DE102022106841A1 - Überwachung technischer Prozesse zur Vermeidung und Beherrschung von Ausfällen - Google Patents

Überwachung technischer Prozesse zur Vermeidung und Beherrschung von Ausfällen Download PDF

Info

Publication number
DE102022106841A1
DE102022106841A1 DE102022106841.2A DE102022106841A DE102022106841A1 DE 102022106841 A1 DE102022106841 A1 DE 102022106841A1 DE 102022106841 A DE102022106841 A DE 102022106841A DE 102022106841 A1 DE102022106841 A1 DE 102022106841A1
Authority
DE
Germany
Prior art keywords
state
representations
operating state
actual
safe
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102022106841.2A
Other languages
English (en)
Inventor
Alfred Gerlach
Günther Apel
Michael Beyer
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Tsu Ges Fuer Technik Sicherheit und Umweltschutz Mbh
Tsu Gesellschaft Fuer Technik Sicherheit und Umweltschutz Mbh
Original Assignee
Tsu Ges Fuer Technik Sicherheit und Umweltschutz Mbh
Tsu Gesellschaft Fuer Technik Sicherheit und Umweltschutz Mbh
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Tsu Ges Fuer Technik Sicherheit und Umweltschutz Mbh, Tsu Gesellschaft Fuer Technik Sicherheit und Umweltschutz Mbh filed Critical Tsu Ges Fuer Technik Sicherheit und Umweltschutz Mbh
Priority to DE102022106841.2A priority Critical patent/DE102022106841A1/de
Publication of DE102022106841A1 publication Critical patent/DE102022106841A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B23/00Testing or monitoring of control systems or parts thereof
    • G05B23/02Electric testing or monitoring
    • G05B23/0205Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
    • G05B23/0218Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterised by the fault detection method dealing with either existing or incipient faults
    • G05B23/0221Preprocessing measurements, e.g. data collection rate adjustment; Standardization of measurements; Time series or signal analysis, e.g. frequency analysis or wavelets; Trustworthiness of measurements; Indexes therefor; Measurements using easily measured parameters to estimate parameters difficult to measure; Virtual sensor creation; De-noising; Sensor fusion; Unconventional preprocessing inherently present in specific fault detection methods like PCA-based methods
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Testing And Monitoring For Control Systems (AREA)

Abstract

Verfahren (100) zur Überwachung auf sicherheitstechnisches und/oder betriebstechnisches Fehlverhalten eines technischen Prozesses (1), der von einem Automatisierungssystem (2) gesteuert wird, mit den Schritten:• es wird ein Ist-Zustandstensor (4a) ermittelt (110), der für die Prozesszustandsbeurteilung erforderliche Istwerte (3) der vom Automatisierungssystem (2) geregelten Zustandsgrößen sowie für die Prozesszustandsbeurteilung erforderliche, vom Automatisierungssystem (2) zum Zwecke der Prozesssteuerung generierte Sollwerte (3a) umfasst;• der Ist-Zustandstensor (4a) wird mit einer vorgegebenen Transfer-Funktion (5) in eine Ist-Repräsentation (6a) in einem Raum (7) überführt (120), in dem eine Bewertungsfunktion (7a) erklärt ist, die eine oder mehrere Repräsentationen (6, 6a, 6b) von Zustandstensoren (4, 4a, 4b) auf eine absolute oder vergleichende sicherheitstechnische bzw. betriebstechnische Bewertung der Betriebszustände abbildet, die durch diese Repräsentationen (6, 6a, 6b) verkörpert sind;• die Ist-Repräsentation (6a) wird unter Nutzung der Bewertungsfunktion (7a) mit einer oder mehreren Gut-Repräsentationen (6b) von Zustandstensoren (4b) verglichen (130), die jeweils bekanntermaßen sichere und/oder betriebstechnisch korrekte Betriebszustände charakterisieren;• aus dem Ergebnis (130a) des Vergleichs (130) wird ausgewertet (140), ob der aktuelle Betriebszustand ein sicherer und/oder betriebstechnisch korrekter Betriebszustand ist.

