-
GEBIET DER
TECHNIK
-
Die vorliegende Erfindung bezieht
sich allgemein auf Sicherheitssysteme, die in Prozessanlagen verwendet
werden und im Spezielleren auf ein Sicherheitssystem, das in einem
Prozesssteuerungssystem einer Prozessanlage eingebettet oder darin
integriert ist.
-
Prozesssteuerungssysteme, wie diejenigen,
die in chemischen, Erdöl-
oder anderen Prozessen eingesetzt werden, umfassen typischerweise
einen oder mehrere Prozessrechner, die über analoge, digitale, oder kombinierte
analoge/digitale Busse kommunikativ mit mindestens einem Host- oder
Bedienerarbeitsplatzrechner und einem oder mehreren Feldgeräten gekoppelt
sind. Die Feldgeräte,
welche beispielsweise Ventile, Ventilstellglieder, Schalter und
Messwertgeber (z.B. Temperatur-, Druck- und Fließgeschwindigkeitssensoren)
sein können,
erfüllen
Aufgaben innerhalb der Prozessanlage, wie Öffnen und Schließen von
Ventilen, und Messen von Prozessparametern. Die Prozessrechner empfangen
Signale, die von den Feldgeräten
durchgeführte
Prozessmessungen und/oder andere die Feldgeräte betreffenden Informationen
anzeigen, verwenden diese Informationen, um Steuerprogramme zu implementieren
und dann Steuersignale zu erzeugen, die über die Busse an die Feldgeräte geschickt
werden, um den Ablauf des Prozesses zu steuern. Informationen aus
den Feldgeräten
und den Rechnern werden typischerweise einer oder mehreren Anwendungen
zur Verfügung
gestellt, die vom Bedienerarbeitsplatzrechner ausgeführt werden,
um einen Bediener in die Lage zu versetzen, irgendeine gewünschte Aufgabe
im Hinblick auf den Prozess zu erfüllen, wie Konfigurieren des
Prozesses, den momentanen Zustand des Prozesses zu überblicken,
den Ablauf des Prozesses zu verändern,
etc.
-
Darüber hinaus ist bei vielen Prozessen
ein separates Sicherheitssystem vorgesehen, um signifikante sicherheitsbezogene
Probleme innerhalb der Prozessanlage zu erfassen und Ventile automatisch
zu schließen,
Geräte
stromfrei zu schalten, Durchflussmengen innerhalb der Anlage zu
regeln, etc., wenn ein Problem auftritt, das in einer ernsthaften
Gefahr in der Anlage, wie ein Auslaufen giftiger Chemikalien, eine
Explosion, etc enden oder dazu führen
könnte.
Diese Sicherheitssysteme besitzen neben den Prozesssteuerungsrechnern
typischerweise noch einen oder mehrere separate Rechner, die über separate,
innerhalb der Prozessanlage angeordnete Busse oder Kommunikationsleitungen
an die Feldgeräte
angeschlossen sind. Die Sicherheitsrechner verwenden die Sicherheitsfeldgeräte, um Prozessbedingungen
zu erfassen, die mit signifikanten Ereignissen zusammenhängen, wie
die Position bestimmter Sicherheitsschalter oder Abschaltventile, Über- oder
Unterlaufbedingungen im Prozess, den Betrieb wichtiger Stromerzeugungs-
oder Steuergeräte,
den Betrieb von Fehlererfassungsgeräten, etc., um dadurch „Ereignisse" innerhalb der Prozessanlage
zu erfassen. Wird ein Ereignis erfasst, ergreift der Sicherheitsrechner
irgendeine Maßnahme,
um die schädliche
Auswirkung des Ereignisses einzuschränken, wie Ventile zu schließen, Geräte abzuschalten,
Abschnitte der Anlage stromfrei zu schalten, etc.
-
Eine Entkopplung zwischen Prozessrechnern
und Sicherheitsrechnern wird als wichtig erachtet (und wird häufig durch
geltende staatliche Richtlinien angeordnet), weil eine Verwendung
eines Prozessrechners zur Durchführung
von Sicherheitsaufgaben zum gleichzeitigen Ausfall der Sicherheits-
und Prozesssteuerungsfunktionen führt, wenn der Prozessrechner
ausfällt.
Die Sicherheitsfunktionen werden jedoch dann am Kritischsten, wenn
der Prozessrechner ausfällt,
weil dabei der Prozess teilweise oder gänzlich außer Kontrolle ist.
-
Unglücklicherweise führte die
Entkopplung zwischen den Prozess- und
Sicherheitsrechnern in Prozessanlagen dazu, dass diese Systeme voneinander
vollkommen getrennt sind. Im Ergebnis wird typischerweise eine unterschiedliche
Kommunikationsstruktur verwendet, um diese unterschiedlichen Systeme
innerhalb derselben Anlage einzusetzen, wobei unterschiedliche Konfigurationsanwendungen
und Arbeitsplatzrechner verwendet werden, um diese separaten Systeme
zu konfigurieren und zu überwachen.
Aufgrund dieser Unterschiede wird typischerweise unterschiedliches
Personal gebraucht, um Konfigurations- und Überwachungstätigkeiten
im Hinblick auf diese unterschiedlichen Systeme durchzuführen, was
insgesamt zu zusätzlichen
Kosten beim Konfigurieren und Betreiben einer Prozessanlage führt, die
ein Sicherheitssystem verwendet.
-
Da darüber hinaus Sicherheitssysteme
nicht die Prozesssteuerungssysteminfrastruktur verwenden, wird häufig innerhalb
ein und derselben Prozessanlage eine unterschiedliche und vollständig unzusammenhängende Sicherheitssystemhardware
an unterschiedlichen Stellen wie etwa unterschiedlichen Knoten verwendet.
Dies führt
zu einer Anzahl von unterschiedlichen und unzusammenhängenden
Sicherheitssystemen in ein und derselben Anlage, die separat konfiguriert
und überwacht
werden müssen.
-
ZUSAMMENFASSUNG
DER OFFENBARUNG
-
Eine Prozessanlage umfasst ein Sicherheitssystem,
das physikalisch auf eine Weise in ein Prozesssteuerungssystem integriert
ist, die es ermöglicht,
dass das Sicherheits- und das Prozesssteuerungssystem eine gemeinsame
Hard- und Software für
Kommunikation, Konfiguration und Anzeige in der Prozessanlage verwenden
können,
während
sie immer noch eine funktionale Entkopplung zwischen den Sicherheitssystem- und
den Prozesssteuerungssystemrechnern bereitstellen. Noch weiter darüber hinaus
kann die Sicherheitssystemhardware an den unterschiedlichen Knoten
einer Prozessanlage miteinander kommunizieren, um ein einziges und
integriertes Sicherheitssystem innerhalb der Prozessanlage herzustellen.
-
Wie typisch ist, sind separate Sicherheitssystemrechner über eine
Sicherheitskommunikationsinfrastruktur mit den Sicherheitsgeräten verbunden,
während
Prozesssteuerungssystemrechner über
standardmäßige Steuerungssystembusse
oder -kommunikationsleitungen mit Steuerungssystemfeldgeräten verbunden sind.
Die Sicherheitssystemrechner sind jedoch über einen Bus oder eine andere
Kommunikationsleitung kommunikativ mit den Prozesssteuerungssystemrechnern
verbunden und jeweils über
ein gemeinsames Kommunikationsnetz mit einem oder mehreren Bedienerarbeitsplatzrechnern
innerhalb der Prozessanlage verbunden, wodurch es möglich ist,
dass die Software in den Bedienerarbeitsplatzrechnern sowohl mit
den Prozesssteuerungsrechnern (und damit zusammenhängenden
Prozesssteuerungsfeldgeräten)
als auch den Sicherheitssystemrechnern (und damit zusammenhängenden
Sicherheitsfeldgeräten)
kommunizieren und diese konfigurieren und deren Betrieb bildlich
darstellen kann. Während
jedoch die Sicherheitssystem- und Prozesssteuerungssystemrechner
miteinander kommunizieren können,
um dadurch Daten voneinander zu erhalten, sind sie so programmiert,
dass die Prozesssteuerungssystemrechner keines der Sicherheitssystemgeräte steuern
oder konfigurieren können,
was für
die notwendige funktionale Entkopplung zwischen sowohl dem Prozesssteuerungs-
als auch dem Sicherheitssystem sorgt.
-
Diese Integration schafft den Bedarf
nach einer zusätzlichen
Kommunikations- und Anzeigestruktur innerhalb der Anlage aus der
Welt, die, abgesehen vom Prozesssteuerungssystem nicht unbedingt
für einen
ordnungsgemäßen Betrieb
des Sicherheitssystems gebraucht wird, und ermöglicht es einer mit der Prozessanlage
zusammenhängenden
Konfigurationsanwendung, sowohl das Prozesssteuerungs- als auch
das Sicherheitssystem zu konfigurieren und die Hard- und Software
sowohl der Prozess- als auch der Sicherheitssteuerung in einer gemeinsamen
oder integrierten Ansicht der Prozessanlage anzuzeigen.
-
1 ist
ein Blockschema einer beispielhaften Prozessanlage mit einem in
ein Prozesssteuerungssystem integrierten Sicherheitssystem;
-
2 ist
eine Bildschirmanzeige, die durch eine Konfigurationsanwendung in
einem der Arbeitsplatzrechner von 1 generiert
wurde und eine Konfigurationsansicht der Prozessanlage von 1 darstellt, die sowohl
Prozesssteuerungssystem- als auch Sicherheitssystemgeräte zeigt;
-
3 ist
ein Blockschema mehrerer Sicherheitssystemrechner, die über ein
erstes Kommunikationsnetz miteinander und zusätzlich über ein zweites und gemeinsames
Kommunikationsnetz mit Prozesssteuerungssystemrechnern und Benutzeroberflächen verbunden
sind; und
-
4 ist
eine Schemazeichnung, die einen Buszyklus eines nichthierarchischen
(Peer-to-Peer) Busses darstellt, der im Sicherheitssystem der 1 und 3 verwendet wird.
