高性能核安全級控制顯示操作系統(tǒng)軟件設(shè)計技術(shù)研究

石桂連，王曉燕，李萌，杜喬瑞，馬忠剛

高性能核安全級控制顯示操作系統(tǒng)軟件設(shè)計技術(shù)研究

石桂連，王曉燕，李萌，杜喬瑞，馬忠剛

（北京廣利核系統(tǒng)工程有限公司，北京 100094）

核安全級控制顯示操作設(shè)備（Nuclear safety classified control and information display，SCID）是核電站數(shù)字化儀控系統(tǒng)的關(guān)鍵設(shè)備，實現(xiàn)運行操作人員與數(shù)字化核安全級控制保護系統(tǒng)人機交互功能。本文對我國SCID的需求進行了分析，得出研制高性能SCID的必要性；提出了基于商用實時嵌入式操作系統(tǒng)的SCID軟件總體設(shè)計方案，并對此方案中涉及的核電安全要求的確定性、系統(tǒng)的自診斷、系統(tǒng)的信息安全防范進行重點設(shè)計；隨后針對商用操作系統(tǒng)使其達到核電同等質(zhì)量水平出發(fā)，詳述了商用操作系統(tǒng)選型和商品級物項適用性確認（Commercial Grad Dedication，CGD）；目前高性能核安全儀控安全顯示在防城港3&4號機組成功應(yīng)用，成為我國首款獲得工程應(yīng)用的高性能SCID產(chǎn)品。

核安全級；操作顯示控制設(shè)備；商用操作系統(tǒng)；商品級物項適用性確認；確定性

核安全級控制顯示操作設(shè)備（SCID）是核電站數(shù)字化儀控系統(tǒng)的關(guān)鍵設(shè)備，實現(xiàn)運行操作人員與數(shù)字化核安全級控制保護系統(tǒng)人機交互功能。

目前我國在運核電廠使用的SCID主要來自日本三菱、美國西屋、法國AREVA和北京廣利核公司，這些SCID在使用過程中面臨以下問題：

（1）已有SCID功能比較簡單，只能是簡單畫面不支持流程圖、無歷史數(shù)據(jù)記錄和趨勢功能、畫面定制不支持組態(tài)、屏幕小、人因設(shè)計困難、容納信息少等。

（2）部分功能較為豐富的SCID采用了較老商用操作系統(tǒng)軟件，缺乏商用操作系統(tǒng)軟件在核安全級系統(tǒng)中的完整適用性確認過程，隨著全世界核安全監(jiān)管標(biāo)準(zhǔn)不斷加強，此類設(shè)計應(yīng)用面臨嚴(yán)重挑戰(zhàn)。英國核監(jiān)管辦公室ONR在對AP1000做通用安全審評時已經(jīng)對這些系統(tǒng)的使用提出了質(zhì)疑[1]。

因此非常有必要研制一款功能強大豐富、安全可信的高性能的核安全級控制顯示操作設(shè)備產(chǎn)品，為電站儀控系統(tǒng)HMI設(shè)計提供更多選擇，更好地滿足核電站HMI人因設(shè)計要求。

本文分析了高性能SCID總體技術(shù)要求，專注在軟件方面，提出了采用功能安全要求的商用操作系統(tǒng)的SCID軟件總體設(shè)計方案，識別了此方案中涉及關(guān)鍵技術(shù)；最后描述了基于此方案研制的高性能SCID的應(yīng)用情況，并對未來工作進行了展望。

1　高性能SCID需求分析

根據(jù)電廠安全級儀控系統(tǒng)功能要求，高性能SCID應(yīng)使用場景包括以下三類：第一是在電廠運行期間提供對安全級設(shè)備的操作控制和信息監(jiān)視；第二是在核事故發(fā)生后提供持續(xù)監(jiān)視功能，也稱為事故后監(jiān)視系統(tǒng)（PAMS）；其三是作為在線維護工具對安全級儀控系統(tǒng)和現(xiàn)場設(shè)備進行維護和試驗。

通過對不同使用場景的功能要求進行分析、參考現(xiàn)有SCID技術(shù)狀態(tài)、核安全標(biāo)準(zhǔn)法規(guī)分析等，得出高性能SCID的技術(shù)要求如下：

