分布式容錯控制和保護系統(tǒng)的制作方法
【專利摘要】本發(fā)明涉及用于包括子組件的模塊化風力發(fā)電設(shè)施的分布式容錯控制系統(tǒng),該控制系統(tǒng)包括:1)適合于產(chǎn)生控制設(shè)定點和/或數(shù)據(jù)值的容錯控制裝置,所述容錯控制裝置根據(jù)風力發(fā)電設(shè)施的模塊化被分布在子組件中,以及2)用于在基本上相同的時間將控制設(shè)定點和/或數(shù)據(jù)值傳輸?shù)椒植际娇刂葡到y(tǒng)中的多個節(jié)點的容錯通信網(wǎng)絡(luò),所述多個分布式節(jié)點能夠從在容錯通信網(wǎng)絡(luò)上提供的兩個或更多個傳輸包選擇有效的傳輸包。
【專利說明】分布式容錯控制和保護系統(tǒng)
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及利用具有容錯和安全相關(guān)特性的分布式控制節(jié)點的風力發(fā)電設(shè)施控制系統(tǒng)。通過確定性容錯通信網(wǎng)絡(luò)連接分布式控制節(jié)點。分布式控制節(jié)點包括分散表決方案,所述分散表決方案目的在于在多個可用的控制設(shè)定點或數(shù)據(jù)值當中選擇最可靠的控制設(shè)定點或數(shù)據(jù)值。分布式控制節(jié)點依據(jù)電子、電氣或液壓電路包括內(nèi)在的表決功能。
【背景技術(shù)】
[0002]現(xiàn)代風力渦輪機被設(shè)計成用于成批生產(chǎn)。模塊化用作建立子組件的精益生產(chǎn)的手段。因此根據(jù)風力渦輪機模塊化來對控制系統(tǒng)進行模塊化以使能在精益生產(chǎn)設(shè)置中的子組件制造和測試是合乎需要的。
[0003]現(xiàn)代發(fā)電廠不僅包括風力渦輪機而且包括例如功率測量系統(tǒng)、相位補償系統(tǒng)、計量系統(tǒng)、開關(guān)柜系統(tǒng)和能量存儲系統(tǒng)之類的其它設(shè)施。這樣的系統(tǒng)也可被模塊化以使能在精益生產(chǎn)設(shè)置中的子組件制造和測試。系統(tǒng)本身可被考慮為風力發(fā)電廠中的模塊并因此保存分布式控制節(jié)點。根據(jù)系統(tǒng)模塊化來對控制系統(tǒng)進行模塊化被認為是有益的。
[0004]現(xiàn)代風力渦輪機和其它發(fā)電廠系統(tǒng)經(jīng)受對可用性和功率產(chǎn)生的高要求,且因此由控制系統(tǒng)引起的生產(chǎn)停止被認為是不可接受的。對風力渦輪機控制系統(tǒng)的可靠性要求因此非常高?;谌蒎e的控制系統(tǒng)是獲得期望可靠性和安全性要求的手段。
[0005]現(xiàn)代風力渦輪機經(jīng)受高安全性要求。大的現(xiàn)代風力渦輪機具有對功能安全的高要求??刂葡到y(tǒng)必須具有功能安全特性以支持該要求。能量存儲設(shè)施、功率轉(zhuǎn)換器系統(tǒng)、功率開關(guān)柜系統(tǒng)和其它發(fā)電廠系統(tǒng)也可具有對功能安全的高要求,因為故障的影響可能與人類健康和對資產(chǎn)的損壞極度有關(guān)。
[0006]用于風力發(fā)電廠的容錯控制系統(tǒng)一般被實施為包括各種關(guān)鍵廠模塊/設(shè)備的副本的冗余系統(tǒng)。在關(guān)鍵廠模塊/設(shè)備出故障的情況下,它的功能由類似的廠模塊/設(shè)備接管。
[0007]US2009/0309360和US2009/0309361討論了用于控制風能場的方法和系統(tǒng)。在US2009/0309360和US2009/0309361中,主通信單元控制若干個按優(yōu)先順序排列的控制單元。在具有給定優(yōu)先級的給定控制單元出故障的情況下,主通信單元選擇較低優(yōu)先的控制單元來接管有缺陷的控制單元的功能。
[0008]在US2009/0309360和US2009/0309361中提議的方法和系統(tǒng)的缺點是,主通信單
元在另一控制單元損壞或以任何其它方式發(fā)生故障的情況下選擇哪個控制單元來接管。然而,在主通信單元本身損壞的情況下,沒有替代單元是可用的。
[0009]因此,在US2009/0309360和US2009/0309361中提議的該控制方法和該控制系統(tǒng)不能被認為是容錯控制方法/系統(tǒng)——至少在主通信單元級別上不能被認為是容錯控制方法/系統(tǒng)。而且,在US2009/0309360和US2009/0309361中提議的該控制方法和該控制系統(tǒng)不能被認為是安全的,因為沒有實施安全特征。
[0010]為風力發(fā)電廠應用提供具有內(nèi)在容錯和安全相關(guān)特性的分布式控制系統(tǒng)可被看作是本發(fā)明的實施例的目的。
【發(fā)明內(nèi)容】
[0011]在第一方面中,可通過提供用于包括子組件的模塊化風力發(fā)電設(shè)施的分布式容錯控制系統(tǒng)來依從上面提到的目的,該控制系統(tǒng)包括:
[0012]-適合于產(chǎn)生控制設(shè)定點和/或數(shù)據(jù)值的容錯控制裝置,所述容錯控制裝置根據(jù)風力發(fā)電設(shè)施的模塊化被分布在子組件中,以及
