專利名稱:安全保護儀表系統(tǒng)及其處理方法
技術領域:
本發(fā)明涉及一種在核電站的安全保護系統(tǒng)等中使用的由可靠性高的數(shù)字信號處 理裝置構成的安全保護儀表系統(tǒng)及其處理方法�����。
背景技術:
在核電站中����,為了在發(fā)生可能損害電站安全性的異常時����,或者在預測會發(fā)生異常 時�,防止或抑制這種情況,而設置了安全保護儀表系統(tǒng)�。設置該安全保護儀表系統(tǒng)所涉及的 輻射儀表裝置的目的在于,當由于某種原因而使電站內(nèi)的輻射量上升時��,為了抑制放射性 物質(zhì)向電站外放出����,而向各工作電路提供作為用于將輻射量上升的地方隔離或者使緊急用 氣體處理裝置工作的條件的信息。
在近些年來的電站中���,作為這種安全保護儀表系統(tǒng)所涉及的輻射儀表裝置��,使用 了數(shù)字信號處理��,由1個CPU對數(shù)字濾波器�、及多個信號進行數(shù)字運算(例如��,參照日本專 利第2653522號公報)�。另外����,也有不使用CPU而使用硬件邏輯即AS IC/FPGA (Application Specific Integrated Circuit/Field Programmable GateArray/ M 場可編程門陣列)的系統(tǒng)(例如���,參照美國專利第5859884號說明書)。該系統(tǒng)由于用ASIC 代替CPU對處理的步驟進行控制���,所以動作簡單��。
另一方面����,安全保護儀表系統(tǒng)從其重要性看��,根據(jù)設備的多重化及獨立化的不同�����, 要求防止設備因單一故障而喪失功能�,在使用這樣的軟件的數(shù)字系統(tǒng)中,當在冗余系統(tǒng)采 用同一軟件時��,由于該軟件的缺陷���,有可能損傷設備的多重化功能�����。另外���,由于數(shù)字處理是 離散處理����,所以與模擬元件相比�����,當不巧特定條件重疊時��,因內(nèi)部缺陷而執(zhí)行產(chǎn)生特異輸出 等不能預期的動作的可能性高��。
因此�����,在采用軟件的數(shù)字處理中���,要求通過設計及制作確保高品質(zhì)的品質(zhì)保障 活動���、及對軟件缺陷產(chǎn)生的共同原因故障的排除和管理之外的變更的適當保護措施����。特 別是作為防止軟件共同原因故障的方法��,實施了驗證及健全性確認活動(Verification &Validati0n 以下稱為V&V)��。V&V是由驗證作業(yè)和健全性確認作業(yè)構成的用于保證品質(zhì)的 活動���,該驗證作業(yè)對在軟件設計及制作的各過程中從上位過程到下位過程正確反映了數(shù)字 型安全保護系統(tǒng)所要求的功能進行確認,該健全性確認作業(yè)對經(jīng)過驗證作業(yè)后制作的系統(tǒng) 確認正確實現(xiàn)了要求功能����。
另一方面,采用ASIC或FPGA代替CPU的系統(tǒng)�����,由于最終以固定布線邏輯構成��,所 以與CPU處理不同�����,因處理是確定的,所以處理時間也可以確定���。因此����,采用這些FPGA的系 統(tǒng)由于可以看作是數(shù)字邏輯的半導體元件��,所以可以使用該試驗方法驗證系統(tǒng)�。即,如果可 以將半導體元件的全輸入及對全內(nèi)部狀態(tài)的輸出與從設計規(guī)格計算出的預測值進行比較�����, 則由定時引起的缺陷以外的穩(wěn)定的輸入輸出特性完全可以驗證�����。該驗證方法稱為窮盡測試 (exhaustive testing)0
不過��,在實際的ASIC元件等中���,由于全輸入位數(shù)和元件內(nèi)部狀態(tài)的合計模式 (pattern)很龐大����,所以將全輸入及對應于全內(nèi)部狀態(tài)模式的輸出模式全都與預測值進行比較是很困難的。因此�����,對有效地發(fā)現(xiàn)缺陷的輸入模式串進行評價是很重要的�����。例如�,對根 據(jù)元件內(nèi)部的邏輯模式進行評價從而內(nèi)部寄存器一度工作的輸入模式組、或者估計堆棧故 障的故障方式并可檢測該故障的輸入模式串進行故障模擬��,來計算出�����。
但是��,上述的驗證方法只不過是對一部分輸入模式進行試驗�����,所以存在不能對內(nèi) 部邏輯的組合所產(chǎn)生的缺陷�、及在故障模擬中沒有估計到的故障進行檢測的問題����。
另外����,在將邏輯安裝在FPGA等硬件中的過程中���,需要對硬件構成進行描述的軟件 及將其在實際的FPGA上的邏輯中展開的邏輯合成工具等通用軟件工具��。因此�����,為了排除市 面銷售軟件內(nèi)存在的缺陷���,必須從設計階段就確保很高的可靠性。
