[go: up one dir, main page]

WO2014124792A1 - Feldgerät für eine sicherheitskritische anwendung mit redundanten messkanälen in einem fpga - Google Patents

Feldgerät für eine sicherheitskritische anwendung mit redundanten messkanälen in einem fpga Download PDF

Info

Publication number
WO2014124792A1
WO2014124792A1 PCT/EP2014/051424 EP2014051424W WO2014124792A1 WO 2014124792 A1 WO2014124792 A1 WO 2014124792A1 EP 2014051424 W EP2014051424 W EP 2014051424W WO 2014124792 A1 WO2014124792 A1 WO 2014124792A1
Authority
WO
WIPO (PCT)
Prior art keywords
reconfiguration
field device
fpga
fpaa
measurement
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
PCT/EP2014/051424
Other languages
English (en)
French (fr)
Inventor
Romuald Girardey
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Endress and Hauser SE and Co KG
Original Assignee
Endress and Hauser SE and Co KG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Endress and Hauser SE and Co KG filed Critical Endress and Hauser SE and Co KG
Priority to US14/768,270 priority Critical patent/US10054925B2/en
Publication of WO2014124792A1 publication Critical patent/WO2014124792A1/de
Anticipated expiration legal-status Critical
Ceased legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0428Safety, monitoring
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/05Programmable logic controllers, e.g. simulating logic interconnections of signals according to ladder diagrams or function charts
    • G05B19/058Safety, monitoring
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • G05B9/03Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
    • HELECTRICITY
    • H03ELECTRONIC CIRCUITRY
    • H03KPULSE TECHNIQUE
    • H03K19/00Logic circuits, i.e. having at least two inputs acting on one output; Inverting circuits
    • H03K19/02Logic circuits, i.e. having at least two inputs acting on one output; Inverting circuits using specified components
    • H03K19/173Logic circuits, i.e. having at least two inputs acting on one output; Inverting circuits using specified components using elementary logic circuits as components
    • H03K19/177Logic circuits, i.e. having at least two inputs acting on one output; Inverting circuits using specified components using elementary logic circuits as components arranged in matrix form
    • H03K19/17724Structural details of logic blocks
    • H03K19/17728Reconfigurable logic blocks, e.g. lookup tables
    • HELECTRICITY
    • H03ELECTRONIC CIRCUITRY
    • H03KPULSE TECHNIQUE
    • H03K19/00Logic circuits, i.e. having at least two inputs acting on one output; Inverting circuits
    • H03K19/02Logic circuits, i.e. having at least two inputs acting on one output; Inverting circuits using specified components
    • H03K19/173Logic circuits, i.e. having at least two inputs acting on one output; Inverting circuits using specified components using elementary logic circuits as components
    • H03K19/177Logic circuits, i.e. having at least two inputs acting on one output; Inverting circuits using specified components using elementary logic circuits as components arranged in matrix form
    • H03K19/17748Structural details of configuration resources
    • H03K19/17756Structural details of configuration resources for partial configuration or partial reconfiguration
    • HELECTRICITY
    • H03ELECTRONIC CIRCUITRY
    • H03KPULSE TECHNIQUE
    • H03K19/00Logic circuits, i.e. having at least two inputs acting on one output; Inverting circuits
    • H03K19/02Logic circuits, i.e. having at least two inputs acting on one output; Inverting circuits using specified components
    • H03K19/173Logic circuits, i.e. having at least two inputs acting on one output; Inverting circuits using specified components using elementary logic circuits as components
    • H03K19/177Logic circuits, i.e. having at least two inputs acting on one output; Inverting circuits using specified components using elementary logic circuits as components arranged in matrix form
    • H03K19/17748Structural details of configuration resources
    • H03K19/1776Structural details of configuration resources for memories
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/21Pc I-O input output
    • G05B2219/21109Field programmable gate array, fpga as I-O module
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/25Pc structure of the system
    • G05B2219/25428Field device

