机电驱动系统的制作方法

本发明涉及机电驱动系统和用于操作这种驱动系统的方法以及各自包括此类驱动系统的桨距系统和风力涡轮机。

背景技术：

存在若干应用，其中必须使部件致动，例如运动或旋转。就位置和致动动力学对装置、系统或环境安全有着重大影响的部件而言，部件是安全相关部件并且其致动必须以高完整性和可靠性进行。满足高安全要求的此类驱动部件必须进行仔细设计并在诊断功能的支持下进行测试，以避免系统错误和随机控制错误。为了满足安全要求，市售的机电驱动器包括极为先进的电机和电机控制单元，它们使用以成本密集型高机械精度制造的部件，包括附加的昂贵反馈控制电路以及昂贵且高可靠性的控制软件。所得的驱动部件相应地具有高开发与设计成本以及高制造成本。

根据ep2372478a2，可获知包括被配置成对电机执行电源控制的电机控制部分的电机控制器和安全模块，其中安全控制器监督第一传感器和第二传感器。安全模块是另外连接到电机控制器的功能扩展器。电机驱动系统由具有第一门的第一安全围栏围绕。第一安全围栏由具有第二门的第二安全围栏围绕。如果第二传感器向安全模块通知第二门打开，则作为预防措施，安全模块将使电机减速。如果第一传感器向安全模块通知第一门打开，则安全模块将停止电机。

us7,911,333b2描述了用于机器(包括传感器)的运动监测的方法，其中传感器信号从传感器传输到控制器或驱动装置、故障安全控制器或驱动装置，其包括三个独立的监测装置，以保护机器操作免受危险运动的影响。已知的驱动装置具有用于在发生失效时提高冗余度的两个关断路径。

希望获得提供相同安全水平且可以较低成本制造的机电驱动器。

技术实现要素：

本发明的目的是提供用于致动安全相关部件的驱动系统，该驱动系统满足以高可靠性和完整性级别致动这些部件的安全要求，同时可易于以低成本实现。

该目的通过机电驱动系统解决，该机电驱动系统具有至少一个机电驱动单元以致动可动部件，该机电驱动单元包括驱动单元接口以便接收驱动单元控制信号；由致动信号控制以致动部件的机电式电机；安全模块和经由第一数据连接来连接到安全模块的位置传感器，该位置传感器适于监测被致动的部件和/或电机的部件和/或电机位置和/或速度；其中安全模块连接到驱动单元接口以便接收驱动单元控制信号，并且其中安全模块经由第三数据连接来连接到电机控制单元，以将致动信号如致动速度和所需的部件位置传输到电机控制单元以便致动部件。安全模块至少实现为部件在静止或空档位置中的致动的安全功能。安全模块被配置成基于从位置传感器接收到的传感器数据来决定是致动部件直到部件达到其静止或空档位置，还是停止部件的致动。

机电驱动系统可为用于致动部件的任何系统，其中该致动不限于特定类型的致动。例如，致动可能是在一个或多个方向上的线性运动或旋转，例如就线性运动而言向前和/或向后运动，或就旋转而言向右和/或向左旋转，其中根据本发明的机电驱动系统受限于应用，其中部件致动的可靠性和完整性对于操作部件是安全相关的，并且对应的诊断措施已落实到位。这些边界条件通过至少安全模块和位置传感器的存在来满足，从而确保部件的安全致动，其中术语“安全的”和“安全”表示适用于执行和/或控制致动的部件，这些致动必须以一定程度的可靠性、完整性和诊断来执行，以满足用于根据iec61508标准和/或iec13849标准开发的安全相关应用的此类系统出厂的安全要求。就包括机电驱动系统的风力涡轮机的桨距系统而言，根据风力涡轮机的iec61400标准开发机电驱动系统。与之相比，术语“常规”表示诸如常规电机控制单元、常规功率单元和常规测量单元的部件，这些部件不适于任何具体安全标准，无法在没有其他附加部件的支持的情况下提供致动部件的足够可靠性、完整性和诊断。

根据本发明的机电驱动单元满足用于致动可动部件的安全要求，但该单元还包括常规部件，这是由于其与安全部件(此处为安全模块和位置传感器)的交互是以根据本发明的指定方式进行的，从而提供机电驱动单元的总体可靠性、完整性和诊断(＝安全)。从本文档这里开始，连接到安全模块的位置传感器称为安全位置传感器，因为其直接连接到安全模块。因此不应与其他位置传感器相混淆，后者可存在于其他位置，但不直接连接到安全模块。为了实现特定安全完整性水平，可能需要安全位置传感器也满足安全要求，诸如上述那些安全要求。

用于致动部件的机电式电机可能是任何合适的电机。电机不必符合机电驱动系统要满足的安全标准。用于向机电式电机供电的常规功率单元可能是适用于向电机供电以向机电式电机提供功率需求的任何功率单元。例如，常规功率单元可包括放大器、逆变器、栅极驱动器以及向电机和制动器的最终功率输出。用于向系统供电的电源可能是内部电源(例如，电池)或经由合适的连接来连接到机电驱动系统的外部电源(例如，电网)。常规电机控制单元和常规功率单元可能布置在单个pcb上或组合式pcb上。

常规电机控制单元可能是适用于控制电机的任何控制单元，以便经由电机控制信号执行所要求的致动或停止，所述电机控制信号表示用于致动电机的信号，例如用于以指定速度旋转电机直到执行部件的特定致动、改变该速度、使电机减速和/或停止电机(制动电机)的信号。有关电机速度的电机控制信号可能被输出为pwm信号，有关制动器操作的电机控制信号可能被输出为pwm制动器控制信号。例如，电机制动器可能是永磁止动制动器。脉宽调制(pwm)是基于调制器信号信息来控制电脉冲的宽度(以时间计)的调制技术。该调制主要用于允许对向电气装置(尤其是向惯性负载，诸如电机)提供的功率进行控制。

在常规电机控制单元中，常规电机控制单元的电机控制接口直接连接到驱动单元接口。因此，经由驱动单元接口接收到的常规驱动单元驱动控制信号形成致动信号，这些致动信号分别作为致动信号或致动命令直接传送到电机控制单元。这一概念中的安全模块连接到驱动单元接口而实际上形成第二数据连接，并且经由第三数据连接(例如，数据总线)连接到常规电机控制单元。因此安全模块充当常规电机控制单元与数据源之间的中间人装置，该数据源提供所要求的输入数据，以便根据一个或多个安全功能以特定方式执行部件致动达到特定位置。数据源可能是外部数据源如中央单元，其中作为响应，致动信号如致动速度和所需的部件位置从安全模块传输到常规电机控制单元。安全模块上实现的安全功能确保部件的安全致动，从而确保致动的可靠性、完整性和诊断。因此，安全模块通过以下方式监测部件的位置和/或速度：将其与参考信号及由接收自安全位置传感器(提供安全位置和/或速度数据)的传感器信号确定的对应数据进行比较。如果没有违反任何安全规则并且安全位置传感器数据指示电机驱动单元或安全位置传感器自身没有发生故障，则安全模块可将经由第二数据连接接收到的致动命令透明地传递到第三数据连接。

使用来自安全位置传感器的传感器数据，使安全模块能够执行真实性检查，以便决定是应信任来自安全位置传感器的信息、来自电机测量单元的信息，还是不应信任任何这些信息。作为该真实性检查的结果，安全模块可决定继续正常操作、进入紧急情况以及致动部件直到其达到静止或空档位置，或甚至停止部件，前提条件是真实性检查表明尝试继续致动部件达到静止或空档位置的风险太大。如果违反安全规则或者安全位置传感器经由错误信号指示其自身的传感器信号无法受到信任，则安全模块根据安全规则违反的故障的严重性，可决定修改经由其数据驱动单元接口接收到的控制信号，并且经由第三数据连接将经修改的信号或命令传输到电机控制单元，或者生成信号或命令以立即停止机电式电机。电机控制信号或电机控制命令的修改可甚至包括提高电机的速度。

术语位置传感器是工程领域众所周知的术语，其基本上描述用于测量受监督的部件从参考位置开始行进的距离的传感器。部件已从其参考或初始位置位移了多远由位置传感器以绝对值或增量值的形式感测。作为受监督的部件的运动的函数，位置传感器可测量线性位置或角位置。还熟知的是，通过考虑所测位移的时间，任何位置传感器的传感器数据均可换算为受监督的部件的速度信息或加速度信息。由于这是可逆函数，当给出至少一个参考点时，每一速度信息或加速度信息均可用于计算位置。因此术语位置传感器应涵盖直接或间接(经由参考点、速度或加速度信息)给出被致动的部件的位置指示的所有种类的传感器。

包括从安全位置传感器传输到安全模块的位置和/或速度数据的传感器信号，可基于被致动的部件的所测部件位置和/或速度。在可供选择的实施例中，从安全位置传感器传输的数据可基于电机的所测电机位置和/或速度，只要从电机测得的数据提供足以满足安全要求的可靠性和完整性程度即可。此处安全位置传感器可能附接到电机轴，其中轴位置和速度与部件位置和速度之间存在直接相关性。在一些应用中，被致动的部件可间接连接到机电式电机，例如通过传动装置诸如齿轮箱来连接。传动装置可用于提高被致动的部件的速度或增大使部件致动的转矩。传感器信号进一步通过安全模块进行处理，以便通过考虑传动装置的传动比，由电机位置和/或速度计算部件位置和/或速度。

在一个实施例中，安全位置传感器是位置编码器，优选地为将部件的旋转位置转换为模拟(例如，模拟正交)或数字(例如，数字正交、32位并行或usb)电子信号的安全旋转编码器，或相似地将部件的线性位置转换为电子信号的线性编码器，从而经由根据iec61508标准开发的作为第一数据连接的fs总线接口，向安全模块提供安全绝对位置和/或速度和故障状态数据。fs总线表示任何符合iec61784-3或其对应的附加规范iec61784-3-x的、基于安全总线的数据通信协议。就以旋转作为致动的旋转编码器而言，安全位置传感器可能是sil额定多圈编码器。由安全位置传感器提供的位置和/或速度数据还表示为安全位置和/或速度数据。经批准用于特定安全完整性级别的一些位置解码器监督其自身的正常运行。如果那些位置传感器检测到故障或者它们提供的数据可能有错误，则那些传感器分别生成错误信号或错误代码。虽然无法绝对保证指示其无错操作的故障安全装置实际上就是无错的，但从统计方法上看，指示其无错操作的故障安全装置的结果的可信度可比未提供这种信息的传感器更高。

第一安全功能在紧急情况下将部件致动到静止或空档位置中。该静止或空档位置表示这样的位置，其中部件不会被损坏并且部件周围的环境不会受到部件或部件故障的危害。例如，就风力涡轮机而言，第一安全功能表示安全顺桨运行，其使转子叶片背风转动以便确立转子叶片的顺桨位置。

为了由安全模块执行安全功能，安全模块包括一个或多个处理器或计算机芯片，它们能够执行一个或多个程序化过程和/或能够控制安装在安全模块上的半导体部件以便执行程序化过程。安全模块的所需部件直接连接在安全模块内或经由接口间接连接在安全模块内，或连接到机电驱动单元的其他部件以便执行程序化过程。

所提供的用于致动安全相关部件的机电驱动系统满足以高可靠性、完整性和诊断级别致动这些部件的安全要求，同时可易于以低成本实现，因为电机和控制部件诸如电机控制单元、功率单元和测量单元可用作常规部件，它们可以较低的制造、测试和出厂工作量来实现，从而降低了常规部件的制造和实现成本。安全功能仅在安全模块和安全位置传感器这两个部件内实现，从而降低了安全机电驱动单元的总体成本。这显著降低了所应用的部件软件的开发成本，这是由于可使用用于控制常规部件的通用软件。此外，根据本发明的机电驱动系统提供了安全驱动系统，其中安全功能不限于仅使对应部件停止在当前位置中，而且能够将部件从当前位置驱动到安全位置中，从而以安全方式提供部件运动和停止的组合。

在一个实施例中，在安全模块上实现的安全功能还包括以下功能的安全功能中的一者或多者：用于确保部件的位置在允许的位置范围内的安全限制位置控制功能，用于确保被致动的部件的速度不超过最大速度的安全限制速度控制功能，用于确保部件向所需方向中致动的安全方向控制功能，用于确保施加到部件上的转矩为零的安全转矩关闭控制功能，用于确保电机的制动器已施加的安全制动器控制功能，和/或用于确保根据其他安全功能执行停止过程的安全停止控制功能，并且其中安全模块被适当地调整(或设计)成执行所实现的安全功能。安全功能被实现为合适的硬件/软件模块，这些模块包括用于运行安全模块内的功能相关软件的处理器。施加这些安全功能时，部件在所有可能情况下均可以安全模式进行控制

安全限制位置控制功能监测部件位置，使得部件保持在限定的位置范围内。例如，就风力涡轮机的转子叶片作为被致动的部件而言，限制的位置范围介于0°与90°叶片位置之间，其中90°表示顺桨位置，并且0°表示风对转子叶片施加最大负载的位置。安全限制速度控制功能在使部件致动的所有模式期间连续地监测部件的致动的速度。例如，就风力涡轮机的转子叶片作为被致动的部件而言，可接受的最大速度是使叶片围绕其纵向轴线旋转的6°/秒。安全方向控制功能监测部件的运动方向，例如，就线性运动而言向前或向后的方向，或者就旋转而言向右或向左的方向。安全转矩关闭控制功能通过拦截对应电机控制信号以便向部件提供零转矩而从机电式电机移除电源，并且可由其他安全功能用作这些其他安全功能的一部分。安全制动器控制功能例如从制动器移除电源以便接合制动器，这意味着需要通过断电来使制动器接合的制动器类型，并且安全制动器控制功能可由其他安全功能用作这些其他安全功能的一部分。安全停止控制功能可引发机电式电机的减速，随后在具体时间延迟之后，命令施加安全转矩关闭控制功能和安全制动器控制功能以实现部件的安全状态，并且安全停止控制功能可由其他安全功能用作这些其他安全功能的一部分。

此外，至少安全限制位置控制功能、安全限制速度控制功能和安全方向控制功能这些安全功能可包括限定的故障反应，以便保证部件致动的可靠性、完整性和诊断。安全限制位置控制功能、安全限制速度控制功能和/或安全方向控制功能的故障反应可能要求执行第一安全功能或要求安全停止控制功能，具体取决于驱动系统的操作模式。

为了执行诸如第一安全功能、安全限制位置控制功能、安全限制速度控制功能和/或安全停止控制功能的安全功能，安全相关命令和数据可能经由第三数据连接(例如，全双工数据总线)发送到常规电机控制单元。

在本发明的一个方面，机电驱动系统包括具有分解器的测量单元，该分解器用于确定电机位置和/或电机速度数据，以便通过使用分解器的电机位置和/或电机速度数据以第一模式驱动电机。安全模块适于在测量单元所输送的数据与位置传感器所输送的传感器数据之间执行真实性检查。如果真实性检查指示位置传感器发生故障，则安全模块通过使用测量单元所提供的数据将部件致动到静止或空档位置中。

例如就风力涡轮机而言，使用测量单元的数据，而非使用不再可信的位置传感器的数据，来分别监测和估计叶片位置。根据估计的叶片位置，可向电机控制单元下达正确的速度命令，以继续操作电机直到转子叶片已达到顺桨位置并使电机停止在该位置中。虽然来自测量单元的数据不允许检查电机与转子叶片之间的齿轮箱是否正常工作，但从让转子叶片完全暴露于风的风险上看，这被认为是次要的。

在本发明的另一个方面，机电驱动器包括具有分解器的测量单元，该分解器用于确定电机位置和/或电机速度。安全模块适于在测量单元所输送的数据与位置传感器5所输送的传感器数据之间执行真实性检查。如果真实性检查指示分解器发生故障，则安全模块通过将电机切换成第二模式而将部件致动到静止或空档位置中，其中测量单元在不使用分解器的输入的情况下驱动电机。

在一个实施例中，常规电机包括适用于确定电机位置和/或电机速度数据的常规测量单元。例如，测量单元是确定电机位置和电机转角的分解器。来自测量单元的数据作为电机信号传输到常规电机控制单元。由于可用分解器的高分辨率，电机可在第一模式下受到精确控制，该第一模式在本文称为“正常模式”。作为另一个实施例，常规测量单元确定第二模式下的电机位置和/或速度，该第二模式在本文称为“无传感器模式”，因为电机轴的位置是在没有传感器(诸如物理地测量转角的分解器或编码器)的情况下估计的。相反，电机物理构造中的转角依赖性特性(其可以是固有的，或有意添加的)用于由自感测实时算法(例如卡尔曼滤波)来估计轴转角，该自感测实时算法使用实际电机电流作为输入，以确定电机的位置和/或速度。结果不那么精确，但足以用于继续紧急操作直到达到静止位置或空档位置的目的。

在本发明的另一个方面，机电装置包括具有分解器的测量单元，该分解器用于确定电机位置和/或电机速度。安全模块适于在测量单元所输送的数据与位置传感器所输送的传感器数据之间执行真实性检查。如果真实性检查指示来自测量单元的数据和位置传感器的数据都不可信，则安全模块停止电机。

另外，就机电装置的系统而言，安全模块向系统中的其他安全模块通知故障/失效。任选地，其他安全模块在接收到该失效的通知后，可将其部件致动到静止或空档位置中。就具有三个转子叶片的风力涡轮机而言，若一个叶片发生失效，则另两个叶片在设法达到顺桨位置的情况下将能够使转子停止。

