專利名稱:具有過程控制系統(tǒng)和安全系統(tǒng)的過程設(shè)備中的集成配置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及過程設(shè)備(process plant)中使用的安全系統(tǒng)�,更具體地����,涉及功能上邏輯嵌入或集成到過程設(shè)備的過程控制系統(tǒng)中的安全系統(tǒng)��。
背景技術(shù):
如用于化工����、石油或其它工藝中的過程控制系統(tǒng),一般包括一個或多個過程控制器����,過程控制器通過模擬、數(shù)字或模擬/數(shù)字聯(lián)合總線����,通信連接到至少一個主機(jī)或操作者工作站以及一個或多個現(xiàn)場裝置。現(xiàn)場裝置�,例如可以是閥門、閥門定位器���、開關(guān)和變送器(例如溫度��、壓力和流量傳感器)�,在過程設(shè)備中執(zhí)行諸如打開或關(guān)閉閥門以及測量過程參數(shù)的功能���。過程控制器接收指示由現(xiàn)場裝置執(zhí)行的過程測量的信號�����,和/或與現(xiàn)場裝置有關(guān)的其它信息�,應(yīng)用這些信息來執(zhí)行控制例行程序,并隨后產(chǎn)生控制信號�,通過總線將該信號傳送到現(xiàn)場裝置,來控制過程操作����。一般使來自現(xiàn)場裝置和控制器的信息對一種或多種由操作者工作站執(zhí)行的應(yīng)用程序可用,以使操作者可以完成有關(guān)這個過程的任何期望的功能�����,如對過程進(jìn)行配置��、查看過程的當(dāng)前狀態(tài)���、修改過程的操作等���。
此外,在許多過程中,設(shè)置一個單獨(dú)的安全系統(tǒng)�,用來在設(shè)備中發(fā)生了可能導(dǎo)致或造成嚴(yán)重危險(xiǎn)的問題�����,如有毒化學(xué)物質(zhì)的泄漏��、爆炸等時(shí)����,檢測過程設(shè)備中重要的與安全相關(guān)的問題,并自動關(guān)閉閥門��、給裝置斷電�����、在設(shè)備中開關(guān)流量等����。這些安全系統(tǒng)一般都具有一個或多個單獨(dú)的控制器,它們與過程控制系統(tǒng)控制器分離����,通過設(shè)置在過程設(shè)備中的單獨(dú)的總線或通信線路連接到安全現(xiàn)場裝置。安全控制器使用安全現(xiàn)場裝置檢測與重大事件相關(guān)的過程條件,例如某些安全開關(guān)或停機(jī)閥的位置���、過程中的上溢和下溢�����、重要的能量產(chǎn)生或控制裝置的操作���、故障檢測裝置的操作等,從而檢測過程設(shè)備中的“事件”����。當(dāng)檢測到事件時(shí),安全控制器就采取行動來限制這個事件的有害影響�����,例如關(guān)閉閥門���、關(guān)閉裝置�����、給部分設(shè)備斷電等���。
由于當(dāng)過程控制器出現(xiàn)故障時(shí)���,使用這個過程控制器來執(zhí)行安全功能會導(dǎo)致安全功能和過程控制功能的同時(shí)失靈,所以在過程控制器和安全控制器之間實(shí)現(xiàn)分離被認(rèn)為是重要的(并且通常由適用的政府標(biāo)準(zhǔn)所要求)��。然而���,當(dāng)過程控制器發(fā)生故障時(shí),由于此時(shí)過程部分或全部失控��,所以安全功能變得非常關(guān)鍵�����。
過程設(shè)備中����,過程控制器和安全控制器之間的分離,導(dǎo)致了不同的人使用不同的硬件和軟件開發(fā)這些系統(tǒng)��。實(shí)際上���,在某些情況下���,由于安全系統(tǒng)不使用過程控制系統(tǒng)硬件和軟件的基礎(chǔ)結(jié)構(gòu)����,所以在同一個過程設(shè)備中的不同位置���,如在不同的節(jié)點(diǎn)處�����,會使用不同而且完全分離的安全系統(tǒng)的硬件和軟件����。無論如何�,過程控制系統(tǒng)和安全系統(tǒng)之間的分離,導(dǎo)致在同一個設(shè)備中存在大量不同而且完全分離的必須單獨(dú)配置和監(jiān)控的安全系統(tǒng)����。因此,通過使用不同的配置和診斷程序以及工作站來配置和監(jiān)視這些單獨(dú)的系統(tǒng)�,一般使用不同的通信基礎(chǔ)結(jié)構(gòu)來實(shí)現(xiàn)同一個設(shè)備中的這些不同的系統(tǒng)。同樣�����,不同的人一般需要根據(jù)這些不同的系統(tǒng)來執(zhí)行配置、診斷和監(jiān)視活動��,所有這些在配置和運(yùn)行使用了安全系統(tǒng)的過程設(shè)備的過程中都導(dǎo)致了額外的費(fèi)用��。此外��,由于安全系統(tǒng)的配置和診斷軟件不同于控制系統(tǒng)的配置和診斷軟件�����,所以一般要針對這些不同的軟件程序?qū)θ藛T進(jìn)行單獨(dú)培訓(xùn)�����,導(dǎo)致增加了培訓(xùn)時(shí)間����。
過去�����,曾經(jīng)試圖在同一個用戶界面上集成來自于同一設(shè)備中的過程控制和安全系統(tǒng)的數(shù)據(jù)�,從而在同一位置上提供對這些不同數(shù)據(jù)的觀測和處理。然而�����,一般在使用傳統(tǒng)控制系統(tǒng)的配置、觀測和診斷程序作為基礎(chǔ)軟件平臺����,并隨后將安全系統(tǒng)數(shù)據(jù)導(dǎo)入到控制系統(tǒng)軟件之后,完成這種集成�。遺憾的是,傳統(tǒng)的控制系統(tǒng)并不提供區(qū)分控制系統(tǒng)數(shù)據(jù)與安全系統(tǒng)的數(shù)據(jù)的靈活性�。因此,一旦安全系統(tǒng)的信息集成到控制系統(tǒng)程序中����,安全系統(tǒng)的數(shù)值看上去就會與顯示給用戶的控制系統(tǒng)的數(shù)值相同,這使得難于追蹤和區(qū)分安全系統(tǒng)的數(shù)據(jù)����。
此外,這些集成的顯示系統(tǒng)一般都要求將安全系統(tǒng)數(shù)據(jù)映射到控制系統(tǒng)配置中�,以使用戶可以明白安全系統(tǒng)數(shù)據(jù)源自控制系統(tǒng)硬件中何處。此時(shí)�����,由于使用了不同的結(jié)構(gòu)來定義與兩系統(tǒng)有關(guān)的數(shù)據(jù)(或是表示數(shù)據(jù)來源或目的地的標(biāo)記)����,因此��,應(yīng)用用戶界面內(nèi)的獨(dú)立的軟件在兩個系統(tǒng)之間映射數(shù)據(jù)���。這些數(shù)據(jù)映射技術(shù)要求附加的用戶程序設(shè)計(jì)來設(shè)置并維護(hù),并且由于映射功能引入了誤差���,所以可能導(dǎo)致錯誤的數(shù)據(jù)��。
更進(jìn)一步�����,在試圖把安全系統(tǒng)數(shù)據(jù)集成到傳統(tǒng)的控制系統(tǒng)程序中的系統(tǒng)中,安全性變得更難處理��。盡管某些用戶界面或人機(jī)界面(HMI)產(chǎn)品(相對于控制系統(tǒng))能夠?qū)Κ?dú)立的HMI數(shù)據(jù)值/標(biāo)記提供獨(dú)一無二的安全保證�,但還必須在HMI內(nèi)設(shè)置附加的用戶程序,來確保將每個值和/或標(biāo)記正確地標(biāo)記為來自于安全系統(tǒng)���,從而確保安全性的調(diào)用��。由于依賴于人們對HMI的程序設(shè)計(jì)和維護(hù)來保證所有來自安全系統(tǒng)的值都正確地映射到控制系統(tǒng)界面中�,所以該功能生來比較易于出現(xiàn)錯誤,因而安全性更低�����。此外�,該映射技術(shù)使HMI的安全變得重要,這就使安全儀表系統(tǒng)復(fù)雜化��,使測試和證明安全整體水平變得更為困難����。
因此,這些已知的用戶界面集成系統(tǒng)沒有能力直接把讀出和寫入數(shù)據(jù)的安全儀表系統(tǒng)放置到用戶畫面上���,而無需在控制和安全系統(tǒng)配置之間進(jìn)行映射���,或無需在安全系統(tǒng)控制器中設(shè)置專用的安全儀表控制邏輯,以在操作者界面和安全儀表系統(tǒng)邏輯之間建立了“防火墻”����,從而防止對安全儀表系統(tǒng)的未授權(quán)的寫入。此外����,這些已知的集成的用戶界面系統(tǒng)缺少安全寫入機(jī)制來確保在對安全儀表系統(tǒng)的寫入過程中輸入值或路徑?jīng)]有訛誤���,還缺少嵌入到控制系統(tǒng)中的獨(dú)一無二的安全保證來確保所有對安全儀表系統(tǒng)的值的寫入都需要特定的權(quán)限,不管是從流程圖中還是從能向安全儀表系統(tǒng)寫入值的任何其它應(yīng)用程序中����。
此外,一般使用過程設(shè)備內(nèi)分離位置存儲的不同配置程序來創(chuàng)建和瀏覽安全系統(tǒng)和控制系統(tǒng)的配置����,并且在安全系統(tǒng)的配置數(shù)據(jù)和過程控制系統(tǒng)的配置數(shù)據(jù)之間只有很少或沒有交互作用(相互連接)。因此����,用戶難于以集成的模式來瀏覽或了解控制系統(tǒng)和安全系統(tǒng)的配置,例如��,以顯示或展示這兩個系統(tǒng)彼此交互作用�,或與不同系統(tǒng)相關(guān)的裝置和邏輯在設(shè)備內(nèi)部物理地和邏輯地相互連接的方式�。
同樣,與控制和安全系統(tǒng)相關(guān)的診斷程序����,如報(bào)警、測試和其它診斷工具����,在許多情況下也都是獨(dú)立執(zhí)行的��,這使得單個用戶難于理解一個系統(tǒng)中的問題可能如何影響或涉及其它系統(tǒng)中的問題����。此外����,這些獨(dú)立的診斷程序?qū)е屡c不同系統(tǒng)相關(guān)的報(bào)警或其它診斷數(shù)據(jù)一般對于不同用戶顯示在不同顯示上,或是使用不同程序在不同時(shí)間顯示在同一顯示上���。這種診斷數(shù)據(jù)的非集成使用和顯示使得更難于了解整個設(shè)備的操作和設(shè)備運(yùn)行過程中安全系統(tǒng)與過程控制系統(tǒng)的交互方式��。
如前所述�����,盡管提供過程控制系統(tǒng)和安全系統(tǒng)報(bào)警的集成顯示是已知的�,但還需要把安全系統(tǒng)報(bào)警映射到過程控制系統(tǒng)報(bào)警顯示環(huán)境中���,作為過程控制系統(tǒng)報(bào)警�。因此,安全系統(tǒng)報(bào)警需要表現(xiàn)為過程控制系統(tǒng)報(bào)警�����,這使得報(bào)警顯示的用戶難于從過程控制系統(tǒng)報(bào)警中輕松地識別或區(qū)分安全系統(tǒng)報(bào)警�����。此外���,由于為了顯示的目的�,安全系統(tǒng)報(bào)警必須轉(zhuǎn)換成過程控制系統(tǒng)報(bào)警��,所以對轉(zhuǎn)換的安全系統(tǒng)報(bào)警根據(jù)它們在過程控制系統(tǒng)內(nèi)的產(chǎn)生時(shí)間做時(shí)間標(biāo)記�����,即�,當(dāng)由顯示程序轉(zhuǎn)換報(bào)警后,不再用這些報(bào)警在安全系統(tǒng)中實(shí)際檢測出來的時(shí)間進(jìn)行時(shí)間標(biāo)記����。因此�����,有關(guān)在安全系統(tǒng)中產(chǎn)生安全報(bào)警的實(shí)際時(shí)間的數(shù)據(jù)丟失了,導(dǎo)致用于報(bào)警記錄����、確認(rèn)和響應(yīng)的信息使人誤解。
發(fā)明內(nèi)容
過程設(shè)備包括安全系統(tǒng)�����,該安全系統(tǒng)物理地和邏輯地與過程控制系統(tǒng)以下述方式集成到一起��,使安全系統(tǒng)和過程控制系統(tǒng)在此過程設(shè)備中使用通用的通信�、配置、診斷和顯示硬件與軟件�����,同時(shí)在安全系統(tǒng)控制器和過程控制系統(tǒng)控制器之間仍然提供功能隔離��。正如一般地��,獨(dú)立的安全系統(tǒng)控制器通過安全通信基礎(chǔ)結(jié)構(gòu)連接到安全現(xiàn)場裝置��,而過程控制系統(tǒng)控制器則通過標(biāo)準(zhǔn)控制系統(tǒng)總線或通信線路連接到控制系統(tǒng)現(xiàn)場裝置��。然而,安全系統(tǒng)控制器通過總線或其它通信信道通信連接到過程控制系統(tǒng)控制器�����,每個都通過通用通信網(wǎng)絡(luò)���,連接到過程設(shè)備內(nèi)的一個或多個操作者工作站��,這使得操作者工作站內(nèi)的軟件能夠?qū)^程控制系統(tǒng)控制器(及相關(guān)的過程控制現(xiàn)場裝置)和安全系統(tǒng)控制器(及相關(guān)的安全現(xiàn)場裝置)的操作進(jìn)行通信�、配置和觀測�。
這種集成包括對安全系統(tǒng)和過程控制系統(tǒng)采用通用數(shù)據(jù)通信結(jié)構(gòu),使應(yīng)用程序能夠以同樣的方式�,如使用相同的通信硬件和軟件,向任一系統(tǒng)中的裝置發(fā)送數(shù)據(jù)和從其中接收數(shù)據(jù)���。然而����,通用數(shù)據(jù)通信結(jié)構(gòu)可以通過使用發(fā)送到該裝置或從該裝置接收的消息內(nèi)的標(biāo)記�����、地址或其它字段����,來區(qū)分過程控制裝置和安全裝置�����,這使得能夠區(qū)分與過程控制系統(tǒng)相關(guān)的數(shù)據(jù)和與安全系統(tǒng)相關(guān)的數(shù)據(jù),從而使得用戶界面內(nèi)的應(yīng)用程序能根據(jù)數(shù)據(jù)的來源(或目的地)自動對該數(shù)據(jù)進(jìn)行不同的處理����。
在一個例子中,顯示���、配置�����、控制和診斷程序使得能夠?qū)^程控制系統(tǒng)裝置和安全系統(tǒng)裝置執(zhí)行寫入(或從中進(jìn)行讀出)�,同時(shí)對向安全系統(tǒng)裝置的寫入自動地執(zhí)行對向過程控制系統(tǒng)裝置的寫入不需要的安全程序�����,反之亦然��。然而�����,根據(jù)要寫入的數(shù)據(jù)在顯示中所在的字段,這些寫入操作可從區(qū)分對安全系統(tǒng)的寫入和對過程控制系統(tǒng)的寫入的同一顯示中啟動���。這樣�,顯示��、配置�����、控制和診斷程序可向任一系統(tǒng)進(jìn)行寫入�,而無需從過程控制系統(tǒng)向安全系統(tǒng),或反過來��,映射數(shù)據(jù)����。
此外,配置和診斷程序可在過程設(shè)備內(nèi)��,對過程控制系統(tǒng)和安全系統(tǒng)提供通用的界面來進(jìn)行配置和診斷活動�����。具體地,配置程序可使用戶能對過程控制系統(tǒng)和安全系統(tǒng)中任一或兩者進(jìn)行配置���,還可根據(jù)過程控制系統(tǒng)裝置(邏輯)和安全系統(tǒng)裝置(邏輯)之間已知的關(guān)聯(lián)����,把配置信息存儲到通用數(shù)據(jù)庫中����,以便更容易了解控制系統(tǒng)配置和安全系統(tǒng)配置之間的相互關(guān)系����。更進(jìn)一步地,通用的配置屏幕既可以顯示過程控制系統(tǒng)配置信息��,也可以顯示安全系統(tǒng)配置信息�,并且其中一個系統(tǒng)產(chǎn)生的數(shù)據(jù)可用于另一個系統(tǒng)的配置或執(zhí)行過程,而無需執(zhí)行單獨(dú)的映射程序�。該通用或集成配置程序使得應(yīng)用單個配置程序?qū)φ麄€設(shè)備進(jìn)行配置變得容易了,而且���,還不需要對相同或獨(dú)立的用戶進(jìn)行不同配置程序的培訓(xùn)����。
類似地,也可對診斷程序進(jìn)行編程��,以應(yīng)用來自于過程控制系統(tǒng)和安全系統(tǒng)的數(shù)據(jù)�,執(zhí)行集成的診斷,而不會失去對診斷數(shù)據(jù)來源的跟蹤�。例如,報(bào)警顯示程序可用來在同一界面上顯示過程控制系統(tǒng)報(bào)警和安全系統(tǒng)報(bào)警����,并按優(yōu)先級排列報(bào)警,還提供這些報(bào)警之間相互關(guān)系的指示���,例如�,特定的過程控制系統(tǒng)報(bào)警以某種方式與特定的安全系統(tǒng)報(bào)警相關(guān)聯(lián)���。由于傳送到診斷程序的報(bào)警使用了能夠區(qū)分安全系統(tǒng)裝置和過程系統(tǒng)裝置的通用通信格式��,因此�,診斷程序可以檢測出報(bào)警是在過程控制系統(tǒng)內(nèi)產(chǎn)生的�����,還是在安全系統(tǒng)內(nèi)產(chǎn)生的�,并且可以顯示兩種類型的報(bào)警�����,而不會失去對該報(bào)警所產(chǎn)生的位置和時(shí)間的跟蹤�����。
圖1是示例性過程設(shè)備的方框圖�,該過程設(shè)備將安全系統(tǒng)和過程控制系統(tǒng)集成在一起���,并包括界面、配置和診斷程序�,為過程控制系統(tǒng)和安全系統(tǒng)提供集成的安全、配置和診斷活動����;圖2是多個安全系統(tǒng)控制器的方框圖,這些控制器通過第一通信網(wǎng)絡(luò)彼此可通信地連接����,此外又通過第二通用通信網(wǎng)絡(luò)與過程控制系統(tǒng)控制器和操作者界面相連;圖3是圖1的配置程序所產(chǎn)生的示例性的屏幕顯示���,示出了同時(shí)顯示過程控制系統(tǒng)裝置和安全系統(tǒng)裝置的圖1過程設(shè)備的配置視圖��;圖4是圖1的診斷程序的方框圖��,適于在單個用戶界面中集成過程控制系統(tǒng)和安全系統(tǒng)報(bào)警的顯示和操作����;圖5是圖4的診斷程序所產(chǎn)生的示例性報(bào)警屏幕的圖示,顯示了來自圖1的過程控制系統(tǒng)和安全系統(tǒng)的報(bào)警��;圖6是設(shè)置在一個或多個圖1的工作站中的示例性安全程序的方框圖����,它對向圖1中的過程控制系統(tǒng)裝置和安全系統(tǒng)裝置寫入數(shù)據(jù)和從圖1中的過程控制系統(tǒng)裝置和安全系統(tǒng)裝置讀出數(shù)據(jù),自動地執(zhí)行不同的安全規(guī)則��;以及圖7是示例性操作者界面的圖示��,它使用圖6的安全程序����,使得能夠?qū)D1過程控制系統(tǒng)和安全系統(tǒng)內(nèi)的不同裝置進(jìn)行安全的寫入或讀出。
具體實(shí)施例方式
現(xiàn)在參照圖1��,過程設(shè)備10包括與安全系統(tǒng)14(用虛線表示)集成在一起的過程控制系統(tǒng)12��,安全系統(tǒng)14通常作為安全檢測系統(tǒng)(SIS)來操作,以監(jiān)控和超越過程控制系統(tǒng)12提供的控制�,從而最大化過程設(shè)備10的可能安全操作。過程設(shè)備10還包括一個或多個主機(jī)工作站�����、計(jì)算機(jī)或用戶界面16(它們可以是任何類型的個人計(jì)算機(jī)�、工作站等),設(shè)備人員�����,例如過程控制操作者�、維護(hù)人員、配置工程師等可以對其進(jìn)行訪問���。在圖1所示的示例中,示出的三個用戶界面16通過通用通信線路或總線22�����,連接到兩個單獨(dú)的過程控制/安全控制節(jié)點(diǎn)18和20����,以及配置數(shù)據(jù)庫21。可以應(yīng)用任何期望的基于總線的或不基于總線的硬件��,應(yīng)用任何期望的硬連線或無線通信結(jié)構(gòu)����,及應(yīng)用任何期望的或適合的通信協(xié)議,例如以太網(wǎng)協(xié)議����,來實(shí)現(xiàn)通信網(wǎng)絡(luò)22。
一般來講��,過程設(shè)備10的各節(jié)點(diǎn)18和20都包括通過總線結(jié)構(gòu)連接在一起的過程控制系統(tǒng)裝置和安全系統(tǒng)裝置��,總線結(jié)構(gòu)可以設(shè)置在底板上�,其上連接有不同裝置。圖1中示出了節(jié)點(diǎn)18�����,它包括過程控制器24(可以是控制器的冗余對)以及一個或多個過程控制系統(tǒng)的輸入/輸出(I/O)裝置28�����、30和32�;同時(shí)��,還示出了節(jié)點(diǎn)20�����,它包括過程控制器26(可以是控制器的冗余對)��,以及一個或多個過程控制系統(tǒng)I/O裝置34和36�����。每個過程控制系統(tǒng)I/O裝置28����、30�����、32���、34和36通信連接到一組過程控制相關(guān)現(xiàn)場裝置,如圖1所示為現(xiàn)場裝置40和42�。過程控制器24和26、I/O裝置28-36以及控制器現(xiàn)場裝置40和42通常構(gòu)成了圖1的過程控制系統(tǒng)12��。