-
AUSFÜHRLICHE
BESCHREIBUNG
-
Nun umfasst mit Bezug auf 1 eine Prozessanlage 10 ein
Prozesssteuerungssystem 12, das mit einem (durch unterbrochene
Linien angezeigtes) Sicherheitssystem 14 integriert ist,
welches im Allgemeinen als sicherheitsinstrumentiertes System (SIS)
arbeitet, um die vom Prozesssteuerungssystem 12 bereitgestellte Steuerung/Regelung
zur Maximierung des wahrscheinlichen Sicherheitsbetriebs der Prozessanlage 10 zu überwachen
und durch Override außer
Kraft zu setzen. Die Prozessanlage 10 umfasst auch einen
oder mehreren Host-Arbeitsplatzrechner, Computer oder Benutzeroberflächen 16 (die
irgendeine Art von PC, Arbeitsplatzrechner, etc. sein können), auf
die durch das Anlagenpersonal wie Prozesssteuerungsoperatoren, Wartungspersonal,
Systemtechniker, etc. zugegriffen werden kann. In dem in 1 dargestellten Beispiel
sind drei Benutzeroberflächen 16 gezeigt,
die mit zwei separaten Prozesssteuerungs/Sicherheitssteuerungsknoten 18 und 20 und
mit einer Konfigurationsdatenbank 21 über eine gemeinsame Kommunikationsleitung
oder einen gemeinsamen Kommunikationsbus 22 verbunden sind.
Das Kommunikationsnetz 22 kann unter Verwendung einer beliebigen
auf Bus basierenden oder nicht auf Bus basierenden Hardware implementiert
sein, unter Verwendung einer beliebigen festverdrahteten oder drahtlosen
Kommunikationsstruktur, und unter Verwendung eines beliebigen oder
geeigneten Kommunikationsprotokolls wie einem Ethernet-Protokoll.
-
Allgemein ausgedrückt, umfasst jeder der Knoten 18 und 20 der
Prozessanlage 10 sowohl Prozesssteuerungssystem- als auch
Sicherheitssystemgeräte,
die über
eine Busstruktur miteinander verbunden sind, die auf einer Rückwandplatine
vorgesehen werden kann, in der die verschiedenen Geräte befestigt
sind. Der Knoten 18 ist in 1 als
einen Prozessrechner 24 (welcher ein redundantes Rechnerpaar
sein kann) sowie ein oder mehrere Eingabe-/Ausgabegeräte (E/A-Geräte) 28, 30 und 32 des
Prozesssteuerungssystems umfassend dargestellt, während der
Knoten 20 als einen Prozessrechner 26 (welcher
ein redundantes Rechnerpaar sein kann) sowie ein oder mehrere E/A-Geräte 34 und 36 des
Prozesssteuerungssystems umfassend dargestellt ist. Jedes der E/A-Geräte 28, 30, 32, 34 und 36 des
Prozesssteuerungssystems ist kommunikativ mit einer Gruppe von prozesssteuerungsbezogenen
Feldgeräten
verbunden, die in 1 als
Feldgeräte 40 und 42 dargestellt
sind. Die Prozessrechner 24 und 26, die E/A-Geräte 28–36 und
die Prozesssteuerungsfeldgeräte 40 und 42 machen
allgemein das Prozesssteuerungssystem 12 von 1 aus.
-
Ebenso umfasst der Knoten 18 einen
oder mehrere Sicherheitssystemlogiklöser 50, 52,
während
der Knoten 20 Sicherheitssystemlogiklöser 54 und 56 umfasst.
Jeder dieser Logiklöser 50–56 ist
ein E/A-Gerät
mit einem Prozessor 57, der in einem Speicher abgespeicherte
Sicherheitslogikbausteine 58 ausführt, und steht kommunikativ
in Verbindung, um Steuersignale an die Feldgeräte 60 und 62 zu
schicken und/oder Signale von diesen zu empfangen. Zusätzlich umfasst
jeder der Knoten 18 und 20 mindestens ein Nachrichtenverbreitungsgerät (MPD – Message
Propagation Device) 70 bzw. 72, welche über eine
Ringbusverbindung 74 miteinander verbunden sind. Die Sicherheitssystemlogiklöser 50–56,
die Sicherheitssystemfeldgeräte 60 und 62,
die MPDs 70 und 72 und der Bus 74 machen
allgemein das Sicherheitssystem 14 von 1 aus.
-
Die Prozessrechner 24 und 26,
bei denen es sich nur beispielhaft um Delta VTM-Rechner,
die von Fisher-Rosemount Systems, Inc. vertrieben werden, oder irgendeine
andere beliebige Art von Prozessrechnern handeln kann, sind so programmiert,
dass sie eine Prozesssteuerungsfunktionalität (indem sie das verwenden, was
allgemein als Steuerbausteine bezeichnet wird) unter Verwendung
der E/A-Geräte 28, 30 und 32 (für den Rechner 24),
der E/A-Geräte 34 und 36 (für den Rechner 26),
und der Feldgeräte 40 und 42 bereitstellen.
Insbesondere implementiert oder überwacht
jeder der Rechner 24 und 26 ein oder mehrere darin
gespeicherte oder anderweitig damit zusammenhängende Prozesssteuerungsprogramme
und kommuniziert mit den Feldgeräten 40 und 42 und
den Arbeitsplatzrechnern 14, um den Prozess 10 oder
einen Teil des Prozesses 10 auf eine gewünschte Weise
zu steuern/regeln. Die Feldgeräte 40 und 42 können jede
beliebige Art von Feldgeräten
sein, wie Sensoren, Ventile, Messwertgeber, Stellglieder, etc.,
und können
jedem gewünschten
offenen, geschlossenen oder anderen Kommunikations- oder Programmierprotokoll,
einschließlich
beispielsweise dem HART- oder dem 4–20 ma-Protokoll (wie für die Feldgeräte 40 dargestellt),
jedem Feldbusprotokoll wie dem Protokoll Foundation Fieldbus (wie
für die
Feldgeräte 42 dargestellt),
oder den CAN-, Profibus-, AS-Interface-Protokollen
entsprechen, um nur einige wenige zu nennen. Ähnlich können die E/A-Geräte 28–36 irgendeine
bekannte Art von E/A-Geräten für die Prozesssteuerung
sein, die irgendein geeignetes oder irgendwelche geeigneten Kommunikationsprotokoll/e
verwendet/verwenden.
-
Die Sicherheitslogiklöser 50–56 von 1 können eine beliebige Art von
Sicherheitssystemsteuergeräten
sein, die einen Prozessor 57 und einen Speicher umfassen,
der Sicherheitslogikbausteine 58 speichert, die dazu ausgelegt
sind, auf dem Prozessor 57 ausgeführt zu werden, um Steuerungsfunktionalität in Zusammenhang
mit dem Sicherheitssystem 14 unter Verwendung der Sicherheitsfeldgeräte 60 und 62 bereitzustellen.
Natürlich
können
die Sicherheitsfeldgeräte 60 und 62 eine
beliebige Art von Feldgeräten
sein, die irgendeinem bekannten oder gewünschten Kommunikationsprotokoll,
wie den oben erwähnten,
entsprechen oder dieses verwenden. Insbesondere können die
Feldgeräte 60 und 62 sicherheitsbezogene
Feldgeräte
der Art sein, die herkömmlicher
Weise von einem separaten, zweckgebundenen sicherheitsbezogenen
Steuersystem gesteuert werden. In der in 1 dargestellten Prozessanlage 10 sind
die Sicherheitsfeldgeräte 60 so
dargestellt, dass sie ein zweckgebundenes oder Punkt-zu-Punkt-Kommunikationsprotokoll,
wie das HART- oder 4–20
ma-Protokoll verwenden,
während
die Sicherheitsfeldgeräte 62 so
dargestellt sind, dass sie ein Buskommunikationsprotokoll wie ein
Fieldbus-Protokoll verwenden.
-
Eine gemeinsame Rückwandplatine 76 (angezeigt
durch eine unterbrochene Linie durch die Rechner 24, 26,
die E/A-Geräte 28–36,
die Sicherheitslogiklöser 50–56 und
die MPDs 70 und 72) wird in jedem der Knoten 18 und 20 verwendet,
um die Rechner 24 und 26 an die E/A-Karten 28, 30 und 32 oder 34 und 36 der
Prozesssteuerung sowie an die Sicherheitslogiklöser 52, 54 oder 56 und 58 und
an die MPDs 70 oder 72 anzuschließen. Die
Rechner 24 und 26 sind auch kommunikativ an den
Bus
22 angeschlossen und wirken für diesen als Busarbitrator,
um die E/A-Geräte 28–36,
die Logiklöser 52–56 bzw.
die MPDs 70 und 72 in die Lage zu versetzen, über den
Bus 22 mit einem der Arbeitsplatzrechner 16 zu
kommunizieren.
-
Wie klar wird, umfasst jeder der
Arbeitsplatzrechner 16 einen Prozessor 77 und
einen Speicher 78, der eine oder mehrere Konfigurations- und/oder Anzeigeanwendungen
speichert, die dazu ausgelegt sind, auf dem Prozessor 77 ausgeführt zu werden.
Eine Konfigurationsanwendung 80 und eine Anzeigeanwendung 82 sind
in 1 in einer in ihre
Einzelteile zerlegten Ansicht dargestellt, wie sie in einem der
Arbeitsplatzrechner 16 abgespeichert sind. Jedoch könnten, falls
gewünscht,
diese Anwendungen in anderen als den Arbeitsplatzrechnern 16 oder
in anderen zur Prozessanlage 10 gehörenden Computern abgespeichert
sein und von diesen ausgeführt
werden. Allgemein ausgedrückt
stellt die Konfigurationsanwendung 80 einem Systemtechniker eine
Konfigurationsinformation zur Verfügung und ermöglicht es
ihm, einige oder alle Elemente der Prozessanlage 10 zu
konfigurieren oder diese Konfiguration in der Konfigurationsdatenbank 21 zu
speichern. Als Teil dieser von der Konfigurationsanwendung 80 durchgeführten Konfigurationstätigkeiten
kann der Systemtechniker Steuerprogramme oder Steuerbausteine für die Prozessrechner 24 und 26 erstellen,
kann Sicherheitslogikbausteine für
irgendwelche bzw. alle der Sicherheitslogiklöser 50–56 erstellen,
und kann diese unterschiedlichen Steuer- und Sicherheitsbausteine über den
Bus 22 und die Rechner 24 und 26 auf
die geeigneten der Prozessrechner 24 und 26 und
der Sicherheitslogiklöser 50–56 herunterladen. Ähnlich kann
die Konfigurationsanwendung 80 dazu verwendet werden, andere
Programme und Logik zu erstellen und auf die E/A-Geräte 28–36,
irgendwelche der Feldgeräte 40, 42, 60 und 62,
etc., herunterzuladen.
-
Umgekehrt kann die Anzeigeanwendung 82 dazu
eingesetzt werden, einem Benutzer wie einem Prozesssteuerungsoperator,
einem Sicherheitsoperator, etc., eine oder mehrere Anzeigen, falls
das so gewünscht wird,
entweder in gesonderten Ansichten oder in ein und derselben Ansicht bereitzustellen,
welche Informationen über
den Zustand des Prozesssteuerungssystems 12 und des Sicherheitssystems 14 beinhaltet.
Beispielsweise kann die Anzeigeanwendung 82 eine Alarmanzeigeanwendung
sein, die Alarmmeldungen empfängt
und einem Bediener anzeigt. Falls gewünscht, kann solch eine Alarmanzeigeanwendung
eine Form annehmen, wie sie im US-Patent Nr. 5,768,119 mit dem Titel „Process
Control System Including Alarm Priority Adjustment" und der US-Patentanmeldung
Nr. 09/707,580 mit dem Titel „Integrated
Alarm Display in a Process Control Network" offenbart ist, die beide dem Übernehmer
dieses Patents zugeteilt sind und hiermit ausdrücklich durch Bezugnahme mit
aufgenommen werden. Es wird jedoch klar, dass die Alarmanzeige oder
das Alarmbanner dieser Patente Alarme sowohl vom Prozesssteuerungssystem 12 als
auch dem Sicherheitssystem 14 empfangen und in einer integrierten
Alarmanzeige anzeigen kann, da die Alarme aus beiden Systemen 12 und 14 zum
Bedienerarbeitsplatzrechner 16 geschickt werden, der die
Alarmanzeigeanwendung ausführt,
und werden als Alarme aus unterschiedlichen Geräten erkennbar sein. Gleichermaßen kann
ein Bediener Sicherheitsalarme, die in einem Alarmbanner angezeigt
werden, auf dieselbe Weise bearbeiten wie Prozesssteuerungsalarme.
Beispielsweise kann der Bediener oder Benutzer Sicherheitsalarme
quittieren, abschalten, etc., indem er die Alarmanzeige verwendet,
die dann Nachrichten an die geeigneten Prozessrechner 24, 26 im
Sicherheitssystem 14 schickt, indem sie Verbindungen über den
Bus 22 und die Rückwandplatine 76 verwendet,
um im Hinblick auf den Sicherheitsalarm die entsprechende Maßnahme zu
ergreifen. Auf ähnliche
Weise können andere
Diagnoseanwendungen Diagnoseinformationen oder -daten aus dem Prozesssteuerungssystem 12 und
dem Sicherheitssystem 14 anzeigen, weil diese Systeme dieselben
Typen und Arten von Parametern, Schutz und Verweisen benutzen, so
dass alle Daten aus einem der Systeme 12 und 14 in
einer Anzeige oder Ansicht integriert werden können, die herkömmlicher
Weise für
ein Prozesssteuerungssystem vorgesehen ist.
-
Auf jeden Fall können die Anwendungen 80 und 82 separate
Konfigurations- und andere Signale an jeden der Prozessrechner 24 und 26 schicken
und von diesen sowie jedem der Sicherheitssystemlogiklöser 50– 56 empfangen.
Diese Signale können
Nachrichten auf Prozessebene umfassen, die sich auf die Steuerung
der Betriebsparameter der prozesssteuerungsbezogenen Feldgeräte 40 und 42 beziehen,
und können Nachrichten
auf Sicherheitsebene umfassen, die sich auf die Steuerung der Betriebsparameter
der sicherheitsbezogenen Feldgeräte 60 und 62 beziehen.
Während
die Sicherheitslogiklöser 50–56 so
programmiert werden können,
dass sie sowohl die Nachrichten auf Prozessebene als auch auf Sicherheitsebene
erkennen können,
sind die Sicherheitslogiklöser 50–56 dazu
in der Lage, zwischen den beiden Nachrichtenarten zu unterscheiden
und können
nicht durch Konfigurationssignale auf Prozessebene programmiert
oder beeinflusst werden. In einem Beispiel können die an die Prozesssteuerungssystemgeräte verschickten
Programmiernachrichten bestimmte Felder oder Adressen enthalten,
welche von den Sicherheitssystemgeräten erkannt werden, und welche
verhindern, dass diese Signale dazu verwendet werden, die Sicherheitssystemgeräte zu programmieren.
-
Falls gewünscht, können die Sicherheitslogiklöser 50–56 im
Vergleich zur Hardware- und Softwareauslegung, die für die E/A-Karten 28– 36 der
Prozesssteuerung verwendet werden, dieselbe oder eine andere Hardware-
oder Softwareauslegung verwenden. Der Einsatz von wechselnden Technologien
für die
Geräte
im Prozesssteuerungssystem 12 und die Geräte im Sicherheitssystem 14 kann
jedoch Hard- und Softwareausfälle
minimieren oder ausschalten, die eine gemeinsame Ursache haben.
-
Darüber hinaus können die
Sicherheitssystemgeräte
einschließlich
der Logiklöser 50–56 können auch irgendwelche
beliebigen Entkopplungs- und Schutztechniken benutzen, um die Wahrscheinlichkeit
zu reduzieren oder auszuschalten, dass unberechtigte Änderungen
an dadurch implementierten sicherheitsbezogenen Funktionen vorgenommen
werden. Beispielsweise können
die Sicherheitslogiklöser 50–56 und
die Konfigurationsanwendung 80 eine Person mit einem besonderen
Berechtigungsgrad oder eine Person, die sich an einem besonderen
Arbeitsplatzrechner befindet, auffordern, Änderungen an den Sicherheitsbausteinen
in den Logiklösern 50–56 vorzunehmen,
wobei dieser Berechtigungsgrad oder diese Berechtigungsstelle sich
vom Grad oder der Stelle der Berechtigung oder des Zugriffs unterscheidet,
der/die erforderlich ist, um Änderungen an
den von den Rechnern 24 und 26 und den E/A-Geräten 28–36 durchgeführten Steuerfunktionen
vorzunehmen. In diesem Fall haben nur diejenigen Personen, die in
der Sicherheitssoftware benannt sind oder sich an Arbeitsplätzen befinden,
die dazu berechtigt sind, Änderungen
am Sicherheitssystem vorzunehmen, eine Berechtigung, sicherheitsbezogene
Funktionen zu ändern,
was die Gefahr minimiert, den Betrieb des Sicherheitssystems 14 zu
verfälschen.
Wie klar wird, können
die Prozessoren in den Sicherheitslogiklösern 50–56, um
einen solchen Schutz oder eine solche Sicherung bereitzustellen,
auf die eingehenden Nachrichten zugreifen und auf passende Form
und Sicherung überprüfen, und
als Wächter über Änderungen
wirken, die an den Steuerbausteinen 58 auf Sicherheitsebene,
die in den Sicherheitslogiklösern 50–56 ausgeführt werden,
vorgenommen werden.
-
Darüber hinaus kann, falls gewünscht, wenn
sicherheitsbezogene Funktionen in den Logiklösern 50–56 erst
einmal freigegeben sind, keine Statusveränderung an den Sicherheitsfunktionen über die
Bedienerarbeitsplatzrechner 14 ohne angemessene Zugriffsrechte
vorgenommen werden, was es ermöglicht,
dass die mit dem Prozesssteuerungssystem 12 zusammenhängende Kommunikationsstruktur
dazu verwendet werden kann, eine Initialisierung für das Sicherheitssystem 14 und
eine Ablaufliste des Betriebs des Sicherheitssystems 14 bereitzustellen,
aber immer noch das Prozesssteuerungssystem 12 vom Sicherheitssystem 14 in
dem Sinne zu entkoppeln, dass Veränderungen am Prozesssteuerungssystem 12 sich
nicht auf den Betrieb des Sicherheitssystems 14 auswirken
können.
-
Wie klar wird, ermöglicht es
die Verwendung der Rückwandplatine 76 in
jedem der Knoten 18 und 20 den Sicherheitslogiklösern 50 und 52 und
den Sicherheitslogiklösern 54 und 56,
lokal miteinander zu kommunizieren, um Sicherheitsfunktionen zu
koordinieren, die von jedem dieser Geräte bewerkstelligt werden, um einander
Daten mitzuteilen oder andere integrierte Funktionen zu erfüllen. Andererseits
wirken die MPDs 70 und 72 so, dass sie es Teilen
des Sicherheitssystems 14, die sich an äußerst unterschiedlichen Stellen
der Anlage 10 befinden, ermöglichen, immer noch miteinander
zu kommunizieren, um einen koordinierten Sicherheitsbetrieb an unterschiedlichen
Knoten der Prozessanlage 10 bereitzustellen. Insbesondere
ermöglichen
es die MPDs 70 und 72 zusammen mit dem Bus 74,
dass die Sicherheitslogiklöser,
die mit den verschiedenen Knoten 18 und 20 der
Prozessanlage 10 zusammenhängen, kommunikativ in Kaskadenschaltung
miteinander verbunden sind, um für
die Kaskadenschaltung von sicherheitsbezogenen Funktionen innerhalb
der Prozessanlage 10 nach einer zugeteilten Priorität zu sorgen.
Alternativ können
zwei oder mehr sicherheitsbezogene Funktionen an unterschiedlichen
Stellen innerhalb der Prozessanlage 10 verknüpft oder
miteinander verbunden werden, ohne dass dabei eine zweckgebundene
Leitung zu einzelnen Sicherheitsfeldgeräten innerhalb der gesonderten
Bereiche oder des Knotens der Anlage 10 verlegt werden
müsste.
Anders ausgedrückt
ermöglicht
es der Einsatz der MPDs 70 und 72 und des Busses 74 einem
Systemtechniker, ein Sicherheitssystem 14 zu entwerfen
und konfigurieren, das von der Art her über die gesamte Prozessanlage 10 verteilt
ist, dessen unterschiedlichen Komponenten aber kommunikativ miteinander
verbunden sind, um es der verschiedenen sicherheitsbezogenen Hardware
zu ermöglichen,
wie erforderlich miteinander zu kommunizieren. Dieses Merkmal sorgt
auch für
eine Skalierbarkeit des Sicherheitssystem 14, indem es
ermöglicht,
dass zusätzliche
Logiklöser
dem Sicherheitssystem 14 hinzugefügt werden können, wenn sie benötigt werden,
oder wenn der Prozessanlage 10 neue Prozesssteuerungsknoten
hinzugefügt
werden.
-
2 stellt
eine Bildschirmmaske 83 dar, die durch das Konfigurationsprogramm 80 von 1 erzeugt werden kann, und
die eine Konfigurationsdarstellung veranschaulicht, bei der das
Sicherheitssystem 14 (einschließlich der Logiklöser und
der Sicherheitsfeldgeräte)
mit dem Prozesssteuerungssystem 12 integriert ist. Es wird
klar, dass die Konfigurationsbildschirmmaske 83 von 2 die Art und Weise darstellt,
in der die Konfigurationsanwendung 80 die mit den verschiedenen
Geräten
innerhalb der Prozessanlage 10 zusammenhängende Software
konfiguriert hat und von einem Systemtechniker dazu verwendet werden
kann, um die gegenwärtige
Konfiguration der Prozessanlage zu erstellen oder zu verändern, indem
eine neue Konfigurationssoftware auf die Geräte innerhalb der Prozessanlage 10,
einschließlich
der Prozesssteuerungssystem- und Sicherheitssystemgeräte heruntergeladen
wird.
-
Wie in der Bildschirmmaske 83 dargestellt
ist, umfasst die Prozessanlage 10 einen physikalischen Netzabschnitt 84,
der zur Anzeige der physikalischen Verknüpfungen der Geräte innerhalb
der Prozessanlage 10 verwendet wird, und einen Sicherheitsnetzabschnitt 85,
der zum Konfigurieren von Sicherheitssystemgeräten verwendet wird. Der physikalische
Netzabschnitt 84 umfasst einen Steuernetzabschnitt 86 mit
einem Rechner 87 (CTRL1 genannt). Der Rechner 87,
bei dem es sich um einen der Rechner von 1 handeln kann, umfasst eine Gruppe zugeteilter
Bausteine 88, welche Steuerbausteine sind, die im Rechner 87 gespeichert sind
und von diesem ausgeführt
werden, und einen E/A-Geräteabschnitt 89,
der zu Kommunikationszwecken an den Rechner 87 angeschlossen
ist. Der E/A-Geräteabschnitt 89 ist
erweitert, um alle Karten 90 darzustellen, die an den Rechner 87 (CTRL1) über eine
der Rückwandplatinen 76 von 1 angeschlossen sind. In diesem
Beispiel umfasst der E/A-Geräteabschnitt
89 Eingabe-/Ausgabekarten C01–C05,
C11–C15
und C21 der Prozesssteuerung. Jede dieser Karten kann erweitert
werden, um die Kennung der unterschiedlichen Feldgeräte oder
andere damit zusammenhängende
Informationen darzustellen (welche Feldgeräte einzelne der Feldgeräte 40 und 42 von 1 sind), die an jede dieser
Karten angeschlossen sind. Auf ähnliche
Weise sind zur Darstellung der physikalischen Anschlüsse zwei
Sicherheitssystemkarten C07 (BLR1BMS genannt) und C017 (noch nicht
konfiguriert) dargestellt. Diese Karten sind in schraffiertem Format
dargestellt und können
in diesem Abschnitt nicht erweitert werden, weil sie nicht in und
durch das Steuernetz konfiguriert werden können. Aber, wie klar wird,
können
die Geräte,
die mit dem Prozess steuerungssystem 12 zusammenhängen, unter
Verwendung des Steuernetzabschnitts 86 der Bildschirmmaske 83 konfiguriert
werden, indem Steuerbausteine, E/A-Geräte und/oder Feldgeräte in diesem
Abschnitt der Konfigurationsdarstellung hinzugefügt, gelöscht oder verändert werden.
Das Sicherheitssystem 14 ist im Sicherheitsnetzabschnitt 85 der
Bildschirmmaske 83 als drei Sicherheitslogiklöser 91–93 umfassend
dargestellt, die als BLR1BMS, BLR2BMS und LS1 bezeichnet sind. Gleichermaßen können, falls
gewünscht,
Nachrichtenverbreitungsgeräte
(wie die MPDs 70 und 72 von 1) im Sicherheitsnetzabschnitt 85 dargestellt
sein. In der Bildschirmmaske 83 ist der Sicherheitslogiklöser 91 erweitert,
um darzustellen, dass er zugewiesene Sicherheitsbausteine, einen
oder mehrere Kanäle
(die an die Sicherheitsfeldgeräte
wie die Geräte 60 und 62 von 1 angeschlossen sind) und
Schutzparameter enthält.
Jedes dieser Elemente könnte
in diesem Abschnitt der Bildschirmmaske 83 weiter angezeigt,
hinzugefügt,
gelöscht
oder verändert
werden, um dadurch das Sicherheitssystem 14 zu konfigurieren. Insbesondere
kann das Sicherheitssystem 14 unter Verwendung des Sicherheitsnetzabschnitts 85 auf
eine ähnliche
Weise konfiguriert und modifiziert werden wie das Konfigurieren
des Prozesssteuerungsnetzes 12 unter Verwendung des Steuernetzabschnitts 86.
Wie klar wird, können
nämlich
Steuer- und Sicherheitsbausteine erstellt und jedem dieser unterschiedlichen
Steuer- und Sicherheitssysteme zugewiesen werden, indem das Verfahren
zum Konfigurieren eines Prozesssteuerungssystems verwendet wird,
wie es im US-Patent Nr. 5,838,563 beschrieben ist, welches dem Übernehmer
dieses Patents zugeteilt ist und hiermit ausdrücklich durch Bezugnahme mit
aufgenommen wird. Allgemein ausgedrückt können jedoch Sicherheitslogikbausteine aus
Bausteinvorlageobjekten erstellt werden, die in einer Konfigurationsbibliothek
gespeichert und dazu ausgelegt sind, in einem speziellen Sicherheitslogiklöser zum
Einsatz zu kommen, um Sicherheitsfunktionen im Hinblick auf spezielle
Sicherheitsfeldgeräte
innerhalb der Prozessanlage 10 zu erfüllen. Um einen Sicherheitslogikbaustein
zu erstellen, kann ein Sicherheitstechniker eine spezielle Steuervorlage
kopieren (die dazu verwendet werden kann, um sowohl in Prozessrechnern
ablaufende Prozesssteuerungsbausteine als auch in Sicherheitslogiklösern ablaufende
Sicherheitslogikbausteine zu erstellen), um einen bestimmten Sicherheitslogikbaustein
zu erstellen, und kann diesen Sicherheitslogikbaustein einem bestimmten
Sicherheitselement, wie einem der Sicherheitslogiklöser zuweisen,
indem dieser Sicherheitslogikbaustein durch Drag-and-Drop unter eine
Anzeige des gewünschten
Sicherheitslogiklösers
in der Konfigurationsbildschirmmaske 83 von 2 verschoben wird. Bei der
Implementierung des offenbarten Systems entsteht eine neue Benutzerrolle
als Sicherheitstechniker. Beim Konfigurieren des Sicherheitssystems
kann der Systemtechniker, der den Prozesssteuerungsabschnitt leitet,
nicht die geeigneten Rechte haben, um Sicherheitsbausteine zu konfigurieren,
und somit wird eine Konfiguration der Sicherheitsbausteine von einem
Sicherheitstechniker durchgeführt.
Somit lässt
ein Schutz innerhalb des Systems die Berufsbeschreibung gesonderter
Sicherheits- und Systemtechniker zu.
-
In einem besonderen Beispiel kann
ein Sicherheitstechniker Sicherheitslogiklöser unter dem Sicherheitsnetzabschnitt 85 hinzufügen, indem
eine (nicht gezeigte) Menüoption „Add Logic
Solver" aus einem
Sicherheitsnetzmenü gewählt wird
(welches zum Beispiel ein Pop-up-Menü oder ein Pull-down-Menü sein kann). Dabei
wird ein Logiklöser
mit dem nächsten
verfügbaren
Systemnamen unter dem Sicherheitsnetz 85 erstellt. Automatisch
erstellte Systemnamen können
beispielsweise mit LS1 beginnen, können aber auch zu irgendeinem
allgemein unverwechselbaren Namen im Konfigurationssystem für die Prozessanlage 10 umbenannt
werden. 2 stellt den
Fall dar, bei dem zwei Logiklöser
umbenannt wurden und einer (LS1) nicht umbenannt wurde. An diesem
Punkt ist der Logiklöser
immer noch ein Platzhalter, der nicht an einen physikalischen Logiklöser gebunden
ist. Danach kann der Benutzer einen Logiklöser durch Drag-and-Drop von
unter dem physikalischen Netzabschnitt 84 auf den Sicherheitsnetzabschnitt 85 verschieben,
um einen bestimmten physikalischen Logiklöser an den erstellten Platzhalter
zu binden. Wenn ein bestimmter Logiklöser unter dem Sicherheitsnetzabschnitt 85 erst
einmal gebunden ist, erfolgen an dem und auf den speziellen physikalischen
Logiklöser
heruntergeladene Konfigurationsveränderungen, wie unter dem physikalischen
Netzabschnitt 84 spezifiziert ist. Darüber hinaus kann, wenn einmal
gebunden, der Logiklöser
unter dem Sicherheitsnetzabschnitt 85 den physikalischen
Pfad in Klammern und der Logiklöser
unter dem physikalischen Netzabschnitt 84 den Logiklösernamen
in Klammern anzeigen. In 2 sind
das Sicherheitslogikgerät 91 und
die Karte C07 auf diese Weise aneinander gebunden.
