UNTERSTÜTZUNG DER STÖRFALLPRÄVENTION EINER INDUSTRIEANLAGE MIT HILFE EINES FEHLERMODELLS

Die Erfindung bezieht sich auf ein Verfahren zur Unterstützung der Störfallprävention einer Industrieanlage. Die Erfindung bezieht sich weiterhin auf eine zugehörige Vorrichtung .

Der Begriff Industrieanlage bezieht sich hier und im Folgen ^¬ den insbesondere auf eine prozesstechnische oder verfahrens ^¬ technische Anlage aus dem Bereich der chemischen Industrie, Getränke- und Lebensmitteltechnik, Umwelttechnik, Pharmaindustrie oder Gas- und Ölindustrie.

Eine derartige Industrieanlage umfasst in der Regel eine Vielzahl von einzelnen, miteinander verschalteten Anlagenkomponenten. Typische Anlagenkomponenten einer verfahrens- oder prozesstechnischen Anlage sind dabei Behälter, Reaktoren, Rohrleitungen, Armaturen usw. Diese werden im Zuge eines Herstellungsprozesses von Ausgangsstoffen, insbesondere von Fluiden, unter Veränderung/Verarbeitung der Ausgangsstoffe zu einem daraus resultierenden Produkt durchlaufen.

Mehrere Anlagenkomponenten sind häufig zu inhaltlich und meist räumlich zusammengeschalteten Anlagenteilen (so genannten Units) zusammengefasst . Ein Anlagenteil „Reaktor" umfasst beispielsweise eine Vielzahl von Anlagenkomponenten „Rohrleitungsabschnitt", „Ventil", „Vorlagebehälter" usw.

Den einzelnen Anlagenkomponenten sind üblicherweise Prozessoder Betriebsparameter zugeordnet. Ein Wert oder Messwert (im Folgenden auch als Prozesswert bezeichnet) eines Prozesspara ^¬ meters beschreibt dabei einen Zustand der jeweiligen Anlagen ^¬ komponente oder des in der Anlagenkomponente zu verarbeiten ^¬ den Fluids, welcher normalerweise im Laufe des Prozesses ver ^¬ änderlich ist. Solche Prozessparameter sind zum einen insbesondere eine Temperatur, ein Druck, eine Durchfluss- geschwindigkeit oder ein damit korrespondierender Massenstrom des Fluids. Zum anderen kann ein solcher Betriebsparameter aber auch eine zu der jeweiligen Anlagenkomponente gehörige Einstellung beschreiben, beispielsweise eine Ventilstellung (die dann z. B. die Werte „offen", „geschlossen", „teilweise geschlossen" annehmen kann) oder eine Pumpenleistung oder eine Pumpendrehzahl.

Im Folgenden werden die oben genannten Prozessparameter in zwei Gruppen unterschieden, nämlich in beobachtbare (messtechnisch erfassbare) Prozessparameter und solche, die nicht beobachtbar sind.

Beobachtbare Prozessparameter werden meist (zumindest teil- weise) an einem Bedienbild einer Leit- oder Prozesswarte der Industrieanlage dargestellt. Das Bedienbild zeigt dabei oft ein schematisches, meist vereinfachtes Fließbild der Anlage. Dabei umfasst das Bedienbild mehrere „Bedienob ekte", wobei jedes Bedienobjekt jeweils einer Anlagenkomponente zugeordnet ist. Ein Bedienobjekt dient dabei dazu, aktuelle Prozesswerte oder Betriebsdaten (insbesondere Ist-, Soll- und Stellwerte eines beobachtbaren Prozessparameters) dieser Anlagenkompo ^¬ nente darzustellen. Tritt im Betrieb der Anlage ein Fehler auf, wodurch ein Prozessparameter von einem vorgegebenen Sollwert um mehr als eine bestimmte Alarmschwelle abweicht, so wird durch das Bedienobjekt üblicherweise ein Alarm (z. B. graphisch) ausgegeben.

Anhand eines solchen Alarms eine Fehlerursache zu finden und damit beheben zu können, ist aufgrund der meist sehr hohen

Komplexität der Anlage und der daraus resultierenden Informa ^¬ tionsvielfalt und -dichte des entsprechenden Bedienbilds je ^¬ doch oft sehr schwierig und entsprechend zeitaufwändig . Eine zu spät erkannte Fehlerursache und damit ein zu spät behobener Fehler kann jedoch mitunter schwerwiegende Folgen, insbesondere den Eintritt eines Störfalls, nach sich ziehen. Dabei wird im Folgenden zwischen einem „Fehlerfall" und einem „Störfall" unterschieden. Bei einem „Fehlerfall" handelt es sich danach im Allgemeinen um eine Abweichung von dem bestimmungsgemäßen Betriebsverhalten der Industrieanlage bzw. eines Anlagenteils oder einer Anlagenkomponente. Betriebsparameter, welche der fehlerbehafteten Anlagenkomponente (Anlagenteil) zugeordnet sind, weichen dabei von Werten ab, welche einem bestimmungsgemäßen Betriebszustand zugeordnet sind, können jedoch noch innerhalb von Grenzen liegen, welche zur Aus- legung bzw. Dimensionierung des Anlagenteils (der Anlagenkomponente) in Betracht gezogen wurden.

Im Gegensatz dazu bezeichnet der Begriff „Störfall" einen Zustand der Industrieanlage (eines Teils der Industrieanlage oder einer Anlagenkomponente) , in welchem zugehörige Be ^¬ triebsparameter außerhalb von zur Auslegung/Dimensionierung der Anlage herangezogenen Werten liegen. Ein Störfall wird in diesem Sinne als ein schwerwiegender Fehlerfall verstanden, welcher insbesondere dadurch gekennzeichnet ist, dass gra- vierende Folgen, insbesondere Gesundheits- oder Lebensgefahr für Menschen in der Umgebung der Anlage und/oder sonstige UmweltSchäden, eintreten können.

Ein solcher Störfall sollte möglichst frühzeitig, im Ideal- fall bereits rechtzeitig vor seiner Entstehung, erkannt werden, um geeignete Gegenmaßnahmen ergreifen zu können und so den Störfall bzw. eine weitere Eskalation zu verhindern.

Eine übliche Methode, die Gefahr der Entstehung eines Stör- falls einer Industrieanlage zu reduzieren, besteht darin, die Anlage in einem so genannten PAAG („Prognose, Auffinden der Ursache, Abschätzen der Auswirkungen, Gegenmaßnahmen" ) -Verfahren (engl.: HAZOP - „Hazard and Operability" ) im Rahmen einer Risikoabschätzung zu analysieren.

Dabei werden von einem Expertenteam systematisch alle Teile der Industrieanlage unter Betrachtung von fehlerhaften Zuständen untersucht. D. h., eine oder mehrere Sollfunktionen für den betrachteten Teil (Anlagenteil, Verfahrensabschnitt, Aggregat, Apparat, etc.) werden definiert, mit denen die vorgesehene Funktionalität beschrieben wird. Anhand von ein ^¬ fachen Leitworten (ja/nein, mehr/weniger, sowohl als auch, teilweise, anders als) werden dann die „Ausführung" der Soll ^¬ funktion entsprechend geändert, die daraus resultierenden Konsequenzen diskutiert und so Ursachen für AblaufStörungen bis hin zu Störfällen erkannt. Auf Basis dieses Verfahrens werden dann sicherheitsrelevante Prozessparameter ausgewählt und im Betrieb der Anlage auf eine Schwellwertüberschreitung hin überwacht. Bei Über- oder Unterschreitungen von vorgegebenen Schwellwerten werden die Industrieanlage oder zumindest der relevante Anlagenteil ab- geschaltet und/oder andere Notmaßnahmen eingeleitet.

Der Erfindung liegt die Aufgabe zugrunde, die Störfallpräven ^¬ tion bei einer Industrieanlage zu verbessern. Bezüglich eines Verfahrens wird obige Aufgabe erfindungsgemäß gelöst durch die Merkmale des Anspruchs 1. Das Verfahren unterstützt dabei die Störfallprävention einer Industrie ^¬ anlage, die eine Mehrzahl von miteinander verbundenen Anlagenteilen umfasst. Als Anlagenteil (engl. „Unit") wird dabei insbesondere ein von anderen Anlagenteilen abgrenzbarer Teil der Gesamtanlage, nämlich eine einzelne Anlagenkomponen ^¬ te oder ein Apparat aus prozesstechnisch zusammenhängenden einzelnen Anlagenkomponenten, bezeichnet. Als „Anlagenkompo ^¬ nente" wird ein „atomares" Element der Anlage bezeichnet, das selbst nicht mehr ohne Funktionsverlust weiter aufteilbar ist, z. B. ein einzelnes Ventil, ein einzelner Sensor, eine einzelne Pumpe, ein Vorratsbehälter, etc. Ein durch mehrere solcher Anlagenkomponenten gebildeter Anlagenteil könnte beispielsweise durch einen Vorratsbehälter mit zugeordnetem Füllstandsmesser, einem zugehörigen Einlassventil sowie einem zugehörigen Auslassventil gebildet sein. Jeder der Anlagenteile steht dabei mit dem oder jedem damit verbundenen Anlagenteil in einer Beziehung, die durch eine messtechnisch erfasste physikalische Messgröße (im Folgenden auch mit „Betriebs- oder Prozessparameter" bezeichnet) quan-

Die Beziehung zwischen zwei Anlagenteilen wird hierbei einerseits durch Messgrößen erfasst, welche unmittelbar einem der Anlagenteile selbst zugeordnet sind (wie beispielsweise eine Temperatur oder ein Druck in einem Reaktor) , wenn diese Messgröße eine Messgröße beeinflussen kann oder beeinflusst, die dem jeweils anderen Anlagenteil zugeordnet ist.

Andererseits wird die Beziehung zweier Anlagenteile durch Messgrößen erfasst, welche unmittelbar einen Transportvorgang zwischen zwei Anlagenteilen spezifizieren (beispielsweise einen Stoffstrom in einer die Anlagenteile verbindenden Rohrleitung, welcher durch Eigenschaften wie Massenstrom, Konzentrationen der enthaltenen Stoffe, Fließgeschwindigkeit, etc. näher charakterisiert sein kann) .

Schließlich kann eine Beziehung zwischen zwei Anlagenteilen auch durch einen Signalfluss (z. B. durch eine elektrische Spannung oder Stromstärke in einem Regelkreis oder einer an- deren Automatisierungsfunktion) quantifiziert sein.

Die physikalischen Messgrößen, die die Beziehungen zwischen zwei Anlagenteilen quantifizieren, werden vorzugsweise direkt an dem Übergang zwischen diesen Anlagenteilen gemessen. In Einzelfällen kann eine solche Messgröße aber auch aus anderen Messgrößen der betroffenen Anlagenteile und/oder sonstiger Anlagenteile berechnet werden, insbesondere dann, wenn am Übergang zwischen zwei Anlagenteilen keine Messstelle vorhanden ist. Beispielsweise kann der Massenfluss zwischen zwei Anlagenteilen unter Annahme der Massenerhaltung auch aus den sonstigen Massen-Zuflüssen und Massen-Abflüssen dieser Anlagenteile berechnet werden. Erfindungsgemäß wird ein Fehlermodell der Industrieanlage erstellt, in welchem hinterlegt wird, wie sich ein Fehler eines einzelnen Anlagenteils, also eine Abweichung des An ^¬ lagenteils von seinem bestimmungsgemäßen Sollverhalten, auf dessen Beziehung zu dem oder jedem damit verbundenen Anlagenteil auswirkt.

Zur Erkennung eines Fehlerfalls wird dabei für mindestens eine, vorzugsweise für jede der genannten Messgrößen eine erste Bedingung festgelegt, deren Erfüllung verfahrensgemäß als Fehlerfall erkannt wird. Je nach Anwendungsfall kann die Bedingung derart gewählt sein, dass bereits bei einem „harm ^¬ losen" Abweichen vom Sollverhalten ein Fehlerfall erkannt wird, die Bedingung kann jedoch auch derart gewählt sein, dass erst der Eintritt eines Störfalls als Fehlerfall erkannt wird .

Im Betrieb der Industrieanlage wird vorzugsweise fortlaufend, d. h. kontinuierlich oder in vorgegebenen Zeitabständen, ge- prüft, ob eine der ersten Bedingungen durch die zugehörige

Messgröße erfüllt wird, ob also eine der geprüften Messgrößen eine fehlerhafte Anomalie zeigt. Dabei kann im Rahmen der Er ^¬ findung anstelle der Messgröße selbst auch eine daraus ab ^¬ geleitete Größe betrachtet werden.

In bevorzugter Aus führungs form des Verfahrens wird dabei für mindestens eine, vorzugsweise jede der genannten Messgrößen ein (während des Betriebs der Anlage veränderlicher, aber zu einem jeweiligen Zeitpunkt fest vorgegebener) Sollwert fest- gelegt. Die Festlegung der jeweiligen Sollwerte erfolgt dabei insbesondere mit Hilfe von historischen Daten über das Verhalten der Anlage, insbesondere durch SOM („Seif Organising Maps") oder PCA („Principal Component Analysis") . Die oder jede Messgröße wird jeweils auf eine maximale Abweichung zu dem jeweiligen Sollwert hin überwacht, wobei eine Überschrei ^¬ tung der jeweiligen (betragsmäßigen) Abweichung als Fehlerfall erkannt wird. Wird die Erfüllung einer der ersten Bedingungen und somit ein Fehlerfall erkannt, so wird erfindungsgemäß anhand des Feh ^¬ lermodells eine den Fehlerfall auslösende Fehlerursache er ^¬ mittelt. Eine Fehlerursache kann dabei durchaus auch einem anderen Anlagenteil zugeordnet sein als dem Anlagenteil, an welchem sich der Fehler manifestiert.

