Login| Sign Up| Help| Contact|

Patent Searching and Data


Title:
CONTROL SYSTEM OF AN INDUSTRIAL FACILITY
Document Type and Number:
WIPO Patent Application WO/2021/197917
Kind Code:
A1
Abstract:
Proposed is a control system for an industrial facility, in particular a manufacturing or process plant, which has at least one engineering station server that is designed and provided for use as part of the engineering of the industrial facility. The control system is characterised in that implemented on the engineering station server are at least a first hierarchically structured, digital representation (2) of a first part of the industrial facility and at least a second hierarchically structured, digital representation (2) of a second part of the industrial facility; a first simulation model (9) is permanently assigned to the first hierarchically structured, digital representation (2) of the first part of the industrial facility, and a second simulation model (9) is permanently assigned to the second hierarchically structured, digital representation (2) of the second part of the industrial facility; a technical behaviour of the first part of the industrial facility can be simulated by means of the first simulation model (9), and a technical behaviour of the second part of the industrial facility can be simulated by means of the second simulation model (9).

Inventors:
LUTZ BENJAMIN (DE)
PALMIN ANNA (DE)
Application Number:
PCT/EP2021/057396
Publication Date:
October 07, 2021
Filing Date:
March 23, 2021
Export Citation:
Click for automatic bibliography generation   Help
Assignee:
SIEMENS AG (DE)
International Classes:
G05B17/02; G05B19/418
Domestic Patent References:
WO2017153095A12017-09-14
Foreign References:
EP3379351A12018-09-26
US20170060111A12017-03-02
EP3379351A12018-09-26
Download PDF:
Claims:
Patentansprüche

1. Leitsystem für eine technische Anlage, insbesondere eine Fertigungs- oder Prozessanlage, das wenigstens einen Enginee ring Station Server aufweist, der für eine Verwendung im Rah men eines Engineerings der technischen Anlage ausgebildet und vorgesehen ist, dadurch gekennzeichnet, dass auf dem Engineering Station Server wenigstens eine erste hie rarchisch strukturierte, digitale Repräsentation (2) eines ersten Teils der technischen Anlage und wenigstens eine zwei te hierarchisch strukturierte, digitale Repräsentation (2) eines zweiten Teils der technischen Anlage implementiert ist, wobei der ersten hierarchisch strukturierten, digitalen Re präsentation (2) des ersten Teils der technischen Anlage ein erstes Simulationsmodell (9) und der zweiten hierarchisch strukturierten, digitalen Repräsentation (2) des zweiten Teils der technischen Anlage ein zweites Simulationsmodell (9) fest zugeordnet ist, wobei die erste hierarchisch strukturierte, digitale Reprä sentation (2) des ersten Teils der technischen Anlage und/oder die zweite hierarchisch strukturierte, digitale Re präsentation (2) des zweiten Teils der technischen Anlage ei ne digitale Verplombung aufweisen, mithilfe derer eine Au thentizität der ersten und/oder zweiten hierarchisch struktu rierten, digitalen Repräsentation (2) feststellbar ist, und wobei das der ersten hierarchisch strukturierten, digita len Repräsentation (2) des ersten Teils der technischen Anla ge fest zugeordnete erste Simulationsmodell (9) und/oder das der zweiten hierarchisch strukturierten, digitalen Repräsen tation (2) des zweiten Teils der technischen Anlage fest zu geordnete zweite Simulationsmodell (9) eine digitale Verplom bung aufweisen, mithilfe derer eine Authentizität des ersten und/oder zweiten Simulationsmodells (9) feststellbar ist, und wobei mittels des ersten Simulationsmodells (9) ein tech nisches Verhalten des ersten Teils der technischen Anlage und mittels des zweiten Simulationsmodells (9) ein technisches Verhalten des zweiten Teils der technischen Anlage simulier bar ist.

2. Leitsystem nach Anspruch 1, bei dem das erste Simulati- onsmodell (9) und/oder das zweite Simulationsmodell (9) eine

Verschlüsselung zur Verhinderung eines unberechtigten Ausle sens des Simulationsmodells (9) aufweisen.

