원자력발전소의 발전소보호계통과 같은 안전필수 시스템은 예상 가능한 사고로부터 인간과 자연을 보호하기 위한 중요 기능을 수행하는 시스템으로써, 어떠한 조건 하에서도 고유의 안전기능을 안정적으로 수행할 수 있도록 설계되어야 한다. 원자력발전소의 안전필수 기능을 수행하는 계측제어시스템에 적용되는 최신의 컴퓨터에는 다양한 하부기기를 감시 및 제어하고, 응용 프로그램을 실행시키기 위한 실시간 운영체제가 탑재되어 있으며, 이러한 실시간 운영체제는 가장 엄격한 소프트웨어 품질이 요구된다. 또한, 예상 가능한 조건에서도 안전필수 시스템의 기능이 적절히 수행될 수 있도록 설계, 분석 및 평가되어야 한다. 그러나 지금까지 국내 원자력발전소 안전필수 시스템에는, 원자력 기준과 품질등급에 따라 개발된 제품이 아닌 상용제품의 실시간 운영체제를 정성적 측면에서 승인(Commercial Grade Item Dedication)하는 방식으로 적용되어 왔다. 이로 인해 실시간 운영체제가 안전필수 기능을 수행하는 데 적합한지를 평가하는 상세 방법론과 경험이 매우 부족한 것으로 파악되고 있다. 특히, 안전필수 시스템에 적용함을 목적으로 신규 개발되는 실시간 운영체제의 경우, 안전성을 평가하기 위한 적절한 방법을 도출하기에 어려움이 있는 것으로 파악되고 있다. 본 논문에서는 원전의 안전필수 기능을 수행하는 실시간 운영체제의 설계요구사항을 기반으로, 안전필수 실시간 운영체제에 대한 안전성 분석 및 평가 사례를 제시하고자 한다. 본 논문에서 제시한 상세 안전성 평가의 방법과 사례는 향후 타 산업분야에서의 안전필수 실시간 운영체제 개발 및 안전성 평가에 활용될 수 있을 것으로 기대된다.
원자력발전소의 발전소보호계통과 같은 안전필수 시스템은 예상 가능한 사고로부터 인간과 자연을 보호하기 위한 중요 기능을 수행하는 시스템으로써, 어떠한 조건 하에서도 고유의 안전기능을 안정적으로 수행할 수 있도록 설계되어야 한다. 원자력발전소의 안전필수 기능을 수행하는 계측제어시스템에 적용되는 최신의 컴퓨터에는 다양한 하부기기를 감시 및 제어하고, 응용 프로그램을 실행시키기 위한 실시간 운영체제가 탑재되어 있으며, 이러한 실시간 운영체제는 가장 엄격한 소프트웨어 품질이 요구된다. 또한, 예상 가능한 조건에서도 안전필수 시스템의 기능이 적절히 수행될 수 있도록 설계, 분석 및 평가되어야 한다. 그러나 지금까지 국내 원자력발전소 안전필수 시스템에는, 원자력 기준과 품질등급에 따라 개발된 제품이 아닌 상용제품의 실시간 운영체제를 정성적 측면에서 승인(Commercial Grade Item Dedication)하는 방식으로 적용되어 왔다. 이로 인해 실시간 운영체제가 안전필수 기능을 수행하는 데 적합한지를 평가하는 상세 방법론과 경험이 매우 부족한 것으로 파악되고 있다. 특히, 안전필수 시스템에 적용함을 목적으로 신규 개발되는 실시간 운영체제의 경우, 안전성을 평가하기 위한 적절한 방법을 도출하기에 어려움이 있는 것으로 파악되고 있다. 본 논문에서는 원전의 안전필수 기능을 수행하는 실시간 운영체제의 설계요구사항을 기반으로, 안전필수 실시간 운영체제에 대한 안전성 분석 및 평가 사례를 제시하고자 한다. 본 논문에서 제시한 상세 안전성 평가의 방법과 사례는 향후 타 산업분야에서의 안전필수 실시간 운영체제 개발 및 안전성 평가에 활용될 수 있을 것으로 기대된다.
Safety-Critical systems, such as Plant Protection Systems in nuclear power plant, plays a key role that the facilities can be operated without undue risk to the health and safety of public and environment, and those systems shall be designed, fabricated, installed, and tested to quality standards co...
Safety-Critical systems, such as Plant Protection Systems in nuclear power plant, plays a key role that the facilities can be operated without undue risk to the health and safety of public and environment, and those systems shall be designed, fabricated, installed, and tested to quality standards commensurate with the importance of the functions to be performed. Computer-based Instrumentation and Control Systems to perform the safety-critical function have Real Time Operating Systems to control and monitoring the sub-system and executing the application software. The safety-critical Real Time Operating Systems shall be designed, analyzed, tested and evaluated to have capability to maintain a high integrity and quality. However, local nuclear power plants have applied the real time operating systems on safety critical systems through Commercial Grade Item Dedication method, and this is the reason of lack of detailed methodology on assessing the safety of real time operating systems, expecially to the new developed one. This paper presents the methodology and experiences of safety evaluation on safety-critical Real Time Operating Systems based upon design requirements. This paper may useful to develop and evaluate the safety-critical Real Time Operating Systems in other industry to ensure the safety of public and environment.
Safety-Critical systems, such as Plant Protection Systems in nuclear power plant, plays a key role that the facilities can be operated without undue risk to the health and safety of public and environment, and those systems shall be designed, fabricated, installed, and tested to quality standards commensurate with the importance of the functions to be performed. Computer-based Instrumentation and Control Systems to perform the safety-critical function have Real Time Operating Systems to control and monitoring the sub-system and executing the application software. The safety-critical Real Time Operating Systems shall be designed, analyzed, tested and evaluated to have capability to maintain a high integrity and quality. However, local nuclear power plants have applied the real time operating systems on safety critical systems through Commercial Grade Item Dedication method, and this is the reason of lack of detailed methodology on assessing the safety of real time operating systems, expecially to the new developed one. This paper presents the methodology and experiences of safety evaluation on safety-critical Real Time Operating Systems based upon design requirements. This paper may useful to develop and evaluate the safety-critical Real Time Operating Systems in other industry to ensure the safety of public and environment.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
본 절에서는 일반적인 실시간 운영체제의 설계요구사항에 기인하여, 안전필수 실시간 운영체제에서도 필수적으로 구현되고 분석되어야 하는 주요 설계요구사항을 제시하고 있다.
논문에서는 원자력발전소 안전필수 계측제어 시스템의 핵심 운영체제로 사용기 위해 개발된 실시간 운영체제가 안전기능을 수행하는 데 적합한지 여부에 대한 안전성 평가 수행 사례를 제시하고자 한다. 제시하는 안전성 평가의 방법은 본 논문에서 정리한 7가지의 설계요구사항의 일부에 대한 적합성을 평가한 것으로써, 각 설계요구사항은 여러 시험 또는 분석을 통해 확인될 수 있다.
이러한 안전성 평가의 결과는 안전필수 기능을 수행하기 위해 기 설계된 내용을 수정토록 요구하고, 최종적으로 안전필수 기능을 수행하는 데 적합한지 여부를 판단 하는 데 활용되었다.
본 논문에서는 이러한 다수의 안전성 평가 내용 중 다음의 세 가지 평가 결과에 대해 제시하고자 한다.
본 논문에서는 소프트웨어 설계 품질 등의 설계요구사항을 기반으로, 원전 안전필수 시스템에 적용하기 위해 신규 개발된 실시간 운영체제의 안전성에 대한 분석 및 평가 사례를 제시하였다. 이러한 분석 및 평가의 방법은 향후 신규 개발되는 원자력발전소의 안전필수 실시간 운영체제에 대한 적합성을 판단하는 데 활용될 수 있을 것으로 기대한다.
제안 방법
논문에서는 원자력발전소 안전필수 계측제어 시스템의 핵심 운영체제로 사용기 위해 개발된 실시간 운영체제가 안전기능을 수행하는 데 적합한지 여부에 대한 안전성 평가 수행 사례를 제시하고자 한다. 제시하는 안전성 평가의 방법은 본 논문에서 정리한 7가지의 설계요구사항의 일부에 대한 적합성을 평가한 것으로써, 각 설계요구사항은 여러 시험 또는 분석을 통해 확인될 수 있다.
안전필수 실시간 운영체제가 설계요구사항을 충족하는지에 대한 평가는, 소프트웨어의 품질에 대한 적합성과 일부 기능 및 성능 요건에 대한 평가를 통해 수행되었다. 특히, 안전필수 소프트웨어의 위험요소로 인한 시스템 전체의 안전성 저해 가능성을 확인하기 위해, 정상적인 상황에서의 오류 처리 기능뿐만 아니라 비정상적 상황이 발생한 경우를 가정하여, 시스템의 안전기능 수행에 어떠한 영향이 미치는지에 대한 분석이 수행되었다.
안전필수 실시간 운영체제가 설계요구사항을 충족하는지에 대한 평가는, 소프트웨어의 품질에 대한 적합성과 일부 기능 및 성능 요건에 대한 평가를 통해 수행되었다. 특히, 안전필수 소프트웨어의 위험요소로 인한 시스템 전체의 안전성 저해 가능성을 확인하기 위해, 정상적인 상황에서의 오류 처리 기능뿐만 아니라 비정상적 상황이 발생한 경우를 가정하여, 시스템의 안전기능 수행에 어떠한 영향이 미치는지에 대한 분석이 수행되었다.
안전필수 실시간 운영체제는 엄격한 품질보증 절차에서 정의된 생명주기 공정에 따라 개발되어야 한다. 이러한 요구사항에 충족되도록 안전필수 실시간 운영체제가 개발되었는지를 평가하기 위해, 평가대상 실시간 운영체제의 생명주기 산출물인 요구사항 명세서, 설계명세서 및 코드작성 절차에 따라 구현된 소스코드에 대한 추적성, 일치성 및 정확성 분석을 수행하였다. 이러한 분석은 요건추적 매트릭스(RTM, Requirement Traceability Matrix) 분석과 단위시험(Unit Testing) 결과 분석 등을 통해 수행하였다.
평가 대상 실시간 운영체제가 최악의 상황에서도 프로세서의 부하율 감지하여 안전필수 기능을 적절히 수행하는지에 대한 평가를 수행하기 위해, 고의적으로 무한루프를 발생시키는 응용 프로그램을 PLC에 탑재하고, 엔지니어링 툴을 통해 프로세서의 부하율을 감시토록 시험 환경을 구축하였다. 기본적인 시험 환경과 프로세서 부하율 측정을 위한 시험용 응용프로그램은 그림 3 및 4와 같다.
안전필수 실시간 운영체제가 비정상적인 오류조건이 발생할 경우의 대처에 대한 평가를 위해, 국제 표준인 IEC 60880에서 제시하고 있는 설계 항목에 근거하여 총 6가지 분류의 17개 오류항목이 선정되었으며, 시험 또는 분석을 통해 오류조건에 대한 대처능력을 분석 및 평가하였다.
17가지의 오류항목에 대한 분석은 소스코드에 대한 검토 또는 결함 주입(메모리 일부 영역의 임의 변경 등) 방법을 통해 수행되었다. 예를 들면, 특정 코드 영역(0x00023~0xa00055)을 ‘0’으로 세팅하였을 경우, 이러한 변경을 검출하는지에 대해 엔지니어링 툴을 통해 확인하였다.
대상 데이터
실시간 운영체제의 안전성에 대한 분석 및 평가는 국내 원전의 안전필수 계측제어 시스템에 적용 가능하도록 개발된 pCOS를 대상으로 하였다.
데이터처리
이러한 요구사항에 충족되도록 안전필수 실시간 운영체제가 개발되었는지를 평가하기 위해, 평가대상 실시간 운영체제의 생명주기 산출물인 요구사항 명세서, 설계명세서 및 코드작성 절차에 따라 구현된 소스코드에 대한 추적성, 일치성 및 정확성 분석을 수행하였다. 이러한 분석은 요건추적 매트릭스(RTM, Requirement Traceability Matrix) 분석과 단위시험(Unit Testing) 결과 분석 등을 통해 수행하였다.
성능/효과
Waterfall 모델에 따라 개발된 실시간 운영체제 소프트웨어의 단위 모듈별 추적성 및 일치성에 대해 RTM을 통해 분석한 결과, 표 3의 예시와 같이 소프트웨어 생명주기 산출물에 포함되지 않은 일부 함수가 소스코드에 포함되어 있거나, 산출물과 다르게 작성된 소스코드가 구현되는 등의 일부 오류사례를 확인하였으며, 결과적으로 소프트웨어의 품질에 큰 영향이 있는 것으로 분석되었다.
이러한 분석 결과를 토대로, 소프트웨어 생명주기 산출물인 요구사항 명세 또는 설계 명세가 수정되거나, 소스코드의 불필요한 함수를 제거하는 등의 조치가 수행되어, 안전필수 시스템에 적용하기 위한 엄격한 소프트웨어 품질이 확보된 것으로 평가되었다.
이러한 임의 환경에 대한 시험을 수행한 결과, 부하율 60% 미만에서는 정상 상태의 범위를 보였으며, 부하율이 60%를 초과할 경우 경보가 발생되고 스캔타임 오류가 발생됨을 확인할 수 있었다. 그러나 PLC의 프로세서 부하율이 99% 이상인 경우에도 부하율에 대한 감지 기능을 수행할 수 있을 것으로 예상되었으나, 정상적으로 산출되지 않은 것으로 확인되었다.
이러한 임의 환경에 대한 시험을 수행한 결과, 부하율 60% 미만에서는 정상 상태의 범위를 보였으며, 부하율이 60%를 초과할 경우 경보가 발생되고 스캔타임 오류가 발생됨을 확인할 수 있었다. 그러나 PLC의 프로세서 부하율이 99% 이상인 경우에도 부하율에 대한 감지 기능을 수행할 수 있을 것으로 예상되었으나, 정상적으로 산출되지 않은 것으로 확인되었다. 즉, 프로세서의 부하율이 최악의 상황에 도달하였을 경우, 안전필수 시스템이 부하율 초과에 따른 고장-안전모드 또는 우선고장모드 진입을 수행하지 못할 가능성이 존재하는 것으로 분석되었다.
그러나 PLC의 프로세서 부하율이 99% 이상인 경우에도 부하율에 대한 감지 기능을 수행할 수 있을 것으로 예상되었으나, 정상적으로 산출되지 않은 것으로 확인되었다. 즉, 프로세서의 부하율이 최악의 상황에 도달하였을 경우, 안전필수 시스템이 부하율 초과에 따른 고장-안전모드 또는 우선고장모드 진입을 수행하지 못할 가능성이 존재하는 것으로 분석되었다. 이러한 원인은 응용 프로그램의 과부하로 실시간 운영체제의 시스템 태스크 중 우선순위가 낮은 통계 태스크가 수행되지 못하였기 때문인 것으로 분석되었다.
응용 프로그램의 무한 루프, 데드록 등 제어 흐름에 비정상적 조건이 발생하는 오류조건에 대한 실시간 운영체제의 대처 능력을 평가한 결과, 일부의 시험 사례에서 메모리 의 코드영역에 대한 변경을 검출하지 못하거나 운영체제가 정지되는 결과가 나타나는 것으로 분석되었다. 또한, 태스크의 스택 오버플로우 여부를 감지할 수 있는 기능이 구현되어 있지 않은 것으로 확인되었다.
응용 프로그램의 무한 루프, 데드록 등 제어 흐름에 비정상적 조건이 발생하는 오류조건에 대한 실시간 운영체제의 대처 능력을 평가한 결과, 일부의 시험 사례에서 메모리 의 코드영역에 대한 변경을 검출하지 못하거나 운영체제가 정지되는 결과가 나타나는 것으로 분석되었다. 또한, 태스크의 스택 오버플로우 여부를 감지할 수 있는 기능이 구현되어 있지 않은 것으로 확인되었다.
후속연구
또한, 개발 생명주기의 각 단계별 확인 및 검증(V&V, Verification and Validation)을 수행하여 이전 단계의 요구사항이 적절히 반영됨을 확인하는 절차를 수행하고, 소프트웨어의 구성요소가 안전필수 시스템에 영향을 미치는 위험요소를 분석하여 공통원인고장의 발생 가능성이 최소화될 수 있도록 개발되어야 한다.
본 논문에서는 소프트웨어 설계 품질 등의 설계요구사항을 기반으로, 원전 안전필수 시스템에 적용하기 위해 신규 개발된 실시간 운영체제의 안전성에 대한 분석 및 평가 사례를 제시하였다. 이러한 분석 및 평가의 방법은 향후 신규 개발되는 원자력발전소의 안전필수 실시간 운영체제에 대한 적합성을 판단하는 데 활용될 수 있을 것으로 기대한다.
또한, 본 논문에서 제시된 실시간 운영체제의 안전성 평가 방법 및 사례는 안전필수 기능을 수행하는 산업분야의 실시간 운영체제에 대한 설계 및 분석에 활용될 수 있을 것으로 기대되며, 향후 본 논문에서의 방법 및 사례를 토대로, 원자력발전소 등 안전필수 소프트웨어의 개발에 활용 가능한 기술기준 또는 지침의 개발에 활용될 수 있을 것으로 기대된다.
질의응답
핵심어
질문
논문에서 추출한 답변
국내 원자력발전소 안전필수 시스템에 적용하고 있는 상용제품의 인증 방식의 한계점은?
상용제품의 인증 방식은 다양한 환경에서의 많은 운영 경험 또는 블랙 박스 시험 등을 통해 원자력발전소의 안전필수 시스템에 적용할 수 있도록 하는 정성적 측면의 방법이다. 그러나 상용의 실시간 운영체제에 대한 인증 방식은 소스코드 단위모듈 시험 등을 수행할 수 없는 등 설계의 요구사항과 품질을 만족하는지를 명확히 파악하고 판단하는 데에는 제한적이다.
발전소보호계통은 어떤 기능을 수행하는가?
발전소보호계통은 PLC(Programmable Logic Controller)를 통해 감시되는 변수의 입력값을 처리하고, 원자로 자동 정지 등의 안전필수 기능을 수행한다. 이러한 발전소보호 계통을 구성하는 PLC는 입출력 기기, 메모리, 통신모듈 등의 다양한 하부기기를 감시 및 제어하고, 안전필수 기능을 수행하는 응용 프로그램을 실행시키기 위한 실시간 운영체제(Real Time Operating Systems)를 탑재하고 있다.
PLC는 어떤 운영체제를 탑재하고 있는가?
발전소보호계통은 PLC(Programmable Logic Controller)를 통해 감시되는 변수의 입력값을 처리하고, 원자로 자동 정지 등의 안전필수 기능을 수행한다. 이러한 발전소보호 계통을 구성하는 PLC는 입출력 기기, 메모리, 통신모듈 등의 다양한 하부기기를 감시 및 제어하고, 안전필수 기능을 수행하는 응용 프로그램을 실행시키기 위한 실시간 운영체제(Real Time Operating Systems)를 탑재하고 있다. 안전필수 계측제어 시스템에 탑재되는 실시간 운영체제는 안전기능 수행의 필수적인 역할을 수행하며, 이러한 실시간 운영체제의 안전성은 전체 원자력발전소의 안전성 및 신뢰성에 영향을 미칠 수 있으므로, 안전기능을 수행하는 데 요구되는 다양한 기능 및 성능 특성을 만족하도록 설계되어야 한다.
참고문헌 (11)
IEEE Standard 7-4.3.2-2003, "Criteria for Digital Computers in Safety Systems of Nuclear Power Generating Stations"
IEEE Standard 1012-2006, "Software Verification and Validation"
IEC 60880, "Nuclear Power Plants - Instrumentation and control systems important to safety - Software aspects for computer-based systems performing category A functions"
Hyung Tae Kim, et al, "A Study on Requirements of Real-time Operating System for Safety Evaluation in Nuclear Power Plants", American Nuclear Society, NPIC/HMIT, 2009.
이 논문을 인용한 문헌
저자의 다른 논문 :
연구과제 타임라인
LOADING...
LOADING...
LOADING...
LOADING...
LOADING...
활용도 분석정보
상세보기
다운로드
내보내기
활용도 Top5 논문
해당 논문의 주제분야에서 활용도가 높은 상위 5개 콘텐츠를 보여줍니다. 더보기 버튼을 클릭하시면 더 많은 관련자료를 살펴볼 수 있습니다.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.