CN114467245A - 可编程电子功率调节器 - Google Patents

可编程电子功率调节器 Download PDF

Info

Publication number
CN114467245A
CN114467245A CN202080066608.8A CN202080066608A CN114467245A CN 114467245 A CN114467245 A CN 114467245A CN 202080066608 A CN202080066608 A CN 202080066608A CN 114467245 A CN114467245 A CN 114467245A
Authority
CN
China
Prior art keywords
controller
module
control
monitoring module
programmable electronic
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202080066608.8A
Other languages
English (en)
Inventor
H·沃茨
P·田
G·赫尔曼
H·巴赫-普雷克温克尔
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Scientific Control Industrial Automation Germany Co ltd
Original Assignee
Scientific Control Industrial Automation Germany Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Scientific Control Industrial Automation Germany Co ltd filed Critical Scientific Control Industrial Automation Germany Co ltd
Publication of CN114467245A publication Critical patent/CN114467245A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0421Multiprocessor system
    • HELECTRICITY
    • H02GENERATION; CONVERSION OR DISTRIBUTION OF ELECTRIC POWER
    • H02MAPPARATUS FOR CONVERSION BETWEEN AC AND AC, BETWEEN AC AND DC, OR BETWEEN DC AND DC, AND FOR USE WITH MAINS OR SIMILAR POWER SUPPLY SYSTEMS; CONVERSION OF DC OR AC INPUT POWER INTO SURGE OUTPUT POWER; CONTROL OR REGULATION THEREOF
    • H02M1/00Details of apparatus for conversion
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • G05B9/03Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/418Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS], computer integrated manufacturing [CIM]
    • G05B19/4184Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS], computer integrated manufacturing [CIM] characterised by fault tolerance, reliability of production system
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/418Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS], computer integrated manufacturing [CIM]
    • G05B19/4188Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS], computer integrated manufacturing [CIM] characterised by CIM planning or realisation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0721Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment within a central processing unit [CPU]
    • G06F11/0724Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment within a central processing unit [CPU] in a multiprocessor or a multi-core unit
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0736Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0796Safety measures, i.e. ensuring safe condition in the event of error, e.g. for controlling element
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/14Error detection or correction of the data by redundancy in operation
    • G06F11/1402Saving, restoring, recovering or retrying
    • G06F11/1415Saving, restoring, recovering or retrying at system level
    • G06F11/142Reconfiguring to eliminate the error
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/14Error detection or correction of the data by redundancy in operation
    • G06F11/1402Saving, restoring, recovering or retrying
    • G06F11/1415Saving, restoring, recovering or retrying at system level
    • G06F11/1441Resetting or repowering
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02EREDUCTION OF GREENHOUSE GAS [GHG] EMISSIONS, RELATED TO ENERGY GENERATION, TRANSMISSION OR DISTRIBUTION
    • Y02E10/00Energy generation through renewable energy sources
    • Y02E10/70Wind energy
    • Y02E10/72Wind turbines with rotation axis in wind direction

Abstract

本申请描述了一种可编程电子功率调节器,其具有用于控制至少一个可连接驱动器(80)的功率模块(10),以及用于通过功率模块控制信号(29)来驱动功率模块(10)的控制模块(20),以及用于将控制模块(20)转换为紧急操作的内部监控模块(30),其中控制模块(20)包括基本控制器(21)、附加控制器(23)和控制器断开点(22)。基本控制器(21)被配置为发送功率模块控制信号(29)。此外,在基本控制器(21)中实现危急运行状态下紧急操作所需的驱动器(80)的开环和闭环控制功能。附加控制器(23)执行危急运行状态下紧急操作不需要的功能。控制器断开点(22)通过控制连接(24,25)将基本控制器(21)与附加控制器(23)连接,并配置为从内部监控模块(30)接收错误信号(31),并在接收到错误信号(24,25)后至少部分断开控制连接(24,25)。

