FPGA技术在核电站多样性系统中的应用技术研究.pdf

F P G A 技术在核电站多样性系统中的应用技术研究陈银杰。等 F P G A 技术在核电站多样性系统中的应用技术研究 R e s e a r c ho nt h eA p p l i c a t i o no fF P G Ai nD i v e r s i t yS y s t e mo fN u c l e a rP o w e rP l a n t s 陈锶左旅番需每敌舍成曰马洪在 ( 北京广利核系统工程有限公司，北京1 0 0 0 9 4 ) 摘要：针对基于C P U 技术的数字化核电仪控系统存在共因故障的缺陷，将F P G A 技术引入到核电站多样性系统中，使其成为保护 系统的后备系统。考虑到F P G A 技术和C P U 技术在运行机制上有很大的区别，进一步提出F P G A 技术应用于多样性系统的关键问题 和解决方法。分析结果验证了该应用的正确性和可行性，表明了F P G A 技术必将成为核电站D C S 行业发展方向。 关键词：核电站现场可编程阵例多样性系统共因故障 自诊断 中图分类号：T P 2 7 3 + 5文献标志码：A A b s t r a c t ：A g a i n s tt ot h ed e f e c t sc a u s e db yc o m m o nf a i l u r e se x i s t i n gi nd i g i t a t i z e di n s t r u m e n ta n dc o n t r o ls y s t e m sb a s e do nC P Ut e c h n o l o g yi n n u c l e a rp o w e rp l a n t 。t h eF P G At e c h n o l o g yh a sb e e ni n t r o d u c e di nd i v e r s i t ys y s t e ma st h eb a c ku pp r o t e c t i o ns y s t e mi nn u c l e a rp o w e rp l a n t C o n s i d e r i n gt h ed i f f e r e n c ei no p e r a t i n gm e c h a n i s mb e t w e e nF P G Aa n dC P Ut e c h n o l o g i e s ，t h ec r i t i c a li s s u e sa n ds o l u t i o n sf o ra p p l y i n gF P G Ai n d i v e r s i t ys y s t e ma r ep u tf o r w a r di nf u r t h e r T h er e s u l to fa n a l y s i sv e r i f i e st h ec o r r e c t n e s sa n df e a s i b i l i t yo ft h i sa p p l i c a t i o n 。a n di t i si n d i c a t e d t h a tF P G At e c h n o l o g yw i l ld e f i n i t e l yb e c o m et h ed e v e l o p i n gd i r e c t i o no fD C Si nN P P s K e y w o r d s ：N u c l e a rp o w e rp l a n tF P G AD i v e r s i t ys y s t e mC o m m o nf a i l u r eS e l f - d i a g n o s t i c 0 引言 纵深防御与多样性( d e f e n s e i n d e p t ha n dd i v e r s i t y 。 D 3 ) 是核电站仪控系统重要设计原则之一。而对于仪 控系统的纵深防御来说，一般是通过控制系统、停堆保 护系统、专设安全驱动系统、后备显示与控制系统，主 要是多样性驱动系统( d i v e r s ea c t u a t i o ns y s t e m ，D A S ) 来 完成不同层级、阶段的事故预防和异常工况的处理。 基于现在较流行的数字化仪控系统的设计，虽然 在可用性、可维护性、自诊断等方面具有很大的优势 但是数字化技术均是由C P U 实现的，而基于C P U 的软 件设计的错误是共因故障( c o m m o nf a i l u r e ，C F F ) 的可 信来源，且不能完全证明软件设计是无故障的( e r r o r f r e e ) 。任何人、任何机构都不可能做到软件错误通 过V & V 过程1 0 0 被排除。因此，对软件共因故障的 防御是目前核电站数字化保护系统的重要任务之一。 如何实现C P U 系统的多样性驱动系统显得越发迫切。 1D A S 系统概述 多样性是指采用不同的方法或手段达到指定的目 的心。3 1 。