Технологическое устройство с супервизорной надстройкой

Область техники, к которой относится изобретение

Настоящее изобретение относится к технологическим устройствам типа, используемого для операции контроля и управления промышленным технологическим процессом. Более точно, настоящее изобретение относится к аттестации безопасности таких технологических устройств.

Уровень техники

Технологические устройства используются в промышленных автоматизированных системах управления технологическими процессами для контроля и/или управления промышленными технологическими процессами. Управляющим устройством является технологическое устройство, которое используется для управления технологическим процессом. Примерные управляющие устройства включают в себя насосы, клапаны, пускатели, соленоиды, электромоторы, смесители, дозаторы, прерыватели, измельчители, вальцовщики, молотилки, шаровые мельницы, тестомесители, фильтры, миксеры, циклоны, центрифуги, накопители, сушилки, конвейеры, сепараторы, элеваторы, подъемники, нагреватели, охладители и другое подобное оборудование. Первичным преобразователем является технологическое устройство, которое используется для восприятия (или контроля) работы технологического процесса, например, посредством контроля технологического параметра, такого как температура, давление, расход и т.п. Контролируемый технологический параметр передается, с тем чтобы он мог быть использован другим оборудованием в технологическом процессе, например, центральной диспетчерской. Другим примерным технологическим устройством является технологическое контрольное или коммуникационное устройство, которое используется для контроля работы технологического процесса, оборудования, используемого в технологическом процессе, такого как технологические первичные преобразователи или технологические контроллеры, и управляет технологическими устройствами, например, посредством программирования или отправки команд в устройство.

Типично технологические устройства имеют довольно надежную конструкцию и выполнены с возможностью длительного срока службы с низкой интенсивностью отказов. Отказ технологического устройства может оказать значительное влияние на технологический процесс и может потребовать временной остановки технологического процесса, пока устройство ремонтируется или заменяется. Однако есть некоторые применения для технологических устройств, которые требуют уровня качества функционирования, которое значительно превышает уровень, обеспечиваемый типичными технологическими устройствами. Такие устройства должны удовлетворять «процедуре аттестации безопасности» или аттестации «уровня полноты безопасности» (SIL). Аттестация предусматривает показатель касательно конфигурирования технологического процесса для удовлетворения заданному требованию безопасности.

Уровни полноты безопасности являются набором нормативов, которые предусматривают показатели, каковые могут быть использованы для измерения безопасности технологического процесса. Уровни полноты безопасности могут предусматривать информацию и предусматривать способы измерения математического ожидания касательно того, может ли технологический процесс выполняться безопасно, а в случае отказа, будет ли процесс завершать работу по отказу безопасным образом. Классы SIL имеют отношение к надежности изделий. Например, изделие должно быть показано «способным» выполнять свою предназначенную задачу с заданной частотой. Эта способность имеет отношение к среднему времени между отказами (MTBF) для изделия, а также к среднему времени на восстановление (MTTR) и вероятности отказа при запросе (PFD). В общем использование уровней полноты безопасности описано в «Functional Safety and Safety Integrity Levels» Applications Note Bently Nevada BN Part Number 149409-01 Revision A, April 2002 («Уровни функциональной безопасности и полноты безопасности», редакция А указаний технологам с шифром компонента 149409-01 Bently Nevada BN). Один из способов, который может быть использован для повышения аттестации уровня полноты безопасности для устройства, состоит в том, чтобы использовать компоненты, такие как электрические или механические детали, которые наименее вероятны для отказа. Также могут быть использованы методики проектирования, например, предусматривающие избыточные системы для снижения отказов. В дополнение к снижению отказов технологические устройства могут быть использованы для обнаружения конкретного события отказа и обеспечения заданной реакции, такой как управляемое прекращение работы технологического процесса. Вообще проектирование технологического устройства для того, чтобы удовлетворять таким требованиям аттестации, является сложной и затратной по времени процедурой.

Раскрытие изобретения

Устройство для использования технологического устройства обеспечивает требуемый уровень полноты безопасности (SIL) для технологического устройства. Интерфейс устройства присоединяется к технологическому устройству и выдает выходной сигнал, имеющий отношение к работе компонента технологического устройства. Контрольное устройство компонента контролирует работу компонента по выходному сигналу из интерфейса устройства и идентифицирует событие безопасности компонента. Модуль реакции безопасности реагирует на событие безопасности компонента в соответствии с заданной реакцией.

Краткое описание чертежей

Фиг.1 - диаграмма промышленного технологического процесса, включающего в себя технологический первичный преобразователь, присоединенный к технологическому трубопроводу.

Фиг.2 - упрощенная структурная схема, показывающая технологическое устройство с супервизорной надстройкой.

Фиг.3 - еще одна упрощенная структурная схема, показывающая технологическое устройство по фиг.2.

Фиг.4 - структурная схема технологического устройства, включающего в себя различные примеры отдельных функциональных возможностей супервизорной надстройки.

Фиг.5 - упрощенная схема различных компонентов супервизорной надстройки в соответствии с настоящим изобретением.

Осуществление изобретения

Многие промышленные технологические процессы опасны по своей основе. Эти технологические процессы типично используют токсичные, легковоспламеняющиеся или химически активные вещества и зачастую при повышенных температурах и давлениях. В случае неисправной работы оборудования или человеческой ошибки в этих технологических процессах может произойти катастрофическое событие. Системы инструментальных средств безопасности (SIS) являются системами, спроектированными для предотвращения этих событий. Заинтересованность, в частности, в химических, нефтехимических и перерабатывающих производствах в этих системах безопасности возросла за последние несколько лет вследствие новых международных стандартов.

Система инструментальных средств безопасности может быть определена как система, состоящая из датчиков, логических решающих устройств и оконечных управляющих элементов, предназначенных для целей:

- автоматического перевода технологического процесса в безопасное состояние, когда нарушаются предопределенные условия;

- предоставления технологическому процессу возможности продолжаться безопасным образом, когда позволяют заданные условия;

- принятия мер для уменьшения последствий промышленной опасности.

