国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      具有過程控制系統(tǒng)和安全系統(tǒng)的過程裝置中的集成診斷法的制作方法

      文檔序號(hào):6324983閱讀:120來源:國知局
      專利名稱:具有過程控制系統(tǒng)和安全系統(tǒng)的過程裝置中的集成診斷法的制作方法
      技術(shù)領(lǐng)域
      本發(fā)明一般涉及在過程裝置中使用的安全系統(tǒng),更具體地,涉及到功能性地和邏輯地嵌入到或集成到過程裝置的過程控制系統(tǒng)中的安全系統(tǒng)。
      背景技術(shù)
      過程控制系統(tǒng),如在化工、石油或其他過程中使用的那些過程控制系統(tǒng)一樣,典型地包括一個(gè)或多個(gè)過程控制器,它們通過模擬、數(shù)字或模擬/數(shù)字結(jié)合的總線、可通信地連接到至少一個(gè)主機(jī)或操作者工作站,以及連接到一個(gè)或多個(gè)現(xiàn)場裝置?,F(xiàn)場裝置,例如可以是閥門、閥門定位器、開關(guān)和傳送器(例如,溫度、壓力和流速傳感器),在過程裝置內(nèi)執(zhí)行多種功能,諸如打開或關(guān)閉閥門、測量過程參數(shù)。過程控制器接收指示由現(xiàn)場裝置作出的過程測量的信號(hào)和/或其他與現(xiàn)場裝置有關(guān)的信息,使用這個(gè)信息實(shí)現(xiàn)控制例行程序,然后并產(chǎn)生控制信號(hào),在總線上發(fā)送到現(xiàn)場裝置,以便控制過程的操作。來自現(xiàn)場裝置和控制器的信息一般可由操作者工作站所執(zhí)行的一個(gè)或多個(gè)應(yīng)用程序所獲得,從而使操作者執(zhí)行有關(guān)過程的任何期望的功能,諸如對(duì)過程進(jìn)行配置,觀察過程的當(dāng)前狀態(tài),修改過程的操作等。
      此外,在許多過程中,提供了獨(dú)立的安全系統(tǒng),以便當(dāng)可能導(dǎo)致或引起裝置中的嚴(yán)重事故,諸如有毒化學(xué)品溢出,爆炸等的問題發(fā)生時(shí),檢測過程裝置內(nèi)的重要的有關(guān)安全的問題,并且自動(dòng)地關(guān)閉閥門、從裝置移去電源(power)、切換裝置內(nèi)的流程(flow)等。這些安全系統(tǒng)一般具有一個(gè)或多個(gè)獨(dú)立的控制器,它們獨(dú)立于過程控制系統(tǒng)控制器,并通過設(shè)置在過程裝置內(nèi)的獨(dú)立總線或通信線,連接到安全現(xiàn)場裝置上。安全控制器使用安全現(xiàn)場裝置來檢測與重大事件相關(guān)聯(lián)的過程狀態(tài),諸如某些安全開關(guān)或關(guān)閉閥門的位置、過程中的溢流或潛流、重要能源產(chǎn)生或控制裝置的操作、故障檢測裝置的操作等,從而檢測在過程裝置內(nèi)的“事件”。當(dāng)檢測到事件時(shí),安全控制器就采取一些動(dòng)作,來限制事件的危害作用,諸如關(guān)閉閥門、關(guān)掉裝置、從部分裝置撤去電源等等。
      由于使用過程控制器來執(zhí)行安全功能會(huì)導(dǎo)致在那個(gè)過程控制器發(fā)生故障時(shí),安全功能和過程控制功能同時(shí)失靈,因此將過程控制器和安全控制器之間進(jìn)行隔離被認(rèn)為是重要的(且常常由可采用的政府標(biāo)準(zhǔn)所指令)。然而,在過程控制器由于過程在某一時(shí)刻部分或全部失控而發(fā)生故障時(shí),安全功能就變得極為關(guān)鍵。
      在過程裝置中,在過程控制器與安全控制器之間的隔離已經(jīng)會(huì)導(dǎo)致這些由不同人員正在采用不同的硬件和軟件來開發(fā)這些系統(tǒng)。實(shí)際上,在某些情況下,由于安全系統(tǒng)不使用過程控制系統(tǒng)硬件和軟件構(gòu)架,因此,在相同過程裝置中的不同位置處,諸如不同節(jié)點(diǎn)處,會(huì)采用不同的并且完全不相連的安全系統(tǒng)硬件和軟件。在任何事件中,過程控制系統(tǒng)和安全系統(tǒng)之間的隔離都會(huì)導(dǎo)致在同一裝置中,必須獨(dú)立地對(duì)許多不同的和互不相連的安全系統(tǒng)進(jìn)行配置和監(jiān)控。結(jié)果是,通常都要使用不同的通信構(gòu)架,以便利用正在用來配置和監(jiān)控這些獨(dú)立的系統(tǒng)的不同的配置和診斷應(yīng)用程序以及工作站來實(shí)現(xiàn)同一裝置中的這些不同的系統(tǒng)。類似地,通常還需要不同的人員來針對(duì)這些不同的系統(tǒng)進(jìn)行配置、診斷和監(jiān)控活動(dòng),所有這些都會(huì)導(dǎo)致在配置和運(yùn)行其中使用了安全系統(tǒng)的過程裝置方面付出額外的成本。此外,由于安全系統(tǒng)的配置和診斷軟件與控制系統(tǒng)的配置和診斷軟件不同,一般必須分別對(duì)人員進(jìn)行關(guān)于這些不同的軟件程序的培訓(xùn),從而導(dǎo)致培訓(xùn)時(shí)間的延長。
      在過去,人們多方努力試圖來將來自同一裝置中的過程控制和安全系統(tǒng)的數(shù)據(jù)集成到同一用戶接口上,從而提供在同一位置對(duì)這些不同數(shù)據(jù)的觀察和操作。然而,這種集成一般要在將傳統(tǒng)的控制系統(tǒng)配置、觀察和診斷應(yīng)用程序用作基本的軟件平臺(tái),然后再將安全系統(tǒng)數(shù)據(jù)輸入到控制系統(tǒng)軟件之后,才能進(jìn)行。不幸的是,傳統(tǒng)的控制系統(tǒng)沒有提供將安全系統(tǒng)數(shù)據(jù)和控制系統(tǒng)數(shù)據(jù)區(qū)分開來的靈活性。結(jié)果是,一旦將安全系統(tǒng)信息集成到控制系統(tǒng)應(yīng)用程序中,顯示給用戶的安全系統(tǒng)值會(huì)表現(xiàn)得與顯示給用戶的控制系統(tǒng)值一樣,這使得追蹤或區(qū)分安全系統(tǒng)數(shù)據(jù)變得困難。
      此外,這些集成的顯示系統(tǒng)一般還需要將安全系統(tǒng)數(shù)據(jù)映射到控制系統(tǒng)配置中,以便使用戶能理解安全系統(tǒng)數(shù)據(jù)相對(duì)于控制系統(tǒng)硬件的起源處。在這些情況中,由于使用了不同的結(jié)構(gòu)來定義與兩個(gè)系統(tǒng)相關(guān)聯(lián)的數(shù)據(jù)(或指示數(shù)據(jù)的來源或目的地的標(biāo)記),所以利用用戶接口內(nèi)的獨(dú)立軟件來映射在兩個(gè)系統(tǒng)之間的數(shù)據(jù)。這些數(shù)據(jù)映射技術(shù)需要附加的用戶編程來設(shè)置并維護(hù),并且可能由于映射功能所引入的錯(cuò)誤而導(dǎo)致的錯(cuò)誤數(shù)據(jù)。
      更進(jìn)一步地,要試圖將安全系統(tǒng)數(shù)據(jù)集成到傳統(tǒng)的控制系統(tǒng)應(yīng)用程序中,系統(tǒng)中的安全問題也變得更難處理。盡管一些用戶接口或人機(jī)接口(HMI)產(chǎn)品(與控制系統(tǒng)相對(duì)的)能夠提供關(guān)于單獨(dú)的HMI數(shù)據(jù)值/標(biāo)記的唯一安全保證,但是還必須在HMI內(nèi)安裝附加的用戶程序來確保每一個(gè)值和/或標(biāo)記按來自于安全系統(tǒng)而被正確地標(biāo)記,從而確保調(diào)用這個(gè)安全程序。因?yàn)槠湟蕾噦€(gè)人對(duì)HMI的編制和維護(hù),才能確保所有來自安全系統(tǒng)的值被正確地映射到控制系統(tǒng)接口中,所以該功能本身更傾向于出現(xiàn)錯(cuò)誤,因而安全性更低。此外,如此的映射技術(shù)使HMI安全更重要,這也使安全儀表系統(tǒng)復(fù)雜化,使測試和檢驗(yàn)整體安全水平變得更為困難。
      結(jié)果是,這些已知的用戶接口集成系統(tǒng)缺少直接將安全儀表系統(tǒng)的讀出和寫入值放置到用戶畫面上、而無需在控制和安全系統(tǒng)配置之間的映射、或無需位于安全系統(tǒng)控制器中的特定安全儀表控制邏輯的能力,其中所述特定安全儀表控制邏輯在操作者界面和安全儀表系統(tǒng)邏輯之間建立一道“防火墻”,從而防止未經(jīng)授權(quán)的對(duì)安全儀表系統(tǒng)的寫入。此外,這些已知的集成用戶接口系統(tǒng)缺少安全寫入機(jī)制,該機(jī)制確保在寫入到安全儀表系統(tǒng)期間,輸入值或路徑不發(fā)生訛誤(corruption),還缺少建立到控制系統(tǒng)中的唯一的安全保證,該安全保證可確保所有對(duì)安全儀表系統(tǒng)的值的寫入都需要特定的權(quán)限,而不管是從過程圖還是從能向安全儀表系統(tǒng)中寫入值的任何其他應(yīng)用。
      此外,一般使用存儲(chǔ)在過程裝置內(nèi)的獨(dú)立位置的不同的配置應(yīng)用程序來創(chuàng)建和瀏覽安全系統(tǒng)和控制系統(tǒng)的配置,在安全系統(tǒng)配置數(shù)據(jù)和過程控制系統(tǒng)配置數(shù)據(jù)之間只有很少或甚至沒有交互作用(相互連接)。結(jié)果是,對(duì)于用戶來說,要以集成方式來觀察或了解控制系統(tǒng)和安全系統(tǒng)的配置是很困難的,例如,以展示或顯示兩個(gè)系統(tǒng)彼此交互作用的方法或在裝置內(nèi)物理地和邏輯地相互連接與不同系統(tǒng)相關(guān)聯(lián)的裝置和邏輯的方法的方式。
      同樣地,與控制和安全系統(tǒng)相關(guān)聯(lián)的診斷應(yīng)用程序,諸如報(bào)警、測試和其他診斷工具,在許多情況下也都是被獨(dú)立地執(zhí)行,這使得對(duì)于單個(gè)用戶來說,要理解一個(gè)系統(tǒng)中的問題是怎樣影響或涉及其他系統(tǒng)內(nèi)的問題是困難的。此外,這些獨(dú)立的診斷應(yīng)用程序已經(jīng)導(dǎo)致了與不同系統(tǒng)相關(guān)聯(lián)的報(bào)警和其他診斷數(shù)據(jù)一般是對(duì)于不同用戶,在不同顯示器上顯示,或是在同一顯示器上使用不同程序在不同時(shí)間顯示。診斷數(shù)據(jù)的這種非集成的使用和顯示使得對(duì)于整個(gè)裝置的操作,以及在裝置的操作期間中,安全系統(tǒng)與過程控制系統(tǒng)的交互作用的方式的了解變得更困難了。
      盡管提供過程控制系統(tǒng)和安全系統(tǒng)報(bào)警的集成顯示是已知的,如上所述,還必須將安全系統(tǒng)報(bào)警映射到過程控制系統(tǒng)的報(bào)警顯示環(huán)境中,來作為過程控制系統(tǒng)報(bào)警。結(jié)果是,安全系統(tǒng)報(bào)警必須顯示為過程控制系統(tǒng)報(bào)警,這使得報(bào)警顯示的用戶很難去容易地識(shí)別或區(qū)分安全系統(tǒng)報(bào)警與過程控制系統(tǒng)報(bào)警。此外,因?yàn)闉榱孙@示的目的而必須將安全系統(tǒng)報(bào)警轉(zhuǎn)換成過程控制系統(tǒng)報(bào)警,所以轉(zhuǎn)換的安全系統(tǒng)報(bào)警標(biāo)有表示它們在過程控制系統(tǒng)內(nèi)產(chǎn)生時(shí)間的時(shí)間標(biāo)志,即,當(dāng)報(bào)警由顯示應(yīng)用程序轉(zhuǎn)換后,其時(shí)間標(biāo)志不再表示這些報(bào)警在安全系統(tǒng)中實(shí)際檢測出來的時(shí)間。結(jié)果是,與安全報(bào)警在安全系統(tǒng)中實(shí)際產(chǎn)生的時(shí)間有關(guān)的數(shù)據(jù)丟失了,造成用于報(bào)警記錄、識(shí)別和響應(yīng)目的的信息出錯(cuò)。

      發(fā)明內(nèi)容
      一種過程裝置,包括安全系統(tǒng),該安全系統(tǒng)物理地和邏輯地集成到過程控制系統(tǒng)中,以這樣的方式來允許安全系統(tǒng)和過程控制系統(tǒng)在過程裝置中使用公共的通信、配置、診斷和顯示硬件與軟件,同時(shí)仍然提供在安全系統(tǒng)控制器和過程控制系統(tǒng)控制器之間的功能性隔離。正如一般地,獨(dú)立的安全系統(tǒng)控制器通過安全通信構(gòu)架連接到安全現(xiàn)場裝置,同時(shí)過程控制系統(tǒng)控制器通過標(biāo)準(zhǔn)的控制系統(tǒng)總線或通信線連接到控制系統(tǒng)現(xiàn)場裝置。然而,安全系統(tǒng)控制器可通過總線或其他通信信道來與過程控制系統(tǒng)控制器進(jìn)行通信聯(lián)接,并且每個(gè)控制器都通過通用的通信網(wǎng)絡(luò),與過程裝置內(nèi)的一個(gè)或多個(gè)操作者工作站相連接,這使得操作者工作站內(nèi)的軟件能夠既與過程控制系統(tǒng)控制器(和相關(guān)的過程控制現(xiàn)場裝置)也與安全系統(tǒng)控制器(和相關(guān)的安全現(xiàn)場裝置)進(jìn)行通信、對(duì)其配置和觀察其操作。
      這一集成包括,對(duì)安全系統(tǒng)和過程控制系統(tǒng)使用通用的數(shù)據(jù)通信結(jié)構(gòu),使得應(yīng)用程序能夠以同樣的方式,即采用同樣的通信硬件和軟件,來向兩個(gè)系統(tǒng)的任一個(gè)系統(tǒng)中的裝置發(fā)送數(shù)據(jù)和從其接收數(shù)據(jù)。然而,通用的數(shù)據(jù)通信結(jié)構(gòu)可以通過使用在向裝置發(fā)送或從其接收的消息內(nèi)的標(biāo)志、地址或其他字段,來將過程控制裝置和安全裝置區(qū)分開來,這使得與過程控制系統(tǒng)相關(guān)聯(lián)的數(shù)據(jù)能與跟安全系統(tǒng)相關(guān)聯(lián)的數(shù)據(jù)區(qū)分開來,從而使用戶接口內(nèi)的應(yīng)用程序能自動(dòng)地根據(jù)數(shù)據(jù)的來源(或目的地)來有區(qū)別地處理這個(gè)數(shù)據(jù)。
      在一個(gè)例子中,顯示、配置、控制和診斷應(yīng)用程序能夠向過程控制系統(tǒng)設(shè)備以及安全系統(tǒng)設(shè)備寫入需要其執(zhí)行的(或讀出從其產(chǎn)生的)內(nèi)容,同時(shí)根據(jù)對(duì)安全系統(tǒng)設(shè)備的寫入,自動(dòng)地執(zhí)行安全例行程序,而該對(duì)安全系統(tǒng)設(shè)備的寫入對(duì)于寫入到過程控制系統(tǒng)設(shè)備則是不需要的,反之亦然。然而,這些寫入可以根據(jù)要寫入的數(shù)據(jù)在顯示器內(nèi)所放置的顯示器的字段,從同一顯示器上來區(qū)分是寫入到安全系統(tǒng)的還是寫入到過程控制系統(tǒng)的。以同樣的方式,顯示、配置、控制和診斷應(yīng)用程序可向任一系統(tǒng)寫入數(shù)據(jù),而無需從過程控制系統(tǒng)向安全系統(tǒng)或從安全系統(tǒng)向過程控制系統(tǒng)來映射數(shù)據(jù)。
      此外,配置和診斷程序可為在過程裝置內(nèi),對(duì)過程控制系統(tǒng)和安全系統(tǒng)進(jìn)行配置和診斷活動(dòng)提供通用的接口。特別是,配置應(yīng)用程序可使用戶對(duì)過程控制系統(tǒng)和安全系統(tǒng)之一或兩者進(jìn)行配置,并還可利用過程控制系統(tǒng)設(shè)備(邏輯)和安全系統(tǒng)設(shè)備(邏輯)之間已知的關(guān)聯(lián),來將配置信息存儲(chǔ)到通用的數(shù)據(jù)庫中,從而使得更容易理解控制系統(tǒng)配置和安全系統(tǒng)配置之間的相互關(guān)系。更進(jìn)一步地,通用的配置屏幕既可以顯示過程控制系統(tǒng)配置信息,也可以顯示安全系統(tǒng)配置信息,并且在這些系統(tǒng)之一中所產(chǎn)生的數(shù)據(jù)可用于這些系統(tǒng)中另一個(gè)的配置或?qū)崿F(xiàn),而無需執(zhí)行單獨(dú)的映射例行程序。這個(gè)通用或集成配置應(yīng)用程序使得采用單一的配置應(yīng)用程序?qū)φ麄€(gè)裝置進(jìn)行配置變得容易了,而且,其還可不需要對(duì)同一或個(gè)別的用戶進(jìn)行不同配置應(yīng)用程序的培訓(xùn)。
      類似地,也可采用來自過程控制系統(tǒng)和安全系統(tǒng)的數(shù)據(jù)來對(duì)診斷應(yīng)用程序進(jìn)行編程,使其執(zhí)行集成的診斷,而不會(huì)失去對(duì)診斷數(shù)據(jù)源的跟蹤。例如,報(bào)警顯示應(yīng)用程序可用來在同一界面上顯示過程控制系統(tǒng)報(bào)警和安全系統(tǒng)報(bào)警、按優(yōu)先權(quán)排列報(bào)警、并提供一些在這些報(bào)警之間的相互關(guān)系的指示,舉例來說,特定的過程控制系統(tǒng)報(bào)警在某種方式上是與特定的安全系統(tǒng)報(bào)警相關(guān)的。因?yàn)椴捎媚軌騾^(qū)分安全系統(tǒng)設(shè)備和過程控制系統(tǒng)設(shè)備的通用的通信格式來將報(bào)警發(fā)送到診斷應(yīng)用程序中,所以診斷應(yīng)用程序能檢測出報(bào)警是在過程控制系統(tǒng)內(nèi)產(chǎn)生的,還是在安全系統(tǒng)內(nèi)產(chǎn)生的,從而可以顯示兩種類型的報(bào)警,而不會(huì)失去對(duì)這些報(bào)警所產(chǎn)生的時(shí)間和地點(diǎn)的跟蹤。


      圖1是一個(gè)示例性過程裝置的方框圖,該過程裝置具有與過程控制系統(tǒng)集成在一起的安全系統(tǒng),并包括接口、用于針對(duì)過程控制系統(tǒng)和安全系統(tǒng)提供集成的安全、配置和診斷活動(dòng)的配置和診斷應(yīng)用程序;圖2是多個(gè)安全系統(tǒng)控制器的方框圖,該控制器通過第一通信網(wǎng)絡(luò)彼此通信地連接,此外又通過第二和通用的通信網(wǎng)絡(luò)與過程控制系統(tǒng)控制器和操作者界面(interface)相連;圖3是圖1的配置應(yīng)用程序所產(chǎn)生的屏幕顯示的一個(gè)例子,其表示顯示過程控制系統(tǒng)設(shè)備和安全系統(tǒng)設(shè)備兩者的圖1的過程裝置的配置視圖;圖4是圖1的診斷應(yīng)用程序的方框圖,該診斷應(yīng)用程序適于在單一用戶界面中集成過程控制系統(tǒng)和安全系統(tǒng)報(bào)警的顯示和操作;圖5表示圖4的診斷應(yīng)用程序所產(chǎn)生的報(bào)警屏幕的一個(gè)例子,其顯示來自圖1的過程控制系統(tǒng)和安全系統(tǒng)這兩者的報(bào)警;圖6是設(shè)置在一個(gè)或多個(gè)圖1的工作站內(nèi)的安全應(yīng)用程序的例子的方框圖,該安全應(yīng)用程序在向圖1的過程控制系統(tǒng)設(shè)備和安全系統(tǒng)設(shè)備寫入數(shù)據(jù)和從其讀出數(shù)據(jù)時(shí),自動(dòng)地執(zhí)行不同的安全規(guī)則;以及圖7表示操作者界面顯示的一個(gè)例子,其能用圖6的安全應(yīng)用程序,對(duì)圖1的過程控制系統(tǒng)和安全系統(tǒng)內(nèi)的不同設(shè)備進(jìn)行安全的寫入和讀取。
      具體實(shí)施例方式
      現(xiàn)在參考圖1,過程裝置10包括集成了安全系統(tǒng)14(用虛線表示)的過程控制系統(tǒng)12,該過程控制系統(tǒng)12一般作為安全儀表系統(tǒng)(SIS)來進(jìn)行操作,以便監(jiān)視和超馳(override)由過程控制系統(tǒng)12所提供的控制,以便使過程裝置10的可能的安全操作最大化。過程裝置10還包括由裝置工作人員,諸如過程控制操作員、維護(hù)人員、配置工程師等可進(jìn)行訪問的一個(gè)或多個(gè)主工作站、計(jì)算機(jī)或用戶接口16(其可以是任何類型的個(gè)人電腦、工作站等)。在圖1中所示的例子中,顯示了通過公共的通信線或總線22來與兩個(gè)獨(dú)立的過程控制/安全控制節(jié)點(diǎn)18和20相連的并與配置數(shù)據(jù)庫21也相連的三個(gè)用戶接口16??刹捎萌魏纹谕幕诳偩€的或不基于總線的硬件、采用任何期望的硬線的或無線的通信結(jié)構(gòu)、以及采用任何期望的或適當(dāng)?shù)耐ㄐ艆f(xié)議(諸如以太網(wǎng)協(xié)議)來實(shí)現(xiàn)通信網(wǎng)絡(luò)22。
