DE102006005764A1 - Verfahren zur Regelung von Erprobungsmustern im Maschinenbau - Google Patents

Verfahren zur Regelung von Erprobungsmustern im Maschinenbau Download PDF

Info

Publication number
DE102006005764A1
DE102006005764A1 DE200610005764 DE102006005764A DE102006005764A1 DE 102006005764 A1 DE102006005764 A1 DE 102006005764A1 DE 200610005764 DE200610005764 DE 200610005764 DE 102006005764 A DE102006005764 A DE 102006005764A DE 102006005764 A1 DE102006005764 A1 DE 102006005764A1
Authority
DE
Germany
Prior art keywords
computer
control
security
channel
emergency
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE200610005764
Other languages
English (en)
Inventor
Friedrich Schwamm
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
SILVER ATENA ELECTRONIC SYSTEMS ENGINEERING GM, DE
Original Assignee
ATENA ENGINEERING GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ATENA ENGINEERING GmbH filed Critical ATENA ENGINEERING GmbH
Priority to DE200610005764 priority Critical patent/DE102006005764A1/de
Publication of DE102006005764A1 publication Critical patent/DE102006005764A1/de
Withdrawn legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • G05B9/03Safety arrangements electric with multiple-channel loop, i.e. redundant control systems

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Safety Devices In Control Systems (AREA)

Abstract

Die vorliegende Erfindung bezieht sich auf eine Steuereinheit und ein Regelverfahren, so ausgestaltet, dass die schädlichen Folgen einer Fehlerhaftigkeit der regelnden Steuereinheit minimiert werden. In dem erfindungsgemäßen Verfahren zur Regelung von Prozessen kommen ein Hauptrechner und zwei Sicherheitsrechner zur Anwendung. Im nicht fehlerhaften Betrieb wird der Prozess von allen drei Rechnern überwacht, aber lediglich vom Hauptrechner geregelt. Im Falle einer Fehlerhaftigkeit im Hauptrechner schaltet der eine der Sicherheitsrechner die Regelung vom Hauptrechner zum anderen Sicherheitsrechner, wobei dieser andere Sicherheitsrechner lediglich für eine Notregelung ausgelegt ist. Diese Notregelung kann beispielsweise eine geregelte Abschaltung des Prozesses bewirken. Das Verfahren sowie die Steuereinheit, die die Regelung gemäß diesem Verfahren durchführt, werden besonders vorteilhaft bei der Regelung von Verdichterprüfständen eingesetzt, da hier ein durch Rechnerausfall außer Kontrolle geratener Prozess zu erheblichen Schäden führen würde.

