用于智能过程控制设备的离散逻辑安全系统的制作方法

1.本公开内容一般地涉及安全系统，并且更具体地，涉及用于智能过程控制设备的离散逻辑安全系统。


背景技术：

2.近年来，包含处理器和固件的智能过程控制设备已经获得了使用b型分类的安全完整性等级(sil)安全认证。b型分类需要对软件、电子设计和开发过程进行透彻的分析。在智能过程控制设备中安装或替换处理器或传感器时，需要对b型系统进行认证。相比之下，对a型安全仪表系统的认证需要的时间和精力较少，但是一直被保留用于简单的非智能设备，因为这些设备有大量的现场故障数据。


技术实现要素：

3.一种用于指示过程控制设备的故障的示例装置，该装置包括心跳监测器，心跳监测器被操作性地耦接至过程控制设备的处理器，以监测处理器的第一条件。该示例装置还包括传感器监测器，传感器监测器被操作性地耦接至过程控制设备的传感器，以监测传感器的第二条件。离散逻辑被操作性地耦接至心跳监测器和传感器监测器，以基于第一条件或第二条件来生成与过程控制设备相关联的故障指示。
4.一种用于指示过程控制设备的故障的示例方法，该方法包括经由心跳监测器监测与过程控制设备相关联的处理器的第一条件，以及经由传感器监测器监测与过程控制设备相关联的传感器的第二条件。示例方法还包括基于第一条件和第二条件，经由第一离散逻辑来检测处理器或传感器的故障，并且指示处理器或传感器的故障。
5.指示过程控制设备的故障的示例装置包括第一部件和第二部件。第一部件用于监测以标识过程控制设备的处理器的第一条件，第二部件用于监测以标识过程控制设备的传感器的第二条件。示例装置还包括用于基于第一条件或第二条件来标识故障的部件，以及在第一条件或第二条件未被满足时、用于指示以停止过程控制设备的至少一个功能的部件。
附图说明
6.图1是根据本文的教导，用于智能过程控制设备的示例离散逻辑安全系统的框图。
7.图2是实现图1的离散逻辑安全系统的示例电路的框图。
8.图3是表示图1和图2的离散逻辑安全系统的操作的流程图。
9.一般地，贯穿(多个)附图和随附的书面描述将使用相同的附图标记来指代相同或相似的部分。除非另有说明，连接引用(例如，附接、耦接、连接和接合)应该被广义地解释并且可以包括元件集合之间的中间构件以及元件之间的相对移动。如此，连接引用不一定推断出两个元件直接地连接并且彼此之间有固定的关系。尽管图中示出了具有清晰线条和边界的层和区域，但是这些线条和/或边界中的一些或全部可以是理想化的。实际上，边界和/
或线条可能是不可观察的、混合的和/或不规则的。
10.在本文中，当标识可以被单独地提及的多个元件或组件时，使用描述词“第一”、“第二”、“第三”等。除非基于其使用的上下文另有说明或理解，否则此类描述词不旨在赋予列表中的优先级、物理顺序或排列，或时间排序的任何含义，而仅仅用作分别指代多个元件或组件的标签，以便于理解所公开的示例。在一些示例中，描述词“第一”可以用于指代详细说明书中的元件，而相同的元件在权利要求中可以用不同的描述词(诸如“第二”或“第三”)来指代。在此类实例中，应该理解这种描述词仅仅是为了方便引用多个元件或组件。
具体实施方式
11.过程控制系统(如用于化学、石油或其他过程的系统)需要根据iec(国际电工委员会)61508的要求进行sil安全认证。在已知的实现方式中，包含控制器的过程控制系统被认为是智能设备，该控制器包括处理器和固件，该智能设备使用b型分类获得sil认证。b型分类需要对开发过程进行透彻的分析和证明，以证明当设备的组件发生故障时的结果。特别地，b型分类需要在任何处理器、传感器或固件被替换时对设备进行重新认证。
12.备选地，sil a型分类通常用于不包含控制器的设备，该控制器包括处理器和固件。a型设备和b型设备之间的重要区别是理解设备组件的故障模式的置信水平。与理解设备的故障模式相关联的置信水平是基于对设备的理论分析以及理论分析与设备相关联的实际现场故障数据的相关性。一般地，与a型设备的可靠性相关联的置信度会比b型设备更高，因为可以为a型设备收集更多确凿的现场故障数据。具体地，对于a型设备，a型设备的现场故障数据更准确地标识导致设备故障的组件。所以，a型设备的现场故障数据可以更可靠地用于确认a型设备的组件的理论分析。
13.当在a型设备中发生故障时，通过直接地(例如，手动)分析设备的组件并且确定与故障相关联的根本原因，产生现场故障数据。a型设备通常是具有简单模拟电路的机械设备，并且因此，对a型设备的分析通常需要行为者(例如，机器、机器操作员等)来标识设备内的哪个(哪些)机械组件失灵并且造成故障。
14.相反，当在b型设备中发生故障时，故障的根本原因不能够轻易地归因于设备的组件，因为设备的复杂组件是相互通信的，并且因此，故障的起源可能不清楚。继而，与b型设备相关联的结果现场故障数据可以被定性为不确定性的，因为它对造成故障发生的组件的指示性较低。不确定的故障不可以用于现场故障数据和理论分析之间的比较，因此，对b型设备的可靠性的置信度通常大大低于a型设备的可靠性。
