DE202012000084U1 - Sicherheitsgerichtete fehlertolerante Thermoprozesssteuerung - Google Patents

Sicherheitsgerichtete fehlertolerante Thermoprozesssteuerung Download PDF

Info

Publication number
DE202012000084U1
DE202012000084U1 DE202012000084U DE202012000084U DE202012000084U1 DE 202012000084 U1 DE202012000084 U1 DE 202012000084U1 DE 202012000084 U DE202012000084 U DE 202012000084U DE 202012000084 U DE202012000084 U DE 202012000084U DE 202012000084 U1 DE202012000084 U1 DE 202012000084U1
Authority
DE
Germany
Prior art keywords
control
safety
programs
monitoring
instances
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE202012000084U
Other languages
English (en)
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Individual
Original Assignee
Individual
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Individual filed Critical Individual
Priority to DE202012000084U priority Critical patent/DE202012000084U1/de
Publication of DE202012000084U1 publication Critical patent/DE202012000084U1/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • G05B9/03Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/18Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits

Abstract

Anordnung für universelle, nach Anwendungsfall konfigurierbare, sicherheitsgerichtete, fehlertolerante Thermoprozesssteuerungen (1) und Regelungen, insbesondere computerbasierende Steuerungen, SPS und Mikroprozessorsysteme, dadurch gekennzeichnet, dass ein oder mehrere nebeneinander angeordnete Steuerungsprogramme und/oder Instanzen desselben Steuerungsprogramms (2) in einer Steuerung und/oder verteilter Komponenten (3) derart angeordnet und gestartet sind, dass ein unterscheidender indizierender Arbeitsstatus (4) besteht, der die Konfiguration und Funktion, die Ein- und Ausgabebereiche, die Merker- und Parameterbereiche und sowie die Zuordnung zu gemeinsamen Datenbereichen (5) indiziert.

