O sistema Triconex V10, desenvolvido pela Invensys Operations Management (agora parte da Schneider Electric), é um controlador lógico programável (PLC) triplo modular redundante (TMR) altamente confiável e disponível, amplamente utilizado em indústrias com requisitos de segurança e confiabilidade extremamente elevados, como energia nuclear, petroquímica e geração de energia. Este sistema foi selecionado para o projeto de atualização do Sistema de Proteção de Processo (PPS) na Usina Nuclear Diablo Canyon da Pacific Gas & Electric Company (PG&E), substituindo o sistema de segurança Westinghouse Eagle 21 original.
O sistema Triconex V10 emprega uma arquitetura Triple Modular Redundant (TMR) por meio de design redundante de hardware e software, garantindo operação contínua e proteção confiável mesmo quando ocorrem falhas de ponto único ou múltiplo.
Princípios Básicos da Arquitetura TMR
O núcleo do sistema Triconex é sua arquitetura Triple Modular Redundant (TMR), que atinge tolerância a falhas e confiabilidade do sistema extremamente altas por meio de isolamento físico, processamento paralelo e mecanismos de votação majoritária. Todo o sistema consiste em três canais de processamento completamente independentes, cada um contendo uma cadeia completa de processamento de sinal: desde a entrada do sinal do sensor, conversão analógica/digital, execução da lógica de controle pelo processador principal até o acionamento de saída final. Esses três canais são completamente isolados física e eletricamente, garantindo que uma falha em qualquer canal não afete a operação normal dos outros dois canais.
No início de cada ciclo de varredura, os três módulos do processador principal sincronizam o tempo e trocam dados através do barramento síncrono de alta velocidade TriBus dedicado. O próprio TriBus também é projetado com redundância tripla, contendo três links de comunicação serial independentes, cada um servindo especificamente a um canal do Processador Principal. Este projeto garante que mesmo se um link TriBus falhar, os links restantes ainda poderão manter a comunicação do sistema e as funções de sincronização. Após a sincronização, cada Processador Principal começa a ler os dados de entrada do seu canal correspondente. Para sinais de entrada digital, o sistema utiliza um mecanismo de votação de hardware onde três canais leem o mesmo sinal separadamente e, em seguida, determinam o valor final válido através de votação por maioria. Este design pode proteger automaticamente sinais de erro causados por falhas de canal ou interferência externa.
Para sinais de entrada analógicos, o sistema utiliza um algoritmo de seleção de mediana para processamento. Três canais amostram separadamente e realizam conversão analógico-digital no sinal analógico, depois comparam os três resultados de conversão e selecionam o valor mediano como entrada válida. Este método de processamento suprime efetivamente a interferência de ruído, evitando desvios de sinal causados por falhas em um único canal. Depois que todos os sinais de entrada forem votados ou selecionados, uma tabela de dados de entrada consistente é formada para os três Processadores Principais executarem a lógica de controle.
A execução do programa de controle é completamente independente e paralela nos três canais. Cada Processador Principal, baseado em dados de entrada consistentes, executa o mesmo algoritmo de controle e gera resultados de saída. Os dados de saída devem passar por outro processo de votação antes de serem enviados aos módulos de saída. Cada Processador Principal envia seus dados de saída para os outros dois Processadores Principais através do TriBus, e os três processadores comparam e votam nos dados de saída. Se os dados de saída de um processador forem inconsistentes com os outros dois, o sistema marca-o como um canal defeituoso, isola sua saída e permite que os dois canais íntegros restantes continuem executando a função de controle.
Os módulos de saída também adotam um design triplo redundante, com cada ponto de saída acionado por três circuitos de saída independentes. Os módulos de saída possuem funcionalidade integrada de Output Voter Diagnostics (OVD), capaz de realizar periodicamente testes forçados em cada ponto de saída. O sistema força sequencialmente os pontos de saída para estados energizados e desenergizados e detecta se a resposta de saída é normal. Este teste pode ser concluído em 500 microssegundos a 2 milissegundos, garantindo a confiabilidade do circuito de saída. Todos os testes de diagnóstico são realizados no modo TMR, garantindo 100% de cobertura de detecção de falhas sob qualquer condição de falha de ponto único.
A tolerância a falhas do sistema é alcançada através de múltiplas camadas de mecanismos de diagnóstico e proteção. Cada módulo do processador principal é equipado com detecção de memória independente, monitoramento de relógio e temporizadores de vigilância. Os módulos de E/S também possuem seus próprios processadores e circuitos de vigilância para monitorar a execução do firmware e o status da comunicação. Todos os sistemas de barramento (TriBus, Barramento de E/S, Barramento de Comunicação) adotam um design triplo redundante e possuem funções de monitoramento contínuo de integridade. Quando uma falha é detectada, o sistema pode isolar automaticamente o componente defeituoso e notificar os operadores através de luzes indicadoras e sinais de alarme. Módulos defeituosos podem ser substituídos enquanto o sistema está em execução, permitindo um verdadeiro reparo on-line e maximizando a disponibilidade do sistema.
Composição e funções do sistema
A arquitetura de hardware do sistema Triconex V10 adota um design modular, oferecendo boa escalabilidade e flexibilidade. Cada conjunto de proteção completo consiste em três componentes principais: o chassi principal, o chassi de expansão remota primário relacionado à segurança (RXM primário) e o chassi de expansão remota não relacionado à segurança (RXM remoto). Este design hierárquico garante a confiabilidade das funções relacionadas à segurança, ao mesmo tempo que fornece recursos de interface para comunicação com sistemas não relacionados à segurança.
O chassi principal é a unidade central de processamento de todo o sistema, apresentando um design robusto de nível industrial com alta imunidade a interferências e adaptabilidade ambiental. Na extremidade esquerda do chassi estão dois módulos de fonte de alimentação independentes configurados em redundância; cada um pode alimentar de forma independente todo o chassi. A energia é distribuída ao longo do centro do backplane através de barramentos de alimentação duplos, com cada módulo extraindo energia de ambos os barramentos por meio de reguladores de potência duplos, garantindo a confiabilidade do sistema de alimentação. Imediatamente adjacentes aos módulos de alimentação estão três módulos do processador principal 3008N (MP A, B, C). Esses módulos usam microprocessadores de grau de segurança de 32 bits, cada um contendo duas unidades de processamento: um processador de aplicativos e um controlador de E/S e comunicações (IOCCOM). O Processador de Aplicação é responsável por executar o sistema operacional ETSX e executar a aplicação de controle, enquanto o processador IOCCOM gerencia o Barramento de E/S e o Barramento de Comunicação.
O restante do chassi principal é dividido em seis slots lógicos para instalação de vários módulos de E/S e módulos de comunicação. Cada slot lógico fornece duas posições físicas, uma para o módulo ativo e outra para um módulo hot-standby opcional. Este design permite a substituição de módulos defeituosos sem interromper a operação do sistema. O slot do módulo de comunicação é dedicado e não fornece uma posição de espera ativa. Todos os módulos se conectam ao sistema de barramento do backplane por meio de conectores de precisão do backplane, garantindo integridade e confiabilidade do sinal.
O chassi de expansão remota primário relacionado à segurança (RXM primário) é conectado ao chassi principal por meio de cabos de barramento de E/S com redundância tripla e é usado para expandir pontos de E/S relacionados à segurança. A estrutura do chassi RXM é semelhante à do chassi principal, mas os módulos RXM são instalados nas posições do processador principal. Estes módulos são responsáveis por gerenciar a comunicação e transmissão de dados entre o chassi de expansão e o chassi principal. O chassi RXM primário normalmente é instalado próximo ao chassi principal e é usado para acomodar módulos de E/S relacionados à segurança, mas que não precisam estar localizados no chassi principal.
O chassi de expansão remota não relacionado à segurança (RXM remoto) é conectado ao RXM primário por meio de fibra óptica multimodo, fornecendo isolamento elétrico e físico entre o sistema de segurança e os sistemas não seguros. O chassi Remote RXM usa módulos RXM da série 4200, que convertem sinais de barramento de E/S baseados em cobre em sinais ópticos para transmissão por fibra. Cada canal de barramento de E/S (A, B, C) requer um par de módulos 4200-4201 RXM e duas fibras (uma de transmissão, uma de recepção), totalizando seis fibras para conectar o chassi RXM Primário e RXM Remoto. Este design fornece isolamento elétrico completo, evitando efetivamente loops de aterramento e problemas de interferência eletromagnética, ao mesmo tempo que garante a integridade do sinal em longas distâncias.
A arquitetura de barramento do sistema emprega um design redundante de vários níveis. O TriBus é um barramento interno de alta velocidade que conecta os três processadores principais, usado para sincronização de dados, carregamento de programas e votação cruzada. O Barramento de E/S é um barramento de sistema que conecta os Processadores Principais aos módulos de E/S, utilizando um protocolo de comunicação serial mestre-escravo com taxa de transmissão de 375 kbps. O Barramento de Comunicação conecta os Processadores Principais aos módulos de comunicação a uma taxa de 2 Mbps e é utilizado para comunicação com sistemas externos. Todos os barramentos são triplamente redundantes, com cada barramento possuindo mecanismos independentes de detecção e isolamento de falhas.
Em termos de comunicação e isolamento, o sistema oferece garantias rigorosas de segurança. O Módulo de Comunicação Tricon (TCM) é a única interface de comunicação certificada para aplicações de segurança nuclear, fornecendo isolamento elétrico e de dados. O TCM utiliza meios de fibra óptica para se conectar a redes externas, garantindo que erros de comunicação não afetem a execução das funções de segurança. A Estação de Trabalho de Manutenção (MWS) se comunica com o sistema Tricon através do TCM, usado para monitorar o status do sistema, visualizar informações de diagnóstico e realizar modificações de parâmetros. Toda a comunicação com sistemas não seguros passa por rigoroso controle de acesso e auditoria de segurança, garantindo que a integridade do sistema de segurança não seja comprometida.
O sistema oferece uma rica variedade de módulos de E/S, incluindo Entrada Analógica (AI), Saída Analógica (AO), Entrada Digital (DI) e Saída Digital (DO), entre outros. Cada módulo de E/S adota um design triplo redundante, com três canais completamente independentes, cada um com seu próprio processador e circuitos de diagnóstico. Os módulos de entrada analógica suportam vários tipos de sinais, como 4-20mA, RTD e termopar, apresentando alta precisão e alta imunidade a ruídos. Os módulos de saída digital utilizam a tecnologia Output Voter Diagnostics (OVD), capaz de testar periodicamente a confiabilidade de cada ponto de saída. Todos os módulos de E/S suportam a funcionalidade de troca a quente, permitindo a substituição enquanto o sistema está em execução, melhorando significativamente a capacidade de manutenção e a disponibilidade do sistema.
Arquitetura de Software
1. Sistema operacional e firmware
Sistema Operacional ETSX: É executado no Processador de Aplicativos de cada MP, responsável pelo agendamento do sistema, gerenciamento de redundância e tratamento de falhas.
Processador IOCCOM: Gerencia os barramentos de E/S e comunicação, trocando dados com o MP via RAM de porta dupla (DPRAM).
2. Software aplicativo
TriStation 1131: Usado para desenvolver software aplicativo relacionado à segurança, suportando linguagens de programação de Diagrama de Blocos Funcionais (FBD) e Texto Estruturado (ST).
Nível de integridade de software (SIL4): Em conformidade com o padrão IEEE 1012-1998, adequado para sistemas relacionados à segurança nuclear.
3. Funções de manutenção e teste on-line
Chave fora de serviço (OOS): Permite que uma função de proteção específica seja temporariamente retirada de serviço para teste ou modificação de parâmetros sem afetar outras funções de segurança.
Função Bypass: Um canal pode ser bypassado através de switches de software ou hardware para fins de manutenção ou teste.
Diagnóstico e Alarme: O sistema monitora continuamente o status de cada módulo e fornece informações detalhadas sobre falhas através do MWS.
Cenários e vantagens de aplicativos
1. Sistema de Proteção de Processos de Usinas Nucleares (PPS)
Função: Monitora os parâmetros da planta (como temperatura, pressão, nível de água, etc.), compara-os com os pontos de ajuste e aciona o Reactor Trip System (RTS) ou o Engineered Safety Features Actuation System (ESFAS) se os limites forem excedidos.
Separação de canais: Quatro conjuntos de proteção (I–IV) lidam com diferentes funções de segurança respectivamente, garantindo redundância e independência.
2. Vantagens e recursos
Alta Confiabilidade: A arquitetura TMR garante nenhum ponto único de falha.
Alta disponibilidade: Suporta reparo on-line e troca a quente de módulos.
Flexibilidade: Suporta vários tipos de E/S e protocolos de comunicação.
Segurança: Cumpre os regulamentos de segurança nuclear (por exemplo, 10 CFR 50 Apêndice B), RG 1.152 e outros requisitos.
Facilidade de Manutenção: Fornece informações detalhadas de diagnóstico e recursos de monitoramento remoto.
Referência: https://www.nrc.gov/docs/ML1131/ML11318A029.pdf