15.本文公开的示例使得智能过程控制设备能够产生可以与智能过程控制设备的理论分析相比较的现场故障数据。基于与智能过程控制设备相关联的现场故障数据的置信水平，设备继而可以获得a型sil认证，从而在设备的组件被替换的情况下消除重新认证的要求。
16.更具体地，本文公开的示例提供了用于智能过程控制设备的离散逻辑安全系统。本文公开的示例包括一种设备，该设备使得离散逻辑能够在不依赖于处理器或固件的功能性的情况下检测智能过程控制设备中的故障。以这种方式，与没有离散逻辑安全系统的智能过程控制设备相比，本文公开的示例使得智能过程控制设备能够获取更确凿的现场故障数据(例如，指示造成故障发生的(多个)组件)，并且因此使用a型分类而有利地使得能够对
智能过程控制设备进行sil认证。
17.本文公开的示例包括与智能过程控制设备的组件进行通信的离散逻辑，以检测与组件中的一个或多个组件相关联的故障。示例离散逻辑包括基于限定的安全参数(例如，电压范围、频率等)验证设备中组件的状态的监测器。特别地，离散逻辑包括监测器，以在操作上(例如，电力地)耦接到系统(例如，智能过程控制设备)的(多个)处理器和(多个)传感器，以监测与(多个)处理器和(多个)传感器相关联的限定的安全参数。在一些公开的示例中，(多个)处理器和(多个)传感器在智能过程控制设备的控制器内被实现。
18.在一些公开的示例中，心跳监测器检测由智能过程控制设备的(多个)处理器在一段时间内产生的信号的频率，并且传感器监测器检测智能过程控制设备的(多个)传感器(例如，电压)的输出信号。在一些示例中，心跳监测器和传感器监测器是使用逻辑门(例如，与门、或门、非门、与非(nand)门、非或(nor)门、互斥或(exor)门和/或互斥反或(exnor)门以及其他电气组件而被实现的。进一步地，心跳监测器和传感器监测器确定来自(多个)处理器和(多个)传感器的信号是否在限定的限度内。在一些示例中，如果处理器产生的信号的频率太低和/或来自传感器的输出电压太高，故障指示器就会传送故障指示(例如，模拟信号、数字信号等)。在一些示例中，当检测到故障时(例如，响应于故障指示)，智能过程控制设备的至少一个功能可以被停止。在一些这样的示例中，智能过程控制设备响应于故障处理器和/或传感器被替换而重新启动至少一个功能。
19.图1是根据本文的教导，用于智能过程控制设备100的示例离散逻辑安全系统106的框图。在图示的示例中，智能过程控制设备100包括处理器102、(多个)传感器(例如，传感器和相关联的电路)104以及通信接口114。离散逻辑安全系统106包括心跳监测器108，传感器监测器110和故障指示器112。如下面更详细地描述的，心跳监测器108、传感器监测器110和故障指示器112中的任何或全部都可以使用离散逻辑来实现。例如，故障指示器112可以使用第一离散逻辑来实现，并且心跳监测器108和/或传感器监测器110可以使用被操作性地耦接至第一离散逻辑的第二离散逻辑来实现。如本文所使用的，术语“离散逻辑”是指诸如逻辑门、晶体管、无源组件等不包括用于执行指令的处理器的电气组件。
20.如图1所图示的，离散逻辑安全系统106的心跳监测器108被操作性地耦接至处理器102，并且传感器监测器110被操作性地耦接至(多个)传感器104。在其他一些示例中，智能过程控制设备100包括多个处理器102和(多个)传感器104，该处理器和传感器被操作性地耦接至心跳监测器108和传感器监测器110中相应的附加的监测器。在图示的示例中，心跳监测器108和传感器监测器110与故障指示器112进行通信。备选地，心跳监测器108和传感器监测器110可以与故障指示器112中相应的单独的故障指示器进行通信。
21.一般地，心跳监测器108监测处理器102的第一条件(诸如操作状态)，并且向故障指示器112提供与第一条件(或处理器102的操作状态)有关的信息。类似地，传感器监测器110监测(多个)传感器104的第二条件(诸如操作状态)，并且向故障指示器112提供与第二条件(或(多个)传感器104的操作状态)有关的信息。
22.更具体地，在操作中，处理器102向心跳监测器108提供具有预定频率(例如，0.5赫兹、1.0赫兹、2.0赫兹等)的周期性信号(例如，数字信号、脉冲波等)。心跳监测器108确定是否在阈值时限(例如0.5秒、1.0秒、2.0秒)内接收到周期性信号的转换(例如，脉冲)。阈值时限是基于信号的预定频率的。在一些示例中，计时器实现阈值时限(例如，0.5秒的计时器，
1.0秒的计时器，2.0秒的计时器等)。例如，如果来自处理器102的信号的频率是1.0赫兹(例如，每秒一个脉冲)，则心跳监测器108包括1.0秒的计时器。因此，如果心跳监测器108在计时器过期之前或之时没有接收到信号，心跳监测器就会(例如，经由数字信号、经由模拟信号等)向故障指示器112传达处理器102已经出现故障。在一些示例中，心跳监测器108的计时器分配了公差(例如，附加的0.1秒)，以允许来自处理器102的心跳信号与预期的预定频率有相对较小的偏差。
