这种方法是公知的。对生产设备的干预例如是更改用于使控制程序控制该生产设备的运行类型。控制程序通常包括至少两个可区别的运行类型，即自动运行和手动运行。此外，还具有所谓的调整运行，其中可以激活部分的自动运行，另一方面还可以进行自动运行中不容许的手动干预。自动运行和手动运行之间的转换是对生产设备进行可多次记录和存档的干预，以获得例如对生产设备停机时间的概要。此外，还可以记录这种或类似的干预，以识别例如在食品生产中对生产设备的未经授权的操作或干预。
目前这样的记录始终涉及生产设备的控制部分并由此仅间接涉及生产设备本身。如果例如运行一个操作元件，例如用于在手动运行和自动运行之间转换的开关，这首先对控制程序及其运行类型起作用。因此，这样的记录正是因为如此才可能进行，因为该操作元件是设备的控制部件的组成部分，并因此由控制程序进行监控。在操作元件的每次运行影响控制程序的特性之后，不会表现出识别和记录这种干预的问题。
但是，目前还没有一种可以自动自己识别干预生产设备的方法。由此，目前可能的、自动产生的记录所提供的对生产设备的运行状态的概览是不完整的。

因此，本发明要解决的技术问题在于，提供一种方法，用于自动识别目前未被注意或未被察觉的对生产设备的干预。
本发明的技术问题是通过一种在开始提到的类型的用于自动记录对由控制程序控制的生产设备的干预的方法解决的，其中，从控制程序中提取出关于设备部件当时状态的信息，从控制程序中提取出关于该状态是否是根据控制程序而出现或发生的信息，并在该状态不是根据控制程序而出现时进行记录。作为控制程序，在此和下面既指确定程序流程的全体说明，例如跳转指令或转移指令等等，又指所采用的数据，尤其是所谓的过程映像。此外，设备的空间或功能性限制部分是指设备部分和每个设备部分以及连接元件，例如导管，还有电动机、阀门等等，或者它们的组合称为设备部件。
本发明基于以下情况，即生产设备、尤其是方法技术设备(例如生产药品或精细化工的设备、精炼厂或生产食品的设备)的操作员必须向检验当局证明，一个确定的生产过程一贯生产一种满足特定的预定特性和质量特征的产品。该要求不仅存在于设备设置时，还存在于运行中的操作中。因此，必须记录下对生产设备的所有干预。这在当前是用所谓的改动总记录来解决的。从该改动总记录中必须随时可见，谁(操作员)何时(日期/时间)对生产设备改动了什么(设备部件)。这样的总记录目前是手动进行的。为此，通过责任人在改动总记录中记录生产设备的改动，例如借助当时操作员的回忆、借助对操作员的具体指示(例如更换特定的设备部件)以及借助对生产设备的运行状态的记录。这是很费事且易出错的。为了将花费降至最小，需要进行非常有限的干预。但是，这对生产设备的灵活性和/或效率是个负担。新的认识几乎不能影响生产设备本身或生产过程。此外，这样进行的改动总记录对检验当局的检验员来说只受到有条件的信任，因为改动、省略和补充形式的操作既不能被排除又不能直接可见。因此，由检验当局对生产设备进行检验经常需要很高的费用，因为对全部生产设备进行的检验是不取决于改动总记录的内容的。
本发明的优点在于，对生产设备的操作可毫无质疑地归因于对生产设备的改动，并且由此可以识别当时对生产设备的改动。这可以记录下生产设备的运行状态的全面文档。
如果记录下状态和/或状态涉及的设备部件，则可以完全自动形成目前改动总记录的对等物。在此，根据可预先给出或预定的规则，尤其是存储在规则数据库中的规则确定所涉及的设备部件。
如果记录需要由当时的操作员进行操作，则在较晚时刻可以了解谁在识别或记录状态的时刻操作生产设备。这对于必要时附加询问手动、事后补充的收集数据是必要的。此外，随时都可以了解已发生的干预是否由授权人员进行。这也是必要的，从而能对专业人员进行的已发生干预进行存档。
如果为了由操作员进行操作而需要对操作员进行可电子处理的验证，则在全自动产生改动总记录时闭合一条“安全链”。一方面对生产设备的干预是自动识别的，同样自动产生改动总记录对等物中的相应条目。另一方面，借助对操作员进行可电子处理的验证自动产生对应的条目，借助该条目可以识别谁在识别或记录干预的时刻操作生产设备。两个条目都是不可更改的，而无需可见这一点。由此保证对生产设备中的过程进行无遗漏的存档。生产设备的操作员可以向检验当局出示文档，即改动总记录的电子对等物，从中可以了解对生产设备的每次干预。这种自动产生的文档只能非常费事地被违法篡改。由此存在这样的可能性，检验当局接受可见的不能篡改的文档，由此显著减小定期检验的范围并由此加速检验。
如果在尤其是连续的生产过程中由至少一种输出物质产生至少一个产品，其中为了生产该产品，该一种或每种输出物质都通过至少一个分别具有一个尤其是可以截止的、在前和在后节点的导线传导，其中如果该一个或每个导线在一个或每个节点与至少另一个导线重合，则生产设备通过导线的网络设备形成一个重要部分。导线将各设备部分相互连接成为设备组件。识别对该网络的每次干预是重要的，因为例如通过打开节点、即两个导线的连接点，可能使有害物质进入导线系统。因此，如果此外导线拓扑逻辑包含关于每个导线、其节点和与其它导线连接的信息，并从控制程序中提取出关于哪个节点在何时被截止的信息，即通过哪个导线在何时传导输出物质的信息，并从控制程序中提取出关于该截止是否是根据控制程序产生或形成的信息，则可以确定，对生产设备的干预针对哪个或哪些导线。
导线拓扑逻辑可以容易地、类似于路线规划工程中的街道和道路地借助所谓的图形、尤其是所谓的定向图形绘制而成。
术语“根据控制程序”在此和下面尤其是指控制程序的自动运行。也就是说，不考虑根据控制程序自动控制的流程出现或发生的截止，但考虑那些不是由生产过程的瞬时状态引起的截止。这种差别是必要的，因为也可以完全在控制程序的控制下进行这样的截止，即如果例如一部分设备转换为调整运行，并通过相应操作元件的运行而引起当时的截止。这样的干预，例如导线的截止，下面称为“非期望的”。
优选的，对非期望的、即手动或不是根据控制程序进行的至少两个节点的截止进行处理并相应地记录为更换位于其间的导线或每个导线。
两个节点的不期望的截止在此是一条由条件和结果组成的规则中的条件。在此，所属结果是假设更换位于这两个节点间的一个或每个导线。
此外，优选的，记录设备部分的不期望的抑制，并尤其是对其进行处理和/或记录为更换相应的一个或每个导线，其中所截止的一个或每个节点和/或位于其间的一个或每个导线属于该设备部分。
涉及生产过程而发生的、尤其是对一个设备部分的不期望的抑制扩充了上面提到的规则的条件。该规则由此变成“当两个节点(不期望的)截止时，并且这些节点处于其中的设备部分被(不期望地)抑制，则将此处理为更换位于该节点之间的一个或每个导线”。
优选的，可以识别涉及运输工具的干预，该运输工具例如是在导线中移动输出物质的电机。为此，如果运输工具与至少一个导线组合，并且两个包含该运输工具的导线的节点发生不期望的截止，则将此处理和/或相应记录为更换运输工具和/或与该运输工具组合的导线。
优选的，如果为至少一个导线安排一次清扫，则一个导线的不期望的清扫可以处理和/或相应记录为事先进行的导线更换。这对应于一条附加规则，其例如是：“当对设备部件、导线或导线段进行(不期望的)清扫时，则将此处理为更换该清扫涉及的设备部件”。
相应的，如果可以为至少一个导线安排一次压力测试，则将导线的不期望的压力试验处理和/或相应记录为事先进行的导线更换。这也对应于一条附加规则，其例如是：“当对设备部件、导线或导线段进行(不期望的)压力测试时，则将此处理为更换该压力测试涉及的设备部件”。
