高性能核安全級(jí)控制顯示操作系統(tǒng)軟件設(shè)計(jì)技術(shù)研究

石桂連，王曉燕，李萌，杜喬瑞，馬忠剛

高性能核安全級(jí)控制顯示操作系統(tǒng)軟件設(shè)計(jì)技術(shù)研究

石桂連，王曉燕，李萌，杜喬瑞，馬忠剛

（北京廣利核系統(tǒng)工程有限公司，北京 100094）

核安全級(jí)控制顯示操作設(shè)備（Nuclear safety classified control and information display，SCID）是核電站數(shù)字化儀控系統(tǒng)的關(guān)鍵設(shè)備，實(shí)現(xiàn)運(yùn)行操作人員與數(shù)字化核安全級(jí)控制保護(hù)系統(tǒng)人機(jī)交互功能。本文對(duì)我國SCID的需求進(jìn)行了分析，得出研制高性能SCID的必要性；提出了基于商用實(shí)時(shí)嵌入式操作系統(tǒng)的SCID軟件總體設(shè)計(jì)方案，并對(duì)此方案中涉及的核電安全要求的確定性、系統(tǒng)的自診斷、系統(tǒng)的信息安全防范進(jìn)行重點(diǎn)設(shè)計(jì)；隨后針對(duì)商用操作系統(tǒng)使其達(dá)到核電同等質(zhì)量水平出發(fā)，詳述了商用操作系統(tǒng)選型和商品級(jí)物項(xiàng)適用性確認(rèn)（Commercial Grad Dedication，CGD）；目前高性能核安全儀控安全顯示在防城港3&4號(hào)機(jī)組成功應(yīng)用，成為我國首款獲得工程應(yīng)用的高性能SCID產(chǎn)品。

核安全級(jí)；操作顯示控制設(shè)備；商用操作系統(tǒng)；商品級(jí)物項(xiàng)適用性確認(rèn)；確定性

核安全級(jí)控制顯示操作設(shè)備（SCID）是核電站數(shù)字化儀控系統(tǒng)的關(guān)鍵設(shè)備，實(shí)現(xiàn)運(yùn)行操作人員與數(shù)字化核安全級(jí)控制保護(hù)系統(tǒng)人機(jī)交互功能。

目前我國在運(yùn)核電廠使用的SCID主要來自日本三菱、美國西屋、法國AREVA和北京廣利核公司，這些SCID在使用過程中面臨以下問題：

（1）已有SCID功能比較簡(jiǎn)單，只能是簡(jiǎn)單畫面不支持流程圖、無歷史數(shù)據(jù)記錄和趨勢(shì)功能、畫面定制不支持組態(tài)、屏幕小、人因設(shè)計(jì)困難、容納信息少等。

（2）部分功能較為豐富的SCID采用了較老商用操作系統(tǒng)軟件，缺乏商用操作系統(tǒng)軟件在核安全級(jí)系統(tǒng)中的完整適用性確認(rèn)過程，隨著全世界核安全監(jiān)管標(biāo)準(zhǔn)不斷加強(qiáng)，此類設(shè)計(jì)應(yīng)用面臨嚴(yán)重挑戰(zhàn)。英國核監(jiān)管辦公室ONR在對(duì)AP1000做通用安全審評(píng)時(shí)已經(jīng)對(duì)這些系統(tǒng)的使用提出了質(zhì)疑[1]。

因此非常有必要研制一款功能強(qiáng)大豐富、安全可信的高性能的核安全級(jí)控制顯示操作設(shè)備產(chǎn)品，為電站儀控系統(tǒng)HMI設(shè)計(jì)提供更多選擇，更好地滿足核電站HMI人因設(shè)計(jì)要求。

本文分析了高性能SCID總體技術(shù)要求，專注在軟件方面，提出了采用功能安全要求的商用操作系統(tǒng)的SCID軟件總體設(shè)計(jì)方案，識(shí)別了此方案中涉及關(guān)鍵技術(shù)；最后描述了基于此方案研制的高性能SCID的應(yīng)用情況，并對(duì)未來工作進(jìn)行了展望。

1　高性能SCID需求分析

根據(jù)電廠安全級(jí)儀控系統(tǒng)功能要求，高性能SCID應(yīng)使用場(chǎng)景包括以下三類：第一是在電廠運(yùn)行期間提供對(duì)安全級(jí)設(shè)備的操作控制和信息監(jiān)視；第二是在核事故發(fā)生后提供持續(xù)監(jiān)視功能，也稱為事故后監(jiān)視系統(tǒng)（PAMS）；其三是作為在線維護(hù)工具對(duì)安全級(jí)儀控系統(tǒng)和現(xiàn)場(chǎng)設(shè)備進(jìn)行維護(hù)和試驗(yàn)。

通過對(duì)不同使用場(chǎng)景的功能要求進(jìn)行分析、參考現(xiàn)有SCID技術(shù)狀態(tài)、核安全標(biāo)準(zhǔn)法規(guī)分析等，得出高性能SCID的技術(shù)要求如下：