Ausgehend von dem der Fehlerursache zugeordneten Anlagenteil werden nun erfindungsgemäß Anlagenteile ermittelt, welche von dem Fehlerfall betroffen sind oder zumindest betroffen sein können. Hierzu werden mit Hilfe eines RI-Fließbildes (auch als R&I-Fließschema, „Rohrleitungs- und Instrumentenfließ- schema" bezeichnet) Anlagenteile ermittelt, welche zu dem den Fehlerfall verursachenden Anlagenteil mittelbar oder un- mittelbar benachbart sind. In dem RI-Fließbild ist dabei insbesondere auch die dreidimensionale Anordnung der einzel ^¬ nen Anlagenteile der Industrieanlage hinterlegt. Als „mittel ^¬ bar" benachbart sind dabei Anlagenteile bezeichnet, welche mittels einer Rohrleitung oder mittels einer (ggf. auch drahtlosen) Signalleitung mechanisch bzw. signaltechnisch miteinander verbunden sind. Derartig „benachbarte" Anlagenteile müssen demnach gemäß ihrer räumlichen Anordnung nicht unbedingt nebeneinander angeordnet sein. Als „unmittelbar" benachbart bezeichnet sind dagegen Anlagenteile, welche gemäß ihrer räumlichen Anordnung tatsächlich nebeneinander angeordnet sind.

Schließlich wird erfindungsgemäß eine Sicherheitsmaßnahme eingeleitet, welche sich auf die von dem Fehlerfall betrof- fenen Anlagenteile bezieht. Das Anlagenpersonal wird dabei durch die Sicherheitsmaßnahme insbesondere dahin gehend unterstützt, einen Störfall zu vermeiden, zumindest aber eine Eskalation eines bereits eingetretenen Störfalls zu verhindern .

Eine solche Sicherheitsmaßnahme umfasst insbesondere im ein ^¬ fachsten Fall eine Ausgabe eines Warnhinweises an einem Be ^¬ dienbild der Industrieanlage oder „vor Ort" die Ausgabe eines Warnsignals bei dem als betroffen ermittelten Anlagenteil oder den als betroffen ermittelten Anlagenteilen, beispielsweise mit Hilfe eines an dem jeweiligen Anlagenteil befind ^¬ lichen Messgeräts.

Vorteilhafterweise werden durch das erfindungsgemäße Verfah ^¬ ren frühzeitig mögliche Auswirkungen eines Fehlerfalls er ^¬ kannt. Zum einen wird vorteilhaft eine Fehlerursache auf ^¬ gedeckt, welche möglicherweise bei einem anderen Anlagenteil zu finden ist als an dem Anlagenteil, an welchem sich der Fehler durch die Abweichung eines Betriebsparameters zeigt. Zum anderen ist es durch die Komplexität einer eingangs be ^¬ schriebenen Industrieanlage normalerweise nicht ohne weiteres möglich, bei Auftreten eines Fehlerfalls oder gar eines Störfalls bei einem einzelnen Anlagenteil abzuschätzen, welche weiteren Anlagenteile durch diesen Fehlerfall in Mitleidenschaft gezogen werden könnten. Vorteilhafterweise werden diese betroffenen Anlagenteile erfindungsgemäß jedoch er ^¬ mittelt und im Rahmen der Sicherheitsmaßnahme zumindest auf ^¬ gezeigt. Hierdurch kann vorteilhafterweise auch bei mögli ^¬ cherweise betroffenen Anlagenteilen frühzeitig auf einen bevorstehenden Fehlerfall reagiert werden.

In einer bevorzugten Variante des Verfahrens wird anhand des zeitlichen Verlaufs der beobachteten Messgröße, d. h. anhand mindestens zweier zu aufeinander folgenden Zeitpunkten erhobener Messwerte der Messgröße, eine lineare oder nicht ^¬ lineare Trendfunktion der Messgröße ermittelt. Dabei wird der Eintritt eines Fehlerfalls durch Vergleich mindestens eines zukünftigen Werts der Trendfunktion mit der zugehörigen ersten Bedingung, insbesondere durch Vergleich der oben genannten Abweichung zu einem Sollwert mit einem ersten Schwellwert, erkannt.

Vorteilhafterweise wird hierdurch besonders früh erkannt, ob potentiell ein Fehlerfall eintreten wird. Bei einem solchen „Anfangsverdacht" werden dann frühzeitig ein diesen Fehler ^¬ fall verursachender Anlagenteil sowie die davon möglicher- weise betroffenen Anlagenteile ermittelt. Hierdurch kann vorteilhafterweise eine besonders frühzeitige Reaktion auf die Gefahr der Entstehung eines Störfalls erfolgen. In einer bevorzugten Variante des Verfahrens wird, insbe ^¬ sondere automatisiert, als Fehlermodell ein gerichteter ge ^¬ wichteter Fehlergraph der Industrieanlage erstellt, wobei jeder Knoten des Graphen einen Anlagenteil oder eine Fehlerursache repräsentiert und wobei jede Kante des Graphen eine Beziehung repräsentiert.

Mit dem Begriff „Graph" ist dabei im Folgenden im Sinne der so genannten Graphentheorie eine Darstellung bezeichnet, welche die einzelnen Prozessparameter oder Messgrößen der Anlagenteile sowie zwischen den einzelnen Messgrößen der Anlagenteile bestehende Verbindungen und Wechselwirkungen (Beziehungen) repräsentiert. Dabei ist jedem Anlagenteil oder jedem zugehörigen Prozessparameter ein „Knoten" zugeordnet. Die Verbindungen zwischen den einzelnen Knoten sind als „Kanten" bezeichnet. Die Kanten sind insofern „gerichtet", als sie eine Wirkrichtung einer zugeordneten Wechselwirkung von einem unabhängigen Prozessparameter auf einen davon abhängigen Prozessparameter anzeigen. Die gerichteten Kanten werden in dem Graphen durch Pfeile repräsentiert, die in die Wirkrichtung zeigen. Bei einem „gewichteten" Graphen wird jeder Kante ein Wert zugeordnet, welcher zumindest den Betrag der Auswirkung, bevorzugt sowohl den Betrag als auch die Stärke der Auswirkung, repräsentiert. In dem Fehlergraphen sind zusätzliche Fehlerursacheknoten eingefügt, die keine Entsprechung in körperlichen Anlagenkomponenten haben. In solchen Fehlerursacheknoten sind die Auswirkungen von typischen Fehlerursachen, wie beispielsweise Verstopfungen, Leckagen, Fehlfunktionen von Sensoren oder Pumpen, auf einen oder mehrere Prozessparameter der Industrieanlage hinterlegt. Entsprechend enthält jeder Fehler ^¬ ursacheknoten eine gerichtete, gewichtete Kante zu einem Knoten oder mehreren Knoten des Graphen, der einer körperlichen Anlagenkomponente entspricht.

