为风力涡轮机提供安全配置参数的制作方法

1.本发明涉及风力涡轮机，以及尤其涉及风力涡轮机的安全系统。


背景技术：

2.风力涡轮机一般包括许多安全系统，与控制系统不同，所述许多安全系统用于确保风力涡轮机的安全操作。例如，安全系统可限制风力涡轮机的操作，以阻止转子速度、叶片负载或桨距达到可能损坏风力涡轮机的危险水平。基于安全配置参数(其一般本地存储在风力涡轮机上)，这些安全系统限制涡轮机的操作。例如，安全配置参数可包括最大转子速度或叶片负载。
3.在常规的风力涡轮机中，在风力涡轮机的建造期间，安全配置参数经常从少数预先建立的固定配置中选择。由于涡轮机安全配置的敏感性质，相关国家/国际标准要求：所有硬件和软件配置在他们被部署之前都进行测试，以及在部署过程中有确定性，使得仅仅正确的安全配置被部署在正确的风力涡轮机上(见例如en 62061、iec 61508、iso 13849-1)。因此，给定的风力涡轮机的安全配置参数经常在贯穿涡轮机的整个寿命期间保持相同，或者仅在绝对必要时改变。
4.随着风力涡轮机机队变得更大和更全球化，更新单独的风力涡轮机的安全参数变得越来越困难。错误的可能性增加，例如在为给定的涡轮机选择正确的配置时的人为错误增加，通过故意上传不正确的安全配置参数的企图破坏的可能性以及试图修改安全参数的网络攻击的可能性也增加。
5.这些因素一起提供惯性，阻止更新现有的风力涡轮机的安全配置参数，即使那些安全配置参数不必要地限制风力涡轮机的性能。


技术实现要素：

6.本发明的第一方面提供为风力涡轮机提供安全配置参数的方法，所述方法包括：
7.在风力涡轮机的位置处接收安全配置文件；
8.将与安全配置文件相关联的涡轮机id与存储在风力涡轮机的所述位置处的风力涡轮机的涡轮机id相比较；
9.对安全配置文件执行篡改检查，以确定是否安全配置文件中的数据已被修改；以及
10.如果与安全配置文件相关联的涡轮机id与风力涡轮机的涡轮机id匹配，以及篡改检查确定数据未被修改：
11.从安全配置文件中提取与风力涡轮机的安全系统相关联的安全配置参数；以及
12.存储安全配置参数。
13.在一些实施方式中，执行篡改检查可包括将安全配置文件中的数据的一方面与预期结果相比较。
14.在一些实施方式中，执行篡改检查可包括将安全配置文件的数据结构与预期数据
结构相比较。
15.在一些实施方式中，安全配置文件的至少一部分可被加密。执行篡改检查可包括解密安全配置文件的加密部分。
16.在一些实施方式中，安全配置文件的加密部分可包括与安全配置文件相关联的涡轮机id的加密形式。在这种实施方式中，方法还可包括，在解密加密部分后，将解密部分中的涡轮机id与存储在风力涡轮机的位置处的涡轮机id相比较。
17.在一些实施方式中，安全配置文件可由风力涡轮机的控制系统接收，以及其中，执行篡改检查的步骤由风力涡轮机的所述安全系统或一安全系统执行。
18.在一些实施方式中，所述方法还可包括由安全系统请求更新的安全配置参数。响应对更新的安全配置参数的请求，接收安全配置文件。
19.在一些实施方式中，所述方法还可包括：
20.为安全系统提供默认安全配置参数，以在风力涡轮机的初始操作期间使用；以及
21.请求更新安全配置参数，以在初始操作期后使用。
22.在一些实施方式中，包括在安全配置文件中的安全配置参数可特定于风力涡轮机、风力涡轮机模型和/或风力涡轮机的位置。
23.在一些实施方式中，可经由网络从远程安全配置数据库，接收安全配置文件。可替代地，可从便携式存储设备，接收安全配置文件。
24.在一些实施方式中，如果与安全配置文件相关联的涡轮机id与风力涡轮机的涡轮机id不匹配；或者篡改检查确定数据已被修改，所述方法可包括：
25.拒绝数据配置文件；以及
26.保留安全系统的现有的安全配置参数。
27.本发明的第二方面提供风力涡轮机，包括：
28.用于控制风力涡轮机的操作的控制系统；以及