（1）標(biāo)準(zhǔn)要求[2-4]：高性能SCID應(yīng)能滿足IEC 61226中關(guān)于A類功能要求；系統(tǒng)設(shè)計(jì)需要滿足IEC 61513的要求；軟件設(shè)計(jì)需要滿足IEC 60880要求；信息安全滿足GB/T 20271、GB/T 25070、GB/T 22239要求。

（2）功能要求：提供液晶顯示屏信息顯示功能；提供模擬流程圖、變量列表、趨勢(shì)曲線等多種顯示畫面；對(duì)各類畫面提供方便靈活的組態(tài)功能；提供觸摸屏、鼠標(biāo)、鍵盤和軌跡球等多種操作方式；提供歷史數(shù)據(jù)存儲(chǔ)功能，具備數(shù)據(jù)處理和數(shù)據(jù)導(dǎo)出能力；提供對(duì)安全級(jí)儀控系統(tǒng)的定期試驗(yàn)旁通功能；提供SCID本身維護(hù)功能（清潔校準(zhǔn)等）。

（3）性能指標(biāo)要求：高性能SCID主要性能指標(biāo)包括以下五類：①屏幕指標(biāo)值含屏幕分辨率、顏色值；②時(shí)間類指標(biāo)，如畫面刷新時(shí)間、用戶操作響應(yīng)時(shí)間；③負(fù)荷類指標(biāo)如CPU負(fù)荷、內(nèi)存占用率、外存占用率、網(wǎng)絡(luò)負(fù)荷等；④可靠性和安全性指標(biāo)如MTBF、MTTR、診斷覆蓋率等；⑤運(yùn)行環(huán)境指標(biāo)如運(yùn)行環(huán)境溫度-40～85 ℃、運(yùn)行相對(duì)濕度95%等。

（4）信息安全防范要求：對(duì)來自系統(tǒng)網(wǎng)絡(luò)和維護(hù)網(wǎng)絡(luò)數(shù)據(jù)源的合法性進(jìn)行驗(yàn)證、惡意代碼和系統(tǒng)升級(jí)防護(hù)、數(shù)據(jù)完整性和機(jī)密性保護(hù)、以及關(guān)鍵信息備份等。

2　高性能SCID軟件總體設(shè)計(jì)

2.1　總體架構(gòu)

按照IEC 60880[4]對(duì)核安全軟件總體架構(gòu)的要求，一個(gè)平臺(tái)化設(shè)計(jì)的高性能SCID軟件由兩部分組成：（1）支持系統(tǒng)軟件，也就是工程師軟件，這個(gè)軟件面向工程設(shè)計(jì)人員，運(yùn)行在配套的工程師站中，實(shí)現(xiàn)特定電站、特定系統(tǒng)的SCID應(yīng)用需求，也就是實(shí)現(xiàn)針對(duì)SCID的組態(tài)功能。（2）運(yùn)行系統(tǒng)軟件：運(yùn)行在SCID硬件裝置中，實(shí)現(xiàn)數(shù)據(jù)通訊、畫面顯示、接受操作指令、數(shù)據(jù)存儲(chǔ)、系統(tǒng)管理和診斷等功能。運(yùn)行系統(tǒng)軟件也負(fù)責(zé)加載和運(yùn)行應(yīng)用軟件，從而總體實(shí)現(xiàn)特定電站和特定系統(tǒng)功能。高性能SCID軟件架構(gòu)圖如圖1所示。安全級(jí)軟件按照驗(yàn)證與確認(rèn)（以下簡(jiǎn)稱V&V）執(zhí)行，按IEC 60880[4]軟件安全級(jí)別分類要求，各部分軟件安全級(jí)別和V&V級(jí)別[5]如表1所示。

圖1 SCID軟件架構(gòu)圖

表1　高性能SCID軟件安全級(jí)別

2.2　運(yùn)行系統(tǒng)軟件

運(yùn)行系統(tǒng)軟件是高性能SCID的核心軟件，采用層次化、模塊化結(jié)構(gòu)設(shè)計(jì)。軟件一共分為四個(gè)層次：驅(qū)動(dòng)軟件、操作系統(tǒng)、系統(tǒng)軟件、應(yīng)用軟件。每層軟件有不同的軟件模塊組成，各層軟件和各個(gè)軟件模塊功能作用如圖2所示。其中操作系統(tǒng)在本設(shè)計(jì)中考慮各種因素選擇商用工業(yè)安全操作系統(tǒng)，屬于大規(guī)模復(fù)雜商用軟件在核安全級(jí)系統(tǒng)的首次實(shí)踐，本文特在第四章對(duì)商用操作系統(tǒng)的選型和CGD方案進(jìn)行論述。

圖2　高性能SCID運(yùn)行系統(tǒng)軟件結(jié)構(gòu)

結(jié)合基于商用操作系統(tǒng)的設(shè)計(jì)方案特點(diǎn)以及安全級(jí)軟件相關(guān)要求，安全級(jí)軟件的確定性設(shè)計(jì)、系統(tǒng)的自診斷設(shè)計(jì)、系統(tǒng)的信息安全防范設(shè)計(jì)屬該設(shè)計(jì)方案中要重點(diǎn)關(guān)注的設(shè)計(jì)內(nèi)容。

