今日頭條
官方微信
官方抖音
案例頻道摘要:隨著數字化儀控系統在核電廠保護系統中的應用,核安全級(1E級)軟件的質量和可信性成為業內關注的焦點。平臺軟件,即操作系統軟件,是數字化儀控系統運行的核心軟件,幾乎所有功能都依靠平臺軟件來實現。相關法規和標準對其提出了嚴格的管理和技術要求,除此之外,平臺軟件要在設計上充分考慮滿足系統的可靠性、安全性、實時性和確定性等要求,如何開發安全、可靠的平臺軟件成為實現核數字化安全級儀控系統所必須解決的關鍵難題。本文基于標準要求和保護系統功能特征分析,提出了數字化核安全級儀控(和睦系統)平臺軟件的關鍵技術特征,闡述了該軟件所采取的時間空間和行為確定性設計、無操作系統下通用平臺架構設計、故障安全和自診斷設計、無中斷下的軟件簡化設計等關鍵設計技術,并簡要介紹平臺軟件的開發生命周期模型。這些設計技術為和睦系統平臺軟件成功應用在安全級系統中發揮了重要作用,對開發安全級軟件具有重要的參考價值。
關鍵詞: 核電廠;數字化儀控系統;核安全級;平臺軟件;確定性;故障安全;自診斷
Abstract: With the employment of digital I&C systems in NPP (nuclear power plant) protection system, the quality and confidence of the safety (1E Class) software has become the focus of the nuclear industry. The platform software, i.e., operating system software, is the kernel software of digital I&C system, and almost all of functions relies on it. Although some related regulations and standards have proposed strict technical and anagement requirements, the platform software should be seriously designed to meet the demand of reliability, safety, real-time and determination. It has become a critical problem for implementing a safety digital I&C system of how to develop a safety and reliable platform software. In this paper,
based on the analysis of nuclear standard requirement and function feature of protection system, the critical technical characteristics of digital nuclear safety I&C system (FirmSys) are introduced. In addition, the key techniques of designing FirmSys platform software are expounded such as design for spatial-temporal and behavior determination, general platform architecture design with non-commercial operating software, fail-safe design, self-diagnose design, etc. Meanwhile, a brief description of the development life cycle model for the platform software is provided.