-
Falls gewünscht, kann ein Binden auch
dadurch erfolgen, dass ein ungebundener Logiklöser unter dem Sicherheitsnetzabschnitt 85 zu
einem ungebundenem Logiklöser
unter dem physikalischen Netzabschnitt 84 gezogen werden
kann, oder ein ungebundener Logiklöser unter dem physikalischen
Netzabschnitt 84 unter den Sicherheitsnetzabschnitt 85 verschoben
werden kann. In jedem Fall führt
das Binden eines Platzhalters an einen physikalischen Logiklöser zu einem
in Klammern gezeigten Bezug. Natürlich
ist das Verschieben eines Platzhalters unter dem Sicherheitsnetzabschnitt 85 zu
E/A unter einem Controller in einem Steuernetzabschnitt nicht unterstützt, so
dass es nicht möglich
ist, eine Logiklöserkarte
unter einem E/A-Gerät
des Prozessrechners zu erstellen. Dies sorgt für eine funktionale Trennung
zwischen den Prozesssteuerungs- und den Sicherheitsgeräten. Niedrigrangigere
Sicherheitselemente wie Sicherheitsfeldgeräte, Sicherheitsbausteine, Parameter,
etc. können
einem bestimmten Sicherheitslogiklöser zugewiesen oder an ihn
gebunden werden, indem eine Anzeige dieser niedrigrangigeren Elemente
an die geeignete Stelle der Bildschirmmaske 83 gesetzt wird.
-
3 stellt
die Kommunikationsverbindungen innerhalb und zwischen den Knoten 18 und 20 der
Prozessanlage 10 ausführlicher
dar. Allgemein ausgedrückt,
sind die Bestandteile von 1,
die in 3 dargestellt
sind, mit denselben Bezugszahlen bezeichnet. Jedoch ist jeder der
Prozessrechner 24 und 26 in 3 als ein redundantes Rechnerpaar 24A, 24B und 26A und 26B dargestellt,
welche irgendwelche standardmäßigen Redundanztechniken verwenden
können.
Gleichermaßen
ist jeder der Sicherheitslogiklöser 50– 56 als ein
Gerätepaar
mit einem primären
Sicherheitslogiklöser 50A, 52A, 54A und 56A und
einem sekundären
Sicherheitslogiklöser 50B, 52B, 54B und 56B in
jedem Paar dargestellt. Wie klar wird, ist jedes Paar der Sicherheitslogiklöser 50–56 an
(in 2 nicht dargestellte)
Sicherheitsfeldgeräte
angeschlossen und kann dieselben Sicherheitslogikbausteine 58 zur
Verwendung bei der Erfüllung
von Sicherheitsfunktionen innerhalb des Sicherheitssystems 14 speichern.
Jedes Paar der Sicherheitslogiklöser 50–56 umfasst
einen zweckgebundenen Bus 50C, 52C, 54C und 56C,
der zwischen den primären
und sekundären
Logiklösern
angeschlossen ist, um Steuerverbindungen zwischen dem Logiklöserpaar
bereitzustellen. Die primären
und sekundären
Logiklöser lassen
gleichzeitig Berechnungen ablaufen und führen sie durch, und die Ausgaben
dieser beiden Geräte
können über die
geeigneten Busse 50C, 52C, 54C und 56C einander
mitgeteilt und bestätigt
werden. Falls gewünscht,
kann das primäre
Gerät eine
Auswahllogik umfassen, die die Ausgabe des Paars der Sicherheitslogiklöser basierend
auf der Ausgabe sowohl der primären
als auch der sekundären
Geräte
bestimmt. Alternativ können
irgendwelche beliebigen oder bekannten Redundanztechniken für die Logiklöserpaare 50–56 verwendet
werden. Darüber
hinaus ist jeder der MPDs 70 und 72 als redundantes
Gerätepaar 70A, 70B und 72A, 72B dargestellt,
wobei die MPDs der verschiedenen Knoten 18 und 20 mit
einem redundanten Paar von knotenübergreifenden Kommunikationsleitungen
oder -bussen 74 verbunden sind. Während die Kommunikationsverbindungen
zwischen nur zwei Knoten 18 und 20 in den 1 und 3 dargestellt sind, wird klar, dass nur
ein einziges oder ein redundantes Paar von MPDs in beliebig vielen
unterschiedlichen Knoten der Prozessanlage 10 angeordnet
und miteinander in einer Ringbusstruktur verbunden sein kann, um
auf irgendeine gewünschte Weise
knotenübergreifende
Verbindungen bereitzustellen. Obwohl im Allgemeinen (aber nicht
unbedingt) ein Ringbuskommunikationsaufbau verwendet wird, werden
die MPDs des ersten Knotens mit den MPDs des zweiten Knotens verbunden,
welcher mit den MPDs des dritten Knotens verbunden wird, usw., wobei
die MPDs des letzten Knotens mit den MPDs des ersten Knotens, alle
jeweils über
den Ringbus 74, verbunden werden. Gibt es, wie in 1 dargestellt, nur zwei
Knoten in der Prozessanlage 10, wird der aus den MPDs 72A und 72B des
Knotens 20 austretende Bus 74 direkt an die Eingänge der
MPDs 70A und 70B des Knotens 18 angeschlossen.
-
Zusätzlich zur Darstellung der
Verbindung zwischen den Rechnern 24 und 26 und
den Arbeitsplatzrechnern von 1,
stellt 3 die Rückwandplatinen 76 ausführlicher
dar. Insbesondere sind am Knoten 18 die Rechner 24A und 24B an
die E/A-Geräte 28, 30 und 32,
an die redundanten Paare der Sicherheitslogiköser 50A, 50B und 52A, 52B und
an das redundante Paar der MPDs 70A und 70B über eine
Schienenbuskommunikationsverbindung 100 angeschlossen,
die vorzugsweise in der Rückwandplatine 76 angeordnet
ist. Genauso sind am Knoten 20 die Rechner 26A und 26B an
die E/A-Geräte 34 und 36,
die Paare der Logiklöser 54A, 54B und 56A, 56B und
an das redundante Paar der MPDs 72A und 72B über eine
Schienenbuskommunikationsverbindung 102 angeschlossen,
die in der Rückwandplatine 76 angeordnet
ist. Die Rechner 24 und 26 verwenden die Schienenbusverbindungen 100 und 102,
um Kommunikationsverbindungen zwischen den Arbeitsplatzrechnern 14 einerseits
und den E/A-Geräten 28, 30, 32, 4 und 36 und
den Sicherheitssystemlogiklösern 50, 52, 54, 56, 70 und 72 andererseits,
sowie Kommunikationsverbindungen zwischen den E/A-Geräten 28, 30, 32, 34 und 36 einerseits
und den Sicherheitslogiklösern 50, 52, 54, 56, 70 und 72 andererseits
bereitzustellen. Anders ausgedrückt
werden die Schienenbusleitungen 100 und 102 als
Kommunikationsnetz verwendet, das es ermöglicht, dass die Sicherheitssystemgeräte innerhalb
der Prozessanlage 10 mit den Prozesssteuerungssystemgeräten auf
einer höheren
Ebene integriert werden können,
so dass dieselben Konfigurations- und Anzeigeanwendungen, die in
den Arbeitsplatzrechnern 14 angeordnet sind, sowohl mit
den Prozesssteuerungssystem- als auch den Sicherheitssystemgeräten kommunizieren,
diese konfigurieren und Information von diesen anzeigen können.
-
Zusätzlich umfasst die Rückwandplatine 76,
wie im Hinblick auf den Knoten 18 dargestellt ist, einen ersten
nicht-hierarchischen oder P2P-Bus (P2P – Peer-to-Peer) 104A,
der die Sicherheitssystemlogiklöser 50 und 52 jeweils
mit dem primären
MPD 70A verbindet, während
ein zweiter P2P-Bus 104B die Sicherheitssystemlogiklöser 50 und 52 jeweils
mit dem sekundären
MPD 70B verbindet. Die ersten und zweiten P2P-Busse 104A und 104B sind
lokale P2P-Busse, die lokale Kommunikationsverbindungen zwischen
den Sicherheitslogiklösern
in einer einzelnen Rückwandplatine 76 sowie
dem MPD 70 bereitstellt, der zur Rückwandplatine 76 gehört oder
mit ihr verbunden ist. Auf ähnliche
Weise umfasst der Knoten 20 einen ersten nicht-hierarchischen Bus
(P2P-Bus) 106A, der die redundanten Paare der Sicherheitssystemlogiklöser 54 und 56 jeweils
mit dem primären
MPD 72A verbindet, während
ein zweiter P2P-Bus 106B jeweils die redundanten Paare
der Sicherheitssystemlogiklöser 54 und 56 mit
dem sekundären
MPD 72B verbindet. Der erste und der zweite P2P-Bus 106A und 106B sind
lokale P2P-Busse, die lokale Kommunikationsverbindungen zwischen
den Sicherheitslogiklösern
und dem MPD 72 in der Rückwandplatine 76 des
Knotens 20 bereitstellen. Wie klar wird, stellen die ersten
und zweiten P2P-Busse 104A, 104B, 106A und 106B redundante
Kommunikationspfade zwischen allen sicherheitsbezogenen Logiklösern 50–56 auf
den jeweiligen Rückwandplatinen 76 bereit.
