Das von Invensys Operations Management (heute Teil von Schneider Electric) entwickelte Triconex V10-System ist eine äußerst zuverlässige und verfügbare dreifach modulare redundante (TMR) programmierbare Logiksteuerung (SPS), die in Branchen mit extrem hohen Sicherheits- und Zuverlässigkeitsanforderungen wie der Kernenergie, der Petrochemie und der Energieerzeugung weit verbreitet ist. Dieses System wurde für das Upgrade-Projekt Process Protection System (PPS) im Kernkraftwerk Diablo Canyon der Pacific Gas & Electric Company (PG&E) ausgewählt und ersetzt das ursprüngliche Sicherheitssystem Westinghouse Eagle 21.
Das Triconex V10-System nutzt eine Triple Modular Redundant (TMR)-Architektur durch redundantes Hardware- und Software-Design und gewährleistet so einen kontinuierlichen Betrieb und zuverlässigen Schutz, selbst wenn einzelne oder mehrere Punktausfälle auftreten.
Grundprinzipien der TMR-Architektur
Der Kern des Triconex-Systems ist seine Triple Modular Redundant (TMR)-Architektur, die durch physische Isolierung, Parallelverarbeitung und Mehrheitsentscheidungsmechanismen eine extrem hohe Fehlertoleranz und Systemzuverlässigkeit erreicht. Das gesamte System besteht aus drei völlig unabhängigen Verarbeitungskanälen, die jeweils eine vollständige Signalverarbeitungskette enthalten: vom Sensorsignaleingang über die Analog-/Digitalwandlung, die Ausführung der Steuerlogik durch den Hauptprozessor bis hin zur endgültigen Ausgangsansteuerung. Diese drei Kanäle sind sowohl physisch als auch elektrisch vollständig isoliert, sodass sichergestellt ist, dass ein Ausfall in einem Kanal den normalen Betrieb der anderen beiden Kanäle nicht beeinträchtigt.
Zu Beginn jedes Scanzyklus synchronisieren die drei Hauptprozessormodule die Zeit und tauschen Daten über den dedizierten TriBus-Hochgeschwindigkeits-Synchronbus aus. Der TriBus selbst ist ebenfalls mit dreifacher Redundanz ausgestattet und enthält drei unabhängige serielle Kommunikationsverbindungen, die jeweils speziell einen Hauptprozessorkanal bedienen. Durch dieses Design wird sichergestellt, dass selbst bei Ausfall einer TriBus-Verbindung die verbleibenden Verbindungen weiterhin die Systemkommunikations- und Synchronisierungsfunktionen aufrechterhalten können. Nach der Synchronisierung beginnt jeder Hauptprozessor, Eingabedaten von seinem entsprechenden Kanal zu lesen. Für digitale Eingangssignale verwendet das System einen Hardware-Abstimmungsmechanismus, bei dem drei Kanäle dasselbe Signal separat lesen und dann den endgültigen gültigen Wert durch Mehrheitsabstimmung bestimmen. Dieses Design kann Fehlersignale, die durch Kanalausfälle oder externe Störungen verursacht werden, automatisch abschirmen.
Bei analogen Eingangssignalen verwendet das System zur Verarbeitung einen Median-Auswahlalgorithmus. Drei Kanäle tasten das analoge Signal separat ab und führen eine Analog-Digital-Wandlung durch. Anschließend vergleichen sie die drei Wandlungsergebnisse und wählen den Medianwert als gültigen Eingang aus. Diese Verarbeitungsmethode unterdrückt effektiv Rauschstörungen und vermeidet gleichzeitig Signalabweichungen, die durch Ausfälle in einem einzelnen Kanal verursacht werden. Nachdem alle Eingangssignale abgestimmt oder ausgewählt wurden, wird eine konsistente Eingangsdatentabelle für die drei Hauptprozessoren erstellt, um die Steuerlogik auszuführen.
