DE102017117604B4 - Verfahren zum Betreiben wenigstens eines Elektromotors und/oder einer damit gekoppelten, nichtfahrenden Arbeitsmaschine sowie eine nichtfahrende Arbeitsmaschine - Google Patents

Verfahren zum Betreiben wenigstens eines Elektromotors und/oder einer damit gekoppelten, nichtfahrenden Arbeitsmaschine sowie eine nichtfahrende Arbeitsmaschine Download PDF

Info

Publication number
DE102017117604B4
DE102017117604B4 DE102017117604.7A DE102017117604A DE102017117604B4 DE 102017117604 B4 DE102017117604 B4 DE 102017117604B4 DE 102017117604 A DE102017117604 A DE 102017117604A DE 102017117604 B4 DE102017117604 B4 DE 102017117604B4
Authority
DE
Germany
Prior art keywords
electric motor
controller
frequency converter
cyber
work machine
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
DE102017117604.7A
Other languages
English (en)
Other versions
DE102017117604A1 (de
Inventor
Christian Ellwein
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Kriwan Industrie Elektronik GmbH
Original Assignee
Kriwan Industrie Elektronik GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Kriwan Industrie Elektronik GmbH filed Critical Kriwan Industrie Elektronik GmbH
Priority to DE102017117604.7A priority Critical patent/DE102017117604B4/de
Priority to US16/009,790 priority patent/US20190044468A1/en
Priority to CN201810763012.8A priority patent/CN109391219A/zh
Publication of DE102017117604A1 publication Critical patent/DE102017117604A1/de
Application granted granted Critical
Publication of DE102017117604B4 publication Critical patent/DE102017117604B4/de
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H02GENERATION; CONVERSION OR DISTRIBUTION OF ELECTRIC POWER
    • H02PCONTROL OR REGULATION OF ELECTRIC MOTORS, ELECTRIC GENERATORS OR DYNAMO-ELECTRIC CONVERTERS; CONTROLLING TRANSFORMERS, REACTORS OR CHOKE COILS
    • H02P29/00Arrangements for regulating or controlling electric motors, appropriate for both AC and DC motors
    • H02P29/02Providing protection against overload without automatic interruption of supply
    • H02P29/024Detecting a fault condition, e.g. short circuit, locked rotor, open circuit or loss of load
    • H02P29/028Detecting a fault condition, e.g. short circuit, locked rotor, open circuit or loss of load the motor continuing operation despite the fault condition, e.g. eliminating, compensating for or remedying the fault
    • HELECTRICITY
    • H02GENERATION; CONVERSION OR DISTRIBUTION OF ELECTRIC POWER
    • H02PCONTROL OR REGULATION OF ELECTRIC MOTORS, ELECTRIC GENERATORS OR DYNAMO-ELECTRIC CONVERTERS; CONTROLLING TRANSFORMERS, REACTORS OR CHOKE COILS
    • H02P29/00Arrangements for regulating or controlling electric motors, appropriate for both AC and DC motors
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H02GENERATION; CONVERSION OR DISTRIBUTION OF ELECTRIC POWER
    • H02PCONTROL OR REGULATION OF ELECTRIC MOTORS, ELECTRIC GENERATORS OR DYNAMO-ELECTRIC CONVERTERS; CONTROLLING TRANSFORMERS, REACTORS OR CHOKE COILS
    • H02P27/00Arrangements or methods for the control of AC motors characterised by the kind of supply voltage
    • H02P27/04Arrangements or methods for the control of AC motors characterised by the kind of supply voltage using variable-frequency supply voltage, e.g. inverter or converter supply voltage
    • HELECTRICITY
    • H02GENERATION; CONVERSION OR DISTRIBUTION OF ELECTRIC POWER
    • H02PCONTROL OR REGULATION OF ELECTRIC MOTORS, ELECTRIC GENERATORS OR DYNAMO-ELECTRIC CONVERTERS; CONTROLLING TRANSFORMERS, REACTORS OR CHOKE COILS
    • H02P29/00Arrangements for regulating or controlling electric motors, appropriate for both AC and DC motors
    • H02P29/02Providing protection against overload without automatic interruption of supply
    • H02P29/032Preventing damage to the motor, e.g. setting individual current limits for different drive conditions
    • HELECTRICITY
    • H02GENERATION; CONVERSION OR DISTRIBUTION OF ELECTRIC POWER
    • H02PCONTROL OR REGULATION OF ELECTRIC MOTORS, ELECTRIC GENERATORS OR DYNAMO-ELECTRIC CONVERTERS; CONTROLLING TRANSFORMERS, REACTORS OR CHOKE COILS
    • H02P29/00Arrangements for regulating or controlling electric motors, appropriate for both AC and DC motors
    • H02P29/60Controlling or determining the temperature of the motor or of the drive
    • H02P29/64Controlling or determining the temperature of the winding
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Power Engineering (AREA)
  • Control Of Electric Motors In General (AREA)
  • Control Of Ac Motors In General (AREA)

Abstract

Verfahren zum Betreiben wenigstens eines Elektromotors (1) und/oder einer damit gekoppelten, nichtfahrenden Arbeitsmaschine, wobei- der Elektromotor (1) in einem Normalbetrieb über wenigstens einen ersten Regler (2) und wenigstens einen Frequenzumrichter (3) angesteuert wird und der wenigstens eine erste Regler (2) und/oder der Frequenzumrichter (3) zumindest zeitweise mit dem Internet (5) verbunden sind und- der Elektromotor (1) in einem Notbetrieb über wenigstens einen nicht mit dem Internet (5) verbindbaren zweiten Regler (9) angesteuert wird, während die Ansteuerung des Elektromotors über den ersten Regler (2) und den Frequenzumrichter (3) unterbrochen wird.

