MESSKANÄLEN IN EINEM FPGA

Die Erfindung betrifft ein Feldgerät zur Bestimmung oder Überwachung einer 5 Prozessgröße in der Automatisierungstechnik, wobei das Feldgerät einem

Sicherheitsstandard genügt, der in einer vorgegebenen sicherheitskritischen Anwendung gefordert ist, mit einem Sensor, der nach einem definierten Messprinzip arbeitet, und mit einer Kontroll-/Auswerteeinheit, die im Messbetrieb des Sensors die vom Sensor gelieferten Messdaten entlang von zumindest drei redundanten und/oder diversitär 10 ausgelegten Messkanälen aufbereitet und auswertet. Eine entsprechende Lösung ist aus der WO 2004/013585 A1 bekannt geworden.

In der Automatisierungstechnik, insbesondere in der Prozessautomati-sierungstechnik, werden Feldgeräte eingesetzt, die zur Bestimmung und Überwachung von

15 Prozessvariablen dienen. Beispiele für derartige Feldgeräte sind Füllstandsmessgeräte, Durchflussmessgeräte, Analysemessgeräte, Druck- und Temperaturmessgeräte, Feuchte- und Leitfähigkeitsmessgeräte, Dichte und Viskositätsmessgeräte. Die Sensoren dieser Feldgeräte erfassen die entsprechenden Prozessvariablen, z.B. den Füllstand, den Durchfluss, den pH-Wert, die Stoffkonzentration, den Druck, die Temperatur, die Feuchte,

20 die Leitfähigkeit, die Dichte oder die Viskosität.

Unter den Begriff 'Feldgeräte' werden in Verbindung mit der Erfindung aber auch Aktoren, z. B. Ventile oder Pumpen, subsumiert, über die beispielsweise der Durchfluss einer Flüssigkeit in einer Rohrleitung oder der Füllstand in einem Behälter veränderbar ist. Eine 25 Vielzahl solcher Feldgeräte wird von der Firmengruppe Endress + Hauser angeboten und vertrieben.

In der Regel sind Feldgeräte in modernen automatisierungstechnischen Anlagen über Kommunikationsnetzwerke, wie HART- Multidrop, Punkt zu Punkt Verbindung, Profibus,

30 Foundation Fieldbus, mit einer übergeordneten Einheit verbunden, die als Leitsysteme oder Leitwarte bezeichnet wird. Diese übergeordnete Einheit dient zur Prozesssteuerung, zur Prozessvisualisierung, zur Prozess Überwachung sowie zur Inbetriebnahme und zum Bedienen der Feldgeräte. Für den Betrieb von Feldbussystemen notwendige Zusatzkomponenten, die direkt an einen Feldbus angeschlossen sind und die insbesondere zur

35 Kommunikation mit den übergeordneten Einheiten dienen, werden ebenfalls häufig als

Feldgeräte bezeichnet. Bei diesen Zusatz-komponenten handelt es sich z. B. um Remote I/Os, Gateways, Linking Devices, Controller oder Wireless Adapter.

Je nach Anwendungsfall müssen die Feldgeräte unterschiedlichsten

40 Sicherheitsanforderungen genügen. Um den jeweiligen Sicherheits-anforderungen, z.B. der IEC61508 (SIL-Standard 'Safety Integrity Level') zu genügen, müssen die Feldgeräte redundant und/oder diversitär ausgelegt sein.

