CN1950911A - 安全保护仪表系统及其处理方法 - Google Patents
安全保护仪表系统及其处理方法 Download PDFInfo
- Publication number
- CN1950911A CN1950911A CNA200580014317XA CN200580014317A CN1950911A CN 1950911 A CN1950911 A CN 1950911A CN A200580014317X A CNA200580014317X A CN A200580014317XA CN 200580014317 A CN200580014317 A CN 200580014317A CN 1950911 A CN1950911 A CN 1950911A
- Authority
- CN
- China
- Prior art keywords
- safety protective
- instrumentation system
- output
- mentioned
- protective instrumentation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G21—NUCLEAR PHYSICS; NUCLEAR ENGINEERING
- G21D—NUCLEAR POWER PLANT
- G21D3/00—Control of nuclear power plant
- G21D3/04—Safety arrangements
-
- G—PHYSICS
- G21—NUCLEAR PHYSICS; NUCLEAR ENGINEERING
- G21C—NUCLEAR REACTORS
- G21C17/00—Monitoring; Testing ; Maintaining
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02E—REDUCTION OF GREENHOUSE GAS [GHG] EMISSIONS, RELATED TO ENERGY GENERATION, TRANSMISSION OR DISTRIBUTION
- Y02E30/00—Energy generation of nuclear origin
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02E—REDUCTION OF GREENHOUSE GAS [GHG] EMISSIONS, RELATED TO ENERGY GENERATION, TRANSMISSION OR DISTRIBUTION
- Y02E30/00—Energy generation of nuclear origin
- Y02E30/30—Nuclear fission reactors
Landscapes
- Physics & Mathematics (AREA)
- Engineering & Computer Science (AREA)
- Plasma & Fusion (AREA)
- General Engineering & Computer Science (AREA)
- High Energy & Nuclear Physics (AREA)
- Business, Economics & Management (AREA)
- Emergency Management (AREA)
- Monitoring And Testing Of Nuclear Reactors (AREA)
- Testing And Monitoring For Control Systems (AREA)
Abstract
在用数字逻辑构筑的核反应堆的安全保护仪表系统中,通过预先验证相对输入的全部逻辑模式的输出逻辑模式的功能单元、及组合上述功能单元而构成的功能模块,来构成数字逻辑部分。
Description
技术领域
本发明涉及一种在核电站的安全保护系统等中使用的由可靠性高的数字信号处理装置构成的安全保护仪表系统及其处理方法。
背景技术
在核电站中,为了在发生可能损害电站安全性的异常时,或者在预测会发生异常时,防止或抑制这种情况,而设置了安全保护仪表系统。设置该安全保护仪表系统所涉及的辐射仪表装置的目的在于,当由于某种原因而使电站内的辐射量上升时,为了抑制放射性物质向电站外放出,而向各工作电路提供作为用于将辐射量上升的地方隔离或者使紧急用气体处理装置工作的条件的信息。
在近些年来的电站中,作为这种安全保护仪表系统所涉及的辐射仪表装置,使用了数字信号处理,由1个CPU对数字滤波器、及多个信号进行数字运算(例如,参照日本专利第2653522号公报)。另外,也有不使用CPU而使用硬件逻辑即ASIC/FPGA(Application Specific Integrated Circuit/Field Programmable GateArray:特殊用途集成电路/现场可编程门阵列)的系统(例如,参照美国专利第5859884号说明书)。该系统由于用ASIC代替CPU对处理的步骤进行控制,所以动作简单。
另一方面,安全保护仪表系统从其重要性看,根据设备的多重化及独立化的不同,要求防止设备因单一故障而丧失功能,在使用这样的软件的数字系统中,当在冗余系统采用同一软件时,由于该软件的缺陷,有可能损伤设备的多重化功能。另外,由于数字处理是离散处理,所以与模拟元件相比,当不巧特定条件重叠时,因内部缺陷而执行产生特异输出等不能预期的动作的可能性高。
因此,在采用软件的数字处理中,要求通过设计及制作确保高品质的品质保障活动、及对软件缺陷产生的共同原因故障的排除和管理之外的变更的适当保护措施。特别是作为防止软件共同原因故障的方法,实施了验证及健全性确认活动(Verification &Validation:以下称为V&V)。V&V是由验证作业和健全性确认作业构成的用于保证品质的活动,该验证作业对在软件设计及制作的各过程中从上位过程到下位过程正确反映了数字型安全保护系统所要求的功能进行确认,该健全性确认作业对经过验证作业后制作的系统确认正确实现了要求功能。
