Die Erfindung bezieht sich auf ein Verfahren zum Steuern, Überwachen und Regeln von Prozessen in industriellen Anlagen, insbesondere von komplexen industriellen Prozessen, wie Be¬ triebsführung in Störfallsituationen bei einem Kernkraftwerk, unter Verwendung von als digitales Rechenprogramm realisier- ten automatischen Agenten, interagierend mit Sensoren bzw. Stellgliedern, die an den Prozeß angekoppelt sind, die Pro¬ zeßinformation beschaffen bzw. den Prozeß beeinflussen, wobei hier wie im folgenden unter Tätigkeit die Aktivitäten der au¬ tomatischen Agenten, auch Automaten genannt, oder der in den Prozeß eingreifenden Operateure verstanden wird und das Fort¬ schreiten der Durchführung von Aktivitäten durch Aktionen markiert wird, gemäß Präambel des Anspruchs 1.

Ein solches Verfahren ist von besonderer Bedeutung für kom- plexe industrielle Prozesse und zugehörige komplexe Anlagen. Es ist von großem Nutzen zum Beispiel beim Betrieb eines Kernkraftwerkes, insbesondere im Verlauf von Störfallsitua¬ tionen, aber z.B. auch bei "Instandhaltungsmaßnahmen" (DIN 31051) in Kernkraftwerken, wie bei der "Inbetriebnahme", "Wartung", "Instandsetzung" etc.

Gegenstand der Erfindung ist gemäß Präambel des Anspruchs 13 auch ein leittechnisches System mit Anzeigeeinrichtung, zum Steuern, Überwachen und Regeln von Prozessen in industriellen Anlagen, insbesondere von komplexen industriellen Prozessen, wie Betriebsführung in Störfallsituationen bei einem Kern¬ kraftwerk, unter Verwendung wenigstens eines digitalen Compu¬ ters, durch dessen Rechenprogramm sogenannte automatische Agenten, auch Automaten genannt, gebildet werden, wobei hier

ERSATZBLATT

wie im folgenden Handlungen der Automaten oder der Operateure als Aktivitäten bezeichnet sind und das Fortschreiten der Durchführung von Aktivitäten von Aktionen markiert wird, wo¬ bei die Automaten mit Sensoren bzw. Stellgliedern interagie- ren und die Sensoren bzw. Stellglieder an den Prozeß angekop¬ pelt sind, die Prozeßinformation beschaffen bzw. den Prozeß beeinflussen.

Bekanntlich erfordern Steuerung, Überwachung oder Regelung komplizierter industrieller Anlagen hochkomplizierte Sensor- und Regelungstechnik (automatische Agenten bzw. Automaten) , die von hochqualifizierten menschlichen Experten (Operateuren) überwacht wird. Insbesondere bereitet bei solch komplizierten Tätigkeiten die präzise Vorhersage, wie sich der Zustand der Anlage über die Zeit verändert und wie er auf äußere Eingriffe (Aktivitäten) reagiert, in der Regel enorme Schwierigkeiten. Vor allem also die Verfolgung strategischer, längerfristiger Ziele muß dem Zuständigkeitsbereich von Ope¬ rateuren zugewiesen werden. Andererseits muß die Anlage weit- gehend automatisch gefahren werden, da ein Mensch nicht prä¬ zise und schnell genug in komplexe automatische Prozesse ein¬ greifen kann. Außerdem ist die Datenflut bezüglich der Werte von Anlagenparametern bei weitem zu groß, als daß sie ohne automatische Aufbereitung den Operateuren zugeleitet werden kann, die effizient Einblick in den aktuellen Anlagenzustand gewinnen und daraus ggf. Aktivitäten zur geeigneten Beein¬ flussung des Anlagenzustands ab- und einleiten müssen. Zudem können oder sollen Aktivitäten fast immer nicht direkt, son¬ dern nur vermittels Automaten durchgeführt werden.

Die der vorliegenden Erfindung zugrundeliegende Hauptaufgabe besteht darin, zur Lösung der vorstehend aufgezeigten Proble¬ matik ein Verfahren und ein zugehöriges leittechnisches Sy¬ stem anzugeben, welche sich beide durch eine enge Integration

ERSATZBLATT

und Koordination automatischer und menschlicher Maßnahmen auszeichnen. Zu lösende Unteraufgaben bestehen darin, daß möglichst viele Automaten nach der Erfindung - sowohl Senso¬ ren als auch Stellglieder (z.B. Ventile, Manipulatoren oder andere Aktoren) - die Ergebnisse ihrer Aktivitäten mitteilen, die benötigten Steuerungsprogramme u. . vom leittechnischen System beziehen und ihre Aktivitäten über dieses System koor¬ dinieren sollen. Analog dazu sollen die Operateure die Ergeb¬ nisse ihrer Aktivitäten (soweit nicht von Sensoren erfaßbar wie z.B. Hypothesen) dem System mitteilen, die benötigten In¬ formationen - Handbuchinformationen - von dort beziehen und ihre Aktivitäten mit denen anderer Operateure und/oder Auto¬ maten koordinieren können. Insbesondere sollen die leittech¬ nische Unterstützung für Operateure, wie z.B. Handbücher mit den relevanten Informationen über den Verlauf der auszufüh¬ renden Tätigkeit, nicht aι_f Papier, sondern auf Computern verfügbar gemacht werden, um sie mit den dort ebenfalls auf¬ laufenden Daten über den aktuellen Anlagenzustand in Bezie¬ hung setzen und so die Unterstützung auf die Situation bezie- hen zu können.

Bisherige Ansätze zur Lösung der aufgezeigten Problematik lassen sich zwei verschiedenen Grundmodellen zuordnen. Das erste Modell, vertreten durch die Dokumente Dl = EP-A2-0 280 553 und D2 = EP-A3-0 393 837, verwendet auf umfangreichen Si¬ mulationen ■ und Berechnungen etc. basierende, vorformulierte Prozeduren zur Unterstützung der Operateure. Unter Prozeduren wird bei (Dl) und (D2) eine zeitlich feststehende Abfolge einzelner Aktivitäten in der Form verstanden, daß für jede Aktivität ein Anlagenzustand spezifiziert ist, der bei er¬ folgreicher Durchführung der Aktivität erreicht werden soll¬ te. In der Prozedur ist jeweils sowohl eine Folgeaktivität angegeben, mit der die Prozedur im Erfolgsfalle fortzusetzen ist, als auch eine alternative Folge Aktivität für den Fall,

ERSATZBLATT

daß der spezifizierte Anlagenzustand nicht erreicht wurde. Die Abarbeitung der Prozeduren wird von den vorgeschlagenen Systemen dadurch unterstützt, daß die angegebenen Anlagenzu- stände mit den tatsächlichen verglichen werden und dement- sprechend Folgeaktivitäten automatisch angeboten werden kön¬ nen. Mit dieser Methode ist es relativ gut möglich, den Ope¬ rateuren die strategischen Aspekte einer Tätigkeit in fertige Prozeduren gegossen zu präsentieren. Das zweite Modell, ver¬ treten durch das Dokument D3 = EP-Bl-0 077 080, stellt durch regelartige Assoziationen Verbindungen zwischen Anlagenzu¬ ständen und jeweils als Reaktion darauf geeignete Aktivitäten her. Im konkreten Fall wird bei (D3) über verschiedene Arten von Assoziationen wie z.B. zwischen Ursachen und resultieren¬ den Anlagenzuständen, gegenwärtigen und zukünftigen Anlagen- zuständen, Anlagenzuständen und Aktivitäten etc. in einem komplizierten mehrstufigen Ableitungsvorgang automatisch aus einem gegebenen Anlagenzustand auf eine "optimale" Aktivität geschlossen, die den Operateuren zur Durchführung präsentiert wird. Mit dieser Methode kann vor allem eine taktische, anla- genzustandsbezogene Handlungsweise einer Tätigkeit relativ gut dargestellt werden.

Gerade das, wodurch das erste Modell nach (Dl) und (D2) für Autoren der Prozeduren wie für Operateure so einfach und in- tuitiv verwendbar wird, nämlich daß ein linearer Ablauf (mit kleinen Seitenästen für Fehlerfälle) entworfen und im prakti¬ schen Einsatz einfach Schritt für Schritt abgearbeitet werden kann, bildet die Ursache für das größte Problem bei kompli¬ zierten Tätigkeiten: Die vorformulierten Prozeduren bauen auf einer vorherbestimmten Abfolge von Anlagenzuständen auf. Weicht die tatsächliche Abfolge - aus welchen Gründen auch immer - davon ab, kann das System keine Hilfestellung mehr bieten. Die Angabe alternativer Aktivitäten für den Fehler¬ fall verschiebt das Problem nur um eine Stufe, beseitigt es

ERSATZ _BL ATT

jedoch nicht. Es fehlt bei diesem Ansatz die taktische Kompo¬ nente, die vor allem bei unerwarteten Anlagenzuständen bzw. unerwarteten Folgen von Anlagenzuständen Unregelmäßigkeiten bei der Abarbeitung der Prozeduren, wie z.B. Sprüngen mitten in eine (oder einer) Prozedur, den Operateuren das Wiederauf¬ setzen und Fortsetzung der Abarbeitung einer Prozedur an ei¬ ner geeigneten Stelle ermöglichen würde.

Auf die taktische Komponente verläßt sich wiederum das zweite Modell nach (D3) vollständig. Dadurch kann es zwar auch bei unerwarteten Entwicklungen des Anlagenzustands gut Hilfestel¬ lung leisten, hat jedoch bei der Darstellung strategischer Vorgehensweisen enorme Schwierigkeiten. Es stellt für die Au¬ toren von leittechnischen Systemen, denen das letztgenannte Grundmodell zugrundeliegt, ein kaum lösbares Problem dar, mit einer Sammlung lokaler, heuristischer Assoziationen einen zielgerichteten, strategischen Globalverlauf der Tätigkeit zu beschreiben. Dies hat seine Ursache vor allem darin, daß Sy¬ steme nach dem zweiten Grundmodell ausschließlich den gegen- wärtigen Anlagenzustand (also nicht die Historie des Anlagen¬ verhaltens) und insbesondere nicht den Verlauf der bisherigen Tätigkeit zur Ableitung von Vorschlägen für aktuell einzulei¬ tende Aktivitäten nutzen. Einen integrierten und flexiblen Bezug der Beschreibung der Tätigkeit auf die gesamte "Situation", bestehend aus aktuellem Anlagenzustand (i.e. An¬ lagenhistorie) und Stand der Durchführung der Tätigkeit (i.e. Aktionshistorie) bietet keines der beiden existierenden Grundmodelle.

Es existieren noch weitere, beiden Grundmodellen gemeinsame Schwachstellen: Weder werden die Aktivitäten der Automaten über das System geleitet und koordiniert, so daß mögliche und geeignete Überwachungs- und Steuerungsmöglichkeiten gar nicht ausgenutzt werden, noch erhalten die Automaten ihre Steue-

ERSATZ _B LATT

rungsprogramme u. . von diesem System, so daß man auf die Möglichkeit direkten Eingriffs in die tatsächliche Durchfüh¬ rung einzelner Aktivitäten durch Automaten verzichtet.

Der Bezug zum Anlagenzustand wird nur an Punkten zwischen einzelnen Aktivitäten hergestellt. Eine Aktivität wird immer als ein geschlossener Block angesehen, der un-bedingt ablau¬ fen kann, wenn er einmal erreicht ist. Dieser Ansatz ist für die Beschreibung komplizierter Tätigkeiten zu grobkörnig. Häufig muß gerade während der Durchführung einer Aktivität der Übergang in verschiedene Phasen der Durchführung unter Bezugnahme auf die Situation gesteuert werden.

Damit z.T. in direktem Zusammenhang steht ein weiteres Pro- blem, das sich aus der mangelnden Möglichkeit ergibt, die be¬ schriebene Tätigkeit auf verschiedenen Detaillierungsniveaus zu spezifizieren, d.h. die Durchführung einer Aktivität durch den Verlauf einer Anzahl detaillierterer Aktivitäten zu be¬ schreiben. So ist es für die Operateure nicht möglich, Infor- mationen über den auszuführenden Tätigkeitsverlauf je nach Interesse, Qualifikation, Zeitaufwand etc. auf ihre Bedürf¬ nisse zugeschnitten verschieden detailliert präsentiert zu bekommen.

Ein weiterer Mangel der existierenden Modelle oder ihrer An¬ sätze liegt in der fixen Zuordnung von Zuständigkeiten für die Durchführung von Aktivitäten zwischen Automaten einer¬ seits und Operateuren andererseits. Eine Übertragung findet immer außerhalb des Systems statt, indem auch nur Aktivitä- ten, die Automaten zur Durchführung übertragen sind, von Ope¬ rateuren durch sogenannte Handmaßnahmen übersteuert werden können. Daß Operateure innerhalb des Systems Automaten von ihren Aufgaben entbinden oder gar diesen bestimmte Aktivitä-

ERSATZBLATT

ten während der Tätigkeit zur Erledigung übertragen können, ermöglichen die bekannten Modelle nicht.

Die eingangs definierte Hauptaufgabe der Erfindung läßt sich nun dahingehend präzisieren, die vorstehend geschilderten Schwierigkeiten bei den Modellen 1 und 2 zu überwinden. Zur Lösung dieser Aufgabe ist das Verfahren nach der Präambel des Anspruchs 1 erfindungsgemäß durch die folgenden Merkmale ge¬ kennzeichnet: a) in einem Protokoll werden durch Angaben von den Automa¬ ten und den Operateuren Informationen gesammelt, wie sich die Werte der Prozeßparameter entwickeln und welche Aktio¬ nen von den Automaten und den Operateuren ausgelöst werden, das heißt, es wird sowohl die Historie des Anlageverhaltens als auch die Aktionshistorie im Protokoll festgehalten; b) es wird eine Menge von Spezifikationen von Aktivitäten vorgesehen, welche jeweils eine Ablaufbeschreibung enthal¬ ten, in welcher angegeben wird, welche Aktionen in welchen Typen von Situationen bei der Durchführung der betreffenden Aktivität ausgelöst werden können; c) in einer Vergleichseinheit werden die genannten Typen von Situationen verglichen mit der durch das jeweilige Pro¬ tokoll gegebenen aktuellen Situation, so daß damit die Ty¬ pen von Situationen sowohl auf die Anlagenhistorie als auch die Aktionshistorie bezug nehmen können und so festgestellt wird, ob die gegebene Situation einem Situationstyp ent¬ spricht, und daraus Aktionsmöglichkeiten abgeleitet werden; d) jede Spezifikation einer Aktivität enthält eine Menge von Verweisen auf Informationen zur Durchführung der Akti- vitäten (DurchführungsInformationen) , gerichtet an die Au¬ tomaten bzw. Operateure.

Vorteilhafte Weiterbildungen des Verfahrens nach der Erfin¬ dung sind in den Verfahrensansprüchen 2 bis 13 angegeben.

ERSATZBLATT

Gegenstand der Erfindung ist, wie bereits erwähnt, auch ein leittechnisches System mit Anzeigeeinrichtung, zum Steuern, Überwachen und Regeln von Prozessen in industriellen Anlagen, insbesondere von komplexen industriellen Prozessen, wie Be¬ triebsführung in Störfallsituationen bei einem Kernkraftwerk, wie in der Präambel des Anspruchs 14 definiert, welchem die gleiche Aufgabe zugrundeliegt wie dem Verfahren nach der Er¬ findung. Zur Lösung dieser Aufgabe ist das leittechnische Sy- ste nach der Erfindung durch die folgenden, im Anspruch 14 angegebenen Merkmale gekennzeichnet:

a) ein erster Datenspeicher eines Protokoll-Moduls ist ein- gangsseitig zur Dateneingabe mit den Automaten und mit ei- ner Eingabeeinheit für Operateure verbunden und ausgangs- seitig über eine Datenleitung mit einer Vergleichseinheit, wobei das Protokoll-Modul zur Sammlung von Informationen eingerichtet ist, wie sich die Werte der Prozeßparameter entwickeln und welche Aktionen von den Automaten und Opera- teuren ausgelöst werden, d.h. zum Protokollieren der Anla¬ genhistorie und der Aktionshistorie; b) in einem zweiten Datenspeicher für Situationstypen, der ausgangsseitig ebenfalls mit der Vergleichseinheit verbun¬ den ist, sind eine Menge von Spezifikationen von Aktivitä- ten einspeicherbar, wobei die Spezifikationen jeweils eine AbiaufbeSchreibung enthalten und durch diese Ablaufbe¬ schreibung definierbar ist, welche Aktionen in welchen Ty¬ pen von Situationen (Situationstypen) bei der Durchführung der Aktivität auslösbar sind; c) die genannte Vergleichseinheit ist mit Mitteln zum Ver¬ gleichen der Situationstypen aus dem zweiten Datenspeicher mit der vom Protokoll-Modul protokollierten aktuellen Si¬ tuation versehen, so daß die Situationstypen sowohl mit der Anlagenhistorie als auch mit der Aktionshistorie der aktu-

ERSATZBLATT

eilen Situation vergleichbar sind und damit feststellbar ist, ob die aktuelle Situation einem der Situationstypen entspricht sowie daraus Aktionsmöglichkeiten ableitbar sind.

Vorteilhafte Weiterbildungen des leittechnischen Systems nach der Erfindung sind in den Ansprüchen 15 bis 19 angegeben.

Hier wie im folgenden wird unter "Agent" ein Operateur oder ein automatischer Agent bzw. "Automat" verstanden, wenn es auf die Unterscheidung zwischen menschlichem und automati¬ schem Agenten nicht ankommt, d.h. insbesondere für die ausge¬ löste Aktion gleichgültig ist.

Die mit der Erfindung erzielbaren Vorteile sind vor allem in folgendem zu sehen:

1. Man kann in der Beschreibung des Verlaufs einer kompli¬ zierten Tätigkeit von Automaten und/oder Operateuren nun den Situationsbezug, bestehend aus einer beliebigen Mi- schung von prozeduralen (entsprechend Modell 1) und asso¬ ziativen (entsprechend Modell 2) Elementen integriert und flexibel herstellen.

2. Durch das Verfahren bzw. auch das leittechnische System nach der Erfindung kann der Ablauf der Aktivitäten der Au- tomaten und Operateure protokolliert und koordiniert wer¬ den, und es werden für jeden Agenten (Automaten und/oder Operateur) , der eine Aktivität durchführen soll, passende DurchführungsInformationen (Dokumente, Steuerungsprogramme und ähnliches) in einer für ihn verständlichen Sprache be- reitgehalten.

3. Der Situationsbezug kann auch während der Durchführung einer Aktivität zur Steuerung der Auslösung einzelner Ak¬ tionen hergestellt bzw. aufrechterhalten werden.

ERSATZBLATT

4. Es wird ermöglicht, den Tätigkeitsverlauf durch wiederholte Detaillierung von Aktivitäten auf verschiedenen Detaillierungsebenen darzustellen und abzuarbeiten.

