WO2014016074A1 - FELDGERÄT ZUR BESTIMMUNG ODER ÜBERWACHUNG EINER PROZESSGRÖßE IN DER AUTOMATISIERUNGSTECHNIK - Google Patents

FELDGERÄT ZUR BESTIMMUNG ODER ÜBERWACHUNG EINER PROZESSGRÖßE IN DER AUTOMATISIERUNGSTECHNIK Download PDF

Info

Publication number
WO2014016074A1
WO2014016074A1 PCT/EP2013/063430 EP2013063430W WO2014016074A1 WO 2014016074 A1 WO2014016074 A1 WO 2014016074A1 EP 2013063430 W EP2013063430 W EP 2013063430W WO 2014016074 A1 WO2014016074 A1 WO 2014016074A1
Authority
WO
WIPO (PCT)
Prior art keywords
field device
channels
channel
voter
measuring
Prior art date
Application number
PCT/EP2013/063430
Other languages
English (en)
French (fr)
Inventor
Romuald Girardey
Original Assignee
Endress+Hauser Gmbh+Co. Kg
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Endress+Hauser Gmbh+Co. Kg filed Critical Endress+Hauser Gmbh+Co. Kg
Priority to US14/415,817 priority Critical patent/US10228664B2/en
Priority to CN201380039062.7A priority patent/CN104508574B/zh
Priority to EP13732465.3A priority patent/EP2875408B1/de
Publication of WO2014016074A1 publication Critical patent/WO2014016074A1/de

Links

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • G05B9/03Safety arrangements electric with multiple-channel loop, i.e. redundant control systems

Definitions

  • the field device is designed so that it meets a safety standard that is required in a given safety-critical application. Furthermore, the field device comprises a sensor, which operates according to a defined measurement principle, and a control / evaluation unit, which processes and evaluates the measurement data supplied by the sensor along at least three redundant and / or diversely designed measurement channels.
  • a corresponding solution has become known from WO 2004/013585 A1.
  • field devices are used which are used to determine and monitor
  • Process variables are used. Examples of such field devices are level gauges, flowmeters, analyzers, pressure and temperature measuring devices, humidity and conductivity meters, density and viscosity meters.
  • the sensors of these field devices detect the corresponding process variables, e.g. level, flow, pH, substance concentration, pressure, temperature, humidity, conductivity, density or viscosity.
  • field devices in modern automation systems are connected via communication networks, such as HART multidrop, point-to-point connection, Profibus, Foundation Fieldbus, to a superordinated unit, which is referred to as a control system or control room.
  • This higher-level unit is used for process control, process visualization, process monitoring as well as commissioning and operation of the field devices.
  • Additional components necessary for the operation of fieldbus systems, which are directly connected to a fieldbus and which are used in particular for communication with the higher-level units, are also frequently referred to as
  • Field devices referred. These additional components are, for. For example, remote I / Os, gateways, linking devices, controllers or wireless adapters. Depending on the application, the field devices must be very different
  • Redundancy means increased safety through double or multiple design of all safety-related hardware and software components.
  • Diversity means that the hardware components located in the different measurement channels, e.g. a microprocessor, from different manufacturers and / or that they are of different types.
  • software components diversity requires that the software stored in the microprocessors come from different sources, ie from different manufacturers or programmers. All these measures should ensure that a safety - critical failure of the
  • An example of a safety-relevant application is the level monitoring in a tank in which a flammable or a non-flammable, but water-polluting liquid is stored. Here it must be ensured that the supply of liquid to the tank is interrupted immediately as soon as a maximum permissible level is reached. This, in turn, requires that the meter reliably detects the level and operates without errors.
  • the evaluation unit usually a microprocessor designed as a voter, represents the Achilles heel of a field device which should meet high and highest safety requirements.
  • the microprocessor is monolithic
  • the invention has for its object to provide a field device, which is characterized by increased functional safety.
  • control / evaluation unit is designed to be triple redundant and / or diversified and that the control / evaluation unit assigned to a voter, which consists of several components, at least partially twice are designed redundantly.
  • the voter is designed as a majority voter and at least three
  • a comparator stage comparing the output signals provided by the individual measurement channels, an error detection stage that detects an error occurring in a measurement channel by appropriately linking the output signals of the comparator stage, and an output selection stage.
  • the voter can be very simple
  • each voter channel comprising part of the comparator stage and part of the error detection stage, and if each voter channel is designed as an integral part of the associated measurement channel. Since it is further provided that each measuring channel is assigned its own power supply, the predetermined safety level is maintained, even if a measuring channel or its power supply completely fails.
  • the comparator stage in each Voterkanal on two comparators which compare the output signal of the selected measurement channel respectively with the output signal of the remaining measurement channels, so that the output signals of the three measurement channels are compared twice by redundant comparators.
  • the error detection stage is a logic stage constructed of logic gates. It is further considered advantageous if each logic stage consists of two AND gates and an OR gate or of an equivalent gate combination, wherein at the inputs of the first AND gate, the output signals of the comparators of the first Voterkanals are present, which is assigned to the selected measurement channel, and wherein at the second AND gate to the inputs of the first AND gate redundant output signals of
  • the output selection stage is configured to either one
  • Measuring channels and an alarm signal hits.
  • control / evaluation unit with measuring channels and / or the associated components of the Voters or the Voterkanäle is or are at least partially designed as a reconfigurable logic module with a plurality of partially dynamically reconfigurable function modules in the measurement channels.
  • control / evaluation unit configure the function modules in the measurement channels as a function of the respectively defined safety-critical application so that the field device satisfies the required safety standard. It is considered advantageous in this connection if, in addition to software-based and hardware-based measurement channels, at least one measurement channel is configured analog-based in an FPAA.
  • control / evaluation unit is assigned at least one microprocessor which dynamically partially reconfigures the functional modules of a measurement channel and / or a voter channel in which an error is detected.
  • Microprocessor permanently configured in a static area of the logic device.
  • the individual measuring channels are spaced apart such that a temperature and / or a voltage change in one measuring channel has no influence on an adjacent measuring channel. From WO 2009/062954 A1 is already a field device for determining or
  • control / evaluation unit that processes the measurement data supplied by the sensor along at least two equivalent measurement paths depending on a safety standard required in the respective safety-critical application and evaluates.
  • the known control / evaluation unit is at least partially reconfigurable as a logic device (FPGA) with several partially dynamically reconfigurable
  • the control / evaluation unit configures the
  • FIG. 1 shows a block diagram of a preferred embodiment of the control / evaluation unit with the inventively designed two-way redundant voter
  • control evaluation unit 2 shows a block diagram of a preferred embodiment of the control evaluation unit which can be used in the field device according to the invention.
  • 3a to 3f Tables which illustrate the error analysis of the control / evaluation unit used with the redundant voter according to the invention.
  • FIG. 1 shows a block diagram of a preferred embodiment of a control / evaluation unit 12, as it can be used in connection with the field device according to the invention.
  • the control / evaluation unit 12 is characterized by a dual redundant voter 13. For this purpose, at least some of the components of the Voters are designed twice redundant.
  • the voter 13 shown in FIG. 1 is designed as a majority voter and comprises three components or stages:
  • a comparator stage 4 which compares the output signals 1, 2, 3 supplied by the individual measuring channels MK1, MK2, MK3 with one another; an error detection stage 5, which by appropriate linkage of the
  • Output signals 1, 2, 3 of the comparator stage 4 one in a measuring channel MK1; MK2; MK3 detects errors that occur
  • the voter 13 (dash-dotted line) has a plurality of voter channels 15.1, 15.2, 15.3, each voter channel 15.1, 15.2, 15.3 (dashed lines) comprising part of the comparator stage 4 and part of the error detection stage 5, and each voter channel 15.1, 15.2, 15.3 as an integral part of the associated measuring channel MK1; MK2; MK3 is configured.
  • Each measuring channel MK1, MK2, MK3 with integrated Voterkanal 15.1, 15.2, 15.3 is assigned its own power supply U1, U2, U3 (solid lines).
  • the comparator stage 4 of a Voterkanals 15.1, 15.2, 15.3 has two comparators 7, the output signal 1; 2; 3 of the selected measurement channel MK1; MK2, MK3 each with the output signal 1; 2; 3 of the remaining measurement channels MK1, MK2, MK3 compare.
  • output signals 1, 2, 3 of the three measurement channels MK1, MK2, MK3 are compared twice by redundant comparators 7.
  • the error detection stage 5 is designed as a logic stage and constructed of logic gates 8, 9. Each integrated into a measuring channel MK1, MK2, MK3 logic stage 5 consists of two AND gates 8 and an OR gate 9.
  • the comparator stage 4 consisting of two comparators 7.1 .1, 7.1. 2, and the error detection stage 5, which in the case shown consists of the AND gates 8.1.1, 8.1.2 and the OR gate 9.1.
  • the OR gate 9.1 counts to the error detection stage 4, but is outside the voter channel 15.1.
  • the output signal 1 of the measuring channel MK1 and the output signal 2 of the measuring channel MK2 are applied to the comparator 7.1.1, while the output signal 1 of the
  • Measuring channel MK1 and the output signal 3 of the measuring channel MK3 are compared with each other at the comparator 7.1.2. Analog comparisons of the output signals 1, 2, 3 of the measuring channels MK1, MK2, MK3 are carried out in the two voting channels 15.2, 15.3. In general, it can be said that in each of the measuring channels MK1; MK2; MK3 the output signal 1, 2, 3 of the corresponding measurement channel MK1; MK2; MK3 with the output signals 1, 2, 3 of the remaining measurement channels MK1; MK2, MK3 is compared.
  • the redundant comparators 7.1 .1, 7.1 .2, 7.2.1, 7.2.2, 7.3.1, 7.3.2 are differences 1 ⁇ 2, 1 ⁇ 3, 2 ⁇ 1, 3 ⁇ 3, 35 1, 3 ⁇ 2 detected in the output signals 1, 2, 3 of the measuring channels MK1, MK2, MK3.
  • the accuracy in comparing the Output signals 1, 2, 3 of two measuring channels MK1, MK2; MK3 via one of the comparators 7.1 .1, 7.1 .2, 7.2.1, 7.2.2, 7.3.1, 7.3.2 is predetermined by the accuracy of the measuring channel MK1, MK2, MK3 with the lowest accuracy.
  • the accuracy of the measurement channel MK1 is 1% and the accuracy of the
  • Measuring channel MK2 0, 1%
  • the comparators 7.1 .1, 7.2.1 compare both measuring channels MK1, MK2 with an accuracy of 1%.
  • the output signals 1 ⁇ 2, 1 ⁇ 3 of the comparator stage 4 with the comparators 7.1 .1, 7.1 .2 are applied to the first AND gate 8.1.1, while the output signals 2 ⁇ 1, 3 ⁇ 1, from the measuring channels MK2 , MK3 come to rest on the second AND gate 8.1.2.
  • FIGS. 3a to 3f A table which reproduces the possibilities of error detection by means of the solution according to the invention is shown in FIGS. 3a to 3f.
  • the corresponding measuring channel MK1, MK2, MK3 is blanked out - thus it is no longer used to provide a value, e.g. one
  • control / evaluation unit 12 is designed as a partially dynamically reconfigurable FPGA, the components which caused the malfunction can become partially dynamic
  • the comparator stage 4 and the error detection stage 5 are largely designed to be redundant twice and distributed over different measuring channels MK1, MK2, MK3. Since the control / evaluation unit 12 must ultimately output a single value, the output must be designed as a single channel. This is achieved by the fact that
  • Output selection level 6 is only present in a simple way. A malfunction of the Output selection stage 6 can thus not be recognized.
  • the output selection stage 6 is formed by a multiplexer 10 which determines the output value on the basis of the output signals S1, S2, S3 delivered by the error detection stages 5.
  • the output selection stage 6 - e.g. a multiplexer 10 - is designed such that it either selects a measuring channel MK1, MK2, MK3 as functioning correctly if there is no malfunction, or if only a malfunction in one of the measuring channels MK1, MK2, MK3 or in one of the voter channels 15.1, 15.2 , 15.3 occurs.
  • the output selection stage 6 generates an error message if at least two
  • FIG. 2 shows a block diagram of a preferred embodiment of the redundantly configured control / evaluation unit 12 of the field device according to the invention.
  • the measuring channel MK1 is thus the selected measuring channel, which is always selected if no malfunction occurs at all, or if a malfunction in measuring channel MK2 or if a malfunction in measuring channel MK3 is detected. If a malfunction in the measuring channel MK1 is detected, the measuring channel MK2 is the selected measuring channel. If more than one malfunction occurs, an alarm signal is set.
  • This procedure is advantageous if the control / evaluation unit 12 has measuring channels MK1, MK2, MK3 with different accuracy.
  • a corresponding control / evaluation unit 12 is shown by way of example in FIG.
  • the measurement channels MK1, MK2 with the DSP (Digital Signal Processor) or the microcontroller have the highest accuracy in signal processing.
  • the measuring channel MK1, MK2 with the highest accuracy is always selected as reference measuring channel (measuring channel with the highest priority).
  • MK1 is the reference measuring channel as long as there is no malfunction in this measuring channel MK1. If a malfunction occurs in the measuring channel MK1, where is the measuring channel MK2 with the next higher accuracy the reference measuring channel.
  • the relative Inaccurate analogue measurement channel MK3 is only used to detect a malfunction in one of the measurement channels MK1, MK2.
  • FIGS. 3a to 3f list tables which illustrate the error analysis of the control / evaluation unit 12 used with the redundant voter 13 according to the invention. In the analysis, only those components are taken apart or considered in combination, which are redundant: the measuring channel MK, the
  • Comparator stage 4 the error detection stage 5. Since the non-redundant share of the components of the control / evaluation unit 12 is low, the safety of
  • the field device is only slightly influenced.
  • An error in the microprocessor 14 would also result in the inventive solution to an incorrect output value of the field device, which is a sensor in the case shown.
  • FIGS. 3a-3f distinguish the following cases:
  • Fig. 3a There is a malfunction in one of the measurement channels MK.
  • FIG. 3b A malfunction occurs in one of the comparator stages 4.
  • FIG. 3 c A malfunction occurs in one of the measuring channels MK and in one of the associated components of the comparator stages 4.
  • FIG. 3d A malfunction occurs in one of the measurement channels MK and in one of the associated components of the error detection stages 5.
  • FIG. 3e a malfunction occurs in one of the error detection stages 5.
  • FIG. 3f A malfunction occurs in one of the measuring channels MK1, MK2, MK3, in one of the associated components of the comparator stage 4 and in one of the associated ones
  • the probability of a corresponding error accumulation is so low that the required high safety requirements - in particular SIL 3 - can be met.
  • the control / evaluation unit 12 is assigned at least one microprocessor 14, which dynamically reconfigures or partially dynamically reconfigures the functional modules of the faulty measurement channel MK and / or the faulty voter 13.
  • the individual measuring channels MK - in FIG. 2 are the measuring channels MK1, MK2 - are spaced apart from one another such that a
  • Temperature and / or a voltage change in a measuring channel MK1 has / have no influence on an adjacent measuring channel MK2.
  • the microprocessor 14 is permanently configured in a static region of the logic device FPGA.

Abstract

Die Erfindung betrifft ein Feldgerät zur Bestimmung oder Überwachung einer Prozessgröße in der Automatisierungstechnik, wobei das Feldgerät einem Sicherheitsstandard genügt, der in einer vorgegebenen sicherheitskritischen Anwendung gefordert ist, mit einem Sensor (1 1 ), der nach einem definierten Messprinzip arbeitet, und mit einer Kontroll-/Auswerteeinheit (12), die die vom Sensor (1 1 ) gelieferten Messdaten entlang von zumindest drei redundanten und/oder diversitär ausgelegten Messkanälen (MK) aufbereitet und auswertet, und wobei der Kontroll-/Auswerteeinheit (12) ein Voter (13) zugeordnet ist, der aus mehreren Komponenten besteht, die zumindest teilweise zweifach redundant ausgelegt sind.