Redundanz bedeutet erhöhte Sicherheit durch doppelte oder mehrfache Auslegung aller sicherheitsrelevanter Hard- und Software-Komponenten. Diversität bedeutet, dass die in den unterschiedlichen Messkanälen befindlichen Hardware-Komponenten, wie z.B. ein Mikroprozessor, von unterschiedlichen Herstellern stammen und/oder dass sie von unterschiedlichem Typ sind. Im Falle von Software-Komponenten erfordert die Diversität, dass die in den Mikroprozessoren gespeicherte Software aus unterschiedlichen Quellen, sprich von unterschiedlichen Herstellern bzw. Programmierern stammt. Durch alle diese Maßnahmen soll sichergestellt werden, dass ein sicherheitskritischer Ausfall des

Feldgeräts ebenso wie das Auftreten von gleichzeitig auftretenden systematischen Fehlern bei der Messwertbereitstellung mit hoher Wahrscheinlichkeit ausgeschlossen ist. Ein Beispiel für eine sicherheitsrelevante Applikation ist die Füllstands-überwachung in einem Tank, in dem eine brennbare oder auch eine nicht brennbare, dafür aber wassergefährdende Flüssigkeit gelagert ist. Hier muss sichergestellt sein, dass die Zufuhr von Flüssigkeit zu dem Tank sofort unterbrochen wird, sobald ein maximal zulässiger Füllstand erreicht ist. Dies wiederum setzt voraus, dass das Messgerät hoch zuverlässig den Füllstand detektiert und fehlerfrei arbeitet.

Zwar ist bei den bekannten Lösungen der Messkanal redundant und/oder diversitär ausgelegt, jedoch stellt der Voter, üblicherweise ein Mikroprozessor, die Achillesferse eines Feldgeräts dar, das hohen und höchsten Sicherheitsanforderungen genügen soll. Der Mikroprozessor ist monolithisch ausgestaltet. Tritt hier ein gefahrbringender Fehler (entsprechend der Nomenklatur des zuvor genannten Standards) auf, so versagt das Feldgerät. Um die Anforderungen von SIL 3 zu erfüllen, darf der Anteil der

gefahrbringenden Fehler zu der Anzahl aller möglichen Fehler bei maximal einem Prozent liegen. Mit einem herkömmlichen Mikroprozessor ist dieser Sicherheitslevel nicht zu erreichen.

Um dieses Problem zu lösen, wird in der nicht vorveröffentlichten DE 10 2012 106 652.3, angemeldet am 23.07.2012, ein Feldgerät beschrieben, dessen Voter als Mehrheitsvoter ausgestaltet ist und der drei Stufen umfasst:

eine Komparatorstufe, die die von den einzelnen Messkanälen gelieferten Ausgangssignale miteinander vergleicht;

eine Fehlererkennungsstufe, die durch geeignete Verknüpfung der

Ausgangssignale der Komparatorstufe einen in einem Messkanal auftretenden

Fehler erkennt, und

eine Ausgangsauswahlstufe. Der Inhalt der DE 10 2012 106 652.3, insbesondere im Hinblick auf die Bezugnahme auf den Voter, ist dem Offenbarungsgehalt der vorliegenden Patentanmeldung zuzurechnen. Desweiteren ist aus der nicht vorveröffentlichten DE 10 2013 100159.9, angemeldet am 09.01.2013 ein Feldgerät bekannt geworden, das die hohe Sicherheitsstufe auch im Bereich des Stromausgangsmoduls z.B. bei einem 4-20mA Zwei- oder Vier- Draht-Feldgerät erfüllt. Der entsprechende Offenbarungsgehalt ist gleichfalls zum Inhalt der vorliegenden Patentanmeldung hinzuzurechnen.

Tritt in einem der Messkanäle eine Fehlfunktion auf, so wird diese behoben, indem eine Rekonfigurationssteuerung den fehlerhaft arbeitenden Messkanal rekonfiguriert. Tritt jedoch die Fehlfunktion in der Rekonfigurationssteuerung selbst auf, so ist ein korrekt ablaufender Rekonfigurationsprozess nach Auftreten einer Fehlfunktion in einem der Messkanäle nicht mehr sichergestellt. Der Erfindung liegt die Aufgabe zugrunde, ein Feldgerät vorzuschlagen, das sich durch eine erhöhte funktionale Sicherheit auszeichnet.