      一般來說,過程裝置10的節(jié)點(diǎn)18和20的每一個(gè)都包括通過設(shè)置在背板上的總線結(jié)構(gòu)連接在一起的過程控制系統(tǒng)設(shè)備和安全系統(tǒng)設(shè)備,其中在背板中連接了不同的設(shè)備。圖1說明了節(jié)點(diǎn)18,其包括過程控制器24(其可以是冗余控制器對(duì))以及一個(gè)或多個(gè)過程控制系統(tǒng)輸入/輸出(I/O)裝置28、30和32;同時(shí)說明了節(jié)點(diǎn)20,其包括過程控制器26(其可以是冗余控制器對(duì)),以及一個(gè)或多個(gè)過程控制系統(tǒng)I/O裝置34和36。每個(gè)過程控制系統(tǒng)I/O裝置28、30、32、34和36都通信地連接到一組與過程控制相關(guān)的現(xiàn)場裝置上,如圖1所示為現(xiàn)場裝置40和42。過程控制器24和26、I/O裝置28-36以及控制器現(xiàn)場裝置40和42通常就構(gòu)成了圖1的過程控制系統(tǒng)12。
      類似地,節(jié)點(diǎn)18包括一個(gè)或多個(gè)安全系統(tǒng)邏輯運(yùn)算器(solver)50和52,同時(shí)節(jié)點(diǎn)20還包括安全系統(tǒng)邏輯運(yùn)算器(solver)54和56。每個(gè)邏輯運(yùn)算器(solver)50-56是具有處理器57的I/O裝置(還可以不同地稱為安全控制器),該處理器57執(zhí)行在存儲(chǔ)器中存儲(chǔ)的安全邏輯模塊58,并通信連接來向安全系統(tǒng)現(xiàn)場裝置60和62提供控制信號(hào)和/或從其接收信號(hào)。此外,節(jié)點(diǎn)18和20的每一個(gè)都可以包括至少一個(gè)消息傳播裝置(MPD,Message PropagationDevice)70或72,它們通過環(huán)形總線連接74(圖1中只表示了其中一部分)彼此通信地相互連接。安全系統(tǒng)邏輯運(yùn)算器(solver)50-56、安全系統(tǒng)現(xiàn)場裝置60和62,MPD 70和72,以及總線74通常構(gòu)成了圖1的安全系統(tǒng)14。
      過程控制器24和26,只是以例子形式,可以是Emerson過程管理部所出售的DeltaVTM控制器,或任何其他期望類型的過程控制器,對(duì)過程控制器24和26進(jìn)行編程,使其使用I/O裝置28、30和32(對(duì)于控制器24)、I/O裝置34和36(對(duì)于控制器26)以及現(xiàn)場裝置40和42,來提供過程控制功能(使用通常所稱的控制模塊)。具體地,控制器24和36每一個(gè)都執(zhí)行或監(jiān)視存儲(chǔ)在其中或其他與其相關(guān)聯(lián)的一個(gè)或多個(gè)過程控制例行程序75(也稱為控制模塊),并與現(xiàn)場裝置40和42以及工作站14進(jìn)行通信,以任何期望的方式來控制過程10或過程10的一部分?,F(xiàn)場裝置40和42可以是任何期望類型的現(xiàn)場裝置,諸如傳感器、閥門、傳送器、定位器等,并可以遵照任何期望的開放的、專有的或其他通信或編程協(xié)議,該協(xié)議包括,例如HART或4-20ma協(xié)議(如現(xiàn)場裝置40所示),任何現(xiàn)場總線協(xié)議,諸如Foundation現(xiàn)場總線協(xié)議(如現(xiàn)場裝置42所示),或CAN、Profibus、AS接口協(xié)議,等等。類似地,I/O裝置28-36可以是使用任何適當(dāng)通信協(xié)議的任何已知類型的過程控制I/O裝置。
      圖1的安全邏輯運(yùn)算器(solver)50-56可以是任何期望類型的安全系統(tǒng)控制裝置,包括處理器57和存儲(chǔ)器,該存儲(chǔ)器存儲(chǔ)適用于在處理器57中執(zhí)行的安全邏輯模塊58,以便通過使用安全現(xiàn)場裝置60和62來提供與安全系統(tǒng)14相關(guān)聯(lián)的控制功能。當(dāng)然,安全現(xiàn)場裝置60和62可以是遵照或使用諸如上面所提及的那些的任何已知類型或期望的通信協(xié)議的任何期望類型的現(xiàn)場裝置。特別地,現(xiàn)場裝置60和62可以是傳統(tǒng)上由獨(dú)立的、專用的有關(guān)安全的控制系統(tǒng)所控制的類型的有關(guān)安全的現(xiàn)場裝置。在圖1中所示的過程裝置10中,安全現(xiàn)場裝置60具體是采用專用的或點(diǎn)對(duì)點(diǎn)的通信協(xié)議,諸如HART或4-20ma協(xié)議,同時(shí)安全現(xiàn)場裝置62如圖所示采用總線通信協(xié)議,諸如現(xiàn)場總線協(xié)議。通常,作為安全系統(tǒng)14的部件使用的安全裝置(安全系統(tǒng)邏輯運(yùn)算器(控制器)50-56以及安全系統(tǒng)現(xiàn)場裝置60和62)將被列為安全裝置,這通常意味著這些裝置必須經(jīng)過評(píng)價(jià)(rating)例程(routine),來由適當(dāng)?shù)闹黧w評(píng)價(jià)為安全裝置。
      在節(jié)點(diǎn)18和20的每一個(gè)中都使用了公共背板76(通過控制器24和26、I/O裝置28-36、安全邏輯運(yùn)算器50-56和MPD70和72用虛線所表示的),以便將控制器24和26連接到過程控制I/O卡28、30和32或34和36,同樣也連接到安全邏輯運(yùn)算器52和54或56和58,以及連接到MPD70或72??刂破?4和26也通信連接到總線22,并作為總線判優(yōu)器(bus arbitrator)來操作,使每個(gè)I/O裝置28-36、邏輯運(yùn)算器52-56以及MPD70和72通過總線22與任一工作站16進(jìn)行通信。
      正如將要了解的,節(jié)點(diǎn)18和20的每一個(gè)中都采用了背板76,使安全邏輯運(yùn)算器50-56彼此進(jìn)行本地通信,以便協(xié)調(diào)由這些裝置的每一個(gè)所執(zhí)行的安全功能,彼此交換數(shù)據(jù),或執(zhí)行其他綜合功能。另一方面,運(yùn)行MPD70和72使允許設(shè)置在裝置10許多不同位置處的安全系統(tǒng)14的各部分仍可彼此進(jìn)行通信,從而在過程裝置10的不同節(jié)點(diǎn)處,提供已協(xié)調(diào)的安全操作。具體地,與總線74相連的MPD70和72能使與過程裝置10的不同節(jié)點(diǎn)18和20相關(guān)聯(lián)的安全邏輯運(yùn)算器(solver)通信地級(jí)聯(lián)在一起,使過程裝置10中相關(guān)安全的功能根據(jù)所分配的優(yōu)先權(quán)來進(jìn)行級(jí)聯(lián)。或者,在過程裝置10內(nèi)不同位置處的兩個(gè)或更多有關(guān)安全的功能可以互鎖或互聯(lián),而不需要向裝置10的獨(dú)立的物理區(qū)域或節(jié)點(diǎn)內(nèi)的單獨(dú)的安全現(xiàn)場裝置運(yùn)行一條專用線。換句話說,MPD70和72以及總線74的使用,允許配置工程師設(shè)計(jì)并配置安全系統(tǒng)14,該安全系統(tǒng)14本質(zhì)上在過程裝置10中是分布式的,但又具有其不同的部件相互通信連接,使與全異的(disparate)安全相關(guān)的硬件根據(jù)需要彼此進(jìn)行通信。這一特征還提供了安全系統(tǒng)14的可擴(kuò)展性,這是因?yàn)楦郊拥陌踩壿嬤\(yùn)算器當(dāng)其需要時(shí)或當(dāng)新的過程控制節(jié)點(diǎn)加入到過程裝置10中時(shí),能夠該附加的安全邏輯運(yùn)算器加入到安全系統(tǒng)14中。
      圖2更詳細(xì)地說明了過程裝置10的節(jié)點(diǎn)18和20內(nèi)部和之間的通信連接。一般說來,圖2中所示的圖1的部件周相同的參考標(biāo)號(hào)來表示。然而,控制器24和26的每一個(gè)都在圖2中作為冗余控制器對(duì)24A、24B以及26A和26B來說明,它們可使用任何標(biāo)準(zhǔn)的冗余技術(shù)。類似地,安全邏輯運(yùn)算器50-56的每一個(gè)都表示成一對(duì)裝置,在每一對(duì)中具有一級(jí)(primary)安全邏輯運(yùn)算器50A、52A、54A和56A,以及二級(jí)安全邏輯運(yùn)算器50B、52B、54B和56B。如將要了解的,每對(duì)安全邏輯運(yùn)算器50-56連接到安全現(xiàn)場裝置(圖2中未說明),并可存儲(chǔ)相同的安全邏輯模塊58,以便在安全系統(tǒng)14內(nèi)執(zhí)行安全功能中使用。每對(duì)安全邏輯運(yùn)算器50-56都包括在一級(jí)和二級(jí)邏輯運(yùn)算器(solver)之間連接的專用總線50C、52C、54C和56C,以便提供邏輯運(yùn)算器對(duì)之間的控制通信。一級(jí)和二級(jí)安全邏輯運(yùn)算器最好同時(shí)運(yùn)行和執(zhí)行運(yùn)算,這兩套裝置的輸出可通過適當(dāng)?shù)目偩€50C、52C、54C和56C彼此進(jìn)行通信和確認(rèn)。如果希望的話,一級(jí)裝置可包括表決邏輯,其根據(jù)一級(jí)和二級(jí)裝置這兩者的輸出來確定安全邏輯運(yùn)算器對(duì)的輸出?;蛘?,任何期望的或已知的冗余技術(shù)都可用于邏輯運(yùn)算器對(duì)50-56。
      此外,每一個(gè)MPD 70和72都圖示為冗余對(duì)裝置70A、70B和72A、72B,不同節(jié)點(diǎn)18和20的MPD與冗余對(duì)通過內(nèi)部節(jié)點(diǎn)(inter-node)通信線或總線74相連接。盡管圖1和圖2說明僅在兩節(jié)點(diǎn)18和20之間的通信互聯(lián),可以理解,單個(gè)或冗余對(duì)的MPD可被設(shè)置在過程裝置10中的任何數(shù)量的不同節(jié)點(diǎn)中,并可在環(huán)形總線結(jié)構(gòu)中彼此連接,以任何期望的方式提供內(nèi)部節(jié)點(diǎn)通信。因?yàn)橥ǔJ褂铆h(huán)形總線通信結(jié)構(gòu)(盡管不是必須的),所以第一節(jié)點(diǎn)的MPD將連接到第二節(jié)點(diǎn)的MPD,該第二節(jié)點(diǎn)的MPD將連接到第三節(jié)點(diǎn)的MPD,以此類推,最后一個(gè)節(jié)點(diǎn)的MPD連接到第一節(jié)點(diǎn)的MPD,都是通過環(huán)形總線74。如果在過程裝置10中只存在兩個(gè)節(jié)點(diǎn),如圖1所示,節(jié)點(diǎn)20的MPD72A和72B的輸出總線74就將直接連接到節(jié)點(diǎn)18的MPD70A和70B的輸入處。
      在說明了圖1的控制器24、26以及工作站之間的連接以外,圖2還詳細(xì)地說明了背板76。具體地,在節(jié)點(diǎn)18處,控制器24A和24B通過最好是設(shè)置在背板76中的干線總線通信連接100連接到I/O裝置28、30和32,連接到冗余對(duì)安全邏輯運(yùn)算器50A、50B和52A、52B,并連接到冗余對(duì)MPD70A和70B。以同樣的方式,在節(jié)點(diǎn)20處,控制器26A和26B通過設(shè)置在背板76中的干線總線通信連接102連接到I/O裝置34和36,連接到安全邏輯運(yùn)算器對(duì)54A、54B和56A、56B,并連接到冗余對(duì)MPD72A和72B??刂破?4和26使用干線總線(railbus)連接100和102,來提供一端在工作站14和另一端在I/O裝置28-36以及安全系統(tǒng)邏輯運(yùn)算器50-56和MPD70和72之間的通信,同時(shí)提供一端在I/O裝置28-36和另一端在安全系統(tǒng)邏輯運(yùn)算器50-56和MPD70和72之間的通信。換句話說,干線總線的線路100和102用作通信網(wǎng)絡(luò),其使安全系統(tǒng)設(shè)備與過程控制系統(tǒng)設(shè)備在過程裝置10內(nèi)以較高的水平相集成,從而使得設(shè)置在工作站14內(nèi)的相同的配置應(yīng)用程序和顯示應(yīng)用程序可以對(duì)來自過程控制系統(tǒng)設(shè)備和安全系統(tǒng)設(shè)備這兩者的信息進(jìn)行通信、配置和顯示。
      此外,對(duì)于節(jié)點(diǎn)18所說明的,背板76包括一級(jí)點(diǎn)對(duì)點(diǎn)(P2P)總線104A,其將每個(gè)安全系統(tǒng)邏輯運(yùn)算器50和52連接到一級(jí)MPD70A,同時(shí)二級(jí)P2P總線104B將每個(gè)安全系統(tǒng)邏輯運(yùn)算器50和52連接到二級(jí)MPD70B。一級(jí)和二級(jí)P2P總線104A和104B是本地P2P總線,在單一背板76內(nèi)的安全邏輯運(yùn)算器之間,及其與相關(guān)的或連接到背板76的MPD70之間提供本地通信。以類似的方式,節(jié)點(diǎn)20包括一級(jí)點(diǎn)對(duì)點(diǎn)(P2P)總線106A,其提供每一個(gè)冗余對(duì)安全系統(tǒng)邏輯運(yùn)算器54和56與一級(jí)MPD72A之間的連接,同時(shí)二級(jí)P2P總線106B將每一冗余對(duì)安全系統(tǒng)邏輯運(yùn)算器54和56連接到二級(jí)MPD72B。一級(jí)和二級(jí)P2P總線106A和106B是本地P2P總線,其提供在節(jié)點(diǎn)20的背板76內(nèi)的安全邏輯運(yùn)算器和MPD72之間的本地通信。可以理解,本地一級(jí)和二級(jí)P2P總線104A、104B、106A、106B在各自背板76上所有有關(guān)安全的邏輯運(yùn)算器50-56之間的冗余通信路徑。如果需要的話,本地P2P總線104和106可作為廣播總線來操作,這是因?yàn)槠渲忻總€(gè)連接到總線的安全邏輯運(yùn)算器和MPD裝置接收該總線上所有其他裝置的傳送,并且同一時(shí)刻只有一個(gè)裝置可進(jìn)行發(fā)送。當(dāng)然,盡管圖2只說明了在不同的節(jié)點(diǎn)18和20中連接到每一背板76的兩組安全邏輯運(yùn)算器,任何期望數(shù)量的安全邏輯運(yùn)算器,其可以是冗余對(duì)邏輯運(yùn)算器或單個(gè)(stand-alone)邏輯運(yùn)算器,都可在節(jié)點(diǎn)18和20的每一個(gè)處連接到背板76(從而也能連接到本地P2P總線104或106上)。
      如果需要的話,安全邏輯運(yùn)算器可使用時(shí)分多路存取(TDMA)技術(shù)來共享本地P2P總線介質(zhì),在該技術(shù)中,特定背板上的所有本地安全邏輯運(yùn)算器可彼此進(jìn)行同步。在一種情況下,本地P2P總線104和106可使用RS485Manchester編碼HDLC協(xié)議,帶有例如2Mb/s的流量。該Manchester編碼系統(tǒng)使線路以4Mb/s來驅(qū)動(dòng)。這種給定的速率只是示例性的,還可以選擇其他適當(dāng)?shù)乃俾屎途幋a系統(tǒng)。此外,如果需要的話,每個(gè)特定背板上的本地安全邏輯運(yùn)算器可根據(jù)其在背板76中的物理位置,來決定或分配其在背板76所使用的TDMA系統(tǒng)內(nèi)的傳送時(shí)段,這可以減少在特定節(jié)點(diǎn)中設(shè)置背板76所需要的配置步驟的數(shù)量。而且,背板76的一級(jí)和二級(jí)P2P總線104和106可支持任何希望的消息類型,本地P2P總線104和106的物理連接可設(shè)置于背板76內(nèi)。
      遙控P2P總線74最好使用環(huán)形拓?fù)渚W(wǎng)絡(luò)使數(shù)據(jù)在過程裝置10中不同節(jié)點(diǎn)、從而是設(shè)置在不同背板76中的安全邏輯運(yùn)算器之間進(jìn)行通信。MPD70和72負(fù)責(zé)在遙控P2P總線所構(gòu)成的環(huán)形網(wǎng)絡(luò)周圍,進(jìn)行消息傳播,將消息從與MPD70和72同一背板上的安全邏輯運(yùn)算器直接放置到環(huán)形網(wǎng)絡(luò)74,再將環(huán)形網(wǎng)絡(luò)74上、要提交給與MPD70和72同一背板上的安全邏輯運(yùn)算器的消息,傳遞給安全邏輯運(yùn)算器。盡管遙控P2P總線74上可傳播任何數(shù)量的消息,在一個(gè)實(shí)施例中,在任何P2P總線周期期間可傳播的最大消息數(shù)量是32。這些消息由1到32個(gè)獨(dú)立的不同的安全邏輯運(yùn)算器而來,包括節(jié)點(diǎn)18和20的背板76上的安全邏輯運(yùn)算器50-56,以及過程裝置10中通過環(huán)形總線74互連的其他節(jié)點(diǎn)的任何其他背板上的安全邏輯運(yùn)算器。然而,由于環(huán)形總線74在這些裝置之間提供的通信連接能夠同步執(zhí)行,該操作的結(jié)果就是,所有安全系統(tǒng)14中的安全邏輯運(yùn)算器都可同步運(yùn)行,即使其位于不同節(jié)點(diǎn)。環(huán)形總線74可采用任何預(yù)期類型的總線結(jié)構(gòu)和協(xié)議,但最好采用10Base-T以太網(wǎng)協(xié)議的點(diǎn)對(duì)點(diǎn)雙絞線,或具有10Mbit/sec傳輸速率的光纜和10base-F以太網(wǎng)協(xié)議。
      再次參照圖1,每個(gè)工作站16包括處理器77和存儲(chǔ)器78,存儲(chǔ)適合由處理器77執(zhí)行的、任何數(shù)量的用戶接口、配置、診斷和/或觀察程序。配置程序80和診斷程序82在圖1中以分解圖來表示,表示存儲(chǔ)在一個(gè)工作站16中,同時(shí)表示了用戶接口或顯示程序85存儲(chǔ)在第二個(gè)工作站16中。然而,如果需要的話,這些程序可以在與過程裝置10相關(guān)聯(lián)的其他計(jì)算機(jī)中,或不同工作站16中存儲(chǔ)并執(zhí)行。一般來說,配置程序80為配置工程師提供配置消息,使配置工程師對(duì)過程裝置10的一些或所有元件進(jìn)行配置,并在配置數(shù)據(jù)庫21中存儲(chǔ)該配置。作為配置程序80所執(zhí)行的配置活動(dòng)的一部分,配置工程師可為過程控制器24和26創(chuàng)建控制程序或控制模塊,可為任何及所有安全邏輯運(yùn)算器50-56創(chuàng)建安全邏輯模塊58,可通過總線22和控制器24和26下載這些不同的控制和安全模塊到適當(dāng)?shù)囊粋€(gè)過程控制器24和26以及安全邏輯運(yùn)算器50-56中。類似地,配置程序80可用來創(chuàng)建和下載其他程序和邏輯到I/O裝置28-36,到任何現(xiàn)場裝置40,42,60和62等??梢岳斫獾氖牵瑢?duì)于獨(dú)立的過程控制和安全系統(tǒng),這些過程控制和安全控制模塊可獨(dú)立于執(zhí)行這些模塊的裝置而創(chuàng)建,并可通過彼此直接相互關(guān)聯(lián)而通信連接,從而過程控制系統(tǒng)邏輯和安全系統(tǒng)邏輯在分配給特定裝置之前就可彼此通信。這一特征使過程控制系統(tǒng)和安全系統(tǒng)模塊作為模板來創(chuàng)建和存儲(chǔ),當(dāng)過程裝置內(nèi)的設(shè)備改變、移走等之后,為這些模塊提供了更方便的可移植性,并在與這些系統(tǒng)相關(guān)聯(lián)的物理裝置到位之前就一般性地完成過程控制系統(tǒng)12和安全系統(tǒng)14的邏輯配置。
