RU221121U1 - Программируемый логический контроллер для применения в системах автоматизации - Google Patents

Программируемый логический контроллер для применения в системах автоматизации Download PDF

Info

Publication number
RU221121U1
RU221121U1 RU2023102854U RU2023102854U RU221121U1 RU 221121 U1 RU221121 U1 RU 221121U1 RU 2023102854 U RU2023102854 U RU 2023102854U RU 2023102854 U RU2023102854 U RU 2023102854U RU 221121 U1 RU221121 U1 RU 221121U1
Authority
RU
Russia
Prior art keywords
modules
module
input
controller
output
Prior art date
Application number
RU2023102854U
Other languages
English (en)
Inventor
Григорий Григорьевич Петров
Василий Анатольевич Белоусов
Артем Павлович Прокошев
Original Assignee
Акционерное общество "Ордена Ленина Научно-исследовательский и конструкторский институт энерготехники имени Н.А. Доллежаля" (АО "НИКИЭТ")
Filing date
Publication date
Application filed by Акционерное общество "Ордена Ленина Научно-исследовательский и конструкторский институт энерготехники имени Н.А. Доллежаля" (АО "НИКИЭТ") filed Critical Акционерное общество "Ордена Ленина Научно-исследовательский и конструкторский институт энерготехники имени Н.А. Доллежаля" (АО "НИКИЭТ")
Application granted granted Critical
Publication of RU221121U1 publication Critical patent/RU221121U1/ru

Links

Abstract

Полезная модель относится к программируемым логическим контроллерам (ПЛК) и предназначена для применения в области вычислительной техники для построения аппаратуры систем безопасности автоматизированных систем управления (АСУ) для ядерных установок, атомных станций и других объектов ответственного применения с высокими требованиями по показателям надежности, устойчивости к сбоям и отказам. Технической проблемой настоящей полезной модели является расширение арсенала технических средств конструкции программируемого логического контроллера для атомных станций. Промышленный логический контроллер, в котором в качестве вычислительных устройств в модулях ввода-вывода сигналов используют программируемые логические интегральные схемы (ПЛИС), при этом ПЛИС расположены на каждом модуле ввода-вывода сигналов.

