用于控制现场设备的系统的制作方法
【专利摘要】本实用新型提供了一种用于控制现场设备的系统,该现场设备可操作地耦接到在安全仪表系统中实现的控制元件,系统包括:可操作地耦接到控制元件并且在安全仪表系统中实现的现场设备,现场设备包括可操作地耦接到软件模块的硬件模块,其中硬件模块可操作地耦接到控制元件的控制输入,硬件模块响应于安全事件的发生,在检测到安全事件的发生之后,硬件模块越权控制现场设备的正常控制并且提供硬件控制信号给控制元件;并且软件模块包括可操作地耦接到存储器和控制元件的控制输入的处理器,软件模块响应于安全事件的发生,在检测到安全事件的发生之后,软件模块验证由硬件模块进行的对现场设备的正常控制的越权控制并且提供软件控制信号给控制元件。
【专利说明】用于控制现场设备的系统
【技术领域】
[0001] 本文的公开整体涉及控制安全仪表系统中的现场设备,更具体地涉及用于将现场 设备置于安全状态的系统。
【背景技术】
[0002] 过程控制系统如化学、石油和其他过程中使用的那些过程控制系统典型地包括一 个或多个控制器,该控制器经由模拟、数字或组合的模拟/数字总线可通信地耦接到至少 一个主机或用户工作站和一个或多个现场设备。现场设备例如可以包括控制阀、阀定位器、 开关和发射器(例如温度、压强和流速传感器),其执行过程之中的功能,如打开或关闭阀 以及测量过程参数。过程控制器接收用于指示由现场设备做出的过程测量的信号和/或涉 及现场设备的其他信息,并且使用该信息来实现控制例程以生成控制信号,该控制信号可 以通过总线发送到现场设备以控制过程的操作。在现场设备失效的情况中,可能危及整个 过程控制系统的操作状态。
[0003] 安全仪表系统(SIS)可用于防护过程控制系统以防止危险事件,如毒气、易燃或 易爆化学品的泄漏。SIS是用于补充过程控制系统并且当必要时采取行动来使过程控制系 统进入安全状态的独特的、可靠的系统。SIS利用传感器、逻辑解算器和致动器来实现安全 仪表功能(SIF)以达到或维持安全状态。安全完整性等级(SIL)是SIS的完整性的统计 表示并且可以根据风险降低因子(RRF)来限定。换句话说,SIL是一种用于指示特定安全 功能的可容忍失效率的方式。RRF的倒数是要求失效概率(probability of failure on demand,PFD)并且多个离散的SIL等级与PFD相关联,其中SIL等级1表示可接受的风险 的最1?等级,并且SIL等级4表不可接受:的风险的最低等级。
[0004] SIS可以典型地包括两种类型的设备、仪器、子系统或模块;即类型A和类型B。通 常,被分类为类型A的单元是不具有板载复杂处理器的设备,并且每个组件,例如阀、中继 器、螺线管、开关等等的所有可能的失效都能够被限定。被分类为类型B的单元包括至少一 个具有未被良好限定的失效模式的组件,例如微处理器、专用集成电路(ASIC)、"智能"发射 器。根据安全性,可以将失效分为两种类别:安全失效和危险失效。安全失效是在设备内的 模块和子系统等级上的那些失效,其导致安全状态并且可能被或不被内部诊断检测到。危 险失效是不导致安全状态的失效。但是危险失效可能被内部诊断检测到,内部诊断向用户 警告该失效并且使得能够及时的维修,使得要求失效概率(PFD)不像失效未被检测到那样 受影响。安全失效比率(SFF)参数指示导致安全失效的设备的总体失效率与全部失效相比 的比率。SFF可以被定义为1-(危险的未检测到的失效V(总失效),其中,总失效包括已 检测到的安全失效、未检测到的安全失效、已检测到的危险失效和未检测到的危险失效。未 检测到的危险失效不利地影响与设备相关联的PFD和/或SFF。 实用新型内容
[0005] 因此,本实用新型针对的技术问题是现有技术中不能很好地控制过程工厂中的现 场设备,从而本文公开了用于改善对工厂操作的控制的示例性系统。