Description

  • Die Erfindung betrifft ein Verfahren zum Betreiben wenigstens eines Elektromotors und/oder einer damit gekoppelten, nichtfahrenden Arbeitsmaschine sowie eine nichtfahrende Arbeitsmaschine.
  • Nichtfahrende Arbeitsmaschinen, wie Pumpen, Verdichter, Kompressoren, Lüfter, oder Hebezeuge werden sehr häufig durch einen Elektromotor angetrieben, der von einem Frequenzumrichter und einem Regler angesteuert wird. Der Frequenzumrichter dient insbesondere dazu, im Teillastbetrieb der Arbeitsmaschine Energie zu sparen oder die Regelgüte des Prozesses zu verbessern.
  • Der Regler liest dabei die Messwerte eines oder mehrerer Sensoren ein. Diese können zum Beispiel der Saugdruck bei einem Kältemittelverdichter, der Füllstand in einer Pumpstation oder die Endposition in einem Hebezeug sein. Die Sensoren dienen dazu, den zu regelnden Prozess zu beschreiben und im Regler die Ansteuersignale für den Frequenzumrichter und den Motor zu erzeugen. Der Frequenzumrichter kann dabei über ein Motorschutzgerät mit dem Stromnetz verbunden oder über eine Sicherheitskette durch das Motorschutzgerät vom Netz getrennt werden.
  • Zunehmend häufiger sind der Regler und/oder der Frequenzumrichter mit dem Internet verbunden. Das kann über unterschiedliche Schnittstellen, wie LAN, WLAN, Bluetooth oder USB, erfolgen, wobei Bluetooth und insbesondere USB meist nur eine temporäre Verbindung zum Internet ermöglichen, stellen LAN und WLAN üblicherweise eine dauerhafte Verbindung her. Über diese Verbindung zum Internet kann die Anlage einfacher konfiguriert, gewartet und an geänderte Umweltbedingungen angepasst werden. Außerdem besteht die Möglichkeit, den Regelalgorithmus über das Internet beispielsweise über ein Update zu ändern. Die Anlage kann auch Daten in übergeordnete Systeme senden und so eine Optimierung auf einer höheren Systemebene unterstützen. Neben den Vorteilen durch Fernwartung, vorbeugende Wartung, etc., ergeben sich aus dieser Vernetzung aber auch neue Risiken in Bezug auf die Cyber-Sicherheit. Insbesondere bei Arbeitsmaschinen in kritischen Infrastrukturbereichen, wie einer Kühlkette für Lebensmittel, der Wasserversorgung, der Entsorgung von Abwasser, Ventilatoren für den Brandschutz (Rauchabzug) oder der Belüftung von Ställen in der Tierhaltung, ist eine sichere Funktion von zentraler Bedeutung. Wenn die Funktion durch einen Cyber-Angriff gestört wird, können die Versorgung, die Gesundheit oder gar das Leben von Menschen leicht beeinträchtigt werden.
  • Aus der DE 10 2015 119 597 A1 ist ein cyber-physikalisches System bekannt, mit dem der Schutz vor einem Cyber-Angriff (wie ein Hacker-Angriff oder eine andere unerwünschte Manipulation über das Internet) verbessert werden kann. Dazu wird vorgeschlagen, dass eine drahtgebundene Schnittstelle zum Internet und eine Sende- und/oder Empfangseinheit zum Senden und/oder Empfangen von Daten über das Internet vorgesehen sind. Die drahtgebundene Schnittstelle steht dabei mit einem steuerbaren Schalter zur physikalischen Trennung und Freigabe der Verbindung zwischen dem cyber-physikalischen System und dem Internet in Verbindung. Das cyber-physikalische System weist wenigstens eine Steuereinrichtung zur Ansteuerung des steuerbaren Schalters zur kurzzeitigen Freigabe der Verbindung zwischen dem cyber-physikalischen System und dem Internet auf. Über den steuerbaren Schalter kann das cyber-physikalische System während des normalen Betriebs vollständig und absolut sicher vom Internet getrennt werden. Lediglich bei Auftreten eines Ereignisses wird über die Steuereinrichtung der steuerbare Schalter im Sinne einer Freigabe der Verbindung zum Internet geschaltet. Die Freigabe erfolgt daher nur zum Zwecke des Sendens und/oder Empfangen von Daten und ist daher sehr kurzfristig, insbesondere kürzer als 1 min., vorzugsweise kürzer als 30 s. Das cyber-physikalische System ist daher nur für den kurzen Augenblick der Freigabe im Internet sichtbar, sodass Hacker-Angriffe oder unerwünschte Manipulationen extrem erschwert werden.
  • Eine weitere Möglichkeit zur Verbesserung der Sicherheit von Anlagen ist aus der DE 10 2015 113 885 A1 bekannt. Die dort beschriebene Anlage sieht wenigstens eine Anlagenkomponente zur Überwachung und/oder Einstellung der Anlage vor, die eine bidirektionale Schnittstelle für einen vor Ort aufzubauenden, bidirektionalen Kommunikationspfad mit einem Benutzer und einen unidirektionalen Kommunikationspfad zur Übertragung von Daten von der wenigstens einen Anlagekomponente zu einem Gateway aufweist. Über den unidirektionalen Kommunikationspfad können somit alle gewünschten Daten über den Zustand der Anlage übertragen werden, die über das Gateway auf einem über das Internet zugänglichen Server abgelegt werden und dort von berechtigten Personen abgefragt werden können. Ein Zugriff auf die Anlagenkomponente über das Gateway ist aufgrund der unidirektionalen Ausbildung des Kommunikationspfads verwehrt, sodass keine Daten vom Gateway zur wenigstens einen Anlagenkomponente übertragen werden können. Natürlich ist es erforderlich, dass die Anlagenkomponente dennoch von einem Benutzer parametrisiert bzw. eingestellt werden kann. Dies erfolgt erfindungsgemäß über die bidirektionale Schnittstelle der Anlagenkomponente mit einem vor Ort aufzubauenden, bidirektionalen Kommunikationspfad mit dem Benutzer. Eine Parametrisierung bzw. Einstellung der Anlagenkomponente ist somit nur über den vor Ort aufzubauenden, bidirektionalen Kommunikationspfad möglich.