Zusätzlich oder alternativ wird zur Erstellung des Fehler- modells das eingangs beschriebene PAAG-Verfahren heran ^¬ gezogen .

In einer weiteren Variante des Verfahrens wird ausgehend von einem aktuellen Messwert mindestens einer der Messgrößen (ei- nem aktuell erfassten Messwert eines Prozessparameters) mit ^¬ tels Prozesssimulation der Anlage mindestens ein Prognosewert für die zukünftige Entwicklung einer einem betroffenen Anlagenteil zugeordneten Messgröße ermittelt. Dabei erfolgt die Simulation des oder jeden Prognosewerts zweckmäßigerweise schneller als in Echtzeit. Indem ein Prozesswert für einen (vorzugsweise für jeden) Prozessparameter, welcher jeweils einem von dem Fehlerfall betroffenen Anlagenteil zugeordnet ist, ermittelt wird, kann vorteilhafterweise besonders gut abgeschätzt werden, wie und vor allem in welchem Maße sich ein Fehlerfall eines Anlagenteils auf einen oder jeden davon betroffenen Anlagenteil auswirkt. Im Rahmen der Sicherheits ^¬ maßnahme wird in diesem Fall insbesondere jeder ermittelte Prognosewert an einem Bedienbild angezeigt. In einer Weiterentwicklung des Verfahrens wird die erste

Bedingung derart festgelegt, dass deren Erfüllung mit einem sicheren Anlagenbetrieb konform ist, d. h., bereits bei Ein ^¬ tritt eines mit einem sicheren Anlagenbetrieb noch verein ^¬ baren Fehlerfalls wird verfahrensgemäß eine Fehlerursache gesucht. Zusätzlich wird jedoch eine zweite Bedingung fest ^¬ gelegt, deren Erfüllung als ein mit dem sicheren Anlagenbetrieb nicht-konformer Fehlerfall oder als ein Störfall erkannt wird. Dabei wird die Sicherheitsmaßnahme nur dann eingeleitet, wenn der Prognosewert die zweite Bedingung erfüllt. Im Rahmen dieser Verfahrensvariante wird demnach mittels Prozesssimulation abgeschätzt, ob die Gefahr besteht, dass sich ein vergleichsweise harmloser Fehlerfall zu einem Störfall ausweitet. Die Sicherheitsmaßnahme wird dabei nur dann eingeleitet, wenn anhand des (mindestens einen) Prog ^¬ nosewertes davon auszugehen ist, dass ein Störfall eintritt.

Insbesondere wird dabei die Sicherheitsmaßnahme eingeleitet, wenn ein prognostizierter Wert des dem Anlagenteil zugeordneten Prozessparameters außerhalb der Werte liegt, für die der entsprechende Anlagenteil ausgelegt/dimensioniert ist.

Als Sicherheitsmaßnahme wird in einer bevorzugten Ausfüh- rungsform des Verfahrens eine insbesondere für die Art des Störfalls spezifische Handlungsempfehlung ausgegeben.

Vorzugsweise wird die Handlungsempfehlung an einem Bedienbild der Industrieanlage ausgegeben. Die Textmeldung wird dabei insbesondere einem an dem Bedienbild dargestellten Anlagenteil graphisch zugewiesen, welcher der Fehlerursache zugeordnet ist und/oder als von der Fehlerursache betroffener Anlagenteil ermittelt wurde. Da das Bedienbild häufig als ein zweidimensionales, vereinfachtes RI-Fließbild dargestellt ist, wird hierdurch für das Bedienpersonal vorteilhafterweise besonders leicht ersichtlich, welche Anlagenteile von dem Fehlerfall betroffen sind, auch wenn diese nur aufgrund ihrer räumlichen Nähe zu dem Fehler verursachenden Anlagenteil in Mitleidenschaft gezogen sein können und auf dem Bedienbild an weit entfernter Stelle zu dem Fehler verursachenden Anlagenteil dargestellt sind.

In einer hinsichtlich der Unterstützung des Bedienpersonals bevorzugten Verfahrensvariante wird als Sicherheitsmaßnahme nach Maßgabe eines vorgegebenen Handlungsschemas automatisch eine Einstellung mindestens eines Anlagenteils verändert. Insbesondere wird eine automatische Notabschaltung des be ^¬ troffenen Anlagenteils oder der betroffenen Anlagenteile ausgelöst .

In einer Weiterentwicklung des Verfahrens ist vorgesehen, dass bei einem erkannten Fehlerfall virtuell mindestens zwei potentiell zur Führung der Anlage in einen sicheren Zustand geeignete Veränderungen jeweils einer Einstellung eines Anlagenteils simuliert werden, wobei für jede veränderte Ein ^¬ stellung die Wahrscheinlichkeit des Eintretens eines Stör ^¬ falls ermittelt wird und wobei diejenige Veränderung, bei der die Wahrscheinlichkeit für den Eintritt eines Störfalls am geringsten ist, als Handlungsempfehlung ausgegeben wird.

Zusätzlich oder alternativ wird für jede simulierte Veränderung mindestens ein Prognosewert eines Prozessparameters berechnet, der einem betroffenen Anlagenteil zugeordnet ist. Daher wird diejenige Veränderung als Maßnahme ausgegeben, für die der Prognosewert - bei mehreren berücksichtigten Prozess ^¬ parameter ein (ggf. geeignet gewichteter) Mittelwert der Prognosewerte - minimal ist, insbesondere unterhalb der vor- gegebenen Störfallgrenze liegt.

In einer weiteren Verfahrensvariante wird das Fehlermodell an einen zu erwartenden oder bereits eingetretenen Störfall an- gepasst. Beispielsweise kann im Falle eines Rohrbruchs die dieser Verbindung zugehörige Beziehung aus dem Fehlermodell entfernt werden. Das modifizierte Fehlermodell wird dann zur erneuten Ermittlung einer Fehlerursache herangezogen, woraufhin erneut diejenigen Anlagenteile ermittelt werden, welche von dieser Fehlerursache betroffen sind oder sein können.

Bezüglich einer Vorrichtung zur Unterstützung der Störfallprävention einer Industrieanlage wird oben genannte Aufgabe erfindungsgemäß durch die Merkmale des Anspruchs 10 gelöst. Die Vorrichtung umfasst ein Auswertemodul, welches dazu eingerichtet ist, ein Fehlermodell der Anlage zu erstellen, ein Vergleichsmodul, welches dazu eingerichtet ist, einen Fehlerfall zu erkennen, sowie ein Prognosemodul, welches dazu eingerichtet ist, mögliche Auswirkungen eines Fehlerfalls zu ermitteln. In einer bevorzugten Aus führungs form umfasst die Vorrichtung zudem ein Reaktionsmodul, welches dazu eingerichtet ist, eine geeignete Maßnahme zur Verhinderung eines Stör ^¬ falls oder zumindest zur Reduzierung von gravierenden Folgen eines Störfalls automatisch zu ermitteln. Nachfolgend werden Ausführungsbeispiele der Erfindung anhand von Zeichnungen näher erläutert. Darin zeigen: in schematischer Darstellung ein Fehlermodell einer Industrieanlage mit einer Mehrzahl von Anlagenteilen, wobei jeder Anlagenteil mit mindestens einem damit verbundenen weiteren Anlagenteil in einer durch eine erfasste Mess ^¬ größe quantifizierten Beziehung steht,

in einem schematischen Blockschaltbild eine Vorrichtung zur Unterstützung der Störfallprävention bei der Industrieanlage gemäß FIG 1 und

in Darstellung gemäß FIG 2 eine alternative Aus führungs form der Vorrichtung.

Einander entsprechende Teile und Größen sind in allen Figuren stets mit den gleichen Bezugszeichen versehen. FIG 1 zeigt ein Fehlermodell Mf einer Industrieanlage 2.

Die Anlage 2 umfasst eine Mehrzahl von einzelnen Anlagenteilen 3, von denen jeder durch ein Aggregat von zusammengehörigen Anlagenkomponenten gebildet ist.

Jedem Anlagenteil 3 ist dabei ein (beobachtbarer) Prozess ^¬ parameter P, d. h. eine für diesen Anlagenteil 3 charakte ^¬ ristische Messgröße zugeordnet. Ein dem jeweiligen Prozess ^¬ parameter P zugeordneter (erfasster) Messwert ist dabei im Folgenden auch als dessen Prozesswert Pw (FIG 2) bezeichnet. Die Prozessparameter P werden vorzugsweise direkt am Ort des jeweiligen Anlagenteils 3 messtechnisch erfasst. Prozess ^¬ parameter P, die wegen fehlender Messorte, aufgrund zu großen Aufwands oder aus anderen Gründen nicht direkt erfassbar sind, werden unter Zugrundelegung von physikalischen oder chemischen Wechselwirkungen und/oder Annahmen aus anderen messtechnisch erfassten Messgrößen berechnet. Das Fehlermodell Mf ist hier als gerichteter, gewichteter Fehlergraph der Industrieanlage 2 ausgeführt. Jeder An ^¬ lagenteil 3 ist in der Darstellung gemäß FIG 1 durch einen elliptisch dargestellten Knoten repräsentiert. Jeder An- lagenteil 3 steht mit einem oder mehreren anderen Anlagenteilen 3 in einer Beziehung 4, wobei die Beziehungen in dem Fehlermodell Mf als Pfeile (Kanten) symbolisiert sind.

Jede Beziehung 4 stellt einen quantifizierten Einfluss des Prozessparameters P eines Anlagenteils 3 auf den Prozess ^¬ parameter P eines anderen Anlagenteils dar. Mit anderen

Worten wird durch die Beziehung 4 dargestellt, wie sich eine Änderung des beeinflussenden Prozessparameters P auf den be- einflussten Prozessparameter P auswirkt.

Die Beziehung 4 kann auf verschiedenartigen Wechselwirkungen zwischen den Anlagenteilen 3 beruhen. So kann sie insbesondere fluidmechanischer oder steuerungstechnischer Art sein. Eine fluidmechanische Beziehung 4 beruht auf einer Rohrlei ^¬ tungsverbindung zwischen diesen Anlagenteilen 3. Durch diese Beziehung 4 werden typischerweise Prozessparameter P der verbundenen Anlagenteile 3, wie beispielsweise Strömungs ^¬ geschwindigkeit, Druck, Temperatur, Massenfluss und/oder Stoffkonzentrationen eines zwischen den Anlagenteilen 3 transportierten Fluids, beeinflusst.

Eine steuerungstechnische Beziehung 4 beruht in der Regel auf einem (mechanischen, pneumatischen, hydraulischen oder elekt- rischen) Steuermechanismus zwischen zwei Anlagenteilen 3, durch den - je nach Ausprägung des Steuermechanismus - verschiedenartige Prozessparameter P der Anlagenteile 3 beeinflusst werden können. In dem Fehlermodell Mf ist zusätzlich hinterlegt, in welche Richtung eine Wirkbeziehung zwischen den Anlagenteilen 3 zeigt. Die die Beziehungen 4 symbolisierenden Pfeile zeigen dabei stets von einem als Ursache wirkenden Anlagenteil 3 auf einen hierdurch beeinflussten oder beeinflussbaren anderen Anlagenteil 3.

Jedem Prozessparameter P ist ein so genannter „Zustand" zu- geordnet, wobei dieser Zustand als „0" oder „normal" betrach ^¬ tet wird, wenn ein dem zugeordneten Prozessparameter P zugehöriger Prozesswert Pw in einem für diesen vorgegebenen

Gültigkeitsbereich liegt. Weicht ein Prozesswert Pw von diesem Gültigkeitsbereich ab, befindet sich der Prozesspara- meter P nicht mehr im Normalzustand. Dem Prozessparameter P wird dann beispielsweise ein „positiver Zustand" oder „+" zugeordnet, wenn der Messwert Pw über einer oberen Grenze des Gültigkeitsbereichs liegt, bzw. ein „negativer Zustand" oder „-", wenn der Messwert Pw unterhalb einer unteren Grenze des Gültigkeitsbereichs liegt.

Anstelle des absoluten Prozesswertes Pw eines jeden Prozess ^¬ parameters P wird in dem Fehlermodell Mf vorzugsweise für jeden Prozessparameter P die Abweichung A dieses Prozess- wertes Pw von einem vorgegebenen Sollwert Ps berücksichtigt. Auch der jeweilige Gültigkeitsbereich stellt in diesem Fall auf die Abweichung A des Prozessparameters P ab, so dass der Zustand eines Prozessparameters P als „normal", „positiv" oder „negativ" klassifiziert wird, wenn seine Abweichung A von dem Sollwert Ps innerhalb bzw. oberhalb bzw. unterhalb des Gültigkeitsbereichs liegt.

Zusätzlich ist im Rahmen des Fehlermodells Mf jeder Beziehung 4 ein „Betrag" zugeordnet. Zieht eine Abweichung A eines be- trachteten Prozessparameters Pa infolge der Beziehung 4 bei einem anderem Prozessparameter Pa eine gleichsinnige Abweichung A nach sich, so wird dieser Beziehung 4 eine gerichtete Kante mit positivem Betrag zugeordnet. Als gleichsinnig wer ^¬ den die Abweichungen A dabei dann betrachtet, wenn sie Zu- Standsänderungen mit gleichem Vorzeichen hervorrufen.

Einer Beziehung 4, infolge der eine Abweichung A eines betrachteten Prozessparameters P eine gegensinnige Abweichung A eines anderen Prozessparameters P, d. h. eine Zustandsände- rung mit entgegengesetztem Vorzeichen, hervorruft, wird entsprechend eine Kante mit negativem Betrag zugeordnet.

