張金男， 張本偉， 李文華， 杜佳璐，陳海泉

(1. 大連海事大學(xué)輪機工程學(xué)院 大連 116026； 2. 中國船級社海工技術(shù)中心 北京 100007；3. 大連海事大學(xué)信息科學(xué)技術(shù)學(xué)院 大連 116026)

?

國際海工裝備自動控制系統(tǒng)檢驗標準建設(shè)研究*

張金男1， 張本偉2， 李文華1， 杜佳璐3，陳海泉1

(1. 大連海事大學(xué)輪機工程學(xué)院 大連 116026； 2. 中國船級社海工技術(shù)中心 北京 100007；3. 大連海事大學(xué)信息科學(xué)技術(shù)學(xué)院 大連 116026)

在國家“海洋強國”戰(zhàn)略的大背景下，我國海工工業(yè)迎來了突飛猛進的發(fā)展，海工裝備自動化程度也隨之不斷提高。軟件作為以計算機為基礎(chǔ)的自動控制系統(tǒng)的核心，通過對其進行入級檢驗與驗證，保證系統(tǒng)軟件開發(fā)的質(zhì)量和可靠性，對海工裝備和平臺安全運行具有重要的意義。文章對IEEE、IACS及ABS等權(quán)威機構(gòu)發(fā)布的針對海工裝備自動控制系統(tǒng)檢驗與驗證有關(guān)標準和指南的結(jié)構(gòu)和內(nèi)容進行梳理和分析，完成了自動控制系統(tǒng)集成度、危險等級及檢驗方法等自動控制系統(tǒng)檢驗與驗證活動的核心環(huán)節(jié)的研究，探索了我國建立海工裝備自動控制系統(tǒng)檢驗與入級標準的建立方法，為完善我國海工裝備檢驗標準體系提供參考。

海工裝備;自動控制系統(tǒng)；入級檢驗與驗證；硬件在環(huán)

隨著國家海洋強國戰(zhàn)略的實施，我國海工工業(yè)迎來了突飛猛進的發(fā)展。越來越多的高集成度的自動控制系統(tǒng)被應(yīng)用在海洋平臺上，關(guān)于自動控制系統(tǒng)軟件的研發(fā)和測試技術(shù)也在不斷的進步。過去，針對基于計算機的控制系統(tǒng)的軟件進行的測試非常有限，僅由船東或系統(tǒng)供應(yīng)商針對一小部分功能進行測試，測試通常在系統(tǒng)安裝到平臺之前，且僅持續(xù)3～4 d的時間。圖1為高集成度半潛式海洋平臺的自動系統(tǒng)控制圖[1]，其中部分控制系統(tǒng)是獨立的，而又有系統(tǒng)通過現(xiàn)場總線相互之間進行通信，高度集成，增加了系統(tǒng)的復(fù)雜性。由于集中控制和無人控制要求的自動控制系統(tǒng)集成性和復(fù)雜性越來越高，隨之而來的風險性也就越來越高，從而需要對自動控制系統(tǒng)進行更深入的測試。

圖1 半潛式海洋平臺自動控制系統(tǒng)組成

本研究通過對電氣和電子工程師協(xié)會( Institute of Electrical and Electronics Engineers，IEEE)、國際船級社協(xié)會( International Association of Classification Societies，IACS)及美國船級社(American Bureau of Shipping，ABS)自動控制系統(tǒng)檢驗認證標準的分析，為中國船級社(China Classification Society，CCS)相關(guān)規(guī)范和標準的設(shè)計和建立提供參考。

1 IEEE

電氣和電子工程師協(xié)會于1986年發(fā)布了軟件檢驗與驗證標準IEEE1012TM，早期此標準僅針對軟件的檢驗與驗證計劃，經(jīng)過1998年和2004年的修訂，將標準內(nèi)容擴大到軟件的檢驗與驗證過程。最新的2012版進一步將標準的范圍擴大到系統(tǒng)及硬件驗證相關(guān)過程。新版IEEE1012-2012TM主要關(guān)注以下方面的內(nèi)容。

(1)集成度：標準定義了從低到高4個集成度用以描述系統(tǒng)、軟件和硬件的重要程度。

(2)給出了不同集成度的系統(tǒng)進行檢驗和驗證所需的最少項目，并對可選檢驗項目進行列表，用以區(qū)別對待不同的系統(tǒng)，滿足系統(tǒng)的多樣性和特定功能性要求。

(3)針對不同集成度的系統(tǒng)，相應(yīng)的檢驗深度和嚴格程度也不同。對于高集成度的系統(tǒng)需要進行嚴格深入的檢驗和測試。測試深度包括針對正常工況到非正常工況進行非常寬泛的分析。嚴格程度是指更為精確正式的測試技術(shù)和嚴謹?shù)倪^程記錄。

(4)檢驗與驗證過程中的相關(guān)判斷標準。該標準為每個檢驗與驗證環(huán)節(jié)制定了判斷標準，包括針對糾錯性、一致性、精確性、可靠性和可測試性制定的判斷標準。關(guān)于檢驗與驗證環(huán)節(jié)的描述包含了相關(guān)輸入和輸出的列表。

(5)針對系統(tǒng)的危害性分析、安全性分析、風險性分析、可移植性鑒定及報廢評估。系統(tǒng)相關(guān)的特殊分析環(huán)節(jié)包含在具體的檢驗與驗證判斷標準中。

(6)與其他國際的及IEEE相關(guān)標準的一致性，如與ISO/IEC 15288:2008 關(guān)于軟件開發(fā)生命周期相關(guān)標準的一致性，以及與IEEE軟件工程標準的一致性。

2 IACS

2000年，IACS發(fā)布了更深入的通用性標準E22《船用可編程控制器統(tǒng)一要求》。此新標準對硬件和軟件測試以及集成性測試都進行了詳細的規(guī)定。軟硬件測試的深度和需要提交審核文檔的數(shù)量取決于待測試系統(tǒng)的危險程度。該標準根據(jù)單一故障的危險性建立了三級危險等級(表1)。對于更高危險級別的系統(tǒng)(1類危險)需要進行附加的更深度的測試。

表1 系統(tǒng)危險等級的劃分

3 ABS

ABS于2010年起開始針對軟件檢驗的硬件在環(huán)( hardware in loop，HIL)測試技術(shù)進行研究，并于2012年先后頒布了《集成軟件質(zhì)量管理指南》和《系統(tǒng)驗證指南》，并對滿足指南要求的自動控制系統(tǒng)授予附加的入級符號ISQM和SV。

3.1 《集成軟件質(zhì)量管理指南》分析

《集成軟件質(zhì)量管理指南》對軟件開發(fā)、設(shè)計、安裝與維護等軟件開發(fā)生命周期( systems development life cycle，SDLC)過程進行指南，依照此指南進行軟件開發(fā)的系統(tǒng)，經(jīng)檢驗審查后，將被授予“ISQM”附加符號。SDLC被廣泛地應(yīng)用于信息工業(yè)領(lǐng)域，主要包含項目初始化、軟件開發(fā)計劃、軟件設(shè)計、軟件組裝及軟件維護等5個階段(圖2)。[2]

圖2 軟件開發(fā)生命周期流程

軟件開發(fā)生命周期始于項目初始化階段，在此階段需明確客戶需求，并正式提出有效的方法來解決存在的問題或優(yōu)化現(xiàn)存的系統(tǒng)。此階段還需考慮此開發(fā)項目的預(yù)算問題，從而保證有足夠的資金支撐，能夠順利地進行。

當項目正式立項以后，就進入軟件開發(fā)計劃階段，此階段應(yīng)明確系統(tǒng)范圍并建立明確的時間表，用以保證項目可以及時的完成。此階段還應(yīng)對系統(tǒng)開發(fā)的復(fù)雜性和判斷標準進行分析，針對特定的要求研究相應(yīng)的處理方法，最大限度上減少未來可能導(dǎo)致整個系統(tǒng)出錯和異常的可能性。

軟件設(shè)計階段需要合理的對系統(tǒng)軟件的邏輯結(jié)構(gòu)和物理結(jié)構(gòu)進行設(shè)計，且此設(shè)計應(yīng)具有可重復(fù)性。邏輯設(shè)計應(yīng)能在整個系統(tǒng)中通用，而物理結(jié)構(gòu)設(shè)計則由技術(shù)細節(jié)、具有編程功能的元件、具有數(shù)據(jù)捕捉功能的硬件和相應(yīng)輸出設(shè)備組成。

經(jīng)過合理的軟件計劃和設(shè)計階段后，需把實際系統(tǒng)的相關(guān)參數(shù)整合到編程程序里。通過對程序進行編譯和調(diào)試，對發(fā)現(xiàn)潛在的錯誤不斷地修改，再反復(fù)進行深度的測試，保證系統(tǒng)的穩(wěn)定性和可靠性。同時在調(diào)試和試運行期間，也可以完成使用者的軟件實操和管理培訓(xùn)。軟件維護階段主要是監(jiān)視軟件運行與客戶要求的一致性，并從運行記錄數(shù)據(jù)中搜集關(guān)于系統(tǒng)性能的反饋信息，并在適當?shù)臅r候?qū)ο到y(tǒng)軟件進行修改和升級，延長系統(tǒng)軟件的可用性。

嚴格依照軟件開發(fā)標準指南在系統(tǒng)的生命周期中進行新軟件的開發(fā)可以使包括船東、軟件開發(fā)商和操作人員在內(nèi)的所有的利益相關(guān)方獲益，具體包括：① 指南給合同雙方提供一個對話、商談的基礎(chǔ)，采用一致的標準和指南，雙方溝通更有效率；② 指南為軟件開發(fā)商提供了通用的軟件開發(fā)流程，且能使開發(fā)團隊更徹底地對替代方法的可行性進行評估；③ 指南方便對數(shù)據(jù)進行一致的定義、讀取及記錄報告，提高了系統(tǒng)的兼容性和標準化；④ 對軟件的可靠性有更高的信心；⑤ 開發(fā)周期縮短；⑥ 系統(tǒng)出現(xiàn)死機或停止工作的幾率減小；⑦ 軟件相關(guān)故障所引起的風險程度降低。

3.2 《系統(tǒng)驗證指南》分析

《系統(tǒng)驗證指南》分為兩部分，第一部分由9節(jié)組成，詳細描述了獲得“SV”附加符號所需提交的材料和進行的測試。第二部分由一系列附錄組成，每個附錄針對一個特定的系統(tǒng)進行相關(guān)系統(tǒng)驗證指南。目前特定系統(tǒng)僅限于動力定位系統(tǒng)、用于動力定位的電源管理系統(tǒng)和用于電力推進的電源管理系統(tǒng)。

表2為針對47個動力定位(Dynamic Positioning，DP)控制系統(tǒng)和15個電源管理系統(tǒng)( Power Management System，PMS)的HIL測試進行統(tǒng)計[3]。

表2 針對DP和PMS進行HIL測試發(fā)現(xiàn)的問題統(tǒng)計

上述數(shù)據(jù)表明，HIL測試能夠保證控制系統(tǒng)軟件的質(zhì)量及集成性能，從而使控制系統(tǒng)更加安全，更加可靠/有效的操作。

對特定系統(tǒng)進行驗證，首先需要根據(jù)故障模式失效性分析或故障樹分析法( Failure Mode， Effects and Criticality Analysis，F(xiàn)MECA)對目標系統(tǒng)進行分析，并制定驗證計劃。相關(guān)分析方法和驗證計劃需提交ABS審查。驗證計劃需具有足夠的廣度和深度，并充分考慮到目標系統(tǒng)的復(fù)雜性和重要性。根據(jù)驗證計劃確定測試范圍，并提交ABS審查。

系統(tǒng)驗證通常采用的方法有3種，分別是硬件在環(huán)測試、軟件在環(huán)測試和系統(tǒng)狀態(tài)估計。其中硬件在環(huán)測試是把控制系統(tǒng)安裝在與實際情況完全相同的硬件上，并與被控設(shè)備( Equipment Under Control，ECU)模擬器進行連接，通過被測系統(tǒng)與模擬器在不同工況下的信息交互來測試控制系統(tǒng)的性能。硬件在環(huán)測試可以在軟件開發(fā)的任何階段及任何場所進行。

系統(tǒng)驗證僅對系統(tǒng)當前的性能進行測試，而性能的保持需要依據(jù)有效的生命周期質(zhì)量管理體系對系統(tǒng)進行維護。系統(tǒng)驗證由于驗證范圍的限制，也不能夠發(fā)現(xiàn)系統(tǒng)硬件和軟件存在的所有問題。有效的系統(tǒng)驗證需要廣泛的驗證范圍和足夠的資金進行支持。

4 總結(jié)

本研究對IEEE，IACS及ABS等機構(gòu)頒發(fā)的與自動控制系統(tǒng)研發(fā)和檢驗等相關(guān)的標準、規(guī)范及指南的結(jié)構(gòu)和內(nèi)容進行分析。通過分析，為我國CCS建立海工裝備自動控制系統(tǒng)入級檢驗標準提供參考依據(jù)，對于完善海工裝備入級規(guī)范體系的建立有一定的指導(dǎo)意義。

[1] SKJETNE R， EGELAND O. Hardware-in-the-loop testing of marine control system[J]. Modeling， Identification and Control， 2006， 27(4):239-258.

[2] HOFFER J, GEORGE A J，VALACICH F. Modern system analysis and design[M].5th Edition. Pearson:Upper Saddle River，2008.

[3] Marine Cybernetics. 硬件在環(huán)測試技術(shù)[EB/OL].(2014-01-01)[2015-03-12].http://www.marinecybernetics.com/technology/hil-testing.

工信部項目“海洋工程裝備設(shè)計建造標準體系頂層研究”(工信部聯(lián)裝〔2012〕534號)；中央高?；究蒲袠I(yè)務(wù)費專項資金資助(3132014332，3132015025).

P75

A

1005-9857(2015)08-0016-04