WO2013104419A1 - Unterstützung der störfallprävention einer industrieanlage mit hilfe eines fehlermodells - Google Patents

Unterstützung der störfallprävention einer industrieanlage mit hilfe eines fehlermodells Download PDF

Info

Publication number
WO2013104419A1
WO2013104419A1 PCT/EP2012/050384 EP2012050384W WO2013104419A1 WO 2013104419 A1 WO2013104419 A1 WO 2013104419A1 EP 2012050384 W EP2012050384 W EP 2012050384W WO 2013104419 A1 WO2013104419 A1 WO 2013104419A1
Authority
WO
WIPO (PCT)
Prior art keywords
plant
error
fault
parts
determined
Prior art date
Application number
PCT/EP2012/050384
Other languages
English (en)
French (fr)
Inventor
Hongwei Yang
Thomas Bierweiler
Hubert Bellm
Bernd-Markus Pfeiffer
Original Assignee
Siemens Aktiengesellschaft
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens Aktiengesellschaft filed Critical Siemens Aktiengesellschaft
Priority to PCT/EP2012/050384 priority Critical patent/WO2013104419A1/de
Publication of WO2013104419A1 publication Critical patent/WO2013104419A1/de

Links

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B23/00Testing or monitoring of control systems or parts thereof
    • G05B23/02Electric testing or monitoring
    • G05B23/0205Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
    • G05B23/0218Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterised by the fault detection method dealing with either existing or incipient faults
    • G05B23/0243Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterised by the fault detection method dealing with either existing or incipient faults model based detection method, e.g. first-principles knowledge model
    • G05B23/0245Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterised by the fault detection method dealing with either existing or incipient faults model based detection method, e.g. first-principles knowledge model based on a qualitative model, e.g. rule based; if-then decisions
    • G05B23/0248Causal models, e.g. fault tree; digraphs; qualitative physics
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B17/00Systems involving the use of models or simulators of said systems
    • G05B17/02Systems involving the use of models or simulators of said systems electric
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/418Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM]
    • G05B19/41885Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM] characterised by modeling, simulation of the manufacturing system
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/23Pc programming
    • G05B2219/23447Uses process simulator to develop, simulate faults, fault tree
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24085Analyze, trace fault signals according to tree, table
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24087After correct repair, update fault tree
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02PCLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
    • Y02P90/00Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
    • Y02P90/02Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]

