形式,或者符合任何 所需的信息分包方案,通信协议等。另外,包含数据写入请求信息的每一个封装的数据包, 均可以包括循环冗余校验值和/或其他所需的差错校验值。
[0028] 逻辑解算器和由它执行的软件可以配置为使用分组差错校验值来测试所接收到 的各个数据包的完整性。另外,逻辑解算器还可以配置为提取数据包内的参数值信息、命令 信息,或所发送的其他数据,并比较所提取的信息。举例来说,如果通过CRC各个数据包被 判定为完整无缺的,和/或如果数据包的内容(例如,参数值信息,命令信息等)相互匹配 (例如,相同或至少基本上相同),则逻辑解算器和由它执行的软件会由此对该分组内容采 取如下行动,例如,执行命令,改变参数值,或采取任何其他恰当的行动。
[0029] 图1是使用在此描述的安全数据写入装置和方法的示例过程控制系统10的方框 图。如图1所示,过程控制系统10包括基础过程控制系统12和安全装备式部分14。基础 过程控制系统部分12负责所控制过程的持续运行,而安全装备式部分14负责,响应一个或 多个不安全条件,执行所控制过程的关闭。如图1所描绘的,基础过程控制系统部分12包 括控制器16、操作员站18、现行应用程序站20和备用应用程序站22,所有这些都以通信联 络的方式通过总线或局域网(LAN) 24进行连接,通常也称作应用程序控制网络(ACN)。操 作员站18和应用程序站20和22可以使用一个或多个工作站,或任何其他合适的计算机系 统或处理单元来实现。例如,应用程序站20和22能够使用类似于以下在图9中所示的示 例处理器系统902的单处理器个人计算机,以及单或多处理器工作站,等等来实现。另外, LAN 24可以使用任何所需的通信介质或协议来实现。例如,LAN 24可以基于硬连线的或无 线以太网通信方案,这是众所周知的,并因此不在此进行更为详细的描述。然而,本领域普 通技术人员容易理解,也可以使用任何其他合适的通信介质和协议。此外,尽管示出了单个 LAN,但是也可以使用多个LAN,以及应用程序工作站20和22内合适的通信硬件,来提供操 作员站18、应用程序站20和22,和控制器16之间的冗余通信路径。
[0030] 控制器16可以通过数字数据总线32和输入/输出(I/O)设备34,连接到多个智 能现场设备26、28和30上。智能现场设备26-30可以是适应于现场总线(Fieldbus)的 阀、致动器、传感器等,在这种情况下,智能总线设备26-30使用众所周知的现场总线协议, 通过数字数据总线32进行通信。当然,也可以使用其他类型的智能现场设备和通信协议作 为替代。例如,智能现场设备26-30可以替换为适应于Prof ibus或HART的设备,其使用众 所周知的Profibus或HART通信协议,通过数据总线32进行通信。额外的I/O设备(与1/ 〇设备34类似或一样)可以连接到控制器16上,以使可能是现场总线设备、HART设备等其 他智能现场设备组与控制器16通信。
[0031] 除了智能现场设备26-30以外,一个或多个非智能现场设备36和38可以以通信 联络的方式连接到控制器16上。非智能现场设备36和38可以是,例如能够通过各自的硬 连线链路40和42与控制器16进行通信的常规4-20毫安(mA)或0-10伏特直流(VDC)设 备。
[0032] 控制器16可以是,例如由费舍-柔斯芒特系统有限公司(Fish-Rosemount Systems,Inc)销售的DeltaVTM控制器。然而,也可以使用任何其他控制器作为替代。此 夕卜,尽管在图1中仅示出了一个控制器,但是任何所需类型的或类型组合的额外的控制器 也可以连接到LAN 24上。控制器16可以执行一个或多个与过程控制系统10有关的过程 控制例行程序。可以由系统工程师或其他系统操作员使用操作员站18来生成这些过程控 制例行程序,将它们下载到控制器16上,并在控制器16上初始化。如以下更为详细描述的 那样,控制器16也可以被配置为执行与在此描述的示例安全数据写入装置和方法相关联 的操作。
