Field-Programmable Gate Arrays in Nuclear Power Plant Safety Automation

Kenttäohjelmoitava porttimatriisi (FPGA) -tekniikasta on tulossa yhä yleisempi ydinvoimaloiden instrumentointi- ja säätöjärjestelmissä. Nykyään FPGA-tekniikkaa on alettu käyttää jo kaikkein kriittisimmissäkin turvajärjestelmissä. FPGA on digitaalinen puolijohdetekniikkaan perustuva mikropiiri, jota voi käyttää esimerkiksi korvaamaan mikroprosessoripohjaisia ohjelmistoteknisiä järjestelmiä, joiden kanssa on tällä hetkellä ongelmia muun muassa turvallisuuden ja toimivuuden osoittamisessa. FPGA-sovelluksella pystytään lähes kaikkeen samaan kuin ohjelmistosovelluksella, mutta se on yksinkertaisempi ja täten väitetysti helpompi kelpoistaa eli osoittaa sen toimivuus. FPGA-tekniikalle ei kuitenkaan ole vielä ydinvoima-alalla kansainvälisesti hyväksyttyjä ja yhdenmukaisia ohjeistuksia ja standardeja, jotka ottaisivat kantaa siihen, mitä kaikkea FPGA-pohjaisten sovellusten kelpoistaminen ja lisensiointi vaatii. Tässä diplomityössä esitellään ensin FPGA-tekniikka yleisesti. Esittelyssä käydään muun muassa läpi eri lähteistä yhdistetyt FPGA-sovellusten suunnittelu- ja V&V prosessit. Eräs työn tavoitteista on löytää näihin prosesseihin liittyvät parhaat toimintatavat. Yleisesittelyn jälkeen käydään läpi nykyiset sovellukset, hyödyt ja haitat, sekä muut FPGA-tekniikan käyttöön ydinvoimaloiden turva-automaatiossa liittyvät asiat. Samassa yhteydessä tehdään vertailu FPGA- ja mikroprosessori-tekniikan välillä, jotta voitaisiin tunnustaa FPGA:n edut mikroprosessoriin verrattuna. Lopuksi diplomityössä esitellään case-tutkimus, jossa toteutetaan yksi kuvitteellinen mutta realistinen turva-automaatiojärjestelmä käyttäen kahta FPGA-laitetta. Case-tutkimuksen tarkoituksena on kokeilla eri suunnittelu- ja V&V-menetelmiä, jotka löydettiin kirjallisuudesta, ja saada käytännön kokemusta FPGA-sovellusten suunnittelusta ja V&V:stä.The field-programmable gate array (FPGA) technology is becoming increasingly common in the instrumentation and control (I&C) systems of nuclear power plants (NPPs). The technology is now being adopted even in the most safety-critical systems. An FPGA is a digital semiconductor device that can be used as a replacement for the current microprocessor-based software systems with which there are problems e.g. in safety justification. An FPGA application has practically the same capabilities as a software application but is less complex and thus arguably easier to qualify. However, the FPGA is still rather new in the nuclear power industry and thus there are no consistent and harmonised international guidance and standards regarding how to design and license FPGAs for NPP safety automation applications. In this thesis, a general overview of the FPGA technology is first given. The activities in the different phases of the FPGA design and verification and validation (V&V) processes are defined based on processes found in various different sources with the intent to identify best practices for said processes. After the general overview, the current applications, advantages and disadvantages, and other aspects related to FPGAs in NPP safety automation are looked into. A comparison with microprocessor-based systems is also done in order to recognise the perceived benefits of using FPGAs instead of microprocessors. Finally, a case study is presented. In the case study, a fictional but realistic safety automation application is implemented using two FPGA devices. The objectives of the case study are to try out the different design and V&V methods found in the literature, and to get hands-on experience on the FPGA application development and V&V

Timing model derivation : static analysis of hardware description languages

Safety-critical hard real-time systems are subject to strict timing constraints. In order to derive guarantees on the timing behavior, the worst-case execution time (WCET) of each task comprising the system has to be known. The aiT tool has been developed for computing safe upper bounds on the WCET of a task. Its computation is mainly based on abstract interpretation of timing models of the processor and its periphery. These models are currently hand-crafted by human experts, which is a time-consuming and error-prone process. Modern processors are automatically synthesized from formal hardware specifications. Besides the processor’s functional behavior, also timing aspects are included in these descriptions. A methodology to derive sound timing models using hardware specifications is described within this thesis. To ease the process of timing model derivation, the methodology is embedded into a sound framework. A key part of this framework are static analyses on hardware specifications. This thesis presents an analysis framework that is build on the theory of abstract interpretation allowing use of classical program analyses on hardware description languages. Its suitability to automate parts of the derivation methodology is shown by different analyses. Practical experiments demonstrate the applicability of the approach to derive timing models. Also the soundness of the analyses and the analyses’ results is proved.Sicherheitskritische Echtzeitsysteme unterliegen strikten Zeitanforderungen. Um ihr Zeitverhalten zu garantieren müssen die Ausführungszeiten der einzelnen Programme, die das System bilden, bekannt sein. Um sichere obere Schranken für die Ausführungszeit von Programmen zu berechnen wurde aiT entwickelt. Die Berechnung basiert auf abstrakter Interpretation von Zeitmodellen des Prozessors und seiner Peripherie. Diese Modelle werden händisch in einem zeitaufwendigen und fehleranfälligen Prozess von Experten entwickelt. Moderne Prozessoren werden automatisch aus formalen Spezifikationen erzeugt. Neben dem funktionalen Verhalten beschreiben diese auch das Zeitverhalten des Prozessors. In dieser Arbeit wird eine Methodik zur sicheren Ableitung von Zeitmodellen aus der Hardwarespezifikation beschrieben. Um den Ableitungsprozess zu vereinfachen ist diese Methodik in eine automatisierte Umgebung eingebettet. Ein Hauptbestandteil dieses Systems sind statische Analysen auf Hardwarebeschreibungen. Diese Arbeit stellt eine Analyse-Umgebung vor, die auf der Theorie der abstrakten Interpretation aufbaut und den Einsatz von klassischen Programmanalysen auf Hardwarebeschreibungssprachen erlaubt. Die Eignung des Systems, Teile der Ableitungsmethodik zu automatisieren, wird anhand einiger Analysen gezeigt. Experimentelle Ergebnisse zeigen die Anwendbarkeit der Methodik zur Ableitung von Zeitmodellen. Die Korrektheit der Analysen und der Analyse-Ergebnisse wird ebenfalls bewiesen