JP4557588B2 - プロセス制御システムにおける動作オーバライドおよびメンテナンスオーバライドを有する採決ロジックブロック - Google Patents

プロセス制御システムにおける動作オーバライドおよびメンテナンスオーバライドを有する採決ロジックブロック Download PDF

Info

Publication number
JP4557588B2
JP4557588B2 JP2004112381A JP2004112381A JP4557588B2 JP 4557588 B2 JP4557588 B2 JP 4557588B2 JP 2004112381 A JP2004112381 A JP 2004112381A JP 2004112381 A JP2004112381 A JP 2004112381A JP 4557588 B2 JP4557588 B2 JP 4557588B2
Authority
JP
Japan
Prior art keywords
trip
signal
block
input
voting logic
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
JP2004112381A
Other languages
English (en)
Other versions
JP2004310779A (ja
Inventor
マイケル ジー. オット,
ゲリー ロウ,
デニス スティーブンソン,
ロバート ハヴコスト,
ゴドフレイ シェリフ,
Original Assignee
フィッシャー−ローズマウント システムズ, インコーポレイテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by フィッシャー−ローズマウント システムズ, インコーポレイテッド filed Critical フィッシャー−ローズマウント システムズ, インコーポレイテッド
Publication of JP2004310779A publication Critical patent/JP2004310779A/ja
Application granted granted Critical
Publication of JP4557588B2 publication Critical patent/JP4557588B2/ja
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • G05B9/03Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B23/00Testing or monitoring of control systems or parts thereof
    • G05B23/02Electric testing or monitoring
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric

Description

本発明は、一般的に、プロセスプラントにおいて利用されるプロセス制御システムおよびプロセス安全システムに関するものであり、さらに詳細には、動作オーバライド機能およびメンテナンスオーバライド機能を有する採決ロジックブロックを備えるシステムに関するものである。
化学プロセス、石油プロセス、または他のプロセスにおいて利用されるプロセス制御システムは、一般的に、アナログバスもしくはアナログ回線、デジタルバスもしくはデジタル回線、またはアナログとデジタルとを組み合わせたバスもしくは回線を介して、少なくとも一つのホストワークステーションもしくはオペレータワークステーションと、一または複数のフィールドデバイスとに通信可能に接続されている一または複数のプロセスコントローラを備えている。これらのフィールドデバイスには、たとえば、バルブポジショナ、スイッチ、センサ(たとえば、温度センサ、圧力センサ、および流量センサ)などが含まれ、バルブの開閉およびプロセスパラメータの測定の如きプロセスプラント内の機能を実行する。プロセスコントローラは、フィールドデバイスにより計測されたプロセス測定値および/またはそれらのフィールドデバイスに関する他の情報を表す信号を受信し、この情報を用いて制御ルーチンを実行し、次いで、制御信号を生成する。この制御信号は、バルブの開閉などの如きプロセス動作を制御すべく上記のバスまたは回線を介してフィールドデバイスに送信される。フィールドデバイスおよび制御装置からの情報は、通常、オペレータワークステーションにより実行される一または複数のアプリケーションに利用することができるようになっており、これにより、オペレータは、プロセスの設定、プロセスの現在の状況の閲覧、プロセス動作の修正などの如き、プロセスに対する所望の機能を実行することができる。
さらに、プロセスプラント内で重要な安全に関連する問題を検出し、そのプラント内で有毒薬品の流出、爆発などの如き深刻な事故になるまたは引き起こすおそれのある問題が発生した場合に、バルブの閉鎖、デバイスの電力の停止、プラント内のフローの切換えなどを自動的に行う個別の安全システムがほとんどのプロセスにおいて設けられている。これらの安全システムは、通常、標準プロセス制御コントローラ以外に、ロジックソルバと呼ばれる一または複数の個別のコントローラを備えている。これらのロジックソルバは、プロセスプラント内に設けられている別々のバスまたは通信回線を介して安全フィールドデバイスに接続されている。ロジックソルバは、安全フィールドデバイスを用いて、特定の安全スイッチまたは遮断バルブの位置、プロセス内のオーバフローまたはアンダーフロー、重要な電力発生デバイスまたは電力制御デバイスの動作、不良検出デバイスの動作などの如き、重要なイベントに関連するプロセス状態を検出することにより、プロセスプラント内の「イベント」を検出する。イベントが検出された場合、安全コントローラは、バルブの閉鎖、デバイスの停止、プラント内領域の電力停止などの如き、そのイベントの有害性を制限するなんらかのアクションを取る。一般的に、これらのアクションには、プロセスプラント内で深刻なまたは有害な状態を防止するように設計されたトリップモード運転または「安全」モード運転に安全デバイスを切換えることが含まれる。
安全のさらなる完全性またはプロセス変数の測定のさらなる有効性を実現するために、トランスミッタおよびスイッチの如き冗長入力デバイスを用いてシステム内のイベントを検出することが安全計装システムにおいて一般的な方法である。そのようなシステムでは、冗長入力に基づいてプロセス状態が容認可能であるか危険であるかを判定するために停止ロジックに採決ロジック機能を設けることが必要になることもある。そのような採決ロジックは、イベント状態が発生したか否かを判定するために入力の過半数を判定するのみでよいことが一般的なのでかなり単純なものであるが、これらの採決システムは効果的なオーバライドを備えていない。しかしながら、両方の安全システムにおいて、また、ある種のプロセス制御システムにおいて、たとえばプロセス制御システムのスタートアップ中のシステムの停止動作を防ぐため、メンテナンス作業員による入力デバイスのうちの一または複数のメンテナンス作業を可能にするため、選択されたプロセス条件を一時的に無視するためなどに、採決機能の出力をオーバライドできることが望ましいことが多い。
従来は、コンフィギュレーションエンジニアまたは安全エンジニアは、さまざまなプログラミング言語を用いて安全システムコントローラに採決ロジックを手動でプログラミングしたこともあったが、困ったことに、このプログラミングステップは、単調であり、多大な時間を必要とし、エラーを伴う。このエラーは、安全システムが正しく動作するのに失敗すると、プラント作業員に重傷のけが人がでるだけでなく死者が発生する可能性さえあり、また、プラント内の何百万ドルもするであろう装置および材料が損傷する可能性もあるので重大な問題である。一般的に、公知の採決ロジック機能に統合することが困難な有益な機能の一部として、採決ロジックシステムへの入力を選択するメンテナンスバイパス、スターアップバイパス、スタートアップ遅延機能および/またはトリップ遅延機能などが挙げられる。
プロセスプラント内の安全システムは、機能ブロックダイアグラムプログラミング環境に容易に統合しうる一または複数の機能ブロックを用いて、さまざまなメンテナンスオーバライド機能およびメンテナンスバイパス機能とともにユーザにより規定される採決ロジックを実現する。そのような採決機能ブロックは、作成、使用、試験、デバッグ、および文書化が容易であり、関連入力がプロセスプラント内の条件を示す指定リミットに到達したか否かを検出する一または複数の入力リミット検出ユニットと、採決機能においてその入力の検討をオーバライドするようにユーザにより設定されうる入力バイパスユニットと、有効な入力の値に基づいてトリップ状態が存在するか否かを決定する採決機能ロジックエンティティと、たとえばスタートアップ状態または他の動作状態の間、採決ロジックブロックの出力をオーバライドすべく用いられうる禁止ブロックとを備えている。この採決機能ブロックは、採決ロジックをより大規模なプロセス制御または安全システム戦略の一部として実現するために、アナログまたはデジタル入力機能ブロック、アナログまたはデジタル出力機能ブロック、制御機能ブロック、原因・結果ロジックを実行する原因・結果機能ブロックなどの如き他の機能ブロックに通信可能に接続されうる。一つのケースでは、冗長測定デバイスまたはセンサデバイスにより行われた、あるプロセス変数の複数の測定値に基づいてプロセス安全システム内のイベント存在を検出するために採決機能ブロックが用いられうる。
本明細書で記載の採決機能ブロックは、その基本形態においては、分析される入力数、利用される採決ロジックのタイプ、その採決機能ブロックの所望の動作を定義すべく用いられるオーバライド機能またはバイパス機能の表示体を供給することをコンフィギュレーションエンジニアまたは安全エンジニアに要求するのみなので、作成することが容易である。また、この採決機能ブロックは、機能ブロックロジックを用いるコントローラまたはロジックソルバへの統合が容易である。というのは、この採決機能ブロックは、その他の機能ブロックと同様の方法で、すなわち、その採決機能ブロックの入力および出力を制御戦略内の他の機能ブロックまたはエレメントに相互接続することにより統合されうるからである。その結果、この採決機能ブロックは、また、文書化、試験、およびデバッグも容易である。さらに、この採決機能ブロックは、実行中、メンテナンス手順中、およびスタートアップ手順中に用いられるオーバライド機能またはバイパス機能の如き、安全システムにおいて通常は提供されないさらなる機能を提供しうる。
図1を参照すると、プロセスプラント10は、(破線により示されている)安全システム14と統合されているプロセス制御システム12を備えている。安全システム14は、一般的に、プロセスプラント10の適切な安全運転を最大限まで実現させるためにプロセス制御システム12により提供される制御を監視・オーバライドする安全計装システム(SIS)として動作する。またプロセスプラント10は、プロセス制御オペレータ、保守作業員、安全エンジニアなどの如きプラント作業員によりアクセス可能な、一または複数のホストワークステーション、コンピュータ、またはユーザインターフェイス16(いかなるタイプのパーソナルコンピュータ、ワークステーション、PDAなどでもよい)を備えている。図1に例示されている一例では、二つのユーザインターフェイス16が、共通の通信回線または通信バス22を介して、二つの別のプロセス制御/安全制御ノード18、20と、一つのコンフィギュレーションデータベース21とに接続されているものとして例示されている。通信ネットワーク22は、任意の所望のバスをベースにしたハードウェアまたはバス以外のものをベースにしたハードウェアを用いて、任意の所望のハードワイヤード通信構造または無線通信構造を用いて、また任意の所望のまたは適切なイーサネットの如き通信プロトコルを用いて実現されうる。
一般的にいえば、プロセスプラント10のノード18、20の各々はプロセス制御システムデバイスおよび安全システムデバイスの両方を備えており、これらのシステムデバイスは、さまざまなデバイスが取り付けられているバックプレーンに設けられうるバス構造を介して相互に接続されている。ノード18は、(一対の冗長コントローラでありうる)プロセスコントローラ24と、一または複数のプロセス制御システム入力/出力(I/O)デバイス28、30、32とを備えているものとして図1に例示されており、その一方、ノード20は、(一対の冗長コントローラでありうる)プロセスコントローラ26と、一または複数のプロセス制御システムI/Oデバイス34、36とを備えているものとして例示されている。プロセス制御システムI/Oデバイス28、30、32、34、36の各々は、フィールドデバイス40、42として図1に例示されている一組のプロセス制御関連フィールドデバイスに通信可能に接続されている。プロセスコントローラ24、26、I/Oデバイス28〜36、およびコントローラフィールドデバイス40、42により、概して、図1のプロセス制御システム12が形成されている。
同様に、ノード18は一または複数の安全システムロジックソルバ50、52を備えており、ノード20は安全システムロジックソルバ54、56を備えている。ロジックソルバ50〜56の各々は、プロセッサ57を備えているI/Oデバイスであり、このI/Oデバイスは、メモリ79に格納された安全ロジックモジュール58を実行し、制御信号を送信するためにおよび/または信号を受信するために、安全システムフィールドデバイス60、62に通信可能に接続されている。さらに、ノード18、20の各々は、メッセージ伝送デバイス(MPD)70、72を備えうる。このメッセージ伝送デバイスは、リング型バス接続部74を介して相互に通信可能に接続されている(図1にはその一部のみが例示されている)。安全ロジックソルバ50〜56、安全システムフィールドデバイス60、62、MPD70、72、およびバス74により、概して、図1の安全システム14が形成されている。
ほんの一例ではあるが、プロセスコントローラ24、26は、エマソンプロセスマネージメント社により販売されているDeltaV(登録商標)コントローラまたはその他の所望のタイプのプロセスコントローラでありうる。このプロセスコントローラ24、26は、(コントローラ24に対する)I/Oデバイス28、30、32、(コントローラ26に対する)I/Oデバイス34、36、およびフィールドデバイス40、42を用いて、(制御モジュールと呼ばれるモジュールを利用して、)プロセス制御機能を提供するようにプログラムされている。具体的にいえば、コントローラ24、26の各々は、プロセス10または該プロセス10の一部を任意の所望の方法で制御するために、そのコントローラの内部に格納されているかまたはそのコントローラと関連付けされている一または複数のプロセス制御ルーチンを実行または監視し、フィールドデバイス40、42およびワークステーション14と通信する。フィールドデバイス40、42は、センサ、バルブ、トランスミッタ、ポジショナなどの如きいかなる所望のタイプのフィールドデバイスでもよく、いかなる所望のオープン通信プロトコルもしくはプログラミングプロトコル、所有権を主張できる通信プロトコルもしくはプログラミングプロトコル、または他の通信プロトコルもしくはプログラミングプロトコルに準拠してもよい。このような通信プロトコルまたはプログラミングプロトコルには、たとえば、(フィールドデバイス40に対して例示されているような)HARTプロトコルもしくは4〜20maプロトコル、(フィールドデバイス42に対して例示されているような)FOUNDATION(登録商標)Fieldbusプロトコルの如き任意のfieldbusプロトコル、またはCANプロトコル、Profibusプロトコル、AS−Interfaceプロトコルなどが含まれる。同様に、I/Oデバイス28〜36は、任意の適切な通信プロトコルを用いる任意の公知のプロセス制御I/Oデバイスでありうる。
図1の安全ロジックソルバ50〜56はいかなる所望のタイプの安全システム制御デバイスであってもよく、プロセッサ57と、フィールドデバイス60、62を用いて安全システム14に関連する制御機能を提供するためにプロセッサ57により実行されるように構成された安全ロジックモジュール58を格納するメモリとを備えている。もちろん、安全フィールドデバイス60、62は、上述の通信プロトコルの如きいかなる公知のまたは所望の通信プロトコルに準拠するまたは用いるいかなる所望のタイプのフィールドデバイスでもよい。具体的にいえば、フィールドデバイス60、62は、安全に関連する個別かつ専用の制御システムにより慣習的に制御されるタイプの、安全に関連するフィールドデバイスであってもよい。図1に例示されているプロセスプラント10では、安全フィールドデバイス60は、HARTプロトコルまたは4〜20maプロトコルの如き専用のまたはポイント・ツー・ポイント形式の通信プロトコルに準拠するものとして例示されており、その一方、安全フィールドデバイス62は、Fieldbusプロトコルの如きバス通信プロトコルに準拠しているものとして例示されている。安全フィールドデバイス60は、遮断バルブ、遮断スイッチなどの機能の如きいかなる所望の機能を実行してもよい。
プロセス制御I/Oカード28、30、32、34、36、安全ロジックソルバ50、52、54、56、およびMPD70、72にコントローラ24、26を接続するために、(コントローラ24、26、I/Oデバイス28〜36、安全ロジックソルバ50〜56、およびMPD70、72を通る破線により示されている)共通バックプレーン86がノード18、20の各々において用いられている。また、コントローラ24、26は、I/Oデバイス28〜36、ロジックソルバ52〜56、およびMPD70、72の各々がワークステーション16のうちのいずれかとバス22を介して通信することを可能にするために、バス22に通信可能に接続され、バス22に対する調停器として動作しうる。
