專利名稱:用于可靠安全系統(tǒng)停機的具有多通信設備的分布式和自適應智能邏輯的制作方法
技術(shù)領域:
本發(fā)明涉及用于監(jiān)視和控制化學和其它工業(yè)過程現(xiàn)場裝置的安全儀表化系統(tǒng) (safety instrumented systems) (“SIS”),并且該安全儀表化系統(tǒng)響應用于過程或系統(tǒng)的 緊急停機的信號����。通過在現(xiàn)有技術(shù)邏輯解算器不考慮的動態(tài)條件下不處于安全模式�����,本專 利將顯著地提高在緊急停機系統(tǒng)內(nèi)的通信可靠性����,減少意外跳間,及適應過程條件��。
背景技術(shù):
煉油廠、化學制造和加工廠及其它設施已經(jīng)建立了相對成熟的安全系統(tǒng)����,這些安 全系統(tǒng)包括切斷閥�����、自動化閥控制器�,這些自動化閥控制器將使閥從穩(wěn)定-狀態(tài)或安全處 理位置(不管它是打開的還是關(guān)閉的)運動到緊急停機位置。這些緊急停機閥和控制器 必須定期地測試,以保證它們將是可操作的�,并且響應緊急電子信號���;它們物理上可從穩(wěn) 定-狀態(tài)過程位置運動到停機位置��;及這種運動可被完成,而沒有施加超越預定范圍的力。現(xiàn)有技術(shù)已經(jīng)開發(fā)了硬連線電子通信系統(tǒng)����,包括光纖系統(tǒng)�,這些系統(tǒng)依賴于 電-產(chǎn)生信號的傳輸���。這些現(xiàn)有技術(shù)硬連線網(wǎng)絡將安全請求信號從安全邏輯解算器 (“SLS”)輸送到緊急停機閥或控制器���。因而,如果中斷或故障由于火災����、爆炸、設備的脫落 件����、對于接線盒的腐蝕等等而在電路中發(fā)生���,則在沒有提供要求隔離和與閥控制器和報警 裝置(“現(xiàn)場過程裝置”)通信的裝置的情況下��,過程或者遭受不必要的停機�����,或者暴露于安 全請求的危險����。如這里使用的那樣��,術(shù)語“請求信號”是指指示預定危險狀況的特征信號����,該預定 危險狀態(tài)有理由停止過程的全部或預定部分�。由于現(xiàn)有技術(shù)通信系統(tǒng)的限制,降級或故障 信號傳輸可導致“假警報”,借此會產(chǎn)生請求信號�����,產(chǎn)生過程的有害跳間或停機�。如這里使用 的那樣��,術(shù)語“真請求信號”是指反映危險狀況�����,如過熱����、泵故障���、堵塞流動管線或與工業(yè)過 程直接有關(guān)的某種其它危險狀況的特征信號����,對于該危險狀態(tài)有理由緊急停機���。安全綜合水平(Safety Integrity Level) ( “SIL”)為特定安全儀表化功能 (“SIF”)或緊急停機(“ESD”)環(huán)路定義危險折合指標��。SILl涉及10的危險折合�����,SIL 2 涉及100的危險折合����,及SIL 3涉及1000的危險折合指標��。要求的危險折合在過程的定量 危險評定(“QRA”)研究期間被定義��,并且涉及定義對于危險的容差的共同危險標準的應 用。危險折合指標的倒數(shù)是故障請求概率(“PFD”)�。PFD是用來定量地驗證滿足過程安全 要求的給定SIF的能力的重要因數(shù)。這種計算使用賦予組成SIF的每個裝置的危險故障率����、 以及每個裝置的規(guī)定測試間隔和覆蓋因數(shù)而進行���。PFD由系統(tǒng)設計者用來與在IEC 61511 中定義的每個SIL的危險容錯體系結(jié)構(gòu)要求和過程安全時間一起�����,以滿足安全要求的方式 配置現(xiàn)場過程裝置�����。由于現(xiàn)有技術(shù)的安全儀表化系統(tǒng)的復雜性,引起系統(tǒng)的一些或全部的不必要停機 的錯誤和缺陷的發(fā)生不是不常見?�,F(xiàn)有技術(shù)的安全系統(tǒng)依賴于“通/斷”邏輯�,該“通/斷” 邏輯不允許將錯誤與真請求信號分離地區(qū)分開�����。因此����,使用現(xiàn)有技術(shù)協(xié)議�����,系統(tǒng)必須始終決定,是“故障保護”并且可能經(jīng)歷意外有害跳閘還是“故障穩(wěn)定”并且冒在工業(yè)過程中發(fā)展 的未探測到危險故障或狀況的危險,當真實緊急情況發(fā)生時���,該故障或狀態(tài)會防止安全功 能的操作�。在現(xiàn)有技術(shù)系統(tǒng)中的主要不足之處是,缺乏一種將僅對于真請求信號使過程跳閘 的方法。只按請求跳閘的系統(tǒng)(trip-on-demand only systems)利用冗余多樣化通信和在 安全關(guān)鍵現(xiàn)場裝置中嵌入的邏輯以識別真請求信號��,并且僅對于真請求信號跳間��,以及以 當探測到裝置或通信網(wǎng)絡的內(nèi)部故障時進行故障穩(wěn)定�。如這里使用的那樣���,術(shù)語“現(xiàn)場裝置”包括傳感器和終端元件。終端元件包括泵、 閥、閥執(zhí)行器等��。傳感器包括用于監(jiān)視各種各樣的變量的開關(guān)和發(fā)射器�,這些變量包括但不 限于閥位置����、扭矩���、液位�����、溫度��、壓力�、流量、功率消耗�����、及PH值���。如這里使用的那樣����,術(shù)語“通 信錯誤”是指范圍從完全故障到信號的誤差和降級的狀況��,信號的這些誤差和降級阻止信 號-產(chǎn)生源的真實狀況的確定。本說明書采用在過程安全儀表領域中熟知的其它術(shù)語。優(yōu)選硬連線系統(tǒng)稱作現(xiàn)場 總線基礎安全儀表化系統(tǒng)(“FF-SIS”)。在一對一基礎上與SLS輸入/輸出通道相連接的 硬連線現(xiàn)場儀表的安裝是高成本的�。安全保證FF-SIS通信協(xié)議的使用提供降低安全儀表 化系統(tǒng)的安裝成本的多點體系結(jié)構(gòu)?����,F(xiàn)有技術(shù)的現(xiàn)場裝置包括非常有限的裝置自診斷和可 定義的故障狀態(tài)。常規(guī)設計的系統(tǒng)缺乏將真請求信號和在現(xiàn)場裝置層面的通信錯誤區(qū)別開 的能力��,并因此必須使用“通/斷”手段�,其中����,當系統(tǒng)接收到信號已經(jīng)改變狀態(tài)的指示(不 管是真還是假)時��,響應真請求信號或在現(xiàn)場連線中的錯誤使過程停止���。因為FF-SIS裝置共享公共硬連線多點通信段����,所以有可能增加未啟動或有害過 程停機(“跳閘”)���。用于安全儀表系統(tǒng)的FF-SIS多點通信的安全保證假定在SLS與現(xiàn)場 裝置之間的通信丟失時���,有關(guān)終端元件將通過將過程帶到故障保護狀態(tài)而響應�。