2.3　確定性軟件設(shè)計(jì)

安全級(jí)軟件必須保證其確定性，參考IEC 60880等標(biāo)準(zhǔn)要求，體現(xiàn)在軟件模塊結(jié)構(gòu)、時(shí)間確定性、空間確定性等方面進(jìn)行設(shè)計(jì)；安全級(jí)軟件實(shí)現(xiàn)采用C語言編碼，在MISRA C編碼規(guī)范的基礎(chǔ)上，提出了滿足核電應(yīng)用的更嚴(yán)格的編碼規(guī)范；采用通過認(rèn)證編譯器對(duì)軟件進(jìn)行編譯，在編譯器使用前對(duì)其進(jìn)行驗(yàn)證，確保軟件安全性、正確性等。

2.3.1多任務(wù)調(diào)度下的確定性

為了保證SCID各個(gè)任務(wù)調(diào)度執(zhí)行的確定性，設(shè)計(jì)上采用自適應(yīng)分區(qū)功能。自適應(yīng)分區(qū)是一組規(guī)則的集合，規(guī)則用來控制系統(tǒng)內(nèi)資源的分配。SCID使用自適應(yīng)分區(qū)設(shè)計(jì)如下：

（1）劃分系統(tǒng)進(jìn)程或線程到指定的分區(qū)中運(yùn)行，可將系統(tǒng)中不同等級(jí)的功能進(jìn)行隔離，各個(gè)進(jìn)程之間通信使用消息。

（2）保證關(guān)鍵應(yīng)用總能及時(shí)獲取CPU資源，使關(guān)鍵應(yīng)用免受來自其它低優(yōu)先級(jí)應(yīng)用或組件的干擾，總是被確定的執(zhí)行。

（3）防止意外應(yīng)用影響系統(tǒng)運(yùn)行，當(dāng)某個(gè)分區(qū)中的某個(gè)進(jìn)程（線程是進(jìn)程的基本執(zhí)行單元，一個(gè)進(jìn)程的所有任務(wù)都在線程中執(zhí)行，該線程與進(jìn)程同在一個(gè)分區(qū)內(nèi)）執(zhí)行異常時(shí)，不會(huì)影響到其他分區(qū)的進(jìn)程調(diào)度執(zhí)行，如可抵御網(wǎng)絡(luò)風(fēng)暴。

（4）當(dāng)CPU重負(fù)載時(shí)保證維護(hù)、診斷和管理功能的正確使用，即便在CPU負(fù)荷較高的情況下，也能保證系統(tǒng)能被及時(shí)的進(jìn)行診斷和進(jìn)行日志記錄。

2.3.2軟件程序設(shè)計(jì)

模塊結(jié)構(gòu)的確定性，有助于軟件的分析、評(píng)估、審查和修改。核安全級(jí)操作顯示系統(tǒng)軟件需要具有清晰明確的模塊結(jié)構(gòu)，能夠從結(jié)構(gòu)上保證軟件每個(gè)周期的行為確定。系統(tǒng)軟件、應(yīng)用軟件和驅(qū)動(dòng)軟件具體的設(shè)計(jì)方法包括：每個(gè)模塊只完成單一的特定功能，不同功能需要分配到不同的模塊實(shí)現(xiàn)；每個(gè)模塊只有唯一的入口，并且在模塊結(jié)尾也只有單一的退出點(diǎn)；整個(gè)軟件只有一個(gè)任務(wù)，各功能模塊采用順序執(zhí)行的方式進(jìn)行調(diào)度；沒有不可達(dá)的代碼；不使用跳轉(zhuǎn)語句（goto）；在使用條件選擇語句（case）時(shí)，必須無遺漏的包含全部可能性，保留默認(rèn)的執(zhí)行條件。

2.3.3執(zhí)行時(shí)間

核電廠儀控系統(tǒng)的響應(yīng)時(shí)間是用戶最為關(guān)注的指標(biāo)，核安全級(jí)操作顯示系統(tǒng)軟件可以使用以下技術(shù)嚴(yán)格控制軟件任務(wù)的執(zhí)行時(shí)間。具體設(shè)計(jì)方法包括：不使用中斷，避免了中斷程序打斷主程序造成的執(zhí)行時(shí)間不確定的情況；通信數(shù)據(jù)采用固定長度的通信協(xié)議且固定周期的進(jìn)行傳輸，不會(huì)發(fā)生系統(tǒng)在數(shù)據(jù)峰值負(fù)荷下，處理通信數(shù)據(jù)所花費(fèi)的時(shí)間不確定的情況；不使用與系統(tǒng)時(shí)鐘相關(guān)的函數(shù)，而是采用CPU時(shí)鐘計(jì)時(shí)方式，能夠避免編譯器對(duì)時(shí)間處理函數(shù)產(chǎn)生不確定的行為。