另一方面,采用ASIC或FPGA代替CPU的系统,由于最终以固定布线逻辑构成,所以与CPU处理不同,因处理是确定的,所以处理时间也可以确定。因此,采用这些FPGA的系统由于可以看作是数字逻辑的半导体元件,所以可以使用该试验方法验证系统。即,如果可以将半导体元件的全输入及对全内部状态的输出与从设计规格计算出的预测值进行比较,则由定时引起的缺陷以外的稳定的输入输出特性完全可以验证。该验证方法称为穷尽测试(exhaustive testing)。
不过,在实际的ASIC元件等中,由于全输入位数和元件内部状态的合计模式(pattern)很庞大,所以将全输入及对应于全内部状态模式的输出模式全都与预测值进行比较是很困难的。因此,对有效地发现缺陷的输入模式串进行评价是很重要的。例如,对根据元件内部的逻辑模式进行评价从而内部寄存器一度工作的输入模式组、或者估计堆栈故障的故障方式并可检测该故障的输入模式串进行故障模拟,来计算出。
但是,上述的验证方法只不过是对一部分输入模式进行试验,所以存在不能对内部逻辑的组合所产生的缺陷、及在故障模拟中没有估计到的故障进行检测的问题。
另外,在将逻辑安装在FPGA等硬件中的过程中,需要对硬件构成进行描述的软件及将其在实际的FPGA上的逻辑中展开的逻辑合成工具等通用软件工具。因此,为了排除市面销售软件内存在的缺陷,必须从设计阶段就确保很高的可靠性。
如果能够将上述的穷尽测试用于仪表系统的性能验证中,则可以表示没有静态逻辑错误(确定的逻辑错误),但是当上述验证方法不能实施时,需要进行与现有软件同等的V&V等验证。
不过,采用FPGA的系统与CPU处理不同,处理是确定的,处理时间一般也可以确定。另外,用单一循环只能执行单一的处理,其特征是容易满足用于构成可靠性高的系统的设计条件。
如上所述,从仪表系统的验证性观点看,在硬件逻辑上安装核反应堆安全系统的优点大,但问题是,由于需要验证相对所有输入模式的输出模式,所以需要在相当于穷尽测试的验证水平上进行确认。
因此,寻求了能够容易地确认相对输入的输出特性为所设计的那样的系统及采用该系统的验证方法。
另外,除了上述的静态逻辑错误以外,还有由内部的动作定时引起的错误。例如,当因温度等环境条件而使内部逻辑间传输的延迟时间变动时,有可能由于周围环境条件而产生误动作。另外,当与外部等的非同步部分进行数据交换时,也有由于接收定时使值不确定的情况。
为了防止这些由定时引起的错误,需要在设计阶段通过定时模拟等进行有冗余的设计,并且在与外部的接口部中,使用值不易变动的同步化设计等一般的设计方法。
即,在采用FPGA的安全系统中,采用容易防止这些由定时引起的缺陷的结构及试验方法也是重要的,寻求对这样结构的系统及试验方法的开发。
发明内容
本发明是考虑到上述的情况而提出的,其目的在于提供一种安全保护仪表系统及其处理方法,可以防止在采用FPGA等硬件逻辑的核反应堆安全保护仪表系统中的静态逻辑错误及信号处理定时引起的错误。
本发明的安全保护仪表系统为了解决上述课题,其特征在于:在使用数字逻辑构筑的核反应堆的安全保护仪表系统中,由功能单元、及组合上述功能单元所构成的功能模块来构成数字逻辑部分,该功能单元的相对输入的全部逻辑模式的输出逻辑模式已被预先验证。
具有上述特征的安全保护仪表系统可有以下形态。
上述功能单元也可以将相对输入的全部逻辑模式的输出逻辑模式分别安装在硬件上,确认根据设计规格求出的预测值与输出值一致的情况。
上述功能模块也可以只由具有与性能已被预先验证的功能单元相同的门结构(gate)的功能单元构成。
组合上述功能单元所构成的上述功能模块也可以包括传播上述功能单元的输出的寄存器、及与上述功能单元的信号处理定时配合的延迟元件。
组合上述功能单元所构成的上述功能模块也可以包括传播上述功能单元的输出的寄存器,并且具有信号交接单元,该信号交接单元对上述功能单元中的、驱动上述寄存器的时钟不同的功能单元之间的信号进行交接(handshake)。
具有制作了硬件所执行的有效程序语句及执行动作路径的输入模式组的软件,并且具有评价上述输入模式的比例或上述输入模式数是否足够的分支覆盖或扣接覆盖,可以验证相对输入的输出与根据设计规格求出的预测值一致的情况,来确认功能单元间的连接。
也可以构成为,制作与上述功能模块的设计规格对应的输入模式,确认上述功能模块的相对输入的输出与根据设计规格预测出的预测值一致的情况。
也可以包括:AD元件,将与上述功能模块的设计规格对应的模拟信号模式进行数字变换后作为输入模式;及DA元件,将上述功能模块的相对输入的输出进行模拟变换后作为模拟值;确认上述模拟值与根据设计规格预测出的预测值一致的情况。
也可以通过上述功能单元进行2个变量的相乘或比较,将2个变量的一个置换成可由位数比变量的位数少的地址指定的常数。
也可以是,上述功能单元具有对表示动作正常结束的动作标志进行交接的功能,上述功能模块具有监视上述动作标志的功能,并具有:断开判断器,输入来自上述功能模块的输出,判断有无上述动作标志;及异常诊断电路,在没有上述动作标志时输出动作不良信号。
也可以是,上述功能单元具有通过简略式计算出输出最大值及最小值的功能、及对上述输出的最大值和最小值进行交接的功能,并具有:断开判断器,对上述输出的最大值和最小值的运算结果与信号值进行比较,判断信号值是妥当的值;及异常诊断电路,输出动作不良信号。
也可以是,具有将数字输出变换成模拟值后变换成光的第1安全保护仪表系统、及将该光变换成模拟值后变换成数字值的第2安全保护仪表系统,并且信号连接上述第1安全保护仪表系统和上述第2安全保护仪表系统。
另外,根据本发明,可以通过提供下述安全保护仪表系统的处理方法来达到上述目的,该安全保护仪表系统的处理方法是使用数字逻辑构筑的核反应堆的安全保护仪表系统的处理方法,其特征在于:预先验证与向构成安全保护仪表系统的功能单元的全部输入逻辑模式相对的输出逻辑模式。
在上述方法中,也可以是,使具有多个功能单元的安全保护仪表系统的各功能单元的数据处理按连接顺序串行动作,监视输出定时,来确认该信号被串行传输,并通过验证该输出定时符合设计,来验证安全保护仪表系统的性能。
另外,也可以包括验证工序,该验证工序确认具有功能单元的安全保护仪表系统的上述功能单元是与验证上述功能单元性能时的内部结构相同的结构。
根据具有上述特征的本发明的安全保护仪表系统及其处理方法,通过防止在使用硬件逻辑的核反应堆安全系统中的逻辑错误及信号处理定时所引起的错误,可以提高安全性。
附图说明
图1是由输入输出特性被验证的功能单元构成的本发明的安全保护仪表系统的构成图。
图2是验证功能单元的输入输出特性的试验方法的构成图。
图3是说明功能模块内部构成的构成图。
图4是说明功能模块的时钟同步、及非同步部分的信号交接的信号传输的构成图。