  • Die in der DE 10 2015 119 597 A1 und der DE 10 2015 113 885 A1 vorgeschlagenen Maßnahmen stellen Möglichkeiten dar, um den unerwünschten Zugang zu der Anlage über das Internet zu erschweren. Dennoch ist heutzutage eine zumindest zeitweise Verknüpfung von Anlagenkomponenten mit dem Internet explizit gewünscht.
  • Es sind daher auch Verfahren und Methoden erforderlich, die einen Cyber-Angriff erkennen, um geeignete Gegenmaßnahmen einzuleiten. So ist aus der DE 10 2014 109 279 A1 ein Verfahren zum Schutz eines Elektromotors und/oder einer damit gekoppelten Arbeitsmaschine vor Fehlansteuerungen bekannt, bei der die Anzahl von Fehlansteuerungen des Elektromotors und/oder der Arbeitsmaschine gemäß einem ersten Fehlerkriterium und die Anzahl der Fehlansteuerungen des Elektromotors und/oder der Arbeitsmaschine gemäß einem zweiten Fehlerkriterium erfasst und aufsummiert werden. Dabei wird ein Alarmsignal erzeugt und/oder der Elektromotor in einen vordefinierten Zustand geschaltet, wenn die Summe der erfassten Fehlansteuerungen ein vorgegebenes Limit überschreitet. Bei diesem Verfahren geht man davon aus, dass der Elektromotor und/oder die Arbeitsmaschine bereits von einem Schadcode angesteuert werden. Durch das Aufsummieren von Fehlansteuerungen von wenigstens zwei unterschiedlichen Fehlerkriterien kann ein kritischer Zustand auch dann erkannt werden, wenn sich der Elektromotor und/oder die Arbeitsmaschine hinsichtlich eines bestimmten Fehlerkriteriums noch im Sollbereich befindet.
  • Weiterhin ist durch die DE 196 43 408 C2 eine Steuerungsanordnung für ein einen Elektromotor aufweisendes Hebezeug bekannt, wobei der Elektromotor in einem Normalbetrieb über wenigstens einen Mikroprozessor und wenigstens einen Frequenzumrichter angesteuert wird und eine Hilfssteuerschalteinrichtung vorgesehen ist, die beim Ausfall des Mikroprozessors und/oder des Frequenzumrichters einen Notbetrieb zumindest zum Absenken ermöglicht.
  • Der Erfindung liegt nun die Aufgabe zugrunde, die Sicherheit und den Betrieb wenigstens eines Elektromotors und/oder einer damit gekoppelten, nicht fahrenden Arbeitsmaschine weiter zu verbessern.
  • Erfindungsgemäß wird diese Aufgabe durch die Merkmale der Ansprüche 1 und 11 gelöst.
  • Beim erfindungsgemäßen Verfahren zum Betreiben wenigstens eines Elektromotors und/oder einer damit gekoppelten, nicht fahrenden Arbeitsmaschine wird der Elektromotor in einem Normalbetrieb über wenigstens einen ersten Regler und wenigstens einen Frequenzumrichter angesteuert, wobei der wenigstens eine erste Regler und/oder der Frequenzumrichter zumindest zeitweise mit dem Internet verbunden sind. Des Weiteren kann der Elektromotor in einem Notbetrieb über wenigstens einen nicht mit dem Internet verbindbaren zweiten Regler angesteuert werden, während die Ansteuerung des Elektromotors über den ersten Regler und den Frequenzumrichter unterbrochen wird.
  • Erfindungsgemäß sieht die nichtfahrende Arbeitsmaschine wenigstens einen Elektromotor vor, wobei zur Ansteuerung des Elektromotors in einem Normalbetrieb wenigstens ein erster Regler und wenigstens ein Frequenzumrichter vorgesehen sind und der wenigstens eine erste Regler und/oder der Frequenzumrichter zumindest zeitweise mit dem Internet in Verbindung stehen. Ferner ist ein Motorschutzgerät mit einem nicht mit dem Internet verbundenen zweiten Regler zur Ansteuerung des Elektromotors in einem Notbetrieb vorgesehen, wobei das Motorschutzgerät mit wenigstens einen ersten Relais zur Unterbrechung der Ansteuerung des Elektromotors über den ersten Regler und/oder den Frequenzumrichter während des Notbetriebs in Verbindung steht.
  • Durch die erfindungsgemäße Lösung kann im Falle eines Cyber-Angriffs der Elektromotor vom ersten Regler und/oder dem Frequenzumrichter getrennt werden, wobei ein Notbetrieb über den zweiten Regler gewährleistet ist. Dadurch wird die Grundfunktion der Arbeitsmaschine, wie beispielsweise die Versorgung mit Trinkwasser oder die weitere Kühlung eines Kühlhauses weiter erfüllt. Es wird lediglich für eine Übergangszeit, bis der Cyber-Angriff abgewehrt ist, ein höheren Energieverbrauch des Elektromotors und/oder eine verschlechterte Regelgüte in Kauf genommen, da der Betrieb ohne den Frequenzumrichter erfolgt.
  • Dieses Sicherheitskonzept bezieht sich insbesondere auf Arbeitsmaschinen wie Pumpen, Verdichter, Ventilatoren, Hebezeuge, etc., die einen wichtigen Teil unserer Infrastruktur ausmachen.
  • Gemäß einer bevorzugten Ausgestaltung der Erfindung wird der Elektromotor im Notbetrieb betrieben, sobald ein Cyber-Angriff auf den Elektromotor und/oder die damit gekoppelte, nichtfahrende Arbeitsmaschine erkannt wird. Eine Möglichkeit zur Erkennung eines Cyber-Angriffs besteht darin, dass zwischen dem ersten Regler bzw. den Frequenzumrichter und dem Internet eine Firewall vorgesehen wird. Sobald die Firewall einen entsprechenden Cyber-Angriff erkennt, kann ein Motorschutzgerät entsprechend angesteuert werden, um die Regelung des Elektromotors über den ersten Regler bzw. den Frequenzumrichter zu unterbrechen und den Notbetrieb über den zweiten Regler vorzusehen. Nachdem der zweite Regler zu keinem Zeitpunkt mit dem Internet verbunden wird, kann auf diese Weise zuverlässig sichergestellt werden, dass der Elektromotor nicht durch eine unerwünschte Manipulation angesteuert wird. Außerdem wird die Grundfunktion aufrechterhalten, auch wenn dies ggf. durch einen energetisch nicht optimierten Betrieb erfolgt.