These techniques play an important role for designing FirmSys platform software and is a significant guidance for developing nuclear safety software.
Key words: NPP;DCS;1E Class;Platform Software;Determination;Fail-safe;Self-diagnose
1 引言
數字化核安全級控制保護系統FirmSys——“和睦系統”提供一個通用的核電站安全級儀控系統平臺,可應用于不同類型的核反應堆安全級儀控系統,包括反應堆保護系統(RPS)、事故后監測系統(PAMS)、專設安全設施控制系統等。儀控系統是核電站的大腦和神經中樞,對保證核電廠設備和人員及環境的安全起著至關重要的作用。按照安全等級劃分,和睦系統為安全級(1E級)。
和睦系統平臺軟件,即標準中所定義的操作系統軟件,是數字化儀控系統運行的核心軟件,各種功能幾乎都依靠平臺軟件來完成。與單純硬件系統相比,軟件的實現更復雜、也就更容易發生設計錯誤 [2] 。安全級軟件失效常常導致系統出錯、失效、崩潰,造成重大生命財產損失,如何開發安全可靠的軟件成為核電領域重要的研究內容。軟件的安全性和可靠性首先是設計出來的,要滿足核電相關法規和標準對安全級軟件提出了嚴格的管理和技術的要求,設計上需要充分考慮安全功能和關鍵特性。本文在分析標準要求的基礎上,結合保護系統的功能特點,提出平臺軟件的安全特性,然后基于安全特性,研究并提出平臺軟件的時間空間和行為確定性設計、無操作系統下通用平臺架構設計、故障安全和自診斷設計、無中斷下的軟件簡化設計等關鍵設計技術,從而解決平臺軟件在滿足安全性、可靠性、確定性、實時性要求所面臨的技術問題。針對開發過程對安全軟件的重要性,本文簡要介紹平臺軟件的開發生命周期模型。和睦系統平臺軟件經過歷時7年的開發,申請了多項專利或軟件著作權,開發出擁有完全自主知識產權的安全級軟件,能夠滿足安全性、確定性、實時性、可靠性要求,各項性能達到和超過國外同類產品水平。該軟件獲得了國家安審機構的認可,并取得德國TüV SIL3、ISTec獨立第三方V&V認證證書,成功應用在陽江核電站5、6號機組安全級儀控系統等項目。這些設計技術的研究對于開發安全級系統軟件具有重要的參考價值。
2 安全級軟件標準研究
2.1 核電廠安全級軟件相關標準
第一層:儀控系統總體要求。核安全級軟件遵循中國和國際原子能機構(IAEA)、IEC、IEEE組織關于核動力廠安全規定和導則,同時滿足基本安全系列標準IEC 61508《電氣/電子/可編程電子安全有關系統(E/E/PES)的功能安全》。儀控系統總體要求全面規定了安全重要儀表和控制系統在核電工程整個生命周期內(包括設計階段、建造階段和運行期間)各項活動中的安全準則,為儀控系統的總體設計提供指導。該層標注的一些基本要求由下一層的基干標準加以補充或直接相互引用。
第二層:核動力廠安全重要儀控系統軟件相關標準。在頂層標準的指導下,形成了核安全級軟件研究和開發需要滿足的安全重要I&C系統軟件的基礎標準,這些標準對核安全級軟件的設計開發提出了下面的要求:
· 計算機軟件的一般要求;
· 軟件需求、設計、實現和集成的具體要求;
· 軟件驗證與確認的要求;
· 軟件共因故障的防御;
· 設備質量鑒定和質量保證對軟件的要求;
第三層:相關審查和設計指導。NRC的RG1.168、1.172、1.173和BTP 7-14提供了核安全級審查和設計指導,從獨立于標準體系的方面,對核安全級軟件的設計和實現進行審查和驗證。
2.2 操作系統軟件設計要求
(1)按IEC 60880的劃分,儀控系統的軟件分為操作系統軟件和應用軟件。應用軟件通常使用操作系統軟件提供的服務。
操作系統軟件:系統運行期間在目標處理器上執行的軟件,例如用于如下項目的軟件:輸入/輸出驅動,服務、中斷管理、調度程序、通訊驅動、面向應用的庫、在線診斷、冗余和適當的降級管理。可用于不同項目。
