten. Andere Arten und Weisen, die Zeilen und Spalten der CEM auf Grundlage der in den CEM-Zellen definierten Logikart (d. h. der zu implementierenden Logikart) zusammenzufassen oder umzuorganisieren, können ebenfalls verwendet werden.
Die Umorganisation der CEM wiederum kann eine mehrteilige Analyse erfordern, die durch einen Computer implementiert werden und die auf dem Satz Regeln 31 beruhen kann. Der Computer kann die CEM nach Zeile, nach Spalte, nach Gruppe, nach Auslöser analysieren, auf Grundlage der entsprechenden Logiklöser 50, MPD 70 und/oder Feldgeräte 22, 23, 24, 60 und 62 oder anhand jedes beliebigen anderen Elements, das am besten zum Implementieren des Satzes Regeln 31 geeignet ist. 8 zum Beispiel ist eine beispielhafte CEM 800, die um einiges umfangreicher als die vorherige beispielhafte CEM 300 von 3 ist. Die CEM 800 enthält eine Anzahl befüllter Zellen, die über die gesamte Tabelle verstreut sind. Obwohl die CEM 800 nur geringfügig größer als die CEM 300 ist, ist es doch klar ersichtlich, dass das Problem des Identifizierens von Logikblöcken oder logischen Gruppen in der CEM 800, die durch Sätze Überwachungs- und Wirkungsblöcke zu implementieren sind, zunehmend komplexer ist. Ferner beinhaltet die CEM 800 befüllte Zellen, die von den größeren Gruppierungen weg verstreut sind, was die Schwierigkeit noch erhöht, effizient Logikblöcke auszuwählen, die zu verwenden sind, um Überwachungs- und Wirkungsblöcke zu erzeugen. Im Falle von CEMs mit zunehmender Größe steigen die Schwierigkeiten, Logikblöcke manuell auszuwählen oder zu definieren, immens.
9 stellt ein Beispiel für eine Anzeige dar, die eine CEM 900 abbildet, bei der es sich um eine umorganisierte Version der CEM 800 aus 8 handelt. Wie in 9 dargestellt, wurde die CEM 900 derart organisiert, dass sie drei Hauptgruppen oder Logikblöcke beinhaltet: 901, 902 und 903. In einem Ausführungsbeispiel können die Blöcke 901, 902 und 903 jeweils einem bestimmten Logiklöser 50 in der Prozessanlage entsprechen. In einer anderen Ausführungsform kann der Computer die Logikblöcke 901-903 auf Grundlage von Kriterien identifiziert haben, die innerhalb eines Satzes Regeln 31 definiert sind.
Beispielsweise kann der Logikblock 901 in 9 einem Satz Wirkungen entsprechen, die allesamt an eine bestimmte physische Stelle in der Prozessanlage (bspw. einen bestimmten Heizabschnitt) gehören, oder die durch den gleichen Regler oder Logiklöser in dem Anlagenleitsystem implementiert werden. Ferner kann der Logikblock 902 daraus entstehen, dass das Analysewerkzeug dünne Besetzungen aus der CEM beseitigt, indem eine Gruppe umorganisiert wird, in welcher alle Ursachen mit allen Wirkungen zusammenhängen. Insbesondere ist im Logikblock 902 jede der Ursachen 4-10 mit jeder der Wirkungen 3-5 gepaart. Der Logikblock 903 kann einer Gruppe von Ursache-Wirkungs-Zusammenhängen mit negativer Logik entsprechen. Obwohl die beispielhafte CEM 900 drei Logikblöcke enthält, kann die CEM in eine beliebige Anzahl an Logikblöcken unterteilt werden und auf den Regeln 31, oder einer beliebigen Kombination aus Regeln 31, die oben beschrieben wurden, oder beliebigen anderen oben nicht erwähnten Regeln beruhen, welche von dem Analysewerkzeug 17 verwendet werden können, wenn es ein CEM analysiert und umorganisiert. Die Logikblöcke 901, 902 und 903 können jeweils verwendet werden, um einen Satz vernetzter Überwachungs- und Wirkungsblöcke zu definieren, um die Logik dieser Teile der CEM zu implementieren, wie weiter oben unter Bezug auf 3 und 4 beschrieben.
10 ist ein Ablaufdiagramm eines Beispielverfahrens 1000 zum Umordnen einer Ursache-Wirkungs-Tabelle und Definieren und/oder Bedienen von Logikblöcken einer CEM, die beim Entwickeln von Sicherheits- oder Steuerlogik eines Prozessleitsystems zu verwenden sind. Das Verfahren 1000 kann periodisch und/oder als Reaktion auf ein auslösendes Ereignis implementiert werden, beispielsweise während einer Konfiguration der Anlage, immer, wenn die CEM für die Logik geändert oder aktualisiert wird usw. Das Verfahren 1000 kann durch eine elektronische Vorrichtung (bspw. das Analysewerkzeug 17 aus 1) ausgeführt werden, welche eine oder mehrere Komponenten einer Prozessanlage wie etwa der Prozessanlage 10, die unter Bezug auf 1 erläutert wurde, beinhalten kann. Bei Block 1010 kann die elektronische Vorrichtung auf eine anfängliche Ursache-Wirkungs-Tabelle zugreifen, die einen Satz Eingaben und einen Satz Ausgaben (d. h., einen Satz Ursachen und einen Satz Wirkungen) aufweist. In Ausführungsformen kann jede von dem Satz Eingaben eine Bedingung in der Prozessanlage repräsentieren, und jede von dem Satz Ausgaben kann eine Wirkung repräsentieren, die in der Prozessanlage auszuführen ist. Ferner können zumindest manche von dem Satz Eingaben und dem Satz Ausgaben als Ursache-Wirkungs-Paare zusammenhängen, wobei die jeweilige Wirkung als Reaktion auf ein Eintreten der jeweiligen Bedingung aktiviert werden kann. Die anfängliche Ursache-Wirkungs-Tabelle (CEM) kann in einem Datendepot in der Prozessleitanlage gespeichert sein, oder sie kann durch einen Benutzer mit der elektronischen Vorrichtung zum Konfigurieren eines neuen Prozesses in der Anlage erzeugt werden. Die anfängliche CEM kann auch von einer Datenbank außerhalb des Prozessleitsystems empfangen werden. In manchen Ausführungsformen kann nur ein Techniker mit der entsprechenden Zugangsberechtigung auf die anfängliche CEM zugreifen, weshalb ein Log-in oder ein anderes Passwort erforderlich sein kann, um den Zugriff auf die anfängliche CEM zu autorisieren.
Die elektronische Vorrichtung kann jede von einem Satz zusammenhängender Gruppen in der anfänglichen CEM definieren. Insbesondere kann die elektronische Vorrichtung bei Block 1020 auf einen Satz Regeln 31 zugreifen, der mit dem Satz zusammenhängender Gruppen verbunden ist. Insbesondere kann die elektronische Vorrichtung über eine oder mehrere Datenbanken entweder innerhalb oder außerhalb des Prozessleitsystems auf den Satz Regeln 31 zugreifen. Die elektronische Vorrichtung kann den Satz Regeln 31 auch als Eingaben empfangen, die durch einen Techniker der Prozessleitanlage bereitgestellt werden. Ferner kann der Satz Regeln 31 eine Kombination aus unterschiedlichen Regeln sein, auf die über unterschiedliche Datenbanken und/oder Eingaben zugegriffen wird. Mit dem Satz Regeln 31, wie oben ausführlicher erläutert, kann ein Umorganisieren der CEM auf effiziente und effektive Weise bezweckt werden.
In einer Ausführungsform kann eine Regel spezifizieren, dass ein spezifizierter Teil des Satzes Ausgaben der gleichen zusammenhängenden Gruppe angehören muss. In einer Ausführungsform kann eine Regel spezifizieren, dass der Teil des Satzes Eingaben eine bestimmte Anzahl aufweisen muss. In einer weiteren Ausführungsform kann eine Regel spezifizieren, dass bei dem Satz zusammenhängender Gruppen weder der Satz Eingaben noch der Satz Ausgaben überlappen sollte. Selbstverständlich könnten auch beliebige andere gewünschte Regeln verwendet werden.
Bei Block 1030 kann die elektronische Vorrichtung gemäß dem Satz Regeln, wie durch die in der CEM definierten entsprechenden Ursache-Wirkungs-Paarungen definiert, einen Teil des Satzes Eingaben (Ursachen) identifizieren, die mit einem Teil des Satzes Ausgaben (Wirkungen) zusammenhängen. Ferner kann die elektronische Vorrichtung bei Block 1040 den Teil des Satzes Eingaben und den Teil des Satzes Ausgaben umordnen, sodass der Teil der entsprechenden Ursache-Wirkungs-Paare umgeordnet wird. Block 1040 kann dieses Umordnen derart ausführen, dass eine oder mehrere Funktionsblocklogikeinheiten definiert werden, die unter Verwendung eines Satzes Überwachungs- und Wirkungsblöcke implementiert werden, wie oben definiert. Ein Block 1050 kann die umgeordnete CEM analysieren und entscheiden, ob der Prozess abgeschlossen ist, und, falls nicht, dem Block 1030 eine Regelung bereitstellen, um andere Regeln zu identifizieren, die zu verwenden sind, um die CEM weiter umzuordnen, im Bemühen, die Erstellung von Überwachungs- und Wirkungsblöcken auf Grundlage der umgeordneten CEM zu optimieren. Darüber hinaus kann der Block 1050, wenn das Umordnen abgeschlossen ist, Logikblöcke oder Gruppen von Logik in der umgeordneten CEM definieren, wie etwa die drei Logikgruppierungen 901, 902 und 903 aus 9.
