Login| Sign Up| Help| Contact|

Patent Searching and Data


Title:
METHOD FOR THE SECURE TRANSMISSION OF DATA OF A FIELD DEVICE USED IN PROCESS AUTOMATION TECHNOLOGY
Document Type and Number:
WIPO Patent Application WO/2007/042366
Kind Code:
A1
Abstract:
Disclosed is a method for securely transmitting data from a field device used in process automation technology via a field bus. According to said method, the transmission signal is detected as a control signal in the field device during the transmission. The control signal is analyzed in order to verify whether the desired data has been transmitted correctly regarding the data content or the form of the signal.

Inventors:
KILIAN MARKUS (DE)
STRUETT BERND (DE)
Application Number:
PCT/EP2006/066372
Publication Date:
April 19, 2007
Filing Date:
September 14, 2006
Export Citation:
Click for automatic bibliography generation   Help
Assignee:
ENDRESS & HAUSER GMBH & CO KG (DE)
KILIAN MARKUS (DE)
STRUETT BERND (DE)
International Classes:
H04L1/14; G05B19/418; H04L12/40
Domestic Patent References:
WO2000018064A22000-03-30
Foreign References:
DE19616753A11996-12-12
EP1245453A22002-10-02
DE19728841A11999-02-04
Attorney, Agent or Firm:
ANDRES, Angelika (PatServe Colmarer Strasse 6, Weil Am Rhein, DE)
Download PDF:
Claims:

Ansprüche

[0001] Verfahren zum sicheren Versenden von Daten von einem Feldgerät der Prozes- sautomatisierungstechnik über einen Feldbus gekennzeichnet durch folgende Verfahrenschritte: Erzeugung eines zum Versenden über den Feldbus vorgesehenen ersten Datenwerts in einem Anwendungsprogramm des Feldgeräts, Verpackung des ersten Datenwerts in ein Feldbustelegramm Umwandlung des Feldbustelegramms in einer im Feldgerät vorgesehenen Anschalteinheit in ein Sendesignal, das über den Feldbus übertragen wird, Erfassung des Sendesignals beim Versenden als Kontrollsignal mit einer im Feldgerät vorgesehenen Anschalteinheit, Analyse des Kontrollsignals im Feldgerät.

[0002] Verfahren nach Anspruch 1 wobei die Analyse des Kontrollsignals folgende weiteren Verfahrens schritten umfasst: Umwandlung des Kontrollsignal in ein Feldbustelegramm, Auslesen des im Feldbustelegramm verpackten zweiten Daten werts, Vergleich des zum Versenden vorgesehenen ersten Datenwerts mit dem tatsächlich gesendeten zweiten Datenwert.

[0003] Verfahren nach Anspruch 1 oder 2, wobei die Analyse des Kontrollsignals folgende weiteren Verfahrens schritten umfasst: Erfassen von mindestens einem Wert einer physikalischen Eigenschaften des Kontrollsignals, Vergleich des erfassten Wertes mit einem Vorgabewert.

[0004] Verfahren nach einem der vorhergehenden Ansprüche , dadurch gekennzeichnet, dass, falls bei der Analyse des Kontrollsignals Abweichungen oder Fehler auftreten, eine Fehlermeldung erzeugt wird.

[0005] Verfahren nach Anspruch einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass falls bei der Analyse der physikalischen Eigenschaften des Kontrollsignals Abweichungen auftreten, eine Anpassung der Sendesignale erfolgt, um die Abweichungen zu verringern.

[0006] Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass eine Anschalteinheit im Feldgerät vorgesehen ist.

[0007] Verfahren nach einem der Ansprüche 1-5, dadurch gekennzeichnet, dass zwei getrennte Anschalteinheiten FBSl, FB S2 im Feldgerät vorgesehen sind.

[0008] Vorrichtung zur Durchführung des Verfahrens nach einem der vorhergehenden

Ansprüche.

Description:

Beschreibung

Verfahren zum sicheren Versenden von Daten eines Feldgerätes der

Prozessautomatisierungstechnik

[0001] Die Erfindung betrifft ein Verfahren zum sicheren Versenden von Daten eines Feldgerätes der Prozessautomatisierungstechnik.