盡管這種 程序是“安全的”,但大型油/氣處理設施的操作人員反對隨著由通信誤差或自診斷裝置錯 誤造成的過程停機而發(fā)生的生產(chǎn)損失���。新FF-SIS協(xié)議不允許終端元件到“故障穩(wěn)定”的配 置���,并且在SLS層面啟動警報,但缺乏提供驗證SLS停機命令或?qū)⑼ㄐ艁G失報告給相鄰現(xiàn)場 傳感器和終端元件的完全冗余和多樣化替代通信路徑?��,F(xiàn)有技術(shù)的常規(guī)設計實踐是,在一對一基礎上經(jīng)硬連線網(wǎng)絡將現(xiàn)場裝置(即傳感 器和終端元件)連接到SLS或保證可編程邏輯控制器。FF-SIS的好處包括由多點連線造成 的安全儀表安裝成本的顯著降低、探測潛在危險內(nèi)部故障的每個現(xiàn)場裝置的改進能力(“裝 置自診斷學”)、及將探測的錯誤直接傳送到SLS的能力(“現(xiàn)場裝置-邏輯解算器集成”)���。關(guān)于常規(guī)系統(tǒng)�,現(xiàn)場裝置錯誤僅在計劃的“驗證測試”期間探測,典型地按季或年 間隔計劃?��,F(xiàn)有技術(shù)的現(xiàn)場裝置不能在現(xiàn)場層面進行自診斷,并且不能在安全保證通信網(wǎng) 絡上將它們的相應“健康”或操作狀態(tài)傳送回SLS。因此希望的是提供一種改進的安全儀表化系統(tǒng)�,借此裝置故障“實時”地傳送到 SLS,從而可采取正確行動,避免假跳間和隨過程中斷產(chǎn)生的相關(guān)經(jīng)濟成本���。
發(fā)明內(nèi)容
本發(fā)明廣義地包含一種安全儀表化系統(tǒng)�����,該安全儀表系統(tǒng)提供從現(xiàn)場過程裝置到 SLS或其它系統(tǒng)監(jiān)視和控制裝置的冗余通信線路���。
在本發(fā)明的一個實施例中����,將在硬連線通信網(wǎng)絡上接收的信號與在無線通信網(wǎng)絡 上接收的信號相比較�。如果來自一個網(wǎng)絡的信號正常地觸發(fā)停機動作�,但來自另一個網(wǎng)絡 的對應無線信號是正常的(即沒有理由進行任何安全響應)����,那么系統(tǒng)將保持穩(wěn)定-狀態(tài) 操作��。另一方面�,如果在一個網(wǎng)絡上接收到請求信號�,同時另一個網(wǎng)絡具有受損或降級信號 (或者根本沒有信號),那么SLS將按照標準安全操作協(xié)議���,激活所涉及的工業(yè)過程的全部 相關(guān)部分的停機����。優(yōu)選無線系統(tǒng)是SP100無線標準(“SP100”)��,盡管如對于本領域的技術(shù)人員將是 顯然的那樣,其它標準�,如 ZIGBEE 、WirelessLAN(包括 IEEE 802. 11) ,Wireless PAN(包括 IEEE 802. 15)�����、及Wireless Hart����,是適當?shù)牟⑶铱梢员惶娲?yōu)選硬連線系統(tǒng)是FF-SIS, 盡管其它適當標準存在并且可以被替代���。本發(fā)明的第二方面指向一種方法����,該方法測試硬連線和無線通信系統(tǒng)�����,以確定它 們是否是可操作的,即它們是否能夠傳輸進行信號��。這也稱作確定系統(tǒng)、系統(tǒng)的一部分��、或 現(xiàn)場傳感器或終端元件的“健康”。在優(yōu)選實施例中����,本發(fā)明包含一種新穎系統(tǒng)�,該新穎系統(tǒng)組合硬連線FF-SIS 與無線SP100系統(tǒng)的通信和關(guān)聯(lián)新穎基于危險的基于狀態(tài)的判定邏輯(risk-based state-based decision logic)�,借助于該判定邏輯����,在無線SPlOO網(wǎng)絡上輸送新消息序列�����, 以提高對于安全儀表化系統(tǒng)的判定可靠性��。這種配置提供冗余和多樣化通信路徑,當探測 到降級和“通信丟失”狀態(tài)時配置用于FF-SIS順從傳感器和終端元件的故障狀態(tài)的時候, 這些通信路徑允許較大靈活性��。當SP100無線通信網(wǎng)絡可操作地起作用時���,在定義的正常條件下�����,最終用戶在采 取適當行動以解決在FF-SIS通信網(wǎng)絡內(nèi)探測到的任何錯誤的同時將具有保持現(xiàn)場裝置活 動和過程操作的靈活性。如果無線通信網(wǎng)絡在糾正探測的FF-SIS通信錯誤之前丟失���,則每 個終端元件對于FF-SIS通信丟失和無線通信丟失的層采取定義的安全行動。如果終端元 件經(jīng)無線或FF-SIS通信網(wǎng)絡接收真請求信號��,則元件運動到安全狀態(tài),由此當接收到驗證 的真請求信號時提供兩個動作之一(l-out-of-hction)�。如以上提到的那樣�,術(shù)語“真請 求信號”是指受控工業(yè)過程有理由停機的狀態(tài)����,與假或有害跳閘不同�����。在另一個優(yōu)選實施例中��,SLS包括存儲器���,在該存儲器中存儲代表與SLS通信的每 個現(xiàn)場裝置的全部功能的信號的預定安全操作范圍�����。在這個實施例的一個方面���,SLS編程為依次將“報告信號”發(fā)送到多個現(xiàn)場裝置,這 些現(xiàn)場裝置的每一個編程為以“裝置報告信號”�����、或信號系列應答。SLS將裝置報告信號與 在存儲器中存儲的安全操作范圍相比較��,并且進行現(xiàn)場裝置的狀況或“健康”確定。如果一 個或多個裝置報告信號落在存儲的安全操作范圍值外�,則“錯誤記錄”輸入存儲器部件中���, 并且開動預定形式的可聽和/或可視警報����。SLS的響應動作由裝置的性質(zhì)和記錄的錯誤預確定����。例如,如果輸入用于在未加壓 反應器上的多組冗余溫度傳感器之一的錯誤報告���,則沒有理由停機��,并且錯誤可被信號化 并報告錯誤給維護人員�,用于按照其它計劃維護的優(yōu)先傳感器更換��。如果EIV的部分測試 指示開始值運動的過大功率要求���,則SLS可報告錯誤��,并且要求維護人員立即動作。在非冗余EIV被信號化以開始部分行程測試并且硬連線和無線系統(tǒng)都產(chǎn)生指示 沒有探測到運動的錯誤報告的情況下�,本發(fā)明的系統(tǒng)可按如下兩種方式的任一種響應
1.啟動危險警報����,并且“停機延遲時鐘”開始基于SIL的預定持續(xù)時間的編程倒計 時��,允許人員檢查裝置(經(jīng)物理訪問或遠程感測)�,以確認其不可操作性�����,并且或者手動停 機系統(tǒng)或者中斷停機延遲時鐘�,以便提供采取糾正動作的時間����;或者2.當確定有線和無線信號都報告沒有EIV運動時����,立即啟動緊急停機�。在任一種情況下,基于二出自二(two-out-of-two)分析采取動作�。