23.智能过程控制设备100的示例传感器监测器110分析(多个)传感器104的输出，以验证(多个)传感器104在预定的正常操作条件(例如，预定的正常输出电压、预定的正常输出电流等)内操作。在图示的示例中，(多个)传感器104是位置传感器，以及相关联的硬件，该位置传感器监测智能过程控制设备100的移动组件(例如，阀门、致动器等)的位置。在其他示例中，(多个)传感器104是备选的过程测量传感器(例如，光学传感器、压力计、温度计等)。在一些这样的示例中，过程控制设备100是过程变送器(process transmitter)，该过程变送器测量和/或监测通过相关联的管道和/或容器的温度、水平和/或流动。在一些示例中，传感器监测器110包括阈值(例如，高电压阈值、低电压阈值等)，(多个)传感器(s)104的输出与该阈值进行比较。如果(多个)传感器104的输出包括高于高电压阈值或低于低电压阈值的电压，则传感器监测器110向故障指示器112通信(例如，经由数字信号、经由模拟信号等)传感器没有在预定的正常操作条件内操作，并且因此发生了故障的信息。
24.在一些示例中，如与图2相关联的讨论，故障指示器112包括一个或多个逻辑门(诸如或门、开关和一个或多个信号调节器)，以评估从心跳监测器108和传感器监测器110接收的信号(例如，指示相应的第一条件和第二条件)，以基于信号(或第一条件和第二条件)生成故障指示。
25.此外，在心跳监测器108或传感器监测器110将指示处理器102和(多个)传感器104中的一个或两者的故障的操作状态通信给故障指示器112之后，故障指示器112将故障指示信号(例如，模拟信号、数字信号等)发送至通信接口114。在一些示例中，故障指示器112替换(例如，覆盖)可以由处理器102或(多个)传感器104直接提供的任何操作状态指示信号。换言之，故障指示器112以及心跳监测器108和传感器监测器110(统称为离散逻辑安全系统106)被配置为绕过由处理器102和(多个)传感器104直接提供的任何状态指示器或信息。故障指示器112被操作性地耦接至该心跳监测器108和传感器监测器110。
26.附加地或备选地，故障指示器112经由信号参数(例如，电压、频率、电流等)向通信接口114指示故障是否源自处理器102和/或(多个)传感器104。在一些示例中，通信接口114包括视觉指示器116、118(例如，发光二极管(led))，该视觉指示器响应于通信接口114接收到故障指示信号而激活(例如，照亮)。视觉指示器116、118中的一个指示器可以指示(通过照亮)与(多个)处理器102相关联的故障条件，并且视觉指示器116、118中的另一个指示器可以指示与(多个)传感器104相关联的故障条件。在一些示例中，智能过程控制设备100响应于故障指示信号而停止至少一个功能(例如，断电)。在一些这样的示例中，智能过程控制设备100响应于处理器102和/或传感器104被替换而重新启动操作(例如，通电)。在其他示例中，离散逻辑安全系统106的组件与存储单元(例如，数据库)进行通信。在一些这样的示例中，行为者(例如，机器、机器操作员等)在故障发生后从存储单元中提取数据以确定故障的根本原因。
27.图2是实现图1的离散逻辑安全系统106的示例电路200的框图。示例电路200包括图1的处理器102、(多个)传感器104、离散逻辑安全系统106和通信接口114。
28.如图2的示例所示，(多个)传感器104包括霍尔效应传感器202和模数(a/d)转换器204，处理器102包括数模(d/a)转换器206、心跳信号生成器208和高速通道可定址远程转换器(hart)210。离散逻辑安全系统106包括带阻滤波器(例如，带阻滤波器、压控滤波器等)212、计时器214、或门216、开关218、第一调节器222、第二调节器224和操作控制225。进一步地，如图中2所示，用户接口220可以操作性地耦接到离散逻辑安全系统106。
29.在图2的示例中，带阻滤波器212实现了图1的传感器监测器110，计时器214实现了图1的心跳监测器108，并且或门216、开关218和调节器222、调节器224实现了图1的故障指示器112。然而，应该理解的是，根据本文的教导，可以使用图1的块的其他实现来适应特定应用的需求。例如，心跳监测器108、传感器监测器110和/或故障指示器112可以由备选的逻辑门来实现(诸如与门、非门、与非门、非或门、互斥或门和/或互斥反或门)，这取决于智能过程控制设备100的操作条件。
30.现在详细地转向图2，在示例电路200中，霍尔效应传感器202与a/d转换器204和示例离散逻辑安全系统106进行通信。在一些示例中，霍尔效应传感器202经由耦接到移动组件的(多个)磁铁来确定智能过程控制设备100的移动组件(例如，阀门或其他终端操作者的杆或轴)的位置。霍尔效应传感器202感应到磁场，该磁场与(多个)磁铁的强度、从(多个)磁铁到霍尔效应传感器202的距离或单个磁铁的旋转成比例，因此改变霍尔效应传感器202感应到的磁通强度。霍尔效应传感器202向离散逻辑安全系统106和a/d转换器204发送模拟信号，该模拟信号与感应到的磁场成比例。在一些这样的示例中，当智能过程控制设备100在预定的正常操作条件内操作时，耦接至移动组件的(多个)磁铁在预定的正常操作位置范围内，并且来自霍尔效应传感器202的结果模拟信号在预定的正常操作信号范围内(例如，电压范围、电流范围等)。
