El sistema Triconex V10, desarrollado por Invensys Operations Management (ahora parte de Schneider Electric), es un controlador lógico programable (PLC) triple modular redundante (TMR) altamente confiable y disponible, ampliamente utilizado en industrias con requisitos de seguridad y confiabilidad extremadamente altos, como la energía nuclear, la petroquímica y la generación de energía. Este sistema fue seleccionado para el proyecto de actualización del Sistema de Protección de Procesos (PPS) en la Planta de Energía Nuclear Diablo Canyon de Pacific Gas & Electric Company (PG&E), reemplazando el sistema de seguridad original Westinghouse Eagle 21.
El sistema Triconex V10 emplea una arquitectura Triple Modular Redundante (TMR) a través de un diseño de hardware y software redundante, lo que garantiza un funcionamiento continuo y una protección confiable incluso cuando ocurren fallas en uno o múltiples puntos.
Principios básicos de la arquitectura TMR
El núcleo del sistema Triconex es su arquitectura Triple Modular Redundante (TMR), que logra una tolerancia a fallos y una confiabilidad del sistema extremadamente altas a través del aislamiento físico, el procesamiento paralelo y mecanismos de votación por mayoría. Todo el sistema consta de tres canales de procesamiento completamente independientes, cada uno de los cuales contiene una cadena completa de procesamiento de señales: desde la entrada de la señal del sensor, la conversión analógica/digital, la ejecución de la lógica de control del procesador principal hasta la salida final. Estos tres canales están completamente aislados tanto física como eléctricamente, lo que garantiza que una falla en cualquiera de los canales no afecte el funcionamiento normal de los otros dos canales.
Al comienzo de cada ciclo de escaneo, los tres módulos del procesador principal sincronizan la hora e intercambian datos a través del bus síncrono de alta velocidad TriBus dedicado. El propio TriBus también está diseñado con triple redundancia, y contiene tres enlaces de comunicación en serie independientes, cada uno de los cuales sirve específicamente a un canal del procesador principal. Este diseño garantiza que incluso si falla un enlace TriBus, los enlaces restantes aún pueden mantener las funciones de comunicación y sincronización del sistema. Después de la sincronización, cada procesador principal comienza a leer datos de entrada de su canal correspondiente. Para las señales de entrada digitales, el sistema utiliza un mecanismo de votación de hardware en el que tres canales leen la misma señal por separado y luego determinan el valor válido final mediante votación mayoritaria. Este diseño puede proteger automáticamente las señales de error causadas por fallas de canal o interferencias externas.
Para señales de entrada analógicas, el sistema utiliza un algoritmo de selección de mediana para su procesamiento. Tres canales muestrean por separado y realizan la conversión de analógico a digital en la señal analógica, luego comparan los tres resultados de la conversión y seleccionan el valor medio como entrada válida. Este método de procesamiento suprime eficazmente la interferencia de ruido y al mismo tiempo evita las desviaciones de la señal causadas por fallas en un solo canal. Después de votar o seleccionar todas las señales de entrada, se forma una tabla de datos de entrada consistente para que los tres procesadores principales ejecuten la lógica de control.
La ejecución del programa de control es completamente independiente y paralela a través de los tres canales. Cada procesador principal, basado en datos de entrada consistentes, ejecuta el mismo algoritmo de control y genera resultados de salida. Los datos de salida deben pasar por otro proceso de votación antes de ser enviados a los módulos de salida. Cada procesador principal envía sus datos de salida a los otros dos procesadores principales a través del TriBus, y los tres procesadores comparan y votan sobre los datos de salida. Si los datos de salida de un procesador son inconsistentes con los otros dos, el sistema lo marca como un canal defectuoso, aísla su salida y permite que los dos canales restantes en buen estado continúen realizando la función de control.
Los módulos de salida también adoptan un diseño triple redundante, con cada punto de salida controlado por tres circuitos de salida independientes. Los módulos de salida tienen una funcionalidad integrada de Diagnóstico de Votantes de Salida (OVD), capaz de realizar periódicamente pruebas forzadas en cada punto de salida. El sistema fuerza secuencialmente los puntos de salida a estados energizados y desenergizados y detecta si la respuesta de salida es normal. Esta prueba se puede completar en 500 microsegundos a 2 milisegundos, lo que garantiza la confiabilidad del circuito de salida. Todas las pruebas de diagnóstico se realizan en modo TMR, lo que garantiza una cobertura de detección de fallas del 100 % en cualquier condición de falla de un solo punto.
La tolerancia a fallas del sistema se logra a través de múltiples capas de mecanismos de diagnóstico y protección. Cada módulo del procesador principal está equipado con detección de memoria independiente, monitoreo de reloj y temporizadores de vigilancia. Los módulos de E/S también tienen sus propios procesadores y circuitos de vigilancia para monitorear la ejecución del firmware y el estado de la comunicación. Todos los sistemas de bus (TriBus, Bus de E/S, Bus de comunicación) adoptan un diseño triplemente redundante y tienen funciones de monitoreo continuo de la integridad. Cuando se detecta una falla, el sistema puede aislar automáticamente el componente defectuoso y notificar a los operadores mediante luces indicadoras y señales de alarma. Los módulos defectuosos se pueden reemplazar mientras el sistema está en ejecución, lo que permite una verdadera reparación en línea y maximiza la disponibilidad del sistema.
Composición y funciones del sistema
La arquitectura de hardware del sistema Triconex V10 adopta un diseño modular, que ofrece buena escalabilidad y flexibilidad. Cada conjunto de protección completo consta de tres componentes principales: el chasis principal, el chasis de expansión remoto primario relacionado con la seguridad (RXM primario) y el chasis de expansión remoto no relacionado con la seguridad (RXM remoto). Este diseño jerárquico garantiza la confiabilidad de las funciones relacionadas con la seguridad al tiempo que proporciona capacidades de interfaz para la comunicación con sistemas no relacionados con la seguridad.
El chasis principal es la unidad de procesamiento central de todo el sistema y presenta un diseño resistente de grado industrial con alta inmunidad a interferencias y adaptabilidad ambiental. En el extremo izquierdo del chasis hay dos módulos de fuente de alimentación independientes configurados en redundancia; cada uno puede alimentar de forma independiente todo el chasis. La energía se distribuye a lo largo del centro del backplane a través de rieles de alimentación duales, y cada módulo extrae energía de ambos rieles a través de reguladores de energía duales, lo que garantiza la confiabilidad del sistema de energía. Inmediatamente adyacentes a los módulos de alimentación hay tres módulos de procesador principal 3008N (MP A, B, C). Estos módulos utilizan microprocesadores de seguridad de 32 bits, cada uno de los cuales contiene dos unidades de procesamiento: un procesador de aplicaciones y un controlador de comunicaciones y E/S (IOCCOM). El Procesador de Aplicaciones es responsable de ejecutar el sistema operativo ETSX y ejecutar la aplicación de control, mientras que el procesador IOCCOM gestiona el Bus de E/S y el Bus de Comunicaciones.
El resto del chasis principal está dividido en seis ranuras lógicas para instalar varios módulos de E/S y módulos de comunicación. Cada ranura lógica proporciona dos posiciones físicas, una para el módulo activo y otra para un módulo de espera activo opcional. Este diseño permite el reemplazo de módulos defectuosos sin interrumpir el funcionamiento del sistema. La ranura del módulo de comunicación está dedicada y no proporciona una posición de espera activa. Todos los módulos se conectan al sistema de bus de placa posterior a través de conectores de placa posterior de precisión, lo que garantiza la integridad y confiabilidad de la señal.
El chasis de expansión remota primario relacionado con la seguridad (RXM primario) está conectado al chasis principal mediante cables de bus de E/S de triple redundancia y se utiliza para ampliar los puntos de E/S relacionados con la seguridad. La estructura del chasis RXM es similar al chasis principal, pero los módulos RXM están instalados en las posiciones del procesador principal. Estos módulos son responsables de gestionar la comunicación y la transmisión de datos entre el chasis de expansión y el chasis principal. El chasis RXM primario generalmente se instala cerca del chasis principal y se usa para acomodar módulos de E/S relacionados con la seguridad pero que no necesitan estar ubicados en el chasis principal.
El chasis de expansión remoto no relacionado con la seguridad (RXM remoto) está conectado al RXM primario a través de fibra óptica multimodo, lo que proporciona aislamiento eléctrico y físico entre el sistema de seguridad y los sistemas que no son de seguridad. El chasis Remote RXM utiliza módulos RXM de la serie 4200, que convierten señales de bus de E/S basadas en cobre en señales ópticas para su transmisión a través de fibra. Cada canal de bus de E/S (A, B, C) requiere un par de módulos RXM 4200-4201 y dos fibras (una de transmisión y otra de recepción), con un total de seis fibras para conectar el chasis RXM primario y RXM remoto. Este diseño proporciona un aislamiento eléctrico completo, lo que previene eficazmente los bucles de tierra y los problemas de interferencia electromagnética, al tiempo que garantiza la integridad de la señal en largas distancias.