由參照附圖��,從本發(fā)明的詳細描述中����,本發(fā)明的另外優(yōu)點和特征將成為顯然的�����,在 附圖中圖1表示現(xiàn)有技術(shù)FF-SIS系統(tǒng)。圖2表示Smart Logic Muti-Com(智能邏輯多通信)卡的一種實施��,該Smart Logic Muti-Com卡允許現(xiàn)場裝置在FF-SIS和SPlOO網(wǎng)絡上與SLS通信,并且該Smart Logic Muti-Com卡包括用于終端元件的智能邏輯。圖 3 表示 Smart Logic Muti-Com 卡的另一種實施��,該 SmartLogic Muti-Com 卡具 有用于終端元件的增強智能邏輯�����。圖4表示本發(fā)明的拓撲�,其中FF-SIS和SPlOO網(wǎng)絡被組合,以產(chǎn)生冗余的����、非?�??靠的系統(tǒng)�����。圖5表示系統(tǒng)的另一個實施例,它包括模擬器和自適應安全邏輯控制器�����。圖6表示本發(fā)明的邏輯圖。
具體實施例方式現(xiàn)在將對于本發(fā)明的實施詳細地進行參考���,在附圖中表明本發(fā)明的例子�����。圖1表示采用FF-SIS網(wǎng)絡的典型現(xiàn)有技術(shù)安全儀表化系統(tǒng)的拓撲���。安全邏輯解 算器經(jīng)輸入/輸出(“1/0”)機架硬連線到現(xiàn)場裝置���。這些現(xiàn)場裝置包括傳感器�����,這些傳 感器監(jiān)視過程變量�����,如壓力�、溫度�����、流體液位及流量���,這些傳感器表示在壓力容器上方?���,F(xiàn)場 裝置還包括終端元件�����,如示出與隔離閥Eiv-I和EIV-2相關(guān)聯(lián)的閥執(zhí)行器和局部控制面板����。 如可以看到的那樣�,導線的斷開可導致來自傳感器或終端元件的信號的丟失�����、或到終端裝 置的控制信號的丟失���。類似地��,信號的降級可導致由SLS啟動的假跳閘。作為例子�����,EIV在正常操作期間是打開的���,并且在緊急情況期間是關(guān)閉的,以停止 在過程中的危險或易燃材料的流動��。當SLS接收到隔離過程的請求時����,或者通過操作人員 的手動動作或者當自動地開始而沒有操作人員干預時�����,SLS將把命令發(fā)送到EIV�����,指導它關(guān) 閉����。這稱作請求信號����,并且閥的動作是“故障保護”響應。(盡管故障保護模式在緊急隔離閥 的情況下典型地是關(guān)閉的����,但在其它類型的閥�����,如排氣或減壓閥的情況下可以是打開的)。 在工業(yè)中接受的作法是,對于安全請求和對于機械故障(執(zhí)行器供給壓力的丟失)或?qū)τ?與SLS通信的丟失,將每個EIV設計成是“故障保護”的�。機械故障動作由在閥體上的執(zhí)行 器的設計確定��,并且在本發(fā)明的范圍外。本發(fā)明也通過使用無線技術(shù)提供從每個現(xiàn)場裝置(傳感器和終端元件)到SLS的 冗余通信路徑,降低與在硬連線網(wǎng)絡中的信號的丟失或降級相關(guān)聯(lián)的危險�����。當探測到降級 通信時��,無線信號被驗證���,并且在采取行動之前與原始FF-SIS通信信號相比較�����。
SP100對于用作在本發(fā)明的SIS中的冗余通信網(wǎng)絡是優(yōu)選的����。用于過程自動化系 統(tǒng)的SP100無線標準可應用于諸如油和氣、石油化工及制造之類的行業(yè)。SP100標準打算用 在2. 4GHz頻帶中��。數(shù)據(jù)在100-400米內(nèi)可按高達2501ibpS的速度傳輸�。SP100裝置的功率 消耗和數(shù)據(jù)速率與無線局域網(wǎng)(“LAN”)等相比較低�����。本發(fā)明引入將硬連線和無線網(wǎng)絡轉(zhuǎn)化成冗余和高度可靠系統(tǒng)的組合邏輯和設計 部件��。邏輯包括將FF-SIS總線和SP100無線通信網(wǎng)絡狀態(tài)都映射到判定矩陣上����。對于每 個狀態(tài)���,一定活動和/或動作必須由控制邏輯既在SLS層面又在現(xiàn)場層面進行。生成邏輯 當由過程狀況要求時將使跳閘的可能性最大���,同時使假跳閘的可能性最小��。圖2和3表示要安裝在與SLS相關(guān)聯(lián)的I/O支架處���、并且也要安裝在現(xiàn)場裝置處的 Smart Logic Muti-Com 卡的兩種變形(分別是“SLM-1” 和“SLM-2”)��,并且該 Smart Logic Muti-Com卡允許SLS和現(xiàn)場裝置經(jīng)FF-SIS硬連線網(wǎng)絡和SP100無線網(wǎng)絡彼此通信����。SLM卡 利用用于有線通信和無線通信的端口���,這些端口就硬件而論優(yōu)選地是獨立的��,使得一個的 故障不必然導致另一個的故障���。每個現(xiàn)場裝置將硬連線到本地SLM卡上�,其中對應SLM卡 安裝在SLS I/O支架處�����。SLM-I要安裝在SLS I/O支架處和在現(xiàn)場中的傳感器處����。SLM-2具有附加存儲器 和軟件��,其使用該輔助存儲器和軟件來存儲設定點和其它用戶可配置數(shù)據(jù)�����,使得其具有增 強的安全-相關(guān)“現(xiàn)場邏輯(logic in the field)”能力。其只安裝在終端元件處�。對于在與SLS相關(guān)聯(lián)的I/O支架處安裝的SLM-1����,該卡將接收來自SLS的輸出信 號,并且倍增用于傳輸?shù)浆F(xiàn)場的信號����,將信號的一個副本傳遞到卡的有線接口輸出端口����,并 且將信號的另一個副本通過卡的無線輸出端口和天線而發(fā)射?���?ㄒ矊默F(xiàn)場接收信號�����。卡 包括智能邏輯��,并且將使用該智能邏輯將兩個信號相比較并選擇最好的一個��,它將該最好 的一個轉(zhuǎn)到SLS�����。如果任一個或兩個信號是有缺陷的���,則卡將這個報告給系統(tǒng)���。除將冗余度提供給硬連線網(wǎng)絡的無線網(wǎng)絡之外,另一個好處是�����,無線網(wǎng)絡提供真 實網(wǎng)狀拓撲�。這允許每個裝置與每個其它裝置相通信��,一種稱作網(wǎng)狀網(wǎng)絡的拓撲�����。這個好 處借助于其它普通拓撲,如環(huán)狀網(wǎng)絡、星形網(wǎng)絡或總線網(wǎng)絡(FF-SIS是總線網(wǎng)絡的一種)�����, 是得不到的���。