いうまでもなく、ワークステーション16の各々は、プロセッサ77と、該プロセッサ77により実行されるように構成された一または複数のコンフィギュレーションアプリケーションおよび/または閲覧アプリケーションを格納するメモリ78とを備えている。図1の拡大図に例示されように、コンフィギュレーションアプリケーション80および診断アプリケーション82は、ワークステーション16のうちの一方に格納されており、診断アプリケーション84は、ワークステーション16のうちの他方に格納されている。しかしながら、所望ならば、これらのまたは他のアプリケーションは、ワークステーション16のうちの異なるワークステーションにより、またはプロセスプラント10に関連する他のコンピュータにより格納・実行されてもよい。一般的にいえば、コンフィギュレーションアプリケーション80は、コンフィギュレーション情報を安全エンジニアに提供し、この安全エンジニアがプロセスプラント10の一部または全部のエレメントを設定し、コンフィギュレーションデータベース21にその設定情報を格納することを可能にする。コンフィギュレーションアプリケーション80により実行されるコンフィギュレーヨンアクティビティの一部として、安全エンジニアは、プロセスコントローラ24、26に対して制御ルーチンまたは制御モジュールを作成し、安全ロジックソルバ50〜56のうちのいずれかまたはすべてに対して安全ロジックモジュール58を作成し(安全ロジックソルバ50〜56またはコントローラ24、26の内で利用される採決機能ブロックの作成およびプログラミングを含む)、これらのさまざまな制御モジュールおよび安全モジュールを、プロセスコントローラ24、26および安全ロジックソルバ50〜56のうちの適切な装置にバス22およびコントローラ24、26を介してダウンロードしうる。同様に、他のプログラムおよびロジックを作成し、I/Oデバイス28〜36、フィールドデバイス40、42、60、62のうちのいずれかなどにダウンロードするために、コンフィギュレーションアプリケーションを用いうる。
それに対して、閲覧アプリケーション82は、プロセス制御オペレータ、安全オペレータなどの如きユーザに一または複数の表示画面を提供するために利用されうる。この表示画面は、所望ならば、別々のビューまたは同一のビュー内に、プロセス制御システム12および安全システム14の状態についての情報を有してもよい。たとえば、閲覧アプリケーション82は、アラームの表示情報を受けつけてオペレータに対して表示するアラーム表示アプリケーションでありうる。所望ならば、そのようなアラーム閲覧アプリケーションは、表題が「アラーム優先順位調整機能を有するプロセス制御システム」である米国特許番号第5,768,119号、および表題が「プロセス制御ネットワークにおける統合型アラーム表示画面」である米国特許出願番号第09/707,580号において開示されている形態を有しうる。その両方は、本特許の譲受人に譲渡されたものであり、本明細書において参照することによりここで明示的に援用されるものである。しかしながら、いうまでもなく、上記の特許のアラーム表示画面またはアラームバナーは、プロセス制御システム12および安全システム14の両方からのアラームを受信し、統合型アラーム表示画面に表示しうる。その理由は、そのアラーム表示アプリケーションを実行しているオペレータワークステーション16に両方のシステム12、14からのアラームが送信され、異なるデバイスからのアラームであるということが認識されうるからである。同様に、オペレータは、アラームバナーに表示される安全アラームに対してプロセス制御アラームと同一の方法で対処しうる。たとえば、オペレータまたはユーザは、アラーム表示画面を利用して、安全アラームに対する受信了承応答、安全アラームの停止などを行いうる。そうすることにより、バス22およびバックプレーン76上の通信を用いて、メッセージが、安全システム14内の適切なプロセスコントローラ24、26に送信され、その結果、その安全アラームに対する適切なアクションが取られる。同様に、他の診断アプリケーションは、プロセス制御システム12および安全システム14の両方からの情報またはデータを表示しうる。というのは、これらのシステムは、同一のタイプまたは種類のパラメータ、セキュリティ、および参照方法を利用しており、その結果、システム12、14のうちの一つからのいかなるデータであってもプロセス制御システムに設けられている従来型の表示画面またはビューに統合させることができるからである。
診断アプリケーション84はプラント10のプロセス制御システムおよび安全システムの内の診断プログラムまたはメンテナンスプログラムを実行するために用いられうる。そのような診断アプリケーションは、プロセス試験、バルブ試験、スタートアップ手順などの実行の如きいかなる所望のタイプの診断手順またはメンテナンス手順でも実行しうるが、診断手順により影響を受けた一または複数のデバイスからの入力に基づいて安全システムが動作することを防止するために、プロセスプラント10内で用いられている採決機能ブロック(以下で説明する)に対してオーバライドを提供してもよい。
いずれの場合であっても、アプリケーション80、82、84およびその他のアプリケーションは、プロセスコントローラ24、26の各々および安全ロジックソルバ50〜56の各々に対して別々のコンフィギュレーション信号および他の信号を送信し、それらからデータを受信しうる。これらの信号には、プロセスフィールドデバイス40、42の動作パラメータの制御に関するプロセスレベルメッセージを含みうるし、安全関連フィールドデバイス60、62の動作パラメータの制御に関する安全レベルメッセージを含みうる。プロセスレベルメッセージおよび安全レベルメッセージの両方を認識するように安全ロジックソルバ50〜56をプログラミングしうるが、その安全ロジックソルバ50〜56は、二つのタイプのメッセージを区別することが可能でも、プロセスレベルのコンフィギュレーション信号によりプログラミングまたは作動されることは可能でない。一例では、プロセス制御システムデバイスに対して送信されるプログラミングメッセージには、安全システムデバイスにより認識され、それらの信号を用いて安全システムデバイスをプログラムすることを禁止する特定のフィールドまたはアドレスが含まれうる。
所望の場合には、安全ロジックソルバ50〜56は、プロセス制御I/Oカード28〜36に用いられるハードウェアデザインおよびソフトウェアデザインと比較して同一のまたは異なるハードウェアデザインまたはソフトウェアデザインを利用してもよい。プロセス制御システム12内のデバイスと安全システム14内のデバイスとで異なる技術を利用することにより、共通の原因によるハードウェア故障またはソフトウェア故障を最小限まで減らしうるまたは排除しうる。さらに、ロジックソルバ50〜56を含む安全システムデバイスは、それにより実行される安全に関する機能に対して無許可の変更が行われる可能性を減少させるまたは排除するためにいかなる所望の分離技術およびセキュリティ技術を用いてもよい。たとえば、安全ロジックソルバ50〜56およびコンフィギュレーションアプリケーション80は、特定の権限レベルを有する人または特定のワークステーションに配置された人がロジックソルバ50〜56内の安全モジュールに変更を加えることを要求しうる。この権限レベルまたは配置はコントローラ24、26およびI/Oデバイス28〜36により実行されるプロセス制御機能に対して変更を加えるのに必要な権限レベルもしくはアクセスレベルまたは配置と異なっている。この場合、安全ソフトウェア内で指定されたまたは安全システム14に対して変更を加える権限を与えられたワークステーションに配置されている人たちのみが安全に関連する機能を変更する権限を有しており、そうすることにより、安全システム14の動作を悪化させる可能性を最小限にする。いうまでもなく、そのようなセクリティを実現するために、安全ロジックソルバ50〜56内のプロセッサは、送られてくるメッセージが正しい形式に従いかつセキュリティに問題がないことを検査し、安全ロジックソルバ50〜56内で実行される安全レベル管理モジュール58に対してなされる変更に対するゲートキーパとして動作する。
いうまでもなく、ノード18、20の各々でバックプレーン76を用いることにより、安全ロジックソルバ50、52および安全ロジックソルバ54、56は、これらのデバイスの各々により実行される安全機能を調整するため、データを相互に通信するため、または他の統合機能を実行するために、ローカルに相互に通信することができる。それに対して、MPD70、72は、プロセスプラント10のさまざまなノードにおいて調整された安全動作を実現するために、プラント10の非常にさまざまな場所に配置されている安全システム14の一部が依然として相互に通信できるように動作する。具体的にいえば、バス74によって結合されるMPD70、72により、プロセスプラント10のさまざまなノード18、20に関連付けされている安全ロジックソルバは、プロセス10内において指定優先順位に従いカスケード式に安全に関連する機能を実行可能にするために、カスケード式に相互に通信することができる。あるいは、プラント10の別々の物理的ロケーションまたはノード内の個々の安全フィールドデバイスに専用回線を取り付ける必要もなく、プロセスプラント10内の別々の場所における二つ以上の安全に関連する機能を連結または相互接続しうる。換言すれば、MPD70、72およびバス74の利用により、安全エンジニアは、安全システム14をデザイン・設定することができる。この安全システム14は、実質的にプロセスプラント10全体に亘り分散されている安全システムであって、さまざまな安全に関連するハードウェアを必要に応じて相互に通信可能にするために、相互に通信可能に接続されているさまざまなコンポーネントを備える。また、以上のような特徴により、安全ロジックソルバを追加することが必要な場合や、プロセスプラント10に新規のプロセス制御ノードが追加される場合に、さらなる安全ロジックソルバを安全システム14に追加することができるので、安全システム14にスケーラビリティを付与することができるようになる。
いうまでもなく、ロジックソルバ50〜56は、機能ブロックプログラミングパラダイムを用いて、安全デバイス60、62に対して制御アクティビティを実行するようにプログラムされてもよい。具体的にいえば、ロジックソルバ54の(メモリ79に格納されている)安全制御モジュール58aのうちの一つモジュールの拡大図で例示されているように、ロジックソルバ54に対して作成・ダウンロードされ、プロセス10の動作中に実行されうる一組の通信可能に相互接続されている機能ブロックを安全制御モジュールは備えうる。図1に示されているように、制御モジュール58aは、他の機能ブロック90と通信可能に相互に接続されている入力部を有する二つの採決機能ブロック92、94を備えている。これらの他の機能ブロック90は、たとえば、採決機能ブロック92に信号を提供するように設計されているアナログ入力(AI)機能ブロック、デジタル入力(DI)機能ブロック、または他の機能ブロックでありうる。採決機能ブロック92、94は、一または複数の他の機能ブロック91に接続されている少なくとも一つの出力部を備えている。これらの他の機能ブロック91は、アナログ出力部(AO)、デジタル出力部(DO)、原因・結果ロジックを実行する原因・結果機能ブロック、安全デバイス60、62の動作を制御するために採決機能ブロック92、94から出力信号受信しうる制御・診断機能ブロックなどでありうる。もちろん、安全制御モジュール58aは、任意の所望の機能を実行するための任意の所望のまたは有用な方法で構成された一または複数の採決機能ブロックとともに任意のタイプの機能ブロックを備えるために、いかなる所望の方法でプログラミングされてもよい。
図1の安全制御モジュール58aの拡大図は、5つのデジタル入力部を有するデジタル採決機能ブロック92と、3つのアナログ入力部を有するアナログ採決機能ブロック94とを備えているが、いうまでもなく、異なるロジックソルバ50〜56の各々に対して任意の数の異なる安全ロジックモジュール58が作成されてもその内で用いられてもよく、また、任意の所望の方法で他の機能ブロックに通信可能に接続される任意の所望の数の入力部を有する任意の数の採決機能ブロックをこれらのモジュールの各々が備えてもよい。同様に、いかなるfieldbusタイプ機能ブロックでありうる採決機能ブロック92、94またはそれに接続されるその他の機能ブロックは、たとえばFieldbusネットワーク内で用いられる場合、フィールドデバイス62の如き他のデバイス内に設けられ実行されてもよい。採決機能ブロック92、94は、安全システムの外部で用いられる場合、プロセスコントローラ24、26、I/Oデバイス28〜36、フィールドデバイス42などの内で実現されてもよい。一般的に理解されるように、採決機能ブロック92、94は、通常、安全システム14内の冗長センサまたは冗長トランスミッタにより供与される冗長入力を受信し、これらの入力に対して採決スキームを適用し、これらの入力すべてに基づいて、安全システムトリップ状態が存在するか否かを決定する。
図2は、バイパス機能およびオーバライド機能を備えた、図1の採決機能ブロック94の一例の構成要素を示しているブロック線図である。この採決機能ブロック92は、たとえばアナログ入力(AI)機能ブロック90を通じて伝送されるアナログ入力信号を処理するので、アナログ型採決機能ブロックである。一般的に、採決機能ブロック94は、IN1、IN2、およびIN3の符号が付された3つの入力部を備えており、これら3つの入力部は、図1のフィールドデバイス60、62の如き、プロセスプラント内の冗長センサまたは他の冗長エレメントから、アナログ入力信号を受信するように構成されている。入力部IN1、IN2、およびIN3の各々は、トリップリミットチェックブロック95a、95b、または95cおよびプリリミットチェックブロック96a、96b、または96cに対して設けられている。トリップリミットチェックブロック95は伝送されてくる入力を事前に設定されているリミット値と比較し、その入力信号がトリップ状態に関連付けされている数値(高値、低値、または所定の範囲内の値)に到達しているか否かを決定する。同様に、プリリミットチェックブロック96は、伝送されてくる入力を事前に設定されているプリリミット値と比較し、トリップ状態はまだ存在していないがそれに近い状態が存在していることを表すアラームまたはウォーニングに関連付けされている数値(高値、低値、または所定の範囲内の値)にその入力信号が到達しているか否かを決定する。要するに、プリリミットチェックブロック96により、危険な状態または望ましくない状態がまだ存在していないがそれに近い状態が存在していることを表すアラームまたはイベントを作成することができる。