在仪控系统中，多样性技术是指使用不同的 修改稿收到日期：2 0 1 3 0 8 1 7 。 第一作者陈银杰( 1 9 8 4 一) ，男，2 0 0 9 年毕业于西北大学电路与系统专 业，获硕士学位；主要从事核电站I & C 系统的研究。 传感器参数、不同的技术、不同的逻辑和算法、不同的 触动方式等几种方式来达到指定的功能且多样性的 属性包括以下六个方面：人员多样性、设计多样性、软 件多样性、功能多样性、信号多样性、设备多样性 4 。 多样性驱动系统( D A S ) 是核电站仪控系统的重要 组成部分，属于非安全系统，主要用于在保护系统发生 共因故障( C C F ) 时，提供后备的多样性自动和手动停 堆、专设安全设施驱动触发功能，以及多样性的信息显 示功能，确保核电站具备足够的安全水平。 总体上来说，D A S 主要实现以下三个功能。 提供多样化、备用的自动驱动信号。当规定的 电厂参数超过整定值时自动停堆并驱动选定的专设 安全设施。 提供多样化、备用的手动触发反应堆停堆和选 定的专设安全设施。 为选定的电站参数提供独立的多样性指示。 上述功能实现的目的如下： 缓解预期瞬态不停堆( A T W S ) 的后果： 减少由保护系统假想的共模故障引起的堆熔 概率，并防止堆熔后安全壳的超压失效。 2D A S 系统的应用 2 1 D A S 设备应用策略 作为保护系统C C F 的后备系统，D A S 与翻车防护 4 6 P R O C E S SA U T O M A T I O NI N S T R U M E N T A T I O NV 0 1 3 5N o 2F e b r u a r y2 0 1 4 万方数据 F P G A 技术在核电站多样性系统中的应用技术研究陈银杰。等 装置( r o l l o v e rp r o t e c t i o ns y s t e m ，R P S ) 必须采用多样性 设计，使D A S 与R P S 发生共因故障的可能性降至 最低。 在N u R E G C R - 7 0 0 7 中，给出了三种多样性的策 略 5 ，即：策略A ，不同的基本技术( 如模拟技术和数字 技术) ；策略B ，相同基本技术下的不同方法( 如F P G A 方法和C P U 方法) ；策略C ，同样技术方法下的不同架 构( 如不同的微处理器架构) 。 在实际工程应用中，R P S 与D A S ( 或A 田旧) 的多样 性策略可基本概括为C R 7 0 0 7 的三种策略。如红沿河 电站的M E L T A C 与M E L N A S 仪控平台采用策略A ( 数 字+ 模拟策略) ；A P l 0 0 0 仪控系统目前标准设计采用策 略B ( C P U + F P G A 策略) ；岭澳二期使用的T X S + T X P 平 台采用策略C ( T X S + T X P ，不同的C P U 架构) 。 而目前新建电站，尤其是三代先进压水堆基本上 都是采用C P U + F P G A 的多样性策略即策略B ，而较 少采用策略A 和策略C 。原因分析如下。 纯模拟技术的仪控系统选择余地越来越小。 目前仪控系统已经逐渐全面数字化。各仪控厂商已经 很少再延续设计和生产纯硬件的仪控产品，一般除老 电站升级改造或I n - - 菱因历史原因仍保有纯硬件仪控 平台生产线外，对于功能规模比A T w r 更大的D A S 系 统，数字+ 模拟策略已难以施行。 基于C P U 技术的多样性分析论证非常困难。 由于软件系统的复杂性以及目前技术水平的限制。鲜 有公认的合适手段对软件故障进行详细分析，使得该 策略在实际实施技术上较为困难，增大了成本，而且也 很难获得各国核监管当局的认可。 2 2F P G A 技术在D A S 领域的应用 R P S 和D A S 采用C P U + F P G A 策略的设计方案是 目前仪控系统发展趋势之一。目前主要的三代压水堆 核电站仪控系统设计针对R P S 与D A S 都是采用策略 B 即基于C P U 平台与基于F P G A 平台的方式。如 E P R 电站，O l k i l u o t o3 号机组仪控系统设计中，保护系 统与多样性后备系统使用T X S + H B S ( 基于F P G A ) 的 方式：A P l 0 0 0 电站目前也转向C P U + F P G A 的方式 ( C o m m o nQ + A L S ) 。 3 多样性分析 3 1 运行机制不同 对于C P U 技术的保护系统，究其本质仍然是冯 诺依曼体系结构。对于冯诺依曼结构体系的系统， 其最大的特点是顺序执行逐条指令，在执行过程中，任 何一条指令的正常运行受到影响时，均会对整个系统 自动化仪表第3 5 卷第2 期2 0 1 4 年2 月 的运行造成影响，严重时甚至会造成系统的崩溃。 F P G A 技术是现场可编程阵列，不同厂商F P G A 的 基本结构是基本一致的，如图1 所示。 口口口口口口口口 口 口 口 口 口 口 口 口 口 口 口口口口口口口口 图1F P G A 基本结构 F i g 1 B a s i cf r a m e w o r ko fF P G A 一般F P G A 内部以显示查找表( 1 0 0 k u pt a b l e ， L U T ) 为核心，其包含了以下几个部分。 