-
Die Erfindung betrifft ein Verfahren zum Betreiben wenigstens eines Elektromotors und/oder einer damit gekoppelten, nichtfahrenden Arbeitsmaschine sowie eine nichtfahrende Arbeitsmaschine.
-
Nichtfahrende Arbeitsmaschinen, wie Pumpen, Verdichter, Kompressoren, Lüfter, oder Hebezeuge werden sehr häufig durch einen Elektromotor angetrieben, der von einem Frequenzumrichter und einem Regler angesteuert wird. Der Frequenzumrichter dient insbesondere dazu, im Teillastbetrieb der Arbeitsmaschine Energie zu sparen oder die Regelgüte des Prozesses zu verbessern.
-
Der Regler liest dabei die Messwerte eines oder mehrerer Sensoren ein. Diese können zum Beispiel der Saugdruck bei einem Kältemittelverdichter, der Füllstand in einer Pumpstation oder die Endposition in einem Hebezeug sein. Die Sensoren dienen dazu, den zu regelnden Prozess zu beschreiben und im Regler die Ansteuersignale für den Frequenzumrichter und den Motor zu erzeugen. Der Frequenzumrichter kann dabei über ein Motorschutzgerät mit dem Stromnetz verbunden oder über eine Sicherheitskette durch das Motorschutzgerät vom Netz getrennt werden.
-
Zunehmend häufiger sind der Regler und/oder der Frequenzumrichter mit dem Internet verbunden. Das kann über unterschiedliche Schnittstellen, wie LAN, WLAN, Bluetooth oder USB, erfolgen, wobei Bluetooth und insbesondere USB meist nur eine temporäre Verbindung zum Internet ermöglichen, stellen LAN und WLAN üblicherweise eine dauerhafte Verbindung her. Über diese Verbindung zum Internet kann die Anlage einfacher konfiguriert, gewartet und an geänderte Umweltbedingungen angepasst werden. Außerdem besteht die Möglichkeit, den Regelalgorithmus über das Internet beispielsweise über ein Update zu ändern. Die Anlage kann auch Daten in übergeordnete Systeme senden und so eine Optimierung auf einer höheren Systemebene unterstützen. Neben den Vorteilen durch Fernwartung, vorbeugende Wartung, etc., ergeben sich aus dieser Vernetzung aber auch neue Risiken in Bezug auf die Cyber-Sicherheit. Insbesondere bei Arbeitsmaschinen in kritischen Infrastrukturbereichen, wie einer Kühlkette für Lebensmittel, der Wasserversorgung, der Entsorgung von Abwasser, Ventilatoren für den Brandschutz (Rauchabzug) oder der Belüftung von Ställen in der Tierhaltung, ist eine sichere Funktion von zentraler Bedeutung. Wenn die Funktion durch einen Cyber-Angriff gestört wird, können die Versorgung, die Gesundheit oder gar das Leben von Menschen leicht beeinträchtigt werden.
-
Aus der
DE 10 2015 119 597 A1 ist ein cyber-physikalisches System bekannt, mit dem der Schutz vor einem Cyber-Angriff (wie ein Hacker-Angriff oder eine andere unerwünschte Manipulation über das Internet) verbessert werden kann. Dazu wird vorgeschlagen, dass eine drahtgebundene Schnittstelle zum Internet und eine Sende- und/oder Empfangseinheit zum Senden und/oder Empfangen von Daten über das Internet vorgesehen sind. Die drahtgebundene Schnittstelle steht dabei mit einem steuerbaren Schalter zur physikalischen Trennung und Freigabe der Verbindung zwischen dem cyber-physikalischen System und dem Internet in Verbindung. Das cyber-physikalische System weist wenigstens eine Steuereinrichtung zur Ansteuerung des steuerbaren Schalters zur kurzzeitigen Freigabe der Verbindung zwischen dem cyber-physikalischen System und dem Internet auf. Über den steuerbaren Schalter kann das cyber-physikalische System während des normalen Betriebs vollständig und absolut sicher vom Internet getrennt werden. Lediglich bei Auftreten eines Ereignisses wird über die Steuereinrichtung der steuerbare Schalter im Sinne einer Freigabe der Verbindung zum Internet geschaltet. Die Freigabe erfolgt daher nur zum Zwecke des Sendens und/oder Empfangen von Daten und ist daher sehr kurzfristig, insbesondere kürzer als 1 min., vorzugsweise kürzer als 30 s. Das cyber-physikalische System ist daher nur für den kurzen Augenblick der Freigabe im Internet sichtbar, sodass Hacker-Angriffe oder unerwünschte Manipulationen extrem erschwert werden.