In einer Umsetzung kann die elektronische Vorrichtung ferner eine oder mehrere Funktionsblocklogikeinheiten für das Prozessleitsystem gemäß dem Satz zusammenhängender Gruppen, die durch den Block 1050 definiert werden, konfigurieren. Zusätzlich oder alternativ kann die elektronische Vorrichtung für jede zusammenhängende Gruppe aus dem Satz zusammenhängender Gruppen eine numerische Repräsentation für die zusammenhängende Gruppe oder für einen Teil einer zusammenhängendem Gruppe gemäß den umgeordneten Ursache-Wirkungs-Paaren automatisch berechnen, wie etwa durch Berechnen einer hexadezimalen Repräsentation für die zusammenhängende Gruppe, was nachfolgend unter Bezug auf 11-12 ausführlicher erläutert wird.
Sobald das Analysewerkzeug die CEM 900 umorganisiert hat, kann das System die CEM 900 weiter in separate logische Gruppen untergliedern, um die Effizienz beim Erstellen von Überwachungs- und Wirkungsblöcken, die diese logischen Gruppen implementieren, weiter zu verbessern. 11 bildet eine zusätzliche Repräsentation der CEM 900 von 9 ab. Insbesondere kann das System die CEM 900 von 9 analysieren, um unterschiedliche numerische Repräsentationen 1101, 1102 und 1103 zu erzeugen, welche das System verwenden kann, um die Funktionsblöcke als einen Satz vernetzter Überwachungsblöcke und Wirkungsblöcke zu konfigurieren. In einer Ausführungsform können die numerischen Repräsentationen 1101-1103 jeweils eine Ausgabe oder Wirkung als einen Wert wie etwa einen hexadezimalen Wert repräsentieren oder definieren, und zwar auf Grundlage der Konfiguration der Logikzusammenhänge, welche durch die Ursache-Wirkungs-Paare, wie durch die umgeordnete CEM 900 definiert, definiert werden. Dieser numerische Wert steht im Kontrast zu herkömmlichen Systemen, die jede Spalte als logischen Ausdruck repräsentieren. Allerdings sind solche herkömmlichen Systeme wegen der Schwierigkeit, logische Ausdrücke zu implementieren oder zu verstehen, ineffizient.
In einer Ausführungsform kann das System numerische Repräsentationen aufstellen, indem es jeder Zelle in der Tabelle einen von zwei Werten (bspw. AN oder AUS, 1 oder 0 usw.) zuordnet und anschließend jede Bitgruppe (bspw. eine vierstellige Bitzahl) einer Zeile oder einer Spalte der CEM in eine Hexadezimalziffer konvertiert. Wie in 11 dargestellt, ist die numerische Repräsentation 1101 für die Ausgabe 14 beispielsweise die hexadezimale Repräsentation (FE08) der Zelle, die mit der Ausgabe 14 verbunden ist, wobei ein X in einer Zelle als binäre „1“ behandelt wird und eine leere Zelle als binäre „0“ behandelt wird. Diese Berechnung lässt sich demonstrieren, indem man die Ausgabe 14 in 4 Bitgruppen aufschlüsselt (welche durch dickere Linien zwischen den Zellen abgegrenzt sind und welche die vier Bitzahlen bilden, von oben nach unten: 1111, 1110, 0000, 1000) und anschließend jede Bitgruppe in eine Hexadezimalziffer konvertiert. In diesem Falle lautet die numerische Repräsentation 1101 der Ausgabe 14 FE08, da, in Hexadezimalziffern, F = 1111, E = 1110, 0 = 0000 und 8 = 1000. Gleichermaßen entspricht die numerische Repräsentation 1102 (07E0) der Ausgabe 5, da die Ausgabe 5, von oben nach unten, in die Bits 0000, 0111, 1110, 0000 aufgeschlüsselt werden kann, was sich in die Hexadezimalzahl 07E0 übersetzt. Ähnlich dazu kann die Ausgabe 17 als die Hexadezimalzahl 0072 (numerische Repräsentation: 1103) repräsentiert werden. Die beispielhaften numerischen Repräsentationen sind nicht als einschränkend gedacht, und manchen oder allen der Spalten und/oder Zeilen kann eine numerische Repräsentation zugeordnet werden. Ferner muss die numerische Repräsentation nicht unbedingt eine hexadezimale Konversion sein und kann auch in jeder beliebigen anderen geeigneten Form erstellt werden.
Das Aufstellen numerischer Repräsentationen für bestimmte Gruppierungen der Logikzellen in einer CEM geht mit vielen Vorteilen einher. Insbesondere ist die Spalte-in-Hex-Umwandlung im Vergleich zu herkömmlichen Systemen einfacher, erfordert keine zusätzlichen Gates oder Programmierung, um einen Ausdruck zu erzeugen, benötigt weniger Speicherplatz und weniger Bandbreite zur Kommunikation mit der Funktionsblockeingabe. Zudem kann die bedarfsweise Fehlerkorrektur bei Eingaben von Hexadezimalwerten leichter sein, um die Genauigkeit zu gewährleisten, was nachfolgend unter Bezug auf die Testtabellen in 15 erläutert wird.
Die numerischen Repräsentationen können es ferner ermöglichen, dass das System die Ursache/Wirkungs-Zusammenhänge der Konfigurationsumgebung des Sicherheitssystems konfiguriert. Insbesondere können es die numerischen Repräsentationen ermöglichen, dass das System Zusammenhänge unter einer großen Anzahl an Ursachen und Wirkungen definiert. Ferner kann die numerische Repräsentation dabei behilflich sein, Konfigurationsfehler zu beheben, indem ganze Zeilen und/oder Spalten zu einem einzelnen numerischen Wert zusammengefasst werden. Zusätzlich dazu können die numerischen Repräsentationen eine einfache und effiziente Möglichkeit bereitstellen, um Änderungen in den Ursache/Wirkungs-Zusammenhängen zu identifizieren und den Aufwand weiter zu verringern, der zum Handhaben von Änderungen in der CEM notwendig ist.
Beispielsweise können die numerischen Repräsentationen als Konfigurationsmasken in Funktionsblöcken wie etwa den Überwachungs- und Wirkungsblöcken der 4-6 implementiert werden. Daher können diese numerischen Repräsentationen tatsächlich die Logik identifizieren, die für eine bestimmte Wirkung in einem Überwachungs- und/oder einem Wirkungsblock zu implementieren ist. Die numerischen Repräsentationen können definieren, welche Eingaben jeder bestimmten Ausgabe entsprechen und damit die Eingaben lösen (d. h. maskieren), die der jeweiligen Ausgabe nicht entsprechen. Beispielsweise kann die numerische Repräsentation 1101 der Wirkung 14 in 11 alle der Ursachen 6-13 von der Wirkung 14 lösen. Anders formuliert, kann ein Überwachungsblock alle Ursachen 1-16 empfangen; wenn er jedoch die numerische Repräsentation 1101 als Maske implementiert, dann würde er nur die Ursachen 1-5 und 14-16 mit der Wirkung 14 korrelieren.
Darüber hinaus kann das System die numerischen Repräsentationen anpassen, wenn der Bereich möglicher Zellenwerte mehr als zwei beträgt (bspw., wenn die Zellen mehrere verschiedene Auslöser wie etwa keinen Wert, ein X, ein T (das auf eine Zeitverzögerung hinweist), ein P (das auf eine zulassende Ursache hinweist) usw. definieren können. Beispielsweise kann das System im Falle eines beispielhaften Bereichs von vier möglichen Schnittpunktwerten zwei Hex-Umwandlungen ausführen, um die resultierende numerische Repräsentation zu erzeugen. Anders formuliert, können die vier möglichen verschiedenen Werte jeder Zelle als einer von vier möglichen Werten einer Zahl mit zwei Bit repräsentiert werden, was bedeutet, dass jede Zelle durch einen Wert mit zwei Bit anstelle von einem Wert mit einem Bit definiert sein würde, wie in 11 angegeben. In diesem Fall würde jeder Satz aus zwei benachbarten Zellen der Kette einen Wert mit vier Bit bilden, der in eine Hexadezimalzahl konvertiert werden kann. Infolgedessen wäre die numerische Repräsentation in diesem Szenario doppelt so lang wie die in 11 gezeigte, allerdings wäre sie dynamischer, da sie eine höhere Anzahl potentieller logischer Ausdrücke repräsentierten könnte, welche in der Logik, die die CEM implementiert, zu verwenden ist. Alternativ kann das System die numerische Repräsentation unter Verwendung einer geeigneten Basis anstelle der Basis 16 berechnen, und es kann dann die numerische Repräsentation in einen Hex-Eingabewert für den Funktionsblock (d. h. die Überwachungs- und Wirkungsblöcke) optional konvertieren (so gewünscht).