Zusätzlich zu den zwischen den einzelnen Anlagenteilen 3 auftretenden Wirkbeziehungen 4 umfasst das Fehlermodell Mf weiterhin so genannte Fehlerursacheknoten 5 (als Kreise dargestellt) , welche Fehlerbeziehungen 6 auf einzelne An ^¬ lagenteile 3 ausüben. Im Gegensatz zu den körperlich vorliegenden Anlagenteilen 3 sind mit den Fehlerursacheknoten 5 und den Fehlerbeziehungen 6 die Auswirkungen von typischen Fehlerursachen, wie beispielsweise Verstopfungen, Leckagen, Fehlfunktionen von Sensoren oder Pumpen, auf einen oder mehrere Prozessparameter P der Anlage 2 hinterlegt.

Im Rahmen des Fehlermodells Mf werden die Fehlerursacheknoten 5 wie normale Anlagenteile 3 und Fehlerbeziehungen 6 wie nor ^¬ male Beziehungen 4 behandelt.

FIG 2 zeigt in einem Blockschaltbild eine Vorrichtung 20 zur Unterstützung der Störfallprävention der Industrieanlage 2.

Die Vorrichtung 20 umfasst eine Datenbank 21, in welcher so genannte „Engineering-Daten", insbesondere ein RI-Fließbild RI, der Anlage 2 in einem XML-Format („Extensible Markup Language") hinterlegt sind. Im Rahmen des RI-Fließbildes RI umfassen die Engineering-Daten auch Angaben zu der räumlichen Anordnung der Anlagenteile 3.

Weiterhin umfasst die Vorrichtung 20 ein Referenzmodul 22 zur Erstellung eines Referenzmodells Mr der Anlage 2, ein Ver ^¬ gleichsmodul 23 zur Feststellung eines Fehlerfalls, ein Aus ^¬ wertemodul 24 zur Ermittlung einer den Fehlerfall verursa ^¬ chenden Fehlerursache F, ein Prognosemodul 26 zur Ermittlung der Auswirkungen des Fehlerfalls sowie ein Reaktionsmodul 27 zur Ermittlung einer bedarfsweisen Ausgabe einer Handlungsempfehlung als Sicherheitsmaßnahme E, insbesondere zur Ver ^¬ hinderung eines Störfalls. Bei den Modulen 22-27 handelt es sich um Softwarebausteine eines Störfallpräventionsprogramms , das lauffähig in einer Rechneranlage (Computer) implementiert ist, aus der die Daten mit Hilfe von SQL-Datenbanken abgerufen werden.

Der Vorrichtung 20 zugeordnet ist zudem ein Prozessleitsystem 30, welches zur Erfassung der Prozesswerte Pw der jeweiligen Betriebsparameter P der Anlage 2 signaltechnisch mit dieser verbunden ist, sowie eine weitere Datenbank 31, in welcher die von dem Prozessleitsystem 30 erfassten Prozesswerte Pw in zumindest einer relationalen Datenbank archiviert werden.

Die in der Datenbank 31 archivierten Prozesswerte Pw, die das Verhalten der Anlage 2 in der Vergangenheit charakterisieren, werden dem Referenzmodul 22 als „historische" Prozesswerte Ph zur Verfügung gestellt. Die im Anlagenbetrieb jeweils aktuell erfassten Prozesswerte Pw werden dem Vergleichsmodul 23 von dem Prozessleitsystem 30 als aktuelle Prozesswerte Pa zur Verfügung gestellt.

In der Aus führungs form gemäß FIG 2 greift das Referenzmodul 22 zur Erstellung des Referenzmodells Mr zum einen auf das RI-Fließbild RI, zum anderen auf die historischen Prozess ^¬ werte Ph zu. Das Referenzmodul 22 ist hierbei insbesondere als neuronales Netzwerk implementiert, insbesondere in der

Form einer selbstorganisierenden Karte (Seif Organising Map, kurz: SOM) in Kombination mit Hauptkomponentenanalyse

(Principal Component Analysis, kurz: PCA) . Dabei werden zusammengehörige historische Prozesswerte Pw sowohl zeitlich als auch räumlich gruppiert.

Das Referenzmodul 22 ermittelt anhand des eingelernten Re ^¬ ferenzmodells Mr für jeden Betriebsparameter P einen mit dem aktuellen Anlagenbetrieb korrespondierenden Sollwert Ps, wobei dieser Sollwert Ps mit einer zugeordneten maximalen (positiven oder negativen) Abweichung As den jeweiligen

Gültigkeitsbereich des zugehörigen Prozessparameters P bildet. Die so ermittelten Sollwerte Ps sowie die jeweils maxi- male Abweichung As gibt das Referenzmodul 22 an das Ver ^¬ gleichsmodul 23 aus.

Das Vergleichsmodul 23 greift andererseits auf die von dem Prozessleitsystem 30 aktuell erfassten Messwerte Pw der Prozessparameter P zu und bestimmt die (aktuelle) Abweichung A des jeweiligen Prozesswertes Pw von dem jeweils ermittelten Sollwert Ps . Das Vergleichsmodul 23 ermittelt zudem durch lineare oder nichtlineare (z. B. quadratische, kubische, sinoidale, ex- ponentielle oder logarithmische) Regression eine Trend ^¬ funktion f, welche den gemittelten zeitlichen Verlauf der Abweichung A beschreibt. Das Vergleichsmodul 23 extrapoliert die Trendfunktion f in die Zukunft und prüft, ob der (durch den extrapolierten Verlauf der Trendfunktion f vorgegebene) Erwartungswert der Abweichung A innerhalb einer vorgegebenen zukünftigen (Extrapolations- ) Zeitspanne den vorgegebenen Schwellwert As überschreitet. Mit anderen Worten prüft das Vergleichsmodul, ob der jeweilige Prozessparameter P innerhalb der Extrapolations-Zeitspanne einen positiven oder negativen Zustand annehmen wird. Je nach der typischen Fluktuation des betrachteten Prozesswertes Pw kann die Extra ^¬ polations-Zeitspanne einen Zeitraum von Sekunden, Minuten, Stunden oder sogar Tagen betragen. Je schneller und unregelmäßiger sich der Prozesswert Pw typischerweise ändert, desto kleiner ist hierbei auch die Extrapolations-Zeitspanne ge ^¬ wählt . Falls das Vergleichsmodul 23 innerhalb des Extrapolations- Zeitraums eine Schwellwertüberschreitung durch die Trendfunktion f feststellt, wertet sie dies als Fehlerfall (ge ^¬ nauer als Anfangsverdacht auf einen zu erwartenden Fehlerfall) . In diesem Fall gibt das Vergleichsmodul 23 die zu jedem Prozessparameter P ermittelte Abweichung A an das Auswertemodul 24 weiter. Das Auswertemodul 24 greift ebenfalls auf das RI-Fließbild RI zu und erstellt automatisch das in FIG 1 gezeigte Fehler ^¬ modell Mf als gerichteten gewichteten Graphen (SDG) der Anlage 2. Das Auswertemodul 24 erstellt das Fehlermodell dabei insbesondere nach einem Verfahren, das in der unveröffent ^¬ lichten europäischen Patentanmeldung der Siemens AG mit dem amtlichen Aktenzeichen EP11180247.6, dem Anmeldetag

06.09.2011 und dem Titel „Unterstützung der Fehlerdiagnose einer Industrieanlage" im Einzelnen beschrieben ist.