網(wǎng)狀網(wǎng)絡的添加允許終端裝置����,在被適當編程的場合�����,執(zhí)行安全-相關(guān)“現(xiàn)場 邏輯”�����,通過它終端裝置可以從傳感器接收信息��,并且相應地動作��,而不要求經(jīng)SLS的指令。 因此��,在優(yōu)選實施例中�����,現(xiàn)場裝置集成有硬件和軟件��,這些硬件和軟件具有執(zhí)行對于FF-SIS 和SP100網(wǎng)絡的通信檢查和對于打算安全應用采取用戶-定義行動的能力�����。在另一個優(yōu)選實施例中�,過程傳感器和終端元件中的每一個通信回SLS,該SLS不 僅監(jiān)視過程,而且當裝置經(jīng)歷故障或堵塞傳感器端口時��,因而也利用由當前協(xié)議和通過基 于狀態(tài)的判定邏輯提供的延伸的自診斷能力����。在本發(fā)明的優(yōu)選實施例中,終端元件設有自動化故障-狀態(tài)自適應配置����。借助于 由有線和無線通信路徑提供的冗余度,每個終端元件控制器對于在通信路徑中的錯誤的響 應可自動地適應,以避免意外有害跳閘并且使安全操作最大化。每個現(xiàn)場裝置編程有內(nèi)部 邏輯��,以做出故障穩(wěn)定-例如保持閥敞開�����、故障保護-例如關(guān)閉閥和隔離過程��、或在定義延 遲之后的故障保護-例如允許采取糾正動作的時間的決定。FF-SIS作為安全-保證通信網(wǎng) 絡的使用確保當探測到通信或裝置錯誤時����,將警報呈現(xiàn)給操作人員���,并且無線備用通信路 徑的使用是從本發(fā)明的使用產(chǎn)生的特定優(yōu)點�����。
另一個新穎方面是整體設計和消息傳送����,其中,每個現(xiàn)場裝置使用兩個完全獨立 的驅(qū)動器和到SLS的兩條獨立分離通信路徑而通信。在替代實施例中�����,用于在現(xiàn)場要執(zhí)行 的特定“儀表化保護功能”(“IPF”)的邏輯和冗余通信存在于組成IPF的每個裝置之間。 本發(fā)明的另一個方面是對于在共用區(qū)域內(nèi)的一群現(xiàn)場裝置檢查共有通信錯誤的能力,以確 定錯誤對于多個儀表是否是共有的。這種能力在現(xiàn)有技術(shù)中不是已知的��,并且在失去通信 時當要求故障保護動作或者到故障穩(wěn)定時用戶必須跳閘��,并且冒有失去在真緊急情況下的 響應能力的危險。按照本發(fā)明確定在降級或失去通信時的定義動作�����。在機械故障或通信故障的情況 下,為“故障穩(wěn)定”動作而設計的決定是基于用于未啟動跳閘(有其對于產(chǎn)品損壞和損失的 潛在可能)的過程容差與在要求的安全過程時間內(nèi)對于真安全-請求不響應的危險相權(quán)衡 的分析的����。這稱作安全綜合水平(“SIL”)�。FF-SIS通信協(xié)議通過以三-層方法定義每個 現(xiàn)場裝置對于通信丟失的故障動作,向最終用戶提供超越常規(guī)通/斷控制的能力1.當安全請求消息仍然正在通過時在探測到通信誤差時的動作����,例如在降級通信 時�;2.在通信完全丟失時的動作�����,例如在安全消息不正在通過時���;及3.在SLS與現(xiàn)場裝置之間的完全開路的情況下通信和裝置能量的丟失。SP100承載分類成服務級的不同類型的幀�����。幀的分類是級0對應于安全應用(如 緊急停機系統(tǒng))是關(guān)鍵的 ’級1用于閉環(huán)調(diào)節(jié)控制;級2用于閉環(huán)監(jiān)督控制�;級3用于開環(huán) 控制�����;級4用于報警消息�����;及級5用于數(shù)據(jù)記錄。某些事件�,如報警,依據(jù)消息類型可具有不 同的服務分類���。SLS可以從每個現(xiàn)場裝置接收多個幀��。除從硬連線FF-SIS網(wǎng)絡接收的幀之外,可 以從SP100網(wǎng)狀網(wǎng)絡接收多個幀���,即SLS可以直接從特定現(xiàn)場裝置接收幀,并且也可以從該 裝置經(jīng)不同無線路徑接收幀���。本發(fā)明通過將質(zhì)量控制位(“Q⑶”)分配給每個幀而允許這 些多個幀的接收和處理。SLS然后將基于具有最高QCD的幀而動作����。當SP100無線通信網(wǎng)絡起作用時�,最終用戶在正常條件下在采取適當行動以解決 在FF-SIS通信路徑中探測到的錯誤的同時將具有保持現(xiàn)場裝置活動和過程操作的靈活 性。如果無線通信路徑在糾正探測到的FF-SIS通信錯誤之前丟失��,則每個裝置對于FF-SIS 通信丟失和無線通信丟失的層采取定義的安全動作�����。如果在任何時間經(jīng)無線或FF-SIS通 信路徑接收到真過程請求�,則終端元件將運動到其故障保護位置�����,由此當接收到驗證的真 安全請求時提供兩個動作之一。圖4表示本發(fā)明的新系統(tǒng)體系結(jié)構(gòu)�,該系統(tǒng)體系結(jié)構(gòu)提供使系統(tǒng)將響應真請求信 號的概率最大化的安全系統(tǒng)��,同時避免由于通信誤差、故障及/或錯誤使過程離線的需要���。 由本發(fā)明提供的兩條通信路徑允許���,即使當在路徑之一中探測到通信誤差時���,過程也保持 在使用中�����,并且同時隨后故障排除和維護也在進行中�����。這種靈活性是由在安全儀表化系統(tǒng) 內(nèi)的現(xiàn)場裝置自產(chǎn)生的����。一旦按標準、極限等(它們在每個裝置被配置時基于過程安全要 求被預定義)安裝和編程����,系統(tǒng)將不再要求人的實際干預或數(shù)據(jù)的解釋�����。在圖5中表示的替代實施例中����,添加模擬器和自適應安全邏輯控制器(“SASLC”)�, 它可補充由SLS提供的安全邏輯���。盡管SLS典型地基于過程狀況的“靜態(tài)”觀測做出決定�����, 但SASLC解決隨時間由工廠容量����、生產(chǎn)速率�、新引入工藝等等的變化造成的過程的動態(tài),這些變化可以影響過程�����,并且隨之改變操作范圍和安全閾值����。SASLC通過使用模擬進行關(guān)于 過程狀態(tài)、動態(tài)及要求安全動作的實時預測而起作用��。SASLC適應這些變化�����,并且更新在 SLM-2卡處的操作范圍和安全閾值參數(shù)。在SASLC與SLM-2卡之間的包通信考慮到未來擴展��,將典型地包括如下字段目的 地和源地址�、消息類型和長度�����、消息序列號、優(yōu)先級、循環(huán)冗余校驗(Cyclical Redundancy Checking) ( “CRC”)及消息完整性位�。此外,包依據(jù)用途將包括有效負載消息����、命令�����、或者 閾值或范圍更新���。從SLM-2發(fā)送到SASLC的消息將包括有效負載�����,請求判斷是故障穩(wěn)定還 是故障保護���。