[0006] 在一个示例性实施方式中,公开了一种用于控制现场设备的系统,该现场设备可 操作地耦接到在安全仪表系统中实现的控制元件,所述系统包括:可操作地耦接到控制元 件并且在安全仪表系统中实现的现场设备,所述现场设备包括可操作地耦接到软件模块的 硬件模块,其中所述硬件模块可操作地耦接到所述控制元件的控制输入,所述硬件模块响 应于安全事件的发生,在检测到所述安全事件的发生之后,所述硬件模块越权控制所述现 场设备的正常控制并且提供硬件控制信号给所述控制元件;并且所述软件模块包括可操作 地耦接到存储器和所述控制元件的控制输入的处理器,所述软件模块响应于所述安全事件 的发生,在检测到所述安全事件的发生之后,所述软件模块验证由所述硬件模块进行的对 所述现场设备的正常控制的越权控制并且提供软件控制信号给所述控制元件。
[0007] 在一种实现中,所述控制元件是阀。
[0008] 在一种实现中,系统进一步包括:可操作地耦接到所述硬件模块、所述软件模块和 所述控制元件的转换器设备。
[0009] 在一种实现中,所述转换器设备是电流到压强(Ι/P)转换器或电压到压强(E/P) 转换器。
[0010] 在一种实现中,将所述硬件控制信号提供给所述转换器设备。
[0011] 在一种实现中,将所述软件控制信号发送给所述转换器设备。
[0012] 在一种实现中,系统进一步包括:可操作地耦接到所述软件模块以用于检测所述 安全事件的发生的传感器,其中在检测到所述安全事件的发生之后,所述传感器开始提供 所述硬件控制信号给所述控制元件,并且所述传感器可操作地耦接到所述软件模块以用于 检测所述安全事件的发生,并且在检测到所述安全事件的发生之后,所述传感器开始将所 述软件控制信号发送到所述控制元件。
[0013] 在一种实现中,验证对所述现场设备的正常控制的所述越权控制包括所述硬件控 制信号与安全状态信号的比较。
[0014] 在一种实现中,如果所述硬件控制信号不等于所述安全状态信号,则所述软件模 块登记检测到的所述硬件模块的失效。
[0015] 在一种实现中,所述硬件模块是被分类为类型A的设备,并且所述软件模块是被 分类为类型B的设备。
[0016] 利用本实用新型的方案,能够改善对工厂操作的控制。
【专利附图】
【附图说明】
[0017] 图1是具有过程控制系统和安全仪表系统的示例性过程工厂的示意性表示。
[0018] 图2是(根据本文的公开的原理来构造的)用于将最终控制元件如阀置于安全状 态的过程工厂的一部分的示例性配置的方框图。
[0019] 图3示出了能够在图2中所述的过程工厂中使用以将现场设备置于安全状态的示 例性模块或过程流图。
【具体实施方式】
[0020] 本文的公开涉及提供用于确保使在安全仪表系统中实现的现场设备进入安全状 态的控制系统和方法。图1中所示的能够实现本实用新型的一个或多个实施方式的示例 性过程工厂10包括过程控制系统12和通常作为安全仪表系统(SIS)来操作的安全系统 14(描绘在虚线中)。SIS14能够执行安全仪表功能(SIF)以达到或维持过程控制系统12 中的安全状态。如果必要,则SIS14可以越权控制过程控制系统12。
[0021] 过程工厂10包括一个或多个主机工作站16或计算设备如个人计算机,其例如具 有包括可被工厂人员访问的键盘和显示屏的用户接口。在图1中所示的实例中,两个工作 站16被显示为经由公共通信线路或总线22连接到过程控制/安全控制节点18和数据历 史库20。数据历史库20可以是任意希望类型的数据采集单元,其具有任意希望类型的存储 器和任意希望或已知的软件、硬件或固件以用于存储数据。虽然数据历史库20在图1中被 示为独立的设备,但是其可以改为或另外作为一个工作站16或另一个设备如服务器的一 部分。可以使用任意希望的基于总线的或非基于总线的硬件,使用任意希望的有线或无线 通信结构并且使用任意希望的或合适的通信协议如以太网协议,来实现通信总线22。
[0022] 通常,过程工厂10包括经由可以在底板26上提供的总线结构可操作地连接在一 起的过程控制系统设备和安全系统设备,其中,不同的过程控制器和输入/输出设备附接 到底板26中。图1中所示的过程工厂10包括至少一个过程控制器24以及一个或多个过 程控制系统输入/输出(I/O)设备28、29、30、31、32。过程控制系统1/0设备28、29、30、 31、32中的每一个可通信地连接到图1中被示为现场设备40、41、42、48的一组过程控制相 关现场设备。过程控制器24、I/O设备28、29、30、31、32和控制器现场设备40、41、42、48通 常构成图1的过程控制系统12。
[0023] 举例而言,过程控制器24可以是由爱默生过程管理公司所销售的DeltaV?或者任 意其他希望类型的过程控制器,其被编程为使用I/O设备28、29、30、31、32和现场设备40、 41、 42、48来提供过程控制功能。具体而言,控制器24实现或者监管一个或多个过程控制模 块46或者存储在其中的存储器中或者与其相关的存储器中的例程并且与现场设备40、41、 42、 48和工作站16通信,以用任意希望的方式控制过程工厂10或者过程工厂10的一部分。
[0024] 可以用任意希望的软件格式如使用梯形逻辑、顺序功能图、控制例程图、面向对象 编程或任意其他软件编程语言或设计范例来实现控制例程46,控制例程46可以是多个控 制模块或一个控制程序的任意部分如子例程、子例程的部分(如代码行)等等。类似地,本 文所述的控制例程可以被硬编码到例如一个或多个EPROM、EEPR0M、专用集成电路(ASIC)、 PLC或任意其他硬件或固件元件中。可以使用任意设计工具(包括图形设计工具或任意其 他类型的软件/硬件/固件编程或设计工具)来设计控制例程。
[0025] 控制器24可以被配置为用任意希望的方式实现控制例程或控制策略。控制器24 可以例如使用通常被称为功能块的东西来实现控制策略,其中,每个功能块是总控制例程 的一部分或一个对象并且(经由被称为通信的链路)结合其他功能块来操作,以实现过程 控制系统12中的过程控制回路。功能块典型地执行以下功能之中的一个:输入功能,如 与发射器、传感器或其他过程参数测量设备相关联的输入功能;控制功能,如与用于执行 PID、模糊逻辑等等控制的控制例程相关联的控制功能;或者输出功能,用于控制一些设备 如阀的操作以执行过程控制系统12中的一些物理功能。也可以存在这些功能块的混合以 及其他类型的功能块。
[0026] 功能块和控制例程可以存储在控制器24中并且由控制器24执行,这典型而言是 当功能块用于或者关联标准4-20ma设备和一些类型的智能现场设备如HART设备时的情 况。功能块和控制例程也可以存储在现场设备自身中并且由现场设备自身执行,这可能是 利用现场总线设备时的情况。
[0027] 为了本文的公开的目的,术语控制策略、控制例程、控制模块、控制功能块、安全模 块、安全逻辑模块和控制回路本质上表示为了控制过程而执行的控制程序,并且这些术语 可以在本文互换使用。然而,为了以下讨论的目的,将使用术语模块。应该进一步注意到, 本文所述的模块根据需要可以使其各个部分由不同控制器或其他设备实现或执行。另外, 本文所述的要实现在过程控制系统12和安全系统14中的模块可以采取任意形式,包括软 件、固件、硬件或其任意组合。
[0028] 现场设备40、41、42、48可以具有任意希望的类型,如传感器、阀、发射器、定位器 等等并且可以符合任意希望的开放、私有或其他有线和/或无线通信或编程协议,包括例 如仅举几个例子而言HART或4-20ma协议(如对于现场设备40所示的)、任意总线协议如 Foundatiomi现场总线协议(如对于现场设备41所示的)、或CAN、Profibus、和AS接口 协议。类似地,I/O设备28、29、30、31、32中的每一个可以是使用任意合适的通信协议的任 意已知类型的过程控制I/O设备。