如果能夠將上述的窮盡測試用于儀表系統(tǒng)的性能驗證中��,則可以表示沒有靜態(tài)邏 輯錯誤(確定的邏輯錯誤)���,但是當上述驗證方法不能實施時���,需要進行與現(xiàn)有軟件同等的 V&V等驗證。
不過,采用FPGA的系統(tǒng)與CPU處理不同����,處理是確定的,處理時間一般也可以確 定�����。另外����,用單一循環(huán)只能執(zhí)行單一的處理,其特征是容易滿足用于構成可靠性高的系統(tǒng)的 設計條件�����。
如上所述��,從儀表系統(tǒng)的驗證性觀點看����,在硬件邏輯上安裝核反應堆安全系統(tǒng)的 優(yōu)點大���,但問題是���,由于需要驗證相對所有輸入模式的輸出模式����,所以需要在相當于窮盡測 試的驗證水平上進行確認�。
因此,尋求了能夠容易地確認相對輸入的輸出特性為所設計的那樣的系統(tǒng)及采用 該系統(tǒng)的驗證方法���。
另外�,除了上述的靜態(tài)邏輯錯誤以外����,還有由內(nèi)部的動作定時引起的錯誤。例如�����, 當因溫度等環(huán)境條件而使內(nèi)部邏輯間傳輸?shù)难舆t時間變動時��,有可能由于周圍環(huán)境條件而 產(chǎn)生誤動作���。另外��,當與外部等的非同步部分進行數(shù)據(jù)交換時����,也有由于接收定時使值不確 定的情況。
為了防止這些由定時引起的錯誤���,需要在設計階段通過定時模擬等進行有冗余的 設計����,并且在與外部的接口部中���,使用值不易變動的同步化設計等一般的設計方法�����。
S卩�����,在采用FPGA的安全系統(tǒng)中�,采用容易防止這些由定時引起的缺陷的結構及試 驗方法也是重要的�,尋求對這樣結構的系統(tǒng)及試驗方法的開發(fā)�����。
發(fā)明內(nèi)容
本發(fā)明是考慮到上述的情況而提出的,其目的在于提供一種安全保護儀表系統(tǒng)及 其處理方法��,可以防止在采用FPGA等硬件邏輯的核反應堆安全保護儀表系統(tǒng)中的靜態(tài)邏 輯錯誤及信號處理定時引起的錯誤����。
本發(fā)明的安全保護儀表系統(tǒng)為了解決上述課題,其特征在于在使用數(shù)字邏輯構 筑的核反應堆的安全保護儀表系統(tǒng)中�,由功能單元及組合上述功能單元所構成的功能模塊 來構成數(shù)字邏輯部分,該功能單元的相對輸入的全部邏輯模式的輸出邏輯模式已被預先驗 證����。
具有上述特征的安全保護儀表系統(tǒng)可有以下形態(tài)。
上述功能單元也可以將相對輸入的全部邏輯模式的輸出邏輯模式分別安裝在硬 件上�,確認根據(jù)設計規(guī)格求出的預測值與輸出值一致的情況。
5[0021]上述功能模塊也可以只由具有與性能已被預先驗證的功能單元相同的門結構 (gate)的功能單元構成����。
組合上述功能單元所構成的上述功能模塊也可以包括傳播上述功能單元的輸出 的寄存器及與上述功能單元的信號處理定時配合的延遲元件。
組合上述功能單元所構成的上述功能模塊也可以包括傳播上述功能單元的輸出 的寄存器�,并且具有信號交接單元,該信號交接單元對上述功能單元中的��、驅動上述寄存器 的時鐘不同的功能單元之間的信號進行交接(handshake)��。
具有制作了硬件所執(zhí)行的有效程序語句及執(zhí)行動作路徑的輸入模式組的軟件���,并 且具有評價上述輸入模式的比例或上述輸入模式數(shù)是否足夠的分支覆蓋或扣接覆蓋�,可以 驗證相對輸入的輸出與根據(jù)設計規(guī)格求出的預測值一致的情況,來確認功能單元間的連接���。
也可以構成為����,制作與上述功能模塊的設計規(guī)格對應的輸入模式���,確認上述功能 模塊的相對輸入的輸出與根據(jù)設計規(guī)格預測出的預測值一致的情況�����。
也可以包括AD元件���,將與上述功能模塊的設計規(guī)格對應的模擬信號模式進行數(shù) 字變換后作為輸入模式;及DA元件����,將上述功能模塊的相對輸入的輸出進行模擬變換后作 為模擬值;確認上述模擬值與根據(jù)設計規(guī)格預測出的預測值一致的情況�。
也可以通過上述功能單元進行2個變量的相乘或比較,將2個變量的一個置換成 可由位數(shù)比變量的位數(shù)少的地址指定的常數(shù)����。
也可以是,上述功能單元具有對表示動作正常結束的動作標志進行交接的功能���, 上述功能模塊具有監(jiān)視上述動作標志的功能���,并具有斷開判斷器,輸入來自上述功能模塊 的輸出�,判斷有無上述動作標志;及異常診斷電路��,在沒有上述動作標志時輸出動作不良信號��。
也可以是�����,上述功能單元具有通過簡略式計算出輸出最大值及最小值的功能�����、及 對上述輸出的最大值和最小值進行交接的功能����,并具有斷開判斷器�,對上述輸出的最大值 和最小值的運算結果與信號值進行比較�����,判斷信號值是妥當?shù)闹?����;及異常診斷電路���,輸出動 作不良信號��。
也可以是��,具有將數(shù)字輸出變換成模擬值后變換成光的第1安全保護儀表系統(tǒng)�、 及將該光變換成模擬值后變換成數(shù)字值的第2安全保護儀表系統(tǒng)�����,并且信號連接上述第1 安全保護儀表系統(tǒng)和上述第2安全保護儀表系統(tǒng)����。
另外,根據(jù)本發(fā)明,可以通過提供下述安全保護儀表系統(tǒng)的處理方法來達到上述 目的�����,該安全保護儀表系統(tǒng)的處理方法是使用數(shù)字邏輯構筑的核反應堆的安全保護儀表系 統(tǒng)的處理方法����,其特征在于預先驗證與向構成安全保護儀表系統(tǒng)的功能單元的全部輸入 邏輯模式相對的輸出邏輯模式��。
在上述方法中���,也可以是�����,使具有多個功能單元的安全保護儀表系統(tǒng)的各功能單 元的數(shù)據(jù)處理按連接順序串行動作����,監(jiān)視輸出定時��,來確認該信號被串行傳輸�����,并通過驗證 該輸出定時符合設計,來驗證安全保護儀表系統(tǒng)的性能�。
另外,也可以包括驗證工序����,該驗證工序確認具有功能單元的安全保護儀表系統(tǒng) 的上述功能單元是與驗證上述功能單元性能時的內(nèi)部結構相同的結構。
根據(jù)具有上述特征的本發(fā)明的安全保護儀表系統(tǒng)及其處理方法�,通過防止在使用硬件邏輯的核反應堆安全系統(tǒng)中的邏輯錯誤及信號處理定時所引起的錯誤,可以提高安全 性��。
圖1是由輸入輸出特性被驗證的功能單元構成的本發(fā)明的安全保護儀表系統(tǒng)的 構成圖���。
圖2是驗證功能單元的輸入輸出特性的試驗方法的構成圖��。
圖3是說明功能模塊內(nèi)部構成的構成圖����。
圖4是說明功能模塊的時鐘同步�、及非同步部分的信號交接的信號傳輸?shù)臉嫵?圖。
圖5是說明以分支覆蓋為指標的結構測試的構成圖�����。
圖6是通過AD元件及DA元件驗證信號的構成圖����。
圖7是調(diào)整輸入信號電平來驗證錯誤的構成圖���。
圖8是驗證信號頻率特性的構成圖。
圖9是說明功能單元的試驗模式的查詢表的削減方法的構成圖����。
圖10是說明本發(fā)明的安全保護儀表系統(tǒng)的系統(tǒng)第一自診斷方法的構成圖。
圖11是說明本發(fā)明的安全保護儀表系統(tǒng)的系統(tǒng)第二自診斷方法的構成圖�。
圖12是說明本發(fā)明的安全保護儀表系統(tǒng)的信號分離方法的說明圖�����。
圖13是將第1安全保護儀表系統(tǒng)和第2安全保護儀表系統(tǒng)進行信號連接所構成 的安全保護儀表系統(tǒng)的構成圖�����。
圖14是說明本發(fā)明的安全保護儀表系統(tǒng)中的功能單元的串行動作及其定時監(jiān)視 的驗證 診斷方法的構成圖�����。
圖15是表示本發(fā)明的安全保護儀表系統(tǒng)中的輸出定時的監(jiān)視例的模式圖����。
圖16是表示本發(fā)明的安全保護儀表系統(tǒng)中的功能單元連接例的構成圖。
具體實施方式
下面參照圖1 圖9對本發(fā)明所涉及的核反應堆安全保護儀表系統(tǒng)的實施方式進 行說明。
(實施例1)
圖1表示本發(fā)明所涉及的安全保護儀表系統(tǒng)的實施例1的構成圖��。
在圖1中�,核反應堆內(nèi)所設置的傳感器la、傳感器Ib的輸出被輸入到安全保護儀 表系統(tǒng)2中�����,通過該安全保護儀表系統(tǒng)2�,判斷有無異常,并輸出停堆(trip)信號���。在安全 保護儀表系統(tǒng)2的內(nèi)部設置有將傳感器la����、傳感器Ib的信號模擬地進行波形整形 放大后 變換成數(shù)字值的AD元件3a�、AD元件3b。AD元件3a�、AD元件3b輸出的數(shù)字值由濾波器電 路4a、濾波器電路4b進行信號變換�。該濾波器電路4a、濾波器電路4b組合構成多個功能 單元5����。在圖1中�����,濾波器電路4a���、濾波器電路4b、信號處理電路6�����、斷開判斷器7是功能模 塊���。
下面對功能單元5的構成及作用進行說明�。
功能單元5例如是從D觸發(fā)器����、閂鎖器���、8位解碼器���、8位計數(shù)器、8位串行并行變換器�、8位·8位輸入-加法器��、8位·8位輸入-乘法器���、8位·8位-比較器等中選擇的單元, 相對功能單元5的所有輸入模式的輸出模式���,是可以確認是否與設計規(guī)格所期待的預測值 模式全部一致的邏輯����。
在本實施例中��,輸入位數(shù)為8位��,但是輸入的位數(shù)實際上由可以測試的位數(shù)限 制�����。通過采用對該所有輸入模式進行驗證的功能單元5��,構筑內(nèi)部各功能(功能模塊)及全 體核反應堆安全保護儀表系統(tǒng)�����,從而可以構筑能夠對全體輸入進行驗證的����、可靠性高的安 全保護儀表系統(tǒng)�。
