ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ

ПНСТ 118 —

2016/

МЭК 62566: 2012

АТОМНЫЕ СТАНЦИИ

Контроль и управление, важные для безопасности. Использование программируемых интегральных схем для применения в системах, выполняющих функции категории А

(IEC 62566:2012, ЮТ)

Издание официальное

Москва

Стандартинформ

2016

ПНСТ 118—2016

Предисловие

1    ПОДГОТОВЛЕН Негосударственным образовательным частным учреждением «Новая Инженерная Школа» (НОЧУ «НИШ») на основе официального перевода на русский язык англоязычной версии указанного в пункте 4 стандарта, который выполнен Российской комиссией экспертов МЭК/ТК 45

2    ВНЕСЕН Техническим комитетом по стандартизации ТК 322 «Атомная техника»

3    УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 8 июня 2016 г. № 40-пнст

4    Настоящий стандарт идентичен международному стандарту МЭК 62566:2012 «Атомные станции. Контроль и управление, важные для безопасности. Использование программируемых интегральных схем для применения в системах, выполняющих функции категории А» (IEC 62566:2012 «Nuclear power plants — Instrumentation and control important to safety — Development of HDL-prog rammed integrated circuits for systems performing category A functions», IDT)

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные и межгосударственные стандарты, сведения о которых приведены в дополнительном приложении ДА.

5    ВВЕДЕН ВПЕРВЫЕ

Правила применения настоящего стандарта и проведения его мониторинга установлены в ГОСТ Р 1.16-2011 (разделы 5 и 6).

Федеральное агентство по техническому регулированию и метрологии собирает сведения о практическом применении настоящего стандарта Данные сведения, а также замечания и предложения по содержанию стандарта можно направить не позднее чем за 9 мес до истечения срока его действия разработчику настоящего стандарта по адресу: vniinmash@gost.ru и в Федеральное агентство по техническому регулированию и метрологии по адресу: Ленинский проел., д. 9. Москва В-49. ГСП-1. 119991.

В случае отмены настоящего стандарта соответствующее уведомление будет опубликовано в ежемесячном информационном указателе «Национальные стандарты» и журнале «Вестник технического регулирования». Уведомление будет размещено также на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (mvw gost.ru)

© Стандартинформ. 2016

Настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Федерального агентства по техническому регулированию и метрологии

II

ПНСТ 118—2016

4    Обозначения и сокращения

В настоящем стандарте применены следующие сокращения:

ASIC — специализированная интегральная схема;

CCF — отказ по общей причине;

CPLD — сложная программируемая логическая интегральная схема;

DRC — нормоконтроль;

ESL — уровень электронной системы;

FPGA— программируемая пользователем вентильная матрица;

HDL — язык описания аппаратуры;

HPD — HDL-программируемое устройство;

IP — интеллектуальная собственность ИС;

I&C — контроль и управление;

PAL — программируемая логическая матрица;

PDB — предварительно разработанный блок:

PDS — предварительно разработанное программное обеспечение;

PLD — программируемая логическая интегральная схема:

RAM — оперативное запоминающее устройство;

RTL — уровень регистровых передач;

SEU — отказ в результате единичного события;

SRAM¹)— статическая оперативная память с произвольным доступом;

STA— статический временной анализ;

VHDL — язык описания аппаратуры интегральных схем;

V&V — верификация и валидация.

5    Общие требования к проектам HDL-программируемых устройств

5.1    Общие положения

В настоящем разделе сначала определено местоположение HPD в системе контроля и управления. описанной в МЭК 61513. Затем рассмотрен жизненный цикл разработки HPD. структурирующий проект HPD.

В настоящем стандарте установлены требования к проектам HPD. обеспечению качества и управлению конфигурацией, т. к. данные вопросы сходны с вопросами разработки программного обеспечения. требования устанавливают посредством ссылок на соответствующие разделы МЭК 60880. дополняемых специальными требованиями к HPD по мере необходимости.

В разделе 1 «Область применения» определено, что настоящий стандарт не устанавливает требования к разработке микроэлектронных технологий или заготовок интегральных схем. Следовательно, такие формулировки, как «разработка HPD», «жизненный цикл HPD», «конструкция HPD» или «верификация HPD», относятся к мероприятиям в рамках проекта по I&C. начиная с технологий или заготовок интегральных схем до разработки конкретных интегральных схем для применения в системе I&C.

5.2    Жизненный цикл

Процесс разработки систем I&C, важных для безопасности АС. рассмотрен в МЭК 61513. в котором вводится понятие «жизненный цикл системы». Это инструмент, посредством которого можно управлять процессом разработки и принятие которого дает обоснование правильной эксплуатации систем

') Данное сокращение не используется в оригинальном тексте, сохранено для обеспечения идентичности перевода

5

обеспечения безопасности Жизненный цикл системы содержит и налагает требования на производство систем, но не диктует механизмы реализации проекта которые будут использоваться для такого производства (см рисунок 1).

Рисунок 1 — Жизненный цикл системы (справочный, по МЭК 61513)

Жизненный цикл системы по МЭК 61513 дополнен в МЭК 60880 (для функций категории А). МЭК 62138 (для функций категории В и С)—для разработки программного обеспечения и в МЭК 60987 — для разработки аппаратуры компьютерных систем. Требования настоящего стандарта применяют к разработке HPD в системах класса 1. в дополнение к требованиям МЭК 60987.

Примечание — В случае противоречивых требований настоящий стандарт заменяет требования МЭК 60987 к HPD класса 1

HPD разрабатывают посредством компьютерных инструментов, которые структурируют разработку согласно жизненному циклу, включающему в себя мероприятия по установлению требований, проектированию и реализации, интеграции и валидации наряду с мероприятиями верификации и тестирования

Этапы проектирования и реализации системы по МЭК 61513. приведенные на рисунке 1 (в частности, «Приобретение оборудования» (системного программного обеспечения и аппаратуры) и «Разработка нового системного программного обеспечения и аппаратных функций»], являются основными этапами жизненного цикла системы по МЭК 61513. Этапы между спецификацией требований и валидацией для элементов системы, которые являются HPD. подробно проиллюстрированы на рисунке 2

6

ПНСТ 118—2016

Рисунок 2 — Жизненный цикл разработки HPD

Как правило, проектировщики используют предварительно разработанные элементы, такие как программируемые заготовки интегральных схем или РОВ, для построения интегральных схем, адаптированные под требования проекта. Мероприятия по выбору предварительно разработанных элементов приведены в разделе 7. Данные мероприятия можно проводить параллельно с первыми этапами жизненного цикла, представленного на рисунке 2, при условии, что все зависимости находятся под контролем и документально зафиксированы.

На рисунке 2 представлен жизненный цикл разработки HPD. который можно применять параллельно с разработкой других (программных или аппаратных) элементов системы, как показано на рисунке 1, но объединяемых на этапах интеграции и валидации жизненного цикла системы.

Предложенный подход к разработке основан на традиционной модели V-образной модели («цикла снижения — роста»), поскольку данный подход приведен в других стандартах и также рекомендуется в NS-G 1.3 МАГАТЭ. Данный подход позволяет вносить необходимые корректировки с учетом того, что некоторые этапы разработки могут быть выполнены автоматически инструментами и что разработка может носить итерационный характер.

Как правило, отсутствует явное разделение и четко определенная граница между интеграцией данного элемента и интеграцией на уровне системы. Таким образом, в настоящем стандарте интеграция HPD считается частью системной интеграции. Точно так же валидация HPD считается частью валидации системы.

В зависимости от функции, реализуемой HPD. рассматриваемая во время интеграции система или подсистема может варьироваться:

1)    от системы I&C в случае, если HPD осуществляет логику функции безопасности;

2)    до электронной платы или шкафа в случае, если HPD реализует функцию (внутреннюю по отношению к плате или шкафу), при этом с помощью надлежащего анализа было подтверждено, что она не может повлиять на выходные сигналы какой-либо функции безопасности на других уровнях системы.

Как правило, ситуация наиболее критична с точки зрения безопасности в том случае, если HPD непосредственно реализует логику функции безопасности.

7

Процесс разработки HPD включает в себя следующие мероприятия:

a)    управление проектом (см. 5.3);

b)    обеспечение качества и контроль качества (см. 5.4);

c)    управление конфигурацией (см. 5.5);

d)    верификация (см. раздел 9).

Существуют также мероприятия, касающиеся выбора инструментов для поддержки разработки (см. раздел 15), подготовки документации (см. приложение А) и модификации («и. раздел 12).

5.3 Управление проектом HDL-программируемого устройства

5.3.1    Общие положения

5.3.1.1    Каждое HPD необходимо разрабатывать в рамках специализированного проекта HPD.

5.3.1.2    Необходимо, чтобы проект HPD соответствовал требованиям МЭК 60880:2006 (подраздел 5.4) (заменяя термин «программное обеспечение» на термин «HPD»).

Примечание 1 — Типовой перечень документов, необходимых на протяжении жизненного цикла, приведен в приложении А

Примечание 2 — Документально зарегистрированные входные данные, рассмотренные в МЭК 60880 2006 (пункт 5 4 6). включают в себя параметры для автоматизированных действий программных инструментов (например, оптимизировать синхронизацию, оптимизировать плотность и т д )

5.3.1.3    Процесс разработки может быть итерационным, следующий этап может начаться до завершения мероприятий предыдущего этапа. Однако этап необходимо завершать, только если предыдущие этапы выполнены и результаты данного этапа согласуются с входными данными, полученными от предыдущих мероприятий.

5.3.1    4 В этапы проекта HPD необходимо включить спецификацию требований, проектирование и реализацию HPD.

5.3.2    Дополнительные требования

5.3.2.1    Предварительно разработанные элементы, используемые в проекте, необходимо выбирать согласно требованиям раздела 7.

5.3.2.2    Необходимо установить критерии перехода от одного этапа к другому.

5.3.2.3    Необходимо обеспечить методологическое и техническое содержание критериев для завершения этапа, включая подробную информацию, вследствие чего их оценка требует всестороннего анализа результатов этапа.

5.3.2 4 В документацию, согласно требованиям МЭК 60880 2006 (пункт 5.4.11), необходимо включить описание функций, выполняемых HPD и его интерфейсом.

5.4    План обеспечения качества HDL-программируемого устройства

Необходимо наличие плана обеспечения качества HPD, соответствующего требованиям МЭК 60880:2006 (подраздел 5.5) (заменяя в требованиях термин «программное обеспечение» на термин «HPD»).

Примечание —В данном контексте «язык» означает «компьютерный язык».

5.5    Управление конфигурацией

5.5.1    Управление конфигурацией HPD необходимо выполнять согласно требованиям МЭК 60880:2006 (подраздел 5.6). заменяя в требованиях термин «программное обеспечение» на термин «HPD».

Примечание — Разделение, требуемое согласно МЭК 60880 2006 (подраздел 5 5) относится к документации и компьютерным файлам, используемым или полученным в проекте HPD

5.5.2    Необходимо, чтобы при управлении конфигурацией фиксировались следующие элементы:

a)    документация модулей (блоков), разработанных в рамках проекта, и PDB;

b)    идентификационная маркировка интегральных схем;

c)    компьютерные файлы, используемые для моделирования, верификации и производства;

d)    параметры, используемые для автоматизированных действий инструментальных программ (см. раздел 15), таких как «оптимизировать синхронизацию, оптимизировать плотность», для действия «размещение и трассировка»;

8

ПНСТ 118—2016

е) идентификация версий всех инструментальных программ (см раздел 15). включая любые примененные программные корректировки, а также библиотеки общего назначения и технологические библиотеки.

6 Спецификация требований к HDL-программируемому устройству

6.1    Общие положения

6.1.1    В спецификации требований необходимо документально зафиксировать требования к HPD. либо непосредственно в самой спецификации, либо ссылаясь на совокупность требований, установленных на уровне системы или подсистемы (например, реализуемое функциональное поведение).

6.1.2    Необходимо, чтобы спецификация требований была понятной для всех участников, включая инженеров по разработке аппаратуры и лиц. упомянутых в 6.6.

6.1.3    Необходимо, чтобы спецификация требований была однозначной, верифицируемой и достижимой, в том числе по временным аспектам.

6.1    4 В случае если HPD реализует функцию безопасности, необходимо, чтобы его спецификация требований следовала из требований системы I&C. осуществляющей данную функцию безопасности, и была частью спецификации подсистемы, которая использует HPD.

6.1.5    Необходимо, чтобы спецификация требований содержала описание того, что должно быть сделано, а не как оно должно быть сделано.

6.1.6    Для разработки спецификации требований необходимо определить и реализовать документально фиксируемый, формальный и подконтрольный процесс.

6.1.7    Спецификация требований должна позволять проверку соответствия спецификации требований системы I&C. Если HPD применяется подсистемой системы I&C, то должна быть возможна проверка соответствия спецификациям проекта системы.

6.1.8    Необходимо, чтобы спецификация требований рассматривала все рабочие состояния АС до уровня HPD для реализуемых функций.

6.1.9    Необходимо рассмотреть требования к интерфейсу с другими системами или элементами согласно МЭК 61513.

6.1.10    Необходимо документально зафиксировать требования к интерфейсу с другими системами или элементами.

6.1.11    В случае если данные требования не являются частью требований HPD. но следуют из проектных решений HPD, необходимо документально зафиксировать следующие требования к интерфейсу:

a)    электрические и временные характеристики (например, входная нагрузка, установка и время удержания входных сигналов, рабочая частота, коэффициент разветвления по выходу, время распространения от любого входа к соответствующим выходам);

b)    профили сопрягаемого сигнала и источников электропитания;

c)    требования к рассеиванию мощности, рабочей температуре и охлаждению.

6.2    Функциональные аспекты спецификации требований

В настоящем подразделе приведено содержание спецификации требований, непосредственно связанных с функциональными потребностями. Подразделы 6.3 и 6.4 рассматривают дополнительные аспекты, подлежащие включению в спецификацию требований.

В спецификации требований необходимо указать:

a)    функции, реализуемые HPD;

b)    различные режимы HPD и соответствующие условия перехода, включая подачу электропитания и инициализацию;

c)    интерфейсы HPD и взаимодействия с окружающей средой (операторами и другими элементами I&C), включая роли, протоколы, типы, форматы данных, нумерацию битов, диапазоны и ограничения входных и выходных сигналов;

d)    параметры HPD. которые можно модифицировать вручную при эксплуатации, и их роли;

e)    эксплуатационные характеристики HPD, в частности быстродействие;

0 информацию о том. что HPD не должно делать при необходимости;

9

g) предположения относительно окружающей HPD среды (например, электрические и временные характеристики входных и выходных сигналов, источников электропитания, заданные профили при подаче электропитания, охлаждении).

6.3 Детерминированное проектирование

В спецификации требований необходимо указать, что функция HPD детерминирована умышленно. Это означает, что любая данная входная последовательность, выполняющая электрическую и временную спецификацию, всегда производит одинаковые выходные сигналы.

Примечание — Современные FPGA и другие интегральные схемы, рассматриваемые в настоящем стандарте. могут содержать в себе аналоговые функциональные блоки (например, аналого-цифровой преобразователь). которые подвергаются электронным помехам, погрешностям оцифровки и т д Изменения в отклике названных аналоговых функциональных блоков по указанным причинам, так же как их воздействия на отклик HPD, не являются нарушениями в детерминированной конструкции.

6.4 Обнаружение отказов и устойчивость к неисправностям

Применяют требования МЭК 60987 (подразделы 5.3 и 5.4). рассматривающие надежность относительно случайных отказов и допустимых климатических условий. Сюда входят неисправности, обусловленные SEU нейтронного или альфа-излучения.

Защитный проект, как правило, основан на сочетании методик (например, резервирование, мажоритарная выборка, контроль по четности и контроль с использованием циклического избыточного кода, сторожевой таймер, контроль по диапазону и проверка правдоподобия).

6 4 1 В спецификации требований необходимо определить требования к защитному проектированию. чтобы рассмотреть обнаружение отказов и устойчивость к дефектам и ошибкам.

6.4.2    Преимущество мер защитного проектирования следует уравновесить их вынужденной дополнительной сложностью. Общая цель состоит в том. чтобы принять во внимание контролируемость HPD во время проектирования и реализации с помощью внутренних и внешних средств обнаружения для выявления неисправностей.

6.4.3    В спецификации требований необходимо привести положения по обнаружению нарушений функционирования HPD с учетом положений, уже принятых на уровне системы или подсистемы.

6.4.4    Эти положения могут потребовать от HPD дополнительных выходных сигналов либо для использования внешнего механизма, такого как сторожевой таймер, либо для достижения покрытия контроля, выполняемого внешним испытательным устройством.

6.4.5    Защитное проектирование должно обеспечивать обнаружение ошибочного поведения (такого. как повреждение данных, или отклонение от указанного алгоритма обработки, или отклонение от заданных рабочих состояний), ошибочной передачи данных между блоками обработки, непреднамеренного изменения данных конфигурации или памяти.

6.4.6    Защитное проектирование не должно оказывать неблагоприятного влияния на функции системы I&C и препятствовать тому, чтобы HPD соответствовало спецификации быстродействия.

6.4.7    В спецификации требований необходимо привести описание ожидаемого логического и временного поведения (такого, как выходные значения и выдаваемая конкретная информация) при обнаружении неисправности.

6.4.8    Необходимо, чтобы указанное поведение соответствовало поведению системы, требуемому спецификацией системы, и удовлетворяло требованиям проектирования системы в соответствии с МЭК 61513.

6.4.9    В спецификации требований необходимо указать и обосновать целевое покрытие обнаружения отказов, которое будет достигнуто с помощью защитного проектирования.

6.5 Определение требований с помощью инструментов проектирования на уровне

электронных систем

6.5.1 Общие сведения

Настоящий стандарт не устанавливает конкретного метода для определения требований к HPD. В случае если их определяют с помощью инструментов проектирования электронных систем на системном уровне (ESL) (см. приложение В. пункт В.1), то к этим инструментам и их использованию применяют требования 6.5.2 и 6.5.3.

ПНСТ 118—2016

Содержание

1    Область применения.................................................................1

1.1    Общие положения................................................................1

1.2    Применение настоящего стандарта..................................................2

2    Нормативные ссылки.................................................................2

3    Термины и определения...............................................................3

4    Обозначения и сокращения............................................................5

5    Общие требования к проектам HDL-программируемых устройств............................5

5.1    Общие положения................................................................5

5.2    Жизненный цикл.................................................................5

5.3    Управление проектом HDL-лрограммируемого устройства...............................8

5.4    План обеспечения качества HDL-лрограммируемого устройства..........................8

5.5    Управление конфигурацией........................................................8

6    Спецификация требований к HDL-программируемому устройству............................9

6.1    Общие положения................................................................9

6.2    Функциональные аспекты спецификации требований...................................9

6.3    Детерминированное проектирование...............................................10

6.4    Обнаружение отказов и устойчивость к неисправностям...............................10

6.5    Определение требований с помощью инструментов проектирования на уровне

электронных систем................................................................10

6.6    Анализ и обзор требований.......................................................11

7    Процесс обоснования применения для программируемых интегральных схем,

конфигурируемых блоков и предварительно разработанных блоков...........................11

7.1    Общие положения...............................................................11

7.2    Спецификация требований к элементам.............................................12

7.3    Правила использования..........................................................12

7.4    Выбор.........................................................................13

7.5    Подтверждение обоснования применения...........................................14

7.6    Модификация для обоснования применения.........................................14

7.7    Модификация после обоснования применения.......................................14

7.8    Документация для обоснования применения.........................................14

8    Проектирование и реализация HDL-лрограммируемого устройства..........................15

8.1    Общие положения...............................................................15

8.2    Языки описания аппаратуры и сопутствующие инструменты............................15

8.3    Проектирование.................................................................15

8.4    Реализация....................................................................19

8.5    Инструменты системного уровня и автоматизированного кода...........................21

8.6    Документация...................................................................22

8.7    Экспертиза проекта и реализации..................................................22

9    Верификация HDL-программируемого устройства........................................23

9.1    Общие положения...............................................................23

9.2    План верификации..............................................................23

9.3    Верификация использования предварительно разработанных элементов.................24

9.4    Верификация проекта и реализации................................................24

9.5    Испытательные стенды...........................................................24

III

ПНСТ 118—2016

9.6    Тестовое покрытие..............................................................25

9.7    Выполнение испытаний...........................................................25

9.8    Статическая верификация........................................................26

10    Аспекты системной интеграции HDL-программируемого устройства........................26

10.1    Общие положения..............................................................26

10.2    Аспекты плана системной интеграции для HDL-программируемого устройства............26

10.3    Специфические аспекты системной интеграции.....................................27

10.4    Верификация интегрированной системы...........................................27

10.5    Процедуры устранения отказа....................................................28

10.6    Аспекты отчета об испытании интегрированной системы с HDL-программируемым

устройством.......................................................................28

11    Аспекты валидации системы с HDL-программируемыми устройствами......................28

11.1    Общие положения..............................................................28

11.2    Аспекты плана валидации системы с HDL-программируемыми устройствами.............28

11.3    Валидация системы.............................................................28

11.4    Аспекты отчета о валидации системы с HDL-программируемыми устройствами...........29

11.5    Процедуры устранения отказа....................................................29

12    Модификация.....................................................................29

12.1    Модификация требований, конструкции или реализации..............................29

12.2    Модификация микроэлектронной технологии........................................29

13    Производство HDL-программируемого устройства.......................................30

13.1    Общие положения..............................................................30

13.2    Производственные испытания....................................................30

13.3    Программирующие файлы и программирование.....................................30

14    Аспекты монтажа, ввода в эксплуатацию и эксплуатации HDL-программируемого устройства .. .30

15    Инструментальные программы для разработки HDL-программируемых устройств.............31

15.1    Общие положения..............................................................31

15.2    Дополнительные требования к инструментам проектирования, реализации

и моделирования...................................................................31

16    Сегментация или разделение конструкции.............................................31

16.1    Вводные сведения..............................................................31

16.2    Вспомогательные функции или функции поддержки..................................32

17    Защита от отказа по общей причине в HDL-программируемом устройстве...................32

17.1    Вводные сведения..............................................................32

17.2    Требования....................................................................33

Приложение А (справочное) Документация................................................34

Приложение В (справочное) Разработка HDL-программируемых устройств.....................36

Приложение ДА (справочное) Сведения о соответствии ссылочных международных стандартов

национальным стандартам ..............................................39

Библиография.......................................................................40

IV

ПНСТ 118—2016

Введение

a)    Технические положения, основные вопросы и организация стандарта

Используемые на атомных станциях (далее — АС) электронные системы класса 1 (по МЭК 61513). необходимые в аварийных ситуациях, должны быть аттестованы до начала их эксплуатации.

В традиционных системах, которые являются компьютерными, можно провести разделение между аппаратной и программной частями. Аппаратные средства в основном проектируют с применением стандартизированных элементов, имеющих заданные электронные функции, таких как микропроцессоры, таймеры или сетевые контроллеры, тогда как программное обеспечение применяется для координации работы различных частей аппаратных средств и реализации прикладных функций.

В настоящее время проектировщики средств контроля и управления могут создавать прикладные функции непосредственно на одной интегральной схеме с помощью таких устройств, как программируемая пользователем вентильная матрица (ППВМ). или устройств, изготовленных по подобным технологиям. Функция такой интегральной схемы определяется не поставщиком физического элемента или микроэлектронной технологии, а проектировщиком средств контроля и управления.

Настоящий стандарт рассматривает интегральные схемы (ИС):

1)    основанные на предварительно разработанных микроэлектронных ресурсах;

2)    разработанные в рамках проекта по контролю и управлению;

3)    разработанные с помощью языков описания аппаратуры (HDL) и связанных с ними инструментов. используемых для реализации требований в надлежащей сборке предварительно разработанных микроэлектронных ресурсов.

Данные схемы называют «HDL-программируемыми устройствами» (HPD). Операторы HDL. описывающие HPD. могут включать в себя создание экземпляров предварительно разработанных блоков (PDB), которые, как правило, поставляются в виде библиотек, макроопределений или 1Р-ядер.

HPD могут представлять собой эффективные решения для реализации функций, требуемых проектом по контролю и управлению (I&C). Однако верификацию и валидацию (V&V) могут ограничивать такие проблемы, как большое число внутренних путей и ограниченная наблюдаемость, если HPD разрабатывалось без учета верифицируемости.

Для того чтобы достигнуть уровня надежности, требуемого для систем контроля и управления по обеспечению безопасности, разработка HPD должна соответствовать строгим технологическим и техническим требованиям, таким как требования, приведенные в настоящем стандарте, включая спецификацию требований, выбор заготовок интегральных схем и предварительно разработанных блоков (РОВ), проектирование и реализацию, верификацию и методики эксплуатации и технического обслуживания.

Настоящий стандарт предназначен для использования проектировщиками аппаратных средств, операторами АС (энергетическими компаниями) и регулирующими органами. Регулирующие органы могут воспользоваться рекомендациями по оценке важных аспектов, таких как проектирование, реализация. верификация и валидация HPD.

b)    Место настоящего стандарта в структуре серии стандартов МЭК ПК 45А

МЭК 61513 является документом МЭК ПК 45А первого уровня и содержит руководство, применимое к контролю и управлению на уровне системы. МЭК 61513 дополнен руководством на аппаратном уровне (МЭК 60987) и уровне программного обеспечения (МЭК 60880 и МЭК 62138). МЭК 62340 содержит требования, направленные на снижение и предотвращение возможности отказа по общей причине функций категории А.

МЭК 62566 является документом МЭК ПК 45А второго уровня, который устанавливает мероприятия, проводимые при разработке HDL-программируемых устройств. МЭК 62566 дополняет МЭК 60987, который рассматривает типовые проблемы проектирования аппаратуры компьютерных систем. По вопросам решения проблем, идентичных проблемам разработки программного обеспечения, данный стандарт ссылается на МЭК 60880

Более подробное описание структуры серии стандартов МЭК ПК 45А см. в перечислении d) настоящего введения.

c)    Рекомендации и ограничения относительно применения стандарта

Важно отметить, что настоящий стандарт не устанавливает дополнительных функциональных требований к системам безопасности.

V

Особые требования и рекомендации разработаны по следующим аспектам:

1)    подход к определению требований к проектированию, реализации и верификации HPD (см. 3.7) и управлению соответствующими аспектами интеграции на уровне систем и валидации;

2)    подход к анализу и выбору заготовок интегральных схем, микроэлектронных технологий и PDB (см. 3.11), используемых при разработке HPD;

3)    методики управления модификацией и конфигурацией HPD;

4)    требования к выбору и использованию программных инструментов, применяемых при разработке HPD.

Цифровые технологии продолжают быстро развиваться, поэтому в настоящем стандарте невозможно рассмотреть все современные технологии и методики проектирования.

Для гарантии того, что настоящий стандарт останется актуальным в будущем, особое внимание уделено принципиальным вопросам, а не конкретным технологиям. При разработке новых методик необходимо наличие возможности оценить пригодность таких методик посредством применения принципов безопасности, приведенных в настоящем стандарте.

d) Описание структуры серии стандартов МЭК ПК 45А и их связи с другими документами МЭК и документами других организаций (МАГАТЭ, ИСО)

Стандартом высшего уровня в серии стандартов МЭК ПК 45А является МЭК 61513. Он содержит общие требования к системам и оборудованию контроля и управления, выполняющим функции, важные для безопасности на атомных электростанциях. МЭК 61513 формирует структуру серии стандартов МЭК ПК 45А.

МЭК 61513 содержит прямые ссылки на другие стандарты МЭК ПК 45А. рассматривающие общие темы, связанные с классификацией функций и классификацией систем, аттестацией, разделением систем. защитой от отказа по общей причине, аспектами программного обеспечения ЭВМ. аспектами аппаратных средств ЭВМ и проектированием пультовых. Стандарты второго уровня, на которые имеются ссылки, последовательно рассматривают вместе с МЭК 61513.

На третьем уровне стандарты МЭК ПК 45А. на которые нет прямых ссылок в МЭК 61513, — это стандарты, связанные с определенным оборудованием, техническими методами или определенной деятельностью. Как правило, документы, ссылающиеся на документы второго уровня (по общим темам), могут использоваться самостоятельно.

Четвертый уровень серий стандартов МЭК ПК 45А представляет собой Технические Отчеты, которые не являются нормативными документами.

МЭК 61513 выполнен в формате изложения, подобном основной публикации по безопасности МЭК 61508. и содержит полную схему жизненного цикла безопасности и структуру жизненного цикла системы, а также предоставляет интерпретацию основных требований, изложенных в МЭК 61508-1, МЭК 61508-2 и МЭК 61508-4, применительно к ядерной отрасли. Соответствие МЭК 61513 облегчит выполнение требований, изложенных в МЭК 61508, поскольку они были интерпретированы для ядерной промышленности. В этой структуре МЭК 60880 и МЭК 62138 соответствуют МЭК 61508-3 применительно к ядерной отрасли.

МЭК 61513 ссылается на стандарты ИСО и документ МАГАТЭ GS-R-3 и МАГАТЭ GS-G-3.1 по вопросам. связанным с обеспечением качества.

Стандарты серии МЭК ПК45А последовательно внедряют и детализируют принципы и основные аспекты безопасности, предусмотренные в Руководствах МАГАТЭ по безопасности атомных станций и в других документах по безопасности МАГАТЭ, в особенности в требованиях NS-R-1, устанавливающих требования к безопасности при проектировании атомных электростанций, и в Руководстве по Безопасности NS-G-1.3. рассматривающем системы контроля и управления, важные для безопасности на атомных электростанциях. Терминология и определения, используемые в стандартах ПК 45А. соответствуют терминам и определениям, используемым МАГАТЭ.

VI

ПНСТ 118—2016/ МЭК 62566:2012

ПРЕДВАРИТЕЛЬНЫЙ НАЦИОНАЛЬНЫЙ СТАНДАРТ

АТОМНЫЕ СТАНЦИИ

Контроль и управление, важные для безопасности.

Использование программируемых интегральных схем для применения в системах, выполняющих функции категории А

Nuclear power plants Instrumentation and control important to safety Development of HDL-programmed integrated circuits for systems performing category A functions

Срок действия — с 2017—04—01 no 2018—03—31

1 Область применения

1.1 Общие положения

Настоящий стандарт устанавливает требования к разработке высоконадежных HPD, применяемых в системах I&C (в ОПБ-88/97 используются следующие термины: «управляющие системы нормальной эксплуатации», «управляющие системы безопасности» и «управляющие системы, важные для безопасности») АС. выполняющих функции безопасности категории А согласно классификации по МЭК 61226.

Программирование HPD базируется на языках описания аппаратуры и сопутствующих программных инструментах. Они. как правило, основаны на заготовках программируемой пользователем вентильной матрицы или подобных микроэлектронных технологиях. Универсальные интегральные схемы, такие как микропроцессоры, не являются HPD

Настоящий стандарт устанавливает требования к:

a)    специализированному жизненному циклу разработки, включающему в себя все этапы разработки HPD. такие как разработка спецификации требований, проектирование, реализацию, верификацию. интеграцию и валидацию;

b)    планированию и дополнительным мероприятиям, таким как модификация и производство:

c)    выбору предварительно разработанных элементов, включающих в себя микроэлектронные ресурсы. такие как заготовка программируемой пользователем вентильной матрицы или программируемая логическая интегральная схема, и операторы HDL, представляющие собой PDB;

d)    использованию принципов простоты и детерминистских принципов, признанных первостепенно важными для достижения «безотказной» реализации функций категории А;

e)    инструментам для проектирования, реализации и HPD.

Настоящий стандарт не устанавливает требований к разработке микроэлектронных ресурсов, которые доступны как «серийные готовые» изделия и не разработаны по стандартам обеспечения качества на ядерных установках Настоящий стандарт рассматривает разработки, выполненные с использованием данных микроэлектронных ресурсов в проекте по I&C с помощью HDL и сопутствующих инструментов.

Настоящий стандарт содержит рекомендации, позволяющие в максимально возможной степени избежать скрытых дефектов, остающихся в HDL-программируемых устройствах, и снизить восприимчивость к единичным отказам, а также к потенциальным отказам по общей причине. Установленные

Издание официальное

настоящим стандартом требования четкой и полной документации позволяют более эффективно применять МЭК 62340.

В настоящем стандарте не рассматриваются аспекты надежности, связанные с аттестацией по условиям внешней среды и отказами, обусловленными старением или физической деградацией. Данные вопросы рассмотрены в других стандартах, в частности в МЭК 60987. МЭК 60780 и МЭК 62342.

МЭК 60880:2006 (подраздел 5.7) содержит требования к защищенности, применимые к разработке HPD.

1.2 Применение настоящего стандарта

Настоящий стандарт содержит рекомендации и требования, необходимые для создания верифицируемых конструкций и реализаций, если требуется обоснование, например, для выполняемой функции или важности ее поведения в отношении безопасности. Системы I&C класса 1 могут использовать HPD. для которых не обязательно полное подтверждение соответствия требованиям настоящего стандарта, например в случае, если они не реализуют логику функции безопасности. Однако отклонения от требований настоящего стандарта следует обосновать.

Настоящий стандарт устанавливает мероприятия по разработке HPD. реализуемые в рамках специализированного жизненного цикла. Также в настоящем стандарте приведены мероприятия и рекомендации в дополнение к требованиям МЭК 61513 для интеграции на уровне систем и валидации в случае, если в конструкцию включены HPD.

Требования МЭК 60987, относящиеся к разработке программируемых логических устройств, применяют в дополнение к требованиям настоящего стандарта в случае, если HPD являются частью системы I&C класса 1.

Примечание — В случае противоречивых требований настоящий стандарт заменяет требования МЭК 60987 в отношении HPD класса 1

2 Нормативные ссылки

Для применения настоящего стандарта необходимы следующие документы. Для датированных ссылок применяют только указанное издание ссылочного документа. Для недатированных ссылок применяют последнее издание ссылочного документа (включая все его изменения).

IEC 60671. Nuclear power plants — Instrumentation and control systems important to safety — Surveillance testing (МЭК 60671 Атомные электростанции. Системы контроля и управления, важные для безопасности. Испытания для проверки работоспособности)

IEC 60880:2006. Nuclear power plants — Instrumentation and control systems important to safety — Software aspects for computer-based systems performing category A functions (МЭК 60880:2006 Атомные электростанции. Системы контроля и управления, важные для безопасности. Аспекты программного обеспечения компьютерных систем, выполняющих функции категории А)

IEC 60987:2007, Nuclear power plants — Instrumentation and control important to safety — Hardware design requirements for computer-based systems (МЭК 60987:2007 Атомные станции. Системы контроля и управления, важные для безопасности. Требования к разработке аппаратного обеспечения для компьютерных систем)

IEC 61513:2011, Nuclear power plants — Instrumentation and control important to safety — General requirements for systems (МЭК 61513:2011 Атомные станции. Системы контроля и управления, важные для безопасности. Общие требования)

IEC 62138. Nuclear power plants — Instrumentation and control important for safety — Software aspects for computer-based systems performing category В or C functions (МЭК 62138 Атомные электростанции. Системы контроля и управления, важные для безопасности. Программное обеспечение компьютерных систем, выполняющих функции категорий В или С)

IEC 62340. Nuclear power plants — Instrumentation and control systems important to safety — Requirements for coping with common cause failure (CCF) (МЭК 62340 Атомные станции. Системы контроля и управления, важные для безопасности. Требования по предотвращению отказов по общей причине)

IAEA guide NS-G-1.3:2002, Instrumentation and Control Systems Important to Safety in Nuclear Power Plants (Руководство МАГАТЭ NS-G-1.3:2002, Системы контропьно-измерительных приборов и управления. важные для безопасности атомных электростанций)

2

ПНСТ 118—2016

3 Термины и определения

В настоящем стандарте применены следующие термины с соответствующими определениями: 3.1_

специализированная интегральная схема; СИС (application Specific Integrated Circuit: ASIC): Интегральная схема, спроектированная для решения конкретной задачи.

[IEC 60050-521:2002. статья 521-11-18)

Примечание — Специализированная интегральная схема разработана для целей одной компании Она вклкмает в себя заказные функции, определенные данной компанией

3.2    блок (block): Одна из частей, составляющих конструкцию; блок может быть разделен на другие блоки.

Примечание — Блок представляет собой либо РОВ. либо конфигурируемый блок, либо блок, разработанный во время рассматриваемого проекта

3.3 _

отказ по общей причине; ООП’) (Сотлюл Cause Failure: CCF): Отказ двух или более систем или элементов вследствие единичного конкретного события или единичной конкретной причины.

[IAEA Safety Glossary, издание 2007 г.)

Примечание — Общие причины отказа могут быть внутренними или внешними по отношению к системе I&C

[IEC 61513)

3 4 уровень электронной системы; ESL (ElectroniOnc System Level; ESL): Высокоуровневое описание электронной системы, основанное на наборе процессов, представляющих функциональность элементов, таких как микропроцессоры, память, специализированные вычислительные блоки или каналы связи.

Примечание — Настоящее описание позволяет проектировщику разделить систему на элементы, оценивать ее эксплуатационные характеристики при различном отображении функций на элементы и устанавливать требования к элементам

Как правило, это выполняют с помощью таких языков, как SystemC (IEEE 1666), SystemVerilog (IEEE 1800) или Matlab (R).

3.5    программируемая пользователем вентильная матрица; ППВМ (Field Programmable Gate Array; FPGA): Интегральная схема, которая может быть запрограммирована в производственных условиях изготовителем средств I&C. Она включает в себя программируемые логические блоки (комбинационные и последовательностные), программируемые взаимосвязи между ними и программируемые блоки для ввода и/или вывода сигналов. Затем функцию определяет проектировщик контроля и управления, а не поставщик интегральных схем.

Примечание — Программируемые пользователем вентильные матрицы по своей сути являются цифровыми устройствами, но некоторые из них могут включать в свой состав аналоговые входы/выходы и аналого-цифровые преобразователи FPGA могут включать в себя новейшие цифровые функции, такие как аппаратные умножители, собственную память и встроенные ядра процессора

3.6    язык описания аппаратуры; HDL (Hardware Description Language; HDL): Язык, используемый для формального описания функций и/или структуры электронного элемента для документации, моделирования или синтеза.

Примечание — Наиболее широко используемые языки описания аппаратуры — это VHDL(IEEE 1076) и Venlog (IEEE 1364).

б Принятое в ОЛБ 88/97 определение «отказ по общей причине» — отказы систем (элементов), возникающие вследствие одного отказа, или ошибки персонала, или внешнего или внутреннего воздействия, или иной внутренней причины

3

3.7    HDL-программируемое устройство; HPD (HDL- Prog rammed Device; HPD): Интегральная схема, конфигурируемая (для систем контроля и управления АС) с помощью языков описания аппаратуры и сопутствующих программных инструментов.

Примечание 1— Языки HDL и сопутствующие инструменты (например, симулятор, синтезатор) используют для реализации требований в надлежащей сборке предварительно разработанных микроэлектронных ресурсов.

Примечание 2 — При разработке HPD можно использовать PDB

Примечание 3 — HPD. как правило, основаны на заготовках FPGA, программируемой логической интегральной схемы (PLD) или подобных микроэлектронных технологиях

3.8    модуль (module); Одна из частей, составляющих конструкцию; модуль можно разделить на другие модули.

Примечание — Термин «модулы» является синонимом термина «блок», термин «блок» часто используют в контексте электронного проектирования Термин «модуль», используемый в МЭК 60880, применяют в настоящем стандарте для ссылок на МЭК 60880

3.9    конфигурируемый блок (native block): Блок, который представляет собой существовавший ранее ресурс в интегральной схеме (например, логическая схема или более сложный блок, такой как умножитель или контроллер последовательной передачи). Посредством программирования HPD блоки конфигурируют и связывают для обеспечения необходимой функции.

3.10    список связей (netlist): Описание электронного элемента с точки зрения взаимосвязей между его терминальными элементами (например, конфигурируемыми блоками).

3.11    предварительно разработанный блок; PDB (Pre-Developed Block; PDB): Предварительно разработанный функциональный блок, пригодный для описания на HDL.

Примечание 1 — PDB. как правило, поставляются в виде библиотек, макроопределений или IP-ядер Их используют при разработке HPD и включают в это HPD

Примечание 2 — PDB может потребовать значительных трудозатрат до его включения в HPD, например синтеза электронной схемы из операторов HDL, отображения условных элементов этой схемы на аппаратных структурах физической интегральной схемы и трассировки соединений

3.12 _

предварительно разработанное программное обеспечение; PDS (Pre-Developed Software: PDS): Часть программного обеспечения, которая уже существует, доступна в качестве коммерческой или патентованной программы и предполагается к использованию.

(IEC 60880. пункт 3.28. модифицировано)

3.13

программируемая логическая интегральная схема; ПЛИС (Program-mable Logic Device; PLD): Интегральная схема, состоящая из логических элементов с рисунком схемных соединений, части которой программирует пользователь.

[IEC 60050-521:2002. статья 521-11-01)

Примечание 1 — Существуют различные виды программируемых логических интегральных схем, например стираемая программируемая логическая интегральная схема или сложная программируемая логическая интегральная схема (CPLD)

Примечание 2 — Различия между FPGA и PLD не определены четко, но ПЛИС обычно относится к более простому устройству, чем FPGA

3.14 уровень регистровых передач; RTL (Register Transfer Level; RTL): Синхронная параллельная модель электронной схемы, описывающая ее поведение посредством сигналов, обрабатываемых согласно комбинационной логике и передаваемых между регистрами по фронтам синхросигнала. Модель RTL. как правило, пишется на языке HDL или генерируется из исходного кода HDL