用于確定或監(jiān)控自動(dòng)化技術(shù)中的過(guò)程變量的現(xiàn)場(chǎng)裝置制造方法
【專利摘要】本發(fā)明涉及一種用于確定或監(jiān)控自動(dòng)化技術(shù)中的過(guò)程變量的現(xiàn)場(chǎng)裝置���,其中�����,所述現(xiàn)場(chǎng)裝置滿足在預(yù)定的安全關(guān)鍵應(yīng)用中要求的安全標(biāo)準(zhǔn)�,所述現(xiàn)場(chǎng)裝置包括傳感器(11)和控制/評(píng)估單元(12),所述傳感器(11)根據(jù)定義的測(cè)量原理工作����,所述控制/評(píng)估單元(12)處理并評(píng)估由所述傳感器(11)沿著至少三個(gè)冗余地和/或多樣化地設(shè)計(jì)的測(cè)量通道(MK)傳送的測(cè)量數(shù)據(jù),并且其中�,存在與所述控制/評(píng)估單元(12)相關(guān)聯(lián)的表決器(13),所述表決器(13)由至少部分設(shè)計(jì)為雙重冗余的多個(gè)組件構(gòu)成���。
【專利說(shuō)明】用于確定或監(jiān)控自動(dòng)化技術(shù)中的過(guò)程變量的現(xiàn)場(chǎng)裝置
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及用于確定或監(jiān)控自動(dòng)化技術(shù)中的過(guò)程變量的現(xiàn)場(chǎng)裝置。該現(xiàn)場(chǎng)裝置被實(shí)施為使得它滿足在預(yù)定的安全關(guān)鍵應(yīng)用中需要的安全標(biāo)準(zhǔn)��。該現(xiàn)場(chǎng)裝置包括:傳感器����,該傳感器根據(jù)定義的測(cè)量原理工作;和控制評(píng)估單元����,該控制評(píng)估單元處理并且評(píng)估由傳感器沿著至少三個(gè)冗余地和/或多樣化地設(shè)計(jì)的測(cè)量通道傳送的測(cè)量數(shù)據(jù)。這種裝置的一個(gè)解決方案從WO 2004/013585 Al得知����。
【背景技術(shù)】
[0002]在自動(dòng)化技術(shù)中�����,特別是在過(guò)程自動(dòng)化技術(shù)中�����,用于確定和監(jiān)控過(guò)程變量的現(xiàn)場(chǎng)裝置被應(yīng)用�。這樣的現(xiàn)場(chǎng)裝置的示例為料位測(cè)量裝置�、流量測(cè)量裝置、分析測(cè)量裝置���、壓力和溫度測(cè)量裝置�����、濕度和傳導(dǎo)性測(cè)量裝置�、密度和粘度測(cè)量裝置��。這些現(xiàn)場(chǎng)裝置的傳感器寄存相應(yīng)的過(guò)程變量�,例如料位、流量���、pH值���、物質(zhì)濃度����、壓力����、溫度、濕度���、傳導(dǎo)性�����、密度或粘度。
[0003]但是���,術(shù)語(yǔ)“現(xiàn)場(chǎng)裝置”還包括與本發(fā)明相關(guān)的例如閥或泵的致動(dòng)器��,管線中的流體流量或容器中的料位經(jīng)所述致動(dòng)器是可改變的�����。大量這樣的現(xiàn)場(chǎng)裝置可從Endress+Hauser 公司獲得����。
[0004]通常,當(dāng)今自動(dòng)化技術(shù)工廠中的現(xiàn)場(chǎng)裝置經(jīng)通信網(wǎng)絡(luò)(諸如�,HART多站、點(diǎn)到點(diǎn)連接���、Profibus�����、基金會(huì)現(xiàn)場(chǎng)總線)與例如控制系統(tǒng)或控制室的上級(jí)單元連接���。上級(jí)單元用作用于過(guò)程控制、用于過(guò)程可視化�����、用于過(guò)程監(jiān)控以及用于啟動(dòng)和用于現(xiàn)場(chǎng)裝置的維修����。操作現(xiàn)場(chǎng)總線系統(tǒng)所需的、并且直接連接到現(xiàn)場(chǎng)總線且特別是用于與上級(jí)單元通信的附加的組件也同樣通常被稱為現(xiàn)場(chǎng)裝置。這些附加的組件的示例包括遠(yuǎn)程1/0����、網(wǎng)關(guān)、鏈接裝置���、控制器和無(wú)線適配器���。
[0005]取決于應(yīng)用,現(xiàn)場(chǎng)裝置必須滿足最多樣化的安全要求����。為了滿足相應(yīng)的安全要求,例如IEC61508(SIL-標(biāo)準(zhǔn)‘安全完整性水平’)中的那些安全要求��,必須冗余地和/或多樣化地設(shè)計(jì)現(xiàn)場(chǎng)裝置���。
