专利名称:在安全系统中用于因果矩阵的方法和查看器的制作方法
技术领域:
本发明涉及一种在工业安全系统中用于控制过程或装备的方法。所述工业安全系统包括带有输入和安全设备的组件,从而允许作为事件或警报的结果而生成信号。使用因果矩阵来生成代码以由安全控制器控制安全设备。本发明的因果矩阵在线查看器特别适于提供对于工业系统中的安全设备的改进监测和控制,从而允许用户直接从因果矩阵接口在线视图进行监测和控制。
背景技术:
工业过程(比如用于提炼及生产油气产品的设施)具有物理执行装置,其包括例如用于对所述过程进行操作、控制、调节和保护的设备和装置之类的组件。工业过程还包括用于功能性、控制和监督的系统。这就导致系统和组件的复杂组合。在过程工业情境中,必须保护人员或者单独的环境、过程系统、子系统和/或组件。作为所述系统中的各个元件的功能的一部分,对例如电流、电压、相位、温度等参数的测量是基本上连续进行的,并且可能导致甚至包括工厂关闭在内的不同安全情形。工业系统与安全有关的功能由专用的安全系统施行,其具有来自安全设备的输入和防护输出。安全系统是针对允许反应于安全事件而采取防护动作而开发的。过程工业中的安全系统具有特别强调质量和验证的一般工程设计标准。这样的系统通常并不是完全标准的而常常是定制的,并且通常包括各种不同的设备和/或子系统、软件以及通信协议。安全系统的性能必须非常可靠,甚至比其保护的过程系统更加可靠;这意味着必须使用更加强调质量和验证的不同的工程设计标准。如果顾客追求根据该工业或分支相关的标准对其安全系统进行安全完整性等级(SIL)分类,则这种方法是特别重要的,所述标准例如有电气/电子/可编程电子安全相关系统的IEC-61508功能安全、针对仪器化和控制的IEC/TR3 61510 RMBK核反应堆建议、针对过程工业部门的IEC-61511功能安全-安全仪器化系统。被转让给 Combustion Engineering 的标题为 “Compact work station controlroom(紧凑型工作站控制室)”的US 5,361,198描述了一种包括安全系统的想法,其中包括软件、用于输入的显示、一般安全系统和手动编码功能。被转让给ABB的标题为“MethodIn A Safety System For Controlling A Process Or Equipment (用于控制过程或装备的安全系统中的方法)”的专利申请US2007/276514描述了一种用于控制过程或装备的工业安全系统(ISS)和方法。所述工业安全系统包括具有安全设备的组件,并且允许作为事件或警报的结果生成信号。在事件或警报与将采取的动作(由于事件而接收到事件或警报信号时)之间,创建自动化链接。这部分上是利用与用于输入等的选择装置相关联的显示器或HMI而实现的。所述系统的结构是要创建有关对象的栅格/矩阵。所述栅格/矩阵是一个由行和列、接口以及应用类型构成的系统,其常常被称作因果矩阵或因果图。常常通过人工输入信息或者将工作表或计算表格式的一个或更多信号列表和/或因果信息导入到用于编辑因果矩阵的工具中,来填充所述矩阵。图3(现有技术)示出了一个因果矩阵。因果矩阵编辑器的图形用户接口示出了设置在水平行中的原因22和设置在垂直列中的结果
26。传感器设备10 (例如水平传感器)提供输入信号,所述输入信号被作为原因对待。这在因果矩阵中由作为控制代码的一部分的程序逻辑组件表示,其通常是例如保存在一个库中的标准化或逻辑组件,并且通常具有功能块、控制模块或类似的形式。这种形式的控制代码常常被称作中间代码,因为其是尚未处于已编译形式的计算机程序代码。在工程设计阶段期间,利用因果矩阵编辑器实施配置,以便形成原因与结果之间的软件连接19。这样做的结果是针对计划事件和防护动作形成被“软件连接到”输出信号的输入信号(其例如来自水平传感器10)到结果致动器14的软件连接。这可以被视为导致自输入设备的信号路径SI与去往提供所述动作或事件的输出设备(致动器、电动机)的信号路径S2的软件连接。当所述矩阵已被配置之后,因果矩阵编辑器随后对于每一条原因的程序逻辑组件和每一条结果的程序逻辑组件转换“软件连接”,并且从所述矩阵生成IEC61311-3控制代码,其通常具有中间代码的形式。该IEC61311-3控制代码随后可以被编译成可执行计算机代码,并且被下载到安全系统的安全控制器的存储器中。对于紧急情况和过程关闭逻辑,使用关闭级别。关闭级别是通过过程区段或现场区域而被分组在一起的一组原因和结果。过程区段指的是剁成的特定部分,现场区域指的是现场的特定位置,例如有害区域、无害区域。典型的关闭级别将具有相连的大量原因并且将脱扣与之相连的结果。在理想情况下,所有原因和结果都确切地连接到一个关闭级别。所有原因和结果都应当连接到一关闭级别。对于Fire&Gas (火灾和气体)IEC61311-3逻辑,使用火灾区域。对于火灾和气体逻辑,火灾区域等效于对于紧急情况和过程关闭逻辑的关闭级别。这些关闭级别以及火灾和气体区域通常是在控制代码内由人工实施的。其常常是已知的因果图系统的一部分,但是尽管控制代码常常是从因果图自动生成的,但关闭级别通常并不被包括在内,因此必须人工将关闭级别添加到控制代码。当通过因果编辑器或建造器工具设计或生成了控制代码并且在控制器中运行已编译代码时,可以由操作员或其他用户检查因果矩阵,以便检查所述系统以及输入(原因)与警报和输出(或结果)之间的关系。在一些系统中,操作员可以在在线模式下或者在因果矩阵在线视图中看到或者通过其他方式访问原因或结果的值。这有助于操作员调查事件或警报。但是为了操作或配置某一设备,即例如因果矩阵中的结果的致动器或电动机之类的输出设备,操作员和其他用户必须导航整个安全系统或工业控制系统以便选择设备,这可能是冗长且耗时的处理。当时间有限时,调查某一设备是否脱扣所花费的时间可能非常关键,如果所述时间过长的话则可能导致部分的或完全的过程关闭。
