用于在控制和安全系统之间的改进协作的系统和方法

摘要

提供用于监视和控制分离地提供在安全子系统和过程控制子系统中的多个现场装置的系统和方法。现场装置包括与一个或多个过程或子过程相关联的常规安全子系统现场装置，和与所述过程或子过程中的一个或多个相关联的常规过程控制子系统现场装置。集成的和协作的系统使用互补现场装置数据，这些互补现场装置数据包括与同一过程或子过程对应的安全子系统现场装置和过程控制子系统现场装置的映射。信号从损害的现场装置接收，并且将其功能委托给其互补现场装置，该互补现场装置由互补现场装置数据指示。

说明书

相关申请

本申请要求在2008年9月30日提交的美国临时专利申请No.61/194,878的利益，该临时专利申请的公开通过参考全部包括在这里。

技术领域

本发明涉及用来监视和控制与商业和工业过程一道使用的现场装置的调节控制系统和安全停机系统及方法，并且具体地说，涉及用于在控制和安全系统之间的改进协作的系统和方法。

背景技术

在设计用于诸如化工厂、石油化学设施、制造工厂等之类的商业和工业过程的自动过程控制系统时，常规作法是，保持冗余拓扑，具有与工厂的调节控制系统相独立的安全停机系统。这种作法的根源在于相信，保持两个完全分离的系统降低使全部自动过程禁用的单一失效的危险。另外，这种隔离常常由适用标准要求。

如这里使用的那样，术语“现场装置”包括传感器和最终控制元件。最终控制元件包括泵、阀、阀执行器等。传感器包括用来监视各种各样的变量的开关和发射器，这些变量包括但不限于，阀位置、转矩、液位、温度、压力、流率、功率消耗、及pH。对于过程仪器领域的技术人员熟知的其它布局也用在这里。

如这里使用的那样，“商业和工业处理设施”包括化工厂、石油化学设施、制造工厂、或使用分离安全系统现场装置和过程控制现场装置的任何设施。

因而，现有技术的典型设施，如图1所示，具有安全系统30(也称作“安全停机系统”、“紧急停机系统”、“ESD”、“ESS”、“安全检测系统”或“SIS”)和过程控制系统40(也称作“调节控制系统”)。安全系统30包括独立计算机32(也称作“安全逻辑解算器”或“SLS”)，该独立计算机32与在多个组25₁、25₂、25₃...25_M中的现场装置(也称作“安全检测功能”或“SIF”)相通信，这些现场装置与在设施中操作的子过程相关联。计算机32包括处理器、存储器及相关联的计算机硬件和软件，以监视和控制一个或多个工厂子过程和实施SIF。安全系统30对于组25₁、25₂、25₃...25_M中的每一个也包括一个或多个完全系统传感器36(例如，热传感器“HS”和压力传感器“PS”)和一个或多个安全系统最终控制元件38。

过程控制系统40包括计算机42(也称作“分布控制系统”或“DCS”、或“基本过程控制系统”或“BPCS”)，该计算机42与在多个组24₁、24₂、24₃...24_M中的现场装置相通信，这些现场装置与在设施中操作的子过程相关联，这些子过程与具有在安全系统30的组25₁、25₂、25₃...25_M中的现场装置的子过程相关。计算机42包括处理器、存储器及相关联的计算机硬件和软件，以监视和控制一个或多个工厂子过程和实施过程控制功能。过程控制系统40对于组24₁、24₂、24₃...24_M中的每一个也包括一个或多个过程控制系统传感器46(例如，热传感器“HS”和压力传感器“PS”)、和一个或多个过程控制系统最终控制元件48。操作过程和访问口令对于两个系统30和40是不同的，由此强化在它们之间的分离，并且将访问局限于适当训练和授权的人员。

常规设计保证在相应系统的中央处理器之间，即在安全系统计算机32与过程控制系统计算机42之间的信息交换。比如，授予Fisher-Rosemount Systems，Inc.的美国专利No.6,975,966和相关U.K.专利公报GB2445636描述了一种软件模块，该软件模块向观察来自在工厂内的过程控制系统控制器和安全系统控制器两者的各种参数的用户接口提供区分信号是来自过程控制系统控制器还是安全系统控制器的指示符。使用分立过程控制系统控制器和安全系统控制器的各个功能，从该用户接口可使某些定警报起作用。

然而，Fisher-Rosemount系统没有设想，当装置由于内部故障停止使用或禁用时在安全检测功能(“SIF”)或调节控制环路内的互补传感器或最终控制元件的自动使用。就是说，对于32SLS不存在与在现场级别下的调节控制装置46、48直接通信的通信能力，或对于DCS 42不存在与安全系统30的现场装置36、38直接通信的通信能力。而是，在现有技术系统中通过安装多个传感器以测量具体过程参数，例如流量、压力、液位、或温度，和通过安装多个最终控制元件以隔离同一过程管线，实现在安全停机系统中的冗余性。按相同方式实现在调节控制系统中的冗余性。传感器和最终控制元件的冗余组的每一个对于其相应系统的中央处理器独立地通信，并且在Fisher-Rosemount系统中，从共用用户接口可观察到分离通信和使其起作用；然而，在安全系统与控制系统之间不存在协作。

当传感器在安全检测功能内失效时，普通现有技术手段使用择多逻辑决定-进行过程。在择多逻辑过程中，如果预定数量的装置失效或提供在希望范围外的读数，则做出装置是应该断开还是保持稳定的决定。比如，关于紧急停机系统利用三个传感器的安全检测功能可设置在“三中取二”逻辑下，从而如果两个装置失效或读数在希望范围外，则相关联的装置断开。通常使用其它决定逻辑级别，例如“一中取一”、“二中取一”、“三中取一”、“四中取一”、“二中取二”、“三中取二”、“四中取二”、“三中取三”等。决定逻辑级别的选择取决于系统的关键性、可靠性要求、及相关联的危险。相应地，例如，在“三中取二”决定逻辑结构中，如果三个传感器中的两个提供表示过程在范围外的读数，那么安全检测功能将启动断开，即停机，的命令。基于剩余传感器的这样的决定逻辑或者将影响工厂的可靠性，或者将导致工厂的不必要断开。

在安全系统的实施中的另一种普通现有技术包括冗余最终元件的使用，如紧急停机阀的使用，以对于工厂或工厂的一部分执行停机。如果在安全检测功能内的阀的一个或多个有故障，那么安全检测功能和安全逻辑解算器可通过作为预防措施的剩余健康阀，使具有该安全检测功能的相关联系统停机。

在常规商业和工业过程中的另外问题涉及独立系统的例行维护。自诊断学以前限于作为潜在问题的症状从物理装置收集信息。常规手段依赖于人和外部软件包，而诊断问题的程度和决定装置是否应该从服务中除去。设备维护和跟踪系统，如从德国SAP AG of Walldorf可买到的软件系统，按预定间隔产生用于功能测试的工作顺序(work order)，从而定期地测试每个现场装置。在多数情况下，结束测试非常耗时，要求人工进行维护检查，以探测装置失效和向操作人员发出装置的禁用状态的警告。此外，大型设备可具有超过10,000的安全相关数据点。相应地，常规诊断和维护方法要求在现场或工厂环境中大量人员存在，以进行这些日常功能检查和校准，由此增加操作人员对于有害环境的暴露。这也增加人为错误的可能性，人为错误可损坏现场装置，使它们未能完成它们的打算功能。手动功能测试仅可以每季、每半年、或每年进行，导致可在高达几个月内保持未探测到停工。

此外，现有技术的设备维护和跟踪系统典型地独立于其它系统，如安全系统30和过程控制系统40，被管理。相应地，如果除工作顺序-规定的功能测试之外的操作要求现场装置被测试、修理及更换，则在常规设备维护和跟踪系统中不考虑这种信息。

因此，存在对于商业和工业过程的改进效率的需要，同时仍然维持优良的可靠性和功能分离，包括过程控制系统和安全系统的分离。

相应地，本发明的目的是维持在安全系统与过程控制系统之间的冗余拓扑，同时在一个或多个相关现场装置的失效的情况下，提供用于在紧急停机系统与过程控制系统之间的增加和改进协作的系统、设备及方法。

本发明的另一个目的是，将增强诊断能力并入到这样的系统中。

本发明的另外目的是，提供实现在典型商业和工业处理设施中常常是大量现场装置的管理的效率的装置。

发明内容

本发明的以上目的和另外优点由本发明的系统和方法提供，这些系统和方法用于在商业和工业处理设施的控制和安全系统之间的改进协作。

根据本发明的一个方面，提供用来监视和控制多个现场装置的一种系统和方法，这些现场装置分离地提供在安全子系统和过程控制子系统中。现场装置包括与一个或多个过程或子过程相关联的常规安全子系统现场装置、和与所述过程或子过程中的一个或多个相关联的常规过程控制子系统现场装置。集成和协作系统使用互补现场装置数据，这些互补现场装置数据包括与同一过程或子过程相对应的安全子系统现场装置和过程控制子系统现场装置的映射。信号从损害的现场装置接收，并且将其功能或各功能委托给其互补现场装置，该互补现场装置由互补现场装置数据指示。

根据本发明的另外方面，提供用来管理多个现场装置的集成监视、控制及设备维护和跟踪系统和方法。集成和协作系统包括监视和控制系统，该监视和控制系统使用安全子系统现场装置数据和过程控制子系统现场装置数据。当例如由安全系统和/或过程控制系统确定损害的现场装置时，关于测试、维护、修理或替换的信息输送到监视和控制系统。在本发明的一个方面，这种信息用来修改由设备维护和跟踪系统创建的工作顺序，使得损害的现场装置、或在损害的现场装置的位置处的现场装置不经受不必要的或过分冗余的测试。在本发明的另一个方面，这种信息用来修改由设备维护跟踪系统创建的现场装置例行维护计划，该现场装置例行维护计划包括用于损害的现场装置、或在损害的现场装置的位置处的现场装置的例行维护。修改基于由监视和控制系统处理器的指令产生模块产生的指令，使得现场装置不经受不必要的或过分冗余的测试。

附图说明

下面更详细地并且参照附图将描述本发明，在附图中，相同或相似的元素由相同或相似的附图标记指示，其中：

图1是代表现有技术的过程体系结构的示意图；

图2是本发明的复合过程控制和安全系统的过程体系结构的示意图；

图3是在本发明的复合调节控制和安全停机系统中包括的高级诊断和控制模块的方块图；

图4是在本发明的复合调节控制和安全停机系统中包括的交互式传感器诊断监视器的方块图；

图5是智能安全和控制积分器的方块图，该智能安全和控制积分器与安全停机系统相联，并且包括在本发明的复合调节控制和安全停机系统中；

图6是智能安全和控制积分器的方块图，该智能安全和控制积分器与调节控制系统相联，该调节控制系统包括在本发明的复合调节控制和安全停机系统中；

图7是用来实施根据本发明实施例的系统的计算机装置的方块图，该系统用来监视和控制多个现场装置；

图8是使用本发明的系统和方法为了维持高安全级别执行的步骤的过程流程图；

图9是设备维护和跟踪系统的方块图，该设备维护和跟踪系统与根据本发明的复合过程控制和安全停机系统集成；

图10是根据本发明的用于改进的设备维护和跟踪的一个方面的过程流程图；

图11是根据本发明的用于改进的设备维护和跟踪的另一个方面的过程流程图；

图12是表格，表明用于传感器接口的症状/诊断矩阵；及

图13是表格，表明用于最终控制元件接口的症状/诊断矩阵。

具体实施方式

本发明广泛地综合用于商业和工业处理设施的复合调节控制和安全停机系统。在其中自动过程控制现场装置正在适当地起作用的条件期间，复合调节控制和安全停机系统作为两个独立系统操作，具有为高可靠性提供的冗余拓扑。在将现场装置从服务中除去的故障状态或维护操作的情况下，本发明的系统和方法实时地探测状态或操作，并且利用互补现场装置，使得设备不暴露于增大安全性危险或降级过程控制。

