专利名称:用于确定或监测物理或化学过程变量的现场设备的制作方法
技术领域:
本发明涉及一种用于确定或监测物理或化学过程变量的现场设备,该现场设备由传感器和控制/评估单元组成,该传感器根据特定的测量原理来工作,该控制/评估单元依赖于在相应的安全性至关重要的应用中所要求的安全标准沿着至少两个等价的测量路径来处理和评估由传感器所提供的测量数据。优选地,现场设备使用在自动化技术中,尤其是使用在过程自动化和工厂自动化中。由WO 2004/013585A1已公知一种解决方案,该解决方案研究的是现场设备的一种构造方式,该现场设备可以使用在过程自动化领域中的安全性至关重要的应用中。然而,本发明并不局限于过程自动化和工厂自动化的领域,而是同样可以使用在汽车行业及其它行业中的安全性至关重要的应用中。
背景技术:
在自动化技术中,尤其是在过程自动化技术中使用了现场设备,这些现场设备用于确定和监测过程变量。此类现场设备的例子是料位测量设备、流量测量设备、分析测量设备、压力和温度测量设备、湿度和电导率测量设备、密度和粘度测量设备。这些现场设备的传感器采集相应的过程变量,例如料位、流量、PH值、物质浓度、压力、温度、湿度、电导率、密度或粘度。然而,也将执行器(例如阀或泵)纳入“现场设备”的概念中,通过这些执行器例如可以改变管道中的液体的流量或容器中的料位。大量的这种现场设备由Endress+Hauser 集团提供并销售。一般,现场设备在现代的自动化技术的设施中以及在汽车行业中通过通信网络, 例如HART多点网络、点对点连接、ProfibusJoundation Fieldbus、CAN_Bus,与上位单元相连接,该上位单元被称为引导系统或上位的控制单元。该上位单元用于控制、诊断、可视化、 监测以及调试运行和操纵现场设备。对于现场总线系统的运行而言必需的附加部件(这些附加部件直接与现场总线连接并且尤其用于与上位单元通信)同样经常被称为现场设备。 这些附加部件例如是指Remote 1/0(远程I/O) ,Gateway (网关)、Linking Device (链接设备)或控制器、Wireless Adapter (无线适配器)。也将这些附加部件纳入“现场设备”的概念中。现场设备中的软件份额不断增加。使用受微控制器控制的智能现场设备(Smart Field Devices)的优点在于,通过专用的软件程序可以在现场设备中实现大量不同的功能;而且还可以相对简单地进行程序修改。另一方面,作为按顺序执行程序的结果,与受程序控制的现场设备的很高的灵活性对立的是相对小的处理速度和因此相应小的测量速率。为了提高处理速度,总是只有当在经济上完全合理时才在现场设备中使用 ASIC (Application Specific Integrated Circuit,专用集成电路)。通过专用的配置,这些组件可以比软件程序明显更快地处理数据和信号。因此,尤其对于计算密集型的应用而言,ASIC是特别合适的。在ASIC的应用中,不利的是,这些组件的功能被固定地预先给定。在这些组件中,
4不能容易地在后来改变功能。此外,ASIC的使用仅在相对大件数的情况下才值得,这是因为开发费用和与此相关的成本很高。为了规避固定地预先给定的功能的弊端,由WO 03/098154A1公知一种可配置的现场设备,其中设置有FPGA(Field Programmable Gate Array,现场可编程门阵列)形式的可重新配置的逻辑组件。在该公知的解决方案中,系统启动时,利用至少一个微控制器(也被称为嵌入式控制器)来对逻辑组件进行配置。在配置完成之后,将需要的软件加载到微控制器中。在此所需的、可重新配置的逻辑组件必须具有足够的资源,更确切地说是逻辑资源、布线资源和存储器资源,以便满足所期望的功能。带有许多资源的逻辑组件需要大量能量,这又从功能上看可能使得其在自动化中的使用仅受限制地得以实现。在使用带有很少资源并且因地带有较少能量消耗的逻辑组件的情况下,不利的是,在相应的现场设备的功能中的明显的限制。