（1）標(biāo)準(zhǔn)要求[2-4]：高性能SCID應(yīng)能滿足IEC 61226中關(guān)于A類功能要求；系統(tǒng)設(shè)計需要滿足IEC 61513的要求；軟件設(shè)計需要滿足IEC 60880要求；信息安全滿足GB/T 20271、GB/T 25070、GB/T 22239要求。

（2）功能要求：提供液晶顯示屏信息顯示功能；提供模擬流程圖、變量列表、趨勢曲線等多種顯示畫面；對各類畫面提供方便靈活的組態(tài)功能；提供觸摸屏、鼠標(biāo)、鍵盤和軌跡球等多種操作方式；提供歷史數(shù)據(jù)存儲功能，具備數(shù)據(jù)處理和數(shù)據(jù)導(dǎo)出能力；提供對安全級儀控系統(tǒng)的定期試驗旁通功能；提供SCID本身維護功能（清潔校準(zhǔn)等）。

（3）性能指標(biāo)要求：高性能SCID主要性能指標(biāo)包括以下五類：①屏幕指標(biāo)值含屏幕分辨率、顏色值；②時間類指標(biāo)，如畫面刷新時間、用戶操作響應(yīng)時間；③負荷類指標(biāo)如CPU負荷、內(nèi)存占用率、外存占用率、網(wǎng)絡(luò)負荷等；④可靠性和安全性指標(biāo)如MTBF、MTTR、診斷覆蓋率等；⑤運行環(huán)境指標(biāo)如運行環(huán)境溫度-40～85 ℃、運行相對濕度95%等。

（4）信息安全防范要求：對來自系統(tǒng)網(wǎng)絡(luò)和維護網(wǎng)絡(luò)數(shù)據(jù)源的合法性進行驗證、惡意代碼和系統(tǒng)升級防護、數(shù)據(jù)完整性和機密性保護、以及關(guān)鍵信息備份等。

2　高性能SCID軟件總體設(shè)計

2.1　總體架構(gòu)

按照IEC 60880[4]對核安全軟件總體架構(gòu)的要求，一個平臺化設(shè)計的高性能SCID軟件由兩部分組成：（1）支持系統(tǒng)軟件，也就是工程師軟件，這個軟件面向工程設(shè)計人員，運行在配套的工程師站中，實現(xiàn)特定電站、特定系統(tǒng)的SCID應(yīng)用需求，也就是實現(xiàn)針對SCID的組態(tài)功能。（2）運行系統(tǒng)軟件：運行在SCID硬件裝置中，實現(xiàn)數(shù)據(jù)通訊、畫面顯示、接受操作指令、數(shù)據(jù)存儲、系統(tǒng)管理和診斷等功能。運行系統(tǒng)軟件也負責(zé)加載和運行應(yīng)用軟件，從而總體實現(xiàn)特定電站和特定系統(tǒng)功能。高性能SCID軟件架構(gòu)圖如圖1所示。安全級軟件按照驗證與確認（以下簡稱V&V）執(zhí)行，按IEC 60880[4]軟件安全級別分類要求，各部分軟件安全級別和V&V級別[5]如表1所示。

圖1 SCID軟件架構(gòu)圖

表1　高性能SCID軟件安全級別

2.2　運行系統(tǒng)軟件

運行系統(tǒng)軟件是高性能SCID的核心軟件，采用層次化、模塊化結(jié)構(gòu)設(shè)計。軟件一共分為四個層次：驅(qū)動軟件、操作系統(tǒng)、系統(tǒng)軟件、應(yīng)用軟件。每層軟件有不同的軟件模塊組成，各層軟件和各個軟件模塊功能作用如圖2所示。其中操作系統(tǒng)在本設(shè)計中考慮各種因素選擇商用工業(yè)安全操作系統(tǒng)，屬于大規(guī)模復(fù)雜商用軟件在核安全級系統(tǒng)的首次實踐，本文特在第四章對商用操作系統(tǒng)的選型和CGD方案進行論述。

圖2　高性能SCID運行系統(tǒng)軟件結(jié)構(gòu)

結(jié)合基于商用操作系統(tǒng)的設(shè)計方案特點以及安全級軟件相關(guān)要求，安全級軟件的確定性設(shè)計、系統(tǒng)的自診斷設(shè)計、系統(tǒng)的信息安全防范設(shè)計屬該設(shè)計方案中要重點關(guān)注的設(shè)計內(nèi)容。

