用于安全装备式过程控制系统的安全数据写入装置和方法
【专利说明】
[0001] 本申请是于2005年11月18日提交的申请号为200510123697. 2、标题为"用于安 全装备式过程控制系统的安全数据写入装置和方法"的专利申请的分案申请。
技术领域
[0002] 本发明一般涉及过程控制系统,更具体地说,涉及用于安全装备式(safety instrumented)过程控制系统的安全数据写入装置和方法。
【背景技术】
[0003] 过程控制系统,例如用于化学,石油或其他过程的那些过程控制系统,通常包括一 个或多个集中式的过程控制器,其经由模拟,数字或组合模拟/数字总线,以通信联络方式 被连接到至少一个主机或操作员工作站上,并被连接到一个或多个现场设备上。可以是例 如阀、阀位控制器、开关和变送器(例如,温度、压力和流速传感器)的现场设备,执行过程 内的各项功能,例如开启或关闭阀,和测量过程参数。过程控制器接收由现场设备作出的指 示过程测量的信号,和/或关于该现场设备的其他信息,使用这些信息来执行控制例行程 序,然后生成控制信号,这些控制信号通过总线或其他通信线路发送给现场设备,以控制过 程操作。来自现场设备和控制器的信息可以用于一个或多个由操作员工作站执行的应用程 序,从而使操作员能够执行关于该过程的所需功能,例如查看过程的当前状态、修改过程的 操作,等等。
[0004] 许多过程控制系统也包括一个或多个应用程序站。通常,这些应用程序站使用个 人计算机、工作站或者诸如此类的设备来实现,这类设备通过局域网(LAN)以通信联络的 方式连接到控制器、操作员工作站和过程控制系统内的其他系统。每个应用程序站均可以 运行一个或多个软件应用程序,这些软件应用程序可以执行过程控制系统内的活动管理功 能、维护管理功能、虚拟控制功能、诊断功能、实时监控功能、安全相关功能、配置功能,等 等。
[0005] 某些过程控制系统或其中某些部分可能会出现重大的安全风险。例如,化学处理 工厂,发电厂等可能会实施危险的处理过程,这些处理过程如果没有正确地进行控制和/ 或未能使用预定的关闭工序迅速地关闭,将会导致对人类、环境和/或设备的严重危害。为 了对与具有上述危险处理过程的过程控制系统相关联的安全风险进行处理,许多过程控制 系统供应商提供符合安全相关标准的产品,例如国际电工技术委员会(IEC)61508标准和 IEC 61511 标准。
[0006] 通常,符合一个或多个已知的安全相关标准的过程控制系统,使用安全装备式的 系统架构来实现,其中与负责整个过程的持续操作的基础过程控制系统相关联的控制器和 现场设备,物理上或逻辑上是与专门用途的现场设备以及与安全装备式系统相关联的其他 专门用途的控制单元(control element)分开的,所述安全装备式系统负责安全装备式功 能的运行,以响应各种控制条件,确保出现重大安全风险的过程的安全关闭。特别是,符合 许多已知的安全相关标准,要求基础过程控制系统用专门用途的控制单元来补充,例如逻 辑解算器、安全认证的现场设备(例如,传感器、末级控制单元一一比如气动阀)和安全认 证的软件或代码(例如,认证的应用程序、功能模块、功能块等)。
[0007] 安全装备式过程控制系统的一个特别重要的方面包括,在系统内各种过程控制设 备(例如,控制器、逻辑解算器、工作站等)之间传送的信息或数据的完整性。具体地说, 任何失败或讹误消息(以及与之相关的数据写入操作),例如包含安全相关信息和/或发 送给控制器的其他数据的命令,用户请求的与安全装备式功能相关联的参数值改变,等等, 可能潜在地威胁整个过程控制系统的安全。尽管用于过程控制系统的已知安全相关硬件和 /或软件通常能够提供冗余通信链路,数据差错校验机制一一例如著名的循环冗余校验等, 然而许多已知的过程控制系统并没有充分地解决这些与失败或讹误消息或者数据写入操 作相关联的问题。