最后，一条规则的每个条件都可以结合一条错误或维护消息，从而仅在事先、即在不期望的干预之前触发一条错误或维护消息时才进行记录。将错误或维护消息的存在与例如一个上述条件的组合是有意义的，因为在对生产设备的干预，尤其是对生产设备的授权干预之前一般发生了一种通过错误、警告或维护消息通知操作人员的例外情况。利用对生产设备的干预，操作人员试图消除这种例外情况，从而可以继续生产过程。根据本发明，对为此所需的干预进行识别并尤其是进行记录。

下面，借助附图详细说明本发明的实施方式。所有图中用相同附图标记表示相应的部件或元件。其中示出：
图1是具有自动化系统的生产设备，和
图2是自动记录对生产设备干预的方法流程。

图1示出简化的生产设备1和自动化系统2的框图。生产设备1包括例如用于输出物的第一容器3、电抗器4和例如用于产品的第二容器5。两个容器3、5以及电抗器4都分别称为设备部分3、4、5。每个设备部分3、4、5都通过至少一个导线6、7、8(在此是导管6、7、8)与另一个设备部分3-5连接。每个导线6-8都具有在前和在后的开口6’、7’、8’、6”、7”、8”，下面总的将其简称为节点6’、7’、8’、6”、7”、8”。在每个节点6’-8’、6”-8”都可以将导线6-8与另一个导线6-8或一个设备部分3-5连接。为了截止导线6-8，在一个或每个节点6’-8’、6”-8”都具有阀门9a、9b、9c、9d、9e。设备部分3-5、导线6-8和阀门9a-9e在下面分别总称为设备部件3-5、6-8、9a-9e，或者简称为部件3-5、6-8、9a-9e。
自动化系统2控制在生产设备1上运行的生产过程。为此，自动化系统2包括控制器10，例如是所谓的可编程存储控制器10(SPS)，以及用于向生产设备1输出控制信息和从生产设备1读取状态信息的输入和输出装置11、12(用双箭头表示)。控制器10具有一个存储器13。在存储器13中以本身公知的方式存储用于控制和/或监控生产过程的控制程序14，以及控制程序为此目的可以访问的数据5，尤其是所谓的过程映像。
为了截止在电抗器4和第二容器5之间的导线6，必须关闭封闭导线6的两个阀门9d、9e。为此，借助控制程序14存储相应的输出变量。为此，在数据区域15中在组合中存放表示生产设备1的当前状态的数据。要将输入存储区16和输出存储区17区别开来。输入存储区16和输出存储区17一起形成过程映像。输入存储区16包括从生产过程中接收的所有数据。输出存储区17包括所有要输出到生产过程中的数据。每个可控制的或每个由控制程序14控制的生产设备1的部件9a-9e都在输出存储区17中按照本身公知的方式具有唯一的对应。对于如阀门9a-9e那样只能假设有两个状态——打开、关闭的部件9a-9e，其状态在输出存储区17中用一位的高、低来表示。因此，为了关闭两个阀门9d、9e，在输出存储区17中适当地存储相应的位。通过控制器10周期性地将输出存储区17的全部内容输出到生产设备1。这借助于一个或多个输出装置12进行。合适的输出装置12例如是数字输出组件。
如果控制阀门9d、9e，则截止位于其间的导线6。如果阀门9d、9e关闭，则通过自动化系统2将此接收为生产过程的状态。过程的状态和由此从过程中接收的数据形成输入量。过程的每个状态在为此设置的输入存储区16的一段中进行中间存储。简单状态存储在输入存储区16中为此设置的一个字节的一位中。复杂状态，例如模拟测量值(温度、重量、填充值)存储在输入存储区16中为此设置的一个上下连贯的区域中，例如一个字节、一个字或一个长字。对输入存储区16的这种位置或这种区域的引用通过已知的相应变量声明而被简化。
对于每个阀门9a-9d，可以在输入存储区16中分别设置两位。第一位存储该阀门9a-9d是否开启，即是、否，第二位存储该阀门9a-9d是否关闭，即是、否。在两个阀门9d、9e关闭之后，借助输入存储区16中相应位的各状态识别该关闭。
应当具备的先决条件是，在自动控制生产过程期间不存在两个阀门9d、9e都被关闭的时刻。阀门9d、9e适用于截止将电抗器4和第二容器5相互连接的导线6。在生产过程中，根据该先决条件在自动控制的每任意时刻最多关闭两个阀门9d、9e中的一个。例如，只要在电抗器4中发生受控反应，就关闭靠近电抗器4的阀门9e。如果该反应停止并将反应物作为终端产品传导至第二容器5中，则打开阀门9e。当产品在容器5中时，则关闭靠近第二容器5的阀门9d。当将产品从容器5中取出并使容器5为新一轮填充做好准备时，则又打开阀门9d。
如果导线6例如被损坏并因此必须更换，则为此关闭两个阀门9d、9e，因为否则从电抗器4或容器5中可能出来物质，或者杂质可能进入电抗器4或容器5中。根据上述先决条件，不会在自动运行中出现两个阀门9d、9e都关闭的现象。由此，只要对两个阀门9d、9e识别出状态“关闭”，则可以确定发生了对生产设备1的干预。
为了识别这一点，从控制程序14和所属的数据15中提取出关于生产设备1和/或设备部分3、4、5的状态的信息；在此除其它外识别出两个阀门9d、9e关闭。然后从控制程序14中提取出关于根据控制程序14获得的状态是否出现的信息；在此得出，根据控制程序14两个阀门9d、9e从不会同时关闭。也就是说，可确定至少一个不期望出现、即不是根据控制程序10而出现的状态。最后记录下这一点。
为了改善这些记录的结论性，还记录下该不期望的状态涉及到哪些设备部分3、4、5或哪些设备部件3-5、6-8、9a-9d。为此，首先调用常用的、所谓设备标识的信息。使用设备标识是很普遍的，例如用于将第一设备部分中的组件与第二设备部分中的部件区分开来。设备标识的语法和结构是标准化的。
两个不期望关闭的阀门9d、9e用完整的设备标识表示如下：“生产设备_3.电抗器1.阀门_排放闭锁”以及“生产设备_3.容器_2.阀门_进入闭锁”。借助设备标识可以确定具有不期望状态的部件9d、9e输入哪个设备部分3、4、5。在此，第一不期望的关闭的阀门9d(“阀门_进入闭锁”)属于设备部分“容器_2”5以及属于生产设备“生产设备_3”1。此外，第二不期望的关闭的阀门9e(“阀门_排放闭锁”)属于设备部分“电抗器_1”4以及同样属于生产设备“生产设备_3”1。利用这些信息可以记录下，对生产设备1的干预可能对哪些设备部分3、4、5产生影响。
为了进一步改善这些记录的结论性，现在还要确定不期望的干预涉及哪些设备部件3-5、6-8、9a-9e。每个导线6、7、8都具有尤其是可截止的前和后节点6’-8’、6”-8”。在每个节点6’-8’、6”-8”，导线6、7、8与另一个设备部件3-5、6-8、9a-9e、尤其是另一个导线6、7、8重合。通过每个导线6、7、8的分布，即通过它们的相互连接或与其它设备部件3-5、6-8、9a-9e的连接，将信息存储在导线拓扑逻辑中。也就是说，如果已经确定两个阀门9d、9e被不期望地关闭，则可以从该导线拓扑逻辑中提取出哪些设备部件3-5、6-8、9a-9e位于这两个阀门9d、9e之间。在这种情况下，可以得知在这两个阀门9d、9e之间是将电抗器4和第二容器5相互连接的导线6。由于阀门9d、9e的不期望关闭，可以推断对生产设备1的干预涉及该导线6。这些详细信息被记录下来。由此在较晚时刻可以存档以下信息，
a)出现哪些不期望的状态(两个阀门9d、9e都关闭，尽管根据控制程序14这是没有设置的)，
b)该不期望状态可能对哪些设备部分产生影响(借助所获得的两个阀门9d、9e的各自设备标识可以得知，两个阀门9d、9e中的一个属于具有第二容器5的设备部分，两个阀门9d、9e中的另一个属于具有电抗器4的设备部分)，
c)具体涉及哪些设备部件(借助包含关于所有导线6、7、8的信息以及关于相互及与其它设备部件9a-9e连接的信息的导线拓扑逻辑，可以得知在电抗器4和第二容器5之间的导线6与两个阀门9d、9e连接)。
图2示意性示出表示本发明方法流程的框图。中央机械装置20提供来自规划工具21和自动化工具22的数据以用于识别对生产设备1(图1)的干预。规划工具21除其它外还包括关于全部设备部件3-5以及全部设备部件3-5、6-8、9a-9e的信息。规划工具21还包括导线拓扑逻辑，其具有关于全部导线6-8以及相互连接或与其它设备部件3-5、6-8、9a-9e连接的信息。自动化工具22要么本身包括自动化系统2(图2)，要么提供对该自动化系统2的访问。
在第一功能部件23中，确定设备部件3-5、6-8、9a-9e和生产设备1(图1)的控制部分的部件之间的关系。控制部分的部件是控制器10本身，以及例如操作元件(未示出)，还可以是那些直接作用于自动化系统2(图2)的设备部件3-5、6-8、9a-9e，例如阀门9a-9e。第一功能部件23负责在涉及阀门9a-9e的规划数据和涉及相同阀门9a-9e的自动化系统2的数据之间至少建立逻辑的联系。借助第二功能部件24从自动化工具22中读出数据。由第一和第二功能部件23、24提供的数据要进行一致性检查25。在此，如果在一致性检查时出现问题，也可以由用户进行干预。
通过第三功能部件26确定设备部件3-5、6-8、9a-9e之间的相邻关系。通过第三功能部件26例如可以得知，哪个导线6(图1)分布在电抗器4和第二容器5之间，以及通过两个阀门9d、9e(图1)中的哪一个可截止该导线6。
通过第四功能部件27获得生产设备1的操作。第四功能部件27由此提供过程映像的数据，借助于这些数据可以识别一个特定阀门9a-9e是开启的还是关闭的。
由此提供了识别对生产设备1的干预所需的全部数据。该数据传送到调节处理器28中，该调解处理器访问预先给定、存储或通过用户预先给定的规则，以及必要时还另外访问规则数据库29。
通过规则处理应用的规则例如是：“当两个阀门都不期望的(不是根据控制程序)关闭时，则认为是更换其间存在的导线”。可以扩展该规则，此后例如是：“当两个阀门都不期望的(...)关闭时，并且先前在手动或调整运行中接通了两个阀门所分别属于的设备部分，则认为是更换在阀门间存在的导线”。
这些或类似规则的结果几乎可以对于最不同的应用情况而任意扩展和修改，并且标示出所识别的对生产设备1的干预，例如“更换电抗器和第二容器之间的导线；<日期>，<时间>”。这样识别出的干预以改动总纪录30的电子形式记录下来。改动总纪录30的电子形式例如是文本文件30，其存储在合适的存储介质中，例如控制计算机(未示出)的硬盘上。
在将所识别出的干预记录到改动总记录30中之前，可以通过第五功能部件31请求用户的操作。为了防止滥用，可以要求将可电子处理的用户验证用于用户的操作。然后为改动总记录30中的条目补充有关该用户的数据。
对生产设备的控制部分的干预可以借助自动化工具22的数据直接识别出来。由此，关于这些干预的数据可以直接接收到改动总记录30中。
由此，可以如下简短描述本发明：
提供了一种用于自动记录对由控制程序14控制的生产设备1的干预的方法，该生产设备1具有多个设备部件3、4、5、6、7、8、9a-9e。其中，从控制程序14、15中提取出关于一个或每个设备部件3-5、6-8、9a-9e各自状态的信息。此外，还从控制程序14中提取出关于该状态是否根据控制程序14而出现或发生的信息。如果该状态不是根据控制程序14而出现，则将其处理和记录为对生产设备的干预。本发明的实施方式涉及确定和记录所述干预所涉及到的一个或每个设备部分3-5或一个或每个设备部件3-5、6-8、9a-9e。利用这些信息可自动运用改动总记录30。