Description

  • Die Erfindung bezieht sich auf die sicherheitstechnische und/oder betriebstechnische Überwachung technischer Prozesse zum Zwecke der Vermeidung und Beherrschung von Ausfällen.
  • Stand der Technik
  • In jedem technischen System, mit dem ein technischer Prozess ausgeführt wird, kann es prinzipiell Ausfälle geben. Durch redundante Auslegung des technischen Systems kann die Wahrscheinlichkeit gleichzeitig auftretender zufälliger Ausfälle reduziert, aber nicht eliminiert werden. Weiterhin kann es auch in einem redundant ausgelegten System zu systematischen Ausfällen sowie von Ausfällen mit gemeinsamer Ursache kommen. Ein Beispiel für einen systematischen Ausfall ist der Totalverlust der Trägerrakete Ariane 5 am 4. Juni 1996, der durch eine unverändert und ungeprüft von der Vorgängerversion Ariane 4 übernommene Softwarekomponente verursacht wurde. Ein Beispiel für einen Ausfall mit gemeinsamer Ursache ist der Unfall des Fluges United Airlines 232 am 19. Juli 1989, bei dem eine explodierende Rotorscheibe eines Triebwerks alle drei redundanten Hydrauliksysteme zerstörte, so dass deren vom Hersteller des Flugzeugs für „unmöglich“ gehaltener gleichzeitiger Ausfall eintrat und das Flugzeug nicht mehr steuerbar war.
  • Somit sind in technischen Systemen unabhängig von den Maßnahmen zur Vermeidung von Ausfällen auch Maßnahmen zur Beherrschung von Ausfällen notwendig. Hierbei ist unter Beherrschung jede Maßnahme zu verstehen, die im Falle eines Ausfalls dessen nachteilige Folgen vermindert. Viele derartige Maßnahmen erfordern im Falle eines Ausfalls ein aktives Handeln und setzen insoweit eine Erkennung von Ausfällen und Fehlfunktionen voraus.
  • Die WO 2021/233 552 A1 offenbart ein Verfahren, bei dem eine redundante Steuerlogik auf der Basis eines künstlichen neuronalen Netzwerks eine Stellgröße, die von einer ersten Steuerlogik ermittelt wird, auf einem von der ersten Steuerlogik unabhängigen Weg ein zweites Mal ermittelt. Wenn hierbei zwei nicht zueinander plausible Ergebnisse entstehen, wird festgestellt, dass ein Fehler vorliegt.
  • Offenbarung der Erfindung
  • Die Erfindung stellt ein Verfahren zur Überwachung auf sicherheitstechnisches und/oder betriebstechnisches Fehlverhalten eines vorgegebenen technischen Prozesses bereit. Der vorgegebene technische Prozess wird von einem Automatisierungssystem gesteuert, das mindestens dazu ausgebildet ist, den technischen Prozess so anzusteuern, dass ein Satz von Zustandsgrößen des technischen Prozesses auf vorgegebene Sollwerte geregelt wird. Jeder Betriebszustand des technischen Prozesses ist eindeutig durch die Ausprägung von Komponenten eines Zustandstensors charakterisiert.
  • Beispiele für technische Prozesse, die sich in dieser Weise überwachen lassen, sind
    • • Fertigungsprozesse, bei denen mehrere Einzelteile zusammenmontiert werden, um so ein Endprodukt zu bilden, wie etwa die Fertigung von Fahrzeugen oder elektronischen Geräten;
    • • Produktionsprozesse, bei denen eine oder mehrere Substanzen als Edukte in eine oder mehrere Substanzen als Produkte umgewandelt werden, wie beispielsweise chemische Produktionsprozesse oder die Verhüttung von Erzen zu reinen Metallen; sowie
    • • der Betrieb von Transportsystemen für den Umschlag beliebiger Waren, Güter oder Personen, wie beispielsweise Ausbruch und geförderte Bodenschätze in einem Bergwerk, Gepäck in einem Flughafen, Container in einem Hafen oder Fahrgäste in einem Bahnsystem.
  • Im Rahmen des Verfahrens wird ein Ist-Zustandstensor ermittelt. Dieser Ist-Zustandstensor umfasst für die Prozesszustandsbeurteilung erforderliche Istwerte der vom Automatisierungssystem geregelten Zustandsgrößen sowie für die Prozesszustandsbeurteilung erforderliche, vom Automatisierungssystem zum Zwecke der Prozesssteuerung generierte Sollwerte. Hierbei kann der Begriff „für die Prozesszustandsbeurteilung erforderlich“ insbesondere beispielsweise beinhalten, dass der jeweilige Istwert bzw. Sollwert im Zustandstensor enthalten sein muss, damit der Zustandstensor den Betriebszustand des technischen Prozesses eindeutig charakterisiert. Die Sollwerte können sich auf beliebige am technischen Prozess beobachtbare Größen beziehen, wie beispielsweise Temperaturen, Drücke, Kräfte, elektrische Spannungen oder Ströme sowie Konzentrationen bestimmter Substanzen. Die Sollwerte können beispielsweise vom Automatisierungssystem an sogenannte Low-Level-Controller kommuniziert werden, damit die Low-Level-Controller dann derartige Einwirkungen auf den technischen Prozess veranlassen, dass die jeweilige Größe möglichst konstant bei dem entsprechenden Sollwert gehalten wird.
  • Der Ist-Zustandstensor wird mit einer vorgegebenen Transfer-Funktion in eine Repräsentation in einem Raum überführt, in dem eine Bewertungsfunktion erklärt ist. Diese Bewertungsfunktion bildet eine oder mehrere Repräsentationen von Zustandstensoren auf eine Bewertung der Betriebszustände ab, die durch diese Repräsentationen verkörpert sind. Hierbei bezeichnet „verkörpert sein“, dass jeder Betriebszustand durch einen Zustandstensor charakterisiert ist und dieser Zustandstensor wiederum durch die Transfer-Funktion zu einer bestimmten Repräsentation in dem Raum umgewandelt wird. Die Bewertung kann absolut sein, d.h., sich nur auf eine Repräsentation und den Betriebszustand, den diese eine Repräsentation charakterisiert, beziehen. Die Bewertung kann aber auch vergleichend sein, d.h., sich auf zwei oder mehr Repräsentationen und die Betriebszustände, die diese Repräsentationen jeweils charakterisieren, beziehen und insbesondere zahlenmäßig angeben, um wieviel die eine Repräsentation (bzw. der zugehörige Betriebszustand) besser ist als die andere Repräsentation (bzw. der zugehörige Betriebszustand). Bewertungsfunktionen, die nur eine Repräsentation als Argument haben, können bei geeignet konstruiertem Raum unmittelbar eine sicherheitstechnische bzw. betriebstechnische Beurteilung des Zustandes liefern, der auf die entsprechende Repräsentation geführt hat.
  • Die Ist-Repräsentation wird unter Nutzung der Bewertungsfunktion mit einer oder mehreren Gut-Repräsentationen von Zustandstensoren verglichen. Insbesondere kann die Ist-Repräsentation mit allen Gut-Repräsentationen aus einer vorgegebenen Menge an Gut-Repräsentationen verglichen werden. Die Gut-Repräsentationen gehören zu Zustandstensoren, die jeweils bekanntermaßen sichere und/oder betriebstechnisch korrekte Betriebszustände charakterisieren. Hierbei kann „bekanntermaßen“ beispielsweise umfassen, dass es Vergleichsobjekte in Form konkreter Repräsentationen gibt, für die bekannt ist, dass die zugehörigen Zustandstensoren sichere und/oder betriebstechnisch korrekte Betriebszustände charakterisieren. Der Begriff „bekanntermaßen“ kann jedoch auch beispielsweise umfassen, dass im Raum der Repräsentationen ein Raumgebiet bekannt ist dergestalt, dass die zu allen Repräsentationen in diesem Raumgebiet zugehörigen Zustandstensoren sichere und/oder betriebstechnisch korrekte Betriebszustände charakterisieren.
  • Aus dem Ergebnis des Vergleichs wird ausgewertet, ob der aktuelle Betriebszustand ein sicherer und/oder betriebstechnisch korrekter Betriebszustand ist. Sofern dies nicht der Fall ist, kann in beliebiger im Kontext des jeweiligen technischen Prozesses angemessener Weise hierauf reagiert werden.
  • In Antwort auf die Feststellung, dass der aktuelle Betriebszustand kein sicherer, bzw. kein betriebstechnisch korrekter Betriebszustand ist, kann insbesondere beispielsweise die Energieversorgung des technischen Prozesses unterbrochen werden. Zu diesem Zweck kann die Energieversorgung des technischen Prozesses insbesondere beispielsweise über eine Versorgungsschaltung (etwa eine Relaisschaltung) geführt sein, die die Energie nur dann durchlässt, solange ihr mit einem Haltesignal im Signalzustand „High“ der Gut-Zustand signalisiert wird („Totmannschaltung“). Zum Unterbrechen der Energieversorgung kann dieses Haltesignal vom Signalzustand „High“ auf den Signalzustand „Low“ geändert werden. Die Energieversorgung wird mit diesem Schaltungsaufbau auch automatisch unterbrochen, wenn die Hardware, auf der die hier vorgeschlagene Überwachung des Prozesses implementiert ist, versagt oder die Signalverbindung zwischen dieser Hardware und der Versorgungsschaltung gestört ist.
  • In weniger kritischen Anwendungen, in denen ein sofortiges Unterbrechen der Energieversorgung nicht zwingend notwendig ist, muss nicht zwangsläufig die hier beschriebene Energieabschaltung zum Einsatz kommen. Stattdessen können, je nach den Bedürfnissen der konkreten Anwendung, auch weniger einschneidende Maßnahmen ergriffen werden. Beispielsweise kann
    • • ein Alarm an einen Betreiber des technischen Prozesses ausgegeben werden; und/oder
    • • das Automatisierungssystem angewiesen werden, die Ansteuerung des technischen Prozesses so abzuändern, dass sich dessen Betriebszustand voraussichtlich in Richtung eines sicheren, bzw. eines betriebstechnisch korrekten, Betriebszustandes bewegt.
  • Welche dieser Maßnahmen jeweils angemessen sind, hängt von der konkreten Anwendung ab. So kann es beispielsweise in Anwendungen, in denen Maschinenteile oder Roboter mit elektrischen Motoren großer Leistung betrieben werden, sinnvoll sein, die Energieversorgung zu unterbrechen. Es kann parallel hierzu dann beispielsweise sinnvoll sein, eine in Wicklungen der Motoren gespeicherte magnetische Energie mit einem Entladungssystem abzuführen. Wenn hingegen beispielsweise im Rahmen eines chemischen Prozesses oder bei der Metallverarbeitung ein zu verarbeitendes Material durch ständige Wärmezufuhr flüssig gehalten werden muss, kann es sinnvoller sein, den Betriebszustand durch einen Eingriff in das Automatisierungssystem in Richtung eines sicheren, bzw. betriebstechnisch korrekten Betriebszustandes zu bewegen. Ein einfaches Abschalten der Energieversorgung könnte hingegen zur Folge haben, dass sich das Material in der verarbeitenden Anlage verfestigt und sich anschließend nur noch schwer (oder gar nicht mehr) entfernen lässt.
  • Die hier vorgeschlagene Überwachung kann insbesondere beispielsweise diversitär redundant zu einer Überwachung hinzutreten, die im Automatisierungssystem selbst vorgesehen ist. Diversitär bedeutet in diesem Kontext, dass die hier vorgeschlagene Überwachung andere Mittel verwendet als die im Automatisierungssystem selbst vorgesehene Überwachung. Beispielsweise kann das Automatisierungssystem selbst die von ihm durch entsprechende Steuer-, Stell- und/oder Regelsignale erzeugten Prozesszustände auf Plausibilität prüfen. Hiervon unabhängig können mit dem hier vorgeschlagenen Verfahren die vom Automatisierungssystem bewirkten Prozesszustände im Raum der Zustandstensoren auf Koinzidenz mit bekannten „sicheren“ Prozesszuständen überprüft werden. Redundant bedeutet, dass die vorgeschlagene Überwachung unabhängig davon funktioniert, ob die im Automatisierungssystem selbst vorgesehene Überwachung (Plausibilitätsprüfung) fehlerfrei funktioniert oder ob das Automatisierungssystem fehlerfrei funktioniert. Der besondere Vorteil der hier vorgeschlagenen Überwachung liegt in der Diversität der Redundanz, wodurch das Niveau der Sicherheit und Zuverlässigkeit stärker erhöht wird als durch die Redundanz alleine.
