WO2015161866A1 - Überwachen einer ausfalltoleranz einer automatisierungsanlage - Google Patents

Überwachen einer ausfalltoleranz einer automatisierungsanlage Download PDF

Info

Publication number
WO2015161866A1
WO2015161866A1 PCT/EP2014/058115 EP2014058115W WO2015161866A1 WO 2015161866 A1 WO2015161866 A1 WO 2015161866A1 EP 2014058115 W EP2014058115 W EP 2014058115W WO 2015161866 A1 WO2015161866 A1 WO 2015161866A1
Authority
WO
WIPO (PCT)
Prior art keywords
controlled system
operating point
control
automation system
operating
Prior art date
Application number
PCT/EP2014/058115
Other languages
English (en)
French (fr)
Inventor
Thomas Grosch
Jan Richter
Original Assignee
Siemens Aktiengesellschaft
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens Aktiengesellschaft filed Critical Siemens Aktiengesellschaft
Priority to PCT/EP2014/058115 priority Critical patent/WO2015161866A1/de
Priority to US15/305,937 priority patent/US20170082998A1/en
Priority to CN201480080066.4A priority patent/CN106462113A/zh
Priority to EP14720935.7A priority patent/EP3117273A1/de
Publication of WO2015161866A1 publication Critical patent/WO2015161866A1/de

Links

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/05Programmable logic controllers, e.g. simulating logic interconnections of signals according to ladder diagrams or function charts
    • G05B19/058Safety, monitoring
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • G05B9/03Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/10Plc systems
    • G05B2219/14Plc safety
    • G05B2219/14036Detection of fault in processor

Definitions

  • the invention relates to a method for monitoring a failure torque of an automation system.
  • a process for example, the production of electrical energy from nuclear power, operated or carried out by means of a controlled system.
  • the automation system should be fail-safe and has for this purpose at least two control devices which alternately control the controlled system. In case of failure of the currently controlling control device is switched to another control device. In doing so, it must be ensured that the process can continue to be operated safely during the switchover.
  • the described highly available solution of a system control by means of at least two control devices reduces any downtime of the automation system occurring to a minimum.
  • the development of such highly available solutions is currently very expensive.
  • the primary performance of such an automation system is the automatic failover, that is, switching in the event of failure of any of the controllers, for example, CPU failure (CPU - Central Processing Unit).
  • CPU failure CPU - Central Processing Unit
  • the control of the process can then be continued on a backup CPU.
  • This failover is never completely free of feedback for the process.
  • a shock-free failover is usually required, that is to say at the output of the control devices, that is to say the inputs of the controlled system of the process, no jump must be detectable which is not caused by a change in the controlled system but solely due to the failure of the control device.
  • the outputs must therefore behave continuously so that the control signal for the controlled system, that is, the sequence of control outputs, may not fluctuate above a predetermined level due to a failure.
  • a limited period of time is tolerated, in which the control outputs transmitted to the controlled system hold their last value before the control of the controlled system is then continued by the backup CPU.
  • Influencing factors for the expected dead time during which the constant control output is output are the failover behavior of the control devices and the failover behavior of the controlled system. Depending on the peripheral components used, which are controlled by the control devices and monitor and control the process, one of the two influencing factors usually dominates.
  • the invention has for its object to check in an automation system whose failover received to the effect whether the automation system has a sufficient failure tolerance against a failure of one of their control devices.
  • the inventive method is based on the automation system described above, in which a process is carried out by means of a controlled system, that is, for example, electrical energy is obtained from nuclear power, bottles are bottled, petroleum is refined or a building is heated.
  • a controlled system that is, for example, electrical energy is obtained from nuclear power, bottles are bottled, petroleum is refined or a building is heated.
  • at least two control devices are provided, which alternately selnd control the controlled system m a control mode, which includes the issuance of tax expenses.
  • alternating is meant here that is switched in case of failure of the currently controlling control device to another of the control devices.
  • the controlled system continues to operate without a regulator, wherein the switching requires a period of time, which is referred to here as dead time.
  • the control devices can each be, for example, a programmable logic controller (PLC).
  • the method now monitors whether it is failure-tolerant. In other words, it is checked whether the failure of a control device and switching to another control device is possible without this within the dead time of the process reaches a predetermined, undesirable critical state, so the controlled system occupies an undesirable operating state.
  • At least one operating point of the controlled system which is possible during normal operation is determined for this purpose.
  • An operating point here describes a possible operating state of the controlled system and can be represented or described as a vector of operating variables, for example.
  • Such an operating variable may for example be a temperature, a rotational speed or a conveying speed.
  • These operating variables each describe a state of at least one peripheral component, that is, for example, a sensor or an actuator, the automation system.
  • the operating point i. the operating status of the entire controlled system, from the totality of the operating variables.
  • the state law ectorie is composed of a time sequence of operating points, which result from the switching time in controller-less operation according to the simulation.
  • the respective state trajectory is checked as to whether it violates a predetermined safety criterion.
  • a predetermined protective measure to avoid this operating state is initiated, from which the switching has led to the critical state law ectorie.
  • controlled system in the context of the invention comprises both the at least one peripheral component which is provided for controlling the process in the automation system, ie the sensors and actuators of the automation system, the communication network, via which the control devices coupled to the at least one peripheral component, and the Process itself, so monitored by the peripheral components and / or controlled plant components, such as conveyor belts, scaffolding or pipes.
  • the invention has the advantage that now a method is provided which supports the estimation of the effects of a switching process on the process and thus reduces the risk of misjudgment of an operation of the automation system.
  • the user of the automation system can hereby be supported in the selection of the automation solution that suits him / her.
  • the invention also provides an engineering system for designing and / or configuring an automation system.
  • the engineering system can be used to check an automation system with at least two control devices for controlling a controlled system.
  • the engineering system has an analytical device. tion, such as a processor device, such as a computer.
  • the analysis device is designed to determine the resulting controlled system based on a current topology model of the automation system and a process model.
  • the topology model here describes the existing peripheral components, which are collectively referred to as quantity structure, and their connection via, for example, a communication network and its mechanical connection and the monitored and / or controlled system components, such as assembly lines or boilers.
  • a process model describes the process to be performed by the automation plant, ie the physical processes that take place during the execution of the process. Methods for providing process models for a given process are numerous in the art.
  • the analysis device is furthermore designed to determine a dead time caused by switching between the control devices, that is to say the switching time, and to check or monitor on the basis of an embodiment of the method according to the invention whether the automation system is failure-tolerant.
  • the engineering system according to the invention has the advantage that even when designing an automation system, a deficiency in the failure tolerance can be detected and remedied by the protective measures described.
  • the invention also includes an automation system with a controlled system for carrying out a process and with at least two control devices for fail-safe, alternating control of the controlled system.
  • fail-safe here the switching operation described in case of failure of one of the control devices is meant.
  • the automation system according to the invention is designed to monitor its failure tolerance during operation by performing an embodiment of the method according to the invention.
  • the automation system according to the invention There is the advantage that it also recognizes during operation that a critical operating point may be present, which must be circumvented by taking a protective measure.
  • temporally subsequent operating points are calculated for simulating the control-less operation starting from the respective possible operating point by means of a model of the controlled system.
  • the calculated operating points are then combined to form the conditional trajectory.
  • This embodiment uses a model of the controlled system to determine the effects of a switching process.
  • the control system as provided by each control device, often includes a model of the controlled system. This is necessary, for example, because often state variables of the controlled system can not be measured directly or only with an undesirably large outlay and are therefore estimated.
  • a so-called observer such as a Luenberger
  • Observers are used. Such an observer or, in general, the model of the controlled system of a control system can also be used to advantage for the simulation.
  • This embodiment has the advantage that already existing models of a controlled system are used and in this case the simulation and the actual regulation of the controlled system are based on the same model, which improves the reliability of the simulation result.
  • the simulation itself can take place, for example, by solving a differential equation which describes a dynamic behavior of the controlled system.
  • the described safety criterion comprises, in particular, that it is checked whether the state law ectorie comprises at least one operating point which is outside a predetermined permissible operating range. This operating range can be determined in a manner known to those skilled in the art by operating limits of the peripheral components of the controlled system.
  • a dynamic transition between two operating points of the state strategy is greater than a predetermined maximum permissible dynamic. For example, it is therefore possible to determine a time duration within which the state law ectorie changes from a predetermined first operating point to a second predetermined operating point. If this period of time is too short, this can mean that a peripheral component of the controlled system or a system component, for example mechanically or thermally, is overloaded, although this component would tolerate the transition at low dynamics of the transition.
  • a constant control output is transmitted to the controlled system, as described above.
  • the protective measure may in this case include that a constant control output is determined, which still results in a safe Statestraj ectorie for continued operation of the controlled system for the determined critical operating point.
  • the determined constant control output is then assigned to the operating point, which means that in the event of a failure of the control device, while the controlled system is in the operating point, the determined constant control output during the switching on the controlled system is output.
  • Another development provides for assigning a safety control output to a critical operating point which is output in the event of a changeover at the operating point and thereby interrupts operation of the controlled system.
  • a safety control output to a critical operating point which is output in the event of a changeover at the operating point and thereby interrupts operation of the controlled system.
  • the protective measure comprises that on the basis of engineering data of the automation system, that is to say data regarding the system topology or the programming of the components, that system component is determined which causes the greatest proportion of the dead time.
  • the communication network for example, which couples the control devices to peripheral components and / or individual peripheral components which require, for example, a relatively large time duration for acknowledgment of control commands, can also be checked.
  • a bottleneck is determined in the automation system, by which the switching is delayed.
  • the communication network and / or the quantity structure are analyzed. By changing the engineering of the automation system then the dead time can be reduced.
  • control devices exchange synchronization data with each other via a synchronization connection for adjusting controller states.
  • the protective measure comprises increasing a rate of the synchronization processes, that is to say the frequency with which the synchronization data are exchanged within a predefined period of time. This advantageously increases the probability that the control devices are synchronized at the moment of failure.
  • the acquiring control device requires less time to adapt their controller system to the current control situation.
  • the protective measure comprises that the respective operating point from which the trajec- torie has resulted, which violates the safety criterion, is excluded from the regular operation.
  • the controlled system never adopts this critical operating point.
  • the control parameters of the control device are preferably adjusted, so that the operating limits are restricted accordingly.
  • an advantageous development results if an assumption about a maximum amount of a disturbance variable in the controlled system is used, eg a friction value or a floating value, in which case the protective measure comprises reducing the maximum amount and carrying out the simulation again becomes.
  • the safety criterion is met in the reduced disturbance, it is pointed out to this disturbance, for example by means of a display on a display device, so that the user of the automation system can specifically reduce this disturbance by constructive measures.
  • that disturbance variable which would lead to the unsafe or critical operating state is detected if one of the control devices fails in the operating point investigated.
  • the monitoring of the failure tolerance is carried out again, that is to say iteratively initiated with each further one
  • the simulation For the procedure, it must be determined for which output operating points the simulation is performed. According to one embodiment of the invention, this is determined by determining an expected or intended operating range based on a configuration of the automation system. It is therefore determined based on configuration parameters, which operating points could theoretically result in error-free operation.
  • Another possibility for improving the automation system with regard to its failure tolerance with as few checking steps is achieved according to an embodiment of the method by taking into account only extreme values of the manipulated variable limitations of plant components, such as a particular valve, which is a Peripheral component represents, is checked only in the maximum open position and the closed position.
  • FIG. 1 shows a schematic representation of an embodiment of the automation system according to the invention and the engineering system according to the invention
  • FIG. 2 shows a flow diagram of a control system, as it may be part of control devices of the automation system of FIG. 1,
  • FIG. 3 shows a signal flow graph for the automation system of FIG. 1 during switching between control devices
  • FIG. 4 shows a sketch for illustrating an embodiment of the method according to the invention, as can be carried out in the engineering system and the automation system of FIG.
  • the automation system 10 includes an automation system S, by means of which the process 12 is controlled.
  • peripheral components 14, 16 and other peripheral components may be provided.
  • a peripheral component may include a sensor and / or an actuator.
  • the peripheral component 14 may be, for example, a sensor, such as a temperature sensor or a light barrier.
  • the peripheral component 16 may be, for example, an actuator or an actuator, such as an electric motor or a controllable valve.
  • the automation system S can be coupled to the peripheral components 14, 16 via a communication network 18.
  • the communication network 18 may include, for example, a professional bus.
  • the automation system S may, for example, two control devices 20, 22 include, each of which may have, for example, a PLC. Other control devices (not shown) may also be provided.
  • Each control device 20, 22 can be designed to regulate the controlled system 32 to a desired value specification W by means of a control system R, R ' .
  • the control devices 20, 22 do not at the same time control the controlled system 32, but alternately, wherein a change can always take place when the currently controlling control device 20, 22 fails.
  • FIG. 1 the situation is shown that the control device 22 has failed and therefore the control device 20 outputs control outputs U to the peripheral components 14, 16 by means of its control system R via a controlled system connection 26 in order to regulate the controlled system 32 to the desired value specification W.
  • a controlled system connection 28 of the failed control device 22 is interrupted or decoupled, so that possibly faulty control outputs U 'of the control system R' of the control device 22 have no influence on the controlled system 32.
  • the automation system S is highly available due to the redundant design with at least two control devices 20, 22.
  • the peripheral components 14, 16 connected to the automation system S can, in principle, be operated by both control devices 20, 22. So that both control devices 20, 22 can run synchronously, they can be synchronized via a synchronization connection 24 at predetermined time intervals.
  • the synchronization connection 24 may be a direct connection (as shown in FIG. 1) or implemented, for example, via the communication network 18. With regard to the frequency of the synchronization and its scope, different characteristics can be preset. In order to unambiguously identify the faulty control device during the changeover in the event of a fault, a system diagnosis known per se from the prior art is provided.
  • the switching process has taken a dead time T, during which neither the control device 20 nor the control device 22 have output their control outputs U, U ' to the controlled system 32. During this time, a steady-state control output Ustat was output to the peripheral components 14, 16. This can be achieved, for example, by virtue of the fact that the communication network 18 is based on time-slot-based communication and the values sent out at the individual time slots are not erased, so that they are also output to the peripheral components 14, 16 even if the communication cycle is repeated.
  • the control devices 20, 22 can be configured in the automation system 10 by an engineering system E.
  • the engineering system E it is also possible to plan a topology of the automation system 10 as required to operate the process 12 in a desired manner.
  • the controlled system 32 it is ensured that the failure of a control devices 20, 22 takes place at any time and in this case the controlled system 32 can continue to operate, that is, the flow of the process 12 can be maintained without during the dead time T, the process 12 an undesirable state achieved, that is, an operating point of the controlled system 32 is outside a predetermined amount of permissible operating points.
  • the two controller systems R, R ' can be based on a known controller algorithm, for example a proportional controller, integral controller, differential controller or a mixed form thereof, such as a PID controller.
  • the control systems R, R ' may in particular also include an observer, as illustrated by way of example in FIG.
  • an observer By means of the observer 34 operating points of the controlled system 32 can be determined.
  • the operating parameter values given at a given time, which together define the operating point, can be combined to form a vector which describes the operating state X.
  • the observer can include a control plug model or model 30 of the controlled system 32, as illustrated in FIG.
  • the effect of a dead time can be simulated or predicted, as it results between the time of decoupling of the control device 22 and the coupling of the control device 20.
  • the model 30 could be taken in the example, in particular without additional effort from the control engineering application, that is, the engineering data for the system 10, as they are available in the engineering system E.
  • an observer method such as a Luenberger observer 34, can be used.
  • the matrices A, B and C illustrated in FIG. 2 describe in a manner known per se the dynamic behavior of the controlled system 32 when it is exposed to the control output U, which changes over time.
  • the matrix L is a correction matrix for compensating for an observation error, which is determined at the subtraction point 36.
  • a following state ie a state vector estimated for a next observation time, is determined by means of an integrator 40. The sequence of state vectors thus determined for several future points in time results in a conditional vector.
  • the model 30 is now also advantageously used to calculate the behavior of the controlled system 32 in the switching case.
  • the changeover case is characterized in that both the input data Y and the output data U, U 'to the peripheral components 14, 16 can not be updated for the duration of the dead time T.
  • the controlled system 32 is thus decoupled from the control system R ', which is still active, so that it can not be influenced by the control system R ' and also by the control system R, which has not yet been coupled.
  • FIG. 3 shows how, for this reason, the peripheral components 14, 16 are subjected to the stationary control output Ustat.
  • the peripheral outputs can maintain their last value, so that the controlled system 32 is charged with the last output vector during the dead time T. This leads to a trajectory of the state variables of the controlled system 32.
  • the state variables of the controlled system 32 for example a boiler temperature, in the undesired case change in such a way that they reach a critical value for the process 12.
  • the failover time of the automation system S used would be too large for the process 12 to be controlled.
  • the expected dead time is a parameter of the highly available control system S. It is also dependent on the configuration of the automation system 10, that is their quantity structure, the network topologies used for the peripheral connections, is influenced and can therefore be determined and adapted for the automation system S that is actually used.
  • the user is supported by the engineering system E.
  • the expected dead time T it can be checked, for example, in the manner described below, whether certain state variables reach a critical value during the failover. Since control failures and thereby caused failover occur spontaneously and unplanned, however, the operating state X0 of the automation system 10 at the time tO of failure of a control device 20, 22 is unknown and can not be planned. Therefore, initially the set of operating points is determined, the so-called permissible operating range in which the process 12 may remain during the operation of the automation system 10. Exceptions here can be, for example, the start-up and shut-down behavior. In addition, this amount can also safety distances to dangerous, that is have unwanted operating areas.
  • the amount of unwanted or dangerous operating points gives the set V of prohibited operating conditions, which may be defined, for example, as polytopes or polyhedra.
  • the set of allowable operating points gives the operating range B, which may also be defined as a polytope or polyhedron, for example.
  • Physical manipulated variable limits Umax and Umin the actuators among the peripheral components 14, 16 in the process 12 can also be determined, for example, a minimum and maximum valve opening, a maximum pump power, a maximum heat output. Even for disturbances acting on the process 12, maximum amounts can be used as a basis.
  • the result of the reachability analysis, for any future time t is a set E (t) of the achievable conditions, as they arise when a controller fails and thus in the manner described, the peripheral components 14, 16 are applied to the stationary control output Ustat.
  • the points resulting therefrom for the subsequent times t> t0 together form a state law ectorie which describes the development or the behavior of the controlled system 32 during the dead time T.
  • the accessibility analysis 42 can be carried out, for example, by an analysis device of the engineering system E, for example a program module of the engineering system E and in this case a process model 44 of the process 12 to be operated and a topology model 46 of the automation system 10, as the user has currently determined.
  • an analysis device of the engineering system E for example a program module of the engineering system E and in this case a process model 44 of the process 12 to be operated and a topology model 46 of the automation system 10, as the user has currently determined.
  • the process model 44 which describes the physical processes in the process 12, as well as the topology model 46
  • the model 30 of the controlled system 32 can be determined in a manner known per se according to the principles of control engineering.
  • the topology model 46 gives a value for the dead time T.
  • the accessibility analysis can determine the conditional vector for different operating points of the operating area B in a step S10 and check a safety criterion 48 for each state trap in a step S12, ie if the respective state trap ectorie reaches the quantity V, for example. If this is the case, symbolized in FIG 4 by a plus sign (+), then in a step 48, a safety measure is initiated, such as the described display of the critical operating point by the engineering system E. Otherwise, if all ectorien Statestraj signal a secure switching operation (symbolized by a minus sign (-) in FIG. 4), the failure tolerance of the topology model 46, that is the automation system 10 can be signaled in its current design state in a step S16.