  • Eine andere Möglichkeit, einen Cyber-Angriff zu erkennen, besteht in einer Selbstüberwachung im ersten Regler und/oder im Frequenzumrichter. Dies kann beispielsweise durch ein Verfahren gemäß der DE 10 2014 109 279 A1 erfolgen, indem die Anzahl von Fehlansteuerungen des Elektromotors und/oder der damit verbundenen Arbeitsmaschine gemäß einem ersten Fehlerkriterium und die Anzahl von Fehlansteuerungen des Elektromotors und/oder und der damit verbundenen Arbeitsmaschine gemäß einem zweiten Fehlerkriterium erfasst und aussummiert werden, wobei ein Cyber-Angriff dadurch erkannt wird, dass die Summe der erfassten Fehlansteuerungen ein vorgegebenes Limit überschreitet. Bezüglich weiterer Ausgestaltungen dieses Verfahrens wird hiermit ausdrücklich auf die DE 10 2014 109 279 A1 verwiesen.
  • Ein anderes Verfahren zur Erkennung eines Cyber-Angriffs ist aus der älteren Anmeldung DE 10 2016 114 805 A1 bekannt. Dort ist ein Verfahren zur Überwachung, Steuerung oder Regelung einer Maschine mit Hilfe eines eingebetteten Systems vorgesehen, das einen ersten Prozessor aufweist, der mit einem Eingangssignal beaufschlagt wird, welches mittels einem in einem ersten Prozessor implementierten ersten Algorithmus verarbeitet wird, um ein erstes Ausgangssignals zur Steuerung oder Regelung der Maschine zu erzeugen, und wobei der erste Algorithmus des ersten Prozessors über einen Netzwerk-Schnittstelle veränderbar ist. Im eingebetteten System kommt ferner ein zweiter, nicht mit dem Netzwerk-Schnittstelle verbundener, zweiter Prozessor zur Anwendung, der mit dem gleichen Eingangssignal beaufschlagt wird, welches mittels einem im zweiten Prozessor implementierten zweiten Algorithmus verarbeitet wird, um ein zweites Ausgangssignal zu erzeugen, wobei das erste Ausgangssignal des ersten Prozessor und das zweite Ausgangssignal des zweiten Prozessors miteinander verglichen werden, um festzustellen, ob der erste Algorithmus gegenüber dem zweiten Algorithmus verändert wurde.
  • Als eingebettetes System wird dort ein System mit wenigstens einem Prozessor verstanden, der in einem technischen Kontext eingebunden ist. Dabei übernimmt der Prozessor insbesondere Überwachungs-, Steuerungs- oder Regelungsfunktionen und kann dadurch insbesondere auch Daten bzw. Signale verarbeiten.
  • Dieses Verfahren trägt den Erfordernissen der Industrie nach einer unkomplizierten und schnellen Anpassung des Systems über eine Netzwerk-Schnittstelle rechnen. Auch wenn man entsprechende Sicherheitsvorkehrungen trifft, kann nicht völlig ausgeschlossen werden, dass sich Personen auf unerlaubter Weise Zugang verschaffen und Manipulationen vornehmen. Durch das Vorsehen des zweiten Prozessors ist jedoch ein von der Netzwerk-Schnittstelle unabhängiger Prozessor vorhanden, der im Normalfall mit dem gleichen Algorithmus wie der erste Prozessor arbeitet. Wird jedoch nun der erste Algorithmus im ersten Prozessor in unerlaubter Weise manipuliert, stellt der Komparator unterschiedliche Ausgangssignale der beiden Prozessoren fest, sodass auf diese Weise ein Cyber-Angriff erkannt werden kann. Überträgt man dieses Verfahren zum Erkennen eines Cyber-Angriffs auf die vorliegende Erfindung, würde man den ersten Regler und/oder den Inverter mit zwei Prozessoren ausstatten, wobei nur einer der beiden Prozessoren mit dem Internet verbunden ist. Stellt der ebenfalls zu implementierende Komparator unterschiedliche Ausgangssignale der beiden Prozessoren fest, würde ein Cyber-Angriff vorliegen, sodass über das Motorschutzgerät vom Normalbetrieb in den Notbetrieb (Regelung über den zweiten Regler) umgestellt wird.
  • Bezüglich weiterer Ausgestaltung des Verfahrens mit den beiden Prozessoren wird hiermit ausdrücklich auf die DE 10 2016 114 805 A1 verwiesen.
  • Im Normalbetrieb wird der Elektromotor bzw. der Frequenzumrichter in Abhängigkeit wenigstens eines Sensorsignals angesteuert, das den zu regelnden Prozess beschreibt. Diese können zum Beispiel der Saugdruck bei einem Kältemittelverdichter, der Füllstand in einer Pumpstation oder die Endposition in einem Hebezeug sein. Die Sensorsignale werden in einer im ersten Regler integrierten ersten Auswerteeinrichtung hinsichtlich der Einhaltung von Sollwerten auswertet, um den Elektromotor über den Frequenzumrichter in Abhängigkeit der Sensorsignale anzusteuern. Üblicherweise wird der Elektromotor so angesteuert, dass der erfasste Parameter sich in einem vorgebenden Sollbereich befindet bzw. gehalten wird. Überschreitet der wenigstens eine erfasste Parameter jedoch vorgegebene Grenzwerte, kann vorgesehen werden, dass der Elektromotor komplett abgeschaltet oder ggf. zunächst mit reduzierter Leistung betrieben wird.
  • Bei der nichtfahrenden Arbeitsmaschine kann es sich insbesondere um einen Verdichter für Kältemittel oder Luft, eine Pumpe, ein Hebezeug oder einen Ventilator handeln.
  • Weitere Ausgestaltungen der Erfindung werden anhand der nachfolgenden Beschreibung und der Zeichnung näher erläutert.
  • 1 der Zeichnung zeigt einen Schaltplan zur Ansteuerung eines Elektromotors 1 im Normalbetrieb und im Notbetrieb.
  • Der in 1 dargestellte Elektromotor 1 ist beispielsweise Bestandteil einer nichtfahrenden Arbeitsmaschine, bei der es sich beispielsweise um einen Verdichter für Kältemittel oder Luft, eine Pumpe, ein Hebezeug oder einen Ventilator handelt. Der Elektromotor 1 wird in einem Normalbetrieb über einen ersten Regler 2 und einen Frequenzumrichter 3 angesteuert, wobei der erste Regler 2 über eine Firewall 4 zumindest zeitweise mit dem Internet 5 in Verbindung steht. Die Energiezuführung zum Elektromotor 1 erfolgt über eine dreiphasige Stromleitung 6, das erste Relais 7 und dem Frequenzumrichter 3.
