(北京廣利核系統(tǒng)工程有限公司,北京 100094)

0 引言

縱深防御與多樣性(defense-in-depth and diversity，D3)是核電站儀控系統(tǒng)重要設(shè)計(jì)原則之一。而對(duì)于儀控系統(tǒng)的縱深防御來(lái)說(shuō)，一般是通過(guò)控制系統(tǒng)、停堆保護(hù)系統(tǒng)、專設(shè)安全驅(qū)動(dòng)系統(tǒng)、后備顯示與控制系統(tǒng),主要是多樣性驅(qū)動(dòng)系統(tǒng)(diverse actuation system,DAS)來(lái)完成不同層級(jí)、階段的事故預(yù)防和異常工況的處理。

基于現(xiàn)在較流行的數(shù)字化儀控系統(tǒng)的設(shè)計(jì)，雖然在可用性、可維護(hù)性、自診斷等方面具有很大的優(yōu)勢(shì)，但是數(shù)字化技術(shù)均是由CPU實(shí)現(xiàn)的，而基于CPU的軟件設(shè)計(jì)的錯(cuò)誤是共因故障(common failure,CFF)的可信來(lái)源，且不能完全證明軟件設(shè)計(jì)是無(wú)故障的(error-free)[1]。任何人、任何機(jī)構(gòu)都不可能做到軟件錯(cuò)誤通過(guò)V&V過(guò)程100%被排除。因此,對(duì)軟件共因故障的防御是目前核電站數(shù)字化保護(hù)系統(tǒng)的重要任務(wù)之一。如何實(shí)現(xiàn)CPU系統(tǒng)的多樣性驅(qū)動(dòng)系統(tǒng)顯得越發(fā)迫切。

1 DAS系統(tǒng)概述

多樣性是指采用不同的方法或手段達(dá)到指定的目的[2-3]。在儀控系統(tǒng)中，多樣性技術(shù)是指使用不同的傳感器參數(shù)、不同的技術(shù)、不同的邏輯和算法、不同的觸動(dòng)方式等幾種方式來(lái)達(dá)到指定的功能，且多樣性的屬性包括以下六個(gè)方面：人員多樣性、設(shè)計(jì)多樣性、軟件多樣性、功能多樣性、信號(hào)多樣性、設(shè)備多樣性[4]。

多樣性驅(qū)動(dòng)系統(tǒng)(DAS)是核電站儀控系統(tǒng)的重要組成部分，屬于非安全系統(tǒng)，主要用于在保護(hù)系統(tǒng)發(fā)生共因故障(CCF)時(shí)，提供后備的多樣性自動(dòng)和手動(dòng)停堆、專設(shè)安全設(shè)施驅(qū)動(dòng)觸發(fā)功能，以及多樣性的信息顯示功能，確保核電站具備足夠的安全水平。

總體上來(lái)說(shuō)，DAS主要實(shí)現(xiàn)以下三個(gè)功能。

① 提供多樣化、備用的自動(dòng)驅(qū)動(dòng)信號(hào)，當(dāng)規(guī)定的電廠參數(shù)超過(guò)整定值時(shí)，自動(dòng)停堆并驅(qū)動(dòng)選定的專設(shè)安全設(shè)施。

② 提供多樣化、備用的手動(dòng)觸發(fā)反應(yīng)堆停堆和選定的專設(shè)安全設(shè)施。

③ 為選定的電站參數(shù)提供獨(dú)立的多樣性指示。

上述功能實(shí)現(xiàn)的目的如下：

① 緩解預(yù)期瞬態(tài)不停堆(ATWS)的后果；

② 減少由保護(hù)系統(tǒng)假想的共模故障引起的堆熔概率，并防止堆熔后安全殼的超壓失效。

2 DAS系統(tǒng)的應(yīng)用

2.1 DAS設(shè)備應(yīng)用策略

作為保護(hù)系統(tǒng)CCF的后備系統(tǒng)，DAS與翻車防護(hù)裝置(rollover protection system,RPS)必須采用多樣性設(shè)計(jì)，使DAS與RPS發(fā)生共因故障的可能性降至最低。