[0006]“冗余地”是指經(jīng)所有安全相關(guān)的硬件組件和軟件組件的兩種或更多種不同的設(shè)計(jì)而增加的安全���?�!岸鄻踊亍币馕吨挥诓煌臏y(cè)量通道中的�����、諸如例如微處理器的的硬件組件來(lái)自不同的制造商和/或具有不同的類型。在軟件組件的情況下�����,多樣性要求�,存儲(chǔ)在微處理器中的軟件來(lái)自不同的源,例如來(lái)自不同的制造商或不同的程序設(shè)計(jì)員����。通過(guò)所有這些措施,應(yīng)確保�����,在測(cè)量值正被提供時(shí)����,以高概率排除現(xiàn)場(chǎng)裝置的安全關(guān)鍵故障以及同時(shí)地引起的系統(tǒng)故障的發(fā)生。
[0007]安全相關(guān)應(yīng)用的示例是存在可燃的�、或也有不可燃的但水危害液體(water-endangering liquid)的槽中的料位監(jiān)控。在這樣的情況下��,必須確保���,一旦已經(jīng)獲得最大允許料位���,就立即中斷對(duì)槽供應(yīng)液體�。進(jìn)而���,假設(shè)測(cè)量裝置高度可靠地檢測(cè)料位��,因此�����,測(cè)量裝置無(wú)誤地工作�。
[0008]雖然在已知溶液的情況下����,測(cè)量通道被冗余地和/或多樣化地設(shè)計(jì),但是被設(shè)計(jì)為表決器的��、通常是微處理器的評(píng)估單元�����,代表現(xiàn)場(chǎng)裝置的唯一致命的弱點(diǎn)����。微處理器應(yīng)滿足最高的安全要求。微處理器被單片地實(shí)施���。如果在這樣的情況下存在危險(xiǎn)故障(對(duì)應(yīng)于上述標(biāo)準(zhǔn)的命名法)�����,則整個(gè)現(xiàn)場(chǎng)裝置故障���。為了滿足SIL3標(biāo)準(zhǔn),危險(xiǎn)故障占所有可能的故障的數(shù)量的百分率必須不超過(guò)1%���。傳統(tǒng)微處理器不能獲得該安全性水平���。
【發(fā)明內(nèi)容】
[0009]本發(fā)明的目的是提供以增加的功能性安全為特征的現(xiàn)場(chǎng)裝置。
[0010]該目的通過(guò)包括以下特征的特征獲得�����,控制/評(píng)估單元三重冗余地和/或多樣化地設(shè)計(jì)���,并且與控制/評(píng)估單元相關(guān)聯(lián)的是表決器�,該表決器由至少部分地雙重冗余地設(shè)計(jì)的多個(gè)組件構(gòu)成。利用本發(fā)明的表決器�,甚至可以滿足SIL 3中的高安全要求。
[0011]在本發(fā)明的現(xiàn)場(chǎng)裝置的有利的進(jìn)一步發(fā)展中�����,提供的是���,表決器被實(shí)施為多數(shù)表決器并且具有至少三個(gè)組件:比較器級(jí)�,其將由單獨(dú)的測(cè)量通道傳送的輸出信號(hào)相互比較���;故障識(shí)別級(jí)����,其通過(guò)對(duì)比較器級(jí)的輸出信號(hào)進(jìn)行適當(dāng)?shù)倪x通(gating)來(lái)檢測(cè)在測(cè)量通道中發(fā)生的故障���;以及輸出選擇級(jí)�����。如下面將更詳細(xì)地解釋的�,可以以非常簡(jiǎn)單的子組件實(shí)施表決器��。
[0012]當(dāng)表決器由多個(gè)表決器通道構(gòu)成時(shí),其中��,每個(gè)表決器通道包括比較器級(jí)的一部分和故障識(shí)別級(jí)的一部分�����,并且當(dāng)每個(gè)表決器通道被實(shí)施為相關(guān)聯(lián)的測(cè)量通道的集成組件時(shí)�,關(guān)于本發(fā)明的現(xiàn)場(chǎng)裝置被認(rèn)為是特別有利的��。由于進(jìn)一步提供的是��,每個(gè)測(cè)量通道具有其自身的電壓供應(yīng)����,所以即使當(dāng)一個(gè)測(cè)量通道或其電壓供應(yīng)完全失去時(shí),預(yù)定的安全水平也保持存在�����。
[0013]在本發(fā)明的現(xiàn)場(chǎng)裝置的優(yōu)選實(shí)施例中���,比較器級(jí)在每個(gè)表決器通道中包括兩個(gè)比較器����,在每種情況下,所述兩個(gè)比較器將所選擇的測(cè)量通道的輸出信號(hào)與其余的測(cè)量通道的輸出信號(hào)相比較����,使得三個(gè)測(cè)量通道的輸出信號(hào)被冗余的比較器雙重地比較。
