專利名稱:安全保護(hù)儀表系統(tǒng)及其處理方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種在核電站的安全保護(hù)系統(tǒng)等中使用的由可靠性高的數(shù)字信號(hào)處 理裝置構(gòu)成的安全保護(hù)儀表系統(tǒng)及其處理方法����。
背景技術(shù):
在核電站中����,為了在發(fā)生可能損害電站安全性的異常時(shí)����,或者在預(yù)測(cè)會(huì)發(fā)生異常 時(shí)�����,防止或抑制這種情況�,而設(shè)置了安全保護(hù)儀表系統(tǒng)。設(shè)置該安全保護(hù)儀表系統(tǒng)所涉及的 輻射儀表裝置的目的在于�,當(dāng)由于某種原因而使電站內(nèi)的輻射量上升時(shí),為了抑制放射性 物質(zhì)向電站外放出�����,而向各工作電路提供作為用于將輻射量上升的地方隔離或者使緊急用 氣體處理裝置工作的條件的信息�����。
在近些年來的電站中��,作為這種安全保護(hù)儀表系統(tǒng)所涉及的輻射儀表裝置�����,使用 了數(shù)字信號(hào)處理,由1個(gè)CPU對(duì)數(shù)字濾波器���、及多個(gè)信號(hào)進(jìn)行數(shù)字運(yùn)算(例如��,參照日本專 利第2653522號(hào)公報(bào))���。另外,也有不使用CPU而使用硬件邏輯即AS IC/FPGA (Application Specific Integrated Circuit/Field Programmable GateArray/ M 場(chǎng)可編程門陣列)的系統(tǒng)(例如�,參照美國(guó)專利第5859884號(hào)說明書)。該系統(tǒng)由于用ASIC 代替CPU對(duì)處理的步驟進(jìn)行控制�����,所以動(dòng)作簡(jiǎn)單��。
另一方面����,安全保護(hù)儀表系統(tǒng)從其重要性看,根據(jù)設(shè)備的多重化及獨(dú)立化的不同�, 要求防止設(shè)備因單一故障而喪失功能�����,在使用這樣的軟件的數(shù)字系統(tǒng)中,當(dāng)在冗余系統(tǒng)采 用同一軟件時(shí)�����,由于該軟件的缺陷���,有可能損傷設(shè)備的多重化功能�����。另外�����,由于數(shù)字處理是 離散處理��,所以與模擬元件相比����,當(dāng)不巧特定條件重疊時(shí)�����,因內(nèi)部缺陷而執(zhí)行產(chǎn)生特異輸出 等不能預(yù)期的動(dòng)作的可能性高��。
因此,在采用軟件的數(shù)字處理中���,要求通過設(shè)計(jì)及制作確保高品質(zhì)的品質(zhì)保障 活動(dòng)����、及對(duì)軟件缺陷產(chǎn)生的共同原因故障的排除和管理之外的變更的適當(dāng)保護(hù)措施�。特 別是作為防止軟件共同原因故障的方法,實(shí)施了驗(yàn)證及健全性確認(rèn)活動(dòng)(Verification &Validati0n 以下稱為V&V)���。V&V是由驗(yàn)證作業(yè)和健全性確認(rèn)作業(yè)構(gòu)成的用于保證品質(zhì)的 活動(dòng)����,該驗(yàn)證作業(yè)對(duì)在軟件設(shè)計(jì)及制作的各過程中從上位過程到下位過程正確反映了數(shù)字 型安全保護(hù)系統(tǒng)所要求的功能進(jìn)行確認(rèn)��,該健全性確認(rèn)作業(yè)對(duì)經(jīng)過驗(yàn)證作業(yè)后制作的系統(tǒng) 確認(rèn)正確實(shí)現(xiàn)了要求功能���。
另一方面����,采用ASIC或FPGA代替CPU的系統(tǒng)�,由于最終以固定布線邏輯構(gòu)成,所 以與CPU處理不同��,因處理是確定的����,所以處理時(shí)間也可以確定。因此���,采用這些FPGA的系 統(tǒng)由于可以看作是數(shù)字邏輯的半導(dǎo)體元件���,所以可以使用該試驗(yàn)方法驗(yàn)證系統(tǒng)。即�����,如果可 以將半導(dǎo)體元件的全輸入及對(duì)全內(nèi)部狀態(tài)的輸出與從設(shè)計(jì)規(guī)格計(jì)算出的預(yù)測(cè)值進(jìn)行比較����, 則由定時(shí)引起的缺陷以外的穩(wěn)定的輸入輸出特性完全可以驗(yàn)證。該驗(yàn)證方法稱為窮盡測(cè)試 (exhaustive testing)0
不過��,在實(shí)際的ASIC元件等中�,由于全輸入位數(shù)和元件內(nèi)部狀態(tài)的合計(jì)模式 (pattern)很龐大,所以將全輸入及對(duì)應(yīng)于全內(nèi)部狀態(tài)模式的輸出模式全都與預(yù)測(cè)值進(jìn)行比較是很困難的���。因此���,對(duì)有效地發(fā)現(xiàn)缺陷的輸入模式串進(jìn)行評(píng)價(jià)是很重要的����。例如��,對(duì)根 據(jù)元件內(nèi)部的邏輯模式進(jìn)行評(píng)價(jià)從而內(nèi)部寄存器一度工作的輸入模式組���、或者估計(jì)堆棧故 障的故障方式并可檢測(cè)該故障的輸入模式串進(jìn)行故障模擬�,來計(jì)算出���。
但是����,上述的驗(yàn)證方法只不過是對(duì)一部分輸入模式進(jìn)行試驗(yàn)����,所以存在不能對(duì)內(nèi) 部邏輯的組合所產(chǎn)生的缺陷、及在故障模擬中沒有估計(jì)到的故障進(jìn)行檢測(cè)的問題����。
另外,在將邏輯安裝在FPGA等硬件中的過程中,需要對(duì)硬件構(gòu)成進(jìn)行描述的軟件 及將其在實(shí)際的FPGA上的邏輯中展開的邏輯合成工具等通用軟件工具����。因此,為了排除市 面銷售軟件內(nèi)存在的缺陷��,必須從設(shè)計(jì)階段就確保很高的可靠性��。
如果能夠?qū)⑸鲜龅母F盡測(cè)試用于儀表系統(tǒng)的性能驗(yàn)證中���,則可以表示沒有靜態(tài)邏 輯錯(cuò)誤(確定的邏輯錯(cuò)誤),但是當(dāng)上述驗(yàn)證方法不能實(shí)施時(shí)��,需要進(jìn)行與現(xiàn)有軟件同等的 V&V等驗(yàn)證����。
不過,采用FPGA的系統(tǒng)與CPU處理不同�,處理是確定的,處理時(shí)間一般也可以確 定�。另外,用單一循環(huán)只能執(zhí)行單一的處理��,其特征是容易滿足用于構(gòu)成可靠性高的系統(tǒng)的 設(shè)計(jì)條件��。
如上所述,從儀表系統(tǒng)的驗(yàn)證性觀點(diǎn)看�����,在硬件邏輯上安裝核反應(yīng)堆安全系統(tǒng)的 優(yōu)點(diǎn)大����,但問題是,由于需要驗(yàn)證相對(duì)所有輸入模式的輸出模式�����,所以需要在相當(dāng)于窮盡測(cè) 試的驗(yàn)證水平上進(jìn)行確認(rèn)����。
因此,尋求了能夠容易地確認(rèn)相對(duì)輸入的輸出特性為所設(shè)計(jì)的那樣的系統(tǒng)及采用 該系統(tǒng)的驗(yàn)證方法�����。
另外����,除了上述的靜態(tài)邏輯錯(cuò)誤以外,還有由內(nèi)部的動(dòng)作定時(shí)引起的錯(cuò)誤��。例如, 當(dāng)因溫度等環(huán)境條件而使內(nèi)部邏輯間傳輸?shù)难舆t時(shí)間變動(dòng)時(shí)���,有可能由于周圍環(huán)境條件而 產(chǎn)生誤動(dòng)作���。另外,當(dāng)與外部等的非同步部分進(jìn)行數(shù)據(jù)交換時(shí)��,也有由于接收定時(shí)使值不確 定的情況�����。
為了防止這些由定時(shí)引起的錯(cuò)誤�,需要在設(shè)計(jì)階段通過定時(shí)模擬等進(jìn)行有冗余的 設(shè)計(jì)����,并且在與外部的接口部中,使用值不易變動(dòng)的同步化設(shè)計(jì)等一般的設(shè)計(jì)方法�。
S卩,在采用FPGA的安全系統(tǒng)中���,采用容易防止這些由定時(shí)引起的缺陷的結(jié)構(gòu)及試 驗(yàn)方法也是重要的���,尋求對(duì)這樣結(jié)構(gòu)的系統(tǒng)及試驗(yàn)方法的開發(fā)。
發(fā)明內(nèi)容
本發(fā)明是考慮到上述的情況而提出的,其目的在于提供一種安全保護(hù)儀表系統(tǒng)及 其處理方法���,可以防止在采用FPGA等硬件邏輯的核反應(yīng)堆安全保護(hù)儀表系統(tǒng)中的靜態(tài)邏 輯錯(cuò)誤及信號(hào)處理定時(shí)引起的錯(cuò)誤��。
本發(fā)明的安全保護(hù)儀表系統(tǒng)為了解決上述課題�,其特征在于在使用數(shù)字邏輯構(gòu) 筑的核反應(yīng)堆的安全保護(hù)儀表系統(tǒng)中��,由功能單元及組合上述功能單元所構(gòu)成的功能模塊 來構(gòu)成數(shù)字邏輯部分����,該功能單元的相對(duì)輸入的全部邏輯模式的輸出邏輯模式已被預(yù)先驗(yàn) 證。
具有上述特征的安全保護(hù)儀表系統(tǒng)可有以下形態(tài)�����。
上述功能單元也可以將相對(duì)輸入的全部邏輯模式的輸出邏輯模式分別安裝在硬 件上�,確認(rèn)根據(jù)設(shè)計(jì)規(guī)格求出的預(yù)測(cè)值與輸出值一致的情況。
5[0021]上述功能模塊也可以只由具有與性能已被預(yù)先驗(yàn)證的功能單元相同的門結(jié)構(gòu) (gate)的功能單元構(gòu)成�。
組合上述功能單元所構(gòu)成的上述功能模塊也可以包括傳播上述功能單元的輸出 的寄存器及與上述功能單元的信號(hào)處理定時(shí)配合的延遲元件。
組合上述功能單元所構(gòu)成的上述功能模塊也可以包括傳播上述功能單元的輸出 的寄存器����,并且具有信號(hào)交接單元,該信號(hào)交接單元對(duì)上述功能單元中的���、驅(qū)動(dòng)上述寄存器 的時(shí)鐘不同的功能單元之間的信號(hào)進(jìn)行交接(handshake)�。
具有制作了硬件所執(zhí)行的有效程序語(yǔ)句及執(zhí)行動(dòng)作路徑的輸入模式組的軟件,并 且具有評(píng)價(jià)上述輸入模式的比例或上述輸入模式數(shù)是否足夠的分支覆蓋或扣接覆蓋���,可以 驗(yàn)證相對(duì)輸入的輸出與根據(jù)設(shè)計(jì)規(guī)格求出的預(yù)測(cè)值一致的情況�����,來確認(rèn)功能單元間的連接����。
也可以構(gòu)成為�,制作與上述功能模塊的設(shè)計(jì)規(guī)格對(duì)應(yīng)的輸入模式���,確認(rèn)上述功能 模塊的相對(duì)輸入的輸出與根據(jù)設(shè)計(jì)規(guī)格預(yù)測(cè)出的預(yù)測(cè)值一致的情況�。
也可以包括AD元件�����,將與上述功能模塊的設(shè)計(jì)規(guī)格對(duì)應(yīng)的模擬信號(hào)模式進(jìn)行數(shù) 字變換后作為輸入模式�����;及DA元件,將上述功能模塊的相對(duì)輸入的輸出進(jìn)行模擬變換后作 為模擬值�;確認(rèn)上述模擬值與根據(jù)設(shè)計(jì)規(guī)格預(yù)測(cè)出的預(yù)測(cè)值一致的情況。
也可以通過上述功能單元進(jìn)行2個(gè)變量的相乘或比較�����,將2個(gè)變量的一個(gè)置換成 可由位數(shù)比變量的位數(shù)少的地址指定的常數(shù)���。
也可以是�,上述功能單元具有對(duì)表示動(dòng)作正常結(jié)束的動(dòng)作標(biāo)志進(jìn)行交接的功能��, 上述功能模塊具有監(jiān)視上述動(dòng)作標(biāo)志的功能��,并具有斷開判斷器�����,輸入來自上述功能模塊 的輸出�����,判斷有無上述動(dòng)作標(biāo)志���;及異常診斷電路�,在沒有上述動(dòng)作標(biāo)志時(shí)輸出動(dòng)作不良信號(hào)。
也可以是�����,上述功能單元具有通過簡(jiǎn)略式計(jì)算出輸出最大值及最小值的功能��、及 對(duì)上述輸出的最大值和最小值進(jìn)行交接的功能�,并具有斷開判斷器,對(duì)上述輸出的最大值 和最小值的運(yùn)算結(jié)果與信號(hào)值進(jìn)行比較�,判斷信號(hào)值是妥當(dāng)?shù)闹担患爱惓T\斷電路��,輸出動(dòng) 作不良信號(hào)���。
也可以是�,具有將數(shù)字輸出變換成模擬值后變換成光的第1安全保護(hù)儀表系統(tǒng)��、 及將該光變換成模擬值后變換成數(shù)字值的第2安全保護(hù)儀表系統(tǒng)��,并且信號(hào)連接上述第1 安全保護(hù)儀表系統(tǒng)和上述第2安全保護(hù)儀表系統(tǒng)�。
另外���,根據(jù)本發(fā)明�����,可以通過提供下述安全保護(hù)儀表系統(tǒng)的處理方法來達(dá)到上述 目的����,該安全保護(hù)儀表系統(tǒng)的處理方法是使用數(shù)字邏輯構(gòu)筑的核反應(yīng)堆的安全保護(hù)儀表系 統(tǒng)的處理方法,其特征在于預(yù)先驗(yàn)證與向構(gòu)成安全保護(hù)儀表系統(tǒng)的功能單元的全部輸入 邏輯模式相對(duì)的輸出邏輯模式��。
在上述方法中����,也可以是,使具有多個(gè)功能單元的安全保護(hù)儀表系統(tǒng)的各功能單 元的數(shù)據(jù)處理按連接順序串行動(dòng)作����,監(jiān)視輸出定時(shí),來確認(rèn)該信號(hào)被串行傳輸�,并通過驗(yàn)證 該輸出定時(shí)符合設(shè)計(jì),來驗(yàn)證安全保護(hù)儀表系統(tǒng)的性能����。
另外,也可以包括驗(yàn)證工序���,該驗(yàn)證工序確認(rèn)具有功能單元的安全保護(hù)儀表系統(tǒng) 的上述功能單元是與驗(yàn)證上述功能單元性能時(shí)的內(nèi)部結(jié)構(gòu)相同的結(jié)構(gòu)�����。
根據(jù)具有上述特征的本發(fā)明的安全保護(hù)儀表系統(tǒng)及其處理方法���,通過防止在使用硬件邏輯的核反應(yīng)堆安全系統(tǒng)中的邏輯錯(cuò)誤及信號(hào)處理定時(shí)所引起的錯(cuò)誤���,可以提高安全 性。
圖1是由輸入輸出特性被驗(yàn)證的功能單元構(gòu)成的本發(fā)明的安全保護(hù)儀表系統(tǒng)的 構(gòu)成圖�。
圖2是驗(yàn)證功能單元的輸入輸出特性的試驗(yàn)方法的構(gòu)成圖。
圖3是說明功能模塊內(nèi)部構(gòu)成的構(gòu)成圖�����。
圖4是說明功能模塊的時(shí)鐘同步����、及非同步部分的信號(hào)交接的信號(hào)傳輸?shù)臉?gòu)成 圖。
圖5是說明以分支覆蓋為指標(biāo)的結(jié)構(gòu)測(cè)試的構(gòu)成圖���。
圖6是通過AD元件及DA元件驗(yàn)證信號(hào)的構(gòu)成圖。
圖7是調(diào)整輸入信號(hào)電平來驗(yàn)證錯(cuò)誤的構(gòu)成圖����。
圖8是驗(yàn)證信號(hào)頻率特性的構(gòu)成圖����。
圖9是說明功能單元的試驗(yàn)?zāi)J降牟樵儽淼南鳒p方法的構(gòu)成圖����。
圖10是說明本發(fā)明的安全保護(hù)儀表系統(tǒng)的系統(tǒng)第一自診斷方法的構(gòu)成圖。
圖11是說明本發(fā)明的安全保護(hù)儀表系統(tǒng)的系統(tǒng)第二自診斷方法的構(gòu)成圖���。
圖12是說明本發(fā)明的安全保護(hù)儀表系統(tǒng)的信號(hào)分離方法的說明圖����。
圖13是將第1安全保護(hù)儀表系統(tǒng)和第2安全保護(hù)儀表系統(tǒng)進(jìn)行信號(hào)連接所構(gòu)成 的安全保護(hù)儀表系統(tǒng)的構(gòu)成圖�。
圖14是說明本發(fā)明的安全保護(hù)儀表系統(tǒng)中的功能單元的串行動(dòng)作及其定時(shí)監(jiān)視 的驗(yàn)證 診斷方法的構(gòu)成圖。
圖15是表示本發(fā)明的安全保護(hù)儀表系統(tǒng)中的輸出定時(shí)的監(jiān)視例的模式圖���。
圖16是表示本發(fā)明的安全保護(hù)儀表系統(tǒng)中的功能單元連接例的構(gòu)成圖�����。
具體實(shí)施方式
下面參照?qǐng)D1 圖9對(duì)本發(fā)明所涉及的核反應(yīng)堆安全保護(hù)儀表系統(tǒng)的實(shí)施方式進(jìn) 行說明���。
(實(shí)施例1)
圖1表示本發(fā)明所涉及的安全保護(hù)儀表系統(tǒng)的實(shí)施例1的構(gòu)成圖。
在圖1中,核反應(yīng)堆內(nèi)所設(shè)置的傳感器la�����、傳感器Ib的輸出被輸入到安全保護(hù)儀 表系統(tǒng)2中���,通過該安全保護(hù)儀表系統(tǒng)2��,判斷有無異常���,并輸出停堆(trip)信號(hào)。在安全 保護(hù)儀表系統(tǒng)2的內(nèi)部設(shè)置有將傳感器la�、傳感器Ib的信號(hào)模擬地進(jìn)行波形整形 放大后 變換成數(shù)字值的AD元件3a、AD元件3b�。AD元件3a、AD元件3b輸出的數(shù)字值由濾波器電 路4a����、濾波器電路4b進(jìn)行信號(hào)變換。該濾波器電路4a����、濾波器電路4b組合構(gòu)成多個(gè)功能 單元5。在圖1中���,濾波器電路4a���、濾波器電路4b、信號(hào)處理電路6�����、斷開判斷器7是功能模 塊����。
下面對(duì)功能單元5的構(gòu)成及作用進(jìn)行說明。
功能單元5例如是從D觸發(fā)器����、閂鎖器、8位解碼器����、8位計(jì)數(shù)器、8位串行并行變換器���、8位·8位輸入-加法器��、8位·8位輸入-乘法器���、8位·8位-比較器等中選擇的單元��, 相對(duì)功能單元5的所有輸入模式的輸出模式��,是可以確認(rèn)是否與設(shè)計(jì)規(guī)格所期待的預(yù)測(cè)值 模式全部一致的邏輯���。
在本實(shí)施例中,輸入位數(shù)為8位��,但是輸入的位數(shù)實(shí)際上由可以測(cè)試的位數(shù)限 制��。通過采用對(duì)該所有輸入模式進(jìn)行驗(yàn)證的功能單元5�����,構(gòu)筑內(nèi)部各功能(功能模塊)及全 體核反應(yīng)堆安全保護(hù)儀表系統(tǒng)��,從而可以構(gòu)筑能夠?qū)θw輸入進(jìn)行驗(yàn)證的����、可靠性高的安 全保護(hù)儀表系統(tǒng)。
圖2表示對(duì)功能單元5a進(jìn)行試驗(yàn)的構(gòu)成圖�。此外,在以下的描述中���,加在功能單 元5上的英文字母用于區(qū)別構(gòu)成不同的功能單元����。而不加英文字母只寫成功能單元5的, 是表示對(duì)共同構(gòu)成的描述���。
如圖2所示,將功能單元5a安裝在實(shí)際硬件上���,從信號(hào)發(fā)生器8輸入信號(hào)���。另一 方面,功能單元5a的輸出由信號(hào)接收器9測(cè)量��,在判斷裝置10中比較相對(duì)對(duì)輸入模式的預(yù) 測(cè)值與所接收的信號(hào)����,檢測(cè)功能單元5a有無異常,如果對(duì)功能單元5a的所有輸入模式未檢 測(cè)出異常�,則認(rèn)證為功能單元5a。
如上所述���,通過安裝在實(shí)際硬件FPGA上進(jìn)行試驗(yàn)�����,可以同時(shí)驗(yàn)證邏輯合成工具及 向FPGA的寫入工具等市售軟件的錯(cuò)誤��。
功能單元5的內(nèi)部由AND電路�����、OR電路等FPGA元件硬件固有的基本要素構(gòu)成�����。 但是��,在組合這些功能單元5來實(shí)現(xiàn)功能模塊時(shí)��,邏輯合成工具為了實(shí)施邏輯即基本要素 組合的最優(yōu)化�����,以與單體驗(yàn)證的邏輯構(gòu)成不同的構(gòu)成安裝在硬件上���。因此�,選定邏輯合成工 具或安裝在FPGA上的配置布線工具的選項(xiàng)�����,使得在組合后不進(jìn)行邏輯的最優(yōu)化,并確認(rèn)了 在功能模塊內(nèi)部安裝了與驗(yàn)證所用的邏輯構(gòu)成相同的邏輯后���,構(gòu)筑各功能模塊���。
另外,在全體安全保護(hù)儀表系統(tǒng)完成之后�����,通過目視等觀察內(nèi)部的功能單元5是 否與試驗(yàn)中使用的邏輯構(gòu)成相同�����,確認(rèn)安全保護(hù)儀表系統(tǒng)全體由所驗(yàn)證的功能單元5構(gòu) 成����。
圖3表示將功能單元5安裝在濾波器電路4a中的構(gòu)成圖��。這是安裝了通過圖2 的構(gòu)成進(jìn)行試驗(yàn)的功能單元5a的功能模塊�����。
功能單元5a通過采用由觸發(fā)器輸出信號(hào)的構(gòu)成,可以在維持內(nèi)部邏輯構(gòu)成的狀 態(tài)下安裝在功能模塊中����。例如,可以組合2個(gè)驗(yàn)證后的12位加法器來構(gòu)成24位加法器����,但 是本發(fā)明的安全保護(hù)儀表系統(tǒng)為了維持12位加法器的邏輯構(gòu)成,在每個(gè)12位加法器的輸 出上設(shè)置觸發(fā)器���。觸發(fā)器是表示保持穩(wěn)定狀態(tài)而構(gòu)成的2個(gè)電路���。若考慮觸發(fā)器以1個(gè)時(shí) 鐘工作,則這樣構(gòu)成的12位加法器的輸出延遲2個(gè)時(shí)鐘的量�。
本發(fā)明的安全保護(hù)儀表系統(tǒng)將以1個(gè)時(shí)鐘獲得輸出的多位輸入的運(yùn)算電路,分割 成可進(jìn)行功能驗(yàn)證的小位輸入的功能單元5a���、功能單元5b�����、功能單元5c���,由多個(gè)時(shí)鐘得到 運(yùn)算結(jié)果�。通過這種構(gòu)成����,可以容易對(duì)全輸入進(jìn)行功能驗(yàn)證,也可以防止由各邏輯定時(shí)產(chǎn)生 的錯(cuò)誤��。
S卩���,在觸發(fā)器間的邏輯組合中產(chǎn)生的延遲時(shí)間比驅(qū)動(dòng)觸發(fā)器的時(shí)鐘長(zhǎng)時(shí)�,發(fā)生定 時(shí)錯(cuò)誤���,但是,如本實(shí)施例的安全保護(hù)儀表系統(tǒng)那樣����,通過分割組合電路部分,可以縮短延 遲時(shí)間����,并可以單獨(dú)驗(yàn)證定時(shí)。圖3所示的構(gòu)成由于根據(jù)功能單元的組合數(shù)而取得輸出之 前的時(shí)鐘數(shù)不同�,所以在執(zhí)行2個(gè)信號(hào)的比較及相加等時(shí),設(shè)置延遲元件11來調(diào)整定時(shí)����。[0067]圖4表示功能單元間的時(shí)鐘及數(shù)據(jù)交接的構(gòu)成圖����。
為了降低功能單元5之間的數(shù)據(jù)傳輸時(shí)的定時(shí)錯(cuò)誤�����,使結(jié)構(gòu)為�����,將功能單元5內(nèi)的 觸發(fā)器在同一時(shí)鐘周期而且以時(shí)鐘的上沿等同一定時(shí)進(jìn)行驅(qū)動(dòng)�。
另一方面,在采用不同時(shí)鐘周期時(shí)�,如圖4所示,在功能單元5b和信號(hào)處理電路6 之間采用判斷可不可以進(jìn)行數(shù)據(jù)發(fā)送接收的信號(hào)交接�����,通過確保數(shù)據(jù)交接����,可以消除由功 能單元的連接引起的定時(shí)錯(cuò)誤。
如上所述,根據(jù)本實(shí)施例的安全保護(hù)儀表系統(tǒng)����,通過將全輸入輸出模式被驗(yàn)證后 的功能單元在維持其內(nèi)部邏輯構(gòu)成的狀態(tài)下裝入各功能模塊中,可以消除穩(wěn)定的邏輯的缺 陷��。另外��,通過功能單元內(nèi)的觸發(fā)器���,也可以對(duì)另一個(gè)容易發(fā)生的錯(cuò)誤即定時(shí)錯(cuò)誤進(jìn)行有定 時(shí)冗余量的設(shè)計(jì)��,也容易進(jìn)行在功能模塊內(nèi)的定時(shí)驗(yàn)證��。還可以通過在功能單元間的傳輸 中采用信號(hào)交接����,消除由這些連接引起的定時(shí)錯(cuò)誤�����。
(實(shí)施例2)
實(shí)施例1的安全保護(hù)儀表系統(tǒng)由于功能單元內(nèi)的邏輯正常動(dòng)作��,所以通過邏輯的 正常連接也可以消除定時(shí)引起錯(cuò)誤��。但是�����,還有可能功能單元連接錯(cuò)誤��,或者軟件方面內(nèi)部 存在設(shè)計(jì)規(guī)格中未記載的功能單元�。作為解決這一情況的方法,表示出了本發(fā)明的安全保 護(hù)儀表系統(tǒng)的實(shí)施例2����。
圖5表示描述實(shí)施例2的安全保護(hù)儀表系統(tǒng)所涉及的比較器的軟件(VHDL語(yǔ)句) 的一例。
功能單元5a在VHDL語(yǔ)言的描述中����,通過端口語(yǔ)句調(diào)出。功能單元5a內(nèi)的數(shù)值模 式由于已預(yù)先驗(yàn)證��,所以在VHDL語(yǔ)法上如果可以確認(rèn)能正確調(diào)出功能單元5a�,則可以判 斷功能單元正確連接。
S卩����,在實(shí)施例2的構(gòu)成中,如果能夠驗(yàn)證圖5的VHDL語(yǔ)句內(nèi)的定義語(yǔ)句和除去估 計(jì)異常時(shí)作成的冗余處理部分之后用于實(shí)際執(zhí)行中的VHDL語(yǔ)句的動(dòng)作�,則可以確認(rèn)功能 單元的連接是正確的��。
作為評(píng)價(jià)該VHDL語(yǔ)句有無執(zhí)行的參數(shù)����,一般使用稱為覆蓋率的參數(shù)�。將表示由軟 件執(zhí)行的VHDL語(yǔ)句相對(duì)整個(gè)VHDL語(yǔ)句的比例稱為語(yǔ)句覆蓋。另外�����,當(dāng)有IF語(yǔ)句等的分支 時(shí)�,對(duì)成立或不成立雙方進(jìn)行計(jì)數(shù),將表示執(zhí)行路徑數(shù)相對(duì)全體路徑模式的參數(shù)稱為分支 覆蓋�,此外,功能單元5內(nèi)部的信號(hào)按照(High —Low —High)這樣變化的信號(hào)比例所表示 參數(shù)是扣接覆蓋(toggle coverage)����。
實(shí)施例2的安全保護(hù)儀表系統(tǒng)以分支覆蓋或扣接覆蓋作為評(píng)價(jià)指標(biāo),制作使所有 的分支條件動(dòng)作的輸入模式組�,通過確認(rèn)對(duì)該輸入模式的輸出與從設(shè)計(jì)規(guī)格求出的預(yù)測(cè)值 是否一致,來驗(yàn)證功能單元連接是否正確進(jìn)行��。特別是扣接覆蓋�����,在邏輯合成后的網(wǎng)絡(luò)表上 也可以評(píng)價(jià)覆蓋率��,具有難于受到邏輯合成影響的特征��。
另外���,也可以通過實(shí)施功能試驗(yàn)來確認(rèn)功能單元5正常連接�,
該功能試驗(yàn)確認(rèn)功能模塊具有符合設(shè)計(jì)規(guī)格的功能��。即�����,可以通過制作用于確認(rèn) 規(guī)格中記載的性能的輸入模式組���,將相對(duì)該輸入組的輸出與預(yù)測(cè)值進(jìn)行比較����,確認(rèn)有無差 異���,來驗(yàn)證功能單元的連接��。
在確認(rèn)該功能模塊功能的功能試驗(yàn)中�����,輸入數(shù)字值��,比較輸出的數(shù)字值和預(yù)測(cè) 值����,檢測(cè)有無差異。但是�����,在用數(shù)字值進(jìn)行比較時(shí)�,1個(gè)模式的試驗(yàn)所需要的時(shí)間為數(shù)u 數(shù)
9msec,很難迅速評(píng)價(jià)多個(gè)信號(hào)模式��。
因此��,如圖6所示�,通過AD元件13將模擬信號(hào)發(fā)生器12的信號(hào)輸入到功能模塊 a。該輸出通過DA元件14變換成模擬信號(hào)�,通過模擬信號(hào)接收器15進(jìn)行測(cè)量,與根據(jù)設(shè) 計(jì)規(guī)格計(jì)算出的預(yù)測(cè)值進(jìn)行比較����,從而可以高速地對(duì)輸出與預(yù)測(cè)值的有無差異進(jìn)行比較評(píng) 價(jià)����。如本實(shí)施例所示����,通過采用AD元件13�����、DA元件14的方法�����,與以數(shù)字值比較時(shí)相比��,雖 然不能檢測(cè)微小差異��,但對(duì)于通過檢測(cè)影響測(cè)量的測(cè)量精度以上的大幅度變動(dòng)來檢測(cè)功能 來說����,是足夠的。另外���,由于可以高速地處理多個(gè)模式�,所以對(duì)數(shù)字特有的不連續(xù)點(diǎn)及特異 點(diǎn)的檢測(cè)很有效。
接著�,用圖7、圖8說明功能試驗(yàn)的測(cè)試模式選定方法��。圖7是驗(yàn)證濾波器功能模 塊時(shí)的輸入信號(hào)大小選定方法的一例�。圖7所示的圖表的縱軸模式地表示了數(shù)值的位寬 度,橫軸表示邏輯的處理數(shù)���。
當(dāng)在作為濾波器電路的功能模塊內(nèi)部的某一位數(shù)的某個(gè)處理步驟中產(chǎn)生錯(cuò)誤時(shí)�����, 濾波器電路是線性的���,如果未進(jìn)行值的限制,則如圖7所示�,錯(cuò)誤向后級(jí)的處理傳播。另外��, 當(dāng)對(duì)輸出進(jìn)行DA變換并用模擬值評(píng)價(jià)時(shí)�����,由于DA元件及電路噪聲的影響而不能測(cè)量輸出 的下位位數(shù)的變動(dòng)。
因此�,將輸入的電平例如分割成Tl T4,通過在與各輸入對(duì)應(yīng)的輸出范圍進(jìn)行測(cè) 量����,可以檢測(cè)出數(shù)字值的全位(full bit)寬度的錯(cuò)誤。即����,根據(jù)輸出中的錯(cuò)誤識(shí)別精度�����,調(diào) 整輸入信號(hào)的大小(輸入的電平)��,由此可以檢測(cè)出濾波器內(nèi)部?jī)?nèi)在的錯(cuò)誤�。
圖8表示作為功能對(duì)頻率特性進(jìn)行試驗(yàn)時(shí)的頻率測(cè)量點(diǎn)的選定方法的說明圖。
數(shù)字濾波器如果在設(shè)計(jì)上滿足不產(chǎn)生溢出的條件�����,則由于是線性時(shí)不變系統(tǒng)�,所 以可以用典型頻率進(jìn)行評(píng)價(jià)。另外���,由于在取樣頻率的1/2處具有折返的特性��,所以��,以在 取樣頻率的1/2以下的范圍內(nèi)進(jìn)行檢測(cè)為基礎(chǔ)�����,在此之上����,只確認(rèn)取樣頻率的1/2倍數(shù)處出 現(xiàn)谷值的情況。
圖8的波形例表示在40MHz取樣的低通濾波器上重疊了 IMHz取樣的高通濾波器 后合計(jì)的頻率特性����。圖8的實(shí)線表示IMHz的高通濾波器的頻率特性,虛線表示合計(jì)的頻率 特性���。
用實(shí)線表示的高通濾波器的頻率特性由于是IMHz的取樣�,所以為在500KHZ處頻 率特性折返的形狀�,如果驗(yàn)證該500MHz以下的區(qū)域A的頻率范圍的特性,就可以驗(yàn)證本高 通濾波器的特性���。
另一方面���,用虛線表示的40MHz取樣的低通濾波器需要在區(qū)域B中的20MHz以下 的頻帶中驗(yàn)證其衰減特性����。不過��,由于高通濾波器的影響���,在20MHz以下的頻帶中重復(fù)峰��、 谷的特性�����,所以選定相當(dāng)于該峰的頻率,通過評(píng)價(jià)該包絡(luò)線����,來驗(yàn)證低通濾波器的衰減特 性。即��,當(dāng)驗(yàn)證數(shù)字濾波器的頻率特性時(shí)�,在取樣頻率的1/2處對(duì)頻帶進(jìn)行分類,按照設(shè)計(jì) 規(guī)格選定測(cè)量點(diǎn)��。
如上所述,根據(jù)本實(shí)施例的安全保護(hù)儀表系統(tǒng)�����,通過制作以分支覆蓋為100 %的所 有輸入模式�����,依次確認(rèn)相對(duì)各輸入模式的輸出模式����,可以確認(rèn)各功能模塊內(nèi)的功能單元全 部正常連接。另外��,通過確認(rèn)各功能模塊功能的功能試驗(yàn)��,也可以確認(rèn)功能單元正常連接�。 在功能試驗(yàn)中,通過采用AD元件���、DA元件用模擬信號(hào)進(jìn)行比較�����,可以對(duì)多個(gè)模式連續(xù)進(jìn)行 試驗(yàn)�����,使核反應(yīng)堆安全儀表系統(tǒng)的性能驗(yàn)證變得很容易�����。
10[0091](實(shí)施例3)
圖9表示通過乘法器16來驗(yàn)證相對(duì)全輸入的輸出模式時(shí)的測(cè)試范圍��。
在只將乘法器16作為功能單元的測(cè)試范圍A'的情況下��,由于乘法器的2個(gè)輸入 是16位�,所以所有輸入模式是2(16+16),用數(shù)日驗(yàn)證該模式是很困難的�。但是,在估計(jì)了濾波 器處理時(shí)��,幾乎都是對(duì)信號(hào)變量乘以一定常數(shù)的模式�。
因此�����,如圖9所示����,本實(shí)施例的安全保護(hù)儀表系統(tǒng)用查詢表(LUT) 17選擇常數(shù)��,將 常數(shù)輸入到乘法器16��。
這樣構(gòu)成的安全保護(hù)儀表系統(tǒng)在將功能單元作為測(cè)試范圍B'的情況下�,由于選 擇數(shù)據(jù)的地址是4位�����,所以測(cè)試范圍B的輸入位數(shù)為4+16 = 20位��,這時(shí)的測(cè)試模式數(shù)為 2(4+16)���,所以試驗(yàn)評(píng)價(jià)相對(duì)所有輸入模式的輸出變得很容易����。
如上所述��,根據(jù)本實(shí)施例的安全保護(hù)儀表系統(tǒng)�����,通過在功能單元內(nèi)部設(shè)置查詢表�����, 可以削減所有輸入模式數(shù)。
(實(shí)施例4)
圖10表示由所驗(yàn)證的功能單元構(gòu)成的核反應(yīng)堆安全保護(hù)儀表系統(tǒng)中的自診斷功 能的說明圖�。
由功能單元5構(gòu)成的功能模塊由于內(nèi)裝多個(gè)功能單元5,所以可延遲數(shù)個(gè)時(shí)鐘 得到輸出�。因此,輸出時(shí)��,與輸出的數(shù)據(jù)一起正常結(jié)束時(shí)將動(dòng)作標(biāo)志傳輸給輸出目的地的功 能模塊�。該動(dòng)作標(biāo)志以接力形式在多個(gè)功能模塊之間傳遞,用異常診斷電路18判斷有無在 斷開判斷器7中的動(dòng)作標(biāo)志��,當(dāng)在一定時(shí)間以上不存在動(dòng)作標(biāo)志的情況等與正常時(shí)的特性 有很大不同的情況�,輸出動(dòng)作不良。
另外�����,除了有無輸出動(dòng)作標(biāo)志之外����,如圖11所示,用近似式計(jì)算出各功能模塊的 相對(duì)輸入模式的輸出模式的范圍��,當(dāng)實(shí)際的輸出值脫離該范圍時(shí)���,輸出動(dòng)作不良�����。
根據(jù)本實(shí)施例���,由于以功能單元或功能模塊為單位設(shè)定標(biāo)志或數(shù)值范圍,并設(shè)定 了自診斷功能�����,所以可以防止在電站中設(shè)置之后所產(chǎn)生的缺陷�����。
(實(shí)施例5)
圖12表示由邏輯模式已被驗(yàn)證的功能單元構(gòu)成的核反應(yīng)堆安全保護(hù)儀表系統(tǒng)中 的信號(hào)分離方法的說明圖�����。
該實(shí)施例5為了確保第1安全保護(hù)儀表系統(tǒng)2b和第2安全保護(hù)儀表系統(tǒng)2c的信 號(hào)傳輸獨(dú)立性而采用光傳輸�����。即�����,在信號(hào)傳輸端的第1安全保護(hù)儀表系統(tǒng)2b中,用DA元 件14將傳輸數(shù)據(jù)變換成模擬信號(hào)����,并將該模擬信號(hào)通過EO變換器(電 光信號(hào)變換器)19 進(jìn)行電 光變換,利用光強(qiáng)度或調(diào)制數(shù)據(jù)進(jìn)行傳輸�。另一方面,信號(hào)接收端的第2安全保護(hù) 儀表系統(tǒng)2c通過OE變換器(光·電信號(hào)變換器)20對(duì)光強(qiáng)度數(shù)據(jù)或調(diào)制數(shù)據(jù)進(jìn)行光·電 變換之后�����,由AD元件13進(jìn)行AD變換��,變換成數(shù)字值�����。
另外����,圖13所示的構(gòu)成為,在第1安全保護(hù)儀表系統(tǒng)2b中�,將由FPGA處理的數(shù)字 數(shù)據(jù)通過DA變換元件14 一度變換成模擬信號(hào)后,再次用AD元件13變換成數(shù)字?jǐn)?shù)據(jù)����,將該 數(shù)字?jǐn)?shù)據(jù)用EO變換器19變換成光的數(shù)字?jǐn)?shù)據(jù)進(jìn)行傳輸。在第2安全保護(hù)儀表系統(tǒng)2c中����, 用OE變換器20將第1安全保護(hù)儀表系統(tǒng)2b的數(shù)字光數(shù)據(jù)變換成數(shù)字?jǐn)?shù)據(jù)后,用于數(shù)字處理��。
在將同一數(shù)字值分配給多個(gè)獨(dú)立系統(tǒng)時(shí)�����,若在各系統(tǒng)中內(nèi)部存在某個(gè)數(shù)據(jù)模式下進(jìn)行誤動(dòng)作的軟件����,則可以考慮由于輸入同一數(shù)據(jù)而同時(shí)故障的情況。因此��,本實(shí)施例的安 全保護(hù)儀表系統(tǒng)通過將數(shù)據(jù)變換成模擬值���,在傳輸信號(hào)中加入噪聲成分�,可以防止同一數(shù) 字?jǐn)?shù)據(jù)同時(shí)傳輸給不同的系統(tǒng)��。
根據(jù)本實(shí)施例的安全保護(hù)儀表系統(tǒng)����,可以確保采用功能單元的核反應(yīng)堆安全保護(hù) 儀表系統(tǒng)的獨(dú)立性�����,并且可以降低作為采用數(shù)字信號(hào)處理的安全系統(tǒng)課題的����、發(fā)生共同方 式故障的比例����。
(實(shí)施例6)
圖14表示本發(fā)明實(shí)施例6的安全保護(hù)儀表系統(tǒng)的基本構(gòu)成圖。
圖14所示的安全保護(hù)儀表系統(tǒng)中�����,功能單元5a�、功能單元5b、功能單元5c相互連 接�,這些功能單元存儲(chǔ)在1個(gè)FPGA中。
這些功能單元間的信號(hào)傳輸通過觸發(fā)器與時(shí)鐘同步輸出��,但是其輸出定時(shí)可以根 據(jù)功能單元而有不同構(gòu)成��。在本實(shí)施例中�,在圖14中,功能單元5a的輸出在輸入到功能單 元5b后,進(jìn)行功能單元5b的信號(hào)處理��,這樣功能單元依次傳遞數(shù)據(jù)這種接力棒(baton)來 進(jìn)行處理��。
通過在這樣的構(gòu)成中連接功能單元���,監(jiān)視接力棒(數(shù)據(jù))的交接定時(shí),可以進(jìn)行處 理動(dòng)作本身的驗(yàn)證����。即,設(shè)置圖14所示的外部引線A21����、外部引線B22、外部引線C23��、外部 引線D24���,通過監(jiān)視這些功能單元的信號(hào)��,可以驗(yàn)證按設(shè)計(jì)的定時(shí)進(jìn)行動(dòng)作�。此外���,在動(dòng)作過 程中��,通過監(jiān)視各定時(shí)的變動(dòng)����,可以檢測(cè)出動(dòng)作的不當(dāng)情況。
圖15表示實(shí)際從FPGA的外部引線監(jiān)視內(nèi)部功能單元的輸出定時(shí)的一例��。圖15 的下方是輸入信號(hào)�����,從上方開始依次表示外部引線A21�����、外部引線B22��、外部引線C23�、外部 引線D24、外部引線E25的輸出信號(hào)���。
若在下方輸入信號(hào)(數(shù)據(jù))���,則從接近下方的邏輯開始依次傳輸信號(hào)���,最后輸出上 方的輸出段。以通過圖15所示的多個(gè)邏輯信號(hào)來確認(rèn)該信號(hào)傳輸?shù)亩〞r(shí)����。該邏輯信號(hào)的 定時(shí)是設(shè)計(jì)固有的,通過監(jiān)視該邏輯信號(hào)的定時(shí)�����,可以驗(yàn)證是否安裝了符合設(shè)計(jì)的邏輯����。另 外��,在通常動(dòng)作中��,也可以通過另外設(shè)置監(jiān)視這些邏輯信號(hào)的定時(shí)的功能�����,來監(jiān)視動(dòng)作中因 異常加熱等引起內(nèi)部信號(hào)線的延遲時(shí)間增大所造成的邏輯運(yùn)算的誤動(dòng)作�。
以上,根據(jù)本實(shí)施例的安全保護(hù)儀表系統(tǒng)��,各功能單元串行動(dòng)作,依次傳輸該信 號(hào)���,通過監(jiān)視該信號(hào)傳輸定時(shí)����,可以驗(yàn)證在FPGA中是否安裝了符合設(shè)計(jì)的邏輯��。另外��,作為 異常判斷方法���,可以通過監(jiān)視這些信號(hào)傳輸?shù)捻樞?�、定時(shí)�����,來構(gòu)筑可靠性高的安全保護(hù)儀表 系統(tǒng)���。
(實(shí)施例7)
圖16表示實(shí)施例7的安全保護(hù)儀表系統(tǒng)的構(gòu)成圖。
例如����,圖16所示的安全保護(hù)儀表系統(tǒng)中�,4個(gè)相同的功能單元5串行連接����,這些輸 出由觸發(fā)器同步后輸出。在這樣構(gòu)成的安全保護(hù)儀表系統(tǒng)中�,通過驗(yàn)證各功能單元5是否 與連接前的單體功能單元5是相同的邏輯構(gòu)成,可保證在安全保護(hù)儀表系統(tǒng)上安裝了與由 單體功能單元5驗(yàn)證時(shí)相同的功能����。
S卩,圖16所示的安全保護(hù)儀表系統(tǒng)的各功能單元5的內(nèi)部在在單體的試驗(yàn)時(shí)確認(rèn) 了性能的健全性�。將這些功能單元5按圖16進(jìn)行連接,邏輯合成后通過目視等確認(rèn)邏輯合 成后仍維持該性能的情況����,通過采用上述驗(yàn)證方法�,保證安全保護(hù)儀表系統(tǒng)中的功能單元5的健全性。
工業(yè)實(shí)用性
根據(jù)本發(fā)明的安全保護(hù)儀表系統(tǒng)及其處理方法����,通過防止在使用硬件邏輯的核反 應(yīng)堆安全系統(tǒng)中因邏輯錯(cuò)誤及信號(hào)處理的定時(shí)所引起的錯(cuò)誤,可以提高安全性���,是在核反 應(yīng)堆運(yùn)轉(zhuǎn)上有很大利用可能性的發(fā)明����。
權(quán)利要求
一種安全保護(hù)儀表系統(tǒng),是使用數(shù)字邏輯構(gòu)筑的核反應(yīng)堆的安全保護(hù)儀表系統(tǒng)�����,其特征在于由功能單元及組合上述功能單元所構(gòu)成的功能模塊來構(gòu)成數(shù)字邏輯部分����,上述功能單元將相對(duì)輸入的全部邏輯模式的輸出邏輯模式分別安裝在硬件上,確認(rèn)根據(jù)設(shè)計(jì)規(guī)格求出的預(yù)測(cè)值與輸出值一致的情況�,上述功能模塊只由具有與性能已被預(yù)先驗(yàn)證的功能單元相同的門結(jié)構(gòu)的功能單元構(gòu)成。
2.如權(quán)利要求
1所述的安全保護(hù)儀表系統(tǒng)�����,其特征在于組合上述功能單元所構(gòu)成的上述功能模塊包括傳播上述功能單元的輸出的寄存器及 與上述功能單元的信號(hào)處理定時(shí)配合的延遲元件�����。
3.如權(quán)利要求
1所述的安全保護(hù)儀表系統(tǒng)�,其特征在于組合上述功能單元所構(gòu)成的上述功能模塊包括傳播上述功能單元的輸出的寄存器,并 且具有信號(hào)交接單元��,該信號(hào)交接單元對(duì)上述功能單元中的�、驅(qū)動(dòng)上述寄存器的時(shí)鐘不同 的功能單元之間的信號(hào)進(jìn)行交接���。
4.如權(quán)利要求
1所述的安全保護(hù)儀表系統(tǒng),其特征在于具有制作了硬件所執(zhí)行的有效程序語(yǔ)句及執(zhí)行動(dòng)作路徑的輸入模式組的軟件���,并且具 有評(píng)價(jià)上述輸入模式的比例或上述輸入模式數(shù)是否足夠的分支覆蓋或扣接覆蓋��,驗(yàn)證相對(duì) 輸入的輸出與根據(jù)設(shè)計(jì)規(guī)格求出的預(yù)測(cè)值一致的情況����,來確認(rèn)功能單元間的連接�。
5.如權(quán)利要求
1所述的安全保護(hù)儀表系統(tǒng),其特征在于制作與上述功能模塊的設(shè)計(jì)規(guī)格對(duì)應(yīng)的輸入模式����,確認(rèn)上述功能模塊的相對(duì)輸入的輸 出與根據(jù)設(shè)計(jì)規(guī)格預(yù)測(cè)出的預(yù)測(cè)值一致的情況。
6.如權(quán)利要求
1所述的安全保護(hù)儀表系統(tǒng)���,其特征在于包括:AD元件,將與上述功能模塊的設(shè)計(jì)規(guī)格對(duì)應(yīng)的模擬信號(hào)模式進(jìn)行數(shù)字變換后作 為輸入模式�;及DA元件,將上述功能模塊的相對(duì)輸入的輸出進(jìn)行模擬變換后作為模擬值�; 確認(rèn)上述模擬值與根據(jù)設(shè)計(jì)規(guī)格預(yù)測(cè)出的預(yù)測(cè)值一致的情況。
7.如權(quán)利要求
1所述的安全保護(hù)儀表系統(tǒng)�����,其特征在于通過上述功能單元進(jìn)行2個(gè)變量的相乘或比較,將2個(gè)變量的一個(gè)置換成可由位數(shù)比 變量的位數(shù)少的地址指定的常數(shù)����。
8.如權(quán)利要求
1所述的安全保護(hù)儀表系統(tǒng),其特征在于上述功能單元具有對(duì)表示動(dòng)作正常結(jié)束的動(dòng)作標(biāo)志進(jìn)行交接的功能�����,上述功能模塊具 有監(jiān)視上述動(dòng)作標(biāo)志的功能�,上述安全保護(hù)儀表系統(tǒng)具有斷開判斷器,輸入來自上述功能 模塊的輸出��,判斷有無上述動(dòng)作標(biāo)志��;及異常診斷電路��,在沒有上述動(dòng)作標(biāo)志時(shí)輸出動(dòng)作不良信號(hào)�����。
9.如權(quán)利要求
1所述的安全保護(hù)儀表系統(tǒng)��,其特征在于上述功能單元具有通過簡(jiǎn)略式計(jì)算出輸出的最大值及最小值的功能、及對(duì)上述輸出的 最大值和最小值進(jìn)行交接的功能��,上述安全保護(hù)儀表系統(tǒng)具有斷開判斷器���,對(duì)上述輸出的 最大值和最小值的運(yùn)算結(jié)果與信號(hào)值進(jìn)行比較���,判斷信號(hào)值是妥當(dāng)?shù)闹担患爱惓T\斷電路�, 輸出動(dòng)作不良信號(hào)。
10.如權(quán)利要求
1所述的安全保護(hù)儀表系統(tǒng)�,其特征在于具有將數(shù)字輸出變換成模擬值后變換成光的第1安全保護(hù)儀表系統(tǒng)、及將該光變換成 模擬值后變換成數(shù)字值的第2安全保護(hù)儀表系統(tǒng)�,并且信號(hào)連接上述第1安全保護(hù)儀表系 統(tǒng)和上述第2安全保護(hù)儀表系統(tǒng)。
11.一種安全保護(hù)儀表系統(tǒng)的處理方法����,是使用數(shù)字邏輯構(gòu)筑的核反應(yīng)堆的安全保護(hù) 儀表系統(tǒng)的處理方法,其特征在于包括驗(yàn)證工序��,將與向構(gòu)成安全保護(hù)儀表系統(tǒng)的功能單元的全部輸入邏輯模式相對(duì)的 輸出邏輯模式預(yù)先分別安裝在硬件上�,驗(yàn)證根據(jù)設(shè)計(jì)規(guī)格求出的預(yù)測(cè)值與輸出值一致的情 況,由組合上述功能單元所構(gòu)成的功能模塊來構(gòu)成數(shù)字邏輯部分���,確認(rèn)是與驗(yàn)證了上述功 能單元性能后的內(nèi)部結(jié)構(gòu)相同的結(jié)構(gòu)的情況。
12.如權(quán)利要求
11所述的安全保護(hù)儀表系統(tǒng)的處理方法,其特征在于使具有多個(gè)功能單元的安全保護(hù)儀表系統(tǒng)的各功能單元的數(shù)據(jù)處理按連接順序串行 動(dòng)作�,監(jiān)視輸出定時(shí),來確認(rèn)該信號(hào)被串行傳輸���,并通過驗(yàn)證該輸出定時(shí)符合設(shè)計(jì)�����,來驗(yàn)證 安全保護(hù)儀表系統(tǒng)的性能�����。3
專利摘要
在用數(shù)字邏輯構(gòu)筑的核反應(yīng)堆的安全保護(hù)儀表系統(tǒng)中���,通過預(yù)先驗(yàn)證相對(duì)輸入的全部邏輯模式的輸出邏輯模式的功能單元、及組合上述功能單元而構(gòu)成的功能模塊��,來構(gòu)成數(shù)字邏輯部分���。
文檔編號(hào)G21D3/04GKCN1950911SQ200580014317
公開日2010年12月22日 申請(qǐng)日期2005年3月4日
發(fā)明者伊藤敏明, 佐藤俊文, 前川立行, 北園秀亨, 垂水輝次, 小田中滋, 小田直敬, 林俊文, 泉干雄 申請(qǐng)人:株式會(huì)社東芝導(dǎo)出引文BiBTeX, EndNote, RefMan非專利引用 (1),