トリップリミットチェックブロック95およびプリリミットチェックブロック96の出力(たとえば、ブロック95、96においてリミット値またはプリリミット値が到達された場合に高値に設定されるデジタル信号でありうる)は、それぞれ、一組の入力バイパス禁止ブロック98a、98b、98cのうちの一つに伝送される。入力バイパス禁止ブロック98は、入力部IN1、IN2、およびIN3のうちの一または複数に対して入力を禁止するように、すなわち、トリップ状態が存在するか否かまたはプリトリップアラーム状態が存在するか否かを決定するために採決機能ブロック94において用いられないように、これらの個々の入力部に対して入力を禁止する。入力バイパス禁止ブロック98の各々は、関連トリップリミット状態の出力をトリップ採決ロジックブロック100aに供与し、関連プリトリップリミット状態の出力をプリトリップ採決ロジックブロック100bに供与する。採決ロジックブロック100a、100bは、以下でさらに詳細に説明するように採決ロジックを実行し、供与された入力値に基づいてトリップ状態またはプリトリップ状態が存在するか否かを決定する。
トリップ採決ロジックブロック100aおよびプリトリップ採決ロジックブロック100bはそれぞれ、(上記の状態が存在すると決定された場合、)その対応するトリップ信号およびプリトリップ信号をスタートアップ禁止ブロック102に供与する。このスタートアップ禁止ブロック102は、採決機能ブロック94の動作を禁止することが望ましいたとえば始動動作もしくは他の動作の間、またはランタイム手順の間、採決機能ブロック94にトリップ信号出力またはプリトリップアラーム信号出力の提供を禁止しうる。スタートアップ禁止ブロック102は、トリップ採決ロジックブロック100aおよびスタートアップ禁止ブロックロジックの動作の結果から決定されるトリップ出力信号(Outという符号が付されている)を発生し、さらに、プリトリップ採決ロジックブロック100bおよびスタートアップ禁止ブロックロジックの動作の結果から決定されるPre_out信号を発生する。図1の安全システム14内で停止処理動作を実行するためにこのOut信号が用いられうるし、プロセスプラント10内にトリップ状態に近い状態が存在する事実を示すアラームを提供するためにPre_out信号を用いうる。もちろん、所望の場合には、他の目的でOut信号およびPre_out信号が用いられてもよい。
採決機能ブロック94は一組のパラメータを有しうる。このパラメータの一部は、図2において、そのパラメータが用いられるブロックの上側または下側に示され、採決機能ブロック94の動作を実行または規定するために採決機能ブロック94のコンフィギュレーション中に設定される。具体的にいえば、トリップリミット(Trip_Lim)パラメータおよびプリトリップリミット(Pre_Trip_Lim)パラメータを用いて、トリップリミットブロック95で用いられるトリップリミットを設定または確立し、プリリミットチェックブロック96で用いられるプリトリップリミットを設定する。トリップリミットパラメータおよびプリトリップリミットパラメータは、異なるブロック95、96の各々に対して同一であってもよく、それらのブロック95、96の各々に対して個別に設定されてもよい。同様に、トリップヒステリシス(Trip_Hys)パラメータおよびプリトリップヒステリシス(Pre_Trip_Hys)パラメータを用いて、連続するトリップの間にブロック95、96が受けるべきヒステリシスを設定する。すなわち、ブロック95、96のうちの一つが、入力信号のうちの一つがリミット値を上回っている(または、下回っている)ことを検出すると、(ブロック95に対する)トリップヒステリシスパラメータのヒステリシス値および(ブロック96に対する)プリトリップヒステリシスパラメータのヒステリシス値により、トリップ信号(または、プリトリップ信号)がオフになるまでに、または第二のトリップ信号(または、プリトリップ信号)をそのブロックにより設定できるまでに、その入力信号がどの程度下方に(または上方に)移動しなければならないかが決定される。
また、採決機能ブロック94は、Trip_Typeと呼ばれる内部トリップ型コンフィギュレーションパラメータを有しており、このパラメータは採決機能ブロック94の入力および/または出力に関連する正常状態値およびトリップ状態値を定義している。たとえば、採決機能ブロック94が、(デフォルト値でありうる)「トリップ動作不可」に設定されている場合、出力の正常動作値は1であり、そのトリップ状態値は零である。それに対して、採決機能ブロック94が、「トリップ動作可」に設定されている場合、正常動作値は零であり、トリップ状態値は1である。これらは、最初に、入力部IN1、IN2、およびIN3にそれぞれ対応しているトリップリミットチェックブロック95a、95b、95cおよびプリリミットチェックブロック96a、96b、96cにおいて判定される。トリップリミットに対する比較が、より大きい(ハイリミット)比較またはより小さい(ローリミット)比較のいずれの比較かを判断するためには検出タイプ(Detect_Type)パラメータが用いられる。入力信号が所定のリミットに達したか否かを決定するために、この比較が適切なトリップリミットチェックブロック95およびプリリミットチェックブロック96において実行される。
いうまでもなく、トリップリミットチェックブロック95は、それぞれ、入力IN1、IN2、および/またはIN3のうちの対応する一つによりトリップが示されているか否かを表す。上述のように、採決ロジックブロック100により適用される採決ロジックにおいて入力IN1、IN2、IN3が用いられるのを防止するために、個々の入力IN1、IN2、IN3に対して入力バイパス禁止ブロック98によりメンテナンスオーバライドまたはメンテナンスバイパスを適用できる。このバイパス機能は、たとえば、採決機能ブロック94に対して入力信号を提供するトランスミッタまたは他のフィールドデバイスに対してメンテナンスが行われているような場合に望ましい。複数の入力に基づいてトリップ出力を決定する採決ロジックを用いる場合、メンテナンスバイパスが常に必要といことではない。というのは、トリップへの単一の誤採決(その入力を提供しているセンサに対するメンテナンスアクティビティに起因しうる誤採決)が必ずしもトリップを引き起こすわけではないからである。しかしながら、このバイパス機能は、メンテナンスアクティビティ中の誤ったトリップを防止するために望ましい機能であり、冗長センサから一つでも
トリップ信号があればトリップを引き起こすワン・アウト・オブ・ツー採決ロジックスキームの如き特定の採決ロジックでは必要な機能である。
入力バイパス禁止ブロック98のうちの一つが入力をバイパスさせた場合、そのバイパスされた入力値がトリップリミットパラメータまたはプリトリップリミットパラメータにより規定されているリミット値を越えていたとしても、採決ロジックブロック100a、100bは、そのバイパスされた入力を用いてトリップ信号またはプリトリップアラーム信号を発生しない。バイパスを可能にするために、まず、入力のバイパスを許可するか否かを制御するバイパス許可(Bypass_Permit)パラメータを有効にすることができる。一般的にいえば、Bypass_Permitパラメータを設定または有効にした場合入力のバイパスが許可され、Bypass_Permitパラメータを設定または有効にしなかった場合入力のバイパスが許可されない。バイパス禁止ブロック98のすべてに対して、単一Bypass_Permitパラメータが適用可能であるが、バイパス禁止ブロック98a、98b、98cの各々に対して別々のバイパス許可を設定してもよい。
Bypass_Permitパラメータが設定または有効にされた場合、BYPASSxパラメータを用いてバイパス禁止ブロック98のうちの一または複数に入力IN1、IN2、IN3のうちの対応する一つの使用を禁止するように動作させうる。BYPASSxパラメータのxは入力IN1、IN2、IN3のうちのいずれの一つを無効にするかを表している。所望ならば、任意の指定時間に一を越える入力を禁止してもよく、一度に一つの入力のみを禁止することができるように採決機能ブロック94を構成してもよい。Bypass_PermitパラメータおよびBYPASSxパラメータは、いかなる所望の方法で設定または規定されてもよい。たとえば、オペレータスクリーンもしくはメンテナンススクリーン上のオペレータ表示画面ボタン、物理キースイッチ、安全モジュールへの別個の入力などにより、コンフィギュレーションアプリケーション、制御アプリケーション、表示アプリケーション、もしくは診断アプリケーションにより、またはその他の方法で設定または提供される。もちろん、採決機能ブロック94の特定の実行においてバイパス許可の利用が必要でない場合、採決機能ブロック94のコンフィギュレーションにおいてBypass_Permitパラメータのデフォルト値が有効となるように設定される。
ブロック98のうちの一つに対するバイパスが自動的に取り消される経過時間を設定するためにバイパスタイムアウト(Bypass_Timeout)が用いられうる。この場合、入力バイパス禁止ブロック98の各々は、一組のタイマー110のうちの一つとして、Bypass_Timeoutパラメータ値が設定され、バイパスの開始からカウントダウンされうるバイパスタイマーを備えうる。この状況では、入力バイパス禁止ブロック98は、BYPASSxがオフになるまで、またはバイパスタイマーが零に到達するまでそれに対応する入力の使用を禁止しうる。いうまでもなく、所定の経過時間のあとバイパスが解除されることを確実にするためにバイパスタイマーを用いうる。
所望の場合には、入力バイパス禁止ブロック98は、バイパスタイムアウトが差し迫っていることをユーザに気付かせるまたは通知するため注意喚起アラームをオペレータ、安全エンジニア、テクニシャンなどの如きユーザに対して発するように設定されてもよい。バイパスがバイパスタイムアウト時点で消滅または無効になるように設定されている場合、注意換気時間(REMINDER_TIME)パラメータを零以外のなんらかの値に設定することにより、タイムアウトに先立ってユーザまたは他のオペレータに対して注意を促す情報を送信することができる。この場合、バイパスタイマーが零以外の値であるが注意換気時間よりも小さい値でありかつバイパスされたいずれかの入力がトリップを支持している場合、バイパスタイマーの終了が差し迫っておりそれが終了すると停止機能が作動するおそれがあることを示すアラームをユーザに対して発するために注意換気アラームをアクティブな状態にすることができる。バイパスされたどの入力もトリップを支持していない場合は、そのアラームをアクティブな状態にすることは依然として可能であるが、その必要がない。しかしながら、いうまでもなく、バイパスタイムアウトアラームがアクティブな状態であっても、トリップ採決ロジックブロック100aにトリップ信号を発生させるために十分な数の他の入力がトリップを支持しているとは限らないので、必ずしもトリップが差し迫っているわけではない。
一つの実施例では、最初のバイパスがタイムアウトになるときのみバイパスタイマーを再設定しうる。しかしながら、バイパスタイマーは、タイムアウトの発生が差し迫っているという通知のあとそのバイパスタイムを延長するためにオペレータ表示ボタン(他の適切な方法)を用いてバイパスタイマーの時間を増加させることができるように、バイパスタイマーが書き込み可能な計器であってもよい。このような機能により、ユーザは、たとえば、採決機能ブロック94にバイパス済みの入力を供与しているフィールドデバイスに対してメンテナンス手順を依然として実行している場合でもバイパスタイムを延長することができる。あるいは、バイパスタイムアウト通知は、たとえば、バイパスタイマーがタイムアウトしたときにバイパスを無効にされない場合の表示目的のためのみのものであってもよい。この場合、注意換気時間パラメータが零に設定されている場合であっても、バイパスタイマーがタイムアウトしたときに注意換気アラームがアクティブになるように設定しうる。しかしながら、注意喚起時間パラメータが零以外の値である場合(、そして入力がトリップを支持する場合)には、タイムアウトまえに注意換気が依然として行われる。注意喚起アラームおよびバイパスアラームは受信了承応答が行われるアラームであってもよく受信了承応答が行われないアラームであってもよい。
採決ロジックブロック100a、100bにより実行される採決ロジックは、「M個のうちのN個」のロジック関数であることが好ましい。この関数によると、全部でN個の入力のうちのM個の入力がトリップを支持しなければならない。たとえば、採決機能ブロック94を、3個のうちの2個(2oo3)ボータとして設定することができ、このことは、採決ロジックブロック100aの出力をトリップ状態値に設定するまえに3個の入力のうちの2個の入力がトリップリミット値を充足しなければならなく、プリトリップ採決ロジックブロック100bをプリトリップラーム値に設定するまえに3個の入力のうちの2個の入力がプリトリップリミット値を充足しなければならない。「M個のうちのN個」の関数のN値は、禁止されていない入力の数から求められ、Mの値は、トリップ数(NUM_TO_TRIP)と呼ばれる該当ブロックの内部パラメータに基づいて求められる。このトリップ数のデフォルト値は、コンフィギュレーション時点において、Nに等しいまたはそれより小さい数値ならばいかなる所望の数値に設定されてもよい。共通の採決スキームには、たとえば、3個のうちの2個(2oo3)、2個のうちの1個(1oo2)、2個のうちの2個(2oo2)などが含まれる。しかしながら、他のいかなる採決ロジックを用いてもよい。ブロック94の他の機能に起因して、一個のうちの一個(1oo1)採決ロジック状況の如き単一のトランスミッタの場合の用途においても採決機能ブロック94を用いうる。
一般的にいえば、1oo2採決スキームまたは1oo1採決スキームの場合には、保守アクティビティ中に採決機能ブロック94の入力部においてトリップ状態を検出させてしまうような様態でトランスミッタのうちの一つでも動作不能状態にしてしまうと採決ロジックブロック100aにより必ずトリップ状態が引き起こされることになるため、メンテナンスバイパス機能が必要である。しかしながら、トリップに複数の採決を必要とするように設定されている採決機能ブロックの場合であっても、メンテナンス中の挙動が予測可能であるという利益をバイパス機能ブロックから受けることができる。
入力IN1、IN2、またはIN3のうちの一つをバイパスすると、採決ロジックブロック100a、100bが二つのうちの方法のうちのいずれか一つに従って動作する。トリップ状態(または、プリトリップアラーム状態)を決定するために必要な入力数を一つだけ減らしてもよいしその入力数を同じ数のまま留めてもよい。たとえば、採決ロジックブロック100aが2oo3採決ロジックブロックとして設定され、入力IN1、IN2、またはIN3のうちの一つがバイパスされた場合、その採決スキームは1oo2採決スキームになりうるし、その場合、トリップを決定するために必要な入力数が(利用可能な入力数とともに)一つだけ減らされることを意味している。選択された入力がバイパスされた場合、2oo3採決スキームは、任意選択的に、2oo2採決スキームに変更されてもよく、その場合、トリップを決定するために必要な入力数は(利用可能な入力数が一つだけ減ったのにもかかわらず)同じ数に留まることを意味する。ある入力がバイパスされた場合にトリップに必要な実際の数を一つだけ減らすべきか否かを指定するためにはバイパス選択肢パラメータが利用されうる。図3は、いくつかの異なる採決スキームに対するこの効果を例示している。図3の第一の列は、禁止された入力のない設定された通りの採決ロジックスキームを示しており、図3の第二の列は、単一の入力が禁止されかつ元のトリップ設定数Mを用いている場合の採決ロジックを例示しており、図3の第三の列は、単一の入力が禁止されかつトリップ数Mを一つだけ減らした場合の採決ロジックを例示している。もちろん、入力をさらに禁止すると、図3の第二の列および第三の列で示されている数値が上述の場合と同様に変化する。いずれの場合であっても、トリップ採決ロジックブロック100a(および、プリトリップ採決ロジックブロック100b)は、一般的に、トリップに必要な実際の入力数を一よりも小さい数に減らすことはなく、1oo1採決スキームのようにトリップ決定に利用可能な入力数が零に減った場合にはトリップを禁止する。
入力バイパス禁止ブロック98のデフォルト挙動は、一度に一つの入力のみをバイパス可能にするように構成されうる。この機能は、第二の入力のバイパスを防止する書き込みチェック機能により強化されうる。任意選択的に、複数の入力を同時にバイパスすることができる。所望ならば、BYPASSxパラメータはさらなる書き込みチェックを有してもよく、このさらなる書き込みチェックは、BYPASS_PERMITパラメータが真であること、またはBYPASSxパラメータが設定されうるまえに設定されることを必要とする。
トリップ採決ロジックブロック100aにおいてN個のうちのM個方式の採決スキームに従って採決が実行されたあと、OUT信号がトリップ状態値に変更されるまえに、設定可能な時間の中、採決されたトリップ状態がアクティブになるように、トリップ・ディレイ・オン時間パラメータTRIP_DELAY_ON(このデフォルト値は零秒に設定されてもよい)を適応しうる。同様に、トリップ状態に対する支持がクリアされたとき、すなわちトリップ採決ロジックブロック100aが送られてきた入力に基づいてトリップ状態が存在しないと決定したときにOUT信号が正常状態値に戻る時間を遅延させるためにトリップ・ディレイ・オフ時間パラメータTRIP_DELAY_OFF(このデフォルト値は零秒に設定されてもよい)を適用しうる。もちろん、トリップ・ディレイ・オン時間パラメータおよびトリップ・ディレイ・オフ時間パラメータは、異なる任意の所望の値を有しうるし、トリップ採決ロジックブロック100aにより生成されるOut信号およびプリトリップ採決ロジックブロック100bにより生成されるPre−outアラーム信号の一方または両方に対して適用されうる。所望ならば、トリップ・ディレイ・オン時間およびトリップ・ディレイ・オフ時間は、トリップ採決ロジックブロック100aおよびプリトリップ採決ロジックブロック100bに対して独立して設定されてもよく、また、タイマー110のうちの一つにより設定されてもよい。
以上のように、スタートアップ禁止ブロック102が、スタートアップオーバライド機能または他の動作オーバライド機能を供する。たとえば、スタートアップ動作状況または他の一時的動作状況において短時間Out信号を正常状態にさせておくために採決機能ブロック94の出力をオーバライドすることが必要な場合がある。たとえば、プロセスまたはそれに関連する部分が停止状態にあるので採決機能ブロック94により生成された現在有効なトリップ要求を無効にし、それにより、採決機能ブロック94の入力部で提供されているプロセス値がトリップさせる必要があることを示す値ではなくなる時点までプロセススタートアップ手順を進行させるために、上記のスタートアップ禁止機能またはオーバライド機能を用いうる。
一例では、禁止ブロック102は、スタートアップパラメータの設定により示されうるスタートアップ表示信号を受信すると、スタートアップ遅延(STARTUP_DELAY)パラメータにより定義される設定可能時間の間、禁止ブロック102が、Out信号および所望ならばPre_out信号を正常状態値にするようなデフォルト動作を含みうる。禁止ブロック102は、タイマー110のうちの一つとしてスタートアップカウントダウンタイマーを備えうる。このスタートアップカウントダウンタイマーは、スタートアップ遅延パラメータにより指定される数値に設定され、スタートアップパラメータを介してスタートアップ表示信号を受信するとカウントダウンを開始する。カウントダウンタイマーがタイムアウトになると、トリップ採決ロジックブロック100aおよびプリトリップ採決ロジックブロック100bは通常のトリップ検出を再開する。禁止ブロック102は、スタートアップタイマーが時間を減少方向に刻んでいる間、そのスタートアップ時間に対して引き続いて行われるスタートアップパラメータの設定が影響を与えないように設定されうる。任意選択的に、トリップがタイムアウトに至らずに保留されたまま残ってしまうことを回避できるように、スタートアップパラメータを新規に設定する毎にスタートアップタイマーを再設定させるようにすることが可能である。
入力バイパス禁止ブロック98と同様に、禁止ブロック102は、たとえばバイパスパラメータを設定することによりオンにされうる注意喚起機能を有しうる。この注意喚起機能は、入力バイパス(メンテナンスバイパス)に対して動作するのと実質的に同様にスタートアップバイパスに対して動作する。したがって、スタートアップタイマーが零を越える値であるが、(コンフィギュレーション時点において設定しうる)設定可能な注意喚起時間(REMINDER_TIME)パラメータ値未満であり、かつトリップに対して十分な支持が存在している場合には、注意喚起アラーム状態がアクティブになり、バイパスの終了が差し迫っており、入力N1,N2,およびN3の値に基づいて停止させることを示す。
これに加えてまたはこれに代えて、所望の場合には、スタートアップタイマーは入力が安定化ならば、すなわち設定可能な時間中トリップすることに対する十分な支持がない場合自動的に終了してもよい。この安定時間は、タイマー110のうちの一つでありえかつ採決ロジックブロック100aの出力が指定された時間中たとえば非トリップ値または正常値であって安定であるときを検出しうる安定タイマーにより設定されうる。この場合、スタートアップタイマーが減少方向に時間を刻んでいる間、安定タイマーは、トリップに対して充分な支持がないときにはいつでも増加方向に時間を刻みうるし、トリップの支持がトリップに対して必要な数に一致またはそれを越えるときにはいつでもリセットされうる。安定タイマーが設定可能な安定時間に到達した場合、スタートアップタイマーは零にリセットされ、正常なトリップ検出機能が再び作動し始める。もちろん、安定タイマーは、スタートアップ期間の最後においてリセットされないが、しかし、スタートアップの最初において、またトリップに対して充分な支持があるときスタートアップ禁止期間中の任意の時間においてリセットされる。
あるいは、スタートアップバイパス時間は、固定期間または採決機能ブロック94に対する入力IN1、IN2,およびIN3の値に基づいたものである必要がなく、それに代えて、イベントの発生の有無に基づくものであってもよい。この場合、スタートアップバイパスは、イベントの検出により発生しうる、スタートアップリセットパラメータが設定されている状態か、所定の状態か、または真の状態になると終了する。このようして、スタートアップバイパスが不確定量の時間長のイベントの有無に結び付けられうる。
所望の場合には、採決機能ブロック94の動作に対して影響を与えるために、入力IN1、IN2,および/またはIN3のステータスを用いてもよい。このステータス動作はステータスオプションパラメータを用いて設定されてよい。いうまでもなく、HARTシステムおよびFieldbusシステムの如きシステムの多くにおいて、トランスミッタまたは他のフィールドデバイスは、プロセス変数またはプロセス値とともにステータス信号を送信する。ここで、ステータス信号はトランスミッタそれ自体のステータスを示す。このようなステータス信号は、トランスミッタが正常な状態もしくは良好な状態であるか、またはそのトランスミッタにより送信されているプロセス変数の数値を疑しいものにしうる劣悪な状態もしくは他の望ましくない状態の如き異常な状態であるかを示しうる。したがって、採決機能ブロック94のIN1入力部、IN2入力部,およびIN3入力部に対して提供される入力信号のステータスは、採決スキームまたはその採決スキームにおいて入力信号が用いられる様態に影響を与えるために判別・利用されうる。
所望の場合には、測定されているプロセス変数の有効な値を示す他のトランスミッタを利用可能することができる場合、一つの故障したトランスミッタ(すなわち、劣悪ステータスを有する一つの入力)がトリップを自動的に開始しないように、ブロック100により用いられる採決スキームを設定しうる。入力信号のステータスを考慮する場合、一つの選択肢は、入力のステータスに関係なく入力IN1、IN2、またはIN3の値を常に用いることである。このようにすると、ハードウェア不良が必ずしも停止を引き起こすこともなく、修理のための時間が与えられる。他の選択肢は、入力の劣悪ステータスをその入力がバイパスされたものとして処理することである。こうすることにより、入力バイパス禁止ブロック98に関連して以上で記載したのと同様の方法で、その入力によるトリップの支持を防止することができる。第三の選択肢は、入力信号が劣悪ステータスである場合、その入力信号をトリップに対する支持であるとして自動的に考えることである。この選択肢を、デフォルト選択肢として設定してもよく、そうすることにより、1ooX採決スキームに対して最高レベルの安全性を実現することができる。図4は、単一入力が劣悪ステータスを有している場合にいくつかの一般的な採決スキームがグレードを下げる様態を、以上で記載した選択肢に対して例示している。たとえば、図4の第一の行の第一の列に示されているように、2oo3採決スキームは、入力値が常に用いられる場合、2oo3採決スキーム(不良トランスミッタからの信号値が非トリップ値である場合)か、1oo2採決スキーム(不良トランスミッタからの信号値がトリップ値である場合)に事実上グレードを下げる。それに対して、図4の第一の行の第二の列に示されているように、2oo3採決スキームは、不良トランスミッタの値をまったく用いない場合、2oo2採決スキームにグレードを下げる(または、選択されたバイパス機能に応じて1oo2スキームにグレードを下げうる)。同様に、図4の第一の行の第三の列に示されているように、2oo3採決スキームは、不良トランスミッタの値がトリップに対する支持として処理された場合、その信号の実際の値がどのような値を示そうと、1oo2採決スキームに実質的にグレードを下げる。
もちろん、採決機能ブロック94に対する入力のステータスの利用法を、トリップ採決ロジックブロック100aおよびプリトリップ採決ロジックブロック100bの各々において同一であっても異なっていてもよい。所望ならば、バイパスされていない入力のすべてが劣悪ステータスを有しない限り、Out信号およびPre_out信号のステータスをGoodとして設定し、バイパスされていない入力のすべてが劣悪ステータスを有する場合には、Out信号およびPre_out信号のステータスをBadとして設定してもよい。所望ならば、バイパスされていないなんらかの入力が劣悪ステータスを有している場合、採決機能ブロック94により劣悪入力を示すアラーム状態パラメータが設定されてもよい。
図5は、採決機能ブロック94が、(Out信号がトリップ状態に設定される)トリップ状態から(Out信号が正常状態に設定される)非トリップ状態にまたはその逆方向に進むために循環しうるさまざまな状態を例示している状態図130である。この状態図130は、トリップ状態132、採決済正常遅延状態134、採決済トリップ遅延状態136、トリップ禁止状態138、および正常状態140として定義される5つの状態を有している。これらの状態の間の矢印または線は、上記の状態132〜140の間において可能な状態遷移を示している。図5の実線は、測定プロセス値がトリップリミットの上下を移動するときに予測される一般的な状態遷移を表している。図5の破線はあまり一般的でない状態遷移を示している。
採決機能ブロック94は、始動バイパスがアクティブであるとき、または入力のうちの一または複数がバイパスされているか、もしくは入力のうちの一または複数が不良ステータスを有しておりかつその入力を採決に用いられないように不良ステータスが処理されるために採決スキームに参加する十分な入力が存在しないのでトリップできないときには上記のトリップ禁止状態138にその他のいずれの状態からでも遷移する。採決機能ブロック94は、禁止状態が消滅したとき遅延パラメータ(トリップ−遅延−オン時間パラメータおよびトリップ−遅延−オフ時間パラメータ)の設定ならびに採決機能ブロック94への入力に基づいて、トリップ禁止状態138からその他の状態に遷移しうる。
状態図130から分かるように、採決機能ブロック94への入力値が、図2のトリップ採決ロジックブロック100aで用いられる採決スキームによりトリップ状態が存在しないことを示されるような値にあるとき、採決機能ブロック94は正常状態にいることが一般的である。もちろん、トリップ採決ロジックブロック100aは、入力すべてを用いてもよく、トリップ状態が存在しないことを判断するために上述のいかなる方法で禁止入力を用いてもよい。トリップ採決ロジックブロック100aによりトリップ状態が検出されたとき、採決機能ブロック94は、トリップ−遅延−オン時間パラメータが設定されていなければ直接トリップ状態132に遷移してもよく、トリップ−遅延−オン時間パラメータが零以外の値に設定されている場合には採決済トリップ−遅延状態136に遷移してもよい。
採決機能ブロック94は、ユーザ、コンフィギュレーションエンジニアなどにより設定されうるトリップ−遅延−オン時間パラメータによって定められた遅延期間の間トリップ−遅延状態136に留まる。トリップ−遅延−オン時間がタイムアウトし(そしてユーザによりリセットされず)、かつトリップ状態が依然として存在する場合、採決機能ブロック94は、トリップ状態132に遷移し、Out信号をトリップ値に設定する。しかしながら、トリップ状態が採決済トリップ遅延状態136の間に消滅した場合、採決機能ブロック94はOut信号を発生することなく正常状態に戻る。