  • Der erste Regler 2 steht ferner mit wenigstens einem, vorzugsweise mehreren Sensoren 10 in Verbindung, die wenigstens einen Parameter des Elektromotors und/oder der damit in Verbindung stehenden Arbeitsmaschine erfassen. Diese können zum Beispiel der Saugdruck bei einem Kältemittelverdichter, der Füllstand in einer Pumpstation oder die Endposition in einem Hebezeug sein. Die dabei entstehenden Sensorsignale 11 werden in einer im ersten Regler 2 integrierten ersten Auswerteeinrichtung 20 hinsichtlich der Einhaltung von Sollwerten auswertet, um den Elektromotor über den Frequenzumrichter 3 in Abhängigkeit der Sensorsignale 11 anzusteuern.
  • Die erste Auswerteeinrichtung 20 des ersten Reglers 2 wird mit den Sensorsignalen 11 beaufschlagt und verarbeitet diese mittels eines in einem Prozessor implementierten Algorithmus, um ein Ausgangssignal 12 zur Steuerung und Regelung des Frequenzumrichters 3 bzw. des Elektromotors 1 zu erzeugen. Die Sensoren 10 dienen somit dazu, den zu regelnden Prozess zu beschreiben, damit im ersten Regler 2 die Ansteuersignale für den Frequenzumrichter 3 und den Elektromotor 1 erzeugt werden können.
  • Das Motorschutzgerät 8 dient unter anderem dazu, den Elektromotor 1 auf kritische Zustände zu überwachen. Hierzu kann beispielsweise über einen Eingang E2 die Temperatur einer Wicklung des Elektromotors 1 mit Hilfe eines Temperatursensors 13 eingelesen und ausgewertet werten. Der Temperaursensor 13 wird beispielsweise durch einen PTC oder ein PT100 gebildet. Darüber hinaus können über den Eingang E3 auch die Sensorsignale 11 des bzw. der Sensoren 10 und/oder anderer Sensoren eingelesen werden. Hierbei kann es sich beispielsweise um die Temperatur eines Heißgases oder einen Ölstand handeln. Des Weiteren können über den Eingang E1 die drei Phasen der Stromleitung 6 über einen Strom- und/oder Spannungssensor 14 eingelesen und auf kritische Zustände, wie Unterspannung, Überspannung, Phasenausfall oder Phasenasymmetrie überwacht werden.
  • Die Auswertung der Sensorsignale erfolgt mittels einer im Motorschutzgerät vorgesehenen Auswerteeinrichtung 80. Wird dabei ein für den Elektromotor 1 und/oder die damit gekoppelte, nichtfahrende Arbeitsmaschine kritischer Zustand erkannt, wird der Elektromotor 1 durch Deaktivierung des ersten Relais 7 über den Ausgang A1 abgeschaltet. Das erste Relais 7 besteht hierbei beispielsweise aus einer ersten Spule 70 und einem ersten Arbeitskontakt bzw. Schließer 71.
  • Neben dieser herkömmlichen Motorschutzfunktion ist das Motorschutzgerät 8 darüber hinaus auch in der Lage, einen Notbetrieb des Elektromotors 1 im Falle eines Cyber-Angriffs einzuleiten. Die Erkennung eines Cyber-Angriffs kann auf unterschiedlicher Art und Weise erfolgen. Eine Möglichkeit besteht darin, dass die Firewall 4 einen Cyber-Angriff erkennt und eine entsprechende erste Nachricht 15 an das Motorschutzgerät 8 sendet. Diese erste Nachricht 15 wird über den Eingang E4 eingelesen.
  • Des Weiteren kann der erste Regler 2 mit einer Selbstüberwachungseinrichtung 21 ausgestattet sein, die einen Cyber-Angriff erkennt. Diese kann beispielsweise gemäß einem Verfahren gemäß der DE 10 2014 109 279 A1 oder durch eine Ausgestaltung gemäß der DE 10 2016 114 805 A1 erfolgen. Sobald im ersten Regler 2 ein Cyber-Angriff erkannt wird, wird eine zweite Nachricht 16 an das Motorschutzgerät 8 gesandt.
  • Neben diesen externen Erkennungsmöglichkeiten für einen Cyber-Angriff kann aber auch eine im Motorschutzgerät 8 implementierte Erkennung vorgesehen werden. Eine Erkennung eines Cyber-Angriffs kann beispielsweise durch eine Auswertung der über den Eingang E1 eingelesenen Strom- und Spannungswerte Strom- und/oder Spannungssensors 14 und/oder weiterer über den Eingang E3 eingelesener Sensorsignale erfolgen. Dabei kann beispielsweise ein Verfahren gemäß der DE 10 2014 109 279 A1 zur Anwendung kommen.
  • Erkennt das Motorschutzgerät 8 über die erste Nachricht 15 von der Firewall 4, die zweite Nachricht 16 von der Selbstüberwachungseinrichtung 21 des ersten Reglers 2 oder über eine interne Auswertung von Sensorsignalen einen Cyber-Angriff trennt das Motorschutzgerät 8 den Frequenzumrichter 3 über das erste Relais 7 vom Stromnetz und schaltet den Elektromotor 1 über ein zweites Relais 17 (mit zweiter Spule 170 und zweitem Arbeitskontakt 171) ans Stromnetz (Notbetrieb).
  • Der zweite Regler 9 ist zu keinem Zeitpunkt mit dem Internet verbunden und kann daher über das Internet nicht manipuliert werden. Der zweite Regler wird beispielsweise durch PI-Regler, einen PID-Regler, einen Zweipunktregler mit Hysterese oder dergleichen gebildet. Die Sensorsignale der Sensoren 10 werden weiterhin über den Eingang E3 eingelesen und vom Regelalgorithmus des zweiten Reglers 9 verarbeitet. Der zweite Regler 9 kann dabei aber den Elektromotor 1 über das zweite Relais 17 aber nur noch an- bzw. ausschalten, um die Funktion des Elektromotors zu erfüllen. Ein Teillastbetrieb des Elektromotors 1, welcher zuvor über den Frequenzumrichter 3 realisierbar war, ist dann in diesem sogenannten „Notbetrieb“ nicht mehr möglich. Dennoch kann die Grundfunktion des Elektromotors 1 aufrechterhalten werden, wenngleich Einbußen beim Energieverbrauch bzw. der Regelgüte hingenommen werden müssen.
  • Sobald der Cyber-Angriff abgewehrt ist, kann der Elektromotor 1 wieder durch Deaktivierung des zweiten Relais 17 und Aktivierung des ersten Relais 7 über den ersten Regler 2 und den Frequenzumrichter 3 betrieben werden.

Claims (19)

  1. Verfahren zum Betreiben wenigstens eines Elektromotors (1) und/oder einer damit gekoppelten, nichtfahrenden Arbeitsmaschine, wobei - der Elektromotor (1) in einem Normalbetrieb über wenigstens einen ersten Regler (2) und wenigstens einen Frequenzumrichter (3) angesteuert wird und der wenigstens eine erste Regler (2) und/oder der Frequenzumrichter (3) zumindest zeitweise mit dem Internet (5) verbunden sind und - der Elektromotor (1) in einem Notbetrieb über wenigstens einen nicht mit dem Internet (5) verbindbaren zweiten Regler (9) angesteuert wird, während die Ansteuerung des Elektromotors über den ersten Regler (2) und den Frequenzumrichter (3) unterbrochen wird.
  2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass der Elektromotor (1) im Notbetrieb betrieben wird, sobald ein Cyber-Angriff auf den Elektromotor (1) und/oder die damit gekoppelte, nichtfahrende Arbeitsmaschine erkannt wird.
  3. Verfahren nach Anspruch 2, dadurch gekennzeichnet, dass ein Cyber-Angriff über eine Firewall (4) erkannt wird.
  4. Verfahren nach Anspruch 2, dadurch gekennzeichnet, dass ein Cyber-Angriff durch eine Selbstüberwachung im ersten Regler (2) oder Frequenzumrichter (3) erkannt wird.
  5. Verfahren nach Anspruch 2, dadurch gekennzeichnet, dass wenigstens ein Parameter des Elektromotors (1) und/oder der damit gekoppelten, nichtfahrenden Arbeitsmaschine von wenigstens einem Sensor (10, 13, 14) erfasst und zur Steuerung des Elektromotors und/oder zur Erkennung eines Cyber-Angriffs ausgewertet wird.
  6. Verfahren nach Anspruch 5, dadurch gekennzeichnet, dass der Sensor durch einen Strom-und/oder Spannungssensor (14) gebildet wird, der eine Strom- und/oder Spannungsmessung im Bereich einer Energiezuführung zum Elektromotor (1) durchführt und die vom Strom-und/oder Spannungssensor (14) erfassten Strom- und/oder Spannungswerte zur Erkennung eines Cyber-Angriffs auf vorgegebene Fehlerkriterien überprüft werden.
  7. Verfahren nach Anspruch 5, dadurch gekennzeichnet, dass der wenigstens eine Sensor (10) durch einen in einer Wicklung des Elektromotors (1) angeordneten Temperatursensor (13) gebildet wird, der die Temperatur im Bereich der Wicklung, erfasst, auswertet und zur Ansteuerung des Elektromotors (1) verwendet.
  8. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass ein Motorschutzgerät (8) vorgesehen ist, das im Falle eines erkannten Cyber-Angriffs die Ansteuerung des Elektromotors (1) über den ersten Regler (2) und den Frequenzumrichter (3) mittels eines ersten Relais (7) unterbricht.
  9. Verfahren nach Anspruch 5 und 8, dadurch gekennzeichnet, dass das Motorschutzgerät (8) im Falle eines erkannten Cyber-Angriffs den Elektromotor (1) über den zweiten Regler (9) in Abhängigkeit der vom wenigstens einen Sensor (10, 13, 14) erfassten Parameter regelt.
  10. Verfahren nach Anspruch 5, dadurch gekennzeichnet, dass der Elektromotor (1) abgeschaltet oder mit reduzierter Leistung betrieben wird, wenn die Auswertung des wenigstens einen gemessenen Parameters eine Nichteinhaltung vorgegebener Grenzwerte ergibt.
  11. Nichtfahrende Arbeitsmaschine mit wenigstens einem Elektromotor (1), wobei zur Ansteuerung des Elektromotors (1) in einem Normalbetrieb wenigstens ein erster Regler (2) und wenigstens ein Frequenzumrichter (3) vorgesehen sind und der wenigstens eine erste Regler (1) und/oder der Frequenzumrichter (3) zumindest zeitweise mit dem Internet (5) in Verbindung stehen und ferner ein Motorschutzgerät (8) mit einem nicht mit dem Internet verbundenen zweiten Regler (9) zur Ansteuerung des Elektromotors (1) in einem Notbetrieb vorgesehen ist, wobei das Motorschutzgerät (8) mit wenigstens einem ersten Relais (7) zur Unterbrechung der Ansteuerung des Elektromotors (1) über den ersten Regler (2) und/oder den Frequenzumrichter (3) während des Notbetriebes verbunden ist.
  12. Nichtfahrende Arbeitsmaschine nach Anspruch 11, wobei Mittel zur Erkennung eines Cyber-Angriffs vorgesehen sind.
  13. Nichtfahrende Arbeitsmaschine nach Anspruch 12, wobei die Mittel zur Erkennung eines Cyber-Angriffs durch eine Firewall (4) gebildet werden.
  14. Nichtfahrende Arbeitsmaschine nach Anspruch 12, wobei die Mittel zur Erkennung eines Cyber-Angriffs durch eine im ersten Regler (2) und/oder im Frequenzumrichter (3) implementierte Selbstüberwachungseinrichtung (21) gebildet werden.
  15. Nichtfahrende Arbeitsmaschine nach Anspruch 12, wobei die Mittel zur Erkennung eines Cyber-Angriffs wenigstens einen Sensor (10, 13, 14) zur Erfassung wenigstens eines Parameters des Elektromotors (1) und/oder der damit in Verbindung stehenden Arbeitsmaschine umfasst.
  16. Nichtfahrende Arbeitsmaschine nach Anspruch 11, wobei wenigstens ein Sensor (10, 13, 14) zur Erfassung wenigstens eines Parameters des Elektromotors (1) und/oder der damit in Verbindung stehenden Arbeitsmaschine vorgesehen ist, der mit wenigstens einer Auswerteeinrichtung zur Überprüfung der erfassten Parameter hinsichtlich der Einhaltung von Sollwerten in Verbindung ist.
  17. Nichtfahrende Arbeitsmaschine nach Anspruch 16, wobei der wenigstens eine Sensor durch einen in einer Wicklung des Elektromotors (1) angeordneten Temperatursensor (13) und/oder durch einem im Bereich einer Energiezuführung zum Elektromotor (1) angeordneten Strom- und/oder Spannungssensor (14) gebildet wird.
  18. Nichtfahrende Arbeitsmaschine nach Anspruch 11, wobei das Motorschutzgerät (8) mit wenigstens einem zweiten Relais (17) zum Starten und Stoppen des Elektromotors (1) verbunden ist.
  19. Nichtfahrende Arbeitsmaschine nach Anspruch 11, dadurch gekennzeichnet, dass es sich bei der nichtfahrenden Arbeitsmaschine um einen Verdichter für Kältemittel oder Luft, eine Pumpe, ein Hebezeug oder einen Ventilator handelt.
DE102017117604.7A 2017-08-03 2017-08-03 Verfahren zum Betreiben wenigstens eines Elektromotors und/oder einer damit gekoppelten, nichtfahrenden Arbeitsmaschine sowie eine nichtfahrende Arbeitsmaschine Active DE102017117604B4 (de)

