基于FPGA技術的核安全級系統(tǒng)功能安全認證應用研究

馬書麗，孫 武

(中核控制系統(tǒng)工程有限公司，北京 102401)

0 引言

日本福島核事故發(fā)生后，全球核電安全性問題越來越突出，功能安全問題越來越得到世界各國的關注。功能安全認證是基于IEC 61508[1]及IEC 61511[2]等系列標準，對安全設備的安全完整性等級(safety integrity level,SIL)進行評估和確認的一種第三方評估、驗證和認證。系統(tǒng)或產品獲得安全完整性等級認證，就意味著其質量和安全性獲得了認可。這不僅可以提高企業(yè)的市場競爭力，也可以增強客戶對產品的信心。

本文主要基于現場可編程門陣列(field programmable gate array,FPGA)技術的核電廠安全級系統(tǒng)典型應用的功能安全認證流程和認證工作進行研究，提出符合基于FPGA技術核電廠反應堆保護系統(tǒng)功能安全認證流程，為今后國產自主化核電廠反應堆保護系統(tǒng)獲得國際認可打下良好的基礎。

1 功能安全認證

功能安全強調的是系統(tǒng)安全功能的正確執(zhí)行，主要包括管理和技術兩方面。在技術和管理上，要保證電氣/電子/可編程電子(electrical/electronic/programmable electronic,E/E/PE)安全系統(tǒng)、其他技術安全系統(tǒng)和外界風險降低設施功能的正確執(zhí)行。功能安全認證要求必須在技術上和管理上同時滿足相應的安全完整性等級的要求。安全完整性等級共劃分為4個等級。其中，SIL4為最高級，SIL1為最低級，依據IEC61508的要求；SIL1、SIL2可在組織內部由獨立團隊進行認證；SIL3和SIL4需要第三方認證機構進行認證。

①依據文件。

功能安全認證依據文件有法規(guī)和標準。

法規(guī)為國家安全監(jiān)管總局關于加強化工安全儀表系統(tǒng)管理的指導意見，相關標準為IEC 61508-1～7 Functional safety of electrical/electronic/programmable electronic safety-related systems、IEC 61511-1-～3 Functional safety-Safety instrumented systems for the process industry sector。

②安全級系統(tǒng)功能安全認證流程。

功能安全認證流程可分為概念階段審核、主檢階段審核、場內測試和型式試驗。按照工作內容，又可將功能安全認證劃分為安全設備開發(fā)流程的文檔管理評估、硬件可靠性計算和評估、軟件評估、型式試驗等內容。

結合實際開展功能安全認證的經驗，確定核電廠核安全系統(tǒng)功能安全認證流程如圖1所示。

圖1 核安全系統(tǒng)功能安全認證流程Fig.1 Nuclear safety system functional safety certification process

2 安全級系統(tǒng)安全生命周期模型

安全級系統(tǒng)包括硬件和邏輯兩部分。根據IEC 61508標準中規(guī)定的硬件安全生命周期和軟件安全生命周期，結合FPGA技術的特點和安全級系統(tǒng)整體開發(fā)流程，得到基于FPGA技術的核電廠安全級系統(tǒng)開發(fā)安全生命周期模型[3]。該模型包括需求分析、系統(tǒng)安全概念設計、模塊級安全概念設計、硬件詳細設計、邏輯詳細設計、硬件實現、邏輯實現、測試等重要階段。在開發(fā)安全生命周期的各階段，都有各自相關的功能安全活動和要求。

核安全系統(tǒng)安全生命周期模型如圖2所示。

圖2 核安全系統(tǒng)安全生命周期模型Fig.2 Safety life cycle model of nuclear safety system

3 安全級系統(tǒng)功能安全

功能安全認證的本質是對安全相關系統(tǒng)進行功能安全評估。其主要目的是調查并判斷E/E/PE安全相關系統(tǒng)所達到的功能安全，主要包括管理和技術兩個方面。一方面評估確保達到功能安全目的所必需的管理活動是否有效；另一方面評估安全儀表系統(tǒng)(safety iustrumentation system,SIS)是否達到了要求的安全完整性等級。關鍵工作如下。