      相反地,診斷程序82可用來為用戶,例如過程控制操作員、安全操作員等,提供一個(gè)或多個(gè)顯示,它包括有關(guān)過程控制系統(tǒng)12和安全系統(tǒng)14狀態(tài)的消息,根據(jù)需要在獨(dú)立的視圖或同一視圖中顯示。例如,診斷程序82可以是報(bào)警顯示程序,它為操作員接收和顯示報(bào)警指示。如果需要的話,這一種報(bào)警顯示程序可采用名為“包括報(bào)警優(yōu)先權(quán)調(diào)整的過程控制系統(tǒng)”的5768119A號(hào)美國專利以及名為“過程控制網(wǎng)絡(luò)中的集成的報(bào)警顯示”的09/707,580號(hào)美國專利申請所公開的形式,二者都轉(zhuǎn)讓給了本專利的受讓人,從而在此描述性地包含,以作為參考文獻(xiàn)。然而,可以理解,這些專利的報(bào)警顯示或報(bào)警欄可在集成的報(bào)警顯示畫面中接收來自過程控制系統(tǒng)12以及安全控制系統(tǒng)14的報(bào)警,同時(shí)通過將來自兩個(gè)系統(tǒng)12和14的報(bào)警傳送到執(zhí)行報(bào)警顯示程序的操作者工作站16,且這些報(bào)警作為來自不同類型裝置的報(bào)警、包括作為來自過程控制系統(tǒng)或安全系統(tǒng)的報(bào)警,被識(shí)別。如果需要的話,一個(gè)操作者可采用與過程控制報(bào)警相同的方式來響應(yīng)(如確認(rèn)、禁止等)報(bào)警欄顯示的安全報(bào)警。例如,操作者或用戶可使用報(bào)警顯示器的任何功能來確認(rèn)安全報(bào)警、關(guān)閉安全報(bào)警等。這些動(dòng)作利用總線22和背板76上的通信,發(fā)送消息到安全系統(tǒng)14內(nèi)適當(dāng)?shù)陌踩壿嬔b置50-56,從而使安全系統(tǒng)14針對(duì)該安全報(bào)警采取相應(yīng)的動(dòng)作。以類似的方式,其他診斷程序也可顯示從過程控制系統(tǒng)12以及安全系統(tǒng)14所獲得的診斷消息或數(shù)據(jù),由于這兩個(gè)系統(tǒng)采用了同樣類型和種類的參數(shù)、保護(hù)及關(guān)聯(lián),使來自系統(tǒng)12和14之一的任何數(shù)據(jù)可集成到過去只為過程控制系統(tǒng)而設(shè)置的顯示或觀察畫面中。
      用戶接口程序85可以是任何類型的接口,例如,使用戶操縱數(shù)據(jù)值(如進(jìn)行讀出或?qū)懭?,從而在其中之一或所有兩個(gè)控制系統(tǒng)和安全系統(tǒng)中,改變控制或安全模塊的操作,同時(shí)提供恰當(dāng)?shù)谋Wo(hù)級(jí)別和類型。因而,舉個(gè)例子,如果寫入動(dòng)作限定到與控制系統(tǒng)12相關(guān)聯(lián)的控制模塊,例如控制模塊75之一,或現(xiàn)場裝置42之一,那么,例如,程序85就執(zhí)行恰當(dāng)?shù)谋Wo(hù)進(jìn)程,使該寫入動(dòng)作發(fā)生。另一方面,如果寫入動(dòng)作限定到與安全系統(tǒng)14相關(guān)聯(lián)的模塊,如模塊58之一,或現(xiàn)場裝置62之一,那么,例如,程序85就執(zhí)行恰當(dāng)?shù)谋Wo(hù)措施和進(jìn)程,使該寫入動(dòng)作發(fā)生,且如果滿足保護(hù)條件,則發(fā)送寫入指令到適當(dāng)?shù)陌踩b置,而不需要在安全系統(tǒng)控制器50-56中設(shè)置另外的防火墻。
      在任何過程中,程序80、82和85可發(fā)送獨(dú)立的配置、診斷和其他信號(hào)到各過程控制器24和26以及各安全系統(tǒng)邏輯運(yùn)算器50-56,并從其接收數(shù)據(jù)。這些信號(hào)可包括與控制相關(guān)過程控制現(xiàn)場裝置40和42的控制和操作參數(shù)有關(guān)的過程級(jí)消息,還可包括與安全相關(guān)聯(lián)的現(xiàn)場裝置60和62的控制和操作參數(shù)有關(guān)的安全級(jí)消息,還可包括與特定裝置相關(guān)聯(lián)的裝置級(jí)消息,既包括過程控制系統(tǒng)設(shè)備也包括安全系統(tǒng)設(shè)備。安全邏輯運(yùn)算器50-56可進(jìn)行編程,來識(shí)別過程級(jí)消息和安全級(jí)消息,同時(shí)安全邏輯運(yùn)算器50-56還能區(qū)分兩種類型的消息,并不能夠由過程級(jí)配置信號(hào)所命令或作用。舉一個(gè)例子,傳送給過程控制系統(tǒng)設(shè)備的指令消息可包括某些字段或地址,它們可由安全系統(tǒng)設(shè)備識(shí)別,并防止這些消息用于對(duì)安全系統(tǒng)設(shè)備的命令。特別的,發(fā)送到例如安全系統(tǒng)邏輯裝置50-56之一的安全系統(tǒng)裝置或程序的,或從其接收的標(biāo)簽(例如路徑名)或地址,可以包括專門的字段或頭,標(biāo)志與安全系統(tǒng)14相關(guān)聯(lián)的裝置或單元。如果在這種情況,嵌入在所有程序中的寫保護(hù)軟件可決定什么時(shí)候要對(duì)安全系統(tǒng)部件寫入與數(shù)據(jù)相關(guān)聯(lián)的標(biāo)簽或地址。當(dāng)保護(hù)軟件確定安全系統(tǒng)需要寫入(或讀出)時(shí),保護(hù)程序可自動(dòng)執(zhí)行預(yù)期的保護(hù)進(jìn)程,如檢查密碼、驗(yàn)證用戶,來確定該用戶具有向安全系統(tǒng)設(shè)備或邏輯單元寫入(或讀出)所需的權(quán)限。
      如果需要的話,安全邏輯運(yùn)算器50-56可采用與過程控制I/O卡28-36所用硬件和軟件相比、相同的或不同的硬件或軟件設(shè)計(jì)。然而,對(duì)過程控制系統(tǒng)12內(nèi)設(shè)備和安全系統(tǒng)14內(nèi)設(shè)備采用互換技術(shù)可以最小化或消除一般原因的硬件或軟件故障。
      安全系統(tǒng)設(shè)備,包括邏輯運(yùn)算器50-56,還可采用任何預(yù)期的隔離和保護(hù)技術(shù),來降低或消除對(duì)其所執(zhí)行的相關(guān)安全功能作出未經(jīng)許可改變的機(jī)率。例如,安全邏輯運(yùn)算器50-56和配置程序80需要具有特定權(quán)限級(jí)別的人員,或處于特定工作站的人員來改變邏輯運(yùn)算器50-56內(nèi)的安全模塊,該權(quán)限級(jí)別或所處位置與由控制器24和26以及I/O裝置28-36來執(zhí)行的改變過程控制功能所需的權(quán)限或訪問級(jí)別是不同的。在這種情況,只有安全軟件中指定的人員、或位于有權(quán)修改安全系統(tǒng)14的工作站的人員,才有權(quán)力更改相關(guān)安全功能,這使得安全系統(tǒng)14操作發(fā)生訛誤的幾率實(shí)現(xiàn)最小化??梢岳斫獾氖牵獙?shí)現(xiàn)該保護(hù),安全邏輯運(yùn)算器50-56內(nèi)的處理器可評(píng)估進(jìn)入消息的適當(dāng)形式和安全性,并在安全邏輯運(yùn)算器50-56內(nèi)執(zhí)行的安全級(jí)控制模塊58被修改時(shí),作為監(jiān)視程序。另外,正如以下所具體描述的,為安全邏輯運(yùn)算器50-56產(chǎn)生消息的程序可執(zhí)行保護(hù)過程,當(dāng)用戶的保護(hù)級(jí)不足以向安全系統(tǒng)設(shè)備寫入或讀出時(shí),拒絕發(fā)送消息。
      這樣,如果希望的話,一旦相關(guān)安全功能在邏輯運(yùn)算器50-56內(nèi)啟動(dòng),就無法通過不具有適當(dāng)訪問特權(quán)的操作者工作站16來改變安全功能的狀態(tài),這使與過程控制系統(tǒng)12相關(guān)聯(lián)的通信結(jié)構(gòu)可用來對(duì)安全系統(tǒng)14提供初始化,并用來提供安全系統(tǒng)14操作的運(yùn)行時(shí)間報(bào)告,但過程控制系統(tǒng)12與安全系統(tǒng)14卻仍隔離,在一方面來說,即對(duì)過程控制系統(tǒng)12的改變不會(huì)影響安全系統(tǒng)14的操作。
      圖3表示了由圖1配置程序所產(chǎn)生的顯示屏幕183,描述了配置內(nèi)容,其中安全系統(tǒng)14(包括邏輯運(yùn)算器50-5和安全現(xiàn)場裝置60、62)與過程控制系統(tǒng)12集成在一起??梢岳斫?,圖3的配置顯示屏幕183表示了配置程序80對(duì)過程裝置10內(nèi)不同設(shè)備的相關(guān)軟件進(jìn)行配置的方式,且配置程序可由配置工程師來使用,通過下載新的配置軟件到過程裝置10內(nèi)的設(shè)備,包括過程控制系統(tǒng)設(shè)備和安全系統(tǒng)設(shè)備,來創(chuàng)建或更改過程裝置10的當(dāng)前配置。
      如顯示屏幕183所示,過程裝置10包括物理網(wǎng)絡(luò)部分184,用來顯示過程裝置10內(nèi)設(shè)備的物理連接;以及安全網(wǎng)絡(luò)部分185,用來配置安全系統(tǒng)設(shè)備。物理網(wǎng)絡(luò)部分184包括具有控制器187(命名為CTLR1)的控制網(wǎng)絡(luò)部分186??刂破?87可以是圖1控制器24、26中的一個(gè),包括一組存儲(chǔ)在控制器187中、并由其所執(zhí)行的控制模塊188,還包括I/O裝置部分189,與控制器187相連,用作通信目的。I/O裝置部分189被放大,表示了通過圖1的一個(gè)背板76連接到控制器187(CTRL1)上的所有卡190。在該例子中,I/O裝置部分189包括過程控制輸入/輸出卡C01-C05,C11-C15和C21。每個(gè)這些卡都可放大,能表示出與各卡相連的不同的現(xiàn)場裝置相關(guān)(圖1的現(xiàn)場裝置40和42中的各獨(dú)立裝置)的身份,及其他相關(guān)消息。類似地,要表示物理連接,兩個(gè)安全系統(tǒng)卡C07(命名為”BLR1BMS”)和C017(尚未配置)都表示成明暗形式,在該部分不能放大,因?yàn)樗鼈儾荒茉诳刂凭W(wǎng)絡(luò)中由其進(jìn)行配置。然而,可以理解的是,與過程控制系統(tǒng)12相關(guān)聯(lián)的裝置可用屏幕183的控制網(wǎng)絡(luò)部分186,通過在配置畫面的該部分加入、刪除或改變控制模塊、I/O裝置和/或現(xiàn)場裝置來進(jìn)行配置。
      安全系統(tǒng)14在顯示屏幕183的安全網(wǎng)絡(luò)部分185中表示,包括三個(gè)安全邏輯運(yùn)算器191-193,命名為BLR1BMS、BLR2BMS和LS1。類似地,如果需要,消息傳送裝置(如圖1的MPD70和72)也可在安全網(wǎng)絡(luò)部分185中表示。在屏幕183中,放大安全邏輯運(yùn)算器191,以表示其包括了指定的安全模塊、一個(gè)或多個(gè)通道(連接到圖1的安全現(xiàn)場裝置如裝置60和62)和安全參數(shù)。每個(gè)這些元件都可在屏幕183部分進(jìn)一步觀察、加入、刪除或改變,從而對(duì)安全系統(tǒng)14進(jìn)行配置。具體地,安全系統(tǒng)14可用安全網(wǎng)絡(luò)部分185,以類似于用控制網(wǎng)絡(luò)部分186對(duì)過程控制網(wǎng)絡(luò)12進(jìn)行配置的方式,來進(jìn)行配置和修改。實(shí)際上,可以理解,控制或安全模塊可采用美國專利第5838563所描述的配置過程控制系統(tǒng)的方法,來創(chuàng)建并指定給各不同的控制和安全系統(tǒng),該專利已轉(zhuǎn)讓給本專利的申請人,因而描述性地包含在此作為參考。
      然而,一般來說,安全邏輯模塊可從存儲(chǔ)在配置庫中的模塊模板對(duì)象創(chuàng)建而來,并用來在特定的安全邏輯運(yùn)算器中執(zhí)行與過程裝置10內(nèi)特定的安全現(xiàn)場裝置相關(guān)聯(lián)的安全功能。要?jiǎng)?chuàng)建安全邏輯模塊,安全工程師可拷貝特定的控制模板(既可用來創(chuàng)建過程控制器中的過程控制模塊,也可用來創(chuàng)建安全邏輯運(yùn)算器中的安全邏輯模塊),來創(chuàng)建特定的安全邏輯模塊,并可通過拖曳和拉出該安全邏輯模塊到圖3配置顯示屏幕183內(nèi)預(yù)期的安全邏輯運(yùn)算器的指示條上或下面,來分配該安全邏輯模塊到特定的安全元件,如安全邏輯運(yùn)算器之一。在實(shí)現(xiàn)該公開系統(tǒng)的過程中,創(chuàng)建了安全工程師的新用戶角色。在對(duì)安全系統(tǒng)14配置時(shí),管理過程控制部分的配置工程師可以不具有配置安全模塊的適當(dāng)?shù)臋?quán)限,而安全模塊的配置將由安全工程師來進(jìn)行。這樣,系統(tǒng)內(nèi)的保護(hù)考慮到了獨(dú)立的安全工程師和過程配置工程師的情況。
      在一個(gè)特定例子中,安全工程師可通過從安全網(wǎng)絡(luò)菜單(可以是,如彈出式、或下拉式)中選擇增加邏輯運(yùn)算器菜單選項(xiàng)(未示出)來在安全網(wǎng)絡(luò)部分185下加入安全邏輯運(yùn)算器。這時(shí),具有下一個(gè)可用系統(tǒng)名的邏輯運(yùn)算器在安全網(wǎng)絡(luò)185下創(chuàng)建了。自動(dòng)創(chuàng)建系統(tǒng)名可從如LS1開始,但也可以在過程裝置10的配置系統(tǒng)內(nèi)重新命名為任何全局(globally)的獨(dú)特名稱。圖3表示了兩個(gè)邏輯運(yùn)算器被重命名,一個(gè)(LS1)未被重命名的情況。在這一點(diǎn)上,邏輯運(yùn)算器仍為占位符,但并不綁定到物理邏輯運(yùn)算器。此后,用戶可從物理網(wǎng)絡(luò)部分184下(如I/O部分189下的一個(gè)卡)拖曳和下拉邏輯運(yùn)算器到安全網(wǎng)絡(luò)部分185,來將特定的物理邏輯運(yùn)算器(即一卡)綁定到創(chuàng)建的占位符中。一旦在安全網(wǎng)絡(luò)部分185下特定的邏輯運(yùn)算器被綁定,就對(duì)邏輯運(yùn)算器進(jìn)行配置變化,并在物理網(wǎng)絡(luò)部分184所指定的特定的物理邏輯運(yùn)算器上下載。進(jìn)一步地,一旦綁定,安全網(wǎng)絡(luò)部分185下的邏輯運(yùn)算器在括號(hào)中顯示物理路徑。而物理網(wǎng)絡(luò)部分184下的邏輯運(yùn)算器(卡)則在括號(hào)中顯示邏輯運(yùn)算器名。該安全邏輯裝置191和卡CO7以圖3的方式綁定到一起。在物理網(wǎng)絡(luò)部分184下的卡CO7分散表示其不能在過程控制網(wǎng)絡(luò)部分186下進(jìn)行配置,而必須通過安全網(wǎng)絡(luò)部分185進(jìn)行配置。更進(jìn)一步的,安全網(wǎng)絡(luò)部分185下的端口(Port)(現(xiàn)場總線)部分表示了現(xiàn)場總線端口,現(xiàn)場總線安全裝置加入到該端口,或連接到安全邏輯單元或安全控制器191。
      如果需要,綁定過程還可通過拖曳安全網(wǎng)絡(luò)部分185下未綁定的邏輯運(yùn)算器到物理網(wǎng)絡(luò)部分184下未綁定的邏輯運(yùn)算器,或者物理網(wǎng)絡(luò)部分184下未綁定的邏輯運(yùn)算器可拖曳或下拉到安全網(wǎng)絡(luò)部分185下來執(zhí)行。在任一情況下,將占位符綁定到物理邏輯運(yùn)算器會(huì)在括號(hào)中產(chǎn)生表示的標(biāo)記。當(dāng)然,不支持拖曳或下拉在安全網(wǎng)絡(luò)部分185下的占位符到控制網(wǎng)絡(luò)部分中控制器下的I/O,事實(shí)上這是被保護(hù)系統(tǒng)所禁止的,這樣就不可能在過程控制器I/O裝置下產(chǎn)生邏輯運(yùn)算器卡。這在過程控制裝置和安全裝置之間提供了功能性的隔離。低級(jí)別的安全元件,如安全現(xiàn)場裝置,安全模塊、參數(shù)等,可通過在屏幕顯示183的適當(dāng)位置放置(如拖曳或下拉)這些低級(jí)別元件的標(biāo)志,來指定給或綁定到特定的安全邏輯運(yùn)算器。
      然而,可以理解,可采用類似的技術(shù),用配置屏幕183對(duì)過程控制網(wǎng)絡(luò)186進(jìn)行配置,這樣過程控制網(wǎng)絡(luò)(系統(tǒng))和安全系統(tǒng)可用同一程序來配置,從而確定過程控制網(wǎng)絡(luò)內(nèi)和安全網(wǎng)絡(luò)內(nèi)元件之間的相互關(guān)系。此外,由于配置程序80對(duì)過程控制網(wǎng)絡(luò)186和安全網(wǎng)絡(luò)185的配置采用了同一命名結(jié)構(gòu)(在這些名稱的字段中采用用來確定元件是與過程控制網(wǎng)絡(luò)相關(guān),還是與安全網(wǎng)絡(luò)相關(guān)的變量),因此,所有其他程序就可根據(jù)與數(shù)據(jù)相關(guān)聯(lián)的名稱或標(biāo)簽,來方便地確定數(shù)據(jù)或信號(hào)是由過程控制元件產(chǎn)生或發(fā)送到其上,還是由安全元件產(chǎn)生并發(fā)送到其上。由于該通用配置和命名結(jié)構(gòu),數(shù)據(jù)不需要從安全系統(tǒng)映射到過程控制系統(tǒng),反之亦然。替代性地,任何程序可從過程控制裝置或安全系統(tǒng)設(shè)備中的任一個(gè)接收數(shù)據(jù),并向其發(fā)送數(shù)據(jù)或指令(假定滿足保護(hù)規(guī)則),還能夠根據(jù)數(shù)據(jù)的名稱或標(biāo)簽,或者數(shù)據(jù)被發(fā)送至的裝置或邏輯元件的名稱或標(biāo)簽,來了解該數(shù)據(jù)屬于哪個(gè)系統(tǒng)。
      此外,由于在過程控制系統(tǒng)設(shè)備和邏輯,以及安全系統(tǒng)邏輯和裝置之前采用了通用的命名結(jié)構(gòu),且由于配置數(shù)據(jù)庫為所有這些實(shí)體存儲(chǔ)了數(shù)據(jù),配置工程師可具有與安全邏輯模塊相關(guān)聯(lián)(通信)且反之亦然的過程控制模塊,而無需進(jìn)行任何映射。事實(shí)上,配置工程師可對(duì)安全邏輯模塊進(jìn)行配置,使其與過程控制邏輯模塊相關(guān)聯(lián),反之亦然,它的方式與工程師使兩個(gè)安全邏輯模塊或兩個(gè)過程控制模塊彼此相關(guān)聯(lián)的方式是相同的。正如已知的,這種關(guān)聯(lián)可通過在圖形配置屏幕上兩個(gè)模塊適當(dāng)?shù)妮斎牒洼敵鲋g圖形化地連線就可完成,或通過用適當(dāng)?shù)臉?biāo)簽、名稱、地址等人為地確定要關(guān)聯(lián)的參數(shù)來完成。在一個(gè)實(shí)施例中,這種關(guān)聯(lián)通過采用公知的名字、參數(shù)關(guān)聯(lián)形式來進(jìn)行。在這種情況下,模塊或其他實(shí)體的名稱、以及該實(shí)體的參數(shù)就被列為與兩模塊之間通信相關(guān)聯(lián)的標(biāo)簽(路徑)的一部分。
      此外更進(jìn)一步地,如果需要,與過程控制系統(tǒng)和安全系統(tǒng)相關(guān)聯(lián)的配置數(shù)據(jù),可存儲(chǔ)在通用數(shù)據(jù)庫(如圖1的配置數(shù)據(jù)庫21)中,還可以集成的方式存儲(chǔ)在公共的數(shù)據(jù)庫中,并可由單個(gè)程序,如配置程序80在任何預(yù)定的時(shí)間對(duì)其進(jìn)行存取。另外,裝置的不同部分的配置數(shù)據(jù)可分散開并存儲(chǔ)在裝置10的不同位置。例如,圖1裝置中節(jié)點(diǎn)18的配置數(shù)據(jù)(對(duì)于與節(jié)點(diǎn)18相關(guān)聯(lián)的過程控制裝置以及安全系統(tǒng)設(shè)備)可存儲(chǔ)在節(jié)點(diǎn)18的控制器24中,作為數(shù)據(jù)庫或存儲(chǔ)器202,而圖1裝置中節(jié)點(diǎn)20的配置數(shù)據(jù)(對(duì)于與節(jié)點(diǎn)20相關(guān)聯(lián)的過程控制裝置以及安全系統(tǒng)設(shè)備)可存儲(chǔ)在節(jié)點(diǎn)20的控制器26中,作為數(shù)據(jù)庫或存儲(chǔ)器204。