[0033] 如图1所描绘的,示例的过程控制系统10也可以包括远程操作员站44,其可以通 过通信链路46和LAN 48以通信联络的方式连接到应用程序站20和22上。远程操作员 站44可以在地理上远程地放置,在这种情况下通信链路46优选是,但不一定是无线通信链 路,基于因特网或其他基于分组的交换通信网络、电话线路(例如,数字用户线路)或其任 意组合。
[0034] 如图1的例子所描述的,现行应用程序站20和备用应用程序站22通过LAN 24和 通过冗余链路50以通信联络方式连接。冗余链路50可以是现行应用程序站20和备用应用 程序站22之间单独的、专用的通信链路。冗余链路50可以使用,例如专用以太网链路(例 如,应用程序站20和22中每一个中的相互连接的专用以太网卡)来实现。然而,在其他例 子中,冗余链路50也可以使用LAN 24或冗余LAN(未示出)来实现,其中没有一个必须是 专用的,并以通信联络方式连接到应用程序站20和22上。
[0035] 一般而言,应用程序站20和22连续不断地、异常或周期地通过冗余链路50来交 换信息(例如,响应参数值改变、应用程序站配置改变,等等),以建立并维持冗余环境。该 冗余环境能够实现现行应用程序站20与备用应用程序站22之间的无缝或无波动的控制移 交或切换。例如,该冗余环境能够响应现行应用程序站20内的硬件或软件故障,或者响应 过程控制系统10的系统操作员或用户或者客户应用程序的指令,作出从现行应用程序站 20到备用应用程序站22的控制移交或切换。
[0036] 如图1所描绘的,过程控制系统10的安全装备式部分14,包括逻辑解算器52和 54,以及现场设备56和58。举例来说,逻辑解算器52和54可以使用可从商业上获得的, 由费舍-柔斯芒特系统有限公司生产的DeltaV SLS 1508逻辑解算器。通常,逻辑解算器 52和54通过冗余链路60作为一个冗余对而相互协作。然而,冗余逻辑解算器52和54可 以用单个非冗余逻辑解算器或多个非冗余逻辑解算器来替代。同样,一般地,示例的逻辑解 算器52和54是安全相关的电子控制器,其能够被配置为执行一个或多个安全装备式功能。 正如众所周知的,安全装备式功能负责监控一个或多个与特定危险或不安全的条件相关联 的过程条件,评估这些过程条件以判定是否应该批准该过程的关闭,如果得到批准的话,则 使一个或多个末端控制单元(例如,关闭阀)来实施过程的关闭。
[0037] 典型地,每个安全装备式功能均至少使用一个传感设备、一个逻辑解算器和一个 末端控制设备(例如,阀)来实现。逻辑解算器通常被配置为通过该传感器监控至少一个 过程控制参数,并且如果检测到危险条件,则操作该末端控制设备来实施过程的安全关闭。 举例来说,逻辑解算器可以通过通信联络方式连接到压力传感器上,该压力传感器可以感 测容器或贮罐中的压力;并且可以被配置为,如果通过该压力传感器检测到不安全的过压 条件,则使排气阀打开。当然,安全装备式系统内的每一个逻辑解算器均可以负责执行一个 或多个安全装备式功能,并因此可以通过通信联络的方式连接到多个传感器和/或末端控 制设备上,所有这些通常都是安全相关的或安全认证的。
[0038] 现场设备56和58可以是智能或非智能的传感器、致动器和/或能够用于监控过 程条件和/或实施过程控制系统10的受控关闭的任何其他的过程控制设备。举例来说,现 场设备56和58可以是安全认证的或安全相关的流量传感器、温度传感器、压力传感器、关 闭阀、排气阀、隔离阀、紧急开/闭阀等。尽管图1的示例过程控制系统10的安全装备式部 分14中仅描绘了两个逻辑解算器和两个现场设备,但是额外的现场设备和/或逻辑解算器 也可以用于实施任何所需数目的安全装备式功能。
