ES2613701T3 - Sistema de control y protección distribuido tolerante a fallos - Google Patents

Sistema de control y protección distribuido tolerante a fallos Download PDF

Info

Publication number
ES2613701T3
ES2613701T3 ES12713867.5T ES12713867T ES2613701T3 ES 2613701 T3 ES2613701 T3 ES 2613701T3 ES 12713867 T ES12713867 T ES 12713867T ES 2613701 T3 ES2613701 T3 ES 2613701T3
Authority
ES
Spain
Prior art keywords
fault
communication network
tolerant
control
distributed
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES12713867.5T
Other languages
English (en)
Inventor
John Bengtson
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Vestas Wind Systems AS
Original Assignee
Vestas Wind Systems AS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Vestas Wind Systems AS filed Critical Vestas Wind Systems AS
Application granted granted Critical
Publication of ES2613701T3 publication Critical patent/ES2613701T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B15/00Systems controlled by a computer
    • G05B15/02Systems controlled by a computer electric
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F03MACHINES OR ENGINES FOR LIQUIDS; WIND, SPRING, OR WEIGHT MOTORS; PRODUCING MECHANICAL POWER OR A REACTIVE PROPULSIVE THRUST, NOT OTHERWISE PROVIDED FOR
    • F03DWIND MOTORS
    • F03D7/00Controlling wind motors 
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F03MACHINES OR ENGINES FOR LIQUIDS; WIND, SPRING, OR WEIGHT MOTORS; PRODUCING MECHANICAL POWER OR A REACTIVE PROPULSIVE THRUST, NOT OTHERWISE PROVIDED FOR
    • F03DWIND MOTORS
    • F03D7/00Controlling wind motors 
    • F03D7/02Controlling wind motors  the wind motors having rotation axis substantially parallel to the air flow entering the rotor
    • F03D7/04Automatic control; Regulation
    • F03D7/042Automatic control; Regulation by means of an electrical or electronic controller
    • F03D7/047Automatic control; Regulation by means of an electrical or electronic controller characterised by the controller architecture, e.g. multiple processors or data communications
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F05INDEXING SCHEMES RELATING TO ENGINES OR PUMPS IN VARIOUS SUBCLASSES OF CLASSES F01-F04
    • F05BINDEXING SCHEME RELATING TO WIND, SPRING, WEIGHT, INERTIA OR LIKE MOTORS, TO MACHINES OR ENGINES FOR LIQUIDS COVERED BY SUBCLASSES F03B, F03D AND F03G
    • F05B2260/00Function
    • F05B2260/845Redundancy
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02EREDUCTION OF GREENHOUSE GAS [GHG] EMISSIONS, RELATED TO ENERGY GENERATION, TRANSMISSION OR DISTRIBUTION
    • Y02E10/00Energy generation through renewable energy sources
    • Y02E10/70Wind energy
    • Y02E10/72Wind turbines with rotation axis in wind direction

Landscapes

  • Engineering & Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Sustainable Energy (AREA)
  • Automation & Control Theory (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Sustainable Development (AREA)
  • Physics & Mathematics (AREA)
  • Chemical & Material Sciences (AREA)
  • Combustion & Propulsion (AREA)
  • Mechanical Engineering (AREA)
  • General Physics & Mathematics (AREA)
  • Safety Devices In Control Systems (AREA)
  • Hardware Redundancy (AREA)

Abstract

Una instalación de energía eólica modularizada que comprende subconjuntos, que tiene un sistema de control distribuido tolerante a fallos, comprendiendo el sistema de control: - medios de control tolerantes a fallos adaptados para generar puntos de consigna de control y/o valores de datos, estando dichos medios de control tolerantes a fallos distribuidos en subconjuntos de acuerdo con la modularización de la instalación de energía eólica y caracterizada por - una red de comunicación tolerante a fallos para la transmisión de puntos de consigna de control y/o valores de datos esencialmente al mismo tiempo a una pluralidad de nodos en el sistema de control distribuido a través de dos o más conmutadores de la red de comunicación en tiempo real replicados, siendo capaz dicha pluralidad de nodos distribuidos de seleccionar un paquete de transmisión válido de entre dos o más paquetes de transmisión proporcionados en la red de comunicación tolerante a fallos, en el que la red de comunicación comprende una red de comunicación en tiempo real que comprende una Ethernet de activación por tiempo.