當SLM-2失去與SLS的通信時或者當由過程設計者/用戶編程時,將典型地 需要或發(fā)送這些消息����。作為應答,SASLC將把命令發(fā)送回SLM-2,確定故障穩(wěn)定或故障保護���。 當SLS忽略的����,但SASLC認為有理由是故障保護信號的過程事件發(fā)生時��,這樣一種信號也可 以由SASLC啟動�����。這樣一種過程事件,或由對于工廠���,如生產(chǎn)速率�����、容量等等的變化產(chǎn)生的 其它異常狀況��,也可以導致SASLC將修改的閾值或范圍傳送到SLM-2。FF-SIS和SP100通信網(wǎng)絡的布置只有本發(fā)明才有,并且提供兩個通信網(wǎng)絡的完全 端對端功能測試和驗證����。這經(jīng)對于真實請求信號的兩個動作之一導致改進的安全性,并且 通過只要無線SPlOO鏈路健康��,就允許過程繼續(xù)操作而不顧FF-SIS通信路徑的降級通信, 避免有害跳閘�����。按照本發(fā)明組合FF-SIS和無線通信提供冗余和多樣化通信路徑��,使得在和當在 閥控制器或過程傳感器處探測到錯誤時��,操作將報警,并且可采取行動以執(zhí)行要求的維護, 而沒有對于安全或生產(chǎn)的不利影響�����。在最終用戶希望的場合�����,僅當由SLS發(fā)送真請求信號 時或當兩個通信路徑都已經(jīng)故障并且超過預定時限時��,過程才被停機。這些擴展的可配置 裝置選項構(gòu)成優(yōu)于現(xiàn)有技術(shù)的顯著改進��。將以上描述的SIL指標用作到本發(fā)明的邏輯的一個輸入,將“危險”元素引入到當 探測到通信誤差時關(guān)于是否是故障穩(wěn)定、沒有延遲的故障保護、或在延遲之后的故障保護 的決定進行過程中��。對于關(guān)鍵SIL3應用�、和對于一些SIL2應用,冗余度將被設計到系統(tǒng) 中����。關(guān)聯(lián)終端元件因而將具有“相鄰列表”���,將由共用SLS請求信號一起同時跳閘的一組裝 置�����。例如���,如果無線啟用智能安全儀表(“WESSI”)閥控制器被用在SIL3SIF中�,并且它經(jīng) 歷通信誤差�,如果在其相鄰列表中的冗余終端元件之一產(chǎn)生“無誤差探測到”信號并且跳閘 信號不存在,則可做出故障穩(wěn)定決定�。然而,如果相鄰的檢查指示誤差也存在于冗余終端元 件中��,因為與SIL3應用關(guān)聯(lián)的高危險����,所以故障保護跳閘響應是適當?shù)?���。SIL2和SILl較不 嚴重����,并因此可被加載到故障穩(wěn)定響應。本發(fā)明的系統(tǒng)和方法具有允許用戶逐漸采納在現(xiàn)場系統(tǒng)中的邏輯的優(yōu)點,而不用 對于現(xiàn)有有線系統(tǒng)或無線系統(tǒng)進行任何變化���。在現(xiàn)場系統(tǒng)中的邏輯允許分散的SIS,從而 在現(xiàn)場裝置處的SLM卡執(zhí)行邏輯測試和分析�,而不是集中的SLS這樣做。在這種實施例中, SLS起作用��,以記錄和監(jiān)視系統(tǒng)性能和安全�。本發(fā)明對于從傳感器轉(zhuǎn)到閥的消息將SLS用作 旁路���。因而�����,當采納在現(xiàn)場系統(tǒng)中的邏輯時,不要求對于無線或有線系統(tǒng)進行改變���。本發(fā)明的方法利用網(wǎng)狀拓撲使故障單點最少�,并從而使在無線SP100網(wǎng)絡上發(fā)射 的包的可靠性最大��。在相鄰現(xiàn)場裝置與SLS之間的通信信號的質(zhì)量將把另外的信息提供給 系統(tǒng)邏輯。更重要地,因為每個現(xiàn)場裝置和應用過程具有通過網(wǎng)狀網(wǎng)絡傳送其信息的多條路徑,所以系統(tǒng)能夠容納故障裝置和操作環(huán)境的變化。同樣重要地,它增加繞過工廠的障礙物 進行通信的能力����,從而簡化安裝���。本發(fā)明的無線連通性避免傳統(tǒng)SIS邏輯的多種限制。在現(xiàn)有技術(shù)硬連線系統(tǒng)下�, 由于會要求大量的連線�����,從各種部件得到直接信息是不實際的。按照本發(fā)明���,在裝置之間得 到和散布信息容易地實現(xiàn)����。此外���,在現(xiàn)場中的分布式SIS或邏輯,可由在無線啟用裝置之間 的通信支持���。本發(fā)明的具體方面包括如下特征1.本發(fā)明包括SP100無線系統(tǒng)作為FF-SIS有線系統(tǒng)的集成部分�����,從而新消息幀在 無線SP100網(wǎng)絡上承載����,以提高安全儀表化系統(tǒng)的決定可靠性��。2.本發(fā)明定義三種決定結(jié)果a.故障穩(wěn)定繼續(xù)系統(tǒng)的穩(wěn)定-狀態(tài)操作。b.沒有延遲的故障保護立即跳閘����。c.具有延遲的故障保護計時器開始運行��,并且系統(tǒng)將在時間過去時跳閘�����,除非 有通信連通性的相關(guān)變化或者規(guī)定場景或事件發(fā)生����。如果有這樣一種相關(guān)變化或者規(guī)定場 景或事件發(fā)生����,則系統(tǒng)將代之以是故障穩(wěn)定的或沒有延遲的故障保護�,如鑒于狀態(tài)變化適 當?shù)哪菢印?.本發(fā)明引入基于狀態(tài)的邏輯和設計部件�,這些邏輯和部件將硬連線和無線網(wǎng)絡 轉(zhuǎn)化成完全冗余的和非?�?煽康南到y(tǒng)����。本發(fā)明映射FF-SIS和SP100網(wǎng)絡的通信連通性的 狀態(tài),應用SIL指標和診斷和判定邏輯�����,及適當?shù)貓?zhí)行控制����、報警及記錄功能�。控制功能可 以在SLS處和/或在現(xiàn)場層面開始�����。本發(fā)明提供信息更靈通的判定,這種判定將導致(a) 當過程狀態(tài)的確需要緊急停機時,使這種動作的可能性最大�;和(b)當網(wǎng)絡的狀況主要是 系統(tǒng)中的問題并且不是關(guān)于過程狀況時,使跳閘的可能性最小。4.本發(fā)明從同一源接收多個幀�,使一些在FF-SIS總線上和其它在SP100無線系統(tǒng) 上到達SLS�。由于SP100網(wǎng)狀網(wǎng)絡的多條路徑的可得到性���,所以有可能在不同無線路徑上傳 輸和接收同一幀的多個副本,從而改進消息傳送可靠性。SLS處理每個幀的多個副本��,為每 個幀分配QCD����,及選擇具有最高QCD的每個幀的副本。在該幀中的信息然后由編程邏輯處理�。圖6是描繪在SLM-2內(nèi)作為“現(xiàn)場邏輯”執(zhí)行的各種輸入和輸出的判定邏輯圖。到 設計邏輯的輸入是1.