3.1 功能安全管理

功能安全管理工作貫穿整個開發(fā)安全生命周期，是為達到功能安全要求對安全生命周期活動及參與活動的組織和資源等進行管理。功能安全管理確定整體的、硬件和軟件的安全生命周期所有階段的管理和技術活動的內容，并確定人員、部門和組織在安全生命周期各階段所承擔的責任。通過一系列的管理措施，保證每一個安全功能在整體開發(fā)安全生命周期中全部得到落實，以此保障系統(tǒng)要求的安全完整性。

①技術管理措施。

在開發(fā)生命周期每一開發(fā)階段進行設計審查和需求跟蹤分析，以確保硬件和軟件的自診斷措施、故障處理機制及隨機失效控制措施等被有效實現。設計審查由獨立于研發(fā)團隊之外的驗證與確認(verification and validation,V&V)團隊進行。V&V團隊成員資質需與研發(fā)人員水平同等或高于研發(fā)人員水平。同時，在每個階段結束時進行需求追蹤分析，確保每一個安全功能在下一階段被正確設計和考慮。在整個開發(fā)生命周期中，利用缺陷管理工具記錄開發(fā)和測試過程中出現的各種問題，以便在必要時對設計變更進行追蹤。

②文檔管理措施。

功能安全認證的基本工作就是對管理文件進行審核，從而確認實現系統(tǒng)功能安全要求的手段和依據是否充分合理、文件內容是否滿足系統(tǒng)整個安全生命周期各階段工作的要求、是否能為系統(tǒng)功能安全認證提供有力的審核依據。文件包括：體系文件、設計文件、測試文件、用戶手冊等。中核控制采用開源代碼的版本控制系統(tǒng)Subversion(SNV)，記錄文檔的每一次變動和版本更新，實現文檔版本的變更控制。

③本節(jié)小結。

建議在提交第三方機構審查前，由發(fā)起認證組織內部的功能安全審核專員對所有文檔信息的一致性和完整性進行二次審核，確保被審核文檔的正確性。

在開展需求跟蹤分析時，通常采用excel工具人為制作需求追蹤矩陣，使文檔需求、文檔設計、測試文檔條目化，便于前后追蹤。為保證需求追蹤工作的快速、高效開展，必要時采用需求追蹤分析軟件工具輔助開展。

3.2 硬件安全完整性分析

依據IEC 61508標準可知，硬件安全完整性評估是對系統(tǒng)安全完整性等級和硬件邏輯架構等信息的準確性進行確認的過程。硬件安全功能所聲明的最高安全完整性等級與故障率、安全失效分數和故障裕度等參數相關。硬件的安全完整性等級可通過要求時的失效率(probability of dangerous failure on demand,PFD)或每小時的失效概率(average frequency of dangerous failure per hour,PFH)等指標進行量化評估，也可以從系統(tǒng)架構和系統(tǒng)類型的角度對安全完整性等級進行定性分析[4]。

①硬件可靠性分析。

可靠性分析是開展硬件安全完整性等級定性分析和定量分析工作的基礎[5]。可靠性分析工作主要包括失效率預計、故障模式、影響及診斷分析(failure modes effects and diagnostic analysis,FMEDA)、共因故障分析等。硬件故障模式從失效后果和診斷結果角度綜合考慮，可分為危險可診失效、危險不可診失效、安全可診失效、安全不可診失效四種類型。反應堆保護系統(tǒng)依據SN 29500標準進行板級失效率預計，并將預計結果作為后續(xù)一系列可靠性分析工作的基礎數據；利用FMEDA方法，結合模塊原理圖、自診斷設計等文件，基于失效數據對模塊級產品的四種失效類型進行分析，并識別影響系統(tǒng)安全的關鍵故障模式，進而推算出模塊級產品的安全失效分數(safe failure fraction,SFF)；同時，依據IEC 61508 標準中的共因故障因子評估方法對反應堆保護系統(tǒng)(reactor protection system,RPS)的共因故障因子β進行評估。

②SIL定性分析。

硬件安全完整性定性分析是指通過分析硬件結構約束得到最高硬件的安全完整性等級。硬件結構約束主要包括反應堆保護系統(tǒng)的類型、故障裕度和SFF。按照IEC 61508標準規(guī)定的系統(tǒng)類型分類要求，核電廠反應堆保護系統(tǒng)目前通過可靠性分析的手段分析計算可診和不可診的危險失效率。因此，反應堆保護系統(tǒng)的硬件類型為B類；典型反應堆保護系統(tǒng)為2oo4冗余架構；根據失效率預計和FMEDA分析得到硬件子系統(tǒng)的安全失效分數SFF，且各模塊的SFF值均在66%～99%之間。依據IEC 61508.2標準中的硬件安全完整性等級與安全失效分數和故障裕度對照表，可評估判斷典型反應堆保護系統(tǒng)硬件的安全完整性等級。

③SIL定量分析。

硬件安全完整性定量分析是對RPS系統(tǒng)的PFD和PFH指標進行評估,從而驗證量化指標是否滿足系統(tǒng)功能安全完整性等級的要求。

參考IEC 61508-6標準中提供的1oo1、1oo2、1oo2D、2oo2、1oo3、2oo3架構的PFD和PFH的計算公式，對反應堆保護系統(tǒng)2oo4架構PFD和PFH公式進行推導，并根據計算結果從定量的角度推斷反應堆保護系統(tǒng)硬件的安全完整性等級。推導結果如下：

PPFD=24×λchannel∧3×t_CE×t_GE×t_G2E+β×

λ_DU×(T_1/2+MMRT)+β_D×λ_DD×MMTTR

PPFH=24×(1-β)×λ_DU×λchannel∧2×t_CE×

t_GE+β×λ_DU

自我效能感具有普遍性和具體性這兩種性質。自我效能感被認為是在某一特定行為、情境或任務中，人們經由這些行為、情景對自我目標達成能力的信念。自我效能感在人格特質中并不穩(wěn)定，他經常受一些行為、活動、情景影響。但是 又由于各項活動任務多領域的較差，自我效能感又具有了相對普遍的性質。

④本節(jié)小結

盡量保證所有系統(tǒng)功能安全相關的模塊在技術層面得以實現，避免出現由人因失誤造成功能安全失效的風險。由于功能安全認證過程繁瑣，且模塊級元器件數量多、數據量較大，采用標準數據庫進行計算。一旦基礎數據出現變更，其上層分析文檔均需要更新，且更新過程中容易出現更新不及時和更新遺漏等問題。同時，也可考慮采用相對成熟的功能安全評估軟件進行硬件安全完整性等級的評估，并以此建立相關數據庫。

3.3 軟件安全完整性分析

軟件與硬件相比，軟件沒有老化的過程，也不會出現隨機失效。因此，FPGA的功能安全要求也與硬件不同，其安全完整性等級無法用PFD或PFH進行量化。IEC 61508-3提供了一套完整的開發(fā)流程和一系列的技術措施，通過嚴格的質量管理與安全生命周期流程的控制，實現避免故障、檢測故障、排除故障及容忍故障的目的，以此保證軟件的安全完整性。

①FPGA故障避免措施。

對外圍電路和FPGA內部隨機存儲器(random access memory,RAM)和程序進行自診斷設計。診斷措施包括：獨立時基看門狗、循環(huán)冗余校驗(cyolic redundancy check,CRC)、奇偶校驗等；在典型核電廠反應堆保護系統(tǒng)FPGA開發(fā)過程中，對電路描述中使用的布爾表達式同時采用真值表仿真、狀態(tài)轉移仿真和人工檢查等；在寄存器轉換級(register transfer level,RTL)代碼設計完成之后，對代碼規(guī)則進行檢查，并進行功能仿真；分別在綜合階段和布局布線后兩次執(zhí)行門級網表與代碼的等效性檢查，如果有任何不一致時，則需要重新修改設計。

②開發(fā)和測試要求。

安全級系統(tǒng)安全生命周期中將軟件的開發(fā)和測試工作劃分為兩個獨立的工作流程，但兩項工作之間又存在一一對應的關系。在每個設計工作結束后，都會相應地開展測試工作，以便及時發(fā)現問題并迅速解決，從而在保證軟件可靠性前提下提高設計效率。

軟件開發(fā)和測試所用的工具必須符合功能安全認證的要求。必要時，由工具開發(fā)商提供所使用工具的功能安全的證書，或由使用方對該階段所使用的工具進行安全評估。主要評估內容包括工具使用范圍是否滿足功能安全需求、工具運行環(huán)境是否滿足工具本身對運行與安裝環(huán)境的要求、對使用人員進行培訓以保證用戶正確使用工具、對工具本身進行確認測試；對于符合IEC 61508中定義的T3類工具，則需要進一步根據IEC 61882《危險和可操作性(hazard and operability,HAZOP)分析應用指南》進行HAZOP分析。

③本節(jié)小結。

FPGA開發(fā)過程中，采用了RTL編寫規(guī)范，提高了代碼質量和可靠性；盡量使用已通過功能安全認證的開發(fā)和測試工具，從而減少功能安全認證的部分工作，縮短認證周期。

3.4 故障插入測試

故障插入測試是功能安全認證的關鍵環(huán)節(jié)。硬件故障插入測試是經過注入故障驗證RPS系統(tǒng)硬件功能是否滿足功能安全的要求。測試內容包含熱插拔電路、電壓監(jiān)控范圍等。軟件故障插入測試是經過修改代碼注入軟件故障驗證RPS系統(tǒng)軟件功能是否滿足功能安全的要求。測試內容包含RAM錯誤、外部鐵由存儲器(ferroelectric random access memory,FRAM)錯誤、系統(tǒng)配置信息錯誤等。

故障插入測試用例需覆蓋所有情況的分支，保證每一項功能安全相關功能均被驗證。硬件故障插入測試中部分測試具有破壞性，需要準備充足的備件，且硬件人員應具備過硬的開發(fā)測試能力。

3.5 型式試驗評估

安全級系統(tǒng)型式試驗的審核應當滿足IEC 61508標準和IEC 61511標準要求外，還應符合IEC 61326-3-1[6]及IEC 61131-2[7]標準的要求，試驗項嚴酷等級選擇IEC 61326-3-1及IEC 61131-2標準中最嚴格試驗要求。試驗過程根據IEC 61131-2及IEC 61326-3-1標準中試驗項要求，參考標準IEC 61000-4系列和IEC 60068-2系列執(zhí)行。性能合格判據選用IEC 61131-2及IEC 61326-3-1標準中最嚴格的判據。

功能安全認證要求選取的第三方實驗室應覆蓋IEC 61326-3-1及IEC 61131-2標準，且CNAS資質的范圍必須包含IEC 61326-3-1及IEC 61131-2標準要求核電廠安全級系統(tǒng)所需執(zhí)行的所有試驗項。經調研發(fā)現，目前國內具備CNAS資質且范圍覆蓋IEC 61326-3-1及IEC 61131-2標準的實驗室非常少，即便是某些實驗室的CNAS資質包含了IEC 61326-3-1及IEC 61131-2標準，但也只是覆蓋了IEC 61326-3-1及IEC 61131-2標準和核電廠安全級系統(tǒng)要求執(zhí)行的部分試驗項。國內實驗室CNAS資質普遍不能滿足核電廠反應堆保護系統(tǒng)功能安全認證型式試驗大綱的要求。因此，建議第三方實驗室充分考慮市場需求，并對此問題引起重視，并盡快獲得IEC 61326-3-1及IEC 61131-2相應的CNAS資質。

4 結論

本文基于FPGA技術的核電廠安全級系統(tǒng)的特點和實際功能安全認證過程中工作，提出了一些在功能安全認證流程和關鍵工作的意見和建議。本文所提出的流程和應用成果對于核電廠的安全級系統(tǒng)功能安全認證和安全完整性審核工作具有指導意義。同時，針對基于FPGA技術的安全級系統(tǒng)，經過功能安全認證后可有效確保經過功能安全認證的產品應用于安全級系統(tǒng)時的質量可靠性，為產品的其他認證提供有力佐證。