Die Aufgabe wird dadurch gelöst, dass der Kontroll-/Auswerteeinheit des

erfindungsgemäßen Feldgeräts zumindest zwei redundante Rekonfigurations- Steuerungen zugeordnet sind, wobei eine der beiden redundanten

Rekonfigurationssteuerungen bei Auftreten einer Fehlfunktion in einem der Messkanäle den fehlerhaften Messkanal dynamisch oder partiell dynamisch rekonfiguriert. Durch die erfindungsgemäße Lösung wird die funktionale Sicherheit des Feldgeräts erhöht, insbesondere dann, wenn neben den Rekonfigurationssteuerungen auch die Messkanäle und der Voter redundant und/oder diversitär ausgeführt sind. Wie bereits an

vorhergehender Stelle erwähnt, ist der sichere Voter in der nicht vorveröffentlichten DE 10 2012 106 652.3, angemeldet am 23.07.2012 beschrieben.

Gemäß einer vorteilhaften Ausgestaltung des erfindungsgemäßen Feldgeräts sind zwei digitale Messkanäle und die beiden Rekonfigurationssteuerungen auf einem dynamisch rekonfigurierbaren FPGA Chip angeordnet, der aus einer Vielzahl von konfigurierbaren logischen Blöcken, den sogenannten CLB - Configurable Logic Blocks - besteht, die in einer im Wesentlichen rechtwinkligen Matrix, bestehend aus Spalten und Zeilen, angeordnet sind. Diese Struktur des FPGA Chip ist herstellerseitig vorgegeben.

Ist der FPGA Chip so ausgestaltet, dass die kleinste konfigurierbare oder

rekonfigurierbare Einheit die in einer Spalte angeordneten konfigurierbaren logischen Blöcke sind, so sind die in einer Spalte angeordneten konfigurierbaren logischen Blöcke nur gemeinsam rekonfigurierbar. Als Beispiel für einen derart ausgestalteten FPGA Chip ist der Spartan 3E FPGA zu nennen. Weiterhin ist im Zusammenhang mit dem erfindungsgemäßen Feldgerät vorgesehen, dass die konfigurierbaren logischen Blöcke des FPGA in vier Untergruppen aufgeteilt sind, die im Wesentlichen symmetrisch zueinander angeordnet sind, wobei in dem ersten Unterbereich und in dem zweiten Unterbereich zwei digitale Messkanäle angeordnet sind, und wobei in dem dritten Unterbereich und in dem vierten Unterbereich die beiden redundanten Rekonfigurationssteuerungen angeordnet sind. In Einklang mit dieser bevorzugten Anordnung enthält jede Spalte somit sowohl logische Blöcke, die einem der digitalen Messkanäle zugeordnet sind, als auch logische Blöcke, die einer der

Rekonfigurationssteuerungen zugeordnet sind.

Als Folge hiervon können der erste Unterbereich mit dem ersten digitalen Messkanal und der dritte Unterbereich mit der ersten Rekonfigurations-steuerung nur gemeinsam konfiguriert oder rekonfiguriert werden. Ebenso sind der zweite Unterbereich mit dem zweiten digitalen Messkanal und der vierte Unterbereich mit der zweiten

Rekonfigurationssteuerung nur gemeinsam konfigurierbar oder rekonfigurierbar.

Eine bevorzugte Ausgestaltung des erfindungsgemäßen Feldgeräts sieht vor, dass die Kontroll-/Auswerteeinheit so ausgestaltet ist, dass bei Auftreten einer Fehlfunktion in einem der beiden digitalen Messkanäle die Rekonfigurations-steuerung, die dem korrekt arbeitenden Messkanal zugeordnet ist, die Rekonfiguration des fehlerhaft arbeitenden Messkanals und der zugehörigen Rekonfigurationssteuerung übernimmt.

Durch die bevorzugte Anordnung der Unterbereiche ist es möglich, dass die beiden redundanten Rekonfigurationssteuerungen sich gegenseitig überwachen können.