在NUREG/CR-7007中，給出了三種多樣性的策略[5]，即：策略A，不同的基本技術(shù)(如模擬技術(shù)和數(shù)字技術(shù))；策略B，相同基本技術(shù)下的不同方法(如FPGA方法和CPU方法)；策略C，同樣技術(shù)方法下的不同架構(gòu)(如不同的微處理器架構(gòu))。

在實(shí)際工程應(yīng)用中，RPS 與DAS(或ATWT)的多樣性策略可基本概括為CR-7007 的三種策略。如紅沿河電站的MELTAC 與MELNAS 儀控平臺(tái)采用策略A(數(shù)字+模擬策略)；AP1000儀控系統(tǒng)目前標(biāo)準(zhǔn)設(shè)計(jì)采用策略B(CPU+FPGA 策略)；嶺澳二期使用的TXS+TXP平臺(tái)采用策略C(TXS+TXP，不同的CPU 架構(gòu))。

而目前新建電站，尤其是三代先進(jìn)壓水堆基本上都是采用CPU+FPGA 的多樣性策略，即策略B，而較少采用策略A和策略C。原因分析如下。

① 純模擬技術(shù)的儀控系統(tǒng)選擇余地越來(lái)越小。目前儀控系統(tǒng)已經(jīng)逐漸全面數(shù)字化，各儀控廠商已經(jīng)很少再延續(xù)設(shè)計(jì)和生產(chǎn)純硬件的儀控產(chǎn)品，一般除老電站升級(jí)改造或如三菱因歷史原因仍保有純硬件儀控平臺(tái)生產(chǎn)線外，對(duì)于功能規(guī)模比ATWT 更大的DAS 系統(tǒng)，數(shù)字+模擬策略已難以施行。

② 基于CPU 技術(shù)的多樣性分析論證非常困難。由于軟件系統(tǒng)的復(fù)雜性以及目前技術(shù)水平的限制，鮮有公認(rèn)的合適手段對(duì)軟件故障進(jìn)行詳細(xì)分析，使得該策略在實(shí)際實(shí)施技術(shù)上較為困難，增大了成本，而且也很難獲得各國(guó)核監(jiān)管當(dāng)局的認(rèn)可。

2.2 FPGA技術(shù)在DAS領(lǐng)域的應(yīng)用

RPS和DAS 采用CPU+FPGA 策略的設(shè)計(jì)方案是目前儀控系統(tǒng)發(fā)展趨勢(shì)之一。目前主要的三代壓水堆核電站儀控系統(tǒng)設(shè)計(jì)針對(duì)RPS與DAS都是采用策略B，即基于CPU 平臺(tái)與基于FPGA 平臺(tái)的方式。如EPR電站，Olkiluoto 3 號(hào)機(jī)組儀控系統(tǒng)設(shè)計(jì)中，保護(hù)系統(tǒng)與多樣性后備系統(tǒng)使用TXS+HBS(基于FPGA)的方式；AP1000 電站目前也轉(zhuǎn)向CPU+FPGA 的方式(Common Q+ALS)。

3 多樣性分析

3.1 運(yùn)行機(jī)制不同

對(duì)于CPU技術(shù)的保護(hù)系統(tǒng)，究其本質(zhì)仍然是馮·諾依曼體系結(jié)構(gòu)。對(duì)于馮·諾依曼結(jié)構(gòu)體系的系統(tǒng)，其最大的特點(diǎn)是順序執(zhí)行逐條指令，在執(zhí)行過(guò)程中，任何一條指令的正常運(yùn)行受到影響時(shí)，均會(huì)對(duì)整個(gè)系統(tǒng)的運(yùn)行造成影響，嚴(yán)重時(shí)甚至?xí)斐上到y(tǒng)的崩潰。

FPGA技術(shù)是現(xiàn)場(chǎng)可編程陣列，不同廠商FPGA的基本結(jié)構(gòu)是基本一致的，如圖1所示。

圖1 FPGA基本結(jié)構(gòu)