本发明的调节控制系统包括：控制环路的常规布置，包括过程测量装置，如传感器；最终控制元件，如泵、控制阀、电磁阀等；及控制处理器(“DCS”)。另外，本发明的系统包括一个或多个高级诊断和控制模块(“ADCM”)、一个或多个交互式传感器诊断监视器(“ISDM”)、及智能安全和控制积分器(ISCI-C)。

类似地，本发明的安全停机系统包括：安全检测功能的常规布置，包括过程测量装置、最终控制元件及控制处理器(“SLS”)。另外，本发明的系统包括一个或多个ADCM、一个或多个ISDM、及智能安全和控制积分器(“ISCI-S”)。

在本发明的一个实施例中，ISCI-C与DCS接口，并且ISCI-S与SLS接口。ISCI-C包括存储器，在该存储器中存储现场装置的拓扑映射，这些现场装置包括调节控制传感器和最终控制元件。对于这些现场装置中的每一个，ISCI-C也包括在安全停机系统中的互补装置的映射。同样，ISCI-S包括存储器，在该存储器中存储现场装置的拓扑映射，和在调节控制系统中的互补装置的映射。

ADCM与最终控制元件接口，并且ISDM与传感器接口。每个现场装置接口(ADCM或ISDM)具有机载计算能力，例如集成电路，该集成电路包括处理器，该处理器可操作地连接到相关联的存储装置，该存储装置具有存储关键诊断学和诊断故障或状态的能力，这些故障或状态会损害装置而不能完成其打算的功能。每个现场装置接口也包括要求的通信接口硬件和软件，以与主控制器(SLS或DCS)、在安全检测功能内的相邻装置或过程控制环路通信，并且与ISCI通信。

因而，本发明维持在每个现场装置与主控制器、安全逻辑解算器或基本过程控制系统之间的常规通信路径，同时包括从ISDM或ADCM到相关联的ISCI和从ISDM或ADCM到相关联的现场装置和到相邻现场装置的另外通信路径，这增强提供的协作功能性。

本发明的某些方面可使用无线系统实施，如由the International Society of Automation Wireless Systems for Automation Standards Committee定义的SP100无线标准，尽管对于本领域的技术人员将显然的是，其它标准，如ZIGBEE^TM、无线LAN(包括IEEE 802.11)、无线PAN(包括IEEE 802.15)、无线Hart，也是适用的，并且可被利用。本发明的另外方面使用硬连线网络实施，如使用Fieldbus Foundation for Safety Instrumented Functions(“FF-SIS”)标准，尽管其它适当标准存在并且可被采用。

本发明的系统和方法保证，使用在SLS内的现有逻辑维持必要的安全功能，而同时解决如下事实：由于要求的维护或由在现场装置内发生的故障引起的失效，安全装置被例行地停止使用，或者意外地被禁用。另外，本发明的系统和方法在正常条件下维持安全功能和控制功能的完全分开的“最好实施”，同时撬动(leveraging)互补传感器和最终控制元件的使用，以实现系统性能的改进可靠性、适用性及协作，该系统性能包括生产操作和紧急停机操作。

本发明的系统和方法也提供改进的诊断能力，这些改进的诊断能力超越在现有技术系统和方法中可得到的症状的收集，允许现场接口单元诊断问题和应用系统的逻辑协议，以在装置级别下决定是否要执行打算的功能。诊断测试被连续地进行，并且如果认为现场装置被视为处于“停用”，则将这种状态实时地通信到相关联的ISCI和相邻现场装置。这提供优于现有技术的显著优点，现有技术典型地要求操作人员物理地访问每个装置以诊断何时装置已经失效，或者使用分离诊断软件系统扫描和评估装置的健康。本发明的系统和方法因而降低在延长时间段内危险故障保持未探测到的风险，减少设备人员对于有害现场条件的暴露，及降低可引起现场装置的无意禁用的人为错误的风险。

本发明的系统和方法还通过集成与由安全系统或过程控制系统启动的现场装置的测试、修理及/或更换有关的信息，保证设备维护和跟踪系统的高效操作，由此降低在工作顺序产生功能测试期间的工作负荷。

现在将详细参考本发明的实施，本发明的例子表明在附图中。

如以上在相关技术的描述中描述的那样，图1表示用于油气处理设施的常规过程控制系统40和安全系统30的拓扑。过程控制系统40具有计算机42，例如DCS控制器，该DCS控制器借助于具有传感器46和最终控制元件48的控制环路，控制和监视控制环路组24₁、24₂、24₃...24_M。安全停机系统30具有计算机32，例如SLS控制器，该SLS控制器控制和监视具有传感器36和最终控制元件38的SIF组25₁、25₂、25₃...25_M。根据常规手段，在两个系统30和40之间有很少通信，并且它们分别作为用于安全功能和控制功能的独立系统操作。

根据本发明，如在图2中表明的那样，提供复合调节控制和安全停机系统100，该复合调节控制和安全停机系统100包括在安全系统与过程控制系统之间的冗余拓扑，同时允许在现场装置失效的情况下在两个系统之间的协作和增强通信。当自动过程控制现场装置正在适当地起作用时，安全停机子系统130和调节控制子系统140起两个独立系统的作用，具有保证高可靠性的冗余拓扑。

系统100包括：(a)ADCM现场接口单元159，在最终控制元件38、48处，(b)ISDM现场接口单元157，在传感器36、46处，及(c)智能安全和控制积分器(“ISCI”)162、172，包括安全相关原因和效果图的用户可配置覆盖(overlay)、和在相同服务中使用的过程控制传感器和最终控制元件。图3和4分别表示ADCM现场接口单元159和ISDM现场接口单元157的实施例。此外，图5和6分别表示ISCI-S和ISCI-C。

