徐國雄，楊永祥

(Doosan HF Control集團，德克薩斯 卡羅爾頓 75006)

0 引言

在過去的二十年里，Doosan HF Control集團(HFC)開發(fā)并生產(chǎn)了一系列的控制系統(tǒng)，用于控制斷路器、電機起動器和電磁閥以及監(jiān)控其控制過程的狀態(tài)。這些控制系統(tǒng)已被廣泛應(yīng)用于各種工業(yè)系統(tǒng)，包括在核電站中的控制系統(tǒng)。

1 開發(fā)One-Step自動化工具的必要性

HFC為韓國蔚珍(Ulchin)核電站制造了全廠控制系統(tǒng)(plant control system,PCS)。該系統(tǒng)被用于該核電站的5號和6號機組，以及一個獨立分離的核廢料控制單元(0號單元)。由HFC的PCS概覽如圖1所示。

其中，附帶I/O卡的AFS回路控制器和附帶MUX I/O卡的ECS-05控制器能監(jiān)控和調(diào)節(jié)過程變量，如溫度、壓力和流量等。AFS控制器中的受控參數(shù)可通過控制器卡與M/A站或控制開關(guān)模塊(control switch module，CSM)之間的通信進行手動調(diào)節(jié)。AFS控制器還能與ECS-05控制器(又稱遠程控制器)，通過異步消息傳遞交換狀態(tài)信息，實現(xiàn)通信。當AFS回路控制器以這種方式進行通信時，某個回路控制器的故障不會引發(fā)其他控制器或整個PCS的故障[1]。

圖1 HFC的PCS概覽

AFS回路控制器在與遠程控制器通信時，通過冗余RS-485串行通信端口執(zhí)行內(nèi)部通信鏈路(inter communication link,ICL)的、HFC專有的通信協(xié)議。類似地，MUX I/O卡通過HFC專有的MUX通信鏈路(MUX communication link)協(xié)議與它的遠程控制器進行通信。一個遠程控制器最多可包含14個ICL。每個ICL最多可以支持32個回路與該遠程控制器通信?；芈窢顟B(tài)信息也可以在遠程控制器之間傳遞。遠程控制器之間的通信由一種HFC專有的通信鏈路(communication link，CL)實現(xiàn)。該通信鏈路作為PCS的高速通信通道，是利用確定性的傳輸令牌以太網(wǎng)專有協(xié)議實現(xiàn)的。工程師操作站可以利用PCS中的以太網(wǎng)協(xié)議，通過主機接口控制器連接到CL。在這種PCS中，AFS回路控制器本身即構(gòu)成一個單回路子系統(tǒng)。該單回路控制器與其他回路保持獨立，能夠自行連接外部設(shè)備進行回路控制。這種單回路的完整性，對安全級關(guān)鍵應(yīng)用是必不可少的。

本文通過如圖2所示的模擬回路，對單回路控制器的一般工作原理進行簡單說明。

圖2 簡單模擬回路原理圖

該回路用于控制給水流量。其中，給水流量為輸入信號。I/O卡先獲取輸入信號，范圍為4～20 mA；再將其轉(zhuǎn)換為12位的計數(shù)，范圍為819～4 095；最后再將計數(shù)通過AIC模塊按比例轉(zhuǎn)化為0～100%的百分比。此百分比的最初設(shè)定值由EXT模塊提供(默認值= 30%)，且可利用M/A站或CRT進行手動調(diào)整。CRT通過串行通信鏈路直接連至控制器。在確定百分比后，控制器執(zhí)行PID模塊，設(shè)定一組控制器參數(shù)(增益=1，積分=100，導(dǎo)數(shù)=0)，從而生成一個輸出信號，調(diào)整代表過程變量的輸入(給水流量)與所需設(shè)定值之間存在的差異。PID模塊的輸出通過ANO模塊按比例轉(zhuǎn)化為計數(shù)。轉(zhuǎn)化的計數(shù)在I/O卡中又轉(zhuǎn)變?yōu)殡娏餍盘枺D(zhuǎn)變的電流信號再通過控制閥門調(diào)節(jié)給水流量。PID的輸出值可通過M/A站或CRT進行手動調(diào)整。

為執(zhí)行上述算法，圖2中所示的邏輯原理圖被轉(zhuǎn)換為如下的邏輯方程。

BL, 501 = VA, 30, IF (BL, 501 EQ VA, 0.0)