在一个实施例中，安全模块包括从常规电机控制单元接收电机控制信号的pwm拦截器模块，其中安全转矩关闭控制功能和/或安全停止控制功能中的至少一者的执行导致拦截电机控制信号，使之不能通过pwm拦截器模块朝常规功率控制单元传递。从常规电机控制单元输入到pwm拦截器模块的pwm电机控制信号控制机电式电机标准行为，其中基于pwm电机信号命令将电源切换到电机。pwm拦截器模块适于覆盖来自常规电机控制单元的电机控制信号，以便执行该安全功能。在一个优选的实施例中，pwm拦截器模块的输出被设定为0v，以便执行该安全功能。将pwm拦截器模块的安全输入设定为0v，使得将pwm拦截器模块向常规功率单元的输出设定为0v。该实施例能够将停止电机的安全功能轻松实现为电机控制信号，而不需要安全电机控制单元。

在一个实施例中，安全模块还包括从常规电机控制单元接收制动器控制信号作为另一种类型的电机控制信号的制动器拦截器模块，其中安全制动器控制功能和/或安全停止控制功能中的至少一者的执行导致拦截制动器控制信号，使之不能通过制动器拦截器模块朝常规功率控制单元传递。从常规电机控制单元输入到制动器拦截器模块的制动器控制信号控制机电式电机标准行为，包括制动动作，其中基于制动器信号命令(可能还有pwm信号)将电源切换到制动器。制动器拦截器模块适于覆盖作为来自常规电机控制单元的电机控制信号的制动器控制信号，以便执行该安全功能。在一个优选的实施例中，制动器拦截器的输出被设定为0v，以执行该安全功能。将制动器拦截器模块的安全输入设定为0v，使得将制动器拦截器模块向常规功率单元的输出设定为0v。该实施例能够将该安全功能轻松实现为电机控制信号，而不需要安全电机控制单元。电机控制信号包括用以驱动电机的电机控制信号以及用以制动电机的制动器控制信号。

为了执行安全停止功能，上述过程还适用于执行安全转矩关闭控制功能和安全制动器控制功能作为安全停止功能的一部分。此外，第一安全功能以及安全限制位置控制功能、安全限制速度控制功能和安全方向控制功能包括在根据这些安全功能完成致动时执行安全转矩关闭控制功能和安全制动器控制功能。

在本发明的另一个方面，如果在电机控制单元的通信和/或操作中检测到错误，则安全模块适于通过直接访问电机控制单元的复位线而使电机控制单元复位。如果真实性检查失效，则一个策略是使电机控制单元复位。由于该复位通常需要不到一秒钟，复位值得一试，尤其是当例如实际风况指示没有即时风险时。该复位可使机电式电机能够将部件致动到静止或空档位置中。在机电式电机的系统中，可为好策略的是降低整体系统失效的风险，以在复位之后将第一安全功能发送到系统的所有机电式电机，从而将它们推动到安全位置，即静止或空档位置。

在本发明的另一个方面，在将部件致动到静止或空档位置中的情况下，机电驱动系统的安全模块适于修改电机的速度命令，使得在第一部分中电机的速度升高，而在第二部分中电机的速度下降。

对包括升高电机速度的命令进行该修改存在很大的风险，通常将加以避免。只要安全位置传感器所输送的结果可信，就可以利用升高速度来减轻该风险，在升高速度的情况下，被致动的部件可从有风险的位置进入损坏风险明显下降的位置。就风力涡轮机而言，叶片背风转动30°显著降低了转子叶片产生的升力。因此叶片背风转动得越快，风力涡轮机就越快处于安全状态。由于叶片随后可甚至转动得更慢，可更准确地实现最终位置。

在一个实施例中，安全模块适于通过所谓的心跳信号验证常规电机控制单元的无错通信和操作，其中常规电机控制单元在正常操作的情况下以预定方式回复该心跳信号。心跳信号的执行包括这样的过程，其中安全模块的计数器递增，并且值被写入到要发送到常规电机控制单元的下一心跳信号中的第一参数。同时，安全模块启动定时器以检查与常规电机控制单元的通信超时。该心跳信号周期性地发射到常规电机控制单元(例如，经由第三数据连接)，其中该心跳信号引发与安全卡的新消息交换。常规电机控制单元复制该具体参数的值并且任选地根据映射配置将该具体参数的值逐位取反为第二具体参数，从而将该第二具体参数包括在发送回安全模块(例如经由第三数据连接)的消息中。安全模块从接收回的消息读取第二参数的值，并且确认该值(任选地逐位取反)等于其自身的计数器。如果安全模块内的定时器在从常规电机控制单元读取消息之前到期，或者比较的值不同于自身的计数器，则引发故障反应流程。故障反应可能是第一安全功能的执行。安全模块与常规电机控制单元之间正确工作的通信确保了从安全模块传输的控制命令可由常规电机控制单元执行，这作为诊断过程提高了机电驱动系统的可靠性和完整性的程度。在一个优选的实施例中，如果在常规电机控制单元的通信和/或操作中检测到错误，则安全模块适于通过直接访问常规电机控制单元的复位线而使常规电机控制单元复位，作为在引发其他故障反应之前首先执行的故障反应。得自前一诊断过程的该措施使安全模块能够让电机控制单元再次正常工作，以便进一步提高机电驱动系统的可靠性和完整性的程度。与仅仅执行部件的紧急致动相比，工作系统的重建提供了能够使部件继续正常操作的改进解决方案。

在一个实施例中，安全模块被布置为插入式安全卡，该插入式安全卡包括第一接口和第二接口，该第一接口作为第三数据连接将安全卡连接到常规电机控制单元，以便至少将致动信号传输到常规电机控制单元，并且该第二接口用于经由安全卡将电机控制信号和/或制动器控制信号作为另一种类型的电机控制信号传输到常规功率单元。这些实施例提供了对插入式解决方案中适用于不同应用的常规部件的接线单独开发安全相关电路的可能性，以便节省开发、制造和部件成本。在一个优选的实施例中，第一接口包括作为安全接口的fs总线和/或作为执行该数据传送的常规数据接口的ssi接口。此处第一接口可能是其上实现了安全措施如校验和算法的常规ssi接口，或可能是安全接口，或被布置为安全接口与常规接口的组合。经由该数据连接，常规电机控制单元可将电机的非安全速度和位置数据以及电机温度反馈和状态数据传输到安全模块，以便向致动信号的执行提供反馈。此处，安全卡表示印刷电路板，该印刷电路板包括所需的硬件和软件部件以便执行所实现的安全功能。安全卡和电机控制单元可能被布置在相同壳体内。在可供选择的实施例中，安全卡和至少常规电机控制单元被布置在相同印刷电路板上。在一个优选的实施例中，第一接口是表示任何符合iec61784-3或其对应的附加规范iec61784-3-x的数据通信协议的fs总线，优选地是表示根据iec61508标准的与所实现安全协议的接口的fsoe(ethercat)或profisafe(profinet)总线。

在另外的实施例中，机电驱动系统包括至少两个机电驱动单元，其中机电驱动单元的安全模块彼此连接以便至少交换包括关于任何施加的安全功能的信息在内的信息，从而触发其他安全模块以对准的方式执行对应的安全功能。机电驱动单元的数量取决于特定应用。在更复杂的应用中，不同部件的致动需要单独致动的对准以便提供总体有效且安全的系统，尤其是当这些部件以特定方式交互时，例如，风力涡轮机或船用推进器的多个转子叶片各自单独地加速(就风而言)或负载(就船用推进器而言)但作为推进器机械地连接到相同旋转轴线。对于彼此连接以便交换信息的机电驱动单元而言，该对准是可能的。

在一个优选的实施例中，该连接经由包括中央单元安全卡的中央单元来建立，该中央单元安全卡经由合适的双向接口连接到每个机电驱动单元，以将部件的所要求的致动和/或位置数据发送到每个机电驱动单元的安全模块，以便生成对应的致动信号，并且还在紧急情况下将至少第一安全信号发送到安全模块，其中安全模块适于响应于第一安全信号而执行第一安全功能。中央单元安全卡表示部件的布置方式，其中实现了一个或多个安全功能。中央单元安全卡可包括一个或多个处理器或计算机芯片，它们能够执行一个或多个程序化过程和/或能够控制安装在中央单元安全卡上的半导体部件以便执行程序化过程。中央单元安全卡可能直接连接在安全模块内或经由接口间接连接在安全模块内，以便执行程序化过程。在一个优选的实施例中，双向接口是fsoe(ethercat)接口。在正常操作下，中央单元(优选地，中央单元安全卡)可经由每个机电驱动单元的安全模块对常规电机控制单元下达速度命令，以便以对准的方式执行部件致动。将安全命令(诸如第一安全信号)发送到机电驱动单元的可能性在中央层级上向根据本发明的系统提供附加安全相关功能性，这可考虑系统的总体情况，当放在一起考虑时系统可能处于紧急情况，而当纯粹在驱动单元层级上仅考虑系统的相同情况时可能不是这样。每个机电驱动单元的安全模块将响应于从此例中起监督作用的中央单元接收到的第一安全信号，而至少执行第一安全功能。单独的安全模块可能在一个实施例中被布置成在丢失与中央单元的通信连接的情况下或在中央单元内出现内部错误的情况下还执行第一安全功能。此处安全模块是常规电机控制单元与中央单元之间的中间人装置。在另一个实施例中，中央单元可包括执行至少一些安全相关功能(例如，第一安全功能)的中央单元安全卡以及将所要求的致动和/或位置数据发送到部件的中央单元控制卡。中央单元安全卡是机电驱动器单元中的安全模块以外的部件，并且充当协调器以确保如果一个机电驱动单元执行第一安全功能，则中央单元安全卡要求其他机电驱动单元的所有其他安全模块对第一安全功能的执行作出反应。中央单元安全卡还用于将执行第一安全功能的要求从中央单元传播到所有机电驱动单元。

在另一个实施例中，每个安全模块适于向中央单元报告来自安全模块的部件的至少安全位置和/或速度数据，其中中央单元安全卡适于将所报告的安全位置和/或速度数据与每个致动器的所要求的位置和/或速度进行比较，并且在失配的情况下适于将第一安全信号发送到每个安全模块。这使中央单元能够在机电驱动单元所致动的部件的所要求的位置与安全位置传感器所测量并经由对应安全模块向中央单元报告的当前位置之间执行真实性检查。在除中央单元安全卡之外，中央单元还包括中央单元控制卡的情况下，在中央单元安全卡上执行真实性检查。安全位置或速度数据表示从安全位置传感器接收到的位置或速度数据。

本发明还涉及桨距系统，该桨距系统适用于使包括根据本发明的机电驱动系统的风力涡轮机的至少一个转子叶片(优选地所有转子叶片)旋转，以便使转子叶片旋转，其中转子叶片是要致动的部件，其中机电式电机适于使转子叶片围绕其纵向轴线旋转作为致动，并且其中使转子叶片在顺桨位置中旋转的安全顺桨运行是第一安全功能。术语“桨距系统”表示任何适用于使风力涡轮机的转子叶片围绕其纵向轴线旋转的系统。风力涡轮机的桨距系统必须满足两个基本功能：第一，当风速超过涡轮机的额定值时，其作为涡轮机的致动器执行速度和功率控制，并且第二，其充当用于制动风力涡轮机的致动系统。术语“安全顺桨运行”表示风力涡轮机的停止过程，其中所有或至少足够数量的转子叶片必须运动到顺桨位置中，其中风不对特定转子叶片施加加速力，并且在该过程期间所有结构部分上的负载均被分布和平衡。为了达到顺桨位置，转子叶片同步地背风运动。顺桨运行是停止风力涡轮机的唯一可能，因为由风施加到转子叶片上的力超过任何适用机电制动器系统的制动力。

在一个实施例中，机电驱动系统包括两个或更多个机电驱动单元，还包括中央单元，该中央单元经由合适的双向接口(优选地，fs总线或fsoe接口)连接到每个转子叶片的每个机电驱动单元，以将转子叶片的所要求的旋转和/或位置数据发送到每个机电驱动单元的安全模块以便生成旋转信号，并且还在紧急情况下将顺桨信号发送到安全模块，其中安全模块适于响应于顺桨信号而执行每个转子叶片的安全顺桨运行。在一个优选的实施例中，中央单元适于就包括三个转子叶片的风力涡轮机而言对三个转子叶片之中的至少两个或者就包括两个转子叶片的风力涡轮机而言对两个转子叶片之中的至少一个执行安全顺桨运行，以便将负载的转子转移到顺桨位置(或状态)中。这意味着，一个机电驱动单元无法对特定转子叶片执行安全顺桨运行的失效可经由中央单元和执行安全顺桨运行的其他转子叶片加以安全管控，它们适于使参与的转子叶片补偿无法执行其安全顺桨运行的所述一个转子叶片的作用，从而使转子安全停止。在一个实施例中，在机电驱动单元执行故障反应的情况下，由机电驱动单元的对应安全模块向中央单元报告故障。所报告的故障可包括无法执行安全顺桨运行的故障。

本发明还涉及包括两个或更多个转子叶片的风力涡轮机，其中每个转子叶片通过根据本发明的桨距系统的单独机电式电机来旋转。

在一个实施例中，风力涡轮机还包括被布置在风力涡轮机的引擎舱中的涡轮机控制单元，该涡轮机控制单元适于将用于旋转每个转子叶片的位置和/或速度命令传输到中央单元，其中中央单元安全卡适于将作为每个转子叶片的所要求的位置的所传输的位置和/或速度命令与由每个安全模块向中央单元报告的安全位置和/或速度数据进行比较，并且在失配的情况下，将顺桨运行信号发送到每个安全模块，以便执行安全顺桨运行。风力涡轮机包括塔架，该塔架包括位于塔架顶部上的引擎舱，该引擎舱能够围绕塔架的垂直轴线旋转。引擎舱还包括水平旋转轴线，其中转子包括桨毂，该桨毂围绕水平旋转轴线旋转，并且通过安装到桨毂上的转子叶片以基本上垂直于水平转子轴线的方式进行加速或减速。涡轮机控制单元提供涡轮机的总体控制并且连接到电网。与中央单元的连接可能经由fs总线或fld总线来建立，其中fld总线表示任何基于实时工业以太网或工业现场总线的数据通信协议，诸如profibus或can，经由与布置在作为风力涡轮机的旋转部分的转子中的桨距系统的滑环连接来建立。当与fs总线一起使用时，fld总线能够支持该fs总线，例如，ethercat与fsoe，或profinet(profibus)与profisafe。在一个实施例中，涡轮机中央单元与桨距系统中央单元之间的通信可经由fld总线与fs总线来建立，以便使位置和/或速度命令进行安全通信以及要求对中央单元执行第一安全功能。在另一个实施例中，涡轮机中央单元与桨距系统中央单元可经由非安全fld总线来建立，以便使位置和/或速度命令进行通信，并且经由安全链输入连接来建立为要求对中央单元执行第一安全功能的手段。要求第一安全运行的安全链输入可能是设定为0v的值。

在另一个实施例中，中央单元适于比较转子叶片的当前转角/位置之间的差值，并且如果检测到两个或更多个转子叶片的当前转角位置(相对于风)之间的偏差，则在差值超过特定的预定限值的情况下，中央单元下达顺桨信号作为第一安全信号，以示意(命令)安全顺桨运行的执行。

本发明还涉及操作根据本发明的机电驱动系统的方法，该机电驱动系统具有包括机电式电机的至少一个机电驱动单元以致动可动部件，其中部件致动的可靠性、完整性和诊断对于操作部件是安全相关的；用于向机电式电机供电的常规功率单元；连接到常规功率单元以便经由电机控制信号来控制常规功率单元的常规电机控制单元；连接到常规电机控制单元以确定电机位置和/或电机速度数据并将这些数据作为电机信号(ms)发送到常规电机控制单元的常规测量单元；连接到常规电机控制单元和常规功率单元的安全模块；以及连接到安全模块的安全位置传感器，该方法包括以下步骤：

-通过安全位置传感器、优选位置编码器，以足以满足安全相关致动的安全要求的可靠性和完整性程度，监测被致动的部件的部件位置和/或速度；

-通过安全位置传感器，经由第一数据连接将包括位置和/或速度数据的对应传感器信号发送到安全模块；

-经由第三数据连接将致动信号如致动速度和所需的部件位置从安全模块传输到常规电机控制单元；

-经由安全模块将电机控制信号传输到常规功率单元，以便能够由安全模块执行安全功能；

-通过机电式电机，基于得自致动信号的电机控制信号，根据至少在安全模块上实现的一个或多个安全功能来致动部件，以确保部件的安全致动；

-通过安全模块，将所监测的部件的位置和速度与由致动信号预计的行为进行比较；

-将部件致动到静止或空档位置中，作为至少在紧急情况下由安全模块执行的第一安全功能。

附图说明

在参考附图之后，通过参考本文所述的本发明的实施例，本发明的上述和其他方面也将显而易见，并得以阐明。

图1：示出了根据本发明的机电驱动系统的实施例；

图2：示出了包括中央单元在内的根据本发明的机电驱动系统(或桨距系统)的另一个实施例；

图3：示出了与故障反应相关的机电驱动系统的另一个实施例；

图4：示出了根据本发明的风力涡轮机的实施例；

图5：示出了用于操作根据本发明的机电驱动系统的方法。

具体实施方式

图1示出了根据本发明的机电驱动系统1的实施例，该机电驱动系统由致动可动安全相关部件3的一个机电驱动单元2建立，该机电驱动单元包括用于接收驱动单元控制信号da的驱动单元接口20；机电式电机21，其中常规功率单元23向机电式电机21供电，常规电机控制单元22连接到常规功率单元23并且经由电机控制信号mcs控制常规功率单元23；以及常规测量单元24，该常规测量单元连接到常规电机控制单元22以确定电机位置和/或电机速度数据，并且将这些数据作为电机信号ms发送到常规电机控制单元22。为此，测量单元24包括附接到电机轴以便确定电机位置和电机转角的分解器25。在该实施例中，所选择的分解器25为电机轴的完整一圈提供16位的高分辨率。因此，电动机21可在第一模式下受到精确控制，该第一模式在本文称为“正常模式”。作为另外一种选择，常规测量单元24被配置成确定第二模式下的电机位置和/或速度，该第二模式在本文称为“无传感器模式”。在无传感器模式下，电机轴的位置是在不使用分解器25的情况下估计的。相反，电机物理构造中的转角依赖性特性(其可以是固有的，或有意添加的)用于由自感测实时算法(例如卡尔曼滤波)来估计轴转角，该自感测实时算法使用实际电机电流作为输入，以确定电机的位置和/或速度。结果不如使用高分辨率分解器25时那样精确，但足以操作电机。操作模式可由安全模块4要求。