根据本发明，在控制环路组24₁、24₂、24₃...24_M中的各个现场装置或现场装置组映射到互补现场装置或现场装置组，即这些互补现场装置或现场装置组将感测或控制元件功能提供给在SIF组25₁、25₂、25₃...25_M中的相关联的工厂设备。同样，在SIF组25₁、25₂、25₃...25_M中的各个现场装置或现场装置组映射到在控制环路组24₁、24₂、24₃...24_M中的互补现场装置或现场装置组。互补现场装置的映射构成互补现场装置数据，这些互补现场装置数据存储在一个或多个计算机的存储器中，这些计算机按照本发明执行监视和控制功能。另外，如这里更详细说明的那样，在系统100中的计算机的或在执行在系统100中的计算机的监视和控制功能的一些或全部的计算机中的一个或多个处理器包括协作模块，该协作模块从损害的现场装置接收信号，并且将该损害的现场装置的功能或各功能委托给其互补现场装置，该互补现场装置由互补现场装置数据指示。因而，在将现场装置从服务中除去的故障状态或维护操作的情况下，本发明实时地探测状态或操作，并且协调安全系统和控制系统，使得将适当功能赋予互补现场装置，以致设备不暴露于增大的危险和/或降级的控制。

在一个实施例中，优选硬连线网络是FF-SIS，并且优选硬连线网络基于SP100标准，该SP100标准打算用在2.4GHz频带中，并且允许数据在约100至约400米内以高达250kbps的速度传输。

图3是ADCM现场接口单元159的方块图，该ADCM现场接口单元159与最终控制元件38、48一道使用，并且包括在复合调节控制和安全停机系统100中(表明在图2中)。ADCM现场接口单元159包括处理器282，如中央处理单元，该处理器282与存储器284相关联。存储器284通常包括易失(RAM)和非易失(ROM)存储单元，并且将软件或固件程序存储在程序存储部分中和将数据存储在数据存储部分中。具体地说，在本发明的系统中存储的数据可包括：信息285，与相关的联现场装置相关，如装置的类型、装置标识、投入使用的日期、诸如用于行程的必要阀力之类的操作参数等等；信息286，与互补现场装置相关联，如互补装置标识；及信息287，包括用户可配置数据。作为在ADCM现场接口单元159的存储器284中的信息287存储的用户可配置数据包括，但不限于，与装置具体性能相关的约束条件和极限，该装置具体性能定义何时装置进入降级状态，即探测到故障的状态。例如，可提供用户定义时间极限参数，该参数定义当命令紧急隔离阀移离正常操作位置时的可接受延迟。用户对于每个阀基于期望的正常阀滞后定义这个参数，使得为阀响应的正常延迟提供足够的时间，同时限制提供给阀的在认为阀在“卡住”位置中并因而不适于响应安全命令之前运动的时间。

处理器282与多路复用器288接口，该多路调制器288使来自数百或数千个接口单元的信号能够共享网络。ADCM现场接口单元159通过网络接口290与SLS、DCS、ISCI-S及/或ISCI-C中的一个或多个通信。另外，数据路由与协议翻译模块292和无线接口294允许ADCM现场接口单元159通过无线通信系统与SLS、DCS、ISCI-S及/或ISCI-C中的一个或多个通信。来自ADCM现场接口单元159和SLS、DCS、ISCI-S及/或ISCI-C中的一个或多个的通信包括相关联的最终控制元件38或48的状态，例如阀是敞开的还是关闭的或是否探测到故障。另外，从SLS、DCS、ISCI-S及/或ISCI-C到ADCM现场接口单元159的通信包括与互补现场装置相关的信息、控制命令指令及编程指令。

ADCM现场接口单元159也包括接口296，该接口296用于与最终控制元件38、48通信，具有中转控制命令(例如，发送OPEN和CLOSE要求)的能力和接收反馈(例如，VALVE OPENED或VALVE CLOSED)的能力。执行ADCM现场接口单元159和其相关联的最终控制元件38或48的功能中的一些的适当装置包括在商标名称FIELDVUE^TM下从Emerson Process Management-Fisher of Marshalltown，Iowa，USA可商业买到的和包括有紧急停机阀的那些。阀和IC装置的组合在技术中也由本申请人在这里称作“SMARTZV”(“SMART ZV”)。借助于本发明的系统和方法的协作能力，也提供另外的功能，这些功能在包括紧急停机阀的现有技术系统上是得不到的。具体地说，使用本发明的系统和方法的ADCM现场接口单元159，最终控制元件能够执行来自控制系统、安全系统及振动管理系统(这里进一步描述)中的任一个或全部的命令。

图4是ISDM现场接口单元157的方块图，该ISDM现场接口单元157与传感器36、46一道使用，并且包括在复合调节控制和安全停机系统100中(表明在图2中)，及包括与存储器384相关联的处理器382。存储器384通常包括易失(RAM)和非易失(ROM)存储单元，并且将软件或固件程序存储在程序存储部分中和将数据存储在数据存储部分中。具体地说，在本发明的系统中存储的数据包括：信息385，与相关联的现场装置相关，如装置的类型、装置标识、投入使用的日期、诸如用于行程的必要阀力之类的操作参数等等；信息386，与互补现场装置相关，如互补装置标识；及信息387，包括用户可配置数据。作为在ISDM现场接口单元157的存储器384中的信息387存储的用户可配置数据包括，但不限于，用于装置具体性能的约束条件和极限，该装置具体性能定义何时装置进入降级状态，即探测到故障的状态。例如，可提供用户定义时间极限参数，该参数定义当过程变量不变时的可接受延迟。用户定义时间和一个或多个变量的允许变化量，以确定何时传感器在“卡住”状态下并且不再响应过程变化。

处理器382与多路复用器388接口，该多路复用器388使来自数百或数千个接口单元的信号能够共享网络。ISDM现场接口单元157通过网络接口390与SLS、DCS、ISCI-S及/或ISCI-C中的一个或多个接口。另外，数据路由与协议翻译模块392和无线接口394允许ISDM现场接口单元157通过无线通信系统与SLS、DCS、ISCI-S及/或ISCI-C中的一个或多个通信。ISDM现场接口单元157也包括接口396，该接口396用于与传感器36、46通信，具有接收传感器信息的能力。