[0008] 除了安全相关的数据传输装置和方法(例如,冗余链路、循环冗余校验等)之外, 许多已知的过程控制系统也提供至少一个运行期间(run-time)图形界面,允许用户或其 他系统操作员监控过程,改变参数值,向一个或多个设备、控制回路和/或其他过程控制实 体发布命令等等。此外,这些已知的过程控制系统也可以提供图形配置和/或诊断界面, 使用户或操作员能够定义或配置运行期间图形界面的各个方面,调试或诊断与过程控制系 统的操作有关的各种问题,等等。例如,用户可以与配置图形界面交互作用,以将某些对话 框、编码脚本(即机器可读的和/或可执行的编码)关联到运行期间图形对象(例如,功 能模块、设备图形、参数值等等)上。如此,在运行期间内,用户可以调用这些预先配置的图 形对象(例如,通过使用鼠标或其他指示设备来选择这些对象),以引起潜在于其下的脚本 (underlying script)或代码的执行。然而,尤其是对于拥有大量安全相关的过程控制部 件、子系统、设备等的过程控制系统而言,这些图形对象、会话和可执行脚本的创建是耗时 而乏味的过程。此外,一旦创建了图形对话框和脚本,对其进行修改也是耗时且容易出错的 过程。在安全装备式功能必须以连贯一致的方式来实施,以便例如基础脚本、代码等以符合 安全认证的手续、标准等的方式来执行数据写入操作的情况下,对话框和脚本错误是尤其 难以解决。
【发明内容】
[0009] 在一个例子中,用于在过程控制系统中写入数据的方法和装置,选择与过程控制 系统内的过程控制单元相关联的参数,并将与该参数相关联的第一数据发送给该过程控制 单元。该示例方法和装置从用户接收与将第一数据写入到该过程控制单元的请求相关联的 确认,响应该确认的接收,发送第二数据给该过程控制单元,并比较在该过程控制单元处的 第一和第二数据。如果第一和第二数据至少是基本上相同的,则该示例方法和装置将第一 或第二数据写入到该过程控制单元中与该参数相关联的位置。
[0010] 在另一例子中,安全写入服务器包括存储器和连接到该存储器上的处理器。该处 理器被配置为响应应用程序调用安全写入方法,发送安全写入请求给控制器。另外,安全写 入服务器通过该应用程序接收来自用户的确认输入,并响应该确认输入的接收,发送安全 写入确认请求给控制器。
[0011] 在又一个例子中,用于自动生成用于在过程控制系统中写入数据的脚本的系统和 方法,接收与过程控制单元的参数相关联的用户选择,提供与该参数相关联的图形配置界 面给用户,并通过该图形配置界面接收与该参数相关联的用户输入。该示例方法和系统基 于用户输入自动地生成脚本,当该脚本被执行时,生成图形对话框以执行将安全数据写入 到该过程控制单元。
【附图说明】
[0012] 图1是使用在此描述的安全数据写入装置和方法的示例过程控制系统的方框图。
[0013] 图2是描绘图1的现行应用程序工作站、控制器和逻辑解算器可以被配置的一种 方式的更为详细的方框图,以实施在此描述的示例安全数据写入装置和方法。
[0014] 图3是描绘可以由图1和2的现行应用程序工作站用来改变安全参数的示例方法 的流程图。
[0015] 图4A是描绘可以由图2的安全写入服务器用来改变安全参数的示例方法的流程 图。
[0016] 图4B是描绘可以由图2的安全写入服务器用来发送安全写入请求给图2的控制 器的示例方法的流程图。
[0017] 图4C是描绘可以由图2的安全写入服务器用来发送安全确认请求给图2的控制 器的示例方法的流程图。
[0018] 图5是描绘可以由图2的控制器用来改变安全参数的示例方法的流程图。
[0019] 图6是描绘可以由图2的逻辑解算器用来改变安全参数的示例方法的流程图。
[0020] 图7是描绘可以由图1和2的现行应用程序工作站,以安全方式,并符合安全装备 式系统的标准,用来发送命令给逻辑解算器的示例方法的流程图。
[0021] 图8是描绘可以用来实现图2的安全写入打标程序(stamper)的示例方法的流程 图。
[0022] 图9是描绘可以用来实现在此描述的装置和方法的示例处理器系统。
[0023] 图10-16是可以用来实现在此描述的安全数据写入装置和方法的示例图形界面 和对话框。
【具体实施方式】
[0024] 通常,在此描述的示例装置和方法可以用于过程控制系统内,以便于图形对象和/ 或与图形对象相关联的脚本的自动创建和编辑,其中图形对象可以用于传送过程控制消息 给安全装备式过程控制系统内的安全相关硬件和/或软件。更具体地说,在此描述的示例 方法和装置使系统操作员或用户能够选择与该过程控制系统内的设备、装置、功能模块、功 能块,和/或任何其他硬件和/或软件过程控制单元相关联的图形对象,并将图形对话框和 可执行脚本(例如,机器可存取的和/或可执行的指令、代码或软件)关联到这些单元上。 这些图形对话框和可执行脚本被配置为对于各种命令、参数值改变,和/或其他发送给这 些所选单元的用户发起消息,强制使用安全数据写入协议。
[0025] 在某些例子中,系统操作员或用户可以初始化过程控制系统的,或其一部分的图 形配置相关视图,并可以选择代表功能模块、功能块、设备、装置,或参数的图形对象。然后 该示例装置和方法可以用于创建图形对话框,如以下更为详细描述的那样,利用该图形对 话框,系统用户或操作员随后可以通过运行期间应用程序,对话框应用程序等进行交互作 用,以便以安全方式(例如,以符合安全相关标准或认证的方式,并且该方式基本上最小化 或消除了消息讹误、失败的消息交付,和/或虚假消息的可能性)来发送消息(例如,命令、 参数值等)给该过程控制系统内的安全装备式硬件和/或软件。该图形对话框可以由一个 或多个图形窗口组成,其中每一个均可以包括用户可选图形按钮或标签;与例如参数值和 /或用户想要发送给过程控制系统内的安全装备式部分的命令有关的说明性文本或图形信 息;以及用户可以向其中输入与要发送的消息或数据相关联的文本和/或数字信息的入口 区域或字段,等等。
[0026] 示例图形对话框覆盖了机器可存取或可读脚本、指令或代码,或者与它们相关联, 当基于所选图形对象的启用和/或通过与图形对话框的交互作用来执行这些脚本、指令或 代码时,它们能够使一个或多个过程控制消息安全地传送到过程控制系统的安全装备式部 分或其他安全相关部分。更具体地说,这些潜在于图形对话框之下的脚本、指令或代码,可 以被配置为与示例安全数据写入装置和方法进行交互作用,该装置和方法执行并强制使用 安全数据写入协议或技术,以便基本上确保这些消息由具有适当权限或许可的用户来发 送;并基本上消除虚假信息影响参数值改变和/或导致命令执行的可能性;并基本上确保 这些可能包括参数值数据和/或命令数据的,由目标安全装备式实体(例如,安全装备式软 件部分,安全装备式硬件部分,等)来接收的消息,不会是讹误的或其他方式的不安全。更 一般来说,示例安全数据写入装置和方法能够使信息或数据以确保符合一个或多个安全相 关标准的方式,在安全装备式过程控制系统内的各个设备之间进行传送。
[0027] 如以下更为详细描述的那样,示例安全数据写入协议,技术,或方法可以发送冗余 消息给逻辑解算器,该逻辑解算器被配置为执行安全相关和/或安全认证过程控制操作, 或安全装备式功能。特别是,示例安全数据写入方法可以顺序地发送多个数据写入请求,其 中每一个均包含相同的消息或内容(例如,参数值信息或数据、命令信息或数据,等)。因 此,多个数据写入请求是冗余的,因为它们包括相同或同样的内容,或至少基本上同样的内 容。多个或冗余数据写入请求中的每一个均采取封装的数据包格式的