Description

  • Technisches Gebiet
  • Die Erfindung betrifft eine Steuereinheit, einen Prüfstand mit einer solchen Steuereinheit, sowie ein Verfahren zur risikoarmen Regelung von Erprobungsmustern im Maschinenbau. Die Erfindung vermindert insbesondere das Schadensrisiko am zu regelnden System bei eintreten von Fehlern in den für die Regelung verwendeten Rechnern.
  • Die Erfindung ist insbesondere für die sichere Steuerung eines Verdichterprüfstandes geeignet. Wird auf einem solchen Prüfstand beispielsweise ein Entwicklungsverdichter geprüft, bei dem die Leitgitter auf Soll-Positionen zu regeln sind, wobei die Soll-Positionen von der Verdichterdrehzahl und der Luft-Einlauftemperatur abhängen, kann eine zu starke Abweichung der Positionen von diesen Sollwerten zu Pumpstößen führen, durch die der Verdichter zerstört werden kann. Die Abweichung kann insbesondere als Folge einer vermeidbaren Fehlerhaftigkeit der den Prozess regelnden Steuereinheit zurückgehen. Die Erfindung bezieht sich auf eine Steuereinheit und ein Regelverfahren, das dafür sorgt, die schädlichen Folgen einer Fehlerhaftigkeit der regelnden Steuereinheit zu minimieren.
  • Stand der Technik
  • Gemäß dem Stand der Technik wird ein solcher Verdichterprüfstand mit beispielsweise einem Triebwerksregler, bevorzugt zweikanalig, geregelt. Zweikanalig bedeutet hierbei, dass alle funktionswesentlichen Komponenten zweifach vorhanden sind. Diese zweifache Ausführung umfasst insbesondere auch die eigentlichen Prozessoreinheiten zur Ausführung des Regelverfahrens. Solche zweikanaligen Regler kommen ganz allgemein bei sicherheitskritischen Anwendungen bzw. Anwendungen, die sehr hohe Zuverlässigkeit erfordern, zum Einsatz.
  • Ein zweikanaliger Regler stellt prinzipiell eine ausreichende Redundanz bereit, denn mit der heute zur Verfügung stehenden Schaltungstechnologie ist das Risiko des gleichzeitigen Ausfalls beider Kanäle vernachlässigbar gering. Lange Zeit stellte aber die Aufgabe, den Ausfall nur eines Kanals sicher zu erkennen, eine Schwierigkeit dar, denn bei der bloßen Abweichung der Stellsignale voneinander kann bei einem zweikanaligen Regler nicht erkannt werden, welcher der Kanäle eine Fehlfunktion aufweist. Aus diesen Gründen wird bei zweikanaligen Reglern eine weitgehend autarke Überwachung innerhalb jedes der beiden Kanäle realisiert und zwar beispielsweise in Form einer kanalinternen Abschätzung der korrekten Ergebnisse. Zusätzlich können noch die Ergebnisse des einen Kanals mit den Ergebnissen des anderen Kanals verglichen werden, wie in WO 00/67080 ausführlich dargestellt.
  • Zusammenfassend lässt sich also sagen, dass für die verwendeten Rechner eine, speziell auf das zu regelnde System abgestimmte, komplizierte, Hardware-Logik zur Überwachung vorgesehen werden muss. Die derart modifizierten Rechner sind aber regelmäßig gerade nicht Standardsysteme, sondern kundenspezifisch angepasste Produkte. Dies kann dann akzeptabel sein, wenn davon ausgegangen werden kann, dass das zu regelnde System nicht oder derart wenig modifiziert wird, dass es nicht mehr nötig ist, im Nachhinein weitere Modifikationen an dem zur Regelung der Systems verwendeten Regler vorzunehmen.
  • Demgegenüber sind jedoch solche Anpassungen bei Prüfständen, insbesondere wenn sie zur Erprobung neuer Entwicklungen eingesetzt werden, unvermeidlich.
  • Die Notwendigkeit einer auf das zu regelnde System abgestimmte Hardware-Logik zur Überwachung kann vermieden werden, wenn ein Dreikanal-Regler zur Anwendung kommt. Hier ist es möglich, die von jedem Kanal erzeugten Stellsignale zu vergleichen und eine Mehrheitsentscheidung zu treffen. Die notwendige Logik für diese Entscheidungstreffung ist weitaus weniger kompliziert. Dies bedeutet aber, dass in allen dreien Kanälen alle Funktionen, die für die Regelung und Überwachung des zu regelnden Systems notwendig sind, implementiert sein müssen. Wird das zu regelnde System modifiziert, zum Beispiel im Zuge einer Weiterentwicklung, so muss nun die Modifizierung dreifach vorgenommen werden.
    •
  • Aufgabe der Erfindung
  • Der Erfindung liegt daher die Aufgabe zugrunde, ein Regelsystem anzugeben mit dem, insbesondere im Umfeld der Regelung von Erprobungsmustern, zuverlässig gefährliche Fehlfunktionen im Regelsystem selbst erkannt werden und das Regelsystem zuverlässig zur Schadens vermeidung reagiert, wobei die für das Umfeld der Regelung von Erprobungsmustern notwendige Flexibilität kostengünstig gewährleistet sein soll.
  • Übersicht über die vorliegende Erfindung
  • Erfindungsgemäß wird diese Aufgabe durch ein Regelsystem gelöst, in dem ein Hauptrechner sowie mindestens zwei Sicherheitsrechner vorgesehen sind. Im Hauptrechner sind alle wesentlichen Funktionen implementiert, die für die Regelung und Überwachung des zu regelnden Systems notwendig sind. In den beiden Sicherheitsrechnern sind dagegen im wesentlichen lediglich Funktionen implementiert, die bei Ausfall des Hauptrechners einen gesicherten Notbetrieb ermöglichen, der dafür sorgen kann, dass durch den Ausfall des Hauptrechners keine wesentlichen Schädigungen am zu regelnden System erfolgen. Ein solcher Notbetrieb kann beispielsweise darin bestehen, dass geregeltes Abschalten vollzogen wird.
  • Die Sicherheitsrechner haben daher jeweils prinzipiell zwei unterschiedliche Funktionen:
    • – Überwachung des Hauptrechners und bevorzugter Weise des anderen Sicherheitsrechners.