(1)

MAGRP(BL, 3, BL, 1, BL, 501, BL, 3, BL, 3)

(2)

AIC(BL, 1, 100)

(3)

PID(BL, 3, 100)

(4)

ANO(BL, 31, 100)

(5)

這些邏輯方程被編譯為二進制文件，并被編程到控制器的板載EPROM中執(zhí)行。

對具有很多I/O點的大型回路來說，將邏輯圖轉(zhuǎn)換為等價的邏輯方程是十分費力和繁冗的。One-Step工具的開發(fā)就是為了將這個手動執(zhí)行的過程自動化，將CAD邏輯圖自動轉(zhuǎn)換為邏輯方程，并最終轉(zhuǎn)換為可執(zhí)行的二進制文件，以便控制器處理回路算法。該過程不僅能取代人工操作，還可以追溯出現(xiàn)的各種錯誤。而在沒有One-Step自動化工具時，這些錯誤是很難甚至無法發(fā)現(xiàn)的。此工具在實施和執(zhí)行回路控制算法時可以實現(xiàn)零失誤。這與核工業(yè)對關(guān)鍵回路控制的要求是一致的。

One-Step軟件工具還可以為CAD圖表創(chuàng)建動態(tài)圖像，在操作站中進行展示，從而實現(xiàn)對邏輯圖的在線動態(tài)監(jiān)控。

2 One-Step自動化工具的開發(fā)

2.1 開發(fā)生命周期和架構(gòu)設(shè)計

One-Step軟件工具的開發(fā)過程遵守了IEEE Std 1074-2006[2]定義的生命周期過程。該過程已獲得美國核管會導(dǎo)則1.173[3]的認可。

首先，需要生成One-Step工具需求規(guī)格說明書，對One-Step的功能、性能和局限加以定義和說明。在此基礎(chǔ)上，生成One-Step工具設(shè)計說明書。設(shè)計說明書應(yīng)描述該工具是如何構(gòu)建以滿足需求規(guī)格說明書中確定的需求。設(shè)計說明書對該工具的結(jié)構(gòu)、模塊組件、接口，以及實現(xiàn)該工具所需的數(shù)據(jù)進行詳細說明。下一步，工具將根據(jù)工具設(shè)計說明書提供的詳細設(shè)計信息來實現(xiàn)。

One-Step軟件工具的開發(fā)還進行了需求追蹤分析，將設(shè)計說明書中每個可識別的設(shè)計單元追蹤至工具的需求；同時，還將每個可識別的需求一一列舉出來，以便能夠向前追蹤到后續(xù)的設(shè)計輸出。每項需求均可對應(yīng)單個或多個設(shè)計實體。需求規(guī)格說明書前向追蹤可關(guān)聯(lián)的文件，包括驗證與確認(verification & validation，V&V)材料。每一個在需求規(guī)格說明書中的需求都可以向前追蹤到具體的檢查、分析或者測試，由此確認工具的需求已在設(shè)計中得到滿足。

One-Step自動化工具架構(gòu)由兩個軟件模塊組成，各模塊發(fā)揮不同的作用：一個模塊用于生成方程(FPGA應(yīng)用中的HDL)邏輯文件，編譯目標微處理器或FPGA芯片的可下載文件；另一個模塊用于生成圖形文件，以便靜態(tài)和動態(tài)展示。

兩個軟件模塊是采用不同方式實現(xiàn)的。具體而言，生成方程(或FPGA應(yīng)用中的HDL)文件模塊采用的是面向?qū)ο蟮木幊碳夹g(shù)，而靜態(tài)和動態(tài)圖形展示模塊采用的是自頂向下的方法。

雖然生成輸出方程(或HDL)文件的程序模塊與生成動態(tài)圖形文件的程序模塊相互獨立，但其在One-Step工具中是作為整體存在的。One-Step工具架構(gòu)過程控制流程如圖3所示。

圖3 One-Step工具架構(gòu)過程控制流程圖

One-Step工具是使用Visual C++在Windows 7環(huán)境中開發(fā)完成的，是一個獨立的程序，只要在HFC程序列表中點擊按鈕(或選擇某個菜單項)即可激活。自動化工具開始運行時會彈出一個對話框，提示用戶選擇要轉(zhuǎn)換的控制回路。

2.2 方程(或HDL)文件生成模塊

方程(或HDL)文件生成模塊基于面向?qū)ο蟮木幊碳夹g(shù)，采用了用戶自定義類型類的概念，因而模塊中的數(shù)據(jù)都是私有的。類不僅有助于軟件的重復(fù)使用，還有利于容錯。因為錯誤可以被限制到具體類中。控制系統(tǒng)被定義為項目。一個項目包含一定數(shù)量的、表示控制回路的裝置。方程(或HDL)文件生成模塊具有層次結(jié)構(gòu)。其中：表示控制器系統(tǒng)的項目類中包含表示回路數(shù)量的裝置類；裝置類中又包含了表示圖紙的頁面類；其下是最低層次的符號類。符號類定義了CAD圖表和連接鏈路中的所有控制邏輯符號，包括符號和端子ID(控制器卡、I/O卡和邏輯數(shù)據(jù)類型)之間的連接信息；而符號類型(邏輯門AND、OR和NOT等)即為該類的屬性。

方程(或HDL)文件生成模塊對從Promis-E數(shù)據(jù)庫提取的數(shù)據(jù)進行掃描，并使用被定義了屬性的層次類結(jié)構(gòu)生成符號陣列。然后，模塊使用該符號陣列來創(chuàng)建方程(或HDL)文件，方程(或HDL)邏輯最終被編譯為可下載文件。此模塊還將報告文本文件寫入項目數(shù)據(jù)庫。

在基于微處理器的One-Step工具中，其生成的邏輯方程可以使用HFC專有的方程解釋器編譯成二進制文件。與之不同的是，基于FPGA的One-Step工具在編譯過程中要依賴制造商的庫。這些庫可能來自于第三方，然后被整合到制造商的編譯過程中。這些工具或庫的開發(fā)人員可能既無法提供他們對其工具/庫的配置管理的詳細證據(jù)，又無法提供支持和維持其工具/庫作為核電站應(yīng)用的安全級軟件所需的錯誤跟蹤和質(zhì)量保證級別。因此，必須對應(yīng)用邏輯及其轉(zhuǎn)換的HDL文件進行嚴格的代碼審查，并對最終的FPGA可下載文件進行全面測試，才能確保安全級應(yīng)用程序最終結(jié)果(可下載文件)的正確性。

2.3 靜態(tài)和動態(tài)圖像顯示生成模塊

靜態(tài)和動態(tài)圖像顯示生成模塊采用自頂向下的程序設(shè)計方法，把Promis-E生成的圖形報告文件生成輸出文件。此圖形文件的顯示格式與CAD邏輯圖的布局相匹配。圖形中包含與邏輯功能的輸入和輸出相對應(yīng)的動態(tài)數(shù)據(jù)。

靜態(tài)和動態(tài)圖像顯示生成模塊從提取的圖形報告文件中生成靜態(tài)和動態(tài)圖形顯示。圖形報告輸入的線、折線、圓、弧、橢圓和文本等屬性被重新格式化，以便進行圖形的靜態(tài)和動態(tài)表示。模塊明確定義了狀態(tài)參數(shù)，以便HFC MCRT進行精確的靜態(tài)和動態(tài)顯示。

其生成的圖形與應(yīng)用邏輯圖形一樣，并且添加了動態(tài)特性，便于參數(shù)的顯示和監(jiān)控，以及系統(tǒng)診斷。

One-Step圖形生成流程如圖4所示。

圖4 圖形生成流程圖

3 ONE-STEP自動化工具的鑒定

3.1 關(guān)于軟件工具開發(fā)使用的監(jiān)管導(dǎo)則和行業(yè)標準

10 CFR 50附錄B中第十二條準則(測量和測試設(shè)備的控制)要求：“應(yīng)建立措施，以確保在影響質(zhì)量的相關(guān)活動中所使用的工具、量具、儀器和其他測量和測試設(shè)備在特定時期得到適當控制、校準和調(diào)整，從而保持其必要限度內(nèi)的準確性。”雖然數(shù)字化儀控在核應(yīng)用方面的推廣進程比較慢，且這一要求并未特別針對軟件工具，但它應(yīng)適用于軟件工程和數(shù)字化儀控中的軟件工具鑒定。

IEEE Std 1012-2004[4]和IEEE Std 7-4.3.2-2003[5]為軟件和V&V工具的使用提供了一般性的指導(dǎo)。IEEE Std 1012-2004得到了美國核管會導(dǎo)則1.168 -2013[6]的認可，IEEE Std 7-4.3.2得到了美國核管會導(dǎo)則1.152-2011[7]的認可。同時，NUREG/CR-7006[8]在FPGA設(shè)計工具的選擇上提供了指導(dǎo)。

國際原子能機構(gòu)(IAEA)近期在其核能系列叢書中發(fā)布了一篇編號為 No.NP-T-3.17的報告[9]。此報告在軟件工具使用方面提供了類似的指導(dǎo)。兩個可行的工具鑒定方法如圖5所示。

IAEA的技術(shù)報告提出：絕大多數(shù)的國家監(jiān)管機構(gòu)要求，用于執(zhí)行安全功能的所有工具，或在執(zhí)行安全功能的硬件、軟件或固件的開發(fā)工程中所使用的所有工具，都應(yīng)被視為安全級軟件(見圖5中的方法2)。這將會對數(shù)字化系統(tǒng)開發(fā)周期中使用到的、之前開發(fā)的軟件工具帶來沉重的取證負擔(dān)。工具開發(fā)人員通常不提供他們對工具進行配置管理的詳細證據(jù)，也不能提供為支持和維持其工具作為核電站應(yīng)用的安全級軟件所需的錯誤跟蹤和質(zhì)量保證的級別。另一種被絕大多數(shù)監(jiān)管機構(gòu)所認可和接受的方法是，把對工具輸入和輸出進行的獨立審查作為開發(fā)過程質(zhì)量保證計劃的一部分，以確保工具能正常工作且不會在最終數(shù)字化系統(tǒng)中引發(fā)任何可能的其他錯誤；此外，還要確保帶有錯誤檢測功能的工具能夠正常檢測錯誤。

由于方法2存在巨大困難，所以目前本方法(圖5中的方法1)更為常用。事實證明，當在開發(fā)過程的特定部分有明確界定的部分使用工具時，方法1是有效的。

圖5 可行的工具鑒定方法

軟件工具鑒定問題已在其他涉及安全的行業(yè)得到解決。相關(guān)法規(guī)要求，在涉及安全的行業(yè)中使用的工具需要進行鑒定。美國聯(lián)邦航空管理局(FAA)和食品藥品監(jiān)督管理局(FDA)[10]對用于軟件開發(fā)和驗證的工具的鑒定方法和支持性人工產(chǎn)品提出了監(jiān)管要求。

根據(jù)全球空中交通管理(GATM)，所有的商用飛行系統(tǒng)，以及所有的用于軍事和空間的飛行系統(tǒng)(美國空軍2001)，都需遵守美國聯(lián)邦航空管理局關(guān)于航空電子設(shè)備必須獲得DO-178B鑒定的規(guī)定。DO-178B[11]對應(yīng)用程序開發(fā)過程中的軟件工具使用作了明確規(guī)定，并對工具鑒定概念進行了介紹。

ISO/FDIS 26262[12]“道路車輛-功能安全”對IEC 61508[13]加以改編，以適應(yīng)道路車輛內(nèi)部電氣/電子系統(tǒng)應(yīng)用領(lǐng)域的特定需求。對于由電氣、電子和軟件單元構(gòu)成并提供相關(guān)安全功能的系統(tǒng)而言，該改編適用于其生命周期的全部活動。

根據(jù)ISO/FDIS 26262，在以下兩種情況下，需要對在安全生命周期中使用的軟件工具(或軟件工具鏈)進行評估、分類以及可能需要的鑒定。一是ISO 26262要求的這些活動或任務(wù)能夠依賴于該工具正確運行。二是該工具的相關(guān)輸出未能得到全面檢查或檢驗。ISO/FDIS 26262-8提供了確定軟件工具是否符合所需置信水平的相關(guān)標準，旨在進行工具鑒定，從而為工具適用于安全相關(guān)軟件開發(fā)提供證明[14]。

以上所有標準的共同目標是確保工具不會影響產(chǎn)品的安全性。換言之，工具不應(yīng)存在任何潛在錯誤。即使存在潛在錯誤，也不會影響安全性。因此，在對安全性有很高要求的行業(yè)，需要對工具進行鑒定。目前的工具鑒定方法是“驗證”和“確認”，旨在提供充足的證據(jù)證明工具不存在潛在錯誤。

3.2 自動化工具鑒定

One-Step工具的鑒定方法符合IEEE Std 7-4.3.2-2003中提供的指導(dǎo)，IEEE Std 1012-2004中規(guī)定的V&V方法，以及第3.1節(jié)中列舉的其他相關(guān)的、在工具使用前用于評估和鑒定工具的行業(yè)標準。作為鑒定方法的一部分，One-Step工具的開發(fā)包括以下六個步驟。

(1)開發(fā)工具的需求規(guī)格，包括預(yù)期的工作流程、工具功能以及工作流程中使用的屬性。此步驟必須對工具的使用方式，以及該工具與其他相關(guān)工具的關(guān)系進行明確定義。

(2)分析工具的鑒定需求，以及軟件安全生命周期對工具的相關(guān)特定需求。此步驟驗證工具符合規(guī)格或遵循用戶手冊。部分需求可能需要根據(jù)其他適用的標準要求進行分析和調(diào)整。

(3)開發(fā)符合工具需求的設(shè)計規(guī)格書。在此步驟中，將會生成工具的設(shè)計規(guī)格說明書。

(4)根據(jù)工具設(shè)計規(guī)格說明書實現(xiàn)工具。在此步驟中，按照設(shè)計規(guī)格書建立編碼并實現(xiàn)工具。

(5)測試工具，確保功能相符，設(shè)計實現(xiàn)正確。在此步驟中，執(zhí)行代碼覆蓋測試(對所有需要的邏輯門和宏)和工具功能測試(對所有邏輯功能)驗證工具的設(shè)計和實現(xiàn)。

(6)執(zhí)行額外的安全確認測試(特別是故障注入)。在此步驟中，對軟件工具施加異常輸入，評價工具的響應(yīng)和異常輸入處理情況。使用多種極端情況和故障注入測試來對軟件工具進行確認。

(7)工具應(yīng)用于集成儀控系統(tǒng)測試(針對指定的典型應(yīng)用以及在核電站運行的回路邏輯)。在此步驟中，在實際的物理和運行條件下對軟件工具作進一步確認。

同時，有獨立的V&V團隊進行驗證和確認，具體包括以下任務(wù)。

①審查和驗證工具需求規(guī)格和設(shè)計實現(xiàn)。

②工具代碼審查和試運行。

③工具代碼覆蓋測試(對所有需要的邏輯門和宏)。

④工具功能測試(對所有的邏輯功能)。

⑤工具應(yīng)用于集成儀控系統(tǒng)測試(針對指定的典型應(yīng)用程序以及用于核電站運行的回路邏輯)。

運行歷史記錄可進一步提高工具的置信水平。所有修改歷史，包括錯誤修正歷史和工具運行中生成的異常報告，均按照IEEE Std 7-4.3.2-2003和IEEE Std 1012-2004規(guī)定的配置控制和管理要求進行了記錄。

4 結(jié)束語

One-Step自動化工具是使用面向?qū)ο蠛瓦^程化的編程方法開發(fā)的。One-Step完成了在實現(xiàn)和執(zhí)行回路控制邏輯的過程中，從CAD圖表到文本方程的邏輯轉(zhuǎn)化的自動化。One-Step還可創(chuàng)建CAD圖表，并自動保存。它一方面取代了邏輯轉(zhuǎn)換和邏輯CAD圖表存儲的人工操作，還能消除人工操作可能帶來的錯誤；另一方面，使用自上而下方法，它還能創(chuàng)建可以在操作站顯示的CAD圖表的動態(tài)圖像，從而實現(xiàn)對系統(tǒng)邏輯的在線動態(tài)監(jiān)控。

One-Step工具的鑒定過程包括工具的需求規(guī)格開發(fā)、工具的詳細設(shè)計與實現(xiàn)、工具的驗證與確認、工具的版本控制，以及工具在核安全級儀控應(yīng)用中的使用歷史。V&V可保證工具的正確性。

One-Step的開發(fā)和鑒定遵循了行業(yè)導(dǎo)則和標準規(guī)定的生命周期開發(fā)過程和工具鑒定方法。當One-Step自動化工具被集成到用于工業(yè)控制的控制系統(tǒng)(特別是用于核工業(yè)的關(guān)鍵回路控制)時，它的安全性和可靠性可以得到保證。