Definitions

  • the invention relates to a field device for determining or monitoring a process variable in automation technology, wherein the field device
  • Safety standard is sufficient, which is required in a given safety-critical application, with a sensor that operates according to a defined measurement principle, and with a control / evaluation unit, the measuring data supplied by the sensor along at least three redundant and / or diversified 10 designed measuring channels processed and evaluated.
  • a corresponding solution has become known from WO 2004/013585 A1.
  • field devices are used which are used to determine and monitor
  • process variables are used.
  • field devices are level gauges, flowmeters, analyzers, pressure and temperature measuring devices, humidity and conductivity meters, density and viscosity meters.
  • the sensors of these field devices detect the corresponding process variables, e.g. level, flow, pH, substance concentration, pressure, temperature, humidity,
  • field devices in modern automation systems are connected via communication networks, such as HART multidrop, point-to-point connection, Profibus,
  • Foundation Fieldbus connected to a higher-level entity called a control system or control room.
  • This higher-level unit is used for process control, process visualization, process monitoring as well as commissioning and operation of the field devices.
  • For the operation of fieldbus systems necessary additional components that are directly connected to a fieldbus and in particular for
  • Field devices referred. These additional components are, for. For example, remote I / Os, gateways, linking devices, controllers or wireless adapters.
  • Redundancy means increased safety through double or multiple design of all safety-related hardware and software components.
  • Diversity means that the hardware components located in the different measurement channels, e.g. a microprocessor, from different manufacturers and / or that they are of different types.
  • software components diversity requires that the software stored in the microprocessors come from different sources, ie from different manufacturers or programmers. All these measures should ensure that a safety - critical failure of the
  • An example of a safety-relevant application is the level monitoring in a tank in which a flammable or a non-flammable, but water-polluting liquid is stored. Here it must be ensured that the supply of liquid to the tank is interrupted immediately as soon as a maximum permissible level is reached. This, in turn, requires that the meter reliably detects the level and operates without errors.
  • the measuring channel is designed to be redundant and / or diverse, however, the voter, usually a microprocessor, represents the Achilles heel of a field device which should meet high and highest safety requirements.
  • the microprocessor is designed monolithic. If a dangerous fault occurs (according to the nomenclature of the aforementioned standard), the field device fails. In order to comply with the requirements of SIL 3, the proportion of
  • a comparator stage that compares the output signals provided by the individual measurement channels with each other
  • the invention has for its object to provide a field device, which is characterized by increased functional safety.
  • the object is achieved in that the control / evaluation of the
  • Field device are associated with at least two redundant reconfiguration controls, one of the two redundant
  • two digital measurement channels and the two reconfiguration controllers are arranged on a dynamically reconfigurable FPGA chip, which consists of a plurality of configurable logic blocks, the so-called CLB - Configurable Logic Blocks, which are arranged in a substantially rectangular matrix. consisting of columns and rows, are arranged.
  • This structure of the FPGA chip is specified by the manufacturer.
  • each column includes both logical blocks associated with one of the digital measurement channels and logical blocks that are one of the digital measurement channels
  • the first sub-area with the first digital measurement channel and the third sub-area with the first reconfiguration controller can only be configured or reconfigured together.
  • Reconfiguration control only jointly configurable or reconfigurable.
  • a preferred embodiment of the field device provides that the control / evaluation unit is configured such that when a malfunction occurs in one of the two digital measurement channels, the reconfiguration control, which is assigned to the correctly operating measurement channel, the reconfiguration of the malfunctioning measuring channel and the associated reconfiguration control takes over.
  • the preferred arrangement of the subregions allows the two redundant reconfiguration controls to monitor each other.
  • a third measuring channel is provided, which is configured in an analog-based manner in an FPAA, the third measuring channel being reconfigured in the event of a malfunction via one of the two redundant reconfiguration controls.
  • a first memory unit is assigned to the first reconfiguration controller and a second memory unit is assigned to the second reconfiguration controller.
  • at least the reconfiguration data of the second measuring channel and the second one are assigned to the first memory unit assigned to the first reconfiguration control
  • Reconfiguration control associated with the second memory unit at least the
  • each of the two reconfiguration controls is capable of performing two diagnostic functions.
  • the two diagnostic functions ensure that the reconfiguration process runs correctly and with the required high level of safety. The following is a little closer to the two diagnostic functions: a) The first diagnostic function provides that each of the two
  • Reconfiguration controls a CRC verification of the memory unit, which is assigned to the other reconfiguration control makes.
  • the memory unit is preferably a flash memory in which reconfiguration data are stored.
  • Reconfiguration data stored in the memory unit associated with the unconfigured reconfiguration controller For example, the FPGA chips SPARTAN 3E and ANADIGM Vortex AN221 E04 have a corresponding read-back function. The previously described
  • Diagnostic function is preferably performed after each reconfiguration process - that is, event-driven.
  • diagnosis can also be performed at predetermined periodic or aperiodic time intervals. If the check returns a negative result, it is provided that the monitoring function causes a renewed reconfiguration of the incorrectly configured subregions.
  • Reconfiguration data of the third measurement channel are stored, which is preferably configured analog-based in one or more FPAA.
  • FPAA preferably configured analog-based in one or more FPAA.
  • four FPAAs are used for the measuring channel MK3.
  • Reconfiguration controllers are able to reconfigure the analog-based measurement channel in the event of an error.
  • the individual subareas of the FPGA be spaced apart by a respective forbidden area, a temperature change and / or a change in voltage in a subregion have / have no safety-critical influence on one of the adjacent subregions.
  • An advantageous embodiment of the field device provides that, during measurement operation, the reconfiguration controls check at predefined or event-controlled intervals whether the reconfiguration data stored in the associated memory units matches the current configuration data according to which the
  • each reconfiguration controller checks at predetermined or event-controlled intervals whether the reconfiguration data stored in the memory unit associated with the other reconfiguration controller is correct.
  • the FPGA and the FPAA are each assigned a configuration interface via which the corresponding subregions of the FPGA or the at least one FPAA are reconfigured in the event of a malfunction.
  • a control is further provided via which the access of the reconfiguration controls to the configuration interface (s) of the FPGA and / or the FPAA takes place.
  • FIG. 1 shows a schematic representation of a preferred embodiment of the control / evaluation unit of the field device according to the invention
  • FIG. 2 shows a preferred embodiment of the FPGA on which the control / evaluation unit of the field device according to the invention is arranged.
  • the control / evaluation unit 9 has three redundant and / or diversified measuring channels MK1, MK2, MK3, in which the measured values supplied by the sensor are processed and evaluated during measuring operation ,
  • the first measuring channel MK1 and the second measuring channel MK2 are implemented as digital measuring channels MK1, MK2 on an FPGA chip FPGA, while the third measuring channel MK3 is an analog measuring channel FPAA.
  • the control / evaluation unit 9 are assigned at least two redundant reconfiguration controls RS, wherein one of the two redundant reconfiguration controls RS at Occurrence of a malfunction in one of the measurement channels MK the dynamic measurement channel MK dynamically or partially dynamically reconfigured.
  • the control / evaluation unit 9 is assigned a safe voter, as described in the already mentioned DE 102012106652.3.
  • a safe voter in principle, there are two possibilities for implementing a safe voter in a field device that is to satisfy a given safety standard: Either the safe voter is at least partially integrated into the control / evaluation unit 9, or the safe voter is an integral part of a safe current output module , as described in the aforementioned DE 10 2013 100159.9.
  • FIG. 1 shows the case in which the safe voter is implemented in the control / evaluation unit 9, wherein at least individual components of the safe voter are integrated directly into the measurement channels MK1, MK2, MK3.
  • each measuring channel MK1, MK2, MK3 contains two comparators K which compare the output signals 1, 2, 3 of the individual redundant and / or diversified measuring channels MK1, MK2, MK3.
  • the output signals 3, which are used for the comparison via the comparators K, are analogue output signals 3, which are forwarded to the current output module, which is not shown separately in FIG.
  • the digital output signals 1, 2 of the digital measurement channels MK1, MK2 are concerned, these are generated via a pulse width modulator PMW, filtered via a low-pass filter TP and forwarded to the current output module, which is not shown separately.
  • the output signals 3 of the analog measuring channel MK3 are already present in analog form, so that a conversion can be omitted.
  • the analog output signals 1, 2, 3 are digitized via internal or external analog / digital converters ADC and transferred as digital output signals 1 D, 2D, 3D to the comparators K of the first and second measuring channels MK1, MK2.
  • the output signals 1, 2, 3 of the comparators K are transferred to the error detection stages FK. While the error detection stages FK1, FK2 are integrated into the corresponding measurement channels MK1, MK2, the error detection stage FK3 of the analog measurement channel MK3 is positioned outside the FPAA. The reason for this arrangement is that an AND gate can not be integrated into the FPAA. There are two fault detection stages FK each of the measuring channels MK1, MK2, MK3 assigned. One of the error detection stages FK monitors in each case the output signals of the comparators K, which are assigned to the corresponding measurement channel MK, while the other
  • Error detection stage FK monitors the comparators K of the two other measurement channels MK.
  • the simply executed selection stage which is assigned to the secure voter and which is not shown separately in FIG. 1, is likewise arranged outside the FPGA chip FPGA since it belongs to each of the measurement channels MK. Further information on the selection stage can be found in DE 102012106652.3.
  • Reconfiguration controls detected RS this information is passed to the correctly operating reconfiguration controller RS, which performs the reconfiguration of the malfunctioning sub-areas 8.
  • At least two digital measurement channels MK1, MK2 and the two redundant reconfiguration controllers RS1, RS2 are dynamic
  • the reconfigurable FPGA chip FPGA arranged.
  • the first digital measuring channel MK1 is associated with a DSP, while the second digital measuring channel MK2
  • the FPGA chip FPGA consists of a plurality of configurable logical blocks CLB. These configurable logical blocks CLB are arranged in a substantially rectangular matrix consisting of columns SP and rows ZE.
  • the FPGA chip FPGA is designed such that the smallest configurable or reconfigurable unit are the configurable logical blocks CLB arranged in a column SP.
  • the configurable logic blocks CLB of the FPGA chip FPGA are divided into four subgroups 3, which are arranged substantially symmetrically to one another. In the first sub-area 8.1 and in the second sub-area 8.2 two digital measurement channels MK1, MK2 are arranged, while in the third
  • Reconfiguration controls RS1, RS2 are arranged.
  • the individual subregions 8 of the FPGA chip FPGA are spaced apart from one another by a respective forbidden region 5 such that a change in temperature and / or a voltage in a subregion 8 does not have a safety-critical influence on one of the adjacent ones
  • Subareas 8 have / has.
  • Reconfiguration of the configurable logical blocks CLB are the first sub-area 8.1 with the first digital measurement channel MK1 and the third sub-area 8.3 with the first reconfiguration controller RS1 only reconfigurable together.
  • first sub-area 8.2 with the second digital measuring channel MK2 or in the fourth sub-area 8.4 with the second Reconfiguration control RS2 both subsections 8.2, 8.4 only together
  • the reconfiguration controller RS1; RS2 which is the correct measuring channel MK1; MK2 is assigned, the reconfiguration of the malfunctioning measuring channel MK1; MK2 and the associated reconfiguration controller RS1; RS2. If the malfunction occurs in the third measuring channel MK3, which in the case shown is configured analog-based in one or more - preferably four - FPAA, then the dynamic or the dynamic partial reconfiguration of one of the two redundant
  • Reconfiguration controls RS1, RS2 taken over.
  • the corresponding subregions 8 of the FPGA chip FPGA are reconfigured in the event of a malfunction via the configuration interface 7 assigned to the FPGA chip FPGA.
  • Malfunction in the FPAA occurs the access of the reconfiguration controller RS via the configuration interface 6.
  • the access of the reconfiguration controls RS1, RS2 to the reconfiguration interfaces 6, 7 is controlled by a controller which is an integral part of the respective reconfiguration controls RS1, RS2.
  • a controller which is an integral part of the respective reconfiguration controls RS1, RS2.
  • the access for the other reconfiguration controller RS1, RS2 is blocked.
  • the first reconfiguration controller RS1 is assigned a first memory unit 4.1 and the second reconfiguration controller RS2 has a second memory unit 4.2. At least the reconfiguration data of the second measurement channel MK2 and the second reconfiguration controller RS2 are stored in the first memory unit 4.1 assigned to the first reconfiguration controller RS1. Furthermore, the reconfiguration data of the analog-based measurement channel MK3 can be found here. In the second reconfiguration controller RS2 associated second
  • Memory unit 4.2 at least the reconfiguration data of the first measurement channel MK1 and the first reconfiguration controller RS1 are stored. Here, too, the reconfiguration data of the third measurement channel MK3 can be found.
  • the reconfiguration controllers RS check in normal measuring operation at predetermined or event-controlled intervals whether the reconfiguration data stored in the associated memory units 4 agrees with the current configuration data according to which the corresponding subareas 8 are configured. If deviations occur, then one becomes
  • each of the two redundant reconfiguration control RS is in predetermined or event-controlled intervals checked. In particular, it is monitored whether the reconfiguration data stored in the corresponding memory unit 4 assigned to the respective other reconfiguration controller RS is correct. a) The first diagnostic function provides that each of the two
  • Reconfiguration controls a CRC verification of the memory unit, which is assigned to the other reconfiguration control makes.
  • the second diagnostic function ensures that each reconfiguration controller RS monitors the correct execution of the reconfiguration process performed by the other reconfiguration controller. For this purpose, the configuration data of the corresponding sub-areas 8 of the FPGA chips FPGA and possibly the FPAA are read back and with the corresponding
  • the diagnostic function described above is preferably carried out after each reconfiguration process - that is, event-controlled. It goes without saying that the diagnosis can also be performed at predetermined periodic or aperiodic time intervals. Delivers the