12 ist ein Ablaufdiagramm eines Beispielverfahrens zum Erstellen/Berechnen numerischer Repräsentationen von Werten oder Elementen in einer CEM. Bei Block 1210 kann das Ursache-Wirkungs-Analysewerkzeug 17 auf eine CEM zugreifen. In einem Ausführungsbeispiel kann die CEM vor dem Fortsetzen umgeordnet werden. Bei Block 1220 kann das Werkzeug 17 einen Teilsatz Ursachen identifizieren. In einer Ausführungsform kann der Teilsatz Ursachen zu einem bestimmten Logikblock gehören und/oder durch einen Satz Regeln, wie weiter oben beschrieben, definiert sein. Anschließend, bei Block 1230, kann das Werkzeug 17 eine Tabelle mit einer Dimension für den Teilsatz Ursachen definieren. Die Tabelle mit einer Dimension kann einer bestimmten Wirkung der CEM entsprechen. Anschließend, bei Block 1240, kann das Werkzeug 17 eine numerische Repräsentation der Tabelle mit einer Dimension berechnen. Wie oben beschrieben, kann das Werkzeug 17 die Tabelle mit einer Dimension in eine binäre Zeichenfolge und/oder mehrere binäre Zeichenfolgen konvertieren. In einer Ausführungsform kann das Werkzeug dann dazu übergehen, die eine oder mehreren binären Zeichenfolgen in eine hexadezimale Repräsentation oder eine beliebige andere geeignete numerische Repräsentation zu konvertieren. Die berechneten numerischen Repräsentationen können als numerische Repräsentationen 33 in einem Depot, wie etwa der Konfigurationsdatenbank 32 aus 1, gespeichert werden.
Bei Block 1250 können die numerischen Repräsentationen 33 dann verwendet werden, um einen Satz Funktionsblöcke (bspw. Überwachungs- und Wirkungsblöcke) zu konfigurieren. Beispielsweise, wie oben beschrieben, können die numerischen Repräsentationen 33 als Konfigurationsmasken in einem oder mehreren Überwachungsblöcken implementiert werden.
In einem anderen Aspekt des hier beschriebenen Systems verschafft die Systemnavigatoranwendung dem Benutzer die Fähigkeit, zügig zwischen verschiedenen Benutzerschnittstellenbildschirmen zu navigieren, die relevante Sicherheitsinformationen bezüglich der Prozessanlage bereitstellen. Solche Informationen können sich in CEMs, Überwachungs- und Wirkungsblöcken, Sicherheitsdokumenten und Systemkonfigurationsanzeigen finden. In manchen Ausführungsformen stellen diese unterschiedlichen Benutzerschnittstellen unterschiedliche visuelle Repräsentationen der gleichen Sicherheitslogik bereit. Somit stellt die vorliegende Erfindung das Navigatorwerkzeug 15 (aus 1) zum Navigieren zwischen einem Satz miteinander verknüpfter Benutzerschnittstellen bereit. 13 zum Beispiel ist eine beispielhafte Darstellung 1300 eines Satzes Benutzerschnittstellen, die miteinander verknüpft sind.
In manchen beispielhaften Prozessanlagen ist das Sicherheitsprotokoll in einer von mehreren Sprachen programmiert. Unabhängig von der Programmiersprache bildet normalerweise ein Dokument mit Ausführungen den Ausgangspunkt für das Sicherheitsprotokoll, in dem die Anforderungen für die Regelungs- und/oder Sicherheitsmaßnahmen der Prozessanlage spezifiziert sind. In anderen beispielhaften Prozessanlagen, wie etwa einem Safety Instrumented System (SIS), sind die Sicherheitsanforderungen in einem Dokument hinterlegt, das als Spezifikation der Sicherheitsanforderungen (SRS) bekannt ist.
Eine der Eingaben für die SRS ist die Liste der identifizierten Sicherheitsfunktionen (Safety Instrumented Functions - SIF). Jede SIF schützt gegen eine spezifische Gefahr und stellt einen definierten Grad der Risikosenkung bereit. Ein SIS besteht aus einer oder mehreren SIFs. In manchen Ausführungsformen kombinieren manche Sicherheitssysteme alle der SIFs in der SIS-Konfiguration ohne Unterscheidung jeder einzelnen SIF. Ferner folgen manche Sicherheitssysteme einem SIF-Ansatz und ermöglichen eine SIF-basierte SIS-Konfiguration.
Die SRS beinhaltet normalerweise verschiedene Abschnitte. Bei einem der Abschnitte handelt es sich um die Logikbeschreibung, die entweder mittels Klartext, Logikdiagrammen oder Ursache-Wirkungs-Diagrammen (d. h. Ursache-Wirkungs-Tabellen) repräsentiert werden könnte. Wie bereits erwähnt, kombinieren manche Sicherheitssysteme alle SIFs in der SIS-Konfiguration, und die CEM-Visualisierung kann beim Implementieren solcher Ausführungsformen sehr praktisch sein.
In einer Ausführungsformen kann es die Navigatoranwendung 15 einem Techniker ermöglichen, eine jeweilige Ursache (und/oder Wirkung) in einer CEM auszuwählen, um durch bestimmte Dokumente zu navigieren, welche die ausgewählte Ursache (und/oder Wirkung) beschreiben. Beispielsweise kann man durch Auswählen einer Ursache zur jeweiligen SIF-Beschreibung in der SRS weitergeleitet werden. Dieses Merkmal ermöglicht es dem Techniker, die jeweilige, mit der Ursache und/oder Wirkung verbundene, Sicherheitslogik zu betrachten. In einer Ausführungsform kann der Techniker auch dazu in der Lage sein, ein Sicherheitsmodul auszuwählen (Systemkonfiguration), das mit einer jeweiligen SIF verbunden ist, und er kann dann zu einer Benutzerschnittstelle weitergeleitet werden, welche die passende SIF aus der CEM anzeigt. Ferner kann der Techniker ein Element der CEM auswählen und zu einer Anzeige einer Systemkonfiguration, die Vorrichtungen hervorhebt, Logikblöcken, Funktionsblöcken, Überwachungs- und Wirkungsblöcken usw. weitergeleitet werden, die mit dem jeweiligen Element der CEM zusammenhängen. Von dem Sicherheits- oder Regelmodul kann der Benutzer auch zum passenden Abschnitt entweder der SRS oder Regelungsnarrative weitergeleitet werden. Anders formuliert, kann es das vorliegende System einem Techniker ermöglichen, nahtlos zwischen Ansichten einer CEM, einer SRS oder einer Systemkonfiguration zu wechseln.
Wenn ein Techniker beispielsweise eine Ursache und/oder Wirkung in einer Benutzerschnittstelle von 13 auswählt, welche eine CEM 1310 anzeigt, dann kann der Techniker zu einem Anzeigenbildschirm 1320 weitergeleitet werden, der eine Systemkonfiguration darstellt, welche bestimmte Vorrichtungen beinhaltet, die mit der ausgewählten Ursache und/oder Wirkung der CEM zusammenhängen. Beispielsweise kann die Systemkonfiguration 1320 Symbole für Behälter, Ventile, Messumformer, Pumpen, Rohre, Sensoren usw. beinhalten, die mit ausgewählten Ursachen und/oder Wirkungen der CEM zusammenhängen. In diesem Beispiel ist ein Thermometersymbol 1321 hervorgehoben, das darauf hinweist, dass die ausgewählte Ursache und/oder Wirkung einer Temperatursensoranzeige entspricht.
Ferner kann ein Techniker entweder von der CEM 1310 oder der Systemkonfiguration 1320 aus auf ein Dokument zugreifen, welches das Sicherheitsprotokoll der Prozessanlage beschreibt, wie etwa die SRS 1330. 13 stellt eine beispielhafte Anzeige 1330 eines Teils einer Spezifikation der Sicherheitsanforderungen dar, der Symbole 1331 und Text 1332 beinhaltet, welcher zutreffende Sicherheitsabläufe beschreibt. Die Navigatoranwendung 15 ermöglicht es einem Techniker, zwischen Anzeigen hin und her zu schalten, was dem Techniker Informationen und Einblicke verschafft, auf die zuvor nur umständlich zugegriffen werden konnte. Ferner kann der Benutzer von jeder beliebigen der Schnittstellen 1310, 1320 und/oder 1330 auf eine Benutzerschnittstelle 1340 zugreifen, die einen Satz Überwachungs- und Wirkungsblöcke (oder andere Funktionsblöcke oder Logik) anzeigt, einschließlich der Logik, die zutreffende ausgewählte Elemente (bspw. der CEM 1310) implementiert.
