System Triconex V10, opracowany przez firmę Invensys Operations Management (obecnie część Schneider Electric), to wysoce niezawodny i dostępny programowalny sterownik logiczny (PLC) z potrójną nadmiarowością modułów (TMR), szeroko stosowany w branżach o niezwykle wysokich wymaganiach w zakresie bezpieczeństwa i niezawodności, takich jak energetyka jądrowa, petrochemia i wytwarzanie energii. System ten został wybrany do projektu modernizacji systemu ochrony procesu (PPS) w elektrowni jądrowej Diablo Canyon firmy Pacific Gas & Electric Company (PG&E), zastępując oryginalny system bezpieczeństwa Westinghouse Eagle 21.
System Triconex V10 wykorzystuje architekturę Triple Modular Redundant (TMR) poprzez redundantną konstrukcję sprzętu i oprogramowania, zapewniając ciągłą pracę i niezawodną ochronę nawet w przypadku wystąpienia awarii jednego lub wielu punktów.
Podstawowe zasady architektury TMR
Trzon systemu Triconex stanowi architektura Triple Modular Redundant (TMR), która zapewnia niezwykle wysoką odporność na awarie i niezawodność systemu dzięki fizycznej izolacji, przetwarzaniu równoległemu i mechanizmom głosowania większością. Cały system składa się z trzech całkowicie niezależnych kanałów przetwarzania, z których każdy zawiera kompletny łańcuch przetwarzania sygnału: od wejścia sygnału czujnika, konwersji analogowo-cyfrowej, realizacji logiki sterującej przez główny procesor, aż do końcowego napędu wyjściowego. Te trzy kanały są całkowicie izolowane fizycznie i elektrycznie, co gwarantuje, że awaria któregokolwiek z kanałów nie wpłynie na normalne działanie pozostałych dwóch kanałów.
Na początku każdego cyklu skanowania trzy moduły procesora głównego synchronizują czas i wymieniają dane za pośrednictwem dedykowanej, szybkiej magistrali synchronicznej TriBus. Sam TriBus również został zaprojektowany z potrójną redundancją i zawiera trzy niezależne łącza komunikacji szeregowej, z których każde obsługuje jeden kanał głównego procesora. Taka konstrukcja gwarantuje, że nawet w przypadku awarii jednego łącza TriBus, pozostałe łącza będą nadal mogły utrzymywać komunikację systemową i funkcje synchronizacji. Po synchronizacji każdy procesor główny rozpoczyna odczytywanie danych wejściowych z odpowiedniego kanału. W przypadku cyfrowych sygnałów wejściowych system wykorzystuje sprzętowy mechanizm głosowania, w którym trzy kanały oddzielnie odczytują ten sam sygnał, a następnie ustalają ostateczną prawidłową wartość w drodze głosowania większością. Taka konstrukcja może automatycznie ekranować sygnały błędów spowodowane awarią kanału lub zakłóceniami zewnętrznymi.
W przypadku analogowych sygnałów wejściowych system do przetwarzania wykorzystuje algorytm wyboru mediany. Trzy kanały oddzielnie próbkują i wykonują konwersję sygnału analogowego na cyfrowy, następnie porównują wyniki trzech konwersji i wybierają wartość mediany jako prawidłowe wejście. Ta metoda przetwarzania skutecznie tłumi zakłócenia, unikając jednocześnie odchyleń sygnału spowodowanych awarią pojedynczego kanału. Po głosowaniu lub wybraniu wszystkich sygnałów wejściowych tworzona jest spójna tabela danych wejściowych dla trzech głównych procesorów w celu wykonania logiki sterującej.
Wykonanie programu sterującego jest całkowicie niezależne i równoległe w trzech kanałach. Każdy Procesor Główny na podstawie spójnych danych wejściowych realizuje ten sam algorytm sterujący i generuje wyniki wyjściowe. Dane wyjściowe muszą zostać poddane kolejnemu procesowi głosowania przed wysłaniem do modułów wyjściowych. Każdy procesor główny wysyła swoje dane wyjściowe do pozostałych dwóch procesorów głównych za pośrednictwem magistrali TriBus, a trzy procesory dokonują porównania i głosowania nad danymi wyjściowymi. Jeśli dane wyjściowe procesora są niezgodne z pozostałymi dwoma, system oznacza je jako wadliwy kanał, izoluje jego wyjście i pozwala pozostałym dwóm zdrowym kanałom na dalsze wykonywanie funkcji kontrolnej.
