ES2613701T3 - Sistema de control y protección distribuido tolerante a fallos - Google Patents
Sistema de control y protección distribuido tolerante a fallos Download PDFInfo
- Publication number
- ES2613701T3 ES2613701T3 ES12713867.5T ES12713867T ES2613701T3 ES 2613701 T3 ES2613701 T3 ES 2613701T3 ES 12713867 T ES12713867 T ES 12713867T ES 2613701 T3 ES2613701 T3 ES 2613701T3
- Authority
- ES
- Spain
- Prior art keywords
- fault
- communication network
- tolerant
- control
- distributed
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004891 communication Methods 0.000 claims abstract description 71
- 238000009434 installation Methods 0.000 claims abstract description 31
- 230000005540 biological transmission Effects 0.000 claims abstract description 14
- 238000000034 method Methods 0.000 claims description 20
- 230000010076 replication Effects 0.000 claims description 6
- 230000004913 activation Effects 0.000 claims description 3
- 241000196324 Embryophyta Species 0.000 description 10
- 238000004519 manufacturing process Methods 0.000 description 10
- 238000005192 partition Methods 0.000 description 8
- 244000075850 Avena orientalis Species 0.000 description 6
- 235000007319 Avena orientalis Nutrition 0.000 description 6
- 230000008901 benefit Effects 0.000 description 4
- 230000002950 deficient Effects 0.000 description 4
- 238000004146 energy storage Methods 0.000 description 4
- 238000013461 design Methods 0.000 description 3
- 238000010248 power generation Methods 0.000 description 3
- 238000012360 testing method Methods 0.000 description 3
- 230000006978 adaptation Effects 0.000 description 2
- 238000013459 approach Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000010354 integration Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 229940075620 somatostatin analogue Drugs 0.000 description 2
- 230000009885 systemic effect Effects 0.000 description 2
- 240000008042 Zea mays Species 0.000 description 1
- 235000005824 Zea mays ssp. parviglumis Nutrition 0.000 description 1
- 235000002017 Zea mays subsp mays Nutrition 0.000 description 1
- 238000000429 assembly Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 235000005822 corn Nutrition 0.000 description 1
- 238000003745 diagnosis Methods 0.000 description 1
- 238000009826 distribution Methods 0.000 description 1
- 230000001747 exhibiting effect Effects 0.000 description 1
- 230000036541 health Effects 0.000 description 1
- 230000007257 malfunction Effects 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000008439 repair process Effects 0.000 description 1
- 230000003362 replicative effect Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B15/00—Systems controlled by a computer
- G05B15/02—Systems controlled by a computer electric
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B9/00—Safety arrangements
- G05B9/02—Safety arrangements electric
-
- F—MECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
- F03—MACHINES OR ENGINES FOR LIQUIDS; WIND, SPRING, OR WEIGHT MOTORS; PRODUCING MECHANICAL POWER OR A REACTIVE PROPULSIVE THRUST, NOT OTHERWISE PROVIDED FOR
- F03D—WIND MOTORS
- F03D7/00—Controlling wind motors
-
- F—MECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
- F03—MACHINES OR ENGINES FOR LIQUIDS; WIND, SPRING, OR WEIGHT MOTORS; PRODUCING MECHANICAL POWER OR A REACTIVE PROPULSIVE THRUST, NOT OTHERWISE PROVIDED FOR
- F03D—WIND MOTORS
- F03D7/00—Controlling wind motors
- F03D7/02—Controlling wind motors the wind motors having rotation axis substantially parallel to the air flow entering the rotor
- F03D7/04—Automatic control; Regulation
- F03D7/042—Automatic control; Regulation by means of an electrical or electronic controller
- F03D7/047—Automatic control; Regulation by means of an electrical or electronic controller characterised by the controller architecture, e.g. multiple processors or data communications
-
- F—MECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
- F05—INDEXING SCHEMES RELATING TO ENGINES OR PUMPS IN VARIOUS SUBCLASSES OF CLASSES F01-F04
- F05B—INDEXING SCHEME RELATING TO WIND, SPRING, WEIGHT, INERTIA OR LIKE MOTORS, TO MACHINES OR ENGINES FOR LIQUIDS COVERED BY SUBCLASSES F03B, F03D AND F03G
- F05B2260/00—Function
- F05B2260/845—Redundancy
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02E—REDUCTION OF GREENHOUSE GAS [GHG] EMISSIONS, RELATED TO ENERGY GENERATION, TRANSMISSION OR DISTRIBUTION
- Y02E10/00—Energy generation through renewable energy sources
- Y02E10/70—Wind energy
- Y02E10/72—Wind turbines with rotation axis in wind direction
Landscapes
- Engineering & Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Sustainable Energy (AREA)
- Automation & Control Theory (AREA)
- Life Sciences & Earth Sciences (AREA)
- Sustainable Development (AREA)
- Physics & Mathematics (AREA)
- Chemical & Material Sciences (AREA)
- Combustion & Propulsion (AREA)
- Mechanical Engineering (AREA)
- General Physics & Mathematics (AREA)
- Safety Devices In Control Systems (AREA)
- Hardware Redundancy (AREA)
Abstract
Una instalación de energía eólica modularizada que comprende subconjuntos, que tiene un sistema de control distribuido tolerante a fallos, comprendiendo el sistema de control: - medios de control tolerantes a fallos adaptados para generar puntos de consigna de control y/o valores de datos, estando dichos medios de control tolerantes a fallos distribuidos en subconjuntos de acuerdo con la modularización de la instalación de energía eólica y caracterizada por - una red de comunicación tolerante a fallos para la transmisión de puntos de consigna de control y/o valores de datos esencialmente al mismo tiempo a una pluralidad de nodos en el sistema de control distribuido a través de dos o más conmutadores de la red de comunicación en tiempo real replicados, siendo capaz dicha pluralidad de nodos distribuidos de seleccionar un paquete de transmisión válido de entre dos o más paquetes de transmisión proporcionados en la red de comunicación tolerante a fallos, en el que la red de comunicación comprende una red de comunicación en tiempo real que comprende una Ethernet de activación por tiempo.
Description
5
10
15
20
25
30
35
40
45
50
55
60
65
DESCRIPCION
Sistema de control y proteccion distribuido tolerante a fallos Campo de la invencion
La presente invencion se refiere a sistemas de control de instalaciones de energfa eolica que utilizan nodos de control distribuidos con propiedades de tolerancia a fallos y relacionadas con la seguridad. Los nodos de control distribuidos se conectan mediante una red de comunicacion determinista tolerante a fallos. Los nodos de control distribuidos comprenden esquemas de votacion descentralizada, apuntando dichos esquemas de votacion descentralizada a la seleccion de los puntos de consigna de control o valores de datos mas fiables entre una pluralidad de puntos de consigna de control o valores de datos disponibles. Los nodos de control distribuidos comprenden funciones de votacion inherentes en terminos de circuitos electronicos, electricos o hidraulicos.
Antecedentes de la invencion
Las turbinas eolicas modernas se disenan para produccion en serie. Se usa la modularizacion como un medio para establecer una produccion de subconjuntos ajustada. Es deseable, por lo tanto, dividir en modulos el sistema de control de acuerdo con la modularizacion de la turbina eolica para permitir la fabricacion y ensayos de subconjuntos en una instalacion de produccion ajustada.
Las plantas modernas de generacion de energfa comprenden no solamente turbinas eolicas, sino tambien otras instalaciones tales como, por ejemplo, sistemas de medicion de potencia, sistemas de compensacion de fase, sistemas de metrologfa, sistemas de interruptores de potencia y sistemas de almacenamiento de energfa. Dichos sistemas tambien se pueden dividir en modulos para permitir la fabricacion y ensayo de subconjuntos en una instalacion de produccion ajustada. Los sistemas en sf mismos pueden considerarse modulos en una planta de energfa eolica y, por ello, contener nodos de control distribuidos. Se considera beneficioso dividir en modulos el sistema de control de acuerdo con la modularizacion del sistema.
Las turbinas eolicas modernas y otros sistemas de plantas de generacion de energfa estan sometidos a elevados requisitos de disponibilidad y produccion de energfa y, en consecuencia, las paradas de produccion provocadas por el sistema de control se consideran inaceptables. Los requisitos de fiabilidad para los sistemas de control de turbinas eolicas son, por lo tanto, muy altos. Sistemas de control basados en tolerancia a fallos son medios para obtener los requisitos de fiabilidad y seguridad deseados.