图5是说明以分支覆盖为指标的结构测试的构成图。
图6是通过AD元件及DA元件验证信号的构成图。
图7是调整输入信号电平来验证错误的构成图。
图8是验证信号频率特性的构成图。
图9是说明功能单元的试验模式的查询表的削减方法的构成图。
图10是说明本发明的安全保护仪表系统的系统第一自诊断方法的构成图。
图11是说明本发明的安全保护仪表系统的系统第二自诊断方法的构成图。
图12是说明本发明的安全保护仪表系统的信号分离方法的说明图。
图13是将第1安全保护仪表系统和第2安全保护仪表系统进行信号连接所构成的安全保护仪表系统的构成图。
图14是说明本发明的安全保护仪表系统中的功能单元的串行动作及其定时监视的验证·诊断方法的构成图。
图15是表示本发明的安全保护仪表系统中的输出定时的监视例的模式图。
图16是表示本发明的安全保护仪表系统中的功能单元连接例的构成图。
具体实施方式
下面参照图1~图9对本发明所涉及的核反应堆安全保护仪表系统的实施方式进行说明。
(实施例1)
图1表示本发明所涉及的安全保护仪表系统的实施例1的构成图。
在图1中,核反应堆内所设置的传感器1a、传感器1b的输出被输入到安全保护仪表系统2中,通过该安全保护仪表系统2,判断有无异常,并输出停堆(trip)信号。在安全保护仪表系统2的内部设置有将传感器1a、传感器1b的信号模拟地进行波形整形·放大后变换成数字值的AD元件3a、AD元件3b。AD元件3a、AD元件3b输出的数字值由滤波器电路4a、滤波器电路4b进行信号变换。该滤波器电路4a、滤波器电路4b组合构成多个功能单元5。在图1中,滤波器电路4a、滤波器电路4b、信号处理电路6、断开判断器7是功能模块。
下面对功能单元5的构成及作用进行说明。
功能单元5例如是从D触发器、闩锁器、8位解码器、8位计数器、8位串行并行变换器、8位·8位输入-加法器、8位·8位输入-乘法器、8位·8位-比较器等中选择的单元,相对功能单元5的所有输入模式的输出模式,是可以确认是否与设计规格所期待的预测值模式全部一致的逻辑。
在本实施例中,输入位数为8位,但是输入的位数实际上由可以测试的位数限制。通过采用对该所有输入模式进行验证的功能单元5,构筑内部各功能(功能模块)及全体核反应堆安全保护仪表系统,从而可以构筑能够对全体输入进行验证的、可靠性高的安全保护仪表系统。
图2表示对功能单元5a进行试验的构成图。此外,在以下的描述中,加在功能单元5上的英文字母用于区别构成不同的功能单元。而不加英文字母只写成功能单元5的,是表示对共同构成的描述。
如图2所示,将功能单元5a安装在实际硬件上,从信号发生器8输入信号。另一方面,功能单元5a的输出由信号接收器9测量,在判断装置10中比较相对对输入模式的预测值与所接收的信号,检测功能单元5a有无异常,如果对功能单元5a的所有输入模式未检测出异常,则认证为功能单元5a。
如上所述,通过安装在实际硬件FPGA上进行试验,可以同时验证逻辑合成工具及向FPGA的写入工具等市售软件的错误。
功能单元5的内部由AND电路、OR电路等FPGA元件硬件固有的基本要素构成。但是,在组合这些功能单元5来实现功能模块时,逻辑合成工具为了实施逻辑即基本要素组合的最优化,以与单体验证的逻辑构成不同的构成安装在硬件上。因此,选定逻辑合成工具或安装在FPGA上的配置布线工具的选项,使得在组合后不进行逻辑的最优化,并确认了在功能模块内部安装了与验证所用的逻辑构成相同的逻辑后,构筑各功能模块。
另外,在全体安全保护仪表系统完成之后,通过目视等观察内部的功能单元5是否与试验中使用的逻辑构成相同,确认安全保护仪表系统全体由所验证的功能单元5构成。
图3表示将功能单元5安装在滤波器电路4a中的构成图。这是安装了通过图2的构成进行试验的功能单元5a的功能模块。
功能单元5a通过采用由触发器输出信号的构成,可以在维持内部逻辑构成的状态下安装在功能模块中。例如,可以组合2个验证后的12位加法器来构成24位加法器,但是本发明的安全保护仪表系统为了维持12位加法器的逻辑构成,在每个12位加法器的输出上设置触发器。触发器是表示保持稳定状态而构成的2个电路。若考虑触发器以1个时钟工作,则这样构成的12位加法器的输出延迟2个时钟的量。
本发明的安全保护仪表系统将以1个时钟获得输出的多位输入的运算电路,分割成可进行功能验证的小位输入的功能单元5a、功能单元5b、功能单元5c,由多个时钟得到运算结果。通过这种构成,可以容易对全输入进行功能验证,也可以防止由各逻辑定时产生的错误。
即,在触发器间的逻辑组合中产生的延迟时间比驱动触发器的时钟长时,发生定时错误,但是,如本实施例的安全保护仪表系统那样,通过分割组合电路部分,可以缩短延迟时间,并可以单独验证定时。图3所示的构成由于根据功能单元的组合数而取得输出之前的时钟数不同,所以在执行2个信号的比较及相加等时,设置延迟元件11来调整定时。
图4表示功能单元间的时钟及数据交接的构成图。
为了降低功能单元5之间的数据传输时的定时错误,使结构为,将功能单元5内的触发器在同一时钟周期而且以时钟的上沿等同一定时进行驱动。
另一方面,在采用不同时钟周期时,如图4所示,在功能单元5b和信号处理电路6之间采用判断可不可以进行数据发送接收的信号交接,通过确保数据交接,可以消除由功能单元的连接引起的定时错误。
如上所述,根据本实施例的安全保护仪表系统,通过将全输入输出模式被验证后的功能单元在维持其内部逻辑构成的状态下装入各功能模块中,可以消除稳定的逻辑的缺陷。另外,通过功能单元内的触发器,也可以对另一个容易发生的错误即定时错误进行有定时冗余量的设计,也容易进行在功能模块内的定时验证。还可以通过在功能单元间的传输中采用信号交接,消除由这些连接引起的定时错误。
(实施例2)
实施例1的安全保护仪表系统由于功能单元内的逻辑正常动作,所以通过逻辑的正常连接也可以消除定时引起错误。但是,还有可能功能单元连接错误,或者软件方面内部存在设计规格中未记载的功能单元。作为解决这一情况的方法,表示出了本发明的安全保护仪表系统的实施例2。
图5表示描述实施例2的安全保护仪表系统所涉及的比较器的软件(VHDL语句)的一例。
功能单元5a在VHDL语言的描述中,通过端口语句调出。功能单元5a内的数值模式由于已预先验证,所以在VHDL语法上如果可以确认能正确调出功能单元5a,则可以判断功能单元正确连接。
即,在实施例2的构成中,如果能够验证图5的VHDL语句内的定义语句和除去估计异常时作成的冗余处理部分之后用于实际执行中的VHDL语句的动作,则可以确认功能单元的连接是正确的。