Description

  • Der Erfindung liegt die Aufgabe zu Grunde, eine für Thermoprozesse, Industrieöfen, Kesselsteuerungen und Vergasersteuerungen zugeschnittene Anordnung zu beschreiben, die eine universelle Anpassung an die Erfordernisse der Thermoprozessverfahren, einer Sicherheitsausrichtung und eine Fehlertoleranz aufweisen, wobei auch die Besonderheiten der vernetzten computerbasierenden Steuerungen, SPS und Mikroprozessorsysteme Anwendung finden.
  • Weiterhin bezieht sich die Erfindung auf die sicherheitsgerichteten Anordnungen und Anordnungen der Erzeugung von Fehlertoleranz, die durch die Anwendung von nebeneinander angeordneten Steuerungsprogrammen und/oder Instanzen desselben Steuerungsprogramms (2) in einer Steuerung und/oder verteilter Komponenten (3) bestehen.
  • Optional ist die Anordnung nach [0001] und [0002] mit zertifizierten Sicherheitsgeräten (9) kommunizierend verbunden und Ausgänge in sicherheitsgerichteter Weise (11) seriell verknüpft, sodass eine mehrfache Redundanz besteht.
  • Stand der Technik
  • Die Gestaltung von Thermoprozesssteuerungen ist in der traditionellen Steuerungs- und Regelungstechnik in verschiedenen Anordnungen beschrieben und für diverse Anwendungen spezifiziert (Auswahl: DE60002354T2 , DE19735558A1 , DE1974781984 ). Diese besitzen aber keine durchgehende Sicherheitsausrichtung und/oder Fehlertoleranz.
  • Sicherheitsgerichtete Steuerungen sind als Sicherheitsgeräte, Integration in bestehende SPS-Systeme und als Kombination von SPS und Sicherheitsgerät mit gegenseitiger Überwachung bekannt (Auswahl: DE4312305A1 , DE 10 2004 018 642 A1 , DE 10 2008 059 841 A1 ). Die Ausführungen sind in der Anpassung an höhere Anforderungen der Thermoprozesssteuerungen ungenügend oder nur für Teilbereiche ausgestattet
  • Fehlertolerante Systeme sind als mehrfach redundante Steuerungssysteme mit votierenden Umschaltungen als komplexe teure Steuerungssysteme bekannt (Auswahl: DE10301465B4 , DE3923432A1 , DE3926705A1 ). Die Einsatzfähigkeit ist aber auf Grund der teuren Anordnungen und Programmierungen nur bei wenigen Anwendungen gegeben.
  • Die universelle, nach Anwendungsfall konfigurierbare Thermoprozesssteuerung für computerbasierenden Steuerungen und SPS, welche als sicherheitsgerichtete Thermoprozesssteuerung fehlertolerant arbeitend, vorkonfiguriert und selbst- oder leichtinstallierend als Programm, System und/oder Anordnung zur Verfügung steht, ist nur bei einzelnen, komplexen und teuren Steuerungssystemen bekannt.
  • Aufgabenstellung
  • In der erfindungsgemäßen Anordnung sollen die Aufgaben der universellen konfigurierbaren Anpassung von sicherheitsgerichteten und fehlertoleranten Thermoprozesssteuerung (1) mit hohen Verfahrensanforderungen unter Verwendung erweiternder Funktionen von computerbasierenden Steuerungen, SPS oder Mikroprozessorsysteme gelöst werden.
  • Die erfindungsgemäße Anordnung soll durch einen hohen Komfort und durch hauptsächliche Anwendung von Standartbauelementen der Installations-, Automatisierungs-, und Sicherheitstechnik gekennzeichnet sein.
  • Die erfindungsgemäße LÖsung soll eine hochwertige aber preiswerte Gesamtlösung darstellen, die auch als selbst- oder leichtinstallierendes Programm, System und/oder Anordnung zur Verfügung steht und auch durch normales Fachpersonal einsetzbar ist.
  • Weiterhin soll eine sicherheitsgerichtete Thermoprozesssteuerung (1) bestehen, welche den Anforderungen des Maschinenschutzgesetzes und des Produkt- und Gerätesicherheitsgesetzes genügt und das Restrisiken vermeidet. Die sicherheitsgerichtete Thermoprozesssteuerung (1) sollte optional redundant ausführbar sein und zusätzliche Überwachungen, Archivierungen und Abschaltungen besitzen, sodass eine sicherheitstechnische Einstufung zur Abwehr von Gefahren auch für Anwendungen des Performance Level d und e besteht.
  • Erfindungsgemäße Lösung
  • Die beschriebenen Aufgabenstellungen werden durch Vorrichtungen des Anspruches 1–8 in erfindungsgemäßer Weise gelöst. Die abhängigen Ansprüche enthalten vorteilhafte Ausgestaltungsmöglichkeiten und optionale Gestaltungen können aber auch einzeln Bereiche der Aufgabenstellung unabhängig lösen und einzeln unabhängig Anwendung finden (1).
  • Die Anordnung für universelle, nach Anwendungsfall konfigurierbare, sicherheitsgerichtete, fehlertolerante Steuerungen und Regelungen, insbesondere computerbasierende Steuerungen, SPS und Mikroprozessorsysteme ist durch eine sicherheitsgerichtete Auswahl der Hardwarekomponenten gekennzeichnet und insbesondere durch selbstüberwachende und statusmeldende Ein- und Ausgabeinterface (15) gegeben.
  • Der programmierbare Steuerungsteil oder die programmierbaren Steuerungsteile, die über Netzwerke und/oder Datenkopplungen miteinander kommunizieren, sind dadurch gekennzeichnet, dass in ihnen ein oder mehrere nebeneinander angeordnete Steuerungsprogramme und/oder Instanzen desselben Steuerungsprogramms (2) in einer Steuerung und/oder verteilter Komponenten (3) angeordnet und gestartet sind.
  • Die Startanmeldung der Steuerungsprogramme in den Steuerungssystemen ist derart gestaltet, dass eine automatische Indizierung anhand von Konfigurationsdaten und/oder Konfigurationsdateien besteht. Die Steuerungsprogramme oder die unterschiedenen indizierten Teile eines oder mehrerer Steuerungsprogramme sind durch die konfigurierbare Startanmeldung derart gesteuert, dass ein jeweils eindeutiger einzelner Arbeitsstatus (4) besteht der, die Konfiguration und Funktion, die Ein- und Ausgabebereiche, die Merker- und Parameterbereiche und sowie die Zuordnung zu gemeinsamen Datenbereichen (5) indiziert.
  • In der in [0013] bis [0015] beschriebenen Anordnung ist ein Datenaustausch durch eine Signalkopplung (8) der nebeneinander angeordnete Steuerungsprogramme und/oder der Instanzen desselben Steuerungsprogramms (2) für aus- und eingehende Informationen, Signale und Statuskennzeichen in gemeinsamen Datenbereichen (5) einzeln oder redundant geschaltet und/oder programmiert.
  • Ein oder mehrere Überwachungsprogramme (6), welche zentral oder dezentral angeordnet sind, sind dadurch gekennzeichnet, dass eine vergleichende Beurteilung dieser Daten bereitgestellt ist, was als Voting (7) bezeichnet wird. In konfigurierbaren und/oder festen prozessanalysierenden Abläufen und/oder Programmen ist die Freigabe der Datenübergabe zu den angeschalteten Ausgängen zur Prozesssteuerung festgelegt und erfolgt durch alle im Voting (7) als fehlerfrei beurteilten nebeneinander angeordneten Steuerungsprogramme. Die Fehlerreaktion und Fehlertoleranz ist dadurch gekennzeichnet, dass bei fehlerhaften oder abweichenden Steuerungs- oder Programmreaktionen, die das Kennzeichen für Fehlererkennung im Voting (7) sind, die Abschaltung der Freigabe zur Ausgangssteuerung besteht.
  • In den nebeneinander angeordnete Steuerungsprogramme und/oder der Instanzen desselben Steuerungsprogramms (2) und/oder Überwachungsprogrammen (6) und/oder getrennten Programmen sind Steuerungsmodule und/oder Programmsoftware derart angeordnet, dass eine Adaptierung des Steuerungsprozesses in der Art besteht, dass die im Voting (7) als richtig gekennzeichneten Daten, in einem geeigneten Programmlauf, das Referenzmodell (10) automatisch generieren. Das Referenzmodell (10) ist eine Sammlung von Messwerten des Produktionsprozesses und der Daten der nebeneinander angeordnete Steuerungsprogramme und/oder der Instanzen desselben Steuerungsprogramms (2) und/oder von Überwachungsprogrammen (6) und/oder getrennten Programmen. Im Referenzmodell (10) besteht eine zeitliche Darstellung dieser Daten in der Vergangenheit und eine Berechnung dieser Daten für die Zukunft. Im Adaptierungsablauf ist ein Plausibilitätstest der im Referenzmodell (10) abgelegten Messwerte und Daten in der Weise vorhanden, dass eine Beurteilung der Richtigkeit der Eingangssignale und Messwerte anhand von Grenzwerten und Algorithmen erfolgt. Anhand der Beurteilung der Richtigkeit besteht die Verwendungsfreigabe für die Eingangssignale und Messwerte oder die Umschaltung auf alternative Grundeinstellungswerte, auf berechnete wahrscheinliche Werte in Näherung oder auf eine Sensorauswahl für diese Eingangssignale und Messwerte.
  • An die nebeneinander angeordnete Steuerungsprogramme und/oder der Instanzen desselben Steuerungsprogramms (2) und/oder Überwachungsprogrammen (6) und/oder getrennten Programmen, den Steuerungsgeräten und Ausgabeinterface (16) in der Beschreibung [0013] bis [0018] ist mindestens ein Sicherheitsgerät (9) derart angeordnet, dass eine sicherheitsgerichtete Reihenschaltung und/oder Verknüpfung der Ausgangskanäle (11) in der Art besteht, dass bei einer Auslösung der Abschaltung eine sicherheitsgerichtete Abschaltung nach der Einstufung der Anforderungen des Performance Level d oder e besteht.
  • An den Steuerungsgeräten und Programmen aus der Beschreibung [0013] bis [0019] ist mindestens eine rückführende Selbstüberwachung derart angeordnet, dass ein analysierender und verifizierender impulsgenerierender Programmlauf an einem Ausgang angeordnet ist. Über eine WatchDog Signalkopplung (15) zum impulsüberwachenden Sicherheitsgerät (9) ist eine derartige Verbindung geschaltet, dass Signale und Parameter der Anlage und des Referenzmodells (10) in ihrer Größe und Vorhandensein sicherheitsgerichtet überwacht sind. Die Sicherheitsgeräte (9) ist so konfiguriert, dass eigene, getrennte, anlagenüberwachende Eingänge, Algorithmen und Ausgänge (17) enthalten und zu einer Überwachung geschaltet sind, wodurch ein mehrfach redundantes Sicherheitssystem mit SystemWatchDog (14) gebildet ist.
  • In den Sicherheitsgeräten (9) sind zustandskennzeichnende Signale, Fehlercodes und Statuscodes der Sicherheitsgeräte (9) an Statusausgänge derart mit den Steuerungsgeräten und Programmen aus der Beschreibung [0013] bis [0020] verbunden, das darin eine ereignisspezifisch gesteuerte und statusauswertende Reaktion (12) erfolgt. Zielgerichtet sind dadurch Prozesseigenschaften und die Daten des Referenzmodells (10) dargestellt, gemeldet, verarbeitet und archiviert. Als Folge von ereignisspezifisch bestehenden Zuständen ist eine aktive risikounterscheidende Einflussnahme auf die Steuerungsgeräte und Programme geschaltet und programmiert, die der Fehlerursache entgegen wirkend sind. Unter bestimmten ereignisspezifisch bestehenden Zuständen ist ein Notbetrieb über die Sicherheitsgeräte (9) eingeschaltet, der die teilweise oder vollständige Kontrolle über die sicherheitsgerichteten Ausgaben und Ausgänge besitzt.
  • Ein oder mehrere Überwachungsprogramme (6) sind derart programmiert, dass Meldungen, Serviceanforderungen oder Alarme bereit stehen und/oder ausgesendet sind, wenn die Abschaltung der Freigabe infolge einer fehlerhaften oder abweichenden Steuerungs- oder Programmreaktion erfolgt ist, Fehlermeldungen aus überwachenden Programmteilen und/oder Steuerungsgeräten und/oder Fehler- und/oder Statuscodes der Sicherheitsgeräte (9) anstehend sind. Neben den gebräuchlichen Licht, Text und Akustikmeldungen sind Ausgaben an verschiedene Medien der drahtgebundenen und drahtlosen Kommunikation, des vernetzten Informationsaustausches und deren Meldesysteme sowie Sprachausgabe (13) ansteuerbar.
  • Ausführungsbeispiel
  • Im gewählten Ausführungsbeispiel ist eine sicherheitsgerichtete fehlertolerante Thermoprozesssteuerung (1) einer Dampfkesselanlage beschrieben.
  • Die Anordnung gewährleistet neben der direkten Kesseltemperaturregelung und Kesselleistungssteuerung auch die Steuerung der umfangreichen Hilfsprozesse zur Brennersteuerung, Brennstoff- und Kesselspeisewasserzuführung, der Kesselspeisewasservorheizung, der Abgaskühlung und Wärmerückgewinnung, der Entschlackung und die Energiebilanzabrechnung.
  • Die Anordnung besteht aus einer computergestützten SPS die je nach Sicherheitsanforderung aus einem oder aus drei gleichen Steuerungsprogrammen, welche als konfigurierte Instanzen gestartet sind, aus einem selbstüberwachenden und mit internen WatchDog ausgerüsteten Ein- und Ausgabeinterface (16), aus Sicherheitsgeräten (9), welche redundant Grenzwerte beobachten und die sicherheitsgerichteten Verknüpfungen für den Notbetrieb vorhalten und aus der netzwerkgekoppelten Leitstelle besteht, welche nicht nur zur Visualisierung, Steuerung und Archivierung dient, sondern auch mit einem Überwachungsmodul ausgerüstet ist, welches gezielt die Signaleingänge und die Steuerungsfunktionen in einer vergleichenden Beurteilung analysiert und das Voting (7) für die Sensorauswahl und die Ausgabefreigabe für die einzelnen Steuerungsprogramme bereitstellt.
  • Die Projektierung der Hardware und die Anordnung der sicherheitsgerichteten Verknüpfungen der Ausgänge ist redundant durch serielle Verknüpfungen getrennter Ausgänge, oder durch die Vorrangschaltung für den Notbetrieb gegeben. Risikounterscheidend sind fehlertolerante Sensorauswahlschaltungen und redundante Anlagenausstattungen, wie beim Kesselspeisewasserpumpen, sicherheitsgerichtet gesteuert.
  • Die Programmierung der Steuerungssoftware ist so gestaltet, dass eine Indizierung der nebeneinander laufenden Instanzen gegeben ist und somit eine übergeordnete Überwachungssoftware jedes einzelne System kontrollieren und zur Steuerung des Prozesses freigeben kann. Die priorisierte Kontrolle über die Steuerung des Prozesses kann einzelnen Instanzen der Steuerungssoftware übergeben sein oder gleichzeitig durch alle Instanzen der Steuerungssoftware bereitgestellt sein, wobei die übergeordnete Überwachungssoftware eine Sperrung einzelner Instanzen der Steuerungssoftware durchführt, wenn im Voting (7) eine Fehlfunktion verifiziert ist.
  • In den nebeneinander laufenden Instanzen der Steuerungsprogramme (2) oder in unterschiedenen indizierten Teile eines oder mehrerer Steuerungsprogramme sind durch die konfigurierbare Startanmeldung derartige Konfigurationen eröffnet, dass ein jeweils eindeutiger einzelner Arbeitsstatus (4) der Instanzen oder Programmteile besteht. Die Konfiguration und Funktion, die Ein- und Ausgabebereiche, die Merker- und Parameterbereiche und die Zuordnung zu gemeinsamen Datenbereichen (5) sind indiziert und in eindeutiger Weise den Instanzen oder Programmteilen zugeordnet.
  • In den beschriebenen Anordnungen ist ein Datenaustausch durch eine Signalkopplung (8) der nebeneinander angeordnete Steuerungsprogramme und der Instanzen desselben Steuerungsprogramms (2) für aus- und eingehende Informationen, Signale und Statuskennzeichen in gemeinsamen Datenbereichen (5) programmiert. Die Art und der Umfang der Signalkopplung (8) sowie der Sicherheitsgrad kann als einzelner oder redundanter Bereich gestaltet sein.
  • In den dezentralen Überwachungsprogrammen (6) der Leitstelle ist eine vergleichende Beurteilung dieser Daten bereitgestellt, was als Voting (7) bezeichnet wird. In prozessanalysierenden Abläufen und Programmen ist die Freigabe der Datenübergabe zu den angeschalteten Ausgängen zur Prozesssteuerung festgelegt und erfolgt durch die im Voting (7) als fehlerfrei beurteilten nebeneinander angeordneten Steuerungsprogramme, für die eine gleichzeitige Schreibfreigabe für die Ausgänge besteht. Die Fehlerreaktion und Fehlertoleranz ist dadurch gekennzeichnet, dass bei fehlerhaften oder abweichenden Steuerungs- oder Programmreaktionen, die das Kennzeichen für Fehlererkennung im Voting (7) sind, die Abschaltung der Freigabe zur Ausgangssteuerung bewirkt und damit nur Verbindungen zu fehlerfrei arbeitenden Instanzen oder Programmteilen bestehen. Die Fehlererkennung im Voting (7) ist mit Meldungsausgaben, Serviceanforderungen und Alarmen verbunden, um die Reaktion auf einen Störfall auszulösen.
  • Die Adaption des Steuerungsprozesses arbeitet mit einem Referenzmodell (10), welches dadurch gekennzeichnet ist, dass es durch die im Voting (7) als richtig gekennzeichneten Daten, automatisch generiert und aktualisiert ist. Im Adaptierungsablauf ist ein Plausibilitätstest der im Referenzmodell (10) abgelegten Messwerte und Daten in der Weise vorhanden, dass eine Beurteilung der Richtigkeit der Eingangssignale und Messwerte anhand von Grenzwerten der Anlage und von Algorithmen der Regelungstechnik und der Kesselsteuerung erfolgt. Anhand der Beurteilung besteht die Verwendungsfreigabe für die Eingangssignale und Messwerte oder die Umschaltung auf alternative Grundeinstellungswerte, auf berechnete wahrscheinliche Werte in Näherung oder auf eine alternative Sensorauswahl für diese Eingangssignale und Messwerte.
  • An dem Ausgabeinterface (16) ist mindestens eine Sicherheitsgerät (9) derart angeordnet, dass eine sicherheitsgerichtete Reihenschaltung und Verknüpfung der Ausgangskanäle (11) besteht oder in anderer Weise redundant ausgeführt ist. In den nebeneinander laufenden Instanzen der Steuerungsprogramme (2) oder in unterschiedenen indizierten Teile eines oder mehrerer Steuerungsprogramme sind rückführende Selbstüberwachungen derart angeordnet, dass ein den Steuerungsablauf der einzelnen nebeneinander laufenden Instanzen analysierender und verifizierender impulsgenerierender Programmlauf an einem Ausgang angeordnet ist der über eine WatchDog Signalkopplung (15) zum impulsüberwachenden Sicherheitsgerät (9) verbunden ist.
  • Die Sicherheitsgeräte (9) sind so konfiguriert, dass auch eigene, getrennte, anlagenüberwachende Eingänge, Algorithmen und Ausgänge (17) enthalten und zu einer Überwachung geschaltet sind, wodurch ein mehrfach redundantes Sicherheitssystem mit zusätzlichem SystemWatchDog (14) gebildet ist.
  • Aus der Anlagenüberwachung und den Sicherheitsgeräten (9) sind zustandskennzeichnende Signale, Fehlercodes und Statuscodes der Sicherheitsgeräte (9) an Statusausgängen bereitgestellt, die derart mit den nebeneinander laufenden Instanzen der Steuerungsprogramme (2) oder den indizierten Teile eines oder mehrerer Steuerungsprogramme verbunden sind, dass darin eine ereignisspezifisch gesteuerte und statusauswerdende Reaktion erfolgt, die zielgerichtet die Prozesseigenschaften und die Daten des Referenzmodells (10) darstellend, meldend, verarbeitend und archivierend fungiert.
  • Als Folge von ereignisspezifisch bestehenden Zuständen ist eine aktive risikounterscheidende Einflussnahme auf die Steuerungsgeräte und Programme und auf die Aktoren des Prozesses geschaltet und programmiert, die der Fehlerursache entgegen wirkend sind. Unter bestimmten ereignisspezifisch bestehenden Zuständen oder Totalausfällen der Steuerungsgeräte oder der Peripherie ist ein Notbetrieb über die Sicherheitsgeräte (9) eingeschaltet, der die teilweise oder vollständige Kontrolle über die sicherheitsgerichteten Ausgaben und Ausgänge besitzt und derart agierend ist, dass ein Schutz der Anlage und des Personals besteht.
  • Die Überwachungsprogramme (6) der Leitstelle sind derart programmiert, dass alle Meldungen, Serviceanforderungen oder Alarme dort bereit stehen und über Verbindungen zu den Anlagenteilen derart verteilt werden, dass die gebräuchlichen Licht, Text und Akustikmeldungen in den Anlagenteilen präsent sind. Die zusätzlichen Alarmierung einzelner wichtiger Zustände über Mail, SMS und Telefon erfolgt automatisch aus dem Überwachungsprogramm und unter Archivierung der Sende-, Empfangs- und Lesebestätigung. Unübersichtliche Bereiche sind über Sprachausgabe (13) erreichbar.
  • Die Leistungssteuerung der Kesselanlage besteht aus Teilbereichen, die in Kaskadenform in Einzelregelungen gegliedert sind, untereinander über Datenkopplungen verfügen und mit Störgrößenaufschaltungen ausgestattet sind. Die abhängigen Größen Temperatur, Druck und Kesselleistung sind über gewichtete Parameter derart mit den Regelungen der Brennerleistung oder Beschickung und den Regelungen für Kesselspeisewasser, Speisewasservorheizung und Verbrennungsluft verbunden, dass ein funktioneller Algorithmus der Sollwertvorgabe und Modulierung insbesondere nach der linearen Funktion besteht und todzeitverringernde Verknüpfungen, welche in Abhängigkeit der wärmespeichernden Eigenschaften der Anlagenteile und des Wärmeträgers, Einzelparameter beurteilend, hochdynamisch in unterlagerten Regelkreisen angeordnet sind.
  • Die Beheizung der Kesselanlage besteht aus einem umschaltbaren Brennersystemen für verschiedene Brennstoffe, wie Gas, Öl und Schweröl, welches zusätzlich heizwertabhängig und beaufschlagt durch die Abgasanalyse Brennstoff und Luft optimal steuert.
  • Die Anlagenüberwachung der Kesselanlage ist als ein umfassendes Meldungssystem mit konfigurierbaren Meldungseigenschaften gestaltet, sodass die Priorität, die Quittierungseigenschaften, der Meldungsweg und die Archivierung variabel gestaltet sind. Die Anlagenüberwachung der Kesselanlage ist so gestaltet, dass neben den normalen Grenzwerten von Druck, Temperatur, Füllständen und anderen MSR Parametern auch das automatisch generierte Referenzmodel in die Bewertung einbezogen ist, wodurch auch die Tendenzen von Daten überwacht sind, welche erst in naher Zukunft voraussichtlich Grenzwerte erreichen.
  • Zitierte Patentliteratur:
  • Zitierte sonstige Beschreibungen:
    • www.kesselsysteme.de
  • Bezugszeichenliste
    • 1
    Thermoprozesssteuerung (1)
    2
    nebeneinander angeordnete Steuerungsprogramme und/oder Instanzen desselben Steuerungsprogramms (2)
    3
    Steuerung und/oder verteilte Komponenten (3)
    4
    unterscheidender indizierender Arbeitsstatus (4)
    5
    gemeinsamen Datenbereichen (5)
    6
    Überwachungsprogramme (6)
    7
    Voting (7)
    8
    Signalkopplung (8)
    9
    Sicherheitsgeräten (9)
    10
    Referenzmodell (10)
    11
    sicherheitsgerichtete Reihenschaltung und/oder Verknüpfung der Ausgangskanäle (11)
    12
    ein ereignisspezifisch gesteuertes, statusauswerdendes Modul (12)
    13
    Medien der drahtgebundenen und drahtlosen Kommunikation sowie Sprachausgabe (13)
    14
    SystemWatchDog (14)
    15
    WatchDog Signalkopplung (15)
    16
    selbstüberwachendes und statusmeldendes Ein- und Ausgabeinterface (16)
    17
    eigene anlagenüberwachende Eingänge, Algorithmen und Ausgänge (17)
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • DE 60002354 T2 [0004]
    • DE 19735558 A1 [0004]
    • DE 1974781984 [0004]
    • DE 4312305 A1 [0005]
    • DE 102004018642 A1 [0005]
    • DE 102008059841 A1 [0005]
    • DE 10301465 B4 [0006]
    • DE 3923432 A1 [0006]
    • DE 3926705 A1 [0006]
  • Zitierte Nicht-Patentliteratur
    • www.kesselsysteme.de [0039]

Claims (8)

  1. Anordnung für universelle, nach Anwendungsfall konfigurierbare, sicherheitsgerichtete, fehlertolerante Thermoprozesssteuerungen (1) und Regelungen, insbesondere computerbasierende Steuerungen, SPS und Mikroprozessorsysteme, dadurch gekennzeichnet, dass ein oder mehrere nebeneinander angeordnete Steuerungsprogramme und/oder Instanzen desselben Steuerungsprogramms (2) in einer Steuerung und/oder verteilter Komponenten (3) derart angeordnet und gestartet sind, dass ein unterscheidender indizierender Arbeitsstatus (4) besteht, der die Konfiguration und Funktion, die Ein- und Ausgabebereiche, die Merker- und Parameterbereiche und sowie die Zuordnung zu gemeinsamen Datenbereichen (5) indiziert.
  2. Anordnung nach Anspruch 1, dadurch gekennzeichnet, dass eine Signalkopplung (8) der nebeneinander angeordnete Steuerungsprogramme und/oder der Instanzen desselben Steuerungsprogramms (2) für aus- und eingehende Informationen, Signale und Statuskennzeichen in gemeinsamen Datenbereichen (5) einzeln oder redundant besteht und eine vergleichende Beurteilung dieser Daten und Festlegung der Ausgabefreigabe durch ein oder mehrere Überwachungsprogramme (6) zentral oder dezentral ausgeführt ist, was als Voting (7) bezeichnet wird.
  3. Anordnung nach Anspruch 1 bis 2, dadurch gekennzeichnet, dass eine Signalkopplung (8) der nebeneinander angeordnete Steuerungsprogramme und/oder Instanzen desselben Steuerungsprogramms (2) in einer Steuerung und (oder verteilter Komponenten (3) und/oder von zusätzlichen Sicherheitsgeräten (9) zu Visualisierungs- und Überwachungsprogrammen (6) besteht, wodurch eine übergreifende Beurteilung und Überprüfung des korrekten Steuerungsablaufes und ein Plausibilitätstest besteht.
  4. Anordnung nach Anspruch 1 bis 3, dadurch gekennzeichnet, dass in den nebeneinander angeordnete Steuerungsprogramme und/oder Instanzen desselben Steuerungsprogramms (2) in einer Steuerung und/oder verteilter Komponenten (3) eine Adaptierung des Steuerungsprozesses in der Art besteht, dass die, im Voting (7) als richtig gekennzeichneten Daten, in einem geeigneten Programmlauf, das Referenzmodell (10) automatisch generieren und das die daraus hinterlegten Daten und Messwerte einem Plausibilitätstest unterliegen, wodurch nicht nur eine Anpassung der Steuerungsparameter an Produktionsprozesse sondern auch eine Beurteilung der Eingangssignale und Messwerte und daraus die Verwendungsfreigabe oder die Umschaltung auf Alternativen oder eine Sensorauswahl für diese Eingangssignale und Messwerte gegeben ist.
  5. Anordnung nach Anspruch 1 bis 4, dadurch gekennzeichnet, dass zusätzlich zu den Steuerungsgeräten und Programmen des Anspruches 1 bis 4 Sicherheitsgeräte (9) derart angeordnet sind, dass eine sicherheitsgerichtete Reihenschaltung und/oder Verknüpfung der Ausgangskanäle (11) mit rückführender Selbstüberwachung derart entsteht, dass bei einer Auslösung der Abschaltung eine sicherheitsgerichtete Abschaltung nach der Einstufung der Anforderungen des Performance Level d oder e besteht und mindestens ein, den Überwachungs- und Auslösevorgang analysierender und verifizierender impulsgenerierender Programmlauf an einem Ausgang angeordnet ist, der über eine WatchDog Signalkopplung (15) zum impulsüberwachenden Sicherheitsgeräte (9) derart verbunden ist, dass Signale und Parameter der Anlage in ihrer Größe und Vorhandensein sicherheitsgerichtet überwacht sind und die Sicherheitsgerät (9) eigene getrennte anlagenüberwachende Eingänge, Algorithmen und Ausgänge (17) enthält, wodurch eine mehrfach redundante Anlagenüberwachung mit SystemWatchDog (14) gebildet ist.
  6. Anordnung nach Anspruch 1 bis 5, dadurch gekennzeichnet, dass in den überwachenden Sicherheitsgeräten (9) zustandskennzeichnende Signale und Codes an Statusausgänge derart verbunden sind, dass in Steuerungsgeräten und Programmen des Anspruches 1 bis 4 mindestens ein ereignisspezifisch gesteuertes, statusauswertendes Modul (12) angeordnet ist, welches zielgerichtet Prozesseigenschaften darstellend, meldend, verarbeitend und archivierend wirkt und dass auch eine aktive Einflussnahme auf die Steuerungsgeräte und Programme des Anspruches 1 bis 4 in der Art besteht, dass den Fehlerursachen entgegen gewirkt oder dass ein Notbetrieb über die Sicherheitsgeräte (9) eingeschaltet ist.
  7. Anordnung nach Anspruch 1 bis 6, dadurch gekennzeichnet, dass die Ausgabe der Meldungen derart gestaltet ist, dass neben Licht, Text und Akustikmeldungen verschiedene Medien der drahtgebundenen und drahtlosen Kommunikation sowie Sprachausgabe (13) ansteuerbar sind.
  8. Anordnung nach Anspruch 1 bis 7, dadurch gekennzeichnet, dass die beschriebenen Anordnungen mit nicht thermoprozessspezifischen Steuerungen und Prozessen der Automatisierungstechnik unter Anwendung der Ansprüche verbunden sind.
DE202012000084U 2012-01-05 2012-01-05 Sicherheitsgerichtete fehlertolerante Thermoprozesssteuerung Expired - Lifetime DE202012000084U1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE202012000084U DE202012000084U1 (de) 2012-01-05 2012-01-05 Sicherheitsgerichtete fehlertolerante Thermoprozesssteuerung

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE202012000084U DE202012000084U1 (de) 2012-01-05 2012-01-05 Sicherheitsgerichtete fehlertolerante Thermoprozesssteuerung

Publications (1)

Publication Number Publication Date
DE202012000084U1 true DE202012000084U1 (de) 2012-04-02

Family

ID=46021706

Family Applications (1)

Application Number Title Priority Date Filing Date
DE202012000084U Expired - Lifetime DE202012000084U1 (de) 2012-01-05 2012-01-05 Sicherheitsgerichtete fehlertolerante Thermoprozesssteuerung

Country Status (1)

Country Link
DE (1) DE202012000084U1 (de)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102013217063A1 (de) * 2013-08-27 2015-03-05 E.G.O. Elektro-Gerätebau GmbH Haushaltsgerätesteuerung
DE102018107233A1 (de) * 2018-03-27 2019-10-02 Kraussmaffei Technologies Gmbh Verfahren zur automatischen Prozessüberwachung und Prozessdiagnose eines stückbasierten Prozesses (batch-Fertigung), insbesondere eines Spritzgießprozesses und eine den Prozess durchführende Maschine oder ein den Prozess durchführender Maschinenpark
DE102018118243A1 (de) * 2018-07-27 2020-01-30 Phoenix Contact Gmbh & Co. Kg Techniken zur Bereitstellung eines abgesicherten Steuerungsparameters zur mehrkanaligen Steuerung einer Maschine

Citations (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3926705A1 (de) 1988-12-21 1990-06-28 Gen Electric Anordnung und vorrichtung zum regeln eines gasturbinentriebwerks
DE3923432A1 (de) 1989-07-15 1991-01-24 Bodenseewerk Geraetetech Einrichtung zur erzeugung von messsignalen mit einer mehrzahl von redundant vorgesehenen sensoren
DE9313080U1 (de) 1993-08-31 1993-10-14 Siemens Ag Redundantes Automatisierungssystem
DE4312305A1 (de) 1993-04-15 1994-10-27 Abb Patent Gmbh Sicherheitsgerichtete speichergrogrammierbare Steuerung
DE19735558A1 (de) 1997-08-16 1999-02-25 Bosch Gmbh Robert Vorrichtung und Verfahren zur Brauchwassererwärmung
DE9321607U1 (de) 1993-04-15 2000-10-05 Abb Patent Gmbh Sicherheitsgerichtete speicherprogrammierbare Steuerung
DE60002354T2 (de) 1999-09-23 2003-12-04 Kic Thermal Profiling Inc Verfahren und vorrichtung zur steuerung der temperaturantwort eines objekts in einer mit einem förderband versehenen thermischen aufbereitungseinrichtung
DE102004018642A1 (de) 2004-04-16 2005-12-01 Sick Ag Prozesssteuerung
DE10301465B4 (de) 2003-01-16 2007-07-12 Liebherr-Aerospace Lindenberg Gmbh Klimatisierungssystem
DE102006020478A1 (de) 2006-04-28 2007-10-31 Infoteam Software Gmbh Verfahren zur Entwicklung sicherheitsgerichteter Softwareapplikationen
DE19747819B4 (de) 1996-10-23 2008-02-28 Vaillant Gmbh Steuer- und Überwachungseinrichtung für ein brennstoffbeheiztes Heizgerät
DE102006057042B4 (de) 2006-12-04 2008-07-24 Infineon Technologies Ag Sicherheitsgerichtete Schaltungsanordnung zur Ansteuerung einer Last
DE102007014478A1 (de) 2007-03-22 2008-09-25 Abb Ag Sicherheitsgerichtete speicherprogrammierte Steuerung
DE102008059841A1 (de) 2008-12-01 2010-06-02 Robert Bosch Gmbh Verfahren zum Programmieren einer sichheitsgerichteten Speicherprogrammierbaren Steuerung und Vermittler-Funktionsbaustein
DE102009054157B3 (de) 2009-11-23 2011-04-28 Abb Ag Steuerungssystem zum Steuern von sicherheitskritischen und nichtsicherheitskritischen Prozessen
DE202011000509U1 (de) 2011-03-08 2011-05-26 Sick Ag, 79183 Modulare Sicherheitssteuerung
DE102009054155A1 (de) 2009-11-23 2011-05-26 Abb Ag Ein- und/oder Ausgabe-Sicherheitsmodul für ein Automatisierungsgerät
DE102011002481A1 (de) 2010-01-14 2011-07-21 Omron Corp. Steuerungssystem

Patent Citations (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3926705A1 (de) 1988-12-21 1990-06-28 Gen Electric Anordnung und vorrichtung zum regeln eines gasturbinentriebwerks
DE3923432A1 (de) 1989-07-15 1991-01-24 Bodenseewerk Geraetetech Einrichtung zur erzeugung von messsignalen mit einer mehrzahl von redundant vorgesehenen sensoren
DE4312305A1 (de) 1993-04-15 1994-10-27 Abb Patent Gmbh Sicherheitsgerichtete speichergrogrammierbare Steuerung
DE9321607U1 (de) 1993-04-15 2000-10-05 Abb Patent Gmbh Sicherheitsgerichtete speicherprogrammierbare Steuerung
DE9313080U1 (de) 1993-08-31 1993-10-14 Siemens Ag Redundantes Automatisierungssystem
DE19747819B4 (de) 1996-10-23 2008-02-28 Vaillant Gmbh Steuer- und Überwachungseinrichtung für ein brennstoffbeheiztes Heizgerät
DE19735558A1 (de) 1997-08-16 1999-02-25 Bosch Gmbh Robert Vorrichtung und Verfahren zur Brauchwassererwärmung
DE60002354T2 (de) 1999-09-23 2003-12-04 Kic Thermal Profiling Inc Verfahren und vorrichtung zur steuerung der temperaturantwort eines objekts in einer mit einem förderband versehenen thermischen aufbereitungseinrichtung
DE10301465B4 (de) 2003-01-16 2007-07-12 Liebherr-Aerospace Lindenberg Gmbh Klimatisierungssystem
DE102004018642A1 (de) 2004-04-16 2005-12-01 Sick Ag Prozesssteuerung
DE102006020478A1 (de) 2006-04-28 2007-10-31 Infoteam Software Gmbh Verfahren zur Entwicklung sicherheitsgerichteter Softwareapplikationen
DE102006057042B4 (de) 2006-12-04 2008-07-24 Infineon Technologies Ag Sicherheitsgerichtete Schaltungsanordnung zur Ansteuerung einer Last
DE102007014478A1 (de) 2007-03-22 2008-09-25 Abb Ag Sicherheitsgerichtete speicherprogrammierte Steuerung
DE102008059841A1 (de) 2008-12-01 2010-06-02 Robert Bosch Gmbh Verfahren zum Programmieren einer sichheitsgerichteten Speicherprogrammierbaren Steuerung und Vermittler-Funktionsbaustein
DE102009054157B3 (de) 2009-11-23 2011-04-28 Abb Ag Steuerungssystem zum Steuern von sicherheitskritischen und nichtsicherheitskritischen Prozessen
DE102009054155A1 (de) 2009-11-23 2011-05-26 Abb Ag Ein- und/oder Ausgabe-Sicherheitsmodul für ein Automatisierungsgerät
DE102011002481A1 (de) 2010-01-14 2011-07-21 Omron Corp. Steuerungssystem
DE202011000509U1 (de) 2011-03-08 2011-05-26 Sick Ag, 79183 Modulare Sicherheitssteuerung

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
www.kesselsysteme.de

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102013217063A1 (de) * 2013-08-27 2015-03-05 E.G.O. Elektro-Gerätebau GmbH Haushaltsgerätesteuerung
EP2843485A3 (de) * 2013-08-27 2016-03-30 E.G.O. ELEKTRO-GERÄTEBAU GmbH Haushaltsgerätesteuerung mit Sicherheitsfreigabeschaltung für ein Induktionskochfeld
DE102018107233A1 (de) * 2018-03-27 2019-10-02 Kraussmaffei Technologies Gmbh Verfahren zur automatischen Prozessüberwachung und Prozessdiagnose eines stückbasierten Prozesses (batch-Fertigung), insbesondere eines Spritzgießprozesses und eine den Prozess durchführende Maschine oder ein den Prozess durchführender Maschinenpark
DE102018118243A1 (de) * 2018-07-27 2020-01-30 Phoenix Contact Gmbh & Co. Kg Techniken zur Bereitstellung eines abgesicherten Steuerungsparameters zur mehrkanaligen Steuerung einer Maschine
US11022954B2 (en) 2018-07-27 2021-06-01 Phoenix Contact Gmbh & Co. Kg Techniques for providing a secured control parameter for multi-channel control of a machine

Similar Documents

Publication Publication Date Title
US8914135B2 (en) Integrated monitoring, control and equipment maintenance and tracking system
Izadi et al. An introduction to alarm analysis and design
EP2356526B1 (de) Sicherheitssteuerung und verfahren zum steuern einer automatisierten anlage
EP2811356B1 (de) System und verfahren zur prozessalarmreduzierung
WO2010002464A1 (en) Distributed and adaptive smart logic with multi-communication apparatus for reliable safety system shutdown
EP2908195B1 (de) Verfahren zur Überwachung der Sicherheit in einem Automatisierungsnetzwerk sowie Automatisierungsnetzwerk
DE102014109569A1 (de) Zustandsmaschinen-funktionsblock mit benutzerdefinierbaren aktionen an einem übergang zwischen zuständen
Shankar Control of boiler operation using PLC–SCADA
EP2913735B1 (de) Leistungsmodul und schnittstellenmodul für heizungssteuerung
JP4691490B2 (ja) 安全重視プロセスを制御する方法と装置
DE202012000084U1 (de) Sicherheitsgerichtete fehlertolerante Thermoprozesssteuerung
EP1086408B1 (de) Steuereinrichtung für eine maschine, anlage oder ein gerät, sowie verfahren zum überwachen einer steuerung
CN106164787B (zh) 用于安全关断电力负载的方法和装置
CN101252271B (zh) 设备的保护系统以及用于检验保护系统的方法
DE102013201937A1 (de) Vorrichtung und Verfahren zur Erkennung von unbefugten Manipulationen des Systemzustandes einer Steuer- und Regeleinheit einer kerntechnischen Anlage
Hollender et al. Intelligent alarming
US11656594B2 (en) Technologies for configuring voting blocks associated with a process control system
Beaudet et al. Malicious Anomaly Detection Approaches Robustness in Manufacturing ICSs
Firoozshahi et al. Water treatment plant intelligent monitoring in large gas refinery
EP3394687B1 (de) Konfigurierbare diagnoseeinheit
CN111681792A (zh) Atwt控制装置及核电设备
Khan et al. Cyber-safety analysis of an industrial control system for chillers using stpa-sec
US20220200875A1 (en) Communication monitoring system and communication monitoring method
Bhagwan Control Of Boiler Operation Using PLC–SCADA
Firoozshahi et al. Intelligent and innovative monitoring of water treatment plant in large Gas Refinery

Legal Events

Date Code Title Description
R207 Utility model specification

Effective date: 20120524

R156 Lapse of ip right after 3 years