JP4963779B2 - プロセス制御システムおよび安全システムを備えるプロセスプラントにおける統合型コンフィギュレーション - Google Patents

プロセス制御システムおよび安全システムを備えるプロセスプラントにおける統合型コンフィギュレーション Download PDF

Info

Publication number
JP4963779B2
JP4963779B2 JP2004018854A JP2004018854A JP4963779B2 JP 4963779 B2 JP4963779 B2 JP 4963779B2 JP 2004018854 A JP2004018854 A JP 2004018854A JP 2004018854 A JP2004018854 A JP 2004018854A JP 4963779 B2 JP4963779 B2 JP 4963779B2
Authority
JP
Japan
Prior art keywords
configuration
safety
process control
user
control system
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
JP2004018854A
Other languages
English (en)
Other versions
JP2004234658A (ja
Inventor
シンディ スコット,
ジュリアン ナイドゥ,
ゲリー ロー,
Original Assignee
フィッシャー−ローズマウント システムズ, インコーポレイテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from US10/352,396 external-priority patent/US7289861B2/en
Application filed by フィッシャー−ローズマウント システムズ, インコーポレイテッド filed Critical フィッシャー−ローズマウント システムズ, インコーポレイテッド
Publication of JP2004234658A publication Critical patent/JP2004234658A/ja
Application granted granted Critical
Publication of JP4963779B2 publication Critical patent/JP4963779B2/ja
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B23/00Testing or monitoring of control systems or parts thereof
    • G05B23/02Electric testing or monitoring
    • G05B23/0205Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
    • G05B23/0208Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterized by the configuration of the monitoring system
    • G05B23/0213Modular or universal configuration of the monitoring system, e.g. monitoring system having modules that may be combined to build monitoring program; monitoring system that can be applied to legacy systems; adaptable monitoring system; using different communication protocols
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/418Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM]
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B23/00Testing or monitoring of control systems or parts thereof
    • G05B23/02Electric testing or monitoring
    • G05B23/0205Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
    • G05B23/0259Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterized by the response to fault detection
    • G05B23/0267Fault communication, e.g. human machine interface [HMI]
    • G05B23/027Alarm generation, e.g. communication protocol; Forms of alarm
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F13/00Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
    • G06F13/10Program control for peripheral devices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/445Program loading or initiating
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02PCLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
    • Y02P90/00Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
    • Y02P90/02Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Automation & Control Theory (AREA)
  • Human Computer Interaction (AREA)
  • General Engineering & Computer Science (AREA)
  • Manufacturing & Machinery (AREA)
  • Quality & Reliability (AREA)
  • Testing And Monitoring For Control Systems (AREA)
  • Safety Devices In Control Systems (AREA)
  • Storage Device Security (AREA)

Description

本発明は、一般的にプロセスプラントにおいて用いられる安全システムに関するものであり、より詳細にはプロセスプラントのプロセス制御システムに機能的かつ論理的に埋め込まれるまたは一体化される安全システムに関するものである。
本出願は、2003年1月28日に出願された、表題が「埋め込み型安全システム付きプロセス制御システム」である米国特許出願番号第10/352,396号の一部継続出願であり、本明細書において参照することによりここで明示的にその内容を援用するものである。
化学プロセス、石油プロセス、または他のプロセスにおいて利用されるプロセス制御システムは、アナログバス、デジタルバス、またはアナログとデジタルを組み合わせたバスを介して、少なくとも一つのホストワークステーションまたはオペレータワークステーションと一または複数のフィールドデバイスとに通信可能に接続された一または複数のプロセスコントローラを備えていることが一般的である。フィールドデバイスは、たとえば、バルブ、バルブポジショナ、スイッチ、およびトランスミッタ(たとえば、温度センサ、圧力センサ、および流量センサ)などであり、プロセスプラント内で、バルブの開閉や、プロセスパラメータの測定の如き機能を実行する。また、プロセスコントローラは、フィールドデバイスにより測定されたプロセスの測定値を示す信号および/またはそのフィールドデバイスに関する情報を受信し、この情報を用いて制御ルーチンを実行し、次いで、制御信号を生成する。その信号は、上述のバスまたは他の通信回線を通って、フィールドデバイスに送信され、プロセス動作の制御をおこなう。これらのフィールドデバイスおよびコントローラからの情報は、通常、オペレータワークステーションにより実行される一または複数のアプリケーションに提供され、その結果、オペレータは、プロセスの設定、プロセスの現行状態の閲覧、プロセス動作の修正などの如き、プロセスに関する所望の機能を実行することができるようになる。
さらに、ほとんどのプロセスにおいては、有毒薬品の溢流、爆発などの如き深刻な災害になるおそれのある問題が発生した場合、プロセスプラント内の安全に関する重要な問題を検出し、バルブ閉鎖、デバイス電力の切断、プラント内のフローの切換えなどを自動的に行う個別の安全システムが設けられている。通常、これらの安全システムは、プロセス制御システムコントローラから離れたところに一または複数の個別のコントローラを備えており、これらのコントローラは、プロセスプラント内に配置された個別のバスまたは通信回線を利用して安全フィールドデバイスに接続されている。安全コントローラは、特定の安全スイッチまたは遮断バルブの位置、プロセス内のオーバフローまたはアンダーフロー、重要なパワー生成デバイスまたはパワー制御デバイスの動作、故障検出デバイスの動作などの如き、重要なイベントに関連するプロセス状態を検出するために安全フィールドデバイスを利用し、それにより、プロセスプラント内における「イベント」を検出する。イベントが検出されると、安全コントローラは、そのイベントの有害な影響を抑制するために、バルブの閉鎖、デバイスの停止、プラントの一部のセクションにおける電力の停止などの如きなんらかのアクションを取る。
プロセスコントローラと安全コントローラとの間を分離することは重要なことであると考えられている(また、適用可能な政府規格により指定されることが多い)。その理由は、安全機能を実行するためにプロセスコントローラを利用した場合、そのコントローラが故障すると、安全機能とプロセス制御機能とが同時に故障してしまうことになるからである。しかしながら、安全機能は、プロセスコントローラが故障した場合に最も重要になる。というのは、上記の場合、プロセスが部分的にまたは全体的に制御不能になるからである。
プロセスプラントにおけるプロセスコントローラと安全コントローラとの間を分離した結果、異なる作業員により、異なるハーウェアおよびソフトウェアを用いて、これらのシステムが開発されることになった。事実、場合によっては、プロセス制御システムのハードウェアおよびソフトウェアの基盤設備を安全システムが利用しないので、それらとまったく関連付けされていない、相異なる安全システムハードウェアおよび安全システムソフトウェアが、同一のプロセスプラント内において異なるノードの如き異なる場所で用いられていることがある。いずれの場合であっても、プロセスコントローラと安全コントローラとの間を分離した結果、同一のプラント内において、複数の関連付けされていない相異なる安全システムを別々に設定・監視しなければならないことになる。その結果、同一のプラント内においてこのような相異なるシステムを実現するために、異なる通信基盤設備が利用され、さらにこれらの個別のシステムを設定・監視するために、設定および診断を行うアプリケーションおよびワークステーションが別々に用いられる。同様に、設定活動、診断活動、および監視活動をこれら別々のシステムに対して行うには、通常、別々の作業員が必要になり、安全システムを用いるプロセスプラントの設定および実行の点においてコストがさらにかさむことになる。さらに、安全システム設定および診断ソフトウェアが制御システム設定および診断ソフトウェアと異なるので、通常、これら異なるソフトウェアに対して作業員を別々にトレーニングしなければならない。したがって、トレーニング時間が増えることになる。
従来、同一プラント内のプロセス制御システムおよびプロセス安全システムからのデータを同一のユーザインターフェイス上で統合し、それにより、同一の場所でこれらの異なるデータを閲覧し、操作しようとする試みがなされてきた。しかしながら、この統合方法は、基本ソフトウェアプラットフォームとして、従来の制御システム用のコンフィギュレーションアプリケーション、閲覧アプリケーション、および診断アプリケーションを用い、これらの制御システムソフトウェアに安全システムデータをインポートし、そのあとに統合を実行するというものである。残念なことには、従来の制御システムは、制御システムデータから安全データを区別するというような柔軟性を備えていない。その結果、安全システム情報が制御システムアプリケーションに統合されると、その安全システム値はユーザに表示されている制御システム値と同一に見え、安全システムデータを追跡または区別することが困難になる。
さらに、これらの統合表示システムは、制御システムハードウェア内における安全システムデータの発生場所をユーザに理解させるために、安全システムデータが制御システムコンフィギュレーションにマッピングされることを必要とする。このようなケースでは、二つのシステムに関連するデータ(または、データの送信元または送信先を表すタグ)を定義すべく用いられるアーキテクチャが異なるので、これら二つのシステム間でデータをマッピングするためにユーザインターフェイス内で個別のソフトウェアが用いられる。このようなマッピング技術では、設定および保持の両方のためのプログラミングをユーザが追加する必要があり、また、マッピング機能により導入されるエラーに起因して誤ったデータを生成するおそれがある。
さらに、安全システムデータを従来の制御システムアプリケーションに統合しようとするシステムにおいては、セキュリティの取り扱いは非常に難しい。ユーザインターフェイス製品またはヒューマン・マシン・インターフェイス(HMI)製品の中には、(制御システムとは対照的に)、個々のHMIデータの数値/タグに対して固有のセキュリティを提供することが可能な製品もあるが、そのセキュリティが発動されている安全システムからであることを確実に示すマーキングを各々の数値および/またはタグに対して確実に正しく行うために、ユーザは、依然として、プログラムをHMI内に追加しなければならない。この機能は、安全システムからの数値のすべてを制御システムインターフェイスに確実に正しくマッピングするためのHMIのプログラミングおよび保守を作業員に依存しているので、本質的に誤りが多く、よって、セキュリティが低い。さらに、そのようなマッピング技術を用いることにより、HMIの安全性が重要な意味を持つようになり、よって、安全計装システムが複雑になり、安全性統合化レベルの試験・証明をさらに困難なものにしている。
以上の結果、これらの公知のユーザインターフェイス統合型システムは、制御システムコンフィギュレーションと安全システムコンフィギュレーションとの間で必要なマッピングを行わない限り、またはオペレータインターフェイスと安全計装システムロジックとの間に「ファイアウォール」を形成し、それにより、安全計装システムへの無許可な書き込みを防ぐ特定の安全計装制御ロジックを安全システムコントローラに搭載しない限り、安全計装システムからの読取り値および書込み値をユーザグラフィック上に直接に掲載することができない。さらに、これらの公知の統合型ユーザインターフェイスシステムは、安全計装システムへの書き込み中に入力値または入力パスの汚染が生じないことを担保する安全保護書込み機構を欠いており、さらに、安全計装システムへの数値のすべての書き込みに対して、プロセスグラフィックからの特定の特権または安全計装システムに数値を書き込むことが可能なその他のアプリケーションからの特定の特権を要求する、制御システムに搭載される独自のセキュリティを欠いている。
さらに、安全システムおよび制御システムのコンフィギュレーションは、プロセスプラント内の別々の場所に格納された異なるコンフィギュレーションアプリケーションを利用して作成・閲覧されることが一般的であり、安全システムコンフィギュレーションデータと制御システムコンフィギュレーションデータとの間にはほとんどまたはまったく相互作用(相互接続)がなかった。その結果、ユーザは、制御システムおよび安全システムのコンフィギュレーションを統合的に、たとえばこれら二つのシステムが相互動作する様態を表示するもしくは表す方式で、または別々のシステムに関連するデバイスおよびロジックがプラント内で物理的におよび論理的に相互接続される様態を表示するもしくは示す方式で、閲覧または理解することが困難であった。
同様に、アラームツール、試験ツール、および他の診断ツールの如き、制御システムおよび安全システムに関連する診断アプリケーションは別々に実行されることが多く、一方のシステムの問題が他方のシステムの問題にどのように影響または関係するかを一人のユーザが理解することが困難であった。さらに、診断アプリケーションが別々であるために、異なるシステムに関連するアラームおよび他の診断データが、別々の表示装置、すなわち通常異なるユーザに提示されるか、あるいは同一の表示装置であっても異なる時間に異なるプログラムを用いて提示される結果となる。このように、診断データが非統合的に利用・表示されるので、全プラントの動作、およびそのプラントの動作中に安全システムがプロセス制御システムと相互動作する様態を理解することが困難である。
以上のように、プロセス制御システムと安全システムとを統合した表示を提供することは公知のことであるが、安全システムアラームは、実質的に、プロセス制御アラームとしてプロセス制御システムアラーム表示環境へマッピングされている。その結果、安全システムアラームは、実質的には、プロセス制御システムアラームとして提示され、それにより、アラーム表示装置のユーザは安全システムアラームをプロセス制御システムアラームから容易に区別または分離することが困難になる。さらに、安全システムアラームが、表示目的のために、プロセス制御システムアラームに変換されなければならないので、変換済み安全システムアラームは、安全システム内で実際に検出された時間付けでタイムスタンプされる代わりに、プロセス制御システム内で作成された時間付けで、すなわち表示アプリケーションにより変換された時間付けでタイムスタンプされことになる。その結果、その安全アラームが安全システム内で生成された実際の時間に関するデータが失われることになり、アラーム通信記録情報、アラーム受信了承応答情報、およびアラーム応答情報の誤解を招く結果となる。
プロセスプラントは安全システムを備えており、この安全システムは、安全システムおよびプロセス制御システムがプロセスプラント内で、通信ハードウェアおよび通信ソフトウェア、コンフィギュレーションハードウェアおよびコンフィギュレーションソフトウェア、診断ハードウェアおよび診断ソフトウェア、ならびに表示ハードウェアおよび表示ソフトウェアを安全システムおよびプロセス制御システムがプロセスプラント内で共通に利用できるようにするとともに、安全システムコントローラとプロセス制御システムコントローラとの間に依然として機能的な分離を実現する方式で、プロセス制御システムと物理的かつ論理的に統合されている。一般的に、安全システムコントローラは安全フィールドデバイスに安全通信基盤設備を利用して接続されており、その一方、プロセス制御システムコントローラは制御システムフィールドデバイスに標準制御システムバスまたは通信回線を利用して接続されている。しかしながら、安全システムコントローラは、バスまたは他の通信チャネルを利用してプロセス制御システムに通信可能に接続され、その各々が、共通通信ネットワークを利用してプロセスプラント内の一または複数のオペレータワークステーションに接続されている。その結果、オペレータワークステーション内のソフトウェアは、プロセス制御システムコントローラ(およびそれに関連するプロセス制御フィールドデバイス)および安全システムコントローラ(およびそれに関連する安全フィールドデバイス)の両方と通信し、それらの動作を設定・閲覧することができる。
この統合化には、アプリケーションがデバイスとのデータの送受信をいずれのシステムにおいても同一の方法で、たとえば同一のハードウェアおよびソフトウェアを用いて行うことができるように、安全システムおよびプロセス制御システムの両方に対して一つの共通のデータ通信構造を利用することが含まれている。しかしながら、この共通のデータ通信構造により、安全デバイスからプロセス制御デバイスの識別を、それらのデバイスに対して送受信されるメッセージ内のタグ、アドレス、または他のフィールドを利用して行いうる。それにより、プロセス制御システムに関連するデータを安全システムに関連するデータから区別することが可能になり、よって、ユーザインターフェイス内のアプリケーションは、データの送信元(または送信先)に応じて自動的にそのデータを別々に処理することができる。
一つの例では、表示アプリケーション、コンフィギュレーションアプリケーション、制御アプリケーション、および診断アプリケーションは、プロセス制御システムデバイスへの書き込みに対しては必要とされない、安全システムデバイスへの書き込みに対するセキュリティ手順を自動的に執行しながら、または安全システムデバイスへの書き込みに対しては必要とされない、プロセス制御システムへの書き込みに対するセキュリティ手順を自動的に執行しながら、プロセス制御システムデバイスおよび安全システムデバイスの両方に対する書き込み(または読み取り)を実行可能にしうる。しかしながら、このような書き込みは、書き込まれる必要のあるデータが掲載されている表示アプリケーションのフィールドに基づいてプロセス制御システムに対する書き込みから安全システムに対する書き込みを区別する同一の表示アプリケーションから実行可能にされうる。このようにして、表示アプリケーション、コンフィギュレーションアプリケーション、制御アプリケーション、および診断アプリケーションは、プロセス制御システムから安全システムへのデータマッピングまたは安全システムからプロセス制御システムへのデータマッピングを必要とすることなく、いずれのシステムに対しても書き込みを行うことができる。
さらに、コンフィギュレーションアプリケーションおよび診断アプリケーションは、プロセスプラント内でプロセス制御システムおよび安全システムに対するコンフィギュレーションアクティビティおよび診断アクティビティを行うための共通のインターフェイスを提供することができる。具体的にいえば、コンフィギュレーションアプリケーションは、プロセス制御システムおよび安全システムの一方または両方のユーザによる設定を可能にし、プロセス制御システムコンフィギュレーションと安全システムコンフィギュレーションとの間の相互関係の理解を容易にするためにプロセス制御システムデバイス(ロジック)と安全システムデバイス(ロジック)との間に既知の対応付けを行い、上記のコンフィギュレーション情報を共通データベースに格納しうる。さらに、共通コンフィギュレーションスクリーンは、プロセス制御システムコンフィギュレーション情報および安全システムコンフィギュレーション情報の両方を表示しうる。また、これらのシステムのうちの一方のシステムに生成されたデータは、マッピング手続きを別に実行することなく、他方のシステムの設定または実行に利用しうる。このような共通のまたは統合化されたコンフィギュレーションアプリケーションにより、単一のコンフィギュレーションアプリケーションを用いてプラント全体を設定することが容易になり、この単一のコンフィギュレーションアプリケーションを利用することにより、異なるコンフィギュレーションアプリケーションに対して同一のまたは異なるユーザをトレーニングする必要性を排除することができる。
同様に、診断アプリケーションは、診断データの送信元を見失うことなく統合型診断を実行するために、プロセス制御システムおよび安全システムの両方からのデータを用いるようにプログラムされうる。たとえば、同一のインターフェイス上にプロセス制御システムアラームおよび安全システムアラームの両方を表示するために、優先順位によりアラームをランク付けするために、またアラーム間の関係を示す、たとえば特定のプロセス制御システムアラームがなんらかの方法で特定の安全システムアラームと相関していることを示すなんらかの指標を提供するために、アラーム表示アプリケーションが利用されうる。安全システムデバイスとプロセス制御システムデバイスとを区別する共通通信形式を用いて上述のアラームが診断アプリケーションに送信されるので、この診断アプリケーションは、プロセス制御システムまたは安全システムのいずれにおいてアラームが生成されたのかを検出することができ、またこれらのアラームが生成された場所および時間を見失うことなく両方のタイプのアラームを表示しうる。
図1を参照すると、プロセスプラント10は、安全システム14(破線により図示)に統合されたプロセス制御システム12を備えており、この安全システム14は、プロセスプラント10において可能な安全運転を最大にすべくプロセス制御システム12により提供される制御を監視・無効にする安全計装システム(SIS)として動作することが一般的である。また、プロセスプラント10は、プロセス制御オペレータ、保守作業員、コンフィギュレーションエンジニアなどの如きプラント作業員がアクセス可能な一または複数の(任意のタイプのパーソナルコンピュータ、ワークステーションなどでありうる)ホストワークステーション、コンピュータ、またはユーザインターフェイス16を備えている。図1に示されている一例では、三つのユーザインターフェイス16が、共有通信回線または共有通信バス22を利用して、二つの別々のプロセス制御ノード/安全制御ノード18、20と、コンフィギュレーションデータベース21とに接続されているものとして例示されている。通信ネットワーク22は、任意の所望のバスをベースにしたまたはバスでないものをベースにしたハードウェアを用いて、任意の所望のハードワイヤード通信構造または無線通信構造を用いて、また任意の所望のまたは適切なイーサネットプロトコルの如き通信プロトコルを用いて実現されうる。
一般的にいえば、プロセスプラント10のノード18、20の各々はプロセス制御システムデバイスおよび安全システムデバイスの両方を備えており、これらのさまざまなデバイスは、該デバイスが取り付けられているバックプレーンに設けられうるバス構造を利用して、相互に接続されている。ノード18は、(一対の冗長コントローラでありうる)プロセスコントローラ24と、一または複数のプロセス制御システム入力/出力(I/O)デバイス28、30、32とを備えているものとして図1に例示されており、その一方、ノード20は、(一対の冗長コントローラでありうる)プロセスコントローラ26と、一または複数のプロセス制御システムI/Oデバイス34、36とを備えているものとして例示されている。プロセス制御システムI/Oデバイス28、30、32、34、36の各々は、フィールドデバイス40、42として図1に例示されている一組のプロセス制御関連フィールドデバイスに通信可能に接続されている。プロセスコントローラ24、26、I/Oデバイス28〜36、およびコントローラフィールドデバイス40、42により、概して、図1のプロセス制御システム12が形成されている。
同様に、ノード18は一または複数の安全システムロジックソルバ50、52を備えており、ノード20は安全システムロジックソルバ54、56を備えている。ロジックソルバ50〜56の各々は、(安全コントローラなど、さまざまな名前で呼ばれている)I/Oデバイスであり、このI/Oデバイスは、メモリに格納された安全ロジックモジュール58を実行するプロセッサ57を有し、制御信号を送信するためにおよび/または信号を受信するために、安全システムフィールドデバイス60、62に通信可能に接続されている。さらに、ノード18、20の各々は、少なくとも一つのメッセージ伝送デバイス(MPD)70、72を備えうる。このメッセージ伝送デバイスは、リング型バス接続74を利用して、相互に通信可能に接続されている(図1にはその一部のみが例示されている)。安全ロジックソルバ50〜56、安全システムフィールドデバイス60、62、MPD70、72、およびバス74により、概して、図1の安全システム14が形成されている。
ほんの一例ではあるが、プロセスコントローラ24、26は、エマソンプロセスマネージメントにより販売されているDeltaVコントローラまたはその他の所望のタイプのプロセスコントローラでありうる。このプロセスコントローラ24、26は、(コントローラ24に対する)I/Oデバイス28、30、32、(コントローラ26に対する)I/Oデバイス34、36、およびフィールドデバイス40、42を用いて、(制御モジュールと呼ばれるモジュールを利用する)プロセス制御機能を提供するようにプログラムされている。具体的にいうと、コントローラ24、26の各々は、プロセス10または該プロセス10の一部を任意の所望の方法で制御するために、そのコントローラの内部に格納されているかまたはそのそのコントローラと関連付けされている一または複数のプロセス制御ルーチン75(制御モジュールとも呼ばれる)を実行または監視し、フィールドデバイス40、42およびワークステーション14と通信する。フィールドデバイス40、42は、センサ、バルブ、トランスミッタ、ポジショナなどの如き任意の所望のタイプのフィールドデバイスでありうるし、任意の所望の公開された通信プロトコルもしくはプログラミングプロトコル、所有権を主張できる通信プロトコルもしくはプログラミングプロトコル、または他の通信プロトコルもしくはプログラミングプロトコルに準拠しうる。このような通信プロトコルまたはプログラミングプロトコルには、2〜3例を挙げると、たとえば、(フィールドデバイス40に対して例示されているような)HARTプロトコルもしくは4〜20maプロトコル、(フィールドデバイス42に対して例示されているような)Foundation(登録商標)Fieldbusプロトコルの如き任意のフィールドバスプロトコル、またはCANプロトコル、Profibusプロトコル、もしくはAS−Interfaceプロトコルが含まれる。同様に、I/Oデバイス28〜36は、任意の適切な通信プロトコルを用いる任意の公知のプロセス制御I/Oデバイスでありうる。
図1の安全ロジックソルバ50〜56は、プロセッサ57と、安全フィールドデバイス60、62を用いて安全システム14に関連する制御機能を提供するために上述のプロセッサ57により実行されるように構成された安全ロジックモジュール58を格納するメモリとを備えるいかなる所望のタイプの安全システム制御デバイスであってもよい。もちろん、安全フィールドデバイス60、62は、任意の公知または所望の、上述の通信プロトコルの如き通信プロトコルに準拠するまたはそれを用いるいかなる所望のタイプのフィールドデバイスであってもよい。具体的にいえば、フィールドデバイス60、62は、個別かつ専用の、安全に関する制御システムにより慣習的に制御されるタイプの、安全に関するフィールドデバイスでありうる。図1に例示されているプロセス制御プラント10では、安全フィールドデバイス60は、HARTプロトコルまたは4〜20maプロトコルの如き専用通信プロトコルまたはポイント・ツー・ポイント通信プロトコルを用いるものとして例示されており、その一方、安全フィールドデバイス62は、Fieldbusプロトコルの如きバス通信プロトコルを用いるものとして例示されている。安全システム14の一部として用いられる安全デバイス(安全システムロジックソルバ(コントローラ)50〜56および安全システムフィールドデバイス60、62の両方)は、通常、安全デバイスであると格付けされる。このことは、適切な団体により安全デバイスであると格付けされるために、これらのデバイスが格付手続を踏まなければなければならないことを意味する。
プロセス制御I/Oカード28、30、32、34、36、安全ロジックソルバ52、54、56、58、およびMPD70、72にコントローラ24、26を接続するために、(コントローラ24、26、I/Oデバイス28〜36、安全ロジックソルバ50〜56、およびMPD70、72を通る破線により示されている)共通バックプレーン76がノード18、20の各々において用いられている。また、コントローラ24、26は、I/Oデバイス28〜36、ロジックソルバ52〜56、およびMPD70、72の各々がワークステーション16のいずれかとバス22を利用して通信することを可能にするために、バス22に通信可能に接続され、バス22に対する調停器として動作する。
いうまでもなく、ノード18、20の各々でバックプレーン76を用いることにより、安全ロジックソルバ50〜56は、これらのデバイスの各々により実行される安全機能を協調させるために、データを相互に通信するために、または他の統合機能を実行するために、ローカルに相互に通信することができる。それに対して、MPD70、72は、プロセスプラント10のさまざまなノードにおいて協調安全動作を実現するために、プラント10の非常にさまざまな場所に配置されている安全システム14の一部が依然として相互に通信できるように動作する。具体的にいえば、バス74と協動するMPD70、72により、プロセスプラント10のさまざまなノード18、20に関連付けされている安全ロジックソルバは、プロセス10内において指定優先順位に従いカスケード式に安全に関連する機能を実行可能にするために、カスケード式に相互に通信することができる。あるいは、プラント10の別々の物理的ロケーションまたはノード内の個々の安全フィールドデバイスに専用回線を取り付ける必要もなく、プロセスプラント10内の別々の場所における二を超える安全に関連する機能をインターロックまたは相互接続しうる。換言すれば、MPD70、72およびバス74の利用により、実質的にプロセスプラント10全体に亘り分散されている安全システムでありながら、必要に応じて多種の安全に関連するハードウェアを相互に通信可能にするために、通信可能に相互接続されたさまざまなコンポーネントをその安全システムの内部に備えるような安全システム14を、コンフィギュレーションエンジニアはデザイン・設定することができるようになる。また、以上のような特徴により、安全ロジックソルバを追加することが必要な場合や、プロセスプラント10に新規のプロセス制御ノードが追加される場合に、さらなる安全ロジックソルバを安全システム14に追加することができるので、安全システム14にスケーラビリティを付与することができるようになる。
図2は、プロセスプラント10のノード18、20内およびそれらの間の通信接続をさらに詳細に例示したものである。一般的にいえば、図2に例示されている図1のコンポーネントは同一の参照番号により参照されている。しかしながら、コントローラ24、26は、任意の標準冗長技術を利用しうる一対の冗長コントローラ24A、24B、26A、26Bであるとして図2に例示されている。同様に、安全ロジックソルバ50〜56の各々は、各対に第一の安全ロジックソルバ50A、52A、54A、56Aと第二の安全ロジックソルバ50B、52B、54B、56Bとを有する一対のデバイスであると例示されている。いうまでもなく、安全ロジックソルバ50〜56の各々は、安全フィールドデバイス(図2に図示せず)に接続され、安全システム14内で安全機能を実施する際に利用される同一の安全ロジックモジュール58を格納しうる。安全ロジックソルバ50〜56の各対は、そのロジックソルバ対の間で制御通信を行うために、第一のロジックソルバと第二のロジックソルバとの間に接続されている専用バス50C、52C、54C、56Cを備えている。第一の安全ロジックソルバおよび第二の安全ロジックソルバは、計算を同時に実行することが好ましく、この二つのデバイスからの出力は、適切なバス50C、52C、54C、56Cを利用して、相互に伝送・確認されうる。所望の場合には、第一のデバイスは、第一のデバイスおよび第二のデバイスの両方の出力の基づいて一対の安全ロジックソルバの出力を決定する採決ロジックを有していてもよい。以上に代えて、いかなる所望または公知の冗長技術をロジックソルバ対50〜56に対して用いてもよい。
さらに、MPD70、72の各々は、一対の冗長デバイス70A、70B、72A、72Bとして例示されており、異なるノード18、20のMPDは、一対の冗長相互ノード通信回線または冗長インターノード通信バス74により接続されている。図1では、二つのノード18、20間での通信相互接続が例示されているのみであるが、いうまでもなく、任意の所望の方法でインターノード通信を実現するために、MPDの単一対または冗長対をプロセスプラント10の任意の数の異なるノードに設け、リングタイプのバス構造で相互に接続してもよい。リング状バス構造が一般的に(しかしそれに限定的されずに)用いられるので、第一のノードのMPDは第二のノードのMPDに接続され、第二のノードのMPDは第三のノードのMPDに接続され、それ以降は同様に接続されていき、最後のノードのMPDは第一のノードのMPDに接続される。接続はすべてリング状バス74を利用して行われる。図1に提示されているように、プロセスプラント10に二つのノードのみ存在する場合、ノード20のMPD72A、72Bから出るバス74は、ノード18のMPD70A、70Bの入力部へ直接に接続される。