Das Auswertemodul 24 bestimmt aus den Abweichungen A in der vorstehend beschriebenen Weise den Zustand eines Prozess ^¬ parameters P (bzw. des zugeordneten Anlagenteils 3) und wertet das mit den Zuständen versehene Fehlermodell Mf aus, wobei es mit Hilfe einer Fehlerrückverfolgung nach dem an sich bekannten ESFA („Extended Symptom-Fault Association" ) - Verfahren mögliche Fehlerursachen F sucht.

Dabei können - je nach der Komplexität des Fehlermodells Mf und der Art des Fehlerfalls - eine oder mehrere mögliche Fehlerursachen F ermittelt werden. Die oder jede von dem Auswertemodul 24 ermittelte Fehlerursache F umfasst hierbei eine Angabe zu dem fehlerbehafteten Anlagenteil 3 und dem Fehlertyp (z. B. Verstopfung, Leckage, Rohrbruch, Ausfall einer Anlagenkomponente, etc.) . Beide Angaben ermittelt das

Auswertemodul 24 anhand desjenigen Fehlerursacheknotens 5, zu dem der Fehlerfall in dem Fehlermodell Mf zurückverfolgt werden kann. Das Auswertemodul 24 gibt die oder jede ermittelte Fehler ^¬ ursache F an das Prognosemodul 26 aus. Dieses greift wiederum auf das RI-Fließbild RI zu und ermittelt die zu einem fehler ^¬ behafteten Anlagenteil 3 benachbarten Komponenten oder Anlagenteile 3. Dabei werden insbesondere nicht nur fluid- und signaltechnisch benachbarte Anlagenteile 3 ermittelt. Viel ^¬ mehr werden hierüber hinaus auch sich aus der räumlichen Anordnung der Anlagenteile 3 ergebende Nachbarkomponenten ermittelt, die in einer versteckten, d. h. nicht aus dem RI- Fließbild erkennbaren Beziehung zu dem fehlerbehafteten Anlagenteil 3 stehen können.

Das Prognosemodul 26 gibt die ermittelten Anlagenteile 3 an das Reaktionsmodul 27 aus, welches daraufhin eine Sicher ^¬ heitsmaßnahme E entwickelt. Die Sicherheitsmaßnahme E unter ^¬ stützt dabei insbesondere das Anlagenpersonal darin, einen möglicherweise aus dem Fehlerfall resultierenden Störfall zu vermeiden oder zumindest daraus entstehende Gefahren für Leib und Leben zu reduzieren. Im einfachsten Fall hat die Sicherungsmaßnahme E zum Inhalt, über das Prozessleitsystem 30 eine optische und/oder akustische Warnmeldung an einem Bedienbild bzw. einem Bediengerät der Industrieanlage 2 aus ^¬ zugeben. Die Warnmeldung ist dabei beispielsweise durch eine Textmeldung „Störfallgefahr!" gegeben, welche insbesondere im Bedienbild graphisch den ermittelten benachbarten Anlagenteilen 3 zugeordnet ist.

Dies ist für das Anlagenpersonal zum Überschauen der Situa- tion insbesondere daher hilfreich, da das Bedienbild häufig in Form einer vereinfachten RI-Darstellung angezeigt wird, so dass von dem Fehlerfall möglicherweise betroffene Anlagen ^¬ teile 3 in der Darstellung auf dem Bedienbild nicht unbedingt zu dem Fehler verursachenden Anlagenteil 3 benachbart sind.

Eine weitergehende Sicherungsmaßnahme E hat beispielsweise zum Inhalt, dass hinterlegte Handlungsempfehlungen, welche zu typischen Fehlerursachen F vorab ermittelt wurden, an dem Bedienbild ausgegeben werden und/oder mit Hilfe des Prozess- leitsystems automatisch durchgeführt werden. Solche Hand ^¬ lungsempfehlungen können beispielsweise das Abschalten/Ent ^¬ leeren von fehlerbehafteten Anlagenteilen, Abschalten/Entleeren von noch nicht fehlerbehafteten, aber räumlich benachbarten Anlagenteilen, Schließen/Öffnen von Ventilen, Kühlen von Anlagenteilen etc. sein. Wird beispielsweise eine mit einem erhöhten Druck einhergehende Fehlerursache bei einem Anlagenteil 3 ermittelt, so können an betroffenen Anlagenteilen 3 etwa vorab (bevor sich dort auch eine schwell- wertüberschreitende Druckerhöhung zeigt) Druckablassventile geöffnet werden.

Mögliche weitere Sicherungsmaßnahmen E können zum Inhalt haben, ein Alarmsignal in der Nähe der betroffenen Anlagenteile 3 auszulösen, eine Evakuierung von Personen in einem betroffenen Anlagenbereich zu veranlassen oder Sicherheitsschleusen zu schließen. In einer weiterentwickelten Aus führungs form der vorstehend beschriebenen Vorrichtung 20 wird das Fehlermodell Mf von dem Auswertemodul 23 automatisch in Anpassung an eine von ihm gefundene Fehlerursache F modifiziert. Beispielsweise wird im Falle eines als Fehlerursache F festgestellten Bruches einer zwei Anlagenteile 3 verbindenden Rohrleitung das Fehlermodell Mf automatisch dahin gehend modifiziert, dass die der Rohrleitung entsprechende Beziehung 4 der betroffenen Anlagenteile 3 aus dem SDG entfernt und durch einen oder mehrere Fehlerursacheknoten 5 ersetzt wird, die die Auswirkungen des Rohrbruchs auf die betroffenen Anlagenteile 3 darstellen.

Ebenso kann vorgesehen sein, dass bei einem als Fehlerursache F festgestellten Ausfall eines Anlagenteils 3 der zugehörige Knoten aus dem SDG entfernt und durch einen entsprechenden Fehlerursacheknoten 5 ersetzt wird.

Das entsprechend modifizierte Fehlermodell Mf wird dann anstelle des ursprünglichen Fehlermodells Mf zur erneuten Ermittlung der Fehlerursache F herangezogen. Insbesondere im Fall eines bereits eingetretenen Störfalls kann hierbei mit Hilfe des modifizierten Fehlermodells Mf eine adäquate

Reaktion vorgeschlagen werden, die eine weitere Eskalation oder räumliche Ausbreitung des Störfalls verhindert. Bei ^¬ spielsweise wird infolge der Nutzung des modifizierten

Fehlermodells Mf durch die Vorrichtung 20 automatisch be- rücksichtigt, dass bestimmte Anlagenteile (z. B. Kühlaggre ^¬ gate oder Sicherheitsventile) , die standardmäßig zur Ver ^¬ meidung des Störfalls eingesetzt worden wären, durch den bereits eingetretenen Störfall außer Kraft gesetzt worden sind. Auf diese Weise werden Sicherungsmaßnahmen, die durch die Umstände des Störfalls nutzlos oder sogar kontraproduktiv geworden sind, vermieden.