[0029] 除了有线通信之外,或者代替有线通信,可以使用任意希望的无线通信设备,包括 现在已知或以后开发的硬件、软件、固件或其任意组合,在控制器24和现场设备40、41、42、 48之间建立无线通信。在图1中所示的实施方式中,天线47耦接到并且专用于执行发射器 42的无线通信,而具有天线45的无线路由器或其他模块43被耦接为统一地处理可操作地 与其耦接的发射器42的无线通信。类似地,天线37耦接到控制阀组件48以执行控制阀组 件的无线通信。现场设备或相关硬件40、41、42、48可以实现由合适的无线通信协议使用的 协议栈操作以经由天线37、45、47接收、解码、路由、编码和发送无线信号,以实现过程控制 器24和发射器42和控制阀组件48之间的无线通信。
[0030] 如果希望,则发射器42可以在各个过程传感器(发射器)和过程控制器24之间 形成唯一的链路,并且依赖这些发射器42来发送准确的信号给控制器24以确保维持过程 性能。通常被称为过程变量发射器(PVT)的该发射器因此可能在总体控制过程的控制中扮 演重要角色。另外,作为其操作的一部分,控制阀组件48可以提供由控制阀组件48中的传 感器做出的测量值或者可以提供由控制阀组件48生成或计算的其他数据给控制器24。当 然,如已知的,控制阀组件48还可以从控制器24接收控制信号,以影响总体过程中的物理 参数,如流量。
[0031] 过程控制器24耦接到一个或多个I/O设备31、32,每个I/O设备连接到相应的天 线33、35,并且这些I/O设备和天线作为发射器/接收器来操作,以经由一个或多个无线通 信网络执行与无线现场设备42、48的无线通信。可以使用一个或多个已知无线通信协议如 WirelessH ART? |办议、Ember协议、WiFi协议、IEEE无线标准等等,执行现场设备之间 的无线通信。进一步地,I/O设备31、32还可以实现由这些通信协议使用的协议栈操作以 经由天线33、35接收、解码、路由、编码和发送无线信号,以实现控制器24和发射器和控制 阀组件48之间的无线通信。
[0032] 过程工厂10还包括一个或多个安全系统逻辑解算器50、51、52、53。逻辑解算器 51、52、53、54中的每一个可以是具有处理器54的安全控制器(总是又被称为I/O设备), 其中,处理器54执行存储在存储器中的安全逻辑模块58并且被可通信地连接为向安全系 统现场设备60、62、65、66提供控制信号和/或从安全系统现场设备60、62、65、66接收信 号。安全控制器50、51、52、53和安全系统现场设备60、62、65、66通常构成图1的安全系统 14(SIS)。
[0033] 安全系统现场设备60、62、65、66可以是符合或使用任意已知或希望的有线和/或 无线通信协议(如上文关于过程控制系统12所述的那些有线和/或无线通信协议)的任 意类型的现场设备。具体而言,现场设备60、62、65、66可以是通常受独立专用安全相关控 制系统(如紧急关停(ESD)阀)控制的类型的安全相关现场设备。在图1中所示的过程工 厂10中,安全现场设备60被描述为使用专用或点对点通信协议如HART或4-20ma协议,而 安全现场设备62被描述为使用总线通信协议如现场总线协议。通常,作为安全系统14的 一部分的安全设备(控制器50、51、52、53和安全系统现场设备60、62、65、66)被评级是安 全设备,其典型地表示这些设备必须经历评级程序,以被合适的团体评级为安全设备。
[0034] 类似于过程控制系统12,安全系统14也可以包括设置在工厂中的将要被控制的 多个无线现场设备65、66。现场设备65、66可以包括发射器65(如过程变量传感器)以及 包括例如控制阀和致动器的控制阀组件66。可以使用任意希望的无线通信设备,包括现在 已知或以后开发的硬件、软件、固件或其任意组合,在安全控制器50、51、52、53和现场设备 60、62、65、66之间建立无线通信。在图1中所示的实施方式中,天线67被耦接为并且专用 于执行发射器65的无线通信,而无线路由器或具有天线69的其他模块63被耦接为统一地 处理与其可操作地耦接的发射器65的无线通信。类似地,天线59耦接到控制阀组件66以 执行控制阀组件的无线通信。现场设备或相关硬件60、62、65、66可以实现被合适的无线通 信协议使用的协议栈操作以经由天线59、67、69接收、解码、路由、编码和发送无线信号,以 实现安全控制器50、51、52、53和发射器65和控制阀组件66之间的无线通信。
[0035] 每个发射器65可以构成各种过程传感器(发射器)与安全控制器50、51、52、53之 间的多个链路中的一个,并且依赖这些发射器65来发送准确的信号给安全控制器以确保 维持过程性能。另外,作为其操作的一部分,控制阀组件66可以提供由控制阀组件66中的 传感器做出的测量值或者可以提供由控制阀组件66生成或计算的其他数据给控制器50、 51、52、53。当然,如已知的,控制阀组件66还可以从控制器50、51、52、53接收控制信号,以 影响总体控制中的物理参数如流量。
[0036] (由经过过程控制器24、1/0设备28、29、30、31、32和安全控制器50、51、52、53的 虚线指示的)公共底板26用于将过程控制器24连接到过程控制I/O卡28、29、30、31、32 和安全控制器50、51、52、53。过程控制器24还可通信地耦接到总线22并且可以作为总线 仲裁器,以使得I/O设备28、29、30、31、32和安全控制器50、51、52、53中的每一个能够经由 总线22与任意工作站16通信。底板26进一步使得安全控制器50、51、52、53能够与由这 些设备中的每一个实现的安全功能彼此通信并且协调,以彼此传送数据或者执行其他集成 功能。
[0037] 每个工作站16包括工作站处理器34和存储器36,存储器36可以存储被适配为由 过程工厂10中的处理器24、34、50、51、52、53中的任意一个执行的应用或模块。显示应用 44在图1中的分解视图中被显示为存储在一个工作站16的存储器36中。然而,如果希望 则显示应用44可以在不同的工作站16或在与过程工厂10相关联的另一个计算设备中存 储和执行。显示应用44可以是任意类型的接口,其例如使得用户能够操作数据值(例如执 行读取或写入)以便因而改变控制系统12和安全系统14中的任意一个或两个中的控制模 块46或安全模块58的操作。因此,如果例如指定对与过程系统12相关联的控制模块46或 者对现场设备40、41、42、48中的一个进行写入,则显示应用44使得写入能够发生。另外, 如果例如指定对与安全系统14相关联的安全逻辑模块58或者对现场设备60、62、65、66中 的一个进行写入,则显示应用44使得写入能够发生。
[0038] 诊断应用38可以包括一个或多个诊断模块,其例如也可以存储在工作站16的存 储器中以便稍后被控制系统12或安全系统14中的工厂人员使用。概括而言,当被控制系统 12或安全系统14中相应的处理器24、34、50、51、52、53执行时,诊断应用38能够检查或测 试在其中正在使用的现场设备40、41、42、48、60、62、65、66的操作状态。例如,控制回路调 谐器(其可以例如用于过程控制系统控制回路12或安全系统控制回路14上)可以是诊断 应用38、控制模块46、或者安全逻辑模块58中的一个模块,其能够被处理器24、34、50、51、 52、53执行。当关于控制回路的诊断数据指示控制回路糟糕调谐或者未操作在希望的容限 中时,用户可以选择运行该特定模块。
[0039] 另一个示例性诊断应用38包括冗余安全检查模块,用于确保用于安全系统14中 的现场设备的功能性能。冗余安全检查模块可以包括硬件模块和软件模块,它们中的每一 个被配置为响应于检测到需要将现场设备置于安全状态的安全事件的发生,使现场设备进 入安全状态,例如关停。为了使得设备被分类为类型A,硬件模块被设计为在不依赖于软件 模块而检测到安全事件时使现场设备进入安全状态。类型B软件模块也被设计为通过将其 输出设置为安全状态来响应安全事件,这将使得即使硬件模块未能越权控制软件模块也使 现场设备进入安全状态。因此,如果硬件模块未能使现场设备进入安全状态,则软件模块将 使现场设备进入安全状态。另外,软件模块可以监视硬件模块的安全功能并且记录当硬件 模块成功地开始使阀进入安全状态和/或未能成功地使阀进入安全状态的时刻。