    • – Stellsignal-Generierung für das zu regelnde System bei Hauptrechner-Ausfall, um einen sicheren Notbetrieb zu gewährleisten, wobei der Notbetrieb darin bestehen kann, das zu regelnde System geregelt abzuschalten.
  • Wie dies verwirklicht wird hängt unter anderem davon ab, ob Stellgrössen einkanalig oder zweikanalig angesteuert werden müssen. Handelt es sich um einkanalig anzusteuernde Stellgrössen so muss gemäß einer Ausführungsform der vorliegenden Erfindung die Notbetriebsfunktion nur von einem der beiden Sicherheitsrechner ausgeführt werden. Im zweiten Sicherheitsrechner ist dann nur die Überwachung implementiert, die darüber entscheidet ob das Stellsignal des Hauptrechners oder das des ersten Sicherheitsrechners für die Prüflingsregelung verwendet wird.
  • Dass zwei Rechner gleichzeitig fehlerhafte Signale liefern ist, wie bereits ausgeführt, sehr unwahrscheinlich.
  • Im Fall von einkanalig anzusteuernden Stellgrössen gibt es daher im wesentlichen drei realistische Situationen:
    • 1. Alle drei Rechner funktionieren einwandfrei und führen im wesentlichen auf dieselben Stellsignal-Werte.
    • 2. Der erste Sicherheitsrechner liefert fehlerhafte Werte, während der Hauptrechner und der zweite Sicherheitsrechner dieselben einwandfreien Werte liefern. In dieser Situation ist ein Umschalten auf Notbetrieb nicht unbedingt notwendig, da der Hauptrechner das zu regelnde System weiterhin korrekt regelt. Allerdings sollten Mittel vorgesehen sein, die auf die Fehlerhaftigkeit des ersten Sicherheitsrechners aufmerksam machen. Es muss aber der Fall beachtet werden, bei dem der erste Sicherheitsrechner aufgrund seines eigenen Hardware-Ausfalls eine Umschaltung der Regelung durchführt. Aus diesem Grund ist das erfinderische System so ausgelegt, dass dieser erste Sicherheitsrechner nur zwischen den Stellsignalen des Hauptrechners und des zweiten Sicherheitsrechners umschalten kann.
    • 3. Die Sicherheitsrechner liefern übereinstimmende und damit korrekte Werte, während der Hauptrechner abweichende Werte liefert. In diesem Fall muss zumindest einer der Sicherheitsrechner den Notbetrieb aktivieren, um den anderen Sicherheitsrechner den Stellsignal-Durchgriff auf das zu regelnde System zu ermöglichen.
  • Im Fall von zweikanalig anzusteuernden Stellgrössen kann-, ein Sicherheitsrechner für einen Kanal des Hauptrechners die Stellsignal-Generierung in Notbetrieb übernehmen und der andere Sicherheitsrechner für den anderen Kanal des Hauptrechners die Stellsignal-Generierung im Notbetrieb übernehmen. Gemäß einem erfinderischen Aspekt ist in keinem der Sicherheitsrechner die volle Funktionalität des Hauptrechners implementiert.
  • Bisher wurde zwischen Ausführungsformen der vorliegenden Erfindung unterschieden, die sich entweder auf einkanalig anzusteuernde Stellgrössen oder aber auf zweikanalig anzusteuernde Stellgrössen beziehen. In einer besonders bevorzugten Ausführungsform der vorliegenden Erfindung gelingt es jedoch, mitunter mittels eines Konfigurationsschalters durch einfa ches Umschalten, dieselbe Steuereinheit sowohl für einkanalige als auch zweikanalige Stellgrössen verwendbar zu machen.
    •
  • Kurze Beschreibung der Figuren
  • 1 zeigt eine Ausführungsform der vorliegenden Erfindung, geeignet für einkanalige Stellgrössen, wobei lediglich in einem der Sicherheitsrechner die Notfall-Stellsignal-Generierung implementiert ist.
  • 2 zeigt eine Ausführungsform der vorliegenden Erfindung, geeignet für einkanalige Stellgrössen, wobei in beiden Sicherheitsrechnern sowohl die Überwachungsfunktion als auch die Notfall-Stellsignal-Generierung implementiert ist.
  • 3 zeigt eine Ausführungsform der vorliegenden Erfindung, geeignet für zweikanalige Stellgrössen.
  • 4 zeigt eine bevorzugte Ausführungsform der vorliegenden Erfindung, die für einkanalige Stellgrössen und zweikanalige Stellgrössen geeignet ist, im Verwendungsmodus für einkanalige Stellgrössen
  • 5 zeigt die bevorzugte Ausführungsform aus 4, allerdings im Verwendungsmodus zweikanaliger Stellgrössen.
  • Detaillierte Beschreibung der Erfindung
  • Die Erfindung wird nun mit Hilfe der Figuren detailliert und beispielhaft anhand der Regelung für einen Verdichterprüfstand erläutert. 1 zeigt schematisch einen solchen Prüfstand 1. Schematisch angedeutet ist ein Prüfling 3 mit hydromechanischer Einheit, die beispielsweise einen zu testenden Verdichter umfasst. Der Prüfstand umfasst auch die Steuereinheit 5 mit der der Prozessverlauf am Prüfling 3 geregelt wird.
  • In der Steuereinheit 5 sind ein Hauptrechner 7 und ein erster Sicherheitsrechner 9 und ein zweiter Sicherheitsrechner 11 vorgesehen. Hauptrechner 7 erhält als Eingangssignal I7, erster Sicherheitsrechner 9 erhält als Eingangssignal I9 und zweiter Sicherheitsrechner 11 erhält als Eingangssignal I11. Die Eingangssignale werden von derselben Quelle abgezweigt und sind somit im wesentlichen gleich. In diesem Beispiel sind die Eingangssignale einkanalig. Im Beispiel werden in allen drei Rechnern die Eingangsignale mittels eines so genannten Soll-Ist Vergleichs zur Berechnung von Stellwerten verwendet. Die berechneten Stellwerte der Rechner werden dann jeweils verglichen. In den Figuren ist dies jeweils durch die zweispitzigen Pfeile angedeutet. Weichen die Werte eines Rechners stark von den Werten der anderen beiden Rechner ab, so ist davon auszugehen, dass der eine Rechner fehlerhafte Stellwerte liefert. Der Fall, dass alle drei Rechner stark unterschiedliche Stellwerte liefern, ist sehr unwahrscheinlich und muss in der Praxis nicht berücksichtigt werden.
