CN107078741A - 安全i＆c系统的电路布置 - Google Patents

Abstract

一种电路布置，特别是用于核电站(6)的安全I&C系统(4)，是为了在获得FPGA技术的优势的同时，保持经过证明的以图表为中心的特定项目工程方法区别于基于CPU的系统。为此，根据本发明的电路布置包括：通用FPGA(18)，其具有多个逻辑块(20)；以及至少一个专用PLD(22)，其操作为用于所述逻辑功能块(20)的专用开关矩阵。

Description

安全I＆C系统的电路布置

在核工业中，与目前使用的基于CPU的系统形成对比，存在趋向基于FPGA的安全I&C系统和模块的强大趋势。

FPGA提供许多优点，特别是在具有许多并行输入和输出信号的复杂系统的环境下。目前，针对基于CPU的I&C平台的所有特定项目工程任务可以在信号流导向的、人可读的图表的帮助下由非电子专家来执行。工具链自动将这些图表转换为C代码，该C代码可以在基于CPU的安全I&C系统上编译和运行。

因为整个工具链的二进制结果是高度可预测的，所以这种方法论可以符合安全应用程序。然而，这将基于CPU的方法与基于FPGA的方法区分开来：由于FPGA及其工具链的性质，即使在设计入口电平上的小变化也可能导致最终芯片的先前不可预知的、完全不同的时序特征。因此，到目前为止，安全I&C工业并没有遵循基于图表的方法与FPGA后端。相反，电子专家需要使用基于硬件描述语言(诸如VHDL)的众所周知的技术来做相应的FPGA设计入口。这导致在不同情况下需要重复使用固定设计，或者导致包含不仅来自核应用领域还有来自FPGA设计领域的专家的非常复杂的项目工程任务。此外，每个FPGA设计都需要通过采用精心设计开发和验证过程来非常仔细地进行认证。

在另一个背景下，除了核能行业之外，还提出了FPGA的局部重配置(partialreconfiguration)。参见例如专利US 7 669 168 B1：“用于在可编程器件中动态连接模块的方法和装置”。

本文的基本思想是具有本地预路由低电平逻辑块(locally pre-routed low-level logic blocks)的数据库，该逻辑块可以单独地组合到配置FPGA的比特流。

原则上，如果能正确地应用局部重配置，则其将是给定问题的解决方案，但是：

·复杂的并且因此很难认证的工具链必须满足目前没有广泛供应并且不是非常稳定的这个特征。

·在专门连接到特定引脚的情况下，特定模块仅适用于芯片上的特定插槽(位置)。例如，如果在引脚1-4上需要投票块并且在引脚10-20上需要滤波器块，则必要的模块库(module library)将必须在这些引脚上恰好包含投票块(加上在其它引脚组合上的投票块)。相同情况适用于滤波器块和所有其它逻辑功能块，因此，所得到的预认证库将必须非常大：针对潜在的大量插槽需要各种块。

·用于连接到特定引脚的块的插槽具有固定的尺寸，因此单个门消耗了与复杂滤波器功能一样多的逻辑资源。因此，将有必要对逻辑块的尺寸等级进行分组，这将进一步限制有效的引脚功能组合。

·现有工具存在许多其它实际问题，诸如，例如时钟限制(不是每个块都可以使用每个时钟)或时钟粒度(clock granularity)(由于特定边界因此块需要相当大，因此大芯片也只能分为几个插槽)。

·只有少数不同的FPGA支持局部重配置，即基于闪存或基于反熔丝的FPGA通常不会支持局部重配置，不幸的是这特别适用于给定环境。

总而言之，局部重配置是用于解决一些问题的简洁而强有力的解决方案，但是不太适合给定情况，所述给定情况显然不需要完全动态可(重新)配置逻辑块的全功率，而只需要几个动态引脚连接到功能块。局部重配置的主要重点是从逻辑块的时分复用的意义上来说在FPGA的部分上电以后动态(重新)配置FPGA的部分，以减少所需的硬件资源或满足现场更新。这没有清楚地设计在给定应用程序中。此外，它不能被视为成熟的技术，因此几乎不能适用于必须支撑数十年的核I&C系统。