Priority Applications (3)

Application Number Priority Date Filing Date Title
DE102017117604.7A DE102017117604B4 (de) 2017-08-03 2017-08-03 Verfahren zum Betreiben wenigstens eines Elektromotors und/oder einer damit gekoppelten, nichtfahrenden Arbeitsmaschine sowie eine nichtfahrende Arbeitsmaschine
US16/009,790 US20190044468A1 (en) 2017-08-03 2018-06-15 Method for Operating at Least One Electric Motor and/or Stationary Work Machine Coupled Therewith, and Stationary Work Machine
CN201810763012.8A CN109391219A (zh) 2017-08-03 2018-07-12 操作电机和/或与其耦合的固定作业机的方法及该作业机

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102017117604.7A DE102017117604B4 (de) 2017-08-03 2017-08-03 Verfahren zum Betreiben wenigstens eines Elektromotors und/oder einer damit gekoppelten, nichtfahrenden Arbeitsmaschine sowie eine nichtfahrende Arbeitsmaschine

Publications (2)

Publication Number Publication Date
DE102017117604A1 DE102017117604A1 (de) 2019-02-07
DE102017117604B4 true DE102017117604B4 (de) 2019-06-19

Family

ID=65019740

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102017117604.7A Active DE102017117604B4 (de) 2017-08-03 2017-08-03 Verfahren zum Betreiben wenigstens eines Elektromotors und/oder einer damit gekoppelten, nichtfahrenden Arbeitsmaschine sowie eine nichtfahrende Arbeitsmaschine