Description

可编程电子功率调节器
本发明涉及一种可编程电子功率调节器,包含一个功率模块,该功率模块用于通过驱动器控制信号,以施加电压或可选电流的形式,控制至少一个连接到或可以连接到该功率模块的机电驱动器。电压或电流可由合适的电源提供,并在功率调节器的功率模块中进行相应调整,例如通过晶闸管电子功率调节器、变压器、逆变器、脉宽调制器或类似电子装置,输出功率或输出电流和/或输出电压可可变调节。
功率调节器还具有一个用于通过功率模块控制信号驱动或控制功率模块的控制模块,,以及一个用于将控制模块转换为紧急操作的内部监控模块,。在紧急操作中,控制模块适于执行预定义的出错响应,并配置为将驱动器置于安全状态,其中内部监控模块配置为监控系统状态,检测危急运行状态,如果检测到危急运行状态,则发出至少一个错误信号,尤其是分别将控制模块或功率调节器分别置于紧急操作状态。
此类可编程功率调节器通常用于发生故障(即危急运行状态)时简单关闭一个或多个机电驱动器是或可能是危险的系统中,因为系统至少有一个关键运行阶段,简单关闭驱动器会违反系统的一个或多个安全目标。根据本发明优选的一种常见应用是风力发电厂的变桨系统,其中至少一个转子叶片的旋转位置设置于转子轮毂上。其他合理的应用领域可能是关键生产流程或电动车辆。在此类系统中,必须提供容错措施,在发生出错时,能使系统(“故障运行系统”)的至少一个紧急操作。
可编程电子功率调节器几乎总是用于被调节的机电驱动器中。除了控制驱动器的实际基本功能外,它们还包含许多附加功能,例如从外部传感器读取数据、生成运动轮廓,以及通过复杂的通信接口与其他系统进行实时通信。例如,其他附加功能可以方便地诊断、参数化、用户编程和调试可编程电子功率调节器。这种可编程电源控制器的复杂性给未被发现的系统软件出错带来了巨大的风险。
复杂附加功能中的软件出错可能会阻止电源控制器从正常操作到紧急操作的可靠转换,例如如果软件在处理过程中冻结,或者,例如在无休止的循环中使用过多的处理功率。如果在一个系统中使用多个相同类型的复杂功率控制器,则系统关键“共因”出错的风险很高。在产品开发过程中,通过避免出错的措施来充分降低这些常见原因出错的发生概率,对于复杂系统来说,通常是不可能的,即使只是出于成本原因。
机电驱动器控制中的功能安全集成,例如电气驱动系统中的功能安全集成,已为人们所知,并已在工业实践中引入。驱动器的安全状态通常为静止状态,安全关闭扭矩或力产生,并进行安全制动控制。即使是在继续移动时可以请求的安全功能,例如安全限制扭矩、安全限制速度或安全限制位置范围,也始终包括在检测到故障后关闭扭矩和力,作为安全出错响应。
复杂的出错响应尤其可能在指定时间内到达安全位置。例如,用于调整风力涡轮机转子叶片角度的变桨驱动器就是一个例子。根据应用情况,进一步可能的出错响应可能是根据定义的加速度或制动斜坡,保持驱动速度或将驱动速度降低/提高到给定的目标值。
执行复杂出错功能的先决条件是,尽管处于危急运行状态,但电源控制器的控制模块仍能可靠地控制该出错响应。但是,如果由于复杂附加功能中的软件出错,控制模块本身无法正常工作,并且处理器功率完全被运行与安全无关的附加功能占用,则这是不可能的。
DE 10 2012 012 521A1描述了用于机器环境中安全关键应用的可编程控制器。安全关键程序组件的功能不受其他程序组件的出错或过程的影响。可以使用各种标准来控制应用程序的流程;例如,可以基于运行时系统和操作系统来保证流控制。在运行时系统结构的基础上,正常程序和安全程序并行独立运行,其中,建议将对控制重要的所有组件集成到具有特定硬件架构的硬件组件上,并通过两个运行时系统的至少双运行时系统结构将它们彼此分离,以允许对非安全关键的组件进行更改。可以通过对其中一个运行时系统进行优先级排序来实现分离。
DE 10 2005 007 477A1公开了一种用于机器和/或系统自动化的可编程控制器,其具有标准控制功能的标准控制器和基于PC的具有安全功能的安全控制器。安全控制器由一个或多个连接到PC总线的安全模块组成,安全模块中提供安全认证固件。因此,通过控制单元内的模块化划分,该控制提供了非安全相关标准功能和安全功能之间的分离。通过这种划分,标准功能不受任何与安全相关的限制,可以以相应复杂的方式实现。
鉴于所述情况,本发明的目的是提供一种可编程电子功率调节器,利用该电子功率调节器,即使在危急运行状态下,控制模块仍能可靠地处理复杂的出错响应,以便以规定的方式使系统安全停转。
这一目标是通过导言中所述类型的可编程电子功率调节器实现的,尤其是可编程电子功率调节器的控制模块具有基本控制器、附加控制器和控制器断开点。
特别是,控制模块可能由这三个部件组成。
基本控制器配置为输出功率模块控制信号。此外,优选地,在基本控制器中实现危急运行状态下紧急操作所需的驱动器自给自足的开环和闭环控制的所有功能。因此,基本控制器是用于控制驱动器的控制模块的一部分(即,将控制信号输出到功率模块)。然后,功率模块以驱动器控制信号的形式提供驱动器所需的功率。驱动器控制信号尤其可以是向驱动器(例如三相电机)供电的电流和/或电压信号。
为驱动器的独立开环和闭环控制实现的功能包括,特别是,用于将(逻辑)控制命令从开环和/或闭环控制器转换为(面向机器的)功率模块控制信号的指令,驱动器的开环和闭环控制算法,以及可能需要一个传感器系统。
对于风力涡轮机的变桨驱动,用于对转子轮毂上的一个转子叶片进行旋转调整,作为首选应用,机电驱动器尤其可以是三相驱动(三相电机)。在这种情况下,三相驱动自动开环和闭环控制的基本控制器尤其包括测量值采集、现场模型(主要基于采集的测量值,用于描述驱动器或由驱动器控制的系统的状态),闭环电流控制、调制、速度控制。
在危急运行状态下紧急操作不需要的功能在附加控制器中实现。这些功能可能包括评估外部传感器、生成运动轮廓或通过(在某些情况下是复杂的)通信接口与外部系统进行实时通信等功能。此类功能对于优化由驱动器控制的系统的运行尤其有用,但不具有安全关键性。进一步的附加功能可以方便地诊断、参数化、用户编程和调试可编程电子功率调节器,并简化维护和维修。
因此,作为可选元件,根据本发明,所建议的电子功率调节器因此可以通过附加控制器的接口连接或连接到外部控制器。根据本发明,附加控制器可以被设置为从附加控制器向外部控制器发送操作数据和/或从外部控制器接收控制数据。
根据本发明提供的控制器断开点通过控制连接将基本控制器与附加控制器连接,控制连接可以包括从基本控制器到附加控制器的控制连接和从附加控制器到基本控制器的控制连接。在正常操作中,控制连接允许基本控制器和附加控制器共同使用,并且它们可以相互交换数据。因此,在正常操作中,不仅可以执行紧急操作所需的、在基本控制器中实现的功能,还可以执行只能在正常操作中执行、在附加控制器中实现的功能。
如果发生出错,即,当内部监控模块检测到危急运行状态时,控制器断开点被配置为从内部的监控信号接收错误信号,并且在接收到错误信号后,至少部分断开控制连接,例如,在从基本控制器到控制器的控制连接的连接方向上,或者在从附加控制器到基本控制器的控制连接的连接方向上,但最好完全在两个连接方向上。换句话说,根据本发明的监控模块被配置为在紧急操作中执行基本控制器与附加控制器的功能性断开,从而可以防止附加控制器对基本控制器的任何外部影响。
利用根据本发明的可编程电子功率调节器,可以实现一种同样的是根据本发明的方法,利用该方法在控制模块中实现安全驱动器控制,其中在检测到出错功能后,切换到功能范围缩小的紧急操作,其中,基本控制器自动执行复杂的出错响应,在以现有技术中常见的方式安全关闭驱动器之前,无干扰和/或附加控制器的访问。根据本发明,特别是在紧急操作中,可以免除在软件中执行出错评估。这种出错评估通常很费力,尤其用于在达到危急运行状态之前系统地检测和报告故障。因此,存在通过软件更新纠正系统出错和/或防止提前发展危急运行状态的可能性。当达到危急运行状态时,资源被转移到执行复杂的出错功能上。因此,根据本发明,可以在附加控制器中实施(综合)出错评估,因此在紧急操作中可能不可用。
根据本发明的上下文,可以理解,当用于基本功能和附加功能的软件组件在同一微控制器上执行并共享资源(CPU、外围设备、存储器)时,尤其会发生紧急操作中的问题。为了避免这个问题,控制的各个部分被分为一个自给自足的基本控制器和一个附加控制器,提供可靠的控制器断开点,以可靠地将两个子控制器彼此分离,尤其是在发生严重出错的情况下。本发明中描述的解决方案通过减少功能范围启动紧急操作,也就是说,通过独立的监控模块将复杂的控制硬件和软件分离为基本控制器和附加控制器。基本控制器仅包含减少的紧急操作功能范围所需的硬件和软件组件,总体而言,其复杂性明显低于附加控制器。这样做的一个优点是,驱动器控制软件的安全相关评估(即,控制模块)可以仅限于基本控制器的软件,因此比评估整个控制软件要简单得多。
在一个简单的实施例中,可以通过在两个控制器之间插入优选的双向接口来实现基本控制器和附加控制器的分离,从而在两个控制器之间实现控制连接(在通信连接的意义上),从而可以在两个控制器之间交换数据。在这种情况下,可以通过中断通信接口将基本控制器与附加控制器分离。
在另一个可以附加或替代的优选例中,控制器断开点可以以存储器保护装置的形式实施,该存储器保护装置被配置为保护基本控制器的指定存储器区域不受附加控制器的影响。为此,例如,可以实现关于对基本控制器的存储器区域的访问限制(例如,写入限制,甚至可能与读取限制结合)。这还可以防止附加控制器中的技术软件问题影响基本控制器。这也表现为基本控制器和附加控制器之间的控制连接断开。
在另一个可替代或进一步的优选例中,控制器断开点可被配置为在接收到来自内部监控模块的错误信号时将附加控制器置于重置状态,并将其保持在该状态,直到紧急操作结束。在重置状态下,附加控制器对功率调节器没有影响,因此基本控制器不会受到附加控制器的影响。这也分离了基本控制器和附加控制器之间的控制连接。
根据本发明提出的功率调节器的优选实施例,控制模块可包括多个处理器,基本控制器和附加控制器在不同的处理器上实现。因此,为基本控制器和附加控制器都提供至少一个专用处理器。这样,也可以在硬件中实现基本控制器和附加控制器的分离。如有必要,在紧急模式下,处理器可与附加控制器一起关闭或停用,以避免附加控制器对复杂出错响应的执行产生任何影响,并以这种方式分离基本控制器和附加控制器之间的控制连接。
在本发明的类似实施例中,控制模块可以具有多核处理器,基本控制器和附加控制器分别被安装在多核处理器的至少一个不同核心上。通过这种方式,基本控制器和附加控制器之间的控制连接也在硬件层面上实现分离。
作为进一步的安全特征,根据本发明的功率模块可以具有功率模块断开点,该断开点设置在功率模块和驱动器连接之间,并且被配置为接收来自内部监控模块的错误信号,并且在接收到所述信号之后,不将驱动器控制信号转发至驱动器连接(实际上:不转发至一个或多个驱动器)。这大致相当于紧急停止功能,完全断开与驱动器的连接,即,使得驱动器立即停止。在这种情况下,不能再执行根据本发明的复杂出错响应。这种情况可能发生在关键硬件部件发生故障后,这些部件不再允许功率调节器紧急操作。在这种情况下,建议立即关闭机电驱动器。
在这种情况下,(有效地作为出错处理的第二后备级别),内部监控模块可以通过向功率模块断开点发送错误信号来激活功率模块断开点,从而从功率调节器断开一个或多个外部连接的组件。通过这种方式,可以防止外部连接部件和功率调节器之间的功率流动。多个部件可能是执行不同调整过程的各种驱动器,并且可以由功率调节器单独或一起安装。可能的驱动器可以是电机、行车制动器或其他电动装置。例如,行车保持制动器可能以这样的形式实现:释放制动器需要能量供应,当能量供应被移除时,制动器接合。
连接到功率模块的其他组件可以是电源,例如主电源或能量存储系统。激活功率模块断开点还可以优选地从功率调节器的功率模块断开电源,从而关闭所有连接的驱动器。
单个组件可以有选择地、成组地或一起分离。
在本发明的特别优选实施例中,内部传感器、外部传感器和/或外部监控模块可以连接到内部监控模块,内部传感器、外部传感器和/或外部监控模块被配置为向内部监控模块发送数据信号。例如,内部和外部传感器可以是具有传感器的测量值变送器,传感器将传感器信号和/或从传感器信号导出的传感器值作为数据信号传输。外部监控模块可以是一个独立的安全模块,用于检测出错或危险情况,收集并评估自动收集的信息(测量值、状态值或其他数据)。例如,错误信号可以作为数据信号发送到内部监控模块。该错误信号可被视为发送至内部监控模块的信号,要求将可编程电子调节器置于紧急操作中,根据本发明,在该操作中,基本控制器与附加控制器分离(复杂出错响应的执行),和/或将功率模块与连接的驱动器、电源和/或其他连接的电源部件断开(部件关闭,特别是在紧急停止的情况下)。
基本控制器也可以直接连接到内部监控模块,并向内部监控模块发送数据信号。这种数据信号的一种可能性是错误信号。该错误信号也可理解为发送至内部监控模块的信号,请求将可编程电子功率调节器切换至紧急操作,例如,如果基本控制器和/或(也在正常操作中)附加控制器的状态在基本控制器中被识别为关键状态,这可能会导致基本控制器和/或附加控制器出现故障。
作为对评估的响应,如果内部监控模块检测到关键操作情况,则内部监控模块可发送一个或多个错误信号。例如,通过将接收到的数据信号与允许的范围进行比较,可以确定关键的操作情况。如果有必要,也可以使用代数规则、模糊逻辑方法或人工智能(AI)组合多个数据值。
内部监控模块还可以识别不同级别的危急运行状态,并根据检测到的级别发出不同的错误信号。下面将解释错误信号的各种可能性。所有这些错误信号可以单独或以任何组合传输,可能除了错误信号之外,还可以传输到前面描述的控制器断开点。
在根据本发明的较佳实施例中,内部监控模块可被配置为向基本控制器发送错误信号(重启错误信号),其中基本控制器被设置为在接收到所述错误信号时触发基本控制器的重启。如果复杂的可编程功率调节器在关键系统状态下发生故障,则可通过重启驱动器控制器的软件来激活紧急操作。
根据另一优选例,重启的方式是,在由重启错误信号触发重启后,控制模块自动在紧急模式下工作,即基本控制器与附加控制器断开。
在重启期间,整个控制器最好关闭,只有基本控制器启动。这样,可以按照系统安全响应时间的要求尽快执行重启。重新启动后,软件自动在紧急模式下工作,在紧急模式下,可编程电子功率调节器不需要的复杂附加功能被可靠地停用。因此,消除了复杂附加功能中系统软件出错对紧急操作所需基本功能可用性的潜在危险影响。例如,附加控制器可以保持在前面描述的重置状态,直到关键操作情况不再存在。
根据本发明的这种优选例的一个特殊优点在于,在快速重启之后,基本控制器在确定的操作状态下工作,并且可以可靠地执行待处理的复杂出错响应。
根据另一个优选例,内部监控模块可被配置为向基本控制器发送错误信号,其中基本控制器被配置为在接收到该错误信号(早期警告错误信号)时准备紧急操作。该预警错误信号可由内部监控模块提前发送,例如,如果内部监控模块中存在可能的危急运行状态指示,或例如,未在内部监控模块中完全确认。例如,可以在基本控制器中使用这种早期警告错误信号来检查基本控制器的工作状态,取消在附加控制器请求时执行的功能,和/或向内部监控模块发送数据信号,表明重新启动基本控制是可取的或必要的。这种预警错误信号可以启动有序过渡到紧急操作。
根据本发明,可以向外部监控模块发送进一步的错误信号,以便将危急运行状态的发生转发给报警控制中心,以便例如报告报警。外部监控模块也可以是安装在同一系统中的一个或多个进一步可编程功率调节器的内部监控模块。这使得各种功率调节器能够在同一个系统中联网。这是有利的,因为检测到的一个功率调节器的关键运行情况,尤其是来自环境影响的情况,通常也适用于同一系统的其他功率调节器。基于这样的网络,可以在整个系统中快速检测到这一点。
除了出现危急运行状态或启动紧急操作后的错误信号外,还可以向外部监控模块发送之前描述的早期警告错误信号。
在一个特别优选的实施例中,只有基本控制器可以被配置为向功率模块发送功率模块控制信号和/或执行控制模块的其他(基本)功能。这样,基本控制器的基本功能,尤其是与驱动器直接控制相关的功能,可以在正常操作(即基本控制器和附加控制器处于活动状态)和应急模式(即基本控制器处于激活状态,附加控制器处于禁用/停用状态)。因此,可以假设,这些功能在紧急操作中也将在没有出错的情况下执行。换言之,紧急操作所需的大部分功能也在正常运行期间持续运行或使用。因此,这些功能可被视为已得到操作验证。
为了再次取消紧急操作,例如当危急运行状态不再存在时,根据本发明,内部监控模块可配置为检测紧急操作的结束,并将可编程电子功率调节器从紧急操作中移除,以将可编程电子功率调节器从紧急操作切换到正常操作,尤其是通过停用控制断开点和/或功率模块断开点。
内部监控模块可以有利地是可编程电子功率调节器的自动控制功能单元,其可以独立于控制模块进行操作。换言之,这意味着,即使控制模块和功率模块均未激活,功率调节器的内部监控模块仍能正常工作。这种与功率调节器其他功能单元的独立性导致了可靠的安全功能。通过这种方式,内部监控模块还可以承担看门狗功能,尤其是检查基本控制器的功能,例如,通过在准连续的基础上查询某些状态数据。如果未接收到状态数据,内部监控模块可以在正常操作中重新启动整个控制模块,或在紧急操作中仅重新启动基本控制器。
本发明还涉及所建议的可编程电子功率调节器用于控制风力涡轮机的变桨系统的特别有利用途,其中一个或多个转子叶片的旋转位置设置在转子轮毂中。这构成了一个特别安全关键的应用,例如,在发生风暴或强风时,风力涡轮机的转子叶片必须移动到叶片位置,在该位置,吹到转子叶片上的风只向转子叶片传递少量的力,这样就避免了转子叶片与风力涡轮机转子轮毂分离的最坏情况
一个有利的用途也适用于其他应用,例如确保关键过程中驱动器的不间断运行,例如化学生产过程、电驱动装置或其他应用,在这些应用中,简单地关闭驱动器(紧急停止)可能会导致特别危险的情况。
本发明的其他优点、特征和应用能力也在以下示例性实施例和附图的描述中确定。文本中描述和/或附图中图示的所有特征一起或以任何技术意义上的组合构成本发明的主题,无论它们在所描述或图解的示例性实施例或权利要求中如何总结。
图1显示了可编程电子功率调节器200的功能部件的示意图。
可编程电子功率调节器200包括功率模块10,其通过电源连接101连接到电源100和/或通过电源连接91连接到能量存储系统90(例如,在发生电源故障的情况下),以提供能量。功率模块10通过驱动器控制信号81来控制连接到功率调节器200的驱动器80。
功率模块10由控制模块20通过功率模块控制信号29控制。有关功率模块10的状态数据通过反馈信号15报告控制模块20。
为了使控制模块20即使在关键操作情况下也能可靠地继续处理复杂的出错响应,并且能够以安全的方式使系统达到规定的静止状态,可编程电子功率调节器200具有自主运行的内部监控模块30,其被配置为检测和评估危急运行状态。
内部监控模块30从内部信号发生器40接收用于评估的数据信号41。内部信号发生器40尤其可以包含传感器,该传感器检测例如电子功率调节器200中的温度等状态值,并将其作为数据信号41发送到内部监控模块30。
类似地,外部信号发生器70的外部传感器,即连接在功率调节器200外部,连接至内部监控模块30,并通过数据信号71将检测到的状态值发送至内部监控模块30。
内部监控模块30从外部监控模块50接收进一步的数据信号51,例如,外部监控模块50可以检测和评估外部环境对受驱动器影响的系统的影响。如果这些外部环境影响表明受驱动器80影响的系统处于危险状态,则外部监控模块50发送数据信号51,该信号将被理解为请求内部监控模块30识别危险工作状态的信号。
通过软件记录并评估到达内部监控模块30的数据信号41、71、51。如果内部监控模块30检测到危急运行状态,则通过发送错误信号31将控制模块20置于紧急模式。
与单纯的紧急停止功能不同,控制模块20的紧急操作仍必须执行复杂的出错响应,并通过功率模块控制信号29对驱动器80进行适当操作,以使系统以规定的方式安全停止。关于这种复杂的出错响应在实际中应该如何处理的规则可以输入到控制模块20,例如通过对某些过程序列进行适当的编程。
由于功能广泛的复杂控制器,尤其是可编程控制器,容易出现软件出错或故障,而另一方面,安全关键功能仍必须可靠执行,本发明将控制模块20中的控制划分为基本控制器21和附加控制器23。
基本控制器21包含精简的紧急操作功能所需的硬件和软件组件。这些特别包括用于从内部信号发生器40和外部信号发生器70输出功率模块控制信号29的连接和数据信号42、72的连接。由这些信号发生器40、70捕获的传感器的值通常也需要用于复杂出错响应的处理。
附加控制器23包含紧急操作不需要的附加功能,例如评估外部控制器60中的外部传感器,用于生成运动学运动曲线(kinemat ic motion profiles),并用于通过(复杂)通信接口与外部系统(例如外部控制器60)进行实时通信。外部控制器60从控制器接收带有操作数据的数据信号26(接收由附加控制器23发送的操作数据),并发送带有外部控制数据的数据信号61(由附加控制器23接收的外部控制器60的数据传输)。
例如,附加控制器23的其他附加功能能够方便地诊断、参数化、用户编程和调试可编程电子功率调节器200。
为了避免附加控制器23在执行基本控制器21的功能时出现出错,例如由于软件出错,而不必对附加控制器的整个软件进行复杂的安全检查,电子功率调节器200配备有控制器断开点22,其设置在从基本控制器21到附加控制器23的控制连接24中,以及从附加控制器23到基本控制器21的控制连接25中,并且可以通过来自内部监控模块30的错误信号31激活以设置紧急操作。控制器断开点22的激活可防止附加控制器23访问基本控制器21。这可以通过多种方式在技术上实现,例如通过防止附加控制器23访问基本控制器21存储器,通过将附加控制器23置于非激活或复位状态(例如有效地使附加控制器23断电),通过断开基本控制器21和附加控制器23之间的通信链路(例如不同处理器通过通信链路彼此连接),或类似的技术。
这是一种非常有效的方法,可以将控制模块20的功能限制为紧急操作中必不可少的功能,并避免由于附加控制器23的复杂功能而导致的紧急操作出错。
内部监控模块30还可以向基本控制器21发送错误信号32,其在基本控制器21内触发该基本控制器21在紧急操作中重新启动,并且优选地同时停用附加控制器(重启错误信号)。在技术方面,这可以通过快速关闭整个控制模块20(包括基本控制器21和附加控制器23)以及选择性重启基本控制器21来实现。此外,如有必要,内部监控模块30还可以提前发出错误信号33,提供紧急操作的提前通知(预警错误信号)。这使得基本控制器21能够为紧急操作做好准备。
还可以,例如,如果基本控制器21检测到附加控制器23和/或基本控制器21的不稳定状态,则其向内部监控模块30发送带有该信息的数据信号28以进行评估,并且该模块评估该信息,然后在必要时,以所述方式启动紧急操作。
根据内部监控模块30确定的工作状态类型,还可能需要驱动器80或整个系统立即紧急停机,而不是驱动器80受控停机的复杂出错响应。在优选实施例中,内部监控模块30可以通过向功率模块断开点11发送错误信号34,在不涉及基本控制器21的情况下实现这一点,其被配置为在由错误信号34(电源100,能量存储系统90)激活时,选择性地断开电源的某些或所有电源输入,并选择性地断开一个或多个驱动器80的某些或所有电源输出(为了简单起见,图中仅显示了一个驱动器)。这复制了经典的紧急停止功能。
在启动紧急操作和/或提前警告的情况下,内部监控模块30还可以向外部监控模块50发送错误信号36,外部监控模块50可以连接到控制室或控制中心。
附图标记列表:
10:功率模块
11:功率模块断开点
15:反馈信号
20:控制模块
21:基本控制器
22:控制器断开点
23:附加控制器
24:从基本控制器到附加控制器的控制连接
25:从附加控制器到基本控制器的控制连接
26:带操作数据的数据信号
28:带操作数据的数据信号
29:功率模块控制信号
30:内部监控模块
31:(传输到)控制器断开点的错误信号
32:(传输到)基本控制器的用于重新启动的错误信号(重新启动错误信号)
33:(传输到)基本控制器的用于提前通知的错误信号(预警错误信号)
34:(传输到)功率模块断开点的错误信号
36:(传输到)外部监控模块的错误信号
40:内部信号发生器
41:数据信号
42:数据信号
50:外部监控模块
51:数据信号
60:外部控制单元(外部控制器)
61:带有外部控制数据的数据信号
70:外部信号发生器
71:数据信号
72:数据信号
80:机电驱动器
81:驱动器控制信号
90:能量存储系统
91:电源连接
100:电源
101:电源连接
200:可编程电子功率调节器。

Claims (16)

1.一种可编程电子功率调节器,包含:用于通过驱动器控制信号(81)控制至少一个驱动器(80)的功率模块(10),该驱动器(80)连接到功率模块(10),用于通过功率模块控制信号(29)启动功率模块(10)的控制模块(20),以及用于将控制模块(20)转变到紧急操作的内部监控模块(30),其中控制模块(20)被配置为执行预定义的出错响应,并将驱动器(80)置于安全状态,其中内部监控模块(30)被配置为监控系统状态,检测危急运行状态,并输出至少一个错误信号(31、32、33、34、36),其中控制模块(20)包括:
·基本控制器(21),其配置为输出功率模块控制信号(29),并在其中实现驱动器(80)在危急运行状态下紧急操作所需的开环和闭环控制功能,
·一个附加控制器(23),在该控制器中实现在危急运行状态下紧急操作不需要的功能,以及
·控制器断开点(22),其通过控制连接(24,25)将基本控制器(21)与附加控制器(23)连接,并配置为从内部监控模块(30)接收错误信号(31),并在接收到错误信号后至少部分断开控制连接(24,25)。
2.根据权利要求1所述的可编程电子功率调节器,其特征在于,控制器断开点(22)作为存储器保护装置,被配置为保护基本控制器(21)的指定存储区域不受附加控制器(23)的影响。
3.根据权利要求1或2所述的可编程电子功率调节器,其特征在于,控制器断开点(22)被配置成在从内部监控模块(30)接收到错误信号(31)时将附加控制器(23)置于复位状态,并保持所述复位状态,直到紧急操作终止。
4.根据权利要求1-3任意一项所述的可编程电子功率调节器,其特征在于,所述控制模块(20)包括多个处理器,其中所述基本控制器(21)和所述附加控制器(23)各自在至少一个不同的处理器上实现。
5.根据权利要求1-3任意一项所述的可编程电子功率调节器,其特征在于,所述控制模块(20)包括多核处理器,其中所述基本控制器(21)和所述附加控制器(23)分别在所述多核处理器的至少一个不同的核上实现。
6.根据上述权利要求任意一项所述的可编程电子功率调节器,其特征在于,所述功率模块(10)包括一个功率模块断开点(11),该功率模块断开点设置在所述功率模块(10)和与所述驱动器(80)的连接之间,并被配置为从所述内部监控模块(30)接收所述错误信号(34),以及在接收到该信号后,不将驱动器控制信号(81)转发至驱动器(80)的连接。
7.根据上述权利要求任意一项所述的可编程电子功率调节器,其特征在于,内部信号发生器(40)、外部信号发生器(70)和/或外部监控模块(50)连接至内部监控模块(30),其中内部信号发生器(40),外部信号发生器(70)和/或外部监控模块(50)被配置为向内部监控模块(30)发送数据信号(41、51、71)。
8.根据权利要求7所述的可编程电子功率调节器,其特征在于,所述外部监控模块(50)是另一可编程电子功率调节器(200)的内部监控模块(30)。
9.根据上述权利要求任意一项所述的可编程电子功率调节器,其特征在于,所述基本控制器(21)连接至所述内部监控模块(30),并且被配置为向所述内部监控模块(30)发送数据信号(28)。
10.根据上述权利要求任意一项所述的可编程电子功率调节器,其特征在于,内部监控模块(30)配置为评估接收到的数据信号(28、41、51、71),并在检测到危急运行状态时发送一个错误信号(31、32、33、34、36)或多个错误信号(31、32、33、34、36)。
11.根据权利要求8或9所述的可编程电子功率调节器,其特征在于,内部监控模块(30)被配置为向基本控制器(21)发送错误信号(32),其中基本控制器(21)被配置为在接收到所述错误信号(32)时触发基本控制器(21)的重启。
12.根据权利要求8-10任意一项所述的可编程电子功率调节器,其特征在于,内部监控模块(30)被配置为向基本控制器(21)发送错误信号(33),其中基本控制器(21)被配置为在接收到所述错误信号(33)时准备紧急操作。
13.根据上述权利要求任意一项所述的可编程电子功率调节器,其特征在于,只有基本控制器(21)被配置为向功率模块(10)发送功率模块控制信号(29)。
14.根据上述权利要求任意一项所述的可编程电子功率调节器,其特征在于,内部监控模块(30)被配置为检测紧急操作的结束,并将可编程电子功率调节器(200)从紧急操作切换到正常操作。
15.根据上述权利要求任意一项所述的可编程电子功率调节器,其特征在于,所述内部监控模块(30)是所述可编程电子功率调节器(200)的自动控制功能单元,能够独立于所述控制模块(20)进行操作。
16.一种根据权利要求1至15中任意一项所述的可编程电子功率调节器(200)的用途,其特征在于,所述功率调节器(200)用于控制风力涡轮机的变桨系统,所述变桨系统用于在转子轮毂上调整至少一个转子叶片的旋转位置。
CN202080066608.8A 2019-09-25 2020-09-22 可编程电子功率调节器 Pending CN114467245A (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
DE102019125867.7A DE102019125867B4 (de) 2019-09-25 2019-09-25 Programmierbarer elektronischer Leistungssteller
DE102019125867.7 2019-09-25
PCT/EP2020/076412 WO2021058471A1 (de) 2019-09-25 2020-09-22 Programmierbarer elektronischer leistungssteller

Publications (1)

Publication Number Publication Date
CN114467245A true CN114467245A (zh) 2022-05-10

Family

ID=72615874

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202080066608.8A Pending CN114467245A (zh) 2019-09-25 2020-09-22 可编程电子功率调节器

Country Status (6)

Country Link
US (1) US11537110B2 (zh)
EP (1) EP4034949B1 (zh)
CN (1) CN114467245A (zh)
DE (1) DE102019125867B4 (zh)
PL (1) PL4034949T3 (zh)
WO (1) WO2021058471A1 (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102020208577A1 (de) 2020-07-08 2022-01-13 Robert Bosch Gesellschaft mit beschränkter Haftung Nothalt-Einrichtung
US11403158B2 (en) * 2020-07-23 2022-08-02 Fisher Controls International Llc Discrete logic safety systems for smart process control devices

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102005007477B4 (de) 2005-02-17 2015-06-11 Bosch Rexroth Aktiengesellschaft Programmierbare Steuerung zur Maschinen-und/oder Anlagenautomatisierung mit Standard-Steuerungs- und Sicherheitsfunktionen und Kommunikation mit einer Sicherheits-EA sowie Verfahren zum Betrieb der programmierbaren Steuerung
US8538558B1 (en) 2012-03-01 2013-09-17 Texas Instruments Incorporated Systems and methods for control with a multi-chip module with multiple dies
DE202012013193U1 (de) 2012-06-26 2015-05-06 INTER CONTROL Hermann Köhler Elektrik GmbH & Co KG Vorrichtung für eine sicherheitskritische Anwendung
DE102015003194A1 (de) 2015-03-12 2016-09-15 Infineon Technologies Ag Verfahren und Vorrichtung zum Handhaben von sicherheitskritischen Fehlern
DE102017109886A1 (de) * 2017-05-09 2018-11-15 Abb Ag Steuerungssystem zum Steuern von sicherheitskritischen und nichtsicherheitskritischen Prozessen mit Master-Slave-Funktionalität
FR3085562B1 (fr) * 2018-08-30 2020-09-04 Safran Nacelles Aiguilleur electrique haute disponibilite : controle d’une chaine d’actionnement simplex par un controle redonde
EP3644145A1 (en) * 2018-10-25 2020-04-29 ABB Schweiz AG Control system for controlling safety-critical and non-safety-critical processes

Also Published As

Publication number Publication date
US20220342396A1 (en) 2022-10-27
EP4034949A1 (de) 2022-08-03
PL4034949T3 (pl) 2024-04-08
DE102019125867B4 (de) 2022-05-05
EP4034949C0 (de) 2023-11-08
US11537110B2 (en) 2022-12-27
DE102019125867A1 (de) 2021-03-25
WO2021058471A1 (de) 2021-04-01
EP4034949B1 (de) 2023-11-08

Similar Documents

Publication Publication Date Title
CN107407919B (zh) 安全控制系统和安全控制系统的运行方法
CN107110118B (zh) 机电驱动系统
EP2372478B1 (en) Motor driving system and motor controller
EP3588208B1 (en) Servo system
DK2132440T3 (da) Drivindretning til at drive flere aksler
EP3388906B1 (en) Motor control system, motor controller, and method for setting safety function
US4890284A (en) Backup control system (BUCS)
US20210129855A1 (en) Electronic control device, control system, and reset determination method
CN114467245A (zh) 可编程电子功率调节器
WO2017056688A1 (ja) 監視システム及び車両用制御装置
US20190010924A1 (en) Method for controlling a machine or process with increased safety
CN107895937B (zh) 一种电机控制器冗余保护电路和电子设备
US7952314B2 (en) Electronic control device of an electrical drive system with redundant disconnection device
JP2016146184A (ja) 緊急停止方法、緊急停止システム及びその自己診断方法
JP2016206842A (ja) 制御装置
CN116243594B (zh) 一种飞行器控制系统、飞行控制方法、存储介质
CN103189641B (zh) 风力发电设备和用于风力发电设备的受控停机的方法
JP4980947B2 (ja) 制御システム及び制御方法
WO2021127805A1 (zh) 一种变频器的功能安全装置
US20190091863A1 (en) System and method for controlling a robot
CN115389077B (zh) 碰撞检测方法、装置、控制设备及可读存储介质
US20220341392A1 (en) Pitch drive controller for a wind turbine, pitch drive control device, and method for controlling a pitch drive controller
EP4087076A1 (en) Autonomous method to prevent brownout of subsea electronic modules
KR20120059216A (ko) 네트워크 기반 모션 제어 시스템 및 그 방법
CN116968015A (zh) 机器人关节控制系统及方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination