FPGA技術在核電站多樣性系統中的應用技術研究

(北京廣利核系統工程有限公司,北京 100094)

0 引言

縱深防御與多樣性(defense-in-depth and diversity，D3)是核電站儀控系統重要設計原則之一。而對于儀控系統的縱深防御來說，一般是通過控制系統、停堆保護系統、專設安全驅動系統、后備顯示與控制系統,主要是多樣性驅動系統(diverse actuation system,DAS)來完成不同層級、階段的事故預防和異常工況的處理。

基于現在較流行的數字化儀控系統的設計，雖然在可用性、可維護性、自診斷等方面具有很大的優勢，但是數字化技術均是由CPU實現的，而基于CPU的軟件設計的錯誤是共因故障(common failure,CFF)的可信來源，且不能完全證明軟件設計是無故障的(error-free)[1]。任何人、任何機構都不可能做到軟件錯誤通過V&V過程100%被排除。因此,對軟件共因故障的防御是目前核電站數字化保護系統的重要任務之一。如何實現CPU系統的多樣性驅動系統顯得越發迫切。

1 DAS系統概述

多樣性是指采用不同的方法或手段達到指定的目的[2-3]。在儀控系統中，多樣性技術是指使用不同的傳感器參數、不同的技術、不同的邏輯和算法、不同的觸動方式等幾種方式來達到指定的功能，且多樣性的屬性包括以下六個方面：人員多樣性、設計多樣性、軟件多樣性、功能多樣性、信號多樣性、設備多樣性[4]。

多樣性驅動系統(DAS)是核電站儀控系統的重要組成部分，屬于非安全系統，主要用于在保護系統發生共因故障(CCF)時，提供后備的多樣性自動和手動停堆、專設安全設施驅動觸發功能，以及多樣性的信息顯示功能，確保核電站具備足夠的安全水平。

總體上來說，DAS主要實現以下三個功能。

① 提供多樣化、備用的自動驅動信號，當規定的電廠參數超過整定值時，自動停堆并驅動選定的專設安全設施。

② 提供多樣化、備用的手動觸發反應堆停堆和選定的專設安全設施。

③ 為選定的電站參數提供獨立的多樣性指示。

上述功能實現的目的如下：

① 緩解預期瞬態不停堆(ATWS)的后果；

② 減少由保護系統假想的共模故障引起的堆熔概率，并防止堆熔后安全殼的超壓失效。

2 DAS系統的應用

2.1 DAS設備應用策略

作為保護系統CCF的后備系統，DAS與翻車防護裝置(rollover protection system,RPS)必須采用多樣性設計，使DAS與RPS發生共因故障的可能性降至最低。

在NUREG/CR-7007中，給出了三種多樣性的策略[5]，即：策略A，不同的基本技術(如模擬技術和數字技術)；策略B，相同基本技術下的不同方法(如FPGA方法和CPU方法)；策略C，同樣技術方法下的不同架構(如不同的微處理器架構)。

在實際工程應用中，RPS 與DAS(或ATWT)的多樣性策略可基本概括為CR-7007 的三種策略。如紅沿河電站的MELTAC 與MELNAS 儀控平臺采用策略A(數字+模擬策略)；AP1000儀控系統目前標準設計采用策略B(CPU+FPGA 策略)；嶺澳二期使用的TXS+TXP平臺采用策略C(TXS+TXP，不同的CPU 架構)。

而目前新建電站，尤其是三代先進壓水堆基本上都是采用CPU+FPGA 的多樣性策略，即策略B，而較少采用策略A和策略C。原因分析如下。

① 純模擬技術的儀控系統選擇余地越來越小。目前儀控系統已經逐漸全面數字化，各儀控廠商已經很少再延續設計和生產純硬件的儀控產品，一般除老電站升級改造或如三菱因歷史原因仍保有純硬件儀控平臺生產線外，對于功能規模比ATWT 更大的DAS 系統，數字+模擬策略已難以施行。