Las turbinas eolicas modernas estan sometidas a elevados requisitos de seguridad. Las grandes turbinas eolicas modernas tienen elevadas demandas en cuanto a seguridad funcional. El sistema de control debe tener propiedades de seguridad funcional para soportar las demandas. Las instalaciones de almacenamiento de energfa, sistemas de convertidores de potencia, sistemas de interruptores de potencia y otros sistemas de plantas de generacion de energfa pueden presentar tambien elevadas demandas en cuanto a seguridad funcional, dado que el impacto de las avenas puede ser grave tanto en relacion con la salud humana como con respecto a danos a los activos.
Los sistemas de control tolerantes a fallos para plantas de energfa eolica se implementan tfpicamente como sistemas redundantes que comprenden duplicados de varios modulos/dispositivos cnticos de la planta. En caso de que un modulo/dispositivo cntico de la planta falle, su funcionalidad es asumida por un modulo/dispositivo similar de la planta.
Los documentos US 2009/0309360 y US 2009/0309361 explican ambos un metodo y un sistema para el control de un parque de energfa eolica. En los documentos US 2009/0309360 y US 2009/0309361, una unidad de comunicacion principal controla varias unidades de control priorizadas. En caso de que una unidad de control dada con una prioridad dada falle, la unidad de comunicacion principal selecciona una unidad de control de prioridad mas baja para hacerse cargo de la funcionalidad de la unidad de control defectuosa.
Es una desventaja del metodo y sistema sugeridos en los documentos US 2009/0309360 y US 2009/0309361 que la unidad de comunicacion principal selecciona que unidad de control ha de hacerse cargo en caso de que otra unidad de control se avene o funcione defectuosamente de cualquier otro modo. Sin embargo, en caso de que se avene la unidad de comunicacion principal en sf, no hay unidad de sustitucion disponible.
Por ello, el metodo de control y el sistema de control sugeridos en los documentos US 2009/0309360 y US 2009/0309361 no pueden considerarse un metodo/sistema de control tolerante a fallos —al menos no en el nivel del controlador principal—. Mas aun, el metodo de control y el sistema de control sugeridos en los documentos US 2009/0309360 y US 2009/0309361 no pueden considerarse seguros, dado que no se implementan caractensticas de seguridad.
Puede verse como un objeto de las realizaciones de la presente invencion proporcionar un sistema de control distribuido con propiedades inherentes de tolerancia a fallos y relacionadas con la seguridad para aplicaciones de
5
10
15
20
25
30
35
40
45
50
55
60
65
plantas de ene^a eolica.
Descripcion de la invencion
El objeto anteriormente mencionado puede cumplirse proporcionando, en un primer aspecto, un sistema de control distribuido tolerante a fallos para una instalacion de ene^a eolica modularizada que comprende subconjuntos, comprendiendo el sistema de control
- medios de control tolerantes a fallos adaptados para generar puntos de consigna de control y/o valores de datos, estando dichos medios de control tolerantes a fallos distribuidos en subconjuntos de acuerdo con la modularizacion de la instalacion de energfa eolica y
- una red de comunicacion tolerante a fallos para la transmision de los puntos de consigna de control y/o valores de datos esencialmente al mismo tiempo a una pluralidad de nodos en el sistema de control distribuido, siendo capaz dicha pluralidad de nodos distribuidos de seleccionar un paquete de transmision valido de entre dos o mas paquetes de transmision proporcionados en la red de comunicacion tolerante a fallos.
Se asocian las siguientes ventajas con el primer aspecto de la presente invencion:
1. La arquitectura del sistema de control distribuido de la presente invencion esta de acuerdo con la modularizacion de las instalaciones modernas de energfa eolica, tales como turbinas eolicas modernas y plantas de energfa eolica modernas.
2. La arquitectura del sistema de control distribuido tolerante a fallos de la presente invencion satisface los elevados requisitos de disponibilidad y fiabilidad que se plantean a las turbinas eolicas modernas y los sistemas de control de las plantas de energfa eolica.
3. La arquitectura del sistema de control distribuido tolerante a fallos de la presente invencion permite la integracion de funciones de votacion electronica, electrica e hidraulica que soportan beneficiosamente series de produccion de subconjuntos.
4. La arquitectura del sistema de control distribuido de la presente invencion integra la seguridad funcional y es capaz de soportar las clases de modo de baja demanda, modo de alta demanda y modo continuo de las funciones relacionadas con la seguridad definidas en la norma IEC61508.
5. La arquitectura del sistema de control distribuido de la presente invencion es escalable y flexible de tal forma que permite la adaptacion de la funcionalidad a varias plataformas de turbina eolica y aplicaciones de planta de energfa eolica.
La arquitectura del sistema de control de la presente invencion refleja en general el principio de diseno establecido de “la forma sigue a la funcion”. Como se ha mencionado anteriormente, la arquitectura del sistema de control de la presente invencion es aplicable en turbinas eolicas, plantas de energfa eolica, subestaciones electricas, sistemas de almacenamiento de energfa, estaciones metrologicas y en otras aplicaciones relacionadas con la energfa.
La arquitectura del sistema de control puede comprender controladores primarios tales como, por ejemplo, Controladores Principales (MC), Controladores de Turbina (TC), Controladores de Seguridad (SC), Controladores de Potencia (PC), Controladores de Diagnostico (DC).
Mas aun, el sistema de control puede comprender Nodos de Control Distribuidos (DCN) que se interrelacionan con sensores y actuadores. Los DCN pueden servir como nodos de adquisicion de datos, nodos de salida de control para uno o mas controladores primarios o como controladores autonomos del sistema. Los DCN pueden tener funciones integradas relacionadas con la seguridad que soportan la seguridad funcional a nivel del sistema. Las funciones relacionadas con la seguridad pueden ser autonomas o pueden controlarse desde uno o mas SC.
Los controladores primarios y DCN pueden ser tolerantes a fallo simple, doble o multiple para dar soporte a la estructura del sistema y fiabilidad deseada. Mas aun, los controladores primarios y los nodos de control distribuidos pueden ser replicas deterministas para dar soporte a la tolerancia a fallos a nivel del sistema.
La arquitectura del sistema de control de la presente invencion puede aplicarse a una red de comunicacion en tiempo real (RTCN) tolerante a fallos determinista con elevada fiabilidad y propiedades relacionadas con la seguridad.
Como ya se ha mencionado, la red de comunicacion puede comprender una red de comunicacion en tiempo real, tal como una Ethernet de activacion por tiempo. La red de comunicacion Ethernet de activacion por tiempo puede implementarse como una red tolerante a fallo simple, una red tolerante a fallo doble o incluso una red tolerante a fallo multiple. Mas aun, la red de comunicacion Ethernet de activacion por tiempo puede estar certificada para
5
10
15
20
25
30
35
40
45
50
55
60
65
seguridad.
La red de comunicacion puede soportar clases de seguridad funcional en modo de baja demanda, modo de alta demanda y modo continuo, tal como se define en la norma IEC61508.
Las funciones de seguridad funcional cumplen con los requisitos para Nivel de Integridad de Seguridad 2 (SIL 2) o Nivel de Integridad de Seguridad 3 (SIL 3).
El sistema de control distribuido tolerante a fallos puede comprender adicionalmente sistemas de sensores tolerantes a fallos que comprenden una pluralidad de sensores. La pluralidad de sensores puede disponerse de una forma redundante. La pluralidad de sensores esta adaptada para medir al menos un parametro relevante para el control de al menos un subsistema de la instalacion de energfa eolica.
Ejemplos de subconjuntos de turbina eolica son sistemas de paso de pala, sistemas de orientacion, sistemas de arbol principal, sistemas de engranajes, sistemas de generador, sistemas de convertidor de potencia y sistemas de interruptores de potencia.