Description

5
10
15
20
25
30
35
40
45
50
55
60
65
DESCRIPCION
Sistema de control y proteccion distribuido tolerante a fallos Campo de la invencion
La presente invencion se refiere a sistemas de control de instalaciones de energfa eolica que utilizan nodos de control distribuidos con propiedades de tolerancia a fallos y relacionadas con la seguridad. Los nodos de control distribuidos se conectan mediante una red de comunicacion determinista tolerante a fallos. Los nodos de control distribuidos comprenden esquemas de votacion descentralizada, apuntando dichos esquemas de votacion descentralizada a la seleccion de los puntos de consigna de control o valores de datos mas fiables entre una pluralidad de puntos de consigna de control o valores de datos disponibles. Los nodos de control distribuidos comprenden funciones de votacion inherentes en terminos de circuitos electronicos, electricos o hidraulicos.
Antecedentes de la invencion
Las turbinas eolicas modernas se disenan para produccion en serie. Se usa la modularizacion como un medio para establecer una produccion de subconjuntos ajustada. Es deseable, por lo tanto, dividir en modulos el sistema de control de acuerdo con la modularizacion de la turbina eolica para permitir la fabricacion y ensayos de subconjuntos en una instalacion de produccion ajustada.
Las plantas modernas de generacion de energfa comprenden no solamente turbinas eolicas, sino tambien otras instalaciones tales como, por ejemplo, sistemas de medicion de potencia, sistemas de compensacion de fase, sistemas de metrologfa, sistemas de interruptores de potencia y sistemas de almacenamiento de energfa. Dichos sistemas tambien se pueden dividir en modulos para permitir la fabricacion y ensayo de subconjuntos en una instalacion de produccion ajustada. Los sistemas en sf mismos pueden considerarse modulos en una planta de energfa eolica y, por ello, contener nodos de control distribuidos. Se considera beneficioso dividir en modulos el sistema de control de acuerdo con la modularizacion del sistema.
Las turbinas eolicas modernas y otros sistemas de plantas de generacion de energfa estan sometidos a elevados requisitos de disponibilidad y produccion de energfa y, en consecuencia, las paradas de produccion provocadas por el sistema de control se consideran inaceptables. Los requisitos de fiabilidad para los sistemas de control de turbinas eolicas son, por lo tanto, muy altos. Sistemas de control basados en tolerancia a fallos son medios para obtener los requisitos de fiabilidad y seguridad deseados.
Las turbinas eolicas modernas estan sometidas a elevados requisitos de seguridad. Las grandes turbinas eolicas modernas tienen elevadas demandas en cuanto a seguridad funcional. El sistema de control debe tener propiedades de seguridad funcional para soportar las demandas. Las instalaciones de almacenamiento de energfa, sistemas de convertidores de potencia, sistemas de interruptores de potencia y otros sistemas de plantas de generacion de energfa pueden presentar tambien elevadas demandas en cuanto a seguridad funcional, dado que el impacto de las avenas puede ser grave tanto en relacion con la salud humana como con respecto a danos a los activos.
Los sistemas de control tolerantes a fallos para plantas de energfa eolica se implementan tfpicamente como sistemas redundantes que comprenden duplicados de varios modulos/dispositivos cnticos de la planta. En caso de que un modulo/dispositivo cntico de la planta falle, su funcionalidad es asumida por un modulo/dispositivo similar de la planta.
Los documentos US 2009/0309360 y US 2009/0309361 explican ambos un metodo y un sistema para el control de un parque de energfa eolica. En los documentos US 2009/0309360 y US 2009/0309361, una unidad de comunicacion principal controla varias unidades de control priorizadas. En caso de que una unidad de control dada con una prioridad dada falle, la unidad de comunicacion principal selecciona una unidad de control de prioridad mas baja para hacerse cargo de la funcionalidad de la unidad de control defectuosa.
Es una desventaja del metodo y sistema sugeridos en los documentos US 2009/0309360 y US 2009/0309361 que la unidad de comunicacion principal selecciona que unidad de control ha de hacerse cargo en caso de que otra unidad de control se avene o funcione defectuosamente de cualquier otro modo. Sin embargo, en caso de que se avene la unidad de comunicacion principal en sf, no hay unidad de sustitucion disponible.
Por ello, el metodo de control y el sistema de control sugeridos en los documentos US 2009/0309360 y US 2009/0309361 no pueden considerarse un metodo/sistema de control tolerante a fallos —al menos no en el nivel del controlador principal—. Mas aun, el metodo de control y el sistema de control sugeridos en los documentos US 2009/0309360 y US 2009/0309361 no pueden considerarse seguros, dado que no se implementan caractensticas de seguridad.
Puede verse como un objeto de las realizaciones de la presente invencion proporcionar un sistema de control distribuido con propiedades inherentes de tolerancia a fallos y relacionadas con la seguridad para aplicaciones de
5
10
15
20
25
30
35
40
45
50
55
60
65
plantas de ene^a eolica.
Descripcion de la invencion
El objeto anteriormente mencionado puede cumplirse proporcionando, en un primer aspecto, un sistema de control distribuido tolerante a fallos para una instalacion de ene^a eolica modularizada que comprende subconjuntos, comprendiendo el sistema de control
- medios de control tolerantes a fallos adaptados para generar puntos de consigna de control y/o valores de datos, estando dichos medios de control tolerantes a fallos distribuidos en subconjuntos de acuerdo con la modularizacion de la instalacion de energfa eolica y
- una red de comunicacion tolerante a fallos para la transmision de los puntos de consigna de control y/o valores de datos esencialmente al mismo tiempo a una pluralidad de nodos en el sistema de control distribuido, siendo capaz dicha pluralidad de nodos distribuidos de seleccionar un paquete de transmision valido de entre dos o mas paquetes de transmision proporcionados en la red de comunicacion tolerante a fallos.
Se asocian las siguientes ventajas con el primer aspecto de la presente invencion:
1. La arquitectura del sistema de control distribuido de la presente invencion esta de acuerdo con la modularizacion de las instalaciones modernas de energfa eolica, tales como turbinas eolicas modernas y plantas de energfa eolica modernas.
2. La arquitectura del sistema de control distribuido tolerante a fallos de la presente invencion satisface los elevados requisitos de disponibilidad y fiabilidad que se plantean a las turbinas eolicas modernas y los sistemas de control de las plantas de energfa eolica.
3. La arquitectura del sistema de control distribuido tolerante a fallos de la presente invencion permite la integracion de funciones de votacion electronica, electrica e hidraulica que soportan beneficiosamente series de produccion de subconjuntos.
4. La arquitectura del sistema de control distribuido de la presente invencion integra la seguridad funcional y es capaz de soportar las clases de modo de baja demanda, modo de alta demanda y modo continuo de las funciones relacionadas con la seguridad definidas en la norma IEC61508.
5. La arquitectura del sistema de control distribuido de la presente invencion es escalable y flexible de tal forma que permite la adaptacion de la funcionalidad a varias plataformas de turbina eolica y aplicaciones de planta de energfa eolica.
La arquitectura del sistema de control de la presente invencion refleja en general el principio de diseno establecido de “la forma sigue a la funcion”. Como se ha mencionado anteriormente, la arquitectura del sistema de control de la presente invencion es aplicable en turbinas eolicas, plantas de energfa eolica, subestaciones electricas, sistemas de almacenamiento de energfa, estaciones metrologicas y en otras aplicaciones relacionadas con la energfa.
La arquitectura del sistema de control puede comprender controladores primarios tales como, por ejemplo, Controladores Principales (MC), Controladores de Turbina (TC), Controladores de Seguridad (SC), Controladores de Potencia (PC), Controladores de Diagnostico (DC).
Mas aun, el sistema de control puede comprender Nodos de Control Distribuidos (DCN) que se interrelacionan con sensores y actuadores. Los DCN pueden servir como nodos de adquisicion de datos, nodos de salida de control para uno o mas controladores primarios o como controladores autonomos del sistema. Los DCN pueden tener funciones integradas relacionadas con la seguridad que soportan la seguridad funcional a nivel del sistema. Las funciones relacionadas con la seguridad pueden ser autonomas o pueden controlarse desde uno o mas SC.
Los controladores primarios y DCN pueden ser tolerantes a fallo simple, doble o multiple para dar soporte a la estructura del sistema y fiabilidad deseada. Mas aun, los controladores primarios y los nodos de control distribuidos pueden ser replicas deterministas para dar soporte a la tolerancia a fallos a nivel del sistema.