コントローラ24、26と図1のワークステーションとの間の接続を例示することに加えて、図2はバックプレーン76をさらに詳細に例示している。具体的にいうと、ノード18において、コントローラ24A、24Bは、バックプレーン76に配置されることが好ましいレイルバス回線100を利用して、I/Oデバイス28、30、32、安全ロジックソルバの冗長対50A、50B、52A、52B、およびMPDの冗長対70A、70Bに接続されている。同様に、ノード20において、コントローラ26A、26Bは、バックプレーン76に配置されているレイルバス回線102を利用して、I/Oデバイス34、36、安全ロジックソルバの冗長対54A、54B、56A、56B、およびMPDの冗長対72A、72Bに接続されている。コントローラ24、26は、I/Oデバイス28〜36と安全システムロジックソルバ50〜56およびMPD70、72との間における通信を実現するのみでなく、ワークステーション14とI/Oデバイス28〜36、安全システムロジックソルバ50〜56、およびMPD70、72との間における通信もまた同様に実現するために、レイルバス回線100、102を利用する。換言すれば、プロセスプラント10内で、さらに高度なレベルで安全システムデバイスをプロセス制御システムデバイスに統合化することを可能にするための通信ネットワークとしてレイルバス回線100、102が利用され、その結果、ワークステーション14内に配置されるコンフィギュレーションアプリケーションおよび表示アプリケーションは、プロセス制御システムデバイスおよび安全システムデバイスの両方と通信し、それらを設定し、そこからの情報を表示することができるようになる。
さらに、ノード18に関連して例示されているように、バックプレーン76は、安全システムロジックソルバ50、52の各々を第一のMPD70Aに接続する第一のピア・ツー・ピア(P2P)バス104Aを備えており、第二のP2Pバス104Bは、安全システムロジックソルバ50、52の各々を第二のMPD70Bに接続している。第一および第二のP2Pバス104A、104Bは、単一のバックプレーン76内の安全ロジックソルバ間のローカル通信と、そのバックプレーン76に関連付けまたは接続されているMPD70へのローカル通信とを提供するローカルP2Pバスである。同様に、ノード20は、安全システムロジックソルバ54、56の冗長対の各々を第一のMPD72Aに接続する第一のピア・ツー・ピア(P2P)バス106Aを備えており、第二のP2Pバス106Bは、安全システムロジックソルバ54、56の冗長対の各々を第二のMPD72Bに接続している。第一および第二のP2Pバス106A、106Bは、ノード20のバックプレーン76内の安全ロジックソルバおよびMPD72の間にローカル通信を提供するローカルP2Pバスである。いうまでもなく、第一および第二のローカルP2Pバス104A、104B、106A、106Bは、それぞれのバックプレーン76 上のすべての安全システムロジックソルバ50〜56間に冗長通信路を提供する。所望ならば、ローカルP2Pバス104、106は、このバスに接続された安全ロジックソルバおよびMPDの各々がそのバス上におけるその他のすべてのデバイスからの伝送信号を受信することができ、かつ、一度に一つのデバイスのみが伝送することができるブロードキャストバスとして動作してもよい。もちろん、図2は、異なるノード18、20内のバックプレーン76の各々に接続された二つの安全ロジックソルバを例示しているが、ノード18、20の各々において、冗長対型ロジックソルバまたは独立型ロジックソルバでありうる、任意の所望の数の安全ロジックソルバをバックプレーン76に接続してもよい(それにより、ローカルP2Pバス104、106に接続される)。
所望の場合には、安全ロジックソルバは、時間分割多重アクセス(TDMA)方式を利用して、ローカルP2Pバスメディアを共有してもよく、この方式では、一つの特定のバックプレーン上のすべてのローカル安全ロジックソルバが相互に同期されている。一つのケースとしては、ローカルP2Pバス104、106は、たとえば2Mb/secの処理量を有するRS485マンチェスタ符号化HDLCプロトコルを利用しうる。このマンチェスタ符号化スキームにより、4Mb/secの速度で通信を伝送することができる。この提示した速度は一例にすぎず、他の適切な速度および符号化スキームを同様に選択してもよい。さらに、所望ならば、一つの特定のバックプレーン上のローカル安全ロジックソルバの各々は、バックプレーン76内におけるそれ自体の物理的配置に基づいて、バックプレーン76上で利用されるTDMAスキーム内に伝送時間スロットを決定されてもまたは割り当てられてもよく、それにより、特定のノードにおいてバックプレーン76を設定するために必要なコンフィギュレーションステップの数を減少させることができる。さらに、バックプレーン76の第一および第二のP2Pバス104、106はいかなる所望のメッセージタイプであってもサポートしうるし、ローカルP2Pバス104、106の物理的配線はバックプレーン76内に設けられうる。
遠隔P2Pバス74は、プロセスプラント10の異なるノードに設置された、すなわち異なるバックプレーン76に配置された安全ロジックソルバ間においてデータを通信できるようにするために、リング状トポロジーを用いることが好ましい。MPD70、72は、遠隔P2Pバス74により構成されたリングの周りにメッセージを伝送する責務、MPD70、72と同一のバックプレーン上の安全ロジックソルバから送られたメッセージをリング74に取り込む責務、およびリング74上に存在し、MPD70、72と同一のバックプレーン上の安全ロジックソルバに宛てられたメッセージをその安全ロジックソルバに伝送する責務を有している。遠隔P2Pバス74上ではいかなる数のメッセージでも伝送しうるが、一つの実施例では、任意のP2Pバスサイクル中に、最大、32のメッセージが伝送される。これらのメッセージは、ノード18、20のバックプレーン76上の安全ロジックソルバ50〜56およびリングバス74により相互接続されたプロセスプラント10内の他のノードにおけるその他のバックプレーン上の安全ロジックソルバを含む、1〜32の別々の異なる安全ロジックソルバから発生されることが可能である。しかしながら、以上のような動作の結果、安全システム14内の安全ロジックソルバの全部は、異なるノードに設置された場合でさえも、同期して動作しうる。その理由は、リングバス74がそれらのデバイス間での通信の相互接続を実現し、それにより、同期化を確立することが可能になるからである。リングバス74は、任意の所望のタイプのバス構造およびバスプロトコルを用いうるが、10Mビット/secの伝送速度を有する、10BASE―Tイーサネットプロトコルに準拠したポイント・ツー・ポイントツイストペアケーブル、または10BASE―Fイーサネットプロトコルに準拠した光ファイバケーブルを用いることが好ましい。
図1をもう一度参照すると、ワークステーション16の各々は、プロセッサ77と、該プロセッサ77により実行されるように構成された任意の数のユーザインターフェイスアプリケーション、コンフィギュレーションアプリケーション、診断アプリケーション、および/または閲覧アプリケーションを格納しうるメモリ78とを備えている。コンフィギュレーションアプリケーション80および診断アプリケーション82は、ワークステーション16のうちの一つに格納されているものとして図1の拡大図に例示されており、その一方、ユーザインターフェイスアプリケーションまたは表示アプリケーション85は、ワークステーション16のうちの他の一つに格納されているものとして例示されている。しかしながら、所望ならば、これらのアプリケーションは、ワークステーション16のうちのいずれのワークステーションにより、またはプロセスプラント10に関連する他のコンピュータにより格納・実行されてもよい。一般的にいえば、コンフィギュレーションアプリケーション80より、コンフィギュレーション情報がコンフィギュレーションエンジニアに提供され、このコンフィギュレーションエンジニアは、プロセスプラント10の一部または全部のエレメントを設定でき、その設定をコンフィギュレーションデータベース21に格納できるようになる。コンフィギュレーションアプリケーション80により実行されるコンフィギュレーションアクティビティの一部として、コンフィギュレーションエンジニアは、プロセスコントローラ24、26のための制御ルーチンまたは制御モジュールを作成し、安全ロジックソルバ50〜56のうちのいずれかまたはすべてのための安全ロジックモジュールを作成し、これらのさまざまな制御モジュールおよび安全モジュールを、プロセスコントローラ24、26および安全ロジックソルバ50〜56のうちの適切な装置にバス22およびコントローラ24、26を利用してダウンロードしうる。同様に、他のプログラムおよびロジックを作成し、フィールドデバイス40、42、60、62のうちのいずれか、I/Oデバイス28〜36などにダウンロードするためにコンフィギュレーションアプリケーション80を用いうる。いうまでもなく、個々のプロセス制御システムおよび安全システムに対するこのようなプロセス制御モジュールおよび安全制御モジュールは、それらが実行されるデバイスとは別に作成されてもよい。また、プロセス制御モジュールおよび安全制御モジュールは、相互に直接参照することにより相互に通信可能に接続されてもよく、それにより、特定のデバイスに割り当てられるまえに、プロセス制御ロジックと安全システムロジックとを相互に通信可能に接続することができる。このような特徴により、プロセス制御システムモジュールおよび安全システムモジュールをテンプレートとして作成・格納することが可能になり、プロセスプラント内のデバイスの変更、除去などの場合にこれらのモジュールをさらに容易に移植することが可能になり、一般的に、プロセス制御システム12および安全システム14に対して、これらのシステムに関連する物理デバイスが設置されるまえに、ロジックの設定を行うことが可能になる。
それに対して、診断アプリケーション82は、プロセス制御オペレータ、安全オペレータなどの如きユーザに一または複数の表示画面を提供するために利用されうる。この表示画面は、所望ならば、別々のビューまたは同一のビュー内に、プロセス制御システム12および安全システム14の状態についての情報を有してもよい。たとえば、診断アプリケーション82は、アラーム表示信号を受信してオペレータに表示するアラーム表示アプリケーションであってもよい。所望ならば、そのようなアラームビューアプリケーションは、表題が「アラーム優先順位調整機能を有するプロセス制御システム」である米国特許番号第5,768,119号、および表題が「プロセス制御ネットワークにおける統合型アラーム表示画面」である米国特許出願番号第09/707,580号において開示されている形態を有しうる。上述の引用文献の両方は、本特許の譲受人に譲渡されたものであり、本明細書において参照することにより、ここで明確に援用するものである。しかしながら、上述の特許のアラーム表示画面またはアラームバナーは、プロセス制御システム12および安全システム14の両方からアラームを受信し、統合型アラーム表示画面に表示しうることはいうまでもない。その理由は、両方のシステム12、14からのアラームは、アラーム表示アプリケーションを実行するオペレータワークステーション16に送信されうるし、プロセス制御システムまたは安全システムからのアラームであるということを含む、異なるタイプのデバイスからのアラームであるということを認識しうるからである。所望ならば、オペレータは、プロセス制御アラームと同一の方法でアラームバナーに表示された安全アラームに対して応答(たとえば、受信了承応答、動作不能応答など)を行ってもよい。たとえば、オペレータまたはユーザは、アラーム表示画面の任意の機能を利用して、安全アラームに対する受信了承応答、安全アラームの停止などを行いうる。そのようにアクションすると、バス22およびバックプレーン76上の通信を用いて、安全システム14内の適切な安全ロジックデバイス50〜56にメッセージが送信され、それにより、安全システム14はその安全アラームに対して対応するアクションをとる。同様に、他の診断アプリケーションは、プロセス制御システム12および安全システム14の両方から取得された診断情報または診断データを表示しうる。というのは、これらのシステムは、プロセス制御システムに提供されている従来の表示画面またはビューに対してシステム12、14のうちの一つからのいかなるデータでも統合できるように、同一のタイプまたは種類のパラメータ、セキュリティ、および参照を利用しているからである。
ユーザインターフェイスアプリケーション85は、たとえば、正当なレベルおよびタイプのセキュリティを維持しながら、データ値の操作(たとえば、読み取りまたは書き込みの実行)、およびそれによる制御システムおよび安全システムの一方または両方の内にある制御モジュールまたは安全モジュールの動作変更をユーザに可能にするインターフェイスならばどのようなタイプのものであってもよい。したがって、たとえば、制御モジュール75のうちの一つ、フィールドデバイス42のうちの一つなどの如き、制御システム12に関連する制御モジュールに対して書き込みを行うように指定された場合、アプリケーション85は、その書き込みを実行できるようにするために、正しいセキュリティ手続を執行する。それに対して、たとえば、モジュール58のうちの一つ、フィールドデバイス62のうちの一つなどの如き、安全システム14に関連するモジュールに対して書き込みを行うように指定された場合、アプリケーション85は、その書き込みを実行できるようにするために、正しいセキュリティ基準を課しかつセキュリティ手続を実施し、そのセキュリティ基準が充足させられた場合は、安全システムコントローラ50〜56内にファイアウォールをさらに必要とすることなく、その書き込み命令を適切な安全デバイスに送信する。
いずれの場合であっても、アプリケーション80、82、85は、プロセスコントローラ24、26の各々および安全システムロジックソルバ50〜56の各々に個別のコンフィギュレーション信号、診断信号、および他の信号を送信し、それらからデータを受信しうる。これらの信号は、プロセス制御に関連するフィールドデバイス40、42の動作パラメータの制御に関するプロセスレベルのメッセージを含みうるし、安全に関連するフィールドデバイス60、62の動作パラメータの制御に関する安全レベルのメッセージを含みうるし、プロセス制御システムデバイスおよび安全システムデバイスの両方のデバイスの詳細に関するデバイスレベルのメッセージを含みうる。安全ロジックソルバ50〜56はプロセスレベルメッセージおよび安全レベルメッセージの両方を認識するようにプログラムされうる。その一方、安全ロジックソルバ50〜56は、これら二つのタイプのメッセージを区別することが可能であるが、プロセスレベルのコンフィギュレーション信号によりプログラムされることまたは起動されることは可能ではない。一つの例では、プロセス制御システムデバイスに送信されるプログラミングメッセージは、安全システムデバイスにより認識されかつ安全システムをプログラムするためにそれらの信号が用いられることを妨げる特定のフィールドまたはアドレスを有しうる。具体的にいえば、安全システムロジックデバイス50〜56のうちの一つの如き安全システムデバイスまたは安全システムルーチンに対して送受信されるデータのタグ(パス名など)またはアドレスは、そのデバイスまたはユニットを安全システム14に関連しているものとして識別する特定のフィールドまたはヘディンングを有しうる。そのようなケースでは、アプリケーションに埋め込まれた書き込みセキュリティソフトウェアは、安全システムコンポーネントに対して書き込みが試みられていることをそのデータに付随するタグまたはアドレスにより判断しうる。安全システムコンポーネントに対して書き込み(または、読み取り)が要求されているとセキュリティソフトウェアが判定した場合、セキュリティルーチンは、その安全システムデバイスまたは安全ロジックユニットに対して書き込み(または、読み取り)を行うために必要な特権をユーザが有していることを確認するために、ユーザのパスワードまたは権限の検査の如き任意の所望のセキュリティ手続を自動的に適用する。
所望の場合、安全システムロジックデバイス50〜56は、プロセス制御I/Oカード28〜36に対して用いられるハードウェアデザインまたはソフトウェアデザインと同一のまたはそれとは異なるハードウェアデザインまたはソフトウェアデザインを採用してもよい。しかしながら、プロセス制御システム12内のデバイスおよび安全システム14内のデバイスに対して異なる技術を利用することにより、共通の原因によるハードウェア不良またはソフトウェア不調を最小限に抑えたり排除したりすることが可能となる。
また、ロジックソルバ50〜56を含む安全システムデバイスは、安全に関連する機能に対して許可なく変更が行われるおそれを削減または排除するために、任意の所望の分離技術またはセキュリティ技術を採用しうる。たとえば、安全ロジックデバイス50〜56およびコンフィギュレーションアプリケーション80の場合、ロジックソルバ50〜56内の安全モジュールに対する変更を実行するためには、特定の権限レベルを有する人または特定のワークステーションに配置されている人が必要になる。この権限レベルまたは配置は、コントローラ24、26およびI/Oデバイス28〜36により実行されるプロセス制御機能に対して変更を実行するために必要となる権限レベル、アクセスレベル、または配置とは異なる。この場合、安全ソフトウェア内で指定されているまたは安全システム14に対して変更を行うことを許可されたワークステーションに配置されている人たちだけが、安全に関連する機能を変更する権限を有しており、それにより、安全システム14の動作が変更される可能性を最小限に抑えることができる。いうまでもなく、そのようなセキュリティを実現するために、安全ロジックソルバ50〜56内のプロセッサは、入ってくるメッセージの正しい形式およびセキュリティを評価し、安全ロジックソルバ50〜56内で実行される安全レベル制御モジュール58に対して行われている変更に関するゲイトキーパとして動作する。あるいは、以下でさらに詳細に記載するように、安全ロジックソルバ50〜56に対してメッセージを生成するアプリケーションは、セキュリティ手続きを実行し、安全システムデバイスへの書き込みまたは安全システムデバイスからの読み取りを実行するのにユーザのセキュリティレベルが不適切である場合にはメッセージの送信を拒否しうる。
したがって、所望の場合には、ロジックソルバ50〜56内で安全に関連する機能が実行可能状態にいったんなると、正しいアクセス権なしではオペレータワークステーションを利用して安全機能に対してステータスの変更を行うことはできない。その結果、この通信構造は、安全システム14の初期化を実現するためにまた安全システム14の動作をランタイム状態で報告することを実現するために、プロセス制御システム12に関連する通信構造を使用することが可能であるにもかかわらず、プロセス制御システム12に対して変更を行っても安全システム14に影響を与えないという意味では、安全システム14からプロセス制御システム12を分離することが可能である。
図3は、図1のコンフィギュレーションルーチン80により生成されうる表示スクリーン183を例示し、(ロジックソルバ50〜56および安全フィールドデバイス60、62を含む)安全システム14がプロセス制御システム12と統合されているコンフィギュレーションを提示している。いうまでもなく、図3のコンフィギュレーション表示スクリーン183は、コンフィギュレーションアプリケーション80がプロセスプラント10内のさまざまなデバイスに関連するソフトウェアを設定した様態を例示しており、プロセス制御システムデバイスおよび安全システムデバイスを含む、プロセスプラント10内のデバイスに新規のコンフィギュレーションソフトウェアをダウンロードすることによりプロセスプラント10の現行のコンフィギュレーションを作成または変更するために、コンフィギュレーションエンジニアにより利用されうる。
表示画面183に例示されているように、プロセスプラント10は、該プロセスプラント10内のデバイスの物理的相互接続を表示するために用いられる物理的ネットワークセクション184と、安全システムデバイスを設定するために用いられる安全ネットワークセクション185とを備えている。物理的ネットワークセクション184は、コントローラ187(CTLR1と呼ぶ)を有する制御ネットワークセクションを備えている。図1のコントローラ24、26のうちの一つでありうるコントローラ187は、該コントローラ187により格納され、実行される制御モジュールである一組の指定モジュール188と、通信目的でコントローラ187に接続されているI/Oデバイスセクション189とを備えている。I/Oデバイスセクション189は、図1のバックプレーン76のうちの一つを利用してコントローラ187に接続されるカード190のすべてを例示するために展開されている。この例では、I/Oデバイスセクション189は、プロセス制御入力/出力カードC01〜C05、C11〜C15、C21を備えている。これらのカードの各々は、該カードの各々に接続されるさまざまなフィールドデバイス(図1のフィールドデバイスの個々のデバイス)のアイデンティティおよびそれらに関連する他の情報を示すために展開されうる。同様に、物理的な接続を示すために、二つの安全システムカードC07(BLR1BMS)およびCO17(まだ設定されておらず)が斜線形式で示されている。制御ネットワーク内でまたは制御ネットワークによりこれらの安全システムカードを設定することはできないので、安全システムカードC07およびCO17をこのセクションで展開することはできない。しかしながら、いうまでもなく、スクリーン183の制御ネットワークセクション186を用いて、コンフィギュレーヨン提示画面のそのセクション内の制御モジュール、I/Oデバイス、および/またはフィールドデバイスを追加、削除、または変更することにより、プロセス制御システム12に関連するデバイスを設定することができる。
安全システム14は、BLR1BMS、BLR2BMS,およびLS1と呼ばれる三つの安全ロジックソルバ191〜193を備えるものとして、表示スクリーン183の安全ネットワークセクション185に例示されている。同様に、所望ならば、メッセージ伝送デバイス(たとえば、図1のMPD70、72)は、安全ネットワークセクション185に例示されてもよい。スクリーン183では、安全ロジックソルバ191は、それが指定安全モジュールと、(図1のデバイス60、62のごとき安全フィールドデバイスに接続されている)一または複数のチャネルと、安全パラメータとを備えていることを示すために展開されている。これらのエレメントの各々に対して、さらに詳細な閲覧、スクリーン183の安全ネットワークセクションへの追加、スクリーン183の安全ネットワークセクションでの削除または変更を行うことにより、安全システム14を設定されうる。具体的には、制御ネットワークセクション186を利用してプロセス制御ネットワーク12を設定する方法と同様の方法で、安全ネットワークセクション185を利用して安全システム14を設定・変更することができる。実際、いうまでもなく、制御モジュールまたは安全モジュールを作成し、米国特許番号第5,838,563号に開示されているプロセス制御システムを設定するための方法を用いて、上述の異なる制御システムまたは安全システムに割り当てることができる。上述の引用特許は、本特許の譲受人に譲渡され、本明細書で参照することによりここで明白に援用するものである。
しかしながら、一般的にいえば、安全ロジックモジュールは、コンフィギュレーションライブラリに格納されているモジュールテンプレートオブジェクトから作成され、プロセスプラント10内の特定の安全フィールドデバイスに対して安全機能を実行するために特定の安全ロジックソルバ内で用いられるように構成されうる。安全ロジックモジュールの作成には、安全エンジニアは、特定の制御テンプレート(プロセスコントローラで実行されるプロセス制御モジュールおよび安全ロジックソルバで実行される安全ロジックモジュールの両方を作成するために用いられうるテンプレート)をコピーして特定の安全ロジックモジュールを作成し、図3のコンフィギュレーション表示スクリーン183内の所望の安全ロジックソルバの表示体にその安全ロジックモジュールをドラッグ・アンド・ドロップし、それにより、安全ロジックソルバの一つの如き特定の安全エレメントにその安全ロジックモジュールを割り当てうる。開示されたシステムの実現に際し、安全エンジニアの新規のユーザの役割が作成される。安全システム14を設定する場合、プロセス制御部を管理するコンフィギュレーションエンジニアが安全モジュールを設定するための適切な特権を有していないことがあり、したがって、その安全モジュールの設定は安全エンジニアにより実行されることになる。以上のように、システム内のセキュリティにより、安全エンジニアおよびプロセスコンフィギュレーションエンジニアとを区別する線引きが可能になる。
一つの特定の例では、安全エンジニアは、安全ネットワークメニュー(たとえば、ポップアップメニューまたはプルダウンメニュー)からAdd Logic Solverメニューオプション(図示せず)を選択することにより、安全ネットワークセクション185下に安全ロジックソルバを追加しうる。このとき、次に使用可能なシステム名を有するロジックソルバが安全ネットワーク185下に作成される。自動的に作成されるシステム名は、たとえばLS1で始まりうるが、プロセスプラント10のコンフィギュレーションシステム内において全体的に固有の名称であるならばどのようにでも改名されうる。図3は、二つのロジックソルバが改名され、一つ(LS1)が改名されていないケースを示している。この時点で、ロジックソルバは、依然としてプレースホルダであり、物理ロジックソルバにはまだ結合されていない。次いで、ユーザは、物理的ネットワークセクション184下のロジックソルバ(たとえば、I/Oセクション189下のカードのうちの一つ)をドラッグし、安全ネットワークセクション185にドロップし、特定の物理ロジックソルバ(すなわち、カード)を上述の作成されたプレースホルダに結合させることができる。安全ネットワークセクション185下で特定のロジックソルバがいったん結合されると、そのロジックソルバに行われたコンフィギュレーション変更が実行され、物理ネットワークセクション184下で指定された指定物理ロジックソルバにダウンロードされることになる。さらに、いったん結合されると、安全ネットワークセクション185下のロジックソルバは、物理パスを括弧に入れて示し、物理ネットワークセクション184下のロジックソルバ(カード)は、ロジックソルバ名を括弧に入れて示しうる。安全ロジックデバイス191およびカードCO7は、図3においてこのような方法で相互に結合されている。物理ネットワークセクション184下のカードCO7は、プロセス制御ネットワークセクション186下ではそのカードを設定することができないが、その代わりに、安全ネットワークセクション185を利用してそのカードを設定しなければならないことを示すために細かく展開されている。さらに、安全ネットワークセクション185下のポート(Fieldbus)セクションは、Fieldbus安全デバイスを追加するためのまたは接続するための、安全ロジックユニットまたは安全コントローラ191へのFieldbusポートを示している。
また、所望の場合には、安全ネットワークセクション185下の非結合ロジックソルバを物理ネットワークセクション184下の非結合ロジックソルバにドラッグすることにより結合を実行するか、物理ネットワークセクション184下の非結合ロジックソルバを安全ネットワークセクション185下にドラッグ・アンド・ドロップしてもよい。いずれの場合であっても、プレースホルダを物理ロジックソルバに結合することにより、結果として、括弧で閉じられた参照例を得ることができる。もちろん、安全ネットワークセクション185下のプレースホルダを制御ネットワークセクション内のコントローラ下のI/Oにドラッグ・アンド・ドロップすることはサポートされておらず(そして、現実に、セキュリティシステムにより阻止され)、その結果、プロセスコントローラI/Oデバイス下でロジックソルバカードを作成することができない。それにより、プロセス制御デバイスと安全デバイスとの間の機能的な分離を実現している。安全フィールドデバイス、安全モジュール、パラメータなどの如き低レベル安全エレメントは、これらの低レベルエレメントの表示体をスクリーン表示画面183の適切な位置に移動して放す(たとえば、ドラッグ・アンド・ドロップする)ことにより、特定の安全ロジックソルバに割り当てられうるか結合されうる。
しかしながら、いうまでもなく、同様の技術を用いて、コンフィギュレーションスクリーン183を利用してプロセス制御ネットワーク186を設定することができ、その結果、同一のアプリケーションを利用してプロセス制御ネットワーク(システム)および安全システムの両方を設定することが可能になる。また、いうまでもなく、同様の技術を用いて、プロセス制御ネットワークおよび安全ネットワーク内のエレメント間の相互関係を指定することができる。さらに、プロセス制御ネットワーク186および安全ネットワーク185の両方を設定するために、コンフィギュレーションアプリケーション80が同一の命名構造(エレメントがプロセス制御ネットワークまたは安全ネットワークのいずれに関連しているのかを明記すべく利用されている、これらの名称のフィールドに差異を生ずる)を用いているので、他のすべてのアプリケーションは、プロセス制御エレメントまたは安全エレメントのいずれに対してデータまたは信号が送受信されているのかを、そのデータに付属している名称またはタグに基づいて容易に判定することができる。このような共通のコンフィギュレーションおよび命名構造の結果、安全システムからプロセス制御システムにまたはプロセス制御システムから安全システムにデータをマッピングする必要がなくなる。それどころか、いかなるアプリケーションであっても、プロセス制御デバイスまたは安全システムデバイスのうちのいずれかのデバイスから(セキュリティ基準が充足されていることを前提として)データを受信し、そのデバイスにデータまたは命令を送信することができ、そのデータの名称もしくはタグに基づいて、またはそのデータが送信されているデバイスもしくはロジックエンティティの名称もしくはタグに基づいて、そのデータが属するシステムを識別することができる。
さらに、プロセス制御システムのデバイスおよびロジックと安全システムのロジックおよびデバイスとの間で共通の命名構造が用いられるので、またこれらのエンティティのすべてのデータをコンフィギュレーションデータベースが格納するので、コンフィギュレーションエンジニアは、マッピングを実行する必要もなく、プロセス制御モジュールに安全ロジックモジュールを参照(と通信)させ、安全ロジックモジュールにプロセス制御モジュールを参照(と通信)させることができる。実際のところ、コンフィギュレーションエンジニアは、二つの安全ロジックモジュールまたは二つのプロセス制御ロジックモジュールを相互に参照させるのと同一の方法で、プロセス制御ロジックモジュールを参照するように安全ロジックモジュールを設定すること、または安全ロジックモジュールを参照するようにプロセス制御ロジックモジュールを設定することができる。公知のように、そのような参照関係は、グラフィックコンフィギュレーションスクリーン上で、二つのモジュールの適切な入力と出力との間に線を画面上で引くことにより、または適切なタグ、名称、アドレスなどにより参照される必要があるパラメータを手動で指定することにより確立されうる。一つの実施例では、周知の名称およびパラメータの参照スキームを利用して、そのような参照関係を確立しうる。この場合、モジュールまたは他のエンティティの名称およびそのエンティティのパラメータが、二つのモジュール間の通信に関連するタグ(パス)の一部として指定される。