Gemäß einer vorteilhaften Weiterbildung des erfindungsgemäßen Feldgeräts ist ein dritter Messkanäle vorgesehen, der analogbasiert in einem FPAA konfiguriert ist, wobei der dritte Messkanal bei Auftreten einer Fehlfunktion über eine der beiden redundanten Rekonfigurationssteuerungen rekonfiguriert wird.

Besonders vorteilhaft ist es in Verbindung mit dem erfindungsgemäßen Feldgerät, wenn der ersten Rekonfigurationssteuerung eine erste Speichereinheit und der zweiten Rekonfigurationssteuerung eine zweite Speichereinheit zugeordnet ist. Hierbei sind in der der ersten Rekonfigurationssteuerung zugeordneten ersten Speichereinheit zumindest die Rekonfigurationsdaten des zweiten Messkanals und der zweiten

Rekonfigurationssteuerung gespeichert sind, während in der der zweiten

Rekonfigurationssteuerung zugeordneten zweiten Speichereinheit zumindest die

Rekonfigurationsdaten des ersten Messkanals und der ersten Rekonfigurationssteuerung gespeichert sind. Mittels dieser Ausgestaltung ist jede der beiden Rekonfigurationssteuerungen in der Lage, zwei Diagnosefunktionen auszuführen. Über die beiden Diagnosefunktionen wird sichergestellt, dass der Rekonfigurationsprozess korrekt und mit der geforderten hohen Sicherheit abläuft. Im Folgenden wird etwas näher auf die beiden Diagnosefunktionen eingegangen: a) Die erste Diagnosefunktion sieht vor, dass jede der beiden

Rekonfigurationssteuerungen eine CRC Überprüfung der Speichereinheit, die der jeweils anderen Rekonfigurationssteuerung zugeordnet ist, vornimmt. Bei der Speichereinheit handelt es sich bevorzugt um einen Flash Speicher, in dem Rekonfigurationsdaten abgespeichert sind.

b) Jede Rekonfigurationssteuerung überwacht die korrekte Durchführung des

Rekonfigurationsprozesses, der von der jeweils anderen

Rekonfigurationssteuerung ausgeführt wird. Hierzu werden die

Konfigurationsdaten der entsprechenden Unterbereiche des FPGA Chips und ggf. des FPAA rückgelesen und mit den entsprechenden gespeicherten

Rekonfigurationsdaten verglichen, die in der Speichereinheit abgelegt sind, die der nicht rekonfigurierten Rekonfigurationssteuerung zugeordnet ist. Über eine entsprechende Rücklese-Funktion verfügen beispielsweise die FPGA Chips SPARTAN 3E und ANADIGM Vortex AN221 E04. Die zuvor beschriebene

Diagnosefunktion wird bevorzugt nach jedem Rekonfigurationsprozess - also ereignisgesteuert - durchgeführt.

Es versteht sich von selbst, dass die Diagnose auch in vorgegebenen periodischen oder aperiodischen Zeitabständen durchgeführt werden kann. Liefert die Überprüfung ein negatives Ergebnis, so ist vorgesehen, dass die Überwachungsfunktion eine erneute Rekonfiguration der fehlerhaft konfigurierten Unterbereiche veranlasst.

Alternativ kann ein Alarm generiert werden. Darüber hinaus wird vorgeschlagen, dass in beiden Speichereinheiten die

Rekonfigurationsdaten des dritten Messkanals gespeichert sind, der bevorzugt analogbasiert in einem oder in mehreren FPAA konfiguriert ist. Beispielsweise werden für den Messkanal MK3 vier FPAAs verwendet. Somit sind beide

Rekonfigurationssteuerungen in der Lage, den analogbasierten Messkanal im Fehlerfall zu rekonfigurieren.

Um einen vorgegebenen Sicherheitsstandard zu erfüllen - insbesondere handelt es sich hier um den Standard IEC61508 - wird vorgeschlagen, dass die einzelnen Unterbereiche des FPGA durch jeweils einen verbotenen Bereich so voneinander beabstandet sind, dass eine Temperatur- und/oder eine Spannungsänderung in einem Unterbereich keinen sicherheitskritischen Einfluss auf einen der benachbarten Unterbereiche haben/hat.

Eine vorteilhafte Ausgestaltung des erfindungsgemäßen Feldgeräts sieht vor, dass im Messbetrieb die Rekonfigurationssteuerungen in vorgegebenen oder ereignisgesteuerten Abständen überprüfen, ob die in den zugehörigen Speichereinheiten gespeicherten Rekonfigurationsdaten mit den aktuellen Konfigurationsdaten, nach denen die

entsprechenden Unterbereiche konfiguriert sind, übereinstimmen. Darüber hinaus überprüft im Messbetrieb jede Rekonfigurationssteuerung in vorgegebenen oder ereignisgesteuerten Abständen, ob die Rekonfigurationsdaten korrekt sind, die in der Speichereinheit gespeichert sind, die der jeweils anderen Rekonfigurationssteuerung zugeordnet ist.

Gemäß einer vorteilhaften Ausgestaltung des erfindungsgemäßen Feldgeräts sind dem FPGA und dem FPAA jeweils eine Konfigurationsschnittstelle zugeordnet, über die die entsprechenden Unterbereiche des FPGA bzw. der zumindest eine FPAA bei Auftreten einer Fehlfunktion rekonfiguriert werden. In diesem Zusammenhang ist desweiteren eine Steuerung vorgesehen, über die der Zugriff der Rekonfigurationssteuerungen auf die Konfigurations-schnittstelle(n) des FPGA und/oder des FPAA erfolgt.

Die Erfindung wird anhand der nachfolgenden Figuren näher erläutert. Es zeigt:

Fig. 1 : eine schematische Darstellung einer bevorzugten Ausgestaltung der Kontroll- /Auswerteeinheit des erfindungsgemäßen Feldgeräts und

Fig. 2: eine bevorzugte Ausgestaltung des FPGA, auf dem die Kontroll-/Auswerteeinheit des erfindungsgemäßen Feldgeräts angeordnet ist.

Fig. 1 zeigt eine schematische Darstellung einer bevorzugten Ausgestaltung der Kontroll- /Auswerteeinheit 9 des erfindungsgemäßen Feldgeräts. Das Feldgerät besteht aus einem Sensor S und einer Kontroll-/Auswerteeinheit 9. Die Kontroll-/Auswerteeinheit 9 weist drei redundante und/oder diversitäre Messkanäle MK1 , MK2, MK3 auf, in denen die von dem Sensor gelieferten Messwerte im Messbetrieb aufbereitet und ausgewertet werden. Im gezeigten Fall sind der erste Messkanal MK1 und der zweite Messkanal MK2 als digitale Messkanäle MK1 , MK2 auf einem FPGA Chip FPGA realisiert, während es sich bei dem dritten Messkanal MK3 um einen analogen Messkanal FPAA handelt. Der Kontroll- /Auswerteeinheit 9 sind zumindest zwei redundante Rekonfigurationssteuerungen RS zugeordnet, wobei eine der beiden redundanten Rekonfigurationssteuerungen RS bei Auftreten einer Fehlfunktion in einem der Messkanäle MK den fehlerhaften Messkanal MK dynamisch oder partiell dynamisch rekonfiguriert.

Der Kontroll-/Auswerteeinheit 9 ist ein sicherer Voter zugeordnet, wie er in der bereits genannten DE 102012106652.3 beschrieben ist. Es gibt prinzipiell zwei Möglichkeiten, einen sicheren Voter, in einem Feldgerät, das einem vorgegebenen Sicherheitsstandard genügen soll, zu implementieren: Entweder wird der sichere Voter zumindest teilweise in die Kontroll-/Auswerteeinheit 9 integriert, oder der sichere Voter ist integraler Teil eines sicheren Stromausgangsmoduls, wie es in der bereits zuvor genannten DE 10 2013 100159.9 beschrieben ist.