  • Die Zuverlässigkeit der Überwachung auf sicherheitstechnisches und/oder betriebstechnisches Fehlverhalten des technischen Prozesses kann somit insgesamt auf ein hohes Niveau gebracht werden, da die Eintrittswahrscheinlichkeit eines gleichzeitigen Versagens beider Überwachungen aufgrund von Ausfällen oder systematischen Ausfällen sowie von Ausfällen mit gemeinsamer Ursache auf ein sehr/ausreichend geringes Maß reduziert wird. Die hier vorgeschlagene Überwachung ist insbesondere in der Lage, Fehler und Ausfälle unabhängig von ihrer Verursachung rechtzeitig zu erkennen und somit zu beherrschen, unter der einzigen Voraussetzung, dass Auswirkungen dieser Fehler und Ausfälle sich in einer Veränderung des entsprechenden Prozesszustandes, der in den Ist-Zustandstensoren abgebildet wird, niederschlagen. Abhängig davon, wie schnell das Fehlverhalten erkannt werden kann, lässt sich möglicherweise sogar verhindern, dass es zu einem Ausfall eskaliert. Hätte es etwa im oben genannten Beispiel von United Airlines-Flug 232 eine Vorwarnung dahingehend gegeben, dass die Rotorscheibe des Triebwerks unrund läuft, hätte man es abschalten und den Ausfall aller Hydrauliksysteme vermeiden können.
  • In einer besonders vorteilhaften Ausgestaltung umfasst die Bewertungsfunktion ein Distanzmaß zwischen Repräsentationen im Raum der Repräsentationen. Dieses Distanzmaß kann insbesondere beispielsweise eine euklidische Distanz sein. Eine Distanz ist ein unmittelbar einsichtiges Maß für den Unterschied zwischen Gut-Repräsentationen einerseits und einer Ist-Repräsentation andererseits, der wiederum einen Unterschied zwischen den jeweiligen korrespondierenden Betriebszuständen ausdrückt.
  • Beispielsweise kann in Antwort darauf, dass die Distanz der Ist-Repräsentation zur nächst benachbarten Gut-Repräsentation einen vorgegebenen Schwellwert überschreitet, festgestellt werden, dass der aktuelle Betriebszustand kein sicherer, bzw. kein betriebstechnisch korrekter Betriebszustand ist. Mit anderen Worten, wenn sich der aktuelle Betriebszustand im Raum der Repräsentationen hinreichend anders darstellt als alles andere, was bei der fehlerfreien Ausführung des technischen Prozesses in Form von Gut-Repräsentationen gesehen wurde, ist davon auszugehen, dass der aktuelle Betriebszustand kein sicherer, bzw. kein betriebstechnisch korrekter Betriebszustand ist. Für diese Feststellung muss nur die Veränderung der Ist-Repräsentation detektiert werden. Die physische Ursache (Root-Cause), die den Anlass zu dieser Veränderung gegeben hat, muss hingegen nicht bekannt sein bzw. nicht genau diagnostiziert werden.
  • In einer besonders vorteilhaften Ausgestaltung werden die Istwerte und die Sollwerte im Ist-Zustandstensor vom Automatisierungssystem sowie von physikalischen Gebern in dem technischen Prozess bezogen. Indem auch physikalische Geber hier mitwirken, ist das Automatisierungssystem kein „Single point of failure“, der eine unrichtige Beurteilung des aktuellen Betriebszustandes als sicher, bzw. als betriebstechnisch korrekt, erzwingen kann. Wenn beispielsweise das Automatisierungssystem zur Speicherung eines bestimmten Messwerts eine Integer-Variable mit einem zu kleinen Messbereich verwendet und zu große Zahlenwerte auf den größten darstellbaren Zahlenwert gekappt werden, bekommt eine Überwachung, die als Datenquelle ausschließlich das Automatisierungssystem nutzt, die wahre Größenordnung des Messwerts gar nicht mehr zu sehen.
  • In einer weiteren vorteilhaften Ausgestaltung werden die Größenordnungen von Komponenten des Ist-Zustandstensors vor dem Überführen in die Ist-Repräsentation normiert. Hierbei können insbesondere beispielsweise Größenordnungen mehrerer solcher Komponenten aufeinander, und/oder auf eine gemeinsame vorgegebene Skala, normiert werden. Auf diese Weise kann vermieden werden, dass einzelne Komponenten des Ist-Zustandstensors allein durch die Größe ihrer Zahlenwerte gegenüber anderen Komponenten über- oder untergewichtet werden, ohne dass es hierfür einen inhaltlichen Grund gibt. Beispielsweise verkleinert die Umstellung der Einheit, in der ein Magnetfeld angegeben wird, von Gauß auf die SI-Einheit Tesla die Zahlenwerte mit einem Schlag um 4 Größenordnungen. Dies ist aber nicht gleichbedeutend damit, dass das Magnetfeld für die Beurteilung des Betriebszustandes des technischen Prozesses plötzlich im gleichen Maße weniger wichtig geworden ist.
  • In einer weiteren besonders vorteilhaften Ausgestaltung umfasst die vorgegebene Transfer-Funktion ein neuronales Netzwerk. Dieses neuronale Netzwerk kann insbesondere im bereits fertig trainierten Zustand vorliegen. Ein neuronales Netzwerk hat eine große Kraft zur Generalisierung von den für das Training verwendeten Trainingsdaten auf zuvor ungesehene Situationen. Dies ist vergleichbar damit, dass ein Fahrschüler, der im Rahmen seiner Ausbildung nur einige zehn Stunden und weniger als 1000 km hinter dem Steuer zubringt, nur einen kleinen Querschnitt der möglichen Verkehrssituationen kennenlernt. Er ist aber gleichwohl beispielsweise in der Lage, nach einer ausschließlich im Sommer absolvierten Ausbildung auch im Winter Fahrzeuge zu führen.
  • Besonders vorteilhaft ist das neuronale Netzwerk ein Feedforward-Netzwerk ohne rekurrente Anteile. Die Entscheidungen des neuronalen Netzwerks sind dann besser nachvollziehbar und überprüfbar als wenn ein und derselbe rekurrente Anteil des neuronalen Netzwerks mehrfach durchlaufen würde.
  • Besonders vorteilhaft ist das neuronale Netzwerk deterministisch implementiert ohne Ziehen von Samples aus Verteilungen. Manche neuronalen Netzwerke definieren durch ihren Zustand, insbesondere durch ihre Gewichte oder andere Parameter, statistische Verteilungen. Für die Ermittlung einer konkreten Ausgabe des neuronalen Netzwerks werden dann Samples aus diesen Verteilungen gezogen. Deterministische Implementierungen wenden weder diese Techniken noch sonstige statistische, stochastische oder randomisierte Verfahren an. Hierdurch ist sichergestellt, dass bei gleicher Parametrierung des Netzwerks und gleicher Eingabe immer die gleiche Ausgabe erhalten wird. In deterministischen Implementierungen wird insbesondere auch kein randomisierter „Drop-Out“ verwendet, der bestimmte Neuronen oder andere Verarbeitungseinheiten nach Maßgabe einer Zufallsverteilung deaktiviert. Hiervon bleibt unberührt, dass das Training des neuronalen Netzwerks mit beliebigen, auch zufällig ausgewählten Werten initialisiert werden kann.
  • In einer weiteren vorteilhaften Ausgestaltung sind in dem neuronalen Netzwerk zwischen 0 (null) und 10 (zehn) Hidden-Schichten zwischen der Eingabeschicht, die den Zustandstensor entgegennimmt, und der Ausgabeschicht, die die Repräsentation ausgibt, angeordnet. Mehr Hidden-Schichten erhöhen einerseits die Flexibilität des neuronalen Netzwerks. Andererseits sind Entscheidungen des neuronalen Netzwerks umso besser nachvollziehbar und überprüfbar, je weniger Hidden-Schichten das Netzwerk umfasst. In Anbetracht der Tatsache, dass gerade diese Nachvollziehbarkeit und Überprüfbarkeit einen besonders hohen Stellenwert einnimmt, ist eine Anzahl von zwischen 0 und 10 Hidden-Schichten, bevorzugt zwischen 0 und 3 Hidden-Schichten, ein optimaler Kompromiss.
  • In einer weiteren besonders vorteilhaften Ausgestaltung werden die Gewichte des neuronalen Netzwerks zumindest teilweise aus Vorwissen über den technischen Prozess generiert. Mit den Gewichten werden Eingaben, die Neuronen des neuronalen Netzwerks zugeführt werden, zu einer gewichteten Summe aufsummiert, die anschließend durch Anwenden einer nichtlinearen Aktivierungsfunktion zu einer Ausgabe des neuronalen Netzwerks weiterverarbeitet wird. Beim üblichen Training neuronaler Netzwerke wird das vorhandene Vorwissen mit einer Vielzahl von Trainingsbeispielen „umschrieben“, und die Gewichte des neuronalen Netzwerks werden so eingestellt, dass diese Trainingsbeispiele vom neuronalen Netzwerk möglichst auf zugehörige Soll-Ausgaben abgebildet werden. Diese Art des Trainings ist besonders gut geeignet für Vorwissen, das nicht oder nur schwer explizit fassbar und/oder formulierbar ist. Wenn jedoch Vorwissen in expliziter Form vorliegt, kann das direkte Generieren der Gewichte aus diesem Vorwissen die Leistung des neuronalen Netzwerks (insbesondere in Bezug auf die Genauigkeit bzw. Korrektheit der Ergebnisse) verbessern. Weiterhin kann ein Aufwand für das Training des neuronalen Netzwerks ganz oder teilweise eingespart werden.
  • In einer weiteren besonders vorteilhaften Ausgestaltung umfasst die Repräsentation eines Zustandstensors ein Gütemaß in Bezug auf die sicherheitstechnische und/oder betriebstechnische Korrektheit des durch den Zustandstensor charakterisierten Betriebszustandes. Die Transfer-Funktion ist also dazu ausgebildet und/oder trainiert, den Prozesszustand, der durch den Zustandstensor eindeutig charakterisiert ist, in einen Raum abzubilden, in dem die sicherheitstechnische und/oder betriebstechnische Korrektheit für die Bewertungsfunktion evidenter ist. In der Folge kann eine Bewertungsfunktion aufgestellt werden, die Repräsentationen von Betriebszuständen unmittelbar auf eine sicherheitstechnische und/oder betriebstechnische Bewertung abbildet. So kann beispielsweise die Repräsentation eines Zustandstensors verschiedene Komponenten enthalten, die jeweils die Güte in Bezug auf einen konkreten sicherheitstechnischen bzw. betriebstechnischen Aspekt, wie beispielsweise mechanische Sicherheit, elektrische Sicherheit und chemische Sicherheit, quantifizieren.
  • In einer weiteren besonders vorteilhaften Ausgestaltung werden die Gut-Repräsentationen geclustert mit dem Ziel, ein einziges Cluster sicherer bzw. betriebstechnisch korrekter Betriebszustände zu bilden. Dieses Clustern kann insbesondere unüberwacht erfolgen, also ohne Vergleich des beim Clustern erhaltenen Ergebnisses mit einem Soll-Ergebnis. Das Clustern kann beispielsweise mit „k-means-Clustering“, mit der Clusteranzahl k=1, durchgeführt werden. Im dem Cluster befinden sich dann fast alle Gut-Repräsentationen. Es ist zu erwarten, dass einige der Gut-Repräsentationen beim Clustern im Raum der Repräsentationen als Ausreißer gewertet und daher nicht in das Cluster mit aufgenommen werden. Die vorab bekannte Information, dass es sich bei allen Repräsentationen um Gut-Repräsentationen handelt, wird beim unüberwachten Clustern gerade nicht verwendet.
  • Nachdem das Cluster gebildet ist, kann für jede beliebige Ist-Repräsentation geprüft werden, ob sie Mitglied des Clusters ist. Wenn dies nicht der Fall ist, wird festgestellt, dass der aktuelle Betriebszustand kein sicherer, bzw. kein betriebstechnisch korrekter, Betriebszustand ist.
  • In einer weiteren besonders vorteilhaften Ausgestaltung wird der aktuelle Betriebszustand zusätzlich durch das Automatisierungssystem plausibilisiert. In Antwort darauf, dass der aktuelle Betriebszustand sich hierbei als nicht plausibel erweist, wird festgestellt, dass der aktuelle Betriebszustand kein sicherer, bzw. kein betriebstechnisch korrekter Betriebszustand ist. Dies ist ein möglicher Beitrag zur diversitären Redundanz bei der Überwachung auf sicherheitstechnisches und/oder betriebstechnisches Fehlverhalten des technischen Prozesses. Das Automatisierungssystem arbeitet eigenständig und prüft auf eine andere Weise als zuvor beschrieben, ob der Prozess ein sicherheitstechnisches und/oder betriebstechnisches Fehlverhalten zeigt.