31.附加地，传感器104的a/d转换器204将来自霍尔效应传感器202的模拟信号转换为数字信号并且将原始数字计数(count)通信给处理器102。一般地，当智能过程控制设备100在预定的正常操作条件内操作时，来自a/d转换器204的原始计数在预定的正常操作原始计数范围内。在一些示例中，处理器102基于由a/d转换器204提供的原始计数来确定智能过程控制设备100的移动组件的实际位置(例如，距原位置的距离、距霍尔效应传感器202的距离等)。
32.在一些示例中，处理器102与传感器104和离散逻辑安全系统106进行通信。在一些示例中，处理器102的d/a转换器206接收来自传感器104的原始计数并且将原始计数(即数字信号)转换为模拟信号。具体地，当原始计数在预定的正常操作原始计数范围内时，来自d/a转换器206的模拟信号在预定的正常操作信号范围内(例如，电压范围、电流范围、频率范围等)。相反，如果原始计数不在预定的正常操作原始计数范围内，则来自d/a转换器206的模拟信号的参数(例如，电流、电压、频率等)在预定的正常操作信号范围之外。例如，如果来自传感器104的原始计数高于预定的正常操作原始计数范围，来自d/a转换器206的结果电压就高于预定的正常操作电压范围。处理器102将结果模拟信号通信给离散逻辑安全系统106。
33.在一些示例中，处理器102包括被操作性地耦接至离散逻辑安全系统106的心跳信
号生成器208。在一些示例中，心跳信号生成器208以预定的正常操作频率(例如，1赫兹，每秒一个脉冲信号)向离散逻辑安全系统106发送脉冲信号(例如，双态或数字信号)。在备选的示例中，心跳信号生成器208发送除脉冲信号以外的信号，诸如具有预定的正常操作频率的模拟信号(例如1.0赫兹、2.0赫兹等)。在一些这样的示例中，当智能过程控制设备100在预定的正常操作条件内操作时，心跳信号生成器208以预定的正常操作频率向离散逻辑安全系统106提供脉冲信号。
34.附加地，在一些示例中，处理器102的hart 210被操作性地耦接至离散逻辑安全系统106。在一些示例中，hart 210以点对点模式操作，其中数字信号被覆加在4ma-20ma环路电流上。例如，hart210经由4ma-20ma环路电流通信第一状态，并且经由相同的通信路径(例如电线)用数字信号通信第二状态。在这个示例中，当hart210在预定的正常操作条件内操作时，hart 210向离散逻辑安全系统106发送4ma-20ma信号。
35.在图示的示例中，离散逻辑安全系统106包括带阻滤波器212，以确定传感器104是否在预定的正常操作条件内操作。在一些示例中，带阻滤波器212实现高信号阈值(例如，高电压阈值、高频率阈值等)和低信号阈值(例如，低电压阈值、低频率阈值等)。在一些示例中，带阻滤波器212是电压控制的，并且衰减低电压阈值(例如，40mv)和高电压阈值(例如，470mv)之间的信号，以指示来自智能过程控制设备100的传感器104的信号在预定的正常操作信号范围内。在一些这样的示例中，当来自传感器104的信号落在低信号阈值和高信号阈值之间时，带阻滤波器212向或门216输出低电压信号(例如，逻辑零)，以指示传感器104的正常操作。
36.在一些示例中，如果来自霍尔效应传感器202的信号的电压高于高电压阈值或低于低电压阈值，则智能过程控制设备100的移动组件不在预定的正常操作位置范围内。在一些这样的示例中，带阻滤波器212向或门216输出高电压信号(例如，逻辑一)以指示与智能过程控制设备100相关联的故障。在备选的示例中，使用或门、与非门或互斥或门中的一个或多个来代替带阻滤波器212。在一些这样的示例中，或门或互斥或门确定来自传感器104的信号的电压是否高于高电压阈值或低于低电压阈值，并且在满足任一条件地情况下，向或门216输出高电压(例如，逻辑一)。附加地，在一些这样的示例中，与非门确定来自传感器104的信号的电压是否高于低电压阈值并且不高于高电压阈值，或者低于高电压阈值并且不低于低电压阈值。
37.在一些示例中，处理器102与离散逻辑安全系统106的计时器214进行通信。在一些这样的示例中，处理器102以小于1赫兹的频率向计时器214发送脉冲信号(例如，数字信号)，该计时器在本例中是1秒的计时器。在一些这样的示例中，离散逻辑安全系统106将计时器214实现为1秒计时器，当1秒计时器过期时，该计时器输出高电压信号(例如，逻辑一)。备选地，在一些这样的示例中，计时器214响应于在1秒计时器过期前检测到来自心跳信号生成器208的脉冲信号而复位。因此，当心跳信号生成器208继续向计时器214提供复位脉冲时，计时器214的输出保持在低电压(例如，逻辑零)。进一步地，如果处理器102发生故障，心跳信号生成器208暂停向计时器214提供复位脉冲，并且计时器214向或门126提供高电压信号或逻辑一以指示与处理器102相关联的故障。
