时间:2024-07-28
(北京广利核系统工程有限公司,北京 100094)
纵深防御与多样性(defense-in-depth and diversity,D3)是核电站仪控系统重要设计原则之一。而对于仪控系统的纵深防御来说,一般是通过控制系统、停堆保护系统、专设安全驱动系统、后备显示与控制系统,主要是多样性驱动系统(diverse actuation system,DAS)来完成不同层级、阶段的事故预防和异常工况的处理。
基于现在较流行的数字化仪控系统的设计,虽然在可用性、可维护性、自诊断等方面具有很大的优势,但是数字化技术均是由CPU实现的,而基于CPU的软件设计的错误是共因故障(common failure,CFF)的可信来源,且不能完全证明软件设计是无故障的(error-free)[1]。任何人、任何机构都不可能做到软件错误通过V&V过程100%被排除。因此,对软件共因故障的防御是目前核电站数字化保护系统的重要任务之一。如何实现CPU系统的多样性驱动系统显得越发迫切。
多样性是指采用不同的方法或手段达到指定的目的[2-3]。在仪控系统中,多样性技术是指使用不同的传感器参数、不同的技术、不同的逻辑和算法、不同的触动方式等几种方式来达到指定的功能,且多样性的属性包括以下六个方面:人员多样性、设计多样性、软件多样性、功能多样性、信号多样性、设备多样性[4]。
多样性驱动系统(DAS)是核电站仪控系统的重要组成部分,属于非安全系统,主要用于在保护系统发生共因故障(CCF)时,提供后备的多样性自动和手动停堆、专设安全设施驱动触发功能,以及多样性的信息显示功能,确保核电站具备足够的安全水平。
总体上来说,DAS主要实现以下三个功能。
① 提供多样化、备用的自动驱动信号,当规定的电厂参数超过整定值时,自动停堆并驱动选定的专设安全设施。
② 提供多样化、备用的手动触发反应堆停堆和选定的专设安全设施。
③ 为选定的电站参数提供独立的多样性指示。
上述功能实现的目的如下:
① 缓解预期瞬态不停堆(ATWS)的后果;
② 减少由保护系统假想的共模故障引起的堆熔概率,并防止堆熔后安全壳的超压失效。
作为保护系统CCF的后备系统,DAS与翻车防护装置(rollover protection system,RPS)必须采用多样性设计,使DAS与RPS发生共因故障的可能性降至最低。
在NUREG/CR-7007中,给出了三种多样性的策略[5],即:策略A,不同的基本技术(如模拟技术和数字技术);策略B,相同基本技术下的不同方法(如FPGA方法和CPU方法);策略C,同样技术方法下的不同架构(如不同的微处理器架构)。
在实际工程应用中,RPS 与DAS(或ATWT)的多样性策略可基本概括为CR-7007 的三种策略。如红沿河电站的MELTAC 与MELNAS 仪控平台采用策略A(数字+模拟策略);AP1000仪控系统目前标准设计采用策略B(CPU+FPGA 策略);岭澳二期使用的TXS+TXP平台采用策略C(TXS+TXP,不同的CPU 架构)。
而目前新建电站,尤其是三代先进压水堆基本上都是采用CPU+FPGA 的多样性策略,即策略B,而较少采用策略A和策略C。原因分析如下。
① 纯模拟技术的仪控系统选择余地越来越小。目前仪控系统已经逐渐全面数字化,各仪控厂商已经很少再延续设计和生产纯硬件的仪控产品,一般除老电站升级改造或如三菱因历史原因仍保有纯硬件仪控平台生产线外,对于功能规模比ATWT 更大的DAS 系统,数字+模拟策略已难以施行。
② 基于CPU 技术的多样性分析论证非常困难。由于软件系统的复杂性以及目前技术水平的限制,鲜有公认的合适手段对软件故障进行详细分析,使得该策略在实际实施技术上较为困难,增大了成本,而且也很难获得各国核监管当局的认可。
RPS和DAS 采用CPU+FPGA 策略的设计方案是目前仪控系统发展趋势之一。目前主要的三代压水堆核电站仪控系统设计针对RPS与DAS都是采用策略B,即基于CPU 平台与基于FPGA 平台的方式。如EPR电站,Olkiluoto 3 号机组仪控系统设计中,保护系统与多样性后备系统使用TXS+HBS(基于FPGA)的方式;AP1000 电站目前也转向CPU+FPGA 的方式(Common Q+ALS)。
对于CPU技术的保护系统,究其本质仍然是冯·诺依曼体系结构。对于冯·诺依曼结构体系的系统,其最大的特点是顺序执行逐条指令,在执行过程中,任何一条指令的正常运行受到影响时,均会对整个系统的运行造成影响,严重时甚至会造成系统的崩溃。
FPGA技术是现场可编程阵列,不同厂商FPGA的基本结构是基本一致的,如图1所示。
图1 FPGA基本结构
一般FPGA内部以显示查找表(look-up table,LUT)为核心,其包含了以下几个部分。
① 一系列可配置的逻辑块(configurable logic block,CLB)。一个CLB可被配置为任何基本逻辑函数(如与、或、非、异或等),以查找表为核心,多个CLB相互连接即可完成复杂的功能。
② 可配置的输入输出模块。FPGA的所有I/O模块都可配置成输入或输出,也可配置连接一个CLB或多个CLB。所有I/O模块的电平或电流要求可以取决于外部设备。
③ 内部连接的栅格。FPGA内部有一系列的水平栅格线和垂直栅格线,其连接关系均是可配置的。CLB之间、CLB和I/O模块之间的各种复杂的连接关系均由栅格完成。
④ 数据存储单元。由于CLB单元的存储能力有限,因此大多数FPGA都包含了一定的存储单元,用于存放数据。
从FPGA的基本架构可以看出,FPGA没有顺序执行的概念,其由上百万个各种门电路组成,是一个纯硬件结构。当有数据输入时,数据经过各种门单元的逻辑运算,并输出运算结果,是一个并行处理的过程。因此,FPGA技术没有软件运行机制,在极大程度上解决了软件的共因共模问题。
基于FPGA技术的系统和基于CPU技术的系统在复杂度方面也有极大的不同。
尽管腐败案件的女性大多曾是业绩突出、事业有成、仕途顺利的“女强人”,但不容忽视的是,事业有成及仕途顺利本身既说明其环境适应能力比较强,也从一个侧面表明其易受周围人物和环境的左右与影响。此外,和男性相比较,女性本身固有的顺从、依赖和攀比心态,一方面造成其较易受社会流行思想观念,当然也包括不正确、不健康思想观念的影响;另一方面也造成其在亲友或身边工作人员等利用自己的职务和权力影响力谋取私利或损害国家与公众利益时,较易丧失原则立场,只是一味忍让、迁就,甚至包庇、纵容。
基于CPU的DCS系统一般均是基于操作系统实现的,即使是实现很简单的功能,也要经过操作系统这一层,而操作系统一般不是针对核电领域专门开发的,是一个通用的平台。因此,往往很简单的操作系统也是非常复杂的。CPU系统的层级关系如图2所示。
图2 CPU系统的层级关系
FPGA系统则没有复杂的操作系统,所有的功能均是针对特定的应用而特定开发的,没有太多附加的东西。FPGA系统的层级关系如图3所示。
图3 FPGA系统的层级关系
由图2、图3可知,和CPU系统相比较而言,FPGA系统的复杂度大大降低。另外FPGA所有的功能实现均是基于CLB实现的,不同的功能可在不同的CLB中实现,因此FPGA还具有功能分区易于实现的特点。对此,可以将系统的辅助功能(如自监视功能、配置功能等)和安全功能在不同的CLB中实现,使二者互不影响。而CPU系统所有的功能都是顺序执行的,很难做到功能的分割。因此,FPGA系统可单独实现辅助功能,大大降低了安全功能的复杂度[6]。FPGA系统和CPU系统的整体复杂度比较如图4所示。
图4 FPGA技术和CPU技术复杂度比较图
由于FPGA技术和CPU技术在运行机制上、复杂度上均存在着不同,因此对于FPGA系统的验证要比CPU系统的验证要容易得多。
① FPGA技术由CLB组成了复杂的功能,相比较于CPU技术,没有复杂的操作系统,因此FPGA系统整体具有简单、并行处理、易于功能分割等特点;FPGA的整个设计过程及设计电路比较透明,可以相对容易地对电路设计进行审查。这些特征都使得FPGA的电路设计易于审查和验证。
② CPU技术是基于软件运行的,所有的功能都是随着程序的顺序执行而完成,而一旦其中一个环节发生错误,则整个处理过程就会受到影响而发生故障或者使系统处于非预期的状态。这种机制是不利于审查和验证的。
③ 在电子设计领域,形式化验证得到越来越广泛的应用,相对于CPU技术,FPGA技术的低复杂度使其更有利于使用形式化验证的方法,也更具有可行性。
将FPGA技术应用于多样性系统(DAS)得到了越来越广泛的应用,但是在DAS系统中如何发挥FPGA的技术优势,与核电进行有效的结合是目前面临的主要问题。在基于FPGA技术的DAS系统开发过程中,至少面临以下几个问题:①FPGA的开发流程;②FPGA选型及安全性问题;③FPGA的设计原则及FPGA的诊断技术。
在基于FPGA技术的DAS系统开发过程中,首先面临的是满足核电要求的开发流程问题,一个可靠系统的开发应有一个严谨的开发流程做保障,尤其是核电仪控系统产品。FPGA开发的生命周期模型如图5所示
图5 FPGA开发的生命周期模型
FPGA根据数据存储单元种类的不同,可分为SRAM(static RAM)型、Flash型和反熔丝型三种。大部分的FPGA都是基于SRAM的。SRAM单元结构如图6所示。
图6 SRAM单元结构图
SRAM型FPGA的优点是由很小的晶体管组成,有着更高的门密度,而最大的缺点是SRAM是可变易失的,需要上电读取外部配置。此外,SRAM还存在一个缺陷,即单一事件扰乱(single-event upset,SEU)问题,一旦发生SEU现象,FPGA内部的任何一个单元都不能确保是正常运行的。
Flash技术具有反复可擦写且具有不可易失的特性,其稳定性高于SRAM,不存在单一事件扰乱(SEU)等问题。
反熔丝是一次写入的,不可修改,不可易失。三种技术中,反熔丝型FPGA的可靠性和稳定性是最高的。
三种技术的比较如表1所示。
表1 SRAM/Flash/反熔丝技术比较
在核电仪控系统中,三种FPGA都有一定的应用,每种FPGA都有其优势。相比较而言,Flash型的FPGA具有相对较高的可靠性、安全性,一定程度上克服了SEU问题,有更好的知识产权保护措施;此外,Flash型FPGA还具有功耗低、可实现性高的特点,在核电领域得到越来越多的应用。
上文分析了FPGA系统可用于CPU系统多样性后备的一些技术特点,如无操作系统、系统简单等,因此FPGA系统设计过程中不能内置CPU。为了使FPGA系统在核电站DAS系统中更有效地发挥其作用,设计应遵循以下原则。
① 虽然DAS系统是非安全级系统,但在质保方面有一定的要求,因此逻辑开发过程须满足IEC 62138中对执行B类安全功能软件的相关要求和IEC 62566的要求。
② FPGA系统利用VHDL纯逻辑实现,不使用任何嵌入式处理器,否则FPGA系统和CPU系统的多样性将没有意义,也不利于设计的审查和验证。
③ 为了使系统更加简单,确定性更好,以区别于CPU系统,应尽可能地使用同步化设计。
④ 为了提高系统的可靠性,减小开发设计错误,使得开发过程更标准化,更利于测试验证,应尽可能地使用模块化设计。
⑤ 保持辅助功能(如测试功能、自诊断功能、配置功能等)和主要功能的独立性,使得系统的主要功能尽可能的简化。
核电系统产品的可靠性和安全性是核电产品的核心。因此,如何及时诊断FPGA的故障是产品开发的一个重要技术点。在实际开发中,一般可采用FPGA内部自诊断和利用外部器件对FPGA进行监视两种方式结合使用的方法。
FPGA的内部自诊断技术很多,常见的自诊断措施有:①存储单元校验;②片内功能冗余;③动态检测,即将真正的信号和测试信号交织输入。当系统在未处理有用信号时,内部激励产生一个测试信号,并检测输出结果是否正确,从而验证该逻辑单元是否正常。
利用外部器件对FPGA进行监视一般是采用看门狗的方式。利用看门狗的优势在于不影响内部的逻辑处理,只需让认为需要被监测的模块定期输出一个看门狗信号即可,但是看门监视只能监测FPGA是“活的”还是“死的”,不能提供进一步的故障诊断[7]。
由于FPGA技术和CPU技术在运行机制上有着本质的不同,FPGA技术没有软件运行机制,因此在克
服软件共因故障方面有着巨大的优势;此外,二者在复杂度、验证方式等方面也都存在着巨大的区别,因此将FPGA应用于核电站多样性系统得到了广泛的认可。然而,如何将FPGA的技术和多样性驱动系统进行有效的结合,形成真正安全可靠的产品仍然面临着很多的困难,如FPGA诊断问题等。随着这些困难的解决,FPGA技术的优势得到真正发挥,相信在不久的将来,FPGA技术不仅在多样性系统中,在核电站其他领域中也能得到更多的应用。
[1] Nuclear Regulatory Commission.Nureg0800-BTP7-19 Guidance for evaluation of diversity and defense-in-depth in digital computer-based instrumentation and control systems[S].2009.
[2] International Electrotechnical Commission.IEC 61508.Functional safety of electrical/electronic/programmable electronic safety-related systems[S].2010.
[3] International Electrotechnical Commission.IEC 62340 Instrumentation and control systems important to safety-Requirements for coping with common cause failure(CCF)[S].2007.
[4] Nuclear Regulatory Commission.Nureg/CR-6303 Method for performing diversity and defense-in-depth analyses of reactor protection systems[S].1994.
[5] Nuclear Regulatory Commission.Nureg/CR-7007 Diversity strategies for nuclear power plant instrumentation and control systems[S].2010.
[6] Electric Power Research Institute.EPRI-1022983 Recommended approaches and design criteria for application of field programmable gate arrays in nuclear power plant instrumentation and control systems[S].2011.
[7] Electric Power Research Institute.EPRI-107330 Generic requirements specification for qualifying a commercially available PLC for safety-related applications in nuclear power plants[S].1996.
我们致力于保护作者版权,注重分享,被刊用文章因无法核实真实出处,未能及时与作者取得联系,或有版权异议的,请联系管理员,我们会立即处理! 部分文章是来自各大过期杂志,内容仅供学习参考,不准确地方联系删除处理!