В настоящее время всё большее распространения получают различные автоматизированные системы. Одним из таких примеров является система управления машиной перегрузки топлива для реакторов типа ВВЭР-1000, разработанная НИИ МВС ТРТУ. Эта АСУ является системой управления объектом повышенной опасности, поэтому к ней предъявляются особые требования по предотвращению аварийных ситуаций. К сожалению полностью исключить ошибки нельзя, одной из причин этого является присутствие человека и возможность его ошибки. Поэтому устройство, отвечающее за приём информации от оператора и передачу команды на исполнительный механизм должно минимизировать количество возможных ошибок оператора, иметь несколько уровней защиты от ввода несанкционированной команды, а так же гарантировать достоверную передачу команды на исполнительное устройство. Особенно этот вопрос актуален для систем управления объектами повышенной опасности.

Данная система имеет несколько способов управления процессом перегрузки топлива, а именно: автоматический, пооперационный, ручной без блокировок. Основным средством ввода команды в пооперационном и ручном режиме является функциональная клавиатура. Это устройство предназначено для ввода управляющих команд непосредственно исполнительными механизмами. Соответственно оно должно отвечать требованиям повышенной надёжности и предотвращать ошибки оператора, гарантировать выполнение введённой оператором команды.

Для этого функциональная клавиатура имеет несколько уровней обеспечивающих безопасность работы системы:

1. На аппаратном уровне:

  • самодиагностика основных функциональных узлов;

 

2. На уровне человеко-машинного интерфейса:

  • идентификация пользователя;
  • эргономические решения, упрощающие ввод команды.

 

3. На уровне ПО:

  • блокировка неправильно введённой клавиши;
  • корректировка клавиш в случае неправильно заданной команды;
  • анализ команды и разрешение для передачи только корректных команд;

 

4. На уровне организации интерфейса связи с внешним устройством:

  • гарантирование доставки команды;
  • дублирование команды (передача в два канала);
  • анализ состояния лини передачи данных и идентификация сбоя;
  • анализ состояния принимающего устройства;
  • блокировка передачи команды в случае сбоя в линии передачи данных;

 

Первый уровень безопасности:

Так как функциональная клавиатура является устройством ввода/вывода информации, то тестированию подлежать узлы, отвечающие за приём информации от пользователя, передачу её в сеть и органы визуализации. Предлагается проведение самотестирование в трёх случаях: при инициализации устройства, полное самотестирование в режиме диагностики и частичная диагностика (проверка состояния индикаторов) в процессе работы. В данном алгоритме не учтена специфика перехода в режим диагностики, подразумевается, что режим диагностики инициализируется и прекращается внешним устройством, а результат диагностики устанавливается оператором нажатием соответствующей комбинации клавиш. Частичная же диагностика инициализируется нажатием клавиши «Тест».

Второй уровень:

В данном устройстве предложено разбиение клавиш на функциональные группы, облегчающие оператору понимание вводимой команды, а так же визуализацию уже заполненных полей команды, таким образом, чтоб оператор мог видеть всю набранную комбинацию, перед её отправкой. Группы располагаются сверху вниз в порядке необходимом для набора команды, например: механизм – направление – скорость – отправка команды. Функциональные группы, имеющие одинаковое взаимоисключающее назначение располагаются справа налево, например, направление – координата. Так же было предложено объединить некоторые клавиши, имеющие различное назначение для различных несовместимых команд, например клавиша «вверх, влево, по часам». Это исключает возможность ввода команды перемещение «вверх или влево» для поворотного механизма и т.д. Так же в данном устройстве предусмотрена идентификация пользователя, а именно чтение электронного ключа.

Третий уровень:

Для предотвращения ввода некорректной команды необходим анализ вводимых данных. В некоторых системах осуществляется анализ уже введённой команды, устройствами верхних уровней, однако это вариант имеет ряд недостатков, а именно дополнительная загрузка сети, неверными командами, увеличивается вероятность ошибки оператора, в режимах работы без блокировок, где команда без обработки передаётся на исполнительный механизм. Целесообразней осуществлять предварительный анализ нажатых клавиш непосредственно самим устройством ввода, а именно при нажатии клавиши запоминать состояние каждой клавиши в ОЗУ, при каждой последующей операции проверять состояние уже выбранных клавиш и принимать решение о блокировки нажимаемой клавиши, корректировке состояния уже нажатых или же разрешения нажатия. Применение данного способа позволяет удовлетворить требования.

Для упрощения задачи анализа команды, разрешённой для передачи, формировать пакет лучше сразу же при наборе команды, причём формат пакета должен быть выбран таким образом, что каждая группа клавиш занимает свое определённое поле, например поле скорости, поле типа механизма, поле направлений и т.д (см. рисунок 2). В этом случае упрощается анализ пакета, т.к. возможно отслеживать не каждую конкретную комбинацию клавиш, а определять все ли параметры введены (отличны от 0 функциональные группы клавиш), и а принимать решении разрешена или нет команда к отправке. К тому же разделение пакета по функциональным группам исключает возможность ввода взаимоисключающей команды, например ввод команды «влево» и «вправо» одновременно. Кроме того, при попытке задания такой комбинации легко отследить данную ошибку оператора и произвести соответствующую корректировку иди блокировку.

Четвёртый уровень:

Кроме предотвращения ошибок оператора, пульт работающий на объектах повышенной опасности должен обеспечивать идентификацию и по возможности предотвращение аварийных ситуаций в линиях передачи данных, а так же гарантировать доставку пакета (команды).

В данном устройстве используется сеть Ethernet, т.к. на сегодняшний день это самая распространенная стандартная сетевая технология, насчитывающая, по оценкам экспертов, более 100 млн. пользователей. Поэтому кажется вполне логичным распространить Ethernet в системы промышленной автоматизации (тем более что большинство специалистов, работающих в этой области, в той или иной степени знакомы с особенностями Ethernet). К тому же изменения, внесенные в стандарт Ethernet в последние годы, сделали эту технологию достаточно привлекательной для решения задач промышленной автоматизации. Речь идет о дополнениях, не только обеспечивающих возможность повышения быстродействия (скорость передачи данных 10, 100 Мбит/с или 1 Гбит/с превосходит показатели полевых шин: быстродействие большинства из них не превышает 1-2 Мбит/с, а наиболее производительная сеть, Profibus, имеет пропускную способность 12 Мбит/с), но и позволяющих применять Ethernet в системах реального времени. Однако Ethernet не предусматривает каких-либо мер по гарантированию доставки пакета, в отличи от промышленных интерфейсов (например CAN). Для решения этой проблемы предлагается организовать собственные протоколы верхнего уровня, позволяющие отслеживать состояние переданного пакета и состояние внешнего устройства, с которым ведётся обмен.

Для этого в каждом пакете предусматривается наличие полей состояния устройства, например состояние клавиш, состояние индикаторов, состояние сетевых каналов и т.д. Кроме того, для анализа выхода из строя какого либо устройства, обмен информации организуется, следующим образом: внешнее устройство постоянно отправляет пакеты запросы состояния пульта, а последний отправляет пакеты подтверждения на соответствующий запрос. Каждый запрос имеет поле идентификатор, а ответ должен содержать такой же идентификатор. Если внешнее устройство выходит из строя, или повреждается лини передачи, то это легко выявляется, отсутствием пакетов запроса более 0,5 сек.

Кроме пакетов идентификации состояния устройства необходимо наличие пакетов с данными. Один из вариантов отправлять данные - это упаковывать их в пакеты ответа, однако это значительно снизит время реакции системы, а при увеличении темпа обмена сократить пропускную способность линии из-за коллизионного доступа к среде. Такой способ можно использовать при передаче данных от внешнего устройство к функциональной клавиатуре, т.к. в этом случае данные содержат состояния индикаторов, и нет необходимости быстрой реакции пульта на изменение состояния механизма. К тому же возможен анализ доставки данных по наличию пакета ответа. А вот в обратном направлении (от ФК к внешнему устройству) целесообразно чтоб инициатором была ФК, т.к. в этом случае необходимо быстрая реакция системы на команду оператора. К тому же в этом случае необходима гарантия передачи пакета, особенно для команд аварийной остановки механизма. Поэтому при отправке пакета с данными, ФК устанавливает уникальный идентификатор пакета с командой и ожидает пакета подтверждения именно на это команду, в случае его отсутствия в течении 100 мс, повторяется передача пакета и так пока не будет получен ответ или не буде произведено 10 попыток. В случае отсутствия пакета подтверждения считается, что команда не принята к исполнению, и внешнее устройство работает со сбоем. Т.к. характер поломки принимающего устройства может быть различный, ФК прекращает передачу команд при обнаружении ошибки принимающего устройства (отсутствие пакетов запроса и пакетов подтверждения).

Применение описанных степеней защиты удовлетворяет требованиям норм и правил к управляющим системам, важным для безопасности атомных станций НП-026-01 в части автоматического и автоматизированного выполнения функций безопасности, в части автоматического и автоматизированного управления технологическим оборудованием систем нормальной эксплуатации, в части многоуровневого воздействия на средства управления технологическими параметрами, по которым определены пределы безопасной эксплуатации, а так же в части автоматических защит и блокировок оборудования.

Наличие четырехуровневой системы безопасности позволило значительно увеличить безопасность системы управления о чём свидетельствуют эксплуатационные испытания данной системы управления в период планово-профилактического ремонта на энергоблоке №1 Волгодонской АЭС в мае 2005.

Перчиц А.Н.