  • Im Normalbetrieb regelt lediglich der Hauptrechner 7 mittels des Ausgangskanals O7 den Prozess. Lediglich in diesem Hauptrechner 7 müssen alle Funktionen, die für die Regelung und Überwachung des Prüflings und des Prüfstandes notwendig sind, implementiert sein. Die Ausgangssignale erreichen über den Ausgangskanal O7 und den Schalter 13 die in diesem Beispiel einkanalige Stellgrösse 35 des Prüflings.
  • Schalter sind in den Figuren mittels 3 Punkten gezeichnet. Geschaltet ist der Schalter entlang der mit Doppelstrich verbundenen Punkte. Geschaltet werden kann entlang der gestrichelten Linie die zwei Punkte verbindet, wobei diese Schaltstellung nicht aktiviert ist.
  • Für den Fall, dass nun der Hauptrechner fehlerhafte, d.h. von beiden Sicherheitsrechnern abweichende Stellwerte liefert, ist im Sicherheitsrechner 9 ein Notregelprogramm vorgesehen. Mittels des Schalters 13 wird dann die Regelung vom Hauptrechner auf die Notregelung des Sicherheitsrechners 9 umgeschaltet. Über den Ausgangskanal O9 des Sicherheitsrechners 9 wird nun der Prozess notgeregelt. Es wird deutlich, dass im Sicherheitsrechner 9 nicht die gesamte Funktionalität des Hauptrechners 7 implementiert sein muss. Notregelungsprogramme können für viele verschieden Prozesse gleich ausgelegt sein. Bei einem Wechsel des Prozesses muss dann lediglich die Funktionalität des Hauptrechners 7 angepasst werden.
  • Es ist allerdings notwendig den Fall in Betracht zu ziehen, dass die Umschaltung nicht aufgrund eines Fehlers im Hauptrechner 7, sondern aufgrund eines Fehlers des umschaltenden Sicherheitsrechners vollzogen wird. Es muss vermieden werden, dass versehentlich gerade auf einen solchen fehlerhaften Sicherheitsrechner geschaltet wird. Es ist daher wichtig, dass die Umschaltung nicht durch den Sicherheitsrechner 9 selbst ausgelöst werden kann, sondern lediglich durch den Sicherheitsrechner 11, der dann an der Notregelung nicht beteiligt ist. In der 1 ist dies mit Schaltleitung 15 und Schaltauslöser 17 dargestellt.
  • Liegt nun tatsächlich eine Störung im Hauptrechner 7 vor, so wird Sicherheitsrechner 11 die Regelung vom Hauptrechner 7 auf den Sicherheitsrechner 9 und dessen Notregelung umschalten.
  • Liegt dagegen keine Störung im Hauptrechner 7 vor aber der Sicherheitsrechner 11 schaltet fehlerhaft dennoch die Regelung vom Hauptrechner 7 auf den Sicherheitsrechner 9, so greift ebenfalls die Notregelung des korrekt funktionierenden Sicherheitsrechners 9.
  • Bei der Umschaltung auf Notregelung wird bevorzugter Weise ein Warnsignal generiert, welches auf die Umschaltung aufmerksam macht. In der 1 ist ein entsprechendes Warnsystem mit durch Schalter 13 auslösbarem Schalter 25 und Warnlicht 27 angedeutet. Die Verbindung zwischen Schalter 13 und Schalter 25 ist durch einen gestrichelten Pfeil dargestellt.
  • Liegt eine Störung im Sicherheitsrechner 9 vor, so wird nicht auf Notregelung umgeschaltet. Der Hauptrechner 7 regelt weiterhin den Prozess im Normalbetrieb. Bevorzugter Weise wird aber ein Warnsignal generiert, welches darauf aufmerksam macht, dass im Sicherheitsrechner 9 eine Störung vorliegt. In der 1 ist ein entsprechendes Warnsystem mit Schaltauslöser 19, Schalter 21 und Warnlicht 23 angedeutet.
  • Gemäß der oben beschriebenen ersten Ausführungsform der vorliegenden Erfindung steht eine Möglichkeit zur Notfallregelung durch den Sicherheitsrechner 9 zur Verfügung. Zwar schützt dies schon in erheblichem und erfinderischem Maße vor Schaden durch Fehlerhaftigkeit in einem der Rechner, allerdings läuft der Prozess gemäß dieser ersten Ausführungsform ungesichert weiter, sollte der Sicherheitsrechner 9 ausfallen. Die Notfallregelung steht dann nicht mehr zur Verfügung.
  • Dem trägt die zweite Ausführungsform der vorliegenden Erfindung gemäß 2 Rechnung. Dabei ist die Ausführungsform gemäß 1 derart modifiziert, dass im Sicherheitsrechner 111, der den Sicherheitsrechner 11 ersetzt, auch die Funktionalität zur Notfallregelung implementiert ist. Ausserdem wird Sicherheitsrechner 9 durch den Sicherheitsrechner 109 ersetzt, der über Schalterauslöser 119 und den Schalter 121 die Regelung des Prozesses auf den Sicherheitsrechner 111 und dessen Notregelung umschalten kann.
  • Für den Fall, dass Hauptrechner 7 Fehlerhaftigkeit aufweisst, schaltet mindesten einer der Sicherheitsrechner die Regelung des Prozesses auf den anderen Sicherheitsrechner. Bevorzugter Weise versuchen sogar beide Sicherheitsrechner den jeweils anderen aufzuschalten. Sollte nämlich eine der Umschaltungen an Schaltern 121 oder 113 nicht funktionieren, wird trotzdem aufgrund der anderen, funktionierenden Umschaltung auf Notregelung umgeschaltet. Wichtig ist hierbei wiederum, dass ein Sicherheitsrechner nicht selbst die Regelung an sich ziehen kann, sondern durch den anderen Sicherheitsrechner aufgeschaltet werden muss.
  • Diese Ausführungsform der vorliegenden Erfindung hat nicht nur den Vorteil, dass zwei Notregelsysteme zur Verfügung stehen. Ein weiterer wirtschaftlicher und auch logistischer Vorteil besteht darin, dass im ersten Sicherheitsrechner 109 und im zweiten Sicherheitsrechner 111 identische Funktionalität implementiert werden kann. Dies vereinfacht insbesondere in logistischer Hinsicht die Wartung und Reparatur des Systems.