Abstract

Die Erfindung betrifft ein Verfahren zum Überwachen einer Ausfalltoleranz einer Automatisierungsanlage (10). Die Automatisierungsanlage (10) betreibt einen Prozess (12) mittels einer Regelstrecke (32), wobei mindestens zwei Steuervorrichtungen (20, 22) bereitgestellt sind, die abwechselnd die Regelstrecke (32) in einem Regelbetrieb durch Ausgeben von Steuerausgaben (U, U´) regeln und wobei bei einem Ausfall der momentan regelnden Steuervorrichtung (22) zu einer anderen der Steuervorrichtungen (20) umgeschaltet wird. Während des Umschaltens die Regelstrecke (32) wird die Regelstrecke (32) für eine Totzeit (T) reglerlos weiterbetrieben. Der Erfindung liegt die Aufgabe zugrunde, dieses Failover-Verhalten sicher zu machen. Hierzu wird mindestens ein im Regelbetrieb möglicher Betriebspunkt der Regelstrecke (32) ermittelt, für jeden Betriebspunkt jeweils ein reglerloser Betrieb für die Dauer der Totzeit (T) simuliert und hierdurch eine von dem Betriebspunkt ausgehende Zustandstrajektorie der Regelstrecke ermittelt und überprüft, ob die Zustandstrajektorie ein vorbestimmtes Sicherheitskriterium (48) verletzt, und gegebenenfalls eine vorbestimmte Schutzmaßnahme zum Vermeiden des Betriebspunkt eingeleitet.

Description

Beschreibung
Überwachen einer Ausfalltoleranz einer Automatisierungsanlage
Die Erfindung betrifft ein Verfahren zum Überwachen einer Ausfalltorleranz einer Automatisierungsanlage. Mit der Automatisierungsanlage wird ein Prozess, beispielsweise die Gewinnung von elektrischer Energie aus Kernkraft, mittels einer Regelstrecke betrieben oder durchgeführt. Die Automatisierungsanlage soll ausfallsicher sein und weist hierzu zumindest zwei Steuervorrichtungen auf, die abwechselnd die Regelstrecke regeln. Bei einem Ausfall der momentan regelnden Steuervorrichtung wird zu einer anderen Steuervorrichtung umgeschaltet. Hierbei muss sichergestellt sein, dass während des Umschaltens der Prozess gefahrlos weiter betrieben werden kann .
Die beschriebene hoch verfügbare Lösung einer Anlagensteuerung mittels mindestens zweier Steuervorrichtungen reduziert eventuell auftretende Stillstandzeiten der Automatisierungsanlage auf ein Minimum. Die Entwicklung derartiger hochverfügbarer Lösungen ist aber derzeit sehr kostenintensiv. Die primäre Leistung eines derartigen Automatisierungssystems ist das automatische Failover, das heißt Umschalten, im Falle eines Ausfalls einer der Steuervorrichtungen, beispielsweise durch CPU-Ausfall (CPU - Central Prozessing Unit, Zentrale Prozessiereinheit) . Die Regelung des Prozesses kann dann auf einer Backup-CPU weitergeführt werden. Dieses Failover ist für den Prozess nie gänzlich rückwirkungsfrei. Gefordert wird üblicherweise ein stoßfreies Failover, das heißt an dem Ausgang der Steuerungsvorrichtungen, das heißt den Eingängen der Regelstrecke des Prozesses, darf kein Sprung feststellbar sein, der nicht durch eine Veränderung der Regelstrecke, sondern ausschließlich aufgrund des Ausfalls der Steuervorrichtung verursacht ist. Die Ausgänge müssen sich also stetig verhalten, so dass das Steuersignal für die Regelstrecke, das heißt die Abfolge von Steuerausgaben, darf ausfallbedingt nicht über ein vorbestimmtes Maß schwanken. Toleriert wird üblicherweise eine begrenzte Zeitspanne, in welcher die an die Regelstrecke übermittelten Steuerausgaben ihren letzten Wert halten, bevor dann die Steuerung der Regelstrecke von der Backup-CPU weitergeführt wird. Einflussfaktoren für die zu erwartende Totzeit, während welcher die konstante Steuerausgabe ausgegeben wird, sind das Failover- Verhalten der Steuervorrichtungen sowie das Failover- Verhalten der Regelstrecke. Abhängig von den verwendeten Peripheriekomponenten, welche durch die Steuervorrichtungen angesteuert werden und den Prozess überwachen und steuern, dominiert in der Regel einer der beiden Einflussfaktoren.
Heute muss der Nutzer einer Automatisierungsanlage selbst beurteilen, ob der zu regelnde Prozess die Auswirkungen eines Failovers toleriert. Ein Failover darf nicht zur Destabili- sierung des Prozesses führen. Diese Fragen beantwortet der Nutzer heutzutage auf der Grundlage von Erfahrungswerten über seinen Prozess beziehungsweise von Erfahrungswerten über ähnliche Prozesse.
Der Erfindung liegt die Aufgabe zugrunde, bei einer Automatisierungsanlage deren Failover- erhalten dahingehend zu überprüfen, ob die Automatisierungsanlage eine ausreichende Ausfalltoleranz gegenüber einem Ausfall einer ihrer Steuervorrichtungen aufweist.
Die Aufgabe wird erfindungsgemäß durch die Gegenstände der unabhängigen Patentansprüche gelöst. Vorteilhafte Weiterbildungen der Erfindung ergeben sich durch die Merkmale der abhängigen Patentansprüche.
Das erfindungsgemäße Verfahren geht von der eingangs beschriebenen Automatisierungsanlage aus, bei welcher mittels einer Regelstrecke ein Prozess durchgeführt wird, also beispielsweise elektrische Energie aus Kernkraft gewonnen wird, Flaschen abgefüllt werden, Erdöl raffiniert wird oder ein Gebäude beheizt wird. Bei der Automatisierungsanlage sind mindestens zwei Steuervorrichtungen bereitgestellt, die abwech- selnd die Regelstrecke m einem Regelbetrieb regeln, was das Ausgeben von Steuerausgaben umfasst. Mit abwechselnd ist hierbei gemeint, dass bei einem Ausfall der momentan regelnden Steuervorrichtung zu einer anderen der Steuervorrichtungen umgeschaltet wird. Während des Umschaltens wird die Regelstrecke reglerlos weiterbetrieben, wobei das Umschalten eine Zeitdauer benötigt, die hier als Totzeit bezeichnet ist. Bei den Steuervorrichtungen kann es sich jeweils beispielsweise um eine speicherprogrammierbare Steuerung (SPS) handeln .
Bei der Automatisierungsanlage wird durch das Verfahren nun überwacht, ob sie ausfalltolerant ist. Mit anderen Worten wird überprüft, ob der Ausfall einer Steuervorrichtung und das Umschalten zu einer anderen Steuervorrichtung möglich ist, ohne dass hierbei innerhalb der Totzeit der Prozess einen vorbestimmten, unerwünschten kritischen Zustand erreicht, also die Regelstrecke einen unerwünschten Betriebszustand einnimmt .
Nach dem erfindungsgemäßen Verfahren wird hierzu mindestens ein im Regelbetrieb möglicher Betriebspunkt der Regelstrecke ermittelt. Ein Betriebspunkt beschreibt hierbei einen möglichen Betriebszustand der Regelstrecke und kann beispielsweise als Vektor von Betriebsgrößen dargestellt oder beschrieben werden. Eine solche Betriebsgröße kann beispielsweise jeweils eine Temperatur, eine Drehzahl oder eine Fördergeschwindigkeit sein. Diese Betriebsgrößen beschreiben jeweils einen Zustand mindestens einer Peripheriekomponente, also beispielsweise eines Sensors oder eines Aktors, der Automatisierungsanlage. Insgesamt ergibt sich dann der Betriebspunkt, d.h. der Betriebszustand der gesamten Regelstrecke, aus der Gesamtheit der Betriebsgrößen.
Für jeden Betriebspunkt wird nun jeweils überprüft, ob ausgehend von diesem Betriebspunkt das Umschalten zwischen den Steuervorrichtungen möglich ist und hierbei für die Totzeit der reglerlose Betrieb gefahrlos möglich ist. Hierzu wird für jeden Betriebspunkt jeweils ein reglerloser Betrieb für die Dauer der Totzeit simuliert und hierdurch eine von dem Betriebspunkt ausgehende Zustandstraj ektorie der Regelstrecke ermittelt. Die Zustandstraj ektorie setzt sich also aus einer zeitlichen Abfolge von Betriebspunkten zusammen, die sich ausgehend von dem Umschaltzeitpunkt bei reglerlosem Betrieb gemäß der Simulation ergeben. Zu der jeweiligen Zustandstra- jektorie wird überprüft, ob sie ein vorbestimmtes Sicherheitskriterium verletzt. Gegebenenfalls wird eine vorbestimmte Schutzmaßnahme zum Vermeiden dieses Betriebszustands eingeleitet, von welchem aus das Umschalten zu der kritischen Zustandstraj ektorie geführt hat.
Der Begriff Regelstrecke umfasst im Zusammenhang mit der Erfindung sowohl die mindestens eine Peripheriekomponente, die zum Steuern des Prozesses in der Automatisierungsanlage bereitgestellt ist, also die Sensoren und Aktoren der Automatisierungsanlage, das Kommunikationsnetzwerk, über welches die Steuervorrichtungen mit der mindestens einen Peripheriekomponente gekoppelt, und den Prozess selbst, also die durch die Peripheriekomponenten überwachten und/oder gesteuerten Anlagenkomponenten, wie beispielsweise Fließbänder, Gerüste oder Rohre .
Die Erfindung weist den Vorteil auf, dass nun ein Verfahren bereitgestellt ist, das die Abschätzung der Auswirkungen eines Umschaltvorganges auf den Prozess unterstützt und so das Risiko einer Fehleinschätzung eines Betriebs der Automatisie rungsanlage vermindert. Der Nutzer der Automatisierungsanlag kann hier durch bei der Auswahl der für ihn passenden Automa tisierungslösung unterstützt werden.
In diesem Zusammenhang sieht die Erfindung auch ein Engineering-System zum Auslegen und/oder Konfigurieren einer Automatisierungsanlage vor. Mit dem Engineering-System kann eine Automatisierungsanlage mit mindestens zwei Steuervorrichtungen zum Regeln einer Regelstrecke überprüft werden. Erfindungsgemäß weist das Engineering-System eine Analyseeinrich- tung auf, beispielsweise eine Prozessoreinrichtung, wie beispielsweise einen Computer. Die Analyseeinrichtung ist dazu ausgelegt, auf der Grundlage eines aktuellen Topologiemodells der Automatisierungsanlage und eines Prozessmodells die sich ergebende Regelstrecke zu ermitteln. Das Topologiemodell beschreibt hierbei die vorhandenen Peripheriekomponenten, die insgesamt als Mengengerüst bezeichnet werden, und deren Verknüpfung über beispielsweise ein Kommunikationsnetzwerk und ihre mechanische Verbindung und die überwachten und/oder gesteuerten Anlagenkomponenten, wie beispielsweise Fließbänder oder Kessel. Ein Prozessmodell beschreibt den mittels der Automatisierungsanlage durchzuführenden Prozess, d.h. die physikalischen Vorgänge, die während des Durchführens des Prozesses stattfinden. Methoden zum Bereitstellen von Prozessmodellen für einen vorgegebenen Prozess sind zahlreich im Stand der Technik vorhanden.
Die Analyseeinrichtung ist des Weiteren dazu ausgelegt, eine durch ein Umschalten zwischen den Steuervorrichtungen verursachte Totzeit zu ermitteln, also die Umschaltdauer, und auf der Grundlage einer Ausführungsform des erfindungsgemäßen Verfahrens zu überprüfen oder zu überwachen, ob die Automatisierungsanlage ausfalltolerant ist. Das erfindungsgemäße Engineering-System weist den Vorteil auf, dass bereits beim Auslegen einer Automatisierungsanlage ein Mangel bei der Ausfalltoleranz erkannt und durch die beschriebenen Schutzmaßnahmen behoben werden kann.
Zu der Erfindung gehört schließlich auch eine Automatisierungsanlage mit einer Regelstrecke zum Durchführen eines Prozesses und mit mindestens zwei Steuervorrichtungen zum ausfallsicheren, abwechselnden Regeln der Regelstrecke. Mit ausfallsicher ist hierbei der beschriebene Umschaltvorgang im Falle eines Ausfalls einer der Steuervorrichtungen gemeint. Die erfindungsgemäße Automatisierungsanlage ist dazu ausgelegt, im laufenden Betrieb ihre Ausfalltoleranz durch Durchführen einer Ausführungsform des erfindungsgemäßen Verfahrens zu überwachen. Bei der erfindungsgemäßen Automatisierungsan- läge ergibt sich der Vorteil, dass diese auch während des Betriebs erkennt, dass ein kritischer Betriebspunkt vorhanden sein kann, der durch Ergreifen einer Schutzmaßnahme umgangen werden muss.
Im Folgenden sind vorteilhafte Weiterbildungen des erfindungsgemäßen Verfahrens beschrieben, die auch entsprechende Weiterbildungen des erfindungsgemäßen Engineering-Systems und der erfindungsgemäßen Automatisierungsanlage darstellen.
Gemäß einer Ausführungsform der Erfindung werden zum Simulieren des reglerlosen Betriebs ausgehend von dem jeweiligen möglichen Betriebspunkt mittels eines Modells der Regelstrecke zeitlich nachfolgende Betriebspunkte berechnet. Die be- rechneten Betriebspunkte werden dann zu der Zustandstraj ekto- rie zusammengefasst . Diese Ausführungsform nutzt ein Modell der Regelstrecke, um die Auswirkungen eines Umschaltvorganges zu ermitteln. In heutigen regelungstechnischen Anwendungen, das heißt der Prozesstechnik, umfasst das Regelungssystem, wie es durch jede Steuervorrichtung bereitgestellt wird, oft ein Modell der Regelstrecke. Dies ist zum Beispiel deshalb erforderlich, da häufig Zustandsgrößen der Regelstrecke nicht direkt oder nur mit einem unerwünscht großen Aufwand gemessen werden können, und deshalb geschätzt werden. Hierzu kann ein sogenannter Beobachter, wie beispielsweise ein Luenberger-
Beobachter genutzt werden. Ein solcher Beobachter oder allgemein das Modell der Regelstrecke eines Regelsystems, kann auch für die Simulation vorteilhaft genutzt werden. Diese Ausführungsform weist den Vorteil auf, dass bereits vorhande- ne Modelle einer Regelstrecke genutzt werden und hierbei die Simulation und die tatsächliche Regelung der Regelstrecke auf demselben Modell basieren, was die Zuverlässigkeit des Simulationsergebnisses verbessert. Das Simulieren selbst kann beispielsweise durch Lösen einer Differentialgleichung erfol- gen, welche ein dynamisches Verhalten der Regelstrecke beschreibt . Das beschriebene Sicherheitskriterium umfasst insbesondere, dass überprüft wird, ob die Zustandstraj ektorie zumindest einen Betriebspunkt umfasst, der außerhalb eines vorbestimmten zulässigen Betriebsbereichs liegt. Dieser Betriebsbereich kann in für den Fachmann bekannter Weise durch Betriebsgrenzen der Peripheriekomponenten der Regelstrecke ermittelt werden .
Zusätzlich oder alternativ dazu kann vorgesehen sein, dass als das Sicherheitskriterium überprüft wird, ob ein dynamischer Übergang zwischen zwei Betriebspunkten der Zustandstra- jektorie größer als eine vorbestimmte maximal zulässige Dynamik ist. Beispielsweise kann also eine Zeitdauer ermittelt werden, innerhalb welcher die Zustandstraj ektorie von einem vorbestimmten ersten Betriebspunkt zu einem zweiten vorbestimmten Betriebspunkt übergeht. Ist diese Zeitdauer zu kurz, so kann dies bedeuten, dass eine Peripheriekomponente der Regelstrecke oder eine Anlagenkomponente, beispielsweise mechanisch oder thermisch, überbelastet wird, obwohl diese Kompo- nente bei geringer Dynamik des Übergangs durchaus den Übergang tolerieren würde.
In Bezug auf die eingeleiteten Schutzmaßnahmen ergeben sich ebenfalls mehrere unterschiedliche Ausführungsformen der Er- findung.
Eine Weiterbildung geht davon aus, dass im reglerlosen Betrieb, also während des Umschaltens, eine konstante Steuerausgabe an die Regelstrecke übertragen wird, wie eingangs be- schrieben wurde. Die Schutzmaßnahme kann in diesem Fall umfassen, dass eine konstante Steuerausgabe ermittelt wird, die für den ermittelten kritischen Betriebspunkt doch noch eine sichere Zustandstraj ektorie für einen Weiterbetrieb der Regelstrecke ergibt. Die ermittelte konstante Steuerausgabe wird dann dem Betriebspunkt zugeordnet, was bedeutet, dass für den Fall eines Ausfalls der Steuervorrichtung, während sich die Regelstrecke in dem Betriebspunkt befindet, die ermittelte konstante Steuerausgabe während des Umschaltens an die Regelstrecke ausgegeben wird. Hierdurch ergibt sich der Vorteil, dass für alle kritischen Betriebspunkte durch die Zuordnung eine bereits überprüfte konstante Steuerausgabe vorliegt, so dass auf diese Steuerausgabe, das heißt beispielsweise auf einen Vektor mit Steuerwerten für die einzelnen Peripheriekomponenten, zurückgegriffen werden kann und auch für diesen kritischen Betriebspunkt somit ein sicheres Umschalten gewährleistet ist.
Eine andere Weiterbildung sieht vor, einem kritischen Betriebspunkt eine Sicherheitssteuerausgabe zuzuordnen, die im Falle eines Umschaltens in dem Betriebspunkt ausgegeben wird und hierdurch einen Betrieb der Regelstrecke unterbricht. Mit anderen Worten wird im Falle eines Ausfalls der Steuervorrichtung, während sich die Regelstrecke in diesem Betriebspunkt befindet, ein Not-Stopp der Regelstrecke eingeleitet.
Gemäß einer anderen Ausführungsform umfasst die Schutzmaßnahme, dass auf der Grundlage von Engineering-Daten der Automatisierungsanlage, also Daten betreffend die Anlagentopologie oder die Programmierung der Komponenten, diejenige Anlagenkomponente ermittelt wird, welche den größten Anteil der Totzeit verursacht. Neben den Steuervorrichtungen können hierbei zum Beispiel auch das Kommunikationsnetzwerk, welches die Steuervorrichtungen mit Peripheriekomponenten koppelt, und/oder einzelne Peripheriekomponenten, die beispielsweise eine verhältnismäßig große Zeitdauer zum Quittieren von Steuerbefehlen benötigen, überprüft werden. Mit anderen Worten wird gemäß dieser Ausführungsform ein Flaschenhals in der Automatisierungsanlage ermittelt, durch welchen das Umschalten verzögert wird. Insgesamt werden dazu das Kommunikationsnetzwerk und/oder das Mengengerüst analysiert. Durch Ändern des Engineerings der Automatisierungsanlage kann dann die Totzeit verringert werden. Zusätzlich oder alternativ zu dieser Analyse der die Totzeit verursachenden Komponenten kann vorgesehen sein, diejenige Anlagenkomponente zu ermitteln, welche einen unzulässigen Zustand einnimmt, so dass die Zu- standstraj ektorie das Sicherheitskriterium verletzt. Es wird also beispielsweise diejenige Anlagenkomponente ermittelt, die zu heiß wird oder mechanisch überbelastet wird oder sich zu schnell bewegt. Dann kann der Nutzer gezielt diese Anlagenkomponente durch Verändern der Engineering Daten oder durch Austauschen der Anlagekomponente anpassen und hierdurch die Ausfalltoleranz vergrößern.
Eine andere Weiterbildung sieht vor, dass die Steuervorrichtungen untereinander über eine Synchronisationsverbindung Synchronisationsdaten zum Angleichen von Reglerzuständen austauschen. Dies ermöglicht es bei einem Ausfall einer der Steuervorrichtungen der anderen Steuervorrichtung, sofort mit dem Regelbetrieb dort fortzufahren, wo die ausgefallene Steuervorrichtung aufgehört hat. Die Schutzmaßnahme umfasst hierbei, dass eine Rate der Synchronisationsvorgänge, also die Häufigkeit, mit welcher die Synchronisationsdaten innerhalb eines vorgegebenen Zeitraums ausgetauscht werden, vergrößert wird. Hierdurch erhöht sich in vorteilhafter Weise die Wahrscheinlichkeit, dass die Steuervorrichtungen im Moment des Ausfalls synchron sind. Zudem benötigt die übernehmende Steuervorrichtung weniger Zeit, um ihr Reglersystem an die aktuelle Regelsituation anzupassen.
Gemäß einer anderen Weiterbildung umfasst die Schutzmaßnahme, dass der jeweilige Betriebspunkt von dem aus sich die Trajek- torie ergeben hat, die das Sicherheitskriterium verletzt, aus dem Regelbetrieb ausgeschlossen wird. Mit anderen Worten nimmt also die Regelstrecke diesen kritischen Betriebspunkt nie ein. Um den Betriebspunkt auszuschließen, werden bevorzugt die Regelparameter der Steuervorrichtung angepasst, so dass die Betriebsgrenzen entsprechend eingeengt sind.
In Bezug auf die Simulation ergibt sich eine vorteilhafte Weiterbildung, wenn eine Annahme über einen maximalen Betrag einer in der Regelstrecke wirkenden Störgröße verwendet wird, z.B. ein Reibungswert oder ein Gleitwert, wobei dann die Schutzmaßnahme umfasst, dass der maximale Betrag verringert und die Simulation erneut durchgeführt wird. Ergibt sich hierbei dann, dass nun das Sicherheitskriterium bei der verringerten Störgröße erfüllt wird, so wird auf diese Störgröße hingewiesen, beispielsweise mittels einer Anzeige auf einer Anzeigeeinrichtung, so dass der Nutzer der Automatisierungsanlage gezielt diese Störgröße durch konstruktive Maßnahmen verringern kann. Mit anderen Worten wird also diejenige Störgröße detektiert, die zu dem unsicheren oder kritischen Betriebszustand führen würde, wenn in dem untersuchten Betriebspunkt eine der Steuervorrichtungen ausfiele.
Um die Ausfalltoleranz noch weiter zu steigern, wird gemäß einer Ausführungsform nach dem Durchführen der Schutzmaßnahmen das Überwachen der Ausfalltoleranz erneut durchgeführt, so dass also iterativ mit jeder weiteren eingeleiteten
Schutzmaßnahme die Ausfalltoleranz steigt.
Für das Verfahren muss festgelegt werden, für welche Ausgangs-Betriebspunkte die Simulation durchgeführt wird. Gemäß einer Ausführungsform der Erfindung wird dies festgelegt, indem anhand einer Konfiguration der Automatisierungsanlage ein erwartungsgemäßer oder bestimmungsgemäßer Betriebsbereich ermittelt wird. Es wird also anhand von Konfigurationsparametern ermittelt, welche Betriebspunkte sich theoretisch im fehlerfreien Betrieb ergeben könnten.
Alternativ dazu kann vorgesehen sein, die Automatisierungsanlage im Betrieb zu beobachten und hierdurch die im Regelbetrieb wahrscheinlichsten Betriebspunkte zu ermitteln. Hierdurch ergibt sich der besondere Vorteil, dass Schutzmaßnahmen für die wahrscheinlichsten Betriebspunkte ermittelt werden.
Eine andere Möglichkeit, um mit möglichst wenig Überprüfungsschritten die Automatisierungsanlage hinsichtlich ihrer Ausfalltoleranz zu verbessern, wird gemäß einer Ausführungsform des Verfahrens erreicht, indem zum Ermitteln des mindestens einen möglichen Betriebspunkt nur Extremwerte der Stellgrößenbeschränkungen von Anlagenkomponenten berücksichtigt werden, also beispielsweise ein bestimmtes Ventil, welches eine Peripheriekomponente darstellt, nur in der Maximal-Offen- Stellung und der Geschlossenstellung überprüft wird.
Im Folgenden ist ein Ausführungsbeispiel der Erfindung beschrieben . Hierzu zeigt :
FIG 1 eine schematische Darstellung einer Ausführungsform der erfindungsgemäßen Automatisierungsanlage und des erfindungsgemäßen Engineering-Systems,
FIG 2 ein Flussschaubild eines Regelsystems, wie es Bestandteil von Steuervorrichtungen der Automatisierungsanlage von FIG 1 sein kann,
FIG 3 einen Signalflussgraphen zur Automatisierungsanlage von FIG 1 während eines Umschaltens zwischen Steuervorrichtungen und
FIG 4 eine Skizze zur Veranschaulichung einer Ausführungsform des erfindungsgemäßen Verfahrens, wie es bei dem Engineering-System und der Automatisierungsanlage von FIG 1 durchgeführt werden kann.
Bei dem im Folgenden erläuterten Ausführungsbeispiel handelt es sich um eine bevorzugte Ausführungsform der Erfindung. Bei dem Ausführungsbeispiel stellen aber die beschriebenen Komponenten der Ausführungsform jeweils einzelne, unabhängig voneinander zu betrachtende Merkmale der Erfindung dar, welche die Erfindung jeweils auch unabhängig voneinander weiterbilden und damit auch einzeln oder in einer anderen als der gezeigten Kombination als Bestandteil der Erfindung anzusehen sind. Des Weiteren ist die beschriebene Ausführungsform auch durch weitere der bereits beschriebenen Merkmale der Erfindung ergänzbar.
FIG 1 zeigt eine Automatisierungsanlage 10 zum automatisierten Betreiben oder Durchführen eines Prozesses, wie beispielsweise der Gewinnung von elektrischer Energie aus Kern- kraft, dem Abfüllen von Flaschen, dem Raffinieren oder dem Heizen. Die Automatisierungsanlage 10 umfasst ein Automatisierungssystem S, mittels welchem der Prozess 12 geregelt wird. Zum Überwachen und zum Beeinflussen des Prozesses 12 können Peripheriekomponenten 14, 16 und (nicht dargestellte) weitere Peripheriekomponenten bereitgestellt sein. Eine Peripheriekomponente kann einen Sensor und/oder einen Aktor umfassen. Die Peripheriekomponente 14 kann beispielsweise ein Sensor, wie beispielsweise ein Temperaturfühler oder eine Lichtschranke, sein. Die Peripheriekomponente 16 kann beispielsweise ein Aktor oder ein Stellglied sein, wie beispielsweise ein Elektromotor oder ein steuerbares Ventil. Das Automatisierungssystem S kann an die Peripheriekomponenten 14, 16 über ein Kommunikationsnetzwerk 18 angekoppelt sein. Das Kommunikationsnetzwerk 18 kann beispielsweise einen Profi-Bus umfassen.
Das Automatisierungssystem S kann beispielsweise zwei Steuervorrichtungen 20, 22 umfassen, die jeweils beispielsweise eine SPS aufweisen können. Es können auch weitere (nicht dargestellte) Steuervorrichtungen bereitgestellt sein. Jede Steuervorrichtung 20, 22 kann dazu ausgelegt sein, mittels eines Regelsystems R, R' die Regelstrecke 32 auf eine Sollwertvorgabe W einzuregeln. Die Steuervorrichtungen 20, 22 regeln dabei nicht zugleich die Regelstrecke 32, sondern abwechselnd, wobei ein Wechsel immer dann stattfinden kann, wenn die gerade regelnde Steuervorrichtung 20, 22 ausfällt.
In FIG 1 ist die Situation gezeigt, dass die Steuervorrichtung 22 ausgefallen ist und daher die Steuervorrichtung 20 mittels ihres Regelsystems R über eine Regelstreckenanbindung 26 Steuerausgaben U an die Peripheriekomponenten 14, 16 ausgibt, um die Regelstrecke 32 auf die Sollwertvorgabe W einzuregeln. Eine Regelstreckenanbindung 28 der ausgefallenen Steuervorrichtung 22 ist unterbrochen oder entkoppelt, so dass gegebenenfalls fehlerhafte Steuerausgaben U' des Regelsystems R' der Steuervorrichtung 22 keinen Einfluss auf die Regelstrecke 32 haben. Das Automatisierungssystem S ist durch die redundaten Auslegung mit mindestens zwei Steuervorrichtungen 20, 22 hoch verfügbar. Die an das Automatisierungssystem S angeschlossenen Peripheriekomponenten 14, 16 können prinzipiell von beiden Steuervorrichtungen 20, 22 bedient werden. Damit beide Steuervorrichtungen 20, 22 synchron laufen können, können sie über eine Synchronisationsverbindung 24 in vorgegebenen Zeitabständen synchronisiert werden. Die Synchronisationsverbindung 24 kann eine direkte Verbindung sein (wie in FIG 1 dargestellt) oder beispielsweise über das Kommunikationsnetzwerk 18 realisiert sein. Bezüglich der Häufigkeit der Synchronisation und deren Umfang können verschiedene Ausprägungen voreingestellt werden. Um bei der Umschaltung im Fehlerfall die fehlerbehaftete Steuervorrichtung eindeutig zu identifizieren, ist eine an sich aus dem Stand der Technik bekannte Systemdiagnose vorgesehen.
Der Umschaltvorgang hat eine Totzeit T gedauert, während welcher weder die Steuervorrichtung 20 noch die Steuervorrichtung 22 ihre Steuerausgaben U, U' an die Regelstrecke 32 ausgegeben haben. Während dieser Zeit wurde an die Peripheriekomponenten 14, 16 eine stationäre Steuerausgabe Ustat ausgegeben. Dies kann beispielsweise dadurch erreicht werden, dass das Kommunikationsnetzwerk 18 auf einer Zeitschlitz basierten Kommunikation beruht und die zu den einzelnen Zeitschlitzen ausgesendeten Werte nicht gelöscht werden, so dass sie auch bei einer Wiederholung des Kommunikationszyklus weiter an die Peripheriekomponenten 14, 16 ausgegeben werden.
Die Steuervorrichtungen 20, 22 können in der Automatisierungsanlage 10 durch ein Engineering-System E konfiguriert werden. Mittels des Engineering-Systems E kann auch eine To- pologie des Automatisierungssystems 10 geplant werden, wie sie benötigt wird, um den Prozess 12 in einer gewünschten Weise zu betreiben. Bei der Automatisierungsanlage 10 ist sichergestellt, dass der Ausfall einer Steuervorrichtungen 20, 22 jederzeit erfolgen und hierbei die Regelstrecke 32 weiter betrieben werden kann, das heißt der Ablauf des Prozesses 12 aufrechterhalten werden kann, ohne dass während der Totzeit T der Prozess 12 einen unerwünschten Zustand erreicht, das heißt ein Betriebspunkt der Regelstrecke 32 außerhalb einer vorbestimmten Menge zulässiger Betriebspunkte liegt.
Die beiden Reglersysteme R, R' können auf einem an sich bekannten Regleralgorithmus beruhen, beispielsweise einen Proportionalregler, Integralregler, Differentialregler oder einer Mischform davon, wie beispielsweise einem PID-Regler. Die Regelsysteme R, R' können insbesondere auch einen Beobachter umfassen, wie er beispielhaft in FIG 2 dargestellt ist. Mittels des Beobachters 34 können Betriebspunkte der Regelstrecke 32 ermittelt werden. Die zu einem bestimmten Zeitpunkt gegebenen Betriebsparameterwerte, die zusammen den Betriebspunkt definieren, können zu einem Vektor zusammengefasst werden, welcher den Betriebszustand X beschreibt. Um den Betriebszustand X zu einem vorgegebenen Zeitpunkt zu ermitteln, kann der Beobachter ein Regelsteckenmodell oder Modell 30 der Regelstrecke 32 umfassen, wie in FIG 2 veranschaulicht.
Mittels des Modells 30 kann die Auswirkung einer Totzeit simuliert oder vorausgesagt werden, wie sie sich zwischen dem Zeitpunkt des Abkoppeins der Steuervorrichtung 22 und dem Ankoppeln der Steuervorrichtung 20 ergibt.
Das Modell 30 konnte in dem Beispiel insbesondere ohne zusätzlichen Aufwand aus der regelungstechnischen Anwendung, das heißt den Engineeringdaten für die Anlage 10, entnommen werden, wie sie im Engineering-System E bereitstehen. Beim Engineering der Anlage 10 zum Konfigurieren oder Auslegen der Regelung des Prozesses 12 durch jeweils eine der Steuervorrichtungen 20, 22 kann es sein, dass manche Zustandsgrößen des Prozesses 12, also beispielsweise Temperaturen oder andere physikalische Größen, indirekt ermittelt werden müssen, weil sie nicht direkt oder nur mit einem unerwünscht großen Aufwand gemessen werden können und deshalb geschätzt werden müssen. Hierzu kann beispielsweise eine Beobachtermethode, wie beispielsweise ein Luenberger-Beobachter 34, genutzt wer- den. Der in FIG 2 beispielhaft dargestellte Beobachter 34 bildet die Auswirkungen der Steuerausgabe U der Steuervorrichtung 30 auf die Regelstrecke 32, das heißt den Prozesszu- stand des Prozesses 12, nach, um hierdurch interne Zustands- größen der Regelstrecke 32 zu ermitteln. Die in FIG 2 darge- stellten Matrizen A, B und C beschreiben dabei in an sich bekannter Weise das dynamische Verhalten der Regelstrecke 32 bei Beaufschlagung mit der Steuerausgabe U, die sich über der Zeit ändert. Die Matrix L ist eine Korrekturmatrix zum Ausgleichen eines Beobachtungsfehlers, der am Subtraktionspunkt 36 ermittelt wird. Ausgehend von einem Subtraktionspunkt 38 wird mittels eines Integrators 40 ein Folgezustand, das heißt ein für einen nächsten Beobachtungszeitpunkt geschätzter Zu- standsvektor ermittelt. Die Folge der so für mehrere zukünftige Zeitpunkte ermittelten Zustandsvektoren ergibt eine Zu- standstraj ektorie .
Das Modell 30 wird nun vorteilhaft auch dazu genutzt, um das Verhalten der Regelstrecke 32 im Umschaltfall zu berechnen. Der Umschaltfall ist dadurch gekennzeichnet, dass sowohl die Eingangsdaten Y als auch die Ausgangsdaten U, U' an die Peripheriekomponenten 14, 16 für die Dauer der Totzeit T nicht aktualisiert werden können. Während der Totzeit T ist die Regelstrecke 32 also vom eben noch aktiven Reglersystem R' abgekoppelt, so dass sie nicht durch das Reglersystem R' und auch durch das noch nicht angekoppelte Reglersystem R beein- flusst werden kann.
Hierzu ist in FIG 3 dargestellt, wie sich aus dem durch das nun abgekoppelte Reglersystem R' und der Regelstrecke 32 eine offene Kette ergibt, weil die Ankopplung 28 unterbrochen wurde. In FIG 3 ist dargestellt, wie aus diesem Grund die Peripheriekomponenten 14, 16 mit der stationären Steuerausgabe Ustat beaufschlagt werden. Beispielsweise können die Peripherie-Ausgaben während der Um schaltphase ihren letzten Wert beibehalten, so dass die Regelstrecke 32 während der Totzeit T mit dem letzten Ausgabevektor beaufschlagt wird. Dieser führt zu einer Trajektorie der Zustandsgrößen der Regelstrecke 32. Abhängig von den Streckenparametern ändern sich die Zustandsgrößen der Regelstrecke 32, beispielsweise eine Kesseltemperatur, im unerwünschten Fall derart, dass sie einen für den Prozess 12 kri tischen Wert erreichen. In einem solchen Fall wäre die Failo ver-Totzeit des verwendeten Automatisierungssystems S zu gro für den zu steuernden Prozess 12. Die zu erwartende Totzeit ist aber eine Kenngröße des eingesetzten hochverfügbaren Steuerungssystems S. Sie wird jedoch auch von der Projektierung der Automatisierungsanlage 10, das heißt deren Mengenge rüst, der verwendeten Netztopologien für die Peripherieeinschaltungen, beeinflusst und kann demnach für das konkret verwendete Automatisierungssystem S ermittelt werden und an- gepasst werden.
Bei dem vorliegenden Automatisierungssystem 10 wird der Nutzer hierbei durch das Engineering-System E unterstützt.
Ist nämlich die zu erwartende Totzeit T bekannt, so kann beispielsweise in der im Folgenden beschriebenen Weise geprüft werden, ob bestimmte Zustandsgrößen während des Failovers einen kritischen Wert erreichen. Da Steuerungsausfälle und hierdurch verursachte Failover spontan und ungeplant auftreten, ist allerdings der Betriebszustand X0 der Automatisierungsanlage 10 zum Zeitpunkt tO des Ausfalls einer Steuervorrichtung 20, 22 unbekannt und eben nicht planbar. Es wird daher zunächst die Menge von Betriebspunkten ermittelt, der sogenannte zulässige Betriebsbereich, in welchem sich der Prozess 12 während des Betriebs der Automatisierungsanlage 10 aufhalten darf. Ausnahmen können hierbei beispielsweise das Anfahr- und das Abfahrverhalten darstellen. Zudem kann diese Menge auch Sicherheitsabstände zu gefährlichen, das heißt unerwünschten Betriebsbereichen aufweisen. Die Menge der unerwünschten oder gefährlichen Betriebspunkte ergibt die Menge V verbotener Betriebszustände , die beispielsweise als Polytope oder Polyeder definiert sein können. Die Menge der zulässigen Betriebspunkte ergibt den Betriebsbereich B, der beispielsweise ebenfalls als Polytop oder Polyeder definiert sein kann. Physikalische Stellgrößenbeschränkungen Umax und Umin der Aktoren unter den Peripheriekomponenten 14, 16 im Prozess 12 kann ebenfalls ermittelt werden, also beispielsweise eine kleinste und größte Ventilöffnung, eine maximale Pumpleistung, eine maximale Heizleistung. Auch für auf den Prozess 12 einwirkende Störgrößen können maximale Beträge zugrundegelegt werden. Das Modell 30 für den geregelten Prozess 12 kann ein lineares oder ein nicht- lineares Modell sein, beispielsweise kann die folgende Differentialgleichung zur Beschreibung der Regelstrecke 32 zugrunde gelegt werden: d(X(t))/dt = f(X(t), U(t), D(t)), X(t0)=X0, wobei d ()/dt die mathematische Ableitung nach der Zeit t darstellt, f () eine lineare oder nicht lineare Funktion ist, welche das dynamische Verhalten der Regelstrecke 32 in Reaktion auf den aktuellen Betriebszustand X, die Steuerausgabe U und die Störgrößen D darstellt und X0 einen Betriebspunkt zu einem Zeitpunkt tO darstellt.
Es kann nun eine Erreichbarkeitsanalyse durchgeführt werden auf Basis des Modells 30, der Menge der zu untersuchenden An- fangsbedingungen, das heißt der Betriebspunkte B, welche die Regelstrecke 32 erwartungsgemäß einnehmen kann, aller möglichen Eingangswerte U im Bereich der Stellgrößenbeschränkungen Umax, Umin und aller möglichen zu untersuchenden Störgrößen D.
Das Ergebnis der Erreichbarkeitsanalyse, für jeden zukünftigen Zeitpunkt t, ist eine Menge E (t) der erreichbaren Zustände, wie sie sich ergeben, wenn eine Steuervorrichtung ausfällt und also in der beschriebenen Weise die Peripheriekomponenten 14, 16 mit der stationären Steuerausgabe Ustat beaufschlagt werden. Mit anderen Worten wird also ausgehend von einem zu untersuchenden Ausfallzeitpunkt tO unter Annahme einer stationären Steuerausgabe das Modell wie folgt betrieben : d(X(t))/dt = f(X(t), Ustat, D(t)), X(t0)=X0. Die sich hieraus für die Folgezeitpunkte t > tO ergebenden Punkte bilden zusammen eine Zustandstraj ektorie, welche die Entwicklung oder das Verhalten der Regelstrecke 32 während der Totzeit T beschreibt. Man kann nun den ersten Zeitpunkt tv ermitteln, zu dem der Schnitt G (tv) geschnitten mit V nicht mehr leer ist, also keine leere Menge darstellt. Jeder vorangehende Zeitpunkt t < tv, zu dem E (t) geschnitten mit V eine leere Menge bildet, bestimmt einen zulässigen Zeithorizont tvo für den si- cheren Betrieb. Dieser Zeithorizont tvo kann aus Sicherheitsgründen auch noch weiter um eine Pufferzeit verkürzt werden. Die Zeit tv ist die größte tolerierbare Umschaltzeit für das Failover . Im Engineering-System E kann sie zur Auswahl der Komponenten für die Automatisierungsanlage 10 verwendet werden. Falls bereits während des Engineerings, das heißt des Auslegens und Konfigurierens der Automatisierungsanlage 10 durch Kenntnis der Regelalgorithmen der Regelsysteme R, R' bekannt ist, dass die Grenzen Umax, Umin der Stellgrößen nicht vollkommen ausgenutzt werden, kann auch ein entsprechend eingeengter Bereich der Steuerausgaben U, U' festgelegt werden. Dies vergrößert ebenfalls die akzeptable Latenz beim Umschalten. Vorteilhaft ist es, wenn das Engineering-System E den Nutzer auf diese Einstellmöglichkeiten hinweist, damit dieser nicht frühzeitig eine zu kostspielige alternative Anlagenkomponente auswählt. Fällt die Totzeit T weiterhin zu groß aus, so kann durch Ändern der Anlagentopologie die Totzeit T im Falle eines Failovers ebenfalls verkürzt werden. Dies kann der Nutzer ebenfalls anhand des Engineering-Systems E überprüfen. Im Rahmen einer iterativen Vorgehens kann der Anwender die Anlagentopologie für die Erfordernisse des zu automatisierenden Prozesses 12 dadurch zuschneiden.
Die Erreichbarkeitsanalyse 42 kann beispielsweise durch eine Analyseeinrichtung des Engineering-Systems E durchgeführt werden, beispielsweise einem Programmmodul des Engineering- Systems E und hierbei ein Prozessmodell 44 des zu betreibenden Prozesses 12 sowie ein Topologiemodell 46 der Automatisierungsanlage 10, wie sie der Anwender momentan festgelegt hat. Aus dem Prozessmodell 44, das die physikalischen Vorgänge in dem Prozess 12 beschreibt, sowie dem Topologiemodell 46 kann das Modell 30 der Regelstrecke 32 in an sich bekannter Weise nach den Prinzipien der Regelungstechnik ermittelt werden. Zusätzlich ergibt das Topologiemodell 46 einen Wert für die Totzeit T.
Die Erreichbarkeitsanalyse kann in einem Schritt S10 die Zu- standstraj ektorie für unterschiedliche Betriebspunkte des Betriebsbereichs B ermitteln und zu jeder Zustandstraj ektorie in einem Schritt S12 ein Sicherheitskriterium 48 überprüfen, ob also die jeweilige Zustandstraj ektorie beispielsweise die Menge V erreicht. Ist dies der Fall, in FIG 4 durch ein Plus- Zeichen (+) symbolisiert, so wird in einem Schritt 48 eine Sicherungsmaßnahme eingeleitet, wie beispielsweise das beschriebene Anzeigen des kritischen Betriebspunktes durch das Engineering-System E. Andernfalls, wenn also sämtliche Zustandstraj ektorien eine sicheren Umschaltvorgang signalisieren (in FIG 4 durch ein Minus-Zeichen (-) symbolisiert) , kann in einem Schritt S16 die Ausfalltoleranz des Topologiemodells 46, das heißt der Automatisierungsanlage 10 in ihrem gegenwärtigen Entwurfszustand signalisiert werden.
Somit ist durch das Ausführungsbeispiel insgesamt ein Verfahren zur modellbasierten Bestimmung der Auswirkungen eines Failover eines hochverfügbaren Automatisierungssystems auf einen zu steuernden Prozess beschrieben.
Bezugszeichenliste
10 Automatisierungsanlage
12 Prozess
14, 16 Peripheriekomponente
18 Kommunikationsnetzwerk
20, 22 Steuervorrichtung
24 Synchronisationsverbindung
26 Steuerverbindung
28 abgekoppelte Steuerverbindung
30 Regelstreckenmodell
32 Regelstrecke
34 Beobachter
36, 38 Subtraktionspunkt
40 Integrator
42 Erreichbarkeitsanalyse
44 Prozessmodell
46 Topologiemodell
48 Sicherheitskriterium
E Engineering-System
U, U' Steuerausgabe
R, R' Regelsystem
W Sollwertvorgabe
T Totzeit
S10 - S16 Verfahrensschritt
Ustat stationäre Steuerausgabe

Claims

Patentansprüche
1. Verfahren zum Überwachen einer Ausfalltoleranz einer Automatisierungsanlage (10), wobei die Automatisierungs- anläge (10) einen Prozess (12) mittels einer Regelstrecke (32) betreibt und mindestens zwei Steuervorrichtungen (20,22) bereitgestellt sind, die abwechselnd die Regelstrecke (32) in einem Regelbetrieb durch Ausgeben von Steuerausgaben (U, U') regeln, wobei bei einem Ausfall der momentan regelnden Steuervorrichtung (22) zu einer anderen der Steuervorrichtungen (20) umgeschaltet wird und während des Umschaltens die Regelstrecke (32) für eine Totzeit (T) reglerlos weiterbetrieben wird, dadurch gekennzeichnet, dass
mindestens ein im Regelbetrieb möglicher Betriebspunkt der Regelstrecke (32) ermittelt wird, für jeden Betriebspunkt jeweils ein reglerloser Betrieb für die Dauer der Totzeit (T) simuliert und hierdurch eine von dem Betriebspunkt ausgehende Zustandstraj ektorie der Regel- strecke ermittelt wird und überprüft wird (S12), ob die
Zustandstraj ektorie ein vorbestimmtes Sicherheitskriterium (48) verletzt, und gegebenenfalls eine vorbestimmte Schutzmaßnahme zum Vermeiden des Betriebspunkts eingeleitet wird (S14) .
2. Verfahren nach Anspruch 1, wobei zum Simulieren des
reglerlosen Betriebs ausgehend von dem jeweiligen Betriebspunkt mittels eines Modells (30) der Regelstrecke (32) zeitlich nachfolgende Betriebspunkte berechnet und die berechneten Betriebspunkte zu der Zustandstraj ektorie zusammengefasst werden.
3. Verfahren nach einem der vorhergehenden Ansprüche, wobei als das Sicherheitskriterium (48) überprüft wird,
- ob die Zustandstraj ektorie zumindest einen Betriebspunkt umfasst, der außerhalb eines vorbestimmten zulässigen Betriebsbereich liegt, und/oder - ob ein dynamischer Übergang zwischen zwei Betriebspunkten der Zustandstraj ektorie größer als eine vorbestimmte maximal zulässige Dynamik ist.
Verfahren nach einem der vorhergehenden Ansprüche, wobei die Schutzmaßnahme das Ausgeben eines Warnhinweises an einen Nutzer der Automatisierungsanlage (10) umfasst.
Verfahren nach einem der vorhergehenden Ansprüche, wobei im reglerlosen Betrieb eine konstante Steuerausgabe (Ustat) an die Regelstrecke (32) übertragen wird und die Schutzmaßnahme umfasst, dass eine konstante Steuerausgabe (Ustat) ermittelt wird, die für den jeweiligen Betriebspunkt eine sichere Zustandstraj ektorie für einen Weiterbetrieb der Regelstrecke (32) ergibt, und die ermittelte konstante Steuerausgabe (Ustat) dem Betriebspunkt zugeordnet wird.
Verfahren nach einem der vorhergehenden Ansprüche, wobei dem jeweiligen Betriebspunkt eine Sicherheitssteuerausgabe zugeordnet wird, die im Falle eines Umschaltens in dem Betriebspunkt ausgegeben wird und hierdurch einen Betrieb der Regelstrecke (32) unterbricht.
Verfahren nach einem der vorhergehenden Ansprüche, wobei die Schutzmaßnahme umfasst, dass auf der Grundlage von Engineeringdaten der Automatisierungsanlage (10) eine Anlagekomponente (14, 16, 18, 20, 22) ermittelt wird, welche den größten Anteil an der Totzeit (T) verursacht und/oder gemäß der Zustandstraj ektorie einen unzulässigen Betriebspunkt einnimmt.
Verfahren nach einem der vorhergehenden Ansprüche, wobei die Steuervorrichtungen (20,22) über eine Synchronisationsverbindung (24) Synchronisationsdaten zum Angleichen von Reglerzuständen austauschen und die Schutzmaßnahme umfasst, dass eine Rate der Synchronisationsvorgänge vergrößert wird.
9. Verfahren nach einem der vorhergehenden Ansprüche, wobei die Schutzmaßnahme umfasst, dass der jeweilige Betriebspunkt aus dem Regelbetrieb ausgeschlossen wird und hier- zu Reglerparameter der Steuervorrichtungen (20, 22) an- gepasst werden.
10. Verfahren nach einem der vorhergehenden Ansprüche, wobei bei der Simulation eine Annahme über einen maximalen Be- trag einer in der Regelstrecke (32) wirkenden Störgröße verwendet wird und die Schutzmaßnahme umfasst, dass der maximale Betrag verringert und die Simulation erneut durchgeführt wird, und auf die Störgröße hinwiesen wird, falls bei der erneuten Simulation das Sicherheitskrite- rium (48) erfüllt wird.
11. Verfahren nach einem der vorhergehenden Ansprüche, wobei das Überwachen der Ausfalltoleranz nach einem Durchführen (S14) der Schutzmaßnahme iterativ erneut durchge- führt wird.
12. Verfahren nach einem der vorhergehenden Ansprüche, wobei zum Ermitteln des mindestens einen möglichen Betriebspunkts ein bestimmungsgemäßer Betriebsbereich anhand ei- ner Konfiguration (44, 46) der Automatisierungsanlage
(10) ermittelt wird.
13. Verfahren nach einem der vorhergehenden Ansprüche, wobei zum Ermitteln des mindestens einen möglichen Betriebs- punkts bei Stellgrößenbeschränkungen von Anlagenkomponenten nur extreme Werte berücksichtigt werden.
14. Engineering-System (E) zum Auslegen und/oder Konfigurieren einer Automatisierungsanlage (10) mit mindestens zwei Steuervorrichtungen (20, 22) zum Regeln einer Regelstrecke (32) ,
dadurch gekennzeichnet, dass das Engineering-System (E) eine Analyseeinrichtung aufweist, die dazu ausgelegt ist, auf der Grundlage eines aktuellen Topologiemodells (46) der Automatisierungsanlage (10) und eines Prozessmodells (44) eines mittels der Automatisierungsanlage (10) durchzuführenden Prozesses (12) die sich ergebende Regelstrecke (32) und eine durch ein Umschalten zwischen den Steuervorrichtungen (20, 22) verursache Totzeit (T) zu ermitteln und ein Verfahren nach einem der vorhergehenden Ansprüche durchzuführen .
Automatisierungsanlage (10) mit einer Regelstrecke (32) zum Betreiben eines Prozesses (12) und mit mindestens zwei Steuervorrichtungen (20, 22) zum ausfallsicheren, abwechselnden Regeln der Regelstrecke (32),
dadurch gekennzeichnet, dass
die Automatisierungsanlage (10) dazu ausgelegt ist, im laufenden Betrieb ihre Ausfalltoleranz durch Durchführen eines Verfahrens nach einem der Ansprüche 1 bis 13 zu überwachen .
PCT/EP2014/058115 2014-04-22 2014-04-22 Überwachen einer ausfalltoleranz einer automatisierungsanlage WO2015161866A1 (de)