圖2表示對功能單元5a進行試驗的構成圖�����。此外��,在以下的描述中����,加在功能單 元5上的英文字母用于區(qū)別構成不同的功能單元。而不加英文字母只寫成功能單元5的���, 是表示對共同構成的描述���。
如圖2所示�����,將功能單元5a安裝在實際硬件上�,從信號發(fā)生器8輸入信號。另一 方面�����,功能單元5a的輸出由信號接收器9測量,在判斷裝置10中比較相對對輸入模式的預 測值與所接收的信號�����,檢測功能單元5a有無異常����,如果對功能單元5a的所有輸入模式未檢 測出異常,則認證為功能單元5a���。
如上所述���,通過安裝在實際硬件FPGA上進行試驗,可以同時驗證邏輯合成工具及 向FPGA的寫入工具等市售軟件的錯誤����。
功能單元5的內(nèi)部由AND電路、OR電路等FPGA元件硬件固有的基本要素構成�。 但是,在組合這些功能單元5來實現(xiàn)功能模塊時���,邏輯合成工具為了實施邏輯即基本要素 組合的最優(yōu)化����,以與單體驗證的邏輯構成不同的構成安裝在硬件上。因此��,選定邏輯合成工 具或安裝在FPGA上的配置布線工具的選項��,使得在組合后不進行邏輯的最優(yōu)化��,并確認了 在功能模塊內(nèi)部安裝了與驗證所用的邏輯構成相同的邏輯后��,構筑各功能模塊���。
另外���,在全體安全保護儀表系統(tǒng)完成之后,通過目視等觀察內(nèi)部的功能單元5是 否與試驗中使用的邏輯構成相同���,確認安全保護儀表系統(tǒng)全體由所驗證的功能單元5構 成���。
圖3表示將功能單元5安裝在濾波器電路4a中的構成圖�����。這是安裝了通過圖2 的構成進行試驗的功能單元5a的功能模塊。
功能單元5a通過采用由觸發(fā)器輸出信號的構成��,可以在維持內(nèi)部邏輯構成的狀 態(tài)下安裝在功能模塊中�����。例如����,可以組合2個驗證后的12位加法器來構成24位加法器,但 是本發(fā)明的安全保護儀表系統(tǒng)為了維持12位加法器的邏輯構成�����,在每個12位加法器的輸 出上設置觸發(fā)器����。觸發(fā)器是表示保持穩(wěn)定狀態(tài)而構成的2個電路。若考慮觸發(fā)器以1個時 鐘工作���,則這樣構成的12位加法器的輸出延遲2個時鐘的量����。
本發(fā)明的安全保護儀表系統(tǒng)將以1個時鐘獲得輸出的多位輸入的運算電路,分割 成可進行功能驗證的小位輸入的功能單元5a��、功能單元5b�����、功能單元5c���,由多個時鐘得到 運算結果�����。通過這種構成�����,可以容易對全輸入進行功能驗證�,也可以防止由各邏輯定時產(chǎn)生 的錯誤�����。
S卩����,在觸發(fā)器間的邏輯組合中產(chǎn)生的延遲時間比驅動觸發(fā)器的時鐘長時���,發(fā)生定 時錯誤����,但是,如本實施例的安全保護儀表系統(tǒng)那樣���,通過分割組合電路部分��,可以縮短延 遲時間����,并可以單獨驗證定時��。圖3所示的構成由于根據(jù)功能單元的組合數(shù)而取得輸出之 前的時鐘數(shù)不同�����,所以在執(zhí)行2個信號的比較及相加等時���,設置延遲元件11來調(diào)整定時���。[0067]圖4表示功能單元間的時鐘及數(shù)據(jù)交接的構成圖。
為了降低功能單元5之間的數(shù)據(jù)傳輸時的定時錯誤,使結構為��,將功能單元5內(nèi)的 觸發(fā)器在同一時鐘周期而且以時鐘的上沿等同一定時進行驅動����。
另一方面,在采用不同時鐘周期時�,如圖4所示,在功能單元5b和信號處理電路6 之間采用判斷可不可以進行數(shù)據(jù)發(fā)送接收的信號交接�,通過確保數(shù)據(jù)交接,可以消除由功 能單元的連接引起的定時錯誤���。
如上所述����,根據(jù)本實施例的安全保護儀表系統(tǒng)�����,通過將全輸入輸出模式被驗證后 的功能單元在維持其內(nèi)部邏輯構成的狀態(tài)下裝入各功能模塊中����,可以消除穩(wěn)定的邏輯的缺 陷。另外��,通過功能單元內(nèi)的觸發(fā)器,也可以對另一個容易發(fā)生的錯誤即定時錯誤進行有定 時冗余量的設計��,也容易進行在功能模塊內(nèi)的定時驗證�����。還可以通過在功能單元間的傳輸 中采用信號交接����,消除由這些連接引起的定時錯誤���。
(實施例2)
實施例1的安全保護儀表系統(tǒng)由于功能單元內(nèi)的邏輯正常動作�,所以通過邏輯的 正常連接也可以消除定時引起錯誤�����。但是��,還有可能功能單元連接錯誤����,或者軟件方面內(nèi)部 存在設計規(guī)格中未記載的功能單元。作為解決這一情況的方法��,表示出了本發(fā)明的安全保 護儀表系統(tǒng)的實施例2。
圖5表示描述實施例2的安全保護儀表系統(tǒng)所涉及的比較器的軟件(VHDL語句) 的一例���。
功能單元5a在VHDL語言的描述中���,通過端口語句調(diào)出。功能單元5a內(nèi)的數(shù)值模 式由于已預先驗證�����,所以在VHDL語法上如果可以確認能正確調(diào)出功能單元5a��,則可以判 斷功能單元正確連接��。
S卩���,在實施例2的構成中���,如果能夠驗證圖5的VHDL語句內(nèi)的定義語句和除去估 計異常時作成的冗余處理部分之后用于實際執(zhí)行中的VHDL語句的動作,則可以確認功能 單元的連接是正確的�。
作為評價該VHDL語句有無執(zhí)行的參數(shù),一般使用稱為覆蓋率的參數(shù)���。將表示由軟 件執(zhí)行的VHDL語句相對整個VHDL語句的比例稱為語句覆蓋�����。另外�,當有IF語句等的分支 時,對成立或不成立雙方進行計數(shù)����,將表示執(zhí)行路徑數(shù)相對全體路徑模式的參數(shù)稱為分支 覆蓋,此外�����,功能單元5內(nèi)部的信號按照(High —Low —High)這樣變化的信號比例所表示 參數(shù)是扣接覆蓋(toggle coverage)�����。
實施例2的安全保護儀表系統(tǒng)以分支覆蓋或扣接覆蓋作為評價指標����,制作使所有 的分支條件動作的輸入模式組�����,通過確認對該輸入模式的輸出與從設計規(guī)格求出的預測值 是否一致���,來驗證功能單元連接是否正確進行�。特別是扣接覆蓋,在邏輯合成后的網(wǎng)絡表上 也可以評價覆蓋率�����,具有難于受到邏輯合成影響的特征�����。
另外��,也可以通過實施功能試驗來確認功能單元5正常連接�����,
該功能試驗確認功能模塊具有符合設計規(guī)格的功能�。即,可以通過制作用于確認 規(guī)格中記載的性能的輸入模式組�,將相對該輸入組的輸出與預測值進行比較,確認有無差 異�,來驗證功能單元的連接。
在確認該功能模塊功能的功能試驗中��,輸入數(shù)字值��,比較輸出的數(shù)字值和預測 值,檢測有無差異����。但是,在用數(shù)字值進行比較時�,1個模式的試驗所需要的時間為數(shù)u 數(shù)
9msec,很難迅速評價多個信號模式�����。
因此�����,如圖6所示�,通過AD元件13將模擬信號發(fā)生器12的信號輸入到功能模塊 a���。該輸出通過DA元件14變換成模擬信號����,通過模擬信號接收器15進行測量�,與根據(jù)設 計規(guī)格計算出的預測值進行比較,從而可以高速地對輸出與預測值的有無差異進行比較評 價�����。如本實施例所示,通過采用AD元件13���、DA元件14的方法���,與以數(shù)字值比較時相比,雖 然不能檢測微小差異���,但對于通過檢測影響測量的測量精度以上的大幅度變動來檢測功能 來說��,是足夠的����。另外���,由于可以高速地處理多個模式����,所以對數(shù)字特有的不連續(xù)點及特異 點的檢測很有效�。
接著,用圖7、圖8說明功能試驗的測試模式選定方法�����。圖7是驗證濾波器功能模 塊時的輸入信號大小選定方法的一例�����。圖7所示的圖表的縱軸模式地表示了數(shù)值的位寬 度�,橫軸表示邏輯的處理數(shù)。
當在作為濾波器電路的功能模塊內(nèi)部的某一位數(shù)的某個處理步驟中產(chǎn)生錯誤時�, 濾波器電路是線性的,如果未進行值的限制�,則如圖7所示,錯誤向后級的處理傳播��。另外��, 當對輸出進行DA變換并用模擬值評價時����,由于DA元件及電路噪聲的影響而不能測量輸出 的下位位數(shù)的變動�����。
因此,將輸入的電平例如分割成Tl T4�����,通過在與各輸入對應的輸出范圍進行測 量�,可以檢測出數(shù)字值的全位(full bit)寬度的錯誤。即�����,根據(jù)輸出中的錯誤識別精度���,調(diào) 整輸入信號的大小(輸入的電平)�,由此可以檢測出濾波器內(nèi)部內(nèi)在的錯誤��。
圖8表示作為功能對頻率特性進行試驗時的頻率測量點的選定方法的說明圖��。
數(shù)字濾波器如果在設計上滿足不產(chǎn)生溢出的條件�����,則由于是線性時不變系統(tǒng)�,所 以可以用典型頻率進行評價。另外���,由于在取樣頻率的1/2處具有折返的特性�,所以,以在 取樣頻率的1/2以下的范圍內(nèi)進行檢測為基礎�,在此之上,只確認取樣頻率的1/2倍數(shù)處出 現(xiàn)谷值的情況����。
圖8的波形例表示在40MHz取樣的低通濾波器上重疊了 IMHz取樣的高通濾波器 后合計的頻率特性。圖8的實線表示IMHz的高通濾波器的頻率特性���,虛線表示合計的頻率 特性���。
用實線表示的高通濾波器的頻率特性由于是IMHz的取樣,所以為在500KHZ處頻 率特性折返的形狀�,如果驗證該500MHz以下的區(qū)域A的頻率范圍的特性,就可以驗證本高 通濾波器的特性�����。
另一方面���,用虛線表示的40MHz取樣的低通濾波器需要在區(qū)域B中的20MHz以下 的頻帶中驗證其衰減特性��。不過,由于高通濾波器的影響,在20MHz以下的頻帶中重復峰���、 谷的特性��,所以選定相當于該峰的頻率�,通過評價該包絡線�,來驗證低通濾波器的衰減特 性。即�����,當驗證數(shù)字濾波器的頻率特性時�,在取樣頻率的1/2處對頻帶進行分類,按照設計 規(guī)格選定測量點����。
如上所述,根據(jù)本實施例的安全保護儀表系統(tǒng)��,通過制作以分支覆蓋為100 %的所 有輸入模式�,依次確認相對各輸入模式的輸出模式,可以確認各功能模塊內(nèi)的功能單元全 部正常連接���。另外�����,通過確認各功能模塊功能的功能試驗���,也可以確認功能單元正常連接����。 在功能試驗中�,通過采用AD元件、DA元件用模擬信號進行比較����,可以對多個模式連續(xù)進行 試驗,使核反應堆安全儀表系統(tǒng)的性能驗證變得很容易�����。
10[0091](實施例3)
圖9表示通過乘法器16來驗證相對全輸入的輸出模式時的測試范圍��。
在只將乘法器16作為功能單元的測試范圍A'的情況下�����,由于乘法器的2個輸入 是16位���,所以所有輸入模式是2(16+16)���,用數(shù)日驗證該模式是很困難的。但是�����,在估計了濾波 器處理時���,幾乎都是對信號變量乘以一定常數(shù)的模式����。
因此���,如圖9所示�,本實施例的安全保護儀表系統(tǒng)用查詢表(LUT) 17選擇常數(shù)����,將 常數(shù)輸入到乘法器16。
這樣構成的安全保護儀表系統(tǒng)在將功能單元作為測試范圍B'的情況下��,由于選 擇數(shù)據(jù)的地址是4位�����,所以測試范圍B的輸入位數(shù)為4+16 = 20位,這時的測試模式數(shù)為 2(4+16)����,所以試驗評價相對所有輸入模式的輸出變得很容易。
如上所述��,根據(jù)本實施例的安全保護儀表系統(tǒng)���,通過在功能單元內(nèi)部設置查詢表�, 可以削減所有輸入模式數(shù)���。
(實施例4)
圖10表示由所驗證的功能單元構成的核反應堆安全保護儀表系統(tǒng)中的自診斷功 能的說明圖�����。
由功能單元5構成的功能模塊由于內(nèi)裝多個功能單元5����,所以可延遲數(shù)個時鐘 得到輸出��。因此,輸出時����,與輸出的數(shù)據(jù)一起正常結束時將動作標志傳輸給輸出目的地的功 能模塊。該動作標志以接力形式在多個功能模塊之間傳遞��,用異常診斷電路18判斷有無在 斷開判斷器7中的動作標志�����,當在一定時間以上不存在動作標志的情況等與正常時的特性 有很大不同的情況��,輸出動作不良�����。
另外����,除了有無輸出動作標志之外��,如圖11所示�����,用近似式計算出各功能模塊的 相對輸入模式的輸出模式的范圍�,當實際的輸出值脫離該范圍時�����,輸出動作不良���。
根據(jù)本實施例,由于以功能單元或功能模塊為單位設定標志或數(shù)值范圍��,并設定 了自診斷功能����,所以可以防止在電站中設置之后所產(chǎn)生的缺陷。
(實施例5)
圖12表示由邏輯模式已被驗證的功能單元構成的核反應堆安全保護儀表系統(tǒng)中 的信號分離方法的說明圖���。
該實施例5為了確保第1安全保護儀表系統(tǒng)2b和第2安全保護儀表系統(tǒng)2c的信 號傳輸獨立性而采用光傳輸��。即�����,在信號傳輸端的第1安全保護儀表系統(tǒng)2b中����,用DA元 件14將傳輸數(shù)據(jù)變換成模擬信號,并將該模擬信號通過EO變換器(電 光信號變換器)19 進行電 光變換���,利用光強度或調(diào)制數(shù)據(jù)進行傳輸�����。另一方面���,信號接收端的第2安全保護 儀表系統(tǒng)2c通過OE變換器(光·電信號變換器)20對光強度數(shù)據(jù)或調(diào)制數(shù)據(jù)進行光·電 變換之后,由AD元件13進行AD變換����,變換成數(shù)字值�。
另外,圖13所示的構成為�����,在第1安全保護儀表系統(tǒng)2b中�����,將由FPGA處理的數(shù)字 數(shù)據(jù)通過DA變換元件14 一度變換成模擬信號后�,再次用AD元件13變換成數(shù)字數(shù)據(jù),將該 數(shù)字數(shù)據(jù)用EO變換器19變換成光的數(shù)字數(shù)據(jù)進行傳輸。在第2安全保護儀表系統(tǒng)2c中��, 用OE變換器20將第1安全保護儀表系統(tǒng)2b的數(shù)字光數(shù)據(jù)變換成數(shù)字數(shù)據(jù)后�,用于數(shù)字處理。
在將同一數(shù)字值分配給多個獨立系統(tǒng)時�,若在各系統(tǒng)中內(nèi)部存在某個數(shù)據(jù)模式下進行誤動作的軟件,則可以考慮由于輸入同一數(shù)據(jù)而同時故障的情況��。因此��,本實施例的安 全保護儀表系統(tǒng)通過將數(shù)據(jù)變換成模擬值��,在傳輸信號中加入噪聲成分�,可以防止同一數(shù) 字數(shù)據(jù)同時傳輸給不同的系統(tǒng)。
根據(jù)本實施例的安全保護儀表系統(tǒng)����,可以確保采用功能單元的核反應堆安全保護 儀表系統(tǒng)的獨立性,并且可以降低作為采用數(shù)字信號處理的安全系統(tǒng)課題的�、發(fā)生共同方 式故障的比例。
(實施例6)
圖14表示本發(fā)明實施例6的安全保護儀表系統(tǒng)的基本構成圖���。
圖14所示的安全保護儀表系統(tǒng)中�,功能單元5a����、功能單元5b�、功能單元5c相互連 接��,這些功能單元存儲在1個FPGA中�。
這些功能單元間的信號傳輸通過觸發(fā)器與時鐘同步輸出,但是其輸出定時可以根 據(jù)功能單元而有不同構成�。在本實施例中,在圖14中�,功能單元5a的輸出在輸入到功能單 元5b后,進行功能單元5b的信號處理�����,這樣功能單元依次傳遞數(shù)據(jù)這種接力棒(baton)來 進行處理���。
通過在這樣的構成中連接功能單元,監(jiān)視接力棒(數(shù)據(jù))的交接定時����,可以進行處 理動作本身的驗證。即�,設置圖14所示的外部引線A21、外部引線B22�、外部引線C23�、外部 引線D24�,通過監(jiān)視這些功能單元的信號,可以驗證按設計的定時進行動作��。此外���,在動作過 程中����,通過監(jiān)視各定時的變動�,可以檢測出動作的不當情況。
圖15表示實際從FPGA的外部引線監(jiān)視內(nèi)部功能單元的輸出定時的一例���。圖15 的下方是輸入信號����,從上方開始依次表示外部引線A21����、外部引線B22、外部引線C23��、外部 引線D24����、外部引線E25的輸出信號�����。
若在下方輸入信號(數(shù)據(jù))��,則從接近下方的邏輯開始依次傳輸信號�����,最后輸出上 方的輸出段���。以通過圖15所示的多個邏輯信號來確認該信號傳輸?shù)亩〞r。該邏輯信號的 定時是設計固有的�����,通過監(jiān)視該邏輯信號的定時��,可以驗證是否安裝了符合設計的邏輯�。另 外�����,在通常動作中,也可以通過另外設置監(jiān)視這些邏輯信號的定時的功能���,來監(jiān)視動作中因 異常加熱等引起內(nèi)部信號線的延遲時間增大所造成的邏輯運算的誤動作����。
以上�����,根據(jù)本實施例的安全保護儀表系統(tǒng)����,各功能單元串行動作,依次傳輸該信 號�,通過監(jiān)視該信號傳輸定時,可以驗證在FPGA中是否安裝了符合設計的邏輯��。另外��,作為 異常判斷方法�����,可以通過監(jiān)視這些信號傳輸?shù)捻樞?��、定時��,來構筑可靠性高的安全保護儀表 系統(tǒng)���。
(實施例7)
圖16表示實施例7的安全保護儀表系統(tǒng)的構成圖��。
例如��,圖16所示的安全保護儀表系統(tǒng)中�����,4個相同的功能單元5串行連接��,這些輸 出由觸發(fā)器同步后輸出��。在這樣構成的安全保護儀表系統(tǒng)中�,通過驗證各功能單元5是否 與連接前的單體功能單元5是相同的邏輯構成��,可保證在安全保護儀表系統(tǒng)上安裝了與由 單體功能單元5驗證時相同的功能���。
S卩�����,圖16所示的安全保護儀表系統(tǒng)的各功能單元5的內(nèi)部在在單體的試驗時確認 了性能的健全性��。將這些功能單元5按圖16進行連接���,邏輯合成后通過目視等確認邏輯合 成后仍維持該性能的情況,通過采用上述驗證方法��,保證安全保護儀表系統(tǒng)中的功能單元5的健全性�����。
工業(yè)實用性
根據(jù)本發(fā)明的安全保護儀表系統(tǒng)及其處理方法���,通過防止在使用硬件邏輯的核反 應堆安全系統(tǒng)中因邏輯錯誤及信號處理的定時所引起的錯誤�,可以提高安全性���,是在核反 應堆運轉上有很大利用可能性的發(fā)明�。
權利要求
一種安全保護儀表系統(tǒng)��,是使用數(shù)字邏輯構筑的核反應堆的安全保護儀表系統(tǒng)�����,其特征在于由功能單元及組合上述功能單元所構成的功能模塊來構成數(shù)字邏輯部分,上述功能單元將相對輸入的全部邏輯模式的輸出邏輯模式分別安裝在硬件上��,確認根據(jù)設計規(guī)格求出的預測值與輸出值一致的情況��,上述功能模塊只由具有與性能已被預先驗證的功能單元相同的門結構的功能單元構成�。
2.如權利要求
1所述的安全保護儀表系統(tǒng),其特征在于組合上述功能單元所構成的上述功能模塊包括傳播上述功能單元的輸出的寄存器及 與上述功能單元的信號處理定時配合的延遲元件�����。
3.如權利要求
1所述的安全保護儀表系統(tǒng)���,其特征在于組合上述功能單元所構成的上述功能模塊包括傳播上述功能單元的輸出的寄存器�����,并 且具有信號交接單元�,該信號交接單元對上述功能單元中的����、驅動上述寄存器的時鐘不同 的功能單元之間的信號進行交接。
4.如權利要求
1所述的安全保護儀表系統(tǒng)����,其特征在于具有制作了硬件所執(zhí)行的有效程序語句及執(zhí)行動作路徑的輸入模式組的軟件�����,并且具 有評價上述輸入模式的比例或上述輸入模式數(shù)是否足夠的分支覆蓋或扣接覆蓋,驗證相對 輸入的輸出與根據(jù)設計規(guī)格求出的預測值一致的情況����,來確認功能單元間的連接。
5.如權利要求
1所述的安全保護儀表系統(tǒng)���,其特征在于制作與上述功能模塊的設計規(guī)格對應的輸入模式���,確認上述功能模塊的相對輸入的輸 出與根據(jù)設計規(guī)格預測出的預測值一致的情況。
6.如權利要求
1所述的安全保護儀表系統(tǒng)��,其特征在于包括:AD元件����,將與上述功能模塊的設計規(guī)格對應的模擬信號模式進行數(shù)字變換后作 為輸入模式;及DA元件����,將上述功能模塊的相對輸入的輸出進行模擬變換后作為模擬值; 確認上述模擬值與根據(jù)設計規(guī)格預測出的預測值一致的情況。
7.如權利要求
1所述的安全保護儀表系統(tǒng)��,其特征在于通過上述功能單元進行2個變量的相乘或比較�����,將2個變量的一個置換成可由位數(shù)比 變量的位數(shù)少的地址指定的常數(shù)����。
8.如權利要求
1所述的安全保護儀表系統(tǒng),其特征在于上述功能單元具有對表示動作正常結束的動作標志進行交接的功能�����,上述功能模塊具 有監(jiān)視上述動作標志的功能����,上述安全保護儀表系統(tǒng)具有斷開判斷器,輸入來自上述功能 模塊的輸出�,判斷有無上述動作標志;及異常診斷電路����,在沒有上述動作標志時輸出動作不良信號。
9.如權利要求
1所述的安全保護儀表系統(tǒng)��,其特征在于上述功能單元具有通過簡略式計算出輸出的最大值及最小值的功能、及對上述輸出的 最大值和最小值進行交接的功能�,上述安全保護儀表系統(tǒng)具有斷開判斷器,對上述輸出的 最大值和最小值的運算結果與信號值進行比較���,判斷信號值是妥當?shù)闹?;及異常診斷電路����, 輸出動作不良信號����。
10.如權利要求
1所述的安全保護儀表系統(tǒng),其特征在于具有將數(shù)字輸出變換成模擬值后變換成光的第1安全保護儀表系統(tǒng)����、及將該光變換成 模擬值后變換成數(shù)字值的第2安全保護儀表系統(tǒng),并且信號連接上述第1安全保護儀表系 統(tǒng)和上述第2安全保護儀表系統(tǒng)����。
11.一種安全保護儀表系統(tǒng)的處理方法,是使用數(shù)字邏輯構筑的核反應堆的安全保護 儀表系統(tǒng)的處理方法��,其特征在于包括驗證工序��,將與向構成安全保護儀表系統(tǒng)的功能單元的全部輸入邏輯模式相對的 輸出邏輯模式預先分別安裝在硬件上,驗證根據(jù)設計規(guī)格求出的預測值與輸出值一致的情 況�����,由組合上述功能單元所構成的功能模塊來構成數(shù)字邏輯部分��,確認是與驗證了上述功 能單元性能后的內(nèi)部結構相同的結構的情況��。
12.如權利要求
11所述的安全保護儀表系統(tǒng)的處理方法�,其特征在于使具有多個功能單元的安全保護儀表系統(tǒng)的各功能單元的數(shù)據(jù)處理按連接順序串行 動作,監(jiān)視輸出定時�,來確認該信號被串行傳輸,并通過驗證該輸出定時符合設計�����,來驗證 安全保護儀表系統(tǒng)的性能���。3
專利摘要
在用數(shù)字邏輯構筑的核反應堆的安全保護儀表系統(tǒng)中����,通過預先驗證相對輸入的全部邏輯模式的輸出邏輯模式的功能單元��、及組合上述功能單元而構成的功能模塊����,來構成數(shù)字邏輯部分����。
文檔編號G21D3/04GKCN1950911SQ200580014317
公開日2010年12月22日 申請日期2005年3月4日
發(fā)明者伊藤敏明, 佐藤俊文, 前川立行, 北園秀亨, 垂水輝次, 小田中滋, 小田直敬, 林俊文, 泉干雄 申請人:株式會社東芝導出引文BiBTeX, EndNote, RefMan非專利引用 (1),