さらに、所望ならば、プロセス制御システムおよび安全システムに関連するコンフィギュレーションデータは、共通データベース(たとえば、図1のコンフィギュレーションデータベース21)に格納され、その共通データベース内で統合的に格納されてもよく、またコンフィギュレーションアプリケーション80の如き単一のアプリケーションにより任意の所望の時間にアクセスされてもよい。これに代えて、プラントのさまざまなセクションに対するコンフィギュレーションデータは、分散され、プラント10内のさまざまな場所に格納されてもよい。たとえば、図1中のプラントのノード18(ノード18に関連するプロセス制御デバイスおよび安全システムデバイスの両方)に対するコンフィギュレーションデータはデータベースまたはメモリ202としてノード18のコントローラ24に格納されてもよいし、図1内のプラントのノード20(ノード20に関連するプロセス制御デバイスおよび安全システムデバイスの両方)に対するコンフィギュレーションデータはデータベースまたはメモリ204としてノード20のコントローラ26に格納されてもよい。
このように、プラント10に関連するプロセス制御ネットワーク12および安全ネットワークの両方を設定するために、同一のコンフィギュレーションアプリケーションからコンフィギュレーションアクティビティが実行されうる。また、プロセス制御システムハードウェアおよびソフトウェアと安全システムシステムハードウェアおよびソフトウェアとの間の相互関係を示すために、これらのシステムの両方に対するコンフィギュレーションデータが統合されうる。しかしながら、共通のコンフィギュレーションパラダイムが用いられているので、各デバイスに対して固有の名称またはアドレスを提供する、プロセス制御システム12および安全システム14内のエレメントの命名法およびデータアドレス法が担保され、その結果、安全システムコンポーネント(およびデータ)はプロセス制御システムコンポーネント(およびデータ)から容易に区別されうる。それにより、マッピングの必要性が排除される。いうまでもなく、コンフィギュレーションアプリケーション80は、プロセス制御システム(ならびにその内部のすべてのロジックエンティティおよび物理エンティティ)と安全システム(ならびにその内部のすべてのロジックエンティティおよび物理エンティティ)との両方に対して共通のタグ形式、命名形式、アドレス形式、および参照形式を用いる。
さらに、プロセス制御モジュールおよび安全モジュールが同一のエリア内で相互に結合されているので、ロケーション(エリア)依存性を有する共有コンフィギュレーションアイテムおよびランタイムアイテムのみすべてプロセス制御システムおよび安全システムに対して一度だけ定義する必要がある(各システムに対して別々ではない)。これは当然なことである。というのは、各エリアが、プロセス制御システム装置(およびプロセス制御システムロジック)ならびに安全システム装置(および安全システムロジック)の両方を含む装置の論理的グルーピングであるからである。たとえば、「BOILERS」と呼ばれるエリアにおいて複数のボイラが存在しているとする。この「BOILERS」エリア内の各ボイラはそれ自体の安全装置、安全ロジック、プロセス制御装置、およびプロセス制御ロジックを有している。したがって、エリア「BOILERS」内においてプロセスモジュールと同一の論理的ロケーション内に安全モジュールを有することにより、ユーザに対して関連する情報のすべてが一緒に管理され、単一のまたは共通のコンフィギュレーションアプリケーションを利用してその情報にアクセスすることが可能になる。この一例において、所望のならば、ユーザは、「BOILERS」エリア下にUNITSと呼ばれるディレクトリのようなフォルダ(たとえば、図3に例示されているフォルダ)をもう一つ追加することができる。このフォルダ内には、たとえば、三つのボイラに関連するボイラユニット1、ボイラユニット2、およびボイラユニット3が存在する。ここでも、安全モジュールおよびプロセス制御モジュールは、両方とも、どのボイラユニットに対してどの安全モジュール(およびプロセス制御モジュール)が用いられているのかを示すために、正しいボイラユニットディレクトリ下に置かれ、それにより、コンフィギュレーション表示画面に対するさらなる細分化を実現することが可能になる。
したがって、いうまでもなく、同一のエンジニアリングアプリケーションから安全計装システムコンフィギュレーションおよびプロセス制御システムコンフィギュレーションを実行することができ、それにより、単一の場所からコンフィギュレーションの閲覧、管理、試験、バックアップなどを実行することが可能になる。具体的にいえば、コンフィギュレーションデータベースをバックアップするバックアップルーチンの如き単一のコンフィギュレーションデータベース管理ルーチン、データをコンフィギュレーションデータベースに取り入れるインポートルーチン、および他のルーチンを、コンフィギュレーションデータベース内のプロセス制御システムデータおよび安全システムデータの両方に対して用いることが可能であり、それにより、別々のシステムにより必要とされる支援アプリケーションの数を減らすことができる。さらに、プラント10の特定のセクション(たとえば、エリア)の安全計装機能を、その同一のセクション(たとえば、エリア)のプロセス制御コンフィギュレーションと同一の場所で設定し、保存しうる。
以上の結果、プロセス制御システムおよび安全システムの観点からあるエリアに関連する情報は、すべて、単一の場所に存在し、同一のアプリケーションにより設定される。具体的にいえば、プロセス制御システムエレメント(たとえば、プロセスコントローラ24、26またはフィールドデバイス40、42およびモジュールまたはその内部で実行される他のロジック)ならびに安全システムエレメント(たとえば、安全コントローラ50、56またはフィールドデバイス60、62およびモジュールまたはその内部で実行される他のロジック)は、プロセス制御ロジックまたは安全システムロジックを実行するためにどちらのコントローラが用いられるのかとは関係なく、エリア内の同一のアプリケーションにより一緒に論理的に設定される。その結果、コントローラの数、システム内におけるそのコントローラの場所(アドレスおよび/または名称)、およびロジックが割り当てられるコントローラを知る前に、プロセス制御システムおよび安全システムのコンフィギュレーションロジックを作成することができる。このような理由で、安全モジュールを設定するためにプロセス制御システムの物理的な配置を知る必要はない。また、以上のように、物理的ベースではなく論理的ベースによりコンフィギュレーションが実行されることにより、システム間の移植性を向上させることができ、プロセスプラント内の物理的配置の変更に応じてモジュールをロジックソルバへ容易に再割り当てすることができ、プロセス制御コンフィギュレーションロジックおよび安全システムコンフィギュレーションロジックの作成に用いる必要のある包括的テンプレートライブラリを作成することができるようになる。また、安全モジュール間の参照がその安全モジュールの名称/パラメータにより実行されるので、その安全モジュールが割り当てられているロジックソルバと関係なく安全モジュール間の通信を設定することができる。
以上のように、プロセス制御コンフィギュレーションおよび安全システムコンフィギュレーションが統合されているが、コンフィギュレーションアプリケーションは、プロセス制御システムおよび安全システムでコンフィギュレーション作業を行うことができるユーザを別々に規定しうるセキュリティ基準を有する。具体的にいうと、異なるユーザアカウントを利用してアクセスできるようにコンフィギュレーションアプリケーション80を設定しうる。この各ユーザアカウントは特定のユーザエンティティに関連付けされている。ユーザエンティティは、一または複数のユーザでありうるし、また、場合によっては、人とは関係なく単独で動作するアプリケーションである場合もある。簡便であるという理由で、本明細書では、ユーザとユーザアカウントとを交換可能に利用する。
いうまでもなく、各ユーザアカウントは、プロセス制御システムおよび安全システムの両方に対してユーザエンティティの特権を定義するさまざまなアクセス特権を有するかまたは割り当てられている。同一のユーザアカウントは、安全システムコンフィギュレーション機能に対するアクセス特権とは異なる、プロセス制御システムコンフィギュレーション機能に対するアクセス特権を有しうる。また、各ユーザアカウントは、アクセスが皆無であっても、プロセス制御システムおよび安全システムの両方に対してなんらかのアクセスレベルを定義しうる。所望ならば、プロセス制御システムのみに対する一または複数のアクション、安全システムのみに対する一または複数のアクション、またはプロセス制御システムおよび安全システムの両方に対する一または複数のアクションをとることをユーザエンティティに許可するアクセス特権を特定のユーザアカウントが有してもよい。
さらに、プロセス制御システムおよび安全システムの各々に対してさまざまなレベルのアクセス特権が定義されうる。これらのレベルには、たとえば、プロセス制御データまたは安全システムデータのユーザによる読み取りを可能にするレベル、プロセス制御または安全システムのパラメータ値または設定値のユーザによる書き込みを可能にするレベル、プロセス制御または安全システムのモジュールまたは他のロジックのユーザによる作成を可能にするレベル、プロセス制御モジュールまたは安全システムモジュールを適切なデバイスにユーザによりダウンロードすることを可能にするレベル、および一または複数の制御システムデバイスまたは安全システムデバイスの校正手順のユーザによる実行を可能にするレベルが含まれる。もちろん、プロセス制御システムおよび安全システムの一方または両方に対するこれらのアクセス特権をユーザエンティティにいくら与えてもよく、本文で例示した特権に加えてまたはそれに代えて、他のレベルの特権を採用してもよい。
したがって、プロセス制御エンジニアはプラント内の安全システムを設定することができなく、また、安全システムエンジニアはプラント内のプロセス制御システムを設定することができない。上述のように、コンフィギュレーション特権およびランタイム特権に関してユーザセキュリティを実行するセキュリティシステムは、プロセス制御システムおよび安全システムの両方を網羅する単一のアプリケーション(たとえば、コンフィギュレーションアプリケーション)に完全に統合されうる。上述のように、特定のユーザが特定のロケーションで(または特定のアプリケーション内で)有する特権を定義するためにユーザアカウントを設定しうる。所望ならば、プロセス制御システム機能および安全システム機能に加えて、エリアによりランタイムユーザ管理範囲を定義してもよい。したがって、オペレータは、一または複数の特定のエリアにおいて安全システムおよびプロセス制御システムの両方にアクセスすることとができるが、他のエリアにアクセスすることはできない。このように、ユーザとロケーションとを組み合わせて、セキュリティを実行しうる。また、所望ならば、コンフィギュレーションアプリケーションを実行しているコンピュ―タまたはそのロケーションに基づいてセキュリティを実現してもよく、その結果、ユーザは、特定のコンピュータからコンフィギュレーション機能を実行できるためには、そのコンピュータにおいて適切なアクセス特権を有している必要がありうる。
いうまでもなく、安全システムコンフィギュレーションアクティビティとは、米国特許番号第5,838,563号および同第5,940,294号により開示されている方法で、表示画面においてロジックエレメント(たとえば、機能ブロックまたは機能モジュール)を相互接続することであると定義されうる。上述の引用特許は、すべて、本明細書において参照することにより明示的に援用されるものとする。上述の場合には、ロジックを実際に実行する安全システムハードウェアおよび利用する必要のある安全システムI/Oチャネルを定義する必要があるが、それとは関係なく、安全システムの機能またはロジックを(安全システムモジュールの形態で)作成することが可能である。ハードウェアおよびチャネルの定義事項をいったん決定すると、(図3のコンフィギュレーションスクリーンで行うドラッグ・ドロップ操作のような)簡単なハードウェア割り当て操作およびI/O割り当て操作を利用してそのハードウェアにロジックが結合される。この操作により、安全システム間における安全システム機能の移植性を向上させることができ、安全システム14に関するハードウェアロケーションの設定およびチャネルアドレシングの設定に対してさらに優れた柔軟性を提供することができる。さらに、プロセス制御モジュールと同様に、プラントの異なるエリアにおける同等の装置または同一の装置に対して同一の汎用タイプの安全モジュールを簡単に再利用できるようにするために、安全システムロジックモジュールを再利用可能テンプレートとしてライブラリ内に格納することができる。このように、安全システムロジックテンプレートを適切なエリアにコピーし、安全システムハードウェアに割り当てることができる。
さらに、安全システムは、一般的に、それに対応するプロセス制御システムよりも小さいので、安全システムハードウェアに対する安全システムロジックモジュールの割り当てを閲覧するためには、プロセス制御システムのハードウェアおよびロジックから区別して安全システムのハードウェアおよびロジックを容易に見つけだして閲覧できることが重要である。図3に関連して上述したコンフィギュレーションシステムは、そのコンフィギュレーションダイアグラムにおいて別々のヘディングを用いて安全システム14およびプロセス制御システム12のコンフィギュレーション情報を分別または区別できるようにすることにより、上述の機能を実行する。
さらに、安全システムロジックからの情報が、インターロッキングなどの目的のために、プロセス制御システムにおいて必要とされることが一般的である。それにより、上述のように、プロセス制御システムが制御ストラテジで用いるために、プロセス制御システム用の保持レジスタまたは明確なデータ構造に安全システムのコンフィギュレーションをマッピングすることが従来において必要であった。上述の統合型コンフィギュレーションの場合には、安全システムの情報およびデータをマッピングすることなく、プロセス制御システムがこれらのデータを容易に入手することが可能である。その理由は、これらのデータおよび情報のすべてが統合型コンフィギュレーションに供与・格納されており、したがって、プロセス制御システムロジックの他の部分からのデータがプロセス制御システムロジックにより利用可能な方法とまったく同様に、安全システムからのすべてのデータがプロセス制御システムロジックにより直接に利用可能であるからである。この統合化により、コンフィギュレーションの時間および煩雑さが減少し、またデータのマッピングにともなうエラーも著しく減少する。
また、いうまでもなく、安全システムデバイスのコンフィギュレーションデータおよびステータスデータもこの単一のコンフィギュレーション環境内に統合される。これには、デバイスアラームに対するコンフィギュレーションの如きデバイス特有の情報およびデバイス関連の制御システムの情報が含まれる。Foundation Fieldbusの如き通信プロトコルのなかには、制御情報をフィールドデバイスそれ自体の中に包含することができるものもある。安全システム機能の一部としてこの情報を利用することを意図している場合、ロジックの解釈のために、同一かつ単一のコンフィギュレーション環境内にこの情報を有する機能が重要になる。さらに、センサ、アクチュエータ、およびロジックソルバを含む、安全システム14のいずれかの部分からのステータス情報を、制御システム12または安全システ14のうちの適切な方において用いることができる。たとえば、採決スキームにおける降格をデバイスの調子に基づいて行うことができ、または制御システム12におけるインターロックの調整をデバイス調子に基づいて行うことができる。統合型コンフィギュレーション環境がなければ、プロセス制御システム12と安全システム14との間のこのような情報の共有を達成することは非常に困難である。
以上から理解できるように、統合型コンフィギュレーションにより、すべてのタグ付け、パラメータ参照、名称付け、セキュリティなどを一つの共通データベースから設定しうる。これにより、安全性にとり重要な機能のためにプロセス制御システムに対して行われた投資、トレーニングなどをユーザは活用することができる。さらに、共通エクスプローラビュー(たとえば、プロセス制御デバイスおよびプロセス制御ロジックを安全システムデバイスおよび安全システムロジックに統合している図3のビュー)により、ユーザは、プロセス機能、デバイス機能、および安全機能を容易に識別すること、ビュー上の適切なアイテムに対してコンテキストを設定すること、コンテキストにより選択されたアイテム対する命令を明確に識別することなどが可能になる。また、統合型階層により、タグ付けされたアイテムのナビゲーション、検索、報告などが容易になる。また、エクスプローラビュー上の優先度を設定することにより、ユーザにとって必要でない機能を隠すことができる。つまり、所望ならば、各ユーザまたは各ユーザアカウントは異なる優先度を有してもよい。この異なる優先度は、プロセス制御システムコンフィギュレーション情報および安全システムコンフィギュレーション情報を含むコンフィギュレーション情報がそのユーザに対して表示される様態に影響を与える。
コンフィギュレーションアクティビティに加えて、プロセス制御システム12および安全システム14に関連する診断アクティビティも、共通アプリケーションおよびユーザに提示される共通のビューまたは表示画面に統合されうる。具体的にいえば、図1の診断アプリケーション82は、診断情報を提供し、共通のインターフェイスを用いて、プロセス制御システム12および安全システム14の両方に対して診断アクティビティを実行しうる。一つの例では、診断アプリケーション82とは、プロセスコントローラ24、26の両方および安全ロジックソルバ50〜56により生成されたまたはそれらの内で検出されたプロセスアラーム/アラート、デバイスアラーム/アラート、通信アラーム/アラートなどの如き任意のタイプのアラームを受信するアラーム閲覧アプリケーションでありうる。プロセスコントローラ24、26および安全ロジックソルバ50〜56により送信されたメッセージは、プロセス制御ハードウェア/ソフトウェアまたは安全システムハードウェア/ソフトウェアに関連しているものとして区別可能である。これにより、これらのアラームまたはアラートを、アラ―ムの発生源、すなわちそのアラームが安全システムアラームまたはプロセス制御システムアラームのいずれであるかを記録・表示しながら、かつそのアラームがプロセス制御システム12または安全システム14により最初に作成またはタイムスタンプを捺された時間を記録しながら、共通の表示画面上でまたは共通の診断アプリケーション内で統合することができる。
さらに詳細にいえば、コンフィギュレーション80に関して上述した同様の方法で、図1の診断アプリケーション82がプロセス制御システムアラームおよび安全システムアラームの両方を認識することができるので、診断アプリケーション82は、一方のタイプのアラームを他方のタイプのアラームに対して構築された表示画面にマッピングする必要がない。それどころか、アプリケーション82は、ロジックソルバ50〜56のうちの一つまたはプロセスコントローラ24、26のうちの一つにより生成されるアラーム検出と その一つによりアラームメッセージの作成中に生成されるタイムスタンプとをそのまま用いて、任意の簡便な形式でユーザインターフェイス上にその情報を表示できる。しかしながら、アラーム優先順位の判別のため、アラームに対する応答の管理のため、ならびにプロセス制御システムアラームおよび安全システムアラームの両方の機能の有効化/無効化のため、診断アプリケーション82は、プロセス制御システムハードウェアまたは安全システムハードウェアにより受信されたアラームの各々に対して整合性のあるルールを適用することができる。
いうまでもなく、アラーム統合を可能にするために、プロセスコントローラ24、26内のアラーム検出ソフトウェアまたはアラーム検出ロジックは、プロセス制御システムにおいて通常行われるように、アラームを検出し、タイムスタンプを捺し、診断アプリケーション82に送信する。さらに、安全ロジックコントローラ50〜56内のアラーム検出ソフトウェアまたはアラーム検出ロジックは、アラームメッセージを検出し、タイムスタンプを捺し、診断アプリケーション82に送信する。(コントローラ24、26により送信される)プロセス制御アラームメッセージおよび(ロジックソルバ50〜56により送信される)安全システムアラームメッセージの形式は類似しており、同一または共通の形式、タイムスタンプフィールド、アラームの名称またはタイプのフィールドなどを有する。さらに、それらのメッセージは、メッセージまたはアラームがプロセス制御システムデバイスまたは安全システムデバイスのいずれにおいて発生したものかを識別するフィールド、アドレス、タグなどの如きなんらかの表示体を有する。次いで、診断アプリケーション82は、この表示体を利用して、特定のアラームが安全システムアラームまたはプロセス制御システムアラームであることをアラーム表示画面上に表示する。さらに、診断アプリケーション82は、安全システムアラームまたはプロセス制御システムアラームのうちのいずれのアラームであるかに基づいて、異なる、アラーム応答機能、アラーム閲覧機能、およびアラーム有効/無効機能を提供することができる。たとえば、診断アプリケーション82は、安全システムアラームまたはプロセス制御システムアラームのうちのいずれのアラームであるかに基づいて、異なる色彩、表示画面の異なる領域、異なる名称などを用いて、そのアラームを表示しうる。同様に、診断アプリケーション82は、優先順位、名称、タイプ、および/またはアラームが安全システムアラームまたはプロセス制御システムアラームのうちのいずれであるかのごとき任意のカテゴリにより、アラームのフィルタリングまたは分類を可能にしうる。しかしながら、診断アプリケーション82は、プロセス制御システムおよび安全システムの両方において整合性のあるアラームのカテゴリ化を実現するために、一組の共通のルールを用いて、(優先順位に基づいて)安全システムアラームおよびプロセス制御システムアラームを分類しうる。さらに、アラームのタイムスタンプは、プロセス制御システム12または安全システム14の内でそのアラームが最初に検出された時間を示しており、したがって、アラームがプロセス制御システムおよび安全システム内で生成された時間に関する情報をさらに優れたおよびさらに正確なものにすることができる。
図4は、プロセス制御システムアラームと安全システムアラームとを統合したビューを提供する、ワークステーション16内で動作する診断アプリケーション82を示す一例である。一般的にいえば、診断アプリケーション82は、プロセス内に存在するアラームの視点から現行のプロセス動作状態をオペレータが理解または閲覧するために適切な、プロセス制御システム12および安全システム14に関する情報を表示する。アプリケーション82により作成されうる表示画面の一例が、アラーム表示部を内部に有するアラームバナ―273と主表示画面271とを備えているものとして図5に示されている。主表示画面271はプロセスプラントのある区域を例示しており、この区域は、プロセス制御コントロールシステムデバイスと、安全システムデバイスと、アラームバナ―内のアラームのうちの一または複数とに関連する、プロセスプラントにおける上記の区域に関連する他の装置とを備えている。主表示画面271は、タンク内の流体レベル、バルブおよび他の流体用配管のフロー特性、装置の設定値、センサの読み取り値などの如き現行のプロセスプラントの状態についての情報を提供しうる。さらに、この表示画面は、遮断バルブ、停止スイッチなどの如き安全デバイスの現行の状態を示しうる。したがって、いうまでもなく、オペレータは、プロセスプラント10のさまざまな部分またはプラント10内のさまざまな装置を閲覧するために診断アプリケーション82を用いることが可能である。それを実行中、診断アプリケーション82は、プロセスプラントに関連するまたはプロセスプラントで生成される必要な数値、設定値、および測定値を取得するために、コントローラ24、26および安全ロジックソルバ50〜56と通信し、さらに、必要ならば、フィールドデバイス40、42、60、62およびプラント内のその他のデバイスと通信する。
診断アプリケーション82は、コントローラ24、26、I/Oデバイス28〜36、安全システムロジックソルバ50〜56、およびフィールドデバイス40、42、60、62の一部または全部の内でアラーム生成ソフトウェアにより作成されるアラームを受信するように構成されうる。さらに、診断アプリケーション82は、さまざまなカテゴリのアラームを受信しうる。これらのアラームには、たとえば、プロセスアラーム(プロセスのランタイム中に利用されるプロセス制御ルーチンおよび安全ルーチンを形成する、通信可能に相互に接続された機能ブロックにより構成されるモジュールの如きプロセス制御ソフトウェアモジュールまたは安全システムモジュールにより一般的に生成されるアラーム)、コントローラ24、26、I/Oデバイス30〜36、安全ロジックソルバ50〜56、他のワークステーション16などにより生成されこれらのデバイスの状態または機能状態に関連するアラームの如きハードウェアアラーム、およびフィールドデバイス40、42、60、62の一部または全部により生成されこれらのデバイスに関連する問題を示すデバイスアラームが含まれる。これらのまたは他のカテゴリのアラームは任意の所望の方法で生成されうる。もちろん、診断アプリケーション82は、アラームが発生した場所、すなわちアラームがプロセス制御システム12で発生したのか安全システム14で発生したのかに加えて、そのアラームのタイプ(たとえば、プロセスアラーム、ハードウェアアラーム、およびデバイスアラーム)を提示してもよい。
所望の場合には、診断アプリケーション82は、アラームを受信し、複数のファクタに基づいてフィルタリングしてもよい。具体的にいえば、診断アプリケーション82は、アプリケーション82が実行されるワークステーション、ワークステーションにログインするオペレータまたは作業員、およびアラームのカテゴリ、タイプ(プロセス、ハードウェア、デバイスなど)、優先順位、ステータス、発生時間、発生源(プロセス制御システムまたは安全システム)などの如き、オペレータ設定可能な設定項目に基づいてアラームをフィルタリングしうる。たとえば、アプリケーション82は、アラームをフィルタリングし、該アプリケーション82が実行されているワークステーションが受信するように設定されている、プラントのエリアまたはセクションからのアラームだけを表示しうる。すなわち、プラントの特定のエリアまたはセクションに対するアラームが特定のワークステーションにおいて表示されない場合がある、それどころか、各ワークステーションは、プラント内の一または複数の特定のエリアに対するアラームを表示するように限定されうる。同様に、アラームはオペレータのアイデンティティによりフィルタリングされうる。具体的にいえば、オペレータは、特定のタイプ、優先順位などを有するアラームを閲覧するように限定されるか、あるいは、プラントのあるセクションまたはサブセクション(たとえば、エリア)からのアラームを閲覧するように限定されうる。また、診断アプリケーション82は、オペレータの利用許可に基づいてアラームをフィルタリングし、表示しうる。これらのワークステーションおよびオペレータのフィルタリング設定値は、本明細書において、ワークステーションおよびオペレータの制限範囲と呼ばれ、プロセス制御アラームおよび安全システムアラームの一方または両方の閲覧・操作を特定のオペレータに許可するセキュリティ機能を備えうる。
また、診断アプリケーション82は、オペレータ設定可能な設定項目に基づいて、閲覧可能なアラーム(すなわち、ワークステーションおよびオペレータ制限範囲内のアラーム)をフィルタリングしうる。このオペレータ設定可能な設定項目には、たとえば、アラームカテゴリ(たとえば、プロセスアラーム、デバイスアラーム、またはハードウェアアラーム)、アラームタイプ(通信、故障、推奨、保守など)、アラーム優先順位、モジュール、デバイス、ハードウェア、アラームの属するノードまたはエリア、アラームに対する応答または抑制、アラームがアクティブか否か、アラームがプロセス制御システムアラームまたは安全システムアラームのいずれであるかなどが含まれる。
図4を再び参照すると、診断アプリケーション82は、図1のワークステーション16のうちの一つにより実行されものとして例示されている。また、このワークステーション16は、イーサネット接続22を介してコントローラ24、26と通信する、通信層またはスタック262の如き通信ソフトウェアを格納・実行し, コントローラ24、26、安全ロジックモジュール50〜56、I/Oデバイス28〜36、フィールドデバイス40、42、60、62、および/または他のワークステーション16により送信される信号を受信する。また、通信層262は、コントローラ、I/Oデバイス、フィールドデバイス、安全ロジックソルバ、およびその他のワークステーションに対して送信されるアラーム応答信号などの如きメッセージを正確にフォーマットする。通信ソフトウェア262としては、たとえばイーサネット通信に最近利用されているような通信ソフトウェアであるならば、公知または所望のいずれの通信ソフトウェアでもよい。もちろん、通信スタック262は、ワークステーション16内で実行されるコンフィギュレーションアプリケーション、診断スアプリケーションまたは他のプロセスアプリケーション、データベース管理アプリケーションなどの如き、他の機能を実行する他のソフトウェアに接続されてもよい。
図4の診断アプリケーション82は、通信層262からアラームを受信するアラーム処理ユニット264を有し、それらのアラームを逆符号化し、逆符号化されたアラームをデータベース266に格納する。また、診断アプリケーション82は、ワークステーション16に関連するユーザインターフェイス269(たとえば、CRT、LCD、LED、プラズマディスプレイ、プリンタなど)上にどのアラームを表示する必要があるのかを決定するためにアラーム処理ユニット264が利用するフィルタ268を有している。アラームフィルタ268は、データベース266内にその設定値を格納しうる。これらのフィルタ設定値は、ユーザの必要性に基づいてユーザにより事前に設定されてもよくおよび/または変更されてもよい。
一般的に、上述のフィルタの設定値は、アラームのカテゴリおよび優先順位を制御してもよく、所望ならば、複数の異なる判断基準を利用して、表示するアラームの順番を確立してもよい。まず、ワークステーションおよびオペレータの制限範囲は、オペレータアイデンティティおよびそのオペレータがログオンするワークステーション、アラームがプロセス制御システムアラームまたは安全システムアラームのいずれであるかなどに基づいて、特定のオペレータが何を閲覧できるか(たとえば、どのアラームが特定のワークステーションにおいて表示されうるか)に影響を与える。この場合、操作ライセンスが各ワークステーションに割り当てられてもよく、操作ライセンスなしでは、アラーム情報および全てのアラームリスト/要約表示画面が空の状態になるようにしてもよい。換言すれば、いかなるカテゴリ(すなわち、プロセス、ハードウェア、またはデバイス)のまたはいかなる発生源(プロセス制御システムまたは安全システム)からのアクティブアラームまたは抑制アラームもアラーム処理ユニット264により表示されない。さらに、現行のオペレータ権限範囲(オペレータは通常少なくともそのプラント領域の一つのセキュリティキーが与えられている)内におけるプラントエリアからのアラームのみがそのワークステーション上のアラーム表示画面に表示されることが許される。また、プラントエリアフィルタリング表示画面またはプラントユニットフィルタリング表示画面を用いてオフ状態になっていないプラントエリアおよびプラントユニットからのアラームのみがアラーム表示画面に表示されることが許される。このように、フィルタ268は、まず、ワークステーション・オペレータ制限範囲外からのアラームと、オペレータによりオフ状態になっているプラント領域またはプラントユニットからのアラームとが表示されることを防いでいる。