Системы инструментальных средств безопасности (SIS) очень похожи на базовые автоматизированные системы управления технологическими процессами (BPCS), так как и те и другие используют аналогичные компоненты. Системы включают в себя все элементы от датчиков до оконечных управляющих элементов, связанные с технологическим процессом, в том числе устройства ввода, устройства вывода, пользовательские SIS-интерфейсы, источник питания и логическое решающее устройство. SIS-компоненты обычно являются отдельными и независимыми от BPCS. Исходя из назначения SIS должны быть удовлетворены дополнительные конструктивные требования. Базовая автоматизированная система управления технологическим процессом (BPCS), устройства тревожной сигнализации и системы инструментальных средств безопасности - все являются уровнями предупреждения. Остальные уровни являются уровнями подавления.

Например, завод может иметь много уровней защиты для защиты персонала, оборудования и местных сообществ от катастрофических событий. Некоторые уровни защиты являются уровнями предупреждения, а некоторые уровни являются уровнями подавления. Уровень предупреждения здесь должен предупреждать возникновение катастрофических событий. Уровень подавления используется для обуздания события и уменьшения издержек после того, как событие произошло. Базовая автоматизированная система управления технологическим процессом (BPCS), устройства тревожной сигнализации и системы инструментальных средств безопасности - все являются уровнями предупреждения, остальные уровни являются уровнями подавления.

Чтобы проиллюстрировать уровни защиты, может быть использован пример химической реакции в резервуаре. При заданных надлежащих условиях реакция могла бы «выйти из под контроля», а без разных уровней защиты бак мог бы взорваться и причинить значительный ущерб. Примерные уровни защиты включают в себя:

Уровень 1: Базовая автоматизированная система управления технологическим процессом для управления температурой/давлением.

Уровень 2: Звуковое тревожное устройство для указания оператору, что следует вручную закрыть клапан, чтобы остановить химическую реакцию.

Уровень 3: SIS для понижения давления прежде, чем бак разрушится.

Примерные уровни подавления включают в себя:

Уровень 4: Предохранительный клапан давления для открывания прежде, чем разрушится бак.

Уровень 5: Аварийная бригада завода, предотвращающая нанесение дополнительного ущерба выпущенными предохранительным клапаном давления парами и для минимизации загрязнения окружающей среды.

Уровень SIS является конечным уровнем предупреждения. Если имеет место отказ в SIS, опасность не может быть предотвращена, остаются только уровни подавления для ограничения величины итогового ущерба. Важно, что уровень SIS обеспечивает достаточную защиту для предотвращения значительного ущерба или гибели людей. Степень требуемой защиты соответствует оценке риска.

Хотя все элементы и компоненты должны быть рассмотрены при задании SIS, три ключевых компонента при расчете включают в себя датчики, логические решающие устройства и оконечные управляющие элементы.

Датчики измеряют давление, температуру, расход, массовый расход, уровень, индикаторы возгорания, pH или другие параметры. Они находятся в диапазоне от простых пневматических или электрических переключателей до интеллектуальных первичных преобразователей со встроенными средствами диагностики. Датчики SIS могут быть такими же, как типичные технологические датчики (при некоторых условиях отбора, которые будут описаны ниже) или могут быть датчиками, специально спроектированными для SIS-применений. Датчики, специально спроектированные для SIS, могут иметь дополнительные внутренние средства диагностики и программное обеспечение, дающие возможность обнаружения отказов и контролируемого доступа к настройке и калибровке устройства.

Стандарты безопасности не вводят никаких ограничений на типы или технологии для датчиков, используемых в SIS-применениях. В компетенции проектировщика системы определять оптимальную/безопасную технологию для удовлетворения стандарту.

Однако стандарты определяют специальные требования, которым конечный пользователь должен следовать при задании, установке и поддержании в рабочем состоянии датчиков SIS.

Логическое решающее устройство типично является контроллером, который считывает сигналы с датчиков и выполняет предварительно запрограммированные действия для предупреждения опасности. Есть много общего между логическим решающим устройством безопасности и традиционной системой цифрового управления или программируемым логическим контроллером (PLC). И тот и другой выполняют логические функции, и оба имеют возможность ввода и вывода с датчиков и оконечных управляющих элементов. Различие состоит в том, что логическое решающее устройство SIS сконструировано отказоустойчивым, обладает внутренней избыточностью и предназначено для завершения обработки отказа в безопасном режиме. Они проектируются с дополнительными внутренними средствами диагностики, а также аппаратными средствами и программным обеспечением, которое дает им возможность обнаруживать отказы. Логическое решающее устройство безопасности также обладает дополнительной защитой, чтобы застраховаться от случайных изменений конфигурации.

Подобно датчикам, стандарты определяют, не какой тип логического решающего устройства следует использовать, а только требования касательно его применения.

Оконечные управляющие элементы представляют оконечный каскад при реализации безопасного прекращения работы. Это компонент, который действует, обеспечивая переход в безопасное состояние. Эти элементы включают в себя электромагнитные клапаны, клапаны включения-выключения и пускатели электродвигателей. Наиболее распространенными являются электромагнитные клапаны, которые подают воздух к диафрагме или поршневому исполнительному механизму клапана прекращения технологического процесса. Поставщики клапанов в последнее время выпустили интеллектуальные механизмы позиционирования, специально разработанные для SIS-применений. Подобно датчикам, оконечные элементы SIS могут быть такими же, как типичные технологические оконечные элементы при некоторых условиях отбора, или они могут быть специально спроектированными для SIS-применений. Эти специально спроектированные оконечные элементы содержат дополнительные внутренние средства диагностики и программное обеспечение, дающие возможность обнаружения отказов.