El sistema de control distribuido tolerante a fallos, y en particular los nodos de control distribuidos, pueden comprender adicionalmente medios de votacion adaptados para votar entre valores de datos entre una pluralidad de fuentes, estando adaptados dichos medios de votacion para votar de acuerdo con el principio de votacion 1 de 2 (1oo2), 2 de 2 (2oo2), 2 de 3 (2oo3) u otro principio de votacion adecuado. Las fuentes para proporcionar valores de datos pueden incluir uno o mas controladores primarios.
Pueden disponerse al menos dos controladores primarios redundantes en una configuracion de replica determinista. Los al menos dos controladores primarios redundantes pueden comprender un controlador primario activo y uno o mas controladores de reserva en caliente. Como alternativa, los al menos dos controladores primarios redundantes pueden comprender un controlador primario activo y uno o mas controladores de reserva en fno.
En un segundo aspecto, la presente invencion se refiere a un sistema de control distribuido tolerante a fallos para el control de uno o mas objetos de una instalacion de energfa eolica, comprendiendo el sistema de control
- medios de control tolerantes a fallos que presenten un comportamiento de fallo seguro adaptado para controlar uno o mas objetos,
- medios de votacion electronicos, electricos o hidraulicos para el control tolerante a fallos de los uno o mas objetos y
- medios para la supervision y/o el diagnostico de los medios de votacion.
De modo similar al primer aspecto, la expresion instalacion de energfa eolica cubre turbinas eolicas individuales o grupos de turbinas eolicas que forman una planta de energfa eolica.
Los uno o mas objetos a ser controlados pueden implicar sistemas de paso de palas, sistemas de orientacion, sistemas de arbol principal, sistemas de engranajes, sistemas de generador, sistemas de convertidor de potencia y sistemas de interruptores de potencia.
El sistema de control distribuido tolerante a fallos de acuerdo con el segundo aspecto puede comprender adicionalmente un esquema de control de replica determinista. De modo similar al primer aspecto de la presente invencion, el sistema de control distribuido puede soportar tolerancia a fallo simple, tolerancia a fallo doble o tolerancia a fallo multiple.
Pueden proporcionarse asimismo unidades de fuente de alimentacion distribuidas adaptadas para soportar una particion de entre una pluralidad de particiones. Mas aun, puede soportarse desacoplamiento en el dominio del fallo entre particiones.
Un tercer aspecto la presente invencion se refiere a un metodo para el control de una instalacion de energfa eolica modularizada que comprende subconjuntos, comprendiendo el metodo las etapas de
- generacion de puntos de consigna de control y/o valores de datos usando medios de control tolerantes a fallos, estando distribuidos dichos medios de control tolerantes a fallos en subconjuntos de acuerdo con la modularizacion de la instalacion de turbina eolica,
- transmision de los puntos de consigna de control y/o valores de datos generados esencialmente al mismo tiempo a una pluralidad de nodos en el sistema de control distribuido a traves de una red de comunicacion tolerante a fallos y
5
10
15
20
25
30
35
40
45
50
55
60
65
- seleccion, usando la pluralidad de nodos distribuidos, de un paquete de transmision valido de entre dos o mas paquetes de transmision proporcionados en la red de comunicacion tolerante a fallos.
En un cuarto aspecto final, la presente invencion se refiere un metodo para el control de uno o mas objetos de una instalacion de energfa eolica, comprendiendo el metodo las etapas de:
- proporcionar un medio de control tolerante a fallos que presente un comportamiento de fallo seguro adaptado para el control de uno o mas objetos,
- proporcionar medios de votacion electronicos, electricos o hidraulicos para el control tolerante a fallos de los uno o mas objetos y
- supervisar y/o diagnosticar los medios de votacion.
El metodo de acuerdo con el tercer y cuarto aspectos puede ser aplicable en turbinas eolicas, plantas de energfa eolica, subestaciones, sistemas de almacenamiento de energfa, estaciones de metrologfa y otras aplicaciones de planta de energfa eolica.
Es una ventaja de los metodos anteriormente mencionados que estan de acuerdo con la modularizacion de las instalaciones de energfa eolica modernas, tales como las turbinas eolicas modernas y las plantas de energfa eolica modernas. Mas aun, los metodos, si se ejecutan en un sistema de control distribuido tolerante a fallos, cumplen con los elevados requisitos de disponibilidad y fiabilidad que se plantean a las turbinas eolicas modernas y los sistemas de control de las plantas de energfa eolica.
Ademas, los metodos permiten que las arquitecturas de sistema de control distribuido sean escalables y flexibles de forma tal que permitan la adaptacion de la funcionalidad a varias plataformas de turbina eolica y aplicaciones de planta de energfa eolica.
Breve descripcion de los dibujos
La presente invencion se explicara ahora con detalles adicionales con referencia a las figuras adjuntas, en las que La Fig. 1 muestra una primera realizacion de un sistema de control distribuido generico,
La Fig. 2 muestra una red de comunicacion tolerante a fallo simple ejemplificada,
La Fig. 3 muestra una red de comunicacion tolerante a fallo doble ejemplificada,
La Fig. 4 muestra un escenario de fallo simple ejemplificado en un subsistema tolerante a fallo simple generico,
La Fig. 5 muestra un escenario de fallo doble ejemplificado en un subsistema tolerante a fallo doble generico,
La Fig. 6 muestra un subsistema redundante n+m generico ejemplificado,
La Fig. 7 muestra una vista generica de un dominio de ejecucion del controlador principal,
La Fig. 8 muestra una vista generica de un dominio de ejecucion del controlador de seguridad,
La Fig. 9 muestra una vista generica de un dominio de ejecucion sin maestro y
La Fig. 10 muestra una vista generica de un dominio del tiempo global de precision.
Aunque la invencion es susceptible de varias modificaciones y formas alternativas, se han mostrado realizaciones espedficas por medio de ejemplos en los dibujos y se describiran en detalle en el presente documento. Debena entenderse, sin embargo, que la invencion no se pretende que este limitada a las formas particulares divulgadas. Por el contrario, la invencion ha de cubrir todas las modificaciones, equivalentes y alternativas que caen dentro del esprntu y alcance de la invencion tal como se define por las reivindicaciones adjuntas.
Descripcion detallada de la invencion
En general, la presente invencion se dirige a proporcionar un sistema de control distribuido para instalaciones de energfa eolica, tales como turbinas eolicas y/u otros sistemas en una planta de energfa eolica. En realizaciones preferidas de la invencion, el sistema de control distribuido tiene propiedades tolerantes a fallos que dan soporte a alta fiabilidad y seguridad.
De acuerdo con la presente invencion, el control tolerante a fallos en el sistema de control distribuido se lleva a cabo
5
10
15
20
25
30
35
40
45
50
55
60
65
mediante funciones redundantes que permiten la operacion continuada en caso de que una o mas funciones en un conjunto redundante de funciones falle(n). Las funciones redundantes se establecen mediante dos o mas particiones ffsicas. Las particiones ffsicas pueden ser unidades completamente separadas o pueden ser unidades ffsicas unicas con particion interna o una combinacion de los mismos.
En una realizacion de la invencion, las particiones ffsicas forman dominios de fallos separados en donde un unico fallo en un dominio no puede comprometer la funcion de la otra particion redundante o cualquier otra parte del sistema de control. Tambien, cada funcion redundante puede tener fuentes de alimentacion locales que dan soporte a la funcion de control y sensores y actuadores conectados. Esto asegura que una avena en un dominio de la fuente de alimentacion no puede influir en la funcion de otros dominios en el sistema de control.
Controladores primarios dispuestos de modo redundante proporcionan un metodo y un sistema que da soporte a la votacion entre valores de datos. Unos DCN dispuestos de modo redundante controlando objetos de una instalacion de energfa eolica proporcionan un metodo y un sistema que da soporte a la votacion descentralizada entre valores de datos. La votacion puede ser en terminos de circuitos de votacion dedicados o en terminos de control simultaneo del objeto controlado por las funciones redundantes.
En una realizacion de la invencion, los DCN que contienen las funciones redundantes integran funciones de votacion en terminos de circuitos de votacion electronicos, electricos o hidraulicos. Los nodos pueden integrar tambien circuitos de supervision y funciones de diagnostico para los circuitos de votacion que soportan la fiabilidad y seguridad deseadas de las funciones. La integracion de las funciones de votacion puede ser una propiedad deseada en relacion con la seguridad, tolerancia a fallos, fabricacion y ensayos.
En una realizacion de la invencion, los controladores primarios son replicas deterministas, lo que significa que producen la misma salida esencialmente al mismo tiempo. Esta propiedad permite un control continuado en caso de una avena simple en un controlador primario. La propiedad es especialmente deseable en funciones relacionadas con la seguridad de modo continuo en donde la perdida temporal del control se considera cntica o en funciones en donde se requiere una muy alta disponibilidad. Mas aun, las funciones redundantes que controlan objetos de la instalacion de energfa eolica pueden ser replicas deterministas, lo que significa que las funciones producen la misma salida esencialmente al mismo tiempo. Esta propiedad impide la votacion erronea provocada por diferentes trayectorias de calculo en las funciones. Las funciones redundantes pueden tener propiedades de fallo seguro, tambien denominadas a veces propiedades de fallo silencioso, lo que significa que las funciones fallaran a un estado pasivo en caso de avena interna. Esta propiedad impide que un controlador en fallo comprometa el funcionamiento de controladores no defectuosos. La propiedad de fallo seguro se impone por el diseno y tiene una alta probabilidad de funcion correcta. En las funciones relacionadas con la seguridad, la propiedad de fallo seguro tiene un nivel de integridad de seguridad (SIL) que cumple con los requisitos de seguridad globales para la funcion de control.
De acuerdo con la presente invencion, un control tolerante a fallos en el sistema de control distribuido se lleva a cabo proporcionando un metodo y sistema que dan soporte a votacion descentralizada entre puntos de consigna de control o valores de datos —es decir, en donde la seleccion de un punto de consigna o valor de datos se realiza en el nodo de consumo—. Un punto de consigna de control puede reflejar datos de control logico de un Controlador Principal, Controlador de Turbina, Controlador de Seguridad, Controlador de la Planta de Generacion o cualquier otro controlador. Un valor de datos puede reflejar datos medidos de una funcion de adquisicion de datos o desde cualquier otra fuente de datos en el sistema.
Debe senalarse que los controladores y nodos pueden residir en una planta de energfa eolica completa y por ello la presente invencion no esta limitada a comprender controladores y nodos dentro de una unica turbina eolica.
Con referencia ahora a la Fig. 1, los sistemas de sensores 108, 109, 113, 114, 138, 139, 143 y 144 para la medicion de, por ejemplo, potencia, frecuencia, tension, corriente, presion o temperatura se conectan a los DCN replicados 110, 111, 117, 118, 136, 137, 141 y 142 respectivos, o bien directamente u, opcionalmente, a traves de por ejemplo buses de campo, trayectorias de comunicacion entre pares o cualquier otro tipo de interfaz. Los sistemas de sensores se posicionan en conjuntos de subsistemas (SSA) 112, 115, 140 y 145 junto con los DCN asociados. Otros SSA 107, 127, 131 y 135 comprenden DCN 104, 105, 124, 125, 128, 129, 132 y 133 para el control de objetos 106, 126, 130, 134 respectivos de la instalacion de energfa eolica.
Los DCN replicados adquieren datos de los sistemas de sensores y publican los datos adquiridos en la RTCN 103, poniendo asf los datos a disposicion de otros DCN en el sistema a traves de conmutadores de RTCN 101, 102 replicados.
Los sensores que se replican con la finalidad de tolerancia a fallos o seguridad se conectan mas preferentemente a diferentes DCN para conseguir el nivel mas alto de tolerancia a fallos y fiabilidad.
Cualquier DCN puede tener la capacidad de votar entre valores de punto de consigna o valores de datos proporcionados por los controladores primarios u otros conmutadores de la RTCN en el sistema. Los puntos de consigna y valores de datos pueden representar logica de control, datos de sensores u otras fuentes de datos.
5
10
15
20
25
30
35
40
45
50
55
60
65
Un posible escenario podna ser que un votador vote de acuerdo con el principio “2 de 3” (2oo3) —es dedr, si uno de los valores de punto de consigna o valores de datos se desvfa significativamente de los otros 2, el valor de punto de consigna o valor de datos desviado es ignorado—. Debena senalarse, sin embargo, que el proceso de votacion no esta limitado al esquema de votacion 2oo3, es decir son aplicables asimismo otros esquemas de votacion.
Con referencia todavfa a la Fig. 1 se representa una disposicion de una RTCN 103 generica tolerante a fallo simple de acuerdo con una realizacion de la presente invencion. La propiedad de tolerancia a fallo simple de la RTCN 103 se ilustra por las trayectorias de comunicacion continua y discontinua entre los conmutadores de la RTCN 101, 102 replicados y los diversos DCN de la RTCN 103.
Como se ve en la Fig. 1, los Controladores Principales 118, 119 del SSA 120, los Controladores de Seguridad 121, 122 del SSA 123 y los DCN de otros SSA se interconectan conectados a traves de la RTCN 103 que utiliza conmutadores de la RTCN 101, 102. Los conmutadores de la RTCN 101, 102 replicados se conectan en una topologfa de estrella-rama-estrella. Sin embargo, son tambien aplicables otras tecnologfas de red.
La RTCN 103 sirve como la infraestructura de comunicacion que conecta todos los DCN en el sistema. La RTCN 103 puede tener una conexion a la red de comunicacion de la planta de generacion a traves de otros conmutadores de la RTCN 146. La RTCN 103 puede ser no tolerante a fallos, tolerante a fallo simple o tolerante a fallo doble dependiendo de los requisitos de fiabilidad.
La RTCN 103 podna basarse en una red de comunicacion industrial tal como Ethernet/IP, Ethernet POWERLINK, PROFInet-IRT u otras redes de comunicacion con propiedades similares.
En una realizacion preferida, la RTCN es una red de comunicacion altamente determinista con propiedades de activacion por tiempo. Dicha red podna ser TTEthernet u otras redes de comunicacion que tengan propiedades similares. Este tipo de RTCN pone los datos a disposicion esencialmente al mismo tiempo en los canales de la RTCN redundantes y por ello proporciona un soporte fuerte para tolerancia a fallos a nivel del sistema.
La TTEthernet combina las ventajas del paradigma de comunicacion activado por tiempo con la flexibilidad de la ampliamente distribuida Ethernet. Soporta el trafico Ethernet estandar, lo que asegura no interferencias con trafico de datos cntico. En dichos paradigmas de comunicacion, la comunicacion de datos en tiempo real en la RTCN se planifica en la fase de diseno y los nodos asociados tienen un conocimiento a priori de cuando estan disponibles los datos. La TTEthernet tambien proporciona un tiempo global de precision tolerante a fallos a todos los nodos del sistema. Estas propiedades permiten que dos o mas nodos replicados por suscripcion a los mismos datos puedan garantizarse que funcionan sobre los mismos datos al mismo tiempo y, debido al tiempo global de precision, se disenan para ejecutar las mismas funciones esencialmente al mismo tiempo, y por ello son replicas deterministas.
Preferentemente, la RTCN tiene propiedades espedficas que dan soporte a funciones relacionadas con la seguridad en “modo continuo” tal como se define en la norma IEC61508. Las funciones de seguridad en modo continuo dependenan de datos relativos a la seguridad comunicados entre nodos en la RTCN para realizar la funcion de seguridad. TTEthernet soporta inherentemente funciones de seguridad en modo continuo por su tolerancia a fallos y sus propiedades relacionadas con la seguridad. El sistema de comunicacion TTEthernet es certificable respecto a seguridad. Mediante la utilizacion de este tipo de red de comunicacion, la capacidad de la arquitectura tolerante a fallos de la presente invencion puede extenderse para comprender todas las clases de funciones de seguridad: funciones de seguridad en modo de baja demanda, modo de alta demanda y modo continuo de acuerdo con las definiciones en la norma IEC61508.
La arquitectura de comunicacion descansa preferentemente sobre la confiable red de comunicacion TTEthernet mencionada anteriormente. En dicha realizacion, el trafico de datos de diferente criticidad puede coexistir en la RTCN. La arquitectura de comunicacion da soporte a la coexistencia de diferentes dominios de ejecucion en la misma RTCN sin interferencia mutua. Dichos dominios de ejecucion podnan ser:
- dominio de ejecucion maestro centralizado no relacionado con la seguridad, consultese la Fig. 7,
- dominio de ejecucion maestro centralizado relacionado con la seguridad, consultese la Fig. 8,
- dominio de ejecucion sin maestro, consultese la Fig. 9,
Las Figs. 7, 8 y 9 se explicaran con detalle adicional a continuacion.
En un sistema de control distribuido, la tolerancia a fallos puede obtenerse por replica de canales de comunicacion, incluyendo los conmutadores de la RTCN, y de los DCN.
Las Figs. 2 y 3 muestran redes de comunicacion tolerantes a fallo simple ejemplificadas y redes de comunicacion tolerantes a fallo doble ejemplificadas, respectivamente.
5
10
15
20
25
30
35
40
45
50
55
60
65
Con referencia ahora a la Fig. 2, los conmutadores de la RTCN 201,202 replicados estan en comunicacion con los DCN 205-210. De modo similar, los conmutadores de la RTCN 203, 204 replicados estan en comunicacion con los DCN 211-214. Como puede verse en la Fig. 2, cada DCN se conecta a dos conmutadores de la RTCN. Se proporciona una unica trayectoria de comunicacion RT 200 tolerante a fallos entre los conmutadores de la RTCN 201, 202 y 203, 204. Mas aun, esta disponible una trayectoria de comunicacion RT 215 para la conexion a otros conmutadores de la RTCN.
En referencia ahora a la Fig. 3, los conmutadores de la RTCN 301-303 replicados estan en comunicacion con los DCN 304-309 formando de ese modo una RTCN 300 tolerante a fallo doble. Como puede verse, cada DCN se conecta a tres conmutadores de la RTCN formando de ese modo la configuracion tolerante a fallo doble. Esta tambien disponible una conexion 310 a otros conmutadores de la RTCN.
Las RTCN mostradas en las Figs. 2 y 3 son tolerantes a fallo simple y doble, respectivamente. Debena senalarse, sin embargo, que son asimismo aplicables RTCN redundantes triples o incluso multiples.
Los controladores distribuidos pueden replicarse en dos, tres o mas dependiendo del requisito de fiabilidad de cada subsistema y de la arquitectura tolerante a fallos elegida para el subsistema. En caso de que los controladores distribuidos sean inherentemente tolerantes a fallo no se requiere la replica ffsica.
Los DCN presentan preferentemente un comportamiento “de fallo silencioso” para permitir al o a los nodos replicados mantener el control sobre el objeto controlado. En caso de que falle un DCN que presente un comportamiento de fallo silencioso, no perturbara el funcionamiento de la turbina eolica ni provocara posiblemente una avena cntica del sistema. En consecuencia, un DCN de fallo silencioso tendra un riesgo muy bajo de provocar una avena cntica del sistema.
La propiedad de fallo silencioso debera permanecer estable hasta que el servicio en la unidad defectuosa, tal como un DCN, haya restaurado el sistema. Esto significa que el comportamiento de fallo silencioso debe mantenerse con una muy alta probabilidad en caso de una segunda avena en el nodo ya defectuoso. En caso contrario, el nodo defectuoso puede perturbar el funcionamiento de la turbina eolica y provocar posiblemente una avena cntica del sistema.
Tolerancia a fallo simple
La Fig. 4 muestra una vista de la implementacion generica de un subsistema tolerante a fallo simple. La propiedad de tolerancia a fallo simple se ilustra por las trayectorias de comunicacion continua y discontinua entre los conmutadores de la RTCN 403, 411 replicados y los DCN 404, 405, 412, 413.
Los DCN 404, 405, 412, 413 pueden implementarse como nodos replicados activos o como nodos de reserva pasivos o en fno. Preferentemente, los DCN funcionan como nodos replicados activos. Los DCN tienen comportamiento de fallo seguro en caso de una avena interna. Los valores de los sensores estan disponibles para los DCN como datos en la RTCN y opcionalmente tambien como datos de sensores locales. Los datos pueden utilizarse por los controladores en esquemas de redundancia 1oo2 (1 de 2), 2oo2 (2 de 2) o 2oo3 (2 de 3) dependiendo de la criticidad de la funcion. Sin embargo, son aplicables asimismo otros esquemas de redundancia.
El dibujo superior en la Fig. 4 muestra un subsistema que funciona en condiciones de trabajo normales. Los sensores 406, 408 proporcionan senales del sensor a los DCN 404, 405 para controlar el objeto 407. Mas aun, el sensor 401 proporciona senales del sensor al DCN 402 que esta en comunicacion con los DCN 404, 405 a traves del conmutador de la RTCN 403 replicado.
En caso de avena en un DCN 412, se asegura la operacion continuada por el DCN 413 replicado, en comparacion con el dibujo inferior en la Fig. 4. De ese modo, el control del objeto 415 se mantiene con entradas desde los sensores 409, 416 y el control apropiado de los DCN 410, 413 y el conmutador de la RTCN 411 replicado.
Si ambos DCN 404, 405 o 412, 413 funcionan sobre los mismos datos al mismo tiempo, puede soportarse el determinismo de la replica.
Tolerancia a fallo doble
La Fig. 5 muestra una vista de implementacion generica con un subsistema tolerante a fallo doble. La propiedad de tolerancia a fallo doble se ilustra por las trayectorias de comunicacion continua y las dos discontinuas entre los DCN y los conmutadores de la RTCN replicados.
Los DCN pueden implementarse como nodos replicados activos o como nodos de reserva pasivos o en fno. Mas preferentemente, los DCN funcionan como nodos replicados activos. Los DCN tienen comportamiento de fallo seguro en caso de una avena interna. Los valores de los sensores estan disponibles para los DCN como datos sobre la RTCN y opcionalmente tambien como datos de sensor local. Los datos de sensores pueden utilizarse por
5
10
15
20
25
30
35
40
45
50
55
60
65
los controladores en esquemas de redundancia 1oo2 (1 de 2), 2oo2 (2 de 2) o 2oo3 (2 de 3) dependiendo de la criticidad de la funcion. Como se ha mencionado anteriormente, son aplicables asimismo otros esquemas de redundancia.
El dibujo superior en la Fig. 5 muestra un subsistema que funciona en condiciones de trabajo normales. Los sensores 507, 509 proporcionan senales del sensor a los DCN 504, 505, 506 para controlar el objeto 508. Mas aun, el sensor 501 proporciona senales del sensor al DCN 502 que esta en comunicacion con los DCN 504, 505, 506 a traves del conmutador de la RTCN 503 replicado.
En caso de avena en un DCN 513, se asegura la operacion continuada por los DCN 514, 515 restantes, comparese con el dibujo medio en la Fig. 5. De ese modo, el control del objeto 517 se mantiene con entradas desde los sensores 510, 518 y el control apropiado de los DCN 511, 514, 515 y el conmutador de la RTCN 512 replicado.
En caso de avena en dos DCN 522, 523, aun se asegura la operacion continuada por el DCN 524 restante, comparese con el dibujo inferior en la Fig. 5. Por ello, el control del objeto 526 se mantiene con entradas desde los sensores 519, 527 y el control apropiado de los DCN 520, 524 y conmutador de la RTCN 521 replicado.
Si los DCN de la Fig. 5 funcionan sobre los mismos datos al mismo tiempo, puede soportarse el determinismo de la replica.
La arquitectura de control mostrada en la Fig. 5 satisface el requisito de tolerancia a fallo para la fiabilidad del sistema muy alta en, por ejemplo, sistemas de mision cntica, posiblemente con largo tiempo medio para la reparacion despues de la primera avena. Dichos sistemas podnan ser sistemas de seguridad de “modo continuo” o sistemas de alta disponibilidad.
Tolerancia a fallos que utiliza redundancia n+m
Los sistemas de control pueden beneficiarse de una arquitectura de tolerancia a fallos que utilice una redundancia n+m, consultese la Fig. 6, en donde m DCN son reserva para n DCN. La Fig. 6 muestra una RTCN 600 tolerante a fallo doble (indicada por las lmeas continua y discontinua) en donde un conmutador de la RTCN 601 replicado esta en comunicacion con seis DCN de fallo silencioso 602-607. Los seis DCN de fallo silencioso 602-607 se configuran para controlar un objeto dado 620 de una turbina eolica en respuesta a entradas de sensores desde los sensores 608-619.
