Il sistema Triconex V10, sviluppato da Invensys Operations Management (ora parte di Schneider Electric), è un controller logico programmabile (PLC) a tripla ridondanza modulare (TMR) altamente affidabile e disponibile ampiamente utilizzato in settori con requisiti di sicurezza e affidabilità estremamente elevati come l'energia nucleare, petrolchimica e di produzione di energia. Questo sistema è stato selezionato per il progetto di aggiornamento del Process Protection System (PPS) presso la centrale nucleare di Diablo Canyon della Pacific Gas & Electric Company (PG&E), in sostituzione del sistema di sicurezza originale Westinghouse Eagle 21.
Il sistema Triconex V10 utilizza un'architettura Triple Modular Redundant (TMR) attraverso una progettazione hardware e software ridondante, garantendo un funzionamento continuo e una protezione affidabile anche quando si verificano guasti singoli o multipli.
Principi di base dell'architettura TMR
Il cuore del sistema Triconex è la sua architettura Triple Modular Redundant (TMR), che raggiunge una tolleranza ai guasti estremamente elevata e un'affidabilità del sistema estremamente elevata attraverso l'isolamento fisico, l'elaborazione parallela e i meccanismi di voto a maggioranza. L'intero sistema è costituito da tre canali di elaborazione completamente indipendenti, ciascuno contenente una catena completa di elaborazione del segnale: dall'ingresso del segnale del sensore, conversione analogico/digitale, esecuzione della logica di controllo da parte del processore principale, fino all'azionamento dell'uscita finale. Questi tre canali sono completamente isolati sia fisicamente che elettricamente, garantendo che un guasto in uno qualsiasi dei canali non influenzi il normale funzionamento degli altri due canali.
All'inizio di ogni ciclo di scansione, i tre moduli del processore principale sincronizzano l'ora e scambiano i dati attraverso il bus sincrono ad alta velocità TriBus dedicato. Il TriBus stesso è inoltre progettato con tripla ridondanza, contenente tre collegamenti di comunicazione seriale indipendenti, ciascuno dei quali serve specificatamente un canale del processore principale. Questo design garantisce che anche se un collegamento TriBus si guasta, i collegamenti rimanenti possono comunque mantenere le funzioni di comunicazione e sincronizzazione del sistema. Dopo la sincronizzazione, ciascun processore principale inizia a leggere i dati di ingresso dal canale corrispondente. Per i segnali di ingresso digitali, il sistema utilizza un meccanismo di votazione hardware in cui tre canali leggono separatamente lo stesso segnale, quindi determinano il valore finale valido attraverso la votazione a maggioranza. Questo design può schermare automaticamente i segnali di errore causati da guasti del canale o interferenze esterne.
Per i segnali di ingresso analogici, il sistema utilizza un algoritmo di selezione mediana per l'elaborazione. Tre canali campionano separatamente ed eseguono la conversione da analogico a digitale sul segnale analogico, quindi confrontano i tre risultati della conversione e selezionano il valore mediano come input valido. Questo metodo di elaborazione sopprime efficacemente le interferenze del rumore evitando deviazioni del segnale causate da guasti in un singolo canale. Dopo che tutti i segnali di ingresso sono stati votati o selezionati, viene formata una tabella di dati di ingresso coerente affinché i tre processori principali eseguano la logica di controllo.
L'esecuzione del programma di controllo è completamente indipendente e parallela sui tre canali. Ciascun processore principale, sulla base di dati di input coerenti, esegue lo stesso algoritmo di controllo e genera risultati di output. I dati di output devono essere sottoposti ad un altro processo di votazione prima di essere inviati ai moduli di output. Ciascun processore principale invia i propri dati di output agli altri due processori principali tramite TriBus, e i tre processori confrontano e votano i dati di output. Se i dati di output di un processore non sono coerenti con gli altri due, il sistema lo contrassegna come canale difettoso, ne isola l'output e consente ai restanti due canali sani di continuare a svolgere la funzione di controllo.
I moduli di uscita adottano inoltre un design a tripla ridondanza, con ciascun punto di uscita pilotato da tre circuiti di uscita indipendenti. I moduli di uscita dispongono della funzionalità Output Voter Diagnostics (OVD) integrata, in grado di eseguire periodicamente test forzati su ciascun punto di uscita. Il sistema forza in sequenza i punti di uscita allo stato eccitato e diseccitato e rileva se la risposta dell'uscita è normale. Questo test può essere completato in un tempo compreso tra 500 microsecondi e 2 millisecondi, garantendo l'affidabilità del circuito di uscita. Tutti i test diagnostici sono condotti in modalità TMR, garantendo una copertura del rilevamento guasti del 100% in qualsiasi condizione di guasto singolo punto.