发明内容
本发明的目的是提供一种用于控制安全系统的改进方法,其提供了针对前述问题其中一个或多个的解决方案。根据本发明的第一方面,在工业安全系统中提供一种方法以用于控制过程或装备,所述工业安全系统包括带有输入和安全设备的组件,并且其中所述安全系统使用通过因果矩阵设计或生成的控制代码,所述因果矩阵在每个事件或警报与在一个或更多安全控制器中由于事件而接收到所述事件或警报信号时将采取的结果或动作之间有自动化链接,并且其中在线查看器提供所述因果矩阵的在线视图,所述方法特别包括为所述因果矩阵的在线视图中的至少一个结果单元提供第一控件,其被设置成接收用户输入并且提供用于打开及控制与所述至少一个结果单元链接的设备的可执行链接。根据本发明的一个实施例,在工业安全系统中提供一种方法以用于控制过程或装备,其包括:一个或更多安全控制器运行通过因果矩阵生成的控制代码,所述因果矩阵在每个事件或警报与在所述一个或更多安全控制器中由于事件而接收到所述事件或警报信号时将采取的结果或动作之间有自动化链接,并且其中在线查看器提供所述因果矩阵的在线视图,所述因果矩阵的在线视图中的至少一个结果单元具有被设置成接收用户输入的第一控件,并且所述第一控件还被设置成具有用于打开及操作与所述至少一个结果单元链接的设备的替换可执行链接。根据本发明的另一实施例,在工业安全系统中提供一种方法以用于控制过程或装备,其包括:一个或更多安全控制器运行通过因果矩阵生成的控制代码,所述因果矩阵在每个事件或警报与在所述一个或更多安全控制器中由于事件而接收到所述事件或警报信号时将采取的结果或动作之间有自动化链接,并且其中在线查看器提供所述因果矩阵的在线视图,所述因果矩阵的在线视图中的至少一个结果单元具有被设置成接收用户输入的第一控件,其中所述第一控件还被设置成在设备已脱扣的情况下,显示叠加在与该设备链接的至少一个结果单元上或位于其旁边的第一可视指示器。通过这种方式立即向操作员通知如此标记的结果单元中的设备已脱扣,而不需要操作员采取任何动作。根据本发明的又一实施例,提供一种利用基于因果矩阵的控制代码来控制过程或装备的方法,所述因果矩阵在每个事件或警报与在所述一个或更多安全控制器中由于事件而接收到所述事件或警报信号时将采取的结果或动作之间有自动化链接,并且其中在线查看器提供所述因果矩阵的在线视图,所述因果矩阵的在线视图中的至少一个结果单元具有被设置成接收用户输入的第一控件,其中所述第一控件还被设置成在所述至少一个结果单元已经接收到脱扣与该至少一个结果单元链接的设备的信号但是还没有脱扣的情况下,显示叠加在所述因果矩阵上或者位于结果单元旁边的第二可视指示器。利用本发明的这一特征,通过因果矩阵的在线视图立即向操作员通知如此标记的结果单元中的设备已经接收到设定脱扣的信号并且还没有脱扣,而不需要操作员采取任何动作。与此同时,通过在线视图并未向操作员显示附加的未请求的信息。根据本发明的一个实施例,在工业安全系统中提供一种方法以用于控制过程或装备,其包括:一个或更多安全控制器运行通过因果矩阵生成的控制代码,所述因果矩阵在每个事件或警报与在所述一个或更多安全控制器中由于事件而接收到所述事件或警报信号时将采取的结果或动作之间有自动化链接,并且其中在线查看器提供所述因果矩阵的在线视图,所述因果矩阵的在线视图中的至少一个结果单元具有第一控件,并且通过运行处理来确定哪个或哪些原因导致针对接收到用以脱扣的信号的设备的所述事件或警报,并且显示第三可视指示器,其指示如此被确定为导致用以脱扣的信号的因果矩阵上的一个或更多原因。因此,在不离开矩阵的在线视图的情况下,直接找到一个或更多可能原因。根据本发明的另一个实施例,在工业安全系统中提供一种方法以用于控制过程或装备,其包括:一个或更多安全控制器运行通过因果矩阵生成的控制代码,所述因果矩阵在每个事件或警报与在所述一个或更多安全控制器中由于事件而接收到所述事件或警报信号时将采取的结果或动作之间有自动化链接,并且其中在线查看器提供所述因果矩阵的在线视图,所述因果矩阵的在线视图中的至少一个结果单元具有被设置成接收用户输入的第一控件并且提供链接到所述因果矩阵的所述至少一个结果单元的第二控件,所述第二控件被设置成接收输入并且打开及显示用于控制所述设备的面板。在另一项发展中,第一控件可以被设置成接收用户输入,并且打开及显示针对所选原因单元或关闭级别的面板。操作员可以通过直接激活在线视图上的结果单元,而打开针对链接到感兴趣的结果单元的设备的面板,并且无需离开矩阵以便导航整个安全系统从而在过程图中找到所述设备。在另一个实施例中,已经脱扣的设备的面板可以在该面板上显示另一个第一可视指示器,从而立即指示该设备已经脱扣。在另一项发展中,在面板上设置另一个第二可视指示器,以用于指示脱扣已被设定或者用信号通知但是还没有脱扣。在另一项发展中,在面板上显示设备的一个或更多实况过程值。根据本发明的一个实施例,在工业安全系统中提供一种方法以用于控制过程或装备,其包括一个或更多安全控制器运行通过因果矩阵生成的控制代码,所述因果矩阵在每个事件或警报与在所述一个或更多安全控制器中由于事件而接收到所述事件或警报信号时将采取的结果或动作之间有自动化链接,并且其中在线查看器提供所述因果矩阵的在线视图,因果矩阵的在线视图中的至少一个结果单元具有第一控件,其被设置成接收用户输入并且打开及显示针对所选原因单元或关闭级别的面板。因此,操作员可以从在线视图中显示的因果矩阵的情境开始监测、配置或控制感兴趣的原因单元或关闭级别的仪器或过程装备。在本发明的第一方面中,因果矩阵的在线查看器显示关于包括在因果矩阵中的信号和设备的实况信息。可以在在线视图中查看通过因果编辑器构造的因果矩阵,也就是说,在矩阵中的各个过程对象(每个标签名称)连接到其实况(当前)数据时进行查看。举例来说,存在于因果矩阵中的所有过程对象(或标签名称)可以订阅一项实况数据订阅,比如用以提供实况、当前数据的OPC(用于过程控制的对象链接和嵌入(OLE))服务或万维网服务或者类似的数据订阅,以便接收针对每个过程对象测量或计算的每个参数的实况值。如果包括在所显示的矩阵中的一个或更多设备已脱扣,则所显示的因果矩阵通过虚拟的图形标记或指示器来指示这些设备。所显示的叠加在相关的结果单元上的指示器可以是动态的(比如闪烁的信号灯、闪烁的阴影效果)或静态的(比如有色突出显示或文字-数字标签)等等。通过用任何输入装置激活因果矩阵中的已标记设备,如在标记或指示器上的鼠标左击或右击,将会打开针对该设备的面板。从而操作员可以使用所述面板来直接从矩阵的在线视图来操作链接到所述结果的设备。所述操作可以启动或推进电动机、打开/关闭阀门以及调节设定点或其他配置。此外,还可以使用鼠标滚入(lOll-over)功能来显示针对连接到已脱扣的结果单元的设备的标签。还可以设置给出面板或者给出链接到与已脱扣设备相关联的结果的所有原因的附加特征作为一种替换方式,比如允许滚入标签上的左击或右击。如前所述,因果矩阵的在线视图可以被配置成使得在因果矩阵中所选原因、结果或关闭级别单元上的鼠标左击或右击之类的输入导致打开针对与所述原因、结果或级别单元链接的设备的面板。通过这种方式,有可能直接从因果矩阵的实况视图来操作设备。这是通过用以在接收到输入时取回或生成针对与所述原因、结果或关闭级别(或者火灾区域)单元相关联的每个设备的面板而实现的。还可以提供相同的特征,以便给出用以操作链接到所选原因单元的传感器或仪器的面板。在显示出哪些设备已脱扣的因果矩阵的实况视图上,还应当可以看到哪些设备尽管应当已脱扣但是没有脱扣。这通过跟踪脱扣信号、检查由接收到用以脱扣的信号的每个设备所保有的信息以及将该信息与关于设备是否已脱扣的信息进行比较来确定。如果信号通知设备脱扣而它没有脱扣,则可以优选地按照与因果矩阵上的受影响的结果单元直接相关联的无歧义方式指示这一状态。通过这种方式,可以从因果图的在线视图直接到达已脱扣的设备来进行操作(并且因果图上的所有其他设备也是同样)。如果设备按照其本应发生的那样脱扣,该脱扣的原因对于操作员来说并不总是显而易见的。因此,提供已脱扣设备的面板上的一个按钮或者另一项控制特征部件,其给出信息或者订阅已经由工业安全系统所保有的信息,所述信息将与可能导致设备脱扣的原因相关。为了获得该信息,可以使用通用路由算法,如果对于脱扣和互锁配置了所述算法的话。此外,如果发生关闭,则可以把关于该关闭的详细报告集成到因果矩阵的在线视图中,从而操作员可以从因果矩阵访问所述报告。如果设备没有按照其本应发生的那样脱扣,则操作员可能对于这种情况的原因感兴趣。可以在因果矩阵的结果单元上直接显示出关于脱扣信号被发送到设备但是设备没有脱扣的状态。还可以在针对该设备的面板上显示出所述状态。可以从面板上的一个按钮或另一项控制部件访问关于信号通知的脱扣的细节。该信息通常已经是可以在设备中获得的,并且例如通过超时或者通过自动诊断例程而被检测到。举例来说,应当关闭的阀门具有一定时间量来实现该操作。如果在该时间内没有到达端部开关(end switch),则出现了报告阀门没有按照预期关闭的超时。由于关闭级别通常是在因果图中输入和/或配置的,因此还可以借助于因果编辑器工具自动创建对于控制代码所需的对应关闭级别。因果编辑器工具一般来说是控制代码工程设计工具,其可以是例如由ABB利用ABB Safeguard Systems (ABB防护系统)提供的Control Builder M产品或Advant Safety Builder产品之类的应用。因果矩阵(CEM)编辑器在设计和/或工程设计阶段以及/或者后来在试运转或维护/升级阶段等等期间被使用。控制代码工程设计工具接受因果矩阵作为输入,并且将其变换成控制代码。控制代码可以具有与在IEC 61131-3标准中提到的任何中间代码类型相兼容的形式。控制代码优选地首先被编译成可以在安全控制器中执行的可执行/ 二进制代码,并且随后作为可执行/二进制代码被下载到过程控制器(或其他安全设备)中。还可以根据关闭级别和/或火灾区域或FGS检测/缓解因素和/或还根据其他逻辑约束来构造所生成的控制代码。这里所描述的因果矩阵以及从中生成的控制代码可以被应用到安全系统中的一个或更多控制器,并且在线查看器可以被用于控制/监测因果矩阵中的原因和结果,以便在具有来自例如过程工业群组中的过程的危险设施中控制及监测过程,所述过程工业组包括:油气提取、生产、精炼、运输、输送;化学过程、药剂过程、用于生产或处理浆纸的设施中的过程。在本发明的另一方面中,一种包括带有输入和安全设备的组件的工业安全系统允许作为事件或警报的结果而生成信号,其包括图形用户接口,并且提供了因果矩阵的在线查看器,所述系统包括计算机、计算机程序和图形用户接口,其中所述因果矩阵在线查看器还包括一项或更多项应用以便在设备脱扣时在CEM上产生链接和/或在其上显示,和/或从CEM提供针对链接到CEM的某一原因或结果单元的设备的面板。在本发明的再一方面中,描述了一种用于实施根据本发明的方法的计算机程序。在本发明的又一方面中,描述了一种包括用于实施本发明的方法的计算机程序的计算机程序广品。
可以参照下面结合附图进行的详细描述来获得对于本发明的方法和系统的更加全面的理解,附图仅仅通过非限制性图示的方式示意性地表示本发明的一个实际实施例。在附图中:图1在简化方框图中示出了根据本发明的一个实施例的图形用户接口,该图形用户接口显示出因果编辑器内部的因果矩阵的一种可能形式;图2示出了图1的发明,并且更具体来说是示出了用于实施图1的发明的方法的流程图;图3(现有技术)是一种已知类型的因果矩阵;图4示出了图1的发明,并且更具体来说示出了根据本发明的一个实施例的包括已经信号通知其脱扣的设备或致动器的结果单元的指示;图5示出了图1的发明,并且特别示出了因果矩阵的在线视图;以及图6特别示出了根据本发明的另一个实施例的另一因果矩阵的另一在线视图。
具体实施例方式图1在简化的图示中示出了安全系统中的因果矩阵的图形用户接口的各个元件。在工业控制系统内,安全系统被包括在控制系统和功能当中以作为与控制系统并行的单独系统,其有时甚至实现相同的动作但是具有不同的决策链。图1示出了因果编辑器工具的用户接口的一个实施例,该因果编辑器工具包括用于因果矩阵(CEM)的在线查看器。所述因果编辑器可以被显示在适当的工作站显示设备上,并且设置有用于输入到人机接口(HMI)等等的选择装置。该图示出了具有水平原因行22和垂直结果列26的因果矩阵。矩阵I包括优选地由(全局)变量12表示的原因以及优选地由另一个不同的(全局)变量16表示的结果。备选地,每个原因输入和每个结果输出可以在矩阵中以功能块或其他过程逻辑组件的形式来标识及表示,而不是全局变量的形式。所述全局变量在被使用时优选地具有“〈原因名称>_〈原因类型〉”的形式(在多个“原因”的情况下)。在多个结果的情况下,所述全局变量优选地具有“〈结果名称>_〈结果类型〉”的形式。因此,在所述图形用户接口中给出的因果矩阵优选地仅仅包含一定数目的唯一地标识的(全局)变量。每个所述(全局)变量实际上充当至代表每个不同输入设备或不同输出设备的过程逻辑组件的链接。因此,代表原因输入设备或结果输出设备的中间代码并未不存在于矩阵中,这一点与已知系统不同。这项改进的优点在于,因果矩阵本身并不包括用以对特定原因或结果进行建模的代码而是包括全局变量,从而由于可以进行适配因此为用户提供了增加的灵活性。用户可以与因果矩阵分开地人工添加插入在输入与输出程序逻辑组件之间的其他参数或其他代码。图1还示出了过程内的一组级别或区域,其中包括级别L1-L5。关闭级别是通过过程区段或现场区域而分组在一起的一组原因和结果。每个级别由例如ESD1、ESD2、ESD3、PSD42、PSD205(未示出)等名称标示。所示出的例子中的级别类型被标示为本地或远程。每个级别名称ESD1、PSD42等等标示关闭逻辑的一部分。一个级别18在图1中被表示为突出显示,其是作为本地类型的级别的级别PSD41。在图1中所示的因果矩阵的在线视图1中,第一指示器21在这里被显示为叠加在结果单元16上的第一阴影外观。第一可视指示器21可视地指示其中链接到结果16单元的设备14已脱扣的结果单元。第二指示器31被显示为叠加在另一个结果单元36上,其具有不同的第二可视外观,以向操作员指示该结果单元中的设备接收到针对脱扣的信号但是还没有脱扣。在因果矩阵的实况视图上显示哪些设备已脱扣(其例如由指示器21示出)的优点在于,该信息对于操作员或其他用户直接可见,而不需要任何附加的图形对象选择或导航。因此,操作员不需要事先知道需要逐个检查哪些结果或哪些设备以发现其中任一个是否已脱扣或者其中任一个是否已接收到脱扣信号但是没有脱扣。该信息可以从设备本身自动取回,或者由安全系统中的过程找到,并且结果被自动显示(或者取决于用户配置选项而被半自动地显示)。设备常常被设置成智能设备,其特别运行自我诊断例程。因此设备本身通常会检测到已接受到脱扣信号并且设备还没有脱扣,从而智能设备可以提供该信息。此外,从因果矩阵还可以看到哪些设备尽管接收到针对脱扣的信号并且预期会脱扣但是没有脱扣,这由第二种类型的指示器31示出,并且同样立即可见而不需要用户采取进一步动作。该信息通常已经可以在设备中获得,并且可以通过超时或监视定时器等等检测到。例如,应当关闭的阀门具有一定时间量来实现该操作。如果在该时间内没有到达端部开关,则出现报告阀门没有按照预期关闭的超时。此外,显示在因果矩阵的在线视图上的第二种类型的指示器31可以由例如鼠标滚入或右击等用户输入激活,以便访问并显示例如对于还没有脱扣的设备中的阀门或者其他组件操作是否发生超时之类的信息。图2是用以首先直接从因果矩阵的在线视图显示面板的方法的流程图。用户可以选择任何结果单元26,比如图1中的任何结果16、36,并且例如通过在单元16上的鼠标左击或左键双击而以第一种方式激活该单元,将会打开对应于链接到该单元的设备的面板,在该例中是用于设备14的面板。借助于这样的面板可以操作或者以其他方式控制设备。其次,可以从设备在因果矩阵的在线视图中所链接到的结果单元来直接操作该设备。用户可以选择例如图1中的任何结果单元16、36之类的单元,并且通过以另一种第二方式激活该单元(计算机鼠标滑进或鼠标右击),例如将会打开弹出框或者下拉列表或其他列表之类的选择(参见图4的40),从而用户可以选择对链接到该结果单元的设备进行操作的选项。在本例中,如果结果单元16被选择,则设备14可以被操作。作为针对操作该设备的一种替换方案,可以通过弹出或滚入功能(比如图4的40)取回与之有关的实况信息之类的其他信息,比如所测量的一个或更多值。图2的流程图示出了以下动作:
41选择因果矩阵上的结果单元42是否检测到针对该结果单元的用户输入?43如果检测到并且是第一种类型的激活输入,则48打开链接到该结果单元的设备的面板,并且当接收到进一步的输入时执行49 ;45如果检测到并且是第二种类型的激活输入,则46打开弹出框、下拉列表或其他选择列表,以及49操作设备或者以其他方式控制设备或者调查设备的值等等。在图4中,在在线视图中示出了结果单元16。可以通过原因单元16上的鼠标指针滚入或鼠标右击的形式的用户输入或者其他预定用户输入动作而打开A弹出框40或可选功能列表。因此,也可以例如利用鼠标指针在在线视图上指向指示器21或与之相关联的结果单元16,以便显示A并且例如以鼠标滚入标签或工具提示的形式接收关于哪一个设备已脱扣的简短信息。用户可以随后从列表中选择某一选项或者弹出框40中的类似功能以便:打开设备、查看警报、访问阀门、查看趋势等等。通过按照这种方式使用弹出框40,用户可以直接从矩阵的在线视图访问设备或原因单元。图4在图1的在线视图1中示出了该图示右侧的面板50,以及该图示左侧的因果矩阵在线视图1。从因果矩阵的实况视图1还有可能利用第二用户动作集合来操作设备。操作设备的第二种方式是,由操作员从矩阵在线视图上的所选原因单元直接激活去到面板的链接。第二控件(未示出)被链接到由附图标记54所指示的结果单元,其可以通过操作员输入来激活以打开对应于链接到该结果单元的设备14的面板50。通过在结果单元以某种方式被选择时激活第二控件会,导致生成所述面板并且例如将其显示为浮动叠加在矩阵上的一个单独的窗口,正如箭头C示意性地示出的那样。举例来说,因果矩阵可以被配置成使得,例如对于因果矩阵中的结果单元上的左击或双击之类的输入导致生成对应于链接到该结果单元的设备的面板。因此,可以从因果图的在线视图直接到达对应于已脱扣的设备的面板以便进行操作和调查(因果图上的所有其他设备也是一样)。于是如果设备按照其本应发生的那样脱扣,该脱扣的原因对于操作员来说并不总是显而易见的。因此,提供位于已脱扣设备的面板上的一个按钮,以便访问关于导致该设备脱扣的原因的信息。为了获得该信息,可以使用在该情况下针对脱扣和互锁而配置的通用路由算法。其次,在针对该设备的面板上,还可以显示该设备已脱扣的指示,例如通过针对该设备的面板上的指示器51来显示(参见图4)。如果例如链接到结果单元16的设备14已经被信号通知或者设定到脱扣但是还没有脱扣,则可以首先将设备已被信号通知脱扣但是没有脱扣的这一状态显示在结果单元的在线视图上,以例如作为可视外观31 ;并且还被显示为对应于该设备的面板上的指示器55或按钮。图4示出了图1的因果矩阵的在线视图1连同用于操作或控制设备的面板50,所述设备例如是与因果矩阵的一个结果单元相关联的设备14。所示出的面板是用于控制某种类型的机动化控制的简化面板。“简化”一词意味着所述简化面板显示出简化的或者有限数目的控件和信息访问控件。例如按钮62-65的控件可以分别被设置成具有如下功能,所述功能通过62访问针对电动机的操作员说明、通过63访问针对电动机的安全性设定、通过64访问针对电动机的所测量值、通过65访问趋势信息。还可以提供对针对该设备的警报列表和/或事件列表的访问。可以例如在显示67中显示出例如状态指示器或者列表之类的实况值,和/或可以在例如68的显示中显示警报列表。所述简化面板还显示出对应于电动机的所测量值34的实况值,比如显示出0%电压的电动机电压MV和显示出O安培的电动机电流Curr。提供了用于操作电动机的有限按钮集合,关闭、停止、手动、El、E2和打开。在面板的底部提供了三个选择器,从而允许用户从当前所选的简化面板(左侧)切换到标准面板(中心)或者扩展面板(视图右侧)。除了前面描述的可以被设置在面板上的已知设备控件和信息访问控件之外,根据本发明的一个方面的面板还包括用于显示和访问关于脱扣的信息的控件。图4示出了提供有控件或按钮51的面板50,所述控件或按钮51在面板上指示设备是否已脱扣。如果按钮51以通常方式被显示,例如利用信号灯或闪烁色彩和/或利用按钮上的全彩色对比度或阴影等等,则指示该设备已脱扣。所述全对比度显示可以替换地由例如填充框之类的填充形状来表示(参见图5、6中的21、21’ )。如在图4中那样,如果按钮55按照替换方式被可视显示,例如低对比度方式、变灰或者没有阴影,则该可视指示器55直接明了地向用户指示设备还没有脱扣。所述低对比度显示可以替换地包括例如中空框之类的轮廓符号(参见图5、6中的31’、59)。通过利用计算机输入设备指在已脱扣”按钮51处或者将计算机鼠标指针移动到该按钮上会激活显示出关于脱扣的某些信息的鼠标滚入标签或类似物;或者如果已脱扣按钮51没有脱扣(未示出),则可以替换地取回关于针对脱扣所述设备的最近一个或多个信号的信息。对于按钮51的双击或单击或其他激活给出关于最近的一个或多个脱扣信号的全部细节以及访问对应于设备的过去脱扣或其他历史数据的选项。示例性面板50还提供有单独的控件或按钮55,其指示设备是否已被设定为脱扣、是否接收到针对脱扣的信号但是还没有脱扣。类似地,如果“未脱扣”按钮55被以低对比度示出,例如被显示为变灰和/或没有阴影,则所述设备还没有被设定为脱扣。在图4中对于按钮51以示例性方式将该外观示范为仿佛变灰并且没有额外的突出显示或阴影以指示低对比度,从而指示未脱扣。如果未脱扣按钮55以通常方式被显示,正如图4中所示出的那样,这意味着利用对比度彩色和/或阴影来显示,则设备已接收到针对脱扣的信号。与关于第一指示器51描述的方式相同,在第二控件或按钮55上施行的类似的指示动作或鼠标滚入动作会获取关于被设定但是没有发生的脱扣的简短信息。对于未脱扣控件或按钮51的双击或单击或类似的选择性激活会给出关于所发送的用以把设备设定为脱扣的信号的全部细节。取决于操作员配置选项,该信息由安全系统中的处理自动或半自动地发现。所述处理例如可以使用路由算法来识别出哪些原因链接到与接收脱扣信号的设备相关联的结果单元。图5示出了用于油气设施中的升油器的安全控制的另一个因果矩阵的在线视图51。该图在图示左侧的水平行1-13中示出了 12个原因,以及设置在图示右侧的垂直行1-13中的10个结果。具有标签号ESDV-3002和描述“来自Gannet的石油(表面)——关闭”的结果16’被显示为具有第一可视指示器21,其在这里具有填充白色框的形式并且指示结果16’的设备已脱扣。已脱扣指示器21是对应于设备的状态的实况值。
具有标签号ESDV-3171和描述“来自Clyde的石油(表面)——关闭”的结果单元76中的另一个结果被显示为具有第二可视指示器71,其具有小框的轮廓的形式。第二指示器71被用来指示该设备被设定了脱扣但是还没有脱扣。在被标记为“无视(override) ”的垂直和水平各行中,在行6中邻近结果单元76可以看到具有字母“B”和附图标记59的标记。水平无视行O与结果单元76的相交处的标记B指示在该结果上预先配置了无视或阻断,其将无视所设定的任何脱扣。因果逻辑常常设定一项或更多项特定阻断以便无视脱扣,特别在特定操作阶段尤其是这样,例如在过程启动或关闭过程期间。操作员也可以配置无视。因此在这种情况下,结果76设定了脱扣但是没有脱扣,正如第二指示器71所示出的那样。因此,操作员一眼就可以看到所设定的脱扣被字母B所示出的预先配置的无视59所阻断。阻断设定B和未脱扣指示器71都是示出对应于链接到结果单元76的设备的在线视图中的当前状态的实况值。图6示出了另一因果矩阵的在线视图61,该另一因果矩阵对应于油气设施的另一个部分中的过程的安全控制。该图在视图7的图示左侧的水平行中示出了 7个关闭级别和26个原因。在图示右侧连同行1-20中的15个结果示出了相同的7个关闭级别。行16中的一个结果16被显示为具有第一可视指示器21’,其在这里具有较小的填充绿色框的形式,从而指示结果16的设备已脱扣。在线视图61的行20中的另一个结果36具有的标签号为X12_EXT_CEM1_CEM2_5,其被显示为具有小框的轮廓的形式的第二可视指示器36。第二指示器36意味着结果单元16的设备已经设定了脱扣但是该设备还没有脱扣。对应于链接到结果单元的图5或6中的设备的面板可以被打开、显示,并且利用该面板对设备进行操作,其方式与关于图1所描述的方式相同。通过利用第一种类型的用户输入激活所述结果单元来激活该面板,第一种类型的用户输入比如是鼠标双击或左击等等。此外,可以通过利用第二种类型的用户输入激活结果单元,来打开、显示连接到所述结果单元的图5或6中的设备并且对该设备进行操作,第二种类型的用户输入比如是通过鼠标悬停(mouse-over)并且随后从弹出或下拉框中进行选择;或者通过鼠标右击等等。随后可以操作或监督所述设备。还可以从在线视图直接操作关闭级别。举例来说,参照图5,在线视图51中的关闭级别上的用户输入可以打开用以操作关闭级别中的原因或结果的控件。举例来说,可以按照与结果相同的方式,从在线视图直接打开并操作行I中的标签号为ESDI并且描述为“紧急情况关闭级别I”的关闭级别78。关闭级别还可以被设置有面板,从而可以通过面板从在线视图“操作”关闭级别。设置另一个用户输入,其在由用户激活时打开对应于关闭级别的面板,正如结果单元或原因单元一样。可以像设备那样,从在线视图打开的面板来手动操作关闭级别78。可以改变关闭级别中的配置数据。因此,在例如温度之类的输入上的鼠标点击将访问该温度输入以便进行调节等等。可以使用不同的鼠标点击来直接从例如78的关闭级别访问传感器或致动器。举例来说,可以操纵例如59的无视阻断B,例如可以将其设定或去除。在另一个实施例中,取代把因果图保存为Excel表单或保存在数据库中,将其保存为XML格式。通过这种方式可以在不同工具之间更加容易地交换数据。其还可以独立于任何Excel或数据库版本来存储,并且在XML文件被压缩时(例如zip压缩)可以被非常紧凑地存储。还可以在工业控制系统内使得XML文件在系统范围内可访问,从而使得可以从系统中的任何工程设计节点规划因果图,而不仅仅从初始地创建因果图的一个节点来规划。不需要把文件人工拷贝到另一个节点(PC)。在例如来自ABB的800xA系统之类的工业控制系统中,这可以通过把因果数据放置在一个示象(aspect)中来实现。安全系统的另一个实施例包括具有敏感屏幕材料、触摸屏等等的显示设备。