[0013]-用于在基本上相同的時間將控制設(shè)定點和/或數(shù)據(jù)值傳輸?shù)椒植际娇刂葡到y(tǒng)中的多個節(jié)點的容錯通信網(wǎng)絡(luò),所述多個分布式節(jié)點能夠從在容錯通信網(wǎng)絡(luò)上提供的兩個或多個傳輸包中選擇有效的傳輸包。
[0014]下面的優(yōu)點與本發(fā)明的第一方面相關(guān):
[0015]1.本發(fā)明的分布式控制系統(tǒng)架構(gòu)兼容現(xiàn)代風力發(fā)電設(shè)施(例如現(xiàn)代風力渦輪機和現(xiàn)代風力發(fā)電廠)的模塊化。
[0016]2.本發(fā)明的容錯分布式控制系統(tǒng)架構(gòu)滿足在現(xiàn)代風力渦輪機和風力發(fā)電廠控制系統(tǒng)上提出的對可用性和可靠性的高要求。
[0017]3.本發(fā)明的容錯分布式控制系統(tǒng)架構(gòu)使能了有利地支持子組件的成批生產(chǎn)的電子、電氣和液壓表決功能的集成。
[0018]4.本發(fā)明的分布式控制系統(tǒng)架構(gòu)集成了功能安全性并能夠支持如在IEX61508標準中定義的安全相關(guān)功能的低需求模式等級、高需求模式等級和連續(xù)模式等級。
[0019]5.本發(fā)明的分布式控制系統(tǒng)架構(gòu)以使得功能能夠適應于各種風力渦輪機平臺和風力發(fā)電廠應用的方式而是可升級的和靈活的。
[0020]本發(fā)明的控制系統(tǒng)架構(gòu)通常反映已建立的設(shè)計原理“形式遵從功能”。如上面提到的,本發(fā)明的控制系統(tǒng)架構(gòu)可應用在風力渦輪機、風力發(fā)電廠、功率子站、能量存儲系統(tǒng)、計量站中和其它電力相關(guān)應用中。
[0021]控制系統(tǒng)架構(gòu)可包括主要控制器,例如主控制器(MC)、渦輪機控制器(TC)、安全控制器(SC)、功率控制器(PC)、診斷控制器(DC)。
[0022]而且,該控制系統(tǒng)可包括連接到傳感器和執(zhí)行器的分布式控制節(jié)點(DCN)。DCN可用作數(shù)據(jù)采集節(jié)點、用于一個或多個主要控制器的控制輸出節(jié)點或用作系統(tǒng)中的自主控制器。DCN可具有支持在系統(tǒng)級的功能安全的集成的安全相關(guān)功能。安全相關(guān)功能可以是自主的,或可以根據(jù)一個或多個SC來控制它們。
[0023]主要控制器和DCN可以是單、雙或多容錯的,以支持系統(tǒng)架構(gòu)和期望可靠性。而且,主要控制器和分布式控制節(jié)點可以是副本確定性的,以支持在系統(tǒng)級的容錯。
[0024]本發(fā)明的控制系統(tǒng)架構(gòu)可應用具有高可靠性和安全相關(guān)特性的確定性容錯實時通信網(wǎng)絡(luò)(RTCN)。
[0025]如已經(jīng)提到的,通信網(wǎng)絡(luò)可包括實時通信網(wǎng)絡(luò),例如時間觸發(fā)的以太網(wǎng)。時間觸發(fā)的以太網(wǎng)通信網(wǎng)絡(luò)可被實施為單容錯網(wǎng)絡(luò)、雙容錯網(wǎng)絡(luò)或甚至多容錯網(wǎng)絡(luò)。而且,時間觸發(fā)的以太網(wǎng)通信網(wǎng)絡(luò)可以是經(jīng)安全認證的。
[0026]通信網(wǎng)絡(luò)可支持如在IEC61508標準中定義的功能安全等級低需求模式、高需求模式和連續(xù)模式。[0027]功能安全功能符合對安全完整性等級2 (SIL2)或安全完整性等級3 (SIL3)的要求。
[0028]分布式容錯控制系統(tǒng)還可包括包含多個傳感器的容錯傳感器系統(tǒng)。多個傳感器以冗余方式布置。多個傳感器可適合于測量與風力發(fā)電設(shè)施的至少一個子系統(tǒng)的控制相關(guān)的至少一個參數(shù)。
[0029]風力渦輪機組件的例子是葉片槳距系統(tǒng)、偏航系統(tǒng)、主軸系統(tǒng)、齒輪系統(tǒng)、發(fā)電機系統(tǒng)、功率轉(zhuǎn)換器系統(tǒng)和開關(guān)柜系統(tǒng)。
[0030]分布式容錯控制系統(tǒng)且特別是分布式控制節(jié)點還可包括適合于在來自多個源的數(shù)據(jù)值之間表決的表決裝置,所述表決裝置適合于根據(jù)2取I (1οο2)、2取2 (2oo2)、3取2 (2oo3)或其它適當?shù)谋頉Q原則來表決。用于提供數(shù)據(jù)值的源可包括一個或多個主要控制器。
[0031]至少兩個冗余主要控制器可被布置在副本確定性配置中。至少兩個冗余主要控制器可包括活動的主要控制器和一個或多個熱待機控制器??商娲?,至少兩個冗余主要控制器可包括活動的主要控制器和一個或多個冷待機控制器。
[0032]在第二方面中,本發(fā)明涉及用于控制風力發(fā)電設(shè)施的一個或多個對象的分布式容錯控制系統(tǒng),該控制系統(tǒng)包括:
[0033]-呈現(xiàn)適合于控制一個或多個對象的故障安全(fail-safe)行為的容錯控制裝置,
[0034]-用于一個或多個對象的容錯控制的電子、電氣或液壓表決裝置,以及
[0035]-用于表決裝置的監(jiān)督和/或診斷的裝置。
[0036]類似于第一方面,術(shù)語“風力發(fā)電設(shè)施”涵蓋單獨的風力渦輪機或形成風力發(fā)電廠的風力渦輪機組。
[0037]待控制的Iv或多個對象可包括葉片獎距系統(tǒng)、偏航系統(tǒng)、王軸系統(tǒng)、齒輪系統(tǒng)、發(fā)電機系統(tǒng)、功率轉(zhuǎn)換器系統(tǒng)和開關(guān)柜系統(tǒng)。
