JP2019192222A - 長距離安全システムトリップ - Google Patents

長距離安全システムトリップ Download PDF

Info

Publication number
JP2019192222A
JP2019192222A JP2019052882A JP2019052882A JP2019192222A JP 2019192222 A JP2019192222 A JP 2019192222A JP 2019052882 A JP2019052882 A JP 2019052882A JP 2019052882 A JP2019052882 A JP 2019052882A JP 2019192222 A JP2019192222 A JP 2019192222A
Authority
JP
Japan
Prior art keywords
safety
messages
message
link
logic
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2019052882A
Other languages
English (en)
Other versions
JP2019192222A5 (ja
Inventor
ケー. ロウ ゲーリー
K Law Gary
ケー. ロウ ゲーリー
アール. シェリフ ゴッドフリー
R Sherriff Godfrey
アール. シェリフ ゴッドフリー
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fisher Rosemount Systems Inc
Original Assignee
Fisher Rosemount Systems Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fisher Rosemount Systems Inc filed Critical Fisher Rosemount Systems Inc
Publication of JP2019192222A publication Critical patent/JP2019192222A/ja
Publication of JP2019192222A5 publication Critical patent/JP2019192222A5/ja
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/418Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM]
    • G05B19/4185Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM] characterised by the network communication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • H04L67/125Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks involving control of end-device applications over a network
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/18Numerical control [NC], i.e. automatically operating machines, in particular machine tools, e.g. in a manufacturing environment, so as to execute positioning, movement or co-ordinated operations by means of programme data in numerical form
    • G05B19/406Numerical control [NC], i.e. automatically operating machines, in particular machine tools, e.g. in a manufacturing environment, so as to execute positioning, movement or co-ordinated operations by means of programme data in numerical form characterised by monitoring or safety
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/418Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM]
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/418Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM]
    • G05B19/4185Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM] characterised by the network communication
    • G05B19/4186Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM] characterised by the network communication by protocol, e.g. MAP, TOP
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0423Input/output
    • G05B19/0425Safety, monitoring
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0428Safety, monitoring
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/418Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM]
    • G05B19/4184Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM] characterised by fault tolerance, reliability of production system
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/25Pc structure of the system
    • G05B2219/25228Scheduling communication on bus
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/25Pc structure of the system
    • G05B2219/25232DCS, distributed control system, decentralised control unit
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/30Nc systems
    • G05B2219/45Nc applications
    • G05B2219/45226Process control
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/50Testing arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/02Services making use of location information
    • H04W4/025Services making use of location information using location based information parameters
    • H04W4/027Services making use of location information using location based information parameters using movement velocity, acceleration information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/06Selective distribution of broadcast services, e.g. multimedia broadcast multicast service [MBMS]; Services to user groups; One-way selective calling services
    • H04W4/08User group management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W72/00Local resource management
    • H04W72/30Resource management for broadcast services
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02PCLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
    • Y02P90/00Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
    • Y02P90/02Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Automation & Control Theory (AREA)
  • Manufacturing & Machinery (AREA)
  • General Engineering & Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Human Computer Interaction (AREA)
  • Computing Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • Safety Devices In Control Systems (AREA)
  • Testing And Monitoring For Control Systems (AREA)

Abstract

【課題】プロセスプラント内で動作する安全計装システムの遠隔に位置する部分間で安全メッセージを伝送するためのシステムおよび方法を提供する。【解決手段】長距離プロセス制御プラント10は、プラント内で実行される工業プロセスを制御するプロセス制御システム110とプロセスプラントの部分内および部分間で安全メッセージを通信する安全計装システム100とを含む。低帯域長距離リンクを介して安全メッセージを送信するために、安全データ集約器128は、プラントの一部分に配置された安全論理ソルバによって生成された個々の安全メッセージを集約安全メッセージに結合し、プラントの遠隔部分にある安全データ集約解除器130に集約安全メッセージを送信する。安全データ集約解除器130は、集約安全メッセージから個々の安全メッセージを回復し、回復された安全メッセージをプラントの遠隔部分に配置された受信側安全論理ソルバに通信する。【選択図】図1