Falls gewünscht, können die
lokalen P2P-Busse 104 und 106 als Rundrufbusse
wirken, indem jedes an den Bus angeschlossene Sicherheitslogiklöser- und
MPD-Gerät
die Übertragungen
aller anderen Geräte
auf dem Bus empfängt
und immer nur ein Gerät
senden kann. Während 3 zwei an jede der Rückwandplatinen 76 in
den unterschiedlichen Knoten 18 und 20 angeschlossene
Sicherheitslogiklöser
darstellt, können
natürlich
beliebig viele Sicherheitslogiklöser,
die redundante Logiklöserpaare
oder alleinstehende Logiklöser
sein können,
an die Rückwandplatine 76 an
jedem der Knoten 18 und 20 (und dadurch an den
lokalen P2P-Bus 104 oder 106) angeschlossen werden.
-
Falls gewünscht, können sich die Sicherheitslogiklöser die
lokalen P2P-Buseinrichtungen unter Verwendung einer Zeitvielfachzugriffsmethode (TDMA)
teilen, wobei alle lokalen Sicherheitslogiklöser auf einer speziellen Rückwandplatine
miteinander synchronisiert sind. In einem Fall können die lokalen P2P-Busse 104 und 106 ein
RS485 Manchester-codiertes HDLC-Protokoll
mit einem Durchsatz von beispielsweise 2 Mb/sec. verwenden. Dieses
Manchester-Codierschema lässt
die Leitung mit 4 Mb/s anfahren. Die angegebenen Geschwindigkeiten
sind nur beispielhaft, da auch genauso andere geeignete Geschwindigkeiten
und Codierschemata gewählt
werden können.
Darüber
hinaus kann, falls gewünscht,
jeder der lokalen Sicherheitslogiklöser auf einer speziellen Rückwandplatine
seinen Übertragungszeitschlitz
innerhalb des auf der Rückwandplatine 76 verwendeten
TDMA-Schemas basierend auf seiner physikalischen Anordnung auf der
Rückwandplatine 76 bestimmen
oder zugeteilt bekommen, was die Anzahl an Konfigurationsschritten
reduziert, die zum Installieren der Rückwandplatine 76 an
einem bestimmten Knoten erforderlich sind. Noch weiter darüber hinaus
können die
ersten und zweiten P2P-Busse 104 und 106 der Rückwandplatinen 76 jede
beliebige Nachrichtenart unterstützen,
und die physikalischen Verknüpfungen
für die
lokalen P2P-Busse 104 und 106 können in
der Rückwandplatine 76 liegen.
-
Die P2P-Fernbusse 74 verwenden
vorzugsweise eine Ringtopologie, um zuzulassen, dass Daten zwischen
Sicherheitslogiklösern,
die sich an unterschiedlichen Knoten der Prozessanlage 10 befinden
und deshalb auf unterschiedlichen Rückwandplatinen 76 angeordnet
sind, übertragen
werden können.
Die MPDs 70 und 72 sind für die Verbreitung von Nachrichten
um den Ring verantwortlich, der aus dem P2P-Fernbus 74 besteht,
um Nachrichten unterzubringen, die aus einem Sicherheitslogiklöser auf
derselben Rückwandplatine wie
des MPDs 70 oder 72 zum Ring 74 geleitet werden,
und um die Nachrichten, die sich im Ring 74 befinden und
an einen Sicherheitslogiklöser
auf derselben Rückwandplatine
wie eines MPDs 70 oder 72 adressiert sind, zu
eben diesem Sicherheitslogiklöser
zu schicken. Während
jede Anzahl an Nachrichten auf dem P2P-Fernbus 74 verbreitet
werden kann, sieht eine Ausführungsform
ein Maximum von zweiunddreißig
(32) Nachrichten vor, die während jedes P2P-Buszyklus verbreitet
werden sollen. Diese Nachrichten können von 1 bis 32 separaten
und verschiedenen Sicherheitslogiklösern stammen, einschließlich der
Sicherheitslogiklöser 50– 56 auf den
Rückwandplatinen 76 der
Knoten 18 und 20, sowie von irgendwelchen anderen
Rückwandplatinen
auf anderen Knoten in der Prozessanlage 10, die durch den
Ringbus 74 miteinander verbunden werden. Als Ergebnis dieser
Operation können
jedoch alle der Sicherheitslogiklöser im Sicherheitssystem 14 synchron
arbeiten, selbst wenn sie sich an unterschiedlichen Knoten befinden,
weil der Ringbus 74 eine Kommunikationsverbindung zwischen
diesen Geräten
bereitstellt, was ermöglicht,
dass eine Synchronisation erzielt werden kann. Der Ringbus 74 kann
jede gewünschte
Art von Busstruktur und -protokoll einsetzen, verwendet aber vorzugsweise
Punkt-zu-Punkt-Glasfaserkabel mit einem 10Base-T-Ethernet-Protokoll, welches
eine Übertragungsrate von
10 Mb/sec. hat.
-
4 veranschaulicht
einen Impulsplan 300 für
einen einzelnen Buszyklus 302, der auf den lokalen P2P-Bussen 104 und 106 verwendet
wird, und der eine für
die Art und Weise beispielhafte Impulssequenz darstellt, auf die
die P2P-Nachrichten im Verhältnis
zu anderen Aktivitäten
im Sicherheitssystem 14 über den P2P-Bus verschickt
werden. Der Buszyklus 302 reflektiert einen geeigneten
Buszykluszeitrahmen oder eine geeignete Buszyklusdauer und wird
in eine geeignete Anzahl von einzelnen Zeitschlitzen aufgeteilt,
wobei jeder einzelne Zeitschlitz eine ausgewählte Länge hat. Alternativ können alle
einzelnen Zeitschlitze dieselbe festgelegte Länge haben. Ein Fachmann wird
sofort in der Lage sein, eine geeignete Buszyklusdauer und angemessene
Zeitintervalle für
die einzelnen Zeitschlitze je nach dem verwendeten Kommunikationsprotokoll und
anderen bekannten Auslegungserwägungen
wählen.
Auf ähnliche
Weise könnten
außer
TDMA-Verbindungen auch andere Arten von Buskommunikationen auf den
P2P-Bussen 104 und 106 verwendet werden, falls
das so gewünscht
wird.
-
Allgemein ausgedrückt ist der Buszyklus 302 von 4 in eine Anzahl von einzelnen
Zeitblöcken
aufgeteilt. Gemäß dieses
offenbarten Beispiels gibt es vier Zeitblöcke 304, 306, 308 und 310,
jeder mit verschiedenen Anzahlen von Zeitschlitzen mit verschiedenen
Längen.
Im Buszyklus 302 von 4 umfasst
der Zeitblock 304 einen geeignete Anzahl einzelner Zeitschlitze,
wobei jeder Zeitschlitz eine geeignete Länge hat. Auf ähnliche
Weise umfassen die Zeitblöcke 306, 308 und 310 jeweils
eine geeignete Anzahl einzelner Zeitschlitze, wobei die Zeitschlitze
der Zeitblöcke 306, 308 und 310 jeweils
eine geeignete Länge
haben. Die Anzahl und Länge
der einzelnen Zeitschlitze in jedem der Zeitblöcke 304, 306, 308 und 310 kann
basierend auf den Einzelheiten des Kommunikationsprotokolls gewählt werden,
das vom Endbenutzer des Systems 14 gewählt wird. Allgemein ausgedrückt werden
die den Zeitblöcken 304 zugeteilten
Zeitschlitze nicht dazu verwendet, um irgendwelche besondere Nachrichten über den
P2P-Bus 104 oder 106 zu verschicken. Während eines
Abschnitts 312 des Zeitblocks 304 führen die
Logiklöser
auf dem Bus 104 oder 106 jedoch eine Eingabeabtastung durch
(d.h. sie tasten Eingaben aus den daran angeschlossenen Feldgeräten 60 und 62 ab)
und führen
dann die Sicherheitslogikalgorithmen oder -bausteine in den Sicherheitslogiklösern aus.
Natürlich
können,
da diese Aktivitäten
die P2P-Busse 104 und 106 nicht verwenden, dem
Zeitblock 304 alle Nachrichtenarten zugeteilt werden, solange
diese Nachrichtenarten die Abtast- und Sicherheitssteuerungsaktivitäten nicht
stören,
die während
dieser Zeitdauer stattfinden. Jedenfalls kann, wie in 4 angegeben ist, ein Zeitabschnitt 314 verwendet
werden, um Synchronisationssignale zwischen redundanten Sicherheitslogiklöserpaaren
zu verschicken, indem beispielsweise die Leitungen 50C, 52C, 54C und 56C von 3 verwendet werden. Auch
werden während
einer Zeitdauer 316 die einzelnen Sicherheitslogikbausteine
in den Sicherheitslogiklösern
auf den Bussen 104 und 106 ausgeführt und
die Ausgänge
dieser Sicherheitsbausteine berechnet und eingestellt.
-
Während
des Zeitblocks 306 übertragen
die Sicherheitslogiklöser
auf dem Bus 104 oder 106 eine Satz Boolescher
Datenwerte. Die Booleschen Datenwerte werden von den einzelnen Logiklösern generiert
und sind vorzugsweise ein digitales Signal, das ein Ergebnis einer
in den Logiklösern
ablaufenden Logik angibt. In dem offenbarten Beispiel kann sich
solch ein digitales Signal besonders für sicherheitsbezogene Unterbrechungsnachrichten
eignen, die typischerweise im Sicherheitssystem 14 verwendet
werden. Insbesondere wird jeder Sicherheitslogiklöser während der
Blockzeitdauer 306 zum Durchführen dieser Tätigkeit
mit einem oder mehreren Zeitschlitzen versehen, und jeder der anderen
Sicherheitslogiklöser
und jedes der MPD-Geräte
auf dem Bus 104 oder 106 erhalten diese Übertragungen
Boolescher Daten.