La arquitectura del sistema de control de la presente invencion puede aplicarse a una red de comunicacion en tiempo real (RTCN) tolerante a fallos determinista con elevada fiabilidad y propiedades relacionadas con la seguridad.
Como ya se ha mencionado, la red de comunicacion puede comprender una red de comunicacion en tiempo real, tal como una Ethernet de activacion por tiempo. La red de comunicacion Ethernet de activacion por tiempo puede implementarse como una red tolerante a fallo simple, una red tolerante a fallo doble o incluso una red tolerante a fallo multiple. Mas aun, la red de comunicacion Ethernet de activacion por tiempo puede estar certificada para
5
10
15
20
25
30
35
40
45
50
55
60
65
seguridad.
La red de comunicacion puede soportar clases de seguridad funcional en modo de baja demanda, modo de alta demanda y modo continuo, tal como se define en la norma IEC61508.
Las funciones de seguridad funcional cumplen con los requisitos para Nivel de Integridad de Seguridad 2 (SIL 2) o Nivel de Integridad de Seguridad 3 (SIL 3).
El sistema de control distribuido tolerante a fallos puede comprender adicionalmente sistemas de sensores tolerantes a fallos que comprenden una pluralidad de sensores. La pluralidad de sensores puede disponerse de una forma redundante. La pluralidad de sensores esta adaptada para medir al menos un parametro relevante para el control de al menos un subsistema de la instalacion de energfa eolica.
Ejemplos de subconjuntos de turbina eolica son sistemas de paso de pala, sistemas de orientacion, sistemas de arbol principal, sistemas de engranajes, sistemas de generador, sistemas de convertidor de potencia y sistemas de interruptores de potencia.
El sistema de control distribuido tolerante a fallos, y en particular los nodos de control distribuidos, pueden comprender adicionalmente medios de votacion adaptados para votar entre valores de datos entre una pluralidad de fuentes, estando adaptados dichos medios de votacion para votar de acuerdo con el principio de votacion 1 de 2 (1oo2), 2 de 2 (2oo2), 2 de 3 (2oo3) u otro principio de votacion adecuado. Las fuentes para proporcionar valores de datos pueden incluir uno o mas controladores primarios.
Pueden disponerse al menos dos controladores primarios redundantes en una configuracion de replica determinista. Los al menos dos controladores primarios redundantes pueden comprender un controlador primario activo y uno o mas controladores de reserva en caliente. Como alternativa, los al menos dos controladores primarios redundantes pueden comprender un controlador primario activo y uno o mas controladores de reserva en fno.
En un segundo aspecto, la presente invencion se refiere a un sistema de control distribuido tolerante a fallos para el control de uno o mas objetos de una instalacion de energfa eolica, comprendiendo el sistema de control
- medios de control tolerantes a fallos que presenten un comportamiento de fallo seguro adaptado para controlar uno o mas objetos,
- medios de votacion electronicos, electricos o hidraulicos para el control tolerante a fallos de los uno o mas objetos y
- medios para la supervision y/o el diagnostico de los medios de votacion.
De modo similar al primer aspecto, la expresion instalacion de energfa eolica cubre turbinas eolicas individuales o grupos de turbinas eolicas que forman una planta de energfa eolica.
Los uno o mas objetos a ser controlados pueden implicar sistemas de paso de palas, sistemas de orientacion, sistemas de arbol principal, sistemas de engranajes, sistemas de generador, sistemas de convertidor de potencia y sistemas de interruptores de potencia.
El sistema de control distribuido tolerante a fallos de acuerdo con el segundo aspecto puede comprender adicionalmente un esquema de control de replica determinista. De modo similar al primer aspecto de la presente invencion, el sistema de control distribuido puede soportar tolerancia a fallo simple, tolerancia a fallo doble o tolerancia a fallo multiple.
Pueden proporcionarse asimismo unidades de fuente de alimentacion distribuidas adaptadas para soportar una particion de entre una pluralidad de particiones. Mas aun, puede soportarse desacoplamiento en el dominio del fallo entre particiones.
Un tercer aspecto la presente invencion se refiere a un metodo para el control de una instalacion de energfa eolica modularizada que comprende subconjuntos, comprendiendo el metodo las etapas de
- generacion de puntos de consigna de control y/o valores de datos usando medios de control tolerantes a fallos, estando distribuidos dichos medios de control tolerantes a fallos en subconjuntos de acuerdo con la modularizacion de la instalacion de turbina eolica,
- transmision de los puntos de consigna de control y/o valores de datos generados esencialmente al mismo tiempo a una pluralidad de nodos en el sistema de control distribuido a traves de una red de comunicacion tolerante a fallos y
5
10
15
20
25
30
35
40
45
50
55
60
65
- seleccion, usando la pluralidad de nodos distribuidos, de un paquete de transmision valido de entre dos o mas paquetes de transmision proporcionados en la red de comunicacion tolerante a fallos.
En un cuarto aspecto final, la presente invencion se refiere un metodo para el control de uno o mas objetos de una instalacion de energfa eolica, comprendiendo el metodo las etapas de:
- proporcionar un medio de control tolerante a fallos que presente un comportamiento de fallo seguro adaptado para el control de uno o mas objetos,
- proporcionar medios de votacion electronicos, electricos o hidraulicos para el control tolerante a fallos de los uno o mas objetos y
- supervisar y/o diagnosticar los medios de votacion.
El metodo de acuerdo con el tercer y cuarto aspectos puede ser aplicable en turbinas eolicas, plantas de energfa eolica, subestaciones, sistemas de almacenamiento de energfa, estaciones de metrologfa y otras aplicaciones de planta de energfa eolica.
Es una ventaja de los metodos anteriormente mencionados que estan de acuerdo con la modularizacion de las instalaciones de energfa eolica modernas, tales como las turbinas eolicas modernas y las plantas de energfa eolica modernas. Mas aun, los metodos, si se ejecutan en un sistema de control distribuido tolerante a fallos, cumplen con los elevados requisitos de disponibilidad y fiabilidad que se plantean a las turbinas eolicas modernas y los sistemas de control de las plantas de energfa eolica.
Ademas, los metodos permiten que las arquitecturas de sistema de control distribuido sean escalables y flexibles de forma tal que permitan la adaptacion de la funcionalidad a varias plataformas de turbina eolica y aplicaciones de planta de energfa eolica.
Breve descripcion de los dibujos
La presente invencion se explicara ahora con detalles adicionales con referencia a las figuras adjuntas, en las que La Fig. 1 muestra una primera realizacion de un sistema de control distribuido generico,
La Fig. 2 muestra una red de comunicacion tolerante a fallo simple ejemplificada,
La Fig. 3 muestra una red de comunicacion tolerante a fallo doble ejemplificada,
La Fig. 4 muestra un escenario de fallo simple ejemplificado en un subsistema tolerante a fallo simple generico,
La Fig. 5 muestra un escenario de fallo doble ejemplificado en un subsistema tolerante a fallo doble generico,
La Fig. 6 muestra un subsistema redundante n+m generico ejemplificado,
La Fig. 7 muestra una vista generica de un dominio de ejecucion del controlador principal,
La Fig. 8 muestra una vista generica de un dominio de ejecucion del controlador de seguridad,
La Fig. 9 muestra una vista generica de un dominio de ejecucion sin maestro y
La Fig. 10 muestra una vista generica de un dominio del tiempo global de precision.
Aunque la invencion es susceptible de varias modificaciones y formas alternativas, se han mostrado realizaciones espedficas por medio de ejemplos en los dibujos y se describiran en detalle en el presente documento. Debena entenderse, sin embargo, que la invencion no se pretende que este limitada a las formas particulares divulgadas. Por el contrario, la invencion ha de cubrir todas las modificaciones, equivalentes y alternativas que caen dentro del esprntu y alcance de la invencion tal como se define por las reivindicaciones adjuntas.
Descripcion detallada de la invencion
En general, la presente invencion se dirige a proporcionar un sistema de control distribuido para instalaciones de energfa eolica, tales como turbinas eolicas y/u otros sistemas en una planta de energfa eolica. En realizaciones preferidas de la invencion, el sistema de control distribuido tiene propiedades tolerantes a fallos que dan soporte a alta fiabilidad y seguridad.
De acuerdo con la presente invencion, el control tolerante a fallos en el sistema de control distribuido se lleva a cabo
5
10
15
20
25
30
35
40
45
50
55
60
65
