CompactPCI для решения ответственных задач автоматизации в атомной энергетике

Разработка автоматизированных систем контроля и управления с повышенными требованиями к надёжности имеет определённые особенности, выделяющие её среди других задач автоматизации. А промышленность, и в особенности энергетика, дополняют эти особенности своей спецификой. И в этом смысле одним из самых показательных вертикальных рынков, с точки зрения повышенных требований к конечным изделиям, является рынок информационных и управляющих систем в атомной энергетике.

В настоящее время на атомных станциях Украины работает 15 энергоблоков общей мощностью 13835 МВт. По официальным данным на эксплуатирующую организацию — ГП НАЭК «Энергоатом», в 2007 году пришлось 47, 5% всего объёма выработанной в Украине электроэнергии — это на 2, 7% больше, чем в 2006 году. Коэффициент использования установленной мощности увеличился на 2, 0%. За «сухими» значениями этих показателей стоит громадный объём выполненных работ и вполне определённое оборудование. Ведь на рост производственных показателей влияет множество факторов, среди которых не последнее место занимает успешная модернизация оборудования, систем и элементов, в частности АСУ ТП.

Постановка задачи

С точки зрения сегментации, рынок АСУ ТП АЭС фактически поделён между небольшим количеством достаточно крупных предприятий, каждое из которых специализируется на разработке и изготовлении тех или иных систем, входящих в состав АСУ ТП, разработке программного обеспечения или выполнении пуско­наладочных работ. Изделия (системы), производимые этими предприятиями и предназначенные для АЭС, носят специализированный характер и разрабатываются в соответствии со специфическими требованиями, жёстко регламентированными специальными нормативными документами. Объём и жёсткость требований к архитектуре систем, применяемым компонентам и программному обес­печению зависят от функций систем и их влияния на безопасность АЭС.

В то же время, практически во всех системах необходимо реализовать функции визуализации информации, человеко-машинного взаимодействия, обработки и хранения данных, шлюзовые функции для связи между подсистемами или связи с внешни­ми системами и т.д. Для реализации перечисленных функций обычно используются компьютеры с процес­сорами общего назначения. Таким образом, все разработчики рано или поздно сталкиваются с проблемой выбора аппаратной платформы для реализации этих функций.

В чем же заключается проблема выбора платформы для создания компьютерной станции общего назначения для ответствен­ной системы АСУ ТП?

Как известно, самыми распро­странёнными процессорами обще­го назначения на сегодняшний день являются ЦПУ архитектуры х86 (здесь и далее под х86-процессорами будем понимать процессоры (в том числе и многоядерные), поддержи­вающие систему команд х86) от Intel. Основные тому причины — широкое распространение самой архитектуры, простота рабо­ты с настольными и встраиваемыми системами одной архитектуры, высо­кая производительность процессоров при доступной стоимости, наличие на рынке встраиваемых процессоров с пониженным уровнем тепловыделения и длительным сроком поддержки и мн. др.

Не секрет, что большинство сов­ременной компьютерной техники, включая промышленные компьютеры, выполнено с использованием х86­процессоров. А обилие и доступность инструментальных средств разработ­ки программного обеспечения (ПО) для х86-платформ делает их особо привлекательными для разработчи­ков систем автоматизации. Поэтому выбор аппаратной платформы (здесь и далее под аппаратной платформой подразумеваются базовые комплектующие уровня плата/шасси для создания компьютерных станций верхнего уровня ответственных систем конт­роля и управления) для большинства разработчиков лежит в плоскости выбора форм-фактора (под форм­фактором здесь понимается физи­ческое исполнение комплектующих уровня плата/шасси, соответствие тому или иному стандарту механи­ки, устанавливающему, в частности, базовые размеры, питание, устойчивость к воздействию внешних факторов), обеспечивающего соответствие компьютера требованиям к конечному изделию.

Понятно, что другие харак­теристи­ки определяемой к использованию платформы также не уйдут от требовательного взгляда разработчика.

Однако следует напомнить, что возможность выбора производительнос­ти и просто доступность процессора уже определены широчайшей номенклатурой х86-совместимых процессо­ров, доступных на рынке. А функциональные возможности аналогичных комплектующих в разных форм-факторах являются сходными, и подобрать изделие той или иной функци­ональности в рамках определённого формата значительно проще, чем не ошибиться в выборе самой платформы для разработки ответственных систем с длительным сроком служ­бы и присутствия на рынке. Кстати, вопрос длительного присутствия на рынке приобретает особое значение в системах повышенной ответственности, где разработчик, да и конечный пользователь, должны иметь 100% гарантию того, что и через 5 лет приобрести используемую плату будет возможно. Но мы ещё вернемся к этому вопросу.

Требования к ПТК, ИУС и ТС

Описание и анализ действующей нормативной документации, отно­сящейся к программно-техничес­ким комплексам, информационно­управляющим системам, а также непосредственно требований к тех­ническим средствам автоматиза­ции является отдельным вопросом и заслуживает особого внимания. Мы не ставим перед собой целью экскурс в действующую норматив­ную документацию. Да и провес­ти такой анализ в рамках одной статьи видится затруднительным. Остановимся лишь на некоторых требованиях, предъявляемых к техническим средствам автоматизации на объектах атомной энергетики.

Кроме общих требований действующей в Украине нормативной доку­ментации (НД), технические средства (ТС) на объектах атомной энергетики рассматриваются также с точки зрения обеспечения ядерной и радиационной безопасности. НД, в частности, устанавливает такие требования к информационным и управляющим системам (ИУС) и программно-техническим комплексам (ПТК) как:

• требования к точности;
• требования к временным характеристикам;
• требования по надёжности;
• требования к интерфейсу «человек­машина»;
• требования по стойкости к воздейст­вию внешних факторов;
• требования по стойкости к изменению параметров электропитания и др.

Необходимым, согласно НД, также является соблюдение принципов:

• единичного отказа;
• резервирования;
• независимости;
• разнообразия и др.

Задача приведения в соответствие системы/комплекса может быть реше­на разработчиком значительно проще и быстрее, если ТС, на основе кото­рых строится система/комплекс, также выбраны с учётом соответствующих требований НД, среди которых:

• требования по стойкости к воздейст­вию окружающей среды;
• требования по устойчивости к меха­ническим воздействиям;
• требования по стойкости к воздейст­вию электрических полей;
• требования по стойкости к измене­нию параметров электропитания;
• требования по электромагнитной совместимости;
• требования по надёжности и т. д.

Компромисс с собой

Конечно, кроме требований НД при выборе всегда присутствует баналь­ный, но далеко не последний фактор – цена. Однако попытка применения в системах АСУ ТП АЭС офисного компьютерного оборудования, как прави­ло, приводит к заранее «провальному» компромиссу между ценой и реализа­цией функций системы с требуемыми показателями надёжности. В этом случае единственным возможным вариан­том выполнения рабочих станций на основе desktopPC становится искусственное «выведение» многих функций станции из перечня «высоконадёжных», выполняемых при любых (определённых жёсткими требованиями) условиях. Ценой такого «компромисса» является неполное соответствие системы требованиям к ней и невозможность системы решать подчас жизненно необходимые задачи в условиях реально критичес­кой обстановки. А кому, как не нам с вами — пережившим и переживающим Чернобыльскую трагедию, знать о последствиях такого «компромисса».

Отдельным нерешённым вопросом в случае использования обычных ПК остаётся устойчивость к воздействию окружающей среды, электрических полей и т. д. (см. перечень требований к ТС). Даже такой, казалось бы, мало­значительный показатель как рабочий диапазон температур оставляет желать лучшего. Обычная офисная техника, как правило, предназначена для эксплуата­ции при температурах до +40°С. Но, несмотря на кажущиеся офисные усло­вия, например, на щите управления энергоблоком, где установлена операторская станция, не следует забывать, что температура в относительно закрытой тумбе оператора может достигать и +50°С. А в промышленном шкафу высотой 2м, заполненном оборудо­ванием, воздух в некоторых случаях нагревается и до +60°С.

Другой «миной замедленного дейс­твия», заложенной в низкую стои­мость офисного оборудования явля­ется срок жизни компьютеров и такая положительная, казалось бы, во всех отношениях высокая динамика разви­тия рынка компьютерных компонен­тов. Дело в том, что, как упоминалось выше, замена оборудования на АЭС производится, как правило, не чаще одного раза в 10 лет. Но ресурс офис­ной техники значительно ниже. Кроме того, срок службы уменьшают относи­тельно жёсткие условия эксплуатации техники и круглосуточный режим работы. Таким образом, через 2—3 года техника уже требует замены, и вопрос финансирования снова становится актуальным. Кроме того, согласно регламентам, действую­щим на объектах атомной энергетики, ремонт и замена определённого оборудования невозможны на работающем энергоблоке. А внеплановый останов последнего выливается в миллионные, а то и миллиардные убытки!

Но и это ещё не всё. Часто уже через год—два найти на рынке новую офисную материнскую плату той же модели или хотя бы на основе тех же компонентов, к которым часто привя­зано ПО, невозможно. А это значит, что вместо замены компьютера необ­ходимо переписывать или модернизировать ПО, переделывать документацию – снова тратить деньги.

Даже без учёта денежных и времен­ных затрат на ремонтный персонал, такие проблемы с содержанием тех­ники могут значительно превысить начальную стоимость самого обору­дования. Следовательно, имеем уже как минимум двойную стоимость эксплуатации, и кому-то эти расходы придётся понести.

Таким образом, повышенные требования фактически исключают исполь­зование обычной офисной ком­пьютерной техники при реализации множества функций, определённых соответствующей НД.

Половинчатое решение
Конечно, все эти проблемы извест­ны, и уже давно ведутся поиски их решения. Одним из таких частных решений стала спецификация PICMG 1.0 и оборудование, выполненное в соответствии с этим стандартом. Проще говоря, обычные промыш­ленные компьютеры на основе пассивной объединительной панели ISA/PCI (а сегодня уже и PCI Express – спецификация PICMG 1.3).

Спецификация PICMG 1.0 создавалась как расширение офисных компьютерных стандартов для прибли­жения к промышленным условиям использования, и на сегодняшний день является базовым стандартом при создании промышленных рабочих станций общего назначения. Почему же пром-ПК, нашедшие широкое при­менение при решении общих задач промышленной автоматизации, могут быть лишь частным решением про­блем компьютерной автоматизации в атомной энергетике?

Для того чтобы ответить на этот вопрос, снова обратимся к требованиям к ТС автоматизации для атомных стан­ций. Рабочий температурный диапазон промышленных ПК, как правило, шире офисных, но не превышает +50°С. Обычные пром-ПК не имеют специальной электромагнитной защиты и не способны в полной мере удовлетворить повышенным требованиям по стойкости к воздействию электрических полей и электромагнитной совместимости. Несмотря на применение в корпусе дополнительных элементов жёсткости для укрепления полноразмерных плат большой длины, в PICMG 1.Х исполь­зуются те же, что и в офисных ПК, ламельные разъёмы. А это отнюдь не добавляет требуемой устойчивости к вибрационным и ударным нагрузкам.

Кроме того, на промышленных платах могут применяться как компоненты для собственно промышленного использования, так и обычные компоненты офисного назначения. Например, на процессорных платах могут использоваться процессоры Intel из продуктовой линии Desktop или Embedded. В случае использования Desktop-процессора плата характеризуется высоким энергопотреблением и, как следствие, значительным тепло­выделением, «добавляющим градус» в и без того уже высокую температуру окружающей среды. Встраиваемые (Embedded) процессоры имеют более совершенную, многоступенчатую за­щиту от перегрева и часто не требуют активного охлаждения на плате. Это ещё одна причина, по которой имеет смысл ориентироваться на производителей—мировых лидеров. Такие компании ответственно подходят к разработке своих изделий и подбору компонентов, разделяя продукцию, например, на базовые и встраиваемые платы, как это делает Kontron.

Кроме этого, срок производства и поддержки компонентов для обычных ПК значительно ниже, чем аналогич­ных для встраиваемых компьютеров. И, чтобы обезопасить себя и конечного пользователя в этом вопросе, можно предварительно обратить внимание на заявленные производителем компонентов сроки поддержки. Проведение такого анализа может потребовать значительных времен­ных затрат. А чтобы не терять времени на выяснение жизненного цикла каждого чипа на плате, возможен и более простой подход – уточнить у поставщика/производителя жизненный цикл платы/модуля, как конечного изделия. Например, Kontron гарантирует доступность своих изделий в течение минимум 5 лет, а некоторых – в течение 7 и более лет. В этом случае Вы уже не зависите от производителя, собственно компонентов на уровне чипов, а гарантированно сможете получить готовый модуль/плату в течение заявленного периода времени.

Панацея от всех бед

Итак, применение обычных промыш­ленных компьютеров является лишь частичным решением проблем при построении компьютерных станций верхнего уровня систем автоматизации для АЭС. И это было понятно уже при публикации спецификаций PICMG 1.X.

Для полного удовлетворения повы­шенных требований к компьютерной технике промышленного применения была разработана и опубликована спецификация PICMG 2.0. А стан­дарт на основе группы спецификаций PICMG 2.Х – CompactPCI, за годы своего существования стал де-факто основой для создания ответствен­ных компьютерных систем высокой надёжности.

Не приводя сухих цифр спецификаций и протоколов испытаний – их всегда можно посмотреть в соответствующих документах, отметим лишь основные моменты, подтвержда­ющие преимущества CompactPCI. Диапазон рабочих температур обо­рудования CompactPCI производства Kontron в стандартном исполнении, то есть на базе стандартных встра­иваемых компонентов, – от 0°С до +60°С. Тщательно продумана кон­цепция охлаждения каждого модуля в отдельности и обеспечена надёжная общая схема отвода тепла из системы. Выпускается оборудование и для рас­ширенного температурного диапазона —
от -40° С до +85°С, например, платы CP6001-R2/R3. Причём такой широкий диапазон температур обеспечивается не отбором готовых изделий тестированием, а подбором элементной базы, предназначенной для работы при таких температурах. Хотя и температурные испытания в этом случае также проводятся для 100% изделий.

В случае работы в условиях высо­кой запыленности оборудование CompactPCI может иметь полностью пассивное охлаждение, как на уровне модулей, так и на уровне всей системы.

Высокие, по сравнению с обычны­ми пром-ПК, показатели устойчивос­ти CompactPCI-оборудования к меха­ническим воздействиям «заложены» уже на уровне базовой спецификации. Вибро-, ударостойкость обеспе­чена следующими основными поло­жениями спецификации:

• использование самого попу­лярно­го в мире стандартного промыш­ленного евроконструктива 3U (100 х 160 мм) и 6U (233 х 160 мм), обладающего достаточным запасом механической прочности;
• применение высоконадёжных многорядных штырьковых соедините­лей МЭК 076-4-101, контакты кото­рых дублированы;
• жёсткая вибростойкая схема четы­рёхточечного крепления всех без исключения модулей в каркасе, независимо от их назначения и функционального использования.

От некоторых автоматизированных систем для АЭС требуется выполнение критических функций в таких экстренных условиях как землетря­сение, падение самолёта, попадание ракеты, взрыв и т. п. В этом случае дисковые накопители, имеющие в своей основе вращающиеся элементы – обычные HDD, CD, DVD, не могут обеспечить выполнение требуемых функций. И на помощь должны приходить диски других типов. В оборудовании CompactPCI, например, широкое распространение получили съёмные флэш-диски CompactFlash, а также запаянные на плате флэши типа NAND. Такие диски имеют стандарт­ные интерфейсы, поддерживаемые набором системной логики. Кстати, элементы набора системной логики также подбираются тщательно, с учё­том возможности их использования в жёстких условиях эксплуатации и длительной поддержки производителем.

Естественно, что в условиях высо­ких вибрационных нагрузок не может быть и речи о применении такого стандартного для всех офисных и промышленных ПК элемента, как «план­ки памяти». В системах CompactPCI с повышенными требованиями к виб­роустойчивости применяется ОЗУ, запаянное на плате.

Источники питания (ИП) CompactPCI обеспечивают стабильное и надёжное питание в широком диапазоне входных напряжений сети постоянного или пере­менного тока. Часто применение таких ИП помогает не только сэкономить средства на закупку дополнительных ТС, таких как вторичные ИП, но и приме­нить системное решение, позволяющее более точно достичь соответствия требованиям к питанию всей системы.

Например, ИП от сети постоянного тока CP3-SVE-M120DC, поставляемые Kontron вместе с оборудованием CompactPCI, обеспечивают питание от сети с входным напряжением от 8, 5 до 36 В. Для источника CP3-SVE-M75DC диапазон составляет 20—60 В. ИП пере­менного тока имеют стандартный для компьютерной техники входной диапазон от 115 до 230 В. При этом в системах CompactPCI предусмотрено использова­ние нескольких ИП с различными схемами их работы, включая резервирование или работу на общую мощность.

Электромагнитную совместимость и защиту от электромагнитных помех элементов и систем CompactPCI обеспечивает специальная электро­магнитная защита каждого модуля и системного блока в целом. Таким образом, устойчивость оборудования к воздействию внешнего элект­ромагнитного излучения определена, опять же, на уровне самого стандарта. И разработчику, использующему CompactPCI, нет необходимости принимать ответственные технические решения или применять дополнительные средства для обеспечения соот­ветствия системы предъявляемым к ней требованиям. Всё уже сделано за него. А разработчику документации на систему остаётся лишь переписать из документации на оборудование соответствующие характеристики.

Спецификацией PICMG 2.1 стан­дарта CompactPCI определена возможность и основные механизмы реализации горячей замены. Оборудование, выполненное соглас­но PICMG 2.1, поддерживает все сигналы, необходимые для обеспечения замены периферийных модулей «на ходу», без выключения питания, что в принципе невозможно в обычных офисных и промышленных компью­терах. Это относится и к модулям питания CompactPCI. Соответствие оборудования CompactPCI Hot Swap Specification PICMG 2.1 R2.0 обеспечи­вает индивидуальную горячую заме­ну для каждого из слотов пассивной объединительной панели.

Оборудование CompactPCI позволяет реализовать ввод/вывод на передней и/или тыльной стороне кор­пуса системного блока. Такое удоб­ное свойство оборудования кажется незначительным при работе с офис­ными ПК, обслуживание и модернизация которых может вестись в любое время и в удобном для ремонтного персонала месте. Однако, для систем с повышенными требованиями к надёжности, оборудование кото­рых установлено в труднодоступных местах, а временные требования по восстановлению и готовности которых жёстко определены, такая возмож­ность приобретает особое значение. Ведь от того, как быстро будет заме­нен тот или иной модуль в системе АЭС, важной для безопасности, может зависеть нечто большее, нежели поте­ри от простоя оборудования. И имен­но CompactPCI обеспечивает прямой и быстрый доступ к модулям, а в купе с горячей заменой позволяет оператив­но заменить модуль прямо с передней панели, не открывая корпус компьюте­ра и не отключая его от сети питания.

Что касается надёжности самого оборудования CompactPCI, то её пока­затели, конечно же, варьируются от производителя к производителю. Для определения надёжности промышленного компьютерного оборудования производители обычно используют расчётный показатель среднего времени наработки на отказ или, если быть точным, – Mean Time Between Failures (MTBF; поскольку определение ГОСТ­овского термина «средняя наработка на отказ» несколько отличается от показателя MTBF, а в контексте статьи речь идёт именно о показателе MTBF, используемом зарубежными фирма­ми производителями, то и мы будем оперировать термином «MTBF»).

Для офисного оборудования MTBF определяют, а тем более заявляют открыто, крайне редко — в этом прос­то нет необходимости. Для промыш­ленных компьютеров этот показатель, как правило, находится в пределах 30–100 тыс. часов. Что же касается CompactPCI, то это 130—200 и более тысяч часов. Конечно, для различно­го типа оборудования даже в рамках одного и того же форм-фактора значение показателя MTBF может быть очень разным. Например, MTBF для процессорного модуля CompactPCI СР6001 производства Kontron состав­ляет более 180 тысяч часов, а для модуля питания CompactPCI GK200­4-cPCI 24V производства Eplax – более 500 тысяч часов.

Для определения значений пока­зателей надёжности могут быть использованы разные методики. Но на сегодняшний день, имея 13 лет успешного применения CompactPCI, можно смело утверждать, что надёжность оборудования CompactPCI по отношению к обычным пром-ПК выше, если не на порядок, то в разы. И относительные значения MTBF, полу­ченные на основе различных методик расчётов, этот факт подтверждают.

Трудный выбор

Конечно, кроме стандарта Compact-PCI, существует масса других спецификаций, стандартов, разработок и т. п., которые не только не уступают CompactPCI по надёжности, но за счёт применения дополнительных программно-аппаратных средств опережают его. Но однозначно можно гово­рить о том, что второго стандарта, получившего такое же распростране­ние на рынке, полностью программно совместимого с офисными компью­терами и имеющего столь высокую надёжность, в мире нет. И, наверное, не скоро появится. Поэтому, «прожив» на рынке уже более 10 лет, CompactPCI не собирается «уходить», находя новые применения.

Иногда можно слышать мнение, что компьютеры Com­pactPCI имеют более высокую стоимость по срав­нению с обычными пром-ПК. Это действительно так. Не имеет смыс­ла использовать высоконадёжную, отказоустойчивую, относительно дорогую технику там, где показате­ли надёжности не имеют большого значения, а выход из строя компью­тера не приведёт к значительным убыткам и/или потере здоровья и даже жизни людей. Поэтому часто такие задачи как общая обработка, визуализация, передача, архивиро­вание и хранение данных в системах с повышенными требованиями реализуются на основе так называемых «промышленных компьютеров» — оборудования, соответствующего группе спецификаций PICMG 1.Х.

Но как только речь заходит о действительно критических с точки зрения надёжности производственных процессах, то выбор однозначен – это CompactPCI. Тем более что разница в стоимости не такая значительная, как может показаться: стоимость компьютера CompactPCI в базовой кон­фигурации может составить 1, 5– 2 тыс. Евро. Согласитесь, это вполне сопоставимо со стоимостью обычного пром-ПК. А в качестве центрального функционального узла рабочей стан­ции для информационно-управляю­щих систем АЭС, стоимостью более 30 тыс. Евро – не предмет экономии.

Что ж, в условиях кризиса мы все учимся считать заново. И афоризм «мы не настолько богаты, чтобы позволить себе покупать дешёвое» снова становится актуальным.

На сегодняшний день количество компьютерных станций CompactPCI, поставленных отечественным разработчикам АСУ ТП для атомной энер­гетики, перевалило далеко за сотню. Компьютеры CompactPCI успешно экс­плуатируются уже в течение нескольких лет на объектах атомной энергетики Укрианы и России. Работая в круглосу­точном режиме без сбоев и остановок, оборудование CompactPCI доказало свою высокую надёжность, готовность и отказоустойчивость на практике и продолжает «осваивать» всё новые и новые системы, принимая на себя ответственность разработчиков систем и гарантируя беспрерывность процесса производства и его безопасность.

И как приятно разработчику АСУ ТП услышать от эксплуатационного персонала АЭС комплимент в адрес своей системы вместо привычных претензий по поводу сбоев и отказов. А особенно приятно, если на фоне очень позитивного доклада руководства об общей тенденции снижения числа отказов в системах АСУ ТП АЭС, твою систему называют среди чемпионов по надёжности, поскольку за год эксплуатации не зарегистрировано ни единого отка­за, а в кулуарах в неформальной бесе­де специалисты одной АЭС говорят специалистам другой: «Внедряйте эту систему, не пожалеете!».

Южно-Украинская АЭС автоматизировала систему очистки воды
Объективные причины, основной из которых является повышенная природная минерализация Ташлыкского пруда-охладителя, приводили к тому, что затраты на водоподготовку на южно-украинской площадке всегда были существенно выше, чем у других атомных станций