  • Bevorzugter Weise sind auch für diese zweite Ausführungsform Mittel vorgesehen, die im Falle der Umschaltung auf Notregelung auf diesen Notregelbetrieb durch Signal aufmerksam machen. In der 2 ist dies durch Schalter 21 und 25, sowie durch Warnlichter 23 und 27 und die entsprechenden gestrichelten Pfeile angedeutet.
  • Haben sich die bisherigen Beispiele auf eine Steuerungseinheit für einkanalige Stellgrößen 35 bezogen, so bezieht sich die dritte Ausführungsform der vorliegenden Erfindung, die in 3 dargestellt ist, zunächst auf eine Steuereinheit für zweikanalige Stellgrößen 235.
  • 3 zeigt schematisch einen Prüfstand 201 mit, schematisch angedeutet, einem Prüfling 203 mit hydromechanischer Einheit, die beispielsweise einen zu testenden Verdichter umfasst. Der Prüfstand 201 umfasst auch die Steuereinheit 205 mit der der Prozessverlauf am Prüfling 203 geregelt wird.
  • In der Steuereinheit 205 sind ein Hauptrechner 207 und ein erster Sicherheitsrechner 209 und ein zweiter Sicherheitsrechner 211 vorgesehen. Hauptrechner 207 erhält als Eingangssignal I207, erster Sicherheitsrechner 209 erhält als Eingangssignal I209 und zweiter Sicherheitsrechner 211 erhält als Eingangssignal I211. Die Eingangssignale werden von derselben Quelle abgezweigt und sind somit im wesentlichen gleich. Die Eingangssignale sind in diesem Fall zweikanalig, wie die 3 schematisch andeutet. In allen drei Rechnern werden die Einganssignale mittels eines so genannten Soll-Ist Vergleichs zu Berechnung von Stellwerten verwendet, und zwar für jeweils beide Eingangskanäle. Die berechneten Stellwerte der Rechner werden dann verglichen. Weichen die Werte eines Rechners stark von den Werten der anderen beiden Rechner ab, so ist davon auszugehen dass der eine Rechner fehlerhafte Stellwerte liefert oder liefern würde. Im Normalbetrieb regelt lediglich der Hauptrechner 207 mittels der Ausgangkanale O207a und O207b zweikanalig den Prozess. Jedem Sicherheitsrechner ist jeweils ein Ausgangskanal des Hauptrechners 207 zugeordnet, dessen Regelung er im Falle der Fehlerhaftigkeit des Hauptrechners 207 mit Notregelung übernehmen soll. Aufgeschaltet werden kann ein Sicherheitsrechner jedoch lediglich durch den anderen Sicherheitsrechner.
  • In der 3 bedeutet dies, dass dem Sicherheitsrechner 209 der Ausgangskanal O207a zugeordnet ist, dessen Regelung er im Notfall übernehmen soll und dem Sicherheitsrechner 211 der Ausgangskanal O207b zugeordnet ist, dessen Regelung er im Notfall übernehmen soll. Sicherheitsrechner 209 kann aber lediglich von Sicherheitsrechner 211 über Schalterauslöser 217 und Schalter 213 aufgeschaltet werden um die Regelung des Ausgangskanals O207a notfallmäßig zu übernehmen.
  • Sicherheitsrechner 211 kann lediglich von Sicherheitsrechner 209 über Schalterauslöser 219 und Schalter 221 aufgeschaltet werden, um die Regelung des Ausgangskanals O207b notfallmäßig zu übernehmen.
  • Wird nun festgestellt, beispielsweise durch Vergleich der berechneten Stellwerte der drei Rechner, dass die Stellwerte des Hauptrechners für einen der Ausgangskanäle fehlerhaft sind, so schaltet der diesem fehlerhaften Kanal nicht zugeordnete Sicherheitsrechner den diesem fehlerhaften Kanal zugeordneten Sicherheitsrechner auf und der dem fehlerhaften Kanal des Hauptrechners zugeordnete Sicherheitsrechner übernimmt die Notregelung des Kanals.
  • Für den Fall, dass der Hauptrechner 207 komplett ausfällt, d.h. dass beide Ausgangskanäle Fehlerhaftigkeit aufweisen, werden beide Sicherheitsrechner durch den jeweils anderen Sicherheitsrechner aufgeschaltet.
  • Wiederum ist hierbei wichtig, dass lediglich jeweils die Sicherheitsrechner nicht die Möglichkeit haben selbst die Regelung an sich zu ziehen, sondern ihnen die Regelung durch den jeweils anderen Sicherheitsrechner übergeben werden muss. Dies gewährleistet, dass gegebenenfalls ein defekter Sicherheitsrechner eben nicht die Regelung an sich ziehen kann. Der Defekt kann maximal dazu führen, dass er unnötiger Weise die Regelung vom Hauptrechner auf den jeweils anderen Sicherheitsrechner umschaltet.
  • Aus diesem Grund darf übrigens eine Umschaltung eines Kanals auf Notregelung des einen Sicherheitsrechners nicht automatisch zur Veranlassung der Umschaltung des anderen Kanals auf Notregelung des anderen Sicherheitsrechner führen, denn dann könnte sich über diesen Umweg ein defekter Sicherheitsrechner doch indirekt selbst aufschalten.
  • Interessant bei dieser dritten Ausführungsform gemäß 3 ist insbesondere auch, dass diese, ohne weitergehende Modifizierung, auch für einkanalige Stellgrössen Anwendung finden kann. Betrachtet man nämlich einen Kanal des Hauptrechners 207 für sich, so entspricht die hier geschilderte Schaltung in Bezug auf diesen Kanal im wesentlichen der Schaltung gemäß der bereits geschilderten ersten Ausführungsform. Da dies auch für den zweiten Kanal des Hauptrechners 207 zutrifft, sind beide Kanäle für einkanalige Stellgrössen separat nutzbar. Die Besonderheit hierbei ist, dass ein Sicherheitsrechner für den einen Kanal die Bereithaltung der Notregelung übernimmt während er für den anderen Kanal die Funktion übernimmt, notfalls den anderen Sicherheitsrechner aufzuschalten.
  • Auch in der Ausführungsform gemäß den 4 und 5 ist die Steuereinheit sowohl für zweikanalige als auch für einkanalige Stellgrößen anwendbar. Hierbei lässt sich allerdings für einkanalige Stellgrößen die zur zweiten Ausführungsform prinzipiell gleich geartete Wirkungsweise realisieren.
  • Die Schaltung entspricht weitgehend der Schaltung gemäß der dritten Ausführungsform gemäß 3. Aus Gründen der Übersichtlichkeit wurden einige Bezugszeichen für Gegenstände, die schon in 3 bezeichnet sind, weggelassen.
  • Ausgehend von der dritten Ausführungsform gemäß 3 wird zusätzlich ein Konfigurationsschalter 331 eingeführt, der es gestattet, den Ausgangskanal O207a des Hauptrechners 207 vor dem Schalter 213 blind zu schalten und den Ausgangskanal O207b nach dem Schalter 221 mit dem vom Ausgangskanal O207a abgekoppelten Leitungsstück, welches zum Schalter 213 führt, zu verbinden.
  • So verbunden, kann die Steuereinheit analog zur zweiten Ausführungsform betrieben werden, falls der Sicherheitsrechner 211 auch dann den Sicherheitsrechner 209 zur Notregelung aufschaltet, wenn der ihm zugeordnete Kanal des Hauptrechners fehlerhafte Werte liefert. Dies kann man aber durchaus zulassen. Insbesondere kann man auch zulassen dass beide Sicherheitsrechner jeweils mit Aufschalten des jeweils anderen Sicherheitsrechners reagieren, falls ein beliebiger Kanal des Hauptrechners fehlerhafte Werte liefert. Wichtig ist lediglich, dass ein eventuell fehlerhafter Sicherheitsrechner weder direkt nach indirekt sich selbst aufschalten kann.
  • Zur Verdeutlichung zeigt 4 die Schaltung in dem Modus, in dem die Steuerungseinheit zur Regelung und Überwachung von einkanaligen Stellgrössen verwendet wird. 5 zeigt die geschilderte Schaltung in dem Modus, in dem die Steuerungseinheit zur Regelung und Überwachung von zweikanaligen Stellgrössen verwendet wird, nachdem der Konfigurationsschalters 331 umgeschaltet wurde.
  • Es ist natürlich oftmals vorteilhaft, Mittel vorzusehen, die, falls ein Umschalten auf Notregelung stattgefunden hat, über Signal darauf aufmerksam machen.
  • Die oben genannte Notregelung kann eine standardisierte, einfach zu implementierende Prozessregelung sein. Denkbar ist beispielsweise, dass die Notregelung zu einem geregelten Abschalten eines mit dem Prozess durchgeführten Versuchs führt. Denkbar ist aber auch, dass die Notregelung das zu regelnde System in eine Art konstanten Zustand überführt, der einfach zu regeln und aufrecht zu erhalten ist. Eventuell lasst sich so das Problem am Hauptrechner dann in Kürze beheben, so dass diesem wiederum die Regelung des Fortgangs des Prozesses übergeben werden kann.
  • Insbesondere wenn bei einem Prozess häufig unterschiedliche Prozessverläufe implementiert werden müssen, stellt die vorliegende Erfindung einen erheblichen Vorteil dar, da es nicht notwendig ist, auch die Sicherheitsrechner für jede Art der Prozessregelung auszustatten. Ausserdem genügen für die Sicherheitsrechner einkanalige, standardisierte Rechner, die heutzutage kostengünstig, da nicht kundenspezifisch modifiziert, erhältlich sind.
  • Als sehr konkretes Beispiel lässt sich der schon erwähnte Verdichterprüfstand aufführen, mit einem Prüfling, bei dem es sich um einen Entwicklungsverdichter handelt, bei dem die Leitgitter auf Sollwert-Positionen zu regeln sind, die beispielsweise von der Verdichterdrehzahl und der Luft-Einlauftemperatur abhängen. Sollten die Positionen der Leitgitter von diesen Sollwerten stark abweichen, kann es zu Pumpstößen kommen, durch die der Entwicklungsverdichter zerstört werden kann. Bei diesem Verdichter sind die Eingangsstufen der Leitgitter-Stellglieder durch Torque-Motoren mit zwei Wicklungen realisiert, d.h. zweikanalig. An diese Zweikanaligkeit ist beispielsweise die Steuereinheit gemäß der Ausführungsform in 4 angepasst. Sollte es einen Ausfall des Hauptrechners geben, so übernehmen die Sicherheitsrechner die Stellsignal-Generierung und ermöglichen ein geregeltes Herunterfahren des Versuchs.
  • Es wird darauf verwiesen, dass die erfindungsgemäße Steuereinheit sowie das dem entsprechende Verfahren generell bei sicherheitskritischen Anwendungen bzw. Anwendungen die höchste Zuverlässigkeit erfordern, vorteilhaft zum Einsatz kommen kann. Dies ist insbesondere dann der Fall, wenn zur Schadensminimierung nicht die gesamte Funktionalität der sonst benötigten Prozessregelung zur Verfügung stehen muss, sondern eine Notregelung ausreichend ist.
    • 235
    Stellgröße, zweikanalig
    331
    Konfigurationsschalter
    227
    Warnlicht
    225
    Schalter
    223
    Warnlicht
    221
    Schalter
    219
    Schaltauslöser
    217
    Schaltauslöser
    O207b
    Ausgangskanal
    O207a
    Ausgangskanal
    I211
    Eingangssignal für Sicherheitsrechner 111
    I209
    Eingangssignal für Sicherheitsrechner 209
    I207
    Eingangssignal für Hauptsrechner 207
    211
    zweiter Sicherheitsrechner
    209
    erster Sicherheitsrechner
    207
    Hauptrechner
    205
    Steuereinheit
    203
    Prüfling
    201
    Prüfstand
    121
    Schalter
    119
    Schaltauslöser
    111
    zweiter Sicherheitsrechner
    109
    erster Sicherheitsrechner
    35
    Stellgrösse, einkanalig
    27
    Warnlicht
    25
    Schalter
    23
    Warnlicht
    21
    Schalter
    19
    Schaltauslöser
    O9
    Ausgangskanal
    17
    Schaltauslöser
    15
    Schaltleitung
    13
    Schalter
    O7
    Ausgangskanal
    I11
    Eingangssignal für Sicherheitsrechner 11
    I9
    Eingangssignal für Sicherheitsrechner 9
    I7
    Eingangssignal für Hauptsrechner 7
    11
    Sicherheitsrechner
    9
    Sicherheitsrechner
    7
    Hauptrechner
    5
    Steuereinheit
    3
    Prüfling
    1
    Prüfstand

Claims (17)

  1. Steuereinheit zur Regelung eines Prozesses die einen Hauptrechner und einen ersten Sicherheitsrechner und einen zweiten Sicherheitsrechner umfasst, wobei im Hauptrechner die für die Regelung und Überwachung des Prozessverlaufs notwendigen Funktionen implementiert sind und in den Sicherheitsrechnern jeweils Funktionen zur Überwachung des Hauptrechners-implementiert sind, wobei mindestens im ersten Sicherheitsrechner Funktionen implementiert sind, die eine Notregelung des Prozesses gemäß eines Notverlaufs ermöglichen und die Rechner mittels Umschalter so verschaltet sind, dass eine Umschaltung der Regelung vom Hauptrechner auf die Notregelung des ersten Sicherheitsrechners nicht durch den ersten Sicherheitsrechner selbst, sondern durch den zweiten Sicherheitsrechner veranlasst werden kann.
  2. Steuereinheit nach Anspruch 1, dadurch gekennzeichnet, dass auch im zweiten Sicherheitsrechner Funktionen implementiert sind, die eine Notregelung des Prozesses gemäß eines Notverlaufs ermöglichen und die Rechner mittels Umschalter so verschaltet sind, dass eine Umschaltung der Regelung vom Hauptrechner auf die Notregelung des zweiten Sicherheitsrechners nicht durch den zweiten Sicherheitsrechner selbst, sondern durch den ersten Sicherheitsrechner veranlasst werden kann.
  3. Steuereinheit nach Anspruch 2, dadurch gekennzeichnet, dass der Hauptrechner zweikanalig ausgelegt ist und die Rechner so geschaltet sind, dass jedem Sicherheitsrechner jeweils ein Kanal des Hauptrechners zugeordnet ist und der erste Sicherheitsrechner bei Fehlerhaftigkeit des ihm nicht zugeordneten Kanals des Hauptrechners die Umschaltung dieses ihm nicht zugeordneten Kanals auf die Notregelung des zweiten Sicherheitsrechners auslöst und der zweite Sicherheitsrechner bei Fehlerhaftigkeit des ihm nicht zugeordneten Kanals des Hauptrechners die Umschaltung dieses ihm nicht zugeordneten Kanals auf die Notregelung des ersten Sicherheitsrechners auslöst.
  4. Steuereinheit nach Anspruch 3, dadurch gekennzeichnet, dass die Rechner so verschaltet sind, dass die Sicherheitsrechner den jeweils ihnen nicht zugeordneten Kanal auf die Notregelung des jeweils anderen Sicherheitsrechners auch dann auslösen, wenn eine Fehlerhaftigkeit des ihnen zugeordneten Kanals des Hauptrechners auftritt.
  5. Steuereinheit nach Anspruch 4, dadurch gekennzeichnet dass, an den Ausgängen des zweikanaligen Hauptrechners ein Konfigurationsschalter vorgesehen ist, der in einer Stellung den Zweikanalbetrieb zulässt und in einer anderen Stellung den Einkanalbetrieb dadurch zulässt, dass dann auf einem Kanal des Hauptrechners die beiden Umschalter zur Aufschaltung der Notregelung in Reihe geschaltet sind, während der andere Kanal des Hauptrechners blind geschaltet ist.
  6. Steuereinheit nach einem der Ansprüche 1 bis 6, dadurch gekennzeichnet, dass Mittel vorgesehen sind, die bei Umschaltung auf Notregelung Signal geben und damit auf die Notregelung aufmerksam machen.
  7. Steuereinheit nach einem der Ansprüche 1 bis 6, dadurch gekennzeichnet, dass in den Sicherheitsrechnern jeweils Funktionen zur Überwachung des jeweils anderen Sicherheitsrechners implementiert sind.
  8. Steuereinheit nach Anspruch 7, dadurch gekennzeichnet, dass Mittel vorgesehen sind, die Signal geben, falls ein Sicherheitsrechner am anderen Sicherheitsrechner eine Fehlerhaftigkeit registriert.
  9. Steuereinheit nach einem der Ansprüche 1 bis 8, dadurch gekennzeichnet, dass die in mindestens einem der Sicherheitsrechner vorgesehene Notregelung einem geregelten Abschalten des Prozesses entspricht.
  10. Prüfstand mit Prüfling und Steuereinheit gemäß einem der Ansprüche 1 bis 9.
  11. Verdichterprüfstand mit Entwicklungsverdichter und einer Steuereinheit gemäß einem der Ansprüche 1 bis 9.
  12. Verdichterprüfstand, dadurch gekennzeichnet dass der Prüfling einen Verdichter umfasst, bei dem Leitgitter auf Positionen zu regeln sind und die Steuereinheit, die die Regelung der Positionen übernimmt, eine Steuereinheit nach einem der Ansprüche 1 bis 9 umfasst.
  13. Verdichterprüfstand nach Anspruch 12, wobei die Leitgitter-Stellglieder durch Torque-Motoren mit zwei Wicklungen realisiert sind und die dadurch benötigte zweikanalige Regelung durch eine Steuereinheit gemäß einem der Ansprüche 3 bis 5 vollzogen wird.
  14. Verfahren zur Regelung von Prozessen, wobei ein Hauptrechner im Normalbetrieb den Verlauf des Prozesses regelt und überwacht und zwei Sicherheitsrechner die Regelung des Hauptrechners überwachen, dadurch gekennzeichnet, dass im Falle einer Fehlerhaftigkeit der Regelung durch den Hauptrechner auf eine Notbetriebsregelung durch einen der Sicherheitsrechner umgeschaltet wird, wobei die Umschaltung ausschliesslich durch den anderen Sicherheitsrechner ausgelöst wird.
  15. Verfahren nach Anspruch 14 dadurch gekennzeichnet, dass die Notbetriebsregelung ein geregeltes Herunterfahren des Prozesses umfasst, wodurch die Beschädigung der an dem Prozess beteiligten Gegenstände vermieden werden kann.
  16. Verfahren nach einem der Ansprüche 13 bis 15, dadurch gekennzeichnet, dass es sich bei dem Prozess um ein Erprobungsmuster im Maschinenbau handelt.
  17. Verfahren zum Testen von Verdichtern, dadurch gekennzeichnet, dass an einem Prüfstand für Verdichter Prozesse gefahren werden, die mittels eines Verfahrens gemäß der Ansprüche 13 bis 16 geregelt sind.
DE200610005764 2006-02-07 2006-02-07 Verfahren zur Regelung von Erprobungsmustern im Maschinenbau Withdrawn DE102006005764A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE200610005764 DE102006005764A1 (de) 2006-02-07 2006-02-07 Verfahren zur Regelung von Erprobungsmustern im Maschinenbau