La tolleranza agli errori del sistema si ottiene attraverso più livelli di meccanismi diagnostici e di protezione. Ciascun modulo del processore principale è dotato di rilevamento della memoria indipendente, monitoraggio dell'orologio e timer watchdog. I moduli I/O dispongono inoltre di propri processori e circuiti watchdog per monitorare l'esecuzione del firmware e lo stato della comunicazione. Tutti i sistemi bus (TriBus, I/O Bus, Communication Bus) adottano un design a tripla ridondanza e dispongono di funzioni di monitoraggio continuo dell'integrità. Quando viene rilevato un guasto, il sistema può isolare automaticamente il componente difettoso e avvisare gli operatori tramite spie luminose e segnali di allarme. I moduli difettosi possono essere sostituiti mentre il sistema è in funzione, consentendo una vera riparazione online e massimizzando la disponibilità del sistema.
Composizione e funzioni del sistema
L'architettura hardware del sistema Triconex V10 adotta un design modulare, offrendo buona scalabilità e flessibilità. Ciascun set di protezione completo è costituito da tre componenti principali: lo chassis principale, lo chassis di espansione remoto primario relativo alla sicurezza (RXM primario) e lo chassis di espansione remoto non correlato alla sicurezza (RXM remoto). Questa progettazione gerarchica garantisce l'affidabilità delle funzioni legate alla sicurezza fornendo al contempo funzionalità di interfaccia per la comunicazione con sistemi non di sicurezza.
Il telaio principale è l'unità di elaborazione principale dell'intero sistema, caratterizzato da un design robusto di livello industriale con elevata immunità alle interferenze e adattabilità ambientale. All'estrema sinistra dello chassis sono presenti due moduli di alimentazione indipendenti configurati in ridondanza; ciascuno può alimentare in modo indipendente l'intero telaio. L'alimentazione viene distribuita lungo il centro del backplane tramite doppi binari di alimentazione, con ciascun modulo che assorbe energia da entrambi i binari tramite doppi regolatori di alimentazione, garantendo l'affidabilità del sistema di alimentazione. Immediatamente adiacenti ai moduli di alimentazione vi sono tre moduli processore principale 3008N (MP A, B, C). Questi moduli utilizzano microprocessori di sicurezza a 32 bit, ciascuno contenente due unità di elaborazione: un processore applicativo e un controller I/O e comunicazioni (IOCCOM). Il processore dell'applicazione è responsabile dell'esecuzione del sistema operativo ETSX e dell'esecuzione dell'applicazione di controllo, mentre il processore IOCCOM gestisce il bus I/O e il bus di comunicazione.
La parte restante dello chassis principale è divisa in sei slot logici per l'installazione di vari moduli I/O e moduli di comunicazione. Ciascuno slot logico fornisce due posizioni fisiche, una per il modulo attivo e un'altra per un modulo hot-standby opzionale. Questo design consente la sostituzione dei moduli difettosi senza interrompere il funzionamento del sistema. Lo slot del modulo di comunicazione è dedicato e non fornisce una posizione hot standby. Tutti i moduli si collegano al sistema bus backplane tramite connettori backplane di precisione, garantendo l'integrità e l'affidabilità del segnale.
Lo chassis di espansione remoto primario di sicurezza (RXM primario) è collegato allo chassis principale tramite cavi bus I/O a tripla ridondanza e viene utilizzato per espandere i punti I/O di sicurezza. La struttura dello chassis RXM è simile allo chassis principale, ma i moduli RXM sono installati nelle posizioni del processore principale. Questi moduli sono responsabili della gestione della comunicazione e della trasmissione dei dati tra lo chassis di espansione e lo chassis principale. Lo chassis RXM primario viene generalmente installato vicino allo chassis principale e viene utilizzato per ospitare moduli I/O legati alla sicurezza ma che non necessitano di essere posizionati nello chassis principale.
Lo chassis di espansione remoto non correlato alla sicurezza (RXM remoto) è collegato al RXM primario tramite fibra ottica multimodale, fornendo isolamento elettrico e fisico tra il sistema di sicurezza e i sistemi non di sicurezza. Lo chassis RXM remoto utilizza moduli RXM serie 4200, che convertono i segnali del bus I/O basati su rame in segnali ottici per la trasmissione su fibra. Ciascun canale del bus I/O (A, B, C) richiede una coppia di moduli RXM 4200-4201 e due fibre (una di trasmissione, una di ricezione), per un totale di sei fibre per collegare lo chassis RXM primario e RXM remoto. Questo design fornisce un isolamento elettrico completo, prevenendo efficacemente loop di terra e problemi di interferenza elettromagnetica, garantendo al tempo stesso l'integrità del segnale su lunghe distanze.