② 基于CPU 技術的多樣性分析論證非常困難。由于軟件系統的復雜性以及目前技術水平的限制，鮮有公認的合適手段對軟件故障進行詳細分析，使得該策略在實際實施技術上較為困難，增大了成本，而且也很難獲得各國核監管當局的認可。

2.2 FPGA技術在DAS領域的應用

RPS和DAS 采用CPU+FPGA 策略的設計方案是目前儀控系統發展趨勢之一。目前主要的三代壓水堆核電站儀控系統設計針對RPS與DAS都是采用策略B，即基于CPU 平臺與基于FPGA 平臺的方式。如EPR電站，Olkiluoto 3 號機組儀控系統設計中，保護系統與多樣性后備系統使用TXS+HBS(基于FPGA)的方式；AP1000 電站目前也轉向CPU+FPGA 的方式(Common Q+ALS)。

3 多樣性分析

3.1 運行機制不同

對于CPU技術的保護系統，究其本質仍然是馮·諾依曼體系結構。對于馮·諾依曼結構體系的系統，其最大的特點是順序執行逐條指令，在執行過程中，任何一條指令的正常運行受到影響時，均會對整個系統的運行造成影響，嚴重時甚至會造成系統的崩潰。

FPGA技術是現場可編程陣列，不同廠商FPGA的基本結構是基本一致的，如圖1所示。

圖1 FPGA基本結構

一般FPGA內部以顯示查找表(look-up table,LUT)為核心，其包含了以下幾個部分。

① 一系列可配置的邏輯塊(configurable logic block,CLB)。一個CLB可被配置為任何基本邏輯函數(如與、或、非、異或等)，以查找表為核心，多個CLB相互連接即可完成復雜的功能。

② 可配置的輸入輸出模塊。FPGA的所有I/O模塊都可配置成輸入或輸出，也可配置連接一個CLB或多個CLB。所有I/O模塊的電平或電流要求可以取決于外部設備。

③ 內部連接的柵格。FPGA內部有一系列的水平柵格線和垂直柵格線，其連接關系均是可配置的。CLB之間、CLB和I/O模塊之間的各種復雜的連接關系均由柵格完成。

④ 數據存儲單元。由于CLB單元的存儲能力有限，因此大多數FPGA都包含了一定的存儲單元，用于存放數據。

從FPGA的基本架構可以看出，FPGA沒有順序執行的概念，其由上百萬個各種門電路組成，是一個純硬件結構。當有數據輸入時，數據經過各種門單元的邏輯運算，并輸出運算結果，是一個并行處理的過程。因此，FPGA技術沒有軟件運行機制，在極大程度上解決了軟件的共因共模問題。

3.2 復雜度不同

基于FPGA技術的系統和基于CPU技術的系統在復雜度方面也有極大的不同。

盡管腐敗案件的女性大多曾是業績突出、事業有成、仕途順利的“女強人”，但不容忽視的是，事業有成及仕途順利本身既說明其環境適應能力比較強，也從一個側面表明其易受周圍人物和環境的左右與影響。此外，和男性相比較，女性本身固有的順從、依賴和攀比心態，一方面造成其較易受社會流行思想觀念，當然也包括不正確、不健康思想觀念的影響；另一方面也造成其在親友或身邊工作人員等利用自己的職務和權力影響力謀取私利或損害國家與公眾利益時，較易喪失原則立場，只是一味忍讓、遷就，甚至包庇、縱容。

基于CPU的DCS系統一般均是基于操作系統實現的，即使是實現很簡單的功能，也要經過操作系統這一層，而操作系統一般不是針對核電領域專門開發的，是一個通用的平臺。因此，往往很簡單的操作系統也是非常復雜的。CPU系統的層級關系如圖2所示。

圖2 CPU系統的層級關系

FPGA系統則沒有復雜的操作系統，所有的功能均是針對特定的應用而特定開發的，沒有太多附加的東西。FPGA系統的層級關系如圖3所示。

圖3 FPGA系統的層級關系

由圖2、圖3可知，和CPU系統相比較而言，FPGA系統的復雜度大大降低。另外FPGA所有的功能實現均是基于CLB實現的，不同的功能可在不同的CLB中實現，因此FPGA還具有功能分區易于實現的特點。對此，可以將系統的輔助功能(如自監視功能、配置功能等)和安全功能在不同的CLB中實現，使二者互不影響。而CPU系統所有的功能都是順序執行的，很難做到功能的分割。因此，FPGA系統可單獨實現輔助功能，大大降低了安全功能的復雜度[6]。FPGA系統和CPU系統的整體復雜度比較如圖4所示。

圖4 FPGA技術和CPU技術復雜度比較圖

3.3 驗證方式不同

由于FPGA技術和CPU技術在運行機制上、復雜度上均存在著不同，因此對于FPGA系統的驗證要比CPU系統的驗證要容易得多。

① FPGA技術由CLB組成了復雜的功能，相比較于CPU技術，沒有復雜的操作系統，因此FPGA系統整體具有簡單、并行處理、易于功能分割等特點；FPGA的整個設計過程及設計電路比較透明，可以相對容易地對電路設計進行審查。這些特征都使得FPGA的電路設計易于審查和驗證。

② CPU技術是基于軟件運行的，所有的功能都是隨著程序的順序執行而完成，而一旦其中一個環節發生錯誤，則整個處理過程就會受到影響而發生故障或者使系統處于非預期的狀態。這種機制是不利于審查和驗證的。

③ 在電子設計領域，形式化驗證得到越來越廣泛的應用，相對于CPU技術，FPGA技術的低復雜度使其更有利于使用形式化驗證的方法，也更具有可行性。

4 FPGA應用于DAS的關鍵問題

將FPGA技術應用于多樣性系統(DAS)得到了越來越廣泛的應用，但是在DAS系統中如何發揮FPGA的技術優勢，與核電進行有效的結合是目前面臨的主要問題。在基于FPGA技術的DAS系統開發過程中，至少面臨以下幾個問題：①FPGA的開發流程；②FPGA選型及安全性問題；③FPGA的設計原則及FPGA的診斷技術。

4.1 FPGA的開發流程

在基于FPGA技術的DAS系統開發過程中，首先面臨的是滿足核電要求的開發流程問題，一個可靠系統的開發應有一個嚴謹的開發流程做保障，尤其是核電儀控系統產品。FPGA開發的生命周期模型如圖5所示

圖5 FPGA開發的生命周期模型

4.2 FPGA選型及安全性問題

FPGA根據數據存儲單元種類的不同，可分為SRAM(static RAM)型、Flash型和反熔絲型三種。大部分的FPGA都是基于SRAM的。SRAM單元結構如圖6所示。

圖6 SRAM單元結構圖

SRAM型FPGA的優點是由很小的晶體管組成，有著更高的門密度，而最大的缺點是SRAM是可變易失的，需要上電讀取外部配置。此外，SRAM還存在一個缺陷,即單一事件擾亂(single-event upset,SEU)問題，一旦發生SEU現象，FPGA內部的任何一個單元都不能確保是正常運行的。

Flash技術具有反復可擦寫且具有不可易失的特性，其穩定性高于SRAM，不存在單一事件擾亂(SEU)等問題。

反熔絲是一次寫入的，不可修改，不可易失。三種技術中，反熔絲型FPGA的可靠性和穩定性是最高的。

三種技術的比較如表1所示。

表1 SRAM/Flash/反熔絲技術比較

在核電儀控系統中，三種FPGA都有一定的應用，每種FPGA都有其優勢。相比較而言，Flash型的FPGA具有相對較高的可靠性、安全性，一定程度上克服了SEU問題，有更好的知識產權保護措施;此外，Flash型FPGA還具有功耗低、可實現性高的特點，在核電領域得到越來越多的應用。

4.3 FPGA設計原則

上文分析了FPGA系統可用于CPU系統多樣性后備的一些技術特點，如無操作系統、系統簡單等，因此FPGA系統設計過程中不能內置CPU。為了使FPGA系統在核電站DAS系統中更有效地發揮其作用，設計應遵循以下原則。

① 雖然DAS系統是非安全級系統，但在質保方面有一定的要求，因此邏輯開發過程須滿足IEC 62138中對執行B類安全功能軟件的相關要求和IEC 62566的要求。

② FPGA系統利用VHDL純邏輯實現，不使用任何嵌入式處理器，否則FPGA系統和CPU系統的多樣性將沒有意義，也不利于設計的審查和驗證。

③ 為了使系統更加簡單，確定性更好，以區別于CPU系統，應盡可能地使用同步化設計。

④ 為了提高系統的可靠性，減小開發設計錯誤，使得開發過程更標準化，更利于測試驗證，應盡可能地使用模塊化設計。

⑤ 保持輔助功能(如測試功能、自診斷功能、配置功能等)和主要功能的獨立性，使得系統的主要功能盡可能的簡化。

4.4 FPGA的診斷技術

核電系統產品的可靠性和安全性是核電產品的核心。因此，如何及時診斷FPGA的故障是產品開發的一個重要技術點。在實際開發中，一般可采用FPGA內部自診斷和利用外部器件對FPGA進行監視兩種方式結合使用的方法。

FPGA的內部自診斷技術很多，常見的自診斷措施有：①存儲單元校驗；②片內功能冗余；③動態檢測，即將真正的信號和測試信號交織輸入。當系統在未處理有用信號時，內部激勵產生一個測試信號，并檢測輸出結果是否正確，從而驗證該邏輯單元是否正常。

利用外部器件對FPGA進行監視一般是采用看門狗的方式。利用看門狗的優勢在于不影響內部的邏輯處理，只需讓認為需要被監測的模塊定期輸出一個看門狗信號即可，但是看門監視只能監測FPGA是“活的”還是“死的”，不能提供進一步的故障診斷[7]。

5 結束語

由于FPGA技術和CPU技術在運行機制上有著本質的不同，FPGA技術沒有軟件運行機制，因此在克

服軟件共因故障方面有著巨大的優勢；此外，二者在復雜度、驗證方式等方面也都存在著巨大的區別，因此將FPGA應用于核電站多樣性系統得到了廣泛的認可。然而，如何將FPGA的技術和多樣性驅動系統進行有效的結合，形成真正安全可靠的產品仍然面臨著很多的困難，如FPGA診斷問題等。隨著這些困難的解決，FPGA技術的優勢得到真正發揮，相信在不久的將來，FPGA技術不僅在多樣性系統中，在核電站其他領域中也能得到更多的應用。

[1] Nuclear Regulatory Commission.Nureg0800-BTP7-19 Guidance for evaluation of diversity and defense-in-depth in digital computer-based instrumentation and control systems[S].2009.

[2] International Electrotechnical Commission.IEC 61508.Functional safety of electrical/electronic/programmable electronic safety-related systems[S].2010.

[3] International Electrotechnical Commission.IEC 62340 Instrumentation and control systems important to safety-Requirements for coping with common cause failure(CCF)[S].2007.

[4] Nuclear Regulatory Commission.Nureg/CR-6303 Method for performing diversity and defense-in-depth analyses of reactor protection systems[S].1994.

[5] Nuclear Regulatory Commission.Nureg/CR-7007 Diversity strategies for nuclear power plant instrumentation and control systems[S].2010.

[6] Electric Power Research Institute.EPRI-1022983 Recommended approaches and design criteria for application of field programmable gate arrays in nuclear power plant instrumentation and control systems[S].2011.

[7] Electric Power Research Institute.EPRI-107330 Generic requirements specification for qualifying a commercially available PLC for safety-related applications in nuclear power plants[S].1996.