根据应用情况,现场设备必须满足各种不同的安全要求。为了满足相应的安全要求(例如SIL标准“kcurity Integrity Level (安全完整性等级)”,其在过程自动化中起到很大作用),必须以冗余和/或多样化的方式来设计现场设备的功能。“冗余”意味着,通过以双重或多重的方式设计所有对安全重要的硬件部件和软件部件来实现提高的安全性。“多样化”意味着,处于不同的测量路径中的硬件部件(例如微处理器、A/D转换器)来自于不同的制造商和/或这些硬件部件是不同的类型。在软件部件的情况中,“多样化”要求存储在微处理器中的软件来自于不同的来源,也就是说来自于不同的制造商或者程序员。通过所有这些措施应确保,以很高的概率来排除现场设备的安全性至关重要的故障的发生以及在测量值处理中同时出现的系统误差的出现。同样公知的是,附加地还以冗余和/或多样化的方式来设计评估电路的各个基本硬件部件和软件部件。通过以冗余和多样化的方式来设计各个硬件部件和软件部件可以进一步提高安全性的等级。安全性重要的应用的一个例子是容器中的液位监测,在该容器中存放有可燃的、 易爆的或者还有不可燃的、但却在这方方面危害环境的液体。在这里必须确保,一旦达到最大允许的液位,对容器的液体供给就立即被中断。这又以如下情况为前提,即,测量设备非常可靠地探测液位并且无错误地工作。由WO 2009/062954A1公知一种现场设备,该现场设备带有传感器和控制/评估单元,该传感器根据特定的测量原理来工作,该控制/评估单元依赖于在相应的安全性至关重要的应用中所要求的安全标准沿着至少两个等价的测量路径来处理和评估由传感器所提供的测量数据。控制/评估单元至少部分地构造成带有多个可部分地动态地重新配置的功能模块的可重新配置的逻辑组件。控制/评估单元依赖于相应地特定的、安全性至关重要的应用以如下方式配置测量路径中的功能模块,即,相应于所要求的安全标准来设计现场设备。在公知的构造方式中的问题是,功能性故障,例如一个分区中的短路或温度变化, 自动地也影响其它的分区。其导致对其它分区的串扰,从而使得现场设备可能提供有错误的测量结果并且不再可靠地工作。这尤其在安全性至关重要的应用中是不能被接受的高风险。
发明内容
本发明的目的是,提出一种用于安全性至关重要的领域的非常灵活的现场设备。该目的通过如下方式来实现,即,控制/评估单元在FPGA上实现,在该FPGA上设置有至少一个第一分区和至少一个第二分区,其中,在每个分区中,可以对数字的测量路径部分地动态地进行重新配置,该数字的测量路径由多个基于软件的和/或基于硬件的功能模块组成,其中,各个分区通过固定配置的间隔区或者禁区彼此分开,其中,间隔区以如下方式来构造,即,在分区之一中的温度变化和/或电压变化对另一分区或者其它的分区没有影响,并且在故障情况下,分区之间没有连接,并且其中,控制/评估单元依赖于相应地特定的、安全性至关重要的应用部分地动态地重新配置测量路径中的功能模块,从而使得现场设备满足所要求的安全标准。在此,“可部分地动态地重新配置”意味着FPGA的功能模块在相应的测量路径中在运行期间(即动态地)被重新配置。“故障”例如由入射的伽马射线或宇宙辐射线(即高能射线)引起,其使得一个或多个逻辑部件或其它资源的功能发生改变或失效。依据根据本发明的现场设备的一种有利的构造方式,用于电势隔离 (Potentialtrennung)的间隔区的尺寸设定依赖于FPGA的结构来选择。由此,可以使用市场上已有的FPGA。FPGA的结构最终特别地由逻辑部件(CLB-Configurable Logic Block, 可配置逻辑块)之间的布线的尺寸设定和由FPGA的逻辑部件(CLB)的尺寸设定来确定。为了避免相邻的分区之间的一种影响以及任何类型的影响,将间隔区的至少要遵循的尺寸设定/宽度优选指定为相应地使用的FPGA的逻辑部件的尺寸设定的多倍。在此,CLB的布线模型也起到作用。分区之间的最小间距或者间隔区的宽度以如下方式来选择,即,使分区之间的短路或串扰得以排除。此外,间隔区用于分区的热解耦。根据本发明的现场设备的一种有利的改进方案提出使在间隔区中的每个间隔区内布置的逻辑部件以及相应的布线(即资源)接地。此外,针对FPGA具有在至少两个分区上延伸的全局线/布线(glcAal line)或长线/布线(long line)的情况提出使这些全局线或长线隔开或者接地。此外,根据本发明的现场设备的一种有利的改进方案设置以如下方式将FPGA划分成各个分区,即,在FPGA上存在的资源在这些分区中的每个分区中也存在,所述资源对于通过在相应的分区中的功能模块来实施功能而言是必需的。如在图3中可见的那样,这要求将在FPGA上可供使用的面积相应地划分为分区,这是因为当FPGA是标准FPGA时,所述资源本身在FPGA上被固定地预先给定。这些资源尤其是指逻辑资源、布线资源和存储器资源以及所谓的DCM (Digital Clock Manager,数字时钟管理器),该DCM给FPGA的逻辑部件提供节拍。根据本发明的现场设备的一种优选的构造方式提出以冗余、多样化或者冗余且多样化的方式来设计带有可动态地重新配置的功能模块的测量路径。此外,为控制/评估单元配有表决器(Voter)或者微控制器,该表决器或者微控制器同样通过间隔区与相邻的测量路径分开。表决器或者微控制器将由测量路径或在测量路径中提供的并且彼此相应的测量数据相互比较,并且在有偏差的情况下生成警告信息或错误信息或使用合适的修整机构(Iteparaturmechanism)。如果表决器或者微控制器以串行或并行的方式对用于奇数数量的、冗余的和/或多样化的测量路径的功能模块进行部分地动态地重新配置,那么表决器或者微控制器可以通过比较在测量路径中或由测量路径提供的测量数据而识别出哪个测量路径提供的是有错误的测量数据。又可以生成相应的警告信息。此外,当然尤其在该构造方式中可以实现的是,在相关的测量路径中有针对地开展合适的修复方法。这些修整机构和修复机构在 2009.08. 27申请的、尚未公开的DE 10 2009 (^8938. 0中详细地进行了描述。但是,相应的机构也可以在公开的DE 10 2007 054 672A1中找到。相应的公开明确地算作本专利申请的公开内容。结合本发明,被认为特别有利的是,以独立于所使用的FPGA的方式基于硬件地将测量路径中的至少一个测量路径配置成FPGA的分区中的FPAA。此外,在FPGA的如下所选择的分区上设置有静态区,所述所选择的分区通过间隔区与相邻的分区分开,在该静态区中,对至少一个功能模块进行固定配置,在该至少一个功能模块中,为了对各个分区中有待进行动态地配置的功能模块进行配置而运行控制程序。 尤其地,在该所选择的分区中可找到表决器或者微控制器。根据本发明的现场设备的一种有利的构造方式设置有通信线路,这些通信线路在 FPGA之外布置在各个分区之间。这些通信线路负责在测量路径之间和/或在各个测量路径与表决器或者微控制器之间进行信息交换。为了确保仅有限的能量供给或者功率供给可以通过这些通信线路进入到分区中,优选为通信线路中的每个通信线路配有至少一个限制装置。非常重要的是,限制测量路径之间通过通信线路的能量供给和功率供给。只有这样才能确保,可以避免具有共同原因的错误(Commen Cause Failure)。关于间隔区或者禁区,上述情况也适用。
借助下面的附图对本发明作进一步说明。其中图1示出根据本发明的现场设备的示意图,图2示出带有三个测量路径的根据本发明的解决方案的构造方式,图3示出根据本发明的解决方案的优选构造方式,以及图4示出FPGA的逻辑资源的示意图。