2.3.4存儲(chǔ)空間

存儲(chǔ)空間是軟件運(yùn)行的物理載體，通常軟件發(fā)生故障的主要原因都是存儲(chǔ)空間發(fā)生故障或被錯(cuò)誤使用。在存儲(chǔ)空間的使用上，核安全級(jí)操作顯示系統(tǒng)軟件也做了充分考慮。設(shè)計(jì)方法包括：采用靜態(tài)內(nèi)存分配方法，預(yù)先確定每個(gè)模塊需要的內(nèi)存大小，不使用動(dòng)態(tài)內(nèi)存分配（malloc），避免了動(dòng)態(tài)分配導(dǎo)致的內(nèi)存泄露、數(shù)據(jù)不一致、內(nèi)存耗盡和不確定行為；數(shù)組的大小必須預(yù)先確定并顯示聲明，必須在使用前進(jìn)行初始化，不使用隱式定義的數(shù)組；所有的存儲(chǔ)空間在使用前都必須進(jìn)行顯示的初始化賦值，避免因?yàn)橄到y(tǒng)環(huán)境的隨機(jī)性帶來潛在的數(shù)據(jù)不確定性；不使用遞歸函數(shù)調(diào)用。因?yàn)檫f歸本身承載著可用堆棧空間過度的危險(xiǎn)，這能導(dǎo)致嚴(yán)重的錯(cuò)誤，除非經(jīng)過嚴(yán)格的控制，否則不可能在執(zhí)行之前確定最壞情況的堆棧使用。

2.4　自診斷設(shè)計(jì)

自診斷的要求是核電廠執(zhí)行A類功能的軟件與其他軟件最顯著的區(qū)別，也是核安全級(jí)操作顯示系統(tǒng)軟件在設(shè)計(jì)過程中重點(diǎn)考慮的部分，覆蓋了全部重要的硬件器件和軟件模塊。參考IEC 61508、IEC61513等標(biāo)準(zhǔn)要求，重要的自診斷對(duì)象包括CPU、存儲(chǔ)器、定時(shí)器、看門狗、程序執(zhí)行順序等，具體診斷方法如下：

CPU：周期性的對(duì)CPU的寄存器進(jìn)行讀寫測(cè)試，同時(shí)對(duì)CPU指令進(jìn)行執(zhí)行測(cè)試，一旦發(fā)現(xiàn)異常立即停止軟件運(yùn)行，執(zhí)行故障安全輸出。

RAM：使用業(yè)界流行的March C-算法對(duì)隨機(jī)訪問內(nèi)存（RAM）進(jìn)行監(jiān)督，反復(fù)對(duì)每一個(gè)地址進(jìn)行讀/寫0和讀/寫1的操作，保證相鄰兩位（bit）之間的測(cè)試碼出現(xiàn)00，01，10，11四種情況，同時(shí)為了檢查高低地址讀寫順序故障，分別進(jìn)行地址遞增和地址遞減兩種操作。

ROM：在初始化階段，將只讀訪問內(nèi)存（ROM）中存儲(chǔ)的只讀數(shù)據(jù)通過循環(huán)冗余校驗(yàn)（CRC）多項(xiàng)式生成校驗(yàn)碼，在周期運(yùn)行階段，重新計(jì)算校驗(yàn)碼，與之前生成的校驗(yàn)碼進(jìn)行比較，如果兩者一致則證明數(shù)據(jù)沒有被損壞。

定時(shí)器：以固定的時(shí)間間隔分兩次獲取定時(shí)器的時(shí)間，將兩次獲取的時(shí)間相減，如果結(jié)果誤差在預(yù)期的可接受的范圍之內(nèi)，則定時(shí)器被判定為工作正常。

看門狗：除了對(duì)硬件器件進(jìn)行監(jiān)督外，還使用看門狗對(duì)軟件運(yùn)行進(jìn)行監(jiān)督，如果發(fā)生軟件停止運(yùn)行，則由硬件鎖定故障狀態(tài)。

程序順序監(jiān)控：系統(tǒng)還對(duì)程序執(zhí)行順序進(jìn)行了監(jiān)督，一旦發(fā)生功能執(zhí)行順序錯(cuò)亂的情況，則軟件立即停止運(yùn)行，執(zhí)行故障安全輸出。

2.5　信息安全設(shè)計(jì)

SCID面臨的信息安全風(fēng)險(xiǎn)可分為以下三類，（1）訪問控制類風(fēng)險(xiǎn)；（2）非法數(shù)據(jù)類風(fēng)險(xiǎn)；（3）關(guān)鍵信息類風(fēng)險(xiǎn)。針對(duì)每類風(fēng)險(xiǎn)，對(duì)應(yīng)的防范方案設(shè)計(jì)如下：

針對(duì)訪問控制類風(fēng)險(xiǎn)，核安全級(jí)操作顯示系統(tǒng)應(yīng)設(shè)置訪問控制，根據(jù)不同角色設(shè)置不同權(quán)限，至少包括操作使用權(quán)限和維護(hù)下裝權(quán)限。