38.在图示的示例中，如果或门216从带阻滤波器212或计时器214接收到指示与智能过程控制设备100相关联的故障的高电压信号(例如，逻辑一)，则或门216向开关218输出高
电压信号(例如，逻辑一)。开关218将或门216的输出路由到第一调节器222的第一输入226和第二输入228中的一个输入。开关218的位置(即或门216的输出被路由到的输入226、输入228中的一个输入)可以经由用户接口220而被控制。位置的设置可以经由电子选择和/或经由机械设备(例如，跳线或连接器)而被实现。
39.第一调节器222将来自或门216的逻辑一或高电压信号(该信号指示传感器104和/或处理器102的故障)转换为低或高电流信号。例如，当开关218被配置为将或门216的输出路由到第一调节器222的第一输入226时，第一调节器222在或门216输出逻辑一或高电压信号时在输出230处生成高电流信号(例如，21.5ma)。备选地，当开关218被配置为将或门216的输出路由到第一调节器222的第二输入228时，第一调节器222在或门216输出逻辑一或高电压信号时在输出230处生成低电流信号(例如3.6ma)。因此，当或门216的输出指示传感器104和/或处理器102的故障(通过输出逻辑一)时，第一调节器222的输出230是低电流信号或高电流信号(例如，3.6ma或21.5ma)，这取决于开关218的配置。另一方面，当或门216的输出指示传感器104或处理器102中的任何一个都没有发生故障时(通过输出逻辑零)，第一调节器222可以经由输出230提供零电流输出，呈现开路或其他高阻抗条件，经由输出230提供落在低电流值和高电流值中间的电流输出(例如，12ma)或任何其他能够与低电流值和高电流值区分的输出230。根据本文的教导，第一调节器222使用诸如逻辑门、晶体管、运算放大器、电阻器、电容器等的离散电子元件而被实现，但是不采用任何执行指令的处理器。
40.第二调节器224接收来自d/a转换器206的模拟信号232、来自hart 210的hart信号234以及第一调节器222的输出230。第二调节器224被配置使得在正常操作条件下(即传感器104或处理器102中的任何一个都没有发生故障，并且第一调节器222的输出230没有提供高电流值或低电流值)，来自d/a转换器206的模拟信号232被用于在第二调节器224的输出236处生成电流信号，该电流信号表示正被传感器104监测的设备组件位置。例如，电流信号可以在4ma和20ma之间变化，对应于设备组件的0-100％跨度。附加地，hart信号234被用来调制(例如，被叠加于)来自d/a转换器206的模拟信号(例如，电流信号)232，该hart信号234可以包含从智能过程控制设备100发送和发送到智能过程控制设备100的数字通信、消息、数据等。因此，在正常操作条件下，第二调节器224被配置为输出调制过的模拟信号(例如4-20ma)，该信号经由调制过的信号的模拟信号分量提供位置信息，并且包含附加数据和/或根据hart协议格式化的信息。
41.如上所述，当传感器104和/或处理器102的故障发生时，第一调节器222基于开关218的配置输出高电流值或低电流值，并且第二调节器222绕过或覆盖从d/a转换器206和hart 210接收的信号232、234中的一个或两者。因此，当传感器104和/或处理器102的故障发生时，第二调节器224使呈现在第一调节器222的输出230处的模拟信号在第二调节器224的输出236处被提供(例如，被传递通过到)。例如，如果开关218被配置为将或门216的输出路由到第一调节器222的第一输入226，当发生故障时，第一调节器222输出高电流信号(例如，21.5ma)并且第二调节器224还在输出236处提供高电流信号。在传感器104发生故障但是处理器102仍在操作的情况下，第二调节器224可以被配置为继续将hart信号234模块化到模拟信号上，使得第二调节器224的输出236通过高电流(例如21.5ma)的方式包括传感器故障指示并且继续提供与处理器102的hart通信。在处理器102发生故障，或传感器104和处理器102两者都发生故障的情况下，第二调节器224被配置为替换来自处理器102的信号
232、234，并且在输出236处仅提供高电流(在本例中)模拟信号。因此，通过经由通信接口114检查第二调节器224的输出236，有可能确定是否仅有传感器104发生故障，或者是否处理器102(以及可能地传感器104)发生故障。
42.在一些示例中，第二调节器224还被配置为响应于处理器102和/或传感器104的操作状态不在(多个)预定的正常操作范围内的指示，停止或以其他方式影响智能过程控制设备100的一个或多个操作。例如，当传感器104和处理器102中的一个或两者发生故障时，通过使操作控制225关闭智能过程控制设备100的电源，第二调节器222可以响应第一调节器222的输出230处的故障信号(例如，21.5ma)。进一步地，操作控制225响应于处理器102和/或传感器104被替换而重新启动智能过程控制设备100。