Description

本開示は、一般に、プロセスプラント内で動作する安全計装システムの遠隔に位置する部分間で安全メッセージを伝送するためのシステムおよび方法に関する。
物理的物質または生産物を製造、精製、変形、生成、または生産するための、化学、石油、工業、または他のプロセスプラントにおいて使用されるものなどの分散型プロセス制御システム(「PCS」)またはプロセス制御ネットワークは、典型的には、アナログバス、デジタルバス、またはアナログ/デジタル結合バスを介して、かつ/または1つ以上の優先および/もしくは無線通信リンクまたはネットワークを介して、1つ以上のフィールド装置と通信可能に連結されている、1つ以上のプロセス制御器、ならびに他の構成要素を含む。例えば、バルブ、バルブポジショナ、スイッチ、およびトランスミッタ(例えば、温度センサ、圧力センサ、レベルセンサ、および流量センサ)である場合があるフィールド装置は、プロセス環境(これは、本明細書ではプロセスプラントのプラント環境、フィールド環境、もしくはフロントエンド環境と交換可能に呼ぶ)内に位置し、一般に、バルブを開閉する、閉鎖、圧力、温度などのプロセスパラメータを測定するなどの物理的またはプロセス制御機能を遂行して、プロセスプラント内またはシステム内で実行される1つ以上の工業プロセスを制御する。周知のFieldbusプロトコルに準拠するフィールド装置などのスマートフィールド装置はまた、制御計算、アラーム機能、およびプロセス制御器内で一般的に実装される他の制御機能を遂行し得る。プロセス制御器は、これもまた典型的にはプラント環境内に位置するが、フィールド装置によって行われたプロセス測定を示す信号および/またはフィールド装置に関する他の情報を受信し、例えば、プロセス制御決定を下し、受信された情報に基づき制御信号を生成し、HART(登録商標)、WirelessHART(登録商標)、およびFOUNDATION(登録商標)Fieldbusフィールド装置などのフィールド装置内で遂行される制御モジュールまたはブロックと連携する、異なる制御モジュールを実行するそれぞれの制御器アプリケーションを実行する。プロセス制御器内の制御モジュールは、通信リンクを通じてフィールド装置に制御信号を送付し、それによって、プロセスプラントまたはシステムの少なくとも一部分の動作を制御し、プラントまたはシステム内部で稼働または実行している1つ以上の工業プロセスの少なくとも一部分を、例えば、制御する。I/O装置は、これもまたプラント環境内に位置するが、典型的には制御器と1つ以上のフィールド装置との間に配置され、それらの間の通信を、例えば、電気信号をデジタル値に変換することによって可能にし、逆の場合も同様である。本明細書で使用する場合、「プロセス制御装置」という用語は、一般に、プロセス制御システムまたはプラントのフィールド環境に位置し、配置され、または設置されるフィールド装置、制御器、およびI/O装置を指す。
またさらに、多くのプロセスまたは工業プラントでは、プロセス制御ネットワークは、プロセス制御システムおよび/またはプロセスプラント内の重大な安全関連状態、問題点、または問題を検出するように動作する安全計装システム(「SIS」)に連結されている(例えば、時間の経過とともに振幅が増大する振動、予期される範囲外の値の流れ、プロセスの一部分が制御不能になること、有毒化学物質の漏れ、バルブ詰まりなどの深刻なハザードをもたらすかまたはもたらすおそれがある1つ以上の状態の発生)。安全計装システムは、プロセスプラント内のプロセス制御システムの少なくとも一部をサポートするかまたはそれにサービスを提供し、バルブの開閉、装置からの電力の除去、プラント内のフローの切り替え、1つ以上の装置の安全モードへのトリップもしくは移行、および/またはその他の予防もしくは緩和措置、などの予防または緩和措置を自動的にトリガするために、装置間および/またはプロセスプラントの部分間で安全メッセージを通信する。一
般的に言って、安全計装システムは、プロセスを制御するためにプラント内で動作しているプロセス制御制御器とは典型的には別個でありはっきりと異なる1つ以上の安全制御器を含む。SIS制御器は、安全バス、通信線、リンク、有線ネットワーク、および/またはプロセスプラント内に設置された無線ネットワークを介して安全フィールド装置に通信可能に接続され得る1つ以上の安全システム論理ソルバを含んでもよく、いくつかの布置では、プロセス制御フィールド装置および制御器に通信可能に接続されてもよい。典型的には、SIS制御器、装置、論理ソルバなどのSIS装置は、安全通信バス、リンク、ネットワークなどを介して、直接的なポイントツーポイント様式で、例えばプロセス制御システムのI/Oレベルで(例えば、プロセス制御システムに含まれるI/Oカードにより通信のために利用および/または実装されるメッセージフォーマットを使用することによって)または他の好適な通信レベルで互いに通信する。
安全システム論理ソルバは、他の安全システム論理ソルバまたは制御器、安全フィールド装置、プロセス制御フィールド装置、および/またはプロセス制御制御器によって生成される、例えば特定のパラメータの値(複数可)、特定の安全スイッチまたはシャットダウンバルブの位置、プロセス内のオーバーフローまたはアンダーフロー、重要な発電装置または制御装置の動作、故障検出装置の動作などの様々な状態を示すそれぞれの入力信号を受信し処理するそれぞれの安全情報機能(SIF)ルーチンを実行する。安全情報機能ルーチンは、そのそれぞれの論理に従って受信された入力に対して動作し、受信された入力の組み合わせがプロセスプラント内の安全に影響を与えるもしくは安全に関連する事象(例えば、「安全事象」)の発生またはその蓋然性を示すかどうかを判定する。安全事象は、例えば、プラントの1つの部分で発生する単一の状態、プラントの1つ以上の部分における2つ以上の状態の同時発生などによって検出または示され得る。一般的に言えば、必ずしもそうとは限らないが、複数の入力信号を受信し、ルーチン論理に従って入力を処理して出力を生成する際に安全機能ルーチンによって出力される「真」の信号は、安全事象の発生またはその重大な蓋然性を示す。安全事象の発生(またはその重大な蓋然性)が検出されると、安全制御器は、バルブを閉じるための制御信号の送付、装置の電源オフ、装置および/またはプラントの区画からの電力の除去など、事象の有害な性質を限定するための何らかの措置を講じる。例えば、安全制御器は、制御信号を送付して、他の装置または構成要素を強制的に、プロセスプラント内の深刻または危険な状態の影響を予防または緩和するように設計されたトリップ状態または「安全な」動作モードに移行させることができる。
フィールド装置、プロセス制御器、および安全システム論理ソルバ(安全制御器とも呼ぶ)からの情報は、通常、1つ以上のデータハイウェイまたは通信ネットワークを通じて、オペレータワークステーション、パーソナルコンピュータもしくはユーザインターフェースを有する他の種類のコンピューティング装置、データヒストリアン、レポート生成器、中央集中型データベース、またはプロセス制御ネットワークに含まれ、典型的には制御室もしくはプラントのより過酷なフィールド環境から離れた他の位置、例えばプロセスプラントのバックエンド環境内に配設される他の中央集中型管理運営コンピューティング装置、などの1つ以上の他のハードウェア装置から利用可能にされ得る。これらのハードウェア装置の各々は、典型的には、プロセスプラントにわたって、またはプロセスプラントの一部分にわたって集中化される。これらのハードウェア装置は、プロセス制御ルーチンまたは安全ルーチンの設定の変更、プロセス制御器、安全システム制御器、フィールド装置内などの制御モジュールの動作の修正、プロセスの現在状態の閲覧、フィールド装置、プロセス制御器、または安全システム制御器によって生成されたアラームの閲覧、要員の訓練またはプロセス制御ソフトウェアの試験を目的としたプロセスの動作のシミュレーション、構成データベースの保守および更新などの、プロセスの制御および/またはプロセスプラントの動作に関する機能を制御または安全システムオペレータが遂行することを可能にするアプリケーションを実行する。ハードウェア装置、制御器、およびフィールド装
置によって利用されるデータハイウェイは、有線通信パス、無線通信パス、または有線および無線通信経路の組み合わせを含むことができる。典型的に、プロセス制御フィールド装置および制御器によって生成された制御情報を伝送するデータハイウェイ/通信ネットワークは、安全フィールド装置および制御器によって生成された安全情報を伝送するデータハイウェイ/通信ネットワークとは別個のまったく異なるものであり、制御データハイウェイおよび安全データハイウェイの少なくとも一部は、一体的でもよく、一般的に実装されてもよい。
例として、Emerson Process Managementによって販売されているDeltaV(商標)プロセス制御システムは、プロセスプラント内の多様な場所に位置する異なる装置内に記憶され、それら異なる装置によって実行される複数のアプリケーションを含む。プロセス制御システムまたはプラントのバックエンド環境内の1つ以上のワークステーションまたはコンピューティング装置内に常駐する構成アプリケーションは、ユーザが、プロセス制御モジュールを作成または変更し、これらのプロセス制御モジュールをデータハイウェイを介して専用の分散型制御器へダウンロードすることを可能にする。典型的には、これらの制御モジュールは、通信可能に相互接続された機能ブロックから構成され、これらの機能ブロックは、それに対する入力に基づき制御スキーム内で機能を遂行し、出力を制御スキーム内の他の機能ブロックに提供するオブジェクト指向プログラミングプロトコル内のオブジェクトであってもよい。構成アプリケーションはまた、データをオペレータに対して表示するため、かつオペレータによるプロセス制御ルーチン内の設定点などの設定の変更を可能にするために閲覧アプリケーションが使用するオペレータインターフェースを、構成設計者が作成または変更することを可能にする。各専用制御器(プロセス制御器および安全システム制御器など)、ならびにいくつかの場合においては、1つ以上のフィールド装置は、実際のプロセス制御および/または安全システム機能を実装するために、それらに割り当てられてダウンロードされた制御モジュールを実行するそれぞれの制御器または安全アプリケーションを記憶および実行する。
その上、オペレータワークステーション、オペレータワークステーションおよびデータハイウェイなどと通信可能に接続された1つ以上の遠隔コンピューティング装置などの、1つ以上のユーザインターフェース装置、または1つ以上のユーザインターフェース装置上で実行されるプラントディスプレイアプリケーションは、データハイウェイ(複数可)を介して制御器およびフィールド装置からデータを受信し、このデータをユーザインターフェース画面を介してプロセス制御システムの設計者、オペレータ、またはユーザに表示する。これらのユーザインターフェース装置またはアプリケーションは、オペレータのビュー、エンジニアのビュー、技術者のビューなど、プラント内の異なるユーザによって遂行される活動に合ったいくつかの異なるビューのうちの任意のものを提供する。その上、データヒストリアンアプリケーションが、典型的には、データハイウェイ(複数可)にわたって提供されたデータの一部または全部を収集および記憶するデータヒストリアン装置に記憶され、それによって遂行される一方、構成データベースアプリケーションが、現在のプロセス制御ルーチン構成およびそれに関連するデータを記憶するためにデータハイウェイ(複数可)に接続されたさらなるコンピュータで実行される。あるいは、構成データベースは、構成アプリケーションと同じワークステーション内に位置してもよい。
長距離プロセスプラント構成(例えば、石油パイプライン、沖合プラットフォーム、遠隔坑口など)では、プロセス制御システムのフィールド環境の相互接続された部分は、互いから遠隔に所在または位置してもよい(例えば、互いから遠距離離れて、かつ/または物理的な妨害物、障壁、もしくは水、山、地下井戸などの障害物によって隔てられて)。例えば、プロセス制御システムの1つ以上の部分は、システムの残部から地理的に離間していてもよく、例えば、システムの残部が地上に位置する一方で地下に位置してもよく、システムの残部が陸上にある一方で水中に位置してもよく、システムの残部が都市内など
に所在する一方で何マイルも離れた砂漠に位置してもよい。しかしながら、プロセス制御システムの非常に遠隔な部分で生じる安全状態でさえ、場合によっては他の部分にあるプロセス制御システムの他の部分および/または全体としての安全性に影響を及ぼすおそれがあり、逆の場合も同様である。したがって、多くの場合、プロセス制御システムにサービスを提供する安全計装システムの離間部分間で安全メッセージを通信することは、有害化学物質の流出、爆発などのプラントのハザードを防止し、かつ/または小さな安全事象の影響さえ防止もしくは緩和するために必要である。現在知られている安全計装システムは、典型的に、ローカル通信バスまたはローカルデータハイウェイを使用してプロセスプラントのローカル部分間で安全メッセージを通信し、典型的に、衛星や光ファイバケーブルなどの高帯域幅のリンクを使用することによって、長距離離れた(例えば、遠隔に位置する)プロセスプラントの部分間で安全メッセージを通信する。しかしながら、そのような高帯域幅のリンクは使用するのが高価であり、衛星通信の場合にはサードパーティベンダに依存する。その上、いくつかの低速の低速通信安全メッセージ(例えば、ハートビートメッセージなど)については、高帯域幅リンクによって提供される帯域幅の量は過剰であり、したがってそれらの使用は慎重な経済的決定ではない。他方では、低帯域幅または別の点で「低速」の伝送リンクは、長距離離れた安全システムの部分間のデータ伝送に使用するのに安価である一方、典型的に、低帯域幅のリンクは、十分な忠実度で、かつプロセスプラントの安全な運転を維持するのに必要な時間的制約の範囲内で、大きなまたは頻繁に生成される安全メッセージを長距離にわたって効率的かつ効果的に伝送するものではない。
本明細書に開示されるシステム、方法、装置、および技術は、安全メッセージ(例えば、安全メッセージパケット)が、物理的に長距離離れたプロセスプラントの安全計装システム(SIS)の部分間でより効率的かつ効果的に、かつ衛星および光ファイバケーブルなどの高帯域幅のリンクを使用する場合と比較してより低コストで、伝送されることを可能にする。本明細書に開示されるシステム、方法、装置、および技術は、小さくかつ/または頻繁には送信されない安全メッセージを長距離にわたって、効率的、効果的、かつ低コストの様式で伝送するのに特に適しているが、それらは、そのような種類の安全メッセージを伝送することには限定されない。その上、本明細書に開示されるシステム、方法、装置、および技術は、工業プロセスがプロセス制御システムによって実行および制御されているプロセスプラントの既存の(例えば、以前に設置された)安全計装システム(SIS)に容易かつ簡単に統合される。
一実施形態では、安全データ集約器(SDC)は、安全データ集約解除器(SDD)とペアにされ、長距離通信リンクによってそれと通信可能に接続されている。SDCは、プロセスプラントの長距離部分の送信端またはその近くに、プロセスプラントのプロセス制御システム(PCS)をサポートする安全計装システム(SIS)内に所在または位置し、SDDは、プロセスプラントの長距離部分の受信端またはその近くに所在または位置する。例えば、例解的な構成では、SDCは陸上に所在し、それとペアをなすSDDは海中に何マイルも離れて位置する掘削ステーションに所在する。SDCとSDDとを通信可能に接続する長距離通信リンクは、衛星リンクおよび光ファイバケーブルなどの長距離構成で典型的に使用される長距離、高帯域幅の通信リンクよりも低い帯域幅を有する(例えば、「低速」である、または低容量を有する)。例えば、長距離、低帯域幅の通信リンクは、海底ケーブル、長距離無線リンク、非衛星地上無線リンク、有線通信リンク上に便乗した(例えば、その上にオーバーレイされているかもしくは別の方法でそれによってサポートされている)通信リンク、低帯域幅のVPN(仮想私設ネットワーク)、または高帯域幅のリンクに含まれるかまたは収容される仮想リンクなどを介して実装され得る。
SDCおよびSDDの各々は、プロセスプラントの長距離部分のそれぞれの端部に物理
的に位置するそれぞれの組の安全論理ソルバ(LS)に接続されている。安全論理ソルバの観点からは、SDCおよびSDDは、安全論理ソルバおよび装置が、例えばI/Oレベルで、かつ/または既知の通信レベルもしくは層で何らかの他の既知の通信フォーマットを使用して、典型的に互いに通信するためのI/Oカードまたは何らかの他の既知の伝送機構であるように見える。つまり、安全論理ソルバは、速度、距離、それどころか安全メッセージが送受信される物理的な伝送機構すら知らない。実際、いくつかの実装形態では、安全論理ソルバはSDCおよびSDDの存在を知らない。そのため、論理ソルバによって送受信される安全メッセージは、SDC/SDDペアが伝送に使用されるかどうかにかかわらず、ローカルで通信されているように論理ソルバに見える。つまり、SDC/SDDペアを含む長距離伝送機構が利用されているかどうかは、論理ソルバにとって透過的である。
一般的に言えば、SDCは、複数の個々の安全メッセージを集約安全メッセージ(例えば、単一の集約安全メッセージ)に圧縮および/または統合し、集約安全メッセージを長距離低帯域幅の通信リンクを介してSDDに送信する。集約安全メッセージを受信すると、SDDは、集約安全メッセージから個々の安全メッセージをマイニングするかまたは別の方法で回復し、それらを意図された受信者に提供する。そのため、SDC/SDDペアおよび低帯域幅の長距離通信リンクを使用することにより、プロセスプラントの遠隔に所在する部分間で安全メッセージを送達するために利用される全帯域幅が少なくなり、したがって、帯域幅利用およびとりわけ長距離にわたる安全メッセージの送信コストの著しい節約が実現される。加えて、複数の安全メッセージのグループメッセージへの圧縮、統合、および/または集約は、個々のメッセージ内容のエラーの可能性を有利に少なくする。さらに、SDC/SDDペアおよび長距離通信リンクの使用は安全論理ソルバにとって透過的であるので、SDC/SDDペアは、論理ソルバおよび装置などの組み込み安全システム構成要素を再構成する必要なしに、既存のSISシステムにシームレスに追加することができる。
一態様では、プロセス制御システムを有する長距離プロセスプラントで使用するための安全計装システムが開示されている。安全計装システムは、安全計装システムの第1の部分内に配置され、安全計装システムによってサービスを提供されるプロセス制御システムの1つ以上のプロセス制御装置および/または安全制御器と動作可能に通信する1つ以上の安全論理ソルバに通信可能に接続された安全データ集約器を含む。プロセス制御システムの1つ以上のプロセス制御装置は、1つ以上の物理的機能を遂行し、それによって長距離プロセスプラントで実行される工業プロセスを制御する。安全データ集約器は、1つ以上の安全論理ソルバによって生成された複数の安全メッセージを単一の集約安全メッセージに結合するように構成され、単一の集約安全メッセージは、複数の安全メッセージに含まれる安全メッセージのそれぞれの長さの合計よりも短い全長を有する。加えて、安全データ集約器は、集約安全メッセージを安全計装システムの第2の部分への長距離リンクを介して送信するように構成されている。
別の態様では、長距離プロセスプラントのプロセス制御システムにサービスを提供する安全計装システムで使用する方法が開示されている。この方法は、安全計装システムの第1の部分内に配置され、安全計装システムによってサービスを提供されるプロセス制御システムの第1の組の1つ以上のプロセス制御装置と動作可能に通信する第1の組の1つ以上の安全論理ソルバに通信可能に接続された安全データ集約器によって、第1の組の1つ以上の安全論理ソルバによって生成された複数の安全メッセージを受信することを含む。この方法は、安全データ集約器によって、複数の安全メッセージを単一の集約安全メッセージに結合することをさらに含み、単一の集約安全メッセージは、複数の安全メッセージに含まれる安全メッセージの個々の長さの合計よりも短い全長を有する。加えて、この方法は、安全データ集約器によって、安全計装システムの第2の部分への長距離リンクを介
して、安全計装システムの第2の部分内に配置され、プロセス制御システムの第2の組の1つ以上のプロセス制御装置と動作可能に通信する第2の組の1つ以上の安全論理ソルバに通信可能に接続された安全データ集約解除器に単一の集約安全メッセージを送信することを含み、安全データ集約器は、第2の組の安全論理ソルバへの通信のために集約安全メッセージから複数の安全メッセージを回復するように構成され、第1の組の1つ以上のプロセス制御装置および第2の組の1つ以上のプロセス制御装置は、1つ以上の物理的機能を遂行し、それによって長距離プロセスプラントで実行される工業プロセスを制御する。
さらに別の態様では、長距離プロセスプラントのプロセス制御システムにサービスを提供する安全計装システムで使用する方法が開示されている。この方法は、安全集約解除器によって、安全計装システムの第1の部分からの長距離リンクを介して、安全計装システムの第1の部分内に配置され、安全計装システムによってサービスを提供されるプロセス制御システムの第1の組の1つ以上のプロセス制御装置と動作可能に通信する第1の組の1つ以上の安全論理ソルバに通信可能に接続された安全データ集約器によって送信された単一の集約安全メッセージを受信することを含む。安全データ集約器は、第1の組の1つ以上の安全論理ソルバによって生成された複数の安全メッセージを単一の集約安全メッセージに結合するように構成され、安全データ集約解除器は、安全システムの第2の部分内に配置され、プロセス制御システムの第2の組の1つ以上のプロセス制御装置と動作可能に通信する第2の組の1つ以上の安全論理ソルバに、通信可能に接続されている。加えて、第1の組の1つ以上のプロセス制御装置および第2の組の1つ以上のプロセス制御装置は、1つ以上の物理的機能を遂行し、それによって長距離プロセスプラントで実行される工業プロセスを制御する。この方法は、安全データ集約解除器によって、単一の集約安全メッセージから複数の安全メッセージを回復すること、および回復された複数の安全メッセージを第2の組の1つ以上の安全論理ソルバに通信することをさらに含む。
長距離構成を含む例示的なプロセスプラントにサービスを提供する例示的な安全計装システム(SIS)のブロック図を示す。 図1の例示的な長距離安全計装システムの実施形態のそれぞれの詳細ブロック図を示す。 図1の例示的な長距離安全計装システムの実施形態のそれぞれの詳細ブロック図を示す。 図1の例示的な長距離安全計装システムの実施形態のそれぞれの詳細ブロック図を示す。 図1の例示的な長距離安全計装システムの実施形態のそれぞれの詳細ブロック図を示す。 長距離構成を有するプロセスプラントに含まれる例示的な安全計装システムに関連する例示的な信号図を示す。 長距離構成を含むプロセス制御システムまたはプラントで使用するための例示的方法の流れ図を示す。 長距離構成を含むプロセス制御システムまたはプラントで使用するための例示的方法の流れ図を示す。 図5Aは、例示的な安全データ集約器(SDC)のブロック図を示し、そのSDCは、図1の安全計装システムに含まれ得る。 図5Bは、例示的な安全データ集約解除器(SDD)のブロック図を示し、そのSDDは、図1の安全計装システムに含まれ得る。 図1の例示的な長距離プロセスプラントおよび例示的な長距離安全計装システムのより詳細なブロック図を示す。
石油パイプライン、沖合プラットフォーム、遠隔坑口などの長距離プロセスプラント構成では、プロセス制御システムの相互接続された部分は、互いに遠隔にまたは離間して位置してもよい(例えば、遠距離離れて、地理的に離間して、または物理的な妨害物、障壁、もしくは水、山、地下井戸などの障害物によって隔てられて)。例えば、プロセス制御システムの遠隔部分は、システムの残部が地上に位置する一方で地下に位置してもよく、システムの残部が陸上にある一方で水中に位置してもよい。一例として、水中油井は、例えば人工島であってもよく、浮いていてもよく、海底に固定されていてもよい沖合石油プラットフォームから掘削される。これらの沖合石油プラットフォームは、しばしば陸地から数百マイル離れたところに位置し、それらに関連する水中油井は、典型的に海面下数千フィートである。その上、そのような井戸から抽出された油は、典型的に、精製のために陸上施設に配管で戻さなければならない。したがって、この例では、集合的に、水中油井、沖合石油プラットフォーム、および陸上精製施設がプロセスプラントを構成する。ある観点からは、プロセスプラントの「ローカル」部分は陸上精製所を含む一方、プロセスプラントの「遠隔」部分は沖合石油プラットフォームおよび水中油井を含む。別の観点からは、プロセスプラントの「ローカル」部分は特定の沖合石油プラットフォーム/井戸であり、「遠隔」部分は他の沖合プラットフォーム/井戸および陸上精製所を含む。プロセスプラントの動作は、それぞれのローカル環境および遠隔環境にそれぞれ統合される部分を有するプロセス制御システムによって制御され、プロセスプラントの安全リスクは、少なくとも部分的に、それぞれのローカル環境および遠隔環境にそれぞれ統合される部分を有する安全計装システムによって管理される。加えて、プロセスプラントのローカル部分および遠隔部分は、1つ以上の長距離伝送リンクを介して接続されている。
プロセス制御システムの非常に遠隔な部分で生じる安全状態でさえ、プロセス制御システム全体および/またはプロセス制御システムのローカル部分の安全性に影響を及ぼすおそれがあり、逆もまた同様である。例えば、オイル抽出および精製プロセスプラントのいかなる点におけるオイル漏れも、プロセスプラントの他のローカル部分または遠隔部分における爆発および/または他の望ましくない帰結をもたらすおそれがある危険な状態を作り出し得る。その上、プロセス制御システムの遠隔部分で生じる安全状態は、場合によっては、プロセス制御システムの他の部分の措置によって防止されることがある。例えば、プラントのある部分でオイル漏れが検出された場合、漏れ口を通るオイルの流れを低減または防止するために、プラントの別の部分に遠隔に位置するバルブを閉じることができる。
その結果、有毒化学物質の流出(例えば、海洋油流出)、爆発などのプラントハザードを防ぐために、プロセス制御システムのローカル部分と遠隔部分との間の安全メッセージの通信が必要である。プロセスプラントにサービスを提供する安全計装システムは、典型的に、ローカル通信バスまたはローカルデータハイウェイを使用して、プロセスプラントのローカル部分間の安全メッセージを通信し、ローカル通信バスまたはローカルデータハイウェイは、プロセス制御関連メッセージを通信するためにプロセス制御システムによって使用されるのと同じデータハイウェイであってもよく、そうでなくてもよい。長距離構成(例えば、プロセスプラントの部分が長距離にわたって分散し、かつ/または水、山、地下井戸などの物理的な障壁を越えて分散している構成)では、プロセスプラントの遠隔部分に到達するために使用される安全データハイウェイは、典型的に、衛星リンクなどの長距離にわたることができる高帯域幅リンクを使用して実装される。しかしながら、そのような高帯域幅のリンクは使用するのが非常に高価であり、衛星通信の場合にはサードパーティベンダに依存する。他方では、より安価な低帯域幅または別の点で「低速」の伝送リンク(例えば、非衛星地上無線、有線通信リンク上に便乗したリンク、全体的に高帯域幅のリンクに含まれる低帯域幅のVPN(仮想私設ネットワーク)など)は、典型的に、長距離にわたって大きいまたは頻繁に発行される安全メッセージを効率的かつ効果的に伝送することはできない。例えば、大型の安全メッセーまたは大量の安全メッセージを長距
離にわたって、とりわけ短期間にわたって低帯域幅のリンクで送付しようとすると、リンクは圧倒され、安全メッセージのいくつかは遅延することもあれば、単に送信されないこともある。しかしながら、安全メッセージは時間に敏感であるので、安全メッセージの通信に関する遅延および/または他の問題はプロセスプラント内の危険な動作状態につながるおそれがある。
本明細書に開示されているシステム、方法、および/または技術は、プロセスプラントの遠隔に所在する部分間で、遠隔に所在する部分間の距離にわたる低帯域幅の長距離通信リンクを介して安全メッセージを通信するために、安全データ集約器(SDC)および安全データ集約解除器(SDD)を使用することによって、既知の長距離SISシステムのこれらおよび他の欠点に対処する。一実施形態では、SDCは、プロセス制御システムにサービスを提供する安全計装システムの第1の部分に統合され、プロセス制御システムの第1の部分に含まれる様々な装置および構成要素によって生成された個々の安全メッセージを、集約安全メッセージに(例えば、単一の集約安全メッセージに)結合する。SDCは、集約安全メッセージを低帯域幅の長距離リンクを介して、第1の部分から(例えば、長距離の)遠隔に所在する安全計装システムの第2の部分に統合されたSDDに送信する。SDDは、集約安全メッセージから個々の安全メッセージを回復し、回復された安全メッセージを、安全計装システムの第2の遠隔部分内に配置されたそれぞれの受信装置または構成要素に通信する。
具体的には、例示的な一布置では、SDCは、プロセスプラントの第1の部分内に配置された一組の安全論理ソルバに通信可能に接続されている。安全論理ソルバは、次に、典型的には(必ずしもそうとは限らないが)I/Oレベルで、複数のプロセス制御装置(例えば、制御器、プロセス制御フィールド装置、安全フィールド装置など)に通信可能に接続されている。安全論理ソルバは、プロセス制御装置および対応するメッセージトラフィックを監視し、プラント内で発生する安全関連状態を検出する。安全関連状態または安全に影響を与える状態は、例えば、パラメータ値、特定の安全スイッチもしくはシャットダウンバルブの位置、プロセス内のオーバーフローもしくはアンダーフロー、重要な発電装置もしくは制御装置の動作、障害検出装置の動作、監視対象装置によって生成されるステータスおよび/もしくはデータなど、ならびに/またはこれらの組み合わせなどのプロセス状態に基づいて検出することができる。安全関連状態が検出されると、安全論理ソルバは、安全メッセージまたは信号を生成し、それらをプラントの様々な部分にわたって適切な装置および構成要素に配信して、対応する安全措置を発生させる。様々な種類の安全メッセージまたは信号、例えばトリップメッセージ/信号、シャットダウンメッセージ/信号、アラームメッセージ/信号、警報メッセージ/信号、セーフモード移行メッセージ/信号、インターロック有効化メッセージ/信号、を配信することができる。