類似地,節(jié)點(diǎn)18包括一個或多個安全系統(tǒng)邏輯解算器50和52���,同時(shí)節(jié)點(diǎn)20包括安全系統(tǒng)邏輯解算器54和56��。每個邏輯解算器50-56是具有處理器57的I/O裝置(也可以不同地稱為安全控制器)�����,處理器57執(zhí)行存儲在存儲器中的安全邏輯模塊58����,并可通信地連接以向安全系統(tǒng)現(xiàn)場裝置60和62提供和/或從其接收控制信號����。此外,各節(jié)點(diǎn)18和20還可包括至少一個消息傳播裝置(MPD)70或72���,它們通過環(huán)形總線連接74(圖1中只示出了其中一部分)彼此通信連接��。安全系統(tǒng)邏輯解算器50-56�、安全系統(tǒng)現(xiàn)場裝置60和62����、MPD70和72���、以及總線74通常構(gòu)成了圖1的安全系統(tǒng)14。
過程控制器24和26���,僅是舉例��,可以是Emerson Process Management(愛默生過程管理)所銷售的DeltaVTM控制器�、或任何其它期望類型的過程控制器����,將其設(shè)計(jì)為以應(yīng)用I./O裝置28、30和32(對于控制器24)��、I/O裝置34和36(對于控制器26)以及現(xiàn)場裝置40和42�����,提供過程控制功能(使用通常所說的控制模塊)����。具體地,各控制器24和26執(zhí)行或監(jiān)視存儲在那里或者與其相關(guān)的一個或多個過程控制程序75(也稱作控制模塊)����,并與現(xiàn)場裝置40和42以及工作站14進(jìn)行通信,以任何期望的方式來控制過程10或過程10的一部分?�,F(xiàn)場裝置40和42可以是任何期望類型的現(xiàn)場裝置���,如傳感器���、閥門、變送器����、定位器等,并可以遵照任何期望的開放的�、專有的或其它通信及程序設(shè)計(jì)協(xié)議,包括�,如HART或4-20ma協(xié)議(如對現(xiàn)場裝置40所示)���,任何Fieldbus(現(xiàn)場總線)協(xié)議����,如FoundationFieldbus協(xié)議(如對現(xiàn)場裝置42所示),或CAN�����、Profibus、AS接口協(xié)議����,等等。類似地����,I/O裝置28-36可以是應(yīng)用任何適當(dāng)通信協(xié)議的任何已知類型的過程控制I/O裝置。
圖1的安全邏輯解算器50-56可以是任何期望類型的安全系統(tǒng)控制裝置�,包括處理器57和存儲了適配為在處理器57中執(zhí)行的安全邏輯模塊58存儲器,來使用安全現(xiàn)場裝置60和62提供與安全系統(tǒng)14相關(guān)的控制功能�。當(dāng)然,安全現(xiàn)場裝置60和62可以是遵照或使用例如上述任何已知或期望的現(xiàn)場裝置��。具體地�����,現(xiàn)場裝置60和62可以是由獨(dú)立的�、專門的安全相關(guān)控制系統(tǒng)以傳統(tǒng)方式控制的這種類型的安全相關(guān)現(xiàn)場裝置。在圖1所示的過程設(shè)備10中�����,示出安全現(xiàn)場裝置60是使用專門的或點(diǎn)對點(diǎn)的通信協(xié)議,如HART或4-20ma協(xié)議��,同時(shí)示出安全現(xiàn)場裝置62應(yīng)用總線通信協(xié)議���,如Fieldbus協(xié)議。一般地�����,用作安全系統(tǒng)14的部件的安全裝置(安全系統(tǒng)邏輯解算器(控制器)50-56����,以及安全系統(tǒng)現(xiàn)場裝置60和62)將被列(rate)為安全裝置,這一般就意味著這些裝置必須經(jīng)過列入程序�,來由適當(dāng)?shù)闹黧w列為安全裝置。
在各節(jié)點(diǎn)18和20中使用通用底板76(用通過控制器24�、26、I/O裝置28-36��、安全邏輯解算器50-56和MPD70和72的虛線表示)�,來把控制器24、26連接到過程控制I/O卡28�、30和32、或34和36����,并連接到安全邏輯解算器52和54或56和58����,以及MPD70或72����。還可通信地連接控制器24和26,作為總線22的仲裁器來進(jìn)行操作����,使每個I/O裝置28-36、邏輯解算器52-56以及MPD70和72能通過總線22與任一工作站16進(jìn)行通信���。
正如將要了解的�,在各節(jié)點(diǎn)18和20中使用底板76����,使安全邏輯解算器50-56彼此之間能進(jìn)行本地通信,來協(xié)調(diào)由這些裝置各自所實(shí)現(xiàn)的安全功能���,彼此交換數(shù)據(jù)�,或執(zhí)行其它綜合功能���。另一方面�����,操作MPD70和72使設(shè)置在設(shè)備10許多不同位置的安全系統(tǒng)14的部分仍可彼此通信��,從而在過程設(shè)備10的不同節(jié)點(diǎn)處提供協(xié)調(diào)的安全操作���。具體地,與總線74相連的MPD70和72使與過程設(shè)備10的不同節(jié)點(diǎn)18和20相關(guān)的安全邏輯解算器能通信串聯(lián)在一起��,從而允許根據(jù)分配好的優(yōu)先級來級聯(lián)過程設(shè)備10中的安全相關(guān)功能���。另外��,在過程設(shè)備10內(nèi)不同位置處的兩個或多個安全相關(guān)功能可以互鎖或互聯(lián)����,而不需要為設(shè)備10的獨(dú)立物理區(qū)域或節(jié)點(diǎn)內(nèi)的各個安全現(xiàn)場裝置運(yùn)行專線�����。換句話說��,MPD70和72以及總線74的應(yīng)用,使得配置工程師能夠設(shè)計(jì)并構(gòu)造一個安全系統(tǒng)14���,其本質(zhì)上遍布在過程設(shè)備中���,但其不同的部件又相互通信連接,使不同的安全相關(guān)硬件可以根據(jù)需要彼此通信���。這一特征還提供了安全系統(tǒng)14的可縮放性���,因?yàn)檫@使得當(dāng)其需要時(shí)或當(dāng)新的過程控制節(jié)點(diǎn)加入過程設(shè)備10中時(shí),附加的安全邏輯解算器能夠加入到安全系統(tǒng)14中�。
圖2更詳細(xì)地表示了過程設(shè)備10的節(jié)點(diǎn)18和20內(nèi)部和之間的通信連接。一般來說��,圖2所示的圖1的部件用相同的參考標(biāo)記來指代��。然而�����,各控制器24和26在圖2中作為冗余控制器對24A�、24B以及26A、26B來表示�,它們可采用任何標(biāo)準(zhǔn)的冗余技術(shù)���。類似地,各安全邏輯解算器50-56表示成一對裝置����,在每一對中具有主安全邏輯解算器50A、52A�、54A和56A,以及輔安全邏輯解算器50B��、52B��、54B和56B��。如將要了解到的���,每對安全邏輯解算器50-56連接到安全現(xiàn)場裝置(圖2中未示出),并可存儲相同的用于在安全系統(tǒng)14內(nèi)執(zhí)行安全功能的安全邏輯模塊58�。每對安全邏輯解算器50-56都包括在主和輔邏輯解算器之間連接的專用總線50C、52C����、54C和56C,提供邏輯解算器對之間的控制通信��。主和輔安全邏輯解算器最好同時(shí)運(yùn)行和執(zhí)行運(yùn)算,該兩套裝置的輸出可通過適當(dāng)?shù)目偩€50C�����、52C���、54C和56C彼此通信和確認(rèn)�。如果希望的話��,主裝置可包括表決邏輯��,其根據(jù)主和輔裝置的輸出確定安全邏輯解算器對的輸出��。換句話說��,任何期望的或已知的冗余技術(shù)都可應(yīng)用于邏輯解算器對50-56���。
此外�����,各MPD70和72表示為冗余對裝置70A�、70B和72A�����、72B,不同節(jié)點(diǎn)18和20的MPD與交互節(jié)點(diǎn)通信線或總線74的冗余對相連��。盡管圖1和圖2示出了僅在兩節(jié)點(diǎn)18和20之間的通信互聯(lián)�,但可以理解,單個的MPD或MPD冗余對可設(shè)置在過程設(shè)備10中任何數(shù)量的不同節(jié)點(diǎn)中�����,并可在環(huán)形總線結(jié)構(gòu)中彼此連接��,以便以任何希望的方式提供交互節(jié)點(diǎn)通信�。由于一般采用環(huán)形總線通信結(jié)構(gòu)(盡管不是必須),因此第一節(jié)點(diǎn)的MPD連接到第二節(jié)點(diǎn)的MPD��,第二節(jié)點(diǎn)的MPD再連接到第三節(jié)點(diǎn)的MPD��,依此類推�,最后一個節(jié)點(diǎn)的MPD連接到第一節(jié)點(diǎn)的MPD�,都是通過環(huán)形總線74。如果在過程設(shè)備10中只存在兩個節(jié)點(diǎn)�,如圖1所示,則從節(jié)點(diǎn)20的MPD72A和72B出來的總線74就直接連接到節(jié)點(diǎn)18的MPD70A和70B的輸入��。
在示出了圖1的控制器24和26以及工作站之間的連接以外,圖2還詳細(xì)地示出了底板76���。具體地�����,在節(jié)點(diǎn)18����,控制器24A和24B通過最好設(shè)置在底板76中的干線總線(railbus)通信連接100��,連接到I/O裝置28�、30和32,還連接到冗余對安全邏輯解算器50A����、50B和52A、52B�,并連接到MPD70A和70B冗余對。以同樣的方式����,在節(jié)點(diǎn)20,控制器26A和26B通過設(shè)置在底板76中的干線總線通信連接102�,連接到I/O裝置34和36����,還連接到安全邏輯解算器對54A�����、54B和56A��、56B����,并連接到MPD72A和72B冗余對?��?刂破?4和26應(yīng)用干線總線連接100和102����,在一端上的工作站14和另一端上的I/O裝置28-36�����、安全系統(tǒng)邏輯解算器50-56以及MPD70和72之間提供通信�����,同時(shí)在一端上的I/O裝置28-36和另一端上的安全系統(tǒng)邏輯解算器50-56以及MPD70和72之間提供通信���。換句話說�����,干線總線的線路100和102用作通信網(wǎng)絡(luò)����,使安全系統(tǒng)裝置能在過程設(shè)備10內(nèi)以較高的水平與過程控制系統(tǒng)裝置集成�����,使設(shè)置在工作站14內(nèi)的相同的配置程序和顯示程序可以對來自過程控制系統(tǒng)裝置和安全系統(tǒng)裝置的信息進(jìn)行通信���、配置和顯示��。
此外�,如對節(jié)點(diǎn)18所示����,底板76包括主對等(P2P)總線104A,連接各安全系統(tǒng)邏輯解算器50、52和主MPD70A��,同時(shí)輔P2P總線104B連接各安全系統(tǒng)邏輯解算器50�����、52和輔MPD70B�。主和輔P2P總線104A和104B是本地P2P總線,提供在單個底板76內(nèi)的安全邏輯解算器之間����、以及到與底板76相關(guān)或相連的MPD70的本地通信。以類似的方式����,節(jié)點(diǎn)20包括主對等(P2P)總線106A,連接安全系統(tǒng)邏輯解算器54�、56冗余對中的每一個和主MPD72A,同時(shí)輔P2P總線106B連接安全系統(tǒng)邏輯解算器54���、56冗余對中的每一個和輔MPD72B�����。主和輔P2P總線106A和106B是本地P2P總線�����,在節(jié)點(diǎn)20的底板76內(nèi)的安全邏輯解算器和MPD72之間提供本地通信����??梢岳斫猓镜刂骱洼oP2P總線104A��、104B�����、106A���、106B在各底板76內(nèi)所有安全相關(guān)邏輯解算器50-56之間提供冗余通信路徑�����。如果希望的話��,本地P2P總線104和106可作為廣播總線來進(jìn)行操作�,其中每個連接到總線的安全邏輯解算器和MPD裝置接收總線上所有其它裝置的發(fā)送信息����,一次只有一個裝置可進(jìn)行發(fā)送�����。當(dāng)然�,盡管圖2只示出了在不同節(jié)點(diǎn)18和20中連接到各底板的兩組安全邏輯解算器�����,但是任何期望數(shù)量的安全邏輯解算器����,可以是邏輯解算器冗余對或單獨(dú)邏輯解算器,都可在各節(jié)點(diǎn)18和20處連接到底板76(并因而連接到本地P2P總線104或106)����。
如果需要的話,安全邏輯解算器可應(yīng)用時(shí)分多路存取(TDMA)技術(shù)來共享本地P2P總線介質(zhì)��,在該技術(shù)中����,特定底板上的所有本地安全邏輯解算器彼此同步。在一種情況下�,本地P2P總線104和106可應(yīng)用RS485 Manchester編碼的HDLC協(xié)議�����,具有如2Mb/sec的吞吐量��。該Manchester編碼模式使線路以4Mb/s來驅(qū)動。這個給定的速率只是示例性的�,其它適當(dāng)?shù)乃俾屎途幋a模式一樣也是可以選擇的。此外���,如果需要的話�����,特定底板上的每個本地邏輯解算器可根據(jù)其在底板76中的物理位置�,來確定或被指定其在底板76上應(yīng)用的TDMA模式內(nèi)的發(fā)送時(shí)隙�����,這可以減少在特定節(jié)點(diǎn)中設(shè)置底板76所需要的配置步驟的數(shù)量��。更進(jìn)一步�����,底板76的主和輔P2P總線104和106可支持任何期望的消息類型,并且本地P2P總線104和106的物理連接可設(shè)置于底板76內(nèi)�����。
遠(yuǎn)程P2P總線74最好采用環(huán)形拓?fù)?����,使?shù)據(jù)在位于過程設(shè)備10的不同節(jié)點(diǎn)�����,并從而設(shè)置在不同底板76中的安全邏輯解算器之間進(jìn)行通信���。MPD70和72負(fù)責(zé)圍繞遠(yuǎn)程P2P總線74所構(gòu)成的環(huán)來傳播消息��,把從與MPD70或72在同一底板上的安全邏輯解算器傳來的消息放置到環(huán)74���,再把環(huán)74上要提交給與MPD70或72在同一底板上的安全邏輯解算器的消息,傳送給安全邏輯解算器�����。盡管遠(yuǎn)程P2P總線74上可傳播任何數(shù)量的消息�����,但在一個實(shí)施例中,在任何P2P總線周期期間可傳播的最大消息數(shù)量是三十二(32)��。這些消息來自于1到32個獨(dú)立的不同的安全邏輯解算器����,包括節(jié)點(diǎn)18和20的底板76,以及過程設(shè)備10中由環(huán)形總線74互連的其它節(jié)點(diǎn)的任何其它底板上的安全邏輯解算器50-56�����。然而����,由于環(huán)形總線74在這些裝置之間提供可通信的相互連接�,使它們能夠完成同步,所以�,該操作的結(jié)果就是,安全系統(tǒng)14中的所有安全邏輯解算器都可同步運(yùn)行����,即使它們位于不同節(jié)點(diǎn)上。環(huán)形總線74可采用任何期望類型的總線結(jié)構(gòu)和協(xié)議��,但最好采用應(yīng)用10Base-T以太網(wǎng)協(xié)議的點(diǎn)對點(diǎn)雙絞線,或具有10Mbit/sec傳輸速率的光纜和10base-F以太網(wǎng)協(xié)議��。
再次參照圖1��,每個工作站16都包括處理器77和存儲器78�����,存儲器78可以存儲適合在處理器77上執(zhí)行的���、任何數(shù)量的用戶界面��、配置����、診斷和/或觀測程序��。配置程序80和診斷程序82在圖1的分解圖中示出存儲在一個工作站16中�����,同時(shí)示出了用戶界面或顯示程序85表示為存儲在第二個工作站16中����。然而��,如果需要的話�����,可以在不同的工作站16中�、或在與過程設(shè)備10相關(guān)的其它計(jì)算機(jī)中存儲并執(zhí)行這些程序����。一般來說,配置程序80為配置工程師提供配置信息�,使配置工程師能對過程設(shè)備10的一些或所有元件進(jìn)行配置,并在配置數(shù)據(jù)庫21中存儲該配置�。作為配置程序80所執(zhí)行的配置活動的一部分��,配置工程師可為過程控制器24和26創(chuàng)建控制程序或控制模塊�����,可為任一及所有安全邏輯解算器50-56創(chuàng)建安全邏輯模塊58���,并可通過總線22和控制器24����、26下載這些不同的控制和安全模塊到適當(dāng)?shù)倪^程控制器24、26以及安全邏輯解算器50-56中����。類似地,配置程序80可用來創(chuàng)建和下載其它程序和邏輯到I/O裝置28-36��、到任何現(xiàn)場裝置40�,42,60和62等��?����?梢岳斫獾氖?,分離的過程控制和安全系統(tǒng)的過程控制和安全控制模塊可獨(dú)立于執(zhí)行這些模塊的裝置而創(chuàng)建,并可通過直接彼此引用而可通信地綁定在一起���,從而使過程控制系統(tǒng)邏輯和安全系統(tǒng)邏輯在指定給任何特定裝置之前就可彼此通信��。這一特征使過程控制系統(tǒng)和安全系統(tǒng)模塊能夠作為模板來創(chuàng)建和存儲�,當(dāng)過程設(shè)備內(nèi)的裝置改變���、移除等時(shí)�����,為這些模塊提供了更方便的可移植性���,并一般在與這些系統(tǒng)相關(guān)的物理裝置就位之前就完成過程控制系統(tǒng)12和安全系統(tǒng)14的邏輯配置��。
相反地���,診斷程序82可用來為用戶,例如過程控制操作者��、安全操作者等����,提供一個或多個顯示,它包括有關(guān)過程控制系統(tǒng)12和安全系統(tǒng)14狀態(tài)的信息��,如果特別需要��,可在分離的視圖中或同一視圖中顯示����。例如,診斷程序82可以是報(bào)警顯示程序���,為操作者接收和顯示報(bào)警指示��。如果需要的話��,這種報(bào)警顯示程序可采取如題為“Process Control System Including AlarmPriority Adjustment(包括報(bào)警優(yōu)先級調(diào)整的過程控制系統(tǒng))”的美國專利No.5,768,119以及題為“Integrated Alarm Display in a Process Control Network(過程控制網(wǎng)絡(luò)中的集成報(bào)警顯示)”的美國專利申請No.09/707,580中所公開的形式��,這兩個專利都轉(zhuǎn)讓給了本專利的受讓人����,從而明確地將其作為參考合并于此����。然而,可以理解����,由于來自兩個系統(tǒng)12和14的報(bào)警將傳送到執(zhí)行報(bào)警顯示程序的操作者工作站16,且這些報(bào)警可以識別為來自不同類型裝置的報(bào)警��,包括來自過程控制系統(tǒng)或安全系統(tǒng)的報(bào)警����,所以這些專利的報(bào)警顯示或報(bào)警標(biāo)識可在集成的報(bào)警顯示中接收并顯示來自過程控制系統(tǒng)12以及安全控制系統(tǒng)14兩者的報(bào)警。如果需要的話,操作者可以以與過程控制報(bào)警相同的方式來響應(yīng)(如確認(rèn)�����、禁止等)在報(bào)警標(biāo)識中顯示的安全報(bào)警�。例如,操作者或用戶可應(yīng)用報(bào)警顯示器的任何特點(diǎn)來確認(rèn)安全報(bào)警����、關(guān)閉安全報(bào)警等。利用總線22和底板76上的通信���,這些動作將發(fā)送消息到安全系統(tǒng)14內(nèi)適當(dāng)?shù)陌踩壿嬔b置50-56���,從而使安全系統(tǒng)14針對該安全報(bào)警采取相應(yīng)的動作。以類似的方式���,其它診斷程序也可顯示從過程控制系統(tǒng)12和安全系統(tǒng)14兩者所獲得的診斷信息或數(shù)據(jù)���,由于這兩個系統(tǒng)采用了相同類型和種類的參數(shù)、保護(hù)(security)及引用����,使來自系統(tǒng)12和14之一的任何數(shù)據(jù)可集成到傳統(tǒng)上只為過程控制系統(tǒng)設(shè)置的顯示或視圖中。