Landscapes

  • Physics & Mathematics (AREA)
  • Engineering & Computer Science (AREA)
  • Mathematical Physics (AREA)
  • General Physics & Mathematics (AREA)
  • Automation & Control Theory (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Logic Circuits (AREA)
  • Safety Devices In Control Systems (AREA)

Abstract

Die Erfindung betrifft ein Feldgerät zur Bestimmung oder Überwachung einer Prozessgröße in der Automatisierungstechnik, wobei das Feldgerät einem Sicherheitsstandard genügt, der in einer vorgegebenen sicherheitskritischen Anwendung gefordert ist, mit einem Sensor (S), der nach einem definierten Messprinzip arbeitet, und mit einer Kontroll-/Auswerteeinheit (9), die im störungsfreien Messbetrieb des Sensors (S) die vom Sensor (S) gelieferten Messdaten entlang von zumindest drei redundanten und/oder diversitär ausgelegten Messkanälen (MK) aufbereitet und auswertet, wobei der Kontroll-/Auswerteeinheit (9) zumindest zwei redundante Rekonfigurationssteuerungen (RS) zugeordnet sind, und wobei eine der beiden redundanten Rekonfigurationssteuerungen (RS) bei Auftreten einer Fehlfunktion in einem der Messkanäle (MK) den fehlerhaften Messkanal (MK) dynamisch oder partiell dynamisch rekonfiguriert.