Priority Applications (4)

Application Number Priority Date Filing Date Title
PCT/EP2014/058115 WO2015161866A1 (de) 2014-04-22 2014-04-22 Überwachen einer ausfalltoleranz einer automatisierungsanlage
US15/305,937 US20170082998A1 (en) 2014-04-22 2014-04-22 Monitoring of failure tolerance for an automation installation
CN201480080066.4A CN106462113A (zh) 2014-04-22 2014-04-22 自动化设施的故障容差的监视
EP14720935.7A EP3117273A1 (de) 2014-04-22 2014-04-22 Überwachen einer ausfalltoleranz einer automatisierungsanlage

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/EP2014/058115 WO2015161866A1 (de) 2014-04-22 2014-04-22 Überwachen einer ausfalltoleranz einer automatisierungsanlage

Publications (1)

Publication Number Publication Date
WO2015161866A1 true WO2015161866A1 (de) 2015-10-29

Family

ID=50630778

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2014/058115 WO2015161866A1 (de) 2014-04-22 2014-04-22 Überwachen einer ausfalltoleranz einer automatisierungsanlage

Country Status (4)

Country Link
US (1) US20170082998A1 (de)
EP (1) EP3117273A1 (de)
CN (1) CN106462113A (de)
WO (1) WO2015161866A1 (de)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10503155B2 (en) * 2014-06-26 2019-12-10 Abb Schweiz Ag Method for controlling a process plant using a redundant local supervisory controller
EP3540539A1 (de) * 2018-03-15 2019-09-18 Siemens Aktiengesellschaft Verfahren zur rechnergestützten simulation des betriebs einer automatisiert arbeitenden maschine
CN112613767B (zh) * 2020-12-28 2024-03-29 精英数智科技股份有限公司 一种煤矿违规开采的识别方法、装置、设备及存储介质
EP4328681A1 (de) * 2022-08-23 2024-02-28 Siemens Aktiengesellschaft Verfahren und system zur verwaltung einer technischen anlage beim auftreten eines fehlerzustands in einem steuergerät

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2003042928A2 (en) * 2001-11-13 2003-05-22 Goodrich Pump & Engine Control Systems, Inc. Fault management system for gas turbine engines

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10030329C1 (de) * 2000-06-27 2002-01-24 Siemens Ag Redundantes Steuerungssystem sowie Steuerrechner und Peripherieeinheit für ein derartiges Steuerungssystem
ATE438125T1 (de) * 2003-10-08 2009-08-15 Continental Teves Ag & Co Ohg Integriertes mikroprozessorsystem für sicherheitskritische regelungen
EP1591849A1 (de) * 2004-04-27 2005-11-02 Siemens Aktiengesellschaft Redundantes Automatisierungssystem umfassend ein Master- und ein Stand-by-Automatisierungsgerät
CN2755305Y (zh) * 2004-08-13 2006-02-01 武汉事达电气股份有限公司 全数字式大型水轮机双通道交叉冗余微机调速器
US7424642B2 (en) * 2006-04-24 2008-09-09 Gm Global Technology Operations, Inc. Method for synchronization of a controller
CN100591148C (zh) * 2006-08-17 2010-02-17 华为技术有限公司 交换网络实时检测处理系统及方法
CN100451881C (zh) * 2006-12-08 2009-01-14 清华大学 双电机冗余控制系统
CN100492223C (zh) * 2007-03-30 2009-05-27 哈尔滨工程大学 发动机冗余电控系统切换电路
DE102009019088A1 (de) * 2009-04-20 2010-11-11 Pilz Gmbh & Co. Kg Sicherheitssteuerung zum Steuern einer automatisierten Anlage und Verfahren zum Erstellen eines Anwenderprogramms für eine Sicherheitssteuerung
CN101662257B (zh) * 2009-09-21 2012-08-22 南京航空航天大学 多相永磁容错电机的简易最优电流直接控制方法
DE102010041437B4 (de) * 2010-09-27 2016-11-03 Robert Bosch Gmbh Überprüfung von Funktionen eines Steuersystems mit Komponenten
ES2447390T3 (es) * 2011-06-10 2014-03-11 Siemens Aktiengesellschaft Procedimiento para vigilar una instalación
CN104011378B (zh) * 2011-11-21 2017-03-08 维斯塔斯风力系统集团公司 用于风力涡轮机的关机控制器和风力涡轮机的关机方法
DE102012002494A1 (de) * 2012-02-10 2013-08-14 Phoenix Contact Gmbh & Co. Kg Alternative Synchronisationsverbindungen zwischen redundanten Steuerungseinrichtungen

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2003042928A2 (en) * 2001-11-13 2003-05-22 Goodrich Pump & Engine Control Systems, Inc. Fault management system for gas turbine engines

Also Published As

Publication number Publication date
EP3117273A1 (de) 2017-01-18
CN106462113A (zh) 2017-02-22
US20170082998A1 (en) 2017-03-23

Similar Documents

Publication Publication Date Title
EP2980662B1 (de) Schutz einer automatisierungskomponente vor programmmanipulationen durch signaturabgleich
DE102013111259A1 (de) Verfahren zum bestimmen und abstimmen von prozess- merkmalparametern unter verwendung eines simulationssystems
EP2425308B1 (de) Einrichtung und verfahren zur residuenauswertung eines residuums zur erkennung von systemfehlern im systemverhalten eines systems eines flugzeugs
WO2015161866A1 (de) Überwachen einer ausfalltoleranz einer automatisierungsanlage
DE102020118259A1 (de) Echtzeitsteuerung unter verwendung der gerichteten vorhersage-simulation innerhalb eines steuerungssystems einer prozessanlage
DE102010037159A1 (de) Verfahren und Vorrichtungen zur Verwaltung von Prozesssteuersystemtests
DE102012003242A1 (de) Verfahren zum ausfallsicheren Betreiben eines Prozesssteuersystems mit redundanten Steuereinrichtungen
DE112013002374T5 (de) Kontroller und verfahren zum steuerneines betriebs eines systems
WO2006018345A1 (de) Verfahren zum betreiben eines feldgeräts der automatisierungstechnik
EP1092177A1 (de) Regler bzw. triebwerksregler, triebwerk und verfahren zum regeln eines stell- oder antriebssystems bzw. eines triebwerks
WO2012079699A1 (de) Antriebseinrichtung
DE102015009395A1 (de) Verfahren zum Kontrollieren eines Verschraubungsprozesses
EP3120202B1 (de) Update einer automatisierungsanlage im laufenden betrieb
WO2014140253A1 (de) Entwicklung eines uebergeordneten modells
EP0628182B1 (de) Verfahren zur kontrolle und steuerung von chargenprozessen
DE112020007099T5 (de) Verbesserte mustererkennungstechnik für datengesteuerte fehlererkennung in einer prozessanlage
EP3470939B1 (de) Verfahren und system zum überwachen der sicherheitsintegrität einer durch ein sicherheitssystem bereitgestellten sicherheitsfunktion
EP2309354B1 (de) Vorrichtung und Verfahren zur Simulation
WO2014140261A1 (de) R&amp;i- schema eingabe
DE102017123911A1 (de) Verfahren und Vorrichtung zum Überwachen der Reaktionszeit einer durch ein Sicherheitssystem bereitgestellten Sicherheitsfunktion
EP4200680A1 (de) Verfahren zur diagnose eines steuer- und/oder regelungssystems sowie steuer- und/oder regelungssystem
EP2624263B1 (de) Elektrische Ansteuerung für Elektromagnete
EP3686697A1 (de) Regleroptimierung für ein leitsystem einer technischen anlage
EP2864845A1 (de) Automatisierte rekonfiguration eines ereignisdiskreten regelkreises
WO2020011479A1 (de) Verfahren zum kompensieren einer fehlfunktion eines feldgeräts in einer anlage der automatisierungstechnik

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 14720935

Country of ref document: EP

Kind code of ref document: A1

REEP Request for entry into the european phase

Ref document number: 2014720935

Country of ref document: EP

WWE Wipo information: entry into national phase

Ref document number: 2014720935

Country of ref document: EP

WWE Wipo information: entry into national phase

Ref document number: 15305937

Country of ref document: US

NENP Non-entry into the national phase

Ref country code: DE