用于提供部件3的安全致动a的可靠性、完整性和诊断通过在该实施例中布置为插入式安全卡的安全模块4以及安全位置传感器5来实现，其中安全位置传感器5以足以满足安全相关致动的安全要求的可靠性、完整性和诊断程度来监测s1被致动的部件3的部件位置和/或速度，并且经由第一数据连接51来连接到安全模块4，从而将包括位置和/或速度数据的对应传感器信号ss发送到安全模块4。安全位置传感器5可能是安全线性或旋转编码器，从而经由根据iec61508标准开发的作为第一数据连接51的fs总线接口51，向安全模块4提供安全绝对位置、速度和故障状态数据。就以旋转作为致动的旋转编码器而言，安全位置传感器5可能是sil额定多圈编码器。在可供选择的实施例中，从安全位置传感器5传输的传感器信号ss可基于电机21的所测电机位置和/或速度，只要从电机21测得的数据提供足以满足安全要求的可靠性和完整性程度即可。电机位置和/或速度数据的测量由从电机21导向到安全位置传感器5的虚线箭头s1指示。安全位置传感器5可能附接到电机轴(此处未详细示出)，其中轴位置和速度与部件位置和速度之间存在直接相关性。作为另外一种选择，安全位置传感器5可附接到齿轮箱(未示出)的输出，其中耦合到齿轮箱输入的电机轴与齿轮箱的输出轴之间存在间接相关性。齿轮箱小齿轮可驱动冕状轮或环形齿轮(未示出)以便使风力涡轮机的叶片旋转。位置传感器5附接到齿轮箱的输出、齿轮箱的小齿轮、冕状轮或环形齿轮具有这样的优点：安全位置传感器5允许监督齿轮箱的正常功能或转子叶片的旋转。然而，电机速度与转子叶片的旋转速度的相关性可能会因齿轮箱中的齿轮及传动装置的其他部件的游隙/侧隙而变得模糊不清。

传感器信号ss进一步通过安全模块4进行处理，以便由电机位置和/或速度计算部件位置和/或速度。安全模块4经由第二数据连接40来连接到数据驱动单元接口20。安全模块4进一步经由第三数据连接41来连接到常规电机控制单元22，以将致动信号as如致动速度和所需的部件位置传输到常规电机控制单元22，以便根据至少在安全模块4上实现的一个或多个安全功能sf致动a部件3，从而确保部件3的安全致动，其中第三数据连接41包括第一接口41，优选地包括作为安全接口41s的fs总线和/或作为常规数据接口41c的ssi接口。为了确保常规电机控制单元22确实接收到致动信号as，安全模块4适于通过所谓的心跳信号hs验证常规电机控制单元22的无错通信和操作，其中常规电机控制单元22在正常操作的情况下以预定方式回复该心跳信号hs。如果在常规电机控制单元22的通信和/或操作中检测到错误，则安全模块4适于通过直接访问44常规电机控制单元22的复位线而使常规电机控制单元22复位r。所执行的复位r可致使第一安全功能sfr的即时执行。作为另外一种选择，安全模块4可被配置成仅在复位失效时或在预定数量的失效复位之后引发第一安全功能sfr。

安全模块4将所监测的部件3的位置和/或速度与由致动信号as预计的行为进行比较，并且控制经由安全模块4传输到常规功率单元23的电机控制信号mcs。因此，安全模块4包括从常规电机控制单元22接收电机控制信号mcs的pwm拦截器模块42，其中安全转矩关闭控制功能sto和/或安全停止控制功能ss1中的至少一者的执行导致拦截电机控制信号mcs，使之不能通过pwm拦截器模块42朝常规功率控制单元23传递，优选地pwm拦截器模块42的输出被设定为0v。安全模块4还包括从常规电机控制单元22接收制动器控制信号bcs作为另一种类型的电机控制信号mcs的制动器拦截器模块43，其中安全制动器控制功能sbc和/或安全停止控制功能ss1中的至少一者的执行导致拦截制动器控制信号bcs，使之不能通过制动器拦截器模块43朝常规功率控制单元23传递，优选地制动器拦截器模块43的输出被设定为0v。

安全功能sf包括将部件3致动a到静止或空档位置fp中，作为至少在紧急情况下由安全模块4执行的第一安全功能sfr，及用于确保部件3的位置在允许的位置的特定范围内的安全限制位置控制功能slp，用于确保被致动的部件3的速度不超过最大速度的安全限制速度控制功能sls，用于确保部件3向所需方向中致动的安全方向控制sdi功能，用于确保施加到部件3上的转矩为零的安全转矩关闭控制sto功能，用于确保制动器已施加的安全制动器控制功能sbc，以及用于确保根据其他安全功能sf执行停止过程的安全停止控制功能ss1。因此，在该实施例中，安全停止控制功能ss1还连接到第一接口41，以便经由第一接口41通知常规电机控制单元22使电机21减速，例如作为第一安全功能sfr的一部分。在该实施例中，安全模块4充当常规电机控制单元22与外部数据源eds之间的中间人装置，该外部数据源提供所要求的输入数据，以便根据一个或多个安全功能sf以特定方式执行部件致动达到特定位置，其中作为响应，致动信号as如致动速度和所需的部件位置从安全模块4传输到常规电机控制单元22。例如，数据源可能是如图2所示的中央单元6。安全模块4适于执行这些实现的安全功能fs，因此包括一个或多个处理器或计算机芯片，它们能够执行程序化过程和/或能够控制安装在安全模块4上的半导体部件以便执行程序化过程。安全模块4的所需部件直接连接到机电驱动单元2的其他部件，或经由安全模块4的接口间接连接到机电驱动单元2的其他部件，以便执行程序化过程。这些细节未在图1中明确示出。

安全模块4适于对测量单元24所输送的数据与安全位置传感器5所输送的传感器数据执行真实性检查。如果真实性检查指示来自测量单元的数据和位置传感器的数据都不可信，例如所报告的测量单元的速度显著低于或高于安全位置传感器5所检测的速度，考虑到在电机轴处直接测量的以及由安全位置传感器在齿轮箱的输出处间接计算的速度的不完全相关性的容限，安全模块4必须决定这两个传感器中的哪个(是分解器25，还是安全位置传感器5)更可信。

如果所选择的安全位置传感器5是提供错误信号的那个传感器，该错误信号是在安全位置传感器5的永久自测检测到故障时发出的，则在安全模块4未接收到这种错误代码的情况下，相对于由分解器26得出的速度信息，安全模块将优先选择由安全位置传感器5得出的速度信息。本领域技术人员将认识到，可施加附加真实性测试，诸如考虑所报告的速度的量。如果由安全位置传感器5得出的速度远高于技术上可行的速度，则安全模块4可决定信任由分解器25提供的速度信息或不信任这两个速度信息。

如果真实性检查指示安全位置传感器5发生故障，则安全模块将通过使用分解器25所提供的位置数据/速度数据来引发第一sfr，从而致使转子叶片被电动机21致动到顺桨位置中。在这种情况下，安全模块4使用测量单元24所提供的数据，而非使用位置传感器所提供的不再可信的数据，来分别监测和估计转子叶片位置。根据估计的转子叶片位置，可向电机控制单元21下达正确的速度命令，以继续操作电动机21直到转子叶片已达到顺桨位置并使电机停止在该位置中。虽然来自测量单元的数据不允许检查电机与转子叶片之间的齿轮箱是否正常工作，但这被认为风险低于让转子叶片完全暴露于风。

如果真实性检查指示分解器25发生故障，则安全模块通过将电机从正常操作模式切换成无传感器操作模式，而将部件致动到顺桨位置中，其中测量单元在不使用分解器25的输入的情况下驱动电机。如果真实性检查指示来自测量单元的数据和位置传感器的数据都不可信，则安全模块立即停止电机。为了确保停止电机是受到故障的抑制，安全模块4除了将向电机单元21指示的速度修改为零之外，安全模块4还可调用pwm拦截器以确保电动机21可靠地停止。

如此前所阐释，安全模块4在将命令作为致动信号as转发到常规电机控制单元22之前，可将所接收到的速度命令修改为在驱动单元接口20接收到的所要求的致动命令da。在执行第一安全功能，例如将转子叶片致动到顺桨位置中的情况下，安全模块4将修改命令，使得在第一部分中升高机电式电机21的速度，在第二部分中保持所要求的速度，并且在第三部分中，当转子叶片接近最终位置时，降低电机的速度。持续时间、实际速度升高和降低的具体信息取决于风力涡轮机的尺寸和机电式电机21的机电特性，仅列举各种因素中的两项。本领域技术人员还将认识到，这些修改可应用于仅两个步骤中或甚至多于三个步骤中。

图2示出了包括中央单元6在内的根据本发明的机电驱动系统1(或桨距系统71)的另一个实施例，该中央单元包括中央单元安全卡62，其中实现了一个或多个安全功能sf。机电驱动单元2、2'和2"的细节示于图1中。图2的机电驱动系统1(或桨距系统71)包括三个机电驱动单元2,2',2"，其中机电驱动单元2,2',2"的安全模块4,4',4"经由合适的双向接口61、优选fsoe接口来连接到中央单元6的中央单元安全卡62，以将部件的所要求的致动和/或位置数据da发送到每个机电驱动单元2,2',2"的安全模块4,4',4"，以便生成对应的致动信号as。另外可能在紧急情况下将第一安全信号fs发送到安全模块4,4',4"。安全模块4,4',4"将响应于所接收到的第一安全信号fs而执行第一安全功能sfr。中央单元6能够以对准的方式对所有机电驱动单元2,2',2"执行安全功能sf。此外，每个安全模块4,4',4"向中央单元安全卡62报告部件3的至少安全位置和/或速度数据pd，该中央单元安全卡将所报告的位置和/或速度数据pd与每个致动器a的所要求的位置和/或速度进行比较，并且在失配的情况下将第一安全信号fs发送到每个安全模块4,4',4"。

图3示出了与如图1和图2所示的机电驱动系统的故障反应相关的机电驱动系统的另一个实施例。安全限制位置控制功能slp、安全限制速度控制功能sls和安全方向控制功能sdi这些安全功能包括限定的故障反应fr，以便根据机电驱动系统的操作模式保证部件3的致动a的可靠性、完整性和诊断。安全限制位置控制功能slp、安全限制速度控制功能sls和/或安全方向控制功能sdi的故障反应fr可要求在机电驱动系统的正常操作期间执行第一安全功能sfr，或可要求安全停止控制功能ss1(例如在机电驱动系统的人工操作的情况下)，这由导向至sfr或ss1的以“fr”表示的箭头指示。安全模块4还适于通过所谓的心跳信号hs验证常规电机控制单元22的无错通信和操作，其中响应于正常连接的失效验证而引发故障反应fr流程。故障反应fr可能是第一安全功能sfr的执行。安全模块4与常规电机控制单元22之间正确工作的通信确保了从安全模块4传输的控制命令可由常规电机控制单元22执行，这作为诊断过程提高了机电驱动系统1的可靠性和完整性的程度。如果在常规电机控制单元22的通信和/或操作中检测到错误，则安全模块4可通过直接访问常规电机控制单元22的复位线而使常规电机控制单元22复位。在机电驱动单元2执行故障反应fr的情况下，由机电驱动单元2的对应安全模块4向中央单元6报告故障(此处未详细示出)。安全限制位置控制功能slp监测部件位置，使得部件3保持在限定的位置范围内。安全限制速度控制功能sls在使部件致动的所有模式期间连续地监测部件的致动的速度，使得速度保持低于最大值。安全方向控制功能sdi监测部件的运动方向，例如，就线性运动而言向前或向后的方向，或者就旋转而言向右或向左的方向。安全停止控制功能ss1作为响应而引发机电式电机21的减速，随后在具体时间延迟之后，命令施加安全转矩关闭控制功能sto和安全制动器控制功能sbc以实现部件的安全状态。ss1、sbc和sto也是第一安全功能sfr的一部分。

图4以示意图示出了根据本发明的风力涡轮机7的实施例。在该实施例中，风力涡轮机7包括三个转子叶片3作为被致动的部件3。合适的桨距系统71包括机电驱动系统，该机电驱动系统具有为每个转子叶片3提供的一个机电驱动单元2,2',2"，其中每个机电驱动单元2的机电式电机21适于使转子叶片3围绕其纵向轴线旋转作为致动a。如果出现紧急情况或作为故障反应，则作为第一安全功能的安全顺桨运行sfr使转子叶片3在顺桨位置fp中旋转。桨距系统71还包括中央单元6，该中央单元经由合适的双向接口61连接到每个转子叶片3的每个机电驱动单元2,2',2"，以将转子叶片3的所要求的旋转和/或位置数据发送到每个机电驱动单元2,2',2"的安全模块4,4',4"(此处未详细示出)以便生成旋转信号as，并且还在紧急情况下将顺桨信号fs发送到安全模块4,4',4"，其中安全模块4,4',4"适于响应于顺桨信号fs而执行每个转子叶片3的安全顺桨运行sfr。风力涡轮机还包括被布置在风力涡轮机7的引擎舱73中的涡轮机控制单元72，该涡轮机控制单元适于将用于旋转每个转子叶片3的位置和/或速度命令tcs传输到中央单元6(此处为便于理解，仅示出了桨距系统71)，其中中央单元6中的中央单元安全卡62适于将作为每个转子叶片3的所要求的位置的所传输的位置和/或速度命令tcs与由每个安全模块4,4',4"向中央单元6报告的位置数据pd进行比较，并且在失配的情况下，将顺桨信号fs发送到每个安全模块4,4',4"，以便执行安全顺桨运行sfr。在一个实施例中，安全顺桨运行sfr分成两个不同部分，这取决于转子叶片3的当前位置。第一部分表示转子叶片3的转角区，其中正转矩施加到转子叶片上(使对转子叶片的风负载加速)。第二部分表示转子叶片3的转角区，其中负转矩施加到转子叶片上(使对转子叶片3的风负载减速)。第一部分与第二部分之间发生过渡的转角取决于转子叶片3的构型和风力涡轮机7设置。通常该过渡转角在30°的范围内。由于风力涡轮机7上引起的风力在第一部分中处于最高，因此有利的是让转子叶片3尽快离开该叶片转角区。为此，sls可能在sfr期间减弱，直到转子叶片3通过过渡转角。在一些实施例中，安全模块4可修改所接收到的驱动单元控制信号da，以在这些经修改的信号作为致动信号传递到电机控制单元之前升高这些信号中指示的电机速度，以便在第一部分中加快叶片的旋转速度。在已通过过渡转角之后，转子叶片3围绕其纵向轴线旋转a的速度减速。这也可通过修改所接收到的驱动控制信号来实现。当转子叶片3接近顺桨位置fp时，旋转速度进一步降低。速度可能逐步降低。当转子叶片3已达到顺桨位置fp时，执行安全停止控制功能以完成安全顺桨运行sfr。在另一个实施例中，中央单元6适于比较转子叶片3的当前轴线之间的差值，并且如果检测到两个或更多个转子叶片3的当前轴线(相对于风)之间的偏差，则在差值超过特定的预定限值的情况下，中央单元6下达顺桨信号fs以执行安全顺桨运行sfr。

图5示出了用于操作根据本发明的机电驱动系统的方法。该方法包括以下步骤：通过安全位置传感器5，以足以满足安全相关致动a的安全要求的可靠性、完整性和诊断程度，监测s1被致动的部件3的部件位置和/或速度；通过安全位置传感器5，经由第一数据连接51将包括位置和/或速度数据的对应传感器信号ss发送s2到安全模块4；经由第三数据连接41将致动信号as如致动速度和所需的部件位置从安全模块4传输s3到常规电机控制单元22；

经由安全模块4将电机控制信号mcs传输s4到常规功率单元23，以便能够由安全模块执行安全功能；通过机电式电机21，基于得自致动信号as的电机控制信号mcs，根据至少在安全模块4上实现的一个或多个安全功能sf来致动s5部件3，以确保部件3的安全致动a；通过安全模块4，将所监测s1的部件的位置和速度与由致动信号as预计的行为进行比较s6；以及将部件3致动s7到静止或空档位置fp中，作为至少在紧急情况下由安全模块4执行的第一安全功能sfr。

在另一个实施例中，被致动的部件可包括要一起致动或彼此分开的两个或更多个子部件。例如，可能由转子和子部件致动的部件可能是转子叶片。在这种情况下，安全模块涉及驱动所有子部件的机电驱动单元，例如其中常规电机控制单元将电机控制信号发送到电机，该电机此处表示包括两个或更多个子电机的电机系统，每个子电机致动子部件之一。因此，安全位置传感器表示安全位置传感器系统，其中子传感器测量与每个子部件相关的安全位置和/或速度数据。

尽管已经在附图及前述说明书中详细示出并描述了本发明，但这种示出和描述应被认为是示例性的或示范性的，而不是限制性的；本发明不限于所公开的实施例。依据对附图、公开内容和所附权利要求的研究，本领域技术人员在实施要求保护的发明时可以理解并实现对所公开的实施例的其他变型形式。虽然本发明已被描绘为对于实现常规电机中的安全模块和安全位置传感器是有利的，但显然本发明也可用于从头设计为故障安全电机的电动机。

在权利要求中，词语“包括”不排除其他元件或步骤，并且不定冠词“一个”或“一种”不排除多个(种)。在彼此不同的从属权利要求中陈述了特定措施的纯粹事实并不指示这些措施的组合不能用于获得益处。权利要求中的任何参考符号都不应解释为限制范围。

附图标记的列表：

1机电驱动系统

2,2',2"机电驱动单元

20驱动单元接口

21机电式电机

22常规电机控制单元

23常规功率单元

24常规测量单元

25分解器

3被致动的部件

4,4',4"安全模块

40连接到驱动单元接口的第二数据连接

41连接到常规电机控制单元/第一接口的第三数据连接

41s作为第一接口的一部分的安全接口

41c作为第一接口的一部分的常规数据接口

42pwm拦截器模块

43制动器拦截器模块

44安全模块对电机控制单元22的复位线的直接访问

45第二接口

5安全位置传感器、编码器

51第一数据连接

6中央单元

61中央单元与一个或多个机电驱动单元之间的双向接口

62中央单元安全卡

7风力涡轮机

71桨距系统

72涡轮机控制单元

73引擎舱

a部件的致动

as致动信号

bcs作为电机控制信号之一的制动器控制信号

da所要求的致动和/或位置数据发送到安全模块4

eds外部数据源(例如，中央单元6)

fp空档或静止(顺桨)位置

fr安全功能的故障反应

fs第一安全信号、顺桨信号

hs心跳信号

mcs电机控制信号

ms电机信号

pd位置数据

r复位(命令)

s1监测部件和/或电机的致动和位置

s2将传感器信号发送到安全模块

s3将致动信号从安全模块传输到常规电机控制单元

s4通过安全模块传输电机控制信号

s5根据一个或多个安全功能致动部件

s6将所监测的部件的位置/速度与预计的行为进行比较

s7在紧急情况下将部件致动到静止或空档位置中

sf安全功能

sbc安全制动器控制功能

sdi安全方向控制功能

sfr第一安全功能/安全顺桨运行

slp安全限制位置控制功能

sls安全限制速度控制功能

ss1安全停止控制功能

sto安全转矩关闭控制功能

ss传感器信号

tcs涡轮机控制信号

权利要求书(按照条约第19条的修改)

1.一种机电驱动系统(1)，所述机电驱动系统具有至少一个机电驱动单元(2)以致动可动部件(3)，所述机电驱动单元(2)包括驱动单元接口(20)以便接收驱动单元控制信号(da)；由致动信号(as)控制以致动所述部件(3)的机电式电机(21)；包括用于确定电机位置和/或电机速度的分解器(25)的测量单元(24)；安全模块(4)和经由第一数据连接(51)来连接到所述安全模块(4)的安全位置传感器(5)，所述安全位置传感器(5)适于监测(s1)所述被致动的部件(3)和/或所述电机(21)的部件(3)和/或电机(21)位置和/或速度；其中所述安全模块(4)经由第二数据连接(40)来连接到所述驱动单元接口(20)以便接收所述驱动单元控制信号(da)，并且其中所述安全模块经由第三数据连接(41)来连接到所述电机控制单元(22)，以将致动信号(as)如致动速度和所需的部件位置传输到所述电机控制单元(22)，以便致动(a)所述部件(3)，其中所述安全模块(4)包括至少所述部件(3)在静止或空档位置(fp)中的所述致动(a)的安全功能(sf)，在所述静止或空档位置中，所述部件(3)不会被损坏并且所述部件(3)周围的环境不会受到所述部件(3)或所述部件(3)故障的危害，其中所述安全模块(4)适于在所述测量单元(24)所输送的所述数据与所述安全位置传感器(5)所输送的所述传感器数据之间执行真实性检查；并且如果所述真实性检查指示来自所述测量单元(24)的所述数据和所述安全位置传感器(25)的所述数据都不可信，则所述安全模块(4)停止所述电机(21)，且如果所述真实性检查指示所述安全位置传感器(5)发生故障，则通过使用所述测量单元(24)所提供的数据来致动所述部件(3)直到所述部件已达到其静止或空档位置(fp)中。

2.根据权利要求1所述的机电驱动系统，其中如果所述真实性检查指示所述安全位置传感器(5)发生故障，则所述安全模块(4)将所述部件(3)致动到所述静止或空档位置(fp)中，从而通过使用所述分解器(25)的所述电机位置和/或电机速度数据以第一模式驱动所述电机(21)。

3.根据权利要求1所述的机电驱动器，其中如果所述真实性检查指示所述分解器(25)发生故障，则所述安全模块(4)通过将所述电机切换成第二模式而将所述部件(3)致动到所述静止或空档位置(fp)中，其中所述测量单元(24)在不使用所述分解器(25)的所述输入的情况下驱动所述电机。

4.根据前述权利要求中的一项所述的机电驱动系统(1)，其中如果在所述电机控制单元(22)的通信和/或操作中检测到错误，则所述安全模块(4)适于通过直接访问(44)所述电机控制单元(22)的复位线而使所述电机控制单元(22)复位(r)。

5.根据前述权利要求中的一项所述的机电驱动系统(1)，其中在将所述部件(3)致动到所述静止或空档位置(fp)中的情况下，所述安全模块(4)适于修改所述机电式电机(21)的所述速度命令(ac)，使得在第一部分中所述机电式电机(21)的所述速度升高，而在第二部分中所述机电式电机(21)的所述速度下降。

6.根据前述权利要求中的一项所述的机电驱动系统(1)，其中在所述安全模块(4)上实现的所述安全功能(sf)还包括以下功能的一个或多个安全功能(sf)：用于确保所述部件(3)的所述位置在允许的位置范围内的安全限制位置控制功能(slp)，用于确保所述被致动的部件(3)的所述速度不超过最大速度的安全限制速度控制功能(sls)，用于确保所述部件(3)向所需方向中致动的安全方向控制(sdi)功能，用于确保施加到所述部件(3)上的所述转矩为零的安全转矩关闭控制(sto)功能，用于确保所述电机(21)的制动器已施加的安全制动器控制功能(sbc)，和/或用于确保根据其他安全功能(sf)执行停止过程的安全停止控制功能(ss1)，并且其中所述安全模块(4)被适当地调整成执行所述所实现的安全功能(fs)。

7.根据前述权利要求中的一项所述的机电驱动系统(1)，其中所述安全模块(4)包括以下至少一者：

-从所述电机控制单元(22)接收所述电机控制信号(mcs)的pwm拦截器模块(42)，其中所述安全转矩关闭控制功能(sto)和/或所述安全停止控制功能(ss1)中的至少一者的执行导致拦截所述电机控制信号(mcs)，使之不能通过所述pwm拦截器模块(42)朝所述功率控制单元(23)传递，优选地所述pwm拦截器模块(42)的所述输出被设定为0v，

-从所述电机控制单元(22)接收制动器控制信号(bcs)作为另一种类型的电机控制信号(mcs)的制动器拦截器模块(43)，其中所述安全制动器控制功能(sbc)和/或所述安全停止控制功能(ss1)中的至少一者的执行导致拦截所述制动器控制信号(bcs)，使之不能通过所述制动器拦截器模块(43)朝所述功率控制单元(23)传递，优选地所述制动器拦截器模块(43)的所述输出被设定为0v。

8.根据前述权利要求中任一项所述的机电驱动系统(1)，其中所述安全模块(4)适于通过所谓的心跳信号(hs)验证所述电机控制单元(22)的无错通信和操作，其中所述电机控制单元(22)在正常操作的情况下以预定方式回复所述心跳信号(hs)。

9.根据前述权利要求中任一项所述的机电驱动系统(1)，其中所述安全模块(4)被布置为插入式安全卡，所述插入式安全卡包括第一接口(41)和第二接口(45)，所述第一接口作为所述第三数据连接(41)将所述安全卡(4)连接到所述电机控制单元(22)，优选地包括作为安全接口(41s)的fs总线和/或作为数据接口(41c)的ssi接口，以便至少将所述致动信号(as)传输到所述电机控制单元(22)，并且所述第二接口用于经由所述安全卡(4)将所述电机控制信号(mcs)和/或所述制动器控制信号(bcs)传输到所述功率单元(23)。

10.根据前述权利要求中任一项所述的机电驱动系统(1)，其中所述安全位置传感器(5)是安全线性或旋转编码器，从而经由根据iec61508标准开发的作为所述第一数据连接(51)的fs总线接口(51)，向所述安全模块(4)提供安全绝对位置和/或速度和故障状态数据，优选地就以旋转作为致动的旋转编码器而言，所述安全位置传感器(5)是sil额定多圈编码器。

11.根据前述权利要求中任一项所述的机电驱动系统(1)，其中所述机电驱动系统(1)包括至少两个机电驱动单元(2,2',2")，其中所述机电驱动单元(2,2',2")的所述安全模块(4,4',4")彼此连接以便至少交换包括关于任何施加的安全功能(sf)的信息在内的信息，从而触发其他安全模块(4,4',4")以对准的方式执行对应的安全功能(sf)。

12.根据权利要求12所述的机电驱动系统(1)，其中所述连接经由包括中央单元安全卡(62)的中央单元(6)来建立，所述中央单元安全卡经由合适的双向接口(61)、优选fsoe接口来连接到每个机电驱动单元(2,2',2")，以将所述部件的所要求的致动和/或位置数据(da)发送到每个机电驱动单元(2,2',2")的所述安全模块(4,4',4")，以便生成对应的致动信号(as)，并且还在紧急情况下将第一安全信号(fs)发送到所述安全模块(4,4',4")，其中所述安全模块(4,4',4")适于响应于所述第一安全信号(fs)而执行所述第一安全功能(sfr)。

13.根据权利要求13所述的机电驱动系统(1)，其中每个安全模块(4,4',4")适于向所述中央单元(6)报告来自对应安全模块(4,4',4")的所述部件(3)的至少安全位置和/或速度数据(pd)，其中所述中央单元安全卡(62)适于将所述所报告的安全位置和/或速度数据(pd)与每个致动器(a)的所要求的位置和/或速度进行比较，并且在失配的情况下适于将所述第一安全信号(fs)发送到每个安全模块(4,4',4")。

14.一种桨距系统(71)，所述桨距系统适用于使包括根据权利要求1所述的机电驱动系统(1)的风力涡轮机(7)的至少一个转子叶片(3)、优选所有转子叶片(3)旋转，以便使所述转子叶片(3)旋转，其中所述转子叶片(3)是要致动(a)的所述部件(3)，其中所述机电式电机(21)适于使所述转子叶片(3)围绕其纵向轴线旋转作为所述致动(a)，并且其中使所述转子叶片(3)在顺桨位置(fp)中旋转的安全顺桨运行(sfr)是所述第一安全功能(sfr)。

15.根据权利要求15所述的桨距系统(71)，其中所述机电驱动系统(1)包括两个或更多个机电驱动单元(2,2',2")，还包括中央单元(6)，所述中央单元包括中央单元安全卡，所述中央单元安全卡经由合适的双向接口(61)、优选fs总线或fsoe接口来连接到每个转子叶片(3)的每个机电驱动单元(2,2',2")，以将所述转子叶片(3)的所要求的旋转和/或位置数据发送到每个机电驱动单元(2,2',2")的所述安全模块(4,4',4")以便生成旋转信号，并且还在紧急情况下将顺桨信号(fs)发送到所述安全模块(4,4',4")，其中所述安全模块(4,4',4")适于响应于所述顺桨信号(fs)而执行每个转子叶片(3)的所述安全顺桨运行(sfr)。

16.一种包括两个或更多个转子叶片(3)的风力涡轮机(7)，其中每个转子叶片(3)通过根据权利要求15所述的桨距系统(71)的单独机电式电机(21)来旋转，所述风力涡轮机(7)还包括被布置在所述风力涡轮机(7)的引擎舱(73)中的涡轮机控制单元(72)，所述涡轮机控制单元适于将用于旋转每个转子叶片(3)的位置和/或速度命令(tcs)传输到所述中央单元(6)，其中所述中央单元安全卡(62)适于将作为每个转子叶片(3)的所要求的位置的所传输的位置和/或速度命令(tcs)与由每个安全模块(4,4',4")向所述中央单元(6)报告的安全位置和/或速度数据(pd)进行比较，并且在失配的情况下，将所述顺桨信号(fs)发送到每个安全模块(4,4',4")，以便执行所述安全顺桨运行(sfr)。

17.一种操作根据权利要求1所述的机电驱动系统(1)的方法，所述机电驱动系统具有至少一个机电驱动单元(2)，所述驱动单元(2)包括用于致动(a)可动部件(3)的机电式电机(21)，其中所述部件(3)的所述致动(a)的可靠性、完整性和诊断对于操作所述部件(3)是安全相关的；用于向所述机电式电机(21)供电的功率单元(23)；连接到所述功率单元(23)以便经由电机控制信号(mcs)来控制所述功率单元(23)的电机控制单元(22)；连接到所述电机控制单元(22)的测量单元(24)，所述测量单元(24)包括用于确定电机位置和/或电机速度数据并用于将这些数据作为电机信号(ms)发送到所述电机控制单元(22)的分解器(25)；连接到电机控制单元(22)和功率单元(23)的安全模块(4)；以及连接到所述安全模块(4)的安全位置传感器(5)，所述方法包括以下步骤：

-经由第二数据连接(40)从驱动单元接口接收驱动单元控制信号(da)；

-通过所述安全位置传感器(5)、优选位置编码器(5)，以足以满足所述安全相关致动(a)的安全要求的可靠性和完整性程度，监测(s1)所述被致动的部件(3)和/或所述电机(21)的部件和/或电机位置和/或速度；

-通过所述安全位置传感器(5)，经由第一数据连接(51)将包括位置和/或速度数据的对应传感器信号(ss)发送(s2)到所述安全模块(4)；

-经由第三数据连接(41)将致动信号(as)如致动速度和所需的部件位置从所述安全模块(4)传输(s3)到所述电机控制单元(22)；

-经由所述安全模块(4)将所述电机控制信号(mcs)传输(s4)到所述功率单元(23)，以便能够由所述安全模块执行安全功能；

-通过所述机电式电机(21)，基于得自所述致动信号(as)的所述电机控制信号(mcs)，根据至少在所述安全模块(4)上实现的一个或多个安全功能(sf)来致动(s5)所述部件，以确保所述部件(3)的安全致动(a)；

-作为真实性检查，通过所述安全模块(4)，将所述所监测(s1)的所述部件的位置和速度与由所述致动信号(as)预计的行为进行比较(s6)；

-如果所述真实性检查指示来自所述测量单元(24)的数据和所述安全位置传感器(5)的所述数据都不可信，则停止所述部件(3)的所述致动；

-如果所述真实性检查指示所述安全位置传感器(5)发生故障，则通过使用所述测量单元(24)所提供的数据，将所述部件(3)致动(s7)到静止或空档位置(fp)中，作为至少在紧急情况下由安全模块(4)执行的第一安全功能(sfr)，在所述静止或空档位置中，所述部件(3)不会被损坏并且所述部件(3)周围的环境不会受到所述部件(3)或所述部件(3)故障的危害。

说明或声明(按照条约第19条的修改)

本发明不仅具备新颖性，而且基于创造性步骤。

包括用于确定电机位置和/或电机速度的分解器(24)的测量单元(24)的特征已添加到权利要求1。因此，现已清楚有两个独立传感器用于确定电机位置和/或电机速度。第一是，附接到所述机电式电机(21)的所述分解器(24)，而第二是，在原始申请的第23页、第18-30行上公开的所述安全位置传感器(5)。所述安全位置传感器(5)可能附接到电机轴，其中轴位置和速度与部件位置和速度之间存在直接相关性。作为另外一种选择，所述安全位置传感器(5)可附接到所述齿轮箱的所述输出，其中耦合到所述齿轮箱的所述输入的电机轴与所述齿轮箱的所述输出轴之间存在间接相关性。因此，所述第一传感器和所述第二传感器产生两个独立传感器信号，所述两个独立传感器信号可在真实性检查中用来决定是这两个传感器信号都可信，这两个信号中的仅一个可信，还是这两个信号都不可信。

现有技术文献既未直接公开，也未间接公开：如果真实性检查指示两个独立传感器发生故障，每个传感器测量所述启动的部件的位置和/或速度，则停止所述机电式电机(21)。然而，这对于机器安全是非常重要的特征，它通常会将所述部件驱动到静止或空档位置中，在所述静止或空档位置中，所述部件不会被损坏并且所述部件周围的环境不会受到所述部件或所述部件故障的危害。因此，无任何相关现有技术已明显展示了创造性步骤。