К тому же, подобно датчикам, стандарты не предписывают никакой специальной технологии для оконечных управляющих элементов, используемых в SIS-применениях. В компетенции проектировщика системы определять оптимальную/безопасную технологию. Стандарт только устанавливает требования, которым должен следовать конечный пользователь.

В отношении трех компонентов SIS существует одинаковая проблема. Такой проблемой является диагностика. SIS предназначена для обнаружения катастрофического отказа технологического процесса и переводит технологический процесс обратно в безопасное состояние. Является обязательным то, что оператор должен быть осведомлен о любом отказе SIS и способен реагировать на него.

Как обсуждено выше, технологические устройства, которые используются для измерения, контроля и управления промышленными технологическими процессами, типично предназначены для обеспечения очень высокого уровня надежности. Однако есть некоторые ситуации, при которых технологические устройства должны удовлетворять дополнительным эксплуатационным требованиям. Например, в системе инструментальных средств безопасности от технологического устройства может потребоваться удовлетворять определенным аттестациям уровня полноты безопасности (SIL). Примерные регулирующие стандарты включают в себя IEC 61511, IEC 61508 (Международной электротехнической комиссии) и ISA SP 84.01 (Международной ассоциации по стандартизации). Эти стандарты требуют сложных процедур проектирования, строгого контроля изменений в компонентах и значительной деятельности по приемочным испытаниям и поверке. Соблюдение этих стандартов часто требует дополнительного времени проектирования и добавляет степень неопределенности к полному циклу разработки для новых технологических устройств. Кроме того, после того как устройство аттестовано, любые изменения по отношению к устройству должны быть проанализированы, а устройство повторно аттестовано, если это необходимо.

Одним из главных элементов достижения аттестации уровня полноты безопасности (SIL) является анализ для определения доли безопасных отказов (SFF) устройства. Анализ SFF выполняется с использованием анализа характера, последствий и важности отказов (FMEDA) касательно устройства, чтобы определить, каким образом устройство ведет себя во время различных условий аппаратных и программных отказов, для всех компонентов в устройстве. При такой проверке определяют общее количество потенциально опасных отказов устройства и процент таких отказов, которые устранены от некорректного изменения выходного сигнала устройства. Например, чтобы достичь аттестации SIL2, FMEDA должен продемонстрировать SFF, по меньшей мере, в 90%.

Настоящее изобретение предусматривает супервизорную надстройку для использования с или в технологическом устройстве. Супервизорная надстройка контролирует работу технологического устройства и используется, чтобы предупреждать, подавлять и/или обнаруживать отказ компонента(ов) или других аспектов устройства, в том числе самой супервизорной надстройки. Настоящее изобретение применимо к системам инструментальных средств безопасности, а также базовым автоматизированным системам управления технологическими процессами.

Вообще настоящее изобретение применимо к любому технологическому устройству, в том числе измерительному (датчику), управляющему и ведущему (логическому решающему устройству) устройствам. «Супервизорная обертка» размещена поблизости от устройства или частей устройства и обеспечивает улучшенный уровень защиты. Это предоставляет возможность создания аттестованного по безопасности устройства, которое включает в себя неаттестованные компоненты или устройства. В одном из вариантов осуществления неаттестованное устройство может быть усовершенствовано, например, в то время как установлено на месте, до аттестованного устройства, посредством обновления программного обеспечения. Во втором варианте осуществления неаттестованное устройство может быть усовершенствовано, например, в то время как установлено на месте, посредством обновления электронного оборудования. В дополнение к ее использованию с SIS «супервизорная обертка» может быть использована для предоставления улучшенной возможности для устройства, такой как расширенная диагностика. Настоящее изобретение использует различные технологии для улучшения уровня полноты безопасности для устройства. Например, «супервизорная надстройка», предусмотренная изобретением, может идентифицировать компонент, который может отказать или находится в процессе развития отказа, до его окончательного отказа, так что компонент может быть заменен без перехода в небезопасное состояние. В еще одном примере изобретение может компенсировать компонент, который отказал или находится в процессе развития отказа, так что небезопасное состояние не возникает. В еще одном примере изобретение может предусматривать выходной сигнал, который указывает, что небезопасное состояние возникло или близко к возникновению, с тем чтобы могли быть предприняты соответствующие действия. Когда используется с SIS-устройством, изобретение может обеспечивать индикацию, что возможность контроля или реагирования устройства отказала или может отказать.

Фиг.1 - диаграмма автоматизированной системы 10 управления технологическим процессом, которая включает в себя первичный преобразователь 12, присоединенный к технологической трубе 16. Система 10 может быть базовой автоматизированной системой управления технологическим процессом или может быть системой инструментальных средств безопасности. Как обсуждено ниже, первичный преобразователь 12 является одним из типов технологических устройств, а настоящее изобретение применимо к любому технологическому устройству.

Первичный преобразователь 12 присоединен к двухпроводному контуру управления технологическим процессом, который работает в соответствии с протоколом связи, таким как стандарт Fieldbus (полевой шины), Profibus (высокоскоростной шины для цифрового технологического оборудования) или HART®. В настоящее время системы SIS апробированы с двухпроводными контурами 4-20 мА. Однако изобретение не ограничено этими стандартами или двухпроводной конфигурацией. Двухпроводный контур 18 управления технологическим процессом проходит между первичным преобразователем 12 и диспетчерской 20. В варианте осуществления, в котором контур 18 работает в соответствии с протоколом HART®, контур 18 передает ток I, который является отображающим воспринимаемый технологический параметр. Дополнительно протокол HART® предоставляет возможность цифровому сигналу накладываться на ток через контур 18, так что цифровая информация может быть отправлена в или принята из первичного преобразователя 12. При работе в соответствии со стандартом Fieldbus контур 18 переносит цифровой сигнал и может быть присоединен к многочисленным устройствам нижнего уровня, таким как другие первичные преобразователи.

Настоящее изобретение применимо к любому технологическому устройству, которое используется в среде управления технологическим процессом. Вообще технологические устройства, такие как первичный преобразователь 12, показанный на фиг.1, используются, чтобы контролировать или управлять технологическими параметрами. Технологические параметры типично являются основными параметрами, которые являются управляемыми в технологическом процессе. В качестве используемого в материалах настоящей заявки технологический параметр означает любой параметр, который описывает состояние технологического процесса, такой как, например, давление, расход, температура, уровень выработки, pH, мутность, вибрация, положение, ток электродвигателя, любая другая характеристика технологического процесса и т.п. Управляющий сигнал означает сигнал (иной, чем технологический параметр), который используется, чтобы управлять технологическим процессом. Например, управляющий сигнал означает заданное значение технологического параметра (то есть уставку), такое как заданная температура, давление, поток, уровень выработки, pH или мутность и т.п., которое настраивается контроллером или используется для управления технологическим процессом. Дополнительно управляющий сигнал может включать в себя калибровочные значения, тревожные сигналы, ситуации тревожной сигнализации, сигнал, который подается на управляющий элемент, такой как сигнал положения клапана, который подается на пускатель клапана, уровень мощности, который подается на нагревательный элемент, сигнал включения-отключения соленоида и т.п., или любой другой сигнал, который относится к управлению технологическим процессом. В контексте SIS управляющий сигнал может быть сигналом, который безопасно прекращает работу технологического процесса. Диагностический сигнал в качестве используемого в материалах настоящей заявки имеет отношение к работе устройств и элементов в контуре управления технологическим процессом, но не включает в себя технологические параметры или управляющие сигналы. Например, диагностические сигналы могут включать в себя положение штока клапана, прикладываемый вращающий момент или усилие, нажим привода, давление сжатого газа, используемого для приведения в действие клапана, электрическое напряжение, ток, мощность, сопротивление, емкость, индуктивность, температуру устройства, залипание, скольжение, положение заполнения или опустошения, перемещение, частоту, амплитуду, спектр и спектральные компоненты, жесткость, силу электрического или магнитного поля, длительность, напряженность, изменение положения, противо-эдс электродвигателя, ток электродвигателя, имеющие отношение к контуру параметры (такие как сопротивление, напряжение или ток контура управления) или любой другой параметр (отличный от технологического параметра), который может быть обнаружен или измерен в системе. Кроме того, технологический сигнал означает любой сигнал, который имеет отношение к технологическому процессу или элементу технологического процесса, такой как, например, технологический параметр, управляющий сигнал или диагностический сигнал. Технологические параметры включают в себя любое устройство, которое формирует часть или присоединено к контуру управления технологическим процессом и используется при управлении или контроле технологического процесса.

Как обсуждено выше, фиг.1 - диаграмма, показывающая пример автоматизированной системы 10 управления технологическим процессом, которая включает в себя технологический трубопровод 16, который переносит технологическую жидкость, и двухпроводный контур 18 управления технологическим процессом, передающий ток I контура. Первичный преобразователь 12, контроллер 22, которые присоединены к оконечному управляющему элементу в контуре, такому как силовой привод, клапан, насос, электромотор или соленоид, коммуникационное устройство 26 и диспетчерская 20, каждый, являются частью контура 18 управления технологическим процессом. Понятно, что контур 18 показан в одной из конфигураций, и может быть использован любой подходящий контур управления технологическим процессом, такой как контур 4-20 мА, 2-х, 3-х или 4-проводный контур, контур многоточечной линии и контур, работающий в соответствии с HART®, Fieldbus или другим цифровым или аналоговым протоколом связи. В действии первичный преобразователь 12 воспринимает технологический параметр, такой как расход, с использованием датчика 21 и передает воспринятый технологический параметр по контуру 18. Технологический параметр может приниматься контроллером/пускателем 22 клапана, коммуникационным устройством 26 и/или оборудованием 20 диспетчерской. Контроллер 22 показан присоединенным к клапану 24 и способен к управлению технологическим процессом посредством регулировки клапана 24, тем самым, изменения расхода в трубе 16. Контроллер 22 принимает управляющие сигналы по контуру 18 из, например, диспетчерской 20, первичного преобразователя 12 или коммуникационного устройства 26 и соответственно регулирует клапан 24. В еще одном варианте осуществления контроллер 22 интеллектуально формирует управляющий сигнал на основании технологических сигналов, принятых по контуру 18. Коммуникационное устройство 26 может быть портативным коммуникационным устройством, показанным на фиг.1, или может быть постоянно смонтированным технологическим узлом, который контролирует технологический процесс и выполняет вычисления. Технологические устройства включают в себя, например, первичный преобразователь 12 (такой как первичный преобразователь 3051S, доступный для приобретения у Rosemount Inc.), контроллер 22, коммуникационное устройство 22 и диспетчерскую 20, показанные на фиг.1. Другим типом технологического устройства является ПК (персональный компьютер, PC), программируемая логическая схема (PLC) или другой компьютер, присоединенный к контуру с использованием соответствующих I/O-схем (ввода/вывода) для предоставления возможности контроля, управления и/или передачи по контуру.

Любое из технологических устройств 12, 20, 22 или 26, показанных на фиг.1, может включать в себя возможность супервизорной надстройки в соответствии с настоящим изобретением.

Фиг.2 - упрощенная структурная схема технологического устройства 100 в соответствии с одним из вариантов осуществления настоящего изобретения. Технологическое устройство 100 включает в себя технологические цепи и компоненты 102, которые предоставляют устройству 100 возможность взаимодействовать с промышленным технологическим процессом. Такое взаимодействие может включать в себя контроль или управление технологическими параметрами для использования в базовой автоматизированной системе управления технологическим процессом или системе инструментальных средств безопасности. В соответствии с настоящим изобретением технологическое устройство 100 включает в себя супервизорную надстройку 104, которая присоединена к технологическим схемам и компонентам 102. Необязательный дополнительный датчик(и) 106 также может быть присоединен к супервизорной надстройке 104 и будет использоваться для контроля работы компонентов в технологическом устройстве 100.

Во время работы схемы и компоненты 102 технологического устройства 100 действуют, в целом, подобно стандартным компонентам технологического устройства. Например, схемы и компоненты 102 технологического устройства могут воспринимать технологический параметр для использования в технологическом устройстве 100 или для передачи по двухпроводному контуру 18 управления технологическим процессом или могут формировать выходной сигнал, который используется для управления работой технологического процесса, например, посредством управления клапаном. Если супервизорная надстройка 104 обнаруживает возникновение отказа компонента, надвигающийся отказ компонента или вероятность, что компонент может отказать, супервизорная надстройка 104 управляет технологическим устройством 100 для того, чтобы предпринять действия, соответствующие заданной аттестации уровня полноты безопасности. Например, супервизорная надстройка 104 может компенсировать погрешности измерения, если величина погрешности может быть точно определена или аппроксимирована. В качестве альтернативы или в дополнение супервизорная надстройка 104 может предпринимать действия для прекращения работы технологического устройства 100 и/или отправки сообщения внешним компонентам, например, через контур 18 управления технологическим процессом, указывающего неисправность или отказ, который был воспринят или спрогнозирован супервизорной надстройкой 104.

Фиг.3 - упрощенная схема технологического устройства, показывающая другое представление супервизорной надстройки 104. На фиг.3 технологическое устройство 100 показано как включающее в себя технологический интерфейс 120, схему 122 устройства и схему 124 ввода/вывода. Технологический интерфейс 120 может быть любой механической и/или электрической схемой, которая используется для присоединения технологического устройства 100 к промышленному технологическому процессу. Например, технологический интерфейс может содержать датчик, такой как датчик давления, датчик расхода, датчик температуры и т.п., используемый для восприятия технологических параметров технологического процесса. Другие типы датчиков используются для восприятия действия технологического устройства, например датчики тока, датчики напряжения и т.п. Технологический интерфейс 120 может также содержать выходной каскад, который присоединен к управляющему элементу, например выходной каскад, который выдает сигнал на контроллер клапана, который управляет работой клапана, или может включать в себя сам оконечный управляющий элемент. Технологический интерфейс может содержать любой интерфейс с компонентом устройства и может включать в себя подключение, используемое устройством для других целей. Например, подключение к шине данных посредством микропроцессора может обеспечивать интерфейс устройства. Схема 122 устройства, в целом, содержит электрическую схему в пределах устройства 100, которая используется для выполнения различных функций устройства 100. Например, схема может использоваться для измерения или управления промышленным технологическим процессом. Интерфейс 123 ввода/вывода используется для присоединения технологического устройства 100 к внешнему компоненту автоматизированной системы управления технологическим процессом. В примере, показанном на фиг.3, схема 124 ввода/вывода присоединяется к двухпроводному контуру 18 управления технологическим процессом. Схема 124 может использоваться для отправки информации по контуру 18 или приема информации из контура 18. В некоторых вариантах осуществления схема 124 включает в себя возможность питать все из схемы в пределах устройства 100 энергией, принимаемой по контуру 18 управления технологическим процессом. Супервизорная надстройка 104 может присоединяться к одной или более схемам 120, 122 или 124, как требуется. Супервизорная надстройка 104 может быть реализована в программном обеспечении в микропроцессоре наряду с любыми требуемыми датчиками или схемами. Микропроцессор может быть обычным микропроцессором, используемым для приведения в действие технологического устройства 100, или отдельным микропроцессором для выполнения функций супервизорной надстройки. Некоторые или все из компонентов, которые реализуют супервизорную надстройку 104, могут совместно использоваться другими схемами в пределах технологического устройства 100.

Фиг.4 - структурная схема технологического устройства 200, которое включает в себя отдельную реализацию супервизорной надстройки 104, показанной на фиг.2 и 3. В варианте осуществления по фиг.4 супервизорная надстройка реализована посредством многочисленных компонентов в устройстве 200. Технологическое устройство 200 сконфигурировано в виде первичного преобразователя и включает в себя модуль 202 датчика, который сконфигурирован для присоединения к промышленному технологическому процессу и измерения технологического параметра. В соответствии с известными технологиями устройство 200 выдает выходной сигнал по контуру 18, который имеет отношение к одному или более технологическим параметрам, воспринимаемым датчиком в модуле 202 датчика, который присоединяется к модулю 203 расширения. Устройство 200 включает в себя микропроцессор и память 204, которые присоединяются к модулю 202 датчика через шину данных, снабженную процессором 206 шины данных, и физический уровень 208. Передача информации по контуру 18 управления технологическим процессом в и из микропроцессора 204 обеспечивается использованием схемы 220 управления контуром и схемы 222 связи. В соответствии с технологиями, известными в данной области техники, связь производится с использованием аналоговых и/или цифровых протоколов. Схема 224 обратной связи контура используется для контроля тока через контур 18 и выдает сигнал обратной связи в схему 222 связи. Схема 226 коррекции контура сконфигурирована, чтобы корректировать схему 220 управления контуром и устанавливать ток контура в предопределенный уровень. В варианте осуществления, показанном на фиг.4, энергия из контура 18 также используется, чтобы полностью питать технологическое устройство 200. Линейный предварительный регулятор 240 выдает предварительно отрегулированное напряжение в схему 242 регулятора напряжения. Схема 242 регулятора напряжения выдает напряжения питания +VSS и +VSS' в схемы в пределах технологического устройства 200. Отдельный модуль 256 управления мощностью снабжает энергией модуль 202 датчика.

Микропроцессор 204 присоединен к схеме 250 интервального сторожевого таймера. Схема 250 сбрасывает микропроцессор 204, если микропроцессор 204 не выдает периодический входной сигнал на схему 250. Падение напряжения на резисторе 254 измеряется аналогово-цифровым (A/D) преобразователем 256, который выдает выходной сигнал в микропроцессор 204. Падение напряжения на резисторе 254 имеет отношение к току, протекающему по контуру 18. Микропроцессор 204 также присоединяется к схеме 226 коррекции контура. В некоторых вариантах осуществления модуль 202 датчика также присоединяется к устройству 270 отображения, с тем чтобы информация могла отображаться локально технологическим устройством 200.

Устройство 200 реализует некоторое количество разных функций супервизорной надстройки. Супервизорная надстройка может быть предоставлена в качестве модульного приложения, например, посредством обновления программного обеспечения в памяти контроллера 204 или модернизации существующих устройств управления технологическим процессом.

Одна из функций супервизорной надстройки может включать в себя контроль потока данных технологических измерений, поставляемого модулем 202 датчика. Технологические параметры передаются по шине 282 и 284 данных. Однако в дополнение к контролю потока технологических параметров функциональные возможности супервизорной надстройки могут контролировать другие действия на шине 282 и 284 данных и выдавать заданный выходной аварийный сигнал. Если модуль 202 датчика останавливает выдачу обновлений технологических параметров, программные инструкции в микропроцессоре 204 идентифицируют событие безопасности. При обнаружении потери данных реакция микропроцессора 204 может быть сконфигурирована, как требуется. Например, микропроцессор может выдавать местный сигнал тревоги или может передавать сигнал тревоги по контуру 18 управления технологическим процессом. Если обнаруживается частичная потеря данных, в дополнение к выдаче сигнала тревоги микропроцессор 204 также может попытаться провести интерполяцию между информационными точками, чтобы обеспечить ограниченные функциональные возможности во время отказа.

В еще одном примере супервизорной надстройки контролируется поток данных, поставляемый на устройство 270 отображения. Если микропроцессором 204 обнаруживается потеря информационного потока, технологическое устройство 200 может входить в выбранное состояние тревоги, например, посредством передачи сигнала тревоги по контуру 18.

В еще одном варианте осуществления супервизорной надстройки схема 256 управления мощностью контролирует и управляет мощностью, выдаваемой в модуль 202 датчика. Например, если ток, протекающий по модулю 202 датчика, превышает пороговое значение, схема 256 управления мощностью может ограничивать ток для модуля датчика или полностью отключать модуль датчика, если требуется. Дополнительно может выдаваться выходной сигнал тревоги. Это предоставляет технологическому устройству 200 возможность продолжать работу с ограниченными функциональными возможностями, даже если модуль 202 датчика является отказывающим, не позволяя отказу модуля 202 датчика вызвать полный отказ всего устройства.

В еще одном примерном варианте осуществления этой супервизорной надстройки уровень тока, на который настроен контур 18, измеряется посредством A/D 256 и выдается в блок 204 микропроцессора. Если микропроцессор обнаруживает, что ток контура отличен от значения, в которое схема 200 управления контуром установила ток, микропроцессор 204 может выдавать выходной сигнал тревоги. Если требуется, микропроцессор 204 может временно перенастроить схему 220 управления контуром так, что ток I контура настраивается на требуемый уровень. Подобным образом в некоторых вариантах осуществления микропроцессор 204 может активировать схему 226 коррекции контура, которая корректирует работу схемы 220 управления током контура и заставляет ток I контура приводиться к предопределенному уровню. Предопределенный уровень может представлять собой, например, уровень тревоги.

В еще одном другом примерном варианте осуществления супервизорной надстройки схема 250 интервального сторожевого таймера контролирует работу микропроцессора 204. Во время нормальной работы микропроцессор 204 сконфигурирован, чтобы регулярно отправлять сигнал в схему 250 сторожевого таймера. Если схема 250 сторожевого таймера принимает сигнал от микропроцессора 204 слишком часто или слишком редко, схема 250 сторожевого таймера может заставить устройство 200 выдать требуемый тревожный сигнал, например сигнал тревоги по контуру 18, с использованием схемы 223 коррекции контура.

В еще одном примере контролируется работа памяти блока 204 микропроцессора и памяти. Например, память может включать в себя бит контрольной суммы или другой механизм обнаружения ошибки. Если механизм обнаружения ошибки указывает, что данные, сохраненные в памяти, ошибочны, микропроцессор может предусматривать требуемую реакцию, такую как инициирование тревожной ситуации. Памятью может быть как энергозависимая, так и энергонезависимая память.

Фиг.5 - упрощенная структурная схема супервизорной надстройки 104. Как проиллюстрировано в вышеприведенных примерах, супервизорная надстройка может обнаруживать различные типы отказов или надвигающихся отказов. Вышеприведенные примеры предназначены только для целей иллюстрации. Вообще, супервизорная надстройка включает в себя некоторый тип интерфейса 310 устройства, который присоединяется к компоненту или компонентам технологического устройства. Это может быть физическое соединение или может быть электрическое соединение либо другое соединение из условия, чтобы контролировались информационные или другие сигналы. Интерфейс 310 устройства выдает выходной сигнал 312, имеющий отношение к работе компонента или компонентов технологического устройства. Выходной сигнал 312 принимается контрольным устройством 314, которое контролирует работу компонента или компонентов на основании выходного сигнала 312. Контрольное устройство компонента сконфигурировано, чтобы идентифицировать событие безопасности в компоненте и выдавать выходной сигнал 316 в модуль 318 реакции безопасности. Событие безопасности может быть прогнозом или указанием будущего отказа или отказа, такими как обсужденные в материалах настоящей заявки, или может быть определено в соответствии с конкретным требованием или стандартом безопасности. Модуль 318 реакции безопасности обеспечивает реакцию 320 безопасности в соответствии с заданным стандартом безопасности. Конкретная реализация интерфейса 310 устройства, контрольного устройства 314 компонента и модуля 318 реакции безопасности может изменяться в широких пределах на основании реализации и может включать в себя как аппаратные, так и программные компоненты. Кроме того, различные блоки, проиллюстрированные на фиг.5, могут существовать в компонентах, которые уже существуют в технологическом устройстве, или могут совместно использовать компоненты среди каждого другого или из числа других компонентов.

В некоторых вариантах осуществления супервизорная надстройка настоящего изобретения выполнена в виде модернизации существующего устройства. Модернизация может быть выполнена во время или после изготовления. Например, супервизорная надстройка может быть воплощена в плате 200 расширения для присоединения к существующему модулю 202 датчика, такому как показанный на фиг.4. В еще одном примерном варианте осуществления супервизорная надстройка может быть предоставлена посредством обновления программного обеспечения. Обновление программного обеспечения может выполняться на месте или удаленно и передаваться по шине связи, такой как у двухпроводного устройства управления технологическим процессом. Предпочтительно программное обеспечение и схема, ассоциируемая с супервизорной надстройкой, полностью изолированы от других компонентов в устройстве. Это предусматривает дополнительную избыточность. Супервизорная надстройка может контролировать более чем одно устройство и не ограничена контролем устройства, в котором она реализована. Например, супервизорная надстройка может работать параллельно по (распределенным) устройствам, обеспечивая выполнение совместных функций многочисленными устройствами и передачу информации между ними. Супервизорная надстройка может быть реализована в устройстве, которое является частью базового контура управления технологическим процессом, или может быть реализована в устройстве, которое реализует систему инструментальных средств безопасности. В одном из аспектов супервизорная надстройка предоставляет информацию, имеющую отношение к работоспособности конкретного устройства или компонента, и предоставляет устройству или компоненту возможность изыматься из контура предопределенным образом после оценки работоспособности или обнаружения неработоспособности.

Несмотря на то что настоящее изобретение было описано со ссылкой на предпочтительные варианты осуществления, специалисты в данной области техники поймут, что могут быть произведены изменения по форме и содержанию, не отступая от сущности и объема изобретения. Примеры, изложенные в материалах настоящей заявки, безусловно, предназначены только для иллюстративных целей. Супервизорная надстройка может обнаруживать другие отказы или ситуации и обеспечивать управляемую реакцию, такую как прекращение работы технологического устройства и/или отправка сигнала тревоги. Посредством использования настоящего изобретения стандартные компоненты, используемые в технологических устройствах, могут контролироваться так, чтобы технологическое устройство удовлетворяло стандартам безопасности, таким как требуемые в некоторых процедурах аттестации, которых отдельные компоненты и технологическое устройство не смогли бы достичь иным образом. Вообще, супервизорная надстройка включает в себя некоторый тип интерфейса устройства, который присоединяется к технологическому устройству и выдает выходной сигнал, имеющий отношение к работе компонента или компонентов устройства. Некоторый тип контрольных устройств компонента контролирует работу компонента на основании выходного сигнала из интерфейса устройства. Безопасный отказ компонента идентифицируется контрольным устройством компонента, а модуль реакции безопасности предусматривает требуемую реакцию безопасности в соответствии с безопасным отказом. Супервизорная надстройка, интерфейс устройства, контрольное устройство компонента и модуль реакции безопасности могут быть реализованы в программном обеспечении и/или аппаратных средствах. Супервизорная надстройка может контролировать большое количество технологических устройств, в том числе устройств, которые распределены по системе управления. Супервизорная надстройка может быть реализована в устройстве, которое полностью питается энергией из двухпроводного контура управления технологическим процессом или может принимать энергию из другого источника.

1. Устройство для использования в технологическом устройстве, которое обеспечивает требуемый уровень полноты безопасности (SIL) для упомянутого технологического устройства, содержащее:
интерфейс устройства, сконфигурированный, чтобы присоединяться к другой части упомянутого технологического устройства и выдавать выходной сигнал, имеющий отношение к работе компонента технологического устройства;
контрольное устройство компонента, сконфигурированное, чтобы контролировать работу компонента на основании выходного сигнала из интерфейса устройства и идентифицировать событие безопасности компонента; и
модуль реакции безопасности, сконфигурированный, чтобы реагировать на событие безопасности компонента в соответствии с реакцией безопасности.

2. Устройство по п.1, в котором интерфейс устройства содержит подключение к шине данных технологического устройства.

3. Устройство по п.2, в котором контрольное устройство компонента сконфигурировано, чтобы контролировать данные, передаваемые по шине данных.

4. Устройство по п.1, в котором интерфейс устройства содержит датчик, присоединенный к другой части упомянутого технологического устройства.

5. Устройство по п.4, в котором технологическое устройство присоединяется к контуру управления технологическим процессом, а датчик сконфигурирован, чтобы контролировать электрический ток в контуре управления технологическим процессом.

6. Устройство по п.5, в котором контрольное устройство компонента сравнивает воспринятый ток с текущим значением.

7. Устройство по п.1, в котором модуль реакции безопасности управляет током в контуре управления технологическим процессом на основании безопасного отказа.

8. Устройство по п.1, в котором интерфейс устройства содержит схему сторожевого таймера.

9. Устройство по п.1, в котором интерфейс устройства сконфигурирован, чтобы воспринимать мощность, потребляемую схемой технологического устройства.

10. Устройство по п.1, в котором интерфейс устройства присоединяется к памяти.

11. Устройство по п.10, в котором контрольное устройство компонента сконфигурировано для обнаружения ошибок в данных, сохраненных в памяти.

12. Устройство по п.1, в котором модуль реакции безопасности выдает выходной сигнал тревоги.

13. Устройство по п.1, в котором модуль реакции безопасности отключает технологическое устройство от контура управления технологическим процессом.

14. Устройство по п.1, в котором модуль реакции безопасности отключает схему в технологическом устройстве.

15. Устройство по п.1, в котором модуль реакции безопасности стремится компенсировать безопасный отказ.

16. Устройство по п.14, в котором модуль реакции безопасности исправляет ошибки в данных в устройстве.

17. Устройство по п.16, в котором модуль реакции безопасности осуществляет интерполяцию между информационными точками для того, чтобы исправить ошибку данных.

18. Устройство по п.16, в котором модуль реакции безопасности удерживает предыдущую информационную точку.

19. Устройство по п.4, в котором датчик содержит датчик напряжения.

20. Устройство по п.4, в котором датчик содержит датчик тока.

21. Устройство по п.1, в котором интерфейс устройства сконфигурирован, чтобы контролировать данные, передаваемые по шине данных устройства.

22. Устройство по п.1, в котором контрольное устройство компонента содержит программное обеспечение, реализованное в микропроцессоре устройства.

23. Устройство по п.1, в котором событие безопасности состоит в возможности будущего отказа компонента.

24. Устройство по п.1, в котором событие безопасности состоит в обнаружении отказа компонента.

25. Первичный преобразователь технологического параметра, включающий в себя устройство по п.1.

26. Первичный преобразователь по п.25, в котором модуль реакции безопасности реализован в модуле расширения, который присоединяется к модулю датчика.

27. Первичный преобразователь по п.25, в котором модуль реакции безопасности реализован в модуле расширения, который присоединяется к большому количеству модулей датчиков.

28. Первичный преобразователь по п.25, в котором контрольное устройство компонента сконфигурировано, чтобы контролировать данные для датчика в модуле датчика.

29. Устройство по п.25, включающее в себя устройство отображения, и при этом компонент контролирует данные, отправленные на устройство отображения.

30. Технологический контроллер, включающий в себя устройство по п.1.

31. Устройство обеспечения уровня полноты безопасности в системе инструментальных средств безопасности (SIS), причем устройство выполнено по п.1.

32. Устройство по п.1, в котором контрольное устройство компонента сконфигурировано, чтобы контролировать множество технологических устройств.

33. Устройство по п.1, в котором контрольное устройство компонента и модуль реакции безопасности реализованы в программном обеспечении.

34. Устройство по п.33, в котором программное обеспечение сконфигурировано для модернизации существующего технологического устройства.

35. Модуль расширения, содержащий устройство по п.1 и сконфигурированный для модернизации существующего технологического устройства.

36. Первичный преобразователь для использования в промышленном технологическом процессе, содержащий:
модуль датчика, сконфигурированный для присоединения к технологическому процессу и измерения технологического параметра;
модуль расширения, сконфигурированный для присоединения к модулю датчика, модуль расширения включает в себя:
интерфейс устройства, сконфигурированный для присоединения к технологическому устройству и выдачи выходного сигнала, имеющего отношение к работе компонента технологического устройства;
контрольное устройство компонента, сконфигурированное, чтобы контролировать работу компонента на основании выходного сигнала из интерфейса устройства и идентифицировать событие безопасности компонента; и
модуль реакции безопасности, сконфигурированный, чтобы реагировать на событие безопасности компонента в соответствии с реакцией безопасности.

37. Способ соответствия уровню полноты безопасности (SIL) в технологическом устройстве, содержащий этапы, на которых:
воспринимают действие компонента технологического устройства;
контролируют воспринимаемое действие компонента, идентифицируют событие безопасности компонента и
реагируют на событие безопасности в соответствии с реакцией безопасности.

38. Способ по п.37, в котором этап контроля состоит в том, что контролируют данные, передаваемые по шине данных.

39. Способ по п.37, в котором на этапе восприятия используют датчик, присоединенный к технологическому устройству.

40. Способ по п.37, в котором технологическое устройство присоединяется к контуру управления технологическим процессом, а этап восприятия состоит в том, что воспринимают электрический ток в контуре управления технологическим процессом.

41. Способ по п.40, в котором этап контроля состоит в том, что сравнивают воспринятый ток с текущим значением.

42. Способ по п.37, в котором этап реакции состоит в том, что управляют током в контуре управления технологическим процессом на основании безопасного отказа.

43. Способ по п.37, в котором этап восприятия состоит в том, что воспринимают мощность, потребляемую схемой технологического устройства.

44. Способ по п.37, в котором этап контроля состоит в том, что обнаруживают ошибки в данных, сохраненных в памяти.

45. Способ по п.37, в котором этап реакции состоит в том, что выдают выходной сигнал тревоги.

46. Способ по п.37, в котором этап реакции состоит в том, что отключают технологическое устройство от контура управления технологическим процессом.

47. Способ по п.37, в котором этап реакции состоит в том, что выполняют компенсацию для обеспечения безопасного отказа.

48. Способ по п.37, в котором этап реакции состоит в том, что исправляют ошибки в данных, сохраненных в устройстве.

49. Способ по п.37, в котором этап восприятия состоит в том, что воспринимают напряжение.

50. Способ по п.37, в котором этап восприятия состоит в том, что воспринимают ток.

51. Способ по п.37, в котором событие безопасности состоит в возможности будущего отказа компонента.

52. Способ по п.37, в котором событие безопасности состоит в обнаружении отказа компонента.

53. Первичный преобразователь технологического параметра, реализующий способ по п.37.

54. Устройство обеспечения уровня полноты безопасности в системе инструментальных средств безопасности (SIS), которое реализует способ по п.37.

55. Машиночитаемый носитель, содержащий машиночитаемые инструкции которые при исполнении их компьютером приводят к реализации упомянутым компьютером способа по п.37.