5. Es ist eine flexible Zuweisung von Aufgaben zwischen den Operateuren und den Automaten ermöglicht.

Im einzelnen ist zu den Vorteilen noch auf folgendes hinzu¬ weisen: Da das Protokoll der Durchführung von Aktivitäten der Automaten und/oder Operateure, auf dessen Basis der Verlauf der Tätigkeit beschrieben wird, sowohl Beschreibungen bezüg¬ lich eines bisherigen Tätigkeitsverlaufs (Aktionshistorie) als auch eine bisherige Entwicklung von Anlagenparametern (Anlagenhistorie) enthält und die Ablaufbeschreibungen darauf insgesamt Bezug nehmen können, wird die Herstellung eines in- tegrierten und flexiblen Situationsbezugs möglich. Die Ab¬ laufbeschreibungen erlauben es, auch während der Durchführung einer Aktivität das Auslösen von zugehörigen Aktionen in be- zug auf eine gegenwärtige Situation zu steuern.

Gemäß Anspruch 2 wird das Verfahren nach Anspruch 1 auf vor¬ teilhafte Weise weitergebildet, was das Notieren einer Aktion als Ereignis im Protokoll, die Auslösung entsprechender Ak¬ tionen und den Zugriff zu der Hintergrundinformation in Er¬ gänzung zur Durchführungsinformation betrifft. Gemäß Anspruch 12 kann in der Spezifikation einer Aktivität eine komplexere Aktivität und/oder eine Menge von Detailaktivitäten angegeben werden.

Die Informationen für die Operateure über die in einer vorge- gebenen aktuellen Situation von der Vergleichseinheit festge¬ stellten Aktionsmöglichkeiten werden gemäß einer bevorzugten Ausführungsform mit Hilfe von Aktionsdiagrammen dargestellt, die den Verlauf einer Tätigkeit grafisch beschreiben. Diesen Aktionsdiagramme, die sehr gut auf einem Bildschirm darstell-

ERSATZBLATT

bar sind, liegt die Erkenntnis zugrunde, Aktivitäten und Si¬ tuationen miteinander in Beziehung zu setzen, um so den Tä¬ tigkeitsverlauf zu modellieren (Anspruch 3) .

In der bevorzugten Anwendung des Verfahrens auf die Proze߬ führung eines Kraftwerks, insbesondere eines Kernkraftwerks, wird gemäß einer Weiterbildung der Erfindung so vorgegangen, daß a) die on-line verfügbaren relevanten Sensordaten über Au- tomaten in das Protokoll eingespeist werden; b) die gespeicherten Durchführungs- und ggf. Hintergrundin¬ formationen den Inhalt eines vollwertigen Betriebs-Hand¬ buchs der durch die Spezifikationen der Aktivitäten abge¬ steckten Tätigkeit der Automaten und Operateure abdecken.

In einer Weiterbildung des Gegenstandes des Anspruchs 4, der vorstehend zitiert wurde, ist erfindungsgemäß vorgesehen, daß a) eine Menge von Spezifiktionen für Aktivitäten vorgesehen wird, die al) sowohl Aktivitäten einer sogenannten "ereignis-orien- tierten" Vorgehensweise repräsentieren, bei der der Tätig- keitsablauf sich durch ein Flußdiagramm wiedergeben läßt und sich im wesentlichen auf die Aktionshistorie abstützt, a2) als auch Aktivitäten einer sogenannten "schutzziel-ori- entierten" Vorgehensweise repräsentieren, bei der der Tä¬ tigkeitsablauf sich durch eine Anlagenzustände und jeweils als Reaktion darauf geeignete Aktivitäten verknüpfende Ta¬ belle wiedergeben läßt und sich im wesentlichen auf die Anlagenhistorie abstützt, b) die den Spezifikationen der Aktivitäten zugeordneten Ab¬ laufbeschreibungen den "ereignis-orientierten" bzw. "schutzziel-orientierten" Tätigkeitsablauf modellieren, c) und die den Spezifikationen der Aktivitäten zugeordneten Durchführungsinformationen bzw. damit verknüpfte Hinter-

ERSATZBLATT

grundinformationen, insbesondere den Inhalt sogenannter "ereignis-orientierter" bzw. "schutzziel-orientierter" Kernkraftwerks-Betriebshandbücher enthalten und dem Opera¬ teur auch off-line zur Informationssuche zugänglich sind.

Es kann auf diese Weise zum einen mit den Prozeduren eines "ereignisorientierten Betriebshandbuches" ein Konzept der in¬ formellen Unterrichtung des Operateurs verwirklicht werden. Zielvorstellung dieses Konzeptes ist die Vollständigkeit der Information zur Durchführung von Aktivitäten bzw. Maßnahmen, wenn als Voraussetzung eine Störfallsituation eindeutig dia¬ gnostiziert werden kann. Wenn die aufgrund der Informationen des ereignisorientierten Betriebshandbuches getroffenen Akti¬ vitäten zur Erreichung des gesteckten Sicherheitsziels nicht ausreichen und insbesondere wenn Verletzungen sogenannter "Schutzziele" auftreten, die einen sicheren Zustand des Kern¬ kraftwerks selbst unter Störfallbedingungen definieren oder dadurch schutzziel-orientierte Aktivitäten notwendig werden, dann wird zum anderen auf das Schutzziel-Konzept des Be- triebshandbuchs zurückgegriffen, und es werden Aktivitäten ausgelöst oder Maßnahmen getroffen, welche die Einhaltung der gesteckten Schutzziele garantieren. Erst wenn die Einhaltung der Schutzziele garantiert ist, kann wieder auf ereignisori¬ entierte Störfall-"Behandlung" übergegangen werden. Beide Formen der Wissensvermittlung stellen für die komplexen Tä¬ tigkeiten ein Optimum dar. Ein rechnergestütztes Betriebs¬ handbuch, insbesondere für Kernkraftwerke, wird hier wie im folgenden als Expert-Book bezeichnet. Wird es über den Bild¬ schirm als reines Betriebshandbuch benutzt, so ergeben sich im Vergleich zu den herkömmlichen Betriebshandbüchern auf be¬ drucktem Papier deutlich verbesserte Zugangsmöglichkeiten (freie Textsuche, Browser etc.) zu Informationen. Außerdem kann ein solches Expert-Book sowohl durch die eingebundenen Aktionsdiagramme als auch durch formalen Objekten wie z.B.

ERSATZBLATT

Spezifikationen von Aktivitäten zugeordnete Dokumente eine gezielte Informationssuche unterstützen. Das Expert-Book kann aber auch als Betriebshandbuch im On-line-Betrieb mit der An¬ lage dienen: Es übernimmt dann die volle Funktion eines On- 1ine-Handbuchs und Überwachungssystems für Stör- und Notfäl¬ le. Aufgrund des ständig aktualisierten Wissensstandes insbe¬ sondere zu aktuellen Anlagedaten des Expert-Book wird der Operateur auf die Informationen hingewiesen, die er für die Störfallbehandlung in der aktuellen Situation benötigt. Das bedeutet ein Gewinn an Handlungssicherheit und an Übersicht für das Wartenpersonal.

Das Verfahren nach der Erfindung eignet sich in besonderem Maße für flexible Aufgabenzuweisungen, wie sie im Anspruch 5 umschrieben sind, wonach zur Durchführung einer Tätigkeit durch mehrere Automaten und/oder Operateure jeder Automat über eine Datenleitung und jeder der beteiligten Operateure über eine Arbeitsstation (Tastatur, Maus, Bildschirm oder Spracheingabe- und -ausgabegeräte) mit den anderen Automaten und/oder Operateuren koordiniert wird, d.h. Angaben über von ihnen ausgelöste Aktionen in das gemeinsame Protokoll einge¬ speist oder gespeicherte Informationen abgerufen werden, so daß die Operateure und/oder Automaten gegenseitig über je¬ weils für sie relevante Aktionsmöglichkeiten in Kenntnis ge- setzt werden.

Die Weiterbildungen des leittechnischen Systems nach der Er¬ findung gemäß Anspruch 14 betreffen Struktur und Funktion von Datenspeichern, durch die das System auf vorteilhafte Weise ergänzt wird. So enthält ein dritter mit den Automaten und der Eingabeeinheit für die Operateure kommunizierender Daten¬ speicher eine Menge von Informationen zur Durchführung von Aktivitäten, sogenannte DurchführungsInformationen, welche von den Operateuren und Automaten über Verweise anwählbar und

ERSATZBLATT

auf Sichtgeräten der Anzeigeeinrichtung für die Operateure darstellbar bzw. über eine Datenleitung für die Automaten verfügbar sind (Anspruch 15) .

Mit dem zweiten Datenspeicher für Situationstypen ist zweck¬ mäßigerweise ein vierter Datenspeicher für situationsabhängig auszuführende Aktivitäten verbunden oder integriert. Weiter¬ hin ist es zweckmäßig, wenn ein fünfter Datenspeicher für er¬ gänzende Information vorgesehen ist, der mit dem dritten Da- tenspeicher für die Durchführungsinformation kommuniziert oder mit diesem integriert ist.

Weiterhin ist es vorteilhaft, daß ein sechster Datenspeicher für Aktionsmöglichkeiten über eine Ausgangsleitung der Ver- gleichseinheit mit dieser verbunden oder integriert ist und daß die für die Operateure und Automaten vorgesehenen Akti¬ onsmöglichkeiten auf einem Bildschirm darstellbar bzw. über eine Datenleitung abrufbar sind. Zur Vermittlung einer Über¬ sicht über den Gesamtprozeß (Situation, vorangegangene Ereig- nisse, durchgeführte und durchzuführende Aktivitäten) eignet sich - wie bereits erwähnt - in besonderem Maße ein Aktions¬ diagramm nach der Erfindung.

Im folgenden werden die Erfindung sowie weitere an sie ge- knüpfte Merkmale und Vorteile anhand eines in der Zeichnung dargestellten Ausführungsbeispiels näher erläutert, d.h. es werden sowohl ein leittechnisches System als auch ein zugehö¬ riges Verfahren zum Steuern, Überwachen und Regeln von Pro¬ zessen in industriellen Anlagen beschrieben. In der Zeichnung zeigt in zum Teil vereinfachter, schematischer Darstellung:

Figur 1 in einem Blockdiagramm ein leittechnisches System nach der Erfindung für ein Kernkraftwerk, mit dem das Verfahren verwirklicht werden kann;

ERSATZBLATT

Figur 2 ein Ausschnitt aus einem Flußdiagramm für eine ereignisorientierte Vorgehensweise zur Behandlung eines Störfalls aufgrund empfohlener Handmaßnahmen für die Operateure; Figur 3 ein Diagramm in Tabellenform für eine schutzziel- orientierte Vorgehensweise zur Behandlung eines Störfalls durch empfohlene Handmaßnahmen für die Operateure;

Figur 4 ein Diagramm, das auf dem Bildschirm zur Charakte- risierung eines Ereignisses beispielsweise erschei¬ nen kann, welches die einzelnen Elemente des Ereig¬ nisses zeigt, wobei aus Mengen solcher Ereignisse ein Protokoll besteht und vorgegebene Bedingungen in Situationstypen von Ablaufbeschreibungen das Protokoll auf das Vorhandensein bestimmter Typen von Ereignissen überprüfen;

Figur 5 ein weiteres Diagramm, welches die Elemente zeigt, aus denen ein Situationstyp beispielsweise aufge¬ baut sein kann, wobei dieser Situationstyp vorgege- bene Bedingungen mit logischen Operatoren, im vor¬ liegenden Fall ein Oder-Operator, verbindet;

Figur 6 in einem Diagramm Durchführungsphasen, in denen sich Aktivitäten befinden können, und die möglichen Übergänge zwischen diesen Durchführunsgphasen (Phasenübergänge) ;

Figur 7 in einem weiteren Diagramm den Aufbau der Spezifi¬ kation einer Aktivität mit einzelnen Aktivitäts- Elementen;

Figur 8 ein Schema, wie ein Situationstyp in einzelne, lo- gisch miteinander verknüpfte Bedingungen aufgeglie¬ dert wird und wie eine Bedingung mit einer durch das Protokoll vorgegebenen Situation bzw. mit deren einzelnen Ereignissen verglichen und ihre Überein¬ stimmung mit den durch die Bedingung formulierten

ERSATZBLATT

Vorgaben überprüft wird, so daß sich die Aussage "wahr" (oder "unwahr") ergibt; Figur 9 eine Architektur des leittechnischen Systems nach Figur 1, bestehend aus informeller und formaler Schicht;

Figur 10 eine die Architektur nach Figur 9 in kompakter Form enthaltende Beschreibung der zentralen Arbeitsweise des leittechnischen Systems nach Figur 1, wobei der Zyklus "Ereignis - Protokoll - Vergleich mit Situa- tionstypen - Aktionsmöglichkeit" veranschaulicht ist, und Figur 11 ein Ausführungsbeispiel für ein Aktionsdiagramm, das auf dem Bildschirm eines Gerätes zur Informati¬ on der Operateure erscheinen kann.

Im folgenden sei anhand von Figur 1 zunächst das leittechni¬ sche System nach der Erfindung erläutert, welches zum Steu¬ ern, Überwachen und Regeln von Prozessen in industriellen An¬ lagen, insbesondere von komplexen industriellen Prozessen dient. Im dargestellten Fall handelt es sich um die Steuerung und Überwachung sowie Regelung eines Kernkraftwerks, insbe¬ sondere nach oder bei einem Störfall, wobei das Kernkraftwerk durch einen Kernreaktor 1, vereinfacht Reaktor genannt, sym¬ bolisiert wird. Für das in Figur 1 schematisch dargestellte leittechnische System LS ist die Verwendung wenigstens eines digitalen Computers charakteristisch, durch dessen Rechenpro¬ gramm sogenannte automatische Agenten, auch Automaten 3 ge¬ nannt, gebildet werden. Der mit den Automaten 3 verknüpfte Dateninhalt ist mit 3\' bezeichnet. Auf den Reaktor 1 wirken mittelbar oder unmittelbar außer den Automaten auch die Ope¬ rateure 2\' ein, wobei 2\' auch die Aktivitäten dieser Opera¬ teure (Schalthandlungen oder andere Befehle usw.) einschließt und mit 2 generell Ein/Ausgabeeinheiten, d.h. die Bedienungs¬ tastatur oder auch die visuelle Information

ERSATZBLATT

(Datensichtgeräte) für die Operateure bezeichnet sind. Sicht¬ geräte mit Bildschirmen für die Operateure sind deshalb nicht gesondert dargestellt; es versteht sich jedoch, daß diese am Leitstand vorhanden sind. Im folgenden werden die Handlungen 3 \' der Automaten 3 und der Operateure 2 \' als Aktivitäten be¬ zeichnet, wobei das Fortschreiten der Durchführung von Akti¬ vitäten vom Rechenprogramm des digitalen Computers durch Ak¬ tionen markiert wird, worauf später noch näher eingegangen wird. Die Automaten oder "automatischen Agenten" interagieren mit nicht näher dargestellten Sensoren zur Meßwerterfassung bzw. mit Stellgliedern, letztere können z.B. Ventile oder elektrische Schalter sein, Manipulatoren oder andere Aktoren

(sie sind zur Vereinfachung ebenfalls nicht dargestellt) . Die

Sensoren bzw. Stellglieder, also die Automaten oder automati- sehen Agenten sind an den Prozeß, der durch das leittechni¬ sche System LS gesteuert, überwacht und geregelt werden soll, angekoppelt, sie beschaffen Prozeßinformation bzw. beeinflus¬ sen den Prozeß.

Im folgenden sei zunächst eine Übersicht über die in Figur 1 dargestellten Funktionsblöcke und die Datenleitungen gegeben. Es ist symbolisiert durch:

4 ein Datenspeicher für Aktivitäten, 4\' sein Dateninhalt,

5 ein Datenspeicher für Ablaufbeschreibungen, 5\' sein Daten- inhalt,

6 ein Protokoll-Modul, 6\' sein Dateninhalt bzw. das jeweils aufgezeichnete Protokoll der Ereignisse, d.h. der relevanten Ereignisse, die sich während des Prozesses des Reaktors 1 ab¬ spielen, 7 eine Vergleichseinheit, 7\' ihr Dateninhalt,

8 ein Datenspeicher für von der Vergleichseinheit 7 vorge¬ schlagene Aktionsmöglichkeiten, 8\' sein Dateninhalt,

9 ein Datenspeicher für Durchführungs-Informationen, 9 ¹ sein Dateninhalt,

ERSATZBLATT

03847

18

10 ein Datenspeicher für ergänzende Informationen, der mit dem Datenspeicher 9 über eine bidirektionale Signalleitung in Dialogverbindung steht, 10\' sein Dateninhalt,

11 Signalleitungen, welche die Einwirkung der Operateure 2 \' über ihre Eingabeeinheit 2 und der Automaten 3 auf den Reak¬ tor 1 symbolisieren,

11\' Gestrichelte Doppelpfeile für Aktivitäten von 3 bzw. 2\'

12 verknüpfende Signalleitungen zwischen einerseits den Da¬ tenspeichern 8, 9 und 10 und andererseits den Automaten 3 bzw. der Ein- und Ausgabeeinheiten 2 für die Operateure 2 \' , wobei durch die senkrecht stehende, schlanke Ellipse die Da¬ tenverknüpfung angedeutet ist,

13 Signal- bzw. Datenleitungen zwischen einerseits den Ein- und Ausgabeeinheiten 3 für die Operateure 2 \' und den Auto a- ten 3, andererseits dem Protokoll-Modul 6,

13.1 eine Ausgangs-Datenleitung vom Protokoll-Modul 6 zur Vergleichseinheit 1 ,

14 eine Datenleitung von der Vergleichseinheit 7 zum Daten¬ speicher 8 für Aktionsmöglichkeiten, 15 Dialog- bzw. bidirektionale Datenleitung zwischen den Da¬ tenspeichern 9 und 10,

16 eine Datenleitung vom Datenspeicher 4 für Aktivitäten zu Datenspeicher 5 für Ablaufbeschreibungen, 16.1 Datenleitung vom Datenspeicher 5 zur Vergleichseinheit 7.

Es kann nun das Zusammenspiel der vorstehend erwähnten Funk¬ tionsblöcke bzw. -einheiten beschrieben werden: Der erste Da¬ tenspeicher eines Protokoll-Moduls 6 ist eingangsseitig zu Dateneingabe mit den Automaten 3 und mit der Ein- und Ausga¬ beeinheit 2 für die Operateure 2 \' verbunden, und er ist aus- gangsseitig über eine Datenleitung 13.1 mit einer Vergleichs¬ einheit 7 verbunden, wobei das Protokoll-Modul 6 zur Sammlun von Informationen eingerichtet ist, wie sich die Werte de

ERSATZ _B LATT

Prozeßparameter entwickeln und welche Aktionen von den Auto¬ maten 3 und Operateuren 3\' ausgelöst werden, d.h. es proto¬ kolliert die des Reaktors 1 und die Historie der Aktionen der Automaten und Operateure. In einem zweiten Datenspeicher 5 für Ablaufbeschreibungen, der ausgangsseitig ebenfalls mit der Vergleichseinheit 7 verbunden ist, sind eine Menge von Spezifikationen von Aktivitäten einspeicherbar, wobei die Spezifikationen 5\' (also der Dateninhalt) jeweils eine Ab¬ laufbeschreibung enthalten und durch diese Ablaufbeschreibung definierbar ist, welche Aktionen in welchen Typen von Situa¬ tionen (Situationstypen) bei der Durchführung der jeweiligen Aktivität auslösbar sind.

Die Vergleichseinheit 7 ist mit Mitteln zum Vergleichen der Situationstypen aus dem Datenspeicher 5 mit der vom Proto¬ koll-Modul 6 protokollierten aktuellen Situation versehen, so daß die Situationstypen sowohl mit der Anlagenhistorie als auch mit der Aktionshistorie der aktuellen Situation ver¬ gleichbar sind und damit feststellbar ist, ob die aktuelle Situation einem der Situationstypen entspricht, sowie daraus Aktionsmöglichkeiten ableitbar sind.

Der dritte, mit den Automaten 3 und der Ein/Ausgabeeinheit 2 für die Operateure 2 \' kommunizierende Datenspeicher 9 enthält eine Menge von. Informationen zur Durchführung von Aktivitä¬ ten, sogenannte DurchführungsInformationen, welche von den Operateuren 2 \' und Automaten 3 über Verweise anwählbar und auf Sichtgeräten der (nicht dargestellten) Anzeigeeinrichtung für die Operateure darstellbar bzw. über eine Datenleitung für die Automaten 3 verfügbar sind. Mit dem zweiten Daten¬ speicher 5 für Ablaufbeschreibungen bzw. Situationstypen ist ein vierter Datenspeicher 4 für situationsabhängig auszufüh¬ rende Aktivitäten 4 \' integriert oder über die Datenleitung 16 verbunden.

ERSA _T ZBLÄTT

Ein fünfter Datenspeicher 10 für ergänzende Information ist mit dem dritten Datenspeicher 9 für die Durchführungsinforma¬ tion über die bidirektionale Datenleitung 15\' verbunden oder mit diesem Datenspeicher 9 integriert.

Schließlich ist ein sechster Datenspeicher 8 für Aktionsmög¬ lichkeiten über eine Ausgangsdatenleitung 14 der Vergleichs¬ einheit 7 mit dieser verbunden (oder mit dieser Vergleichs- einheit 7 integriert) , wobei zweckmäßigerweise die für die Operateure 2 \' und Automaten 3 vorgesehenen Aktionsmöglichkei¬ ten auf einem Bildschirm darstellbar bzw. über eine Datenlei¬ tung abrufbar sind.

Für das weitere Verständnis der Erfindung sei zunächst auf je ein Beispiel der Wiedergabe einer ereignisorientierten Vorge¬ hensweise (Figur 2) und einer schutzziel-orientierten Vorge- hensweise (Figur 3) zur Beherrschung von Störfällen in Kern¬ kraftwerken eingegangen, wie sie einem internen Stand der Technik entspricht und in dieser Art in sogenannten Betriebs¬ handbüchern enthalten ist. Es werden also gemäß Figur 2 er¬ eignisorientierte Aktivitäten der Operateure beschrieben, für welche vielfach vorformulierte Prozeduren verwendet werden, die aus Aktivitäten 17, z.B. "Ersatzfilter in der Kondensat- reinigungsanlage in Betrieb nehmen" und Abfragen 18 ("Temperaturdifferenz RDB-Deckel/KMT-Ein < 40 K ?") bestehen. "RDB" bedeutet dabei Reaktordruckbehälter, "KMT" bedeutet Kühlmitteltemperatur, "Ein" bedeutet am Einlaß. In der dar¬ auffolgenden Raute ist eine weitere Anfrage "RDB-Füllstand > Min 1 ?" enthalten. Wenn diese Frage verneint wird, führt ei¬ ne Schleife des Diagrammes zurück zum Hauptpfad, wenn die Frage bejaht wird, führt der Hauptpfad zu einer neuen Aktivi¬ tät, nämlich "HKMP zuschalten". "HKMP" bedeutet Hauptkühlmit¬ telpumpe. Eine weitere Aktivität ist über einen Querpfeil mit

EBSA _T Z _B LATT

der Abfrage 18 verbunden und über eine Schleife mit dem Hauptpfad zurückverbunden, der Inhalt dieses Aktivitätskäst¬ chens spricht für sich selbst.

Für die schutzzielorientierte Vorgehensweise stellen Tabel¬ len, die Typen von Situationen 19 und in diesen als Reaktio¬ nen geeignete Aktivitäten 20 assoziieren (siehe Figur 3), die bevorzugten Beschreibungsmittel dar. Cr, Ch, Ch-K stellen in Figur 3 Grenz-Borkonzentrationen dar; im übrigen spricht der Inhalt der Tabelle nach Figur 3 für sich selbst. Zwischen den Kategorien 19 und 20 besteht im Gegensatz zum Flußdiagramm nach Figur 2 weniger eine zeitlich-logische Aufeinanderfolge als eine Unterscheidung aufgrund der verwendeten Beschrei¬ bungsmittel. Nach Auftreten eines Störfalls laufen vom Anla- genzustand ausgelöste automatische Aktivitäten an, die dazu dienen, den Reaktor so lange in einem sicheren Zustand zu halten, bis die Operateure mit geeigneten Aktivitäten ein¬ greifen und die Anlage in einen langfristig sicheren Zustand (d.h. unterkritisch, kalt) überführen. Nach einiger Zeit au- tomatischer Aktivitäten, die von den Operateuren auf ihr kor¬ rektes Funktionieren hin überwacht werden, treten Schritt für Schritt auch die Operateure mit Aktivitäten in Erscheinung. Zu diesem Zweck stehen ihnen zwei Vorgehensweisen, wie be¬ reits erwähnt, zur Verfügung. Die ereignisorientierte Vorge- hensweise setzt eine sichere Diagnose der Klasse voraus, der der aufgetretene Störfall zuzuordnen ist. In diesem Fall kön¬ nen vorbereitete Prozeduren von den Operateuren abgearbeitet werden, entsprechend dem Flußdiagramm nach Figur 2, um die Anlage in einen langfristig sicheren Zustand zu überführen. Während der gesamten Zeit, in der Aktivitäten zur Störfallbe- handlung stattfinden, müssen die Operateure besonders wichti¬ ge Anlagenparameter in vorbestimmten Bereichen halten. Krite¬ rien, die diese Bereiche beschreiben, sind zu Schutzzielen zusammengefaßt und werden von Sensoren, die nach der Termino-

ERSATZBLATT

logie der vorliegenden Erfindung zu den Automaten oder auto¬ matischen Agenten zu rechnen sind, überwacht. Verletzt der Zustand der Anlage eines oder mehrere Schutzziele, müssen Operateure umgehend auf schutzzielorientierte Vorgehensweise umschalten, d.h. anlagenzustandsbezogene Aktivitäten ergrei¬ fen, bis die Schutzziele wieder erreicht sind. Die Aktivitä¬ ten der Operateure beschränken sich dabei auf die Auslösung bestimmter Aktivitäten, während viele Überwachungs- und Steuerungsaktivitäten parallel von den automatischen Agenten bzw. Automaten durchgeführt werden.

Gemäß der Erfindung ist es möglich, die anhand von Figuren 2 und 3 beschriebene ereignis- und schutzziel-orientierte Vor¬ gehensweise, wie sie dem internen Stand der Technik eines Be- triebshandbuches entspricht, zu integrieren, indem die on¬ line verfügbaren, relevanten Sensordaten über Automaten in das Protokoll 6\' (Figur 1) eingespeist werden und die gespei¬ cherten Durchführungs- und ggf. Hintergrundinformationen 9\', 10\' den Inhalt eines vollwertigen Betriebs-Handbuchs der durch die Spezifikationen der Aktivitäten abgesteckten Tätig¬ keit der Automaten 3 und Operateure 2\' abdecken, d.h. mit dem gesamten leittechnischen System vernetzt sind, so daß mit dem Verfahren nach der Erfindung auch komplexe Anlagen direkt ge¬ steuert, überwacht und geregelt werden können.

Zum Verständnis des Verfahrens nach der Erfindung sei zu¬ nächst auf Figur 4 verwiesen. Gemäß diesem Verfahren wird ei¬ ne Möglichkeit zur Beschreibung des Verlaufs der Tätigkeit (Aktivitäten der Automaten 3 und Operateure 2\') gebildet. Da- für ist eine Beschreibungssprache für komplexe Tätigkeiten geschaffen worden. Jegliches Wissen über die aktuelle Situa¬ tion bezieht das System aus dem Protokoll 6, das eine nach Notizzeitpunkten geordnete Liste von Ereignissen Figur 4 dar¬ stellt. Jedes Ereignis besitzt folgende Einträge: Zeitpunkt

ERSATZBLATT

21, zu dem das Ereignis im Protokoll notiert wurde; Zeitraum

22, in dem das Ereignis stattgefunden hat; Agent 23, der die Aktion ausgelöst hat und das Ereignis notieren ließ; Aktivi-. t t 24, zu der die Aktion gehört; Phase 25, in die die Durch¬ führung der Aktivität getreten ist und den Typ der Aktion wiedergibt; Anlagenparameter 26, zu dem die Aktivität eine Erkenntnis gewonnen hat; Zustand des Parameters 27, der durch die Aktion gefunden wurde; Kommentar 28, den der Agent ggf. zur Auslösung der Aktion abgegeben hat.

Figur 5 zeigt zwei aussagelogisch miteinander verknüpfte Be¬ dingungen 29, 30, das Verknüpfungszeichen bedeutet "oder"; beide Bedingungen beschreiben einen Ereignistyp, z.B. "styp 12". Auch jede der beiden Bedingungen 29, 30 beschreibt den Typ eines Ereignisses. Findet sich in der aktuellen Situation ein Ereignis, das diesem Typ entspricht, bewertet die Bedin¬ gung die entsprechende Situation positiv. Eine Bedingung 29 bzw. 30 besteht aus zwei Mengen von Prädikaten 31, 31a bzw. 32, 34 über Ereignisse. Ein Prädikat 31 kann z.B. bewerten, ob ein Ereignis eine Aktion zu einer Aktivität aus einer Menge 31\' vorgegebener Aktivitäten notiert, ob bei dieser Ak¬ tion zu einem aus einer Menge vorgegebener Parameter eine Er¬ kenntnis 31a gewonnen wurde, oder ob der Zeitraum, in dem die Aktion stattgefunden hat, in einem bestimmten Zeitintervall gelegen hat. Ein solches Zeitintervall, auch Zeitfenster zf genannt, wird in eckige Klammern gesetzt und bedeutet beim Prädikat 32 z.B., daß "RESA" eingetreten sein muß - Inter¬ vallanfang - und daß nach "RESA" 600 sec. verstrichen sein müssen. Beim Prädikat 34 bedeutet [30,50] ein Bereich für den Kühlmitteldruck. Mit 33 ist ein Symbol Ω für einen Isolati¬ onsschritt bezeichnet, der anhand von Figur 5 noch erläutert wird, RESA bedeutet Reaktorschnellabschaltung.

ERSATZBLATT

Ein Situationstyp nach Figur 5 verbindet eine Menge von Be¬ dingungen mittels aussagelogischer Verknüpfungen zu einer Formel, die den Typ einer Situation beschreibt. Da selbst in¬ nerhalb von Bedingungen auf Aktivitäten und gleichzeitig auf Anlagenparameter Bezug genommen werden kann, ist der inte¬ grierte und flexible Situationsbezug sichergestellt.

Ein Element des Aufbaus von Aktivitäten - vgl. Figur 6 und Figur 7 - sind Ablaufbeschreibungen 40. Sie bestehen jeweils aus einer Liste von Situationstypen. Jedes Listenelement be¬ schreibt den Typ einer Situation, in der ein Phasenübergang 36 (Figur 6) in eine neue Durchführungsphase 35 der Aktivität stattfinden kann. Dem Übergang 36 in eine neue Phase ent¬ spricht das Auslösen einer Aktion zur Aktivität: Auf diese Weise kann das situationsbedingte Beginnen, Beenden, Abbre¬ chen etc. einer Aktivität beschrieben werden. Eine Aktivität kennt die Durchführungsphasen "Unbearbeitet" 35a, "Angepackt" 35b, "Erkannt" 35c, "Vollendet" 35d, "Abgebrochen" 35e, und "Kompensiert" 35f und kann Phasenübergänge 36 entlang der in Figur 6 eingezeichneten Pfeile ausführen. Während Aktionen zu allen Phasen Informationen über die Durchführung der Tätig¬ keit durch entsprechende Ereignisse in das Protokoll 6 \' (Figur 1) einbringen, ergänzt ein "Erkannt"-Ereignis das Pro¬ tokoll zusätzlich um eine Beschreibung des aktuellen Zustands eines Anlagenparameters 39, wie sie durch die Aktivität ge¬ wonnen wurden. Zu Aktivitäten gehört weiterhin eine Menge von Beschreibungen ihrer Durchführung 41 in unterschiedlichen Sprachen von Agenten. Solche Sprachen können für Operateure z.B. Deutsch, Englisch etc. und für Automaten formale Spra- chen sein, die diese ausführen können, in der Regel also Pro¬ grammiersprachen. Gibt ein Agent die Sprache an, die er ver¬ steht, bekommt er automatisch die ihm jeweils verständlichen Informationen angeboten. Außerdem steht jede Aktivität in der Detaillierungshierarchie der Gesamttätigkeit. Jede Aktivität

ERSATZBLATT

besitzt eine komplexere Aktivität 37 und eine Menge detail¬ lierterer Aktivitäten 38. An der Spitze der Hierarchie steht die Gesamttätigkeit, an den unteren Enden der Hierarchie hän¬ gen nicht weiter detaillierte, primitive Aktivitäten.

Anhand von Figur 8 in Verbindung mit Figur 5 wird nun erläu¬ tert, wie die Vergleichseinheit 7 nach Figur 1 prinzipiell arbeitet. Das Schema nach Figur 8 stellt einen Vergleichs¬ algorithmus dar. Die aussage-logische Verknüpfung einer Reihe von Bedingungen Bl bis B5, und zwar z.B. positive Bedingungen Bl bis B3 und negative Bedingungen B4, B5 ergibt einen be¬ stimmten Situationstyp 5.1\', der als Dateninhalt in dem Da¬ tenspeicher 5 (Figur 1) enthalten ist. Ll sind logische (Und/Oder -)Verknüpfungen zwischen den Bedingungen Bl bis B3, L2 bedeuten logische (Und/Oder-)Verknüpfungen zwischen den Bedingungen B4, B5. dl bis d5 bedeuten Hinweispfeile für die logischen Verknüpfungen Bl bis B5. Pl symbolisiert einen Identifikationsschritt für die näher betrachtete Bedingung B3, P2 einen Isolationsschritt und P3 einen Qualifikations- schritt. In der Bedingung B3 ist die Aktivität "SZUE" = Schutzzielüberwachung als ein Mengenprädikat enthalten und die Phase "STOP" als anderes Prädikat einer Menge. Die beiden Prädikate, das eine eine Aktivität betreffend und das andere eine Durchführungsphase, sind mit Pl \' und P3 \' bezeichnet. Pl \' stellt also den Identifikationsteil einer Bedingung dar, ver¬ gleichbar mit dem Identifikationsteil 32 aus Figur 5. Durch die Vergleichseinheit 7 werden nun mit dem im Identifikation¬ steil der Bedingung B3 aufgeführten Prädikat Bl \' , welches ei¬ nen Typ von Ereignis definiert, die dem Ereignistyp entspre- chende Ereignisse aus dem Protokoll 6\' herausgefiltert, wie es der Pfeil 7.1 symbolisiert. Von diesen identifizierten Er¬ eignissen El (siehe die Hinweispfeile 7.4 und 7.5 für die Schrittdurchführung) wird das zeitlich letzte Ereignis iso¬ liert, wie es durch das Ω-Zeichen in der Bedingung B3 und

ERSATZBLATT

den Pfeil 7.2 veranschaulicht wird. Dies ergibt das identifi¬ zierte und isolierte Ereignis E2, welches aus dem Protokoll 6\' herausgesucht wurde, vgl. Pfeil 7.6. Dieses identifizierte und isolierte Ereignis E2 wird mit dem im Qualifikationsteil P3 \' der Bedingung B3 aufgeführten Prädikaten in einem Quali¬ fikationsschritt P3 daraufhin überprüft, ob es dem dadurch definierten Ereignistyp entspricht. Bei Entsprechung wird die Bedingung mit "zutreffend" oder "wahr" markiert, siehe die Aussage AI über die Entsprechung von Bedingung und Protokoll (ermittelter Situationstyp) .

Zusammenfassend ergibt sich also, daß die Vergleichseinheit mit den Prädikaten, die im Identifikationsteil 32 (Figur 5) oder Pl\' (Figur 8) einer Bedingung 30 bzw. B3 aufgeführt sind, alle Ereignisse El aus dem Protokoll 6\' herausfiltert, die durch die Prädikate positiv bewertet werden. Anschließend isoliert sie (7.2) aus den herausgefilterten Ereignissen El das zuletzt stattgefundene Ereignis E2 und übergibt dieses den Prädikaten P3 \' des Qualifikationsteils bzw. -Schritts P3 zur Bewertung. Besteht das isolierte Ereignis auch diese Qua¬ lifikationsprüfung, ist die durch das Protokoll 6\' gegebene Situation durch die untersuchte Bedingung positiv bewertet (AI). Ergibt die Formel eines Situationstyps 5.1\' nach Aus¬ wertung der einzelnen Bedingungen Bl bis B5 und Einsetzen der Ergebnisse insgesamt eine positive Bewertung, entspricht die aktuelle Situation der Beschreibung des Situationstyps. Da Situationstypen in Ablaufbeschreibungen 40 von Aktivitäten (Figur 7) Situationen beschreiben, in denen Aktionen ausge¬ löst werden, kann bei positiver Bewertung einer solchen Si- tuationstyps die entsprechende Aktion als potentiell auslös¬ bar markiert werden.

Figur 10 zeigt den Zyklus z.B. beginnend beim Auslösen einer Aktion durch Operateure 2\' bzw. Automaten 3 ("Agenten"), das

ERSÄTZBLATT

Eintragen dieser Aktion als Ereignis in das Protokoll 6\' , das Vergleichen von Situationstypen 5.1\' mit der neu entstandenen Situation 6\' in der Vergleichseinheit 7 und die Ausgabe von Aktionsmöglichkeiten 8\' an die Agenten 2 \' , 3. Gleiche Teile zu Figur 1 sind in dieser Figur 10 auch mit den gleichen Be¬ zugszeichen versehen, es handelt sich um ein leittechnisches Netzwerk LN 11 als Teil des Systems LS (Figur 1) . Die Koordi¬ nation der Agenten 2\', 3 findet aktivitätsbezogen statt. Die Agenten einigen sich darüber, wer welche Aktivitäten ausfüh- ren soll, indem sie sich gegenseitig Aufträge geben und diese akzeptieren oder ablehnen. Ein Auftrag enthält eine Menge von Aktivitäten und verpflichtet, wenn er akzeptiert wurde, den beauftragten Agenten zu deren Durchführung. Automatische Agenten 3 sind vorzugsweise so programmiert, daß sie in den seltensten Fällen einen Auftrag ablehnen können (sie könnten nur Aufträge ablehnen, die widersinnig wären oder eine Gefahr heraufbeschwören würden) . Der beauftragte Agent 2 \' , 3 soll Aktionen zu den übertragenen Aktivitäten auslösen, bis keine Aktionsmöglichkeiten mehr bestehen und die Aktivität in eine neutrale Durchführungsphase ("Unbearbeitet", "Vollendet", "Kompensiert", "Abgebrochen") übergegangen ist. Durch das Auftraggeber - Auftragnehmer-Verhältnis zwischen den Agenten 2 \' , 3 wird gleichzeitig eine Kommunikationsverbindung aufge¬ baut. Aktionen, die der Auftragnehmer zu den Aktivitäten des Auftrags auslöst, werden automatisch an den Auftraggeber ge¬ meldet.

Figur 10 zeigt außerdem, daß der Inhalt 9\', 10\' der beiden Datenspeicher 9 und 10 (vgl. auch Figur 1), also das soge- nannte Expert-Book, und der Inhalt 8\' des Datenspeichers 8 für Aktionsmöglichkeiten zu einer Aussage über die nächsten Aktionen, über relevante Dokumente und Querverbindungen (Links) und über adaptierte Dokumente kombiniert werden. All diese Aussagen können für die Operateure 2 \' und Automaten

ERSATZBLATT

durch eine sogenannte Sicht auf das für sie Wesentliche be¬ schränkt werden, was durch die dunkle Brille R symbolisiert ist. Eine "Sicht" basiert z.B. auf der Angabe einer Menge von Aktivitäten, die entweder explizit oder implizit, letzteres z.B. über die relevanten Teile der Anlage, an denen die ge¬ suchten Aktivitäten stattfinden sollen, formuliert werden können.

In Figur 9 ist ein leittechnisches Teilnetzwerk LN12 darge- stellt, bestehend aus den hier kombiniert dargestellten Da¬ tenspeichern 9 und 10, deren Inhalt die sogenannte informelle Schicht 9\', 10\' des Betriebshandbuchs umfaßt, die aber hier weiter aufgefächert ist, und zwar in Abstimmung auf die fei¬ nere Auffächerung des Netzwerkteils LN12a, welcher außer dem Datenspeicher 5 für Ablaufbeschreibungen bzw. Situationstypen auch den Datenspeicher 4 für Aktivitäten und weitere zusätz¬ liche Datenspeicher 4.1 bis 4.3, welche zusätzlich zum Inhalt "Aktivitäten" bzw. "Aktivität Objekte" des vierten Datenspei¬ chers 4 noch die Spezifikationen für "Teil-Objekte", "Gerät- Objekte" und "Material-Objekte" enthalten. Dabei bedeuten: "Teil-Objekte" formale Spezifikationen von Teilen der Anlage, an denen Aktivitäten stattfinden, "Gerät-Objekte" formale Spezifikationen für die Durchführung von Aktivitäten notwen¬ digen Geräten und "Material-Objekte" formale Spezifikationen von während der Durchführung von Aktivitäten zu verbrauchen¬ den Materialien. All diese Spezifikationen, die mit 4\' sowie 4.1\' bis 4.3\' bezeichnet sind, sind über entsprechende, nicht näher bezeichnete Datenleitungen mit dem Datenspeicher 4 bzw. dessen Inhalt 4\' gekoppelt, ferner mit der entsprechend auf- gegliederten informellen Schicht 9\', 10\' der Datenspeicher 9, 10 und mit dem Datenspeicher 5 für Situationstypen bzw. Ab¬ laufbeschreibungen.

ERSATZBLATT

Nachdem nun Aufbau und Struktur von Ablaufbeschreibungen, Protokoll, Vergleichseinheit und Informationen beschrieben ist, kann die Funktionsweise des leittechnischen Systems LS bzw. das Verfahren nach der Erfindung bzw. zur Beherrschung, d.h. Steuerung, Überwachung und Regelung eines Reaktorstör¬ falls aufgezeigt werden. Die Koordination zwischen Operateu¬ ren 2 \' und Automaten 3 erfolgt meist so, daß erstere Auftrag¬ geber, letztere Auftragnehmer sind. Dazu existiert das System nach Figur 1, das alle Durchführungs- 9\' und sonstige Ergän- Zungsinformationen 10\' (vgl. auch Figur 9) zur Störfallbe¬ handlung für Automaten wie Operateure sowie eine umfassende Beschreibung 4 \' , 5\' des Verlaufs der Tätigkeit zur Behand¬ lung von Störfällen in Form von Ablaufbeschreibungen 5\' zu Aktivitäten (vgl. auch Figur 9) bereithält. Die Tätigkeitsbe- Schreibung enthält mehrere Detaillierungsniveaus. Agenten (typischerweise Automaten) 2\', 3 führen als Teil der Tätig¬ keit ständig Aktivitäten 11\' (gestrichelte Pfeile) durch, die Anlagenparameter daraufhin überwachen, ob ein Störfall ein¬ tritt, und tragen Informationen zu den aktuellen Parameter- werten mit "Erkannt"-Ereignissen in das Protokoll 6\' ein. Die Vergleichseinheit 7 untersucht nach jedem Notieren eines Er¬ eignisses im Protokoll, ob nun eine Situation eingetreten ist, die durch irgendwelche Situationstypen 5.1\' (Figur 8) beschrieben ist, und sich dadurch eine Aktionsmöglichkeiten 8\' , 14 eröffnen würden (vgl. auch Figur 10). Sobald ein Stör¬ fall eintritt, ändern sich die aktuellen Parameterwerte auf charakteristische, durch Situationstypen von Ablaufbeschrei¬ bungen beschriebene Weise, und die Vergleichseinheit 7 kann den Agenten 2\', 3 erste Aktionsmöglichkeiten 8\' zur Störfall- behandlung über Signalleitung 14 nennen. Typischerweise wer¬ den zunächst Aktionen zu Aktivitäten ausgelöst, die den Auto¬ maten 3 zur schnellen Reaktion von Operateuren 2 \' zugewiesen wurden, und als Ereignisse in das Protokoll 6* eingetragen. Die Steueranweisungen zur Durchführung der Aktivitäten erhal-

ERSATZBLATT

ten die Automaten 3 aus den entsprechenden Durchführungsin¬ formationen 9 \' . Die Operateure 2 \' bekommen automatisch Mel¬ dungen über die Aktionen, die bei der Durchführung dieser Ak¬ tivitäten von den Automaten 3 ausgelöst werden, und können so den korrekten Verlauf der automatischen Maßnahmen (siehe Fi¬ gur 10, "Sicht" R) überwachen. Nach einiger Zeit greifen die Operateure 2\' aktiv in die Regelung des Reaktors 1 ein, um ihn in einen langfristig sicheren Zustand zu überführen. Sie übernehmen bestimmte Aktivitäten 4 \' in ihre Verantwortung bzw. beauftragen sich gegenseitig entsprechend und lösen auf der Basis angebotener Aktionsmöglichkeiten 8\' Aktionen aus. Sie erhalten Informationen zu ihrer Durchführung automatisch und können sich zusätzlich mit anderen Informationen 10 \' , die im Datenspeicher 10 gespeichert und mit den Durchführungsin- formationen 9\' verknüpft 15 sind, versorgen. Dabei sind sie grundsätzlich nicht gezwungen, ausschließlich Aktionen auszu¬ lösen und anschließend als Ereignisse zu notieren, die das System den Agenten 2 \' , 3 vorschlägt. Sollte es der Anlagenzu¬ stand erfordern, kann ein Agent 2\', 3 jederzeit unabhängig von den Vorschlägen des Systems LS agieren. Die Aktionen, die er als Ereignisse dem Protokoll 6\' hinzufügt, verändern die beschriebene Situation und ermöglichen es dem System, sobald diese einem der Aktivitäten zugeordneten Situationstypen ent¬ spricht, erneut situationsbezogene Aktionsmöglichkeiten 8\' vorzuschlagen. Außerdem können Operateure 2\' je nach Qualifi¬ kation, Interesse etc. die Tätigkeit unterschiedlich detail¬ liert durchführen, d.h. Aktionen zu Aktivitäten auf verschie¬ denen Detaillierungsniveaus auslösen. Zudem können sie jeder¬ zeit geeignete Automaten 3 mit Routine Aktivitäten wie z.B. Überwachung oder Regelung von Parametern beauftragen. Kompli¬ ziertere Aktivitäten könnten z.B. auch Expertensystemen zuge¬ wiesen werden. Zu beachten ist, daß der Verlauf der gesamten Tätigkeit zur Störfallbehandlung inklusive automatischer, er¬ eignisorientierter und schutzzielorientierter Aktivitäten im

ERSATZBLATT

leittechnischen System beschrieben ist (vgl. Figuren 2 und 3). Die Aktivitäten können flexibel den Agenten 2\', 3 zur Durchführung zugeteilt werden, wobei die Operateure 2 \' durch Automaten 3 von Teilen der Tätigkeit entlastet werden können, vgl. Anspruch 13.

Um über die taktische Sicht der in einer Situation möglichen Aktionen hinaus Operateuren 2 \' der strategische Überblick über die Gesamtsituation vermittelt wird, ist ein geeignetes Darstellungsmittel gefunden worden, das den Verlauf der Tä¬ tigkeit übersichtlich wiedergeben kann. Dies geschieht durch eine grafische Präsentation mittels Aktionsdiagrammen nach Figur 8.

Den Kern der Definition von Aktionsdiagrammen bildet die For¬ mulierung von Aktivitäten und Situationstypen. Aktivitäten werden grafisch als Rechtecke 42, 43 präsentiert. Der einbe- schrieb ne Text erläutert das Ziel der Durchführung der Akti¬ vität und gibt bei Bedarf den Anlagenparameter in Kursiv- schrift an, über den die Aktivität Erkenntnisse gewinnt. Be¬ tritt man das Kästchen über die obere waagrechte Linie, ist das als Beginnen der Aktivität zu deuten. Analog dazu voll¬ endet man die Aktivität, wenn man das Rechteck über die unte¬ re waagrechte Linie verläßt. Verläßt man das Rechteck über eine der senkrechten Linien, setzt ein neuer Handlungsstrang während der Bearbeitung der Aktivität an. Ob dabei die ver¬ lassene Aktivität abgebrochen wird oder unbeeinflußt weiter¬ läuft, muß durch weitere graphische Mittel (s.u.) beschrieben werden. Die hierarchische Detaillierung von Aktivitäten er- folgt einfach dadurch, daß innerhalb eines Aktivitätskäst¬ chens 42, welches ein großes Rechteck für eine Komplexaktivi¬ tät bildet, ein beliebiges Aktionsdiagramm aufgebaut werden kann. In diesem Fall wird die Kurzbeschreibung 51 des Aktivi¬ tätεziels für (42) an den oberen Rand des Kästchens gerückt

ERSATZBLATT

und grau hinterlegt. Eine zweite Möglichkeit besteht darin, mit einem Sternchen 54 auf die Existenz eines neuen bzw. ei¬ genen Aktionsdiagramms zu verweisen. Als graphisches Symbol für Situationstypen wird ein Rechteck 47 mit doppeltem Rand und abgerundeten Ecken genutzt. Situationstypkästchen 47 be¬ schreiben Situationen, die eingetreten sein sollten, will man sie zur Fortsetzung des Tätigkeitsverlaufs passieren. In das Situationstypkästchen wird zur Beschreibung der Situation Text eingesetzt. Im Text auftauchende Anlagenparameter werden kursiv gedruckt. Weitere Formalisierungen des Inhalts eines Situationskästchens gibt es nicht. Die Verbindung von Situa¬ tionen und Aktivitäten zur Formulierung der situationsbeding¬ ten Auslösung oder Beendung von Aktivitäten entsteht aus der graphischen Verbindung beider Symbole 43, 47. Situationstypen für das Beginnen einer Aktivität werden am oberen Ende, Si¬ tuationstypen für das Vollenden am unteren Ende eines Aktivi- tätskästchens 43 integriert.

Das Bestreben, eine Übersicht über die Gestalt des Tätig- keitsverlaufs zu vermitteln, verlangt jedoch mehr als diese Konstrukte. Es müssen Verbindungen zwischen Aktivitäts- und Situationskästchen gezogen werden, um dem Operateur ihre ty¬ pischen Aufeinanderfolge sichtbar zu machen. Erst dadurch be¬ kommt die Tätigkeitsbeschreibung mittels Aktionsdiagrammen ein "Gesicht\' \'. Für die Verbindungen werden Pfeile 53 ge¬ wählt, d.h. Linien mit einem Pfeilkopf an einem Ende. Der Pfeilkopf zeigt die Richtung des Tätigkeitsverlaufs an. Hat man einen Pfeil erst einmal an seiner Basis betreten, kann man ihn ohne weiteres bis zu seinem Kopf verfolgen. Die Basis des Pfeils kann damit sinnvollerweise an Situationskästchen und am unteren oder seitlichen Rand eines Aktionskästchens ansetzen. Pfeilköpfe deuten auf Situationskästchen 47 oder auf den oberen Rand von Aktionεkästchen 43. Da ständig neue Handlungsstränge hinzukommen oder wegfallen können, benötigen

ERSATZBLATT

Aktionsdiagramme auch Symbole, Handlungsstränge 50 sozusagen "aus dem Nichts" zu produzieren und 49 "in das Nichts" zu konsumieren. Hierfür dienen Nichts-Stellen 50 bzw. 49, die durch schwarze Halbkreise symbolisiert werden und an denen ohne weiteres neue Handlungsstränge einsetzen bzw. enden kön¬ nen. Ein schwarzer Halbkreis 50 mit auslaufendem Pfeil bedeu¬ tet, daß man an dieser Stelle jederzeit mit einem neuen Hand¬ lungsstrang einsetzen kann. Ein schwarzer Halbkreis 49 mit einlaufendem Pfeil zeigt, daß man an dieser Stelle angekom- men, die Bearbeitung dieses Handlungsstrangs einstellt. Die dritte Möglichkeit, Nichts-Stellen zu verwenden, bieten die Seiten von Aktivitätskästchen 43. Verläßt man das Kästchen über eine Nichts-Stelle 48 an der Basis eines Pfeils 53, dau¬ ert die Bearbeitung der verlassenen Aktivität fort und ein neuer Handlungsstrang beginnt parallel dazu. Ist dagegen keine Nichts-Stelle vorhanden, muß die Bearbeitung der ver¬ lassenen Aktivität abgebrochen werden.

Zum Umgang mit parallel verlaufenden Handlungssträngen sind weitere Symbole notwendig. Für die Auslösung paralleler Hand¬ lungsstränge benötigt man allerdings kein Symbol: Man läßt einfach beliebig viele Pfeile von der gewünschten Stelle (meist an der Unterkante eines Aktivitäts- oder Situationstypkästchens) ausgehen. Für die Beschreibung der Auslösung alternativer Handlungsstränge von einer Stelle nut¬ zen Aktionsdiagramme eine kleine Raute 44. Ein mit einem Pfeil in die obere Spitze einlaufender Handlungsstrang teilt sich in alternative Stränge, indem von den restlichen Spitzen bzw. bei Bedarf von den unteren Kanten Pfeile auslaufen. Ana- log ist die Konstruktion bei der Zusammenführung von Hand¬ lungssträngen. Die einfache Zusammenführung von Handlungs¬ strängen wird dadurch realisiert, daß die entsprechenden Handlungsstränge einfach in der gewünschten Stelle zusammen¬ laufen (meist an der Oberkante eines Aktivitäts- oder Situa-

ERSATZBLATT

tionstypkästchens) . Trifft ein Handlungsstrang an dieser Stelle ein, kann dort sofort fortgesetzt werden. Die synchro¬ nisierte Zusammenführung von Handlungssträngen erhält ein auf der Spitze stehendes gleichschenkliges Dreieck (nicht dargestellt) . Der aus der unteren Spitze des Dreiecks austre¬ tende Handlungsstrang kann im Sinne einer Und-Bedingung nur betreten werden, wenn alle an der oben liegenden Basis ein¬ tretenden Handlungsstränge eingetroffen sind. Das Symbol für die Formulierung zeitlicher Aspekte des Tätigkeitsverlaufs komplettiert die Definition von Aktionsdiagrammen: ein analo¬ ges Zifferblatt 52. Dieses Symbol erfüllt einen doppelten Zweck. Einmal dient es zur Definition von Zeitpunkten, d.h. wenn man dieses Symbol passiert, ist der dabei genannte Zeit¬ punkt eingetreten. Zum anderen erlaubt es, wenn man es mit Situationstypkästchen assoziiert, Zeitschranken in Handlungs¬ strängen aufzubauen, die man nur zu den genannten Zeiten pas¬ sieren kann. Zur Definition eines Zeitpunkts setzt man an den rechten Rand des Ziffernblatts ein kleines Rechteck 55 mit abgerundeten Ecken an. In das Rechteck 55 schreibt man den Namen des Zeitpunkts. Zur Beschreibung einer Zeitschranke setzt man das Symbol an die Oberkante eines Situationstyp- kästchens 47.

Es kann vorkommen, daß zum Verlassen einer Aktivität ein Si- tuationstyp eine Rolle spielt, der bereits an der Stelle auf¬ gezeichnet ist, an der der Tätigkeitsverlauf danach fortzu¬ setzen wäre. Um Duplizierung zu vermeiden, kann man "Unter¬ Vorbehalt-Symbole" oder Statthalter-Symbole 45 für Situati¬ onstypen an der unteren Kante (bei Vollenden der Aktivität) oder 45a an der rechten Seite (bei Abbrechen der Aktivität) anbringen. Diese Symbole 45, 45a haben die Wirkung, als wenn die Situationstypen, mit denen sie über einen Pfeil verbunden sind, an ihrer Stelle stünden. Die Aktivität kann man nur über ein "Statthalter-Symbol" verlassen, wenn auch der damit

ERSATZBLATT

\'angeknüpfte\' Situationstyp die aktuelle Situation klassifi¬ ziert.

Die Erfindung ist auf das dargestellte Ausführungsbeispiel des Verfahrens und des zugehörigen leittechnischen Systems nach der Erfindung nicht beschränkt, vielmehr ist sie auch mit großem Vorteil anwendbar

- beim Einsatz von einen komplexen industriellen Prozeß simu¬ lierenden digitalen Rechenprogrammen (Simulatoren) und - bei der Ausbildung von Wartenpersonal (auch im Off-line-Be¬ trieb) .

ERSATZBLATT