トリップ状態132にいるとき、採決機能ブロック94は、Out信号をトリップ値に設定し、採決機能ブロック94がトリップ禁止状態138または正常状態140に遷移するまでOut信号をその状態に保持する。たとえば、採決機能ブロック94への入力のうちの一または複数が変化して、トリップ採決ロジックがトリップ状態に対する反対票を検出したのでトリップ状態が消滅した場合、採決機能ブロック94は、トリップ−遅延−オフ時間期間が設定されていない場合には、直接に、正常状態132へ遷移するか、または、トリップ−遅延−オフ時間パラメータが零以外の値に設定されている場合には、採決済正常−遅延状態136に遷移する。採決機能ブロック94は、トリップ−遅延−オフタイマーのタイムアウト(このとき、採決機能ブロック94は正常状態140に遷移する)、トリップ禁止状態の発生(このとき、採決機能ブロック94はトリップ禁止状態138に遷移する)、または、入力値の変化に基づいてトリップ状態に対する賛成票の再発(このとき、採決機能ブロック94はトリップ状態132に再び遷移する)のうちの早い方が発生するまで、採決済正常−遅延状態に留まる。
図5の状態図130は、採決機能ブロック94が正常動作状態とトリップ状態との間を遷移しうる一つの動作方法を例示しているが、いうまでもなく、必要ならば、採決機能ブロック94はこれらよりもより少ないもしくはより多いまたはこれら二つのなんらかの組み合わせを用いるように設計されてもよい。さらに、状態マシン130が、Out信号、すなわちトリップ信号の状態を制御するために用いられているものとしてとくに記載されているが、いうまでもなく、正常状態からアラーム状態または設定状態におよびアラーム状態または設定状態から正常状態に遷移するPre_out信号の動作を記載すべく同様の状態マシンが用いられてもよい。
さらに、所望ならば、採決機能ブロック94は、採決機能ブロック94が遷移されるトリップ状態およびプリトリップ状態を示す位置または複数のステータス変数またはステータス信号を提供しうる。これらの信号の典型的なステータス値には、「Normal」および、まれではあるが、「Tripped」がある。しかしながら、図5の状態図130に例示されているように、トリップステータスおよび、所望ならば、プリトリップステータスは、トリップ−遅延−オンパラメータまたはトリップ−遅延−オフパラメータが零以外の値に設定されておりかつ正常状態とトリップ状態との間に遷移が発生している場合に、「Delayed」値を取りうる。同様に、トリップ信号およびプリトリップ信号(Outおよびpre_out)は、採決機能ブロック94がトリップ禁止状態138である場合、「Inhibited」ステータスを有しうる。
所望の場合には、プロセス制御システム12は、採決機能ブロック94に関連する信号およびパラメータに基づいて入力がいつバイパスされたのかまたはバイパスがいつ取り除かれたのかに関する情報を取得し、イベント記録に格納するように構成されてもよい。ほとんどの場合、これらの情報は、バイパスパラメータが採決機能ブロック94に直接に書き込まれるので、内在的に記録されうる。場合によっては、バイパスおよびバイパス許可は物理キースイッチにより伝送され、特定の書き込みチェック/イベント記録が要求される。現実的には、バイパス許可は、一群の採決機能ブロックまたは個々の採決機能ブロックに対して実行されうる。バイパスタイムアウトが用いられる場合には、採決機能ブロックがバイパス取り除いた事実を記録するために、特定のイベント記録手段が用いられうる。
もちろん、採決機能ブロック94は、たとえば、図1のコンフィギュレーションデータベースまたは履歴データベース21に送信され、そこに格納されるいかなる所望のイベント記録を(イベント記録信号を生成することにより)生成してもよい。そのようなイベント記録またはイベント記録信号には、たとえばバイパス許可パラメータ、BYPASSxパラメータ、(通常リミットチェックブロック95により作成される)バイパスタイムアウト、スタートアップオーバライド、および(通常スタートアップ禁止ブロック102により作成される)始動タイムアウトのそれぞれの設定または変更の記録、ならびに、たとえば採決ロジックブロック100またはトリップリミットチェックブロック95により作成されうる、トリップに賛成する特定の入力に関連する状態変更の記録が含まれる。そのようなイベント記録は、安全システムにおいて停止が発生したあとに通常起きる一連のイベント調査の際に、ユーザにとり有益なものとなる。
いうまでもなく、本明細書で記載の採決機能ブロック94の利用により、公知のフォーマットを有する機能ブロックの作成が容易になり、いったん作成されると、正しい動作を提供する適切なコンフィギュレーションパラメータ設定を用いてプログラミングされる必要があるのみである。いかなる公知のまたは所望の方法でも、採決機能ブロックを作成することができ、また、他の機能ブロックに通信可能に接続することができるので、機能ブロックプログラミング環境内において採決機能ブロックを実現することは容易なことである。同様に、他のプログラミング言語で作成された採決ロジックに比べて採決機能ブロックのデバッギングも容易になる。というのは、採決機能ブロックは、通常、プログラミング環境内でどのように接続されているかおよび受信するコンフィギュレーションパラメータの観点においてデバッグされる必要があるのみであるからである。さらに、採決機能ブロックが、受信する個々のパラメータの設定値によりのみ変更可能な標準書式を備えている典型的な機能ブロックであるので、採決機能ブロックの文書化も容易である。
アナログ採決機能ブロックである採決機能ブロック94が本明細書で詳細に記載されているが、いうまでもなく、デジタル採決機能ブロックも同様に動作する。しかしながら、(デジタル入力信号を処理する)デジタル採決機能ブロックでは、リミットチェックブロックまたはリミット検出ユニット95は、論理1または論理0としてデジタル信号の値を検出するように動作するに過ぎない。ここでは、これらの状態のうちの一方はトリップ状態に一致すると定義され、他方はトリップ状態に一致しないと定義される。さらに、デジタル採決機能ブロックでは、プリリミットチェックブロックまたはプリリミット検出ユニット96は必要とされないかまた考えられないものである。というのは、デジタル入力値は、二つの状態のうちの一つを取るのみであり、これらの二つの状態の間のなんらかの他のリミット値と比較されることが可能ではないからである。しかしながら、所望ならば、トリップリミットチェックブロック95の出力を、プリトリップアラームを決定するために、(トリップ採決ロジックブロック100aにより用いられる採決スキームよりもさらに緩やかな採決スキームを用いる)もう一つの採決ロジックブロックに供与してもよい。さらに、採決機能ブロック92および94が、それぞれ対応して、5つの入力部および3つの入力部を備えるものとして本明細書では記載されているが、それに代えて、いかなる他の数の入力部が用いられてもよい。
採決機能ブロック92、94がAI、DI、または他の機能ブロックからの入力を受信することを図1が示しているが、採決入力は、その他のタイプの機能ブロックから送信されてもよく、または、プロセスプラント10内で他のタイプの信号として生成されてもよい。さらに、採決機能ブロック94、92の出力部が、AO機能ブロック、DO機能ブロック、または原因・結果機能ブロックもしくは制御ルーチンのような他の機能ブロックの如き出力機能ブロックに接続されているものとして例示されているが、これらの出力部は、シーケンサ機能ブロック、ステージング機能ブロックなどの如き任意の他の所望のタイプの機能ブロックに接続されてもよく、または、プロセスプラント10内の他のアプリケーションもしくはプログラミング環境に直接に接続されてもよい。同様に、本明細書で記載されるロジックが機能ブロックプログラミングパラダイムを用いて実施されているが、同一のロジックは、他のタイプのプログラミング環境により実現されてもよく、その場合であっても、本明細書において用いられる機能ブロックとしてみなされうる。さらに、本明細書で記載される採決機能ブロックがプロセスプラントまたはプロセス制御環境の安全システムにおいて用いられるものとして記載されているが、これらのまたは同等の機能ブロックは、標準プロセス制御環境で用いられてもよいし、または、安全システムでの利用以外の他の所望の利用のために用いられてもよい。
採決機能ブロックが状態マシン線図を用いて本明細書で記載されているが、これらの線図は、採決ロジックおよびバイパス機能の説明のみを意図したものである。いうまでもなく、状態マシンを利用しなくともよいが、利用する場合には、ハードウェアまたは任意のプログラミング言語で書かれたソフトウェアの如きいかなる形態で実現してもよい。このような状態マシンであるためには、ソフトウェアプログラムの如きエレメント、ルーチン、オブジェクトなどは、本明細書で説明もしくは定義される状態(または他の状態)または上記機能ブロックの出力により表される状態の間で上記機能ブロックを遷移させ、それにより、正常状態からトリップ状態またはトリップ状態から正常状態にその出力を遷移させる必要があるのみである。
実現される場合には、禁止ブロック、採決ロジックブロック、状態マシン、信号コネクションなどを含む本明細書で記載のエレメントは、いずれも、磁気ディスク、レーザディスク、光学式ディスク、または他の格納媒体、コンピュータのRAMもしくはROMまたはプロセッサのRAMもしくはROMなどの如き任意のコンピュータ読み取り可能メモリ内に格納されるソフトウェアにより実現されうる。本明細書に記載の信号および信号回線は、実際のワイヤ、データレジスタ、メモリ領域などを含むいかなる形態でも取りうる。また、上記ソフトウェアは、汎用目的のコンピュータまたはプロセッサ上で実行されるアプリケーションソフトウェア、またはたとえば特定用途集積回路(ASIC)、EPROM、EEPROM、もしくはその他のファームウェアデバイスに焼き付けたハードコーディッドソフトウェアを含むいかなる形態でも取りうる。同様に、このソフトウェアは、たとえば、コンピュータ読み取り可能ディスクもしくは他の搬送可能なコンピュータ格納メカニズム、または電話回線、インターネット、ワールドワイドウェブ、その他のローカルエリアネットワークもしくはワイドエリアネットワークなどの如き通信チャネルを含む公知または所望の任意の搬送方法を用いて、ユーザ、プロセスプラント、オペレータワークステーション、コントローラ、ロジックソルバ、またはその他の計算デバイスに搬送されうる(電話回線、インターネット、ワールドワイドウェブ、その他のローカルエリアネットワークもしくはワイドエリアネットワークなどの如き通信チャネルにより搬送は、搬送可能な格納媒体を介してこのソフトウェアを提供することと同一または互換性があると考えられる)。さらに、このソフトウェアは、通信チャネルを通じて伝送されるまえに、変調もしくは暗号化なしに直接提供するか、または任意の適切な変調用搬送波および/もしくは暗号化手法を用いて変調および/もしくは暗号化されうる。
もちろん、本明細書で記載の機能ブロックは、(たとえば、FieldbusプロトコルまたはDeltaVプロトコル以外に)いかなる外部プロセス制御通信プロトコルを用いて実現されてもよく、またFieldbusプロトコルにより詳細に特定されるまたはサポートされるさまざまな機能ブロックのいずれかと同等のまたは同一の機能ブロックいずれかを含むいかなるタイプの機能ブロックとの通信に用いられうる。さらに、本明細書の一つの実施例における採決機能ブロックがFieldbus「機能ブロック」でありうるが、本明細書における「機能ブロック」の表現はFieldbusプロトコルが機能ブロックとして特定するものに限定されるものではなく、それどころか、なんらかのプロセス制御ルーチン機能を実現するために用いることができるまたは他のそのような機能ブロックに情報もしくはデータを提供するための事前定義された構成セットアップまたはプロトコルを有する任意のタイプの制御システムおよび/または通信プロトコルに関連付けされたその他のタイプのブロックエンティティ、プログラムエンティティ、ハードウェアエンティティ、ファームウェアエンティティなどを含みうる。したがって、機能ブロックは、通常、オブジェクト指向プログラミング環境内のオブジェクトの形態を取るが、これに限定されるわけではなく、それに代えて、任意の所望のプログラミング構造またはプログラミングパラダイムを用いてプロセスプラントまたはプロセス制御環境の内で特定の制御(入力および出力)機能を実行するために用いられる他のロジカルユニットでありうる。
以上のように、本発明は特定の例を参照して記載したが、これらの例は説明のみを意図し、本発明を限定することを意図したものではなく、本発明の精神および範疇から逸脱することなく、開示された実施例に変更、追加、または削除を加えうることは当業者にとって明らかである。
プロセス制御システムと統合され、プロセスプラント内におけるシステム停止およびメンテナンスオーバライドアクティビティを制御する一または複数の設定可能な採決機能ブロックを用いる安全システムを備えているプロセスプラントの一例を示すブロック線図である。 図1の設定可能採決機能ブロックのうちの一つを示すブロック線図である。 図2の採決機能ブロックにより用いられうる単一バイパス入力を含む採決スキームの複数の例を示すテーブルである。 採決機能ブロックへの入力のうちの一つが不良ステータスを有する場合に採決スキームがグレードを下げうる様態を示しているテーブルの一例である。 図2の採決機能ブロックと関連しうる一組の潜在的な状態を例示する状態図である。
符号の説明
10 プロセスプラント
12 プロセス制御システム
14 安全システム
16 ユーザインターフェイス
18、20 プロセス制御ノード、安全制御ノード
21 コンフィギュレーションデータベース
22 通信ネットワーク
24 プロセスコントローラ
28、30、32、34、36 プロセス制御システム入力/出力(I/O)デバイス
40、42 コントローラフィールドデバイス
50、52、54、56 安全システムロジックソルバ
57、77 プロセッサ
58 安全ロジックモジュール
60、62 安全システムフィールドデバイス
70、72 メッセージ伝送デバイス(MPD)
74 バス
76 バックプレーン
78、79 メモリ
80 コンフィギュレーションアプリケーション
82 閲覧アプリケーション
84 診断アプリケーション
86 共通バックプレーン
90、91 機能ブロック
92、94 採決機能ブロック
95 トリップリミットチェックブロック
96 プリトリップリミットチェックブロック
98 入力バイパス禁止ブロック
100 採決ロジックブロック
102 禁止ブロック
110 タイマー
130 状態図
132 トリップ状態
134 採決済正常−遅延状態
136 採決済トリップ−遅延状態
138 トリップ禁止状態
140 正常状態