      以這種方式,配置活動(dòng)可由同一配置程序完成,來對(duì)與裝置10相關(guān)聯(lián)的過程控制網(wǎng)絡(luò)12以及安全網(wǎng)絡(luò)14進(jìn)行配置,這兩個(gè)系統(tǒng)的配置數(shù)據(jù)可集成到一起,表示過程控制系統(tǒng)的硬件、軟件和安全系統(tǒng)的硬件、軟件之間的相互關(guān)系。然而,由于采用了通用的配置模式,過程控制系統(tǒng)12和安全系統(tǒng)14內(nèi)元件的命名和數(shù)據(jù)尋址可通過為向每個(gè)裝置提供一個(gè)唯一的名稱或地址來確定,這樣安全系統(tǒng)部件(和數(shù)據(jù))與過程控制系統(tǒng)部件(和數(shù)據(jù))可以方便地區(qū)分開來。這因而也消除了映射的需要??梢岳斫?,配置程序80對(duì)過程控制系統(tǒng)(及其中所有邏輯和物理實(shí)體)以及安全系統(tǒng)(及其中所有邏輯和物理實(shí)體)采用了通用的標(biāo)簽、命名、尋址和關(guān)聯(lián)格式。
      此外,所有只與位置(或區(qū)域)相關(guān)聯(lián)的共享的配置和運(yùn)行時(shí)間項(xiàng)對(duì)于過程控制系統(tǒng)和安全系統(tǒng)來說只需定義一次(并不是對(duì)各系統(tǒng)獨(dú)立定義),因?yàn)檫^程控制模塊和安全模塊在同一區(qū)域內(nèi)是綁定在一起的。這種綁定是邏輯的,因?yàn)槊總€(gè)區(qū)域都是既有過程控制系統(tǒng)設(shè)備(和邏輯)也有安全系統(tǒng)設(shè)備(和邏輯)的邏輯組。例如,在一個(gè)區(qū)域可以有多個(gè)鍋爐,該區(qū)域可稱為“BOILERS(鍋爐)”?!癇OILERS(鍋爐)”區(qū)內(nèi)的每個(gè)鍋爐都有其自身的安全設(shè)備和邏輯,以及過程控制設(shè)備和邏輯。這樣,通過使同一邏輯位置的安全模塊作為“BOILERS(鍋爐)”區(qū)中的過程模塊,所有相關(guān)消息就可為用戶保存在一起,并可通過單獨(dú)的或公共的配置程序進(jìn)行存取。如果需要,在該例子中,用戶可以在“BOILERS(鍋爐)”區(qū)加上另一名為UNITS(單元)的“目錄式文件夾”(如圖3所示的文件夾)。在該文件夾中,可以是與三個(gè)不同鍋爐相關(guān)聯(lián)的鍋爐單元1(Boiler Unit1),鍋爐單元2(Boiler Unit2)和鍋爐單元3(Boiler Unit3)。同樣,安全模塊和過程控制模塊都可放置在適當(dāng)?shù)腻仩t單元(Boiler Unit)下,來表明哪些安全模塊(和過程控制模塊)用于哪些鍋爐單元,從而在配置顯示中提供進(jìn)一步的間隔(granularity)。
      因此,可以理解,安全儀表系統(tǒng)配置和過程控制系統(tǒng)配置可由同一工程應(yīng)用程序來進(jìn)行,它可以使配置瀏覽、管理、測試和備份等在一個(gè)單一的位置進(jìn)行。更具體地,單一的的配置數(shù)據(jù)庫管理程序,如備份配置數(shù)據(jù)庫的備份程序、向配置數(shù)據(jù)庫輸入數(shù)據(jù)的輸入程序、以及其他程序,在配置數(shù)據(jù)庫內(nèi)既可以用于過程控制系統(tǒng)數(shù)據(jù)也可以用于安全系統(tǒng)數(shù)據(jù),從而減少了各獨(dú)立系統(tǒng)所需的支持程序的數(shù)量。此外,裝置10中具體部分(如區(qū)域)的安全儀表功能可以作為該部分(如區(qū)域)過程控制配置在同一位置上進(jìn)行配置和保存。
      因此,一個(gè)區(qū)域中來自過程控制和安全系統(tǒng)的所有相關(guān)消息都處于單一的位置,并使用同一個(gè)程序進(jìn)行配置。更具體地,過程控制系統(tǒng)元件(如過程控制器24、26或現(xiàn)場裝置40、42以及其中執(zhí)行的模塊或其他邏輯)和安全系統(tǒng)元件(如安全控制器50-56或安全現(xiàn)場裝置60、62以及其中執(zhí)行的模塊或其他邏輯)可在一個(gè)區(qū)域內(nèi),用同一程序邏輯地配置在一起,而不用考慮該控制器是用來執(zhí)行過程控制還是安全系統(tǒng)邏輯。因此,對(duì)過程控制系統(tǒng)和安全系統(tǒng)的配置邏輯可以在了解到有多少控制器、系統(tǒng)中的控制器所處的位置、以及邏輯被分配給哪個(gè)控制器之前,進(jìn)行創(chuàng)建。由于這一事實(shí),對(duì)于安全模塊的配置來說,不需要了解過程控制系統(tǒng)的物理設(shè)計(jì)。這種基于邏輯而不是基于物理所進(jìn)行的配置還使兩系統(tǒng)之間的移植更為方便,響應(yīng)過程裝置內(nèi)物理設(shè)計(jì)的改變、從而向邏輯運(yùn)算器重新分配模塊變得更容易,建立類庫模板用來創(chuàng)建過程控制和安全安系統(tǒng)配置邏輯也更方便。此外,由于安全模塊之間的關(guān)聯(lián)通過安全模塊名稱/參數(shù)來進(jìn)行,安全模塊之間的通信可獨(dú)立于安全模塊所指定的邏輯運(yùn)算器來進(jìn)行配置。
      如上所述,盡管過程控制和安全系統(tǒng)配置集成在一起,但配置程序具有保護(hù)措施,來限定可對(duì)過程控制和安全系統(tǒng)獨(dú)立進(jìn)行配置活動(dòng)的用戶。更具體地,配置程序80可設(shè)置成通過不同的用戶帳號(hào)來訪問,每個(gè)用戶帳號(hào)與特定的用戶實(shí)體相關(guān)。用戶實(shí)體可以是一個(gè)或多個(gè)用戶,在一些情況下,可以是獨(dú)立于人類進(jìn)行操作的應(yīng)用程序。為了簡便,在此認(rèn)為用戶和用戶帳號(hào)是可互換的。
      可以理解,每個(gè)用戶帳號(hào)可具有或被分配到不同的訪問特權(quán),即針對(duì)過程控制系統(tǒng)和安全系統(tǒng)而規(guī)定的用戶實(shí)體的權(quán)力。同一用戶帳號(hào)對(duì)于過程控制系統(tǒng)配置功能和安全系統(tǒng)配置功能,可具有不同的訪問特權(quán),每個(gè)用戶帳號(hào)可規(guī)定對(duì)過程控制系統(tǒng)和安全系統(tǒng)的訪問級(jí)別,即使沒有訪問。如果需要,任何具體的用戶帳號(hào)可具有訪問特權(quán),使用戶實(shí)體只對(duì)過程控制系統(tǒng)采取一個(gè)或多個(gè)動(dòng)作,只對(duì)安全系統(tǒng)采取一個(gè)或多個(gè)動(dòng)作,或者既對(duì)過程控制也對(duì)安全系統(tǒng)采取一個(gè)或多個(gè)動(dòng)作。此外,對(duì)于過程控制系統(tǒng)和安全系統(tǒng)可以規(guī)定不同級(jí)別的訪問特權(quán),例如,允許用戶實(shí)體讀出過程控制或安全系統(tǒng)數(shù)據(jù)的級(jí)別,允許用戶寫入或改變過程控制或安全系統(tǒng)參數(shù)或設(shè)定的級(jí)別,允許用戶創(chuàng)建過程控制或安全系統(tǒng)模塊或其他邏輯的級(jí)別,允許用戶下載過程控制或安全系統(tǒng)模塊到適當(dāng)裝置的級(jí)別,以及允許用戶在一個(gè)或多個(gè)過程控制或安全系統(tǒng)設(shè)備上執(zhí)行校準(zhǔn)過程的級(jí)別。當(dāng)然,任何用戶實(shí)體都可給予其任何數(shù)量的、對(duì)于過程控制系統(tǒng)和安全系統(tǒng)全部或二者之一的這些訪問特權(quán),也可采用除了這里所列權(quán)限級(jí)別以外的,或?qū)⑵淙〈钠渌赡艿臋?quán)限級(jí)別。
      這樣,就可防止過程控制工程師對(duì)裝置內(nèi)的安全系統(tǒng)進(jìn)行配置,同時(shí)防止安全工程師對(duì)裝置內(nèi)的過程控制系統(tǒng)進(jìn)行配置。如上所述,對(duì)配置和運(yùn)行時(shí)間權(quán)限進(jìn)行用戶保護(hù)的保護(hù)系統(tǒng),可完全地集成到對(duì)于過程控制和安全系統(tǒng)的單一程序中(例如配置程序)。如上所述,可對(duì)用戶帳號(hào)進(jìn)行設(shè)置來限定特定用戶在特定位置(或在特定程序內(nèi))所具有的權(quán)限。如果需要,控制的運(yùn)行時(shí)間用戶間隔可按區(qū)域定義,也可按過程控制和安全系統(tǒng)功能定義。這樣,一個(gè)操作者可以訪問一個(gè)或多個(gè)特定區(qū)域的安全系統(tǒng)以及過程控制系統(tǒng),但不能訪問其他區(qū)域的。以這種方式,可在用戶和位置相結(jié)合的基礎(chǔ)上進(jìn)行保護(hù)。如果需要,保護(hù)還可根據(jù)執(zhí)行配置程序的位置或計(jì)算機(jī)來進(jìn)行,這樣用戶必須在特定的計(jì)算機(jī)上具有適當(dāng)?shù)脑L問特權(quán),才能通過該計(jì)算機(jī)執(zhí)行配置功能。
      可以理解,安全系統(tǒng)配置活動(dòng)可以規(guī)定成在圖形顯示中互聯(lián)的邏輯元件(類似功能塊或模塊),以美國專利第5838563、5940294和6078320所公開的方式,所有這些都在此描述性地包含,作為參考。在這種情況,安全系統(tǒng)功能或邏輯(以安全系統(tǒng)模塊的形式)可獨(dú)立創(chuàng)建,而不必規(guī)定哪個(gè)實(shí)際的安全系統(tǒng)硬件將執(zhí)行該邏輯,以及將使用哪條安全系統(tǒng)I/O通道。一旦限定了硬件和通道定義,就可采用簡單的硬件和I/O分配操作(如圖3配置屏幕上的拖曳和下拉操作)來對(duì)邏輯和硬件進(jìn)行綁定。該操作使安全系統(tǒng)功能在安全系統(tǒng)之間具有高可移植性,并為安全系統(tǒng)14硬件位置和通道地址的設(shè)置提供了更高的靈活性。此外,類似于過程控制模塊,安全系統(tǒng)邏輯模塊可存儲(chǔ)為庫中的模板,從而使同一基本類型的安全模塊可供裝置中不同區(qū)域的類似設(shè)備或相同設(shè)備更易于重復(fù)使用。以這種方式,安全系統(tǒng)邏輯模板可復(fù)制到適當(dāng)區(qū)域,并分配給安全系統(tǒng)硬件。
      此外,由于安全系統(tǒng)一般要比其相關(guān)的過程控制系統(tǒng)小,因此,要從過程控制系統(tǒng)硬件和邏輯中輕松地找到并瀏覽安全系統(tǒng)邏輯和硬件,從而觀察安全系統(tǒng)邏輯模塊對(duì)安全系統(tǒng)硬件的分配是很重要的。如前所述關(guān)于圖3的配置系統(tǒng)通過使安全系統(tǒng)14和過程控制系統(tǒng)12的配置消息分離,或處于配置圖的不同標(biāo)題欄下以區(qū)分二者。
      此外,來自安全系統(tǒng)邏輯的消息一般在過程控制系統(tǒng)也是需要的,作為互鎖的目的等。如前所示,這在傳統(tǒng)上需要將安全系統(tǒng)的配置映射到過程控制系統(tǒng)的保持寄存器或其他已當(dāng)定義的數(shù)據(jù)結(jié)構(gòu)中,以便在控制策略中供過程控制系統(tǒng)使用。通過上述的集成配置,安全系統(tǒng)消息和數(shù)據(jù)很容易由過程控制系統(tǒng)邏輯所獲得,無需映射數(shù)據(jù),因?yàn)樗性摂?shù)據(jù)和消息都提供和存儲(chǔ)在一個(gè)集成的配置中,因而安全系統(tǒng)的數(shù)據(jù)可直接按照與數(shù)據(jù)從過程控制系統(tǒng)邏輯其他部分被使用的完全相同的方式,被過程控制系統(tǒng)邏輯所用。這一集成既減少了配置的時(shí)間,也降低了配置的復(fù)雜度,還有效地減少了與數(shù)據(jù)映射相關(guān)聯(lián)的誤差。
      可以理解,安全系統(tǒng)設(shè)備的配置和狀態(tài)數(shù)據(jù)也可集成在該單一的配置環(huán)境中。這既包括裝置特定消息,也包括有關(guān)裝置的控制系統(tǒng)消息,如裝置報(bào)警配置。通過一些通信協(xié)議,如Foundation現(xiàn)場總線,控制消息可保存在其自身的現(xiàn)場裝置中。如果想利用該消息作為安全系統(tǒng)功能的一部分,那么,對(duì)于理解該邏輯來說,在同一配置環(huán)境中具有該消息的能力是很重要的。此外,來自安全系統(tǒng)14的任何部分,包括傳感器、執(zhí)行器和邏輯運(yùn)算器的狀態(tài)消息可以適當(dāng)?shù)赜糜诳刂葡到y(tǒng)12或安全系統(tǒng)14。例如,可以根據(jù)裝置的正常狀況,使基于裝置狀況的表決系統(tǒng)降低級(jí)別,或?qū)刂葡到y(tǒng)12中的互鎖進(jìn)行調(diào)整。這種過程控制系統(tǒng)12和安全系統(tǒng)14之間消息的共享,如果沒有集成的配置環(huán)境,是很難實(shí)現(xiàn)的。
      從上述討論中可以理解,通過集成的配置,所有標(biāo)簽、參數(shù)關(guān)聯(lián)、命名、保護(hù)等,都可從一個(gè)公共的數(shù)據(jù)庫來進(jìn)行配置。這使用戶控制了在過程控制系統(tǒng)中為安全重要功能所提供的投資、培訓(xùn)。此外,通用的瀏覽視圖(如圖3中的,集中了過程控制裝置和邏輯,以及安全系統(tǒng)設(shè)備和邏輯)可使用戶很容易區(qū)分過程、裝置和安全功能,從而為視圖上的適當(dāng)項(xiàng)目設(shè)置關(guān)聯(lián),清楚地區(qū)分與所選項(xiàng)目關(guān)聯(lián)的指令等。此外,集成的體系提供了對(duì)標(biāo)志項(xiàng)更方便的導(dǎo)航、搜索、報(bào)告等。在瀏覽者畫面上設(shè)置優(yōu)先選項(xiàng)可使用戶不需要的功能隱藏起來。實(shí)際上,如果需要,每個(gè)用戶或用戶帳號(hào)可具有不同的優(yōu)先選項(xiàng),它影響了配置消息向該用戶所顯示的方式,配置消息包括過程控制系統(tǒng)配置消息和安全系統(tǒng)配置消息。
      在配置活動(dòng)以外,與過程控制系統(tǒng)12和安全系統(tǒng)14相關(guān)聯(lián)的診斷活動(dòng)也可集成在通用的程序和提供給用戶的通用視圖或顯示中。具體地,圖1的診斷程序82可提供診斷消息,并使用公共接口為過程控制系統(tǒng)12和安全系統(tǒng)14執(zhí)行診斷活動(dòng)。在一個(gè)例子中,診斷程序82可以是報(bào)警瀏覽程序,它接收任何類型的報(bào)警,如過程報(bào)警/報(bào)警信號(hào),裝置報(bào)警/報(bào)警信號(hào),通信報(bào)警/報(bào)警信號(hào)等,它既是在過程控制器24和26內(nèi)也是在安全邏輯運(yùn)算器50-56內(nèi)產(chǎn)生或檢測到的。由于過程控制器24和26以及安全邏輯運(yùn)算器50-56傳送的消息當(dāng)其與過程控制硬件/軟件或安全系統(tǒng)硬件/軟件相關(guān)聯(lián)時(shí),是可區(qū)分的,因此這些報(bào)警或報(bào)警信號(hào)可集成在公共的顯示器上,或集成在公共的診斷程序中,同時(shí)又保持追蹤并顯示該報(bào)警源,而不管報(bào)警是安全系統(tǒng)報(bào)警還是過程控制系統(tǒng)報(bào)警,同時(shí)還保持追蹤報(bào)警由過程控制系統(tǒng)12或安全系統(tǒng)14最初產(chǎn)生或標(biāo)上時(shí)間戳的時(shí)間。
      更具體地,由于圖1的診斷程序82可以按前面對(duì)于配置程序80所討論的同一方式來識(shí)別過程控制以及安全系統(tǒng),因此也不需要將一種類型的報(bào)警映射為其他類型報(bào)警的顯示結(jié)構(gòu)。相反地,程序82可簡單使用報(bào)警檢測,以及由邏輯運(yùn)算器50-56之一或過程控制器24和26之一創(chuàng)建報(bào)警消息時(shí)產(chǎn)生的時(shí)間戳,在用戶接口上以任何方便的格式來顯示該消息。然而,診斷程序82可對(duì)每個(gè)從過程控制系統(tǒng)硬件或安全系統(tǒng)硬件接收而來的報(bào)警應(yīng)用一致的規(guī)則,來確定報(bào)警的優(yōu)先權(quán),控制報(bào)警的識(shí)別,并啟動(dòng)/關(guān)閉過程控制和安全系統(tǒng)報(bào)警的功能部件。
      可以理解,要使報(bào)警集成,過程控制器24和26內(nèi)的報(bào)警檢測軟件或邏輯就檢測、標(biāo)上時(shí)間戳,并發(fā)送報(bào)警給診斷程序82,和在通常的過程控制系統(tǒng)內(nèi)一樣。此外,安全邏輯控制器50-56內(nèi)的報(bào)警檢測軟件或邏輯檢測、標(biāo)上時(shí)間戳,并發(fā)送報(bào)警消息到診斷程序82。過程控制報(bào)警消息(由控制器24和26發(fā)送)和安全系統(tǒng)報(bào)警報(bào)消息(由邏輯運(yùn)算器50-56發(fā)送)的格式是類似的,二者有同樣的或通用的格式,有時(shí)間戳字段、報(bào)警名稱或類型字段等。此外,消息具有一些指示,如字段、地址或標(biāo)簽等,用于標(biāo)志消息或報(bào)警是在過程控制系統(tǒng),還是在安全系統(tǒng)設(shè)備中產(chǎn)生。診斷程序82于是可利用該指示在報(bào)警顯示器上顯示具體的報(bào)警是安全系統(tǒng)報(bào)警或過程控制系統(tǒng)報(bào)警。此外,診斷程序82可基于報(bào)警是安全系統(tǒng)報(bào)警或是過程控制系統(tǒng)報(bào)警,對(duì)所有報(bào)警提供不同的確認(rèn)、觀察和啟動(dòng)/關(guān)閉功能部件。例如,診斷程序82可根據(jù)報(bào)警是過程控制系統(tǒng)報(bào)警或是安全系統(tǒng)報(bào)警,將報(bào)警表示成不同色彩,處于顯示的不同區(qū)域,或具有不同名稱等等。類似地,診斷程序82可通過任何類目,如優(yōu)先權(quán)、名稱、類型和/或報(bào)警是安全系統(tǒng)報(bào)警或過程控制系統(tǒng)報(bào)警,來啟動(dòng)報(bào)警的過濾或分類。然而,診斷程序82可用一套通用的規(guī)則來對(duì)安全系統(tǒng)和過程控制系統(tǒng)報(bào)警(對(duì)于優(yōu)先權(quán))進(jìn)行分類,來提供過程控制系統(tǒng)和安全系統(tǒng)中一致的報(bào)警類別。此外,報(bào)警的時(shí)間戳?xí)从称湓谶^程控制系統(tǒng)12或安全系統(tǒng)14內(nèi)首次檢測到的時(shí)間,從而產(chǎn)生有關(guān)報(bào)警在過程控制和安全系統(tǒng)內(nèi)何時(shí)產(chǎn)生的更好更精確的消息。
      圖4表示了一個(gè)運(yùn)行在工作站16中,提供集成的過程控制和安全系統(tǒng)報(bào)警畫面的診斷程序82的例子。一般來說,診斷程序82顯示有關(guān)過程控制系統(tǒng)12和安全系統(tǒng)14的消息,根據(jù)操作者的理解或能力,來針對(duì)過程提供的報(bào)警,觀察過程當(dāng)前運(yùn)行狀態(tài)。可由程序82創(chuàng)建的一個(gè)顯示例子在圖5中表示出來,包括報(bào)警欄273,其中具有報(bào)警指示;還包括一級(jí)顯示271,表示了過程裝置的一部分,包括相對(duì)于報(bào)警欄中一個(gè)或多個(gè)報(bào)警、與過程裝置的該部分相關(guān)聯(lián)的過程控制和安全系統(tǒng)設(shè)備,以及其他設(shè)備。一級(jí)顯示271可提供有關(guān)過程裝置當(dāng)前狀態(tài)的消息,如罐中液體的液位,閥門和其他流體管線的流量特性,設(shè)備的設(shè)定,傳感器的讀數(shù)等。此外,該顯示可指明安全裝置的當(dāng)前狀態(tài),如閥門、開關(guān)的關(guān)閉等。因此,可以理解,操作者可利用診斷程序82來觀察過程裝置10內(nèi)的不同設(shè)備或不同部分,并且,在觀察的同時(shí),診斷程序82還與控制器24和26以及安全邏輯運(yùn)算器50-56進(jìn)行通信,必要的話,還與裝置內(nèi)的現(xiàn)場裝置40、42、60和62以及任何其他裝置進(jìn)行通信,以獲得過程裝置產(chǎn)生的、或與其有關(guān)的相關(guān)數(shù)值、設(shè)定和測量值。
      診斷程序82可進(jìn)行配置,用來接收控制器24或26,I/O裝置28-36,安全邏輯運(yùn)算器50-56以及現(xiàn)場裝置40、42、60和62中全部或其中一些的報(bào)警產(chǎn)生軟件所產(chǎn)生的報(bào)警。此外,診斷程序82可接收不同類別的報(bào)警,包括,如過程報(bào)警(一般由過程控制軟件模塊或安全系統(tǒng)模塊所產(chǎn)生,這些模塊例如是由通信連接的功能塊所構(gòu)成,形成在過程運(yùn)行期間所使用的過程控制和安全程序),硬件報(bào)警,例如,由控制器24或26,I/O裝置30-36,安全邏輯運(yùn)算器50-56以及其他工作站16等所產(chǎn)生的、屬于這些裝置的狀態(tài)或功能條件的報(bào)警,以及由一些或所有現(xiàn)場裝置40、42、60和62產(chǎn)生、表示有關(guān)這些裝置的問題的裝置報(bào)警。這些或其他報(bào)警類別可按任何預(yù)期方式產(chǎn)生。當(dāng)然,診斷程序82除了可提供裝置產(chǎn)生位置以外,即是在過程控制系統(tǒng)12中還是在安全系統(tǒng)14中,還可提供報(bào)警的類型(如過程報(bào)警、硬件報(bào)警和裝置報(bào)警)。
      如果需要,診斷程序82可基于一些因子接收并篩選報(bào)警。具體地,診斷程序82可根據(jù)運(yùn)行程序82的工作站、登錄到工作站的操作者或個(gè)人,以及操作員配置設(shè)置來篩選報(bào)警,操作員配置設(shè)置包括,如報(bào)警的類別、類型(過程、硬件、裝置等)、優(yōu)先權(quán)、狀態(tài)、產(chǎn)生時(shí)間、來源(過程控制或安全系統(tǒng))等。例如,程序82可篩選報(bào)警,并只顯示來自裝置某些區(qū)域或部分的報(bào)警,通過對(duì)運(yùn)行程序82的工作站進(jìn)行配置使其接收這些報(bào)警。也就是說,裝置某些區(qū)域或部分的報(bào)警,可以不在某些工作站上顯示,而是限定每個(gè)工作站只顯示裝置中一個(gè)或多個(gè)特定區(qū)域的報(bào)警。同樣地,報(bào)警可通過操作者的識(shí)別來進(jìn)行篩選。具體地,操作者可限制瀏覽某些類目、類型、優(yōu)先權(quán)等的報(bào)警,或限制瀏覽來自裝置一部分或一小部分(如區(qū)域)的報(bào)警。診斷程序82還可根據(jù)操作者的清理來篩選出要顯示的報(bào)警。這些工作站和操作員篩選設(shè)置在此指的是工作站和操作員領(lǐng)域的控制,它可包括保護(hù)功能,使某些操作者可同時(shí)瀏覽和操作過程控制報(bào)警和安全系統(tǒng)報(bào)警,或只可瀏覽和操作二者之一。
      診斷程序82還可篩選可視報(bào)警(即在工作站和操作員領(lǐng)域控制中的報(bào)警),根據(jù)操作者可配置設(shè)定,包括,如報(bào)警類別(即過程、裝置或硬件報(bào)警)、報(bào)警類型(通信、故障、警告、維護(hù)等)報(bào)警優(yōu)先權(quán)、報(bào)警所屬的模塊、裝置、硬件、節(jié)點(diǎn)或區(qū)域,報(bào)警確認(rèn)或取消與否、報(bào)警激活與否、報(bào)警是過程控制報(bào)警還是安全系統(tǒng)報(bào)警,等等。
      再參照圖4,診斷程序82表示成在圖1的工作站16上執(zhí)行,該工作站也存儲(chǔ)并執(zhí)行通信軟件,如通信層或堆棧262,它通過以太網(wǎng)連接22與控制器24和26進(jìn)行通信,接收控制器24和26、安全邏輯模塊50-56、I/O裝置28-36、現(xiàn)場裝置40、42、60和62以及/或者其他工作站16所發(fā)送的信號(hào)。通信層262還對(duì)要傳送給控制器、I/O裝置、現(xiàn)場裝置、安全邏輯運(yùn)算器和其他工作站的消息,如報(bào)警確認(rèn)信號(hào),進(jìn)行完全地格式化。通信軟件262可以是如以太網(wǎng)通信當(dāng)前所用的任何已知或需要的通信軟件。當(dāng)然,通信堆棧262可連接到在工作站16內(nèi)運(yùn)行的、執(zhí)行其他功能的其他軟件,如配置程序、診斷或其他過程程序、數(shù)據(jù)庫管理程序等。
      圖4的診斷程序82包括報(bào)警處理單元24,它接收來自通信層262的報(bào)警,對(duì)該報(bào)警解碼,并將解碼后的報(bào)警存儲(chǔ)在數(shù)據(jù)庫266中。診斷程序82還包括篩選器268,報(bào)警處理單元264使用該篩選器來確定哪些報(bào)警要顯示在與工作站16相關(guān)聯(lián)的用戶接口269(如CRT、LCD、LED,等離子顯示、打印機(jī)等)上。篩選器268可將其設(shè)定存儲(chǔ)在數(shù)據(jù)庫266中,這些篩選器設(shè)定可由用戶根據(jù)該用戶的習(xí)慣進(jìn)行預(yù)配置和/或修改。
      一般地,篩選器設(shè)置可控制報(bào)警的分類和優(yōu)先權(quán),如果需要,可利用一些不同的規(guī)則來建立報(bào)警顯示順序。首先,工作站和操作員領(lǐng)域的控制,基于操作員標(biāo)識(shí)和操作員所登錄的工作站,報(bào)警是過程控制或安全系統(tǒng)報(bào)警,等等,會(huì)影響具體操作員所能看見的內(nèi)容(在具體工作站上顯示哪些報(bào)警)。在這種情況,可向每個(gè)工作站分配操作許可,沒有操作員許可,報(bào)警消息和所有報(bào)警列表/概要顯示都將為空,即報(bào)警處理單元264不會(huì)顯示任何類別(過程、硬件或裝置)、或來自任何起源(過程控制系統(tǒng)或安全系統(tǒng))的啟動(dòng)或抑制的報(bào)警。而且,只有來自當(dāng)前操作員領(lǐng)域(通常給操作員在裝置區(qū)域中的至少一個(gè)保護(hù)鎖)的裝置區(qū)域的報(bào)警,出現(xiàn)在該工作站的報(bào)警顯示中才是合法的。此外,只有來自裝置區(qū)域和單元、沒有用裝置區(qū)域或單元篩選顯示來“關(guān)閉”掉的報(bào)警信號(hào)出現(xiàn)在報(bào)警顯示中才是合法的。以這種方式,篩選器268首先防止了工作站和操作員領(lǐng)域以外報(bào)警的顯示,同時(shí)防止了來自已由操作員關(guān)閉的裝置區(qū)域或單元的報(bào)警的顯示。
      在測試完報(bào)警對(duì)工作站和操作員領(lǐng)域控制的一致性以后,篩選器268接著根據(jù)操作員設(shè)定,包括,如報(bào)警類別、報(bào)警優(yōu)先權(quán)、報(bào)警類型、報(bào)警的確認(rèn)狀態(tài)、報(bào)警的取消狀態(tài)、報(bào)警時(shí)間、報(bào)警的活動(dòng)狀態(tài)、報(bào)警來源(即來自過程控制系統(tǒng)或安全系統(tǒng))等,篩選出并確定出報(bào)警顯示的順序。接收到的報(bào)警,即用報(bào)警消息發(fā)送到程序82的報(bào)警,包括對(duì)應(yīng)于每個(gè)這些值的參數(shù),篩選器通過將報(bào)警的適當(dāng)參數(shù)與篩選設(shè)定相比教,來篩選出要顯示的報(bào)警。報(bào)警處理單元264可根據(jù)報(bào)警產(chǎn)生的地址、報(bào)警消息內(nèi)的字段等檢測出報(bào)警的來源。盡管操作員設(shè)定了通過篩選器268的報(bào)警的顯示順序,該順序還可由預(yù)先配置的設(shè)定來確定,這使不同的報(bào)警能更一致地顯示。
      在任何過程中,操作員可根據(jù)操作員或用戶最感興趣的報(bào)警來源和/或報(bào)警類別來定制報(bào)警顯示的方式,報(bào)警來源和/或類別可以是如過程報(bào)警、裝置報(bào)警、或硬件報(bào)警中的一個(gè)或所有報(bào)警的類別,或者是如過程控制報(bào)警、安全系統(tǒng)報(bào)警中的一個(gè)或所有報(bào)警的來源,或者是兩個(gè)或更多報(bào)警類別和來源的結(jié)合。用戶還可控制報(bào)警如何表示報(bào)警以及為報(bào)警提供什么樣的消息。以這種方式,診斷程序82可用來使一個(gè)人員就能執(zhí)行安全操作員和過程控制操作員的操作。另外,在同一系統(tǒng)的不同時(shí)間,可用同一系統(tǒng)使過程控制操作員只觀察過程控制報(bào)警,而安全操作員可觀察安全報(bào)警。以這種方式,同一診斷程序可由不同類型的人員在同一時(shí)刻(在不同的工作站)使用,來觀察與過程控制系統(tǒng)12和安全系統(tǒng)14的操作功能有關(guān)的報(bào)警的不同內(nèi)容。
      在報(bào)警處理單元264用篩選器268確定了哪個(gè)(些)報(bào)警應(yīng)通過顯示屏269顯示給用戶,以及報(bào)警應(yīng)該以什么順序顯示之后,報(bào)警處理單元264將該消息提供給用戶顯示界面270,它可采用任何標(biāo)準(zhǔn)的或預(yù)期的操作系統(tǒng)來以任何預(yù)期的方式,在報(bào)警顯示屏269上顯示報(bào)警消息。當(dāng)然,用戶顯示界面270還從數(shù)據(jù)庫266或從通過通信層262接收的來自過程裝置的其他通信信號(hào)處,獲得了其他它所需要的消息,如有關(guān)過程控制系統(tǒng)12和安全系統(tǒng)14的設(shè)計(jì)或配置的消息,在這些系統(tǒng)中參數(shù)或信號(hào)值等。此外,用戶顯示界面270還接收來自用戶要求的指令,如有關(guān)具體報(bào)警的更多消息、報(bào)警或篩選器設(shè)置的改變、新的報(bào)警顯示等,將該消息提供給處理單元264,然后由處理單元采取需要的動(dòng)作,為報(bào)警消息搜索數(shù)據(jù)庫266,等等,從而通過顯示屏269為用戶提供新的報(bào)警畫面。
      如前所述,不同類別或來源的報(bào)警,包括過程控制報(bào)警和安全報(bào)警,被送到診斷程序82,或從診斷程序接收,以一些方便的消息格式供顯示裝置269可能的顯示。因此,不同類別和類型的報(bào)警可集成在同一界面上,為操作者提供屬于過程控制系統(tǒng)和安全系統(tǒng)故障操作的更多消息。通過在此描述的集成顯示,操作者可在同一屏幕或顯示器等上面觀察實(shí)際的過程控制和安全系統(tǒng)報(bào)警,并可以同樣的方式對(duì)各報(bào)警進(jìn)行處理。
      當(dāng)然,在用戶接口上以集成的方式來顯示不同的過程控制和安全報(bào)警有多種方法。一個(gè)實(shí)施例中,對(duì)過程控制和安全系統(tǒng)報(bào)警的處理可類似于在顯示器上對(duì)過程報(bào)警的傳統(tǒng)處理方式。因此,操作者可按照與其確認(rèn)或取消過程控制報(bào)警相同的方式來確認(rèn)或取消安全報(bào)警。同樣地,過程控制和安全系統(tǒng)報(bào)警可以按照表示報(bào)警的類型、優(yōu)先權(quán)、名稱、過程區(qū)段、狀態(tài)等的方式來顯示。此外,與報(bào)警相關(guān)聯(lián)的一級(jí)顯示可提供給用戶,一級(jí)顯示是用來顯示給用戶,幫助其理解或看見報(bào)警的來源、或有關(guān)報(bào)警的硬件和軟件元件的功能,如報(bào)警產(chǎn)生或與報(bào)警相關(guān)的模塊、過程環(huán)路、設(shè)備、節(jié)點(diǎn)、區(qū)域等。一級(jí)顯示可以是,例如,設(shè)備的物理畫面,設(shè)備所處空間或區(qū)域的數(shù)字圖片或畫面,與設(shè)備有關(guān)的其他消息,如裝置畫面、表示裝置安裝中設(shè)備連接的示意圖或概念圖等的一部分。報(bào)警的一級(jí)顯示可由用戶創(chuàng)建,并可如面向模塊(對(duì)于過程報(bào)警)、面向裝置(對(duì)于裝置報(bào)警)以及面向節(jié)點(diǎn)(對(duì)于硬件報(bào)警)或面向與報(bào)警相關(guān)的裝置的區(qū)域或區(qū)段。一級(jí)顯示還可適合于不同功能。例如,過程報(bào)警一級(jí)顯示可以面向過程操作功能,設(shè)備報(bào)警一級(jí)控制顯示可以面向現(xiàn)場裝置維護(hù)功能,而硬件一級(jí)控制顯示可面向節(jié)點(diǎn)維護(hù)功能。硬件報(bào)警的一級(jí)顯示可以是,例如,控制器所處位置的畫面、表示了所有硬件報(bào)警狀態(tài)的控制器I/O硬件示意圖,定位到控制器所支持的單元視圖或一級(jí)顯示的按鈕、維護(hù)過程列表等等。同樣地,裝置報(bào)警的一級(jí)顯示可由用戶創(chuàng)建,并可如面向裝置維護(hù)功能。一級(jí)顯示可存儲(chǔ)在數(shù)據(jù)庫266中(圖4),并可在選中了使用該一級(jí)顯示的報(bào)警時(shí),在顯示器269上訪問和列出。當(dāng)然,對(duì)于不同的報(bào)警可采用相同的或不同的一級(jí)顯示。
      在一個(gè)實(shí)施例中,集成的報(bào)警消息在顯示器上,以例如在顯示屏邊緣處的報(bào)警欄的形式提供給用戶。下面參考圖5,報(bào)警欄273位于屏幕的底部。報(bào)警欄273包括第一行,顯示由過程控制系統(tǒng)12和安全系統(tǒng)14所產(chǎn)生的、且通過篩選器268提供給顯示的各種報(bào)警的指示。至少一個(gè)在報(bào)警欄273中指示的報(bào)警能與過程控制系統(tǒng)和安全系統(tǒng)在一級(jí)顯示271中描繪的部分相關(guān)。報(bào)警欄273中顯示的特定的報(bào)警和這些報(bào)警的順序,根據(jù)篩選器268的篩選設(shè)定來決定。一般來說,還沒有確認(rèn)或抑制的最高優(yōu)先級(jí)的報(bào)警首先顯示,下一最高優(yōu)先級(jí)的報(bào)警接著顯示,以此類推。在圖5的示例屏中,最高優(yōu)先級(jí)報(bào)警274表示的是與名為PID101的控制程序相關(guān)聯(lián)的過程控制報(bào)警。報(bào)警274用紅色顯示,來表示其優(yōu)先級(jí)是很高的。在報(bào)警欄273的第二行,報(bào)警消息區(qū)276顯示出與當(dāng)前所選的報(bào)警欄273中報(bào)警相關(guān)聯(lián)的報(bào)警消息。在圖5的例子中,選擇了過程控制報(bào)警274,報(bào)警消息區(qū)276就表示出,報(bào)警274于星期五12:52:19產(chǎn)生,與“罐16液位控制”相關(guān),具有標(biāo)號(hào)或名稱“PID101/HI_HI_ALM”,具有高、高優(yōu)先級(jí),是重要報(bào)警。如果報(bào)警274閃爍,就意味著報(bào)警沒有被確認(rèn),而在報(bào)警欄273中穩(wěn)定的(不閃爍的)報(bào)警指示則意味著報(bào)警已由某些操作者或用戶確認(rèn)。當(dāng)然,其他類型的報(bào)警消息也可在報(bào)警消息區(qū)276中顯示。
      當(dāng)然,報(bào)警欄273中的其他報(bào)警指示,如報(bào)警指示278,可以是在過程裝置的相關(guān)區(qū)域或區(qū)段,與安全系統(tǒng)設(shè)備相關(guān)聯(lián)的安全系統(tǒng)報(bào)警。該安全系統(tǒng)報(bào)警可以是任何類型的報(bào)警,包括過程報(bào)警(由安全邏輯模塊產(chǎn)生)、硬件報(bào)警(由安全邏輯運(yùn)算器產(chǎn)生)和裝置報(bào)警(由安全系統(tǒng)現(xiàn)場裝置60、62之一產(chǎn)生)。這些其他報(bào)警指示可以是其他顏色,如黃色、紫色等,來表示與報(bào)警或其他報(bào)警源相關(guān)聯(lián)的嚴(yán)重度或優(yōu)先權(quán)的其他級(jí)別。在選擇另一報(bào)警,如報(bào)警278、280、281或282時(shí),屬于該報(bào)警的報(bào)警消息會(huì)顯示在報(bào)警消息區(qū)域276。觀察報(bào)警欄273的報(bào)警,操作者可確認(rèn)報(bào)警,并警告維護(hù)人員或工程師采取適當(dāng)?shù)膭?dòng)作來校正導(dǎo)致報(bào)警的狀態(tài),或另外地,可在過程控制系統(tǒng)或安全系統(tǒng)內(nèi)采取其他適當(dāng)?shù)牟襟E,如重置某些給定值來緩和報(bào)警狀態(tài)。當(dāng)用來只顯示過程控制報(bào)警時(shí),圖5的顯示屏類似于當(dāng)前DeltV控制系統(tǒng)中設(shè)置的已知操作員畫面。然而,可以理解,圖5的報(bào)警顯示集成了過程控制系統(tǒng)報(bào)警和安全系統(tǒng)報(bào)警的顯示和控制。
      如前所示,通過選擇報(bào)警欄273中的一個(gè)報(bào)警(如報(bào)警274),出現(xiàn)了該報(bào)警的一級(jí)顯示271。具體地,如圖5所示,屏幕的主體包括一級(jí)顯示271或與過程裝置內(nèi)特定報(bào)警(所選擇的報(bào)警)相關(guān)聯(lián)的對(duì)應(yīng)的硬件圖。在圖5的例子中,硬件包括通過各種閥門和流體流動(dòng)管線,以及設(shè)置在其上的各種傳感器相互連接的三個(gè)罐。該硬件圖表示了過程裝置一部分內(nèi)的設(shè)備,并提供了有關(guān)一些設(shè)備操作的特定消息,如與罐、傳感器等相關(guān)的某些值或參數(shù)。該描繪的設(shè)備可以是過程控制設(shè)備和安全系統(tǒng)設(shè)備或二者之一。當(dāng)然,一些該消息可由存儲(chǔ)在數(shù)據(jù)庫266中的配置消息提供,或由過程控制系統(tǒng)和安全系統(tǒng)中的傳感器信號(hào)提供。在后一種情況下,該消息通過通信層262傳送上來,并通過任何已知或預(yù)期的軟件提供給用戶顯示界面270。
      此外,如圖5所示,為PID控制單元(模塊)描繪出“虛擬儀表”的面板272,作為報(bào)警欄內(nèi)一個(gè)報(bào)警(在這種情況下,即過程控制報(bào)警274)的附加消息表示出來。面板272提供了屬于所選過程控制報(bào)警的進(jìn)一步的消息,并標(biāo)志控制單元(模塊PID101)的名稱和與該模塊相關(guān)的某些設(shè)置或參數(shù)。這種過程圖形化描述的產(chǎn)生目前已用于過程控制報(bào)警,是本領(lǐng)域已知的,不再詳細(xì)描述。只需說明的是,對(duì)過程裝置部分或整體的這種、或任何其他預(yù)期的圖形化或非圖形化描述,都可顯示在屏幕上,來使用戶,如操作員觀察過程裝置任何部分的操作功能或硬件功能,包括過程控制系統(tǒng)實(shí)體和安全系統(tǒng)實(shí)體。當(dāng)然,該顯示器可描述出或用其他方式表示出獨(dú)立的硬件單元、相關(guān)的硬件組、裝置的部分或區(qū)域的方塊圖或其他圖,等等。
      再次參照圖4,診斷程序82還可包括激活的報(bào)警匯總控制程序290和抑制的報(bào)警匯總控制292。這些程序可用來為用戶提供顯示,表示系統(tǒng)中當(dāng)前激活報(bào)警或抑制報(bào)警的匯總。當(dāng)然,這些匯總可以按任何方法或樣式在顯示屏269上構(gòu)建或表示,可以理解這些匯總可將過程控制系統(tǒng)報(bào)警和安全系統(tǒng)報(bào)警在同一顯示或列表中匯總到一起,或者如果需要的化,將其分開。當(dāng)然,診斷程序82還可包括保護(hù)程序294,它執(zhí)行適當(dāng)?shù)谋Wo(hù)進(jìn)程,決定用戶是否可瀏覽和操作任何特定的報(bào)警。具體地,保護(hù)程序284可執(zhí)行一組規(guī)則,該規(guī)則設(shè)計(jì)用來控制哪些用戶可瀏覽過程控制和/或安全系統(tǒng)報(bào)警,哪些用戶可通過確認(rèn)這些報(bào)警、取消這些報(bào)警來對(duì)這些報(bào)警進(jìn)行操作,等等。這樣,保護(hù)程序294可允許特定用戶來確認(rèn)或取消某些過程控制報(bào)警而不是安全系統(tǒng)報(bào)警,允許另一用戶來確認(rèn)或取消某些安全系統(tǒng)報(bào)警而不是過程控制報(bào)警,并允許高級(jí)用戶來確認(rèn)或取消該兩種類型的報(bào)警。當(dāng)然,對(duì)于瀏覽過程控制和安全系統(tǒng)報(bào)警、確認(rèn)這些報(bào)警、取消這些報(bào)警等,可建立和執(zhí)行不同的規(guī)則或權(quán)限。如果需要,各種類型的報(bào)警可一起顯示,這樣,例如安全裝置報(bào)警就可和過程控制裝置報(bào)警一起顯示,安全過程報(bào)警可以和過程控制系統(tǒng)過程報(bào)警一起顯示,安全硬件報(bào)警可以和過程控制系統(tǒng)硬件報(bào)警一起顯示。當(dāng)然,這些不同的報(bào)警可根據(jù)報(bào)警類型和報(bào)警來源、或它們的任何組合,來一起瀏覽,或分開瀏覽。
      此外,安全報(bào)警和事件可以與過程報(bào)警和事件一起,電子存儲(chǔ)在同一數(shù)據(jù)庫中,在存儲(chǔ)到數(shù)據(jù)庫中時(shí),每個(gè)報(bào)警都被編上時(shí)間。因此,過程報(bào)警和事件的編上時(shí)間的歷史記錄與安全報(bào)警和事件的編上時(shí)間的歷史記錄與集成的數(shù)據(jù)庫一起,可用來根據(jù)報(bào)警和其中發(fā)生的事件,來更方便地觀察和決定過程控制系統(tǒng)12和安全系統(tǒng)14之間的相互作用。
      可以理解,診斷程序82可使用上述關(guān)于配置程序80的同樣的用戶帳號(hào)和權(quán)限,來決定不同的診斷或報(bào)警瀏覽訪問特權(quán),這些權(quán)限能設(shè)定成允許不同用戶個(gè)體根據(jù)報(bào)警類型、報(bào)警來源(過程控制或安全系統(tǒng))等,來瀏覽、確認(rèn)、關(guān)閉(啟動(dòng)或取消)報(bào)警。可以理解,一些用戶只可瀏覽、確認(rèn)或關(guān)閉過程控制系統(tǒng)報(bào)警,或只可瀏覽、確認(rèn)或關(guān)閉安全系統(tǒng)報(bào)警,或二者皆可。此外,每個(gè)用戶帳號(hào)可與優(yōu)先選擇聯(lián)系在一起,從而根據(jù)對(duì)程序82進(jìn)行訪問的用戶個(gè)體,使診斷(如報(bào)警瀏覽)程序82自動(dòng)地提供不同的視圖、篩選器設(shè)置等。
      盡管將集成的報(bào)警(警告)瀏覽程序作為集成診斷程序82的例子進(jìn)行了討論,也可以使用其他類型的集成的診斷程序。具體地,診斷程序82可提供過程裝置中區(qū)域、單元、裝置、控制器、模塊、邏輯單元等等,的分級(jí)視圖,使用戶獲得裝置內(nèi)包含的任何診斷消息,如包含在裝置內(nèi)儀器或設(shè)備中的消息。這種分級(jí)視圖可類似于圖3的配置圖,但對(duì)于每個(gè)與不同區(qū)域、單元等相關(guān)聯(lián)的過程控制和安全系統(tǒng),表示了不同的設(shè)備、模塊等。利用該視圖,用戶可深入到過程區(qū)域、單元等,到達(dá)過程控制系統(tǒng)設(shè)備、模塊、功能塊等,或到達(dá)安全系統(tǒng)設(shè)備、模塊、功能塊,或二者兼到。在視圖的任一點(diǎn),用戶能夠訪問或?yàn)g覽當(dāng)前從設(shè)備、模塊、功能塊等而來或與其有關(guān)的診斷數(shù)據(jù),包括由設(shè)備、模塊、功能塊等自身產(chǎn)生的診斷數(shù)據(jù),或使用其他工具,如與該實(shí)體相關(guān)的校準(zhǔn)和測試工具(可以是硬件和軟件工具),來確定的診斷數(shù)據(jù)。該診斷數(shù)據(jù)包括使用狀況數(shù)據(jù)、模式和狀態(tài)數(shù)據(jù)、當(dāng)前設(shè)置或操作參數(shù)數(shù)據(jù),或可從設(shè)備獲得的任何其他數(shù)據(jù)。以這種方式,用戶可利用診斷程序82來獲得對(duì)過程控制系統(tǒng)設(shè)備和安全系統(tǒng)設(shè)備當(dāng)前狀態(tài)和使用狀況的組合的、集成的了解,并通過通用程序甚至是通過通用顯示屏,來實(shí)現(xiàn)對(duì)裝置中診斷數(shù)據(jù)的訪問。
      此外,這種診斷程序82可提供匯總視圖,包含了來自過程控制系統(tǒng)設(shè)備和/或安全系統(tǒng)設(shè)備的診斷數(shù)據(jù)。此外,集成的視圖可向上滾動(dòng),從而可以匯總或組合的方式來瀏覽單元、區(qū)域等的診斷數(shù)據(jù),因此利用來自該區(qū)域、單元等中的過程控制系統(tǒng)設(shè)備和安全系統(tǒng)設(shè)備的診斷數(shù)據(jù),來確定有關(guān)該區(qū)域、單元等的全面集成。如果需要,診斷工具還可以存儲(chǔ)在該診斷程序中,或由該診斷程序來執(zhí)行。例如,控制回路調(diào)節(jié)器(例如,可以是用于安全系統(tǒng)控制回路或過程控制系統(tǒng)控制回路)可存儲(chǔ)在診斷程序82中并在其中運(yùn)行。當(dāng)有關(guān)控制回路或模塊的診斷數(shù)據(jù)表示控制回路缺少調(diào)節(jié),或沒有在預(yù)期的偏差內(nèi)運(yùn)行時(shí),用戶可選擇運(yùn)行該工具。其他診斷程序可包括用于任何類型的設(shè)備、邏輯模塊等上的校準(zhǔn)和測試工具。
      此外,在工作站16(圖1)中可運(yùn)行通用的保護(hù)程序,來為該工作站提供保護(hù),它只允許用戶登錄到該工作站一次(通過如用戶帳號(hào)),并能夠根據(jù)分配給用戶個(gè)體和工作站16的優(yōu)先級(jí),來運(yùn)行不同的程序,如配置/啟動(dòng)、下載、瀏覽和操作(即寫入?yún)?shù)值)過程控制系統(tǒng)12和安全系統(tǒng)14或二者之一。通過通用保護(hù)程序的這種程序的集成,使用戶更方便地管理綜合功能(例如,在一個(gè)位置對(duì)報(bào)警優(yōu)先級(jí)、安全性等進(jìn)行配置),還可使用戶更方便地?cái)U(kuò)展系統(tǒng),修改系統(tǒng)(因?yàn)樵谥亟ㄏ到y(tǒng)時(shí)不需要映射了)以及升級(jí)系統(tǒng)(因?yàn)閷?duì)于過程控制系統(tǒng)和安全系統(tǒng)可采用單一的同等的升級(jí)策略)。此外,用戶可隨著需求的增長,作為整體或部分地管理裝置、控制系統(tǒng)和安全系統(tǒng)的升級(jí)。此外,用戶不必分別地測試系統(tǒng)的不同部件,希望當(dāng)所有部件到位時(shí)能夠整體運(yùn)行在一起,因?yàn)橄到y(tǒng)的集成特性使得對(duì)它們的配置、測試和診斷都是在一起進(jìn)行的。
      圖6表示設(shè)置在圖1的工作站16中的保護(hù)程序300,它可針對(duì)圖1中集成的過程控制系統(tǒng)和安全系統(tǒng)內(nèi)所發(fā)生的動(dòng)作(如讀和寫),根據(jù)該動(dòng)作(如讀或?qū)?是與過程控制系統(tǒng)裝置相關(guān)還是與安全系統(tǒng)裝置相關(guān),來自動(dòng)執(zhí)行保護(hù)進(jìn)程。盡管保護(hù)程序300表示成一個(gè)獨(dú)立的程序,可以理解該程序可以包含到圖1操作者工作站16(或任何其他計(jì)算機(jī))所用的任何其他程序中,來確保以可靠的方式對(duì)安全系統(tǒng)14(如果需要,可以是過程控制系統(tǒng))讀出或?qū)懭?。此外,盡管保護(hù)程序300可用作前述配置程序80和診斷程序82的一部分(如子程序),它還可用于任何用戶接口程序85中,使用戶對(duì)過程控制系統(tǒng)或安全系統(tǒng)進(jìn)行修改或?qū)懭?,或?yàn)g覽有關(guān)這些系統(tǒng)的消息。此外,可以理解,保護(hù)程序300可相對(duì)于配置和診斷程序80和82建立并執(zhí)行前面討論過的用戶帳號(hào)和訪問特權(quán)。
      圖6中表示了保護(hù)程序300,如前面參照圖4討論的,在工作站16內(nèi),在通信層262和用戶顯示界面270之間通信連接,它包括保護(hù)單元301,針對(duì)向過程控制系統(tǒng)12或安全系統(tǒng)14的任何預(yù)期的讀出或?qū)懭?,?zhí)行保護(hù)進(jìn)程。保護(hù)程序300可存儲(chǔ)一組安全系統(tǒng)規(guī)則302和一組過程控制系統(tǒng)規(guī)則304,它們分別定義了執(zhí)行對(duì)安全系統(tǒng)14和過程控制系統(tǒng)12讀出或?qū)懭氲谋Wo(hù)的類型和性質(zhì)。保護(hù)處理單元301可與用戶顯示界面270結(jié)合操作,來檢測過程控制系統(tǒng)12和安全系統(tǒng)14內(nèi)各元件的讀出或?qū)懭胄枨蟆?br> 根據(jù)來自用戶顯示界面270、屬于請求讀寫活動(dòng)的消息,保護(hù)處理單元301可利用起源/目標(biāo)的源文件306來確定請求的讀寫是屬于過程控制系統(tǒng)元件(或參數(shù))還是安全系統(tǒng)元件(或參數(shù))。起源/目標(biāo)源文件306可簡單地提供相關(guān)消息,即由用戶接口產(chǎn)生的顯示中的哪些區(qū)域?qū)?yīng)于過程裝置的哪些元件,且如果需要,還可存儲(chǔ)與用戶接口顯示中顯示區(qū)域的目標(biāo)相關(guān)的標(biāo)志或地址,從而使保護(hù)處理單元301確定用戶顯示屏上具體的動(dòng)作或請求是關(guān)于過程控制系統(tǒng)元件的還是關(guān)于安全系統(tǒng)元件的。如果必需的話,保護(hù)處理單元301還可或另外采用存儲(chǔ)在配置數(shù)據(jù)庫310中的配置消息,來確定具體的元件是安全系統(tǒng)元件還是過程控制系統(tǒng)元件。在任何過程中,在確定了請求的動(dòng)作屬于過程控制系統(tǒng)元件或安全系統(tǒng)元件之后(且一般來說,是在確定了與請求讀出或?qū)懭氲脑撛嚓P(guān)的地址或標(biāo)志之后),保護(hù)處理單元301可存取安全規(guī)則302或過程控制規(guī)則304,來確定哪一個(gè)讀或?qū)懯窃试S的,如果允許的話,針對(duì)該讀或?qū)憟?zhí)行哪些保護(hù)進(jìn)程。
      例如,利用用戶顯示269,用戶可請求改變安全系統(tǒng)裝置的一個(gè)參數(shù),例如,與檢測故障狀態(tài)相關(guān)的設(shè)定值。保護(hù)處理單元301(通常與設(shè)計(jì)成允許這些寫入的程序相結(jié)合,或作為該程序的一部分)將通過確定請求寫入的參數(shù)的地址或標(biāo)簽,來確定該寫入的目標(biāo)文件。這樣的地址或標(biāo)簽可以存儲(chǔ)在起源/目標(biāo)源文件306中,或通過其得出。根據(jù)地址或標(biāo)簽,保護(hù)處理單元301將確定該請求是對(duì)安全系統(tǒng)參數(shù)作出還是對(duì)過程控制系統(tǒng)參數(shù)作出。如果針對(duì)安全系統(tǒng)參數(shù)作出請求,保護(hù)處理單元301就采用安全規(guī)則數(shù)據(jù)庫302中的規(guī)則,來確定該寫入是否得到允許,即,用戶是否具有適當(dāng)?shù)臋?quán)力來對(duì)該單元寫入。在一些情況中,用戶接口程序可能已經(jīng)了解了用戶的身份,并通過將用戶屏幕中部分變灰,來預(yù)先指明用戶的寫入能力為不能寫入。其他情況中,在保護(hù)處理單元301的提示下,用戶接口程序可在請求的寫入動(dòng)作之前,要求用戶提供密碼和用戶身份,并通過核查該密碼和身份以確定適當(dāng)?shù)臋?quán)限。
      另一方面,如果向過程控制系統(tǒng)請求寫入,保護(hù)處理單元301可存取過程控制規(guī)則數(shù)據(jù)庫304中的過程控制規(guī)則(或存取其中的優(yōu)先權(quán)),并確定用戶是否具有過程控制系統(tǒng)內(nèi)適當(dāng)?shù)臋?quán)限來進(jìn)行請求的寫入??梢岳斫?,保護(hù)處理單元301可對(duì)于讀和寫執(zhí)行相同的或不同的保護(hù)規(guī)則,也可以對(duì)過程控制系統(tǒng)元件和安全系統(tǒng)元件執(zhí)行相同的或不同的保護(hù)動(dòng)作。在任何事件中,當(dāng)保護(hù)處理單元301確定該用戶(除使用用戶接口的人員以外,也可以是的一個(gè)程序)具有請求讀或?qū)懙倪m當(dāng)?shù)臋?quán)限后,保護(hù)處理單元301使通信層262發(fā)送適當(dāng)?shù)南韺?duì)過程控制或安全系統(tǒng)設(shè)備進(jìn)行讀寫。此外,保護(hù)處理單元301還可執(zhí)行讀或?qū)懰枰娜魏纹渌Wo(hù)進(jìn)程(存儲(chǔ)在數(shù)據(jù)庫302或304中),如寫認(rèn)證進(jìn)程、讀寫請求進(jìn)程。
      圖7示意了簡單的顯示屏320,表示利用保護(hù)程序300所提供的保護(hù),使用戶對(duì)過程控制系統(tǒng)元件和安全系統(tǒng)元件進(jìn)行讀出或?qū)懭氲挠脩艚涌?。具體地,顯示屏320的左手側(cè)與針對(duì)具體的過程控制系統(tǒng)元件的過程控制系統(tǒng)讀和寫相關(guān),而顯示屏320的右手側(cè)則與針對(duì)具體的安全系統(tǒng)元件的安全系統(tǒng)讀和寫相關(guān)。
      如圖7可以了解,用戶(或隱含的程序)可瀏覽(讀出)與名為CNTRLOOP1的過程控制系統(tǒng)控制回路相關(guān)的值,包括在該回路中當(dāng)前測量的各種溫度、壓力和流量值。這些讀數(shù)可以是不變的(非用戶可變的),如顯示320中區(qū)域321所示。此外,用戶可瀏覽名為CNTRLOOP1的控制回路內(nèi)當(dāng)前的溫度設(shè)定值和所用的控制器增益。如果需要,用戶還可通過在區(qū)域322和324內(nèi)輸入與溫度設(shè)定值和控制器增益相關(guān)的新的值,來改變這些值。
      以類似的方式,用戶可使用顯示器320觀察和修改屬于安全系統(tǒng)元件的消息。具體地,屏幕320的右手側(cè)表示與安全系統(tǒng)回路相關(guān)聯(lián)的消息(例如,可以是與控制回路CNTRLOOP1所控制的硬件相關(guān)聯(lián)的)。在這種情況,可以表示某些安全系統(tǒng)值,如關(guān)閉閥和壓力開關(guān)的當(dāng)前狀態(tài)(如325處所示)。此外,在區(qū)域326和328可表示用戶可配置安全系統(tǒng)參數(shù),如名為罐1的罐關(guān)閉充滿液位,以及名為罐1和罐2的兩罐的關(guān)閉溫度,在這片區(qū)域還允許用戶修改這些參數(shù)。
      一般來說,屏幕320的各區(qū)域與過程控制系統(tǒng)或安全系統(tǒng)內(nèi)的地址或元件相關(guān)聯(lián),該關(guān)聯(lián)可以存儲(chǔ)在起源/目標(biāo)源文件306中(圖6)。在任何事件中,圖6的保護(hù)程序300可用來在特定用戶試圖修改可寫參數(shù)時(shí),確保該用戶具有級(jí)別和權(quán)限來執(zhí)行該動(dòng)作。這樣,只有當(dāng)用戶或請求程序具有適當(dāng)?shù)臋?quán)限或許可時(shí),保護(hù)程序300才可訪問并允許從過程控制或安全系統(tǒng)讀出參數(shù)。由于使用了地址、標(biāo)簽或其他字段的通用的通信格式將過程控制系統(tǒng)元件從安全系統(tǒng)元件中區(qū)分出來,因此對(duì)于過程控制系統(tǒng)的讀出和寫入以及安全系統(tǒng)的讀出和寫入,保護(hù)程序300可輕易將其區(qū)分并執(zhí)行獨(dú)立的保護(hù)(根據(jù)屏幕320內(nèi)的區(qū)域),從而使這些讀出和寫入可由通用的用戶接口程序來進(jìn)行。當(dāng)然,保護(hù)程序300可結(jié)合用戶接口程序運(yùn)行,使顯示器320上用戶不具有讀出或?qū)懭霗?quán)限的區(qū)域變灰。盡管在此描述了保護(hù)程序300,作為對(duì)過程控制系統(tǒng)和安全系統(tǒng)(以及其中的裝置和其他實(shí)體)的讀和寫的保護(hù),可以理解,保護(hù)程序300還可對(duì)不同程序限制其他級(jí)別的訪問,如允許或阻止邏輯模塊、下載模塊的產(chǎn)生,執(zhí)行校準(zhǔn)過程,觀察、確認(rèn)和啟動(dòng)/取消報(bào)警,等等。
      可以理解,與過程控制系統(tǒng)值相比,用戶保護(hù)對(duì)于安全系統(tǒng)值是獨(dú)立定義的,在過程控制系統(tǒng)值以外,可越過過程控制系統(tǒng)值,對(duì)安全系統(tǒng)值進(jìn)行在線用戶修改上的附加保護(hù),這些附加保護(hù)由安全規(guī)則數(shù)據(jù)庫302和過程控制規(guī)則數(shù)據(jù)庫304來限定(圖6)。事實(shí)上,這是識(shí)別安全系統(tǒng)值和過程控制系統(tǒng)值之間差別的一種能力,這能夠?qū)崿F(xiàn)對(duì)安全系統(tǒng)值的單獨(dú)處理。因此,通過保護(hù)程序300,任何程序可自動(dòng)識(shí)別安全系統(tǒng)的讀和寫,并確保在改變過程裝置10內(nèi)的值時(shí),提供恰當(dāng)?shù)谋Wo(hù)以及寫認(rèn)證。該自動(dòng)執(zhí)行寫保護(hù)的方法可用來保證送到安全控制器的寫入值是有效的,從而消除了采用其它類型方案所需的大量的用戶編程。
      作為保護(hù)過程的一個(gè)例子,以下將更具體地描述一種進(jìn)行安全寫入的方法。作為背景,只要安全系統(tǒng)的操作參數(shù)發(fā)生改變,IEC61500標(biāo)準(zhǔn)都需要進(jìn)行重復(fù)的確認(rèn)步驟。如果確認(rèn)其被定義為安全系統(tǒng)規(guī)則數(shù)據(jù)庫302內(nèi)要執(zhí)行的安全系統(tǒng)寫入中的一個(gè)步驟,保護(hù)處理單元301可自動(dòng)執(zhí)行該重復(fù)確認(rèn)步驟。這樣,利用規(guī)則數(shù)據(jù)庫302,保護(hù)程序300可在對(duì)于安全系統(tǒng)的所有寫入中執(zhí)行重復(fù)的確認(rèn)步驟(或任何其他進(jìn)程),而不需要用戶方任何附加的編程或特殊的配置。
      IEC標(biāo)準(zhǔn)用一種方法表述,表示了一種期望,即防止操作者選擇了錯(cuò)誤的修改項(xiàng),或不理解修改的過程意義,并有助于防止消息的訛誤。要執(zhí)行該標(biāo)準(zhǔn),大多數(shù)已知的集成過程控制和安全系統(tǒng)需要從過程控制系統(tǒng)向安全系統(tǒng)映射數(shù)據(jù),并在發(fā)送要改變安全系統(tǒng)的單個(gè)消息之前,在操作者圖形內(nèi)創(chuàng)建“是否確定”的對(duì)話框。
      然而,以下將具體描述一種更安全的執(zhí)行寫保護(hù)特性的方法,它可用于所有程序,如操作程序、配置程序和診斷程序。值得注意的是,該技術(shù)或功能可應(yīng)用于任何用戶啟動(dòng)修改,或從任何應(yīng)用程序?qū)τ诎踩壿嬤\(yùn)算器的動(dòng)作,例如,可應(yīng)用任何指令,如許可指令,下載指令,鎖定指令,切換指令等,用于修改安全系統(tǒng)邏輯運(yùn)算器的值。此外,以下描述的寫保護(hù)作用可對(duì)在任意兩個(gè)應(yīng)用程序之間傳送的任何消息執(zhí)行,從而提供了更高級(jí)的保護(hù),來防止突發(fā)性的破壞和未經(jīng)授權(quán)的修改,如由黑客、病毒及類似物所引起的破壞。
      要實(shí)現(xiàn)寫保護(hù)作用,寫保護(hù)服務(wù)器端350(圖6)設(shè)置在主機(jī)16中,且如圖1所示,寫保護(hù)客戶端360設(shè)置在過程控制系統(tǒng)控制器24和26中(稱為控制器客戶端360),寫保護(hù)客戶端380設(shè)置在安全邏輯運(yùn)算器50-56中(稱為邏輯運(yùn)算器客戶端370)。當(dāng)用戶或其它類型程序啟動(dòng)修改指令時(shí),保護(hù)程序首先認(rèn)證該用戶(或程序)具有進(jìn)行修改所需的訪問特權(quán)或許可。如果是這樣,寫保護(hù)服務(wù)器端350和客戶端360和370運(yùn)行,來確保該用戶試圖進(jìn)行修改,并確保在從主機(jī)16向控制器24或26,或從控制器24或26向安全邏輯運(yùn)算器50-56的傳送期間,該消息沒有訛誤。此外,寫保護(hù)服務(wù)器端350和客戶端360、370確保了該消息到達(dá)正確的目的地,同時(shí)防止了謬誤產(chǎn)生的消息引起變化。
      一般來說,從用戶或其他類型程序收到修改指令后,寫保護(hù)服務(wù)器端350將需要的數(shù)據(jù),如目標(biāo)文件、要修改的參數(shù)、值等,與該修改指令一起進(jìn)行打包,并加入為該數(shù)據(jù)包或消息創(chuàng)建的循環(huán)冗余校驗(yàn)(CRC)字段。寫保護(hù)服務(wù)器端350接著發(fā)送帶有CRC的修改指令到接收該修改指令的適當(dāng)?shù)目刂破骺蛻舳?60,以確認(rèn)該修改指令(且如果需要,可向?qū)懕Wo(hù)服務(wù)器端回送響應(yīng),具體內(nèi)容是控制器客戶端360作為修改消息所收到的消息)。寫保護(hù)服務(wù)器端350顯示修改的消息,如名稱、項(xiàng)目描述符和向用戶認(rèn)證的需要修改的內(nèi)容。如果需要,寫保護(hù)服務(wù)器端350可使用來自發(fā)送到控制器客戶端360的修改指令的修改數(shù)據(jù),來確保用戶對(duì)實(shí)際發(fā)送到控制器客戶端360的消息進(jìn)行認(rèn)證。另一方面,如果控制器客戶端360將控制器客戶端360所收到的修改數(shù)據(jù)發(fā)送回寫保護(hù)服務(wù)器端350,寫保護(hù)服務(wù)器端350可向用戶顯示該消息以供確認(rèn)。
      寫保護(hù)服務(wù)器端350可向用戶顯示修改的消息,通過如用戶顯示器上的對(duì)話框,使用戶確認(rèn)(通過選擇對(duì)話框中的OK或確認(rèn)按鈕)該修改消息是正確的。在經(jīng)過用戶(或,如果需要的話,一個(gè)程序)認(rèn)證之后,寫保護(hù)服務(wù)器端350再發(fā)送第二修改指令(重復(fù)的修改指令)到控制器客戶端360,內(nèi)容是經(jīng)過用戶認(rèn)證的修改內(nèi)容。具體地,寫保護(hù)服務(wù)器端350打包該修改指令數(shù)據(jù)(用戶認(rèn)證后的),包括,如目標(biāo)文件、要修改的參數(shù)、值等,以及為該數(shù)據(jù)包或消息創(chuàng)建的CRC,并發(fā)送該第二修改指令到控制器客戶端360。應(yīng)該注意的是,如果沒有發(fā)生任何訛誤,第一修改指令(及CRC數(shù)據(jù))與第二或重復(fù)修改指令(及其CRC數(shù)據(jù))應(yīng)該是相同的。
      在收到第二或重復(fù)修改指令后,控制器客戶端360比較第二修改指令和第一修改指令,來看它們是否相同(意味著沒有發(fā)生訛誤,用戶確認(rèn)了第一修改指令中提供的修改消息)。如果需要,控制器客戶端360可簡單地確定該兩條修改消息是否相同或具有相同的CRC數(shù)據(jù)。另外,控制器客戶端360可對(duì)消息解碼來看修改消息是否每個(gè)都相同,盡管該操作在某些安全系統(tǒng)中是不允許的。如果消息或修改消息相同,控制器客戶端360就發(fā)送修改請求給適當(dāng)?shù)倪壿嬤\(yùn)算器客戶端370。如果需要,該修改請求可包括來自第一和第二修改指令的修改消息。另外,來自兩條修改指令的CRC數(shù)據(jù),以及來自一條指令,如第一修改指令的修改數(shù)據(jù),可作為控制客戶端360向邏輯運(yùn)算器客戶端370的修改請求的一部分來發(fā)送。
      邏輯運(yùn)算器客戶端370接收修改請求,并對(duì)該請求解碼,以確保修改請求發(fā)送到正確的位置,并且沒有訛誤。這些步驟可包括,校驗(yàn)一個(gè)或兩個(gè)CRC數(shù)據(jù)包來確定CRC消息是否正確地對(duì)應(yīng)壓縮了的修改消息,確定CRC數(shù)據(jù)包是否相同(應(yīng)該相同),并確定修改的目標(biāo)文件是否位于或通過安全邏輯運(yùn)算器。如果來自兩條修改指令的修改消息處于同一消息中,邏輯運(yùn)算器客戶端則再次檢驗(yàn)以確定修改消息相同,來確保在從控制器客戶端360向邏輯運(yùn)算器客戶端370傳送過程中沒有發(fā)生訛誤。如果邏輯運(yùn)算器客戶端370確定修改消息是正確的,則邏輯運(yùn)算器客戶端370可使邏輯運(yùn)算器50-56執(zhí)行修改,并向控制器客戶端360發(fā)回修改已執(zhí)行的確認(rèn)。控制器客戶端360可將該確認(rèn)發(fā)送到寫保護(hù)服務(wù)器端350,它再為用戶顯示修改已執(zhí)行的確認(rèn)。如果在過程任一處發(fā)生錯(cuò)誤,邏輯運(yùn)算器客戶端370和/或控制器客戶端360可告知寫保護(hù)服務(wù)器端350該錯(cuò)誤以及有關(guān)該錯(cuò)誤的任何已知細(xì)節(jié)(如CRC不匹配,消息送到了不正確的目的地,等等)。寫保護(hù)服務(wù)器端350于是可通知用戶修改沒有進(jìn)行,并告知與寫過程中發(fā)生的錯(cuò)誤有關(guān)的需要的細(xì)節(jié)。
      作為一個(gè)例子,用戶可通過顯示屏上的寫保護(hù)對(duì)話框輸入希望的修改。在確定用戶是否有權(quán)修改之后,程序呼叫寫保護(hù)服務(wù)器端350,傳送路徑、參數(shù)類型和當(dāng)前值給寫保護(hù)服務(wù)器端350。寫保護(hù)服務(wù)器端接著產(chǎn)生帶有指令(參數(shù)、改動(dòng))、路徑、新的值和CRC的寫保護(hù)請求,并發(fā)送該寫保護(hù)請求給適當(dāng)?shù)倪^程控制系統(tǒng)控制器24或26。寫保護(hù)服務(wù)器端350再創(chuàng)建確認(rèn)對(duì)話框,具有用戶使用的發(fā)送到控制器24或26上、經(jīng)過CRC的數(shù)據(jù)的一個(gè)拷貝。對(duì)話框可表示路徑和值,寫保護(hù)服務(wù)器端350只有當(dāng)修改指令已由適當(dāng)?shù)目刂破?4或26確認(rèn)后,才使對(duì)話框中確認(rèn)或OK按鈕可用。在收到修改指令之后,控制器24或26內(nèi)的控制器客戶端360確認(rèn)該修改指令,并將經(jīng)過CRC的數(shù)據(jù)項(xiàng)存儲(chǔ)在對(duì)應(yīng)的模塊或方塊中。
      到現(xiàn)在,用戶認(rèn)證了確認(rèn)對(duì)話框中的值是正確的,并選擇了確認(rèn)或OK按鈕。寫保護(hù)服務(wù)器端350于是產(chǎn)生第二或重復(fù)修改指令(第二條消息),包含指令(參數(shù)、改動(dòng))、路徑、來自確認(rèn)對(duì)話框的值以及該數(shù)據(jù)的CRC,并發(fā)送該消息到控制器客戶端360。過程控制器24、26接收第二或重復(fù)修改指令,并將本指令中經(jīng)過CRC的數(shù)據(jù)項(xiàng)與早期存儲(chǔ)的(與第一修改指令相關(guān)聯(lián)的)相比。如果相同,該兩項(xiàng)(例如,具有CRC的整個(gè)第一修改指令和第二修改指令的CRC)被放置到修改請求中,發(fā)送到適當(dāng)?shù)倪壿嬤\(yùn)算器50-56。因此,只有認(rèn)證過的修改請求被發(fā)送到安全邏輯運(yùn)算器50-56,這進(jìn)一步降低了進(jìn)行未授權(quán)修改的幾率,且在控制器客戶端可檢測出由于控制網(wǎng)絡(luò)通信、工作站問題或控制器問題而引起的任何訛誤。
      邏輯運(yùn)算器客戶端370接收修改指令并檢驗(yàn)兩個(gè)CRC匹配。邏輯運(yùn)算器客戶端370于是取出消息內(nèi)的修改數(shù)據(jù),并核實(shí)該數(shù)據(jù)的CRC。如果CRC是適當(dāng)?shù)牡幕蛘_的,則校驗(yàn)路徑,來確保消息被送到正確的位置。后一個(gè)核實(shí)步驟保證了在控制器24、26到安全邏輯運(yùn)算器50-56的通信路徑中沒有發(fā)生任何訛誤。當(dāng)邏輯運(yùn)算器客戶端370確認(rèn)了所有校驗(yàn)是恰當(dāng)?shù)?,該值就被寫入到參?shù)中,寫的狀態(tài)就被返回到控制器客戶端360,接著控制器客戶端可向?qū)懕Wo(hù)服務(wù)器端350提供確認(rèn)消息,來顯示給用戶。
      通過該過程,最初的請求和確認(rèn)后的請求由人員、控制器和安全邏輯運(yùn)算器所比較,這使該過程比其他只提供人為比較而沒采用兩次請求的已知方案更安全。事實(shí)上,其他產(chǎn)生重復(fù)消息的系統(tǒng)一般只在用戶程序中作這種比較,通過在從用戶接口機(jī)器上實(shí)際傳送修改指令之前、用確認(rèn)對(duì)話框提示用戶。然而,這些系統(tǒng)只傳送一條包含了要修改項(xiàng)的消息給安全裝置。因此,這些已知技術(shù)并不能防止傳送期間的訛誤,或確保消息到達(dá)正確的目的地(如,當(dāng)消息中的目標(biāo)字段發(fā)生訛誤時(shí))。
      盡管前面描述了從服務(wù)器端350到控制器客戶端360、再到邏輯運(yùn)算器客戶端370的重復(fù)的寫過程,可以理解,該過程包括的步驟可以更多或更少。如果采用了更多的步驟,第三和隨后的步驟可在接收端類似于邏輯運(yùn)算器客戶端370地執(zhí)行,而在發(fā)送端則類似于控制器客戶端360地執(zhí)行,直到最后階段。如果使用較少的步驟,服務(wù)器端350仍應(yīng)發(fā)送兩條寫指令,但如果客戶端檢測出二者是相同的話,客戶端就執(zhí)行該修改。此外,可以理解,服務(wù)器端350和客戶端360和370可利用任何需要的通信和軟件協(xié)議,在軟件、硬件和固件中實(shí)現(xiàn)。
      如前所示,來自和送入到安全系統(tǒng)設(shè)備及過程控制系統(tǒng)設(shè)備的消息,可通過與該設(shè)備相關(guān)聯(lián)的地址或標(biāo)簽來檢測。如果需要,各安全邏輯設(shè)備的源地址可從干線總線消息中獲得,并由背板ID(BPID)以及插槽ID(SID)所構(gòu)成,背板ID在每個(gè)節(jié)點(diǎn)是相同的,但在過程裝置內(nèi)是唯一的;插槽ID從節(jié)點(diǎn)到節(jié)點(diǎn)是重復(fù)的,但在節(jié)點(diǎn)內(nèi)是唯一的。以這種方式,每個(gè)設(shè)備都有一個(gè)唯一的地址,從而可以作為安全系統(tǒng)設(shè)備或過程控制系統(tǒng)設(shè)備而區(qū)分開來。
      盡管嵌入的安全系統(tǒng)可采用許多可能的消息結(jié)構(gòu)或通信協(xié)議中的一種,在一個(gè)例子中可采用以下的消息結(jié)構(gòu)。具體地,總線消息可一般包括三個(gè)基本部分,包括前同步碼(如1字節(jié))數(shù)據(jù)或消息部分(如129字節(jié))以及后同步碼(如1字節(jié))。前同步碼和后同步碼部分是為硬件同步而設(shè)置地,同時(shí)數(shù)據(jù)部分包含表示了給定地址的實(shí)際消息。如果需要,還可在高級(jí)別消息結(jié)構(gòu)的消息部分產(chǎn)生硬件位插入。
      一般來說,一條消息的數(shù)據(jù)和消息部分可分成七個(gè)字段,其總長可達(dá)到給定程序的最大可能長度。例如,可以有138個(gè)可用字節(jié)(包括11字節(jié)的協(xié)議消耗)。消息部分可包括2字節(jié)的源地址、2字節(jié)的目標(biāo)地址、1字節(jié)的類型字段、1字節(jié)的設(shè)備狀態(tài)字段、1字節(jié)的長度字段、0-128字節(jié)的消息字段,以及4字節(jié)的提供循環(huán)冗余校驗(yàn)數(shù)據(jù)的CRC字段。例如,在使用這些字段的一種方式中,源地址字段包含發(fā)送設(shè)備的地址。高階字節(jié)包含背板ID(BPID),低階字節(jié)包含插槽ID(SID)。加電時(shí),各安全邏輯運(yùn)算器通過干線總線從控制器獲得其完整的SOURCE ADDRESS(源地址)。SOURCE ADDRESS(源地址)的背板ID(BPID)部分設(shè)置成與控制器IP地址最右邊八位字節(jié)相同。SOURCEADDRESS(源地址)的插槽ID(SID)部分來自過程控制器干線總線消息。最好地,各安全邏輯運(yùn)算器不進(jìn)行通信(發(fā)送或接收),直到它具有完整的SOURCEADDRESS(源地址)。
      DESTINATION ADDRESS(目標(biāo)地址)字段可包含目標(biāo)裝置的地址。高階字節(jié)可包含BPID,低階字節(jié)可包含目標(biāo)的插槽ID(SID)。消息TYPE(類型)字段包括消息日期字段中包含的有關(guān)消息類型的消息。可以定義許多不同的消息類型。DEVICE STATUS(設(shè)備狀態(tài))字段適合于分割開,用來表示,例如診斷狀態(tài)(表示無誤差或有誤差)、轉(zhuǎn)接狀態(tài)(表示不在進(jìn)行中或在進(jìn)行中)、控制器模式(表示正常模式或工程師模式)、安全關(guān)閉(trip)狀態(tài)(表示未關(guān)閉或關(guān)閉)、冗余狀態(tài)(表示未冗余或冗余)、配置狀態(tài)(表示未配置或配置)、控制器類型(由邏輯運(yùn)算器確定,表示等候或活動(dòng)),以及模式(模式值通過總線來自控制器,表示工程師模式或正常模式)。
      LENGTH(長度)字段可包含緊接著的MESSAGE DATA(消息數(shù)據(jù))字段的字節(jié)長度,與消息相關(guān)。MESSAGE DATA(消息數(shù)據(jù))字段是根據(jù)消息TYPE(類型)格式化的消息的負(fù)載,具有依賴于消息的長度。最后,CRC或循環(huán)冗余校驗(yàn)/碼字段根據(jù)SOURCE ADDRESS(源地址)、TYPE(類型)、DEVICE STATUS(設(shè)備狀態(tài))、LENGTH(長度)和MESSAGE DATA(消息數(shù)據(jù))字段來計(jì)算,仍然是與消息相關(guān)的。
      一般來說,要在總線22(圖1)上發(fā)送消息,控制器可在以太網(wǎng)IEEE802.3協(xié)議包的DATA(數(shù)據(jù))部分內(nèi)封裝總線消息,它可包括,例如,7字節(jié)的前同步碼,1字節(jié)的幀起始分隔符,6字節(jié)的目標(biāo)地址,6字節(jié)的源地址,2字節(jié)的類型/長度字段,46-1500字節(jié)的數(shù)據(jù)字段以及4字節(jié)的幀校驗(yàn)序列字段。如已知的,幀由7字節(jié)的0和1交替的前同步碼開始。當(dāng)幀為Manchester編碼,前同步碼給如何鎖定的接收站一種已知的模式。目標(biāo)和源地址一般都是互不相關(guān)的,因?yàn)榻邮辗搅腥氲交祀s的模式中。
      以太網(wǎng)TYPE(類型)字段IEEE802.3LENGTH(長度)字段在幀的剩余部分表示了所使用的協(xié)議,長度字段規(guī)定了幀的數(shù)據(jù)部分的長度。對(duì)于要在同一局域網(wǎng)上共存的以太網(wǎng)和IEEE802.3幀,幀的長度字段必定是隨使用的類型字段不同而不同。這一事實(shí)限制了幀的數(shù)據(jù)部分的長度為1500字節(jié),而總的幀長度為1518字節(jié)。對(duì)于安全邏輯運(yùn)算器程序,類型將是以太網(wǎng),而數(shù)據(jù)字段的長度將為消息的尺寸大小。數(shù)據(jù)字段包含由安全邏輯運(yùn)算器或過程控制器發(fā)送的消息。數(shù)據(jù)長度小于46字節(jié)的消息將被加長。如已知的,4字節(jié)的幀校驗(yàn)序列字段是標(biāo)準(zhǔn)的43位CCITT-CRC多項(xiàng)式。當(dāng)然,這只是一種類型的消息編碼,該編碼可以在發(fā)送消息到過程控制設(shè)備和安全系統(tǒng)設(shè)備以及從其接收消息時(shí)執(zhí)行,可以理解,任何其他可以區(qū)分過程控制系統(tǒng)設(shè)備與安全系統(tǒng)設(shè)備的預(yù)期的消息格式也可以替代使用。
      盡管本發(fā)明參照特定例子進(jìn)行了描述,它可能只是示意了、而不是限制了本發(fā)明,對(duì)于本領(lǐng)域普通技術(shù)人員來說,很明顯可以對(duì)公開的實(shí)施例進(jìn)行修改、添加或刪除,而不脫離本發(fā)明的精神與范圍。
      本申請是在2003年1月28日提交的名為“具有嵌入式安全系統(tǒng)的過程控制系統(tǒng)”的美國專利申請第10/352396號(hào)的部分繼續(xù)申請,這里引用其公開內(nèi)容作為參考。
      權(quán)利要求
      1.一種用于過程裝置的診斷系統(tǒng),該過程裝置具有過程控制系統(tǒng)和安全系統(tǒng),其中所述過程控制系統(tǒng)執(zhí)行相對(duì)于過程裝置的有關(guān)生產(chǎn)的控制功能,所述安全系統(tǒng)執(zhí)行相對(duì)于過程裝置的有關(guān)安全的控制功能,所述診斷系統(tǒng)包括計(jì)算機(jī),具有處理器和存儲(chǔ)器;過程控制系統(tǒng)控制器,與計(jì)算機(jī)可通信地連接,并適于采用一個(gè)或多個(gè)過程控制現(xiàn)場設(shè)備來執(zhí)行過程控制功能;安全系統(tǒng)控制器,與計(jì)算機(jī)可通信地連接,并適于采用一個(gè)或多個(gè)安全系統(tǒng)現(xiàn)場設(shè)備來執(zhí)行安全系統(tǒng)功能;以及診斷應(yīng)用程序,被存儲(chǔ)在計(jì)算機(jī)的存儲(chǔ)器中,并適于在處理器上執(zhí)行,使一個(gè)或多個(gè)用戶既相對(duì)于過程控制系統(tǒng)也相對(duì)于安全系統(tǒng)進(jìn)行診斷活動(dòng),所述診斷應(yīng)用程序包括通信例行程序,適用于使過程控制系統(tǒng)消息與過程控制系統(tǒng)控制器往來通信,以及使安全系統(tǒng)消息與安全控制器往來通信,其中過程控制系統(tǒng)消息和安全系統(tǒng)消息采用通用的通信格式,該通信格式包括用于區(qū)分過程控制系統(tǒng)消息與安全系統(tǒng)消息的字段。
      2.根據(jù)權(quán)利要求1所述的診斷系統(tǒng),其中診斷應(yīng)用程序包括既可在過程控制系統(tǒng),也可在安全系統(tǒng)上執(zhí)行的多個(gè)診斷工具。
      3.根據(jù)權(quán)利要求2所述的診斷系統(tǒng),其中多個(gè)診斷工具包括調(diào)節(jié)控制回路的調(diào)節(jié)器。
      4.根據(jù)權(quán)利要求1所述的診斷系統(tǒng),其中診斷應(yīng)用程序適于在通用顯示屏上既提供過程控制系統(tǒng)實(shí)體的畫面,也提供安全系統(tǒng)實(shí)體的畫面,并提供與至少一個(gè)過程控制系統(tǒng)實(shí)體和至少一個(gè)安全系統(tǒng)實(shí)體有關(guān)的診斷數(shù)據(jù)。
      5.根據(jù)權(quán)利要求4所述的診斷系統(tǒng),其中診斷應(yīng)用程序適于提供過程控制系統(tǒng)實(shí)體和安全系統(tǒng)實(shí)體兩者的畫面,作為分級(jí)顯示,并使用戶瀏覽該分級(jí)顯示,以觀察與至少一個(gè)過程控制系統(tǒng)實(shí)體和至少一個(gè)安全系統(tǒng)實(shí)體有關(guān)的診斷數(shù)據(jù)。
      6.根據(jù)權(quán)利要求5所述的診斷系統(tǒng),其中分級(jí)畫面包括對(duì)應(yīng)于第一實(shí)體的第一級(jí)和包括與第一實(shí)體相關(guān)聯(lián)的過程控制系統(tǒng)實(shí)體和安全系統(tǒng)實(shí)體的第二級(jí)。
      7.根據(jù)權(quán)利要求6所述的診斷系統(tǒng),其中第一實(shí)體是一個(gè)區(qū)域,過程控制系統(tǒng)實(shí)體和安全系統(tǒng)實(shí)體是單元、設(shè)備和模塊之一。
      8.根據(jù)權(quán)利要求6所述的診斷系統(tǒng),其中第一實(shí)體是一個(gè)單元,以及過程控制系統(tǒng)實(shí)體和安全系統(tǒng)實(shí)體包括設(shè)備和模塊之一。
      9.根據(jù)權(quán)利要求5所述的診斷系統(tǒng),其中分級(jí)畫面包括多個(gè)級(jí)別,其中每個(gè)級(jí)別對(duì)應(yīng)于過程裝置內(nèi)不同范圍的實(shí)體,和每個(gè)較低級(jí)別包含與下一較高級(jí)別相關(guān)聯(lián)的實(shí)體,以及其中診斷應(yīng)用程序適于用來將從處于比級(jí)別中的第一級(jí)較低的級(jí)別處的至少一個(gè)過程控制系統(tǒng)實(shí)體和至少一個(gè)安全系統(tǒng)實(shí)體的診斷數(shù)據(jù)中形成的完整性指示提供給用于級(jí)別中的第一級(jí)的完整性指示。
      10.根據(jù)權(quán)利要求9所述的診斷系統(tǒng),其中級(jí)別中的第一級(jí)是過程裝置的區(qū)域,而較低的級(jí)別是單元、設(shè)備和模塊之一。
      11.根據(jù)權(quán)利要求9所述的診斷系統(tǒng),其中級(jí)別中的第一級(jí)是過程裝置的單元,較低的級(jí)別是設(shè)備和模塊之一。
      12.根據(jù)權(quán)利要求4所述的診斷系統(tǒng),其中診斷數(shù)據(jù)是從至少一個(gè)過程控制系統(tǒng)實(shí)體和至少一個(gè)安全系統(tǒng)實(shí)體所獲得的數(shù)據(jù)。
      13.根據(jù)權(quán)利要求12所述的診斷系統(tǒng),其中畫面包括有關(guān)一個(gè)或多個(gè)現(xiàn)場裝置的信息,以及其中診斷數(shù)據(jù)包括來自一個(gè)或多個(gè)現(xiàn)場裝置的裝置診斷數(shù)據(jù)。
      14.根據(jù)權(quán)利要求4所述的診斷系統(tǒng),其中診斷數(shù)據(jù)是運(yùn)行狀況數(shù)據(jù),其表示至少一個(gè)過程控制系統(tǒng)實(shí)體和至少一個(gè)安全系統(tǒng)實(shí)體的運(yùn)行狀況的測度。
      15.根據(jù)權(quán)利要求4所述的診斷系統(tǒng),其中診斷數(shù)據(jù)包括用于至少一個(gè)過程控制系統(tǒng)實(shí)體和至少一個(gè)安全系統(tǒng)實(shí)體的狀態(tài)數(shù)據(jù)。
      16.根據(jù)權(quán)利要求4所述的診斷數(shù)據(jù),其中診斷數(shù)據(jù)包括至少一個(gè)過程控制系統(tǒng)實(shí)體和至少一個(gè)安全系統(tǒng)實(shí)體的模式數(shù)據(jù),其中所述模式數(shù)據(jù)指示與過程控制邏輯實(shí)體或安全系統(tǒng)邏輯實(shí)體的運(yùn)行相關(guān)聯(lián)的模式。
      17.根據(jù)權(quán)利要求4所述的診斷系統(tǒng),其中畫面是包括來自過程控制系統(tǒng)實(shí)體以及安全系統(tǒng)實(shí)體兩者的診斷數(shù)據(jù)的總和的綜合畫面。
      18.根據(jù)權(quán)利要求1所述的診斷系統(tǒng),其中診斷應(yīng)用程序是顯示來自過程控制系統(tǒng)和安全系統(tǒng)兩者的報(bào)警的報(bào)警顯示應(yīng)用程序。
      19.根據(jù)權(quán)利要求18所述的診斷系統(tǒng),其中報(bào)警顯示應(yīng)用程序適于接收包括過程控制系統(tǒng)報(bào)警的過程控制系統(tǒng)報(bào)警消息,接收包括安全系統(tǒng)報(bào)警的安全系統(tǒng)報(bào)警消息,并以區(qū)分過程控制系統(tǒng)報(bào)警和安全系統(tǒng)報(bào)警的方式,在顯示器上提供過程控制系統(tǒng)報(bào)警和安全系統(tǒng)報(bào)警的指示。
      20.一種用于過程裝置的報(bào)警顯示系統(tǒng),該過程裝置具有過程控制系統(tǒng),帶有采用一個(gè)或多個(gè)過程控制現(xiàn)場設(shè)備執(zhí)行有關(guān)生產(chǎn)的控制功能的過程控制系統(tǒng)控制器;安全系統(tǒng),帶有采用一個(gè)或多個(gè)安全系統(tǒng)現(xiàn)場設(shè)備執(zhí)行有關(guān)安全的控制功能的安全系統(tǒng)控制器;以及計(jì)算機(jī),具有顯示器和與過程控制系統(tǒng)控制器和安全系統(tǒng)控制器通信連接的處理器,所述報(bào)警顯示系統(tǒng)包括存儲(chǔ)器;以及報(bào)警應(yīng)用程序,存儲(chǔ)在存儲(chǔ)器上并適于在處理器上被執(zhí)行,該報(bào)警應(yīng)用程序包括第一例行程序,使過程控制系統(tǒng)消息與過程控制系統(tǒng)控制器往來通信,使安全系統(tǒng)消息與安全系統(tǒng)控制器往來通信,其中第一例行程序適于用來接收包括過程控制系統(tǒng)報(bào)警的過程控制系統(tǒng)消息,和接收包括安全系統(tǒng)報(bào)警的安全系統(tǒng)消息;以及第二例行程序,以區(qū)分過程控制系統(tǒng)報(bào)警和安全系統(tǒng)報(bào)警的方式,在顯示器上向一個(gè)或多個(gè)用戶顯示過程控制系統(tǒng)報(bào)警和安全系統(tǒng)報(bào)警。
      21.根據(jù)權(quán)利要求20所述的報(bào)警顯示系統(tǒng),其中報(bào)警顯示應(yīng)用程序包括第三例行程序,用于確定與過程控制系統(tǒng)報(bào)警和安全系統(tǒng)報(bào)警的每一個(gè)相關(guān)聯(lián)的優(yōu)先級(jí)。
      22.根據(jù)權(quán)利要求21所述的報(bào)警顯示系統(tǒng),其中報(bào)警顯示應(yīng)用程序包括排序例行程序,用于根據(jù)與過程控制系統(tǒng)報(bào)警和安全系統(tǒng)報(bào)警相關(guān)聯(lián)的優(yōu)先級(jí),來對(duì)過程控制系統(tǒng)報(bào)警和安全系統(tǒng)報(bào)警兩者進(jìn)行排序。
      23.根據(jù)權(quán)利要求20所述的報(bào)警顯示系統(tǒng),其中報(bào)警顯示應(yīng)用程序包括排序例行程序,用于根據(jù)報(bào)警是過程控制系統(tǒng)報(bào)警還是安全系統(tǒng)報(bào)警而對(duì)過程控制系統(tǒng)報(bào)警和安全系統(tǒng)報(bào)警兩者進(jìn)行排序。
      24.根據(jù)權(quán)利要求20所述的報(bào)警顯示系統(tǒng),其中報(bào)警顯示應(yīng)用程序包括報(bào)警響應(yīng)例行程序,適于用來使過程控制系統(tǒng)報(bào)警和安全系統(tǒng)報(bào)警兩者都通過顯示器得到確認(rèn)。
      25.根據(jù)權(quán)利要求20所述的報(bào)警顯示系統(tǒng),其中報(bào)警顯示應(yīng)用程序包括報(bào)警響應(yīng)例行程序,適于用來使過程控制系統(tǒng)報(bào)警和安全系統(tǒng)報(bào)警兩者都通過顯示器被關(guān)閉。
      26.根據(jù)權(quán)利要求20所述的報(bào)警顯示系統(tǒng),其中報(bào)警顯示應(yīng)用程序適于通過一個(gè)或多個(gè)用戶帳號(hào)對(duì)其進(jìn)行訪問,其中每個(gè)用戶帳號(hào)包括對(duì)于獨(dú)立的用戶實(shí)體的訪問特權(quán)。
      27.根據(jù)權(quán)利要求26所述的報(bào)警顯示系統(tǒng),其中一個(gè)或多個(gè)用戶帳號(hào)的每一個(gè)都包括訪問特權(quán),該訪問特權(quán)使用戶實(shí)體只察看過程控制系統(tǒng)報(bào)警或只察看安全系統(tǒng)報(bào)警,或?qū)^程控制系統(tǒng)報(bào)警和安全系統(tǒng)報(bào)警兩者都可察看。
      28.根據(jù)權(quán)利要求26所述的報(bào)警顯示系統(tǒng),其中一個(gè)或多個(gè)用戶帳號(hào)的每一個(gè)都包括訪問特權(quán),該訪問特權(quán)使用戶實(shí)體只確認(rèn)過程控制系統(tǒng)報(bào)警或只確認(rèn)安全系統(tǒng)報(bào)警,或?qū)^程控制系統(tǒng)報(bào)警和安全系統(tǒng)報(bào)警兩者都可確認(rèn)。
      29.根據(jù)權(quán)利要求26所述的報(bào)警顯示系統(tǒng),其中一個(gè)或多個(gè)用戶帳號(hào)的每一個(gè)都包括訪問特權(quán),該訪問特權(quán)使用戶實(shí)體只關(guān)閉過程控制系統(tǒng)報(bào)警或只關(guān)閉安全系統(tǒng)報(bào)警,或?qū)^程控制系統(tǒng)報(bào)警和安全系統(tǒng)報(bào)警兩者都可關(guān)閉。
      30.根據(jù)權(quán)利要求26所述的報(bào)警顯示系統(tǒng),其中報(bào)警顯示應(yīng)用程序適于對(duì)一個(gè)或多個(gè)用戶帳號(hào)的每一個(gè)設(shè)置優(yōu)先選擇,該優(yōu)先選擇指示第二例行程序?qū)@示過程控制系統(tǒng)報(bào)警和安全系統(tǒng)報(bào)警的方式。
      31.根據(jù)權(quán)利要求26所述的報(bào)警顯示系統(tǒng),其中第一例行程序通過使用通用的通信格式來與過程控制系統(tǒng)消息和安全系統(tǒng)消息進(jìn)行通信。
      32.根據(jù)權(quán)利要求31所述的報(bào)警顯示系統(tǒng),其中通用的通信格式包括用于區(qū)分過程控制系統(tǒng)消息和安全系統(tǒng)消息的字段。
      33.根據(jù)權(quán)利要求20所述的報(bào)警顯示系統(tǒng),其中第一例行程序適于接收安全系統(tǒng)消息,該安全系統(tǒng)消息包括來自安全系統(tǒng)內(nèi)的設(shè)備的設(shè)備報(bào)警,以及其中第二例行程序適于利用過程控制系統(tǒng)報(bào)警和安全系統(tǒng)報(bào)警來顯示來自安全系統(tǒng)內(nèi)的設(shè)備的設(shè)備報(bào)警。
      34.根據(jù)權(quán)利要求20所述的報(bào)警顯示系統(tǒng),其中第一例行程序適于接收伴隨著過程控制系統(tǒng)報(bào)警之一的用于指示所述過程控制系統(tǒng)報(bào)警之一在過程控制系統(tǒng)中何時(shí)產(chǎn)生的第一時(shí)間戳,并適于接收伴隨著安全系統(tǒng)報(bào)警之一的用于指示所述安全系統(tǒng)報(bào)警之一在安全系統(tǒng)中何時(shí)產(chǎn)生的第二時(shí)間戳,以及其中第二例行程序適于用來顯示伴隨著所述過程控制系統(tǒng)報(bào)警之一的第一時(shí)間戳的指示和伴隨著安全系統(tǒng)報(bào)警之一的第二時(shí)間戳的指示。
      35.根據(jù)權(quán)利要求20所述的報(bào)警顯示系統(tǒng),還包括第三例行程序,該第三例行程序?qū)⑦^程控制系統(tǒng)報(bào)警和安全系統(tǒng)報(bào)警存儲(chǔ)在數(shù)據(jù)庫中,并存儲(chǔ)用于過程控制系統(tǒng)報(bào)警和安全系統(tǒng)報(bào)警中的每一個(gè)的時(shí)間戳,以便創(chuàng)建事件的時(shí)間歷史記錄,所述事件具有分散的過程控制系統(tǒng)報(bào)警和安全系統(tǒng)報(bào)警。
      36.一種在過程裝置中處理報(bào)警的方法,所述過程裝置具有過程控制系統(tǒng),帶有通過使用一個(gè)或多個(gè)過程控制現(xiàn)場設(shè)備來執(zhí)行有關(guān)生產(chǎn)的控制功能的過程控制系統(tǒng)控制器;以及安全系統(tǒng),帶有通過使用一個(gè)或多個(gè)安全系統(tǒng)現(xiàn)場設(shè)備來執(zhí)行有關(guān)安全的控制功能的安全系統(tǒng)控制器,所述方法包括在第一位置處接收來自過程控制系統(tǒng)控制器的過程控制系統(tǒng)消息,其中一個(gè)或多個(gè)控制系統(tǒng)消息包括控制系統(tǒng)報(bào)警;在所述第一位置處接收來自安全系統(tǒng)控制器的安全系統(tǒng)消息,其中一個(gè)或多個(gè)安全系統(tǒng)消息包括安全系統(tǒng)報(bào)警;以及在所述第一位置處使用單一用戶接口應(yīng)用程序,以區(qū)分過程控制系統(tǒng)報(bào)警和安全系統(tǒng)報(bào)警的方式,來向一個(gè)或多個(gè)用戶顯示過程控制系統(tǒng)報(bào)警和安全系統(tǒng)報(bào)警。
      37.根據(jù)權(quán)利要求36所述的方法,其中使用單一用戶接口應(yīng)用程序包括確定與過程控制系統(tǒng)報(bào)警和安全系統(tǒng)報(bào)警中的每一個(gè)相關(guān)聯(lián)的優(yōu)先級(jí)。
      38.根據(jù)權(quán)利要求37所述的方法,其中使用單一用戶接口應(yīng)用程序包括利用與過程控制系統(tǒng)報(bào)警和安全系統(tǒng)報(bào)警相關(guān)聯(lián)的優(yōu)先級(jí),對(duì)過程控制系統(tǒng)報(bào)警和安全系統(tǒng)報(bào)警兩者進(jìn)行排序。
      39.根據(jù)權(quán)利要求36所述的方法,其中使用單一用戶接口應(yīng)用程序包括根據(jù)報(bào)警是過程控制系統(tǒng)報(bào)警還是安全系統(tǒng)報(bào)警,來對(duì)過程控制系統(tǒng)報(bào)警和安全系統(tǒng)報(bào)警兩者進(jìn)行排序。
      40.根據(jù)權(quán)利要求36所述的方法,其中使用單一用戶接口應(yīng)用程序包括使過程控制系統(tǒng)報(bào)警和安全系統(tǒng)報(bào)警兩者都通過所述單一用戶接口應(yīng)用程序得到確認(rèn)。
      41.根據(jù)權(quán)利要求36所述的方法,其中使用單一用戶接口應(yīng)用程序包括使過程控制系統(tǒng)報(bào)警和安全系統(tǒng)報(bào)警兩者都通過所述單一用戶接口應(yīng)用程序被關(guān)閉。
      42.根據(jù)權(quán)利要求36所述的方法,其中使用單一用戶接口應(yīng)用程序包括使單一用戶接口應(yīng)用程序能通過一個(gè)或多個(gè)用戶帳號(hào)來被訪問,其中每個(gè)用戶帳號(hào)包括用于獨(dú)立用戶實(shí)體的訪問特權(quán)。
      43.根據(jù)權(quán)利要求42所述的方法,其中使用單一用戶接口應(yīng)用程序包括將訪問特權(quán)提供給一個(gè)或多個(gè)用戶帳號(hào),所述訪問特權(quán)使用戶實(shí)體只能察看過程控制系統(tǒng)報(bào)警或只能察看安全系統(tǒng)報(bào)警,或?qū)^程控制系統(tǒng)報(bào)警和安全系統(tǒng)報(bào)警兩者都能察看。
      44.根據(jù)權(quán)利要求42所述的方法,其中使用單一用戶接口應(yīng)用程序包括將訪問特權(quán)提供給一個(gè)或多個(gè)用戶帳號(hào),所述訪問特權(quán)使用戶實(shí)體只能確認(rèn)過程控制系統(tǒng)報(bào)警或只能確認(rèn)安全系統(tǒng)報(bào)警,或?qū)^程控制系統(tǒng)報(bào)警和安全系統(tǒng)報(bào)警兩者都能確認(rèn)。
      45.根據(jù)權(quán)利要求42所述的方法,其中使用單一用戶接口應(yīng)用程序包括將訪問特權(quán)提供給一個(gè)或多個(gè)用戶帳號(hào),所述訪問特權(quán)使用戶實(shí)體只能關(guān)閉過程控制系統(tǒng)報(bào)警或只能關(guān)閉安全系統(tǒng)報(bào)警,或?qū)^程控制系統(tǒng)報(bào)警和安全系統(tǒng)報(bào)警兩者都能關(guān)閉。
      46.根據(jù)權(quán)利要求42所述的方法,其中使用單一用戶接口應(yīng)用程序包括為一個(gè)或多個(gè)用戶帳號(hào)設(shè)置優(yōu)先選擇,該優(yōu)先選擇指示將對(duì)用戶實(shí)體顯示過程控制系統(tǒng)報(bào)警和安全系統(tǒng)報(bào)警的方式。
      47.根據(jù)權(quán)利要求36所述的方法,其中接收過程控制系統(tǒng)消息包括以第一消息格式接收過程控制系統(tǒng)消息,以及其中接收安全系統(tǒng)消息包括以第一消息格式接收安全系統(tǒng)消息。
      48.根據(jù)權(quán)利要求47所述的方法,其中第一消息格式包括用于區(qū)分過程控制系統(tǒng)消息和安全系統(tǒng)消息的字段。
      49.根據(jù)權(quán)利要求36所述的方法,其中接收過程控制系統(tǒng)消息包括經(jīng)由第一通信鏈路來接收過程控制系統(tǒng)消息,以及其中接收安全系統(tǒng)消息包括經(jīng)由第一通信鏈路來接收安全系統(tǒng)消息。
      50.根據(jù)權(quán)利要求36所述的方法,其中接收安全系統(tǒng)消息包括從安全系統(tǒng)內(nèi)的設(shè)備接收設(shè)備報(bào)警,以及其中使用單一用戶接口應(yīng)用程序包括利用過程控制系統(tǒng)報(bào)警和安全系統(tǒng)報(bào)警來顯示來自安全系統(tǒng)內(nèi)的設(shè)備的設(shè)備報(bào)警。
      51.根據(jù)權(quán)利要求36所述的方法,其中接收過程控制系統(tǒng)消息包括接收伴隨著過程控制系統(tǒng)報(bào)警的用于指示過程控制系統(tǒng)報(bào)警在過程控制系統(tǒng)中何時(shí)產(chǎn)生的第一時(shí)間戳,其中接收安全系統(tǒng)消息包括接收伴隨著安全系統(tǒng)報(bào)警的用于指示安全系統(tǒng)報(bào)警在安全系統(tǒng)中何時(shí)產(chǎn)生的第二時(shí)間戳,以及,其中使用單一用戶接口應(yīng)用程序包括顯示伴隨著過程控制系統(tǒng)報(bào)警的第一時(shí)間戳的指示和伴隨安全系統(tǒng)報(bào)警的第二時(shí)間戳的指示。
      52.根據(jù)權(quán)利要求36所述的方法,還包括接收多個(gè)過程控制系統(tǒng)報(bào)警和多個(gè)安全系統(tǒng)報(bào)警,將每個(gè)過程控制系統(tǒng)報(bào)警和每個(gè)安全系統(tǒng)報(bào)警存儲(chǔ)在公共的數(shù)據(jù)庫中,并存儲(chǔ)用于每個(gè)過程控制系統(tǒng)報(bào)警和每個(gè)安全系統(tǒng)報(bào)警的時(shí)間戳,以便創(chuàng)建事件的時(shí)間歷史記錄,所述事件具有分散的過程控制系統(tǒng)報(bào)警和安全系統(tǒng)報(bào)警。
      全文摘要
      一種過程裝置,包括與過程控制系統(tǒng)物理地和邏輯地集成的安全系統(tǒng),使得安全系統(tǒng)和過程控制系統(tǒng)可以在過程裝置內(nèi)使用通用的通信、診斷和顯示硬件和軟件,同時(shí)在安全系統(tǒng)控制器和過程控制系統(tǒng)控制器之間仍提供功能的隔離。該集成的過程控制和安全系統(tǒng)對(duì)于安全系統(tǒng)和過程控制系統(tǒng)兩者都采用了通用的數(shù)據(jù)通信結(jié)構(gòu),從而使應(yīng)用程序可按相同方式,如采用相同的通信硬件和軟件,向其中任一系統(tǒng)的設(shè)備發(fā)送數(shù)據(jù)或從其接收數(shù)據(jù)。然而,通用的數(shù)據(jù)通信結(jié)構(gòu)被設(shè)置成,通過使用向設(shè)備發(fā)送的或從設(shè)備接收的消息內(nèi)的標(biāo)志、地址或其他字段,來區(qū)分過程控制系統(tǒng)設(shè)備和安全系統(tǒng)設(shè)備,這使得與過程控制系統(tǒng)相關(guān)聯(lián)的數(shù)據(jù)能和與安全系統(tǒng)相關(guān)聯(lián)的數(shù)據(jù)區(qū)分開來,從而使用戶接口內(nèi)的診斷應(yīng)用程序可根據(jù)數(shù)據(jù)的來源(或目標(biāo))自動(dòng)地區(qū)別性處理該數(shù)據(jù)。
      文檔編號(hào)G05B9/03GK1534422SQ20041003877
      公開日2004年10月6日 申請日期2004年1月21日 優(yōu)先權(quán)日2003年1月28日
      發(fā)明者辛迪·斯科特, 加里·勞, 邁克爾·奧特, 戈弗雷·謝里夫, 羅伯特·哈夫科斯特, 哈夫科斯特, 奧特, 謝里夫, 勞, 辛迪 斯科特 申請人:費(fèi)舍-柔斯芒特系統(tǒng)股份有限公司
      網(wǎng)友詢問留言 已有0條留言
      • 還沒有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
      1