Automatisierte Rekonfiguration eines Regelkreises Die Erfindung betrifft ein Verfahren und eine Vorrichtung zur automatisierten Rekonfiguration eines Regelkreises zur Regelung eines diskreten technischen Prozesses mit Hilfe eines Edit-Automaten . Technische Anlagen, insbesondere auch solche zur Realisierung diskreter Fertigungsprozesse (nachfolgend ereignisdiskrete Prozesse genannt) , unterliegen Fehlern oder Ausfällen ihrer Komponenten, beispielsweise Aktoren oder Sensoren. Fehler können prinzipiell nicht ausgeschlossen werden, d. h. zur Aufrechterhaltung des Betriebes muss auf Fehler in geeigneter Weise reagiert werden. Das Problem bezieht sich insbesondere auf technische Anlagen, bei denen funktionierende Steuerungen in Form von geschlossenen Regelkreisen wesentlich für den korrekten Betrieb sind. Ein Prozess heißt ereignisdiskret, wenn seine Zustandsmenge diskret ist und die Zustandsübergän- ge ereignisgetrieben sind.

Ausfälle von Aktoren und Sensoren öffnen den Regelkreis und beenden den anforderungsgerechten Betrieb der Anlage. Andere Fehler dieser Komponenten, beispielsweise Degradation, verändern das Regelkreisverhalten häufig zum Nachteil. Diese Phä ^¬ nomene reduzieren die Verfügbarkeit und Zuverlässigkeit der Anlage und führen zu finanziellen Verlusten sowie zu Schäden an Gütern oder Personen. Klassisch wird das Problem durch Austausch defekter Komponenten umgangen.

Dem Problem wird häufig mittels Hardwareredundanz begegnet. Dabei werden kritisch wichtige Hardware-Komponenten (Aktoren, Sensoren) vor Inbetriebnahme der Anlage mehrfach installiert. Ein Teil der Komponenten wird im Normalbetrieb verwendet und laufend überwacht, die übrigen Komponenten verbleiben

einsatzbereit. Zeigt die Überwachung einen Ausfall einer Kom ^¬ ponente an, so wird nach einer einfachen Entscheidungslogik auf eine Ersatzkomponente umgeschaltet. Das Verfahren eignet sich zum Umgang mit Frühausfällen, Zufallsausfällen, und Ermüdungsausfällen gleichermaßen. Es impliziert hohe Anlagenmehrkosten aufgrund der mehrfachen Installation von Komponen- ten. Es findet insbesondere in sicherheitskritischen Anwendungen Einsatz, beispielsweise in der Kerntechnik oder in der Luftfahrt .

Ferner ist bekannt, alternativ oder zusätzlich offline für eine endliche Anzahl vor Inbetriebnahme durchdachter Fehler ^¬ fälle dedizierte Regelungen zu entwerfen, zwischen denen dann online in Abhängigkeit von dem jeweiligen Fehlerfall umge ^¬ schaltet wird. Dieses Verfahren wird beispielsweise in Flug ^¬ regelungen eingesetzt. Auch dieses Verfahren eignet sich zum Umgang mit Frühausfällen, Zufallsausfällen und Ermüdungsausfällen gleichermaßen. Diese Lösung erfordert einen erheblichen Zeit- und Rechenaufwand für den Entwurf der vorab ent ^¬ worfenen Steuerungen, und erheblichen Speicherbedarf für das Bereithalten dieser Regelungen. Außerdem ist die Lösung in der Regel unvollständig, denn alle nicht bedachten Fehlerfäl ^¬ le werden nicht behandelt.

Richter, J. H. et al : "Control reconfiguration after actuator failures by Markov parameter matching", International Journal of Control, Volume 81, Issue 9, 2008, S. 1382-1398, DOI :

10.1080/00207170701813141, offenbart Konfigurationsverfahren für Regelkreise zur Kompensation von Aktorfehlern in Regelstrecken der Regelkreise, bei denen ein fehlerhafter Aktor durch einen virtuellen Aktor ersetzt wird.