因此，本发明的目的是在继续获得FPGA技术的优势的同时，保持经过证明的以图表为中心的特定项目工程方法，以及同时避免关于局部重配置技术的上述问题。

发明内容

根据本发明，这个目的通过具有权利要求1或权利要求2的特征的电路布置来实现。

优选实施例和改进是从属权利要求的主题和随后的详细描述。

简而言之，以本发明为基础的构思是总体思路的进步，该总体思路是可以将要被实施的整个逻辑拆分成几个器件，然而这些器件中的一个(或一些)是固定的，而这些器件中的一个(或一些)需要适用于特定项目(专用)的需求。

根据本发明的基本思想是为了限制用于系统的动态项目FPGA部分的自由度，以简化工具链(这也减轻了认证)。

该方法基于开发包含潜在需求逻辑功能的超集的一个或更多个预认证FPGA设计的想法。换言之，存在通用的、预先配置的FPGA，其除了通用应用程序的逻辑功能之外，具有多个特定领域(即，适用于核电站中的I&C任务)。这些不适用于特定项目需求，但是它们可以以足够灵活的方式来应用，以便通过具有以特定项目方式将相应的功能单元或块彼此连接的可能性而仍采用基于图表的工程项目流程。

一个前提条件是与安全I&C应用程序通常需要的逻辑相比许多现有的FPGA设备提供大量逻辑的事实。这允许开发(并且仔细认证)包含不同项目可能所需的逻辑块的超集的FPGA设计。

这种设计的示例可以具有以下特征：

·基本数字信号，例如，包括几十个：逻辑功能(AND/OR/XOR……)、投票块、延迟块、报警块、背板总线接口……

·滤波器和控制器：滤波器块、控制器单元(PID、PI、……)、信号积分器、信号微分器、RMS单元……

·特殊功能：算法，例如，与某些核方面有关的算法

·基本模拟信号，例如，几十个：串行数字接口(SPI、I2S、……)、比较单元、计算单元(加、减、……)、延迟块、背板总线接口

如果实际可行，FPGA主图像当然也可以包含来自不同域(数字、模拟)的功能块，这些功能块被分组在一起以适应某些典型的应用程序。

这种主FPGA图像可以以下面的方式用于I&C应用程序：

a)CPLD方法

这个想法是将大型FPGA与大量引脚(例如，500个用户I/O)组合起来，一个或多个CPLD包围着该大型FPGA。FPGA主图像以所有FPGA引脚都连接到定义明确功能的方式来完全地固定和设计。CPLD作为可编程开关矩阵来工作，该可编程开关矩阵以特定项目方式将例如复杂逻辑子板的50-60个输入/输出引脚连接到FPGA引脚(包括在若干FPGA功能之间的所有连接)。

与FPGA相反，CPLD提供的硬件资源少得多(这使得它们几乎不可用作主可编程逻辑器件—即使对于给定的应用程序也不行)，但它们提供严格可预测的时序，因此提供比较简单的工具链。只有CPLD的配置(若可以，加上一些预编程的参考值，见下文)定义了特定项目功能，因此定义了FPGA板的所有信号。因此，动态(＝以图表为中心)的CPLD工具链比FPGA工具链更易于管理以及提供更容易的认证。CPLD还可以，例如，通过不断读取(并检查)FPGA配置或通过与其它的用FPGA实现的完整性检查机制进行通信来执行完整性检查。因此可以开发允许(半)自动创建相应的CPLD图像的特定项目的工程流程。

这种方法的主要优点包括：

·工程项目可以与当前基于CPU的I&C平台保持一致—甚至可以基于CPU和基于FPGA来不同地实现(几乎)相同的前端原理图。

·几乎可以充分使用FPGA技术的潜力。由于特定功能与特定引脚相关联的事实，因此可能存在这种方法劣于“经典”FPGA方法的情况。

·通过FPGA的标准，工程项目成本低，同时仍然具有高的灵活度以满足不同的项目需求。

·由于只需要关心几个主图像加上开发工具链，所以维护工作量少。

·从概念上说，高复杂性是可行的—商业设备上可用引脚的数量似乎是限制因素。

另一方面，缺点包括：

·“真正的”CPLD显然正在逐步过时，并且在遥远的将来可能不容易找得到。

·具有高引脚数量的CPLD很少(如果完全可用)—因此或许，每个FPGA需要多于一个CPLD。

·额外CPLD的成本作为开销。

但是，这些缺点并不能从根本上扰乱本构思的可行性，并且其优点远远超过了这些缺点。

b)外部交叉开关方法/FGPA方法

代替CPLD，可以应用在非易失性存储器或本地CPU的帮助下配置的专用的交叉开关IC或甚至另一个“编组”FPGA—其优选地具有只能创建开关配置图像的非常特殊的、严格控制的工具链-。

