PatentDe  


Dokumentenidentifikation DE60308200T2 02.08.2007
EP-Veröffentlichungsnummer 0001540435
Titel ALARMWIEDERHERSTELLUNGSVERFAHREN UND SYSTEM
Anmelder Honeywell International Inc., Morristown, N.J., US
Erfinder CHERNOGUZOV, Alexander, Warrington, PA 18976, US;
HODSON, R., William, Telford, PA 18969, US
Vertreter derzeit kein Vertreter bestellt
DE-Aktenzeichen 60308200
Vertragsstaaten AT, BE, BG, CH, CY, CZ, DE, DK, EE, ES, FI, FR, GB, GR, HU, IE, IT, LI, LU, MC, NL, PT, RO, SE, SI, SK, TR
Sprache des Dokument EN
EP-Anmeldetag 11.07.2003
EP-Aktenzeichen 037645207
WO-Anmeldetag 11.07.2003
PCT-Aktenzeichen PCT/US03/21747
WO-Veröffentlichungsnummer 2004008264
WO-Veröffentlichungsdatum 22.01.2004
EP-Offenlegungsdatum 15.06.2005
EP date of grant 06.09.2006
Veröffentlichungstag im Patentblatt 02.08.2007
IPC-Hauptklasse G05B 23/02(2006.01)A, F, I, 20051017, B, H, EP

Beschreibung[de]
TECHNISCHES GEBIET

Die vorliegende Erfindung betrifft ein Verfahren und ein System zum Neusynchronisieren einer Liste von Alarmzuständen einer Einrichtung, die einen Prozeß oder ein System gänzlich oder teilweise überwacht oder steuert.

ALLGEMEINER STAND DER TECHNIK

Ein Alarmzustand ist eine Warnung eines Benutzers über ein Ereignis. Benachrichtigungen werden verwendet, um dem Benutzer anzuzeigen, daß sich ein Alarmzustand geändert hat, z.B. von einem inaktiven zu einem aktiven Zustand oder von einem aktiven zu einem inaktiven Zustand (wobei letzteres auch als Rückkehr zu normal bezeichnet wird) und ihn darüber zu warnen. Eine übliche Art von verwendetem Alarm, z.B. durch ein Prozeßsteuersystem vor einer unerwünschten Situation basiert auf der Prüfung einer Prozeßmessung, die auch als Prozeßvariable bekannt ist. Analoge Prozeßvariablen, wie z.B. Temperaturen, Drücke, Strömungen, Pegel und dergleichen werden häufig im Vergleich zu Obergrenzen und Untergrenzen geprüft. Wenn ein Prozeßvariablenwert größer als eine Obergrenze wird, wird ein Hoch-Alarm aktiv und es wird eine Benachrichtigung erzeugt. Ähnlich wird, wenn ein Prozeßvariablenwert kleiner als eine Untergrenze wird, ein Niedrig-Alarm aktiv und es wird ähnlich eine Benachrichtigung erzeugt.

Es ist üblich, daß man zwei Ebenen des Alarms hat, die sich ähnlich verhalten, wobei z.B. eine Hoch-Hoch-Grenze und eine Niedrig-Niedrig-Grenze verwendet wird. Eine andere Art von Alarm ist mit einer Abweichung von einem aktuellen Sollbetriebspunkt assoziiert, der häufiger als Sollwert bezeichnet wird. Wenn die Prozeßvariable um mehr als die spezifizierte Abweichungsobergrenze oder Abweichungsuntergrenze von einem Sollwert abweicht, wird je nach Fall ein Abweichungs-Hoch- oder Abweichungs-Niedrig-Alarm aktiv.

Bei diskreten Prozeßvariablen, wie z.B. einem Obergrenzensensor oder einem Übertemperatursensor, gibt die Vorrichtung selbst einen von zwei Zuständen an, wie z.B. „Ein" oder „Aus", „Ja" oder „Nein", „Normal" oder „Abnorm", „Wahr" oder „Falsch" usw.

Das Auftreten eines unerwünschten Zustands kann zum Aktivsetzen eines assoziierten Alarms verwendet werden. Die Grenzen, die man zum Prüfen eines unerwünschten Zustands verwendet, sind Alarmgrenzen oder Alarmbedingungsgrenzen. Alarmbedingungen sind z.B. Hoch, Hoch-Hoch, Niedrig, Niedrig-Niedrig, Abweichung-Hoch, Abweichung-Niedrig und Diskret. Alarmbedingungszustände oder Alarmzustände werden entweder als aktiv oder inaktiv bezeichnet.

