北京廣利核系統(tǒng)工程有限公司 高玉斌，趙云飛

核安全級儀控設備HPD邏輯可靠性分析驗證方法

北京廣利核系統(tǒng)工程有限公司 高玉斌，趙云飛

隨著HPD邏輯在國產化核安全級儀控系統(tǒng)中的廣泛應用，HPD邏輯設計的可靠性成為關鍵，仿真和硬件測試方法可達到的覆蓋率低，很難滿足核安全級產品可靠性分析驗證要求，因而全面系統(tǒng)化的HPD邏輯可靠性分析驗證方法是至關重要的。本文提出一種HPD邏輯的可靠性分析驗證方法，該方法提出從五個維度分析HPD邏輯的可靠性，分析時采用FMEA和形式化相結合的手段。通過FitRel平臺系統(tǒng)的FPGA和FirmSys平臺系統(tǒng)的CPLD可靠性分析的實踐，表明該方法可全面有效地揭示隱蔽的設計缺陷，保障HPD邏輯設計的可靠性。

硬件描述語言；可編程設備；可靠性；邏輯

隨著國產化核安全級數字儀控技術的發(fā)展，以硬件描述語言（HDL）開發(fā)的可編程設備（HPD：HDL-Programmed Device）正成為一種趨勢。HPD邏輯具有集成性高、邏輯復雜和不易測試的特點，在執(zhí)行核安全儀控系統(tǒng)中的安全功能時，對其可靠性提出了較高的要求。傳統(tǒng)的電子元器件硬件可靠性分析驗證方法偏重于定量計算，而無法解決與軟件相似的HPD邏輯的可靠性問題。

由于HPD邏輯具有軟硬件雙重特性，增加了對其可靠性分析的復雜性，目前對于HPD的可靠性分析主要是對HPD芯片的硬件進行定量的分析，而對于HPD邏輯可靠性國內外并沒有一套成熟的技術體系加以分析。

本文提出一種HPD邏輯可靠性分析的方法，通過對HPD邏輯的屬性分析和軟件可靠性的研究，從五個維度分析HPD邏輯可靠性，并采用FMEA和形式化相結合的手段對其加以分析。

1 HPD邏輯可靠性分析方法

1.1 HPD邏輯的可靠性分析維度

HPD邏輯的可靠性分析維度主要包括技術和過程屬性，技術屬性包括功能、時間、完整和結構，過程屬性包括等效性。

為了全面深入地分析HPD邏輯的可靠性，需要分析HPD邏輯所具有的屬性，從屬性的維度分析可靠性。目前適用于HPD邏輯分析驗證的核安全級標準主要有IEC62566[1]、BTP7-14[2]、NUREG/CR7006[3]、IEEE1012[4]。IEEE1012和BTP7-14標準對軟件提出兩大類屬性，功能屬性和過程屬性，功能屬性包括準確性、功能性、可靠性、健壯性、安全性、保密性和時間性，過程屬性包括完備性、一致性、正確性、格式、追蹤性、非模糊性和可驗證性，但都是針對傳統(tǒng)軟件的特性，對HPD邏輯來說并不完整；IEC62566標準提出了HPD邏輯的設計準則和要求，但沒有深入地剖析HPD邏輯的特性，實踐中，仍需要進一步具體化，增強可操作性；NUREG/CR7006標準適用于RTL代碼實現和更低抽象級的研發(fā)輸出，不能覆蓋HPD邏輯開發(fā)的整個生命周期。因而提出更適用于HPD邏輯的屬性分析驗證維度，主要包括技術屬性和過程屬性兩方面，如圖1所示。