作为评价该VHDL语句有无执行的参数,一般使用称为覆盖率的参数。将表示由软件执行的VHDL语句相对整个VHDL语句的比例称为语句覆盖。另外,当有IF语句等的分支时,对成立或不成立双方进行计数,将表示执行路径数相对全体路径模式的参数称为分支覆盖,此外,功能单元5内部的信号按照(High→Low→High)这样变化的信号比例所表示参数是扣接覆盖(toggle coverage)。
实施例2的安全保护仪表系统以分支覆盖或扣接覆盖作为评价指标,制作使所有的分支条件动作的输入模式组,通过确认对该输入模式的输出与从设计规格求出的预测值是否一致,来验证功能单元连接是否正确进行。特别是扣接覆盖,在逻辑合成后的网络表上也可以评价覆盖率,具有难于受到逻辑合成影响的特征。
另外,也可以通过实施功能试验来确认功能单元5正常连接,该功能试验确认功能模块具有符合设计规格的功能。即,可以通过制作用于确认规格中记载的性能的输入模式组,将相对该输入组的输出与预测值进行比较,确认有无差异,来验证功能单元的连接。
在确认该功能模块功能的功能试验中,输入数字值,比较输出的数字值和预测值,检测有无差异。但是,在用数字值进行比较时,1个模式的试验所需要的时间为数u~数msec,很难迅速评价多个信号模式。
因此,如图6所示,通过AD元件13将模拟信号发生器12的信号输入到功能模块a。该输出通过DA元件14变换成模拟信号,通过模拟信号接收器15进行测量,与根据设计规格计算出的预测值进行比较,从而可以高速地对输出与预测值的有无差异进行比较评价。如本实施例所示,通过采用AD元件13、DA元件14的方法,与以数字值比较时相比,虽然不能检测微小差异,但对于通过检测影响测量的测量精度以上的大幅度变动来检测功能来说,是足够的。另外,由于可以高速地处理多个模式,所以对数字特有的不连续点及特异点的检测很有效。
接着,用图7、图8说明功能试验的测试模式选定方法。图7是验证滤波器功能模块时的输入信号大小选定方法的一例。图7所示的图表的纵轴模式地表示了数值的位宽度,横轴表示逻辑的处理数。
当在作为滤波器电路的功能模块内部的某一位数的某个处理步骤中产生错误时,滤波器电路是线性的,如果未进行值的限制,则如图7所示,错误向后级的处理传播。另外,当对输出进行DA变换并用模拟值评价时,由于DA元件及电路噪声的影响而不能测量输出的下位位数的变动。
因此,将输入的电平例如分割成T1~T4,通过在与各输入对应的输出范围进行测量,可以检测出数字值的全位(full bit)宽度的错误。即,根据输出中的错误识别精度,调整输入信号的大小(输入的电平),由此可以检测出滤波器内部内在的错误。
图8表示作为功能对频率特性进行试验时的频率测量点的选定方法的说明图。
数字滤波器如果在设计上满足不产生溢出的条件,则由于是线性时不变系统,所以可以用典型频率进行评价。另外,由于在取样频率的1/2处具有折返的特性,所以,以在取样频率的1/2以下的范围内进行检测为基础,在此之上,只确认取样频率的1/2倍数处出现谷值的情况。
图8的波形例表示在40MHz取样的低通滤波器上重叠了1MHz取样的高通滤波器后合计的频率特性。图8的实线表示1MHz的高通滤波器的频率特性,虚线表示合计的频率特性。
用实线表示的高通滤波器的频率特性由于是1MHz的取样,所以为在500KHz处频率特性折返的形状,如果验证该500MHz以下的区域A的频率范围的特性,就可以验证本高通滤波器的特性。
另一方面,用虚线表示的40MHz取样的低通滤波器需要在区域B中的20MHz以下的频带中验证其衰减特性。不过,由于高通滤波器的影响,在20MHz以下的频带中重复峰、谷的特性,所以选定相当于该峰的频率,通过评价该包络线,来验证低通滤波器的衰减特性。即,当验证数字滤波器的频率特性时,在取样频率的1/2处对频带进行分类,按照设计规格选定测量点。
如上所述,根据本实施例的安全保护仪表系统,通过制作以分支覆盖为100%的所有输入模式,依次确认相对各输入模式的输出模式,可以确认各功能模块内的功能单元全部正常连接。另外,通过确认各功能模块功能的功能试验,也可以确认功能单元正常连接。在功能试验中,通过采用AD元件、DA元件用模拟信号进行比较,可以对多个模式连续进行试验,使核反应堆安全仪表系统的性能验证变得很容易。
(实施例3)
图9表示通过乘法器16来验证相对全输入的输出模式时的测试范围。
在只将乘法器16作为功能单元的测试范围A′的情况下,由于乘法器的2个输入是16位,所以所有输入模式是2(16+16),用数日验证该模式是很困难的。但是,在估计了滤波器处理时,几乎都是对信号变量乘以一定常数的模式。
因此,如图9所示,本实施例的安全保护仪表系统用查询表(LUT)17选择常数,将常数输入到乘法器16。
这样构成的安全保护仪表系统在将功能单元作为测试范围B′的情况下,由于选择数据的地址是4位,所以测试范围B的输入位数为4+16=20位,这时的测试模式数为2(4+16),所以试验评价相对所有输入模式的输出变得很容易。
如上所述,根据本实施例的安全保护仪表系统,通过在功能单元内部设置查询表,可以削减所有输入模式数。
(实施例4)
图10表示由所验证的功能单元构成的核反应堆安全保护仪表系统中的自诊断功能的说明图。
由功能单元5构成的功能模块由于内装多个功能单元5,所以可延迟数个时钟得到输出。因此,输出时,与输出的数据一起正常结束时将动作标志传输给输出目的地的功能模块。该动作标志以接力形式在多个功能模块之间传递,用异常诊断电路18判断有无在断开判断器7中的动作标志,当在一定时间以上不存在动作标志的情况等与正常时的特性有很大不同的情况,输出动作不良。
另外,除了有无输出动作标志之外,如图11所示,用近似式计算出各功能模块的相对输入模式的输出模式的范围,当实际的输出值脱离该范围时,输出动作不良。
根据本实施例,由于以功能单元或功能模块为单位设定标志或数值范围,并设定了自诊断功能,所以可以防止在电站中设置之后所产生的缺陷。
(实施例5)
图12表示由逻辑模式已被验证的功能单元构成的核反应堆安全保护仪表系统中的信号分离方法的说明图。
该实施例5为了确保第1安全保护仪表系统2b和第2安全保护仪表系统2c的信号传输独立性而采用光传输。即,在信号传输端的第1安全保护仪表系统2b中,用DA元件14将传输数据变换成模拟信号,并将该模拟信号通过EO变换器(电·光信号变换器)19进行电·光变换,利用光强度或调制数据进行传输。另一方面,信号接收端的第2安全保护仪表系统2c通过OE变换器(光·电信号变换器)20对光强度数据或调制数据进行光·电变换之后,由AD元件13进行AD变换,变换成数字值。