特定終端裝置的通信連通性�����,由馬爾可夫(Markovian)鏈建模����。在每個馬爾可 夫鏈中的第一變量是FF-SIS網(wǎng)絡的連通性���,并且第二變量是SP100網(wǎng)絡的連通性��。網(wǎng)絡狀 態(tài)是對于Active (活躍)和在良好狀態(tài)下的“A”���、對于誤差的“E” (即��,反映高幀誤差率)���、 或?qū)τ陂_路或沒有通信的“0”��。2.第二輸入是SIL、用戶輸入/偏好及設定點范圍(框下部)��。3.第三輸入是對于在安全功能內(nèi)的相鄰裝置關(guān)于SLS的連通性狀態(tài)�,其中“A”指 活躍的��,并且“0”指它是開路的���,即“沒有通信”��,及“TP”指跳閘�����。4.第四輸入是對于相鄰安全功能關(guān)于SLS的連通性狀態(tài)��,其中“A”指活躍的,并且 “0”指它是開路的�,即“沒有通信”����,及“TP”指跳閘。連通性狀態(tài)��、相鄰狀態(tài)及SIL全部用作到本發(fā)明的邏輯的輸入,以確定輸出判定�����。輸出判定是⑴“動作1” 保持穩(wěn)定�;⑵“動作2” 立即跳閘�����;(3) “動作3” 在跳閘之前 設置計時器�����;如果在設置的時間期間連通性狀態(tài)變化或特定事件發(fā)生�����,則判定結(jié)果將從“動 作3”轉(zhuǎn)移到“動作1”或“動作2”。邏輯在如下狀態(tài)期間按如下執(zhí)行1. “棕色狀態(tài)”(這是狀態(tài)A���,A ;A, E �;A, 0 ;Ε, A ����;或0���,A中的任一個)繼續(xù)穩(wěn)定, 選擇具有最高QCD的幀����。2. “黃色狀態(tài)”(這代表狀態(tài)E,E)繼續(xù)穩(wěn)定,當作為傳輸幀的結(jié)果�����,否定回答 (“NACK”)或超時發(fā)生時���,系統(tǒng)指導重新傳輸相同幀的“m”個副本�;如果三個重新傳輸請求 失敗���,則系統(tǒng)轉(zhuǎn)移到“紅色狀態(tài)”。3. “藍色狀態(tài)”(這代表狀態(tài)E��,0或狀態(tài)0���,E)繼續(xù)穩(wěn)定���,當作為傳輸幀的結(jié)果, NACK或超時發(fā)生時�����,系統(tǒng)對于具有“E”狀態(tài)的網(wǎng)絡指導重新傳輸相同幀的“m”個副本�,其中 “m”代表用戶選擇整數(shù)��。如果三個重新傳輸請求失敗�����,則系統(tǒng)轉(zhuǎn)移到“紅色狀態(tài)”。4. “紅色狀態(tài)”(這代表狀態(tài)0,0)終端元件的SLM-2將在跳間之前向終端元件 的相鄰列表發(fā)送兩個多播請求�。工廠用戶可依據(jù)應用、SIL水平及其它因素配置SLM-2的 邏輯�����。在典型的ESD中�,用戶可以選擇如下邏輯,使參數(shù)Y指SIF中的相鄰終端元件處于跳 閘狀態(tài)下的百分比�,并且Z指已經(jīng)失去與SLS的全部通信的相鄰終端元件的百分比�����。 情形1 :在Y = 100%�、Z = 100%�、SIL = 3����,并且討論的終端元件處于“紅色狀 態(tài)”下的場合�����,SLM-2應該編程到“故障保護”����。 情形2 在Y = 0%�����、Z = 100%��、SIL = 1��,并且討論的終端元件處于“紅色狀態(tài)” 下的場合,SLM-2應該編程到“故障穩(wěn)定”�。 情形3 在Y = 100%��、Z = 0%��、SIL = 2,并且討論的終端元件處于“紅色狀態(tài)” 下的場合����,SLM-2應該編程到“故障保護”���。 情形4 在SIL = 2����,并且在終端元件與SLS之間的通信以良好Q⑶執(zhí)行的場合���, SLM-2應該編程到“故障穩(wěn)定”。 情形5 在SIL = 3�����,并且硬連線和無線通信已經(jīng)完全故障(S卩�����,沒有與SLS或相 鄰列表接觸)的場合,則SLM-2應該編程到“故障保護”����。對于與相鄰SIF的通信的丟失(參數(shù)Z)的檢查僅用來定義到/來自在相鄰列表 內(nèi)的其它終端元件的通信的置信水平。如果在相鄰SIF中的任何終端元件在與SLS的通信 中,并且已經(jīng)由SLS請求跳間���,那么已經(jīng)失去與SLS的全部通信的其相鄰終端元件也應該跳 閘���?���!癟”的計時器可用作配置參數(shù)的一部分。本發(fā)明解決了現(xiàn)有技術(shù)的常規(guī)ESD系統(tǒng)設計的以前提到全部缺陷��。這是可能的����, 因為⑴由FF-SIS硬連線和SP100無線通信的獨特組合使能�,本發(fā)明提供通信的要求冗余 度和可靠性����;和( 基于狀態(tài)的判定邏輯促進合并兩種技術(shù)���,并且建立一種判定標準��,以當 工業(yè)過程狀況實際上要求“系統(tǒng)跳閘”時使其可能性最大���,而當正常過程狀況占優(yōu)勢時���、但 當通信系統(tǒng)錯誤發(fā)生時��,使系統(tǒng)跳閘的可能性最小??傊?��,本發(fā)明將硬連線通信與到每個現(xiàn)場裝置的備用無線鏈路相組合���。本發(fā)明提 供一種監(jiān)視兩條通信路徑以使響應適應通信錯誤的方法,該方法提供即使在通信誤差存在 的情況下也繼續(xù)操作的靈活性����。通過組合FF-SIS和SP100無線���,系統(tǒng)當實時探測到危險的 故障或降級通信性能水平時,將報警給操作人員����,而不是必須等待系統(tǒng)的手動檢查或者通 過未啟動停機將過程帶到安全狀態(tài)�。
本發(fā)明的系統(tǒng)向用戶提供必需的裝置通信冗余度水平�,以在系統(tǒng)在線的同時執(zhí)行 維護和故障排除�����,而沒有對于生產(chǎn)的不利影響����。系統(tǒng)也滿足對于在IEC 61511下的安全儀 表化系統(tǒng)對要求的體系結(jié)構(gòu)和故障概率的國際標準要求。本發(fā)明的系統(tǒng)向最終用戶提供�����,當探測到裝置或通信錯誤時將ESD終端元件的故 障動作配置到“故障穩(wěn)定”的較大靈活性���。安全性提高,因為真請求信號當由初級FF-SIS通 信網(wǎng)絡或無線鏈路接收到時起作用。借助于本發(fā)明的新嵌入通信邏輯的使用�����,終端元件����,例如,諸如閥控制器之類的裝 置�,具有監(jiān)視在各個裝置與SLS之間、和在各個裝置與其它現(xiàn)場裝置之間的冗余通信路徑 以確定通信錯誤的嚴重性和范圍的能力。借助于這種能力�,終端元件能夠自適應地使用預 定故障模式��,以使安全操作最大化����,同時避免不必要的過程中斷和有害跳閘�����。借助于FF-SIS的實施使較多資金節(jié)省是可能的潛力在工業(yè)中已經(jīng)有許多文件證 明。本發(fā)明利用FF-SIS技術(shù)的好處��,并且進一步增強整體SIS和提供大型工程項目的另外 節(jié)省����。另外,本發(fā)明當探測到通信錯誤時將降低對于有害跳閘的可能性���,由此導致對于 操作的節(jié)省�,并且提供“故障穩(wěn)定”動作�����,而沒有整體安全功能的損失�����。這些優(yōu)點在當今使 用的現(xiàn)有技術(shù)的常規(guī)緊急停機系統(tǒng)中是不存在的�。盡管已經(jīng)詳細地描述了本發(fā)明的系統(tǒng)和設備的幾個實施例��,但各種其它修改對于 本領域的技術(shù)人員由這種描述將是顯然的���,并且本發(fā)明的完全范圍要由隨后的權(quán)利要求書確定。
權(quán)利要求
1.一種安全儀表化系統(tǒng)��,用于監(jiān)視和控制包括傳感器和終端元件的多個過程現(xiàn)場裝 置,系統(tǒng)包括安全邏輯解算器、多個多通信卡����、硬連線通信網(wǎng)絡及冗余無線通信網(wǎng)絡,其中����, 為每個現(xiàn)場裝置提供一對卡��,其中對中的一個卡提供在現(xiàn)場裝置處,并且對中的另一個卡 提供在安全邏輯解算器處����,其中�����,卡提供用于在硬連線和無線網(wǎng)絡兩者上�,在現(xiàn)場裝置與安 全邏輯解算器之間傳輸和接收信號的裝置,及其中�,裝置提供在終端元件處的卡內(nèi),以允許 用于所述終端元件的智能邏輯����。
2.根據(jù)權(quán)利要求1所述的系統(tǒng)���,其中�,多通信卡通過將來自現(xiàn)場裝置的無線通信信號 與來自同一裝置的對應健康硬連線信號相比較��,驗證無線通信網(wǎng)絡關(guān)于多個現(xiàn)場裝置中的 每一個現(xiàn)場裝置的可操作性�。
3.根據(jù)權(quán)利要求1所述的系統(tǒng)��,其包括存儲器,用于存儲在過程的操作期間在硬連線 和無線網(wǎng)絡上接收的信號���,所述信號與多個現(xiàn)場裝置中的每一個現(xiàn)場裝置相對應�����,和用于 將每個信號與在存儲器中對于關(guān)聯(lián)現(xiàn)場裝置已經(jīng)存儲的預定安全操作設定點或范圍相比 較的裝置。
4.根據(jù)權(quán)利要求3所述的系統(tǒng)���,其包括�����,如果在硬連線信號內(nèi)探測到故障�����,用于利用從 過程傳感器發(fā)射器輸入的無線信號與預定安全操作設定點或范圍進行比較的裝置。
5.根據(jù)權(quán)利要求3所述的系統(tǒng)����,其包括�,如果在硬連線信號內(nèi)探測到故障�����,用于利用輸 出到終端元件的無線信號而傳送安全請求跳閘信號的裝置。
6.根據(jù)權(quán)利要求3所述的系統(tǒng)�����,其包括�,如果無線和硬連線網(wǎng)絡信號都不在已知的健 康狀態(tài)下,用于對于過程的全部或一部分啟動安全停機的裝置�����。
7.根據(jù)權(quán)利要求3所述的系統(tǒng)����,其包括記錄和顯示裝置���,當探測到通信誤差時�,所述記 錄和顯示裝置用于識別來自現(xiàn)場裝置的信號�����。
8.根據(jù)權(quán)利要求1所述的系統(tǒng)�,其中,多通信卡驗證來自傳感器的無線通信的可操作 性�����,這些傳感器監(jiān)視壓力�、溫度��、流量、流體液位及功率消耗中的一個或多個。
9.根據(jù)權(quán)利要求1所述的系統(tǒng),其中�,終端元件包括緊急隔離閥、流量控制閥�����、閥執(zhí)行 器����、泵控制器及馬達啟動器。
10.根據(jù)權(quán)利要求2所述的系統(tǒng)��,其編程為���,連續(xù)地確定無線系統(tǒng)的可操作性,并且當 任何裝置已經(jīng)降級或丟失無線通信時��,向安全邏輯解算器報警�����。
11.一種在過程安全邏輯解算器與采用來監(jiān)視和控制過程的多個現(xiàn)場裝置之間提供兩 條通信路徑的方法,所述方法包括提供操作地連接到安全邏輯解算器和多個現(xiàn)場裝置中的每一個現(xiàn)場裝置的硬連線通 信網(wǎng)絡;和提供操作地連接到安全邏輯解算器和多個現(xiàn)場裝置中的每一個現(xiàn)場裝置的無線通信 網(wǎng)絡�����,在位于終端元件處的多通信卡內(nèi)提供集成智能邏輯能力,其在判斷是否停機關(guān)聯(lián)終端 元件時將考慮硬連線和無線網(wǎng)絡的信號狀況���、安全過程的安全綜合水平、相鄰裝置的健康 狀況和通信連通性及當降級或丟失通信時的動作的用戶配置邏輯����,從而由安全邏輯解算器和多個現(xiàn)場裝置啟動的并在它們之間傳輸?shù)男盘栐谟策B線和 無線網(wǎng)絡兩者上傳輸���。
12.根據(jù)權(quán)利要求11所述的方法����,其包括檢查從現(xiàn)場裝置接收的硬連線信號的通信健康����;檢查來自同一相應現(xiàn)場裝置的無線信號健康�����;利用來自硬連線網(wǎng)絡的健康信號�,用于在過程測量的情況下與預定安全操作設定點或 范圍進行比較�,或者將安全請求傳輸?shù)浇K端元件��。
13.根據(jù)權(quán)利要求12所述的方法���,其包括如果無線信號是健康的并且硬連線信號降級 或故障,則繼續(xù)過程的操作�。
14.根據(jù)權(quán)利要求12所述的方法�,其包括替代健康現(xiàn)場裝置的可配置使用����,以當初級 裝置的硬連線或無線信號都不健康時,提供過程測量或要求的安全邏輯解算器輸出動作����。
15.根據(jù)權(quán)利要求14所述的方法����,其包括識別其中降級或故障通信發(fā)生的現(xiàn)場裝置��。
16.根據(jù)權(quán)利要求14所述的方法��,其包括當在任一個網(wǎng)絡上已經(jīng)過一段預定時間沒 有信號傳送時����,并且當沒有提供過程測量或要求的安全邏輯解算器輸出動作的適當替代健 康過程現(xiàn)場裝置時,激活編程的安全停機����。
17.根據(jù)權(quán)利要求11所述的方法�����,其包括在用于現(xiàn)場裝置的多通信卡處提供在存儲器 內(nèi)配置的多個用戶-定義通信故障狀態(tài)��,這些狀態(tài)將考慮硬連線和/或無線通信是降級還 是丟失���,和涉及的安全功能的危險水平和硬件配置,并且然后將判斷裝置是否應該不處于 穩(wěn)定狀態(tài)����、不處于保護位置�、或者開始倒計時�,開始倒計時后,在通信故障沒有恢復的情況 下裝置將發(fā)生故障�����。
