HTML
-
考虑到加速器人身安全联锁系统与人身、环境的辐射安全相关性,加速器人身安全联锁应在加速器的束流控制中具有最高的优先级。根据HIRFL人身安全联锁自身需求及相关标准、规范的要求,HIRFL人身安全联锁的设计遵循以下原则[7-8]:
分区联锁 根据运行模式,利用实体屏蔽及束流闸进行分区,严格隔离。
硬件最可靠 重要的位置把最大的信赖寄托在“硬件”上,主要应体现在对关键设备应以“硬”信号进行控制,如束流阻挡器的控制信号应通过PLC直接输出有源信号(24 V持续高电平信号)来进行控制,而不能使用“软”信号,避免因为网络故障等因素带来的安全隐患。
失效保护 关键联锁部件及联锁系统失效时,相应联锁控制区域应仍处于安全状态,主要体现在在失去电、气等驱动信号时,束流阻挡设备应处于束流“切断”状态。
冗余及独立性 实现在同一位置、为同一目的而使用若干种联锁手段,各联锁手段间相互独立、互不干扰;使用有冗余功能的PLC控制器,主PLC发生故障时,备PLC可迅速切换,保障联锁系统正常运行。
自锁 联锁系统主要环节上要有自锁。一旦联锁从该处实施切断,安全负责人员必须到该现场检查,确保不安全因素已排除后再进行“复位”。如在加速器隧道内设置急停按钮,此按钮按下后,不会自动复位,需有人员到现场排除不安全因素后,进行人工复位。
-
根据联锁设计中的分区联锁原则,联锁系统须对整个辐射区进行划分,针对各个辐射分区进行控制。而辐射分区的划分,需要以加速器的运行模式为基础。HIRFL运行模式可分为:SFC运行(模式A);SSC运行(模式B);SSC TR终端供束(模式C);SSC TL终端供束(模式D);浅层终端供束(模式E);CSRm运行(模式F);CSRe运行(模式G);高能单粒子效应终端供束(模式H)。根据HIRFL运行模式,可将HIRFL分为SFC及其实验终端(区域1)、SSC(区域2)、SSC TR终端(区域3)、SSC TL终端(区域4)、浅层终端(位于地下,区域5)、CSRm(区域6)、CSRe(区域7)及高能单粒子效应终端(区域8)共8个辐射区,具体分区示意图如图1所示。
在各运行模式下,不同辐射分区的束流情况如表1所列。由图1及表1可见,整个HIRFL的辐射分区较多,运行模式复杂;而当HIRFL处于某一运行模式时,本级区域及束流上游区域因有束流经过不允许人员进入,同级区域及束流下游区域可不限制人员进出。
序号 运行模式 区域1 区域2 区域3 区域4 区域5 区域6 区域7 区域8 1 模式A Y N N N N N N N 2 模式B Y Y N N N N N N 3 模式C Y Y Y N N N N N 4 模式D Y Y Y Y N N N N 5 模式E Y Y Y N Y N N N 6 模式F Y Y Y N N Y N N 7 模式G Y Y Y N N Y Y N 8 模式H Y Y Y N N Y Y Y -
系统采用工业应用上成熟、可靠的PLC作为核心控制器,服务器及各区域客户端工控机运行为HIRFL人身安全联锁系统专门开发的控制软件进行数据交互及存储。根据对加速器人身安全联锁系统清场、急停、声光报警、人员出入控制等功能的要求[9],在辐射区设置清场按钮、急停按钮、声光报警灯、通道门、人员出入管理箱、束流闸等设备及部件以执行这些功能。所有设备及部件均由PLC进行逻辑控制。
-
HIRFL人身安全联锁系统的各个辐射分区均为独立分区,因而每个分区之间的控制逻辑也相互独立,一个区域的逻辑失效不会影响其它区域的逻辑关系。图2给出了HIRFL人身安全联锁系统的控制逻辑图。下文给出了针对每个分区的主要联锁控制逻辑。
-
HIRFL各辐射分区准备供束时,需满足以下条件:(1)急停按钮全部复位;(2)清场按钮全部确认;(3)所有通道门关闭;(4)人员出入管理箱复位;(5)人身安全联锁系统在控制界面上进行确认(此项只有在前四项都满足时才有效)。
只有以上五重联锁条件均满足时,系统才允许束流阻挡器打开,向该区域供束。供束过程中若上述任一联锁条件被破坏(如通道门意外开启、有人员按下急停按钮),则中断束流。
-
针对每一分区,只有同时满足以下条件,才能允许人员打开联锁通道门进入辐射区:(1)相应区域束流阻挡器关闭;(2)人员出入管理箱给出开门信号。
2.1. 设计原则
2.2. 辐射分区
2.3. 设备组成
2.4. 联锁逻辑控制
2.4.1. 区域允许供束
2.4.2. 人员允许进入
-
HIRFL人身安全联锁系统采用了由PLC、计算机技术等组成的分布式联锁控制系统[10],其主要由服务器、PLC、人员出入管理箱、通道门、工控机、联锁束流阻挡器、急停按钮、清场按钮、声光报警灯及软件等组成,其网络结构及联锁部件分布如图3所示。表2给出了HIRFL各联锁区域联锁设备数量。
区域 设备数量 需读取状态设备 需控制设备 清场按钮 急停按钮 人员出入管理箱 通道门 束流阻挡器 声光报警灯 束流阻挡器 通道门 区域1 3 3 1 1 1 3 1 1 区域2 2 2 1 2 1 5 1 2 区域3 6 6 1 1 1 6 1 1 区域4 4 4 1 2 1 4 1 2 区域5 2 2 1 1 1 2 1 1 区域6 5 5 1 2 1 5 1 1 区域7 4 4 1 2 1 4 1 2 区域8 1 1 1 1 1 1 1 1 -
目前,国内外加速器装置人身安全联锁系统大部分采用PLC作为联锁控制器。PLC是一种具有微处理器的用于自动化控制的数字运算控制器,由于其在扩展性和可靠性方面的优势使其被广泛应用于目前的各类工业控制领域。HIRFL人身安全联锁系统采用菲尼克斯RFC 460R系列冗余PLC作为核心逻辑控制,该PLC具备:(1)采用PROFINET标准实现设备集成,可提供满足未来需求的以太网冗余;(2)通过支持冗余的OPC服务器可实现不间断过程;(3)即使发生故障或更换控制器也能保证过程不中断;(4)采用菲尼克斯电气的AutoSync技术,所有冗余功能均可轻松调试和自动配置;(5)具备高分辨率显示屏,可以文本格式显示状态与故障信息等优点[11],已在加速器驱动的次临界系统(ADS)直线加速器控制系统等多处采用。在各个辐射分区,联锁系统分别由以太网耦合器对清场按钮、急停按钮、声光报警灯等进行I/O数据采集,然后由冗余PLC进行控制。PLC、耦合器、服务器等通过HIRFL已有的加速器控制网实现网络通讯、数据传输等。
-
HIRFL人身安全联锁系统上位软件分为服务器端与客户端,为实现软件之间高并发的网络通讯,提高系统资源的利用效率,降低系统通讯压力,软件之间的信息交互采用TCP-Socket方式进行传输,并应用输入输出完成端口作为程序接口。输入输出完成端口(Input/Output Completion Port,IOCP), 是支持多个同时发生的异步I/O操作的应用程序编程接口,具备以下优势:(1)在不增加线程数的情况下,大大增加服务器的吞吐量;(2)大大减少线程切换带来的额外开销;(3)克服“一个客户端一个线程”的问题,完成多客户端的“输入输出”。上位软件的任务是监测HIRFL人身安全联锁系统的硬件设备状态、联锁状态,及时发现设备的故障和异常情况,完成HIRFL人身安全联锁系统的启动、停止等操作,并能对相关参数进行设置,但不能对部件之间的逻辑关系进行修改。图6给出了服务器端的软件界面。
-
HIRFL人身安全联锁系统正常工作时的运行流程如图7所示。下面对加速器供束流程以及人员进入工作流程进行说明。
-
加速器某一区域有供束需求时,须由持管理员权限卡的人员(以下简称管理员)进入该辐射区,按照规定的顺序,依次按下清场按钮,并同时将未复位的急停按钮进行复位。按下清场按钮的同时,按钮上方对应的声光报警灯显示由绿色变为红色,并发出报警声音,提醒还在辐射区的人员离开。完成清场,确认辐射区内无人员逗留后,管理员由该辐射区的通道门出辐射区,并在确认通道门关好的情况下关闭安装在通道门口的人员出入管理箱主开关,此时,辐射区再不允许有人员进入。做完以上操作后,管理员回到控制室,管理员按下控制界面对应区域的“允许供束”按钮,在通过权限验证后,方可允许控制该区域束流的联锁束流阻挡器打开。需要注意的是,如果之前的操作未完成,管理员在控制室的操作无效。
-
加速器某一区域需要有人员进入时,须由管理员控制该区域束流的联锁束流阻挡器插入束流管道,并在所要进入区域通道口打开人员出入管理箱主开关,此时方可允许人员进入。人员进入时,在权限验证通过且在控制该区域束流的联锁束流阻挡器插入束流管道的情况下,通道门自动打开,人员进入后,通道门自动关闭。人员工作完毕,需离开该区域时,可在通道门内按动开门按钮,此时通道门自动打开,人员离开后,通道门自动关闭。需要注意的是,人员离开时,需在门口的人员出入管理箱进行与进入时相反的操作,以便在系统中“离开”该区域。