[0038]根據(jù)第二方面的分布式容錯控制系統(tǒng)還可包括副本確定性控制方案。類似于本發(fā)明的第一方面,該分布式控制系統(tǒng)可支持單容錯、雙容錯或多容錯。
[0039]也可提供適合于支持多個分區(qū)(partition)中的一個分區(qū)的分布式電源單元。此夕卜,可支持在分區(qū)之間的故障域去耦。
[0040]在第三方面中,本發(fā)明涉及用于控制包括子組件的模塊化風力發(fā)電設(shè)施的方法,該方法包括下列步驟:
[0041]-使用容錯控制裝置產(chǎn)生控制設(shè)定點和/或數(shù)據(jù)值,所述容錯控制裝置根據(jù)風力發(fā)電設(shè)施的模塊化被分布在子組件中,
[0042]-經(jīng)由容錯通信網(wǎng)絡(luò)在基本上相同的時間將產(chǎn)生的控制設(shè)定點和/或數(shù)據(jù)值傳輸?shù)椒植际娇刂葡到y(tǒng)中的多個節(jié)點,以及
[0043]-使用多個分布式節(jié)點從在容錯通信網(wǎng)絡(luò)上提供的兩個或更多個傳輸包中選擇有效的傳輸包。
[0044]在第四和最后的方面中,本發(fā)明涉及用于控制風力發(fā)電設(shè)施的一個或多個對象的方法,該方法包括下列步驟:
[0045]-提供呈現(xiàn)適合于控制一個或多個對象的故障安全行為的容錯控制裝置,[0046]-提供用于該一個或多個對象的容錯控制的電子、電氣或液壓表決裝置,以及
[0047]-監(jiān)督和/或診斷該表決裝置。
[0048]根據(jù)第三和第四方面的方法可被應用在風力渦輪機、風力發(fā)電廠、子站、能量存儲系統(tǒng)、計量站中和其它風力發(fā)電廠應用中。
[0049]上述方法的優(yōu)點是,它們兼容現(xiàn)代風力發(fā)電設(shè)施(例如現(xiàn)代風力渦輪機和現(xiàn)代風力發(fā)電廠)的模塊化。此外,所述方法如果在容錯分布式控制系統(tǒng)上被執(zhí)行則滿足在現(xiàn)代風力渦輪機和風力發(fā)電廠控制系統(tǒng)上提出的對可用性和可靠性的高要求。
[0050]此外,所述方法允許分布式控制系統(tǒng)架構(gòu)以使得功能能夠適應于各種風力渦輪機平臺和風力發(fā)電廠應用的方式而是可升級的和靈活的。
【專利附圖】
【附圖說明】
[0051 ] 現(xiàn)在將參考附圖更詳細地解釋本發(fā)明,其中
[0052]圖1示出一般的分布式控制系統(tǒng)的第一實施例,
[0053]圖2示出示例性單容錯通信網(wǎng)絡(luò),
[0054]圖3示出示例性雙容錯通信網(wǎng)絡(luò),
[0055]圖4示出一般的單容錯子系統(tǒng)中的示例性單故障情況,
[0056]圖5示出一般的雙容錯子系統(tǒng)中的示例性雙故障情況。
[0057]圖6示出示例性一般的n+m冗余子系統(tǒng),
[0058]圖7示出主控制器執(zhí)行域的一般視圖,
[0059]圖8示出安全控制器執(zhí)行域的一般視圖,
[0060]圖9不出無主導(master-less)執(zhí)行域的一般視圖,以及
[0061]圖10示出精確全球時間域的一般視圖。
[0062]雖然本發(fā)明容許各種修改和可替代的形式,但是特定的實施例作為例子在附圖中示出并將在本文被詳細地描述。然而應理解,本發(fā)明并未旨在被限制到所公開的特定形式。相反,本發(fā)明涵蓋落在如所附權(quán)利要求所限定的本發(fā)明的精神和范圍內(nèi)所有修改、等效和可替代形式。
【具體實施方式】
[0063]通常,本發(fā)明目的在于提供用于風力發(fā)電設(shè)施(例如風力渦輪機和/或風力發(fā)電廠中的其它系統(tǒng))的分布式控制系統(tǒng)。在本發(fā)明的優(yōu)選實施例中,分布式控制系統(tǒng)具有支持高可靠性和安全性的容錯特性。
[0064]根據(jù)本發(fā)明,分布式控制系統(tǒng)中的容錯控制由冗余功能實現(xiàn),冗余功能在功能的冗余集合中的一個或多個功能出故障的情況下允許連續(xù)操作。冗余功能由兩個或更多個的物理分區(qū)建立。物理分區(qū)可以是完全分開的單元,或它可以是具有內(nèi)部分區(qū)的單個物理單元,或其組合。
[0065]在本發(fā)明的實施例中,物理分區(qū)形成單獨的故障域,其中在一個域上的單個故障不能危及其它冗余分區(qū)或控制系統(tǒng)的任何其它部分的功能。而且,每個冗余功能可具有支持控制功能的本地電源和所連接的傳感器和執(zhí)行器。這確保一個電源域中的故障不能影響控制系統(tǒng)中的其它域的功能。[0066]冗余布置的主要控制器提供支持數(shù)據(jù)值之間的表決的方法和系統(tǒng)??刂骑L力發(fā)電設(shè)施的對象的冗余布置的DCN提供支持數(shù)據(jù)值之間的分散表決的方法和系統(tǒng)。該表決可以是依據(jù)專用表決電路或依據(jù)通過冗余功能對受控對象的同時控制。
[0067]在本發(fā)明的實施例中,保存冗余功能的DCN依據(jù)電子、電氣或液壓表決電路來集成表決功能。節(jié)點也可集成支持功能的期望可靠性和安全性的用于表決電路的監(jiān)督電路和診斷功能。表決功能的集成可以是與安全、容錯、制造和測試有關(guān)的期望特性。
[0068]在本發(fā)明的實施例中,主要控制器是副本確定性的,這意味著它們在基本上相同的時間產(chǎn)生相同的輸出。這個特性使能了在主要控制器中出現(xiàn)單個故障的情況下的連續(xù)控制。該特性在控制的臨時缺失被認為是關(guān)鍵的連續(xù)模式安全相關(guān)功能中或在需要非常高的可用性的功能中是尤其可取的。而且,控制風力發(fā)電設(shè)施的對象的冗余功能可以是副本確定性的,這意味著功能在基本上相同的時間產(chǎn)生相同的輸出。這個特性防止由功能中的不同計算軌跡引起的錯誤表決發(fā)生。冗余功能可具有有時被稱為故障沉默特性的故障安全特性,這意味著功能將不能在內(nèi)部故障的情況下轉(zhuǎn)到被動狀態(tài)。這個特性防止出故障的控制器危及無故障控制器的操作。故障安全特性由設(shè)計實施并具有正確功能的高可能性。在安全相關(guān)功能中,故障安全特性具有符合對控制功能的總安全要求的安全完整性級別(SIL)。
[0069]根據(jù)本發(fā)明,通過提供支持在控制設(shè)定點或數(shù)據(jù)值之間的分散表決的方法和系統(tǒng)來實現(xiàn)在分布式控制系統(tǒng)中的容錯控制,即,其中設(shè)定點或數(shù)據(jù)值的選擇在消耗節(jié)點處被執(zhí)行??刂圃O(shè)定點可反映來自主控制器、渦輪機控制器、安全控制器、發(fā)電廠控制器或任何其它控制器的邏輯控制數(shù)據(jù)。數(shù)據(jù)值可反映來自數(shù)據(jù)采集功能或來自系統(tǒng)中的任何其它數(shù)據(jù)源的測量數(shù)據(jù)。
[0070]必須注意,控制器和節(jié)點可存在于整個風力發(fā)電廠中,且因此本發(fā)明不限于包括在單個風力渦輪機內(nèi)的控制器和節(jié)點。
[0071]現(xiàn)在參考圖1,用于測量例如功率、頻率、電壓、電流、壓力或溫度的傳感器系統(tǒng)108、109、113、114、138、139、143和144直接或可選地通過例如現(xiàn)場總線、點對點(peer topeer)通信路徑或任何其它類型的接口連接到相應的復制的DCN110、111、117、118、136、137,141和142。傳感器系統(tǒng)連同相關(guān)的DCN—起被定位于子系統(tǒng)組件(SSA) 112、115、140和145中。其它SSA107U27U31和135包括用于控制風力發(fā)電設(shè)施的相應對象106、126、130,134 的 DCN104、105、124、125、128、129、132 和 133。
[0072]復制的DCN從傳感器系統(tǒng)獲取數(shù)據(jù),并在RTCN103上公布所獲取的數(shù)據(jù),因而經(jīng)由復制的RTCN開關(guān)101、102使數(shù)據(jù)對系統(tǒng)中的其它DCN變得可用。
[0073]為了容錯或安全的目的而被復制的傳感器最優(yōu)選地連接到不同的DCN,以便實現(xiàn)最聞級別的容錯和可罪性。
[0074]任何DCN可具有在主控制器或系統(tǒng)中的其它RTCN開關(guān)所提供的設(shè)定點值或數(shù)據(jù)值之間表決的能力。設(shè)定點和數(shù)據(jù)值可代表控制邏輯、傳感器數(shù)據(jù)或其它數(shù)據(jù)源。
[0075]可能的情況可以是,表決者根據(jù)“3取2”(2oo3)的原則表決,S卩,如果設(shè)定點值或數(shù)據(jù)值中的一個明顯偏離2個其它值,則偏離的設(shè)定點值或數(shù)據(jù)值被忽略。然而應注意,表決過程不限于2oo3表決方案,即,其它表決方案也是可應用的。
[0076]仍然參考圖1,描繪了根據(jù)本發(fā)明的實施例的單容錯一般RTCN103的布局。RTCN103的單容錯特性由復制的RTCN開關(guān)101、102和RTCN103的各種DCN之間的實線通信路徑和虛線通信路徑示出。
[0077]如在圖1中看到的,SSA120的主控制器118、119、SSA123的安全控制器121、122和其它SSA的DCN經(jīng)由利用RTCN開關(guān)101、102的RTCN103互連。以星-分支-星拓撲來連接復制的RTCN開關(guān)101、102。然而,其它網(wǎng)絡(luò)拓撲也是可應用的。
[0078]RTCN103用作連接系統(tǒng)中的所有DCN的通信基礎(chǔ)設(shè)施。RTCN103可通過其它RTCN開關(guān)146連接到發(fā)電廠通信網(wǎng)絡(luò)。RTCN103取決于可靠性要求可以是非容錯的、單容錯的或雙容錯的。
[0079]RTCN103 可基于工業(yè)通信網(wǎng)絡(luò),例如 Ethernet/IP、Ethernet POWERLINK、PROFInet-1RT或具有類似的特性的其它通信網(wǎng)絡(luò)。
[0080]在優(yōu)選實施例中,RTCN是具有時間觸發(fā)特性的高確定性通信網(wǎng)絡(luò)。這樣的網(wǎng)絡(luò)可以是TTEthernet或具有類似的特性的其它通信網(wǎng)絡(luò)。這種類型的RTCN使數(shù)據(jù)在冗余RTCN通道上在基本上相同的時間變得可用,并因此提供對系統(tǒng)級的容錯的強大支持。
[0081]TTEthernetjiang時間觸發(fā)通信范式的優(yōu)點與普遍的以太網(wǎng)的靈活性組合。它支持標準以太網(wǎng)流量,同時確保不干擾關(guān)鍵數(shù)據(jù)流量。在這樣的通信范式中,在RTCN上的實時數(shù)據(jù)的通信在設(shè)計階段被計劃,且相關(guān)的節(jié)點有何時數(shù)據(jù)是可用的先驗知識。TTEthernet還向系統(tǒng)中的所有節(jié)點提供容錯精確全球時間。這個特性使兩個或多個復制節(jié)點能夠通過對相同數(shù)據(jù)的訂閱來被保證在相同的時間在相同的數(shù)據(jù)上操作,且由于精確全球時間而被設(shè)計成在基本上相同的時間執(zhí)行相同的功能,且因此是副本確定性的。
[0082]優(yōu)選地,RTCN具有支持如在IEC61508標準中定義的“連續(xù)模式”安全相關(guān)功能的特定特性。連續(xù)模式安全功能將依賴于在RTCN上的節(jié)點之間傳遞的安全相關(guān)數(shù)據(jù)來執(zhí)行安全功能。TTEthernet通過其容錯并通過安全相關(guān)特性而內(nèi)在地支持連續(xù)模式安全功能。TTEthernet通信系統(tǒng)是經(jīng)安全認證的。通過利用這種類型的通信網(wǎng)絡(luò),本發(fā)明的容錯架構(gòu)的能力可擴展到包括所有等級的安全功能:根據(jù)IEC61508標準中的定義的低需求模式、高需求模式和連續(xù)模式安全功能。
[0083]該通信架構(gòu)優(yōu)選地依賴于前面提到的可靠通信網(wǎng)絡(luò)TTEthernet。在這樣的實施例中,不同關(guān)鍵性的數(shù)據(jù)流量可共存于RTCN上。該通信架構(gòu)支持不同執(zhí)行域在同一 RTCN上的共存,而沒有相互干擾。這樣的執(zhí)行域可以是:
[0084]-非安全相關(guān)的集中式主導執(zhí)行域,參照圖7,
[0085]-安全相關(guān)的集中式主導執(zhí)行域,參照圖8,
[0086]-無主導(Master-less)執(zhí)行域,參照圖9。
[0087]下面更詳細地解釋圖7、8和9。
[0088]在分布式控制系統(tǒng)中,容錯可通過通信通道(包括RTCN開關(guān))和DCN的復制來獲得。
[0089]圖2和圖3分別示出示例性單容錯通信網(wǎng)絡(luò)和示例性雙容錯通信網(wǎng)絡(luò)。
[0090]現(xiàn)在參考圖2,復制的RTCN開關(guān)201、202與DCN205-210通信。類似地,復制的RTCN開關(guān)203、204與DCN211-214通信。如在圖2中看到的,每個DCN連接到兩個RTCN開關(guān)。單容錯RT通信路徑200被設(shè)置在RTCN開關(guān)201、202和203、204之間。此外,RT通信路徑215可用來連接到其它RTCN開關(guān)。
[0091]現(xiàn)在參考圖3,復制的RTCN開關(guān)301-303與DCN304-309通信,從而形成雙容錯RTCN300。如看到的,每個DCN連接到三個RTCN開關(guān),從而形成雙容錯配置。到其它RTCN開關(guān)的連接310也是可用的。
[0092]在圖2和圖3中示出的RTCN分別是單容錯和雙容錯的。然而應注意,三或甚至多冗余RTCN也是可應用的。
[0093]分布式控制器可被復制成兩個、三個或更多個,取決于對每個子系統(tǒng)的可靠性要求和所選擇的用于子系統(tǒng)的容錯結(jié)構(gòu)。在分布式控制器是內(nèi)在地容錯的情況下,物理復制是不需要的。
[0094]DCN優(yōu)選地呈現(xiàn)“故障沉默”行為,以便讓復制節(jié)點維持對受控對象的控制。在呈現(xiàn)故障沉默行為的DCN出故障的情況下,它將不干擾風力渦輪機的操作,且不可能引起嚴重的系統(tǒng)故障。因此,故障沉默的DCN將有非常低的風險引起嚴重的系統(tǒng)故障。
[0095]故障沉默特性必須保持穩(wěn)定,直到在故障單元(例如DCN)上的服務使系統(tǒng)復原。這意味著在已經(jīng)有故障的節(jié)點中出現(xiàn)第二個故障的情況下必須以非常高的概率維持故障沉默行為。否則,有故障的節(jié)點可能干擾風力渦輪機的操作,并可能引起嚴重的系統(tǒng)故障。
[0096]單容錯
[0097]圖4示出單容錯子系統(tǒng)的一般實施方式視圖。單容錯特性由復制的RTCN開關(guān)403、411和DCN404、405、412、413之間的實線通信路徑和虛線通信路徑示出。
[0098]DCN404、405、412、413可被實施為活動復制節(jié)點,或被動或冷待機節(jié)點。優(yōu)選地,DCN作為活動復制節(jié)點來操作。DCN在內(nèi)部故障的情況下具有故障安全行為。傳感器值是DCN可采用的,作為RTCN上的數(shù)據(jù)和可選地也作為本地傳感器數(shù)據(jù)。在1οο2(2取1)、2οο2(2取2)或2oo3 (3取2)冗余方案中,取決于功能的關(guān)鍵性,數(shù)據(jù)可由控制器利用。然而,其它冗余方案也是可應用的。
[0099]圖4中的上面的圖示出在正常工作條件下操作的子系統(tǒng)。傳感器406、408向DCN404、405提供傳感器信號,以便控制對象407。而且,傳感器401向經(jīng)由復制的RTCN開關(guān)403與DCN404、405通信的DCN402提供傳感器信號。
[0100]在一個DCN412中出故障的情況下,參照圖4中的下面的圖,連續(xù)操作由復制的DCN413確保。因此,使用來自傳感器409、416的輸入以及對DCN410、413和復制的RTCN開關(guān)411的適當控制來維持對對象415的控制。
[0101]如果DCN404、405或DCN412、413在相同的時間在相同的數(shù)據(jù)上操作,則部分確定性可被支持。
[0102]雙容錯
[0103]圖5示出雙容錯子系統(tǒng)的一般實施方案視圖。雙容錯特性由DCN和復制的RTCN開關(guān)之間的實線通信路徑和虛線通信路徑示出。
[0104]DCN可被實施為活動復制節(jié)點,或被動或冷待機節(jié)點。最優(yōu)選地,DCN作為活動復制節(jié)點來操作。DCN在內(nèi)部故障的情況下具有故障安全行為。傳感器值是DCN可采用的,作為RTCN上的數(shù)據(jù)和可選地也作為本地傳感器數(shù)據(jù)。在1οο2 (2取1)、2οο2 (2取2)或2oo3 (3取2)冗余方案中,取決于功能的關(guān)鍵性,數(shù)據(jù)可由控制器利用。如上所述,其它冗余方案也是可應用的。
[0105]圖5中的上面的圖示出在正常工作條件下操作的子系統(tǒng)。傳感器507、509向DCN504、505、506提供傳感器信號,以便控制對象508。而且,傳感器501向經(jīng)由復制的RTCN開關(guān)503與DCN504、505、506通信的DCN502提供傳感器信號。
[0106]在DCN513中出故障的情況下,參照圖5中的中間的圖,連續(xù)操作由其余的DCN514、515確保。因此,使用來自傳感器510、518的輸入以及對DCN511、514、515和復制的RTCN開關(guān)512的適當控制來維持對象517的控制。
[0107]在兩個DCN522、523中出故障的情況下,參照圖5中的下面的圖,連續(xù)操作仍然由其余的DCN514確保。因此,使用來自傳感器519、527的輸入以及對DCN520、524和復制的RTCN開關(guān)521的適當控制來維持對象526的控制。
[0108]如果圖5的DCN在相同的時間在相同的數(shù)據(jù)上操作,則副本確定性可被支持。
[0109]圖5所示的控制架構(gòu)滿足在例如任務關(guān)鍵系統(tǒng)中非常高的系統(tǒng)可靠性所需的容錯,在第一次故障之后能夠有長平均時間來進行修理。這樣的系統(tǒng)可以是“連續(xù)模式”安全系統(tǒng)或高可用性系統(tǒng)。
[0110]利用n+m冗余的故障容錯
[0111]控制系統(tǒng)可受益于利用n+m冗余的故障容錯結(jié)構(gòu),參照圖6,其中m個DCN做η個DCN的備份。圖6示出雙容錯RTCN600 (由實線和虛線指示),其中復制的RTCN開關(guān)601與六個故障沉默DCN602-607通信。這六個故障沉默DCN602-607被配置成響應于來自傳感器608-619的傳感器輸入來控制風力渦輪機的給定對象620。
[0112]n+m副本確定性DCN602-607共同執(zhí)行對受控對象620的控制。再次,在具有故障安全行為的DCN602-607出故障的情況下,它將不干擾受控對象的操作,且因此它將具有引起嚴重系統(tǒng)故障的非常低的概率。這種類型的冗余的可能的應用領(lǐng)域可以是風力渦輪機偏航系統(tǒng)和模塊化功率轉(zhuǎn)換器系統(tǒng)。
[0113]如前所述,集中式主導非安全相關(guān)執(zhí)行域包括與風力渦輪機的正??刂朴嘘P(guān)的功能。參照圖4的實線元件,在這個域中的執(zhí)行的特征在于利用由復制的RTCN700互連的一個或多個主控制器401和復制的DCN705、707、710、712和716的復制主導-從動范式。虛線元件在這個域中是不活動的。當利用確定性RTCN700時,這個域通過冗余復制確定性DCN705、707,710,712 和 716 來支持容錯。RTCN700 和 DCN705、707、710、712 和 716 的復制在圖 7 中被示為(RTCN和DCN的)堆疊結(jié)構(gòu)。
[0114]集中式主導安全相關(guān)執(zhí)行域包括與人或資產(chǎn)的保護有關(guān)的安全相關(guān)功能。參照圖8,在這個域中的執(zhí)行的特征在于利用復制的主導安全控制器802 (實線)和相關(guān)的復制安全相關(guān)DCN806、808、811、813、815 (實線)的集中式主導范式。復制的控制器802和復制的DCN806、808、811、813、815由復制的RTCN800 (實線)互連。虛線元件在這個域中是不活動的。當利用確定性RTCN時,這個域通過冗余副本確定性DCN來支持容錯。
[0115]分布式控制執(zhí)行域使能無主導方法來控制。參照圖9的實線元件,該方法通過經(jīng)由復制的RTCN900互連的冗余副本確定性DCN903、904、907、909、910、916來支持容錯。虛線元件是不活動的。這個域不應用主導控制器,且這個域的主要應用領(lǐng)域是連續(xù)模式安全相關(guān)控制。然而,這個范式也可用于安全相關(guān)和非安全相關(guān)控制。
[0116]在圖9中,一組安全相關(guān)DCN903、904、907、909、910、916作為數(shù)據(jù)公布者和訂閱者來操作。DCN903、904、907、909、910、916從例如傳感器系統(tǒng)獲取數(shù)據(jù),并在復制的RTCN900上公布得到的數(shù)據(jù)。其它DCN訂閱它們執(zhí)行其功能所需要的所公布的數(shù)據(jù)。給定DCN可以是公布者和訂閱者。當數(shù)據(jù)交換直接在DCN之間時,不需要主控制器。[0117]在分布式控制系統(tǒng)中,容錯和實時特性可通過精確全球時間的建立來支持,其中節(jié)點具有偏差非常小(一般在微秒或更小的范圍內(nèi),然而不限于這個精度)的公共時間概念。該全球時間支持:
[0118]?在控制器和分布式節(jié)點之中數(shù)據(jù)采集的同步
[0119]?在控制器和分布式節(jié)點之中處理的同步
[0120]?數(shù)據(jù)通信(時間觸發(fā)通信)的同步
[0121 ] ?在容錯控制器和分布式節(jié)點中的副本確定性
[0122]全球時間可通過兼容IEEE-1588的精確時間協(xié)議的實施例來建立。可替代地,全球時間可通過利用對精確全球時間的內(nèi)在支持來建立,精確全球時間是很多工業(yè)通信網(wǎng)絡(luò)的部分。在精確全球時間對系統(tǒng)可用性和/或安全性是關(guān)鍵的系統(tǒng)中,足夠水平的容錯和可靠性必須在精確全球時間的分布中建立。
[0123]圖1所示的一般RTCN的全球時間域版本在圖10中示出,其中用于測量例如功率、頻率、電壓、電流、壓力或溫度的傳感器系統(tǒng)1008、1009、1013、1014、1038、1039、1043和1044直接或可選地通過例如現(xiàn)場總線、點對點通信路徑或任何其它類型的接口連接到相應的復制的DCN1010、1011、1017、1018、1036、1037、1041和1042。該傳感器系統(tǒng)連同相關(guān)的DCN—起被定位于子系統(tǒng)組件(SSA)1012、1015、1040 和 1045 中。其它 SSA1007、1027、1031和1035包括用于控制風力發(fā)電設(shè)施的相應對象1006、1026、1030、1034的DCN1004、1005、1024、1025、1028、1029、1032和1033。復制的DCN從傳感器系統(tǒng)獲取數(shù)據(jù),并在RTCN1003上公布所獲取的數(shù)據(jù),因而經(jīng)由復制的RTCN開關(guān)1001、1002使數(shù)據(jù)對系統(tǒng)中的其它DCN變得可用。全球時間由1047指示。
[0124]圖10描繪根據(jù)本發(fā)明的實施例的單容錯的一般RTCN1003。RTCN1003的單容錯特性由復制的RTCN開關(guān)1001、1002和RTCN1003的各種DCN之間的實線通信路徑和虛線通信`路徑示出。
[0125]SSA1020的主控制器1018、1019、SSA1023的安全控制器1021、1022和其它SSA的DCN經(jīng)由利用復制的RTCN開關(guān)1001、1002的RTCN1003互連。復制的RTCN開關(guān)1001、1002以星-分支-星拓撲連接。然而,其它網(wǎng)絡(luò)拓撲也是可應用的。RTCN1003用作連接系統(tǒng)中的所有DCN的通信基礎(chǔ)設(shè)施。RTCN1003可通過其它復制的RTCN開關(guān)1046連接到發(fā)電廠通信網(wǎng)絡(luò)。RTCN1003可以是非容錯的、單容錯的或雙容錯的,取決于可靠性要求。
[0126]在容錯實施方式中,主要/主控制器和DCN通常具有從兩個或更多個的冗余RTCN通道接收數(shù)據(jù)并執(zhí)行從可用冗余數(shù)據(jù)包中選擇出有效數(shù)據(jù)包的能力。控制器和DCN還具有在兩個或更多個冗余RTCN通道上在相同的時間公布相同的數(shù)據(jù)并因此使這些數(shù)據(jù)對系統(tǒng)中的其它DCN變得可用以用于有效數(shù)據(jù)的選擇的能力。這個特性支持系統(tǒng)的可靠性和安全性。
[0127]而且,在容錯實施方式中,系統(tǒng)中的主要/主控制器和DCN可通過“冷待機”、“熱待機”或“活動副本”來支持容錯。
[0128]在單容錯系統(tǒng)中,兩個控制器形成控制功能中的冗余對。在冷待機中,一個控制器是活動的,而另一個被關(guān)閉。在第一控制器中出故障的情況下,第二控制器在引導和初始化之后接管出故障的控制器的功能。在熱待機中,一個控制器是活動的,而第二控制器是被動的觀察者。在第一控制器中出故障的情況下,第二控制器接管功能。在活動副本中,兩個控制器都是活動的,在相同的數(shù)據(jù)上同步操作,并因此在相同的時間產(chǎn)生相同的輸出。在一個控制器出故障的情況下,第二控制器維持迪歐渦輪機的無縫控制。所有三個原理都可在本發(fā)明中被利用。
[0129]在多容錯系統(tǒng)中,利用更多的冗余控制器。冗余原理與單容錯系統(tǒng)的相同。
[0130]取決于可靠性和安全性要求,不同級別的容錯可應用于通信網(wǎng)絡(luò)和節(jié)點。本發(fā)明不限于所示的例子。
【權(quán)利要求】
1.一種用于包括子組件的模塊化風力發(fā)電設(shè)施的分布式容錯控制系統(tǒng),所述控制系統(tǒng)包括: -容錯控制裝置,其適合于產(chǎn)生控制設(shè)定點和/或數(shù)據(jù)值,所述容錯控制裝置根據(jù)所述風力發(fā)電設(shè)施的模塊化被分布在子組件中,以及 -容錯通信網(wǎng)絡(luò),其用于在基本上相同的時間將控制設(shè)定點和/或數(shù)據(jù)值傳輸?shù)剿龇植际娇刂葡到y(tǒng)中的多個節(jié)點,所述多個分布式節(jié)點能夠從在所述容錯通信網(wǎng)絡(luò)上提供的兩個或更多個的傳輸包中選擇有效的傳輸包。