Description

FELDGERÄT FÜR EINE SICHERHEITSKRITISCHE ANWENDUNG MIT REDUNDANTEN
MESSKANÄLEN IN EINEM FPGA
Die Erfindung betrifft ein Feldgerät zur Bestimmung oder Überwachung einer 5 Prozessgröße in der Automatisierungstechnik, wobei das Feldgerät einem
Sicherheitsstandard genügt, der in einer vorgegebenen sicherheitskritischen Anwendung gefordert ist, mit einem Sensor, der nach einem definierten Messprinzip arbeitet, und mit einer Kontroll-/Auswerteeinheit, die im Messbetrieb des Sensors die vom Sensor gelieferten Messdaten entlang von zumindest drei redundanten und/oder diversitär 10 ausgelegten Messkanälen aufbereitet und auswertet. Eine entsprechende Lösung ist aus der WO 2004/013585 A1 bekannt geworden.
In der Automatisierungstechnik, insbesondere in der Prozessautomati-sierungstechnik, werden Feldgeräte eingesetzt, die zur Bestimmung und Überwachung von
15 Prozessvariablen dienen. Beispiele für derartige Feldgeräte sind Füllstandsmessgeräte, Durchflussmessgeräte, Analysemessgeräte, Druck- und Temperaturmessgeräte, Feuchte- und Leitfähigkeitsmessgeräte, Dichte und Viskositätsmessgeräte. Die Sensoren dieser Feldgeräte erfassen die entsprechenden Prozessvariablen, z.B. den Füllstand, den Durchfluss, den pH-Wert, die Stoffkonzentration, den Druck, die Temperatur, die Feuchte,
20 die Leitfähigkeit, die Dichte oder die Viskosität.
Unter den Begriff 'Feldgeräte' werden in Verbindung mit der Erfindung aber auch Aktoren, z. B. Ventile oder Pumpen, subsumiert, über die beispielsweise der Durchfluss einer Flüssigkeit in einer Rohrleitung oder der Füllstand in einem Behälter veränderbar ist. Eine 25 Vielzahl solcher Feldgeräte wird von der Firmengruppe Endress + Hauser angeboten und vertrieben.
In der Regel sind Feldgeräte in modernen automatisierungstechnischen Anlagen über Kommunikationsnetzwerke, wie HART- Multidrop, Punkt zu Punkt Verbindung, Profibus,
30 Foundation Fieldbus, mit einer übergeordneten Einheit verbunden, die als Leitsysteme oder Leitwarte bezeichnet wird. Diese übergeordnete Einheit dient zur Prozesssteuerung, zur Prozessvisualisierung, zur Prozess Überwachung sowie zur Inbetriebnahme und zum Bedienen der Feldgeräte. Für den Betrieb von Feldbussystemen notwendige Zusatzkomponenten, die direkt an einen Feldbus angeschlossen sind und die insbesondere zur
35 Kommunikation mit den übergeordneten Einheiten dienen, werden ebenfalls häufig als
Feldgeräte bezeichnet. Bei diesen Zusatz-komponenten handelt es sich z. B. um Remote I/Os, Gateways, Linking Devices, Controller oder Wireless Adapter.
Je nach Anwendungsfall müssen die Feldgeräte unterschiedlichsten
40 Sicherheitsanforderungen genügen. Um den jeweiligen Sicherheits-anforderungen, z.B. der IEC61508 (SIL-Standard 'Safety Integrity Level') zu genügen, müssen die Feldgeräte redundant und/oder diversitär ausgelegt sein.
Redundanz bedeutet erhöhte Sicherheit durch doppelte oder mehrfache Auslegung aller sicherheitsrelevanter Hard- und Software-Komponenten. Diversität bedeutet, dass die in den unterschiedlichen Messkanälen befindlichen Hardware-Komponenten, wie z.B. ein Mikroprozessor, von unterschiedlichen Herstellern stammen und/oder dass sie von unterschiedlichem Typ sind. Im Falle von Software-Komponenten erfordert die Diversität, dass die in den Mikroprozessoren gespeicherte Software aus unterschiedlichen Quellen, sprich von unterschiedlichen Herstellern bzw. Programmierern stammt. Durch alle diese Maßnahmen soll sichergestellt werden, dass ein sicherheitskritischer Ausfall des
Feldgeräts ebenso wie das Auftreten von gleichzeitig auftretenden systematischen Fehlern bei der Messwertbereitstellung mit hoher Wahrscheinlichkeit ausgeschlossen ist. Ein Beispiel für eine sicherheitsrelevante Applikation ist die Füllstands-überwachung in einem Tank, in dem eine brennbare oder auch eine nicht brennbare, dafür aber wassergefährdende Flüssigkeit gelagert ist. Hier muss sichergestellt sein, dass die Zufuhr von Flüssigkeit zu dem Tank sofort unterbrochen wird, sobald ein maximal zulässiger Füllstand erreicht ist. Dies wiederum setzt voraus, dass das Messgerät hoch zuverlässig den Füllstand detektiert und fehlerfrei arbeitet.
Zwar ist bei den bekannten Lösungen der Messkanal redundant und/oder diversitär ausgelegt, jedoch stellt der Voter, üblicherweise ein Mikroprozessor, die Achillesferse eines Feldgeräts dar, das hohen und höchsten Sicherheitsanforderungen genügen soll. Der Mikroprozessor ist monolithisch ausgestaltet. Tritt hier ein gefahrbringender Fehler (entsprechend der Nomenklatur des zuvor genannten Standards) auf, so versagt das Feldgerät. Um die Anforderungen von SIL 3 zu erfüllen, darf der Anteil der
gefahrbringenden Fehler zu der Anzahl aller möglichen Fehler bei maximal einem Prozent liegen. Mit einem herkömmlichen Mikroprozessor ist dieser Sicherheitslevel nicht zu erreichen.
Um dieses Problem zu lösen, wird in der nicht vorveröffentlichten DE 10 2012 106 652.3, angemeldet am 23.07.2012, ein Feldgerät beschrieben, dessen Voter als Mehrheitsvoter ausgestaltet ist und der drei Stufen umfasst:
eine Komparatorstufe, die die von den einzelnen Messkanälen gelieferten Ausgangssignale miteinander vergleicht;
eine Fehlererkennungsstufe, die durch geeignete Verknüpfung der
Ausgangssignale der Komparatorstufe einen in einem Messkanal auftretenden
Fehler erkennt, und
eine Ausgangsauswahlstufe. Der Inhalt der DE 10 2012 106 652.3, insbesondere im Hinblick auf die Bezugnahme auf den Voter, ist dem Offenbarungsgehalt der vorliegenden Patentanmeldung zuzurechnen. Desweiteren ist aus der nicht vorveröffentlichten DE 10 2013 100159.9, angemeldet am 09.01.2013 ein Feldgerät bekannt geworden, das die hohe Sicherheitsstufe auch im Bereich des Stromausgangsmoduls z.B. bei einem 4-20mA Zwei- oder Vier- Draht-Feldgerät erfüllt. Der entsprechende Offenbarungsgehalt ist gleichfalls zum Inhalt der vorliegenden Patentanmeldung hinzuzurechnen.
Tritt in einem der Messkanäle eine Fehlfunktion auf, so wird diese behoben, indem eine Rekonfigurationssteuerung den fehlerhaft arbeitenden Messkanal rekonfiguriert. Tritt jedoch die Fehlfunktion in der Rekonfigurationssteuerung selbst auf, so ist ein korrekt ablaufender Rekonfigurationsprozess nach Auftreten einer Fehlfunktion in einem der Messkanäle nicht mehr sichergestellt. Der Erfindung liegt die Aufgabe zugrunde, ein Feldgerät vorzuschlagen, das sich durch eine erhöhte funktionale Sicherheit auszeichnet.
Die Aufgabe wird dadurch gelöst, dass der Kontroll-/Auswerteeinheit des
erfindungsgemäßen Feldgeräts zumindest zwei redundante Rekonfigurations- Steuerungen zugeordnet sind, wobei eine der beiden redundanten
Rekonfigurationssteuerungen bei Auftreten einer Fehlfunktion in einem der Messkanäle den fehlerhaften Messkanal dynamisch oder partiell dynamisch rekonfiguriert. Durch die erfindungsgemäße Lösung wird die funktionale Sicherheit des Feldgeräts erhöht, insbesondere dann, wenn neben den Rekonfigurationssteuerungen auch die Messkanäle und der Voter redundant und/oder diversitär ausgeführt sind. Wie bereits an
vorhergehender Stelle erwähnt, ist der sichere Voter in der nicht vorveröffentlichten DE 10 2012 106 652.3, angemeldet am 23.07.2012 beschrieben.
Gemäß einer vorteilhaften Ausgestaltung des erfindungsgemäßen Feldgeräts sind zwei digitale Messkanäle und die beiden Rekonfigurationssteuerungen auf einem dynamisch rekonfigurierbaren FPGA Chip angeordnet, der aus einer Vielzahl von konfigurierbaren logischen Blöcken, den sogenannten CLB - Configurable Logic Blocks - besteht, die in einer im Wesentlichen rechtwinkligen Matrix, bestehend aus Spalten und Zeilen, angeordnet sind. Diese Struktur des FPGA Chip ist herstellerseitig vorgegeben.
Ist der FPGA Chip so ausgestaltet, dass die kleinste konfigurierbare oder
rekonfigurierbare Einheit die in einer Spalte angeordneten konfigurierbaren logischen Blöcke sind, so sind die in einer Spalte angeordneten konfigurierbaren logischen Blöcke nur gemeinsam rekonfigurierbar. Als Beispiel für einen derart ausgestalteten FPGA Chip ist der Spartan 3E FPGA zu nennen. Weiterhin ist im Zusammenhang mit dem erfindungsgemäßen Feldgerät vorgesehen, dass die konfigurierbaren logischen Blöcke des FPGA in vier Untergruppen aufgeteilt sind, die im Wesentlichen symmetrisch zueinander angeordnet sind, wobei in dem ersten Unterbereich und in dem zweiten Unterbereich zwei digitale Messkanäle angeordnet sind, und wobei in dem dritten Unterbereich und in dem vierten Unterbereich die beiden redundanten Rekonfigurationssteuerungen angeordnet sind. In Einklang mit dieser bevorzugten Anordnung enthält jede Spalte somit sowohl logische Blöcke, die einem der digitalen Messkanäle zugeordnet sind, als auch logische Blöcke, die einer der