Richter, J. H.: "Reconfigurable Control of Nonlinear Dynami- cal Systems", Lecture Notes in Control and Information Scien ^¬ ces, Vol. 408, Springer-Verlag 2011, S. 55-86, ISBN 978-3- 642-17627-2, DOI: 10.1007/978-3-642-17628-9 offenbart lineare Lösungen von Rekonfigurationsproblemen für Regelkreise, wobei die Lösungen auf mathematischen Modellierungen des nominellen Verhaltens und von Fehlern von Regelstrecken basieren. Ausgehend von diesem Stand der Technik liegt der Erfindung die Aufgabe zugrunde, ein verbessertes Verfahren und eine verbesserte Vorrichtung zur automatisierten Rekonfiguration eines Regelkreises zur Regelung eines ereignisdiskreten tech- nischen Prozesses anzugeben.

Die Aufgabe wird erfindungsgemäß hinsichtlich des Verfahrens durch die Merkmale des Anspruchs 1 und hinsichtlich der Vor ^¬ richtung durch die Merkmale des Anspruchs 5 gelöst.

Vorteilhafte Ausgestaltungen der Erfindung sind Gegenstand der Unteransprüche.

Das erfindungsgemäße Verfahren zur automatisierten Rekonfi- guration eines Regelkreises zur Regelung eines diskreten technischen Prozesses ist auf Regelkreise anwendbar, die eine Regelstrecke mit physikalisch und/oder analytisch redundanten Komponenten, einen Regler und eine Fehlerdiagnoseeinheit zur Ermittelung und Lokalisierung von in der Regelstrecke auftre- tenden Fehlern aufweisen. Bei dem Verfahren wird zunächst in einer Entwurfsphase ein mathematisches Modell der nominellen Regelstrecke und einer nominellen Dynamik des Prozesses sowie an die Regelstrecke zu stellende Anforderungen erstellt. Da ^¬ nach wird in einer Laufzeitphase bei einem mittels der Feh- lerdiagnoseeinheit ermittelten Fehler der Regelkreis anhand des erstellten mathematischen Modells automatisch rekonfiguriert, indem zwischen dem Regler und der Regelstrecke ausge ^¬ tauschte Ereignisstrings durch Eingreifen verändert werden um eine Erfüllung der gestellten Anforderungen (S) zu erwirken.

Unter einer nominellen Regelstrecke wird hier eine Regelstre ^¬ cke in einem fehlerfreien Zustand verstanden. Entsprechend wird unter einer nominellen Dynamik eines Prozesses ein fehlerfreier Ablauf des Prozesses verstanden. Unter einer Rekon- figuration eines Regelkreises wird eine Reaktion auf Fehl ^¬ funktionen von Komponenten der Regelstrecke des Regelkreises verstanden, welche den Fehlfunktionen entgegenwirkt, so dass die Auswirkungen der Fehlfunktionen auf den mittels des Re- gelkreises geregelten Prozess reduziert werden. Komponenten der Regelstrecke sind dabei insbesondere Aktoren und Senso ^¬ ren. Unter physikalisch redundanten Komponenten werden mehrfach installierte identische Komponenten verstanden, die ein- ander ersetzen können, beispielsweise zwei am gleichen Ort angebrachte Sensoren für die gleiche physikalische Größe. Un ^¬ ter analytisch redundanten Komponenten werden Komponenten verstanden, die zwar physikalisch verschieden sind, mittels derer aber bezüglich wenigstens einer Funktion eine gleichar- tige Wirkung erzielt werden kann.

Ein Beispiel sind zwei unterschiedliche Transportwege zum Transport von Stückgütern, von denen einer kürzer ist als der andere und daher bevorzugt verwendet wird. Dennoch kann im Fall der Blockade des kürzeren Wegs der alternative Weg ver ^¬ wendet werden. Dies wird später noch genauer ausgeführt, Figur 4.

Ein weiteres Beispiel wären zwei Bearbeitungsmaschinen, die beide für bestimmte Bearbeitungsschritte geeignet sind (Loch bohren, fräsen) , von denen aber eine schneller bohrt als die andere, und die andere schneller fräst.

