Hệ thống Triconex V10, được phát triển bởi Invensys Operations Management (hiện là một phần của Schneider Electric), là Bộ điều khiển logic lập trình (PLC) dự phòng ba mô-đun (TMR) có độ tin cậy cao và sẵn có được sử dụng rộng rãi trong các ngành công nghiệp có yêu cầu về độ an toàn và độ tin cậy cực cao như năng lượng hạt nhân, hóa dầu và sản xuất điện. Hệ thống này đã được chọn cho dự án nâng cấp Hệ thống Bảo vệ Quy trình (PPS) tại Nhà máy Điện Hạt nhân Diablo Canyon của Pacific Gas & Electric Company (PG&E), thay thế hệ thống an toàn Westinghouse Eagle 21 ban đầu.
Hệ thống Triconex V10 sử dụng kiến trúc Dự phòng ba mô-đun (TMR) thông qua thiết kế phần cứng và phần mềm dự phòng, đảm bảo hoạt động liên tục và bảo vệ đáng tin cậy ngay cả khi xảy ra lỗi một hoặc nhiều điểm.
Nguyên tắc cơ bản của kiến trúc TMR
Cốt lõi của hệ thống Triconex là kiến trúc Ba mô-đun dự phòng (TMR), đạt được khả năng chịu lỗi cực cao và độ tin cậy của hệ thống thông qua cách ly vật lý, xử lý song song và cơ chế biểu quyết đa số. Toàn bộ hệ thống bao gồm ba kênh xử lý hoàn toàn độc lập, mỗi kênh chứa một chuỗi xử lý tín hiệu hoàn chỉnh: từ đầu vào tín hiệu cảm biến, chuyển đổi analog/kỹ thuật số, thực thi logic điều khiển của bộ xử lý chính, đến ổ đĩa đầu ra cuối cùng. Ba kênh này được cách ly hoàn toàn cả về vật lý và điện, đảm bảo rằng sự cố ở bất kỳ kênh nào cũng không ảnh hưởng đến hoạt động bình thường của hai kênh còn lại.
Vào đầu mỗi chu kỳ quét, ba mô-đun Bộ xử lý chính sẽ đồng bộ hóa thời gian và trao đổi dữ liệu thông qua bus đồng bộ tốc độ cao TriBus chuyên dụng. Bản thân TriBus cũng được thiết kế với ba liên kết dự phòng, chứa ba liên kết truyền thông nối tiếp độc lập, mỗi liên kết phục vụ riêng cho một kênh Bộ xử lý Chính. Thiết kế này đảm bảo rằng ngay cả khi một liên kết TriBus bị lỗi thì các liên kết còn lại vẫn có thể duy trì chức năng liên lạc và đồng bộ hóa hệ thống. Sau khi đồng bộ hóa, mỗi Bộ xử lý chính bắt đầu đọc dữ liệu đầu vào từ kênh tương ứng của nó. Đối với tín hiệu đầu vào kỹ thuật số, hệ thống sử dụng cơ chế biểu quyết phần cứng trong đó ba kênh đọc riêng một tín hiệu, sau đó xác định giá trị hợp lệ cuối cùng thông qua biểu quyết đa số. Thiết kế này có thể tự động che chắn các tín hiệu lỗi do lỗi kênh hoặc nhiễu bên ngoài.
Đối với tín hiệu đầu vào analog, hệ thống sử dụng thuật toán chọn trung vị để xử lý. Ba kênh lấy mẫu riêng biệt và thực hiện chuyển đổi tương tự sang số trên tín hiệu tương tự, sau đó so sánh ba kết quả chuyển đổi và chọn giá trị trung bình làm đầu vào hợp lệ. Phương pháp xử lý này ngăn chặn nhiễu một cách hiệu quả đồng thời tránh sai lệch tín hiệu do lỗi trên một kênh. Sau khi tất cả các tín hiệu đầu vào được biểu quyết hoặc chọn, một bảng dữ liệu đầu vào nhất quán sẽ được hình thành để ba Bộ xử lý chính thực hiện logic điều khiển.
Việc thực hiện chương trình điều khiển hoàn toàn độc lập và song song trên ba kênh. Mỗi Bộ xử lý chính, dựa trên dữ liệu đầu vào nhất quán, thực thi cùng một thuật toán điều khiển và tạo ra kết quả đầu ra. Dữ liệu đầu ra phải trải qua một quá trình bỏ phiếu khác trước khi được gửi đến các mô-đun đầu ra. Mỗi Bộ xử lý chính gửi dữ liệu đầu ra của mình đến hai Bộ xử lý chính còn lại thông qua TriBus và ba bộ xử lý sẽ so sánh chéo và bỏ phiếu về dữ liệu đầu ra. Nếu dữ liệu đầu ra của bộ xử lý không nhất quán với hai kênh còn lại, hệ thống sẽ đánh dấu kênh đó là kênh bị lỗi, cách ly đầu ra của nó và cho phép hai kênh khỏe mạnh còn lại tiếp tục thực hiện chức năng điều khiển.
Các mô-đun đầu ra cũng áp dụng thiết kế dự phòng ba, với mỗi điểm đầu ra được điều khiển bởi ba mạch đầu ra độc lập. Các mô-đun đầu ra có chức năng Chẩn đoán cử tri đầu ra (OVD) tích hợp sẵn, có khả năng thực hiện định kỳ các bài kiểm tra bắt buộc trên mỗi điểm đầu ra. Hệ thống tuần tự buộc các điểm đầu ra ở trạng thái có điện và không có điện, đồng thời phát hiện xem phản hồi đầu ra có bình thường hay không. Thử nghiệm này có thể được hoàn thành trong vòng 500 micro giây đến 2 mili giây, đảm bảo độ tin cậy của mạch đầu ra. Tất cả các thử nghiệm chẩn đoán đều được tiến hành ở chế độ TMR, đảm bảo phạm vi phát hiện lỗi 100% trong bất kỳ điều kiện lỗi một điểm nào.
Khả năng chịu lỗi của hệ thống đạt được thông qua nhiều lớp cơ chế chẩn đoán và bảo vệ. Mỗi mô-đun Bộ xử lý chính được trang bị tính năng phát hiện bộ nhớ, giám sát đồng hồ và bộ hẹn giờ theo dõi độc lập. Các mô-đun I/O cũng có bộ xử lý và mạch giám sát riêng để giám sát trạng thái liên lạc và thực thi chương trình cơ sở. Tất cả các hệ thống bus (TriBus, I/O Bus, Communication Bus) đều áp dụng thiết kế dự phòng ba lớp và có chức năng giám sát tính toàn vẹn liên tục. Khi phát hiện lỗi, hệ thống có thể tự động cách ly bộ phận bị lỗi và thông báo cho người vận hành thông qua đèn báo và tín hiệu cảnh báo. Các mô-đun bị lỗi có thể được thay thế trong khi hệ thống đang chạy, cho phép sửa chữa trực tuyến thực sự và tối đa hóa tính khả dụng của hệ thống.
Thành phần và chức năng hệ thống
Kiến trúc phần cứng của hệ thống Triconex V10 áp dụng thiết kế mô-đun, mang lại khả năng mở rộng và tính linh hoạt tốt. Mỗi Bộ bảo vệ hoàn chỉnh bao gồm ba thành phần chính: Khung chính, Khung mở rộng từ xa chính liên quan đến an toàn (RXM chính) và Khung mở rộng từ xa không liên quan đến an toàn (RXM từ xa). Thiết kế phân cấp này đảm bảo độ tin cậy của các chức năng liên quan đến an toàn đồng thời cung cấp khả năng giao diện để liên lạc với các hệ thống không an toàn.
Khung chính là bộ xử lý cốt lõi của toàn bộ hệ thống, có thiết kế chắc chắn cấp công nghiệp với khả năng chống nhiễu cao và khả năng thích ứng với môi trường. Ở phía bên trái của khung máy là hai mô-đun cấp nguồn độc lập được cấu hình dự phòng; mỗi cái có thể cung cấp năng lượng độc lập cho toàn bộ khung máy. Nguồn điện được phân phối dọc theo trung tâm của bảng nối đa năng thông qua các đường ray nguồn kép, với mỗi mô-đun lấy điện từ cả hai đường ray thông qua bộ điều chỉnh nguồn kép, đảm bảo độ tin cậy của hệ thống điện. Ngay cạnh các mô-đun nguồn là ba mô-đun Bộ xử lý chính 3008N (MP A, B, C). Các mô-đun này sử dụng bộ vi xử lý cấp độ an toàn 32 bit, mỗi bộ chứa hai bộ xử lý: Bộ xử lý ứng dụng và Bộ điều khiển I/O & Truyền thông (IOCCOM). Bộ xử lý ứng dụng chịu trách nhiệm chạy hệ điều hành ETSX và thực thi ứng dụng điều khiển, trong khi bộ xử lý IOCCOM quản lý Bus I/O và Bus truyền thông.
Phần còn lại của Khung chính được chia thành sáu khe logic để cài đặt các mô-đun I/O và mô-đun giao tiếp khác nhau. Mỗi khe logic cung cấp hai vị trí vật lý, một vị trí cho mô-đun hoạt động và một vị trí khác cho mô-đun dự phòng nóng tùy chọn. Thiết kế này cho phép thay thế các mô-đun bị lỗi mà không làm gián đoạn hoạt động của hệ thống. Khe cắm mô-đun giao tiếp được dành riêng và không cung cấp vị trí dự phòng nóng. Tất cả các mô-đun kết nối với hệ thống bus bảng nối đa năng thông qua các đầu nối bảng nối đa năng chính xác, đảm bảo tính toàn vẹn và độ tin cậy của tín hiệu.
Khung mở rộng từ xa chính liên quan đến an toàn (RXM chính) được kết nối với Khung chính thông qua cáp bus I/O dự phòng ba lần và được sử dụng để mở rộng các điểm I/O liên quan đến an toàn. Cấu trúc của khung RXM tương tự như Khung chính, nhưng các mô-đun RXM được lắp đặt ở các vị trí Bộ xử lý chính. Các mô-đun này chịu trách nhiệm quản lý việc liên lạc và truyền dữ liệu giữa khung mở rộng và Khung chính. Khung RXM chính thường được lắp đặt gần Khung chính và được sử dụng để chứa các mô-đun I/O liên quan đến an toàn nhưng không cần phải đặt trong Khung chính.
Khung mở rộng từ xa (Remote RXM) không liên quan đến an toàn được kết nối với RXM chính thông qua cáp quang đa chế độ, cung cấp sự cách ly về điện và vật lý giữa hệ thống an toàn và hệ thống không an toàn. Khung RXM từ xa sử dụng mô-đun RXM dòng 4200, chuyển đổi tín hiệu bus I/O dựa trên đồng thành tín hiệu quang để truyền qua cáp quang. Mỗi kênh bus I/O (A, B, C) yêu cầu một cặp mô-đun RXM 4200-4201 và hai sợi (một truyền, một nhận), tổng cộng sáu sợi để kết nối khung RXM chính và RXM từ xa. Thiết kế này giúp cách ly điện hoàn toàn, ngăn chặn hiệu quả các vòng lặp trên mặt đất và nhiễu điện từ, đồng thời đảm bảo tính toàn vẹn của tín hiệu trên khoảng cách xa.
Kiến trúc bus của hệ thống sử dụng thiết kế dự phòng đa cấp. TriBus là bus tốc độ cao nội bộ kết nối ba Bộ xử lý chính, được sử dụng để đồng bộ hóa dữ liệu, tải chương trình và biểu quyết chéo. Bus I/O là bus hệ thống kết nối Bộ xử lý chính với các mô-đun I/O, sử dụng giao thức truyền thông nối tiếp chủ-phụ với tốc độ truyền 375 kbps. Bus Truyền thông kết nối Bộ xử lý chính với các mô-đun truyền thông với tốc độ 2 Mbps và được sử dụng để liên lạc với các hệ thống bên ngoài. Tất cả các bus đều có tính năng dự phòng ba lần, với mỗi bus có cơ chế cách ly và phát hiện lỗi độc lập.
Về mặt liên lạc và cách ly, hệ thống cung cấp các đảm bảo an toàn nghiêm ngặt. Mô-đun truyền thông Tricon (TCM) là giao diện truyền thông duy nhất được chứng nhận cho các ứng dụng an toàn hạt nhân, cung cấp khả năng cách ly điện và dữ liệu. TCM sử dụng phương tiện truyền thông cáp quang để kết nối với mạng bên ngoài, đảm bảo các lỗi liên lạc không ảnh hưởng đến việc thực hiện các chức năng an toàn. Máy trạm bảo trì (MWS) giao tiếp với hệ thống Tricon thông qua TCM, được sử dụng để theo dõi trạng thái hệ thống, xem thông tin chẩn đoán và thực hiện sửa đổi tham số. Mọi liên lạc với các hệ thống không an toàn đều phải trải qua kiểm soát truy cập và kiểm tra bảo mật nghiêm ngặt, đảm bảo tính toàn vẹn của hệ thống an toàn không bị xâm phạm.
Hệ thống này cung cấp nhiều mô-đun I/O phong phú, bao gồm Đầu vào tương tự (AI), Đầu ra tương tự (AO), Đầu vào kỹ thuật số (DI) và Đầu ra kỹ thuật số (DO), cùng nhiều mô-đun khác. Mỗi mô-đun I/O áp dụng thiết kế ba dự phòng, với ba kênh hoàn toàn độc lập, mỗi kênh có bộ xử lý và mạch chẩn đoán riêng. Mô-đun đầu vào analog hỗ trợ nhiều loại tín hiệu khác nhau như 4-20mA, RTD và cặp nhiệt điện, có độ chính xác cao và khả năng chống nhiễu cao. Mô-đun đầu ra kỹ thuật số sử dụng công nghệ Chẩn đoán cử tri đầu ra (OVD), có khả năng kiểm tra định kỳ độ tin cậy của từng điểm đầu ra. Tất cả các mô-đun I/O đều hỗ trợ chức năng trao đổi nóng, cho phép thay thế trong khi hệ thống đang chạy, nâng cao đáng kể khả năng bảo trì và tính khả dụng của hệ thống.
Kiến trúc phần mềm
1. Hệ điều hành và phần mềm cơ sở
Hệ điều hành ETSX: Chạy trên Bộ xử lý ứng dụng của từng MP, chịu trách nhiệm lập kế hoạch hệ thống, quản lý dự phòng và xử lý lỗi.
Bộ xử lý IOCCOM: Quản lý các Bus I/O và Truyền thông, trao đổi dữ liệu với MP thông qua RAM cổng kép (DPRAM).
2. Phần mềm ứng dụng
TriStation 1131: Được sử dụng để phát triển phần mềm ứng dụng liên quan đến an toàn, hỗ trợ cả ngôn ngữ lập trình Sơ đồ khối chức năng (FBD) và Văn bản có cấu trúc (ST).
Mức độ toàn vẹn phần mềm (SIL4): Tuân thủ tiêu chuẩn IEEE 1012-1998, phù hợp với các hệ thống liên quan đến an toàn hạt nhân.
3. Chức năng kiểm tra và bảo trì trực tuyến
Công tắc ngoài dịch vụ (OOS): Cho phép tạm thời ngừng sử dụng một chức năng bảo vệ cụ thể để kiểm tra hoặc sửa đổi tham số mà không ảnh hưởng đến các chức năng an toàn khác.
Chức năng bỏ qua: Một kênh có thể được bỏ qua thông qua các bộ chuyển mạch phần mềm hoặc phần cứng nhằm mục đích bảo trì hoặc thử nghiệm.
Chẩn đoán và cảnh báo: Hệ thống liên tục theo dõi trạng thái của từng mô-đun và cung cấp thông tin lỗi chi tiết thông qua MWS.
Kịch bản ứng dụng và lợi thế
1. Hệ thống bảo vệ quy trình nhà máy điện hạt nhân (PPS)
Chức năng: Theo dõi các thông số của nhà máy (chẳng hạn như nhiệt độ, áp suất, mực nước, v.v.), so sánh chúng với các điểm đặt và kích hoạt Hệ thống ngắt lò phản ứng (RTS) hoặc Hệ thống kích hoạt tính năng an toàn được thiết kế (ESFAS) nếu vượt quá giới hạn.
Tách kênh: Bốn Bộ bảo vệ (I–IV) lần lượt xử lý các chức năng an toàn khác nhau, đảm bảo tính dự phòng và tính độc lập.
2. Ưu điểm và tính năng
Độ tin cậy cao: Kiến trúc TMR đảm bảo không có điểm lỗi nào.
Tính sẵn sàng cao: Hỗ trợ sửa chữa trực tuyến và trao đổi nóng mô-đun.
Tính linh hoạt: Hỗ trợ nhiều loại I/O và giao thức truyền thông khác nhau.
An toàn: Tuân thủ các quy định an toàn hạt nhân (ví dụ: 10 CFR 50 Phụ lục B), RG 1.152 và các yêu cầu khác.
Dễ bảo trì: Cung cấp thông tin chẩn đoán chi tiết và khả năng giám sát từ xa.
Tham khảo: https://www.nrc.gov/docs/ML1131/ML11318A029.pdf