用戶界面程序85可以是任何類型的界面����,例如,使用戶處理數(shù)據(jù)值(如執(zhí)行讀或?qū)懖僮?�,從而在提供正確的保護(hù)級別和類型的同時(shí),在控制系統(tǒng)和安全系統(tǒng)中任一個或兩者中改變控制或安全模塊的操作�。從而,例如���,如果寫操作限定到與控制系統(tǒng)12相關(guān)的控制模塊�����,如一個控制模塊75或一個現(xiàn)場裝置42��,那么����,例如��,程序85就執(zhí)行相應(yīng)的保護(hù)程序�,使該寫操作能夠發(fā)生。另一方面�����,如果寫操作限定到與安全系統(tǒng)14相關(guān)的模塊,如一個模塊58��,或一個現(xiàn)場裝置62��,那么���,例如���,程序85就執(zhí)行正確的保護(hù)程序和措施,使該寫操作能夠發(fā)生�,且如果滿足保護(hù)措施,就發(fā)送寫操作指令到適當(dāng)?shù)陌踩b置����,而不需要在安全系統(tǒng)控制器50-56中設(shè)置另外的防火墻。
無論如何�,程序80、82和85可向各過程控制器24和26以及各安全系統(tǒng)邏輯解算器50-56發(fā)送并從中接收獨(dú)立的配置��、診斷和其它信號���。這些信號可包括與控制過程控制相關(guān)現(xiàn)場裝置40和42的操作參數(shù)有關(guān)的過程級消息����,可包括與控制安全相關(guān)現(xiàn)場裝置60和62的操作參數(shù)有關(guān)的安全級消息��,還可包括與裝置細(xì)節(jié)相關(guān)的裝置級消息���,既包括過程控制系統(tǒng)裝置也包括安全系統(tǒng)裝置��。盡管安全邏輯解算器50-56可進(jìn)行編程�,來識別過程級消息和安全級消息��,但安全邏輯解算器50-56能區(qū)分兩種類型的消息����,而不能由過程級配置信號所編程或影響。舉一個例子��,傳送給過程控制系統(tǒng)裝置的編程消息可包括某些字段或地址��,它們可被安全系統(tǒng)裝置識別��,并防止這些信號用于對安全系統(tǒng)裝置進(jìn)行編程����。特別地�����,從安全系統(tǒng)裝置或程序���,如安全系統(tǒng)邏輯裝置50-56之一,接收到的或向其傳送的數(shù)據(jù)的標(biāo)記(例如路徑名)或地址���,可以包括特定字段或標(biāo)題����,來識別這個裝置或單元是與安全系統(tǒng)14相關(guān)的����。如果是這種情況,嵌入在任一程序中的寫保護(hù)軟件通過與數(shù)據(jù)相關(guān)的標(biāo)記或地址���,可確定何時(shí)嘗試對安全系統(tǒng)部件進(jìn)行寫入�����。當(dāng)保護(hù)軟件確定安全系統(tǒng)需要寫入(或讀出)時(shí)�,保護(hù)程序可自動執(zhí)行期望的保護(hù)程序���,如檢查密碼�����、審定用戶����,來確定該用戶具有向安全系統(tǒng)裝置或邏輯單元寫入(或從中讀取)所需的權(quán)限���。
如果需要的話�,安全邏輯解算器50-56可應(yīng)用與過程控制I/O卡28-36所用硬件和軟件相比��,相同的或不同的硬件或軟件設(shè)計(jì)�����。然而�����,對過程控制系統(tǒng)12內(nèi)的裝置和安全系統(tǒng)14內(nèi)的裝置應(yīng)用互換技術(shù)可以最小化或消除一般原因的硬件或軟件故障��。
安全系統(tǒng)裝置��,包括邏輯解算器50-56,還可應(yīng)用任何期望的隔離和保護(hù)技術(shù)����,來降低或消除對由其實(shí)現(xiàn)的安全相關(guān)功能進(jìn)行未經(jīng)許可的改變的幾率。例如�,安全邏輯解算器50-56和配置程序80可以要求具有特定權(quán)限級別的人員,或位于特定工作站的人員來改變邏輯解算器50-56內(nèi)的安全模塊���,該權(quán)限級別或位置與改變由控制器24和26以及I/O裝置28-36執(zhí)行的過程控制功能所需的權(quán)限或訪問級別和位置不同����。在這種情況下��,只有安全軟件中指定的或位于有權(quán)修改工作站14的人員����,才有權(quán)更改安全相關(guān)功能,這樣最小化了安全系統(tǒng)14操作發(fā)生訛誤的幾率�。可以理解的是�,要實(shí)現(xiàn)該保護(hù),安全邏輯解算器50-56內(nèi)的處理器可評估輸入消息的適當(dāng)形式和安全性����,并在安全邏輯解算器50-56內(nèi)執(zhí)行的安全級控制模塊58的修改過程中作為看門人(gatekeeper)��?����;蛘?�,正如以下所具體描述的��,當(dāng)用戶的保護(hù)級不足以向安全系統(tǒng)裝置寫入或從中讀出時(shí)�����,為安全邏輯解算器50-56產(chǎn)生消息的程序可實(shí)現(xiàn)保護(hù)過程,并拒絕發(fā)送消息���。
這樣��,如果希望的話����,一旦安全相關(guān)功能在邏輯解算器50-56內(nèi)啟動�����,那么不具有適當(dāng)訪問權(quán)限的操作者工作站16就不能改變安全功能的狀態(tài),這使與過程控制系統(tǒng)12相關(guān)的通信結(jié)構(gòu)可用來提供安全系統(tǒng)14的初始化���,并用來提供安全系統(tǒng)14操作的運(yùn)行時(shí)間報(bào)告�����,但過程控制系統(tǒng)12與安全系統(tǒng)14卻仍隔離��,在該意義上來說�,對過程控制系統(tǒng)12的改變不會影響安全系統(tǒng)14的操作�����。
圖3示出了由圖1配置程序80所產(chǎn)生的顯示屏幕183���,描述了配置表示�,其中安全系統(tǒng)14(包括邏輯解算器50-56和安全現(xiàn)場裝置60�����、62)與過程控制系統(tǒng)12集成在一起���?����?梢岳斫?,圖3的配置顯示屏幕183示出了配置程序80對過程設(shè)備10內(nèi)不同裝置的相關(guān)軟件進(jìn)行配置的方式,且可由配置工程師用來通過下載新的配置軟件到過程設(shè)備10內(nèi)的裝置�,包括過程控制系統(tǒng)裝置和安全系統(tǒng)裝置,來創(chuàng)建或更改過程設(shè)備10的當(dāng)前配置���。
如顯示屏幕183所示��,過程設(shè)備10包括物理網(wǎng)絡(luò)部分184����,用于顯示過程設(shè)備10內(nèi)裝置的物理連接�;以及安全網(wǎng)絡(luò)部分185���,用于配置安全系統(tǒng)裝置���。物理網(wǎng)絡(luò)部分184包括具有控制器187(命名為CTLR1)的控制網(wǎng)絡(luò)部分186??刂破?87可以是圖1控制器24�、26中的一個��,包括一組指定模塊188�,指定模塊188是存儲在控制器187中并由其執(zhí)行的控制模塊,還包括用于通信目的與控制器187相連的I/O裝置部分189����。展開I/O裝置部分189,以示出通過圖1的一個底板76連接到控制器187(CTRL1)上的所有卡190���。在該例子中���,I/O裝置部分189包括過程控制輸入/輸出卡C01-C05、C11-C15和C21�。這些卡中每一個都可展開,來表示出與這些卡中每一個相連的不同的現(xiàn)場裝置(圖1的現(xiàn)場裝置40和42中的各裝置)的同一性(identity)��,及其它相關(guān)信息����。類似地,為了說明物理連接��,以遮蔽的形式表示了兩個安全系統(tǒng)卡C07(命名為“BLR1BMS”)和CO17(尚未配置)���,因?yàn)樗鼈儾荒茉诳刂凭W(wǎng)絡(luò)中進(jìn)行配置或由其配置����,所以它們在該部分不能展開。然而���,可以理解的是����,應(yīng)用屏幕183的控制網(wǎng)絡(luò)部分186�����,通過在配置畫面的那個部分中加入�、刪除或改變控制模塊、I/O裝置和/或現(xiàn)場裝置�����,可配置與過程控制系統(tǒng)12相關(guān)的裝置���。
安全系統(tǒng)14在顯示屏幕183的安全網(wǎng)絡(luò)部分185中示出,包括三個名為BLR1BMS����、BLR2BMS和LS1的安全邏輯解算器191-193���。類似地,如果需要的話�,消息傳播裝置(如圖1的MPD70和72)也可在安全網(wǎng)絡(luò)部分185中示出。在屏幕183中�����,展開安全邏輯解算器191來說明其包括了指定的安全模塊�����、一個或多個通道(連接到安全現(xiàn)場裝置如圖1的裝置60和62)和安全參數(shù)���。這些元件中的每一個都可在屏幕183的這個部分中進(jìn)一步觀測����、加入��、刪除或改變����,從而對安全系統(tǒng)14進(jìn)行配置��。具體地�����,安全系統(tǒng)14可用安全網(wǎng)絡(luò)部分185��,以類似于用控制網(wǎng)絡(luò)部分186對過程控制網(wǎng)絡(luò)12進(jìn)行配置的方式�����,對安全系統(tǒng)14進(jìn)行配置和修改�。實(shí)際上����,可以理解,可使用如美國專利No.5,838,563所描述的配置過程控制系統(tǒng)的方法�����,來創(chuàng)建控制或安全模塊�,并將其指定給這些不同的控制和安全系統(tǒng)中的每一個,該美國專利已轉(zhuǎn)讓給本專利的受讓人��,通過引用將其明確地合并在此����。
然而,一般來說��,安全邏輯模塊可從存儲在配置庫中的模塊模板對象中創(chuàng)建��,并適于在特定的安全邏輯解算器中使用��,以對過程設(shè)備10內(nèi)特定的安全現(xiàn)場裝置執(zhí)行安全功能�����。要創(chuàng)建安全邏輯模塊�,安全工程師可復(fù)制特定的控制模板(既可用來創(chuàng)建過程控制器中運(yùn)行的過程控制模塊,也可用來創(chuàng)建安全邏輯解算器中運(yùn)行的安全邏輯模塊)���,來創(chuàng)建特定的安全邏輯模塊��,并可通過將該安全邏輯模塊拖放到圖3的配置顯示屏幕183內(nèi)期望的安全邏輯解算器的指示之上或之下�,來為特定的安全元件����,如安全邏輯解算器之一,指定安全邏輯模塊。在實(shí)現(xiàn)該公開系統(tǒng)的過程中�����,創(chuàng)建了新的用戶角色��,安全工程師����。在配置安全系統(tǒng)14時(shí),管理過程控制部分的配置工程師可能不具有適當(dāng)?shù)臋?quán)限去配置安全模塊��,這樣�,安全模塊的配置將由安全工程師來完成。這樣�,系統(tǒng)內(nèi)的保護(hù)允許描繪分離的安全工程師和過程配置工程師。
在一個特定例子中��,安全工程師可通過從安全網(wǎng)絡(luò)菜單(可以是�,如彈出式、或下拉式)中選擇加入邏輯解算器(Add Logic Solver)菜單選項(xiàng)(未示出)���,來在安全網(wǎng)絡(luò)部分185下加入安全邏輯解算器��。這時(shí)���,具有下一個可用系統(tǒng)名稱的邏輯解算器創(chuàng)建在安全網(wǎng)絡(luò)185下����。自動創(chuàng)建的系統(tǒng)名可以以如LS1開始�,但也可以在過程設(shè)備10的配置系統(tǒng)內(nèi)重新命名為任何全局唯一的名稱�。圖3示出了兩個邏輯解算器被重命名,一個(LS1)未被重命名的情況��。在這一點(diǎn)上���,邏輯解算器仍為占位符�,但并不綁定到物理邏輯解算器���。此后�,用戶可從物理網(wǎng)絡(luò)部分184(如I/O部分189下的一個卡)中拖放邏輯解算器到安全網(wǎng)絡(luò)部分185上���,來把特定的物理邏輯解算器(即��,卡)綁定到創(chuàng)建的占位符上����。一旦綁定了在安全網(wǎng)絡(luò)部分185下特定的邏輯解算器,那么對此邏輯解算器所進(jìn)行的配置變化就可下載到物理網(wǎng)絡(luò)部分184所指定的特定的物理邏輯解算器上執(zhí)行�。進(jìn)一步地,一旦綁定����,安全網(wǎng)絡(luò)部分185下的邏輯解算器可在括號中表示物理路徑,而物理網(wǎng)絡(luò)部分184下的邏輯解算器(卡)則可在括號中表示邏輯解算器名稱���。圖3中�,安全邏輯裝置191和卡CO7以這種方式綁定到一起��。物理網(wǎng)絡(luò)部分184下的卡CO7被弄亂(hash out)���,以表示其不能在過程控制網(wǎng)絡(luò)部分186下進(jìn)行配置�,但取而代之的是必須通過安全網(wǎng)絡(luò)部分185進(jìn)行配置��。另外�����,安全網(wǎng)絡(luò)部分185下的端口(Fieldbus)部分表示了Fieldbus端口�����,F(xiàn)ieldbus安全裝置加到該端口,或連接到安全邏輯單元或安全控制器191��。
如果需要��,還可通過拖曳安全網(wǎng)絡(luò)部分185下未綁定的邏輯解算器到物理網(wǎng)絡(luò)部分184下未綁定的邏輯解算器來執(zhí)行綁定����,或者可將物理網(wǎng)絡(luò)部分184下未綁定的邏輯解算器拖放到安全網(wǎng)絡(luò)部分185下。在以上任一情況下�,將占位符綁定到物理邏輯解算器會導(dǎo)致在括號中產(chǎn)生示出的引用(reference)����。當(dāng)然,不支持將安全網(wǎng)絡(luò)部分185下的占位符拖放到控制網(wǎng)絡(luò)部分中控制器下的I/O(事實(shí)上這是被保護(hù)系統(tǒng)所禁止的)����,所以就不可能在過程控制器I/O裝置下產(chǎn)生邏輯解算器卡。這在過程控制裝置和安全裝置之間提供了功能性的隔離���。低級別的安全元件����,如安全現(xiàn)場裝置��、安全模塊、參數(shù)等��,可通過在屏幕顯示183的適當(dāng)位置放置(如拖放)這些低級別元件的指示����,來指定給或綁定到特定的安全邏輯解算器。
然而�����,可以理解�,可使用類似的技術(shù),用配置屏幕183對過程控制網(wǎng)絡(luò)186進(jìn)行配置����,這樣,過程控制網(wǎng)絡(luò)(系統(tǒng))和安全系統(tǒng)都可應(yīng)用同一程序來進(jìn)行配置�����,從而指定過程控制網(wǎng)絡(luò)和安全網(wǎng)絡(luò)內(nèi)元件之間的相互關(guān)系����。此外,由于配置程序80對過程控制網(wǎng)絡(luò)186和安全網(wǎng)絡(luò)185的配置都使用同一命名結(jié)構(gòu)(這些名稱字段中的變化被用來指定元件是與過程控制網(wǎng)絡(luò)還是安全網(wǎng)絡(luò)相關(guān))��,因此,所有其它程序都可根據(jù)與數(shù)據(jù)相關(guān)的名稱或標(biāo)記���,來方便地確定數(shù)據(jù)或信號源自或送往過程控制元件還是安全元件��。由于該通用配置和命名結(jié)構(gòu)���,數(shù)據(jù)不需要從安全系統(tǒng)映射到過程控制系統(tǒng),反之亦然�����?��?商娲模魏纬绦蚨伎蓮倪^程控制裝置或安全系統(tǒng)裝置中的任一個接收數(shù)據(jù)��,并向其發(fā)送數(shù)據(jù)或指令(假定滿足保護(hù)措施)��,還能夠根據(jù)數(shù)據(jù)的名稱或標(biāo)記�����,或者數(shù)據(jù)被送往的裝置或邏輯實(shí)體的名稱或標(biāo)記����,了解到該數(shù)據(jù)有關(guān)哪個系統(tǒng)���。
此外,由于在過程控制系統(tǒng)裝置和邏輯�����,以及安全系統(tǒng)邏輯和裝置之間使用了通用的命名結(jié)構(gòu)����,還由于配置數(shù)據(jù)庫為所有這些實(shí)體存儲了數(shù)據(jù),所以配置工程師能使過程控制模塊引用(與之通信)安全邏輯模塊��,而無需進(jìn)行任何映射����,且反之亦然。事實(shí)上��,配置工程師可以以與工程師使兩個安全邏輯模塊或兩個過程控制邏輯模塊相互引用的方式同樣的方式���,配置安全邏輯模塊引用過程控制邏輯模塊���,反之亦然���。正如已知的,這種引用可通過在圖形配置屏幕上兩個模塊適當(dāng)?shù)妮斎牒洼敵鲋g劃線而圖形化地連線完成����,或通過用適當(dāng)?shù)臉?biāo)記、名稱�、地址等手動地指定要引用的參數(shù)來完成。在一個實(shí)施例中���,使用公知的名稱和參數(shù)引用模式來建立這種引用����。在這種情況下���,模塊或其它實(shí)體的名稱、以及該實(shí)體的參數(shù)就被指定為與兩模塊之間通信相關(guān)的標(biāo)記(路徑)的一部分����。
更進(jìn)一步,如果需要����,與過程控制系統(tǒng)和安全系統(tǒng)相關(guān)的配置數(shù)據(jù)可存儲在通用數(shù)據(jù)庫(如圖1的配置數(shù)據(jù)庫21)中���,還可以以集成的方式存儲在通用數(shù)據(jù)庫中,并可由單個程序��,如配置程序80在任何期望的時(shí)間對其進(jìn)行存取����。或者�����,設(shè)備不同部分的配置數(shù)據(jù)可分布存儲在設(shè)備10中的不同位置���。例如����,圖1的設(shè)備中節(jié)點(diǎn)18的配置數(shù)據(jù)(對于與節(jié)點(diǎn)18相關(guān)的過程控制裝置以及安全系統(tǒng)裝置兩者)可存儲在節(jié)點(diǎn)18的控制器24中��,作為數(shù)據(jù)庫或存儲器202�,而圖1的設(shè)備中節(jié)點(diǎn)20的配置數(shù)據(jù)(對于與節(jié)點(diǎn)20相關(guān)的過程控制裝置以及安全系統(tǒng)裝置兩者)可存儲在節(jié)點(diǎn)20的控制器26中,作為數(shù)據(jù)庫或存儲器204��。
以這種方式,配置活動可從同一配置程序?qū)崿F(xiàn)��,來對與設(shè)備10相關(guān)的過程控制網(wǎng)絡(luò)12以及安全網(wǎng)絡(luò)14進(jìn)行配置����,這兩個系統(tǒng)的配置數(shù)據(jù)可集成在一起,以表示過程控制系統(tǒng)的硬件�、軟件和安全系統(tǒng)的硬件、軟件之間的相互關(guān)系�����。然而��,由于使用了通用的配置范例���,所以可確保過程控制系統(tǒng)12和安全系統(tǒng)14內(nèi)元件的命名和數(shù)據(jù)地址為向每個裝置提供唯一的名稱或地址���,這樣安全系統(tǒng)部件(和數(shù)據(jù))與過程控制系統(tǒng)部件(和數(shù)據(jù))可以容易地區(qū)分開來。這因而也消除了映射的需要�。可以理解��,配置程序80對過程控制系統(tǒng)(及其中所有邏輯和物理實(shí)體)以及安全系統(tǒng)(及其中所有邏輯和物理實(shí)體)使用了通用的標(biāo)記�、命名、尋址和引用格式�。
此外,所有位置(或區(qū)域)相關(guān)的共享配置和運(yùn)行時(shí)間項(xiàng)對于過程控制系統(tǒng)和安全系統(tǒng)來說都只需定義一次(并不用對各系統(tǒng)單獨(dú)定義)�����,因?yàn)檫^程控制模塊和安全模塊在同一區(qū)域內(nèi)是綁定在一起的��。這種是邏輯的�,因?yàn)槊總€區(qū)域都是既有過程控制系統(tǒng)裝置(和邏輯)也有安全系統(tǒng)裝置(和邏輯)的裝置邏輯組。例如���,在一個區(qū)域可能有多個鍋爐(boiler)�����,可稱為“BOILERS”���。“BOILERS”區(qū)內(nèi)的每個鍋爐都有其自身的安全裝置和邏輯�����,以及過程控制裝置和邏輯�。這樣,通過使安全模塊處于在“BOILERS”區(qū)中與過程模塊相同的邏輯位置,所有相關(guān)信息就可為用戶保存在一起�����,并可通過單個或通用的配置程序?qū)ζ溥M(jìn)行訪問�。如果需要,在該例子中�����,用戶可以在“BOILERS”區(qū)下加入另一個名為UNITS的“目錄式文件夾”(如圖3所示的文件夾)����。在該文件夾中,可以有與三個不同鍋爐相關(guān)的鍋爐單元1(Boiler Unit1)��、鍋爐單元2(Boiler Unit2)和鍋爐單元3(Boiler Unit3)�����。再有�,安全模塊和過程控制模塊都可放置在正確的鍋爐單元(Boiler Unit)目錄下,來表明哪些安全模塊(和過程控制模塊)用于哪個鍋爐單元�����,從而在配置顯示中進(jìn)一步提供顆粒性。
因此��,可以理解����,安全儀表系統(tǒng)配置和過程控制系統(tǒng)配置可從同一工程應(yīng)用程序來進(jìn)行�,它可以使配置瀏覽、管理����、測試和備份等能在單個位置進(jìn)行。更具體地�����,單個配置數(shù)據(jù)庫管理程序���,如備份配置數(shù)據(jù)庫的備份程序����、向配置數(shù)據(jù)庫輸入數(shù)據(jù)的輸入程序�、以及其它程序,既可以用于配置數(shù)據(jù)庫內(nèi)的過程控制系統(tǒng)數(shù)據(jù)也可以用于配置數(shù)據(jù)庫內(nèi)的安全系統(tǒng)數(shù)據(jù)���,從而減少了各系統(tǒng)所需的支持程序的數(shù)量�。此外,設(shè)備10中特定部分(如區(qū)域)的安全儀表功能�����,可以在與該同樣的部分(如區(qū)域)的過程控制配置相同的位置上進(jìn)行配置和保存��。