Claims (59)

  1. 一または複数のフィールドデバイスを制御するために通信可能に接続されるプロセッサを有するプロセスプラントにおいて利用される機能ブロックエンティティであって、
    コンピュータ読み取り可能媒体と、
    前記コンピュータ読み取り可能媒体に格納される、前記プロセッサで実行されるように構成された機能ブロックとを備え、
    該機能ブロックは、
    各入力部が前記プロセスプラント内からプロセス状態を示す入力信号を受信するように構成された一組の入力部と、
    前記一組の入力部の各々に対して関連付けされ、関連付けられた該入力部の前記入力信号がトリップ基準を充足するか否かを示すリミット信号を生成するリミット検出ユニットと、
    トリップ信号を送信するように構成された出力部と、
    特定の数の前記入力信号が前記トリップ基準を充足する場合にはトリップ値として前記トリップ信号を前記出力部で生成し、特定の数の該入力信号が前記トリップ基準を充足しない場合には前記出力部で正常値として前記トリップ信号を生成する採決ロジックを前記リミット信号に適用するように構成された、前記リミット検出ユニットと前記出力部との間に接続されている採決ロジックブロックと、
    前記出力部で、前記採決ロジックブロックにより前記リミット信号のうちの少なくとも一つが利用されることを防止するか、または該採決ロジックブロックにより作成される前記トリップ信号をオーバライドするように構成されたオーバライドブロックと
    を有してなる機能ブロックエンティティ。
  2. 前記オーバライドブロックは、前記採決ロジックブロックにより前記一組の入力部のうちの一つが利用されることを防止する入力禁止ブロックである、請求項1記載の機能ブロックエンティティ。
  3. 前記オーバライドブロックは、前記採決ロジックブロックにより前記一組の入力のうちの一つが利用されることを防止する第一の期間を規定するオーバライド時間パラメータを有してなる、請求項2記載の機能ブロックエンティティ。
  4. 前記オーバライドブロックは、第二の期間を指定する注意喚起時間パラメータを有しており、前記第一の期間が満了する当該第二の期間まえに、該第一の期間の迫りくる満了を示す注意喚起信号が作成されるように構成されている、請求項3記載の機能ブロックエンティティ。
  5. 前記オーバライドブロックは、前記一組の入力部の各々に対する入力禁止ブロックを有しており、各入力禁止ブロックは、前記採決ロジックブロックにより前記一組の入力部の各々が利用されることを防止するために、別々にセットされうるように構成されてなる、請求項1記載の機能ブロックエンティティ。
  6. 前記オーバライドブロックは、前記トリップ信号の前記トリップ値が前記出力部に伝送されることを防止するように設定されうる動作オーバライドを有してなる、請求項1記載の機能ブロックエンティティ。
  7. 前記オーバライドブロックは、前記動作オーバライドの期間をトラックするとともに前記トリップ信号の前記トリップ値を前記出力部に伝送可能にする所定の期間が経過したあとタイムアウトするタイマーを有してなる、請求項6記載の機能ブロックエンティティ。
  8. 前記オーバライドブロックは、所定の期間安定状態にありかつ該所定の期間安定状態にあったことが検出されると前記出力部に伝送可能になる、前記トリップ信号の値を、前記採決ロジックブロックが作成するときを検出するように構成されている、請求項6記載の機能ブロックエンティティ。
  9. 前記オーバライドブロックは、イベント検出パラメータを有しており、該イベント検出パラメータがイベントの有無のうちのいずれか一方を示す場合に前記トリップ信号の前記トリップ値を前記出力部に伝送可能にすべく該イベント検出パラメータを利用するように構成されている、請求項6記載の機能ブロックエンティティ。
  10. 前記オーバライドブロックは、前記一組の入力部のうちの一つが前記採決ロジックブロックにより利用されることを防止するように別々に設定されうる入力禁止ブロックを該一組の入力部の各々に対して有しており、さらに、前記出力部の前記トリップ信号を前記正常に設定することにより前記採決ロジックブロックをオーバライドするように設定されることが可能な動作禁止ブロックを有してなる、請求項1記載の機能ブロックエンティティ。
  11. 前記採決ロジックブロックは、Nが検討される入力の数であり、Mが前記採決ロジックブロックがトリップ状態の存在を検出して前記トリップ信号を前記トリップ値に設定するために前記トリップ基準が充足されていることを示さなければならないリミット信号の数である、N個のうちのM個型採決ロジックスキームを有してなる、請求項1記載の機能ブロックエンティティ。
  12. 前記オーバライドブロックは、前記採決ロジックブロックにより前記一組の入力部のうちの一つが利用されることを防止する入力禁止ブロックであり、該一組の入力部のうちの一つがオーバライドされる場合、前記採決ロジックスキームは、検討される入力の数Nを減少させ、リミット信号の数Mを保持するように構成されている、請求項11記載の機能ブロックエンティティ。
  13. 前記オーバライドブロックは、前記採決ロジックブロックにより前記一組の入力部のうちの一つが利用されることを防止する入力禁止ブロックであり、前記一組の入力部のうちの一つがオーバライドされる場合、前記採決ロジックスキームは、該採決ロジックスキームにおける入力の数Nおよびリミット信号の数Mの両方を減少させるように構成されている、請求項11記載の機能ブロックエンティティ。
  14. 前記入力信号のうちの一つは、ステータスパラメータと値パラメータとを有しており、前記リミット検出ユニットのうちの一つは、前記入力信号のうちの一つの前記値パラメータを処理する方法を決定するために前記ステータスパラメータを利用する、請求項11記載の機能ブロックエンティティ。
  15. 前記リミット検出ユニットのうちの一つは、劣悪ステータスパラメータを有する前記入力信号のうちの一つを前記トリップ基準を充足している入力信号として自動的に処理するように構成されている、請求項14記載の機能ブロックエンティティ。
  16. 前記リミット検出ユニットのうちの一つは、劣悪ステータスパラメータを有する前記入力信号のうちの一つを、前記採決ロジックブロックにより前記入力信号のうちの一つが利用されることを防止する入力禁止信号として処理するように構成されている、請求項14記載の機能ブロックエンティティ。
  17. 前記一組の入力部の各々の入力部に関連付けされているプリリミット検出ユニットをさらに有しており、各プリリミット検出ユニットは、関連付けされている該入力部の前記入力信号が前記トリップ基準とは異なるプリトリップ基準を充足するか否かを示すプリトリップリミット信号を生成し、プリトリップ出力部は、プリトリップアラーム信号を提供するように構成され、プリトリップ採決ロジックブロックは、前記プリリミット検出ユニットと前記プリトリップ出力部との間に結合され、前記プリトリップ採決ロジックブロックは、特定の数の前記入力信号が前記プリトリップ基準を充足する場合にプリトリップアラーム値として前記プリトリップアラーム信号を生成するさらなる採決ロジックを前記プリトリップリミット信号に適用するように構成されている、請求項1記載の機能ブロックエンティティ。
  18. 前記入力部の各々が前記入力信号としてアナログ信号を受信するように構成されている、請求項1記載の機能ブロックエンティティ。
  19. 前記入力部の各々が前記入力信号としてデジタル信号を受信するように構成されている、請求項1記載の機能ブロックエンティティ。
  20. 前記オーバライドブロックは、前記出力部において、前記採決ロジックブロックにより前記一組の入力部のうちの少なくとも一つが利用されることを防止する動作または前記採決ロジックブロックにより作成される前記トリップ信号をオーバライドする動作に関連するイベント記録信号を作成するように構成されている、請求項1記載の機能ブロックエンティティ。
  21. 前記リミット検出ユニットのうちの一つは、前記トリップ基準を充足する状態と前記トリップ基準を充足しない状態との間での前記入力信号のうちの一つの変化を示すイベント記録信号を作成するように構成されている、請求項1記載の機能ブロックエンティティ。
  22. プロセス内で接続される複数のフィールドデバイスを備えるプロセスプラントにおいて利用される制御システムであって、
    前記複数のフィールドデバイスと通信可能に接続された、プロセッサとコンピュータ読み取り可能媒体とを有しているデバイスと、
    前記プロセッサで実行されるように構成された、前記コンピュータ読み取り可能媒体に格納されている採決ブロックとを備え、
    該採決ブロックは、
    前記プロセスプラント内からプロセス状態を示す入力信号を受信するように各々が構成された一組の入力部と、
    前記一組の入力部のそれぞれの入力部に関連付けされ、関連付けされた該入力部の前記入力信号がトリップク基準を充足しているか否かを示すリミット信号を生成するリミット検出ユニットと、
    トリップ信号を送信するように構成された出力部と、
    特定の数の前記入力信号が前記トリップ基準を充足する場合にはトリップ値として前記トリップ信号を前記出力部で生成し、特定の数の該入力信号が前記トリップ基準を充足しない場合には前記出力部で正常値として前記トリップ信号を生成する採決ロジックを、前記リミット信号に適用するように構成された、前記リミット検出ユニットと前記出力部との間に接続されている採決ロジックブロックと、
    前記出力部で、前記採決ロジックブロックにより前記リミット信号のうちの少なくとも一つが利用されることを防止するか、または前記採決ロジックブロックにより作成される前記トリップ信号をオーバライドするように構成されたオーバライドブロックと
    を有してなる制御システム。
  23. 前記採決ブロックが機能ブロックである、請求項22記載の制御システム。
  24. 前記オーバライドブロックは、前記採決ロジックブロックにより前記一組の入力部のうちの一つが利用されることを防止する入力禁止ブロックである、請求項22記載の制御システム。
  25. 前記オーバライドブロックは、前記採決ロジックブロックにより前記一組の入力のうちの一つが利用されることを防止する第一の期間を規定するオーバライド時間パラメータを有してなる、請求項24記載の制御システム。
  26. 前記オーバライドブロックは、第二の期間を指定する注意喚起時間パラメータを有しており、前記第一の期間が満了する当該第二の期間まえに、該第一の期間の迫りくる満了を示す注意喚起信号が作成されるように構成されている、請求項25記載の制御システム。
  27. 前記オーバライドブロックは、前記トリップ信号の前記トリップ値が前記出力部に伝送されることを防止するように設定されうる動作オーバライドを有してなる、請求項22記載の制御システム。
  28. 前記オーバライドブロックは、前記動作オーバライドの期間をトラックするとともに、前記トリップ信号の前記トリップ値を前記出力部に伝送可能にする所定の期間が経過したあとタイムアウトするタイマーを有してなる、請求項27記載の制御システム。
  29. 前記オーバライドブロックは、所定の期間安定状態であり該所定の期間安定状態であったことが検出されたあと前記出力部に伝送可能になる、前記トリップ信号の値を前記採決ロジックブロックが作成するときを検出するように構成されている、請求項27記載の制御システム。
  30. 前記オーバライドブロックは、イベント検出パラメータを有しており、該イベント検出パラメータがイベントの有無のうちのいずれか一方を示す場合に前記トリップ信号の前記トリップ値を前記出力部に伝送可能にすべく前記イベント検出パラメータを利用するように構成されている、請求項27記載の制御システム。
  31. 前記オーバライドブロックは、前記一組の入力部のうちの一つが前記採決ロジックブロックにより利用されることを防止するように別々に設定されうる入力禁止ブロックを前記一組の入力部の各々に対して有しており、さらに、前記出力部の前記トリップ信号を前記正常に設定することにより前記採決ロジックブロックをオーバライドするように設定されることが可能な動作禁止ブロックを有してなる、請求項22記載の制御システム。
  32. 前記オーバライドブロックは、前記一組の入力部のうちの一つが前記採決ロジックにより利用されることを防止するように別々に設定されうる入力禁止ブロックを前記一組の入力部の各々に対して有しており、さらに、前記オーバライドブロックは、前記トリップ信号の前記トリップ値の前記出力部への伝送を防止すべく設定されうる動作禁止ブロックを有してなる、請求項22記載の制御システム。
  33. 前記採決ロジックブロックは、Nが検討される入力の数であり、Mが該採決ロジックブロックがトリップ状態の存在を検出して前記トリップ信号を前記トリップ値に設定するために前記トリップ基準を充足していることを示さなければならないリミット信号の数である、N個のうちのM個型採決ロジックスキームを有してなる、請求項32記載の制御システム。
  34. 前記オーバライドブロックは、前記採決ロジックブロックにより前記一組の入力部のうちの一つが利用されることを防止する入力禁止ブロックであり、該一組の入力部のうちの一つがオーバライドされる場合、前記採決ロジックスキームは、検討される入力の数Nを減少させ、リミット信号の数Mを保持するように構成されている、請求項33記載の制御システム。
  35. 前記オーバライドブロックは、前記採決ロジックブロックにより前記一組の入力部のうちの一つが利用されることを防止する入力禁止ブロックであり、前記一組の入力部のうちの一つがオーバライドされる場合、前記採決ロジックスキームは、該採決ロジックスキームにおける入力の数Nおよびリミット信号の数Mの両方を減少させるように構成されている、請求項33記載の制御システム。
  36. 前記入力信号のうちの一つは、ステータスパラメータと値パラメータとを有しており、前記リミット検出ユニットのうちの一つは、該入力信号のうちの一つの該値パラメータを処理する方法を決定すべく該ステータスパラメータを利用する、請求項33記載の制御システム。
  37. 前記リミット検出ユニットのうちの一つは、劣悪ステータスパラメータを有する前記入力信号のうちの一つを前記トリップ基準を充足する入力信号として自動的に処理するように構成されている、請求項36記載の制御システム。
  38. 前記リミット検出ユニットのうちの一つは、劣悪ステータスパラメータを有する前記入力信号のうちの一つを、前記採決ロジックブロックにより前記入力信号のうちの一つが利用されることを防止する入力禁止信号として処理するように構成されている、請求項36記載の制御システム。
  39. 前記一組の入力部の各々の入力部に関連付けされているプリリミット検出ユニットをさらに有し、各プリリミット検出ユニットは、関連付けされている前記入力部の前記入力信号が前記トリップ基準とは異なるプリトリップ基準を充足するか否かを示すプリトリップリミット信号を生成し、プリトリップ出力部は、プリトリップアラーム信号を提供するように構成され、プリトリップ採決ロジックブロックは、前記プリリミット検出ユニットと前記プリトリップ出力部との間に結合され、前記プリトリップ採決ロジックブロックは、特定の数の前記入力信号が前記プリトリップ基準を充足する場合、プリトリップアラーム値としての前記プリトリップアラーム信号を生成するさらなる採決ロジックを前記プリトリップリミット信号に適用するように構成されている、請求項33記載の制御システム。
  40. 前記入力部の各々が前記入力信号としてアナログ信号を受信するように構成されている、請求項22記載の制御システム。
  41. 前記オーバライドブロックは、前記出力部において、前記採決ロジックブロックにより前記一組の入力部のうちの少なくとも一つが利用されることを防止する動作または前記採決ロジックブロックにより作成される前記トリップ信号をオーバライドする動作に関連するイベント記録信号を作成するように構成されている、請求項22記載の制御システム。
  42. 前記リミット検出ユニットのうちの一つは、前記トリップ基準を充足する状態と前記トリップ基準を充足しない状態との間での前記入力信号のうちの一つの変化を示すイベント記録信号を作成するように構成されている、請求項41記載の制御システム。
  43. プロセス変数の複数の冗長測定値からプロセスプラント内のトリップ状態の存在を決定する方法であって、
    前記冗長測定値の各々を示す信号を収集することと、
    リミット信号を生成するべく、収集された前記信号の各々がトリップ基準を充足するか否かを決定することと、
    特定の数の前記収集された信号が前記トリップ基準を充足しない場合は、正常値としてトリップ信号を生成し、特定の数の前記収集された信号が前記トリップ基準を充足する場合は、トリップ値として前記トリップ信号を生成する採決ロジックスキームを利用することと、
    前記プロセスプラント内のさらなるエンティティから禁止信号を受信することと、
    前記禁止信号の受信に応答して、前記採決ロジックスキームにより前記リミット信号のうちの少なくとも一つが利用されることを防止するか、または、前記トリップ信号を前記トリップ値に設定することを防止することと、
    を有する方法。
  44. 前記禁止信号を受信することは、前記収集された信号のうちの一つに関連する入力禁止信号を受信することを含んでおり、前記収集された信号のうちの少なくとも一つが利用されることを防止することは、所定の期間、前記収集された信号のうちの少なくとも一つが前記採決ロジックスキーム内で利用されることを防止することを含んでいる、請求項43記載の方法。
  45. 前記収集された信号のうちの少なくとも一つが利用されることを防止することは、前記所定の期間の満了のまえの事前設定時間において注意喚起通知を生成することを含んでいる、請求項44記載の方法。
  46. 前記禁止信号の受信に応答して、前記採決ロジックスキームにより前記収集された信号のうちの少なくとも一つが利用されることを防止するか、または、前記トリップ信号を前記トリップ値に設定することを防止することは、所定の期間、前記トリップ信号を前記トリップ値に設定することを防止することを含んでいる、請求項43記載の方法。
  47. 前記禁止信号の受信に応答して、前記採決ロジックスキームにより前記収集された信号のうちの少なくとも一つが利用されることを防止するか、または、前記トリップ信号を前記トリップ値に設定することを防止することは、特定の数の前記収集された信号が、特定の期間、前記トリップ基準を充足しないことを前記採決ロジックスキームが決定するまで、前記トリップ信号を前記トリップ値に設定することを防止することを含んでいる、請求項43記載の方法。
  48. 前記禁止信号の受信に応答して、前記採決ロジックスキームにより前記収集された信号のうちの少なくとも一つが利用されることを防止するか、または、前記トリップ信号を前記トリップ値に設定することを防止することは、イベントの有無のうちのいずれか一方が検出されるまで前記トリップ信号を前記トリップ値に設定することを防止することを含んでいる、請求項43記載の方法。
  49. 前記禁止信号の受信に応答して、前記採決ロジックスキームにより前記収集された信号のうちの少なくとも一つが利用されることを防止するか、または、前記トリップ信号を前記トリップ値に設定することを防止することは、第一の禁止信号を受信した場合に前記収集された信号のうちの少なくとも一つが前記採決ロジックスキームにより利用されること防止し、第二の禁止信号を受信した場合に前記トリップ信号を前記トリップ値に設定することを防止することを含んでいる、請求項43記載の方法。
  50. 前記トリップ信号を生成する前記採決ロジックスキームを利用することは、Nが、検討される前記収集された信号の数であり、Mが、前記トリップ値としての前記トリップ信号を生成するために前記トリップ基準を充足しなければならない前記収集された信号の特定の数である、NのうちのM型採決ロジックを有する採決ロジックスキーマを利用することを含んでいる、請求項43記載の方法。
  51. 前記禁止信号に応答して、前記収集された信号のうちの一つがオーバライドされる場合、前記採決ロジックスキームにより検討される前記収集された信号の数Nを減少させる一方で、前記トリップ基準を充足させなければならない前記収集された信号の特定の数Mを保持することをさらに含んでいる、請求項50記載の方法。
  52. 前記禁止信号に応答して、前記収集された信号のうちの一つがオーバライドされる場合、前記採決ロジックスキームにより検討される前記収集された信号の数Nおよび前記トリップ基準を充足させなければならない前記収集された信号の特定の数Mの両方を減少させることをさらに含んでいる、請求項50記載の方法。
  53. 前記収集された信号の各々が前記トリップ基準を充足するか否かを決定することは、前記収集された信号が前記トリップ基準を充足するか否かを決定するために、該収集された信号の各々に関連付けされているステータスパラメータを利用することを含んでいる、請求項43記載の方法。
  54. 前記ステータスパラメータを利用することは、劣悪ステータスパラメータを有する収集された信号を前記トリップ基準を充足する収集された信号として自動的に処理することを含んでいる、請求項53記載の方法。
  55. 前記ステータスパラメータを利用することは、劣悪ステータスパラメータを有する収集された信号が前記トリップ信号を生成する採決ロジックスキームにより利用されることを自動的に防止することを含んでいる、請求項53記載の方法。
  56. 特定の数の前記収集された信号がプリリミットトリップ基準を充足しない場合には、標準値としてプリトリップアラーム信号を生成し、特定の数の前記収集された信号が該プリリミットトリップ基準を充足する場合には、アラーム値として該プリトリップアラーム信号を生成する他の採決ロジックブロックを用いて、前記収集された信号の各々が該プリリミットトリップ基準を充足しているか否かを決定することをさらに含んでいる、請求項43記載の方法。
  57. 前記冗長測定値の各々を表す信号を収集することは、該冗長測定値の各々を表す個別のデジタル信号を収集することを含んでいる、請求項43記載の方法。
  58. 前記禁止信号の受信に応答して、前記収集された信号のうちの少なくとも一つが前記採決ロジックスキームにより利用されることを防止するか、または、前記トリップ信号を前記トリップ値に設定することを防止することは、該収集された信号のうちの少なくとも一つが利用されることを防止すること、または、該トリップ信号を該トリップ値に設定することを防止することに関連するイベント記録信号を作成することを含んでいる、請求項43記載の方法。
  59. 前記収集された信号の各々が前記トリップ基準を充足するか否かを決定することは、該収集された信号のうちの一つが前記トリップ基準を充足する状態と前記トリップ基準を充足しない状態との間で変化するときにイベント記録信号を作成することを含んでいる、請求項43記載の方法。
JP2004112381A 2003-04-08 2004-04-06 プロセス制御システムにおける動作オーバライドおよびメンテナンスオーバライドを有する採決ロジックブロック Expired - Lifetime JP4557588B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
US10/409,576 US7130703B2 (en) 2003-04-08 2003-04-08 Voter logic block including operational and maintenance overrides in a process control system