-
Während
des dritten Zeitblocks 308 übertragen die Sicherheitslogiklöser ihre
E/A-Ursprungsdatenwerte über
den lokalen P2P-Bus 104 oder 106 in zugeteilten
Zeitschlitzen. Einmal wieder empfängt jeder der anderen lokalen
Sicherheitslogiklöser
auf der entsprechenden Rückwandplatine 76 diese Übertragungen,
während
die MPDs diese ignorieren. Hat jedoch das MPD auf dem Bus 104 oder 106 eine
Boolesche Nachricht mit einer allgemeingültigen Bestimmungsadresse erhalten
(d.h. einer Bestimmungsadresse, die sich auf einer anderen Rückwandplatine
befindet, die mit einem anderen Knoten der Prozessanlage 10 zusammenhängt) verpackt
das MPD diese Nachricht mit anderen solcher allgemeingültigen Nachrichten
und schickt die allgemeingültigen
Nachrichten während
der Zeitdauer 318 über
den allgemeingültigen
P2P-Bus 74 an das nächste MPD
weiter. Während
dieses Vorgangs schicken die MPDs auch (an das nächste MPD im Ring 74)
irgendwelche von anderen MPDs, die sich vorher im Ring befinden,
eingegangene Nachrichten weiter. Ein MPD hört mit dem Weiterschicken einer
Nachricht auf, wenn es Datenwerte sieht, die von lokaler Herkunft
sind.
-
Während
des Zeitblocks 310 verbreitet das MPD allgemeingültige Nachrichten
(Nachrichten, die über den
Bus 74 von anderen entfernt angeordneten Rückwandplatinen
zum MPD kommen) an diejenigen Sicherheitslogiklöser über den Bus 104 und 106,
welche an die Sicherheitslogiklöser
adressiert sind. Da diese allgemeingültigen Nachrichten zuvor vom
MPD auf der entfernt angeordneten Rückwandplatine in eine einzige Nachricht
gepackt wurden, kann ein einziger und relativ großer Zeitschlitz
erforderlich sein.
-
Wie klar wird, sind die MPDs verantwortlich
für das
Verbreiten allgemeingültiger
Boolescher Nachrichten von den Sicherheitslogiklösern auf jeder Rückwandplatine
an andere Sicherheitslogiklöser
auf anderen Rückwandplatinen,
die den Ringbus 74 verwenden. Die MPDs können jedoch
dazu eingesetzt werden, die Kommunikationsaktivität auf den
lokalen P2P-Bussen 104 und 106, den P2P-Fernbussen 74 und
den Sende- oder Empfangsabschnitt der entsprechenden Schienenbusse 90 zu überwachen.
Falls gewünscht,
ist das erste MPD (z.B. 70A oder 72A) an den entsprechenden
ersten lokalen P2P-Bus 104A oder 106A, an den
ersten P2P-Fernbus 74A und
die Übertragungsseite
der entsprechenden Schienenbusse 90 und 92 angeschlossen. Alternativ
sind die zweiten MPDs 70B und 72B an die entsprechenden
zweiten lokalen P2P-Busse 104B bzw. 106B, den
zweiten P2P-Fernbus und die Empfangsseite der Schienenbusse 90 und 92 angeschlossen.
Auf diese Weise können
die MPDs jegliche Aktivität
auf den Schienenbussen 90 und 92 und den lokalen
und P2P-Fernbussen 104, 106 und 74 überwachen.
Falls gewünscht,
können
die MPDs alle Nachrichten sammeln und zeitprotokollieren, bevor
sie sie beispielsweise auf dem Bus 74 unter Verwendung
eines 10BaseT-Ethernet-Überwachungsports
verschicken. Es kann ein externer Ethernet-Paketschnüffler verwendet
werden, um alle Nachrichten, die vom Überwachungsport kommen, festzuhalten
und zu visualisieren. In einem Beispiel kann jede der Rückwandplatinen 76 zweiunddreißig (32)
sicherheitsbezogene E/A-Karten und zwei (2) Nachrichtenverbreitungsgeräte (MPDs)
tragen.
-
Die Herkunftsadresse für die verschiedenen
Sicherheitslogikgeräte
und MPDs kann aus Schienenbusnachrichten abgeleitet werden, kann
aus einer Rückwandplatinen-ID
(BPID – backplane
ID), die an jedem Knoten gleich, aber innerhalb der Prozessanlage
einzigartig ist, und einer Schlitz-ID (SID – slot-ID) bestehen, die sich
von Knoten zu Knoten wiederholen kann, aber innerhalb eines Knotens
einzigartig ist. Auch können
die Sicherheitslogiklöser
ihre Sendezeitschlitze (relativ zu anderen Geräten) im lokalen P2P-Bus 104 oder 106 aus ihrer
SID ableiten. Falls gewünscht,
können
die Rückwandplatinen
an verschiedenen Knoten miteinander auf innerhalb 10 ms synchronisiert
werden.
-
Vorzugsweise werden Nachrichten über den
P2P-Fernbus 74 in der Reihenfolge übertragen, in der sie empfangen
werden, und werden nur während
des Dateneingangsabschnitts 308 eines P2P-Buskommunikationszyklus
als Gruppe verschickt. Falls gewünscht,
können
die Sicherheitslogiklöser
in angrenzenden Schlitzen, beispielsweise die Logiklöser 50A und 50B,
basierend auf Ihrer Position in der Rückwandplatine 76 automatisch
so konfiguriert werden, dass sie redundant und das primäre oder
sekundäre
redundante Gerät
sind. Der Redundanzbus 50C, 52C, etc., kann in
der Rückwandplatine 76 angeordnet
werden, um das Paar redundanter Geräte zu verbinden. Allgemein
ausgedrückt, überträgt der aktive
oder primäre
Sicherheitslogiklöser
die allgemeingültigen
Booleschen Nachrichten, wenn er dazu konfiguriert ist, während der
sekundäre
oder im Bereitschaftszustand befindliche Sicherheitslogiklöser des
redundanten Paars keine allgemeingültigen Booleschen Nachrichten überträgt, so dass
die MPDs nur allgemeingültige
Boolesche Nachrichten aus dem primären oder aktiven Sicherheitslogiklöser verbreiten.
Selbstverständlich
erhält
der sekundäre
oder im Bereitschaftszustand befindliche Sicherheitslogiklöser in einem
redundanten Paar seine Konfiguration vom aktiven oder primären Logiklöser über die
Redundanzverbindung 50C, 52C, 54C oder 56C.
Der im Bereitschaftszustand befindliche Sicherheitslogiklöser erhält seine
Booleschen und E/A-Daten vom aktiven Gerät über die P2P-Verbindung 104 oder 106.
Im Falle eines Umschaltens bei Ausfall (Umschalten zwischen dem
aktiven und dem im Bereitschaftszustand befindlichen Sicherheitslogiklöser) wird
der neu aktivierte Sicherheitslogiklöser das Senden im selben Zeitschlitz
auf dem lokalen P2P-Bus 104 oder 106 beginnen,
der zuvor vom ausgefallenen aktiven Gerät benutzt wurde. Falls der
aktive Sicherheitslogiklöser
bei einer bestimmten Anzahl von Zeitschlitzen nicht überträgt, kann
der im Bereitschaftszustand befindliche Sicherheitslogiklöser automatisch
als aktiver Sicherheitslogiklöser übernehmen,
der neue aktive Sicherheitslogiklöser wird aber in diesem Fall in
seinem eigenen lokalen Zeitschlitz senden und nicht im Zeitschlitz
des zuvor aktiven Sicherheitslogiklösers.
-
Die folgende Methodik kann verwendet
werden, um die an einen lokalen P2P-Bus 104 oder 106 angeschlossenen
Sicherheitslogiklöser
zu synchronisieren. Zuerst werden die Geräte mit Strom versorgt und es werden
die BPID und SID von der Rechnervorrichtung (welche den Schienenbus 90 oder 100 verwaltet)
zugeteilt. Als Nächstes
beginnen die Logiklöser,
Pakete aus dem P2P-Bus 104 oder 106 zu empfangen
und zu analysieren, indem sie Zeitschlitze verwenden, wie durch
die SID bestimmt ist. Diese Tätigkeit
wird eine „Warte
bis zum Übertragen" lange Anzahl von
Sekunden durchgeführt,
welche sich berechnen lässt
als:
Warte bis zum Übertragen
(sec) = ((64)(Zeitschlitzdauer)) + ((mein Zeitschlitz – 1)(Zeitschlitzdauer))
-
Gehen keine P2P-Buspakete ein, bevor
die Sekunden „Warte
bis zum Übertragen" verstrichen sind, überträgt der Sicherheitslogiklöser unverzüglich eine
Nachricht „NICHT
KONFIGURIERT" („NOT CONFIGURED") an den lokalen
P2P-Bus 104 oder 106. Erhält jedoch der Sicherheitslogiklöser ein
oder mehrere Pakete während
der Zeit „Warte
bis zum Übertragen", verwendet er die
Zeit und den Zeitschlitz dieser Nachrichten, um die relative (zeitliche)
Position seines eigenen Übertragungszeitschlitzes
zu bestimmen.
-
Allgemein ausgedrückt, synchronisieren sich die
MPDs auf einer Rückwandplatine
auf den lokalen Bus 104 oder 106. In Abwesenheit
eines Sichheitslogiklösers
jedoch, welcher diese Synchronisierung bereitstellt, überträgt das MPD
nicht auf dem lokalen P2P-Bus, und stimmt sich erst auf den lokalen
Bus ein, wenn ein lokaler Sicherheitslogiklöser zu senden beginnt. Empfängt das
MPD eine Nachricht von einem lokalen Sicherheitslogiklöser, kann
es seinen Zeitschlitz bezüglich
dieses Sicherheitslogiklösers
bestimmen.