針對(duì)非法數(shù)據(jù)類風(fēng)險(xiǎn)，核安全級(jí)操作顯示系統(tǒng)應(yīng)進(jìn)行數(shù)據(jù)校驗(yàn)、唯一標(biāo)識(shí)數(shù)據(jù)包和加密設(shè)計(jì)，保證數(shù)據(jù)通信的完整性和機(jī)密性。

針對(duì)關(guān)鍵信息類風(fēng)險(xiǎn)，如賬戶信息、操作日志和系統(tǒng)狀態(tài)信息，核安全級(jí)操作顯示系統(tǒng)應(yīng)進(jìn)行完整性校驗(yàn)并存儲(chǔ)，避免數(shù)據(jù)被篡改和破壞。

3　嵌入式實(shí)時(shí)操作系統(tǒng)選型和CGD方案

嵌入式系統(tǒng)的應(yīng)用程序可以沒有操作系統(tǒng)直接在芯片上運(yùn)行，但是隨著科學(xué)技術(shù)的發(fā)展，嵌入式系統(tǒng)的硬件復(fù)雜度逐步提升，應(yīng)用場(chǎng)景和功能也更加多樣化。為了使軟件走向標(biāo)準(zhǔn)化，更加合理地調(diào)度任務(wù)、更加充分地利用系統(tǒng)資源和庫函數(shù)、更快速地開發(fā)高質(zhì)量產(chǎn)品，越來越多的控制系統(tǒng)廠家開始使用商用多任務(wù)的嵌入式實(shí)時(shí)操作系統(tǒng)。

商用嵌入式實(shí)時(shí)操作系統(tǒng)要應(yīng)用在核安全級(jí)操作系統(tǒng)需在選型和驗(yàn)證按照核相關(guān)要求執(zhí)行，確保商用嵌入式實(shí)時(shí)操作系統(tǒng)達(dá)到或相當(dāng)于核質(zhì)保體系下質(zhì)量要求。

3.1　嵌入式實(shí)時(shí)操作系統(tǒng)選型要求

HAD102/16附錄I專門針對(duì)按其他工業(yè)安全關(guān)鍵應(yīng)用中的高標(biāo)準(zhǔn)開發(fā)的軟件的使用和確認(rèn)提出了相關(guān)要求和建議，提出了商用軟件驗(yàn)收要滿足的要求：功能適用性、標(biāo)準(zhǔn)符合性、驗(yàn)收的一致性、配置管理、質(zhì)量保證、接口確認(rèn)、應(yīng)用約束、軟件開發(fā)過程、軟件V&V、工具、變更管理、商用軟件運(yùn)行經(jīng)驗(yàn)。

IEC 60880對(duì)預(yù)開發(fā)軟件（PDS）的評(píng)估和評(píng)價(jià)過程有非常具體的要求（IEC 60880 15預(yù)開發(fā)軟件的質(zhì)量鑒定）：對(duì)PDS的功能和性能特征以及現(xiàn)有的鑒定文件的評(píng)估；軟件開發(fā)過程的質(zhì)量評(píng)估；對(duì)運(yùn)行經(jīng)驗(yàn)進(jìn)行的評(píng)估。

綜上所述，結(jié)合設(shè)計(jì)目標(biāo)為核安全級(jí)顯示操作系統(tǒng)，提出操作系統(tǒng)選型時(shí)需要考慮的維度，見表2。

表2　操作系統(tǒng)選型總體要求

3.2　商用操作系統(tǒng)CGD方案研究

高性能SCID采用成熟商用操作系統(tǒng)軟件進(jìn)行開發(fā)，為了充分確信作為商品級(jí)物項(xiàng)的操作系統(tǒng)適合于核電廠安全級(jí)應(yīng)用，需要對(duì)操作系統(tǒng)進(jìn)行技術(shù)評(píng)價(jià)和驗(yàn)收的過程，即需要執(zhí)行商品級(jí)物項(xiàng)適用性確認(rèn)（Commercial Grad Dedication）。

在核電行業(yè)，如RCC-E、IEC以及我國GB均對(duì)核電廠應(yīng)用商品級(jí)成品部件提出了一些程序性和技術(shù)性要求，但均止于原則性的要求和指導(dǎo)，缺乏可以落地，便于實(shí)施的方法和準(zhǔn)則。相對(duì)應(yīng)的，美國CGD方法發(fā)展較為成熟，可供參考的導(dǎo)則、標(biāo)準(zhǔn)、不同層級(jí)指導(dǎo)文件以及案例比較豐富，可操作性、可驗(yàn)收性較強(qiáng)。目前在國際上，歐洲、美國、韓國核電儀控供應(yīng)商在具體工程實(shí)踐中，均采用美國CGD方法，以確保商品級(jí)物項(xiàng)能夠安全、可信賴的用在安全級(jí)系統(tǒng)中。美國核安全法規(guī) 10 CFR 21中定義“商品級(jí)物項(xiàng)”，按法規(guī)GL 89-02、GL 91-05及標(biāo)準(zhǔn)ASME NQA-1要求，需實(shí)施并通過CGD，方可應(yīng)用于核電廠安全重要系統(tǒng)。NUREG 0800[6]第7章Appendix 7.0-A 以及IEEE 7-4.3.2[7]第5.17條款也要求對(duì)用于執(zhí)行安全功能或影響安全功能的商業(yè)數(shù)字設(shè)備/部件進(jìn)行CGD。上述法規(guī)、導(dǎo)則、標(biāo)準(zhǔn)都具體指向了EPRI導(dǎo)則NP5652[8]及其關(guān)于數(shù)字化設(shè)備CGD的分冊(cè)TR-106439[9]。因此，在指導(dǎo)標(biāo)準(zhǔn)方面，商用操作系統(tǒng)將以美國CGD方法體系作為主要依據(jù)，滿足HAD102/16法規(guī)要求，同時(shí)參考IEC60880標(biāo)準(zhǔn)要求，制定了商用操作系統(tǒng)的CGD方案。

適用性確認(rèn)包括兩個(gè)關(guān)鍵要素：技術(shù)評(píng)價(jià)和驗(yàn)收過程。通過適用性確認(rèn)，可保證商品級(jí)物項(xiàng)等效于按HAF 003安全級(jí)質(zhì)量保證體系進(jìn)行設(shè)計(jì)制造的安全級(jí)物項(xiàng)。首先確定CGD對(duì)象，然后識(shí)別關(guān)鍵特性，關(guān)鍵特性分成三類：物理特性、功能性能特性、可信性特性。針對(duì)三類關(guān)鍵特性，依據(jù)IEEE 7-4.3.2[7]附錄C及TR-106439[9]，結(jié)合操作系統(tǒng)具體情況，CGD同時(shí)采用以下三種方法進(jìn)行驗(yàn)收：測(cè)試和檢驗(yàn)、商業(yè)級(jí)調(diào)查、歷史業(yè)績數(shù)據(jù)分析，實(shí)際過程中，采用以上三種方法聯(lián)合使用來驗(yàn)收。

商品級(jí)物項(xiàng)CGD過程如圖3所示。

圖3　商品級(jí)物項(xiàng)CGD過程

4　設(shè)計(jì)實(shí)現(xiàn)

根據(jù)前文所述方案，按核級(jí)質(zhì)保過程，實(shí)現(xiàn)了一個(gè)核安全級(jí)高性能SCID產(chǎn)品，軟件總代碼量22萬行。圖4為高性能SCID實(shí)現(xiàn)的堆芯溫度監(jiān)視畫面。

4.1　商用操作系統(tǒng)選型

通過開展大量選型調(diào)研工作，在市場(chǎng)上可供選擇的商用操作系統(tǒng)中選擇了已經(jīng)通過IEC 61508 SIL3認(rèn)證的實(shí)時(shí)操作系統(tǒng)，例如：QNX實(shí)時(shí)操作系統(tǒng)、VXworks實(shí)時(shí)操作系統(tǒng)等，并赴操作系統(tǒng)供應(yīng)商開展了細(xì)致的現(xiàn)場(chǎng)調(diào)查，收集了操作系統(tǒng)軟件研發(fā)的全生命周期證據(jù)文件。

4.2　商用操作系統(tǒng)CGD

依據(jù)CGD相關(guān)法規(guī)（NUREG0800等）、標(biāo)準(zhǔn)（IEEE 7-4.3.2、IEC61513、IEC60880等）和執(zhí)行單位質(zhì)量體系要求（TR-106439等），操作系統(tǒng)作為商品級(jí)物項(xiàng)，嚴(yán)格實(shí)施了CGD對(duì)象識(shí)別、關(guān)鍵特性識(shí)別、關(guān)鍵特性驗(yàn)收等各階段的CGD活動(dòng)。

4.2.1關(guān)鍵特性

關(guān)鍵特性首先應(yīng)是物項(xiàng)固有的特性，依據(jù)TR-106439[9]，數(shù)字化設(shè)備/部件（包括軟件）的關(guān)鍵特性，分為三類，物理關(guān)鍵特性、性能關(guān)鍵特性之外、可信性（Dependability）關(guān)鍵特性，結(jié)合操作系統(tǒng)軟件作為操作顯示系統(tǒng)底層平臺(tái)的情況，確定操作系統(tǒng)所有軟件特性，形成關(guān)鍵特性文件。

物理特性包括軟件的版本號(hào)和存儲(chǔ)介質(zhì)。

性能關(guān)鍵特性最終體現(xiàn)在所調(diào)用的API函數(shù)中，需要驗(yàn)證這些特性在最終硬件平臺(tái)上是否正確或有效。在實(shí)際操作系統(tǒng)功能性能特性識(shí)別中共提出152個(gè)關(guān)鍵特性，每個(gè)關(guān)鍵特性對(duì)應(yīng)功能說明及使用約束。

可信性（Dependability）特性依據(jù)TR- 106439、NUREG0800、EPRI TR-102260[10]、IEEE 1074、NUREG/CR 6101等標(biāo)準(zhǔn)和技術(shù)報(bào)告得出包括11個(gè)方面的評(píng)估：（1）軟件項(xiàng)目管理，及項(xiàng)目風(fēng)險(xiǎn)評(píng)估管理；（2）軟件質(zhì)保大綱；（3）軟件需求及需求可追蹤性；（4）軟件設(shè)計(jì)文檔；（5）同行評(píng)審；（6）軟件V&V；（7）軟件變更控制；（8）開發(fā)環(huán)境安全（含信息安全）；（9）軟件可靠性；（10）軟件配置管理；（11）軟件缺陷及問題報(bào)告，糾正行動(dòng)；其中對(duì)于軟件及軟件V&V進(jìn)行評(píng)估時(shí)，采用軟件V&V的依據(jù)的法規(guī)（HAD102/16等）和標(biāo)準(zhǔn)（IEC61513、IEC60880、IEEE1012等）。

4.2.2關(guān)鍵特性驗(yàn)收

在CGD關(guān)鍵特性驗(yàn)收中，采用方法1、方法2和方法4相結(jié)合進(jìn)行驗(yàn)收。

關(guān)鍵特性的物理特性和性能特性采用方法1進(jìn)行驗(yàn)收，采用通過編寫測(cè)試程序在目標(biāo)軟硬件環(huán)境下運(yùn)行進(jìn)行測(cè)試。通過在目標(biāo)軟硬件環(huán)境下執(zhí)行相關(guān)手動(dòng)操作進(jìn)行測(cè)試。通過組態(tài)圖形畫面在目標(biāo)軟硬件環(huán)境下的顯示相關(guān)關(guān)鍵特性進(jìn)行測(cè)試。其中功能性能關(guān)鍵特性驗(yàn)收中，共執(zhí)行515個(gè)測(cè)試用例，覆蓋全部152個(gè)關(guān)鍵特性。通過測(cè)試，未發(fā)現(xiàn)操作系統(tǒng)異常，所有關(guān)鍵特性能正常執(zhí)行功能，滿足驗(yàn)收準(zhǔn)則。

可信性特性（除可靠性除外）通過方法2實(shí)施驗(yàn)收。商業(yè)級(jí)調(diào)查針對(duì)預(yù)先確定的可信性關(guān)鍵特性，實(shí)際工作中分為兩大部分活動(dòng)：文檔審查和現(xiàn)場(chǎng)調(diào)查。首先對(duì)供應(yīng)商可提供文檔進(jìn)行文檔審查，然后在此基礎(chǔ)上，分別實(shí)施兩次原廠現(xiàn)場(chǎng)調(diào)查。通過查閱文件、人員訪談、問題澄清等形式，對(duì)操作系統(tǒng)的質(zhì)保體系、軟件生命周期、需求管理、設(shè)計(jì)與實(shí)現(xiàn)、V&V等的相關(guān)程序、流程、規(guī)范，以及項(xiàng)目實(shí)施記錄/報(bào)告實(shí)施深入調(diào)查，獲取大量數(shù)據(jù)，形成16份報(bào)告。經(jīng)過商業(yè)級(jí)調(diào)查，操作系統(tǒng)在質(zhì)保體系、軟件生命周期、需求管理、設(shè)計(jì)與實(shí)現(xiàn)、V&V獨(dú)立性、評(píng)估與分析、軟件測(cè)試、配置管理、運(yùn)行經(jīng)驗(yàn)、第三方軟件、變更控制、問題報(bào)告和缺陷處理、人員資質(zhì)等可信性特性滿足驗(yàn)證準(zhǔn)則，通過驗(yàn)收。

另外，可信特性的可靠性驗(yàn)收采用方法4進(jìn)行驗(yàn)收，通過方法4補(bǔ)充了操作系統(tǒng)具有足夠質(zhì)量能夠保證相關(guān)安全功能的證據(jù)。該操作系統(tǒng)被大量使用在汽車、醫(yī)療、通信、能源、航空航天等其他安全相關(guān)行業(yè)，它在已有系統(tǒng)中的使用情況很大程度反映了它的質(zhì)量狀況。由于歷史經(jīng)驗(yàn)表現(xiàn)通常掌握在用戶和供應(yīng)商手上。CGD團(tuán)隊(duì)通過現(xiàn)場(chǎng)調(diào)查供應(yīng)商在功能安全認(rèn)證中提供的歷史數(shù)據(jù)，統(tǒng)計(jì)使用操作系統(tǒng)相關(guān)版本的缺陷共109個(gè)，跟蹤了評(píng)估過程，識(shí)別出與安全相關(guān)缺陷是11個(gè)，11個(gè)缺陷都得到恰當(dāng)處理；根據(jù)其在不同的安全或具有高可靠性要求行業(yè)的應(yīng)用歷史數(shù)據(jù)和報(bào)告，操作系統(tǒng)具有較高的運(yùn)行可靠性。

通過上述CGD工作，商用操作系統(tǒng)經(jīng)過關(guān)鍵特性識(shí)別和驗(yàn)收，達(dá)到核電軟件同等質(zhì)量水平，能夠滿足安全級(jí)操作顯示系統(tǒng)的應(yīng)用要求。

4.3　總體驗(yàn)證

針對(duì)第4章的設(shè)計(jì)，對(duì)基于商用操作系統(tǒng)的核安全級(jí)操作顯示系統(tǒng)進(jìn)行了驗(yàn)證與確認(rèn)，驗(yàn)證與確認(rèn)工作在全面覆蓋所有功能、性能和可靠性三個(gè)方面基礎(chǔ)上，根據(jù)IEC61513、IEC60880等相關(guān)標(biāo)準(zhǔn)要求，結(jié)合SCID系統(tǒng)自身的特點(diǎn)，尤其加強(qiáng)了6個(gè)關(guān)鍵技術(shù)驗(yàn)證，包括：商用操作系統(tǒng)軟件對(duì)操作顯示系統(tǒng)影響、軟件確定性、自監(jiān)視、內(nèi)存使用和檢測(cè)、人機(jī)界面驗(yàn)證、安全級(jí)與非安全級(jí)隔離驗(yàn)證等，從而確保商用操作系統(tǒng)達(dá)到或等同于核安全級(jí)軟件同等質(zhì)量水平。

5　總結(jié)

本文給出了一種基于商用操作系統(tǒng)的高性能SCID設(shè)計(jì)方案，基于該方案研制的SCID產(chǎn)品已經(jīng)完成產(chǎn)品發(fā)布，在我國自主研制第三代核電堆型防城港3、4上獲得了應(yīng)用，是我國首款獲得工程應(yīng)用的高性能SCID產(chǎn)品。研發(fā)經(jīng)歷表明，通過使用功能安全認(rèn)證的操作系統(tǒng)，配合充分的CGD工作，可實(shí)現(xiàn)高性能、高質(zhì)量SCID產(chǎn)品，同時(shí)產(chǎn)品研發(fā)周期也大幅縮短，是一條可參考的安全級(jí)產(chǎn)品的研發(fā)途徑。未來要跟蹤新研制復(fù)雜SCID的應(yīng)用反饋，持續(xù)優(yōu)化。

［1］ Office for Nuclear Regulation（ONR）. GDA Issue GI-AP1000-CI-10-Provision of Class 1 Displays and Controls in an Alternate Location：ONR-NR-AR-16-036［S］，2017.

［2］ International Electrotechnical Commission，Nuclear power plants-Instrumentation and control import to safety- Classification of instrumentation and control functions：IEC61226-2009［S］．Switzerland，2009.

［3］ Nuclear power plants-Instrumentation and control important to safety-General requirements for systems：IEC 61513-2011［S］．2011．

［4］ Nuclear power plants-Instrumentation and control systems important to safety-Software aspects for computer-based systems performing category A functions：IEC 60880-2006［S］．2006．

［5］ Standard for Software Verification and Validation：IEEE 1012-2004［S］．USA，2004.

［6］ SRP（NUREG 0800），Chapter 7，Appendix 7.0-A，Review Process for Digital Instrumentation and Control Systems［R］．

［7］ Criteria for Digital Computers in safety systems lf Nuclear Power Generating Station：IEEE7-4.3.2-2010［S］．USA，2010．

［8］ GilberVCommonwealth，Inc.Reading，Pennsylvania. Guideline for the Utilization of Commercial Grade Items in Nuclear Safety Related Applications（NCIG-07）：EPRI NP-5652［S］．USA，1988.

［9］ EPRI Working Group on Use of Commercial Digital Equipment in Nuclear Safety Applications withMPR Associates，Inc.Alexandria，Virginia，“Guideline on Evaluation and Acceptance of Commercial Grade Digital Equipment for Nuclear Safety Applications：TR-106439［S］．USA，1996.

［10］ Cygna Energy Services Atlanta，Georgia，Supplemental Guidance for the Application of EPRI Report NP-5652 on the Uti8lization of Commercial Grade Items：EPRI TR-102260［S］．USA，1994.

Study on the Software Design Technology of High Performance Nuclear Safety Classified HMI System

SHI Guilian，WANG Xiaoyan，LI Meng，DU Qiaorui，MA Zhonggang

(China Techenergy Co.Ltd，Beijing 100094，China)

The nuclear safety classified control and information display equipment (hereinafter referred to as SCID) is the key equipment of the nuclear power plant, which realizes the HMI function between the operator and the nuclear safety control and protection system. In this paper, the requirement status of China's SCID equipment is analyzed, and the necessity of developing high performance SCID is obtained. Furthermore, the overall design scheme of software using commercial operation system is proposed, and the nuclear power safety technologies including the certainty, self-diagnosis of system and information security protection of system are developed. Then, for the commercial operation system to reach the same quality level of nuclear power, the selection of commercial operation system and the CGD method is carried out. Finally, the application of high performance SCID based on this scheme is described, and the future work is prospected.

Nuclear safety classified; HMI; Commercial operation system; CGD; Deterministic

TP271

A

0258-0918（2021）06-1145-09

2020-03-07

石桂連（1974—），女，河北承德人，研究員級(jí)高級(jí)工程師，碩士研究生，現(xiàn)主要從事核電廠數(shù)學(xué)化儀控系統(tǒng)設(shè)備研發(fā)和應(yīng)用