Description

Feldgerät zur Bestimmung oder Überwachung
einer Prozessgröße in der Automatisierungstechnik
Die Erfindung betrifft ein Feldgerät zur Bestimmung oder Überwachung einer
Prozessgröße in der Automatisierungstechnik. Das Feldgerät ist so ausgestaltet, dass es einem Sicherheitsstandard genügt, der in einer vorgegebenen sicherheitskritischen Anwendung gefordert ist. Weiterhin umfasst das Feldgerät einen Sensor, der nach einem definierten Messprinzip arbeitet, und eine Kontroll-/Auswerteeinheit, die die vom Sensor gelieferten Messdaten entlang von zumindest drei redundanten und/oder diversitär ausgelegten Messkanälen aufbereitet und auswertet. Eine entsprechende Lösung ist aus der WO 2004/013585 A1 bekannt geworden.
In der Automatisierungstechnik, insbesondere in der Prozessautomati-sierungstechnik, werden Feldgeräte eingesetzt, die zur Bestimmung und Überwachung von
Prozessvariablen dienen. Beispiele für derartige Feldgeräte sind Füllstandsmessgeräte, Durchflussmessgeräte, Analysemessgeräte, Druck- und Temperaturmessgeräte, Feuchte- und Leitfähigkeitsmessgeräte, Dichte und Viskositätsmessgeräte. Die Sensoren dieser Feldgeräte erfassen die entsprechenden Prozessvariablen, z.B. den Füllstand, den Durchfluss, den pH-Wert, die Stoffkonzentration, den Druck, die Temperatur, die Feuchte, die Leitfähigkeit, die Dichte oder die Viskosität.
Unter den Begriff 'Feldgeräte' werden in Verbindung mit der Erfindung aber auch Aktoren, z. B. Ventile oder Pumpen, subsumiert, über die beispielsweise der Durchfluss einer Flüssigkeit in einer Rohrleitung oder der Füllstand in einem Behälter veränderbar ist. Eine Vielzahl solcher Feldgeräte wird von der Firmengruppe Endress + Hauser angeboten und vertrieben.
In der Regel sind Feldgeräte in modernen automatisierungstechnischen Anlagen über Kommunikationsnetzwerke, wie HART- Multidrop, Punkt zu Punkt Verbindung, Profibus, Foundation Fieldbus, mit einer übergeordneten Einheit verbunden, die als Leitsysteme oder Leitwarte bezeichnet wird. Diese übergeordnete Einheit dient zur Prozesssteuerung, zur Prozessvisualisierung, zur Prozess Überwachung sowie zur Inbetriebnahme und zum Bedienen der Feldgeräte. Für den Betrieb von Feldbussystemen notwendige Zusatzkomponenten, die direkt an einen Feldbus angeschlossen sind und die insbesondere zur Kommunikation mit den übergeordneten Einheiten dienen, werden ebenfalls häufig als
Feldgeräte bezeichnet. Bei diesen Zusatz-komponenten handelt es sich z. B. um Remote I/Os, Gateways, Linking Devices, Controller oder Wireless Adapter. Je nach Anwendungsfall müssen die Feldgeräte unterschiedlichsten
Sicherheitsanforderungen genügen. Um den jeweiligen Sicherheits-anforderungen, z.B. der IEC61508 (SIL-Standard 'Safety Integrity Level') zu genügen, müssen die Feldgeräte redundant und/oder diversitär ausgelegt sein.
Redundanz bedeutet erhöhte Sicherheit durch doppelte oder mehrfache Auslegung aller sicherheitsrelevanter Hard- und Software-Komponenten. Diversität bedeutet, dass die in den unterschiedlichen Messkanälen befindlichen Hardware-Komponenten, wie z.B. ein Mikroprozessor, von unterschiedlichen Herstellern stammen und/oder dass sie von unterschiedlichem Typ sind. Im Falle von Software-Komponenten erfordert die Diversität, dass die in den Mikroprozessoren gespeicherte Software aus unterschiedlichen Quellen, sprich von unterschiedlichen Herstellern bzw. Programmierern stammt. Durch alle diese Maßnahmen soll sichergestellt werden, dass ein sicherheitskritischer Ausfall des
Feldgeräts ebenso wie das Auftreten von gleichzeitig auftretenden systematischen Fehlern bei der Messwertbereitstellung mit hoher Wahrscheinlichkeit ausgeschlossen ist. Ein Beispiel für eine sicherheitsrelevante Applikation ist die Füllstands-überwachung in einem Tank, in dem eine brennbare oder auch eine nicht brennbare, dafür aber wassergefährdende Flüssigkeit gelagert ist. Hier muss sichergestellt sein, dass die Zufuhr von Flüssigkeit zu dem Tank sofort unterbrochen wird, sobald ein maximal zulässiger Füllstand erreicht ist. Dies wiederum setzt voraus, dass das Messgerät hoch zuverlässig den Füllstand detektiert und fehlerfrei arbeitet.
Zwar ist bei den bekannten Lösungen der Messkanal redundant und/oder diversitär ausgelegt, jedoch stellt die Auswerteeinheit, üblicherweise ein Mikroprozessor, der als Voter ausgelegt ist, die Achillesferse eines Feldgeräts dar, das hohen und höchsten Sicherheitsanforderungen genügen soll. Der Mikroprozessor ist monolithisch
ausgestaltet. Tritt hier ein gefahrbringender Fehler (entsprechend der Nomenklatur des zuvor genannten Standards) auf, so versagt das Feldgerät. Um den SIL 3 Standard zu erfüllen, darf der Anteil der gefahrbringenden Fehler zu der Anzahl aller möglichen Fehler bei maximal einem Prozent liegen. Mit einem herkömmlichen Mikroprozessor ist dieser Sicherheitslevel nicht zu erreichen.
Der Erfindung liegt die Aufgabe zugrunde, ein Feldgerät vorzuschlagen, das sich durch eine erhöhte funktionale Sicherheit auszeichnet.
Die Aufgabe wird dadurch gelöst, dass die Kontroll-/Auswerteeinheit dreifach redundant und/oder diversitär ausgelegt ist und dass der Kontroll-/Auswerteeinheit ein Voter zugeordnet, der aus mehreren Komponenten besteht, die zumindest teilweise zweifach redundant ausgelegt sind. Mit dem erfindungsgemäßen Voter lassen sich sogar die hohen Sicherheits-anforderungen von SIL 3 erfüllen.
Gemäß einer vorteilhafte Weiterbildung des erfindungsgemäßen Feldgeräts ist vorgesehen, dass der Voter als Mehrheitsvoter ausgestaltet ist und zumindest drei
Komponenten aufweist: eine Komparatorstufe, die die von den einzelnen Messkanälen gelieferten Ausgangssignale miteinander vergleicht, eine Fehlererkennungsstufe, die durch geeignete Verknüpfung der Ausgangs-signale der Komparatorstufe einen in einem Messkanal auftretenden Fehler erkennt, und eine Ausgangsauswahlstufe. Wie nachfolgend noch näher erläutert wird, lässt sich der Voter mit sehr einfachen
Teilkomponenten realisieren.
Als besonders günstig wird es in Verbindung mit dem erfindungsgemäßen Feldgerät angesehen, wenn der Voter aus mehreren Voterkanälen besteht, wobei jeder Voterkanal einen Teil der Komparatorstufe und einen Teil der Fehlererkennungsstufe umfasst, und wenn jeder Voterkanal als integrierter Bestandteil des zugehörigen Messkanals ausgestaltet ist. Da weiterhin vorgesehen ist, dass jedem Messkanal eine eigene Spannungsversorgung zugeordnet ist, bleibt der vorgegebene Sicherheitslevel erhalten, selbst wenn ein Messkanal oder seine Spannungsversorgung komplett ausfällt.
Gemäß einer bevorzugten Ausgestaltung des erfindungsgemäßen Feldgeräts weist die Komparatorstufe in jedem Voterkanal zwei Komparatoren auf, die das Ausgangssignal des ausgewählten Messkanals jeweils mit dem Ausgangs-signal der verbleibenden Messkanäle vergleichen, so dass die Ausgangs-signale der drei Messkanäle zweifach von redundanten Komparatoren verglichen werden.
Bevorzugt handelt es sich bei der Fehlererkennungsstufe um eine Logikstufe, die aus Logikgattern aufgebaut ist. Als vorteilhaft wird es weiterhin angesehen, wenn jede Logikstufe aus zwei UND Gattern und einem ODER Gatter oder aus einer gleichwertigen Gatterkombination besteht, wobei an den Eingängen des ersten UND Gatters die Ausgangssignale der Komparatoren des ersten Voterkanals anliegen, der dem ausgewählten Messkanal zugeordnet ist, und wobei an dem zweiten UND Gatter die zu den Eingängen des ersten UND Gatters redundanten Ausgangssignale der
Komparatoren des zweiten Voterkanals und des dritten Voterkanals anliegen, und wobei die Ausgangssignale des ersten UND Gatters und des zweiten UND Gatters die
Eingangssignale des nachgeschalteten ODER Gatters bilden. Da der Voter für drei Messkanäle sechs Komparatoren und sechs Fehlererkennungseinheiten aufweist, ist die Information über einen in einem Messkanal auftretenden Fehler zweifach redundant. Hinzu kommt, dass Information über einen zweifach in einem Messkanal auftretenden Fehler über Komponenten gewonnen wird, die auf zwei Messkanäle verteilt sind.
Aufgrund dieser Anordnung kann auch ein Fehler, der in der Komparatorstufe oder in der Fehlererkennungsstufe auftritt, detektiert werden. Insbesondere ist die Ausgangsauswahlstufe so ausgestaltet, dass sie entweder einen
Messkanal auswählt, wenn kein Fehler oder ein Fehler in einem der Messkanäle oder in einem der Voterkanäle auftritt, oder dass sie eine Fehlermeldung generiert, wenn zumindest zwei Fehler in zumindest zwei Messkanälen und/oder zwei Voterkanälen auftreten.
Eine bevorzugte Ausführungsform des erfindungsgemäßen Feldgeräts sieht vor, dass die Ausgangsauswahlstufe einen Multiplexer aufweist, der so ausgestaltet ist, dass er in Abhängigkeit von den Ausgangssignalen der Fehlererkennungsstufe eine Auswahl zwischen den Ausgangssignalen der
Messkanäle und einem Alarmsignal trifft.
In einer vorteilhaften Ausgestaltung ist bzw. sind die Kontroll-/Auswerteeinheit mit Messkanälen und/oder die zugehörigen Komponenten des Voters bzw. der Voterkanäle zumindest teilweise als rekonfigurierbarer Logikbaustein mit mehreren partiell dynamisch rekonfigurierbaren Funktionsmodulen in den Messkanälen ausgebildet.
Weiterhin wird vorgeschlagen, dass die Kontroll-/Auswerteeinheit die Funktionsmodule in den Messkanälen in Abhängigkeit von der jeweils definierten sicherheitskritischen Anwendung so konfiguriert, dass das Feldgerät dem geforderten Sicherheitsstandard genügt. Als vorteilhaft wird es in diesem Zusammenhang erachtet, wenn neben softwarebasierten und hardwarebasierten Messkanälen zumindest ein Messkanal analogbasiert in einem FPAA konfiguriert ist.
Hierzu ist der Kontroll-/Auswerteeinheit zumindest ein Mikroprozessor zugeordnet ist, der die Funktionsmodule eines Messkanals und/oder eines Voterkanals, in dem ein Fehler detektiert wird, dynamisch partiell rekonfiguriert.
Um die Performance des Logikbausteins zu optimieren, ist der zumindest eine
Mikroprozessor in einem statischen Bereich des Logikbausteins permanent konfiguriert. Um den geforderten Sicherheitsstandard zu erfüllen, sind die einzelnen Messkanäle so voneinander beabstandet, dass eine Temperatur- und/oder eine Spannungsänderung in einem Messkanal keinen Einfluss auf einen benachbarten Messkanal hat. Aus der WO 2009/062954 A1 ist bereits ein Feldgerät zur Bestimmung oder
Überwachung einer Prozessgröße in der Prozessautomatisierung, bestehend aus einem Sensor, der nach einem definierten Messprinzip arbeitet, und einer Kontroll- /Auswerteeinheit, die die vom Sensor gelieferten Messdaten in Abhängigkeit von einem in der jeweiligen sicherheitskritischen Anwendung geforderten Sicherheitsstandard entlang von mindestens zwei gleichwertigen Messpfaden aufbereitet und auswertet. Die bekannte Kontroll-/Auswerte-einheit ist zumindest teilweise als rekonfigurierbarer Logikbaustein (FPGA) mit mehreren partiell dynamisch rekonfigurierbaren
Funktionsmodulen ausgebildet. Die Kontroll-/Auswerteeinheit konfiguriert die
Funktionsmodule in den Messpfaden in Abhängigkeit von der jeweils definierten sicherheits-kritischen Anwendung derart, dass das Feldgerät entsprechend dem geforderten Sicherheitsstandard ausgelegt ist. In der WO 2009/062954 A1 sind
Möglichkeiten genannt, wie Fehler in den Messkanälen detektiert und behoben werden. Dieser Offenbarungsgehalt ist der vorliegenden Erfindung zuzurechnen.
Die Erfindung wird anhand der nachfolgenden Figuren näher erläutert. Es zeigt:
Fig. 1 : ein Blockschaltbild einer bevorzugten Ausgestaltung der Kontroll-/Auswerteeinheit mit dem erfindungsgemäß zweifach redundant ausgelegten Voter,
Fig. 2: ein Blockschaltbild einer bevorzugten Ausgestaltung der Kontroll-Auswerteeinheit, die bei dem erfindungsgemäßen Feldgerät eingesetzt werden kann. Fig. 3a bis Fig. 3f: Tabellen, die die Fehleranalyse der erfindungsgemäß verwendeten Kontroll-/Auswerteeinheit mit dem redundanten Voter verdeutlichen.
Fig. 1 zeigt ein Blockschaltbild einer bevorzugten Ausgestaltung einer Kontroll- /Auswerteeinheit 12, wie sie im Zusammenhang mit dem erfindungsgemäßen Feldgerät nutzbar ist. Die Kontroll-/Auswerteeinheit 12 zeichnet sich durch einen zweifach redundanten Voter 13 aus. Hierzu sind zumindest einige der Komponenten des Voters zweifach redundant ausgelegt. Der in Fig. 1 dargestellte Voter 13 ist als Mehrheitsvoter ausgestaltet und umfasst drei Komponenten bzw. Stufen:
eine Komparatorstufe 4, die die von den einzelnen Messkanälen MK1 , MK2, MK3 gelieferten Ausgangssignale 1 , 2, 3 miteinander vergleicht; eine Fehlererkennungsstufe 5, die durch geeignete Verknüpfung der
Ausgangssignale 1 , 2, 3 der Komparatorstufe 4 einen in einem Messkanal MK1 ; MK2; MK3 auftretenden Fehler erkennt, und
eine Ausgangsauswahlstufe 6.
Der Voter 13 (Strich-Punkt-Linie) weist mehrere Voterkanäle 15.1 , 15.2, 15.3 auf, wobei jeder Voterkanal 15.1 , 15.2, 15.3 (gestrichelte Linien) einen Teil der Komparatorstufe 4 und einen Teil der Fehlererkennungsstufe 5 umfasst und wobei jeder Voterkanal 15.1 , 15.2, 15.3 als integrierter Bestandteil des zugehörigen Messkanals MK1 ; MK2; MK3 ausgestaltet ist. Jedem Messkanal MK1 , MK2, MK3 mit integriertem Voterkanal 15.1 , 15.2, 15.3 ist eine eigene Spannungsversorgung U1 , U2, U3 (durchgezogene Linien) zugeordnet.
Die Komparatorstufe 4 eines Voterkanals 15.1 , 15.2, 15.3 weist zwei Komparatoren 7 auf, die das Ausgangssignal 1 ; 2; 3 des ausgewählten Messkanals MK1 ; MK2, MK3 jeweils mit dem Ausgangssignal 1 ; 2; 3 der verbleibenden Messkanäle MK1 , MK2, MK3 vergleichen. Insbesondere werden Ausgangssignale 1 , 2, 3 der drei Messkanäle MK1 , MK2, MK3 zweifach von redundanten Komparatoren 7 verglichen. Im gezeigten Fall ist die Fehlererkennungsstufe 5 als Logikstufe ausgestaltet und aus Logikgattern 8, 9 aufgebaut. Jede in einen Messkanal MK1 , MK2, MK3 integrierte Logikstufe 5 besteht aus zwei UND Gattern 8 und einem ODER Gatter 9. Betrachten wir im Folgenden den Voterkanal 15.1 mit dem Messkanal MK1 , der Komparatorstufe 4, bestehend aus zwei Komparatoren 7.1 .1 , 7.1 .2, und der Fehlererkennungsstufe 5, die im gezeigten Fall aus den UND Gattern 8.1.1 , 8.1.2 und dem ODER Gatter 9.1 besteht. Das ODER Gatter 9.1 zählt zu der Fehlererkennungsstufe 4, liegt aber außerhalb des Voterkanals 15.1 .
Das Ausgangssignal 1 des Messkanals MK1 und das Ausgangssignal 2 des Messkanals MK2 liegen an dem Komparator 7.1.1 an, während das Ausgangssignal 1 des
Messkanals MK1 und das Ausgangssignal 3 des Messkanals MK3 an dem Komparator 7.1.2 miteinander verglichen werden. Analoge Vergleiche der Ausgangssignale 1 , 2, 3 der Messkanäle MK1 , MK2, MK3 werden in den beiden Voterkanälen 15.2, 15.3 ausgeführt. Allgemein lässt sich sagen, dass in jedem der Messkanäle MK1 ; MK2; MK3 das Ausgangssignal 1 , 2, 3 des entsprechenden Messkanals MK1 ; MK2; MK3 mit den Ausgangssignalen 1 , 2, 3 der verbleibenden Messkanäle MK1 ; MK2, MK3 verglichen wird. Über die redundanten Komparatoren 7.1 .1 , 7.1 .2, 7.2.1 , 7.2.2, 7.3.1 , 7.3.2 werden Unterschiede 1 ^2, 1 ^3, 2^1 , 3^3, 35 1 , 3^2 in den Ausgangssignalen 1 , 2, 3 der Messkanäle MK1 , MK2, MK3 detektiert. Die Genauigkeit bei dem Vergleich der Ausgangssignale 1 , 2, 3 von zwei Messkanälen MK1 , MK2; MK3 über einen der Komparatoren 7.1 .1 , 7.1 .2, 7.2.1 , 7.2.2, 7.3.1 , 7.3.2 ist durch die Genauigkeit des Messkanals MK1 , MK2, MK3 mit der geringsten Genauigkeit vorgegeben. Beträgt die Genauigkeit des Messkanals MK1 beispielsweise 1 % und die Genauigkeit des
Messkanals MK2 0, 1 %, so vergleichen die Komparatoren 7.1 .1 , 7.2.1 beide Messkanäle MK1 , MK2 mit einer Genauigkeit von 1 %.
Um herauszufinden, in welchem Messkanal MK1 , MK2, MK3 ein Fehler aufgetreten ist, werden die Ausgänge der Komparatoren 7.1.1 , 7.1.2, 7.2.1 , 7.2.2, 7.3.1 , 7.3.2 an die UND Gatter 8.1 .1 , 8.1.2, 8.2.1 , 8.2.2, 8.3.1 , 8.3.2 weitergeleitet. Insbesondere liegen die Ausgangssignale 1 ^2, 1 ^3 der Komparatorstufe 4 mit den Komparatoren 7.1 .1 , 7.1 .2 an dem ersten UND Gatter 8.1.1 an, während die Ausgangssignale 2^1 , 3^1 , die aus den Messkanälen MK2, MK3 stammen, an dem zweiten UND Gatter 8.1.2 anliegen. Da den drei Messkanälen MK1 , MK2, MK3 sechs Komparatoren 7.1.1 , 7.1.2, 7.2.1 , 7.2.2, 7.3.1 , 7.3.2 und sechs Fehlererkennungs-komponenten 8.1.1 , 8.1.2, 8.2.1 , 8.2.2, 8.3.1 , 8.3.2 zugeordnet sind, tritt die Information über eine Fehlfunktion in einem der Messkanäle MK1 , MK2, MK3 jeweils zweifach redundant auf. Zudem stammt die Information auch noch aus unterschiedlichen Messkanälen MK1 , MK2, MK3. Diese Ausgestaltung des redundanten Voters 13 Lösung hat den Vorteil, neben dem
Erkennen der Fehlfunktion in einem Messkanal MK1 , MK2, MK3 auch eine Fehlfunktion in der Komparatorstufe 4 oder in der Fehlererkennungsstufe 5 oder in einer Kombination der verschiedenen Komponenten 4, 5 zu detektieren. Eine Tabelle, die die Möglichkeiten der Fehlererkennung mittels der erfindungsgemäßen Lösung wiedergibt, ist in den Figuren Fig. 3a bis Fig. 3f gezeigt. Sobald ein Fehler in einem der Messkanäle MK1 , MK2, MK3 detektiert wird, wird der entsprechende Messkanal MK1 , MK2, MK3 ausgeblendet - wird also nicht mehr zur Bereitstellung eines Wertes, z.B. eines
Messwertes, herangezogen - und/oder - falls diese Möglichkeit infolge der Verwendung eines rekonfigurierbaren FPGA gegeben ist - ggf. rekonfiguriert. Ist die Kontroll- /Auswerteeinheit 12 als partiell dynamisch rekonfigurierbarer FPGA ausgestaltet, können die Komponenten, die die Fehlfunktion verursacht haben, partiell dynamisch
rekonfiguriert werden.
Gemäß einer bevorzugten Ausgestaltung des erfindungsgemäßen Feldgeräts sind die Komparatorstufe 4 und die Fehlererkennungsstufe 5 großteils zweifach redundant ausgelegt und über unterschiedliche Messkanäle MK1 , MK2, MK3 verteilt. Da die Kontroll-/Auswerteeinheit 12 letztlich einen einzigen Wert ausgeben muss, muss der Ausgang einkanalig ausgestaltet sein. Dies wird dadurch erreicht, dass die
Ausgangsauswahlstufe 6 nur einfach vorliegt. Eine Fehlfunktion der Ausgangsauswahlstufe 6 lässt sich somit nicht erkennen. Im gezeigten Fall wird die Ausgangsauswahlstufe 6 von einem Multiplexer 10 gebildet, der anhand der von den Fehlererkennungsstufen 5 gelieferten Ausgangssignalen S1 , S2, S3 den Ausgabewert ermittelt.
Bevorzugt ist die Ausgangsauswahlstufe 6 - z.B. ein Multiplexer 10 - so ausgestaltet ist, dass sie entweder einen Messkanal MK1 , MK2, MK3 als korrekt funktionierend auswählt, wenn keine Fehlfunktion vorliegt, oder wenn lediglich eine Fehlfunktion in einem der Messkanäle MK1 , MK2, MK3 oder in einem der Voterkanäle 15.1 , 15.2, 15.3 auftritt. Die Ausgangsauswahlstufe 6 generiert eine Fehlermeldung, wenn zumindest zwei
Fehlfunktionen in zumindest zwei Messkanälen MK1 , MK2, MK3 und/oder in zumindest zwei Voterkanälen 15.1 , 15.2, 15.3 auftreten. Der Multiplexer 10 trifft also in
Abhängigkeit von den Ausgangssignalen der Fehlererkennungsstufe 5 eine Auswahl zwischen den Ausgangssignalen 1 , 2, 3 der Messkanäle MK1 , MK2, MK3 und einem Alarmsignal.
Fig. 2 zeigt ein Blockschaltbild einer bevorzugten Ausgestaltung der redundant ausgestalteten Kontroll-/Auswerteeinheit 12 des erfindungsgemäßen Feldgeräts. Vorzug ist in Fig. 2 beispielsweise dem Messkanal MK1 gegeben. Messkanal MK1 ist somit der ausgewählte Messkanal, der immer dann ausgewählt wird, wenn überhaupt keine Fehlfunktion auftritt, oder wenn eine Fehlfunktion in Messkanal MK2 oder wenn eine Fehlfunktion in Messkanal MK3 detektiert wird. Wird eine Fehlfunktion im Messkanal MK1 detektiert, so ist der Messkanal MK2 der ausgewählte Messkanal. Treten mehr als eine Fehlfunktion auf, so wird ein Alarmsignal gesetzt. Diese Vorgehensweise ist vorteilhaft, wenn die Kontroll-/Auswerteeinheit 12 Messkanäle MK1 , MK2, MK3 mit unterschiedlicher Genauigkeit aufweist. Eine entsprechende Kontroll-/Auswerteeinheit 12 ist beispielhaft in Fig. 2 dargestellt. Die Messkanäle MK1 , MK2 mit der DSP (Digitaler Signalprozessor) oder dem Mikrocontroller weisen die höchste Genauigkeit bei der Signalverarbeitung auf. Der analoge Messkanal MK3, der im gezeigten Fall FPAA basiert ausgestaltet ist, weist die geringste Genauigkeit im Hinblick auf die Signalverarbeitung auf. Es wird üblicherweise also immer der Messkanal MK1 , MK2 mit der höchsten Genauigkeit als Referenz-Messkanal (Messkanal mit der höchsten Priorität) ausgewählt. Im gezeigten Fall ist der Messkanal MK1. MK1 ist solange Referenz-Messkanal, wie in diesem Messkanal MK1 keine Fehlfunktion auftritt. Zeigt sich im Messkanal MK1 eine Fehlfunktion, wo wird der Messkanal MK2 mit der nächst höheren Genauigkeit zum Referenz-Messkanal. Solange keine Fehlfunktion in einem der Messkanäle MK1 , MK2 auftritt, erfolgt die Signalverarbeitung des Sensors 1 1 bzw. des Feldgeräts also mit der hohen Genauigkeit der Messkanäle mit der DSP bzw. dem Mikrocontroller. Der relativ ungenaue analoge Messkanal MK3 wird nur verwendet, um eine Fehlfunktion in einem der Messkanäle MK1 , MK2 zu erkennen.
In den Figuren Fig. 3a bis Fig. 3f sind Tabellen aufgelistet, die die Fehleranalyse der erfindungsgemäß verwendeten Kontroll-/Auswerteeinheit 12 mit dem redundanten Voter 13 verdeutlichen. Bei der Analyse werden nur die Komponenten für sich genommen oder in Kombination betrachtet, die redundant vorliegen: der Messkanal MK, die
Komparatorstufe 4, die Fehlererkennungsstufe 5. Da der nicht redundante Anteil an den Komponenten der Kontroll-/Auswerteeinheit 12 gering ist, wird die Sicherheit des
Feldgerät dadurch nur in geringem Maße beeinflusst. Ein Fehler im Mikroprozessor 14 würde auch bei der erfindungsgemäßen Lösung zu einem falschen Ausgabewert des Feldgeräts, bei dem es sich im gezeigten Fall um einen Sensor handelt, führen.
Im Detail unterscheiden die Figuren Fig. 3a-3f die folgenden Fälle:
Fig. 3a: es tritt eine Fehlfunktion in einem der Messkanäle MK auf.
Fig. 3b: es tritt eine Fehlfunktion in einer der Komparatorstufen 4 auf.
Fig. 3c: es tritt eine Fehlfunktion in einem der Messkanäle MK und in einer der zugehörigen Komponenten der Komparatorstufen 4 auf.
Fig. 3d: es tritt eine Fehlfunktion in einem der Messkanäle MK und in einer der zugehörigen Komponenten der Fehlererkennungsstufen 5 auf.
Fig. 3e: es tritt eine Fehlfunktion in einer der Fehlererkennungsstufen 5 auf.
Fig. 3f: es tritt eine Fehlfunktion in einem der Messkanäle MK1 , MK2, MK3, in einer der zugehörigen Komponenten der Komparatorstufe 4 und in einer der zugehörigen
Komponenten der Fehlererkennungsstufe 5 auf.
Generell lässt sich sagen, dass sich Fehlfunktionen in den einzelnen Komponenten: Messkanal MK (Fig. 3a), Komparatorstufe 4 (Fig. 3b) und Fehlererkennungsstufe 5 (Fig. 3e) mittels der erfindungsgemäßen Lösung detektieren oder ausblenden lassen.
Weiterhin ist es möglich, die Funktionstüchtigkeit des Feldgeräts zu gewährleisten, selbst wenn zwei Fehlfunktionen in der Kontroll-/Auswerteeinheit 12 auftreten (Fig. 3c, Fig. 3e). Die erfindungsgemäße Lösung versagt nur dann, wenn Fehlfunktionen in einem
Messkanal MK1 , MK2, MK3 und in jeder Komponente des zugehörigen Voterkanals 15.1 , 15. 2, 15.3 auftreten (Fig. 3f), oder wenn die entsprechenden Fehlfunktionen über zwei Messkanäle verteilt sind. Allerdings ist die Wahrscheinlichkeit für eine entsprechende Fehlerhäufung so gering, dass die geforderten hohen Sicherheitsanforderungen - insbesondere SIL 3 - erfüllt werden können. Wie bereits an vorhergehender Stelle erwähnt, ist es besonders vorteilhaft, wenn der Kontroll-/Auswerteeinheit 12 zumindest ein Mikroprozessor 14 zugeordnet ist, der die Funktionsmodule des fehlerhaften Messkanals MK und/oder des fehlerhaften Voters 13 dynamisch rekonfiguriert bzw. partiell dynamisch rekonfiguriert.
Weiterhin wird vorgeschlagen, dass die einzelnen Messkanäle MK - in der Fig. 2 sind dies die Messkanäle MK1 , MK2 - so voneinander beabstandet sind, dass eine
Temperatur- und/oder eine Spannungsänderung in einem Messkanal MK1 keinen Einfluss auf einen benachbarten Messkanal MK2 haben/hat. Bevorzugt ist für den Fall, dass die Kontroll-/Auswerteeinheit 12 auf einem Logikbaustein FPGA realisiert ist und dynamisch bzw. partiell dynamisch rekonfigurierbar ist, der Mikroprozessor 14 in einem statischen Bereich des Logikbausteins FPGA permanent konfiguriert. Entsprechende Ausgestaltungen sind bereits in der zuvor zitierten Internationalen Patentanmeldung der Anmelderin beschrieben.
Bezugszeichenliste
Ausgang Messkanal MK1
2 Ausgang Messkanal MK2
3 Ausgang Messkanal MK3
4 Komparatorstufe
5 Fehlererkennungsstufe
6 Ausgangsauswahlstufe
7 Komparator
8 UND Gatter
9 ODER Gatter
10 Multiplexer
1 1 Sensor
12 Kontroll-/Auswerteeinheit
13 Voter
14 Mikroprozessor
15 Voterkanal
U Spannungsversorgung

Claims

Patentansprüche
1. Feldgerät zur Bestimmung oder Überwachung einer Prozessgröße in der
Automatisierungstechnik, wobei das Feldgerät einem Sicherheitsstandard genügt, der in einer vorgegebenen sicherheitskritischen Anwendung gefordert ist, mit einem Sensor (1 1 ), der nach einem definierten Messprinzip arbeitet, und mit einer Kontroll- /Auswerteeinheit (12), die die vom Sensor (1 ) gelieferten Messdaten entlang von zumindest drei redundanten und/oder diversitär ausgelegten Messkanälen (MK) aufbereitet und auswertet, und
wobei der Kontroll-/Auswerteeinheit (2) ein Voter (13) zugeordnet ist, der aus mehreren Komponenten besteht, die zumindest teilweise zweifach redundant ausgelegt sind.
2. Feldgerät nach Anspruch 1 ,
wobei der Voter (13) als Mehrheitsvoter ausgestaltet ist und drei Komponenten aufweist: eine Komparatorstufe (4), die die von den einzelnen Messkanälen (MK) gelieferten Ausgangssignale miteinander vergleicht, eine Fehlererkennungsstufe (5), die durch geeignete Verknüpfung der Ausgangssignale der Komparatorstufe (4) einen in einem Messkanal (MK) auftretenden Fehler erkennt, und eine Ausgangsauswahlstufe (6).
3. Feldgerät nach Anspruch 1 oder 2,
wobei der Voter (13) aus mehreren Voterkanälen (15) besteht, wobei jeder Voterkanal (15) einen Teil der Komparatorstufe (4) und einen Teil der Fehlererkennungsstufe (5) umfasst und wobei jeder Voterkanal (15) als integrierter Bestandteil des zugehörigen Messkanals (MK) ausgestaltet ist.
4. Feldgerät nach einem oder mehreren der Ansprüche 1 -3,
wobei jedem Messkanal (MK) eine eigene Spannungsversorgung (U) zugeordnet ist.
5. Feldgerät nach einem oder mehreren der vorhergehenden Ansprüche,
wobei die Komparatorstufe (4) eines jeden Voterkanals (15) zwei Komparatoren (7) aufweist, die das Ausgangssignal des ausgewählten Messkanals (MK) jeweils mit dem Ausgangssignal der verbleibenden Messkanäle vergleichen, so dass die
Ausgangssignale der drei Messkanäle (MK) zweifach von redundanten Komparatoren (7) verglichen werden.
6. Feldgerät nach Anspruch 5,
wobei es sich bei der Fehlererkennungsstufe (5) um eine Logikstufe handelt, die aus Logikgattern (8, 9) aufgebaut ist.
7. Feldgerät nach Anspruch 5 oder 6,
wobei jede Logikstufe aus zwei UND Gattern (8) und einem ODER Gatter (9) oder aus einer gleichwertigen Gatterkombination besteht, wobei an den Eingängen des ersten UND Gatters (8) die Ausgangssignale der Komparatoren (7) des ersten Voterkanals (15.1 ) anliegen, der dem ausgewählten Messkanal zugeordnet ist, und wobei an dem zweiten UND Gatter (8) die zu den Eingängen des ersten UND Gatters (8) redundanten Ausgangssignale der Komparatoren (7) des zweiten Voterkanals (15.2) und des dritten Voterkanals (15.3) anliegen, und wobei die Ausgangssignale des ersten UND Gatters (8) und des zweiten UND Gatters (8) die Eingangssignale des nachgeschalteten ODER Gatters (9) bilden.
8. Feldgerät nach einem oder mehreren der Ansprüche 1 -7,
wobei die Ausgangsauswahlstufe (6) so ausgestaltet ist, dass sie entweder einen Messkanal (MK) auswählt, wenn kein Fehler oder ein Fehler in einem der Messkanäle (MK) oder in einem der Voterkanäle (15) auftritt, oder dass sie eine Fehlermeldung generiert, wenn zumindest zwei Fehler in zumindest zwei Messkanälen (MK) und/oder zwei Voterkanälen (15) auftreten.
9. Feldgerät nach einem oder mehreren der vorhergehenden Ansprüche,
wobei die Ausgangsauswahlstufe (6) einen Multiplexer (10) aufweist, der so ausgestaltet ist, dass er in Abhängigkeit von den Ausgangssignalen der Fehlererkennungsstufe (5) eine Auswahl zwischen den Ausgangssignalen der
Messkanäle (MK) und einem Alarmsignal trifft.
10. Feldgerät nach einem oder mehreren der vorhergehenden Ansprüche,
wobei die Kontroll-/Auswerteeinheit (12) mit Messkanälen (MK) und/oder die zugehörigen Komponenten des Voters (13) bzw. der Voterkanäle (15) zumindest teilweise als rekonfigurierbarer Logikbaustein (FPGA) mit mehreren partiell dynamisch
rekonfigurierbaren Funktionsmodulen in den Messkanälen (MK) ausgebildet ist.
1 1. Feldgerät nach einem oder mehreren der vorhergehenden Ansprüche,
wobei die Kontroll-/Auswerteeinheit (12) die Funktionsmodule in den Messkanälen (MK) in Abhängigkeit von der jeweils definierten sicherheitskritischen Anwendung so konfiguriert, dass das Feldgerät dem geforderten Sicherheitsstandard genügt.
12. Feldgerät nach einem oder mehreren der vorhergehenden Ansprüche,
wobei der Kontroll-/Auswerteeinheit (12) zumindest ein Mikroprozessor (1 1 ) zugeordnet ist, der die Funktionsmodule eines Messkanals (MK) und/oder eines Voterkanals (15), in dem ein Fehler detektiert wird partiell dynamisch rekonfiguriert.
13. Feldgerät nach einem oder mehreren der vorhergehenden Ansprüche, wobei zumindest einer der Messkanäle (MK) analogbasiert in einem FPAA konfiguriert ist.
14. Feldgerät nach einem oder mehreren der vorhergehenden Ansprüche, wobei die einzelnen Messkanäle (MK) so voneinander beabstandet sind, dass eine Temperatur- und/oder eine Spannungsänderung in einem Messkanal (MK) keinen Einfluss auf einen benachbarten Messkanal (MK) haben/hat.
15. Feldgerät nach einem oder mehreren der vorhergehenden Ansprüche, wobei der zumindest eine Mikroprozessor (14) in einem statischen Bereich des Logikbausteins (FPGA) permanent konfiguriert ist.
PCT/EP2013/063430 2012-07-23 2013-06-26 FELDGERÄT ZUR BESTIMMUNG ODER ÜBERWACHUNG EINER PROZESSGRÖßE IN DER AUTOMATISIERUNGSTECHNIK WO2014016074A1 (de)

Priority Applications (3)

Application Number Priority Date Filing Date Title
US14/415,817 US10228664B2 (en) 2012-07-23 2013-06-26 Field device for determining or monitoring a process variable in automation technology
CN201380039062.7A CN104508574B (zh) 2012-07-23 2013-06-26 用于确定或监控自动化技术中的过程变量的现场装置
EP13732465.3A EP2875408B1 (de) 2012-07-23 2013-06-26 FELDGERÄT ZUR BESTIMMUNG ODER ÜBERWACHUNG EINER PROZESSGRÖßE IN DER AUTOMATISIERUNGSTECHNIK

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102012106652.3A DE102012106652A1 (de) 2012-07-23 2012-07-23 Feldgerät zur Bestimmung oder Überwachung einer Prozessgröße in der Automatisierungstechnik
DE102012106652.3 2012-07-23

Publications (1)

Publication Number Publication Date
WO2014016074A1 true WO2014016074A1 (de) 2014-01-30

Family

ID=48703492

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2013/063430 WO2014016074A1 (de) 2012-07-23 2013-06-26 FELDGERÄT ZUR BESTIMMUNG ODER ÜBERWACHUNG EINER PROZESSGRÖßE IN DER AUTOMATISIERUNGSTECHNIK

Country Status (5)

Country Link
US (1) US10228664B2 (de)
EP (1) EP2875408B1 (de)
CN (1) CN104508574B (de)
DE (1) DE102012106652A1 (de)
WO (1) WO2014016074A1 (de)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105005232A (zh) * 2015-05-28 2015-10-28 孙军 可降级的三冗余同步表决计算机控制系统及方法
CN105045164A (zh) * 2015-05-28 2015-11-11 谭龙飞 可降级的三冗余同步表决计算机控制系统及方法

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102013100159A1 (de) 2012-11-28 2014-05-28 Endress + Hauser Gmbh + Co. Kg Feldgerät zur Bestimmung oder Überwachung einer Prozessgröße in der Automatisierungstechnik
DE102013101579A1 (de) 2013-02-18 2014-08-21 Endress + Hauser Gmbh + Co. Kg Feldgerät zur Bestimmung oder Überwachung einer Prozessgröße in der Automatisierungstechnik
DE102017106777A1 (de) * 2017-03-29 2018-10-04 Endress+Hauser Conducta Gmbh+Co. Kg Verfahren zum Betreiben eines Feldgeräts der Automatisierungstechnik und eine Bedieneinheit zum Durchführen des Verfahrens
CN109143839A (zh) * 2018-09-04 2019-01-04 广西质量技术工程学校 一种高容错的传感器冗余控制方法

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4752869A (en) * 1985-05-09 1988-06-21 Westinghouse Electric Corp. Auxiliary reactor protection system
WO2004013585A1 (de) 2002-07-26 2004-02-12 Endress + Hauser Gmbh + Co. Kg Vorrichtung zur bestimmung und/oder überwachung einer physikalischen oder chemischen prozessgrösse
WO2009062954A1 (de) 2007-11-14 2009-05-22 Endress+Hauser Gmbh+Co.Kg FELDGERÄT FÜR DIE BESTIMMUNG ODER ÜBERWACHUNG EINER PROZESSGRÖßE IN DER PROZESSAUTOMATISIERUNG
DE102009026785A1 (de) * 2009-01-30 2010-08-05 Endress + Hauser Gmbh + Co. Kg Feldgerät zur Bestimmung und/oder Überwachung einer physikalischen oder chemischen Prozessgröße
DE102009002734A1 (de) * 2009-04-29 2010-11-11 Endress + Hauser Gmbh + Co. Kg Feldgerät zur Bestimmung oder Überwachung einer Prozessgröße in der Prozessautomatisierung
DE102009028938A1 (de) * 2009-08-27 2011-03-03 Endress + Hauser Gmbh + Co. Kg Feldgerät zur Bestimmung oder Überwachung einer physikalischen oder chemischen Variablen
US20110313580A1 (en) * 2010-06-17 2011-12-22 Levgenii Bakhmach Method and platform to implement safety critical systems

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10243713B4 (de) * 2002-09-20 2006-10-05 Daimlerchrysler Ag Redundante Steuergeräteanordnung
EP2085838B1 (de) * 2008-02-01 2014-01-08 Rockwell Automation Limited Eingabekanaldiagnose
DE102010002346A1 (de) * 2009-10-12 2011-04-14 Endress + Hauser Gmbh + Co. Kg Feldgerät zur Bestimmung oder Überwachung einer physikalischen oder chemischen Prozessgröße
DE102010043706A1 (de) * 2010-07-05 2012-01-05 Endress + Hauser Gmbh + Co. Kg Feldgerät zur Bestimmung oder Überwachung einer physikalischen oder chemischen Prozessgröße

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4752869A (en) * 1985-05-09 1988-06-21 Westinghouse Electric Corp. Auxiliary reactor protection system
WO2004013585A1 (de) 2002-07-26 2004-02-12 Endress + Hauser Gmbh + Co. Kg Vorrichtung zur bestimmung und/oder überwachung einer physikalischen oder chemischen prozessgrösse
WO2009062954A1 (de) 2007-11-14 2009-05-22 Endress+Hauser Gmbh+Co.Kg FELDGERÄT FÜR DIE BESTIMMUNG ODER ÜBERWACHUNG EINER PROZESSGRÖßE IN DER PROZESSAUTOMATISIERUNG
DE102009026785A1 (de) * 2009-01-30 2010-08-05 Endress + Hauser Gmbh + Co. Kg Feldgerät zur Bestimmung und/oder Überwachung einer physikalischen oder chemischen Prozessgröße
DE102009002734A1 (de) * 2009-04-29 2010-11-11 Endress + Hauser Gmbh + Co. Kg Feldgerät zur Bestimmung oder Überwachung einer Prozessgröße in der Prozessautomatisierung
DE102009028938A1 (de) * 2009-08-27 2011-03-03 Endress + Hauser Gmbh + Co. Kg Feldgerät zur Bestimmung oder Überwachung einer physikalischen oder chemischen Variablen
US20110313580A1 (en) * 2010-06-17 2011-12-22 Levgenii Bakhmach Method and platform to implement safety critical systems

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105005232A (zh) * 2015-05-28 2015-10-28 孙军 可降级的三冗余同步表决计算机控制系统及方法
CN105045164A (zh) * 2015-05-28 2015-11-11 谭龙飞 可降级的三冗余同步表决计算机控制系统及方法

Also Published As

Publication number Publication date
CN104508574A (zh) 2015-04-08
CN104508574B (zh) 2017-03-08
US10228664B2 (en) 2019-03-12
EP2875408B1 (de) 2019-09-11
EP2875408A1 (de) 2015-05-27
US20150177707A1 (en) 2015-06-25
DE102012106652A1 (de) 2014-01-23

Similar Documents

Publication Publication Date Title
EP2210151B1 (de) FELDGERÄT FÜR DIE BESTIMMUNG ODER ÜBERWACHUNG EINER PROZESSGRÖßE IN DER PROZESSAUTOMATISIERUNG
EP2875408B1 (de) FELDGERÄT ZUR BESTIMMUNG ODER ÜBERWACHUNG EINER PROZESSGRÖßE IN DER AUTOMATISIERUNGSTECHNIK
DE102009028938A1 (de) Feldgerät zur Bestimmung oder Überwachung einer physikalischen oder chemischen Variablen
EP1743225B1 (de) Redundantes automatisierungssystem umfassend ein master- und ein stand-by-automatisierungsgerät
DE102009026785A1 (de) Feldgerät zur Bestimmung und/oder Überwachung einer physikalischen oder chemischen Prozessgröße
EP2356526A1 (de) Sicherheitssteuerung und verfahren zum steuern einer automatisierten anlage
EP2422244A1 (de) Sicherheitssteuerung und verfahren zum steuern einer automatisierten anlage
DE112016004597T5 (de) System und Verfahren zum Konfigurieren getrennter Überwachungs- und Wirkungsblöcke eines Prozessleitsystems
EP3538962B1 (de) Verfahren zur analyse von fehlfunktionen in einer anlage der prozessautomatisierung
EP2591402B1 (de) FELDGERÄT ZUR BESTIMMUNG ODER ÜBERWACHUNG EINER PHYSIKALISCHEN ODER CHEMISCHEN PROZESSGRÖßE
EP3745217B1 (de) Vorrichtung zum überwachen einer datenverarbeitung und - übertragung in einem sicherheitssystems
DE102010002346A1 (de) Feldgerät zur Bestimmung oder Überwachung einer physikalischen oder chemischen Prozessgröße
EP2926203B1 (de) Feldgerät mit redundanter auslegung zur bestimmung oder überwachung einer prozessgrösse in der automatisierungstechnik
WO2014124792A1 (de) Feldgerät für eine sicherheitskritische anwendung mit redundanten messkanälen in einem fpga
DE102009002734A1 (de) Feldgerät zur Bestimmung oder Überwachung einer Prozessgröße in der Prozessautomatisierung
EP3470937B1 (de) Verfahren und vorrichtungen zum überwachen der reaktionszeit einer durch ein sicherheitssystem bereitgestellten sicherheitsfunktion
EP3470939A1 (de) Verfahren und vorrichtungen zum überwachen der sicherheitsintegrität einer durch ein sicherheitssystem bereitgestellten sicherheitsfunktion
EP2667267B1 (de) Analogsignal-Ausgangsschaltung mit einer Anzahl von Analogsignal-Ausgabekanälen
DE102013200330A1 (de) Zweikanaliger Sicherheitssensor
DE102019109353B3 (de) Dynamische Anomalieerkennung und -behandlung
EP2463734A1 (de) Automatisierungsgerät und Verfahren zur Bewertung einer Diagnosemeldung aus einer Peripheriebaugruppe.
AT9540U1 (de) System zum schutz vor kommunikationsausfällen durch störquellen und/oder mechanisch bedingten ausfällen von passiven drahtlosen sensorsystemen
DD217054A1 (de) Schaltungsanordnung mit diagnoserechner und ausserhalb des datenflusses angeordneten vergleichern

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 13732465

Country of ref document: EP

Kind code of ref document: A1

WWE Wipo information: entry into national phase

Ref document number: 2013732465

Country of ref document: EP

WWE Wipo information: entry into national phase

Ref document number: 14415817

Country of ref document: US