In Fig. 1 ist der Fall dargestellt, dass der sichere Voter in der Kontroll-/Auswerteeinheit 9 implementiert ist, wobei zumindest einzelne Komponenten des sicheren Voters unmittelbar in die Messkanäle MK1 , MK2, MK3 integriert sind. Insbesondere enthält jeder Messkanal MK1 , MK2, MK3 zwei Komparatoren K, die die Ausgangssignale 1 , 2 , 3 der einzelnen redundanten und/oder diversitären Messkanäle MK1 , MK2, MK3 miteinander vergleichen. Bei den Ausgangssignalen 3, die für den Vergleich über die Komparatoren K verwendet werden, handelt es sich um analoge Ausgangssignale 3, die an das in der Fig. 1 nicht gesondert dargestellte Stromausgangsmodul weitergeleitet werden. Handelt es sich um die digitalen Ausgangssignale 1 , 2 der digitalen Messkanäle MK1 , MK2, so werden diese über einen Pulsweitenmodulator PMW erzeugt, über einen Tiefpass TP gefiltert und an das nicht gesondert dargestellte Stromausgangsmodul weitergeleitet. Die Ausgangssignale 3 des analogen Messkanals MK3 liegen bereits in analoger Form vor, so dass eine Umwandlung entfallen kann. Die analogen Ausgangssignale 1 , 2, 3 werden über interne oder externe Analog-/Digital-wandler ADC digitalisiert und als digitale Ausgangssignale 1 D, 2D, 3D an die Komparatoren K des ersten und zweiten Messkanals MK1 , MK2 übergeben.

Die Ausgangssignale 1 , 2, 3 der Komparatoren K werden an die Fehlererkennungsstufen FK übergeben. Während die Fehlererkennungsstufen FK1 , FK2 in die entsprechenden Messkanäle MK1 , MK2 integriert sind, ist die Fehlererkennungsstufe FK3 des analogen Messkanale MK3 außerhalb des FPAA positioniert. Der Grund für diese Anordnung ist, dass ein AND Gatter nicht in den FPAA integriert werden kann. Es sind jeweils zwei Fehlererkennungsstufen FK jedem der Messkanäle MK1 , MK2, MK3 zugeordnet. Eine der Fehlererkennungsstufen FK überwacht jeweils die Ausgangssignale der Komparatoren K, die dem entsprechenden Messkanal MK zugeordnet sind, während die andere

Fehlererkennungsstufe FK die Komparatoren K der zwei weiteren Messkanäle MK überwacht. Die einfach ausgeführte Auswahlstufe, die dem sicheren Voter zugeordnet ist und die in der Fig. 1 nicht gesondert dargestellt ist, ist gleichfalls außerhalb des FPGA Chip FPGA angeordnet, da sie zu jedem der Messkanäle MK gehört. Nähere Information zu der Auswahlstufe ist der DE 102012106652.3 zu entnehmen.

Wird eine Fehlfunktion in einem der Messkanäle MK oder in einer der

Rekonfigurationssteuerungen RS detektiert, so wird diese Information an die korrekt arbeitende Rekonfigurationssteuerung RS übergeben, die die Rekonfiguration der fehlerhaft arbeitenden Unterbereiche 8 vornimmt.

Für die nachfolgenden Betrachtungen ist es zweckmäßig, zusätzlich zu der Darstellung in Fig. 1 auch die Darstellung des FPGA Chip FPGA in Fig. 2 zu betrachten:

Erfindungsgemäß sind zumindest zwei digitale Messkanäle MK1 , MK2 und die beiden redundanten Rekonfigurationssteuerungen RS1 , RS2 auf einem dynamisch

rekonfigurierbaren FPGA Chip FPGA angeordnet. Dem ersten digitalen Messkanal MK1 ist eine DSP zugeordnet, während dem zweiten digitalen Messkanal MK2 ein

MikroController zugeordnet ist. Der FPGA Chip FPGA besteht aus einer Vielzahl von konfigurierbaren logischen Blöcken CLB. Diese konfigurierbaren logischen Blöcke CLB sind in einer im Wesentlichen rechtwinkligen Matrix, bestehend aus Spalten SP und Zeilen ZE, angeordnet.