應用軟件:系統中實現應用功能的那部分軟件。包括互鎖邏輯、控制回路、顯示格式、報警邏輯等。它基于操作系統軟件,用于特定項目。
(2)針對軟件的安全性,標準提出安全分析和安全設計,要分析軟件潛在的安全威脅,將安全分析中確定的軟件設計對策的要求落實在軟件設計要求中。
對于軟件設計,標準提出以下具體要求 [4] :
· 在設計和程序開發的實現階段開始之前,應先有軟件需求并有可用的文檔。
· 設計和實現階段執行軟件需求規格書,并為驗證軟件的設計和實現提供基準。
· 軟件設計應包含自監督。
· 在失效監測方面,應采取適當的措施。
· 程序結構宜基于模塊分解。
· 程序結構在總體設計和詳細設計方面均宜簡單、易于理解。
· 宜避免采用各種技巧、遞歸結構和代碼壓縮方法。
· 源程序易于未參加軟件開發過程的專業技術人員理解。
· 源程序宜符合文件規定的編碼規則,以提高確定性、可修改性、可測試性。
· 任何與設計原則不一致的地方,都應該被證明是合理的。
· 應提供全面、明確的書面文檔。
· 通信鏈路的設計應符合NB/T20026中給出的數據通信要求。
· 同一冗余列內使用的通信鏈路應具有確定性。
(3)操作系統軟件詳細要求
針對操作系統軟件的詳細要求,IEC 60880主要從操作系統軟件的功能簡化、接口定義、驗證角度等進行要求 [4] 。
3 和睦系統平臺軟件安全特性
3.1 保護系統平臺軟件功能特點
核電站保護系統RPS典型功能為采集并處理過程信號,實現自動反應堆緊急停堆、產生專設安全設施驅動局部脫扣信號等功能,并將相關參數信息、觸發信號以及控制命令通過通信網絡傳送到控制室進行指示和報警。
圖3是一種典型的RPS系統結構,包括四重冗余的獨立通道,每個通道均包括兩組控制站,每個控制站為冗余結構設計。功能多樣性的反應堆停堆參數被分配到這兩組控制站中,每組控制站均可觸發反應堆緊急停堆。
不管具體的應用功能如何,RPS的平臺軟件功能仍是為應用軟件運行提供服務的基礎性功能。需要具備高安全、高可靠和實時性。
(1)作為操作系統軟件,提供信號采集、運算處理、指令輸出、數據通信等基礎性功能。
(2)能夠為應用軟件提供運行環境,可以組態,能適用不同功能的應用軟件,有一定通用性。
(3)需要具備高安全、高可靠和實時性,能在規定的時間內正確地做出響應。
3.2 平臺軟件的模型分析
核電領域使用確定性的方法來確定系統的安全重要性及相關的風險嚴重性的影響。為了解決系統的確定性問題,學界提出了一種同步模型 [7] 。同步模型依賴于一個同步假設(synchrony hypothesis):當前周期(cycle)的輸入事件出現時,系統能夠在下一周期的輸入事件出現之前足夠快地產生相應當前周期的輸出。規定的時間范圍是由實時系統的環境決定的。檢查同步假設的有效性就等于評估系統對環境的最大響應時間能否滿足環境的要求。同步模型把實時系統分成連續的原子時間片,成為響應周期;每個周期又分為三個階段,分別是事件采集,邏輯運算和事件輸出。
基于同步模型,保護系統平臺軟件抽象成在固定的連續周期內按順序執行采集、運算、輸出的軟件,能在周期內完成最差時間的事件響應,其性能可以要求確保完成上述功能。
3.3 平臺軟件設計原則
(1)應滿足確定性要求
以上所提出的同步模型即為解決確定性問題而設計的一種模型。能夠確保在激勵源與響應之間的時間延遲在全部所要求的條件下有一個保證的最大值和最小值。
其通信技術及其規模能在由預期電廠瞬態(包括在正常失去電源的情況下雪崩式的狀態改變)產生的所有數據負載下滿足性能要求。
同時應提供設計,例如看門狗,以便軟件發生不可預知的錯誤時,監督與確定特性的任何偏離,并在失去控制下能進入的確定的狀態。
(2)滿足故障安全要求
系統性故障要通過自診斷予以檢測,發現故障時應將被設置在預先規定的優選故障安全狀態,同時對外輸出故障信息。
(3)滿足簡化設計要求
盡量簡化的設計有助于保障軟件的安全性。HAD102/16提出應證明在系統功能及其實現方面都已避免不必要的復雜性。遵循結構化設計、編程規范和編碼規則的證據應是證明的一部分。系統的模塊化和接口定義的邏輯結構應盡可能簡單 [3] 。