因此�,來自過程控制和安全系統(tǒng)透視(perspective)的一個區(qū)域的所有相關(guān)信息都處于單個位置,并使用同一個程序進(jìn)行配置�����。更具體地�,過程控制系統(tǒng)元件(如過程控制器24、26或現(xiàn)場裝置40�、42以及其中執(zhí)行的模塊或其它邏輯)和安全系統(tǒng)元件(如安全控制器50-56或安全現(xiàn)場裝置60、62以及其中執(zhí)行的模塊或其它邏輯)可在一個區(qū)域內(nèi)����,用同一程序邏輯地配置在一起,而不用考慮使用哪個控制器來執(zhí)行過程控制或安全系統(tǒng)邏輯����。因此�,在了解到有多少控制器�,控制器在系統(tǒng)中所處位置(地址和/或名稱),以及將邏輯指定到哪個控制器之前����,創(chuàng)建用于過程控制系統(tǒng)和安全系統(tǒng)兩者的配置邏輯�����。由于這一事實(shí)���,配置安全模塊不需要了解過程控制系統(tǒng)的物理設(shè)計(jì)����。這種基于邏輯而不是基于物理而進(jìn)行的配置也使得在系統(tǒng)之間容易移植����,能響應(yīng)過程設(shè)備內(nèi)物理設(shè)計(jì)的改變,容易地對邏輯解算器重新分配模塊�����,還能容易地建立用來創(chuàng)建過程控制和安全系統(tǒng)配置邏輯的類庫模板�。此外�,由于安全模塊之間的引用通過安全模塊名稱/參數(shù)來完成����,所以安全模塊之間的通信可以不依賴于安全模塊所指定的邏輯解算器來進(jìn)行配置。
如上所述����,盡管過程控制和安全系統(tǒng)配置集成在一起,但配置程序具有保護(hù)措施���,來分離地定義可對過程控制和安全系統(tǒng)進(jìn)行配置活動的用戶�����。具體地�����,配置程序80可設(shè)置成通過不同的用戶帳號來進(jìn)行訪問�����,每個用戶帳號與特定的用戶實(shí)體相關(guān)����。用戶實(shí)體可以是一個或多個用戶,在某些情況下���,可以是獨(dú)立于人類而進(jìn)行操作的應(yīng)用程序����。為了簡單起見����,下面將可互換地提及用戶和用戶帳號����。
可以理解,每個用戶帳號都可具有或被分配有不同的訪問權(quán)限��,既針對過程控制系統(tǒng)又針對安全系統(tǒng)限定用戶實(shí)體的權(quán)力�。同一用戶帳號對于過程控制系統(tǒng)配置功能和安全系統(tǒng)配置功能可具有不同的訪問權(quán)限,同時(shí)即使不訪問�����,每個用戶帳號也都可對過程控制系統(tǒng)和安全系統(tǒng)限定一些的訪問級別���。如果需要��,任何特定的用戶帳號都可具有訪問權(quán)限�,允許用戶實(shí)體僅對過程控制系統(tǒng)采取一個或多個動作,僅對安全系統(tǒng)采取一個或多個動作���,或者既對過程控制系統(tǒng)也對安全系統(tǒng)采取一個或多個動作�����。此外�����,對于每個過程控制系統(tǒng)和安全系統(tǒng)可以限定不同級別的訪問權(quán)限�����,例如����,允許用戶實(shí)體讀取過程控制或安全系統(tǒng)數(shù)據(jù)的級別���、允許用戶寫入或改變過程控制或安全系統(tǒng)參數(shù)或設(shè)定的級別���、允許用戶創(chuàng)建過程控制或安全系統(tǒng)模塊或其它邏輯的級別��、允許用戶下載過程控制或安全系統(tǒng)模塊到適當(dāng)裝置的級別���、以及允許用戶在一個或多個過程控制或安全系統(tǒng)裝置上執(zhí)行校準(zhǔn)程序的級別。當(dāng)然�,對于過程控制系統(tǒng)和安全系統(tǒng)中任何一個或兩者,可給予任何用戶實(shí)體任何數(shù)量的訪問權(quán)限�����,也可使用除了這里所列權(quán)限級別以外的其它可能的權(quán)限級別��。
這樣����,就可防止過程控制工程師對設(shè)備內(nèi)的安全系統(tǒng)進(jìn)行配置��,同時(shí)防止安全系統(tǒng)工程師對設(shè)備內(nèi)的過程控制系統(tǒng)進(jìn)行配置�����。如上所述�,對配置和運(yùn)行時(shí)間權(quán)限進(jìn)行用戶保護(hù)的保護(hù)系統(tǒng),對于過程控制和安全系統(tǒng)可全部集成到單個程序中(例如配置程序)。如上所述����,可設(shè)置用戶帳號來限定特定用戶具有特定位置(或在特定程序內(nèi))的權(quán)限。如果需要����,控制的運(yùn)行時(shí)間用戶范圍可按區(qū)域限定,也可按過程控制和安全系統(tǒng)的功能限定�。這樣,讓操作者可以訪問一個或多個特定區(qū)域的安全系統(tǒng)和過程控制系統(tǒng)����,但不能訪問其它區(qū)域。以這種方式�����,可在用戶和位置相結(jié)合的基礎(chǔ)上進(jìn)行保護(hù)����。如果需要,保護(hù)還可根據(jù)執(zhí)行配置程序的位置或計(jì)算機(jī)來進(jìn)行���,這樣使得用戶必須在特定的計(jì)算機(jī)上具有適當(dāng)?shù)脑L問權(quán)限����,才能夠從該計(jì)算機(jī)執(zhí)行配置功能。
如將要了解到的��,可以以美國專利第5,838,563����、5,940,294和6,078,320號所公開的方式,將安全系統(tǒng)配置活動限定為在圖形顯示中相互連接的邏輯元件(如功能塊或模塊)���,在此通過引用��,將上述專利內(nèi)容明確地合并于此�。在這種情況下���,可創(chuàng)建安全系統(tǒng)功能或邏輯(以安全系統(tǒng)模塊的形式)����,而不必限定哪個實(shí)際安全系統(tǒng)硬件執(zhí)行該邏輯����,以及將使用哪個安全系統(tǒng)I/O通道�。一旦限定了硬件和通道的定義,就可使用簡單的硬件和I/O指定操作(如圖3配置屏幕上的拖放操作)來對邏輯和硬件進(jìn)行綁定。該操作使安全系統(tǒng)功能能在安全系統(tǒng)之間具有高移植性��,并為設(shè)置安全系統(tǒng)14的硬件位置和通道地址提供了更高的適應(yīng)性�。此外,與過程控制模塊相似����,為了易于重復(fù)使用,安全系統(tǒng)邏輯模塊可在庫中作為模板存儲��,使同一基本類型的安全模塊可供設(shè)備中不同區(qū)域的類似裝置或相同裝置重復(fù)使用��。以這種方式����,可復(fù)制安全系統(tǒng)邏輯模板到適當(dāng)區(qū)域,并分配給安全系統(tǒng)硬件����。
此外,由于安全系統(tǒng)一般小于其相關(guān)的過程控制系統(tǒng)���,因此����,要能從過程控制系統(tǒng)硬件和邏輯中輕松地找到并查看安全系統(tǒng)硬件和邏輯,從而查看安全系統(tǒng)邏輯模塊到安全系統(tǒng)硬件的分配�����,是很重要的���。如前面參考圖3所述的配置系統(tǒng)���,通過使安全系統(tǒng)14和過程控制系統(tǒng)12的配置信息分離,或在配置圖的不同標(biāo)題下加以區(qū)分�����,來完成該功能�����。
此外�����,為了互鎖等目的��,一般在過程控制系統(tǒng)中要求來自安全系統(tǒng)邏輯的信息�。如前面所提議,傳統(tǒng)上需要把安全系統(tǒng)的配置映射到過程控制系統(tǒng)的保持寄存器或其它適當(dāng)定義的數(shù)據(jù)結(jié)構(gòu)中�,以便在控制策略中供過程控制系統(tǒng)使用。通過上述的集成配置�,安全系統(tǒng)信息和數(shù)據(jù)可以很容易地供過程控制系統(tǒng)邏輯使用,而無需映射該數(shù)據(jù)����,因?yàn)樗袛?shù)據(jù)和信息都在一個集成的配置中提供和存儲,從而來自安全系統(tǒng)的數(shù)據(jù)可按照與來自于過程控制系統(tǒng)邏輯其它部分的數(shù)據(jù)用在過程控制系統(tǒng)邏輯中完全相同的方式����,直接用于過程控制系統(tǒng)邏輯。這一集成既減少了配置的時(shí)間�����,也降低了配置的復(fù)雜性��,還顯著減少了與數(shù)據(jù)映射相關(guān)的誤差�。
可以理解,安全系統(tǒng)裝置的配置和狀態(tài)數(shù)據(jù)也可集成在這一單個配置環(huán)境中�����。這既包括裝置的具體信息�����,也包括與裝置有關(guān)的控制系統(tǒng)信息,如裝置報(bào)警配置����。通過某些通信協(xié)議,如Foundation Fieldbus���,控制信息可駐留在其自身的現(xiàn)場裝置中��。如果想利用該信息作為安全系統(tǒng)功能的一部分�����,那么�,對于理解該邏輯來說�,在同一單個的配置環(huán)境中具有該信息的能力是很重要的。此外����,來自于安全系統(tǒng)14任何部分(包括傳感器、傳動器和邏輯解算器)的狀態(tài)信息可以適當(dāng)?shù)赜糜诳刂葡到y(tǒng)12或安全系統(tǒng)14中�。例如,根據(jù)裝置的健康,使基于裝置健康的選擇機(jī)制降級���,或?qū)刂葡到y(tǒng)12中的互鎖進(jìn)行調(diào)整。沒有集成的配置環(huán)境�,很難實(shí)現(xiàn)過程控制系統(tǒng)12和安全系統(tǒng)14之間信息的這種共享。
從上述討論中可以理解��,通過集成的配置��,所有標(biāo)記���、參數(shù)引用����、命名���、保護(hù)等�,都可從一個通用的數(shù)據(jù)庫來進(jìn)行配置��。這使用戶削減了在過程控制系統(tǒng)中為安全重要功能所提供的投資�、培訓(xùn)等。此外���,通用的瀏覽器視圖(explorer view)(如圖3中集成了過程控制裝置和邏輯以及安全系統(tǒng)裝置和邏輯的視圖)可使用戶很容易區(qū)分過程���、裝置和安全功能����,從而為視圖上的適當(dāng)項(xiàng)目設(shè)置上下文��,以清楚地區(qū)分上下文中的所選項(xiàng)目的指令等�。同時(shí),集成體系提供了對所標(biāo)記項(xiàng)的搜索����、報(bào)告等,以便于瀏覽�。在瀏覽器視圖上設(shè)置參數(shù)也允許隱藏用戶不需要的功能。實(shí)際上���,如果需要�����,每個用戶或用戶帳號都可具有不同的偏愛��,它影響了向用戶顯示配置信息的方式����,配置信息包括過程控制系統(tǒng)配置信息和安全系統(tǒng)配置信息。
在配置活動以外���,與過程控制系統(tǒng)12和安全系統(tǒng)14相關(guān)的診斷活動也可集成在通用的程序和提供給用戶的通用視圖或顯示中�����。具體地,圖1的診斷程序82可提供診斷信息�����,并使用一通用接口為過程控制系統(tǒng)12和安全系統(tǒng)14執(zhí)行診斷活動�。在一個例子中,診斷程序82可以是一報(bào)警顯示程序�����,它接收任何類型的報(bào)警��,如過程報(bào)警/警報(bào)信號����、裝置報(bào)警/警報(bào)信號、通信報(bào)警/警報(bào)信號等,這些報(bào)警是由過程控制器24和26和安全邏輯解算器50-56產(chǎn)生或在其中檢測到的�����。由于過程控制器24和26以及安全邏輯解算器50-56傳送的消息因其與過程控制硬件/軟件或安全系統(tǒng)硬件/軟件相關(guān)��,而可區(qū)分��,因此這些報(bào)警或警報(bào)可集成在通用的顯示或通用的診斷程序中���,同時(shí)又保持跟蹤并顯示該報(bào)警的來源�,即報(bào)警是安全系統(tǒng)報(bào)警還是過程控制系統(tǒng)報(bào)警���,同時(shí)還保持追蹤報(bào)警是何時(shí)由過程控制系統(tǒng)12或安全系統(tǒng)14最初產(chǎn)生或打上時(shí)間標(biāo)記的�����。
更具體地��,由于圖1的診斷程序82可以按與前面所討論的關(guān)于配置程序80相同的方式來識別過程控制以及安全系統(tǒng)報(bào)警�,因此不需要把一種類型的報(bào)警映射到為其它類型報(bào)警構(gòu)造的顯示中����。而是���,程序82能夠簡單地應(yīng)用報(bào)警檢測,和在報(bào)警消息由邏輯解算器50-56或過程控制器24或26之一所創(chuàng)建時(shí)產(chǎn)生的時(shí)間標(biāo)記����,并在用戶界面上以任何適宜的格式來顯示該信息。然而���,診斷程序82能對由過程控制系統(tǒng)硬件或安全系統(tǒng)硬件接收而來的每個報(bào)警應(yīng)用一致的規(guī)則���,來確定報(bào)警的優(yōu)先級�����,控制報(bào)警的確認(rèn)�����,并使能/禁止過程控制和安全系統(tǒng)報(bào)警的功能���。
可以理解�����,要集中報(bào)警�����,過程控制器24和26內(nèi)的報(bào)警檢測軟件或邏輯就得進(jìn)行檢測����、標(biāo)上時(shí)間標(biāo)記、并發(fā)送報(bào)警給診斷程序82�,和通常在過程控制系統(tǒng)內(nèi)的一樣。此外��,安全邏輯控制器50-56內(nèi)的報(bào)警檢測軟件或邏輯檢測��、標(biāo)上時(shí)間標(biāo)記�����、并發(fā)送報(bào)警消息到診斷程序82�。過程控制報(bào)警消息(由控制器24和26發(fā)送)和安全系統(tǒng)報(bào)警報(bào)消息(由邏輯解算器50-56發(fā)送)的格式是類似的,二者具有同樣或通用的格式��,具有時(shí)間標(biāo)記字段���、報(bào)警名稱或類型字段等����。此外,消息具有一些指示��,如字段�����、地址或標(biāo)記等��,來識別消息或報(bào)警是起始于過程控制系統(tǒng)裝置還是安全系統(tǒng)裝置中�。隨后在報(bào)警顯示中,診斷程序82可利用該指示顯示特定的報(bào)警是安全系統(tǒng)報(bào)警還是過程控制系統(tǒng)報(bào)警����。此外����,診斷程序82可基于報(bào)警是安全系統(tǒng)報(bào)警還是過程控制系統(tǒng)報(bào)警,對任何報(bào)警提供不同的確認(rèn)�����、觀測和使能/禁止功能�����。例如,診斷程序82可根據(jù)報(bào)警是過程控制系統(tǒng)報(bào)警還是安全系統(tǒng)報(bào)警�,來把報(bào)警表示成不同色彩、處于顯示的不同區(qū)域����、或具有不同的名稱等等。類似地��,診斷程序82可通過任何類別����,如優(yōu)先級、名稱�、類型和/或報(bào)警是安全系統(tǒng)報(bào)警還是過程控制系統(tǒng)報(bào)警,來對報(bào)警進(jìn)行過濾或分類���。然而���,診斷程序82可用一套通用的規(guī)則來對安全系統(tǒng)和過程控制系統(tǒng)報(bào)警進(jìn)行分類(對于優(yōu)先級),以提供過程控制系統(tǒng)和安全系統(tǒng)中一致的報(bào)警類別��。此外���,報(bào)警的時(shí)間標(biāo)記會反映出在過程控制系統(tǒng)12或安全系統(tǒng)14內(nèi)首次檢測到報(bào)警的時(shí)間��,從而產(chǎn)生關(guān)于報(bào)警何時(shí)在過程控制和安全系統(tǒng)內(nèi)產(chǎn)生的更好���、更精確的信息�。
圖4示出了一個在工作站16中運(yùn)行�����,提供集成的過程控制和安全系統(tǒng)報(bào)警視圖的診斷程序82的例子����。一般來說,診斷程序82顯示與操作者的理解或能力相關(guān)的過程控制系統(tǒng)12和安全系統(tǒng)14的有關(guān)信息���,并針對過程中出現(xiàn)的報(bào)警�����,觀測過程當(dāng)前的運(yùn)行狀態(tài)?���?捎沙绦?2創(chuàng)建的顯示的例子在圖5中表示出來��,包括報(bào)警欄273���,其中具有報(bào)警指示;還包括主顯示271���,表示了過程設(shè)備的一部分�,此部分包括過程控制和安全系統(tǒng)裝置以及與過程設(shè)備中與報(bào)警欄中一個或多個報(bào)警有關(guān)的部分相關(guān)的其它裝置��。主顯示271可提供有關(guān)過程設(shè)備當(dāng)前狀態(tài)的信息��,如儲罐中液體的液位����、閥門和其它流體管線的流量特性、裝置的設(shè)定�、傳感器的讀數(shù)等。此外��,該顯示可表明安全裝置的當(dāng)前狀態(tài)����,如關(guān)閉閥門、開關(guān)等。因此�����,可以理解���,操作者可利用診斷程序82來觀測過程設(shè)備10內(nèi)的不同部分或裝置��,并且����,在此同時(shí)��,診斷程序82還與控制器24和26以及安全邏輯解算器50-56進(jìn)行通信�,必要的話,還與現(xiàn)場裝置40�����、42�、60和62以及設(shè)備內(nèi)的任何其它裝置進(jìn)行通信,以獲得與過程設(shè)備相關(guān)����,或在其中產(chǎn)生的相關(guān)數(shù)值、設(shè)定和測量值�����。
診斷程序82可配置成接收部分或所有控制器24或26��、I/O裝置28-36���、安全系統(tǒng)邏輯解算器50-56以及現(xiàn)場裝置40��、42���、60和62內(nèi)由報(bào)警產(chǎn)生軟件所產(chǎn)生的報(bào)警。此外����,診斷程序82可接收不同類別的報(bào)警,包括��,如過程報(bào)警(一般由過程控制軟件模塊或安全系統(tǒng)模塊所產(chǎn)生���,這些模塊例如由通信連接的功能塊所構(gòu)成�,形成在過程運(yùn)行期間使用的過程控制和安全程序)�����;硬件報(bào)警,例如����,由控制器24或26、I/O裝置30-36��、安全邏輯解算器50-56以及其它工作站16等所產(chǎn)生的有關(guān)這些裝置的狀態(tài)或功能條件的報(bào)警�����;以及裝置報(bào)警�����,它們由部分或所有現(xiàn)場裝置40�����、42�����、60和62產(chǎn)生以表示與這些裝置相關(guān)的問題����。這些或其它報(bào)警類別可以任何期望的方式產(chǎn)生�。當(dāng)然�,診斷程序82除了顯示報(bào)警產(chǎn)生的位置���,也就是說是在過程控制系統(tǒng)12中還是在安全系統(tǒng)14中之外����,還可顯示出某種類型的報(bào)警(如過程報(bào)警�、硬件報(bào)警和裝置報(bào)警)。
如果需要��,診斷程序82可基于一些因素接收并過濾報(bào)警信號���。具體地��,診斷程序82可根據(jù)運(yùn)行程序82的工作站�����、登錄到工作站的操作者或個人��、以及操作者可配置的設(shè)置如報(bào)警的類別���、類型(過程�����、硬件����、裝置等)��、優(yōu)先級���、狀態(tài)�����、產(chǎn)生時(shí)間���、來源(過程控制或安全系統(tǒng))等,來過濾報(bào)警��。例如�,程序82可過濾報(bào)警,以僅僅顯示來自設(shè)備中運(yùn)行程序82的工作站配置為接收的區(qū)域或部分的報(bào)警��。即,設(shè)備某些區(qū)域或部分的報(bào)警可以不在某些工作站上顯示����,而是每個工作站只限于顯示設(shè)備中一個或多個特定區(qū)域的報(bào)警。同樣地�,報(bào)警可通過操作者的識別來進(jìn)行過濾。具體地���,可限制操作者瀏覽某些類別、類型�、優(yōu)先級等的報(bào)警,或限制其瀏覽來自設(shè)備一部分或一子部分(如區(qū)域)的報(bào)警�。診斷程序82還可根據(jù)操作者的清理過濾出要顯示的報(bào)警。這些工作站和操作者過濾設(shè)置在此是指工作站和操作者范圍的控制�,可包括使某些操作者可瀏覽和處理過程控制報(bào)警和安全系統(tǒng)報(bào)警中任何一個或兩者的保護(hù)功能。
診斷程序82還可根據(jù)操作者可配置的設(shè)定��,包括����,如報(bào)警類別(如過程、裝置或硬件報(bào)警)���、報(bào)警類型(通信����、故障、警告�、維護(hù)等)、報(bào)警優(yōu)先級��、模塊�����、裝置�����、硬件��、節(jié)點(diǎn)或報(bào)警所屬的區(qū)域�����、報(bào)警是否被確認(rèn)或是否被抑制�、報(bào)警是否被激活、報(bào)警是過程控制報(bào)警還是安全系統(tǒng)報(bào)警��,等等�,來過濾可視報(bào)警(即在工作站和操作者范圍控制中的報(bào)警)���。
再參照圖4,診斷程序82表示成在圖1的一個工作站16中執(zhí)行��,該工作站還存儲并執(zhí)行通信軟件����,如通信層或堆棧262,它通過以太網(wǎng)連接22與控制器24和26進(jìn)行通信��,來接收控制器24和26��、安全邏輯模塊50-56���、I/O裝置28-36、現(xiàn)場裝置40���、42�����、60和62和/或其它工作站16所發(fā)送的信號����。通信層262最好還對要傳送給控制器、I/O裝置���、現(xiàn)場裝置���、安全邏輯解算器和其它工作站的消息,如報(bào)警確認(rèn)信號����,進(jìn)行格式化。通信軟件262可以是當(dāng)前連同如以太網(wǎng)通信所用的任何已知或期望的通信軟件����。當(dāng)然,通信堆棧262可連接到執(zhí)行其它功能的其它軟件���,如工作站16內(nèi)運(yùn)行的配置程序�����、診斷或其它過程程序���、數(shù)據(jù)庫管理程序等。
圖4的診斷程序82包括報(bào)警處理單元264,它接收來自通信層262的報(bào)警��,對這些報(bào)警進(jìn)行解碼�����,并把解碼后的報(bào)警存儲在數(shù)據(jù)庫266中�。診斷程序82還包括過濾器268,報(bào)警處理單元264使用它來確定哪些報(bào)警要顯示在與工作站16相關(guān)的用戶界面269(如CRT����、LCD、LED�、等離子顯示、打印機(jī)等)上���。過濾器268可將其設(shè)定存儲在數(shù)據(jù)庫266中���,這些過濾器設(shè)定可由用戶根據(jù)該用戶的偏愛進(jìn)行預(yù)配置和/或修改��。
一般地��,過濾器設(shè)置可控制報(bào)警的類別和優(yōu)先級�,如果需要,可利用一些不同的規(guī)則來建立報(bào)警顯示的順序。首先���,工作站和操作者范圍根據(jù)操作者識別和操作者所登錄的工作站����、報(bào)警是過程控制或安全系統(tǒng)報(bào)警���,等等����,來控制會影響特定操作者所能看見的內(nèi)容(哪些報(bào)警會顯示在特定的工作站上)����。在這種情況下,可向每個工作站分配操作許可�,沒有操作許可,報(bào)警信息和所有報(bào)警列表/摘要顯示都將是空的����,即報(bào)警處理單元264不會顯示任何類別(過程、硬件或裝置)�����、或任何來源(過程控制系統(tǒng)或安全系統(tǒng))的激活的或抑制的報(bào)警。而且�����,只有來自當(dāng)前操作者范圍(通常給操作者至少一個設(shè)備區(qū)域中的保護(hù)密鑰)中設(shè)備區(qū)域的報(bào)警�����,才合法地出現(xiàn)在該工作站的報(bào)警顯示中���。同樣�����,只有來自設(shè)備區(qū)域和沒有利用設(shè)備區(qū)域或單元過濾顯示來“關(guān)閉”的單元的報(bào)警信號才合法地出現(xiàn)在報(bào)警顯示中�����。以這種方式�����,過濾器268首先防止了工作站和操作者范圍以外的報(bào)警顯示,同時(shí)防止了來自由操作者關(guān)閉的設(shè)備區(qū)域或單元的報(bào)警的顯示����。
在測試完報(bào)警對工作站和操作者范圍控制的一致性以后��,過濾器268接著根據(jù)操作者的設(shè)置����,包括�����,如報(bào)警類別����、報(bào)警優(yōu)先級、報(bào)警類型��、報(bào)警的確認(rèn)狀態(tài)���、報(bào)警的抑制狀態(tài)��、報(bào)警時(shí)間��、報(bào)警的激活狀態(tài)��、報(bào)警來源(即來自過程控制系統(tǒng)或安全系統(tǒng))等���,過濾并確定出報(bào)警的顯示順序�。接收到的報(bào)警�,其是利用報(bào)警消息發(fā)送到程序82的,包括對應(yīng)于這些值中每一個的參數(shù)����,過濾器通過將報(bào)警的適當(dāng)參數(shù)與過濾器設(shè)置相比較,來過濾要顯示的報(bào)警�。報(bào)警處理單元264可根據(jù)報(bào)警產(chǎn)生的地址、報(bào)警消息內(nèi)的字段等�,檢測出報(bào)警的來源。盡管操作者可設(shè)定通過過濾器268的報(bào)警的顯示順序����,但該順序還可由預(yù)先配置的設(shè)置來確定,產(chǎn)生不同報(bào)警的更一致的顯示�����。
在任何情況下��,操作者都可根據(jù)操作者或用戶最感興趣的報(bào)警來源和/或報(bào)警類別來定制報(bào)警顯示的方式�����,可以是諸如過程報(bào)警、裝置報(bào)警�����、或硬件報(bào)警的一個類別的所有報(bào)警���,或者可以是諸如過程控制報(bào)警、安全系統(tǒng)報(bào)警的一個來源的所有報(bào)警����,或者是兩個或更多報(bào)警類別和來源的結(jié)合。用戶還可控制如何表示報(bào)警以及報(bào)警提供給什么樣的信息����。以這種方式,診斷程序82可用來使單個人就能執(zhí)行安全操作者和過程控制操作者的操作��?����;蛘?,在同一系統(tǒng)的不同時(shí)間中,過程控制操作者可用同一系統(tǒng)僅僅觀察過程控制報(bào)警���,而安全操作者可觀察安全報(bào)警�����。以這種方式��,同一診斷程序可由不同類型的人員在同一時(shí)刻(在不同的工作站)使用���,來觀察與過程控制系統(tǒng)12和安全系統(tǒng)14的操作功能相關(guān)的不同方面的報(bào)警���。
在報(bào)警處理單元264用過濾器268確定了哪個(些)報(bào)警應(yīng)該通過顯示器269顯示給用戶,以及報(bào)警應(yīng)該以什么順序顯示之后�����,報(bào)警處理單元264將該信息提供給用戶顯示界面270���,它可應(yīng)用任何標(biāo)準(zhǔn)的或期望的操作系統(tǒng)以任何期望的方式���,在報(bào)警顯示器269上顯示報(bào)警信息。當(dāng)然���,用戶顯示界面270還從數(shù)據(jù)庫266中或從通過通信層262從過程設(shè)備接收的其它通信信號中�����,獲得它所需要的其它信息�,如有關(guān)過程控制系統(tǒng)12和安全系統(tǒng)14的設(shè)計(jì)或配置的信息,以及在這些系統(tǒng)中參數(shù)值或信號等��。同樣��,用戶顯示界面270還從用戶請求接收指令�,如有關(guān)特定報(bào)警的更多信息�、對于報(bào)警或過濾器設(shè)置的改變、新的報(bào)警顯示等���,并把該信息提供給處理單元264����,然后其采取要求的動作��,在數(shù)據(jù)庫266中搜索報(bào)警信息�,等等,從而通過顯示器269為用戶提供新的報(bào)警畫面�����。
如前所述,不同類別或來源的報(bào)警�����,包括過程控制報(bào)警和安全報(bào)警���,被送到診斷程序82���,并由診斷程序82接收,以某方便的消息格式在顯示裝置269上進(jìn)行可能的顯示���。因此��,不同類別和類型的報(bào)警可集中在同一界面上�,為操作者提供關(guān)于過程控制系統(tǒng)和安全系統(tǒng)故障操作的更多信息��。通過在此描述的集成顯示���,操作者可在同一屏幕或顯示裝置上查看實(shí)際的過程控制和安全系統(tǒng)報(bào)警���,并可以同樣的方式對各報(bào)警進(jìn)行處理。
當(dāng)然,有多種方法在用戶界面上以集成的方式來顯示不同的過程控制和安全報(bào)警���。在一個實(shí)施例中��,對過程控制和安全系統(tǒng)報(bào)警的處理可類似于在顯示器上對過程報(bào)警的傳統(tǒng)處理方式�。因此���,操作者可按照與其確認(rèn)或抑制過程控制報(bào)警相同的方式來確認(rèn)或抑制安全報(bào)警��。同樣地,過程控制和安全系統(tǒng)報(bào)警可以按照表示報(bào)警的類型�、優(yōu)先級、名稱�����、過程部分����、狀態(tài)等的方式來顯示。此外���,與報(bào)警相關(guān)的主顯示可提供給用戶����,主顯示是這樣一種顯示��,其幫助用戶了解或查看報(bào)警來源����、或有關(guān)報(bào)警的硬件或軟件元件的功能��,如報(bào)警產(chǎn)生或與報(bào)警相關(guān)的模塊���、過程環(huán)路����、裝置��、節(jié)點(diǎn)��、區(qū)域等�����。主顯示可以是��,例如�,裝置的物理畫面����、裝置所處空間或區(qū)域的數(shù)字圖片或畫面����、與裝置有關(guān)的其它信息,如部分設(shè)備畫面�、表示設(shè)備實(shí)現(xiàn)過程中設(shè)備中裝置間連接的示意圖或概念圖等。報(bào)警的主顯示可由用戶創(chuàng)建�����,并可以��,例如適應(yīng)于模塊(對于過程報(bào)警)���、適應(yīng)于裝置(對于裝置報(bào)警)以及適應(yīng)于節(jié)點(diǎn)(對于硬件報(bào)警)或適應(yīng)于設(shè)備中與報(bào)警相關(guān)的區(qū)域或部分。主顯示還可調(diào)整為適用于不同的功能����。例如,過程報(bào)警主顯示可以適應(yīng)于過程操作功能�,裝置報(bào)警主控制顯示可適應(yīng)于現(xiàn)場裝置維護(hù)功能,而硬件主控制顯示可適應(yīng)于節(jié)點(diǎn)維護(hù)功能���。硬件報(bào)警的主顯示可以是��,例如�����,控制器所處位置的畫面�����、表示了所有硬件報(bào)警狀態(tài)的控制器I/O硬件的示意圖���,控制器所支持的單元的總體視圖或主顯示的導(dǎo)航按鈕�、維護(hù)過程列表等等����。同樣地,裝置報(bào)警的主顯示可由用戶創(chuàng)建����,并可以,例如適應(yīng)于裝置維護(hù)功能����。主顯示可存儲在數(shù)據(jù)庫266中(圖4)��,并可在使用主顯示選擇報(bào)警時(shí)訪問并在顯示器269上表示出�����。當(dāng)然���,對于不同的報(bào)警可使用相同或不同的主顯示。
在一個實(shí)施例中�,集成的報(bào)警信息在顯示器上,以例如在顯示器一邊緣處的報(bào)警欄的形式提供給用戶���。下面參考圖5�����,報(bào)警欄273位于屏幕的底部�。報(bào)警欄273包括第一行�,顯示由過程控制系統(tǒng)12和安全系統(tǒng)14所產(chǎn)生的���、且通過過濾器268到達(dá)顯示器的各種報(bào)警的指示�。至少一個在報(bào)警欄273中指示的報(bào)警能與過程控制系統(tǒng)和安全系統(tǒng)在主顯示271中描繪的部分相關(guān)�。根據(jù)過濾器268的過濾設(shè)定來決定報(bào)警欄273中顯示的特定的報(bào)警和這些報(bào)警的順序�����。一般來說�����,還沒有確認(rèn)或抑制(suppress)的最高優(yōu)先級的報(bào)警首先被顯示出來��,接著顯示下一最高優(yōu)先級的報(bào)警�,以此類推�。在圖5的示例屏幕中,最高優(yōu)先級報(bào)警274表示的是與名為PID101的控制程序相關(guān)的過程控制報(bào)警�。報(bào)警274用紅色顯示,來表示其優(yōu)先級是很高的�����。在報(bào)警欄273的第二行�����,報(bào)警信息區(qū)276顯示出與當(dāng)前所選的報(bào)警欄273中的報(bào)警相關(guān)的報(bào)警信息����。在圖5的例子中�����,選擇了過程控制報(bào)警274���,報(bào)警信息區(qū)276示出,報(bào)警274于星期五12:52:19產(chǎn)生�,與“罐16液位控制”相關(guān),具有標(biāo)號或名稱“PID101/HI_HI_ALM”��,具有高�����、高的優(yōu)先級���,是嚴(yán)重的(critical)報(bào)警����。如果報(bào)警274閃爍���,就意味著報(bào)警沒有被確認(rèn),而在報(bào)警欄273中穩(wěn)定的(不閃爍的)報(bào)警指示則意味著報(bào)警已由某些操作者或用戶確認(rèn)��。當(dāng)然,其它類型的報(bào)警信息也可在報(bào)警信息區(qū)276中顯示�����。
當(dāng)然���,報(bào)警欄273中的其它報(bào)警指示��,如報(bào)警指示278�,可以是在過程設(shè)備的相關(guān)區(qū)域或部分中����,與安全系統(tǒng)裝置相關(guān)的安全系統(tǒng)報(bào)警。該安全系統(tǒng)報(bào)警可以是任何類型的報(bào)警��,包括過程報(bào)警(由安全邏輯模塊產(chǎn)生)��、硬件報(bào)警(由安全邏輯解算器產(chǎn)生)和裝置報(bào)警(由安全系統(tǒng)現(xiàn)場裝置60����、62之一產(chǎn)生)。這些其它的報(bào)警指示可以是其它顏色��,如黃色、紫色等��,來表示與報(bào)警或其它報(bào)警源相關(guān)的其它級別的嚴(yán)重度或優(yōu)先級����。在選擇另一報(bào)警,如報(bào)警278���、280�、281或282時(shí)�����,有關(guān)該報(bào)警的報(bào)警信息會顯示在報(bào)警信息區(qū)域276中�����。觀察報(bào)警欄273中的報(bào)警�,操作者可確認(rèn)報(bào)警,并警告維護(hù)人員或工程師采取適當(dāng)?shù)膭幼鱽硇U龑?dǎo)致報(bào)警的條件��,或者���,可在過程控制系統(tǒng)或安全系統(tǒng)內(nèi)采取其它適當(dāng)?shù)牟襟E�,如重置某些設(shè)定點(diǎn)來緩解報(bào)警條件。當(dāng)用來只顯示過程控制報(bào)警時(shí)�����,圖5的顯示器類似于當(dāng)前DeltaV控制系統(tǒng)中提供的已知操作者顯示器���。然而,可以理解��,圖5的報(bào)警顯示集成了過程控制系統(tǒng)報(bào)警和安全系統(tǒng)報(bào)警兩者的顯示和控制�。
如前所示,通過選擇報(bào)警欄273中的一個報(bào)警(如報(bào)警274)����,示出了該報(bào)警的主顯示271。具體地����,如圖5所示,屏幕的主體包括主顯示271或與過程設(shè)備內(nèi)特定報(bào)警(所選擇的報(bào)警)相關(guān)的對應(yīng)硬件表示圖�����。在圖5的例子中���,硬件包括通過各種閥門和流體流動管線而相互連接的三個罐���,以及附在其上的各種傳感器���。該硬件表示圖表示了過程設(shè)備一部分內(nèi)的裝置,并提供了有關(guān)該裝置某些操作的一定信息���,如與罐��、傳感器等相關(guān)的某些值或參數(shù)�。所表示的裝置可以是過程控制裝置和安全系統(tǒng)裝置二者之一或兩者�。當(dāng)然,某些該信息可由存儲在數(shù)據(jù)庫266中的配置信息���、或來自過程控制系統(tǒng)和安全系統(tǒng)中的傳感器的信號提供����。在后一種情況下�����,該信息通過通信層262傳送上來�,并通過任何已知或期望的軟件提供給用戶顯示界面270�����。
還有�����,如圖5所示,為PID控制單元(模塊)描繪的“虛擬儀表”的面板272��,作為報(bào)警欄內(nèi)一個報(bào)警(在這種情況下�,即過程控制報(bào)警274)的附加信息表示出來。面板272提供了有關(guān)所選過程控制報(bào)警的進(jìn)一步的信息��,并識別控制單元(模塊PID101)的名稱和與該模塊相關(guān)的某些設(shè)置或參數(shù)���。目前�����,這種過程的圖形化描述的產(chǎn)生用于過程控制報(bào)警����,是本領(lǐng)域已知的�����,因此不再詳細(xì)描述。足以說明的是��,對過程設(shè)備部分或整體的這種���、或任何其它期望的圖形化或非圖形化描述�,都可顯示在屏幕上���,使用戶如操作者能觀察過程設(shè)備任何部分的操作功能或硬件功能����,包括過程控制系統(tǒng)實(shí)體和安全系統(tǒng)實(shí)體��。當(dāng)然�����,該顯示器可描繪出或表示出各硬件單元�、相關(guān)的硬件組、設(shè)備的部分或區(qū)域的方框圖或其它圖����,等等���。
再次參照圖4,診斷程序82還可包括激活的報(bào)警匯總控制程序290和抑制的報(bào)警匯總控制292��。這些程序可用來為用戶提供顯示���,表示系統(tǒng)中當(dāng)前激活報(bào)警或抑制報(bào)警的匯總����。當(dāng)然��,這些匯總可以接任何方式或樣式在顯示器269上組織和表示���,可以理解,這些匯總可將過程控制系統(tǒng)報(bào)警和安全系統(tǒng)報(bào)警在同一顯示或列表中匯總到一起���,或者如果需要的化��,將其分開�����。當(dāng)然����,診斷程序82還可包括保護(hù)程序294,它執(zhí)行適當(dāng)?shù)谋Wo(hù)過程�����,以決定用戶是否可瀏覽和操縱任何特定的報(bào)警�。具體地,保護(hù)程序294可實(shí)現(xiàn)一組規(guī)則����,該規(guī)則設(shè)計(jì)用來控制哪些用戶可瀏覽過程控制和/或安全系統(tǒng)報(bào)警、哪些用戶可通過確認(rèn)這些報(bào)警����、抑制這些報(bào)警來對這些報(bào)警進(jìn)行操縱,等等�。這樣,保護(hù)程序294可使特定用戶能夠確認(rèn)或抑制某些過程控制報(bào)警而不能確認(rèn)或抑制安全系統(tǒng)報(bào)警���,允許另一用戶能確認(rèn)或抑制某些安全系統(tǒng)報(bào)警而不能確認(rèn)或抑制過程控制報(bào)警���,并允許另一用戶能確認(rèn)或抑制該兩種類型的報(bào)警。當(dāng)然�,對于瀏覽過程控制和安全系統(tǒng)報(bào)警��、確認(rèn)這些報(bào)警�、抑制這些報(bào)警等�����,可建立和執(zhí)行不同的規(guī)則或權(quán)限���。如果需要���,各種類型的報(bào)警可一起顯示,這樣���,例如安全裝置報(bào)警就可和過程控制裝置報(bào)警一起顯示�����,而安全過程報(bào)警可以和過程控制系統(tǒng)過程報(bào)警一起顯示,安全硬件報(bào)警可以和過程控制系統(tǒng)硬件報(bào)警一起顯示��。當(dāng)然�����,可根據(jù)報(bào)警類型和報(bào)警來源、或它們的任何組合���,來一起瀏覽��、或分開瀏覽這些不同的報(bào)警�����。
更進(jìn)一步�,安全報(bào)警和事件可以與過程報(bào)警和事件一起��,電子存儲在同一數(shù)據(jù)庫中�����,在存儲到數(shù)據(jù)庫中時(shí)��,每個報(bào)警都被編上時(shí)間(time chronicled)�。因此,過程報(bào)警和事件的編上時(shí)間的歷史記錄與安全報(bào)警和事件的編上時(shí)間的歷史記錄集成到一起����,該集成的數(shù)據(jù)庫可用來根據(jù)其中發(fā)生的報(bào)警和事件,更方便地觀察和決定過程控制系統(tǒng)12和安全系統(tǒng)14之間的相互作用。
可以理解����,診斷程序82可使用上面關(guān)于配置程序80描述的相同的用戶帳號和權(quán)限,來定義不同的診斷或報(bào)警瀏覽訪問權(quán)限���,這些權(quán)限能設(shè)定成使不同用戶實(shí)體根據(jù)報(bào)警類型�����、報(bào)警來源(過程控制或安全系統(tǒng))等�����,來瀏覽���、確認(rèn)、關(guān)閉(啟動或禁止)報(bào)警�����?�?梢岳斫?,一些用戶只可瀏覽、確認(rèn)或關(guān)閉過程控制系統(tǒng)報(bào)警�����,或只可瀏覽���、確認(rèn)或關(guān)閉安全系統(tǒng)報(bào)警�����,或二者中的一些或全部��。此外����,可根據(jù)對程序82進(jìn)行訪問的用戶實(shí)體���,為每個用戶帳號關(guān)聯(lián)偏好(preference)�����,使診斷(如報(bào)警瀏覽)程序82能自動提供不同的視圖�、過濾器設(shè)置等��。
盡管把集成的報(bào)警(警告)瀏覽程序作為集成診斷程序82的例子進(jìn)行了討論,也可以使用其它類型的集成的診斷程序�����。具體地�,診斷程序82可示出過程設(shè)備中區(qū)域、單元��、裝置��、控制器�、模塊、邏輯單元等等的分級視圖��,使用戶能獲得裝置內(nèi)包含的任何診斷信息���,如包含在設(shè)備內(nèi)裝置或設(shè)備中的信息��。這種分級視圖可類似于圖3的配置圖����,但對于每個與不同區(qū)域���、單元等相關(guān)的過程控制和安全系統(tǒng)����,表示了不同的裝置�、模塊等。利用該視圖���,用戶可深入到一過程區(qū)域����、單元等��,到達(dá)過程控制系統(tǒng)裝置���、模塊��、功能塊等����,或到達(dá)安全系統(tǒng)裝置����、模塊、功能塊等之一(或二者兼到)��。在視圖的任一點(diǎn),用戶能夠訪問或?yàn)g覽當(dāng)前從裝置���、模塊����、功能塊等可得或與其有關(guān)的診斷數(shù)據(jù)��,包括由裝置����、模塊、功能塊等自身產(chǎn)生的診斷數(shù)據(jù)�����,或使用其它工具��,如與該實(shí)體相關(guān)的校準(zhǔn)和測試工具(可以是硬件和軟件工具)來確定的診斷數(shù)據(jù)����。該診斷數(shù)據(jù)包括可使用健康數(shù)據(jù)、模式和狀態(tài)數(shù)據(jù)����、當(dāng)前設(shè)置或操作參數(shù)數(shù)據(jù)����,或可從裝置獲得的任何其它數(shù)據(jù)�。以這種方式���,用戶可利用診斷程序82來獲得對過程控制系統(tǒng)裝置和安全系統(tǒng)裝置兩者的當(dāng)前健康狀態(tài)的組合的�����、集成的了解��,并通過通用程序甚至是通過通用顯示屏���,來實(shí)現(xiàn)對設(shè)備中任何診斷數(shù)據(jù)的訪問。
此外��,這種診斷程序82可提供匯總視圖�,包含了來自過程控制系統(tǒng)裝置和/或安全系統(tǒng)裝置之一或兩者的診斷數(shù)據(jù)。此外�,集成的視圖可向上滾動,從而可以以匯總或組合的方式來瀏覽單元��、區(qū)域等的診斷數(shù)據(jù)��,從而可以利用來自該區(qū)域、單元等的過程控制系統(tǒng)裝置和安全系統(tǒng)裝置兩者的診斷數(shù)據(jù)��,來確定有關(guān)該區(qū)域�����、單元等的全面集成�����。如果需要�����,診斷工具還可以存儲在該診斷程序中��,或由該診斷程序來實(shí)現(xiàn)�。例如,控制回路調(diào)節(jié)器(例如����,可以用于安全系統(tǒng)控制回路或過程控制系統(tǒng)控制回路)可存儲在診斷程序82中并從其中運(yùn)行。當(dāng)有關(guān)控制回路或模塊的診斷數(shù)據(jù)表示控制回路調(diào)節(jié)不良����、或沒有在期望的容限內(nèi)運(yùn)行時(shí)�����,用戶可選擇運(yùn)行該工具���。其它診斷工具可包括用于任何類型的裝置、邏輯模塊等上的校準(zhǔn)和測試工具����。
更進(jìn)一步����,可在工作站16(圖1)中運(yùn)行通用的保護(hù)程序,來為該工作站提供保護(hù)����,使用戶僅能登錄到該工作站一次(通過如用戶帳號),并能夠根據(jù)分配給用戶實(shí)體和工作站16的權(quán)限�,來對過程控制系統(tǒng)12和安全系統(tǒng)14之一或兩者運(yùn)行不同程序,如配置/授權(quán)(commission)��、下載�、瀏覽和操作(即寫入?yún)?shù)值)。通過通用保護(hù)程序的這種程序的集成��,使用戶能更方便地管理綜合功能(例如,有一個地方來報(bào)警優(yōu)先級��、保護(hù)等進(jìn)行配置)����,還可使用戶更方便地?cái)U(kuò)展系統(tǒng)、修改系統(tǒng)(因?yàn)樵谥亟ㄏ到y(tǒng)時(shí)不需要映射了)以及升級系統(tǒng)(因?yàn)閷τ谶^程控制系統(tǒng)和安全系統(tǒng)可使用單一的協(xié)調(diào)(coordinated)的升級策略)���。此外��,用戶可隨著需求的增長���,作為整體或部分地管理裝置、控制系統(tǒng)和安全系統(tǒng)的升級��。此外�����,用戶不必分離地測試系統(tǒng)的不同部件�,希望當(dāng)所有部件到位時(shí)任何部件都能夠一起運(yùn)行,因?yàn)橄到y(tǒng)集成的性質(zhì)使得它們能一起配置���、測試和診斷��。
圖6示出設(shè)置在圖1的一個工作站16中的保護(hù)程序300���,它可針對圖1中集成的過程控制系統(tǒng)和安全系統(tǒng)內(nèi)所采取的動作(如讀和寫)���,根據(jù)該動作(如讀或?qū)?是與過程控制系統(tǒng)裝置相關(guān)還是與安全系統(tǒng)裝置相關(guān),來自動執(zhí)行保護(hù)過程���。盡管保護(hù)程序300表示成一個獨(dú)立的程序��,但可以理解該程序可以合并到圖1的操作者工作站16(或任何其它計(jì)算機(jī))所用的任何其它程序中�����,來確保以受保護(hù)的方式對安全系統(tǒng)14(如果需要,可以是過程控制系統(tǒng)12)讀出或?qū)懭?����。此外�����,盡管保護(hù)程序300可用作前述配置程序80和診斷程序82的一部分(如子程序),但它還可用于任何用戶界面程序85中���,使用戶對過程控制系統(tǒng)或安全系統(tǒng)進(jìn)行修改或?qū)懭?���,或?yàn)g覽有關(guān)這些系統(tǒng)的信息��。此外��,可以理解�����,保護(hù)程序300可相對于配置和診斷程序80和82建立并執(zhí)行前面討論過的用戶帳號和訪問權(quán)限���。
圖6中示出的保護(hù)程序300�����,如前面參照圖4討論�����,在工作站16內(nèi)����,在通信層262和用戶顯示界面270之間通信連接,它包括保護(hù)處理單元301����,其針對從或向過程控制系統(tǒng)12或安全系統(tǒng)14的任何期望的讀出或?qū)懭耄瑘?zhí)行保護(hù)過程��。保護(hù)程序300可存儲一組安全系統(tǒng)規(guī)則302和一組過程控制系統(tǒng)規(guī)則304�����,它們定義了分別對安全系統(tǒng)14和過程控制系統(tǒng)12讀出或?qū)懭脒M(jìn)行的保護(hù)的類型和性質(zhì)�。保護(hù)處理單元301可與用戶顯示界面270結(jié)合進(jìn)行操作,來檢測過程控制系統(tǒng)12和安全系統(tǒng)14內(nèi)各元件的讀出或?qū)懭胍蟆?br>
根據(jù)來自用戶顯示界面270���、有關(guān)請求讀寫活動的信息����,保護(hù)處理單元301可利用一來源/目標(biāo)導(dǎo)出(derivation)文件306來確定請求的讀寫是有關(guān)過程控制系統(tǒng)元件(或參數(shù))還是有關(guān)安全系統(tǒng)元件(或參數(shù))���。來源/目標(biāo)導(dǎo)出文件306可簡單地提供有關(guān)由用戶界面產(chǎn)生的顯示中的哪些字段對應(yīng)于過程設(shè)備的哪些元件的信息,且如果需要�,還可存儲與用戶界面顯示中顯示區(qū)域的目標(biāo)相關(guān)的標(biāo)記或地址,從而使保護(hù)處理單元301能確定用戶顯示器上具體的動作或請求是關(guān)于過程控制系統(tǒng)元件的還是關(guān)于安全系統(tǒng)元件的。如果需要的話�,保護(hù)處理單元301還可以或作為替代而使用存儲在配置數(shù)據(jù)庫310中的配置信息,來確定具體的元件是安全系統(tǒng)元件還是過程控制系統(tǒng)元件�。在任何情況下,在確定了請求的動作有關(guān)過程控制系統(tǒng)元件還是安全系統(tǒng)元件之后(且一般來說�����,是在確定了與從或向元件請求讀出或?qū)懭胂嚓P(guān)的地址或標(biāo)記之后)�,保護(hù)處理單元301可存取安全規(guī)則302或過程控制規(guī)則304,來確定是否允許這個讀或?qū)?,并且如果允許的話,確定針對該讀或?qū)憟?zhí)行哪些保護(hù)過程��。
例如�����,利用用戶顯示269�����,用戶可請求改變安全系統(tǒng)裝置內(nèi)的參數(shù)����,例如��,與檢測故障條件相關(guān)的設(shè)定點(diǎn)����。保護(hù)處理單元301(通常與設(shè)計(jì)成允許這些寫入的程序相結(jié)合����,或作為該程序的一部分)將通過確定請求寫入的參數(shù)的地址或標(biāo)記,來確定該寫入的目標(biāo)�����。這樣的地址或標(biāo)記可以存儲在來源/目標(biāo)導(dǎo)出文件306中��,或通過其得出����。根據(jù)地址或標(biāo)記,保護(hù)處理單元301將確定該請求是對安全系統(tǒng)參數(shù)作出的還是對過程控制系統(tǒng)參數(shù)作出的�����。如果針對安全系統(tǒng)參數(shù)作出請求�����,則保護(hù)處理單元301就使用安全規(guī)則數(shù)據(jù)庫302中的規(guī)則�,來確定該寫入是否得到允許,即�����,用戶是否具有適當(dāng)?shù)臋?quán)限來對該單元寫入�����。在一些情況中���,用戶界面程序可能已經(jīng)了解了用戶的身份�,并通過把用戶界面屏幕中用戶不能寫入的部分變灰�,來預(yù)先指明用戶的寫入能力。其它情況中����,在保護(hù)處理單元301的提示下,用戶界面程序可在請求的寫入動作之前��,要求用戶提供密碼和用戶標(biāo)識�,并針對適當(dāng)?shù)臋?quán)限核查該密碼和標(biāo)識。
另一方面����,如果向過程控制系統(tǒng)裝置請求寫入����,則保護(hù)處理單元301可存取過程控制規(guī)則數(shù)據(jù)庫304中的規(guī)則(或存取權(quán)限)�����,來確定用戶在過程控制系統(tǒng)內(nèi)是否具有適當(dāng)?shù)臋?quán)限來進(jìn)行請求的寫入����。可以理解�����,保護(hù)處理單元301可對于讀和寫執(zhí)行相同的或不同的保護(hù)規(guī)則����,也可以對于對過程控制系統(tǒng)元件和安全系統(tǒng)元件的動作執(zhí)行相同的或不同的保護(hù)。在任何情況下���,當(dāng)保護(hù)處理單元301確定該用戶(除使用用戶界面的人員以外�,也可以是程序)具有請求讀或?qū)懙倪m當(dāng)權(quán)限時(shí),保護(hù)處理單元301使通信層262發(fā)送適當(dāng)?shù)南韺^程控制或安全系統(tǒng)裝置進(jìn)行讀或?qū)?��。此外,保護(hù)處理單元301還可執(zhí)行讀或?qū)懰枰娜魏纹渌Wo(hù)過程(存儲在規(guī)則數(shù)據(jù)庫302或304中)��,如寫認(rèn)證過程��。
圖7示出了簡單的顯示屏320���,表示利用保護(hù)程序300所提供的保護(hù)����,使用戶能對過程控制系統(tǒng)元件和安全系統(tǒng)元件兩者讀出或?qū)懭氲挠脩艚缑?����。具體地����,顯示屏320的左側(cè)與具體的過程控制系統(tǒng)元件的過程控制系統(tǒng)讀和寫相關(guān),而顯示屏320的右側(cè)則與具體的安全系統(tǒng)元件的安全系統(tǒng)讀和寫相關(guān)��。
如從圖7可以了解到的��,用戶(或底層程序)可查看(讀出)與名為CNTRLOOP1的過程控制系統(tǒng)控制回路相關(guān)的值�����,包括在該回路中當(dāng)前測量的各種溫度、壓力和流量值�。這些讀數(shù)可以是持續(xù)的(非用戶可變的),如顯示區(qū)域320中字段321所示���。此外�����,用戶可瀏覽名為CNTRLOOP1的控制回路內(nèi)當(dāng)前所用的溫度設(shè)定點(diǎn)和控制器增益���。如果需要,用戶可通過在字段322和324內(nèi)輸入與溫度設(shè)定點(diǎn)和控制器增益相關(guān)的新的值��,來改變這些值�。
以類似的方式,用戶可使用顯示320查看并修改有關(guān)安全系統(tǒng)元件的信息�����。具體地���,屏幕320的右側(cè)表示與安全系統(tǒng)回路相關(guān)的信息(例如�����,可以是與控制回路CNTRLOOP1所控制的硬件相關(guān)的)��。在這種情況下��,可以表示某些安全系統(tǒng)值���,如關(guān)閉閥和壓力開關(guān)的當(dāng)前狀態(tài)(如325處所示)。此外�,在字段326和328可表示用戶可配置的安全系統(tǒng)參數(shù),如名為TANK1(罐1)的罐關(guān)閉填充液位�����,以及名為TANK1和TANK2的罐的關(guān)閉溫度��,在該字段還允許用戶修改這些參數(shù)�。
一般來講,屏幕320的各區(qū)域與過程控制系統(tǒng)或安全系統(tǒng)內(nèi)的地址或元件相關(guān)聯(lián)���,該關(guān)聯(lián)可以存儲在來源/目標(biāo)導(dǎo)出文件306中(圖6)����。在任何情況下,圖6的保護(hù)程序300可用來在一特定用戶試圖修改一可寫參數(shù)時(shí)��,確保該用戶具有進(jìn)行該動作的適當(dāng)級別�����。這樣�,僅僅當(dāng)用戶或請求程序具有適當(dāng)?shù)臋?quán)限或許可時(shí),保護(hù)程序300才可訪問并允許從過程控制或安全系統(tǒng)讀出參數(shù)��。由于使用了地址����、標(biāo)記或其它字段的通用通信格式來區(qū)分過程控制系統(tǒng)元件和安全系統(tǒng)元件,因此對于過程控制系統(tǒng)的讀出和寫入以及安全系統(tǒng)的讀出和寫入����,保護(hù)程序300可輕易將其區(qū)分并執(zhí)行分離的保護(hù)功能(根據(jù)屏幕320內(nèi)的區(qū)域),從而使這些讀出和寫入可從一通用用戶界面程序中來進(jìn)行�����。當(dāng)然����,保護(hù)程序300可結(jié)合用戶界面程序運(yùn)行���,使顯示320上用戶不具有讀出或?qū)懭霗?quán)限的區(qū)域變灰。盡管在此描述了保護(hù)程序300對過程控制系統(tǒng)和安全系統(tǒng)(以及其中的裝置和其它實(shí)體)提供讀和寫的保護(hù)�����,但可以理解�����,保護(hù)程序300還可對不同程序執(zhí)行其它級別的訪問�,如允許或阻止邏輯模塊的產(chǎn)生���、下載邏輯模塊�����、執(zhí)行校準(zhǔn)過程�、觀察��、確認(rèn)和啟動/禁止報(bào)警���,等等�����。
可以理解�,與過程控制系統(tǒng)值相比,用戶保護(hù)對于安全系統(tǒng)值是獨(dú)特地定義的�,在過程控制系統(tǒng)值之上,可對安全系統(tǒng)值進(jìn)行在線用戶修改上的附加保護(hù)����,這些附加保護(hù)由安全規(guī)則數(shù)據(jù)庫302和過程控制規(guī)則數(shù)據(jù)庫304定義(圖6)。事實(shí)上���,這是識別安全系統(tǒng)值和過程控制系統(tǒng)值之間差別的能力�����,其使得能夠?qū)崿F(xiàn)對安全系統(tǒng)值的獨(dú)特處理�。因此�����,通過應(yīng)用保護(hù)程序300�����,任何程序都可自動識別安全系統(tǒng)的讀和寫,并確保正確的保護(hù)以及寫認(rèn)證是適當(dāng)?shù)?,以改變過程設(shè)備10內(nèi)的值。該自動執(zhí)行寫保護(hù)的方法可用來保證送到安全控制器的寫入值是有效的���,從而消除了使用其它類型方案所需的大量的用戶編程��。
作為保護(hù)過程的例子��,以下將更具體地描述一種進(jìn)行安全寫入的方法��。作為背景�,只要安全系統(tǒng)的操作參數(shù)發(fā)生改變�,IEC61511標(biāo)準(zhǔn)就需要重復(fù)確認(rèn)步驟����。保護(hù)處理單元301可自動執(zhí)行該重復(fù)確認(rèn)步驟,確認(rèn)其是否定義為安全規(guī)則數(shù)據(jù)庫302內(nèi)要對安全系統(tǒng)寫入執(zhí)行的過程���。這樣���,利用規(guī)則數(shù)據(jù)庫302���,保護(hù)程序300可在對于安全系統(tǒng)的所有寫入中執(zhí)行重復(fù)的確認(rèn)步驟(或任何其它過程),而不需要用戶方任何附加的編程或特殊的配置�����。
該IEC標(biāo)準(zhǔn)表述為一種方法�,其指出了一種期望,即防止操作者選擇錯誤的項(xiàng)進(jìn)行修改�,或不理解修改的過程意義,并有助于防止消息的訛誤�����。為執(zhí)行該標(biāo)準(zhǔn)�,大多數(shù)已知的集成過程控制和安全系統(tǒng)從過程控制系統(tǒng)向安全系統(tǒng)映射數(shù)據(jù),然后在發(fā)送要改變安全系統(tǒng)的單個消息之前����,在操作者圖形內(nèi)創(chuàng)建“是否確定”的對話框。
然而��,下面將具體描述一種更安全的方法����,它執(zhí)行可用于所有程序如操作程序���、配置程序和診斷程序的寫保護(hù)特征。值得注意的是�����,該技術(shù)或特征可應(yīng)用于任何用戶自任何程序向安全邏輯解算器發(fā)起的改變或動作中����,并因此可以用于利用任何指令,如許可指令�、下載指令、鎖定指令�����、切換指令等�����,改變安全系統(tǒng)邏輯解算器中的值���。此外,以下描述的寫保護(hù)特征可對在任意兩個應(yīng)用程序之間傳送的任何消息執(zhí)行����,從而提供了增強(qiáng)的保護(hù)��,來防止突發(fā)性的訛誤和未經(jīng)授權(quán)的修改�,如由黑客���、病毒等所引起的破壞���。
要實(shí)現(xiàn)寫保護(hù)特征,寫保護(hù)服務(wù)器350(圖6)設(shè)置在主機(jī)16中�,且如圖1所示,寫保護(hù)客戶機(jī)360設(shè)置在過程控制系統(tǒng)控制器24或26中(稱為控制器客戶機(jī)360)����,寫保護(hù)客戶機(jī)380設(shè)置在安全邏輯解算器50-56中(稱為邏輯解算器客戶機(jī)370)。當(dāng)用戶或其它類型的程序啟動修改指令時(shí)�,保護(hù)程序首先認(rèn)證該用戶(或程序)具有進(jìn)行修改所需的訪問權(quán)限或許可。如果是這樣�,寫保護(hù)服務(wù)器350和客戶機(jī)360、370就運(yùn)行���,來確保該用戶試圖進(jìn)行修改���,并確保在從主機(jī)16向控制器24或26��,或從控制器24或26向安全邏輯解算器50-56的傳送期間����,該消息沒有訛誤�。此外,寫保護(hù)服務(wù)器350和客戶機(jī)360���、370確保了該消息到達(dá)正確的目的地����,同時(shí)防止了錯誤產(chǎn)生的消息引起變化�。
一般來說,一旦從用戶或其它類型程序接收到修改指令�,寫保護(hù)服務(wù)器350將需要的數(shù)據(jù),如目標(biāo)���、要修改的參數(shù)���、值等,和該修改指令進(jìn)行打包�,并加入一為該數(shù)據(jù)包或消息創(chuàng)建的循環(huán)冗余校驗(yàn)(CRC)字段����。寫保護(hù)服務(wù)器350接著發(fā)送帶有CRC的修改指令到確認(rèn)該修改指令的適當(dāng)?shù)目刂破骺蛻魴C(jī)360(且如果需要�����,可向?qū)懕Wo(hù)服務(wù)器350回送一響應(yīng)�,具有控制器客戶機(jī)360所收到的具體內(nèi)容作為修改信息)�����。寫保護(hù)服務(wù)器350對用戶顯示修改的信息���,如名稱����、項(xiàng)目描述符和請求修改的內(nèi)容���,以便認(rèn)證���。如果需要,寫保護(hù)服務(wù)器350可使用來自發(fā)送到控制器客戶機(jī)360的修改指令的修改數(shù)據(jù)����,來確保用戶對實(shí)際發(fā)送到控制器客戶機(jī)360的信息進(jìn)行認(rèn)證����。另一方面�,如果控制器客戶機(jī)360把控制器客戶機(jī)360所收到的修改數(shù)據(jù)發(fā)送回寫保護(hù)服務(wù)器350,寫保護(hù)服務(wù)器350就可向用戶顯示該信息以供認(rèn)證���。
寫保護(hù)服務(wù)器350可通過如用戶顯示器上的對話框��,向用戶顯示修改信息��,使用戶確認(rèn)(通過選擇對話框中的OK或確認(rèn)按鈕)該修改信息是正確的�。在經(jīng)過用戶(或如果需要��,經(jīng)過程序)認(rèn)證之后�,寫保護(hù)服務(wù)器350發(fā)送第二修改指令(重復(fù)的修改指令)到控制器客戶機(jī)360,修改細(xì)節(jié)已經(jīng)過用戶認(rèn)證�����。具體地�����,寫保護(hù)程序服務(wù)器350打包該修改指令數(shù)據(jù)(用戶認(rèn)證過的),包括�����,如目的地�����、要修改的參數(shù)�����、值等�,以及為該數(shù)據(jù)包或消息創(chuàng)建的CRC���,并發(fā)送該第二修改指令到控制器客戶機(jī)360���。應(yīng)該注意的是,如果沒有發(fā)生任何訛誤��,第一修改指令(及CRC數(shù)據(jù))與第二或重復(fù)修改指令(及其CRC數(shù)據(jù))應(yīng)該是相同的�。
在收到第二或重復(fù)修改指令后,控制器客戶機(jī)360比較第二修改指令和第一修改指令����,看它們是否相同(意味著沒有發(fā)生訛誤�����,且用戶確認(rèn)了第一修改指令中提供的修改信息)���。如果需要,控制器客戶機(jī)360可簡單地確定該兩條修改消息是否相同或具有相同的CRC數(shù)據(jù)���。另外�����,控制器客戶機(jī)360可對信息進(jìn)行解碼來看修改信息是否每個都相同��,盡管該操作在某些安全系統(tǒng)中是不允許的����。如果消息或修改信息相同���,控制器客戶機(jī)360就發(fā)送修改請求給適當(dāng)?shù)倪壿嫿馑闫骺蛻魴C(jī)370���。如果需要�,該修改請求可包括來自第一和第二修改指令兩者的修改信息����。另外,來自兩條修改指令的CRC數(shù)據(jù)�,以及來自一條指令如第一修改指令的修改數(shù)據(jù),可作為控制器客戶機(jī)360修改請求的一部分發(fā)送到邏輯解算器客戶機(jī)370����。
邏輯解算器客戶機(jī)370接收修改請求����,并對該請求解碼,以確保修改請求發(fā)送到正確的位置��,并且沒有訛誤�。這些步驟可包括校驗(yàn)一個或兩個CRC數(shù)據(jù)包來確定CRC信息是否正確地對應(yīng)于封裝的修改信息、確定CRC數(shù)據(jù)包是否相同(其應(yīng)該相同)����、并確定修改的目標(biāo)是否位于或通過安全邏輯解算器。如果來自兩條修改指令的修改信息處于同一消息中��,邏輯解算器客戶機(jī)則再次檢驗(yàn)以確定修改信息是否相同���,來確保在從控制器客戶機(jī)360向邏輯解算器客戶機(jī)370傳送過程中沒有發(fā)生訛誤�。如果邏輯解算器客戶機(jī)370確定修改消息是正確的,則邏輯解算器客戶機(jī)370可使邏輯解算器50-56執(zhí)行修改操作�����,并向控制器客戶機(jī)360發(fā)回修改已執(zhí)行的確認(rèn)�。控制器客戶機(jī)360可把該確認(rèn)信息發(fā)送到寫保護(hù)服務(wù)器350�����,其為用戶顯示修改已執(zhí)行的確認(rèn)�。如果在過程中任一處發(fā)生錯誤,邏輯解算器客戶機(jī)370和/或控制器客戶機(jī)360可向?qū)懕Wo(hù)服務(wù)器350告知該錯誤以及有關(guān)該錯誤的任何已知細(xì)節(jié)(如CRC不匹配���、信息到達(dá)了不正確的目的地�,等等)�。寫保護(hù)服務(wù)器350于是可通知用戶修改沒有實(shí)現(xiàn),并告知與寫過程中發(fā)生的錯誤有關(guān)的任何所需要的細(xì)節(jié)����。
作為一個例子,用戶可通過顯示屏上的寫保護(hù)對話框輸入一期望的改變�����。在確定用戶是否有權(quán)修改之后,程序呼叫寫保護(hù)服務(wù)器350�����,傳送該路徑�����、參數(shù)類型和當(dāng)前值給寫保護(hù)服務(wù)器350����。寫保護(hù)服務(wù)器接著產(chǎn)生一帶有指令(參數(shù)���、改變)�、路徑��、新的值和CRC的寫保護(hù)請求��,并發(fā)送該寫保護(hù)請求給適當(dāng)?shù)倪^程控制系統(tǒng)控制器24或26�����。寫保護(hù)服務(wù)器350使用來自發(fā)送到控制器24或26上的CRC數(shù)據(jù)的一個拷貝的數(shù)據(jù),為用戶創(chuàng)建確認(rèn)對話框�。對話框可表示路徑和值,寫保護(hù)服務(wù)器350只有當(dāng)修改指令已由適當(dāng)?shù)目刂破?4或26確認(rèn)后����,才使對話框中確認(rèn)或OK按鈕可用。在收到修改指令之后���,控制器24或26內(nèi)的控制器客戶機(jī)360確收該修改指令�����,并把經(jīng)過CRC的數(shù)據(jù)項(xiàng)存儲在對應(yīng)的模塊或方框中�。
在這一點(diǎn)上��,用戶認(rèn)證確認(rèn)對話框中的值是正確的���,并選擇確認(rèn)或OK按鈕�。寫保護(hù)服務(wù)器350于是產(chǎn)生第二或重復(fù)修改指令(第二條信息)�����,包含指令(參數(shù)、改變)���、路徑�、來自確認(rèn)對話框的值以及該數(shù)據(jù)的CRC�����,并發(fā)送該信息到控制器客戶機(jī)360�。過程控制器24、26接收第二或重復(fù)修改指令����,并將本指令中經(jīng)過CRC的數(shù)據(jù)項(xiàng)與早期存儲的(與第一修改指令相關(guān)的)相比。如果它們相同����,該兩項(xiàng)(例如����,具有CRC的整個第一修改指令和來自第二修改指令的CRC)被放置到修改請求中,以便發(fā)送到適當(dāng)?shù)倪壿嫿馑闫?0-56��。因此����,只有認(rèn)證過的修改請求被發(fā)送到安全邏輯解算器50-56��,這進(jìn)一步降低了進(jìn)行未授權(quán)修改的幾率���,且在控制器客戶機(jī)中可檢測出由于控制網(wǎng)絡(luò)通信、工作站問題或控制器問題而引起的任何訛誤���。
邏輯解算器客戶機(jī)370接收修改指令并確認(rèn)兩個CRC相匹配����。邏輯解算器客戶機(jī)370于是取出消息內(nèi)的修改數(shù)據(jù)����,并認(rèn)證該數(shù)據(jù)的CRC。如果CRC是適當(dāng)?shù)幕蛘_的�����,則校驗(yàn)路徑�����,以確保消息被送到正確的位置���。后一個認(rèn)證步驟保證了在控制器24�、26到安全邏輯解算器50-56的通信路徑中沒有發(fā)生任何訛誤。當(dāng)邏輯解算器客戶機(jī)370認(rèn)證所有校驗(yàn)是恰當(dāng)時(shí)����,該值就被寫入到參數(shù)中,寫的狀態(tài)就被返回到控制器客戶機(jī)360�,接著控制器客戶機(jī)可向?qū)懕Wo(hù)服務(wù)器350提供認(rèn)證消息,來顯示給用戶�。
通過應(yīng)用該過程,最初的請求和確認(rèn)后的請求都由人員��、控制器和安全邏輯解算器比較�����,這使該過程比其它只提供人為比較而沒使用兩次請求的已知方案更安全�����。事實(shí)上��,其它產(chǎn)生重復(fù)消息的系統(tǒng)一般只在用戶程序中����,通過在從用戶界面機(jī)器上實(shí)際傳送修改指令之前,用確認(rèn)對話框提示用戶����,來進(jìn)行這種比較。然而�,這些系統(tǒng)只傳送一條消息給有項(xiàng)目要修改的安全裝置。因此�����,這些已知技術(shù)并不能防止傳送期間的訛誤��,或確保消息到達(dá)正確的目的地(如�����,當(dāng)消息中的目標(biāo)字段發(fā)生訛誤時(shí))����。
盡管前面描述了從服務(wù)器350到控制器客戶機(jī)360、再到邏輯解算器客戶機(jī)370的重復(fù)的寫過程�����,但可以理解�����,該過程包括的級可以更多或更少。如果使用了更多的級�,第三和隨后的級可在接收端類似于邏輯解算器客戶機(jī)370地運(yùn)作,而在發(fā)送端則類似于控制器客戶機(jī)360地運(yùn)作���,直到最后一個級����。如果使用較少的級��,服務(wù)器350仍應(yīng)發(fā)送兩條寫指令�,但如果客戶機(jī)檢測出二者是相同的話,客戶機(jī)就執(zhí)行該修改��。此外��,可以理解��,服務(wù)器350和客戶機(jī)360和370可利用任何期望的通信和軟件協(xié)議�����,在軟件�����、硬件或固件中實(shí)現(xiàn)��。
如前所示��,來自和送入安全系統(tǒng)裝置及過程控制系統(tǒng)裝置的消息���,可通過與該裝置相關(guān)的地址或標(biāo)記來檢測��。如果需要���,各種安全邏輯裝置的源地址可從干線總線消息中獲得,并由底板ID(BPID)以及插槽ID(SID)所構(gòu)成����,底板ID在每個節(jié)點(diǎn)是相同的,但在過程設(shè)備內(nèi)是唯一的�����;插槽ID在各節(jié)點(diǎn)之間是重復(fù)的�����,但在節(jié)點(diǎn)內(nèi)是唯一的。以這種方式���,每個裝置都有一個唯一的地址�,從而可以區(qū)分為安全系統(tǒng)裝置或過程控制系統(tǒng)裝置�����。
盡管嵌入的安全系統(tǒng)可采用許多可能的消息結(jié)構(gòu)或通信協(xié)議中的一種����,但在一種情況下可使用以下的消息結(jié)構(gòu)。具體地�,總線消息可一般包括三個基本部分,包括前同步信號(如1字節(jié))����、數(shù)據(jù)或消息部分(如129字節(jié))以及后同步信號(如1字節(jié))。前同步信號和后同步信號部分是為硬件同步而提供的���,而數(shù)據(jù)部分包含表示了給定地址的實(shí)際消息����。如果需要�,還可在高級消息結(jié)構(gòu)的消息部分產(chǎn)生硬件位插入�����。
一般來說,一條消息的數(shù)據(jù)和消息部分可分成七個字段���,其總長可達(dá)到給定程序的最大可能長度��。例如����,可以有138個可用字節(jié)(包括11個字節(jié)的協(xié)議開銷(overhead))����。消息部分可包括2字節(jié)的源地址、2字節(jié)的目標(biāo)地址��、1字節(jié)的類型字段��、1字節(jié)的設(shè)備狀態(tài)字段�、1字節(jié)的長度字段、0-128字節(jié)的消息字段���,以及4字節(jié)的提供循環(huán)冗余數(shù)據(jù)的CRC字段���。例如�,在一種使用這些字段的方式中���,源地址字段包含發(fā)送裝置的地址。高階字節(jié)包含背板ID(BPID)�,低階字節(jié)包含插槽ID(SID)。加電時(shí)��,各安全邏輯解算器通過干線總線從控制器獲得其完整的SOURCE ADDRESS(源地址)�。SOURCEADDRESS(源地址)的背板ID(BPID)部分設(shè)置成與控制器IP地址最右邊的八位字節(jié)相等。SOURCE ADDRESS(源地址)的插槽ID(SID)部分從過程控制器的干線總線消息導(dǎo)出�。最好地,各安全邏輯解算器不進(jìn)行通信(發(fā)送或接收)����,直到它具有完整的SOURCE ADDRESS(源地址)。
DESTINATION ADDRESS(目標(biāo)地址)字段可包含目標(biāo)裝置的地址����。高階字節(jié)可包含BPID,低階字節(jié)可包含目標(biāo)的插槽ID(SID)�����。消息的TYPE(類型)字段包括消息日期字段中包含的有關(guān)消息類型的信息?���?梢远x許多不同的信息類型。DEVICE STATUS(裝置狀態(tài))字段可適合于分割開�,用來表示,例如診斷狀態(tài)(表示無錯或有錯)�����、轉(zhuǎn)接狀態(tài)(表示不在進(jìn)行中或在進(jìn)行中)�����、控制器模式(表示正常模式或工程模式)�����、安全跳閘狀態(tài)(表示未跳閘或跳閘)�����、冗余狀態(tài)(表示未冗余或冗余)�����、配置狀態(tài)(表示未配置或配置)���、控制器類型(由邏輯解算器確定����,表示備用的或激活的)����,以及模式(模式值通過總線來自于控制器,表示工程模式或正常模式)���。
LENGTH(長度)字段可包含緊接著的MESSAGE DATA(信息數(shù)據(jù))字段的字節(jié)長度�,屬于從屬消息�。MESSAGE DATA(信息數(shù)據(jù))字段是根據(jù)消息TYPE(類型)格式化的消息有效負(fù)載,并具有依賴于消息的長度�。最后,CRC或循環(huán)冗余校驗(yàn)/碼字段根據(jù)SOURCE ADDRESS(源地址)��、TYPE(類型)����、DEVICE STATUS(裝置狀態(tài))��、LENGTH(長度)和MESSAGE DATA(信息數(shù)據(jù))字段來計(jì)算�����,并也屬于從屬信息���。
一般來說,要在總線22(圖1)上發(fā)送消息����,控制器可在以太網(wǎng)IEEE 802.3協(xié)議包的DATA(數(shù)據(jù))部分內(nèi)封裝總線消息,其可以包括��,例如�,7字節(jié)的前同步信號�、1字節(jié)的幀起始分隔符、6字節(jié)的目標(biāo)地址�、6字節(jié)的源地址、2字節(jié)的類型/長度字段��、46-1500字節(jié)的數(shù)據(jù)字段以及4字節(jié)的幀校驗(yàn)序列字段���。如已知的���,幀由7字節(jié)的零一交替的前同步信號開始�。當(dāng)幀被Manchester編碼后�,前同步信號給接收工作站一個已知的用于鎖定的模型。幀起始分隔符緊隨前同步信號���,表示該幀開始���。由于接收器接聽混合模式,所以目標(biāo)地址和源地址一般都是互不相關(guān)的�。
以太網(wǎng)TYPE(類型)字段/IEEE 802.3 LENGTH(長度)字段表示了幀的剩余部分所應(yīng)用的協(xié)議,長度字段規(guī)定了幀的數(shù)據(jù)部分的長度�����。對于要在同一LAN(局域網(wǎng))上共存的以太網(wǎng)和IEEE 802.3幀���,幀的長度字段必須總是與所使用的類型字段不同����。這一事實(shí)限制幀的數(shù)據(jù)部分的長度為1500字節(jié)����,而總的幀長度為1518字節(jié)�。對于安全邏輯解算器程序�����,類型將是以太網(wǎng)��,而數(shù)據(jù)字段的長度將為消息的尺寸大小����。數(shù)據(jù)字段包含由安全邏輯解算器或過程控制器發(fā)送的信息。填充數(shù)據(jù)長度小于46字節(jié)的消息���。如已知的���,4字節(jié)的幀校驗(yàn)序列字段是標(biāo)準(zhǔn)的43位CCITT-CRC多項(xiàng)式。當(dāng)然���,這只是一種類型的消息編碼方法,該編碼方法可以對發(fā)送到過程控制裝置和安全系統(tǒng)裝置以及從其而來的消息執(zhí)行�,可以理解,任何其它可以區(qū)分過程控制系統(tǒng)裝置與安全系統(tǒng)裝置的預(yù)期消息格式也可以替代使用���。
盡管參照特定例子對本發(fā)明進(jìn)行了描述���,但它僅是示意性的��,而不是對本發(fā)明的限制��,對于本領(lǐng)域普通技術(shù)人員來說�����,在不脫離本發(fā)明的精神與范圍的情況下���,對公開的實(shí)施例進(jìn)行修改、添加或刪除��,是顯而易見的�。
權(quán)利要求
1.如一種過程設(shè)備中使用的配置系統(tǒng),該過程設(shè)備具有過程控制系統(tǒng)和安全系統(tǒng)���,過程控制系統(tǒng)執(zhí)行與過程設(shè)備相關(guān)的有關(guān)制造的控制功能����,安全系統(tǒng)執(zhí)行與過程設(shè)備相關(guān)的有關(guān)安全的控制功能��,該配置系統(tǒng)包括計(jì)算機(jī)����,具有處理器和存儲器��;過程控制系統(tǒng)控制器�,與計(jì)算機(jī)通信連接�,并適配為應(yīng)用一個或多個過程控制現(xiàn)場裝置來執(zhí)行過程控制功能;安全系統(tǒng)控制器���,與計(jì)算機(jī)通信連接�,并適配為應(yīng)用一個或多個安全系統(tǒng)現(xiàn)場裝置來執(zhí)行安全系統(tǒng)功能����;配置數(shù)據(jù)庫,適配為存儲與過程控制系統(tǒng)和安全系統(tǒng)相關(guān)的配置數(shù)據(jù)�;以及配置程序,其存儲在計(jì)算機(jī)的存儲器中����,適配為在處理器上執(zhí)行,以應(yīng)用配置數(shù)據(jù)庫��,使一個或多個用戶可以執(zhí)行過程控制系統(tǒng)和安全系統(tǒng)的配置操作���。
2.如權(quán)利要求1所述的配置系統(tǒng)��,其中配置程序可通過一個或多個用戶帳號進(jìn)行訪問�����,其中每個用戶帳號都包括獨(dú)立用戶實(shí)體的訪問權(quán)限���。
3.如權(quán)利要求1所述的配置系統(tǒng),其中配置程序適配為呈現(xiàn)表示過程控制系統(tǒng)的一部分和安全系統(tǒng)的一部分的配置的顯示�。
4.如權(quán)利要求1所述的配置系統(tǒng),其中配置程序適配為使第一邏輯模塊的創(chuàng)建可以在過程控制系統(tǒng)中完成���,而使第二邏輯模塊的創(chuàng)建可以在安全系統(tǒng)中完成�。
5.如權(quán)利要求4所述的配置系統(tǒng)���,其中配置程序可通過一個或多個用戶帳號進(jìn)行訪問����,其中每個用戶帳號都包括獨(dú)立用戶實(shí)體的訪問權(quán)限����,并且其中可應(yīng)用第一個用戶帳號創(chuàng)建第一邏輯模塊,并可應(yīng)用第二個用戶帳號創(chuàng)建第二邏輯模塊。
6.如權(quán)利要求4所述的配置系統(tǒng)���,其中配置程序可通過一個或多個用戶帳號進(jìn)行訪問�����,其中每個用戶帳號都包括獨(dú)立用戶實(shí)體的訪問權(quán)限�,并且其中可應(yīng)用同一個用戶帳號創(chuàng)建第一和第二邏輯模塊�。
7.如權(quán)利要求1所述的配置系統(tǒng),其中配置程序適配為使得能將第一邏輯模塊下載到過程控制系統(tǒng)�,將第二邏輯模塊下載到安全系統(tǒng)。
8.如權(quán)利要求7所述的配置系統(tǒng)����,其中配置程序可通過一個或多個用戶帳號進(jìn)行訪問,其中每個用戶帳號都包括獨(dú)立用戶實(shí)體的訪問權(quán)限��,并且其中可應(yīng)用第一個用戶帳號下載第一邏輯模塊��,并可應(yīng)用第二個用戶帳號下載第二邏輯模塊����。
9.如權(quán)利要求7所述的配置系統(tǒng),其中配置程序可通過一個或多個用戶帳號進(jìn)行訪問��,其中每個用戶帳號都包括獨(dú)立用戶實(shí)體的訪問權(quán)限,并且其中可應(yīng)用同一個用戶帳號下載第一和第二邏輯模塊����。
10.如權(quán)利要求1所述的配置系統(tǒng)����,其中配置數(shù)據(jù)庫應(yīng)用通用的標(biāo)記格式,存儲過程控制系統(tǒng)實(shí)體和安全系統(tǒng)實(shí)體的標(biāo)記���。
11.如權(quán)利要求1所述的配置系統(tǒng)�����,其中配置數(shù)據(jù)庫應(yīng)用為每個過程控制系統(tǒng)實(shí)體和安全系統(tǒng)實(shí)體提供唯一的名稱的通用命名格式��,存儲過程控制系統(tǒng)實(shí)體和安全系統(tǒng)存儲實(shí)體的名稱�����。
12.如權(quán)利要求1所述的配置系統(tǒng)�,其中配置數(shù)據(jù)庫應(yīng)用通用的引用格式���,存儲過程控制系統(tǒng)和安全系統(tǒng)的參數(shù)引用信息��。
13.如權(quán)利要求1所述的配置系統(tǒng)��,其中配置程序可通過一個或多個用戶帳號進(jìn)行訪問�,其中每個用戶帳號都包括獨(dú)立用戶實(shí)體的訪問權(quán)限,并且其中配置數(shù)據(jù)庫存儲過程控制系統(tǒng)和安全系統(tǒng)的訪問權(quán)限��,從而限定與一個或多個用戶帳號相關(guān)的訪問權(quán)�。
14.如權(quán)利要求1所述的配置系統(tǒng),其中配置程序適配為呈現(xiàn)一個顯示��,在該顯示中的過程控制系統(tǒng)部分內(nèi)表示部分過程控制系統(tǒng)的配置情況���,在該顯示中的安全系統(tǒng)部分內(nèi)表示部分安全系統(tǒng)的配置情況���,使得一個或多個用戶能夠應(yīng)用該顯示來配置過程控制系統(tǒng)或安全系統(tǒng)。
15.如權(quán)利要求14所述的配置系統(tǒng)��,其中配置程序適配為通過使該顯示中的過程控制系統(tǒng)部分內(nèi)的第一元件和該顯示中的安全系統(tǒng)部分內(nèi)的第二元件相關(guān)�����,而使得一個或多個用戶能夠配置過程控制系統(tǒng)或安全系統(tǒng)��。