2.3　確定性軟件設(shè)計

安全級軟件必須保證其確定性，參考IEC 60880等標(biāo)準(zhǔn)要求，體現(xiàn)在軟件模塊結(jié)構(gòu)、時間確定性、空間確定性等方面進行設(shè)計；安全級軟件實現(xiàn)采用C語言編碼，在MISRA C編碼規(guī)范的基礎(chǔ)上，提出了滿足核電應(yīng)用的更嚴(yán)格的編碼規(guī)范；采用通過認證編譯器對軟件進行編譯，在編譯器使用前對其進行驗證，確保軟件安全性、正確性等。

2.3.1多任務(wù)調(diào)度下的確定性

為了保證SCID各個任務(wù)調(diào)度執(zhí)行的確定性，設(shè)計上采用自適應(yīng)分區(qū)功能。自適應(yīng)分區(qū)是一組規(guī)則的集合，規(guī)則用來控制系統(tǒng)內(nèi)資源的分配。SCID使用自適應(yīng)分區(qū)設(shè)計如下：

（1）劃分系統(tǒng)進程或線程到指定的分區(qū)中運行，可將系統(tǒng)中不同等級的功能進行隔離，各個進程之間通信使用消息。

（2）保證關(guān)鍵應(yīng)用總能及時獲取CPU資源，使關(guān)鍵應(yīng)用免受來自其它低優(yōu)先級應(yīng)用或組件的干擾，總是被確定的執(zhí)行。

（3）防止意外應(yīng)用影響系統(tǒng)運行，當(dāng)某個分區(qū)中的某個進程（線程是進程的基本執(zhí)行單元，一個進程的所有任務(wù)都在線程中執(zhí)行，該線程與進程同在一個分區(qū)內(nèi)）執(zhí)行異常時，不會影響到其他分區(qū)的進程調(diào)度執(zhí)行，如可抵御網(wǎng)絡(luò)風(fēng)暴。

（4）當(dāng)CPU重負載時保證維護、診斷和管理功能的正確使用，即便在CPU負荷較高的情況下，也能保證系統(tǒng)能被及時的進行診斷和進行日志記錄。

2.3.2軟件程序設(shè)計

模塊結(jié)構(gòu)的確定性，有助于軟件的分析、評估、審查和修改。核安全級操作顯示系統(tǒng)軟件需要具有清晰明確的模塊結(jié)構(gòu)，能夠從結(jié)構(gòu)上保證軟件每個周期的行為確定。系統(tǒng)軟件、應(yīng)用軟件和驅(qū)動軟件具體的設(shè)計方法包括：每個模塊只完成單一的特定功能，不同功能需要分配到不同的模塊實現(xiàn)；每個模塊只有唯一的入口，并且在模塊結(jié)尾也只有單一的退出點；整個軟件只有一個任務(wù)，各功能模塊采用順序執(zhí)行的方式進行調(diào)度；沒有不可達的代碼；不使用跳轉(zhuǎn)語句（goto）；在使用條件選擇語句（case）時，必須無遺漏的包含全部可能性，保留默認的執(zhí)行條件。

2.3.3執(zhí)行時間

核電廠儀控系統(tǒng)的響應(yīng)時間是用戶最為關(guān)注的指標(biāo)，核安全級操作顯示系統(tǒng)軟件可以使用以下技術(shù)嚴(yán)格控制軟件任務(wù)的執(zhí)行時間。具體設(shè)計方法包括：不使用中斷，避免了中斷程序打斷主程序造成的執(zhí)行時間不確定的情況；通信數(shù)據(jù)采用固定長度的通信協(xié)議且固定周期的進行傳輸，不會發(fā)生系統(tǒng)在數(shù)據(jù)峰值負荷下，處理通信數(shù)據(jù)所花費的時間不確定的情況；不使用與系統(tǒng)時鐘相關(guān)的函數(shù)，而是采用CPU時鐘計時方式，能夠避免編譯器對時間處理函數(shù)產(chǎn)生不確定的行為。