(4)具備自診斷設計
為了提高系統的可靠性,平臺軟件應在運行期間,在確定的時間間隔診斷硬件和軟件的行為。通過自診斷可以檢測出硬部件的隨機故障,軟件錯誤的行為,以及不同的處理單元之間錯誤的數據傳輸。
(5)采用模塊化設計
平臺軟件總體上是比較復雜的軟件,適用于控制器軟件、通信軟件、安全顯示軟件,往往涉及到多人協同開發。模塊化設計就是把軟件整體劃分,劃分后的塊組成了軟件。這些塊都相對獨立,之間用接口(協議)通信,每個塊完成一個功能,多個塊組合可以完成一系列功能。模塊化設計對于較為復雜的平臺軟件來說是有效的設計,一方面提高了軟件的可復用性,有利于提高軟件的整體質量和可維護性,另一方面可提高工作效率,降低開發成本。
4 關鍵設計技術研究與實現
4.1 軟件時間、空間、行為確定性設計時間確定性方面,平臺軟件采用固定周期運行,每個功能在預先指定的時間完成執行。為保證各功能之間互不影響,所有功能模塊采用相同的優先級,運行的功能模塊獨占系統資源,不會受到其它功能的影響。這樣可以有效解決在多優先級任務執行中,因任務調度導致某些任務被掛起而而影響該任務的預期執行,導致在規定時間能不能響應的隱患。
空間確定性方面,平臺軟件所有內存采用預先靜態內存分配,禁止動態分配內存。所有功能模塊所需的內存均預先定義,一旦運行不允許更改。堆、棧和緩沖區是計算機軟件經常用到存儲區,也是容易出現安全隱患的多發區,歷史上因堆棧泄露緩沖區溢出帶來的系統崩潰時有發生。和睦系統平臺軟件禁止采用動態內存分配,從根本上消除了堆的使用。棧和緩沖區預先分配且固定大小,并設計足夠大的裕量,輸入、輸出、網絡收發、中間變量等數據區靜態分配,與工程組態無關,在最大配置使用下不會溢出,能保證內存空間在最大負載下滿足性能要求。
行為確定性方面,不使用軟件中斷,消除了在中斷發生下程序被打斷而造成執行功能一定時間內不可預期的可能。在通信處理方面,實現嚴格的通信獨立性。在負責處理安全功能和負責通信的模塊間,使用了支持兩套訪問地址的雙口RAM內存,軟件上采用雙緩沖設計和互斥訪問,使雙方軟件不受對方的影響。該項技術獲得發明專利《一種雙口RAM互斥訪問的實現方法》 [6] 。
4.2 無操作系統下的通用軟件架構設計
現代通用計算機一般采用多任務操作系統。如果CPU負荷越高,表明單位時間內CPU被占用率越高,調度資源越緊張,可能導致某些進程在需要占用CPU但不能及時得到資源。這會嚴重影響該進程的響應時間。如果是重要進程,還會導致重要功能得不到及時處理引發嚴重后果。
基于安全性和簡化程序考慮,平臺軟件采用無操作系統的設計。面對越來越復雜的功能,從可擴展性、可維護性、平臺化的角度出發,采用模塊化、層次化和結構化設計。平臺軟件層中的硬件抽象層是硬件與上層軟件的中間紐帶,提供操作和控制具體硬件的接口。平臺軟件通過硬件抽象層與底層硬件分離開來,使系統軟件的驅動程序與硬件無關。
平臺軟件存儲在FLASH指定地址并負責引導計算機啟動。從安全性,啟動地址和啟動程序均預先給定,不支持中途修改。另外從硬件無關性以及向系統軟件提供通用界面考慮,在硬件抽象層以下實現底層硬件的初始化、基礎輸入/輸出操作功能。一旦硬件平臺或上層軟件發生變化,不會導致全面變化。
在運行模式中,在應用軟件和嵌入式平臺軟件間設計輸入區、參數區、中間變量區等數據區,應用軟件實現編譯執行以提高執行效率。應用軟件下裝到控制器中,平臺軟件直接調用固定地址的應用軟件,執行相應的應用功能,這樣提高了軟件通用性和實時性。
平臺軟件封裝所有的驅動程序,并提供應用接口和服務,應用軟件能直接調用這些接口。通過這種方式,用戶不用關系平臺軟件的實現細節,實現了靈活組態和平臺化設計。
4.3 單任務無中斷下的可靠性、實時性設計
為了提高可靠性,該軟件采用單任務周期運行的方案,消除了多任務同時執行所帶來的安全隱患。為了避免因中斷造成執行程序的正常邏輯被打擾和破壞,還采取了無中斷的設計方案。為了保證系統的實時性要求,在15ms甚至更低的運行時間下,軟件引入高效驅動程序設計和輪詢訪問機制。同時采取精巧的調度控制算法,確保時間較長的在線診斷模塊分不同周期運行,有效解決實時性的要求。15ms的周期下仍可以將CPU負荷率控制在70%以下。
4.4 故障安全和高覆蓋自診斷設計
和睦系統平臺軟件的故障安全設計和自診斷設計實踐過程依據于安全完整性設計指標。按照硬件安全完整設計約束,包括架構性約束和量化硬件隨機失效約束兩個頂層設計指標,在安全架構(HFT),SIL等級要求確定情況下,可得出安全失效分數(SFF)要求,以及總的FPD/FPH指標要求,為了達到這些安全性設計指標均要求盡可能提高自診斷覆蓋率(DC),在具體實現上可參考IEC61508-2:Annex A 中推薦的技術措施與方法,選取具有足夠診斷覆蓋率的自診斷設計方法開展具體的自診斷設計實現。同時在設計驗證層面,可通過開展FMEDA分析工作結合故障插入測試對自診斷設計需求目標進行分析驗證和測試驗證。通過自診斷設計,系統的診斷覆蓋率達到90%以上,獲得SIL3功能安全認證。
表1所示為以CPU、RAM為例描述了自診斷針對不同對象所采用的診斷方法和達到的覆蓋率。
表1 自診斷方法示例
4.5 簡化設計技術和嚴格編碼規范
為了提高軟件的可維護性、可驗證性和可靠性,平臺軟件采取簡化設計原則。簡化設計從兩方面入手:一方面是從軟件架構設計,包括前面所述的固定周
期、單任務、無中斷、無操作系統、分層化設計。另一方面從詳細設計入手,軟件所有功能函數都采用單入口單出口設計,要求每個異常都必須處理,模塊之間低耦合高內聚,公共數據和公共變量采用封裝接口。
在實現階段,根據IEC 60880并采用比MISRA-C更嚴格的編碼規范,定義C語言安全子集:和睦系統嵌入式軟件語言FirmC。其中要求函數圈復雜度不超過20,不允許存在無法執行到的代碼,不允許定義參數個數可變的函數,函數體的規模必須控制在200行代碼之內,函數內的控制流保持函數只有唯一出口,尋址數組元素應避免繁雜的下標計算等。
4.6 高效的安全軟件開發過程
眾所周知,對于軟件的開發而言,正確的安全軟件開發過程對保證軟件的開發過程變得可控,而且它能夠有助于合理證明安全系統的運行。標準提出了安全生命周期模型,可用于指導軟件開發過程。伴隨對核安全級軟件研發流程的深入理解和靈活應用,和睦系統形成一套真正可應用并且完善的全生命周期的軟件開發過程模型。該模型的特點在于,它在依據于標準的同時,提出了圖8所示的全生命周期模型及質量保障,發布了系統、軟件、硬件、 邏輯過程控制程序和50多份技術規范和開發模板。對于軟件設計階段,細化分解成概要設計和詳細設計,制定相應的技術規范,使軟件架構設計和模塊設計得到側重和加強,并提出測試與審查的手段進行驗證,同時進行迭代,將執行中發現的經驗及時反饋到模型中去優化和改進,為推動軟件的順利研發提供了有效的過程支持。
5 實施效果
和睦系統平臺軟件歷經6年開發,內核代碼2.2萬行,公共庫和驅動程序3萬行。該軟件具有功能穩定、安全性高、資源確定、時間確定和行為確定,允許組態和下裝,便于使用等特點。
獲得了國家安審機構的認可,并獲得德國TüVSIL3(2013.7)認證、ISTec獨立第三方V&V認證(2013.12)證書,成功應用在陽江核電站5、6號機組安全級儀控系統、紅沿河核電站5、6號機組項目,以及大亞灣、嶺澳堆芯測量系統(RIC)改造等項目。已在“大亞灣堆芯測量系統(RIC)改造項目”、“高
溫氣冷堆核電站數字化保護系統工程樣機研制項目”、“高溫氣冷堆核電站安全級控制保護系統項目”、“陽江5、6號機組DCS項目”、“紅沿河5、6號機組DCS項目”中得到應用。各項指標達到國外同類產品技術水平。
6 結論
核安全級儀控系統平臺軟件是系統的核心軟件,和睦系統平臺軟件采用完全自主開發,全面遵循國家及國際核級法規和標準。軟件采用時間、空間、行為確定性設計、無操作系統下的通用軟件架構設計、故障安全和高覆蓋率自診斷設計、簡化設計技術和嚴格編碼規范、高效的安全軟件開發過程,內核代碼2.2萬行,公共庫和驅動程序3萬行,各項指標達到國外同類產品技術水平。這些技術的研究對于開發安全級系統軟件具有重要的參考價值。
摘自《自動化博覽》2018年5月刊
北京市公安局海淀分局備案號:11010802023656號