用FPGA实现核电厂安全级I&C系统过程中的V&V
开篇:润墨网以专业的文秘视角,为您筛选了一篇用FPGA实现核电厂安全级I&C系统过程中的V&V范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
摘要:该文在最近的IEC 62556标准基础上,比照既有的以计算机为基础的仪控系统的实现经验,分析了独立的确认和验证(V&V)方法对以fpga/PLD技术开发核电厂安全级仪控系统的重要性,同时,也给出了具体开发过程中V&V的实践建议。最后,简要指出了实现过程中的难点和注意事项。
关键词:FPGA;V&V;安全级;I&C
中图分类号:TP311 文献标识码:A 文章编号:1009-3044(2012)31-7578-03
1 基于传统计算机技术的V&V实践
从软件生命周期模型或者软件开发过程模型的角度说,核电厂安全级软件的开发采用的是W模型。所谓W模型,就是在V模型基础上,增加软件开发各个阶段应同步进行的测试〔包括准备工作〕,测试的对象不仅仅是程序,需求、功能和设计同样需要测试。和V模型相比,W模型强调测试伴随着整个软件开发周期,需要“尽早地和不断地进行软件测试”。
图1所示的是一个完整的软件生命周期。但是,从工程的角度说,系统设计、软硬件供货,软件开发,现场的系统调试都是由不同的行业来分担。具体意义上核电厂安全级软件的软件供货方仅仅完成的是其中一部分的工作。
参照AREVA公司的工程实践,图2中,给出了一个典型的核电厂安全级软件的软件开发和V&V“验证和确认”〔虚线的下侧部分〕。
1.1 起点
软硬件分拆后所形成的软件部分,通过转化,形成软件开发放所认可的标准样式,这个样式主要包括模块的抽象定义方法,由此才开始了软件开发方的“软件寿命周期”。
1.2 终点
在软件下载到实际的硬件实体,启动起来,通过自动或者手动的方式,完成了软硬件的联合调试实验,软件开发方的“软件寿命周期”也已结束。
1.3 独立的V&V小组
软件的开发是V形,测试也是与此相并行的V。IEEE 1012对软件的测试进一步补充、细化,并分成“确认”、“验证”两个层面——前者指的是每个阶段的结果必须与该阶段的输入是一致的,后者要佐证每个阶段的工作结束后,形成的软件及相关产品符合期望的需求。在形式上,要求由独立的组织来完成确认验证〔V&V〕工作。为保证〔V&V〕的效果,IEEE 1012给出了技术独立、管理独立、财务独立等三方面的指标。
而技术独立,就是保证V&V小组对要解决的问题是什么,应该用什么样的系统去解决问题,形成“自己的”理解。这种“新的视点”是发现开发过程中错误的重要手段,尤其是那些被开发人员所忽视的部分,因为他们的视点太过靠近解决问题的方案。
一般的,技术独立要求V&V工作使用自己的,与开发小组不同的软件工具。传统的基于计算机技术的开发过程也是这样执行的,包括SCADE、CASSIS在内,V&V小组使用不同的软件环境对开发小组的工作进行验证。
管理独立和财务独立是确保V&V小组的工作不受限制,尤其是不受来自开发小组方面直接或间接的负面影响。
1.4 两个小组的起点
从图中,可以看出,供货商的详细设计,成为软件开发小组和V&V小组共同的起点。在此同一个前提下,各自开展工作。然后,在局部模块、整体连接两个环节进行比对验证。
2 基于FPGA技术的安全级i&c开发及V&V
FPGA,即Field Programmable Gate Array,现场可编程门阵列,是近年来发展迅速,并得到越来越广泛应用的半定制集成电路技术。因为具有更短的响应时间,更低的系统功耗获得工业控制领域的认可。目前,已经有了核电厂保护系统以及常规系统的应用实例。
FPGA的开发流程一般包括设计定义、设计输入、功能仿真、逻辑综合、前仿真、布局布线、时序仿真、静态时序分析、下载调试和验证等9个部分,简要描述如下:
1)设计定义:FPGA必须完成的功能以及器件的接口,包括接口信号规格、处理时钟频率、时序要求、管脚分配锁定等。
2)设计输入:以开发软件要求的形式表示出所要设计的逻辑,形式包括硬件描述语言、原理图等。
3)功能仿真:在编译之前对用户所设计的电路进行逻辑功能验证,此时的仿真没有延迟信息,仅仅对初步的功能进行检测。
4)逻辑综合:利用给定的约束条件,如速度、功耗、成本、及电路类型等,通过计算机进行优化处理,获得一个能满足要求的电路设计方案。
5)前仿真:等同於功能仿真,但可以用于检查综合有无问题。
6)布局布线:把逻辑映射到目标器件物理结构中,选择逻辑与输入输出功能连接的布线通道进行联线。
7)时序仿真:时序仿真不仅要保证逻辑正确,还要加入器件的物理时延特性。
8)静态时序分析:不需要输入激励或测试矢量,映射后、布局布线后,对功能块延时和实际布线延时进行静态的时序分析。
9)下载调试和验证:将实现完成后形成的位流下载到FPGA芯片中。
3 传统计算机技术与FPGA技术V&V的比较
对于实现核电厂安全级I&C系统这一目的来说,虽然FPGA实现的控制方案没有CPU,不使用操作系统。但是,和两者一样的是,把控制逻辑交给一个复杂度非常高的“部分”去执行。实际上,FPGA开发过程中,都是“像软件一样编程”,和软件开发一样,也使用描述语言〔High level Hardware Description Languages (HDL)〕,使用集成开发环境〔Integrated Development Environments (IDE)〕,使用仿真软件等。
为了减少潜在的不容易被发现的设计错误,两者都需要特别的、层层分解的、细化的措施。每层工作可以往复执行。虽然一层的工作尚未完成可以启动下层的工作,但是,一个层次工作的结束条件必须是前一层工作结束并且本层的输出与前一层的输入是一致的。
两者都可以通过验证手段,对开发的结果进行逐层的验证。
3.1基于适用标准的比较
基于此,在12年新出版的IEC 62566 标准中,就要求按照软件开发标准IEC60880的相关章完成基于FPGA的核电厂安全级I&C项目的项目管理、质量保证计划、配置管理。
在第9章,IEC 62566明确规范FPGA开发所需进行的验证工作。虽然没有像IEEE 1012一样细化成“确认”和“验证”两个层面,但从具体方法上,两者是相近的。
1)形式上,核心部分就是由独立于设计和实现团队的一个单独团队来完成。具体来说:
管理上,验证团队是独立于开发团队的;
验证团队和开发团队之间的沟通,不管是澄清还是错误报告,都要在审计监视下书面进行;
两个团队工作上的交互,应以维护验证小组判断的独立性为目标;
2)在验证的范围上,IEC 62566要求每个开发阶段的输出都要验证,包括需求规格书,设计、实现、系统集成4个阶段。
3)在验证方法上,IEC 62566并没有要求使用独立的技术。但是,基于近期FPGA技术的迅速发展,不但FPGA厂家提供丰富的设计辅助软件,还有专门的软件公司也参与进来,功能强大的软件产品。这些软件,不但提高FPGA项目的开发效率,其中的仿真软件,比如ModelSim、ActiveHDL、HDLBencher等,也为软件开发过程的独立验证提供了平台上的可能。
4 基于FPGA技术结合传统的v&v解决方案
综合上述各个方面,完全可以借鉴基于CPU的控制平台的实现方案来实现基于FPGA技术的核电厂安全级I&C控制方案,毕竟前者有着丰富的使用经验。同时,也利于国家监管部门的理解和接受。
由此,制订出能应用于FPGA开发方式的V&V方案,如图3所示。
在上述的FPGA开发流程中,如果将“用基本模块组成新模块”的开发和验证工作分别看成一个整体,把“总体连接模块”的开发和验证工作也分别看成一个整体,那么和基于CPU的开发平台是一致的。
流程组织上,完全具备由独立的小组完成V&V的条件
开发团队和V&V团队的同一个入口,是“以HDL等形式描述的控制逻辑”。结束点,同样的,是逻辑下载到硬件载体上,完成最后的系统级的联合测试。
4.1 基于新方案需要考虑的技术特点
1)海量的内部连接〔interconnection〕数量,以及FPGA技术特有的高集成度,造成对路径及模块监测的异常困难。
对此,要求在开发过程中,时刻考虑“可验证性”,否则,通路及可观测点的缺乏,将使V&V工作受限。甚至说,验证的准备工作在设计之初就要着手考虑,包括分割较大规模的模块,以简化设计的手段实现测试覆盖率的提高。
2)FPGA所具有的硬件特性,仍然需要开发和验证过程中的格外注意,包括:时钟信号偏移〔Clock skew〕, 亚稳态〔meta-stability〕, 毛刺〔glitches〕, 电压降〔power drops〕等。
在V&V活动中,加入静态分析等内容,从而监测并解决FPGA开发过程中产生的硬件错误。
3)从目前情况看,正式的,能用于FPGA开发的验证方法,以及验证相关的工具都不是很成熟,
后续应加强EDA工具的认证、断言验证的使用,以及提高硬件的性能。
4)FPGA综合的过程与软件的编译存在不同,这主要表现在任何时候,I/O信号间的约束条件必须显式声明,声明的数量一般都会有几百个、甚至更多的。只要有一个缺少,芯片中的组合运算模块,或变量处理过程就会出错。
解决这个问题,一方面需要有经验,训练有素的专业人员。同时,约束文件〔constraint file〕必须要作为V&V过程的重要对象。
参考文献:
[1] 葛亚明.零基础学FPGA:基于Altera FPGA器件&Verilog HDL语言[M].北京:机械工业出版社,2010.
[2] 钟文枫.SystemVerilog与功能验证[M].北京:机械工业出版社,2010.