[0002] In der Prozessautomatisierungstechnik werden vielfach Feldgeräte eingesetzt, die zur Erfassung und/oder Beeinflussung von Prozess variablen dienen. Beispiele für derartige Feldgeräte sind Füllstandsmessgeräte, Massedurchflussmessgeräte, Druck- und Temperaturmessgeräte, pH- und Leitfähigkeitsmessgeräte etc., die als Sensoren die entsprechenden Prozessvariablen Füllstand, Durchfluss, Druck, Temperatur bzw. pH- Wert bzw. Leitfähigkeitswert erfassen.

[0003] Zur Beeinflussung von Prozessvariablen dienen Aktoren, die z. B. als Ventile den Durchfluss einer Flüssigkeit in einem Rohrleitungsabschnitt oder als Pumpen den Füllstand in einem Behälter steuern.

[0004] Als Feldgeräte werden auch Registriergeräte bezeichnet, die vor Ort Messdaten aufzeichnen.

[0005] Eine Vielzahl solcher Feldgeräte wird von der Fa. Endress + Hauser hergestellt und vertrieben.

[0006] In der Regel sind Feldgeräte in modernen Automatisierungsanlagen über Feldbussysteme (HART, Profibus, Foundation Fieldbus, etc.), mit übergeordneten Einheiten (z. B. Leitsysteme oder Steuereinheiten) verbunden. Diese Einheiten dienen unter anderem zur Prozesssteuerung, Prozessvisualisierung, Prozessüberwachung.

[0007] Meist sind die Feldbussysteme in Unternehmensnetzwerke integriert. Damit kann aus unterschiedlichen Bereichen eines Unternehmens auf Prozess- bzw. Feldgerätedaten zugegriffen werden.

[0008] Zur weltweiten Kommunikation können die Firmennetzwerke auch mit öffentlichen Netzwerken, z. B. dem Internet verbunden sein.

[0009] Bei der Kommunikation eines Feldgeräts mit einer übergeordneten Einheit, werden die zu versendenden Daten in einem Anwendungsprogramm des Feldgeräts erzeugt.

[0010] Bei den Daten kann es sich um Messwerte, Alarmmeldungen etc. handeln.

[0011] In einem Kommunikations-Controller werden die zu versendenden Daten in Feldbustelegramme verpackt, die gemäß dem verwendeten Feldbus spezifiziert sind. In einer Anschalteinheit (Medium Access Unit MAU) werden die Feldbustelegramme in Sendesignale umgewandelt, die den physikalischen Anforderungen des Feldbusses entsprechen.

[0012] Insbesondere bei sicherheitskritischen Anwendungen ist eine sichere und zu-

verlässige Datenübertragung notwendig.

[0013] Bei herkömmlichen Feldgeräten wird jedoch nicht geprüft, ob die im Gerät erzeugten Daten auch wirklich über den Feldbus als Sendesignale von der Anschalteinheit versendet werden.

[0014] So kann eine Alarmmeldung entweder gar nicht oder nicht entsprechend der Feldbusspezifikationen übertragen werden, so dass sie beim Empfänger nicht ankommt oder für diesen nicht lesbar ist.

[0015] Das Anwendungsprogramm geht jedoch davon aus, dass das Telegramm mit der Alarmmeldung richtig übertragen und vom Empfänger empfangen wurde. Es hat deshalb keine Veranlassung das betreffende Telegramm nochmals zu versenden.

[0016] Aufgabe der Erfindung ist es deshalb, ein Verfahren zum sicheren Versenden von Daten eines Feldgerätes der Prozessautomatisierungstechnik über einen Feldbus anzugeben, das die oben genannten Nachteile nicht aufweist, dass insbesondere Fehler bei der Datenübertragung erkennt.

[0017] Gelöst wird diese Aufgabe durch die im Anspruch 1 angegebenen Verfahrensmerkmale.

[0018] Vorteilhafte Weiterentwicklungen der Erfindung sind in den Unteransprüchen angegeben.

[0019] Die wesentliche Idee der Erfindung besteht darin, das Feldbustelegramm beim Senden nochmals im betreffenden Feldgerät als Kontrollsignal einzulesen und zu überprüfen.

[0020] Bei dieser überprüfung kann festgestellt werden, ob das Feldbustelegramm richtig gesendet wurde.

[0021] Es sind prinzipiell zwei unterschiedliche Analysenvarianten denkbar; einmal im Hinblick auf den Dateninhalt und zum anderen im Hinblick auf die Signalform.

[0022]

[0023] So wird im ersten Fall der im Kontrollsignal enthaltenen Datenwerte mit dem Datenwert, der zum Versenden bereitgestellt wurde, vergleichen. Dadurch können Fehler beim Verpacken der Daten in Feldbustelegramme bzw. Fehler bei der Signalerzeugung in der Anschalteinheit ausgeschlossen werden.

[0024] Im zweiten Fall wird das Kontrollsignal auf seine physikalischen Eigenschaften hin analysiert und mit Vorgabewerten verglichen.

[0025] Somit ist gewährleistet, dass das gesendete Signal gewisse Anforderungen der Feldbusspezifikation hinsichtlich der Signalform erfüllt.

[0026] Werden diese Anforderungen nicht erfüllt, so kann durch eine entsprechende Nachregelung, das Sendesignal wieder angepasst werden.

[0027] Dadurch kann sichergestellt werden, dass das Feldbustelegramm als „sauberes"

Signal, das den Feldbusspezifikationen entspricht, übertragen worden. Somit muss das

Signal auch beim Empfänger prinzipiell empfangbar und damit auch lesbar sein.

[0028] Falls Fehler bei der physikalischen Signalerzeugung oder beim Verpacken der

Daten auftreten und diese festgestellt werden, wird eine entsprechende Fehlermeldung erzeugt und z. B. an das Leitsystem gesendet.

[0029] Erfindungsgemäß sind zwei Anschalteinheiten im Feldgerät vorgesehen, die identisch aufgebaut sind.

[0030] In einer einfacheren Ausgestaltung der Erfindung ist nur eine einzige Anschalteinheit vorhersehen.

[0031] Nachfolgend ist die Erfindung anhand eines in der Zeichnung dargestellten Ausführungsbeispiels näher erläutert.

[0032] Es zeigen:

[0033] Fig. 1 Netzwerk der Automatisierungstechnik in

[0034] schematischer Darstellung;

[0035] Fig.2 Blockschaltbild eines erfindungsgemäßen Feldgerätes;

[0036] Fig. 3 Flussdiagramm der einzelnen Verfahrensschritten des

[0037] erfindungsgemäßen Verfahrens.

[0038]

[0039] In Fig. 1 ist ein Netzwerk der Automatisierungstechnik näher dargestellt. An einem Datenbus Dl sind mehrere Rechnereinheiten in kleinere Workstations WSl, WS2, angeschlossen. Diese Rechnereinheiten dienen als übergeordnete Einheiten (Leitsysteme bzw. Steuereinheiten), unter anderem zur Prozess Visualisierung, Prozessüberwachung und zum Engineering sowie zum Bedienen und überwachen von Feldgeräten. Der Datenbus Dl arbeitet z. B. nach dem Profibus DP-Standard oder nach dem HSE (High Speed Ethernet)-Standard der Foundation Fieldbus.

[0040] über ein Gateway Gl, das auch als Linking Device oder auch als Segment- Koppler bezeichnet wird, ist der Datenbus Dl mit einem Feldbus-Segment SMl verbunden. Das Feldbus-Segment SMl besteht aus mehreren Feldgeräten Fl, F2, F3, F4, die über einen Feldbus FB miteinander verbunden sind. Bei den Feldgeräten Fl, F2, F3, F4 kann es sich sowohl um Sensoren oder um Aktoren handeln. Der Feldbus FB arbeitet entsprechend nach einem der bekannten Feldbusstandards Profibus, Foundation Fieldbus oder HART.

[0041] In Fig. 2 ist ein Blockschaltbild eines erfindungsgemäßen Feldgerätes z. B. Fl näher dargestellt. Eine Mikroprozessor μP ist zur Messwertverarbeitung über einen Analog-Digital-Wandler A/D und einen Verstärker V mit einem Messaufnehmer MA verbunden, der eine Prozessvariable (z. B. Druck, Durchfluss oder Füllstand) erfasst. Der Mikroprozessor μP ist mit mehreren Speichern verbunden. Der Speicher VM dient als temporärer (flüchtiger) Arbeitspeicher RAM. Ein weitere Speicher EPROM oder Flash-Speicher FLASH dient als Speicher für das im Mikroprozessor μP aus-

zuführende Anwendungsprogramm. In einem nichtflüchtigen beschreibbaren Datenspeicher NVM z. B. EEPROM- Speicher werden Parameterwerte (z. B. Kalibrierdaten etc.) abgespeichert.

[0042] Das im Mikroprozessor μP ausgeführte Anwendungsprogramm definiert die einzelnen Funktionalitäten des Feldgerätes (Messwertberechnung, Hüllkurvenauswertung, Linearisierung der Messwerte, Diagnoseaufgaben etc.).

[0043] Weiterhin ist der Mikroprozessor μP mit einer Anzeigebedieneinheit A/B (z. B. LCD-Anzeige mit mehreren Drucktasten) verbunden.

[0044] Zur Kommunikation mit dem Feldbus-Segment SMl ist der Mikroprozessor μP über einen Kommunikations-Controller COMl mit einer Feldbusschnittstelle FBSl, die auch als Anschalteinheit oder als MAU (Medium Attache Unit) bezeichnet wird, verbunden. Ein Netzteil NT liefert die notwendige Energie für die einzelnen Elektronikkomponenten des Feldgerätes Fl. Es kann vom Feldbus FB gespeist werden oder von einer anderen Energiequelle. Die Versorgungsleitungen für die Energieversorgung der einzelnen Komponenten im Feldgerät sind der übersichtlichkeit halber nicht eingezeichnet.

[0045] Zusätzlich zu einem herkömmlichen Feldgerät sind bei dem erfindungsgemäßen Feldgerät Fl noch ein zweiter Kommunikations-Controller COM2 und eine zweite Feldbusschnittstelle FBS2 vorgesehen, die ebenfalls mit dem Feldbus FB verbunden ist.

[0046] Nachfolgend ist das erfindungsgemäße Verfahren anhand Fig.3 näher erläutert.

[0047] In einem ersten Verfahrens schritt a wird ein Datenwert im Anwendungsprogramm, das im Mikrokontroller μP des Feldgeräts abläuft, erzeugt.

[0048] Bei diesem Datenwert kann es sich um einen Messwert oder eine Alarmmeldung handeln.

[0049] Zum Versenden über den Feldbus FB muss dieser Datenwert in ein Feldbustelegramm verpackt werden (Verfahrens schritt b). Das Feldbustelegramm besteht z. B. aus Startkennung, Adressfeld, Controlbits, dem eigentlichen Datenfeld mit dem Datenwert, Prüfbits und Endkennung.

[0050] In der Feldbusschnittstelle FBSl wird das Feldbustelegramm in ein Sendesignal umgewandelt, das den physikalischen Spezifikationen des eingesetzten Feldbusstandards entspricht bzw. entsprechen sollte (Verfahrens schritt c).

[0051] Das Sendesignal wird beim Versenden als Kontrollsignal erfasst (Verfahrens schritt d). Dies kann mit der zweiten Feldbusschnittstelle FBS2 und dem zweiten Kommunikations -Controller COM2 erfolgen. Alternativ ist auch die Erfassung des Kontrollsignals mit der Feldbusschnittstelle FBSl und dem Kommunikations-Controllers COMl denkbar, wobei dann die beiden Komponenten FBS2 und COM2 entfallen.

[0052] Anschließend erfolgt eine Analyse des Kontrollsignals im Feldgerät

(Verfahrens schritt e).

[0053] Es besteht nun die Möglichkeit das Kontrollsignal im Hinblick auf seine Signalform bzw. auf den Dateninhalt hin zu analysieren um Fehler festzustellen.

[0054] Gemäß Anspruch 2 wird das Kontrollsignal in der Feldbusschnittstelle FBS2 wieder in ein Feldbustelegramm umgewandelt und dem Kommunikations-Controller COM2 zugeführt, wo der entsprechende Dateninhalt des Telegramms als zweiter Datenwert ausgelesen wird.

[0055] Anschließend wird der tatsächlich gesendete Datenwert, der zweite Datenwert, mit dem Datenwert, der vom Anwendungsprogramm zum Versenden bereitgestellt wurde, dem ersten Datenwert, verglichen.

[0056] Dadurch kann überprüft werden, ob der erste Datenwert ordnungsgemäß über den Feldbus versendet wurde.

[0057] Stimmen die beiden Datenwerte nicht miteinander überein, so liegt eine

Fehlfunktion vor. Insbesondere bei Alarmwerten muss sichergestellt werden, dass diese auch beim Empfänger richtig ankommen.

[0058] Alternativ kann die Signalform des Kontrollsignals analysiert werden. Hierzu sind Werte für typische Signalformen entsprechend den Feldbusspezifikationen im Feldgerät abgelegt.

[0059] Bei dieser Analyse können Signaldrifts erfasst werden und geeignete Gegenmaßnahmen eingeleitet werden. Untere anderem kann die Frequenz bei einer HART- übertragung nachgeregelt werden, damit die Frequenz im spezifizierten Bereich von 1200 Hz +/- 12Hz bzw. 2200 Hz +/- 22 Hz (HART Physical Layer Spezifikation Rev 8.1) liegt.

[0060] Ebenso kann bei einem Bussystem wie z. B. Profibus oder Foundation Fieldbus die Bitzeit von 32 μsec +/- 0.9 μsec nachgeführt werden. Dadurch wird ebenfalls eine sichere Datenübertragung gewährleistet. Da die Werte für typische Signalformen der Feldbustelegramme im Feldgerät abgespeichert sind, können auch Bussysteme unterschiedlicher Art automatisch vom Feldgerät erkannt werden. Es werden die Werte der über den Feldbus übertragenen Feldbustelegramme bestimmt und mit den gespeicherten Werten verglichen. Bussysteme mit der gleichen Busphysik können aber nicht unterschieden werden.

[0061] Da mit dem erfindungsgemäßen Verfahren u. a. auch die Signalform des Kontrollsignals analysiert werden kann, können auch Signale von anderen Feldgeräten geprüft werden, ob diese in entsprechenden Toleranzen den Feldbusspezifikationen entsprechen und falls nicht wird eine entsprechende Meldung erzeugt, um den Fehler zu signalisieren bzw. um Gegenmaßnahmen einleiten zu können.

[0062] In einer einfacheren Ausgestaltung der Erfindung erfolgt das Senden und gleichzeitige Lesen des zu versendenden Telegramms mit derselben Feldbus-

schnittsteile, d. h. das Feldgerät weist nur eine Feldbusschnittstelle FBS, gegebenenfalls kann auch auf den zweiten Kommunikations-Controller verzichtet werden, so dass ein Kommunikations-Controller COM ausreicht.

[0063] Diese Ausgestaltung der Erfindung ist zwar kostengünstiger aber sie weist dafür einige Nachteile auf. So können Fehler von Signalen, die von einem Referenzsignal oder einem Referenzelement im Kommunikations-Controller COM bzw. in der Feldbusschnittstelle abhängen nicht festgestellt werden. So bleibt eine änderung der Oszillatorfrequenz unerkannt, weil keine zweite Oszillatorfrequenz zur Verfügung steht. Dasselbe gilt auch für anderer Bauteile wie Referenzdiode etc..

[0064] Denkbar ist auch eine Variante mit einer Feldbusschnittstelle und zwei Kommunikations-Controllern. Hierdurch werden die im obigen Abschnitt genannten Nachteile wieder verringert.

[0065] Ist der Dateninhalt des Kontrollsignals falsch so kann dies z. B. durch eine störende Einkopplung verursacht worden sein. Eine Möglichkeit für solche Einkopplungen stellen z. B. die Ultraschallimpule eines Ultraschalllaufzeitmessgeräts oder die Startimpulse von Elektromotoren dar.

[0066] In der Regel treten Einkopplungen statistisch unkorreliert auf, so dass Fehlfunktionen eher selten, und wenn dann zufällig, festgestellt werden.

[0067] Regelmäßige Störungen können auf Einkopplungen hinweisen, die korreliert zu Ereignissen im Feldgerät oder anderen Feldgeräten auftreten (z. B. dem Ultraschallimpuls). Es besteht die Möglichkeit durch gezieltes Verschieben (z. B. Verzögern) des Sendezeitpunktes den Einfluss solcher Einkopplungen zu verringern. Ein solches Verschieben kann vom Feldgerät selbständig durchgeführt werden. Dadurch wird auch die Datenübertragung sicherer.

[0068] Durch die Erfindung wird ein wesentlich sicheres Versenden von Daten über einen Feldbus gewährleistet. Dies ist insbesondere für sicherheitskritische Anwendungen, die strengen Vorschriften und Auflagen, wie z. B. IEC 61508 SIL 3, genügen müssen, wichtig.