-
Obwohl das eingebettete Sicherheitssystem
beliebig viele mögliche
Nachrichtenstrukturen oder Kommunikationsprotokolle verwenden kann, kann
die folgende Nachrichtenstruktur auf den lokalen P2P-Bussen 104 und 106 und
dem P2P-Fernbus 74 verwendet werden.
-
Alle lokalen P2P-Busnachrichten umfassen
im Allgemeinen drei grundlegende Teile, die einen Datenvorlauf umfassen,
(z.B. 1 Byte), einen Daten- oder Nachrichtenteil (z.B. 129 Bytes)
und einen Datennachlauf (z.B. 1 Byte). Die Datenvorlauf- und Nachlaufteil
sind für
eine Hardwaresynchronisierung vorgesehen, während der Datenteil die tatsächliche
Nachricht enthält,
die eine Bedeutung für
eine bestimmte Adresse hat. Falls gewünscht, kann eine Hardwarebiteinfügung im
Nachrichtenteil der Nachrichtenstruktur auf hoher Ebene erfolgen.
-
Allgemein ausgedrückt ist der Daten- oder Nachrichtenteil
einer Nachricht in sieben Felder mit einer Gesamtlänge von
bis zu einer maximal verfügbaren
Länge für eine bestimmte
Anwendung aufgeteilt. Beispielsweise kann es 138 verfügbare Bytes
geben (einschließlich
11 Bytes der Protokollorganisation). Der Nachrichtenteil kann eine
2-Byte-Quellenadresse,
eine 2-Byte-Bestimmungsadresse, ein 1-Byte-Typenfeld, ein 1-Byte-Gerätestatusfeld,
ein 1-Byte-Längenfeld,
ein 0- bis 128-Byte-Nachrichtenfeld
und ein 4-Byte-CRC-Feld umfassen, welches zyklische Redundanzdaten
bereitstellt.
-
Beispielsweise enthält in einer
Verwendungsweise für
diese Felder das Quellenadressenfeld die Adresse des Sendegeräts. Das
hochrangigere Byte enthält
die Rückwandplatinen-ID
(BPID), also die Rückwandplatinenkennung,
und das niedrigrangigere Byte enthält die Schlitz-ID (SID), also
die Schlitzkennung. Bevor der Sicherheitslogiklöser keine konfigurierte QUELLENADRESSE
hat, kann er auf dem lokalen P2P-Bus weder senden noch empfangen.
Beim Hochfahren erhält
jeder Logiklöser über den
Schienenbus seine komplette QUELLENADRESSE (SOURCE ADDRESS). Der
Rückwandplatinen-ID-Teil
(BPID-Teil) der QUELLENADRESSE ist gleich wie das niedrigwertigste
Oktett der ID-Adresse des Rechners eingestellt. Der Schlitz-ID-Teil
(SID-Teil) der QUELLENADRESSE wird von den Schienenbusnachrichten
des Prozessrechners abgeleitet. Vorzugsweise kommuniziert (sendet
oder empfängt)
jeder Sicherheitslogiklöser
erst dann, wenn er eine vollständige
QUELLENADRESSE hat.
-
Ein Feld BESTIMMUNGSADRESSE (DESTINATION
ADDRESS) enthält
die Adresse des Bestimmungsgeräts.
Das hochrangigere Byte enthält
die BPID, und das niedrigrangigere Byte enthält die SID. Ist das hochrangigere
Byte HB = 0 und das niedrigrangigere Byte LB = 0, ist die Nachricht
für alle
entfernt und lokal angeordneten Sicherheitslogiklöser auf
dem Bus gedacht. Ist HB = BPID und LB = 0, ist die Nachricht für alle Knoten
auf der lokalen Rückwandplatine
gedacht. Ist HB = BPID und LB = 0, ist die Nachricht für eine spezielle SID
auf einer lokalen Rückwandplatine
gedacht. Ist schließlich
HB = 0 und LB = 0, ist eine unzulässige Adresse angegeben.
-
Das Feld ART (TYPE) der Nachricht
enthält
Information hinsichtlich der Art von Nachricht, die in diesem Nachrichtendatenfeld
enthalten ist. Es kann eine Anzahl unterschiedlicher Nachrichten
festgelegt werden.
-
Das Feld GERÄTESTATUS (DEVICE STATUS) kann
auf geeignete Weise aufgeteilt werden, um beispielsweise den Diagnosestatus
(der keinen Fehler oder einen Fehler anzeigt), den Umschaltstatus
(der keinen Fortschritt oder einen Fortschritt anzeigt), die Rechnerbetriebsart
(die eine normale Betriebsrat oder eine Entwicklungsbetriebsart
anzeigt), den Sicherheitsauslösungsstatus
(der nicht ausgelöst
oder ausgelöst
anzeigt), den Redundanzstatus (der nicht redundant oder redundant
anzeigt), den Konfigurationsstatus (der nicht konfiguriert oder
konfiguriert anzeigt), die Rechnerart (die vom Logiklöser bestimmt
ist und anzeigt, ob er in Bereitschaft oder aktiv ist), und die
Betriebsart anzeigt (der Betriebsartwert kommt über den Bus vom Rechner und
zeigt eine Entwicklungs- oder eine normale Betriebsart an).
-
Das Feld LÄNGE (LENGTH) enthält die Länge in Bytes
des anstehenden Felds NACHRICHTENDATEN (MESSAGE DATA) und ist nachrichtenabhängig.
-
Das Feld NACHRICHTENDATEN ist das
Nutzdatenfeld der Nachricht, die entsprechend der ART der Nachricht
formatiert ist und eine von der Nachricht abhängige Länge hat.
-
Schließlich berechnet sich noch das
Feld CRC oder Cyclic Redundancy Check/Code aus den Feldern QUELLENADRESSE,
ART, GERÄTESTATUS,
LÄNGE und
NACHRICHTENDATEN und ist auch nachrichtenabhängig.
-
In dem offenbarten Beispiel können P2P-Fernbusnachrichten
nur zwischen MPDs verschickt werden. Allgemein ausgedrückt, sind
alle P2P-Fernbusnachrichten
im Abschnitt DATEN eines Ethernet IEEE 802.3 Protokollpakets eingeschlossen,
das zum Beispiel, einen 7-Byte-Datenvorlauf,
einen 1-Byte-Bildstartbegrenzer, eine 6-Byte-Bestimmungsadresse, eine 6-Byte-Quellenadresse,
ein 2-Byte Feld Art/Länge,
ein 46- bis 1500-Byte Datenfeld und ein 4-Byte-Bildprüffolgenfeld
umfasst.
-
Bekanntlich beginnt das Bild mit
einem 7-Byte-Datenvorlauf aus abwechselnden Einsen und Nullen. Ist
das Bild Manchester-codiert, gibt der Datenvorlauf den Empfangsstationen
ein bekanntes Muster, an das sie sich anhängen. Der Bildstartbegrenzer
folgt auf den Datenvorlauf und kündigt
den Beginn des Bilds an. Die Bestimmungs- und Quellenadressen sind
jeweils allgemein irrelevant, weil die Empfänger in gemischter Betriebsart
auf Empfang stehen.
-
Das Ethernet-Feld ART/ das IEEE 802.3-Feld
LÄNGE bedeutet
das Protokoll, das im restlichen Bild verwendet wird, und das Feld
LÄNGE legt
die Länge
des Datenteils des Bildes fest. Damit Ethernet- und IEEE802.3-Bilder gemeinsam
auf demselben LAN vorkommen können,
muss sich das Längenfeld
des Bildes immer von irgendwelchen verwendeten Artenfeldern unterscheiden.
Diese Tatsache schränkt
die Länge
des Datenteils des Bildes auf 1.500 Bytes und die gesamte Bildlänge auf
1.518 Bytes ein. Für
die Sicherheitslogiklöseranwendung
wird die Art Ethernet und die Länge
des Datenfelds die Größe der Nachrichten
sein. Das Datenfeld enthält
die Nachricht, die von einem Sicherheitslogiklöser verschickt wird. Nachrichten,
deren Datenlänge
weniger als 46 Bytes beträgt,
werden aufgefüllt.
Bekanntlich sind die 4 Bytes des Bildprüfabfolgefelds ein standardmäßiges 43-bit-CCITT-CRC-Polynom.
-
Falls gewünscht, wird der Datenteil der
Nachrichtenstruktur auf hoher Ebene in drei Felder mit einer Gesamtlänge von
bis zu maximal 551 Bytes (einschließlich 6 Bytes für die Protokollorganisation)
aufgeteilt. Darüber
hinaus sorgt die Nachrichtenstruktur auf niedriger Ebene für 256 Nachrichtenarten.
Das Artenfeld kennzeichnet jede Nachrichtenart eindeutig, und die
Nachrichtenart besitzt einen entsprechenden Wert für das Längenfeld,
welches die Länge
des Datenteils jeder Nachricht festlegt. Bei den Nachrichtenarten
kann es sich um eingeschlossene Boolesche Daten handeln, wobei irgendeine
Anzahl von 1–32
Boolesche Datennachrichten in der Gesamtnachricht eingeschlossen
sind. Natürlich
könnten
auch andere Arten von Nachrichten verschickt werden, falls das so
gewünscht
wird.
-
Während
die vorliegende Erfindung mit Bezug auf spezielle Beispiele beschrieben
wurde, die nur veranschaulichend für die Erfindung sein und sie
nicht einschränken
sollen, wird es für
den durchschnittlichen Fachmann offensichtlich sein, dass Änderungen,
Hinzufügungen
und Weglassungen an den offenbarten Ausführungsformen vorgenommen werden
können,
ohne dass dabei vom Aussagegehalt und Umfang der Erfindung abgewichen
würde.
-