Publications (2)

Publication Number Publication Date
JP2004310779A JP2004310779A (ja) 2004-11-04
JP4557588B2 true JP4557588B2 (ja) 2010-10-06

Family

ID=32326243

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004112381A Expired - Lifetime JP4557588B2 (ja) 2003-04-08 2004-04-06 プロセス制御システムにおける動作オーバライドおよびメンテナンスオーバライドを有する採決ロジックブロック

Country Status (6)

Country Link
US (1) US7130703B2 (ja)
JP (1) JP4557588B2 (ja)
CN (1) CN100445907C (ja)
DE (1) DE102004016929B4 (ja)
GB (1) GB2400688B (ja)
HK (1) HK1068967A1 (ja)

Families Citing this family (28)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7565340B2 (en) * 2006-01-09 2009-07-21 The State Of Oregon Acting By And Through The State Board Of Higher Education On Behalf Of Oregon State University Methods for assisting computer users performing multiple tasks
DE102006002824B4 (de) * 2006-01-19 2008-10-09 Phoenix Contact Gmbh & Co. Kg Verfahren und Vorrichtung zur Umwandlung mehrkanalig vorliegender Nachrichten in eine einkanalige sichere Nachricht
EP1855172A1 (de) * 2006-05-12 2007-11-14 Siemens Aktiengesellschaft Verfahren zur Alarmunterdrückung in einer Prozessanlage
US8285402B2 (en) * 2008-07-14 2012-10-09 Ge Intelligent Platforms, Inc. Method and system for safety monitored terminal block
KR100980043B1 (ko) * 2008-10-22 2010-09-06 한국전력기술 주식회사 Fpga를 이용한 발전소 보호 시스템 및 보호 방법
DE102009013303A1 (de) * 2009-03-16 2010-09-30 Siemens Aktiengesellschaft Verwendung eines IO-Links
DE102009020151A1 (de) * 2009-05-06 2010-11-11 Siemens Aktiengesellschaft Verfahren zur Ermittlung und Bewertung von Kenngrößen einer elektrischen Energieversorgung
US8769360B2 (en) 2010-10-14 2014-07-01 International Business Machines Corporation Dynamic detection and identification of the functional state of multi-processor cores
US20130173024A1 (en) * 2012-01-03 2013-07-04 William Robert Pettigrew Method and system for control system redundancy
US9239576B2 (en) * 2012-02-17 2016-01-19 Fisher-Rosemount Systems, Inc. Methods and apparatus to apply multiple trip limits to a device in a process control system
US9625349B2 (en) * 2012-02-29 2017-04-18 Fisher Controls International Llc Time-stamped emissions data collection for process control devices
US9122253B2 (en) * 2012-11-06 2015-09-01 General Electric Company Systems and methods for dynamic risk derivation
DE102013100159A1 (de) 2012-11-28 2014-05-28 Endress + Hauser Gmbh + Co. Kg Feldgerät zur Bestimmung oder Überwachung einer Prozessgröße in der Automatisierungstechnik
EP3134789B1 (en) * 2014-04-25 2023-08-09 Bombardier Inc. Monitor performance analysis
US9589142B2 (en) 2014-06-18 2017-03-07 Thales Canada Inc Apparatus and method for communications in a safety critical system
DE102014110018A1 (de) 2014-07-16 2016-01-21 Phoenix Contact Gmbh & Co. Kg Sicheres elektronisches Gerät
JP2016081340A (ja) * 2014-10-17 2016-05-16 株式会社東芝 多重化制御装置
DE102014226075A1 (de) * 2014-12-16 2016-06-16 Siemens Aktiengesellschaft Vorrichtung zum koordinierten Steuern eines Betriebszustandes einer Produktionsanlage sowie Produktionssystem und Verfahren
US9997265B2 (en) * 2015-03-27 2018-06-12 Mitsubishi Electric Power Products, Inc. Safety system for a nuclear power plant and method for operating the same
GB2558817B (en) 2015-10-09 2022-03-02 Fisher Rosemount Systems Inc System and method for verifying the safety logic of a cause and effect matrix
JP6787239B2 (ja) * 2017-04-25 2020-11-18 横河電機株式会社 制御装置、制御方法、及び制御プログラム
US20210096964A1 (en) * 2019-09-26 2021-04-01 Gulfstream Aerospace Corporation Monitoring of triple redundant circular data
US11656594B2 (en) * 2019-10-22 2023-05-23 Fisher-Rosemount Systems, Inc. Technologies for configuring voting blocks associated with a process control system
EP3828648B1 (en) * 2019-11-28 2023-02-15 ABB Schweiz AG Motor speed estimation for drive safety system
CN111737830A (zh) * 2020-05-14 2020-10-02 广州明珞汽车装备有限公司 多轴气缸的逻辑块生成方法、系统、装置和存储介质
CN112395236A (zh) * 2020-11-13 2021-02-23 中车株洲电力机车有限公司 一种分布式车载安全计算机系统
CN112526979B (zh) * 2020-12-16 2023-06-09 中国兵器装备集团自动化研究所 一种多重冗余架构的串行通信接口诊断系统及方法
CN114388164B (zh) * 2021-12-27 2023-05-02 华能山东石岛湾核电有限公司 一种堆机联锁系统、方法、电子设备及存储介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH062881U (ja) * 1992-06-11 1994-01-14 三菱電機株式会社 プラント監視装置
JP2000305601A (ja) * 1999-04-22 2000-11-02 Mitsubishi Electric Corp プラント制御装置
JP2001036542A (ja) * 1999-07-23 2001-02-09 Fuji Electric Co Ltd プロセス制御システム
JP2002149212A (ja) * 2000-11-13 2002-05-24 Fuji Electric Co Ltd 制御データを等値化する冗長化プログラマブルコントローラ及び等値化方法。

Family Cites Families (31)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4427620A (en) 1981-02-04 1984-01-24 Westinghouse Electric Corp. Nuclear reactor power supply
JPS57189213A (en) * 1981-05-18 1982-11-20 Hitachi Ltd Monitoring method of process state
US4448033A (en) 1982-03-29 1984-05-15 Carrier Corporation Thermostat self-test apparatus and method
US4804515A (en) * 1984-10-31 1989-02-14 Westinghouse Electric Corp. Distributed microprocessor based sensor signal processing system for a complex process
US4752869A (en) 1985-05-09 1988-06-21 Westinghouse Electric Corp. Auxiliary reactor protection system
JP2912425B2 (ja) * 1990-06-15 1999-06-28 株式会社日立製作所 原子炉安全保護装置
GB9119575D0 (en) 1991-09-13 1991-10-23 Atomic Energy Authority Uk Monitoring system
JP2903877B2 (ja) * 1992-07-07 1999-06-14 株式会社日立製作所 原子炉安全保護装置
FR2704329B1 (fr) * 1993-04-21 1995-07-13 Csee Transport Système de sécurité à microprocesseur, applicable notamment au domaine des transports ferroviaires.
US5768119A (en) 1996-04-12 1998-06-16 Fisher-Rosemount Systems, Inc. Process control system including alarm priority adjustment
US5970430A (en) 1996-10-04 1999-10-19 Fisher Controls International, Inc. Local device and process diagnostics in a process control network having distributed control functions
US6049578A (en) 1997-06-06 2000-04-11 Abb Combustion Engineering Nuclear Power, Inc. Digital plant protection system
US6292523B1 (en) 1997-06-06 2001-09-18 Westinghouse Electric Company Llc Digital engineered safety features actuation system
US6014612A (en) 1997-10-02 2000-01-11 Fisher Controls International, Inc. Remote diagnostics in a process control network having distributed control functions
WO1999036714A2 (en) 1998-01-20 1999-07-22 Triconex, Incorporated Two out of three voting solenoid arrangement
WO2000038040A1 (en) 1998-12-23 2000-06-29 Triconex Corporation Cause effect diagram program maintenance development and test system
US6806847B2 (en) * 1999-02-12 2004-10-19 Fisher-Rosemount Systems Inc. Portable computer in a process control environment
US6774786B1 (en) 2000-11-07 2004-08-10 Fisher-Rosemount Systems, Inc. Integrated alarm display in a process control network
US6186167B1 (en) 1999-03-04 2001-02-13 Fisher Controls International Inc. Emergency shutdown test system
US6510351B1 (en) * 1999-03-15 2003-01-21 Fisher-Rosemount Systems, Inc. Modifier function blocks in a process control system
US6850973B1 (en) * 1999-09-29 2005-02-01 Fisher-Rosemount Systems, Inc. Downloadable code in a distributed process control system
DE59914913D1 (de) 1999-10-07 2009-01-08 Endress Hauser Gmbh Co Verfahren und eine Vorrichtung zur Funktionsüberprüfung eines Grenzschalters
US6721609B1 (en) * 2000-06-14 2004-04-13 Fisher-Rosemount Systems, Inc. Integrated optimal model predictive control in a process control system
KR100399759B1 (ko) * 2000-11-01 2003-09-29 한국과학기술원 원자력 발전소의 디지털 온라인 능동 시험 발전소 보호시스템 및 그 방법
US7113085B2 (en) * 2000-11-07 2006-09-26 Fisher-Rosemount Systems, Inc. Enhanced device alarms in a process control system
US6722383B2 (en) 2001-01-09 2004-04-20 Angela Summers Variable function voting solenoid-operated valve apparatus and testing method therefor
BR0204829A (pt) 2001-04-05 2003-07-01 Fisher Controls Int Sistema de teste de dispositivo de controle e sistema de teste de válvula de parada de emergência
US6701258B2 (en) 2002-05-13 2004-03-02 Entek Ird International Corporation Modular monitoring and protection system with distributed voting logic
US6898468B2 (en) 2003-03-28 2005-05-24 Fisher-Rosemount Systems, Inc. Function block implementation of a cause and effect matrix for use in a process safety system
US6898542B2 (en) * 2003-04-01 2005-05-24 Fisher-Rosemount Systems, Inc. On-line device testing block integrated into a process control/safety system
DE102004015616B4 (de) 2003-04-01 2022-03-17 Fisher-Rosemount Systems, Inc. Sicherheitssystemsteuerung zur Verwendung in einer Prozessumgebung, Prozesssteuerungssystem sowie entsprechendes Steuerungsverfahren

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH062881U (ja) * 1992-06-11 1994-01-14 三菱電機株式会社 プラント監視装置
JP2000305601A (ja) * 1999-04-22 2000-11-02 Mitsubishi Electric Corp プラント制御装置
JP2001036542A (ja) * 1999-07-23 2001-02-09 Fuji Electric Co Ltd プロセス制御システム
JP2002149212A (ja) * 2000-11-13 2002-05-24 Fuji Electric Co Ltd 制御データを等値化する冗長化プログラマブルコントローラ及び等値化方法。

Also Published As

Publication number Publication date
GB2400688B (en) 2007-02-21
CN1536457A (zh) 2004-10-13
DE102004016929B4 (de) 2022-06-09
GB2400688A (en) 2004-10-20
DE102004016929A1 (de) 2004-11-25
HK1068967A1 (en) 2005-05-06
US7130703B2 (en) 2006-10-31
GB0407892D0 (en) 2004-05-12
US20040255013A1 (en) 2004-12-16
CN100445907C (zh) 2008-12-24
JP2004310779A (ja) 2004-11-04

Similar Documents

Publication Publication Date Title
JP4557588B2 (ja) プロセス制御システムにおける動作オーバライドおよびメンテナンスオーバライドを有する採決ロジックブロック
US7010450B2 (en) Coordination of field device operations with overrides and bypasses within a process control and safety system
JP4499436B2 (ja) プロセス制御システムおよび安全システムを備えるプロセスプラントにおける統合型セキュリティ
US6975966B2 (en) Integrated diagnostics in a process plant having a process control system and a safety system
US6898468B2 (en) Function block implementation of a cause and effect matrix for use in a process safety system
JP4963779B2 (ja) プロセス制御システムおよび安全システムを備えるプロセスプラントにおける統合型コンフィギュレーション
JP4511861B2 (ja) オーバライドおよびバイパスを利用したプロセス制御・安全システム内におけるフィールドデバイスの動作調整
JP6437457B2 (ja) 制御および調節ユニットのシステム状態の不正操作を識別する装置および該装置を含む核技術設備
US11656594B2 (en) Technologies for configuring voting blocks associated with a process control system
Wnuk et al. The Issue of Adaptation of Diagnostic System to Protect Industrial Control Systems Against Cyber Threads
Parekh et al. Opansec-security integrity monitoring for controllers
Homay et al. Instruction Authenticator Framework for Distributed Control Systems based on IEC 61131-3

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20070309

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090825

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20091125

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20091130

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100225

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100629

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100720

R150 Certificate of patent or registration of utility model

Ref document number: 4557588

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130730

Year of fee payment: 3

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250