Der FPGA Chip FPGA ist so ausgestaltet, dass die kleinste konfigurierbare oder rekonfigurierbare Einheit die in einer Spalte SP angeordneten konfigurierbaren logischen Blöcke CLB sind. Die konfigurierbaren logischen Blöcke CLB des FPGA Chip FPGA sind in vier Untergruppen 3 aufgeteilt, die im Wesentlichen symmetrisch zueinander angeordnet sind. In dem ersten Unterbereich 8.1 und in dem zweiten Unterbereich 8.2 sind zwei digitale Messkanäle MK1 , MK2 angeordnet, während in dem dritten

Unterbereich 8.3 und in dem vierten Unterbereich 8.4 die beiden

Rekonfigurationssteuerungen RS1 , RS2 angeordnet sind. Die einzelnen Unterbereiche 8 des FPGA Chips FPGA sind durch jeweils einen verbotenen Bereich 5 so voneinander beabstandet, dass eine Temperatur- und/oder eine Spannungsänderung in einem Unterbereich 8 keinen sicherheitskritischen Einfluss auf einen der benachbarten

Unterbereiche 8 haben/hat. Infolge dieser bevorzugten Anordnung und infolge der nur spaltenweise möglichen

Rekonfiguration der konfigurierbaren logischen Blöcke CLB sind der erste Unterbereich 8.1 mit dem ersten digitalen Messkanal MK1 und der dritte Unterbereich 8.3 mit der ersten Rekonfigurationssteuerung RS1 nur gemeinsam rekonfigurierbar. Ebenso können bei Auftreten einer Fehlfunktion im zweiten Unterbereich 8.2 mit dem zweiten digitalen Messkanal MK2 oder im vierten Unterbereich 8.4 mit der zweiten Rekonfigurationssteuerung RS2 beide Unterbereiche 8.2, 8.4 nur gemeinsam

rekonfiguriert werden.

Bei Auftreten einer Fehlfunktion in einem der beiden digitalen Messkanäle MK1 , MK2 übernimmt jeweils die Rekonfigurationssteuerung RS1 ; RS2, die dem korrekt arbeitenden Messkanal MK1 ; MK2 zugeordnet ist, die Rekonfiguration des fehlerhaft arbeitenden Messkanals MK1 ; MK2 und der zugehörigen Rekonfigurationssteuerung RS1 ; RS2. Tritt die Fehlfunktion in dem dritten Messkanal MK3 auf, der im gezeigten Fall analogbasiert in einem oder mehreren - bevorzugt vier - FPAA konfiguriert ist, so wird die dynamische oder die dynamisch partielle Rekonfiguration von einer der beiden redundanten

Rekonfigurations-steuerungen RS1 , RS2 übernommen. Über die dem FPGA Chip FPGA zugeordnete Konfigurationsschnittstelle 7 werden die entsprechenden Unterbereiche 8 des FPGA Chip FPGA bei Auftreten einer Fehlfunktion rekonfiguriert. Bei einer

Fehlfunktion im FPAA erfolgt der Zugriff der Rekonfigurationssteuerung RS über die Konfigurationsschnittstelle 6. Der Zugriff der Rekonfigurationssteuerungen RS1 , RS2 auf die Rekonfigurations-schnittstellen 6, 7 wird durch eine Steuerung gesteuert, die integraler Teil der jeweiligen Rekonfigurationssteuerungen RS1 , RS2 ist. Während des Zugriffs einer Rekonfigurationssteuerung RS1 , RS2 auf die Rekonfigurations-schnittstelle 6, 7 ist der Zugriff für die jeweils andere Rekonfigurations-steuerung RS1 , RS2 gesperrt.