一系列可配置的逻辑块( c o n f i g u r a b l el o g i c b l o c k ，C L B ) 。一个C L B 可被配置为任何基本逻辑函 数( 如与、或、非、异或等) ，以查找表为核心，多个C L B 相互连接即可完成复杂的功能。 可配置的输入输出模块。F P G A 的所有I O 模 块都可配置成输入或输出，也可配置连接一个C L B 或 多个C L B 。所有I 0 模块的电平或电流要求可以取决 于外部设备。 内部连接的栅格。F P G A 内部有一系列的水平 栅格线和垂直栅格线，其连接关系均是可配置的。 C L B 之间、C L B 和I 0 模块之间的各种复杂的连接关 系均由栅格完成。 数据存储单元。由于C L B 单元的存储能力有 限因此大多数F P G A 都包含了一定的存储单元，用于 存放数据。 从F P G A 的基本架构可以看出F P G A 没有顺序执 行的概念，其由上百万个各种门电路组成，是一个纯硬 件结构。当有数据输入时，数据经过各种门单元的逻 辑运算并输出运算结果，是一个并行处理的过程。因 此F P G A 技术没有软件运行机制，在极大程度上解决 了软件的共因共模问题。 3 2 复杂度不同 基于F P G A 技术的系统和基于C P U 技术的系统 在复杂度方面也有极大的不同。 基于C P U 的D C S 系统一般均是基于操作系统实 现的，即使是实现很简单的功能，也要经过操作系统这 4 7 万方数据 F P G A 技术在核电站多样性系统中的应用技术研究陈银杰。等 一层，而操作系统一般不是针对核电领域专门开发的， 是一个通用的平台。因此，往往很简单的操作系统也 是非常复杂的。C P U 系统的层级关系如图2 所示。 应用开发 操作系统分析 操作系统运行 冯诺依曼结构( 软件运行) 时钟 硬件结构 图2C P U 系统的层级关系 F i g 2 H i e r a r c h i c a lr e l a t i o n s h i po fC P Us y s t e m F P G A 系统则没有复杂的操作系统。所有的功能 均是针对特定的应用而特定开发的，没有太多附加的 东西。F P G A 系统的层级关系如图3 所示。 V H D L 设计 C L B 逻辑块运算 时钟 硬件结构 图3F P G A 系统的层级关系 F i g 3 H i e r a r c h i c a lr e l a t i o n s h i po fF P G As y s t e m 由图2 、图3 可知，和C P U 系统相比较而言。F P G A 系统的复杂度大大降低。另外F P G A 所有的功能实现 均是基于C L B 实现的，不同的功能可在不同的C L B 中 实现，因此F P G A 还具有功能分区易于实现的特点。 对此，可以将系统的辅助功能( 如自监视功能、配置功 能等) 和安全功能在不同的C L B 中实现，使二者互不 影响。而C P U 系统所有的功能都是顺序执行的很难 做到功能的分割。因此，F P G A 系统可单独实现辅助 功能，大大降低了安全功能的复杂度 6 。F P G A 系统 和C P U 系统的整体复杂度比较如图4 所示。 图4F P G A 技术和C P U 技术复杂度比较图 F i g 4C o m p a r i s o no ft h ec o m p l e x i t yb e t w e e nF P G Aa n dC P U 3 3 验证方式不同 由于F P G A 技术和C P U 技术在运行机制上、复杂 度上均存在着不同，因此对于F P G A 系统的验证要比 C P U 系统的验证要容易得多。 F P G A 技术由C L B 组成了复杂的功能，相比较 于C P U 技术，没有复杂的操作系统，因此F P G A 系统 整体具有简单、并行处理、易于功能分割等特点；F P G A 的整个设计过程及设计电路比较透明，可以相对容易 地对电路设计进行审查。这些特征都使得F P G A 的电 路设计易于审查和验证。 C P U 技术是基于软件运行的，所有的功能都是 随着程序的顺序执行而完成，而一旦其中一个环节发 生错误则整个处理过程就会受到影响而发生故障或 者使系统处于非预期的状态。这种机制是不利于审查 和验证的。 在电子设计领域形式化验证得到越来越广泛 的应用，相对于C P U 技术，F P G A 技术的低复杂度使其 更有利于使用形式化验证的方法。也更具有可行性。 4F P G A 应用于D A S 的关键问题 将F P G A 技术应用于多样性系统( D A S ) 得到了越 来越广泛的应用，但是在D A S 系统中如何发挥F P G A 的技术优势，与核电进行有效的结合是目前面I 临的主 要问题。在基于F P G A 技术的D A S 系统开发过程中， 至少面临以下几个问题：( 重) F P G A 的开发流程；F P G A 选型及安全性问题：( 要) F P G A 的设计原则及F P G A 的诊 断技术。 4 1F P G A 的开发流程 在基于F P G A 技术的D A S 系统开发过程中首先 面临的是满足核电要求的开发流程问题一个可靠系 统的开发应有一个严谨的开发流程做保障尤其是核 电仪控系统产品。F P G A 开发的生命周期模型如图5 所示 图5F P G A 开发的生命周期模型 F i g 5 T h el i f ec y c l em o d e lo fF P G Ad e v e l o p m e n t 4 2 F P G A 选型及安全性问题 F P G A 根据数据存储单元种类的不同，可分为 S R A M ( s t a t i cR A M ) 型、F l a s h 型和反熔丝型三种。大部 分的F P G A 都是基于S R A M 的。S R A M 单元结构如 图6 所示。 4 8P R O C E S SA U T O M A T I O NI N S T R U M E N T A T I O NV o L3 5N o 2 F e b r u a r y2 0 1 4 万方数据 F P G A 技术在核电站多样性系统中的应用技术研究陈银杰，等 f I 图6S R A M 单元结构图 F i g 6 T h ef r a m e w o r ko fS R A Mu n i t S R A M 型F P G A 的优点是由很小的晶体管组成 有着更高的门密度，而最大的缺点是S R A M 是可变易 失的，需要上电读取外部配置。此外，S R A M 还存在一 个缺陷，即单一事件扰乱( s i n g l e e v e n tu p s e t ，S E U ) 问 题，一旦发生S E U 现象，F P G A 内部的任何一个单元都 不能确保是正常运行的。 F l a s h 技术具有反复可擦写且具有不可易失的特 性，其稳定性高于S R A M ，不存在单一事件扰乱( S E U ) 等问题。 反熔丝是一次写入的，不可修改，不可易失。三 种技术中，反熔丝型F P G A 的可靠性和稳定性是最 高的。 三种技术的比较如表1 所示。 表1S R A M F l a s h 反熔丝技术比较 T a b 1 C o m p a r i s o na m o n gS R A M F l a s h a n t i f u s et e c h n o l o g i e s 在核电仪控系统中，三种F P G A 都有一定的应用， 每种F P G A 都有其优势。相比较而言，F l a s h 型的 F P G A 具有相对较高的可靠性、安全性一定程度上克 服了S E U 问题，有更好的知识产权保护措施；此外， F l a s h 型F P G A 还具有功耗低、可实现性高的特点，在 核电领域得到越来越多的应用。 4 3F P G A 设计原则 上文分析了F P G A 系统可用于C P U 系统多样性 后备的一些技术特点，如无操作系统、系统简单等，因 此F P G A 系统设计过程中不能内置C P U 。为了使 F P G A 系统在核电站D A S 系统中更有效地发挥其作 用，设计应遵循以下原则。 虽然D A S 系统是非安全级系统，但在质保方面 有一定的要求因此逻辑开发过程须满足I E C6 2 1 3 8 中对执行B 类安全功能软件的相关要求和I E C6 2 5 6 6 的要求。 F P G A 系统利用V H D L 纯逻辑实现，不使用任 何嵌入式处理器。否则F P G A 系统和C P U 系统的多样 性将没有意义也不利于设计的审查和验证。 为了使系统更加简单，确定性更好，以区别于 C P U 系统，应尽可能地使用同步化设计。 为了提高系统的可靠性，减小开发设计错误， 使得开发过程更标准化，更利于测试验证，应尽可能地 使用模块化设计。 保持辅助功能( 如测试功能、自诊断功能、配置 自动化仪表第3 5 卷第2 期2 0 1 4 年2 月 功能等) 和主要功能的独立性。使得系统的主要功能 尽可能的简化。 4 4F P G A 的诊断技术 核电系统产品的可靠性和安全性是核电产品的核 心。因此，如何及时诊断F P G A 的故障是产品开发的 一个重要技术点。在实际开发中，一般可采用F P G A 内部自诊断和利用外部器件对F P G A 进行监视两种方 式结合使用的方法。 F P G A 的内部自诊断技术很多常见的自诊断措 施有：存储单元校验；片内功能冗余；动态检 测。即将真正的信号和测试信号交织输入。当系统 在未处理有用信号时，内部激励产生一个测试信号， 并检测输出结果是否正确，从而验证该逻辑单元是 否正常。 利用外部器件对F P G A 进行监视一般是采用看 门狗的方式。利用看门狗的优势在于不影响内部的 逻辑处理，只需让认为需要被监测的模块定期输出 一个看门狗信号即可，但是看门监视只能监测F P G A 是“活的”还是“死的”，不能提供进一步的故障 诊断 7J 。 5结束语 由于F P G A 技术和C P U 技术在运行机制上有着 本质的不同，F P G A 技术没有软件运行机制，因此在克 ( 下转第5 7 页) 4 9 万方数据 核电站安全级D C S 应用软件设计过程浅析郑伟智。等 ( 上接第4 9 页) 服软件共因故障方面有着巨大的优势；此外，二者在复 杂度、验证方式等方面也都存在着巨大的区别，因此将 F P G A 应用于核电站多样性系统得到了广泛的认可。 然而，如何将F P G A 的技术和多样性驱动系统进行有 效的结合，形成真正安全可靠的产品仍然面临着很多 的困难。如F P G A 诊断问题等。随着这些困难的解决， F P G A 技术的优势得到真正发挥，相信在不久的将来， F P G A 技术不仅在多样性系统中在核电站其他领域 中也能得到更多的应用。 参考文献 1 N u c l e a rR e g u l a t o r yC o m m i s s i o n N u r e 9 0 8 0 0 B 7 r P 7 - 1 9G u i d a n c ef o r e v a l u a t i o no fd i v e r s i t ya n dd e f e n s e i n - d e p t hi nd i g i t a lc o m p u t e r b a s e di n s t r u m e n t a t i o na n dc o n t r o ls y s t e m s s 2 0 0 9 2 I n t e r n a t i o n a lE l e c t r o t e c h n i c a lC o m m i s s i o n I E C6 1 5 0 8 F u n c t i o n a l s a f e t y o f e l e c t r i c a l e l e c t r o n i c p r o g r a m m a b l e e l e c t r o n i c s a f e t y r e l a t e ds y s t e m s S 2 0 1 0 I n t e r n a t i o n a lE l e c t r o t e c h n i c a lC o m m i s s i o n I E C6 2 3 4 0I n s t r u m e n t a t i o n a n dc o n t r o ls y s t e m si m p o r t a n tt os a f e t y R e q u i r e m e n t sf o rc o p i n gw i t h c o l n n l o nc a u s ef a i l u r e ( C C F ) S 2 0 0 7 N u c l e a rR e g u l a t o r yC o m m i s s i o n N u r e g C R - 6 3 0 3M e t h o df o rp e d o n n i n g d i v e r s i t ya n dd e f e n s e i n - d e p t ha n a l y s e so fr e a c t o rp r o t e c t i o ns y s t e m s S 1 9 9 4 N u c l e a rR e g u l a t o r yC o n u n i s s i o n N u r e g C R - 7 0 0 7D i v e r s i t ys t r a t e g i e sf o r n u c l e a r1 3 9 I W t 日“ p l a n ti n s t r u m e n t a t i o na n dc o n t r o ls y s t e m s S 2 0 1 0 E l e c t r i cP o w e rR e s e a r c hI n s t i t u t e E P R I 一1 0 2 2 9 8 3R e c o m m e n d e d a p p r o a c h e s a n dd e s i g nc r i t e r i af o r a p p l i c a t i o n o ff i e l d p r o g r a m m a b l eg a t ea r r a y s i nn u c l e a rp o w e rp l a n ti n s t r u m e n t a t i o n a n dc o n t m ls y s t e m s S 2 0 1 1 E l e c t r i cP o w e rR e s e a r c hI n s t i t u t e E P R I 一1 0 7 3 3 0G e n e r i cr e q u i r e m e n t s s p e c i f i c a t i o nf o rq u a l i f y i n gac o m m e r c i a l l ya v a i l a b l eP L Cf o rs a f e t y r e l a t e da p p l i c a t i o n si nn u c l e a rp o w e rp l a n t s S 1 9 9 6 ( 上接第5 2 页) 参考文献 1 广东核电培训中心9 0 0 M W 压水堆核电站系统与设备 M 北 京：原子能出版社，2 0 0 5 ：1 1 0 2 相溢炯，冯坚核电非安全级D C S 系统输入输出( I O ) 分配方 案 J 科技视界，2 0