[0039] 如图1所描绘的,现场设备56和58通过各自的链路62和64,以通信联络方式连 接到逻辑解算器52和54上。在现场设备56和58是智能设备的情况下,逻辑解算器52和 54可以使用硬连线的数字通信协议(例如,HART,Fieldbus,等等)与现场设备56和58进 行通信。然而,也可用使用任何其他所需的通信介质(例如,硬连线的、无线的,等等)来替 代。如图1中还示出的,逻辑解算器52和54通过总线32和I/O设备34,以通信联络的方 式连接到控制器16上。然而,可替换地,逻辑解算器52和54可以以任何其他所需的方式, 以通信联络的方式在系统10内进行连接。举例来说,逻辑解算器52和54可以通过LAN 24 直接连接或通过LAN 24连接到控制器16上。不管逻辑解算器52和54以何种方式在系统 10内进行连接,逻辑解算器52和54优选是,但不一定是相对于控制器16的逻辑同位体。
[0040] 图2是描绘图1的现行应用程序工作站、控制器和逻辑解算器可以被配置的一种 方式的更为详细的方框图,以实施在此描述的示例安全数据写入装置和方法。如图2所描 绘的,应用程序站20包括多个应用程序100和安全写入服务器102,所有这些都可以使用机 器可存取或可读指令、代码或软件来实现,当执行(例如,通过一个或多个处理器,例如通 过图9所示的处理器系统902)这些指令、代码或软件时,它们使应用程序站20执行如以下 更详细阐述的各种操作。
[0041] 通常,应用程序100包括被配置为执行各种控制系统配置功能、诊断功能、运行期 间功能等的软件。可以执行应用程序100以提供各种图形界面(例如,包括设备、装置、过 程条件等的图形显示的屏幕,窗口等),利用这些图形界面,系统操作员、工程师或任何其他 经授权的用户或人员可以进行交互作用,来配置过程控制系统1〇(图1),监控过程控制系 统10,和/或查找过程控制系统100的故障。
[0042] 如图2所描绘的,应用程序100包括安全写入打标程序104,其能够使系统操作员 或用户来选择图形对象,并如以下更为详细描述的那样,生成图形安全写入对话框和可执 行脚本,并将它们关联到所选择的那些对象上。例如,用户可以通过由图形配置应用程序提 供的图形配置界面,来选择图形对象,例如安全装备式功能块。接下来可以调用安全写入打 标应用程序104,以与用户交互作用,从而自动地生成与所选择的安全装备式功能块相关联 的可执行脚本和一个或多个图形对话框。更具体地说,安全写入打标应用程序104向用户 提示,为自动地生成过程控制系统1〇(图1)内所选实体的安全写入对话框和脚本所需要的 信息。
[0043] 由安全写入打标应用程序104生成的图形对话框(例如,包括文本信息,图形信息 等的窗口)和可执行脚本被配置为,如果用户选择安全装备式功能块,以改变参数值或发 送命令给运行期间应用程序范围内的安全装备式功能块,那么通过该图形对话框自动地向 用户提示鉴权信息、确认信息、新数值信息和/或命令信息。另外,执行潜在于该图形对话 框之下的可执行脚本、代码或指令,以使一个或多个应用程序100(包括新数值对话框106 和/或电子签名对话框108)、安全写入服务器102和控制器16相互协作,从而使用安全数 据写入协议,将新参数值信息和/或命令信息写入到逻辑解算器52(和/或冗余逻辑解算 器54)中。安全数据写入协议基本上最小化或消除了将讹误或未经授权的数据写入到逻辑 解算器52的可能性,以及因此写入到与之相关的安全装备式功能中的可能性。
[0044] 应当认识到,尽管图2的例子将逻辑解算器52描绘为通过控制器16连接到应用 程序站20上,但是也可以使用其他的通信方案来替代。例如,逻辑解算器52可以通过LAN 24和/或与LAN 24分离或独立的通信链路(未示出),以通信联络方式连接到应用程序站 20和/或控制器16上。此外,如果想要或需