另外,图13所示的构成为,在第1安全保护仪表系统2b中,将由FPGA处理的数字数据通过DA变换元件14一度变换成模拟信号后,再次用AD元件13变换成数字数据,将该数字数据用EO变换器19变换成光的数字数据进行传输。在第2安全保护仪表系统2c中,用OE变换器20将第1安全保护仪表系统2b的数字光数据变换成数字数据后,用于数字处理。
在将同一数字值分配给多个独立系统时,若在各系统中内部存在某个数据模式下进行误动作的软件,则可以考虑由于输入同一数据而同时故障的情况。因此,本实施例的安全保护仪表系统通过将数据变换成模拟值,在传输信号中加入噪声成分,可以防止同一数字数据同时传输给不同的系统。
根据本实施例的安全保护仪表系统,可以确保采用功能单元的核反应堆安全保护仪表系统的独立性,并且可以降低作为采用数字信号处理的安全系统课题的、发生共同方式故障的比例。
(实施例6)
图14表示本发明实施例6的安全保护仪表系统的基本构成图。
图14所示的安全保护仪表系统中,功能单元5a、功能单元5b、功能单元5c相互连接,这些功能单元存储在1个FPGA中。
这些功能单元间的信号传输通过触发器与时钟同步输出,但是其输出定时可以根据功能单元而有不同构成。在本实施例中,在图14中,功能单元5a的输出在输入到功能单元5b后,进行功能单元5b的信号处理,这样功能单元依次传递数据这种接力棒(baton)来进行处理。
通过在这样的构成中连接功能单元,监视接力棒(数据)的交接定时,可以进行处理动作本身的验证。即,设置图14所示的外部引线A21、外部引线B22、外部引线C23、外部引线D24,通过监视这些功能单元的信号,可以验证按设计的定时进行动作。此外,在动作过程中,通过监视各定时的变动,可以检测出动作的不当情况。
图15表示实际从FPGA的外部引线监视内部功能单元的输出定时的一例。图15的下方是输入信号,从上方开始依次表示外部引线A21、外部引线B22、外部引线C23、外部引线D24、外部引线E25的输出信号。
若在下方输入信号(数据),则从接近下方的逻辑开始依次传输信号,最后输出上方的输出段。以通过图15所示的多个逻辑信号来确认该信号传输的定时。该逻辑信号的定时是设计固有的,通过监视该逻辑信号的定时,可以验证是否安装了符合设计的逻辑。另外,在通常动作中,也可以通过另外设置监视这些逻辑信号的定时的功能,来监视动作中因异常加热等引起内部信号线的延迟时间增大所造成的逻辑运算的误动作。
以上,根据本实施例的安全保护仪表系统,各功能单元串行动作,依次传输该信号,通过监视该信号传输定时,可以验证在FPGA中是否安装了符合设计的逻辑。另外,作为异常判断方法,可以通过监视这些信号传输的顺序、定时,来构筑可靠性高的安全保护仪表系统。
(实施例7)
图16表示实施例7的安全保护仪表系统的构成图。
例如,图16所示的安全保护仪表系统中,4个相同的功能单元5串行连接,这些输出由触发器同步后输出。在这样构成的安全保护仪表系统中,通过验证各功能单元5是否与连接前的单体功能单元5是相同的逻辑构成,可保证在安全保护仪表系统上安装了与由单体功能单元5验证时相同的功能。
即,图16所示的安全保护仪表系统的各功能单元5的内部在在单体的试验时确认了性能的健全性。将这些功能单元5按图16进行连接,逻辑合成后通过目视等确认逻辑合成后仍维持该性能的情况,通过采用上述验证方法,保证安全保护仪表系统中的功能单元5的健全性。
工业实用性
根据本发明的安全保护仪表系统及其处理方法,通过防止在使用硬件逻辑的核反应堆安全系统中因逻辑错误及信号处理的定时所引起的错误,可以提高安全性,是在核反应堆运转上有很大利用可能性的发明。
Claims (15)
1、一种安全保护仪表系统,是使用数字逻辑构筑的核反应堆的安全保护仪表系统,其特征在于:
由功能单元、及组合上述功能单元所构成的功能模块来构成数字逻辑部分,该功能单元的相对输入的全部逻辑模式的输出逻辑模式已被预先验证。
2、如权利要求1所述的安全保护仪表系统,其特征在于:
上述功能单元将相对输入的全部逻辑模式的输出逻辑模式分别安装在硬件上,确认根据设计规格求出的预测值与输出值一致的情况。
3、如权利要求1所述的安全保护仪表系统,其特征在于:
上述功能模块只由具有与性能已被预先验证的功能单元相同的门结构的功能单元构成。
4、如权利要求1所述的安全保护仪表系统,其特征在于:
组合上述功能单元所构成的上述功能模块包括传播上述功能单元的输出的寄存器、及与上述功能单元的信号处理定时配合的延迟元件。
5、如权利要求1所述的安全保护仪表系统,其特征在于:
组合上述功能单元所构成的上述功能模块包括传播上述功能单元的输出的寄存器,并且具有信号交接单元,该信号交接单元对上述功能单元中的、驱动上述寄存器的时钟不同的功能单元之间的信号进行交接。
6、如权利要求1所述的安全保护仪表系统,其特征在于:
具有制作了硬件所执行的有效程序语句及执行动作路径的输入模式组的软件,并且具有评价上述输入模式的比例或上述输入模式数是否足够的分支覆盖或扣接覆盖,验证相对输入的输出与根据设计规格求出的预测值一致的情况,来确认功能单元间的连接。
7、如权利要求1所述的安全保护仪表系统,其特征在于:
制作与上述功能模块的设计规格对应的输入模式,确认上述功能模块的相对输入的输出与根据设计规格预测出的预测值一致的情况。
8、如权利要求1所述的安全保护仪表系统,其特征在于:
包括:AD元件,将与上述功能模块的设计规格对应的模拟信号模式进行数字变换后作为输入模式;及DA元件,将上述功能模块的相对输入的输出进行模拟变换后作为模拟值;确认上述模拟值与根据设计规格预测出的预测值一致的情况。
9、如权利要求1所述的安全保护仪表系统,其特征在于:
通过上述功能单元进行2个变量的相乘或比较,将2个变量的一个置换成可由位数比变量的位数少的地址指定的常数。
10、如权利要求1所述的安全保护仪表系统,其特征在于:
上述功能单元具有对表示动作正常结束的动作标志进行交接的功能,上述功能模块具有监视上述动作标志的功能,上述安全保护仪表系统具有:断开判断器,输入来自上述功能模块的输出,判断有无上述动作标志;及异常诊断电路,在没有上述动作标志时输出动作不良信号。
11、如权利要求1所述的安全保护仪表系统,其特征在于:
上述功能单元具有通过简略式计算出输出的最大值及最小值的功能、及对上述输出的最大值和最小值进行交接的功能,上述安全保护仪表系统具有:断开判断器,对上述输出的最大值和最小值的运算结果与信号值进行比较,判断信号值是妥当的值;及异常诊断电路,输出动作不良信号。