Zusätzlich kommt es vor, daß erwartet wird, daß eine Prozeßvariable eine Alarmgrenze überschreitet, so daß ein Alarmbedingungszustand und eine Alarmbenachrichtigung nicht erwünscht sind. Ein Beispiel läge vor, wenn Geräte heruntergefahren werden sollen. Ein Alarmbedingungssperrzustand oder einfach ein Alarmsperrzustand gibt an, daß ein Alarmzustand für die assoziierte Alarmbedingung gesperrt und inaktiv gemacht werden soll. Gewöhnlich werden Rückkehr-zu-normal-Benachrichtigungen ausgegeben, wenn eine aktive Alarmbedingung gesperrt wird.

Das US-Patent Nr. 6,138,049 beschreibt ein Benachrichtigungssystem zur Handhabung der Erzeugung und Verteilung von Benachrichtigungen bezüglich des Auftretens von Ereignissen. Gemäß dem Patent ist eine Benachrichtigung eine Anzeige einer bestimmten abnormen oder außergewöhnlichen Situation in bezug auf einen gesteuerten Prozeß, seine Messung und Steuergeräte. Z.B. können Benachrichtigungen Alarme, Systemereignisse, Bedienernachrichten und dergleichen umfassen. Das Benachrichtigungssystem umfaßt eine Beaufsichtigungssteuerung und mehrere Prozeßsteuerungen.

Die Beaufsichtigungssteuerung ist direkt oder indirekt mit jeder der Prozeßsteuerungen assoziiert, um den Austausch von Informationen zu erlauben. Die Beaufsichtigungssteuerung überwacht Kenngrößen (z.B. Status, Temperatur, Druck, Strömungsgeschwindigkeiten, Strom, Spannung, Leistung, Auslastung, Wirkungsgrad, Kosten und andere ökonomische Faktoren usw.) des Prozesses entweder direkt oder indirekt durch die Prozeßsteuerungen. Abhängig von der spezifischen Implementierung kann eine solche Überwachung für einen einzelnen Prozeß, eine Gruppe von Prozessen oder die gesamte Anlage erfolgen.

Die Integrität der Daten bezüglich der oben erwähnten Prozeßkenngrößen kann sich durch das Auftreten verschiedener Betriebsereignisse verschlechtern, wie z.B. Herauffahren der Beaufsichtigungssteuerung, Failover der Beaufsichtigungssteuerung, Herauffahren der Prozeßsteuerung, Failover der Prozeßsteuerung, Kommunikationsausfall des Steuernetzwerks und Wiederherstellung und Hinzufügung (über Konfiguration) einer neuen Prozeßsteuerung. Es wird ein Benachrichtigungswiederherstellungssystem vorgesehen, um die Integrität der Daten wiederherzustellen, nachdem das System den Normalbetrieb aufnimmt.

Das Benachrichtigungssystem umfaßt eine Wiederherstellungsprozedur zum Wiederherstellen der Datenintegrität, wenn nach dem Auftreten beliebiger der oben erwähnten Ereignisse der Normalbetrieb wieder aufgenommen wird. Die Beaufsichtigungssteuerung gibt einen Wiederherstellungsbefehl an die Prozeßsteuerung aus, die mit den Einrichtungen assoziiert ist, die die betroffenen Daten bereitstellten. Die Prozeßsteuerung führt dann ein Wiederherstellungsprogramm aus, das die aktuellen Werte der Alarmzustände ihrer assoziierten Einrichtungen der Beaufsichtigungssteuerung zuführt.

Das Benachrichtigungssystem des Patents funktioniert sehr gut, wenn die Einrichtungen und Prozeßsteuerungen miteinander kompatibel sind, d.h. die Einrichtungen und Prozeßsteuerungen native Einrichtungen und native Prozeßsteuerungen sind. Die in dem Patent beschriebene Wiederherstellungsprozedur behandelt jedoch nicht die Situation eines Steuersystems, das auch eine nichtnative Einrichtung aufweist, d.h. eine Einrichtung, die nicht mit den nativen Einrichtungen und der nativen Prozeßsteuerung kompatibel ist.

Es besteht eine Unzulänglichkeit bei bestimmten nichtnativen Einrichtungen, wie zum Beispiel den Einrichtungen, die den Spezifikationen des Foundation Fieldbus ISA-550.01-1992 entsprechen. Die Reaktion auf das Lesen der aktuellen Alarmbedingungszustände aus einer beliebigen Einrichtung wird mit einer niedrigeren Priorität als die Erzeugung von Benachrichtigungen über ablaufende Änderungen an selbigen Alarmbedingungszuständen durchgeführt (d.h. die Benachrichtigung über eine neue Aktiv-Alarm-Bedingung oder Benachrichtigung über eine Rückkehr zu normal einer zuvor bestehenden aktiven Alarmbedingung). Daher können die Ergebnisse des Ablesens aktueller Alarmbedingungszustände aufgrund des Fehlens einer garantierten Sequenzierung der betreffenden Kommunikationsnachrichten inkorrekt sein.

Genauer gesagt kann nach dem Anfordern des Lesens eines inaktiven Alarmbedingungszustands von einer Einrichtung, um aktuelle Alarmzustände zu bestimmen, die Antwort in einem Kommunikationsausgangspuffer in der Einrichtung abgelegt werden. Bevor er über das Netzwerk übermittelt wird, kann der Alarm jedoch aktiv werden (zu dem Aktiv-Zustand wechseln), wodurch bewirkt wird, daß eine aktive Alarmbenachrichtigungsnachricht in den Benachrichtigungsausgangspuffer derselben Einrichtung, der von dem Leseantwortausgangspuffer verschieden ist, abgelegt wird. Da Benachrichtigungen ausdrücklich der Zugang zu dem Netzwerk mit einer höheren Priorität als Antworten auf das Lesen der Alarmbedingungszustände erlaubt wird, kann die aktive Alarmbenachrichtigung zuerst durch einen Benachrichtigungsmanager empfangen werden, obwohl sie später in seinem Ausgangspuffer abgelegt wurde. Die Antwort auf das Lesen der Alarmbedingungszustände kann dann empfangen werden, wodurch angezeigt wird, daß die Alarmbedingung inaktiv ist. Der Benachrichtigungsmanager kann dann falsch schließen, daß die Alarmbedingung inaktiv ist, wenn sie tatsächlich gerade aktiv geworden ist.

Symmetrisch kann nach dem Anfordern des Lesens eines aktiven Alarmbedingungszustands von einer Einrichtung, um aktuelle Alarmzustände zu bestimmen, die Antwort in einem Kommunikationsausgangspuffer in der Einrichtung abgelegt werden. Bevor er über das Netzwerk übermittelt wird, kann der Alarm jedoch zu normal zurückkehren (zu dem inaktiven Zustand wechseln), wodurch bewirkt wird, daß eine Rückkehr-zu-normal-Benachrichtigungsnachricht in den Benachrichtigungsausgangspuffer derselben Einrichtung, der von dem Leseantwortausgangspuffer getrennt ist, abgelegt wird. Da Benachrichtigungen spezifisch der Zugang zu dem Netzwerk mit einer höheren Priorität als Antworten auf das Lesen der Alarmbedingungszustände gestattet wird, kann die Rückkehr-zu-normal-Benachrichtigung durch einen Benachrichtigungsmanager zuerst empfangen werden, obwohl sie später in seinen Ausgangspuffer abgelegt wird. Dann kann die Antwort auf das Lesen der Alarmbedingungszustände empfangen werden, wodurch angezeigt wird, daß die Alarmbedingung aktiv ist. Der Benachrichtigungsmanager kann dann falsch schließen, daß die Alarmbedingung aktiv ist, wenn sie tatsächlich gerade inaktiv geworden ist.

Es wird ein Mechanismus benötigt, um die aktuellen Alarmbedingungszustände aus solchen nichtnativen Einrichtungen zuverlässig zu bestimmen, so daß zum Beispiel garantiert wird, daß ein Benachrichtigungsmanager nach einem Kommunikationsverlust und Wiederherstellung oder nach einer Wiederherstellung nach einer signifikanten Störung des Zustands eines beteiligten Datenverarbeitungselements, die zu einer Verarbeitungsdiskontinuität geführt haben kann, so daß eine Änderung eines oder mehrerer Alarmbedingungszustände möglicherweise verloren wurde, seine Alarmdatenbank mit der der Einrichtungen neu zu synchronisieren.

Somit wird eine Wiederherstellungsprozedur benötigt, die sowohl native als auch nichtnative Einrichtungen und Steuerungen handhaben kann.

KURZFASSUNG DER ERFINDUNG

Das Verfahren der vorliegenden Erfindung synchronisiert Alarmbedingungszustände, die von einer Einrichtung erzeugt werden, die einen Prozeß oder ein System überwacht und/oder steuert. Insbesondere synchronisiert das Verfahren die Benachrichtigungsnachrichten, nachdem ein Verlust der Kommunikation mit der Einrichtung aufgetreten ist und nachdem die Kommunikation mit der Einrichtung wiederhergestellt wird, darunter, aber ohne Einschränkung, Verluste, die aufgrund von Kommunikationsausfällen und Verarbeitungsdiskontinuitäten verursacht werden, die sich aus Ausfällen, Neustarts, Zurücksetzungen usw. von Datenverarbeitungselementen ergeben.

Wenn die Kommunikation wiederhergestellt ist, steuert das Verfahren die Einrichtung, um aktuelle Werte von von ihr geführten Alarmzuständen zu regenerieren. Das Verfahren führt einem Netzwerk dann erste Benachrichtigungsnachrichten und zweite Benachrichtigungsnachrichten zu. Die ersten Benachrichtigungsnachrichten gelten für die aktuellen Werte der Alarmzustände. Die zweiten Benachrichtigungsnachrichten gelten für etwaige Änderungen der Alarmzustände, die auftreten, nachdem die Einrichtung die aktuellen Werte regeneriert. Die ersten Benachrichtigungsnachrichten und die zweiten Benachrichtigungsnachrichten können vermischt sein, aber die sequentielle Ordnung für jede Alarmbedingung wird sichergestellt, um eine korrekte Alarmzustandsinterpretation zu erhalten.

Das Verfahren steuert die Einrichtung durch Setzen aller Alarmsperrzustände auf Gesperrt und anschließendes Wiederherstellen der Alarmsperrzustände, die zuvor freigegeben waren, auf Freigegeben. Die ersten und die zweiten Benachrichtigungsnachrichten werden ausgegeben, nachdem die zuvor freigegebenen Alarmsperrzustände auf Freigegeben wiederhergestellt sind. Das Verfahren liest und sichert außerdem die Alarmsperrzustände vor dem Setzen aller Alarmzustände auf Gesperrt zur Verwendung während der Wiederherstellungsoperation.

Die Einrichtung reagiert auf die Wiederherstellungsoperation, um automatisch eine Menge von Rückkehr-zu-normal-Benachrichtigungen zu erzeugen, die, da sie irrelevant sind, ignoriert oder nicht dem Netzwerk zugeführt werden.

Das System der vorliegenden Erfindung umfaßt Mittel, die das Verfahren der Erfindung ausführen.

KURZE BESCHREIBUNG DER ZEICHNUNGEN

Andere und weitere Aufgaben, Vorteile und Merkmale der vorliegenden Erfindung werden durch Bezugnahme auf die folgende Spezifikation in Verbindung mit den beigefügten Zeichnungen, in denen gleiche Bezugszeichen gleiche Elemente der Struktur bezeichnen, verständlich. Es zeigen:

1 ein Blockschaltbild eines Steuersystems, in dem die Alarmwiederherstellungseinrichtung und das Verfahren der vorliegenden Erfindung verwendet werden können;

2 ein Blockschaltbild des Computers des Steuersystems von 1; und

3 eine Tabelle beispielhafter Alarmzustände einer nichtnativen Einrichtung.

BESCHREIBUNG DER BEVORZUGTEN AUSFÜHRUNGSFORM

Mit Bezug auf 1 enthält ein Steuersystem 20 einen Computer 22, eine Gateway-Schnittstelleneinrichtung 24, ein natives Steuersystem 26, ein nichtnatives Steuersystem 28 und ein Netzwerk 30. Der Computer 22 ist über ein Netzwerk 30 mit dem nativen Steuersystem 26 und der Gateway-Schnittstelleneinrichtung 24 verbunden. Die Gateway-Schnittstelleneinrichtung 24 ist außerdem direkt mit dem nichtnativen Steuersystem 28 verbunden. Für Fachleute sollte erkennbar sein, daß die Gateway-Schnittstelleneinrichtung 24 und das nichtnative System 28 als Alternative über das Netzwerk 30 verbunden werden können.

Das native Steuersystem 26 enthält eine oder mehrere native Einrichtungen 32 (die als Beispiel als eine gezeigt sind), die einen Prozeß 25 überwachen und/oder steuern. Das native Steuersystem 26 enthält außerdem einen Steuerprozessor 38, der über einen Eingangs-/Ausgangs-(E/A-)Bus 33 mit der nativen Einrichtung 32 verbunden ist. Außerdem ist der Steuerprozessor 38 über das Netzwerk 30 mit dem Computer 22 und der Gateway-Schnittstelleneinrichtung 24 verbunden. Der Steuerprozessor 38 enthält ein Steuerprogramm 39.

Das nichtnative Steuersystem 28 enthält eine oder mehrere nichtnative Einrichtungen 34 und 36 (die als Beispiel als zwei gezeigt sind), die denselben Prozeß, der durch das native Steuersystem 26 überwacht und gesteuert wird, überwachen und/oder steuern. Die nichtnativen Einrichtungen 34 und 36 können residente Steuersoftware enthalten und sind über einen nichtnativen Bus 35 verbunden.

Bei dem Computer 22 kann es sich um einen einzelnen Computer oder um mehrere über das Netzwerk 30 verbundene Computer handeln. Das Netzwerk 30 kann ein beliebiges geeignetes verdrahtetes oder drahtloses Kommunikationsnetz sein und kann Prozeßsteuernetzwerke, Fabrikautomatisierungsnetzwerke, das Internet, ein Intranet, das öffentliche Fernsprechsystem und dergleichen und Kombinationen davon umfassen.

Bei der Gateway-Schnittstelleneinrichtung 24 kann es sich um eine beliebige geeignete Schnittstelleneinrichtung handeln, die einen Prozessor, einen Speicher, eine E/A-Einheit zur Kommunikation mit dem nichtnativen Steuersystem über den nichtnativen Bus 35 und einer Kommunikationseinheit zur Kommunikation mit dem nativen Steuersystem 26 und dem Computer 22 über das Netzwerk 30 enthält. Die Gateway-Schnittstelleneinrichtung 24 enthält einen oder mehrere Steuerschnittstellenagenten 54 und 56 (es sind als Beispiel zwei Steuerschnittstellenagenten gezeigt).

Die nativen Einrichtungen 32 und die nichtnativen Einrichtungen 34 und 36 können beliebige geeignete Einrichtungen sein, die den Prozeß 25 überwachen oder steuern, wie zum Beispiel Sensoren für Temperatur, Druck, Strömung, Pegel, Vibration, Schall, Strom, Spannung und dergleichen, Ventile, Pumpen, elektrische Schalter und dergleichen.

Der Steuerprozessor 38 kann ein beliebiger Steuerprozessor sein, der einen Prozessor, einen Speicher, eine E/A-Einheit zur Kommunikation über den E/A-Bus mit den nativen Einrichtungen 32 und einer Kommunikationseinheit für die Kommunikation über das Netzwerk 30 aufweist. Wenn zum Beispiel das Netzwerk 30 das Internet ist, besitzt die native Einrichtung 32 eine Browser-Fähigkeit für Internet-Kommunikation. Ähnlich wären der Computer 22 und die Gateway-Schnittstelleneinrichtung 24 mit Internet-Fähigkeit ausgestattet, um als Server für Dateien zu wirken und/oder anderweitig über das Internet zu kommunizieren.

Mit Bezug auf 2 enthält der Computer 22 einen Prozessor 40, eine Eingangs-Ausgangs-(E/A-)Einheit 42, eine Kommunikationseinheit 44, einen Speicher 46 und einen Bus 47. Der Bus 47 verbindet den Prozessor 40, die E/A-Einheit 42, die Kommunikationseinheit 44 und den Speicher 46. Der Speicher 46 enthält ein Betriebssystem 48 und ein Benachrichtigungsmanagerprogramm 50. Das Benachrichtigungsmanagerprogramm 50 enthält oder steuert ein Alarmwiederherstellungsprogramm 51. Das Betriebssystem 48 steuert den Prozessor 40, um das Benachrichtigungsmanagerprogramm 50 und das Alarmwiederherstellungsprogramm 51 zur Wiederherstellung der aktuellen Alarmzustände der nichtnativen Einrichtung 34 oder 36 nach einem Betriebsereignis oder Aktivität, das bzw. die sich auf die Übermittlung von Alarmzustandsdaten zu dem Computer 22 auswirkt, auszuführen. Ein Speichermedium 52 (z.B. ein Datenträger) enthält eine Kopie des Betriebssystems 48, des Benachrichtigungsmanagerprogramms 50, des Alarmwiederherstellungsprogramms 51 oder anderer Software, die in den Speicher 46 geladen werden kann. Die Kommunikationseinheit 44 enthält die Fähigkeit zur Kommunikation über das Netzwerk 30.

Das Benachrichtigungsmanagerprogramm 50 wirkt zum Wiederherstellen von Alarmzustandsdaten der nativen Einrichtung 32 auf ähnliche Weise wie in dem oben erwähnten US-Patent Nr. 6,138,049 beschrieben. Um Alarmzustandsdaten aus den nichtnativen Einrichtungen 34 oder 36 wiederherzustellen, wird unter der Kontrolle des Benachrichtigungsmanagers 50 das Alarmwiederherstellungsprogramm 51 ausgeführt.

Für Fachleute ist erkennbar, daß das Alarmwiederherstellungsprogramm 51 alleinig durch den Computer 22 ausgeführt oder zur Ausführung durch und zwischen Computer 22, Gateway-Schnittstelleneinrichtung 24 und/oder nichtnativen Einrichtungen 34 oder 36 verteilt werden kann. Als Beispiel wird eine bevorzugte Ausführungsform hier beschrieben, bei der das Alarmwiederherstellungsprogramm 51 auf den Computer 22 und die Gateway-Schnittstelleneinrichtung 24 verteilt ist.

Insbesondere können die durch die Gateway-Schnittstelleneinrichtung 24 ausgeführten Teile des Alarmwiederherstellungsprogramms 51 durch ein (nicht gezeigtes) Konfigurationsprogramm als Steuerschnittstellenagent 54 konfiguriert werden, wie in der gleichzeitig anhängigen US-Patentanmeldung, lfd. Nr. _____ (Aktennummer I20 02430US), registriert am _____ mit dem Titel Control Interface Agents gelehrt wird.

Als Beispiel werden die Einrichtung und das Verfahren zur Alarmwiederherstellung der vorliegenden Erfindung für den Fall beschrieben, daß der Prozeß 25 zur Steuerung eines Brenners dient. Bei diesem Beispiel wird angenommen, daß die nichtnative Einrichtung 34 ein Temperatursensor ist, der die Temperatur der Verbrennungskammer des Brenners mißt, und es wird angenommen, daß die nichtnative Einrichtung 36 ein einstellbares Ventil ist, das die Strömungsgeschwindigkeit von Brennstoff zum Brenner steuert. Außerdem wird angenommen, daß die nichtnative Einrichtung 34 durch den Steuerschnittstellenagenten 54 gesteuert wird, und daß entsprechende Teile des Wiederherstellungsprogramms 51 in dem Steuerschnittstellenagenten 54 wie durch die Bezugszahl 51 in 1 abgebildet konfiguriert sind.

Die nichtnativen Steuereinrichtungen 34 und 36 weisen tendenziell mehr Intelligenz als die native Steuereinrichtung auf. Das heißt, die nichtnativen Steuereinrichtungen 34 und 36 wirken als Ministeuerungen in dem Sinne, daß sie dazu fähig sind, Eingangs- und/oder Ausgangsoperationen oder möglicherweise Steueroperationen auszuführen. Zum Beispiel sind die nichtnativen Einrichtungen 34 und 36 dazu fähig, ein Statusdatensatz verschiedener Alarmzustände zu führen.

Mit Bezug auf 3 zeigt eine Tabelle 60 einen Status acht verschiedener Alarmbedingungen, die jeweils einem spezifischen Wert eines Alarms für die nichtnative Einrichtung 34 entsprechend. Während der Prozeß 25 abläuft, überwacht die nichtnative Einrichtung 34 die Temperatur der Verbrennungskammer und verzeichnet die identifizierten Alarmzustandswerte je nach Freigabe in der Tabelle 60. Wenn sich ein Alarmzustandswert ändert, wird dem Computer 22 über die Gateway-Schnittstelleneinrichtung 24 eine Benachrichtigungsnachricht gegeben. Die Benachrichtigungsnachricht hat eine Priorität, die relativ zu anderen Nachrichten einer beaufsichtigenden Beschaffenheit relativ hoch ist. Das heißt, die Benachrichtigungsnachricht wird vor den Beaufsichtigungsnachrichten gesendet.

Das Benachrichtigungsmanagerprogramm 50 in dem Computer 22 führt eine Liste nur der aktiven Alarmzustandswerte der nichtnativen Einrichtung 34, die gemäß den Benachrichtigungsnachrichten aktualisiert wird. Das heißt, das Benachrichtigungsmanagerprogramm 50 führt eine Liste nur aktiver Alarmzustandswerte. Eine Bedingung, die zu Inaktiv übergeht, wird gelöscht, weil z.B. in einem System mit 30.000 Punkten 250.000 mögliche Alarmbedingungen vorliegen könnten. Es werden selten mehr als einige wenige 100 Alarmbedingungen gleichzeitig aktiv sein. Das Finden eines Alarms, der sich gelöscht hat (zu Normal zurückgekehrt ist) ist ein Problem, da er sich nicht mehr regeneriert.

Wenn ein Kommunikationsausfall mit der nichtnativen Einrichtung 34 besteht, können zum Beispiel keine Benachrichtigungsnachrichten durch den Computer 22 gesendet oder empfangen werden. Dies beeinträchtigt die Integrität der durch das Benachrichtigungsmanagerprogramm 50 geführten Alarmzustandswerteliste. Die Alarmwiederherstellungsprozedur der vorliegenden Erfindung wird eingeleitet, um die Kommunikation wiederherzustellen und um die Alarmzustandswerteliste in dem Computer 22 auf aktuelle Alarmzustandswerte zu korrigieren.

Der Benachrichtigungsmanager 50 erkennt, daß die Kommunikation zu der nichtnativen Einrichtung 34 wiederhergestellt wurde, entweder durch Software oder manuell. Nach dieser Erkennung unternimmt der Benachrichtigungsmanager 50 einen ersten Schritt, indem er die Alarmwiederherstellungsprozedur 51 und den Steuerschnittstellenagenten 54 anfordert, die Alarmzustände der nichtnativen Einrichtung 34 zu regenerieren. Als Reaktion wird ein zweiter Schritt auf dem Steuerschnittstellenagenten 54 ausgeführt, um dem Benachrichtigungsmanager 50 mitzuteilen, daß seine aktuelle Menge von Benachrichtigungen aus der nichtnativen Einrichtung 34 fraglich ist.

In einem dritten Schritt liest und sichert der Steuerschnittstellenagent 54 aktuelle Werte aller Alarmsperrzustände der nichtnativen Einrichtung 34. Während dieses Zeitraums können neue Alarmbedingungen auftreten und zu Benachrichtigungen führen. Außerdem können bereits existierende Alarmbedingungen zu normal zurückkehren und zu Rückkehr-zu-normal-Benachrichtigungen führen. Der Steuerschnittstellenagent 54 leitet diese Benachrichtigungen zu dem Benachrichtigungsmanager 50 weiter.

In einem vierten Schritt setzt der Steuerschnittstellenagent 54 alle Alarmsperrzustände der nichtnativen Einrichtung 34, die freigegeben waren, auf einen Sperrzustand. Folglich kehren etwaige existierende Alarmbedingungen in der nichtnativen Einrichtung 34 zu normal zurück und müssen Rückkehr-zu-normal-Benachrichtigungen ausgeben.

In einem fünften Schritt tritt der Steuerschnittstellenagent 54 in einen Wartemodus ein, um es so der nichtnativen Einrichtung 34 zu erlauben, Rückkehr-zu-normal-Benachrichtigungen zu erzeugen. Diese sind Benachrichtigungen, daß die Alarme gelöscht (in den Inaktiv-Zustand überführt) wurden. Da diese Benachrichtigungen irrelevant sind, werden sie nicht zu dem Benachrichtigungsmanager 50 weitergeleitet.

In einem sechsten Schritt setzt der Steuerschnittstellenagent 54 die Alarmsperrzustände der nichtnativen Einrichtung 34 auf die während des dritten Schritts gesicherten ursprünglichen Werte zurück. Die nichtnative Einrichtung 34 reagiert auf den sechsten Schritt, um Alarmbenachrichtigungen zu erzeugen, die Bedingungen entsprechen, die zur Zeit existieren und freigegeben sind. Es wird angemerkt, daß die zur Zeit aktiven Alarmzustände zu einem beliebigen Zeitpunkt seit dem Verlust der Kommunikation bis zu diesem Punkt aktiv geworden sein können. Außerdem kann während dieses Prozesses eine neue Alarmbedingung aktiv geworden sein. Symmetrisch können die gerade inaktiven Alarmzustände zu einer beliebigen Zeit seit dem Verlust der Kommunikation bis zu diesem Punkt inaktiv geworden sein. Außerdem können bereits existierende Alarmbedingungen während dieses Prozesses inaktiv werden (Rückkehr zu normal).

In einem siebten Schritt wartet der Steuerschnittstellenagent 54 auf Benachrichtigungen zum Regenerieren und leitet diese Benachrichtigungen regenerierter oder aktueller Alarmzustände zu dem Benachrichtigungsmanager 50 in dem Computer 22 weiter. Etwaige Alarmzustandsänderungen, die nachfolgend auftreten, werden danach als Benachrichtigungsnachrichten gesendet. Dadurch wird ordnungsgemäß die Sequenzierung sichergestellt, um Konflikte zwischen regenerierten aktuellen Werten und gerade ablaufenden Änderungen zu vermeiden.

In einem achten Schritt benachrichtigt der Steuerschnittstellenagent 54 den Computer 22, daß alle regenerierten Benachrichtigungen aus der nichtnativen Einrichtung 34 abgeschlossen wurden.

In einem neunten Schritt vergleicht der Benachrichtigungsmanager 50 die regenerierten Alarmbenachrichtigungen mit der Vorkommunikations-Zustandsliste. Wenn sich eine regenerierte Alarmbenachrichtigung in der vorexistierenden Liste befindet, wird sie behalten und ihre Fraglichkeit entfernt. Wenn die regenerierte Alarmbenachrichtigung nicht in der vorexistierenden Liste vorlag, wird sie zu der Liste hinzugefügt. Bei Benachrichtigung über Abschluß der Regeneration von Benachrichtigungen werden etwaige beteiligte Alarmbenachrichtigungen, die eine Fraglich-Anzeige behalten, gelöscht, da die entsprechenden Alarmbedingungen in der nichtnativen Einrichtung 34 nicht mehr bestehen.

Die vorliegende Erfindung wurde also nun mit besonderer Bezugnahme auf ihre bevorzugten Formen beschrieben und es ist offensichtlich, daß verschiedene Änderungen und Modifikationen daran vorgenommen werden können, ohne von dem in den angefügten Ansprüchen definierten Gedanken und Schutzumfang der vorliegenden Erfindung abzuweichen.


Anspruch[de]
Verfahren zum Synchronisieren von Alarmbedingungszuständen, die von einer Einrichtung erzeugt werden, die einen Prozeß oder ein System überwacht und/oder steuert, mit den folgenden Schritten:

(a) Steuern der Einrichtung, um aktuelle Werte von mehreren Alarmzuständen zu regenerieren;

(b) Geben von ersten Benachrichtigungsnachrichten und zweiten Benachrichtigungsnachrichten an ein Netzwerk, wobei die ersten Benachrichtigungsnachrichten für die aktuellen Werte der Alarmzustände dienen, wobei die zweiten Benachrichtigungsnachrichten für etwaige Änderungen der Alarmzustände dienen, die auftreten, während die Einrichtung die aktuellen Werte regeneriert, und wobei die ersten Benachrichtigungsnachrichten und die zweiten Benachrichtigungsnachrichten in sequentieller Reihenfolge ausgegeben werden, um sicherzustellen, daß eine letzte Benachrichtigung für jeden Alarmzustand einen korrekten Alarmzustandswert angibt.
Verfahren nach Anspruch 1, wobei Schritt (a) nach einer Wiederherstellung von Verarbeitungsoperationen ausgeführt wird. Verfahren nach Anspruch 1, wobei Schritt (a) nach einer Wiederherstellung der Kommunikation mit der Einrichtung nach einem Verlust der Kommunikation damit ausgeführt wird. Verfahren nach Anspruch 1, wobei Schritt (a) umfaßt, alle Alarmsperrzustände auf gesperrt zu setzen und dann die Alarmsperrzustände, die zuvor freigegeben waren, auf freigegeben zurückzusetzen, und wobei Schritt (b) umfaßt, die ersten und die zweiten Benachrichtigungsnachrichten nach dem Zurücksetzen zu geben. Verfahren nach Anspruch 4, wobei Schritt (a) ferner umfaßt, einen mit den Alarmzuständen assoziierten Freigabe-/Sperrzustand vor dem Setzen aller Alarmsperrzustände zu lesen und auf gesperrt abzuspeichern. Verfahren nach Anspruch 4, wobei etwaige als Reaktion auf den Schritt des Setzens erzeugte Rückkehr-zu-normal-Benachrichtigungsnachrichten ignoriert werden. Verfahren nach Anspruch 6, wobei die Rückkehr-zu-normal-Benachrichtigungsnachrichten nicht an das Netzwerk gegeben werden. System zum Synchronisieren von Alarmbedingungszuständen, die von einer Einrichtung erzeugt werden, die einen Prozeß oder ein System überwacht und/oder steuert, wobei das System folgendes umfaßt

Mittel zum Steuern der Einrichtung, um aktuelle Werte von mehreren Alarmzuständen zu regenerieren; und

Mittel zum Geben von ersten Benachrichtigungsnachrichten und zweiten Benachrichtigungsnachrichten an ein Netzwerk, wobei die ersten Benachrichtigungsnachrichten für die aktuellen Werte der Alarmzustände dienen, wobei die zweiten Benachrichtigungsnachrichten für etwaige Änderungen der Alarmzustände dienen, die auftreten, während die Einrichtung die aktuellen Werte regeneriert, und wobei die ersten Benachrichtigungsnachrichten und die zweiten Benachrichtigungsnachrichten in sequentieller Reihenfolge ausgegeben werden, um sicherzustellen, daß eine letzte Benachrichtigung für jeden Alarmzustand einen korrekten Alarmzustandswert angibt.
System nach Anspruch 8, wobei die Einrichtung gesteuert wird, um die aktuellen Werte nach einer Wiederherstellung von Verarbeitungsoperationen zu regenerieren. System nach Anspruch 8, wobei die Einrichtung gesteuert wird, um die aktuellen Werte nach einer Wiederherstellung der Kommunikation mit der Einrichtung nach einem Verlust der Kommunikation damit zu regenerieren. System nach Anspruch 8, wobei die Mittel zum Steuern Mittel zum Setzen aller Alarmsperrzustände auf gesperrt und dann zum Zurücksetzen der Alarmsperrzustände, die zuvor freigegeben waren, auf freigegeben umfassen, und wobei die Mittel zum Geben die ersten und die zweiten Benachrichtigungsnachrichten nach dem Zurücksetzen geben. System nach Anspruch 11, wobei die Mittel zum Steuern ferner Mittel zum Lesen und Abspeichern eines mit den Alarmzuständen assoziierten Freigabe-/Sperrzustands vor dem Setzen aller Alarmsperrzustände auf gesperrt umfassen. System nach Anspruch 11, wobei etwaige als Reaktion auf die Mittel zum Setzen erzeugte Rückkehr-zu-normal-Benachrichtigungsnachrichten ignoriert werden. System nach Anspruch 13, wobei die Rückkehr-zu-normal-Benachrichtigungsnachrichten nicht an das Netzwerk gegeben werden.






IPC
A Täglicher Lebensbedarf
B Arbeitsverfahren; Transportieren
C Chemie; Hüttenwesen
D Textilien; Papier
E Bauwesen; Erdbohren; Bergbau
F Maschinenbau; Beleuchtung; Heizung; Waffen; Sprengen
G Physik
H Elektrotechnik

Anmelder
Datum

Patentrecherche

Patent Zeichnungen (PDF)

Copyright © 2008 Patent-De Alle Rechte vorbehalten. eMail: info@patent-de.com