触摸屏可以被设置成通过电气(例如电容性)功能或者通过光学功能(例如由于触摸压力导致屏幕材料中的折射的IR配准)等等对触摸或者附近移动或手势进行配准。在其中安全系统的HMI被具体实现为包括在优选实施例的显示器中的触摸屏、文本行或图像的情况下,选择、导航按钮可以分别被具体实现为触摸屏上的图像。对于由安全装置保护的一个或更多过程设备的操作的监测可以根据相同的方法来实施,但是借助于屏幕的触摸部分来执行而不是按压按钮,或者通过利用计算机鼠标的点击或其他指示/选择设备来执行。所述HMI可以被设置成使得可以利用单一模式(例如多点触控屏幕)来同时接收两项或更多项用户输入,或者可以通过使用多种模式来同时接收两项或更多项用户输入,比如单一屏幕触摸+鼠标指针、单一屏幕触摸+计算机鼠标左击/右击或者单一屏幕触摸+CTRL或其他键盘按键。在一种促进协作的特定改进中,因果编辑器图形用户接口可以例如被显示在诸如水平桌面类表面的协作显示设备上,在配置或测试对应于安全系统的安全输入和结果时,若干用户可以围绕该表面进行协作并且同时操作输入设备。本发明适用于其中安全系统是强制性的所有工业领域以及其中正在考虑引入强制性安全系统的其他领域。在各项有利的发展中,还通过以下方式来适配所述方法:在面板50上显示设备14的一个或更多实况过程值34 ;和/或在面板50上提供一个或更多控件以用于访问设备14的实况数据34、51、55和/或历史数据62-68。在安全系统中包括在线查看器和因果矩阵的系统的各项有利的发展中,所述系统包括在实况视图中显示因果矩阵的手持式计算设备,其中设置有用于供一个或更多用户输入以操作或操纵因果矩阵的控件;和/或此外所述手持式计算设备还配备有无线接收器和/或发送器;替换地或附加地,所述手持式计算设备配备有如下控件,该控件用于供一个或更多用户向因果矩阵的在线视图进行输入,以及用于访问对应于被配置在所述因果矩阵中或者与之链接的任何设备14的功能面板50表示。可以通过一个或更多计算机程序来监督、控制或实施本发明的方法。一个或更多微处理器(或者处理器或计算机)包括连接到前面所描述的安全控制器或过程控制器或者包括在其中的中央处理单元CPU,所述处理器、PLC或计算机施行根据本发明的一个或更多方面的方法的各个步骤,正如例如参照图2所描述的那样。应当理解的是,用于实施根据本发明的方法的计算机程序还可以运行在一个或更多通用工业微处理器或PLC或计算机上,而不是一个或更多专门适配的计算机或处理器或安全控制器上。所述计算机程序包括计算机程序代码元件或软件代码部分,其使得计算机或处理器利用对应于前面描述的方法的等式、算法、数据、所存储值、计算、同步等等并且例如关于图2的流程图来施行所述方法。程序的一部分可以被存储在前面的处理器中,但是也可以被存储在ROM、RAM、PROM、EPROM或EEPROM芯片或类似的存储器装置中。所述程序或其中的一些也可以部分地或者全部被本地(或集中)存储在其他适当的计算机可读介质(比如磁盘、CD-ROM或DVD盘、硬盘、磁性-光学存储器存储装置)之上或者之中,存储在易失性存储器、闪存中,存储为固件,或者存储在数据服务器上。也可以使用其他已知的适当介质,其中包括例如USB记忆棒之类的可移除存储器介质以及其他可移除闪存、硬盘驱动器等等。所述程序还可以部分地从数据网络提供或更新,其中包括例如因特网之类的公共网络。应当提到的是,虽然前面描述了本发明的示例性实施例,但是在不背离如所附权利要求书所限定的本发明的范围的情况下,针对所公开的解决方案可以有若干变型和修改,特别是针对用于跟踪脱扣回到原因的方法尤其如此。
权利要求
1.一种在工业安全系统中用于控制过程或装备的方法,所述工业安全系统包括带有输入和安全设备的组件,并且其中所述安全系统使用通过因果矩阵(CEM)设计或生成的控制代码,所述因果矩阵在事件或警报与在一个或更多安全控制器中由于事件而接收到所述事件或警报信号时将采取的结果或动作之间有自动化链接,并且其中在线查看器提供所述因果矩阵的在线视图,其特征在于,为所述因果矩阵的在线视图(1,51,61)中的至少一个结果单元(16,26,36,76)提供第一控件,其被设置成接收用户输入,并且提供用于打开及控制与所述至少一个结果单元(16)链接的设备(14)的可执行链接。
2.根据权利要求1所述的方法,其特征在于,所述第一控件还被设置成具有用于打开及操作与所述至少一个结果单元(16)链接的所述设备(14)的替换可执行链接。
3.根据权利要求1所述的方法,其特征在于,所述第一控件还被设置成在所述设备(14)已脱扣的情况下,显示叠加在与所述设备链接的至少一个结果单元(16)上或位于其旁边的第一可视指示器(21)。
4.根据权利要求1所述的方法,其特征在于,所述第一控件还被设置成在所述至少一个结果单元已经接收到脱扣与该至少一个结果单元链接的设备的信号但是还没有执行脱扣的情况下,显示叠加在因果 矩阵上或者位于结果单元(36,36’ )旁边的第二可视指示器(31,31,)。
5.根据权利要求1所述的方法,其特征在于,运行处理以用于确定哪个或哪些原因导致针对接收到用以脱扣的信号的设备(14)的所述事件或警报,并且显示第三可视指示器(23),其指示因果矩阵上被如此确定为导致用以脱扣的信号的一个或更多原因(12)。
6.根据权利要求1所述的方法,其特征在于,提供链接到因果矩阵的所述至少一个结果单元(16,54)的第二控件,其被设置成接收输入并且打开(C)及显示用于控制所述设备(14)的面板(50)。
7.根据权利要求6所述的方法,其特征在于,在由所述面板(50)控制的设备(14)已经脱扣的情况下,在该面板上显示另一第一可视指示器(51),从而指示该设备(14)已经脱扣。
8.根据权利要求6所述的方法,其特征在于,在所述面板(50)上提供另一第二可视指示器(55),以用于指示何时已设定或者已用信号通知脱扣但是还没有脱扣。
9.根据权利要求6或7所述的方法,其特征在于,当第一可视指示器(21,51)接收用户输入时,显不关于被设定的脱扣的信息。
10.根据权利要求6所述的方法,其特征在于,在所述面板(50)上提供具有第二可视指示器(55)的控件,以用于取回关于哪些输入信号、警报、事件导致了被设定的脱扣的细节。
11.根据权利要求1所述的方法,其特征在于,提供所述第一控件,所述第一控件还被设置成接收用户输入并且打开及显示对应于所选原因单元(23)或关闭级别(18,78)的面板(50)。
12.根据权利要求1所述的方法,其特征在于,提供所述第一控件,所述第一控件还被设置成接收针对所选原因单元(23)或关闭级别(18,78)的用户输入,以及打开并显示链接到所述单元或级别的仪器、设定或设备,以便对其进行操作和/或操纵。
13.根据权利要求1所述的方法,其特征在于,提供所述第一控件,其还被设置成具有可执行链接,所述可执行链接被设置成接收用户输入,所述用户输入打开(A)弹出框(40)、下拉列表或可点击鼠标悬停工具提示,以用于打开及控制链接到所述至少一个结果单元(16)的设备(14)。
14.根据任一在前权利要求所述的方法,其特征在于,运行路由算法,所述路由算法被设置成计算哪些原因或信号导致了对于所述事件或警报设定脱扣。
15.一种工业安全系统,包括带有输入和安全设备的组件,并且其中所述安全系统使用通过因果矩阵(CEM)设计或生成的控制代码,所述系统包括因果矩阵(CEM),所述因果矩阵在事件或警报与在一个或更多安全控制器中由于事件而接收到所述事件或警报信号时将采取的结果或动作之间具有自动化链接,并且所述系统包括提供所述因果矩阵的在线视图(I)的在线查看器,所述安全系统包括计算机、计算机程序和图形用户接口, 其特征在于,所述因果矩阵的在线视图(1,51,61)中的至少一个结果单元(16,26,36,76)包括第一控件,其被设置成接收用户输入并且提供用于打开及控制该结果单元(16)的设备(14)的可执行链接。
16.根据权利要求15所述的系统,其特征在于,第一控件又被设置成在设备(14)已脱扣的情况下,显示在在线视图中叠加在与该设备链接的至少一个结果单元(16)上或位于其旁边的第一可视指示器(21)。
17.根据权利要求15所述的系统,其特征在于,还包括用于提供第二控件的应用,所述第二控件链接到在线视图(1,51,61)的所述至少一个结果单元(16),所述第二控件被设置成接收用户输入并且显示(C)用于控制所述设备(14)的面板(50)。
18.根据权利要求15所述的系统,其特征在于,用于提供在线视图(1,51,61)的在线查看器,其中所述第一控件还被设置成接收针对所选原因单元(23)或关闭级别(18)的用户输入,以及打开并显示链接到所选单元(23)或关闭级别(18)的设备、设定或仪器,以便对所述设备、设定或仪器进行操作和/或操纵。
19.根据权利要求15所述的系统,其特征在于,用于提供在线视图(1,51,61)的在线查看器,其中所述第一控件还被设置成接收用户输入以及打开并显示针对所选原因单元(23)或关闭级别(18)的面板(50)。
20.一种在工业安全系统中用于控制安全设备的计算机程序,所述程序包括计算机代码和/或计算机软件装置,其在被馈送到计算机中时将使得所述计算机实施根据权利要求1-14的方法。
21.一种包括计算机程序的计算机可读介质,当所述计算机程序被读取到计算机或处理器中时,其将使得所述计算机或处理器实施根据权利要求1-14中的任一项所述的各个步骤。
22.根据权利要求16所述的工业安全系统中用于控制过程或装备的系统的用途,其目的用于控制或监测具有来自过程工业群组的过程的危险设施的安全系统中的安全设备,所述过程工业群组包括:油气提取、生产、精炼、运输、配送;化学过程、药剂过程、用于生产或加工浆纸的设施中的过 程。
全文摘要
本发明涉及一种在工业安全系统中用于控制过程或装备的改进方法。工业安全系统包括具有安全设备的组件,其中所述安全系统允许作为事件或警报的结果生成信号。所述方法和系统使用因果矩阵(CEM),其在每个事件或警报与由于事件而接收到所述事件或警报信号时将采取的结果或动作之间有自动化链接。在改进的因果矩阵的在线视图(1,51,61)中,因果矩阵的至少一个结果单元(16)被设置成具有针对由该至少一个结果单元代表的设备(14)的第一可执行链接。因果矩阵的在线查看器还被设置成具有用于生成及显示第一控件的应用,所述第一控件被设置成在所述至少一个结果单元已经接收到脱扣与该至少一个结果单元链接的设备(14)的信号的情况下,显示可视标记(21)。可以从显示所标记的至少一个结果单元的在线视图打开可执行链接或面板(50),并且其被用来操作如此标记的结果的设备(14)。此外还描述了一种系统和计算机程序。
文档编号G05B9/02GK103097973SQ201080067758
公开日2013年5月8日 申请日期2010年7月26日 优先权日2010年7月26日
发明者K·戈尔, P·威梅斯 申请人:Abb股份有限公司