  • In einer weiteren besonders vorteilhaften Ausgestaltung werden der Transfer-Funktion im zeitlich periodischen Wechsel einerseits Ist-Zustandstensoren und andererseits vorbestimmte Test-Tensoren, die keinen sicheren bzw. betriebstechnisch korrekten Zustand repräsentieren, zugeführt. Dieser zeitlich periodische Wechsel kann insbesondere beispielsweise mit einer vorbestimmten Frequenz stattfinden. Da die Test-Tensoren keinen sicheren bzw. betriebstechnisch korrekten Zustand repräsentieren, werden sie von der Transfer-Funktion auf Test-Repräsentationen abgebildet, die sich deutlich von den Gut-Repräsentationen unterscheiden. Der unter Nutzung der Bewertungsfunktion durchgeführte Vergleich der Test-Repräsentationen mit den Gut-Repräsentationen sollte also jeweils zum Ergebnis führen, dass kein sicherer bzw. betriebstechnisch korrekter Betriebszustand vorliegt. Hingegen sollte bei fehlerfreiem Betrieb der Vergleich einer Ist-Repräsentation mit den Gut-Repräsentationen jeweils zum Ergebnis führen, dass ein sicherer bzw. betriebstechnisch korrekter Betriebszustand vorliegt.
  • Das bedeutet, dass bei fehlerfreiem Betrieb des technischen Systems das Ergebnis des Vergleichs mit den Gut-Repräsentationen im Gleichtakt mit dem Wechsel zwischen Ist-Zustandstensoren und Test-Tensoren zwischen „sicherer, bzw. betriebstechnisch korrekter, Betriebszustand“ und „kein sicherer, bzw. kein betriebstechnisch korrekter, Betriebszustand“ wechseln sollte. Hiermit lässt sich eine dynamische Selbstüberwachung des gesamten Überwachungssystems, d.h. der Transfer-Funktion, der Bewertungsfunktion und der jeweiligen Hardware, auf der diese Funktionen implementiert sind, realisieren: Dann und nur dann, wenn der besagte Wechsel im Gleichtakt stattfindet, wird als Endergebnis festgestellt, dass der aktuelle Betriebszustand ein sicherer, bzw. ein betriebstechnisch korrekter, Betriebszustand ist.
  • Ein nicht fehlerfreier Betrieb des technischen Systems führt dazu, dass die Ist-Tensoren nicht mehr als auf einen sicheren, bzw. betriebstechnisch korrekten, Betriebszustand hindeutend gewertet werden, so dass der Wechsel im Gleichtakt nicht mehr stattfindet.
  • Eine falsche Auswertung der Test-Tensoren führt dazu, dass diese als auf einen sicheren, bzw. betriebstechnisch korrekten, Betriebszustand hindeutend gewertet werden. Auch dies hat zur Folge, dass der Wechsel im Gleichtakt nicht mehr stattfindet.
  • Ein Komplettausfall der Transfer-Funktion, der Bewertungsfunktion, und/oder der jeweils für die Implementierung verwendeten Hardware, führt ebenfalls dazu, dass der Wechsel im Gleichtakt nicht mehr stattfindet.
  • Die dynamische Selbstüberwachung kann beispielsweise mit einer Safety-Hardware durchgeführt werden, die mit dem Ergebnis des Vergleichs mit den Gut-Repräsentationen angesteuert wird. Die wechselweise Versorgung der Überwachungsfunktion mit Test-Tensoren und Ist-Zustandstensoren erzeugt nur bei fehlerfreiem Betrieb sowohl des technischen Systems selbst als auch der Überwachungsfunktion ein periodisch zwischen aktiviert und deaktiviert wechselndes Signal (Togglesignal), mit dem die Safety-Hardware gespeist wird. Die Safety-Hardware kann nun dazu ausgebildet sein, nur solange ein Ausgangssignal zur Einschaltung der Energieversorgung zu generieren, solange sie von dem Togglesignal angesteuert wird. Dies ist ein Stück weit analog zur Sicherheitsfahrschaltung (Sifa) von Schienenfahrzeugen, bei der der Triebfahrzeugführer ein Pedal nicht etwa dauernd gedrückt halten, sondern in regelmäßigen Abständen kurz loslassen und dann wieder drücken muss.
  • Durch die dynamische Selbstüberwachung der Transfer- und Bewertungsfunktion und ihrer Implementierung auf Hardware ist sichergestellt, dass die durch das hier vorgeschlagene Verfahren bereitgestellte diversitär redundante Überwachung auf sicherheitstechnisches und/oder betriebstechnisches Fehlverhalten nicht unbemerkt ausfallen kann. Ein solcher unbemerkter Ausfall hätte zur Folge, dass dann beispielsweise nur noch die im Automatisierungssystem selbst implementierte Überwachung in Form der Plausibilisierung wirksam wäre. Nur eine einzige wirksame Überwachung reicht jedoch als Absicherung nicht aus. Die hier vorgeschlagene dynamische Selbstüberwachung ist insbesondere für neuronale Netzwerke als Transfer-Funktionen vorteilhaft, da neuronale Netzwerke häufig auf vergleichsweise komplexer Hardware, wie etwa GPUs, implementiert werden. Derartige Hardware ist als Ausführung mit einer erhöhten Sicherheitsintegritätsstufe (Safety Integrity Level, SIL) nur gegen einen Aufpreis zu bekommen, der deutlich größer ausfällt als bei einfacherer Hardware, wie etwa einem Mikrocontroller oder einem anderen Embedded-System. Es ist daher wirtschaftlich vorteilhaft, Hardware mit einem preiswerteren SIL zu verwenden und ihrem Betrieb mit der dynamischen Selbstüberwachung zusätzlich abzusichern.
  • Das hier beschriebene Verfahren verwendet für den Übergang von Zustandstensoren in den Raum der Repräsentationen eine Transfer-Funktion. Diese Transfer-Funktion kann in einer Lernphase anhand von fehlerfreien Betriebszuständen trainiert werden und insbesondere beispielsweise als neuronales Netzwerk ausgebildet sein. Die Erfindung stellt daher auch ein Verfahren zum Trainieren einer Transfer-Funktion für den Einsatz in dem oben beschriebenen Verfahren bereit.
  • Im Rahmen dieses Verfahrens wird ein technischer Prozess, der von einem auf sicherheitlich und betriebstechnisch korrekte Funktionsweise geprüften Automatisierungssystem gesteuert wird, betrieben. Dieses Automatisierungssystem ist mindestens dazu ausgebildet, den technischen Prozess so anzusteuern, dass ein Satz von Zustandsgrößen des technischen Prozesses auf vorgegebene Sollwerte geregelt wird.
  • Während des Betriebes werden Trainings-Zustandstensoren erfasst, die den aktuellen Betriebszustand des technischen Prozesses eindeutig charakterisieren. Jeder Trainings-Zustandstensor umfasst die für die Prozesszustandsbeurteilung erforderlichen Istwerte der vom Automatisierungssystem geregelten Zustandsgrößen sowie die für die Prozesszustandsbeurteilung erforderlichen Sollwerte. In dieser Lernphase wird auf Grund der zuvor erfolgten Prüfung des Automatisierungssystems davon ausgegangen, dass der technische Prozess fehlerfrei läuft. Die erfassten Betriebszustände können also als Gut-Zustände angenommen werden.
  • Die Trainings-Zustandstensoren werden von der zu trainierenden Transfer-Funktion auf Repräsentationen abgebildet. Da die Trainings-Zustandstensoren Gut-Zustände charakterisieren, handelt es sich bei den so erzeugten Repräsentationen um Gut-Repräsentationen.
  • Mit einer vorgegebenen Kostenfunktion wird bewertet, inwieweit die Repräsentationen eine Selbstkonsistenzbedingung erfüllen und/oder die bekannte Fehlerfreiheit des Betriebes widerspiegeln. Eine Selbstkonsistenzbedingung kann beispielsweise beinhalten, dass die Repräsentationen möglichst ähnlich zueinander sind, da sie sich ja alle auf fehlerfreie Betriebszustände beziehen. Die bekannte Fehlerfreiheit kann sich beispielsweise in Repräsentationen widerspiegeln, deren Komponenten unmittelbar bestimmte Aspekte der Sicherheit und/oder betrieblichen Korrektheit des zu Grunde liegenden Betriebszustandes angeben. Die Kostenfunktion kann insbesondere Bewertungen mehrerer Aspekte, die hinsichtlich der Repräsentationen gewünscht werden, untereinander gewichten und zu einer Gesamtbewertung zusammenfassen.
  • Parameter, die das Verhalten der Transfer-Funktion charakterisieren, werden optimiert mit dem Ziel, dass bei weiterer Verarbeitung von Trainings-Zustandstensoren durch die Transfer-Funktion die Bewertung durch die Kostenfunktion voraussichtlich verbessert wird. Bei neuronalen Netzwerken als Transfer-Funktionen umfassen diese Parameter insbesondere beispielsweise die Gewichte. Der Begriff „voraussichtlich verbessert“ ist so zu verstehen, dass bei einer Optimierung im Allgemeinen nicht alle Optimierungsschritte monoton auf das gewünschte Optimierungsziel hinführen. Vielmehr erweisen sich manche Optimierungsschritte auch als „Irrwege“, die vom gewünschten Optimierungsziel wegführen. Dies wird dann aber als Feedback für die Anpassung der nächsten Optimierungsschritte genutzt.
  • Nach Abschluss des Trainings können insbesondere beispielsweise die mit den finalen Parametern der Transfer-Funktion erhaltenen Repräsentationen als Gut-Repräsentationen für das zuvor beschriebene Überwachungsverfahren festgelegt werden. Es ist dann zu erwarten, dass die Transfer-Funktion auch weitere Zustandstensoren, die fehlerfreie Betriebszustände charakterisieren, auf Repräsentationen abbildet, die zu den Gut-Repräsentationen ähnlich sind. Zustandstensoren, die fehlerhafte Betriebszustände charakterisieren, „kennt“ die Transfer-Funktion hingegen nicht. Daher ist zu erwarten, dass diese Zustandstensoren auf Repräsentationen abgebildet werden, die sich stark von den Gut-Repräsentationen unterscheiden.
  • In einer weiteren besonders vorteilhaften Ausgestaltung bewertet die Kostenfunktion zusätzlich, wie gut ein Decoder die Trainings-Zustandstensoren aus den Repräsentationen rekonstruiert, die die als Encoder fungierende Transfer-Funktion geliefert hat. Der Decoder wird ebenfalls trainiert, indem auch diejenigen Parameter, die sein Verhalten charakterisieren, optimiert werden. Die Transfer-Funktion wird dann in einer Autoencoder-Anordnung aus Encoder und Decoder trainiert. Wenn die Repräsentationen gegenüber den Zustandstensoren in ihrer Dimensionalität und damit auch in ihrem Informationsgehalt reduziert sind, „zwängt“ eine derartige Autoencoder-Anordnung die in den Zustandstensoren enthaltene Information durch diesen „Flaschenhals“ und lernt dabei, genau diejenige Information beizubehalten, die für die Rekonstruktion der ursprünglichen Zustandstensoren am wichtigsten ist. Dies ist ein generisches Training unabhängig vom konkreten Inhalt der Zustandstensoren und der Repräsentationen.
  • In einer weiteren besonders vorteilhaften Ausgestaltung wird aus der bekannten Fehlerfreiheit des Betriebes eine zusätzliche Randbedingung für die Repräsentationen abgeleitet. Die Kostenfunktion misst zusätzlich, ob diese Randbedingung erfüllt ist. Wenn beispielsweise Komponenten der Repräsentation unmittelbar zu bestimmten Aspekten der Sicherheit und/oder der betrieblichen Korrektheit von Betriebszuständen korrespondieren, kann eine solche Randbedingung beispielsweise beinhalten, dass die Repräsentationen sich alle in einem bestimmten Gebiet des Raums der Repräsentationen befinden.
  • Die hier vorgestellten Verfahren können ganz oder teilweise computerimplementiert sein. Daher bezieht sich die Erfindung auch auf ein Computerprogramm mit maschinenlesbaren Anweisungen, die, wenn sie auf einem oder mehreren Computern und/oder Compute-Instanzen ausgeführt werden, den oder die Computer bzw. Compute-Instanzen dazu veranlassen, eines der beschriebenen Verfahren auszuführen. In diesem Zusammenhang können insbesondere beispielsweise auch Embedded-Systeme, Automatisierungssysteme, speicherprogrammierbare Steuerungen, Prozessregler und andere Geräte, die für die Steuerung technischer Prozesse eingesetzt werden und zur Ausführung maschinenlesbarer Anweisungen in der Lage sind, als Computer angesehen werden. Compute-Instanzen können beispielsweise virtuelle Maschinen, Container oder andere Ausführungsumgebungen sein, die in einer Cloud für die Ausführung maschinenlesbarer Anweisungen bereitgestellt werden.
