Vorrichtung zur Bestimmung und/oder Überwachung einer Prozeßgröße Device for determining and / or monitoring a process variable
Die Erfindung bezieht sich auf eine Vorrichtung zur Bestimmung und/oder Überwachung einer ProzeßgrößeThe invention relates to a device for determining and / or monitoring a process variable
Ziel der Erfindung ist es, ein Feldgerät mit mehreren Funktionen, wobei es sich bei zumindest einer der Funktionen um eine sicherheitsrelevante Funktion handelt, so zu entwickeln, daß mindestens für die wichtige Sicherheits- funktion die Entwicklungsrichtlinien, die einem vorgegebenen Sicherheitsstandard entsprechen (z.B. IEC 61508) eingehalten werden, ohne hierbei die Einbindung in nicht nach diesen Richtlinien entwickelten Komponenten zu verhindern.The aim of the invention is to develop a field device with several functions, with at least one of the functions being a safety-relevant function, in such a way that, at least for the important safety function, the development guidelines which correspond to a specified safety standard (for example IEC 61508 ) are adhered to without preventing the integration in components not developed according to these guidelines.
Dabei stellt sich die Aufgabe der sicheren Parametrierung von Feldgeräten, die dem Sicherheitsstandard genügen, mit nicht nach den Sicherheitsstandards entwickelten Tools, wie lokalen Displays oder PC Tools. Insbesondere ist es das Ziel der Erfindung, eine sichere Parametrierung z.B des Feldgeräts FMG 60 unter den Bedingungen der Norm IEC61508 zu gewährleisten. Als Tools sind das ToF Tool, AMS, PDM, etc. zu nennen.The task here is to safely parameterize field devices that meet the security standard using tools that have not been developed in accordance with the security standards, such as local displays or PC tools. In particular, the aim of the invention is to ensure reliable parameterization, for example of the FMG 60 field device, under the conditions of the IEC61508 standard. The ToF Tool, AMS, PDM, etc. can be mentioned as tools.
Da die zur Zeit von der Anmelderin verwendeten Tools wie FHX oder ToF- Tool nicht nach der SIL-Norm IEC61508 entwickelt wurden und PC gestützte Tools wegen der mangelnden Sicherheit der PC's generell nicht als sicher betrachtet werden können, gilt es, eine Vorgehensweise festzulegen, die sicherstellt, das im Feldgerät die Parameter so wirksam sind wie es vom Anwender auf Grund der Applikation definiert wurde.Since the tools currently used by the applicant as FHX or ToF Tool were not developed by the SIL standard IEC61508 and PC-based tools s can be considered safe because of the lack of security of PCs generally do not, it is necessary to establish a procedure , which ensures that the parameters in the field device are as effective as the user defined them based on the application.
Da das Feldgerät von sich aus nicht kontrollieren kann, welche Parameter richtig sind, ist eine fehlersichere Kontrolle durch den Anwender erforder- lieh. Um nicht mit einem ersten unsicheren Tool zu parametrieren und mit
einem zweiten unsicheren Tool kontrollieren zu müssen, ist hier die Vorgehensweise für FMG 60 festgelegt, die es erlaubt, mit ein und dem selben Tool zu parametrieren und zu kontrollieren.Since the field device cannot control which parameters are correct on its own, fail-safe control by the user is required. So as not to parameterize with a first unsafe tool and with To have to control a second unsafe tool, the procedure for FMG 60 is specified here, which allows parameterization and control with one and the same tool.
In Fig. 1 ist der Datenfluß für eine sichere Parametrierung von Feldgeräten beschrieben. Es werden zuerst alle Parameter wie gewohnt über Auswahlmenüs definiert. Diese Parameter werden vom Display oder von anderen Bedien-Tools ins Gerät gesendet.In Fig. 1 the data flow for a safe parameterization of field devices is described. First, all parameters are defined as usual via selection menus. These parameters are sent to the device by the display or by other operating tools.
Im Gerät werden die Parameter gespeichert. Soll das Gerät unter den Gesichtspunkten der funktionalen Sicherheit verriegelt werden, so können die Parameter von einer nach IEC61508 entwickelten SW im Feldgerät in einen Text umgewandelt werden.The parameters are saved in the device. If the device is to be locked in terms of functional safety, the parameters can be converted into text by a software developed in accordance with IEC61508 in the field device.
Zur Verriegelung wird zuerst ein Paßwort eingegeben. Durch diese Eingabe werden bestimmte Parameter wie Filter usw. auf Defaultwerte gesetzt, die nicht durch den Anwender bei Verwendung des Feldgeräts als z.B. SIL2 Gerät editiert werden können.A password is entered first for locking. With this entry, certain parameters such as filters etc. are set to default values that are not used by the user when using the field device as e.g. SIL2 device can be edited.
Danach werden die sicherheitsrelevanten und editierbaren Parameter (nun in Text-Form) wieder auf dem Display angezeigt. Der Anwender muß jeden Parameter einzeln oder in Gruppen bestätigen. Dazu ändert er das Auswahlzeichen „v" von Nein auf Ja und bestätigt mit „Enter". Mit dieser Bestätigung wird der Parameter oder die Parametergruppe vorverriegelt. Am En- de der Abfragesequenz muß das Paßwort nochmals eingegeben werden. Wird das Paßwort bei der Bestätigung richtig eingegeben, so werden im Gerät alle sicherheitsrelevanten und editierbaren Parameter endgültig verriegelt. Das Paßwort ist damit nicht mehr einsehbar. Es wird durch XXXX dargestellt.Then the safety-relevant and editable parameters (now in text form) are shown on the display again. The user must confirm each parameter individually or in groups. To do this, he changes the selection character "v" from No to Yes and confirms with "Enter". With this confirmation, the parameter or the parameter group is pre-locked. At the end of the query sequence, the password must be entered again. If the password is entered correctly during confirmation, all safety-relevant and editable parameters are finally locked in the device. The password is no longer visible. It is represented by XXXX.
Ein Entriegelung ist dann nur noch mit dem richtigen Paßwort möglich. Da-
zu muß das Paßwort nur einmal eingegeben werden. Die nicht editierbaren Parameter müssen nicht bestätigt werden.Unlocking is then only possible with the correct password. There- the password only has to be entered once. The non-editable parameters do not have to be confirmed.
Die Anzahl der einzelnen Bestätigungen ohne das Paßwort sollte z.B. min- destens drei betragen. Maximal sollten nicht mehr als zehn BestätigungenThe number of individual confirmations without the password should e.g. be at least three. A maximum of no more than ten confirmations
erfolgen. Bei einer größeren Anzahl würde vermutlich blind bestätigt ohne zu lesen. Der Sicherheitseffekt wäre aufgehoben.respectively. A larger number would probably be confirmed blindly without reading. The security effect would be eliminated.
Für den Fall, das das Paßwort vergessen wurde, ist ein Total Reset vorgesehen. Durch einen Total Reset werden alle Parameter auf den Default Wert gesetzt. Das Paßwort wird gelöscht. Bedingung für diese Vorgehensweise ist, das das Gerät nach einem Total Reset auf Fehlerstrom geht und diesen Zustand des Ausgangsstroms sicher überwacht.In the event that the password is forgotten, a total reset is provided. A total reset sets all parameters to the default value. The password is deleted. The prerequisite for this procedure is that the device goes to fault current after a total reset and reliably monitors this state of the output current.
Daß die Parameter hier über einen Main μC in den Application μC geschickt werden, ist eine Besonderheit des FMG60, da die vorhandene M-PIattform verwendet werden soll. Generell gilt das Verfahren auch für eine EinProzessor-Lösung oder der Main μC ist ebenfalls unter den Vorgaben der IEC61508 entwickelt. Hierbei ist die Weitergabe und Umwandlung in ASCII Text durch den Application μC nicht erforderlich.A special feature of the FMG60 is that the parameters are sent to the Application μC via a Main μC, since the existing M-PI platform is to be used. In general, the procedure also applies to a one-processor solution or the Main μC is also developed in accordance with the requirements of IEC61508. The transfer and conversion into ASCII text by the application μC is not necessary.
Der Hauptvorteil dieser Vorgehensweise liegt in der Unabhängigkeit der Tools. Da die gesamte sicherheitsrelevante Software im Feldgerät liegt, muß das Bedientool im Sicherheitskonzept nicht weiter berücksichtigt werden. Es muß lediglich in der Lage sein, den zu bestätigenden Text vollständig anzuzeigen.The main advantage of this approach is the independence of the tools. Since the entire safety-related software is in the field device, the operating tool does not have to be considered in the safety concept. It only needs to be able to display the text to be confirmed in full.
Sind zwischen einem für die sicherheitsrelevante Funktion zuständigen Funktionsblock und einer das sicherheitsrelevante Signal auswertenden Einheit mehrere nicht nach einem Sicherheitsstandard entwickelten Blöcke
(z.B. ein noch nicht zertifiziertes Bussystem) angeordnet, ist eine sichere Rückkopplung des sicherheitsrelevanten Signals notwendig.Are several blocks not developed according to a safety standard between a function block responsible for the safety-relevant function and a unit evaluating the safety-relevant signal (e.g. a not yet certified bus system), a safe feedback of the safety-relevant signal is necessary.
Dieses Vorgehen erweitert die Kombinationsmöglichkeiten von Komponenten und Funktionen für den Anwender, ohne die Betriebsbewährung des Gesamtsystems nachweisen zu müssen, da die sicherheitsrelevanten Funktionen im einem sicheren Design-Prozess erstellt wurden und isoliert von anderen Funktionen gesehen werden können, die nicht entsprechend auf dem Markt verfügbar sind.
This procedure expands the possible combinations of components and functions for the user without having to prove the operational reliability of the overall system, since the safety-relevant functions were created in a safe design process and can be seen in isolation from other functions that are not available on the market are.