Los DCN 602-607 de replica determinista n+m ejecutan conjuntamente el control sobre el objeto controlado 620. De nuevo, en caso de que un DCN 602-607 con comportamiento de fallo seguro falle no perturbara el funcionamiento del objeto controlado y en consecuencia tendra muy poca probabilidad de provocar una avena cntica del sistema. Posibles areas de aplicacion para este tipo de redundancia podnan ser el sistema de orientacion de la turbina eolica y los sistemas de convertidor de potencia modulares.
Como se ha mencionado previamente, el Dominio de Ejecucion no Relacionado con la Seguridad Maestro Centralizado comprende funciones relacionadas con el control normal de la turbina eolica. La ejecucion en este dominio se caracteriza por un paradigma maestro-esclavo replicado que utiliza uno o mas controladores principales 701 y DCN 705, 707, 710, 714 y 716 replicados interconectados por la RTCN 700 replicada, consultese los elementos de lmea continua de la Fig. 4. Los elementos en lmea discontinua son inactivos en este dominio. Cuando se utiliza una RTCN 700 determinista, este dominio soporta la tolerancia a fallos mediante DCN deterministas replicados redundantes 705, 707, 710, 714 y 716. La replica de la RTCN 700 y los DCN 705, 707, 710, 714 y 716 se ilustran como estructuras apiladas (de RTCN y DCN) en la Fig. 7.
El Dominio de Ejecucion de Control de Seguridad Maestro Centralizado comprende funciones relacionadas con la seguridad, relativas a la proteccion de personas o activos. La ejecucion en este dominio se caracteriza por un paradigma de maestro centralizado que utiliza controladores de seguridad maestro replicados 802 (lmea continua) y DCN relacionados con la seguridad replicados 806, 808, 811, 813 y 815 asociados (lmea continua), consultese la Fig. 8. Los controladores replicados 802 y los DCN 806, 808, 811, 813 y 815 replicados se interconectan mediante la RTCN 800 replicada (lmea continua). Los elementos en lmea discontinua son inactivos en este dominio. Cuando se utiliza una RTCN determinista, este dominio soporta la tolerancia a fallos mediante DCN deterministas replicados redundantes.
El Dominio de Ejecucion de Control Distribuido permite un enfoque sin maestro para el control. El enfoque soporta la tolerancia a fallos mediante replica determinista redundante de los DcN 903, 904, 907, 909, 910, 916 interconectados a traves de la RTCN 900 replicada, consultense los elementos en lmea continua de la Fig. 9. Los elementos en lmea discontinua son inactivos. Este dominio se aplica a controlador o controladores no maestros y el area primaria de aplicacion de este dominio es el control relacionado con la seguridad en modo continuo. Sin embargo, el paradigma tambien puede usarse en otros controles relacionados con la seguridad y no relacionados con la seguridad.
5
10
15
20
25
30
35
40
45
50
55
60
65
En la Fig. 9, un grupo de DCN 903, 904, 907, 909, 910, 916 relacionados con la seguridad funcionan como publicadores y suscriptores de datos. Los DCN 903, 904, 907, 909, 910, 916 adquieren datos desde por ejemplo sistemas de sensores y publican los datos resultantes sobre la RTCN 900 replicada. Los otros DCN se suscriben a los datos publicados que necesitan para realizar su funcion. Un DCN dado puede ser tanto un publicador como un suscriptor. Como el intercambio de datos es directo entre los DCN, no se requiere un controlador principal.
En sistemas de control distribuido, la tolerancia a fallos y propiedades en tiempo real pueden soportarse por el establecimiento de un tiempo global preciso en donde los nodos tienen una nocion comun del tiempo que se desvfa muy poco —tfpicamente en el intervalo de un microsegundo o menos, sin embargo no limitado a esta precision—. El tiempo global da soporte a:
• Sincronizacion de la adquisicion de datos a traves de los controladores y nodos distribuidos
• Sincronizacion de los procesos a traves de los controladores y nodos distribuidos
• Sincronizacion de la comunicacion de datos (comunicacion de activacion por tiempo)
• Determinismo de la replica en controladores tolerantes a fallos y nodos distribuidos
El tiempo global puede establecerse mediante la implementacion de un protocolo de tiempo de precision compatible con IEEE-1588. Como alternativa, el tiempo global puede establecerse utilizando el soporte inherente para un tiempo global de precision que es parte de muchas redes de comunicacion industriales. En sistemas en donde el tiempo global de precision es cntico para la disponibilidad y/o seguridad del sistema, debe establecerse un nivel suficiente de tolerancia a fallos y fiabilidad en la distribucion del tiempo global de precision.
Una version de dominio de tiempo global de la RTCN generica mostrada en la Fig. 1 se ilustra en la Fig. 10, en la que sensores de sistemas 1008, 1009, 1013, 1014, 1038, 1039, 1043 y 1044 para la medicion de por ejemplo, potencia, frecuencia, tension, corriente, presion o temperatura se conectan a unos DCN replicados 1010, 1011, 1017, 1018, 1036, 1037, 1041 y 1042 respectivos, o bien directamente u opcionalmente a traves de por ejemplo buses de campo, trayectorias de comunicacion entre pares o cualquier otro tipo de interfaz. Los sistemas de sensores se posicionan en conjuntos de subsistemas (SSA) 1012, 1015, 1040 y 1045 junto con los DCN asociados. Otros SSA 1007, 1027, 1031 y 1035 comprenden unos DCN 1004, 1005, 1024, 1025, 1028, 1029, 1032 y 1033 para el control de objetos 1006, 1026, 1030, 1034 respectivos de la instalacion de energfa eolica. Los DCN replicados adquieren datos de los sistemas de sensores y publican los datos adquiridos sobre la RTCN 1003, poniendo los datos a disposicion de otros DCN en el sistema traves de conmutadores de la RTCN 1001, 1002 replicados. El tiempo global es indicado por 1047.
La Fig. 10 representa una RTCN generica 1003 tolerante a fallo simple de acuerdo con una realizacion de la presente invencion. La propiedad de tolerancia al fallo simple de la RTCN 1003 se ilustra por las trayectorias de comunicacion continuas y discontinuas entre los conmutadores de la RTCN 1001, 1002 replicados y los diversos DCN de la RTCN 1003.
Los controladores principales 1018, 1019 del SSA 1020, controladores de seguridad 1021, 1022 del SSA 1023 y los DCN de otros SSA se interconectan conectados a traves de la RTCN 1003 que utiliza conmutadores de la RTCN 1001, 1002 replicados. Los conmutadores de la RTCN 1001, 1002 replicados se conectan en una topologfa de estrella-rama-estrella. Sin embargo, son tambien aplicables otras tecnologfas de red. La RTCN 1003 sirve como la infraestructura de comunicacion que conecta todos los DCN en el sistema de control. La RTCN 1003 puede tener una conexion a la red de comunicacion de la planta de generacion a traves de otros conmutadores de la RTCN 1046 replicados. La RTCN 1003 puede ser no tolerante a fallos, tolerante a fallo simple o tolerante a fallo doble dependiendo de los requisitos de fiabilidad.
En implementaciones tolerantes a fallos, los controladores primarios/principales y los DCN tienen generalmente la capacidad recibir datos desde dos o mas canales RTCN redundantes y realizar la seleccion de un paquete de datos valido de entre los paquetes de datos redundantes disponibles. Los controladores y los DCN tambien tienen la capacidad de publicar los mismos datos al mismo tiempo sobre dos o mas canales RTCN redundantes y por ello poner estos datos a disposicion de otros DCN en el sistema para la seleccion de datos validos. Esta propiedad da soporte a la fiabilidad y seguridad del sistema.
Mas aun, en implementaciones tolerantes a fallos, los controladores primarios/principales y los DCN en el sistema pueden soportar tolerancia a fallos bien mediante “reserva en fno”, “reserva en caliente” o “replica activa”.