  • Ebenso bezieht sich die Erfindung auf einen maschinenlesbaren Datenträger und/oder ein Downloadprodukt mit dem Computerprogramm. Ein Downloadprodukt ist ein über ein Datennetzwerk übertragbares, d.h. von einem Benutzer des Datennetzwerks downloadbares, digitales Produkt, das beispielsweise in einem Online-Shop zum sofortigen Download feilgeboten werden kann.
  • Weiterhin können ein oder mehrere Computer und/oder Compute-Instanzen mit dem Computerprogramm, mit dem maschinenlesbaren Datenträger, und/oder mit dem Downloadprodukt, ausgerüstet sein.
  • Spezieller Beschreibungsteil
  • Nachfolgend wird der Gegenstand der Erfindung anhand von Figuren erläutert, ohne dass der Gegenstand der Erfindung hierdurch beschränkt wird. Es ist gezeigt:
    • 1: Ausführungsbeispiel des Verfahrens 100 zur Überwachung auf sicherheitstechnisches und/oder betriebstechnisches Fehlverhalten eines technischen Prozesses 1;
    • 2: Beispielhaftes Szenario für eine Anwendung des Verfahrens 100;
    • 3: Weiteres beispielhaftes Szenario für eine Anwendung des Verfahrens 100;
    • 4: Ausführungsbeispiel des Verfahrens 200 zum Trainieren einer Transfer-Funktion 5.
  • 1 ist ein schematisches Ablaufdiagramm eines Ausführungsbeispiels des Verfahrens 100 zur Überwachung auf sicherheitstechnisches und/oder betriebstechnisches Fehlverhalten eines technischen Prozesses 1. Der technische Prozess 1 wird von einem Automatisierungssystem 2 gesteuert, das mindestens dazu ausgebildet ist, den technischen Prozess 1 so anzusteuern, dass ein Satz von Zustandsgrößen 3 des technischen Prozesses 1 auf vorgegebene Sollwerte 3a geregelt wird.
  • In Schritt 110 wird ein Ist-Zustandstensor 4a ermittelt, der für die Prozesszustandsbeurteilung erforderliche Istwerte 3 der vom Automatisierungssystem 2 geregelten Zustandsgrößen sowie für die Prozesszustandsbeurteilung erforderliche, vom Automatisierungssystem 2 zum Zwecke der Prozesssteuerung generierte Sollwerte 3a umfasst.
  • In Schritt 120 wird der Ist-Zustandstensor 4a mit einer vorgegebenen Transfer-Funktion 5 in eine Ist-Repräsentation 6a in einem Raum 7 überführt, in dem eine Bewertungsfunktion 7a erklärt ist.
  • In Schritt 130 wird die Ist-Repräsentation 6a unter Nutzung der Bewertungsfunktion 7a mit einer oder mehreren Gut-Repräsentationen 6b von Zustandstensoren 4b verglichen, die jeweils bekanntermaßen sichere und/oder betriebstechnisch korrekte Betriebszustände charakterisieren.
  • In Schritt 140 wird aus dem Ergebnis 130a des Vergleichs 130 ausgewertet, ob der aktuelle Betriebszustand ein sicherer und/oder betriebstechnisch korrekter Betriebszustand ist (OK) oder nicht („nicht OK“ = NOK).
  • Gemäß Block 111 können die Istwerte 3 und die Sollwerte 3a im Ist-Zustandstensor 4a vom Automatisierungssystem 2 sowie von physikalischen Gebern in dem technischen Prozess 1 bezogen werden.
  • Gemäß Block 112 können die Größenordnungen von Komponenten des Ist-Zustandstensors 4a vor dem Überführen in die Ist-Repräsentation 6a normiert werden.
  • Gemäß Block 121 kann die vorgegebene Transfer-Funktion 5 ein neuronales Netzwerk umfassen. Gemäß Block 121a können dann die Gewichte des neuronalen Netzwerks zumindest teilweise aus Vorwissen über den technischen Prozess 1 generiert werden.
  • Gemäß Block 122 kann die Repräsentation 6, 6a, 6b eines Zustandstensors 4, 4a, 4b ein Gütemaß in Bezug auf die sicherheitstechnische und/oder betriebstechnische Korrektheit des durch den Zustandstensor 4, 4a, 4b charakterisierten Betriebszustandes umfassen. Das heißt, der Raum 7 der Repräsentationen 6, 6a, 6b kann von vornherein so gewählt werden, dass in diesem Raum 7 Unterschiede hinsichtlich der sicherheitstechnischen und/oder betriebstechnischen Korrektheit deutlicher zu Tage treten, so wie in einem Frequenzraum Unterschiede bezüglich der spektralen Zusammensetzung eines Signals deutlicher zu Tage treten.
  • Gemäß Block 123 kann die Bewertungsfunktion 7a ein Distanzmaß zwischen Repräsentationen 6, 6a, 6b im Raum 7 der Repräsentationen 6, 6a, 6b umfassen. Es kann dann gemäß Block 133 geprüft werden, ob die Distanz der Ist-Repräsentation 6a zur nächst benachbarten Gut-Repräsentation 6b einen vorgegebenen Schwellwert überschreitet. Wenn dies der Fall ist (Wahrheitswert 1), kann gemäß Block 149 festgestellt werden, dass der aktuelle Betriebszustand kein sicherer, bzw. kein betriebstechnisch korrekter, Betriebszustand ist („nicht OK“ = NOK).
  • Gemäß Block 131 können Gut-Repräsentationen 6b geclustert werden mit dem Ziel, ein einziges Cluster sicherer bzw. betriebstechnisch korrekter Betriebszustände zu bilden. Es kann dann gemäß Block 132 geprüft werden, ob die Ist-Repräsentation 6a Mitglied dieses Clusters ist. Wenn dies nicht der Fall ist (Wahrheitswert 0), kann gemäß Block 141 festgestellt werden, dass der aktuelle Betriebszustand kein sicherer, bzw. kein betriebstechnisch korrekter, Betriebszustand ist („nicht OK“ = NOK).
  • Gemäß Block 142 kann der aktuelle Betriebszustand zusätzlich durch das Automatisierungssystem 2 plausibilisiert werden. Es kann dann gemäß Block 143 entschieden werden, ob der aktuelle Betriebszustand sich als plausibel erweist. Wenn dies nicht der Fall ist (Wahrheitswert 0), kann gemäß Block 144 festgestellt werden, dass der aktuelle Betriebszustand kein sicherer, bzw. kein betriebstechnisch korrekter, Betriebszustand ist („nicht OK“ = NOK).
  • Gemäß Block 145 können der Transfer-Funktion im zeitlich periodischen Wechsel einerseits Ist-Zustandstensoren 4a und andererseits vorgegebene Test-Tensoren 8, die keinen sicheren bzw. betriebstechnisch korrekten Zustand repräsentieren, zugeführt werden.
  • Wie zuvor erläutert, sollte bei fehlerfreiem Betrieb der Vergleich 130 einer Ist-Repräsentation mit den Gut-Repräsentationen jeweils zum Ergebnis 130a führen, dass ein sicherer bzw. betriebstechnisch korrekter Betriebszustand vorliegt. Hingegen sollte der Vergleich der Test-Repräsentationen mit den Gut-Repräsentationen jeweils zum Ergebnis führen, dass kein sicherer bzw. betriebstechnisch korrekter Betriebszustand vorliegt. Es sollte also das Ergebnis des Vergleichs mit den Gut-Repräsentationen im Gleichtakt mit dem Wechsel zwischen Ist-Zustandstensoren und Test-Tensoren zwischen „sicherer, bzw. betriebstechnisch korrekter, Betriebszustand“ und „kein sicherer, bzw. kein betriebstechnisch korrekter, Betriebszustand“ wechseln. Gemäß Block 146 kann geprüft werden, ob dieser Wechsel im Gleichtakt beim Ergebnis 130a des Vergleichs 130 tatsächlich stattfindet.
  • Wenn der Wechsel im Gleichtakt stattfindet (Wahrheitswert 1), kann gemäß Block 147 festgestellt werden, dass der aktuelle Betriebszustand ein sicherer, bzw. ein betriebstechnisch korrekter, Betriebszustand ist (OK). Andernfalls (Wahrheitswert 0) kann gemäß Block 148 festgestellt werden, dass der aktuelle Betriebszustand kein sicherer, bzw. kein betriebstechnisch korrekter, Betriebszustand ist (nicht OK = NOK). Der Betrieb ist somit, wie zuvor erläutert, dynamisch selbstüberwacht.
  • In dem in 1 gezeigten Beispiel kann in Antwort darauf, dass der aktuelle Betriebszustand kein sicherer, bzw. kein betriebstechnisch korrekter, Betriebszustand ist („nicht OK“ = NOK), in Schritt 170 die Energieversorgung des technischen Prozesses unterbrochen werden. Zu diesem Zweck kann die Energieversorgung des technischen Prozesses insbesondere beispielsweise über eine Versorgungsschaltung (etwa eine Relaisschaltung) geführt sein, die die Energie nur dann durchlässt, solange ihr mit einem Haltesignal im Signalzustand „High“ der Gut-Zustand signalisiert wird („Totmannschaltung“). Zum Unterbrechen der Energieversorgung kann dieses Haltesignal vom Signalzustand „High“ auf den Signalzustand „Low“ geändert werden. Die Energieversorgung wird mit diesem Schaltungsaufbau auch automatisch unterbrochen, wenn die Hardware, auf der die hier vorgeschlagene Überwachung des Prozesses implementiert ist, versagt oder die Signalverbindung zwischen dieser Hardware und der Versorgungsschaltung gestört ist.
  • In weniger kritischen Anwendungen, in denen ein sofortiges Unterbrechen der Energieversorgung nicht zwingend notwendig ist, muss nicht zwangsläufig die hier beschriebene Energieabschaltung zum Einsatz kommen. Stattdessen können, je nach den Bedürfnissen der konkreten Anwendung, auch weniger einschneidende Maßnahmen ergriffen werden. Beispielsweise kann
    • • in Schritt 150 ein Alarm an einen Betreiber des technischen Prozesses 1 ausgegeben werden; und/oder
    • • in Schritt 160 das Automatisierungssystem 2 angewiesen werden, die Ansteuerung des technischen Prozesses 1 so abzuändern, dass sich dessen Betriebszustand voraussichtlich in Richtung eines sicheren, bzw. eines betriebstechnisch korrekten, Betriebszustandes bewegt.
  • 2 zeigt ein beispielhaftes Szenario, in dem das Verfahren 100 eingesetzt werden kann.
  • Ein Automatisierungssystem 2, hier eine speicherprogrammierbare Steuerung (SPS), bezieht Istwerte 3 von Zustandsgrößen des technischen Prozesses 1 von einem Signalgeber 11 und steuert den technischen Prozess 1 so an, dass diese Zustandsgrößen möglichst nahe zu vorgegebenen Sollwerten 3a gehalten werden. Dabei wird der aktuelle Betriebszustand in einer Baugruppe 13 plausibilisiert. Solange der aktuelle Betriebszustand plausibel ist, wird ein Haltesignal H1 im Zustand „High“ an die Versorgungsschaltung 14 gegeben, damit diese eine Verbindung zwischen einer Energiequelle 15 und dem technischen Prozess 1 herstellt und so die Energieversorgung für den technischen Prozess 1 aktiviert lässt. Sobald der aktuelle Betriebszustand sich als nicht plausibel erweist, wird das Haltesignal H1 auf den Zustand „Low“ gesetzt und die Energieversorgung für den technischen Prozess 1 damit unterbrochen.
  • Der Signalgeber 11, das Automatisierungssystem 2 und die Baugruppe 13 bilden gemeinsam einen ersten Kanal K1 für die diversitär redundante Überwachung des technischen Prozesses 1.
  • Die Istwerte 3 der Zustandsgrößen werden parallel hierzu von zwei weiteren Signalgebern 12a und 12b erfasst und einer Transfer-Funktion 5 zugeführt, die im Rahmen des Verfahrens 100 eingesetzt wird. Diese Transfer-Funktion 5 erhält auch die Sollwerte 3a vom Automatisierungssystem 2. Die Istwerte 3 und die Sollwerte 3a bilden zusammen den zuvor diskutierten Ist-Zustandstensor 4a, der den Betriebszustand eindeutig charakterisiert und unter Nutzung der Transfer-Funktion 5 analysiert wird wie zuvor beschrieben.
  • Über einen Modulator 16 werden der Transfer-Funktion 5 im periodischen Wechsel mit den Ist-Tensoren 4a Test-Tensoren 8 zugeführt, mit einer Periode 11. Zu jedem beliebigen Zeitpunkt erhält die Transfer-Funktion 5 also immer entweder Ist-Zustandstensoren 4a mit Istwerten 3 und Sollwerten 3a oder aber Test-Tensoren 8. Die Test-Tensoren 8 beziehen sich nicht auf fehlerfreie Betriebszustände, sondern sind im Gegenteil als Beispiele für fehlerbehaftete Betriebszustände anzusehen. Die Auswertung des Ergebnisses 130a des Vergleichs 130 im Rahmen des Verfahrens 100 sollte also im Gleichtakt mit dem Wechsel zwischen Ist-Tensoren 4a und Test-Tensoren 8a zwischen „sicherer, bzw. betriebstechnisch korrekter, Betriebszustand“ und „kein sicherer, bzw. kein betriebstechnisch korrekter, Betriebszustand“ wechseln.
  • In einem Sicherheitsschaltkreis 17 wird geprüft, ob dieser Wechsel im Gleichtakt tatsächlich stattfindet. Solange dies der Fall ist, wird ein Haltesignal H2 im Zustand „High“ an die Versorgungsschaltung 14 gegeben, damit die Energieversorgung für den technischen Prozess 1 eingeschaltet bleibt. Sobald dieser Wechsel im Gleichakt ausbleibt, wird das Haltesignal H2 auf den Zustand „Low“ gesetzt und die Energieversorgung für den technischen Prozess 1 damit unterbrochen. Wie zuvor erläutert, kann der Wechsel im Gleichtakt insbesondere beispielsweise durch
    • • einen fehlerhaften Betriebszustand, der sich in entsprechenden Änderungen im Ist-Zustandstensor 4a manifestiert,
    • • eine fehlerhafte Verarbeitung der Test-Tensoren 8 sowie
    • • einen Komplettausfall der Überwachungsfunktion
    zum Erliegen gebracht werden.
  • Die Signalgeber 12a und 12b, der Modulator 16, die Transfer-Funktion 5, die nachgeschaltete, in 2 der Übersichtlichkeit halber nicht eingezeichnete Bewertungsfunktion 7 sowie die Sicherheitsschaltung 17 bilden gemeinsam einen zweiten Kanal K2 für die diversitär redundante Überwachung des technischen Prozesses 1.
  • Die Versorgungsschaltung 14 umfasst zwei Schalter 14c und 14e, die in Reihe zwischen die Energiequelle 15 und den technischen Prozess 1 geschaltet sind. Nur wenn der erste Schalter 14c mit dem Haltesignal H1 im Zustand „High“ und der zweite Schalter 14e mit dem Haltesignal H2 im Zustand „High“ jeweils in den geschlossenen Zustand geschaltet sind, ist der Stromkreis zwischen der Energiequelle 15 und dem technischen Prozess 1 insgesamt geschlossen.
  • Die Versorgungsschaltung 14 verfügt darüber hinaus auch über eine eigene Überwachung. Der Schalter 14c ist zwangsläufig mit einem Schalter 14d gekoppelt, der sich immer im zum Schalter 14c entgegengesetzten Schaltzustand befindet. Ebenso ist der Schalter 14e zwangsläufig mit einem Schalter 14f gekoppelt, der sich immer im zum Schalter 14e entgegengesetzten Schaltzustand befindet. Die Schalter 14c und 14d bilden einen ersten, dem Kanal K1 zugeordneten Teil 14a der Versorgungsschaltung 14. Die Schalter 14e und 14f bilden einen zweiten, dem Kanal K2 zugeordneten Teil 14b der Versorgungsschaltung 14.
  • Im fehlerfreien Zustand, wenn also die Schalter 14c und 14f geschlossen sind und der technische Prozess 1 mit Energie versorgt wird, sind die Schalter 14d und 14f geöffnet.
  • Wenn der Schalter 14c geöffnet ist, also auf Grund eines mit dem Kanal K1 festgestellten Fehlers die Energieversorgung des technischen Prozesses 1 unterbrochen ist, schließt der Schalter 14d und schaltet eine Spannung von einer Gleichspanungsquelle U= auf einen Eingang Ader Signalgeber 12a und 12b. Damit verändert sich der Ist-Zustandstensor 4a in einer Weise, wie es von keinem fehlerfreien Zustand bekannt ist, so dass schließlich auch der Kanal K2 einen Fehler feststellt.
  • Wenn der Schalter 14e geöffnet ist, also auf Grund eines mit dem Kanal K2 festgestellten Fehlers die Energieversorgung des technischen Prozesses 1 unterbrochen ist, schließt der Schalter 14f und schaltet die Spannung von der Gleichspannungsquelle U= auf den Eingang B des Signalgebers 11. Die Baugruppe 13 wird daraufhin feststellen, dass der Systemzustand nicht plausibel ist, so dass mit dem Kanal K1 ebenfalls ein Fehler festgestellt wird.
  • 3 zeigt ein weiteres beispielhaftes Szenario, in dem das Verfahren 100 eingesetzt werden kann.
  • Ein Automatisierungssystem 2 steuert einen technischen Prozess 1 durch Vorgabe von Sollwerten 3b für Zustandsgrößen, woraufhin sich Istwerte 3 dieser Zustandsgrößen einstellen. Die Istwerte 3 werden zum einen in das Automatisierungssystem 2 zurückgespielt. Zum anderen bilden sie gemeinsam mit den Sollwerten 3b den Ist-Zustandstensor 4a.
  • Gemäß Block 142 des Verfahrens 100 plausibilisiert bereits das Automatisierungssystem 2 den Betriebszustand des technischen Prozesses 1 eigenständig. Wenn sich hierbei gemäß Block 143 der aktuelle Betriebszustand als nicht plausibel erweist, wird gemäß Block 144 festgestellt, dass der aktuelle Betriebszustand kein sicherer, bzw. kein betriebstechnisch korrekter, Betriebszustand ist („nicht OK“ = NOK).
  • Parallel hierzu wird der Ist-Zustandstensor 4a in Schritt 130 des Verfahrens 100 ausgewertet, nachdem er in die Ist-Repräsentation 6a überführt worden ist. Diese Ist-Repräsentation 6a wird unter Nutzung der Bewertungsfunktion 7a mit Gut-Repräsentationen 6b verglichen.
  • Aus dem Ergebnis 130a des Vergleichs 130 wird in Schritt 140 des Verfahrens 100 ausgewertet, ob der aktuelle Betriebszustand ein sicherer und/oder betriebstechnisch korrekter Betriebszustand ist (OK) oder nicht („nicht OK“ = NOK). Wenn das Ergebnis NOK lautet (oder die Plausibilisierung gemäß Block 144 auf dieses Ergebnis geführt hat), können Maßnahmen gemäß den im Zusammenhang mit 1 erläuterten Schritten 150, 160 und 170 ergriffen werden.
  • 4 ist ein schematisches Ablaufdiagramm eines Ausführungsbeispiels des Verfahrens 200 zum Trainieren einer Transfer-Funktion 5.
  • In Schritt 210 wird ein technischer Prozess 1, der von einem auf sicherheitlich und betriebstechnisch korrekte Funktionsweise geprüften Automatisierungssystem 2 gesteuert wird, betrieben. Das Automatisierungssystem 2 ist mindestens dazu ausgebildet ist, den technischen Prozess 1 so anzusteuern, dass ein Satz von Zustandsgrößen 3 des technischen Prozesses 1 auf vorgegebene Sollwerte 3a geregelt wird.
  • In Schritt 220 werden während des Betriebes Trainings-Zustandstensoren 4c erfasst, die den aktuellen Betriebszustand des technischen Prozesses 1 eindeutig charakterisieren.
  • In Schritt 230 werden die Trainings-Zustandstensoren 4c von der zu trainierenden Transfer-Funktion 5 auf Repräsentationen 6c abgebildet.
  • In Schritt 240 wird mit einer vorgegebenen Kostenfunktion 9 bewertet, inwieweit die so erhaltenen Repräsentationen 6c eine Selbstkonsistenzbedingung erfüllen und/oder die bekannte Fehlerfreiheit des Betriebes widerspiegeln.
  • In Schritt 250 werden Parameter 5a, die das Verhalten der Transfer-Funktion 5 charakterisieren, optimiert mit dem Ziel, dass bei weiterer Verarbeitung von Trainings-Zustandstensoren durch die Transfer-Funktion 5 die Bewertung 9a durch die Kostenfunktion 9 voraussichtlich verbessert wird. Der fertig optimierte Zustand der Parameter 5a ist mit dem Bezugszeichen 5a* bezeichnet.
  • In Schritt 260 werden die mit den finalen Parametern 5a* der Transfer-Funktion 5 erhaltenen Repräsentationen 6c als Gut-Repräsentationen 6b für das zuvor beschriebene Verfahren 100 festgelegt.
  • Gemäß Block 241 kann die Kostenfunktion 9 zusätzlich bewerten, wie gut ein Decoder die Trainings-Zustandstensoren 4c aus den Repräsentationen 6c rekonstruiert, die die als Encoder fungierende Transfer-Funktion 5 geliefert hat. Gemäß Block 242 kann dann der Decoder ebenfalls trainiert werden, indem auch diejenigen Parameter, die sein Verhalten charakterisieren, optimiert werden.
  • Gemäß Block 243 kann aus der bekannten Fehlerfreiheit des Betriebes eine zusätzliche Randbedingung für die Repräsentationen 6c abgeleitet werden. Gemäß Block 244 kann dann die die Kostenfunktion 9 zusätzlich messen, ob diese Randbedingung erfüllt ist.
  • Bezugszeichenliste
    • 1
    technischer Prozess
    2
    Automatisierungssystem
    3
    Istwerte von Zustandsgrößen des Prozesses 1
    3a
    Sollwerte von Zustandsgrößen des Prozesses 1
    4
    Zustandstensor
    4a
    Ist-Zustandstensor
    4b
    Gut-Zustandstensor
    4c
    Trainings-Zustandstensor
    5
    Transfer-Funktion, etwa neuronales Netzwerk
    5a
    Parameter, charakterisieren Verhalten der Transfer-Funktion 5
    5a*
    fertig trainierter Zustand der Parameter 5a
    6
    Repräsentation eines Zustandstensors 4
    6a
    Ist-Repräsentation des Ist-Zustandstensors 4a
    6b
    Gut-Repräsentation des Gut-Zustandstensors 4b
    6c
    Repräsentation eines Trainings-Zustandstensors 4c
    7
    Raum der Repräsentationen 6, 6a, 6b, 6c
    7a
    Bewertungsfunktion im Raum 7
    8
    Test-Tensor
    9
    Kostenfunktion für Training
    9a
    Bewertung durch Kostenfunktion 9
    11
    Signalgeber für Automatisierungssystem 2
    12a, 12b
    Signalgeber für Überwachung gemäß Verfahren 100
    13
    Baugruppe zur Prüfung der Plausibilität
    14
    Versorgungsschaltung zwischen Energiequellen 15 und Prozess 1
    14a, 14b
    Teile der Versorgungsschaltung 14
    14c-14f
    Schalter in Versorgungsschaltung 14
    15
    Energiequelle für technischen Prozess 1
    16
    Modulator für Wechsel zwischen Tensoren 4a und 8
    17
    Sicherheitsschaltkreis
    100
    Verfahren zur sicherheits-/betriebstechnischen Überwachung
    110
    Ermitteln des Ist-Zustandstensors 4a
    111
    diversitäres Beziehen von Istwerten 3 und Sollwerten 3a
    112
    Normieren der Größenordnungen von Komponenten
    120
    Bilden der Ist-Repräsentation 6a
    121
    Verwenden eines neuronalen Netzwerks als Transfer-Funktion 5
    121a
    Generieren der Gewichte des neuronalen Netzwerks aus Vorwissen
    122
    Wahl eines Raums 7, in dem Gütemaß evident wird
    123
    Wahl einer Bewertungsfunktion 7a mit Distanzmaß
    130
    Vergleichen mit Gut-Repräsentationen 6b
    130a
    Ergebnis des Vergleichs 130
    131
    Clustern der Gut-Repräsentationen 6b
    132
    Prüfen, ob Ist-Repräsentation 6a Mitglied des Clusters
    133
    Prüfen der Distanz zwischen Repräsentationen 6a, 6b
    140
    Auswerten der Bewertung des aktuellen Betriebszustandes
    141
    Feststellen, dass Betriebszustand nicht sicher/nicht korrekt
    142
    Plausibilisieren durch Automatisierungssystem 2
    143
    Entscheiden, ob aktueller Betriebszustand plausibel
    144
    Feststellen, dass Betriebszustand nicht sicher/nicht korrekt
    145
    Zuführen von Test-Tensoren 8 zur Transfer-Funktion 5
    146
    Prüfen, ob Auswertung im Gleichtakt mit Tensoren 4a, 8 wechselt
    147
    Feststellen, dass Betriebszustand sicher/nicht korrekt
    148
    Feststellen, dass Betriebszustand nicht sicher/nicht korrekt
    149
    Feststellen, dass Betriebszustand nicht sicher/nicht korrekt
    150
    Ausgeben eines Alarms
    160
    Ändern der Ansteuerung des technischen Prozesses 1
    170
    Unterbrechen der Energieversorgung des technischen Prozesses 1
    200
    Verfahren zum Trainieren einer Transfer-Funktion 5
    210
    Betreiben des technischen Prozesses 1 mit geprüfter Steuerung
    220
    Erfassen von Trainings-Zustandstensoren 4c
    230
    Erzeugen von Repräsentationen 6c aus Trainings-Zustandstensoren 4c
    240
    Bewertung der Repräsentationen 6c mit Kostenfunktion
    241
    Bewerten einer Encoder-Decoder-Anordnung durch Kostenfunktion 9
    242
    Trainieren auch des Decoders der Encoder-Decoder-Anordnung
    243
    Ableiten einer Randbedingung aus bekannter Fehlerfreiheit
    244
    Kontrolle der Randbedingung durch Kostenfunktion 9
    250
    Optimieren der Parameter 5a der Transfer-Funktion 5
    260
    Festlegen der Repräsentationen 6c als Gut-Repräsentationen 6b
    H1
    Haltesignal des Überwachungskanals K1
    H2
    Haltesignal des Überwachungskanals K2
    K1
    Überwachungskanal mit dem Automatisierungssystem 2
    K2
    Überwachungssignal mit der Transfer-Funktion 5
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • WO 2021/233552 A1 [0004]

Claims (22)

  1. Verfahren (100) zur Überwachung auf sicherheitstechnisches und/oder betriebstechnisches Fehlverhalten eines technischen Prozesses (1), der von einem Automatisierungssystem (2) gesteuert wird, wobei das Automatisierungssystem (2) mindestens dazu ausgebildet ist, den technischen Prozess (1) so anzusteuern, dass ein Satz von Zustandsgrößen (3) des technischen Prozesses (1) auf vorgegebene Sollwerte (3a) geregelt wird, wobei jeder Betriebszustand des technischen Prozesses (1) eindeutig durch die Ausprägung von Komponenten eines Zustandstensors (4) charakterisiert ist, mit den Schritten: • es wird ein Ist-Zustandstensor (4a) ermittelt (110), der für die Prozesszustandsbeurteilung erforderliche Istwerte (3) der vom Automatisierungssystem (2) geregelten Zustandsgrößen sowie für die Prozesszustandsbeurteilung erforderliche, vom Automatisierungssystem (2) zum Zwecke der Prozesssteuerung generierte Sollwerte (3a) umfasst; • der Ist-Zustandstensor (4a) wird mit einer vorgegebenen Transfer-Funktion (5) in eine Ist-Repräsentation (6a) in einem Raum (7) überführt (120), in dem eine Bewertungsfunktion (7a) erklärt ist, die eine oder mehrere Repräsentationen (6, 6a, 6b) von Zustandstensoren (4, 4a, 4b) auf eine absolute oder vergleichende sicherheitstechnische bzw. betriebstechnische Bewertung der Betriebszustände abbildet, die durch diese Repräsentationen (6, 6a, 6b) verkörpert sind; • die Ist-Repräsentation (6a) wird unter Nutzung der Bewertungsfunktion (7a) mit einer oder mehreren Gut-Repräsentationen (6b) von Zustandstensoren (4b) verglichen (130), die jeweils bekanntermaßen sichere und/oder betriebstechnisch korrekte Betriebszustände charakterisieren; • aus dem Ergebnis (130a) des Vergleichs (130) wird ausgewertet (140), ob der aktuelle Betriebszustand ein sicherer und/oder betriebstechnisch korrekter Betriebszustand ist.
  2. Verfahren (100) nach Anspruch 1, wobei die Bewertungsfunktion (7a) ein Distanzmaß zwischen Repräsentationen (6, 6a, 6b) im Raum (7) der Repräsentationen (6, 6a, 6b) umfasst (123).
  3. Verfahren (100) nach einem der Anspruch 2, wobei in Antwort darauf, dass die Distanz der Ist-Repräsentation (6a) zur nächst benachbarten Gut-Repräsentation (6b) einen vorgegebenen Schwellwert überschreitet (133), festgestellt wird (149), dass der aktuelle Betriebszustand kein sicherer, bzw. kein betriebstechnisch korrekter, Betriebszustand ist.
  4. Verfahren (100) nach einem der Ansprüche 1 bis 3, wobei die Istwerte und die Sollwerte im Ist-Zustandstensor (4a) vom Automatisierungssystem (2) sowie von physikalischen Gebern in dem technischen Prozess (1) bezogen werden (111).
  5. Verfahren (100) nach einem der Ansprüche 1 bis 4, wobei die Größenordnungen von Komponenten des Ist-Zustandstensors (4a) vor dem Überführen in die Ist-Repräsentation (6a) normiert werden (112).
  6. Verfahren (100) nach einem der Ansprüche 1 bis 5, wobei die vorgegebene Transfer-Funktion (5) ein neuronales Netzwerk umfasst (121).
  7. Verfahren (100) nach Anspruch 6, wobei das neuronale Netzwerk ein Feedforward-Netzwerk ohne rekurrente Anteile ist.
  8. Verfahren (100) nach einem der Ansprüche 6 bis 7, wobei das neuronale Netzwerk deterministisch implementiert ist ohne Ziehen von Samples aus Verteilungen.
  9. Verfahren (100) nach einem der Ansprüche 6 bis 8, wobei in dem neuronalen Netzwerk zwischen 0 (null) und 10 (zehn) Hidden-Schichten zwischen der Eingabeschicht, die den Zustandstensor (4, 4a, 4b) entgegennimmt, und der Ausgabeschicht, die die Repräsentation (6, 6a, 6b) ausgibt, angeordnet sind.
  10. Verfahren (100) nach einem der Ansprüche 6 bis 9, wobei die Gewichte des neuronalen Netzwerks zumindest teilweise aus Vorwissen über den technischen Prozess (1) generiert werden (121a).
  11. Verfahren (100) nach einem der Ansprüche 1 bis 10, wobei die Repräsentation (6, 6a, 6b) eines Zustandstensors (4, 4a, 4b) ein Gütemaß in Bezug auf die sicherheitstechnische und/oder betriebstechnische Korrektheit des durch den Zustandstensor (4, 4a, 4b) charakterisierten Betriebszustandes umfasst (122).
  12. Verfahren (100) nach einem der Ansprüche 1 bis 11, wobei • die Gut-Repräsentationen (6b) geclustert werden (131) mit dem Ziel, ein einziges Cluster sicherer bzw. betriebstechnisch korrekter Betriebszustände zu bilden, und • in Antwort darauf, dass die Ist-Repräsentation (6a) nicht Mitglied dieses Clusters ist (132), festgestellt wird (141), dass der aktuelle Betriebszustand kein sicherer, bzw. kein betriebstechnisch korrekter, Betriebszustand ist.
  13. Verfahren (100) nach einem der Ansprüche 1 bis 11, wobei der aktuelle Betriebszustand zusätzlich durch das Automatisierungssystem (2) plausibilisiert wird (142) und wobei in Antwort darauf, dass der aktuelle Betriebszustand sich hierbei als nicht plausibel erweist (143), festgestellt wird (144), dass der aktuelle Betriebszustand kein sicherer, bzw. kein betriebstechnisch korrekter, Betriebszustand ist.
  14. Verfahren (100) nach einem der Ansprüche 1 bis 13, wobei • der Transfer-Funktion (5) im zeitlich periodischen Wechsel einerseits Ist-Zustandstensoren (4a) und andererseits vorgegebene Test-Tensoren (8), die keinen sicheren bzw. betriebstechnisch korrekten Zustand repräsentieren, zugeführt werden (145); • geprüft wird (146), ob die Auswertung des Ergebnisses (130a) des Vergleichs (130) im Gleichtakt mit dem Wechsel zwischen Ist-Zustandstensoren (4a) und Test-Tensoren (8) zwischen „sicherer, bzw. betriebstechnisch korrekter, Betriebszustand“ und „kein sicherer, bzw. kein betriebstechnisch korrekter, Betriebszustand“ wechselt; und • dann und nur dann, wenn dieser Wechsel im Gleichtakt stattfindet, festgestellt wird (147), dass der aktuelle Betriebszustand ein sicherer, bzw. ein betriebstechnisch korrekter, Betriebszustand ist.
  15. Verfahren (100) nach einem der Ansprüche 1 bis 14, wobei in Antwort auf die Feststellung (140), dass der aktuelle Betriebszustand kein sicherer, bzw. kein betriebstechnisch korrekter, Betriebszustand ist, • ein Alarm an einen Betreiber des technischen Prozesses (1) ausgegeben wird (150); und/oder • das Automatisierungssystem (2) angewiesen wird (160), die Ansteuerung des technischen Prozesses (1) so abzuändern, dass sich dessen Betriebszustand voraussichtlich in Richtung eines sicheren, bzw. eines betriebstechnisch korrekten, Betriebszustandes bewegt; und/oder • die Energieversorgung des technischen Prozesses (1) unterbrochen wird (170).
  16. Verfahren (200) zum Trainieren einer Transfer-Funktion (5) für den Einsatz in dem Verfahren (100) nach einem der Ansprüche 1 bis 15 mit den Schritten: • ein technischer Prozess (1), der von einem auf sicherheitlich und betriebstechnisch korrekte Funktionsweise geprüften Automatisierungssystem (2) gesteuert wird, wird betrieben (210), wobei das Automatisierungssystem (2) mindestens dazu ausgebildet ist, den technischen Prozess (1) so anzusteuern, dass ein Satz von Zustandsgrößen (3) des technischen Prozesses (1) auf vorgegebene Sollwerte (3a) geregelt wird; • während des Betriebes werden Trainings-Zustandstensoren (4c) erfasst (220), die den aktuellen Betriebszustand des technischen Prozesses (1) eindeutig charakterisieren, wobei jeder Trainings-Zustandstensor (4c) die für die Prozesszustandsbeurteilung erforderlichen Istwerte (3) der vom Automatisierungssystem (2) geregelten Zustandsgrößen sowie die für die Prozesszustandsbeurteilung erforderlichen Sollwerte (3a) umfasst; • die Trainings-Zustandstensoren (4c) werden von der zu trainierenden Transfer-Funktion (5) auf Repräsentationen (6c) abgebildet (230); • mit einer vorgegebenen Kostenfunktion (9) wird bewertet (240), inwieweit die so erhaltenen Repräsentationen (6c) eine Selbstkonsistenzbedingung erfüllen und/oder die bekannte Fehlerfreiheit des Betriebes widerspiegeln; • Parameter (5a), die das Verhalten der Transfer-Funktion (5) charakterisieren, werden optimiert (250) mit dem Ziel, dass bei weiterer Verarbeitung von Trainings-Zustandstensoren (4c) durch die Transfer-Funktion (5) die Bewertung (9a) durch die Kostenfunktion (9) voraussichtlich verbessert wird.
  17. Verfahren (200) nach Anspruch 16, wobei die mit den finalen Parametern (5a*) der Transfer-Funktion (5) erhaltenen Repräsentationen (6c) als Gut-Repräsentationen (6b) für das Verfahren (100) nach einem der Ansprüche 1 bis 15 festgelegt werden (260).
  18. Verfahren (200) nach einem der Ansprüche 16 bis 17, wobei • die Kostenfunktion (9) zusätzlich bewertet (241), wie gut ein Decoder die Trainings-Zustandstensoren (4c) aus den Repräsentationen (6c) rekonstruiert, die die als Encoder fungierende Transfer-Funktion (5) geliefert hat, und • der Decoder ebenfalls trainiert wird (242), indem auch diejenigen Parameter, die sein Verhalten charakterisieren, optimiert werden.
  19. Verfahren (200) nach einem der Ansprüche 16 bis 18, wobei aus der bekannten Fehlerfreiheit des Betriebes eine zusätzliche Randbedingung für die Repräsentationen (6c) abgeleitet wird (243) und die Kostenfunktion (9) zusätzlich misst (244), ob diese Randbedingung erfüllt ist.
  20. Computerprogramm, enthaltend maschinenlesbare Anweisungen, die, wenn sie auf einem oder mehreren Computern und/oder Compute-Instanzen ausgeführt werden, den oder die Computer bzw. Compute-Instanzen dazu veranlassen, ein Verfahren (100, 200) nach einem der Ansprüche 1 bis 19 auszuführen.
  21. Maschinenlesbarer Datenträger und/oder Downloadprodukt mit dem Computerprogramm nach Anspruch 20.
  22. Ein oder mehrere Computer und/oder Compute-Instanzen mit dem Computerprogramm nach Anspruch 20, und/oder mit dem maschinenlesbaren Datenträger und/oder Downloadprodukt nach Anspruch 21.
DE102022106841.2A 2022-03-23 2022-03-23 Überwachung technischer Prozesse zur Vermeidung und Beherrschung von Ausfällen Pending DE102022106841A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102022106841.2A DE102022106841A1 (de) 2022-03-23 2022-03-23 Überwachung technischer Prozesse zur Vermeidung und Beherrschung von Ausfällen

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102022106841.2A DE102022106841A1 (de) 2022-03-23 2022-03-23 Überwachung technischer Prozesse zur Vermeidung und Beherrschung von Ausfällen

Publications (1)

Publication Number Publication Date
DE102022106841A1 true DE102022106841A1 (de) 2023-09-28

Family

ID=87930948

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102022106841.2A Pending DE102022106841A1 (de) 2022-03-23 2022-03-23 Überwachung technischer Prozesse zur Vermeidung und Beherrschung von Ausfällen

Country Status (1)

Country Link
DE (1) DE102022106841A1 (de)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2021233552A1 (de) 2020-05-22 2021-11-25 Tsu Gmbh Gesellschaft Für Technik, Sicherheit Und Umweltschutz Mbh Redundante steuerlogik für sicherheitskritische automatisierungssysteme auf der basis künstlicher neuronaler netze
DE102020208642A1 (de) 2020-07-09 2022-01-13 Robert Bosch Gesellschaft mit beschränkter Haftung Verfahren und Vorrichtung zur Anomaliedetektion in technischen Systemen

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2021233552A1 (de) 2020-05-22 2021-11-25 Tsu Gmbh Gesellschaft Für Technik, Sicherheit Und Umweltschutz Mbh Redundante steuerlogik für sicherheitskritische automatisierungssysteme auf der basis künstlicher neuronaler netze
DE102020208642A1 (de) 2020-07-09 2022-01-13 Robert Bosch Gesellschaft mit beschränkter Haftung Verfahren und Vorrichtung zur Anomaliedetektion in technischen Systemen

Similar Documents

Publication Publication Date Title
EP3605256B1 (de) System und verfahren zum überwachen des zustands eines unbemannten luftfahrzeugs
EP0966703B1 (de) Verfahren zur rechnergestützten fehleranalyse von sensoren und/oder aktoren in einem technischen system
DE19919504A1 (de) Triebwerksregler, Triebwerk und Verfahren zum Regeln eines Triebwerks
EP3079028A1 (de) Planungs- und engineering-verfahren, -software-tool und simulationswerkzeug für eine automatisierungslösung
DE10320522A1 (de) Verfahren und Vorrichtug zum Steuern eines sicherheitskritischen Prozesses
EP2422244A1 (de) Sicherheitssteuerung und verfahren zum steuern einer automatisierten anlage
DE19537694A1 (de) Verfahren zur Überwachung einer Maschine oder Anlage
EP2927819A1 (de) Verfahren zur automatischen Verarbeitung einer Anzahl von Protokolldateien eines Automatisierungssystems
WO2017153111A1 (de) Transporteinheit mit zumindest einer anlage
WO2021233552A1 (de) Redundante steuerlogik für sicherheitskritische automatisierungssysteme auf der basis künstlicher neuronaler netze
WO2024079318A1 (de) System und verfahren zur sicherheitsgerichteten überwachung einer technischen anlage
DE102022106841A1 (de) Überwachung technischer Prozesse zur Vermeidung und Beherrschung von Ausfällen
WO2021089659A1 (de) Verfahren zum ermitteln einer unzulässigen abweichung des systemverhaltens einer technischen einrichtung von einem normwertebereich
DE102012221277A1 (de) Fahrzeugsteuervorrichtung
DE102009034242A1 (de) Verfahren und Vorrichtung zum Prüfen eines Steuergeräts eines Fahrzeugs
DE102013010783A1 (de) Verfahren und Steuergerät zum Testen einer Automatisierungslösung basierend auf einer PLC-Steuerung
EP1637945B1 (de) Automatisierungssystem mit affektiver Steuerung
DE102019210344A1 (de) Verfahren zum Testen eines Systems
EP3553679A1 (de) Verfahren zur computergestützten fehlerdiagnose für ein technisches system
EP2864845A1 (de) Automatisierte rekonfiguration eines ereignisdiskreten regelkreises
DE102011076969A1 (de) Verfahren zum rechnergestützten Lernen einer Regelung und/oder Steuerung eines technischen Systems
DE102017001740A1 (de) Luftfahrzeug
WO2021089749A1 (de) Verfahren zum ermitteln einer unzulässigen abweichung des systemverhaltens einer technischen einrichtung von einem normwertebereich
WO2023274745A1 (de) Verfahren und vorrichtung zum rekonfigurieren einer systemarchitektur eines automatisiert fahrenden fahrzeugs
EP4198782A1 (de) Verfahren zum verwendungsschutz von maschinenlernmodulen sowie schutzsystem

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication