Die Erfindung betrifft ein Verifizierungsverfahren zur Verifizierung von im Betrieb einer Sauerstoffreduzierungsanlage genutzten Anlagenfunktionen der Sauerstoffreduzierungsanlage, wobei die Sauerstoffreduzierungsanlage zum Absenken und/oder Halten eines Sauerstoffkonzentrationsniveaus in mindestens einem Schutzbereich durch Zuführung von aus mindestens einer Inertgasquelle stammendem, insbesondere mittels mindestens eines Inertgaserzeugers erzeugtem Inertgas und zum Überwachen oder Anheben des, insbesondere zuvor abgesenkten, Sauerstoffkonzentrationsniveaus in dem Schutzbereich oder einem Überwachungsbereich ausgebildet ist.

Die Erfindung betrifft außerdem ein programmierbares Steuerungsmodul nach Anspruch 18 und eine Sauerstoffreduzierungsanlage mit einem solchen programmierbaren Steuerungsmodul nach Anspruch 20.

Zur Brandvorbeugung und -Vermeidung werden in der Praxis oft Sauerstoffreduzierungsanlagen eingesetzt. Diese Anlagen ermöglichen es, den Sauerstoffgehalt innerhalb eines Schutzbereichs auf ein Niveau zu senken, das unterhalb des Sauerstoffgehalts in der Umgebungsluft und insbesondere unterhalb der Entzündungsgrenze von im Schutzbereich vorhandenen Materialien liegt. Als Schutzbereich wird im Allgemeinen ein räumlich abgegrenzter bzw. umschlossener Bereich verstanden, in dem die Sauerstoffkonzentration zur Brandvermeidung abgesenkt und innerhalb eines vorbestimmten Wertebereichs geregelt wird. Die Absenkung der Sauerstoffkonzentration erfolgt durch Zuführung von Inertgasen oder inertgasangereicherter Luft, insbesondere Stickstoff oder stickstoffangereicherter Luft, in den Schutzbereich. Damit wird das Verhältnis zwischen Inertgas oder inertgasangereicherter Luft und Sauerstoff so eingestellt, dass im Ergebnis der Sauerstoffgehalt der im Schutzbereich enthaltenen Luft reduziert wird. Vorzugsweise bleibt weiterhin ausreichend Sauerstoff vorhanden, sodass sich Personen in dem Schutzbereich aufhalten können. Neben dem Schutzbereich ist die Überwachung der Sauerstoffkonzentration oftmals aber auch in einem sogenannten Überwachungsbereich erforderlich. Ein Überwachungsbereich kann ein räumlich abgegrenzter bzw. umschlossener Bereich sein, insbesondere in für das Servicepersonal der Sauerstoffreduzierungsanlage oder sonstige Personen zugänglichen Räumen, die z. B. benachbart zu einem Schutzbereich liegen. Obwohl in einem Überwachungsbereich an sich keine Inertgas-Einleitung vorgesehen ist, könnte insbesondere durch Leckagen im Leitungssystem ungewollt eine Einleitung von Inertgasen erfolgen. Wird in einem Schutzbereich oder einem

Überwachungsbereich ein zu niedriges Sauerstoffkonzentrationsniveau, aufgrund von entweder beabsichtigter (Schutzbereich) oder unbeabsichtigter (Überwachungsbereich) Einleitung von Inertgas, lässt sich die

Sauerstoffkonzentration aber auch mittels der Sauerstoffreduzierungsanlage anheben.

Üblicherweise ist zur Regelung der einzelnen Komponenten der

Sauerstoffreduzierungsanlage eine Steuerzentrale vorgesehen, die z. B. einerseits die Erzeugung des Inertgases anforderungsgerecht regelt und andererseits mit Sauerstoffkonzentrationssensoren verbunden ist, um die entsprechenden Inertagsmengenanforderungen an die Inertgasquellen, insbesondere

Inertgaserzeuger weiterzugeben. Neben den üblichen, stationären

Inertgaserzeugern, wie z. B. einem Membranstickstofferzeuger oder einem Druckwechseladsorptionsstickstofferzeuger kommen als Inertgasquellen aber auch insbesondere mobile Inertgaserzeuger sowie mobile Tanklastwagen oder stationäre Inertgastanks, in Form von größeren Behälter oder auch Inertgasflaschen bzw. - flaschenbatterien in Frage. Darüber hinaus ist die Steuerzentrale mit mehreren Aktoren gekoppelt, um eine Verteilung des erzeugten Inertgases zu steuern. Die Steuerzentrale kann mehrere Schutzbereiche getrennt voneinander regeln, wobei jedem Schutzbereich ein oder mehrere Inertgasquellen, insbesondere Inertgaserzeuger zugeordnet sind und jeder Schutzbereich mit einem oder mehreren Sauerstoffkonzentrationssensoren ausgestattet ist.

Aus der zeitrangälteren PCT/EP2019/061910 ist ein dezentrales Steuerungs- und Regelungssystem einer solchen Sauerstoffreduzierungsanlage bekannt, das mehrere miteinander signalverbundene Reglermodule zur Ausführung von Regelungsfunktionen aufweist, wobei die Regelungsfunktionen dezentral auf den Reglermodulen verteilt sind. Gemäß der PCT/EP2019/061910 sind die Begriffe „Reglermodul“ und„Regelungsfunktion“ als Kurzformen für die Begriffe„Steuer- und Reglermodul“ sowie„Steuerungs- und Regelungsfunktion“ zu verstehen. Eingesetzt werden standardisierte und hardwareseitig weitgehend identische Reglermodule, denen unterschiedliche Funktionen zum Betrieb der Sauerstoffreduzierungsanlage zugewiesen werden können. So kann einem Reglermodul als Prozessregler die Steuerung und/oder Regelung der Inertgaserzeugung, einem weiteren Reglermodul als Bereichsregler die Überwachung eines Sauerstoffkonzentrationsniveaus in einem Schutzbereich oder Überwachungsbereich und schließlich einem Reglermodul als Masterregler eine kommunikative Abstimmung zwischen den weiteren Reglermodulen zugewiesen werden. Die Reglermodule sind über ein Bussystem miteinander verbunden und bereits im Grundausbau des Steuerungs- und Regelungssystems vorhanden sowie zur Ausführung grundlegender Kern- oder Basisfunktionen, die für den Betrieb der Sauerstoffreduzierungsanlage zwingend erforderlich sind, konfiguriert. Zur Ausführung weiterer, optionaler Regelungsfunktionen können die Reglermodule mit zusätzlichen Baugruppen und/oder Steckkarten erweitert werden. Nachteilig ist hierbei jedoch, dass das Steuerungs- und Regelungssystem sowie die Funktionen im Betrieb der Sauerstoffreduzierungsanlage auch nach Auslieferung, Installation und Inbetriebnahme erweiterbar sind, ohne, dass aus technischen Gründen eine Prüfung oder Freigabe im Hinblick auf sicherheitsrelevante Aspekte erforderlich ist. Beispielsweise könnten ungeprüfte Baugruppen und/oder Steckkarten verwendet werden.

Es ist auch bekannt, derartige Reglermodule als speicherprogrammierbare Steuerung (SPS) auszugestalten. Eine speicherprogrammierbare Steuerung weist mehrere Eingänge und Ausgänge auch als Eingangskanäle bzw. Ausgangskanäle bezeichnet auf, die an Sensoren und Aktoren der Anlage angebunden sind. Über eine Schnittstelle wird ein Anwenderprogramm geladen, das u. a. festlegt, wie die Ausgänge in Abhängigkeit von den Eingängen geschaltet werden sollen und so die Anlage über die angebundenen Sensoren und Aktoren steuert und/oder regelt.

Im Bereich von Computersoftware ist es üblich, lizenzpflichtige Software mit einem Kopierschutz auszustatten. Mit der Software wird zum Beispiel ein Kopierschutzstecker, ein sogenannter Dongle, ausgeliefert, der auf eine Schnittstelle des Computers, z.B. einen USB-Anschluss, aufgesteckt wird. Die geschützte Software überprüft bei Benutzung, ob der Kopierschutzstecker vorhanden ist, ist dies nicht der Fall können beispielsweise nur noch eingeschränkte Programmfunktionen freigegeben oder die Benutzung der Software verweigert werden. Andere Formen von Hardware-Dongles sind insbesondere die Verwendung von Public-Private-Key-Verschlüsselungsverfahren, bei denen die verschlüsselten Dongle-Informationen im Flash-Rom des Computers hinterlegt sein können. Auch Netzwerkvarianten eines Dongle-Kopierschutzes sind bekannt.

Es ist die Aufgabe der vorliegenden Erfindung, die Sicherheit beim Betrieb einer Sauerstoffreduzierungsanlage zu verbessern, insbesondere ein Verfahren bereitzustellen, um im Betrieb einer Sauerstoffreduzierungsanlage genutzten Anlagenfunktionen zu prüfen und sicherzustellen, dass ausschließlich zugelassene, bzw. freigegebene Anlagenfunktionen genutzt werden.

Die Aufgabe wird gelöst durch ein Verifizierungsverfahren nach Anspruch 1 , durch ein programmierbares Steuerungsmodul nach Anspruch 18 sowie durch eine Sauerstoffreduzierungsanlage nach Anspruch 20

Ein erfindungsgemäßes Verifizierungsverfahren für eine Sauerstoffreduzierungsanlage der eingangs beschriebenen Art weist die nachfolgenden Verfahrensschritte auf:

- Erfassen von im Betrieb einer Sauerstoffreduzierungsanlage genutzten Anlagenfunktionen,

- Erstellen eines Lizenzdatensatzes, wobei der Lizenzdatensatz von den genutzten Anlagenfunktionen verwendete Lizenzen (h _y , _y ... , In _y ) enthält,

- Einlesen eines auf einem Speichermedium bereitgestellten Verifizierungsdatensatzes, wobei der Verifizierungsdatensatz mindestens eine vorhandene Lizenz (L-i _x, L2 _{x ...} L _nx ) enthält,

- Feststellen einer Lizenzverletzung, sofern nicht jede verwendete Lizenz (h _y , _y , ... , l _ny ) von dem Verifizierungsdatensatz umfasst ist,

- Ausgeben einer Meldung, insbesondere einer Fehlermeldung und/oder Abschalten mindestens einer, insbesondere aller Anlagenfunktionen, sofern eine Lizenzverletzung erkannt wird. Erfindungsgemäß wird das Verifizierungsverfahren somit während des Betriebs der Sauerstoffreduzierungsanlage, d. h. während die Sauerstoffreduzierungsanlage für ihren Betrieb erforderliche Anlagenfunktionen nutzt, durchgeführt und läuft im Hintergrund, während gleichzeitig die genutzten Anlagenfunktionen von einem Steuerungs- und Regelungssystem gesteuert und geregelt werden. Grundsätzlich werden Anlagenfunktionen der Sauerstoffreduzierungsanlage in Basisanlagenfunktionen, die für die Funktionsfähigkeit zwingend erforderlich sind und optionale Anlagenfunktionen, die je nach Bedarf, wahlweise zusätzlich zu den Basisanlagenfunktionen genutzt werden können, unterschieden. Insbesondere die Erzeugung einer zum Absenken und/oder Halten der Sauerstoffkonzentration in einem Schutzbereich benötigten Menge an Inertgas und das Freisetzen der erzeugten Menge an Inertgas in den entsprechenden Schutzbereich, aber auch die Überwachung des Schutzbereiches oder ein Anheben einer in dem Schutzbereich zuvor abgesenkten Sauerstoffkonzentration sind Basisanlagenfunktionen. Optionale Anlagenfunktionen sind z.B. die Verteilung des erzeugten Inertgases in mehrere Schutzbereiche, die rein vorsorgliche Überwachung der Sauerstoffkonzentration in Überwachungsbereichen, wie Nachbar-, Technik-, Maschinen- und Betriebsräumen, Überwachung von Umgebungsbedingungen, Luftumwälzung in Schutzbereichen und Überwachungsbereichen usw.

In einem, insbesondere ersten, Verfahrensschritt des erfindungsgemäßen Verifizierungsverfahrens werden im Betrieb und zum derzeitigen Zeitpunkt genutzte Anlagenfunktionen erfasst. Vorteilhaft hat sich erwiesen, hierbei alle genutzten Anlagenfunktionen zu erfassen, alternativ ist aber auch denkbar z. B. nur die optionalen Anlagenfunktionen zu erfassen.

In einem zweiten Verfahrensschritt, der insbesondere auf den ersten Verfahrensschritt folgt, wird ein Lizenzdatensatz erstellt. Der Lizenzdatensatz enthält von den genutzten Anlagenfunktionen verwendete Lizenzen. Hierzu kann weiter in lizenzpflichtige und lizenzfreie Anlagenfunktionen unterschieden werden. In der Regel sind Basisanlagenfunktionen lizenzfrei oder in einer Basislizenz zusammengefasst, optionale Anlagenfunktionen sind zumeist lizenzpflichtig. Vorzugsweise werden alle genutzten Anlagenfunktionen erfasst, alternativ ist aber auch denkbar nur die optionalen Anlagenfunktionen zu erfassen. In vorteilhafter Ausgestaltung wird der Lizenzdatensatz anhand aller von der Sauerstoffreduzierungsanlage genutzten Anlagenfunktionen erstellt und enthält die verwendeten Lizenzen aller lizenzpflichtiger Anlagenfunktionen. In einem dritten Verfahrensschritt, der insbesondere auf den zweiten Verfahrensschritt folgt oder aber gleichzeitig mit dem ersten oder dem zweiten Verfahrensschritt durchgeführt wird, wird ein Datensatz, ein Verifizierungsdatensatz von einem Speichermedium eingelesen. Der Verifizierungsdatensatz enthält eine oder mehrere vorhandene Lizenzen, die vorzugsweise ebenfalls jeweils einer konkreten Anlagenfunktion oder, insbesondere in Form einer Basislizenz, mehreren (Basis-) Anlagenfunktionen zugeordnet sind.

In einem vierten Verfahrensschritt, der insbesondere auf den dritten Verfahrensschritt folgt, wird festgestellt, ob eine Lizenzverletzung vorliegt. Hierzu werden der Lizenzdatensatz und der Verifizierungsdatensatz miteinander abgeglichen, indem geprüft wird, ob die den Anlagenfunktionen zugeordneten jeweiligen verwendeten Lizenzen von dem Verifizierungsdatensatz umfasst sind, d. h. insbesondere, ob jeder verwendeten Lizenz des Lizenzdatensatzes eine entsprechende, vorhandene Lizenz des Verifizierungsdatensatzes zugeordnet werden kann. Sofern mindestens eine verwendete Lizenz nicht von dem

Verifizierungsdatensatz umfasst ist, d. h. insbesondere mindestens einer verwendeten Lizenz keine entsprechende, vorhandene Lizenz zugeordnet werden kann, wird eine Lizenzverletzung festgestellt.

In einem fünften Verfahrensschritt, der insbesondere auf den vierten Verfahrensschritt folgt, wird schließlich eine Meldung, insbesondere eine

Fehlermeldung ausgegeben, sofern eine Lizenzverletzung festgestellt wird. Eine Meldung kann grundsätzlich jegliche Art von im Verifizierungsverfahren ausgegebener Meldung sein, anhand der eine Lizenzverletzung, durch einen Benutzer oder das Servicepersonal erkennbar ist. In der Regel ist eine Fehlermeldung im System intern hinterlegt und nur durch Abfrage der entsprechenden Parameter zu erkennen. Eine Störmeldung ist hingegen eine spezielle Fehlermeldung, die mit dem Zweck ausgegeben wird, einen Benutzer, insbesondere das Servicepersonal aktiv, z. B. auch durch optische oder akustische Signale, auf das Vorliegen einer Lizenzverletzung aufmerksam zu machen. Bei Ausgabe einer Meldung, insbesondere einer Fehlermeldung oder Störmeldung, ist grundsätzlich vorgesehen, dass die Sauerstoffreduzierungsanlage ihren normalen Betrieb fortsetzt, ohne Eingriff in die oder Beeinträchtigung der genutzten Anlagenfunktion. Zusätzlich oder alternativ kann oder können bei Feststellen einer Lizenzverletzung außerdem mindestens eine, insbesondere lizenzpflichtige, oder auch alle genutzten Anlagenfunktionen abgeschaltet werden.

Sofern eine Lizenzverletzung nicht festgestellt wird, wird ebenfalls der normale Betrieb der Sauerstoffreduzierungsanlage fortgesetzt und die derzeit genutzten Anlagenfunktionen weiterhin ausgeführt.

Das Verifizierungsverfahren kann einmalig, z.B. zur Freigabe der Sauerstoffreduzierungsanlage nach Installation und bei Inbetriebnahme ausgeführt werden oder in bestimmten oder regelmäßigen zeitlichen Abständen wiederholt werden, um eine dynamische Erweiterung der Anlagenfunktionen während des Betriebs und nach der Inbetriebnahme zu prüfen und/oder zu verifizieren.

Vorteilhafte Ausführungsformen sind in den Unteransprüchen beansprucht und werden nachfolgend näher erläutert.

Zur Anbindung an die Sauerstoffreduzierungsanlage ist das Verifizierungsverfahren in vorteilhafter Ausgestaltung auf mindestens einem programmierbaren Steuerungsmodul (in Fachkreisen auch kurz als „Regler“ oder „Reglermodul“ bezeichnet) implementiert, wobei die genutzten Anlagenfunktionen anhand einer spezifischen Belegung von Signaleingangs- und Signalausgangskanälen des mindestens einen Steuerungsmoduls erfasst werden. Vorzugsweise wird das Verifizierungsverfahren in einem programmierbaren Steuerungsmodul implementiert, das auch für die Steuerung und Regelung der Sauerstoffreduzierungsanlage konfiguriert ist. Bei dem programmierbaren Steuerungsmodul kann es sich bspw. um eine speicherprogrammierbare Steuerung handeln, deren Eingangs- und Ausgangskanäle zur Steuerung und Regelung der Sauerstoffreduzierungsanlage mit entsprechenden Anlagenfunktionen belegt sind, d. h. an die zur Durchführung dieser Anlagenfunktionen erforderlichen Sensoren und Aktoren angebunden. Das Verifizierungsverfahren kann insbesondere in Form einer Programmierung in einem Speicherkern des Steuerungsmoduls hinterlegt sein, wobei die genutzten Anlagenfunktionen anhand der Belegung der Eingangs- und Ausgangskanäle erfasst werden können. Hierbei ist von besonderem Vorteil, dass das Verifizierungsverfahren auch in ein Steuer- und Regelungssystem einer bereits im Betrieb befindlichen Sauerstoffreduzierungsanlage unkompliziert nachgerüstet werden kann.

In vorteilhafter Ausgestaltung des erfindungsgemäßen Verifizierungsverfahrens umfasst jede verwendete Lizenz (h _y , h _y , I _ny ) des Lizenzdatensatzes mindestens zwei Parameter, einen jeweiligen Lizenztyp (1 , 2, n) und eine dem jeweiligen Lizenztyp (1 , 2, n) zugeordnete erste Lizenzanzahl (yn, yi2, ... yi _n ) und jede vorhandene Lizenz (L-i _x, L2 _{x ...} L _nx ) des Verifizierungsdatensatzes mindestens zwei Parameter, einen jeweiligen Lizenztyp (1 , 2, ... , n) und eine dem jeweiligen Lizenztyp (1 , 2, ... , n) zugeordnete bzw. zweite Lizenzanzahl (xu, xi_2, ... xi_ _n ), mit den Variablen y = 0, 1 , ... , n für die erste Lizenzanzahl und x = 0, 1 , ... , n für die die zweite Lizenzanzahl. Zum Feststellen einer Lizenzverletzung erfolgt eine, insbesondere matrixartige, d.h. reihen- oder spaltenweise Zuordnung der verwendeten Lizenzen (h _y , y, ... , I _ny ) zu den vorhandenen Lizenzen (Li _x, L2 _{X ...} L _nx ). Als Lizenztypen werden die konkreten Anlagenfunktionen zugeordneten Lizenzen unterschieden. Bspw. kann ein Lizenztyp „Luftumwälzung“ der insbesondere optionalen Anlagenfunktionen Luftumwälzung zugeordnet sein, wohingegen ein Lizenztyp„Basislizenz“ mehreren zum Betrieb der Sauerstoffreduzierungsanlage zwingend erforderlichen Basisanlagenfunktionen zugeordnet sein kann, wie z. B. der Erzeugung einer zum Absenken und/oder Halten der Sauerstoffkonzentration in einem Schutzbereich benötigten Menge an Inertgas, der Freisetzung der erzeugten Menge an Inertgas in den entsprechenden Schutzbereich und/oder dem Anheben der in dem Schutzbereich zuvor abgesenkten Sauerstoffkonzentration.

In Weiterbildung dieser Ausgestaltung wird zum Feststellen einer Lizenzverletzung mindestens ein Lizenzwert _f a Z2, ... , z _n ), mit der Variablen z = -n, ... , -1 , 0, 1 , ... , n, jeweils einander, insbesondere reihen- oder spaltenweise, zugeordneter Lizenztypen (1 , 2, ... , n) ermittelt, indem die erste Lizenzanzahl (yn, yi2, ... yi _n ) der verwendeten Lizenzen (h _y , hy, ... , I _ny ) von der zweiten Lizenzanzahl (xu, xi_2, ... xi_ _n ) der vorhandenen Lizenzen (Li _x, L2 _{X ...} L _nx ) subtrahiert wird, und wobei eine Lizenzverletzung festgestellt wird, sofern einer der ermittelten Lizenzwerte _f a Z2, ... , z _n ) < 0 ist. Als vorteilhafte Option können einem Benutzer oder dem Servicepersonal der Sauerstoffreduzierungsanlage die ermittelten Lizenzwerte fa, Z ₂ , ... , z _n ) z.B. in Form einer optischen Darstellung auf einem Bedien- und Anzeigepanel oder einem Bildschirm ausgegeben werden. Anhand der ermittelten Lizenzwerte fa, Z _{2, ...} , z _n ) > 0 kann die jeweilige Anzahl derzeit verfügbarer Lizenzen festgestellt werden und der Benutzer oder das Servicepersonal wird über frei zur Verfügung stehende, d.h. nicht verwendete, jedoch vorhandene Lizenzen informiert. Auf diese Weise können für zugeordnete Anlagenfunktionen vorhandene Lizenzen übersichtlich und effizient verwaltet werden. Ein Lizenzwert z = 0 gibt an, dass alle vorhandenen Lizenzen von entsprechenden Anlagenfunktionen genutzt werden bzw. alle verwendeten Lizenzen durch den Verifizierungsdatensatz verifiziert sind. Selbstverständlich ist es umgekehrt ebenso denkbar die zweite Lizenzanzahl (xu, xi_ ₂ , ... xi_n) der vorhandenen Lizenzen (L-i _x, L ₂ x ... L _nx ) von der ersten Lizenzanzahl (yn, yi ₂ , ... yin) der verwendeten Lizenzen (h _y , y, ... , I _ny ) zu subtrahieren, wobei entsprechend eine Lizenzverletzung festgestellt wird, sofern einer der so ermittelten Lizenzwerte fa, Z ₂ , ... , z _n ) > 0 ist.

Nach einer optionalen Verfahrensvariante wird eine Prüfung, ob der Verifizierungsdatensatz einen Freischaltcode enthält durchgeführt, wobei eine Meldung, insbesondere eine Störmeldung, ausgegeben wird und/oder mindestens eine, vorzugsweise alle, Anlagenfunktion abgeschaltet werden, sofern der

Freischaltcode nicht erkannt wird.

Durch den Freischaltcode kann somit eine zusätzliche und ggf. übergeordnete Sicherheitsabfrage vorgesehen sein, die insbesondere vor, während oder nach dem Einlesen des Verifizierungsdatensatzes durchgeführt werden kann und so z. B. sicherstellt, dass das Speichermedium den richtigen, für die zugehörige

Sauerstoffreduzierungsanlage vorgesehenen Verifizierungsdatensatz enthält.

Eine ähnliche Sicherheitsabfrage kann in bevorzugter Ausgestaltung durch das Einlesen des Verifizierungsdatensatzes über eine mit dem Speichermedium signalübertragend verbundene oder verbindbare Schnittstelle erfolgen, wobei eine Meldung, insbesondere eine Störmeldung, ausgegeben wird und/oder mindestens eine, vorzugsweise alle, Anlagenfunktion abgeschaltet werden, sofern die signalübertragende Verbindung zwischen dem Speichermedium und der Schnittstelle nicht erkannt wird.

Auch wenn grundsätzlich denkbar ist, dass die Schnittstelle intern, in das programmierbare Steuerungsmodul integriert ist und das Speichermodul z. B. als interner Speicherkern ausgeführt ist, so ist es nach einer Weiterbildung der obigen Verfahrensvariante vorteilhaft, die Schnittstelle als externe Schnittstelle, insbesondere als USB-Anschluss, und das Speichermodul als externes Speichermodul, insbesondere als USB-Dongle, auszubilden, wobei das externe Speichermodul dann manuell von einem Benutzer mit der externen Schnittstelle verbindbar ist.

Vorzugsweise wird das Verifizierungsverfahren gemäß einer Erfindungsausgestaltung in bestimmten oder regelmäßigen zeitlichen Abständen wiederholt, und gleichzeitig bei Ausgabe der Meldung, insbesondere der Fehlermeldung, ein Zeitmesser gestartet, um die Zeitspanne während der die Meldung, insbesondere die Fehlermeldung, ausgegeben wird zu erfassen. Der Zeitmesser kann hierzu die Zeitspanne vorwärts oder rückwärts messend konfiguriert sein kann.

Sofern bei einem erneuten Durchlauf des Verfizierungsverfahrens eine Lizenzverletzung nicht länger festgestellt wird, ist vorzugsweise eine automatische Rücksetzung des Zeitmessers sowie der Fehler- oder Störmeldung vorgesehen. Alternativ oder zusätzlich ist auch denkbar, dass der Zeitmesser sowie die Fehler oder Störmeldung durch einen Benutzer oder das Servicepersonal der Sauerstoffreduzierungsanlage manuell zurückgesetzt werden kann.

In Weiterbildung dieser Erfindungsausgestaltung wird mit Erreichen oder nach Ablauf einer vorgegebenen Zeitspanne, während der die Meldung, insbesondere die Fehlermeldung, ausgegeben wird, eine Störmeldung ausgegeben und/oder mindestens eine Anlagenfunktion, insbesondere alle Anlagenfunktionen, abgeschaltet.

Nach einer besonders vorteilhaften Weiterbildung dieser Erfindungsausgestaltung kann mit Erreichen oder nach Ablauf einer vorgegebenen Zeitspanne, während der die Meldung, insbesondere eine Fehlermeldung und/oder eine Störmeldung ausgegeben wird ein Abschalten mindestens einer, insbesondere aller Anlagenfunktionen, der Sauerstoffreduzierungsanlage erfolgen.

Konkret kann z.B. mit Erreichen oder nach Ablauf einer ersten vorgegebenen Zeitspanne, insbesondere nach 60 Minuten, während der eine Fehlermeldung ununterbrochen ausgegeben wurde bzw. eine Lizenzverletzung ununterbrochen festgestellt wurde, anstelle der Fehlermeldung eine Störmeldung ausgegeben werden. Mit Erreichen oder nach Ablauf einer zweiten vorgegebenen Zeitspanne, z.B. nach weiteren 72 Stunden, während der die Störmeldung ununterbrochen ausgegeben wurde bzw. eine Lizenzverletzung ununterbrochen festgestellt wurde, kann dann eine Abschaltung mindestens einer, vorzugsweise aller, Anlagenfunktionen erfolgen.

Für die Bedienung und den Betrieb der Sauerstoffreduzierungsanlage haben sich die vorgegebenen Zeitspannen als vorteilhaft erwiesen. So kann beispielsweise innerhalb der ersten vorgegebenen Zeitspanne von 60 Minuten einerseits das den Verifizierungsdatensatz enthaltende Speichermedium zum Austausch oder zum Aufspielen von Updates und/oder zusätzlichen, vorhandenen Lizenzen temporär entfernt werden, ohne dass in den Betrieb der Sauerstoffreduzierungsanlage eingegriffen würde. Die mit der zweiten Zeitspanne vorgegebenen 72 Stunden, stellen andererseits einen ausreichenden Zeitraum zur Verfügung eine ggf. unbeabsichtigte Lizenzverletzung zu beheben und/oder bei einer bevorstehenden Abschaltung ausgewählter oder aller Anlagenfunktionen erforderliche Vorbereitungen zu treffen, um eine mögliche Gefährdung durch die nicht länger genutzten Anlagenfunktionen zu vermeiden. Besonders zweckmäßig ist eine Verfahrensvariante, bei der das Verifizierungsverfahren auf mehreren programmierbaren und miteinander signalverbundenen Steuerungsmodulen implementiert ist, wobei mindestens ein Steuerungsmodul als Bereichssteuerungsmodul mindestens einem Schutzbereich oder Überwachungsbereich zugeordnet ist und/oder mindestens ein Steuerungsmodul als Prozesssteuerungsmodul mindestens einer Inertgasquelle, insbesondere einem Inertgaserzeuger zugeordnet ist und/oder mindestens ein Steuerungsmodul als Mastersteuerungsmodul vorgesehen ist. Denkbar ist auch zwei oder mehr Mastersteuerungsmodule zur Schaffung einer entsprechenden Redundanz vorzusehen.

Gerade zur Nachrüstung eines eingangs beschriebenen, dezentralen Steuerungs und Regelungssystem einer Sauerstoffreduzierungsanlage ist es vorteilhaft, auch das erfindungsgemäße Verifizierungsverfahren dezentral auf mehreren programmierbaren Steuerungsmodulen, die insbesondere über ein Bussystem oder Ringbussystem oder auch ein (drahtloses) Netzwerk miteinander signalverbunden sind, vorzugsweise auf einem jeweiligen Speicherkern, zu implementieren. Vorteilhaft ist, wenn die mehreren programmierbaren Steuerungsmodule weitestgehend identisch aufgebaut sind, jedoch spezifischen Anlagenteilen der Sauerstoffreduzierungsanlage, insbesondere auch örtlich, zugeordnet und zur Steuerung und Regelung der dort lokal genutzten Anlagenfunktionen konfiguriert sind. So kann beispielsweise mindestens ein Bereichssteuerungsmodul einem oder mehreren Schutzbereichen und/oder Überwachungsbereichen zugeordnet und u. a. zur Überwachung und Regelung der dortigen Sauerstoffkonzentration konfiguriert sein, mindestens ein Prozesssteuerungsmodul einer oder mehreren Inertgasquellen, insbesondere einem oder mehreren Inertgaserzeugern zugeordnet und zur Steuerung der erzeugten Inertgasmengen konfiguriert sein und mindestens ein Mastersteuerungsmodul zur kommunikativen Abstimmung der übrigen Steuerungsmodule konfiguriert sein.

Um alle lokal genutzten Anlagenfunktion erfassen zu können hat es sich in Weiterbildung als vorteilhaft erwiesen, dass das Erfassen genutzter

Anlagenfunktionen, insbesondere lokal, auf dem mindestens einen

Bereichssteuerungsmodul und/oder dem mindestens einen Prozesssteuerungsmodul und/oder dem mindestens einen Mastersteuerungsmodul implementiert ist, wobei die dem jeweiligen Steuerungsmodul lokal zugeordneten Anlagenfunktionen anhand einer spezifischen Belegung von Signaleingangs- und Signalausgangskanälen des jeweiligen Bereichssteuerungsmoduls und/oder Prozesssteuerungsmoduls und/oder Mastersteuerungsmoduls erfasst werden können.

Ebenso ist es vorteilhaft, dass auch das Erstellen des Lizenzdatensatzes lokal auf dem jeweiligen Steuerungsmodul implementiert ist. Bevorzugt zeichnet sich das Verfahren daher durch lokales Erstellen mindestens eines Lizenzdatensatzes aus, der von dem jeweiligen Steuerungsmodul verwendete Lizenzen (h _y , h _y I _ny ) enthält, wobei jede dort verwendete Lizenz (h _y , h _{y ...} , I _ny ) mindestens einer lokal genutzten Anlagenfunktionen zugeordnet ist und mindestens zwei Parameter, einen jeweiligen Lizenztyp (1 , 2, ... , n) und eine dem jeweiligen Lizenztyp (1 , 2, ... , n) zugeordnete erste Lizenzanzahl (yn, yi2, ... yi _n ) umfasst, mit der jeweiligen Variablen y = 1 , 2, ... , n.

Insbesondere bei Konfiguration eines Steuerungsmoduls als Mastersteuerungsmodul zur Überwachung der Kommunikation hat es sich als vorteilhaft herausgestellt, dass ein Erstellen eines globalen Lizenzdatensatzes auf dem mindestens einen Mastersteuerungsmodul implementiert ist, und der globale Lizenzdatensatz durch Zusammenfügen der lokal erstellten Lizenzdatensätze gebildet wird, indem die ersten Lizenzanzahlen (yn, yi2, ... yi _n ) der von den jeweiligen Steuerungsmodulen lokal verwendeten Lizenzen (h _y , y, ... , I _ny ) jeweils einander zugeordneter Lizenztypen (1 , 2, ... , n) addiert werden und wobei den von den jeweiligen Steuerungsmodulen lokal verwendeten Lizenzen (ln _y , h2 _{y ...} , I _nmy ) ein dem jeweiligen Steuerungsmodul entsprechender Herkunftsindikator (1 , 2, ... , m) zugewiesen wird, mit der jeweiligen Variablen y = 1 , 2, ... , n.

Der globale Lizenzdatensatz enthält somit nicht nur die Information über die Anzahl der insgesamt verwendeten Lizenzen der jeweiligen Lizenztypen, darüber hinaus ist auch die jeweilige Herkunft der verwendeten Lizenz enthalten, d. h. welches programmierbare Steuerungsmodul diese Lizenzen verwendet.

Bei der Implementierung des Verfizierungsverfahrens auf mehreren Steuerungsmodulen ist es gemäß Ausgestaltung zweckmäßig, dass das Einlesen des Verifizierungsdatensatzes und vorzugsweise auch das Feststellen einer Lizenzverletzung, insbesondere anhand des globalen Lizenzdatensatzes, auf dem mindestens einen Mastersteuerungsmodul implementiert ist.

Eine weitere, zusätzliche Sicherheitsabfrage kann nach einer Verfahrensvariante vorgesehen sein, indem der Verifizierungsdatensatz mindestens eine vorhandene Steuerungsmodullizenz (SL _BX , SL _Px , SL _MX ) enthält und der Lizenzdatensatz von den jeweiligen Steuerungsmodulen verwendete Steuerungsmodullizenzen (sl _ßy , slp _y , sl _My ) enthält, wobei eine Lizenzverletzung festgestellt wird, sofern nicht jede verwendete Steuerungsmodullizenz (sl _ßy , slp _y , SI _MV ) von dem Verifizierungsdatensatz umfasst ist.

Konkret umfasst in Weiterbildung dieser Verfahrensvariante, entsprechend der eingangs beschriebenen Feststellung einer Lizenzverletzung jede verwendete Steuerungsmodullizenz (sl _ßy , slp _y , SI _MV ) des Lizenzdatensatzes mindestens zwei Parameter, einen jeweiligen Steuerungsmodultyp (B, P, M) und eine dem jeweiligen Steuerungsmodultyp (B, P, M) zugeordnete erste Steuerungsmodullizenzanzahl (y _SiB , y _sip , y _SiM ) umfasst und jede vorhandene Steuerungsmodullizenz (SL _Bx , SL _Px , SL _Mx ) des Verifizierungsdatensatzes mindestens zwei Parameter, einen jeweiligen Steuerungsmodultyp (B, P, M) und eine dem jeweiligen Steuerungsmodultyp (B, P, M) zugeordnete zweite Steuerungsmodullizenzanzahl (XS _LB , XS _LP , XS _LM ) umfasst und zum Feststellen einer Lizenzverletzung mindestens ein Steuerungsmodullizenzwert (zsu, ZS _L 2, ... , zs _Ln ) jeweils einander zugeordneter Steuerungsmodulindikatoren (B, P, M) ermittelt wird, indem die erste Steuerungsmodullizenzanzahl (y _siß , y _sip , y _SiM ) der verwendeten Steuerungsmodullizenzen (sl _ßy , slp _y , sl _my ) von der zweiten Steuerungsmodullizenzanzahl (XS _LB , XS _LP , XS _LM ) der vorhandenen Steuerungsmodullizenzen (SL _Bx , SL _Px , SL _Mx ) subtrahiert wird, und wobei eine Lizenzverletzung festgestellt wird, sofern einer der ermittelten Steuerungsmodullizenzwerte (zsu, ZS _L 2, ... , zs _Ln ) < 0 ist, mit den jeweiligen Variablen y = 0, 1 , ... , n und z = -n, -1 , ... , 0, 1 , n.

Schließlich ist gemäß einer vorteilhaften Ausgestaltung des erfindungsgemäßen Verifizierungsverfahrens mindestens eine hinterlegte Anlagenfunktion von einem Benutzer über eine Benutzeroberfläche manuell auswählbar. Hierbei ist es vorteilhaft, wenn vor dem Erfassen der genutzten Anlagenfunktionen zunächst geprüft wird, ob die für die mindestens eine, ausgewählte Anlagenfunktion erforderlichen Hardware-Komponenten und/oder Eingangs- oder Ausgangskanäle vorhanden sind.

Optional können über die Benutzeroberfläche außerdem im Verifizierungsverfahren ermittelte Informationen, z. B. die von der Sauerstoffreduzierungsanlage genutzten Anlagenfunktionen, die im Verifizierungsdatensatz enthaltenen, vorhandenen Lizenzen und Steuerungslizenzen, die von den genutzten Anlagenfunktionen und im Lizenzdatensatz enthaltenen verwendeten Lizenzen und Steuerungslizenzen, deren jeweiligen Lizenz- bzw. Steuerungslizenztyp, deren jeweilige Lizenzanzahl bzw. Steuerungslizenzanzahl, den zugeordneten Herkunftsindikator, die ermittelten Lizenzwerte, ausgegebene Meldungen, insbesondere Fehlermeldungen und Störungsmeldungen sowie abgeschaltete Anlagenfunktionen, Zeitstände des Zeitmessers usw., von einem Benutzer abgerufen werden.

Die eingangs gestellte Erfindungsaufgabe wird auch gelöst durch ein programmierbares Steuerungsmodul für eine Sauerstoffreduzierungsanlage, wobei die Sauerstoffreduzierungsanlage zum Absenken und/oder Halten eines Sauerstoffkonzentrationsniveaus in mindestens einem Schutzbereich durch

Zuführung von aus mindestens einer Inertgasquelle stammendem, insbesondere mittels mindestens eines Inertgaserzeugers erzeugtem Inertgas und zum Überwachen oder Anheben des, insbesondere zuvor abgesenkten, Sauerstoffkonzentrationsniveaus in dem Schutzbereich oder einem Überwachungsbereich ausgebildet ist, konfiguriert zur Durchführung eines

Verifizierungsverfahrens nach einer der zuvor beschriebenen Varianten, mit einem oder mehreren Signaleingangskanälen und einem oder mehreren

Signalausgangskanälen und mit mindestens einer Schnittstelle zur Übertragung von Daten und/oder zur Verbindung mit einem Speichermedium. Gemäß einer vorteilhaften Ausführungsform des programmierbaren

Speichermoduls ist die Anzahl an Signaleingangskanälen und/oder Signalausgangskanälen durch Hinzufügen von Hardware-Komponenten erweiterbar.

Indem also zusätzlicher Raum für die Erweiterung durch optionale Baugruppen und/oder Steckkarten vorgesehen ist, wird eine modulare und bedarfsweise Anpassung des Steuerungsmoduls an die genutzten Anlagenfunktionen und die im erfindungsgemäßen Verifizierungsverfahren genutzten, variabel zusammengestellten Lizenz- und Verifizierungsdatensätze ermöglicht.

Schließlich wird die Erfindungsaufgabe ferner gelöst durch eine Sauerstoffreduzierungsanlage mit mindestens einem programmierbaren

Steuerungsmodul nach einer der oben beschriebenen Ausführungsformen und geeignet zur Durchführung eines Verifizierungsverfahren nach einer der zuvor beschriebenen Verfahrensvarianten, wobei ein oder mehrere Signaleingangskanäle des mindestens einen Steuerungsmoduls mit Sensoren der Sauerstoffreduzierungsanlage und ein oder mehrere Signalausgangskanäle mit Aktoren der Sauerstoffreduzierungsanlage verbunden sind.

Weitere Einzelheiten, Merkmale, Merkmals(unter)kombinationen, Vorteile und Wirkungen auf der Basis der Erfindung ergeben sich aus der nachfolgenden Beschreibung eines bevorzugten Ausführungsbeispiels der Erfindung und den Zeichnungen. Diese zeigen in Fig. 1 eine schematische Darstellung einer

Sauerstoffreduzierungsanlage mit einem dezentralen Steuerungs- und Regelungssystem,

Fig. 2 eine schematische Darstellung einer beispielhaften

Ausführungsform zweier erfindungsgemäßer Steuerungsmodule, Fig. 3 ein Blockdiagramm zur schematischen Veranschaulichung eines beispielhaften Ablaufs des erfindungsgemäßen Verifizierungsverfahrens,

Fig. 4 eine schematische Darstellung einer beispielhaften

Ausführungsform der Erfindung, bei der mehrere programmierbare Steuerungsmodule signalleitend miteinander verbunden sind, Fig. 5 eine schematische Darstellung einer beispielhaften

Ausführungsform der in einem Steuerungsmodul implementierten Zuordnung, bei der verwendete Lizenzen vorhandenen Lizenzen zugeordnet sind,

Fig. 6 eine schematische Darstellung einer beispielhaften

Ausführungsform eine globalen Lizenzdatensatzes, Fig. 7 eine schematische Darstellung einer beispielhaften

Ausführungsform der in einem Steuerungsmodul implementierten Zuordnung, bei der verwendete Steuerungslizenzen vorhandenen Steuerungslizenzen zugeordnet sind,

Fig. 8 eine erste bespielhafte Darstellung von auf einer

Benutzeroberfläche angezeigten Informationen und in Fig. 9 eine zweite bespielhafte Darstellung von auf einer

Benutzeroberfläche angezeigten Informationen.

Die Figuren sind lediglich beispielhafter Natur und dienen nur dem Verständnis der Erfindung. Die gleichen Elemente sind mit denselben Bezugszeichen versehen und werden in der Regel nur einmal beschrieben. Die Figur 1 zeigt ein Ausführungsbeispiel einer erfindungsgemäßen

Sauerstoffreduzierungsanlage 100, die mit einem dezentralen Steuerungs- und Regelungssystem ausgestattet ist. Die Sauerstoffreduzierungsanlage 100 umfasst zwei als Inertgaserzeuger 130 ausgebildete Inertgasquellen, die über Inertgas 131 leitende Leitungsverbindungen mit zwei Schutzbereichen 121 verbunden sind. Benachbart zu einem der Schutzbereiche 121 ist ein Überwachungsbereich 122 angeordnet. Den Inertgaserzeugern 130 ist jeweils ein zur Steuerung und Regelung des entsprechenden Inertgaserzeugers 130 konfiguriertes Prozesssteuerungsmodul 320 zugeordnet, dessen hier nicht dargestellte Signaleingangskanäle 301 an Sensoren 140, insbesondere Druck- und Sauerstoffkonzentrationssensoren und dessen hier ebenfalls nicht dargestellte Signalausgangskanäle 302 an Aktoren 150, insbesondere Ventile und Kompressoren des Inertgaserzeugers 130 angebunden sind. In entsprechender Weise ist auch den Schutzbereichen 121 jeweils ein zum Absenken und/oder Halten sowie zur Überwachung oder zum Anheben eines, gegebenenfalls zuvor abgesenkten, Sauerstoffkonzentrationsniveaus innerhalb des entsprechenden Schutzbereichs 121 konfiguriertes Bereichssteuerungsmodul 310 zugeordnet. Einem der Bereichssteuerungsmodule 310 ist außerdem ein Überwachungsbereich 122 zugeordnet. Die hier nicht dargestellten Signaleingangskanäle 301 der Bereichssteuerungsmodule 310 sind an Sensoren 140, insbesondere Sauerstoffkonzentrationssensoren, die innerhalb der jeweils zugeordneten Schutzbereiche 121 bzw. innerhalb des Überwachungsbereichs 122 angeordnet sind, angebunden. Die hier ebenfalls nicht dargestellten Signalausgangskanäle 302 sind entsprechend an Aktoren 150, insbesondere an Bereichsventile und/oder Alarmmittel, die innerhalb der jeweils zugeordneten Schutzbereiche 121 bzw. innerhalb des Überwachungsbereichs 122 angeordnet sind, angebunden. Die Bereichssteuerungsmodule 310 und die Prozesssteuerungsmodule 320 kommunizieren nicht direkt miteinander, sondern sind mit zwei redundanten Masterreglern 330, vorzugsweise über ein Bus- oder Ringbussystem, signalleitend verbunden. Die Bereichssteuerungsmodule 310, die Prozessteuerungsmodule 320 und die Mastersteuerungsmodule 330 sind jeweils zur Durchführung des erfindungsgemäßen Verifizierungsverfahrens 200 konfiguriert, wobei insbesondere auf den Bereichsreglern 310 und den Prozessreglern 320 ein Erfassen 201 der dort lokal genutzten Anlagenfunktionen 110 und auf den Masterreglern 330 ein Einlesen eines Verifizierungsdatensatzes 220 implementiert ist. Über ein mit einem der Mastersteuerungsmodule 330 signalverbundenes Bedien- und Anzeigepanel 160 kann außerdem eine Benutzeroberfläche 250, zur Darstellung der im

Verifizierungsverfahren 200 ermittelten Informationen angezeigt werden.

In der Figur 2 ist eine schematische Darstellung einer beispielhaften Ausführungsform zweier erfindungsgemäßer Steuerungsmodule 300 dargestellt. Die beiden Steuerungsmodule 300 sind vorzugsweise jeweils als Mastersteuerungsmodule 330 konfiguriert, weisen einen identischen Aufbau auf und bilden vorzugsweise zur Erhöhung der Ausfallsicherheit eine Redundanz. Ein Steuerungsmodul 300 umfasst hier beispielhaft drei Hardware-Komponenten 350, die jeweils insbesondere vier Signaleingangskanäle 301 zur Anbindung an Sensoren 140 der Sauerstoffreduzierungsanlage 100 sowie vier Signalausgangskanäle 302 zur Anbindung an Aktoren 150 der

Sauerstoffreduzierungsanlage 100 aufweisen. Die Anzahl der Hardware- Komponenten 350 kann bedarfsweise modular erweitert werden. Anhand der Belegung der Signaleingangskanäle 301 und/oder der Signalausgangskanäle 302 können die von der Sauerstoffreduzierungsanlage 100 genutzten Anlagenfunktionen 110 erkannt und erfasst werden. Das Steuerungsmodul 300 weist ferner einen Zeitmesser 304 und z. B. drei Schnittstellen 303 auf, wobei eine der Schnittstellen 303 mit einem externen Speichermedium 340 signalverbunden ist. Eine zweite Schnittstelle 303 kann zur signalleitenden Verbindung mit einem Eingabe- und Ausgabegerät, bspw. einem Computer oder Laptop, mit entsprechender Benutzeroberfläche 250 vorgesehen sein. Schließlich ist eine dritte Schnittstelle 303 zur signalleitenden Verbindung mit einem Bus-, insbesondere Ringbussystem oder einem sonstigen Netzwerk vorgesehen. In der hier gezeigten Abbildung ist beispielhaft eine signalleitende Verbindung der Schnittstelle 303 mit dem redundanten Steuerungsmodul 300 dargestellt.

Ein Blockdiagramm zur schematischen Veranschaulichung eines beispielhaften Verfahrensablaufs des erfindungsgemäßen Verifizierungsverfahrens 200 kann der Figur 3 entnommen werden und wird nachfolgend auch unter Bezugnahme auf die Figur 4, die eine beispielhafte Anordnung mehrerer Steuerungsmodule 300 für eine Sauerstoffreduzierungsanlage 100 darstellt, näher erläutert. Das Verifizierungsverfahren 200 wird vorzugsweise im Betrieb der Sauerstoffreduzierungsanlage 100 durchgeführt, d. h. während eine oder mehrere Anlagenfunktionen 110 von der Sauerstoffreduzierungsanlage 100 genutzt werden. Gemäß der Figur 4 ist das Verifizierungsverfahren 200 auf z. B. sechs untereinander signalverbundenen, programmierbaren Steuerungsmodulen 300 implementiert, wobei eines der Steuerungsmodule 300 als Mastersteuerungsmodul 330, drei weitere Steuerungsmodule 300 als Bereichssteuerungsmodule 310 und die verbleibenden zwei Steuerungsmodule 300 als Prozesssteuerungsmodule 320 konfiguriert sind. Die Bereichssteuerungsmodule 310 sind dabei zur Steuerung und/oder Regelung von lokal in einem zugeordneten Schutz- oder Überwachungsbereich 121 , 122 durchzuführenden Anlagenfunktionen 110 konfiguriert und die Prozesssteuerungsmodule 320 entsprechend zur Steuerung und/oder Regelung der Anlagenfunktionen 110 jeweils zugeordneter Inertgasquellen, hier im Beispiel Inertgaserzeuger 130. Auch das Mastersteuerungsmodul 330 kann zur Steuerung und/oder Regelung lokal genutzter Anlagenfunktionen 110 konfiguriert sein.

Zurück zur Figur 3 werden in einem ersten Verfahrensschritt 201 die von der Sauerstoffreduzierungsanlage 100 genutzten Anlagenfunktionen 110 erfasst. Die Erfassung 201 der Anlagenfunktionen 100 ist zweckmäßig auf jedem der Steuerungsmodule 300, 310, 320, 330 implementiert, sodass dort jeweils genutzte Anlagenfunktionen 110 lokal, anhand der individuellen Eingangs- und Ausgangskanalbelegung des jeweiligen Steuerungsmoduls 300, 310, 320, 330 erfasst werden.

In einem zweiten Verfahrensschritt 202 wird anhand der erfassten Anlagenfunktionen 110 ein Lizenzdatensatz 210 erstellt. Vorzugsweise ist auch der zweite Verfahrensschritt 202 lokal auf jedem Steuerungsmodul 300, 310, 320, 330 implementiert, sodass auf jedem Steuerungsmodul 300, 310, 320, 330 ein individueller Lizenzdatensatz 210 lokal erstellt werden kann. Hierzu werden die Anlagenfunktionen 110 zunächst in lizenzpflichtige Anlagenfunktionen 111 und lizenzfreie Anlagenfunktionen 112 unterschieden. Grundsätzlich wird für jede lizenzpflichtige Anlagenfunktion 111 eine verwendete Lizenz l _ny , deren Lizenztyp n der Anlagenfunktion 111 entspricht (z.B. n = 9: Luftumwälzung) und deren erste Lizenzanzahl y der Anzahl der für die Anlagenfunktion 111 verwendeten Lizenzen entspricht (z.B. y = 1 ), im Lizenzdatensatz 210 hinterlegt. Bei der Luftumwälzung handelt es sich ferner um eine sogenannte optionale Anlagenfunktion 114, die anders als die sogenannten Basisanlagenfunktionen 113, für den Betrieb der Sauerstoffreduzierungsanlage 100 nicht zwingend erforderlich ist.

Zweckmäßigerweise kann für mehrere Basisanlagenfunktionen 113 eine einzige verwendete Lizenz l _ny, eine Basislizenz, deren Lizenztyp n den

Basisanlagenfunktionen 113 entspricht (z.B. n = 6: Bereichssteuerungsmodul (Standardfunktionen) oder n = 22: Prozesssteuerungsmodul (Standardfunktionen)) im Lizenzdatensatz 210 hinterlegt werden.

Im vorliegenden Ausführungsbeispiel gemäß der Figur 4, sofern also mehr als ein Lizenzdatensatz 210 lokal erstellt wird, werden die lokal erstellten Lizenzdatensätze 210 zu einem einzigen, globalen Lizenzdatensatz 240 zusammengefasst (siehe auch Figur 6). Dieser Verfahrensschritt ist zweckmäßigerweise auf dem Mastersteuerungsmodul 330 implementiert. Der globale Lizenzdatensatz 240 umfasst die jeweilige Summe, der insgesamt verwendeten Lizenzen (h _y , _{y ...} , I _ny ) des jeweiligen Lizenztyps n sowie die dem entsprechenden Steuerungsmodul 310, 320, 330 zugeordnete, lokale Lizenzanzahl y. Hierzu werden die jeweiligen verwendeten Lizenzen (h _my , _{my ...} , I _nmy ) mit einem zusätzlichen Herkunftsindikator m versehen (siehe auch Figur 6). Der globale Lizenzdatensatz 240 enthält demnach eine verwendete Lizenz le _, 3 vom Lizenztyp Bereichssteuerungsmodul (Standardfunktionen) und mit der ersten Lizenzanzahl y = 3, eine verwendete Lizenz 1 _22,2 vom Lizenztyp Prozesssteuerungsmodul (Standardfunktionen) und mit der ersten Lizenzanzahl y = 2 sowie eine verwendete Lizenz b.i vom Lizenztyp Luftumwälzung und mit der ersten Lizenzanzahl y =1 .Zusätzlich sind Information darüber enthalten, welches Steuerungsmodul 300, 310, 320, 330 die jeweiligen Lizenzen verwendet.

Nach den Figuren 3 und 4 wird in einem dritten Verfahrensschritt 203 ein auf einem Speichermedium 340 bereitgestellter Verifizierungsdatensatz 220, der eine Anzahl an vorhandenen Lizenzen (L-i _x, L2 _{x ...} L _nx ) enthält eingelesen und in einem vierten Verfahrensschritt 204 eine Lizenzverletzung festgestellt, sofern nicht jede verwendete Lizenz (h _y , y, ... , I _ny ) des Lizenzdatensatzes 210 (Lizenztyp n und jeweilige Lizenzanzahl y) oder gemäß dem vorliegenden Ausführungsbeispiel, des globalen Lizenzdatensatzes 240 mit den verwendeten Lizenzen le _, 3, 122 _, 2, lg _,i von dem Verifizierungsdatensatz 220 umfasst ist. So würde zum Beispiel bei einem Verifizierungsdatensatz 220 der nur die vorhandenen Lizenzen Le _, 3 _, L222 oder nur die vorhandenen Lizenzen Le _, 2, L22,2, Lg _,i enthält jeweils eine Lizenzverletzung festgestellt.

Je nach Verfahrensvariante kann bei Vorliegen einer Lizenzverletzung in einem fünften Verfahrensschritt 205, 206 wahlweise entweder eine Meldung, insbesondere eine Fehlermeldung ausgegeben werden 205 oder die Lizenzverletzung hat ein Abschalten 206 mindestens einer, insbesondere einer optionalen und/oder lizenzpflichtigen Anlagenfunktion 111 , 114 oder alternativ aller Anlagenfunktionen 110, 111 , 112, 113, 114 zur Folge. Sofern gemäß dem Ausführungsbeispiel der Verifizierungsdatensatz 220 mindestens die vorhandenen Lizenzen Le _, 3, L22,2, Lg _{,i ,} enthält, wird eine Lizenzverletzung nicht festgestellt und das Verifizierungsverfahren 200 wird beginnend mit dem ersten Verfahrensschritt 201 wiederholt. Zweckmäßigerweise kann der Verifizierungsdatensatz 220 auch weitere vorhandene Lizenzen L enthalten, wie hier gezeigt beispielsweise eine vorhandene Lizenz L-13 _, 1 vom Lizenztyp n = 13: Überwachung Zugangstüren mit der zweiten Lizenzanzahl x = 1 , die einem Benutzer oder dem Service-Personal erlauben, zusätzliche Anlagenfunktionen 110 zu nutzen, die z. B. im vorgesehenen Lizenzumfang enthalten sind und deren Nutzung daher nicht zur Feststellung einer Lizenzverletzung führen soll. Auch nachdem eine Meldung, insbesondere eine Fehlermeldung oder eine Störmeldung, ausgegeben wurde 205, wird das erfindungsgemäße Verifizierungsverfahren 200 wiederholt durchgeführt. Unabhängig von der Feststellung einer Lizenzverletzung wird der Betrieb der Sauerstoffreduzierungsanlage 100 (zunächst) fortgesetzt. Vorzugsweise wird das erfindungsgemäße Verifizierungsverfahren 200 in regelmäßigen zeitlichen Abständen wiederholt, wobei lediglich ein Abschalten 206 aller Anlagenfunktionen 110, 111 , 112, 113, 114 auch zu einer Beendigung des erfindungsgemäßen Verifizierungsverfahrens 200 führt. Um den Betrieb der Sauerstoffreduzierungsanlage 100 wieder aufzunehmen und das

Verifizierungsverfahren 200 weiter zu durchzuführen, ist ein manueller Neustart der Sauerstoffreduzierungsanlage 100 und gegebenenfalls auch des

Verifizierungsverfahrens 200 erforderlich.

Gemäß einer Verfahrensvariante kann in einem optionalen Verfahrensschritt 208 mit Feststellung 204 einer Lizenzverletzung, ein Zeitmesser 304 gestartet werden, welcher das verstrichene Zeitintervall zwischen der ersten Feststellung 204 einer Lizenzverletzung, bis in einem nachfolgenden Verfahrensdurchlauf eine Prüfung auf Lizenzverletzung erstmals negativ ausfällt, d. h. die Lizenzverletzung nicht länger vorliegt, misst. Nach einer weiteren Verfahrensvariante kann nach Ablauf, d. h. sofern der Zeitmesser 304 ausgehend von einem ersten vorgegebenen Zeitintervall (z. B. 60 Minuten) rückwärts misst oder mit Erreichen des ersten vorgegebenen Zeitintervalls, d. h. sofern der Zeitmesser ausgehend von einem Zeitwert Null vorwärts misst, in welchem Zeitintervall eine Fehlermeldung ununterbrochen ausgegeben wird 205, eine Störmeldung ausgegeben werden 209. Nach Ablauf oder mit Erreichen eines zweiten Zeitintervalls (z. B. 72 Stunden) in welchem die Störmeldung ununterbrochen ausgegeben wird, können dann vorzugsweise alle Anlagenfunktionen abgeschaltet 206 und das Verifizierungsverfahren 200 beendet werden.

Wird zu einem Zeitpunkt des Verifizierungsverfahrens 200 festgestellt dass eine Lizenzverletzung nicht vorliegt und wenn eine Fehlermeldung und/oder Störmeldung ausgegeben wird 205, 209, kann in einem optionalen

Verfahrensschritt 205a, 209a die Fehlermeldung und/oder Störmeldung zurückgesetzt werden, bevor ein nachfolgender Durchlauf des Verifizierungsverfahrens 200 gestartet wird. Entsprechend kann der Zeitmesser 304 in einem optionalen Verfahrensschritt 208a zurückgesetzt werden, sofern zu einem Zeitpunkt des Verifizierungsverfahrens 200 festgestellt wird 204, dass eine Lizenzverletzung nicht vorliegt und der Zeitmesser 304 zur Erfassung eines Zeitintervalls gestartet wurde bzw. eine Zeitwert ungleich Null ausgibt.

In einem optionalen Verfahrensschritt 207 kann außerdem zur Erhöhung der Sicherheit geprüft werden, ob der Verifizierungsdatensatz 220 einen Freischaltcode enthält, wobei eine Meldung, insbesondere eine Störmeldung, ausgegeben wird 209 und/oder mindestens eine Anlagenfunktion 110 abgeschaltet wird 206, sofern der Freischaltcode nicht erkannt wird. Der Verfahrensschritt 207 wird vorzugsweise nach dem dritten Verfahrensschritt 203 durchgeführt, kann aber auch davor oder zeitgleich erfolgen.

Das Einlesen 203 des Verifizierungsdatensatzes 210 erfolgt vorzugsweise über eine mit dem Speichermedium 340 signalübertragend verbundene oder verbindbare Schnittstelle 303. Schließlich kann optional außerdem vorgesehen sein, eine Meldung, insbesondere eine Störmeldung, auszugeben 209 und/oder mindestens eine Anlagenfunktion 110 abzuschalten, sofern die signalübertragende Verbindung zwischen dem Speichermedium 340 und der Schnittstelle 303 nicht erkannt wird.

In der Figur 5 ist eine matrixartige, d.h. spalten- und reihenweise Zuordnung 230 der im Lizenzdatensatz 210 enthaltenen, verwendeten Lizenzen (h _y , _{y ...} , I _ny ) zu den im Verifizierungsdatensatz 220 enthaltenen, vorhandenen Lizenzen (Li _x, L2 _{x ...} L _nx ) dargestellt. Die verwendeten Lizenzen (h _y , _{y ...} , I _ny ) sind hier beispielhaft in Spalte eins aufgelistet, die vorhandenen Lizenzen (Li _x, L2 _{x ...} L _nx ) in Spalte drei. Jede Reihe entspricht dabei einem bestimmten Lizenztyp n, sodass Lizenzen desselben Lizenztyps n reihenweise einander zugeordnet sind. In der zweiten bzw. mittleren Spalte ist der aus der Differenz der jeweiligen Lizenzanzahlen xi_n- yin reihenweise gebildete Lizenzwert z aufgelistet. Sofern einer der gebildeten Lizenzwerte z < 0 ist, wird eine Lizenzverletzung festgestellt.