[0014]優(yōu)選地�����,故障識(shí)別級(jí)是由邏輯門構(gòu)成的邏輯級(jí)���。而且����,當(dāng)每個(gè)邏輯級(jí)由兩個(gè)與(AND)門和一個(gè)或(OR)門構(gòu)成或者由等值門組合構(gòu)成��,其中�����,連接到第一與門的輸入的是與所選擇的測(cè)量通道相關(guān)聯(lián)的��、第一表決器通道的比較器的輸出信號(hào)�����,并且其中,連接到第二與門的是對(duì)于第一與門的輸入冗余的���、第二表決器通道的和第三表決器通道的比較器的輸出信號(hào)����,并且其中�,第一與門的輸出信號(hào)以及第二與門的輸出信號(hào)形成隨后的或門的輸入信號(hào)時(shí)�,被認(rèn)為是有利的。由于三個(gè)測(cè)量通道的表決器具有六個(gè)比較器和六個(gè)故障識(shí)別單元�����,所以關(guān)于在測(cè)量通道中發(fā)生的故障的信息是雙重冗余的��。除此之外的事實(shí)是關(guān)于在測(cè)量通道中雙重地發(fā)生的故障的信息經(jīng)分布在兩個(gè)測(cè)量通道之中的組件獲得�。由于該布置,也可以檢測(cè)到在比較器級(jí)中或在故障識(shí)別級(jí)中發(fā)生的故障�。
[0015]特別地,輸出選擇級(jí)被實(shí)施為:當(dāng)沒(méi)有故障��、或在測(cè)量通道之一中或在表決器通道之一中發(fā)生故障時(shí)�����,該輸出選擇級(jí)選擇測(cè)量通道;或者當(dāng)在至少兩個(gè)測(cè)量通道和/或兩個(gè)表決器通道中發(fā)生至少兩個(gè)故障時(shí)��,該輸出選擇級(jí)產(chǎn)生故障報(bào)告��。
[0016]本發(fā)明的現(xiàn)場(chǎng)裝置的實(shí)施例的優(yōu)選形式提供的是����,輸出選擇級(jí)具有多路復(fù)用器,該多路復(fù)用器被實(shí)施為使得它根據(jù)故障識(shí)別級(jí)的輸出信號(hào)�,在測(cè)量通道的輸出信號(hào)與警報(bào)信號(hào)之間進(jìn)行選擇。
[0017]在有利的實(shí)施例中��,具有測(cè)量通道��、和/或表決器或表決器通道的相關(guān)聯(lián)的組件的控制/評(píng)估單元在測(cè)量通道中至少部分地被實(shí)施為具有多個(gè)部分動(dòng)態(tài)可重配置功能模塊的可重配置邏輯芯片�����。
[0018]此外����,提供的是,控制/評(píng)估單元根據(jù)相應(yīng)地定義的安全關(guān)鍵應(yīng)用配置測(cè)量通道中的功能模塊���,使得現(xiàn)場(chǎng)裝置滿足所需的安全標(biāo)準(zhǔn)����。在該關(guān)聯(lián)中被認(rèn)為有利的是,當(dāng)除基于軟件和基于硬件的測(cè)量通道之外�����,至少一個(gè)測(cè)量通道在FPAA中被基于模擬地配置���。
[0019]為此��,存在與控制/評(píng)估單元相關(guān)聯(lián)的至少一個(gè)微處理器�,所述至少一個(gè)微處理器動(dòng)態(tài)地部分地重配置已經(jīng)被檢測(cè)到故障的測(cè)量通道和/或表決器通道的功能模塊�����。為了最佳化邏輯芯片的性能�,至少一個(gè)微處理器在邏輯芯片的靜態(tài)區(qū)中被永久地配置���。
[0020]為了實(shí)現(xiàn)所需的安全標(biāo)準(zhǔn)��,單獨(dú)的測(cè)量通道相互隔開��,使得測(cè)量通道中的溫度和/或電壓變化對(duì)相鄰的測(cè)量通道沒(méi)有影響����。
[0021]從WO 2009/062954 Al獲知用于確定或監(jiān)控過(guò)程自動(dòng)化中的過(guò)程變量的現(xiàn)場(chǎng)裝置。該現(xiàn)場(chǎng)裝置由傳感器和控制/評(píng)估單元構(gòu)成����,該傳感器根據(jù)定義的測(cè)量原理工作,該控制/評(píng)估單元處理并評(píng)估由傳感器根據(jù)在相應(yīng)的安全關(guān)鍵應(yīng)用中所需的安全標(biāo)準(zhǔn)沿著至少兩個(gè)等值測(cè)量路徑傳送的測(cè)量數(shù)據(jù)�����。已知控制/評(píng)估單元至少部分地被實(shí)施為具有多個(gè)部分地動(dòng)態(tài)地可重配置功能模塊的可重配置邏輯芯片(FPGA)���?��?刂?評(píng)估單元根據(jù)相應(yīng)地定義的安全關(guān)鍵應(yīng)用配置測(cè)量路徑中的功能模塊,使得現(xiàn)場(chǎng)裝置被設(shè)計(jì)成對(duì)應(yīng)于所需的安全標(biāo)準(zhǔn)�����。WO 2009/062954A1提及如何在測(cè)量通道中檢測(cè)并且清除故障的選項(xiàng)�。該公開被合并到本公開中。
【專利附圖】
【附圖說(shuō)明】
[0022]現(xiàn)在將基于附圖更詳細(xì)地解釋本發(fā)明�����,附圖示出如下:
[0023]圖1為本發(fā)明的具有雙重冗余設(shè)計(jì)的表決器的控制/評(píng)估單元的優(yōu)選實(shí)施例的框圖,
[0024]圖2為在本發(fā)明的現(xiàn)場(chǎng)裝置中可以應(yīng)用的控制評(píng)估單元的優(yōu)選實(shí)施例的框圖����。
[0025]圖3a_3f為示出根據(jù)本發(fā)明使用的配備有冗余表決器的控制/評(píng)估單元的故障分析的表。
【具體實(shí)施方式】
[0026]圖1示出可結(jié)合本發(fā)明的現(xiàn)場(chǎng)裝置使用的控制/評(píng)估單元12的優(yōu)選實(shí)施例的框圖����。控制/評(píng)估單元12以雙重冗余表決器13為特征���。為此����,表決器的組件中的至少一些是雙重冗余的�。
[0027]圖1所示的表決器13被實(shí)施為多數(shù)表決器并且包括三個(gè)組件或級(jí):
[0028]-比較器級(jí)4�����,該比較器級(jí)4對(duì)由單獨(dú)的測(cè)量通道MK1����、MK2、MK3傳送的輸出信號(hào)1、2����、3相互比較;
[0029]-故障識(shí)別級(jí)5��,該故障識(shí)別級(jí)5通過(guò)對(duì)比較器級(jí)4的輸出信號(hào)1�、2、3進(jìn)行適當(dāng)?shù)倪x通來(lái)檢測(cè)在測(cè)量通道MKl ����;MK2 ;MK3中發(fā)生的故障���,和
[0030]-輸出選擇級(jí)6�����。
[0031]表決器13(虛線)包括多個(gè)表決器通道15.1����、15.2����、15.3����,其中�����,每個(gè)表決器通道15.1���、15.2���、15.3 (虛線)包括比較器級(jí)4的一部分和故障識(shí)別級(jí)5的一部分,并且其中���,每個(gè)表決器通道15.1,15.2�����、15.3被實(shí)施為相關(guān)聯(lián)的測(cè)量通道MKl ��;MK2 �����;MK3的集成組件�。具有集成的表決器通道15.1���、15.2��、15.3的每個(gè)測(cè)量通道MK1����、MK2���、MK3具有其自身的電壓供應(yīng) U1�、U2�、U3(實(shí)線)。
[0032]表決器通道15.1�����、15.2�����、15.3的比較器級(jí)4包括兩個(gè)比較器7��,在每種情況下���,所述兩個(gè)比較器7將所選擇的測(cè)量通道MKl ;MK2�、MK3的輸出信號(hào)I ;2 ;3與其余的測(cè)量通道MK1��、MK2���、MK3的輸出信號(hào)I ;2 �����;3相比較�����。特別地�,三個(gè)測(cè)量通道MK1���、MK2�、MK3的輸出信號(hào)1���、2�、3通過(guò)冗余的比較器7雙重地比較����。
[0033]在圖示的情況下,故障識(shí)別級(jí)5被實(shí)施為邏輯級(jí)并且由邏輯門8�、9構(gòu)成。集成在測(cè)量通道服1����、1?2、1?3中的每個(gè)邏輯級(jí)5由兩個(gè)與門8和一個(gè)或門9構(gòu)成�����。如果我們考慮具有測(cè)量通道MKl的表決器通道15.1����,則所示的情況下的比較器級(jí)4由兩個(gè)比較器7.1.1、7.1.2構(gòu)成���,并且故障識(shí)別級(jí)5由與門8.1.1,8.1.2和或門9.1構(gòu)成����?�;蜷T9.1屬于故障識(shí)別級(jí)4����,但是�,在表決器通道15.1的外部��。
[0034]測(cè)量通道MKl的輸出信號(hào)I和測(cè)量通道MK2的輸出信號(hào)2被應(yīng)用到比較器7.1.1���,而測(cè)量通道MKl的輸出信號(hào)I和測(cè)量通道MK3的輸出信號(hào)3在比較器7.1.2處彼此比較���。在兩個(gè)表決器通道15.2、15.3中進(jìn)行測(cè)量通道MK1�����、MK2�����、MK3的輸出信號(hào)1�、2、3的類似的比較�����。一般而言,可以說(shuō)��,在測(cè)量通道MKl �;MK2 ;MK3中的每一個(gè)中����,將相應(yīng)的測(cè)量通道MKl ���;MK2 �;MK3的輸出信號(hào)1�����、2��、3與其余的測(cè)量通道MKl ;MK2���、MK3的輸出信號(hào)1���、2、3相比較���。經(jīng)冗余的比較器 7.1.1,7.1.2,7.2.1,7.2.2,7.3.1,7.3.2���,檢測(cè)到測(cè)量通道 MK1�����、MK2����、MK3 的輸出信號(hào)1����、2、3中的差異I乒2����、1乒3、2 ^ 1����、3 ^ 3、3 ^ 1����、3 ^ 2��。兩個(gè)測(cè)量通道MK1���、MK2 ;MK3 的輸出信號(hào) 1�、2、3 經(jīng)比較器 7.1.1,7.1.2,7.2.1,7.2.2,7.3.1,7.3.2 中的一個(gè)的比較精確度通過(guò)具有最小精確度的測(cè)量通道MK1�、MK2、MK3的精確度來(lái)確定��。如果測(cè)量通道MKl的精確度等于例如1%并且測(cè)量通道MK2的精確度等于0.1%�����,則比較器7.1.1,7.2.1將具有I %的精確度的兩個(gè)測(cè)量通道MKl�、MK2相比較�。