[0040] 图2描述了用于现场设备的正常控制和安全关停的示例性配置200的方框图。在 该实施方式中,安全系统包括现场设备206,其响应于正常控制信号和由控制信号的改变所 传递的安全事件的发生。现场设备206可以是用于当安全事件发生时需要打开或关闭的最 终控制元件214(如气动控制阀等等)的控制器。安全事件的发生可以被安全系统中的另 一个设备如控制器202或传感器或被控制人员检测到。例如,控制器202中的传感器和/ 或处理器可以检测安全事件的发生,并且发送安全/传感器信号给现场设备206,现场设备 206经由转换器设备212助于致动器和/或阀214的移动。在从传感器204接收到安全/传 感器信号之后,硬件模块208提供硬件控制信号(例如越权控制信号)给转换器设备210, 转换器设备210输出对应的控制压强信号给致动器/阀214,以打开或关闭阀。转换器设 备212可以是电流到压强设备或者电压到压强设备。简而言之,硬件模块206有效地越权 控制通常由软件模块210执行的现场设备206的正常控制,硬件模块206可以包括处理器 和I/O设备,如图1中所述的控制器。软件模块210可以经由由安全系统的相同的或其他 控制器或传感器或由控制人员发送给软件模块的安全/传感器信号204,独立地检测安全 事件的发生。在接收到安全/传感器信号之后,软件模块210将监视并且/或者验证硬件 模块208已经提供了硬件控制信号给转换器设备212。软件模块可以经由从转换器设备接 收的反馈信号(例如Ι/p回读信号)监视由硬件模块进行的越权控制。软件模块可以通过 将硬件控制信号与安全状态信号进行比较,验证硬件模块已经开始越权控制现场设备(或 转换器)的正常控制。如果软件模块210确定硬件模块208未越权控制现场设备206或者 已经开始对现场设备206的越权控制并且提供了硬件控制信号给转换器设备212,则软件 模块210可以记录并且/或者报告该失效。不管硬件模块208是否正确地工作,软件模块 210都将发送软件控制信号(例如控制信号)给转换器设备212。在任意一个情况中,软件 控制信号将被在转换器设备212处转换成控制压强信号以被发送,以打开和/或关闭致动 器/阀214。如果硬件模块208令人满意地执行了越权控制功能,则软件控制信号将没有效 果。然而,如果硬件模块208未能执行它的越权控制功能,则软件控制信号将使阀214进入 安全状态。
[0041] 现在参考图3,显示了能够在图1或2中所述的控制系统中实现的本实用新型的一 个实施方式的示例性方法300的流程图。具体而言,由硬件模块检测安全事件的发生(方 框302)。还由软件模块检测安全事件的发生(方框304)。安全事件可以是需要现场设备 和/或受现场设备控制的控制元件被置于安全状态(如完全打开或关闭紧急关停阀)的事 件。响应于检测到安全事件的发生,硬件模块经由致动器使得阀进入安全或关停状态(方 框306)。即,硬件模块能够通过提供硬件控制信号给可操作地耦接到致动器/阀的转换器 设备,独立地取得阀的控制。可以经由转换器设备来正常地控制致动器/阀的操作的软件 模块监视由硬件模块执行的越权控制(方框308)并且验证硬件模块已经开始提供硬件控 制信号给转换器设备以使致动器/阀进入安全状态,例如关停状态(方框310)。在一个实 施方式中,软件模块可以监视以电流的形式提供给Ι/P转换器设备的硬件控制信号,以验 证硬件模块越权控制。软件模块可以通过将由硬件模块提供的硬件控制信号(例如越权控 制信号)与安全状态信号进行比较,来验证由硬件模块进行的越权控制。如果硬件控制信 号等于安全状态信号,则越权控制已经由硬件模块开始。如果硬件控制信号不等于安全状 态信号,则硬件模块未能开始越权控制。软件模块记录该验证并且可以将与验证相关联的 内容存储在存储器设备中(方框312)。例如如果硬件模块令人满意地执行了阀的关停的开 始,则软件模块将相应地进行记录。另一方面,如果硬件模块未能令人满意地执行阀的关停 的开始,则软件模块相应地记录该信息。