L'architettura bus del sistema utilizza un design ridondante multilivello. Il TriBus è un bus interno ad alta velocità che collega i tre processori principali, utilizzato per la sincronizzazione dei dati, il caricamento dei programmi e il voto incrociato. Il bus I/O è un bus di sistema che collega i processori principali ai moduli I/O, utilizzando un protocollo di comunicazione seriale master-slave con una velocità di trasmissione di 375 kbps. Il bus di comunicazione collega i processori principali ai moduli di comunicazione a una velocità di 2 Mbps e viene utilizzato per la comunicazione con sistemi esterni. Tutti i bus sono a tripla ridondanza, ciascuno dei quali è dotato di meccanismi indipendenti di rilevamento e isolamento dei guasti.
In termini di comunicazione e isolamento, il sistema offre rigorose garanzie di sicurezza. Il modulo di comunicazione Tricon (TCM) è l'unica interfaccia di comunicazione certificata per applicazioni di sicurezza nucleare, che fornisce isolamento elettrico e dei dati. Il TCM utilizza supporti in fibra ottica per connettersi a reti esterne, garantendo che gli errori di comunicazione non influenzino l'esecuzione delle funzioni di sicurezza. La workstation di manutenzione (MWS) comunica con il sistema Tricon tramite il TCM, utilizzato per monitorare lo stato del sistema, visualizzare informazioni diagnostiche ed eseguire modifiche ai parametri. Tutte le comunicazioni con sistemi non di sicurezza sono sottoposte a severi controlli di accesso e audit di sicurezza, garantendo che l'integrità del sistema di sicurezza non sia compromessa.
Il sistema offre una ricca varietà di moduli I/O, tra cui ingresso analogico (AI), uscita analogica (AO), ingresso digitale (DI) e uscita digitale (DO), tra gli altri. Ciascun modulo I/O adotta un design a tripla ridondanza, con tre canali completamente indipendenti, ciascuno dotato del proprio processore e circuiti diagnostici. I moduli di ingresso analogici supportano vari tipi di segnale come 4-20 mA, RTD e termocoppia, garantendo alta precisione ed elevata immunità al rumore. I moduli di uscita digitali utilizzano la tecnologia Output Voter Diagnostics (OVD), in grado di testare periodicamente l'affidabilità di ciascun punto di uscita. Tutti i moduli I/O supportano la funzionalità hot-swap, consentendo la sostituzione mentre il sistema è in funzione, migliorando notevolmente la manutenibilità e la disponibilità del sistema.
Architettura del software
1. Sistema operativo e firmware
Sistema operativo ETSX: viene eseguito sul processore applicativo di ciascun MP, responsabile della pianificazione del sistema, della gestione della ridondanza e della gestione degli errori.
Processore IOCCOM: gestisce gli I/O e i bus di comunicazione, scambiando dati con l'MP tramite Dual-Port RAM (DPRAM).
2. Software applicativo
TriStation 1131: utilizzato per lo sviluppo di software applicativo relativo alla sicurezza, che supporta sia i linguaggi di programmazione con diagramma a blocchi funzione (FBD) che testo strutturato (ST).
Livello di integrità del software (SIL4): conforme allo standard IEEE 1012-1998, adatto per sistemi legati alla sicurezza nucleare.
3. Funzioni di manutenzione e test in linea
Interruttore fuori servizio (OOS): consente di mettere temporaneamente fuori servizio una funzione di protezione specifica per test o modifica dei parametri senza influenzare altre funzioni di sicurezza.
Funzione di bypass: un canale può essere bypassato tramite interruttori software o hardware per scopi di manutenzione o test.
Diagnostica e allarmi: il sistema monitora continuamente lo stato di ciascun modulo e fornisce informazioni dettagliate sui guasti tramite MWS.
Scenari applicativi e vantaggi
1. Sistema di protezione del processo delle centrali nucleari (PPS)
Funzione: monitora i parametri dell'impianto (come temperatura, pressione, livello dell'acqua, ecc.), li confronta con i setpoint e attiva il Reactor Trip System (RTS) o l'Engineered Safety Features Actuation System (ESFAS) se i limiti vengono superati.
Separazione dei canali: quattro set di protezione (I–IV) gestiscono rispettivamente diverse funzioni di sicurezza, garantendo ridondanza e indipendenza.
2. Vantaggi e caratteristiche
Elevata affidabilità: l'architettura TMR non garantisce l'assenza di singoli punti di errore.
Elevata disponibilità: supporta la riparazione online e la sostituzione a caldo dei moduli.
Flessibilità: supporta vari tipi di I/O e protocolli di comunicazione.
Sicurezza: conforme alle norme sulla sicurezza nucleare (ad esempio, 10 CFR 50 Appendice B), RG 1.152 e altri requisiti.
Facilità di manutenzione: fornisce informazioni diagnostiche dettagliate e funzionalità di monitoraggio remoto.
Riferimento: https://www.nrc.gov/docs/ML1131/ML11318A029.pdf