Rekonfigurationssteuerungen zugeordnet sind.
Als Folge hiervon können der erste Unterbereich mit dem ersten digitalen Messkanal und der dritte Unterbereich mit der ersten Rekonfigurations-steuerung nur gemeinsam konfiguriert oder rekonfiguriert werden. Ebenso sind der zweite Unterbereich mit dem zweiten digitalen Messkanal und der vierte Unterbereich mit der zweiten
Rekonfigurationssteuerung nur gemeinsam konfigurierbar oder rekonfigurierbar.
Eine bevorzugte Ausgestaltung des erfindungsgemäßen Feldgeräts sieht vor, dass die Kontroll-/Auswerteeinheit so ausgestaltet ist, dass bei Auftreten einer Fehlfunktion in einem der beiden digitalen Messkanäle die Rekonfigurations-steuerung, die dem korrekt arbeitenden Messkanal zugeordnet ist, die Rekonfiguration des fehlerhaft arbeitenden Messkanals und der zugehörigen Rekonfigurationssteuerung übernimmt.
Durch die bevorzugte Anordnung der Unterbereiche ist es möglich, dass die beiden redundanten Rekonfigurationssteuerungen sich gegenseitig überwachen können.
Gemäß einer vorteilhaften Weiterbildung des erfindungsgemäßen Feldgeräts ist ein dritter Messkanäle vorgesehen, der analogbasiert in einem FPAA konfiguriert ist, wobei der dritte Messkanal bei Auftreten einer Fehlfunktion über eine der beiden redundanten Rekonfigurationssteuerungen rekonfiguriert wird.
Besonders vorteilhaft ist es in Verbindung mit dem erfindungsgemäßen Feldgerät, wenn der ersten Rekonfigurationssteuerung eine erste Speichereinheit und der zweiten Rekonfigurationssteuerung eine zweite Speichereinheit zugeordnet ist. Hierbei sind in der der ersten Rekonfigurationssteuerung zugeordneten ersten Speichereinheit zumindest die Rekonfigurationsdaten des zweiten Messkanals und der zweiten
Rekonfigurationssteuerung gespeichert sind, während in der der zweiten
Rekonfigurationssteuerung zugeordneten zweiten Speichereinheit zumindest die
Rekonfigurationsdaten des ersten Messkanals und der ersten Rekonfigurationssteuerung gespeichert sind. Mittels dieser Ausgestaltung ist jede der beiden Rekonfigurationssteuerungen in der Lage, zwei Diagnosefunktionen auszuführen. Über die beiden Diagnosefunktionen wird sichergestellt, dass der Rekonfigurationsprozess korrekt und mit der geforderten hohen Sicherheit abläuft. Im Folgenden wird etwas näher auf die beiden Diagnosefunktionen eingegangen: a) Die erste Diagnosefunktion sieht vor, dass jede der beiden
Rekonfigurationssteuerungen eine CRC Überprüfung der Speichereinheit, die der jeweils anderen Rekonfigurationssteuerung zugeordnet ist, vornimmt. Bei der Speichereinheit handelt es sich bevorzugt um einen Flash Speicher, in dem Rekonfigurationsdaten abgespeichert sind.
b) Jede Rekonfigurationssteuerung überwacht die korrekte Durchführung des
Rekonfigurationsprozesses, der von der jeweils anderen
Rekonfigurationssteuerung ausgeführt wird. Hierzu werden die
Konfigurationsdaten der entsprechenden Unterbereiche des FPGA Chips und ggf. des FPAA rückgelesen und mit den entsprechenden gespeicherten
Rekonfigurationsdaten verglichen, die in der Speichereinheit abgelegt sind, die der nicht rekonfigurierten Rekonfigurationssteuerung zugeordnet ist. Über eine entsprechende Rücklese-Funktion verfügen beispielsweise die FPGA Chips SPARTAN 3E und ANADIGM Vortex AN221 E04. Die zuvor beschriebene
Diagnosefunktion wird bevorzugt nach jedem Rekonfigurationsprozess - also ereignisgesteuert - durchgeführt.
Es versteht sich von selbst, dass die Diagnose auch in vorgegebenen periodischen oder aperiodischen Zeitabständen durchgeführt werden kann. Liefert die Überprüfung ein negatives Ergebnis, so ist vorgesehen, dass die Überwachungsfunktion eine erneute Rekonfiguration der fehlerhaft konfigurierten Unterbereiche veranlasst.
Alternativ kann ein Alarm generiert werden. Darüber hinaus wird vorgeschlagen, dass in beiden Speichereinheiten die
Rekonfigurationsdaten des dritten Messkanals gespeichert sind, der bevorzugt analogbasiert in einem oder in mehreren FPAA konfiguriert ist. Beispielsweise werden für den Messkanal MK3 vier FPAAs verwendet. Somit sind beide
Rekonfigurationssteuerungen in der Lage, den analogbasierten Messkanal im Fehlerfall zu rekonfigurieren.
Um einen vorgegebenen Sicherheitsstandard zu erfüllen - insbesondere handelt es sich hier um den Standard IEC61508 - wird vorgeschlagen, dass die einzelnen Unterbereiche des FPGA durch jeweils einen verbotenen Bereich so voneinander beabstandet sind, dass eine Temperatur- und/oder eine Spannungsänderung in einem Unterbereich keinen sicherheitskritischen Einfluss auf einen der benachbarten Unterbereiche haben/hat.
Eine vorteilhafte Ausgestaltung des erfindungsgemäßen Feldgeräts sieht vor, dass im Messbetrieb die Rekonfigurationssteuerungen in vorgegebenen oder ereignisgesteuerten Abständen überprüfen, ob die in den zugehörigen Speichereinheiten gespeicherten Rekonfigurationsdaten mit den aktuellen Konfigurationsdaten, nach denen die
entsprechenden Unterbereiche konfiguriert sind, übereinstimmen. Darüber hinaus überprüft im Messbetrieb jede Rekonfigurationssteuerung in vorgegebenen oder ereignisgesteuerten Abständen, ob die Rekonfigurationsdaten korrekt sind, die in der Speichereinheit gespeichert sind, die der jeweils anderen Rekonfigurationssteuerung zugeordnet ist.
Gemäß einer vorteilhaften Ausgestaltung des erfindungsgemäßen Feldgeräts sind dem FPGA und dem FPAA jeweils eine Konfigurationsschnittstelle zugeordnet, über die die entsprechenden Unterbereiche des FPGA bzw. der zumindest eine FPAA bei Auftreten einer Fehlfunktion rekonfiguriert werden. In diesem Zusammenhang ist desweiteren eine Steuerung vorgesehen, über die der Zugriff der Rekonfigurationssteuerungen auf die Konfigurations-schnittstelle(n) des FPGA und/oder des FPAA erfolgt.
Die Erfindung wird anhand der nachfolgenden Figuren näher erläutert. Es zeigt:
Fig. 1 : eine schematische Darstellung einer bevorzugten Ausgestaltung der Kontroll- /Auswerteeinheit des erfindungsgemäßen Feldgeräts und
Fig. 2: eine bevorzugte Ausgestaltung des FPGA, auf dem die Kontroll-/Auswerteeinheit des erfindungsgemäßen Feldgeräts angeordnet ist.
Fig. 1 zeigt eine schematische Darstellung einer bevorzugten Ausgestaltung der Kontroll- /Auswerteeinheit 9 des erfindungsgemäßen Feldgeräts. Das Feldgerät besteht aus einem Sensor S und einer Kontroll-/Auswerteeinheit 9. Die Kontroll-/Auswerteeinheit 9 weist drei redundante und/oder diversitäre Messkanäle MK1 , MK2, MK3 auf, in denen die von dem Sensor gelieferten Messwerte im Messbetrieb aufbereitet und ausgewertet werden. Im gezeigten Fall sind der erste Messkanal MK1 und der zweite Messkanal MK2 als digitale Messkanäle MK1 , MK2 auf einem FPGA Chip FPGA realisiert, während es sich bei dem dritten Messkanal MK3 um einen analogen Messkanal FPAA handelt. Der Kontroll- /Auswerteeinheit 9 sind zumindest zwei redundante Rekonfigurationssteuerungen RS zugeordnet, wobei eine der beiden redundanten Rekonfigurationssteuerungen RS bei Auftreten einer Fehlfunktion in einem der Messkanäle MK den fehlerhaften Messkanal MK dynamisch oder partiell dynamisch rekonfiguriert.
Der Kontroll-/Auswerteeinheit 9 ist ein sicherer Voter zugeordnet, wie er in der bereits genannten DE 102012106652.3 beschrieben ist. Es gibt prinzipiell zwei Möglichkeiten, einen sicheren Voter, in einem Feldgerät, das einem vorgegebenen Sicherheitsstandard genügen soll, zu implementieren: Entweder wird der sichere Voter zumindest teilweise in die Kontroll-/Auswerteeinheit 9 integriert, oder der sichere Voter ist integraler Teil eines sicheren Stromausgangsmoduls, wie es in der bereits zuvor genannten DE 10 2013 100159.9 beschrieben ist.
In Fig. 1 ist der Fall dargestellt, dass der sichere Voter in der Kontroll-/Auswerteeinheit 9 implementiert ist, wobei zumindest einzelne Komponenten des sicheren Voters unmittelbar in die Messkanäle MK1 , MK2, MK3 integriert sind. Insbesondere enthält jeder Messkanal MK1 , MK2, MK3 zwei Komparatoren K, die die Ausgangssignale 1 , 2 , 3 der einzelnen redundanten und/oder diversitären Messkanäle MK1 , MK2, MK3 miteinander vergleichen. Bei den Ausgangssignalen 3, die für den Vergleich über die Komparatoren K verwendet werden, handelt es sich um analoge Ausgangssignale 3, die an das in der Fig. 1 nicht gesondert dargestellte Stromausgangsmodul weitergeleitet werden. Handelt es sich um die digitalen Ausgangssignale 1 , 2 der digitalen Messkanäle MK1 , MK2, so werden diese über einen Pulsweitenmodulator PMW erzeugt, über einen Tiefpass TP gefiltert und an das nicht gesondert dargestellte Stromausgangsmodul weitergeleitet. Die Ausgangssignale 3 des analogen Messkanals MK3 liegen bereits in analoger Form vor, so dass eine Umwandlung entfallen kann. Die analogen Ausgangssignale 1 , 2, 3 werden über interne oder externe Analog-/Digital-wandler ADC digitalisiert und als digitale Ausgangssignale 1 D, 2D, 3D an die Komparatoren K des ersten und zweiten Messkanals MK1 , MK2 übergeben.
Die Ausgangssignale 1 , 2, 3 der Komparatoren K werden an die Fehlererkennungsstufen FK übergeben. Während die Fehlererkennungsstufen FK1 , FK2 in die entsprechenden Messkanäle MK1 , MK2 integriert sind, ist die Fehlererkennungsstufe FK3 des analogen Messkanale MK3 außerhalb des FPAA positioniert. Der Grund für diese Anordnung ist, dass ein AND Gatter nicht in den FPAA integriert werden kann. Es sind jeweils zwei Fehlererkennungsstufen FK jedem der Messkanäle MK1 , MK2, MK3 zugeordnet. Eine der Fehlererkennungsstufen FK überwacht jeweils die Ausgangssignale der Komparatoren K, die dem entsprechenden Messkanal MK zugeordnet sind, während die andere
Fehlererkennungsstufe FK die Komparatoren K der zwei weiteren Messkanäle MK überwacht. Die einfach ausgeführte Auswahlstufe, die dem sicheren Voter zugeordnet ist und die in der Fig. 1 nicht gesondert dargestellt ist, ist gleichfalls außerhalb des FPGA Chip FPGA angeordnet, da sie zu jedem der Messkanäle MK gehört. Nähere Information zu der Auswahlstufe ist der DE 102012106652.3 zu entnehmen.
Wird eine Fehlfunktion in einem der Messkanäle MK oder in einer der
Rekonfigurationssteuerungen RS detektiert, so wird diese Information an die korrekt arbeitende Rekonfigurationssteuerung RS übergeben, die die Rekonfiguration der fehlerhaft arbeitenden Unterbereiche 8 vornimmt.
Für die nachfolgenden Betrachtungen ist es zweckmäßig, zusätzlich zu der Darstellung in Fig. 1 auch die Darstellung des FPGA Chip FPGA in Fig. 2 zu betrachten:
Erfindungsgemäß sind zumindest zwei digitale Messkanäle MK1 , MK2 und die beiden redundanten Rekonfigurationssteuerungen RS1 , RS2 auf einem dynamisch
rekonfigurierbaren FPGA Chip FPGA angeordnet. Dem ersten digitalen Messkanal MK1 ist eine DSP zugeordnet, während dem zweiten digitalen Messkanal MK2 ein
MikroController zugeordnet ist. Der FPGA Chip FPGA besteht aus einer Vielzahl von konfigurierbaren logischen Blöcken CLB. Diese konfigurierbaren logischen Blöcke CLB sind in einer im Wesentlichen rechtwinkligen Matrix, bestehend aus Spalten SP und Zeilen ZE, angeordnet.
Der FPGA Chip FPGA ist so ausgestaltet, dass die kleinste konfigurierbare oder rekonfigurierbare Einheit die in einer Spalte SP angeordneten konfigurierbaren logischen Blöcke CLB sind. Die konfigurierbaren logischen Blöcke CLB des FPGA Chip FPGA sind in vier Untergruppen 3 aufgeteilt, die im Wesentlichen symmetrisch zueinander angeordnet sind. In dem ersten Unterbereich 8.1 und in dem zweiten Unterbereich 8.2 sind zwei digitale Messkanäle MK1 , MK2 angeordnet, während in dem dritten
Unterbereich 8.3 und in dem vierten Unterbereich 8.4 die beiden
Rekonfigurationssteuerungen RS1 , RS2 angeordnet sind. Die einzelnen Unterbereiche 8 des FPGA Chips FPGA sind durch jeweils einen verbotenen Bereich 5 so voneinander beabstandet, dass eine Temperatur- und/oder eine Spannungsänderung in einem Unterbereich 8 keinen sicherheitskritischen Einfluss auf einen der benachbarten
Unterbereiche 8 haben/hat. Infolge dieser bevorzugten Anordnung und infolge der nur spaltenweise möglichen
Rekonfiguration der konfigurierbaren logischen Blöcke CLB sind der erste Unterbereich 8.1 mit dem ersten digitalen Messkanal MK1 und der dritte Unterbereich 8.3 mit der ersten Rekonfigurationssteuerung RS1 nur gemeinsam rekonfigurierbar. Ebenso können bei Auftreten einer Fehlfunktion im zweiten Unterbereich 8.2 mit dem zweiten digitalen Messkanal MK2 oder im vierten Unterbereich 8.4 mit der zweiten Rekonfigurationssteuerung RS2 beide Unterbereiche 8.2, 8.4 nur gemeinsam
rekonfiguriert werden.
Bei Auftreten einer Fehlfunktion in einem der beiden digitalen Messkanäle MK1 , MK2 übernimmt jeweils die Rekonfigurationssteuerung RS1 ; RS2, die dem korrekt arbeitenden Messkanal MK1 ; MK2 zugeordnet ist, die Rekonfiguration des fehlerhaft arbeitenden Messkanals MK1 ; MK2 und der zugehörigen Rekonfigurationssteuerung RS1 ; RS2. Tritt die Fehlfunktion in dem dritten Messkanal MK3 auf, der im gezeigten Fall analogbasiert in einem oder mehreren - bevorzugt vier - FPAA konfiguriert ist, so wird die dynamische oder die dynamisch partielle Rekonfiguration von einer der beiden redundanten
Rekonfigurations-steuerungen RS1 , RS2 übernommen. Über die dem FPGA Chip FPGA zugeordnete Konfigurationsschnittstelle 7 werden die entsprechenden Unterbereiche 8 des FPGA Chip FPGA bei Auftreten einer Fehlfunktion rekonfiguriert. Bei einer
Fehlfunktion im FPAA erfolgt der Zugriff der Rekonfigurationssteuerung RS über die Konfigurationsschnittstelle 6. Der Zugriff der Rekonfigurationssteuerungen RS1 , RS2 auf die Rekonfigurations-schnittstellen 6, 7 wird durch eine Steuerung gesteuert, die integraler Teil der jeweiligen Rekonfigurationssteuerungen RS1 , RS2 ist. Während des Zugriffs einer Rekonfigurationssteuerung RS1 , RS2 auf die Rekonfigurations-schnittstelle 6, 7 ist der Zugriff für die jeweils andere Rekonfigurations-steuerung RS1 , RS2 gesperrt.
Zum Zwecke der Sicherheit durch Redundanz ist der ersten Rekonfigurationssteuerung RS1 eine erste Speichereinheit 4.1 und der zweiten Rekonfigurationssteuerung RS2 eine zweite Speichereinheit 4.2 zugeordnet. In der der ersten Rekonfigurationssteuerung RS1 zugeordneten ersten Speichereinheit 4.1 sind zumindest die Rekonfigurationsdaten des zweiten Messkanals MK2 und der zweiten Rekonfigurationssteuerung RS2 gespeichert. Weiterhin finden sich hier die Rekonfigurationsdaten des analogbasierten Messkanals MK3. In der der zweiten Rekonfigurationssteuerung RS2 zugeordneten zweiten
Speichereinheit 4.2 sind zumindest die Rekonfigurationsdaten des ersten Messkanals MK1 und der ersten Rekonfigurationssteuerung RS1 gespeichert. Auch hier finden sich die Rekonfigurationsdaten des dritten Messkanals MK3.
Gemäß einer ersten Diagnosefunktion überprüfen die Rekonfigurations-steuerungen RS im normalen Messbetrieb in vorgegebenen oder ereignisgesteuerten Abständen, ob die in den zugehörigen Speichereinheiten 4 gespeicherten Rekonfigurationsdaten mit den aktuellen Konfigurationsdaten, nach denen die entsprechenden Unterbereiche 8 konfiguriert sind, übereinstimmen. Treten Abweichungen auf, so wird eine
Rekonfiguration der fehlerhaften Bereiche vorgenommen.
Gemäß einer zweiten Diagnosefunktion wird im Messbetrieb jede der beiden redundanten Rekonfigurationssteuerung RS in vorgegebenen oder ereignisgesteuerten Abständen überprüft. Insbesondere wird überwacht, ob die Rekonfigurationsdaten, die in der entsprechenden der jeweils anderen Rekonfigurationssteuerung RS zugeordneten Speichereinheit 4 gespeichert sind, korrekt sind. a) Die erste Diagnosefunktion sieht vor, dass jede der beiden
Rekonfigurationssteuerungen eine CRC Überprüfung der Speichereinheit, die der jeweils anderen Rekonfigurationssteuerung zugeordnet ist, vornimmt.
b) Die zweite Diagnosefunktion stellt sicher, dass jede Rekonfigurationssteuerung RS die korrekte Durchführung des Rekonfigurationsprozesses, der von der jeweils anderen Rekonfigurationssteuerung ausgeführt wird, überwacht. Hierzu werden die Konfigurationsdaten der entsprechenden Unterbereiche 8 des FPGA Chips FPGA und ggf. des FPAA rückgelesen und mit den entsprechenden
gespeicherten Rekonfigurationsdaten verglichen, die in der Speichereinheit 4 abgelegt sind, die der nicht rekonfigurierten Rekonfigurationssteuerung RS zugeordnet ist. Die zuvor beschriebene Diagnosefunktion wird bevorzugt nach jedem Rekonfigurationsprozess - also ereignisgesteuert - durchgeführt. Es versteht sich von selbst, dass die Diagnose auch in vorgegebenen periodischen oder aperiodischen Zeitabständen durchgeführt werden kann. Liefert die
Überprüfung ein negatives Ergebnis, so ist vorgesehen, dass die
Überwachungsfunktion eine erneute Rekonfiguration der fehlerhaft
rekonfigurierten Unterbereiche veranlasst. Alternativ kann ein Alarm generiert werden.
Bezugszeichenliste
1 Ausgangssignal des Messkanals MK1
2 Ausgangssignal des Messkanals MK2
3 Ausgangssignal des Messkanals MK3
4 Speichereinheit
5 verbotener Bereich
6 Konfigurationsschnittstelle des FPAA
7 Konfigurationsschnittstelle des FPGA
8 Unterbereich
9 Kontroll-/Auswerteeinheit