12、如权利要求1所述的安全保护仪表系统,其特征在于:
具有将数字输出变换成模拟值后变换成光的第1安全保护仪表系统、及将该光变换成模拟值后变换成数字值的第2安全保护仪表系统,并且信号连接上述第1安全保护仪表系统和上述第2安全保护仪表系统。
13、一种安全保护仪表系统的处理方法,是使用数字逻辑构筑的核反应堆的安全保护仪表系统的处理方法,其特征在于:
预先验证与向构成安全保护仪表系统的功能单元的全部输入逻辑模式相对的输出逻辑模式。
14、如权利要求13所述的安全保护仪表系统的处理方法,其特征在于:
使具有多个功能单元的安全保护仪表系统的各功能单元的数据处理按连接顺序串行动作,监视输出定时,来确认该信号被串行传输,并通过验证该输出定时符合设计,来验证安全保护仪表系统的性能。
15、如权利要求13所述的安全保护仪表系统的处理方法,其特征在于:
包括验证工序,该验证工序确认具有功能单元的安全保护仪表系统的上述功能单元是与验证上述功能单元性能时的内部结构相同的结构。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP061156/2004 | 2004-03-04 | ||
| JP2004061156A JP4371856B2 (ja) | 2004-03-04 | 2004-03-04 | 安全保護計装システムおよびその取扱方法 |
| PCT/JP2005/003728 WO2005086175A1 (ja) | 2004-03-04 | 2005-03-04 | 安全保護計装システムおよびその取扱方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1950911A true CN1950911A (zh) | 2007-04-18 |
| CN1950911B CN1950911B (zh) | 2010-12-22 |
Family
ID=34918046
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200580014317XA Expired - Fee Related CN1950911B (zh) | 2004-03-04 | 2005-03-04 | 安全保护仪表系统及其处理方法 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US7774187B2 (zh) |
| EP (2) | EP1727157A4 (zh) |
| JP (1) | JP4371856B2 (zh) |
| CN (1) | CN1950911B (zh) |
| WO (1) | WO2005086175A1 (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105244065A (zh) * | 2015-09-16 | 2016-01-13 | 北京广利核系统工程有限公司 | 一种基于fpga技术的核电站dcs控制站架构 |
| CN106855606A (zh) * | 2015-12-09 | 2017-06-16 | 岭东核电有限公司 | 一种核电站反应堆控制系统的crdm/rpi测试装置 |
| CN108877974A (zh) * | 2017-05-15 | 2018-11-23 | 斗山重工业建设有限公司 | 原子能发电站数字保护系统 |
| CN108986938A (zh) * | 2018-06-15 | 2018-12-11 | 国核自仪系统工程有限公司 | 核电站反应堆保护系统的停堆工况响应时间测试方法 |
Families Citing this family (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5057837B2 (ja) | 2007-04-26 | 2012-10-24 | 株式会社東芝 | 冗長化システムおよび冗長化システムの製造方法 |
| JP2010249559A (ja) * | 2009-04-13 | 2010-11-04 | Toshiba Corp | デジタル安全保護系システム |
| US20110047519A1 (en) * | 2009-05-11 | 2011-02-24 | Juan Andres Torres Robles | Layout Content Analysis for Source Mask Optimization Acceleration |
| JP5675208B2 (ja) * | 2010-08-06 | 2015-02-25 | 三菱重工業株式会社 | 原子力施設の制御システム |
| JP5675256B2 (ja) * | 2010-10-12 | 2015-02-25 | 三菱重工業株式会社 | 原子力施設の制御システム |
| KR101199625B1 (ko) | 2012-04-30 | 2012-12-11 | 인코어테크놀로지 주식회사 | 원자력 발전소의 디지털 신호 전자제어 처리를 위한 장치 및 방법 |
| CN102981431B (zh) * | 2012-11-15 | 2018-03-20 | 国核自仪系统工程有限公司 | 基于fpga的核电站多样性保护系统硬件架构 |
| JP6796373B2 (ja) * | 2015-09-25 | 2020-12-09 | 三菱重工業株式会社 | プラント運転システム及びプラント運転方法 |
| JP6721423B2 (ja) * | 2016-06-14 | 2020-07-15 | 株式会社日立製作所 | アプリロジックおよびその検証方法 |
| JP6663801B2 (ja) | 2016-06-15 | 2020-03-13 | 株式会社日立製作所 | 半導体lsi設計装置および設計方法 |
| CN106019350A (zh) * | 2016-06-24 | 2016-10-12 | 成都理工大学 | 一种核脉冲信号采集装置及系统 |
| CN107146647B (zh) * | 2017-04-20 | 2019-05-21 | 岭东核电有限公司 | 一种便携式中子检测装置 |