2.根據(jù)權(quán)利要求1所述的分布式容錯控制系統(tǒng),其中,所述通信網(wǎng)絡(luò)包括實時通信網(wǎng)絡(luò)。
3.根據(jù)權(quán)利要求2所述的分布式容錯控制系統(tǒng),其中,所述實時通信網(wǎng)絡(luò)包括時間觸發(fā)的以太網(wǎng)。
4.根據(jù)權(quán)利要求3所述的分布式容錯控制系統(tǒng),其中,所述時間觸發(fā)的以太網(wǎng)通信網(wǎng)絡(luò)被實施為單容錯網(wǎng)絡(luò)。
5.根據(jù)權(quán)利要求3所述的分布式容錯控制系統(tǒng),其中,所述時間觸發(fā)的以太網(wǎng)通信網(wǎng)絡(luò)被實施為雙容錯網(wǎng)絡(luò)。
6.根據(jù)權(quán)利要求 3所述的分布式容錯控制系統(tǒng),其中,所述時間觸發(fā)的以太網(wǎng)通信網(wǎng)絡(luò)是經(jīng)安全認證的。
7.根據(jù)前述權(quán)利要求中的任一項所述的分布式容錯控制系統(tǒng),其中,所述通信網(wǎng)絡(luò)支持根據(jù)IEC61508標準的功能安全等級低需求模式、高需求模式和連續(xù)模式。
8.根據(jù)權(quán)利要求7所述的分布式容錯控制系統(tǒng),其中,所述功能安全功能符合對安全完整性級別2的要求。
9.根據(jù)權(quán)利要求7所述的分布式容錯控制系統(tǒng),其中,所述功能安全功能符合對安全完整性級別3的要求。
10.根據(jù)前述權(quán)利要求中的任一項所述的分布式容錯控制系統(tǒng),還包括包含多個傳感器的容錯傳感器系統(tǒng)。
11.根據(jù)權(quán)利要求10所述的分布式容錯控制系統(tǒng),其中,所述多個傳感器以冗余方式布置。
12.根據(jù)權(quán)利要求10或11所述的分布式容錯控制系統(tǒng),其中,所述多個傳感器適合于測量與至少一個子組件的控制相關(guān)的至少一個參數(shù)。
13.根據(jù)前述權(quán)利要求中的任一項所述的分布式容錯控制系統(tǒng),還包括適合于在來自多個源的數(shù)據(jù)值之間進行表決的表決裝置,所述表決裝置適合于根據(jù)1002、2002、2003或其它適當?shù)谋頉Q原則來表決。
14.根據(jù)前述權(quán)利要求中的任一項所述的分布式容錯控制系統(tǒng),還包括以副本確定性配置布置的至少兩個冗余主要控制器。
15.根據(jù)權(quán)利要求14所述的分布式容錯控制系統(tǒng),其中,所述至少兩個冗余主要控制器包括活動的主要控制器和一個或多個熱待機控制器。
16.根據(jù)權(quán)利要求14所述的分布式容錯控制系統(tǒng),其中,所述至少兩個冗余主要控制器包括活動的主要控制器和一個或多個冷待機控制器。
17.一種用于控制風力發(fā)電設(shè)施的一個或多個對象的分布式容錯控制系統(tǒng),所述控制系統(tǒng)包括: -呈現(xiàn)適合于控制一個或多個對象的故障安全行為的容錯控制裝置, -用于所述一個或多個對象的容錯控制的電子、電氣或液壓表決裝置,以及 -用于所述表決裝置的監(jiān)督和/或診斷的裝置。
18.根據(jù)權(quán)利要求17所述的分布式容錯控制系統(tǒng),還包括副本確定性控制方案。
19.根據(jù)權(quán)利要求17和18所述的分布式容錯控制系統(tǒng),所述控制系統(tǒng)支持單容錯、雙容錯或多容錯。
20.根據(jù)前述權(quán)利要求中的任一項所述的分布式容錯控制系統(tǒng),還包括適合于支持多個分區(qū)中的一個分區(qū)的分布式電源單元。
21.根據(jù)權(quán)利要求20所述的分布式容錯控制系統(tǒng),還包括在分區(qū)之間的故障域去耦。
22.一種用于控制包括子組件的模塊化風力發(fā)電設(shè)施的方法,所述方法包括下列步驟: -使用容錯控制裝置產(chǎn)生控制設(shè)定點和/或數(shù)據(jù)值,所述容錯控制裝置根據(jù)風力發(fā)電設(shè)施的模塊化被分布在子組件中, -經(jīng)由容錯通信網(wǎng)絡(luò)在基本上相同的時間將產(chǎn)生的控制設(shè)定點和/或數(shù)據(jù)值傳輸?shù)剿龇植际娇刂葡到y(tǒng)中的多個節(jié)點,以及 -使用所述多個分布式節(jié)點從在所述容錯通信網(wǎng)絡(luò)上提供的兩個或多個傳輸包中選擇出有效的傳輸包。
23.一種用于控制風力發(fā)電設(shè)施的一個或多個對象的方法,所述方法包括下列步驟: -提供呈現(xiàn)適合于控制一個或多個對象的故障安全行為的容錯控制裝置, -提供用于所述一個或多個對象的容錯控制的電子、電氣或液壓表決裝置,以及 -監(jiān)督和/或診斷所述表決裝置。
【文檔編號】G05B9/02GK103582850SQ201280026378
【公開日】2014年2月12日 申請日期:2012年3月29日 優(yōu)先權(quán)日:2011年3月30日
【發(fā)明者】J·本特松 申請人:維斯塔斯風力系統(tǒng)集團公司