Index
SISTEMA DIGITAL DE INSTRUMENTAÇÃO E SEGURANÇA PARA REATORES NUCLEARES DE PESQUISA
Mauricio A. C. Aghina e Paulo Vítor R. Carvalho
Instituto de Engenharia Nuclear – IEN – CNEN/RJ
Via 5 s/n, Cidade Universitária
21945-970 Ilha do Fundão, Rio de Janeiro, Brasil
RESUMO
Este trabalho descreve uma proposta para um sistema de instrumentação nuclear e segurança
totalmente digital para o reator Argonauta. O sistema se divide nos subsistemas: Canal de Pulsos,
Canal de Corrente, Instrumentação Convencional e Sistema de Segurança. A interligação dos
subsistemas é feita através de rede local dupla redundante, usando o protocolo modbus/rtu. Tanto o
Canal de Pulsos, o canal de corrente e o Sistema de Segurança utilizam módulos operando em
redundância tripla.
Keywords: digital, security, instrumentation, redundancy.
I. INTRODUÇÃO
A proposta deste trabalho é modernizar a
instrumentação de fluxo neutrônico e a lógica de segurança
do Reator Argonauta. A instrumentação atual é analógica e
a segurança usa tecnologia de portas lógicas e ambas
foram desenvolvidas no IEN. A principal dificuldade de
conceber este novo projeto, foi de conciliar a
confiabilidade técnica com a simplicidade e o custo. A
confiabilidade devera ser mantida com o projeto estando
dentro das normas regulatórias de hardware e software
para instrumentação e segurança nuclear. A simplicidade
se baseia
em um projeto totalmente digital. As
instrumentações neutrônica e convencional são conectadas,
via rede, a um sistema de segurança com arquitetura de
redundância tripla, o que torna fácil a programação de
parâmetros e diminui a quantidade de ligações físicas entre
elementos do sistema.
A instrumentação neutrônica é constituída por um
canal de pulsos e um canal de corrente. Cada canal é
dividido em três módulos idênticos ligados a rede para que
o sistema de segurança possa fazer uma lógica de votação
usando redundância de 2 para 3. As saídas de dados dos
canais contem as informações de contagem de pulsos ou
corrente e o período, em unidades de engenharia
(cps,A,seg) , e também o seu status de funcionamento.
A instrumentação convencional é constituída de
módulos de condicionamento de sinais analógicos ou
digitais para converte-los em unidades de engenharia e
envia-los, através da rede, ao sistema de segurança.
O sistema de segurança é constituído de três
processadores redundantes. Cada processador lê
independentemente todos os módulos de instrumentação
ligados a rede e verifica se houve ultrapassagem do nível
de alarme programado ou falha. Através de um barramento
interno os processadores se comunicam entre si, caso haja
informações coincidentes de ultrapassagem de alarme ou
falha em pelo menos dois processadores , as suas saídas
são acionadas para que um votador analógico 2 para 3
acione o relé de scram do reator.
A rede usada é dupla do tipo RS-485, usando o
protocolo MODBUS RTU.
Todos dados lidos na rede são enviados pelo
sistema de segurança a um computador supervisório
conectado a rede através de isolamento ótico.
II. REDE
Atualmente praticamente todos os sistemas
modernos de instrumentação e controle utilizam redes
locais em sua arquitetura básica, como o PROFIBUS da
SIEMENS , FIELDBUS FOUNDATION ou o MODBUS
da MODICOM.
A rede é a espinha dorsal do sistema. A grande
vantagem é a troca de dados já em unidades de engenharia.
Deste modo o sistema fica praticamente imune a ruídos
que degradam as grandezas analógicas e diminuindo muito
o numero de fios das conecções da instrumentação ao
sistema de segurança e supervisório.
O padrão elétrico escolhido foi o RS-485, usando
par trançado como meio físico. Este padrão é amplamente
utilizado nos meios de controle de processos , devido a sua
grande rejeição a ruídos e longas distancias de conecção.
Todos os módulos da rede, bem como os processadores do
sistema de segurança utilizam drivers para RS-485
isolados galvânicamente.
O protocolo utilizado foi o MODBUS/RTU por ser
um protocolo aberto e amplamente utilizado pelos sistemas
supervisórios comerciais. Uma grande vantagem deste
protocolo é a sua simplicidade, pois ele utiliza o conceito
de registros. É como se ler uma variável na memória, só
que utilizando uma rede. Outra vantagem é que o frame de
dados é variável podendo-se ler quantos registros quiser. O
Index
método utilizado para verificação da integridade dos dados
enviados é o CRC (Cyclic Redundancy Check) de 16 bits
um dos mais utilizados em protocolos atualmente .
A topologia da rede é do tipo Daisy chain, ou seja, cada
elemento da rede se liga ao próximo. A rede é
determinística do tipo master-slave. Os processadores do
sistema de segurança são os masters e os demais módulos
da rede ,bem como o sistema supervisório, são os slaves.
Cada
processador
é
independente,
acessando
seqüencialmente todos os módulos da rede. Quando este
finaliza então o próximo executa a mesma tarefa. Este
método é utilizado por segurança, para que não haja
conflito de dados na rede e consequentemente perda dos
mesmos.
A rede em si é fisicamente dupla , caso haja a
ruptura de uma, o sistema passa a operar automaticamente
com a outra. A velocidade da rede é de 375 Kbaud.
III. SISTEMA DE SEGURANÇA
O sistema de segurança é composto de três
processadores ( PS - processador de segurança) operando
de forma redundante. Como foi dito acima os
processadores são independentes, devendo cada um ler
todos os módulos da rede. Os processadores se comunicam
entre si utilizando um barramento proprietário,
independente da rede principal.
Este barramento serve para que os processadores
possam trocar entre si, informações sobre a
disponibilidade da rede para que não haja colisão na leitura
de dados, e também os dados obtidos na leitura dos
módulos da rede. Os dados lidos dos módulos são
basicamente: contagem de pulsos (CPS) para módulos do
canal de pulsos e corrente para módulos do canal de
corrente, período ,nível de alarme ,ultrapassagem de nível
de alarme, ultrapassagem de período mínimo e status de
funcionamento do módulo. Após os três processadores
lerem os módulos, é iniciado o processo de troca de
informações. Cada
processador analisa se houve
ultrapassagem de nível de alarme, ultrapassagem de
período mínimo ou falha no módulo, caso haja estas
condições de falha, os dados são disponibilizados para que
o próximo processador compare com os seus. Caso haja as
mesmas condições de falha em dois módulos de um canal
e pelo menos dois processadores tiverem estas mesmas
informações, as saídas dos processadores são atuadas para
que o votador de redundância 2 para 3 possa acionar o relé
de scram do reator. As saídas dos processadores e o
votador utilizam lógica dinâmica para garantir o conceito
de falha segura, ou seja, quando a saída do processador
esta no estado de não falha ela apresenta um nível pulsado
e quando é mal funcionamento ou condição de falha o
nível é zero.
Após cada ciclo de leitura dos dados de todos os
módulos da rede, estes são enviados para o computador
supervisório.
Cada processador possui circuito de watch-dog, resetando
o mesmo em caso de mal funcionamento.
IV. CANAL DE PULSOS
O Canal de pulsos é constituído de três módulos
redundantes. Cada módulo se divide em duas partes:
preamplificador de pulsos (PP) e módulo processador
digital (MPD).
O preamplificador amplifica os pulsos analógicos
do detector e os converte para pulsos digitais. O módulo
processador digital faz a contagem dos pulsos sempre
utilizando o intervalo de tempo de 50 ms, mas pode ser
estendido para melhorar a estatística, ou seja, o tempo total
de contagem é o somatório de vários intervalos de
contagem de 50 ms até que o processador tenha contado 5
pulsos . Este método apresenta a vantagem de se ter um
tempo de contagem rápido para altas taxas de contagem
(máximo de 1 MCPS) e uma estatística mínima confiável
em baixas taxas. A contagem é então normalizada em CPS
para que se possa fazer um processo de filtragem digital, a
fim de eliminar a flutuação estatística. Após a filtragem é
também calculado o período. finalmente é analisado se
estes dados ultrapassaram os níveis de alarmes
programados. Os dados ficam disponíveis na memória
para que os processadores do sistema de segurança possam
acessá-los.
Os níveis de alarme e constantes de configuração
dos módulos ficam armazenados em memória flash. Esta
programação é feita em um modo especial de operação,
usando a rede e um computador rodando um programa
especifico para este fim. O módulo também tem um modo
de operação de teste. Neste modo o usuário, via chave, ou
o sistema de segurança, via rede, forçam o preamplifiacdor
a fornecer a máxima contagem permitida, para que o
módulo possa apresentar ultrapassagem de alarme.
V. CANAL DE CORRENTE
O Canal de corrente é constituído de três módulos
redundantes. Cada módulo se divide em duas partes:
preamplificador analógico (PA) e módulo processador
digital (MPD).
O preamplificador analógico é um eletrômetro com
a sua saída ligada a um conversor analógico digital (ADC).
A saída de dados do conversor é serial e isolada
opticamente, para que o ruído do módulo processador
digital não interfira no eletrômetro. O chaveamento de
escalas é feito pelo módulo digital usando sinais digitais
isolados opticamente.
O módulo processador digital após ler o ADC e
selecionar a escala mais adequada executa as mesmas
funções descritas no módulo processador digital do canal
de pulsos.
VI. INSTRUMENTAÇÃO CONVENCIONAL
A instrumentação convencional é constituída de
dois módulos distintos: Módulo de Aquisição Analógica
(MAA) e Módulo de Aquisição Digital (MAD).
O Módulo de Aquisição Analógica possui 16
entradas analógicas para monitorar os sensores da planta.
Index
O usuário pode programar, via computador remoto usando
a rede, os parâmetros de span, unidade e alarme. Este
parâmetros ficam armazenados em memória flash. Os
dados em unidades de engenharia e ultrapassagem de
alarme , bem com os parâmetros de programação, ficam
disponíveis na memória para que os processadores do
sistema de segurança possam acessá-los.
O Módulo de Aquisição Digital é idêntico ao
analógico, só que com 16 entradas digitais.
Estes Módulos podem ser substituídos por PLCs
comerciais que disponham de saída de dados em rede com
protocolo MODBUS/RTU.
Figura 1. Arquitetura do Sistema.
Index
VII. CONCLUSÕES
Na instrumentação clássica de fluxo neutrônico as
saídas dos equipamentos são sinais analógicos que são
ligados a comparadores, também analógicos, e estes ao
sistema de segurança, normalmente baseados em lógica de
relés. As desvantagens deste tipo de instrumentação são:
Ela é susceptível a ruídos que podem mascarar os
valores dos sinais analógicos.
Grande quantidade de ligações físicas e
complexidade de projeto, pois cada instrumentação ,
principalmente o sistema de segurança, é especifico para
cada reator.
Dificuldade de peças de reposição e manutenção.
Na instrumentação digital estas desvantagens são
minimizadas. O problema de degradação de dados por ruído
é mínimo, pois estes são enviados em unidades de
engenharia. A quantidade de ligações físicas é muito
reduzida devido a conecção de todos os instrumentos por
uma rede local. A principal vantagem, é que o sistema de
segurança é único para todos os tipos de projetos de
reatores. O que muda são os parâmetros de programação do
sistema de segurança, que são programados por computador
em memórias não voláteis flash. Na programação de
alarmes, que era feita com multímetros, tabelas e chaves de
fenda na instrumentação convencional, passa a ser
facilmente programada por computador usando valores com
unidades desejadas.
A principal razão de se adotar a lógica de relé para
sistemas de segurança, era o conceito da falha segura, pois
ele sempre ficaria num estado definido em caso de falha
desconhecida, o que não ocorre num circuito digital. Este
problema agora é superado com o emprego de módulos de
redundância tripla .
Atualmente já se encontram no mercado PLCs
qualificados nuclearmente para sistemas de segurança para
reatores nucleares de potência, como o TELEPERM XS da
SIEMENS e o TRICON da TRICONEX, ambos com
tecnologia de redundância tripla.
A intenção deste projeto é de se ter um sistema de
instrumentação e segurança digital dentro das normas
nucleares de segurança com baixa complexidade e custo
reduzido.
REFERÊNCIAS
[1] IEC 880, Software for Computers en the Safety
Systems of Nuclear Power Stations– 1986.
[2] IEC 801, Electromagnetic Compatibility for
Industrial Process Measurement and Control
Equipment (Partes 1 a 6).
[3] IEEE 7.4.3.2, Application Criteria for Programable
Digital Computer Suystems of Nuclear Power
Generating Stations.
[4] ANS 10.4, Guidelines for the Verification and
Validation of Scientific and Engineering Computer
Programs for the Nuclear Industry, ANSI/ANS 10.4
(1987).
[5] IEEE 603, IEEE Standard Criteria for Safety
Systems for Nuclear Power Generating Stations, (1991).
[6] IEEE 610.12, IEEE Standard Glossary of Software
Engineering Terminology, (1990).
[7] IEEE 730.1, IEEE Standard for Quality Assurance
Plans, ANSI/IEEE 730.1 (1989)
[8] IEEE 730.2, IEEE Guide to Software Quality
Assurance Planning, IEEE Draft 730.2 (1993).
[9] IEEE 828, IEEE Standard for Software
Configuration Management Plans, ANSI/IEEE 828
(1983).
[10] IEEE 829, IEEE Standard for Software Test
Documentation, ANSI/IEEE 829 (1983).
[11] IEEE 830, IEEE Guide to Software Requirements
Specification, ANSI/IEEE 830 (1984).
[12] Dreves W. , Modern Safety-Related I&C Systems,
Siemens Nuclear GmbH 2000.
[13] Lawrence D., Software Reliability and Safety in
Nuclear Reactor Protection Systems, Lawrence
Livermore National Laboratory, (1993).
ABSTRACT
This work describes a proposal for a system of
nuclear instrumentation and safety totally digital for the
Argonauta Reactor. The system divides in the subsystems:
Channel of Pulses, Channel of Current, Conventional
Instrumentation and Safety System. The conection of the
subsystems is made through redundant double local net,
using the protocol modbus/rtu. So much the Channel of
Pulses, the current channel and Safety's System use
modules operating in triple redundancy.