[0035]為了發(fā)現(xiàn)其中已經(jīng)發(fā)生故障的測(cè)量通道MK1、MK2�����、MK3���,比較器7.1.1,7.1.2�、7.2.1,7.2.2,7.3.1,7.3.2 的輸出被轉(zhuǎn)發(fā)到與門 8.1.1,8.1.2,8.2.1,8.2.2,8.3.1、8.3.2�����。特別地��,具有比較器7.1.1,7.1.2的比較器級(jí)4的輸出信號(hào)I乒2����、I乒3被施加于第一與門8.1.1,而來(lái)自測(cè)量通道MK2����、MK3的輸出信號(hào)2乒1、3乒I到第二與門8.1.2��。由于存在與三個(gè)測(cè)量通道MKl����、MK2、MK3相關(guān)聯(lián)的六個(gè)比較器7.1.1,7.1.2,7.2.1,7.2.2��、7.3.1,7.3.2 和六個(gè)故障識(shí)別組件 8.1.1,8.1.2,8.2.1,8.2.2,8.3.1,8.3.2���,所以在每種情況下�,關(guān)于測(cè)量通道MK1、MK2�����、MK3之一中的故障的信息雙重冗余地產(chǎn)生��。另外�����,信息也源自不同的測(cè)量通道MK1�、MK2、MK3�。
[0036]冗余表決器13方案的該實(shí)施例具有以下優(yōu)點(diǎn):除了檢測(cè)測(cè)量通道MK1、MK2�����、MK3中的故障之外��,還檢測(cè)比較器級(jí)4中的�、或故障識(shí)別級(jí)5中的���、或不同的組件4����、5的組合中的故障。借助于本發(fā)明的解決方案示出故障檢測(cè)的可能性的表在圖3a至圖3f中示出�。一旦在測(cè)量通道MK1、MK2�、MK3之一中檢測(cè)到故障,相應(yīng)的測(cè)量通道MK1�����、MK2�、MK3就被掩蔽——即不再被考慮用于提供例如測(cè)量值的值一一和/或在給定情況下一一即在由于應(yīng)用可重配置FPGA而存在這樣的機(jī)會(huì)的情況下一一被重配置。如果控制/評(píng)估單元12被實(shí)施為部分地動(dòng)態(tài)地可重配置FPGA�,則已經(jīng)引起故障的組件可以被部分地動(dòng)態(tài)地重配置。
[0037]在本發(fā)明的現(xiàn)場(chǎng)裝置的優(yōu)選實(shí)施例中�����,比較器級(jí)4和故障識(shí)別級(jí)5大部分被雙重冗余地構(gòu)造并且分布在不同的測(cè)量通道MK1�����、MK2����、MK3上�����。由于控制/評(píng)估單元12最后必須輸出單個(gè)值���,所以輸出必須被實(shí)施為一個(gè)通道。這通過(guò)輸出選擇級(jí)6僅單一地存在的特征來(lái)獲得�����。因此�,不能檢測(cè)到輸出選擇級(jí)6的故障。在圖示的情況下��,輸出選擇級(jí)6由多路復(fù)用器10形成�,其基于由故障識(shí)別級(jí)5傳送的輸出信號(hào)S 1、S2����、S3來(lái)確定輸出值��。
[0038]優(yōu)選地�,輸出選擇級(jí)6,例如多路復(fù)用器10�����,被實(shí)施為使得,當(dāng)沒(méi)有故障存在時(shí)��,或當(dāng)在測(cè)量通道MK1�����、MK2���、MK3中的一個(gè)或在表決器通道15.1�、15.2����、15.3之一中發(fā)生僅一個(gè)故障時(shí),輸出選擇級(jí)6任意選擇正確地運(yùn)行的測(cè)量通道MK1����、MK2、MK3�。當(dāng)在至少兩個(gè)測(cè)量通道MK1、MK2���、MK3中和/或在至少兩個(gè)表決器通道15.1,15.2,15.3中發(fā)生至少兩個(gè)故障時(shí)���,輸出選擇級(jí)6產(chǎn)生故障報(bào)告���。因此,根據(jù)故障識(shí)別級(jí)5的輸出信號(hào)����,多路復(fù)用器10在測(cè)量通道MK1、MK2���、MK3的輸出信號(hào)1����、2���、3與警報(bào)信號(hào)之間進(jìn)行選擇����。
[0039]圖2示出本發(fā)明的現(xiàn)場(chǎng)裝置的冗余地實(shí)施的控制/評(píng)估單元12的優(yōu)選實(shí)施例的框圖�����。
[0040]在圖2中��,優(yōu)先權(quán)提供給例如測(cè)量通道MKl�����。因此��,測(cè)量通道MKl是所選擇的測(cè)量通道�。當(dāng)根本沒(méi)有故障發(fā)生時(shí)或當(dāng)在測(cè)量通道MK2中或在測(cè)量通道MK3中檢測(cè)到故障時(shí),總是選擇它����。如果在測(cè)量通道MKl中檢測(cè)到故障,則測(cè)量通道MK2是所選擇的測(cè)量通道����。如果多于一個(gè)故障產(chǎn)生,則警報(bào)信號(hào)被設(shè)定����。當(dāng)控制/評(píng)估單元12具有不同精確度的測(cè)量通道MKl、MK2���、MK3時(shí)����,該過(guò)程是有利的。相應(yīng)的控制/評(píng)估單元12在圖2中以示例的方式示出�����。分別具有DSP(數(shù)字信號(hào)處理器)和微控制器的測(cè)量通道MKl�、MK2對(duì)于信號(hào)處理具有最高的精確度。模擬測(cè)量通道MK3在示出情況下基于FPAA被實(shí)施���,對(duì)于信號(hào)處理具有最低的精確度�。因此�����,通常具有最高精確度的測(cè)量通道MK1��、MK2總是被所選擇為基準(zhǔn)測(cè)量通道(具有最高優(yōu)先權(quán)的測(cè)量通道)��。在圖示的情況下���,是測(cè)量通道MK1����。MKl被選擇為基準(zhǔn)測(cè)量通道,只要在該測(cè)量通道中沒(méi)有故障發(fā)生�����。如果在測(cè)量通道MKl中出現(xiàn)故障��,則具有第二高精確度的測(cè)量通道MK2成為基準(zhǔn)測(cè)量通道��。只要在測(cè)量通道MK1��、MK2之一中沒(méi)有故障發(fā)生�����,則傳感器11或現(xiàn)場(chǎng)裝置的信號(hào)處理在具有DSP或微控制器的測(cè)量通道的高精度下發(fā)生�。相對(duì)不精確的模擬測(cè)量通道MK3僅被使用以便檢測(cè)測(cè)量通道MKl����、MK2之一中的故障。
[0041]在圖3a至圖3f中提供了示出具有利用根據(jù)本發(fā)明使用的冗余表決器13的控制/評(píng)估單元12的故障分析的表��。在分析中僅考慮冗余地存在的組件本身或組件的組合�����,即測(cè)量通道MK、比較器級(jí)4和故障識(shí)別級(jí)5����。由于控制/評(píng)估單元12的組件的非冗余部分是小的,因此現(xiàn)場(chǎng)裝置的安全性僅在小量度方面受到影響��。在發(fā)明的解決方案的情況下���,在微處理器14中的故障還將導(dǎo)致現(xiàn)場(chǎng)裝置的錯(cuò)誤的輸出值���,所述現(xiàn)場(chǎng)裝置在圖示的情況下是傳感器。
[0042]圖3a_3f詳細(xì)地示出下列情況:
[0043]圖3a:在測(cè)量通道MK之一中的故障���。
[0044]圖3b:在比較器級(jí)4之一中的故障��。
[0045]圖3c:在測(cè)量通道MK之一中以及在比較器級(jí)4的相關(guān)聯(lián)的組件之一中的故障�。
[0046]圖3d:在測(cè)量通道MK之一中以及在故障識(shí)別級(jí)5的相關(guān)聯(lián)的組件之一中的故障�。
[0047]圖3e:在故障識(shí)別級(jí)5之一中的故障。
[0048]圖3f:在測(cè)量通道MK1���、MK2�����、MK3之一中����,在比較器級(jí)4的相關(guān)聯(lián)的組件之一中以及在故障識(shí)別級(jí)5的相關(guān)聯(lián)的組件之一中的故障。
[0049]一般而言�,可以陳述的是,借助于本發(fā)明的解決方案�,可以在獨(dú)立的組件��、測(cè)量通道MK(圖3a)����、比較器級(jí)4(圖3b)和故障識(shí)別級(jí)5(圖3e)中檢測(cè)或掩蔽故障。此外���,即使當(dāng)在控制/評(píng)估單元12中發(fā)生兩種故障時(shí)(圖3c����、圖3e)�����,也可以確?�,F(xiàn)場(chǎng)裝置的運(yùn)行。本發(fā)明解決的方案僅當(dāng)在測(cè)量通道MKl�、MK2、MK3中以及在相關(guān)聯(lián)的表決器通道15.1,15.2�����、15.3中的每個(gè)組件中發(fā)生故障時(shí)(圖3f)或當(dāng)相應(yīng)的故障分布在兩個(gè)測(cè)量通道上時(shí)失效��。然而����,故障的這樣的累積的概率是如此小以至于可以滿足所需的尤其是SIL3的高安全要求。
[0050]如上文已經(jīng)提及的���,當(dāng)存在與控制/評(píng)估單元12相關(guān)聯(lián)的至少一個(gè)微處理器14時(shí)是特別有利的�,所述至少一個(gè)微處理器14動(dòng)態(tài)地重配置����,或部分動(dòng)態(tài)地重配置有缺陷的測(cè)量通道MK的功能模塊和/或有缺陷的表決器13的功能模塊。
[0051]此外�����,提供的是���,單獨(dú)的測(cè)量通道MK——在圖2中����,存在測(cè)量通道MK1、MK2——相互隔開���,使得測(cè)量通道MKl中的溫度和/或電壓變化對(duì)相鄰的測(cè)量通道MK2沒(méi)有影響����。優(yōu)選地�,對(duì)于其中控制/評(píng)估單元12被實(shí)施在邏輯芯片F(xiàn)PGA上并且動(dòng)態(tài)地或部分動(dòng)態(tài)地可重配置的情況��,微處理器14被永久地配置在邏輯芯片F(xiàn)PGA的靜態(tài)區(qū)中��。在 申請(qǐng)人:的較早引用的國(guó)際專利申請(qǐng)中已經(jīng)描述了相應(yīng)的實(shí)施例���。
[0052]參考標(biāo)記列表
[0053]I測(cè)量通道MKl的輸出
[0054]2測(cè)量通道MK2的輸出
[0055]3測(cè)量通道MK3的輸出
[0056]4比較器級(jí)
[0057]5故障識(shí)別級(jí)
[0058]6輸出選擇級(jí)
[0059]7比較器
[0060]8 與門
[0061]9 或門
[0062]10多路復(fù)用器
[0063]11傳感器
[0064]12控制/評(píng)估單元
[0065]13表決器
[0066]14微處理器
[0067]15表決器通道
[0068]U電壓供應(yīng)
【權(quán)利要求】
1.一種用于確定或監(jiān)控自動(dòng)化技術(shù)中的過(guò)程變量的現(xiàn)場(chǎng)裝置�, 其中��,所述現(xiàn)場(chǎng)裝置滿足在預(yù)定的安全關(guān)鍵應(yīng)用中要求的安全標(biāo)準(zhǔn)��,所述現(xiàn)場(chǎng)裝置包括傳感器(11)和控制/評(píng)估單元(12)����,所述傳感器(11)根據(jù)定義的測(cè)量原理工作����,所述控制/評(píng)估單元(12)處理并評(píng)估由所述傳感器(I)沿著至少三個(gè)冗余地和/或多樣化地設(shè)計(jì)的測(cè)量通道(MK)傳送的測(cè)量數(shù)據(jù)����,并且 其中,存在與所述控制/評(píng)估單元(2)相關(guān)聯(lián)的表決器(13)�����,所述表決器(13)由至少部分地雙重冗余地設(shè)計(jì)的多個(gè)組件構(gòu)成���。
2.根據(jù)權(quán)利要求1中所述的現(xiàn)場(chǎng)裝置���, 其中,所述表決器(13)被實(shí)施為多數(shù)表決器����,并且具有三個(gè)組件:比較器級(jí)(4),所述比較器級(jí)⑷將由單獨(dú)的測(cè)量通道(MK)傳送的輸出信號(hào)相互比較�;故障識(shí)別級(jí)(5),所述故障識(shí)別級(jí)(5)通過(guò)對(duì)所述比較器級(jí)⑷的輸出信號(hào)進(jìn)行適當(dāng)?shù)倪x通,來(lái)檢測(cè)在測(cè)量通道(MK)中發(fā)生的故障�����;以及輸出選擇級(jí)(6)��。
3.根據(jù)權(quán)利要求1或2中所述的現(xiàn)場(chǎng)裝置��, 其中����,所述表決器(13)由多個(gè)表決器通道(15)構(gòu)成,其中���,每個(gè)表決器通道(15)包括所述比較器級(jí)(4)的一部分和所述故障識(shí)別級(jí)(5)的一部分��,并且其中,每個(gè)表決器通道(15)被實(shí)施為相關(guān)聯(lián)的測(cè)量通道(MK)的集成組件���。
4.根據(jù)權(quán)利要求1-3中的一項(xiàng)或多項(xiàng)所述的現(xiàn)場(chǎng)裝置���, 其中,每個(gè)測(cè)量通道(MK)具有其自身的電壓供應(yīng)(U)����。
5.根據(jù)前述權(quán)利要求中的一項(xiàng)或多項(xiàng)所述的現(xiàn)場(chǎng)裝置�, 其中�����,所述比較器級(jí)(4)在每個(gè)表決器通道(15)中包括兩個(gè)比較器(7)����,在每種情況下,所述兩個(gè)比較器⑵將所選擇的測(cè)量通道(MK)的輸出信號(hào)與其余的測(cè)量通道的輸出信號(hào)相比較���,使得所述三個(gè)測(cè)量通道(MK)的輸出信號(hào)被冗余的比較器(7)雙重地比較�。
6.根據(jù)權(quán)利要求5中所述的現(xiàn)場(chǎng)裝置���, 其中��,所述故障識(shí)別級(jí)(5)是由邏輯門(8��、9)構(gòu)成的邏輯級(jí)��。
7.根據(jù)權(quán)利要求5或6中所述的現(xiàn)場(chǎng)裝置��, 其中����,每個(gè)邏輯級(jí)由兩個(gè)與門(8)和一個(gè)或門(9)構(gòu)成,或由等值門組合構(gòu)成��,其中���,連接到第一與門(8)的輸入的是與所選擇的測(cè)量通道相關(guān)聯(lián)的����、第一表決器通道(15.1)的比較器(7)的輸出信號(hào)���,并且其中���,連接到第二與門(8)的是對(duì)于所述第一與門(8)的輸入冗余的、第二表決器通道(15.2)的和第三表決器通道(15.3)的比較器(7)的輸出信號(hào)�����,并且其中��,所述第一與門⑶的輸出信號(hào)以及所述第二與門⑶的輸出信號(hào)形成隨后的或門(9)的輸入信號(hào)�����。
8.根據(jù)權(quán)利要求1-7中的一項(xiàng)或多項(xiàng)所述的現(xiàn)場(chǎng)裝置�, 其中,所述輸出選擇級(jí)(6)被實(shí)施為:當(dāng)沒(méi)有故障或在所述測(cè)量通道(MK)之一中或在所述表決器通道(15)之一中發(fā)生故障時(shí)�����,所述輸出選擇級(jí)(6)選擇測(cè)量通道(MK);或者當(dāng)在至少兩個(gè)測(cè)量通道(MK)和/或兩個(gè)表決器通道(15)中發(fā)生至少兩個(gè)故障時(shí)����,所述輸出選擇級(jí)(6)產(chǎn)生故障報(bào)告。
9.根據(jù)前述權(quán)利要求中的一項(xiàng)或多項(xiàng)所述的現(xiàn)場(chǎng)裝置��, 其中��,所述輸出選擇級(jí)(6)具有多路復(fù)用器(10)�,所述多路復(fù)用器(10)被實(shí)施為使得它根據(jù)所述故障識(shí)別級(jí)(5)的輸出信號(hào),在所述測(cè)量通道(MK)的輸出信號(hào)與警報(bào)信號(hào)之間做出選擇����。
10.根據(jù)前述權(quán)利要求中的一項(xiàng)或多項(xiàng)所述的現(xiàn)場(chǎng)裝置, 其中���,具有測(cè)量通道(MK)�、和/或所述表決器(13)或所述表決器通道(15)的相關(guān)聯(lián)的組件的控制/評(píng)估單元(12)在所述測(cè)量通道(MK)中至少部分地被實(shí)施為具有多個(gè)部分地動(dòng)態(tài)地可重配置功能模塊的可重配置邏輯芯片(FPGA)����。
11.根據(jù)前述權(quán)利要求中的一項(xiàng)或多項(xiàng)所述的現(xiàn)場(chǎng)裝置�����, 其中�,所述控制/評(píng)估單元(12)根據(jù)相應(yīng)地定義的安全關(guān)鍵應(yīng)用配置所述測(cè)量通道(MK)中的功能模塊�����,使得所述現(xiàn)場(chǎng)裝置滿足所需的安全標(biāo)準(zhǔn)�。
12.根據(jù)前述權(quán)利要求中的一項(xiàng)或多項(xiàng)所述的現(xiàn)場(chǎng)裝置, 其中�,存在與所述控制/評(píng)估單元(12)相關(guān)聯(lián)的至少一個(gè)微處理器(11),所述至少一個(gè)微處理器(11)部分地動(dòng)態(tài)地重配置已經(jīng)被檢測(cè)到故障的測(cè)量通道(MK)和/或表決器通道(15)的功能模塊����。
13.根據(jù)前述權(quán)利要求中的一項(xiàng)或多項(xiàng)所述的現(xiàn)場(chǎng)裝置, 其中����,所述測(cè)量通道(MK)中的至少一個(gè)在FPAA中被基于模擬地配置。
14.根據(jù)前述權(quán)利要求中的一項(xiàng)或多項(xiàng)所述的現(xiàn)場(chǎng)裝置�����, 其中��,所述單獨(dú)的測(cè)量通道(MK)相互隔開��,使得測(cè)量通道(MK)中的溫度和/或電壓變化對(duì)相鄰的測(cè)量通道(MK)沒(méi)有影響���。
15.根據(jù)前述權(quán)利要求中的一項(xiàng)或多項(xiàng)所述的現(xiàn)場(chǎng)裝置�����, 其中����,所述至少一個(gè)微處理器(14)在所述邏輯芯片(FPGA)的靜態(tài)區(qū)中被永久地配置���。
【文檔編號(hào)】G05B9/03GK104508574SQ201380039062
【公開日】2015年4月8日 申請(qǐng)日期:2013年6月26日 優(yōu)先權(quán)日:2012年7月23日
【發(fā)明者】羅穆亞爾德·吉拉爾迪 申請(qǐng)人:恩德萊斯和豪瑟爾兩合公司