上述のワークステーションおよびオペレータの制限範囲にアラームが適合しているか否かを試験したあと、フィルタ268は、アラームをフィルタリングし、オペレータの設定項目に基づいてそのアラームの表示順位を決定する。オペレータ設定項目には、たとえば、アラームカテゴリ、アラーム優先順位、アラームタイプ、アラームの受信了承応答ステータス、アラーム抑制ステータス、アラーム発生時間、アラームのアクティブステータス、アラームの発生源(プロセス制御システムまたは安全システムのうちのいずれか)などが含まれうる。受信されたアラームは、アラームメッセージを利用して、アプリケーション82に送信されるが、上述の設定の各値に対応するパラメータ値を有している。フィルタは、そのアラームの適切なパラメータ値とフィルタ設定値とを比較することにより、アラームをフィルタリングして表示する。アラーム処理ユニット264は、アラームが発生したアドレス、アラームメッセージ内のフィールドなどに基づいてアラームの発生源を検出しうる。フィルタ268により通過させられるアラームの表示順序をオペレータが設定しうるが、事前設定された設定値によりその表示順序が決定されてもよく、それにより、さまざまなアラームの表示がさらに整合性のあるものになる。
いずれの場合であっても、オペレータは、ユーザが最も興味を有するアラームの発生源および/またはカテゴリに基づいて、アラームを表示する様式をカスタマイズすることができ、その表示する様式とは、プロセスアラーム、デバイスアラーム、もしくはハードウェアアラームの如き一つのカテゴリのすべてのアラームであってもよく、プロセス制御アラームもしくは安全システムアラームの如き一つの発生源のすべてのアラームであってもよく、または二つ以上のカテゴリおよび発生源のアラームを組み合わせたものであってもよい。また、ユーザは、アラームの提示方法およびアラームとともに提供される情報を管理しうる。このように、診断アプリケーション82を利用することにより、一人の作業員が安全オペレータおよびプロセス制御オペレータの作業を行うことができる。あるいは、同一のシステムにおいて、プロセス制御オペレータはその同一のシステムを利用してプロセス制御アラームのみを閲覧し、それと同時に、安全オペレータは安全アラームを閲覧することができる。このように、同一の時間に(異なるワークステーションにおいて)、プロセス制御システム12および安全システム14の動作機能に関連するアラームのさまざまな態様を閲覧するために、さまざまなタイプの人により同一の診断アプリケーションを用いることが可能となる。
アラーム処理ユニット264が、フィルタ268を利用し、表示画面269においてユーザに対して表示されるべきアラームとそれらのアラームの表示順番とを決定したあと、アラーム処理ユニット264はユーザ表示インターフェイス270にこの情報を提供する。該ユーザ表示インターフェイス270は、任意の標準または所望のオペレーティングシステムを利用し、任意の所望の方法によりアラーム表示画面269上にアラーム情報を表示する。もちろん、ユーザ表示インターフェイス270は、プロセス制御システム12および安全システム14に関する配置情報または設定情報、そのシステム内のパラメータ値または信号値などの如き他の必要な情報を、データベース266から、または通信層262を介してプロセスプラントから受信される他の通信信号から取得する。また、ユーザ表示インターフェイス270は、たとえば、特定のアラーム、アラーム設定またはフィルタ設定の変更、新しいアラーム表示画面などについてのさらなる情報を要求する命令をユーザから受信し、この情報を上述の処理ユニット264に提供する。次いで、この処理ユニット264は、要求されたアクションをとり、データベース266を検索してアラーム情報などを取得し、表示画面269を介してユーザに新しいアラームビューを提供する。
以上のように、なんらかの簡便なメッセージ形式で表示デバイス269上に表示可能とするために、プロセス制御アラームおよび安全アラームを含むさまざまなカテゴリまたは発生源のアラームが診断アプリケーション82に対して送信され、診断アプリケーション82により受信される。その結果、さまざまなカテゴリおよびタイプのアラームが同一インターフェイス上に統合され、プロセス制御システムおよび安全システムの不良動作に関するさらなる情報がオペレータに提供される。本明細書で記載される統合型表示画面により、オペレータは、同一のスクリーンデバイスまたは表示デバイス上で、実際のプロセス制御システムアラームおよび安全システムアラームを閲覧することができ、それらのアラームの各々を同一の方法で処理することができる。
もちろん、ユーザインターフェイス上でさまざまなプロセス制御アラームおよび安全アラームを表示しうる方法が多くある。一つの実施例では、プロセス制御アラームおよび安全アラームは、プロセスアラームが従来表示画面上で処理された方法と同様の方法で処理されうる。その結果、オペレータは、オペレータがプロセス制御アラームに対して応答または抑制するのと同一の方法で、安全アラームに対して応答または抑制できる。同様に、プロセス制御アラームおよび安全システムは、アラームのタイプ、優先順位、名称、プロセスのセクション、状態などを示す方法で表示されうる。また、アラームに関連する主表示画面がユーザに対して表示されうる。この主表示画面とは、アラームの発生源、またはそのアラームの発生源であるまたはそのアラームに関連するモジュール、プロセスループ、デバイス、ノード、エリアなどの如き、アラームに関連するハードウェアエレメントまたはソフトウェアエレメントの機能をユーザに容易に理解または閲覧させるために作成される表示画面のことである。たとえば、主表示画面は、デバイスの物理的写真、デバイスが設置されている部屋またはエリアのデジタル写真またはデジタル図面、プラント図面の一部の如き、デバイスに関連する他の情報、実行中のプラント内のデバイス間の接続を示した模式図または概念図などでありうる。アラームの主表示画面は、ユーザにより作成されうる。この表示画面は、たとえば、アラームに関連するモジュール(プロセスアラームの場合)、デバイス(デバイスアラームの場合)、およびプラントのノード(ハードウェアの場合)を指向したものまたはエリアもしくはセクションを指向したものでありうる。この表示画面は、異なる機能に連動させることも可能である。たとえば、プロセスアラーム主表示画面はプロセス操作機能を指向したものであり、デバイスアラーム制御主表示画面はフィールドデバイス保守機能を指向したものであり、ハードウェア制御主表示画面はノード保守機能を指向したものでありうる。ハードウェアアラームの主表示画面は、たとえば、コントローラの配置場所の写真、アラームステータスがすべて示されているコントローラI/Oハードウェアの模式図、コントローラがサポートしているユニット概要画面または主表示画面へ案内するボタン、保守手順チェックリストなどでありうる。同様に、デバイスアラームの主表示画面は、ユーザにより作成されうる。この表示画面は、たとえばデバイス保守機能を指向したものでありうる。主表示画面はデータベース266(図4)に格納されうる。ある主表示画面に関連するアラームが選択されると、その表示画面がアクセスされ、表示装置269上に提示されうる。もちろん、異なるアラームに対して同一のまたは異なる主表示画面が用いられてもよい。
一つの実施例では、たとえば表示スクリーンの縁部にあるアラームバナ―の形態で、統合型アラーム情報が表示画面上でユーザに提供される。ここで、図5を参照すると、アラームバナ―273がスクリーンの下部に設けられている。アラームバナ―273は、プロセス制御システム12および安全システム14により生成されかつフィルタ268を通過して表示画面に至ったさまざまなアラームの表示体を表示する第一の行を有している。アラームバナ―273に示されているアラームのうちの少なくとも一つは、主表示画面271に示されているプロセス制御システムおよび安全システムの一部と関連しうる。アラームバナ―273に表示されるアラームの細目およびそれらのアラームの順番は、フィルタ268のフィルタ設定に従って決定される。一般的にいえば、受信了承応答または抑制されていない最も優先順位の高いアラームが最初に表示され、次いで、その次に優先順位の高いアラームが表示され、以下同様に表示されていく。図5に例示されているスクリーンでは、最も優先順位の高いアラーム274はプロセス制御アラームであり、PID101の名称を有する制御ルーチンと関連しているものとして例示されている。このアラーム274はその優先順位が重要であることを示すために赤色で表示されている。上述のアラームバナ−273の第二の行では、アラーム情報フィールド276が、アラームバナー273内で現時点で選択されているアラームに関連するアラーム情報を表示している。プロセス制御アラーム274が選択されている図5の例では、アラーム情報フィールド276は、アラーム274が金曜日12時52分19秒に生成され、「タンク16レベル制御」に関連しており、PID101/HI_HI_ALMの記号表示または名称を有し、高―高レベルの優先順位を有し、かつ重要なアラームであることを表示している。アラーム274が点滅している場合は、アラーム274が受信了承応答されていないことを示し、その一方、アラームバナ−273内の不変(点滅していない)のアラームの表示は、そのアラームがあるオペレータまたはあるユーザにより受信了承応答されたことを示す。もちろん、他のタイプのアラーム情報をアラーム情報フィールド276内に表示してもよい。
いうまでもなく、アラームバナー273内のアラーム表示278の如き他のアラーム表示は、プロセスプラントの関連エリアまたはセクションにおける安全システムデバイスに関連する安全システムアラームでありうる。この安全システムアラームは、プロセスアラーム(安全ロジックモジュールにより生成)、ハードウェアアラーム(安全ロジックソルバにより生成)、およびデバイスアラーム(安全システムフィールドデバイス60、62のうちの一つにより生成)を含む任意のタイプのアラームでありうる。これらの他のアラーム表示は、アラームに関連する重要度もしくは優先順位の他のレベルまたはアラームの他の発生源を示すために、黄色、紫色などの他の色彩で行いうる。アラーム278, 280, 281、282の如き他のアラームが選択された場合、そのアラームに関するアラーム情報がアラーム情報フィールド276内に表示される。アラームバナ−273内でアラームを見つけると、オペレータは、そのアラームに対して受信了承応答を行い、そのアラームの発生に至った状態を是正するための適切なアクションを取ることを保守作業員または技術者に対して警告するか、あるいは、そのアラーム状態を避けるために、プロセス制御システムまたは安全システム内で、特定の設定値を再設定するが如き適切な他のステップを取ることができる。プロセス制御アラームのみを表示するために用いられる場合、図5の表示画面は、DeltaV制御システム内で現在提供されている公知のオペレータ表示画面と同等である。しかしながら、いうまでもなく、図5のアラーム表示画面は、プロセス制御システムアラームおよび安全システムアラームの両方の表示および制御を統合する。
以上のように、アラームバナ−273内のアラームのうちの一つ(たとえば、アラーム274)を選択することにより、そのアラームの主表示画面271が提示される。具体的にいえば、図5に例示されているように、スクリーンの主要部は、プロセスプラント内の特定のアラーム(選択されたアラーム)に関係する適切なハードウェアの主表示画面271または主画像を有する。図5の例では、ハードウェアは、多種のセンサが取り付けられた三つのタンクを有しており、それらのタンクは多種のバルブと流体フローラインにより相互に接続されている。このハードウェア画像はプロセスプラントの一部の内の装置を表現したものであり、タンク、センサなどに関連する特定の数値またはパラメータの如き、その装置の一部の動作についての情報を提供している。この表示された装置は、プロセス制御装置および安全システム装置の一方または両方でありうる。もちろん、この情報の一部は、データベース266内のコンフィギュレーション情報により、またはプロセス制御システムおよび安全システム内のセンサからの信号により提供されてもよい。後者の場合には、そのような情報は、通信層262を介して送信され、任意の公知または所望のソフトウェアを利用してユーザ表示インターフェイス270に提供される。
また、図5に例示されているように、PID制御ユニット(モジュール)用「仮想装置」を示したフェイスプレート272が、アラームバナ―内のアラームのうちの一つ(この場合、プロセス制御アラーム274)に対するさらなる情報として例示されている。フェイスプレート272は、選択されたプロセス制御アラームに関する情報をさらに提供し、制御ユニットの名称(モジュールPID101)およびそのモジュールに関連する特定の設定またはパラメータを明示する。プロセスを上述のように画像表示することは、今日では、プロセス制御アラームのために利用されているので、これ以上詳細には記載せず、以下の事項を記載するのみにとどめておくことにする。すなわち、プロセスプラントの一部または全部に対して、上述のような画像表示またはその他所望の画像表示もしくは非画像表示が表示画面上に提示されることにより、オペレータの如きユーザが、プロセス制御システムエンティティおよび安全システムエンティティを含む、プラントの任意の部分の動作機能またはハードウェア機能を閲覧することができるようになる。もちろん、個々のハードウェアユニット、関連するハードウェア群、プラントの一部またはエリアのブロック線図もしくは他の線図などを表示画面により表示または表現してもよい。
図4を再び参照すると、診断アプリケーション82は、また、アクティブアラーム要約制御ルーチン290と、抑制アラーム要約制御ルーチン292とを有しうる。それらのルーチンは、現在システム内においてアクティブなアラームまたは抑制されたアラームの要約を例示する表示画面をユーザに提供するために利用されうる。もちろん、いかなる方法でこれらの要約が整理され、表示画面269上に提示されてもよい。また、これらの要約は、プロセス制御システムアラームと安全アラームとを同一の表示画面もしくはリストに一緒に要約したものであっても、または所望ならば、別々に要約したものであってもよい。もちろん、診断アプリケーション82は、ユーザが指定したアラームを閲覧・操作できるか否かの判定において適切なセキュリティ手順を実行するセキュリティルーチン294も有している。具体的にいえば、セキュリティルーチン294は、どのユーザがプロセス制御システムアラームおよび/または安全システムアラームを閲覧することができ、どのユーザがそのアラームに対して受信了承応答、抑制などを行うことによりそのアラームの操作を行うことができるのかを管理するように設計された一組のルールを実行しうる。したがって、セキュリティルーチン294により、あるユーザが安全システムアラーム以外の一定のプロセス制御アラームを受信了承応答または抑制することができ、他のユーザがプロセス制御システムアラーム以外の一定の安全システムアラームを受信了承応答または抑制することができ、さらに他のユーザが両方のタイプのアラームを受信了承応答または抑制することができるようになりうる。もちろん、プロセス制御システムアラームおよび安全アラームの閲覧、これらのアラームの受信了承応答、これらのアラームの抑制などに対して異なるルールまたは特権を確立・執行してもよい。所望ならば、多種のタイプのアラームを一緒に表示してもよい。その結果、たとえば、安全デバイスアラームをプロセス制御デバイスアラームと一緒に表示してもよく、安全プロセスアラームをプロセス制御システムプロセスアラームと一緒に表示してもよく、安全ハードウェアアラームをプロセス制御システムハードウェアアラームと一緒に表示してもよい。もちろん、アラームのタイプおよび発生源またはそれらの任意の組み合わせに基づいて、これらの異なるアラームを一緒にまたは別々に閲覧してもよい。
さらに、安全アラームおよび安全イベントは、プロセスアラームおよびプロセスイベンとともに、同一のデータベース内に電子的に格納され、その各々は、データベースに格納される時には、その時間が記録されうる。その結果、プロセスアラームおよびプロセスイベントの格納時間記録済み履歴記録は安全アラームおよび安全イベントの格納時間記録済み履歴記録と統合される。このように統合されたデータベースは、その内部で生じているアラームおよびイベントに基づいて、プロセス制御システム12と安全システム14との間の相互作用をさらに容易に理解・判断するために利用されうる。
いうまでもなく、診断アプリケーション82は、異なる診断アクセス特権またはアラーム画面アクセス特権を定義するためにコンフィギュレーションアプリケーション80に関連して上述したものと同一のユーザのアカウントおよび特権を用いることができ、これらの特権は、アラームのタイプ、アラームの発生源(プロセス制御システムまたは安全システム)などに基づいて、さまざまなユーザエンティティがアラームの閲覧、受信了承応答、停止(有効化/無効化)を行うことができるように設定されうる。また、いうまでもなく、ユーザのなかには、プロセス制御システムアラームのみ、安全システムアラームのみ、または両方の一部または全部を閲覧、受信了承応答、停止することができるユーザがいる場合もある。さらに、どのユーザがアプリケーション82をアクセスしているかに基づいて、診断(たとえば、アラーム閲覧)アプリケーション82が、異なる画面、フィルタ設定などを自動的に提供することができるように、各ユーザアカウントには優先度が関連付けされうる。
統合型診断アプリケーション82の一例として統合型アラーム(およびアラート)閲覧アプリケーションが説明されたが、同様に、他のタイプの統合型診断アプリケーションを利用してもよい。具体的にいえば、診断アプリケーション82は、プラント内のデバイスまたは装置の内に収納されている診断情報の如き、プラント内に収納されている診断情報のいずれの診断情報であってもユーザが取得できるように、プロセスプラント内のエリア、ユニット、デバイス、コントローラ、モジュール、ロジックユニットなどの階層的ビューを提示してもよい。そのような階層的ビューは、図3のコンフィギュレーションビューに似ているが、さまざまなエリア、ユニットなどに関連するプロセス制御システムおよび安全システムの各々に対しさまざまなデバイス、モジュールなどを示したようなものであってもよい。このようなビューの利用により、ユーザは、その階層を次々へと下がってプロセスのエリア、ユニットなどへ到達していくことができるようになり、その結果、プロセス制御システムのデバイス、モジュール、機能ブロックなどへ到達していくことが可能になり、安全システムデバイス、モジュール、機能ブロックなどへ到達していくことが可能になり、あるいは、それらの両方を到達することが可能になる。そのビューの任意の地点で、ユーザは、デバイス、モジュール、機能ブロックなどから現時点で入手可能なまたはそれらに関する診断データにアクセスまたは閲覧しうる。この診断データには、デバイス、モジュール、機能ブロックなどそれ自体により生成された診断データ、または校正ツールおよび試験ツールの如き他のツール(ハードウェアツールおよびソフトウェアツールでありうる)によりそのエンティティについて求められた診断データが含まれる。このような診断データは、調子データ、モードデータおよびステータスデータ、現行の設定データもしくは動作パラメータデータ、または装置から入手可能なその他のデータを含む。このように、ユーザは、診断アプリケーション82を利用して、プロセス制御システム装置および安全システム装置の両方の調子の現行の状態を体系的にまたは統合的に理解し、共通のアプリケーションおよび共通の表示スクリーンを利用してプラント内の任意の診断データにアクセスする。
さらに、そのような診断アプリケーション82は、プロセス制御システム装置および安全システム装置の一方または両方からの診断データを有する要約ビューを提供しうる。さらに、統合型ビューは画面上方送りを行うことが可能なものでありうる。その結果、ユニット、エリアなどの診断データを要約的にまたは一体として閲覧することができ、またエリア、ユニットなどにおけるプロセス制御システム装置および安全システム装置の両方からの診断データを用いてそのエリア、ユニットなどの全体な統合性を判断することが可能になる。所望ならば、診断ツールをこの診断アプリケーション内に格納し、そこから実行してもよい。たとえば、(たとえば、安全システム制御ループまたはプロセス制御システム制御ループに対して用いられうる)制御ループチューナを診断アプリケーション82内に格納し、そこから実行してもよい。制御ループの調整が不十分であることまたは所望の許容範囲内で動作していないことを制御ループまたは制御モジュールに関する診断データが示す場合、ユーザはこのツールを実行することを選択しうる。他の診断ツールには、どのようなタイプのデバイス、ロジックモジュールなどに対してでも用いられるような校正ツールおよび試験ツールが含まれる。
さらに、ワークステーション16(図1)にセキュリティを提供するために、共通のセキュリティアプリケーションをそのワークステーション16で実行しうる。この共通のセキュリティアプリケーションにより、ユーザは、一度だけ、ワークステーションに(たとえば、ユーザアカウントを利用して)ログオンすることができ、そのユーザエンティティおよびワークステーションに与えられた特権に基づいて、プロセス制御システム12および安全システム14の一方または両方に対して、たとえば、設定/コミッション、ダウンロード、閲覧、および動作(すなわち、パラメータ値の書き込み)のためのさまざまなアプリケーションを実行することができる。このような共通のセキュリティアプリケーションを利用してアプリケーションを統合することにより、ユーザは、組み合わされた複数の機能をさらに容易に管理することができる(たとえば、一つの場所でアラーム優先順位、セキュリティなどを設定することができる)。また、アプリケーションを統合することにより、ユーザは、容易に、システムを拡張でき、(システムの変更にマッピングが必要ないので)システムを変更でき、また(プロセス制御システムおよび安全システムの両方に対して単一の統一型改善ストラテジを利用することができるので)システムを改善できる。さらに、ユーザは、デバイス、制御システム、および安全システムの改善を、必要に応じて、全体的にまたは部分的に行うことができる。さらに、ユーザは、システムの統合によりユーザがすべてを一緒に試験し、診断することができるので、システムの異なる部分を別々に試験しなくてもよいし、すべての部品を組み立てたときにすべてうまく動作することを心配する必要もない。
図6は、図1のワークステーション16のうちの一つに配置されたセキュリティアプリケーション300を例示している。このセキュリティアプリケーション300は、図1の統合化されたプロセス制御システムおよび安全システムの内で行われるアクション(たとえば、書き込みおよび読み取り)に対して、そのアクション(たとえば、書き込みまたは読み取り)がプロセス制御システムデバイスまたは安全システムデバイスのいずれに関連しているのかに基づいて、セキュリティ手順を自動的に実行する。セキュリティアプリケーション300は独立型アプリケーションであるとして例示されているが、いうまでもなく、このアプリケーションは、安全システム14(および、所望ならば、プロセス制御システム)に対する読み取りおよび書き込みが安全な方法で行われることを担保するために、図1のオペレータワークステーション16(または、その他のコンピュータ)内で利用されるその他のアプリケーションに組み込まれてもよい。さらに、セキュリティアプリケーション300を、上述のコンフィギュレーションアプリケーション80および診断アプリケーション82の一部(たとえば、サブルーチン)として利用してもよいが、プロセス制御システムまたは安全システムに対してユーザが変更もしくは書き込みを行うこと可能にするまたはそれらのシステムについての情報をユーザが閲覧することを可能にするならばいずれのユーザインターフェイスアプリケーション85内で用いてもよい。また、いうまでもなく、セキュリティアプリケーション300は、コンフィギュレーションアプリケーションおよび診断アプリケーション80、82に関連して上述したユーザアカウントおよびユーザアクセス特権を確立・執行しうる。
セキュリティアプリケーション300は、図4に関連して上述したような、ワークステーション16内の通信層262とユーザ表示インターフェイス270との間で通信可能に接続されているものとして図6において例示されている。セキュリティアプリケーション300は、プロセス制御システム12または安全システム14に対する任意の所望の読み取りまたは書き込みに対してセキュリティ手順を実行するセキュリティ処理ユニット301を有している。セキュリティアプリケーション300は、一組の安全システムルール302と、一組のプロセス制御システムルール304とを有している。これらの安全システムルールおよびプロセス制御システムルールは、それぞれ対応して、安全システム14およびプロセス制御システム12に対する読み取りおよび書き込みに対して実行される必要のあるセキュリティのタイプおよび特性を定義している。セキュリティ処理ユニット301は、プロセス制御システム12または安全システム14の内のエレメントに対する読み取り要求または書き込み要求を検出するために、ユーザ表示インターフェイス270と協動して動作しうる。
要求された読み取り作業または書き込み作業に関するユーザ表示インターフェイス270からの情報に基づいて、セキュリティ処理ユニット301は、要求元または要求先導出ファイル306を利用してその要求された読み取りまたは書き込みがプロセス制御システムエレメント(もしくは、パラメータ)または安全システムエレメント(もしくは、パラメータ)のいずれに属するのかを判定しうる。要求元または要求先導出ファイル306は、ユーザインターフェイスにより生成された表示画面のどのフィールドがプロセスプラントのどのエレメントに対応するのかについての情報を提供するのみでもよく、所望ならば、ユーザインターフェイス上の表示画面内の表示フィールドの要求先に関連付けられたタグまたはアドレスを格納し、それにより、ユーザ表示画面上の特定のアクションまたは要求がプロセス制御システムエレメントまたは安全システムエレメントのいずれに関連したものかをセキュリティ処理ユニット301が判定できるようにしてもよい。必要ならば、それに加えてまたはそれに代えて、セキュリティ処理ユニット301は、コンフィギュレーションデータベース310に格納されているコンフィギュレーション情報を利用して、特定のエレメントが安全システムエレメントまたはプロセス制御システムエレメントのいずれであるかを判定してもよい。いずれの場合であっても、要求アクションがプロセス制御システムエレメントまたは安全システムエレメントのいずれに関するものであるかを判定したあと(および、一般的にいえば、そのエレメントに対して要求された読み取りまたは書き込みに付属しているアドレスまたはタグを判別したあと)、セキュリティ処理ユニット301は、安全ルール302またはプロセス制御ルール304にアクセスし、その読み取りまたは書き込みが許可されるか否かを決定し、許可される場合には、その読み取りまたは書き込みに関連して実行されるセキュリティ手順きを決定しうる。
たとえば、ユーザ表示画面269を用いて、ユーザは、故障状態の検出に関連する設定値の如き、安全システムデバイス内のパラメータの変更を要求しうる。(通常、そのような書き込みを可能にするように設計されたアプリケーションと協動してまたはその一部として、)セキュリティ処理ユニット301は、書き込みが要求されているパラメータのアドレスまたはタグを判別することにより、その書き込みの要求先を判断する。そのようなアドレスまたはタグは、要求元/要求先導出ファイル306内に格納されてもよくまたはそれを用いて導出されてもよい。このアドレスまたはタグに基づいて、セキュリティ処理ユニット301は、その要求が安全システムパラメータまたはプロセス制御システムパラメータのいずれに対してなされているかを判定する。その要求が安全システムパラメータに対してなされている場合、セキュリティ処理ユニット301は、安全ルールデータベース302内のルールを用いて、この書き込みが許可されるか否か、すなわちそのユニットに対してその書き込みを行うために適当な権限をユーザが有しているか否かを決定する。場合によっては、ユーザインターフェイスアプリケーションが、そのユーザのアイデンティティをすでに認知しており、ユーザインターフェイススクリーンのうちのユーザが書き込みできない部分を灰色表示して消しておくことにより、前もって、ユーザの書き込み許可範囲を示すこともある。他の場合では、ユーザインターフェイスアプリケーションは、セキュリティ処理ユニット301の促しにより、ユーザにパスワードおよびユーザIDを入力するように要求し、要求書き込みを実行するまえに、適切な権限の有無に関してそのパスワードおよびユーザIDを検査することもある。
それに対して、書き込み要求がプロセス制御システムデバイスに対して行われる場合、セキュリティ処理ユニット301は、プロセス制御ルールデータベース304内のルール(またかアクセス特権)にアクセスし、プロセス制御システム内でその書き込みを行うための適当な権限をユーザが有しているか否かを決定する。いうまでもなく、セキュリティ処理ユニット301は、プロセス制御システムエレメントおよび安全システムエレメントへのアクションに対して同一のまたは異なるセキュリティを執行するとともに、読み取りおよび書き取りに対しても同一のまたは異なるセキュリティルールを執行しうる。いずれの場合であっても、セキュリティ処理ユニット301が、要求された読み取りまたは書き込みに対する適切な権限をユーザ(ユーザインターフェイスを用いる作業員に加えて、アプリケーションも含まれうる)が有していると判断すると、セキュリティ処理ユニット301は、プロセス制御システムデバイスまたは安全システムデバイスに対する読み取りまたは書き込みをする適切なメッセージを通信層262に送信させる。さらに、セキュリティ処理ユニット301は、読み取りまたは書き込みに対して要求される、書き込み検証手順の如きその他のセキュリティ手順(ルールデータベース302、304に格納されている)を実行しうる。
図7は、セキュリティアプリケーション300により提供されるセキュリティを利用した、ユーザによるプロセス制御システムエレメントおよび安全システムエレメントの両方に対する読み取りおよび書き込みを可能にするユーザインターフェイスを示す簡単な表示スクリーンを例示している。具体的には、表示スクリーン320の左側は特定のプロセス制御システムエレメントに対するプロセス制御システム読み取りおよび書き込みに相当し、表示スクリーン320の右側は特定の安全システムエレメントに対する安全システム読み取りおよび書き込みに相当する。
図7から分かるように、ユーザ(または実行中のアプリケーション)は、CNTRLOOP1と呼ばれるプロセス制御システム制御ループに関連する数値を閲覧(読み取り)しうる。それらの数値には、そのループにおいて現時点で測定されているさまざまな温度値、圧力値、および流量値が含まれる。表示画面320のエリア321に例示されているように、そのような読み取りは固定化(ユーザによる変更不能に)されうる。さらに、ユーザは、CNTRLOOP1と呼ばれる制御ループ内で用いられる現時点における温度設定値およびコントローラゲインを閲覧しうる。所望ならば、ユーザは、その温度設定値およびコントローラゲインに関連付けされているフィールド322、324内に新しい数値を入力することによりこれらの数値を変更してもよい。
同様に、ユーザは、表示画面320を利用して、安全システムエレメントに関する情報を閲覧・変更しうる。具体的には、表示スクリーン320の右側は安全システムループ(たとえば、コントロールループCNTRLOOP1により制御されているハードウェアに関連付けされうるループ)に関連する情報が例示されている。この場合、遮断バルブおよび圧力スイッチの現行状態の如き特定の安全システム値が(325により表示されているように)示されうる。さらに、Tank1と呼ばれるタンクに対する遮断充填レベルおよびTank1およびTank2と呼ばれるタンクに対する遮断温度の如きユーザ設定可能安全システムパラメータがフィールド326、328に表示されうる。また、これらのフィールド326、328では、さらにユーザがパラメータを変更することができる。
一般的にいえば、スクリーン320内のフィールドの各々は、プロセス制御システムまたは安全システム内のアドレスまたはエレメントに対応付けされており、この対応付けは、要求元/要求先導出ファイル306(図6)内に格納されうる。いずれの場合であっても、特定のユーザが書き込み可能パラメータを変更しようと試みたとき、その変更を行うために適切なレベルの権限をユーザが有していることを確認するために、図6のセキュリティアプリケーション300が利用される。したがって、セキュリティアプリケーション300は、ユーザまたは要求を行っているアプリケーションが適切な権限または許可を有している場合にのみ、プロセス制御システムまたは安全システムにアクセスし、パラメータをそこから読み込むことを可能にしうる。安全システムエレメントからプロセス制御システムエレメントを区別するためにアドレス指定、タグ、または他のフィールドを利用する通信形式が共通なので、セキュリティアプリケーション300は、プロセス制御システムに対する読み取りおよび書き込みならびに安全システムに対する読み取りおよび書き込みを容易に区別し、(スクリーン320内のフィールドに基づいて、)別々のセキュリティをそれらに対して実行することができる。その結果、これらの読み取りおよび書き込みを共通ユーザインターフェイスアプリケーションから実行することができるようになる。もちろん、セキュリティアプリケーション300は、ユーザが読み取りおよび書き込み特権を有していない、表示画面320内のエリアを灰色にするために、ユーザインターフェイスアプリケーションと協働して動作しうる。本明細書において、セキュリティアプリケーション300は、プロセス制御システムおよび安全システム(ならびに、その内部のデバイスおよび他のエンティティ)に対する読み取りおよび書き込みに対してセキュリティを提供するものとして記載されているが、セキュリティアプリケーション300は、また、ロジックモジュール作成の許可または禁止、ロジックモジュールのダウンロード、校正手順の実行、閲覧、受信了承応答、およびアラームの有効化/無効化などの如きさまざまなアプリケーションに対して他のレベルのアクセスを執行してもよいということはいうまでもない。
プロセス制御システム値に対するユーザセキュリティと比べて、安全システム値に対するユーザセキュリティが独自に定義され、オンライン状態でのユーザによる変更に対してプロセス制御システム値に対する防備に加えて安全システム値にさらなる保護を構築しうる。このさらなる保護は、安全ルールデータベース302およびプロセス制御ルール304(図6)により定義される。すなわち、安全システム値の独自の取り扱いの確立可能に必要なのは、安全システム値とプロセス制御システム値との間の相違を認識する能力である。したがって、セキュリティアプリケーション300を利用すると、いかなるアプリケーションでも、安全システムに対する読み取りおよび書き込みを自動的に認識することができ、プロセスプラント10内の数値を変更するための正当なセキュリティおよび書き込み検証が実行されていることを担保することができる。セキュリティを有する書き込みを自動的に実現するこのような方法を利用することにより、安全コントローラに送信される書き込み値が有効であることを担保することができ、それにより、他のタイプの解決法においてユーザに要求されるような多くのプログラミングの必要性を排除することができる。
セキュリティ手順の一例として、安全保護書き込みを実行する方法を以下でさらに詳細に記載する。その背景として、IEC61511規格では、安全システムの動作パラメータに対して変更が行われるとはいきいつでも、繰り返し確認ステップが要求される。安全ルールデータベース302内において、繰り返し確認ステップが安全システムへの書き込みに対して実行される手順であると定義されている場合には、セキュリティ処理ユニット301は、繰り返し確認ステップを自動的に実行しうる。したがって、ルールデータベース302を用いて、セキュリティアプリケーション300は、ユーザ側におけるさらなるプログラミングまたは特別なコンフィギュレーションを必要とせずに、安全システムへのすべての書き込みの間、繰り返し確認ステップ(またはその他の手続き)を執行することができる。
IEC規格には、オペレータが間違った変更アイテムを選択したり変更によるプロセスへの影響を理解しないことを防ぐように記載され、メッセージ汚染の防止を補助するように記載されている。この規約を実現するために、公知の統合されたプロセス制御システムおよび安全システムは、プロセス制御システムからのデータを安全システムにマッピングし、次いで、安全システムを変更する単一のメッセージを送信するまえに、オペレータグラフィックス内に「確かですか?」のダイアログを作成する。
しかしながら、操作アプリケーション、コンフィギュレーションアプリケーション、および診断アプリケーションの如きアプリケーションのすべてに対して利用しうる安全保護書き込み機能を実行する、さらに安全な方法を以下でより詳細に記載する。なお、この技術または機能は、任意のアプリケーションから起動される安全ロジックソルバに対してユーザが開始するいかなる変更またはアクションに対してでも適応されうるので、コミッション命令、ダウンロード命令、ロック命令、切換え命令などの如き命令のいずれかを用いて安全システムロジックソルバ内の数値を変更するために用いられることが可能である。さらに、ハッカー、ウイルスなどにより開始される変更の如き無許可の変更と偶発的な汚染との両方を防止すべくセキュリティの機能を拡張するために、以下に記載する安全保護書き込み機能を、任意の二つのアプリケーションの間で送信されるどのメッセージに対してでも実行することが可能である。
安全保護書き込み機能を実現するために、安全保護書き込みサーバ350(図6)がホストコンピュータ16内に構築されており、図1に例示するように、安全保護書き込みクライアント360がプロセス制御システムコントローラ24、26(コントローラクライアント360と呼ばれる)内に構築さており、安全保護書き込みクライアント380が安全ロジックソルバ50〜56(ロジックソルバクライアント370と呼ばれる)内に構築されている。変更命令がユーザまたは他のタイプのアプリケーションにより開始されると、セキュリティアプリケーションは、その変更を行うために必要なアクセス特権またはアクセス許可をユーザ(または、アプリケーション)が有しているか否かをまず検証する。ユーザがアクセス特権またはアクセス許可を有している場合、安全保護書き込みサーバ350およびクライアント360、370は、上述の検証されたユーザが変更を行うこと、およびホストコンピュータ16からコントローラ24、26までの伝送中またはコントローラ24、26から安全ロジックソルバ50〜56までの伝送中にメッセージが汚染されないことを担保するように動作する。さらに、安全保護書き込みサーバ350およびクライアント360、370は、メッセージが正しい目的地に到達すること担保しながら、それと同時に、偽のメッセージが変更を引き起こさないように防止する。
一般的にいえば、ユーザまたは他のタイプのアプリケーションから変更命令を受信すると、安全保護書き込みサーバ350は、送信先、変更する必要のあるパラメータ、数値などの如き必要なデータを用いてその変更命令をパッケージ化し、そのパッケージまたはメッセージに対して作成される周期冗長検査(CRC)フィールドを追加する。ついで、安全保護書き込みサーバ350は、そのCRCとともに変更命令を適切なコントローラクライアント360に送信する。このコントローラクライアント360は、変更命令に対して受信了承応答を行う(所望ならば、変更情報としてコントローラクライアント360が受信した情報の詳細を含む応答を安全保護書き込みサーバ350へ送信し返してもよい)。安全保護書き込みサーバ350は、変更アイテムの名称および記述子ならびに要求変更内容の如き変更情報をユーザに対して表示し、確認する。所望ならば、安全保護書き込みサーバ350は、コントローラクライアント360に実際に送信された情報をユーザが検証することを担保するために、コントローラクライアント360に送信されたとおりの変更命令からの変更データを用いてもよい。それに対して、コントローラクライアント360により受信されたとおりの変更データをコントローラクライアント360が安全保護書き込みサーバ350に送信し返してきた場合には、安全保護書き込みサーバ350はその情報をユーザに表示し、確認してもよい。
安全保護書き込みサーバ350は、たとえば、ユーザ表示画面上のダイアログボックスを利用してユーザに対して変更情報を表示しうる。このダイアログボックスにより、ユーザは、(ダイアログボックス内のOKボタンまたは確認ボタンを選択することにより、)変更情報が正しいことを検証することができる。ユーザ(または、必要に応じて、アプリケーション)により検証されると、安全保護書き込みサーバ350は、ユーザにより検証された変更の詳細とともに第二の変更命令(繰り返し変更命令)をコントローラクライアント360に送信する。具体的にいえば、安全保護書き込みサーバ350は、たとえば送信先、変更する必要のあるパラメータ、数値などを含む、(ユーザにより検証されたとおりの)変更命令データをパッケージ化し、そのパッケージまたはメッセージに対して作成されたCRCとともに、この第二の変更命令をコントローラクライアント360に送信する。なお、汚染が発生しない場合には、第一の変更命令(および、そのCRCデータ)と、第二の変更命令または繰り返し変更命令(および、そのCRCデータ)とは同一である。
第二の変更命令または繰り返し変更命令を受信すると、コントローラクライアント360は、第二の変更命令を第一の変更命令と比較し、それらが同一であるか否かを調べる(汚染が発生していないことと、第一の変更命令に存在している変更命令をユーザが検証したこととを意味する)。所望ならば、コントローラクライアント360は、二つの変更メッセージが同一であるか否かまたは二つの変更メッセージが同一のCRCデータを有しているか否かを判定するのみでよい。あるいは、コントローラクライアント360は、メッセージを逆符号化し、その各々において変更情報が同一であるか否かを調べうる。ただ、安全システムによっては、このアクションを許可していない場合もある。メッセージまたは変更情報が同一である場合、コントローラクライアント360は、適切なロジックソルバクライアント370に変更要求を送信する。所望ならば、この変更要求は、第一の変更命令および第二の変更命令の両方からの変更情報を有してもよい。あるいは、変更命令の両方からCRCデータのみを、そして、変更命令のうちの一方、たとえば第一の変更命令から変更情報を、変更要求の一部としてコントローラクライアント360からロジックソルバクライアント370に送信してもよい。
ロジックソルバクライアント370は、変更要求を受信し、その変更要求が正しい送信先に送信されていること、その他汚染されていないことを担保するために逆符号化する。これらのステップは、CRC情報がカプセル化された変更メッセージに正確に対応しているか否かを判定するためにCRCデータパケットの一方または両方をチェックするステップと、CRCパケットが同一(同一である必要がある)であるか否かを判定するステップと、変更の送信先が安全ロジックソルバ内に設けられているかまたは安全ロジックソルバを中継するものであるかを判定するステップとを有している。両方の変更命令からの変更情報がこのメッセージ内に存在する場合、ロジックソルバクライアントは、コントローラクライアント360からロジックソルバクライアント370までの伝送中に汚染されていないことを担保するために、その変更情報がチェックしたものと同一のものであるか否かを再度チェックしうる。ロジックソルバクライアント370が変更メッセージが正しいと判断した場合、ロジックソルバクライアント370は、ロジックソルバ50〜56にその変更を実行させ、変更が実行されている旨の受信了承応答をコントローラクライアントへ送信し返す。コントローラクライアント360は、この受信了承応答を安全保護書き込みサーバ350に送信しうる。安全保護書き込みサーバ350は、変更が進行中である旨の受信了承応答をユーザに対して表示しうる。上述のプロセスのいずれかにおいてエラーが発生した場合、ロジックソルバクライアント370および/またはコントローラクライアント360は、エラーおよびそのエラーに関するいかなる詳細情報(たとえば、CRCが一致していない、メッセージが正しくない送信先に配達されたなど)でも安全保護書き込みサーバ350に通知しうる。次いで、安全保護書き込みサーバ350は、変更が実行されなかったことについておよび書き込みプロセス中に発生したエラーに関する任意の所望の詳細情報についてユーザに通知しうる。
一つの例では、ユーザは、表示スクリーン内の安全保護書き込みダイアログボックスを利用して所望の変更を入力しうる。ユーザが変更を行ための許可を有しているか否かを判定したあと、そのアプリケーションは、安全保護書き込みサーバ350を呼び出し、そのパス、パラメータタイプ、および現行値を安全保護書き込みサーバ350に伝送する。次いで、安全保護書き込みサーバは、命令(パラメータ、変更)、パス、新しい値、およびCRCを有する安全保護書き込み要求を生成し、適切なプロセス制御システムコントローラ24、26にその安全保護書き込み要求を送信する。そのあと、安全保護書き込みサーバ350は、コントローラ24、26に送信したCRC化されたデータのコピーからのデータを用いてユーザ向けの確認ダイアログを作成する。このダイアログボックスは上述のパスおよび数値を表示しうる。安全保護書き込みサーバ350は、変更命令が正当なコントローラ24、26により受信了承応答された場合にのみ、ダイアログ内の確認ボタンまたはOKボタンを動作可能状態にする。変更命令を受信すると、コントローラ24、26内のコントローラクライアント360は、その変更命令に対して受信了承応答を行い、CRC化されたデータアイテムを対応するモジュールまたはブロックに格納する。
この時点で、ユーザは、確認ダイアログボックス内の数値が正しいことを検証し、確認ボタンまたはOKボタンを選択する。次いで、安全保護書き込みサーバ350は、確認ダイアログからの命令(パラメータ、変更)、パス、および数値と、これらのデータに対するCRCとを有する第二の変更命令または繰り返し変更命令(第二のメッセージ)を生成し、コントローラクライアント360にこのメッセージを送信する。プロセスコントローラ24、26は、第二の変更命令または繰り返し変更命令を受信し、この命令からのCRC化されたデータアイテムを前回格納されたデータアイテム(第一の変更命令に付随していたデータアイテム)と比較する。これらのデータアイテムが同一である場合、適切なロジックソルバ50〜56に送信される必要のある変更要求にその二つのアイテム(たとえば、CRCを含む第一の変更命令全体および第二の変更命令からのCRC)が掲載される。その結果、検証された変更要求のみが安全ロジックソルバ50〜56に送信され、よって、無許可の変更を行う可能性がさらに減少されることになり、また、制御ネットワーク通信、ワークステーション問題、またはコントローラ問題に起因するいかなる汚染であってもコントローラクライアントにおいて検出されることになる。
ロジックソルバクライアント370は、変更命令を受信し、二つのCRCが一致することを検証する。次いで、このロジックソルバクライアント370は、メッセージ内の変更データを取り出し、そのデータのCRCを検証する。そのCRCが良好である場合または正しい場合、メッセージが正当な送信先に送信されていることを担保するためにそのパスがチェックされる。この最後の検証ステップにより、コントローラ24、26から安全ロジックソルバ50〜56までの通信経路において汚染が発生しなかったことが確実になる。ロジックソルバクライアント370がすべてのチェックが良好であることを検証すると、その数値はパラメータに書き込まれ、その書き込みのステータスがコントローラクライアント360に返信される。このコントローラクライアント360は、そのあと、ユーザに対して表示される検証メッセージを安全保護書き込みサーバ350に送信しうる。
以上の手続きを用いることにより、最初の要求および確認要求の両方を、作業員、コントローラ、および安全ロジックソルバが比較することになり、よって、上述の二つの要求を利用せずに作業員のみが比較を行うような他の公知の解決手段に比べて、この手続きがさらにセキュリティの高いものになる。すなわち、繰り返しメッセージを作成する他のシステムでは、ユーザインターフェイスマシンから変更命令が実際に送信されるまえに、確認ダイアログを用いてユーザを促すことにより、ユーザアプリケーションにおいてのみ繰り返しメッセージが作成される。しかしながら、これらのシステムでは、アイテムが変更される必要のある安全デバイスに一つのメッセージしか送信しない。その結果、これらの公知の技術は、伝送中の汚染を防ぐこともしないし、(たとえば、メッセージ内の送信先フィールドが汚染された場合に)メッセージが正しい送信先に配達されることを担保することもしない。
以上において、繰り返し書き込み手順が、サーバ350からコントローラクライアント360を通ってロジックソルバクライアント370に渡るものとして記載されているが、いうまでもなく、繰り返し書き込み手順はそれよりも少ないまたは多いステージを有していてもよい。より多いステージが用いられる場合、三番目のステージおよびその後に続くステージのうち、送信先にあるステージはロジックソルバクライアント370と同様に作用し、送信元にあるステージはコントローラクライアント360と同等に動作しうる。最後のステージに至るまで上述のように作用しうる。より少ないステージが用いられた場合、サーバ350は依然として二つの書き込み命令を送信する必要があるが、クライアントが二つの命令が同一のものであることを認識した場合、クライアントは変更を実行することができる。さらに、いうまでもなく、任意の所望の通信プロトコルおよびソフトウェアプロトコルを利用する、ソフトウェア、ハードウェア、またはファームウェアにより、サーバ350およびクライアント360、370が実行されうる。
上述のように、安全システムデバイスおよびプロセス制御システムデバイスからのまたはこれらのデバイスへのメッセージは、そのデバイスに関連付けされたアドレスまたはタグにより検出されうる。所望ならば、さまざまな安全ロジックデバイスに対する送信元アドレスは、レイルバスメッセージから導出されてもよく、また各ノードでは同じであるがプロセスプラント内では異なるバックプレーンID(BPID)と、別々のノードでは繰り返し用いられうるがノード内では異なりうるスロットID(SID)とにより構成されてもよい。このようにして、各デバイスは固有のアドレスを有することが可能になり、よって、安全システムデバイスまたはプロセス制御システムデバイスとして区別されうる。
組み込まれた安全システムは、複数の有望なメッセージ構造または通信プロトコルのいずれか一つを採用しうるが、一つのケースでは、以下のメッセージ構造を採用してもよい。具体的にいえば、バスメッセージは、プリアンブル(たとえば、1バイト)、データ部またはメッセージ部(たとえば、129バイト)、およびポストアンブル(たとえば、1バイト)を含む三つの基本部分を有している。プリアンブル部およびポストアンブル部はハードウェアの同期用に設けられており、データ部は所与の送信先にとり重要である実際のメッセージを収納している。所望ならば、高レベルメッセージ構造のメッセージ部に対してハードウェアビット挿入を行ってもよい。
一般的にいえば、メッセージのデータ部またはメッセージ部は、全体としての長さが所与のアプリケーションの最大利用可能長さに至る7つのフィールドに分割しうる。たとえば、(11バイトのプロトコルオーバヘッドを含む)138バイトが利用可能である。メッセージ部は、2バイトの送信元アドレスと、2バイトの送信先アドレスと、1バイトのタイプフィールドと、1バイトのデバイスステータスフィールドと、1バイトのレングスフィールドと、0〜128バイトのメッセージフィールドと、周期冗長データを提供する4バイトのCRCフィールドとを有している。たとえば、これらのフィールドを利用する一つの方法では、送信元アドレスフィールドは送信元デバイスのアドレスを有している。その上位のバイトはバックプレーンID(BPID)を有しており、その下位のバイトはスロットID(SID)を有している。始動時において、各安全ロジックソルバは、それ自体の完全なSOURCE ADDRESSをレイルバスを利用してコントローラから取得する。そのSOURCE ADDRESSのバックプレーンID(BPID)部は、コントローラのIPアドレスの最右側オクテットに一致するように設定されている。そのSOURCE ADDRESSのスロットID(SID)部は、プロセスコントローラのレイルバスメッセージから導入されている。各安全ロジックソルバは、それ自体が完全なSOURCE ADDRESSを取得するまで、通信(送信または受信)しないことが好ましい。
DESTINATION ADDRESSフィールドは送信先デバイスのアドレスを有しうる。その上位のバイトは送信先デバイスのBPIDを有し、その下位のバイトは送信先デバイスのSIDを有しうる。メッセージTYPEフィールドは、メッセージデータフィールド内に含まれているメッセージのタイプに関する情報を有している。複数の異なるメッセージタイプを定義しうる。DEVICE STATUSフィールドは以下の項目を示すように適切に分割される。その項目には、たとえば、診断ステータス(エラーの有無を示す)、スイッチオーバステータス(進行中か否かを示す)、コントローラモード(標準モードかまたはエンジニアリングモードを示す)、安全トリップステータス(トリップしたか否かを示す)、冗長ステータス(冗長状態か否かを示す)、設定ステータス(設定完了か否かを示す)、コントローラタイプ(ロジックソルバにより判定され、スタンドバイかアクティブかを示す)、およびモード(モード値はコントローラからバスを経由して入手され、エンジニアリングモードかまたは標準モードかを示す)が含まれる。
LENGTHフィールドは、送信されてくるMESSAGE DATAフィールドの長さをバイト単位で格納しており、メッセージに依存する。MESSAGE DATAフィールドは、メッセージTYPEに従ってフォーマットされるメッセージのペイロードであり、その長さはメッセージに依存する。最後に、CRCフィールド、すなわち周期冗長検査/コードフィールドは、SOURCE ADDRESSフィールド、TYPEフィールド、DEVICE STATUSフィールド、LENGTHフィールド、およびMESSAGE DATAフィールドから計算される。CRCフィールドもメッセージに依存する。
一般的にいえば、バス22(図1)を利用してメッセージを送信するために、コントローラは、イーサネットIEEE802.3プロトコルパケットのDATA部内にバスメッセージをカプセル化しうる。このパケットは、たとえば、7バイトのプリアンブルと、1バイトのフレーム開始デリミタと、6バイトの送信先アドレスと、6バイトの送信元アドレスと、2バイトのタイプ/レングスフィールドと、46〜1500バイトのデータフィールドと、4バイトのフレームチェックシーケンスフィールドとを有している。公知のように、このフレームは、1と0とが交互に混在する7バイトのプリアンブルで始まる。このフレームがマンチェスタ符号により符号化されている場合、プリアンブルは、同期すべき既知のパターンを送信先ステーションに供与する。フレーム開始デリミタが、そのプリアンブルの後に続き、そこがフレームの先頭であることを示す。送信先アドレスおよび送信元アドレスは、送信先装置が無差別にリッスンしているので、通常、互に、無関係である。
イーサネットTYPE/IEEE802.3LENGTHフィールドはそのフレームのその他において使われるプロトコルを表し、レングスフィールドはそのフレームのデータ部の長さを指定している。イーサネットフレームおよびIEEE802.3フレームが同一のLANで共存するために、フレームのレングスフィールドは、利用されるどのタイプのフィールドとも常に異なっていなければならない。これにより、フレームのデータ部の長さは1500バイトに限定され、全体としてのフレームの長さは1518バイトに限定される。安全ロジックソルバの場合、そのタイプはイーサネットであり、データフィールドの長さはメッセージのサイズである。データフィールドは、安全ロジックソルバまたはプロセスコントローラにより送信されているメッセージを有している。データ長が46バイトよりも少ないメッセージはパッディングされる。公知のように、4バイトのフレームチェックシーケンスフィールドは標準43ビットCCITT−CRC多項式のためのものである。もちろん、これは、プロセス制御デバイスおよび安全システムデバイスに対して送受信されるメッセージに実行しうるメッセージ符号化の一つのタイプに過ぎず、これに代えて、安全システムデバイスからプロセス制御システムデバイスを区別できるならば他のいかなる所望のメッセージ形式を用いてよい。
本発明は特定の例を参照して記載されてきたが、それらは、例示のみを意図したものであり、本発明を制限することを意図したものではない。したがって、本発明の精神および範疇から逸脱することなく開示された実施例に変更、追加、または削除を加えうることは当業者にとり明らかである。
プロセス制御システムと統合化された安全システムを備え、該プロセス制御システムおよび該安全システムに対して、統合化されたセキュリティ動作、コンフィギュレーション動作、および診断動作を提供するインターフェイスアプリケーション、コンフィギュレーションアプリケーション、および診断アプリケーションを有するプロセスプラントの一例を示すブロック線図である。 第一の通信ネットワークを利用して相互に通信可能に接続され、第二のかつ共有の通信ネットワークを利用してプロセス制御システムコントローラおよびオペレータインターフェイスとさらに接続されている複数の安全システムコントローラのブロック線図である。 図1のプロセスプラントのコンフィギュレーション表示画面を例示し、プロセス制御システムデバイスおよび安全システムデバイスの両方を示している、図1のコンフィギュレーションアプリケーションにより生成されたスクリーン表示の一例である。 単一ユーザインターフェイスにプロセス制御システムアラームおよび安全システムアラームの表示と操作とを統合するように構成された、図1の診断アプリケーションのブロック線図である。 図1のプロセス制御システムおよび安全システムの両方からのアラームを表示している、図4の診断アプリケーションにより生成されたアラームスクリーンを示す一例である。 図1のプロセス制御システムデバイスおよび安全システムデバイスに対するデータの書込みおよび読み取りに対して別々のセキュリティルールを自動的に執行する、図1のワークステーションのうちの一または複数の内に配置されたセキュリティアプリケーションを示す一例のブロック線図である。 図6のセキュリティアプリケーションを利用して、図1のプロセス制御システムおよび安全システムの内の異なるデバイスに対する安全書込みおよび安全読み取りを可能にするオペレータインターフェイスを示す一例である。
符号の説明
10 プロセスプラント
12 プロセス制御システム
14 安全システム
16 ユーザインターフェイス
18、20 プロセス制御ノード/安全制御ノード
21、310 コンフィギュレーションデータベース
22 通信ネットワーク
24、26 プロセスコントローラ
28、30、32、34、36 プロセス制御システムの力/出力デバイス
40, 42 フィールドデバイス
50、52、54、56 安全システムロジックソルバ
57 プロセッサ
58 安全ロジックモジュール
60、62 安全システムフィールドデバイス
70、72 メッセージ伝送デバイス
74 通信バス
76 バックプレーン
78、202、204 メモリ
80 コンフィギュレーションアプリケーション
82 診断アプリケーション
85 表示アプリケーション
100、102 レイルバス回線
104、106 ピア・ツー・ピアバス
183 コンフィギュレーション表示スクリーン
184 物理的ネットワークセクション
185 安全ネットワークセクション
186 制御ネットワークセクション
187 コントローラ(CTLR1)
188 モジュール
189 I/Oデバイスセクション
190 カード
191〜193 安全ロジックソルバ
262 通信層
264 アラーム処理ユニット
266 データベース
268 フィルタ
269 アラーム表示画面
270 ユーザ表示インターフェイス
271 主表示画面
272 フェイスプレート
273 アラームバナー
274、278、280、281、282 アラーム
276 アラーム情報フィールド
290 アクティブアラーム制御ルーチン
292 抑制アラーム要約制御部
294 セキュリティルーチン
300 セキュリティアプリケーション
301 セキュリティ処理ユニット
302 安全システムルール
304 プロセス制御システムルール
306 要求元または要求先導出ファイル
320 表示スクリーン
321 エリア
322、324、326、328 フィールド
350 安全保護書き込みサーバ
360 コントローラクライアント
370 ロジックソルバクライアント
380 安全保護書き込みクライアント

