核安全级仪控设备HPD逻辑可靠性分析验证方法

北京广利核系统工程有限公司 高玉斌，赵云飞

核安全级仪控设备HPD逻辑可靠性分析验证方法

北京广利核系统工程有限公司 高玉斌，赵云飞

随着HPD逻辑在国产化核安全级仪控系统中的广泛应用，HPD逻辑设计的可靠性成为关键，仿真和硬件测试方法可达到的覆盖率低，很难满足核安全级产品可靠性分析验证要求，因而全面系统化的HPD逻辑可靠性分析验证方法是至关重要的。本文提出一种HPD逻辑的可靠性分析验证方法，该方法提出从五个维度分析HPD逻辑的可靠性，分析时采用FMEA和形式化相结合的手段。通过FitRel平台系统的FPGA和FirmSys平台系统的CPLD可靠性分析的实践，表明该方法可全面有效地揭示隐蔽的设计缺陷，保障HPD逻辑设计的可靠性。

硬件描述语言；可编程设备；可靠性；逻辑

随着国产化核安全级数字仪控技术的发展，以硬件描述语言（HDL）开发的可编程设备（HPD：HDL-Programmed Device）正成为一种趋势。HPD逻辑具有集成性高、逻辑复杂和不易测试的特点，在执行核安全仪控系统中的安全功能时，对其可靠性提出了较高的要求。传统的电子元器件硬件可靠性分析验证方法偏重于定量计算，而无法解决与软件相似的HPD逻辑的可靠性问题。

由于HPD逻辑具有软硬件双重特性，增加了对其可靠性分析的复杂性，目前对于HPD的可靠性分析主要是对HPD芯片的硬件进行定量的分析，而对于HPD逻辑可靠性国内外并没有一套成熟的技术体系加以分析。

本文提出一种HPD逻辑可靠性分析的方法，通过对HPD逻辑的属性分析和软件可靠性的研究，从五个维度分析HPD逻辑可靠性，并采用FMEA和形式化相结合的手段对其加以分析。

1 HPD逻辑可靠性分析方法

1.1 HPD逻辑的可靠性分析维度

HPD逻辑的可靠性分析维度主要包括技术和过程属性，技术属性包括功能、时间、完整和结构，过程属性包括等效性。

为了全面深入地分析HPD逻辑的可靠性，需要分析HPD逻辑所具有的属性，从属性的维度分析可靠性。目前适用于HPD逻辑分析验证的核安全级标准主要有IEC62566[1]、BTP7-14[2]、NUREG/CR7006[3]、IEEE1012[4]。IEEE1012和BTP7-14标准对软件提出两大类属性，功能属性和过程属性，功能属性包括准确性、功能性、可靠性、健壮性、安全性、保密性和时间性，过程属性包括完备性、一致性、正确性、格式、追踪性、非模糊性和可验证性，但都是针对传统软件的特性，对HPD逻辑来说并不完整；IEC62566标准提出了HPD逻辑的设计准则和要求，但没有深入地剖析HPD逻辑的特性，实践中，仍需要进一步具体化，增强可操作性；NUREG/CR7006标准适用于RTL代码实现和更低抽象级的研发输出，不能覆盖HPD逻辑开发的整个生命周期。因而提出更适用于HPD逻辑的属性分析验证维度，主要包括技术属性和过程属性两方面，如图1所示。

图1 HPD逻辑属性分析维度图

其中技术属性[5]包括：功能、时间、完整、结构，具体含义如下。

功能性：指HPD所承担的具体应用功能，分析其潜在故障，属于HPD逻辑的应用表象。

时间性：指HPD逻辑的时序关系，以及时间性能指标，分析其完整性、合理性和正确性，属于HPD逻辑的应用表象。

完整性：HPD芯片所承担的功能是通过一些基础部件组合实现的，完整属性用以表征这些基础部件的运行机制正确和完备，其故障将会直接影响HPD逻辑的应用表象。

结构性：指对逻辑可产生影响的特定HPD结构，其故障将会直接影响HPD逻辑的运行机制。

过程属性包括：等效性，表征逻辑需求、设计、代码、网表之间转换的完整性、正确性、一致性。

可靠性是指预防故障发生的避错能力，故障可检测的检测能力，控制故障后果的容错能力，纠正错误的纠错能力。HPD逻辑的可靠性分析内容如下所示。

（1）功能性的可靠性分析内容

· 输入

作为功能模块的数据流入口，输入数据的正确处理直接关系到是否能得到正确的输出，因而输入要有正确的数据类型、格式、精度；不允许越界、赋值；对未使用的输入应保持确定状态，同时如果输入越界，应导向确定行为。