如果专用的FPGA仅用于编组，则甚至黑盒工具链(black-box tool chain)也是可用的(对于上述CPLD方法也是如此)：

·自动VHDL发生器为FPGA创建所需的编组矩阵代码，该编组矩阵代码由供应商特定的工具链编译为比特流。

·为了认证特定项目的编组器件，开发了通用测量/认证系统(例如PCB)，该通用测量/认证系统包含由测试基础设施包围的相同类型的编组器件。这个认证系统仅用于自动判断任何开关矩阵图像的特性(例如，做出的连接、输入-输出时序)的100％并且创建其报告的目的。100％的特性判断自然也包括100％的测试。

·项目工程师需要在所述合格的专用测试硬件(当然可以重新使用)的帮助下来测试他们的最终编组开关图像，以证明黑盒工具链已经正确地运行。

·因此，复杂的FPGA工具链无关紧要，可以使用大而方便的FPGA代替旧的/成熟的CPLD或其它外来设备。

·此外，由于这个构思适用于任何FPGA，因此只要存在用于这个特定FPGA类型可用的认证板/测试板，过时就不是问题。

这种方法具有上述CPLD方法的所有优点，以及因为其不与特定设备相关联并可以因为过时或多样性理由被转移到其它设备，从而提供处理过时的有效方法。缺点主要在于合适的软件工具和测试设备的开发稍微复杂一些。

此外，如果仍然有将不会很快被停产的可用设备，则通用阵列逻辑器件(GAL)可能被认为是易于认证的。

c)熔丝/反熔丝ASIC方法

除了不是编组FPGA之外，这种方法类似于前一种方法，提出了一次性可编程熔丝/反熔丝ASIC。这个构思的背景是熔丝/反熔丝FPGA提供了许多优点的事实，因为它们通过对其“编程”仅仅是硬件制造的最后一步的方式来代表实际的硬件。然而，基于熔丝的FPGA在市场上再也不容易找得到，而基于反熔丝的FPGA相当昂贵。作为一种补救措施，人们可以采取开发自己的(定制)熔丝/反熔丝路由器件，该器件非常简单因为它不需要包含任何逻辑元件，而“只”包含可编程路由。所需的技术相当老旧，并且无论如何得到了很好地验证和测试。

这种方法的优点包括：

·在实际硬件中实现编组，而无需考虑上电问题或单粒子翻转(single eventupset)。

·由于这个解决方案是一次性可编程的，因此可实现的网络安全级别可能高于其它解决方案。

相关的缺陷可能包括与ASIC相关的对应开发工作和长期稳定性问题。

d)PCB方法

这种方法类似于前一种方法。它致力于使用印刷电路板(PCB)而不是CPLD或FPGA来为主FPGA提供编组的想法。再次，可以期待相当多的工作用于合适(定制)PCB的开发、制造和认证。另一方面，所需的技术也得到了很好地验证和测试。

e)比特流补丁方法：

在这种方法中，FPGA类似于选项a)来设计，但功能块未连接到FPGA引脚。相反，它们被路由到在FPGA结构内的定义明确的路由开关。FPGA提供几种布线资源，以将电路的各个部分互连，所述布线资源可以区分为本地连接和直接连接。这些布线资源结合许多开关而被布置在交叉开关架构中，所述许多开关的设置形成整个FPGA配置的组成部分。

这种方法背后的想法是具有固定的主图像，该固定的主图像可以仅通过操纵预定义的一小组布线(路由)开关(例如，在拥有数千个开关的FPGA上的50个)来改变。这是使用低电平比特流操纵工具直接在配置文件电平上完成的。这些工具当然必须实施用于确保整个图像的完整性的装置。开关的选择和所有其它逻辑资源的固定路由在任何情况下都必须确保充足的时序储备，而无论如何设置开关。因此，特定项目的工程流程支持预认证的主FPGA图像的静态补丁，以涵盖专用配置。

f)可编程开关矩阵法：

在这种方法中，FPGA主图像还包含可编程开关矩阵(多路复用器)逻辑块，该逻辑块从FPGA外部的非易失性存储器读取配置，以及相应地触发对该FPGA上所有逻辑块的连接。然而，必要的多路复用器结构仅适用于相当少量的输入和输出。这不一定阻止在给定环境中的使用，因为不需要完整的NxM交叉开关：引脚和功能的巧妙划分可以将必要的逻辑和路由资源减少到可管理的量。