Zum Zwecke der Sicherheit durch Redundanz ist der ersten Rekonfigurationssteuerung RS1 eine erste Speichereinheit 4.1 und der zweiten Rekonfigurationssteuerung RS2 eine zweite Speichereinheit 4.2 zugeordnet. In der der ersten Rekonfigurationssteuerung RS1 zugeordneten ersten Speichereinheit 4.1 sind zumindest die Rekonfigurationsdaten des zweiten Messkanals MK2 und der zweiten Rekonfigurationssteuerung RS2 gespeichert. Weiterhin finden sich hier die Rekonfigurationsdaten des analogbasierten Messkanals MK3. In der der zweiten Rekonfigurationssteuerung RS2 zugeordneten zweiten

Speichereinheit 4.2 sind zumindest die Rekonfigurationsdaten des ersten Messkanals MK1 und der ersten Rekonfigurationssteuerung RS1 gespeichert. Auch hier finden sich die Rekonfigurationsdaten des dritten Messkanals MK3.

Gemäß einer ersten Diagnosefunktion überprüfen die Rekonfigurations-steuerungen RS im normalen Messbetrieb in vorgegebenen oder ereignisgesteuerten Abständen, ob die in den zugehörigen Speichereinheiten 4 gespeicherten Rekonfigurationsdaten mit den aktuellen Konfigurationsdaten, nach denen die entsprechenden Unterbereiche 8 konfiguriert sind, übereinstimmen. Treten Abweichungen auf, so wird eine

Rekonfiguration der fehlerhaften Bereiche vorgenommen.

Gemäß einer zweiten Diagnosefunktion wird im Messbetrieb jede der beiden redundanten Rekonfigurationssteuerung RS in vorgegebenen oder ereignisgesteuerten Abständen überprüft. Insbesondere wird überwacht, ob die Rekonfigurationsdaten, die in der entsprechenden der jeweils anderen Rekonfigurationssteuerung RS zugeordneten Speichereinheit 4 gespeichert sind, korrekt sind. a) Die erste Diagnosefunktion sieht vor, dass jede der beiden

Rekonfigurationssteuerungen eine CRC Überprüfung der Speichereinheit, die der jeweils anderen Rekonfigurationssteuerung zugeordnet ist, vornimmt.

b) Die zweite Diagnosefunktion stellt sicher, dass jede Rekonfigurationssteuerung RS die korrekte Durchführung des Rekonfigurationsprozesses, der von der jeweils anderen Rekonfigurationssteuerung ausgeführt wird, überwacht. Hierzu werden die Konfigurationsdaten der entsprechenden Unterbereiche 8 des FPGA Chips FPGA und ggf. des FPAA rückgelesen und mit den entsprechenden

gespeicherten Rekonfigurationsdaten verglichen, die in der Speichereinheit 4 abgelegt sind, die der nicht rekonfigurierten Rekonfigurationssteuerung RS zugeordnet ist. Die zuvor beschriebene Diagnosefunktion wird bevorzugt nach jedem Rekonfigurationsprozess - also ereignisgesteuert - durchgeführt. Es versteht sich von selbst, dass die Diagnose auch in vorgegebenen periodischen oder aperiodischen Zeitabständen durchgeführt werden kann. Liefert die

Überprüfung ein negatives Ergebnis, so ist vorgesehen, dass die

Überwachungsfunktion eine erneute Rekonfiguration der fehlerhaft

rekonfigurierten Unterbereiche veranlasst. Alternativ kann ein Alarm generiert werden.

Bezugszeichenliste

1 Ausgangssignal des Messkanals MK1

2 Ausgangssignal des Messkanals MK2

3 Ausgangssignal des Messkanals MK3

4 Speichereinheit

5 verbotener Bereich

6 Konfigurationsschnittstelle des FPAA

7 Konfigurationsschnittstelle des FPGA

8 Unterbereich

9 Kontroll-/Auswerteeinheit