In einem Ausführungsbeispiel kann ein Techniker einen Rechtsklick auf das Element der CEM 1310 (oder SRS 1330, Systemkonfiguration 1320 oder Überwachungs- und Wirkungsblöcke 1340) vornehmen, um auf ein Auswahlmenü zuzugreifen. Das Auswahlmenü kann dem Techniker Optionen bereitstellen, darunter die Fähigkeit, auf die anderen Anzeigenansichten (wie etwa 1310, 1320, 1330 und 1340) und/oder andere Ansichten (wie etwa in Bezug auf 16A-D weiter unten beschrieben) zuzugreifen.
Der Benutzer kann einfach von der CEM 1310 (oder von einzelnen Zellen, Ursachen oder Wirkungen der CEM 1310) oder der Systemkonfiguration 1320 zu (einem) spezifischen Abschnitt(en) innerhalb von Anforderungsspezifikationen (SRS 1330) wie etwa zur Definition für das allgemeine Umgehungskonzept, Anforderungen für Abnahmeprüfungen usw. navigieren.
Diese Funktionalität wird einen nahtlosen Übergang zwischen Konfiguration- und Gestaltungsdokumenten in beiden Richtungen bereitstellen, um die Konfigurationsüberprüfung, Bewältigung von Veränderungen, Fehlerdiagnose und Abnahmeprüfungen zu erleichtern.
14 bildet ein Blockdiagramm eines Beispielverfahrens 1400 ab, das den Zugriff auf Informationen ermöglicht, die in einer Spezifikation der Sicherheitsanforderungen (SRS) für eine Prozessanlage beinhaltet sind, welche anhand eines Prozessleitsystems geregelt wird. Das Verfahren 1400 kann durch einen Server oder andernfalls jede Art elektronischer Vorrichtung unterstützt werden, wobei der Server mit einer Benutzerschnittstelle, die zum Anzeigen von Inhalten konfiguriert ist, ausgestattet oder damit verbunden sein kann. Die SRS kann in einem Speicher gespeichert sein, der durch den Server zugreifbar sein kann.
Das Verfahren 1400 kann bei Block 1410 beginnen, bei dem der Server, in der Benutzerschnittstelle, eine CEM anzeigen kann. In Ausführungsformen kann die (CEM) einen Satz Elemente beinhalten, der einen Satz Ursachen und einen Satz Wirkungen beinhaltet, wobei jede von dem Satz Ursachen eine Bedingung in der Prozessanlage und jede von dem Satz Wirkungen eine Wirkung repräsentieren kann, die in der Prozessanlage auszuführen ist. Ferner können zumindest manche von dem Satz Ursachen und dem Satz Wirkungen als Ursache-Wirkungs-Paare zusammenhängen, wobei die jeweilige Wirkung als Reaktion auf ein Eintreten der jeweiligen Bedingung aktiviert werden kann.
Bei Block 1420 kann der Server über die Benutzerschnittstelle eine Auswahl eines Elements aus dem Satz Elemente empfangen. Insbesondere kann der Server eine Auswahl einer Ursache aus dem Satz Ursachen oder eine Auswahl einer Wirkung aus dem Satz Wirkungen empfangen. Als Reaktion auf das Empfangen der Auswahl kann der Server bei Block 1430 von der SRS ausgehend auf einen Satz Informationen zugreifen, die mit dem Element aus dem Satz Elemente verbunden sind. Insbesondere kann der Server von der SRS ausgehend auf einen Satz Informationen zugreifen, die mit der ausgewählten Ursache oder der ausgewählten Wirkung verbunden sind. Gemäß Ausführungsformen kann der Server von der SRS ausgehend auf ein Rohrleitungs- und Instrumentenfließschema (R&I-Schema), das mit dem ausgewählten Element verbunden ist, eine Sicherheitsfunktions(SIF)-Beschreibung, die mit dem ausgewählten Element verbunden ist, oder auf andere Informationen zugreifen.
Bei Block 1440 kann der Server den Satz Informationen in der Benutzerschnittstelle anzeigen. In einer Ausführungsform kann der Server auch eine Anwendung initiieren, die dazu konfiguriert ist, über die Benutzerschnittstelle Sicherheitslogik anzuzeigen, die mit dem ausgewählten Element verbunden ist. Zudem kann der Server in einer Ausführungsform über die Benutzerschnittstelle eine zusätzliche Auswahl eines Teils des Satzes Informationen empfangen, der in der Benutzerschnittstelle angezeigt wird; von der SRS ausgehend auf einen zusätzlichen Satz Informationen zugreifen, der mit dem Teil des Satzes Informationen verbunden ist; und den zusätzlichen Satz Informationen in der Benutzerschnittstelle anzeigen. Darüber hinaus kann der Server in einer Ausführungsform über die Benutzerschnittstelle eine zusätzliche Auswahl eines Teils des Satzes Informationen empfangen, der in der Benutzerschnittstelle angezeigt wird, wobei der Teil des Satzes Informationen einem zusätzlichen Element aus dem Satz Elemente der CEM entsprechen kann, und er kann, in der Benutzerschnittstelle, die CEM und eine Angabe des zusätzlichen Elements anzeigen.
In manchen Ausführungsformen können umfangreiche CEMs Tausende Ursache-Wirkungs-Paare enthalten. Demzufolge können diese umfangreichen CEMs in Hunderte Überwachungsblöcke, Wirkungsblöcke und numerische Repräsentationen aufgeschlüsselt werden. Aufgrund der großen Menge an Informationen, die über zahlreiche Datenstrukturen verstreut sind, ist es für einen Benutzer eventuell unmöglich, manuell zu überprüfen, dass die Sicherheitslogik des Prozessleitsystems akkurat implementiert wird. Früheren Prozessleitsystemen fehlten die Mittel dafür, rigoros zu überprüfen, dass ein konfiguriertes Prozessleitsystem die erforderlichen Sicherheitsprotokolle erfüllt. Anders formuliert, gab es in früheren Systemen keine Möglichkeit, die Genauigkeit der CEMs und Funktionsblöcke zu testen, die implementiert wurden, um die Sicherheit der Prozessanlage bewältigen. Die vorliegende Offenbarung stellt ein Werkzeug (bspw. das Ursache-Wirkungs-Analysewerkzeug 17) bereit, das die aktuell in der Prozessanlage implementierte Sicherheitslogik automatisch überprüfen kann.
In einem Aspekt kann das Ursache-Wirkungs-Analysewerkzeug 17 die Konfiguration der Prozessanlage (oder eines Teils davon) automatisch durchlaufen, um eine oder mehrere Test-CEMs des wie gebildeten oder wie konfigurierten Systems zu erzeugen. In einer Ausführungsform kann das Werkzeug 17 die Test-CEM durch Nachkonstruieren auf Grundlage der Funktionsblöcke (d. h der Überwachungs- und Wirkungsblöcke) und der numerischen Repräsentationen konstruieren, welche die aktuell implementierte Sicherheitslogik der Prozessanlage repräsentieren. Die Test-CEM kann dann mit einer Anforderungen definierenden CEM (einer CEM, bei der es sich bekanntermaßen um eine akkurate Repräsentation der Sicherheitslogik, welche die Prozessanlage erfordert, handelt). Der Vergleich kann und Abweichungen oder andere Fehler aufzeigen, die dann einem Benutzer präsentiert werden können.
15 ist ein Blockdiagramm eines Beispielverfahrens zum Überprüfen der Sicherheitslogik einer Ursache-Wirkungs-Tabelle. Bei Block 1510 kann das Analysewerkzeug 17 die Konfiguration eines oder mehrerer Funktionsblöcke bestimmen, welche die Sicherheitslogik der Ursache-Wirkungs-Tabelle repräsentiert. In einer Ausführungsform sind die Funktionsblöcke Überwachungsblöcke und Wirkungsblöcke, die Eingaben, Ausgaben und numerische Repräsentationen beinhalten, wie weiter oben beschrieben. Das Ursache-Wirkungs-Analysewerkzeug 17 kann die Eingaben und Ausgaben der Überwachungs- und Wirkungsblöcke (ÜWB) durchlaufen, wobei eine Reihe Faktoren berücksichtigt wird, wie etwa die in den ÜWB implementierte Logik und/oder die numerischen Repräsentationen der ÜWB, um eine Konfiguration der ÜWB zu bestimmen. Beispielsweise kann das Werkzeug 17 einen Satz Überwachungs- und Wirkungsblöcke empfangen, wie weiter oben bezüglich der 5 und 6 beschrieben. Das Werkzeug 17 kann mit den Ausgaben der Wirkungsblöcke beginnen und die Eingaben der Wirkungsblöcke bis hin zum Ursprung der Eingaben (d. h. Ursachen, die direkt in die Wirkungsblöcke eingespeist werden, und/oder Ausgaben der Überwachungsblöcke) durchlaufen. Das Werkzeug 17 kann anschließend die Ausgaben der Überwachungsblöcke zu den entsprechenden Eingaben der Überwachungsblöcke auf Grundlage der numerischen Repräsentationen zurückverfolgen. Das Werkzeug 17 kann diesen Prozess des Durchlaufens der ÜWB iterativ für jede Wirkung fortsetzen, bis jeder Zusammenhang jedes Ursache-Wirkungs-Paars identifiziert worden ist.