Claims (66)

  1. プロセスプラントに対して製品製造に関連する制御機能を実行するプロセス制御システムと、プロセスプラントに対して安全に関連する制御機能を実行する安全システムとを備えるプロセスプラントにおいて利用されるコンフィギュレーションシステムであって、
    プロセッサおよびメモリを備えているコンピュータと、
    一または複数のプロセス制御フィールドデバイスを利用してプロセス制御機能を実行するように構成された、前記コンピュータに通信可能に接続されているプロセス制御システムと、
    安全システムに含まれ、一または複数の安全システムフィールドデバイスを利用して安全システム機能を実行するように構成された、前記コンピュータに通信可能に接続されている安全システムコントローラと、
    前記プロセス制御システムおよび前記安全システムの両方に関するコンフィギュレーションデータを格納するように構成されたコンフィギュレーションデータベースと、
    前記プロセス制御システムおよび前記安全システムの両方の一または複数のユーザによる構築を可能にするために前記コンフィギュレーションデータベースを利用すべく前記プロセッサにより実行されるように構成された、前記コンピュータの前記メモリに格納されているコンフィギュレーションアプリケーションと
    を備えてなる、コンフィギュレーションシステム。
  2. 前記コンフィギュレーションアプリケーションは、一または複数のユーザアカウントを利用してアクセス可能であり、各ユーザアカウントは、異なるユーザエンティティに対するアクセス特権を有してなる、請求項1記載のコンフィギュレーションシステム。
  3. 前記コンフィギュレーションアプリケーションは、前記プロセス制御システムのうちの一部および前記安全システムのうちの一部のコンフィギュレーションを表す表示画面を提示するように構成されている、請求項1記載のコンフィギュレーションシステム。
  4. 前記コンフィギュレーションアプリケーションは、前記プロセス制御システム内で実行される第一のロジックモジュールおよび前記安全システム内で実行される第二のロジックモジュールをユーザが作成可能に構成されている、請求項1記載のコンフィギュレーションシステム。
  5. 前記コンフィギュレーションアプリケーションは、一または複数のユーザアカウントを利用してアクセス可能であり、各ユーザアカウントは、異なるユーザエンティティに対するアクセス特権を有し、前記第一のロジックモジュールが、前記ユーザアカウントのうちの第一のユーザアカウントを用いてユーザにより作成され、前記第二のロジックモジュールが、前記ユーザアカウントのうちの第二のユーザアカウントを用いてユーザにより作成されるように構成されている、請求項4記載のコンフィギュレーションシステム。
  6. 前記コンフィギュレーションアプリケーションは、一または複数のユーザアカウントを利用してアクセス可能であり、各ユーザアカウントは、異なるユーザエンティティに対するアクセス特権を有しており、前記第一のロジックモジュールおよび前記第二のロジックモジュールは、同一のユーザアカウントを用いて作成可能であるように構成されている、請求項4記載のコンフィギュレーションシステム。
  7. 前記コンフィギュレーションアプリケーションは、前記プロセス制御システム第一のロジックモジュールをユーザがダウンロードすること、および前記安全システム第二のロジックモジュールをユーザがダウンロードすることができるように構成されている、請求項1記載のコンフィギュレーションシステム。
  8. 前記コンフィギュレーションアプリケーションは、一または複数のユーザアカウントを利用してアクセス可能であり、各ユーザアカウントは、複数の異なるユーザエンティティに対するアクセス特権を有しており、前記第一のロジックモジュールが、前記ユーザアカウントのうちの第一のユーザアカウントを用いてユーザがダウンロード可能に、前記第二のロジックモジュールが、前記ユーザアカウントのうちの第二のユーザアカウントを用いてユーザがダウンロード可能に構成されている、請求項7記載のコンフィギュレーションシステム。
  9. 前記コンフィギュレーションアプリケーションは、一または複数のユーザアカウントを利用してアクセス可能であり、各ユーザアカウントは、異なるユーザエンティティに対するアクセス特権を有し、前記第一のロジックモジュールおよび前記第二のロジックモジュールが、同一のユーザアカウントを用いてダウンロードされうるように構成されている、請求項7記載のコンフィギュレーションシステム。
  10. 前記コンフィギュレーションデータベースは、共通のタグ形式を用いた、プロセス制御システムエンティティおよび安全システムエンティティの両方に対するタグを格納するように構成されている、請求項1記載のコンフィギュレーションシステム。
  11. 前記コンフィギュレーションデータベースは、プロセス制御システムエンティティおよび安全システムエンティティの各々に対して固有の名称を与える共通の命名形式を用いた、プロセス制御システムエンティティおよび安全システムエンティティの両方に対する名称を格納するように構成されている、請求項1記載のコンフィギュレーションシステム。
  12. 前記コンフィギュレーションデータベースは、共通の参照形式を用いた、前記プロセス制御システムおよび前記安全システムの両方に対する参照パラメータを格納するように構成されている、請求項1記載のコンフィギュレーションシステム。
  13. 前記コンフィギュレーションアプリケーションは、前記プロセス制御システムの一部のコンフィギュレーションを表示画面のうちのプロセス制御システム部に表示しかつ前記安全システムの一部のコンフィギュレーションを表示画面のうちの安全システム部に表示する表示画面を提供し、該表示画面を利用した、前記プロセス制御システムまたは前記安全システムの一または複数のユーザによる設定ができるように構成されている、請求項1記載のコンフィギュレーションシステム。
  14. 前記コンフィギュレーションアプリケーションは、前記表示画面に表示されている前記プロセス制御システムの第一のエレメントを前記表示画面に表示されている前記安全システムの第二のエレメントに関連付けすることによって、前記ユーザによる前記プロセス制御システムまたは前記安全システム設定ができるように構成されている、請求項1記載のコンフィギュレーションシステム。
  15. 前記コンフィギュレーションアプリケーションは、一または複数のユーザアカウントを利用してアクセス可能であり、各ユーザアカウントは、複数の異なるユーザエンティティに対するアクセス特権を有しており、当該コンフィギュレーションアプリケーションが、特定のユーザアカウントを使用しているときに、ユーザが前記プロセス制御システムおよび前記安全システムのいずれの部分を前記表示画面に提示するかを示す優先度を前記特定のユーザアカウントに対して設定できるように構成されている、請求項1記載のコンフィギュレーションシステム。
  16. 前記コンフィギュレーションアプリケーションは、前記プロセスプラントの少なくとも一部のコンフィギュレーションを表す表示画面を提示するように構成され、該表示画面が前記プロセス制御システムに関連する第一のセクションと前記安全システムに関連する第二のセクションとを有し、前記第一のセクションは、一または複数のプロセス制御システムコントローラを特定する第一のレベルと一または複数の前記プロセス制御システムコントローラに接続されている一または複数のプロセス制御フィールドデバイスを特定する第二のレベルを有し、前記第二のセクションは、一または複数の安全システムコントローラを特定する第一のレベルと一または複数の前記安全システムコントローラに接続されている一または複数の安全システムフィールドデバイスを特定する第二のレベルを有するように構成されている、請求項1記載のコンフィギュレーションシステム。
  17. 前記コンフィギュレーションアプリケーションは、前記プロセス制御システムの一部内で実行される制御ロジックおよび前記安全システムの一部内で実行される安全ロジックを、該制御ロジックおよび該安全ロジックが実行される前記プロセス制御フィールドデバイスおよび前記安全システムフィールドデバイスを特定することとは無関係に、ユーザが作成できるように構成されている、請求項1記載のコンフィギュレーションシステム。
  18. 前記プロセス制御システムの一部および前記安全システムの一部は、前記プロセスプラント内の予め定義された同一のエリアに関連付けされるように構成されている、請求項1記載のコンフィギュレーションシステム。
  19. 前記コンフィギュレーションアプリケーションは、前記プロセス制御システムの一部内で実行される制御ロジックモジュールが前記安全システムの一部内で実行される安全ロジックモジュールを参照するかまたは前記安全システムの一部内で実行される安全ロジックモジュールが前記プロセス制御システムの一部内で実行される制御ロジックモジュールを参照することにより、前記制御ロジックモジュールと前記安全ロジックモジュールとの間において直接通信を行なえるように構成されている、請求項1記載のコンフィギュレーションシステム。
  20. 名称およびパラメータ参照スキームを用いて、前記制御ロジックモジュールが前記安全ロジックモジュールを参照するか、または前記安全ロジックモジュールが前記制御ロジックモジュールを参照するように構成されている、請求項19記載のコンフィギュレーションシステム。
  21. 前記コンフィギュレーションアプリケーションは、前記プロセスプラント内の共通エンティティに関連付けされるように、前記プロセス制御システムに関するコンフィギュレーションデータおよび前記安全システムに関するコンフィギュレーションデータを格納するように構成されている、請求項1記載のコンフィギュレーションシステム。
  22. 前記共通エンティティが前記プロセスプラント内の予め定義されたエリアである、請求項2記載のコンフィギュレーションシステム。
  23. 前記コンフィギュレーションデータベースに格納されている前記プロセス制御システムコンフィギュレーションデータおよび前記安全システムコンフィギュレーションデータの両方に対して、セキュリティ手順を執行してデータを書き込むデータベース管理機能を実行するように構成されたデータベース管理ルーチンをさらに備えてなる、請求項1記載のコンフィギュレーションシステム。
  24. 前記データベース管理ルーチンは、前記コンフィギュレーションデータベースをバックアップするように構成されたバックアップルーチンおよび前記コンフィギュレーションデータベースにデータを取り込むインポートルーチンのうちの一つであるように構成されている、請求項2記載のコンフィギュレーションシステム。
  25. 一または複数のプロセス制御フィールドデバイスを利用して製品製造に関連する制御機能を実行するプロセス制御システムコントローラを有するプロセス制御システムと、一または複数の安全システムフィールドデバイスを利用して安全に関連する制御機能を実行する安全システムコントローラを有する安全システムと、前記プロセス制御システムコントローラおよび前記安全システムコントローラに通信可能に接続されるプロセッサを有するコンピュータとを備えるプロセスプラントにおいて利用されるコンフィギュレーションシステムであって、
    メモリと、
    前記プロセス制御システムおよび前記安全システムの両方に関するコンフィギュレーションデータを格納するように構成されたコンフィギュレーションデータベースと、
    前記プロセス制御システムおよび前記安全システムの両方のコンフィギュレーションの一または複数のユーザによる実行を可能にするために前記コンフィギュレーションデータベースを利用すべく前記プロセッサにより実行されるように構成された、前記メモリに格納されているコンフィギュレーションアプリケーションと
    を備えてなるコンフィギュレーションシステム。
  26. 前記コンフィギュレーションアプリケーションは、一または複数のユーザアカウントを利用してアクセス可能であり、各ユーザアカウントが、異なるユーザエンティティに対するアクセス特権を有してなる、請求項2記載のコンフィギュレーションシステム。
  27. 前記コンフィギュレーションアプリケーションは、前記プロセス制御システムのうちの一部および前記安全システムのうちの一部のコンフィギュレーションを表す表示画面を提示するように構成されている、請求項2記載のコンフィギュレーションシステム。
  28. 前記コンフィギュレーションアプリケーションは、前記プロセス制御システム内で実行される第一のロジックモジュールおよび前記安全システム内で実行される第二のロジックモジュールをユーザが成可能に構成されている、請求項2記載のコンフィギュレーションシステム。
  29. 前記コンフィギュレーションアプリケーションは、一または複数のユーザアカウントを利用してアクセス可能であり、各ユーザアカウントは、複数の異なるユーザエンティティに対するアクセス特権を有しており、前記第一のロジックモジュールが、前記ユーザアカウントのうちの第一のユーザアカウントを用いてユーザにより作成され、前記第二のロジックモジュールが、前記ユーザアカウントのうちの第二のユーザアカウントを用いてユーザにより作成されるように構成されている、請求項2記載のコンフィギュレーションシステム。
  30. 前記コンフィギュレーションアプリケーションは、前記プロセス制御システム第一のロジックモジュールをユーザがダウンロードすること、および前記安全システム第二のロジックモジュールをユーザがダウンロードすることができるように構成されている、請求項2記載のコンフィギュレーションシステム。
  31. 前記コンフィギュレーションアプリケーションは、一または複数のユーザアカウントを利用してアクセス可能であり、各ユーザアカウントは、異なるユーザエンティティに対するアクセス特権を有しており、前記第一のロジックモジュールおよび前記第二のロジックモジュールは、同一のユーザアカウントを用いてユーザが作成可能に構成されている、請求項3記載のコンフィギュレーションシステム。
  32. 前記コンフィギュレーションデータベースは、共通のタグ形式を用いた、プロセス制御システムエンティティおよび安全システムエンティティの両方に対するタグを格納するように構成されている、請求項2記載のコンフィギュレーションシステム。
  33. 前記コンフィギュレーションデータベースは、プロセス制御システムエンティティおよび安全システムエンティティの各々に対して固有の名称を与える共通の命名形式を用いた、プロセス制御システムエンティティおよび安全システムエンティティの両方に対する名称を格納するように構成されている、請求項2記載のコンフィギュレーションシステム。
  34. 前記コンフィギュレーションデータベースは、共通の参照形式を用いた、前記プロセス制御システムおよび前記安全システムの両方に対する参照パラメータを格納するように構成されている、請求項2記載のコンフィギュレーションシステム。
  35. 前記コンフィギュレーションアプリケーションは、前記プロセス制御システムの一部のコンフィギュレーションを表示画面のうちのプロセス制御システム部に表示しかつ前記安全システムの一部のコンフィギュレーションを表示画面のうちの安全システム部に表示する表示画面を提供し、該表示画面を利用した、前記プロセス制御システムまたは前記安全システムの一または複数のユーザによる設定ができるように構成されている、請求項2記載のコンフィギュレーションシステム。
  36. 前記コンフィギュレーションアプリケーションは、前記表示画面に表示される前記プロセス制御システムの第一のエレメントを、前記表示画面に表示される前記安全システムの第二のエレメントに関連付けすることによって、前記ユーザが前記プロセス制御システムまたは前記安全システム設定ができるように構成されている、請求項3記載のコンフィギュレーションシステム。
  37. 前記コンフィギュレーションアプリケーションは、一または複数のユーザアカウントを利用してアクセス可能であり、各ユーザアカウントは、異なるユーザエンティティに対するアクセス特権を有しており、当該コンフィギュレーションアプリケーションが、特定のユーザアカウントを使用しているときに、ユーザが前記プロセス制御システムおよび前記安全システムのいずれの部分を前記表示画面に提示するかを示す優先度を前記特定のユーザアカウントに対して設定できるように構成されている、請求項3記載のコンフィギュレーションシステム。
  38. 前記コンフィギュレーションアプリケーションは、前記プロセスプラントの少なくとも一部のコンフィギュレーションを表す表示画面を提示するように構成され、該表示画面は前記プロセス制御システムに関連する第一のセクションと前記安全システムに関連する第二のセクションとを有し、前記第一のセクションは、一または複数のプロセス制御システムコントローラを特定する第一のレベルと一または複数の前記プロセス制御システムコントローラに接続されている一または複数のプロセス制御フィールドデバイスを特定する第二のレベルを有し、前記第二のセクションは、一または複数の安全システムコントローラを特定する第一のレベルと一または複数の前記安全システムコントローラに接続されている一または複数の安全システムフィールドデバイスを特定する第二のレベルを有するように構成されている、請求項2記載のコンフィギュレーションシステム。
  39. 前記コンフィギュレーションアプリケーションは、前記プロセス制御システムの一部内で実行される制御ロジックおよび前記安全システムの一部内で実行される安全ロジックを、該制御ロジックおよび該安全ロジックが実行される前記プロセス制御フィールドデバイスおよび前記安全システムフィールドデバイスを特定することとは無関係に、ユーザが作成できるように構成されている、請求項2記載のコンフィギュレーションシステム。
  40. 前記プロセス制御フィールドシステムの一部および前記安全システムの一部は、前記プロセスプラント内の同一の予め定義されたエリアに関連付けされるように構成されている、請求項39記載のコンフィギュレーションシステム。
  41. 前記コンフィギュレーションアプリケーションは、前記プロセス制御システムの一部内で実行される制御ロジックモジュールが前記安全システムの一部内で実行される安全ロジックモジュールを参照するか、または前記安全システムの一部内で実行される安全ロジックモジュールが前記プロセス制御システムの一部内で実行される制御ロジックモジュールを参照することにより、前記制御ロジックモジュールと前記安全ロジックモジュールとの間において直接通信を行なえるように構成されている、請求項2記載のコンフィギュレーションシステム。
  42. 名称およびパラメータ参照スキームを用いて、前記制御ロジックモジュールが前記安全ロジックモジュールを参照するか、または前記安全ロジックモジュールが前記制御ロジックモジュールを参照するように構成されている、請求項4記載のコンフィギュレーションシステム。
  43. 前記コンフィギュレーションアプリケーションは、前記プロセスプラント内の共通エンティティに関連のある、前記プロセス制御システムに関するコンフィギュレーションデータおよび前記安全システムに関するコンフィギュレーションデータを格納するように構成されている、請求項2記載のコンフィギュレーションシステム。
  44. 前記コンフィギュレーションデータベースに格納されている前記プロセス制御システムコンフィギュレーションデータおよび前記安全システムコンフィギュレーションデータの両方に対して、セキュリティ手順を執行してデータを書き込むデータベース管理機能を実行するように構成されたデータベース管理ルーチンをさらに備えてなる、請求項2記載のコンフィギュレーションシステム。
  45. 前記データベース管理ルーチンは、前記コンフィギュレーションデータベースをバックアップするように構成されたバックアップルーチンおよび前記コンフィギュレーションデータベースにデータを取り込むインポートルーチンのうちの一つであるように構成されている、請求項4記載のコンフィギュレーションシステム。
  46. 一または複数のプロセス制御フィールドデバイスを利用して製造に関連する制御機能を実行するプロセス制御システムコントローラを有するプロセス制御システムと、一または複数の安全システムフィールドデバイスを利用して安全に関連する制御機能を実行する安全システムコントローラを有する安全システムとを備えるプロセスプラントの設定方法であって、
    共通コンフィギュレーションデータベースに前記プロセス制御システムおよび前記安全システムの両方に関するコンフィギュレーションデータを格納することと、
    前記共通コンフィギュレーションデータベースに格納されている前記コンフィギュレーションデータを用いて、前記プロセス制御システムおよび前記安全システムの両方に対してコンフィギュレーション機能を実行する共通ユーザインターフェイスアプリケーション提供することと
    を有している方法。
  47. 前記共通ユーザインターフェイスアプリケーションを提供することは、該共通ユーザインターフェイスアプリケーションに対して一または複数のユーザアカウントを開設することを含んでおり、当該各ユーザアカウントが、異なるユーザエンティティに対するアクセス特権を有している、請求項4記載の方法。
  48. 前記共通ユーザインターフェイスアプリケーションを提供することは、前記プロセス制御システムのうちの一部および前記安全システムのうちの一部のコンフィギュレーションを表す単一のユーザ表示画面を提示することを含んでいる、請求項4記載の方法。
  49. 前記共通ユーザインターフェイスアプリケーションを提供することによって、該共通ユーザインターフェイスアプリケーションを用いて、前記プロセス制御システム内で実行される第一のロジックモジュールのユーザによる作成、および前記安全システム内で実行される第二のロジックモジュールのユーザによる作成可能になる、請求項46記載の方法。
  50. 前記共通ユーザインターフェイスアプリケーションを提供することによって、該共通ユーザインターフェイスアプリケーションに対して一または複数のユーザアカウントを開設することと、前記ユーザアカウントのうちの第一のユーザアカウントを用いた、前記第一のロジックモジュールのユーザによる作成、および前記ユーザアカウントのうちの第二のユーザアカウントを用いた、前記第二のロジックモジュールのユーザによる作成可能にり、各ユーザアカウントは、異なるユーザエンティティに対するアクセス特権を有している、請求項49記載の方法。
  51. 前記共通ユーザインターフェイスアプリケーションを提供することによって、該共通ユーザインターフェイスアプリケーションに対して一または複数のユーザアカウントをユーザが開設することと、同一のユーザアカウントを用いて前記第一のロジックモジュールおよび前記第二のロジックモジュールをユーザが作成すること可能になり、各ユーザアカウントは、複数の異なるユーザエンティティに対するアクセス特権を有している、請求項4記載の方法。
  52. 前記共通ユーザインターフェイスアプリケーションを提供することによって、該共通ユーザインターフェイスアプリケーションを用いた、前記プロセス制御システムへの第一のロジックモジュールのユーザによるダウンロードおよび前記安全システムへの第二のロジックモジュールのユーザによるダウンロード可能にる、請求項4記載の方法。
  53. 前記共通ユーザインターフェイスアプリケーションを提供することは、該共通ユーザインターフェイスアプリケーションに対して一または複数のユーザアカウントをユーザが開設することと、前記ユーザアカウントのうちの第一のユーザアカウントを用い前記第一のロジックモジュールをユーザがダウンロードすることと、前記ユーザアカウントのうちの第二のユーザアカウントを用い前記第二のロジックモジュールをユーザがダウンロードすることができるようになり、各ユーザアカウントは、異なるユーザエンティティに対するアクセス特権を有している、請求項5記載の方法。
  54. 前記共通ユーザインターフェイスアプリケーションを提供することによって、該共通ユーザインターフェイスアプリケーションに対して一または複数のユーザアカウントをユーザが開設することと、前記ユーザアカウントのうちの同一のユーザアカウントを用い前記第一のロジックモジュールおよび前記第二のロジックモジュールをユーザがダウンロードすることができるようになり、各ユーザアカウントは、異なるユーザエンティティに対するアクセス特権を有している、請求項5記載の方法。
  55. 前記コンフィギュレーションデータを格納することは、共通のタグ形式を用いた、プロセス制御システムエンティティおよび安全システムエンティティの両方に対するタグを格納することを含んでいる、請求項4記載の方法。
  56. 前記コンフィギュレーションデータを格納することは、プロセス制御システムエンティティおよび安全システムエンティティの各々に対して固有の名称を与える共通の命名形式を用いた、プロセス制御システムエンティティおよび安全システムエンティティの両方に対する名称を格納することを含んでいる、請求項4記載の方法。
  57. 前記コンフィギュレーションデータを格納することは、共通の参照形式を用いた、前記プロセス制御システムおよび前記安全システムの両方に対する参照パラメータを格納することを含んでいる、請求項4記載の方法。
  58. 前記共通ユーザインターフェイスアプリケーションを提供することによって、前記プロセス制御システムの一部のコンフィギュレーションを表示画面のうちのプロセス制御システム部に表示しかつ前記安全システムの一部のコンフィギュレーションを表示画面のうちの安全システム部に表示する表示画面を表示スクリーン上に提示するとともに、該表示画面を利用した、前記プロセス制御システムまたは前記安全システムの一または複数のユーザによる設定ができるようになっている、請求項4記載の方法。
  59. 前記表示画面を利用した、前記プロセス制御システムまたは前記安全システムの一または複数のユーザによる設定できるようにすること、一または複数の前記ユーザ前記表示画面に表示される前記プロセス制御システムの第一のエレメントを前記表示画面に表示される前記安全システムの第二のエレメントに関連付けすることができるようになっている、請求項58記載の方法。
  60. 一または複数のユーザアカウントを利用した、前記共通ユーザインターフェイスへのアクセスができまた特定のユーザアカウントを使用しているときに、ユーザが前記プロセス制御システムおよび前記安全システムのいずれの部分を前記表示画面に提示するかを示す優先度を前記特定のユーザアカウントに対して設定ができるようになっており、各ユーザアカウントが複数の異なるユーザエンティティに対するアクセス特権を有している、請求項58記載の方法。
  61. 前記共通ユーザインターフェイスアプリケーションを提供することによって、前記プロセス制御システムの一部内で実行される制御ロジックおよび前記安全システムの一部内で実行される安全ロジックを、該制御ロジックおよび該安全ロジックが実行される前記プロセス制御デバイスおよび前記安全システムデバイスを特定することとは無関係に、ユーザが作成できるようになっている、請求項4記載の方法。
  62. 前記プロセス制御システムの一部および前記安全システムの一部は、前記プロセスプラント内の同一の予め定義されたエリアに関連付けされている、請求項6記載の方法。
  63. 前記共通ユーザインターフェイスアプリケーションを提供することによって、前記プロセス制御システムの一部内で実行される制御ロジックモジュールが前記安全システムの一部内で実行される安全ロジックモジュールを参照するか、または前記安全システムの一部内で実行される安全ロジックモジュールが前記プロセス制御システムの一部内で実行される制御ロジックモジュールを参照することにより、前記制御ロジックモジュールと前記安全ロジックモジュールとの間において直接通信を行なえるようになっている、請求項4記載の方法。
  64. 前記プロセスプラント内の共通エンティティにより関連付けされているとおりに前記プロセス制御システムに関するコンフィギュレーションデータおよび前記安全システムに関するコンフィギュレーションデータを格納するために前記共通ユーザインターフェイスを用いることをさらに含んでいる、請求項4記載の方法。
  65. 前記コンフィギュレーションデータベースに格納されている前記プロセス制御システムコンフィギュレーションデータおよび前記安全システムコンフィギュレーションデータの両方に対してデータベース管理機能を実行するために単一のデータベース管理ルーチンを用いることをさらに含んでいる、請求項4記載の方法。
  66. 前記単一のデータベース管理ルーチン用いることは、前記コンフィギュレーションデータベースをバックアップするように構成されたバックアップルーチンおよび前記コンフィギュレーションデータベースにデータを取り込むように構成されたインポートルーチンのうちの一つを用いることを含んでいる、請求項6記載の方法。
JP2004018854A 2003-01-28 2004-01-27 プロセス制御システムおよび安全システムを備えるプロセスプラントにおける統合型コンフィギュレーション Expired - Lifetime JP4963779B2 (ja)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
US10/352,396 US7289861B2 (en) 2003-01-28 2003-01-28 Process control system with an embedded safety system
US10/352,396 2003-01-28
US10/672,548 2003-09-26
US10/672,548 US7330768B2 (en) 2003-01-28 2003-09-26 Integrated configuration in a process plant having a process control system and a safety system

