Processing

Please wait...

Settings

Settings

Goto Application

1. WO2006100196 - METHOD FOR SAFELY OPERATING AN AUTOMATION TECHNOLOGY FIELD DEVICE

Note: Text based on automatic Optical Character Recognition processes. Please use the PDF version for legal matters

[ DE ]

Beschreibung
Verfahren zum sicheren Bedienen eines Feldgerätes der Automatisierungstechnik
[0001] Die Erfindung betrifft ein Verfahren zum sicheren Bedienen eines Feldgerätes der Automatisierungstechnik.
[0002] In der Automatisierungstechnik, Prozessautomatisierungstechnik und Farbikauto- matisierung, werden vielfach Feldgeräte eingesetzt, die zur Erfassung und / oder Beeinflussung von Variablen dienen. Beispiele für derartige Feldgeräte sind Füllstandsmessgeräte, Massendurchflussmessgeräte, Druck- und Temperaturmessgeräte, pH- Redoxpotential- Messgeräte, Leitfähigkeitsmessgeräte etc. für die Prozessautomatisierungstechnik, die als Sensoren die entsprechenden Prozessvariablen Füllstand,
Durchfluss, Druck, Temperatur, pH- Wert bzw. Leitfähigkeitswert erfassen.
[0003] In der Fabrikautomatisierung werden hingegen Frequenzregelgeräte, Motorstarter, Servomotoren sowie Sicherheitssysteme zum Schutz von Mensch und/oder Maschine eingesetzt.
[0004] Neben reinen Messgeräten sind auch Systeme bekannt, die noch zusätzliche weitere Aufgaben erfüllen. Zu nennen sind hier Elektrodenreinigungssysteme, Kalibriersysteme sowie Probennehmer, für die Prozessindustrie.
[0005] Zur Beeinflussung von Variablen in einer Fabrikautomatisierungsanwendung
können Motoren dienen, die über ein Frequenzregelgerät in ihrer Geschwindigkeit steuerbar sind.
[0006]
[0007] Zur Beeinflussung von Variablen in einer Prozessanwendung dienen Aktoren, z. B. Ventile, die den Durchfluss einer Flüssigkeit in einem Rohrleitungsabschnitt steuern oder Pumpen, die es erlauben den Füllstand in einem Behälter zu verändern.
[0008] Eine Vielzahl solcher Feldgeräte wird von der Firma Endress + Hauser® hergestellt und vertrieben.
[0009] Häufig sind Feldgeräte über einen Feldbus (Profibus®, Foundation®-Fieldbus,
HART® etc.) mit übergeordneten Einheiten z. B. Leitsystemen bzw. Steuereinheiten verbunden. Diese übergeordneten Einheiten dienen zur Prozesssteuerung, Prozessvisualisierung, Prozessüberwachung oder dem prozessnahem Asset-Management.
[0010] Zur Bedienung der Feldgeräte sind entsprechende Bedienprogramme (Bedientools) notwendig. Diese Bedienprogramme können eigenständig ablaufen (Endress+Hauser FieldCare, Pactware, AMS, PDM) oder aber auch in Leitsystem- Anwendungen
(Siemens Step7, ABB Symphony, PCS7, PRN Viewer, AMSinside) integriert sein.
[0011] Eine Bedienung von Feldgeräten ist mit herkömmlichen vielfach in der Prozessau- tomatisierungstechnik verwendeten Gerätebeschreibungen (Device Descriptions DDs oder Electronic Device Descriptions EDs) möglich.
[0012] Für eine umfänglichere Bedienung der Feldgeräte inklusive alle Funktionen einschließlich graphischer Bedienelemente und hinterlegten Berechnungen, wie z. B. eine Linearisierungstabelle für die Beziehung zwischen Füllstand und dem Volumen eines
Tanks, müssen diese Funktionen dem Bedienprogramm (Bedientool) bekannt gemacht werden.