29.一个或多个安全系统，每个安全系统被配置为：根据一个或多个安全控制参数，限制风力涡轮机的操作的一方面；
30.其中，风力涡轮机被配置为：根据第一方面的方法，接收安全配置文件，以及更新所述一个或多个安全系统的所述一个或多个安全控制参数。
附图说明
31.现在将参照附图描述本发明的实施方式，其中：
32.图1是风力涡轮机的示意表示；
33.图2示意性地示出了风力涡轮机的控制和安全系统；以及
34.图3示出了向风力涡轮机提供安全配置参数的方法。
具体实施方式
35.如前所述，安全配置参数的关键性质以及相关标准和法规的要求限制建造风力涡轮机之后更新安全配置参数的范围；并意味着安全配置设置从少数经过测试的选项中选择。然而，每个风力涡轮机经历不同的条件，这取决于涡轮机的位置和涡轮机的设计。这些因素可意味着：由于经历的条件，第一涡轮机需要相对严格的安全参数，而相同类型但在不
同位置处的第二涡轮机不需要如此严格的参数。然而，从小池中选择的安全参数的性质是：它们必须对最坏的情况进行设置-因此，对第二涡轮机仍将使用更严格的要求，即使它们限制涡轮机的性能超过所需。此外，更新安全配置参数的困难意味着：即使特定涡轮机的操作条件随着时间的推移变得更好理解，安全配置参数也不适配于匹配。
36.本文讨论的方法允许更简单和更频繁地更新安全参数，在某种程度上，其确保参数的完整性并因此满足相关标准的要求。因此，更适合单独的涡轮机的安全配置参数可容易实施为更新，允许风力涡轮机的更好的性能。
37.图1以示意性透视图示出了风力涡轮机100的示例。风力涡轮机100包括塔102、在塔的顶点处的舱103以及可操作地耦合到容纳在舱103内侧的发生器的转子104。除了发生器之外，舱还容纳将风能转换为电能所需的各种部件以及操作、控制和优化风力涡轮机100的性能所需的各种部件。风力涡轮机的转子104包括中央轮毂105和从中央轮毂105向外突出的多个叶片106。在所示实施方式中，转子104包括三个叶片106，但数量可变化。此外，风力涡轮机包括控制系统。控制系统可放置在舱内侧或分布在涡轮机内侧的许多位置处，并通信地连接。
38.风力涡轮机100可被包括在属于风力发电厂(也称为风电厂或风电场)的其他风力涡轮机集合中，该风力发电厂用作通过输电线与电网连接的发电厂。电网经常由发电站、传输电路和通过传输线网络耦合的变电站的网络组成，该传输线网络输送功率到形式为终端用户和电力设施的其他客户的负载。
39.图2示出了风力涡轮机100的控制和安全系统。风力涡轮机100包括控制系统201和一个或多个安全系统202(为了清楚，仅一个被示出在图2中)。控制系统201包括通过控制叶片106的桨距和提取到电网的电量来指导风力涡轮机的电的生产的元件。安全系统202包括许多安全节点，每个安全节点与分别的安全机构或控制相关。例如，安全机构可以是转子上的紧急制动器或紧急桨距控制。控制系统201和安全系统彼此通信(如图2中的箭头203所示)，但在风力涡轮机100内是不同的系统。
40.基于分别的安全配置参数，安全系统202中的每个限制风力涡轮机100的操作的一方面。这些安全配置参数一般可存储在风力涡轮机100内的非易失性存储器中。
41.在本发明中，在涡轮机100中或与涡轮机100相关(例如在涡轮机位置处邻近或接近涡轮机100)的非易失性存储器也被用于存储唯一的涡轮机识别号(“涡轮机id”)。涡轮机id在涡轮机100的调试期间设置，以及可被用于在整个全球的风力涡轮机100的机队中唯一地识别涡轮机100。因为涡轮机id将在下文讨论的更新安全配置参数的方法中被用作验证检查，当被输入时，它可优选地由多人检查；或者可用于风力涡轮机内的其他目的，使得存储在涡轮机100上的涡轮机id中的错误在尝试安全配置更新之前会被识别。
42.在图2所示的实施方式中，经由网络连接205(其可以是有线或无线网络连接，以及可以是专用网络连接或连接可能是经由互联网)，涡轮机100的控制系统201连接到远程安全配置数据库204。远程安全配置数据库204为多个风力涡轮机100(例如，机队中的所有风力涡轮机，或区域中的所有风力涡轮机)存储完整的、单独的安全配置参数。可更新这些单独的安全配置参数，以改进单独的涡轮机的操作，这例如响应由风力涡轮机100报告的性能数据。使用下文描述的方法300，更新的远程安全配置参数可然后被传递到单独的风力涡轮机100。安全配置数据库204中的数据可被加密。
43.图3示出了向风力涡轮机300提供安全配置参数的方法300。
44.方法300开始于步骤301处，在该步骤处，在风力涡轮机10的位置处，诸如在风力涡轮机100本身处，或在涡轮机100是其一部分的风电场处，接收安全配置文件。例如，安全配置文件可从远程安全配置数据库204传输，以及可在涡轮机100的控制系统201处接收。
45.安全配置文件包括用于单独的风力涡轮机100的一个或多个安全配置参数。安全配置参数可涉及涡轮机100的仅仅一个安全系统/节点，或涡轮机100的多个/所有安全系统。包括在安全配置文件中的安全配置参数可特定于风力涡轮机、风力涡轮机模型和/或风力涡轮机的位置。在特定的实施方式中，安全配置参数的完整组对于特定的涡轮机100可以是唯一的，但是在组中的单独的参数在不同的涡轮机100之间可以是共同的。
46.在步骤302处，将与安全配置文件相关联的涡轮机id与存储在风力涡轮机的所述位置处(例如，在涡轮机100的非易失性存储器上，如上所述)的风力涡轮机的涡轮机id相比较。此步骤提供第一检查，即安全配置文件中的参数实际上用于那涡轮机100，防止错误的参数被应用到涡轮机100。
47.在步骤303处，对安全配置文件执行篡改检查，以确定是否安全配置文件中的数据已被修改。篡改检查确保包含在接收到的文件中的安全配置参数没有意外的或故意的改变，确保参数的安全性，以及因此允许方法300满足安全配置参数供应所需的标准。
48.步骤303的篡改检查可包括数据完整性检查。例如，篡改检查可包括将文件中的数据的一方面与预期结果相比较。预期结果可仅存储在涡轮机100上，以及尤其仅存储在相关安全系统202上，确保预期结果的保密性。如果篡改检查产生预期结果，则确定数据未被修改。
49.篡改检查可例如包括对文件或文件中的数据的一部分运行算法。算法可以是校验和。可替代地或可附加地，可将文件的数据结构与预期的(秘密)数据格式相比较。算法可能够对接收到的文件执行错误校正，以恢复文件的原始数据。
50.在一些实施方式中，文件的至少一部分可被加密。秘密解密密钥存储在涡轮机100上(并具体地在相关安全系统202上，或用于最初接收配置文件的“网关”安全系统上)。步骤303的篡改检查然后可包括解密文件。基于文件的成功解密，可确定数据未被篡改。可替代地，然后可对解密的数据执行进一步的篡改检查/数据完整性检查(类似于上述那些)，以确保在文件中接收到的安全配置参数的完整性。解密的数据也可包括涡轮机id。在一些实施方式中，可将此解密的涡轮机id与存储在涡轮机100处的涡轮机id相比较。此可提供涡轮机id的附加的检查，或者可用作步骤302的检查。注意步骤302和步骤303可以任何顺序执行。
51.如果步骤302和步骤303的检查通过，即如果与安全配置文件相关联的涡轮机id与风力涡轮机的涡轮机id匹配，以及篡改检查确定数据未被修改，则方法300进行到步骤304。
52.在步骤304处，从安全配置文件中提取与风力涡轮机100的安全系统202相关联的安全配置参数。方法然后进行到步骤305，在此步骤处，提取的安全配置参数被存储在风力涡轮机100上。根据提取的参数，然后可操作风力涡轮机100—即根据提取的参数，控制涡轮机100的相关安全系统。在涡轮机100的相关安全系统具有现有的对应的安全参数的情况下，方法300可包括用提取的参数替换对应的参数。
53.如果另一方面与安全配置文件相关联的涡轮机id与风力涡轮机的涡轮机id不匹配；或者如果篡改检查确定数据已被修改，则方法不进行到步骤304和步骤305。作为替代，
可拒绝数据配置文件，以及可保留相关安全系统的现有的安全配置参数。
54.方法300允许以高效且稳健的方式，对单独的涡轮机100实施安全配置参数。作为方法300的部分执行的多个检查确保正确的安全配置参数被发送到正确的涡轮机100，以及确保发送的数据的完整性，防止意外错误或故意破坏。
55.方法300可在调试新的涡轮机100时执行，以首次向涡轮机100提供安全配置参数。方法300也可周期性地执行，或者当安全配置参数被集中更新时(诸如在远程安全配置数据库204上)，可用于将更新推送到涡轮机100。可替代地或可附加地，涡轮机100本身可请求一个或多个安全配置参数，例如通过向远程安全配置数据库204发送包括涡轮机id的请求。请求可由风力涡轮机100的单独的安全系统202中的一个发起。在涡轮机100不具有特定的安全配置参数的情况下，或者在自上次在涡轮机100处最后接收到特定的安全配置参数以来，预定时间已经过去的情况下，涡轮机100的操作可被限制，以确保持续的安全。
56.在一些实施方式中，诸如图2中所示的实施方式，安全配置文件最初可由控制系统201接收。这可允许现有的控制系统连接被用于传输和接收安全配置文件。在这些实施方式中，控制系统201不知道从文件中提取数据所需的解密算法/预期结果。作为替代，文件被传递到涡轮机100的安全系统202。安全系统共同的中央处理器或用于接收文件的“网关”安全系统可在提取安全配置参数以及将参数传递到相关安全系统202之前，执行检查302和检查303。可替代地，为了附加的安全性和稳健性，提取参数所需的解密算法/预期结果可仅由相关安全系统知道。在这种情况下，文件(或其相关部分)可被传递到相关安全系统，该系统然后至少执行步骤303本身的篡改检查。
57.作为从远程数据库接收安全配置文件的替代，可从便携式存储设备，接收安全配置文件，诸如usb钥匙或便携式硬盘驱动。服务操作者可将便携式存储设备直接连接到涡轮机100，或者连接到风电场控制器，所述风电场控制器转而与风力涡轮机100通信，以传送安全配置文件。涡轮机100然后将执行方法300的步骤302和步骤303的检查，确保接收到的安全配置参数的完整性。在到风力涡轮机100的网络连接不可用或不可靠的情况下，诸如在风力涡轮机100的建造期间，这种实施方式可以是尤其有用的。
58.在一些实施方式中，在涡轮机调试的早期阶段，可能无法接收涡轮机的特定的安全配置参数。例如，唯一的涡轮机id可能尚未为涡轮机确定，或者可因其他原因不可获取的，这阻止正确的参数的选择。在这种实施方式中，可提供默认安全配置参数，以在风力涡轮机的初始操作期间使用。例如，涡轮机100可使用预先同意的默认id，从远程数据库203或可替代地从本地存储请求安全配置参数。默认安全配置参数可用涡轮控制系统软件部署，以及可经常是可获取的，即使当网络不存在以及安全配置参数从未从外部服务器检索或由服务人员编程时。可替代地，默认参数可在它们自己的软件中被硬编码在单独的安全系统202中的每个上，以及在唯一的涡轮机标识符未被编程时自动使用。默认参数可被设计为对在涡轮机可竖立的任何地点处的任何可能的涡轮机设置都是安全的。如此，通过提供尽可能最严格的参数组，它们可提供受限的、降级的性能。服务人员然后可执行有限的调试和测试，直到唯一的涡轮机标识符/单独的涡轮机安全控制参数已被获得。
59.尽管上面将本发明描述为一方法，本发明也可实施为包括适配于上述方法的软件代码的计算机程序制品。
60.此外，虽然上面已经参考一个或多个优选的实施方式描述了本发明，应当理解，在
不背离如所附权利要求中限定的本发明的范围的情况下，可做各种改变或修改。