3. Verfahren zum Betreiben einer technischen Anlage mittels eines Leitsystems, das gemäß einem der Ansprüche 1 oder 2 ausgebildet ist.

Description:
Beschreibung

Leitsystem einer technischen Anlage

Die Erfindung betrifft ein Leitsystem für eine technische An lage, insbesondere eine Fertigungs- oder Prozessanlage, mit den Merkmalen des Anspruchs 1. Außerdem betrifft die Erfin dung ein Verfahren zum Betreiben einer technischen Anlage mittels eines Leitsystems gemäß Anspruch 5.

Simulationsmodelle, die das Verhalten einer Prozessanlage o- der eines Teiles dieser Anlage nachbilden, werden im Kontext eines (Prozess-)Leitsystems für die Validierung genutzt. Bei einem bestimmten Input sollen die Simulationsmodelle immer den gleichen Output zu dem bestimmten Input als Ergebnis aus geben. Durch eine Manipulation der Simulationsmodelle können auch die zugehörigen Tests manipuliert werden.

Die Möglichkeit ist bekannt, Simulationsmodelle unter Verwen dung adäquater Hilfsmittel, beispielsweise des Simulations werkzeugs „SIMIT" der Firma SIEMENS, außerhalb des eigentli chen Leitsystems zu generieren. Auch ein Schützen dieser ex ternen Simulationsmodelle ist bekannt und wird beispielsweise in der EP 3379351 Al beschrieben. Die dort verwendeten Simu lationsmodelle haben jedoch keine starke, d.h. nicht ab streitbare und nicht unbemerkt manipulierbare, Bindung an die jeweilige technische Anlage oder den jeweiligen Anlagenteil. Auch ist Stand heute kein Schutz gegen unberechtigtes Ausle sen von besonders sensiblen daher besonders schutzwürdigen Simulationsmodellen vorhanden.

Beim computergestützten Entwurf und der späteren Optimierung des Betriebs von technischen Anlagen, insbesondere Prozessan lagen, sind in Abhängigkeit der Änderungen in bestimmten Branchen (z.B. Pharma) aufwändige Abnahme- und Zertifizie rungsmaßnahmen erforderlich. Nach einer erfolgreichen Abnahme sind technischen Veränderungen - ohne dass eine erneute Ab nahme notwendig wäre - Grenzen gesetzt. Zudem existieren zum aktuellen Zeitpunkt keine automatisier ten Prozesse zur Erkennung von abnahmerelevanten Veränderun gen und zum darauffolgenden Anstoßen der erneuten Abnahme. Hierdurch fallen ein beträchtlicher Aufwand und damit hohe Kosten für die Zulassung einer technischen Anlage an.

Der Erfindung liegt die Aufgabe zugrunde, ein Leitsystem an zugeben, das eine reproduzierbare und gegen Manipulation ge sicherte virtuelle Abnahme von technischen Anlagen bzw. Anla geteilen ermöglicht.

Diese Aufgabe wird gelöst durch ein Leitsystem für eine tech nische Anlage mit den Merkmalen des Anspruchs 1. Außerdem wird die Aufgabe gelöst durch ein Verfahren zum Betreiben ei ner technischen Anlage mittels eines Leitsystems mit den Merkmalen des Anspruchs 5. Vorteilhafte Weiterbildungen erge ben sich aus den abhängigen Ansprüchen.

Ein erfindungsgemäßes Leitsystem für eine technische Anlage, insbesondere eine Fertigungs- oder Prozessanlage, weist we nigstens einen Engineering Station Server auf, der für eine Verwendung im Rahmen eines Engineerings der technischen Anla ge ausgebildet und vorgesehen ist.

Das Leitsystem ist dadurch gekennzeichnet, dass auf dem Engi neering Station Server wenigstens eine erste hierarchisch strukturierte, digitale Repräsentation eines ersten Teils der technischen Anlage und wenigstens eine zweite hierarchisch strukturierte digitale Repräsentation eines zweiten Teils der technischen Anlage implementiert ist.

Dabei ist der ersten hierarchisch strukturierten, digitalen Repräsentation des ersten Teils der technischen Anlage ein erstes Simulationsmodell und der zweiten hierarchisch struk turierten, digitalen Repräsentation des zweiten Teils der technischen Anlage ein zweites Simulationsmodell fest zuge ordnet.

Dabei ist mittels des ersten Simulationsmodells ein techni sches Verhalten des ersten Teils der technischen Anlage und mittels des zweiten Simulationsmodells ein technisches Ver halten des zweiten Teils der technischen Anlage simulierbar.

Unter einem Leitsystem wird im vorliegenden Kontext ein com putergestütztes technisches System verstanden, das Funktiona litäten zum Darstellen, Bedienen und Leiten einer technischen Anlage wie einer Fertigungs- oder Produktionsanlage umfasst. Das Leitsystem kann Sensoren zur Ermittlung von Messwerten sowie verschiedene Aktoren umfassen. Zudem kann das Leitsys tem sogenannte prozess- oder fertigungsnahe Komponenten um fassen, die zur Ansteuerung der Aktoren bzw. Sensoren dienen. Darüber hinaus kann das Leitsystem u.a. Mittel zur Visuali sierung der technischen Anlage und zu einem Engineering auf weisen. Unter dem Begriff Leitsystem sind zusätzlich auch weitere Recheneinheiten für komplexere Regelungen und Systeme zur Datenspeicherung und -Verarbeitung zu fassen.

Bei der technischen Anlage kann es sich um eine Anlage aus der Prozessindustrie wie beispielsweise eine chemische, phar mazeutische, petrochemische oder eine Anlage aus der Nah rungs- und Genussmittelindustrie handeln. Hiermit umfasst sind auch jegliche Anlagen aus der Produktionsindustrie, Wer ke, in denen z.B. Autos oder Güter aller Art produziert wer den. Technische Anlagen können auch aus dem Bereich der Ener gieerzeugung kommen. Windräder, Solaranlagen oder Kraftwerke zur Energieerzeugung sind ebenso von dem Begriff der techni schen Anlage umfasst.

Unter einem „Engineering Station Server" wird vorliegend ein Server verstanden, der dazu ausgebildet ist, verschiedene Hardware- und Software-Projekte für das Leitsystem der tech nischen Anlage zu erstellen, verwalten, archivieren und doku mentieren. Mithilfe von speziellen Software-Entwurfswerk zeugen (Englisch: Engineering Toolset) sowie vorgefertigten Bausteinen und Plänen kann mittels des Engineering Station Servers ein Zusammenspiel von leittechnischen Geräten und Einrichtungen der technischen Anlage geplant und verwaltet werden. Ein Beispiel hierfür ist ein SIMATIC Manager Server der Firma SIEMENS. Die digitalen Repräsentationen der Anlagenteile sind hierar chisch strukturiert. Dies bedeutet, dass einzelne Komponenten der Anlagenteile wie Motoren, Pumpen, Ventile, Tanks, Senso ren oder Aktoren in einer hierarchischen Beziehung zueinan- derstehen, welche in dem Engineering Station Server hinter legt ist. Man spricht in diesem Zusammenhang auch von einer „technologischen Hierarchie". Durch die feste Zuordnung der Simulationsmodelle zu den jeweiligen Anlagenteilen können die Simulationsmodelle unmittelbar für eine Abnahme des jeweili gen Anlagenteils verwendet werden. Insbesondere bei Änderun gen in der Zusammenstellung der technischen Anlage, die eine etwaige Änderung der hierarchisch strukturierten, digitalen Repräsentation der Anlagenteile bewirken, lässt sich durch Hinzuziehen des Simulationsmodells einfach und effizient be urteilen, ob eine erneute Abnahme der Anlage, genauer gesagt: des betreffenden Anlagenteils, vonnöten ist.

Bevorzugt weisen die erste hierarchisch strukturierte, digi tale Repräsentation des ersten Teils der technischen Anlage und/oder die zweite hierarchisch strukturierte, digitale Re präsentation des zweiten Teils der technischen Anlage eine digitale Verplombung auf, mithilfe derer eine Authentizität der ersten und/oder zweiten hierarchisch strukturierten, di gitalen Repräsentation feststellbar ist.

Für die Verplombung kann beispielsweise ein Hashwert zu den (abnahmerelevanten) hierarchisch strukturierten, digitalen Repräsentationen des jeweiligen Teils der technischen Anlage gebildet werden. Die kryptographische Bindung dieses Hashwer- tes an den jeweilige hierarchisch strukturierte, digitale Re präsentation kann durch das (digitale) Signieren der Daten struktur, die sowohl den Hashwert als auch eine ID der hie rarchisch strukturierten, digitalen Repräsentation beinhal tet, durch eine vertrauenswürdige Instanz (z.B. einen Audi tor) gewährleistet sein. Notwendige Funktionsrechte vorausge setzt, kann eine Instanz (z.B. ein Projekteur, ein Auditeur) die digitalen Verplombungen vergeben und dadurch den gegen wärtigen Projektierungsstand der technischen Anlage sozusagen „einfrieren" . Eine einmal gebrochene Verplombung kann nicht wiederhergestellt werden - jede neue Verplombung unterschei det sich von der vorherigen, so dass bei einem Audit oder so gar zwischen Audits zuverlässig ein Unterschied festgestellt werden kann.

Falls die Verplombung wegen einer Optimierung im jeweiligen Teil der technischen Anlage gebrochen wurde, muss geprüft werden, ob die Optimierung eine erneute Abnahme ermöglicht. Dafür kann dann auf das dem jeweiligen Teil der technischen Anlage fest zugeordnete Simulationsmodell zurückgegriffen werden. In dem Simulationsmodell sind dabei virtuell die Testfälle hinterlegt, die für eine Abnahme des jeweiligen Teils der technischen Anlage wichtig sind. Dadurch kann eine bestmögliche Vorbereitung auf die Abnahme erfolgen - auch wenn diese in Teilen auf der realen technischen Anlage erfol gen muss.

Im Rahmen einer vorteilhaften Weiterbildung der Erfindung weisen das der ersten hierarchisch strukturierten, digitalen Repräsentation des ersten Teils der technischen Anlage fest zugeordnete erste Simulationsmodell und/oder das der zweiten hierarchisch strukturierten, digitalen Repräsentation des zweiten Teils der technischen Anlage fest zugeordnete zweite Simulationsmodell eine digitale Verplombung auf, mithilfe de rer eine Authentizität des ersten und/oder zweiten Simulati onsmodells feststellbar ist.

Um unbemerkte Manipulationen der Simulationsmodelle auszu schließen sowie eine starke, d.h. nicht abstreitbare und nicht unbemerkt manipulierbare Bindung an die dem jeweiligen Simulationsmodell zugrunde liegende technische Anlage und/oder den dem jeweiligen Simulationsmodell zugrunde lie genden Teil der technischen Anlage zu erzielen, werden die Simulationsmodelle durch die Verplombung in vorteilhafter Weise abgesichert - unter Verwendung von adäquaten Mechanis men zur Authentifizierung sowie zum Originalitätsschutz.

Durch die Verplombung wird insbesondere sichergestellt, dass durch jede an der technischen Anlage/ dem Teil der techni- sehen Anlage vorgenommene Änderung das Aufbrechen der beste henden Verplombung und das Veranlassen einer erneuten Ver- plombung durch eine dafür zuständige vertrauenswürdige (ent sprechend zertifizierte und akkreditierte) Instanz „erzwun gen" wird.

Besonders bevorzugt weisen das erste Simulationsmodell und/oder das zweite Simulationsmodell eine Verschlüsselung zur Verhinderung eines unberechtigten Auslesens des Simulati onsmodells auf. Diese Verschlüsselung kann beispielsweise un ter Verwendung eines Geheimschlüssels der Instanz erfolgen, die zuvor das Simulationsmodell mit der digitalen Verplombung versehen hat. Hierdurch wird zusätzlich zu den zuvor be schriebenen Vorteilen ein Missbrauch infolge des Auslesens des Simulationsmodells ausgeschlossen. Damit können besonders sensible und somit besonders schutzwürdige Simulationsmodelle gesichert werden.

Im Kontext von Industrial Security bieten die beschriebenen Merkmalskombinationen einen optimalen Schutz von Simulations modellen und den hierarchisch strukturierten, digitalen Re präsentationen der einzelnen Teile einer technischen Anlage hinsichtlich der grundlegenden Schutzziele Integrität, Au thentizität und Vertraulichkeit. Überdies wird durch das er findungsgemäße Leitsystem und die beschriebenen, vorteilhaf ten Weiterbildungen dazu beigetragen, dass die Simulationsmo delle ihre Originalität (d.h. dass sie von einer bestimmten, nachweisbar vertrauenswürdigen Instanz erstellt und signiert sind) beweisen können. Dadurch, dass bei jedem „Aufbrechen" einer Verplombung alle damit verbundenen Metainformationen detailliert dokumentiert werden, wird zu einem verbesserten Audit-Trail, d.h. einer verbesserten Nachvollzierbarkeit bei getragen. Des Weiteren wird eine hochqualitative (forensi sche) Analyse im Nachhinein zwecks der genauen Ermittlung von Problemursachen und Optimierungspotentialen ermöglicht.

Die zuvor formulierte Aufgabe wird zudem gelöst durch ein Verfahren zum Betreiben einer technischen Anlage mittels ei nes Leitsystems. Die oben beschriebenen Eigenschaften, Merkmale und Vorteile dieser Erfindung sowie die Art und Weise, wie diese erreicht werden, werden klarer und deutlicher verständlich im Zusam menhang mit der folgenden Beschreibung des Ausführungsbei spiels, das im Zusammenhang mit den Zeichnungen näher erläu tert wird. Es zeigen:

FIG 1 ein Objektmodell eines erfindungsgemäßen Leitsys tems; und

FIG 2 eine hierarchisch strukturierte, digitale Reprä sentation eines Teils einer technischen Anlage.

In FIG 1 ist ein Objektmodell 1 zu einer hierarchisch struk turierten, digitalen Repräsentation 2 eines (ersten) Teils einer als verfahrenstechnischen Anlage ausgebildeten techni schen Anlage dargestellt. Das Objektmodell 1 ist auf einem Engineering Station Server (nicht dargestellt) eines Leitsys tems der verfahrenstechnischen Anlage implementiert.

Die hierarchisch strukturierte, digitale Repräsentation 2 kann mehrere - auch ineinander verschachtelte - Strukturord ner 3 zur Projektierung einer technologischen Hierarchie der verfahrenstechnischen Anlage beinhalten (z.B. „Anlage 1" -> „Teilanlage 1" -> „Technische Einrichtung 1" ->

„Messstelle 1", vgl. hierzu FIG 2).

Aus hierarchischer Sicht betrachtet, können unterhalb jedes Strukturordners 3 verschiedene Dokumente 4 angelegt sein. Bei den Dokumenten 4 kann es sich beispielsweise um Anlagenbilder 5, CFC (Continuous Function Chart) 6 oder SFC (Sequential Function Chart) handeln. Hierarchisch unterhalb des CFC 6 können weiterhin Objekte 7 angelegt sein. Ein solches Objekt 7 kann beispielsweise ein Prozessobjekt 8 sein, das einer Prozesskomponente (nicht dargestellt) der verfahrenstechni schen Anlage zugeordnet ist. Die zuvor beschriebenen Bestandteile stellen einen gemäß dem Stand der Technik bekannten Aufbau einer hierarchisch struk turierten, digitalen Repräsentation 2 eines (ersten) Teils einer verfahrenstechnischen Anlage dar. Ein zweiter Teil der verfahrenstechnischen Anlage weist eine entsprechend ausge bildete hierarchisch strukturierte, digitale Repräsentation mit einem entsprechend ausgebildeten Objektmodell auf, die ebenfalls auf einem Engineering Station Server implementiert sind (es muss sich dabei nicht notwendigerweise um einen ein zigen Engineering Station Server handeln).

Ein neu hinzugekommener Aspekt besteht darin, dass der hie rarchisch strukturierten, digitalen Repräsentation 2 eines Teils der verfahrenstechnischen Anlage jeweils (d.h. beim ersten und beim zweiten Teil) ein Simulationsmodell 9 fest zugeordnet ist, wobei mittels eines ersten Simulationsmodells 9 ein technisches Verhalten des ersten Teils der verfahrens technischen Anlage und mittels eines zweiten Simulationsmo dells 9 ein technisches Verhalten des zweiten Teils der ver fahrenstechnischen Anlage simulierbar ist.

Im Objektmodell 1 stellt das Simulationsmodell 9 einen weite ren Typ eines Dokuments 4 dar. Mehrere Simulationsmodelle 9 können spezifisch auf unterschiedlichen technologischen Ebe nen für den Test und die Abnahme einzelner Messtellen (z.B. Regelungen...) technischer Einrichtung (z.B. Tanks), und von Teilanlagen (z.B. Abfüllung...) zugeordnet und zugewiesen werden.

Ein Simulationsmodell 9 kann eine Spezialisierung 10 mit spe zifischen Eigenschaften aufweisen, die für eine reproduzier bare und gegen Manipulation gesicherte virtuelle Abnahme der einzelnen Teile der verfahrenstechnischen Anlage notwendig sind.

Eine Spezialisierung 10 kann in einer digitalen Verplombung bestehen. Durch die Verplombung kann das Simulationsmodell 9 gegen Manipulation geschützt werden, wenn dieses z.B. rele- vant für Abnahmen ist. Die Verplombung kann beispielsweise durch einen (entsprechend zertifizierten und akkreditierten) Auditor vorgenommen werden und beinhaltet

Informationen wie eine eindeutige Kennung der verplombenden Instanz.

Technisch kann die Verplombung wie folgt realisiert werden: Die verplombende Instanz signiert das Simulationsmodell 9 un ter Verwendung seines Geheimschlüssels (engl, private key). Zur Prüfung der Integrität, Authentizität und Origina lität des Simulationsmodells 9 ist anschließend der zugehöri ge öffentliche Schlüssel (engl, public key) notwendig. Die Bindung des öffentlichen Schlüssels an den (nur der verplom benden Instanz vorliegenden) privaten Schlüssel sowie an die Identität der verplombenden Instanz wird durch ein entspre chendes Zertifikat realisiert. Dieses Zertifikat der verplom benden Instanz, das anschließend für die Durchführung der oben beschriebenen Prüfung notwendig ist, kann beispielsweise dem Simulationsmodell 9 zugewiesen oder in einer Datenbank - neben den Zertifikaten anderer vertrauenswürdiger verplomben der Instanzen - hinterlegt werden.

Wird das Simulationsmodell 9 verändert oder angepasst (z.B. um eine Anlagenerweiterung vorzubereiten), kann die Verplom bung gebrochen werden. In diesem Fall ist eine erneute siche re Verplombung erforderlich.

Eine weitere Spezialisierung 10 kann in einer digitalen Ver plombung und einer zusätzlichen Verschlüsselung bestehen. Bei besonders sensiblen und schutzwürdigen Simulationsmodellen 9 können dieses durch die zusätzliche Verschlüsselung gegen ein Auslesen der Simulationsmodelle 9 gesichert werden. Dadurch wird beispielsweise die für das Engineering verwendete Soft ware nicht ausschließlich auf das betreffende Simulationsmo dell 9 optimiert.

FIG 1 ist zu entnehmen, dass zwischen dem Simulationsmodell 9 und der bislang bekannten hierarchisch strukturierten, digi talen Repräsentation 2, genau genommen dem Block „Objekte" 4 eine weitere Verbindung 11 besteht. Dabei handelt es sich um eine Prüfassoziation 11, die festhält, dass das betreffende Dokument 4 oder die betreffenden Dokumente (CFC 6, Anlagen bilder 5 etc.) erfolgreich durch das jeweilige Simulationsmo dell 9 abgenommen worden sind. Der Prüfassoziation 11, die das jeweilige Simulationsmodell 9 und das jeweilige Objekt 4 verbindet, können dabei beispielhaft folgende Informationen zugeordnet sein:

- der Zustand der Verplombung des Simulationsmodells 9 wäh rend der Abnahme,

- der Zeitstempel in einem standardisierten Format, der ein deutig belegt, wann die Verplombung genau erfolgte,

- eine eindeutige Kennung der verplombenden Instanz,

- eine vordefinierte und „codierte" Begründung für eine er neute Verplombung,

- ggf. weitere, beispielsweise aus dem Zertifikat der ver plombenden Instanz oder dem Simulationsmodell 9 entnommene Metainformationen,

- eine Signatur der verplombenden Instanz, mit der sie die Korrektheit der o.g. Inhalte der Prüfassoziation 11 bestä tigt.

FIG 2 zeigt eine beispielhafte hierarchisch strukturierte, digitale Repräsentation 2 eines (ersten) Teils (mit „Teilan lage 1" bezeichnet) einer verfahrenstechnischen Anlage (mit „Anlage 1" bezeichnet). Die hierarchisch strukturierte, digi tale Repräsentation 2 ist auf einem Engineering Station Ser ver eines Leitsystems der verfahrenstechnischen Anlage imple mentiert. Die hierarchische Gestaltung zeigt sich in der Un terordnung der einzelnen Komponenten („Anlage 1" -> „Teilan lage 1" -> „Technische Einrichtung 1" -> „Messstelle 1"). Die „Technische Einrichtung 1" bildet dabei einen Strukturordner 3, wie er in FIG 1 dargestellt ist. Hierarchisch tiefer sind ein Dokument 4 „Messstelle 1" und ein weiteres Dokument 4 „CFC 1" angeordnet. Dem Dokument 4 „CFC 1" ist ein Prozessob jekt 8 „Prozessobjekt 1" hierarchisch untergeordnet.

Ein erstes Simulationsmodell 9 (mit „Certification Simulation Model: Teilanlage 1" bezeichnet) ist der „Teilanlage 1" fest zugeordnet. Ein zweites Simulationsmodell 9 (mit „Certifica- tion Simulation Model: Technische Einrichtung 1" bezeichnet) ist der „Technischen Einrichtung 1" zugeordnet. Dem ersten Simulationsmodell 9 ist in FIG 2 ein erstes Zeichen 12 zuge ordnet, dem zweiten Simulationsmodell 9 ein zweites Zeichen 13. In einer Spalte „Cert. State" auf der linken Seite in FIG 2 wird symbolisiert, welche Teile der hierarchisch struktu rierte, digitale Repräsentation 2 durch welches der beiden Simulationsmodelle 9 abgenommen ist. Durch das erste Simula tionsmodell 9 sind die Teile „Übersichtsbild 1", „Anlagenbild 1", „CFC 1" und „Prozessobjekt 1" abgenommen. Durch das zwei te Simulationsmodell 9 sind die Teile „Analgenbild 1", „CFC 1" und „Prozessobjekt 1" abgenommen.

Durch die feste Zuordnung der Simulationsmodelle 9 zu den je weils zu verplombenden Teilen der verfahrenstechnischen Anla ge, die z.B. bei der Zertifizierung verwendet worden sind, sowie in der Umsetzung der adäquaten Security-Mechanismen zum Schutz der Simulationsmodelle 9 gegen unbemerkte Manipulation und zusätzlich (bei Bedarf) gegen Auslesen, kann sicherge stellt werden, dass durch jede in der Anlage vorgenommene (simulationsrelevante) Änderung eine erneute Verplombung „er zwungen" wird.

Obwohl die Erfindung im Detail durch das bevorzugte Ausfüh rungsbeispiel näher illustriert und beschrieben wurde, so ist die Erfindung nicht durch die offenbarten Beispiele einge schränkt und andere Variationen können vom Fachmann hieraus abgeleitet werden, ohne den Schutzumfang der Erfindung zu verlassen.