mediante funciones redundantes que permiten la operacion continuada en caso de que una o mas funciones en un conjunto redundante de funciones falle(n). Las funciones redundantes se establecen mediante dos o mas particiones ffsicas. Las particiones ffsicas pueden ser unidades completamente separadas o pueden ser unidades ffsicas unicas con particion interna o una combinacion de los mismos.
En una realizacion de la invencion, las particiones ffsicas forman dominios de fallos separados en donde un unico fallo en un dominio no puede comprometer la funcion de la otra particion redundante o cualquier otra parte del sistema de control. Tambien, cada funcion redundante puede tener fuentes de alimentacion locales que dan soporte a la funcion de control y sensores y actuadores conectados. Esto asegura que una avena en un dominio de la fuente de alimentacion no puede influir en la funcion de otros dominios en el sistema de control.
Controladores primarios dispuestos de modo redundante proporcionan un metodo y un sistema que da soporte a la votacion entre valores de datos. Unos DCN dispuestos de modo redundante controlando objetos de una instalacion de energfa eolica proporcionan un metodo y un sistema que da soporte a la votacion descentralizada entre valores de datos. La votacion puede ser en terminos de circuitos de votacion dedicados o en terminos de control simultaneo del objeto controlado por las funciones redundantes.
En una realizacion de la invencion, los DCN que contienen las funciones redundantes integran funciones de votacion en terminos de circuitos de votacion electronicos, electricos o hidraulicos. Los nodos pueden integrar tambien circuitos de supervision y funciones de diagnostico para los circuitos de votacion que soportan la fiabilidad y seguridad deseadas de las funciones. La integracion de las funciones de votacion puede ser una propiedad deseada en relacion con la seguridad, tolerancia a fallos, fabricacion y ensayos.
En una realizacion de la invencion, los controladores primarios son replicas deterministas, lo que significa que producen la misma salida esencialmente al mismo tiempo. Esta propiedad permite un control continuado en caso de una avena simple en un controlador primario. La propiedad es especialmente deseable en funciones relacionadas con la seguridad de modo continuo en donde la perdida temporal del control se considera cntica o en funciones en donde se requiere una muy alta disponibilidad. Mas aun, las funciones redundantes que controlan objetos de la instalacion de energfa eolica pueden ser replicas deterministas, lo que significa que las funciones producen la misma salida esencialmente al mismo tiempo. Esta propiedad impide la votacion erronea provocada por diferentes trayectorias de calculo en las funciones. Las funciones redundantes pueden tener propiedades de fallo seguro, tambien denominadas a veces propiedades de fallo silencioso, lo que significa que las funciones fallaran a un estado pasivo en caso de avena interna. Esta propiedad impide que un controlador en fallo comprometa el funcionamiento de controladores no defectuosos. La propiedad de fallo seguro se impone por el diseno y tiene una alta probabilidad de funcion correcta. En las funciones relacionadas con la seguridad, la propiedad de fallo seguro tiene un nivel de integridad de seguridad (SIL) que cumple con los requisitos de seguridad globales para la funcion de control.
De acuerdo con la presente invencion, un control tolerante a fallos en el sistema de control distribuido se lleva a cabo proporcionando un metodo y sistema que dan soporte a votacion descentralizada entre puntos de consigna de control o valores de datos —es decir, en donde la seleccion de un punto de consigna o valor de datos se realiza en el nodo de consumo—. Un punto de consigna de control puede reflejar datos de control logico de un Controlador Principal, Controlador de Turbina, Controlador de Seguridad, Controlador de la Planta de Generacion o cualquier otro controlador. Un valor de datos puede reflejar datos medidos de una funcion de adquisicion de datos o desde cualquier otra fuente de datos en el sistema.
Debe senalarse que los controladores y nodos pueden residir en una planta de energfa eolica completa y por ello la presente invencion no esta limitada a comprender controladores y nodos dentro de una unica turbina eolica.
Con referencia ahora a la Fig. 1, los sistemas de sensores 108, 109, 113, 114, 138, 139, 143 y 144 para la medicion de, por ejemplo, potencia, frecuencia, tension, corriente, presion o temperatura se conectan a los DCN replicados 110, 111, 117, 118, 136, 137, 141 y 142 respectivos, o bien directamente u, opcionalmente, a traves de por ejemplo buses de campo, trayectorias de comunicacion entre pares o cualquier otro tipo de interfaz. Los sistemas de sensores se posicionan en conjuntos de subsistemas (SSA) 112, 115, 140 y 145 junto con los DCN asociados. Otros SSA 107, 127, 131 y 135 comprenden DCN 104, 105, 124, 125, 128, 129, 132 y 133 para el control de objetos 106, 126, 130, 134 respectivos de la instalacion de energfa eolica.
Los DCN replicados adquieren datos de los sistemas de sensores y publican los datos adquiridos en la RTCN 103, poniendo asf los datos a disposicion de otros DCN en el sistema a traves de conmutadores de RTCN 101, 102 replicados.
Los sensores que se replican con la finalidad de tolerancia a fallos o seguridad se conectan mas preferentemente a diferentes DCN para conseguir el nivel mas alto de tolerancia a fallos y fiabilidad.
Cualquier DCN puede tener la capacidad de votar entre valores de punto de consigna o valores de datos proporcionados por los controladores primarios u otros conmutadores de la RTCN en el sistema. Los puntos de consigna y valores de datos pueden representar logica de control, datos de sensores u otras fuentes de datos.
5
10
15
20
25
30
35
40
45
50
55
60
65
Un posible escenario podna ser que un votador vote de acuerdo con el principio “2 de 3” (2oo3) —es dedr, si uno de los valores de punto de consigna o valores de datos se desvfa significativamente de los otros 2, el valor de punto de consigna o valor de datos desviado es ignorado—. Debena senalarse, sin embargo, que el proceso de votacion no esta limitado al esquema de votacion 2oo3, es decir son aplicables asimismo otros esquemas de votacion.
Con referencia todavfa a la Fig. 1 se representa una disposicion de una RTCN 103 generica tolerante a fallo simple de acuerdo con una realizacion de la presente invencion. La propiedad de tolerancia a fallo simple de la RTCN 103 se ilustra por las trayectorias de comunicacion continua y discontinua entre los conmutadores de la RTCN 101, 102 replicados y los diversos DCN de la RTCN 103.
Como se ve en la Fig. 1, los Controladores Principales 118, 119 del SSA 120, los Controladores de Seguridad 121, 122 del SSA 123 y los DCN de otros SSA se interconectan conectados a traves de la RTCN 103 que utiliza conmutadores de la RTCN 101, 102. Los conmutadores de la RTCN 101, 102 replicados se conectan en una topologfa de estrella-rama-estrella. Sin embargo, son tambien aplicables otras tecnologfas de red.
La RTCN 103 sirve como la infraestructura de comunicacion que conecta todos los DCN en el sistema. La RTCN 103 puede tener una conexion a la red de comunicacion de la planta de generacion a traves de otros conmutadores de la RTCN 146. La RTCN 103 puede ser no tolerante a fallos, tolerante a fallo simple o tolerante a fallo doble dependiendo de los requisitos de fiabilidad.
La RTCN 103 podna basarse en una red de comunicacion industrial tal como Ethernet/IP, Ethernet POWERLINK, PROFInet-IRT u otras redes de comunicacion con propiedades similares.
En una realizacion preferida, la RTCN es una red de comunicacion altamente determinista con propiedades de activacion por tiempo. Dicha red podna ser TTEthernet u otras redes de comunicacion que tengan propiedades similares. Este tipo de RTCN pone los datos a disposicion esencialmente al mismo tiempo en los canales de la RTCN redundantes y por ello proporciona un soporte fuerte para tolerancia a fallos a nivel del sistema.
La TTEthernet combina las ventajas del paradigma de comunicacion activado por tiempo con la flexibilidad de la ampliamente distribuida Ethernet. Soporta el trafico Ethernet estandar, lo que asegura no interferencias con trafico de datos cntico. En dichos paradigmas de comunicacion, la comunicacion de datos en tiempo real en la RTCN se planifica en la fase de diseno y los nodos asociados tienen un conocimiento a priori de cuando estan disponibles los datos. La TTEthernet tambien proporciona un tiempo global de precision tolerante a fallos a todos los nodos del sistema. Estas propiedades permiten que dos o mas nodos replicados por suscripcion a los mismos datos puedan garantizarse que funcionan sobre los mismos datos al mismo tiempo y, debido al tiempo global de precision, se disenan para ejecutar las mismas funciones esencialmente al mismo tiempo, y por ello son replicas deterministas.