Ferner wird in diesem Dokument unter Regeln nicht nur Regeln im strengen Sinne von Regeln mittels eines geschlossenen Regelkreises mit einer Rückführung einer Ausgangsgröße auf ei ^¬ nen Eingang eines Reglers gefasst, sondern dieser Begriff wird auch auf Steuern in einer offenen Wirkungskette (ohne Rückkopplung) ausgedehnt. Entsprechend werden unter die Beg- riffe Regelkreise, Regler und Regelstrecken auch jeweils of ^¬ fene Wirkungsketten, Steuerungen bzw. Steuerstrecken gefasst.

Eine Kernidee des erfindungsgemäßen Verfahrens ist die auto ^¬ matisierte Rekonfiguration eines Regelkreises mittels Abände- rungen von zwischen dem Regler und der Regelstrecke ausgetauschten Signalen, hier im Folgenden Ereignisstrings genannt, insbesondere von Stellsignalen des Reglers für Stell ^¬ eingriffe auf die Regelstrecke. Dadurch braucht der Regler im Fehlerfall nicht verändert oder ersetzt werden. Der Regler verbleibt somit auch im Fehlerfall unverändert im Regelkreis und trägt weiter zur Regelung bei. Dies reduziert vorteilhaft Kosten und Ausfallzeiten durch Fehlfunktionen der Regelstrecke. Außerdem ermöglicht es die Anwendung des Verfahrens auf eine Vielzahl verschiedener Regelkreise, ohne die Regler oder Regelstrecken dieser Regelkreise verändern zu müssen. Die Erfindung stellt somit ein vielseitig einsetzbares und kosten ^¬ günstiges Verfahren zur Rekonfiguration von Regelkreisen bereit.

Eine Vorrichtung zur Durchführung des erfindungsgemäßen Verfahrens umfasst eine Entwurfskomponente zur Erstellung des mathematischen Modells der nominellen Regelstrecke und der nominellen Dynamik des Prozesses, eine zwischen den Regler und die Regelstrecke geschaltete parametrierbare Rekonfigura- tionskomponente zur Abänderung der zwischen dem Regler und der Regelstrecke ausgetauschten Ereignisstrings , mittels de ^¬ rer in Abhängigkeit von einem mittels der Fehlerdiagnoseeinheit ermittelten Fehler anhand des in der Entwurfsphase er ^¬ stellten mathematischen Modells sowie an die Regelstrecke zu stellende Anforderungen automatisch änderbar ist indem zwischen dem Regler und der Regelstrecke ausgetauschte Ereignis ^¬ strings durch Eingreifen verändert werden um eine Erfüllung der gestellten Anforderungen zu erwirken.

Die beanspruchte Erfindung löst das Problem durch Hinzufügen einer zusätzlichen Automatisierungskomponente, der Rekonfigu- rations-Komponente, welcher in die Kommunikation zwischen der schon vorhandenen nominellen Steuerung und dem Prozess eingreift und die Steuereingriffe der vorhandenen Steuerung an die Fehlersituation des Prozesses anpasst.

Beansprucht werden eine technische Vorrichtung zum Entwurf und zur Realisierung von automatisierten Reaktionen auf den Ausfall von Aktoren und Sensoren in diskreten automatisierungstechnischen Anlagen und ein Verfahren zur Anpassung des Verhaltens einer nominellen industriellen Steuerung an Feh- lersituationen , damit ihr Steuerungsverhalten zu den in der zu steuernden Anlage herrschende Fehlersituationen passt und die Spezifikation trotz Fehlern erfüllt wird. Die Anpassung wird durch ein zustandsbasiertes Verfahren erreicht, welches auf einer zwischen die Steuerung und den Pro ^¬ zess zu schaltenden Vorrichtung zum Ablauf kommt.

Die Anpassung wird durch zustandsbasierte Verfahren erreicht, welche auf einer zwischen die Steuerung und den Prozess zu schaltenden Vorrichtung zum Ablauf kommen, siehe Figur 2. Das Verfahren prüft, ob die von der nominellen Steuerung Habgegebenen Aktor-Kommandos unter Beachtung des herrschenden Fehlerszenarios noch zielführend zur Erreichung der Steuerungs- ziele sind. Ist dies nicht der Fall, wird die Steuersequenz der nominellen Steuerung zielgerecht verändert, indem in den Fluss der Strings von Aktor- und Sensorereignissen eingegriffen wird. Die Rekonfigurations-Komponente kann in die Kommunikation zwischen dem Regler und dem technischen Prozess eingreifen und daher die Handlungen des Reglers verändern. Das Verfahren ist zur Online-Implementierung geeignet, weil es anhand eines endlichen zustandsbasierten Systems implementierbar ist und der Zustand so aufgebaut wird, dass er alle zur Entscheidung notwendigen Aspekte der Historie enthält.

Das Verfahren gliedert sich in zwei Phasen: eine Entwurfs ^¬ und eine Laufzeitphase .

Ziel der Entwurfsphase ist die Modellierung der Anlage im fehlerfreien Fall und im Fehlerfall, sowie der Entwurf eines fehlertoleranten Rekonfigurations-Automaten . Die Entwurfsphase kann vorteilhaft in ein Engineeringsystem wie z.B. TIA Portal eingebunden werden. Ziel der Laufzeitphase ist die Abarbeitung des Rekonfigurati- ons-Automaten .

Die Komponenten der Laufzeitphase müssen zur Ausführung von Steuerungsalgorithmen fähig sein, die anhand von Automaten vorgegeben werden. Hierzu kann jede handelsübliche kommunika ^¬ tionsfähige Steuerung verwendet werden, wobei der Algorithmus des Rekonfigurations-Automaten z. B. als Funktionsblock in SCL (Structured Control Logic) oder einer anderen Sprache zum Ablauf gebracht wird. Alternativ könnte auch ein Interpreter für Automaten verwendet werden.

Hintergrund der Idee ist ein Verfahren zur Filterung der Handlungen von Software-Applikationen anhand von sogenannten Edit-Automaten, die bereits bekannt sind aus der IT-Security (siehe beispielsweise Jay Ligatti et al . , „Edit Automata: En- forcement Mechanisms for Run-time Security Policies", http://sip.cs.princeton. edu/pub/editauto-ij is04.pdf) . Edit-Automaten sind eine spezielle Klasse von Automaten im

Sinne der theoretischen Informatik, die einen String von Ereignissen (trace) auf Erfüllung gegebener Prädikate prüfen und bei Verletzung der Prädikate durch Eingreifen in den String (Unterdrücken, Einfügen, Verändern von Ereignissen des String) deren Erfüllung erzwingen. Ziel ist die Erfüllung von Security Policies trotz bösartig agierender Software- Applikationen .

Diese Grundidee wird durch Nutzung der folgenden Analogien zwischen den Anwendungen "IT Security" und "fehlertoleranter Automatisierung" erreicht:

• Die Security Policy entspricht der Spefizikation .

• Die Applikation entspricht dem ereignisdiskreten Regler.

• Die Rechnerumgebung entspricht einer Regelstrecke.

· Die Verletzung der Policy durch Applikation entspricht einem Fehler in der Regelstrecke.

• Aktionen entsprechen Aktorkommandos, übersetzte Aktionen entsprechen übersetzten Aktorkommandos. • Reaktionen der Umgebung sind Sensorereignisse und übersetzte Reaktionen der Umgebung entsprechen übersetzten Sensorereignissen . Ein Edit-Automat kann prinzipiell folgende Handlungen am beo ^¬ bachteten Fluss von Ereignissen (Stream) vornehmen:

• (STEP) das empfangene Symbol wird unverändert weitergegeben

• ( STOP) /Termination : der Prozess wird beendet

• ( STEPS ) /Suppression : das empfangene Symbol wird unter- drückt. Der Prozess läuft weiter.

• ( INS ) /Insertion : Ein neues Symbol wird eingefügt.

Die Veränderung wird dabei sowohl auf dem Fluss der Aktorkommandos (von Steuerung/SPS zum Prozess) als auch auf dem Fluss der Sensor-Ereignisse (vom Prozess zur Steuerung/SPS) durch ^¬ geführt .

Zwischen der ursprünglichen Anwendungsdomäne "IT Security" und der neuen Anwendungsdomäne "fehlertolerante Automatisie- rung" bestehen folgende erheblichen Unterschiede, die eine Anpassung notwendig machen:

In der IT Security ist es nicht erforderlich, Ereignisse in Klassen einzuteilen. In der Automation ist jedoch die Unter- Scheidung zwischen steuerbaren und nicht steuerbaren Ereignissen zwingend, der Formalismus musste entsprechend erwei ^¬ tert werden.

In der IT Security versucht ein schadhaftes Programm, verbo- tene Manipulationen der Umgebung durch verbotene Aktionen oder Folgen von Aktionen vorzunehmen, während in der fehlertoleranten Automatisierungstechnik der Fehler von der Umgebung ausgeht. In der IT Security geht die Verhaltensabwei ^¬ chung also von der Analogie zum Regler aus, während sie in der fehlertoleranten Automatisierung von der Regelstrecke ausgeht . Insbesondere ist die Rekonfigurationskomponente beispielswei ^¬ se als eine speicherprogrammierbare Steuerung oder ein In ^¬ dustrie-Personal-Computer (Industrie-PC) oder als eine Baueinheit oder Softwarekomponente für eine speicherprogrammier- bare Steuerung oder einen Industrie-PC ausgebildet.

Die Erfindung kann insbesondere vorteilhaft zur Regelung ei ^¬ ner als Regelstrecke eines Regelkreises ausgebildeten automa ^¬ tisierungstechnischen Anlage verwendet werden.

Diese Verwendung der Erfindung ist besonders vorteilhaft bei sicherheitskritischen automatisierungstechnischen Anlagen, da Fehler in derartigen Anlagen oft große Schäden verursachen können .

Der nominelle Regler in Gestalt eines von Prozessexperten erstellten SPS-Programms kann im Steuerkreis verbleiben. Dies ist eine Voraussetzung für die Akzeptanz formaler Methoden im Praxisumfeld, die dem Fachmann letztlich die Kontrolle und Nachvollziehbarkeit des entstehenden Reglers entziehen.

Daraus ergeben sich minimale Änderungsaufwände im Automati ^¬ sierungs-Engineering, die sich im Regelfall eines modernen Automatisierungsnetzes mit gekoppelter dezentraler Peripherie (Profinet) im Wesentlichen auf Verbindungsänderungen beschränken .

Gleichwohl liefert die Methode aufgrund ihrer starken forma ^¬ len Basis zuverlässige Steueralgorithmen, was wiederum für die Wirksamkeit im Sinne des Erzielens tatsächlicher Fehler- toleranz notwendig ist.

Die oben beschriebenen Eigenschaften, Merkmale und Vorteile dieser Erfindung sowie die Art und Weise, wie diese erreicht werden, werden klarer und deutlicher verständlich im Zusam- menhang mit der folgenden Beschreibung der Ausführungsbeispiele, die im Zusammenhang mit den Zeichnungen näher erläutert werden. Dabei zeigen: FIG 1 schematisch einen Regelkreis nach dem Stand der Technik,

FIG 2 schematisch einen Regelkreis mit einer zwischenge ^¬ schalteten Rekonfigurations-Komponente ,

FIG 3 schematisch einen Edit-Automaten nach dem Stand der

Technik aus der IT Security und

FIG 4 schematisch ein Ausführungsbeispiel gemäß in einer

Anlage .

Einander entsprechende Teile sind in allen Figuren mit den gleichen Bezugszeichen versehen.

Figur 1 zeigt einen Regelkreis bestehend aus einem Regler H, 5 und einer Anlage 1. Sensorereignisse SEN werden von der An ^¬ lage 1 an den Regler 5 übertragen, durch Steuerungsbefehle AKT wird die Anlage durch den Regler gesteuert.

Erfindungsgemäß wird gemäß Figur 2 beispielsweise im Fehler ^¬ fall eine neue Rekonfigurationskomponente 3 zwischen den Da- ten-Stream von Anlage 1 und Regler H, 5 geschaltet. Dieser filtert die Sensordaten SEN und Aktorkommandos AKT und modi ^¬ fiziert sie gegebenenfalls, wie im Beispiel zu Figur 4 später beschrieben .

Figur 3 stellt dem gegenüber die bekannte Anwendung des Edit- Automaten in der IT Security, bei welcher Daten-Streams ge ^¬ filtert und gemäß vorgegebener Security Policies modifiziert werden können.

In Figur 4 beschreiben wir ein Beispiel das die Verwendung eines Edit Automaten für fehlertolerante Kontrollvorgänge zeigt. Das Beispiel besteht aus einem verzweigten Transport ^¬ band-System mit dem man einen Gegenstand (bspw. eine Flasche BOT) von Ausgangspunkt A nach Punkt B transportieren kann. Der direkte Weg führt über das Transport-Segment Segl, ein alternativer Weg führt über die Transport Segmente Seg2 und Seg3. Die Umleitung auf die Transportbänder erfolgt durch Weichen wl/w2 und w3/w4. Sensorten SO bis S2 überwachen den Weg. Weiterhin benötigt man für den reibungslosen Verlauf sogenannte Vereinzeier VI, V2. Die Pfeile stellen die zwei möglichen Wege von A nach B dar.

Der String, der den direkten Weg beschreibt, lautet o direct = sO wl sl vi aus dem die einzelnen Sequenzen der Aktor Kommandos o direct = wl vi und der beobachtbaren Sensor Ereignisse o direct = sO sl durch Projektion extrahiert werden können.

Der Fehler f drückt die Blockierung des direkten Weges (Ursache unbekannt, beispielweise Fehlfunktion eines Stoppers, Blockierung des Transportbands etc.) aus. Es ist möglich, einen Edit Automaten zu entwickeln, der die event Sequenz o direct in eine neue Sequenz die den Fehler f berücksichtigt, mit folgendem Verhalten übersetzt o indirect = sO w2 w3 s2 v2.

Von dieser Sequenz werden folgende separaten Sequenzen von

Aktuator Kommandos durch Projektion extrahiert: σ indirect c = w2 w3 v2 und beobachtbare Sensor Ereignisse o indirect 0 = sO s2

Zu beachten ist, dass die Projektion mehr ist als eine simple Index Ersetzung. Die Aktor Kommando-Sequenz wird länger, weil ein zusätzliches Schalter-Element auf der indirekten Route angesprochen werden muss .

Die Semantik des Aktor Kommandos der fehlertoleranten Steue- rung FTC Automaten (Zustandsmenge State set ai) kann be ^¬ schrieben werden durch:

(f,a0) (f,al) (STEP)

(sO, al) (sO, a2) (STEP)

(wl , a2 ) (wl , a3 ) (STEPS)

( ε , a3 ) (s,a4) (INS)

(s,a4) ( ε , a5 ) (INS)

(vi, a5) (vi, a6) (STEPS)

( ε , a6) (ε, al) (INS)

Kommandos wl und vi werden unterdrückt (STEPS) , und die Kom ^¬ mandos w2, w3 und v2 werden eingefügt (INS) .

Die Semantik der Sensor Ereignisse der fehlertoleranten Steu- erung FTC (Zustandsmenge State set bi) kann beschrieben wer ^¬ den durch:

(f,bO) _^ (f,bl) (STEP)

(s0,bl) - (s0,b2) (STEP)

(s2,b2) (s2,b3) (STEPS)

(s,b3 (s,bl) (INS) das das tatsächliche Ereignis s2 vor dem Controller verbirgt (STEPS) und stattdessen das erwartete Sensor Ereignis sl ein ^¬ fügt (INS) um den Controller zufrieden zu stellen.

Beide FTC Automaten werden angewandt nachdem ein Fehler f de- tektiert wurde, der formalisiert ist durch den ersten

Schritt, beginnend von den initialen Zuständen aO, bO .