| JP7045921B2 (ja) | 2018-04-27 | 2022-04-01 | 株式会社日立製作所 | 半導体lsi設計装置および設計方法 |
| KR101914506B1 (ko) * | 2018-05-17 | 2018-11-02 | 주식회사 우진엔텍 | 원전 전자카드 정비를 위한 디지털 신호기반 아날로그 전원 제어장치 |
| KR102151439B1 (ko) * | 2020-06-04 | 2020-09-03 | 주식회사 오르비스 | 통합형 반도체식 논리제어식계통 전자카드 |
| SE544824C2 (en) | 2021-04-16 | 2022-12-06 | Bombardier Transp Gmbh | Digital output module |
| JPWO2023152853A1 (zh) * | 2022-02-10 | 2023-08-17 |
Family Cites Families (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPS4919029B1 (zh) * | 1968-11-01 | 1974-05-14 | ||
| GB1390004A (en) | 1972-03-27 | 1975-04-09 | Olin Corp | Laundering method using a biocidal composition comprising a mercaptopyridine-1-oxide compound and a quaternary ammonium compound |
| US4517154A (en) * | 1982-07-27 | 1985-05-14 | General Electric Company | Self-test subsystem for nuclear reactor protection system |
| DE68929518T2 (de) * | 1988-10-05 | 2005-06-09 | Quickturn Design Systems, Inc., Mountain View | Verfahren zur Verwendung einer elektronisch wiederkonfigurierbaren Gatterfeld-Logik und dadurch hergestelltes Gerät |
| JP2653522B2 (ja) | 1989-08-31 | 1997-09-17 | 株式会社東芝 | 原子炉中性子束監視装置 |
| US5832049A (en) | 1995-03-22 | 1998-11-03 | Metro; Bernard J. | Electric circuit for selectively processing electrical signals |
| US5621776A (en) * | 1995-07-14 | 1997-04-15 | General Electric Company | Fault-tolerant reactor protection system |
| US5805608A (en) * | 1996-10-18 | 1998-09-08 | Samsung Electronics Co., Ltd. | Clock generation for testing of integrated circuits |
| WO2000041101A1 (en) * | 1999-01-06 | 2000-07-13 | Simutech Corporation | Apparatus and method for verifying a multi-component electronic design |
| US6691079B1 (en) * | 1999-05-28 | 2004-02-10 | Ming-Chih Lai | Method and system for analyzing test coverage |
| US6587979B1 (en) * | 1999-10-18 | 2003-07-01 | Credence Systems Corporation | Partitionable embedded circuit test system for integrated circuit |
| US7133822B1 (en) * | 2001-03-29 | 2006-11-07 | Xilinx, Inc. | Network based diagnostic system and method for programmable hardware |
| JP4398600B2 (ja) | 2001-05-14 | 2010-01-13 | 株式会社東芝 | パルス計数率計 |
| JP2003287587A (ja) * | 2002-03-27 | 2003-10-10 | Toshiba Corp | プラント保護計装装置 |
| JP2004318254A (ja) | 2003-04-11 | 2004-11-11 | Toshiba Corp | 安全保護計測装置の試験装置 |
| JP4509489B2 (ja) | 2003-04-14 | 2010-07-21 | 株式会社東芝 | 安全保護用放射線測定監視装置 |
| JP4568143B2 (ja) * | 2005-02-28 | 2010-10-27 | 株式会社東芝 | 安全系装置の検証方法およびその検証方法で検証された安全系装置 |
-
2004
- 2004-03-04 JP JP2004061156A patent/JP4371856B2/ja not_active Expired - Lifetime
-
2005
- 2005-03-04 US US10/591,433 patent/US7774187B2/en active Active
- 2005-03-04 WO PCT/JP2005/003728 patent/WO2005086175A1/ja active Application Filing
- 2005-03-04 CN CN200580014317XA patent/CN1950911B/zh not_active Expired - Fee Related
- 2005-03-04 EP EP05720000A patent/EP1727157A4/en not_active Withdrawn
- 2005-03-04 EP EP11163241A patent/EP2355107A3/en not_active Ceased
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105244065A (zh) * | 2015-09-16 | 2016-01-13 | 北京广利核系统工程有限公司 | 一种基于fpga技术的核电站dcs控制站架构 |
| CN106855606A (zh) * | 2015-12-09 | 2017-06-16 | 岭东核电有限公司 | 一种核电站反应堆控制系统的crdm/rpi测试装置 |
| CN108877974A (zh) * | 2017-05-15 | 2018-11-23 | 斗山重工业建设有限公司 | 原子能发电站数字保护系统 |
| CN108986938A (zh) * | 2018-06-15 | 2018-12-11 | 国核自仪系统工程有限公司 | 核电站反应堆保护系统的停堆工况响应时间测试方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2355107A2 (en) | 2011-08-10 |
| JP2005249609A (ja) | 2005-09-15 |
| US7774187B2 (en) | 2010-08-10 |
| EP2355107A3 (en) | 2011-12-28 |
| US20070185700A1 (en) | 2007-08-09 |
| CN1950911B (zh) | 2010-12-22 |
| EP1727157A1 (en) | 2006-11-29 |
| EP1727157A4 (en) | 2008-11-19 |
| JP4371856B2 (ja) | 2009-11-25 |
| WO2005086175A1 (ja) | 2005-09-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1950911A (zh) | 安全保护仪表系统及其处理方法 | |
| Carpenter | Choosing among multiple equally parsimonious cladograms | |
| US20210335063A1 (en) | Fault code hierarchy system | |
| CN103076559B (zh) | 一种针对扫描测试中移位功耗的优化方法 | |
| JP6304767B2 (ja) | センサ監視装置、センサ監視方法、及びセンサ監視プログラム | |
| TWI510797B (zh) | 用於核心的全域低功率擷取方案之方法及系統 | |
| CA2837728A1 (en) | System and method for determining an optimum qc strategy for immediate release results | |
| CN103324890B (zh) | 对链接进行本地文件包含漏洞的检测方法和装置 | |
| CN110765699A (zh) | 一种压裂装备作业时健康状态的评估方法及装置 | |
| Liu et al. | On signal tracing for debugging speedpath-related electrical errors in post-silicon validation | |
| EP2546767B1 (en) | Digital circuit verification monitor | |
| CN103366119B (zh) | 病毒趋势异常的监控方法及装置 | |
| CN103617119A (zh) | 基于语句交互覆盖的回归测试用例选择方法 | |
| CN102156772A (zh) | 基于逻辑相容性的数字电路故障诊断方法及系统 | |
| CN103499452B (zh) | 发动机试车数据的自动判读方法 | |
| CN104382617B (zh) | 自动调节超声设备功耗的方法及系统 | |
| CN102541705B (zh) | 计算机的测试方法和工装板 | |
| US7865789B2 (en) | System and method for system-on-chip interconnect verification | |
| US10769331B2 (en) | Verification algorithm engine selection | |
| El Mandouh et al. | Accelerating the debugging of fv traces using k-means clustering techniques | |
| Berryhill et al. | A complete approach to unreachable state diagnosability via property directed reachability | |
| CN106528401B (zh) | 基于冗余结构的控制系统的拒动测试方法和装置 | |
| CN112633044A (zh) | 一种信号处理方法、装置及介质 | |
| US11544165B2 (en) | Method for locating and repairing intermittent faults in communication structures of an aircraft | |
| CN116992221B (zh) | 一种运维平台的故障检测方法、装置、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20101222 Termination date: 20190304 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |