Technisches Gebiet
[0001] Die Erfindung betrifft eine Regelungsvorrichtung zur redundant abgesicherten Überwachung und Regelung einer Anlage gemäss dem Oberbegriff des Anspruchs 1 sowie ein Verfahren zur redundant abgesicherten Überwachung und Regelung einer Anlage gemäss dem Oberbegriff des unabhängigen Verfahrensanspruchs.
Stand der Technik
[0002] In vielen grosstechnischen Anlagen ist es erforderlich, den Betriebszustand der Anlage kontinuierlich zu überwachen. Hierzu werden üblicherweise ein oder mehrere Zustandsgrössen der Anlage kontinuierlich erfasst und mit einem jeweils aktuellen Sollwert verglichen. Bei Abweichung des erfassten Ist-Zustands von dem Soll-Zustand kann beispielsweise ein Warnsignal erzeugt und einem Bediener angezeigt werden, der dann geeignete Massnahmen ergreift.
Eine festgestellte Abweichung des Ist-Zustands von einem Soll-Zustand kann aber auch einem Regler zugeführt werden der auf Basis dieser Abweichung ein Steuersignal generiert, das an einen oder mehrere Aktuatoren weitergeleitet wird. Der Aktuator wird durch das Steuersignal zu einer Aktion veranlasst, die wiederum dazu führt, dass der Ist-Zustand der Anlage in Richtung des Soll-Zustands verändert wird. Derartige Regelungen bzw. Regelungsvorrichtungen sind aus dem Stand der Technik bekannt.
[0003] Insbesondere in sicherheitskritischen Anlagen liegt ein besonderes Augenmerk auf der Betriebssicherheit der Regelungsvorrichtung. Ein fehlerhafter Betrieb oder ein Versagen der Regelungsvorrichtung kann hier zu einem kritischen oder unkontrollierbaren Betriebszustand der Anlage führen, was dann einen grösseren Schaden an der Anlage oder auch der Umgebung verursachen kann.
Dies trifft insbesondere beispielsweise auf Kraftwerksanlagen zu. Aufgrund dessen, dass in Kraftwerksanlagen üblicherweise sehr hohe Energiemengen umgesetzt werden, kann eine fehlerhafte Regelung der Anlage teilweise auch zu sehr grossen Schäden führen. Die Anforderungen an die in Kraftwerksanlagen eingesetzten Regelungsvorrichtungen werden zusätzlich noch dadurch erhöht, dass aufgrund der hohen Wirkungsgradanforderungen der Normalbetrieb der Anlage oftmals sehr nahe an den Materialbelastungsgrenzen der Bauteile der Anlage erfolgt, so dass bereits kleine Abweichungen einer Regelung von einer Soll-Regelung zu einer Materialüberbelastung führen können.
So werden in modernen Kraftwerksanlagen zur Optimierung des Wirkungsgrads beispielsweise derart hohe Turbineneintrittstemperaturen gefahren, dass eine Abweichung der mittleren Turbineneintrittstemperatur um einige wenige 10 K zu einer thermischen Überbelastung der Turbineneintrittsbeschaufelung und letztendlich einem Totalversagen der Beschaufelung der Turbine führen würde.
[0004] Um den hohen Anforderungen an die Betriebssicherheit von Regelungsvorrichtungen in sicherheitskritischen Anlagen gerecht zu werden, ist aus dem Stand der Technik bekannt, zwei oder mehr Regelungsstränge parallel anzuordnen und im Betrieb miteinander abzugleichen. Eine solche Anordnung ist in Fig. 1 dargestellt.
Die hier dargestellten Regelungsstränge 2a und 2b umfassen jeweils einen oder mehrere Sensoren S1 und S2 zur sensorischen Erfassung des Ist-Zustands einer Zustandsgrösse der Anlage sowie einen Controller C1 und C2, der mit dem jeweiligen Sensor S1 und S2 oder den Sensoren über einen Leiter verbunden ist. Die Controller C1 und C2 vergleichen jeweils den sensorisch erfassten Ist-Zustand mit einem Soll-Zustand und leiten hieraus jeweils einen Regelwert ab. Als Leiter 3al und 3all werden üblicherweise elektrische Leiter zur Leitung eines analogen Sensorsignals verwendet. Da die Controller heutzutage üblicherweise Digitalregler sind, sind den Controllern in Fig. 1 jeweils eine Eingabe-Ausgabe-Einheit 4a und 4b vorgeschaltet, wobei die Eingabe-Ausgabe-Einheiten jeweils einen Analog-Digital-Wandler umfassen.
In der in Fig. 1 dargestellten Regelungsvorrichtung sind die Eingabe-Ausgabe-Einheit 4a und 4b in Signallaufrichtung jeweils unmittelbar vor dem Controller angeordnet.
Werden, wie in Fig. 1 dargestellt, zwei oder mehr Regelungsstränge 2a und 2b parallel zueinander betrieben, so werden zur Absicherung der Regelung entweder die sensorisch erfassten Sensorsignale, die den jeweiligen Ist-Zustand der Anlage wiedergeben, oder die von den Controllern ermittelten Regelwerte miteinander verglichen und auf Plausibilität überprüft. Hierzu kommunizieren die Controller miteinander. Dies ist in Fig. 1 durch die Verbindungsleitung 5 angedeutet. Weicht einer der erfassten Ist-Zustände oder der ermittelten Regelwerte deutlich von einem erwarteten Soll-Wert ab und erfüllt insofern nicht die Plausibilität, so wird dieses Sensorsignal oder dieser Regelwert nicht zur Weiterverarbeitung bzw.
Weiterleitung an die von den Reglern angesteuerten Aktuatoren verwendet. Aktuatoren können beispielsweise Pumpen zur Förderung eines Brennstoffmassenstroms oder Drosselventile zur Drosselung des Brennstoffzuflusses oder dergleichen mehr sein.
Die Aktuatoren werden, wie in Fig. 1 dargestellt, mittels eines analogen Signals über die Signalleitungen 3all und 3bll angesteuert.
Demzufolge sind die von den Reglern C1 und C2 ermittelten digitalen Regelwerte zunächst wieder mittels der Eingabe-Ausgabe-Einheiten 4a und 4b in ein analoges Signal umzusetzen und dann über die Leitungen 3all und 3bll an die Aktuatoren zu leiten.
[0005] Um hohen und sehr hohen sicherheitskritischen Anforderungen zu genügen, sind die aus dem Stand der Technik bekannten Regelungsvorrichtungen, wie in Fig. 1 dargestellt, somit durch eine parallele Mehrfach-Anordnung von Regelungssträngen mehrfach redundant ausgeführt. Dies bedingt jedoch einen hohen apparativen Aufwand. Insbesondere bei rauen Betriebsbedingungen, beispielsweise im heissen Bereich einer Kraftwerksanlage, ist zudem die Ausfallhäufigkeit der Einzel-Regelungsstränge erhöht.
Dies liegt daran, dass bei Ausfall eines Elements eines solchen Regelungsstrangs, beispielsweise des Sensors, der gesamte Regelungsstrang ausfällt.
Darstellung der Erfindung
[0006] Hier will die Erfindung Abhilfe schaffen. Der Erfindung liegt somit die Aufgabe zugrunde, eine Regelungsvorrichtung anzugeben, mit welcher die Nachteile des Standes der Technik gemindert oder vermieden werden.
[0007] Die Regelungsvorrichtung soll eine hohe redundante Absicherung sicherstellen, um so eine hohe Betriebssicherheit sowie eine nur geringe Ausfallwahrscheinlichkeit zu gewährleisten. Insbesondere soll die Regelungsvorrichtung darüber hinaus zur Verwendung in sicherheitskritischen Anlage, beispielsweise in Kraftwerksanlagen, geeignet sein.
Gleichzeitig soll der apparative Aufwand für die redundante Absicherung der erfindungsgemäss ausgebildeten Regelungsvorrichtung im Vergleich zu herkömmlichen, redundant abgesicherten Regelungsvorrichtungen möglichst gering sein.
[0008] Diese Aufgabe wird erfindungsgemäss durch die Regelungsvorrichtung gemäss Anspruch 1 sowie das Verfahren gemäss dem unabhängigen Verfahrensanspruch gelöst.
Weitere vorteilhafte Ausgestaltungen der Erfindung finden sich in den abhängigen Patentansprüchen.
[0009] Die erfindungsgemäss ausgebildete Regelungsvorrichtung zur redundant abgesicherten Überwachung und Regelung einer Anlage umfasst wenigstens drei voneinander unabhängige Regelungsstränge sowie eine Bewertungseinheit.
Die wenigstens drei voneinander unabhängigen Regelungsstränge umfassen jeweils eine feldbasierte Sammler-Verteiler-Einheit mit wenigstens einem Eingang zum Empfangen von Eingangssignalen und/oder wenigstens einem Ausgang zum Ausgeben von Ausgangssignalen, eine Auswerteeinheit zur Ermittlung von Regelwerten aus den Eingangssignalen sowie eine redundant ausgebildete Signalleitungseinrichtung zur redundanten, bidirektionalen Übertragung von Signalen zwischen der Sammler-Verteiler-Einheit und der Auswerteeinheit.
Ferner kommuniziert die Bewertungseinheit mit den Auswerteeinheiten der Regelungsstränge, um einen Abgleich der Eingangssignale und/oder der von den Auswerteeinheiten ermittelten Regelwerte durchzuführen. Die Kommunikation zwischen der Bewertungseinheit und den Auswerteeinheiten erfolgt jeweils bidirektional.
[0010] Feldbasiert bedeutet in diesem Zusammenhang, dass die Sammler-Verteiler-Einheiten im Umfeld der Sensoren bzw. Aktuatoren und somit beabstandet zu der jeweils zugehörigen Auswerteeinheit angeordnet sind. Die Sammler-Verteiler-Einheiten werden somit als Remote-Einheiten betrieben. Im Gegensatz zu Remote-Einheiten sind beispielsweise die in Fig. 1 dargestellten Analog-Digital-Wandler 4a und 4b unmittelbar an dem jeweiligen Controller C1 und C2 angeordnet.
Ein Vorteil der Remote-Anordnung der Sammler-Verteiler-Einheiten liegt darin, dass alle Eingangs- und Ausgangssignale der jeweiligen Regelungsstränge in den Signallaufbereichen zwischen den Sammler-Verteiler-Einheiten und den Auswerteeinheiten, d.h. über einen grossen Streckenbereich der Signallauflänge, über eine gemeinsame Signalleitungseinrichtung übertragen werden. Auch können die Signale in der Sammler-Verteiler-Einheit in geeigneter Weise vor der Übertragung aufbereitet werden. Um die Betriebssicherheit der Signallaufstrecken zwischen den Sammler-Verteiler-Einheiten und den Auswerteeinheiten zu erhöhen, sind die Signalleitungseinrichtungen zusätzlich redundant ausgebildet.
[0011] Vorzugsweise ist jeder Regelungsstrang über den wenigstens einen Eingang der jeweiligen Sammler-Verteiler-Einheit mit wenigstens einem Sensor verbunden.
Die Sensoren dienen zur sensorischen Erfassung eines jeweils aktuellen Zustandswertes einer Zustandsgrösse der sicherheitskritischen Anlage. Es ist aber auch möglich, dass andere Zustandsgrössen, beispielsweise Stellwerte von Aktuatoren, als Eingangssignale dienen.
[0012] Weiterhin ist zweckmässig jeder Regelungsstrang über den wenigstens einen Ausgang der jeweiligen Sammler-Verteiler-Einheit mit wenigstens einem Aktuator, beispielsweise einem Elektromotor, verbunden. Mittels der Aktuatoren werden beispielsweise Stellelemente, wie beispielsweise Drosselelemente zur Regelung eines Durchflusses, betätigt.
[0013] Die erfindungsgemäss ausgebildete Regelungsvorrichtung eignet sich insbesondere zur redundant abgesicherten Überwachung und Regelung einer Kraftwerksanlage, beispielsweise zur Überwachung und Regelung der Leistungsumsetzung der Kraftwerksanlage.
Hierzu kann dann beispielsweise eine maximale Eintrittstemperatur in eine Turbine der Kraftwerksanlage und/oder andere oder weitere Zustandsgrössen sensorisch erfasst und hieraus ein redundant abgesicherter Regelwert ermittelt werden. Mittels des redundant abgesicherten Regelwertes lässt sich so dann beispielsweise die Kraftstoffzufuhr zu der Brennkammer regeln. Aus dem erfassten Zustandswert bzw. den erfassten Zustandswerten können aber auch mehrere Regelparameter abgeleitet werden.
[0014] Da die erfindungsgemäss ausgebildete Regelungsvorrichtung wenigstens drei, voneinander unabhängige Regelungsstränge umfasst, kann eine redundante Absicherung der Eingangssignale und/oder der von den Regelungssträngen ermittelten Regelwerte in einfacher Weise zweckmässig über eine Mehrheitsbewertung vorgenommen werden.
Sind beispielsweise für alle drei Regelungsstränge sowohl die Eingangsgrössen als auch die Regelungsgrössen dieselben, so kann die Mehrheitsbewertung zweckmässig so durchgeführt werden, dass lediglich eine maximale Toleranzabweichung der Eingangssignale und/oder der ermittelten Regelwerte überprüft wird. Weicht hierbei ein Eingangssignalwert und/oder ein ermittelter Regelwert stärker als die maximale Toleranzabweichung von den anderen Werten ab, so wird dieser als fehlerhaft erachtet und nicht zur Ermittlung des redundant abgesicherten Regelwertes herangezogen bzw. nicht an die angeschlossenen Aktuatoren ausgegeben.
Vorzugsweise wird in diesem Fall zusätzlich ein Fehlersignal generiert, das einem Bediener den Ausfall des betreffenden Regelungsstrangs anzeigt.
Werden von den Regelungssträngen unterschiedliche Zustandsgrössen als Eingangssignale erfasst, so sind die sensorisch erfassten Zustandswerte der Zustandgrössen oder die ermittelten Regelwerte zum Zwecke der Mehrheitsbewertung in geeigneter Weise miteinander zu korrelieren. Zusätzlich zu der Mehrheitsbewertung kann in allen Fällen auch noch eine weitere, beispielsweise modellbasierte Plausibilitätsprüfung durchgeführt werden.
Derartige modellbasierte Plausibilitätsprüfungen sind aus dem Stand der Technik bekannt.
[0015] Durch die jeweils zwischen Sensor und Auswerteeinheit angeordnete, redundant ausgebildete Signalleitungseinrichtung wird sichergestellt, dass die Übertragung des Signals von der Sammler-Verteiler-Einheit zu der Auswerteeinheit redundant erfolgt. Dies ist insbesondere daher von besonderem Vorteil, da bei nicht redundant vorgenommener Signalübertragung Signalübertragungsfehler oder Signalstörungen nicht behoben werden können. So kann in herkömmlichen Vorrichtungen mit nicht redundanter Signalleitung beispielsweise bereits ein Kabelbruch der Signalleitung zu einem Gesamtausfall des Regelungsstrangs führen. Insbesondere bei analogen elektrischen Signalen kann es aber auch zu einer Signalverfälschung aufgrund von Signaleinstreuungen kommen.
Durch die redundante Signalübertragung können Fehler oder Signalverfälschungen, die bei der Signalübertragung auftraten, unmittelbar erkannt und korrigiert werden. Es zeigte sich, dass die redundant ausgeführten Signalleitungseinrichtungen der Regelungsstränge der erfindungsgemäss ausgebildeten Regelungsvorrichtung einen wesentlichen Beitrag zu einer Verminderung der Ausfallwahrscheinlichkeit der gesamten Regelungsvorrichtung liefern.
[0016] Durch die Kombination von redundant ausgeführten Elementen der Regelungsvorrichtung mit dem von der Bewertungseinheit durchgeführten Abgleich der Eingangssignale und/oder der ermittelten Regelwerte lässt sich so mittels der erfindungsgemäss ausgebildeten Regelungsvorrichtung eine sehr hohe Absicherung der Überwachung und Regelung einer Anlage erzielen.
Die erfindungsgemäss ausgebildete Regelungsvorrichtung eignet sich daher in besonderem Masse zur Verwendung in sicherheitskritischen Anlagen.
[0017] Zweckmässig umfasst die Regelungsvorrichtung genau drei Regelungsstränge. Die von der Bewertungseinheit durchgeführte Bewertung erfolgt dann zweckmässig als eine Zwei-aus-drei Bewertung, d.h. liegen wenigstens zwei Eingangssignale und/oder ermittelte Regelwerte innerhalb eines Toleranzbereichs, so wird davon ausgegangen, dass diese Eingangssignale und/oder diese ermittelten Regelwerte korrekt sind und die Regelung der Anlage auf Basis dieser Werte erfolgen kann.
[0018] Insbesondere aus Kostengründen wird es oftmals zweckmässig sein, die Bewertungseinheit und eine der Auswerteeinheiten einteilig als Auswerte-und Bewertungseinheit auszubilden.
Heutige digitale Regler verfügen zumeist über hinreichend Rechenleistung, um die gesamten Berechnungsvorgänge, die von der Bewertungseinheit und einer der Auswerteeinheiten durchzuführen sind, mittels nur einer gemeinsam ausgebildeten Auswerte- und Bewertungseinheit durchzuführen. In diesem Fall ist die Bewertungseinheit und die Auswerteeinheiten nur funktional innerhalb des Programmablaufs unterschieden.
[0019] Hierbei ist es zweckmässig, wenn die Funktion der Bewertungseinheit auch während des Betriebs der Regelungsvorrichtung auf eine der anderen Auswerteeinheiten übertragbar ist. Diese Übertragbarkeit der Funktion wird insbesondere dann mit Vorteil angewendet, wenn die ursprünglich gemeinsam ausgebildete Auswerte- und Bewertungseinheit während des Betriebs der Anlage unvorhergesehen ausfällt.
Durch ein Übertragen der Funktion der Bewertungseinheit auf eine andere Auswerteeinheit kann sichergestellt werden, dass auch bei Ausfall der ursprünglich gemeinsam ausgebildeten Auswerte- und Bewertungseinheit weiterhin eine redundant abgesicherte Regelung der Anlage mittels der verbleibenden Auswerteeinheiten durchgeführt werden kann.
[0020] Es kann aber auch zweckmässig sein, die Bewertungseinheit und alle Auswerteeinheiten einteilig als integrale Auswerte- und Bewertungseinheit auszubilden.
Jedoch muss die integrale Auswerte- und Bewertungseinheit dann wenigstens zwei voneinander getrennt zu betreibende Berechnungseinheiten, beispielsweise wenigstens zwei Prozessoren, umfassen, da ansonsten ein Ausfall der einen Berechnungseinheit zu einem Ausfall der gesamten Regelungsvorrichtung führen würde.
[0021] Alternativ kann die Bewertungseinheit aber auch als eine übergeordnete und von den Auswerteeinheiten getrennte Kontrolleinheit ausgebildet sein.
[0022] Zweckmässig sind die Auswerteeinheiten jeweils als Controller ausgebildet.
Derartige, insbesondere digital arbeitende Controller sind beispielsweise als speicherprogrammierbare Steuerungen (SPS) hinlänglich bekannt und am Markt erhältlich.
[0023] Bei einer getrennten Realisierung der Auswerteeinheiten von der Bewertungseinheit ist die Bewertungseinheit dann zweckmässig als zentraler Controller ausgebildet.
[0024] Zweckmässig ist in jeder Eingabe/Ausgabe-Einheit ein Analog-Digital-Wandler sowie ein Digital-Analog-Wandler integriert. Vorzugsweise umfasst jede Eingabe/Ausgabe-Einheit eine Mehrzahl von Eingängen und/oder eine Mehrzahl von Ausgängen. Die Ein- und Ausgänge sind hierbei wahlfrei aufschaltbar, d.h. die Schaltreihenfolge kann zweckmässig sowohl vor Inbetriebnahme der Regelungsvorrichtung festgelegt werden als auch während des Betriebs der Regelungsvorrichtung geändert werden.
Ein von einem Sensor kommendes analoges Signal wird gemäss der vorgegebenen Schaltreihenfolge durchgeschaltet und gelangt so zu dem Analog-Digital-Wandler und wird hier zur Weiterleitung in ein Digitalsignal umgesetzt. Umgekehrt wird ein von der Bewertungseinheit oder einer der Auswerteeinheiten gesendetes digitales Signal in dem Digital-Analog-Wandler in ein analoges Signal umgesetzt und erst danach an einen Aktuator weitergeleitet.
[0025] Ferner sind die redundant ausgebildeten Signalleitungseinrichtungen zur redundanten, bidirektionalen Übertragung von Signalen zweckmässig als Feldbus-Systeme ausgeführt. Hierfür geeignete Feldbus-Systeme sind aus dem Stand der Technik bekannt. Mittels Feldbus-Systemen werden üblicherweise digitale Signale übertragen.
Die Übertragung eines digitalen Signals bietet den Vorteil, dass Signalverfälschungen durch geeignete Codierung korrigierbar sind. Auch kann eine Redundanz in einfacher Weise mittels einer zweiten Leitung und einem einfachen Vergleich der digitalen Signale erzielt werden.
[0026] In einem weiteren Aspekt stellt die Erfindung ein Verfahren zur redundant abgesicherten Überwachung und Regelung einer Anlage zur Verfügung. Das Verfahren umfasst, in wenigstens drei voneinander getrennten, weitgehend gleichzeitig abzuarbeitenden Abläufen jeweils einen aktuellen Zustandswert der Anlage zu erfassen, den erfassten aktuellen Zustandswert jeweils über eine redundante, bidirektionale Übertragung einer Auswertung als Eingangssignal zuzuführen und auf Basis des jeweils erfassten und der Auswertung zugeführten Zustandswertes jeweils einen Regelwert zu ermitteln.
Des Weiteren werden die Eingangssignale und/oder die wenigstens drei getrennt voneinander ermittelten Regelwerte in einem nachfolgenden gemeinsamen Ablaufschritt miteinander abgeglichen. Die Abläufe sind hierbei weitgehend gleichzeitig abzuarbeiten. Die Gleichzeitigkeit bezieht sich im Wesentlichen auf die Zustandserfassung. Die Abarbeitung der Signale nach der Zustandserfassung kann auch zueinander zeitversetzt erfolgen. Beim Abgleich sind jedoch wiederum zeitgleiche Werte miteinander abzugleichen.
[0027] Gemäss einer Weiterbildung des Verfahrens werden die wenigstens drei getrennt voneinander ermittelten Regelwerte über eine Mehrheitsbewertung miteinander abgeglichen.
[0028] Ferner wird der Zustandswert zweckmässig sensorisch erfasst.
[0029] Des Weiteren wird wenigstens ein abgeglichener Regelwert wenigstens einem Aktuator zugeführt.
Die Zuführung erfolgt hierbei vorzugsweise über die redundante, bidirektionale Übertragung.
[0030] Das erfindungsgemässe Verfahren eignet sich insbesondere zur redundant abgesicherten Überwachung und Regelung einer Kraftwerksanlage.
[0031] Das Verfahren kann in einer wie oben im Zusammenhang mit der erfindungsgemäss ausgebildeten Regelungsvorrichtung beschriebenen Weise weitergebildet sein. Insbesondere eignet sich das erfindungsgemässe Verfahren zum Betreiben der erfindungsgemäss ausgebildeten Regelungsvorrichtung.
Kurze Beschreibung der Zeichnungen
[0032] Die Erfindung wird nachfolgend anhand eines in den Figuren illustrierten Ausführungsbeispiels näher erläutert. Es zeigen:
<tb>Fig. 1<sep>eine aus dem Stand der Technik bekannte Regelungsvorrichtung;
<tb>Fig. 2<sep>eine erfindungsgemäss ausgeführte Regelungsvorrichtung.
[0033] In den Figuren sind nur die für das Verständnis der Erfindung wesentlichen Elemente und Bauteile dargestellt.
Die dargestellten Ausführungsbeispiele sind rein instruktiv zu verstehen und sollen einem besseren Verständnis dienen, jedoch nicht als Einschränkung des Erfindungsgegenstandes verstanden werden.
Wege zur Ausführung der Erfindung
[0034] Fig. 1 zeigt eine aus dem Stand der Technik bekannte Regelungsvorrichtung 1, wie sie beispielsweise in Kraftwerken zum Einsatz kommt. Die hier dargestellte Regelungsvorrichtung 1 umfasst zwei Regelungsstränge 2a und 2b, die zueinander redundant betrieben werden. Jeder Regelungsstrang 2a und 2b umfasst jeweils einen Sensor S1 und S2 zur sensorischen Erfassung einer Zustandsgrösse des Kraftwerks, beispielsweise der Turbinenaustrittstemperatur.
Weiterhin umfasst jeder Regelungsstrang 2a und 2b eine Signalleitung 3al und 3bl, die den jeweiligen Sensor S1 bzw. S2 mit dem Eingang einer Eingabe/Ausgabe-Einheit 4a bzw. 4b verbindet. Jede der Eingabe/Ausgabe-Einheiten 4a und 4b weist neben einem Eingang auch einen Ausgang auf. Über die Ausgänge und über weitere Signalleitungen 3all und 3bll, die mit den Ausgängen verbunden sind, werden jeweils Aktuatoren A1 und A2 angesteuert. Als Aktuatoren können beispielsweise Elektromotoren eingesetzt sein, über die Drosselelemente in einer oder mehreren Zuflussleitungen, beispielsweise in einer oder mehreren Brennstoffzuflussleitungen, verstellt werden, um so die Brennstoffzufuhr des Kraftwerks zu regeln. Das Drosselelement selbst wäre dann nicht redundant ausgeführt, die verbunden sind.
Die Eingabe/Ausgabe-Einheiten 4a und 4b sind jeweils unmittelbar angrenzend an einen Controller C1 bzw. C2 angeordnet und dienen einerseits der Signalein- und -ausleitung in und aus den Controllern C1 und C2 und andererseits auch der Signalaufbereitung. Unter Signalaufbereitung ist bezogen auf den Eingang im Wesentlichen eine Analog-Digital-Wandlung und bezogen auf den Ausgang eine Digital-Analog-Wandlung zu verstehen. D.h. ein von einem Sensor S1 oder S2 kommendes analoges Signal wird in der jeweiligen Eingabe/Ausgabe-Einheit 4a bzw. 4b analog-digital gewandelt und erst nach dieser Wandlung als digitales Signal an den jeweiligen Controller C1 bzw. C2 weitergeleitet. In dem Controller C1 bzw. C2 wird das Sensorsignal verarbeitet und ein Regelwert ermittelt. Bevor der Regelwert über den Ausgang der Eingabe/Ausgabe-Einheit 4a bzw. 4b an den jeweiligen Aktuator A1 bzw.
A2 übermittelt wird, werden die in den Controllern C1 und C2 der beiden Regelungsstränge 2a und 2b getrennt voneinander ermittelten Regelwerte miteinander abgeglichen. Die hierfür nötige Kommunikation der Controller C1 und C2 erfolgt über die Kommunikationsleitung 5.
[0035] Die in Fig. 1 dargestellte, aus dem Stand der Technik bekannte Regelungsvorrichtung weist jedoch den Nachteil auf, dass die Regelungsstränge zueinander nur einfach redundant sind. Weicht der von einem der beiden Controller ermittelte Regelwert von dem Regelwert des anderen Controllers in erheblichem Masse ab, so kann nur über eine Plausibilitätsbetrachtung entschieden werden, welcher Regelwert als Regelungsvorgabe für die Regelung zu verwenden ist. Auch ist die Übertragung der analogen Signale über die Signalleitungen sehr anfällig für Signalverfälschungen durch Einstreuungen aus der Umgebung.
Insgesamt weist die in Fig. 1 dargestellte Regelungsvorrichtung trotz Redundanz somit eine geringere Robustheit auf und ist dementsprechend nur bedingt für einen Einsatz in einer Anlage mit sehr hohen sicherheitskritischen Anforderungen geeignet.
[0036] Fig. 2 zeigt in schematischer Darstellung eine erfindungsgemäss ausgeführte Regelungsvorrichtung 10 zur redundant abgesicherten Überwachung und Regelung einer Kraftwerksanlage.
Die hier dargestellte Regelungsvorrichtung 10 kann aber ebenso auch in anderen sicherheitskritischen Anlagen zur Anwendung kommen.
[0037] Die erfindungsgemäss ausgebildete Regelungsvorrichtung 10 umfasst drei, voneinander unabhängige Regelungsstränge 12a, 12b, 12c sowie eine Bewertungseinheit 13.
[0038] Jede Regelungsstrang 12a, 1b bzw. 12c umfasst eine feldbasierte Sammler-Verteiler-Einheit, die hier als Eingabe/Ausgabe-Einheiten (I/O-Einheit) 15a, 15b, 15c ausgebildet sind. Die Eingabe/Ausgabe-Einheiten 15a, 15b, 15c umfassen jeweils insgesamt drei Anschlusskanäle15a-1, 15a-2, 15a-3 bzw. 15b-1, 15b-2, 15b-2 bzw. 15c-1, 15c-2, 15c-3, die wahlweise als Eingang oder auch als Ausgang genutzt werden können.
Von den Anschlusskanälen der Eingabe/Ausgabe-Einheiten 15a und 15b des ersten und zweiten Regelungsstrangs 12a und 12b wird jeweils der erste Anschlusskanal 15a-1 bzw. 15b-1als Eingang und der zweite sowie der dritte Anschlusskanal 15a-2 bzw. 15b-2 sowie 15a-3 bzw. 15b-3 jeweils als Ausgang genutzt. Von den Anschlusskanälen der Eingabe/Ausgabe-Einheit 15c des dritten Regelungsstrangs 12c wird der erste Anschlusskanal 15c-1 als Eingang und der zweite Anschlusskanal 15c-2 als Ausgang genutzt. Der dritte Anschlusskanal 15c-3 der Eingabe/Ausgabe-Einheit 15c des dritten Regelungsstrangs 12c ist hier nicht besetzt.
[0039] Die Eingänge der Eingabe/Ausgabe-Einheiten 15a, 15b, 15c sind hier jeweils über Signalleitungen 20 mit einem Drucksensor 16a, 16b, 16c verbunden, der einen Betriebsdruck der Kraftwerksanlage sensorisch erfasst und ein analoges elektrisches Drucksignal generiert.
Die Ausgänge der Eingabe/Ausgabe-Einheiten 15a, 15b, 15c sind jeweils über Signalleitungen 20 mit Aktuatoren verbunden. Im Falle der Eingabe/Ausgabe-Einheiten 15a, 15b des ersten und zweiten Regelungsstrangs 12a bzw. 12b ist jeweils der erste Ausgang mit einem elektrischen Antrieb 17a bzw. 17b und der zweite Ausgang mit einem elektro-hydraulischen/pneumatischen Umwandler 18a bzw. 18b verbunden. Die elektrischen Antriebe 17a und 17b steuern jeweils ein erstes Drosselelement, hier beispielsweise ein Schiebeventil 21a bzw. 21b in einer Zuflussleitung 22a bzw. 22b. Die elektrohydraulischen/pneumatischen Umwandler 18a bzw. 18b wandeln jeweils ein elektrisches Signal in einen hydraulischen oder pneumatischen Druck, der wiederum zur Ansteuerung eines zweiten Drosselelements 23a bzw. 23b dient.
Bei den ersten und zweiten Drosselelementen 21a bzw. 21b bzw. 23a bzw. 23b kann es sich jeweils auch um ein- und dasselbe Drosselelement handeln, das dann lediglich über zwei getrennte Aktuatoren angesteuert wird. In den meisten Anwendungsfällen würde dies unter dem Aspekt einer Betriebssicherheit ausreichend sein, da zumeist nicht der Aktuator, sondern lediglich die Ansteuerung ausfallgefährdet ist. Auch ist es möglich, dass insgesamt nur ein Aktuator angeordnet ist. Dies bedeutet, dass in diesem Fall mit den Bezugszeichen 21a, 23a b und 21b, 23b ein- und derselbe Aktuator bezeichnet ist. Die beiden Drosselelemente 21a und 23a bzw. 21b und 23b können aber auch beispielsweise in einer Zuflussleitung hintereinander angeordnet sein.
In allen Fällen ist jedoch die Betriebssicherheit der Regelungsvorrichtung durch Redundanz zumindest der Ansteuerung der Aktuatorik deutlich erhöht.
[0040] Die Eingabe/Ausgabe-Einheiten 15a, 15b und 15c umfassen jeweils neben einer Signalweiche, die eine gezielte Zuschaltung der Ein- und Ausgänge ermöglicht, eine Analog-Digital-Wandlereinheit.
Die Analog-Digital-Wandlereinheit ist in Signallaufrichtung von dem Sensor kommend vorzugsweise hinter der Signalweiche angeordnet und kann sowohl ein analoges, von dem Sensor kommendes Eingangssignal in ein digitales Signal als auch umgekehrt ein aus der dem Sensor und den Aktuatoren abgewandten Richtung kommendes, digitales Signal in ein analoges Ausgangssignal wandeln.
[0041] Weiterhin umfasst jeder Regelungsstrang 12a, 12b bzw. 12c jeweils einen als Auswerteeinheit zur Ermittlung von Regelwerten aus den Eingangssignalen ausgebildeten Controller C1, C2 bzw. C3 sowie jeweils eine redundant ausgebildete Signalleitungseinrichtung 14a, 14b bzw. 14c zur redundanten, bidirektionalen Übertragung von Signalen zwischen der jeweiligen Eingabe/Ausgabe-Einheit 15a, 15b, 15c und dem jeweiligen Controller C1, C2 bzw.
C3.
[0042] Zur gegenseitigen Absicherung der von den Auswerteeinheiten ermittelten Regelwerte ist der Controller C1 des ersten Regelungsstrangs 12a hier als Controller mit geschlossenem Regelkreis und der Controller C2 des zweiten Regelungsstrangs 12b als Controller mit offenem Regelkreis ausgeführt. Der Controller 12a führt somit eine regeltechnisch geschlossene Überwachung und Regelung des Betriebszustands der Anlage durch.
Wird jedoch durch eine Betriebsstörung der geschlossene Regelkreis unterbrochen, so lassen sich weiterhin über den offenen Regelkreis des Controllers C2 Regelwerte ermitteln.
[0043] Die Signalleitungseinrichtung 14a, 14b 14c ist hier jeweils als redundantes Feldbus-System ausgebildet und umfasst jeweils neben zwei Signalleitungen 14a-1l, 14a-1ll bzw. 14b-1l, 14b-1ll bzw. 14c-1l, 14c-1ll jeweils an den Enden der Signalleitungen angeordnete Kommunikations-Schnittstellen (Communication Interfaces) 14a-2l, 14a-2ll bzw. 14b-2l, 14b-2II bzw. 14c-2l, 14c-2ll und 14a-3l, 14a-3ll bzw. 14b-3l, 14b-3ll bzw. 14c-3l, 14c-3ll zur Ein- und Ausleitung der über die Signalleitungen zu übertragenden oder übertragenen Signale.
Die Übertragung der Signale erfolgt hier digital und somit tolerant gegen signalverfälschenden Einstreuungen.
[0044] Die Bewertungseinheit 13 ist hier als übergeordnete Kontrolleinheit ausgebildet, die mit den Controllern C1, C2 und C3 der Regelungsstränge 12a, 12b und 12c kommuniziert. Über die Bewertungseinheit 13 findet ein Abgleich der von den Controllern ermittelten Regelwerte statt, um so die für die Regelung verwendeten Regelwerte redundant gegeneinander abzusichern. Der Abgleich der von den Controllern ermittelten Regelwerte erfolgt hier nach dem Zwei-aus-drei Prinzip, d.h. es wird durch die Bewertungseinheit 13 überprüft, ob sich die von den Controllern ermittelten Regelwerte zueinander in einem gewissen, vorgegebenen Toleranzband befinden.
Ist dies nicht der Fall, so wird derjenige Wert, der gegenüber den beiden anderen Werten aus dem Toleranzband abweicht, als fehlerhaft bewertet und nicht als Regelwert weiterverarbeitet. Somit ist jeder der Regelung zugrunde liegende Regelwert redundant abgesichert. Zusätzlich zu einer Zwei-aus-drei Bewertung kann durch die Bewertungseinheit 13 noch eine modellbasierte Plausibilitätsprüfung oder ein Abgleich mit weiteren Eingabegrössen durchgeführt werden.
[0045] Ein Regelvorgang der erfindungsgemäss ausgebildeten Regelungsvorrichtung 10 verläuft somit in der Weise, dass in einem ersten Schritt über die Drucksensoren 16a, 16b und 16c jeweils ein Drucksignal als Zustandswert der zu überwachenden Anlage erfasst wird.
Die analogen Drucksignale werden den jeweiligen Analog-Digital-Wandler der Eingabe/Ausgabe-Einheiten 15a, 15b und 15c aufgeschaltet und nach der Analog-Digital-Wandlung als Digitalsignal den jeweiligen Kommunikations-Schnittstellen 14a-3l, 14a-3ll bzw. 14b-3l, 14b-3ll bzw. 14c-3l, 14c-3ll zugeführt. Über die Kommunikations-Schnittstellen wird das Signal jeweils in die zwei, zueinander redundanten Leitungen 14a-1l, 14a-1ll bzw. 14b-1l, 14b-1ll bzw. 14c-1l, 14c-1ll des jeweiligen Feldbus-Systems 14a, 14b bzw. 14c eingespeist. Die Feldbus-Systeme bilden jeweils die Kommunikationsverbindungen zwischen den Eingabe/Ausgabe-Einheiten 15a, 15b, 15c und den Controllern C1, C2, C3 und leiten somit das digitale Drucksignal zu den Controllern.
Dort werden die Drucksignale wiederum mittels den Kommunikations-Schnittstellen 14a-2l, 14a-2ll bzw. 14b-2l, 14b-2II bzw. 14c-2l, 14c-2ll aus den Feldbus-Systemen 14a, 14b bzw. 14c ausgekoppelt und anschliessend den jeweiligen Controllern C1, C2 bzw. C3 zugeführt, in dem jeweiligen Controller gemäss dem dort jeweils hinterlegten Regelgesetz weiterverarbeitet und hieraus jeweils ein Regelwert abgeleitet. Die von den Controllern so abgeleiteten Regelwerte werden dann der Bewertungseinheit 13 übermittelt und von der Bewertungseinheit 13 nach dem Zwei-aus-drei Bewertungsprinzip miteinander abgeglichen. Die miteinander abgeglichenen Regelwerte werden dann wieder von der Bewertungseinheit 13 an die jeweiligen Controller C1 bzw. C2 bzw.
C3 übergeben und durchlaufen den jeweils umgekehrten Signallaufweg von dem jeweiligen Controller zu der jeweiligen Eingabe/Ausgabe-Einheit15a bzw. 15b bzw. 15c. In den Eingabe/Ausgabe-Einheiten wird der Regelwert dann über die Ausgänge an den jeweiligen Aktuator 17a oder 18a oder 17b oder 18b oder 17c übergeben. Hierzu wird der Regelwert zunächst noch in der jeweiligen Eingabe-Ausgabe-Einheit digital-analog gewandelt.
[0046] Die Regelungsvorrichtung 10 ist somit insgesamt mehrfach redundant abgesichert. Diese Redundanz gilt sowohl in Bezug auf die Regelungsstränge 12a, 12b und 12c als Ganze als auch auf besonders ausfallgefährdete oder fehleranfällige Teilabschnitte der Regelungsstränge wie beispielsweise die Signalleitungen oder die Aktuatorik. Dies führt zu einer sehr hohen Sicherheit gegen ein Ausfallen der Regelungsvorrichtung.
Auch wird durch den Abgleich der ermittelten Regelwerte eine sehr hohe Genauigkeit der Regelung erzielt. Die erfindungsgemäss ausgebildete Regelungsvorrichtung genügt daher sehr hohen sicherheitstechnischen Anforderungen und ist zum Einsatz in sicherheitskritischen Anlagen geeignet.
[0047] Gleichzeitig ist der apparative Aufwand trotz sehr hoher Redundanz der Regelungsvorrichtung jedoch vergleichsweise gering.
[0048] Die im Zusammenhang mit Fig.
2 beschriebene Regelungsvorrichtung sowie das zugehörige Betriebsverfahren stellen beispielhafte Ausführungsformen der Erfindung dar, die von einem Fachmann durchaus in vielfältiger Weise ohne Weiteres modifiziert werden können, ohne den Erfindungsgedanken hierdurch zu verlassen.
Bezugszeichenliste
[0049] 1 Regelungsvorrichtung (StdT)
[0050] 2a, 2b Regelungsstränge
[0051] 3al, 3all, 3bl, 3bll Signalleitungen
[0052] 4a, 4b Eingabe/Ausgabe-Einheiten (I/O-Einheiten)
[0053] 5 Kommunikationsleitung
[0054] 10 erfindungsgemäss ausgeführte Regelungsvorrichtung
[0055] 12a, 12b, 12c Regelungsstränge
[0056] 13 Bewertungseinheit
[0057] 14a, 14b, 14c Feldbus-Systeme
[0058] 14a-1l, 14a-1ll, 14b-1l, 14b-1ll, 14c-1l, 14c-1ll Leitungen der Feldbus-Systeme
[0059] 14a-2l, 14a-2ll, 14b-2l, 14b-2ll, 14c-2l, 14c-2ll Kommunikationsschnittstellen
[0060] 14a-3l, 14a-3ll, 14b-3l,
14b-3ll, 14c-3l, 14c-3ll Kommunikationsschnittstellen
[0061] 15a, 15b, 15c Eingabe/Ausgabe-Einheiten (I/O-Einheit)
[0062] 15a-1,15a-2, 15a-3, 15b-1, 15b-2, 15b-3, 15c-1, 15c-2, 15c-3 Anschlüsse der Eingabe/Ausgabe-Einheiten
[0063] 16a, 16b, 16c Drucksensoren
[0064] 17a, 17b, 17c Elektromotoren
[0065] 18a, 18b, 18c elektro-hydraulisch/pneumatischer Umsetzer
[0066] 20 Signalleitungen
[0067] 21a, 21b, 21c Ventile
[0068] 22a, 22b, 22c Zuleitungen
[0069] 23a, 23b, 23c Ventile
[0070] 24a, 24b, 24c Zuleitungen
[0071] A1, A2 Aktuatoren
[0072] C1, C2, C3 Controller
[0073] CL-C geschlossener Regelkreis-Controller
[0074] OL-C offener Regelkreis-Controller
[0075] S1, S2 Sensoren
[0076] I/O Eingabe/Ausgabe-Einheit (I/O-Einheit)
[0077] E/P Drucksensor
[0078] E/H elektro-hydraulisch/pneumatischer Umsetzer
Technical area
The invention relates to a control device for redundant secure monitoring and control of a system according to the preamble of claim 1 and a method for redundant secure monitoring and control of a system according to the preamble of the independent method claim.
State of the art
In many large-scale systems, it is necessary to continuously monitor the operating condition of the system. For this purpose, usually one or more state variables of the system are continuously detected and compared with a respective current setpoint. In case of deviation of the detected actual state from the desired state, for example, a warning signal can be generated and displayed to an operator, who then takes appropriate measures.
However, a detected deviation of the actual state from a desired state can also be supplied to a controller which, on the basis of this deviation, generates a control signal which is forwarded to one or more actuators. The actuator is caused by the control signal to an action, which in turn leads to the actual state of the system is changed in the direction of the desired state. Such regulations or control devices are known from the prior art.
In safety-critical systems, particular attention is paid to the operational safety of the control device. A faulty operation or failure of the control device can lead here to a critical or uncontrollable operating condition of the system, which can then cause greater damage to the system or the environment.
This applies in particular, for example, to power plants. Due to the fact that in power plants usually very high amounts of energy are implemented, a faulty control of the system can sometimes lead to very large damage. The requirements of the control devices used in power plants are additionally increased by the fact that due to the high efficiency requirements of normal operation of the system often very close to the material load limits of the components of the system, so that even small deviations of a control of a target control to a material overload being able to lead.
For example, in modern power plants to optimize the efficiency such high turbine inlet temperatures are driven that a deviation of the average turbine inlet temperature by a few 10 K would lead to a thermal overload of the turbine inlet blading and ultimately a total failure of the blading of the turbine.
In order to meet the high demands on the reliability of control devices in safety-critical systems, it is known from the prior art to arrange two or more control strands in parallel and to match each other in operation. Such an arrangement is shown in FIG.
The control lines 2a and 2b shown here each include one or more sensors S1 and S2 for sensory detection of the actual state of a state variable of the system and a controller C1 and C2 which is connected to the respective sensor S1 and S2 or the sensors via a conductor , The controllers C1 and C2 respectively compare the sensory detected actual state with a desired state and derive therefrom a respective control value. As conductors 3al and 3all electrical conductors are usually used to conduct an analog sensor signal. Since the controllers are usually digital regulators today, the controllers in FIG. 1 are respectively preceded by an input-output unit 4a and 4b, the input-output units each comprising an analog-to-digital converter.
In the control device shown in Fig. 1, the input-output unit 4a and 4b are arranged in the signal travel direction respectively immediately before the controller.
If, as shown in FIG. 1, two or more control lines 2a and 2b are operated parallel to one another, then either the sensory sensor signals that reflect the respective actual state of the system or the control values determined by the controllers are used to secure the control compared and checked for plausibility. For this the controllers communicate with each other. This is indicated in Fig. 1 by the connecting line 5. If one of the detected actual states or the determined control values clearly deviates from an expected desired value and thus does not fulfill the plausibility, then this sensor signal or this control value will not be used for further processing or
Forwarding to the actuated by the controllers actuators used. Actuators may, for example, be pumps for conveying a fuel mass flow or throttle valves for throttling the fuel flow or the like.
The actuators are, as shown in Fig. 1, driven by an analog signal via the signal lines 3all and 3bll.
Consequently, the digital control values determined by the controllers C1 and C2 are first converted again into an analog signal by means of the input-output units 4a and 4b and then transmitted to the actuators via the lines 3all and 3bll.
To meet high and very high safety critical requirements, known from the prior art control devices, as shown in Fig. 1, thus executed by a parallel multiple arrangement of control strands multiple redundant. However, this requires a high expenditure on equipment. In particular, in harsh operating conditions, for example in the hot area of a power plant, also the default frequency of the individual control strands is increased.
This is because in the event of failure of an element of such a control loop, such as the sensor, the entire control loop fails.
Presentation of the invention
The invention seeks to remedy this situation. The invention is therefore based on the object to provide a control device with which the disadvantages of the prior art are reduced or avoided.
The control device should ensure a high redundant protection, so as to ensure a high level of reliability and a low probability of failure. In particular, the control device should also be suitable for use in safety-critical plant, for example in power plants.
At the same time, the apparatus required for the redundant protection of the control device designed according to the invention should be as low as possible compared to conventional, redundantly secured control devices.
This object is achieved by the control device according to claim 1 and the method according to the independent method claim.
Further advantageous embodiments of the invention can be found in the dependent claims.
The inventively designed control device for redundant secure monitoring and control of a system comprises at least three independent control strands and a rating unit.
The at least three independent control lines each comprise a field-based collector-distributor unit with at least one input for receiving input signals and / or at least one output for outputting output signals, an evaluation unit for determining control values from the input signals and a redundant signal line device for redundant , bidirectional transmission of signals between the collector-distributor unit and the evaluation unit.
Furthermore, the evaluation unit communicates with the evaluation units of the control lines in order to carry out a comparison of the input signals and / or the control values determined by the evaluation units. The communication between the evaluation unit and the evaluation units is bidirectional.
Field-based in this context means that the collector-manifold units are arranged in the vicinity of the sensors or actuators and thus spaced from the respectively associated evaluation unit. The collector-distributor units are thus operated as remote units. In contrast to remote units, for example, the analog-to-digital converters 4a and 4b shown in FIG. 1 are arranged directly on the respective controllers C1 and C2.
An advantage of the remote arrangement of the manifold-distribution units is that all input and output signals of the respective control strands in the signal run ranges between the collector-manifold units and the evaluation units, i. be transmitted over a large range of the signal run length, via a common signal line device. Also, the signals in the collector-manifold unit may be properly conditioned prior to transmission. In order to increase the operational reliability of the signal propagation paths between the collector-distributor units and the evaluation units, the signal line devices are additionally designed to be redundant.
Preferably, each control loop is connected via the at least one input of the respective collector-manifold unit with at least one sensor.
The sensors are used for sensory detection of a respective current state value of a state variable of the safety-critical system. However, it is also possible that other state variables, for example actuating values of actuators, serve as input signals.
Furthermore, each control loop is suitably connected via the at least one output of the respective collector-distributor unit with at least one actuator, for example an electric motor. By means of actuators, for example, actuating elements, such as throttle elements for controlling a flow, actuated.
The inventively designed control device is particularly suitable for redundant secure monitoring and control of a power plant, for example, to monitor and control the power conversion of the power plant.
For this purpose, for example, a maximum inlet temperature in a turbine of the power plant and / or other or other state variables can be sensed and from this a redundantly secured control value can be determined. By means of the redundantly secured control value, the fuel supply to the combustion chamber can then be regulated, for example. However, several control parameters can also be derived from the detected state value or the detected state values.
Since the control device formed according to the invention comprises at least three control strands which are independent of each other, redundant protection of the input signals and / or the control values determined by the control strands may conveniently be carried out in a simple manner via a majority evaluation.
For example, if both the input variables and the control variables are the same for all three control lines, then the majority evaluation can be carried out expediently such that only a maximum tolerance deviation of the input signals and / or the determined control values is checked. If an input signal value and / or a determined control value differs more strongly from the other values than the maximum tolerance deviation, then this is considered erroneous and not used to determine the redundantly secured control value or not output to the connected actuators.
Preferably, an error signal is additionally generated in this case, which indicates to an operator the failure of the control loop in question.
If different state variables are detected as input signals by the control strands, then the state variables of the state variables or the control values determined by the sensor are suitably correlated with one another for the purpose of the majority assessment. In addition to the majority rating, another, for example, model-based plausibility check can also be carried out in all cases.
Such model-based plausibility checks are known from the prior art.
By each arranged between the sensor and evaluation, redundant signal line device ensures that the transmission of the signal from the collector-distributor unit to the evaluation unit is redundant. This is therefore of particular advantage, since signal transmission errors or signal disturbances can not be eliminated if the signal transmission is not made redundantly. For example, in conventional devices with a non-redundant signal line, even a cable break in the signal line can lead to an overall failure of the control loop. In particular, with analog electrical signals but it can also lead to a signal corruption due to signal interference.
Due to the redundant signal transmission errors or signal distortions that occurred during signal transmission, can be detected and corrected immediately. It has been shown that the redundantly designed signal line devices of the control lines of the control device designed according to the invention make a significant contribution to reducing the probability of failure of the entire control device.
By combining redundant running elements of the control device with the performed by the evaluation unit adjustment of the input signals and / or the determined control values can be achieved by means of the inventive control device very high protection of the monitoring and control of a system.
The control device designed according to the invention is therefore particularly suitable for use in safety-critical systems.
Conveniently, the control device comprises exactly three control strands. The valuation performed by the valuation unit is then conveniently carried out as a two-out-of-three valuation, i. If at least two input signals and / or determined control values lie within a tolerance range, it is assumed that these input signals and / or these determined control values are correct and the control of the system can be performed on the basis of these values.
In particular, for cost reasons, it will often be expedient to form the evaluation unit and one of the evaluation units in one piece as an evaluation and evaluation unit.
Today's digital controllers usually have sufficient computing power to carry out the entire calculation processes to be carried out by the evaluation unit and one of the evaluation units by means of only one evaluation and evaluation unit developed jointly. In this case, the evaluation unit and the evaluation units are distinguished only functionally within the program sequence.
It is expedient if the function of the evaluation unit is transferable to one of the other evaluation units during operation of the control device. This transferability of the function is advantageously used, in particular, if the originally jointly formed evaluation and assessment unit fails unexpectedly during operation of the installation.
By transferring the function of the evaluation unit to another evaluation unit, it can be ensured that even if the evaluation and evaluation unit originally formed together fails, a redundantly secured regulation of the system can be carried out by means of the remaining evaluation units.
However, it may also be expedient to form the evaluation unit and all evaluation units in one piece as an integral evaluation and evaluation unit.
However, the integral evaluation and evaluation unit must then comprise at least two calculation units to be operated separately from one another, for example at least two processors, since otherwise a failure of the one calculation unit would lead to a failure of the entire control apparatus.
Alternatively, however, the evaluation unit can also be designed as a higher-level control unit separated from the evaluation units.
Suitably, the evaluation units are each designed as a controller.
Such, in particular digitally operating controllers are well known, for example, as programmable logic controllers (PLC) and available on the market.
In a separate realization of the evaluation of the evaluation unit, the evaluation unit is then suitably designed as a central controller.
Conveniently, an analog-to-digital converter and a digital-to-analog converter is integrated in each input / output unit. Preferably, each input / output unit comprises a plurality of inputs and / or a plurality of outputs. The inputs and outputs are optional aufschaltbar, i. the switching order can be conveniently set both before commissioning of the control device and changed during operation of the control device.
An analog signal coming from a sensor is switched through according to the predetermined switching sequence and thus arrives at the analog-to-digital converter and is converted here for forwarding into a digital signal. Conversely, a digital signal sent by the evaluation unit or one of the evaluation units is converted in the digital-to-analog converter into an analog signal and only then forwarded to an actuator.
Furthermore, the redundant signal line devices for redundant, bidirectional transmission of signals are expediently designed as fieldbus systems. Suitable fieldbus systems for this purpose are known from the prior art. Fieldbus systems usually transmit digital signals.
The transmission of a digital signal offers the advantage that signal distortions can be corrected by suitable coding. Also, redundancy can be achieved in a simple manner by means of a second line and a simple comparison of the digital signals.
In a further aspect, the invention provides a method for redundantly secured monitoring and control of a system. The method comprises, in at least three separate, largely simultaneously to be processed processes each to capture a current state value of the system to supply the detected current state value via a redundant bidirectional transmission of an evaluation as an input signal and on the basis of each detected and the evaluation supplied condition value each to determine a control value.
Furthermore, the input signals and / or the at least three control values determined separately from one another are compared with one another in a subsequent common execution step. The processes are to be processed largely simultaneously. The simultaneity essentially refers to the condition detection. The processing of the signals after the state detection can also be done with a time delay to each other. When reconciling, however, time values are again to be compared.
According to a development of the method, the at least three control values determined separately from one another are compared with each other via a majority evaluation.
Furthermore, the state value is expediently sensory detected.
Furthermore, at least one balanced control value is supplied to at least one actuator.
The supply preferably takes place via the redundant, bidirectional transmission.
The inventive method is particularly suitable for redundant secure monitoring and control of a power plant.
The method can be developed in a manner as described above in connection with the control device designed according to the invention. In particular, the inventive method for operating the control device designed according to the invention is suitable.
Brief description of the drawings
The invention will be explained in more detail with reference to an embodiment illustrated in the figures. Show it:
<Tb> FIG. 1 <sep> a control device known from the prior art;
<Tb> FIG. 2 <sep> a control device designed according to the invention.
In the figures, only the essential elements for understanding the invention elements and components are shown.
The illustrated embodiments are to be understood purely instructive and should serve a better understanding, but should not be construed as limiting the subject invention.
Ways to carry out the invention
Fig. 1 shows a known from the prior art control device 1, as used for example in power plants. The control device 1 shown here comprises two control lines 2a and 2b, which are operated redundantly to each other. Each control line 2a and 2b each includes a sensor S1 and S2 for sensory detection of a state variable of the power plant, for example, the turbine outlet temperature.
Furthermore, each control line 2a and 2b comprises a signal line 3al and 3bl which connects the respective sensor S1 or S2 to the input of an input / output unit 4a or 4b. Each of the input / output units 4a and 4b also has an output besides an input. Actuators A1 and A2 are actuated via the outputs and via further signal lines 3all and 3bll, which are connected to the outputs. As actuators, for example, electric motors can be used, are adjusted via the throttle elements in one or more inflow lines, for example in one or more Brennstoffzuflussleitungen, so as to regulate the fuel supply of the power plant. The throttle element itself would then not run redundant, which are connected.
The input / output units 4a and 4b are each arranged directly adjacent to a controller C1 or C2 and serve on the one hand the signal input and output in and out of the controllers C1 and C2 and on the other hand, the signal conditioning. Under signal processing is based on the input essentially an analog-to-digital conversion and based on the output to understand a digital-to-analog conversion. That an analog signal coming from a sensor S1 or S2 is analog-digitally converted in the respective input / output unit 4a or 4b and forwarded to the respective controller C1 or C2 only after this conversion as a digital signal. In the controller C1 or C2, the sensor signal is processed and a control value determined. Before the control value via the output of the input / output unit 4a and 4b to the respective actuator A1 or
A2 is transmitted, the control values determined separately in the controllers C1 and C2 of the two control lines 2a and 2b are compared with one another. The necessary communication of the controllers C1 and C2 takes place via the communication line 5.
However, the illustrated in Fig. 1, known from the prior art control device has the disadvantage that the control strands to each other are only redundant. If the control value determined by one of the two controllers deviates considerably from the control value of the other controller, then it can only be decided by means of a plausibility check which control value is to be used as control input for the control. Also, the transmission of the analog signals over the signal lines is very susceptible to signal corruption by environmental interference.
Overall, the control device shown in Fig. 1, despite redundancy thus less robustness and is accordingly only partially suitable for use in a system with very high safety critical requirements.
Fig. 2 shows a schematic representation of an inventive running control device 10 for redundant secure monitoring and control of a power plant.
However, the control device 10 shown here can also be used in other safety-critical systems as well.
The control device 10 embodied according to the invention comprises three control strands 12a, 12b, 12c, which are independent of one another, and a rating unit 13.
Each control string 12a, 1b, and 12c, respectively, includes a field-based manifold-distribution unit, here formed as input / output units (I / O unit) 15a, 15b, 15c. The input / output units 15a, 15b, 15c each include a total of three terminal channels 15a-1, 15a-2, 15a-3 and 15b-1, 15b-2, 15b-2 and 15c-1, 15c-2, 15c, respectively -3, which can be used either as an input or as an output.
Of the terminal channels of the input / output units 15a and 15b of the first and second control branches 12a and 12b, respectively, the first connection channel 15a-1 and 15b-1 as input and the second and the third connection channel 15a-2 or 15b-2 and 15a-3 and 15b-3 each used as an output. Of the connection channels of the input / output unit 15c of the third control line 12c, the first connection channel 15c-1 is used as input and the second connection channel 15c-2 as output. The third connection channel 15c-3 of the input / output unit 15c of the third control branch 12c is not occupied here.
The inputs of the input / output units 15a, 15b, 15c are connected here in each case via signal lines 20 to a pressure sensor 16a, 16b, 16c, which detects an operating pressure of the power plant sensory and generates an analog electrical pressure signal.
The outputs of the input / output units 15a, 15b, 15c are each connected via signal lines 20 with actuators. In the case of the input / output units 15a, 15b of the first and second control branches 12a and 12b, respectively, the first output is connected to an electrical drive 17a or 17b and the second output is connected to an electro-hydraulic / pneumatic converter 18a or 18b , The electric drives 17a and 17b each control a first throttle element, here for example a slide valve 21a or 21b in an inflow line 22a or 22b. The electrohydraulic / pneumatic converters 18a and 18b respectively convert an electrical signal into a hydraulic or pneumatic pressure, which in turn serves to drive a second throttle element 23a or 23b.
The first and second throttle elements 21a, 21b, 23a, 23b can each also be one and the same throttle element, which is then controlled only via two separate actuators. In most applications, this would be sufficient under the aspect of operational safety, since usually not the actuator, but only the control is at risk of failure. It is also possible that a total of only one actuator is arranged. This means that in this case with the reference numerals 21a, 23a b and 21b, 23b one and the same actuator is designated. However, the two throttle elements 21a and 23a or 21b and 23b can also be arranged, for example, in an inflow line one behind the other.
In all cases, however, the reliability of the control device is significantly increased by redundancy at least the control of the actuators.
The input / output units 15a, 15b and 15c each comprise, in addition to a signal splitter, which allows a selective connection of the inputs and outputs, an analog-to-digital converter unit.
The analog-to-digital converter unit is arranged in the signal travel direction of the sensor preferably behind the signal splitter and can both an analog, coming from the sensor input signal into a digital signal and vice versa from the sensor and the actuators remote direction coming, digital signal convert to an analogue output signal.
Furthermore, each control loop 12a, 12b and 12c each comprise a controller C1, C2 or C3 designed as an evaluation unit for determining control values from the input signals and in each case a redundant signal line device 14a, 14b or 14c for redundant, bidirectional transmission of Signals between the respective input / output unit 15a, 15b, 15c and the respective controller C1, C2 or
C3.
For mutually securing the control values determined by the evaluation units, the controller C1 of the first control line 12a is designed here as a closed-loop controller and the controller C2 of the second control line 12b as an open-loop controller. The controller 12a thus carries out a regulation-technically closed monitoring and regulation of the operating state of the system.
However, if interrupted by a malfunction of the closed loop, so can continue to determine over the open loop of the controller C2 control values.
The signal line device 14a, 14b 14c here is in each case designed as a redundant fieldbus system and in each case comprises, in addition to two signal lines 14a-1l, 14a-1ll or 14b-1l, 14b-1ll or 14c-1l, 14c-1ll respectively Communication interfaces (communication interfaces) 14a-2l, 14a-2ll or 14b-2l, 14b-2II or 14c-2l, 14c-2ll and 14a-3l, 14a-3ll and 14b, respectively, arranged at the ends of the signal lines. 3l, 14b-3ll or 14c-3l, 14c-3ll for input and output of the signal lines to be transmitted or transmitted signals.
The signals are transmitted digitally and thus tolerant to signal-distorting interferences.
The evaluation unit 13 is embodied here as a higher-level control unit which communicates with the controllers C1, C2 and C3 of the control cords 12a, 12b and 12c. By means of the evaluation unit 13, a comparison of the control values determined by the controllers takes place so as to redundantly protect the control values used for the control against each other. The adjustment of the control values determined by the controllers takes place here according to the two-of-three principle, i. it is checked by the evaluation unit 13, whether the control values determined by the controllers are in a certain, predetermined tolerance band to each other.
If this is not the case, the value which deviates from the tolerance band compared to the other two values is evaluated as erroneous and is not further processed as a control value. Thus, each control value underlying the scheme is redundantly secured. In addition to a two-out-of-three evaluation, the evaluation unit 13 can also carry out a model-based plausibility check or a comparison with other input variables.
A control operation of the control device 10 embodied according to the invention thus proceeds in such a way that in each case a pressure signal is detected as the state value of the system to be monitored via the pressure sensors 16a, 16b and 16c in a first step.
The analogue pressure signals are applied to the respective analog-to-digital converter of the input / output units 15a, 15b and 15c and after the analog-to-digital conversion as a digital signal to the respective communication interfaces 14a-3l, 14a-3ll and 14b-3l , 14b-3ll or 14c-3l, 14c-3ll supplied. Via the communication interfaces, the signal in each case into the two mutually redundant lines 14a-1l, 14a-1ll or 14b-1l, 14b-1ll or 14c-1l, 14c-1ll of the respective fieldbus system 14a, 14b or 14c fed. The field bus systems each form the communication links between the input / output units 15a, 15b, 15c and the controllers C1, C2, C3 and thus pass the digital pressure signal to the controllers.
There, the pressure signals are in turn coupled out by means of the communication interfaces 14a-2l, 14a-2ll or 14b-2l, 14b-2II and 14c-2l, 14c-2ll from the fieldbus systems 14a, 14b and 14c, and then the supplied to respective controllers C1, C2 and C3, further processed in the respective controller in accordance with the respectively stored there control law and derived therefrom each a control value. The control values thus derived by the controllers are then transmitted to the evaluation unit 13 and compared with each other by the evaluation unit 13 according to the two-of-three evaluation principle. The matched control values are then again from the evaluation unit 13 to the respective controller C1 or C2 or
C3 and pass through the respective reverse signal path from the respective controller to the respective input / output unit 15a, 15b and 15c, respectively. In the input / output units, the control value is then transferred via the outputs to the respective actuator 17a or 18a or 17b or 18b or 17c. For this purpose, the control value is first converted digital-analogously in the respective input-output unit.
The control device 10 is thus protected a total of multiple redundant. This redundancy applies both with respect to the control cords 12a, 12b and 12c as a whole as well as to particularly risk of failure or error-prone subsections of the control cords such as the signal lines or the actuator. This leads to a very high level of security against a failure of the control device.
Also, a very high accuracy of the control is achieved by balancing the determined control values. The inventively designed control device therefore meets very high safety requirements and is suitable for use in safety-critical systems.
At the same time, however, the expenditure on equipment is relatively low despite very high redundancy of the control device.
The in connection with Fig.
2 described control apparatus and the associated operating method represent exemplary embodiments of the invention, which can be readily modified by a person skilled in many ways without departing from the inventive idea thereby.
LIST OF REFERENCE NUMBERS
1 control device (StdT)
2a, 2b control strands
[0051] 3al, 3all, 3bl, 3bll signal lines
4a, 4b input / output units (I / O units)
5 communication line
[0054] FIG. 10 control device designed according to the invention
12a, 12b, 12c control strands
[0056] 13 evaluation unit
14a, 14b, 14c field bus systems
14a-1l, 14a-1ll, 14b-1l, 14b-1ll, 14c-1l, 14c-1ll lines of fieldbus systems
14a-2l, 14a-2ll, 14b-2l, 14b-2ll, 14c-2l, 14c-2ll communication interfaces
14a-3l, 14a-3ll, 14b-3l,
14b-3ll, 14c-3l, 14c-3ll communication interfaces
15a, 15b, 15c input / output units (I / O unit)
15a-1.15a-2, 15a-3, 15b-1, 15b-2, 15b-3, 15c-1, 15c-2, 15c-3 ports of the input / output units
16a, 16b, 16c pressure sensors
17a, 17b, 17c electric motors
18a, 18b, 18c electro-hydraulic / pneumatic converter
20 signal lines
21a, 21b, 21c valves
22a, 22b, 22c supply lines
23a, 23b, 23c valves
24a, 24b, 24c supply lines
A1, A2 actuators
C1, C2, C3 controller
CL-C closed loop controller
OL-C open loop controller
S1, S2 sensors
[0076] I / O input / output unit (I / O unit)
E / P pressure sensor
E / H electro-hydraulic / pneumatic converter