安全メッセージは、既知のローカル安全通信機構によって、例えば、例えば米国特許第7,289,861号に記載されているローカルリング通信バスなどのローカル安全データハイウェイまたはローカル安全通信バスを介して、プラントのローカル部分内およびローカル部分間でローカルに配信される。いくつかのプロセスプラント構成では、ローカル安全通信バスまたはデータハイウェイは、プロセス制御システムによって利用されるいずれの通信ネットワーク(例えば、データハイウェイ、無線ネットワーク、通信バスなど)とも異なり、それらとは別個である。他のプロセスプラント構成では、ローカル安全通信バス/データハイウェイの少なくともいくつかの部分および1つ以上のプロセス制御システム通信バス/データハイウェイの少なくともいくつかの部分は、一体的に実装される。他方では、プラントの遠隔に所在する部分内に配置された装置に遠隔に配信されるべき安全メッセージは、以下により詳細に記載されるように、集約および長距離通信リンクを介した遠隔に所在するプラント部分への送達/配信のためにSDCに提供される。安全メッセージは、ローカルに配信されるか遠隔に配信されるかにかかわらず、適切な装置または
構成要素によって受信されると、例えば装置の電源を切る、プラントの区域から電力を除去する、バルブを閉じる、安全装置および/または制御装置をトリップまたは「安全」モードに切り替える、アラームを生成するなどの制御信号を送付することなどによって、検出された安全関連状態の有害な性質を制限する措置をトリガする。状況によっては、受信された安全メッセージそれ自体は、安全措置を開始またはトリガするかどうかを決定するために論理ソルバによって他の検出された状態と組み合わされる状態であることがある。
有利なことに、一実施形態では、プロセスプラントの第1の部分において、安全論理ソルバは、安全論理ソルバが互いに、および/またはプロセス制御システムの第1の部分内のローカルに配置されたプロセス制御装置との間で安全メッセージを提供するのと同じまたは同様の様式で、SDCに安全メッセージを提供する。例示的な一実装形態では、安全論理ソルバは、ローカルの安全フィールド装置に、他のローカルに配置された安全論理ソルバに、およびSDCに安全メッセージを直接I/Oレベルで通信する。SDCでは、安全論理ソルバから受信された複数の個々の安全メッセージが、(例えば、圧縮、集約、多重化、ラッピングなどによって)、複数の個々の安全メッセージの個々のサイズ/長さの合計よりもサイズまたは長さが小さい集約安全メッセージ(例えば単一の集約安全メッセージ)に結合され凝縮される。SDCは、例えば長距離通信リンクの1つ以上の特性(例えば、利用可能および/または最大帯域幅)に基づいて、一群の個々の安全メッセージを単一の集約安全メッセージに結合することができる。追加的または代替的に、SDCは、メッセージの1つ以上の特性、例えば個々の安全メッセージの内容、特定の安全メッセージの有無、安全メッセージの1つ以上の送信予定時刻、受信側装置が安全メッセージを受信すべき時刻などに基づいて、一群の安全メッセージを集約安全メッセージに結合することができる。SDCは、プロセスプラントの第1の部分からプロセスプラントの第2の遠隔に所在する部分に、長距離リンクを介して集約安全メッセージをSDDに送信する。集約安全メッセージは複数の安全メッセージの個々のサイズの合計よりもサイズが小さいので、プラントの遠隔に所在する第1の部分と第2の部分との間で複数の安全メッセージを通信するために必要な帯域幅は減少する。したがって、送信前に安全メッセージを結合し凝縮することによって、SDCは、忠実度を維持し過負荷状態のためにメッセージを喪失する可能性を減少させながら、長距離リンクの制約内でプロセスプラントの遠隔部分への安全メッセージ情報の低帯域幅送信を有利に促進する。
プロセスプラントの第1の部分から長距離の距離に所在するプロセスプラントの第2の部分では、長距離リンクを介して集約安全メッセージを受信すると、SDDは、受信された集約安全メッセージから個々の安全メッセージを回復する(例えば、抽出、解凍、分離、逆多重化、アンラップすることなどによって)。SDDは、回復された安全メッセージを、(例えば、安全通信バスもしくはリンクを介して、および/または1つ以上のプロセス制御通信バスもしくはリンクを介して直接I/Oレベルで)、回復された安全メッセージによってそれぞれ示されプラントの第2の部分内に配置された受信側安全論理ソルバおよび/または他の受信側装置に送信する。その後、安全論理ソルバは、受信された個々の安全メッセージに基づいて、例えばそれぞれの安全メッセージを適切な受信側プロセス制御装置、プロセス制御器、安全装置、および/または遠隔地に配置された安全制御器に配信することによって、1つ以上の制御メッセージおよび/または信号を送付してトリップまたは他の緩和措置を引き起こすことによって、アラームを生成することによってなど、適切な措置を講じ得る。
したがって、一般的に言えば、SDCおよびSDDはミラー対であり、それらはそれらの通信において双方向的であってもよい。例示的な一実装形態では、SDCの出力は、低帯域幅の長距離リンクを含む伝送機構を介して、SDDの入力に直接論理的に接続され、逆の場合も同様である。
有利には、SDCが個々の安全メッセージを集約メッセージに圧縮し結合することによって、かつSDDが集約メッセージから個々の安全メッセージを回復することによって、SDCおよびSDDは、プロセスプラントのローカル部分内に配置された装置によって生成された安全メッセージを、低帯域幅の長距離リンク上で、プロセスプラントの遠隔部分内に配置された受信装置に効率的かつ効果的に伝送することを促進する。つまり、一般的に言って、例えばパケットを特定のサイズおよび/または特定の頻度に制限することなどによって、低帯域幅の長距離リンクの帯域幅および他の制約を考慮に入れた様式で安全メッセージまたはパケットが構成されている場合、データは、低帯域幅の長距離リンクを介してより効率的かつ効果的に伝送され得る。したがって、安全論理ソルバによって生成された複数の安全メッセージを圧縮して集約安全メッセージに結合することによって、SDCは、プロセスプラントの第1の部分からプロセスプラントの第2の遠隔部分に送信される安全メッセージのサイズ(例えば、安全メッセージを圧縮することによって)および頻度(例えば、安全メッセージの各メッセージを受信するとすぐに送付するのではなく、安全メッセージ群を結合し低頻度で一緒に送信することによって)の両方を低減することができる。送信される安全メッセージのサイズおよび頻度が低減されると、リンクを圧倒してクリティカルな安全メッセージを喪失することなく、低帯域幅の長距離リンクをプラントの遠隔部分への安全メッセージの送信に効果的かつ効率的に使用することができる。そのため、低コスト、低帯域幅の長距離リンクを利用して、忠実度を損なうことなく、かつ安全関連リスクを増大させることなく、プロセスプラントの安全性を維持することができる。
いくつかの構成では、安全計装システムは、低帯域幅の長距離リンクと標準的な高帯域幅の長距離リンクの両方を含み得ることに留意されたい。そのため、最も適切な長距離リンクが、異なる種類の安全メッセージの送達に利用されてもよい。例えば、非常に緊急性の高い安全性メッセージは、高帯域幅と低帯域幅の両方の長距離リンクを介して送信されてもよい。他方では、ハートビートメッセージは、専ら低帯域幅の長距離リンクを介して通信されてもよい。
また、SDCとSDDとは双方向に連結されてもよい(しかし必須ではない)。例えば、長距離リンクの第1の端部に配置されたSDCは、長距離リンクの他端に送達されるべきメッセージの集約器として機能してもよく、長距離リンクの他端から受信されたメッセージの集約解除器として機能してもよい一方、SDCとペアをなすSDDは、長距離リンクの他端に配置されてもよく、長距離リンクの他端に対して同じ機能を遂行してもよい。
いくつかの実施形態では、SDCおよび/またはSDDは、それらのそれぞれの集約および集約解除機能に加えて、トリップまたは他の緩和措置をトリガし得る1つ以上の安全事象の存在を検出するように特定の状態を処理するためのそれぞれの内部ロジックを含む。必ずしもそうとは限らないが一般的に、そのような状態は低帯域幅の長距離リンクに関連している。例えば、特定の通信パケットおよび/または特定のインジケータを含む通信パケットが、単独でまたは組み合わせて、SDCおよび/またはSDDに到着することは、場合によっては、1つ以上の構成要素または装置のトリップをトリガしてもよい。追加的または代替的に、長距離リンク上の通信パケットの損失(例えば、一定期間にわたる)、長距離リンクを介して(例えば、一定期間にわたって)受信された不良または劣悪品質の通信パケット、通信パケットの品質の不良または劣悪品質の程度、などの状態をSDCおよび/またはSDDが検出すると、1つ以上の構成要素または装置のトリップがトリガされてもよい。
本明細書に開示されているシステム、方法、および技術のさらなる利点は、SDCおよびSDDを既存の安全計装システムにシームレスに統合することができることである。つまり、安全論理ソルバとSDCおよび/またはSDDとの間の通信は、安全論理ソルバと
他のローカル装置(例えば、他の安全論理ソルバ、プロセス制御I/O装置、安全フィールド装置、プロセス制御フィールド装置、プロセス制御器など)との間で使用されるのと同じレベルおよび形態の通信を利用するため、組み込み安全論理ソルバは、安全メッセージの長距離送信および/または受信にSDCおよび/またはSDDを利用しているという事実を知らない。例えば、安全論理ソルバは、ローカル装置およびSDC/SDDの両方とI/Oレベルで通信してもよく、個々の安全メッセージ/信号の送付側/受信側アドレスは、集約安全メッセージ内に維持されてもよい。したがって、安全論理ソルバの観点からは、安全メッセージはローカルで個々に送受信されるように見える。その結果、SDCおよびSDDは、プロセスプラントのローカル部分および遠隔部分の既存の安全計装システムに容易に統合され、各システムの既存の安全論理ソルバ間の安全メッセージの通信を容易に促進する。有益なことに、SDC、SDD、および長距離リンクをプロセスプラントの既存の安全計装システムに実装するために、安全論理ソルバに対するハードウェアまたはソフトウェアの変更は必要ではない。したがって、SDC/長距離リンク/SDDの布置は、SIS内で論理的な長距離伝送パイプとして機能する。
図1は、例示的な安全計装システム(SIS)100および例示的なプロセス制御システム(PCS)110を含む例示的なプロセスプラント10の高レベルブロック図を示しており、プラント10のフィールド環境の様々な部分は、長距離の距離、例えば「長距離」プロセスプラント10にわたって地理的に位置する。図1に示すように、プロセスプラント10は、ローカル環境12を含み、ローカル環境12から長距離の距離に所在する遠隔環境14を含む。ローカル環境12はローカル環境部分16、18、および20を含み、遠隔環境部分14は遠隔環境部分22および24を含む。ローカル環境部分14、16、18および遠隔環境部分22、24の各々は、プロセスプラント10内で動作するプロセス制御システム(PCS)110のそれぞれの部分36〜44、ならびにPCS110のそれぞれの部分36〜44にサービスを提供するSIS100のそれぞれの部分46〜54を含む。一般的に言えば、PCS110はプロセスプラント10の1つ以上の工業プロセスをリアルタイムで制御する一方、SIS100はPCS110および/またはプロセスプラント10内で生じる安全関連の問題および/または状態を検出し、例えば装置の電源を切る、プラントの区域から電力を除去する、バルブを閉じる、安全装置および/または制御装置をトリップまたは「安全」モードに切り替えるなどの制御信号を送付することなどによって、検出された安全関連状態の有害な性質を防止または制限するために、安全メッセージ/信号を生成し、プロセスプラント10の部分内および部分間で送信する。状況によっては、受信された安全メッセージそれ自体は、安全トリガを開始するかどうかを決定するために論理ソルバによって他の検出された状態と組み合わされる状態であることがある。
図1に示すように、ローカル環境12内で、SIS100のローカル部分46はPCS110のローカル部分36にサービスを提供し、SIS100のローカル部分48はPCS110のローカル部分38にサービスを提供し、SISのローカル部分50はPCSのローカル部分40にサービスを提供する。同様に、遠隔環境14内で、SIS100の遠隔部分52はPCS110の遠隔部分42にサービスを提供し、SIS100の遠隔部分54はPCS110の遠隔部分44にサービスを提供する。当然のことながら、図1に示すSIS部分46〜54およびPCS部分36〜44の数および布置は例示的なものであり、説明を容易にするためのものである(限定するためのものではない)。例えば、ローカル環境12(および/または遠隔環境14)は、所望により、一対一、一対多、または多対一の布置で任意の数のPCS部分にサービスを提供する任意の数のSIS部分を含むことができる。さらに、ローカル環境12内(または完全に遠隔環境14内)に完全に配置されたSISの部分は、任意の好適な様式で(例えば、1つ以上の直接交差接続、リングなどを介して)通信可能に相互接続することができる。同様に、ローカル環境12(または遠隔環境14)に配置されたPCSの部分は、任意の好適な様式で通信可能に相互接
続することができる。
いずれにせよ、上述したように、プラント10の一部分12に生じる安全状態は、プラント10全体の安全および/またはプラント10の遠隔に所在する部分14における安全に影響を及ぼし得、逆の場合も同様である。その上、プラントの一部分12で講じられる予防または緩和措置はまた、プラント10の他の部分14における安全事象および状態を予防または緩和するのにも役立つことがある(逆の場合も同様である)。したがって、プロセスプラント10内の安全リスクを効果的に管理するために、適切な予防および/または緩和措置をトリガするように、プラント10内の安全状態を示す安全関連メッセージを、プラント10のローカル部分内およびローカル部分間で(例えば、ローカルSIS部分46、48、50のうちの1つと別のローカルSIS部分46、48、50との間でローカルに、および遠隔SIS部分52と54との間でローカルに)、ならびにプラント10の遠隔に位置する部分間で(例えば、ローカルSIS部分46、48、50の1つ以上と遠隔SIS部分52、54の1つ以上との間で)、送信することができなければならない。SIS100のローカル部分46、48、50とSIS100の遠隔部分52、54との間の長距離の距離にわたる安全メッセージの送達を促進するために、安全データ集約器(SDC)128が、ローカル環境12内に配置され、SIS100の1つ以上のローカル部分46、48、50に通信可能に連結されている一方、安全データ集約解除器(SDD)130が、遠隔環境14内に配置され、SIS100の1つ以上の遠隔部分52、54に通信可能に連結されている。図1では、SDC128はローカルSIS部分46、48、50に通信可能に連結されているとして示されており、SDDは遠隔SIS部分52、54に通信可能に連結されているとして示されているが、この布置は説明を容易にするためだけのものである。例えば、図示されていないが、任意の数のローカルSIS部分がSDC128に通信可能に接続されてもよく、任意の数の遠隔SIS部分がSDD130に通信可能に接続されてもよい。いくつかの実施形態(やはり図示せず)では、ローカル環境12内に複数のSDC128を配置することができ、ローカルSIS部分のそれぞれのサブセットを各SDC128に通信可能に連結することができる。同様に、いくつかの実施形態(やはり図示せず)では、複数のSDD130を遠隔環境14に配置することができ、遠隔SIS部分のそれぞれのサブセットを各SDD130に通信可能に連結することができる。
図1に示されるように、SDC128は、ローカルSIS部分46、48、および50によって生成され、遠隔SIS部分52、54の1つ以上によって受信されることを意図されている個々の安全メッセージを1つ以上の集約安全メッセージに集約し、集約安全メッセージ(複数可)を長距離リンク132を介して遠隔環境14に配置されたSDD130に送信する。遠隔環境14において、SDD130は、集約安全メッセージ(複数可)から個々の安全メッセージを回復し、それらをそれらの意図された受信者、例えば遠隔SIS部分52および/または遠隔SIS部分54内に配置された論理ソルバに提供する。合わせて、SDC128、SDD130、および長距離リンク132は、安全計装システム100の長距離部分134(例えば、長距離伝送機構134)を構成する。
長距離伝送機構134は、物理的および/または地理的に互いから離間している、例えば互いからかなりの長距離の距離に所在するローカル環境12と遠隔環境14とを相互接続する。一実施形態では、任意の2つのローカル環境部分16、18、20間の地理的距離は、ローカル環境12と遠隔環境14との間の地理的距離よりも短く、遠隔環境部分22、24間の地理的距離は、ローカル環境12と遠隔環境14との間の地理的距離よりも短い。例示的な一構成では、プロセスプラント10のローカル環境12は陸上に位置する一方、プラント10の遠隔環境14は水域に位置する(例えば、沖合および/または水中)。別の例示的な構成では、プラント10のローカル環境12は地上に位置する一方、遠隔環境14は地下に位置する。当然のことながら、上記はプロセスプラント10の長距離
構成のほんの数例であり、プロセスプラント10の遠隔環境14がプロセスプラント10のローカル環境12から遠隔に位置するまたは所在する追加の構成が可能である。
ローカル環境12内で、SIS100のローカル環境部分46、48、50は、ローカル環境12内に配置された1つ以上の安全システムデータハイウェイ、バス、および/またはリング(本明細書では「安全システム通信リンク」とも交換可能に呼ぶ)を介して互いに通信する(例えば、直接I/Oレベルで、または他の何らかの指定されたレベルで)。同様に、遠隔環境14内で、SISの遠隔環境部分52、54は、遠隔環境14内に配置された1つ以上の安全システム通信リンクを介して互いに通信する(例えば、直接I/Oレベルで、または他の何らかの指定されたレベルで)。加えて、図1に示すように、特定の環境12、14内の各SIS部分およびそれに対応するPCS部分は、その特定の環境12、14の1つ以上の常駐安全システム通信リンクを介して互いに通信可能に接続されている(例えば、I/Oレベルで、または他の何らかの指定されたレベルで)。したがって、各SIS部分は、それに対応するPCS部分から、および他のローカルに所在するSIS部分からの信号および/またはメッセージを、当該常駐安全システム通信リンク(複数可)を介して取得する。例えば、SIS部分52は、遠隔環境14内に配置された1つ以上の安全システム通信リンクを介してPCS部分42に通信可能に接続され、それによってPCS部分42からの信号および/またはメッセージを当該安全システム通信リンク(複数可)を介して取得する。
さらに、ローカル環境12内で、1つ以上のローカルSIS部分46、48、50によって生成された安全メッセージは、例えばI/Oレベルで、または安全メッセージを通信するためにローカルSIS部分46、48、50によって本来利用される他の何らかの指定されたレベルで、ローカル環境12の1つ以上の常駐安全システム通信リンクを介してSDC128に送達される。同様に、遠隔環境14内で、SDD130によって回復された安全メッセージは、例えばI/Oレベルで、または安全メッセージを通信するために遠隔SIS部分52、54によって本来利用される他の何らかの指定されたレベルで、遠隔環境14の1つ以上の常駐安全システム通信リンクを介して1つ以上の遠隔SIS部分52、54に送達される。例えば、図1に示すように、ローカルSIS部分50は、ローカルSIS部分46、48、50によって利用される1つ以上の安全システム通信リンクを介してSDC128に通信可能に接続され、SDD130は、遠隔SIS部分52、54によって利用される1つ以上の安全システム通信リンクを介して、SDD130に通信可能に接続されている。ローカルSIS部分50とSDC128との相互接続、およびSDD130と遠隔SIS部分52との相互接続については、後のセクションでさらに詳しく説明する。
またさらに、上述のように、特定の環境12、14内の様々なPCS部分は、特定の環境12、14内に配置された1つ以上の好適な常駐プロセス制御通信データハイウェイ、バス、および/またはネットワーク(本明細書では「プロセス制御通信リンク」とも交換可能に呼ぶ)を使用して互いに通信する。一般的に言えば、PCS110の特定の環境12、14内に完全に配置されたプロセス制御通信リンクは有線でも無線でもよく、典型的には(必ずしもそうとは限らないが)PCS100をサポートするSIS110の安全システム通信リンクとは異なる通信リンクである。
他方では、SDC128とSDD130は、ローカル環境12と遠隔環境14との間の距離にわたる長距離リンク132を使用して、その間で集約安全メッセージを送受信する。一実施形態では、長距離リンク132は、衛星または他の高帯域幅リンクと比較して、低帯域幅または別の点で「低速」の伝送リンクである。例えば、長距離リンク132は、1つ以上の非衛星地上無線リンク、有線通信リンク上に便乗した1つ以上のリンク、1つ以上の全体的に高帯域幅のリンクに含まれる1つ以上の低帯域幅VPN、および/または
他の任意の好適な低帯域幅の長距離リンクを使用して実装され得る。一般に、長距離リンク132は、ローカルSIS部分46、48、50を相互接続するローカル安全システム通信リンクおよび遠隔SIS部分52、54を相互接続するローカル安全システム通信リンクと比較して低速または低帯域幅のリンクであり、長距離リンク132は、衛星リンクまたは光ファイバリンクと比較して低速または低帯域幅のリンクである。有利には、そのような低速または低帯域幅のリンクは、高帯域幅のリンクよりも、稼働および/または使用するのが典型的に安価である。典型的に、長距離リンク132を介してSDC128とSDD130との間で送信される通信は、1つ以上の機構または技術、例えば許可、認証、暗号化、鍵、および/または他の好適なセキュリティ機構または技術を介して保護される。
図1は、ローカル環境12内に配置されたSDC128および遠隔環境14内に配置されたSDD130を示しているが、いくつかの実施形態では、例えば遠隔環境14で発生した安全関連状態をローカル環境12内に配置された装置に通信する必要がある場合、SDC128は遠隔環境14内に配置されてもよい一方、SDD130はローカル環境12内に配置されている。いくつかの実施形態では、ローカル環境12および遠隔環境14の各々は、それぞれのSDC128およびそれぞれのSDD130の両方を含み、かつ/または複数のSDC128および/または複数のSDD130を含む。そのような実施形態では、長距離リンク132は双方向リンクであってもよく、または長距離の距離にわたる各SDC/SDDペア間の通信のために追加の長距離リンクが存在してもよい。さらに、いくつかの実装形態では、所望に応じて、同じ環境内に配置されたSDC128およびSDD130(例えば、両方ともローカル環境12内、または両方とも遠隔環境14内)を一体型装置として実装してもよい。またさらに、1つの環境12、14内に配置されたSDCから別の環境12、14内に配置されたSDDとの間の長距離の距離にわたるマッピングは、1対1(図1に示す)一対多、または多対一(図示せず)であってもよい。加えて、図1には1つのローカル環境12と1つの遠隔環境14のみが示されているが、様々なプロセスプラントの布置は、任意の数のローカル環境と任意の数の遠隔環境を含むことができる。
図2Aは、図1の安全計装システム(SIS)100の一部分の実施形態140のブロック図を示す。図2Aの例示的な実施形態140では、ローカル環境12内に配置されたSIS100の1つ以上の部分は、1つ以上の遠隔環境14内に配置されたSIS100の1つ以上の安全論理ソルバ148、150、152に送達されるべき安全メッセージを生成する1つ以上の安全論理ソルバ142、144、146を含む。説明を容易にするために、図2Aはローカル論理ソルバ142、144、146をローカルSIS部分50に含まれるものとして示しているが、他の実施形態では、ローカル論理ソルバ142、144、146は別のローカルSIS部分46、48に含まれてもよく、またはSIS100の2つ以上のローカル部分46、48、50にわたって配置されてもよい。同様に、図2Aは遠隔論理ソルバ148、150、152を遠隔SIS部分52に含まれるものとして示しているが、遠隔論理ソルバ148、150、152は、遠隔SIS部分54内に、またはSIS100の両方の遠隔部分52、54にわたって配置されてもよい。例解的、例示的なシナリオでは、(例えば、ローカル安全データハイウェイおよび/またはローカルPCSデータハイウェイを介して1つ以上のメッセージおよび/または信号を受信または取得することによって)、様々な安全関連状態がローカル論理ソルバ142、144、146によって検出され得、そのいくつかは、ローカル論理ソルバ142、144、146から長距離の距離に遠隔に配置された1つ以上の受信側遠隔論理ソルバ148、150、152への送達のために、1つ以上のローカル論理ソルバ142、144、146にそれぞれの安全メッセージを生成させることができる。
したがって、ローカル安全論理ソルバ142、144、146によって生成され、遠隔
安全論理ソルバ148、150、152のうちの1つ以上を宛先とする安全メッセージは、SIS100の長距離部分134を介してローカル環境12から遠隔環境14に伝送される。特に、図2Aに示すように、ローカル論理ソルバ142、144、146によって生成された安全メッセージは、SDC128、長距離リンク132、およびSDD130を介して、意図された受信側遠隔論理ソルバ148、150、152に送達される。しかしながら、とりわけ、安全メッセージをそれらのそれぞれの受信者(複数可)に送達するために利用される実際の伝送機構(例えば、SIS100の長距離送達部分134、またはローカル安全データハイウェイ、バス、またはリングなどのローカル伝送機構)は、論理ソルバ142、144、146、148、150、152に対して透過的であってもよい。一例では、「送付側」論理ソルバは、「受信側」論理ソルバが送付側論理ソルバに対してローカルに位置するか遠隔に位置するかを知らない。したがって、送付側論理ソルバは、安全メッセージのアドレスをそれぞれの意図された受信側論理ソルバとし、受信側論理ソルバがローカルに所在するか遠隔に所在するかに関係なく、同じ様式でメッセージを送信する。例えば、送信側論理ソルバは、受信側論理ソルバがローカルに所在するか遠隔に所在するかに関係なく、安全メッセージを生成してI/Oレベル(または他の何らかのレベルおよび/または通信フォーマット)で別の論理ソルバに送信することができる。具体的には、送付側ローカル論理ソルバ142、144、146は、生成された安全メッセージがSDC128を介して送信されるべきか否かといういかなる表示(例えば、アドレス、ラッパー、または他の表示)も提供する必要がない。つまり、SDC128のアドレスまたは他の表示は、送付側論理ソルバ142、144、146によって生成された安全メッセージに示される必要はない。
SDC128は、送付側安全論理ソルバ142、144、146によって(および任意選択で他のローカル送付側安全論理ソルバによって)生成され、遠隔に位置する装置を宛先とする複数の安全メッセージが一時的に収集またはステージングされ、1つ以上の集約安全メッセージに結合されるゲートウェイまたはウェイステーションとして機能する。複数の安全メッセージを集約安全メッセージ(複数可)に結合することは、任意の好適な技術、例えば、圧縮、集約、統合、多重化、および/または他の好適な種類の個々のメッセージを単一メッセージに結合することを使用して遂行され得る。しかしながら、一般的に言えば、集約安全メッセージの全長は、集約安全メッセージを形成するために結合される個々の安全メッセージの長さの合計よりも短い。さらに、複数の安全メッセージを結合することは、1つ以上の基準に基づき得る。例えば、1つ以上の結合基準は、利用可能な帯域幅、最大帯域幅、雑音レベルなど、低帯域幅の長距離リンク132の少なくとも1つの特性を含むことができる。追加的または代替的に、安全メッセージの1つ以上の結合基準としては、メッセージ自体の特性、例えば、特定の主題に関する内容を含むメッセージ、共通の受信側装置を有するメッセージ、メッセージの所要到着時間、メッセージに含まれる安全情報の緊急性、メッセージに含まれる安全情報の優先度、許容遅延などが挙げられる。
他の種類のメッセージ集約が可能であり得る。例えば、論理ソルバ142、144、146からSDC128で受信される予期されるハートビートメッセージは長距離リンク132を介して送信されなくてもよく、その代わりに、SDD130が論理ソルバ142、144、146に代わって自動的にローカルで予期されるハートビートメッセージを生成し、それらをそれらのそれぞれの受信者に転送してもよい。しかしながら、ハートビートメッセージがSDC128の観点からみて予期しないパターンでSDC128で論理ソルバ142、144、146から受信された場合(例えば、予期しない内容、欠落メッセージ、遅延メッセージなど)、SDC128は、次いで、長距離リンク132を介して、それを示す信号を生成してSDD130に送信することができる。当該信号を受信すると、SDD130は、論理ソルバ142、144、146に代わって予期されるハートビートメッセージを生成するのをやめることができ、その代わりに予期しないパターンを示す安
全メッセージ/信号を生成し送付することができる。
長距離リンク132の遠隔端で、SDD130は、集約安全メッセージを受信し、そこから元の個々の安全メッセージを回復する。例えば、SDD130は、SDC128によって利用される結合技術の逆であるか、または別の方法でそれを打ち消す回復技術(例えば、解凍/圧縮、逆多重化/多重化、ラッピング/アンラッピングなど)を使用することができる。SDC130は、回復された安全メッセージをSISの遠隔環境部分14内に配置されたそれらの意図された受信側論理ソルバ148、150、152に送達する。例えば、SDD130は、個々の回復された安全メッセージをI/Oレベルで、またはそれらのそれぞれの受信側安全論理ソルバ148、150、152にとって本来的な他の何らかのレベルおよび/もしくは通信フォーマットを使用することによって、送信する。受信された安全メッセージの受信および/または内容に基づいて、受信側論理ソルバ148、150、152は、トリップを引き起こす、バルブを開閉するなどのための制御メッセージまたは信号を送付することなどの、1つ以上の安全緩和措置を開始することができる。ローカル安全論理ソルバ142、144、146と同様に、遠隔安全論理ソルバ148、150、152は、SIS100に含まれる長距離伝送機構134の存在を知らないことがあり、かつ/または受信された安全メッセージが長距離伝送機構134を介して送達されたことさえ知らないことがあることに留意されたい。
したがって、上記の説明に照らして、異なる安全メッセージを送達するために使用される伝送機構は、安全論理ソルバ142、144、146、148、150、152によって知られる必要はない。つまり、安全論理ソルバ142、144、146、148、150、152は、安全メッセージが長距離伝送機構134を介して送達されるべきか、それともローカル安全データハイウェイ、バス、もしくはリングを介して送達されるべきかについて知らないことがある。実際、上述したように、安全論理ソルバ142、144、146、148、150、152は、長距離伝送機構134の存在さえ知らないことがある。そのため、(例えば、SDC128、長距離リンク132、およびペアをなすSDD130を含む)長距離伝送機構134は、SIS100内で、SIS100のローカル環境12と遠隔環境14とを相互接続する論理パイプとして機能し得る。その結果、SDC128/SDD130ペアおよび対応する長距離リンク132は、いかなる組み込み安全論理ソルバ142、144、146、148、150、152にも影響を与えず、さらには通知することもなく、プロセス制御プラント10のSIS100の既存のローカル環境12および遠隔環境14にシームレスに統合することができる。
次に図2Bを参照すると、SIS100の長距離部分134の例示的な実施形態155では、SDC128は1つ以上の内部関数FSDCxを含む。1つ以上の内部関数FSDCxは、安全論理ソルバ142、144、146からのどの安全メッセージを互いに結合すべきか、いつ安全メッセージを互いに結合すべきか、ならびにいつ集約安全メッセージを送信すべきか、および/またはSDC128による長距離リンク132を介した伝送のために提供すべきか、を決定する。1つ以上の内部関数FSDCxは、例えば、各安全メッセージの内容、安全メッセージのタイミング、各安全メッセージの緊急性、各安全メッセージの発信元である論理ソルバもしくは一組の安全メッセージの発信元である特定の組み合わせの安全論理ソルバ、受信された安全メッセージの数、各特定の安全論理ソルバから受信された安全メッセージの数、受信された安全メッセージの頻度、受信されていない予期される安全性メッセージ(例えば、「ハートビート」メッセージ)、などの1つ以上の因子および/もしくは入力、またはこれらの因子および/もしくは入力の何らかの組み合わせに基づいて、これらの決定を行う。
例示的な一実装形態では、1つ以上の内部関数FSDCxは、各個々の安全メッセージの内容に基づいて、いくつかの個々の安全メッセージを1つの集約安全メッセージに結合
すべきであると決定する。いくつかのシナリオでは、各々が同じフィールド機器または同じ種類のフィールド装置に関連する個々の安全メッセージが結合される。追加的または代替的に、いくつかのシナリオでは、プラントの特定の位置またはユニットに関連した個々の安全メッセージが結合される。その上、いくつかのシナリオでは、オーバーフローなどのプラント内の特定の状態に関連する安全メッセージが結合され、かつ/または同じ安全論理ソルバで受信されるべき個々の安全メッセージが集約安全メッセージに結合される。
例示的な一実装形態では、1つ以上の内部関数FSDCxは、SDC128での個々の安全メッセージの受信のタイミングに基づいて、いくつかの個々の安全メッセージを集約安全メッセージに結合すべきであると決定する。例えば、いくつかの実施形態では、一定期間内にSDC128によって受信された個々の安全メッセージが結合される。別の例では、1つ以上の内部関数FSDCxは、SDC128における個々の安全メッセージの受信のタイミングに基づいて、いつ個々の安全メッセージを結合すべきかを決定し、かつ/またはいつ集約安全メッセージを送信すべきか、および/もしくは長距離リンク132を介した伝送のために提供すべきかを決定する。例えば、いくつかの実施形態では、一定期間内にSDC128によって受信された個々の安全メッセージを結合することから作製された集約安全メッセージは、特定の時間にSDD130に送信される。
追加的または代替的に、いくつかの実装形態では、1つ以上の内部関数FSDCxは、各個々の安全メッセージの緊急性に基づいて、いくつかの安全メッセージを集約安全メッセージに結合すべきであると決定する。例えば、緊急性が高い個々の安全メッセージが1つの集約安全メッセージに結合される一方、それほど緊急ではない個々の安全メッセージは別の集約安全メッセージまたは他の集約安全メッセージに結合される。その上、状況によっては、1つ以上の内部関数FSDCxは、個々の安全メッセージおよび/または集約安全メッセージの緊急性に基づいて、いつ個々の安全メッセージを集約安全メッセージに結合すべきか、またはいつ集約安全メッセージを送信すべきかを決定する。例えば、いくつかの実施形態では、緊急性が高い個々の安全メッセージはより早い時間に集約安全メッセージに結合され、かつ/または緊急性が高い安全メッセージを含む集約安全メッセージはより早い時間に送信される一方、それほど緊急ではない個々の安全メッセージは後で集約安全メッセージに結合され、かつ/または送信される。
いくつかの実装形態では、1つ以上の内部関数FSDCxは、各個々の安全メッセージの発信元である安全論理ソルバに基づいて、または一組の安全メッセージの発信元である特定の組み合わせの安全論理ソルバに基づいて、個々の安全メッセージを集約安全メッセージに結合すべきであると決定する。例えば、いくつかのシナリオでは、特定の安全論理ソルバによって生成された一組の安全メッセージ(例えば、一定期間にわたって、または閾値数の安全メッセージが受信されるまで)が、1つの集約安全メッセージに結合される。別の例示的なシナリオとして、安全論理ソルバA、B、およびCによって生成された(例えば、一定期間にわたって、または閾値数の安全メッセージが受信されるまで)個々の安全メッセージが1つの集約安全メッセージに結合される一方、安全論理ソルバDおよびEによって生成された安全メッセージは、別の集約安全メッセージに結合される。追加的または代替的なシナリオでは、1つ以上の内部関数FSDCxは、各安全メッセージの発信元である安全論理ソルバ、または一組の個々の安全メッセージの発信元である特定の組み合わせの安全論理ソルバに基づいて、個々の安全メッセージを結合すべきであると決定する。例えば、SDC128が特定の安全論理ソルバから安全メッセージを受信すると(例えば、SDC128が安全論理ソルバAと安全論理ソルバBの両方から安全メッセージを受信すると)、安全メッセージは直ちに集約安全メッセージに結合すべきであり、かつ/または集約安全メッセージは直ちに(もしくは一定時間内に)送信されるべきである。
さらに、いくつかの実施形態では、1つ以上の内部関数FSDCxは、SDC128に
よって受信された安全メッセージの数および/またはSDC128によって受信された個々の安全メッセージの頻度に基づいて、個々の安全メッセージを集約安全メッセージに結合すべきであると決定する。例えば、SDC128が特定の閾値数の個々の安全メッセージを受信したとき、またはSDC128が特定の期間中に特定の閾値数の個々の安全メッセージを受信したとき、SDC128が、受信された安全メッセージを集約安全メッセージに結合してもよい。同様に、いくつかのシナリオでは、1つ以上の内部関数FSDCxは、SDC128によって受信された個々の安全メッセージの数および/またはSDC128によって受信された個々の安全メッセージの頻度に基づいて、いつ個々の安全メッセージを結合すべきかおよび/またはいつ集約安全メッセージを長距離リンク132を介して伝送すべきかを決定する。例えば、SDC128が特定の閾値数の安全メッセージを受信すると、またはSDC128が特定の期間中に特定の閾値数の安全メッセージを受信すると、SDC128は、受信された安全メッセージを集約安全メッセージに結合し、かつ/または集約安全メッセージを長距離リンク132を介して送信する。
その上、いくつかの実装形態では、1つ以上の内部関数FSDCxは、予期される安全メッセージが受信されたかどうか(例えば、「ハートビート」メッセージ)に基づいて、または予期される安全メッセージが特定の時間間隔内に受信されたかどうかに基づいて、個々の安全メッセージを結合すべきかを決定する。追加的または代替的に、状況によっては、1つ以上の内部関数FSDCxは、受信されていない予期される安全メッセージに基づいて、または特定の時間間隔内に受信されていない予期される安全メッセージに基づいて、いつ安全メッセージを結合し、または送信すべきかを決定する。
当然のことながら、上記の例示的な実装形態およびシナリオは、どの安全メッセージを互いに結合するか、いつ安全メッセージを結合するか、およびいつ集約安全メッセージを送信し、かつ/またはいつ長距離リンクを介した伝送のために提供すべきかを1つ以上の内部関数FSDCxが決定する方法のほんの一例に過ぎない。さらに、上記の例示的な結合の実装形態およびシナリオの各々は、単独でかつ/または他の結合の実装形態およびシナリオと組み合わせて、SIS100によって遂行されてもよい。
追加的または代替的に、いくつかの実施形態では、SDD130は1つ以上の内部関数FSDDyを含む。長距離リンク132を介して送信された結合安全メッセージを受信すると、1つ以上の内部関数FSDDyは、回復された個々の安全メッセージの各々を、受信する安全論理ソルバ148、150、152間でどのように配信すべきかを決定する。例えば、内部関数FSDDyは、同じ緩和措置をもたらす複数の安全メッセージがSDD130で、例えば異なる集約メッセージ内で受信されたと決定し、複製メッセージのうちの1つのみをその受信者に送達してもよい。別の実施形態では、SDD130の1つ以上の内部関数FSDDyは、第1の特定の安全メッセージを受け取った後、特定の時間間隔内に第2の特定の安全メッセージがSDD130で受信されたかどうかに基づいて、異なる受信者が第2の特定の安全メッセージを受信すべきであると決定してもよい。当然のことながら、SDD130の1つ以上の内部関数FSDDyを利用する他のシナリオも可能である。
次に図2Cを参照すると、SIS100の長距離部分134の例示的な実施形態157では、SDC128は、FSDCxに関連する処理のいくつかを取り扱う1つ以上の内部論理ソルバ158、160、162を含む。1つ以上の内部論理ソルバ158、160、162は、入力として、ローカル環境12内に配置された他の安全論理ソルバ(例えば、安全論理ソルバ142、144、146)から安全メッセージおよび/または信号を受信する。内部論理ソルバ158、160、162は、安全メッセージの集約に対応する安全論理機能をそれぞれ遂行し、1つ以上の関数FSDCxへの入力として提供される得られた信号をそれぞれ出力もしくは提供する(または、状況によっては、それが遂行した安全
論理機能の結果として、いかなる信号も出力しない)。例えば、SDC128に含まれる1つ以上の関数FSDCxは、閾値状態、特定の状態への投票、および/または複数の内部論理ソルバ158、160、162のうちの1つ以上によって示されるか示されない他の論理機能の出力に基づいて、長距離リンク132を介して様々な集約安全メッセージを集約および/または送信してもよい。例示的な一実施形態では、1つ以上の関数FSDCxは、内部論理ソルバ158、160、162のうちの1つ以上によって提供される1つ以上の安全状態または信号の有無に基づいて、長距離リンク132を介して送信されるべき様々な集約安全メッセージの内容および/または送信タイミングを決定してもよい。内部論理ソルバ158、160、162をSDC128に組み込むことによって、例えばローカル環境12において、より簡単な構成および/またはローカル閾値/投票/論理機能要件への変更を可能にすることができる。さらに、この実施形態は、単一の安全データ集約解除器SDD130が安全データ集約器SDC128の複数インスタンスからの信号を処理する状況に特に適していることがある。追加的または代替的に、内部論理ソルバ158、160、162の使用は、長距離リンク132を介して利用される帯域幅を管理するのに役立ち得る。
同様に、いくつかの実施形態では、SDD130は、FSDDyに関連する処理のいくつかを取り扱う1つ以上の内部論理ソルバ159、161、163を追加的に含む。一実施形態では、SDD130に含まれる内部論理ソルバ159、161、163の各々は、例えば図2Dに関して示し説明したものと同様の布置で、1つ以上の異なるSDC128にそれぞれ通信可能に接続され、それが受信した入力(複数可)に基づいてそれぞれの安全論理機能(例えば、閾値比較、特定の状態への投票、および/または他の種類の安全論理機能)を遂行する。得られた出力信号(または得られた出力信号の欠如)は、1つ以上の関数FSDDyへの入力として提供される。内部論理ソルバ159、161、163によって提供される安全状態または信号の有無に基づいて、SDD130に含まれる1つ以上の関数FSDDyは、個々の安全メッセージを回復(および/または生成)し、遠隔環境14内に配置された様々な受信者に送達してもよい。例えば、1つ以上の関数FSDDyは、1つ以上の内部論理ソルバ159、161、163によって示された信号/状態の有無に基づいて、1つ以上の個々の安全メッセージを遠隔環境14内の1つ以上の追加の受信側安全論理ソルバに配信すべきであると、かつ/または1つ以上の回復された個々の安全メッセージをそれらの意図された受信者に送達する必要はないと(例えば、異なるSDC128からの回復された個々のメッセージの複製の場合)、決定してもよい。1つ以上の関数FSDDyは、内部論理ソルバ159、161、163によって提供される(および/または提供されない)種類の信号/状態の組み合わせに基づいて、内部論理ソルバ159、161、163などによって提供される(および/または提供されない)状態/信号のタイミングに基づいて、個々の安全メッセージを受信側論理ソルバに配信してもよい。
さらなる柔軟性のために、いくつかの実施形態では、追加のまたは代替の内部論理ソルバ(図2Cには示さず)をSDD130に含め、1つ以上の関数FSDDyの少なくともいくつかの下流に配置することができる。そのため、そのような追加のまたは代替の内部論理ソルバは、1つ以上の関数FSDDyの少なくともいくつかの出力を受信し、それに対してそれぞれの論理機能を遂行して、遠隔環境14内に配置された論理ソルバがどの個々の回復された(および/または生成された)安全メッセージを受信すべきか、ならびにいつ受信すべきかを決定する。内部論理ソルバ158、160、162(および/または1つ以上の関数FSDDyの出力を受信する追加のまたは代替の内部論理ソルバ)をSDD130に組み込むことによって、例えばローカル環境12において、さらにより簡単な構成および/またはローカル閾値/投票/論理機能要件への変更を可能にすることができる。さらに、SDC128に内部論理ソルバ158、160、162を含めることと同様に、SDD130に内部論理ソルバ159、161、163を含めること(および/また
はFSDDyの下流に配置された追加の内部論理ソルバを含めること)は、単一の安全データ集約解除器SDD130が複数の安全データ集約器SDC128の複数インスタンスからの信号を処理する状況に特に適している。追加的または代替的に、SDD130における内部論理ソルバ159、161、163の使用(および/またはFSDDyの下流に配置された追加の内部論理ソルバの使用)は、個々の安全メッセージを遠隔環境14内の受信者に送達するために利用される帯域幅の管理に役立ち得る。
いくつかの実施形態では、SDC128および/またはSDD130自体は、SDC128および/またはSDD130に、トリップまたは典型的に1つ以上のローカルに配置された論理ソルバに送達される他の種類の個々の安全メッセージを生成させる様々な安全状態をそれぞれ検出する。例えば、そのような状態を検出すると、SDC128は、ローカル環境12内に配置された様々な論理ソルバ142、144、146に、またはより多くの安全メッセージを送達してもよい。同様に、そのような状態を検出すると、SDD130は、遠隔環境14内に配置された様々な論理ソルバ148、150、152に、またはより多くの安全メッセージを送達してもよい。一般的に言えば、SDC128によって、かつ/またはSDD130によって検出される安全状態は、ペア128、130を相互接続する長距離リンク132の状態および/または状況に関係する。そのような状態の例としては、通信パケットの損失(例えば、所定の時間間隔にわたる)、劣悪な通信パケット品質(例えば、所定の時間間隔にわたる所定の閾値未満の品質)、劣悪な通信パケット品質の程度(例えば、X時間間隔にわたって所定の閾値Aを下回る品質、Y時間間隔にわたって所定の閾値Bを下回る品質など)が挙げられる。長距離リンク132に関連する様々な安全状態の検出は、それぞれの1つ以上の内部関数(例えば、それぞれFSDCxおよびFSDDy)によって、かつ/またはそれぞれの1つ以上の内部論理ソルバ(例えば、それぞれ内部論理ソルバ158、160、162および/もしくは内部論理ソルバ159、161、163)によって、SDC128内および/またはSDC130内で実装することができる。SDC128および/またはSDD130によって生成されたトリップおよび/または安全メッセージは、所望により、正論理(例えば、様々な状態の不在)ならびに/または負論理(例えば、パケットが到着するとき、および/もしくは明示的なインジケータを含むときなどの、様々な状態の存在)によってトリガされ得る。
図2Dを参照すると、SIS100の例示的な実施形態165では、SIS100は、ローカル環境12内に配置されたSDC128、168〜168の複数インスタンスをサポートする、かつ/または遠隔環境14内に配置されたSDD130、170〜170の複数インスタンスをサポートする、複数の長距離リンク132、167、169、171、173を含んでいてもよい。SDC128、168〜168とSDD170〜170との具体的なペアリングは、一対一(例えば、長距離リンク132を介してSDC128とSDD130)、多対一(例えば、長距離リンク167を介してSDC168とSDD170、および長距離リンク169を介してSDC168とSDD170)、ならびに/または一対多(例えば、長距離リンク171を介したSDC168とSDD170、および長距離リンク173を介したSDC168とSDD170)であってもよい。SDC128、168〜168の各インスタンスおよびSDD130、170〜170の各インスタンスは、SIS100内の他のインスタンスと同様の、部分的に同様の、またはそれとは異なる様式で個々に構成されてもよい。例えば、各SDCインスタンス128、168〜168は、それぞれの1つ以上の関数FSDCxおよび/またはそれぞれの1つ以上の内部論理ソルバ158、160、162を含んでもよい。同様に、各SDDインスタンスは、それぞれの1つ以上の関数FSDDyならびに/またはそれぞれの1つ以上の内部論理ソルバ159、161、163(および/もしくはそのそれぞれの1つ以上の関数FSDDyの下流に配置された1つ以上の追加の内部論理ソルバ)を含んでもよい。
図3は、長距離プロセスプラントにおける例示的な長距離安全計装システム(SIS)に関連する信号図300を示す。説明を容易にするためであり、限定する目的ではないが、図1および図2Aを同時に参照すると、信号図300は、第1の組の安全論理ソルバ302(例えば、安全論理ソルバ142、144、146など)、安全データ集約器304(例えば、SDC128など)、安全データ集約解除器306(例えば、SDD130など)、および第2の組の安全論理ソルバ308(例えば、安全論理ソルバ148、150、152など)を含む。第1の組の安全論理ソルバ302は、プロセスプラント(例えば、プロセスプラント10)の第1の部分(例えば、ローカル環境12に対応するSISの部分50)に対応する一方、第2の組の安全論理ソルバ308は、例えば、プロセスプラント10の第2の遠隔部分(例えば、遠隔環境14に対応するSISの部分52)に対応する。
信号図300において、第1の組の安全論理ソルバ302は、(例えば、プラントで検出された安全状態に基づいて)複数の安全メッセージを生成する(310)。安全論理ソルバ302は、複数の安全メッセージをSDC304に、例えばI/Oレベルで直接通信する(312)。つまり、安全論理ソルバ302は、安全環境ソルバ302がローカル環境12内で互いに通信するのと同じ方法で、複数の安全メッセージをSDCに通信する。次に、SDC304は、複数の安全メッセージを1つの集約安全メッセージに結合する(314)。その上、SDC304は、集約安全メッセージを長距離リンク(例えば、長距離リンク132)を介してSDD306に送信する(316)。SDD306は、集約安全メッセージから複数の安全メッセージを回復する(318)。加えて、SDD306は、回復された複数の安全メッセージを第2の組の安全論理ソルバ308に、例えばI/Oレベルで直接通信する(320)。したがって、第2の組の安全論理ソルバ308は、回復された複数の安全メッセージに基づいて適切なプロセス制御/緩和措置を講じる(322)。当然のことながら、信号図300は例示的なものに過ぎず、データを送信する追加のまたは代替の手段が追加のまたは代替の実施形態で実装されてもよい。
図4Aは、長距離プロセスプラント(例えばプロセスプラント10など)で使用するための例示的方法400の流れ図を示す。いくつかの実施形態では、方法400は、安全計装システム(例えば、SIS100)の安全データ集約器(例えば、SDC128および/またはSDC304)によって遂行される。一般的に言えば、方法400は、図1および図2A〜図2Dに示されるシステム(およびその部分)または他のシステムの実施形態とともに、かつ/または図3の信号図300と協調して、動作し得る。それらを同時に参照しながら、(限定ではなく)例示のために、方法400を以下に説明する。
ブロック402で、第1の組の1つ以上の安全論理ソルバ(例えば、安全論理ソルバ142、144、146、または302)によって生成された複数の安全メッセージが、例えばSDC128および/またはSDC304によって、受信される。第1の組の安全論理ソルバは、第1の組のプロセス制御装置と通信可能に接続され(かつそれによって、第1の組のプロセス制御装置からの、および/または第1の組のプロセス制御装置に関連する信号またはメッセージを受信する)、第1の組のプロセス制御装置は、例えば、他の安全論理ソルバまたは制御器、安全フィールド装置、プロセス制御フィールド装置、プロセス制御制御器などを含み得る。一般的に言って、第1の組の1つ以上の安全論理ソルバおよび第1の組のプロセス制御装置は、同じ環境内にローカルに配置されている。
ブロック404において、複数の安全メッセージは、例えばSDC128および/またはSDC304によって単一の集約安全メッセージに結合される。複数の安全メッセージを結合することは、例えば、圧縮、集約、統合、多重化、および/または任意の他の好適な種類の安全メッセージを結合することを含む。いくつかの実施形態では、複数の安全メッセージは、集約安全メッセージの送信予定時刻に基づいて単一の集約安全メッセージに
結合される。例えば、同じ送信予定時刻を有する複数の安全メッセージが、単一の集約安全メッセージに結合される。
特定の実施形態または例では、単一の集約安全メッセージに結合される複数の安全メッセージは、1つの特定の安全論理ソルバによって生成される。他の実施形態または例では、単一の集約安全メッセージに結合される複数の安全メッセージは、複数の安全論理ソルバによって生成される。加えて、いくつかの実施形態または例では、複数の異なる種類の安全メッセージが単一の集約安全メッセージに結合される一方、他の実施形態または例では、複数の1つの特定の種類の安全メッセージが単一の集約安全メッセージに結合される。安全メッセージを結合するための他の基準としては、本明細書の他の箇所で前述したものなどの基準、および/または他の望ましい基準が挙げられる。結合基準の評価は、例えば、SDCに含まれる1つ以上の内部関数FSDCxによって遂行することができる。
ブロック406において、集約安全メッセージは、(例えば、SDC128および/またはSDC304によって)長距離リンク(例えば、長距離リンク132)を介して安全データ集約解除器(例えば、SDD130および/またはSDD306)に送信される。長距離リンクは、例えば、有線通信機構、高帯域幅リンク内の低帯域幅VPN、光ファイバリンク、海底ケーブル、長距離無線リンク、または他の任意の好適な低帯域幅の長距離リンクである。長距離リンクは、SISの第1の部分(例えば部分46、48、および/または50)をSIS(例えばSIS100)の第2の部分(例えば部分52、および/または54)に接続する。いくつかの実施形態では、SISの第2の部分はSISの第1の部分から地理的に遠隔にある。例えば、長距離プロセスプラントは、プロセスプラントの他の部分から遠隔にある石油パイプライン、沖合プラットフォーム、遠隔坑口などを含むことができる。そのような場合、例えば、SISの第1の部分は地上に位置する一方、第2の部分は地下に位置する。別の例として、SISの第1の部分は陸上に位置することができる一方、第2の部分は水域または水中に位置することができる。さらに別の例として、SISの第1の部分は、第2の部分の位置から地理的に遠隔にあるプロセスプラントの部分内に位置することができる。
SDDは、SISの第2の部分に対応し、送信された集約安全メッセージを受信し、そこから複数の安全メッセージを回復し、その後回復されたメッセージを第2の組の安全論理ソルバ(例えば安全論理ソルバ148、150、152、または308)に通信する。第2の組の安全論理ソルバはSISの第2の部分内に配置され、プロセス制御システムの第2の組のプロセス制御装置と動作可能に通信する(それによってプロセス制御システムの第2の組のプロセス制御装置にメッセージ/信号を送信または送付することができる)。第2の組のプロセス制御装置もSISの第2の部分内に配置され、例えば、他の安全論理ソルバまたは制御器、安全フィールド装置、プロセス制御フィールド装置、プロセス制御制御器などを含み得る。
いくつかの実施形態では、単一の集約安全メッセージは、複数の安全メッセージのうちの少なくとも1つによって示された1つ以上の安全状態に基づいて長距離リンクにわたって送信される。他の実施形態では、単一の集約安全メッセージは、複数の安全メッセージのうちの1つ以上に適用される閾値論理比較器の出力に基づいて長距離リンクを介して送信される。さらに他の実施形態では、単一の集約安全メッセージは、複数の安全メッセージのうちの1つ以上に適用される論理評価器の出力に基づいて長距離リンクを介して送信される。追加的または代替的に、さらに他の実施形態では、単一の集約安全メッセージは、複数の安全メッセージ中の特定の安全メッセージの有無に基づいて長距離リンクを介して送信される。さらに他の実施形態では、単一の集約安全メッセージは、複数の安全メッセージのうちの1つ以上の内容に基づいて長距離リンクを介して送信される。当然のことながら、いくつかの実施形態では、単一の集約安全メッセージは、本明細書に記載の前述
の因子もしくは出力の倍数に基づいて、および/または列挙されていない要因もしくは出力に基づいて長距離リンクにわたって送信される。一実施形態では、SDCに含まれる1つ以上の安全論理ソルバは、閾値比較器、投票論理評価器、ならびに/または安全メッセージおよび/もしくは状態に関連する論理機能を決定し因子を処理し出力を生成するための他の機構および/もしくは技術を含む。
いくつかの実施形態では、単一の集約安全メッセージは、例えば1つ以上の長距離リンクを介して複数のSDDに送信される。例えば、単一の集約安全メッセージは、SISの様々な部分内の追加のSDDに送信されてもよく、いくつかの実施形態では、異なる遠隔に所在する長距離部分に送信されてもよい。加えて、いくつかの実施形態では、複数の集約安全メッセージが1つ以上のSDDに送信され、それらは同じ遠隔の長距離部分内に、またはいくつかの遠隔の長距離部分にわたって配置されてもよい。
いくつかの実施形態では、安全メッセージは、長距離リンクとははっきり異なるローカルリンクを介してSISの部分間でさらに送信される。他のリンクは一般に、互いに近接しているSISの部分を接続するように構成されたリンクである。つまり、長距離リンクが互いに(地理的にまたは別の方法で)遠隔なSISの部分を接続する一方、第2のリンクは互いに比較的近い(例えばローカルに配置された)SISの部分を接続する。いくつかの実施形態では、互いに近接しているSISの部分を接続するリンクは高帯域幅のリンクである一方、長距離リンクは低帯域幅のリンクである。
図4Bは、長距離プロセスプラント(例えば、プロセスプラント10)で使用するための例示的な方法450の流れ図を示す。いくつかの実施形態では、方法は、安全計装システム(例えば、SIS100)の安全データ集約解除器(例えば、SDD130および/またはSDD306)によって遂行される。一般的に言えば、方法450は、図1および図2A〜図2Dに示されるシステム(およびその部分)または他のシステムの実施形態とともに、かつ/または図3の信号図300と協調して、動作し得る。いくつかの実施形態では、方法450は、方法400の少なくとも一部とともに動作してもよい。
ブロック452において、安全データ集約器(例えば、SDC128および/またはSDC304)によって送信された単一の集約安全メッセージは、例えばSDD130および/またはSDD306によって長距離リンクを介して受信される。集約安全メッセージが受信されるSDCは、SISの第1の部分(例えば部分50)に対応し、第1の組の1つ以上の安全論理ソルバ(例えば、安全論理ソルバ142、144、146、または302)に通信可能に接続されている。安全論理ソルバは、SISの第1の部分にも対応する。安全論理ソルバはさらに、第1の組のプロセス制御装置と動作可能に通信し(それによって、第1の組のプロセス制御装置からの、および/または第1の組のプロセス制御装置に関連する信号もしくはメッセージを受信し)、第1の組のプロセス制御装置は、例えばプロセス制御システムの他の安全論理ソルバまたは制御器、安全フィールド装置、プロセス制御フィールド装置、プロセス制御制御器などを含み得る。第1の組のプロセス制御装置は一般に、SIS100の第1の部分内に配置されている。その上、SDCは、第1の組の安全論理ソルバによって生成された複数の安全メッセージを集約安全メッセージに結合し、集約安全メッセージを長距離リンクを介してSDDに送信するように構成されている。いくつかの実施形態では、同様の構成の複数のSDCによって(すなわち、SISの他の部分で)送信された集約安全メッセージが受信される。集約安全メッセージは、例えば、有線通信機構、高帯域幅のリンク内の低帯域幅のVPN、光ファイバリンク、海底ケーブル、長距離無線リンク、またはSISの様々な部分から集約安全メッセージを送受信するように構成された他の任意の好適な低帯域幅の長距離リンク、などの長距離リンク(例えば、長距離リンク132)を介して送受信される。
いくつかの例では、SDCは1つの安全論理ソルバによって生成された複数の安全メッセージを結合する一方、他の例では、SDCは複数の安全論理ソルバによって生成された安全メッセージを結合する。同様に、いくつかの構成では、SDCは複数の異なる種類の安全メッセージを単一の集約メッセージに結合する一方、他の構成では、SDCは複数の同様の種類の安全メッセージを単一の集約メッセージに結合する。いくつかの実施形態では、SDCは、集約安全メッセージの送信予定時刻に基づいて、第1の組の安全論理ソルバによって生成された複数の安全メッセージを集約安全メッセージに結合する。当然のことながら、いくつかの実施形態では、これらの様々な構成が組み合わされる。
加えて、集約安全メッセージは、複数の安全メッセージのうちの少なくとも1つによって示された1つ以上の安全状態に基づいて送信される。いくつかの実施形態では、集約安全メッセージは、複数の安全メッセージのうちの1つ以上に適用される閾値論理比較器の出力に基づいて送信される。他の構成では、集約安全メッセージは、複数の安全メッセージのうちの1つ以上に適用される論理評価器(例えば、閾値評価器、投票評価器、および/または他の安全機能評価器)の出力に基づいて送信される。追加または代替の実施形態では、集約安全メッセージは、結合された複数の安全メッセージ中の特定の安全メッセージの有無に基づいて送信される。他の実施形態では、集約安全メッセージは、複数の安全メッセージのうちの1つ以上の内容に基づいて送信される。
SDDは、第2の組の安全論理ソルバ(例えば、安全論理ソルバ148、150、152、または308)に通信可能に接続されている。第2の組の安全論理ソルバは、SISの第2の部分(例えば部分52)に対応し、プロセス制御システムの第2の組の1つ以上のプロセス制御装置(例えば、安全システムフィールド装置)と動作可能に通信する(それによってプロセス制御システムの第2の組の1つ以上のプロセス制御装置にメッセージ/信号を送信または送付することができる)。第2の組のプロセス制御装置は一般に、SISの第2部分に配置され、例えば他の安全論理ソルバまたは制御器、安全フィールド装置、プロセス制御フィールド装置、プロセス制御制御器などを含むことができる。
ブロック454において、例えばSDD130および/またはSDD306によって単一の集約安全メッセージから複数の安全メッセージが回復され、ブロック456において、回復された複数の安全メッセージが、例えばSDD130および/またはSDD306によって、第2の組の安全論理ソルバに含まれるそれぞれの意図された受信者に通信される。一般的に言えば、意図された受信者は、第2の組の論理ソルバが通信可能に接続されている第2の組のプロセス制御装置に含まれる。いくつかの実施形態では、回復された安全メッセージは、回復された安全メッセージのうちの1つ以上によって示された1つ以上の安全状態に基づいて第2の組の安全論理ソルバに通信される。
他の実施形態では、回復された安全メッセージは、回復された安全メッセージのうちの1つ以上に適用される閾値論理比較器の出力に基づいて第2の組の安全論理ソルバに通信される。いくつかの構成では、回復された安全メッセージは、回復された安全メッセージのうちの1つ以上に適用される論理評価器(例えば、閾値評価器、投票評価器、および/または他の安全機能評価器)の出力に基づいて第2の組の安全論理ソルバに通信される。追加または代替の構成では、回復された安全メッセージは、回復された安全メッセージ内の特定の安全メッセージの有無に基づいて第2の組の安全論理ソルバに通信される。さらに他の実施形態では、回復された安全メッセージは、回復された安全メッセージのうちの1つ以上の内容に基づいて第2の組の安全論理ソルバに通信される。特定の例では、特定の回復された安全メッセージは特定の安全論理ソルバのみに通信される一方、他の回復された安全メッセージは他の安全論理ソルバに通信される。他の例では、当然のことながら、全ての回復された安全メッセージは全ての安全論理ソルバに通信される。当然のことながら、受信され回復された安全メッセージは、本明細書に記載の複数の因子のうちの1つ
以上に基づいて、かつ/または他の因子に基づいて様々な受信者に送信され得る。一実施形態では、安全メッセージをローカルで様々な受信者に送達することに関連する安全ロジックを決定するための1つ以上の安全論理ソルバ、例えば閾値比較器、投票論理評価器、および/または他の安全論理機能機構がSDDに含まれる。
いくつかの実施形態では、安全メッセージは、SISの遠隔に所在する部分間の第2のリンクを介してさらに送信される。いくつかの実施形態では、第2のリンク(例えば、衛星リンク、光ファイバリンクなど)は、長距離リンクよりも高い帯域幅を有する。第2のリンクは、例えば、受信がよりタイムクリティカルである安全メッセージを送信するために使用されてもよい。加えて、いくつかの実施形態では、第2のリンクを介して送信される安全メッセージは集約されない。
図5Aは、図1の安全計装システムおよび本明細書に記載のその実施形態、例えば図2A〜図2Dおよび/または図3に関連して説明したものに含めることができる例示的な安全データ集約器(SDC)500のブロック図を示す。追加的または代替的に、安全データ集約器500を利用して、それぞれ図4Aおよび図4Bの方法400および/または方法450の実施形態を遂行することができる。説明を容易にするためであり、限定する目的ではないが、図1および2A〜2Dを同時に参照しながら図5Aを以下に説明される。
図5Aに示すように、SDC500は、1つ以上のプロセッサ502(いくつかの実装形態では、マルチコアプロセッサとすることができる)および1つ以上の有形の非一時的コンピュータ可読媒体またはメモリ505を含む。1つ以上の有形の非一時的コンピュータ可読媒体またはメモリ505には、集約安全メッセージを生成し、長距離プロセスプラント10にサービスを提供する安全計装システム100の長距離リンク132を介して送信するための実行可能命令508が記憶される。つまり、コンピュータ実行可能命令508は、1つ以上のプロセッサ502によって実行されると、SDC500に、SDC500に関してSIS100内にローカルに配置された論理ソルバ142、144、146によって生成された安全メッセージまたは信号(例えば、個々の安全メッセージまたは信号)を受信または取得させ、受信された2つ以上の安全メッセージを1つ以上の集約基準(例えば、上述のような)に従って単一の集約安全メッセージに集約し、単一の集約安全メッセージをそれぞれの長距離リンク(例えば、長距離リンク132、167、169、171、173)を介して1つ以上の安全データ集約解除器(SDD)(例えば、SDD130、170〜170の1つ以上)に送信する。一般的に言えば、SDC500によって生成された生成された単一の集約安全メッセージの全長は、集約安全メッセージを構成するローカル安全メッセージのそれぞれの長さの合計よりも短い。コンピュータ実行可能命令508は、本明細書では集約命令508と呼ばれ、選択されたローカル安全メッセージがそれに基づいて結合されたり結合されなかったりする様々な基準を示す1つ以上の内部関数FSDCxを含むか、または実装することができる。
SDC500は、ローカルに配置された論理ソルバ(例えば、ローカル論理ソルバ142、144、146)によって生成された安全メッセージ512a〜512nがそれを介して取得される1つ以上のローカルSISインターフェース510を含む。例示的な一実装形態では、1つ以上のローカルSISインターフェース510は、安全メッセージがローカル環境12内に配置されたSIS100の部分内でそれを介して送達される1つ以上のローカル安全データハイウェイまたはローカル安全通信バスに通信可能に接続されている。例えば、1つ以上のローカルSISインターフェース510は、例えばI/Oカードを介して、ならびに/またはI/Oカードによってサポートされているプロトコルおよび/もしくはフォーマットを使用することによって、SIS100の様々な構成要素間で情報が交換されるレベルで動作し得る。
得られたローカルで生成された安全メッセージ512a〜512nは、ステージング領域515においてSDC500によってステージングされる(例えば、一時的に記憶される)。ステージング領域515は、図5Aに示されるようにSDC500に含まれてもよく、またはSDC500の外部に、SDC500からアクセス可能に配置されてもよい(図示せず)。ステージング領域515は、1つ以上のメモリ505上に実装されてもよく、または異なる組の1つ以上のメモリ(図示せず)上に実装されてもよい。例示的な一構成では、集約命令508は、1つ以上の状態、例えば重複したメッセージをステージングしないこと、記憶装置を最適化するようにステージング領域515のメモリ構成を管理すること、様々な安全メッセージに関連するタイマーをオンオフすること、ステージング領域515から安全メッセージを消去または除去すること、などに基づいて、取得された安全メッセージ512a〜512nのステージングを制御する。
集約命令508は、ステージングされたローカル安全メッセージ512a〜512nの少なくとも一部に対して動作し、1つ以上の結合基準に従って、例えば安全メッセージの内容、様々な安全メッセージを生成したそれぞれのローカル論理ソルバ、様々な安全メッセージの受信者となるそれぞれの遠隔論理ソルバ、安全メッセージの緊急性、送信予定タイミングまたは時刻、いくつかの受信/取得された安全メッセージ、ある種類の安全メッセージ、受信/取得された安全メッセージの頻度、および/または他の好適な結合基準に基づいて、例えば2つ以上のステージングされた安全メッセージを単一の集約安全メッセージ518に結合する。2つ以上のステージングされた安全メッセージを単一の集約安全メッセージ518に集約することは、ステージングされた安全メッセージのヘッダに対しておよび/またはステージングされた安全メッセージの内容に対して遂行され得る圧縮、統合、多重化などの任意の1つ以上の好適な技術を利用し得る。
SDC500は、それを介して集約安全メッセージ518がそれぞれの長距離リンク(例えば、長距離リンク132、167、169、171、173)を介してそれぞれのSDDに送信される1つ以上の長距離リンクインターフェース520を含む。いくつかの実装形態では、SDC500は、例えばSIS100のローカル部分12と遠隔部分14とを相互接続する複数種類の長距離リンクを含むSIS100の構成をサポートするために、様々な種類の複数の長距離リンクインターフェース520を含む。例えば、SDC500は、高帯域幅の長距離リンクに含まれるかまたは収容される仮想リンクへの長距離リンクインターフェース520を含み得、長距離無線リンクへの異なる長距離リンクインターフェース520も含み得る。
いくつかの実施形態では、SDC500は、1つ以上の内部論理ソルバ522a〜522mを含む。例えば、1つ以上の内部論理ソルバ522a〜522mは、内部論理ソルバ158、160、162の1つ以上を含み得る。図5Aでは、内部論理ソルバ522は、ローカルSISインターフェース510の下流かつプロセッサ502および/または安全メッセージステージング領域515の上流に配置されるように示されている。つまり、内部論理ソルバ522は、ローカルSISインターフェース510からメッセージおよび/または信号を受信し、出力をプロセッサ502に送達する。いくつかの実施形態(図示せず)では、内部論理ソルバ522の1つ以上は、それぞれのローカルSISインターフェース510を一体的に含み得る。
内部論理ソルバ522の各々は、取得されたローカルに生成された安全メッセージまたはその欠如を示す信号(図5Aにおいて参照番号525によって集合的に表される)に対して動作し、それらに対してそれぞれの論理演算(例えば、閾値比較、投票機能など)を遂行し、プロセッサ502に提供されるそれぞれの出力信号(図5Aにおいて参照符号528によって集合的に表されている)を生成し得る。集約命令508を実行するプロセッサ502は、結合関数FSDCxへの追加の入力として出力信号528を利用することが
できる。例えば、内部論理ソルバ522の出力信号に基づいて、集約命令508は、1つ以上のステージングされた安全メッセージ512a〜512nを選別または削除することができ、ローカル安全メッセージを収集するための時間間隔に対応するタイマーを開始または停止することができ、単一のローカルで生成された安全メッセージを他の安全メッセージと結合することなく送信することができ、長距離インターフェース520などを介してSISの1つ以上の遠隔部分に送達するための新しい安全メッセージを生成することができる。
図5Bは、図1の安全計装システムおよび本明細書に記載のその実施形態、例えば図2A〜2Dおよび/または図3に関連して説明したもの、に含まれ得る例示的な安全データ集約解除器(SDD)550のブロック図を示す。追加的または代替的に、安全データ集約解除器550を利用して、それぞれ図4Aおよび図4Bの方法400および/または方法450の実施形態を遂行することができる。さらに追加的または代替的に、安全データ集約解除器550は、安全性データ集約器500とともに利用することができる。説明を容易にするためであり、限定する目的ではないが、図1、図2A〜2D、および図5Bを同時に参照しながら図5Bを以下に説明する。
図5Bに示すように、SDD550は、1つ以上のプロセッサ552(いくつかの実装形態では、マルチコアプロセッサとすることができる)、および実行可能命令558が記憶された1つ以上の有形の非一時的コンピュータ可読媒体またはメモリ555を含む。コンピュータ実行可能命令558は、例えば、長距離プロセスプラント10にサービスを提供する安全計装システム100の長距離リンク132を介して集約安全メッセージから個々の安全メッセージを回復し、個々の安全メッセージをそれぞれの受信者に送達するように実行可能である。つまり、コンピュータ実行可能命令558は、1つ以上のプロセッサ552によって実行されると、SDD550に、SIS100の長距離リンク132を介して集約安全メッセージを受信させ、集約安全メッセージをその個々の安全メッセージへと集約解除させ(または別の方法で集約安全メッセージから個々の安全メッセージを回復させ)、回復された安全メッセージをSDD550に関してSIS100内にローカルに配置された受信側安全論理ソルバに(例えば論理ソルバ148、150、152に)通信させる。一般的に言えば、SDD550で受信または取得された単一の集約安全メッセージの全長は、集約安全メッセージを構成する個々の安全メッセージのそれぞれの長さの合計よりも短い。コンピュータ実行可能命令558は、本明細書では集約解除命令558と呼ばれ、選択されたローカル安全メッセージがそれに基づいて受信側ローカル安全論理ソルバに通信されたり通信されなかったりする1つ以上の基準を示す1つ以上の内部関数FSDDyを含むか、または実装することができる。
SDD550は、それを介して集約安全メッセージ(例えば、図5Aに示す集約安全メッセージ518)がそれぞれの長距離リンク(例えば、長距離リンク132、167、169、171、173)を介してSDC128、168〜168、500などのそれぞれのSDCから受信される1つ以上の長距離リンクインターフェース560を含む。いくつかの実装形態では、SDD550は、例えばSIS100のローカル部分12と遠隔部分14とを相互接続する複数種類の長距離リンクを含むSIS100の構成をサポートするために、様々な種類の複数の長距離リンクインターフェース560を含む。例えば、SDD550は、有線通信リンク上に便乗した長距離リンクへの長距離リンクインターフェース560を含み得、長距離無線リンクへの異なる長距離リンクインターフェース560も含み得る。
集約解除メッセージ558は、受信された集約安全メッセージ518に対して動作し、長距離リンクの他端で集約安全メッセージ518を形成するように結合された個々の安全メッセージ512a〜512nを回復することができる。単一の集約安全メッセージ51
8から個々の安全メッセージ512a〜512nを回復することは、解凍、逆統合、逆多重化などの任意の1つ以上の好適な技術を利用することができ、これは、集約安全メッセージ518のヘッダおよび/または集約安全メッセージ518の内容に対して遂行され得る。一実施形態では、集約解除命令558は、長距離リンクの送信端で集約安全メッセージ518を生成したそれぞれのSDC500によって利用された結合技術に関して反対または逆の技術を遂行することによって、集約安全メッセージ518から個々の安全メッセージを分離する。
一実施形態では、集約解除命令558は、ステージング領域562を利用して、集約安全メッセージおよび回復された安全メッセージをステージングまたは一時的に記憶することができる。ステージング領域562は、図5Bに示されるようにSDD550に含まれてもよく、またはSDD550の外部に、SDD550からアクセス可能に配置されてもよい(図示せず)。ステージング領域562は、1つ以上のメモリ555上に実装されてもよく、または異なる組の1つ以上のメモリ(図示せず)上に実装されてもよい。例示的な一構成では、集約解除命令558は、1つ以上の状態、例えば重複したメッセージを送達しないこと、記憶装置を最適化するようにステージング領域562のメモリ構成を管理すること、様々な安全メッセージに関連するタイマーをオンオフすること、などに基づいて、回復された安全メッセージ512a〜512nのローカルに配置された受信者への送達を制御する。
SDD550は、それを介して回復された安全メッセージ512a〜512nがそれらのそれぞれの意図されたローカルに配置された論理ソルバ(例えば、論理ソルバ148、150、152)に送達される1つ以上のローカルSISインターフェース565を含む。例示的な一実装形態では、1つ以上のローカルSISインターフェース565は、安全メッセージがSDD500のローカル環境内に配置されたSIS100の部分内でそれを介して送達される1つ以上のローカル安全データハイウェイまたはローカル安全通信バスに通信可能に接続されている。例えば、1つ以上のローカルSISインターフェース565は、例えばI/Oカードを介して、ならびに/またはI/Oカードによってサポートされているプロトコルおよび/もしくはフォーマットを使用することによって、SIS100の様々な構成要素間で情報が交換されるレベルで動作し得る。
いくつかの実施形態では、SDD550は、第1の組の1つ以上の内部論理ソルバ568a〜568mを含む。例えば、1つ以上の内部論理ソルバ568は、内部論理ソルバ159、161、163の1つ以上を含み得る。例示的な一布置では、各内部論理ソルバ568は、例えば、図2Dに関して示し説明したものと同様の布置で、1つ以上の異なるSDCにそれぞれ通信可能に接続されている。内部論理ソルバ568の各々は、1つ以上の長距離リンクを介して受信された集約安全メッセージまたはその欠如を示す信号(図5Bでは参照符号570によって集合的に表される)に対して動作し、それらに対してそれぞれの論理演算(例えば、閾値比較、投票機能など)を遂行し、プロセッサ552に提供されるそれぞれの出力信号(図5Bにおいて参照符号572によって集合的に表されている)を生成し得る。集約解除命令558を実行するプロセッサ552は、回復関数FSDDyへの追加の入力として出力信号572を利用することができる。例えば、内部論理ソルバ568の出力信号に基づいて、集約解除命令558は、新しい安全メッセージを作成してその新しい安全メッセージを1つ以上の受信側のローカルに配置された論理ソルバに通信することができ、特定の回復された個々の安全メッセージを喪失するかまたは任意のローカルに配置された論理ソルバに送付されることを防止することができ、他の受信された集約安全メッセージに関連するタイマーを設定またはキャンセルすることができ、回復された安全メッセージをステージング領域562からクリアまたは削除することなどができる。
いくつかの実施形態では、SDD550は、追加的または代替的に、第2の組の1つ以上の内部論理ソルバ575a〜575pを含む。図5Bでは、第2の組の内部論理ソルバ575は、ローカルSISインターフェース565の上流かつプロセッサ552および/または安全メッセージステージング領域562の下流に配置されるように示されている。つまり、第2の組の内部論理ソルバ575は、プロセッサ552から信号578を受信し、1つ以上のローカルSISインターフェース565に出力580を供給する。いくつかの実施形態(図示せず)では、内部論理ソルバ575の1つ以上は、それぞれのローカルSISインターフェース565を一体的に含み得る。一般的に言えば、内部論理ソルバ575は、集約解除命令558によって生成された、例えば関数FSDDyの1つ以上によって生成された1つ以上の出力(これらは図5Bでは、参照番号578で集合的に表されている)をプロセッサ552から受信し、それに対してそれぞれの論理機能(例えば、閾値比較、投票機能など)を遂行する。内部論理ソルバ575(これらは図5Bでは、参照番号580で集合的に表されている)の出力は、受信側のローカルに配置された安全論理ソルバへの個々の安全メッセージの送達を通知することができる。例えば、内部論理ソルバ575の出力信号に基づいて、集約解除命令558は、新しい安全メッセージを作成し、その新しい安全メッセージを1つ以上の受信側のローカルに配置された論理ソルバに通信することができ、特定の回復された個々の安全メッセージを喪失するかまたは任意のローカルに配置された論理ソルバに送付されることを防止することができ、他の受信された集約安全メッセージに関連するタイマーを設定またはキャンセルすることができ、回復された安全メッセージをステージング領域562からクリアまたは削除することなどができる。
一般的に言って、SDD550の第1の組の内部論理ソルバ568は、SDD550が接続されている長距離リンク(複数可)を介して受信される集約安全メッセージに対応する信号に対して動作し、それによって集約解除技術に影響を及ぼし、どの特定の安全メッセージ(例えば、これは回復された安全メッセージまたは新たに生成された安全メッセージであってもよい)をどの特定のローカルに配置された安全論理ソルバに通信すべきかを決定し、安全メッセージをローカルに配置された安全論理ソルバなどに通信する効率を高める。SDD550の第2の組の内部論理ソルバ575は、集約解除器558の出力に対応する信号に対して動作し、どの特定の安全メッセージ(例えば、これは回復された安全メッセージまたは新たに生成された安全メッセージであってもよい)をどの特定のローカルに配置された安全論理ソルバに通信すべきかを決定し、いつ特定の安全メッセージをローカルに通信すべきかを決定し、安全メッセージをローカルに配置された安全論理ソルバなどに通信する効率を高める。
図6は、図1の例示的な長距離プロセスプラントおよび例示的な長距離安全計装システムの実施形態のブロック図を示す。具体的には、図6は、ローカル環境12のローカル環境部分20および遠隔環境14の遠隔環境部分22をさらに詳細に示している。ローカル環境12のローカル環境部分18および遠隔環境14の遠隔環境部分24は、簡潔にするために図6ではそれほど詳細に示していないが、様々な実施形態において同様の特徴および詳細を含むことができることが理解されるべきである。
図6に示すように、プロセスプラント10のローカル環境部分20および遠隔環境部分22は各々、プラント環境内に位置するそれぞれの1つ以上の安全システムフィールド装置602、604を含む。安全システムフィールド装置602は、例えばプロセスプラント10内に設置された様々なバス、通信回線、無線ネットワークなどを介して、ローカルSIS部分50の安全論理ソルバ142、144、146に通信可能に接続されている。同様に、安全システムフィールド装置604は、遠隔SIS部分52の安全論理ソルバ148、150、152に通信可能に接続されている。ローカルSIS部分50のそれぞれの安全論理ソルバ142、144、146および遠隔SIS部分52の安全論理ソルバ1
48、150、152は、安全システムフィールド装置602、604とそれらのそれぞれのプロセス制御器616、620との間の通信を可能にする。
同様に、ローカル環境部分20および遠隔環境部分22は各々、プラント環境内に位置するそれぞれのプロセス制御フィールド装置606、608を含む。プロセス制御フィールド装置606は各々、例えばプロセスプラント10内に設置された様々なバス、通信回線、無線ネットワークなどを介してローカルPCS部分40のそれぞれのプロセス制御I/O装置610に通信可能に接続されている。同様に、プロセス制御フィールド装置608は各々、遠隔PCS部分42のそれぞれのプロセス制御I/O装置612に通信可能に接続されている。ローカルPCS部分40のそれぞれのプロセス制御I/O装置610と遠隔PCS部分42のプロセス制御I/O装置612は、プロセス制御フィールド装置606、608とそれらのそれぞれのプロセス制御器616、618との間の通信を可能にする。
様々な実施形態において、安全システムフィールド装置602、604、およびプロセス制御フィールド装置606、608は、例えば、バルブ、バルブポジショナ、スイッチおよびトランスミッタ(例えば、温度、圧力、レベルおよび流量センサ)を含み、一般に、バルブを開閉する、圧力、温度などのプロセスパラメータを測定するなどの物理的またはプロセス制御機能を遂行し、プロセスプラントまたはシステム内で実行される1つ以上の工業プロセスを制御する。加えて、いくつかの実施形態では、安全システムフィールド装置602、604、およびプロセス制御フィールド装置606、608は、例えば制御計算、アラーム機能、および例えばプロセス制御器616、618などのプロセス制御器内で一般的に実装される他の制御機能を遂行することができる、よく知られたフィールドバスプロトコルに準拠するフィールド装置などのスマートフィールド装置を含む。
さらに、図6に示すように、ローカル環境部分18、ローカル環境部分20、遠隔環境部分22、および遠隔環境部分24は各々、それぞれのメッセージ伝播装置(MPD)622、624、626、および628を含む。各MPDは、それぞれのSIS部分48、50、52、54に通信可能に接続されている。その上、ローカル環境部分18および20のMPD622、624は、安全メッセージがローカル環境部分18と20との間で送受信される1つ以上のリンク(例えば、リング型バス接続および/または他の好適な種類の接続)によって互いに通信可能に接続されている。同様に、遠隔環境部分22および24のMPD626、628も、安全メッセージがローカル環境部分22と24との間で送受信される1つ以上の好適なリンクによって互いに通信可能に接続されている。
その上、プロセスプラント10は、プロセス制御オペレータ、保守要員、構成エンジニアなどのプラント要員からアクセス可能な1つ以上のホストワークステーション、コンピュータ、またはユーザインターフェース(例えば、パーソナルコンピュータ、ワークステーションなど)630をさらに含む。各コンピュータ630は、共通の通信線またはバス634を介して構成データベース632に接続されている。通信ネットワークは、任意の所望のバスベースまたは非バスベースのハードウェアを使用して、任意の所望のハードワイヤードまたは無線通信構造を使用して、およびイーサネット(登録商標)プロトコルなどの任意の所望または好適な通信プロトコルを使用して実装され得る。
理解されるように、コンピュータ630の各々は、プロセッサ(図示せず)、ならびに1つ以上の構成および/またはプロセッサ上で実行されるようになっている閲覧アプリケーションを格納するメモリ(図示せず)を含み得る。一般的に言えば、1つ以上の構成アプリケーションは、構成情報を構成エンジニアに提供し、したがって構成エンジニアがプロセスプラント10の一部または全部の要素を構成し、その構成を構成データベース632に記憶させることを可能にする。1つ以上の構成アプリケーションによって遂行される
構成アクティビティの一環として、構成エンジニアは典型的に、プロセス制御器614、616、618、620の制御ルーチンまたは制御モジュール、および安全論理ソルバ142、144、146、148、150、152のいずれかおよび全ての安全論理モジュールを作成する。さらに、構成エンジニアは典型的に、バス634を介してこれらの異なる制御および安全モジュールをプロセス制御器614、616、618、620および安全論理ソルバ142、144、146、148、150、152のうちの適切なものにダウンロードする。場合によっては、1つ以上の構成アプリケーションを使用して他のプログラムおよび論理を作成して、PCSI/O装置610、612、安全システムフィールド装置602、604のいずれか、プロセス制御フィールド装置606、608のいずれかなどにダウンロードする。
したがって、本発明は具体的な例に関して記載されてきたが、これらの例は例解的であるに過ぎず、本発明の限定であることを意図せず、変更、追加、または削除が、本発明の趣旨および範囲から逸脱することなく、開示される実施形態に対して行われ得ることが当業者には明らかであろう。さらに、本明細書に記載のシステム、方法、および技術の用途および利点は、上記の例だけに限定されない。本明細書に記載のシステム、方法、および技術を使用することによって、他の多くの用途および利益が可能である。
その上、上記の文章は多くの異なる実施形態の詳細な説明を記載しているが、本特許の範囲は本特許の最後に記載される特許請求の範囲の文言によって定義されることが理解されるべきである。詳細な説明は、単に例示的なものとして解釈されるべきであり、全ての可能な実施形態を説明することは、不可能ではない場合でも非現実的であるので、全ての可能な実施形態を説明するものではない。多くの代替的な実施形態が、現在の技術または本特許の出願日後に開発された技術のいずれかを使用して実装され得るが、これらは、依然として特許請求の範囲の範囲内に収まるであろう。例示を目的とし、かつ限定を目的とせず、本明細書における開示は、少なくとも以下の態様を意図する。
1.プロセス制御システムを有する長距離プロセスプラントで使用するための安全計装システムであって、安全計装システムは、安全計装システムの第1の部分内に配置され、プロセス制御システムの1つ以上のプロセス制御装置と動作可能に通信する1つ以上の安全論理ソルバに通信可能に接続された安全データ集約器を備え、プロセス制御システムは、安全計装システムによってサービスを提供され、プロセス制御システムの1つ以上のプロセス制御装置は、1つ以上の物理的機能を遂行し、それによって長距離プロセスプラントで実行される工業プロセスを制御する。安全データ集約器は、1つ以上の安全論理ソルバによって生成された複数の安全メッセージを単一の集約安全メッセージであって、複数の安全メッセージのそれぞれの長さの合計よりも短い全長を有する、単一の集約安全メッセージ、に結合し、単一の集約安全メッセージを安全計装システムの第2の部分への長距離リンクを介して送信する。
2.1つ以上の安全論理ソルバは第1の組の1つ以上の安全論理ソルバであり、1つ以上のプロセス制御装置は第1の組の1つ以上のプロセス制御装置である、前述の態様に記載の安全計装システム。
3.安全計装システムの第2の部分内に配置され、プロセス制御システムの第2の組の1つ以上のプロセス制御装置と動作可能に通信する第2の組の1つ以上の安全論理ソルバに通信可能に接続された安全データ集約解除器をさらに備える、前述の態様のいずれか1つに記載の安全計装システム。安全データ集約解除器は、長距離リンクを介して単一の集約安全メッセージを受信し、単一の集約安全メッセージから複数の安全メッセージを回復し、回復された複数の安全メッセージを第2の組の1つ以上の安全論理ソルバに送信するように構成されている。
4.第1の組の1つ以上のプロセス制御装置は、安全計装システムの第1の部分によってサービスを提供されるプロセス制御システムの第1の部分内に配置されている、前述の態様のいずれか1つに記載の安全計装システム。
5.第2の組の1つ以上のプロセス制御装置は、安全計装システムの第2の部分によってサービスを提供されるプロセス制御システムの第2の部分内に配置されている、前述の態様のいずれか1つに記載の安全計装システム。
6.安全データ集約解除器は、回復された複数の安全メッセージに示された1つ以上の安全状態に基づいて、回復された複数の安全メッセージを第2の組の1つ以上の安全論理ソルバに通信するように構成されている、前述の態様のいずれか1つに記載の安全計装システム。
7.安全データ集約解除器は、閾値論理比較器の出力に基づいて、回復された複数の安全メッセージを第2の組の1つ以上の安全論理ソルバに通信するように構成され、閾値論理比較器は、第1の1つ以上の回復された安全メッセージを示す第1の組の信号に適用され、閾値論理比較器は、安全データ集約解除器に含まれる第1の内部論理ソルバである、前述の態様のいずれか1つに記載の安全計装システム。
8.安全データ集約解除器は、投票論理比較器の出力に基づいて、回復された複数の安全メッセージを第2の組の1つ以上の安全論理ソルバに通信するように構成され、投票論理比較器は、第2の1つ以上の回復された安全メッセージを示す第2の組の信号に適用され、投票論理比較器は、安全データ集約解除器に含まれる第2の内部論理ソルバである、前述の態様のいずれか1つに記載の安全計装システム。
9.安全データ集約解除器は、安全データ集約解除器に含まれ、第3の1つ以上の回復された安全メッセージを示す第3の組の信号に対して動作する1つ以上の他の内部論理ソルバのそれぞれの出力に基づいて、回復された複数の安全メッセージを第2の組の1つ以上の安全論理ソルバに通信するように構成されている、前述の態様のいずれか1つに記載の安全計装システム。
10.安全データ集約解除器は、回復された複数の安全メッセージ中の特定の安全メッセージの有無に基づいて、回復された複数の安全メッセージを第2の組の1つ以上の安全論理ソルバに通信するように構成されている、前述の態様のいずれか1つに記載の安全計装システム。
11.安全データ集約解除器は、少なくとも1つの回復された安全メッセージの内容に基づいて、回復された複数の安全メッセージを第2の組の1つ以上の安全論理ソルバに通信するように構成されている、前述の態様のいずれか1つに記載の安全計装システム。
12.安全データ集約器は、単一の集約安全メッセージの送信予定時刻に基づいて、複数の安全メッセージを単一の集約安全メッセージに結合するように構成されている、前述の態様のいずれか1つに記載の安全計装システム。
13.安全データ集約器は、複数の安全メッセージに示された1つ以上の安全状態に基づいて、複数の安全メッセージを単一の集約安全メッセージに結合するように構成されている、前述の態様のいずれか1つに記載の安全計装システム。
14.安全データ集約器は、閾値比較器の出力に基づいて、複数の安全メッセージを単
一の集約安全メッセージに結合するように構成され、閾値比較器は複数の安全メッセージに含まれる第1の1つ以上の安全メッセージを示す第1の組の信号に適用され、閾値比較器は安全データ集約器に含まれる第1の内部論理ソルバである、前述の態様のいずれか1つに記載の安全計装システム。
15.安全データ集約器は、投票評価器の出力に基づいて、複数の安全メッセージを単一の集約安全メッセージに結合するように構成され、投票評価器は、複数の安全メッセージに含まれる第2の1つ以上の安全メッセージを示す第2の組の信号に適用され、投票評価器は、安全データ集約器に含まれる第2の内部論理ソルバである、前述の態様のいずれか1つに記載の安全計装システム。
16.安全データ集約器は、安全データ集約解除器に含まれ、複数の安全メッセージに含まれる第3の1つ以上の安全メッセージを示す第3の組の信号に対して動作する1つ以上の他の内部論理ソルバのそれぞれの出力に基づいて、複数の安全メッセージを単一の集約安全メッセージに結合するように構成されている、前述の態様のいずれか1つに記載の安全計装システム。
17.安全データ集約器は、複数の安全メッセージ中の特定の安全メッセージの有無に基づいて、複数の安全メッセージを単一の集約安全メッセージに結合するように構成されている、前述の態様のいずれか1つに記載の安全計装システム。
18.安全データ集約器は、複数の安全メッセージに含まれる少なくとも1つの安全メッセージの内容に基づいて、複数の安全メッセージを単一の集約安全メッセージに結合するように構成されている、前述の態様のいずれか1つに記載の安全計装システム。
19.安全データ集約器は、単一の集約安全メッセージの送信予定時刻に基づいて、単一の集約安全メッセージを送信するように構成されている、前述の態様のいずれか1つに記載の安全計装システム。
20.安全データ集約器は、複数の安全メッセージに示された1つ以上の安全状態に基づいて、単一の集約安全メッセージを送信するように構成されている、前述の態様のいずれか1つに記載の安全計装システム。
21.安全データ集約器は、閾値比較器の出力に基づいて、単一の集約安全メッセージを送信するように構成され、閾値論理比較器は、複数の安全メッセージに含まれる第1の1つ以上の安全メッセージを示す第1の組の信号に適用され、閾値比較器は、安全データ集約器に含まれる第1の内部論理ソルバである、前述の態様のいずれか1つに記載の安全計装システム。
22.安全データ集約器は、投票評価器の出力に基づいて、単一の集約安全メッセージを送信するように構成され、投票評価器は、複数の安全メッセージに含まれる第2の1つ以上の安全メッセージを示す第2の組の信号に適用され、投票評価器は、安全データ集約器に含まれる第2の内部論理ソルバである、前述の態様のいずれか1つに記載の安全計装システム。
23.安全データ集約器は、安全データ集約器に含まれ、複数の安全メッセージに含まれる第3の1つ以上の安全メッセージを示す第3の組の信号に対して動作する1つ以上の他の内部論理ソルバのそれぞれの出力に基づいて、単一の集約安全メッセージを送信するように構成されている、前述の態様のいずれか1つに記載の安全計装システム。
24.安全データ集約器は、複数の安全メッセージ中の特定の安全メッセージの有無に基づいて、単一の集約安全メッセージを送信するように構成されている、前述の態様のいずれか1つに記載の安全計装システム。
25.安全データ集約器は、複数の安全メッセージに含まれる少なくとも1つの安全メッセージの内容に基づいて、単一の集約安全メッセージを送信するように構成されている、前述の態様のいずれか1つに記載の安全計装システム。
26.安全計装システムの2つ以上の部分間で安全メッセージがそれを介して送信される第2のリンクをさらに備え、長距離リンクは、第2のリンクの帯域幅よりも小さい帯域幅を有し、安全計装システムの第1の部分と安全計装システムの第2の部分との間の地理的距離は、第2のリンクによってサポートされている安全計装システムの任意の2つの部分間の地理的距離よりも長い、前述の態様のいずれか1つに記載の安全計装システム。
27.長距離リンクは、光ファイバリンク、海底ケーブル、長距離無線リンク、有線通信リンク上にオーバーレイされているかもしくはそれによってサポートされている通信リンク、または高帯域幅のリンクに含まれる低帯域幅の仮想リンクである、前述の態様のいずれか1つに記載の安全計装システム。
28.1つ以上の論理ソルバは、1つ以上のプロセス制御装置から特定のフォーマットの信号を取得し、1つ以上の論理ソルバによって生成される複数の安全メッセージは、安全データ集約器によって取得される、前述の態様のいずれか1つに記載の安全計装システム。
29.特定のフォーマットはプロセス制御システムのI/Oレベルで実装されている、前述の態様のいずれか1つに記載の安全計装システム。
30.長距離プロセスプラントのプロセス制御システムにサービスを提供する安全計装システムで使用するための方法であって、安全計装システムの第1の部分内に配置され、長距離プロセスプラントのプロセス制御システムの第1の組の1つ以上のプロセス制御装置と動作可能に通信する第1の組の1つ以上の安全論理ソルバに通信可能に接続された安全データ集約器において、第1の組の1つ以上の安全論理ソルバによって生成された複数の安全メッセージを受信することと、安全データ集約器によって、複数の安全メッセージを単一の集約安全メッセージであって、複数の安全メッセージの個々の長さの合計よりも短い全長を有する、単一の集約安全メッセージ、に結合することと、安全データ集約器によって、安全計装システムの第2の部分への長距離リンクを介して、安全計装システムの第2の部分内に配置され、プロセス制御システムの第2の組の1つ以上のプロセス制御装置と動作可能に通信する第2の組の1つ以上の安全論理ソルバに通信可能に接続された安全データ集約解除器に単一の集約安全メッセージを送信することと、を含み、安全データ集約解除器は、第2の組の安全論理ソルバへの通信のために単一の集約安全メッセージから複数の安全メッセージを回復するように構成され、第1の組の1つ以上のプロセス制御装置および第2の組の1つ以上のプロセス制御装置は、1つ以上の物理的機能を遂行し、それによって長距離プロセスプラントで実行される工業プロセスを制御する、方法。
31.態様1〜29の安全計装システムのいずれか1つによって遂行される態様30の方法。
32.複数の安全メッセージを単一の集約安全メッセージに結合することは、単一の集約安全メッセージの送信予定時刻に基づいて複数の安全メッセージを単一の集約安全メッセージに結合することを含む、態様30〜31のいずれか1つに記載の方法。
33.複数の安全メッセージを単一の集約安全メッセージに結合することは、複数の安全メッセージに含まれる少なくとも1つの安全メッセージによって示された1つ以上の安全状態に基づいて複数の安全メッセージを単一の集約安全メッセージに結合することを含む、態様30〜32のいずれか1つに記載の方法。
34.複数の安全メッセージを単一の集約安全メッセージに結合することは、閾値比較器の出力に基づいて複数の安全メッセージを単一の集約安全メッセージに結合することを含み、閾値論理比較器は、複数の安全メッセージに含まれる第1の1つ以上の安全メッセージを示す第1の組の信号に適用され、閾値比較器は、安全データ集約器に含まれる第1の内部論理ソルバである、態様30〜33のいずれか1つに記載の方法。
35.複数の安全メッセージを単一の集約安全メッセージに結合することは、投票評価器の出力に基づいて複数の安全メッセージを単一の集約安全メッセージに結合することを含み、投票評価器は、複数の安全メッセージに含まれる第2の1つ以上の安全メッセージを示す第2の組の信号に適用され、投票評価器は、安全データ集約器に含まれる第2の内部論理ソルバである、態様30〜34のいずれか1つに記載の方法。
36.複数の安全メッセージを単一の集約安全メッセージに結合することは、安全データ集約器に含まれ、複数の安全メッセージに含まれる第3の1つ以上の安全メッセージを示す第3の組の信号に対して動作する1つ以上の他の内部論理ソルバのそれぞれの出力に基づいて、複数の安全メッセージを単一の集約安全メッセージに結合することを含む、態様30〜35のいずれか1つに記載の方法。
37.複数の安全メッセージを単一の集約安全メッセージに結合することは、複数の安全メッセージ中の特定の安全メッセージの有無に基づいて、複数の安全メッセージを単一の集約安全メッセージに結合することを含む、態様30〜36のいずれか1つに記載の方法。
38.複数の安全メッセージを単一の集約安全メッセージに結合することは、複数の安全メッセージに含まれる少なくとも1つの安全メッセージの内容に基づいて、複数の安全メッセージを単一の集約安全メッセージに結合することを含む、態様30〜37のいずれか1つに記載の方法。
39.単一の集約安全メッセージを送信することは、単一の集約安全メッセージの送信予定時刻に基づいて、単一の集約安全メッセージを送信することを含む、態様30〜38のいずれか1つに記載の方法。
40.単一の集約安全メッセージを送信することは、複数の安全メッセージに含まれる少なくとも1つの安全メッセージによって示された1つ以上の安全状態に基づいて、単一の集約安全メッセージを送信することを含む、態様30〜39のいずれか1つに記載の方法。
41.単一の集約安全メッセージを送信することは、閾値比較器の出力に基づいて単一の集約安全メッセージを送信することを含み、閾値論理比較器は、複数の安全メッセージに含まれる第1の1つ以上の安全メッセージを示す第1の組の信号に適用され、閾値比較器は、安全データ集約器に含まれる第1の内部論理ソルバである、態様30〜40のいずれか1つに記載の方法。
42.単一の集約安全メッセージを送信することは、投票評価器の出力に基づいて単一
の集約安全メッセージを送信することを含み、投票評価器は、複数の安全メッセージに含まれる第2の1つ以上の安全メッセージを示す第2の組の信号に適用され、投票評価器は、安全データ集約器に含まれる第2の内部論理ソルバである、態様30〜41のいずれか1つに記載の方法。
43.単一の集約安全メッセージを送信することは、安全データ集約器に含まれ、複数の安全メッセージに含まれる第3の1つ以上の安全メッセージを示す第3の組の信号に対して動作する1つ以上の他の内部論理ソルバのそれぞれの出力に基づいて、単一の集約安全メッセージを送信することを含む、態様30〜42のいずれか1つに記載の方法。
44.単一の集約安全メッセージを送信することは、複数の安全メッセージ中の特定の安全メッセージの有無に基づいて、単一の集約安全メッセージを送信することを含む、態様30〜43のいずれか1つに記載の方法。
45.単一の集約安全メッセージを送信することは、複数の安全メッセージに含まれる少なくとも1つの安全メッセージの内容に基づいて、単一の集約安全メッセージを送信することを含む、態様30〜44のいずれか1つに記載の方法。
46.複数の安全メッセージを単一の集約安全メッセージに結合することは、第1の組の1つ以上の安全論理ソルバの1つの特定の安全論理ソルバによって生成された複数の安全メッセージを単一の集約安全メッセージに結合することをさらに含む、態様30〜45のいずれか1つに記載の方法。
47.複数の安全メッセージを単一の集約安全メッセージに結合することは、第1の組の1つ以上の安全論理ソルバに含まれる複数の論理ソルバによって生成された安全メッセージを単一の集約安全メッセージに結合することをさらに含む、態様30〜46のいずれか1つに記載の方法。
48.複数の安全メッセージを単一の集約安全メッセージに結合することは、複数の異なる種類の安全メッセージを単一の集約安全メッセージに結合することをさらに含む、態様30〜47のいずれか1つに記載の方法。
49.安全計装システムの2つ以上の部分間の第2のリンクを介して他の安全メッセージを送信することをさらに含み、長距離リンクは、第2のリンクの帯域幅よりも小さい帯域幅を有し、安全計装システムの第1の部分と安全計装システムの第2の部分との間の地理的距離は、第2のリンクによってサポートされている安全計装システムの任意の2つの部分間の地理的距離よりも長い、態様30〜48のいずれか1つに記載の方法。
50.長距離リンクを介して単一の集約安全メッセージを安全データ集約解除器に送信することは、光ファイバリンク、海底ケーブル、長距離無線リンク、有線通信リンク上にオーバーレイされているかもしくはそれによってサポートされている通信リンク、または高帯域幅のリンクに含まれる低帯域幅の仮想リンクを介して安全データ集約解除器に送信することを含む、態様30〜49のいずれか1つに記載の方法。
51.安全データ集約解除器は特定の安全データ集約解除器であり、長距離リンクは特定の長距離リンクであり、方法は、安全データ集約器によって、複数の長距離リンクを介して、単一の集約安全メッセージを、複数の安全データ集約解除器に送信することをさらに含み、複数の安全データ集約解除器は特定の安全データ集約解除器を含み、複数の長距離リンクは特定の長距離リンクを含む、態様30〜50のいずれか1つに記載の方法。
52.単一の集約安全メッセージは特定の集約安全メッセージであり、方法は、安全データ集約器によって長距離リンクを介して複数の集約安全メッセージを安全データ集約解除器に送信することをさらに含み、複数の集約安全メッセージは特定の集約安全メッセージを含む、態様30〜51のいずれか1つに記載の方法。
53.単一の集約安全メッセージは特定の単一の集約安全メッセージであり、安全データ集約解除器は特定の安全データ集約解除器であり、長距離リンクは特定の長距離リンクであり、方法は、安全データ集約器によって複数の長距離リンクを介して複数の集約安全メッセージを複数の安全データ集約解除器に送信することをさらに含み、複数の集約安全メッセージは特定の集約安全メッセージを含み、複数の安全データ集約解除器は特定の安全データ集約解除器を含み、複数の長距離リンクは特定の長距離リンクを含む、態様30〜52のいずれか1つに記載の方法。
54.長距離プロセスプラントのプロセス制御システムにサービスを提供する安全計装システムで使用するための方法であって、方法は、安全計装システムの第1の部分内に配置され、プロセス制御システムの第1の組の1つ以上のプロセス制御装置と動作可能に通信する第1の組の1つ以上の安全論理ソルバに通信可能に接続された安全データ集約器によって送信された単一の集約安全メッセージを、安全データ集約解除器によって、安全計装システムの第1の部分からの長距離リンクを介して受信することを含み、安全データ集約器は、第1の組の1つ以上の安全論理ソルバによって生成された複数の安全メッセージを単一の集約安全メッセージに結合するように構成され、単一の集約安全メッセージは、複数の安全メッセージの個々の長さの合計よりも短い全長を有し、安全データ集約解除器は、安全システムの第2の部分内に配置され、プロセス制御システムの第2の組の1つ以上のプロセス制御装置と動作可能に通信する第2の組の1つ以上の安全論理ソルバに通信可能に接続され、第1の組の1つ以上のプロセス制御装置および第2の組の1つ以上のプロセス制御装置は、1つ以上の物理的機能を遂行し、それによって長距離プロセスプラントで実行される工業プロセスを制御する、方法。この方法は、安全性データ集約解除器によって、単一の集約安全性メッセージから複数の安全メッセージを回復することと、回復された複数の安全メッセージを第2の組の1つ以上の安全論理ソルバに通信することとをさらに含む。
55.態様30〜53に記載の方法のいずれか1つと組み合わせた、態様54に記載の方法。
56.態様1〜29の安全計装システムのいずれか1つによって遂行される態様54〜55のいずれか1つに記載の方法。
57.複数の安全メッセージは、単一の集約安全メッセージの送信予定時刻に基づいて安全データ集約器によって結合されたかまたは送信されたかの少なくとも1つであった、態様54〜56のいずれか1つに記載の方法。
58.複数の安全メッセージは、複数の安全メッセージに示された1つ以上の安全状態に基づいて安全データ集約器によって結合されたかまたは送信されたかの少なくとも1つであった、態様54〜57のいずれか1つに記載の方法。
59.複数の安全メッセージは、閾値比較器の出力に基づいて安全データ集約機によって結合されたかまたは送信されたかの少なくとも1つであり、閾値論理比較器は、複数の安全メッセージに含まれる第1の1つ以上の安全メッセージを示す第1の組の信号に適用され、閾値比較器は、安全データ集約器に含まれる第1の内部論理ソルバである、態様54〜58のいずれか1つに記載の方法。
60.複数の安全メッセージは、投票評価器の出力に基づいて安全データ集約器によって結合されたかまたは送信されたかの少なくとも1つであり、投票評価器は、複数の安全メッセージに含まれる第2の1つ以上の安全メッセージを示す第2の組の信号に適用され、投票評価器は、安全データ集約器に含まれる第2の内部論理ソルバである、態様54〜59のいずれか1つに記載の方法。
61.複数の安全メッセージは、安全データ集約器に含まれ、複数の安全メッセージに含まれる第3の1つ以上の安全メッセージを示す第3の組の信号に対して動作する1つ以上の他の内部論理ソルバのそれぞれの出力に基づいて、安全データ集約器によって結合されたかまたは送信されたかの少なくとも1つであった、態様54〜60のいずれか1つに記載の方法。
62.複数の安全メッセージは、複数の安全メッセージ中の特定の安全メッセージの有無に基づいて、安全データ集約器によって結合されたかまたは送信されたかの少なくとも1つであった、態様54〜61のいずれか1つに記載の方法。
63.複数の安全メッセージは、複数の安全メッセージに含まれる少なくとも1つの安全メッセージの内容に基づいて、安全データ集約器によって結合されたかまたは送信されたかの少なくとも1つであった、態様54〜62のいずれか1つに記載の方法。
64.安全計装システムの2つ以上の部分間の第2のリンクを介して送信される安全メッセージを受信することをさらに含み、長距離リンクは、第2のリンクの帯域幅よりも小さい帯域幅を有し、安全計装システムの第1の部分と安全計装システムの第2の部分との間の地理的距離は、第2のリンクによってサポートされている安全計装システムの任意の2つの部分間の地理的距離よりも長い、態様54〜63のいずれか1つに記載の方法。
65.安全計装システムの第1の部分からの長距離リンクを介して安全データ集約器によって送信された単一の集約安全メッセージを受信することは、光ファイバリンク、海底ケーブル、長距離無線リンク、有線通信リンク上にオーバーレイされているかもしくはそれによってサポートされている通信リンク、または高帯域幅のリンクに含まれる低帯域幅の仮想リンクを介して安全データ集約器によって送信された単一の集約安全メッセージを受信することを含む、態様54〜64のいずれか1つに記載の方法。
66.回復された複数の安全メッセージを第2の組の1つ以上の安全論理ソルバに通信することは、回復された複数の安全メッセージに示された1つ以上の安全状態に基づいて、回復された複数の安全メッセージのうちの1つ以上を通信することを含む、態様54〜65のいずれか1つに記載の方法。
67.回復された複数の安全メッセージを第2の組の1つ以上の安全論理ソルバに通信することは、閾値論理比較器の出力に基づいて、回復された複数の安全メッセージのうちの1つ以上を通信することを含み、閾値論理比較器は、第1の1つ以上の回復された安全メッセージを示す第1の組の信号に適用され、閾値論理比較器は、安全データ集約解除器に含まれる第1の内部論理ソルバである、態様54〜66のいずれか1つに記載の方法。
68.回復された複数の安全メッセージを第2の組の1つ以上の安全論理ソルバに通信することは、投票論理比較器の出力に基づいて、回復された複数の安全メッセージのうちの1つ以上を通信することを含み、投票論理比較器は、第2の1つ以上の回復された安全メッセージを示す第2の組の信号に適用され、投票論理比較器は、安全データ集約解除器に含まれる第2の内部論理ソルバである、態様54〜67のいずれか1つに記載の方法。
69.回復された複数の安全メッセージを第2の組の1つ以上の安全論理ソルバに通信することは、安全データ集約解除器に含まれ、第3の1つ以上の回復された安全メッセージを示す第3の組の信号に対して動作する1つ以上の他の内部論理ソルバのそれぞれの出力に基づいて、回復された複数の安全メッセージのうちの1つ以上を通信することを含む、態様54〜68のいずれか1つに記載の方法。
70.回復された複数の安全メッセージを第2の組の1つ以上の安全論理ソルバに通信することは、回復された複数の安全メッセージ中の特定の安全メッセージの有無に基づいて、回復された複数の安全メッセージのうちの1つ以上を通信することを含む、態様54〜69のいずれか1つに記載の方法。
71.回復された複数の安全メッセージを第2の組の1つ以上の安全論理ソルバに通信することは、少なくとも1つの回復された安全メッセージの内容に基づいて、回復された複数の安全メッセージのうちの1つ以上を通信することを含む、態様54〜70のいずれか1つに記載の方法。
72.長距離リンクは、安全計装システムの第1の部分と安全計装システムの第2の部分とを通信可能に接続する複数の長距離リンクに含まれる特定の長距離リンクであり、方法は、複数の長距離リンクを介して、安全計装システムの第1の部分内に配置された1つ以上の追加の安全データ集約器によって送信された1つ以上の追加の集約安全メッセージを受信することと、1つ以上の追加の集約安全メッセージの各々からそれぞれの複数の安全メッセージを回復することと、回復された安全メッセージの少なくともいくつかを第2の組の1つ以上の安全論理ソルバに通信することと、をさらに含む、態様54〜71のいずれか1つに記載の方法。
73.閾値論理比較器の出力であって、閾値論理比較器は、1つ以上の追加の集約安全メッセージに対応する第1の組の信号に適用され、閾値論理比較器は、安全データ集約解除器に含まれる第1の内部論理ソルバである、出力;投票論理評価器の出力であって、投票論理評価器は、1つ以上の追加の集約安全メッセージに対応する第2の組の信号に適用され、投票論理評価器は、安全データ集約解除器に含まれる第2の内部論理ソルバである、出力;または安全データ集約解除器に含まれ、1つ以上の追加の集約安全メッセージに対応する第3の組の信号に対して動作する1つ以上の他の内部論理ソルバのそれぞれの出力、のうちの1つ以上に基づいて、第2の組の1つ以上の安全論理ソルバに通信されるべき回復された安全メッセージの少なくともいくつかを決定することをさらに含む、態様54〜72のいずれか1つに記載の方法。
74.閾値論理比較器の出力、投票論理評価器の出力、または安全データ集約解除器の1つ以上の他の内部論理ソルバのそれぞれの出力、のうちの1つ以上に基づいて、追加の安全メッセージを生成することと、追加の安全メッセージを安全計装システムの第2の部分内に配置された1つ以上の受信側安全論理ソルバに通信することと、をさらに含む、態様54〜73のいずれか1つに記載の方法。
75.先の態様のうちの他の任意の1つと組み合わせた先の態様の任意の1つ。
したがって、本発明は具体的な例に関して記載されてきたが、これらの例は例解的であるに過ぎず、本発明の限定であることを意図せず、変更、追加、または削除が、本発明の趣旨および範囲から逸脱することなく、開示される実施形態に対して行われ得ることが当業者には明らかであろう。

Claims (29)

  1. プロセス制御システムを有する長距離プロセスプラントで使用するための安全計装システムであって、
    前記安全計装システムの第1の部分内に配置され、前記プロセス制御システムの1つ以上のプロセス制御装置と動作可能に通信する1つ以上の安全論理ソルバに通信可能に接続された安全データ集約器であって、
    前記プロセス制御システムは、前記安全計装システムによってサービスを提供され、
    前記プロセス制御システムの前記1つ以上のプロセス制御装置は、1つ以上の物理的機能を遂行し、それによって前記長距離プロセスプラントで実行される工業プロセスを制御し、
    前記安全データ集約器は、
    前記1つ以上の安全論理ソルバによって生成された複数の安全メッセージを単一の集約安全メッセージであって、前記複数の安全メッセージのそれぞれの長さの合計よりも短い全長を有する、単一の集約安全メッセージ、に結合することと、
    前記単一の集約安全メッセージを前記安全計装システムの第2の部分へ長距離リンクを介して送信することと、を行うように構成された、安全データ集約器、を備える、安全計装システム。
  2. 前記1つ以上の安全論理ソルバは、第1の組の1つ以上の安全論理ソルバであり、
    前記1つ以上のプロセス制御装置は、第1の組の1つ以上のプロセス制御装置であり、
    前記安全計装システムはさらに、
    前記安全計装システムの前記第2の部分内に配置され、前記プロセス制御システムの第2の組の1つ以上のプロセス制御装置と動作可能に通信する第2の組の1つ以上の安全論理ソルバに通信可能に接続された安全データ集約解除器であって、前記安全データ集約解除器は、前記長距離リンクを介して前記単一の集約安全メッセージを受信し、前記単一の集約安全メッセージから前記複数の安全メッセージを回復し、前記回復された複数の安全メッセージを前記第2の組の1つ以上の安全論理ソルバに通信する、安全データ集約解除器、を備える、請求項1に記載の安全計装システム。
  3. 前記第1の組の1つ以上のプロセス制御装置は、前記安全計装システムの前記第1の部分によってサービスを提供される前記プロセス制御システムの第1の部分内に配置され、前記第2の組の1つ以上のプロセス制御装置は、前記安全計装システムの前記第2部分によってサービスを提供される前記プロセス制御システムの第2の部分内に配置されている、請求項2に記載の安全計装システム。
  4. 前記安全データ集約解除器は、
    前記回復された複数の安全メッセージに示された1つ以上の安全状態、
    閾値論理比較器の出力であって、前記閾値論理比較器は、第1の1つ以上の回復された安全メッセージを示す第1の組の信号に適用され、前記閾値論理比較器は、前記安全データ集約解除器に含まれる第1の内部論理ソルバである、出力、
    投票論理比較器の出力であって、前記投票論理比較器は、第2の1つ以上の回復された安全メッセージを示す第2の組の信号に適用され、前記投票論理比較器は、前記安全データ集約解除器に含まれる第2の内部論理ソルバである、出力、
    前記安全データ集約解除器に含まれ、第3の1つ以上の回復された安全メッセージを示す第3の組の信号に対して動作する1つ以上の他の内部論理ソルバのそれぞれの出力、
    前記回復された複数の安全メッセージ中の特定の安全メッセージの有無、または
    少なくとも1つの回復された安全メッセージの内容、のうちの1つ以上に基づいて、前記回復された複数の安全メッセージを、前記第2の組の1つ以上の安全論理ソルバに通信するように構成されている、請求項2に記載の安全計装システム。
  5. 前記安全データ集約器は、
    前記単一の集約安全メッセージの送信予定時刻、
    前記複数の安全メッセージに示された1つ以上の安全状態、
    閾値比較器の出力であって、前記閾値論理比較器は、前記複数の安全メッセージに含まれる第1の1つ以上の安全メッセージを示す第1の組の信号に適用され、前記閾値比較器は前記安全データ集約器に含まれる第1の内部論理ソルバである、出力、
    投票評価器の出力であって、前記投票評価器は、前記複数の安全メッセージに含まれる第2の1つ以上の安全メッセージを示す第2の組の信号に適用され、前記投票評価器は前記安全データ集約器に含まれる第2の内部論理ソルバである、出力、
    前記安全データ集約器に含まれ、前記複数の安全メッセージに含まれる第3の1つ以上の安全メッセージを示す第3の組の信号に対して動作する1つ以上の他の内部論理ソルバのそれぞれの出力、
    前記複数の安全メッセージ中の特定の安全メッセージの有無、または
    前記複数の安全メッセージに含まれる少なくとも1つの安全メッセージの内容、のうちの少なくとも1つに基づいて、前記複数の安全メッセージを前記単一の集約安全メッセージに結合するように構成されている、請求項1に記載の安全計装システム。
  6. 前記安全データ集約器は、
    前記単一の集約安全メッセージの送信予定時刻、
    前記複数の安全メッセージに示された1つ以上の安全状態、
    閾値比較器の出力であって、前記閾値論理比較器は、前記複数の安全メッセージに含まれる第1の1つ以上の安全メッセージを示す第1の組の信号に適用され、前記閾値比較器は前記安全データ集約器に含まれる第1の内部論理ソルバである、出力、
    投票評価器の出力であって、前記投票評価器は、前記複数の安全メッセージに含まれる第2の1つ以上の安全メッセージを示す第2の組の信号に適用され、前記投票評価器は前記安全データ集約器に含まれる第2の内部論理ソルバである、出力、
    前記安全データ集約器に含まれ、前記複数の安全メッセージに含まれる第3の1つ以上の安全メッセージを示す第3の組の信号に対して動作する1つ以上の他の内部論理ソルバのそれぞれの出力、
    前記複数の安全メッセージ中の特定の安全メッセージの有無、または
    前記複数の安全メッセージに含まれる少なくとも1つの安全メッセージの内容、のうちの1つ以上に基づいて、前記単一の集約安全メッセージを送信するように構成されている、請求項1に記載の安全計装システム。
  7. 第2のリンクであって、前記第2のリンクを介して前記安全計装システムの2つ以上の部分間で安全メッセージが送信される、第2のリンクをさらに含み、
    前記長距離リンクは、前記第2のリンクの帯域幅よりも小さい帯域幅を有し、
    前記安全計装システムの前記第1の部分と前記安全計装システムの前記第2の部分との間の地理的距離は、前記第2のリンクによってサポートされている前記安全計装システムの任意の2つの部分間の地理的距離よりも長い、請求項1に記載の安全計装システム。
  8. 前記長距離リンクは、光ファイバリンク、海底ケーブル、長距離無線リンク、有線通信リンク上にオーバーレイされているかもしくはそれによってサポートされている通信リンク、または高帯域幅のリンクに含まれる低帯域幅の仮想リンクである、請求項1に記載の安全計装システム。
  9. 前記1つ以上の論理ソルバは、前記1つ以上のプロセス制御装置から特定のフォーマットの信号を取得し、前記1つ以上の論理ソルバによって生成される前記複数の安全メッセージは、前記特定のフォーマットのものであり、前記安全データ集約器によって取得され
    る、請求項1に記載の安全計装システム。
  10. 前記特定のフォーマットは、前記プロセス制御システムのI/Oレベルで実装されている、請求項1に記載の安全計装システム。
  11. 長距離プロセスプラントのプロセス制御システムにサービスを提供する安全計装システムにおいて使用するための方法であって、
    前記安全計装システムの第1の部分に配置され、前記長距離プロセスプラントの前記プロセス制御システムの第1の組の1つ以上のプロセス制御装置と動作可能に通信する第1の組の1つ以上の安全論理ソルバに通信可能に接続された安全データ集約器で、前記第1の組の1つ以上の安全論理ソルバによって生成された複数の安全メッセージを受信することと、
    前記安全データ集約器によって、前記複数の安全メッセージを単一の集約安全メッセージであって、前記複数の安全メッセージの個々の長さの合計よりも短い全長を有する、単一の集約安全メッセージ、に結合することと、
    前記安全データ集約器によって、前記安全計装システムの第2の部分への長距離リンクを介して、前記単一の集約安全メッセージを、前記安全計装システムの前記第2の部分内に配置され、前記プロセス制御システムの第2の組の1つ以上のプロセス制御装置と動作可能に通信する第2の組の1つ以上の安全論理ソルバに通信可能に接続された安全データ集約解除器に送信することと、を含み、
    前記安全データ集約解除器は、前記第2の組の安全論理ソルバへの通信のために、前記単一の集約安全メッセージから前記複数の安全メッセージを回復するように構成され、
    前記第1の組の1つ以上のプロセス制御装置および前記第2の組の1つ以上のプロセス制御装置は、1つ以上の物理的機能を遂行し、それによって前記長距離プロセスプラントで実行される工業プロセスを制御する、方法。
  12. 前記複数の安全メッセージを前記単一の集約安全メッセージに結合することは、
    前記単一の集約安全メッセージの送信予定時刻、
    前記複数の安全メッセージに含まれる少なくとも1つの安全メッセージによって示された1つ以上の安全状態、
    閾値比較器の出力であって、前記閾値論理比較器は、前記複数の安全メッセージに含まれる第1の1つ以上の安全メッセージを示す第1の組の信号に適用され、前記閾値比較器は前記安全データ集約器に含まれる第1の内部論理ソルバである、出力、
    投票評価器の出力であって、前記投票評価器は、前記複数の安全メッセージに含まれる第2の1つ以上の安全メッセージを示す第2の組の信号に適用され、前記投票評価器は前記安全データ集約器に含まれる第2の内部論理ソルバである、出力、
    前記安全データ集約器に含まれ、前記複数の安全メッセージに含まれる第3の1つ以上の安全メッセージを示す第3の組の信号に対して動作する1つ以上の他の内部論理ソルバのそれぞれの出力、
    前記複数の安全メッセージ中の特定の安全メッセージの有無、または
    前記複数の安全メッセージに含まれる少なくとも1つの安全メッセージの内容、のうちの少なくとも1つに基づいて、前記複数の安全メッセージを前記単一の集約安全メッセージに結合することを含む、請求項11に記載の方法。
  13. 前記単一の集約安全メッセージを送信することは、
    前記単一の集約安全メッセージの送信予定時刻、
    前記複数の安全メッセージ中の少なくとも1つによって示された1つ以上の安全状態、
    閾値比較器の出力であって、前記閾値論理比較器は、前記複数の安全メッセージに含まれる第1の1つ以上の安全メッセージを示す第1の組の信号に適用され、前記閾値比較器は前記安全データ集約器に含まれる第1の内部論理ソルバである、出力、
    投票評価器の出力であって、前記投票評価器は、前記複数の安全メッセージに含まれる第2の1つ以上の安全メッセージを示す第2の組の信号に適用され、前記投票評価器は前記安全データ集約器に含まれる第2の内部論理ソルバである、出力、
    前記安全データ集約器に含まれ、前記複数の安全メッセージに含まれる第3の1つ以上の安全メッセージを示す第3の組の信号に対して動作する1つ以上の他の内部論理ソルバのそれぞれの出力、
    前記複数の安全メッセージ中の特定の安全メッセージの有無、または
    前記複数の安全メッセージに含まれる少なくとも1つの安全メッセージの内容、のうちの1つ以上に基づいて、前記単一の集約安全メッセージを送信することをさらに含む、請求項11に記載の方法。
  14. 前記複数の安全メッセージを前記単一の集約安全メッセージに結合することは、前記第1の組の1つ以上の安全論理ソルバのうちの1つの特定の安全論理ソルバによって生成された複数の安全メッセージを前記単一の集約安全メッセージに結合することをさらに含む、請求項11に記載の方法。
  15. 前記複数の安全メッセージを前記単一の集約安全メッセージに結合することは、前記第1の組の1つ以上の安全論理ソルバに含まれる複数の論理ソルバによって生成された安全メッセージを前記単一の集約安全メッセージに結合することをさらに含む、請求項11に記載の方法。
  16. 前記複数の安全メッセージを前記単一の集約安全メッセージに結合することは、複数の異なる種類の安全メッセージを前記単一の集約安全メッセージに結合することをさらに含む、請求項11に記載の方法。
  17. 前記安全計装システムの2つ以上の部分間の第2のリンクを介して他の安全メッセージを送信することをさらに含み、
    前記長距離リンクは、前記第2のリンクの帯域幅よりも小さい帯域幅を有し、前記安全計装システムの前記第1の部分と前記安全計装システムの前記第2の部分との間の地理的距離は、前記第2のリンクによってサポートされている前記安全計装システムの任意の2つの部分間の地理的距離よりも長い、請求項11に記載の方法。
  18. 前記長距離リンクを介して前記単一の集約安全メッセージを前記安全データ集約解除器に送信することは、
    前記単一の集約安全メッセージを、光ファイバリンク、海底ケーブル、長距離無線リンク、有線通信リンク上にオーバーレイされているかもしくはそれによってサポートされている通信リンク、または高帯域幅のリンクに含まれる低帯域幅の仮想リンクを介して前記安全データ集約解除器に送信することを含む、請求項11に記載の方法。
  19. 前記安全データ集約解除器は特定の安全データ集約解除器であり、
    前記長距離リンクは特定の長距離リンクであり、
    前記方法は、前記安全データ集約器によって、複数の長距離リンクを介して、前記単一の集約安全メッセージを、複数の安全データ集約解除器に送信することをさらに含み、前記複数の安全データ集約解除器は前記特定の安全データ集約解除器を含み、前記複数の長距離リンクは前記特定の長距離リンクを含む、請求項12に記載の方法。
  20. 前記単一の集約安全メッセージは特定の集約安全メッセージであり、前記方法は、前記安全データ集約器によって、前記長距離リンクを介して、複数の集約安全メッセージを前記安全データ集約解除器に送信することをさらに含み、前記複数の集約安全メッセージは前記特定の集約安全メッセージを含む、請求項12に記載の方法。
  21. 前記単一の集約安全メッセージは特定の単一の集約安全メッセージであり、
    前記安全データ集約解除器は特定の安全データ集約解除器であり、
    前記長距離リンクは特定の長距離リンクであり、
    前記方法は、前記安全データ集約器によって、複数の長距離リンクを介して、複数の集約安全メッセージを複数の安全データ集約解除器に送信することをさらに含み、前記複数の集約安全メッセージは前記特定の集約安全メッセージを含み、前記複数の安全データ集約解除器は前記特定の安全データ集約解除器を含み、前記複数の長距離リンクは前記特定の長距離リンクを含む、請求項12に記載の方法。
  22. 長距離プロセスプラントのプロセス制御システムにサービスを提供する安全計装システムにおいて使用するための方法であって、
    安全データ集約解除器によって、前記安全計装システムの第1の部分からの長距離リンクを介して、前記安全計装システムの前記第1の部分内に配置され、前記プロセス制御システムの第1の組の1つ以上のプロセス制御装置と動作可能に通信する第1の組の1つ以上の安全論理ソルバに通信可能に接続された安全データ集約器によって送信された単一の集約安全メッセージを受信することであって、
    前記安全データ集約器は、前記第1の組の1つ以上の安全論理ソルバによって生成された複数の安全メッセージを前記単一の集約安全メッセージに結合するように構成され、前記単一の集約安全メッセージは前記複数の安全メッセージの個々の長さの合計よりも短い全長を有し、
    前記安全データ集約解除器は、前記安全システムの第2の部分内に配置され、前記プロセス制御システムの第2の組の1つ以上のプロセス制御装置と動作可能に通信する第2の組の1つ以上の安全論理ソルバに通信可能に接続され、
    前記第1の組の1つ以上のプロセス制御装置および前記第2の組の1つ以上のプロセス制御装置は、1つ以上の物理的機能を遂行し、それによって前記長距離プロセスプラントで実行される工業プロセスを制御する、受信することと、
    前記安全データ集約解除器によって、前記単一の集約安全メッセージから前記複数の安全メッセージを回復することと、
    前記回復された複数の安全メッセージを前記第2の組の1つ以上の安全論理ソルバに通信することと、を含む、方法。
  23. 前記複数の安全メッセージは、
    前記単一の集約安全メッセージの送信予定時刻、
    前記複数の安全メッセージに示された1つ以上の安全状態、
    閾値比較器の出力であって、前記閾値論理比較器は、前記複数の安全メッセージに含まれる第1の1つ以上の安全メッセージを示す第1の組の信号に適用され、前記閾値比較器は前記安全データ集約器に含まれる第1の内部論理ソルバである、出力、
    投票評価器の出力であって、前記投票評価器は、前記複数の安全メッセージに含まれる第2の1つ以上の安全メッセージを示す第2の組の信号に適用され、前記投票評価器は前記安全データ集約器に含まれる第2の内部論理ソルバである、出力、
    前記安全データ集約器に含まれ、前記複数の安全メッセージに含まれる第3の1つ以上の安全メッセージを示す第3の組の信号に対して動作する1つ以上の他の内部論理ソルバのそれぞれの出力、
    前記複数の安全メッセージ中の特定の安全メッセージの有無、または
    前記複数の安全メッセージに含まれる少なくとも1つの安全メッセージの内容、のうちの少なくとも1つに基づいて、前記安全データ集約器によって結合されたかまたは送信されたかの少なくとも1つであった、請求項22に記載の方法。
  24. 前記安全計装システムの2つ以上の部分間の第2のリンクを介して送信された安全メッ
    セージを受信することをさらに含み、
    前記長距離リンクは、前記第2のリンクの帯域幅よりも小さい帯域幅を有し、前記安全計装システムの前記第1の部分と前記安全計装システムの前記第2の部分との間の地理的距離は、前記第2のリンクによってサポートされている前記安全計装システムの任意の2つの部分間の地理的距離よりも長い、請求項22に記載の方法。
  25. 前記安全計装システムの前記第1の部分からの前記長距離リンクを介して安全データ集約器によって送信された前記単一の集約安全メッセージを受信することは、
    光ファイバリンク、海底ケーブル、長距離無線リンク、有線通信リンクにオーバーレイされているかもしくはそれによってサポートされている通信リンク、または高帯域幅のリンクに含まれる低帯域幅の仮想リンクを介して前記安全データ集約器によって送信された前記単一の集約安全メッセージを受信することを含む、請求項22に記載の方法。
  26. 前記回復された複数の安全メッセージを前記第2の組の1つ以上の安全論理ソルバに通信することは、
    前記回復された複数の安全メッセージに示された1つ以上の安全状態、
    閾値論理比較器の出力であって、前記閾値論理比較器は、第1の1つ以上の回復された安全メッセージを示す第1の組の信号に適用され、前記閾値論理比較器は、前記安全データ集約解除器に含まれる第1の内部論理ソルバである、出力、
    投票論理比較器の出力であって、前記投票論理比較器は、第2の1つ以上の回復された安全メッセージを示す第2の組の信号に適用され、前記投票論理比較器は、前記安全データ集約解除器に含まれる第2の内部論理ソルバである、出力、
    前記安全データ集約解除器に含まれ、第3の1つ以上の回復された安全メッセージを示す第3の組の信号に対して動作する1つ以上の他の内部論理ソルバのそれぞれの出力、
    前記回復された複数の安全メッセージ中の特定の安全メッセージの有無、または
    少なくとも1つの回復された安全メッセージの内容、のうちの1つ以上に基づいて、前記回復された複数の安全メッセージの1つ以上を通信することを含む、請求項22に記載の方法。
  27. 前記長距離リンクは、前記安全計装システムの前記第1の部分と前記安全計装システムの前記第2の部分とを通信可能に接続する複数の長距離リンクに含まれる特定の長距離リンクであり、
    前記方法は、
    前記安全計装システムの前記第1の部分内に配置された1つ以上の追加の安全データ集約器によって送信された1つ以上の追加の集約安全メッセージを、前記複数の長距離リンクを介して受信することと、
    前記1つ以上の追加の集約安全メッセージの各々からそれぞれの複数の安全メッセージを回復することと、
    前記回復された安全メッセージの少なくともいくつかを前記第2の組の1つ以上の安全論理ソルバに通信することと、をさらに含む、請求項22に記載の方法。
  28. 閾値論理比較器の出力であって、前記閾値論理比較器は、前記1つ以上の追加の集約安全メッセージに対応する第1の組の信号に適用され、前記閾値論理比較器は、前記安全データ集約解除器に含まれる第1の内部論理ソルバである、出力、
    投票論理評価器の出力であって、前記投票論理評価器は、前記1つ以上の追加の集約安全メッセージに対応する第2の組の信号に適用され、前記投票論理評価器は、前記安全データ集約解除器に含まれる第2の内部論理ソルバである、出力、または
    前記安全データ集約解除器に含まれ、前記1つ以上の追加の集約安全メッセージに対応する第3の組の信号に対して動作する1つ以上の他の内部論理ソルバのそれぞれの出力、のうちの1つ以上に基づいて、前記第2の組の1つ以上の安全論理ソルバに通信されるべ
    き前記回復された安全メッセージの前記少なくともいくつかを決定することをさらに含む、請求項22に記載の方法。
  29. 前記閾値論理比較器の前記出力、前記投票論理評価器の前記出力、または前記安全データ集約解除器の前記1つ以上の他の内部論理ソルバの前記それぞれの出力、のうちの1つ以上に基づいて追加の安全メッセージを生成することと、
    前記追加の安全メッセージを、前記安全計装システムの前記第2の部分内に配置された1つ以上の受信側安全論理ソルバに通信することと、をさらに含む、請求項28に記載の方法。
JP2019052882A 2018-03-20 2019-03-20 長距離安全システムトリップ Pending JP2019192222A (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US15/926,665 US10663929B2 (en) 2018-03-20 2018-03-20 Long-haul safety system trips
US15/926,665 2018-03-20

Publications (2)

Publication Number Publication Date
JP2019192222A true JP2019192222A (ja) 2019-10-31
JP2019192222A5 JP2019192222A5 (ja) 2022-03-24

Family

ID=66380956

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019052882A Pending JP2019192222A (ja) 2018-03-20 2019-03-20 長距離安全システムトリップ

Country Status (5)

Country Link
US (1) US10663929B2 (ja)
JP (1) JP2019192222A (ja)
CN (1) CN110308703A (ja)
DE (1) DE102019106956A1 (ja)
GB (1) GB2574090B (ja)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11490397B2 (en) * 2018-12-12 2022-11-01 Apple Inc. Power saving for pedestrian user equipment in vehicular communications systems
US11172041B2 (en) * 2019-08-20 2021-11-09 Cisco Technology, Inc. Communication proxy for devices in mobile edge computing networks
US11924903B2 (en) 2020-10-06 2024-03-05 Saudi Arabian Oil Company Prevention of collateral process safety risks utilizing highly reliable communication through cloud IoT
US12007747B2 (en) * 2021-06-16 2024-06-11 Fisher-Rosemount Systems, Inc. Software defined process control system and methods for industrial process plants
US11665516B2 (en) * 2021-07-02 2023-05-30 Ettifos Co. Method and apparatus for relaying or receiving message
FR3130479A1 (fr) * 2021-12-15 2023-06-16 Sagemcom Energy & Telecom Sas PROCEDE et DISPOSITIF DE NOTIFICATION D’UNE COUPURE D’ELECTRICITE

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5311562A (en) * 1992-12-01 1994-05-10 Westinghouse Electric Corp. Plant maintenance with predictive diagnostics
JP2002202809A (ja) * 2000-12-28 2002-07-19 Toshiba Corp プラントシミュレーション装置並びにその作動を制御する制御プログラムを記録した記録媒体
JP2004213419A (ja) * 2003-01-06 2004-07-29 Mitsubishi Electric Corp 遠隔プラント監視システムおよび遠隔プラント監視方法
JP2005501323A (ja) * 2001-08-21 2005-01-13 ローズマウント アナリティカル, インコーポレイテッド プロセス制御システムのための共有利用方式によるデータ処理
JP2008102924A (ja) * 2006-09-29 2008-05-01 Fisher Rosemount Syst Inc 既存のプロセス制御システムに無線データをマージするための機器および方法
JP2008539679A (ja) * 2005-04-27 2008-11-13 レッド スカイ システムズ,インコーポレイテッド 複数のケーブルステーションおよび複数の伝送セグメントを備えている海底光伝送システムのためのcotdr配置
JP2011100443A (ja) * 2009-09-24 2011-05-19 Fisher-Rosemount Systems Inc プロセス制御システムのための一体型統合脅威管理
JP2014109857A (ja) * 2012-11-30 2014-06-12 So System Service Co Ltd 計装システム

Family Cites Families (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6999824B2 (en) * 1997-08-21 2006-02-14 Fieldbus Foundation System and method for implementing safety instrumented systems in a fieldbus architecture
GB2398214B (en) * 1999-10-15 2004-09-22 Fisher Rosemount Systems Inc Deferred acknowledgement communications and alarm management
US7839890B1 (en) * 2000-11-02 2010-11-23 Fisher-Rosemount Systems, Inc. Multiplexed data transmissions through a communication link
US7289861B2 (en) 2003-01-28 2007-10-30 Fisher-Rosemount Systems, Inc. Process control system with an embedded safety system
US7953842B2 (en) * 2003-02-19 2011-05-31 Fisher-Rosemount Systems, Inc. Open network-based data acquisition, aggregation and optimization for use with process control systems
DE102005010820C5 (de) * 2005-03-07 2014-06-26 Phoenix Contact Gmbh & Co. Kg Kopplung von sicheren Feldbussystemen
US8676357B2 (en) * 2005-12-20 2014-03-18 Fieldbus Foundation System and method for implementing an extended safety instrumented system
US7869889B2 (en) * 2008-07-02 2011-01-11 Saudi Arabian Oil Company Distributed and adaptive smart logic with multi-communication apparatus for reliable safety system shutdown
US8285402B2 (en) * 2008-07-14 2012-10-09 Ge Intelligent Platforms, Inc. Method and system for safety monitored terminal block
CN102209982B (zh) * 2008-09-30 2013-11-20 沙特阿拉伯石油公司 用于在控制和安全系统之间的改进协作的系统和方法
EP2595018B1 (en) * 2011-11-17 2019-01-23 Rockwell Automation Limited Method and apparatus for analogue output current control
GB201208019D0 (en) * 2012-05-08 2012-06-20 Kitchener Renato Active physical layer diagnostic system
US10649424B2 (en) * 2013-03-04 2020-05-12 Fisher-Rosemount Systems, Inc. Distributed industrial performance monitoring and analytics
JP6225244B2 (ja) * 2013-03-12 2017-11-01 サウジ アラビアン オイル カンパニー 油田処理制御システム
CN104076762B (zh) * 2013-03-14 2018-12-18 费希尔控制国际公司 用于监控电动阀定位器的电机电流的方法和装置
US20170147427A1 (en) * 2015-11-23 2017-05-25 Honeywell International, Inc. System and method for software simulation for testing a safety manager platform
JP6693114B2 (ja) * 2015-12-15 2020-05-13 横河電機株式会社 制御装置及び統合生産システム
JP6759572B2 (ja) * 2015-12-15 2020-09-23 横河電機株式会社 統合生産システム
US10375162B2 (en) * 2016-07-22 2019-08-06 Fisher-Rosemount Systems, Inc. Process control communication architecture
US10255797B1 (en) * 2018-01-24 2019-04-09 Saudi Arabian Oil Company Integrated alarm management system (ALMS) KPIs with plant information system

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5311562A (en) * 1992-12-01 1994-05-10 Westinghouse Electric Corp. Plant maintenance with predictive diagnostics
JP2002202809A (ja) * 2000-12-28 2002-07-19 Toshiba Corp プラントシミュレーション装置並びにその作動を制御する制御プログラムを記録した記録媒体
JP2005501323A (ja) * 2001-08-21 2005-01-13 ローズマウント アナリティカル, インコーポレイテッド プロセス制御システムのための共有利用方式によるデータ処理
JP2004213419A (ja) * 2003-01-06 2004-07-29 Mitsubishi Electric Corp 遠隔プラント監視システムおよび遠隔プラント監視方法
JP2008539679A (ja) * 2005-04-27 2008-11-13 レッド スカイ システムズ,インコーポレイテッド 複数のケーブルステーションおよび複数の伝送セグメントを備えている海底光伝送システムのためのcotdr配置
JP2008102924A (ja) * 2006-09-29 2008-05-01 Fisher Rosemount Syst Inc 既存のプロセス制御システムに無線データをマージするための機器および方法
JP2011100443A (ja) * 2009-09-24 2011-05-19 Fisher-Rosemount Systems Inc プロセス制御システムのための一体型統合脅威管理
JP2014109857A (ja) * 2012-11-30 2014-06-12 So System Service Co Ltd 計装システム

Also Published As

Publication number Publication date
CN110308703A (zh) 2019-10-08
GB201903701D0 (en) 2019-05-01
GB2574090B (en) 2023-02-08
US10663929B2 (en) 2020-05-26
GB2574090A (en) 2019-11-27
DE102019106956A1 (de) 2019-09-26
US20190294124A1 (en) 2019-09-26

Similar Documents

Publication Publication Date Title
JP2019192222A (ja) 長距離安全システムトリップ
EP3211289B1 (en) Communication/control system for a hydrogen refuelling system
JP6225244B2 (ja) 油田処理制御システム
US9705305B2 (en) Resilient communication for an electric power delivery system
FR3027477A1 (fr) Commutateur de transmission de donnees entre reseaux heterogenes pour aeronef
CN102668321A (zh) 扩展的能量自动化系统
JP2019192222A5 (ja)
CN105429803A (zh) 基于故障区域差分逼近推理的二次虚回路故障定位方法
JP7227170B2 (ja) 危険なサイトに設置された、炭化水素の輸送のためのパイプラインのセクションまたはコンポーネントのための監視システム
WO2023091357A1 (en) Detection of abnormal events
CN101785256B (zh) 通信网络的保护机制
US6694271B1 (en) Integrated circuit breaker protection software
CN108259600A (zh) 基于天通一号卫星通信的智能船舶检测系统及方法
CN105608867A (zh) 一种基于北斗卫星的信息采集监控方法
CN112947321A (zh) 使用高速通信的现场设备
CN107959586B (zh) 一种基于云平台的船端集成导航系统网络架构
JP6580312B2 (ja) 二重化監視制御システム
GB2459488A (en) Wired communication with acoustic communication backup
CN202306289U (zh) 钻井平台信息集成处理系统
CN109361605A (zh) 一种传输网系统的双ip部署的业务保护方法及系统
KR20210034887A (ko) 스마트 팩토리 모니터링 및 제어 시스템
CN105528679A (zh) 一种电力系统故障诊断的方法
JP6058275B2 (ja) プラント遠隔監視操作システム
KR101060006B1 (ko) 운항 제어 시스템 및 방법
Assante et al. IoT, Automation, Autonomy, and Megacities in 2025: A Dark Preview

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220315

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20220315

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20230322

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20230322

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20230622

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20230704

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20231004

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20231204

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20231219