Claims

Patentansprüche
1. Feldgerät zur Bestimmung oder Überwachung einer Prozessgröße in der
Automatisierungstechnik, wobei das Feldgerät einem Sicherheitsstandard genügt, der in einer vorgegebenen sicherheitskritischen Anwendung gefordert ist,
mit einem Sensor (S), der nach einem definierten Messprinzip arbeitet, und
mit einer Kontroll-/Auswerteeinheit (9), die im störungsfreien Messbetrieb des Sensors (S) die vom Sensor (S) gelieferten Messdaten entlang von zumindest drei redundanten und/oder diversitär ausgelegten Messkanälen (MK) aufbereitet und auswertet, wobei der Kontroll-/Auswerteeinheit (9) zumindest zwei redundante
Rekonfigurationssteuerungen (RS) zugeordnet sind, und
wobei eine der beiden redundanten Rekonfigurationssteuerungen (RS) bei Auftreten einer Fehlfunktion in einem der Messkanäle (MK) den fehlerhaften Messkanal (MK) dynamisch oder partiell dynamisch rekonfiguriert.
2. Feldgerät nach Anspruch 1 ,
wobei zwei digitale Messkanäle (MK1 , MK2) und die beiden Rekonfigurationssteuerungen (RS1 , RS2) auf einem dynamisch rekonfigurierbaren FPGA Chip (FPGA) angeordnet sind, der aus einer Vielzahl von konfigurierbaren logischen Blöcken (CLB) besteht, die in einer im Wesentlichen rechtwinkligen Matrix, bestehend aus Spalten (SP) und Zeilen (ZE), angeordnet sind.
3. Feldgerät nach Anspruch 2,
wobei der FPGA Chip (FPGA) so ausgestaltet ist, dass die kleinste rekonfigurierbare Einheit die in einer Spalte (SP) angeordneten rekonfigurierbaren logischen Blöcke (CLB) ist.
4. Feldgerät nach Anspruch 2 oder 3,
wobei die rekonfigurierbaren logischen Blöcke (CLB) des FPGA Chip (FPGA) in vier Untergruppen (8) aufgeteilt sind, die im Wesentlichen symmetrisch zueinander angeordnet sind, wobei in dem ersten Unterbereich (8.1 ) und in dem zweiten
Unterbereich (8.2) zwei digitale Messkanäle (MK1 , MK2) angeordnet sind, und wobei in dem dritten Unterbereich (8.3) und in dem vierten Unterbereich (8.4) die beiden
Rekonfigurationssteuerungen (RS1 , RS2) angeordnet sind.
5. Feldgerät nach einem der Ansprüche 1-3,
wobei der erste Unterbereich (8.1 ) mit dem ersten digitalen Messkanal (MK1 ) und der dritte Unterbereich (8.3) mit der ersten Rekonfigurationssteuerung (RS2) so zueinander angeordnet sind, dass sie gemeinsam rekonfiguriert werden.
6. Feldgerät nach einem der Ansprüche 1-3,
wobei der zweite Unterbereich (8.2) mit dem zweiten digitalen Messkanal (MK2) und der vierte Unterbereich (8.4) mit der zweiten Rekonfigurations-steuerung (RS2) so zueinander angeordnet sind, dass sie gemeinsam rekonfiguriert werden.
7. Feldgerät nach Anspruch 5 oder 6,
wobei die Kontroll-/Auswerteeinheit (9) so ausgestaltet ist, dass bei Auftreten einer Fehlfunktion in einem der beiden digitalen Messkanäle (MK1 , MK2) die
Rekonfigurationssteuerung (RS1 , RS2), die dem korrekt arbeitenden Messkanal (MK1 , MK2) zugeordnet ist, die Rekonfiguration des fehlerhaft arbeitenden Messkanals (MK1 , MK2) und der zugehörigen Rekonfigurations-steuerung (RS1 , RS2) übernimmt.
8. Feldgerät nach einem oder mehreren der vorhergehenden Ansprüche,
wobei ein dritter Messkanäle (MK3) vorgesehen ist, der analogbasiert in einem FPAA (FPAA) konfiguriert ist, wobei der dritte Messkanal bei Auftreten einer Fehlfunktion über eine der beiden redundanten Rekonfigurationssteuerungen (RS1 , RS2) rekonfiguriert wird.
9. Feldgerät nach einem oder mehreren der vorhergehenden Ansprüche,
wobei der ersten Rekonfigurationssteuerung (RS1 ) eine erste Speichereinheit (4.1 ) zugeordnet ist,
wobei der zweiten Rekonfigurationssteuerung (RS2) eine zweite Speichereinheit (4.2) zugeordnet ist,
wobei in der der ersten Rekonfigurationssteuerung (RS1 ) zugeordneten ersten
Speichereinheit (4.1 ) zumindest die Rekonfigurationsdaten des zweiten Messkanals (MK2) und der zweiten Rekonfigurationssteuerung (RS2) gespeichert sind und wobei in der der zweiten Rekonfigurationssteuerung (RS2) zugeordneten zweiten Speichereinheit (4.2) zumindest die Rekonfigurationsdaten des ersten Messkanals (MK1 ) und der ersten Rekonfigurationssteuerung (RS1 ) gespeichert sind.
10. Feldgerät nach Anspruch 9,
wobei in beiden Speichereinheiten (4.1 , 4.2) die Rekonfigurationsdaten des dritten Messkanals (MK3) gespeichert sind, der bevorzugt analogbasiert in einem oder in mehreren FPAA (FPAA) konfiguriert ist.
1 1. Feldgerät nach einem oder mehreren der vorhergehenden Ansprüche,
wobei die einzelnen Unterbereiche (3) des FPGA Chips (FPGA) durch jeweils einen verbotenen Bereich (5) so voneinander beabstandet sind, dass eine Temperatur- und/oder eine Spannungsänderung in einem Unterbereich (3) keinen sicherheitskritischen Einfluss auf einen der benachbarten Unterbereiche (3) haben/hat.
12. Feldgerät nach einem oder mehreren der vorhergehenden Ansprüche,
wobei im Messbetrieb die Rekonfigurationssteuerungen (RS) in vorgegebenen oder ereignisgesteuerten Abständen überprüfen, ob die in den zugehörigen Speichereinheiten (4) gespeicherten Rekonfigurationsdaten mit den aktuellen Konfigurationsdaten, nach denen die entsprechenden Unterbereiche (8) konfiguriert sind, übereinstimmen.
13. Feldgerät nach einem oder mehreren der vorhergehenden Ansprüche,
wobei im Mess betrieb jede Rekonfigurationssteuerung (RS) in vorgegebenen oder ereignisgesteuerten Abständen überprüft, ob die Rekonfigurationsdaten korrekt sind, die in der Speichereinheit (4) gespeichert sind, die der jeweils anderen
Rekonfigurationssteuerung (RS) zugeordnet ist.
14. Feldgerät nach einem oder mehreren der vorhergehenden Ansprüche, dass dem FPGA Chip (FPGA) eine Konfigurationsschnittstelle (7) und jedem FPAA (FPAA) eine Konfigurationsschnittstelle (6) zugeordnet sind, über die die entsprechenden
Unterbereiche (3) des FPGA Chip (FPGA) oder der zumindest eine FPAA (FPAA) bei Auftreten einer Fehlfunktion rekonfiguriert werden/wird.
15. Feldgerät nach einem oder mehreren der vorhergehenden Ansprüche,
wobei eine Steuerung vorgesehen ist, über die der Zugriff der
Rekonfigurationssteuerungen (RS) auf die Konfigurationsschnittstellen (7, 6) des FPGA Chip (FPGA) und/oder des FPAA (FPAA) gesteuert wird.
PCT/EP2014/051424 2013-02-18 2014-01-24 Feldgerät für eine sicherheitskritische anwendung mit redundanten messkanälen in einem fpga Ceased WO2014124792A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
US14/768,270 US10054925B2 (en) 2013-02-18 2014-01-24 Field device for a safety-critical application with redundant measuring channels in an FPGA

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE201310101579 DE102013101579A1 (de) 2013-02-18 2013-02-18 Feldgerät zur Bestimmung oder Überwachung einer Prozessgröße in der Automatisierungstechnik
DE102013101579.4 2013-02-18

Publications (1)

Publication Number Publication Date
WO2014124792A1 true WO2014124792A1 (de) 2014-08-21

Family

ID=50000999

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2014/051424 Ceased WO2014124792A1 (de) 2013-02-18 2014-01-24 Feldgerät für eine sicherheitskritische anwendung mit redundanten messkanälen in einem fpga

Country Status (3)

Country Link
US (1) US10054925B2 (de)
DE (1) DE102013101579A1 (de)
WO (1) WO2014124792A1 (de)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102014218742A1 (de) * 2014-09-18 2016-03-24 Continental Automotive Gmbh Steuergerät für ein Fahrzeug und Verfahren zum Speichern von Daten
US20180364673A1 (en) * 2017-06-16 2018-12-20 Honeywell International Inc. Process data synchronization between redundant process controllers
CN116529562A (zh) * 2020-12-09 2023-08-01 Vega格里沙贝两合公司 用于检测现场设备的错误测量信号输出的方法、检测系统和现场设备
DE102023106320A1 (de) * 2023-03-14 2024-09-19 Samson Aktiengesellschaft Stellventil, Anbaugerät für ein Stellventil und Stellventilsystem mit Primärrecheneinheit und Sekundärrecheneinheit

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2004013585A1 (de) 2002-07-26 2004-02-12 Endress + Hauser Gmbh + Co. Kg Vorrichtung zur bestimmung und/oder überwachung einer physikalischen oder chemischen prozessgrösse
DE102009026785A1 (de) * 2009-01-30 2010-08-05 Endress + Hauser Gmbh + Co. Kg Feldgerät zur Bestimmung und/oder Überwachung einer physikalischen oder chemischen Prozessgröße
US7870299B1 (en) * 2008-02-06 2011-01-11 Westinghouse Electric Co Llc Advanced logic system
DE102009028938A1 (de) * 2009-08-27 2011-03-03 Endress + Hauser Gmbh + Co. Kg Feldgerät zur Bestimmung oder Überwachung einer physikalischen oder chemischen Variablen
DE102010002346A1 (de) * 2009-10-12 2011-04-14 Endress + Hauser Gmbh + Co. Kg Feldgerät zur Bestimmung oder Überwachung einer physikalischen oder chemischen Prozessgröße
DE102010043706A1 (de) * 2010-07-05 2012-01-05 Endress + Hauser Gmbh + Co. Kg Feldgerät zur Bestimmung oder Überwachung einer physikalischen oder chemischen Prozessgröße
DE102012106652A1 (de) 2012-07-23 2014-01-23 Endress + Hauser Gmbh + Co. Kg Feldgerät zur Bestimmung oder Überwachung einer Prozessgröße in der Automatisierungstechnik

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US3812468A (en) * 1972-05-12 1974-05-21 Burroughs Corp Multiprocessing system having means for dynamic redesignation of unit functions
US7694303B2 (en) * 2001-09-25 2010-04-06 Sun Microsystems, Inc. Method for dynamic optimization of multiplexed resource partitions
US7313053B2 (en) * 2003-03-06 2007-12-25 General Electric Company Method and apparatus for controlling scanning of mosaic sensor array
US7233532B2 (en) * 2004-04-30 2007-06-19 Xilinx, Inc. Reconfiguration port for dynamic reconfiguration-system monitor interface
DE102007054672A1 (de) * 2007-11-14 2009-05-20 Endress + Hauser Gmbh + Co. Kg Feldgerät zur Bestimmung oder Überwachung einer Prozessgröße in der Prozessautomatisierung
DE102012009513A1 (de) * 2012-05-14 2013-11-14 Astrium Gmbh Multifunktionaler Kontroller für einen Satelliten
DE102013100159A1 (de) 2012-11-28 2014-05-28 Endress + Hauser Gmbh + Co. Kg Feldgerät zur Bestimmung oder Überwachung einer Prozessgröße in der Automatisierungstechnik

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2004013585A1 (de) 2002-07-26 2004-02-12 Endress + Hauser Gmbh + Co. Kg Vorrichtung zur bestimmung und/oder überwachung einer physikalischen oder chemischen prozessgrösse
US7870299B1 (en) * 2008-02-06 2011-01-11 Westinghouse Electric Co Llc Advanced logic system
DE102009026785A1 (de) * 2009-01-30 2010-08-05 Endress + Hauser Gmbh + Co. Kg Feldgerät zur Bestimmung und/oder Überwachung einer physikalischen oder chemischen Prozessgröße
DE102009028938A1 (de) * 2009-08-27 2011-03-03 Endress + Hauser Gmbh + Co. Kg Feldgerät zur Bestimmung oder Überwachung einer physikalischen oder chemischen Variablen
DE102010002346A1 (de) * 2009-10-12 2011-04-14 Endress + Hauser Gmbh + Co. Kg Feldgerät zur Bestimmung oder Überwachung einer physikalischen oder chemischen Prozessgröße
DE102010043706A1 (de) * 2010-07-05 2012-01-05 Endress + Hauser Gmbh + Co. Kg Feldgerät zur Bestimmung oder Überwachung einer physikalischen oder chemischen Prozessgröße
DE102012106652A1 (de) 2012-07-23 2014-01-23 Endress + Hauser Gmbh + Co. Kg Feldgerät zur Bestimmung oder Überwachung einer Prozessgröße in der Automatisierungstechnik

Also Published As

Publication number Publication date
DE102013101579A1 (de) 2014-08-21
DE102013101579A8 (de) 2014-10-16
US10054925B2 (en) 2018-08-21
US20150378337A1 (en) 2015-12-31

Similar Documents

Publication Publication Date Title
EP2210151B1 (de) FELDGERÄT FÜR DIE BESTIMMUNG ODER ÜBERWACHUNG EINER PROZESSGRÖßE IN DER PROZESSAUTOMATISIERUNG
DE102009028938A1 (de) Feldgerät zur Bestimmung oder Überwachung einer physikalischen oder chemischen Variablen
EP2359201B1 (de) Verfahren zum bestimmen einer sicherheitsstufe und sicherheitsmanager
EP2422244B1 (de) Sicherheitssteuerung und verfahren zum steuern einer automatisierten anlage
WO2010086073A1 (de) Feldgerät zur bestimmung und/oder überwachung einer physikalischen oder chemischen prozessgrösse
EP2875408B1 (de) FELDGERÄT ZUR BESTIMMUNG ODER ÜBERWACHUNG EINER PROZESSGRÖßE IN DER AUTOMATISIERUNGSTECHNIK
DE102008060011A1 (de) Sicherheitssteuerung und Verfahren zum Steuern einer automatisierten Anlage
DE102012012521A1 (de) Vorrichtung und Verfahren für eine sicherheitskritische Anwendung
EP2591402B1 (de) FELDGERÄT ZUR BESTIMMUNG ODER ÜBERWACHUNG EINER PHYSIKALISCHEN ODER CHEMISCHEN PROZESSGRÖßE
WO2014124792A1 (de) Feldgerät für eine sicherheitskritische anwendung mit redundanten messkanälen in einem fpga
EP3493000B1 (de) Verfahren zum fehlersicheren erfassen eines messwertes und automatisierungssystem
DE102010002346A1 (de) Feldgerät zur Bestimmung oder Überwachung einer physikalischen oder chemischen Prozessgröße
EP2926203B1 (de) Feldgerät mit redundanter auslegung zur bestimmung oder überwachung einer prozessgrösse in der automatisierungstechnik
EP2469363B2 (de) Parametrierbare Automatisierungsvorrichtung
DE102012016406B4 (de) Verfahren zur Parametrierung eines Feldgerätes und entsprechendes System zur Parametrierung
EP3470939B1 (de) Verfahren und system zum überwachen der sicherheitsintegrität einer durch ein sicherheitssystem bereitgestellten sicherheitsfunktion
EP2667304B1 (de) Eingang-Ausgangsmodul
EP3470937A1 (de) Verfahren und vorrichtungen zum überwachen der reaktionszeit einer durch ein sicherheitssystem bereitgestellten sicherheitsfunktion
DE102009002734A1 (de) Feldgerät zur Bestimmung oder Überwachung einer Prozessgröße in der Prozessautomatisierung
DE10025085A1 (de) Modul zur Steuerung oder Regelung von sicherheitsrelevanten Vorgängen oder Abläufen für den Betrieb von Maschinen oder Anlagen
DE29914463U1 (de) Projektierungseinheit für korrespondierende Diagnosedatensätze eines Systems mit Steuerungseinheit und Bedien- und/oder Beobachtungseinheit, und System mit Mitteln zum Versionsvergleich von zugeordneten Diagnosedatensätzen
EP2667267B1 (de) Analogsignal-Ausgangsschaltung mit einer Anzahl von Analogsignal-Ausgabekanälen
DE102008064886B3 (de) Verfahren zur Parametrierung einer Automatisierungsvorrichtung
DE102004037687B4 (de) Zusicherungen in physikalischen Modellbeschreibungen für Funktionen und ihre Verwendung bei der Erzeugung von Code für Mikroprozessor basierte Steuergeräte

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 14701217

Country of ref document: EP

Kind code of ref document: A1

WWE Wipo information: entry into national phase

Ref document number: 14768270

Country of ref document: US

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 14701217

Country of ref document: EP

Kind code of ref document: A1