过程控制系统、工程系统和操作员系统的制作方法

本发明涉及具有工程系统、操作员系统和归档系统的过程控制系统。本发明还涉及用于该过程控制系统的工程系统和操作员系统。

背景技术：

在过程控制技术中，在工程过程期间或者在自动化设备的或过程控制系统的硬件和软件组件的规划范围内，通常按时间顺序连续记录用户动作。这种动作的实例为激活/禁止/配置访问保护、打开或关闭项目或库、将过程对象加载到目标系统(自动化设备、操作员系统等)中、或者用于加载和复制模块的操作。

工程用户动作的这种记录(下文中也称为es记录或es日志)由软件组件的合适的可激活选项启动，其中，例如被激活的选项“激活es日志”使cfc图表(连续功能图表)或cfc模块(连续功能图块)和/或sfc图表(顺序功能图表)或sfc模块(顺序功能图块)的所有加载过程也被记录。通常是上级日志或者主要或系统日志的一部分的这种日志或更改日志能够被导出用于评估和/或被显示在显示单元上。例如，在“加载所有程序”的动作的范畴中，配备有日期标识的es日志被归档作为归档服务器中的文件，并且该es日志随后被从上级日志中删除，其中，在该日志中保存归档动作和被使用的文件名(包括路径)。

此外，例如在“测试模式开启”的动作中记录导致自动化设备的cpu(中央处理器)中的改变(值改变)的所有后续动作。例如，将哪个值如何更改(地址、旧值、新值)记录为一个动作。此外，通常将端口的参数化、“强制”启用/禁用和“强制更改值”、以及流程组的开启/关闭记录在cfc图表中。通常还将常量在一些步骤中的参数化、常量在转换中的参数化、以及常量在链或序列特性中的参数化记录在sfc图表中。

关于用户活动或用户动作的记录(和因此的监视)所阐述的功能通常被总结成术语“审计跟踪”。在此，用于在工程系统中实现功能的机制不同于用于在操作员系统或另外的运行时间系统(runtime-system)中实现功能的机制。工程范畴中的审计跟踪功能与运行时间范畴中的审计跟踪功能是分开的，其中，在工程系统中以及操作员系统中(运行时间中)的记录结果还被彼此分开地归档和评估。这表示：关于工程系统的审计跟踪功能与关于操作员系统(运行时间系统)的审计跟踪功能的关系被忽略或不被考虑，由此不能或者仅能非常不准确地确定工程数据如何以及以哪种时间顺序传输到运行时间中(到操作员系统或自动化设备中)。此外，因此不能确定对不一致的加载(工程数据到自动化设备和/或操作员站中的加载)的正确表示。

技术实现要素：

因此，本发明的目的在于提供一种过程控制系统，利用该过程控制系统为用户(规划者和/或操作员)提供与工程相关的动作或事件和与运行时间相关的动作或事件之间的关系。

该目的由本发明的过程控制系统实现。本发明的过程控制系统具有：

工程系统，该工程系统用于规划过程控制系统的硬件和软件组件；

用于操控和监视技术过程的操作员系统，该操作员系统具有运行时间组件；和

归档系统，该归档系统用于归档工程系统的规划输入并且用于归档操作员系统中的操作员输入，

其中，工程系统配备有用于存储与规划输入对应的工程消息的运行时间组件，其中，工程系统的运行时间组件与操作员系统的运行时间组件在时间上同步，

与操作员输入对应的操作员消息被输入到操作员系统的运行时间组件中，并且

工程系统和操作员系统各自具有访问组件，该访问组件用于将工程系统和操作员系统各自的消息写入归档系统中并且用于读取在归档系统中存储的工程消息和操作员消息。

本发明还提出设计用于该过程控制系统的工程系统和设计用于该过程控制系统的操作员系统。

有利的是实现了改进的审计跟踪。例如，可以为用户提供描述工程范畴中的加载顺序的审计跟踪条目与描述运行范畴中的操作员系统状态的审计跟踪条目之间的关系，工程范畴中的加载顺序例如是首先将相应的工程数据加载到自动化设备中，然后将相应的工程数据加载到操作员系统中，操作员系统状态例如是在加载期间的操控和监视完全正常、或者与操作员系统的通信被短期中断。

通过“集合式”考量、并且必要时通过与运行时间相关的事件和与工程相关的事件的关联、以及必要时根据为相应的过程控制系统和相应的规划项目精确定制的适当集成的关联规则、以及通过将所有事件归档在一个共同的档案中的方式，除了用户活动(谁在什么时间做了什么)的“纯粹”记录之外，还能够确定工程数据如何以及以哪种时间顺序被传输到操作员系统中。在此，尤其考虑操作员系统中的状态(例如在加载期间进行很“正常的”操控和监视)。集成到过程控制系统中的、上级的全面分析可以在运行时间(以便例如及时确定对可能的故意或意外的错误操作的指示)以及在随后的时间点(例如作为对根据历史事件或者操作报告重建的操作流程进行优化的基础)实现。