-
Eine weitere Möglichkeit zur Verbesserung der Sicherheit von Anlagen ist aus der
DE 10 2015 113 885 A1 bekannt. Die dort beschriebene Anlage sieht wenigstens eine Anlagenkomponente zur Überwachung und/oder Einstellung der Anlage vor, die eine bidirektionale Schnittstelle für einen vor Ort aufzubauenden, bidirektionalen Kommunikationspfad mit einem Benutzer und einen unidirektionalen Kommunikationspfad zur Übertragung von Daten von der wenigstens einen Anlagekomponente zu einem Gateway aufweist. Über den unidirektionalen Kommunikationspfad können somit alle gewünschten Daten über den Zustand der Anlage übertragen werden, die über das Gateway auf einem über das Internet zugänglichen Server abgelegt werden und dort von berechtigten Personen abgefragt werden können. Ein Zugriff auf die Anlagenkomponente über das Gateway ist aufgrund der unidirektionalen Ausbildung des Kommunikationspfads verwehrt, sodass keine Daten vom Gateway zur wenigstens einen Anlagenkomponente übertragen werden können. Natürlich ist es erforderlich, dass die Anlagenkomponente dennoch von einem Benutzer parametrisiert bzw. eingestellt werden kann. Dies erfolgt erfindungsgemäß über die bidirektionale Schnittstelle der Anlagenkomponente mit einem vor Ort aufzubauenden, bidirektionalen Kommunikationspfad mit dem Benutzer. Eine Parametrisierung bzw. Einstellung der Anlagenkomponente ist somit nur über den vor Ort aufzubauenden, bidirektionalen Kommunikationspfad möglich.
-
Die in der
DE 10 2015 119 597 A1 und der
DE 10 2015 113 885 A1 vorgeschlagenen Maßnahmen stellen Möglichkeiten dar, um den unerwünschten Zugang zu der Anlage über das Internet zu erschweren. Dennoch ist heutzutage eine zumindest zeitweise Verknüpfung von Anlagenkomponenten mit dem Internet explizit gewünscht.
-
Es sind daher auch Verfahren und Methoden erforderlich, die einen Cyber-Angriff erkennen, um geeignete Gegenmaßnahmen einzuleiten. So ist aus der
DE 10 2014 109 279 A1 ein Verfahren zum Schutz eines Elektromotors und/oder einer damit gekoppelten Arbeitsmaschine vor Fehlansteuerungen bekannt, bei der die Anzahl von Fehlansteuerungen des Elektromotors und/oder der Arbeitsmaschine gemäß einem ersten Fehlerkriterium und die Anzahl der Fehlansteuerungen des Elektromotors und/oder der Arbeitsmaschine gemäß einem zweiten Fehlerkriterium erfasst und aufsummiert werden. Dabei wird ein Alarmsignal erzeugt und/oder der Elektromotor in einen vordefinierten Zustand geschaltet, wenn die Summe der erfassten Fehlansteuerungen ein vorgegebenes Limit überschreitet. Bei diesem Verfahren geht man davon aus, dass der Elektromotor und/oder die Arbeitsmaschine bereits von einem Schadcode angesteuert werden. Durch das Aufsummieren von Fehlansteuerungen von wenigstens zwei unterschiedlichen Fehlerkriterien kann ein kritischer Zustand auch dann erkannt werden, wenn sich der Elektromotor und/oder die Arbeitsmaschine hinsichtlich eines bestimmten Fehlerkriteriums noch im Sollbereich befindet.
-
Weiterhin ist durch die
DE 196 43 408 C2 eine Steuerungsanordnung für ein einen Elektromotor aufweisendes Hebezeug bekannt, wobei der Elektromotor in einem Normalbetrieb über wenigstens einen Mikroprozessor und wenigstens einen Frequenzumrichter angesteuert wird und eine Hilfssteuerschalteinrichtung vorgesehen ist, die beim Ausfall des Mikroprozessors und/oder des Frequenzumrichters einen Notbetrieb zumindest zum Absenken ermöglicht.
-
Der Erfindung liegt nun die Aufgabe zugrunde, die Sicherheit und den Betrieb wenigstens eines Elektromotors und/oder einer damit gekoppelten, nicht fahrenden Arbeitsmaschine weiter zu verbessern.
-
Erfindungsgemäß wird diese Aufgabe durch die Merkmale der Ansprüche 1 und 11 gelöst.
-
Beim erfindungsgemäßen Verfahren zum Betreiben wenigstens eines Elektromotors und/oder einer damit gekoppelten, nicht fahrenden Arbeitsmaschine wird der Elektromotor in einem Normalbetrieb über wenigstens einen ersten Regler und wenigstens einen Frequenzumrichter angesteuert, wobei der wenigstens eine erste Regler und/oder der Frequenzumrichter zumindest zeitweise mit dem Internet verbunden sind. Des Weiteren kann der Elektromotor in einem Notbetrieb über wenigstens einen nicht mit dem Internet verbindbaren zweiten Regler angesteuert werden, während die Ansteuerung des Elektromotors über den ersten Regler und den Frequenzumrichter unterbrochen wird.
-
Erfindungsgemäß sieht die nichtfahrende Arbeitsmaschine wenigstens einen Elektromotor vor, wobei zur Ansteuerung des Elektromotors in einem Normalbetrieb wenigstens ein erster Regler und wenigstens ein Frequenzumrichter vorgesehen sind und der wenigstens eine erste Regler und/oder der Frequenzumrichter zumindest zeitweise mit dem Internet in Verbindung stehen. Ferner ist ein Motorschutzgerät mit einem nicht mit dem Internet verbundenen zweiten Regler zur Ansteuerung des Elektromotors in einem Notbetrieb vorgesehen, wobei das Motorschutzgerät mit wenigstens einen ersten Relais zur Unterbrechung der Ansteuerung des Elektromotors über den ersten Regler und/oder den Frequenzumrichter während des Notbetriebs in Verbindung steht.
-
Durch die erfindungsgemäße Lösung kann im Falle eines Cyber-Angriffs der Elektromotor vom ersten Regler und/oder dem Frequenzumrichter getrennt werden, wobei ein Notbetrieb über den zweiten Regler gewährleistet ist. Dadurch wird die Grundfunktion der Arbeitsmaschine, wie beispielsweise die Versorgung mit Trinkwasser oder die weitere Kühlung eines Kühlhauses weiter erfüllt. Es wird lediglich für eine Übergangszeit, bis der Cyber-Angriff abgewehrt ist, ein höheren Energieverbrauch des Elektromotors und/oder eine verschlechterte Regelgüte in Kauf genommen, da der Betrieb ohne den Frequenzumrichter erfolgt.
-
Dieses Sicherheitskonzept bezieht sich insbesondere auf Arbeitsmaschinen wie Pumpen, Verdichter, Ventilatoren, Hebezeuge, etc., die einen wichtigen Teil unserer Infrastruktur ausmachen.
-
Gemäß einer bevorzugten Ausgestaltung der Erfindung wird der Elektromotor im Notbetrieb betrieben, sobald ein Cyber-Angriff auf den Elektromotor und/oder die damit gekoppelte, nichtfahrende Arbeitsmaschine erkannt wird. Eine Möglichkeit zur Erkennung eines Cyber-Angriffs besteht darin, dass zwischen dem ersten Regler bzw. den Frequenzumrichter und dem Internet eine Firewall vorgesehen wird. Sobald die Firewall einen entsprechenden Cyber-Angriff erkennt, kann ein Motorschutzgerät entsprechend angesteuert werden, um die Regelung des Elektromotors über den ersten Regler bzw. den Frequenzumrichter zu unterbrechen und den Notbetrieb über den zweiten Regler vorzusehen. Nachdem der zweite Regler zu keinem Zeitpunkt mit dem Internet verbunden wird, kann auf diese Weise zuverlässig sichergestellt werden, dass der Elektromotor nicht durch eine unerwünschte Manipulation angesteuert wird. Außerdem wird die Grundfunktion aufrechterhalten, auch wenn dies ggf. durch einen energetisch nicht optimierten Betrieb erfolgt.
-
Eine andere Möglichkeit, einen Cyber-Angriff zu erkennen, besteht in einer Selbstüberwachung im ersten Regler und/oder im Frequenzumrichter. Dies kann beispielsweise durch ein Verfahren gemäß der
DE 10 2014 109 279 A1 erfolgen, indem die Anzahl von Fehlansteuerungen des Elektromotors und/oder der damit verbundenen Arbeitsmaschine gemäß einem ersten Fehlerkriterium und die Anzahl von Fehlansteuerungen des Elektromotors und/oder und der damit verbundenen Arbeitsmaschine gemäß einem zweiten Fehlerkriterium erfasst und aussummiert werden, wobei ein Cyber-Angriff dadurch erkannt wird, dass die Summe der erfassten Fehlansteuerungen ein vorgegebenes Limit überschreitet. Bezüglich weiterer Ausgestaltungen dieses Verfahrens wird hiermit ausdrücklich auf die
DE 10 2014 109 279 A1 verwiesen.
-
Ein anderes Verfahren zur Erkennung eines Cyber-Angriffs ist aus der älteren Anmeldung
DE 10 2016 114 805 A1 bekannt. Dort ist ein Verfahren zur Überwachung, Steuerung oder Regelung einer Maschine mit Hilfe eines eingebetteten Systems vorgesehen, das einen ersten Prozessor aufweist, der mit einem Eingangssignal beaufschlagt wird, welches mittels einem in einem ersten Prozessor implementierten ersten Algorithmus verarbeitet wird, um ein erstes Ausgangssignals zur Steuerung oder Regelung der Maschine zu erzeugen, und wobei der erste Algorithmus des ersten Prozessors über einen Netzwerk-Schnittstelle veränderbar ist. Im eingebetteten System kommt ferner ein zweiter, nicht mit dem Netzwerk-Schnittstelle verbundener, zweiter Prozessor zur Anwendung, der mit dem gleichen Eingangssignal beaufschlagt wird, welches mittels einem im zweiten Prozessor implementierten zweiten Algorithmus verarbeitet wird, um ein zweites Ausgangssignal zu erzeugen, wobei das erste Ausgangssignal des ersten Prozessor und das zweite Ausgangssignal des zweiten Prozessors miteinander verglichen werden, um festzustellen, ob der erste Algorithmus gegenüber dem zweiten Algorithmus verändert wurde.
-
Als eingebettetes System wird dort ein System mit wenigstens einem Prozessor verstanden, der in einem technischen Kontext eingebunden ist. Dabei übernimmt der Prozessor insbesondere Überwachungs-, Steuerungs- oder Regelungsfunktionen und kann dadurch insbesondere auch Daten bzw. Signale verarbeiten.
-
Dieses Verfahren trägt den Erfordernissen der Industrie nach einer unkomplizierten und schnellen Anpassung des Systems über eine Netzwerk-Schnittstelle rechnen. Auch wenn man entsprechende Sicherheitsvorkehrungen trifft, kann nicht völlig ausgeschlossen werden, dass sich Personen auf unerlaubter Weise Zugang verschaffen und Manipulationen vornehmen. Durch das Vorsehen des zweiten Prozessors ist jedoch ein von der Netzwerk-Schnittstelle unabhängiger Prozessor vorhanden, der im Normalfall mit dem gleichen Algorithmus wie der erste Prozessor arbeitet. Wird jedoch nun der erste Algorithmus im ersten Prozessor in unerlaubter Weise manipuliert, stellt der Komparator unterschiedliche Ausgangssignale der beiden Prozessoren fest, sodass auf diese Weise ein Cyber-Angriff erkannt werden kann. Überträgt man dieses Verfahren zum Erkennen eines Cyber-Angriffs auf die vorliegende Erfindung, würde man den ersten Regler und/oder den Inverter mit zwei Prozessoren ausstatten, wobei nur einer der beiden Prozessoren mit dem Internet verbunden ist. Stellt der ebenfalls zu implementierende Komparator unterschiedliche Ausgangssignale der beiden Prozessoren fest, würde ein Cyber-Angriff vorliegen, sodass über das Motorschutzgerät vom Normalbetrieb in den Notbetrieb (Regelung über den zweiten Regler) umgestellt wird.
-
Bezüglich weiterer Ausgestaltung des Verfahrens mit den beiden Prozessoren wird hiermit ausdrücklich auf die
DE 10 2016 114 805 A1 verwiesen.
-
Im Normalbetrieb wird der Elektromotor bzw. der Frequenzumrichter in Abhängigkeit wenigstens eines Sensorsignals angesteuert, das den zu regelnden Prozess beschreibt. Diese können zum Beispiel der Saugdruck bei einem Kältemittelverdichter, der Füllstand in einer Pumpstation oder die Endposition in einem Hebezeug sein. Die Sensorsignale werden in einer im ersten Regler integrierten ersten Auswerteeinrichtung hinsichtlich der Einhaltung von Sollwerten auswertet, um den Elektromotor über den Frequenzumrichter in Abhängigkeit der Sensorsignale anzusteuern. Üblicherweise wird der Elektromotor so angesteuert, dass der erfasste Parameter sich in einem vorgebenden Sollbereich befindet bzw. gehalten wird. Überschreitet der wenigstens eine erfasste Parameter jedoch vorgegebene Grenzwerte, kann vorgesehen werden, dass der Elektromotor komplett abgeschaltet oder ggf. zunächst mit reduzierter Leistung betrieben wird.
-
Bei der nichtfahrenden Arbeitsmaschine kann es sich insbesondere um einen Verdichter für Kältemittel oder Luft, eine Pumpe, ein Hebezeug oder einen Ventilator handeln.
-
Weitere Ausgestaltungen der Erfindung werden anhand der nachfolgenden Beschreibung und der Zeichnung näher erläutert.
-
1 der Zeichnung zeigt einen Schaltplan zur Ansteuerung eines Elektromotors 1 im Normalbetrieb und im Notbetrieb.
-
Der in 1 dargestellte Elektromotor 1 ist beispielsweise Bestandteil einer nichtfahrenden Arbeitsmaschine, bei der es sich beispielsweise um einen Verdichter für Kältemittel oder Luft, eine Pumpe, ein Hebezeug oder einen Ventilator handelt. Der Elektromotor 1 wird in einem Normalbetrieb über einen ersten Regler 2 und einen Frequenzumrichter 3 angesteuert, wobei der erste Regler 2 über eine Firewall 4 zumindest zeitweise mit dem Internet 5 in Verbindung steht. Die Energiezuführung zum Elektromotor 1 erfolgt über eine dreiphasige Stromleitung 6, das erste Relais 7 und dem Frequenzumrichter 3.
-
Der erste Regler 2 steht ferner mit wenigstens einem, vorzugsweise mehreren Sensoren 10 in Verbindung, die wenigstens einen Parameter des Elektromotors und/oder der damit in Verbindung stehenden Arbeitsmaschine erfassen. Diese können zum Beispiel der Saugdruck bei einem Kältemittelverdichter, der Füllstand in einer Pumpstation oder die Endposition in einem Hebezeug sein. Die dabei entstehenden Sensorsignale 11 werden in einer im ersten Regler 2 integrierten ersten Auswerteeinrichtung 20 hinsichtlich der Einhaltung von Sollwerten auswertet, um den Elektromotor über den Frequenzumrichter 3 in Abhängigkeit der Sensorsignale 11 anzusteuern.
-
Die erste Auswerteeinrichtung 20 des ersten Reglers 2 wird mit den Sensorsignalen 11 beaufschlagt und verarbeitet diese mittels eines in einem Prozessor implementierten Algorithmus, um ein Ausgangssignal 12 zur Steuerung und Regelung des Frequenzumrichters 3 bzw. des Elektromotors 1 zu erzeugen. Die Sensoren 10 dienen somit dazu, den zu regelnden Prozess zu beschreiben, damit im ersten Regler 2 die Ansteuersignale für den Frequenzumrichter 3 und den Elektromotor 1 erzeugt werden können.
-
Das Motorschutzgerät 8 dient unter anderem dazu, den Elektromotor 1 auf kritische Zustände zu überwachen. Hierzu kann beispielsweise über einen Eingang E2 die Temperatur einer Wicklung des Elektromotors 1 mit Hilfe eines Temperatursensors 13 eingelesen und ausgewertet werten. Der Temperaursensor 13 wird beispielsweise durch einen PTC oder ein PT100 gebildet. Darüber hinaus können über den Eingang E3 auch die Sensorsignale 11 des bzw. der Sensoren 10 und/oder anderer Sensoren eingelesen werden. Hierbei kann es sich beispielsweise um die Temperatur eines Heißgases oder einen Ölstand handeln. Des Weiteren können über den Eingang E1 die drei Phasen der Stromleitung 6 über einen Strom- und/oder Spannungssensor 14 eingelesen und auf kritische Zustände, wie Unterspannung, Überspannung, Phasenausfall oder Phasenasymmetrie überwacht werden.
-
Die Auswertung der Sensorsignale erfolgt mittels einer im Motorschutzgerät vorgesehenen Auswerteeinrichtung 80. Wird dabei ein für den Elektromotor 1 und/oder die damit gekoppelte, nichtfahrende Arbeitsmaschine kritischer Zustand erkannt, wird der Elektromotor 1 durch Deaktivierung des ersten Relais 7 über den Ausgang A1 abgeschaltet. Das erste Relais 7 besteht hierbei beispielsweise aus einer ersten Spule 70 und einem ersten Arbeitskontakt bzw. Schließer 71.
-
Neben dieser herkömmlichen Motorschutzfunktion ist das Motorschutzgerät 8 darüber hinaus auch in der Lage, einen Notbetrieb des Elektromotors 1 im Falle eines Cyber-Angriffs einzuleiten. Die Erkennung eines Cyber-Angriffs kann auf unterschiedlicher Art und Weise erfolgen. Eine Möglichkeit besteht darin, dass die Firewall 4 einen Cyber-Angriff erkennt und eine entsprechende erste Nachricht 15 an das Motorschutzgerät 8 sendet. Diese erste Nachricht 15 wird über den Eingang E4 eingelesen.
-
Des Weiteren kann der erste Regler
2 mit einer Selbstüberwachungseinrichtung
21 ausgestattet sein, die einen Cyber-Angriff erkennt. Diese kann beispielsweise gemäß einem Verfahren gemäß der
DE 10 2014 109 279 A1 oder durch eine Ausgestaltung gemäß der
DE 10 2016 114 805 A1 erfolgen. Sobald im ersten Regler
2 ein Cyber-Angriff erkannt wird, wird eine zweite Nachricht
16 an das Motorschutzgerät
8 gesandt.
-
Neben diesen externen Erkennungsmöglichkeiten für einen Cyber-Angriff kann aber auch eine im Motorschutzgerät
8 implementierte Erkennung vorgesehen werden. Eine Erkennung eines Cyber-Angriffs kann beispielsweise durch eine Auswertung der über den Eingang
E1 eingelesenen Strom- und Spannungswerte Strom- und/oder Spannungssensors
14 und/oder weiterer über den Eingang
E3 eingelesener Sensorsignale erfolgen. Dabei kann beispielsweise ein Verfahren gemäß der
DE 10 2014 109 279 A1 zur Anwendung kommen.
-
Erkennt das Motorschutzgerät 8 über die erste Nachricht 15 von der Firewall 4, die zweite Nachricht 16 von der Selbstüberwachungseinrichtung 21 des ersten Reglers 2 oder über eine interne Auswertung von Sensorsignalen einen Cyber-Angriff trennt das Motorschutzgerät 8 den Frequenzumrichter 3 über das erste Relais 7 vom Stromnetz und schaltet den Elektromotor 1 über ein zweites Relais 17 (mit zweiter Spule 170 und zweitem Arbeitskontakt 171) ans Stromnetz (Notbetrieb).
-
Der zweite Regler 9 ist zu keinem Zeitpunkt mit dem Internet verbunden und kann daher über das Internet nicht manipuliert werden. Der zweite Regler wird beispielsweise durch PI-Regler, einen PID-Regler, einen Zweipunktregler mit Hysterese oder dergleichen gebildet. Die Sensorsignale der Sensoren 10 werden weiterhin über den Eingang E3 eingelesen und vom Regelalgorithmus des zweiten Reglers 9 verarbeitet. Der zweite Regler 9 kann dabei aber den Elektromotor 1 über das zweite Relais 17 aber nur noch an- bzw. ausschalten, um die Funktion des Elektromotors zu erfüllen. Ein Teillastbetrieb des Elektromotors 1, welcher zuvor über den Frequenzumrichter 3 realisierbar war, ist dann in diesem sogenannten „Notbetrieb“ nicht mehr möglich. Dennoch kann die Grundfunktion des Elektromotors 1 aufrechterhalten werden, wenngleich Einbußen beim Energieverbrauch bzw. der Regelgüte hingenommen werden müssen.
-
Sobald der Cyber-Angriff abgewehrt ist, kann der Elektromotor 1 wieder durch Deaktivierung des zweiten Relais 17 und Aktivierung des ersten Relais 7 über den ersten Regler 2 und den Frequenzumrichter 3 betrieben werden.