· 处理

传统软件基于指令串行执行，而HPD逻辑具有并行性的特点，在某个时刻或某个条件下，HPD的运行状态会较为复杂，因而对于重要通信接口、关键数据、关键处理算法、不同单元间数据传输、存储或配置数据，防御性设计不允许影响性能和安全功能执行；应保证算法强内聚，弱耦合，边界和逻辑处理应正确，应能检测一定类型的随机和系统故障，对故障的处理逻辑和时序行为应确定并使系统处于安全状态，应有一定的共因故障容忍度，关键数据应有必要的校验措施，比如CRC校验，冗余设计。

· 输出

输出要求有正确的数据类型、格式和精度，不允许溢出。

（2）时间性的可靠性分析内容

· 时序关系

应尽量采用同步设计，对于时序逻辑应保证每一个时钟信号到达后，各个输入和输出信号的状态和时序关系正确，对于组合逻辑应保证不同时钟域的信号传输正确，应保证任何给定的输入序列在满足电气和时序要求时，总是产生相同的输出时序；不允许在同一个功能块内部使用多个时钟。

· 时间性能

HPD逻辑的响应时间和处理时间应在合理范围内，响应时间超时应导向安全；应从硬件资源的约束、定时和计数设计的边界处理，时间要求等方面对延时电路、定时器和计数器等部件进行验证；应尽量采用定时和计数方法，而禁止采用逻辑门实现延时，防止不同芯片内部逻辑门的延时不同，或工具优化掉延时逻辑门而导致的延时不确定。

（3）完整性的可靠性分析内容

· 信号

避免一个信号被多个驱动器驱动，多个信号驱动某个信号前应增加三态门逻辑；应设置合理的总线竞争机制，比如优先级处理机制。

· 毛刺和亚稳态

建立和保持时间应在约束范围内，并且约束要满足相关硬件要求；应尽量使用触发器代替锁存器，防止毛刺和噪声的产生和扩散；避免信号的建立、保持时间不满足要求导致毛刺和亚稳态，避免组合逻辑的信号同时跳变导致的毛刺；时钟偏移和抖动不允许影响信号的传输；异步输入应采用双触发器同步化处理；输出信号应经过触发器同步处理。

· 状态机

应该有确定的和完整的状态，没有死状态；应有确定的初始状态和明确的转换条件；状态编码应合理（比如采用格雷码防毛刺和亚稳态的产生）；应能将状态机从死状态转移到初始态；进入非法状态后，状态处理应明确。

· 运算

应保证运算逻辑、精度和符号处理正确。

· 锁相环

应监测PLL锁定信号，并避免PLL故障。

· 寄存器和存储器

同时读写存储器，并应保证读写同时有效时的处理机制合理；避免存储空间越界访问，越界后应导向安全；避免置位和复位被组合逻辑驱动。

· 计数器

应保证复位、置位、进位、退位有效，以及计数（包括边界）正常，避免计数溢出和使用纹波计数器。

（4）结构性的可靠性要求

HPD基本构成部分包括：Configurable Logic Block（CLB），programmable Input/Output block（I/O），interconnection grid（内部互连网格），RAM block（数据存储资源）。结构上有以下几个特点：大量存储单元，再配置性（基于反熔丝技术的除外），功能模块的独立性。

· 存储单元的可靠性要求

HPD内部的存储单元主要包括配置存储单元、数据存储单元、寄存器和触发器，这些存储单元在高能粒子的轰击和影响下，存储内容可能会发生翻转，产生存储单元的SEU问题，造成HPD逻辑运行机制或存储数据发生变化。需避免配置开关连接的SEU问题，应选择工艺结构不易受SEU影响的基于反熔丝技术和FLASH技术的FPGA；避免环境对逻辑的SEU问题；应监测SEU的发生；并应有充分的防范措施和设计；关键存储数据、状态机和控制逻辑应具备正确合理的应对SEU错误的纠正处理措施。

· 再配置性的可靠性要求

HPD可现场再配置，每次再配置过程会有配置数据传输引起的安保问题，应避免配置bit流信息的泄露和信息的植入；避免存在不使用的功能和能力（工具或预开发模块引入的）。

· 功能模块独立性的可靠性要求

HPD内部包含了多个独立的承载逻辑功能的CLB块，应避免破坏逻辑功能的独立性，具有防范独立性故障的措施；同时应避免两个或多个功能独立的模块共享相同的逻辑资源。

（5）等效性的可靠性分析内容

在逻辑需求、设计、代码和网表之间的转换过程受到人为因素和文件质量的影响，可能导致上下级文件不一致的问题。等效性的可靠性要求包括：

· 功能、性能、接口完整

没有多余或缺失的功能、性能、接口设计；设计应完整，应描述必要的约束条件和环境。

· 转化过程正确

HPD逻辑应能正确地转化，建议采用自顶向下，模块化的设计策略；同一模块应使用相同的编程语言；文件应可理解，清晰易懂，描述一致，无歧义；从逻辑需求、设计、代码到网表之间，应保持上下一致；工具不能引入或移除冗余的设计。

1.2 HPD逻辑的可靠性分析手段

HPD逻辑的可靠性分析手段主要包括FMEA和形式化。

FMEA（失效模式及影响分析）是一种基于假设功能非或结构损坏情况的可靠性分析手段，用来暴露软件缺陷。对于复杂逻辑的可靠性论证，FMEA所采用的功能非或假设结构损坏的方式比较直观，但难以挖掘出潜藏逻辑问题的失效模式，需要一些具有理论基础的分析方法。形式化模型检验建立在严格数学基础上，可以提高验证覆盖率，可发现复杂逻辑深层的故障，能弥补FMEA手段的局限，完整的分析HPD逻辑的可靠性。因而我们采用FMEA和形式化相结合的混合可靠性分析验证手段。

（1）FMEA手段

通过FMEA手段从HPD逻辑属性的维度分析失效模式、失效原因及其对产品或系统造成的所有可能影响，并按失效模式的严重程度和发生频度予以分类，并根据失效模式及影响，结合HPD逻辑可靠性内容进行综合评估。具体原则为：

· 若失效模式及影响严重度和发生频度一般，则只需评估是否满足HPD逻辑可靠性避错要求；

· 若失效模式及影响严重度和发生频度较高，则在评估是否满足HPD逻辑可靠性避错要求的基础上，还需综合评估是否满足检错、容错和纠错要求。

（2）形式化手段

对于HPD逻辑中的复杂功能，必然潜藏深层次的故障，形式化模型检验可以实现较高的验证覆盖率，全面的分析复杂设计的失效模式，有效的弥补FMEA手段的不足。HPD逻辑的模型检验的过程如下：

· 用SMV形式化语言描述HPD逻辑实现的复杂功能状态机；

· 获取HPD的性质，考虑HPD逻辑属性的可靠性内容；

· 将HPD的性质转化为时态逻辑公式；

· 使用SMV模型检测工具检测所有的性质。如果性质不满足，将提供反例。

2 实践案例

该方法在某安全级板卡上的CPLD逻辑的可靠性分析实践中得到了应用。

（1）验证对象

该CPLD实现了一个去抖功能，在系统上电后，CPLD对开关量信号开始执行去抖操作，对其高电平或者低电平计时，如果计时结束（4ms内），数据没有发生变化，则认为该数据是稳定有效的，将其输出，否则输入数据维持上一次稳定数据不变。

（2）验证方法

以该CPLD的完整属性和功能属性的可靠性分析为例，通过对完整属性的验证展示FMEA手段的应用，通过对功能属性的验证展示形式化手段的应用。

（3）完整性验证

采用FMEA手段分析完整属性的失效模式，如表1所示。

表1 FMEA分析表

如果信号出现亚稳态，对去抖功能的实现影响较大，严重等级较高，除了满足信号不出现亚稳态的可靠性避错要求外，还应有对亚稳态出现后进行信号恢复的容错设计，以满足信号亚稳态的可靠性要求。

（4）功能性验证

采用形式化手段对功能属性的边界处理进行分析，首先对每个信号建立状态机模型，每个信号的功能属性的边界处理信息应包含在模型中；然后提取需验证的性质，根据去抖设计的功能要求和原理，应保证如果输出信号为1，输入必须在至少4ms内保持为1；最后验证去抖设计是否存在所验证的性质的反例。通过使用SMV工具得到验证结果：false，通过反例路径发现：当在临界条件（去抖计时结束的边界条件）下，如果输入信号发生抖动，则最终会输出抖动值，即在保持时间T＝4ms即将到来之前，ch_in发生抖动，ch_debounce_out将输出抖动值。使用modelsim工具对该反例进行仿真验证，其波形如图2所示。

3 结语

本文提出一种HPD逻辑可靠性的分析方法，包括从功能属性、时间属性、完整属性、结构属性、等效属性5个维度开展可靠性的避错、检错、纠错和容错的分析，并采用FMEA和形式化相结合的分析手段，具有很强的可操作性和实用性，可对核安全仪控系统中的HPD逻辑可靠性进行完整和深入的分析验证。通过FitRel平台系统的FPGA和FirmSys平台系统的CPLD可靠性分析的实践，证明该系统化的方法可有效地保证HPD逻辑的可靠性。

致谢

本文的编写过程中，广利核公司总工程师白涛、质量部的张亚栋组长、龙威总工和科技开发处的同事提出了非常有价值的观点和建议，白冰、张奇、王义民等工程师积极帮助组织论文的讨论和推动论文的审批流程，作者在此表示衷心的感谢。

[1] International Electrotechnical Commission. Std 62566 Nuclear power plants - Instrumentation and control important to safety - Development of HDL-programmed integrated circuits for systems performing category A functions[S]. Switzerland: International Electrotechnical Commission, 2012.

[2] Nuclear Regulatory Commission.NUREG0800 BTP 7-14 Guidance on Software Reviews for Digital Computer-Based Instrumentation and Control Systems [S]. Washington: Nuclear Regulatory Commission, 2007.

[3] Nuclear Regulatory Commission.NUREG/CR 7006 Review Guidelines for Field-Programmable Gate Arrays in Nuclear Power Plant Safety Systems Office [S]Washington: Nuclear Regulatory Commission, 2009.

[4] Institute of Electrical and Electronics Engineers. IEEE Std 1012 IEEE Standard for Software Verification and Validation[S]. New York: Institute of Electrical and Electronics Engineers, 2004.

[5] Electric Power Research Institute (EPRI).EPRI TR-1022983 Recommended Approaches and Design Criteria for Application of Field Programmable Gate Arrays in Nuclear Power Plant Instrumentation and Control Systems[R]. USA: Electric Power Research Institute, 2011.

种类 参数设定 适用条件和优点旋转型自学习 T1-01=0自学习时电机可以旋转可进行最高精度的电机控制恒功率运行时停止型自学习1 T1-01=1 无电机测试报告时自动计算并设定矢量控制所需的的电机参数停止型自学习2 T1-01=4有电机测试报告时根据电机测试报告设定空载电流和电机参数。额定滑差的值，自动设定矢量控制所需的其他电机参数仅对线间电阻的停止型自学习T1-01=2进行自学习后，在现场安装时电机电缆长度变为50m以上时电机容量和变频容量不同时Vf节能控制用自学习 T1-01=3 v/f控制模式下使用速度推定行的速度搜索或节能控制时自学习时电机可旋转的场合提高转矩补偿、滑差补偿、节能控制、速度搜索等功能停止型自学习3 T1-01=5无几点测试报告时自学习后可用轻载驱动电机时自学习后进行试运行，自动计算机并设定矢量控制所需的电数

自学习时，可能会因电机突然起动而导致人身事故。进行自学习之前，请确认电机和负载机械周围的安全状况。进行停止型自学习时，电机虽然不运行，但仍处于通电状态。触摸电机可能导致触电。在自学习结束前，请勿触摸电机。

另外，在制动器制动的状态下，不能正常进行旋转型自学习。如果错误操作，可能会导致变频器误动作。进行自学习之前，请确认电机能顺畅无阻地旋转。而对于连接了负载的电机，请勿进行旋转型自学习。否则会导致变频器动作不良。对连接了负载的电机进行旋转型自学习时，可能会出现不能正确计算电机参数、电机动作异常的情况，因此务必将电机与负载的结合部分（比如联轴器、减速箱、同步带等）离开。

输入电机铭牌值后，按“∧”键，显示自学习画面，开始自学习，也就是从输入电机铭牌数据操作的步骤开始继续操作。

4 结语

安川A1000系列变频器具有卓越的电机驱动性能，实现了所有电机的控制，不管是感应电机还是同步电机都可以通用，可以通过参数设定，切换感应电机和同步电机；它具有全新的转矩特性，即使无传感器也能做到零速高转矩。本文主要介绍了安川A1000变频器在刮泥机中的设计。

参考文献：

[1] 李方园.变频器控制技术(第2版)[M].北京：电子工业出版社, 2015.

[2] 李方园.变频器应用技术(第2版)[M].北京：科学出版社, 2014.

作者简介

李方园（1973-），男，浙江舟山人，高级工程师，毕业于浙江工业大学信息学院工程硕士专业，长期从事于变频器等现代工控产品的应用与研究工作，现就职于浙江工商职业技术学院。

Reliability Analysis Method of HPD Logic Used in Nuclear Safety I&C

The HPD logic is applied widely in instrumentation and control systems of nuclear power plants. Reliability of HPD logic becomes more and more critical. It is too hard for traditional simulation and hardware testing methods to analyze completely HPD logic reliability, therefore the systematic method of analyzing and verifying reliability of HPD logic is crucial. In this paper, reliability analysis method of HPD logic is presented, and reliability requirements of HPD logic are analyzed through five dimensions. It can combine the FMEA with the formal method when analyzing reliability. The practice results of analyzing reliability of FPGA in FitRel platform and CPLD in FirmSys platform have proved that the methods can reveal the hidden design faults effectively, and provide the credible evidence for HPD logic reliability.

HDL; HPD; Reliability; Logic

高玉斌（1977-），男，河北人，硕士，工程师，现就职于北京广利核系统工程有限公司，主要从事核安全级仪控产品的HPD逻辑的V&V分析。