通过考虑工程数据和运行时间数据之间的关系，例如在工程范畴中尤其可以实现以下相关的“操作报告或消息”：

什么时间哪个设备加载了(在控制模块处的)更改，工程数据与运行时间数据之间的不一致持续多长时间；

工程“上线(go-online)”(“cfc切换上线”)并且在自动化控制设备中在模块处将值改为：“源于工程的操控和监视”；

设备的虚拟化状态；

谁在何时加载了哪个工程版本，尽管该工程版本在另外的数据库中，然而工程版本被引用。

本发明的一个实施例中，工程系统的运行时间组件是工程系统的工程服务器的组成部分，其中，工程系统和操作员系统设计用于将在工程系统的和操作员系统的运行时间组件中存储的消息显示在工程系统和操作员系统各自的客户端上。为此，相应的服务器和相应的客户端具有适当地作用连接的可视化组件，从而可以实现工程消息和操作员消息的图形输出。每个规划者(工程系统的操作者)和每个操作员(操作员系统的操作者)能够看到在全部历史记录中的、工程中和运行时间期间(在操作员系统中)所做的更改。

例如，规划者可以检查是否正在设备处在操作员系统上执行相关操作，以便能够决定何时将更新的工程更改加载到设备中。操作员还可以检查：最新加载了哪些相关的工程更改以及工程更改影响操作员活动的程度。此外，基于在更长时间段内执行的分析的结果，所提到的检查和根据其结果启动的动作可以被广泛自动化地实施，使得相应的用户(工程范畴中的规划者或运行时间范畴中的操作员)最大程度地同意(例如通过点击相应的按钮)是否要执行建议的适当的动作。

本发明的另一个实施例中，工程系统和操作员系统各自具有解释器，解释器用于识别工程系统的运行时间组件的状态和操作员系统的运行时间组件的状态，和/或解释器用于识别当前的规划。例如，为此在相应的系统上提供解释器(工程和操作员消息解释器)形式的软件组件，其中，这些软件组件在规划时和运行时间期间提供“特别审计跟踪”(ad-hocaudittrail)。这种“特别审计跟踪”能够为规划者或操作员提供有关工程中当前规划、或可以帮助其完成工作的运行时间组件的状态的说明。通过在工程系统和操作员系统上获得的和合并到公共存档中的工程消息和操作员消息的关联，能够因此为规划者或操作员导出“有用”的说明。当例如检测到自动化设备的加载状态与操作员系统的加载状态不一致时，这例如因为模块已经被加载到自动化设备中但是与该模块对应的模块尚未被加载到操作员系统中而发生，则通过关联导出的“有用”的说明可以例如是：

在运行时间期间有不一致的加载状态，即新的测量点或新的控制模块“马达模块(motor_xyz)”被加载到自动化设备中，但在操作员系统的过程图像中尚未更新与该模块相对应的操作员数据。

借助用于解释器的能适当规划的关联规则，能够针对规划项目配置待导出的说明和对应于该说明的消息。

附图说明

根据示出本发明的实施例的附图，下面更详细地阐述本发明及其设计方案和优点。

图中以简化形式示出：

图1示出过程控制系统的组成部分，以及

图2和图3示出序列图。

图1至图3中所示的相同部件具有相同的附图标记。

具体实施方式

图1中示出过程控制系统1的组成部分，该过程控制系统在本实施例中包括操作员系统(os)、工程系统(es)、自动化设备4以及归档服务器6。过程控制系统1当然能够具有多个自动化设备，这些自动化设备一方面通过工厂总线5与操作员系统的操作员服务器以及与工程系统的工程服务器3a连接，并且这些自动化设备另一方面通过在此没有示出的另外的总线与在这里同样未示出的分布式外围设备连接。多个现场设备(传感器、执行器)与这些分布式外围设备连接。此外，在本实施例中仅示出了操作员系统和工程系统。当然也可以设置另外的操作员系统和另外的工程系统，其中，通常操作员服务器和操作员客户端形成操作员系统，并且工程服务器和工程客户端形成工程系统。在本实施例中，操作员系统具有操作员服务器2a和操作员客户端2b，并且工程系统具有工程服务器3a和工程客户端3b，其中，操作员服务器2a、工程服务器3a、操作员客户端2b、工程客户端3b和归档服务器6连接到终端总线7。

工程系统设置用于规划过程控制系统1的硬件和软件组件，并且操作员系统设置用于操控和监视技术过程或者待控制的技术设备，其中，操作员服务器2a和工程服务器3a各自具有过程图像8、9形式的运行时间组件。在过程控制的范畴中、也就是在运行时间运行期间，更新这些过程图像8、9。在操作员服务器2a的过程图像8方面，在过程图像8中的过程对象或过程对象实例(poi或poix)10配备有当前的过程输入值和输出值，其中，自动化设备4将这些过程输入值和输出值输送至操作员服务器2a。此外，在运行时间期间，对应于操作员的操作输入的操作员消息被输入到操作员服务器2a的过程图像8的消息对象11中。借助于操作员服务器2a的合适的软件组件12，操作员服务器2a能够以读取和写入方式访问归档服务器6，以便将操作员消息存储在归档服务器6中，和/或读取工程系统的在那里存储的操作员消息(om)和/或工程消息(em或ems)。

工程服务器3a的、与操作员服务器2a的过程图像8在时间上同步的过程图像9同样具有消息对象13，对应于操作或规划输入的工程消息被输入到该消息对象中，其中，在本实施例中借助工程服务器3a的和工程客户端3b的组件14、15示出工程消息的输入。工程服务器3a还配备有合适的软件组件16，该软件组件使工程服务器3a能够以读取和写入的方式访问归档服务器6，以便能够存储工程消息到归档服务器6中，和/或能够读取操作员系统的存储在那里的工程消息和/或操作员消息。

由于操作员的相关操作输入的和规划者的规划输入的这种共同且按时间顺序的正确归档，满足了如下的先决条件，即规划者(工程系统的使用者或操作者)以及操作员(操作员系统的使用者或操作者)能够在全部历史中在运行时间期间看到在两个系统中进行的相关改变。为了以图形方式显示这些相关改变或者工程消息和/或操作员消息，在本实施例中，工程服务器3a为了消息的图形处理而具有可视化组件18，并且工程客户端3b为了与该可视化组件18作用连接而具有另外的可视化组件19。

特别审计跟踪能够为规划者或操作员提供有关工程中当前规划的说明、或有关可以帮助运行时间组件工作的运行时间组件状态的说明，以便能够进一步在规划的范畴中并且在运行时间期间提供该“特别审计跟踪”，该工程服务器3a和操作员服务器2a各自配备有消息解释器20、21，消息解释器用于解释工程消息和操作员消息。借助这些消息解释器20、21，通过被合并在归档服务器6中的工程消息和操作员消息的关联，导出规划者和/或操作员的“有用”的说明。这种“有用”的说明可以例如是：在运行时间期间有不一致的加载状态，新的测量点或过程对象实例(poi)“马达模块(motor_xyz)”被加载到自动化设备4中，但该测量点在操作员系统的过程图像8中尚未被更新。

为了进一步说明而参考图2和图3，其中示出了序列图。

图2示出了操作员服务器2a和工程服务器3a对归档服务器6的读访问和写访问，并且图3示出了操作员服务器的消息解释器21的输出。假设在时间点t0将工程消息22输入到归档服务器6中。例如，该消息可以包括规划数据以及过程对象实例(例如poi1或者poi10)已被改变(例如设置过程对象实例10(sp:10))的信息，这种过程对象实例的形式例如是测量点(pval)、油箱或者阀门、传感器或者执行器。此外，假设这种过程对象实例首先被加载到自动化设备4中，其中，对应于该自动化设备(as1)的工程消息23(em:加载poi1:as1)在时间点t1被输入到归档服务器6中。在时间点t2，操作员服务器2a从归档服务器6读取工程消息23(读取:ems)，其中，操作员服务器2a的消息解释器21识别出自动化设备4的加载状态与操作员系统(例如os1)的加载状态不一致(as1/os1加载不一致)。

当过程对象实例或对应于该过程对象的对象也被加载到操作员系统中，其通过工程消息24给工程系统示出的是该工程消息在时间点t3被存储到归档服务器6中(em:加载poi1:os1)，操作服务器2a的消息解释器21在时间点t4由于读取了工程消息24(读取:ems)而识别出：自动化设备4的加载状态与操作者系统的加载状态彼此一致(解释器：一致)。

通过所描述的措施，实现了全面、可关联和准确的审计跟踪，其基本上集合式地考虑了同样与工程相关和与运行时间(t)相关的事件，并将所有事件保存在共同的档案中。能够有效地确定有关问题和适当的问题解决方案的说明。用于实现包括任何关联规则的精确审计跟踪的措施被集成到无论如何都存在的工程系统和操作员系统中，从而不需要用于实现关联的另外的系统。通过使用用于解释工程和操作员消息的、智能的解释器(审计跟踪em/om解释器)，明显减少了由规划者或操作员的错误决策导致的错误操作或意外故障的风险。另外，关于所有用户活动的检测，利用已描述的措施满足了工业安全标准iec62443的要求，该要求是重要性持续增加的相应认证的必要先决条件。