43.尽管在图1和图2中图示了用于智能过程控制设备100的离散逻辑安全系统的示例实现方式，但是图1和图2中图示的一个或多个元件、过程和/或设备可以以任何其他方式被组合、划分、重新布置、省略、消除和/或实现。进一步地，图1的示例心跳监测器108、示例传感器监测器110、示例故障指示器112和/或更一般地示例离散逻辑安全系统106可以通过硬件、软件、固件和/或硬件、软件和/或固件的任何组合来实现。因此，例如，示例心跳监测器108、示例传感器监测器110、示例故障指示器112和/或更一般地离散逻辑安全系统106的任何一个都可以通过一个或多个模拟或数字电路、逻辑电路、(多个)可编程处理器、(多个)可编程控制器、(多个)图形处理单元((多个)gpu)、(多个)数字信号处理器((多个)dsp)、(多个)特定应用集成电路((多个)asic)、(多个)可编程逻辑设备((多个)pld)和/或(多个)现场可编程逻辑设备((多个)fpld)来实现。当阅读本专利的任何装置或系统权利要求以涵盖纯软件和/或固件实现方式时，在此明确限定示例心跳监测器108、示例传感器监测器110和/或示例故障指示器112中的至少一个包括非临时性计算机可读存储设备或存储盘，诸如存储器、数字多功能盘(dvd)、光盘(cd)、蓝光盘等，包括软件和/或固件。还进一步地，图1的示例离散逻辑安全系统106可以包括一个或多个元件、过程和/或设备(除了图1和图2中图示的那些或代替那些)和/或可以包括一个以上的任何或所有图示的元件、过程和设备。如本文所使用的，短语“进行通信”包括其变化，涵盖直接通信和/或通过一个或多个中介组件的间接通信，并且不需要直接的物理(例如，有线)通信和/或持续通信，而是附加地包括相隔周期性间隔、已安排的间隔、非周期性间隔和/或一次性事件的选择性通信。
44.图3中示出了表示实现图1和图2的离散逻辑安全系统106的硬件逻辑的示例操作的流程图。进一步地，尽管参考图3中所示的流程图描述了示例操作，但是备选地，可以使用实现示例离散逻辑安全系统106的许多其他方法。例如，各块的执行顺序可以被改变，和/或所描述的一些块可以被改变、消除或组合。附加地或备选地，任何或所有的块可以由一个或多个硬件电路(例如，离散和/或集成的模拟和/或数字电路、比较器、运算放大器(op-amp)、逻辑电路等)而被实现，该硬件电路被构造为在不执行软件或固件的情况下执行对应的操作。
[0045]“包括“和”包含“(以及其所有形式和时态)在本文中被用作开放式术语。因此，每当权利要求采用任何形式的”包括“或”包含“(例如，包含、包括、正包含、正包括、具有等)作为序言或在任何种类的权利要求叙述内，要理解的是在不超出对应的权利要求或叙述的范围的情况下，附加的元件、术语等可以存在。如本文所使用的，当短语”至少“在例如权利要求的序言中被用作过渡术语时，它是开放式的，其方式与术语”包含“和”包括“是开放式的
相同。例如，术语”和/或“在诸如a、b和/或c这样的形式中使用时，是指a、b、c的任何组合或子集，诸如(1)单独的a；(2)单独的b；(3)单独的c；(4)a与b；(5)a与c；(6)b与c；以及(7)a与b与c。如本文在描述结构、组件、项目、物体和/或事物的上下文中使用的，短语”a和b中的至少一个“意指包括以下任何一个的实现方式：(1)至少一个a；(2)至少一个b；和(3)至少一个a和至少一个b。类似地，如本文在描述结构、北京、项目、对象和/或事物的上下文中使用的，短语”a或b中的至少一个“意指包括以下任何一个的实现方式：(1)至少一个a；(2)至少一个b；和(3)至少一个a和至少一个b。如本文在描述过程、操作、行动、活动和/或步骤的性能或执行的上下文中使用的，短语”a和b中的至少一个“意指包括以下任何一个的实现方式：(1)至少一个a；(2)至少一个b；和(3)至少一个a和至少一个b。类似地，如本文在描述过程、指令、行动、活动和/或步骤的性能或执行的上下文中使用的，短语“a或b中的至少一个”意指包括以下任何一个的实现方式：(1)至少一个a；(2)至少一个b；和(3)至少一个a和至少一个b中。
[0046]
如本文所使用的，单数引用(例如，“一个”、“一个”、“第一”、“第二”等)并不排除多数。本文所用的术语“一个”或“一个”实体，指的是该实体的一个或多个。术语“一个”(或“一个”)、“一个或多个”和“至少一个”在本文中可以互换地使用。此外，尽管单独列出，但是多个装置、元件或方法行动可以由例如单一单元或处理器来实现。附加地，尽管单个特征可以被包括在不同的示例或权利要求中，但是这些有可能可以被组合并且包括在不同的示例或权利要求中并不意味着特征的组合是不可行的和/或有利的。
[0047]
现在详细地转向图3的流程图300。在块302，离散逻辑安全系统106的心跳监测器108监测与智能过程控制设备100的处理器102相管理的条件。在一些示例中，例如，心跳监测器108监测处理器102的操作状态(诸如来自处理器102的心跳信号)。在这个示例中，离散逻辑安全系统106的计时器214验证处理器102的心跳信号示出器208是否周期性地发送心跳信号。具体地，计时器214基于心跳信号示出器208的预定的正常操作频率来实现心跳信号发生的阈值时限。