Die Ausführung des Steuerprogramms erfolgt völlig unabhängig und parallel über die drei Kanäle hinweg. Jeder Hauptprozessor führt auf der Grundlage konsistenter Eingabedaten denselben Steueralgorithmus aus und generiert Ausgabeergebnisse. Ausgabedaten müssen einen weiteren Abstimmungsprozess durchlaufen, bevor sie an die Ausgabemodule gesendet werden. Jeder Hauptprozessor sendet seine Ausgabedaten über den TriBus an die anderen beiden Hauptprozessoren, und die drei Prozessoren führen einen Kreuzvergleich durch und stimmen über die Ausgabedaten ab. Wenn die Ausgangsdaten eines Prozessors nicht mit den beiden anderen übereinstimmen, markiert das System ihn als fehlerhaften Kanal, isoliert seinen Ausgang und ermöglicht den verbleibenden zwei fehlerfreien Kanälen, weiterhin die Steuerfunktion auszuführen.
Auch die Ausgangsmodule sind dreifach redundant aufgebaut, wobei jeder Ausgangspunkt von drei unabhängigen Ausgangskreisen angesteuert wird. Die Ausgabemodule verfügen über eine integrierte OVD-Funktion (Output Voter Diagnostics), mit der an jedem Ausgabepunkt regelmäßig erzwungene Tests durchgeführt werden können. Das System versetzt die Ausgangspunkte nacheinander in den stromführenden und stromlosen Zustand und erkennt, ob die Ausgangsreaktion normal ist. Dieser Test kann innerhalb von 500 Mikrosekunden bis 2 Millisekunden abgeschlossen werden und stellt so die Zuverlässigkeit des Ausgangsschaltkreises sicher. Alle Diagnosetests werden im TMR-Modus durchgeführt, wodurch eine 100-prozentige Fehlererkennungsabdeckung bei jedem einzelnen Fehlerzustand gewährleistet wird.
Die Fehlertoleranz des Systems wird durch mehrere Ebenen von Diagnose- und Schutzmechanismen erreicht. Jedes Hauptprozessormodul ist mit unabhängiger Speichererkennung, Taktüberwachung und Watchdog-Timern ausgestattet. I/O-Module verfügen außerdem über eigene Prozessoren und Watchdog-Schaltkreise zur Überwachung der Firmware-Ausführung und des Kommunikationsstatus. Alle Bussysteme (TriBus, I/O-Bus, Kommunikationsbus) sind dreifach redundant aufgebaut und verfügen über kontinuierliche Integritätsüberwachungsfunktionen. Wenn ein Fehler erkannt wird, kann das System die fehlerhafte Komponente automatisch isolieren und den Bediener über Kontrollleuchten und Alarmsignale benachrichtigen. Fehlerhafte Module können bei laufendem System ausgetauscht werden, was eine echte Online-Reparatur ermöglicht und die Systemverfügbarkeit maximiert.
Systemzusammensetzung und Funktionen
Die Hardwarearchitektur des Triconex V10-Systems ist modular aufgebaut und bietet gute Skalierbarkeit und Flexibilität. Jedes vollständige Schutzset besteht aus drei Hauptkomponenten: dem Hauptgehäuse, dem sicherheitsbezogenen primären Remote-Erweiterungsgehäuse (Primär-RXM) und dem nicht sicherheitsbezogenen Remote-Erweiterungsgehäuse (Remote-RXM). Dieses hierarchische Design stellt die Zuverlässigkeit sicherheitsrelevanter Funktionen sicher und bietet gleichzeitig Schnittstellenfunktionen für die Kommunikation mit nicht sicheren Systemen.
Das Hauptgehäuse ist die Kernverarbeitungseinheit des gesamten Systems und zeichnet sich durch ein robustes Design in Industriequalität mit hoher Störfestigkeit und Anpassungsfähigkeit an die Umgebung aus. Ganz links im Gehäuse befinden sich zwei unabhängige, redundant konfigurierte Stromversorgungsmodule. Jeder kann das gesamte Chassis unabhängig mit Strom versorgen. Der Strom wird entlang der Mitte der Rückwandplatine über zwei Stromschienen verteilt, wobei jedes Modul über zwei Stromregler Strom von beiden Schienen bezieht und so die Zuverlässigkeit des Stromversorgungssystems gewährleistet. Unmittelbar neben den Leistungsmodulen befinden sich drei 3008N-Hauptprozessormodule (MP A, B, C). Diese Module verwenden 32-Bit-Mikroprozessoren der Sicherheitsklasse, die jeweils zwei Verarbeitungseinheiten enthalten: einen Anwendungsprozessor und einen I/O- und Kommunikationscontroller (IOCCOM). Der Anwendungsprozessor ist für die Ausführung des ETSX-Betriebssystems und die Ausführung der Steuerungsanwendung verantwortlich, während der IOCCOM-Prozessor den E/A-Bus und den Kommunikationsbus verwaltet.
Der Rest des Hauptgehäuses ist in sechs logische Steckplätze zur Installation verschiedener E/A-Module und Kommunikationsmodule unterteilt. Jeder logische Steckplatz bietet zwei physische Positionen, eine für das aktive Modul und eine für ein optionales Hot-Standby-Modul. Dieses Design ermöglicht den Austausch fehlerhafter Module ohne Unterbrechung des Systembetriebs. Der Kommunikationsmodulsteckplatz ist dediziert und bietet keine Hot-Standby-Position. Alle Module werden über Präzisions-Backplane-Steckverbinder an das Backplane-Bussystem angeschlossen und gewährleisten so Signalintegrität und Zuverlässigkeit.
Das sicherheitsrelevante Primary Remote Expansion Chassis (Primary RXM) ist über dreifach redundante I/O-Buskabel mit dem Main Chassis verbunden und dient der Erweiterung sicherheitsrelevanter I/O-Punkte. Der Aufbau des RXM-Chassis ähnelt dem des Hauptchassis, allerdings sind RXM-Module in den Hauptprozessorpositionen installiert. Diese Module sind für die Verwaltung der Kommunikation und Datenübertragung zwischen dem Erweiterungschassis und dem Hauptchassis verantwortlich. Das primäre RXM-Chassis wird normalerweise in der Nähe des Hauptchassis installiert und dient zur Aufnahme von E/A-Modulen, die sicherheitsrelevant sind, sich aber nicht im Hauptchassis befinden müssen.
Das nicht sicherheitsrelevante Remote Expansion Chassis (Remote RXM) ist über Multimode-Glasfaser mit dem primären RXM verbunden und sorgt so für eine elektrische und physische Isolierung zwischen dem Sicherheitssystem und den nicht sicherheitsrelevanten Systemen. Das Remote-RXM-Chassis verwendet RXM-Module der 4200-Serie, die kupferbasierte I/O-Bussignale in optische Signale für die Übertragung über Glasfaser umwandeln. Jeder I/O-Buskanal (A, B, C) erfordert ein Paar 4200-4201 RXM-Module und zwei Glasfasern (eine Sende- und eine Empfangsfaser), also insgesamt sechs Glasfasern, um das primäre RXM- und das Remote-RXM-Chassis zu verbinden. Dieses Design sorgt für eine vollständige elektrische Isolierung, wodurch Erdschleifen und elektromagnetische Interferenzen wirksam verhindert werden und gleichzeitig die Signalintegrität über große Entfernungen gewährleistet wird.
Die Busarchitektur des Systems basiert auf einem mehrstufigen redundanten Design. Der TriBus ist ein interner Hochgeschwindigkeitsbus, der die drei Hauptprozessoren verbindet und für die Datensynchronisation, das Laden von Programmen und das Cross-Voting verwendet wird. Der I/O-Bus ist ein Systembus, der die Hauptprozessoren mit den I/O-Modulen verbindet und ein serielles Master-Slave-Kommunikationsprotokoll mit einer Übertragungsrate von 375 kbps verwendet. Der Kommunikationsbus verbindet die Hauptprozessoren mit einer Geschwindigkeit von 2 Mbit/s mit den Kommunikationsmodulen und dient der Kommunikation mit externen Systemen. Alle Busse sind dreifach redundant, wobei jeder Bus über unabhängige Mechanismen zur Fehlererkennung und -isolierung verfügt.
Bezüglich Kommunikation und Isolation bietet das System strenge Sicherheitsgarantien. Das Tricon Communication Module (TCM) ist die einzige Kommunikationsschnittstelle, die für nukleare Sicherheitsanwendungen zertifiziert ist und elektrische und Datenisolierung bietet. Das TCM nutzt Glasfasermedien zur Verbindung mit externen Netzwerken und stellt so sicher, dass Kommunikationsfehler die Ausführung von Sicherheitsfunktionen nicht beeinträchtigen. Die Maintenance Workstation (MWS) kommuniziert über das TCM mit dem Tricon-System und dient zur Überwachung des Systemstatus, zur Anzeige von Diagnoseinformationen und zur Durchführung von Parameteränderungen. Die gesamte Kommunikation mit nicht sicherheitsrelevanten Systemen unterliegt einer strengen Zugangskontrolle und Sicherheitsüberprüfung, um sicherzustellen, dass die Integrität des Sicherheitssystems nicht gefährdet wird.
Das System bietet eine große Auswahl an E/A-Modulen, darunter unter anderem Analogeingang (AI), Analogausgang (AO), Digitaleingang (DI) und Digitalausgang (DO). Jedes I/O-Modul verfügt über ein dreifach redundantes Design mit drei völlig unabhängigen Kanälen, von denen jeder über einen eigenen Prozessor und eigene Diagnoseschaltkreise verfügt. Analoge Eingangsmodule unterstützen verschiedene Signaltypen wie 4–20 mA, RTD und Thermoelemente und zeichnen sich durch hohe Präzision und hohe Störfestigkeit aus. Digitale Ausgangsmodule nutzen die Output Voter Diagnostics (OVD)-Technologie, mit der die Zuverlässigkeit jedes Ausgangspunkts regelmäßig getestet werden kann. Alle I/O-Module unterstützen die Hot-Swapping-Funktionalität und ermöglichen so den Austausch während des Systembetriebs, was die Wartbarkeit und Verfügbarkeit des Systems erheblich verbessert.
Softwarearchitektur
1. Betriebssystem und Firmware
ETSX-Betriebssystem: Läuft auf dem Anwendungsprozessor jedes MP und ist für die Systemplanung, Redundanzverwaltung und Fehlerbehandlung verantwortlich.
IOCCOM-Prozessor: Verwaltet die E/A- und Kommunikationsbusse und tauscht Daten mit dem MP über Dual-Port-RAM (DPRAM) aus.
2. Anwendungssoftware
TriStation 1131: Wird für die Entwicklung sicherheitsrelevanter Anwendungssoftware verwendet und unterstützt sowohl die Programmiersprachen Function Block Diagram (FBD) als auch Structured Text (ST).
Software-Integritätsstufe (SIL4): Entspricht dem Standard IEEE 1012-1998, geeignet für Systeme im Zusammenhang mit der nuklearen Sicherheit.
3. Online-Wartungs- und Testfunktionen
Out-of-Service (OOS)-Schalter: Ermöglicht die vorübergehende Außerbetriebnahme einer bestimmten Schutzfunktion zum Testen oder zur Parameteränderung, ohne andere Sicherheitsfunktionen zu beeinträchtigen.
Bypass-Funktion: Ein Kanal kann zu Wartungs- oder Testzwecken über Software- oder Hardwareschalter umgangen werden.
Diagnose und Alarmierung: Das System überwacht kontinuierlich den Status jedes Moduls und stellt über das MWS detaillierte Fehlerinformationen bereit.
Anwendungsszenarien und Vorteile
1. Prozessschutzsystem für Kernkraftwerke (PPS)
Funktion: Überwacht Anlagenparameter (wie Temperatur, Druck, Wasserstand usw.), vergleicht sie mit Sollwerten und löst das Reactor Trip System (RTS) oder das Engineered Safety Features Actuation System (ESFAS) aus, wenn Grenzwerte überschritten werden.
Kanaltrennung: Vier Schutzsätze (I–IV) übernehmen jeweils unterschiedliche Sicherheitsfunktionen und gewährleisten so Redundanz und Unabhängigkeit.
2. Vorteile und Merkmale
Hohe Zuverlässigkeit: Die TMR-Architektur stellt sicher, dass es keinen Single Point of Failure gibt.
Hohe Verfügbarkeit: Unterstützt Online-Reparatur und Modul-Hot-Swapping.
Flexibilität: Unterstützt verschiedene I/O-Typen und Kommunikationsprotokolle.
Sicherheit: Entspricht den nuklearen Sicherheitsvorschriften (z. B. 10 CFR 50 Anhang B), RG 1.152 und anderen Anforderungen.
Einfache Wartung: Bietet detaillierte Diagnoseinformationen und Fernüberwachungsfunktionen.
Referenz: https://www.nrc.gov/docs/ML1131/ML11318A029.pdf