[0013] Dies ist über spezielle ausführbare Gerätebeschreibungsdateien über z. B. Gerätetreiber DTM (Device Type Manager), die den FDT (Field Device
Tool)-Spezifikationen entsprechen, möglich.
[0014] Die als Industriestandard geltenden FDT- Spezifikationen wurden von der PNO
Profibus® Nutzerorganisation in Zusammenarbeit mit dem ZVEI (Zentralverband
Elektrotechnik- und Elektronikindustrie) entwickelt. Die aktuelle FDT-Spezifikation
1.2 inklusive dem Addendum für die Kommunikation FOUNDATION Fieldbus ist über den ZVEI bzw. die PNO bzw. die FDT-JIG Joint Interest Group erhältlich. Mit der Unterstützung weiterer Kommunikaitons arten ist in den nächsten Jahren zu rechen, hierzu werden Interbus S, DeviceNet der ODVA und AS Interface gehören. Des
Weiteren sind hier Kommunikationsprotokolle wie SERCOS und eine Vielzahl firmenspezifische Protokolle vorstellbar.
[0015] Viele Gerätehersteller liefern daher für die beide Arten der Gerätebeschreibung
Files an. Die komfortablere Art der Bedienung ist die zu den Feldgeräten gehörende und als DTMs (Device Type Manager) bezeichnete Gerätetreiber, die alle Daten und
Funktionen des jeweiligen Feldgeräts kapseln und gleichzeitig eine graphische Benutzeroberfläche zur Verfügung stellen.
[0016] Mit Hilfe dieser Gerätetreiber ist eine gerate- und herstellerübergreifende
Bedienung von Feldgeräten mit entsprechenden Bedienprogrammen möglich.
[0017] Die DTM Gerätetreiber benötigen als Laufzeitumgebung eine Rahmen-Applikation (FDT-Frame- Application). Sie ermöglichen u. a. einen Zugriff auf verschiedene Daten der Feldgeräte (z.B. Geräteparameter, Messwerte, Diagnoseinformationen, Statusinformationen etc.) sowie den Aufruf von speziellen Funktionen, die einzelne Gerätetreiber zur Verfügung stellen.
[0018] Rahmen- Applikation und Gerätetreiber DTM arbeiten nach dem Client-Server
Prinzip.
[0019] DDs oder EDDs benötigen hingegen einen Interpreter, da diese von sich aus nicht eigenständig lauffähige Softwarekomponenten sind.
[0020] Häufig sind Feldgeräte insbesondere in chemischen Anlagen der Prozessindustrie oder bei Robotergesteuerten Anlagen in sicherheitskritische Abläufe integriert.
Änderungen an den Einstellungen einzelner Feldgeräte können erhebliche Aus- Wirkungen auf die Sicherheit haben. Die verantwortlichen Anlagenbetreiber müssen deshalb sicherstellen, dass nur geschultes Personal Einstellungen an einem Feldgerät vornehmen kann. Prinzipiell gibt es zwei Möglichkeiten, Änderungen der Einstellungen an einem Feldgerät durch gezielten Parameterzugriff durchzuführen.
[0021] Eine erste Möglichkeit besteht darin, dass die Bedienperson das Feldgerät aufsucht und über eine Tastatur Parameter direkt am Feldgerät eingibt.
[0022] Eine weitere Möglichkeit bietet der Fernzugriff über ein Bussystem. Hierfür wird eine Bedieneinheit mit einem entsprechenden Bedientool benötigt. Diese Bedientools können wiederum auf fest installierten Rechnern, in einer Leitwarte oder auch auf einem tragbaren Rechner ( z. B. Laptop) ablaufen. Diese Rechner kommunizieren über ein Protokoll mit dem Feldgerät und über Eingaben an der Bedieneinheit, werden die entsprechenden Parameter im Feldgerät geändert.
[0023] Folgende Zugriffsbeschränkungen (Sicherheitsabfragen) sind für diese beiden Möglichkeiten bekannt. Abfrage eines Sicherheitscodes am Feldgerät direkt bzw. Abfrage eines Sicherheitscodes an der Bedieneinheit.
[0024] Die Abfrage eines Sicherheitscodes an der Bedieneinheit kann auf unterschiedlichen Ebenen erfolgen. Zum einen auf der Systemebene, d. h. bereits beim
Einloggen an der Bedieneinheit erfolgt die Abfrage; zum anderen auf der Programmebene, d. h. wenn das entsprechende Bedienprogramm gestartet wird.
[0025] Auf der Systemebene ist die Vergabe von verschiedenen Sicherheitscodes entsprechend Administrator-Rechten bzw. einfachen User-Rechten möglich. Hierdurch kann das Starten des Systems verhindert werden.
[0026] Eine derartige Differenzierung ist auch auf der Programmebene möglich. Nur
bestimmte Benutzer können dann das entsprechende Programm, das Bedienprogramm, starten. Nach dem Starten des Bedienprogramms kann normalerweise der Anwender auf alle Parameter eines Feldgerätes zugreifen und damit diese auch ändern. Allgemein wird die Vergabe von Zugriffsrechten bei Rechnersysteme in so genannten Benutzerrollen verwaltet.
[0027] Häufig sind die Parameter an einem Feldgerät nicht alle gleichmäßig kritisch. Es gibt Abstufungen zwischen unterschiedlichen Kategorien von Parametern. H och- kritische Parameter dürfen jedoch nur von entsprechend geschultem Personal geändert werden. Weniger kritische Parameter können auch vom normalen Bedienpersonal eingestellt werden. Folgendes Beispiel soll dies erläutern.
[0028] Besitzt ein MSR-Techniker eine Schulung auf Bussystem Profibus und für spezielle Druckmessgeräte, so sollte diese Person keinen Zugriff auf Druckgeräte eines anderen Bussystems (z. B. Foundation Fieldbus) bzw. auf andere Gerätetypen haben.
[0029] Mit den bisher gekannten Schutzmechanismen ist ein differenzierter Zugriffschutz für Feldgeräte der Prozessautomatisierungstechnik nicht möglich. Für eine größere Anlage bedeutet dies einen erheblichen Sicherheitsaufwand, was natürlich die Audi- tierbarkeit erschwert. Bei einer Auditierung erfolgt eine Überprüfung, ob die SOPs
(service operating procedures) eingehalten werden.
[0030] Aufgabe der Erfindung ist es deshalb, ein Verfahren zum Bedienen eines
Feldgerätes der Automatisierungstechnik anzugeben, das die oben genannten Nachteile nicht aufweist, das insbesondere einen sicheren und einfachen Zugriff auf einzelne
Feldgeräte ermöglicht.
[0031] Gelöst wird diese Aufgabe durch das im Anspruch 1 angegebene Verfahren. Vorteilhafte Weiterentwicklungen der Erfindung sind in den Unteransprüchen angegeben.

[0032] Die wesentliche Idee der Erfindung besteht darin, dass einer Gerätetreiberdatei für ein Feldgerät, die die Funktionalität des Feldgerätes beschreibt, zusätzlich eine Sicherheitsabfrage zugeordnet ist, die den personenspezifischen Zugriff auf ein Feldgerät bzw. auf einzelne Parameter oder Funktionalitäten des Feldgerätes regelt.
[0033] In einer Weiterentwicklung der Erfindung kann die Benutzerrolle vom Bedienprogramm an die Gerätetreiberdatei vererbt werden. Damit können Zugriffrechte einfach weitergegeben werden.
[0034] In einer speziellen Ausgestaltung der Erfindung ist die Benutzerrolle in der Gerätetreiberdatei gespeichert. Dadurch ist eine einfache Zuordnung Benutzerrolle und Gerätetreiberdatei möglich.
[0035] Bei der Gerätetreiberdatei kann es sich zum Beispiel um einen DTM oder DD/EDD handeln.
