用于确定或监控自动化技术中的过程变量的现场装置制造方法
【专利摘要】本发明涉及一种用于确定或监控自动化技术中的过程变量的现场装置,其中,所述现场装置满足在预定的安全关键应用中要求的安全标准,所述现场装置包括传感器(11)和控制/评估单元(12),所述传感器(11)根据定义的测量原理工作,所述控制/评估单元(12)处理并评估由所述传感器(11)沿着至少三个冗余地和/或多样化地设计的测量通道(MK)传送的测量数据,并且其中,存在与所述控制/评估单元(12)相关联的表决器(13),所述表决器(13)由至少部分设计为双重冗余的多个组件构成。
【专利说明】用于确定或监控自动化技术中的过程变量的现场装置
【技术领域】
[0001]本发明涉及用于确定或监控自动化技术中的过程变量的现场装置。该现场装置被实施为使得它满足在预定的安全关键应用中需要的安全标准。该现场装置包括:传感器,该传感器根据定义的测量原理工作;和控制评估单元,该控制评估单元处理并且评估由传感器沿着至少三个冗余地和/或多样化地设计的测量通道传送的测量数据。这种装置的一个解决方案从WO 2004/013585 Al得知。
【背景技术】
[0002]在自动化技术中,特别是在过程自动化技术中,用于确定和监控过程变量的现场装置被应用。这样的现场装置的示例为料位测量装置、流量测量装置、分析测量装置、压力和温度测量装置、湿度和传导性测量装置、密度和粘度测量装置。这些现场装置的传感器寄存相应的过程变量,例如料位、流量、pH值、物质浓度、压力、温度、湿度、传导性、密度或粘度。
[0003]但是,术语“现场装置”还包括与本发明相关的例如阀或泵的致动器,管线中的流体流量或容器中的料位经所述致动器是可改变的。大量这样的现场装置可从Endress+Hauser 公司获得。
[0004]通常,当今自动化技术工厂中的现场装置经通信网络(诸如,HART多站、点到点连接、Profibus、基金会现场总线)与例如控制系统或控制室的上级单元连接。上级单元用作用于过程控制、用于过程可视化、用于过程监控以及用于启动和用于现场装置的维修。操作现场总线系统所需的、并且直接连接到现场总线且特别是用于与上级单元通信的附加的组件也同样通常被称为现场装置。这些附加的组件的示例包括远程1/0、网关、链接装置、控制器和无线适配器。
[0005]取决于应用,现场装置必须满足最多样化的安全要求。为了满足相应的安全要求,例如IEC61508(SIL-标准‘安全完整性水平’)中的那些安全要求,必须冗余地和/或多样化地设计现场装置。
[0006]“冗余地”是指经所有安全相关的硬件组件和软件组件的两种或更多种不同的设计而增加的安全。“多样化地”意味着位于不同的测量通道中的、诸如例如微处理器的的硬件组件来自不同的制造商和/或具有不同的类型。在软件组件的情况下,多样性要求,存储在微处理器中的软件来自不同的源,例如来自不同的制造商或不同的程序设计员。通过所有这些措施,应确保,在测量值正被提供时,以高概率排除现场装置的安全关键故障以及同时地引起的系统故障的发生。
[0007]安全相关应用的示例是存在可燃的、或也有不可燃的但水危害液体(water-endangering liquid)的槽中的料位监控。在这样的情况下,必须确保,一旦已经获得最大允许料位,就立即中断对槽供应液体。进而,假设测量装置高度可靠地检测料位,因此,测量装置无误地工作。
[0008]虽然在已知溶液的情况下,测量通道被冗余地和/或多样化地设计,但是被设计为表决器的、通常是微处理器的评估单元,代表现场装置的唯一致命的弱点。微处理器应满足最高的安全要求。微处理器被单片地实施。如果在这样的情况下存在危险故障(对应于上述标准的命名法),则整个现场装置故障。为了满足SIL3标准,危险故障占所有可能的故障的数量的百分率必须不超过1%。传统微处理器不能获得该安全性水平。
【发明内容】
[0009]本发明的目的是提供以增加的功能性安全为特征的现场装置。
[0010]该目的通过包括以下特征的特征获得,控制/评估单元三重冗余地和/或多样化地设计,并且与控制/评估单元相关联的是表决器,该表决器由至少部分地双重冗余地设计的多个组件构成。利用本发明的表决器,甚至可以满足SIL 3中的高安全要求。
[0011]在本发明的现场装置的有利的进一步发展中,提供的是,表决器被实施为多数表决器并且具有至少三个组件:比较器级,其将由单独的测量通道传送的输出信号相互比较;故障识别级,其通过对比较器级的输出信号进行适当的选通(gating)来检测在测量通道中发生的故障;以及输出选择级。如下面将更详细地解释的,可以以非常简单的子组件实施表决器。
[0012]当表决器由多个表决器通道构成时,其中,每个表决器通道包括比较器级的一部分和故障识别级的一部分,并且当每个表决器通道被实施为相关联的测量通道的集成组件时,关于本发明的现场装置被认为是特别有利的。由于进一步提供的是,每个测量通道具有其自身的电压供应,所以即使当一个测量通道或其电压供应完全失去时,预定的安全水平也保持存在。
[0013]在本发明的现场装置的优选实施例中,比较器级在每个表决器通道中包括两个比较器,在每种情况下,所述两个比较器将所选择的测量通道的输出信号与其余的测量通道的输出信号相比较,使得三个测量通道的输出信号被冗余的比较器双重地比较。
[0014]优选地,故障识别级是由逻辑门构成的逻辑级。而且,当每个逻辑级由两个与(AND)门和一个或(OR)门构成或者由等值门组合构成,其中,连接到第一与门的输入的是与所选择的测量通道相关联的、第一表决器通道的比较器的输出信号,并且其中,连接到第二与门的是对于第一与门的输入冗余的、第二表决器通道的和第三表决器通道的比较器的输出信号,并且其中,第一与门的输出信号以及第二与门的输出信号形成随后的或门的输入信号时,被认为是有利的。由于三个测量通道的表决器具有六个比较器和六个故障识别单元,所以关于在测量通道中发生的故障的信息是双重冗余的。除此之外的事实是关于在测量通道中双重地发生的故障的信息经分布在两个测量通道之中的组件获得。由于该布置,也可以检测到在比较器级中或在故障识别级中发生的故障。
[0015]特别地,输出选择级被实施为:当没有故障、或在测量通道之一中或在表决器通道之一中发生故障时,该输出选择级选择测量通道;或者当在至少两个测量通道和/或两个表决器通道中发生至少两个故障时,该输出选择级产生故障报告。
[0016]本发明的现场装置的实施例的优选形式提供的是,输出选择级具有多路复用器,该多路复用器被实施为使得它根据故障识别级的输出信号,在测量通道的输出信号与警报信号之间进行选择。
[0017]在有利的实施例中,具有测量通道、和/或表决器或表决器通道的相关联的组件的控制/评估单元在测量通道中至少部分地被实施为具有多个部分动态可重配置功能模块的可重配置逻辑芯片。
[0018]此外,提供的是,控制/评估单元根据相应地定义的安全关键应用配置测量通道中的功能模块,使得现场装置满足所需的安全标准。在该关联中被认为有利的是,当除基于软件和基于硬件的测量通道之外,至少一个测量通道在FPAA中被基于模拟地配置。
[0019]为此,存在与控制/评估单元相关联的至少一个微处理器,所述至少一个微处理器动态地部分地重配置已经被检测到故障的测量通道和/或表决器通道的功能模块。为了最佳化逻辑芯片的性能,至少一个微处理器在逻辑芯片的静态区中被永久地配置。
[0020]为了实现所需的安全标准,单独的测量通道相互隔开,使得测量通道中的温度和/或电压变化对相邻的测量通道没有影响。
[0021]从WO 2009/062954 Al获知用于确定或监控过程自动化中的过程变量的现场装置。该现场装置由传感器和控制/评估单元构成,该传感器根据定义的测量原理工作,该控制/评估单元处理并评估由传感器根据在相应的安全关键应用中所需的安全标准沿着至少两个等值测量路径传送的测量数据。已知控制/评估单元至少部分地被实施为具有多个部分地动态地可重配置功能模块的可重配置逻辑芯片(FPGA)。控制/评估单元根据相应地定义的安全关键应用配置测量路径中的功能模块,使得现场装置被设计成对应于所需的安全标准。WO 2009/062954A1提及如何在测量通道中检测并且清除故障的选项。该公开被合并到本公开中。
【专利附图】
【附图说明】
[0022]现在将基于附图更详细地解释本发明,附图示出如下:
[0023]图1为本发明的具有双重冗余设计的表决器的控制/评估单元的优选实施例的框图,
[0024]图2为在本发明的现场装置中可以应用的控制评估单元的优选实施例的框图。
[0025]图3a_3f为示出根据本发明使用的配备有冗余表决器的控制/评估单元的故障分析的表。
【具体实施方式】
[0026]图1示出可结合本发明的现场装置使用的控制/评估单元12的优选实施例的框图。控制/评估单元12以双重冗余表决器13为特征。为此,表决器的组件中的至少一些是双重冗余的。
[0027]图1所示的表决器13被实施为多数表决器并且包括三个组件或级:
[0028]-比较器级4,该比较器级4对由单独的测量通道MK1、MK2、MK3传送的输出信号1、2、3相互比较;
[0029]-故障识别级5,该故障识别级5通过对比较器级4的输出信号1、2、3进行适当的选通来检测在测量通道MKl ;MK2 ;MK3中发生的故障,和
[0030]-输出选择级6。
[0031]表决器13(虚线)包括多个表决器通道15.1、15.2、15.3,其中,每个表决器通道15.1、15.2、15.3 (虚线)包括比较器级4的一部分和故障识别级5的一部分,并且其中,每个表决器通道15.1,15.2、15.3被实施为相关联的测量通道MKl ;MK2 ;MK3的集成组件。具有集成的表决器通道15.1、15.2、15.3的每个测量通道MK1、MK2、MK3具有其自身的电压供应 U1、U2、U3(实线)。
[0032]表决器通道15.1、15.2、15.3的比较器级4包括两个比较器7,在每种情况下,所述两个比较器7将所选择的测量通道MKl ;MK2、MK3的输出信号I ;2 ;3与其余的测量通道MK1、MK2、MK3的输出信号I ;2 ;3相比较。特别地,三个测量通道MK1、MK2、MK3的输出信号1、2、3通过冗余的比较器7双重地比较。
[0033]在图示的情况下,故障识别级5被实施为逻辑级并且由逻辑门8、9构成。集成在测量通道服1、1?2、1?3中的每个逻辑级5由两个与门8和一个或门9构成。如果我们考虑具有测量通道MKl的表决器通道15.1,则所示的情况下的比较器级4由两个比较器7.1.1、7.1.2构成,并且故障识别级5由与门8.1.1,8.1.2和或门9.1构成。或门9.1属于故障识别级4,但是,在表决器通道15.1的外部。
[0034]测量通道MKl的输出信号I和测量通道MK2的输出信号2被应用到比较器7.1.1,而测量通道MKl的输出信号I和测量通道MK3的输出信号3在比较器7.1.2处彼此比较。在两个表决器通道15.2、15.3中进行测量通道MK1、MK2、MK3的输出信号1、2、3的类似的比较。一般而言,可以说,在测量通道MKl ;MK2 ;MK3中的每一个中,将相应的测量通道MKl ;MK2 ;MK3的输出信号1、2、3与其余的测量通道MKl ;MK2、MK3的输出信号1、2、3相比较。经冗余的比较器 7.1.1,7.1.2,7.2.1,7.2.2,7.3.1,7.3.2,检测到测量通道 MK1、MK2、MK3 的输出信号1、2、3中的差异I乒2、1乒3、2 ^ 1、3 ^ 3、3 ^ 1、3 ^ 2。两个测量通道MK1、MK2 ;MK3 的输出信号 1、2、3 经比较器 7.1.1,7.1.2,7.2.1,7.2.2,7.3.1,7.3.2 中的一个的比较精确度通过具有最小精确度的测量通道MK1、MK2、MK3的精确度来确定。如果测量通道MKl的精确度等于例如1%并且测量通道MK2的精确度等于0.1%,则比较器7.1.1,7.2.1将具有I %的精确度的两个测量通道MKl、MK2相比较。
[0035]为了发现其中已经发生故障的测量通道MK1、MK2、MK3,比较器7.1.1,7.1.2、7.2.1,7.2.2,7.3.1,7.3.2 的输出被转发到与门 8.1.1,8.1.2,8.2.1,8.2.2,8.3.1、8.3.2。特别地,具有比较器7.1.1,7.1.2的比较器级4的输出信号I乒2、I乒3被施加于第一与门8.1.1,而来自测量通道MK2、MK3的输出信号2乒1、3乒I到第二与门8.1.2。由于存在与三个测量通道MKl、MK2、MK3相关联的六个比较器7.1.1,7.1.2,7.2.1,7.2.2、7.3.1,7.3.2 和六个故障识别组件 8.1.1,8.1.2,8.2.1,8.2.2,8.3.1,8.3.2,所以在每种情况下,关于测量通道MK1、MK2、MK3之一中的故障的信息双重冗余地产生。另外,信息也源自不同的测量通道MK1、MK2、MK3。
[0036]冗余表决器13方案的该实施例具有以下优点:除了检测测量通道MK1、MK2、MK3中的故障之外,还检测比较器级4中的、或故障识别级5中的、或不同的组件4、5的组合中的故障。借助于本发明的解决方案示出故障检测的可能性的表在图3a至图3f中示出。一旦在测量通道MK1、MK2、MK3之一中检测到故障,相应的测量通道MK1、MK2、MK3就被掩蔽——即不再被考虑用于提供例如测量值的值一一和/或在给定情况下一一即在由于应用可重配置FPGA而存在这样的机会的情况下一一被重配置。如果控制/评估单元12被实施为部分地动态地可重配置FPGA,则已经引起故障的组件可以被部分地动态地重配置。
[0037]在本发明的现场装置的优选实施例中,比较器级4和故障识别级5大部分被双重冗余地构造并且分布在不同的测量通道MK1、MK2、MK3上。由于控制/评估单元12最后必须输出单个值,所以输出必须被实施为一个通道。这通过输出选择级6仅单一地存在的特征来获得。因此,不能检测到输出选择级6的故障。在图示的情况下,输出选择级6由多路复用器10形成,其基于由故障识别级5传送的输出信号S 1、S2、S3来确定输出值。
[0038]优选地,输出选择级6,例如多路复用器10,被实施为使得,当没有故障存在时,或当在测量通道MK1、MK2、MK3中的一个或在表决器通道15.1、15.2、15.3之一中发生仅一个故障时,输出选择级6任意选择正确地运行的测量通道MK1、MK2、MK3。当在至少两个测量通道MK1、MK2、MK3中和/或在至少两个表决器通道15.1,15.2,15.3中发生至少两个故障时,输出选择级6产生故障报告。因此,根据故障识别级5的输出信号,多路复用器10在测量通道MK1、MK2、MK3的输出信号1、2、3与警报信号之间进行选择。
[0039]图2示出本发明的现场装置的冗余地实施的控制/评估单元12的优选实施例的框图。
[0040]在图2中,优先权提供给例如测量通道MKl。因此,测量通道MKl是所选择的测量通道。当根本没有故障发生时或当在测量通道MK2中或在测量通道MK3中检测到故障时,总是选择它。如果在测量通道MKl中检测到故障,则测量通道MK2是所选择的测量通道。如果多于一个故障产生,则警报信号被设定。当控制/评估单元12具有不同精确度的测量通道MKl、MK2、MK3时,该过程是有利的。相应的控制/评估单元12在图2中以示例的方式示出。分别具有DSP(数字信号处理器)和微控制器的测量通道MKl、MK2对于信号处理具有最高的精确度。模拟测量通道MK3在示出情况下基于FPAA被实施,对于信号处理具有最低的精确度。因此,通常具有最高精确度的测量通道MK1、MK2总是被所选择为基准测量通道(具有最高优先权的测量通道)。在图示的情况下,是测量通道MK1。MKl被选择为基准测量通道,只要在该测量通道中没有故障发生。如果在测量通道MKl中出现故障,则具有第二高精确度的测量通道MK2成为基准测量通道。只要在测量通道MK1、MK2之一中没有故障发生,则传感器11或现场装置的信号处理在具有DSP或微控制器的测量通道的高精度下发生。相对不精确的模拟测量通道MK3仅被使用以便检测测量通道MKl、MK2之一中的故障。
[0041]在图3a至图3f中提供了示出具有利用根据本发明使用的冗余表决器13的控制/评估单元12的故障分析的表。在分析中仅考虑冗余地存在的组件本身或组件的组合,即测量通道MK、比较器级4和故障识别级5。由于控制/评估单元12的组件的非冗余部分是小的,因此现场装置的安全性仅在小量度方面受到影响。在发明的解决方案的情况下,在微处理器14中的故障还将导致现场装置的错误的输出值,所述现场装置在图示的情况下是传感器。
[0042]图3a_3f详细地示出下列情况:
[0043]图3a:在测量通道MK之一中的故障。
[0044]图3b:在比较器级4之一中的故障。
[0045]图3c:在测量通道MK之一中以及在比较器级4的相关联的组件之一中的故障。
[0046]图3d:在测量通道MK之一中以及在故障识别级5的相关联的组件之一中的故障。
[0047]图3e:在故障识别级5之一中的故障。
[0048]图3f:在测量通道MK1、MK2、MK3之一中,在比较器级4的相关联的组件之一中以及在故障识别级5的相关联的组件之一中的故障。
[0049]一般而言,可以陈述的是,借助于本发明的解决方案,可以在独立的组件、测量通道MK(图3a)、比较器级4(图3b)和故障识别级5(图3e)中检测或掩蔽故障。此外,即使当在控制/评估单元12中发生两种故障时(图3c、图3e),也可以确保现场装置的运行。本发明解决的方案仅当在测量通道MKl、MK2、MK3中以及在相关联的表决器通道15.1,15.2、15.3中的每个组件中发生故障时(图3f)或当相应的故障分布在两个测量通道上时失效。然而,故障的这样的累积的概率是如此小以至于可以满足所需的尤其是SIL3的高安全要求。
[0050]如上文已经提及的,当存在与控制/评估单元12相关联的至少一个微处理器14时是特别有利的,所述至少一个微处理器14动态地重配置,或部分动态地重配置有缺陷的测量通道MK的功能模块和/或有缺陷的表决器13的功能模块。
[0051]此外,提供的是,单独的测量通道MK——在图2中,存在测量通道MK1、MK2——相互隔开,使得测量通道MKl中的温度和/或电压变化对相邻的测量通道MK2没有影响。优选地,对于其中控制/评估单元12被实施在逻辑芯片FPGA上并且动态地或部分动态地可重配置的情况,微处理器14被永久地配置在逻辑芯片FPGA的静态区中。在 申请人:的较早引用的国际专利申请中已经描述了相应的实施例。
[0052]参考标记列表
[0053]I测量通道MKl的输出
[0054]2测量通道MK2的输出
[0055]3测量通道MK3的输出
[0056]4比较器级
[0057]5故障识别级
[0058]6输出选择级
[0059]7比较器
[0060]8 与门
[0061]9 或门
[0062]10多路复用器
[0063]11传感器
[0064]12控制/评估单元
[0065]13表决器
[0066]14微处理器
[0067]15表决器通道
[0068]U电压供应
【权利要求】
1.一种用于确定或监控自动化技术中的过程变量的现场装置, 其中,所述现场装置满足在预定的安全关键应用中要求的安全标准,所述现场装置包括传感器(11)和控制/评估单元(12),所述传感器(11)根据定义的测量原理工作,所述控制/评估单元(12)处理并评估由所述传感器(I)沿着至少三个冗余地和/或多样化地设计的测量通道(MK)传送的测量数据,并且 其中,存在与所述控制/评估单元(2)相关联的表决器(13),所述表决器(13)由至少部分地双重冗余地设计的多个组件构成。
2.根据权利要求1中所述的现场装置, 其中,所述表决器(13)被实施为多数表决器,并且具有三个组件:比较器级(4),所述比较器级⑷将由单独的测量通道(MK)传送的输出信号相互比较;故障识别级(5),所述故障识别级(5)通过对所述比较器级⑷的输出信号进行适当的选通,来检测在测量通道(MK)中发生的故障;以及输出选择级(6)。
3.根据权利要求1或2中所述的现场装置, 其中,所述表决器(13)由多个表决器通道(15)构成,其中,每个表决器通道(15)包括所述比较器级(4)的一部分和所述故障识别级(5)的一部分,并且其中,每个表决器通道(15)被实施为相关联的测量通道(MK)的集成组件。
4.根据权利要求1-3中的一项或多项所述的现场装置, 其中,每个测量通道(MK)具有其自身的电压供应(U)。
5.根据前述权利要求中的一项或多项所述的现场装置, 其中,所述比较器级(4)在每个表决器通道(15)中包括两个比较器(7),在每种情况下,所述两个比较器⑵将所选择的测量通道(MK)的输出信号与其余的测量通道的输出信号相比较,使得所述三个测量通道(MK)的输出信号被冗余的比较器(7)双重地比较。
6.根据权利要求5中所述的现场装置, 其中,所述故障识别级(5)是由逻辑门(8、9)构成的逻辑级。
7.根据权利要求5或6中所述的现场装置, 其中,每个逻辑级由两个与门(8)和一个或门(9)构成,或由等值门组合构成,其中,连接到第一与门(8)的输入的是与所选择的测量通道相关联的、第一表决器通道(15.1)的比较器(7)的输出信号,并且其中,连接到第二与门(8)的是对于所述第一与门(8)的输入冗余的、第二表决器通道(15.2)的和第三表决器通道(15.3)的比较器(7)的输出信号,并且其中,所述第一与门⑶的输出信号以及所述第二与门⑶的输出信号形成随后的或门(9)的输入信号。
8.根据权利要求1-7中的一项或多项所述的现场装置, 其中,所述输出选择级(6)被实施为:当没有故障或在所述测量通道(MK)之一中或在所述表决器通道(15)之一中发生故障时,所述输出选择级(6)选择测量通道(MK);或者当在至少两个测量通道(MK)和/或两个表决器通道(15)中发生至少两个故障时,所述输出选择级(6)产生故障报告。
9.根据前述权利要求中的一项或多项所述的现场装置, 其中,所述输出选择级(6)具有多路复用器(10),所述多路复用器(10)被实施为使得它根据所述故障识别级(5)的输出信号,在所述测量通道(MK)的输出信号与警报信号之间做出选择。
10.根据前述权利要求中的一项或多项所述的现场装置, 其中,具有测量通道(MK)、和/或所述表决器(13)或所述表决器通道(15)的相关联的组件的控制/评估单元(12)在所述测量通道(MK)中至少部分地被实施为具有多个部分地动态地可重配置功能模块的可重配置逻辑芯片(FPGA)。
11.根据前述权利要求中的一项或多项所述的现场装置, 其中,所述控制/评估单元(12)根据相应地定义的安全关键应用配置所述测量通道(MK)中的功能模块,使得所述现场装置满足所需的安全标准。
12.根据前述权利要求中的一项或多项所述的现场装置, 其中,存在与所述控制/评估单元(12)相关联的至少一个微处理器(11),所述至少一个微处理器(11)部分地动态地重配置已经被检测到故障的测量通道(MK)和/或表决器通道(15)的功能模块。
13.根据前述权利要求中的一项或多项所述的现场装置, 其中,所述测量通道(MK)中的至少一个在FPAA中被基于模拟地配置。
14.根据前述权利要求中的一项或多项所述的现场装置, 其中,所述单独的测量通道(MK)相互隔开,使得测量通道(MK)中的温度和/或电压变化对相邻的测量通道(MK)没有影响。
15.根据前述权利要求中的一项或多项所述的现场装置, 其中,所述至少一个微处理器(14)在所述逻辑芯片(FPGA)的静态区中被永久地配置。
【文档编号】G05B9/03GK104508574SQ201380039062
【公开日】2015年4月8日 申请日期:2013年6月26日 优先权日:2012年7月23日
【发明者】罗穆亚尔德·吉拉尔迪 申请人:恩德莱斯和豪瑟尔两合公司