En un sistema tolerante a fallo simple, dos controladores forman un par redundante en una funcion de control. En reserva en fno, un controlador es activo y el otro esta desconectado. En caso de avena en el primer controlador, el segundo controlador se hace cargo de la funcion del controlador en fallo despues de su arranque e inicializacion. En reserva en caliente, un controlador esta activo y el segundo controlador es observador pasivo. En caso de avena en el primer controlador, el segundo controlador se hace cargo de la funcion. En replica activa, ambos controladores
estan activos, funcionan en sincronismo sobre los mismos datos, y producen as^ la misma salida al mismo tiempo. En caso de que falle el controlador, el segundo controlador preserva un control sin saltos de la turbina. Los tres principios pueden utilizarse en la presente invencion.
5 En un sistema tolerante a fallo multiple, se utilizan mas controladores redundantes. Los principios de redundancia son los mismos que para los sistemas tolerantes a fallo simple.
Diferentes niveles de tolerancia al fallo pueden aplicarse a la red de comunicacion y nodos dependiendo de los requisitos de fiabilidad y seguridad. La presente invencion no esta limitada a los ejemplos mostrados.
10
Claims (15)
- 5101520253035404550556065REIVINDICACIONES1. Una instalacion de ene^a eolica modularizada que comprende subconjuntos, que tiene un sistema de control distribuido tolerante a fallos, comprendiendo el sistema de control:- medios de control tolerantes a fallos adaptados para generar puntos de consigna de control y/o valores de datos, estando dichos medios de control tolerantes a fallos distribuidos en subconjuntos de acuerdo con la modularizacion de la instalacion de energfa eolica ycaracterizada por- una red de comunicacion tolerante a fallos para la transmision de puntos de consigna de control y/o valores de datos esencialmente al mismo tiempo a una pluralidad de nodos en el sistema de control distribuido a traves de dos o mas conmutadores de la red de comunicacion en tiempo real replicados, siendo capaz dicha pluralidad de nodos distribuidos de seleccionar un paquete de transmision valido de entre dos o mas paquetes de transmision proporcionados en la red de comunicacion tolerante a fallos, en el que la red de comunicacion comprende una red de comunicacion en tiempo real que comprende una Ethernet de activacion por tiempo.
- 2. Una instalacion de energfa eolica modularizada de acuerdo con la reivindicacion 1, en la que la red de comunicacion Ethernet de activacion por tiempo se implementa como una red tolerante a fallo simple.
- 3. Una instalacion de energfa eolica modularizada de acuerdo con la reivindicacion 1, en la que la red de comunicacion Ethernet de activacion por tiempo se implementa como una red tolerante a fallo doble.
- 4. Una instalacion de energfa eolica modularizada de acuerdo con la reivindicacion 1, en la que la red de comunicacion Ethernet de activacion por tiempo esta certificada respecto a seguridad.
- 5. Una instalacion de energfa eolica modularizada de acuerdo con cualquiera de las reivindicaciones precedentes, en la que la red de comunicacion soporta las clases de seguridad funcional en el modo de baja demanda, modo de alta demanda y modo continuo de acuerdo con la norma IEC61508.
- 6. Una instalacion de energfa eolica modularizada de acuerdo con la reivindicacion 5, en la que las funciones de seguridad funcional cumplen con los requisitos para Nivel de Integridad de Seguridad 2.
- 7. Una instalacion de energfa eolica modularizada de acuerdo con la reivindicacion 5, en la que las funciones de seguridad funcional cumplen con los requisitos para Nivel de Integridad de Seguridad 3.
- 8. Una instalacion de energfa eolica modularizada de acuerdo con cualquiera de las reivindicaciones precedentes, que comprende adicionalmente sistemas de sensores tolerantes a fallos que comprenden una pluralidad de sensores.
- 9. Una instalacion de energfa eolica modularizada de acuerdo con la reivindicacion 8, en la que la pluralidad de sensores se dispone de una forma redundante.
- 10. Una instalacion de energfa eolica modularizada de acuerdo con la reivindicacion 8 o 9, en la que la pluralidad de sensores esta adaptada para medir al menos un parametro relevante para el control de al menos un subconjunto.
- 11. Una instalacion de energfa eolica modularizada de acuerdo con cualquiera de las reivindicaciones precedentes, que comprende adicionalmente medios de votacion adaptados para votar entre valores de datos de entre una pluralidad de fuentes, estando adaptados dichos medios de votacion para votar de acuerdo con el principio de votacion 1oo2, 2oo2, 2oo3 u otro principio de votacion adecuado.
- 12. Una instalacion de energfa eolica modularizada de acuerdo con cualquiera de las reivindicaciones precedentes, que comprende adicionalmente al menos dos controladores primarios redundantes dispuestos en una configuracion de replica determinista.
- 13. Una instalacion de energfa eolica modularizada de acuerdo con la reivindicacion 12, en la que los al menos dos controladores primarios redundantes comprenden un controlador primario activo y uno o mas controladores de reserva en caliente.
- 14. Un sistema de control distribuido tolerante a fallos de acuerdo con la reivindicacion 12, en el que los al menos dos controladores primarios redundantes comprenden un controlador primario activo y uno o mas controladores de reserva en frio.
- 15. Un metodo para el control de una instalacion de energfa eolica modularizada que comprende subconjuntos, comprendiendo el metodo las etapas de- generar puntos de consigna de control y/o valores de datos usando medios de control tolerantes a fallos, estando distribuidos dichos medios de control tolerantes a fallos en subconjuntos de acuerdo con la modularizacion de la instalacion de turbina eolica,5 caracterizado por- transmitir los puntos de consigna de control y/o valores de datos generados esencialmente al mismo tiempo a traves de dos o mas conmutadores de la red de comunicacion en tiempo real replicados a una pluralidad de nodos en el sistema de control distribuido a traves de una red de comunicacion en tiempo real tolerante a fallos10 que comprende una Ethernet de activacion por tiempo y- seleccionar, usando la pluralidad de nodos distribuidos, un paquete de transmision valido de entre dos o mas paquetes de transmision proporcionados en la red de comunicacion tolerante a fallos.