具体实施例方式图1示出根据本发明的现场设备的控制/评估单元10的示意图,该控制/评估单元带有两个分区3. 1,3. 2,在这两个分区3. 1,3. 2中,可以对各一个数字测量路径MP1、MP2 进行部分地动态地重新配置。该现场设备本身在附图中未单独地示出。不同类型的现场设备由Endress+Hauser集团提供和销售。这两个等价的测量路径MP1、MP2中的每个测量路径都由一个或多个基于软件的和/或基于硬件的功能模块组成,这些功能模块同样在图1中未单独地示出。控制/评估单元10在FPGA 1上实现。优选地,作为根据本发明的解决方案的基础使用标准FPGA 1。 根据所要求的安全标准,以冗余和/或多样化的方式来设计这两个测量路径MP1、MP2。在测量路径MP1、MP2中,根据需要对所需的功能模块部分地动态地进行重新配置。这种部分地动态地重新配置的优点是FPGA的相对小的尺寸,在该FPGA上对测量路径MP1、MP2中的功能模块进行配置。为了防止分区3. 1中的功能性故障影响到相邻的分区3. 2,将两个测量路径MP1、 MP2彼此间隔开。两个测量路径MP1、MP2或者两个分区3. 1,3. 2的间距在图1中以Dl表示。两个相邻的分区3. 1,3. 2之间的间距Dl以及这两个分区3. 1,3. 2与表决器2之间的间距D2,通常取决于FPGA 1的相应的结构,在该FPGA 1上实现控制/评估单元10。此外, 相邻的分区3. 1、3.2、2之间的间距D1、D2是逻辑块(CLB)的尺寸的多倍,FPGA 1由这些逻辑块构建而成。尤其可以在该基础上限定如下最佳的间距D,即,两个相邻的分区3. 1,3. 2、2彼此间必须具有该最佳间距,从而在分区3. 1或者在测量路径MPl中出现功能性故障不影响另一分区3. 2或者2或者另一测量路径MP2。为了识别出是否出现温度变化,被认为有利的是,在每个测量路径MPl、MP2中实现温度测量。出于电势隔离的目的,位于分区3. 1、3. 2、2之间的是间隔区4. 1、4. 2。对间隔区 4. 1、4. 2固定地进行配置并且该间隔区4. 1、4. 2以如下方式构造或者设定尺寸,S卩,在分区 3. 1,3. 2之一中的温度变化和/或电压变化对另一分区或者其它的分区没有影响,并且在故障情况下,分区3. 1,3. 2、2之间没有电连接或热连接。分区3. 1,3. 2、2之间的串扰通过间隔区4. 1、4. 2有效地得以阻止。如已提及的那样,用于电势隔离的间隔区4. 1,4. 2的尺寸设定优选依赖于FPGA 1 的相应的结构。FPGA 1的结构在下面的平面上特别地通过布线的尺寸设定来确定,但也通过相应地应用的FPGA 1的逻辑部件CLB(可配置逻辑块)的尺寸设定来确定。电势隔离通过如下方式来实现,即,使在间隔区4. 1,4. 2中的每个间隔区内布置的逻辑部件CLB、7、9以及逻辑部件CLB、7、9之间的相应的布线8接地。优选地,标准FPGA 1在与本发明相结合下投入使用。可以对FPGA 1的分区3. 1,3. 2中的功能模块进行部分地动态地重新配置,而对 FPGA 1的静态区中的表决器2进行固定配置。在测量路径MPl、MP2之间和在测量路径MPl、MP2与表决器2或者微控制器之间的通信通过通信线路12来实现,这些通信线路分布在FPGA 1之外。为了确保通过这些通信线路12仅实现有限的能量供给或者功率供给,优选在通信线路12中的每个通信线路中都安置至少一个限制装置13。图2中所示出的构造方式通过如下方式区别于图1中所示出的构造方式,即,除了分区3. 1,3. 2之外(在这些分区中,可以对测量路径MP1、MP2进行部分地动态地重新配置),设置有另外的测量路径MP3。以基于模拟化的方式(analogbasiert)在FPAA6上对测量路径MP3进行配置并且因此以独立于标准FPGA 1的方式实现。在此,“以基于模拟化的方式”意味着,在FPAA中,例如对测量路径动态地,即在运行期间,也就是说在现场设备实施其根据规定的功能期间,进行配置。通过第三测量路径MP3,可以实现增加的冗余和/或多样性。尤其地,在三重设计的测量路径MP1、MP2、MP3的情况下以及在其它奇数数量的测量路径的情况下可以测定测量路径MP1、MP2、MP3中的哪个测量路径可能不正确地工作。图3示出根据本发明的控制/评估单元1的优选的构造方式。在该构造方式中,以如下方式将FPGA 1划分成各个分区3. 1、3. 2、2,S卩,在FPGA 1上存在的资源CBL、7、8、9在这些分区3. 1,3. 2、2中的每个分区内都存在,这些资源对于通过相应分区3. 1,3. 2、2中的功能模块来实施功能而言是必需的。所述资源是指逻辑部件CBL、存储器组件7 (该存储器组件例如构造为RAM)和所谓的数字时钟管理器DCM 9,这些资源中的至少一个必须分别布置在每个分区3. 1、3.2、2中。此外,所述资源包括布线8,在这些布线中在图3中示出的是所谓的全局线。全局线将时钟信号从DCM引至CLB。除了全局线(这些全局线可以在多个分区上延伸)之外,还有长线。全局线传输时钟信号,而长线用于传送其它信号。在逻辑部件的平面上的布线的详细的图示在图4中可见。另外的细节在文章“Sicherheitsbewusstes Place and Route fiir In-Chip Redundanz in sicherheitskritischen Anwendung(在安全性至关重要的使用中针对片内冗余的重视安全性的位置和路径)”中可找到,本专利申请要求其优先权。该文章的相应的公开内容可算作本专利申请的公开。在该文章中例如将 FPGA Spartan 3E或3A称为FPGA,所述FPGA可以在与根据本发明的现场设备相结合下使用。如之前已经提及的那样,使间隔区4. 1、4. 2中的逻辑部件CLB以及布线接地。上述情况也适用于间隔区4. 1,4. 2中的数字时钟管理器9。当然,如在图3中可见的那样,间隔区4. 1,4. 2以如下方式来构造,即,确保在每个分区3. 1,3. 2中至少一个数字时钟管理器 9是有效的,因为否则的话测量路径MP1、MP2不能获得时钟信号。需要指出的是,可以将文件“Sicherheitsbewusstes Place and Route fur In-Chip Redundanz in sicherheitskritischen Applikationen(在安全性至关重要的应用中针对片内冗余的重视安全性的位置和路径)”的公开内容明确地列入本专利申请的公开内容,本专利申请要求其优先权。
权利要求
1.用于确定或监测物理或化学过程变量的现场设备,该现场设备由传感器和控制/评估单元(10)组成,所述传感器根据特定的测量原理工作,所述控制/评估单元(10)依赖于在相应的安全性至关重要的应用中所要求的安全标准而沿着至少两条等价的测量路径 (MPUMP2)处理和评估由所述传感器提供的测量数据,其中,所述控制/评估单元在FPGA(I)上实现,在所述FPGA(I)上设置有至少一个第一分区(3. 1)和至少一个第二分区(3. 2),其中,在每个分区(3. U3. 2)中能够动态地重新配置一条数字的测量路径(MP1、MP2),所述数字的测量路径(MP1、MP2)由多个基于软件的和 /或基于硬件的功能模块组成,其中,各个所述分区通过固定配置的间隔区(4. 1,4. 2)彼此分开,其中,构造所述间隔区(4. 1,4. 2),使得在一个分区(MPl ;MP2)中的温度变化和/或电压变化对另一分区(MP2 ; MPl)或者其它分区没有影响,并且在故障情况下所述分区(MP1、MP2)之间没有连接,并且其中,所述控制/评估单元(10)依赖于相应地特定的安全性至关重要的所述应用而部分地动态地重新配置所述测量路径(MP1、MP》中的所述功能模块,从而使得所述现场设备满足所要求的安全标准。
2.根据权利要求1所述的现场设备,其中,用于电势隔离的所述间隔区(4.1,4. 2)的尺寸设定依赖于所述FPGA(I)的结构。
3.根据权利要求1或2所述的现场设备,其中,在每一所述间隔区(4.1,4. 2)内布置的逻辑部件(CBL、7、9)以及相应的布线⑶接地。
4.根据权利要求1至3中任一项所述的现场设备,其中,对于所述FPGA(I)具有在至少两个所述分区(MP1、MP2、2)上延伸的全局线(8)和长线的情况,所述全局线和所述长线被隔开并接地。
5.根据权利要求1至3中任一项所述的现场设备,其中,将所述FPGA(I)划分成各个分区(3. 1、3.2、2),使得在所述FPGA(I)上存在的资源(CBL、7、8、9)在每个所述分区(3. 1、 3.2,2)中都存在,所述资源对于通过相应的分区(3. 1、3.2、2)中的功能模块来实施功能而言是必需的。
6.根据前述权利要求中任一项或多项所述的现场设备,其中,以冗余、多样化或者冗余且多样化的方式来设计带有能够被动态地重新配置的功能模块的测量路径(MP1、MP2)。
7.根据前述权利要求中任一项或多项所述的现场设备,其中,为所述控制/评估单元 (10)配有表决器( 或者微控制器,所述表决器( 或者所述微控制器同样通过间隔区 (4. 2)与相邻的测量路径(MP1、MP》分开,所述表决器( 或者所述微控制器将从所述测量路径(MP1、MP》或在所述测量路径(MP1、MP》中提供的并且彼此对应的测量数据相互比较,并且在有偏差的情况下生成警告信息或错误信息。
8.根据权利要求1或7所述的现场设备,其中,所述表决器( 或者所述微控制器以串行或并行的方式对用于奇数数量的、冗余的和/或多样化的测量路径(MP1、MP2、MP3、…) 的功能模块进行部分地动态地重新配置,其中,所述表决器(2)或者所述微控制器将从所述测量路径(MP1、MP2、MP3、…)或在所述测量路径(MP1、MP2、MP3、…)中提供的所述测量数据相互比较,并且其中,如果在特定的测量路径(MPl ;MP2 ;MP3)上提供的测量数据与剩余的测量路径(MPl ;MP2 ;MP3)的测量数据不同,那么所述表决器( 或者所述微控制器生成警告信息,该警告信息表明所述特定的测量路径(MPl ;MP2 ;MP3)提供有错误的数据。
9.根据前述权利要求中任一项或多项所述的现场设备,其中,以基于模拟的方式在 FPAA (6)中对所述测量路径中的至少一条测量路径进行配置。
10.根据前述权利要求中任一项或多项所述的现场设备,其中,在所述FPGA(I)的所选择的分区(11)上设置有静态区,所述所选择的分区(11)通过间隔区(4. 1,4. 2)与相邻的分区(3. 1、3. 2)分开,在所述静态区中,对至少一个功能模块进行固定配置,在所述至少一个功能模块中运行有用于对各个分区(3. 1、3.幻中有待动态地配置的功能模块进行配置的控制程序。
11.根据前述权利要求中任一项或多项所述的现场设备,其中,设置有通信线路(12), 所述通信线路(12)在所述FPGA(I)之外布置在各个分区(3. 1、3.2、2)之间。
12.根据权利要求11所述的现场设备,其中,在各条通信线路(12)中提供至少一个限制装置(13),用于限制分区(3. 1、3.2、2)之间的电压和/或电流。
全文摘要
本发明涉及一种用于确定或监测物理或化学过程变量的现场设备,其由传感器和控制/评估单元组成,该传感器根据特定的测量原理工作,该控制/评估单元依赖于在相应的安全性至关重要的应用中所要求的安全标准沿着至少两条等价的测量路径处理和评估由该传感器所提供的测量数据。控制/评估单元在FPGA上实现,在该FPGA上设置有至少一个第一分区和至少一个第二分区。在每个分区中,可以动态地对数字的测量路径进行重新配置,该测量路径由多个基于软件和/或基于硬件的功能模块组成。分区通过固定配置的间隔区彼此分开。构造间隔区,使得在分区之一中的温度变化和/或电压变化对另一分区或者其它的分区没有影响,并且在故障情况下,分区之间没有连接。
文档编号G05B9/02GK102193512SQ20111004987
公开日2011年9月21日 申请日期2011年2月25日 优先权日2010年2月25日
发明者米夏埃尔·许布纳, 罗穆亚尔德·吉拉尔迪, 迪特马尔·弗吕奥夫 申请人:恩德莱斯和豪瑟尔两合公司