另外,无论硬件设备是否导致致动器/阀进入安全 状态,软件模块都将发送软件控制信号给转换器设备以进入安全状态(方框314)。优选地 在软件模块已经验证硬件模块通过提供硬件控制信号给转换器设备和/或致动器/阀而越 权控制或未越权控制转换器设备和/或致动器/阀之后,从软件模块发送软件控制信号。 [0042] 上述系统和方法实现两个独立的功能,如果一个功能失效则另一个功能将导致关 停,从而提供了功能冗余和比单独实现任意一个有更高的可靠性。具体而言,现场设备结合 了被分类为类型A的硬件模块来与被分类为类型B的软件模块进行协作,其中,硬件模块 的传统上有依赖性的方面受软件模块支持,以使现场设备和/或最终控制元件进入安全状 态。由软件模块检测硬件模块未能越权控制现场设备以实现关停,这允许这些失效被排除 在与现场设备相关联的安全失效分数(SFF)参数和/或要求失效概率(PFD)值的计算之 夕卜。通过增加硬件模块的检测失效的数量,从而可以改进现场设备的SFF和/或PFD。具有 改进的SFF和/或PFD的现场设备可以避免安全仪表系统中需要冗余设备并且/或者可以 允许更低频率的诊断测试以实现需要的PFD平均值。
[0043] 虽然本文描述了特定示例性方法、装置和制品,但是本专利的覆盖范围不限于此。 相反,本专利覆盖在文字上或者在等同教导之下清楚地落入所附权利要求的范围中的所有 方法、装置和制品。
【权利要求】
1. 一种用于控制现场设备的系统,该现场设备可操作地耦接到在安全仪表系统中实现 的控制元件,其特征在于,所述系统包括: 可操作地耦接到控制元件并且在安全仪表系统中实现的现场设备,所述现场设备包括 可操作地耦接到软件模块的硬件模块,其中 所述硬件模块可操作地耦接到所述控制元件的控制输入,所述硬件模块响应于安全事 件的发生,在检测到所述安全事件的发生之后,所述硬件模块越权控制所述现场设备的正 常控制并且提供硬件控制信号给所述控制元件;并且 所述软件模块包括可操作地耦接到存储器和所述控制元件的控制输入的处理器,所述 软件模块响应于所述安全事件的发生,在检测到所述安全事件的发生之后,所述软件模块 验证由所述硬件模块进行的对所述现场设备的正常控制的越权控制并且提供软件控制信 号给所述控制元件。
2. 如权利要求1所述的系统,其特征在于,所述控制元件是阀。
3. 如权利要求1所述的系统,其特征在于,进一步包括: 可操作地耦接到所述硬件模块、所述软件模块和所述控制元件的转换器设备。
4. 如权利要求3所述的系统,其特征在于,所述转换器设备是电流到压强(Ι/P)转换器 或电压到压强(E/P)转换器。
5. 如权利要求3所述的系统,其特征在于,将所述硬件控制信号提供给所述转换器设 备。
6. 如权利要求3所述的系统,其特征在于,将所述软件控制信号发送给所述转换器设 备。
7. 如权利要求1所述的系统,其特征在于,进一步包括: 可操作地耦接到所述软件模块以用于检测所述安全事件的发生的传感器,其中在检测 到所述安全事件的发生之后,所述传感器开始提供所述硬件控制信号给所述控制元件,并 且所述传感器可操作地耦接到所述软件模块以用于检测所述安全事件的发生,并且在检测 到所述安全事件的发生之后,所述传感器开始将所述软件控制信号发送到所述控制元件。
8. 如权利要求1所述的系统,其特征在于,验证对所述现场设备的正常控制的所述越 权控制包括所述硬件控制信号与安全状态信号的比较。
9. 如权利要求8所述的系统,其特征在于,如果所述硬件控制信号不等于所述安全状 态信号,则所述软件模块登记检测到的所述硬件模块的失效。
10. 如权利要求1所述的系统,其特征在于,所述硬件模块是被分类为类型A的设备,并 且所述软件模块是被分类为类型B的设备。
【文档编号】G05B19/418GK204065793SQ201420334657
【公开日】2014年12月31日 申请日期:2014年6月20日 优先权日:2013年6月28日
【发明者】S·G·塞伯格, J·L·斯诺巴杰 申请人:费希尔控制国际公司