Definitions

  • the invention relates to a method for supporting the accident prevention of an industrial plant.
  • the invention further relates to an associated device.
  • industrial plant here and in the following ⁇ refers in particular to a process engineering or procedural ⁇ technical plant in the field of the chemical industry, beverage and food technology, environmental technology, pharmaceutical or gas and oil industry.
  • Such an industrial plant usually comprises a plurality of individual, interconnected system components.
  • Typical plant components of a process or process plant are containers, reactors, pipelines, fittings, etc. These are in the course of a manufacturing process of starting materials, in particular of fluids, undergoing change / processing of the starting materials to a resulting product.
  • a plant part “reactor” includes, for example, a variety of plant components “pipe section”, “valve”, “storage tank”, etc.
  • a value or measurement value (hereinafter also referred to as a process value) of a process Para ⁇ meters thereby describes a state of the respective installations ⁇ component or to be processed in the plant component ⁇ the fluid which is normally in the course of the process ver ⁇ slich.
  • process parameters are in particular a temperature, a pressure, a flow rate speed or a corresponding mass flow of the fluid.
  • an operating parameter may also describe a setting associated with the respective system component, for example a valve position (which may then assume, for example, the values "open”, “closed”, “partially closed") or a pump power or a pump speed ,
  • process parameters mentioned above are divided into two groups, namely observable (metrologically detectable) process parameters and those that are not observable.
  • Observable process parameters are usually displayed (at least in part) on a control screen of a control room or process control room of the industrial plant.
  • the operating screen often shows a schematic, mostly simplified flow diagram of the system.
  • the operating screen passage comprises a plurality of "Bedienob ects", wherein each operating element is assigned to a plant component.
  • An operating element serves to current process values or operating data (particularly actual, set and control values of an observable process parameter) of this Anlagenkompo ⁇ component present.
  • an alarm eg graphically
  • an error case is generally a deviation from the intended operating behavior of the industrial plant or a plant component or a plant component Operating parameters which are assigned to the faulty plant component (plant component) deviate from values which correspond to an intended operating state However, they can still be within limits which were taken into account for the design or dimensioning of the plant component (the plant component).
  • fault refers to a state of the industrial plant (of a part of industrial plant or a plant component), are in which respective Be ⁇ operating parameters outside the interpretation / dimensioning of the plant relied values.
  • a fault is serious in this sense as a Error case understood, which is characterized in particular by the fact that serious, in particular health or mortal danger to people in the vicinity of the system and / or other environmental damage may occur.
  • Such a malfunction should be detected as early as possible, ideally in good time before its formation, in order to be able to take appropriate countermeasures and thus prevent the accident or further escalation.
  • a common way of reducing the risk of a malfunction of an industrial plant is to install the plant in a so-called PAAG ("Forecasting, Finding the Cause, Assessing the Effects, Countermeasures") procedure (HAZOP). "Hazard and Operability") as part of a risk assessment.
  • PAAG Forming, Finding the Cause, Assessing the Effects, Countermeasures
  • Hazard and Operability as part of a risk assessment.
  • a team of experts systematically examines all parts of the industrial plant under consideration of faulty conditions. That is, one or more desired functions for the considered part (part of the plant, process section, aggregate, apparatus, etc.) are defined, with which the intended functionality is described.
  • Leitworten yes / no, more / less, as well as, in part, different from
  • safety-relevant process parameters are then selected and monitored during operation of the system for a threshold value exceeding or exceeding predetermined thresholds, the industrial plant or at least the relevant part of the plant are switched off and / or other emergency measures initiated.
  • the invention has for its object to improve the Störfall rempliven ⁇ tion in an industrial plant.
  • the above object is achieved by the features of claim 1.
  • the method supports the accident prevention of an industrial ⁇ plant, comprising a plurality of interconnected system parts.
  • a plant part (engl. "Unit") is in particular a distinguishable from other parts of the system part of the whole plant, namely a single Anlagenkomponen ⁇ te or apparatus of the process technology related individual system components referred to.
  • “Hinkompo ⁇ component” a "atomic” Element designates the plant, which itself is no longer divisible without loss of function, such as a single valve, a single sensor, a single pump, a reservoir, etc.
  • a system formed by several such system components plant part could, for example, by a reservoir with associated level gauge , an associated inlet valve and an associated outlet valve.
  • Each of the plant components is in a relationship with the or each associated plant component which is quantified by a measured physical quantity (hereinafter also referred to as "operating or process parameter").
  • the relationship between two parts of the system is in this case detected on the one hand by measured variables which are directly assigned to one of the system parts themselves (such as a temperature or a pressure in a reactor), if this measured variable can influence or influence a measured variable which is assigned to the respective other part of the system ,
  • the relationship of two parts of the plant is detected by measured quantities which directly specify a transport process between two plant parts (for example a stream in a pipeline connecting the plant parts, which can be characterized in more detail by properties such as mass flow, concentrations of substances contained, flow velocity, etc.).
  • a relationship between two parts of the system can also be quantified by a signal flow (eg by an electrical voltage or current in a control circuit or another automation function).
  • the physical measures quantifying the relationships between two parts of the plant are preferably measured directly at the junction between these parts of the plant. In individual cases, however, such a measured variable can also be calculated from other measured quantities of the affected plant parts and / or other plant parts, in particular if no measuring point is present at the transition between two plant parts.
  • the mass flow between two parts of the system can also be calculated from the other mass inflows and mass outflows of these parts of the system assuming mass conservation.
  • an error model of the industrial plant is created in which is deposited, as an error of a single part of the plant, ie a deviation of the An ⁇ part of its intended nominal behavior, its relationship to the or each associated part of the plant affects.
  • a first condition is defined for at least one, preferably for each of the aforementioned measured variables, the fulfillment of which according to the method is recognized as an error case.
  • the condition may be selected such that even with a "harm ⁇ loose" deviation from the nominal behavior, a fault is detected, but the condition can also be selected such that only the occurrence of an accident is detected as an error.
  • Measured variable is met, so if one of the tested parameters shows a faulty anomaly. It can also be viewed from on ⁇ led indicators in the framework of the He ⁇ -making instead of the measured variable itself.
  • a setpoint (variable during the operation of the system but fixed at a particular time) is defined for at least one, preferably each of the aforementioned measured variables.
  • the determination of the respective nominal values is carried out in particular with the aid of historical data on the behavior of the plant, in particular by SOM ("Seif Organizing Maps") or PCA ("Principal Component Analysis”).
  • SOM Seif Organizing Maps
  • PCA Principal Component Analysis
  • the performance of one of the first conditions and thus an error event is detected is based on the Def ⁇ lermodells a case, the error-causing error cause it averages ⁇ .
  • a cause of the error can definitely be assigned to a different part of the plant than to the part of the plant where the error manifests itself.
  • RI flow diagram also referred to as R & I flow diagram, "pipeline and instrument flow diagram"
  • R & I flow diagram also referred to as R & I flow diagram, "pipeline and instrument flow diagram”
  • adjacent "medium ⁇ bar” denotes plant parts which are connected to each other mechanically or for signaling purposes by means of a conduit or by means of a (possibly wireless) signal line.
  • neighborhboring system components do not necessarily have to be arranged next to each other, however "system components” which are actually arranged next to one another according to their spatial arrangement are referred to as "directly” adjacent thereto.
  • a safety measure is initiated, which relates to the parts of the plant affected by the fault.
  • the plant personnel is supported by the safety measure in particular in order to avoid an accident, but at least to prevent an escalation of an accident that has already occurred.
  • Such a safety measure consists in particular in a ⁇ simplest case, an output of a warning to a Be ⁇ serving image of the industrial plant, or "on site” the output of a Warning signal in the identified as affected part of the system or determined as affected parts of the system, for example, with the help of a device located on the respective part of ⁇ measuring device.
  • the observed measured variable is determined on the basis that at least two successive points in time to a raised measured values of the measured variable, a linear or non-linear ⁇ trend function of the measured variable on the basis of the time course.
  • the occurrence of a fault is detected by comparing at least one future value of the trend function with the associated first condition, in particular by comparing the abovementioned deviation to a desired value with a first threshold value.
  • this detects particularly early on whether a potential error will occur.
  • This can advantageously be a particularly early reaction to the risk of the emergence of an accident.
  • ⁇ sondere is automated, created as an error model a directed ge ⁇ -weighted error graph of the industrial system, wherein each node of the graph represents a part of the plant or an error cause and wherein each edge of the graph represents a relationship.
  • graph in the following, in the sense of the so-called graph theory, designates a representation which represents the individual process parameters or measured quantities of the system components and connections and interactions existing between the individual measured variables of the system components associated process parameters a "node".
  • the links between the individual nodes are referred to as "edges.”
  • the edges are "directional" in that they indicate a direction of action of an associated interaction from an independent process parameter to a dependent process parameter.
  • the directed edges are represented in the graph by arrows pointing in the direction of action.
  • each edge is assigned a value representing at least the magnitude of the impact, preferably both the magnitude and magnitude of the impact.
  • each error ⁇ source node contains a directed, weighted edge to one Node or multiple nodes of the graph that corresponds to a physical plant component.
  • a currently acquired measurement value of a process parameter is determined with ⁇ means of process simulation of the plant at least one forecast value for the future development of an associated a piece of equipment concerned measured variable from a current measured value of at least one of the measured variables.
  • the simulation of the or each prediction value is expediently faster than in real time.
  • the safety measure is initiated when a predicted value of the process parameter assigned to the plant part lies outside the values for which the corresponding plant part is designed / dimensioned.
  • a specific action recommendation is issued, in particular for the type of accident.
  • the recommended action is output on a control screen of the industrial plant.
  • the text message is in particular assigned graphically to a plant part represented on the operating screen, which is assigned to the cause of the fault and / or was determined as a plant part affected by the cause of the fault. Since the operating image is often shown as a two-dimensional, simplified RI flow diagram, this advantageously makes it particularly easy for the operating personnel to see which parts of the system are affected by the fault, even if they are affected only because of their proximity to the fault-causing part of the plant can and are shown on the operating screen at a remote location to the fault causing part of the system.
  • an adjustment of at least one part of the installation is automatically changed as a safety measure in accordance with a predetermined action scheme.
  • an automatic emergency shutdown of the affected ⁇ plant part or the affected parts of the system is triggered.
  • At least one forecast value of a process parameter that is assigned to an affected part of the installation is calculated. Therefore, that change is output as a measure for which the predictive value - considered in several process parameters ⁇ a (possibly suitable weighted) average of the prediction values - is minimal, in particular below the pre-given fault limit.
  • the error model is adapted to an expected or already occurred accident. For example, in the event of a pipe break, the relationship associated with that connection may be removed from the fault model. The modified error model is then used to re-determine a cause of the error, after which again those parts of the system are determined which are or may be affected by this cause of the error.
  • the device comprises an evaluation module, which is set up to create an error model of the installation, a comparison module, which is set up to detect an error case, and a prognosis module, which is set up to determine possible effects of an error case.
  • the apparatus further comprises a reaction module, which is adapted to automatically determine ⁇ an appropriate measure for preventing a disturbance if or at least to reduce serious consequences of an accident.
  • FIG 1 in a schematic block diagram of a device for accident prevention in the industrial plant according to FIG 1 and
  • 1 shows an error model Mf of an industrial plant 2.
  • the plant 2 comprises a plurality of individual plant parts 3, each of which is formed by an aggregate of associated plant components.
  • Each contact member 3 is a (observable) ⁇ process parameter P, ie, a characte for this part of the plant 3 ⁇ teristic measure assigned.
  • a process ⁇ each parameter P associated (detected) measured value is also referred to as the process value Pw in the following (FIG 2), respectively.
  • the process parameters P are preferably detected metrologically directly at the location of the respective plant part 3.
  • ⁇ process parameters P that are not directly detectable due to lack of measurement sites, due to large expenses or for other reasons, are calculated on the basis of physical or chemical interactions and / or assumptions from other recorded by measurement metrics.
  • the error model Mf is executed here as a directed, weighted error graph of the industrial plant 2.
  • At each location ⁇ part 3 is represented in the illustration in FIG 1 by an elliptical illustrated nodes.
  • Each plant part 3 is in a relationship 4 with one or more other plant parts 3, the relationships in the defect model Mf being symbolized as arrows (edges).
  • Each relationship 4 represents a quantified influence the process parameter P of a plant component 3 on the process ⁇ parameter P of another part of the plant.
  • the relationship 4 illustrates how a change in the influencing process parameter P has an effect on the influenced process parameter P.
  • the relationship 4 may be based on various interactions between the plant parts 3. Thus, it may be in particular fluid mechanical or control technology type.
  • a fluid mechanical relation 4 is based on a Rohrlei ⁇ tung connection between these parts of the system 3. Due to this relationship 4 are typically process parameters P of the joined parts of the plant 3, such as flow ⁇ speed, pressure, temperature, mass flow and / or material concentrations of a transported between the bearing parts 3 fluid , influenced.
  • a control-technical relationship 4 is generally based on a (mechanical, pneumatic, hydraulic or electrical) control mechanism between two plant parts 3, by which - depending on the nature of the control mechanism - various process parameters P of the plant parts 3 can be influenced.
  • the error model Mf is also deposited in which direction shows an active relationship between the plant parts 3. The arrows symbolizing the relationships 4 always point to a plant part 3 acting as a cause a thereby influenced or influenced other part of the plant 3.
  • Each process parameter P is a so-called to-ordered “state", and this state as "0" or "normal” betrach ⁇ tet when a the associated process parameter P associated process value Pw in a prescribed for this
  • Scope is. If a process value Pw deviates from this validity range, the process parameter P is no longer in the normal state. The process parameter P is then assigned, for example, a "positive state” or “+” if the measured value Pw is above an upper limit of the validity range, or a “negative state” or "-” if the measured value Pw is below a lower limit of the Scope is.
  • each process ⁇ parameter P is preferably the deviation A included in the error model for each process parameter P Mf this process value Pw of a predetermined set value Ps.
  • the respective validity range in this case also depends on the deviation A of the process parameter P, so that the state of a process parameter P is classified as "normal”, “positive” or “negative” if its deviation A from the desired value Ps within or above or below the validity range.
  • an "amount" is associated with each relationship 4 in the context of the error model Mf If a deviation A of an observed process parameter Pa results in a same-direction deviation A as a result of the relationship 4 for another process parameter Pa, then this relationship 4 becomes a directed edge associated with a positive amount. when the same direction ⁇ the deviations A case considered if they cause supply level changes of the same sign.
  • a relationship 4 as a result of a deviation A of a considered process parameter P an opposite deviation A of a different process parameter P, ie a change of state with an opposite sign, is correspondingly assigned an edge with a negative amount.
  • the error model Mf further comprises so-called fault cause node 5 (shown as circles), which fault relationships exert 6 to single An ⁇ layer parts.
  • fault cause node 5 shown as circles
  • the effects of typical causes of defects, such as blockages, leaks, malfunctions of sensors or pumps, are stored on one or more process parameters P of the plant 2 with the error cause nodes 5 and the fault relationships 6.
  • FIG. 2 shows a block diagram of a device 20 for supporting the accident prevention of the industrial plant 2.
  • the device 20 comprises a database 21, in which so-called “engineering data”, in particular an RI flowchart RI, of Appendix 2 are stored in an XML format ("Extensible Markup Language").
  • the engineering data also include information on the spatial arrangement of the plant components 3.
  • the apparatus 20 includes a reference module 22 for creating a reference model Mr of the plant 2, an Ver ⁇ same module 23 for detecting a fault case, an off ⁇ value module 24 for determining a case of error verursa ⁇ sponding cause of fault F, a forecasting module 26 for determining the effects of If the error as well as a reaction module 27 to determine an as-needed issuing a recommendation to act as a safety measure e, in particular for preventing an accident ⁇ Ver.
  • the modules 22-27 are software modules of an accident prevention program, which is executable in a computer system (computer) is implemented, from which the data is retrieved using SQL databases.
  • the process values Pw archived in the database 31, which characterize the behavior of the plant 2 in the past, are made available to the reference module 22 as "historical" process values Ph.
  • the process values Pw that are respectively currently recorded in plant operation are transmitted to the comparison module 23 by the process control system 30 provided as current process values Pa.
  • the reference module 22 accesses the reference module 22 to generate the reference model Mr firstly on the RI flowchart RI, on the other hand to the historical process ⁇ values to Ph.
  • the reference module 22 is in this case implemented in particular as a neural network, in particular in the
  • the reference module 22 determined on the basis of the learned model Mr Re ⁇ conference for each operating parameter P a corresponding to the actual plant operation target value Ps, wherein this set value Ps with an associated maximum (positive or negative) deviation As the respective
  • Scope of the associated process parameter P forms.
  • the comparison module 23 accesses the measured values Pw of the process parameter P currently detected by the process control system 30 and determines the (current) deviation A of the respective process value Pw from the setpoint value Ps determined in each case.
  • the comparison module 23 also determined by linear or nonlinear (z. B. quadratic, cubic, sinoidale, exponential or logarithmic) regression trend ⁇ function f describing the averaged time course of the deviation A.
  • the comparison module 23 extrapolates the trend function f into the future and checks whether the expected value (given by the extrapolated trend of the trend function f) of the deviation A exceeds the predetermined threshold As within a predetermined future (extrapolation) time span.
  • the comparison module checks whether the respective process parameter P will assume a positive or negative state within the extrapolation period.
  • the extra ⁇ polations-time interval may be a period of seconds, minutes, hours or even days. The faster and irregular the process value Pw changes typically, the smaller in this case also the extrapolation time interval ge ⁇ selected. If the comparison module 23 within the extrapolation period determines a threshold value is exceeded by the trend function f, it interprets this as an error (GE ⁇ more precisely as an initial suspicion of an expected error). In this case, the comparison module 23 transmits the deviation A determined for each process parameter P to the evaluation module 24.
  • the evaluation module 24 also accesses the RI-flow image RI and automatically generates the error ⁇ model Mf shown in Figure 1 as a directed weighted graph (SDG) of the plant 2.
  • SDG directed weighted graph
  • the evaluation module 24 determines from the deviations A in the manner described above the state of a process ⁇ parameters P (or the associated plant part 3) and evaluates the provided with the states error model Mf, where it by means of an error tracing after the known ESFA ("Extended Symptom-Fault Association") - procedure for possible causes of error F searches.
  • ESFA Extended Symptom-Fault Association
  • the or each error cause F determined by the evaluation module 24 in this case includes an indication of the faulty plant part 3 and the error type (eg, blockage, leakage, burst pipe, failure of a system component, etc.). Both statements determine this
  • Evaluation module 24 based on that error cause node 5, to which the error case can be traced in the error model Mf.
  • the evaluation module 24 outputs the or each detected error cause ⁇ F out to the forecast engine 26th This, in turn, accesses the RI-flow image RI and determines the adjacent to an error-prone ⁇ contact member 3 components or parts 3. In this case, in particular, not only fluid and signally adjacent engagement parts 3 determined. ⁇ much longer beyond this also is determined from the spatial arrangement of the parts of the plant 3 resulting neighboring components in a hidden, that is not out of the RI Flow diagram recognizable relationship with the faulty part of the plant 3 may be.
  • the forecasting module 26 outputs the determined parts of the plant 3 to the reaction module 27, which then develops a secure ⁇ standardized measure E.
  • the security measure E under ⁇ supported in particular the plant personnel is to avoid a potentially resulting from the case of a fault accident or at least reduce any resulting danger to life and limb.
  • the security measure E has to content, via the process control system 30 an optical and / or audible warning message on an operating screen or an operating device of the industrial plant 2 from ⁇ admit.
  • the warning message is given for example by a text message "accident hazard!”, which is assigned graphically in particular to the determined adjacent plant parts 3 in the operating screen.
  • a further precautionary measure E has, for example, the content that stored recommendations for action, which were determined in advance for typical causes of error F, are output on the operating screen and / or are automatically carried out with the aid of the process control system.
  • Such hand ⁇ lung recommendations may, for example, recharge / Ent ⁇ empty of faulty parts of the system, turning off / emptying is not faulty, but spatially neighboring parts of the system, be closing / opening of valves, cooling system parts, etc..
  • a cause of failure associated with an increased pressure is determined in a part of the installation 3, then it is possible to advance on affected parts of the installation 3 (before there is also a threshold). value-exceeding pressure increase shows) pressure relief valves are opened.
  • Possible further precautionary measures E may be to trigger an alarm signal in the vicinity of the affected equipment parts 3, to initiate an evacuation of persons in an affected equipment area or to close security gates.
  • the error model Mf is automatically modified by the evaluation module 23 in adaptation to a fault cause F that it has found.
  • the fault model Mf is automatically modified such that the relationship 4 of the relevant plant sections 3 corresponding to the pipeline is removed from the SDG and replaced by one or more fault cause nodes 5 show the effects of the pipe burst on the affected parts of the plant 3.
  • the correspondingly modified error model Mf is then used instead of the original error model Mf to redetermine the cause of the error F.
  • the modified error model Mf an adequate
  • Error model Mf is automatically taken into account by the device 20 that certain system parts (egdeaggre ⁇ gate or safety valves), which would have been used by default to avoid ⁇ accident, have been overridden by the already occurred accident are. In this way, safeguards that have become useless or even counterproductive due to the circumstances of the incident are avoided.
  • certain system parts egdeaggre ⁇ gate or safety valves
  • the device 20 is designed according to a second embodiment.
  • the second embodiment corresponds in essential parts to the first embodiment.
  • the reference model Mr is created by a process simulation of Appendix 2.
  • chemical balance equations, kinetics, etc. are used.
  • the flow scheme is considered infinitesimal and calculated numerically as a differential equation system.
  • Model equations are used to access the archived historical process values Ph.
  • the comparison module 23 in contrast to the first embodiment, a respective desired value Ps (parallel to the plant operation) is simulated in real time for each parameter P. Each parameter P is in turn assigned a deviation threshold value As for the detection of an error case. Analogously to the first embodiment, the comparison module 23 accesses (actual) process values Pa detected by the process control system 30 and compares them with the simulated setpoint values Ps (valid for the respective instant in time). Again, a trend function f is calculated for deviations A determined.
  • the evaluation can also be done here by a directed weighted (error) graph.
  • error directed weighted
  • the evaluation by an operating ⁇ parallel reverse simulation based on the error model Mf he follows ⁇ , wherein the current process values Pa are used as start parameters for simulation.
  • the simulation on the basis of the error model Mf targeted disturbances are introduced. Possible causes of failure F are determined by comparing the simulated effects of the introduced disturbances with the actual effects of the present error case.
  • the simulation model Mf is, if necessary, in turn modified to an adapted error model Mf, in which case actual process values Pa are again used for the subsequent simulation for finding the new cause of the error.
  • the error model Mf or optionally the modified error model Mf is finally used by the prediction module 26, the impact of the errors that have occurred ifwakCt ⁇ zen.
  • the prognosis module 26 again accesses the RI flowchart and first determines the plant parts 3 affected directly or indirectly by the fault, ie, in turn, the plant parts adjacent to the fault 3.
  • the prognosis module 26 optionally determines a prognosis value X for the process parameters P assigned to the relevant plant parts 3.
  • the respective prognostic value X is estimated (faster than in real time) from the actual process values Pw required for the simulation.
  • the forecasting module 26 is here to each be affected ermit ⁇ telten contact member 3 to the associated prediction value X to the reaction module 27 from.
  • the security measure E determined by the reaction module 27 includes again in particular the issue of ⁇ be concerned conditioning parts 3 and additionally the output of it ⁇ mediated forecast values X on the operating screen.
  • the Si ⁇ cherheitseverised example can then only be triggered if there is at one of the parts of the plant concerned 3 the hazard of a fault to be characterized fault case.
  • the reaction module 27 is designed to automatically develop a recommended action for safety E. 27 To this end, engages the reaction module to the piping and instrumentation diagram RI and determines that the error verursa ⁇ sponding contact member 3 associated system components, wherein only those system components are considered whose setting is variable (for example, valves, pumps, etc.).
  • the reaction module 27 simulates different ⁇ Liche setting changes of the system components determined, and again each of the prediction values X of the affected parts of the plant are determined.
  • the reaction module 27 then outputs the change (s) of adjustment (s) as a recommended course of action in which the determined forecast values X are below an accident limit.

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Automation & Control Theory (AREA)
  • Manufacturing & Machinery (AREA)
  • General Engineering & Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Testing And Monitoring For Control Systems (AREA)

Abstract

Zur Unterstützung der Störfallprävention einer Industrieanlage (2), die eine Mehrzahl von miteinander verbundenen Anlagenteilen (3) umfasst, wobei jedes der Anlagenteile (3) mit dem oder jedem damit verbundenen Anlagenteil (3) in einer durch eine messtechnisch erfasste physikalische Messgröße (P) quantifizierten Beziehung (4) steht, wird ein Fehlermodell (Mf) der Industrieanlage (2) erstellt, in welchem hinterlegt wird, wie sich ein Fehler eines einzelnen Anlagenteils (3) auf dessen Beziehung (4) zu dem oder jedem damit verbundenen Anlagenteil (3) auswirkt. Für mindestens eine der genannten Messgrößen (P) wird eine erste Bedingung (As) festgelegt, deren Erfüllung als Fehlerfall erkannt wird. Bei Erkennung eines Fehlerfalls wird anhand des Fehlermodells ein Anlagenteil (3) ermittelt, welches den Fehlerfall verursacht. Von dem Fehlerfall mittelbar oder unmittelbar betroffene Anlagenteile (3) werden ermittelt, indem anhand eines RI-Fließbildes (RI) der Industrieanlage (2) diejenigen Anlagenteile (3) ermittelt werden, welche mittelbar oder unmittelbar zu dem den Fehlerfall verursachenden Anlagenteil (3) benachbart sind. Auf dieser Basis wird eine Sicherheitsmaßnahme (E), insbesondere zur Vermeidung eines Störfalls, eingeleitet, welche sich auf die betroffenen Anlagenteile (3) bezieht.

Description

Beschreibung
UNTERSTÜTZUNG DER STÖRFALLPRÄVENTION EINER INDUSTRIEANLAGE MIT HILFE EINES FEHLERMODELLS
Die Erfindung bezieht sich auf ein Verfahren zur Unterstützung der Störfallprävention einer Industrieanlage. Die Erfindung bezieht sich weiterhin auf eine zugehörige Vorrichtung .
Der Begriff Industrieanlage bezieht sich hier und im Folgen¬ den insbesondere auf eine prozesstechnische oder verfahrens¬ technische Anlage aus dem Bereich der chemischen Industrie, Getränke- und Lebensmitteltechnik, Umwelttechnik, Pharmaindustrie oder Gas- und Ölindustrie.
Eine derartige Industrieanlage umfasst in der Regel eine Vielzahl von einzelnen, miteinander verschalteten Anlagenkomponenten. Typische Anlagenkomponenten einer verfahrens- oder prozesstechnischen Anlage sind dabei Behälter, Reaktoren, Rohrleitungen, Armaturen usw. Diese werden im Zuge eines Herstellungsprozesses von Ausgangsstoffen, insbesondere von Fluiden, unter Veränderung/Verarbeitung der Ausgangsstoffe zu einem daraus resultierenden Produkt durchlaufen.
Mehrere Anlagenkomponenten sind häufig zu inhaltlich und meist räumlich zusammengeschalteten Anlagenteilen (so genannten Units) zusammengefasst . Ein Anlagenteil „Reaktor" umfasst beispielsweise eine Vielzahl von Anlagenkomponenten „Rohrleitungsabschnitt", „Ventil", „Vorlagebehälter" usw.
Den einzelnen Anlagenkomponenten sind üblicherweise Prozessoder Betriebsparameter zugeordnet. Ein Wert oder Messwert (im Folgenden auch als Prozesswert bezeichnet) eines Prozesspara¬ meters beschreibt dabei einen Zustand der jeweiligen Anlagen¬ komponente oder des in der Anlagenkomponente zu verarbeiten¬ den Fluids, welcher normalerweise im Laufe des Prozesses ver¬ änderlich ist. Solche Prozessparameter sind zum einen insbesondere eine Temperatur, ein Druck, eine Durchfluss- geschwindigkeit oder ein damit korrespondierender Massenstrom des Fluids. Zum anderen kann ein solcher Betriebsparameter aber auch eine zu der jeweiligen Anlagenkomponente gehörige Einstellung beschreiben, beispielsweise eine Ventilstellung (die dann z. B. die Werte „offen", „geschlossen", „teilweise geschlossen" annehmen kann) oder eine Pumpenleistung oder eine Pumpendrehzahl.
Im Folgenden werden die oben genannten Prozessparameter in zwei Gruppen unterschieden, nämlich in beobachtbare (messtechnisch erfassbare) Prozessparameter und solche, die nicht beobachtbar sind.
Beobachtbare Prozessparameter werden meist (zumindest teil- weise) an einem Bedienbild einer Leit- oder Prozesswarte der Industrieanlage dargestellt. Das Bedienbild zeigt dabei oft ein schematisches, meist vereinfachtes Fließbild der Anlage. Dabei umfasst das Bedienbild mehrere „Bedienob ekte", wobei jedes Bedienobjekt jeweils einer Anlagenkomponente zugeordnet ist. Ein Bedienobjekt dient dabei dazu, aktuelle Prozesswerte oder Betriebsdaten (insbesondere Ist-, Soll- und Stellwerte eines beobachtbaren Prozessparameters) dieser Anlagenkompo¬ nente darzustellen. Tritt im Betrieb der Anlage ein Fehler auf, wodurch ein Prozessparameter von einem vorgegebenen Sollwert um mehr als eine bestimmte Alarmschwelle abweicht, so wird durch das Bedienobjekt üblicherweise ein Alarm (z. B. graphisch) ausgegeben.
Anhand eines solchen Alarms eine Fehlerursache zu finden und damit beheben zu können, ist aufgrund der meist sehr hohen
Komplexität der Anlage und der daraus resultierenden Informa¬ tionsvielfalt und -dichte des entsprechenden Bedienbilds je¬ doch oft sehr schwierig und entsprechend zeitaufwändig . Eine zu spät erkannte Fehlerursache und damit ein zu spät behobener Fehler kann jedoch mitunter schwerwiegende Folgen, insbesondere den Eintritt eines Störfalls, nach sich ziehen. Dabei wird im Folgenden zwischen einem „Fehlerfall" und einem „Störfall" unterschieden. Bei einem „Fehlerfall" handelt es sich danach im Allgemeinen um eine Abweichung von dem bestimmungsgemäßen Betriebsverhalten der Industrieanlage bzw. eines Anlagenteils oder einer Anlagenkomponente. Betriebsparameter, welche der fehlerbehafteten Anlagenkomponente (Anlagenteil) zugeordnet sind, weichen dabei von Werten ab, welche einem bestimmungsgemäßen Betriebszustand zugeordnet sind, können jedoch noch innerhalb von Grenzen liegen, welche zur Aus- legung bzw. Dimensionierung des Anlagenteils (der Anlagenkomponente) in Betracht gezogen wurden.
Im Gegensatz dazu bezeichnet der Begriff „Störfall" einen Zustand der Industrieanlage (eines Teils der Industrieanlage oder einer Anlagenkomponente) , in welchem zugehörige Be¬ triebsparameter außerhalb von zur Auslegung/Dimensionierung der Anlage herangezogenen Werten liegen. Ein Störfall wird in diesem Sinne als ein schwerwiegender Fehlerfall verstanden, welcher insbesondere dadurch gekennzeichnet ist, dass gra- vierende Folgen, insbesondere Gesundheits- oder Lebensgefahr für Menschen in der Umgebung der Anlage und/oder sonstige UmweltSchäden, eintreten können.
Ein solcher Störfall sollte möglichst frühzeitig, im Ideal- fall bereits rechtzeitig vor seiner Entstehung, erkannt werden, um geeignete Gegenmaßnahmen ergreifen zu können und so den Störfall bzw. eine weitere Eskalation zu verhindern.
Eine übliche Methode, die Gefahr der Entstehung eines Stör- falls einer Industrieanlage zu reduzieren, besteht darin, die Anlage in einem so genannten PAAG („Prognose, Auffinden der Ursache, Abschätzen der Auswirkungen, Gegenmaßnahmen" ) -Verfahren (engl.: HAZOP - „Hazard and Operability" ) im Rahmen einer Risikoabschätzung zu analysieren.
Dabei werden von einem Expertenteam systematisch alle Teile der Industrieanlage unter Betrachtung von fehlerhaften Zuständen untersucht. D. h., eine oder mehrere Sollfunktionen für den betrachteten Teil (Anlagenteil, Verfahrensabschnitt, Aggregat, Apparat, etc.) werden definiert, mit denen die vorgesehene Funktionalität beschrieben wird. Anhand von ein¬ fachen Leitworten (ja/nein, mehr/weniger, sowohl als auch, teilweise, anders als) werden dann die „Ausführung" der Soll¬ funktion entsprechend geändert, die daraus resultierenden Konsequenzen diskutiert und so Ursachen für AblaufStörungen bis hin zu Störfällen erkannt. Auf Basis dieses Verfahrens werden dann sicherheitsrelevante Prozessparameter ausgewählt und im Betrieb der Anlage auf eine Schwellwertüberschreitung hin überwacht. Bei Über- oder Unterschreitungen von vorgegebenen Schwellwerten werden die Industrieanlage oder zumindest der relevante Anlagenteil ab- geschaltet und/oder andere Notmaßnahmen eingeleitet.
Der Erfindung liegt die Aufgabe zugrunde, die Störfallpräven¬ tion bei einer Industrieanlage zu verbessern. Bezüglich eines Verfahrens wird obige Aufgabe erfindungsgemäß gelöst durch die Merkmale des Anspruchs 1. Das Verfahren unterstützt dabei die Störfallprävention einer Industrie¬ anlage, die eine Mehrzahl von miteinander verbundenen Anlagenteilen umfasst. Als Anlagenteil (engl. „Unit") wird dabei insbesondere ein von anderen Anlagenteilen abgrenzbarer Teil der Gesamtanlage, nämlich eine einzelne Anlagenkomponen¬ te oder ein Apparat aus prozesstechnisch zusammenhängenden einzelnen Anlagenkomponenten, bezeichnet. Als „Anlagenkompo¬ nente" wird ein „atomares" Element der Anlage bezeichnet, das selbst nicht mehr ohne Funktionsverlust weiter aufteilbar ist, z. B. ein einzelnes Ventil, ein einzelner Sensor, eine einzelne Pumpe, ein Vorratsbehälter, etc. Ein durch mehrere solcher Anlagenkomponenten gebildeter Anlagenteil könnte beispielsweise durch einen Vorratsbehälter mit zugeordnetem Füllstandsmesser, einem zugehörigen Einlassventil sowie einem zugehörigen Auslassventil gebildet sein. Jeder der Anlagenteile steht dabei mit dem oder jedem damit verbundenen Anlagenteil in einer Beziehung, die durch eine messtechnisch erfasste physikalische Messgröße (im Folgenden auch mit „Betriebs- oder Prozessparameter" bezeichnet) quan-
Figure imgf000007_0001
Die Beziehung zwischen zwei Anlagenteilen wird hierbei einerseits durch Messgrößen erfasst, welche unmittelbar einem der Anlagenteile selbst zugeordnet sind (wie beispielsweise eine Temperatur oder ein Druck in einem Reaktor) , wenn diese Messgröße eine Messgröße beeinflussen kann oder beeinflusst, die dem jeweils anderen Anlagenteil zugeordnet ist.
Andererseits wird die Beziehung zweier Anlagenteile durch Messgrößen erfasst, welche unmittelbar einen Transportvorgang zwischen zwei Anlagenteilen spezifizieren (beispielsweise einen Stoffstrom in einer die Anlagenteile verbindenden Rohrleitung, welcher durch Eigenschaften wie Massenstrom, Konzentrationen der enthaltenen Stoffe, Fließgeschwindigkeit, etc. näher charakterisiert sein kann) .
Schließlich kann eine Beziehung zwischen zwei Anlagenteilen auch durch einen Signalfluss (z. B. durch eine elektrische Spannung oder Stromstärke in einem Regelkreis oder einer an- deren Automatisierungsfunktion) quantifiziert sein.
Die physikalischen Messgrößen, die die Beziehungen zwischen zwei Anlagenteilen quantifizieren, werden vorzugsweise direkt an dem Übergang zwischen diesen Anlagenteilen gemessen. In Einzelfällen kann eine solche Messgröße aber auch aus anderen Messgrößen der betroffenen Anlagenteile und/oder sonstiger Anlagenteile berechnet werden, insbesondere dann, wenn am Übergang zwischen zwei Anlagenteilen keine Messstelle vorhanden ist. Beispielsweise kann der Massenfluss zwischen zwei Anlagenteilen unter Annahme der Massenerhaltung auch aus den sonstigen Massen-Zuflüssen und Massen-Abflüssen dieser Anlagenteile berechnet werden. Erfindungsgemäß wird ein Fehlermodell der Industrieanlage erstellt, in welchem hinterlegt wird, wie sich ein Fehler eines einzelnen Anlagenteils, also eine Abweichung des An¬ lagenteils von seinem bestimmungsgemäßen Sollverhalten, auf dessen Beziehung zu dem oder jedem damit verbundenen Anlagenteil auswirkt.
Zur Erkennung eines Fehlerfalls wird dabei für mindestens eine, vorzugsweise für jede der genannten Messgrößen eine erste Bedingung festgelegt, deren Erfüllung verfahrensgemäß als Fehlerfall erkannt wird. Je nach Anwendungsfall kann die Bedingung derart gewählt sein, dass bereits bei einem „harm¬ losen" Abweichen vom Sollverhalten ein Fehlerfall erkannt wird, die Bedingung kann jedoch auch derart gewählt sein, dass erst der Eintritt eines Störfalls als Fehlerfall erkannt wird .
Im Betrieb der Industrieanlage wird vorzugsweise fortlaufend, d. h. kontinuierlich oder in vorgegebenen Zeitabständen, ge- prüft, ob eine der ersten Bedingungen durch die zugehörige
Messgröße erfüllt wird, ob also eine der geprüften Messgrößen eine fehlerhafte Anomalie zeigt. Dabei kann im Rahmen der Er¬ findung anstelle der Messgröße selbst auch eine daraus ab¬ geleitete Größe betrachtet werden.
In bevorzugter Aus führungs form des Verfahrens wird dabei für mindestens eine, vorzugsweise jede der genannten Messgrößen ein (während des Betriebs der Anlage veränderlicher, aber zu einem jeweiligen Zeitpunkt fest vorgegebener) Sollwert fest- gelegt. Die Festlegung der jeweiligen Sollwerte erfolgt dabei insbesondere mit Hilfe von historischen Daten über das Verhalten der Anlage, insbesondere durch SOM („Seif Organising Maps") oder PCA („Principal Component Analysis") . Die oder jede Messgröße wird jeweils auf eine maximale Abweichung zu dem jeweiligen Sollwert hin überwacht, wobei eine Überschrei¬ tung der jeweiligen (betragsmäßigen) Abweichung als Fehlerfall erkannt wird. Wird die Erfüllung einer der ersten Bedingungen und somit ein Fehlerfall erkannt, so wird erfindungsgemäß anhand des Feh¬ lermodells eine den Fehlerfall auslösende Fehlerursache er¬ mittelt. Eine Fehlerursache kann dabei durchaus auch einem anderen Anlagenteil zugeordnet sein als dem Anlagenteil, an welchem sich der Fehler manifestiert.
Ausgehend von dem der Fehlerursache zugeordneten Anlagenteil werden nun erfindungsgemäß Anlagenteile ermittelt, welche von dem Fehlerfall betroffen sind oder zumindest betroffen sein können. Hierzu werden mit Hilfe eines RI-Fließbildes (auch als R&I-Fließschema, „Rohrleitungs- und Instrumentenfließ- schema" bezeichnet) Anlagenteile ermittelt, welche zu dem den Fehlerfall verursachenden Anlagenteil mittelbar oder un- mittelbar benachbart sind. In dem RI-Fließbild ist dabei insbesondere auch die dreidimensionale Anordnung der einzel¬ nen Anlagenteile der Industrieanlage hinterlegt. Als „mittel¬ bar" benachbart sind dabei Anlagenteile bezeichnet, welche mittels einer Rohrleitung oder mittels einer (ggf. auch drahtlosen) Signalleitung mechanisch bzw. signaltechnisch miteinander verbunden sind. Derartig „benachbarte" Anlagenteile müssen demnach gemäß ihrer räumlichen Anordnung nicht unbedingt nebeneinander angeordnet sein. Als „unmittelbar" benachbart bezeichnet sind dagegen Anlagenteile, welche gemäß ihrer räumlichen Anordnung tatsächlich nebeneinander angeordnet sind.
Schließlich wird erfindungsgemäß eine Sicherheitsmaßnahme eingeleitet, welche sich auf die von dem Fehlerfall betrof- fenen Anlagenteile bezieht. Das Anlagenpersonal wird dabei durch die Sicherheitsmaßnahme insbesondere dahin gehend unterstützt, einen Störfall zu vermeiden, zumindest aber eine Eskalation eines bereits eingetretenen Störfalls zu verhindern .
Eine solche Sicherheitsmaßnahme umfasst insbesondere im ein¬ fachsten Fall eine Ausgabe eines Warnhinweises an einem Be¬ dienbild der Industrieanlage oder „vor Ort" die Ausgabe eines Warnsignals bei dem als betroffen ermittelten Anlagenteil oder den als betroffen ermittelten Anlagenteilen, beispielsweise mit Hilfe eines an dem jeweiligen Anlagenteil befind¬ lichen Messgeräts.
Vorteilhafterweise werden durch das erfindungsgemäße Verfah¬ ren frühzeitig mögliche Auswirkungen eines Fehlerfalls er¬ kannt. Zum einen wird vorteilhaft eine Fehlerursache auf¬ gedeckt, welche möglicherweise bei einem anderen Anlagenteil zu finden ist als an dem Anlagenteil, an welchem sich der Fehler durch die Abweichung eines Betriebsparameters zeigt. Zum anderen ist es durch die Komplexität einer eingangs be¬ schriebenen Industrieanlage normalerweise nicht ohne weiteres möglich, bei Auftreten eines Fehlerfalls oder gar eines Störfalls bei einem einzelnen Anlagenteil abzuschätzen, welche weiteren Anlagenteile durch diesen Fehlerfall in Mitleidenschaft gezogen werden könnten. Vorteilhafterweise werden diese betroffenen Anlagenteile erfindungsgemäß jedoch er¬ mittelt und im Rahmen der Sicherheitsmaßnahme zumindest auf¬ gezeigt. Hierdurch kann vorteilhafterweise auch bei mögli¬ cherweise betroffenen Anlagenteilen frühzeitig auf einen bevorstehenden Fehlerfall reagiert werden.
In einer bevorzugten Variante des Verfahrens wird anhand des zeitlichen Verlaufs der beobachteten Messgröße, d. h. anhand mindestens zweier zu aufeinander folgenden Zeitpunkten erhobener Messwerte der Messgröße, eine lineare oder nicht¬ lineare Trendfunktion der Messgröße ermittelt. Dabei wird der Eintritt eines Fehlerfalls durch Vergleich mindestens eines zukünftigen Werts der Trendfunktion mit der zugehörigen ersten Bedingung, insbesondere durch Vergleich der oben genannten Abweichung zu einem Sollwert mit einem ersten Schwellwert, erkannt.
Vorteilhafterweise wird hierdurch besonders früh erkannt, ob potentiell ein Fehlerfall eintreten wird. Bei einem solchen „Anfangsverdacht" werden dann frühzeitig ein diesen Fehler¬ fall verursachender Anlagenteil sowie die davon möglicher- weise betroffenen Anlagenteile ermittelt. Hierdurch kann vorteilhafterweise eine besonders frühzeitige Reaktion auf die Gefahr der Entstehung eines Störfalls erfolgen. In einer bevorzugten Variante des Verfahrens wird, insbe¬ sondere automatisiert, als Fehlermodell ein gerichteter ge¬ wichteter Fehlergraph der Industrieanlage erstellt, wobei jeder Knoten des Graphen einen Anlagenteil oder eine Fehlerursache repräsentiert und wobei jede Kante des Graphen eine Beziehung repräsentiert.
Mit dem Begriff „Graph" ist dabei im Folgenden im Sinne der so genannten Graphentheorie eine Darstellung bezeichnet, welche die einzelnen Prozessparameter oder Messgrößen der Anlagenteile sowie zwischen den einzelnen Messgrößen der Anlagenteile bestehende Verbindungen und Wechselwirkungen (Beziehungen) repräsentiert. Dabei ist jedem Anlagenteil oder jedem zugehörigen Prozessparameter ein „Knoten" zugeordnet. Die Verbindungen zwischen den einzelnen Knoten sind als „Kanten" bezeichnet. Die Kanten sind insofern „gerichtet", als sie eine Wirkrichtung einer zugeordneten Wechselwirkung von einem unabhängigen Prozessparameter auf einen davon abhängigen Prozessparameter anzeigen. Die gerichteten Kanten werden in dem Graphen durch Pfeile repräsentiert, die in die Wirkrichtung zeigen. Bei einem „gewichteten" Graphen wird jeder Kante ein Wert zugeordnet, welcher zumindest den Betrag der Auswirkung, bevorzugt sowohl den Betrag als auch die Stärke der Auswirkung, repräsentiert. In dem Fehlergraphen sind zusätzliche Fehlerursacheknoten eingefügt, die keine Entsprechung in körperlichen Anlagenkomponenten haben. In solchen Fehlerursacheknoten sind die Auswirkungen von typischen Fehlerursachen, wie beispielsweise Verstopfungen, Leckagen, Fehlfunktionen von Sensoren oder Pumpen, auf einen oder mehrere Prozessparameter der Industrieanlage hinterlegt. Entsprechend enthält jeder Fehler¬ ursacheknoten eine gerichtete, gewichtete Kante zu einem Knoten oder mehreren Knoten des Graphen, der einer körperlichen Anlagenkomponente entspricht.
Zusätzlich oder alternativ wird zur Erstellung des Fehler- modells das eingangs beschriebene PAAG-Verfahren heran¬ gezogen .
In einer weiteren Variante des Verfahrens wird ausgehend von einem aktuellen Messwert mindestens einer der Messgrößen (ei- nem aktuell erfassten Messwert eines Prozessparameters) mit¬ tels Prozesssimulation der Anlage mindestens ein Prognosewert für die zukünftige Entwicklung einer einem betroffenen Anlagenteil zugeordneten Messgröße ermittelt. Dabei erfolgt die Simulation des oder jeden Prognosewerts zweckmäßigerweise schneller als in Echtzeit. Indem ein Prozesswert für einen (vorzugsweise für jeden) Prozessparameter, welcher jeweils einem von dem Fehlerfall betroffenen Anlagenteil zugeordnet ist, ermittelt wird, kann vorteilhafterweise besonders gut abgeschätzt werden, wie und vor allem in welchem Maße sich ein Fehlerfall eines Anlagenteils auf einen oder jeden davon betroffenen Anlagenteil auswirkt. Im Rahmen der Sicherheits¬ maßnahme wird in diesem Fall insbesondere jeder ermittelte Prognosewert an einem Bedienbild angezeigt. In einer Weiterentwicklung des Verfahrens wird die erste
Bedingung derart festgelegt, dass deren Erfüllung mit einem sicheren Anlagenbetrieb konform ist, d. h., bereits bei Ein¬ tritt eines mit einem sicheren Anlagenbetrieb noch verein¬ baren Fehlerfalls wird verfahrensgemäß eine Fehlerursache gesucht. Zusätzlich wird jedoch eine zweite Bedingung fest¬ gelegt, deren Erfüllung als ein mit dem sicheren Anlagenbetrieb nicht-konformer Fehlerfall oder als ein Störfall erkannt wird. Dabei wird die Sicherheitsmaßnahme nur dann eingeleitet, wenn der Prognosewert die zweite Bedingung erfüllt. Im Rahmen dieser Verfahrensvariante wird demnach mittels Prozesssimulation abgeschätzt, ob die Gefahr besteht, dass sich ein vergleichsweise harmloser Fehlerfall zu einem Störfall ausweitet. Die Sicherheitsmaßnahme wird dabei nur dann eingeleitet, wenn anhand des (mindestens einen) Prog¬ nosewertes davon auszugehen ist, dass ein Störfall eintritt.
Insbesondere wird dabei die Sicherheitsmaßnahme eingeleitet, wenn ein prognostizierter Wert des dem Anlagenteil zugeordneten Prozessparameters außerhalb der Werte liegt, für die der entsprechende Anlagenteil ausgelegt/dimensioniert ist.
Als Sicherheitsmaßnahme wird in einer bevorzugten Ausfüh- rungsform des Verfahrens eine insbesondere für die Art des Störfalls spezifische Handlungsempfehlung ausgegeben.
Vorzugsweise wird die Handlungsempfehlung an einem Bedienbild der Industrieanlage ausgegeben. Die Textmeldung wird dabei insbesondere einem an dem Bedienbild dargestellten Anlagenteil graphisch zugewiesen, welcher der Fehlerursache zugeordnet ist und/oder als von der Fehlerursache betroffener Anlagenteil ermittelt wurde. Da das Bedienbild häufig als ein zweidimensionales, vereinfachtes RI-Fließbild dargestellt ist, wird hierdurch für das Bedienpersonal vorteilhafterweise besonders leicht ersichtlich, welche Anlagenteile von dem Fehlerfall betroffen sind, auch wenn diese nur aufgrund ihrer räumlichen Nähe zu dem Fehler verursachenden Anlagenteil in Mitleidenschaft gezogen sein können und auf dem Bedienbild an weit entfernter Stelle zu dem Fehler verursachenden Anlagenteil dargestellt sind.
In einer hinsichtlich der Unterstützung des Bedienpersonals bevorzugten Verfahrensvariante wird als Sicherheitsmaßnahme nach Maßgabe eines vorgegebenen Handlungsschemas automatisch eine Einstellung mindestens eines Anlagenteils verändert. Insbesondere wird eine automatische Notabschaltung des be¬ troffenen Anlagenteils oder der betroffenen Anlagenteile ausgelöst .
In einer Weiterentwicklung des Verfahrens ist vorgesehen, dass bei einem erkannten Fehlerfall virtuell mindestens zwei potentiell zur Führung der Anlage in einen sicheren Zustand geeignete Veränderungen jeweils einer Einstellung eines Anlagenteils simuliert werden, wobei für jede veränderte Ein¬ stellung die Wahrscheinlichkeit des Eintretens eines Stör¬ falls ermittelt wird und wobei diejenige Veränderung, bei der die Wahrscheinlichkeit für den Eintritt eines Störfalls am geringsten ist, als Handlungsempfehlung ausgegeben wird.
Zusätzlich oder alternativ wird für jede simulierte Veränderung mindestens ein Prognosewert eines Prozessparameters berechnet, der einem betroffenen Anlagenteil zugeordnet ist. Daher wird diejenige Veränderung als Maßnahme ausgegeben, für die der Prognosewert - bei mehreren berücksichtigten Prozess¬ parameter ein (ggf. geeignet gewichteter) Mittelwert der Prognosewerte - minimal ist, insbesondere unterhalb der vor- gegebenen Störfallgrenze liegt.
In einer weiteren Verfahrensvariante wird das Fehlermodell an einen zu erwartenden oder bereits eingetretenen Störfall an- gepasst. Beispielsweise kann im Falle eines Rohrbruchs die dieser Verbindung zugehörige Beziehung aus dem Fehlermodell entfernt werden. Das modifizierte Fehlermodell wird dann zur erneuten Ermittlung einer Fehlerursache herangezogen, woraufhin erneut diejenigen Anlagenteile ermittelt werden, welche von dieser Fehlerursache betroffen sind oder sein können.
Bezüglich einer Vorrichtung zur Unterstützung der Störfallprävention einer Industrieanlage wird oben genannte Aufgabe erfindungsgemäß durch die Merkmale des Anspruchs 10 gelöst. Die Vorrichtung umfasst ein Auswertemodul, welches dazu eingerichtet ist, ein Fehlermodell der Anlage zu erstellen, ein Vergleichsmodul, welches dazu eingerichtet ist, einen Fehlerfall zu erkennen, sowie ein Prognosemodul, welches dazu eingerichtet ist, mögliche Auswirkungen eines Fehlerfalls zu ermitteln. In einer bevorzugten Aus führungs form umfasst die Vorrichtung zudem ein Reaktionsmodul, welches dazu eingerichtet ist, eine geeignete Maßnahme zur Verhinderung eines Stör¬ falls oder zumindest zur Reduzierung von gravierenden Folgen eines Störfalls automatisch zu ermitteln. Nachfolgend werden Ausführungsbeispiele der Erfindung anhand von Zeichnungen näher erläutert. Darin zeigen: in schematischer Darstellung ein Fehlermodell einer Industrieanlage mit einer Mehrzahl von Anlagenteilen, wobei jeder Anlagenteil mit mindestens einem damit verbundenen weiteren Anlagenteil in einer durch eine erfasste Mess¬ größe quantifizierten Beziehung steht,
in einem schematischen Blockschaltbild eine Vorrichtung zur Unterstützung der Störfallprävention bei der Industrieanlage gemäß FIG 1 und
in Darstellung gemäß FIG 2 eine alternative Aus führungs form der Vorrichtung.
Einander entsprechende Teile und Größen sind in allen Figuren stets mit den gleichen Bezugszeichen versehen. FIG 1 zeigt ein Fehlermodell Mf einer Industrieanlage 2.
Die Anlage 2 umfasst eine Mehrzahl von einzelnen Anlagenteilen 3, von denen jeder durch ein Aggregat von zusammengehörigen Anlagenkomponenten gebildet ist.
Jedem Anlagenteil 3 ist dabei ein (beobachtbarer) Prozess¬ parameter P, d. h. eine für diesen Anlagenteil 3 charakte¬ ristische Messgröße zugeordnet. Ein dem jeweiligen Prozess¬ parameter P zugeordneter (erfasster) Messwert ist dabei im Folgenden auch als dessen Prozesswert Pw (FIG 2) bezeichnet. Die Prozessparameter P werden vorzugsweise direkt am Ort des jeweiligen Anlagenteils 3 messtechnisch erfasst. Prozess¬ parameter P, die wegen fehlender Messorte, aufgrund zu großen Aufwands oder aus anderen Gründen nicht direkt erfassbar sind, werden unter Zugrundelegung von physikalischen oder chemischen Wechselwirkungen und/oder Annahmen aus anderen messtechnisch erfassten Messgrößen berechnet. Das Fehlermodell Mf ist hier als gerichteter, gewichteter Fehlergraph der Industrieanlage 2 ausgeführt. Jeder An¬ lagenteil 3 ist in der Darstellung gemäß FIG 1 durch einen elliptisch dargestellten Knoten repräsentiert. Jeder An- lagenteil 3 steht mit einem oder mehreren anderen Anlagenteilen 3 in einer Beziehung 4, wobei die Beziehungen in dem Fehlermodell Mf als Pfeile (Kanten) symbolisiert sind.
Jede Beziehung 4 stellt einen quantifizierten Einfluss des Prozessparameters P eines Anlagenteils 3 auf den Prozess¬ parameter P eines anderen Anlagenteils dar. Mit anderen
Worten wird durch die Beziehung 4 dargestellt, wie sich eine Änderung des beeinflussenden Prozessparameters P auf den be- einflussten Prozessparameter P auswirkt.
Die Beziehung 4 kann auf verschiedenartigen Wechselwirkungen zwischen den Anlagenteilen 3 beruhen. So kann sie insbesondere fluidmechanischer oder steuerungstechnischer Art sein. Eine fluidmechanische Beziehung 4 beruht auf einer Rohrlei¬ tungsverbindung zwischen diesen Anlagenteilen 3. Durch diese Beziehung 4 werden typischerweise Prozessparameter P der verbundenen Anlagenteile 3, wie beispielsweise Strömungs¬ geschwindigkeit, Druck, Temperatur, Massenfluss und/oder Stoffkonzentrationen eines zwischen den Anlagenteilen 3 transportierten Fluids, beeinflusst.
Eine steuerungstechnische Beziehung 4 beruht in der Regel auf einem (mechanischen, pneumatischen, hydraulischen oder elekt- rischen) Steuermechanismus zwischen zwei Anlagenteilen 3, durch den - je nach Ausprägung des Steuermechanismus - verschiedenartige Prozessparameter P der Anlagenteile 3 beeinflusst werden können. In dem Fehlermodell Mf ist zusätzlich hinterlegt, in welche Richtung eine Wirkbeziehung zwischen den Anlagenteilen 3 zeigt. Die die Beziehungen 4 symbolisierenden Pfeile zeigen dabei stets von einem als Ursache wirkenden Anlagenteil 3 auf einen hierdurch beeinflussten oder beeinflussbaren anderen Anlagenteil 3.
Jedem Prozessparameter P ist ein so genannter „Zustand" zu- geordnet, wobei dieser Zustand als „0" oder „normal" betrach¬ tet wird, wenn ein dem zugeordneten Prozessparameter P zugehöriger Prozesswert Pw in einem für diesen vorgegebenen
Gültigkeitsbereich liegt. Weicht ein Prozesswert Pw von diesem Gültigkeitsbereich ab, befindet sich der Prozesspara- meter P nicht mehr im Normalzustand. Dem Prozessparameter P wird dann beispielsweise ein „positiver Zustand" oder „+" zugeordnet, wenn der Messwert Pw über einer oberen Grenze des Gültigkeitsbereichs liegt, bzw. ein „negativer Zustand" oder „-", wenn der Messwert Pw unterhalb einer unteren Grenze des Gültigkeitsbereichs liegt.
Anstelle des absoluten Prozesswertes Pw eines jeden Prozess¬ parameters P wird in dem Fehlermodell Mf vorzugsweise für jeden Prozessparameter P die Abweichung A dieses Prozess- wertes Pw von einem vorgegebenen Sollwert Ps berücksichtigt. Auch der jeweilige Gültigkeitsbereich stellt in diesem Fall auf die Abweichung A des Prozessparameters P ab, so dass der Zustand eines Prozessparameters P als „normal", „positiv" oder „negativ" klassifiziert wird, wenn seine Abweichung A von dem Sollwert Ps innerhalb bzw. oberhalb bzw. unterhalb des Gültigkeitsbereichs liegt.
Zusätzlich ist im Rahmen des Fehlermodells Mf jeder Beziehung 4 ein „Betrag" zugeordnet. Zieht eine Abweichung A eines be- trachteten Prozessparameters Pa infolge der Beziehung 4 bei einem anderem Prozessparameter Pa eine gleichsinnige Abweichung A nach sich, so wird dieser Beziehung 4 eine gerichtete Kante mit positivem Betrag zugeordnet. Als gleichsinnig wer¬ den die Abweichungen A dabei dann betrachtet, wenn sie Zu- Standsänderungen mit gleichem Vorzeichen hervorrufen.
Einer Beziehung 4, infolge der eine Abweichung A eines betrachteten Prozessparameters P eine gegensinnige Abweichung A eines anderen Prozessparameters P, d. h. eine Zustandsände- rung mit entgegengesetztem Vorzeichen, hervorruft, wird entsprechend eine Kante mit negativem Betrag zugeordnet.
Zusätzlich zu den zwischen den einzelnen Anlagenteilen 3 auftretenden Wirkbeziehungen 4 umfasst das Fehlermodell Mf weiterhin so genannte Fehlerursacheknoten 5 (als Kreise dargestellt) , welche Fehlerbeziehungen 6 auf einzelne An¬ lagenteile 3 ausüben. Im Gegensatz zu den körperlich vorliegenden Anlagenteilen 3 sind mit den Fehlerursacheknoten 5 und den Fehlerbeziehungen 6 die Auswirkungen von typischen Fehlerursachen, wie beispielsweise Verstopfungen, Leckagen, Fehlfunktionen von Sensoren oder Pumpen, auf einen oder mehrere Prozessparameter P der Anlage 2 hinterlegt.
Im Rahmen des Fehlermodells Mf werden die Fehlerursacheknoten 5 wie normale Anlagenteile 3 und Fehlerbeziehungen 6 wie nor¬ male Beziehungen 4 behandelt.
FIG 2 zeigt in einem Blockschaltbild eine Vorrichtung 20 zur Unterstützung der Störfallprävention der Industrieanlage 2.
Die Vorrichtung 20 umfasst eine Datenbank 21, in welcher so genannte „Engineering-Daten", insbesondere ein RI-Fließbild RI, der Anlage 2 in einem XML-Format („Extensible Markup Language") hinterlegt sind. Im Rahmen des RI-Fließbildes RI umfassen die Engineering-Daten auch Angaben zu der räumlichen Anordnung der Anlagenteile 3.
Weiterhin umfasst die Vorrichtung 20 ein Referenzmodul 22 zur Erstellung eines Referenzmodells Mr der Anlage 2, ein Ver¬ gleichsmodul 23 zur Feststellung eines Fehlerfalls, ein Aus¬ wertemodul 24 zur Ermittlung einer den Fehlerfall verursa¬ chenden Fehlerursache F, ein Prognosemodul 26 zur Ermittlung der Auswirkungen des Fehlerfalls sowie ein Reaktionsmodul 27 zur Ermittlung einer bedarfsweisen Ausgabe einer Handlungsempfehlung als Sicherheitsmaßnahme E, insbesondere zur Ver¬ hinderung eines Störfalls. Bei den Modulen 22-27 handelt es sich um Softwarebausteine eines Störfallpräventionsprogramms , das lauffähig in einer Rechneranlage (Computer) implementiert ist, aus der die Daten mit Hilfe von SQL-Datenbanken abgerufen werden.
Der Vorrichtung 20 zugeordnet ist zudem ein Prozessleitsystem 30, welches zur Erfassung der Prozesswerte Pw der jeweiligen Betriebsparameter P der Anlage 2 signaltechnisch mit dieser verbunden ist, sowie eine weitere Datenbank 31, in welcher die von dem Prozessleitsystem 30 erfassten Prozesswerte Pw in zumindest einer relationalen Datenbank archiviert werden.
Die in der Datenbank 31 archivierten Prozesswerte Pw, die das Verhalten der Anlage 2 in der Vergangenheit charakterisieren, werden dem Referenzmodul 22 als „historische" Prozesswerte Ph zur Verfügung gestellt. Die im Anlagenbetrieb jeweils aktuell erfassten Prozesswerte Pw werden dem Vergleichsmodul 23 von dem Prozessleitsystem 30 als aktuelle Prozesswerte Pa zur Verfügung gestellt.
In der Aus führungs form gemäß FIG 2 greift das Referenzmodul 22 zur Erstellung des Referenzmodells Mr zum einen auf das RI-Fließbild RI, zum anderen auf die historischen Prozess¬ werte Ph zu. Das Referenzmodul 22 ist hierbei insbesondere als neuronales Netzwerk implementiert, insbesondere in der
Form einer selbstorganisierenden Karte (Seif Organising Map, kurz: SOM) in Kombination mit Hauptkomponentenanalyse
(Principal Component Analysis, kurz: PCA) . Dabei werden zusammengehörige historische Prozesswerte Pw sowohl zeitlich als auch räumlich gruppiert.
Das Referenzmodul 22 ermittelt anhand des eingelernten Re¬ ferenzmodells Mr für jeden Betriebsparameter P einen mit dem aktuellen Anlagenbetrieb korrespondierenden Sollwert Ps, wobei dieser Sollwert Ps mit einer zugeordneten maximalen (positiven oder negativen) Abweichung As den jeweiligen
Gültigkeitsbereich des zugehörigen Prozessparameters P bildet. Die so ermittelten Sollwerte Ps sowie die jeweils maxi- male Abweichung As gibt das Referenzmodul 22 an das Ver¬ gleichsmodul 23 aus.
Das Vergleichsmodul 23 greift andererseits auf die von dem Prozessleitsystem 30 aktuell erfassten Messwerte Pw der Prozessparameter P zu und bestimmt die (aktuelle) Abweichung A des jeweiligen Prozesswertes Pw von dem jeweils ermittelten Sollwert Ps . Das Vergleichsmodul 23 ermittelt zudem durch lineare oder nichtlineare (z. B. quadratische, kubische, sinoidale, ex- ponentielle oder logarithmische) Regression eine Trend¬ funktion f, welche den gemittelten zeitlichen Verlauf der Abweichung A beschreibt. Das Vergleichsmodul 23 extrapoliert die Trendfunktion f in die Zukunft und prüft, ob der (durch den extrapolierten Verlauf der Trendfunktion f vorgegebene) Erwartungswert der Abweichung A innerhalb einer vorgegebenen zukünftigen (Extrapolations- ) Zeitspanne den vorgegebenen Schwellwert As überschreitet. Mit anderen Worten prüft das Vergleichsmodul, ob der jeweilige Prozessparameter P innerhalb der Extrapolations-Zeitspanne einen positiven oder negativen Zustand annehmen wird. Je nach der typischen Fluktuation des betrachteten Prozesswertes Pw kann die Extra¬ polations-Zeitspanne einen Zeitraum von Sekunden, Minuten, Stunden oder sogar Tagen betragen. Je schneller und unregelmäßiger sich der Prozesswert Pw typischerweise ändert, desto kleiner ist hierbei auch die Extrapolations-Zeitspanne ge¬ wählt . Falls das Vergleichsmodul 23 innerhalb des Extrapolations- Zeitraums eine Schwellwertüberschreitung durch die Trendfunktion f feststellt, wertet sie dies als Fehlerfall (ge¬ nauer als Anfangsverdacht auf einen zu erwartenden Fehlerfall) . In diesem Fall gibt das Vergleichsmodul 23 die zu jedem Prozessparameter P ermittelte Abweichung A an das Auswertemodul 24 weiter. Das Auswertemodul 24 greift ebenfalls auf das RI-Fließbild RI zu und erstellt automatisch das in FIG 1 gezeigte Fehler¬ modell Mf als gerichteten gewichteten Graphen (SDG) der Anlage 2. Das Auswertemodul 24 erstellt das Fehlermodell dabei insbesondere nach einem Verfahren, das in der unveröffent¬ lichten europäischen Patentanmeldung der Siemens AG mit dem amtlichen Aktenzeichen EP11180247.6, dem Anmeldetag
06.09.2011 und dem Titel „Unterstützung der Fehlerdiagnose einer Industrieanlage" im Einzelnen beschrieben ist.
Das Auswertemodul 24 bestimmt aus den Abweichungen A in der vorstehend beschriebenen Weise den Zustand eines Prozess¬ parameters P (bzw. des zugeordneten Anlagenteils 3) und wertet das mit den Zuständen versehene Fehlermodell Mf aus, wobei es mit Hilfe einer Fehlerrückverfolgung nach dem an sich bekannten ESFA („Extended Symptom-Fault Association" ) - Verfahren mögliche Fehlerursachen F sucht.
Dabei können - je nach der Komplexität des Fehlermodells Mf und der Art des Fehlerfalls - eine oder mehrere mögliche Fehlerursachen F ermittelt werden. Die oder jede von dem Auswertemodul 24 ermittelte Fehlerursache F umfasst hierbei eine Angabe zu dem fehlerbehafteten Anlagenteil 3 und dem Fehlertyp (z. B. Verstopfung, Leckage, Rohrbruch, Ausfall einer Anlagenkomponente, etc.) . Beide Angaben ermittelt das
Auswertemodul 24 anhand desjenigen Fehlerursacheknotens 5, zu dem der Fehlerfall in dem Fehlermodell Mf zurückverfolgt werden kann. Das Auswertemodul 24 gibt die oder jede ermittelte Fehler¬ ursache F an das Prognosemodul 26 aus. Dieses greift wiederum auf das RI-Fließbild RI zu und ermittelt die zu einem fehler¬ behafteten Anlagenteil 3 benachbarten Komponenten oder Anlagenteile 3. Dabei werden insbesondere nicht nur fluid- und signaltechnisch benachbarte Anlagenteile 3 ermittelt. Viel¬ mehr werden hierüber hinaus auch sich aus der räumlichen Anordnung der Anlagenteile 3 ergebende Nachbarkomponenten ermittelt, die in einer versteckten, d. h. nicht aus dem RI- Fließbild erkennbaren Beziehung zu dem fehlerbehafteten Anlagenteil 3 stehen können.
Das Prognosemodul 26 gibt die ermittelten Anlagenteile 3 an das Reaktionsmodul 27 aus, welches daraufhin eine Sicher¬ heitsmaßnahme E entwickelt. Die Sicherheitsmaßnahme E unter¬ stützt dabei insbesondere das Anlagenpersonal darin, einen möglicherweise aus dem Fehlerfall resultierenden Störfall zu vermeiden oder zumindest daraus entstehende Gefahren für Leib und Leben zu reduzieren. Im einfachsten Fall hat die Sicherungsmaßnahme E zum Inhalt, über das Prozessleitsystem 30 eine optische und/oder akustische Warnmeldung an einem Bedienbild bzw. einem Bediengerät der Industrieanlage 2 aus¬ zugeben. Die Warnmeldung ist dabei beispielsweise durch eine Textmeldung „Störfallgefahr!" gegeben, welche insbesondere im Bedienbild graphisch den ermittelten benachbarten Anlagenteilen 3 zugeordnet ist.
Dies ist für das Anlagenpersonal zum Überschauen der Situa- tion insbesondere daher hilfreich, da das Bedienbild häufig in Form einer vereinfachten RI-Darstellung angezeigt wird, so dass von dem Fehlerfall möglicherweise betroffene Anlagen¬ teile 3 in der Darstellung auf dem Bedienbild nicht unbedingt zu dem Fehler verursachenden Anlagenteil 3 benachbart sind.
Eine weitergehende Sicherungsmaßnahme E hat beispielsweise zum Inhalt, dass hinterlegte Handlungsempfehlungen, welche zu typischen Fehlerursachen F vorab ermittelt wurden, an dem Bedienbild ausgegeben werden und/oder mit Hilfe des Prozess- leitsystems automatisch durchgeführt werden. Solche Hand¬ lungsempfehlungen können beispielsweise das Abschalten/Ent¬ leeren von fehlerbehafteten Anlagenteilen, Abschalten/Entleeren von noch nicht fehlerbehafteten, aber räumlich benachbarten Anlagenteilen, Schließen/Öffnen von Ventilen, Kühlen von Anlagenteilen etc. sein. Wird beispielsweise eine mit einem erhöhten Druck einhergehende Fehlerursache bei einem Anlagenteil 3 ermittelt, so können an betroffenen Anlagenteilen 3 etwa vorab (bevor sich dort auch eine schwell- wertüberschreitende Druckerhöhung zeigt) Druckablassventile geöffnet werden.
Mögliche weitere Sicherungsmaßnahmen E können zum Inhalt haben, ein Alarmsignal in der Nähe der betroffenen Anlagenteile 3 auszulösen, eine Evakuierung von Personen in einem betroffenen Anlagenbereich zu veranlassen oder Sicherheitsschleusen zu schließen. In einer weiterentwickelten Aus führungs form der vorstehend beschriebenen Vorrichtung 20 wird das Fehlermodell Mf von dem Auswertemodul 23 automatisch in Anpassung an eine von ihm gefundene Fehlerursache F modifiziert. Beispielsweise wird im Falle eines als Fehlerursache F festgestellten Bruches einer zwei Anlagenteile 3 verbindenden Rohrleitung das Fehlermodell Mf automatisch dahin gehend modifiziert, dass die der Rohrleitung entsprechende Beziehung 4 der betroffenen Anlagenteile 3 aus dem SDG entfernt und durch einen oder mehrere Fehlerursacheknoten 5 ersetzt wird, die die Auswirkungen des Rohrbruchs auf die betroffenen Anlagenteile 3 darstellen.
Ebenso kann vorgesehen sein, dass bei einem als Fehlerursache F festgestellten Ausfall eines Anlagenteils 3 der zugehörige Knoten aus dem SDG entfernt und durch einen entsprechenden Fehlerursacheknoten 5 ersetzt wird.
Das entsprechend modifizierte Fehlermodell Mf wird dann anstelle des ursprünglichen Fehlermodells Mf zur erneuten Ermittlung der Fehlerursache F herangezogen. Insbesondere im Fall eines bereits eingetretenen Störfalls kann hierbei mit Hilfe des modifizierten Fehlermodells Mf eine adäquate
Reaktion vorgeschlagen werden, die eine weitere Eskalation oder räumliche Ausbreitung des Störfalls verhindert. Bei¬ spielsweise wird infolge der Nutzung des modifizierten
Fehlermodells Mf durch die Vorrichtung 20 automatisch be- rücksichtigt, dass bestimmte Anlagenteile (z. B. Kühlaggre¬ gate oder Sicherheitsventile) , die standardmäßig zur Ver¬ meidung des Störfalls eingesetzt worden wären, durch den bereits eingetretenen Störfall außer Kraft gesetzt worden sind. Auf diese Weise werden Sicherungsmaßnahmen, die durch die Umstände des Störfalls nutzlos oder sogar kontraproduktiv geworden sind, vermieden.
In FIG 3 ist die Vorrichtung 20 gemäß einer zweiten Ausführungsform ausgeführt. Die zweite Aus führungs form entspricht in wesentlichen Teilen der ersten Aus führungs form. In der zweiten Aus führungs form wird jedoch das Referenzmodell Mr durch eine Prozesssimulation der Anlage 2 erstellt. Dabei werden beispielsweise chemische Bilanzgleichungen, Kinetiken etc. herangezogen. Dabei wird insbesondere das Fließschema infinitesimal betrachtet und als Differenzialgleichungssystem numerisch berechnet. Zur Parametrierung der verwendeten
Modellgleichungen wird dabei auf die archivierten historischen Prozesswerte Ph zugegriffen.
In dem Vergleichsmodul 23 wird hier im Unterschied zur ersten Aus führungs form für jeden Parameter P ein jeweiliger Sollwert Ps (parallel zu dem Anlagenbetrieb) in Echtzeit simuliert. Jedem Parameter P ist wiederum ein Abweichungsschwellwert As zur Erkennung eines Fehlerfalls zugeordnet. Analog zur ersten Aus führungs form greift das Vergleichsmodul 23 auf durch das Prozessleitsystem 30 erfasste (aktuelle) Prozesswerte Pa zu und vergleicht diese mit den simulierten (für den jeweiligen Zeitpunkt gültigen) Sollwerten Ps . Wiederum wird für ermittelte Abweichungen A eine Trendfunktion f errechnet.
Bei Erkenntnis eines Fehlerfalls werden die ermittelten Ab¬ weichungen A wiederum an das Auswertemodul 24 ausgegeben.
Grundsätzlich kann die Auswertung auch hier durch einen gerichteten gewichteten ( Fehler- ) Graphen erfolgen. Alternativ dazu ist vorgesehen, dass die Auswertung durch eine betriebs¬ parallele Rück-Simulation anhand des Fehlermodells Mf er¬ folgt, wobei die aktuellen Prozesswerte Pa als Startparameter zur Simulation herangezogen werden. In einer Alternative ist vorgesehen, dass bei der Simulation anhand des Fehlermodells Mf gezielt Störungen eingebracht werden. Dabei werden mögliche Fehlerursachen F durch Vergleich der simulierten Auswirkungen der eingebrachten Störungen mit den tatsächlichen Auswirkungen des vorliegenden Fehlerfalls ermittelt.
Bei Erkenntnis einer Fehlerursache F (Anlagenteil 3 und
Fehlertyp) wird das Simulationsmodell Mf ggf. wiederum zu einem angepassten Fehlermodell Mf modifiziert, wobei zur anschließenden Simulation zur erneuten Fehlerursachenfindung wiederum aktuelle Prozesswerte Pa herangezogen werden.
Das Fehlermodell Mf oder ggf. das modifizierte Fehlermodell Mf wird schließlich von dem Prognosemodul 26 herangezogen, um die Auswirkungen des aufgetretenen Fehlerfalls abzuschät¬ zen. In der zweiten Aus führungs form greift das Prognosemodul 26 wiederum auf das RI-Fließbild zu und ermittelt zunächst die mittelbar oder unmittelbar von dem Fehlerfall betroffenen Anlagenteile 3, d. h. wiederum die zu dem Fehler verursachenden Anlagenteil 3 benachbarten Anlagenteile. Zusätzlich ermittelt das Prognosemodul 26 hier für die den betroffenen Anlagenteilen 3 zugeordneten Prozessparameter P optional jeweils einen Prognosewert X. Der jeweilige Prognosewert X wird dabei ausgehend von den zur Simulation notwendigen, aktuell vorliegenden Prozesswerten Pw durch Voraussimulation (schneller als in Echtzeit) abgeschätzt.
Das Prognosemodul 26 gibt hier zu jedem als betroffen ermit¬ telten Anlagenteil 3 den zugeordneten Prognosewert X an das Reaktionsmodul 27 aus.
Die von dem Reaktionsmodul 27 ermittelte Sicherheitsmaßnahme E beinhaltet dabei wiederum insbesondere die Ausgabe der be¬ troffenen Anlagenteile 3 sowie zusätzlich die Ausgabe der er¬ mittelten Prognosewerte X auf dem Bedienbild. Optional kann von dem Reaktionsmodul 27 ein Vergleich des je¬ weils ermittelten Prognosewerts X mit einem Sollwert, ins¬ besondere mit dem von dem Referenzmodul 22 ermittelten Soll¬ wert Ps, erfolgen, wobei das Reaktionsmodul 27 nur dann die Sicherheitsmaßnahme auslöst, wenn der ermittelte Prognosewert X um mehr als den Schwellwert As oder einen anderen festgelegten Schwellwert von dem Sollwert Ps abweicht. Die Si¬ cherheitsmaßnahme kann dann beispielsweise nur dann ausgelöst werden, wenn an einem der betroffenen Anlagenteile 3 die Gefahr eines als Störfall zu charakterisierenden Fehlerfalls besteht .
In einer weiterentwickelten Aus führungs form der Vorrichtung 20 ist das Reaktionsmodul 27 dazu ausgebildet, automatisch eine als Sicherheitsmaßnahme E dienende Handlungsempfehlung zu entwickeln. Hierzu greift das Reaktionsmodul 27 auf das RI-Fließbild RI zu und ermittelt die zu dem Fehler verursa¬ chenden Anlagenteil 3 zugehörigen Anlagenkomponenten, wobei nur solche Anlagenkomponenten in Betracht gezogen werden, deren Einstellung veränderlich ist (beispielsweise Ventile, Pumpen etc.) . Das Reaktionsmodul 27 simuliert unterschied¬ liche Einstellungsveränderungen der ermittelten Anlagenkomponenten, wobei wiederum jeweils die Prognosewerte X der betroffenen Anlagenteile ermittelt werden. Das Reaktionsmodul 27 gibt dann diejenige (n) Einstellungsveränderung ( en) als Handlungsempfehlung aus, bei denen die ermittelten Prognosewerte X unterhalb einer Störfallgrenze liegen.
Der Gegenstand der Erfindung ist nicht auf die vorstehend beschriebenen Ausführungsbeispiele beschränkt. Vielmehr kön¬ nen weitere Aus führungs formen der Erfindung von dem Fachmann aus der vorstehenden Beschreibung abgeleitet werden. Insbesondere können die anhand der verschiedenen Ausführungs¬ beispiele beschriebenen Einzelmerkmale der Erfindung und deren Ausgestaltungsvarianten auch in anderer Weise miteinander kombiniert werden.

Claims

Patentansprüche
1. Verfahren zur Unterstützung der Störfallprävention einer Industrieanlage (2), die eine Mehrzahl von miteinander ver- bundenen Anlagenteilen (3) umfasst, wobei jedes der Anlagenteile (3) mit dem oder jedem damit verbundenen Anlagenteil (3) in einer durch eine messtechnisch erfasste physikalische Messgröße (P) quantifizierten Beziehung (4) steht,
- wobei ein Fehlermodell (Mf) der Industrieanlage (2) er- stellt wird, in welchem hinterlegt wird, wie sich ein Feh¬ ler eines einzelnen Anlagenteils (3) auf dessen Beziehung (4) zu dem oder jedem damit verbundenen Anlagenteil (3) auswirkt,
- wobei für mindestens eine der genannten Messgrößen (P)
eine erste Bedingung (As) festgelegt wird, deren Erfüllung als Fehlerfall erkannt wird,
- wobei bei Erkennung eines Fehlerfalls anhand des Fehler¬ modells ein Anlagenteil (3) ermittelt wird, welches den Fehlerfall verursacht,
- wobei von dem Fehlerfall mittelbar oder unmittelbar betroffene Anlagenteile (3) ermittelt werden, indem anhand eines RI-Fließbildes (RI) der Industrieanlage (2) diejeni¬ gen Anlagenteile (3) ermittelt werden, welche mittelbar oder unmittelbar zu dem den Fehlerfall verursachenden An- lagenteil (3) benachbart sind, und
- wobei eine Sicherheitsmaßnahme (E) , insbesondere zur Ver¬ meidung eines Störfalls, eingeleitet wird, welche sich auf die betroffenen Anlagenteile (3) bezieht.
2. Verfahren nach Anspruch 1, wobei anhand des zeitlichen Verlaufs mindestens einer der Messgrößen (P) eine Trend¬ funktion (f) ermittelt wird und wobei der Eintritt des
Fehlerfalls durch Vergleich mindestens eines zukünftigen Werts der Trendfunktion (f) mit der zugehörigen ersten Be- dingung (As) bestimmt wird.
3. Verfahren nach einem der Ansprüche 1 oder 2, wobei als Fehlermodell (Mf) ein gerichteter gewichteter
Fehlergraph (1) der Industrieanlage (2) erstellt wird, wobei jeder Knoten des Graphen einen Anlagenteil (3) oder eine Fehlerursache (5) repräsentiert und wobei jede Kante des Graphen eine Beziehung (4, 6) repräsentiert.
4. Verfahren nach einem der Ansprüche 1 bis 3,
wobei ausgehend von einem aktuellen Messwert (Pw) mindestens einer der Messgrößen (P) mittels Prozesssimulation der Anlage (2) mindestens ein Prognosewert (X) für die zukünftige Ent¬ wicklung einer einem betroffenen Anlagenteil (3) zugeordneten Messgröße (P) ermittelt wird.
5. Verfahren nach Anspruch 4,
wobei eine zweite Bedingung festgelegt wird, deren Erfüllung als mit dem sicheren Anlagenbetrieb nicht-konformer Störfall erkannt wird, und wobei die Sicherheitsmaßnahme (E) nur dann eingeleitet wird, wenn der Prognosewert (X) die zweite Bedin¬ gung erfüllt.
6. Verfahren nach einem der Ansprüche 1 bis 5,
wobei als Sicherheitsmaßnahme (E) eine Handlungsempfehlung ausgegeben wird.
7. Verfahren nach einem der Ansprüche 1 bis 5,
wobei als Sicherheitsmaßnahme (E) automatisch eine Einstel¬ lung mindestens eines betroffenen Anlagenteils (3) und/oder des Fehler verursachenden Anlagenteils (3) verändert wird.
8. Verfahren nach einem der Ansprüche 3 bis 7,
- wobei zur Ermittlung der Sicherheitsmaßnahme (E) unabhängig voneinander die Auswirkungen mehrerer Veränderungen an der Einstellung mindestens eines Anlagenteils (3) simu¬ liert werden,
- wobei für jede Veränderung mindestens ein Prognosewert (X) eines einem betroffenen Anlagenteil (3) zugeordneten Prozessparameters (P) errechnet wird und - wobei diejenige Veränderung oder diejenigen Veränderungen, bei der bzw. denen der jeweils ermittelte Prognosewert (X) minimal ist, insbesondere unterhalb einer Störfallgrenze liegt, als Maßnahme ausgegeben wird bzw. werden.
9. Verfahren nach einem der Ansprüche 1 bis 8,
wobei das Fehlermodell (Mf) an einen zu erwartenden oder bereits eingetretenen Fehlerfall angepasst wird.
10. Vorrichtung (20) zur Unterstützung der Störfallprävention einer Industrieanlage (2) gemäß dem Verfahren nach einem der Ansprüche 1 bis 8,
- mit einem Vergleichsmodul (23), welches dazu eingerichtet ist, einen Fehlerfall zu erkennen,
- mit einem Auswertemodul (24), welches dazu eingerichtet ist, das Fehlermodell (Mf) der Anlage automatisch zu er¬ stellen und anhand des Fehlermodells (Mf) mindestens eine mögliche Fehlerursache (F) für den Fehlerfall zu ermit¬ teln,
- mit einem Prognosemodul (26), welches dazu eingerichtet ist, von dem Fehlerfall betroffene Anlagenteile (3) zu ermitteln, sowie
- mit einem Reaktionsmodul (27), welches dazu eingerichtet ist, die Sicherheitsmaßnahme (E) zu ermitteln und einzu¬ leiten .
PCT/EP2012/050384 2012-01-11 2012-01-11 Unterstützung der störfallprävention einer industrieanlage mit hilfe eines fehlermodells WO2013104419A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
PCT/EP2012/050384 WO2013104419A1 (de) 2012-01-11 2012-01-11 Unterstützung der störfallprävention einer industrieanlage mit hilfe eines fehlermodells

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/EP2012/050384 WO2013104419A1 (de) 2012-01-11 2012-01-11 Unterstützung der störfallprävention einer industrieanlage mit hilfe eines fehlermodells

Publications (1)

Publication Number Publication Date
WO2013104419A1 true WO2013104419A1 (de) 2013-07-18

Family

ID=45562968

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2012/050384 WO2013104419A1 (de) 2012-01-11 2012-01-11 Unterstützung der störfallprävention einer industrieanlage mit hilfe eines fehlermodells

Country Status (1)

Country Link
WO (1) WO2013104419A1 (de)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2018052433A1 (en) * 2016-09-16 2018-03-22 Siemens Aktiengesellschaft Generation of failure models for embedded analytics and diagnostic/prognostic reasoning
CN110879541A (zh) * 2019-09-10 2020-03-13 中国南方电网有限责任公司超高压输电公司检修试验中心 一种高压直流阀冷系统暂态离线仿真系统
CN114418144A (zh) * 2022-01-06 2022-04-29 合肥工业大学 一种除湿机故障分析方法及系统

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0428134A2 (de) * 1989-11-13 1991-05-22 Komatsu Ltd. Fehlerdiagnosegerät und Verfahren
EP0482526A2 (de) * 1990-10-24 1992-04-29 Osaka Gas Co., Ltd. Optimierungsverfahren für die Ablaufplanung beim Einlesen von Sensoren und der verzögerten Alarmauswertung in Echtzeit-Diagnosesystemen
US20080126040A1 (en) * 2006-08-23 2008-05-29 Kimberly-Clark Worldwide, Inc. Method for simulating a system having multiple failure modes

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0428134A2 (de) * 1989-11-13 1991-05-22 Komatsu Ltd. Fehlerdiagnosegerät und Verfahren
EP0482526A2 (de) * 1990-10-24 1992-04-29 Osaka Gas Co., Ltd. Optimierungsverfahren für die Ablaufplanung beim Einlesen von Sensoren und der verzögerten Alarmauswertung in Echtzeit-Diagnosesystemen
US20080126040A1 (en) * 2006-08-23 2008-05-29 Kimberly-Clark Worldwide, Inc. Method for simulating a system having multiple failure modes

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2018052433A1 (en) * 2016-09-16 2018-03-22 Siemens Aktiengesellschaft Generation of failure models for embedded analytics and diagnostic/prognostic reasoning
CN109791401A (zh) * 2016-09-16 2019-05-21 西门子股份公司 生成用于嵌入式分析和诊断/预测推理的故障模型
US10635094B2 (en) 2016-09-16 2020-04-28 Siemens Aktiengesellschaft Failure models for embedded analytics and diagnostic/prognostic reasoning
EP3497527B1 (de) 2016-09-16 2022-06-22 Siemens Aktiengesellschaft Erzeugung von fehlermodellen für eingebettete analytik und diagnose
CN110879541A (zh) * 2019-09-10 2020-03-13 中国南方电网有限责任公司超高压输电公司检修试验中心 一种高压直流阀冷系统暂态离线仿真系统
CN110879541B (zh) * 2019-09-10 2020-11-20 中国南方电网有限责任公司超高压输电公司检修试验中心 一种高压直流阀冷系统暂态离线仿真系统
CN114418144A (zh) * 2022-01-06 2022-04-29 合肥工业大学 一种除湿机故障分析方法及系统

Similar Documents

Publication Publication Date Title
EP2092499B1 (de) Verfahren und einrichtung zur optimierung einer alarmkonfiguration
EP2587329B1 (de) Unterstützung der Fehlerdiagnose einer Industrieanlage
EP3279756B1 (de) Diagnoseeinrichtung und verfahren zur überwachung des betriebs einer technischen anlage
EP3232282B1 (de) Diagnoseeinrichtung und verfahren zur überwachung des be-triebs einer technischen anlage
DE102009046758A1 (de) Sich selbst überwachende Durchflussmessanordnung und Verfahren zu deren Betrieb
WO2006013021A2 (de) Verfahren und einrichtung zur funktionsprüfung eines feldgerätes vor dessen erstinbetriebnahme
DE102009051446B4 (de) Verfahren und Vorrichtung zur Überwachung eines Prozesses und/oder einer technischen Anlage
DE102011115244A1 (de) Verfahren und System zur Überwachung des Betriebszustands einer Pumpe
WO2013104419A1 (de) Unterstützung der störfallprävention einer industrieanlage mit hilfe eines fehlermodells
EP1448971B1 (de) Verfahren zur funktionsüberwachung von druckmittelleitungen sowie zugehörige einrichtung
EP3875820B1 (de) Verfahren zum überprüfen der funktionsfähigkeit eines sicherheitsventils
EP1537398A1 (de) Verfahren zur leckprüfung von rohren und rohrsystemen
DE112020007099T5 (de) Verbesserte mustererkennungstechnik für datengesteuerte fehlererkennung in einer prozessanlage
DE202011051196U1 (de) Überwachungssystem für einen Wasserkreislauf
EP3676579A1 (de) Differenzdruckmessanordnung
DE102017100416A1 (de) Verfahren zur Erkennung einer Leckage, Überwachungseinrichtung und Computerprogramm hierzu
EP1598717A2 (de) Verfahren zum Überwachen einer Mehrzahl von Gasanlagen
WO2006034852A1 (de) Verfahren und einrichtung zur diagnose von innerhalb einer industriellen anlage angeordneten technischen geräten
EP3844582A1 (de) Verfahren zum überwachen einer messstelle in einer anlage der prozessautomatisierung
WO2018054686A1 (de) Tragbare vorrichtung zum diagnostizieren eines prozessfluidführenden stellgeräts und verfahren zur diagnose des zustands eines prozessfluidführenden stellgeräts
EP4230987B1 (de) Erkennung einer anomalie in einem system der fluidtechnik
EP4063980A1 (de) Ursachenanalyse einer anomalie auf basis von simulierten symptomen
EP4264214A1 (de) System und verfahren zur thermischen überwachung grosser wälzlager
AT16973U1 (de)
EP3748449A1 (de) Ursachenanalyse bei meldungen eines technischen systems

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 12702443

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 12702443

Country of ref document: EP

Kind code of ref document: A1