JP2004303247A - プロセス安全システムで使用するための原因結果マトリックスの機能ブロック実装 - Google Patents

プロセス安全システムで使用するための原因結果マトリックスの機能ブロック実装 Download PDF

Info

Publication number
JP2004303247A
JP2004303247A JP2004094740A JP2004094740A JP2004303247A JP 2004303247 A JP2004303247 A JP 2004303247A JP 2004094740 A JP2004094740 A JP 2004094740A JP 2004094740 A JP2004094740 A JP 2004094740A JP 2004303247 A JP2004303247 A JP 2004303247A
Authority
JP
Japan
Prior art keywords
state
cause
signal
signals
reset
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2004094740A
Other languages
English (en)
Other versions
JP4578839B2 (ja
Inventor
Michael G Ott
マイケル ジー. オット,
Gary Law
ギャリー ロウ,
Dennis Stevenson
デニス スティーヴンソン,
Robert Havekost
ロバート ハブコスト,
Julian Naidoo
ジュリアン ナイドゥー,
Godfrey R Sheriff
ゴドフリー アール. シェリフ,
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fisher Rosemount Systems Inc
Original Assignee
Fisher Rosemount Systems Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fisher Rosemount Systems Inc filed Critical Fisher Rosemount Systems Inc
Publication of JP2004303247A publication Critical patent/JP2004303247A/ja
Application granted granted Critical
Publication of JP4578839B2 publication Critical patent/JP4578839B2/ja
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B11/00Automatic controllers
    • G05B11/01Automatic controllers electric
    • G05B11/32Automatic controllers electric with inputs from more than one sensing element; with outputs to more than one correcting element

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Safety Devices In Control Systems (AREA)
  • Programmable Controllers (AREA)

Abstract

【課題】プラントの安全システムのテストを容易にする。
【解決手段】プラント安全システムの機能ブロックダイヤグラムプログラミング環境に容易に組み込んで、原因結果ロジックを実装するための原因結果機能ブロックは、原因入力の集合と結果出力の集合とを含んでいる。原因結果機能ブロック内のマルチプレクサは、各原因入力と各結果出力に対して存在する別々の状態マシンに接続する。マルチプレクサは原因入力のそれぞれをデコードし、原因入力及び原因結果マトリックスロジックに基づいて、状態マシンにトリップ信号を提供する。トリップ信号の受け取りに際して、状態マシンは、関連する結果出力をトリップした又は安全な状態に強制する。必要に応じて、状態マシンは、例えばユーザ又はプロセスからの信号のような信号を使用して、トリップした又は安全な状態から正常な状態にプロセスプラントを安全に戻すために使用される異なる状態の集合の間で遷移する。
【選択図】図2

Description

本発明は、概略的にはプロセスプラントに於いて使用される安全システムに関し、より詳細には、プロセスプラント内で使用される安全システムの動作の制御に使用される原因結果マトリックスの機能ブロック実装に関する。
化学、石油等のプロセスで使用されるプロセス制御システムは、少なくとも一つのホスト又はオペレータワークステーション及び一又はそれ以上のフィールドデバイスに、アナログ、デジタル又はアナログ/デジタル複合バス又はラインを介して接続された、一又はそれ以上のプロセスコントローラを典型的に含んでいる。例えば、バルブ、バルブポジショナ、スイッチ及びトランスミッタ(例えば、温度、圧力及び流速センサ)であり得るフィールドデバイスは、バルブの開又は閉やプロセスパラメータの測定のようなプロセス内の機能を実行する。プロセスコントローラは、フィールドデバイス及び/又はそのフィールドデバイスに関連する他の情報によって生成されるプロセス測定値を表す信号を受領し、この情報を、制御ルーチンを実装し次にプロセスのオペレーションを制御するためにバス又はライン上をフィールドデバイスに送信される制御信号を生成するのに使用する。フィールドデバイス及びコントローラからの情報は、オペレータが、プロセスを構成したり、プロセスの現状を見たり、プロセスのオペレーションを修正する等のプロセスに関する何れの所望の機能を実行するのも可能とする等のために、オペレーションワークステーションによって実行される一又はそれ以上のアプリケーションに典型的に利用可能とされ得る。
更に、多くのプロセスでは、毒性の薬物の漏洩、爆発等のプラント内の深刻な災害を生じ又は導くような問題が生じたときに、プロセスプラント内の問題に関連する重大な安全性を検出し、自動的にバルブを閉じ、デバイスから電源を取り去り、プラント内の流れをスイッチする等のために分離した安全性が導入されている。これらの安全システムは、標準のプロセス制御コントローラとは別の、ロジックソルバと呼ばれる一又はそれ以上のコントローラを典型的に有し、これは、プロセス制御プラント内に設けられた別のバス又は通信ラインを介して安全なフィールドデバイスに接続されている。ロジックソルバは、特定の安全スイッチ又は遮断バルブの位置、プロセスに於けるオーバーフロー若しくはアンダーフロー、重要な発電若しくは制御デバイスの動作、顕官検出デバイスの動作などの重要なイベントに関連するプロセス状態を検出するために、安全フィールドデバイスを使用し、これによってプロセスプラント内の「イベント」を検出する。イベント(典型的には「原因」と称される)が検出されると、安全コントローラは、バルブを閉じる、デバイスのスイッチを切る、プラントのセクションの電源を切る等、イベントの有害な性質を制限するための幾つかのアクション(典型的には「結果」と称される)を起こす。一般的には、これらのアクション又は結果は、プロセスプラント内の深刻な又は災害の状態を避けるように設計された安全デバイスをトリップした又は動作の「安全」モードに切り替えることを含んでいる。
過去には、安全システムは、伝統的に原因結果マトリックスと称されるものを使用してプログラムされており、これは、原因(典型的には検出されたプロセス状態)の集合のそれぞれを、一又はそれ以上の達成されるべき結果(例えば、安全デバイスの安全モードへのスイッチング)に関連づける。特に、原因結果マトリックスは、原因のセットのそれぞれがプロセスプラント内に存在するとして検出されたときに現れる一又はそれ以上の結果を特定する。何れかの特定の原因の存在は、一又はそれ以上の結果、即ち、安全システム内の一又はそれ以上の異なる安全デバイスの動作をもたらす。安全システムの動作を明らかにするために、通所、安全技師が原因結果マトリックスを生成し、それは、原因の全てが2次元のマトリックスの一方の側にリストされ(即ち、マトリックスの行に対応する)、そして、結果の全てがマトリックスのもう一方の側にリストされている(即ち、マトリックスの列に対応する)。行と列とによって定義されるマトリックスの要素は、そのマトリックス要素に関連する原因が、そのマトリックス要素に関連する結果の動作を結果としてもたらすべきであるかどうかを特定するのに使用される。一般的には、構成又は安全技師は、(マトリックス要素の行によって特定される)その要素の原因の検出は、(マトリックス要素の列によって特定される)その要素の結果の動作をもたらすことを示すために、マトリックス要素をチェックする。このように、例えば、第2行目と第3列は、第2行に関連する原因の存在がマトリックスの第3列に関連する結果の動作をもたらすべきことを意味している。このように、各結果は、一又はそれ以上の原因の結末として現れるように特定され得る。
一度構成又は安全技師が安全システム又はその一部の適当な原因結果マトリックスを決定すると、安全システムの制御ルーチンが原因結果マトリックスによって定義されるロジックを実装するために生成されなければならない。過去に於いては、構成又は安全技師は、異なるプログラム言語を使用して、原因結果マトリックスを安全システムコントローラに手動で翻訳していたが、このプログラムステップは、不幸にも単調で、時間を要し、誤りを伴い、これは、適切に運転される安全システムの欠陥が深刻な損害又は一部のプラント要員の死にさえ繋がり、プラント内の装置及び材料の何百万ドルにも及ぶ潜在的な破滅に繋がるので、深刻である。
更に近年、原因結果マトリックスを、ラダー・ロジック使用するような高レベル制御プログラムに自動的に翻訳するプログラムが開発されている。役には立つけれども、この自動プログラム生成は、特定の言語で書かれたプログラムを生成し、これは安全システムの制御計画に統合され、テストされデバグされなければならない。このような方法で翻訳された安全ロジックは非常に複雑なプログラムを生じるので、これらのプログラムは、テストしデバグするのにまだ困難で時間を要するものであり、多くの書類を必要としている。更に、制御機能を実装するために機能ブロックプログラム計画を使用する制御ルーチンにこれらのタイプのプログラムを使用することは困難である。
プロセスプラント内の安全システムは、従来の原因結果マトリックスによって特定された原因結果ロジックを実装するために、機能ブロックダイヤグラムプログラミング環境に容易に統合され得る一又はそれ以上の原因結果機能ブロックを使用する。このような原因結果機能ブロックは、容易に生成され、使用され、テストされ、デバグされ及び記録され、一又はそれ以上の原因入力と一又はそれ以上の結果出力とを含み、原因入力の一つへの原因信号の到着がトリップした又は安全な状態に設定されている一又はそれ以上の結果出力を生ずるようにプログラムされている。原因入力は、選択機能ブロックのような原因の存在を決定する他の機能ブロックに接続され得るが、結果出力はアナログ又はデジタル出力機能ブロックのような、プロセスプラント内の安全装置又は他のデバイスを制御する他の機能ブロックに接続されている。
原因結果機能ブロックは、原因結果マトリックスロジック又は一又はそれ以上の状態マシンに接続されたマルチプレクサを含み、個別の状態マシンは各結果出力に対して存在している。マルチプレクサは原因入力のそれぞれを受け取り及びデコードし、そして、原因入力及び先に特定された原因結果マトリックスロジックに基づいて、一又はそれ以上の状態マシンにトリップ信号を提供する。トリップ信号を受け取ると、状態マシンはトリップした又は安全な状態に、関連する結果出力を強制する。所望なら、次に、状態マシンは、例えば、安全システムをトリップした又は安全な状態から通常の状態(プロセスが正常に動作している)に安全に戻すことに関連する状態の集合の間の遷移のユーザ又はプロセスからのリセット信号のような、一又はそれ以上の他の信号を要求し得る。更に、各状態マシンは、その関連する結果出力信号をトリップした又は安全な状態に強制するような状態マシンを生ずる第1の原因を表す信号と同様に、状態マシンの現在の状態を表す信号を提供し得る。
この原因結果機能ブロックは、基本的な形式で容易に生成され、それは、原因結果マトリックスロジックをそれに供給するために、及び原因結果機能ブロックの所望の動作を定義するためのパラメータの集合に対する値を特定するために、構成又は安全技師を必要とするもにである。この原因結果機能ブロックはまた、原因結果機能ブロックの入力及び出力を制御計画内の他の機能ブロック又は要素に相互接続することにより、原因結果機能ブロックが他の機能ブロックと同様の方法で統合され得るのと同様に、機能ブロックロジックを使用するコントローラ又はロジックソルバに容易に統合される。結果として、この原因結果機能ブロックはまた、容易に記録され、テストされ及びデバグされる。更に、この原因結果機能ブロックは、安全システムが特定の安全デバイスをトリップした又は安全な状態から通常の動作の状態に戻す前に一連の状態を介してサイクルするのを可能とするなどのような、通常では安全システムに提供されていない付加的な機能を提供し得る。
図1を参照すれば、プロセスプラント10は、安全システム14(破線で表されている)を統合したプロセス制御システム12を含み、これは、一般的には、プロセスプラント10の好ましい安全動作を最大化させるためにプロセス制御システム12によって提供される制御をモニタしより優位に立つ安全装備システム(SIS)として動作する。また、プロセスプラント10は、一又はそれ以上のホストワークステーション、コンピュータ又はユーザインターフェイス16(これはどのようなタイプのパーソナルコンピュータ、ワークステーション、PDA等でもよい)を含み、これらは、プロセス制御要員、保守要員、安全技師などのプラント要員によってアクセス可能である。図1に示されている実施例では、2つのユーザインターフェイス16が、共通の通信ライン又はバス22を介して2つの別々のプロセス制御/安全制御ノード18及び20と構成データベース21とに接続されているものとして示されている。通信ネットワーク22は、どのような所望のバス基盤の又は非バス基盤のハードウエアを用いても、どのような所望の有線又は無線の通信機構を用いても、及びどのような所望のイーサネット(R)のような通信プロトコルを使用しても実装され得る。
一般的に言えば、プロセスプラント10のノード18及び20のそれぞれは、異なるデバイスが取り付けられるバックプレーン上に設けられるバス構造を介して相互接続されるプロセス制御システムデバイス及び安全システムデバイスの両方を含んでいる。ノード18は、一又はそれ以上のプロセス制御システム入力/出力(I/O)デバイス28,30及び32と同様に、プロセスコントローラ24(これはコントローラの冗長ペアでもよい)を含んでいるように図1に示されており、一方、ノード20は、一又はそれ以上のプロセス制御システムI/Oデバイス34及び36と同様に、プロセスコントローラ26(これはコントローラの冗長ペアでもよい)を含んでいるように示されている。プロセス制御システムI/Oデバイス28,30,32,34及び36のそれぞれは、図1にフィールドデバイス40及び42として示されているプロセス制御関連のフィールドデバイスに関連するプロセス制御の集合に通信可能に接続されている。プロセスコントローラ24及び26、I/Oデバイス28−36、並びにコントローラフィールドデバイス40及び42は、図1のプロセス制御システム12を構成している。
同様に、ノード18は、一又はそれ以上の安全システムロジックソルバ50,52を含み、一方、ノード20は、安全システムロジックソルバ54及び56を含んでいる。各ロジックソルバ50−56は、メモリに格納されている安全ロジックモジュール58を実行するプロセッサ57を有するI/Oデバイスであり、安全システムフィールドデバイス60及び62へ制御信号を供給し及びこれらからの信号を受け取るように通信可能に接続されている。加えて、ノード18及び20のそれぞれは、少なくとも一つのメッセージ伝達デバイス(MPD)70又は72を含み、これらは、リングタイプのバス接続74(図1ではその一部のみが画かれている)を介して互いに通信可能に接続されている。安全システムロジックソルバ50−56、安全システムフィールドデバイス60及び62、MPD70及び72、並びにバス74は、一般的に、図1の安全システムを構成している。
プロセスコントローラ24及び26は、例示としてのみ述べるが、Fisher-Rosemount Systems, Inc.によって販売されているDeltaV(登録商標)コントローラか、又は他の所望のタイプのプロセスコントローラであり得、I/Oデバイス28,30及び32(コントローラ24に対して)、I/Oデバイス34及び36(コントローラ26に対して)、及びフィールドデバイス40及び42を使用してプロセス制御機能を(制御モジュールと一般的に称される何れをも使用して)提供するようにプログラムされる。特に、コントローラ24及び26のそれぞれは、その中か、さもなくばそれに関連するどこかに格納されている一又はそれ以上のプロセス制御ルーチンを実装し又は監視し、及びプロセス10又はプロセス10の一部を所望の方法で制御するためにフィールドデバイス40及び42並びにワークステーション16と通信する。フィールドデバイス40及び42は、センサ、バルブ、トランスミッタ、ポジショナなどのようなどのような所望のタイプのフィールドデバイスであってもよく、所望の開放され、専用の又は他の通信若しくはプログラミングプロトコルに適合し得、このプロトコルには、例えば、ほんの2,3の例を挙げると、HART若しくは4−20mAプロトコル(フィールドデバイス40について例示されているように)、FOUNDATION(R) Fieldbus protocolのようなフィールドバスプロトコル(フィールドデバイス42について例示されているように)、又はCAN、Profibus、AS-Interface protocolsなどである。同様に、I/Oデバイス28−36は、どのような適切な通信プロトコルを使用する公知のタイプのプロセス制御I/Oデバイスでってもよい。
図1の安全システムロジックソルバ50−56は、プロセッサ57と、フィールドデバイス60及び62を使用して安全システム14に関連する制御機能を提供するためにプロセッサ57上で実行されるように構成されている安全ロジックモジュール58を格納するメモリとを含むどのような安全システム制御デバイスであってもよい。もちろん、安全システムフィールドデバイス60及び62は、上述のような何れの公知又は所望の通信プロトコルに従う若しくは使用するどのような所望のタイプのフィールドデバイスであってもよい。特に、フィールドデバイス60及び62は、独立した、専用の安全関連の制御システムによって従来のように制御されるタイプの安全−関連のフィールドデバイスであり得る。図1に示されているプロセスプラント10では、安全フィールドデバイス60は、HART若しくは4−20mAプロトコルのような専用の又は2地点間通信プロトコルを使用するとして画かれ、一方、安全フィールドデバイス62は、Fieldbus protocolのようなバス通信プロトコルを使用するとして画かれている。安全フィールドデバイス60は、バルブのシャットダウン、スイッチのシャットオフなどの所望の機能を実行し得る。
共通のバックプレーン76(コントローラ24,26、I/Oデバイス28−36、安全システムロジックソルバ50−56、並びにMPD70及び72を通過して破線で表されている)が、コントローラ24及び26を、安全システムロジックソルバ50,52,54又は56並びにMPD70及び72と同様に、プロセス制御I/Oカード28,30,及び32又は34及び36に接続するためにノード18及び20のそれぞれに於いて使用されている。コントローラ24及び26はまた、I/Oデバイス28−36、ロジックソルバ50−56、並びにMPD70及び72のそれぞれに、バス22を介してワークステーション16の何れかと通信することを可能とするために、バス22のためのバスアービットレータとして動作する。
理解されるであろうが、ワークステーション16のそれぞれは、プロセッサ77と、プロセッサ77上で実行されるように構成されている一又はそれ以上の構成及び/又は表示アプリケーションを格納するメモリ78とを含んでいる。構成アプリケーション80及び表示アプリケーション82は、ワークステーション16の一つに格納されて図1に開いて示されている。しかしながら、所望なら、これらのアプリケーションは、ワークステーション16の異なる一つ又はプロセスプラント10に関連する他のコンピュータに於いて格納され実行され得る。一般的に言えば、構成アプリケーション80は構成情報を安全技師に提供し、そして安全技師が、プロセスプラント10の幾つか又は全ての要素を構成し及びその構成を構成データベース21に格納するのを可能とする。構成アプリケーション80によって実行される構成アクティビティの一部として、安全技師は、プロセスコントローラ24及び26のための制御ルーチン又は制御モジュールを生成し得、ロジックソルバ50−56の何れか若しくは全てのための安全ロジックモジュール58(安全ロジックソルバ50−56で使用するための原因結果機能ブロックの生成及びプログラミングを含む)を生成し得、並びにこれらの異なる制御及び安全モジュールをプロセスコントローラ24及び26並びに安全システムロジックソルバ50−56の適当な一つに、バス22及びコントローラ24及び26を介してダウンロードし得る。同様に、構成アプリケーション80は、他のプログラム及びロジックを、I/Oデバイス28−36、フィールドデバイス40,42,60及び62等の何れかに生成し又はダウンロードするのに使用され得る。
逆に、表示アプリケーション82は、プロセス制御オペレータ、安全オペレータ等のユーザに一又はそれ以上の画像を提供するために使用され得、これは、プロセス制御システム12及び安全システム14の状態に関する情報を、所望されるとおりに別々又は同じ画像に含んでいる。例えば、表示アプリケーション82は、オペレータへのアラームの指示を受け取り及び表示するアラーム表示アプリケーションであり得る。所望なら、このようなアラーム表示アプリケーションは、「アラーム優先調製を含むプロセス制御システム」と題された米国特許第5,768,119号、及び「プロセス制御ネットワークに於ける統合されたアラーム表示」と題された米国特許出願第09/707,580号に開示されており、何れも本願の譲受人に帰属し、ここに明確に取り入れられる。しかしながら、システム12及び14の両方からのアラームがアラーム表示アプリケーションを実行しているオペレータワークステーション14に送られ、異なるデバイスからのアラームであると認識されたときに、これらの特許のアラーム表示又はアラームバナーは、プロセス制御システム12及び安全システム14の両方からのアラームを統合されたアラーム表示に受け取り及び表示することが理解されるであろう。同様に、オペレータは、プロセス制御アラームと同様の方法でアラームバナーに表示されている安全アラームを取り扱い得る。例えば、オペレータ又はユーザは、安全アラーム、安全アラームの停止等をアラームディスプレイを使用して認識し得、これは、安全システム14内の適当なプロセスコントローラ24及び26に、その安全アラームに関連する対応するアクションを採るために、バス22及びバックプレーン76上の通信を使用してメッセージを送るであろう。同様の方法で、他の表示アプリケーションは、システム12及び14の一つからのどのようなデータも従来のようにプロセス制御システムに提供されるディスプレイ又は表示に統合されるように、これらのシステムが同じタイプ及び種類のパラメータ、安全性及び参照性を使用するときに、これらのシステム12及び安全システム14の両方からの情報又はデータを表示し得る。
いずれにせよ、アプリケーション80及び82は、安全システムロジックソルバ50−56のそれぞれからと同様に、別々の構成及び他の信号をプロセスコントローラ24及び26のそれぞれに送り及びこれらからデータを受け取り得る。これらの信号は、フィールドデバイス40及び42の動作パラメータの制御に関連するプロセス−レベルのメッセージを含み、安全−関連のフィールドデバイス60−62の動作パラメータの制御に関連する安全−レベルのメッセージを含み得る。安全システムロジックソルバ50−56は、プロセス−レベルのメッセージと安全−レベルのメッセージとの両方を認識するが、安全システムロジックソルバ50−56は、メッセージの2つのタイプを識別することができ、そして、プロセス−レベルの構成信号によってプログラムされ又は実行されることはできない。一つの実施形態に於いては、プロセス制御システムデバイスに送られるプログラミングメッセージは、安全システムによって識別される特定のフィールド又はアドレスを含み、そして、それらの信号が安全システムデバイスをプログラムするのに使用されないようにする。
所望なら、安全システムロジックソルバ50−56は、プロセス制御I/Oカード28−36に使用されるハードウエア及びソフトウエア設計に比較して、同じか又は異なるハードウエア又はソフトウエア設計を採用し得る。プロセス制御システム12内のデバイス及び安全システム14内のデバイスに対するもう一つの技術の使用は、ハードウエア及びソフトウエアの欠陥の共通の原因を減少させ又は排除する。
更に、ロジックソルバ50−56を含む安全システムデバイスは、それによって実装されている安全−関連の機能に為されている認知されない変更の機会を減少させ又は排除する所望の孤立した及び安全な技術を採用し得る。例えば、安全ロジックソルバ50−56及び構成アプリケーション80は、ロジックソルバ50−56内の安全モジュールへの変更を行う特定の権限レベルを有する人又は特定のワークステーションに位置する人を必要とし、その権限レベル又は位置は、コントローラ24及び26並びにI/Oデバイス28−36によって達成されるプロセス制御機能への変更に必要な権限又はアクセスレベル若しくは位置とは異なっている。この場合には、安全システム14に変更を加える権限を与えられた安全ソフトウエア内又はワークステーションの位置で指定され人のみが、安全−関連の機能を変更する権限を有し、これにより、安全システム14の運転に対する不正行為の機会が減少する。後に理解されるように、このような安全性を実装するために、安全ロジックソルバ50−56内のプロセッサは、適正なフォーム及び安全性のために、到来するメッセージにアクセスし、安全ロジックソルバ50−56内で実行される安全−関連の制御モジュール58に為される変更のゲートキーパーとして動作する。
更に、所望なら、一度安全−関連機能がロジックソルバ50−56内で有効にされると、安全機能への状態変更は、適切なアクセス権なしにオペレータワークステーション16を介して行われ得ず、このことは、プロセス制御システム12に関連する通信構成が、安全システム14に対する初期化を提供するために使用されること、及び安全システム14の動作の実行時間の報告を提供するのに使用されることを可能とするが、しかし、まだ、プロセス制御システム12への変更が安全システム14の動作に衝撃を与えることができないと言う意味で、プロセス制御システム12を安全システム14から分離することを可能としている。
後に理解されるように、ノード18及び20のそれぞれに於けるバックプレーン76の使用は、安全ロジックソルバ50及び52並びに安全ロジックソルバ54及び56が、これらのデバイスのそれぞれによって実装された安全機能を調整するために互いに局所的に通信を行い、互いにデータ通信を行い、又は他の統合機能を果たすことを可能とする。他方、MPD70及び72は、プラント10の広大な各所に配置された安全システム14の各部が、それでもプロセスプラント10の異なるノードでの安全動作の調整を提供するために互いに通信することを可能とするように動作する。特に、バス74に関連するMPD70及び72は、プロセスプラント10の異なるノード18及び20に関連する安全ロジックソルバが、割り当てられた優先度に従ってプロセスプラント10内の安全−関連機能のカスケード接続を許容するために互いに通信可能にカスケードされるのを可能とする。あるいは、プロセスプラント10内の異なる位置にある2つ又はそれ以上の安全−関連機能は、プラント10の別々の領域又はノード内の個々の安全フィールドデバイスに向けて専用線を走らせることなくインターロックされ又は相互接続され得る。換言すれば、MPD70及び72並びにバス74の使用は、プロセスプラント10の実質的に全体に亘って分布するが異なる安全関連のハードウエアが要求に応じて互いに通信するのを可能とするために通信可能に相互接続されたその異なる構成要素を有する安全システム14を、安全技師が設計し及び構成することを可能とする。この特徴はまた、追加の安全システムロジックソルバが、それらが必要とされるに応じて又は新たなプロセス制御ノードがプロセスプラント10に追加されるのに応じて、安全システム14に付加されることを可能とするような安全システム14の拡張性を提供する。
ロジックソルバ50−56は安全デバイス60及び62に関連する制御アクティビティを実行するように、機能ブロックプログラミングパラダイムを使用してプログラムされ得ることが理解されるであろう。特に、ロジックソルバ54一つの安全制御モジュール58a(メモリ79に格納されている)の拡大図に示されているように、安全制御モジュールは、プラント10の動作の間の実装のためにロジックソルバ54に生成され及びダウンロードされ得る通信可能に相互接続された機能ブロックの集合を含んでいる。図1に示すように、制御モジュール58aは、他の機能ブロック96と通信可能に相互接続された入力(原因入力と称される)を有する2つの原因結果(CE)機能ブロック92及び94を有し、機能ブロック96は、例えば、アナログ入力(AI)、デジタル入力(DI)機能ブロック、選択機能ブロック、又は原因結果機能ブロック92及び94への原因信号を提供するように設計された他の機能ブロックであり得る。原因結果機能ブロック92及び94は、出力機能ブロック98に接続された出力(結果出力と称される)を有し、出力機能ブロック98は、アナログ出力(AO)、デジタル出力(DO)、又はスイッチ、バルブ等の安全デバイス60及び62の動作を制御するために原因結果機能ブロック92及び94からの結果信号を受け取る他の機能ブロックであり得る。もちろん、安全制御モジュール58aは、どのような機能をも実行するように所望された又は有用な方法で構成された一又はそれ以上の原因結果機能ブロックに従うどのようなタイプの機能ブロックをも含むどのような所望の方法でもプログラムされ得る。
また、図1の安全制御モジュール58aの拡大図は、その中の2つの原因結果機能ブロックを含んでいるけれども、任意の数の異なる安全ロジックモジュール58が、異なるロジックソルバ50−56のそれぞれについて生成され及びその中で使用され、これらのモジュールのそれぞれは、任意の所望の方法によって他の機能ブロックに通信可能に接続された任意の数の原因結果機能ブロックを含み得ることが理解されるであろう。同様に、例えば、もしFieldbusネットワークで使用されるなら、任意のフィールドバスタイプの機能ブロックであり得る原因結果機能ブロック92及び94、又はそれに接続された他の任意の他の機能ブロックは、フィールドデバイス62のような他のデバイス内に配置され実装され得る。もし安全システムの外側で使用されたなら、原因結果機能ブロックは、プロセスコントローラ24,26、I/Oデバイス28−36、フィールドデバイス42等に実装され得る。
図2は、図1の原因結果機能ブロック92の構成要素を示すブロックダイヤグラムである。原因結果機能ブロック92は、この場合には、それぞれCause1、Cause2、Cause3等のようにマークされた7つの原因入力100を含み、図1の入力機能ブロック96のような異なるソースから配送される原因信号を受け取るように構成されている。あるいは、原因信号は、機能ブロックに加えてそのプロセス内の他のアプリケーション又は他の要素によって供給され得る。原因入力100のそれぞれは、ここではマルチプレクサ102として参照されるマトリックスロジックブロックに供給され、これは、入力106で安全技師によって提供される典型的な原因結果マトリックスのような原因結果マトリックス(CEM)ロジック105を使用し、必要なら、プロセス10内の特定された安全でない状態の検出を示す状況を変更する何れかの特定の原因入力の結果として、どの結果が活性化され又はトリップされるべきかを決定する。
典型的な原因結果ロジックを示す例示の原因結果マトリックス105は、図3により詳細に示されている。原因結果機能ブロック92で使用される原因結果マトリックス105は、マトリックスの左側の7つの原因(マトリックス105の異なる列に関連する各原因とともに)を含んでおり、そして、そのマトリックスの先頭に沿ってリストされた2つの結果(マトリックス105の異なる欄に関連する各結果とともに)を有している。原因は複雑なデータ変数、又はDESC_CAUSE1 String、DESC_CAUSE2 String等の名前を付けられた信号として特定され、そのそれぞれは、それに関連する値と状態を有し、結果は複雑なデータ変数又はDESC_EFFECT1 String、DESC_EFFECT2 String等の名前を付けられた信号として特定され、そのそれぞれは、それに関連する値と状態を有している。マトリックス105は16の原因及び16の結果を提供することが可能なように記載されているが、それは例示の原因結果機能ブロック92が構成されている方法なので、この場合は7つの原因と2つの結果のみが使用されている。しかしながら、ここで検討している原因結果機能ブロックは、妥当な数の原因及び結果(入力及び出力)を有し得、そして、原因結果マトリックスは一般的には原因結果機能ブロックの原因入力と結果出力が存在するのと同じ数の原因及び結果を含んでいることが理解されるであろう。更に、マトリックス105は、図3に示されている16×16以外のどのような所望のサイズでもあってもよい。
マトリックス105は、安全技師が原因結果機能ブロック92を構成し又は生成しているときに、例えば、安全技師に表示され得るような方法で図3に示されている。マトリックスロジック105の適切なプログラミングを可能とするために、原因及び結果のそれぞれに対して提供されるストリングは、安全技師が、どの原因及び結果がマトリックス105で実際に表示されているのかを確実に理解するように原因又は結果を一意的に確認し又は命名し得る。同様に、垂直線106及び水平線107は、マトリックス105の左側及び先頭側にリストされている特定の原因及び結果にマトリックス105のボックス又は要素が並ぶように安全技師によって使用され及び操作される。このように、安全技師は、どのボックスがどの原因及び結果に関係するかを明確に確認することができる。同様に、マトリックス105のボックス又は要素は、もしそれらが使用されないなら、灰色にされる。
後に理解されるように、原因結果マトリックス105の特定のボックスのチェックは、そのボックスに関連する原因がそのボックスに関連する結果をもたらすであろうことを示しており、チェックがないことは原因が結果を生じていないであろうことを示している。従って、第1の原因DESC_CAUSE1は、トリップされ又は活性化されているDESC_EFFECT1及びDESC EFFECT2の両方の結果を生じるであろう。しかし、第2の原因DESC_CAUSE2は、トリップされている第1の結果DESC_EFFECT1のみを生じるであろう。もちろん、安全技師は、マウス又はキーボードを使用して、チェックをボックス上にドラッグし、ボックスにそれをドロップし、又は他の所望の方法により、ボックスを選択し得る。原因結果マトリックス105は、図2のマルチプレクサ102の特性であり、原因結果機能ブロック92の動作に先立ってこれに提供される。
図2を再び参照すると、一又はそれ以上の原因入力を受け取ると、マルチプレクサ102は、トリップ信号ライン108及び110の適当な一つに、原因結果マトリックス105によって定義されるように、2つの結果のそれぞれに対してマルチプレクサ102の入力で現存する活性なアクティビティを表す出力を生成する。トリップ信号ライン108及び110のそれぞれは、原因結果機能ブロック92内の2つの状態マシン112及び114の一つに接続されている。異なる状態マシン112及び114は、異なる結果出力に関連し、原因結果機能ブロック92によって作成される異なる結果信号を生成する。特に、状態マシン112及び114は、(Effect1及びEffect2とラベルされた)それぞれ結果出力116及び118を、それぞれライン108及び/又は110上の原因表示の存在に応答して、安全な又はトリップした状態にトリップされ又は設定されるようにする。この実施形態では、図3のマトリックス105を使用するとき、並びにCause1及びCause2の入力100が適当な原因入力100が同時にアクティブ(一方、他のCause3からCause7のそれぞれは不活性のままである)となったときに、マルチプレクサ102は、これらの両方の場合とも図3のマトリックスロジック105に従ってEffect1の動作又はトリップ化をもたらすので、Cause1及びCause2の表示を含む信号をトリップ信号ライン108上に置くであろう。同様に、マルチプレクサ102は、図3のマトリックス105に従って設定され又はトリップされたEffect2を生ずる活性なただ一つの原因であるCause1のみを示すトリップ信号ライン108及び110上に置くであろう。
一般的に言えば、結果の原因結果機能ブロックに関連するそれぞれの結果又は結果出力に対する単一のそして異なる状態マシンが存在する。図2のこの場合には、原因結果機能ブロック92は2つの結果出力のみを含んでいるので、2つの状態マシン112及び114のみを含んでいる。しかしながら、もし、原因結果機能ブロック92が例えば10個又は12個のようなより多くの結果出力を含んでいるなら、それぞれ原因結果機能ブロック92は10個又は12個の状態マシンを含むであろう。同様に、マルチプレクサ102は、マルチプレクサ102に設けられる原因入力100及びマトリックス105に基づいてこれらの状態マシンに活性な原因ストリングを提供するために、例えば、異なるトリップ信号ラインを介してこれらの状態マシンに接続されるであろう。
Effect1状態マシンの動作を説明すると、原因結果機能ブロック92内の他の状態マシンが同様の方法で動作することが理解される。特に、Effect1に対する状態マシン112は、Require_Reset1信号122、Reset_Permit1信号124、Reset1信号126及びStart_Permit1128を含む状態入力の集合と同様に、ライン120上のTrip_Typeの入力信号、トリップ信号ライン108上の活性な原因入力又は信号(Active_Causes1とラベルされる)を受け取る。トリップ信号入力及び状態入力は、状態マシン112を更にここで述べるような異なる状態の間の遷移を引き起こし、結果機能ブロック92の出力でのEffect1信号116の変更が、正常又はトリップされていない値とトリップされた又は安全な値との間、及びその逆のトリップされた又は安全な値と正常又はトリップされていない値との間での変更を引き起こす。
より詳細には、ライン108上のActive_Causes1 Stringが一又はそれ以上の原因(これらは安全な又はトリップされた状態に移行するEffect1信号を生成すると思われる)が現在アクティブであることを示しているなら、状態マシン112はEffect1出力信号をトリップされた又は安全な状態に移行するように強制するであろう。トリップされた又は安全な状態の定義はライン120上のTrip_Type信号に依存し又はこれによって定義される。特に、ライン120上のTrip_Type信号は、Effect1信号の安全に動作している状態又は値を、1又は0の何れか、高又は低等として定義する。同時に、Trip_Type信号120は、原因入力100の状態又は値を定義し、これは、マルチプレクサ102へ入力されると、原因が存在するかしないかを示す。換言すれば、原因入力100は同様に1又は0、高又は低等として定義され、プロセス内に検出された原因が存在するかしないかを示す。ライン120上のTrip_Type信号は、検出された原因及び結果機能ブロック92の適正な動作に対する安全な結果の状態に関連する原因及び結果の値を定義し得る。一般的に言えば、原因入力100のそれぞれは、同様の方法で原因の存在を定義し(即ち、1又は0の何れかとして)、出力信号116及び118のそれぞれは、同様の方法で結果の存在を定義(即ち、1又は0の何れかとして)する。この場合には、ライン120上の同じTrip_Type信号が原因結果機能ブロック92内の各状態マシンに供給される。もしこのような場合でないなら、別々のTrip_Type信号が定義され、原因結果機能ブロック92内の異なる状態マシンのそれぞれに別々に供給される。
いずれにせよ、ライン108上のActive_Causes1信号がプロセス内の一又はそれ以上の原因の検出に関連する値又は状態を示すとき、状態マシン112はEffect1出力信号116にそのトリップ又は安全値になるように強制する。しかしながら、一度Effect1出力信号116が安全状態になると、状態マシン112は、Effect1出力信号116が通常の又はトリップしていない状態に戻るよう強制し又は変更するために、一連の追加の状態の間で動作し又は移動するようにさせる。状態マシン112の動作は、状態マシン112の状態入力Require_Reset1 122、Reset_Permit1 124、Reset1 126及びStart_Permit1 128に存在する信号によって大部分決定され、これらは、後に理解されるように、トリップされた及び正常な状態の間の移行に使用される自由なロジックを特定するために安全技師又は他のユーザによってそれぞれの異なる状態マシン上で個別に構成可能であり、その逆も可能である。状態入力は状態マシンから状態マシンへと変化するので、原因結果機能ブロック92の各結果出力は、それに関連する異なる過渡的挙動を有している。
図4は、状態マシン112がトリップした又は安全なモードからトリップしていない正常なモードへと、又はその逆にサイクルする異なる状態を表す状態ダイヤグラム130を表している。図4の状態ダイヤグラム130は、トリップ状態132、リセット許容待ち状態134、リセット可能状態136、スタート許容状態待ち138、正常動作状態140,及びトリップ開始−遅延状態142として定義される6つの状態を含んでいる。状態ダイヤグラム130中の状態間の矢印は、状態132−142間の可能な状態遷移を示している。
状態ダイヤグラム130から理解されるように、状態マシン112は、トリップ信号入力108で活性な原因を受け取った状態マシン112に応答して現時点で居る位置である134,136,138,140及び142の何れの状態からも、トリップ状態132に入ることができる。従って、状態マシン112が正常動作状態140にありEffect1信号116が正常動作状態のとき、トリップ信号ライン108上の一又はそれ以上の活性な原因の存在は、状態マシン112をトリップ状態132に入らせる。同様に、トリップ信号入力108上の活性な原因の表示の存在は、状態マシン112が他の状態134,136,138,140及び142の何れかにあるとき、状態マシン112をトリップ状態132に入らせる。
一度トリップ状態132に入ると、状態マシン112は、ライン120上のTrip_Type信号によって定義されるように、Effect1信号116をトリップされた又は安全な状態値になるように強制する。状態マシン112は、ライン108上の活性な原因信号の全てが除去されるまで、即ち、Effect1を生ずる入力100での原因信号の全てが「原因が存在しない」値に設定されるまで、トリップされた状態にとどまるであろう(これにより、Effect1出力信号116を維持する)。状態マシン112は、状態マシン112への状態入力122,124,126及び128に存在する信号に依存して、トリップ状態132から状態134,136,138,140及び142の何れかに入る。例えば、もし、Require_Reset1 122が高又は活性に設定され、Reset_Permit1信号124が低又は不活性に設定されると、状態マシン112はトリップ状態132からリセット許容待ち状態134に移行しなければならず、他の状態の何れへも直接入ることはできないであろう。一度リセット許容待ち状態134に入ると、状態マシン112はReset_Permit1信号124をチェックする。この信号が高又は活性になり、それによってリセット許容(これは、例えばオペレータ又はがプロセス制御システム10内の他の人によって図1のユーザインターフェイス16を使用して発行され得る)を示す信号が状態マシン112によって受け取られたとき、状態マシン112はリセット可能状態136に入る。あるいは、もし、Require_Reset1信号122が低(これにより、リセット許容は不要であることを示す)、であるなら、状態マシン112はトリップ状態132からリセット可能状態136に直接移行する。
リセット可能状態136では、Require_Reset1信号122が活性のときのReset_Permit1信号124の除去は、状態マシン112をリセット許容待ち状態134に戻すこととなる。あるいは、リセット可能状態136では、状態マシン112はReset1信号126を待ち、これは、オペレータ又はバッチ実行アプリケーションのようなアプリケーションからのキーストローク又はコマンドによって生成され、状態マシン112への状態入力126上に現れる。Reset1信号126が受け取られると、状態マシン112は、もし、Start_Permit1信号128が状態マシン112への入力で存在するか若しくは活性であるなら正常動作状態140に入り、又は、もし、Start_Permit1信号が状態マシン112の状態入力128で存在せず若しくは活性であるなら状態待ち138へ入る。あるいは、状態マシン112は、リセット許容が要求されず又は要求され存在するとき(即ちRequire_Reset1信号122が不活性又は活性のときで、Reset_Permit1信号124が存在し又は活性のとき)、及びReset1信号126が存在し又は活性のとき、トリップ状態132からスタート許容状態待ち138へ直接入る。
スタート許容状態待ち138にあるとき、状態マシン112がStart_Permit1信号が状態入力128で高又は活性になるまで待ち、次に、Start_Permit1信号は、正常動作状態140に入る。オペレータによって、例えば図1のユーザインターフェイス16の一つを介して、プロセス制御ネットワーク10内のコントローラ又は何れかのコンピュータに於けるアプリケーションによって、プロセス変数又は他のプロセス信号によって、又は他のどのような方法によっても、生成され得る。しかしながら、スタート許容信号は、原因結果機能ブロックに正常モードで操作するサイクルを開始するように命令するため、オペレータ又はバッチソフトウエアアプリケーションのような他のプログラムによって、典型的に生成される。
リセット許容信号が要求されず又は要求されそして存在し(即ち、Require_Reset1信号122が不活性又は活性でReset_Permit1信号124が存在し又は活性のとき)、そしてReset1信号126及びStart_Permit1信号128の両方が存在し又は活性のとき、状態マシン112は、トリップ状態132から直接正常動作状態140に入り得る。いずれにしても、一度正常動作状態140になると、状態マシン112は、Trip_Type信号120によって定義されるように、Effect1信号116をその正常又はトリップしていない状態に強制し、それによて、状態マシン112によって制御されているEffect1に関する正常動作を許容する。
後に理解されるであろうように、状態マシン112の許容ロジックは、原因結果機能ブロック92への状態入力として顕在化され得る内部パラメータの操作によって達成され又は定義され得る。安全技師は、各結果信号に対して、結果信号が正常動作状態に遷移するであろう前に、何の状態信号が要求されているかを決定し得る。例えば、図4の状態ダイヤグラムに於いて、もし、オペレータリセットが要求されているなら、オペレータリセットそれ自身とスタート許容が正常動作状態への遷移に必要である。もし、オペレータリセットが必要でないなら、全ての関連する原因信号が不活性になった後、スタート許容のみが存在することが必要である。
状態マシン112は、図2のトリップ信号ライン108上の一又はそれ以上の活性な原因を受け取ると、速やかに正常動作状態140からトリップ状態132に移行する。しかしながら、所望なら、状態マシン112はまた、状態マシン112がトリップ信号ライン108上の一又はそれ以上の活性な原因を受け取ったとき、正常動作状態140からトリップ開始−遅延状態142に入るようにセットアップされ得る。別々の入力が状態マシン112及び114のそれぞれに、これらのマシンがトリップ開始−遅延状態142を使用すべきであるか、又は状態マシン112及び114がトリップ開始−遅延状態を使用するか又は使用しないかを生成するように構成され得るかを示すために提供されている。トリップ開始−遅延状態142内にあるとき、状態マシン112は、クロック又は他のカウンタをセットし、予め決められた値までカウントダウン(又はアップ)し、それによってトリップ状態132に入る前に特定の時間の間待つ。その時間がタイムアウトとなった後、状態マシン112はトリップ状態132に入る。しかし、トリップ開始−遅延状態142の間、状態マシン112は、正常又はトリップされていない状態に於いて、図2のEffect1信号116を維持する。所望なら、もし、トリップ信号ライン108上の原因表示の全てがタイマーカウントアウト前に除去されならと、又は、もし(オペレータによって発行されるような)中止信号がタイマーカウントアウト前に状態マシン112によって受け取られならと、状態マシン112は、正常動作状態140に再入することができるように設計され得る。あるいは、状態マシン112は、トリップ開始−遅延状態142を出てトリップ状態132に入ることができるのみであるように設計され得る。トリップ開始−遅延状態142は、原因信号100に於けるノイズ又は小さい変動が、シャットダウン(これは、時間、工数及び材料の無駄という観点から非常に高価となり得る)を生ずるのを防止するのに、又はオペレータ若しくは他のユーザがシャットダウンを中止する機会を可能とするのに使用される。
図4の状態ダイヤグラム130は、正常動作及びトリップされた状態、又はその逆の間の遷移を行う原因結果機能ブロック92の状態マシンを可能とする一つの方法を示しているが、状態マシンはこれらの状態のより少ない使用又は追加の状態又はこれらの2つの幾つかの組み合わせを使用するように設計され得ることを理解すべきである。更に、状態マシン112及び114の動作は、原因結果機能ブロック92が、他のプログラミング環境で生成される公知の原因及び結果ロジックに於いて通常提供されるものを超えて、追加の機能を提供することを可能とする。
所望なら、状態マシン112は、例えば、オペレータ又は他のユーザに情報を提供するために、又はプロセス10内の他のアプリケーション又は制御ルーチンによる使用のために、多くの他の出力を生成し得る。例えば、状態マシン112は、状態マシン112が現在位置している状態(図4の状態132−142の一つ等)を確認するストリング又は他の信号を提供するState1出力140を生成し得る。更にまた、状態マシン112は、状態マシン112をトリップ状態132に入らせる原因入力100の最初の原因を示すFirst_Out1信号142を生成し得る。First_Out1信号142は、そのプロセスプラント又はその部分がシャットダウンして、状態マシン112が(図4の)トリップ状態132に入るようにするために、どの原因が状態マシン112の入力に存在する第1の原因であるかを決定する。この信号は、一般的には状態マシンが正常動作モードに入ったときにリセットされるが、有用であり、ときには、トリップされた状態にEffect1信号116を置くことは、トリップされている同じ又は異なってさえいる結果出力を生ずる、活性になり又は高にセットされる他の原因信号100をもたらすので、必要ある。その時点で、最初の原因出力なしには、何の原因が一連のシャットダウンを引き起こしたかを言うことは困難である。
原因結果機能ブロック92のマルチプレクサ102は、原因信号の値に基づいて動作し又は原因を検出することができるが、マルチプレクサ102は、それに加えて又はその代わりに、原因が存在するかどうかを決定するのに一又はそれ以上の原因信号100に関連する状態信号を使用し得る。この場合、図2のマルチプレクサ102は、原因入力及び原因結果マトリックス105に基づいて、トリップ信号ライン108及び110をどのようにして何時生成したか決定するための状態論理ブロック150を含み得る。例えば、動作の一つのモードでは、上述のように、状態論理ブロック150は、原因信号の状態が何であろうと、適当な原因信号の値がプラント10内の原因の存在を示すとき、マルチプレクサ102に、トリップ信号ライン108及び110の一又はそれ以上に原因の表示を生成じさせ得る。もう一つの動作モードでは、マルチプレクサ102の状態論理ブロック150は、もし原因信号の値が検出された原因信号の条件又は状態の存在を示すか、又は原因信号が不良の状態なら、たとえ原因信号の値が良好又は「原因不存在」状態のままであっても、原因結果マトリックス105によって定義されるような特定の原因に対する結果状態マシンのそれぞれのトリッピングを引き起こす。更にもう一つの動作モードでは、マルチプレクサ102の状態論理ブロック150は、良好又は正常を有する最後の実際の原因信号(特定の原因信号100に対するもの)を使用し及び不良の状態を有するその後の全ての原因信号を無視し得る。この場合、もし原因信号の条件又は状態が不良状態になれば、マルチプレクサ102は、良好又は正常の状態を有する原因信号の条件又は状態信号に関連する最後の値を他に使用する(それによって、不良原因信号を基本的に無視する)。もちろん、マルチプレクサ102の状態論理ブロック150は、プロセスプラント10内の原因の存在又は不存在を検出する各原因信号に対する値と状態の表示若しくは他のパラメータとの他の組み合わせを使用し得る。
ここでは、状態マシン112の動作のみが記述されているが、原因結果機能ブロック92の状態マシン114等の他の状態マシンのそれぞれについても、状態マシン112に関連して記述したのと同様の方法で動作することが理解されるであろう。同様に、原因結果機能ブロックによって生成され又は制御される多くの結果によって決定される数のどのような特定の原因結果機能ブロックに於いても、どのような異なる数の状態マシンも提供され得る。
所望なら、原因結果機能ブロック92は、他のパラメータ及び状態の特徴づけも含み得る。例えば、原因結果機能ブロック92は、一又はそれ以上の結果出力をトリップした又は安全な状態に強制する、ユーザ、他のアプリケーションなどによって設定される強制結果パラメータ含み得る。このようなパラメータは、シャットダウン状態を生成し又はシャットダウン状態でシステムを維持するのに使用され得る。強制結果パラメータの動作は、たとえトリップした状態に強制されている結果に関連する状態マシンが図4のトリップ開始−遅延状態142にあっても、トリップした状態に強制されている結果によって定義されるように、即座のシャットダウン手法を引き起こす。同様に、強制パラメータと同じ又は異なるパラメータであり得る強制正常パラメータは、原因結果機能ブロックの入力に原因結果が存在しても、結果を正常の状態又は値に強制し得る。
結果信号又は原因結果機能ブロックの出力のそれぞれは、これに関連する、例えば結果信号が位置する状態又は(マルチプレクサ102に於いて使用されるマトリックスロジックによって定義される)状態が結果信号に関連する原因の状態等によって決定される状態を有している。特に、もし、原因信号が不良のときにマルチプレクサ102の状態論理ブロック150が原因信号の状態を無視し又は原因の存在を検知すると、その結果信号の状態が不良に設定されているその結果信号に(原因結果マトリックス105によって定義されるように)関連する原因信号のそれぞれの状態が不良でなければ、結果信号の状態は良好に設定され得る。結果信号の状態は、状態論理ブロック150が原因信号の最後の良好な値を使用したときに良好に設定され得る。もちろん、他の状態もそれぞれの結果信号に対して定義され得る。
原因マスクパラメータは、一又はそれ以上の原因信号が特定の条件下でアクティブになるのを妨げるように、原因結果機能ブロックに提供され得る。例えば、バッチ実行プログラミングは、バッチが実行されていないときに原因結果機能ブロックに入力されている一又はそれ以上の原因信号に対して原因マスクパラメータを設定し、これにより、問題が存在しないと予想されるときに結果のトリッピングを妨げる。
オーバーライドパラメータは、原因結果機能ブロックの正常なロジックが使用されていない時を特定するために、原因結果機能ブロックによって使用され又は出力され得る。これは、例えば、原因マスクパラメータが設定されたとき、強制正常又は強制結果パラメータが設定されたとき等に現れる。このパラメータは、例えば、ユーザ、例えばオペレータに、状態又はアラーム情報を提供するために、ユーザインターフェイスで使用される。もちろん、原因結果機能ブロックは、不良状態、強制された結果若しくは強制された正常状態、一又はそれ以上の結果上のトリップされた状態を示すアラーム等、所望のアラーム信号を提供し得る。以下に記述されるように、上記と同様又はここに記載したものに加えて、他の所望のアラームが使用され得る。
上記から理解されるように、ここで記載した原因結果機能ブロックの使用は、公知のフォーマットを有する機能ブロックを生成するのを容易にし、従って、一度生成されると、適正な動作を提供するように適当なマトリックス及びパラメータの設定でプログラムされることを必要とするのみある。機能ブロックプログラミング環境内の原因結果機能ブロックの実装は、原因結果機能ブロックが生成され他の機能ブロックに公知又は所望の方法で通信可能に接続され得るので容易である。同様に、原因結果機能ブロックは、それがプログラミング環境及びそれに送られる構成パラメータ内でどのように接続されるかという関係内で容易にデバグされ得ることだけを典型的に必要とするので、原因結果機能ブロックのデバグも他のプログラミング言語で生成される原因結果マトリックスロジックよりも一層容易となる。更に、原因結果機能ブロックの文書化は、それが個々のパラメータ及びそれに提供されるマトリックスの設定によってのみ変更される標準の文書を有する典型的な機能ブロックであるので、容易である。
図1では、原因結果機能ブロック92及び94が、AI、DI、選択機能ブロック又は他の機能ブロックからの入力を受け取るように記載されているけれども、原因入力は、他のタイプの機能ブロックから来るか、又はプロセスプラント10内の他の信号として生成される。更に、原因結果機能ブロック92及び94の結果出力は、AO、DO又は他の機能ブロック等の出力機能ブロックに接続されているように画かれているが、これらの出力は、シーケンサ機能ブロック、ステージング機能ブロック等の他のどのような所望のタイプの機能ブロックにも接続され得、又はプロセスプラント10内の他のアプリケーション若しくはプログラミング環境に直接接続され得る。同様に、ここに記載されているロジックは、機能ブロックプログラミングパラダイムを使用して実行されるが、同様のロジックが他のプログラミング環境に提供され得、ここで使用されている機能ブロックと同様に考えられる。更に、ここに記載されている原因結果機能ブロックは、プロセスプラント又はプロセス制御環境の安全システムでの使用のために記載されているけれども、これらの又は同様の機能ブロックは、標準のプロセス制御環境で、又は安全システム内での使用より他の所望の使用のために、使用され得る。
また、原因結果機能ブロックは状態マシンを含むように記載されているが、これらの状態マシンは、ハードウエア又は何れかのプログラミング言語で書かれたソフトウエアを介する等によりどのような形式でも実装され得ることが理解されるであろう。このような状態マシンであるためには、ソフトウエアプログラム、ルーチン、オブジェクトなどの要素は、機能ブロックを機能ブロックの出力によって表されるようにここで説明され又は定義されたような状態間を遷移するようにし、それによって安全又はトリップした状態から正常若しくは非トリップ状態へ又はその逆への結果出力の遷移を引き起こすことが必要である。
実装されたとき、マルチプレクサ、ブロック、状態マシン、信号接続などのここで記載したような要素の何れもが、磁気ディスク、レーザ若しくは光ディスク、又は他の記録媒体、コンピュータ又はプロセッサ内のRAM若しくはROM等、何れのコンピュータ読み取り可能なメモリにでも格納されているソフトウエアに実装され得る。ここに記載した信号及び信号ラインは、実際のワイヤ、データレジスタ、メモリの位置など、何れの形状も採り得る。このソフトウエアは、一般的な目的のコンピュータ又はプロセッサで実行され得るアプリケーションソフトウエア、例えば特定用途向け集積回路(ASIC)、EPROM、EEPROM、又は他のファームウエアデバイスに焼き付けたハードコードされたソフトウエアを含む、何れの形状をも採り得る。同様に、このソフトウエアは、ユーザ、プロセスプラント、オペレータワークステーション、コントローラ、ロジックソルバ又は他のどのようなコンピューティングデバイスにも、例えばコンピュータ読み取り可能なディスク又は他の可搬のコンピュータ格納媒体、又は電話回線、インターネット、ワールドワイドウエブ、どのようなローカルエリアネットワーク若しくはワイドエリアネットワーク等を含む何れの公知の又は所望の供給方法を使用して、供給され得る(この供給は、可搬な格納媒体を介するソフトウエアの提供と同じ又は交換可能であると見られている)。更に、このソフトウエアは、変調若しくは暗号化なしに、又は通信チャネル上を伝送される前に変調伝送波及び/又は暗号化技術を使用して変調され若しくは暗号化されて、特設提供され得る。
もちろん、ここに記載されている原因結果機能ブロックは、どのような外部プロセス制御通信プロトコル(とりわけ、Fieldbusプロトコル又はDeltaVプロトコル)を使用しても実装され得、そして、Fieldbusプロトコルによって特に特定され及びサポートされる異なる機能ブロックと同様の又は同じどのような機能ブロックをも含むどのような機能ブロックのタイプとも通信するのに使用され得る。更に、その一実施形態に於ける原因結果機能ブロックはFieldbusの「機能ブロック」として記載されているが、ここでの「機能ブロック」という表現の使用は、Fieldbusプロトコルが何を機能ブロックとして特定するかに限定されるのではなく、他の何れのブロック、プログラム、ハードウエア、ファームウエア等、幾つかの制御ルーチン機能を実装するのに使用される又は他のこのような機能ブロックへの幾つかのプロセス情報又はデータを実装するのに使用され得る制御システム及び/又は通信プロトコルのどのようなタイプのエンティティをも含むことに注意しなければならない。このように、機能ブロックはオブジェクト指向プログラミング環境内のオブジェクトの形式を典型的に採るが、これは、必ずではないが、所望のプログラミング構造又はパラダイムを使用して、プロセスプラント又は制御環境内の特定の制御(入力及び出力を含む)機能を実行するのに使用される他の論理ユニットであり得る。
本発明について特定の実施形態を参照して記述したが、それらは例示のみを意図し、本発明を限定するものではなく、本発明の精神及び範囲から逸脱することなく、開示された実施形態に為され得る変更、付加又は削除が当業者に明らかであろう。
図1はプロセス制御システムに統合され、プロセスプラント内の安全装置に関連する制御アクティビティを実行するための一又はそれ以上の原因結果機能ブロックを使用する安全システムを有する例示的なプロセスプラントのブロックダイヤグラムである。 図2は、図1の原因結果機能ブロックの一つのブロックダイヤグラムである。 図3は、例示の原因結果マトリックスの図式的な描写である。 図4は、図2の原因結果機能ブロックに於ける各状態マシンに潜在的に関連する状態の集合を表す状態ダイヤグラムである。
符号の説明
10 プロセスプラント
12 プロセス制御システム
14 安全システム
16 ユーザインターフェイス
18 プロセス制御/安全制御ノード
20 プロセス制御/安全制御ノード
21 構成データベース
22 バス
24 プロセスコントローラ
26 プロセスコントローラ
28 プロセス制御システムI/Oデバイス
30 プロセス制御システムI/Oデバイス
32 プロセス制御システムI/Oデバイス
34 プロセス制御システムI/Oデバイス
36 プロセス制御システムI/Oデバイス
40 コントローラフィールドデバイス
42 フィールドデバイス
50 安全システムロジックソルバ
52 安全システムロジックソルバ
54 安全システムロジックソルバ
56 安全システムロジックソルバ
57 プロセッサ
58 安全ロジックモジュール
60 安全システムフィールドデバイス
62 安全システムフィールドデバイス
70 MPD
72 MPD
80 構成アプリケーション
82 表示アプリケーション
92 原因結果機能ブロック
94 原因結果機能ブロック
96 入力機能ブロック
98 出力機能ブロック
100 原因入力
102 マルチプレクサ
105 原因結果マトリックス
106 入力
108 トリップ信号ライン
110 トリップ信号ライン
112 状態マシン
114 状態マシン
116 結果出力
120 ライン
130 状態ダイヤグラム
132 トリップ状態
134 状態
136 リセット可能状態
138 スタート許容状態待ち
140 正常動作状態
142 トリップ開始−遅延状態

Claims (47)

  1. プロセッサを有するプロセスプラントで使用するための、一又はそれ以上のフィールドデバイスを制御するように構成された機能ブロックエンティティであって、該機能ブロックエンティティは、
    コンピュータ読み取り可能な媒体と、
    該コンピュータ読み取り可能な媒体上に格納され前記プロセッサ上で実行されるように構成された機能ブロックと
    を有し、該機能ブロックは、
    それぞれ検出された原因状態の存在又は不存在を表す、プロセスプラント内のからの原因信号を受け取るように構成された原因入力の集合と、
    プロセスプラント内の結果を生成する結果信号を生成するように構成された一又はそれ以上の結果出力と、
    前記原因入力のそれぞれを前記結果出力に関連づける原因結果マトリックスロジックと、
    一又はそれ以上のトリップ信号を生成するために、前記原因結果マトリックスロジックを使用する原因入力のそれぞれに接続されたマルチプレクサと、
    それぞれ前記トリップ信号の異なる一つに接続され及び結果出力の異なる一つに接続された一又はそれ以上の状態マシンであって、該状態マシンのそれぞれは、関連するトリップ信号の一つに応答して関連する結果出力をトリップされた値に強制するように構成されている状態マシンと
    を備えている、エンティティ。
  2. 請求項1記載の機能ブロックエンティティであって、前記状態マシンの一つは、一又はそれ以上の状態入力を含み、第1の状態にあるときに関連する結果出力をトリップした値に強制し、第2の状態にあるときに関連する結果出力を正常値に強制し、及び前記一又はそれ以上の状態入力での信号に基づいて前記第1の状態から前記第2の状態に移行するときに一又はそれ以上の追加の状態を介してサイクルするように構成されているエンティティ。
  3. 請求項2記載の機能ブロックエンティティであって、前記状態入力の一つは、関連する結果出力のリセットの許容を特定するリセット許容状態入力であり、前記一又はそれ以上の追加の状態の一つが、前記リセット許容状態入力で前記状態マシンの一つがリセット許容信号を待つリセット状態である、エンティティ。
  4. 請求項3記載の機能ブロックエンティティであって、前記状態入力の第2の一つが、関連する結果信号をリセット許容信号がリセットするのに必要とされているかどうかを特定する要求許容状態入力である、エンティティ。
  5. 請求項3記載の機能ブロックエンティティであって、前記状態入力の第2の一つが、関連する結果出力を前記状態マシンの一つがリセットすべきことを表すリセット信号であり、前記一又はそれ以上の追加の状態の第2の一つは、前記リセット信号入力で前記状態マシンの一つがリセット信号を待つ追加のリセット状態である、エンティティ。
  6. 請求項5記載の機能ブロックエンティティであって、前記状態入力の第3の一つは、前記状態マシンの一つが、関連する結果出力が正常値に強制される第2の状態に入るべきことを表すスタート許容入力であり、前記一又はそれ以上の追加の状態の第3の一つは、前記状態マシンの一つがスタート許容入力でスタート許容信号を待つスタート状態である、エンティティ。
  7. 請求項2記載の機能ブロックエンティティであって、前記状態入力の一つは、関連する結果出力を前記状態入力の一つがリセットすべきこと表すリセット信号入力であり、前記一又はそれ以上の追加の状態は、前記一又はそれ以上の状態マシンの一つが前記リセット信号入力の一つでリセット信号を待つリセット状態である、エンティティ。
  8. 請求項2記載の機能ブロックエンティティであって、前記状態入力の一つは、前記一又はそれ以上の状態マシンが、関連する結果出力が正常値に強制される前記第2の状態に入るべきことを表すスタート許容入力であり、前記一又はそれ以上の追加の状態の一つは、前記状態マシンの一つが前記スタート許容入力でスタート許容信号を待つスタート状態である、エンティティ。
  9. 請求項2記載の機能ブロックエンティティであって、前記状態マシンの一つは、前記第2の状態から前記第1の状態へ移行するときに更なる状態に入るように構成され、該更なる状態は、前記状態マシンの一つに、前記第1の状態に入る前の予め決められた時間待たせる、エンティティ。
  10. 請求項9記載の機能ブロックエンティティであって、前記状態マシンの一つは、前記状態入力の一つが前記更なる状態にあるときの前記予め決められた時間の期間を決定するクロックを有している、エンティティ。
  11. 請求項2記載の機能ブロックエンティティであって、前記状態マシンの一つは、前記状態入力の一つが位置している特定の状態を表す更なる出力を生成する、エンティティ。
  12. 請求項1記載の機能ブロックエンティティであって、前記状態マシンの一つは、第1の状態のときに関連する結果出力をトリップした値に強制し、第2の状態にあるときに関連する結果出力を正常値に強制するように構成され、及び前記第2の状態から前記第1の状態に移行するときに第3の状態を介してサイクルするように構成され、前記第3の状態は、前記状態マシンの一つに、前記第1の状態に入る前の予め決められた時間待たせる、エンティティ。
  13. 請求項12記載の機能ブロックエンティティであって、前記状態マシンの一つは、前記状態入力の一つが前記第3の状態にあるときの前記予め決められた時間の期間を決定するクロックを有している、エンティティ。
  14. 請求項1記載の機能ブロックエンティティであって、前記マルチプレクサは、前記一又はそれ以上のトリップ信号を生成するために、原因結果マトリックスロジックに従って原因入力の値を使用するように構成されている、エンティティ。
  15. 請求項1記載の機能ブロックエンティティであって、前記原因信号の一つは値及び状態を含み、前記マルチプレクサは、前記一又はそれ以上のトリップ信号を生成するために、前記原因結果マトリックスロジックに従って原因信号の一つの状態及び値を使用するように構成されている状態ロジックを含んでいる、エンティティ。
  16. 請求項15記載の機能ブロックエンティティであって、前記マルチプレクサの前記状態ロジックは、前記原因信号の一つの状態が不良であるときに、前記原因結果マトリックスロジックに従って一又はそれ以上のトリップ信号の一つを生成する、エンティティ。
  17. 請求項16載の機能ブロックエンティティであって、前記状態ロジックは、前記原因信号の一つの状態が良好であるとき及び前記原因信号の一つの値が状態の存在を表すときに、前記原因結果マトリックスロジックに従って一又はそれ以上のトリップ信号の一つを更に生成する、エンティティ。
  18. 請求項15記載の機能ブロックエンティティであって、前記マルチプレクサの前記状態ロジックは、その状態が良好であるその原因信号の一つの最後の値を使用して、前記原因結果マトリックスロジックに従って一又はそれ以上のトリップ信号の一つを生成する、エンティティ。
  19. 請求項1記載の機能ブロックエンティティであって、原因の存在に関連する原因信号の一つの値を定義するトリップタイプ表示を更に含み、前記マルチプレクサは、前記トリップタイプ表示を使用して、前記原因信号の一つの値に基づいて原因の存在を検出する、エンティティ。
  20. 請求項1記載の機能ブロックエンティティであって、トリップした値に関連する結果出力の一つの値を定義するトリップタイプ表示を更に含み、前記状態マシンの一つは、前記トリップタイプ表示を使用して、関連する前記結果出力をトリップした値に設定する、エンティティ。
  21. 請求項1記載の機能ブロックエンティティであって、前記状態マシンの一つは、関連する結果出力をトリップした値に強制する前記状態マシンの一つをもたらす第1の原因入力を表す更なる出力を生成する、エンティティ。
  22. プロセス内で接続された複数のフィールドデバイスを有するプロセスプラントに於いて使用するための制御システムであって、該制御システムは、
    前記複数のフィールドデバイスに通信可能に接続された、プロセッサ及びコンピュータ読み取り可能な媒体を含む制御デバイスと、
    前記コンピュータ読み取り可能な媒体に格納され、前記プロセッサ上で実行され得るように構成された制御ブロックと
    を有し、前記制御ブロックは、
    それぞれ検出された原因状態の存在又は不存在を表す、前記プロセスプラント内からの原因信号を受け取るように構成された原因入力の集合と、
    前記複数のフィールドデバイスの一つを使用してプロセスプラント内の結果を生成する結果信号を生成するように構成された一又はそれ以上の結果出力と、
    前記原因入力のそれぞれを前記結果出力に関連づける原因結果マトリックスと、
    一又はそれ以上のトリップ信号を生成するために、前記原因結果マトリックスロジックを使用する原因入力のそれぞれに接続されたマルチプレクサと、
    それぞれ前記トリップ信号の異なる一つに接続され及び結果出力の異なる一つに接続された一又はそれ以上の状態マシンであって、該状態マシンのそれぞれは、前記トリップ信号の関連する一つに応答して関連する結果出力をトリップされた値に強制するように構成されている状態マシンと
    を備えている制御システム。
  23. 請求項22記載の制御システムであって、前記制御ブロックが機能ブロックである制御システム。
  24. 請求項22記載の制御システムであって、前記制御ブロックがフィールドバスプロトコルに従う機能ブロックである制御システム。
  25. 請求項22記載の制御システムであって、前記状態マシンの一つは、一又はそれ以上の状態入力を含み、第1の状態にあるときに関連する結果出力をトリップした値に強制し、第2の状態にあるときに関連する結果出力を正常値に強制し、及び前記一又はそれ以上の状態入力の信号に基づいて前記第1の状態から前記第2の状態に移行するときに一又はそれ以上の追加の状態を介してサイクルするように構成されている、制御システム。
  26. 請求項25記載の制御システムであって、前記状態入力の一つは、関連する結果出力のリセットの許容を特定するリセット許容状態入力であり、前記一又はそれ以上の追加の状態の一つが、前記リセット許容状態入力で前記状態マシンの一つがリセット許容信号を待つリセット状態である、制御システム。
  27. 請求項25記載の制御システムであって、前記状態入力の一つは、前記状態マシンの一つが関連する結果出力をリセットすべきことを表すリセット信号であり、前記一又はそれ以上の追加の状態の一つは、前記状態マシンの一つが前記リセット信号入力でリセット信号を待つリセット状態である、制御システム。
  28. 請求項25記載の制御システムであって、前記状態入力の一つは、前記状態マシンの一つが、関連する結果出力が正常値に強制される第2の状態に入るべきことを表すスタート許容入力であり、前記一又はそれ以上の追加の状態の一つは、前記状態マシンの一つがスタート許容入力でスタート許容信号を待つスタート状態である、制御システム。
  29. 請求項25記載の制御システムであって、前記状態マシンの一つは、前記第2の状態から第1の状態へ移行するときに更なる状態に入るように構成され、該更なる状態は、前記状態入力の一つに、前記第1の状態に入る前の予め決められた時間待たせる、制御システム。
  30. 請求項25記載の制御システムであって、前記状態マシンの一つは、前記状態入力の一つが位置している特定の状態を表す更なる出力を生成する、制御システム。
  31. 請求項22記載の制御システムであって、前記原因信号の一つは値及び状態を含み、前記マルチプレクサは、前記一又はそれ以上のトリップ信号を生成するために、前記原因結果マトリックスロジックに従って前記原因信号の一つの状態及び値を使用するように構成されている状態ロジックを含んでいる、制御システム。
  32. 請求項31記載の制御システムであって、前記マルチプレクサの前記状態ロジックは、前記原因信号の一つの状態が不良であるときに、前記原因結果マトリックスロジックに従って一又はそれ以上のトリップ信号の一つを生成する、制御システム。
  33. 請求項31記載の制御システムであって、前記マルチプレクサの前記状態ロジックは、その状態が良好であるその原因信号の一つの最後の値を使用して、前記原因結果マトリックスロジックに従って一又はそれ以上のトリップ信号の一つを生成する、制御システム。
  34. 請求項22記載の制御システムであって、前記状態マシンの一つは、関連する結果出力をトリップした値に強制する前記状態マシンの一つをもたらす第1の原因入力を表す更なる出力を生成する、制御システム。
  35. 請求項22記載の制御システムであって、前記制御ブロックは第1の機能ブロックであり、前記原因入力又は結果出力を介して前記第1の機能ブロックに通信可能に接続された追加の機能ブロックを更に有している、制御システム。
  36. プロセスプラント内で使用される一又はそれ以上の結果信号に、正常値とトリップした値との間でフィールドデバイスを制御するように強制する方法であって、該方法は、
    それぞれ検出された原因状態の存在又は不存在を表す、前記プロセスプラント内からの原因信号の集合を受け取るステップと、
    前記原因信号のそれぞれを前記結果信号に関連づける原因結果マトリックスロジックを格納するステップと、
    前記原因信号に基づいてトリップ信号の集合を生成するために、前記原因結果マトリックスロジックを使用するステップと、
    前記トリップ信号のそれぞれを、それぞれ前記結果信号の異なる一つに関連する状態マシンのそれぞれに別々に配送するステップと、
    前記トリップ信号に応答して、正常値にあるか又はトリップした値となるよに前記結果信号を生成するように前記状態マシンを使用するステップと
    を包含している方法。
  37. 請求項36記載の方法であって、前記状態マシンを使用するステップは、前記トリップ信号の一つに基づいて前記状態マシンの一つが第1の状態にあるときに前記結果信号の一つを前記トリップした値に強制することと、前記トリップ信号の一つに基づいて前記状態マシンの一つが第2の状態にあるときに前記結果信号の一つを正常な値に強制することとを含み、前記一又はそれ以上の状態信号の値に基づいて前記第1の状態から前記第2の状態に移行するときに、前記状態入力の一つに一又はそれ以上の状態信号を提供することと、一又はそれ以上の追加の状態を介して状態マシンの一つをサイクルさせることとを更に含む、方法。
  38. 請求項37記載の方法であって、前記一又はそれ以上の状態信号を提供することは、前記結果信号の一つのリセットの許容を特定するリセット許容状態信号を提供することを含み、前記一又はそれ以上の追加の状態を介して状態マシンの一つをサイクルさせることは、前記状態マシンの一つが、該状態マシンの一つがリセット許容信号を待つリセット状態に入るようにすることを含んでいる、方法。
  39. 請求項37記載の方法であって、前記一又はそれ以上の状態信号を提供することは、前記結果信号の一つをリセットするコマンドを特定するリセット信号を提供することを含み、前記一又はそれ以上の追加の状態を介して状態マシンの一つをサイクルさせることは、前記状態マシンの一つが、該状態マシンの一つがリセット信号を待つリセット状態に入るようにすることを含んでいる、方法。
  40. 請求項37記載の方法であって、前記一又はそれ以上の状態信号を提供することは、前記結果信号の一つによって実行されるプロセスのスタートの許容を特定するスタート許容信号を提供することを含み、前記一又はそれ以上の追加の状態を介して状態マシンの一つをサイクルさせることは、前記状態マシンの一つが、該状態マシンの一つがスタート許容信号を待つスタート状態に入るようにすることを含んでいる、方法。
  41. 請求項37記載の方法であって、前記状態マシンの一つが位置する特定の状態を表す出力信号を生成することを含んでいる、方法。
  42. 請求項36記載の方法であって、前記状態マシンを使用するステップは、前記トリップ信号の一つに基づいて前記状態マシンの一つが第1の状態にあるときに前記結果信号の一つを前記トリップした値に強制することと、前記トリップ信号の一つに基づいて前記状態マシンの一つが第2の状態にあるときに前記結果信号の一つを正常な値に強制することとを含み、前記第2の状態から前記第1の状態に移行する第3の状態を介して状態マシンの一つをサイクルさせることとを更に含み、前記第3の状態は、前記状態マシンの一つに、前記第1の状態に入る前の予め決められた時間の期間待たせる、方法。
  43. 請求項36記載の方法であって、前記原因信号に基づいてトリップ信号の集合を生成するために、前記原因結果マトリックスロジックを使用するステップが、前記トリップ信号を生成するために、前記原因結果マトリックスロジックに従って前記原因信号の一つの値を使用することを含んでいる、方法。
  44. 請求項36記載の方法であって、前記前記プロセスプラント内からの原因信号の集合を受け取るステップは、前記原因信号の少なくとも一つに関連する値及び状態を受け取ることを含み、前記原因信号に基づいて前記トリップ信号の集合を生成するために、前記原因結果マトリックスロジックを使用するステップが、前記トリップ信号を生成するために、前記原因結果マトリックスロジックに従って前記原因信号の少なくとも一つの値及び状態を使用することを含んでいる、方法。
  45. 請求項44記載の方法であって、前記トリップ信号を生成するために、前記原因結果マトリックスロジックに従って前記原因信号の少なくとも一つの値及び状態を使用することは、前記原因信号の少なくとも一つの状態が不良であるときに、前記原因結果マトリックスロジック従って前記一又はそれ以上のトリップ信号を生成することを含んでいる、方法。
  46. 請求項44記載の方法であって、前記トリップ信号を生成するために、前記原因結果マトリックスロジックに従って前記原因信号の少なくとも一つの値及び状態を使用することは、その状態が良好であるその原因信号の少なくとも一つの最後の値を使用して、前記原因結果マトリックスロジックに従って前記一又はそれ以上のトリップ信号を生成することを含んでいる、方法。
  47. 請求項36記載の方法であって、結果出力信号の一つをトリップした値に強制する前記状態マシンの一つをもたらす第1の原因信号を表す更なる出力を提供することを包含している、方法。
JP2004094740A 2003-03-28 2004-03-29 プロセス安全システムで使用するための原因結果マトリックスの機能ブロック実装 Expired - Lifetime JP4578839B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
US10/401,655 US6898468B2 (en) 2003-03-28 2003-03-28 Function block implementation of a cause and effect matrix for use in a process safety system

Publications (2)

Publication Number Publication Date
JP2004303247A true JP2004303247A (ja) 2004-10-28
JP4578839B2 JP4578839B2 (ja) 2010-11-10

Family

ID=32230138

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004094740A Expired - Lifetime JP4578839B2 (ja) 2003-03-28 2004-03-29 プロセス安全システムで使用するための原因結果マトリックスの機能ブロック実装

Country Status (6)

Country Link
US (1) US6898468B2 (ja)
JP (1) JP4578839B2 (ja)
CN (1) CN100465841C (ja)
DE (1) DE102004014747B4 (ja)
GB (1) GB2400190B (ja)
HK (1) HK1069642A1 (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006325390A (ja) * 2005-04-19 2006-11-30 Omron Corp セーフティデバイス
KR101276013B1 (ko) * 2008-05-07 2013-06-19 비앤에프테크놀로지 주식회사 산업플랜트의 트립원인 추적 시스템
JP2018530076A (ja) * 2015-10-09 2018-10-11 フィッシャー−ローズマウント システムズ,インコーポレイテッド プロセス制御システムの分離された監視及び結果ブロックを構成するためのシステム及び方法

Families Citing this family (34)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
SE0203819D0 (sv) * 2002-12-19 2002-12-19 Abb As Method to increase the safety integrity level of a control system
US6898542B2 (en) * 2003-04-01 2005-05-24 Fisher-Rosemount Systems, Inc. On-line device testing block integrated into a process control/safety system
US7130703B2 (en) * 2003-04-08 2006-10-31 Fisher-Rosemount Systems, Inc. Voter logic block including operational and maintenance overrides in a process control system
US7096078B2 (en) * 2003-05-30 2006-08-22 Fisher-Rosemount Systems, Inc. Boolean logic function block
US7684167B2 (en) * 2003-09-30 2010-03-23 Fisher-Rosemount Systems, Inc. Communication bus suitable for use in a hazardous area of a process plant
US6970749B1 (en) * 2003-11-12 2005-11-29 Adobe Systems Incorporated Grouped palette stashing
US8234414B2 (en) * 2004-03-31 2012-07-31 Qurio Holdings, Inc. Proxy caching in a photosharing peer-to-peer network to improve guest image viewing performance
US7420297B2 (en) * 2005-09-30 2008-09-02 Rockwell Automation Technologies, Inc. Combination control system with intermediate module
US20070200329A1 (en) * 2006-02-27 2007-08-30 Key Safety Systems, Inc. Woven air bag with integrally woven 3-D tethers
US7868487B2 (en) * 2006-04-18 2011-01-11 Rockwell Automation Technologies, Inc. Apparatus and method for restricting power delivery
DE102006021767A1 (de) * 2006-05-10 2007-11-15 Siemens Ag Bediengerät zum Informationsaustausch mit einem Feldgerät in einem Automatisierungssystem
JP4671131B2 (ja) * 2006-08-10 2011-04-13 横河電機株式会社 安全計装システム
DE502006002266D1 (de) * 2006-08-10 2009-01-15 Sick Ag Prozesssteuerung
US8332567B2 (en) 2006-09-19 2012-12-11 Fisher-Rosemount Systems, Inc. Apparatus and methods to communicatively couple field devices to controllers in a process control system
US9411769B2 (en) 2006-09-19 2016-08-09 Fisher-Rosemount Systems, Inc. Apparatus and methods to communicatively couple field devices to controllers in a process control system
DE102006046108A1 (de) * 2006-09-28 2008-04-17 Pcs Systemtechnik Gmbh Programmierbare Steuerung zum Betreiben einer maschinellen Einrichtung
NL1034599C2 (nl) * 2007-10-30 2009-05-06 Univ Twente Werkwijze voor een gebeurtenis-gestuurd systeem.
US9083548B2 (en) * 2008-09-23 2015-07-14 Fisher-Rosemount Systems, Inc. Apparatus and methods to communicatively couple field devices to controllers in a process control system
DE102008060005A1 (de) * 2008-11-25 2010-06-10 Pilz Gmbh & Co. Kg Sicherheitssteuerung und Verfahren zum Steuern einer automatisierten Anlage mit einer Vielzahl von Anlagenhardwarekomponenten
EP2367083B1 (de) * 2010-03-19 2016-10-05 Sick Ag Vorrichtung zur Erstellung eines Programms für eine speicherprogrammierbare Steuerung, Programmiereinrichtung und Verfahren zur Programmierung einer speicherprogrammierbaren Steuerung
WO2011160695A1 (en) 2010-06-24 2011-12-29 Abb As Method and tool for automatic distribution of control code in a safety system
CN103097973B (zh) * 2010-07-26 2016-08-03 Abb股份有限公司 在安全系统中用于因果矩阵的方法和查看器
US9239576B2 (en) 2012-02-17 2016-01-19 Fisher-Rosemount Systems, Inc. Methods and apparatus to apply multiple trip limits to a device in a process control system
KR101569643B1 (ko) * 2012-03-02 2015-11-16 엘에스산전 주식회사 통신 장치 및 통신 방법
US9213329B2 (en) * 2012-10-25 2015-12-15 Honeywell Gmbh System and method for vendor release independent reusable customized function block libraries
US9599970B2 (en) * 2013-03-27 2017-03-21 The United States Of America As Represented By The Secretary Of The Navy Safety critical control system that includes control logic or machine readable instructions that selectively locks or enables the control system based on one or more machine implemented state machines that includes states associated with detection or matching of one or more predetermined signals on distinct conduction paths between elements of the control system and related methods
US9086688B2 (en) 2013-07-09 2015-07-21 Fisher-Rosemount Systems, Inc. State machine function block with user-definable actions on a transition between states
US11150613B2 (en) * 2014-11-18 2021-10-19 Sensia Llc Configurable safety logic solver
JP6296068B2 (ja) * 2016-01-15 2018-03-20 横河電機株式会社 監視制御システム及び作業支援方法
US10295977B2 (en) * 2016-01-25 2019-05-21 Fisher Controls International Llc Smart auto reset for digital positioners connected to a local control panel or push button
JP7087952B2 (ja) * 2018-11-22 2022-06-21 オムロン株式会社 制御システム、サポート装置、サポートプログラム
JP7087951B2 (ja) * 2018-11-22 2022-06-21 オムロン株式会社 制御システム、制御方法、ドライブ装置
US11537923B2 (en) 2020-02-04 2022-12-27 Ford Global Technologies, Llc Predictive methodology to identify potential unknown sweet spots
CN114137919A (zh) * 2021-11-26 2022-03-04 浙江中控技术股份有限公司 工业控制系统的控制方法及装置、处理设备和存储介质

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH01270106A (ja) * 1988-04-22 1989-10-27 Fanuc Ltd プログラマブル・コントローラ
JPH0227894A (ja) * 1988-07-18 1990-01-30 Toshiba Corp 異常監視装置
JPH0627293A (ja) * 1992-07-07 1994-02-04 Hitachi Ltd 原子炉安全保護装置
JPH07325618A (ja) * 1994-05-31 1995-12-12 Mitsubishi Heavy Ind Ltd 診断知識獲得装置
JPH0991037A (ja) * 1995-09-26 1997-04-04 Mitsubishi Heavy Ind Ltd 故障診断装置
JPH10112125A (ja) * 1996-10-08 1998-04-28 Matsushita Electric Ind Co Ltd 信号処理半導体装置および信号処理装置
JPH11119823A (ja) * 1997-10-21 1999-04-30 Yaskawa Electric Corp 故障診断装置

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5838563A (en) 1996-04-12 1998-11-17 Fisher-Rosemont Systems, Inc. System for configuring a process control environment
US5768119A (en) 1996-04-12 1998-06-16 Fisher-Rosemount Systems, Inc. Process control system including alarm priority adjustment
US6049578A (en) 1997-06-06 2000-04-11 Abb Combustion Engineering Nuclear Power, Inc. Digital plant protection system
US6292523B1 (en) 1997-06-06 2001-09-18 Westinghouse Electric Company Llc Digital engineered safety features actuation system
US5901058A (en) * 1997-08-22 1999-05-04 Honeywell Inc. System and methods for achieving heterogeneous data flow between algorithm blocks in a distributed control system
US6448982B1 (en) * 1998-04-23 2002-09-10 Siemens Energy & Automation, Inc. System for graphically generating logic for a cause and effects matrix
DE19841260B4 (de) * 1998-09-09 2012-06-14 Continental Automotive Gmbh Verfahren zum Erkennen von Fehlerzuständen und fahrzeugeigenes Diagnosesystem
EP1141813A4 (en) 1998-12-23 2007-10-24 Triconex Corp DEVELOPMENT AND TEST SYSTEM FOR THE MAINTENANCE OF A PROGRAM WITH CAUSE EFFECT DIAGRAM
US6774786B1 (en) * 2000-11-07 2004-08-10 Fisher-Rosemount Systems, Inc. Integrated alarm display in a process control network
US6647301B1 (en) * 1999-04-22 2003-11-11 Dow Global Technologies Inc. Process control system with integrated safety control system

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH01270106A (ja) * 1988-04-22 1989-10-27 Fanuc Ltd プログラマブル・コントローラ
JPH0227894A (ja) * 1988-07-18 1990-01-30 Toshiba Corp 異常監視装置
JPH0627293A (ja) * 1992-07-07 1994-02-04 Hitachi Ltd 原子炉安全保護装置
JPH07325618A (ja) * 1994-05-31 1995-12-12 Mitsubishi Heavy Ind Ltd 診断知識獲得装置
JPH0991037A (ja) * 1995-09-26 1997-04-04 Mitsubishi Heavy Ind Ltd 故障診断装置
JPH10112125A (ja) * 1996-10-08 1998-04-28 Matsushita Electric Ind Co Ltd 信号処理半導体装置および信号処理装置
JPH11119823A (ja) * 1997-10-21 1999-04-30 Yaskawa Electric Corp 故障診断装置

Cited By (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006325390A (ja) * 2005-04-19 2006-11-30 Omron Corp セーフティデバイス
KR101276013B1 (ko) * 2008-05-07 2013-06-19 비앤에프테크놀로지 주식회사 산업플랜트의 트립원인 추적 시스템
JP2018530076A (ja) * 2015-10-09 2018-10-11 フィッシャー−ローズマウント システムズ,インコーポレイテッド プロセス制御システムの分離された監視及び結果ブロックを構成するためのシステム及び方法
JP2018530073A (ja) * 2015-10-09 2018-10-11 フィッシャー−ローズマウント システムズ,インコーポレイテッド プロセス制御システムの安全論理に対応するインターリンクされたユーザインターフェースを提供するためのシステム及び方法
JP2018530072A (ja) * 2015-10-09 2018-10-11 フィッシャー−ローズマウント システムズ,インコーポレイテッド プロセス制御システムの安全イベントの視覚化を経時的に提供するためのシステム及び方法
JP2018530074A (ja) * 2015-10-09 2018-10-11 フィッシャー−ローズマウント システムズ,インコーポレイテッド 一組の数値表現として原因結果マトリックスを表すためのシステム及び方法
US11073812B2 (en) 2015-10-09 2021-07-27 Fisher-Rosemount Systems, Inc. System and method for creating a set of monitor and effect blocks from a cause and effect matrix
JP2021114337A (ja) * 2015-10-09 2021-08-05 フィッシャー−ローズマウント システムズ,インコーポレイテッド 原因結果マトリックスから一組の監視及び結果ブロックを作成するためのシステム及び方法
JP2023012542A (ja) * 2015-10-09 2023-01-25 フィッシャー-ローズマウント システムズ,インコーポレイテッド プロセス制御システムの安全イベントの視覚化を経時的に提供するためのシステム及び方法
JP7225304B2 (ja) 2015-10-09 2023-02-20 フィッシャー-ローズマウント システムズ,インコーポレイテッド 原因結果マトリックスから一組の監視及び結果ブロックを作成するためのシステム及び方法
JP7227002B2 (ja) 2015-10-09 2023-02-21 フィッシャー-ローズマウント システムズ,インコーポレイテッド プロセス制御システムの安全イベントの視覚化を経時的に提供するためのシステム及び方法
US11709472B2 (en) 2015-10-09 2023-07-25 Fisher-Rosemount Systems, Inc. System and method for providing interlinked user interfaces corresponding to safety logic of a process control system
US11886159B2 (en) 2015-10-09 2024-01-30 Fisher-Rosemount Systems, Inc. System and method for creating a set of monitor and effect blocks from a cause and effect matrix

Also Published As

Publication number Publication date
GB2400190A (en) 2004-10-06
DE102004014747A1 (de) 2004-11-18
GB2400190B (en) 2007-02-21
DE102004014747B4 (de) 2015-09-03
US20040193290A1 (en) 2004-09-30
HK1069642A1 (en) 2005-05-27
GB0406816D0 (en) 2004-04-28
US6898468B2 (en) 2005-05-24
CN100465841C (zh) 2009-03-04
CN1534420A (zh) 2004-10-06
JP4578839B2 (ja) 2010-11-10

Similar Documents

Publication Publication Date Title
JP4578839B2 (ja) プロセス安全システムで使用するための原因結果マトリックスの機能ブロック実装
JP5715199B2 (ja) 試験ユニット、システムおよびデバイス試験実行方法
JP4754793B2 (ja) ユーザによる修正可能な出力コンフィギュレーションデータベースを備えた状態マシン機能ブロック
US8600524B2 (en) State machine function block with a user modifiable state transition configuration database
US7130703B2 (en) Voter logic block including operational and maintenance overrides in a process control system
US10274926B2 (en) State machine function block with user-definable actions on a transition between states
JP4499436B2 (ja) プロセス制御システムおよび安全システムを備えるプロセスプラントにおける統合型セキュリティ
JP4963779B2 (ja) プロセス制御システムおよび安全システムを備えるプロセスプラントにおける統合型コンフィギュレーション
CN100401221C (zh) 具有过程控制系统和安全系统的过程装置中的集成诊断法
US11656594B2 (en) Technologies for configuring voting blocks associated with a process control system
JP4511861B2 (ja) オーバライドおよびバイパスを利用したプロセス制御・安全システム内におけるフィールドデバイスの動作調整
Ung et al. PER4Mance Prototyping environment for research on human-machine interactions for alarm floods management: the case study of a chemical plant process control
US20220012333A1 (en) Controller system, control apparatus, and non-transitory computer readable medium
US20220011735A1 (en) Support apparatus, non-transitory computer readable medium, and control apparatus

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20070309

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090929

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20091224

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20100104

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100326

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100727

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100825

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130903

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4578839

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

EXPY Cancellation because of completion of term