Feiltolerant regelsystem

Denne artikkelen eller følgende seksjon er ikke tilstrekkelig utstyrt med støttedokumenter ( f.eks. Individuelle bevis ). Informasjon uten tilstrekkelig bevis kan fjernes snart. Hjelp Wikipedia ved å undersøke informasjonen og inkludere gode bevis.
Arkitektur av et feiltolerant kontrollsystem. Den består av en normal kontrollsløyfe, som utvides med et overvåkingsnivå. Denne består av en modul for feildiagnose (feildeteksjon, isolasjon og identifikasjon, FDI), som overvåker kontrollsløyfen ved å observere inngangs- og utgangsvariablene og bestemme feilstatusen til det kontrollerte systemet. Estimatet av feilen overføres til en modul som tilpasser kontrolleren slik at minst de minste nødvendige kontrollmålene blir oppfylt.

Et feiltolerant kontrollsystem er et teknisk system som oppfyller sin funksjon selv etter at en feil har oppstått. Det tilhørende området for feiltolerant kontroll er et underområde for styringsteknikk og legger til et overvåkingsnivå til kontrollsløyfenivået for å forbedre påliteligheten . Overvåkingsnivået realiserer i hovedsak to funksjoner: Feildiagnosen og tilpasningen av kontrollen til den nåværende feilstatusen til det kontrollerte systemet.

Oversikt over feiltolerante kontrollsystemer

To forutsetninger er nødvendige for å implementere en feiltolerant kontrollsløyfe. For det første må kontrollenhetene selv oppfylle minimumskrav til pålitelighet, det vil si at de må utformes minst to ganger, med gjensidig overvåking. For det andre må logikkene til kontrollsløyfene kunne reagere på feil i det kontrollerte systemet. Begge aspektene krever reduksjon av effekten av feil i det første tilfellet henvist til regulatoren , i det andre tilfellet relatert til det kontrollerte systemet inkludert aktuatorer og sensorer .

I det minste er det nødvendig med enkel redundans (teknologi) for å oppdage og reagere på feil . Fysisk redundans betyr mangfoldig tilstedeværelse av fysiske komponenter som måleinstrumenter eller aktiveringsanordninger. Analytisk redundans beskriver muligheten for å beregne eller påvirke en variabel som skal måles eller manipuleres på forskjellige måter. Et eksempel er bestemmelsen av den manglende målte verdien av en observatør etter en sensorfeil hvis den defekte ruten kan observeres .

Bortsett fra passive metoder for feiltolerant kontroll, er det alltid nødvendig å fastslå feilen før den kan reageres på. Feildiagnose refererer til påvisning (gjenkjenning), isolasjon (bestemmelse av den defekte komponenten) og identifisering (kvantifisering av feilen) av feil i tekniske systemer. Det skal ikke forveksles med feilrettingsprosedyrer i meldingsoverføring.

Passiv feiltolerant regulering

I passiv feiltolerant regulering er reguleringen allerede dimensjonert under designfasen, slik at visse feil tolereres under kjøretiden uten å forstyrre kontrolleren. Et forstyrret signal blir maskert ut. For dette formål brukes særlig metoder for robust regulering . Metoder for samtidig stabilisering og samtidig observasjon er i prinsippet også egnet for passiv feiltolerant kontroll.

Aktiv feiltolerant regulering

Begrepet aktiv feiltolerant kontroll brukes til å oppsummere metoder som endrer kontrolleren i løpet av kjøretiden for å reagere på feilen. Forutsetningen for dette er kunnskap om en feilmodell, dvs. et minimum kunnskapsnivå om feilen som har oppstått. Det er fordelaktig å kunne reagere på mye mer alvorlige feil.

I innkvarteringen er bare kontrolleren tilpasset feilsituasjonen med hensyn til dens struktur og dens parametere. Den rekonfigurering også gjør det mulig for reguleringssløyfen strukturen som skal endres, slik at fullstendig mislykket sensorer eller aktuatorer kan omgås.

feil

klassifisering

  • Aktuatorfeil (f.eks. Ventiler, motorer), sensorfeil (f.eks. Termoelementer, strømningsmåler), interne rutefeil (f.eks. Tette linjer, lekkasjer i containere). Disse feilene påvirker det kontrollerte systemet i bredere forstand, inkludert sensorer og aktuatorer. Reaksjonen på slike feil er den reelle bekymringen for de feiltolerante kontrollsystemene.
  • Feil i kontrollenheten (f.eks. CPU, minne, bussystem) eller programvaren. I praksis blir feil som påvirker datateknologi fanget opp av flere parallelle arrangementer av kritiske enheter i forskjellige teknologiske implementeringer og gjensidig overvåking. Oppnåelig pålitelighet er et spørsmål om antall overflødige komponenter og evalueringslogikken. Systematiske feil motvirkes ved å diversifisere den teknologiske implementeringen. Dette problemet er ikke en kjernekomponent innen felt-tolerante styringssystemer, se også pålitelighet .
  • Feil skal ikke forveksles med interferenssignaler, som ikke representerer en feil på en komponent. I et romoppvarmingssystem er det en feil å sette seg fast i den termostatiske ventilen, men å åpne vinduet er et feilsignal. Det må skilles mellom dette og funksjonsfeil , som i teknologien betegner en feil eller oppførsel.

Standarder for klassifisering av mangler

De viktigste standardene er beskrevet i IEC 61508. AK er kravsklassen i henhold til den tyske forhåndsstandarden DIN V 19250, som ble trukket tilbake i 2004. SIL står for Safety Integrity Level , et nåværende system for klassifisering av industrielle enheter (IEC 61508, IEC 61511, VDI / VDE 2180).

  • SIL1, AK 2 & 3: Mindre skade på utstyr og eiendom
  • SIL2, AK 4: Store skader på systemer, personskade
  • SIL3, AK 5 & 6: Skader på mennesker, noen dødsfall
  • SIL4, AK 7: Katastrofer, mange dødsfall og alvorlig miljøforurensning

Feildiagnose

Hovedartikkel: Diagnostisere feil

Defektdeteksjon, isolasjon og identifikasjon

Feildiagnose består av tre trinn

  • Feilsøking,
  • Feilsøking,
  • Feilidentifikasjon,

som er forklart nedenfor. Oppgaven med feiloppdagelse består i den toverdige avgjørelsen om det har oppstått en feil i et system eller ikke. Hvis det er kjent at det har oppstått en feil, kreves i det minste kunnskap om den aktuelle komponenten, dvs. den nøyaktige aktuatoren, måleelementet eller systemkomponenten, for en vellykket justering av styringen. Ved å slå av den berørte komponenten og bytte til en overflødig komponent, er det allerede mulig å reagere på feilen med denne grove kunnskapen.

Imidlertid blir en muligens fortsatt mangelfull komponent ikke brukt. Først når en kvantitativ modell av omfanget av feilen er identifisert (bestemt), er det mulig å reagere optimalt på feilen. I praksis er det vanskelig å identifisere feil nøyaktig, og det er derfor det ofte er nødvendig å jobbe på grunnlag av deteksjon og isolasjon.

Oversikt over diagnostiske prosedyrer

Defektdeteksjon og isolasjon med

  • Terskelovervåking
  • Signalmodell

Defektdeteksjon og isolering med en prosessmodell

  • Identifikasjonsfilter
  • Paritetslikninger
  • Tilstandsobservatørbasert diagnose

Feilidentifikasjon

Aktiv justering av forskriften

Overnatting

  • Adaptiv kontroll

Omkonfigurering

Avstemming

Kretseksempel for ventiler i rørledning for et 1oo3-system (a) og et 3oo3-system (b)

Begrepet stemmegivning brukes til å oppsummere metoder som krever parallell installasjon av funksjonelt identiske systemer. For eksempel er flere temperatursensorer installert parallelt i fly. En evalueringslogikk sammenligner Y-antall måleverdier, hvorav minst et tall X må samsvare. I henhold til IEC 61508 brukes XooY ( X ut av Y , tysk : "X ut av Y") -elementer. Tillegget D indikerer en selvransakelse. Men selv systemer uten suffikset D krever noen form for diagnose i flerkanalsystemer, slik at dette skillet vanligvis er vanskelig å gjøre. Avhengig av valget av X og Y, kan en, to eller flere feil oppdages med sikkerhet og tilordnes den defekte komponenten. Typiske ordninger er f.eks. B.:

  • 1oo1: enkelkanalbehandling
  • 1oo2: Overflødig behandling med kryssdiagnose. Hvis det oppdages en systemfeil, blir hele systemet slått av
  • 2oo2: Overflødig behandling som ikke garanterer funksjonalitet før begge systemene mislykkes
  • 2oo3: Trippel behandling ved bruk av flertallets resultat: avstemning ('2 av 3' velgere)

I funksjonell sikkerhet i maskinteknikk er 1oo1 og 1oo2-systemer vanlige, avhengig av ønsket sikkerhetsnivå. I prosessindustrien, så vel som i systemer uten en sikker tilstand som kan nås på kort tid (f.eks. Flykontroller, atomkraftverk, kjemiske reaktorer), er også høyere permitteringer i form av 2oo2, 2oo3 eller 2oo4 kontroller vanlige. Hvis en 2oo2-logikk oppdager en feil, bytter den til den intakte enheten. Med en 2oo3-logikk kan avstemningen avgjøre med tilstrekkelig sikkerhet hvilken enhet som er den feil. 2oo4-konfigurasjonen forblir stabil i tilfelle to enheter kan mislykkes samtidig. For å opprettholde driftssikkerheten må signalinngangene til de overflødige enhetene og resultatene av databehandlingene synkroniseres kontinuerlig med hver skanneprosess. Man snakker om lokal samtidighet . Denne metoden realiserer en omkonfigurering av kontrollen, fordi signalbanen endres når den brukes i en kontrollsløyfe.

Tilgjengeligheten av det samlede systemet synker vanligvis med et økende antall delsystemer.

Modelltilpasning

  • Pseudoinverse metode
  • Perfekt modelltilpasning
  • Adaptiv modelltilpasning

Anvendelser av feiltolerante kontrollsystemer

  • 1oo1 rørledninger
  • 1oo2 portåpningssystemer, AGV ( automatisk guidet kjøretøy , tyske "førerløse transportsystemer") ( AK4 )
  • 1oo3, 1oo4, 2oo2, 2oo3 gasturbiner ( AK5 )
  • 2oo3 Airbus-fly, kjemiske anlegg, AK6
  • 2oo4 Space Shuttle ( AK6 ), atomkraftverk ( AK7 )

litteratur

  • M. Blanke, M. Kinnaert, J. Lunze og M. Staroswiecki: Diagnosis and Fault-Tolerant Control (2006), 2. utgave, Springer Verlag, ISBN 3-540-35652-5
  • R. Isermann: Fault-Diagnosis Systems (2006), Springer-Verlag, ISBN 3-540-24112-4
  • DIN 55350: Vilkår for kvalitetsstyring og statistikk

Se også