In FIG 3 ist die Vorrichtung 20 gemäß einer zweiten Ausführungsform ausgeführt. Die zweite Aus führungs form entspricht in wesentlichen Teilen der ersten Aus führungs form. In der zweiten Aus führungs form wird jedoch das Referenzmodell Mr durch eine Prozesssimulation der Anlage 2 erstellt. Dabei werden beispielsweise chemische Bilanzgleichungen, Kinetiken etc. herangezogen. Dabei wird insbesondere das Fließschema infinitesimal betrachtet und als Differenzialgleichungssystem numerisch berechnet. Zur Parametrierung der verwendeten

Modellgleichungen wird dabei auf die archivierten historischen Prozesswerte Ph zugegriffen.

In dem Vergleichsmodul 23 wird hier im Unterschied zur ersten Aus führungs form für jeden Parameter P ein jeweiliger Sollwert Ps (parallel zu dem Anlagenbetrieb) in Echtzeit simuliert. Jedem Parameter P ist wiederum ein Abweichungsschwellwert As zur Erkennung eines Fehlerfalls zugeordnet. Analog zur ersten Aus führungs form greift das Vergleichsmodul 23 auf durch das Prozessleitsystem 30 erfasste (aktuelle) Prozesswerte Pa zu und vergleicht diese mit den simulierten (für den jeweiligen Zeitpunkt gültigen) Sollwerten Ps . Wiederum wird für ermittelte Abweichungen A eine Trendfunktion f errechnet.

Bei Erkenntnis eines Fehlerfalls werden die ermittelten Ab ^¬ weichungen A wiederum an das Auswertemodul 24 ausgegeben.

Grundsätzlich kann die Auswertung auch hier durch einen gerichteten gewichteten ( Fehler- ) Graphen erfolgen. Alternativ dazu ist vorgesehen, dass die Auswertung durch eine betriebs ^¬ parallele Rück-Simulation anhand des Fehlermodells Mf er ^¬ folgt, wobei die aktuellen Prozesswerte Pa als Startparameter zur Simulation herangezogen werden. In einer Alternative ist vorgesehen, dass bei der Simulation anhand des Fehlermodells Mf gezielt Störungen eingebracht werden. Dabei werden mögliche Fehlerursachen F durch Vergleich der simulierten Auswirkungen der eingebrachten Störungen mit den tatsächlichen Auswirkungen des vorliegenden Fehlerfalls ermittelt.

Bei Erkenntnis einer Fehlerursache F (Anlagenteil 3 und

Fehlertyp) wird das Simulationsmodell Mf ggf. wiederum zu einem angepassten Fehlermodell Mf modifiziert, wobei zur anschließenden Simulation zur erneuten Fehlerursachenfindung wiederum aktuelle Prozesswerte Pa herangezogen werden.

Das Fehlermodell Mf oder ggf. das modifizierte Fehlermodell Mf wird schließlich von dem Prognosemodul 26 herangezogen, um die Auswirkungen des aufgetretenen Fehlerfalls abzuschät ^¬ zen. In der zweiten Aus führungs form greift das Prognosemodul 26 wiederum auf das RI-Fließbild zu und ermittelt zunächst die mittelbar oder unmittelbar von dem Fehlerfall betroffenen Anlagenteile 3, d. h. wiederum die zu dem Fehler verursachenden Anlagenteil 3 benachbarten Anlagenteile. Zusätzlich ermittelt das Prognosemodul 26 hier für die den betroffenen Anlagenteilen 3 zugeordneten Prozessparameter P optional jeweils einen Prognosewert X. Der jeweilige Prognosewert X wird dabei ausgehend von den zur Simulation notwendigen, aktuell vorliegenden Prozesswerten Pw durch Voraussimulation (schneller als in Echtzeit) abgeschätzt.

Das Prognosemodul 26 gibt hier zu jedem als betroffen ermit ^¬ telten Anlagenteil 3 den zugeordneten Prognosewert X an das Reaktionsmodul 27 aus.

Die von dem Reaktionsmodul 27 ermittelte Sicherheitsmaßnahme E beinhaltet dabei wiederum insbesondere die Ausgabe der be ^¬ troffenen Anlagenteile 3 sowie zusätzlich die Ausgabe der er ^¬ mittelten Prognosewerte X auf dem Bedienbild. Optional kann von dem Reaktionsmodul 27 ein Vergleich des je ^¬ weils ermittelten Prognosewerts X mit einem Sollwert, ins ^¬ besondere mit dem von dem Referenzmodul 22 ermittelten Soll ^¬ wert Ps, erfolgen, wobei das Reaktionsmodul 27 nur dann die Sicherheitsmaßnahme auslöst, wenn der ermittelte Prognosewert X um mehr als den Schwellwert As oder einen anderen festgelegten Schwellwert von dem Sollwert Ps abweicht. Die Si ^¬ cherheitsmaßnahme kann dann beispielsweise nur dann ausgelöst werden, wenn an einem der betroffenen Anlagenteile 3 die Gefahr eines als Störfall zu charakterisierenden Fehlerfalls besteht .

In einer weiterentwickelten Aus führungs form der Vorrichtung 20 ist das Reaktionsmodul 27 dazu ausgebildet, automatisch eine als Sicherheitsmaßnahme E dienende Handlungsempfehlung zu entwickeln. Hierzu greift das Reaktionsmodul 27 auf das RI-Fließbild RI zu und ermittelt die zu dem Fehler verursa ^¬ chenden Anlagenteil 3 zugehörigen Anlagenkomponenten, wobei nur solche Anlagenkomponenten in Betracht gezogen werden, deren Einstellung veränderlich ist (beispielsweise Ventile, Pumpen etc.) . Das Reaktionsmodul 27 simuliert unterschied ^¬ liche Einstellungsveränderungen der ermittelten Anlagenkomponenten, wobei wiederum jeweils die Prognosewerte X der betroffenen Anlagenteile ermittelt werden. Das Reaktionsmodul 27 gibt dann diejenige (n) Einstellungsveränderung ( en) als Handlungsempfehlung aus, bei denen die ermittelten Prognosewerte X unterhalb einer Störfallgrenze liegen.

Der Gegenstand der Erfindung ist nicht auf die vorstehend beschriebenen Ausführungsbeispiele beschränkt. Vielmehr kön ^¬ nen weitere Aus führungs formen der Erfindung von dem Fachmann aus der vorstehenden Beschreibung abgeleitet werden. Insbesondere können die anhand der verschiedenen Ausführungs ^¬ beispiele beschriebenen Einzelmerkmale der Erfindung und deren Ausgestaltungsvarianten auch in anderer Weise miteinander kombiniert werden.