所有这些方法的共同之处在于，FPGA可以从也连接到FPGA的非易失性存储器读取参考值(例如，比较器所需的参考值)。如果使用基于SRAM的FPGA，则这个存储单元还可以包含若干主图像，该若干主图像可以通过例如DIP开关、跳线等来选择。为了确保参考值和/或图像的完整性，可以应用加密算法。

总而言之，与本发明相关的优点包括但不限于以下事实：在基于CPU的系统之中目前使用的I&C工程方法在具有其所有优点的FPGA框架内仍然可用：

·不需要用于特定项目工程的电子专家。

·不需要比自我解析图更难认证的特定项目的HDL代码。这导致大大降低特定项目工程成本。

·与受限于特定反应堆类型或特定I&C系统和功能的固定设计相比，应用程序场景的灵活性高。

随后将参考附图描述本发明的示例性实施例，所述附图以纯示意图和高度简化的方式进行描述：

图1是安全I&C系统的复杂逻辑板，

图2是根据图1的逻辑板的基于FPGA的子板，

图3是图2的细节，以及

图4是与在根据图2的子板上实现的电路布置的开发相关的工程流程的图解代表。

图1以粗略概述的方式描述了用在核电站6中的安全仪表与控制(I&C)系统4的复杂逻辑板2。这个板也被称为主板。实际逻辑可以在可互换连接到主板2的子板8上实现。传统上，基于CPU的子板8(如果存在)，即，包括作为主要计算资源的具有固定指令集和顺序工作命令的中央处理单元(CPU)。子板8通过经由连接器的合适数字接口10一方面连接到输入电路12，另一方面连接到输出电路14。输入电路12提供用于调节经由外部输入/输出(I/O)连接器16提供的模拟和/或数字输入信号的装置。这些装置通常包括模数转换器(ADC)、对应接口、滤波器、缓冲器、同步电路等。相应地，输出电路14将子板8的数字输出信号转换成用于经由外部I/O 16连接到母板2的外围设备(特别是，参与者(actor))的合适的模拟和/或数字信号。为此，输出电路14通常包括数模转换器(DAC)、驱动器、继电器等。

虽然用于安全I&C架构的逻辑传统上是在基于CPU的系统中实现的，但是具有趋向基于FPGA的系统的发展趋势，特别是由于其在具有许多并行输入和输出信号的复杂系统的环境中具有更大的灵活性。然而，为了符合核工业中在逻辑器件的输入/输出设置和特性的校验和验证(V&V)(也被称为认证)方面的严格要求，必须特别注意。图2描绘了用于图1的主板2的基于FPGA的子板8，其设计特别适合处理这个问题。图3选了来自图2中的重要细节。当然，相反地，如果包括外围接口和/或外部接口的整个电路在单个主板上来实现，则可能不需要单独的子板。

如图3所示，子板8设置有通用现场可编程门阵列(FPGA)18，该现场可编程门阵列(FPGA)18具有由相应的逻辑功能单元20或逻辑功能块(简称：逻辑单元或逻辑块)(特别是简单逻辑门)提供的大量逻辑功能，并且如果需要，还可以具有更加复杂的功能，比如加法器、比较器、比例积分微分器(PID)以及其它控制器、滤波器等。因此，逻辑单元20可以包括/包含/组合FPGA的若干基本逻辑资源或逻辑块。FPGA18还包括一组可(重新)配置的内部路由资源(可编程开关)，这些内部路由资源通常允许逻辑单元20的特定项目互连。

然而，由于上述限制，因此在根据图2和图3的系统中FPGA内部路由资源不用于将逻辑单元20彼此连接。相反，可编程逻辑器件(PLD)22(其引脚通过子板8的电路轨迹24连接到FPGA18的对应引脚(点对点连接))用作FPGA外部开关矩阵，并且因此提供FPGA的逻辑单元20的特定项目互连所需的可配置路由功能。因此，PLD 22也可以被称为“辅助PLD”或“编组PLD”或“开关矩阵PLD”或“开关PLD”以用于在FPGA18的引脚和PLD 22的引脚之间的(通常>50或甚至>200)点对点连接，并且因此用于FPGA 18的所述逻辑功能单元20。因此，“开关PLD”22仅用作可编程的导线网。

作为用于通用FPGA 18逻辑单元20的开关矩阵的PLD 22可以是定做的专用集成电路(ASIC)或印刷电路板(PCB)。然而，在优选实施例中，它是(它们中的至少一个或甚至几个)复杂可编程逻辑器件(CPLD)，以及甚至更优选地是根据一般特定项目需要来编程的FPGA，并且因此提供在通用FPGA18的逻辑单元20之间的必要互连。虽然编组的PLD 22可以就其本身而言包含相当数量的逻辑资源，但是实际上根本不使用它们或最多仅在非常有限的范围内使用。相反，辅助PLD 22的实际使用特性基本上受限于如上所述的通用FPGA 18的路由操作/开关矩阵操作。这样，PLD 22的对应开发/编程工具的V&V相当轻松，如下面更详细的讨论。

优选地，辅助PLD 22不仅以合适的特定项目方式将通用FPGA 18的逻辑单元20互连，而且还经由数字I/O接口10将FPGA的外部数字输入/输出信号从主板2路由或路由到主板2。根据被编程到PLD 22中的开关矩阵，FPGA 18的任意引脚都可以被配置为输入和/或输出引脚。

子板8还可以配备有许多非易失性存储器(NVM)26模块。举例来说，这些NVM 26的一个包含预定义的开关配置，其在上电或设置期间被加载到PLD 22中。如图2中的虚线所示，它可以通过主板2来编程/检查。另一个NVM 26包含在上电期间要加载到FPGA 18中的预定义逻辑定义。第三NVM 26可以包含在上电期间要加载到FPGA 18中的一组参考值/参数值。NVM 26可以进行物理组合。

辅助模块28可以包含某些辅助功能，例如，用于PLD配置、完整性检查或电源监控(包括子板的本地电源30的监控)。可选地，这种功能可以作为一般规则的例外至少部分地在PLD22中实现，而不使用PLD的逻辑资源。

此外，图4示出了与先前示图中所示的系统的开发、编程和验证相关的示例性工程流程。流程图的七个框的内容应以下列方式理解：

1.设计入口与现今的方法类似—使用原理图编辑器(例如，图形框图编辑器)，其允许创建由以特定项目方式彼此连接的构建块(函数库，例如加法器、比较器、表决器)组成的示图。然后所得到的布线图可以遵循包括手动检查的经过证明的校验和验证(V&V)过程。在这个阶段，在基于CPU的系统上实现的布线图和在基于FPGA的系统上实现的布线图之间的区别不存在或较小。

2.一条新的软件通过选择一个或更多个主FPGA(划分所得到的设计)以及确定所使用的主FPGA图像的必要引脚连接来“编译”这个示图。

3.自动VHDL发生器为FPGA创建所需的编组矩阵代码。所得到的VHDL是不重要的，因为它仅包含连接而没有逻辑—尽管后一选择可以有利于在该FPGA开关中的例如执行如上电配置或自我测试的功能的某些固定逻辑块而改变。

4.实际的配置比特流由难以认证的、供应商特定的工具链来创建，该工具链包括诸如静态时序分析的基本V&V机制。

5.所得到的图像被下载到独立的测试硬件，该独立的测试硬件与最终目标系统包含相同的FPGA器件并且其唯一目的是编组FPGA的V&V。这个测试设备执行编组FPGA的100％测试，而术语“100％”测试需要根据相关部门和认证机构来定义。可能有必要开发/应用多样化/冗余的测试系统以排除与测试设备相关的常见错误。在任何情况下，检查独立来自于工具链的输入和输出是认证其它难以认证的工具链的一种可靠方法。

6.这个测试设备还(半)自动创建可以(自动)与来自步骤2中的规范进行比较的测试报告。

7.所有相关文件现已归档并且准备在最终硬件平台中使用。

最后，虽然本发明主要在用于核电站的安全I&C系统的背景下进行描述，但其它工业或军事应用当然也是可行的。

术语表

FPGA(现场可编程门阵列)：

现代细粒度可编程集成电路，其设计为在制造后由客户或设计人员来配置—因此“现场可编程”。它包括具有内部查找表(LUT)的多个可配置逻辑资源(逻辑块)以及灵活的路由资源，即允许块“连接在一起”的可重新配置互连的等级。原则上，每个逻辑电路都可以映射到FPGA的资源上。

CPLD(复杂可编程逻辑器件)：

旧的粗粒度可编程集成电路，其包括若干宏单元(AND矩阵和OR矩阵、触发器等)。原则上，每个逻辑电路可以映射到CPLD的资源上，但是由于尺寸限制，因此它更适用于简单的任务。

PLD(可编程逻辑器件)：

用于FPGA、CPLD和其它可编程逻辑器件的通用分类术语。

VHDL(超高速集成电路硬件描述语言)：

用于描述逻辑电路的语言，然后将其映射到PLD的资源上。也用于创建PLD的测试台架。CPU(中央处理单元)：

具有固定指令集和顺序工作命令的主处理器(例如，计算机的主处理器)。用于CPU的一系列指令被称为程序或在更高级别上被称为软件。

ASIC(专用集成电路)：

具有适用于特定应用程序的固定逻辑设计的芯片。CPU或FPGA也是ASIC，但由于其应用程序由最终用户编程，因此最终用户必须将所期望的行为编程到芯片中。

PCB(印刷电路板)：

由一个或更多个层组成的板，以将安装的组件彼此连接或连接到连接器。PCB的典型示例是安装有CPU、芯片组、存储器、连接器等的计算机主板。

安全I&C(安全仪表与控制)：

用于安全应用的系统，其收集应用的当前状态信息(例如核电反应堆中的温度)，评估这个信息(例如，核反应堆中的温度超过预定阈值？)，以及因此用于保持应用处于安全状态(例如，当温度过高时，降低核反应堆的功率输出)。

附图标记清单

2 复杂逻辑板/主板

4 安全I&C系统

6 核电站

8 子板

10 数字接口

12 输入电路

14 输出电路

16 外部I/O

18 FPGA

20 逻辑功能单元/块

22 PLD

24 电路轨迹

26 NVM

28 辅助模块

30 局部电源

Claims (12)

1.一种电路布置，特别是用于核电站(6)的安全I&C系统(4)的电路布置，包括：

·通用FPGA(18)，其具有多个逻辑功能单元(20)；以及

·至少一个专用PLD(22)，其操作为用于所述逻辑功能单元(20)的专用开关矩阵。

2.根据权利要求1所述的电路布置，其中，

·FPGA(18)包括多个引脚，

·PLD(22)是专用的并且包括多个引脚，多个点对点连接在FPGA(18)的引脚和PLD(22)的引脚之间，使得PLD(22)操作为用于所述点对点连接的专用开关矩阵，以及因此用于FPGA(18)的逻辑功能单元(20)。

3.根据权利要求1或2所述的电路布置，其中，由PLD(22)提供的功能的使用范围主要或仅限于作为FPGA(18)的开关矩阵的作用。

4.根据前述权利要求中任一项所述的电路布置，其中，用于FPGA(18)的逻辑功能单元(20)的开关矩阵仅由PLD(22)实现。

5.根据前述权利要求中任一项所述的电路布置，其中，FPGA(18)和PLD(22)布置在公共电路板上，并且经由电路轨迹以引脚方式彼此相互连接。

6.根据前述权利要求中任一项所述的电路布置，恰好具有专用于FPGA(18)的一个PLD(22)。

7.根据前述权利要求中任一项所述的电路布置，其中，相应的PLD(22)是CPLD。

8.根据前述权利要求中任一项所述的电路布置，其中，相应的PLD(22)是FPGA。

9.根据前述权利要求中任一项所述的电路布置，其中，相应的PLD(22)是ASIC。

10.根据前述权利要求中任一项所述的电路布置，其中，相应的PLD(22)是PCB。

11.根据前述权利要求中任一项所述的电路布置，其中，点对点连接的数量大于50，特别是大于200。

12.一种核电站(6)的安全I&C系统(4)，具有根据前述权利要求中任一项所述的至少一个电路布置。