Moduły wyjściowe mają również konstrukcję potrójnie redundantną, przy czym każdy punkt wyjściowy jest sterowany przez trzy niezależne obwody wyjściowe. Moduły wyjściowe posiadają wbudowaną funkcjonalność Output Voter Diagnostics (OVD), zdolną do okresowego wykonywania wymuszonych testów na każdym punkcie wyjściowym. System sekwencyjnie wymusza na punktach wyjściowych stany pod napięciem i bez napięcia i wykrywa, czy reakcja wyjściowa jest normalna. Test ten można wykonać w czasie od 500 mikrosekund do 2 milisekund, zapewniając niezawodność obwodu wyjściowego. Wszystkie testy diagnostyczne przeprowadzane są w trybie TMR, gwarantującym 100% pokrycie detekcji usterek w przypadku dowolnej awarii pojedynczego punktu.
Odporność systemu na awarie osiąga się dzięki wielu warstwom mechanizmów diagnostycznych i ochronnych. Każdy moduł głównego procesora jest wyposażony w niezależne wykrywanie pamięci, monitorowanie zegara i liczniki czasu watchdog. Moduły we/wy mają również własne procesory i obwody nadzorujące do monitorowania wykonania oprogramowania sprzętowego i stanu komunikacji. Wszystkie systemy magistrali (TriBus, magistrala we/wy, magistrala komunikacyjna) mają konstrukcję potrójnie redundantną i posiadają funkcje ciągłego monitorowania integralności. Po wykryciu usterki system może automatycznie odizolować wadliwy element i powiadomić operatorów za pomocą lampek kontrolnych i sygnałów alarmowych. Wadliwe moduły można wymieniać podczas pracy systemu, umożliwiając prawdziwą naprawę online i maksymalizując dostępność systemu.
Skład i funkcje systemu
Architektura sprzętowa systemu Triconex V10 ma konstrukcję modułową, oferującą dobrą skalowalność i elastyczność. Każdy kompletny zestaw zabezpieczający składa się z trzech głównych komponentów: obudowy głównej, podstawowej zdalnej obudowy rozszerzającej związanej z bezpieczeństwem (podstawowej RXM) i zdalnej obudowy rozszerzającej niezwiązanej z bezpieczeństwem (zdalnej RXM). Ta hierarchiczna konstrukcja zapewnia niezawodność funkcji związanych z bezpieczeństwem, zapewniając jednocześnie możliwości interfejsu do komunikacji z systemami niezwiązanymi z bezpieczeństwem.
Główna obudowa to podstawowa jednostka przetwarzająca cały system, charakteryzująca się wytrzymałą konstrukcją klasy przemysłowej, wysoką odpornością na zakłócenia i możliwością dostosowania do środowiska. Po lewej stronie obudowy znajdują się dwa niezależne moduły zasilania skonfigurowane w trybie nadmiarowym; każdy może niezależnie zasilać całą obudowę. Zasilanie jest rozprowadzane wzdłuż środka płyty montażowej za pośrednictwem podwójnych szyn zasilających, przy czym każdy moduł pobiera energię z obu szyn za pośrednictwem podwójnych regulatorów mocy, co zapewnia niezawodność systemu zasilania. Bezpośrednio obok modułów zasilania znajdują się trzy moduły procesora głównego 3008N (MP A, B, C). Moduły te wykorzystują 32-bitowe mikroprocesory klasy bezpieczeństwa, każdy zawierający dwie jednostki przetwarzające: procesor aplikacji oraz kontroler we/wy i komunikacji (IOCCOM). Procesor aplikacji odpowiada za uruchomienie systemu operacyjnego ETSX i wykonanie aplikacji sterującej, natomiast procesor IOCCOM zarządza magistralą we/wy i magistralą komunikacyjną.
Pozostała część obudowy głównej jest podzielona na sześć logicznych gniazd do instalowania różnych modułów we/wy i modułów komunikacyjnych. Każde gniazdo logiczne zapewnia dwie pozycje fizyczne, jedną dla modułu aktywnego i drugą dla opcjonalnego modułu w trybie gotowości. Taka konstrukcja pozwala na wymianę uszkodzonych modułów bez zakłócania pracy systemu. Gniazdo modułu komunikacyjnego jest dedykowane i nie zapewnia pozycji gorącej gotowości. Wszystkie moduły łączą się z systemem magistrali płyty montażowej za pomocą precyzyjnych złączy płyty montażowej, zapewniając integralność i niezawodność sygnału.
Podstawowa zdalna obudowa rozszerzająca związana z bezpieczeństwem (podstawowa RXM) jest podłączona do obudowy głównej za pomocą potrójnie nadmiarowych kabli magistrali we/wy i służy do rozbudowy punktów we/wy związanych z bezpieczeństwem. Struktura obudowy RXM jest podobna do obudowy głównej, ale moduły RXM są instalowane w pozycjach głównego procesora. Moduły te odpowiadają za zarządzanie komunikacją i transmisją danych pomiędzy obudową rozszerzającą a obudową główną. Podstawowa obudowa RXM jest zwykle instalowana w pobliżu głównej obudowy i służy do umieszczenia modułów we/wy, które są związane z bezpieczeństwem, ale nie muszą być umieszczone w głównej obudowie.
Zdalna obudowa rozszerzająca niezwiązana z bezpieczeństwem (Remote RXM) jest podłączona do podstawowego RXM za pomocą wielomodowego światłowodu, zapewniając elektryczną i fizyczną izolację pomiędzy systemem bezpieczeństwa a systemami niezwiązanymi z bezpieczeństwem. W obudowie Remote RXM zastosowano moduły RXM serii 4200, które przekształcają sygnały magistrali we/wy opartej na miedzi na sygnały optyczne do transmisji przez światłowód. Każdy kanał magistrali we/wy (A, B, C) wymaga pary modułów 4200-4201 RXM i dwóch włókien światłowodowych (jeden nadawczy, jeden odbiorczy), co daje w sumie sześć włókien do połączenia podstawowej obudowy RXM i zdalnej obudowy RXM. Taka konstrukcja zapewnia pełną izolację elektryczną, skutecznie zapobiegając pętlom uziemienia i problemom z zakłóceniami elektromagnetycznymi, zapewniając jednocześnie integralność sygnału na długich dystansach.
Architektura magistrali systemu wykorzystuje wielopoziomową konstrukcję redundantną. TriBus to wewnętrzna, szybka magistrala łącząca trzy główne procesory, używana do synchronizacji danych, ładowania programów i głosowania krzyżowego. Magistrala we/wy to magistrala systemowa łącząca główne procesory z modułami we/wy, wykorzystująca protokół komunikacji szeregowej master-slave z szybkością transmisji 375 kbps. Magistrala komunikacyjna łączy procesory główne z modułami komunikacyjnymi z szybkością 2 Mb/s i służy do komunikacji z systemami zewnętrznymi. Wszystkie magistrale są potrójnie redundantne, a każda magistrala posiada niezależne mechanizmy wykrywania i izolowania usterek.
System zapewnia ścisłe gwarancje bezpieczeństwa w zakresie komunikacji i izolacji. Moduł komunikacyjny Tricon (TCM) to jedyny interfejs komunikacyjny certyfikowany do zastosowań związanych z bezpieczeństwem nuklearnym, zapewniający izolację elektryczną i danych. TCM wykorzystuje media światłowodowe do łączenia się z sieciami zewnętrznymi, zapewniając, że błędy komunikacji nie mają wpływu na realizację funkcji bezpieczeństwa. Stacja robocza konserwacji (MWS) komunikuje się z systemem Tricon poprzez TCM, używany do monitorowania stanu systemu, przeglądania informacji diagnostycznych i wykonywania modyfikacji parametrów. Wszelka komunikacja z systemami niezwiązanymi z bezpieczeństwem podlega ścisłej kontroli dostępu i audytom bezpieczeństwa, co gwarantuje, że integralność systemu bezpieczeństwa nie zostanie naruszona.
System oferuje szeroką gamę modułów we/wy, w tym między innymi wejście analogowe (AI), wyjście analogowe (AO), wejście cyfrowe (DI) i wyjście cyfrowe (DO). Każdy moduł we/wy ma konstrukcję potrójnie redundantną, z trzema całkowicie niezależnymi kanałami, każdy posiadający własny procesor i obwody diagnostyczne. Moduły wejść analogowych obsługują różne typy sygnałów, takie jak 4-20 mA, RTD i termopara, charakteryzując się wysoką precyzją i dużą odpornością na zakłócenia. Cyfrowe moduły wyjściowe wykorzystują technologię Output Voter Diagnostics (OVD), zdolną do okresowego testowania niezawodności każdego punktu wyjściowego. Wszystkie moduły we/wy obsługują funkcję wymiany podczas pracy, umożliwiając wymianę podczas pracy systemu, co znacznie zwiększa łatwość konserwacji i dostępność systemu.
Architektura oprogramowania
1. System operacyjny i oprogramowanie sprzętowe
System operacyjny ETSX: Działa na procesorze aplikacji każdego MP i jest odpowiedzialny za planowanie systemu, zarządzanie redundancją i obsługę błędów.
Procesor IOCCOM: zarządza wejściami/wyjściami i magistralami komunikacyjnymi, wymieniając dane z procesorem MP poprzez dwuportową pamięć RAM (DPRAM).
2. Oprogramowanie aplikacyjne
TriStation 1131: Używana do tworzenia oprogramowania aplikacyjnego związanego z bezpieczeństwem, obsługująca zarówno języki programowania oparte na diagramie bloków funkcyjnych (FBD), jak i tekście strukturalnym (ST).
Poziom integralności oprogramowania (SIL4): Zgodny ze standardem IEEE 1012-1998, odpowiedni dla systemów związanych z bezpieczeństwem nuklearnym.
3. Funkcje konserwacji i testowania online
Przełącznik przerwy w działaniu (OOS): umożliwia tymczasowe wyłączenie określonej funkcji zabezpieczającej w celu przetestowania lub modyfikacji parametrów bez wpływu na inne funkcje bezpieczeństwa.
Funkcja obejścia: Kanał można ominąć za pomocą przełączników programowych lub sprzętowych w celach konserwacyjnych lub testowych.
Diagnostyka i alarmowanie: System stale monitoruje stan każdego modułu i dostarcza szczegółowych informacji o usterkach za pośrednictwem MWS.
Scenariusze zastosowań i zalety
1. System Zabezpieczenia Procesu Elektrowni Jądrowej (PPS)
Funkcja: Monitoruje parametry instalacji (takie jak temperatura, ciśnienie, poziom wody itp.), porównuje je z wartościami zadanymi i uruchamia system wyzwalania reaktora (RTS) lub system uruchamiania technicznych funkcji bezpieczeństwa (ESFAS), jeśli przekroczone zostaną limity.
Separacja kanałów: Cztery zestawy zabezpieczeń (I–IV) obsługują odpowiednio różne funkcje bezpieczeństwa, zapewniając redundancję i niezależność.
2. Zalety i funkcje
Wysoka niezawodność: architektura TMR nie gwarantuje braku pojedynczego punktu awarii.
Wysoka dostępność: obsługuje naprawę online i wymianę modułów podczas pracy.
Elastyczność: obsługuje różne typy wejść/wyjść i protokoły komunikacyjne.
Bezpieczeństwo: Zgodny z przepisami bezpieczeństwa nuklearnego (np. 10 CFR 50 Załącznik B), RG 1.152 i innymi wymaganiami.
Łatwość konserwacji: Zapewnia szczegółowe informacje diagnostyczne i możliwości zdalnego monitorowania.
Odniesienie: https://www.nrc.gov/docs/ML1131/ML11318A029.pdf
