Fehlertolerante Regelungsabläufe für mehrphasige elektrische Antriebe

Wichtigste Erkenntnisse

• Die fehlertolerante Steuerung in Mehrphasenantrieben funktioniert nur, wenn Erkennung, Isolierung, Neukonfiguration und Leistungsreduzierung als ein Arbeitsablauf mit überprüfbaren Akzeptanzkriterien konzipiert sind.
• Redundanz ist nur nach einer sicheren Isolierung sinnvoll, da Fehlalarme und unsichere Rücksetzungen oft mehr Ausfallzeiten und Stress verursachen als der ursprüngliche Fehler.
• Hardware-Validierung verwandelt Schutz-Timing und Degraded-Mode-Grenzwerte in wiederholbares, überprüfbares Verhalten, auf das Sie sich bei Ausfällen verlassen können.

Die fehlertolerante Steuerung für Mehrphasenantriebe funktioniert nur, wenn Sie sie als durchgängigen Workflow betrachten.

Mehrphasige Motorantriebe bieten Ihnen zusätzliche Freiheitsgrade, aber Redundanz verwaltet sich nicht von selbst. software abnormales Verhalten schnell erkennen, die richtige Komponente ohne Spekulationen isolieren und die aktuellen Befehle neu konfigurieren, während sie innerhalb der thermischen und Spannungsgrenzen bleibt. Elektromotoren und motorbetriebene Systeme machen etwa 46 % des weltweiten Stromverbrauchs , sodass ein Antrieb, der sich sanft abschaltet, die Betriebszeit, den Energieverbrauch und hardware schützt.

Die zuverlässigsten Teams behandeln Fehler als normalen Betriebszustand mit klaren Regeln und nicht als seltene Ausnahme, die mit Last-Minute-Patches behoben wird.

Diese Haltung bestimmt alles, was folgt, von der Auswahl der Sensoren bis hin zur Steuerung der Drehmomentbefehle, der Protokollierung von Ereignissen und der Validierung des Schutzverhaltens. Wenn diese Elemente zu einem einzigen Arbeitsablauf zusammengefasst werden, hardware mehrphasige hardware einer Sicherheitsmarge, die Sie tatsächlich nutzen können.

Fehlertolerante Regelungsziele für mehrphasige Motorantriebssysteme

Die fehlertolerante Steuerung zielt darauf ab, einen Mehrphasenantrieb nach einem Fehler stabil und vorhersehbar zu halten, dabei Schäden zu begrenzen und die Sicherheit von Personen zu gewährleisten. Sie möchten ein kontrolliertes Drehmoment, begrenzte Ströme und ein bekanntes thermisches Verhalten. Außerdem möchten Sie wiederholbare Übergänge zwischen Normal- und Notbetrieb. Ein funktionsfähiges Design legt vor Beginn der Programmierung messbare Akzeptanzkriterien fest.

Beginnen Sie mit Zielen, die getestet werden können, nicht mit Slogans. Drehmomentwelligkeit, Spitzenphasenstrom, Gleichstrom-Busspannung und Wechselrichter-Sperrschichttemperatur lassen sich alle in Pass/Fail-Prüfungen umsetzen. Eine zweite Reihe von Zielen befasst sich mit dem Systemverhalten, z. B. wie lange das Drehmoment nach einem Phasenausfall aufrechterhalten werden kann und wie schnell der Antrieb den Strom nach einem vermuteten Kurzschluss reduzieren muss. Klare Ziele verhindern, dass Teams Schutzvorrichtungen so lange optimieren, bis „es sich richtig anfühlt“.

Mehrphasenantriebe bieten zusätzliche Optionen, aber auch zusätzliche Probleme. Zusätzliche Phasen können das Drehmoment aufrechterhalten, aber auch Fehler verbergen, wenn die Erkennungslogik schwach ist. Ein starker Workflow behandelt Redundanz als bedingt, d. h. Sie verwenden sie nur, wenn die Isolierung sicher ist und der Controller in einen Modus mit bekannten Grenzen gewechselt ist.

Fehlerklassen in Mehrphasen-Wechselrichtern und Maschinenwicklungen

Fehler in mehrphasigen elektrischen Antrieben lassen sich in eine kleine Anzahl von Klassen einteilen, die die richtige Steuerungsreaktion bestimmen. Zu den Fehlern in der Leistungsstufe gehören offene Schalter und Kurzschlüsse. Zu den Maschinenfehlern gehören offene Phasen, Kurzschlüsse zwischen Phasen und Isolationsdurchschläge. Fehler an Sensoren und Schätzern sehen oft wie Anlagenfehler aus und erfordern daher eine besondere Behandlung.

Die Klassifizierung ist wichtig, da Schutzmaßnahmen nicht austauschbar sind. Ein vermuteter Kurzschluss erfordert eine sofortige Strombegrenzung und eine Gate-Blockierungslogik, während eine offene Phase oft durch eine Neuzuweisung der Steuerung bewältigt werden kann. Sensorfehler liegen dazwischen, da ein einzelner defekter Stromsensor eine falsche Isolierung und unnötige Leistungsreduzierung auslösen kann. Gute Designs erstellen eine Zuordnung, die jede Klasse mit Erkennungssignalen, Bestätigungsregeln und den anschließend zulässigen Steuerungsmodi verknüpft.

Die Priorisierung sollte sich nach dem Risiko richten, nicht nach der Zweckmäßigkeit. Elektrische Fehler, die sich innerhalb von Mikrosekunden verschlimmern können, erhalten die schnellsten Reaktionswege, die häufig in Firmware oder dedizierter Logik implementiert sind. Fehler, die sich über einen längeren Zeitraum entwickeln, wie z. B. Wicklungsverschleiß, sind dennoch von Bedeutung, da sie Schätzungen verfälschen und thermische Margen beeinträchtigen können. Wenn Sie diese als separate Klassen behandeln, vermeiden Sie eine einheitliche Abschaltstrategie, die die Vorteile von Mehrphasenantrieben zunichte macht.

Signalauswahl und Schwellenwerte für eine schnelle Fehlererkennung

Eine schnelle Erkennung basiert auf Signalen, die frühzeitig reagieren, auch in verschlechterten Betriebszuständen beobachtbar bleiben und über alle Betriebspunkte hinweg stabil sind. Phasenstrom, Zwischenkreisspannung und Verhalten der Schaltknoten liefern in der Regel die frühesten Anzeichen. Modellresiduen können die Empfindlichkeit erhöhen, wenn Sensor-und Datenfusion zuverlässig Sensor-und Datenfusion . Eine gute Schwellenwertstrategie schafft ein Gleichgewicht zwischen Geschwindigkeit und Auslösefehlerrisiko.

Die Erkennung funktioniert am besten, wenn Sie Ihre erste Schicht auf Signale beschränken, denen Sie trotz Rauschen und Transienten vertrauen können. Diese fünf Signaltypen bieten in der Regel eine gute Abdeckung, ohne dass umfangreiche Berechnungen erforderlich sind:

• Prüfung der Phasenstromstärke und Asymmetrie in Verbindung mit dem vorgegebenen Strom
• Aus gemessenen Strömen abgeleitete Indikatoren für Negativsequenz oder Oberschwingungen
• Änderungsrate der Zwischenkreisspannung während Schaltvorgängen
• Gate-Befehl und Rückmeldung zum Entsättigungsstil von der Leistungsstufe
• Restfehler zwischen gemessenen und geschätzten elektrischen Zuständen

Schwellenwerte sollten sich an den Betriebszustand anpassen, da Anlauf und Regeneration anders aussehen als ein konstantes Drehmoment. Verwenden Sie eine mehrstufige Logik, bei der zunächst eine schnelle Begrenzung den Strom reduziert und dann ein langsamerer Bestätigungsschritt über die Isolierung und den Moduswechsel entscheidet. Filter unterstützen, aber lange Fenster verbergen schnelle Fehler. Halten Sie daher die Zeitkonstanten an die elektrische Frequenz und die Schaltfrequenz gebunden. Das Ziel ist ein klarer Alarm, dem Sie vertrauen können, wenn er ausgelöst wird.

Fehlerisolierungsmethoden, die Fehlauslösungen und Rücksetzungen vermeiden

Die Fehlerisolierung identifiziert, was wo ausgefallen ist, sodass der Controller den richtigen Degradationsmodus auswählen kann, anstatt zu raten. Eine robuste Isolierung nutzt redundante Nachweise und nicht nur eine einzige Schwellenwertüberschreitung. Außerdem vermeidet sie aggressives Auto-Reset-Verhalten, das zu wiederholter Belastung führen kann. Die Isolierungslogik sollte eine klare, protokollierte Entscheidung liefern, die Sie in Tests wiederholen können.

Entwerfen Sie die Isolierung als eine Abfolge von Prüfungen, die die Möglichkeiten eingrenzen, und bestätigen Sie diese dann mit einer zweiten Signalfamilie. Trennen Sie „vermutete Fehler“ von „bestätigten Fehlern“ und verknüpfen Sie jeden Zustand mit zulässigen Aktionen. Dadurch wird verhindert, dass eine kurze Messstörung einen vollständigen Moduswechsel erzwingt. Außerdem hilft es Bedienern und Ingenieur:innen , warum der Antrieb das Drehmoment reduziert hat, obwohl nichts sichtbar kaputt gegangen ist.

Fehlertolerante Steuerung ist kein einzelner Algorithmus, sondern eine Reihe von getesteten Verhaltensweisen, die Sie unter Druck verteidigen können.

Isolationsregeln lassen sich leichter validieren, wenn Sie Vorteil nach Belieben wiederholen können. Ein Echtzeit-Digital-Simulator von OPAL-RT kann Fehlerinjektionen genau nach Ihrem Steuerungscode und Ihrem Schutz-Timing ausführen, wodurch Sie Bestätigungsfenster optimieren können, ohne hardware zu gefährden. Diese Art der Wiederholbarkeit ist während der frühen Isolationsplanung wichtiger als eine perfekte Anlagenwiedergabe. Das praktische Ziel ist einfach: Der Antrieb sollte jedes Mal, wenn derselbe Fehler auftritt, dasselbe tun.

Steuerungsneukonfiguration zur Aufrechterhaltung des Drehmoments bei Phasenausfallfehlern

Die Steuerungsneukonfiguration ändert Stromreferenzen, Modulationsregeln und Einschränkungen nach der Isolierung, sodass der Antrieb mit weniger effektiven Phasen stabil bleibt. Der Regler muss die Drehmomentproduktion aufrechterhalten und gleichzeitig Kupferverluste und Wechselrichterbelastung begrenzen. Ein sauberer Ansatz wechselt zu einem definierten degradierten Regler und nicht zu einem gepatchten Satz von Verstärkungen. Mehrphasensysteme können Strom umverteilen, jedoch nur innerhalb bekannter Grenzen.

Ein sechsphasiger Permanentmagnet-Synchronmotor kann den Unterschied zwischen „fehlertolerant“ und „fehlersicher“ veranschaulichen. Eine offene Phase kann isoliert werden, dann kann die drehmomentproduzierende Stromreferenz in den verbleibenden intakten Unterraum projiziert werden, sodass das durchschnittliche Drehmoment weiterhin geregelt bleibt. Die Strombegrenzungen müssen verschärft werden, da die verbleibenden Phasen einen höheren Effektivstrom führen, und die Modulationsstrategie muss vermeiden, dass eine Phase in Richtung Sättigung gedrängt wird. Dieser Arbeitsablauf hält die Maschine steuerbar, anstatt sie einfach nur weiterlaufen zu lassen.

Eine Neukonfiguration hat Vor- und Nachteile, die Sie im Voraus akzeptieren sollten. Die Drehmomentwelligkeit steigt in der Regel an, was mechanische Resonanzen hervorrufen und akustische Geräusche verstärken kann. Der Wirkungsgrad sinkt mit steigendem Kupferverlust, was die thermischen Spielräume einschränkt und die zulässige Dauer bei hohem Drehmoment verkürzt. Ein gutes Design macht diese Grenzen für eine übergeordnete Steuerung sichtbar, sodass das System das Drehmoment absichtlich reduziert, anstatt erst nach einem Temperaturanstieg.

Derating-Regeln und Grenzwerte für einen sicheren Betrieb mit verminderter Leistung

Die Leistungsreduzierung legt fest, wie viel Drehmoment, Drehzahl und Einschaltdauer nach einem Fehler zulässig sind, damit der Antrieb sicher und stabil bleibt. Diese Grenzwerte sollten deterministisch sein und an messbare Größen wie Wicklungstemperatur, Wechselrichter-Temperatur und Gleichstrombusbedingungen geknüpft sein. Die Leistungsreduzierung erfordert auch eine klare Ausgangsbedingung, da ein dauerhafter Betrieb im degradierten Modus einen sich entwickelnden Fehler verbergen kann. Das Ziel ist eine kontrollierte Leistungsfähigkeit, nicht die maximale Leistungsfähigkeit.

Die Leistungsreduzierung sollte auf der Grundlage der bereits in Ihrem Entwurf vorhandenen Einschränkungen erfolgen. Thermische Modelle und Sensor-und Datenfusion kontinuierliche Stromgrenzen Sensor-und Datenfusion , während Spannungsreserven und Modulationsgrenzen die Hochgeschwindigkeitsfähigkeit bestimmen. Motorsysteme verbrauchen etwa 70 % des Stroms, der in den USA , sodass eine Derating-Richtlinie, die unnötige Verluste vermeidet, die Betriebskosten auch bei Störungen senken kann. Der Schlüssel liegt darin, Derating zu einer Regel zu machen, die jeder vorhersagen und testen kann.

Bediener und software einfache, eindeutige Ausgaben aus der Derating-Logik. Geben Sie ein zulässiges Drehmomentlimit, ein zulässiges Drehzahllimit und eine maximale Zeit an diesem Betriebspunkt an, wenn der thermische Spielraum schrumpft. Verknüpfen Sie das Zurücksetzen und die Wiederherstellung mit einer überprüften Stabilität und nicht nur mit einem Timer, damit Sie nicht erneut das volle Drehmoment auf einen noch fehlerhaften Zweig anwenden. Eine disziplinierte Derating-Strategie verwandelt einen beeinträchtigten Betrieb in einen kontrollierten Zustand statt in einen Notfall.

Validierungs-Workflow unter Verwendung von Echtzeitmodellen und hardware the-Loop-Tests

Die Validierung belegt, dass Erkennung, Isolierung, Neukonfiguration und Leistungsreduzierung über alle Betriebspunkte und Fehlerzeitpunkte hinweg korrekt funktionieren. Software Tests erfassen keine Zeit-, Quantisierungs- und I/O , die das Schutzverhalten beeinflussen. Tests schließen diese Lücke mithilfe eines Echtzeit-Anlagenmodells, das mit Ihrer hardware verbunden ist. Das Ergebnis sollte ein nachvollziehbarer Nachweis dafür sein, dass die Schutzvorrichtungen wie vorgesehen funktionieren.

Die Validierung sollte mit Fehlerinjektionsplänen beginnen, die Ihren Fehlerklassen und Akzeptanzkriterien entsprechen. Überprüfen Sie Geschwindigkeit, Last und Gleichstrombusbedingungen und injizieren Sie dann Fehler in mehreren elektrischen Winkeln, um die ungünstigsten Belastungen zu erfassen. Zeichnen Sie die Zeit vom Auftreten des Fehlers bis zur Strombegrenzung, die Korrektheit der Isolierung und die Stabilität des beeinträchtigten Controllers auf. Behandeln Sie jeden unerwarteten Reset oder Fehlauslösung als Testfehler, da die Bediener dies als Verlust der Zuverlässigkeit betrachten werden.

Langfristige Zuverlässigkeit entsteht durch die Wiederholung dieses Arbeitsablaufs, bis das Schutzverhalten langweilig wird, denn langweilig bedeutet vorhersehbar. OPAL-RT-Systeme werden häufig verwendet, um diese Closed-Loop-Tests in Echtzeit mit wiederholbaren Fehlerinjektionen und Zeitprüfungen durchzuführen, was den Teams hilft, Randfälle vor hardware zu sichern. Diese Disziplin macht die mehrphasige Redundanz zu einer Betriebsfähigkeit, auf die Sie sich verlassen können. Fehlertolerante Steuerung ist kein einzelner Algorithmus, sondern eine Reihe von getesteten Verhaltensweisen, die Sie unter Druck verteidigen können.