今日頭條
官方微信
官方抖音
案例頻道摘要:隨著數(shù)字化儀控系統(tǒng)在核電廠保護(hù)系統(tǒng)中的應(yīng)用,核安全級(jí)(1E級(jí))軟件的質(zhì)量和可信性成為業(yè)內(nèi)關(guān)注的焦點(diǎn)。平臺(tái)軟件,即操作系統(tǒng)軟件,是數(shù)字化儀控系統(tǒng)運(yùn)行的核心軟件,幾乎所有功能都依靠平臺(tái)軟件來(lái)實(shí)現(xiàn)。相關(guān)法規(guī)和標(biāo)準(zhǔn)對(duì)其提出了嚴(yán)格的管理和技術(shù)要求,除此之外,平臺(tái)軟件要在設(shè)計(jì)上充分考慮滿足系統(tǒng)的可靠性、安全性、實(shí)時(shí)性和確定性等要求,如何開(kāi)發(fā)安全、可靠的平臺(tái)軟件成為實(shí)現(xiàn)核數(shù)字化安全級(jí)儀控系統(tǒng)所必須解決的關(guān)鍵難題。本文基于標(biāo)準(zhǔn)要求和保護(hù)系統(tǒng)功能特征分析,提出了數(shù)字化核安全級(jí)儀控(和睦系統(tǒng))平臺(tái)軟件的關(guān)鍵技術(shù)特征,闡述了該軟件所采取的時(shí)間空間和行為確定性設(shè)計(jì)、無(wú)操作系統(tǒng)下通用平臺(tái)架構(gòu)設(shè)計(jì)、故障安全和自診斷設(shè)計(jì)、無(wú)中斷下的軟件簡(jiǎn)化設(shè)計(jì)等關(guān)鍵設(shè)計(jì)技術(shù),并簡(jiǎn)要介紹平臺(tái)軟件的開(kāi)發(fā)生命周期模型。這些設(shè)計(jì)技術(shù)為和睦系統(tǒng)平臺(tái)軟件成功應(yīng)用在安全級(jí)系統(tǒng)中發(fā)揮了重要作用,對(duì)開(kāi)發(fā)安全級(jí)軟件具有重要的參考價(jià)值。
關(guān)鍵詞: 核電廠;數(shù)字化儀控系統(tǒng);核安全級(jí);平臺(tái)軟件;確定性;故障安全;自診斷
Abstract: With the employment of digital I&C systems in NPP (nuclear power plant) protection system, the quality and confidence of the safety (1E Class) software has become the focus of the nuclear industry. The platform software, i.e., operating system software, is the kernel software of digital I&C system, and almost all of functions relies on it. Although some related regulations and standards have proposed strict technical and anagement requirements, the platform software should be seriously designed to meet the demand of reliability, safety, real-time and determination. It has become a critical problem for implementing a safety digital I&C system of how to develop a safety and reliable platform software. In this paper,
based on the analysis of nuclear standard requirement and function feature of protection system, the critical technical characteristics of digital nuclear safety I&C system (FirmSys) are introduced. In addition, the key techniques of designing FirmSys platform software are expounded such as design for spatial-temporal and behavior determination, general platform architecture design with non-commercial operating software, fail-safe design, self-diagnose design, etc. Meanwhile, a brief description of the development life cycle model for the platform software is provided.
These techniques play an important role for designing FirmSys platform software and is a significant guidance for developing nuclear safety software.
Key words: NPP;DCS;1E Class;Platform Software;Determination;Fail-safe;Self-diagnose
1 引言
數(shù)字化核安全級(jí)控制保護(hù)系統(tǒng)FirmSys——“和睦系統(tǒng)”提供一個(gè)通用的核電站安全級(jí)儀控系統(tǒng)平臺(tái),可應(yīng)用于不同類型的核反應(yīng)堆安全級(jí)儀控系統(tǒng),包括反應(yīng)堆保護(hù)系統(tǒng)(RPS)、事故后監(jiān)測(cè)系統(tǒng)(PAMS)、專設(shè)安全設(shè)施控制系統(tǒng)等。儀控系統(tǒng)是核電站的大腦和神經(jīng)中樞,對(duì)保證核電廠設(shè)備和人員及環(huán)境的安全起著至關(guān)重要的作用。按照安全等級(jí)劃分,和睦系統(tǒng)為安全級(jí)(1E級(jí))。
和睦系統(tǒng)平臺(tái)軟件,即標(biāo)準(zhǔn)中所定義的操作系統(tǒng)軟件,是數(shù)字化儀控系統(tǒng)運(yùn)行的核心軟件,各種功能幾乎都依靠平臺(tái)軟件來(lái)完成。與單純硬件系統(tǒng)相比,軟件的實(shí)現(xiàn)更復(fù)雜、也就更容易發(fā)生設(shè)計(jì)錯(cuò)誤 [2] 。安全級(jí)軟件失效常常導(dǎo)致系統(tǒng)出錯(cuò)、失效、崩潰,造成重大生命財(cái)產(chǎn)損失,如何開(kāi)發(fā)安全可靠的軟件成為核電領(lǐng)域重要的研究?jī)?nèi)容。軟件的安全性和可靠性首先是設(shè)計(jì)出來(lái)的,要滿足核電相關(guān)法規(guī)和標(biāo)準(zhǔn)對(duì)安全級(jí)軟件提出了嚴(yán)格的管理和技術(shù)的要求,設(shè)計(jì)上需要充分考慮安全功能和關(guān)鍵特性。本文在分析標(biāo)準(zhǔn)要求的基礎(chǔ)上,結(jié)合保護(hù)系統(tǒng)的功能特點(diǎn),提出平臺(tái)軟件的安全特性,然后基于安全特性,研究并提出平臺(tái)軟件的時(shí)間空間和行為確定性設(shè)計(jì)、無(wú)操作系統(tǒng)下通用平臺(tái)架構(gòu)設(shè)計(jì)、故障安全和自診斷設(shè)計(jì)、無(wú)中斷下的軟件簡(jiǎn)化設(shè)計(jì)等關(guān)鍵設(shè)計(jì)技術(shù),從而解決平臺(tái)軟件在滿足安全性、可靠性、確定性、實(shí)時(shí)性要求所面臨的技術(shù)問(wèn)題。針對(duì)開(kāi)發(fā)過(guò)程對(duì)安全軟件的重要性,本文簡(jiǎn)要介紹平臺(tái)軟件的開(kāi)發(fā)生命周期模型。和睦系統(tǒng)平臺(tái)軟件經(jīng)過(guò)歷時(shí)7年的開(kāi)發(fā),申請(qǐng)了多項(xiàng)專利或軟件著作權(quán),開(kāi)發(fā)出擁有完全自主知識(shí)產(chǎn)權(quán)的安全級(jí)軟件,能夠滿足安全性、確定性、實(shí)時(shí)性、可靠性要求,各項(xiàng)性能達(dá)到和超過(guò)國(guó)外同類產(chǎn)品水平。該軟件獲得了國(guó)家安審機(jī)構(gòu)的認(rèn)可,并取得德國(guó)TüV SIL3、ISTec獨(dú)立第三方V&V認(rèn)證證書(shū),成功應(yīng)用在陽(yáng)江核電站5、6號(hào)機(jī)組安全級(jí)儀控系統(tǒng)等項(xiàng)目。這些設(shè)計(jì)技術(shù)的研究對(duì)于開(kāi)發(fā)安全級(jí)系統(tǒng)軟件具有重要的參考價(jià)值。
2 安全級(jí)軟件標(biāo)準(zhǔn)研究
2.1 核電廠安全級(jí)軟件相關(guān)標(biāo)準(zhǔn)