圖1 HPD邏輯屬性分析維度圖

其中技術屬性[5]包括：功能、時間、完整、結構，具體含義如下。

功能性：指HPD所承擔的具體應用功能，分析其潛在故障，屬于HPD邏輯的應用表象。

時間性：指HPD邏輯的時序關系，以及時間性能指標，分析其完整性、合理性和正確性，屬于HPD邏輯的應用表象。

完整性：HPD芯片所承擔的功能是通過一些基礎部件組合實現的，完整屬性用以表征這些基礎部件的運行機制正確和完備，其故障將會直接影響HPD邏輯的應用表象。

結構性：指對邏輯可產生影響的特定HPD結構，其故障將會直接影響HPD邏輯的運行機制。

過程屬性包括：等效性，表征邏輯需求、設計、代碼、網表之間轉換的完整性、正確性、一致性。

可靠性是指預防故障發(fā)生的避錯能力，故障可檢測的檢測能力，控制故障后果的容錯能力，糾正錯誤的糾錯能力。HPD邏輯的可靠性分析內容如下所示。

（1）功能性的可靠性分析內容

· 輸入

作為功能模塊的數據流入口，輸入數據的正確處理直接關系到是否能得到正確的輸出，因而輸入要有正確的數據類型、格式、精度；不允許越界、賦值；對未使用的輸入應保持確定狀態(tài)，同時如果輸入越界，應導向確定行為。

· 處理

傳統(tǒng)軟件基于指令串行執(zhí)行，而HPD邏輯具有并行性的特點，在某個時刻或某個條件下，HPD的運行狀態(tài)會較為復雜，因而對于重要通信接口、關鍵數據、關鍵處理算法、不同單元間數據傳輸、存儲或配置數據，防御性設計不允許影響性能和安全功能執(zhí)行；應保證算法強內聚，弱耦合，邊界和邏輯處理應正確，應能檢測一定類型的隨機和系統(tǒng)故障，對故障的處理邏輯和時序行為應確定并使系統(tǒng)處于安全狀態(tài)，應有一定的共因故障容忍度，關鍵數據應有必要的校驗措施，比如CRC校驗，冗余設計。

· 輸出

輸出要求有正確的數據類型、格式和精度，不允許溢出。

（2）時間性的可靠性分析內容

· 時序關系

應盡量采用同步設計，對于時序邏輯應保證每一個時鐘信號到達后，各個輸入和輸出信號的狀態(tài)和時序關系正確，對于組合邏輯應保證不同時鐘域的信號傳輸正確，應保證任何給定的輸入序列在滿足電氣和時序要求時，總是產生相同的輸出時序；不允許在同一個功能塊內部使用多個時鐘。

· 時間性能

HPD邏輯的響應時間和處理時間應在合理范圍內，響應時間超時應導向安全；應從硬件資源的約束、定時和計數設計的邊界處理，時間要求等方面對延時電路、定時器和計數器等部件進行驗證；應盡量采用定時和計數方法，而禁止采用邏輯門實現延時，防止不同芯片內部邏輯門的延時不同，或工具優(yōu)化掉延時邏輯門而導致的延時不確定。

（3）完整性的可靠性分析內容

· 信號

避免一個信號被多個驅動器驅動，多個信號驅動某個信號前應增加三態(tài)門邏輯；應設置合理的總線競爭機制，比如優(yōu)先級處理機制。

· 毛刺和亞穩(wěn)態(tài)

建立和保持時間應在約束范圍內，并且約束要滿足相關硬件要求；應盡量使用觸發(fā)器代替鎖存器，防止毛刺和噪聲的產生和擴散；避免信號的建立、保持時間不滿足要求導致毛刺和亞穩(wěn)態(tài)，避免組合邏輯的信號同時跳變導致的毛刺；時鐘偏移和抖動不允許影響信號的傳輸；異步輸入應采用雙觸發(fā)器同步化處理；輸出信號應經過觸發(fā)器同步處理。

· 狀態(tài)機

應該有確定的和完整的狀態(tài)，沒有死狀態(tài)；應有確定的初始狀態(tài)和明確的轉換條件；狀態(tài)編碼應合理（比如采用格雷碼防毛刺和亞穩(wěn)態(tài)的產生）；應能將狀態(tài)機從死狀態(tài)轉移到初始態(tài)；進入非法狀態(tài)后，狀態(tài)處理應明確。

· 運算

應保證運算邏輯、精度和符號處理正確。

· 鎖相環(huán)

應監(jiān)測PLL鎖定信號，并避免PLL故障。

· 寄存器和存儲器

同時讀寫存儲器，并應保證讀寫同時有效時的處理機制合理；避免存儲空間越界訪問，越界后應導向安全；避免置位和復位被組合邏輯驅動。

· 計數器

應保證復位、置位、進位、退位有效，以及計數（包括邊界）正常，避免計數溢出和使用紋波計數器。

（4）結構性的可靠性要求

HPD基本構成部分包括：Configurable Logic Block（CLB），programmable Input/Output block（I/O），interconnection grid（內部互連網格），RAM block（數據存儲資源）。結構上有以下幾個特點：大量存儲單元，再配置性（基于反熔絲技術的除外），功能模塊的獨立性。

· 存儲單元的可靠性要求

HPD內部的存儲單元主要包括配置存儲單元、數據存儲單元、寄存器和觸發(fā)器，這些存儲單元在高能粒子的轟擊和影響下，存儲內容可能會發(fā)生翻轉，產生存儲單元的SEU問題，造成HPD邏輯運行機制或存儲數據發(fā)生變化。需避免配置開關連接的SEU問題，應選擇工藝結構不易受SEU影響的基于反熔絲技術和FLASH技術的FPGA；避免環(huán)境對邏輯的SEU問題；應監(jiān)測SEU的發(fā)生；并應有充分的防范措施和設計；關鍵存儲數據、狀態(tài)機和控制邏輯應具備正確合理的應對SEU錯誤的糾正處理措施。

· 再配置性的可靠性要求

HPD可現場再配置，每次再配置過程會有配置數據傳輸引起的安保問題，應避免配置bit流信息的泄露和信息的植入；避免存在不使用的功能和能力（工具或預開發(fā)模塊引入的）。

· 功能模塊獨立性的可靠性要求

HPD內部包含了多個獨立的承載邏輯功能的CLB塊，應避免破壞邏輯功能的獨立性，具有防范獨立性故障的措施；同時應避免兩個或多個功能獨立的模塊共享相同的邏輯資源。

（5）等效性的可靠性分析內容

在邏輯需求、設計、代碼和網表之間的轉換過程受到人為因素和文件質量的影響，可能導致上下級文件不一致的問題。等效性的可靠性要求包括：

· 功能、性能、接口完整

沒有多余或缺失的功能、性能、接口設計；設計應完整，應描述必要的約束條件和環(huán)境。

· 轉化過程正確

HPD邏輯應能正確地轉化，建議采用自頂向下，模塊化的設計策略；同一模塊應使用相同的編程語言；文件應可理解，清晰易懂，描述一致，無歧義；從邏輯需求、設計、代碼到網表之間，應保持上下一致；工具不能引入或移除冗余的設計。

1.2 HPD邏輯的可靠性分析手段

HPD邏輯的可靠性分析手段主要包括FMEA和形式化。

FMEA（失效模式及影響分析）是一種基于假設功能非或結構損壞情況的可靠性分析手段，用來暴露軟件缺陷。對于復雜邏輯的可靠性論證，FMEA所采用的功能非或假設結構損壞的方式比較直觀，但難以挖掘出潛藏邏輯問題的失效模式，需要一些具有理論基礎的分析方法。形式化模型檢驗建立在嚴格數學基礎上，可以提高驗證覆蓋率，可發(fā)現復雜邏輯深層的故障，能彌補FMEA手段的局限，完整的分析HPD邏輯的可靠性。因而我們采用FMEA和形式化相結合的混合可靠性分析驗證手段。

（1）FMEA手段

通過FMEA手段從HPD邏輯屬性的維度分析失效模式、失效原因及其對產品或系統(tǒng)造成的所有可能影響，并按失效模式的嚴重程度和發(fā)生頻度予以分類，并根據失效模式及影響，結合HPD邏輯可靠性內容進行綜合評估。具體原則為：

· 若失效模式及影響嚴重度和發(fā)生頻度一般，則只需評估是否滿足HPD邏輯可靠性避錯要求；

· 若失效模式及影響嚴重度和發(fā)生頻度較高，則在評估是否滿足HPD邏輯可靠性避錯要求的基礎上，還需綜合評估是否滿足檢錯、容錯和糾錯要求。

（2）形式化手段

對于HPD邏輯中的復雜功能，必然潛藏深層次的故障，形式化模型檢驗可以實現較高的驗證覆蓋率，全面的分析復雜設計的失效模式，有效的彌補FMEA手段的不足。HPD邏輯的模型檢驗的過程如下：

· 用SMV形式化語言描述HPD邏輯實現的復雜功能狀態(tài)機；

· 獲取HPD的性質，考慮HPD邏輯屬性的可靠性內容；

· 將HPD的性質轉化為時態(tài)邏輯公式；

· 使用SMV模型檢測工具檢測所有的性質。如果性質不滿足，將提供反例。

2 實踐案例

該方法在某安全級板卡上的CPLD邏輯的可靠性分析實踐中得到了應用。

（1）驗證對象

該CPLD實現了一個去抖功能，在系統(tǒng)上電后，CPLD對開關量信號開始執(zhí)行去抖操作，對其高電平或者低電平計時，如果計時結束（4ms內），數據沒有發(fā)生變化，則認為該數據是穩(wěn)定有效的，將其輸出，否則輸入數據維持上一次穩(wěn)定數據不變。

（2）驗證方法

以該CPLD的完整屬性和功能屬性的可靠性分析為例，通過對完整屬性的驗證展示FMEA手段的應用，通過對功能屬性的驗證展示形式化手段的應用。

（3）完整性驗證

采用FMEA手段分析完整屬性的失效模式，如表1所示。

表1 FMEA分析表

如果信號出現亞穩(wěn)態(tài)，對去抖功能的實現影響較大，嚴重等級較高，除了滿足信號不出現亞穩(wěn)態(tài)的可靠性避錯要求外，還應有對亞穩(wěn)態(tài)出現后進行信號恢復的容錯設計，以滿足信號亞穩(wěn)態(tài)的可靠性要求。

（4）功能性驗證

采用形式化手段對功能屬性的邊界處理進行分析，首先對每個信號建立狀態(tài)機模型，每個信號的功能屬性的邊界處理信息應包含在模型中；然后提取需驗證的性質，根據去抖設計的功能要求和原理，應保證如果輸出信號為1，輸入必須在至少4ms內保持為1；最后驗證去抖設計是否存在所驗證的性質的反例。通過使用SMV工具得到驗證結果：false，通過反例路徑發(fā)現：當在臨界條件（去抖計時結束的邊界條件）下，如果輸入信號發(fā)生抖動，則最終會輸出抖動值，即在保持時間T＝4ms即將到來之前，ch_in發(fā)生抖動，ch_debounce_out將輸出抖動值。使用modelsim工具對該反例進行仿真驗證，其波形如圖2所示。

3 結語

本文提出一種HPD邏輯可靠性的分析方法，包括從功能屬性、時間屬性、完整屬性、結構屬性、等效屬性5個維度開展可靠性的避錯、檢錯、糾錯和容錯的分析，并采用FMEA和形式化相結合的分析手段，具有很強的可操作性和實用性，可對核安全儀控系統(tǒng)中的HPD邏輯可靠性進行完整和深入的分析驗證。通過FitRel平臺系統(tǒng)的FPGA和FirmSys平臺系統(tǒng)的CPLD可靠性分析的實踐，證明該系統(tǒng)化的方法可有效地保證HPD邏輯的可靠性。

致謝

本文的編寫過程中，廣利核公司總工程師白濤、質量部的張亞棟組長、龍威總工和科技開發(fā)處的同事提出了非常有價值的觀點和建議，白冰、張奇、王義民等工程師積極幫助組織論文的討論和推動論文的審批流程，作者在此表示衷心的感謝。

[1] International Electrotechnical Commission. Std 62566 Nuclear power plants - Instrumentation and control important to safety - Development of HDL-programmed integrated circuits for systems performing category A functions[S]. Switzerland: International Electrotechnical Commission, 2012.

[2] Nuclear Regulatory Commission.NUREG0800 BTP 7-14 Guidance on Software Reviews for Digital Computer-Based Instrumentation and Control Systems [S]. Washington: Nuclear Regulatory Commission, 2007.

[3] Nuclear Regulatory Commission.NUREG/CR 7006 Review Guidelines for Field-Programmable Gate Arrays in Nuclear Power Plant Safety Systems Office [S]Washington: Nuclear Regulatory Commission, 2009.

[4] Institute of Electrical and Electronics Engineers. IEEE Std 1012 IEEE Standard for Software Verification and Validation[S]. New York: Institute of Electrical and Electronics Engineers, 2004.

[5] Electric Power Research Institute (EPRI).EPRI TR-1022983 Recommended Approaches and Design Criteria for Application of Field Programmable Gate Arrays in Nuclear Power Plant Instrumentation and Control Systems[R]. USA: Electric Power Research Institute, 2011.

種類 參數設定 適用條件和優(yōu)點旋轉型自學習 T1-01=0自學習時電機可以旋轉可進行最高精度的電機控制恒功率運行時停止型自學習1 T1-01=1 無電機測試報告時自動計算并設定矢量控制所需的的電機參數停止型自學習2 T1-01=4有電機測試報告時根據電機測試報告設定空載電流和電機參數。額定滑差的值，自動設定矢量控制所需的其他電機參數僅對線間電阻的停止型自學習T1-01=2進行自學習后，在現場安裝時電機電纜長度變?yōu)?0m以上時電機容量和變頻容量不同時Vf節(jié)能控制用自學習 T1-01=3 v/f控制模式下使用速度推定行的速度搜索或節(jié)能控制時自學習時電機可旋轉的場合提高轉矩補償、滑差補償、節(jié)能控制、速度搜索等功能停止型自學習3 T1-01=5無幾點測試報告時自學習后可用輕載驅動電機時自學習后進行試運行，自動計算機并設定矢量控制所需的電數

自學習時，可能會因電機突然起動而導致人身事故。進行自學習之前，請確認電機和負載機械周圍的安全狀況。進行停止型自學習時，電機雖然不運行，但仍處于通電狀態(tài)。觸摸電機可能導致觸電。在自學習結束前，請勿觸摸電機。

另外，在制動器制動的狀態(tài)下，不能正常進行旋轉型自學習。如果錯誤操作，可能會導致變頻器誤動作。進行自學習之前，請確認電機能順暢無阻地旋轉。而對于連接了負載的電機，請勿進行旋轉型自學習。否則會導致變頻器動作不良。對連接了負載的電機進行旋轉型自學習時，可能會出現不能正確計算電機參數、電機動作異常的情況，因此務必將電機與負載的結合部分（比如聯軸器、減速箱、同步帶等）離開。

輸入電機銘牌值后，按“∧”鍵，顯示自學習畫面，開始自學習，也就是從輸入電機銘牌數據操作的步驟開始繼續(xù)操作。

4 結語

安川A1000系列變頻器具有卓越的電機驅動性能，實現了所有電機的控制，不管是感應電機還是同步電機都可以通用，可以通過參數設定，切換感應電機和同步電機；它具有全新的轉矩特性，即使無傳感器也能做到零速高轉矩。本文主要介紹了安川A1000變頻器在刮泥機中的設計。

參考文獻：

[1] 李方園.變頻器控制技術(第2版)[M].北京：電子工業(yè)出版社, 2015.

[2] 李方園.變頻器應用技術(第2版)[M].北京：科學出版社, 2014.

作者簡介

李方園（1973-），男，浙江舟山人，高級工程師，畢業(yè)于浙江工業(yè)大學信息學院工程碩士專業(yè)，長期從事于變頻器等現代工控產品的應用與研究工作，現就職于浙江工商職業(yè)技術學院。

Reliability Analysis Method of HPD Logic Used in Nuclear Safety I&C

The HPD logic is applied widely in instrumentation and control systems of nuclear power plants. Reliability of HPD logic becomes more and more critical. It is too hard for traditional simulation and hardware testing methods to analyze completely HPD logic reliability, therefore the systematic method of analyzing and verifying reliability of HPD logic is crucial. In this paper, reliability analysis method of HPD logic is presented, and reliability requirements of HPD logic are analyzed through five dimensions. It can combine the FMEA with the formal method when analyzing reliability. The practice results of analyzing reliability of FPGA in FitRel platform and CPLD in FirmSys platform have proved that the methods can reveal the hidden design faults effectively, and provide the credible evidence for HPD logic reliability.

HDL; HPD; Reliability; Logic

高玉斌（1977-），男，河北人，碩士，工程師，現就職于北京廣利核系統(tǒng)工程有限公司，主要從事核安全級儀控產品的HPD邏輯的V&V分析。