[0048]
在块304，离散逻辑安全系统106的心跳监测器108确定处理器102的操作状态是否在预定的正常操作信号范围内。例如，心跳监测器108的计时器214确定处理器102的心跳信号示出器208是否在预定的正常操作频率内操作。在一些示例中，如果计时器214在阈值时限过期之前接收到来自心跳信号生成器208的脉冲信号，则计时器214输出低电压(例如，逻辑零)并且在过程进行到块306时复位。
[0049]
相反，如果计时器214的阈值时限在接收到来自心跳信号生成器208的脉冲信号之前过期，则计时器214经由到或门216的高电压信号(例如，逻辑一)指示处理器102的操作状态不在预定的正常操作信号范围内，并且过程继续进行到块312。
[0050]
在块306，离散逻辑安全系统106监测与智能过程控制设备100相关联的传感器104的条件。在一些示例中，离散逻辑安全系统106包括传感器监测器110以监测传感器104的操作状态。在一些示例中，传感器监测器110包括操作性地耦接到传感器104的带阻滤波器212。在一些示例中，传感器104包括霍尔效应传感器202，该霍尔效应传感器202确定与耦接到智能过程控制设备100的移动组件的(多个)磁铁相关联的磁场强度。在一些这样的示例中，带阻滤波器212从霍尔效应传感器202接收与确定的磁场强度成比例的模拟信号，并且因此接收移动组件的位置。
[0051]
备选地，在一些示例中，离散逻辑安全系统106的传感器监测器110可以监测来自传感器104的a/d转换器204的原始计数。例如，霍尔效应传感器202向a/d转换器204发送与智能过程控制设备100的移动组件的位置成比例的模拟信号。在一些示例中，a/d转换器204将模拟信号转换为数字原始计数并且将原始计数发送到处理器102的d/a转换器206。在一些这样的示例中，d/a转换器206将原始计数转换为模拟信号并且将模拟信号发送到离散逻辑安全系统106。在其他示例中，传感器104的a/d转换器204可以被操作性地耦接至离散逻辑安全系统106。在一些这样的示例中，离散逻辑安全系统106监测来自a/d转换器204的数字信号(例如，原始计数)。
[0052]
在块308，离散逻辑安全系统106确定传感器104的操作状态是否在预定的正常操作信号范围内。在一些示例中，离散逻辑安全系统106的带阻滤波器212包括基于传感器104的预定正常操作信号范围的参数的高信号阈值(例如，高电压阈值、高电流阈值等)和低信号阈值(例如，低电压阈值、低电流阈值等)。在一些这样的示例中，如果来自传感器104的信号的电压在高电压阈值和低电压阈值之间，则带阻滤波器212输出低电压(例如，逻辑零)并且过程继续到块310。相反，如果来自传感器104的信号的电压高于高电压阈值或低于低电压阈值，则带阻滤波器向或门216输出高电压(例如，逻辑一)，并且过程继续到块312。
[0053]
附加地或备选地，当离散逻辑安全系统106监测来自传感器104的a/d转换器204的原始计数时，离散逻辑安全系统106类似地包括高原始计数阈值和低原始计数阈值。进一步地，在一些示例中，如果处理器102的d/a转换器206将a/d转换器204的原始计数转换为模拟信号，离散逻辑安全系统106分析该模拟信号。在一些这样的示例中，离散逻辑安全系统106的第二调节器224确定模拟信号的参数(例如，电压、电流、频率等)是否在预定的正常操作信号范围内。
[0054]
在块310，如果与处理器102相关联的第一条件和与传感器104相关联的第二条件在预定的正常操作范围内，则离散逻辑安全系统106检测到智能过程控制设备100的健康状况，并且过程返回到块302。在一些示例中，离散逻辑安全系统106的或门216检测到健康状况。例如，如果或门216从带阻滤波器212和计时器214接收到低电压信号(例如，逻辑零)，则或门216输出低电压信号(例如，逻辑零)。
[0055]
在块312，如果与处理器102相关联的第一条件或与传感器104相关联的第二条件不在预定的正常操作范围内，离散逻辑安全系统106的心跳监测器108和/或传感器监测器110检测到与智能过程控制设备100相关联的故障。在一些示例中，如果从带阻滤波器212或计时器214接收到高电压信号(例如，逻辑一)，离散逻辑安全系统106的或门216检测到故障。例如，如果计时器214过期而没有接收到来自处理器102的心跳信号，则计时器214向或门216输出高电压信号(例如，逻辑一)以指示与智能过程控制设备100的处理器102相关联的故障。附加地或备选地，如果带阻滤波器212从霍尔效应传感器202接收到高于高电压阈值或低于低电压阈值的电压，则带阻滤波器212向或门216输出高电压信号(例如，逻辑一)以指示与智能过程控制设备100的传感器104相关联的故障。
[0056]
