用于關(guān)停現(xiàn)場設(shè)備的系統(tǒng)和方法
【專利摘要】本發(fā)明提供了用于關(guān)?�,F(xiàn)場設(shè)備的系統(tǒng)和方法�。一種用于在安全儀表系統(tǒng)中實現(xiàn)的現(xiàn)場設(shè)備的診斷系統(tǒng)和方法包括:檢測與現(xiàn)場設(shè)備相關(guān)聯(lián)的安全事件的發(fā)生;響應(yīng)于檢測到安全事件的發(fā)生����,越權(quán)控制現(xiàn)場設(shè)備的正?����?刂?�,以使得現(xiàn)場設(shè)備進(jìn)入安全狀態(tài)���;驗證對現(xiàn)場設(shè)備的正常控制的越權(quán)控制��;以及發(fā)送控制信號���,以使得現(xiàn)場設(shè)備進(jìn)入安全狀態(tài)�����。
【專利說明】用于關(guān)?���,F(xiàn)場設(shè)備的系統(tǒng)和方法
【技術(shù)領(lǐng)域】
[0001] 本文的公開整體涉及控制安全儀表系統(tǒng)中的現(xiàn)場設(shè)備�����,更具體地涉及用于將現(xiàn)場 設(shè)備置于安全狀態(tài)的系統(tǒng)和方法��。
【背景技術(shù)】
[0002] 過程控制系統(tǒng)如化學(xué)、石油和其他過程中使用的那些過程控制系統(tǒng)典型地包括一 個或多個控制器����,該控制器經(jīng)由模擬、數(shù)字或組合的模擬/數(shù)字總線可通信地耦接到至少 一個主機或用戶工作站和一個或多個現(xiàn)場設(shè)備?��,F(xiàn)場設(shè)備例如可以包括控制閥��、閥定位器�����、 開關(guān)和發(fā)射器(例如溫度�����、壓強和流速傳感器)�,其執(zhí)行過程之中的功能���,如打開或關(guān)閉閥 以及測量過程參數(shù)。過程控制器接收用于指示由現(xiàn)場設(shè)備做出的過程測量的信號和/或涉 及現(xiàn)場設(shè)備的其他信息�����,并且使用該信息來實現(xiàn)控制例程以生成控制信號,該控制信號可 以通過總線發(fā)送到現(xiàn)場設(shè)備以控制過程的操作���。在現(xiàn)場設(shè)備失效的情況中���,可能危及整個 過程控制系統(tǒng)的操作狀態(tài)。
[0003] 安全儀表系統(tǒng)(SIS)可用于防護(hù)過程控制系統(tǒng)以防止危險事件�,如毒氣、易燃或 易爆化學(xué)品的泄漏���。SIS是用于補充過程控制系統(tǒng)并且當(dāng)必要時采取行動來使過程控制系 統(tǒng)進(jìn)入安全狀態(tài)的獨特的����、可靠的系統(tǒng)���。SIS利用傳感器���、邏輯解算器和致動器來實現(xiàn)安全 儀表功能(SIF)以達(dá)到或維持安全狀態(tài)。安全完整性等級(SIL)是SIS的完整性的統(tǒng)計 表示并且可以根據(jù)風(fēng)險降低因子(RRF)來限定����。換句話說,SIL是一種用于指示特定安全 功能的可容忍失效率的方式�。RRF的倒數(shù)是要求失效概率(probability of failure on demand��,PFD)并且多個離散的SIL等級與PFD相關(guān)聯(lián)���,其中SIL等級1表示可接受的風(fēng)險 的最1?等級,并且SIL等級4表不可接受:的風(fēng)險的最低等級�。
[0004] SIS可以典型地包括兩種類型的設(shè)備、儀器��、子系統(tǒng)或模塊�����;即類型A和類型B�。通 常,被分類為類型A的單元是不具有板載復(fù)雜處理器的設(shè)備����,并且每個組件,例如閥��、中繼 器��、螺線管�、開關(guān)等等的所有可能的失效都能夠被限定。被分類為類型B的單元包括至少一 個具有未被良好限定的失效模式的組件����,例如微處理器、專用集成電路(ASIC)���、"智能"發(fā)射 器��。根據(jù)安全性����,可以將失效分為兩種類別:安全失效和危險失效�����。安全失效是在設(shè)備內(nèi)的 模塊和子系統(tǒng)等級上的那些失效�,其導(dǎo)致安全狀態(tài)并且可能被或不被內(nèi)部診斷檢測到。危 險失效是不導(dǎo)致安全狀態(tài)的失效�。但是危險失效可能被內(nèi)部診斷檢測到,內(nèi)部診斷向用戶 警告該失效并且使得能夠及時的維修���,使得要求失效概率(PFD)不像失效未被檢測到那樣 受影響����。安全失效比率(SFF)參數(shù)指示導(dǎo)致安全失效的設(shè)備的總體失效率與全部失效相比 的比率。SFF可以被定義為1-(危險的未檢測到的失效V(總失效)�����,其中�����,總失效包括已 檢測到的安全失效�����、未檢測到的安全失效�、已檢測到的危險失效和未檢測到的危險失效。未 檢測到的危險失效不利地影響與設(shè)備相關(guān)聯(lián)的PFD和/或SFF��。
【發(fā)明內(nèi)容】
[0005] 本文公開了用于改善對工廠操作的控制的示例性系統(tǒng)和方法�����。在實現(xiàn)在計算機設(shè) 備上的一個示例性方法中��,一種用于控制在安全儀表系統(tǒng)中實現(xiàn)的現(xiàn)場設(shè)備的方法包括: 在硬件模塊處檢測與在安全儀表系統(tǒng)中實現(xiàn)的現(xiàn)場設(shè)備相關(guān)聯(lián)的安全事件的發(fā)生�����;響應(yīng)于 檢測到安全事件的發(fā)生,在硬件模塊處越權(quán)控制現(xiàn)場設(shè)備的正?���?刂疲允沟矛F(xiàn)場設(shè)備進(jìn) 入安全狀態(tài)�;在軟件模塊處檢測與安全儀表系統(tǒng)的現(xiàn)場設(shè)備相關(guān)聯(lián)的安全事件的發(fā)生�����;在 軟件模塊處監(jiān)視對現(xiàn)場設(shè)備的正??刂频脑綑?quán)控制;在軟件模塊處驗證對現(xiàn)場設(shè)備的正常 控制的越權(quán)控制����;并且在軟件模塊處發(fā)送軟件控制信號,以使得現(xiàn)場設(shè)備進(jìn)入安全狀態(tài)��。
[0006] 在另一個示例性實施方式中��,一種用于控制在安全儀表系統(tǒng)中實現(xiàn)的控制元件的 系統(tǒng)包括具有可操作地耦接到軟件模塊的硬件模塊的現(xiàn)場設(shè)備����。硬件模塊可操作地耦接到 轉(zhuǎn)換器設(shè)備的控制輸入,并且硬件模塊響應(yīng)于安全事件的發(fā)生����,在檢測到安全事件的發(fā)生 之后�����,硬件模塊越權(quán)控制現(xiàn)場設(shè)備的正?���?刂撇⑶野l(fā)送硬件控制信號以驅(qū)動轉(zhuǎn)換器設(shè)備到 安全狀態(tài)��。軟件模塊包括可操作地耦接到存儲器和轉(zhuǎn)換器設(shè)備的控制輸入的處理器��。軟件 模塊響應(yīng)于安全事件的發(fā)生����,在檢測到安全事件的發(fā)生之后,軟件模塊驗證由硬件模塊進(jìn) 行的對現(xiàn)場設(shè)備的正??刂频脑綑?quán)控制并且然后發(fā)送軟件控制信號以使轉(zhuǎn)換器設(shè)備進(jìn)入 安全狀態(tài)。
[0007] 在另一個示例性實施方式中�,一種用于控制在安全儀表系統(tǒng)中實現(xiàn)的控制元件的 系統(tǒng)包括:用于檢測與在安全儀表系統(tǒng)中實現(xiàn)的現(xiàn)場設(shè)備相關(guān)聯(lián)的安全事件的發(fā)生的單 元;用于響應(yīng)于檢測到安全事件的發(fā)生越權(quán)控制現(xiàn)場設(shè)備的正?���?刂埔允沟矛F(xiàn)場設(shè)備進(jìn)入 安全狀態(tài)的單元;用于監(jiān)視對現(xiàn)場設(shè)備的正?���?刂频脑綑?quán)控制的單元�;用于驗證對現(xiàn)場設(shè) 備的正??刂频脑綑?quán)控制的單元;以及用于發(fā)送軟件控制信號以使得現(xiàn)場設(shè)備進(jìn)入安全狀 態(tài)的單元�����。
[0008] 在另一個示例性實施方式中���,一種有形的非暫態(tài)計算機可讀介質(zhì)包括存儲在其上 的指令,當(dāng)指令被一個或多個處理器執(zhí)行時使得一個或多個處理器:在軟件模塊處檢測與 在安全儀表系統(tǒng)中實現(xiàn)的現(xiàn)場設(shè)備相關(guān)聯(lián)的安全事件的發(fā)生���;在軟件模塊處監(jiān)視由硬件模 塊對現(xiàn)場設(shè)備的正?���?刂频脑綑?quán)控制���;在軟件模塊處驗證由硬件模塊對現(xiàn)場設(shè)備的正?����??制的越權(quán)控制�����;并且在軟件模塊處發(fā)送軟件控制信號���,以使得現(xiàn)場設(shè)備進(jìn)入安全狀態(tài)����。
[0009] 進(jìn)一步根據(jù)本文的創(chuàng)造性的方案��,一個或多個前述實施方式可以進(jìn)一步包括以下 形式中的任意一個或多個���。
[0010] 在另一個形式中�����,監(jiān)視對現(xiàn)場設(shè)備的正?����?刂频脑綑?quán)控制的步驟包括監(jiān)視可操作 地耦接到現(xiàn)場設(shè)備的輸入的硬件控制信號�����。
[0011] 在另一個形式中����,驗證對現(xiàn)場設(shè)備的正常控制的越權(quán)控制的步驟包括將安全狀態(tài) 信號與硬件控制信號進(jìn)行比較���。
[0012] 在另一個形式中�����,該方法包括記錄對現(xiàn)場設(shè)備的正??刂频脑綑?quán)控制的驗證��。
[0013] 在另一個形式中�,記錄對現(xiàn)場設(shè)備的正?��?刂频脑綑?quán)控制的驗證的步驟包括如果 所監(jiān)測到的硬件控制信號不等于安全狀態(tài)信號���,則登記檢測到的失效。
[0014] 在另一個形式中�����,該系統(tǒng)包括可操作地耦接在硬件模塊和現(xiàn)場設(shè)備之間的控制信 號轉(zhuǎn)換器��,該控制信號轉(zhuǎn)換器進(jìn)一步可操作地耦接在軟件模塊與現(xiàn)場設(shè)備之間。
[0015] 在另一個形式中����,控制信號轉(zhuǎn)換器是電流到壓強(Ι/P)轉(zhuǎn)換器或電壓到壓強(E/ P)轉(zhuǎn)換器。
[0016] 在另一個形式中����,該系統(tǒng)包括可操作地耦接到硬件模塊以用于檢測安全事件的發(fā) 生的第一傳感器,在檢測到安全事件的發(fā)生之后�����,第一傳感器開始從硬件模塊向控制信號 轉(zhuǎn)換器提供硬件控制信號����,以及可操作地耦接到軟件模塊以用于檢測安全事件的發(fā)生的第 二傳感器,其中在檢測到安全事件的發(fā)生之后���,第二傳感器開始從軟件模塊向控制信號轉(zhuǎn) 換器發(fā)送軟件控制信號�����?��?商鎿Q地����,第一傳感器和第二傳感器可以不是獨立的傳感器�����,而是 單個傳感器����。即用于檢測安全事件的發(fā)生的單個傳感器可以可操作地耦接到硬件模塊和軟 件模塊,在檢測到安全事件的發(fā)生之后�,該單個傳感器開始從硬件模塊提供硬件控制信號 以及從軟件模塊提供軟件控制信號。
[0017] 在另一個形式中��,現(xiàn)場設(shè)備是氣動閥控制器���,其包括被分類為類型A設(shè)備的硬件 模塊和被分類為類型B設(shè)備的軟件模塊。
【專利附圖】
【附圖說明】
[0018] 圖1是具有過程控制系統(tǒng)和安全儀表系統(tǒng)的示例性過程工廠的示意性表示�����。
[0019] 圖2是(根據(jù)本文的公開的原理來構(gòu)造的)用于將最終控制元件如閥置于安全狀 態(tài)的過程工廠的一部分的示例性配置的方框圖��。
[0020] 圖3示出了能夠在圖2中所述的過程工廠中使用以將現(xiàn)場設(shè)備置于安全狀態(tài)的示 例性模塊或過程流圖�。
【具體實施方式】
[0021] 本文的公開涉及提供用于確保使在安全儀表系統(tǒng)中實現(xiàn)的現(xiàn)場設(shè)備進(jìn)入安全狀 態(tài)的控制系統(tǒng)和方法����。圖1中所示的能夠?qū)崿F(xiàn)本發(fā)明的一個或多個實施方式的示例性過程 工廠10包括過程控制系統(tǒng)12和通常作為安全儀表系統(tǒng)(SIS)來操作的安全系統(tǒng)14 (描繪 在虛線中)����。SIS14能夠執(zhí)行安全儀表功能(SIF)以達(dá)到或維持過程控制系統(tǒng)12中的安全 狀態(tài)。如果必要�,則SIS14可以越權(quán)控制過程控制系統(tǒng)12。
[0022] 過程工廠10包括一個或多個主機工作站16或計算設(shè)備如個人計算機��,其例如具 有包括可被工廠人員訪問的鍵盤和顯示屏的用戶接口����。在圖1中所示的實例中,兩個工作 站16被顯示為經(jīng)由公共通信線路或總線22連接到過程控制/安全控制節(jié)點18和數(shù)據(jù)歷 史庫20���。數(shù)據(jù)歷史庫20可以是任意希望類型的數(shù)據(jù)采集單元�,其具有任意希望類型的存儲 器和任意希望或已知的軟件�、硬件或固件以用于存儲數(shù)據(jù)。雖然數(shù)據(jù)歷史庫20在圖1中被 示為獨立的設(shè)備�����,但是其可以改為或另外作為一個工作站16或另一個設(shè)備如服務(wù)器的一 部分?�?梢允褂萌我庀M幕诳偩€的或非基于總線的硬件�,使用任意希望的有線或無線 通信結(jié)構(gòu)并且使用任意希望的或合適的通信協(xié)議如以太網(wǎng)協(xié)議,來實現(xiàn)通信總線22�����。
[0023] 通常����,過程工廠10包括經(jīng)由可以在底板26上提供的總線結(jié)構(gòu)可操作地連接在一 起的過程控制系統(tǒng)設(shè)備和安全系統(tǒng)設(shè)備,其中���,不同的過程控制器和輸入/輸出設(shè)備附接 到底板26中��。圖1中所示的過程工廠10包括至少一個過程控制器24以及一個或多個過 程控制系統(tǒng)輸入/輸出(I/O)設(shè)備28����、29���、30、31����、32����。過程控制系統(tǒng)1/0設(shè)備28�、29、30����、 31、32中的每一個可通信地連接到圖1中被示為現(xiàn)場設(shè)備40���、41����、42����、48的一組過程控制相 關(guān)現(xiàn)場設(shè)備。過程控制器24�、I/O設(shè)備28、29���、30����、31、32和控制器現(xiàn)場設(shè)備40��、41��、42��、48通 常構(gòu)成圖1的過程控制系統(tǒng)12�����。
[0024] 舉例而言��,過程控制器24可以是由愛默生過程管理公司所銷售的DeltaV?或者任 意其他希望類型的過程控制器����,其被編程為使用I/O設(shè)備28、29�����、30�����、31、32和現(xiàn)場設(shè)備40����、 41�、 42、48來提供過程控制功能�����。具體而言����,控制器24實現(xiàn)或者監(jiān)管一個或多個過程控制模 塊46或者存儲在其中的存儲器中或者與其相關(guān)的存儲器中的例程并且與現(xiàn)場設(shè)備40、41�、 42、 48和工作站16通信�,以用任意希望的方式控制過程工廠10或者過程工廠10的一部分。
[0025] 可以用任意希望的軟件格式如使用梯形邏輯����、順序功能圖、控制例程圖�����、面向?qū)ο?編程或任意其他軟件編程語言或設(shè)計范例來實現(xiàn)控制例程46,控制例程46可以是多個控 制模塊或一個控制程序的任意部分如子例程、子例程的部分(如代碼行)等等��。類似地��,本 文所述的控制例程可以被硬編碼到例如一個或多個EPROM��、EEPR0M���、專用集成電路(ASIC)�����、 PLC或任意其他硬件或固件元件中�?����?梢允褂萌我庠O(shè)計工具(包括圖形設(shè)計工具或任意其 他類型的軟件/硬件/固件編程或設(shè)計工具)來設(shè)計控制例程�。
[0026] 控制器24可以被配置為用任意希望的方式實現(xiàn)控制例程或控制策略??刂破?4 可以例如使用通常被稱為功能塊的東西來實現(xiàn)控制策略,其中���,每個功能塊是總控制例程 的一部分或一個對象并且(經(jīng)由被稱為通信的鏈路)結(jié)合其他功能塊來操作���,以實現(xiàn)過程 控制系統(tǒng)12中的過程控制回路����。功能塊典型地執(zhí)行以下功能之中的一個:輸入功能����,如 與發(fā)射器��、傳感器或其他過程參數(shù)測量設(shè)備相關(guān)聯(lián)的輸入功能�;控制功能,如與用于執(zhí)行 PID��、模糊邏輯等等控制的控制例程相關(guān)聯(lián)的控制功能���;或者輸出功能��,用于控制一些設(shè)備 如閥的操作以執(zhí)行過程控制系統(tǒng)12中的一些物理功能��。也可以存在這些功能塊的混合以 及其他類型的功能塊�。
[0027] 功能塊和控制例程可以存儲在控制器24中并且由控制器24執(zhí)行����,這典型而言是 當(dāng)功能塊用于或者關(guān)聯(lián)標(biāo)準(zhǔn)4-20ma設(shè)備和一些類型的智能現(xiàn)場設(shè)備如HART設(shè)備時的情 況���。功能塊和控制例程也可以存儲在現(xiàn)場設(shè)備自身中并且由現(xiàn)場設(shè)備自身執(zhí)行,這可能是 利用現(xiàn)場總線設(shè)備時的情況���。
[0028] 為了本文的公開的目的�,術(shù)語控制策略�����、控制例程�、控制模塊、控制功能塊�、安全模 塊、安全邏輯模塊和控制回路本質(zhì)上表示為了控制過程而執(zhí)行的控制程序�,并且這些術(shù)語 可以在本文互換使用。然而�����,為了以下討論的目的���,將使用術(shù)語模塊��。應(yīng)該進(jìn)一步注意到��, 本文所述的模塊根據(jù)需要可以使其各個部分由不同控制器或其他設(shè)備實現(xiàn)或執(zhí)行�����。另外�����, 本文所述的要實現(xiàn)在過程控制系統(tǒng)12和安全系統(tǒng)14中的模塊可以采取任意形式�,包括軟 件���、固件���、硬件或其任意組合。
[0029] 現(xiàn)場設(shè)備40�、41、42���、48可以具有任意希望的類型����,如傳感器、閥���、發(fā)射器����、定位器 等等并且可以符合任意希望的開放�����、私有或其他有線和/或無線通信或編程協(xié)議���,包括例 如僅舉幾個例子而言HART或4-20ma協(xié)議(如對于現(xiàn)場設(shè)備40所示的)���、任意總線協(xié)議如 Foundation?」現(xiàn)場總線協(xié)議(如對于現(xiàn)場設(shè)備41所示的)、或CAN��、Pr〇fibus���、和as接口 協(xié)議���。類似地,I/O設(shè)備28�����、29、30�����、31����、32中的每一個可以是使用任意合適的通信協(xié)議的任 意已知類型的過程控制I/O設(shè)備。
[0030] 除了有線通信之外�����,或者代替有線通信��,可以使用任意希望的無線通信設(shè)備����,包括 現(xiàn)在已知或以后開發(fā)的硬件����、軟件、固件或其任意組合���,在控制器24和現(xiàn)場設(shè)備40��、41����、42、 48之間建立無線通信���。在圖1中所示的實施方式中����,天線47耦接到并且專用于執(zhí)行發(fā)射器 42的無線通信��,而具有天線45的無線路由器或其他模塊43被耦接為統(tǒng)一地處理可操作地 與其耦接的發(fā)射器42的無線通信���。類似地����,天線37耦接到控制閥組件48以執(zhí)行控制閥組 件的無線通信?����,F(xiàn)場設(shè)備或相關(guān)硬件40�、41�����、42�����、48可以實現(xiàn)由合適的無線通信協(xié)議使用的 協(xié)議棧操作以經(jīng)由天線37��、45����、47接收�����、解碼���、路由��、編碼和發(fā)送無線信號,以實現(xiàn)過程控制 器24和發(fā)射器42和控制閥組件48之間的無線通信�。
[0031] 如果希望,則發(fā)射器42可以在各個過程傳感器(發(fā)射器)和過程控制器24之間 形成唯一的鏈路�����,并且依賴這些發(fā)射器42來發(fā)送準(zhǔn)確的信號給控制器24以確保維持過程 性能。通常被稱為過程變量發(fā)射器(PVT)的該發(fā)射器因此可能在總體控制過程的控制中扮 演重要角色�。另外,作為其操作的一部分���,控制閥組件48可以提供由控制閥組件48中的傳 感器做出的測量值或者可以提供由控制閥組件48生成或計算的其他數(shù)據(jù)給控制器24�����。當(dāng) 然����,如已知的�,控制閥組件48還可以從控制器24接收控制信號,以影響總體過程中的物理 參數(shù)�,如流量。
[0032] 過程控制器24耦接到一個或多個I/O設(shè)備31�、32,每個I/O設(shè)備連接到相應(yīng)的天 線33、35,并且這些I/O設(shè)備和天線作為發(fā)射器/接收器來操作�����,以經(jīng)由一個或多個無線通 信網(wǎng)絡(luò)執(zhí)行與無線現(xiàn)場設(shè)備42�、48的無線通信���。可以使用一個或多個已知無線通信協(xié)議如 WirelessH ART? |辦議�����、Ember協(xié)議��、WiFi協(xié)議����、IEEE無線標(biāo)準(zhǔn)等等,執(zhí)行現(xiàn)場設(shè)備之間 的無線通信�����。進(jìn)一步地�,I/O設(shè)備31、32還可以實現(xiàn)由這些通信協(xié)議使用的協(xié)議棧操作以 經(jīng)由天線33�����、35接收���、解碼�、路由���、編碼和發(fā)送無線信號�����,以實現(xiàn)控制器24和發(fā)射器和控制 閥組件48之間的無線通信�。
[0033] 過程工廠10還包括一個或多個安全系統(tǒng)邏輯解算器50�、51、52���、53�。邏輯解算器 51��、52�����、53�����、54中的每一個可以是具有處理器54的安全控制器(總是又被稱為I/O設(shè)備)�����, 其中,處理器54執(zhí)行存儲在存儲器中的安全邏輯模塊58并且被可通信地連接為向安全系 統(tǒng)現(xiàn)場設(shè)備60��、62��、65��、66提供控制信號和/或從安全系統(tǒng)現(xiàn)場設(shè)備60�、62、65�、66接收信 號。安全控制器50���、51��、52��、53和安全系統(tǒng)現(xiàn)場設(shè)備60���、62、65���、66通常構(gòu)成圖1的安全系統(tǒng) 14(SIS)�。
[0034] 安全系統(tǒng)現(xiàn)場設(shè)備60、62����、65�����、66可以是符合或使用任意已知或希望的有線和/或 無線通信協(xié)議(如上文關(guān)于過程控制系統(tǒng)12所述的那些有線和/或無線通信協(xié)議)的任 意類型的現(xiàn)場設(shè)備��。具體而言�����,現(xiàn)場設(shè)備60���、62�����、65���、66可以是通常受獨立專用安全相關(guān)控 制系統(tǒng)(如緊急關(guān)停(ESD)閥)控制的類型的安全相關(guān)現(xiàn)場設(shè)備。在圖1中所示的過程工 廠10中,安全現(xiàn)場設(shè)備60被描述為使用專用或點對點通信協(xié)議如HART或4-20ma協(xié)議���,而 安全現(xiàn)場設(shè)備62被描述為使用總線通信協(xié)議如現(xiàn)場總線協(xié)議�����。通常��,作為安全系統(tǒng)14的 一部分的安全設(shè)備(控制器50��、51�、52�、53和安全系統(tǒng)現(xiàn)場設(shè)備60、62���、65�����、66)被評級是安 全設(shè)備���,其典型地表示這些設(shè)備必須經(jīng)歷評級程序,以被合適的團(tuán)體評級為安全設(shè)備����。
[0035] 類似于過程控制系統(tǒng)12,安全系統(tǒng)14也可以包括設(shè)置在工廠中的將要被控制的 多個無線現(xiàn)場設(shè)備65����、66?�,F(xiàn)場設(shè)備65��、66可以包括發(fā)射器65(如過程變量傳感器)以及 包括例如控制閥和致動器的控制閥組件66��?���?梢允褂萌我庀M臒o線通信設(shè)備�,包括現(xiàn)在 已知或以后開發(fā)的硬件、軟件����、固件或其任意組合,在安全控制器50��、51��、52���、53和現(xiàn)場設(shè)備 60�、62、65��、66之間建立無線通信���。在圖1中所示的實施方式中�����,天線67被耦接為并且專用 于執(zhí)行發(fā)射器65的無線通信����,而無線路由器或具有天線69的其他模塊63被耦接為統(tǒng)一地 處理與其可操作地耦接的發(fā)射器65的無線通信��。類似地�����,天線59耦接到控制閥組件66以 執(zhí)行控制閥組件的無線通信?��,F(xiàn)場設(shè)備或相關(guān)硬件60��、62�、65、66可以實現(xiàn)被合適的無線通 信協(xié)議使用的協(xié)議棧操作以經(jīng)由天線59��、67�、69接收、解碼�、路由、編碼和發(fā)送無線信號���,以 實現(xiàn)安全控制器50����、51��、52����、53和發(fā)射器65和控制閥組件66之間的無線通信��。
[0036] 每個發(fā)射器65可以構(gòu)成各種過程傳感器(發(fā)射器)與安全控制器50�����、51��、52、53之 間的多個鏈路中的一個��,并且依賴這些發(fā)射器65來發(fā)送準(zhǔn)確的信號給安全控制器以確保 維持過程性能����。另外,作為其操作的一部分���,控制閥組件66可以提供由控制閥組件66中的 傳感器做出的測量值或者可以提供由控制閥組件66生成或計算的其他數(shù)據(jù)給控制器50����、 51��、 52�����、53����。當(dāng)然,如已知的�����,控制閥組件66還可以從控制器50、51�、52、53接收控制信號�����,以 影響總體控制中的物理參數(shù)如流量�。
[0037] (由經(jīng)過過程控制器24、1/0設(shè)備28�����、29����、30���、31�、32和安全控制器50�、51、52�、53的 虛線指示的)公共底板26用于將過程控制器24連接到過程控制I/O卡28、29����、30���、31、32 和安全控制器50�、51、52��、53���。過程控制器24還可通信地耦接到總線22并且可以作為總線 仲裁器���,以使得I/O設(shè)備28、29�、30、31��、32和安全控制器50���、51����、52�����、53中的每一個能夠經(jīng)由 總線22與任意工作站16通信。底板26進(jìn)一步使得安全控制器50����、51、52���、53能夠與由這 些設(shè)備中的每一個實現(xiàn)的安全功能彼此通信并且協(xié)調(diào)��,以彼此傳送數(shù)據(jù)或者執(zhí)行其他集成 功能��。
[0038] 每個工作站16包括工作站處理器34和存儲器36,存儲器36可以存儲被適配為由 過程工廠10中的處理器24���、34、50���、51�����、52、53中的任意一個執(zhí)行的應(yīng)用或模塊��。顯示應(yīng)用 44在圖1中的分解視圖中被顯示為存儲在一個工作站16的存儲器36中。然而�����,如果希望 則顯示應(yīng)用44可以在不同的工作站16或在與過程工廠10相關(guān)聯(lián)的另一個計算設(shè)備中存 儲和執(zhí)行���。顯示應(yīng)用44可以是任意類型的接口��,其例如使得用戶能夠操作數(shù)據(jù)值(例如執(zhí) 行讀取或?qū)懭耄┮员阋蚨淖兛刂葡到y(tǒng)12和安全系統(tǒng)14中的任意一個或兩個中的控制模 塊46或安全模塊58的操作�。因此�,如果例如指定對與過程系統(tǒng)12相關(guān)聯(lián)的控制模塊46或 者對現(xiàn)場設(shè)備40、41��、42���、48中的一個進(jìn)行寫入���,則顯示應(yīng)用44使得寫入能夠發(fā)生。另外����, 如果例如指定對與安全系統(tǒng)14相關(guān)聯(lián)的安全邏輯模塊58或者對現(xiàn)場設(shè)備60、62、65�、66中 的一個進(jìn)行寫入,則顯示應(yīng)用44使得寫入能夠發(fā)生����。
[0039] 診斷應(yīng)用38可以包括一個或多個診斷模塊,其例如也可以存儲在工作站16的存 儲器中以便稍后被控制系統(tǒng)12或安全系統(tǒng)14中的工廠人員使用���。概括而言����,當(dāng)被控制系統(tǒng) 12或安全系統(tǒng)14中相應(yīng)的處理器24�����、34���、50�����、51��、52�、53執(zhí)行時�����,診斷應(yīng)用38能夠檢查或測 試在其中正在使用的現(xiàn)場設(shè)備40�、41、42���、48����、60��、62���、65��、66的操作狀態(tài)����。例如�����,控制回路調(diào) 諧器(其可以例如用于過程控制系統(tǒng)控制回路12或安全系統(tǒng)控制回路14上)可以是診斷 應(yīng)用38、控制模塊46��、或者安全邏輯模塊58中的一個模塊�����,其能夠被處理器24����、34、50��、51�、 52、 53執(zhí)行�。當(dāng)關(guān)于控制回路的診斷數(shù)據(jù)指示控制回路糟糕調(diào)諧或者未操作在希望的容限 中時,用戶可以選擇運行該特定模塊�。
[0040] 另一個示例性診斷應(yīng)用38包括冗余安全檢查模塊,用于確保用于安全系統(tǒng)14中 的現(xiàn)場設(shè)備的功能性能�。冗余安全檢查模塊可以包括硬件模塊和軟件模塊,它們中的每一 個被配置為響應(yīng)于檢測到需要將現(xiàn)場設(shè)備置于安全狀態(tài)的安全事件的發(fā)生�,使現(xiàn)場設(shè)備進(jìn) 入安全狀態(tài),例如關(guān)停���。為了使得設(shè)備被分類為類型A�,硬件模塊被設(shè)計為在不依賴于軟件 模塊而檢測到安全事件時使現(xiàn)場設(shè)備進(jìn)入安全狀態(tài)。類型B軟件模塊也被設(shè)計為通過將其 輸出設(shè)置為安全狀態(tài)來響應(yīng)安全事件�����,這將使得即使硬件模塊未能越權(quán)控制軟件模塊也使 現(xiàn)場設(shè)備進(jìn)入安全狀態(tài)��。因此��,如果硬件模塊未能使現(xiàn)場設(shè)備進(jìn)入安全狀態(tài)�,則軟件模塊將 使現(xiàn)場設(shè)備進(jìn)入安全狀態(tài)����。另外,軟件模塊可以監(jiān)視硬件模塊的安全功能并且記錄當(dāng)硬件 模塊成功地開始使閥進(jìn)入安全狀態(tài)和/或未能成功地使閥進(jìn)入安全狀態(tài)的時刻��。
[0041] 圖2描述了用于現(xiàn)場設(shè)備的正??刂坪桶踩P(guān)停的示例性配置200的方框圖。在 該實施方式中�,安全系統(tǒng)包括現(xiàn)場設(shè)備206,其響應(yīng)于正常控制信號和由控制信號的改變所 傳遞的安全事件的發(fā)生?,F(xiàn)場設(shè)備206可以是用于當(dāng)安全事件發(fā)生時需要打開或關(guān)閉的最 終控制元件214(如氣動控制閥等等)的控制器。安全事件的發(fā)生可以被安全系統(tǒng)中的另 一個設(shè)備如控制器202或傳感器或被控制人員檢測到����。例如��,控制器202中的傳感器和/ 或處理器可以檢測安全事件的發(fā)生��,并且發(fā)送安全/傳感器信號給現(xiàn)場設(shè)備206,現(xiàn)場設(shè)備 206經(jīng)由轉(zhuǎn)換器設(shè)備212助于致動器和/或閥214的移動����。在從傳感器204接收到安全/傳 感器信號之后����,硬件模塊208提供硬件控制信號(例如越權(quán)控制信號)給轉(zhuǎn)換器設(shè)備210, 轉(zhuǎn)換器設(shè)備210輸出對應(yīng)的控制壓強信號給致動器/閥214,以打開或關(guān)閉閥�����。轉(zhuǎn)換器設(shè) 備212可以是電流到壓強設(shè)備或者電壓到壓強設(shè)備����。簡而言之,硬件模塊206有效地越權(quán) 控制通常由軟件模塊210執(zhí)行的現(xiàn)場設(shè)備206的正?�?刂?�,硬件模塊206可以包括處理器 和I/O設(shè)備�,如圖1中所述的控制器。軟件模塊210可以經(jīng)由由安全系統(tǒng)的相同的或其他 控制器或傳感器或由控制人員發(fā)送給軟件模塊的安全/傳感器信號204,獨立地檢測安全 事件的發(fā)生��。在接收到安全/傳感器信號之后,軟件模塊210將監(jiān)視并且/或者驗證硬件 模塊208已經(jīng)提供了硬件控制信號給轉(zhuǎn)換器設(shè)備212�。軟件模塊可以經(jīng)由從轉(zhuǎn)換器設(shè)備接 收的反饋信號(例如Ι/P回讀信號)監(jiān)視由硬件模塊進(jìn)行的越權(quán)控制。軟件模塊可以通過 將硬件控制信號與安全狀態(tài)信號進(jìn)行比較�,驗證硬件模塊已經(jīng)開始越權(quán)控制現(xiàn)場設(shè)備(或 轉(zhuǎn)換器)的正常控制�。如果軟件模塊210確定硬件模塊208未越權(quán)控制現(xiàn)場設(shè)備206或者 已經(jīng)開始對現(xiàn)場設(shè)備206的越權(quán)控制并且提供了硬件控制信號給轉(zhuǎn)換器設(shè)備212,則軟件 模塊210可以記錄并且/或者報告該失效。不管硬件模塊208是否正確地工作����,軟件模塊 210都將發(fā)送軟件控制信號(例如控制信號)給轉(zhuǎn)換器設(shè)備212�����。在任意一個情況中����,軟件 控制信號將被在轉(zhuǎn)換器設(shè)備212處轉(zhuǎn)換成控制壓強信號以被發(fā)送,以打開和/或關(guān)閉致動 器/閥214���。如果硬件模塊208令人滿意地執(zhí)行了越權(quán)控制功能�����,則軟件控制信號將沒有效 果�����。然而����,如果硬件模塊208未能執(zhí)行它的越權(quán)控制功能,則軟件控制信號將使閥214進(jìn)入 安全狀態(tài)����。
[0042] 現(xiàn)在參考圖3,顯示了能夠在圖1或2中所述的控制系統(tǒng)中實現(xiàn)的本發(fā)明的一個 實施方式的示例性方法300的流程圖。具體而言���,由硬件模塊檢測安全事件的發(fā)生(方框 302)���。還由軟件模塊檢測安全事件的發(fā)生(方框304)。安全事件可以是需要現(xiàn)場設(shè)備和 /或受現(xiàn)場設(shè)備控制的控制元件被置于安全狀態(tài)(如完全打開或關(guān)閉緊急關(guān)停閥)的事 件����。響應(yīng)于檢測到安全事件的發(fā)生,硬件模塊經(jīng)由致動器使得閥進(jìn)入安全或關(guān)停狀態(tài)(方 框306)�。即,硬件模塊能夠通過提供硬件控制信號給可操作地耦接到致動器/閥的轉(zhuǎn)換器 設(shè)備��,獨立地取得閥的控制?���?梢越?jīng)由轉(zhuǎn)換器設(shè)備來正常地控制致動器/閥的操作的軟件 模塊監(jiān)視由硬件模塊執(zhí)行的越權(quán)控制(方框308)并且驗證硬件模塊已經(jīng)開始提供硬件控 制信號給轉(zhuǎn)換器設(shè)備以使致動器/閥進(jìn)入安全狀態(tài),例如關(guān)停狀態(tài)(方框310)��。在一個實 施方式中���,軟件模塊可以監(jiān)視以電流的形式提供給Ι/P轉(zhuǎn)換器設(shè)備的硬件控制信號����,以驗 證硬件模塊越權(quán)控制�。軟件模塊可以通過將由硬件模塊提供的硬件控制信號(例如越權(quán)控 制信號)與安全狀態(tài)信號進(jìn)行比較,來驗證由硬件模塊進(jìn)行的越權(quán)控制���。如果硬件控制信 號等于安全狀態(tài)信號,則越權(quán)控制已經(jīng)由硬件模塊開始�����。如果硬件控制信號不等于安全狀 態(tài)信號�,則硬件模塊未能開始越權(quán)控制。軟件模塊記錄該驗證并且可以將與驗證相關(guān)聯(lián)的 內(nèi)容存儲在存儲器設(shè)備中(方框312)�����。例如如果硬件模塊令人滿意地執(zhí)行了閥的關(guān)停的開 始,則軟件模塊將相應(yīng)地進(jìn)行記錄���。另一方面���,如果硬件模塊未能令人滿意地執(zhí)行閥的關(guān)停 的開始,則軟件模塊相應(yīng)地記錄該信息��。另外����,無論硬件設(shè)備是否導(dǎo)致致動器/閥進(jìn)入安全 狀態(tài),軟件模塊都將發(fā)送軟件控制信號給轉(zhuǎn)換器設(shè)備以進(jìn)入安全狀態(tài)(方框314)����。優(yōu)選地 在軟件模塊已經(jīng)驗證硬件模塊通過提供硬件控制信號給轉(zhuǎn)換器設(shè)備和/或致動器/閥而越 權(quán)控制或未越權(quán)控制轉(zhuǎn)換器設(shè)備和/或致動器/閥之后,從軟件模塊發(fā)送軟件控制信號�����。 [0043] 上述系統(tǒng)和方法實現(xiàn)兩個獨立的功能����,如果一個功能失效則另一個功能將導(dǎo)致關(guān) 停,從而提供了功能冗余和比單獨實現(xiàn)任意一個有更高的可靠性。具體而言�,現(xiàn)場設(shè)備結(jié)合 了被分類為類型A的硬件模塊來與被分類為類型B的軟件模塊進(jìn)行協(xié)作,其中�,硬件模塊 的傳統(tǒng)上有依賴性的方面受軟件模塊支持,以使現(xiàn)場設(shè)備和/或最終控制元件進(jìn)入安全狀 態(tài)���。由軟件模塊檢測硬件模塊未能越權(quán)控制現(xiàn)場設(shè)備以實現(xiàn)關(guān)停�����,這允許這些失效被排除 在與現(xiàn)場設(shè)備相關(guān)聯(lián)的安全失效分?jǐn)?shù)(SFF)參數(shù)和/或要求失效概率(PFD)值的計算之 夕卜����。通過增加硬件模塊的檢測失效的數(shù)量��,從而可以改進(jìn)現(xiàn)場設(shè)備的SFF和/或PFD��。具有 改進(jìn)的SFF和/或PFD的現(xiàn)場設(shè)備可以避免安全儀表系統(tǒng)中需要冗余設(shè)備并且/或者可以 允許更低頻率的診斷測試以實現(xiàn)需要的PFD平均值�����。
[0044] 雖然本文描述了特定示例性方法�����、裝置和制品�,但是本專利的覆蓋范圍不限于此。 相反��,本專利覆蓋在文字上或者在等同教導(dǎo)之下清楚地落入所附權(quán)利要求的范圍中的所有 方法�����、裝置和制品���。
【權(quán)利要求】
1. 一種用于控制在安全儀表系統(tǒng)中實現(xiàn)的現(xiàn)場設(shè)備的方法�,所述方法包括: 在硬件模塊處檢測與在安全儀表系統(tǒng)中實現(xiàn)的現(xiàn)場設(shè)備相關(guān)聯(lián)的安全事件的發(fā)生�; 響應(yīng)于檢測到安全事件的發(fā)生,在硬件模塊處越權(quán)控制所述現(xiàn)場設(shè)備的正??刂疲? 使得所述現(xiàn)場設(shè)備進(jìn)入安全狀態(tài)�; 在軟件模塊處檢測與所述安全儀表系統(tǒng)的所述現(xiàn)場設(shè)備相關(guān)聯(lián)的所述安全事件的發(fā) 生; 在軟件模塊處監(jiān)視對所述現(xiàn)場設(shè)備的正?����?刂频乃鲈綑?quán)控制���; 在軟件模塊處驗證對所述現(xiàn)場設(shè)備的正?�?刂频乃鲈綑?quán)控制��;以及 在軟件模塊處發(fā)送軟件控制信號���,以使得所述現(xiàn)場設(shè)備進(jìn)入所述安全狀態(tài)���。
2. 如權(quán)利要求1所述的方法,進(jìn)一步包括: 在軟件模塊處記錄對所述現(xiàn)場設(shè)備的正?��?刂频脑綑?quán)控制的驗證�。
3. 如權(quán)利要求2所述的方法��,其中��,越權(quán)控制所述現(xiàn)場設(shè)備的正?����?刂频牟襟E包括所 述硬件模塊提供硬件控制信號��。
4. 如權(quán)利要求3所述的方法����,其中,監(jiān)視對所述現(xiàn)場設(shè)備的正?����?刂频脑綑?quán)控制的步 驟包括監(jiān)視由所述硬件模塊提供的所述硬件控制信號����。
5. 如權(quán)利要求4所述的方法,其中���,驗證對所述現(xiàn)場設(shè)備的正??刂频脑綑?quán)控制的步 驟包括將安全狀態(tài)信號與所監(jiān)視的硬件控制信號進(jìn)行比較��。
6. 如權(quán)利要求5所述的方法�,其中,如果所監(jiān)視的硬件控制信號不等于所述安全狀態(tài) 信號��,則記錄對所述現(xiàn)場設(shè)備的正??刂频脑綑?quán)控制的驗證的步驟包括記錄檢測到的所述 硬件模塊的失效。
7. 如權(quán)利要求1所述的方法����,其中,所述硬件模塊是被分類為類型A的設(shè)備����,其包括可 操作地耦接到控制元件的控制輸出����。
8. 如權(quán)利要求1所述的方法�����,其中����,所述軟件模塊是被分類為類型B的設(shè)備,其包括可 操作地耦接到控制元件的控制輸出�����。
9. 一種用于控制可操作地耦接到在安全儀表系統(tǒng)中實現(xiàn)的控制元件的現(xiàn)場設(shè)備的系 統(tǒng)���,所述系統(tǒng)包括: 可操作地耦接到控制元件并且在安全儀表系統(tǒng)中實現(xiàn)的現(xiàn)場設(shè)備�����,所述現(xiàn)場設(shè)備包括 可操作地耦接到軟件模塊的硬件模塊�����,其中 所述硬件模塊可操作地耦接到所述控制元件的控制輸入���,所述硬件模塊響應(yīng)于安全事 件的發(fā)生,在檢測到所述安全事件的發(fā)生之后���,所述硬件模塊越權(quán)控制所述現(xiàn)場設(shè)備的正 ??刂撇⑶姨峁┯布刂菩盘柦o所述控制元件��;并且 所述軟件模塊包括可操作地耦接到存儲器和所述控制元件的控制輸入的處理器��,所述 軟件模塊響應(yīng)于所述安全事件的發(fā)生�,在檢測到所述安全事件的發(fā)生之后,所述軟件模塊 驗證由所述硬件模塊進(jìn)行的對所述現(xiàn)場設(shè)備的正?���?刂频脑綑?quán)控制并且提供軟件控制信 號給所述控制元件。
10. 如權(quán)利要求9所述的系統(tǒng)�,其中,所述控制元件是閥��。
11. 如權(quán)利要求9所述的系統(tǒng)����,進(jìn)一步包括: 可操作地耦接到所述硬件模塊���、所述軟件模塊和所述控制元件的轉(zhuǎn)換器設(shè)備。
12. 如權(quán)利要求11所述的系統(tǒng)�,其中,所述轉(zhuǎn)換器設(shè)備是電流到壓強(Ι/P)轉(zhuǎn)換器或電 壓到壓強(E/P)轉(zhuǎn)換器�。
13. 如權(quán)利要求11所述的系統(tǒng),其中��,將所述硬件控制信號提供給所述轉(zhuǎn)換器設(shè)備��。
14. 如權(quán)利要求11所述的系統(tǒng)�����,其中����,將所述軟件控制信號發(fā)送給所述轉(zhuǎn)換器設(shè)備。
15. 如權(quán)利要求9所述的系統(tǒng)���,進(jìn)一步包括: 可操作地耦接到所述軟件模塊以用于檢測所述安全事件的發(fā)生的傳感器�,其中在檢測 到所述安全事件的發(fā)生之后�,所述傳感器開始提供所述硬件控制信號給所述控制元件,并 且所述傳感器可操作地耦接到所述軟件模塊以用于檢測所述安全事件的發(fā)生,并且在檢測 到所述安全事件的發(fā)生之后��,所述傳感器開始將所述軟件控制信號發(fā)送到所述控制元件�����。
16. 如權(quán)利要求9所述的系統(tǒng)����,其中�,驗證對所述現(xiàn)場設(shè)備的正常控制的所述越權(quán)控制 包括所述硬件控制信號與安全狀態(tài)信號的比較����。
17. 如權(quán)利要求16所述的系統(tǒng),其中����,如果所述硬件控制信號不等于所述安全狀態(tài)信 號,則所述軟件模塊登記檢測到的所述硬件模塊的失效�����。
18. 如權(quán)利要求9所述的系統(tǒng)�,其中,所述硬件模塊是被分類為類型A的設(shè)備,并且所述 軟件模塊是被分類為類型B的設(shè)備�����。
19. 一種有形的非暫態(tài)計算機可讀介質(zhì)�����,其具有存儲在其上的指令�����,當(dāng)所述指令被一個 或多個處理器執(zhí)行時使得所述一個或多個處理器 : 在軟件模塊處檢測與安全儀表系統(tǒng)的現(xiàn)場設(shè)備相關(guān)聯(lián)的安全事件的發(fā)生�; 在軟件模塊處監(jiān)視所述硬件模塊對所述現(xiàn)場設(shè)備的正常控制的越權(quán)控制以使得所述 現(xiàn)場設(shè)備進(jìn)入安全狀態(tài)���; 在軟件模塊處驗證所述硬件模塊對所述現(xiàn)場設(shè)備的正?�?刂频乃鲈綑?quán)控制�;并且 在軟件模塊處發(fā)送軟件控制信號�,以使得所述現(xiàn)場設(shè)備進(jìn)入所述安全狀態(tài)。
20. 如權(quán)利要求19所述的有形的非暫態(tài)計算機可讀介質(zhì)�����,進(jìn)一步具有存儲在其上的指 令,當(dāng)該指令被一個或多個處理器執(zhí)行時使得所述一個或多個處理器: 在軟件模塊處記錄對所述現(xiàn)場設(shè)備的正?����?刂频脑綑?quán)控制的驗證�。
【文檔編號】G05B19/418GK104252164SQ201410281400
【公開日】2014年12月31日 申請日期:2014年6月20日 優(yōu)先權(quán)日:2013年6月28日
【發(fā)明者】S·G·塞伯格, J·L·斯諾巴杰 申請人:費希爾控制國際公司