Řídicí systém školního jaderného reaktoru VR-1

Řídicí systém školního jaderného reaktoru VR-1

Dne 3. prosince 1990 v 16.25 h bylo na tehdy nově vybudovaném školním reaktoru, typově označeném VR-1 a pojmenovaném VRABEC, poprvé dosaženo kritického stavu. Reaktor VR-1 byl zřejmě prvním jaderným reaktorem na světě s kompletním číslicovým řídicím systémem. Technické řešení a součástková základna řídicího systému odpovídaly době realizace a jsou dnes již zastaralé. Provozovatel reaktoru VR-1, katedra jaderných reaktorů Fakulty jaderně-fyzikálního inženýrství při pražském ČVUT (KJR FJFI), inovoval jeho řídicí systém.

Technické parametry reaktoru

Školní jaderný reaktor VR-1 zkonstruovala a uvedla do provozu plzeňská společnost Škoda JS. Jde o lehkovodní reaktor bazénového typu s obohaceným uranem jako palivem. Moderátorem neutronů je demineralizovaná voda, která slouží i jako reflektor, biologické stínění a chladivo. Teplo z aktivní zóny je odváděno přirozenou konvekcí. Těleso reaktoru VR-1 má tvar osmistěnu. Je vyrobeno ze stínicího betonu a jsou v něm umístěny dva bazény (nádoby). Bazénové uspořádání reaktoru umožňuje jednoduchý a rychlý přístup k aktivní zóně, snadné zakládání a vyjímání různých experimentálních vzorků a detektorů, jednoduchou a bezpečnou manipulaci s palivovými články apod.

Vnitřní části reaktoru sestávají z několika funkčních skupin, které vesměs navazují na aktivní zónu reaktoru. Patří mezi ně zejména nosný systém aktivní zóny, rošty, nosný systém regulace, měřicí kanály, provozní a měřicí potrubí a chrániliště palivových článků. V reaktorové nádobě je i plošina, která umožňuje manipulace v aktivní zóně a jejím okolí při snížené hladině vody. Základní technické parametry reaktoru VR-1 jsou uvedeny v tab. 1.

Původní řídicí systém

Jak již bylo uvedeno, reaktor VR-1 je zřejmě první jaderný reaktor na světě s kompletním číslicovým řídicím systémem. Byl vybaven prostředky pro řízení z konce 80. let minulého století, které byly v tehdejším Československu dostupné. Aby se dosáhlo požadovaných funkčních schopností a spolehlivosti řídicího systému, tvořilo základ systému dvanáct počítačů SAPI 80, které pracovaly v redundantním režimu. Jádrem těchto strojů byl jednodeskový počítač JPR-1 s legendárním mikroprocesorem Intel 8080. Programování v reálném čase bylo tehdy doménou znalců nepočetných 255 instrukcí Assembleru 8080 a opravdových mistrů v žonglování s nimi. Připustíme-li, že tehdejší osmibitové počítače Intel byly předchůdci dnešních počítačů typu IBM PC, tedy současných počítačů s procesory Intel, lze se dívat na tehdejší systémy reálného času rovněž jako na předchůdce nynějších řídicích systémů pro časově kritické aplikace.

Jako by se potvrzovalo pravidlo, že vývoj při svém pohybu vpřed opisuje rostoucí spirálu, tedy že se zdánlivě vrací zpět, ale vždy ve vyšší kvalitě. Dokladem by mohla být dnes nová kvalita řídicích počítačů a nová kvalita programovacích technik systémů reálného času. U 32bitového hardwaru se jedná o nástup jednodeskových mikropočítačů pro zabudování do strojů a zařízení, několikaprocesorové systémy nebo procesory s technikou hyper-threading (HT). U softwaru jde o nástup nových operačních systémů reálného času a odpovídajících programátorských prostředků.

Nový řídicí systém

Zatímco strojní části školního reaktoru stárnou především po fyzické stránce a navíc velmi pomalu, řídicí systém stárne daleko rychleji, zejména morálně. Snadno se tak stane, že za dobu fyzické životnosti strojní části je několikrát inovován řídicí systém. Z toho důvodu přistoupil provozovatel reaktoru k postupné inovaci původního řídicího systému. V roce 2001 začal s instalací nového ovládacího rozhraní (Human-Machine Interface – HMI, tj. rozhraní člověk-stroj neboli vizualizace). Společnost Škoda JS jako dodavatel reaktoru inovovala v roce 2002 bezpečnostní řetězec, pohony a řídicí moduly regulačních tyčí a letos byl prostřednictvím Škoda JS inovován řídicí systém reaktoru. Pro tento úkol byla vybrána společnost dataPartner s. r. o.

Nový řídicí systém musí zajišťovat bezpečnost a řízení reaktoru na dalších minimálně patnáct let. Musí tedy být na špičce soudobé technické úrovně a musí splňovat současné požadavky na zajištění jakosti a jaderné bezpečnosti.

Blokové schéma ovládacího zařízení reaktoru je na obr. 1. V rámci rekonstrukce byly původní technické prostředky nahrazeny soudobými programovatelnými automaty (Programmable Logic Controller – PLC), spolupracujícími s centrálním řídicím počítačem. K řídicímu systému je připojen počítač vizualizace (HMI), což je běžné PC se dvěma monitory. Pro měření výkonu reaktoru slouží kanály provozního měření výkonu (PMV) a nezávislé výkonové ochrany (NVO). Ochranný systém se skládá ze čtyř redundantních kanálů PMV a čtyř kanálů NVO. Aktivní jsou však pouze tři kanály, vyhodnocované v logice „dva ze tří„. Čtvrtý kanál je v záloze a může nahradit výpadek jednoho aktivního kanálu.

Hlavním úkolem řídicího systému reaktoru VR-1 je vyhodnocovat data z bezpečnostního systému reaktoru a předávat je ovládacímu rozhraní HMI. Dále řídicí počítač zajišťuje doplňkové bezpečnostní funkce a podílí se na ovládaní bezpečnostního řetězce, přijímá příkazy z HMI, a jsou-li povoleny, vykonává je. Řídicí systém rovněž ovládá pohyb regulačních tyčí řídících řetězovou štěpnou reakci v reaktoru.

Shrnuto, spočívá jádro řídicí úlohy ve sledování provozních stavů reaktoru a v přísně deterministickém rozhodování o přípustnosti požadovaných operací obsluhy nebo rozpojení bezpečnostního řetězce pro zastavení štěpné reakce v případě nebezpečí.

Další důležitou funkcí řídicího systému je automatický regulátor výkonu reaktoru. Regulátor musí mít z důvodu jaderné bezpečnosti přísně deterministické chování, takže nelze použít prediktivní ani adaptivní regulátory, které by pro řízení výkonu z hlediska historie vzniku a života pomalých neutronů vyhověly nejlépe. Místo toho je použit poměrně jednoduchý regulátor, který pracuje na principu vyhodnocování okamžité regulační odchylky.

Sběr dat a bezpečnostní funkce

Pro řídicí systémy jaderných zařízení je specifický velmi široký rozsah analogových hodnot technologických proměnných. Přitom kritická situace může nastat i při jejich velmi malých hodnotách. Data, která získává řídicí systém z kanálů PMV a NVO, nesou informaci o výkonu reaktoru a rychlosti změny výkonu. Výkon je měřen v rozsahu 0 až 109 impulsů za sekundu (dále imp./s) z kanálů PMV a 0 až 104 imp./s od kanálů NVO. Rychlost změny výkony se pohybuje v rozsahu ±99,9 u obou typů kanálů. Dále řídicí systém dostává údaje o provozním stavu a režimu příslušného kanálu.

Řídicí počítač přijímá příslušné naměřené údaje, porovnává je se stanovenými bezpečnostními limity a v případě jejich překročení u dvou ze tří kanálů VM nebo VO aktivuje bezpečnostní řetězec.

Použité řešení

Software
Jako softwarová základna je použit operační systém Windows XP s doplňkem Real-Time eXtension (RTX) pro běh aplikací v pevném reálném čase od společnosti VenturCom. Doplněk RTX umožňuje deterministický běh a řízení aplikací v pevném reálném čase na standardní platformě Windows (2000/XP a XP embedded). Je těsně integrován s jádrem Windows a pro plnění svých funkcí využívá služby Windows a rozhraní Win32 API. Svojí činností eliminuje náklady za přídavný hardware a procesorovou jednotku pro reálný čas v aplikacích Windows. Exekutiva RTX má velmi krátké doby reakce – doba potřebná k přepnutí kontextu vlákna je od 0,2 µs nahoru a typická reakční doba obsluhy přerušení pro nejhorší případ je kratší než 25 µs.

Vlastní programové vybavení řídicího systému reaktoru vychází z běžné verze řídicího systému DisCO, který vyrábí společnost dataPartner. Pro použití v řídicím systému reaktoru je použit systém DisCO v provedení fast SCADA pod označením fDisCO. Tato verze obsahuje několik speciálních úprav, které sice zužují obecnost použití systému DisCO, ale zato rozhodujícím způsobem přispívají ke kvalitě deterministického chování a spolehlivosti programu, což je nutné pro řízení jaderného zařízení. Jedná se zejména o úpravy, které vedou:

• ke statickému běhu jádra, tj. bez průběžné alokace paměti za běhu systému,
• k použití pevného (zakompilovaného) datového modelu,
• k použití pevných (zakompilovaných) blokovacích podmínek a varovných hlášení,
• k běhu systému v pevném reálném čase.

Řídicí program fDisCO je složen z jádra systému a z knihoven (komunikace, datový model, blokovací podmínky atd.), které obsahují autorizační zabezpečení, takže je vyloučena záměna některé části jinou verzí (obr. 2). Kontrola kompletnosti a konzistence komponent při startu systému umožní spustit řídicí program pouze při kladném výsledku. V průběhu spouštění je pořízen automatický zápis (protokol o spuštění), který slouží jako podklad pro diagnostiku.

Veškerá komunikace řídicího systému s periferními zařízeními se uskutečňuje v pevném reálném čase. Sběrnicí Profibus jsou připojeny PLC pro řízení pohybu a snímání polohy regulačních tyčí, sběr technologických signálů a obsluhu tlačítek pultu operátora. Osmi linkami RS-232 jsou připojeny kanály pro snímání neutronového toku. Kartou binárních výstupů je realizován periodický výstup signálu do bezpečnostního řetězce. Počítač vizualizace je připojen mimo reálný čas prostřednictvím sítě Ethernet.

Program fDisCO má grafický výstup pouze v podobě stavové tabulky pro zjištění aktuálních hodnot technologických veličin nebo servisní zadávání dat a povelů (tzv. man-entry). Pro sledování vybraných událostí slouží výpis událostí v podobě tzv. žurnálu s definovanou hloubkou historie, za kterou zaznamenané události mizí. Vybrané změřené hodnoty, sejmuté stavy a vzniklé události se nearchivují v řídicím počítači, ale v zařízení HMI.

Hardware
Celý řídicí počítač je z produkce společnosti Nexcom (obr. 3). Je vestavěn do 19" šasi, umožňujícího montáž do rozváděče. Šasi je z důvodu požadované úrovně bezpečnosti vybaveno redundantním napájecím zdrojem 2 × 300 W. Architektura počítače je sběrnicová (backplane) se zásuvnými pozicemi pro použité karty PCI. Procesorová karta dovoluje současně zpracovávat dvě fronty programových vláken (hyper-threading). Počítač dále obsahuje karty sériových portů, sběrnice Profibus a kartu binárních vstupů a výstupů.

Řídicí počítač je vybaven vnitřním monitorovacím systémem Nexcare pro sledování úrovní napájecích napětí, teplot a otáček ventilátoru chlazení. Vybočení sledovaných parametrů z pásma provozních hodnot vyvolá varovné hlášení na pultu operátora.

Výkonnost řídicího systému

Modernizovaný řídicí systém dosahuje těchto reakčních dob:

• vyhodnocení bezpečnostní podmínky a zásah do bezpečnostního řetězce: zaručeně dříve než za 10 ms,
• regulační zásahy: typicky dříve než za 5 ms, zaručeně dříve než za 25 ms.

Perioda komunikací cyklicky probíhajících v systému je takováto:

• vydání signálu pro bezpečnostní řetězec: 10 ms,
• komunikace s PLC: 20 ms,
• komunikace s měřicími kanály PMV a NVO: 100 ms,
• komunikace se zařízením HMI: 300 ms.

Tab. 1. Základní technické parametry reaktoru VR-1

Závěr

Náhrada řídicího systému na bázi SAPI 80 byla pro společnost dataPartner především velkou technickou výzvou. Cílem bylo realizovat zařízení podle náročného technické zadání založeného na požadavcích jaderné bezpečnosti, tj. dosáhnout nezbytné velké spolehlivosti a rychlosti řídicího systému, a to s minimem prostředků. Skutečnost, že se to podařilo, je důkazem vynikajících schopnosti použitých prostředků. Přitom nejde o prostředky nijak zvláštní, ale takové, které jsou běžně na dosah všem vývojářům softwaru a systémovým integrátorům.

Ing. Ladislav Reisner,
dataPartner s. r. o.

dataPartner s. r. o.
Dukelská 64
370 01 České Budějovice
tel.: 386 104 311
fax: 386 104 319
e-mail: kontakt@datapartner.cz
http://www.datapartner.cz