高性能核安全級控制顯示操作系統軟件設計技術研究

石桂連，王曉燕，李萌，杜喬瑞，馬忠剛

高性能核安全級控制顯示操作系統軟件設計技術研究

石桂連，王曉燕，李萌，杜喬瑞，馬忠剛

（北京廣利核系統工程有限公司，北京 100094）

核安全級控制顯示操作設備（Nuclear safety classified control and information display，SCID）是核電站數字化儀控系統的關鍵設備，實現運行操作人員與數字化核安全級控制保護系統人機交互功能。本文對我國SCID的需求進行了分析，得出研制高性能SCID的必要性；提出了基于商用實時嵌入式操作系統的SCID軟件總體設計方案，并對此方案中涉及的核電安全要求的確定性、系統的自診斷、系統的信息安全防范進行重點設計；隨后針對商用操作系統使其達到核電同等質量水平出發，詳述了商用操作系統選型和商品級物項適用性確認（Commercial Grad Dedication，CGD）；目前高性能核安全儀控安全顯示在防城港3&4號機組成功應用，成為我國首款獲得工程應用的高性能SCID產品。

核安全級；操作顯示控制設備；商用操作系統；商品級物項適用性確認；確定性

核安全級控制顯示操作設備（SCID）是核電站數字化儀控系統的關鍵設備，實現運行操作人員與數字化核安全級控制保護系統人機交互功能。

目前我國在運核電廠使用的SCID主要來自日本三菱、美國西屋、法國AREVA和北京廣利核公司，這些SCID在使用過程中面臨以下問題：

（1）已有SCID功能比較簡單，只能是簡單畫面不支持流程圖、無歷史數據記錄和趨勢功能、畫面定制不支持組態、屏幕小、人因設計困難、容納信息少等。

（2）部分功能較為豐富的SCID采用了較老商用操作系統軟件，缺乏商用操作系統軟件在核安全級系統中的完整適用性確認過程，隨著全世界核安全監管標準不斷加強，此類設計應用面臨嚴重挑戰。英國核監管辦公室ONR在對AP1000做通用安全審評時已經對這些系統的使用提出了質疑[1]。

因此非常有必要研制一款功能強大豐富、安全可信的高性能的核安全級控制顯示操作設備產品，為電站儀控系統HMI設計提供更多選擇，更好地滿足核電站HMI人因設計要求。

本文分析了高性能SCID總體技術要求，專注在軟件方面，提出了采用功能安全要求的商用操作系統的SCID軟件總體設計方案，識別了此方案中涉及關鍵技術；最后描述了基于此方案研制的高性能SCID的應用情況，并對未來工作進行了展望。

1　高性能SCID需求分析

根據電廠安全級儀控系統功能要求，高性能SCID應使用場景包括以下三類：第一是在電廠運行期間提供對安全級設備的操作控制和信息監視；第二是在核事故發生后提供持續監視功能，也稱為事故后監視系統（PAMS）；其三是作為在線維護工具對安全級儀控系統和現場設備進行維護和試驗。

通過對不同使用場景的功能要求進行分析、參考現有SCID技術狀態、核安全標準法規分析等，得出高性能SCID的技術要求如下：

（1）標準要求[2-4]：高性能SCID應能滿足IEC 61226中關于A類功能要求；系統設計需要滿足IEC 61513的要求；軟件設計需要滿足IEC 60880要求；信息安全滿足GB/T 20271、GB/T 25070、GB/T 22239要求。

（2）功能要求：提供液晶顯示屏信息顯示功能；提供模擬流程圖、變量列表、趨勢曲線等多種顯示畫面；對各類畫面提供方便靈活的組態功能；提供觸摸屏、鼠標、鍵盤和軌跡球等多種操作方式；提供歷史數據存儲功能，具備數據處理和數據導出能力；提供對安全級儀控系統的定期試驗旁通功能；提供SCID本身維護功能（清潔校準等）。

（3）性能指標要求：高性能SCID主要性能指標包括以下五類：①屏幕指標值含屏幕分辨率、顏色值；②時間類指標，如畫面刷新時間、用戶操作響應時間；③負荷類指標如CPU負荷、內存占用率、外存占用率、網絡負荷等；④可靠性和安全性指標如MTBF、MTTR、診斷覆蓋率等；⑤運行環境指標如運行環境溫度-40～85 ℃、運行相對濕度95%等。