一般FPGA內(nèi)部以顯示查找表(look-up table,LUT)為核心，其包含了以下幾個(gè)部分。

① 一系列可配置的邏輯塊(configurable logic block,CLB)。一個(gè)CLB可被配置為任何基本邏輯函數(shù)(如與、或、非、異或等)，以查找表為核心，多個(gè)CLB相互連接即可完成復(fù)雜的功能。

② 可配置的輸入輸出模塊。FPGA的所有I/O模塊都可配置成輸入或輸出，也可配置連接一個(gè)CLB或多個(gè)CLB。所有I/O模塊的電平或電流要求可以取決于外部設(shè)備。

③ 內(nèi)部連接的柵格。FPGA內(nèi)部有一系列的水平柵格線和垂直柵格線，其連接關(guān)系均是可配置的。CLB之間、CLB和I/O模塊之間的各種復(fù)雜的連接關(guān)系均由柵格完成。

④ 數(shù)據(jù)存儲(chǔ)單元。由于CLB單元的存儲(chǔ)能力有限，因此大多數(shù)FPGA都包含了一定的存儲(chǔ)單元，用于存放數(shù)據(jù)。

從FPGA的基本架構(gòu)可以看出，F(xiàn)PGA沒(méi)有順序執(zhí)行的概念，其由上百萬(wàn)個(gè)各種門(mén)電路組成，是一個(gè)純硬件結(jié)構(gòu)。當(dāng)有數(shù)據(jù)輸入時(shí)，數(shù)據(jù)經(jīng)過(guò)各種門(mén)單元的邏輯運(yùn)算，并輸出運(yùn)算結(jié)果，是一個(gè)并行處理的過(guò)程。因此，F(xiàn)PGA技術(shù)沒(méi)有軟件運(yùn)行機(jī)制，在極大程度上解決了軟件的共因共模問(wèn)題。

3.2 復(fù)雜度不同

基于FPGA技術(shù)的系統(tǒng)和基于CPU技術(shù)的系統(tǒng)在復(fù)雜度方面也有極大的不同。

盡管腐敗案件的女性大多曾是業(yè)績(jī)突出、事業(yè)有成、仕途順利的“女強(qiáng)人”，但不容忽視的是，事業(yè)有成及仕途順利本身既說(shuō)明其環(huán)境適應(yīng)能力比較強(qiáng)，也從一個(gè)側(cè)面表明其易受周圍人物和環(huán)境的左右與影響。此外，和男性相比較，女性本身固有的順從、依賴和攀比心態(tài)，一方面造成其較易受社會(huì)流行思想觀念，當(dāng)然也包括不正確、不健康思想觀念的影響；另一方面也造成其在親友或身邊工作人員等利用自己的職務(wù)和權(quán)力影響力謀取私利或損害國(guó)家與公眾利益時(shí)，較易喪失原則立場(chǎng)，只是一味忍讓、遷就，甚至包庇、縱容。

基于CPU的DCS系統(tǒng)一般均是基于操作系統(tǒng)實(shí)現(xiàn)的，即使是實(shí)現(xiàn)很簡(jiǎn)單的功能，也要經(jīng)過(guò)操作系統(tǒng)這一層，而操作系統(tǒng)一般不是針對(duì)核電領(lǐng)域?qū)ｉT(mén)開(kāi)發(fā)的，是一個(gè)通用的平臺(tái)。因此，往往很簡(jiǎn)單的操作系統(tǒng)也是非常復(fù)雜的。CPU系統(tǒng)的層級(jí)關(guān)系如圖2所示。

圖2 CPU系統(tǒng)的層級(jí)關(guān)系

FPGA系統(tǒng)則沒(méi)有復(fù)雜的操作系統(tǒng)，所有的功能均是針對(duì)特定的應(yīng)用而特定開(kāi)發(fā)的，沒(méi)有太多附加的東西。FPGA系統(tǒng)的層級(jí)關(guān)系如圖3所示。

圖3 FPGA系統(tǒng)的層級(jí)關(guān)系

由圖2、圖3可知，和CPU系統(tǒng)相比較而言，F(xiàn)PGA系統(tǒng)的復(fù)雜度大大降低。另外FPGA所有的功能實(shí)現(xiàn)均是基于CLB實(shí)現(xiàn)的，不同的功能可在不同的CLB中實(shí)現(xiàn)，因此FPGA還具有功能分區(qū)易于實(shí)現(xiàn)的特點(diǎn)。對(duì)此，可以將系統(tǒng)的輔助功能(如自監(jiān)視功能、配置功能等)和安全功能在不同的CLB中實(shí)現(xiàn)，使二者互不影響。而CPU系統(tǒng)所有的功能都是順序執(zhí)行的，很難做到功能的分割。因此，F(xiàn)PGA系統(tǒng)可單獨(dú)實(shí)現(xiàn)輔助功能，大大降低了安全功能的復(fù)雜度[6]。FPGA系統(tǒng)和CPU系統(tǒng)的整體復(fù)雜度比較如圖4所示。

圖4 FPGA技術(shù)和CPU技術(shù)復(fù)雜度比較圖

3.3 驗(yàn)證方式不同

由于FPGA技術(shù)和CPU技術(shù)在運(yùn)行機(jī)制上、復(fù)雜度上均存在著不同，因此對(duì)于FPGA系統(tǒng)的驗(yàn)證要比CPU系統(tǒng)的驗(yàn)證要容易得多。

① FPGA技術(shù)由CLB組成了復(fù)雜的功能，相比較于CPU技術(shù)，沒(méi)有復(fù)雜的操作系統(tǒng)，因此FPGA系統(tǒng)整體具有簡(jiǎn)單、并行處理、易于功能分割等特點(diǎn)；FPGA的整個(gè)設(shè)計(jì)過(guò)程及設(shè)計(jì)電路比較透明，可以相對(duì)容易地對(duì)電路設(shè)計(jì)進(jìn)行審查。這些特征都使得FPGA的電路設(shè)計(jì)易于審查和驗(yàn)證。

② CPU技術(shù)是基于軟件運(yùn)行的，所有的功能都是隨著程序的順序執(zhí)行而完成，而一旦其中一個(gè)環(huán)節(jié)發(fā)生錯(cuò)誤，則整個(gè)處理過(guò)程就會(huì)受到影響而發(fā)生故障或者使系統(tǒng)處于非預(yù)期的狀態(tài)。這種機(jī)制是不利于審查和驗(yàn)證的。

③ 在電子設(shè)計(jì)領(lǐng)域，形式化驗(yàn)證得到越來(lái)越廣泛的應(yīng)用，相對(duì)于CPU技術(shù)，F(xiàn)PGA技術(shù)的低復(fù)雜度使其更有利于使用形式化驗(yàn)證的方法，也更具有可行性。

4 FPGA應(yīng)用于DAS的關(guān)鍵問(wèn)題

將FPGA技術(shù)應(yīng)用于多樣性系統(tǒng)(DAS)得到了越來(lái)越廣泛的應(yīng)用，但是在DAS系統(tǒng)中如何發(fā)揮FPGA的技術(shù)優(yōu)勢(shì)，與核電進(jìn)行有效的結(jié)合是目前面臨的主要問(wèn)題。在基于FPGA技術(shù)的DAS系統(tǒng)開(kāi)發(fā)過(guò)程中，至少面臨以下幾個(gè)問(wèn)題：①FPGA的開(kāi)發(fā)流程；②FPGA選型及安全性問(wèn)題；③FPGA的設(shè)計(jì)原則及FPGA的診斷技術(shù)。

4.1 FPGA的開(kāi)發(fā)流程

在基于FPGA技術(shù)的DAS系統(tǒng)開(kāi)發(fā)過(guò)程中，首先面臨的是滿足核電要求的開(kāi)發(fā)流程問(wèn)題，一個(gè)可靠系統(tǒng)的開(kāi)發(fā)應(yīng)有一個(gè)嚴(yán)謹(jǐn)?shù)拈_(kāi)發(fā)流程做保障，尤其是核電儀控系統(tǒng)產(chǎn)品。FPGA開(kāi)發(fā)的生命周期模型如圖5所示

圖5 FPGA開(kāi)發(fā)的生命周期模型

4.2 FPGA選型及安全性問(wèn)題

FPGA根據(jù)數(shù)據(jù)存儲(chǔ)單元種類的不同，可分為SRAM(static RAM)型、Flash型和反熔絲型三種。大部分的FPGA都是基于SRAM的。SRAM單元結(jié)構(gòu)如圖6所示。

圖6 SRAM單元結(jié)構(gòu)圖

SRAM型FPGA的優(yōu)點(diǎn)是由很小的晶體管組成，有著更高的門(mén)密度，而最大的缺點(diǎn)是SRAM是可變易失的，需要上電讀取外部配置。此外，SRAM還存在一個(gè)缺陷,即單一事件擾亂(single-event upset,SEU)問(wèn)題，一旦發(fā)生SEU現(xiàn)象，F(xiàn)PGA內(nèi)部的任何一個(gè)單元都不能確保是正常運(yùn)行的。

Flash技術(shù)具有反復(fù)可擦寫(xiě)且具有不可易失的特性，其穩(wěn)定性高于SRAM，不存在單一事件擾亂(SEU)等問(wèn)題。

反熔絲是一次寫(xiě)入的，不可修改，不可易失。三種技術(shù)中，反熔絲型FPGA的可靠性和穩(wěn)定性是最高的。

三種技術(shù)的比較如表1所示。

表1 SRAM/Flash/反熔絲技術(shù)比較

在核電儀控系統(tǒng)中，三種FPGA都有一定的應(yīng)用，每種FPGA都有其優(yōu)勢(shì)。相比較而言，F(xiàn)lash型的FPGA具有相對(duì)較高的可靠性、安全性，一定程度上克服了SEU問(wèn)題，有更好的知識(shí)產(chǎn)權(quán)保護(hù)措施;此外，F(xiàn)lash型FPGA還具有功耗低、可實(shí)現(xiàn)性高的特點(diǎn)，在核電領(lǐng)域得到越來(lái)越多的應(yīng)用。

4.3 FPGA設(shè)計(jì)原則

上文分析了FPGA系統(tǒng)可用于CPU系統(tǒng)多樣性后備的一些技術(shù)特點(diǎn)，如無(wú)操作系統(tǒng)、系統(tǒng)簡(jiǎn)單等，因此FPGA系統(tǒng)設(shè)計(jì)過(guò)程中不能內(nèi)置CPU。為了使FPGA系統(tǒng)在核電站DAS系統(tǒng)中更有效地發(fā)揮其作用，設(shè)計(jì)應(yīng)遵循以下原則。

① 雖然DAS系統(tǒng)是非安全級(jí)系統(tǒng)，但在質(zhì)保方面有一定的要求，因此邏輯開(kāi)發(fā)過(guò)程須滿足IEC 62138中對(duì)執(zhí)行B類安全功能軟件的相關(guān)要求和IEC 62566的要求。

② FPGA系統(tǒng)利用VHDL純邏輯實(shí)現(xiàn)，不使用任何嵌入式處理器，否則FPGA系統(tǒng)和CPU系統(tǒng)的多樣性將沒(méi)有意義，也不利于設(shè)計(jì)的審查和驗(yàn)證。

③ 為了使系統(tǒng)更加簡(jiǎn)單，確定性更好，以區(qū)別于CPU系統(tǒng)，應(yīng)盡可能地使用同步化設(shè)計(jì)。

④ 為了提高系統(tǒng)的可靠性，減小開(kāi)發(fā)設(shè)計(jì)錯(cuò)誤，使得開(kāi)發(fā)過(guò)程更標(biāo)準(zhǔn)化，更利于測(cè)試驗(yàn)證，應(yīng)盡可能地使用模塊化設(shè)計(jì)。

⑤ 保持輔助功能(如測(cè)試功能、自診斷功能、配置功能等)和主要功能的獨(dú)立性，使得系統(tǒng)的主要功能盡可能的簡(jiǎn)化。

4.4 FPGA的診斷技術(shù)

核電系統(tǒng)產(chǎn)品的可靠性和安全性是核電產(chǎn)品的核心。因此，如何及時(shí)診斷FPGA的故障是產(chǎn)品開(kāi)發(fā)的一個(gè)重要技術(shù)點(diǎn)。在實(shí)際開(kāi)發(fā)中，一般可采用FPGA內(nèi)部自診斷和利用外部器件對(duì)FPGA進(jìn)行監(jiān)視兩種方式結(jié)合使用的方法。

FPGA的內(nèi)部自診斷技術(shù)很多，常見(jiàn)的自診斷措施有：①存儲(chǔ)單元校驗(yàn)；②片內(nèi)功能冗余；③動(dòng)態(tài)檢測(cè)，即將真正的信號(hào)和測(cè)試信號(hào)交織輸入。當(dāng)系統(tǒng)在未處理有用信號(hào)時(shí)，內(nèi)部激勵(lì)產(chǎn)生一個(gè)測(cè)試信號(hào)，并檢測(cè)輸出結(jié)果是否正確，從而驗(yàn)證該邏輯單元是否正常。

利用外部器件對(duì)FPGA進(jìn)行監(jiān)視一般是采用看門(mén)狗的方式。利用看門(mén)狗的優(yōu)勢(shì)在于不影響內(nèi)部的邏輯處理，只需讓認(rèn)為需要被監(jiān)測(cè)的模塊定期輸出一個(gè)看門(mén)狗信號(hào)即可，但是看門(mén)監(jiān)視只能監(jiān)測(cè)FPGA是“活的”還是“死的”，不能提供進(jìn)一步的故障診斷[7]。

5 結(jié)束語(yǔ)

由于FPGA技術(shù)和CPU技術(shù)在運(yùn)行機(jī)制上有著本質(zhì)的不同，F(xiàn)PGA技術(shù)沒(méi)有軟件運(yùn)行機(jī)制，因此在克

服軟件共因故障方面有著巨大的優(yōu)勢(shì)；此外，二者在復(fù)雜度、驗(yàn)證方式等方面也都存在著巨大的區(qū)別，因此將FPGA應(yīng)用于核電站多樣性系統(tǒng)得到了廣泛的認(rèn)可。然而，如何將FPGA的技術(shù)和多樣性驅(qū)動(dòng)系統(tǒng)進(jìn)行有效的結(jié)合，形成真正安全可靠的產(chǎn)品仍然面臨著很多的困難，如FPGA診斷問(wèn)題等。隨著這些困難的解決，F(xiàn)PGA技術(shù)的優(yōu)勢(shì)得到真正發(fā)揮，相信在不久的將來(lái)，F(xiàn)PGA技術(shù)不僅在多樣性系統(tǒng)中，在核電站其他領(lǐng)域中也能得到更多的應(yīng)用。

[1] Nuclear Regulatory Commission.Nureg0800-BTP7-19 Guidance for evaluation of diversity and defense-in-depth in digital computer-based instrumentation and control systems[S].2009.

[2] International Electrotechnical Commission.IEC 61508.Functional safety of electrical/electronic/programmable electronic safety-related systems[S].2010.

[3] International Electrotechnical Commission.IEC 62340 Instrumentation and control systems important to safety-Requirements for coping with common cause failure(CCF)[S].2007.

[4] Nuclear Regulatory Commission.Nureg/CR-6303 Method for performing diversity and defense-in-depth analyses of reactor protection systems[S].1994.

[5] Nuclear Regulatory Commission.Nureg/CR-7007 Diversity strategies for nuclear power plant instrumentation and control systems[S].2010.

[6] Electric Power Research Institute.EPRI-1022983 Recommended approaches and design criteria for application of field programmable gate arrays in nuclear power plant instrumentation and control systems[S].2011.

[7] Electric Power Research Institute.EPRI-107330 Generic requirements specification for qualifying a commercially available PLC for safety-related applications in nuclear power plants[S].1996.