验证安全装置的方法和由相同方法验证的安全装置制造方法及图纸

提供了一种用于验证安全装置的验证方法，该安全装置包括具有多个功能元件的可编程逻辑器件。该验证方法包括以下步骤：在实际的硬件上穷举地验证多个功能元件；使用预定的硬件描述语言，生成与在实际的装置上验证过的功能元件之一相同的功能元件；将每个生成的功能元件独立地逻辑综合为多个第一网表；使用预定的硬件描述语言生成功能元件之间的连接功能；将生成的连接功能逻辑综合为对应于该连接功能的第二网表；将第一网表和第二网表进行综合以生成第三网表；基于第三网表将逻辑电路写入可编程逻辑器件；以及验证实际的可编程逻辑器件。

Method of verifying a security device and security device verified by the same method

A verification method for verifying a security device includes a programmable logic device having a plurality of functional elements. The method comprises the following steps: exhaustive verification of multiple functional elements in the actual hardware; using a predetermined hardware description language, functional elements and functional elements of generation verified in practical device on the same functional elements; each generated independent logic integrated into a plurality of first network use table; a predetermined hardware description language generation of functional connections between functional elements; the generated logic synthesis for connection function corresponding to the second network connection function table; will be the first netlist and second nets are integrated to generate a third time table; third time table will write logic circuit based on programmable logic device and the actual verification; programmable logic device.

【技术实现步骤摘要】

本专利技术涉及一种用于验证安全装置的方法和由该方法验证的安全装置，更具体的说，涉及用于验证用于控制核电厂、热电厂、化工厂等并需要确保高可靠性的安全装置的方法以及由该方法验证的安全装置。
技术介绍
核电厂包括安全装置，用于当有可能会危害核电厂的安全的异常事件预期存在或异常事件发生时，防止异常事件的发生或降低异常事件发生的可能性。提供与安全保护系统相关的放射计数装置(安全装置)以用于计算放射量。如果因为某一原因，厂内的放射量增加，那么放射计数装置向操作电路传送信息，所述信息指示关闭放射量正在增加的区域的情况或启动紧急气体处理装置的情况。在近来的核电厂中，这样的与安全保护系统相关的放射计数装置(安全装置)进行数字信号处理，其中一个中央处理单元(CPU)执行对多个信号的数字滤波或数字计算(例如参考日本专利No.2653522)。相反，美国专利No.5859884公开了一种使用通常所说的专用集成电路(ASIC)或现场可编程门阵列(FPGA)的硬件逻辑电路取代CPU的系统。在美国专利No.5859884描述的技术中，电路被配置为使用ASIC取代CPU来控制处理过程。该技术简化了处理流。因为安全装置很重要，所以一个单元的故障不能导致装置的整体控制的失败。因此，采用提供系统冗余的复用配置，或者装置的每个组件被配置为独立的。然而，在其中CPU执行软件的数字系统中，如果相同的软件被用于冗余系统和主系统，那么软件的缺陷有可能影响冗余系统的功能性。此外，由于包括软件处理的数字处理基本上是离散值处理，与模拟设备相比，更有可能因为软件和硬件缺陷而执行意外操作。例如，在数字处理中，当满足某一特定条件时，会发生异常输出。因此，在使用软件的数字处理中，需要进行质量保证活动(qualityassurance activity)以确保从设计阶段到生产阶段的数字处理的高质量。同样，对于由软件缺陷或不受控制的设计改变引起的常见故障因素需要合适的保护。特别是，为了保护以防止由软件缺陷引起的常见故障因素，实施“验证(verification)和确认(validation)”活动(此后称为“V & V”)。“V & V”是包括以下两个过程的质量保证活动验证过程，用于验证对数字安全装置的功能需求是从软件设计过程到生产过程从较高级步骤到较低级步骤正确实现的；以及健全性(soundness)确定过程，用于确定通过验证过程生产的系统中正确地实现了需求。相反，在使用ASIC或FPGA取代CPU的系统中，提供了硬线数字逻辑电路。不同于CPU执行的软件处理，该处理具有固定的处理流。同样，处理时间由设计决定。因此，可以认为使用ASIC或FPGA的系统是数字逻辑电路的半导体硬件。结果，虽然在生产过程中FPGA等使用一些软件，但是假设进行的处理与实际安装的硬件的处理相同，就能够验证FPGA。例如，通过比较对应所有输入和所有内部状态的半导体器件的输出与根据其规格说明书计算出的估计值，除了由定时问题(timing issue)引起的动态缺陷以外，可以完整地验证静态功能的输入和输出属性。这种验证方法被称为“穷举测试(exhaustive testing)”。然而，在实际的ASIC或FPGA中，器件的所有输入位模式的数目和所有内部状态模式的数目之和是巨大的。因此，一般而言，应当认识到，对与所有输入和内部状态模式相对应的输出模式与估计值相比较是不切实际的。因此，评估能有效检测缺陷的输入模式串是很关键的。例如，通过评估器件内的逻辑模式，通过故障仿真计算出引起内部寄存器至少启动一次的输入模式组，或者计算出可以检测特定故障模式的输入模式组。然而，因为在上述技术中仅仅验证一些模式，因此该技术不能检测内部逻辑组合引起的缺陷以及在故障仿真中不考虑的缺陷。此外，为了以诸如FPGA这样的硬件实现逻辑电路(数字电路)，需要实用软件工具(utility software tool)，其包括用于创建硬件配置描述的软件和用于将硬件配置描述转化为FPGA上的实际的逻辑电路的逻辑综合工具(logic synthesis tool)。然而，这种实用软件工具本身会有缺陷，特别是如果这种实用软件工具是新开发的。因此，必须确保从设计阶段开始的整体可靠性包括实用软件工具的可靠性。如果在性能验证中可以进行上述的穷举测试，那么可以发现静态逻辑错误。然而，如果不能进行上述穷举测试，那么对已知软件需要V & V验证。然而，不同于由CPU执行的软件处理，使用FPGA的系统的处理是固定的，因此，一般而言，可以确定处理时间。因此，单个循环仅能够执行单个处理。因此，可以容易地满足用于实现高可靠系统的设计条件。如上所述，使用诸如FPGA这样的硬件逻辑电路来实现安全装置，从验证的观点上看提供了很强的优势。然而，必须实际上在与上述穷举测试一样的级别高效地执行功能验证。也就是，需要开发一种验证方法，其可以可靠地并快速地验证相对于输入，安全装置的输出属性与设计定义的是否相同。除了静态错误，也会发生由内部操作之间的定时问题引起的动态错误。例如，如果内部逻辑之间的延迟时间因为环境条件(例如，温度)或电源条件而改变，那么装置有可能因为大气条件而错误地工作。为了防止定时问题引起的错误，在使用定时仿真的设计阶段中应该提供足够的容限(margin)。而且，如在期望出现的实际环境中所需要的，需要可以高度可靠地进行验证的验证方法。尽管已经参考核电厂描述了上述问题，但是开发可以在设计和生产阶段中确保类似的数字装置的可靠性的设计系统、并且特别是可以检测隐藏缺陷的设计系统，这在诸如炼油厂或化工厂这样的需要高度可靠的控制系统的领域中也很重要。
技术实现思路
因此，本专利技术的目的是在例如核电厂中提供可以高效地和可靠地测试和验证安全装置的组件的验证方法和由该验证方法验证的安全装置。根据本专利技术的一个实施例，提供了用于验证包括可编程逻辑器件的安全装置的验证方法。可编程逻辑器件包括多个功能元件(functional element)。该方法包括以下步骤预先在实际的硬件上穷举地验证逻辑模式的所有输出都是响应于每个功能元件的逻辑模式的所有输入而正常产生的；使用预定的硬件描述语言，生成与在实际的硬件上验证过的功能元件之一相同的功能元件；将每个生成的功能元件独立地逻辑综合为多个第一网表(net list)，其中每个第一网表对应于功能元件之一；使用预定的硬件描述语言生成功能元件之间的连接功能(connection function)；将生成的连接功能逻辑综合为对应于该连接功能的第二网表；将多个第一网表与该第二网表进行综合以生成第三网表；基于第三网表将逻辑电路写入可编程逻辑器件；以及在包括写入的逻辑电路的实际的可编程逻辑器件上验证该可编程逻辑器件的工作是正常的。根据本专利技术的另一个实施例，安全装置包括可编程逻辑器件，该可编程逻辑器件包括多个功能元件。由一种验证方法验证该安全装置，该验证方法包括以下步骤预先在实际的硬件上穷举地验证逻辑模式的所有输出都是响应于每个功能元件的逻辑模式的所有输入而正常产生的；使用预定的硬件描述语言，生成与在实际的硬件上验证过的功能元件之一相同的功能元件；将每个生成的功能元件独立地逻辑综合为多个第一网表，其中本文档来自技高网...

【技术保护点】
一种用于验证包括可编程逻辑器件的安全装置的验证方法，所述可编程逻辑器件包括多个功能元件，所述方法包括以下步骤：预先在实际的硬件上穷举地验证逻辑模式的所有输出是响应于每个功能元件的逻辑模式的所有输入而正常产生的；使用预定的硬件 描述语言，生成与在实际的硬件上验证的所述功能元件之一相同的功能元件；将每个生成的功能元件独立地逻辑综合为多个第一网表，每个第一网表都对应于所述功能元件之一；使用所述预定的硬件描述语言，生成所述功能元件之间的连接功能； 将所生成的连接功能逻辑综合为对应于所述连接功能的第二网表；将所述多个第一网表与所述第二网表综合以生成第三网表；以所述第三网表为基础将逻辑电路写入所述可编程逻辑器件；以及在包括所写入的逻辑电路的所述实际的可编程逻辑器件 上验证所述可编程逻辑器件的工作是正常的。

【技术特征摘要】
...

【专利技术属性】
技术研发人员：泉干雄，林俊文，小田中滋，酒井宏隆，小田直敬，佐藤俊文，伊藤敏明，
申请(专利权)人：株式会社东芝，
类型：发明
国别省市：JP[日本]