La arquitectura de bus del sistema emplea un diseño redundante de múltiples niveles. El TriBus es un bus interno de alta velocidad que conecta los tres procesadores principales y se utiliza para sincronización de datos, carga de programas y votación cruzada. El bus de E/S es un bus del sistema que conecta los procesadores principales a los módulos de E/S, utilizando un protocolo de comunicación serie maestro-esclavo con una velocidad de transmisión de 375 kbps. El Bus de Comunicación conecta los Procesadores Principales a los módulos de comunicación a una velocidad de 2 Mbps y se utiliza para la comunicación con sistemas externos. Todos los buses tienen triple redundancia y cada bus tiene mecanismos independientes de detección y aislamiento de fallas.
En términos de comunicación y aislamiento, el sistema ofrece estrictas garantías de seguridad. El módulo de comunicación Tricon (TCM) es la única interfaz de comunicación certificada para aplicaciones de seguridad nuclear y proporciona aislamiento eléctrico y de datos. El TCM utiliza medios de fibra óptica para conectarse a redes externas, lo que garantiza que los errores de comunicación no afecten la ejecución de las funciones de seguridad. La estación de trabajo de mantenimiento (MWS) se comunica con el sistema Tricon a través del TCM, que se utiliza para monitorear el estado del sistema, ver información de diagnóstico y realizar modificaciones de parámetros. Todas las comunicaciones con sistemas no relacionados con la seguridad se someten a un estricto control de acceso y auditorías de seguridad, lo que garantiza que la integridad del sistema de seguridad no se vea comprometida.
El sistema ofrece una amplia variedad de módulos de E/S, que incluyen entrada analógica (AI), salida analógica (AO), entrada digital (DI) y salida digital (DO), entre otros. Cada módulo de E/S adopta un diseño de triple redundancia, con tres canales completamente independientes, cada uno con su propio procesador y circuitos de diagnóstico. Los módulos de entrada analógica admiten varios tipos de señales, como 4-20 mA, RTD y termopar, y presentan alta precisión y alta inmunidad al ruido. Los módulos de salida digital utilizan la tecnología Output Voter Diagnostics (OVD), capaz de probar periódicamente la confiabilidad de cada punto de salida. Todos los módulos de E/S admiten la funcionalidad de intercambio en caliente, lo que permite el reemplazo mientras el sistema está en ejecución, lo que mejora en gran medida la capacidad de mantenimiento y la disponibilidad del sistema.
Arquitectura de software
1. Sistema operativo y firmware
Sistema Operativo ETSX: Se ejecuta en el Procesador de Aplicaciones de cada MP, responsable de la programación del sistema, la gestión de redundancia y el manejo de fallas.
Procesador IOCCOM: Gestiona los Buses de E/S y Comunicación, intercambiando datos con el MP vía Dual-Port RAM (DPRAM).
2. Software de aplicación
TriStation 1131: se utiliza para desarrollar software de aplicaciones relacionadas con la seguridad y admite lenguajes de programación de diagrama de bloques de funciones (FBD) y texto estructurado (ST).
Nivel de integridad del software (SIL4): Cumple con el estándar IEEE 1012-1998, adecuado para sistemas relacionados con la seguridad nuclear.
3. Funciones de prueba y mantenimiento en línea
Interruptor fuera de servicio (OOS): permite poner temporalmente fuera de servicio una función de protección específica para realizar pruebas o modificar parámetros sin afectar otras funciones de seguridad.
Función de derivación: un canal se puede derivar mediante interruptores de software o hardware para fines de mantenimiento o prueba.
Diagnóstico y alarmas: el sistema monitorea continuamente el estado de cada módulo y proporciona información detallada sobre fallas a través del MWS.
Escenarios de aplicación y ventajas
1. Sistema de protección de procesos de centrales nucleares (PPS)
Función: Supervisa los parámetros de la planta (como temperatura, presión, nivel de agua, etc.), los compara con los puntos de ajuste y activa el sistema de disparo del reactor (RTS) o el sistema de actuación de características de seguridad diseñadas (ESFAS) si se exceden los límites.
Separación de canales: Cuatro conjuntos de protección (I-IV) manejan diferentes funciones de seguridad respectivamente, garantizando redundancia e independencia.
2. Ventajas y características
Alta confiabilidad: la arquitectura TMR garantiza que no haya un único punto de falla.
Alta disponibilidad: admite reparación en línea e intercambio en caliente de módulos.
Flexibilidad: Admite varios tipos de E/S y protocolos de comunicación.
Seguridad: Cumple con las normas de seguridad nuclear (p. ej., 10 CFR 50 Apéndice B), RG 1.152 y otros requisitos.
Facilidad de mantenimiento: proporciona información de diagnóstico detallada y capacidades de monitoreo remoto.
Referencia: https://www.nrc.gov/docs/ML1131/ML11318A029.pdf