Country Status (3)

Country Link
US (1) US20190044468A1 (de)
CN (1) CN109391219A (de)
DE (1) DE102017117604B4 (de)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3506587A1 (de) * 2017-12-29 2019-07-03 Nagravision S.A. Integrierte schaltung

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19643408C2 (de) 1996-10-21 2001-07-26 Stahl R Foerdertech Gmbh Notbetriebssteuerung für ein Hebezeug
DE102014109279A1 (de) 2014-07-02 2016-01-07 Kriwan Industrie-Elektronik Gmbh Verfahren und Schutzgerät zum Schutz eines Elektromotors und/oder einer damit gekoppelten Arbeitsmaschine vor Fehlansteuerungen
DE102015113885A1 (de) 2015-08-21 2017-02-23 Kriwan Industrie-Elektronik Gmbh Anlage mit wenigstens einer Anlagenkomponente zur Überwachung und/oder Einstellung der Anlage
DE102015119597A1 (de) 2015-11-13 2017-05-18 Kriwan Industrie-Elektronik Gmbh Cyber-physikalisches System
DE102016114805A1 (de) 2016-08-10 2018-02-15 Kriwan Industrie-Elektronik Gmbh Verfahren sowie eingebettetes System zur Überwachung, Steuerung oder Regelung einer Maschine

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19643408C2 (de) 1996-10-21 2001-07-26 Stahl R Foerdertech Gmbh Notbetriebssteuerung für ein Hebezeug
DE102014109279A1 (de) 2014-07-02 2016-01-07 Kriwan Industrie-Elektronik Gmbh Verfahren und Schutzgerät zum Schutz eines Elektromotors und/oder einer damit gekoppelten Arbeitsmaschine vor Fehlansteuerungen
DE102015113885A1 (de) 2015-08-21 2017-02-23 Kriwan Industrie-Elektronik Gmbh Anlage mit wenigstens einer Anlagenkomponente zur Überwachung und/oder Einstellung der Anlage
DE102015119597A1 (de) 2015-11-13 2017-05-18 Kriwan Industrie-Elektronik Gmbh Cyber-physikalisches System
DE102016114805A1 (de) 2016-08-10 2018-02-15 Kriwan Industrie-Elektronik Gmbh Verfahren sowie eingebettetes System zur Überwachung, Steuerung oder Regelung einer Maschine

Also Published As

Publication number Publication date
US20190044468A1 (en) 2019-02-07
CN109391219A (zh) 2019-02-26
DE102017117604A1 (de) 2019-02-07

Similar Documents

Publication Publication Date Title
EP3455931B1 (de) Umrichtersystem mit einem ac/dc-wandler und verfahren zum betreiben eines umrichtersystems
EP2359466B1 (de) Verfahren zum betreiben eines antriebs und antrieb
EP2804826A1 (de) Überwachung einer bahngeschwindigkeit einer materialbahn
DE102016000743A1 (de) Verfahren zum Steuern eines elektrisch erregten Motors und Umrichter
EP3748216B1 (de) Vorrichtung und verfahren zur energieeffizienten ausführung einer sicherheitsfunktion
DE102009050621A1 (de) Robuste PID-Regelung für die Regelvorrichtung eines bürstenlosen Gleichstrommotors
DE102017117604B4 (de) Verfahren zum Betreiben wenigstens eines Elektromotors und/oder einer damit gekoppelten, nichtfahrenden Arbeitsmaschine sowie eine nichtfahrende Arbeitsmaschine
DE4040847C2 (de) Verfahren zur Überwachung und Ansteuerung eines elektronisch kommutierten Gleichstrommotors
EP2963808B1 (de) Verfahren und schutzgerät zum schutz eines elektromotors und/oder einer damit gekoppelten arbeitsmaschine vor fehlansteuerungen
DE102006024378A1 (de) Elektronische Steuereinrichtung eines elektrischen Antriebssystems, elektronische Antriebseinheit eines elektrischen Antriebssystems und elektrisches Antriebssystem
EP2311769B1 (de) Verfahren zur Steuerung eines Aufzugs und einer Aufzugsgruppe
DE102009007559A1 (de) Sicheres Antriebssystem und Verfahren zur Sicherung eines Antriebssystems
DE112014002055B4 (de) Motorsteuerungsvorrichtung und Motorsteuerungssystem
WO2013013792A2 (de) Antriebssystem und verfahren zum betreiben eines antriebssystems
DE102007005881B3 (de) Verfahren zum Betrieb eines Torantriebes und Torantrieb
EP3137948A1 (de) Vorrichtung und verfahren zum fehlersicheren überwachen eines beweglichen maschinenteils
EP1046971B1 (de) Elektronische Steuereinrichtung
DE102009008132B4 (de) Torsteuerung zur Steuerung eines elektromotorisch angetriebenen Tores
EP0988677B1 (de) Sicherheitsvorrichtung für einen antrieb
EP3710897A1 (de) Verfahren und vorrichtung zum cyberangriffsschutz von pumpenaggregaten
EP1073174A2 (de) Elektromotor mit Selbstschutzeinrichtung gegen Überhitzung
EP1986062A1 (de) Steuervorrichtung und Steuerverfahren für ein elektrisches Haushaltsgerät
EP4059678A1 (de) Verfahren und schneidemaschine mit sicherheitsüberwachtem reversieren der gefahrbringenden schneidemesserbewegung im gefahrenfall
DE102016114805A1 (de) Verfahren sowie eingebettetes System zur Überwachung, Steuerung oder Regelung einer Maschine
EP3410458B1 (de) Modulare sicherheitsrelaisschaltung zum sicheren ein- und/oder ausschalten zumindest einer maschine

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication
R018 Grant decision by examination section/examining division
R020 Patent grant now final