Bei Block 1520 kann das Werkzeug 17 eine Test-CEM auf Grundlage der bestimmten Konfiguration erzeugen. Das Werkzeug 17 kann die Test-CEM mit den identifizierten Ursache-Wirkungs-Paaren auf Grundlage der bestimmten Konfiguration der Überwachungs- und Wirkungsblöcke befüllen. Sobald die Test-CEM erstellt ist, kann das Werkzeug 17 die Test-CEM 37 in einem Datendepot (wie etwa der Konfigurationsdatenbank 32 aus 1) speichern. Die Test-CEM 37 kann wie jede beliebige der hier beschriebenen CEMs implementiert werden.
Bei Block 1530 kann das Werkzeug 17 auf die Anforderungen definierende CEM zugreifen. In einer Ausführungsform können die Anforderungen definierenden CEMs 35 in einem Datendepot (wie etwa der Konfigurationsdatenbank 32 aus 1) gespeichert werden. In anderen Ausführungsformen kann das Werkzeug 17 die Anforderungen definierenden CEMs auf Grundlage der aktuellen Konfiguration der Vorrichtungen in der Prozessanlage und der SRS und anderer Sicherheitsdokumente erstellen. In einer Ausführungsform kann die Anforderungen definierende CEM 35 einen Satz Ursachen und einen Satz Wirkungen beinhalten, wobei die Zusammenhänge der Ursache-Wirkungs-Paare auf den Sicherheitsanforderungen der Prozessanlage beruhen. Die Anforderungen definierende Test-CEM 35 kann wie jede beliebige der hier beschriebenen CEMs implementiert werden.
Bei Block 1540 kann das Werkzeug 17 die Test-CEM 37 mit der Anforderungen definierenden CEM 35 vergleichen, um zu bestimmen, ob jegliche Abweichungen vorliegen. Zu den Abweichungen können jegliche Differenzen zwischen Ursache-Wirkungs-Paaren zwischen der Test-CEM 37 und der Anforderungen definierenden CEM 35 zählen. Beispielsweise sind die Ursache-Wirkungs-Paare eventuell nicht durch die gleiche Auslöserart (bspw. zulassend, sofortig, verzögert) und/oder die gleiche Logikart (UND/ODER) korreliert.
Das Werkzeug 17 kann jede beliebige von der einen oder den mehreren bestimmten Abweichungen anzeigen. In einer Ausführungsform kann das Werkzeug 17 die Abweichungen in einer beliebigen der wie in den 13 und 16a-d beschriebenen Benutzerschnittstellen hervorheben. Anders formuliert, kann das Werkzeug 17 hervorheben, wo die inkorrekte Logik implementiert wird, entweder in der CEM, den Überwachungs- und Wirkungsblöcken, einem SRS-Dokument und/oder einer Systemkonfigurationsbenutzerschnittstelle.
Ferner kann es bezüglich der Funktionalität, die oben unter Bezug auf die 13 und 14 erläutert wurde, auch von Nutzen sein, den Statusverlauf einer oder mehrerer Vorrichtungen, Ursachen und/oder Wirkungen in der Prozessanlage einzusehen. Ein anderer Aspekt der vorliegenden Erfindung stellt Benutzerschnittstellenansichten zum Überwachen der Sicherheitssystemstatus eines Prozessleitsystems bereit, wobei die Status typischerweise auf physischer Ausrüstung und/oder Sicherheitstestergebnissen beruhen oder eingestimmt sind und wobei sie die aktuellen und vergangenen Zustände verschiedener Ursachen oder Wirkungen darstellen können, um dem Benutzer eine gewisse Fähigkeit zu verschaffen, zu sehen, wann und wie die CEM-Logik in der Anlage implementiert wird. Beispielsweise kann ein Techniker eine Ansicht (wie oben unter Bezug auf 13 erläutert) heranziehen, welche eine bestimmte Vorrichtung oder ein bestimmtes Ausrüstungsteil oder eine Gruppe davon anzeigt, was daraufhin verwendet werden kann, um weiter auf eine Anzeigenansicht zuzugreifen, die den aktuellen und/oder vergangenen Sicherheitsstatus jedes Teils überwachter Vorrichtung/Ausrüstung, eines Ursachensignals, Wirkungssignals usw. präsentiert, der darauf angezeigt wird (bspw. 16A-D). Zusätzlich oder alternativ kann ein Sicherheitstechniker einen Sicherheitstest über eine bestimmte physische Vorrichtung/ein bestimmtes Ausrüstungsteil in der Anlage laufen lassen, und die Ergebnisse können in einer Anzeigenansicht (bspw. 16A-D) angezeigt werden. Frühere Systeme ermöglichten es nicht, dass ein Techniker den allgemeinen Sicherheitsstatus der Anlage (oder eines gewünschten Teils der Anlage) zügig überwachte oder bewertete, ohne auf zahlreiche unterschiedliche Anzeigenansichten physischer Vorrichtungen/Ausrüstung zugreifen oder bestimmte Diagnosen durchführen zu müssen, um Testergebnisse zu erlangen. Die früheren Systeme waren nicht nur unpraktisch für den Techniker, sondern während einer Notfallsituation wird kostbare Zeit eingebüßt, während derer der Techniker gezwungen ist, mehrere Ansichten zu durchforsten oder Tests durchzuführen, um die Statusdaten zu erlangen oder zu finden, an denen er oder sie interessiert ist.
Das System und die Verfahren, die hier beschrieben werden, stellen eine leicht zugreifbare Anzeigenansicht des aktuellen Status und/oder einer Statusänderung überwachter Sicherheitsergebnisse (anstelle bestimmter Vorrichtungen, Ausrüstung oder Testergebnisse) bereit. Das System versammelt systemübergreifende oder bereichsübergreifende Sicherheitsereignis-/Eingabestatus in einer einzigen Anzeigenansicht oder Visualisierung, wobei es Änderungen von Sicherheitsereignisstatus im Zeitverlauf erfasst und visualisierte Sicherheitsereignisse in der allgemeinen Sicherheitsanzeigenansicht mit Vorrichtungen/Ausrüstung/Testergebnissen verknüpft.
Ein „Sicherheitsereignis“ ist eine logische Repräsentation einer überwachten Bedingung. In einem Ausführungsbeispiel könnte jede überwachte Eingabe (Ursache) einer CEM ein überwachtes Sicherheitsereignis sein. Zudem könnte jede Wirkung ein überwachtes Sicherheitsereignis sein. Der jeweilige Status und/oder die jeweilige Statusänderung jedes Sicherheitsereignisses, dessen Überwachung gewünscht ist, wird anhand eines anderen Objekts/Elements/grafischen Elements in der Sicherheitsereignis-Visualisierungsansicht repräsentiert. Beispielsweise könnte jedes überwachte Ereignis anhand eines farbigen Punkts präsentiert werden, wobei verschiedene Farben unterschiedliche aktuelle Status präsentieren (bspw. Rot - schlecht, Blau - Achtung, Schwarz - okay). Zusätzlich oder alternativ könnte eine Änderung des aktuellen Status (entweder binär und/oder nach Änderungsgrad) bspw. anhand verschiedener Farben oder Repräsentationen repräsentiert werden. Solche Status und/oder Statusänderungen können im Zeitverlauf erfasst und gespeichert werden. Konkret könnte die Anzeigenansicht eine rollende Momentaufnahme des Zeitverlaufs für überwachte Ereignisse bereitstellen und verschiedene Abschnitte für Sicherheitsereignisse beinhalten, die in verschiedenen Intervallen (bspw. alle 2 Minuten, alle 20 Minuten, alle 2 Stunden) überwacht werden.
Die 16A-D sind beispielhafte Darstellungen von Statusänderungen eines Sicherheitsereignisses im Zeitverlauf. Bei 16A-D handelt es sich bei einem Ereignis E1 um ein überwachtes Sicherheitsereignis. Der aktuelle Sicherheitsstatus von E1 im Zeitverlauf könnte als fortlaufende Formenkette entlang einer Zeitachse in einer Anzeigenansicht repräsentiert werden, wobei jede Form einen anderen Status repräsentiert (wie in 16A repräsentiert). Bei Graph 1600 repräsentiert der Kreis einen normalen Status, das Viereck repräsentiert einen warnenden Status, und das Dreieck repräsentiert einen gefährlichen Status. Alternativ könnte eine Änderung des El-Sicherheitsstatus im Zeitverlauf auf Grundlage des Zeitpunkts repräsentiert werden, zu dem die Änderung eintritt. Beispielsweise stellt der Graph 1610 in 16B einen stationären Zustand (oder keine Statusänderung) mit einer „0“, einen Rückgang des Sicherheitsstatus mit einem „-“ und einen Anstieg des Sicherheitsstatus mit einem „+“ dar. Es versteht sich, dass die Sicherheitsstatus und deren Änderungen mit jeder beliebigen Art numerischer oder grafischer Form angezeigt werden können. 16C stellt einen Graph 1620 dar, der den Status als Zahl repräsentiert, wobei jedes negative Intervall ab 0 eine weitere Statusverschlechterung repräsentiert. Falls gewünscht, kann ein Änderungsgrad des Sicherheitsstatus repräsentiert werden. Beispielsweise könnte die Y-Achse des Graphs einen Bereich der Verschlechterung weg von normal anzeigen, und der Sicherheitsstatus im Verhältnis zur Zeit könnte das Erscheinungsbild eines linienförmigen Graphen oder des gepunkteten, balkenförmigen Graphen 1630 in 16D annehmen. Zudem kann sich eine einzelne Linie einer farbigen fortlaufenden Punktlinie für ein überwachtes Ereignis langsam verwandeln/ihre Farbschattierung könnte sich langsam von einer Farbe zu einer anderen verändern, um eine Verschlechterung und Verbesserung des Sicherheitsstatus anzuzeigen.
Die oben aufgeführten Beispiele sind nicht als einschränkend gedacht, und jede beliebige Kombination aus Zahlen, Symbolen, Farben, Grafiken und/oder Linien kann angezeigt werden, um einen Techniker zu befähigen, zügig auf das Sicherheitsniveau eines überwachten Ereignisses zuzugreifen. Ferner können die Status und/oder Statusänderungen verschiedener Ereignisse, so gewünscht, zur Nachbearbeitung gespeichert werden.
In einer Ausführungsform können die Graphen, ein oder mehrere Graphen, gemeinsam und/oder gleichzeitig angezeigt werden. Gruppierungen gewünschter überwachter Ereignisse können nahe beieinander angezeigt werden - beispielsweise nach Anlagenbereich, nach Funktion, nach Empfindlichkeit gegenüber bestimmten Bedingungen oder Faktoren (bspw. während bestimmter Phasen eines Chargenprozesses) usw. Ein Techniker wird in der Lage sein, die Anzeigenansicht zu maskieren, um die bestimmten relevanten Sicherheitsereignisse auf einen Blick betrachten zu können.
Ferner können für abstraktere Sicherheitsereignisse Visualisierungen bereitgestellt werden. Wie weiter oben erläutert, kann es sich bei einem überwachten Sicherheitsereignis um eine Abstraktion einer Gruppe überwachter Ereignisse handeln, wie etwa von Überwachungs- und Wirkungsblöcken.
Beispielsweise könnten, unter Bezug auf die 5 und 6, die Aktivierungselemente oder direkten Eingaben in die Wirkungsblöcke WB1 und WB2 ein überwachtes Sicherheitsereignis sein, und/oder jede Wirkung W1, W2 usw. der Wirkungsblöcke WB1 und WB2 könnte ein überwachtes Sicherheitsereignis sein. Jede von den Bedingungen oder Eingaben, aus denen jedes gewünschte überwachte Ereignis umfasst ist, kann zum Änderungsgrad dessen Status beitragen. Wenn beispielsweise ein überwachtes Ereignis vier Bedingungen erfordert, um das Ereignis auszulösen, dann kann der Status des überwachten Ereignisses „-1“ lauten, wenn eine Bedingung vorliegt; wenn zwei Bedingungen vorliegen, kann der Status des überwachten Ereignisses „-2“ lauten, liegen drei Bedingungen vor, so kann der Status des überwachten Ereignisses „-3“ lauten, und wenn alles vier Bedingungen vorliegen, kann der Status „X“ oder „ausgelöst“ lauten. Daher könnten die Symbole, Zahlen, Punkte usw. in den 16A-16D zum Beispiel verschiedene mögliche Zustände einer Wirkung (oder einer Ursache) repräsentieren, oder sie könnten die Anzahl der Ursachen repräsentieren, die gesetzt sind oder sich in einem Richtig-Zustand befinden, was im Verhältnis zur Gesamtanzahl an Ursachen gilt, die gesetzt sein oder sich im Richtig-Zustand befinden müssen, damit das Wirkungssignal ausgelöst oder initiiert wird.
Ferner kann ein Klick oder eine andere Benutzeranzeige auf einen bestimmten Sicherheitsstatus oder Indikator einer Statusänderung den Benutzer automatisch auf Einzelheiten der entsprechenden Bedingung(en) verweisen. Wie weiter oben beschrieben, kann ein Techniker von den Sicherheitsereignis-Visualisierungsgraphen ausgehend auf eine SRS, eine Systemkonfiguration und/oder eine CEM-Anzeige zugreifen. Wenn beispielsweise - unter Bezug auf das obige Beispiel, bei dem vier Bedingungen erforderlich sind, um ein überwachtes Ereignis auszulösen - die Sicherheitsvisualisierung „-1“ für das obige überwachte Ereignis von Graph 1620 angibt und der Benutzer auf die „-1“ klickt, dann kann eine Anzeigenansicht der Systemkonfiguration, welche die Vorrichtung oder das Ausrüstungsteil beinhaltet, die bzw. das die Bedingung, welche dem Sicherheitsstatus „-1“ entspricht, verursacht, angezeigt werden.
17 bildet ein Blockdiagramm eines Beispielverfahrens 1700 zum Visualisieren von Sicherheitsereignissen in einer Prozessanlage ab. Das Verfahren 1700 kann durch einen Server oder andernfalls jede Art elektronischer Vorrichtung unterstützt werden, wobei der Server mit einer Benutzerschnittstelle, die zum Anzeigen von Inhalten konfiguriert ist, ausgestattet oder damit verbunden sein kann.
Das Verfahren 1700 kann beginnen, wenn der Server auf eine CEM mit einem Satz Ursachen und einem Satz Wirkungen zugreift (Block 1710). In Ausführungsformen kann jede von dem Satz Ursachen eine Bedingung in der Prozessanlage repräsentieren, und jede von dem Satz Wirkungen kann eine Wirkung repräsentieren, die in der Prozessanlage auszuführen ist. Ferner können zumindest manche von dem Satz Ursachen und dem Satz Wirkungen als Ursache-Wirkungs-Paare zusammenhängen, wobei die jeweilige Wirkung als Reaktion auf ein Eintreten der jeweiligen Bedingung aktiviert werden kann und der Satz Ursachen und der Satz Wirkungen für einen Satz überwachter Sicherheitsereignisse in der Prozessanlage repräsentativ sein kann.
Der Server kann über die Benutzerschnittstelle eine Auswahl eines überwachten Sicherheitsereignisses aus dem Satz überwachter Sicherheitsereignisse empfangen (Block 1720). Ferner kann der Server in der Benutzerschnittstelle eine Angabe des überwachten Sicherheitsereignisses und einen aktuellen Status des überwachten Sicherheitsereignisses anzeigen (Block 1730). In Ausführungsformen kann der Server den aktuellen Status als ein oder mehrere erste grafische Objekte anzeigen.
Der Server kann eine Statusänderung des überwachten Sicherheitsereignisses erkennen (Block 1740). In einer Ausführungsform kann der Server die Statusänderung als Reaktion darauf erkennen, dass ein Zeitraum abläuft. Der Server kann in der Benutzerschnittstelle auch einen aktualisierten Status des überwachten Sicherheitsereignisses gemäß der Statusänderung anzeigen (Block 1750). In Ausführungsformen kann der Server den aktualisierten Status als ein oder mehrere zweite grafische Objekte anzeigen, die sich von dem einen oder den mehreren ersten grafischen Objekten unterscheiden können. Ferner kann der Server in Ausführungsformen einen Änderungsgrad zwischen dem aktuellen Status und dem aktualisierten Status des überwachten Sicherheitsereignisses bestimmen und den Änderungsgrad in der Benutzerschnittstelle anzeigen.
In einer Ausführungsform kann der Server ferner als Reaktion darauf, dass ein Zeitraum abläuft, bestimmen, dass sich der aktualisierte Status des überwachten Sicherheitsereignisses nicht geändert hat, und in der Benutzerschnittstelle den aktualisierten Status des überwachten Sicherheitsereignisses anzeigen. Zusätzlich oder alternativ kann der Server über die Benutzerschnittstelle eine Auswahl des aktualisierten Status des überwachten Sicherheitsereignisses empfangen, wobei das überwachte Sicherheitsereignis einen Satz damit verbundener Bedingungen aufweist, und er kann in der Benutzerschnittstelle einen Bedingungsstatus für jede aus dem Satz verbundener Bedingungen anzeigen. Zusätzlich oder alternativ kann der Server über die Benutzerschnittstelle eine Auswahl des aktualisierten Status des überwachten Sicherheitsereignisses empfangen, wobei das überwachte Sicherheitsereignis eine damit verbundene Bedingung aufweisen kann, die vorliegt, und er kann in der Benutzerschnittstelle eine Angabe einer Vorrichtung in der Prozessanlage anzeigen, die verursacht, dass die verbundene Bedingung vorliegt.
Zusätzlich oder alternativ kann der Server Daten im Speicher speichern, die für das überwachte Sicherheitsereignis, den aktuellen Status des überwachten Sicherheitsereignisses und den aktualisierten Status des überwachten Sicherheitsereignisses repräsentativ sind. Darüber hinaus kann der Server zusätzlich oder alternativ: (i) eine zusätzliche Angabe eines zusätzlichen überwachten Sicherheitsereignisses des Satzes überwachter Sicherheitsereignisse und (ii) einen zusätzlichen aktuellen Status des zusätzlichen überwachten Sicherheitsereignisses in der Benutzerschnittstelle anzeigen und in der Benutzerschnittstelle einen zusätzlichen aktualisierten Status des zusätzlichen überwachen Sicherheitsereignisses gemäß der zusätzlichen Statusänderung anzeigen.
Die weiter oben bereitgestellten beispielhaften CEMs sind vereinfachende Repräsentationen, die zur Veranschaulichung gedacht sind. 18 stellt eine beispielhafte CEM 1800 dar, die eine komplexere CEM ist, welche Zeitverzögerungsauslöser, zulassende Auslöser, sofortige Auslöser und Zurücksetzen-Auslöser beinhaltet. Die CEM 1800 ist ein umfangreicheres Beispiel einer CEM, die eine akkuratere Repräsentation einer echten CEM ist. In der wie in 18 dargestellten CEM 1800 können die Zellen, die nur ein „X“ enthalten, ein sofortig auslösendes Ereignis repräsentieren. Ferner kann jede beliebige Zelle, die nur mit einem „R“ befüllt ist, repräsentieren, dass das Ereignis zum Zurücksetzen ausgelöst werden wird, wenn die Ursache empfangen wird. Zellen der CEM 1800, die mit dem Buchstaben „T“ beginnen, können angeben, dass die Ursache das Ereignis direkt auslöst, jedoch mit einer Zeitverzögerung. Zeitverzögerungen können in zuvor festgelegten Intervallen eingerichtet sein. Beispielsweise kann „T1“ einer Zeitverzögerung von 10 Sekunden entsprechen, und „T2“ kann einer Zeitverzögerung von 20 Sekunden entsprechen usw.
Die CEM 1800 enthält auch Zellen, die nur Zahlen enthalten, wobei diese Zellen „Aktivierungselementen“ entsprechen können. Insbesondere kennzeichnet die Zahl in der Zelle die Gruppe, zu der das Aktivierungselement gehört, wobei es für jede Gruppe ein oder mehrere Aktivierungselemente geben kann. Zellen in der CEM 1800, die mit einer Zahl beginnen, aber auch andere Zeichen enthalten, können Zusammenhänge repräsentieren, welche die Wirkung erst auslösen, wenn auch die Aktivierungselemente ausgelöst werden. In manchen Ausführungsformen muss jede Zelle, die mit dem entsprechenden Aktivierungselement (oder den entsprechenden Aktivierungselementen) zusammenhängt, „an“ sein, damit die Wirkung ausgelöst wird. In anderen Ausführungsformen kann jede beliebige Kombination von Ursachen in der jeweiligen Gruppe von Aktivierungselementen kombiniert werden, um die Wirkung auszulösen. Ähnlich dazu kann eine beliebige Kombination aus Aktivierungselementen erforderlich sein, um die Wirkung auszulösen.
In der wie in 18 dargestellten CEM 1800 beispielsweise ist die Ursache 1801 das Aktivierungselement für die Gruppe 1. Wenn eine Ursache 1802 ausgelöst wird, können daher die entsprechenden Wirkungen nicht ausgelöst werden, außer, die Ursache 1801 wird ebenfalls ausgelöst. Dieser Ursache-Wirkungs-Zusammenhang wird als zulassender Zusammenhang betrachtet, weil die Wirkung erst ausgelöst wird, wenn das Aktivierungselement „an“ ist. Fortfahrend mit dem Beispiel gibt eine Zelle 1803 an, dass der Ursache-Wirkungs-Zusammenhang zu Aktivierungselement-Gruppe 1 gehört und dass die Wirkung 1805 mit einer Zeitverzögerung ausgelöst werden wird, die der Dauer T1 entspricht, wenn das Ursachensignal 1802 ansteigt und das Aktivierungselement-Ursachensignal 1801 ebenfalls hoch oder an ist. Eine Zelle 1804 gibt an, dass der Ursache-Wirkungs-Zusammenhang zulassend ist und zur Aktivierungselement-Gruppe 1 gehört und dass die Wirkung 1806 sofort ausgelöst werden wird, wenn das Ursachensignal 1802 sowohl aktiviert (sprich, das Ursachensignal 1801 ist an) und ausgelöst ist.
Die CEM 1800 kann in allen der zuvor genannten Verfahren 700, 1000, 1200, 1400, 1500 und 1700, die oben beschrieben wurden, implementiert werden. Darüber hinaus können hier beschriebene Überwachungs- und Wirkungsblöcke zum Implementieren einer CEM oder Logik einer CEM verwendet werden, um die komplexen Logikfunktionen und untereinander zusammenhängenden Logikfunktionen der CEM 1800, zum Beispiel, oder beliebige sonstige Logikfunktionen in anderen CEMs zu implementieren. Die Vorteile des Bedienens einer CEM gelten trotz der gestiegenen Komplexität der CEM 1800 nach wie vor. Ferner sind die beispielhaften CEMs nicht als einschränkend gedacht, und jedes beliebige der oben beschriebenen Verfahren 700, 1000, 1200, 1400, 1500 und 1700 kann mit beliebigen zukünftigen Ausführungsformen einer Ursache-Wirkungs-Tabelle umgesetzt werden, die verwendet werden, um Sicherheitslogik in einer Prozessanlage zu implementieren.
Jedes der Verfahren 700, 1000, 1200, 1400, 1500 und 1700 der 7, 10, 12, 14, 15 und 17 kann mittels Software, Firmware oder Hardware oder einer Kombination aus Software, Firmware und/oder Hardware umgesetzt werden. Zudem könnten die Ablaufdiagramme der 7, 10, 12, 14, 15, 17, obwohl sie als Routinen beschrieben wurden, mittels Software, Hardware, Firmware oder einer Kombination aus Software, Firmware und/oder Hardware umgesetzt werden.
Ausführungsformen einer Benutzerschnittstelle, wie etwa der weiter oben beschriebenen Benutzerschnittstellen, können ganz oder teilweise anhand eines Prozessors umgesetzt werden, der zum Beispiel gemäß einem Softwareprogramm konfiguriert ist. Zum Beispiel kann die Arbeitsstation 18a oder 20a oder ein anderer Computer die weiter oben beschriebene Benutzerschnittstelle ganz oder teilweise implementieren. Ein Softwareprogramm zum Umsetzen von Ausführungsformen einer Benutzerschnittstelle kann in Software verkörpert sein, die in einem materiellen Medium gespeichert ist, wie etwa einer Festplatte, einem RAM, einem mit Batterien überbrückten RAM, einem ROM, einer CD-ROM, einem PROM, einem EPROM, einem EEPROM, einer DVD, einem Flash-Speicher usw., oder in einem Speicher wie etwa einem RAM, der mit dem Prozessor verbunden ist; dabei wird der Durchschnittsfachmann ohne Weiteres erkennen, dass das gesamte Programm oder Teile davon alternativ auch durch eine Vorrichtung ausgeführt werden kann bzw. können, die kein Prozessor ist, und/oder in Firmware und/oder dedizierter Hardware auf bekannte Art und Weise verkörpert sein kann.
Zwar können bezüglich der vorliegenden Erfindung diverse Modifikationen und alternative Konstruktionen vorgenommen werden, doch wurden bestimmte veranschaulichende Ausführungsformen davon in den Zeichnungen gezeigt und werden hier ausführlich beschrieben. Allerdings versteht es sich, dass nicht die Absicht verfolgt wird, die Offenbarung auf die konkreten offenbarten Formen einzuschränken, sondern die Absicht ganz im Gegenteil darin besteht, sämtliche Modifikationen, alternativen Konstruktionen und Äquivalente abzudecken, die in den Geist und Umfang der wie durch die beigefügten Ansprüche definierten Offenbarung abzudecken.
ZITATE ENTHALTEN IN DER BESCHREIBUNG
Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
Zitierte Patentliteratur

US 62/239657 [0001]

Claims

Computerimplementiertes Verfahren zum Bedienen von Funktionsblöcken in einem Prozessleitsystem für eine Prozessanlage, wobei das Verfahren umfasst: Zugreifen auf eine anfängliche Ursache-Wirkungs-Tabelle (CEM), die einen Satz Ursachen und einen Satz Wirkungen aufweist, wobei jede aus dem Satz Ursachen eine Bedingung in der Prozessanlage repräsentiert und jede aus dem Satz Wirkungen eine Wirkung, die in der Prozessanlage auszuführen ist, repräsentiert, und wobei zumindest manche aus dem Satz Ursachen und dem Satz Wirkungen als Ursache-Wirkungs-Paare zusammenhängen, wobei die jeweilige Wirkung als Reaktion auf ein Eintreten der jeweiligen Bedingung aktiviert wird; und Definieren eines Satzes zusammenhängender Gruppen in der anfänglichen CEM, beinhaltend, im Falle jeder zusammenhängenden Gruppe aus dem Satz zusammenhängender Gruppen: Zugreifen auf einen Satz Regeln, der mit dem Satz zusammenhängender Gruppen verbunden ist, Identifizieren eines Teils des Satzes Ursachen, die mit einem Teil des Satzes Wirkungen zusammenhängen, gemäß dem Satz Regeln und auf Grundlage zumindest eines Teils der entsprechenden Ursache-Wirkungs-Paare, und Umordnen des Teils des Satzes Ursachen und des Teils des Satzes Wirkungen, sodass der Teil der entsprechenden Ursache-Wirkungs-Paare umgeordnet wird.
Computerimplementiertes Verfahren nach Anspruch 1, ferner umfassend: Konfigurieren eines oder mehrerer Funktionsblöcke für das Prozessleitsystem gemäß dem Satz zusammenhängender Gruppen.
Computerimplementiertes Verfahren nach Anspruch 1, wobei eine Regel aus dem Satz Regeln spezifiziert, dass sich ein spezifizierter Teil des Satzes Wirkungen in der gleichen zusammenhängenden Gruppe befinden muss, und wobei das Identifizieren des Teils des Satzes Ursachen, die mit dem Teil des Satzes Wirkungen zusammenhängen, umfasst: Identifizieren des Teils des Satzes Ursachen als diejenigen, welche den Teil der entsprechenden Ursache-Wirkungs-Paare mit dem spezifizierten Teil des Satzes Wirkungen aufweisen.
Computerimplementiertes Verfahren nach Anspruch 1, wobei eine Regel aus dem Satz Regeln spezifiziert, dass der Teil des Satzes Ursachen eine bestimmte Anzahl betragen muss, und wobei das Identifizieren des Teils des Satzes Ursachen, die mit dem Teil des Satzes Wirkungen zusammenhängen, umfasst: Identifizieren des Teils des Satzes Ursachen, die mit dem Teil des Satzes Wirkungen zusammenhängen, bis der Teil des Satzes Ursachen die bestimmte Anzahl beträgt.
Computerimplementiertes Verfahren nach Anspruch 1, wobei eine Regel aus dem Satz Regeln spezifiziert, dass sich bei dem Satz zusammenhängender Gruppen weder der Satz Ursachen noch der Satz Wirkungen überlappen sollte.
Computerimplementiertes Verfahren nach Anspruch 1, ferner umfassend: für jede zusammenhängende Gruppe aus dem Satz zusammenhängender Gruppen: automatisches Berechnen einer numerischen Repräsentation für die zusammenhängende Gruppe gemäß den umgeordneten Ursache-Wirkungs-Paaren.
Computerimplementiertes Verfahren nach Anspruch 6, wobei das automatische Berechnen der numerischen Repräsentation für die zusammenhängende Gruppe umfasst: automatisches Berechnen einer hexadezimalen Repräsentation für die zusammenhängende Gruppe gemäß den umgeordneten Ursache-Wirkungs-Paaren.
Computerimplementiertes Verfahren nach Anspruch 6, ferner umfassend: Erzeugen einer allgemeinen Ursache-Wirkungs-Tabelle (CEM) auf Grundlage der numerischen Repräsentation für jede zusammenhängende Gruppe aus dem Satz zusammenhängender Gruppen.
Computerimplementiertes Verfahren nach Anspruch 6, ferner umfassend: Konfigurieren eines oder mehrerer Funktionsblöcke für das Prozessleitsystem gemäß der numerischen Repräsentation jeder aus dem Satz zusammenhängender Gruppen.
Computerimplementiertes Verfahren nach Anspruch 6, ferner umfassend: für jede aus dem Satz zusammenhängender Gruppen: Vergleichen der numerischen Repräsentation mit einer gespeicherten numerischen Repräsentation; und Bestimmen auf Grundlage des Vergleichens, ob ein Satz Abweichungen besteht.
System zum Bedienen von Funktionsblöcken in einem Prozessleitsystem für eine Prozessanlage, umfassend: einen Speicher, der konfiguriert ist zum Speichern (i) einer anfänglichen Ursache-Wirkungs-Tabelle (CEM), die einen Satz Ursachen und einen Satz Wirkungen aufweist, wobei jede aus dem Satz Ursachen eine Bedingung in der Prozessanlage repräsentiert und jede aus dem Satz Wirkungen eine Wirkung, die in der Prozessanlage auszuführen ist, repräsentiert, und wobei zumindest manche aus dem Satz Ursachen und dem Satz Wirkungen als Ursache-Wirkungs-Paare zusammenhängen, wobei die jeweilige Wirkung als Reaktion auf ein Eintreten der jeweiligen Bedingung aktiviert wird, und (ii) eines Satzes Regeln; und ein Analysemodul, das durch einen Prozessor ausgeführt wird und zu Folgendem konfiguriert ist: Zugreifen auf die anfängliche CEM von dem Speicher, und Definieren eines Satzes zusammenhängender Gruppen in der anfänglichen CEM, beinhaltend, im Falle jeder zusammenhängenden Gruppe aus dem Satz zusammenhängender Gruppen: Zugreifen, von dem Speicher, auf den Satz Regeln, der mit dem Satz zusammenhängender Gruppen verbunden ist, Identifizieren eines Teils des Satzes Ursachen, die mit einem Teil des Satzes Wirkungen zusammenhängen, gemäß dem Satz Regeln und auf Grundlage zumindest eines Teils der entsprechenden Ursache-Wirkungs-Paare, und Umordnen des Teils des Satzes Ursachen und des Teils des Satzes Wirkungen, sodass der Teil der entsprechenden Ursache-Wirkungs-Paare umgeordnet wird.
System nach Anspruch 11, ferner umfassend: ein Leitsystem-Konfigurationsmodul, das zum Konfigurieren eines oder mehrerer Funktionsblöcke für das Prozessleitsystem gemäß dem Satz numerischer Repräsentationen konfiguriert ist.
System nach Anspruch 11, wobei eine Regel aus dem Satz Regeln spezifiziert, dass sich ein spezifizierter Teil des Satzes Wirkungen in der gleichen zusammenhängenden Gruppe befinden muss, und wobei, um den Teil des Satzes Ursachen zu identifizieren, die mit dem Teil des Satzes Wirkungen zusammenhängen, das Analysemodul zu Folgendem konfiguriert ist: Identifizieren des Teils des Satzes Ursachen als diejenigen, welche den Teil der entsprechenden Ursache-Wirkungs-Paare mit dem spezifizierten Teil des Satzes Wirkungen aufweisen.
System nach Anspruch 11, wobei eine Regel aus dem Satz Regeln spezifiziert, dass der Teil des Satzes Ursachen eine bestimmte Anzahl betragen muss, und wobei, um den Teil des Satzes Ursachen zu identifizieren, die mit dem Teil des Satzes Wirkungen zusammenhängen, das Analysemodul zu Folgendem konfiguriert ist: Identifizieren des Teils des Satzes Ursachen, die mit dem Teil des Satzes Wirkungen zusammenhängen, bis der Teil des Satzes Ursachen die bestimmte Anzahl beträgt.
System nach Anspruch 11, wobei eine Regel aus dem Satz Regeln spezifiziert, dass sich bei dem Satz zusammenhängender Gruppen weder der Satz Ursachen noch der Satz Wirkungen überlappen sollte.
System nach Anspruch 11, wobei das Analysemodul ferner zu Folgendem konfiguriert ist: für jede zusammenhängende Gruppe aus dem Satz zusammenhängender Gruppen: automatisches Berechnen einer numerischen Repräsentation für die zusammenhängende Gruppe gemäß den umgeordneten Ursache-Wirkungs-Paaren.
System nach Anspruch 16, wobei, um die numerische Repräsentation für die zusammenhängende Gruppe automatisch zu berechnen, das Analysemodul zu Folgendem konfiguriert ist: automatisches Berechnen einer hexadezimalen Repräsentation für die zusammenhängende Gruppe gemäß den umgeordneten Ursache-Wirkungs-Paaren.
System nach Anspruch 16, wobei das Analysemodul ferner zu Folgendem konfiguriert ist: Erzeugen einer allgemeinen Ursache-Wirkungs-Tabelle (CEM) auf Grundlage der numerischen Repräsentation für jede zusammenhängende Gruppe aus dem Satz zusammenhängender Gruppen, und Speichern der allgemeinen CEM in dem Speicher.
System nach Anspruch 16, ferner umfassend: ein Leitsystem-Konfigurationsmodul, das zum Konfigurieren eines oder mehrerer Funktionsblöcke für das Prozessleitsystem gemäß der numerischen Repräsentation jeder aus dem Satz zusammenhängender Gruppen konfiguriert ist.
System nach Anspruch 16, wobei der Speicher ferner dazu konfiguriert ist, einen Satz gestaltungsbezogener numerischer Repräsentationen zu speichern, und wobei das Analysemodul ferner zu Folgendem konfiguriert ist: für jede aus dem Satz zusammenhängender Gruppen: Vergleichen der numerischen Repräsentation mit einer jeweiligen gestaltungsbezogenen numerischen Repräsentation aus dem Satz gestaltungsbezogener numerischer Repräsentationen, und Bestimmen auf Grundlage des Vergleichens, ob ein Satz Abweichungen besteht.