16.如權(quán)利要求14所述的配置系統(tǒng)����,其中配置程序可通過一個或多個用戶帳號進(jìn)行訪問��,其中每個用戶帳號都包括獨(dú)立用戶實(shí)體的訪問權(quán)限����,并且其中配置程序適配為在應(yīng)用具體的用戶帳號時(shí)����,對具體的用戶帳號設(shè)置偏愛�,從而表示過程控制系統(tǒng)的哪部分以及安全系統(tǒng)的哪部分出現(xiàn)在顯示中。
17.如權(quán)利要求1所述的配置系統(tǒng)����,其中配置程序適配為呈現(xiàn)表示了至少一部分過程設(shè)備的配置的顯示,該顯示包括與過程控制系統(tǒng)相關(guān)的第一部分和與安全系統(tǒng)相關(guān)的第二部分���,其中第一部分包括識別一個或多個過程控制系統(tǒng)控制器的第一級��,和識別與一個或多個過程控制系統(tǒng)控制器相連的一個或多個過程控制系統(tǒng)現(xiàn)場裝置的第二級��,并且其中第二部分包括識別一個或多個安全系統(tǒng)控制器的第一級��,和識別與一個或多個安全系統(tǒng)控制器相連的一個或多個安全系統(tǒng)現(xiàn)場裝置的第二級����。
18.如權(quán)利要求1所述的配置系統(tǒng),其中配置程序適配為使得能夠創(chuàng)建要在過程控制系統(tǒng)的一部分內(nèi)執(zhí)行的控制邏輯和要在安全系統(tǒng)的一部分內(nèi)執(zhí)行的安全邏輯�����,而與對將在其中執(zhí)行該控制邏輯和安全邏輯的過程控制裝置和安全裝置的指定無關(guān)�����。
19.如權(quán)利要求18所述的配置系統(tǒng)���,其中過程控制系統(tǒng)的一部分和安全系統(tǒng)的一部分與過程設(shè)備中的同一區(qū)域相關(guān)���。
20.如權(quán)利要求1所述的配置系統(tǒng),其中配置程序適配為使在部分過程控制系統(tǒng)內(nèi)執(zhí)行的控制邏輯模塊能引用在部分安全系統(tǒng)內(nèi)執(zhí)行的安全系統(tǒng)邏輯模塊��,或適配為使在部分安全系統(tǒng)內(nèi)執(zhí)行的安全系統(tǒng)邏輯模塊能引用在部分過程控制系統(tǒng)內(nèi)執(zhí)行的控制邏輯模塊���,從而在控制邏輯模塊和安全邏輯模塊之間提供直接通信����。
21.如權(quán)利要求22所述的配置系統(tǒng)��,其中應(yīng)用名稱和參數(shù)引用方案,控制邏輯模塊引用安全邏輯模塊����,或安全邏輯模塊引用控制邏輯模塊。
22.如權(quán)利要求1所述的配置系統(tǒng)�����,其中配置數(shù)據(jù)庫適配為存儲與過程控制系統(tǒng)相關(guān)的配置數(shù)據(jù)�,和與安全系統(tǒng)相關(guān)的配置數(shù)據(jù),它們與過程設(shè)備中的通用實(shí)體相關(guān)����。
23.如權(quán)利要求22所述的配置系統(tǒng)���,其中該通用實(shí)體是處理設(shè)備的一個區(qū)域�����。
24.如權(quán)利要求1所述的配置系統(tǒng)�,還包括數(shù)據(jù)庫管理程序��,適配為對配置數(shù)據(jù)庫中存儲的過程控制系統(tǒng)配置數(shù)據(jù)和安全系統(tǒng)配置數(shù)據(jù)執(zhí)行數(shù)據(jù)庫管理活動���。
25.如權(quán)利要求24所述的配置系統(tǒng)�,其中數(shù)據(jù)庫管理程序是一個適配為備份配置數(shù)據(jù)庫的備份程序,并且是適配為將數(shù)據(jù)輸入到配置數(shù)據(jù)庫的輸入程序�����。
26.一種過程設(shè)備中使用的配置系統(tǒng)���,該過程設(shè)備具有過程控制系統(tǒng)����,其具有應(yīng)用一個或多個過程控制現(xiàn)場裝置��、執(zhí)行有關(guān)制造的控制功能的過程控制系統(tǒng)控制器��;安全系統(tǒng)����,其具有應(yīng)用一個或多個安全系統(tǒng)現(xiàn)場裝置、執(zhí)行與安全相關(guān)的控制功能的安全系統(tǒng)控制器��;以及具有處理器的計(jì)算機(jī)���,通信連接到過程控制系統(tǒng)控制器和安全系統(tǒng)控制器��;該配置系統(tǒng)包括存儲器�;配置數(shù)據(jù)庫,適配為存儲與過程控制系統(tǒng)和安全系統(tǒng)相關(guān)的配置數(shù)據(jù)���;以及配置程序�,存儲在存儲器中�����,適配為在處理器中執(zhí)行�����,以應(yīng)用配置數(shù)據(jù)庫�����,使一個或多個用戶可以對過程控制系統(tǒng)和安全系統(tǒng)進(jìn)行配置����。
27.如權(quán)利要求26所述的配置系統(tǒng)�����,其中配置程序可通過一個或多個用戶帳號進(jìn)行訪問,其中每個用戶帳號都包括獨(dú)立用戶實(shí)體的訪問權(quán)限�。
28.如權(quán)利要求26所述的配置系統(tǒng),其中配置程序適配為呈現(xiàn)表示部分過程控制系統(tǒng)和部分安全系統(tǒng)的配置的顯示���。
29.如權(quán)利要求26所述的配置系統(tǒng)���,其中配置程序適配為使第一邏輯模塊的創(chuàng)建可以在過程控制系統(tǒng)中完成,并使第二邏輯模塊的創(chuàng)建可以在安全系統(tǒng)中完成��。
30.如權(quán)利要求26所述的配置系統(tǒng)����,其中配置程序可通過一個或多個用戶帳號進(jìn)行訪問,其中每個用戶帳號都包括獨(dú)立用戶實(shí)體的訪問權(quán)限��,并且其中可應(yīng)用第一個用戶帳號創(chuàng)建第一邏輯模塊��,并可應(yīng)用第二個用戶帳號創(chuàng)建第二邏輯模塊�。
31.如權(quán)利要求26所述的配置系統(tǒng),其中配置程序適配為使得能將第一邏輯模塊下載到過程控制系統(tǒng)�,將第二邏輯模塊下載到安全系統(tǒng)。
32.如權(quán)利要求31所述的配置系統(tǒng)���,其中配置程序可通過一個或多個用戶帳號進(jìn)行訪問��,其中每個用戶帳號都包括獨(dú)立用戶實(shí)體的訪問權(quán)限�����,并且其中可應(yīng)用同一個用戶帳號下載第一和第二邏輯模塊����。
33.如權(quán)利要求26所述的配置系統(tǒng),其中配置數(shù)據(jù)庫應(yīng)用通用的標(biāo)記格式�����,存儲過程控制系統(tǒng)實(shí)體和安全系統(tǒng)實(shí)體的標(biāo)記�����。
34.如權(quán)利要求26所述的配置系統(tǒng)�����,其中配置數(shù)據(jù)庫應(yīng)用為每個過程控制系統(tǒng)實(shí)體和安全系統(tǒng)實(shí)體提供唯一的名稱的通用命名格式���,存儲過程控制系統(tǒng)實(shí)體和安全系統(tǒng)實(shí)體的名稱。
35.如權(quán)利要求26所述的配置系統(tǒng),其中配置數(shù)據(jù)庫應(yīng)用通用的引用格式�,為過程控制系統(tǒng)和安全系統(tǒng)存儲參數(shù)引用信息。
36.如權(quán)利要求26所述的配置系統(tǒng)�����,其中配置程序可通過一個或多個用戶帳號進(jìn)行訪問�����,其中每個用戶帳號都包括獨(dú)立用戶實(shí)體的訪問權(quán)限��,并且其中配置數(shù)據(jù)庫存儲過程控制系統(tǒng)和安全系統(tǒng)的訪問權(quán)限�����,從而限定與一個或多個用戶帳號相關(guān)的訪問權(quán)���。
37.如權(quán)利要求26所述的配置系統(tǒng)�����,其中配置程序適配為呈現(xiàn)一個顯示���,在該顯示中的過程控制系統(tǒng)部分內(nèi)表示部分過程控制系統(tǒng)的配置情況,在該顯示中的安全系統(tǒng)部分內(nèi)表示部分安全系統(tǒng)的配置情況,使得一個或多個用戶能夠應(yīng)用該顯示來配置過程控制系統(tǒng)或安全系統(tǒng)���。
38.如權(quán)利要求37所述的配置系統(tǒng)�����,其中配置程序適配為通過使該顯示中的過程控制系統(tǒng)部分內(nèi)的第一元件和該顯示中的安全系統(tǒng)部分內(nèi)的第二元件相關(guān)��,使一個或多個用戶能夠配置過程控制系統(tǒng)或安全系統(tǒng)���。
39.如權(quán)利要求38所述的配置數(shù)據(jù),其中配置程序可通過一個或多個用戶帳號進(jìn)行訪問���,其中每個用戶帳號都包括獨(dú)立用戶實(shí)體的訪問權(quán)限���,并且其中配置程序適配為在應(yīng)用具體的用戶帳號時(shí),對具體的用戶帳號設(shè)置偏愛����,從而表示過程控制系統(tǒng)的哪一部分以及安全系統(tǒng)的哪一部分出現(xiàn)在顯示中。
40.如權(quán)利要求26所述的配置系統(tǒng)����,其中配置程序適配為呈現(xiàn)表示了至少部分過程設(shè)備的配置的顯示,該顯示包括與過程控制系統(tǒng)相關(guān)的第一部分和與安全系統(tǒng)相關(guān)的第二部分�,其中第一部分包括識別一個或多個過程控制系統(tǒng)控制器的第一級,和識別與一個或多個過程控制系統(tǒng)控制器相連的一個或多個過程控制系統(tǒng)現(xiàn)場裝置的第二級��,并且其中第二部分包括識別一個或多個安全系統(tǒng)控制器的第一級��,和識別與一個或多個安全系統(tǒng)控制器相連的一個或多個安全系統(tǒng)現(xiàn)場裝置的第二級�����。
41.如權(quán)利要求26所述的配置系統(tǒng)�,其中配置程序適配為使得能夠創(chuàng)建要在部分過程控制系統(tǒng)內(nèi)執(zhí)行的控制邏輯和要在部分安全系統(tǒng)內(nèi)執(zhí)行的安全邏輯,而與對將在其中執(zhí)行該控制邏輯和安全邏輯的過程控制裝置和安全裝置的指定無關(guān)�����。
42.如權(quán)利要求42所述的配置系統(tǒng)���,其中該部分過程控制系統(tǒng)和部分安全系統(tǒng)與過程設(shè)備中的同一區(qū)域相關(guān)�����。
43.如權(quán)利要求26所述的配置系統(tǒng)����,其中配置程序適配為使在部分過程控制系統(tǒng)內(nèi)執(zhí)行的控制邏輯模塊能引用在部分安全系統(tǒng)內(nèi)執(zhí)行的安全系統(tǒng)邏輯模塊,或適配為使在部分安全系統(tǒng)內(nèi)執(zhí)行的安全系統(tǒng)邏輯模塊能引用在部分過程控制系統(tǒng)內(nèi)執(zhí)行的控制邏輯模塊��,從而在控制邏輯模塊和安全邏輯模塊之間提供直接通信����。
44.如權(quán)利要求43所述的配置系統(tǒng),其中使用名稱和參數(shù)引用方案�,控制邏輯模塊引用安全邏輯模塊,或安全邏輯模塊引用控制邏輯模塊��。
45.如權(quán)利要求26所述的配置系統(tǒng)�,其中該配置數(shù)據(jù)庫適配為存儲與過程控制系統(tǒng)相關(guān)的配置數(shù)據(jù),和與安全系統(tǒng)相關(guān)的配置數(shù)據(jù)��,它們與過程設(shè)備中通用的實(shí)體相關(guān)�。
46.如權(quán)利要求26所述的配置系統(tǒng),還包括數(shù)據(jù)庫管理程序����,該程序適配為對配置數(shù)據(jù)庫中存儲的過程控制系統(tǒng)配置數(shù)據(jù)和安全系統(tǒng)配置數(shù)據(jù)執(zhí)行數(shù)據(jù)庫管理活動。
47.如權(quán)利要求46所述的配置系統(tǒng)�,其中數(shù)據(jù)庫管理程序是一個適配為備份配置數(shù)據(jù)庫的備份程序,并是一個適配為將數(shù)據(jù)輸入到配置數(shù)據(jù)庫的輸入程序�����。
48.一種配置過程設(shè)備的方法,該過程設(shè)備具有過程控制系統(tǒng)�,其具有應(yīng)用一個或多個過程控制現(xiàn)場裝置執(zhí)行有關(guān)制造的控制功能的過程控制系統(tǒng)控制器;和安全系統(tǒng)�����,其具有應(yīng)用一個或多個安全系統(tǒng)現(xiàn)場裝置執(zhí)行與安全相關(guān)的控制功能的安全系統(tǒng)控制器��,該方法包括在通用配置數(shù)據(jù)庫中�����,存儲與過程控制系統(tǒng)額和安全系統(tǒng)相關(guān)的配置數(shù)據(jù)��;以及提供通用用戶界面程序�����,利用存儲在通用配置數(shù)據(jù)庫中的配置數(shù)據(jù)���,對過程控制系統(tǒng)和安全控制系統(tǒng)執(zhí)行配置活動。
49.如權(quán)利要求48所述的方法����,其中提供通用用戶界面程序包括對于通用用戶界面程序建立一個或多個用戶帳號�����,其中每個用戶帳號都包括獨(dú)立用戶實(shí)體的訪問權(quán)限���。
50.如權(quán)利要求48所述的方法,其中提供通用用戶界面程序包括呈現(xiàn)表示部分過程控制系統(tǒng)和部分安全系統(tǒng)的配置的單個用戶顯示�。
51.如權(quán)利要求48所述的方法,其中提供通用用戶界面程序包括應(yīng)用該通用的用戶界面程序���,使第一邏輯模塊的創(chuàng)建可以在過程控制系統(tǒng)中完成����,并使第二邏輯模塊的創(chuàng)建可以在安全系統(tǒng)中完成���。
52.如權(quán)利要求51所述的方法����,其中提供通用用戶界面程序包括為該通用用戶界面程序建立一個或多個用戶帳號����,其中每個用戶帳號都包括獨(dú)立用戶實(shí)體的訪問權(quán)限,還包括使得能夠利用第一個用戶帳號創(chuàng)建第一邏輯模塊�����,利用第二個用戶帳號創(chuàng)建第二邏輯模塊。
53.如權(quán)利要求48所述的方法�,其中提供通用用戶界面程序包括為該通用用戶界面程序建立一個或多個用戶帳號,其中每個用戶帳號都包括獨(dú)立用戶實(shí)體的訪問權(quán)限���,還包括使得能夠利用同一個用戶帳號創(chuàng)建第一和第二邏輯模塊。
54.如權(quán)利要求48所述的方法���,其中提供通用用戶界面程序包括使得能夠利用通用用戶界面程序���,將第一邏輯模塊下載到過程控制系統(tǒng),將第二邏輯模塊下載到安全系統(tǒng)����。
55.如權(quán)利要求54所述的方法,其中提供通用用戶界面程序包括為該通用用戶界面程序建立一個或多個用戶帳號�����,其中每個用戶帳號都包括獨(dú)立用戶實(shí)體的訪問權(quán)限����,并且包括使得能夠利用第一個用戶帳號下載第一邏輯模塊�,利用第二個用戶帳號下載第二邏輯模塊�。
56.如權(quán)利要求54所述的方法,其中提供通用用戶界面程序包括為該通用用戶界面程序建立一個或多個用戶帳號��,其中每個用戶帳號都包括用戶實(shí)體的訪問權(quán)限��,并且包括使得能夠利用同一個用戶帳號下載第一和第二邏輯模塊�����。
57.如權(quán)利要求48所述的方法���,其中存儲配置數(shù)據(jù)包括利用通用的標(biāo)記格式��,存儲過程控制系統(tǒng)實(shí)體和安全系統(tǒng)實(shí)體的標(biāo)記��。
58.如權(quán)利要求48所述的方法��,其中存儲配置數(shù)據(jù)包括利用為每個過程控制系統(tǒng)實(shí)體和安全系統(tǒng)實(shí)體提供唯一的名稱的通用命名格式���,存儲過程控制系統(tǒng)實(shí)體和安全系統(tǒng)實(shí)體的名稱。
59.如權(quán)利要求48所述的方法�����,其中存儲配置數(shù)據(jù)包括利用通用引用格式,存儲過程控制系統(tǒng)和安全系統(tǒng)的參數(shù)引用信息����。
60.如權(quán)利要求48所述的方法,其中提供通用用戶界面程序包括在顯示屏幕上呈現(xiàn)一個顯示����,在該顯示中的過程控制系統(tǒng)部分內(nèi)表示部分過程控制系統(tǒng)的配置情況,在該顯示中的安全系統(tǒng)部分內(nèi)表示部分安全系統(tǒng)的配置情況��,并使得一個或多個用戶能夠應(yīng)用該顯示來配置過程控制系統(tǒng)或安全系統(tǒng)����。
61.如權(quán)利要求60所述的方法����,其中使得一個或多個用戶能夠應(yīng)用該顯示來配置過程控制系統(tǒng)或安全系統(tǒng)包括使一個或多個用戶能夠使該顯示中的過程控制系統(tǒng)部分內(nèi)的第一元件和在該顯示中的安全系統(tǒng)部分內(nèi)的第二元件相關(guān)。
62.如權(quán)利要求60所述的方法���,包括使得能夠通過一個或多個用戶帳號對該通用用戶界面程序進(jìn)行訪問�����,其中每個用戶帳號都包括獨(dú)立用戶實(shí)體的訪問權(quán)限��,還包括在應(yīng)用具體的用戶帳號時(shí)�,使得能夠?yàn)榫唧w的用戶帳號設(shè)置偏愛,表示過程控制系統(tǒng)的哪一部分以及安全系統(tǒng)的哪一部分出現(xiàn)在顯示中�����。
63.如權(quán)利要求48所述的方法��,其中提供通用用戶界面程序包括使得能夠創(chuàng)建要在部分過程控制系統(tǒng)內(nèi)執(zhí)行的控制邏輯和要在部分安全系統(tǒng)內(nèi)執(zhí)行的安全邏輯�����,而與將在其中執(zhí)行該控制邏輯和安全邏輯的過程控制裝置和安全系統(tǒng)裝置的指定無關(guān)��。
64.如權(quán)利要求63所述的方法�����,其中該部分過程控制系統(tǒng)和部分安全系統(tǒng)與過程設(shè)備中的同一區(qū)域相關(guān)�����。
65.如權(quán)利要求48所述的方法�,其中提供通用用戶界面程序包括使在部分過程控制系統(tǒng)內(nèi)執(zhí)行的控制邏輯模塊能引用在部分安全系統(tǒng)內(nèi)執(zhí)行的安全系統(tǒng)邏輯模塊����,或使在部分安全系統(tǒng)內(nèi)的安全系統(tǒng)邏輯模塊能引用在部分過程控制系統(tǒng)內(nèi)的控制邏輯模塊��,從而在控制邏輯模塊和安全邏輯模塊之間提供直接通信��。
66.如權(quán)利要求48所述的方法�,包括應(yīng)用該通用用戶界面程序存儲與過程控制系統(tǒng)相關(guān)的配置數(shù)據(jù),和與安全系統(tǒng)相關(guān)的配置數(shù)據(jù)����,其與過程設(shè)備中的通用實(shí)體相關(guān)。
67.如權(quán)利要求48所述的方法����,還包括使用單個數(shù)據(jù)庫管理程序,對配置數(shù)據(jù)庫中存儲的過程控制系統(tǒng)配置數(shù)據(jù)和安全系統(tǒng)配置數(shù)據(jù)執(zhí)行數(shù)據(jù)庫管理活動�。
68.如權(quán)利要求67所述的方法�,其中使用單個數(shù)據(jù)庫管理程序包括利用一個適配為備份配置數(shù)據(jù)庫的備份程序,和利用適配為將數(shù)據(jù)輸入到配置數(shù)據(jù)庫的輸入程序��。
全文摘要
過程設(shè)備�,包括安全系統(tǒng),其物理地和邏輯地集成到過程控制系統(tǒng)中�,使其可在過程設(shè)備內(nèi)應(yīng)用通用的通信、配置硬件和軟件,同時(shí)在安全系統(tǒng)控制器和過程控制系統(tǒng)控制器之間仍能提供功能分離�。該集成過程控制和安全系統(tǒng)采用通用的數(shù)據(jù)通信結(jié)構(gòu),從而使配置程序能按相同的方式���,如采用相同的通信硬件和軟件����,向任一系統(tǒng)中的裝置發(fā)送數(shù)據(jù)或從其中接收數(shù)據(jù)���。然而�����,設(shè)置通用數(shù)據(jù)通信結(jié)構(gòu)���,利用在向該裝置發(fā)送或從其中接收的消息內(nèi)的標(biāo)記、地址或其它字段���,來區(qū)分過程控制系統(tǒng)裝置和安全系統(tǒng)裝置����,這使得可以區(qū)分與過程控制系統(tǒng)相關(guān)的數(shù)據(jù)和與安全系統(tǒng)相關(guān)的數(shù)據(jù)��,從而使用戶界面內(nèi)的配置程序可根據(jù)數(shù)據(jù)的來源(或目的地)自動地以不同方式處理該數(shù)據(jù)。
文檔編號G05B23/02GK1542578SQ20041004770
公開日2004年11月3日 申請日期2004年1月28日 優(yōu)先權(quán)日2003年1月28日
發(fā)明者辛迪·斯科特, 朱利安·奈多, 加里·勞, 奈多, 勞, 辛迪 斯科特 申請人:費(fèi)舍-柔斯芒特系統(tǒng)股份有限公司