在块314，离散逻辑安全系统106的故障指示器112经由到通信接口114的模拟信号指示处理器102或传感器104的故障。例如，响应于从带阻滤波器212或计时器214接收到高电压信号，或门216向开关218输出高电压信号。开关218基于由用户接口220确定的设置，向第一调节器222的第一输入226或第一调节器222的第二输入228输出信号，指示与智能过程
控制设备100相关联的故障。进一步地，当开关218被配置为将信号路由到第一输入226时，第一调节器222在输出230处生成高电流模拟信号以向第二调节器224指示故障，并且第二调节器224在输出236处向通信接口114提供高电流模拟信号。在一些示例中，通信接口114基于输出236的参数，经由视觉指示器116、118指示故障是否源自处理器102或传感器104。附加地，第二调节器224可以使操作控制225响应于在输出230处接收的故障而关闭智能过程控制设备100的电源。
[0057]
从上述内容要理解的是，已经公开了使得智能过程控制设备产生透彻的现场故障数据的示例方法、装置和制品，该现场故障数据可以与智能过程控制设备的理论分析相比较。更具体地，本文描述的示例为智能过程控制设备仪器式配备(instrument)了离散逻辑安全系统，该离散逻辑安全系统使得智能过程控制设备能够使用a类分类进行认证，从而大大提高智能过程控制设备的可维修性。
[0058]
本文公开了用于指示过程控制设备的故障的示例方法、装置、系统和制品。进一步的示例和其组合包括以下内容：
[0059]
示例1包括用于指示过程控制设备的故障的装置，该装置包括：心跳监测器，被操作性地耦接至过程控制设备的处理器，以监测处理器的第一条件；传感器监测器，被操作性地耦接至过程控制设备的传感器，以监测传感器的第二条件；以及第一离散逻辑，操作性地耦接到心跳监测器和传感器监测器，以基于第一条件或第二条件生成与过程控制设备相关联的故障指示。
[0060]
示例2包括示例1的装置，其中第一条件是处理器的操作状态。
[0061]
示例3包括示例1的设备，其中第二条件是传感器的操作状态。
[0062]
示例4包括示例1的装置，其中过程控制设备的传感器是位置传感器。
[0063]
示例5包括示例4的装置，其中位置传感器是霍尔效应传感器。
[0064]
示例6包括示例1的装置，其中故障指示经由独立于处理器的模拟信号而被生成。
[0065]
示例7包括示例6的装置，其中模拟信号替换来自处理器的第一输出信号。
[0066]
示例8包括示例7的装置，故障的类型基于来自处理器的第二输出信号而被确定。
[0067]
示例9包括示例1的装置，其中过程控制设备响应于故障指示而停止至少一个功能。
[0068]
示例10包括示例9的装置，其中过程控制设备响应于处理器或传感器被替换而重新启动。
[0069]
示例11包括示例1的装置，其中第一离散逻辑包括与门、或门、非门、与非门、非或门、互斥或门或互斥反或门中的至少一种。
[0070]
示例12包括示例1的装置，其中心跳监测器和传感器监测器包括被耦接至第一离散逻辑的第二离散逻辑。
[0071]
示例13包括示例1的装置，其中过程控制设备是过程变送器、阀门或致动器中的至少一种。
[0072]
示例14包括用于指示过程控制设备的故障的方法，该方法包括经由心跳监测器监测与过程控制设备相关联的处理器的第一条件；经由传感器监测器监测与过程控制设备相关联的传感器的第二条件；基于第一条件和第二条件，经由第一离散逻辑检测处理器或传感器的故障；以及指示处理器或传感器的故障。
[0073]
示例15包括示例14的方法，其中第一条件是处理器的操作状态。
[0074]
示例16包括示例14的方法，其中第二条件是传感器的操作状态。
[0075]
示例17包括示例14的方法，其中心跳监测器和传感器监测器包括被耦接至第一离散逻辑的第二离散逻辑。
[0076]
示例18包括示例14的方法，还包括响应于检测到处理器或传感器的故障而停止过程控制设备的至少一个功能。
[0077]
示例19包括示例14的方法，其中指示处理器或传感器的故障包括生成独立于处理器的模拟信号。
[0078]
示例20包括用于指示过程控制设备的故障的装置，该装置包括：用于监测以标识过程控制设备的处理器的第一条件的第一部件；用于监测以标识过程控制设备的传感器的第二条件的第二部件；用于基于第一条件或第二条件标识故障的部件；以及用于在未满足第一条件或第二条件时、指示以停止过程控制设备的至少一个功能的部件。
[0079]
示例21包括如示例20中限定的装置，其中用于标识的部件使用离散逻辑来标识过程控制设备的操作状态是否在预定的功能范围之外。
[0080]
示例22包括如示例21中限定的装置，其中用于指示的部件是指示过程控制设备的操作状态在预定的功能范围之外。
[0081]
尽管本文已经公开了某些示例方法、装置和制品，但是本专利的覆盖范围并不限于此。相反，本专利涵盖所有公平地属于本专利的权利要求范围的方法、装置和制品。
[0082]
以下权利要求在此通过提及而被纳入本详细的说明书，每项权利要求作为本公开的单独实施例而独立存在。