（4）信息安全防范要求：對來自系統網絡和維護網絡數據源的合法性進行驗證、惡意代碼和系統升級防護、數據完整性和機密性保護、以及關鍵信息備份等。

2　高性能SCID軟件總體設計

2.1　總體架構

按照IEC 60880[4]對核安全軟件總體架構的要求，一個平臺化設計的高性能SCID軟件由兩部分組成：（1）支持系統軟件，也就是工程師軟件，這個軟件面向工程設計人員，運行在配套的工程師站中，實現特定電站、特定系統的SCID應用需求，也就是實現針對SCID的組態功能。（2）運行系統軟件：運行在SCID硬件裝置中，實現數據通訊、畫面顯示、接受操作指令、數據存儲、系統管理和診斷等功能。運行系統軟件也負責加載和運行應用軟件，從而總體實現特定電站和特定系統功能。高性能SCID軟件架構圖如圖1所示。安全級軟件按照驗證與確認（以下簡稱V&V）執行，按IEC 60880[4]軟件安全級別分類要求，各部分軟件安全級別和V&V級別[5]如表1所示。

圖1 SCID軟件架構圖

表1　高性能SCID軟件安全級別

2.2　運行系統軟件

運行系統軟件是高性能SCID的核心軟件，采用層次化、模塊化結構設計。軟件一共分為四個層次：驅動軟件、操作系統、系統軟件、應用軟件。每層軟件有不同的軟件模塊組成，各層軟件和各個軟件模塊功能作用如圖2所示。其中操作系統在本設計中考慮各種因素選擇商用工業安全操作系統，屬于大規模復雜商用軟件在核安全級系統的首次實踐，本文特在第四章對商用操作系統的選型和CGD方案進行論述。

圖2　高性能SCID運行系統軟件結構

結合基于商用操作系統的設計方案特點以及安全級軟件相關要求，安全級軟件的確定性設計、系統的自診斷設計、系統的信息安全防范設計屬該設計方案中要重點關注的設計內容。

2.3　確定性軟件設計

安全級軟件必須保證其確定性，參考IEC 60880等標準要求，體現在軟件模塊結構、時間確定性、空間確定性等方面進行設計；安全級軟件實現采用C語言編碼，在MISRA C編碼規范的基礎上，提出了滿足核電應用的更嚴格的編碼規范；采用通過認證編譯器對軟件進行編譯，在編譯器使用前對其進行驗證，確保軟件安全性、正確性等。

2.3.1多任務調度下的確定性

為了保證SCID各個任務調度執行的確定性，設計上采用自適應分區功能。自適應分區是一組規則的集合，規則用來控制系統內資源的分配。SCID使用自適應分區設計如下：

（1）劃分系統進程或線程到指定的分區中運行，可將系統中不同等級的功能進行隔離，各個進程之間通信使用消息。

（2）保證關鍵應用總能及時獲取CPU資源，使關鍵應用免受來自其它低優先級應用或組件的干擾，總是被確定的執行。

（3）防止意外應用影響系統運行，當某個分區中的某個進程（線程是進程的基本執行單元，一個進程的所有任務都在線程中執行，該線程與進程同在一個分區內）執行異常時，不會影響到其他分區的進程調度執行，如可抵御網絡風暴。

（4）當CPU重負載時保證維護、診斷和管理功能的正確使用，即便在CPU負荷較高的情況下，也能保證系統能被及時的進行診斷和進行日志記錄。

2.3.2軟件程序設計

模塊結構的確定性，有助于軟件的分析、評估、審查和修改。核安全級操作顯示系統軟件需要具有清晰明確的模塊結構，能夠從結構上保證軟件每個周期的行為確定。系統軟件、應用軟件和驅動軟件具體的設計方法包括：每個模塊只完成單一的特定功能，不同功能需要分配到不同的模塊實現；每個模塊只有唯一的入口，并且在模塊結尾也只有單一的退出點；整個軟件只有一個任務，各功能模塊采用順序執行的方式進行調度；沒有不可達的代碼；不使用跳轉語句（goto）；在使用條件選擇語句（case）時，必須無遺漏的包含全部可能性，保留默認的執行條件。

2.3.3執行時間

核電廠儀控系統的響應時間是用戶最為關注的指標，核安全級操作顯示系統軟件可以使用以下技術嚴格控制軟件任務的執行時間。具體設計方法包括：不使用中斷，避免了中斷程序打斷主程序造成的執行時間不確定的情況；通信數據采用固定長度的通信協議且固定周期的進行傳輸，不會發生系統在數據峰值負荷下，處理通信數據所花費的時間不確定的情況；不使用與系統時鐘相關的函數，而是采用CPU時鐘計時方式，能夠避免編譯器對時間處理函數產生不確定的行為。

2.3.4存儲空間

存儲空間是軟件運行的物理載體，通常軟件發生故障的主要原因都是存儲空間發生故障或被錯誤使用。在存儲空間的使用上，核安全級操作顯示系統軟件也做了充分考慮。設計方法包括：采用靜態內存分配方法，預先確定每個模塊需要的內存大小，不使用動態內存分配（malloc），避免了動態分配導致的內存泄露、數據不一致、內存耗盡和不確定行為；數組的大小必須預先確定并顯示聲明，必須在使用前進行初始化，不使用隱式定義的數組；所有的存儲空間在使用前都必須進行顯示的初始化賦值，避免因為系統環境的隨機性帶來潛在的數據不確定性；不使用遞歸函數調用。因為遞歸本身承載著可用堆棧空間過度的危險，這能導致嚴重的錯誤，除非經過嚴格的控制，否則不可能在執行之前確定最壞情況的堆棧使用。

2.4　自診斷設計

自診斷的要求是核電廠執行A類功能的軟件與其他軟件最顯著的區別，也是核安全級操作顯示系統軟件在設計過程中重點考慮的部分，覆蓋了全部重要的硬件器件和軟件模塊。參考IEC 61508、IEC61513等標準要求，重要的自診斷對象包括CPU、存儲器、定時器、看門狗、程序執行順序等，具體診斷方法如下：

CPU：周期性的對CPU的寄存器進行讀寫測試，同時對CPU指令進行執行測試，一旦發現異常立即停止軟件運行，執行故障安全輸出。

RAM：使用業界流行的March C-算法對隨機訪問內存（RAM）進行監督，反復對每一個地址進行讀/寫0和讀/寫1的操作，保證相鄰兩位（bit）之間的測試碼出現00，01，10，11四種情況，同時為了檢查高低地址讀寫順序故障，分別進行地址遞增和地址遞減兩種操作。

ROM：在初始化階段，將只讀訪問內存（ROM）中存儲的只讀數據通過循環冗余校驗（CRC）多項式生成校驗碼，在周期運行階段，重新計算校驗碼，與之前生成的校驗碼進行比較，如果兩者一致則證明數據沒有被損壞。

定時器：以固定的時間間隔分兩次獲取定時器的時間，將兩次獲取的時間相減，如果結果誤差在預期的可接受的范圍之內，則定時器被判定為工作正常。

看門狗：除了對硬件器件進行監督外，還使用看門狗對軟件運行進行監督，如果發生軟件停止運行，則由硬件鎖定故障狀態。

程序順序監控：系統還對程序執行順序進行了監督，一旦發生功能執行順序錯亂的情況，則軟件立即停止運行，執行故障安全輸出。

2.5　信息安全設計

SCID面臨的信息安全風險可分為以下三類，（1）訪問控制類風險；（2）非法數據類風險；（3）關鍵信息類風險。針對每類風險，對應的防范方案設計如下：

針對訪問控制類風險，核安全級操作顯示系統應設置訪問控制，根據不同角色設置不同權限，至少包括操作使用權限和維護下裝權限。

針對非法數據類風險，核安全級操作顯示系統應進行數據校驗、唯一標識數據包和加密設計，保證數據通信的完整性和機密性。

針對關鍵信息類風險，如賬戶信息、操作日志和系統狀態信息，核安全級操作顯示系統應進行完整性校驗并存儲，避免數據被篡改和破壞。

3　嵌入式實時操作系統選型和CGD方案

嵌入式系統的應用程序可以沒有操作系統直接在芯片上運行，但是隨著科學技術的發展，嵌入式系統的硬件復雜度逐步提升，應用場景和功能也更加多樣化。為了使軟件走向標準化，更加合理地調度任務、更加充分地利用系統資源和庫函數、更快速地開發高質量產品，越來越多的控制系統廠家開始使用商用多任務的嵌入式實時操作系統。

商用嵌入式實時操作系統要應用在核安全級操作系統需在選型和驗證按照核相關要求執行，確保商用嵌入式實時操作系統達到或相當于核質保體系下質量要求。

3.1　嵌入式實時操作系統選型要求

HAD102/16附錄I專門針對按其他工業安全關鍵應用中的高標準開發的軟件的使用和確認提出了相關要求和建議，提出了商用軟件驗收要滿足的要求：功能適用性、標準符合性、驗收的一致性、配置管理、質量保證、接口確認、應用約束、軟件開發過程、軟件V&V、工具、變更管理、商用軟件運行經驗。

IEC 60880對預開發軟件（PDS）的評估和評價過程有非常具體的要求（IEC 60880 15預開發軟件的質量鑒定）：對PDS的功能和性能特征以及現有的鑒定文件的評估；軟件開發過程的質量評估；對運行經驗進行的評估。

綜上所述，結合設計目標為核安全級顯示操作系統，提出操作系統選型時需要考慮的維度，見表2。

表2　操作系統選型總體要求

3.2　商用操作系統CGD方案研究

高性能SCID采用成熟商用操作系統軟件進行開發，為了充分確信作為商品級物項的操作系統適合于核電廠安全級應用，需要對操作系統進行技術評價和驗收的過程，即需要執行商品級物項適用性確認（Commercial Grad Dedication）。

在核電行業，如RCC-E、IEC以及我國GB均對核電廠應用商品級成品部件提出了一些程序性和技術性要求，但均止于原則性的要求和指導，缺乏可以落地，便于實施的方法和準則。相對應的，美國CGD方法發展較為成熟，可供參考的導則、標準、不同層級指導文件以及案例比較豐富，可操作性、可驗收性較強。目前在國際上，歐洲、美國、韓國核電儀控供應商在具體工程實踐中，均采用美國CGD方法，以確保商品級物項能夠安全、可信賴的用在安全級系統中。美國核安全法規 10 CFR 21中定義“商品級物項”，按法規GL 89-02、GL 91-05及標準ASME NQA-1要求，需實施并通過CGD，方可應用于核電廠安全重要系統。NUREG 0800[6]第7章Appendix 7.0-A 以及IEEE 7-4.3.2[7]第5.17條款也要求對用于執行安全功能或影響安全功能的商業數字設備/部件進行CGD。上述法規、導則、標準都具體指向了EPRI導則NP5652[8]及其關于數字化設備CGD的分冊TR-106439[9]。因此，在指導標準方面，商用操作系統將以美國CGD方法體系作為主要依據，滿足HAD102/16法規要求，同時參考IEC60880標準要求，制定了商用操作系統的CGD方案。

適用性確認包括兩個關鍵要素：技術評價和驗收過程。通過適用性確認，可保證商品級物項等效于按HAF 003安全級質量保證體系進行設計制造的安全級物項。首先確定CGD對象，然后識別關鍵特性，關鍵特性分成三類：物理特性、功能性能特性、可信性特性。針對三類關鍵特性，依據IEEE 7-4.3.2[7]附錄C及TR-106439[9]，結合操作系統具體情況，CGD同時采用以下三種方法進行驗收：測試和檢驗、商業級調查、歷史業績數據分析，實際過程中，采用以上三種方法聯合使用來驗收。

商品級物項CGD過程如圖3所示。

圖3　商品級物項CGD過程

4　設計實現

根據前文所述方案，按核級質保過程，實現了一個核安全級高性能SCID產品，軟件總代碼量22萬行。圖4為高性能SCID實現的堆芯溫度監視畫面。

4.1　商用操作系統選型

通過開展大量選型調研工作，在市場上可供選擇的商用操作系統中選擇了已經通過IEC 61508 SIL3認證的實時操作系統，例如：QNX實時操作系統、VXworks實時操作系統等，并赴操作系統供應商開展了細致的現場調查，收集了操作系統軟件研發的全生命周期證據文件。

4.2　商用操作系統CGD

依據CGD相關法規（NUREG0800等）、標準（IEEE 7-4.3.2、IEC61513、IEC60880等）和執行單位質量體系要求（TR-106439等），操作系統作為商品級物項，嚴格實施了CGD對象識別、關鍵特性識別、關鍵特性驗收等各階段的CGD活動。

4.2.1關鍵特性

關鍵特性首先應是物項固有的特性，依據TR-106439[9]，數字化設備/部件（包括軟件）的關鍵特性，分為三類，物理關鍵特性、性能關鍵特性之外、可信性（Dependability）關鍵特性，結合操作系統軟件作為操作顯示系統底層平臺的情況，確定操作系統所有軟件特性，形成關鍵特性文件。

物理特性包括軟件的版本號和存儲介質。

性能關鍵特性最終體現在所調用的API函數中，需要驗證這些特性在最終硬件平臺上是否正確或有效。在實際操作系統功能性能特性識別中共提出152個關鍵特性，每個關鍵特性對應功能說明及使用約束。

可信性（Dependability）特性依據TR- 106439、NUREG0800、EPRI TR-102260[10]、IEEE 1074、NUREG/CR 6101等標準和技術報告得出包括11個方面的評估：（1）軟件項目管理，及項目風險評估管理；（2）軟件質保大綱；（3）軟件需求及需求可追蹤性；（4）軟件設計文檔；（5）同行評審；（6）軟件V&V；（7）軟件變更控制；（8）開發環境安全（含信息安全）；（9）軟件可靠性；（10）軟件配置管理；（11）軟件缺陷及問題報告，糾正行動；其中對于軟件及軟件V&V進行評估時，采用軟件V&V的依據的法規（HAD102/16等）和標準（IEC61513、IEC60880、IEEE1012等）。

4.2.2關鍵特性驗收

在CGD關鍵特性驗收中，采用方法1、方法2和方法4相結合進行驗收。

關鍵特性的物理特性和性能特性采用方法1進行驗收，采用通過編寫測試程序在目標軟硬件環境下運行進行測試。通過在目標軟硬件環境下執行相關手動操作進行測試。通過組態圖形畫面在目標軟硬件環境下的顯示相關關鍵特性進行測試。其中功能性能關鍵特性驗收中，共執行515個測試用例，覆蓋全部152個關鍵特性。通過測試，未發現操作系統異常，所有關鍵特性能正常執行功能，滿足驗收準則。

可信性特性（除可靠性除外）通過方法2實施驗收。商業級調查針對預先確定的可信性關鍵特性，實際工作中分為兩大部分活動：文檔審查和現場調查。首先對供應商可提供文檔進行文檔審查，然后在此基礎上，分別實施兩次原廠現場調查。通過查閱文件、人員訪談、問題澄清等形式，對操作系統的質保體系、軟件生命周期、需求管理、設計與實現、V&V等的相關程序、流程、規范，以及項目實施記錄/報告實施深入調查，獲取大量數據，形成16份報告。經過商業級調查，操作系統在質保體系、軟件生命周期、需求管理、設計與實現、V&V獨立性、評估與分析、軟件測試、配置管理、運行經驗、第三方軟件、變更控制、問題報告和缺陷處理、人員資質等可信性特性滿足驗證準則，通過驗收。

另外，可信特性的可靠性驗收采用方法4進行驗收，通過方法4補充了操作系統具有足夠質量能夠保證相關安全功能的證據。該操作系統被大量使用在汽車、醫療、通信、能源、航空航天等其他安全相關行業，它在已有系統中的使用情況很大程度反映了它的質量狀況。由于歷史經驗表現通常掌握在用戶和供應商手上。CGD團隊通過現場調查供應商在功能安全認證中提供的歷史數據，統計使用操作系統相關版本的缺陷共109個，跟蹤了評估過程，識別出與安全相關缺陷是11個，11個缺陷都得到恰當處理；根據其在不同的安全或具有高可靠性要求行業的應用歷史數據和報告，操作系統具有較高的運行可靠性。

通過上述CGD工作，商用操作系統經過關鍵特性識別和驗收，達到核電軟件同等質量水平，能夠滿足安全級操作顯示系統的應用要求。

4.3　總體驗證

針對第4章的設計，對基于商用操作系統的核安全級操作顯示系統進行了驗證與確認，驗證與確認工作在全面覆蓋所有功能、性能和可靠性三個方面基礎上，根據IEC61513、IEC60880等相關標準要求，結合SCID系統自身的特點，尤其加強了6個關鍵技術驗證，包括：商用操作系統軟件對操作顯示系統影響、軟件確定性、自監視、內存使用和檢測、人機界面驗證、安全級與非安全級隔離驗證等，從而確保商用操作系統達到或等同于核安全級軟件同等質量水平。

5　總結

本文給出了一種基于商用操作系統的高性能SCID設計方案，基于該方案研制的SCID產品已經完成產品發布，在我國自主研制第三代核電堆型防城港3、4上獲得了應用，是我國首款獲得工程應用的高性能SCID產品。研發經歷表明，通過使用功能安全認證的操作系統，配合充分的CGD工作，可實現高性能、高質量SCID產品，同時產品研發周期也大幅縮短，是一條可參考的安全級產品的研發途徑。未來要跟蹤新研制復雜SCID的應用反饋，持續優化。

［1］ Office for Nuclear Regulation（ONR）. GDA Issue GI-AP1000-CI-10-Provision of Class 1 Displays and Controls in an Alternate Location：ONR-NR-AR-16-036［S］，2017.

［2］ International Electrotechnical Commission，Nuclear power plants-Instrumentation and control import to safety- Classification of instrumentation and control functions：IEC61226-2009［S］．Switzerland，2009.

［3］ Nuclear power plants-Instrumentation and control important to safety-General requirements for systems：IEC 61513-2011［S］．2011．

［4］ Nuclear power plants-Instrumentation and control systems important to safety-Software aspects for computer-based systems performing category A functions：IEC 60880-2006［S］．2006．

［5］ Standard for Software Verification and Validation：IEEE 1012-2004［S］．USA，2004.

［6］ SRP（NUREG 0800），Chapter 7，Appendix 7.0-A，Review Process for Digital Instrumentation and Control Systems［R］．

［7］ Criteria for Digital Computers in safety systems lf Nuclear Power Generating Station：IEEE7-4.3.2-2010［S］．USA，2010．

［8］ GilberVCommonwealth，Inc.Reading，Pennsylvania. Guideline for the Utilization of Commercial Grade Items in Nuclear Safety Related Applications（NCIG-07）：EPRI NP-5652［S］．USA，1988.

［9］ EPRI Working Group on Use of Commercial Digital Equipment in Nuclear Safety Applications withMPR Associates，Inc.Alexandria，Virginia，“Guideline on Evaluation and Acceptance of Commercial Grade Digital Equipment for Nuclear Safety Applications：TR-106439［S］．USA，1996.

［10］ Cygna Energy Services Atlanta，Georgia，Supplemental Guidance for the Application of EPRI Report NP-5652 on the Uti8lization of Commercial Grade Items：EPRI TR-102260［S］．USA，1994.

Study on the Software Design Technology of High Performance Nuclear Safety Classified HMI System

SHI Guilian，WANG Xiaoyan，LI Meng，DU Qiaorui，MA Zhonggang

(China Techenergy Co.Ltd，Beijing 100094，China)

The nuclear safety classified control and information display equipment (hereinafter referred to as SCID) is the key equipment of the nuclear power plant, which realizes the HMI function between the operator and the nuclear safety control and protection system. In this paper, the requirement status of China's SCID equipment is analyzed, and the necessity of developing high performance SCID is obtained. Furthermore, the overall design scheme of software using commercial operation system is proposed, and the nuclear power safety technologies including the certainty, self-diagnosis of system and information security protection of system are developed. Then, for the commercial operation system to reach the same quality level of nuclear power, the selection of commercial operation system and the CGD method is carried out. Finally, the application of high performance SCID based on this scheme is described, and the future work is prospected.

Nuclear safety classified; HMI; Commercial operation system; CGD; Deterministic

TP271

A

0258-0918（2021）06-1145-09

2020-03-07

石桂連（1974—），女，河北承德人，研究員級高級工程師，碩士研究生，現主要從事核電廠數學化儀控系統設備研發和應用