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DKPA201170152 | 2011-03-30 | ||
DK201170152P | 2011-03-30 | ||
PCT/DK2012/050097 WO2012130246A1 (en) | 2011-03-30 | 2012-03-29 | Distributed fault-tolerant control and protection system |
Publications (1)
Publication Number | Publication Date |
---|---|
ES2613701T3 true ES2613701T3 (es) | 2017-05-25 |
Family
ID=45952812
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
ES12713867.5T Active ES2613701T3 (es) | 2011-03-30 | 2012-03-29 | Sistema de control y protección distribuido tolerante a fallos |
Country Status (5)
Country | Link |
---|---|
US (1) | US9983555B2 (es) |
EP (1) | EP2691819B1 (es) |
CN (1) | CN103582850A (es) |
ES (1) | ES2613701T3 (es) |
WO (1) | WO2012130246A1 (es) |
Families Citing this family (19)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9184934B2 (en) * | 2012-03-30 | 2015-11-10 | General Electric Company | Systems and methods for sharing control devices on an IO network |
US8916988B2 (en) * | 2012-10-23 | 2014-12-23 | General Electric Company | Systems and methods for use in operating power generation systems |
US9569513B1 (en) * | 2013-09-10 | 2017-02-14 | Amazon Technologies, Inc. | Conditional master election in distributed databases |
US10539117B2 (en) | 2013-11-28 | 2020-01-21 | Vestas Wind Systems A/S | Power plant controller for generating a power reference to wind turbine generators |
CN105298747B (zh) * | 2014-02-17 | 2017-09-08 | 南通大学 | 电气故障可容错运行的风力发电机组 |
US9685819B2 (en) | 2014-04-25 | 2017-06-20 | Kohler, Co. | Redundant generator control |
US20150356305A1 (en) * | 2014-06-05 | 2015-12-10 | Cleversafe, Inc. | Secure data access in a dispersed storage network |
US10582588B2 (en) | 2015-04-15 | 2020-03-03 | Aarti KHOSLA | Control system |
WO2017063016A1 (de) * | 2015-10-16 | 2017-04-20 | Fts Computertechnik Gmbh | Verfahren und computersystem zur schnellen übertragung von zeitgesteuerten echtzeitnachrichten |
US9848035B2 (en) * | 2015-12-24 | 2017-12-19 | Intel Corporation | Measurements exchange network, such as for internet-of-things (IoT) devices |
KR101758558B1 (ko) * | 2016-03-29 | 2017-07-26 | 엘에스산전 주식회사 | 에너지 관리 서버 및 그를 갖는 에너지 관리 시스템 |
DE102016205119A1 (de) | 2016-03-29 | 2017-10-05 | Siemens Aktiengesellschaft | System zur Steuerung von Stellwerken im Bahnverkehr |
CN106286129B (zh) * | 2016-10-12 | 2021-04-06 | 北京金风科创风电设备有限公司 | 风力发电机组及其控制方法 |
CN108204331B (zh) * | 2016-12-19 | 2020-02-14 | 北京金风科创风电设备有限公司 | 风力发电机组的故障处理方法及装置 |
US10416630B2 (en) * | 2017-03-07 | 2019-09-17 | Uop Llc | System and method for industrial process automation controller farm with flexible redundancy schema and dynamic resource management through machine learning |
EP3432097A1 (de) * | 2017-07-20 | 2019-01-23 | Siemens Aktiengesellschaft | Summenstreams für istzustände und steuersignale eines verteilten steuerungssystems |
US10763674B2 (en) * | 2017-09-29 | 2020-09-01 | General Electric Company | System and method for controlling cluster-based wind farms |
WO2020236164A1 (en) | 2019-05-22 | 2020-11-26 | Vit Tall Llc | Multi-clock synchronization in power grids |
WO2024046538A1 (en) * | 2022-09-02 | 2024-03-07 | Vestas Wind Systems A/S | Controlling activation of a drive train brake in a wind turbine |
Family Cites Families (20)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5809220A (en) * | 1995-07-20 | 1998-09-15 | Raytheon Company | Fault tolerant distributed control system |
US6826590B1 (en) | 1996-08-23 | 2004-11-30 | Fieldbus Foundation | Block-oriented control system on high speed ethernet |
WO2002039323A2 (en) * | 2000-10-26 | 2002-05-16 | Prismedia Networks, Inc. | Method and apparatus for real-time parallel delivery of segments of a large payload file |
AT411948B (de) * | 2002-06-13 | 2004-07-26 | Fts Computertechnik Gmbh | Kommunikationsverfahren und apparat zur übertragung von zeitgesteuerten und ereignisgesteuerten ethernet nachrichten |
US7010633B2 (en) * | 2003-04-10 | 2006-03-07 | International Business Machines Corporation | Apparatus, system and method for controlling access to facilities based on usage classes |
US7200469B2 (en) * | 2004-03-25 | 2007-04-03 | General Motors Corporation | Apparatus and method for processing sensor output signals |
CN101084652A (zh) * | 2004-12-20 | 2007-12-05 | 皇家飞利浦电子股份有限公司 | 用于监控两个以及多个节点之间的通信的总线监控器及其方法,包括该总线监控器的节点,包括该节点的分布式通信系统 |
JP2008527226A (ja) * | 2004-12-30 | 2008-07-24 | ヴェスタス,ウィンド,システムズ エー/エス | 多重化冗長制御システムを有する風力タービン、及び風力タービンの制御方法 |
JP2009524952A (ja) * | 2006-01-27 | 2009-07-02 | エフテーエス コンピューターテヒニク ゲゼルシャフト ミット ベシュレンクテル ハフツング | 時間制御型のセキュアな通信 |
US7913954B2 (en) * | 2006-03-10 | 2011-03-29 | Star Technology And Research, Inc. | Electrodynamic structure |
WO2008029318A2 (en) * | 2006-09-06 | 2008-03-13 | Nxp B.V. | Cluster coupler in a time triggered network |
US20100220744A1 (en) * | 2006-09-06 | 2010-09-02 | Nxp, B.V. | Intelligent start coupler for time triggered communication protocol and method for communicating between nodes within a network using a time trigger protocol |
DE102007048860A1 (de) * | 2006-11-03 | 2008-05-08 | Robert Bosch Gmbh | Vorrichtung und Verfahren zur Manipulation von Kommunikations-Botschaften |
US8706914B2 (en) * | 2007-04-23 | 2014-04-22 | David D. Duchesneau | Computing infrastructure |
DE102008028573A1 (de) | 2008-06-16 | 2009-12-31 | Nordex Energy Gmbh | Verfahren zur Steuerung eines Windparks |
DE102008028568A1 (de) | 2008-06-16 | 2009-12-31 | Nordex Energy Gmbh | Verfahren zur Steuerung einer Windenergieanlage |
US8503484B2 (en) * | 2009-01-19 | 2013-08-06 | Honeywell International Inc. | System and method for a cross channel data link |
US8121707B2 (en) * | 2009-04-14 | 2012-02-21 | General Electric Company | Method for download of sequential function charts to a triple module redundant control system |
CN101943910B (zh) * | 2009-07-07 | 2012-06-27 | 华东理工大学 | 用于容错控制的自校验方法 |
CN101958683B (zh) * | 2010-08-09 | 2012-05-23 | 重庆科凯前卫风电设备有限责任公司 | 一种双馈风电机组定子电压冗余信号的获取方法 |
-
2012
- 2012-03-29 ES ES12713867.5T patent/ES2613701T3/es active Active
- 2012-03-29 US US14/008,214 patent/US9983555B2/en active Active
- 2012-03-29 CN CN201280026378.8A patent/CN103582850A/zh active Pending
- 2012-03-29 WO PCT/DK2012/050097 patent/WO2012130246A1/en active Application Filing
- 2012-03-29 EP EP12713867.5A patent/EP2691819B1/en active Active
Also Published As
Publication number | Publication date |
---|---|
CN103582850A (zh) | 2014-02-12 |
EP2691819A1 (en) | 2014-02-05 |
US9983555B2 (en) | 2018-05-29 |
US20140081473A1 (en) | 2014-03-20 |
WO2012130246A1 (en) | 2012-10-04 |
EP2691819B1 (en) | 2016-12-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
ES2613701T3 (es) | Sistema de control y protección distribuido tolerante a fallos | |
ES2568468T3 (es) | Sistema de control de turbina eólica con votación descentralizada | |
US10078312B2 (en) | Wind power plant with highly reliable real-time power control | |
JP6225244B2 (ja) | 油田処理制御システム | |
ES2230314T3 (es) | Sistema de control para accionamientos en un avion. | |
CN104411968B (zh) | 用于风力涡轮机的控制系统 | |
EP3416014A1 (en) | Process data synchronization between redundant process controllers | |
ES2608723T3 (es) | Método y dispositivo para el control espaciotemporal del consumo de energía eléctrica de una red de telecomunicaciones en función del estado del sistema de suministro eléctrico | |
EP3316261B1 (en) | Control system for the safety of nuclear power plant | |
US6473479B1 (en) | Dual optical communication network for class 1E reactor protection systems | |
WO2014031039A2 (ru) | Микропроцессорная управляющая система с резервированием для управления системой для регулирования и защиты турбины | |
WO2016209113A1 (ru) | Управляющая система безопасности атомной электростанции | |
KR20150050925A (ko) | 풍력 터빈 주제어장치의 관리 시스템 및 관리 방법 | |
US10991235B2 (en) | Fire-prevention control unit | |
EP2413207B1 (en) | Data encoding and decoding for an industrial process control system | |
RU217960U1 (ru) | Сбоеустойчивый блок контроля параметров и управления состоянием литий-ионной аккумуляторной батареи | |
Alexandre et al. | Fault tolerant control for manufacturing discrete systems by filter and diagnoser interactions | |
KR20130068285A (ko) | Fpga 기반 제어기의 버스 구조 | |
Ahmed et al. | Communication Network Architectures for Southwest Offshore Wind Farm | |
CN210405118U (zh) | 模块化多电平电力转换器和其模块、高压直流传输设备和无功功率补偿设备 | |
EP2413209B1 (en) | Security key | |
RU2510961C2 (ru) | Автоматизированная система управления боевого корабля с повышенной живучестью | |
Lee et al. | Simultaneous Reliable H8 Stabilization Using a Multi-Controller Configuration | |
Liu et al. | Markov Modeling of Double 2-out-of-2 System with Imperfect Detection and Common Cause Failures | |
Campoy et al. | A Low Cost Robust Architecture with High Connectivity for the Control of Refrigeration Chambers. |