第一層:儀控系統(tǒng)總體要求。核安全級(jí)軟件遵循中國(guó)和國(guó)際原子能機(jī)構(gòu)(IAEA)、IEC、IEEE組織關(guān)于核動(dòng)力廠安全規(guī)定和導(dǎo)則,同時(shí)滿足基本安全系列標(biāo)準(zhǔn)IEC 61508《電氣/電子/可編程電子安全有關(guān)系統(tǒng)(E/E/PES)的功能安全》。儀控系統(tǒng)總體要求全面規(guī)定了安全重要儀表和控制系統(tǒng)在核電工程整個(gè)生命周期內(nèi)(包括設(shè)計(jì)階段、建造階段和運(yùn)行期間)各項(xiàng)活動(dòng)中的安全準(zhǔn)則,為儀控系統(tǒng)的總體設(shè)計(jì)提供指導(dǎo)。該層標(biāo)注的一些基本要求由下一層的基干標(biāo)準(zhǔn)加以補(bǔ)充或直接相互引用。
第二層:核動(dòng)力廠安全重要儀控系統(tǒng)軟件相關(guān)標(biāo)準(zhǔn)。在頂層標(biāo)準(zhǔn)的指導(dǎo)下,形成了核安全級(jí)軟件研究和開(kāi)發(fā)需要滿足的安全重要I&C系統(tǒng)軟件的基礎(chǔ)標(biāo)準(zhǔn),這些標(biāo)準(zhǔn)對(duì)核安全級(jí)軟件的設(shè)計(jì)開(kāi)發(fā)提出了下面的要求:
· 計(jì)算機(jī)軟件的一般要求;
· 軟件需求、設(shè)計(jì)、實(shí)現(xiàn)和集成的具體要求;
· 軟件驗(yàn)證與確認(rèn)的要求;
· 軟件共因故障的防御;
· 設(shè)備質(zhì)量鑒定和質(zhì)量保證對(duì)軟件的要求;
第三層:相關(guān)審查和設(shè)計(jì)指導(dǎo)。NRC的RG1.168、1.172、1.173和BTP 7-14提供了核安全級(jí)審查和設(shè)計(jì)指導(dǎo),從獨(dú)立于標(biāo)準(zhǔn)體系的方面,對(duì)核安全級(jí)軟件的設(shè)計(jì)和實(shí)現(xiàn)進(jìn)行審查和驗(yàn)證。
2.2 操作系統(tǒng)軟件設(shè)計(jì)要求
(1)按IEC 60880的劃分,儀控系統(tǒng)的軟件分為操作系統(tǒng)軟件和應(yīng)用軟件。應(yīng)用軟件通常使用操作系統(tǒng)軟件提供的服務(wù)。
操作系統(tǒng)軟件:系統(tǒng)運(yùn)行期間在目標(biāo)處理器上執(zhí)行的軟件,例如用于如下項(xiàng)目的軟件:輸入/輸出驅(qū)動(dòng),服務(wù)、中斷管理、調(diào)度程序、通訊驅(qū)動(dòng)、面向應(yīng)用的庫(kù)、在線診斷、冗余和適當(dāng)?shù)慕导?jí)管理。可用于不同項(xiàng)目。
應(yīng)用軟件:系統(tǒng)中實(shí)現(xiàn)應(yīng)用功能的那部分軟件。包括互鎖邏輯、控制回路、顯示格式、報(bào)警邏輯等。它基于操作系統(tǒng)軟件,用于特定項(xiàng)目。
(2)針對(duì)軟件的安全性,標(biāo)準(zhǔn)提出安全分析和安全設(shè)計(jì),要分析軟件潛在的安全威脅,將安全分析中確定的軟件設(shè)計(jì)對(duì)策的要求落實(shí)在軟件設(shè)計(jì)要求中。
對(duì)于軟件設(shè)計(jì),標(biāo)準(zhǔn)提出以下具體要求 [4] :
· 在設(shè)計(jì)和程序開(kāi)發(fā)的實(shí)現(xiàn)階段開(kāi)始之前,應(yīng)先有軟件需求并有可用的文檔。
· 設(shè)計(jì)和實(shí)現(xiàn)階段執(zhí)行軟件需求規(guī)格書(shū),并為驗(yàn)證軟件的設(shè)計(jì)和實(shí)現(xiàn)提供基準(zhǔn)。
· 軟件設(shè)計(jì)應(yīng)包含自監(jiān)督。
· 在失效監(jiān)測(cè)方面,應(yīng)采取適當(dāng)?shù)拇胧?br/>· 程序結(jié)構(gòu)宜基于模塊分解。
· 程序結(jié)構(gòu)在總體設(shè)計(jì)和詳細(xì)設(shè)計(jì)方面均宜簡(jiǎn)單、易于理解。
· 宜避免采用各種技巧、遞歸結(jié)構(gòu)和代碼壓縮方法。
· 源程序易于未參加軟件開(kāi)發(fā)過(guò)程的專業(yè)技術(shù)人員理解。
· 源程序宜符合文件規(guī)定的編碼規(guī)則,以提高確定性、可修改性、可測(cè)試性。
· 任何與設(shè)計(jì)原則不一致的地方,都應(yīng)該被證明是合理的。
· 應(yīng)提供全面、明確的書(shū)面文檔。
· 通信鏈路的設(shè)計(jì)應(yīng)符合NB/T20026中給出的數(shù)據(jù)通信要求。
· 同一冗余列內(nèi)使用的通信鏈路應(yīng)具有確定性。
(3)操作系統(tǒng)軟件詳細(xì)要求
針對(duì)操作系統(tǒng)軟件的詳細(xì)要求,IEC 60880主要從操作系統(tǒng)軟件的功能簡(jiǎn)化、接口定義、驗(yàn)證角度等進(jìn)行要求 [4] 。
3 和睦系統(tǒng)平臺(tái)軟件安全特性
3.1 保護(hù)系統(tǒng)平臺(tái)軟件功能特點(diǎn)
核電站保護(hù)系統(tǒng)RPS典型功能為采集并處理過(guò)程信號(hào),實(shí)現(xiàn)自動(dòng)反應(yīng)堆緊急停堆、產(chǎn)生專設(shè)安全設(shè)施驅(qū)動(dòng)局部脫扣信號(hào)等功能,并將相關(guān)參數(shù)信息、觸發(fā)信號(hào)以及控制命令通過(guò)通信網(wǎng)絡(luò)傳送到控制室進(jìn)行指示和報(bào)警。
圖3是一種典型的RPS系統(tǒng)結(jié)構(gòu),包括四重冗余的獨(dú)立通道,每個(gè)通道均包括兩組控制站,每個(gè)控制站為冗余結(jié)構(gòu)設(shè)計(jì)。功能多樣性的反應(yīng)堆停堆參數(shù)被分配到這兩組控制站中,每組控制站均可觸發(fā)反應(yīng)堆緊急停堆。
不管具體的應(yīng)用功能如何,RPS的平臺(tái)軟件功能仍是為應(yīng)用軟件運(yùn)行提供服務(wù)的基礎(chǔ)性功能。需要具備高安全、高可靠和實(shí)時(shí)性。
(1)作為操作系統(tǒng)軟件,提供信號(hào)采集、運(yùn)算處理、指令輸出、數(shù)據(jù)通信等基礎(chǔ)性功能。
(2)能夠?yàn)閼?yīng)用軟件提供運(yùn)行環(huán)境,可以組態(tài),能適用不同功能的應(yīng)用軟件,有一定通用性。
(3)需要具備高安全、高可靠和實(shí)時(shí)性,能在規(guī)定的時(shí)間內(nèi)正確地做出響應(yīng)。
3.2 平臺(tái)軟件的模型分析
核電領(lǐng)域使用確定性的方法來(lái)確定系統(tǒng)的安全重要性及相關(guān)的風(fēng)險(xiǎn)嚴(yán)重性的影響。為了解決系統(tǒng)的確定性問(wèn)題,學(xué)界提出了一種同步模型 [7] 。同步模型依賴于一個(gè)同步假設(shè)(synchrony hypothesis):當(dāng)前周期(cycle)的輸入事件出現(xiàn)時(shí),系統(tǒng)能夠在下一周期的輸入事件出現(xiàn)之前足夠快地產(chǎn)生相應(yīng)當(dāng)前周期的輸出。規(guī)定的時(shí)間范圍是由實(shí)時(shí)系統(tǒng)的環(huán)境決定的。檢查同步假設(shè)的有效性就等于評(píng)估系統(tǒng)對(duì)環(huán)境的最大響應(yīng)時(shí)間能否滿足環(huán)境的要求。同步模型把實(shí)時(shí)系統(tǒng)分成連續(xù)的原子時(shí)間片,成為響應(yīng)周期;每個(gè)周期又分為三個(gè)階段,分別是事件采集,邏輯運(yùn)算和事件輸出。
基于同步模型,保護(hù)系統(tǒng)平臺(tái)軟件抽象成在固定的連續(xù)周期內(nèi)按順序執(zhí)行采集、運(yùn)算、輸出的軟件,能在周期內(nèi)完成最差時(shí)間的事件響應(yīng),其性能可以要求確保完成上述功能。
3.3 平臺(tái)軟件設(shè)計(jì)原則
(1)應(yīng)滿足確定性要求
以上所提出的同步模型即為解決確定性問(wèn)題而設(shè)計(jì)的一種模型。能夠確保在激勵(lì)源與響應(yīng)之間的時(shí)間延遲在全部所要求的條件下有一個(gè)保證的最大值和最小值。
其通信技術(shù)及其規(guī)模能在由預(yù)期電廠瞬態(tài)(包括在正常失去電源的情況下雪崩式的狀態(tài)改變)產(chǎn)生的所有數(shù)據(jù)負(fù)載下滿足性能要求。
同時(shí)應(yīng)提供設(shè)計(jì),例如看門狗,以便軟件發(fā)生不可預(yù)知的錯(cuò)誤時(shí),監(jiān)督與確定特性的任何偏離,并在失去控制下能進(jìn)入的確定的狀態(tài)。
(2)滿足故障安全要求
系統(tǒng)性故障要通過(guò)自診斷予以檢測(cè),發(fā)現(xiàn)故障時(shí)應(yīng)將被設(shè)置在預(yù)先規(guī)定的優(yōu)選故障安全狀態(tài),同時(shí)對(duì)外輸出故障信息。
(3)滿足簡(jiǎn)化設(shè)計(jì)要求
盡量簡(jiǎn)化的設(shè)計(jì)有助于保障軟件的安全性。HAD102/16提出應(yīng)證明在系統(tǒng)功能及其實(shí)現(xiàn)方面都已避免不必要的復(fù)雜性。遵循結(jié)構(gòu)化設(shè)計(jì)、編程規(guī)范和編碼規(guī)則的證據(jù)應(yīng)是證明的一部分。系統(tǒng)的模塊化和接口定義的邏輯結(jié)構(gòu)應(yīng)盡可能簡(jiǎn)單 [3] 。
(4)具備自診斷設(shè)計(jì)
為了提高系統(tǒng)的可靠性,平臺(tái)軟件應(yīng)在運(yùn)行期間,在確定的時(shí)間間隔診斷硬件和軟件的行為。通過(guò)自診斷可以檢測(cè)出硬部件的隨機(jī)故障,軟件錯(cuò)誤的行為,以及不同的處理單元之間錯(cuò)誤的數(shù)據(jù)傳輸。
(5)采用模塊化設(shè)計(jì)
平臺(tái)軟件總體上是比較復(fù)雜的軟件,適用于控制器軟件、通信軟件、安全顯示軟件,往往涉及到多人協(xié)同開(kāi)發(fā)。模塊化設(shè)計(jì)就是把軟件整體劃分,劃分后的塊組成了軟件。這些塊都相對(duì)獨(dú)立,之間用接口(協(xié)議)通信,每個(gè)塊完成一個(gè)功能,多個(gè)塊組合可以完成一系列功能。模塊化設(shè)計(jì)對(duì)于較為復(fù)雜的平臺(tái)軟件來(lái)說(shuō)是有效的設(shè)計(jì),一方面提高了軟件的可復(fù)用性,有利于提高軟件的整體質(zhì)量和可維護(hù)性,另一方面可提高工作效率,降低開(kāi)發(fā)成本。
4 關(guān)鍵設(shè)計(jì)技術(shù)研究與實(shí)現(xiàn)
4.1 軟件時(shí)間、空間、行為確定性設(shè)計(jì)時(shí)間確定性方面,平臺(tái)軟件采用固定周期運(yùn)行,每個(gè)功能在預(yù)先指定的時(shí)間完成執(zhí)行。為保證各功能之間互不影響,所有功能模塊采用相同的優(yōu)先級(jí),運(yùn)行的功能模塊獨(dú)占系統(tǒng)資源,不會(huì)受到其它功能的影響。這樣可以有效解決在多優(yōu)先級(jí)任務(wù)執(zhí)行中,因任務(wù)調(diào)度導(dǎo)致某些任務(wù)被掛起而而影響該任務(wù)的預(yù)期執(zhí)行,導(dǎo)致在規(guī)定時(shí)間能不能響應(yīng)的隱患。
空間確定性方面,平臺(tái)軟件所有內(nèi)存采用預(yù)先靜態(tài)內(nèi)存分配,禁止動(dòng)態(tài)分配內(nèi)存。所有功能模塊所需的內(nèi)存均預(yù)先定義,一旦運(yùn)行不允許更改。堆、棧和緩沖區(qū)是計(jì)算機(jī)軟件經(jīng)常用到存儲(chǔ)區(qū),也是容易出現(xiàn)安全隱患的多發(fā)區(qū),歷史上因堆棧泄露緩沖區(qū)溢出帶來(lái)的系統(tǒng)崩潰時(shí)有發(fā)生。和睦系統(tǒng)平臺(tái)軟件禁止采用動(dòng)態(tài)內(nèi)存分配,從根本上消除了堆的使用。棧和緩沖區(qū)預(yù)先分配且固定大小,并設(shè)計(jì)足夠大的裕量,輸入、輸出、網(wǎng)絡(luò)收發(fā)、中間變量等數(shù)據(jù)區(qū)靜態(tài)分配,與工程組態(tài)無(wú)關(guān),在最大配置使用下不會(huì)溢出,能保證內(nèi)存空間在最大負(fù)載下滿足性能要求。
行為確定性方面,不使用軟件中斷,消除了在中斷發(fā)生下程序被打斷而造成執(zhí)行功能一定時(shí)間內(nèi)不可預(yù)期的可能。在通信處理方面,實(shí)現(xiàn)嚴(yán)格的通信獨(dú)立性。在負(fù)責(zé)處理安全功能和負(fù)責(zé)通信的模塊間,使用了支持兩套訪問(wèn)地址的雙口RAM內(nèi)存,軟件上采用雙緩沖設(shè)計(jì)和互斥訪問(wèn),使雙方軟件不受對(duì)方的影響。該項(xiàng)技術(shù)獲得發(fā)明專利《一種雙口RAM互斥訪問(wèn)的實(shí)現(xiàn)方法》 [6] 。
4.2 無(wú)操作系統(tǒng)下的通用軟件架構(gòu)設(shè)計(jì)
現(xiàn)代通用計(jì)算機(jī)一般采用多任務(wù)操作系統(tǒng)。如果CPU負(fù)荷越高,表明單位時(shí)間內(nèi)CPU被占用率越高,調(diào)度資源越緊張,可能導(dǎo)致某些進(jìn)程在需要占用CPU但不能及時(shí)得到資源。這會(huì)嚴(yán)重影響該進(jìn)程的響應(yīng)時(shí)間。如果是重要進(jìn)程,還會(huì)導(dǎo)致重要功能得不到及時(shí)處理引發(fā)嚴(yán)重后果。
基于安全性和簡(jiǎn)化程序考慮,平臺(tái)軟件采用無(wú)操作系統(tǒng)的設(shè)計(jì)。面對(duì)越來(lái)越復(fù)雜的功能,從可擴(kuò)展性、可維護(hù)性、平臺(tái)化的角度出發(fā),采用模塊化、層次化和結(jié)構(gòu)化設(shè)計(jì)。平臺(tái)軟件層中的硬件抽象層是硬件與上層軟件的中間紐帶,提供操作和控制具體硬件的接口。平臺(tái)軟件通過(guò)硬件抽象層與底層硬件分離開(kāi)來(lái),使系統(tǒng)軟件的驅(qū)動(dòng)程序與硬件無(wú)關(guān)。
平臺(tái)軟件存儲(chǔ)在FLASH指定地址并負(fù)責(zé)引導(dǎo)計(jì)算機(jī)啟動(dòng)。從安全性,啟動(dòng)地址和啟動(dòng)程序均預(yù)先給定,不支持中途修改。另外從硬件無(wú)關(guān)性以及向系統(tǒng)軟件提供通用界面考慮,在硬件抽象層以下實(shí)現(xiàn)底層硬件的初始化、基礎(chǔ)輸入/輸出操作功能。一旦硬件平臺(tái)或上層軟件發(fā)生變化,不會(huì)導(dǎo)致全面變化。
在運(yùn)行模式中,在應(yīng)用軟件和嵌入式平臺(tái)軟件間設(shè)計(jì)輸入?yún)^(qū)、參數(shù)區(qū)、中間變量區(qū)等數(shù)據(jù)區(qū),應(yīng)用軟件實(shí)現(xiàn)編譯執(zhí)行以提高執(zhí)行效率。應(yīng)用軟件下裝到控制器中,平臺(tái)軟件直接調(diào)用固定地址的應(yīng)用軟件,執(zhí)行相應(yīng)的應(yīng)用功能,這樣提高了軟件通用性和實(shí)時(shí)性。
平臺(tái)軟件封裝所有的驅(qū)動(dòng)程序,并提供應(yīng)用接口和服務(wù),應(yīng)用軟件能直接調(diào)用這些接口。通過(guò)這種方式,用戶不用關(guān)系平臺(tái)軟件的實(shí)現(xiàn)細(xì)節(jié),實(shí)現(xiàn)了靈活組態(tài)和平臺(tái)化設(shè)計(jì)。
4.3 單任務(wù)無(wú)中斷下的可靠性、實(shí)時(shí)性設(shè)計(jì)
為了提高可靠性,該軟件采用單任務(wù)周期運(yùn)行的方案,消除了多任務(wù)同時(shí)執(zhí)行所帶來(lái)的安全隱患。為了避免因中斷造成執(zhí)行程序的正常邏輯被打擾和破壞,還采取了無(wú)中斷的設(shè)計(jì)方案。為了保證系統(tǒng)的實(shí)時(shí)性要求,在15ms甚至更低的運(yùn)行時(shí)間下,軟件引入高效驅(qū)動(dòng)程序設(shè)計(jì)和輪詢?cè)L問(wèn)機(jī)制。同時(shí)采取精巧的調(diào)度控制算法,確保時(shí)間較長(zhǎng)的在線診斷模塊分不同周期運(yùn)行,有效解決實(shí)時(shí)性的要求。15ms的周期下仍可以將CPU負(fù)荷率控制在70%以下。
4.4 故障安全和高覆蓋自診斷設(shè)計(jì)
和睦系統(tǒng)平臺(tái)軟件的故障安全設(shè)計(jì)和自診斷設(shè)計(jì)實(shí)踐過(guò)程依據(jù)于安全完整性設(shè)計(jì)指標(biāo)。按照硬件安全完整設(shè)計(jì)約束,包括架構(gòu)性約束和量化硬件隨機(jī)失效約束兩個(gè)頂層設(shè)計(jì)指標(biāo),在安全架構(gòu)(HFT),SIL等級(jí)要求確定情況下,可得出安全失效分?jǐn)?shù)(SFF)要求,以及總的FPD/FPH指標(biāo)要求,為了達(dá)到這些安全性設(shè)計(jì)指標(biāo)均要求盡可能提高自診斷覆蓋率(DC),在具體實(shí)現(xiàn)上可參考IEC61508-2:Annex A 中推薦的技術(shù)措施與方法,選取具有足夠診斷覆蓋率的自診斷設(shè)計(jì)方法開(kāi)展具體的自診斷設(shè)計(jì)實(shí)現(xiàn)。同時(shí)在設(shè)計(jì)驗(yàn)證層面,可通過(guò)開(kāi)展FMEDA分析工作結(jié)合故障插入測(cè)試對(duì)自診斷設(shè)計(jì)需求目標(biāo)進(jìn)行分析驗(yàn)證和測(cè)試驗(yàn)證。通過(guò)自診斷設(shè)計(jì),系統(tǒng)的診斷覆蓋率達(dá)到90%以上,獲得SIL3功能安全認(rèn)證。
表1所示為以CPU、RAM為例描述了自診斷針對(duì)不同對(duì)象所采用的診斷方法和達(dá)到的覆蓋率。
表1 自診斷方法示例
4.5 簡(jiǎn)化設(shè)計(jì)技術(shù)和嚴(yán)格編碼規(guī)范
為了提高軟件的可維護(hù)性、可驗(yàn)證性和可靠性,平臺(tái)軟件采取簡(jiǎn)化設(shè)計(jì)原則。簡(jiǎn)化設(shè)計(jì)從兩方面入手:一方面是從軟件架構(gòu)設(shè)計(jì),包括前面所述的固定周
期、單任務(wù)、無(wú)中斷、無(wú)操作系統(tǒng)、分層化設(shè)計(jì)。另一方面從詳細(xì)設(shè)計(jì)入手,軟件所有功能函數(shù)都采用單入口單出口設(shè)計(jì),要求每個(gè)異常都必須處理,模塊之間低耦合高內(nèi)聚,公共數(shù)據(jù)和公共變量采用封裝接口。
在實(shí)現(xiàn)階段,根據(jù)IEC 60880并采用比MISRA-C更嚴(yán)格的編碼規(guī)范,定義C語(yǔ)言安全子集:和睦系統(tǒng)嵌入式軟件語(yǔ)言FirmC。其中要求函數(shù)圈復(fù)雜度不超過(guò)20,不允許存在無(wú)法執(zhí)行到的代碼,不允許定義參數(shù)個(gè)數(shù)可變的函數(shù),函數(shù)體的規(guī)模必須控制在200行代碼之內(nèi),函數(shù)內(nèi)的控制流保持函數(shù)只有唯一出口,尋址數(shù)組元素應(yīng)避免繁雜的下標(biāo)計(jì)算等。
4.6 高效的安全軟件開(kāi)發(fā)過(guò)程
眾所周知,對(duì)于軟件的開(kāi)發(fā)而言,正確的安全軟件開(kāi)發(fā)過(guò)程對(duì)保證軟件的開(kāi)發(fā)過(guò)程變得可控,而且它能夠有助于合理證明安全系統(tǒng)的運(yùn)行。標(biāo)準(zhǔn)提出了安全生命周期模型,可用于指導(dǎo)軟件開(kāi)發(fā)過(guò)程。伴隨對(duì)核安全級(jí)軟件研發(fā)流程的深入理解和靈活應(yīng)用,和睦系統(tǒng)形成一套真正可應(yīng)用并且完善的全生命周期的軟件開(kāi)發(fā)過(guò)程模型。該模型的特點(diǎn)在于,它在依據(jù)于標(biāo)準(zhǔn)的同時(shí),提出了圖8所示的全生命周期模型及質(zhì)量保障,發(fā)布了系統(tǒng)、軟件、硬件、 邏輯過(guò)程控制程序和50多份技術(shù)規(guī)范和開(kāi)發(fā)模板。對(duì)于軟件設(shè)計(jì)階段,細(xì)化分解成概要設(shè)計(jì)和詳細(xì)設(shè)計(jì),制定相應(yīng)的技術(shù)規(guī)范,使軟件架構(gòu)設(shè)計(jì)和模塊設(shè)計(jì)得到側(cè)重和加強(qiáng),并提出測(cè)試與審查的手段進(jìn)行驗(yàn)證,同時(shí)進(jìn)行迭代,將執(zhí)行中發(fā)現(xiàn)的經(jīng)驗(yàn)及時(shí)反饋到模型中去優(yōu)化和改進(jìn),為推動(dòng)軟件的順利研發(fā)提供了有效的過(guò)程支持。
5 實(shí)施效果
和睦系統(tǒng)平臺(tái)軟件歷經(jīng)6年開(kāi)發(fā),內(nèi)核代碼2.2萬(wàn)行,公共庫(kù)和驅(qū)動(dòng)程序3萬(wàn)行。該軟件具有功能穩(wěn)定、安全性高、資源確定、時(shí)間確定和行為確定,允許組態(tài)和下裝,便于使用等特點(diǎn)。
獲得了國(guó)家安審機(jī)構(gòu)的認(rèn)可,并獲得德國(guó)TüVSIL3(2013.7)認(rèn)證、ISTec獨(dú)立第三方V&V認(rèn)證(2013.12)證書(shū),成功應(yīng)用在陽(yáng)江核電站5、6號(hào)機(jī)組安全級(jí)儀控系統(tǒng)、紅沿河核電站5、6號(hào)機(jī)組項(xiàng)目,以及大亞灣、嶺澳堆芯測(cè)量系統(tǒng)(RIC)改造等項(xiàng)目。已在“大亞灣堆芯測(cè)量系統(tǒng)(RIC)改造項(xiàng)目”、“高
溫氣冷堆核電站數(shù)字化保護(hù)系統(tǒng)工程樣機(jī)研制項(xiàng)目”、“高溫氣冷堆核電站安全級(jí)控制保護(hù)系統(tǒng)項(xiàng)目”、“陽(yáng)江5、6號(hào)機(jī)組DCS項(xiàng)目”、“紅沿河5、6號(hào)機(jī)組DCS項(xiàng)目”中得到應(yīng)用。各項(xiàng)指標(biāo)達(dá)到國(guó)外同類產(chǎn)品技術(shù)水平。
6 結(jié)論
核安全級(jí)儀控系統(tǒng)平臺(tái)軟件是系統(tǒng)的核心軟件,和睦系統(tǒng)平臺(tái)軟件采用完全自主開(kāi)發(fā),全面遵循國(guó)家及國(guó)際核級(jí)法規(guī)和標(biāo)準(zhǔn)。軟件采用時(shí)間、空間、行為確定性設(shè)計(jì)、無(wú)操作系統(tǒng)下的通用軟件架構(gòu)設(shè)計(jì)、故障安全和高覆蓋率自診斷設(shè)計(jì)、簡(jiǎn)化設(shè)計(jì)技術(shù)和嚴(yán)格編碼規(guī)范、高效的安全軟件開(kāi)發(fā)過(guò)程,內(nèi)核代碼2.2萬(wàn)行,公共庫(kù)和驅(qū)動(dòng)程序3萬(wàn)行,各項(xiàng)指標(biāo)達(dá)到國(guó)外同類產(chǎn)品技術(shù)水平。這些技術(shù)的研究對(duì)于開(kāi)發(fā)安全級(jí)系統(tǒng)軟件具有重要的參考價(jià)值。
摘自《自動(dòng)化博覽》2018年5月刊
北京市公安局海淀分局備案號(hào):11010802023656號(hào)