Preferentemente, la RTCN tiene propiedades espedficas que dan soporte a funciones relacionadas con la seguridad en “modo continuo” tal como se define en la norma IEC61508. Las funciones de seguridad en modo continuo dependenan de datos relativos a la seguridad comunicados entre nodos en la RTCN para realizar la funcion de seguridad. TTEthernet soporta inherentemente funciones de seguridad en modo continuo por su tolerancia a fallos y sus propiedades relacionadas con la seguridad. El sistema de comunicacion TTEthernet es certificable respecto a seguridad. Mediante la utilizacion de este tipo de red de comunicacion, la capacidad de la arquitectura tolerante a fallos de la presente invencion puede extenderse para comprender todas las clases de funciones de seguridad: funciones de seguridad en modo de baja demanda, modo de alta demanda y modo continuo de acuerdo con las definiciones en la norma IEC61508.
La arquitectura de comunicacion descansa preferentemente sobre la confiable red de comunicacion TTEthernet mencionada anteriormente. En dicha realizacion, el trafico de datos de diferente criticidad puede coexistir en la RTCN. La arquitectura de comunicacion da soporte a la coexistencia de diferentes dominios de ejecucion en la misma RTCN sin interferencia mutua. Dichos dominios de ejecucion podnan ser:
- dominio de ejecucion maestro centralizado no relacionado con la seguridad, consultese la Fig. 7,
- dominio de ejecucion maestro centralizado relacionado con la seguridad, consultese la Fig. 8,
- dominio de ejecucion sin maestro, consultese la Fig. 9,
Las Figs. 7, 8 y 9 se explicaran con detalle adicional a continuacion.
En un sistema de control distribuido, la tolerancia a fallos puede obtenerse por replica de canales de comunicacion, incluyendo los conmutadores de la RTCN, y de los DCN.
Las Figs. 2 y 3 muestran redes de comunicacion tolerantes a fallo simple ejemplificadas y redes de comunicacion tolerantes a fallo doble ejemplificadas, respectivamente.
5
10
15
20
25
30
35
40
45
50
55
60
65
Con referencia ahora a la Fig. 2, los conmutadores de la RTCN 201,202 replicados estan en comunicacion con los DCN 205-210. De modo similar, los conmutadores de la RTCN 203, 204 replicados estan en comunicacion con los DCN 211-214. Como puede verse en la Fig. 2, cada DCN se conecta a dos conmutadores de la RTCN. Se proporciona una unica trayectoria de comunicacion RT 200 tolerante a fallos entre los conmutadores de la RTCN 201, 202 y 203, 204. Mas aun, esta disponible una trayectoria de comunicacion RT 215 para la conexion a otros conmutadores de la RTCN.
En referencia ahora a la Fig. 3, los conmutadores de la RTCN 301-303 replicados estan en comunicacion con los DCN 304-309 formando de ese modo una RTCN 300 tolerante a fallo doble. Como puede verse, cada DCN se conecta a tres conmutadores de la RTCN formando de ese modo la configuracion tolerante a fallo doble. Esta tambien disponible una conexion 310 a otros conmutadores de la RTCN.
Las RTCN mostradas en las Figs. 2 y 3 son tolerantes a fallo simple y doble, respectivamente. Debena senalarse, sin embargo, que son asimismo aplicables RTCN redundantes triples o incluso multiples.
Los controladores distribuidos pueden replicarse en dos, tres o mas dependiendo del requisito de fiabilidad de cada subsistema y de la arquitectura tolerante a fallos elegida para el subsistema. En caso de que los controladores distribuidos sean inherentemente tolerantes a fallo no se requiere la replica ffsica.
Los DCN presentan preferentemente un comportamiento “de fallo silencioso” para permitir al o a los nodos replicados mantener el control sobre el objeto controlado. En caso de que falle un DCN que presente un comportamiento de fallo silencioso, no perturbara el funcionamiento de la turbina eolica ni provocara posiblemente una avena cntica del sistema. En consecuencia, un DCN de fallo silencioso tendra un riesgo muy bajo de provocar una avena cntica del sistema.
La propiedad de fallo silencioso debera permanecer estable hasta que el servicio en la unidad defectuosa, tal como un DCN, haya restaurado el sistema. Esto significa que el comportamiento de fallo silencioso debe mantenerse con una muy alta probabilidad en caso de una segunda avena en el nodo ya defectuoso. En caso contrario, el nodo defectuoso puede perturbar el funcionamiento de la turbina eolica y provocar posiblemente una avena cntica del sistema.
Tolerancia a fallo simple
La Fig. 4 muestra una vista de la implementacion generica de un subsistema tolerante a fallo simple. La propiedad de tolerancia a fallo simple se ilustra por las trayectorias de comunicacion continua y discontinua entre los conmutadores de la RTCN 403, 411 replicados y los DCN 404, 405, 412, 413.
Los DCN 404, 405, 412, 413 pueden implementarse como nodos replicados activos o como nodos de reserva pasivos o en fno. Preferentemente, los DCN funcionan como nodos replicados activos. Los DCN tienen comportamiento de fallo seguro en caso de una avena interna. Los valores de los sensores estan disponibles para los DCN como datos en la RTCN y opcionalmente tambien como datos de sensores locales. Los datos pueden utilizarse por los controladores en esquemas de redundancia 1oo2 (1 de 2), 2oo2 (2 de 2) o 2oo3 (2 de 3) dependiendo de la criticidad de la funcion. Sin embargo, son aplicables asimismo otros esquemas de redundancia.
El dibujo superior en la Fig. 4 muestra un subsistema que funciona en condiciones de trabajo normales. Los sensores 406, 408 proporcionan senales del sensor a los DCN 404, 405 para controlar el objeto 407. Mas aun, el sensor 401 proporciona senales del sensor al DCN 402 que esta en comunicacion con los DCN 404, 405 a traves del conmutador de la RTCN 403 replicado.
En caso de avena en un DCN 412, se asegura la operacion continuada por el DCN 413 replicado, en comparacion con el dibujo inferior en la Fig. 4. De ese modo, el control del objeto 415 se mantiene con entradas desde los sensores 409, 416 y el control apropiado de los DCN 410, 413 y el conmutador de la RTCN 411 replicado.
Si ambos DCN 404, 405 o 412, 413 funcionan sobre los mismos datos al mismo tiempo, puede soportarse el determinismo de la replica.
Tolerancia a fallo doble
La Fig. 5 muestra una vista de implementacion generica con un subsistema tolerante a fallo doble. La propiedad de tolerancia a fallo doble se ilustra por las trayectorias de comunicacion continua y las dos discontinuas entre los DCN y los conmutadores de la RTCN replicados.
Los DCN pueden implementarse como nodos replicados activos o como nodos de reserva pasivos o en fno. Mas preferentemente, los DCN funcionan como nodos replicados activos. Los DCN tienen comportamiento de fallo seguro en caso de una avena interna. Los valores de los sensores estan disponibles para los DCN como datos sobre la RTCN y opcionalmente tambien como datos de sensor local. Los datos de sensores pueden utilizarse por
5
10
15
20
25
30
35
40
45
50
55
60
65
los controladores en esquemas de redundancia 1oo2 (1 de 2), 2oo2 (2 de 2) o 2oo3 (2 de 3) dependiendo de la criticidad de la funcion. Como se ha mencionado anteriormente, son aplicables asimismo otros esquemas de redundancia.
El dibujo superior en la Fig. 5 muestra un subsistema que funciona en condiciones de trabajo normales. Los sensores 507, 509 proporcionan senales del sensor a los DCN 504, 505, 506 para controlar el objeto 508. Mas aun, el sensor 501 proporciona senales del sensor al DCN 502 que esta en comunicacion con los DCN 504, 505, 506 a traves del conmutador de la RTCN 503 replicado.
En caso de avena en un DCN 513, se asegura la operacion continuada por los DCN 514, 515 restantes, comparese con el dibujo medio en la Fig. 5. De ese modo, el control del objeto 517 se mantiene con entradas desde los sensores 510, 518 y el control apropiado de los DCN 511, 514, 515 y el conmutador de la RTCN 512 replicado.
En caso de avena en dos DCN 522, 523, aun se asegura la operacion continuada por el DCN 524 restante, comparese con el dibujo inferior en la Fig. 5. Por ello, el control del objeto 526 se mantiene con entradas desde los sensores 519, 527 y el control apropiado de los DCN 520, 524 y conmutador de la RTCN 521 replicado.
Si los DCN de la Fig. 5 funcionan sobre los mismos datos al mismo tiempo, puede soportarse el determinismo de la replica.
La arquitectura de control mostrada en la Fig. 5 satisface el requisito de tolerancia a fallo para la fiabilidad del sistema muy alta en, por ejemplo, sistemas de mision cntica, posiblemente con largo tiempo medio para la reparacion despues de la primera avena. Dichos sistemas podnan ser sistemas de seguridad de “modo continuo” o sistemas de alta disponibilidad.
Tolerancia a fallos que utiliza redundancia n+m
Los sistemas de control pueden beneficiarse de una arquitectura de tolerancia a fallos que utilice una redundancia n+m, consultese la Fig. 6, en donde m DCN son reserva para n DCN. La Fig. 6 muestra una RTCN 600 tolerante a fallo doble (indicada por las lmeas continua y discontinua) en donde un conmutador de la RTCN 601 replicado esta en comunicacion con seis DCN de fallo silencioso 602-607. Los seis DCN de fallo silencioso 602-607 se configuran para controlar un objeto dado 620 de una turbina eolica en respuesta a entradas de sensores desde los sensores 608-619.
Los DCN 602-607 de replica determinista n+m ejecutan conjuntamente el control sobre el objeto controlado 620. De nuevo, en caso de que un DCN 602-607 con comportamiento de fallo seguro falle no perturbara el funcionamiento del objeto controlado y en consecuencia tendra muy poca probabilidad de provocar una avena cntica del sistema. Posibles areas de aplicacion para este tipo de redundancia podnan ser el sistema de orientacion de la turbina eolica y los sistemas de convertidor de potencia modulares.
Como se ha mencionado previamente, el Dominio de Ejecucion no Relacionado con la Seguridad Maestro Centralizado comprende funciones relacionadas con el control normal de la turbina eolica. La ejecucion en este dominio se caracteriza por un paradigma maestro-esclavo replicado que utiliza uno o mas controladores principales 701 y DCN 705, 707, 710, 714 y 716 replicados interconectados por la RTCN 700 replicada, consultese los elementos de lmea continua de la Fig. 4. Los elementos en lmea discontinua son inactivos en este dominio. Cuando se utiliza una RTCN 700 determinista, este dominio soporta la tolerancia a fallos mediante DCN deterministas replicados redundantes 705, 707, 710, 714 y 716. La replica de la RTCN 700 y los DCN 705, 707, 710, 714 y 716 se ilustran como estructuras apiladas (de RTCN y DCN) en la Fig. 7.
El Dominio de Ejecucion de Control de Seguridad Maestro Centralizado comprende funciones relacionadas con la seguridad, relativas a la proteccion de personas o activos. La ejecucion en este dominio se caracteriza por un paradigma de maestro centralizado que utiliza controladores de seguridad maestro replicados 802 (lmea continua) y DCN relacionados con la seguridad replicados 806, 808, 811, 813 y 815 asociados (lmea continua), consultese la Fig. 8. Los controladores replicados 802 y los DCN 806, 808, 811, 813 y 815 replicados se interconectan mediante la RTCN 800 replicada (lmea continua). Los elementos en lmea discontinua son inactivos en este dominio. Cuando se utiliza una RTCN determinista, este dominio soporta la tolerancia a fallos mediante DCN deterministas replicados redundantes.
El Dominio de Ejecucion de Control Distribuido permite un enfoque sin maestro para el control. El enfoque soporta la tolerancia a fallos mediante replica determinista redundante de los DcN 903, 904, 907, 909, 910, 916 interconectados a traves de la RTCN 900 replicada, consultense los elementos en lmea continua de la Fig. 9. Los elementos en lmea discontinua son inactivos. Este dominio se aplica a controlador o controladores no maestros y el area primaria de aplicacion de este dominio es el control relacionado con la seguridad en modo continuo. Sin embargo, el paradigma tambien puede usarse en otros controles relacionados con la seguridad y no relacionados con la seguridad.
5
10
15
20
25
30
35
40
45
50
55
60
65
En la Fig. 9, un grupo de DCN 903, 904, 907, 909, 910, 916 relacionados con la seguridad funcionan como publicadores y suscriptores de datos. Los DCN 903, 904, 907, 909, 910, 916 adquieren datos desde por ejemplo sistemas de sensores y publican los datos resultantes sobre la RTCN 900 replicada. Los otros DCN se suscriben a los datos publicados que necesitan para realizar su funcion. Un DCN dado puede ser tanto un publicador como un suscriptor. Como el intercambio de datos es directo entre los DCN, no se requiere un controlador principal.
En sistemas de control distribuido, la tolerancia a fallos y propiedades en tiempo real pueden soportarse por el establecimiento de un tiempo global preciso en donde los nodos tienen una nocion comun del tiempo que se desvfa muy poco —tfpicamente en el intervalo de un microsegundo o menos, sin embargo no limitado a esta precision—. El tiempo global da soporte a:
• Sincronizacion de la adquisicion de datos a traves de los controladores y nodos distribuidos
• Sincronizacion de los procesos a traves de los controladores y nodos distribuidos
• Sincronizacion de la comunicacion de datos (comunicacion de activacion por tiempo)
• Determinismo de la replica en controladores tolerantes a fallos y nodos distribuidos
El tiempo global puede establecerse mediante la implementacion de un protocolo de tiempo de precision compatible con IEEE-1588. Como alternativa, el tiempo global puede establecerse utilizando el soporte inherente para un tiempo global de precision que es parte de muchas redes de comunicacion industriales. En sistemas en donde el tiempo global de precision es cntico para la disponibilidad y/o seguridad del sistema, debe establecerse un nivel suficiente de tolerancia a fallos y fiabilidad en la distribucion del tiempo global de precision.
Una version de dominio de tiempo global de la RTCN generica mostrada en la Fig. 1 se ilustra en la Fig. 10, en la que sensores de sistemas 1008, 1009, 1013, 1014, 1038, 1039, 1043 y 1044 para la medicion de por ejemplo, potencia, frecuencia, tension, corriente, presion o temperatura se conectan a unos DCN replicados 1010, 1011, 1017, 1018, 1036, 1037, 1041 y 1042 respectivos, o bien directamente u opcionalmente a traves de por ejemplo buses de campo, trayectorias de comunicacion entre pares o cualquier otro tipo de interfaz. Los sistemas de sensores se posicionan en conjuntos de subsistemas (SSA) 1012, 1015, 1040 y 1045 junto con los DCN asociados. Otros SSA 1007, 1027, 1031 y 1035 comprenden unos DCN 1004, 1005, 1024, 1025, 1028, 1029, 1032 y 1033 para el control de objetos 1006, 1026, 1030, 1034 respectivos de la instalacion de energfa eolica. Los DCN replicados adquieren datos de los sistemas de sensores y publican los datos adquiridos sobre la RTCN 1003, poniendo los datos a disposicion de otros DCN en el sistema traves de conmutadores de la RTCN 1001, 1002 replicados. El tiempo global es indicado por 1047.
La Fig. 10 representa una RTCN generica 1003 tolerante a fallo simple de acuerdo con una realizacion de la presente invencion. La propiedad de tolerancia al fallo simple de la RTCN 1003 se ilustra por las trayectorias de comunicacion continuas y discontinuas entre los conmutadores de la RTCN 1001, 1002 replicados y los diversos DCN de la RTCN 1003.
Los controladores principales 1018, 1019 del SSA 1020, controladores de seguridad 1021, 1022 del SSA 1023 y los DCN de otros SSA se interconectan conectados a traves de la RTCN 1003 que utiliza conmutadores de la RTCN 1001, 1002 replicados. Los conmutadores de la RTCN 1001, 1002 replicados se conectan en una topologfa de estrella-rama-estrella. Sin embargo, son tambien aplicables otras tecnologfas de red. La RTCN 1003 sirve como la infraestructura de comunicacion que conecta todos los DCN en el sistema de control. La RTCN 1003 puede tener una conexion a la red de comunicacion de la planta de generacion a traves de otros conmutadores de la RTCN 1046 replicados. La RTCN 1003 puede ser no tolerante a fallos, tolerante a fallo simple o tolerante a fallo doble dependiendo de los requisitos de fiabilidad.
En implementaciones tolerantes a fallos, los controladores primarios/principales y los DCN tienen generalmente la capacidad recibir datos desde dos o mas canales RTCN redundantes y realizar la seleccion de un paquete de datos valido de entre los paquetes de datos redundantes disponibles. Los controladores y los DCN tambien tienen la capacidad de publicar los mismos datos al mismo tiempo sobre dos o mas canales RTCN redundantes y por ello poner estos datos a disposicion de otros DCN en el sistema para la seleccion de datos validos. Esta propiedad da soporte a la fiabilidad y seguridad del sistema.
Mas aun, en implementaciones tolerantes a fallos, los controladores primarios/principales y los DCN en el sistema pueden soportar tolerancia a fallos bien mediante “reserva en fno”, “reserva en caliente” o “replica activa”.
En un sistema tolerante a fallo simple, dos controladores forman un par redundante en una funcion de control. En reserva en fno, un controlador es activo y el otro esta desconectado. En caso de avena en el primer controlador, el segundo controlador se hace cargo de la funcion del controlador en fallo despues de su arranque e inicializacion. En reserva en caliente, un controlador esta activo y el segundo controlador es observador pasivo. En caso de avena en el primer controlador, el segundo controlador se hace cargo de la funcion. En replica activa, ambos controladores
estan activos, funcionan en sincronismo sobre los mismos datos, y producen as^ la misma salida al mismo tiempo. En caso de que falle el controlador, el segundo controlador preserva un control sin saltos de la turbina. Los tres principios pueden utilizarse en la presente invencion.
5 En un sistema tolerante a fallo multiple, se utilizan mas controladores redundantes. Los principios de redundancia son los mismos que para los sistemas tolerantes a fallo simple.
Diferentes niveles de tolerancia al fallo pueden aplicarse a la red de comunicacion y nodos dependiendo de los requisitos de fiabilidad y seguridad. La presente invencion no esta limitada a los ejemplos mostrados.
10

Claims (15)

  1. 5
    10
    15
    20
    25
    30
    35
    40
    45
    50
    55
    60
    65
    REIVINDICACIONES
    1. Una instalacion de ene^a eolica modularizada que comprende subconjuntos, que tiene un sistema de control distribuido tolerante a fallos, comprendiendo el sistema de control:
    - medios de control tolerantes a fallos adaptados para generar puntos de consigna de control y/o valores de datos, estando dichos medios de control tolerantes a fallos distribuidos en subconjuntos de acuerdo con la modularizacion de la instalacion de energfa eolica y
    caracterizada por
    - una red de comunicacion tolerante a fallos para la transmision de puntos de consigna de control y/o valores de datos esencialmente al mismo tiempo a una pluralidad de nodos en el sistema de control distribuido a traves de dos o mas conmutadores de la red de comunicacion en tiempo real replicados, siendo capaz dicha pluralidad de nodos distribuidos de seleccionar un paquete de transmision valido de entre dos o mas paquetes de transmision proporcionados en la red de comunicacion tolerante a fallos, en el que la red de comunicacion comprende una red de comunicacion en tiempo real que comprende una Ethernet de activacion por tiempo.
  2. 2. Una instalacion de energfa eolica modularizada de acuerdo con la reivindicacion 1, en la que la red de comunicacion Ethernet de activacion por tiempo se implementa como una red tolerante a fallo simple.
  3. 3. Una instalacion de energfa eolica modularizada de acuerdo con la reivindicacion 1, en la que la red de comunicacion Ethernet de activacion por tiempo se implementa como una red tolerante a fallo doble.
  4. 4. Una instalacion de energfa eolica modularizada de acuerdo con la reivindicacion 1, en la que la red de comunicacion Ethernet de activacion por tiempo esta certificada respecto a seguridad.
  5. 5. Una instalacion de energfa eolica modularizada de acuerdo con cualquiera de las reivindicaciones precedentes, en la que la red de comunicacion soporta las clases de seguridad funcional en el modo de baja demanda, modo de alta demanda y modo continuo de acuerdo con la norma IEC61508.
  6. 6. Una instalacion de energfa eolica modularizada de acuerdo con la reivindicacion 5, en la que las funciones de seguridad funcional cumplen con los requisitos para Nivel de Integridad de Seguridad 2.
  7. 7. Una instalacion de energfa eolica modularizada de acuerdo con la reivindicacion 5, en la que las funciones de seguridad funcional cumplen con los requisitos para Nivel de Integridad de Seguridad 3.
  8. 8. Una instalacion de energfa eolica modularizada de acuerdo con cualquiera de las reivindicaciones precedentes, que comprende adicionalmente sistemas de sensores tolerantes a fallos que comprenden una pluralidad de sensores.
  9. 9. Una instalacion de energfa eolica modularizada de acuerdo con la reivindicacion 8, en la que la pluralidad de sensores se dispone de una forma redundante.
  10. 10. Una instalacion de energfa eolica modularizada de acuerdo con la reivindicacion 8 o 9, en la que la pluralidad de sensores esta adaptada para medir al menos un parametro relevante para el control de al menos un subconjunto.
  11. 11. Una instalacion de energfa eolica modularizada de acuerdo con cualquiera de las reivindicaciones precedentes, que comprende adicionalmente medios de votacion adaptados para votar entre valores de datos de entre una pluralidad de fuentes, estando adaptados dichos medios de votacion para votar de acuerdo con el principio de votacion 1oo2, 2oo2, 2oo3 u otro principio de votacion adecuado.
  12. 12. Una instalacion de energfa eolica modularizada de acuerdo con cualquiera de las reivindicaciones precedentes, que comprende adicionalmente al menos dos controladores primarios redundantes dispuestos en una configuracion de replica determinista.
  13. 13. Una instalacion de energfa eolica modularizada de acuerdo con la reivindicacion 12, en la que los al menos dos controladores primarios redundantes comprenden un controlador primario activo y uno o mas controladores de reserva en caliente.
  14. 14. Un sistema de control distribuido tolerante a fallos de acuerdo con la reivindicacion 12, en el que los al menos dos controladores primarios redundantes comprenden un controlador primario activo y uno o mas controladores de reserva en frio.
  15. 15. Un metodo para el control de una instalacion de energfa eolica modularizada que comprende subconjuntos, comprendiendo el metodo las etapas de
    - generar puntos de consigna de control y/o valores de datos usando medios de control tolerantes a fallos, estando distribuidos dichos medios de control tolerantes a fallos en subconjuntos de acuerdo con la modularizacion de la instalacion de turbina eolica,
    5 caracterizado por
    - transmitir los puntos de consigna de control y/o valores de datos generados esencialmente al mismo tiempo a traves de dos o mas conmutadores de la red de comunicacion en tiempo real replicados a una pluralidad de nodos en el sistema de control distribuido a traves de una red de comunicacion en tiempo real tolerante a fallos
    10 que comprende una Ethernet de activacion por tiempo y
    - seleccionar, usando la pluralidad de nodos distribuidos, un paquete de transmision valido de entre dos o mas paquetes de transmision proporcionados en la red de comunicacion tolerante a fallos.
ES12713867.5T 2011-03-30 2012-03-29 Sistema de control y protección distribuido tolerante a fallos Active ES2613701T3 (es)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
DKPA201170152 2011-03-30
DK201170152P 2011-03-30
PCT/DK2012/050097 WO2012130246A1 (en) 2011-03-30 2012-03-29 Distributed fault-tolerant control and protection system

Publications (1)

Publication Number Publication Date
ES2613701T3 true ES2613701T3 (es) 2017-05-25

Family

ID=45952812

Family Applications (1)

Application Number Title Priority Date Filing Date
ES12713867.5T Active ES2613701T3 (es) 2011-03-30 2012-03-29 Sistema de control y protección distribuido tolerante a fallos

Country Status (5)

Country Link
US (1) US9983555B2 (es)
EP (1) EP2691819B1 (es)
CN (1) CN103582850A (es)
ES (1) ES2613701T3 (es)
WO (1) WO2012130246A1 (es)

Families Citing this family (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9184934B2 (en) * 2012-03-30 2015-11-10 General Electric Company Systems and methods for sharing control devices on an IO network
US8916988B2 (en) * 2012-10-23 2014-12-23 General Electric Company Systems and methods for use in operating power generation systems
US9569513B1 (en) * 2013-09-10 2017-02-14 Amazon Technologies, Inc. Conditional master election in distributed databases
US10539117B2 (en) 2013-11-28 2020-01-21 Vestas Wind Systems A/S Power plant controller for generating a power reference to wind turbine generators
CN105298747B (zh) * 2014-02-17 2017-09-08 南通大学 电气故障可容错运行的风力发电机组
US9685819B2 (en) 2014-04-25 2017-06-20 Kohler, Co. Redundant generator control
US20150356305A1 (en) * 2014-06-05 2015-12-10 Cleversafe, Inc. Secure data access in a dispersed storage network
US10582588B2 (en) 2015-04-15 2020-03-03 Aarti KHOSLA Control system
WO2017063016A1 (de) * 2015-10-16 2017-04-20 Fts Computertechnik Gmbh Verfahren und computersystem zur schnellen übertragung von zeitgesteuerten echtzeitnachrichten
US9848035B2 (en) * 2015-12-24 2017-12-19 Intel Corporation Measurements exchange network, such as for internet-of-things (IoT) devices
KR101758558B1 (ko) * 2016-03-29 2017-07-26 엘에스산전 주식회사 에너지 관리 서버 및 그를 갖는 에너지 관리 시스템
DE102016205119A1 (de) 2016-03-29 2017-10-05 Siemens Aktiengesellschaft System zur Steuerung von Stellwerken im Bahnverkehr
CN106286129B (zh) * 2016-10-12 2021-04-06 北京金风科创风电设备有限公司 风力发电机组及其控制方法
CN108204331B (zh) * 2016-12-19 2020-02-14 北京金风科创风电设备有限公司 风力发电机组的故障处理方法及装置
US10416630B2 (en) * 2017-03-07 2019-09-17 Uop Llc System and method for industrial process automation controller farm with flexible redundancy schema and dynamic resource management through machine learning
EP3432097A1 (de) * 2017-07-20 2019-01-23 Siemens Aktiengesellschaft Summenstreams für istzustände und steuersignale eines verteilten steuerungssystems
US10763674B2 (en) * 2017-09-29 2020-09-01 General Electric Company System and method for controlling cluster-based wind farms
WO2020236164A1 (en) 2019-05-22 2020-11-26 Vit Tall Llc Multi-clock synchronization in power grids
WO2024046538A1 (en) * 2022-09-02 2024-03-07 Vestas Wind Systems A/S Controlling activation of a drive train brake in a wind turbine

Family Cites Families (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5809220A (en) * 1995-07-20 1998-09-15 Raytheon Company Fault tolerant distributed control system
US6826590B1 (en) 1996-08-23 2004-11-30 Fieldbus Foundation Block-oriented control system on high speed ethernet
WO2002039323A2 (en) * 2000-10-26 2002-05-16 Prismedia Networks, Inc. Method and apparatus for real-time parallel delivery of segments of a large payload file
AT411948B (de) * 2002-06-13 2004-07-26 Fts Computertechnik Gmbh Kommunikationsverfahren und apparat zur übertragung von zeitgesteuerten und ereignisgesteuerten ethernet nachrichten
US7010633B2 (en) * 2003-04-10 2006-03-07 International Business Machines Corporation Apparatus, system and method for controlling access to facilities based on usage classes
US7200469B2 (en) * 2004-03-25 2007-04-03 General Motors Corporation Apparatus and method for processing sensor output signals
CN101084652A (zh) * 2004-12-20 2007-12-05 皇家飞利浦电子股份有限公司 用于监控两个以及多个节点之间的通信的总线监控器及其方法,包括该总线监控器的节点,包括该节点的分布式通信系统
JP2008527226A (ja) * 2004-12-30 2008-07-24 ヴェスタス,ウィンド,システムズ エー/エス 多重化冗長制御システムを有する風力タービン、及び風力タービンの制御方法
JP2009524952A (ja) * 2006-01-27 2009-07-02 エフテーエス コンピューターテヒニク ゲゼルシャフト ミット ベシュレンクテル ハフツング 時間制御型のセキュアな通信
US7913954B2 (en) * 2006-03-10 2011-03-29 Star Technology And Research, Inc. Electrodynamic structure
WO2008029318A2 (en) * 2006-09-06 2008-03-13 Nxp B.V. Cluster coupler in a time triggered network
US20100220744A1 (en) * 2006-09-06 2010-09-02 Nxp, B.V. Intelligent start coupler for time triggered communication protocol and method for communicating between nodes within a network using a time trigger protocol
DE102007048860A1 (de) * 2006-11-03 2008-05-08 Robert Bosch Gmbh Vorrichtung und Verfahren zur Manipulation von Kommunikations-Botschaften
US8706914B2 (en) * 2007-04-23 2014-04-22 David D. Duchesneau Computing infrastructure
DE102008028573A1 (de) 2008-06-16 2009-12-31 Nordex Energy Gmbh Verfahren zur Steuerung eines Windparks
DE102008028568A1 (de) 2008-06-16 2009-12-31 Nordex Energy Gmbh Verfahren zur Steuerung einer Windenergieanlage
US8503484B2 (en) * 2009-01-19 2013-08-06 Honeywell International Inc. System and method for a cross channel data link
US8121707B2 (en) * 2009-04-14 2012-02-21 General Electric Company Method for download of sequential function charts to a triple module redundant control system
CN101943910B (zh) * 2009-07-07 2012-06-27 华东理工大学 用于容错控制的自校验方法
CN101958683B (zh) * 2010-08-09 2012-05-23 重庆科凯前卫风电设备有限责任公司 一种双馈风电机组定子电压冗余信号的获取方法

Also Published As

Publication number Publication date
CN103582850A (zh) 2014-02-12
EP2691819A1 (en) 2014-02-05
US9983555B2 (en) 2018-05-29
US20140081473A1 (en) 2014-03-20
WO2012130246A1 (en) 2012-10-04
EP2691819B1 (en) 2016-12-14

Similar Documents

Publication Publication Date Title
ES2613701T3 (es) Sistema de control y protección distribuido tolerante a fallos
ES2568468T3 (es) Sistema de control de turbina eólica con votación descentralizada
US10078312B2 (en) Wind power plant with highly reliable real-time power control
JP6225244B2 (ja) 油田処理制御システム
ES2230314T3 (es) Sistema de control para accionamientos en un avion.
CN104411968B (zh) 用于风力涡轮机的控制系统
EP3416014A1 (en) Process data synchronization between redundant process controllers
ES2608723T3 (es) Método y dispositivo para el control espaciotemporal del consumo de energía eléctrica de una red de telecomunicaciones en función del estado del sistema de suministro eléctrico
EP3316261B1 (en) Control system for the safety of nuclear power plant
US6473479B1 (en) Dual optical communication network for class 1E reactor protection systems
WO2014031039A2 (ru) Микропроцессорная управляющая система с резервированием для управления системой для регулирования и защиты турбины
WO2016209113A1 (ru) Управляющая система безопасности атомной электростанции
KR20150050925A (ko) 풍력 터빈 주제어장치의 관리 시스템 및 관리 방법
US10991235B2 (en) Fire-prevention control unit
EP2413207B1 (en) Data encoding and decoding for an industrial process control system
RU217960U1 (ru) Сбоеустойчивый блок контроля параметров и управления состоянием литий-ионной аккумуляторной батареи
Alexandre et al. Fault tolerant control for manufacturing discrete systems by filter and diagnoser interactions
KR20130068285A (ko) Fpga 기반 제어기의 버스 구조
Ahmed et al. Communication Network Architectures for Southwest Offshore Wind Farm
CN210405118U (zh) 模块化多电平电力转换器和其模块、高压直流传输设备和无功功率补偿设备
EP2413209B1 (en) Security key
RU2510961C2 (ru) Автоматизированная система управления боевого корабля с повышенной живучестью
Lee et al. Simultaneous Reliable H8 Stabilization Using a Multi-Controller Configuration
Liu et al. Markov Modeling of Double 2-out-of-2 System with Imperfect Detection and Common Cause Failures
Campoy et al. A Low Cost Robust Architecture with High Connectivity for the Control of Refrigeration Chambers.