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE200610005764 DE102006005764A1 (de) 2006-02-07 2006-02-07 Verfahren zur Regelung von Erprobungsmustern im Maschinenbau

Publications (1)

Publication Number Publication Date
DE102006005764A1 true DE102006005764A1 (de) 2007-08-09

Family

ID=38282270

Family Applications (1)

Application Number Title Priority Date Filing Date
DE200610005764 Withdrawn DE102006005764A1 (de) 2006-02-07 2006-02-07 Verfahren zur Regelung von Erprobungsmustern im Maschinenbau

Country Status (1)

Country Link
DE (1) DE102006005764A1 (de)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DD278177A1 (de) * 1988-12-15 1990-04-25 Schkeuditz Masch & Apparate Verfahren und vorrichtung zur minimierten oelversorgung bei der funktionspruefung von hermetischen kaeltemittelverdichtern
DE4438714A1 (de) * 1994-10-29 1996-05-02 Bosch Gmbh Robert Verfahren und Vorrichtung zur Steuerung der Antriebseinheit eines Fahrzeugs
DE19731972C2 (de) * 1997-07-24 2001-11-22 Siemens Ag Verfahren zum Steuern einer Brennkraftmaschine
EP0781926B1 (de) * 1995-12-19 2002-10-16 Copeland Corporation Verdrängungsregelbare Spiralmaschine
WO2005096465A1 (en) * 2004-04-01 2005-10-13 System Consult Pty Ltd Safety switching module

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DD278177A1 (de) * 1988-12-15 1990-04-25 Schkeuditz Masch & Apparate Verfahren und vorrichtung zur minimierten oelversorgung bei der funktionspruefung von hermetischen kaeltemittelverdichtern
DE4438714A1 (de) * 1994-10-29 1996-05-02 Bosch Gmbh Robert Verfahren und Vorrichtung zur Steuerung der Antriebseinheit eines Fahrzeugs
EP0781926B1 (de) * 1995-12-19 2002-10-16 Copeland Corporation Verdrängungsregelbare Spiralmaschine
DE19731972C2 (de) * 1997-07-24 2001-11-22 Siemens Ag Verfahren zum Steuern einer Brennkraftmaschine
WO2005096465A1 (en) * 2004-04-01 2005-10-13 System Consult Pty Ltd Safety switching module

Similar Documents

Publication Publication Date Title
EP2993359B1 (de) Stellungsregler für ein pneumatisches stellgerät
EP3247503B1 (de) Pumpenanordnung und entsprechendes betriebsverfahren
EP2422244B1 (de) Sicherheitssteuerung und verfahren zum steuern einer automatisierten anlage
EP2447843B1 (de) Verfahren zur Verifizierung eines Anwendungsprogramms einer fehlersicheren Speicherprogrammierbaren Steuerung, und Speicherprogrammierbare Steuerung zur Ausführung des Verfahrens
EP1834220B1 (de) Redundante elektrohydraulische ventilanordnung
EP1092177A1 (de) Regler bzw. triebwerksregler, triebwerk und verfahren zum regeln eines stell- oder antriebssystems bzw. eines triebwerks
EP1253490A2 (de) Verfahren und Vorrichtung zur sicheren Geschwindigkeitsüberwachung
WO2005047997A1 (de) Verfahren zur simulation einer automatisierungsanlage
EP1061269B1 (de) Verfahren und Vorrichtung zum Erkennen einer Fehlfunktion von Stellantrieben
EP3592991B1 (de) Verfahren zum ansteuern eines hydraulischen stellantriebes, steuereinrichtung und stellantriebsteuerung
DE102006005764A1 (de) Verfahren zur Regelung von Erprobungsmustern im Maschinenbau
EP2902905B1 (de) Verfahren zur Überprüfung der Abarbeitung von Software
DE10008434A1 (de) Verfahren und Vorrichtung zur Sicherheitsüberwachung einer Steuereinrichtung
DE202011109158U1 (de) Elektrohydraulische Sicherheitssteuerung
WO2004005938A1 (de) Vorrichtung zur ermittlung der drehzahl eines rotierenden maschinenteils mit redundanten sensoren und auswerteschaltungen
DE602004007138T2 (de) Elektromagnetisch betriebene Ventilvorrichtung die mit variabler Funktion schaltet und luftbetriebene Ventilaktuatoren aufweist und ein Testverfahren dafür
EP0443384A2 (de) Verfahren zur redundanten Drehzahlregelung und Vorrichtung zur Durchführung dieses Verfahrens
EP2067082B1 (de) Verfahren zum verschleiss-minimierten betrieb von anlagenkomponenten
WO2020007923A1 (de) Diagnose von möglichen ursachen für veränderungen an einem stellventil
EP2831398B1 (de) Verfahren und zugehörige vorrichtung zum sicheren betrieb einer gasturbinenanlage
EP0843075B1 (de) Verfahren und Vorrichtung zur Regelung von Turbomaschinen
DE102018006724A1 (de) Antriebssystem zur Durchführung eines Testverfahrens und Verfahren zum Testen eines Antriebssystems
EP2617381B1 (de) Luftversorgungssystem für den medizinischen Bereich sowie Verfahren zum Betreiben eines solchen
EP4049099A1 (de) Verfahren zum betreiben einer verfahrenstechnischen anlage und verfahrenstechnische anlage
EP2864845A1 (de) Automatisierte rekonfiguration eines ereignisdiskreten regelkreises

Legal Events

Date Code Title Description
OM8 Search report available as to paragraph 43 lit. 1 sentence 1 patent law
8127 New person/name/address of the applicant

Owner name: SILVER ATENA ELECTRONIC SYSTEMS ENGINEERING GM, DE

R005 Application deemed withdrawn due to failure to request examination

Effective date: 20130208