ADCM和ISDM现场接口单元可实施成与现场装置安装在同一外壳中的卡，或者实施成独立外壳。如果ADCM和/或ISDM接口单元提供在分离外壳中，则它们可包括到相关联的现场装置的硬连线连接，这些硬连线连接承载离散信号或4-20mA模拟信号。

ADCM现场接口单元可以多个模式操作。在“安全-禁用”模式中，最终控制元件和ADCM现场接口单元都是不可操作的。在“安全-基本操作”模式中，来自控制处理器(用于安全停机系统ADCM现场接口单元的SLS或用于调节控制系统ADCM现场接口单元的DCS)的信号没有变化地通过多路复用器传递。在“安全-增强”模式中，ADCM现场接口单元基于来自控制处理器的输入和从ISCI接收的信号和逻辑命令而操作。在“安全-控制积分”模式中，ADCM现场接口单元基于来自控制处理器的输入和从ISCI接收的信号和逻辑命令、及来自互补最终控制元件的诊断输入而操作。在这种模式中，互补最终控制元件用作主最终控制元件的潜在备分。在“安全-测试”模式中，ADCM现场接口单元和/或其相关联的最终控制元件经受例行计划维护测试。从硬连线网络到ADCM现场接口单元的输入在多路复用器处被首先接收，该多路复用器依据操作模式，使信号在正常操作下传递到最终控制元件，暂停信号，或者发出断开最终控制元件的信号。

图5和6分别是ISCI-S和ISCI-C的方块图。根据本发明的ISCI单元具有各种功能，这些功能包括但不限于：

a.与SLS和DCS接口；

b.提供与ADCM和ISDM接口单元的通信，并且通过它们到传感器和最终控制元件；

c.提供用户接口，以配置安全系统原因和效果关系与互补过程控制相关装置的覆盖；及

d.基于现场装置探测到失效，调节预定退却策略或协议。

具体地说，并且参照图5，示意地表明ISCI-S 162的实施例。ISCI-S包括与存储器404相关联的处理器402。存储器404通常包括易失(RAM)和非易失(ROM)存储单元，并且将软件或固件程序存储在程序存储部分中和将数据存储在数据存储部分中。具体地说，在本发明的系统中存储的数据包括：信息405，与紧急停机(“ESD”)管理系统相关；信息406，与DCS数据相关，即要求识别来自过程控制系统的互补装置；及信息407，包括用户可配置数据。处理器402、数据路由与协议翻译模块408及自适应过程安全模拟器(“APSS”)410经总线412接口。在某些实施例中，协议翻译模块408和/或APSS410可实施成分离硬件装置，这些分离硬件装置包括分离处理器和存储装置(未表示)，这些存储装置在其中具有编程的适当软件和/或固件。在其它实施例中，协议翻译模块408和/或APSS 410可在存储器404的程序存储中实施成软件和/或固件模块。相应地，如果实施成软件模块，则可消除总线连接。

数据路由与协议翻译模块408允许ISCI-S 162使用比如连线接口414和/或无线接口416，分别与SLS 32、ISCI-C 172、及ISDM和ADCM接口单元157、159通信。APSS 410补充由SLS 32提供的安全逻辑，因为SLS 32典型地基于过程条件的静态观测做出决定，并且APSS 410解决由设备容量、生产速率、新引入技术等等的变化造成的过程相对于时间的动态特性，这些变化可影响过程，并且以后改变操作范围和安全阈值。APSS 410包括一个或多个软件模块，这些软件模块产生过程状态、动态特性、及必要安全动作的实时预测。APSS 410适应这些变化，并且分别更新在ISDM和ADCM接口单元157、159处的操作范围和安全阈值参数。

在停止使用SLS 32的情况下，ISCI-S 162可用作备分。如果通信在SLS 32与相关联的ISDM现场接口单元157和ADCM现场接口单元159之间中断，则ISDM和ADCM接口单元157、159对关于在某些状态的情况下是断开还是失效稳定的指令，分别将询问ISCI-S162。

ISCI-S 162保持全部ISDM和ADCM的清单，并且跟踪它们的状态，例如它们是在使用中还是被禁用。按照本发明的系统和方法，如果ISDM/ADCM和/或其现场装置被停止使用，则ISCI-S 162将启动警报，并且通信到ISCI-C 172，以防止例如为了例行维护，将停止使用装置的互补装置从服务中除去。

现在参照图6，ISCI-C 172在结构上与ISCI-S 162相似，并且包括与存储器504相关联的处理器502。存储器504通常包括易失(RAM)和非易失(ROM)存储单元，并且将软件或固件程序存储在程序存储部分中和将数据存储在数据存储部分中。具体地说，在本发明的系统中存储的数据包括：信息505，与调节控制系统操作相关；信息506，与来自安全系统的互补数据相关；及信息507，包括用户可配置数据。处理器502、数据路由与协议翻译模块508及自适应过程控制模拟器510经总线512接口。注意，如以上关于图5讨论的那样，协议翻译模块508和/或自适应过程控制模拟器510可实施成分离硬件或软件模块。相应地，如果实施成软件模块，则可消除总线连接。

数据路由与协议翻译模块508允许ISCI-C 172与DCS 42、ISCI-S162、及ISDM和ADCM接口单元通信。APCS 510补充由DCS 42提供的安全逻辑，因为DCS 42典型地基于过程条件的静态观测做出决定，并且APCS 510解决由设备容量、生产速率、新引入技术等等的变化造成的过程相对于时间的动态特性，这些变化可影响过程，并且以后改变操作范围和安全阈值。APCS 510包括一个或多个软件模块，这些软件模块产生关于过程状态、动态特性及要求安全动作的实时预测。APCS 510适应这些变化，并且分别更新在ISDM和ADCM接口单元157、159处的操作范围和安全阈值参数。

在停止使用DCS 42的情况下，ISCI-C 172可用作备分。如果通信在DCS 42与相关联的ISDM现场接口单元157和ADCM现场接口单元159之间中断，则ISDM和ADCM接口单元157、159对关于在某些状态的情况下是断开还是失效稳定的指令，分别将询问ISCI-S162。

ISCI-C 172保持全部ADCM和ISDM的清单，并且跟踪它们的状态，例如它们是在使用中还是被禁用。如果ADCM/ISDM和/或其现场装置被停止使用，则ISCI-C 172将启动警报，并且通信到ISCI-S，以防止例如为了计划维护，将停止使用装置的互补装置从服务中除去。

如果SIF组25或控制环路组24使用多传感器配置，则ISCI-S 162或ISCI-C 172适当地编程成，如果传感器中的一个提供在已经存储在存储器中的期望范围外的读数，则启动警报和进行用户定义动作。

更高水平接口或“协调器”功能也由ISCI提供，这些ISCI提供与现场装置的双向通信，并且也与现有SLS 32和DCS 42通信。ISCI-S162或ISCI 162、172两者包含映射，这些映射对于每个SIF覆盖SLS原因和效果图，并且使每个SIF传感器和现场装置与在调节控制环路中使用的互补现场装置有关。这允许在SIF组内的关键安全装置实时地探测危险失效或停止使用状态并将禁用状态通信到ISCI，与在相同子过程中的过程控制现场装置有关，检查调节装置的状态，及如果可得到，则使用过程控制装置，以便如果安全要求由SLS 32启动，则响应安全要求。按类似方式，DCS可使用由安全相关传感器收集的过程数据，或者使用安全相关紧急隔离阀中断产品通过流送管或过程管道的流动。

根据本发明的系统和方法，通过在ISCI-S 162与ISCI-C 172之间的协作功能，相对于使用择多决定逻辑的系统或子系统的可实现效率和改进。具体地说，过程控制系统40的互补传感器的读数用来代替在紧急停机系统30中的失效传感器的读数。相应地，决定逻辑保持在原始水平下。例如，如果决定逻辑在现有技术系统中设置为“三中取二”，如以上在本发明的背景技术中讨论的那样，则在紧急停机系统中的失效传感器将有效地将决定逻辑减少到“二中取一”。然而，根据本发明，并且由于在ISCI-S 162与ISCI-C 172之间的协作功能的效力，失效紧急系统传感器立即由在过程控制系统中的互补传感器替换，并且决定逻辑维持“三中取二”。

在本发明的系统和方法的另一个实施例中，如果控制系统包含比如用于相关联的安全检测功能的三个互补传感器，则当传感器在安全检测功能方面失效时，三个控制系统传感器的平均读数可用来代替失效安全检测功能读数的读数。相应地，增强的可靠性提供给紧急停机决定。

在本发明的系统和方法的又一个实施例中，安全检测功能可使用物理上离失效安全检测功能传感器最近的控制系统传感器的读数作为替代，该控制系统传感器。这可通过在ISCI-S和/或ISCI-C中建立的映射而实现。

在本发明的系统和方法的再一个实施例中，安全检测功能可使用控制系统传感器的读数，该控制系统传感器具有代替失效安全检测功能传感器的最高精度。这可通过维护历史日志和/或校准数据实现。

在本发明的系统和方法的另外实施例中，安全检测功能可转变到另一种决定逻辑协议。例如，安全检测功能通过使用安全检测功能的两个传感器和控制系统的三个传感器，可转变到决定逻辑“五中取二”。对于用于紧急停机系统的各种决定逻辑可使用类似手段。按类似方式，控制系统对于各种控制策略和决定可使用紧急停机系统传感器。

各种替代方案可作为例如用户配置数据存储在ISCI-S、ISCI-C、ADCM和/或ISDM中的一个或多个的存储器中，这些各种替代方案使用根据本发明的决定逻辑和在安全检测功能与控制系统之间的协作。

另外，通过在ISCI-S 162或ISCI-C 172之间的协作功能，关于使用最终元件实施的冗余性的系统或子系统，可实现效率和改进。例如，如果在安全检测功能内的阀中的一个或多个有故障，那么安全检测功能和安全逻辑解算器可选择采取控制，或者利用在可行要求情况下的互补控制系统阀来执行在该特定安全检测功能内的停机。为了实现这个，ISCI-S将指令和通知发送到ISCI-C和控制系统，指令和通知紧急停机为了紧急停机的目的将使用用于特定安全检测功能的相关联的控制系统阀，并且例如由ISCI-S产生的紧急停机命令比基本过程控制命令优先。类似地，控制系统可使用紧急停机系统最终元件避免过程和生产的中断，而不影响紧急停机系统操作。注意，一般规则是，紧急停机命令和状态具有比控制系统命令高的优先权，并且控制系统应该不影响就位的紧急停机系统的完整性。

由本发明的系统和方法理解的是，现场装置可具有多个角色，例如由控制系统预定的一个角色和由安全系统预定的另一个角色。这里描述的ISCI-S、ISCI-C、ADCM和/或ISDM的协作功能保证，每个最终元件的优先权和角色与安全系统或控制系统的状态和/或条件相符。这些多重角色在保证安全系统优于控制系统的优先权的同时被执行。例如，对于诸如停机阀之类的最终控制元件，ISCI-S、ISCI-C及ADCM的协作功能，在其中ADCM从安全系统和控制系统中的每一个，例如通过ISCI-S和ISCI-C，分别接收一个或多个命令的情况下，保证这种优先权。ADCM按允许最终控制元件执行由安全系统确定的角色的方式，按优先权排列这些命令。

除与主控制器(SLS或BPCS)和ISCI装置通信之外，每个ADCM或ISDM通过对于本领域的技术人员已知的通信方法，与在共用SIF组或控制环路组内的相邻装置通信。本发明的系统和方法提供分布映射功能，该分布映射功能利用到ISCI的用户输入，形成整体SIF和BPCS覆盖，并且如果主ISCI停止起作用，则使用现场安装的ISDM存储器和处理器维持各个SIF和控制环路覆盖。通过按这种方式操作，各个ADCM和ISDM为ISCI提供备分，以便如果主ISDM失效，则提供装置监视和诊断功能、和安全或控制功能的执行。这允许SLS和DCS保持它们的操作分离，同时当现场装置由于故障或维护活动被禁用时，提供互补现场装置的利用以自动地保持安全和过程控制功能。