Description

Полезная модель относится к программируемым логическим контроллерам (ПЛК) для применения в системах автоматизации и предназначена для применения в области вычислительной техники для построения аппаратуры систем безопасности автоматизированных систем управления (АСУ) для ядерных установок, атомных станций и других объектов ответственного применения с высокими требованиями по показателям надежности, устойчивости к сбоям и отказам.
Из уровня техники известен программируемый контроллер для применения в системах автоматизации, содержащий объединительный каркас с установленной объединительной платой, набор управляющих модулей и набор модулей ввода-вывода сигналов с вычислительными устройствами, набор модулей ввода питания и коммутации (патент РФ №2749103 С1, опубликовано: 04.06.2021, МПК G05B 19/05 (2006.01)).
Известный контроллер предназначен для работы в составе АСУ ТП, а в качестве вычислительных устройств в управляющих модулях и модулях ввода-вывода используется процессорная техника (процессоры/микропроцессоры/микроконтроллеры).
Из патентной заявки США US 20150045936 А1 (опубл. 12.02.2015) известен программируемый логический контроллер, содержащий набор управляющих модулей (процессоров) и набор модулей ввода-вывода сигналов (несущие платы), а также набор модулей ввода питания и коммутации, при этом указанные наборы модулей объединяются в резервированные группы таким образом, чтобы отказ одного модуля из группы не приводил к отказу контроллера (режим избыточности, элементы контроллера являются резервируемыми).
Приведенные контроллеры предназначены для работы в составе АСУ ТП, а в качестве вычислительных устройств в управляющих модулях и модулях ввода-вывода используется процессорная техника (процессоры/микропроцессоры/микроконтроллеры).
Однако системы и оборудование, важные для безопасности атомных станций в соответствии с требованиями действующих нормативных документов в области обеспечения безопасности атомных, должны удовлетворять требованиям следующих принципов безопасности: независимости и разнообразия (диверсности). В соответствии с п. 3.3.7 ГОСТ Р МЭК 61508-4 «Разнообразие (diversity): Признак, относящийся к средствам и характеризующий различие методов, применяемых для получения требуемой функции». При применении одинаковой элементной базы и одинаковой процессорной архитектуры как следствие используются одинаковые среды разработки, компиляторы, операционные системы и отдельные элементы кода (например, библиотеки). По этой причине применение подобных одинаковых подходов, возникающих в случае совмещения в составе АСУ ТП известных ГОЖ на основе процессорной техники, не позволяет с помощью известных контроллеров достичь высокой степени диверсности (разнообразия) конечной системы управления. Другими словами, известные ПЛК (аналоги) обладают невысоким разнообразием по отношению друг к другу и могут быть уязвимы к компьютерным атакам, эксплуатирующим уязвимости операционных систем и уязвимости, связанные с процессорной архитектурой.
Из уровня техники известен программируемый логический контроллер, содержащий управляющий модуль и модуль ввода-вывода сигналов с вычислительным устройством, а также модуль ввода питания, в котором в качестве вычислительного устройства в модуле ввода-вывода сигналов и управляющем модуле используется ПЛИС (патент США US 9122622 В1, опубл. 01.09.2015)). В указанном контроллере под понятием «модуль ввода-вывода» подразумевается объединительная плата с набором карт - каждая карта набора является печатной платой и выполняет определенную функцию - ввод/вывод сигналов определенного типа. Описанные модули ввода/вывода (карты) не имеют вычислительных устройств, и необходимы только для коммутации сигналов. Вычислительные устройства - программируемые логические интегральные схемы расположены (в количестве 2 шт.) на объединительной плате и обрабатывают сигналы сразу от всех карт ввода-вывода, расположенных на объединительной плате. Кроме того, коммутация сигналов от управляемого контроллером полевого оборудования выполняется общей для всех карт ввода-вывода платой. Известный контроллер применим для управления оборудованием при производстве полупроводников путем синхронизации и последовательностью работы такого оборудования.
Однако требованиями, известными из уровня техники, определено, что оборудование, входящее в состав АСУ ТП атомных станций должно удовлетворять требованиям следующих принципов безопасности: независимости и разнообразия. Независимость и разнообразие должны быть такими, чтобы любые единичные отказы в управляющей системе безопасности не нарушали ее работоспособность.
Из уровня техники известны определения:
1) независимые системы (элементы) - такие системы (элементы), у которых отказ одной системы (элемента) не приводит к отказу другой системы (элемента);
2) принцип независимости - принцип повышения надежности путем применения функционального и (или) физического разделения каналов (элементов), при котором отказ одного канала (элемента) не приводит к отказу другого канала (элемента).
Таким образом, конструкция контроллера по US 9122622 В1 может оказать негативное влияние на безопасность применения контроллера в составе АСУ ТП атомных станций, поскольку не удовлетворяет требованиям принципов безопасности, а именно - независимости, так как единичный отказ в контроллере, заключающийся в выходе из строя вычислительного устройства, приведет к неработоспособности всего набора карт ввода/вывода, другими словами - неработоспособности всех имеющихся в ГОЖ каналов ввода-вывода, и как следствие, каналов (элементов) системы управления.
Таким образом, известный из US 9122622 В1 контроллер не удовлетворяет требованию принципов безопасности атомных станций -независимости, а как итог, не может применяться в АСУ ТП атомных станций.
На основании всего вышесказанного, можно сделать вывод о том, что, не смотря на известность из уровня техники отдельных признаков программируемых контроллеров, совокупности существенных признаков контроллеров для АСУ ТП атомных станций, удовлетворяющей требованиям независимости и разнообразия не найдено.
С учетом вышеизложенного, технической проблемой настоящей полезной модели является расширение арсенала технических средств конструкции программируемого логического контроллера для применения в автоматизированных системах управления технологическими процессами атомных электростанций.
Технический результат полезной модели состоит в повышении устойчивости программируемого логического контроллера для АСУ ТП атомных станций к программным атакам.
Техническая проблема решается, а технический результат достигается за счет того, что в заявленном программируемом логическом контроллере для применения в автоматических системах управления атомных станций, содержащем объединительный каркас с объединительной платой, на которой установлены набор управляющих модулей с вычислительными устройствами и набор модулей ввода-вывода сигналов, а также набор модулей ввода питания и коммутации, в котором каждый модуль ввода-вывода сигналов выполнен в виде печатной платы с расположенным на ней вычислительным устройством, при этом в качестве вычислительных устройств в модулях ввода-вывода сигналов используют программируемые логические интегральные схемы.
Кроме того, в управляющих модулях в качестве вычислительных устройств также используют ПЛИС.
ГОЖ, в составе которого в качестве вычислительных устройств используют ПЛИС вместо процессорной техники, будет обладать разнообразием к подобному ГОЖ, построенному на базе процессорной техники, по следующим причинам:
различие архитектуры (внутреннего строения) интегральных микросхем ПЛИС и интегральных микросхем процессорной техники;
различие применяемых сред разработки, языков программирования, методов разработки;
отсутствие операционной системы в ПЛИС, что позволит исключить вероятность программной атаки, эксплуатирующей уязвимость операционной системы. Архитектура ПЛИС исключает возможность совершения программной атаки, эксплуатирующей известные уязвимости микропроцессорных архитектур в связи с тем, что архитектура ПЛИС не повторяет микропроцессорную архитектуру и формируется в каждом проекте индивидуально под целевые задачи. Кроме того, при конфигурировании ПЛИС отсутствует необходимость применения сторонних библиотек (в том числе скомпилированных заранее библиотек/модулей, не предоставляющих доступ к исходному коду). Указанный факт повышает вероятность выявления ошибок при тестировании, валидации и верификации конфигурации ПЛИС.
Установка в каждом модуле ввода-вывода собственного вычислительного устройства - ПЛИС обеспечивает принцип независимости. Так как отказ ПЛИС в одном модуле ввода-вывода приведет к отказу этого модуля, но не приведет к отказу остальных модулей контроллера.
Настоящая полезная модель в представленной совокупности признаков удовлетворяет требованиям следующих принципов безопасности: независимости и разнообразия, а значит, применима в АСУ ТП атомных станций.
Заявляемый контроллер предназначен для использования в составе АСУ ТП атомных станций. Такими системами, например, могут являться, но не ограничивая применения контроллера - комплексная система управления и защиты реактора (КСУЗ), система внутриреакторного контроля (СВРК), управляющая система безопасности (УСБ), система контроля герметичности оболочек (КТО). При таком использовании, контроллер размещается в определенном для конкретной системы здании АЭС обычным для размещения оборудования АСУ ТП способом (например, в составе электротехнического шкафа). При этом сигналы датчиков, применяемых для контроля технологических параметров атомных станций (например, температуры давления, расхода и других), коммутируются кабельными линиями связи на разъемы на лицевых панелях модулей. Управляющие сигналы на исполнительные механизмы атомных станций (например, задвижки, электроприводы и другие) подключаются аналогичным образом. В связи с тем, что в конструкции контроллера реализована возможность приема и формирования сигналов различных типов (дискретных, аналоговых, частотных и других), оборудование атомных станций, датчики и исполнительные механизмы, с которыми может взаимодействовать контроллер, также могут быть различными.
Полезная модель поясняется чертежами, где на фиг.1 и 2 изображено строение контроллера.
Полезная модель и ее составные части выполнены в стандартном для АСУ ТП атомных станций конструктиве и изготовлены из материалов, известных из уровня техники (например, текстолит, алюминий, сталь, медь, пластик и другие).
Контроллер состоит из:
объединительного каркаса (1) с установленной объединительной платой (2);
набора управляющих модулей (3);
набора модулей ввода-вывода сигналов (4);
набора модулей ввода питания и коммутации (5).
Модули (3), (4), (5) устанавливаю в объединительный каркас (1). Установка модуля означает подключение блочного разъема модуля (8) к определенному разъему объединительной платы (9) с обеспечением конструктивной совместимости.
Модули ввода-вывода (4) выполнены в виде печатных плат (11).
В состав набора модулей ввода-вывода сигналов (4) могут входить следующие модули (включая, но не ограничиваясь):
модуль приема дискретных сигналов - МПД;
модуль вывода дискретных сигналов - МВД;
модуль приема аналоговых сигналов - МПА;
модуль вывода аналоговых сигналов - МВА;
модуль приема сигналов температурных датчиков - МПТ;
модуль приема интерфейсов - МПИ;
модуль вывода сигналов реле - МСР;
модуль приема частотных сигналов - МПЧ.
Тип сигналов, которые модуль способен принять или сформировать следует из названия модуля. Например, модуль приема аналоговых сигналов способен принять сигналы аналогового типа от датчиков давления или расхода главного циркуляционного насоса (ГЦН) или другого механизма атомной станции. Модуль вывода дискретных сигналов способен сформировать сигналы дискретного типа, например, на закрытие или открытие задвижки, или сигналы на включение или отключение механизмов. Модуль интерфейсов позволяет взаимодействовать с датчиками или исполнительными механизмами, которые используют цифровую линию связи (такую, как например, Modbus). Электрические характеристики как формируемых модулями сигналов, так и принимаемых модулями сигналов соответствуют общепринятым в промышленности типам электрических сигналов, используемых в датчиках и исполнительных механизмах - таким образом, модули являются универсальными, то есть способными взаимодействовать с большинством датчиков, применяемых на АЭС.
Каждый из перечисленных модулей имеет от 1 до 64 каналов, то есть способен формировать или принимать от 1 до 64 сигналов, что увеличивает количество устройств, сигналы которых может обрабатывать (или для которых может формировать) один модуль ввода (вывода).
Перечисленные выше модули из набора (4) имеют различные модификации и возможность конфигурации для приема/формирования сигналов различного типа, например, но не ограничиваясь:
модуль МПТ конфигурируется (путем установки переключателей на самом модуле) для приема сигналов нескольких видов датчиков температуры: термопары (типа R, S, В, J, Т, Е, K, N, A, L, но не ограничиваясь) или термосопротивления;
модуль МПИ конфигурируется (путем установки переключателей на самом модуле) для приема/передачи данных по интерфейсу RS-422 или RS-485;
модули МПА и МВА конфигурируются (путем установки переключателей на самом модуле) для приема и формирования соответственно аналоговых сигналов тока или напряжения.
Объединительный каркас (1) в составе контроллера обеспечивает конструктивную целостность изделия.
Объединительная плата (2) предназначена только для коммутации определенных электрических сигналов между модулями в составе контроллера. На объединительной плате (2), как правило (но не является обязательным требованием), два крайних слева слота с разъемами объединительной платы (9) предназначены для установки двух резервирующих управляющих модулей (3) и не подходят для установки модулей ввода-вывода сигналов (4) и модулей ввода питания и коммутации (5). Остальные слоты на плате (2) с разъемами объединительной платы (9) предназначены для установки любого из набора модулей ввода-вывода сигналов (4) и модулей ввода питания и коммутации (5) и не подходят для установки управляющих модулей (3).
Модули ввода сигналов, входящие в набор модулей ввода-вывода сигналов (4) предназначены для приема внешних сигналов, преобразования их в цифровой код с обработкой по заданным алгоритмам или без таковой, передачу результатов измерения и данных о состоянии оборудования в управляющий модуль.
Модули вывода сигналов, входящие в набор модулей ввода-вывода сигналов (4) предназначены для формирования и передачи сигналов во внешние устройства на основании команд управляющего модуля и/или команд, формируемых заданными алгоритмами самого модуля.
Коммутация электрических сигналов на модули ввода-вывода сигналов (4) осуществляется через разъемы (7), известные из уровня техники, расположенные на лицевых панелях указанных модулей.
Управляющие модули (3) выполняют задачи, связанные с контролем состояния устройств в составе контроллера, опроса и управления модулями ввода-вывода сигналов, выполнения заданных алгоритмов и передачи информации во внешние устройства. Для индикации состояния неисправности и штатного функционирования применяются светодиодные излучатели (6), установленные в управляющие модули. Модули ввода питания и коммутации (5) осуществляют ввод электропитания от внешнего источника для обеспечения собственных нужд контроллера, осуществляют коммутацию цифровых линий связи между контроллером и внешними устройствами.
В каждом модуле ввода-вывода сигналов (4) применяются ПЛИС (10), используемые для проведения вычислений и не применяются устройства процессорной техники. ПЛИС (10) устанавливается на печатные платы (11) и подключаются к другим микросхемам, установленным на печатной плате модуля. ПЛИС (10) также могут быть установлены аналогичным образом и в управляющих модулях (3). Такой контроллер будет применим в АСУ ТП при наличии требования высокого уровня диверсности. Применение ПЛИС (10) во всех модулях ввода-вывода сигналов обусловлено необходимостью выполнения вычислений данными модулями. В модулях ввода питания и коммутации (5) не применяется ни ПЛИС, ни процессорная техника, так как в данных модулях не требуется проведение вычислений.
В составе контроллера могут быть объединены однотипные управляющие модули (3), модули ввода сигналов и модули вывода сигналов (4), модули ввода питания и коммутации (5) в резервированные группы таким образом, чтобы отказ одного модуля из группы не приводил к отказу контроллера. Данное решение обеспечивается тем, что модули в составе группы выполняют одинаковую функцию и при отказе одного модуля из группы выполнение функции не прерывается за счет сохранения работоспособности другого модуля (других модулей) в составе данной группы.
Одним из возможных примеров резервирования модулей ввода сигналов, входящих в набор модулей ввода-вывода сигналов (4), является установка в объединительную плату (2) не менее двух модулей ввода однотипных сигналов. Объединение установленных модулей в резервируемую группу происходит на программном уровне при разработке алгоритма управления, который при работе контроллера будет исполняться в управляющем модуле (3). Резервирование в этом случае достигается за счет того, что сигнал из одного и того же датчика будет регистрироваться сразу несколькими модулями ввода сигналов. Ввод сигнала датчика сразу в несколько модулей ввода сигналов обеспечивается специальными кабельными линиями связи, известными из уровня техники. В данном примере все модули ввода сигналов, входящих в набор модулей ввода-вывода сигналов (4), являются равнозначными, иными словами нет деления на ведущего модуля и модули, находящиеся в резерве. Поскольку алгоритм работы ПЛК цикличен, отсутствует необходимость синхронизации данных от разных модулей ввода сигналов, входящих в резервируемую группу, так как управляющий модуль (3) за один такт совершает опрос всего набора модулей контроллера. Значения входного сигнала от одного источника (датчика), принятые группой модулей ввода, после опроса управляющего модуля (3) поступают на вход алгоритма управления, где они обрабатываются по заранее разработанному сценарию (например, мажорируются). Таким образом, отказ одного из модулей ввода сигналов, входящих в набор модулей ввода-вывода сигналов (4), не приведет к отказу ПЛК по признаку неполучения данных о значении сигнала датчика, так как при отказе одного модуля ввода, сигнал будет зарегистрирован другими модулями ввода из резервированной группы.
Одним из возможных примеров резервирования модулей вывода сигналов, входящих в набор модулей ввода-вывода сигналов (4), является установка в объединительную плату (2) не менее двух однотипных модулей вывода сигналов. Объединение установленных модулей в резервируемую группу происходит на программном уровне при разработке алгоритма управления, который при работе контроллера будет исполняться в управляющем модуле (3). Резервирование в этом случае достигается за счет того, что необходимые для формирования (вывода) сигналы будут формироваться сразу несколькими модулями вывода сигналов и поступать в один и тот же приемник сигналов (например, задвижку). В данном примере все модули вывода сигналов, входящих в набор модулей ввода-вывода сигналов (4), являются равнозначными, иными словами нет деления на ведущего модуля и модули, находящиеся в резерве. Поскольку алгоритм работы ПЛК цикличен, отсутствует необходимость синхронизации данных от разных модулей вывода сигналов, входящих в резервируемую группу, так как управляющий модуль (3) за один такт совершает опрос всего набора модулей контроллера. Таким образом, отказ одного из модулей вывода сигналов, входящих в набор модулей ввода-вывода сигналов (4), не приведет к отказу всего ПЛК по признаку непредоставления выходного сигнала в устройство-приемник, поскольку данный сигнал формируется набором модулей вывода.
Одним из возможных примеров резервирования модулей ввода питания и коммутации (5) является установка в объединительную плату (2) двух и более модулей ввода питания и коммутации (5). Резервирование в этом случае достигается за счет объединения на плате (2) электрических цепей питания от всех разъемов (9) объединительной платы. В данном примере все модули (5) являются равнозначными, иными словами нет деления на ведущего модуля и модули, находящиеся в резерве. Таким образом, отказ одного из модулей ввода питания и коммутации (5) не приведет к отказу всего ПЛК по признаку непредоставления электропитания в модули в составе ПЛК, поскольку предоставление электропитания осуществляется набором таких модулей одновременно.
Компоновка полезной модели должна осуществляться на основании сформулированных требований к функциям, выполняемым ПЛК, в числе которых должны быть:
требования к типам и количеству принимаемых сигналов;
требования к типам и количеству формируемых сигналов;
требования к резервированию модулей контроллера.
Исходя из предъявленных требований, выбирается количество и типы модулей ПЛК полезной модели, обеспечивающие нужно количество каналов ввода и формирования сигналов, а также формирующие требуемые резервируемые группы.
Еще одним фактором достижение принципа безопасности - независимости является гальваническая изоляция входных и выходных каналов. Гальваническая изоляция физически разделяет каналы модулей ввода-вывода друг от друга и от остальной части схемы, тем самым выход из строя одного канала не приводит к отказу всех каналов модуля.
Полезная модель в составе АСУ ТП атомных станций работает следующим образом:
В разъемы (7) модулей ввода сигналов из набора модулей ввода-вывода сигналов (4) коммутируются кабельными линиями связи входные электрические сигналы, поступающие от внешних устройств (датчиков, вторичных преобразователей, устройств других типов).
Электрические сигналы, формируемые в процессе работы контроллера на разъемах (7) модулей вывода сигналов из набора модулей ввода-вывода сигналов (4) коммутируются кабельными линиями связи во внешние устройства (исполнительные механизмы, объекты управления, устройства других типов).
После первичной подачи электропитания в модули ввода питания и коммутации ПЛК (5), модули в составе контроллера выполняют следующие действия:
Модули ввода питания и коммутации (5) выполняют коммутацию электропитания и внешних линий связи через объединительную плату (2) во все модули в составе каркаса.
Объединительная плата (2) формирует электрические сигналы во все модули через разъемы слотов, кодирующие информацию о номере слота. В процессе работы управляющие модули (3) и модули ввода-вывода сигналов (4) получают информацию о номере слота расположения. Информация о номере слота используется модулями при обмене данными для адресации запросов и ответов.
Управляющий модуль (3) выполняет установление соединения с модулями ввода-вывода сигналов (4) посредством направления пакетов данных заданной структуры с контролем целостности через электрические цепи, реализованные в объединительной плате (2). В составе структуры пакета содержится информация об адресе отправителя и адресе получателя. Обмен данными между различными модулями в составе контроллера обеспечивается за счет того, что модули (3), (4), (5) в составе контроллера подключены к общим электрическим цепям, реализованным на объединительной плате (2), по которым передаются цифровые пакеты данных, и имеют возможность регистрировать передаваемые пакеты данных другими модулями, а также генерировать и транслировать собственные пакеты данных в другие модули в составе контроллера по указанным электрическим линиям связи.
Модули ввода-вывода сигналов (4), установленные в ПЛК получают пакеты данных от управляющего модуля (3). В случае если адрес получателя совпадает с адресом расположения модуля, данный модуль формирует ответ, направляемый по адресу расположения отправителя. В случае, если в слоте с заданным адресом модуль не установлен, либо модуль неисправен, ответ не формируется.
В процессе проведения цикла опроса, управляющий модуль регистрирует ответы модулей ввода-вывода сигналов, и на основании ответов определяет текущую конфигурацию контроллера. Текущая конфигурация определяется модулем (3) по данным, содержащимся в ответах модулей (4) - таких как тип модуля, версия прошивки, его расположение. В случае, если конфигурация контроллера не соответствует заложенной в программе управляющего модуля, контроллер считается неисправным, и управляющий модуль прекращает выполнение прикладной команды. В случае, если конфигурация контроллера соответствует заложенной в программе управляющего модуля, управляющий модуль последовательно передает пакеты данных в каждый модуль ввода-вывода (4) с командой об установлении связи. Программа каждого модуля (4) при регистрации команды об установлении связи от (3) определяет по записям во внутренней памяти, поступала ли аналогичная команда с момента включения контроллера от другого управляющего модуля (3). В случае если такая команда не поступала, модуль (3) формирует ответ с подтверждением установления связи. В противном случае модуль формирует отказ в установлении связи. В случае, если управляющий модуль получил подтверждения от всех модулей из набора (4), данный управляющий модуль считается ведущим. После чего он выполняет циклично следующие операции:
управляющий модуль направляет запросы в модули ввода сигналов через электрические линии связи (интерфейс RS-422) на объединительной плате (2) на считывание внешних сигналов;
модули ввода сигналов производят регистрацию электрических сигналов, коммутируемых на разъемы (7) от внешних источников, выполняют оцифровку зарегистрированных сигналов, отправляют результат оцифровки в составе пакета данных через электрические линии связи на объединительной плате (2) в управляющий модуль;
управляющий модуль обрабатывает полученные сигналы в соответствии с заданными алгоритмами;
обмен данных между управляющим модулем и модулями вывода происходит аналогичным образом через электрические линии связи, реализованные на объединительной плате. Управляющий модуль направляет пакеты данных в модули вывода сигналов с командами на установление состояния выходных сигналов. Модули вывода сигналов формируют электрические сигналы на разъемах (7), соответствующие команде, и направляют ответные пакеты в управляющий модуль с отчетом о выполнении;
управляющий модуль выполняет обмен данными с внешними устройствами и с резервирующим управляющим модулем (при наличии).
В случае, если в составе контроллера присутствуют резервированные управляющие модули, выполняется алгоритм выбора ведущего управляющего модуля. Ведущим управляющим модулем становится тот модуль (3), который быстрее выполнил загрузку прикладной программы при подаче питания на ПЛК, получил конфигурацию контроллера и установил соединение модулями из набора (4). В случае если оба резервированных управляющих модуля выполнили загрузку прикладной программы и сформировали запрос на установление соединения одновременно, модули из набора (4) подтверждают соединение с тем управляющим модулем, который имеет младший адрес на объединительной плате. Описанные выше операции, циклично выполняющиеся в процессе работы ПЛК, производит ведущий управляющий модуль, а управляющий модуль, не являющийся ведущим, находится в горячем резерве и выполняет обмен данными с модулями из набора (4) и с ведущим управляющим модулем для получения актуальных данных о состоянии контроллера без формирования резервирующим модулем управляющих команд (управляющие команды может формировать только ведущий управляющий модуль, в случае формирования такой команды резервирующим модулем, эта команда не будет обработана).
Переключение на резервирующий управляющий модуль происходит в случае неисправности ведущего управляющего модуля. При неисправности управляющий модуль прекращает операции обмена данными с модулями из набора (4). При отсутствии пакетов данных от управляющего модуля в течение заданного интервала времени (интервал времени определяется разработчиком при конфигурировании контроллера таким образом, чтобы при переключении на резервирующий модуль не происходило прерывания выполнения программы и ложных срабатываний) программа модулей из набора (4) удаляет данные об установлении связи с текущим управляющим модулем и формирует сообщение в резервирующий управляющий модуль о возможности установления соединения. После этого резервирующий управляющий модуль осуществляет операции проверки конфигурации и установления соединения, описанные выше, и при успешном их завершении становится управляющим.
Обмен данными между управляющими модулями (4) осуществляется по дублированной шине RS-422.
При замене вышедшего из строя управляющего модуля на работоспособный, синхронизация данных выполнения программы между парой управляющих модулей происходит в процессе функционирования контроллера посредством дублированной линии связи между модулями (3) на объединительной плате (2).
Функциональными алгоритмами ПЛК определяется поведение контроллера в случае диагностирования неисправностей. В случае, если отказ связан с нерезервированным элементом, контроллер считается неисправным. В случае, если отказ связан с резервированным элементом и не влияет на выполняемые функции, контроллер может считаться работоспособным в течение определенного времени. Возможность такой работы и время ограниченной работоспособности определяется настройкой контроллера. Для восстановления контроллера выполняется горячая замена отказавшего элемента.
Описанное по тексту функционирование управляющих модулей (3) и модулей ввода-вывода сигналов (4) обеспечивается за счет применения ПЛИС (10). Микросхемы ПЛИС установлены на печатные платы (11) управляющих модулей и модулей ввода-вывода сигналов, имеют электрические соединения с другими электронными компонентами, применяемыми в указанных модулях, содержат функциональные алгоритмы, необходимые для обеспечения выполнения описанного функционала ПЛК.
Расположение ПЛИС на каждом модуле ввода-вывода (печатной плате) обеспечивает принцип независимости, так как выход из строя одного ПЛИС не приведет к выходу из строя всего контроллера.
В полезной модели микросхемы ПЛИС (10) выполняют функции, аналогичные функциям, выполняемым микросхемами процессорной техники в аналогах, в частности:
обеспечение управления каналами ввода-вывода сигналов (регистрация входных сигналов и формирование выходных сигналов);
обработка данных по заданным алгоритмам, в т.ч. по алгоритмам самодиагностики;
управление различными микросхемами (внешние микросхемы памяти, датчики, светодиоды и другие) и устройствами (например, вентилятором), расположенными на плате модуля;
обмен данными между устройствами в составе ПЛК, устройствами ПЛК и внешними устройствами.
В полезной модели микросхемы ПЛИС (10) в модулях ввода-вывода (4) выполняют циклический алгоритм, являющийся одним из возможных вариантов, а не единственно возможным.
Цикл состоит из:
обработка запроса от управляющего модуля (3);
выполнение команды из запроса управляющего модуля (3);
формирование и отправка ответа на запрос управляющего модуля (3);
чтение сигналов входных каналов или формирование сигналов на выходных каналах для модулей ввода и вывода сигналов соответственно;
выполнение диагностики исправности работы каналов ввода-вывода и программных модулей;
запись результатов самодиагностики во внутреннюю память модуля (4).
Одной из основных характеристик ПЛИС, является количество логических ячеек. Логические ячейки используются для выполнения алгоритмов, реализуемых в ПЛИС, при этом, как правило, логические ячейки резервируются под выполнение определенного этапа определенного алгоритма и не могут быть использованы для выполнения другого алгоритма, также загруженного в указанный ПЛИС. Таким образом, логические ячейки расходуются путем резервирования под выполнение определенных этапов алгоритма. Каждая из различных реализаций описанного выше алгоритма требует не более 18000 логических ячеек ПЛИС. На основании этого, в качестве вычислительного устройства в модулях ввода-вывода (4) могут быть использованы известные из уровня техники ПЛИС с количеством логических ячеек более 18000.
В полезной модели микросхемы ПЛИС (10) заменяют микросхемы процессорной техники, применение микросхем процессорной техники не требуется, так как микросхемы ПЛИС выполняют полный объем функций, необходимых для обеспечения функционирования ПЛК.
При разработке программ для ПЛИС применяются языки описания аппаратуры (так называемые HDL-языки) и компиляторы, предназначенные для ПЛИС. Для разработки программ ПЛИС невозможно применение языков программирования и компиляторов, применяемых при разработке программ для процессорной техники в связи с различием в внутреннем устройстве данных изделий.
Указанный факт обеспечивает разнообразие ПЛК в сравнении с аналогами, разработанными на основе процессорной техники в части применяемых средств разработки. Кроме того, процедуры разработки программ для ПЛИС и процессорной техники отличаются, так как разработка программ и алгоритмов для ПЛИС и процессорной техники требует применения различных подходов:
в случае разработки программ для ПЛИС, разрабатываемый код описывает логику работы цифровой схемы, ПЛИС повторяет работу цифровой схемы, описанной в программе, за счет формирования электрических связей между однотипными элементами в микроархитектуре ПЛИС (так называемыми логическими ячейками);
в случае разработки программ для процессорной техники, разработанная программа преобразуется в набор инструкций, а функционирование микросхемы процессорной техники связано с выполнением набора инструкций.
За счет различий в принципах работы микросхем процессорной техники и ПЛИС, при разработке программ применяются различные подходы. Таким образом, полезная модель обладает признаком разнообразия в сравнении с аналогами на процессорной технике по применяемым подходам в разработке алгоритмов.
Кроме того, в составе ПЛИС в управляющих модулях и модулях ввода-вывода сигналов не применяются процессорные ядра и операционные системы. Данный факт исключает возможность проведения компьютерной атаки на ПЛК, эксплуатирующую уязвимость процессорной архитектуры, либо операционной системы и повышает защищенность ПЛК. Кроме того, при разработке программ для ПЛИС не применяются предварительно скомпилированные библиотеки с закрытым исходным кодом. Доступ к исходному коду ПЛИС позволяет провести более глубокий анализ программного кода на этапах тестирования, валидации и верификации.
Выбор микросхемы ПЛИС для конкретного модуля ПЛК осуществляется различными способами. Например, для унификации элементной базы для всех модулей выбирается тот ПЛИС, который по количеству портов ввода-вывода, количеству логических ячеек и ячеек памяти (основные параметры, характеризующие вычислительную способность ПЛИС) удовлетворяет требованиям самого ресурсоемкого модуля ввода-вывода сигналов (4). Иной способ подбора ПЛИС, направленный на снижение стоимости ПЛК, заключается в выборе для каждого модуля ввода-вывода сигналов (4) той микросхемы ПЛИС, которая удовлетворяет требованиям именно этого модуля.
Вариантом применения полезной модели в составе АСУ ТП атомных станций в том числе, но не ограничиваясь, является использование в составе аппаратуры контроля и управления главным циркуляционным насосным агрегатом (АКУ ГЦНА). Аппаратура предназначена для управления запорной арматурой и электроприводом насосного агрегата. В данном случае контроллер располагается в стойке, которая выполнена на базе унифицированного в АСУ ТП атомной станции сейсмостойкого конструктива с напольным креплением (например, шкафы модификации TS (8) производителя Rittal или аналоги).
В АКУ ГЦНА требуется:
принимать 75 дискретных сигнала типа «сухой контакт»;
принимать 33 аналоговых сигналов тока (4-20 мА);
принимать 38 аналоговых сигналов термосопротивления по 4-х проводной схеме подключения;
формировать 93 дискретных сигнала типа «сухой контакт»;
формировать 4 аналоговых сигналов тока (4-20 мА);
иметь 2 канала приема-передачи данных по интерфейсу RS-485.
На основании перечисленных требований каждый контроллер в составе АКУ ГЦНА имеет:
не менее 3 модулей ввода дискретных сигнала типа «сухой контакт» (МПД) из набора модулей ввода-вывода (4) - модификация модуля, имеющая 32 канала;
не менее 5 модулей ввода аналоговых сигналов (МПА) из набора модулей ввода-вывода (4) - модификация модуля, имеющая 8 каналов;
не менее 5 модулей ввода аналоговых сигналов датчиков температуры (МПТ) из набора модулей ввода-вывода (4) - модификация модуля, имеющая 8 каналов;
не менее 3 модулей вывода дискретных сигнала типа «сухой контакт» (МВД) из набора модулей ввода-вывода (4) - модификация модуля, имеющая 32 канала;
не менее 1 модуля вывода аналоговых сигналов (МВА) из набора модулей ввода-вывода (4) - модификация модуля, имеющая 8 каналов;
не менее 1 модуля приема интерфейсов (МПИ) из набора модулей ввода-вывода (4) - модификация модуля, имеющая 8 каналов.
2 управляющих модуля (3) (для резервирования управляющих модулей);
1 объединительный каркас (1) с установленной объединительной платой (2);
2 модуля ввода питания и коммутации (5) (для резервирования ввода питания).
Еще одним вариантом применения полезной модели в составе АСУ ТП атомной станции, в том числе, но не ограничиваясь, является использование в составе системы индустриальной антисейсмической защиты реакторной установки (СИАЗ). Система индустриальной антисейсмической защиты предназначена для обеспечения формирования команды на автоматическую аварийную остановку реактора при сейсмическом воздействии на грунте, соответствующем проектному землетрясению, и осуществления автоматической регистрации сигналов сейсмических колебаний на уровне подошвы здания реакторной установки. В данном случае контроллер располагается в стойке, которая выполнена на базе унифицированного в АСУ ТП атомной станции сейсмостойкого конструктива с напольным креплением (например, шкафы модификации TS (8) производителя Rittal или аналоги).
В СИАЗ требуется:
принимать 27 дискретных сигнала типа «сухой контакт»;
принимать 12 аналоговых сигналов тока (4-20 мА);
формировать 9 дискретных сигнала типа «сухой контакт»;
иметь 2 канала приема-передачи данных по интерфейсу RS-485.
На основании перечисленных требований каждый контроллер в составе СИАЗ имеет:
не менее 2 модулей ввода дискретных сигнала типа «сухой контакт» (МПД) из набора модулей ввода-вывода (4) - модификация модуля, имеющая 32 канала;
не менее 2 модулей ввода аналоговых сигналов (МПА) из набора модулей ввода-вывода (4) - модификация модуля, имеющая 8 каналов;
не менее 2 модулей ввода аналоговых сигналов датчиков температуры (МПТ) из набора модулей ввода-вывода (4) - модификация модуля, имеющая 8 каналов;
не менее 2 модулей вывода дискретных сигнала типа «сухой контакт» (МВД) из набора модулей ввода-вывода (4) - модификация модуля, имеющая 32 канала;
не менее 2 модулей приема интерфейсов (МПИ) из набора модулей ввода-вывода (4) - модификация модуля, имеющая 8 каналов.
2 управляющих модуля (3) (для резервирования управляющих модулей);
1 объединительный каркас (1) с установленной объединительной платой (2);
2 модуля ввода питания и коммутации (5) (для резервирования ввода питания).
Для каждого варианта применения контроллера прием сигналов от внешних устройств модулями контроллера, осуществляется посредством коммутации кабельных линий связи, заведенных известными из уровня техники способами в стойку, где располагается контроллер, с разъемами (7) на лицевых панелях модулей (4).
Для каждого варианта применения контроллера передача сигналов от модулей контроллера во внешние устройства, осуществляется посредством коммутации кабельных линий связи, заведенных известными из уровня техники способами в стойку, где располагается контроллер, с разъемами (7) на лицевых панелях модулей (4).
Заявленный контроллер является законченным изделием, т.е. для применения в составе АСУ ТП атомных станций контроллер должен включать в свой состав все описанные компоненты (1) - (11). Другими словами, описанные компоненты (1)-(11) - это совокупность существенных признаков для реализации назначения полезной модели.
Заявляемый ПЛК, содержащий в своем составе в качестве вычислительных устройств ПЛИС на каждом модуле ввода - вывода, а также, при необходимости, однотипные модули расширяет арсенал технических средств среди ПЛК для применения в системах автоматизации атомных электростанций, выполняет те же функции, что и известные аналоги, обладая при этом признаками независимости и разнообразия (диверсности), и может дополнительно отвечать требованию резервирования (избыточности).

Claims (2)

1. Программируемый логический контроллер для применения в автоматических системах управления технологическими процессами атомных станций, содержащий объединительный каркас с объединительной платой, на которой установлены набор управляющих модулей с вычислительными устройствами и набор модулей ввода-вывода сигналов, а также набор модулей ввода питания и коммутации, в котором каждый модуль ввода-вывода сигналов выполнен в виде печатной платы с расположенным на ней вычислительным устройством, при этом в качестве вычислительных устройств в модулях ввода-вывода сигналов используют программируемые логические интегральные схемы.
2. Контроллер по п. 1, отличающийся тем, что в качестве вычислительных устройств в управляющих модулях используют программируемые логические интегральные схемы.
RU2023102854U 2023-02-09 Программируемый логический контроллер для применения в системах автоматизации RU221121U1 (ru)

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
RU2022122271 Substitution 2022-08-16

Publications (1)

Publication Number Publication Date
RU221121U1 true RU221121U1 (ru) 2023-10-19

Family

ID=

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6185110B1 (en) * 1999-01-29 2001-02-06 Jin Liu Mounting frame for mounting input/output device to conpactPCI-based computer
CN201540749U (zh) * 2009-11-12 2010-08-04 大连宝原核设备有限公司 人员闸门自动控制系统
RU2635896C1 (ru) * 2016-07-07 2017-11-16 Акционерное общество "Научно-исследовательский институт вычислительных комплексов им. М.А. Карцева" (АО "НИИВК им. М.А. Карцева") Высокопроизводительная вычислительная платформа на базе процессоров с разнородной архитектурой
US10541059B2 (en) * 2017-05-15 2020-01-21 DOOSAN Heavy Industries Construction Co., LTD Digital protection system for nuclear power plant
RU198149U1 (ru) * 2019-12-13 2020-06-22 Акционерное общество "ТеконГруп" Процессорный блок промышленного программируемого контроллера

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6185110B1 (en) * 1999-01-29 2001-02-06 Jin Liu Mounting frame for mounting input/output device to conpactPCI-based computer
CN201540749U (zh) * 2009-11-12 2010-08-04 大连宝原核设备有限公司 人员闸门自动控制系统
RU2635896C1 (ru) * 2016-07-07 2017-11-16 Акционерное общество "Научно-исследовательский институт вычислительных комплексов им. М.А. Карцева" (АО "НИИВК им. М.А. Карцева") Высокопроизводительная вычислительная платформа на базе процессоров с разнородной архитектурой
US10541059B2 (en) * 2017-05-15 2020-01-21 DOOSAN Heavy Industries Construction Co., LTD Digital protection system for nuclear power plant
RU198149U1 (ru) * 2019-12-13 2020-06-22 Акционерное общество "ТеконГруп" Процессорный блок промышленного программируемого контроллера

Similar Documents

Publication Publication Date Title
CN201837860U (zh) 用于控制多个安全关键及非安全关键进程的控制系统
US6853292B1 (en) Security control system, method for the operation thereof
US9104190B2 (en) Safety module for an automation device
US7827442B2 (en) Shelf management controller with hardware/software implemented dual redundant configuration
US6928583B2 (en) Apparatus and method for two computing elements in a fault-tolerant server to execute instructions in lockstep
US8156251B1 (en) Advanced logic system
CN107347018B (zh) 一种三冗余1553b总线动态切换方法
US8554953B1 (en) Advanced logic system diagnostics and monitoring
CN104516306A (zh) 冗余的自动化系统
CN108885573B (zh) 安全装置
RU2439674C1 (ru) Способ формирования отказоустойчивой вычислительной системы и отказоустойчивая вычислительная система
RU221121U1 (ru) Программируемый логический контроллер для применения в системах автоматизации
US6832331B1 (en) Fault tolerant mastership system and method
KR100380658B1 (ko) 삼중화 제어장치의 직렬통신을 이용한 출력장치와 그제어방법
CN110704353B (zh) 一种cpci-arinc429热插拔系统
CN114518739A (zh) 容错背板槽位分配
CN110114805B (zh) 防火控制单元
US10268613B2 (en) Redundant control system devoid of programmable devices
US20210173371A1 (en) Data processing procedure for safety instrumentation and control (i&c) systems, i&c system platform, and design procedure for i&c system computing facilities
Ossfeldt et al. Recovery and diagnostics in the central control of the AXE switching system
CN114280919B (zh) 冗余控制装置
RU2709169C1 (ru) Системный интерфейс программируемого логического контроллера
Alexander et al. Upgrading the Daresbury Personnel Safety Interlock System
KR20120000930A (ko) 시스템 중단 없이 제어보드를 교체할 수 있는 원격/원방 통합감시제어 시스템 및 그 방법
JP2006338425A (ja) 制御装置