2.3.4存儲空間

存儲空間是軟件運行的物理載體，通常軟件發(fā)生故障的主要原因都是存儲空間發(fā)生故障或被錯誤使用。在存儲空間的使用上，核安全級操作顯示系統(tǒng)軟件也做了充分考慮。設(shè)計方法包括：采用靜態(tài)內(nèi)存分配方法，預(yù)先確定每個模塊需要的內(nèi)存大小，不使用動態(tài)內(nèi)存分配（malloc），避免了動態(tài)分配導(dǎo)致的內(nèi)存泄露、數(shù)據(jù)不一致、內(nèi)存耗盡和不確定行為；數(shù)組的大小必須預(yù)先確定并顯示聲明，必須在使用前進行初始化，不使用隱式定義的數(shù)組；所有的存儲空間在使用前都必須進行顯示的初始化賦值，避免因為系統(tǒng)環(huán)境的隨機性帶來潛在的數(shù)據(jù)不確定性；不使用遞歸函數(shù)調(diào)用。因為遞歸本身承載著可用堆?？臻g過度的危險，這能導(dǎo)致嚴(yán)重的錯誤，除非經(jīng)過嚴(yán)格的控制，否則不可能在執(zhí)行之前確定最壞情況的堆棧使用。

2.4　自診斷設(shè)計

自診斷的要求是核電廠執(zhí)行A類功能的軟件與其他軟件最顯著的區(qū)別，也是核安全級操作顯示系統(tǒng)軟件在設(shè)計過程中重點考慮的部分，覆蓋了全部重要的硬件器件和軟件模塊。參考IEC 61508、IEC61513等標(biāo)準(zhǔn)要求，重要的自診斷對象包括CPU、存儲器、定時器、看門狗、程序執(zhí)行順序等，具體診斷方法如下：

CPU：周期性的對CPU的寄存器進行讀寫測試，同時對CPU指令進行執(zhí)行測試，一旦發(fā)現(xiàn)異常立即停止軟件運行，執(zhí)行故障安全輸出。

RAM：使用業(yè)界流行的March C-算法對隨機訪問內(nèi)存（RAM）進行監(jiān)督，反復(fù)對每一個地址進行讀/寫0和讀/寫1的操作，保證相鄰兩位（bit）之間的測試碼出現(xiàn)00，01，10，11四種情況，同時為了檢查高低地址讀寫順序故障，分別進行地址遞增和地址遞減兩種操作。

ROM：在初始化階段，將只讀訪問內(nèi)存（ROM）中存儲的只讀數(shù)據(jù)通過循環(huán)冗余校驗（CRC）多項式生成校驗碼，在周期運行階段，重新計算校驗碼，與之前生成的校驗碼進行比較，如果兩者一致則證明數(shù)據(jù)沒有被損壞。

定時器：以固定的時間間隔分兩次獲取定時器的時間，將兩次獲取的時間相減，如果結(jié)果誤差在預(yù)期的可接受的范圍之內(nèi)，則定時器被判定為工作正常。

看門狗：除了對硬件器件進行監(jiān)督外，還使用看門狗對軟件運行進行監(jiān)督，如果發(fā)生軟件停止運行，則由硬件鎖定故障狀態(tài)。

程序順序監(jiān)控：系統(tǒng)還對程序執(zhí)行順序進行了監(jiān)督，一旦發(fā)生功能執(zhí)行順序錯亂的情況，則軟件立即停止運行，執(zhí)行故障安全輸出。

2.5　信息安全設(shè)計

SCID面臨的信息安全風(fēng)險可分為以下三類，（1）訪問控制類風(fēng)險；（2）非法數(shù)據(jù)類風(fēng)險；（3）關(guān)鍵信息類風(fēng)險。針對每類風(fēng)險，對應(yīng)的防范方案設(shè)計如下：

針對訪問控制類風(fēng)險，核安全級操作顯示系統(tǒng)應(yīng)設(shè)置訪問控制，根據(jù)不同角色設(shè)置不同權(quán)限，至少包括操作使用權(quán)限和維護下裝權(quán)限。

針對非法數(shù)據(jù)類風(fēng)險，核安全級操作顯示系統(tǒng)應(yīng)進行數(shù)據(jù)校驗、唯一標(biāo)識數(shù)據(jù)包和加密設(shè)計，保證數(shù)據(jù)通信的完整性和機密性。

針對關(guān)鍵信息類風(fēng)險，如賬戶信息、操作日志和系統(tǒng)狀態(tài)信息，核安全級操作顯示系統(tǒng)應(yīng)進行完整性校驗并存儲，避免數(shù)據(jù)被篡改和破壞。

3　嵌入式實時操作系統(tǒng)選型和CGD方案

嵌入式系統(tǒng)的應(yīng)用程序可以沒有操作系統(tǒng)直接在芯片上運行，但是隨著科學(xué)技術(shù)的發(fā)展，嵌入式系統(tǒng)的硬件復(fù)雜度逐步提升，應(yīng)用場景和功能也更加多樣化。為了使軟件走向標(biāo)準(zhǔn)化，更加合理地調(diào)度任務(wù)、更加充分地利用系統(tǒng)資源和庫函數(shù)、更快速地開發(fā)高質(zhì)量產(chǎn)品，越來越多的控制系統(tǒng)廠家開始使用商用多任務(wù)的嵌入式實時操作系統(tǒng)。

商用嵌入式實時操作系統(tǒng)要應(yīng)用在核安全級操作系統(tǒng)需在選型和驗證按照核相關(guān)要求執(zhí)行，確保商用嵌入式實時操作系統(tǒng)達到或相當(dāng)于核質(zhì)保體系下質(zhì)量要求。

3.1　嵌入式實時操作系統(tǒng)選型要求

HAD102/16附錄I專門針對按其他工業(yè)安全關(guān)鍵應(yīng)用中的高標(biāo)準(zhǔn)開發(fā)的軟件的使用和確認提出了相關(guān)要求和建議，提出了商用軟件驗收要滿足的要求：功能適用性、標(biāo)準(zhǔn)符合性、驗收的一致性、配置管理、質(zhì)量保證、接口確認、應(yīng)用約束、軟件開發(fā)過程、軟件V&V、工具、變更管理、商用軟件運行經(jīng)驗。

IEC 60880對預(yù)開發(fā)軟件（PDS）的評估和評價過程有非常具體的要求（IEC 60880 15預(yù)開發(fā)軟件的質(zhì)量鑒定）：對PDS的功能和性能特征以及現(xiàn)有的鑒定文件的評估；軟件開發(fā)過程的質(zhì)量評估；對運行經(jīng)驗進行的評估。

綜上所述，結(jié)合設(shè)計目標(biāo)為核安全級顯示操作系統(tǒng)，提出操作系統(tǒng)選型時需要考慮的維度，見表2。

表2　操作系統(tǒng)選型總體要求

3.2　商用操作系統(tǒng)CGD方案研究

高性能SCID采用成熟商用操作系統(tǒng)軟件進行開發(fā)，為了充分確信作為商品級物項的操作系統(tǒng)適合于核電廠安全級應(yīng)用，需要對操作系統(tǒng)進行技術(shù)評價和驗收的過程，即需要執(zhí)行商品級物項適用性確認（Commercial Grad Dedication）。

在核電行業(yè)，如RCC-E、IEC以及我國GB均對核電廠應(yīng)用商品級成品部件提出了一些程序性和技術(shù)性要求，但均止于原則性的要求和指導(dǎo)，缺乏可以落地，便于實施的方法和準(zhǔn)則。相對應(yīng)的，美國CGD方法發(fā)展較為成熟，可供參考的導(dǎo)則、標(biāo)準(zhǔn)、不同層級指導(dǎo)文件以及案例比較豐富，可操作性、可驗收性較強。目前在國際上，歐洲、美國、韓國核電儀控供應(yīng)商在具體工程實踐中，均采用美國CGD方法，以確保商品級物項能夠安全、可信賴的用在安全級系統(tǒng)中。美國核安全法規(guī) 10 CFR 21中定義“商品級物項”，按法規(guī)GL 89-02、GL 91-05及標(biāo)準(zhǔn)ASME NQA-1要求，需實施并通過CGD，方可應(yīng)用于核電廠安全重要系統(tǒng)。NUREG 0800[6]第7章Appendix 7.0-A 以及IEEE 7-4.3.2[7]第5.17條款也要求對用于執(zhí)行安全功能或影響安全功能的商業(yè)數(shù)字設(shè)備/部件進行CGD。上述法規(guī)、導(dǎo)則、標(biāo)準(zhǔn)都具體指向了EPRI導(dǎo)則NP5652[8]及其關(guān)于數(shù)字化設(shè)備CGD的分冊TR-106439[9]。因此，在指導(dǎo)標(biāo)準(zhǔn)方面，商用操作系統(tǒng)將以美國CGD方法體系作為主要依據(jù)，滿足HAD102/16法規(guī)要求，同時參考IEC60880標(biāo)準(zhǔn)要求，制定了商用操作系統(tǒng)的CGD方案。

適用性確認包括兩個關(guān)鍵要素：技術(shù)評價和驗收過程。通過適用性確認，可保證商品級物項等效于按HAF 003安全級質(zhì)量保證體系進行設(shè)計制造的安全級物項。首先確定CGD對象，然后識別關(guān)鍵特性，關(guān)鍵特性分成三類：物理特性、功能性能特性、可信性特性。針對三類關(guān)鍵特性，依據(jù)IEEE 7-4.3.2[7]附錄C及TR-106439[9]，結(jié)合操作系統(tǒng)具體情況，CGD同時采用以下三種方法進行驗收：測試和檢驗、商業(yè)級調(diào)查、歷史業(yè)績數(shù)據(jù)分析，實際過程中，采用以上三種方法聯(lián)合使用來驗收。

商品級物項CGD過程如圖3所示。

圖3　商品級物項CGD過程

4　設(shè)計實現(xiàn)

根據(jù)前文所述方案，按核級質(zhì)保過程，實現(xiàn)了一個核安全級高性能SCID產(chǎn)品，軟件總代碼量22萬行。圖4為高性能SCID實現(xiàn)的堆芯溫度監(jiān)視畫面。

4.1　商用操作系統(tǒng)選型

通過開展大量選型調(diào)研工作，在市場上可供選擇的商用操作系統(tǒng)中選擇了已經(jīng)通過IEC 61508 SIL3認證的實時操作系統(tǒng)，例如：QNX實時操作系統(tǒng)、VXworks實時操作系統(tǒng)等，并赴操作系統(tǒng)供應(yīng)商開展了細致的現(xiàn)場調(diào)查，收集了操作系統(tǒng)軟件研發(fā)的全生命周期證據(jù)文件。

4.2　商用操作系統(tǒng)CGD

依據(jù)CGD相關(guān)法規(guī)（NUREG0800等）、標(biāo)準(zhǔn)（IEEE 7-4.3.2、IEC61513、IEC60880等）和執(zhí)行單位質(zhì)量體系要求（TR-106439等），操作系統(tǒng)作為商品級物項，嚴(yán)格實施了CGD對象識別、關(guān)鍵特性識別、關(guān)鍵特性驗收等各階段的CGD活動。

4.2.1關(guān)鍵特性

關(guān)鍵特性首先應(yīng)是物項固有的特性，依據(jù)TR-106439[9]，數(shù)字化設(shè)備/部件（包括軟件）的關(guān)鍵特性，分為三類，物理關(guān)鍵特性、性能關(guān)鍵特性之外、可信性（Dependability）關(guān)鍵特性，結(jié)合操作系統(tǒng)軟件作為操作顯示系統(tǒng)底層平臺的情況，確定操作系統(tǒng)所有軟件特性，形成關(guān)鍵特性文件。

物理特性包括軟件的版本號和存儲介質(zhì)。

性能關(guān)鍵特性最終體現(xiàn)在所調(diào)用的API函數(shù)中，需要驗證這些特性在最終硬件平臺上是否正確或有效。在實際操作系統(tǒng)功能性能特性識別中共提出152個關(guān)鍵特性，每個關(guān)鍵特性對應(yīng)功能說明及使用約束。

可信性（Dependability）特性依據(jù)TR- 106439、NUREG0800、EPRI TR-102260[10]、IEEE 1074、NUREG/CR 6101等標(biāo)準(zhǔn)和技術(shù)報告得出包括11個方面的評估：（1）軟件項目管理，及項目風(fēng)險評估管理；（2）軟件質(zhì)保大綱；（3）軟件需求及需求可追蹤性；（4）軟件設(shè)計文檔；（5）同行評審；（6）軟件V&V；（7）軟件變更控制；（8）開發(fā)環(huán)境安全（含信息安全）；（9）軟件可靠性；（10）軟件配置管理；（11）軟件缺陷及問題報告，糾正行動；其中對于軟件及軟件V&V進行評估時，采用軟件V&V的依據(jù)的法規(guī)（HAD102/16等）和標(biāo)準(zhǔn)（IEC61513、IEC60880、IEEE1012等）。

4.2.2關(guān)鍵特性驗收

在CGD關(guān)鍵特性驗收中，采用方法1、方法2和方法4相結(jié)合進行驗收。

關(guān)鍵特性的物理特性和性能特性采用方法1進行驗收，采用通過編寫測試程序在目標(biāo)軟硬件環(huán)境下運行進行測試。通過在目標(biāo)軟硬件環(huán)境下執(zhí)行相關(guān)手動操作進行測試。通過組態(tài)圖形畫面在目標(biāo)軟硬件環(huán)境下的顯示相關(guān)關(guān)鍵特性進行測試。其中功能性能關(guān)鍵特性驗收中，共執(zhí)行515個測試用例，覆蓋全部152個關(guān)鍵特性。通過測試，未發(fā)現(xiàn)操作系統(tǒng)異常，所有關(guān)鍵特性能正常執(zhí)行功能，滿足驗收準(zhǔn)則。

可信性特性（除可靠性除外）通過方法2實施驗收。商業(yè)級調(diào)查針對預(yù)先確定的可信性關(guān)鍵特性，實際工作中分為兩大部分活動：文檔審查和現(xiàn)場調(diào)查。首先對供應(yīng)商可提供文檔進行文檔審查，然后在此基礎(chǔ)上，分別實施兩次原廠現(xiàn)場調(diào)查。通過查閱文件、人員訪談、問題澄清等形式，對操作系統(tǒng)的質(zhì)保體系、軟件生命周期、需求管理、設(shè)計與實現(xiàn)、V&V等的相關(guān)程序、流程、規(guī)范，以及項目實施記錄/報告實施深入調(diào)查，獲取大量數(shù)據(jù)，形成16份報告。經(jīng)過商業(yè)級調(diào)查，操作系統(tǒng)在質(zhì)保體系、軟件生命周期、需求管理、設(shè)計與實現(xiàn)、V&V獨立性、評估與分析、軟件測試、配置管理、運行經(jīng)驗、第三方軟件、變更控制、問題報告和缺陷處理、人員資質(zhì)等可信性特性滿足驗證準(zhǔn)則，通過驗收。

另外，可信特性的可靠性驗收采用方法4進行驗收，通過方法4補充了操作系統(tǒng)具有足夠質(zhì)量能夠保證相關(guān)安全功能的證據(jù)。該操作系統(tǒng)被大量使用在汽車、醫(yī)療、通信、能源、航空航天等其他安全相關(guān)行業(yè)，它在已有系統(tǒng)中的使用情況很大程度反映了它的質(zhì)量狀況。由于歷史經(jīng)驗表現(xiàn)通常掌握在用戶和供應(yīng)商手上。CGD團隊通過現(xiàn)場調(diào)查供應(yīng)商在功能安全認證中提供的歷史數(shù)據(jù)，統(tǒng)計使用操作系統(tǒng)相關(guān)版本的缺陷共109個，跟蹤了評估過程，識別出與安全相關(guān)缺陷是11個，11個缺陷都得到恰當(dāng)處理；根據(jù)其在不同的安全或具有高可靠性要求行業(yè)的應(yīng)用歷史數(shù)據(jù)和報告，操作系統(tǒng)具有較高的運行可靠性。

通過上述CGD工作，商用操作系統(tǒng)經(jīng)過關(guān)鍵特性識別和驗收，達到核電軟件同等質(zhì)量水平，能夠滿足安全級操作顯示系統(tǒng)的應(yīng)用要求。

4.3　總體驗證

針對第4章的設(shè)計，對基于商用操作系統(tǒng)的核安全級操作顯示系統(tǒng)進行了驗證與確認，驗證與確認工作在全面覆蓋所有功能、性能和可靠性三個方面基礎(chǔ)上，根據(jù)IEC61513、IEC60880等相關(guān)標(biāo)準(zhǔn)要求，結(jié)合SCID系統(tǒng)自身的特點，尤其加強了6個關(guān)鍵技術(shù)驗證，包括：商用操作系統(tǒng)軟件對操作顯示系統(tǒng)影響、軟件確定性、自監(jiān)視、內(nèi)存使用和檢測、人機界面驗證、安全級與非安全級隔離驗證等，從而確保商用操作系統(tǒng)達到或等同于核安全級軟件同等質(zhì)量水平。

5　總結(jié)

本文給出了一種基于商用操作系統(tǒng)的高性能SCID設(shè)計方案，基于該方案研制的SCID產(chǎn)品已經(jīng)完成產(chǎn)品發(fā)布，在我國自主研制第三代核電堆型防城港3、4上獲得了應(yīng)用，是我國首款獲得工程應(yīng)用的高性能SCID產(chǎn)品。研發(fā)經(jīng)歷表明，通過使用功能安全認證的操作系統(tǒng)，配合充分的CGD工作，可實現(xiàn)高性能、高質(zhì)量SCID產(chǎn)品，同時產(chǎn)品研發(fā)周期也大幅縮短，是一條可參考的安全級產(chǎn)品的研發(fā)途徑。未來要跟蹤新研制復(fù)雜SCID的應(yīng)用反饋，持續(xù)優(yōu)化。

［1］ Office for Nuclear Regulation（ONR）. GDA Issue GI-AP1000-CI-10-Provision of Class 1 Displays and Controls in an Alternate Location：ONR-NR-AR-16-036［S］，2017.

［2］ International Electrotechnical Commission，Nuclear power plants-Instrumentation and control import to safety- Classification of instrumentation and control functions：IEC61226-2009［S］．Switzerland，2009.

［3］ Nuclear power plants-Instrumentation and control important to safety-General requirements for systems：IEC 61513-2011［S］．2011．

［4］ Nuclear power plants-Instrumentation and control systems important to safety-Software aspects for computer-based systems performing category A functions：IEC 60880-2006［S］．2006．

［5］ Standard for Software Verification and Validation：IEEE 1012-2004［S］．USA，2004.

［6］ SRP（NUREG 0800），Chapter 7，Appendix 7.0-A，Review Process for Digital Instrumentation and Control Systems［R］．

［7］ Criteria for Digital Computers in safety systems lf Nuclear Power Generating Station：IEEE7-4.3.2-2010［S］．USA，2010．

［8］ GilberVCommonwealth，Inc.Reading，Pennsylvania. Guideline for the Utilization of Commercial Grade Items in Nuclear Safety Related Applications（NCIG-07）：EPRI NP-5652［S］．USA，1988.

［9］ EPRI Working Group on Use of Commercial Digital Equipment in Nuclear Safety Applications withMPR Associates，Inc.Alexandria，Virginia，“Guideline on Evaluation and Acceptance of Commercial Grade Digital Equipment for Nuclear Safety Applications：TR-106439［S］．USA，1996.

［10］ Cygna Energy Services Atlanta，Georgia，Supplemental Guidance for the Application of EPRI Report NP-5652 on the Uti8lization of Commercial Grade Items：EPRI TR-102260［S］．USA，1994.

Study on the Software Design Technology of High Performance Nuclear Safety Classified HMI System

SHI Guilian，WANG Xiaoyan，LI Meng，DU Qiaorui，MA Zhonggang

(China Techenergy Co.Ltd，Beijing 100094，China)

The nuclear safety classified control and information display equipment (hereinafter referred to as SCID) is the key equipment of the nuclear power plant, which realizes the HMI function between the operator and the nuclear safety control and protection system. In this paper, the requirement status of China's SCID equipment is analyzed, and the necessity of developing high performance SCID is obtained. Furthermore, the overall design scheme of software using commercial operation system is proposed, and the nuclear power safety technologies including the certainty, self-diagnosis of system and information security protection of system are developed. Then, for the commercial operation system to reach the same quality level of nuclear power, the selection of commercial operation system and the CGD method is carried out. Finally, the application of high performance SCID based on this scheme is described, and the future work is prospected.

Nuclear safety classified; HMI; Commercial operation system; CGD; Deterministic

TP271

A

0258-0918（2021）06-1145-09

2020-03-07

石桂連（1974—），女，河北承德人，研究員級高級工程師，碩士研究生，現(xiàn)主要從事核電廠數(shù)學(xué)化儀控系統(tǒng)設(shè)備研發(fā)和應(yīng)用