Publications (2)

Publication Number Publication Date
JP2004234658A JP2004234658A (ja) 2004-08-19
JP4963779B2 true JP4963779B2 (ja) 2012-06-27

Family

ID=31981122

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004018854A Expired - Lifetime JP4963779B2 (ja) 2003-01-28 2004-01-27 プロセス制御システムおよび安全システムを備えるプロセスプラントにおける統合型コンフィギュレーション

Country Status (6)

Country Link
US (1) US7330768B2 (ja)
JP (1) JP4963779B2 (ja)
CN (1) CN1542578B (ja)
DE (1) DE102004003570B4 (ja)
GB (1) GB2399193B (ja)
HK (1) HK1064468A1 (ja)

Families Citing this family (87)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9785140B2 (en) * 2000-02-01 2017-10-10 Peer Intellectual Property Inc. Multi-protocol multi-client equipment server
DE102004018857A1 (de) * 2004-04-19 2005-11-10 Elektro Beckhoff Gmbh Unternehmensbereich Industrie Elektronik Sicherheitssteuerung
JP2007536634A (ja) * 2004-05-04 2007-12-13 フィッシャー−ローズマウント・システムズ・インコーポレーテッド プロセス制御システムのためのサービス指向型アーキテクチャ
US7729789B2 (en) 2004-05-04 2010-06-01 Fisher-Rosemount Systems, Inc. Process plant monitoring based on multivariate statistical analysis and on-line process simulation
JP4529079B2 (ja) * 2004-09-02 2010-08-25 横河電機株式会社 制御システム
US8132225B2 (en) 2004-09-30 2012-03-06 Rockwell Automation Technologies, Inc. Scalable and flexible information security for industrial automation
US8233998B2 (en) * 2004-11-19 2012-07-31 Fisher-Rosemount Systems, Inc. Secure data write apparatus and methods for use in safety instrumented process control systems
DE102005019970B4 (de) * 2005-04-27 2007-04-26 Phoenix Contact Gmbh & Co. Kg Adressvergabe für sichere Busteilnehmer
US7464219B2 (en) * 2005-08-01 2008-12-09 International Business Machines Corporation Apparatus, system, and storage medium for data protection by a storage device
US7962552B2 (en) * 2005-11-14 2011-06-14 Red Hat, Inc. Borrow and give back of windows
US7975184B2 (en) * 2006-04-03 2011-07-05 Donald Goff Diagnostic access system
DE102006034251B8 (de) * 2006-07-21 2014-08-21 Senvion Se Verfahren zum Betreiben einer Windenergieanlage
JP4671131B2 (ja) * 2006-08-10 2011-04-13 横河電機株式会社 安全計装システム
JP2008097498A (ja) * 2006-10-16 2008-04-24 Olympus Corp プロセッシング・エレメント、コントロール・ユニット、及びこれらを備える処理システム、分散処理方法
EP1918794B1 (en) * 2006-11-01 2010-09-01 ABB Research Ltd. Method for utilisation of a simulation tool for communication systems
US7853336B2 (en) * 2007-02-27 2010-12-14 Rockwell Automation Technologies, Inc. Dynamic versioning utilizing multiple controller engine instances to limit complications
US7870223B2 (en) * 2007-02-27 2011-01-11 Rockwell Automation Technologies, Inc. Services associated with an industrial environment employing controller engine instances
US7899559B2 (en) * 2007-02-27 2011-03-01 Rockwell Automation Technologies, Inc. Language-based organization of controller engine instances
US8856522B2 (en) * 2007-02-27 2014-10-07 Rockwell Automation Technologies Security, safety, and redundancy employing controller engine instances
US7987004B2 (en) * 2007-02-27 2011-07-26 Rockwell Automation Technologies, Inc. Scalability related to controller engine instances
US20080208374A1 (en) * 2007-02-27 2008-08-28 Rockwell Automation Technologies, Inc. Testing utilizing controller engine instances
US8751173B1 (en) 2007-03-28 2014-06-10 LDARtools, Inc. Management of response to triggering events in connection with monitoring fugitive emissions
JP4941748B2 (ja) * 2007-07-19 2012-05-30 横河電機株式会社 安全制御システム
US8274402B1 (en) 2008-01-24 2012-09-25 LDARtools, Inc. Data collection process for optical leak detection
US8386164B1 (en) 2008-05-15 2013-02-26 LDARtools, Inc. Locating LDAR components using position coordinates
JP2010033555A (ja) * 2008-06-30 2010-02-12 Olympus Corp コントロール・ユニット、分散処理システム及び分散処理方法
US7869889B2 (en) * 2008-07-02 2011-01-11 Saudi Arabian Oil Company Distributed and adaptive smart logic with multi-communication apparatus for reliable safety system shutdown
US8285402B2 (en) * 2008-07-14 2012-10-09 Ge Intelligent Platforms, Inc. Method and system for safety monitored terminal block
JP5168012B2 (ja) * 2008-07-28 2013-03-21 株式会社ジェイテクト プログラマブルコントローラのプログラム編集装置
DE102008060005A1 (de) * 2008-11-25 2010-06-10 Pilz Gmbh & Co. Kg Sicherheitssteuerung und Verfahren zum Steuern einer automatisierten Anlage mit einer Vielzahl von Anlagenhardwarekomponenten
DE102008060003A1 (de) * 2008-11-25 2010-05-27 Pilz Gmbh & Co. Kg Verfahren und Vorrichtung zum Erstellen eines Anwenderprogramms für eine Sicherheitssteuerung
DE102008060010A1 (de) * 2008-11-25 2010-06-02 Pilz Gmbh & Co. Kg Sicherheitssteuerung und Verfahren zum Steuern einer automatisierten Anlage
JP2010149537A (ja) * 2008-12-23 2010-07-08 Autonetworks Technologies Ltd 制御装置、制御方法及びコンピュータプログラム
US8881039B2 (en) 2009-03-13 2014-11-04 Fisher-Rosemount Systems, Inc. Scaling composite shapes for a graphical human-machine interface
US20110078599A1 (en) * 2009-09-30 2011-03-31 Sap Ag Modification Free UI Injection into Business Application
US20110078600A1 (en) * 2009-09-30 2011-03-31 Sap Ag Modification Free Tagging of Business Application User Interfaces
US8938684B2 (en) * 2009-09-30 2015-01-20 Sap Se Modification free cutting of business application user interfaces
US9164501B2 (en) * 2009-10-05 2015-10-20 Fisher-Rosemount Systems, Inc. Methods and apparatus to manage data uploading in a process control environment
US8825183B2 (en) * 2010-03-22 2014-09-02 Fisher-Rosemount Systems, Inc. Methods for a data driven interface based on relationships between process control tags
US8587319B1 (en) 2010-10-08 2013-11-19 LDARtools, Inc. Battery operated flame ionization detector
EP2458467B1 (en) * 2010-11-26 2013-08-28 ABB Research Ltd. Method and system for monitoring an industrial system
JP5622553B2 (ja) * 2010-12-15 2014-11-12 株式会社東芝 発電プラントの運転管理支援装置
AT510888A1 (de) * 2011-01-05 2012-07-15 Progress Maschinen & Automation Ag Produktionsanlage mit zeitindexierter historischer anzeige
US9678483B2 (en) 2011-01-26 2017-06-13 Honeywell International Inc. Programmable controller with both safety and application functions
US9581994B2 (en) * 2011-04-05 2017-02-28 Fisher-Rosemount Systems, Inc. Methods and apparatus to manage process control resources
US9927788B2 (en) * 2011-05-19 2018-03-27 Fisher-Rosemount Systems, Inc. Software lockout coordination between a process control system and an asset management system
DE102011082962A1 (de) 2011-09-19 2013-01-24 Siemens Aktiengesellschaft System und Verfahren zur Bereitstellung eines Steuerungsprogrammcodes
CN102393693A (zh) * 2011-09-27 2012-03-28 宜宾海丝特纤维有限责任公司 短纤维原液粘胶生产中的压榨自动控制系统
CN102540944B (zh) * 2012-01-13 2013-10-23 顺德职业技术学院 嵌入式多功能统计过程控制装置及方法
DE102012102187C5 (de) * 2012-03-15 2016-11-03 Phoenix Contact Gmbh & Co. Kg Steuerungsvorrichtung zum Steuern von sicherheitskritischen Prozessen in einer automatisierten Anlage und Verfahren zur Parametrierung der Steuerungsvorrichtung
DE102012010145A1 (de) * 2012-05-24 2013-11-28 Phoenix Contact Gmbh & Co. Kg E/A-Modul
CN102799544A (zh) * 2012-06-29 2012-11-28 广州视睿电子科技有限公司 触控设备与集成系统配对识别的方法
US9405291B2 (en) * 2012-07-31 2016-08-02 Fisher-Rosemount Systems, Inc. Systems and methods to monitor an asset in an operating process unit
KR102171053B1 (ko) 2012-09-14 2020-10-28 글로벌 라이프 사이언시스 솔루션즈 유에스에이 엘엘씨 유연한 생물반응기 제어 시스템을 구현하기 위한 방법 및 장치
US11216159B2 (en) 2012-10-08 2022-01-04 Fisher-Rosemount Systems, Inc. Configuration element for graphic elements
US11774927B2 (en) 2012-10-08 2023-10-03 Fisher-Rosemount Systems, Inc. Methods and apparatus to provide a role-based user interface
CN107678412B (zh) 2012-10-08 2020-05-15 费希尔-罗斯蒙特系统公司 用利用覆盖的派生和链接的定义配置图形元素对象的方法
EP2735925B1 (de) * 2012-11-23 2016-08-17 Siemens Aktiengesellschaft Automatisierungseinrichtung
US20140277612A1 (en) * 2013-03-14 2014-09-18 General Electric Company Automatic generation of a dynamic pre-start checklist
CN103455008B (zh) * 2013-09-10 2015-10-07 中国民航大学 飞机跳开关系统模拟装置及自动配置方法
CN103454925B (zh) * 2013-09-23 2016-02-17 上海大学 机械抖动激光陀螺合光调整系统
CN103577375B (zh) * 2013-11-26 2016-05-04 中国科学院声学研究所 可兼容多种can总线硬件电路的总线控制方法及装置
MX362169B (es) * 2013-12-25 2018-12-14 Tlv Co Ltd Star Sistema de gestion de sistema de proceso, aparato servidor, medio de gestion legible por ordenador y metodo de gestion.
US10488854B1 (en) 2014-05-20 2019-11-26 InspectionLogic Corporation Method and determination for fugitive emissions monitoring time
US20160132037A1 (en) * 2014-11-11 2016-05-12 Yokogawa Electric Corporation Process control systems and systems and methods for configuration thereof
JP6350302B2 (ja) 2015-01-22 2018-07-04 オムロン株式会社 プログラマブル表示器
CN104898604B (zh) * 2015-04-08 2017-08-01 南京优助智能科技有限公司 能源站群控系统配置方法
CN104991454A (zh) * 2015-05-21 2015-10-21 广西梧州市网讯电子科技有限公司 一种基于微信的物联网安全远程控制系统
JP6961582B2 (ja) 2015-10-12 2021-11-05 フィッシャー−ローズマウント システムズ,インコーポレイテッド 切断されたプロセス制御ループの一部分をコミッショニングするためのデバイスパラメータの自動分配
CN105785894A (zh) * 2016-03-25 2016-07-20 浙江帝杰曼信息科技股份有限公司 一种环境监测系统
US10061273B2 (en) * 2016-04-26 2018-08-28 Samsung Electronics Co., Ltd. Intelligent security hub for providing smart alerts
US10235853B2 (en) * 2016-06-20 2019-03-19 General Electric Company Interface method and apparatus for alarms
US10324434B2 (en) 2016-10-12 2019-06-18 Fisher-Rosemount Systems, Inc. Method and system for commissioning process control hardware
GB2601081B (en) * 2016-10-24 2022-09-28 Fisher Rosemount Systems Inc Systems and methods for merging modular control systems into a process plant
CN110366760B (zh) * 2016-12-30 2024-05-07 纽斯高动力有限责任公司 核反应堆保护系统和方法
US10382262B1 (en) 2017-05-10 2019-08-13 Appian Corporation Dynamic application configuration techniques
DE102017110633B3 (de) * 2017-05-16 2018-11-15 Krohne Messtechnik Gmbh Anzeigegerät für die Prozessautomation
EP3489800A1 (de) * 2017-11-27 2019-05-29 EUCHNER GmbH + Co. KG Sicherheitssystem
DE102018206109B4 (de) * 2018-04-20 2021-01-07 Lenze Automation Gmbh Elektrisches Steuergerät und Steuergerätesystem
DE102018003525A1 (de) * 2018-05-02 2019-11-07 Truma Gerätetechnik GmbH & Co. KG Verfahren zum Zurücksetzen eines Geräts sowie Gerät und Steuereinheit
US11265293B2 (en) * 2018-10-26 2022-03-01 Honeywell International Inc. Wireless adaptor and wireless gateway having built-in firewalls for secure access to instruments
RU2726497C1 (ru) * 2020-01-22 2020-07-14 Борис Германович Терехин Устройство для построения программируемых цифровых микропроцессорных систем
TWI762908B (zh) * 2020-04-17 2022-05-01 新唐科技股份有限公司 串接式擴增裝置及包含其之串接式系統
EP3926419A1 (de) * 2020-06-19 2021-12-22 Schneider Electric Industries SAS Sicherheitsgerichtetes steuerungssystem
RU2752101C1 (ru) * 2020-11-06 2021-07-22 Федеральное государственное бюджетное учреждение науки Институт проблем транспорта им Н.С. Соломенко Российской Академии наук Устройство аварийного торможения судна с помощью руля и циркуляции
WO2022106885A1 (en) * 2020-11-18 2022-05-27 Myomega Systems Gmbh Industrial control system
CN118348832A (zh) * 2024-04-17 2024-07-16 重庆科创水处理设备有限公司 一种流程控制系统及方法

Family Cites Families (28)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4598355A (en) * 1983-10-27 1986-07-01 Sundstrand Corporation Fault tolerant controller
US4649515A (en) * 1984-04-30 1987-03-10 Westinghouse Electric Corp. Methods and apparatus for system fault diagnosis and control
GB2200476B (en) 1987-01-29 1991-02-06 British Gas Plc Monitor system
US5553237A (en) * 1994-12-13 1996-09-03 Base Ten Systems, Inc. Safety critical monitoring of microprocessor controlled embedded systems
US5838563A (en) 1996-04-12 1998-11-17 Fisher-Rosemont Systems, Inc. System for configuring a process control environment
US5768119A (en) 1996-04-12 1998-06-16 Fisher-Rosemount Systems, Inc. Process control system including alarm priority adjustment
US5940294A (en) 1996-04-12 1999-08-17 Fisher-Rosemont Systems, Inc. System for assisting configuring a process control environment
US6999824B2 (en) * 1997-08-21 2006-02-14 Fieldbus Foundation System and method for implementing safety instrumented systems in a fieldbus architecture
JP2000099478A (ja) * 1998-09-18 2000-04-07 Toshiba Corp 異種環境における分散情報処理システム、対異種システム通信装置、及び分散情報処理方法
US6647301B1 (en) * 1999-04-22 2003-11-11 Dow Global Technologies Inc. Process control system with integrated safety control system
JP2000353119A (ja) * 1999-06-09 2000-12-19 Nec Corp 分散システムにおけるアプリケーション設定情報集中管理方法
DE19934514C5 (de) * 1999-07-22 2013-03-14 Pilz Gmbh & Co. Kg Verfahren zum Konfigurieren eines an einen Feldbus angeschlossenen Busteilnehmers
DE19939567B4 (de) * 1999-08-20 2007-07-19 Pilz Gmbh & Co. Kg Vorrichtung zum Steuern von sicherheitskritischen Prozessen
US6446202B1 (en) * 1999-10-04 2002-09-03 Fisher-Rosemount Systems, Inc. Process control configuration system for use with an AS-Interface device network
US6449715B1 (en) 1999-10-04 2002-09-10 Fisher-Rosemount Systems, Inc. Process control configuration system for use with a profibus device network
US6704737B1 (en) * 1999-10-18 2004-03-09 Fisher-Rosemount Systems, Inc. Accessing and updating a configuration database from distributed physical locations within a process control system
US6687698B1 (en) * 1999-10-18 2004-02-03 Fisher Rosemount Systems, Inc. Accessing and updating a configuration database from distributed physical locations within a process control system
US6449624B1 (en) * 1999-10-18 2002-09-10 Fisher-Rosemount Systems, Inc. Version control and audit trail in a process control system
US6721900B1 (en) 1999-12-22 2004-04-13 Rockwell Automation Technologies, Inc. Safety network for industrial controller having reduced bandwidth requirements
US6631476B1 (en) * 1999-12-22 2003-10-07 Rockwell Automation Technologies, Inc. Safety network for industrial controller providing redundant connections on single media
US7130701B1 (en) 2000-05-24 2006-10-31 Schneider Automation Inc. System for remote configuration monitoring of an industrial control system
JP4343457B2 (ja) * 2000-05-24 2009-10-14 富士通株式会社 プロファイル管理装置,管理方法,プロファイル管理用プログラム記録媒体およびプロファイル管理用プログラム
US7069580B1 (en) 2000-06-16 2006-06-27 Fisher-Rosemount Systems, Inc. Function-based process control verification and security in a process control system
JP2002236750A (ja) * 2001-02-09 2002-08-23 Toshiba Corp 医用画像診断装置で用いる操作者個人情報共有のシステム、その方法、及びそのプログラム
US7430451B2 (en) * 2001-05-31 2008-09-30 Omron Corporation Safety unit, controller system, connection method of controllers, control method of the controller system and monitor method of the controller system
US7107358B2 (en) * 2001-09-12 2006-09-12 Rockwell Automation Technologies, Inc. Bridge for an industrial control system using data manipulation techniques
US6915444B2 (en) * 2001-09-12 2005-07-05 Rockwell Automation Technologies, Inc. Network independent safety protocol for industrial controller using data manipulation techniques
US9707580B1 (en) 2015-01-03 2017-07-18 Dennis J. Mancl High voltage fan motor powered by low voltage

Also Published As

Publication number Publication date
GB2399193A (en) 2004-09-08
US7330768B2 (en) 2008-02-12
GB2399193B (en) 2006-08-30
CN1542578B (zh) 2012-03-21
DE102004003570A1 (de) 2005-03-10
JP2004234658A (ja) 2004-08-19
DE102004003570B4 (de) 2023-08-24
CN1542578A (zh) 2004-11-03
HK1064468A1 (en) 2005-01-28
US20040260408A1 (en) 2004-12-23
GB0401723D0 (en) 2004-03-03

Similar Documents

Publication Publication Date Title
JP4963779B2 (ja) プロセス制御システムおよび安全システムを備えるプロセスプラントにおける統合型コンフィギュレーション
JP4499436B2 (ja) プロセス制御システムおよび安全システムを備えるプロセスプラントにおける統合型セキュリティ
US6975966B2 (en) Integrated diagnostics in a process plant having a process control system and a safety system
JP4260643B2 (ja) 組み込み安全システムを備えるプロセス制御システム
JP4578839B2 (ja) プロセス安全システムで使用するための原因結果マトリックスの機能ブロック実装
US7836217B2 (en) Associating and evaluating status information for a primary input parameter value from a Profibus device
JP5715199B2 (ja) 試験ユニット、システムおよびデバイス試験実行方法
US7113085B2 (en) Enhanced device alarms in a process control system
JP4125137B2 (ja) プロセス制御システムにおけるFieldbusデバイス用機能強化型アラート
JP5444312B2 (ja) 処理コントロールシステムへデータを書き込むためのスクリプトを自動的に生成する方法、システム、及びマシンアクセス可能媒体
JP4557588B2 (ja) プロセス制御システムにおける動作オーバライドおよびメンテナンスオーバライドを有する採決ロジックブロック
JP2002222012A (ja) プロセス制御ネットワークに於ける統合されたアラーム表示
US20100064297A1 (en) Configuring And Providing Enhanced Access To Profibus Device Diagnostic Data
US20210092097A1 (en) Whitelisting for HART Communications in a Process Control System
US20200096962A1 (en) Field Device and Method for Parameterizing the Field Device
CN114488963A (zh) 由控制面板激活安全阀定位器的跳闸功能以实现安全状态
GB2589962A (en) Whitelisting for hart communications in a process control system

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20070117

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20091104

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20100203

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20100208

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100506

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110405

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20110620

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20110623

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120228

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120327

R150 Certificate of patent or registration of utility model

Ref document number: 4963779

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150406

Year of fee payment: 3

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

EXPY Cancellation because of completion of term