本发明的系统和方法也可与其它设备系统协调，如与振动监视协调。振动监视系统可包括智能安全和控制积分器，例如与ISCI-S和ISCI-C通信的ISCI-V。在现有技术系统中，振动监视系统将离散信号发送到紧急停机系统，以当振动超过某一级别时使紧急停机系统阀停机。本发明关于在振动监视系统、控制系统及安全系统之间的另外协作的好处包括：(a)通过使用安全系统和过程控制阀，限制由于振动造成的停机的规模或范围，例如由于过程控制和安全系统阀都可使用，所以当振动超过可允许的级别时，可选择将导致工厂停机的最小规模或范围的阀；(b)紧急停机系统包括对关于振动监视系统的信息的较大访问，以允许对于故障的前摄方式，例如紧急停机系统可较早准备，并且可考虑较小振动水平或振动波动的趋势的因素，而不是依据离散信号而断开或不断开。

在某些实施例中，ISCI-C和ISCI-S可以是独立单元，或者组合成单个单元，该单个单元在与SLS和DCS的通信中。在另外的实施例中，ISCI-S可与SLS组合，并且ISCI-C可与DCS组合。在更进一步的实施例中，ISCI-S、SLS、ISCI-C及DCS可以集成为单一计算机系统，比如，如下面相对于图7描述的那样。

计算机系统600的示范方块图表示在图7中，在该计算机系统600中，可实施根据本发明的用于监视和控制的模块。计算机系统600包括如中央处理单元的处理器602、输入/输出接口604及支持电路606。在某些实施例中，在计算机600要求直接人为交互的场合，也提供显示器608和输入装置610，如键盘、鼠标或指示器。显示器608、输入装置610、处理器602、输入/输出接口604及支持电路606表示成连接到总线612，该总线612也连接到存储器614。存储器614包括程序存储存储器620和数据存储存储器640。注意，尽管计算机600描绘成具有直接人工接口部件显示器608和输入装置610，但模块的编程和数据的输出和输入也可在接口604上完成，比如在计算机600连接到网络上并且编程和显示操作发生在另一个相关联的计算机上的场合，或者经相对于接口可编程逻辑控制器所已知的可卸插输入装置而完成。

程序存储存储器620和数据存储存储器640每个可包括易失(RAM)和非易失(ROM)存储单元，并且也可包括硬盘和备用存储容量，并且程序存储存储器620和数据存储存储器640两者都可在单一存储装置中实施，或者分离在多个存储装置中。程序存储存储器620存储软件程序模块和相关联的数据。数据存储存储器640存储由本发明的一个或多个模块使用和/或产生的数据。比如，程序存储存储器620可包括安全监视和控制模块622中的一个或多个(例如，执行由SLS 32执行的功能)、过程控制模块624(例如，完成由DCS 42执行的功能)、及用来执行安全和过程控制集成和协作(例如，由ISCI-S和ISCI-C 162、172所执行)的智能安全和控制积分器模块626和628。数据存储存储器640可包括现场装置642、互补现场装置数据644、用户定义指令646及委托的互补现场装置数据648。

要认识到，计算机系统600可以是任何计算机，如个人计算机、微型计算机、工作站、主机、诸如可编程逻辑控制器之类的专用控制器、或其组合。尽管计算机系统600为了说明目的表示成单个计算机单元，但系统可以包括一组/群计算机，这些计算机可依据处理负荷和数据库大小定规模，例如依据现场装置的总数和保持系统所要求的现场装置数据的量。计算机系统600可用作普通多任务计算机，该多任务计算机执行SLS 32、DCS 42、ISCI-S 162和/或ISCI-C 172中的一个或多个的功能。

计算机装置600优选地支持操作系统，该操作系统例如存储在程序存储存储器640中，并且由处理器602从易失存储器执行。根据本发明的实施例，操作系统包含用来将装置600与安全子系统130和过程控制子系统140的ADCM 159和ISDM 157接口的指令。

参照图8，步骤的过程流程在本发明的实施例中执行。计算机装置中的一个或多个(包括ISCI单元中的一个或两个)、SLS、DCS、或集成ISCI单元的一个或多个功能的计算机600、SLS和/或DCS，连续地监视现场装置的状态，如在流程过程步骤702处指示的那样。如果例如在询问块704处确定有现场装置故障状态，或者例如在询问块706处确定现场装置正经受维护，那么将损害的现场装置的功能委托给其互补现场装置，如在块708处指示的那样。互补现场装置数据712包括各个过程或子过程和它们的安全现场装置和过程控制现场装置的综合映射、以及对于具体过程或子过程在互补现场装置之间的相关。如果在询问块704处确定有没有故障状态，或者如果没有在询问块706处所确定的维护，则如在块710处指示的那样，保持安全子系统现场装置和过程控制子系统现场装置的分离。

现在参照图9，提供用来改进设备维护和跟踪的集成系统800。监视和控制系统100与设备维护和跟踪系统892在通信中。具体地说，在由系统100探测到现场装置故障的情况下，例如由SLS 32、ISCI-S162、DCS 42和/或ISCI-C 172或者诸如执行SLS 32、ISCI-S 162、DCS 42及ISCI-C 172中的一个或多个的功能的计算机600之类另一个装置探测到现场装置故障的情况下，这样的信息输送到设备维护和跟踪系统892。同样，当由系统100基于探测和通知而修理或更换故障现场装置时，将这种信息(例如，更换装置数据，包括投入使用的日期、识别号、及相关联的SIF或控制环路，使得任何计划功能测试可按要求调整)存储在系统100的适当计算机存储器中，并且与设备维护和跟踪系统892共享。

图10是设备维护和跟踪过程的过程流程图900，在该设备维护和跟踪过程中，将来自监视和控制系统100的涉及修理的或更换的现场装置的信息通信到设备维护和跟踪系统892。当系统100的部件中的一个或多个，例如SLS 32、ISCI-S 162、DCS 42和/或ISCI-C 172或者诸如执行SLS 32、ISCI-S 162、DCS 42及ISCI-C 172中的一个或多个的功能的计算机600之类的另一个装置，从现场装置接口接收到现场装置有故障的信息时，产生测试、和如有必要则修理或更换该现场装置的指令，如在过程步骤902处指示的那样。这种测试、和如有必要的修理或更换，独立于由设备维护和跟踪系统892制定的工作顺序规定功能测试而发生。在现有技术设备维护和跟踪系统中，关于测试和任何修理或更换的信息保持在SLS 32、DCS 42、或其它数据系统内，但不与设备维护和跟踪系统共享。作为结果，当工作顺序规定功能测试发生时，将没有必要地测试最近更换的现场装置，浪费时间和资源并且使工人暴露于另外的危险。根据本发明，关于测试的现场装置的信息，包括关于它是否被修理或更换或者测试是否指示故障的确认，如在块904处指示的那样，被传输到设备维护和跟踪系统892，在该处，用新状态信息适当地更新用于该装置的数据字段。

相应地，当设备维护和跟踪系统892产生可能已经包括测试的、更换的或修理的现场装置的工作顺序规定功能测试的工作顺序时，将提供修改的工作顺序，该修改的工作顺序考虑到所述现场装置已经经历功能测试、最近被修理、或是新装置的事实，并且基于预定用户定义参数和协议，修改的工作顺序可消除用于测试的该现场装置，或者可使功能测试的日期提前，如在块906处指示的那样。这保证，还未基于来自系统100的部件的指令测试的现场装置在以前测试的现场装置的测试之前被测试。

图11是设备维护和跟踪过程的另一个过程流程图900，在该设备维护和跟踪过程中，将来自监视和控制系统100的涉及修理的或更换的现场装置的信息通信到设备维护和跟踪系统892。当在紧急停机系统与控制系统之间的协作是可能的，并且维护历史是可得到的时，可调整计划维护，而不影响可靠性或影响安全系统或安全检测功能的风险级别。在现有技术系统中，诸如阀之类的最终元件的维护定期地进行，而不考虑实际维护历史因素。然而，根据本发明的系统和方法，当考虑维护历史因素，并且具有来自可利用的控制系统的附加最终元件的可得到信息时，可减小定期维护的级别。比如，每个安全阀可每年维护一次，而不是根据现有技术方式每季度维护一次。当系统100的部件中的一个或多个，例如SLS 32、ISCI-S 162、DCS 42和/或ISCI-C 172或者诸如执行SLS 32、ISCI-S 162、DCS 42及ISCI-C 172中的一个或多个的功能的计算机600之类的另一个装置，从现场装置接口接收到现场装置已经经受维护或更换的信息时，产生指令，以消除对例行计划测试的需要，如在过程步骤952处指示的那样。这种测试、和如有必要的维护、修理或更换，独立于由设备维护和跟踪系统892制定的工作顺序规定功能测试而发生。在现有技术设备维护和跟踪系统中，关于测试和任何修理或更换的信息保持在SLS 32、DCS42、或其它数据系统内，但不与设备维护和跟踪系统共享。作为结果，当工作顺序规定功能测试发生时，将根据例行计划测试没有必要地测试最近更换的现场装置，浪费时间和资源并且使工人暴露于另外的危险。根据本发明，关于测试现场装置的信息，包括关于它是否被维护、修理或更换或者测试是否指示故障的确认，如在块954处指示的那样，传输到设备维护和跟踪系统892，在该处，用新状态信息适当地更新用于该装置的数据字段。

相应地，当设备维护和跟踪系统892产生可能已经包括测试的、维护的、更换的或修理的现场装置的例行计划功能测试的工作顺序时，将提供修改的工作顺序，该修改的工作顺序考虑到已经产生越过例行功能测试的指令的事实，如在块956处指示的那样。

当最终控制元件包括集成智能时，如包括具有由申请人在名称“SMART ZV”(“SMART ZV”)下使用的智能阀控制器的紧急隔离阀时，图10和11的实施例特别有用。这些紧急隔离阀，如果作为未计划工厂断开的一部分或在例行工厂操作期间成功地操作，则在安全要求期间或在例行设备操作期间具有相对于时间映射阀行程的能力。相应地，可证明最终控制元件在紧急情况期间响应的能力，并且可消除启动计划功能测试的需要。

图12和13分别表明用于ISDM和ADCM的典型症状/诊断矩阵。现有技术的软件能够使用装置症状诊断故障。按照本发明，这种功能使用集成电路装置在现场装置级别下进行。用于过程传感器和最终元件的诊断矩阵可在ISDM或ADCM处执行。诊断矩阵用来确定何时装置在降级或故障状态下。一旦确定故障状态，ISCI-C或ISCI-S就用故障状态信息更新，所以如果互补装置是可得到的，则可识别和利用它。装置故障信息通信到ISCI-C或ISCI-S，以识别何时探测到装置故障，并且采取适当步骤，以将过程保持在控制下和在安全状态下。当对应装置在故障状态下时“共享”的装置可发警报，从而避免停止使用装置。

本发明的另外好处是，现场装置接口单元的增大的计算能力改进诊断能力，在连续基础上保证危险故障的自动探测。这减少对于维护人员进行自动过程控制现场装置的例行维护检查和测试的需要，保证更迅速的故障装置探测，由此减少人员对于有害现场条件的暴露，并且降低可导致设备停止的人为错误的风险。

本发明的进一步好处是，在工厂的设计阶段期间可使成本最小化，因为通过知道安全系统可使用控制系统的现场装置，为满足对于安全系统的可靠性和安全要求，可设计和计划较少总量的传感器或现场装置。

以上和参照附图已经描述了本发明的系统和方法；然而，修改对于本领域的技术人员将是显然的，并且本发明的保护范围由随后的权利要求书限定。