[0036] Mit Hilfe des erfindungsgemäßen Verfahrens ist auch eine einfache und sichere
Offline-Bedienung von Feldgeräten möglich. Parameteränderungen auch bei der
Offline-Bedienung von Feldgeräten sind nur mit einer entsprechenden Berechtigung möglich.
[0037] Nachfolgend ist die Erfindung anhand eines in der Zeichnung dargestellten Ausführungsbeispiels näher erläutert.
[0038] Es zeigen:
[0039] Fig. 1 schematische Darstellung eines Netzwerks der
[0040] Prozessautomatisierungstechnik mit mehreren
[0041] Feldgeräten;
[0042] Fig. 2 schematische Darstellung einer herkömmlichen Kommunikationsverbindung zwischen einem Bedienprogramm und mehreren Feldgeräten;
[0043] Fig. 3 Flussdiagramm für das erfindungsgemäße Verfahren.
[0044] In Fig. 1 ist ein Kommunikationsnetzwerk der Prozessautomatisierungstechnik
näher dargestellt. An einen Datenbus Dl sind mehrere Rechnereinheiten
(Workstations) WSl, WS2 angeschlossen. Diese Rechnereinheiten können als übergeordnete Einheiten (Leitsystem bzw. Steuereinheit) zur Prozessvisualisierung, Pro- zessüberwachung und zum Engineering aber auch zum Bedienen und Überwachen von Feldgeräten dienen. Der Datenbus Dl arbeitet z. B. nach dem Profibus® DP-Standard oder nach dem HSE (High Speed Ethernet)- Standard der Foundation® Fieldbus. Über ein Gateway Gl, das auch als Linking Device oder als Segmentkoppler bezeichnet wird, ist der Datenbus Dl mit einem Feldbussegment SMl verbunden. Das Feldbussegment SMl besteht aus mehreren Feldgeräten Fl, F2, F3, F4 die über einen
Feldbus FB miteinander verbunden sind. Bei den Feldgeräten Fl, F2, F3, F4 können es sich sowohl um Sensoren oder um Aktoren handeln. Der Feldbus FB arbeitet entsprechend nach einem der bekannten Feldbus-Standards Profibus, Foundation Fieldbus oder HART. Mit dem Feldbus FB ist temporär eine tragbare Rechnereinheit BE
verbunden.
[0045] In Fig. 2 ist ein Bedienprogramm, das auf einer der Steuereinheiten WSl, WS2 bzw. auf der Bedieneinheit BE ablaufen kann, schematisch dargestellt. Bei dem Bedienprogramm kann es sich z. B. um die Bediensoftware PACTware (P ACT wäre
Consortium e.V.) oder FieldCare® (Firma Endress + Hauser®) handeln, die beide als Betriebssystem Microsoft Windows®, 98NT, 2000 benötigen und die als FDT- Frame- Applikation dienen. Die Rahmen- Applikation FDT-Frame ist insbesondere verantwortlich für die Verwaltung der Gerätetreiber DTM in einer Projektdatenbank
(projekt database) für die Kommunikation zu den Bussystemen und für die Verwaltung des Gerätekatalogs.
[0046] In die Rahmen- Applikation FDT-Frame sind Gerätetreiber z. B. für die Feldgeräte implementiert. Der Übersichtlichkeit halber sind nur zwei Geräte-DTMs DTM-Fl und DTM-F2 sowie ein Kommunikations-DTM CommDTM dargestellt. Beispielsweise kapselt der Geräte-DTM DTM-Fl die Daten und Funktionen des Feldgerätes Fl. Als
Laufzeitumgebung benötigt er die FDT-Frame- Applikation.
[0047] Mit Hilfe der Gerätetreiber DTMs ist eine gerate- und herstellerübergreifende
Bedienung der Feldgeräte sowie der Aufbau einer Kommunikationsverbindung
zwischen der Rechnereinheit WSl und den Feldgeräten Fl, F2, F3, F4 möglich. So erlaubt der Gerätetreiber DTM-Fl Zugriff auf verschiedene Informationen im
Feldgerät Fl wie Geräteparameter, Gerätekonfiguration, Abruf von Diagnosedaten und Statusinformationen über eine herstellerspezifische graphische Benutzeroberfläche.
[0048] Das FDT-Konzept basiert darauf, dass in eine FDT-Frame- Applikation unterschiedliche Feldgeräte von unterschiedlichen Herstellern über die entsprechenden
Geräte-DTMs in einfacher Weise gebunden werden können.
[0049] Hardwaremäßig erfolgt die Verbindung über eine Bus anschaltung BA, den
Datenbus Dl, das Gateway Gl, den Feldbus FB zum Feldgerät Fl.
[0050] Im Gerätetreiber DTM-Fl sind erfindungsgemäß eine Sicherheitsabfrage SAl und eine Benutzerrolle BRl abgespeichert. Ebenso sind im Gerätetreiber DTM-F2 eine Si- cherheits abfrage SA2 und eine Benutzerrolle BR2 gespeichert. Unter einer Benutzerrolle wird ein Verzeichnis von Personen und deren jeweiligen Berechtigungen
(Nutzerrechte) verstanden.
[0051] Nachfolgend ist das erfindungsgemäße Verfahren anhand des in der Fig. 3 dargestellten Flussdiagramms näher erläutert. Zur Bedienung des Feldgerätes Fl, das über einen Feldbus FB mit einer Bedieneinheit BSl verbunden ist, ruft der Anwender an der Bedieneinheit BSl zuerst ein herstellerübergreifendes Bedienprogramm für Feldgeräte, z.Bsp. das Programm „FieldCare" von der Firma Endress+Hauser, auf. Auf der Bildschirmeinheit der Bedieneinheit BSl wird eine Liste der an den Feldbus angeschlossenen Feldgeräte angezeigt.
[0052] Durch „Anklicken" eines der angezeigten Feldgeräte erfolgt die Auswahl des entsprechenden Gerätes, hier das Feldgerät Fl. Die zugehörige Gerätetreiberdatei DTM- Fl wird aufgerufen, d.h. geladen bzw. auf die Datei wird zugegriffen. Nach dem
Aufruf wird ein Sicherheitsprogramm mit einer Sicherheitsabfrage SAl gestartet. Die Sicherheitsabfrage SAl umfasst folgende Einzelschritte: Abfrage einer Benutzerkennung BK, Eingabe der Benutzerkennung BK. Vergleichen der eingegebene
Kennung BK mit den Einträgen einer Benutzerrolle BRl. Entsprechend der Benutzerkennung BK werden die der Benutzerkennung BK zugeordneten Gerätefunktionalitäten freigeschaltet. Somit kann sichergestellt werden, dass nur Personen mit einer bestimmten Benutzerkennung, z. B. entsprechend geschultes Personal, Zugriff auf
Parameter bzw. auf Funktionalitäten eines Feldgerätes haben.
[0053] Mit der entsprechenden Benutzerkennung kann der Anwender Parameteränderungen und Einstellungen vornehmen. So kann er z. B. Grenzwerte, bei denen ein Alarm erzeugt wird, verändern.
[0054] Wichtig hierbei ist, dass kein Kommunikationskanal zum Feldgerät geöffnet, bevor nicht die richtige Kennung BK eingegeben wurde.
[0055] Unberechtigte Zugriffe auf Daten in Feldgeräten können so besser unterbunden werden.
[0056] Das Verfahren eignet sich neben der Online Bedienung von Feldgeräten, bei der eine direkte Kommunikationsverbindung zwischen Bedieneinheit und Feldgerät
besteht, besonders auch zur sicheren Offline-Bedienung von Feldgeräten, wo keine direkte Kommunikationsverbindung zu einem Feldgerät hergestellt werden kann. Auch Offline Parameteränderungen können nur von einer entsprechend berechtigten Person durchgeführt werden.
[0057] Die Norm IEC61508 SIL (Safty Integrity Level) wurde speziell für sicherheitskritische Anwendungen in der Industrieautomatisierung entwickelt. Durch diese Sicherheitsnorm soll das Risiko in Industrieanlagen, die eine Gefahr für Mensch und
Umwelt darstellen, minimiert werden.

[0058] So kann gezielt bei SIL-Anwendung sichergestellt werden, dass eine Person A mit einer Benutzerkennung BKA, die keine SIL-Schulung hat, auf SIL-relevante Parameter im Feldgerät keinen Zugriff hat. Eine Person B mit einer Benutzerkennung BKB und einer entsprechenden SIL-Schulung kann dagegen die SIL-relevanten Parameter
ändern.
[0059] Die Erfindung ist nicht auf Feldgeräte beschränkt, die über eine Gerätetreiberdatei
DTM bedienbar sind. Sie ist im Prinzip für alle bekannten Gerätebeschreibungen wie
EDDL möglich. Zwar sind DDs/EDDs wie schon beschrieben keine eigene
selbständige Programme und somit auch nicht direkt in der Lage einen Zugriffsmechanismus zu verwenden oder zu besitzen. Jedoch ist es möglich aus einer DD / EDD heraus, Programme zu starten, die diese Möglichkeiten besitzen und in gleicher Form agieren können, wie oben beschrieben. Dieser Aufruf anderer Programme könnte mit
Hilfe von so genannten OCX oder AcitveX Befehlen geschehen.
[0060] Der konkrete Ablauf ist somit für eine DD/EDD - Anwendung gleich der Lösung mit einem DTM. Der einzige Unterschied liegt in der Tatsache, dass die DD/EDD ein separates Sicherheitsprogramm aufruft und dass das separate Sicherheitsprogramm
speziell für das Bedientool, das auf DDs bzw. EDD basiert, angepasst werden muss.
[0061] In beiden Fällen ist es nun möglich, gemäß der verwendeten Sicherheitsrichtlinien eines Unternehmens zu verfahren, wenn die Zugriffsrechte nicht vorliegen. Dieses kann bis zur Sperrung einer Berechtigung, bei mehrfacher Falscheingabe der Benutzerkennung gehen.
[0062] Ein weiterer Vorteil den das Verfahren bietet ist die Möglichkeit der Vererbung von Benutzerrolle von höheren Ebenen. Damit können Zugriffsrechte in einfacher Weise übertragen werden. So können Benutzerrollen vom Bedienprogramm an die Gerätebeschreibungsdatei bzw. an mehrer Gerätebeschreibungsdateien vererbt werde. Die Benutzerrolle kann in der Gerätebeschreibungsdatei bzw. in einer separaten Datei gespeichert werde.
[0063] Bei der Sicherheitsabfrage kann es sich auch um eine kombinierte Abfrage Benutzername Benutzerkennung handeln.
[0064] Die vorliegende Erfindung ermöglicht es in einfacher Weise den Zugriff auf Gerätefunktionalitäten einzelner Feldgeräte nur für bestimmte Personen bzw. Personengruppen vorzusehen. Zugriffsrechte können feldgerätespezifisch bis auf einzelne
Parameter bzw. auf einzelne Gerätefunktionalitäten individuell vergeben werden. Als mögliche Beispiele seinen hier die unterschiedlichen Parametersätze in Feldgeräten genannt, z.B. Diagnoseparameter, Serviceparameter oder Alarmgrenzen.
[0065] So kann z. B. ein Systemverantwortlicher aufgrund seiner Benutzerkennung nur die Alarmparameter in Feldgeräten verändern, die für die Systemsteuerung notwendig
sind, aber nicht die Parameter, die einen direkten Einfluss auf die Mess - oder Steue- rungsanwendung haben.
Dadurch wird die Betriebssicherheit in einer Anlage erheblich erhöht werden. Änderungen von sicherheitskritischen Parametern in Feldgeräten können nur von Personen, die die entsprechende Berechtigung besitzen, vorgenommen werden.