18.—種現(xiàn)場安裝的多通信卡,其經(jīng)初級硬連線通信網(wǎng)絡和經(jīng)冗余無線通信網(wǎng)絡與安 全邏輯解算器通信,其中����,所述卡可被用戶配置成�����,當在硬連線網(wǎng)絡上探測到故障或降級通 信時利用無線通信路徑����。
19.根據(jù)權(quán)利要求18所述的多通信卡,其在硬連線網(wǎng)絡上發(fā)生故障或降級通信時,將 使用無線通信路徑把參數(shù)從關(guān)聯(lián)終端元件反饋到安全邏輯解算器����,并且或者允許關(guān)聯(lián)終端 元件保持在使用中�,或者在從安全邏輯解算器接收到跳間信號時使該終端元件跳閘。
20.根據(jù)權(quán)利要求18所述的多通信卡�,其在硬連線網(wǎng)絡上發(fā)生故障或降級通信時���,將 使用無線通信路徑反饋來自關(guān)聯(lián)傳感器的參數(shù)。
21.根據(jù)權(quán)利要求1所述的系統(tǒng),其中�����,位于終端元件處的多通信卡將定期地或在有請 求時,把終端元件的健康狀況和通信連通性廣播給在相同安全功能內(nèi)的相鄰列表的終端元 件�。
22.根據(jù)權(quán)利要求1所述的系統(tǒng)����,其中�����,位于終端元件處的多通信卡內(nèi)的智能邏輯�,在 判斷是否使關(guān)聯(lián)終端元件停機時�����,將考慮硬連線或無線網(wǎng)絡的信號狀況、安全過程的安全 綜合水平、相鄰裝置的健康狀況和通信連通性及當降級或丟失通信時的動作的用戶配置邏輯�。
23.根據(jù)權(quán)利要求21所述的系統(tǒng)�,其中���,位于終端元件處的多通信卡內(nèi)的智能邏輯�����,在 判斷是否使關(guān)聯(lián)終端元件停機時,將考慮硬連線或無線網(wǎng)絡的信號狀況、安全過程的安全 綜合水平��、相鄰裝置的健康狀態(tài)和通信連通性及當降級或丟失通信時的動作的用戶配置邏輯。
24.根據(jù)權(quán)利要求1所述的系統(tǒng)�����,其中,位于終端元件處的多通信卡在無線網(wǎng)絡上的通 信連通性丟失時,將使用硬連線網(wǎng)絡將警報信號發(fā)送到安全邏輯解算器���。
25.根據(jù)權(quán)利要求22所述的系統(tǒng)�,其中���,位于終端元件處的多通信卡在無線網(wǎng)絡上的通信連通性丟失時�����,將使用硬連線網(wǎng)絡將警報信號發(fā)送到安全邏輯解算器。
26.根據(jù)權(quán)利要求23所述的系統(tǒng)��,其中,位于終端元件處的多通信卡在無線網(wǎng)絡上的 通信連通性丟失時����,將使用硬連線網(wǎng)絡將警報信號發(fā)送到安全邏輯解算器。
27.根據(jù)權(quán)利要求1所述的系統(tǒng)��,其中�,位于終端元件處的多通信卡內(nèi)的智能邏輯�����,在 探測到在硬連線和無線網(wǎng)絡兩者上的通信丟失時�����,將延遲取決于安全綜合水平的一段時 間����,此后�����,如果通信在至少一個網(wǎng)絡上還未恢復,則智能邏輯將使關(guān)聯(lián)終端元件停機����。
28.根據(jù)權(quán)利要求22所述的系統(tǒng),其中,位于終端元件處的多通信卡內(nèi)的智能邏輯, 在探測到在硬連線和無線網(wǎng)絡兩者上的通信丟失時,將延遲取決于安全綜合水平的一段時 間�,此后�,如果通信在至少一個網(wǎng)絡上還未恢復�,則智能邏輯將使關(guān)聯(lián)終端元件停機����。
29.根據(jù)權(quán)利要求23所述的系統(tǒng),其中�����,位于終端元件處的多通信卡內(nèi)的智能邏輯, 在探測到在硬連線和無線網(wǎng)絡兩者上的通信丟失時,將延遲取決于安全綜合水平的一段時 間,此后�����,如果通信在至少一個網(wǎng)絡上還未恢復,則智能邏輯將使關(guān)聯(lián)終端元件停機���。
30.根據(jù)權(quán)利要求1所述的系統(tǒng)����,其中�,無線網(wǎng)絡使用SP100、WirelessLAN (IEEE 802. 11)����、Wireless PAN (IEEE 802. 15)或 WirelessHart 協(xié)議��。
31.根據(jù)權(quán)利要求1所述的系統(tǒng),其中����,位于終端元件處的多通信卡內(nèi)的智能邏輯可被 用戶配置成何時故障保護�、故障穩(wěn)定或設置倒計時計時器,在設置倒計時計時器后��,使關(guān)聯(lián) 終端元件運動到故障保護位置����。
32.根據(jù)權(quán)利要求3所述的系統(tǒng),它在模擬器和自適應安全邏輯控制器與安全相關(guān)終 端元件之間包括硬連線和無線通信兩者。
33.根據(jù)權(quán)利要求32所述的系統(tǒng)�����,其中,模擬器和自適應安全邏輯控制器將在調(diào)節(jié)控 制系統(tǒng)內(nèi)的過程數(shù)據(jù)鏈接到安全相關(guān)終端元件�����。
34.根據(jù)權(quán)利要求32所述的系統(tǒng)�,其中,模擬器和自適應安全邏輯控制器和安全相關(guān) 終端元件以包模式通信��,從而數(shù)據(jù)流包括目的地和源地址�����、消息類型����、消息長度����、消息序列 號�����、優(yōu)先級��、循環(huán)冗余校驗及消息完整性位�。
35.根據(jù)權(quán)利要求32所述的系統(tǒng)����,其中��,模擬器和自適應安全邏輯控制器提供對于終 端元件智能邏輯過程設定點的更新�。
全文摘要
一種用于監(jiān)視和控制化學和其它工業(yè)過程現(xiàn)場裝置的安全儀表化系統(tǒng)(“SIS”)��,這些裝置響應用于過程或系統(tǒng)的緊急停機信號,包括關(guān)聯(lián)過程安全邏輯解算器單元,這些單元具有硬連線通信網(wǎng)絡和無線通信網(wǎng)絡���,這些通信網(wǎng)絡中的每一個網(wǎng)絡連接到安全邏輯解算器和連接到多個現(xiàn)場裝置中的每一個,以便通過在超越現(xiàn)有技術(shù)邏輯解算器能力的動態(tài)條件下不處于安全模式而顯著改進在緊急停機系統(tǒng)情況下的通信的可靠性,減少意外跳閘�����,及適應過程條件���。
文檔編號H02M7/757GK102077453SQ200980125006
公開日2011年5月25日 申請日期2009年6月29日 優(yōu)先權(quán)日2008年7月2日
發(fā)明者A·達賴塞赫, P·S·弗蘭德爾斯 申請人:沙特阿拉伯石油公司