Eine schematische Darstellung eines beispielhaften globalen Lizenzdatensatzes 240 ist in der Figur 6 gezeigt. In der ersten Spalte wird die, einem jeweiligen

Lizenztyp n zugeordnete Summe aller Lizenzanzahlen yi _nm gebildet. Die weiteren Spalten enthalten, aufgeschlüsselt nach jeweils unterschiedlichen Steuerungsmodulen 300 die dort lokal verwendeten Lizenzen l _n m _y , wobei in dem globalen Lizenzdatensatz 240 jeder verwendeten Lizenz l _n m _y zusätzlich ein Herkunftsindikator m zugeordnet ist, sodass von demselben Steuerungsmodul 300 verwendete Lizenzen l _n m _y einander spaltenweise und Lizenzen l _n m _y desselben Lizenztyps n einander reiheinweise zugeordnet sind.

Figur 7 stellt entsprechend der Figur 5 eine tabellenartige und/oder matrixartige, d.h. spalten- und reihenweise Zuordnung 230 der im Lizenzdatensatz 210 enthaltenen, verwendeten Steuerungsmodullizenzen (sl _ßy , slp _y , SIMV) ZU den im Verifizierungsdatensatz 220 enthaltenen, vorhandenen Steuerungsmodullizenzen (SLB _X , SLP _X , SLM _X ) dar. Anstelle des Lizenztyps n sind die verwendeten Steuerungsmodullizenzen (sl _ßy , slp _y , SI _MV ) und die vorhandenen

Steuerungsmodullizenzen (SLB _x , SLP _x , SLM _X ) hier jeweils mit einem Parameter zur Kennzeichnung des Steuerungsmodultyps versehen, wobei „B“ ein Bereichssteuerungsmodul 310,„P“ ein Prozesssteuerungsmodul 320 und„M“ ein Mastersteuerungsmodul 330 kennzeichnet. In der mittleren Spalte werden drei Steuerungsmodullizenzwerte ZSL gebildet die die Differenz zwischen den verwendeten Steuerungsmodullizenzen (sl _ßy , slp _y , SI _MV ) und den vorhandenen Steuerungsmodullizenzen (SL _ßX , SLp _x , SLM _X ) wiedergeben. Eine Lizenzverletzung wird festgestellt, sofern einer der gebildeten Steuerungsmodullizenzwerte ZSL < 0 ist.

In den Figuren 8 und 9 wird eine spalten- und reihenweise Zuordnung 230, wie sie in der Figur 5 in allgemeiner Form dargestellt ist, anhand des bereits zuvor verwendeten Ausführungsbeispiels gemäß Figur 3 veranschaulicht. In der ersten Spalte der Tabelle sind für das Verifizierungsverfahren 200 hinterlegte Lizenztypen n = 6, 9, 13, 22 aufgelistet. In Spalte zwei ist veranschaulicht, wie für einen Benutzer oder das Bedienpersonal der Sauerstoffreduzierungsanlage 100 anhand einer Benutzeroberfläche 250 die Realnamen der den jeweiligen Lizenztypen n zugeordneten Anlagenfunktionen 110 angezeigt werden können: n = 6: Bereichssteuerungsmodul (Standardfunktionen), n = 9: Luftumwälzung, n = 13: Überwachung Zugangstüren und n = 22: Prozesssteuerungsmodul

(Standardfunktionen). In der Spalte drei ist dann die jeweilige erste Lizenzanzahl y der verwendeten Lizenzen I hinterlegt und kann dem Benutzer als konkreter Wert angezeigt werden. Die jeweilige zweite Lizenzanzahl x der vorhandenen Lizenzen L ist in der Spalte fünf hinterlegt und wird für einen Benutzer oder das Servicepersonal auf der Benutzeroberfläche 250 ebenfalls als konkreter Wert ausgegeben. Die aus der ersten Lizenzanzahl y der verwendeten Lizenzen I und der zweiten Lizenzanzahl x der vorhandenen Lizenzen L gebildete Differenz ist als Lizenzwert z hinterlegt und informiert den Benutzer oder das Servicepersonal auf der Benutzeroberfläche 250 über die Anzahl an derzeit verfügbaren Lizenzen. Gemäß dem Ausführungsbeispiel werden zum derzeitigen Zeitpunkt alle auf dem Verifizierungsdatensatz 220 vorhandenen Lizenzen L, mit Ausnahme einer Lizenz zur Überwachung der Zugangstüren verwendet. Die Lizenz zur Überwachung der Zugangstüren ist frei verfügbar und könnte zur Durchführung einer entsprechenden Anlagenfunktion 110 genutzt werden, indem der Benutzer die entsprechende, auf einem Steuerungsmodul 300 hinterlegte Anlagenfunktion 110 manuell auswählt.

Die in der Figur 9 dargestellte Tabelle enthält im Wesentlichen identische Informationen, stellt jedoch einen späteren Zeitpunkt während des Betriebs der Sauerstoffreduzierungsanlage 100 dar. Zusätzlich zu den bislang genutzten Anlagenfunktionen 110 wurde von einem Benutzer oder dem Service-Personal die Anlagenfunktion 110 Luftumwälzung an einem Steuerungsmodul 300 ausgewählt. In Spalte 3 hat sich der Wert der ersten Lizenzanzahl y, der die Anzahl der verwendeten Lizenzen Luftumwälzung wiedergibt entsprechend um 1 erhöht, es werden zwei Lizenzen Luftumwälzung verwendet. Gemäß dem Ausführungsbeispiel liegt auch zu diesem Zeitpunkt derselbe

Verifizierungsdatensatz 220 vor, weshalb sich bezüglich der Anlagenfunktion 110 Luftumwälzung ein entsprechender Lizenzwert von -1 ergibt. Im Verifizierungsverfahren 200 wird eine Lizenzverletzung festgestellt 204 und entsprechend eine Meldung ausgegeben 205. Anhand der auf der Benutzeroberfläche 250 dargestellten Informationen kann der Benutzer erkennen, aufgrund von welcher Anlagefunktion 110 die Lizenzverletzung verursacht wurde und gegebenenfalls beheben. Bezugszeichenliste

100 Sauerstoffreduzierungsanlage

1 10 Anlagenfunktionen 1 1 1 lizenzpflichtige Anlagenfunktionen

1 12 lizenzfreie Anlagenfunktionen

113 Basisanlagenfunktionen

114 optionale Anlagenfunktionen

121 Schutzbereich

122 Überwachungsbereich

130 Inertgasquelle, insbesondere Inertgaserzeuger

131 Inertgas

140 Sensor

150 Aktor

160 Bedien- und Anzeigepanel

200 Verifizierungsverfahren

201 Erfassen von Anlagenfunktionen, erster Verfahrensschritt 202 Erstellen eines Lizenzdatensatzes, zweiter Verfahrensschritt 203 Einlesen eines Verifizierungsdatensatzes, dritter

Verfahrensschritt

204 Feststellen einer Lizenzverletzung, vierter Verfahrensschritt

205 Ausgeben einer Meldung, insbesondere Fehlermeldung, fünfter

Verfahrensschritt

205a Zurücksetzen einer Fehlermeldung

206 Abschalten mindestens einer Anlagenfunktion, fünfter

Verfahrensschritt

207 Prüfen auf Freischaltcode

208 Starten eines Zeitmessers

208a Zurücksetzen eines Zeitmessers

208b Ablauf oder Erreichen eines ersten Zeitintervalls

208c Ablauf oder Erreichen eines zweiten Zeitintervalls

209 Ausgeben einer Störmeldung

209a Zurücksetzen einer Störmeldung

210 Lizenzdatensatz

220 Verifizierungsdatensatz

230 Zuordnung

240 globaler Lizenzdatensatz

250 Benutzeroberfläche 300 programmierbares Steuerungsmodul

301 Signaleingangskanal

302 Signalausgangskanal

303 Schnittstelle

304 Zeitmesser

310 Bereichssteuerungsmodul

320 Prozesssteuerungsmodul

330 Mastersteuerungsmodul

340 Speichermedium

350 Hardware-Komponente verwendete Lizenzen (h _y , _y ... , In _y )

L vorhandene Lizenzen (L-i _x, L2x ... L _nx )

sl verwendete Steuerungsmodullizenzen (sl _ßy , slp _y , SIM _v ) SL vorhandene Steuerungsmodullizenzen (SLB _x , SLP _x , SLM _x ) n Lizenztyp

m Herkunftsindikator

x zweite Lizenzanzahl (x = 0, 1 , ... , n)

y erste Lizenzanzahl (y = 0, 1 , ... , n)

z Lizenzwert (z = -n, ... , -1 , 0, 1 , ... , n)

XSL zweite Steuerungsmodullizenzanzahl (x = 0, 1 , ... , n> y _si erste Steuerungsmodullizenzanzahl (y = 0, 1 , ... , n)

ZSL Steuerungsmodullizenzwert (zsu, zsi_2, ... , zsi_n)