디지털계측제어시스템의안전성평가경험 · 디지털계측제어시스템의안전성평가경험 강영두 한국원자력안전기술원 2009. 4.6 ~ 4.7 제14회원자력안전기술정보회의

디지털디지털 계측제어시스템의계측제어시스템의 안전성안전성 평가평가 경험경험

강영두

한국원자력안전기술원

2009. 4.6 ~ 4.7제14회원자력안전기술정보회의

Nuclear Safety Information Conference 2009 Slide -2-

목목 차차

안전성평가배경• KNICS 특정기술주제보고서심사

주요검토사항

심사과정중주요현안사항• 소프트웨어설계체계• 실시간운영체제설계특성• 통신성능특성• 응용프로그램개발도구설계

심사경험요약및향후방향


안전성안전성 평가평가 배경배경

KNICS (Korea Nuclear I&C Systems R&D)• 원전용디지털계측제어시스템개발및실용화목표• 주요결과물

안전등급제어기기 디지털원자로보호계통 디지털공학적안전설비-기기제어계통

제어봉제어계통 분산제어시스템 원자로출력제어계통 안전등급계측기 RSPT, HJTC, NIS 등 감시및운전지원기술개발 시스템통합검증설비

원자로노심보호계통 (KNICS의결과물을활용)



특정기술주제보고서심사 원자력법제104조의 2 (특정기술주제보고서의승인) 원자력법시행규칙제128조 (특정기술주제보고서의승인신청등)

10개월 (08.01.21~08.11.20)

11개월 (07.12.26~08.11.25)

21개월 (07.03.02~08.12.01)

21개월 (07.03.02~08.12.01)

심사기간심사기간

㈜두산중공업통합디지털안전계통원자로보호계통

(IDiPS RPS)

㈜두산중공업통합디지털안전계통공학적안전설비-기기제어계통 (IDiPS ESF-CCS)

㈜두산중공업원자로노심보호계통 (RCOPS)

㈜포스콘안전등급제어기기 (POSAFE-Q)

신청자신청자TR TR 제목제목

POSAFE-Q : Qualified Poscon Safety PLC

IDiPS RPS : Integrated Digital Protection System Reactor Protection System

IDiPS ESF-CCS : IDiPS Engineered Safety Features – Component Control System

RCOPS : Reactor Core Protection System



특정기술주제보고서심사

IDiPS-RPS의계통설계및생명주기단계중

검증단계까지개발된소프트웨어

통합디지털안전계통원자로보호계통

(IDiPS RPS)

IDiPS ESF-CCS의계통설계및생명주기단계중

요건단계까지의소프트웨어

통합디지털안전계통공학적안전설비-

기기제어계통 (IDiPS ESF-CCS)

RCOPS의계통설계및생명주기단계중

계획단계까지의소프트웨어원자로노심보호계통 (RCOPS)

POSAFE-Q의생명주기단계중

검증단계까지개발된하드웨어및소프트웨어안전등급제어기기 (POSAFE-Q)

신청신청 범위범위TR TR 제목제목



특정기술주제보고서심사



적용법규및지침등• 계측제어계통안전성평가에관한법규 / 지침

원자로시설등의기술기준에관한규칙제12조 (안전등급및규격)제13조 (외적요인에관한설계기준)제15조 (환경영향등에관한설계기준)제20조 (계측및제어장치)제26조 (원자로보호계통)제40조 (성능검증부품의사용)제41조 (시험, 감시, 검사및보수)제44조 (신뢰성)제45조 (인적요소)

경수로형원자력발전소안전심사지침서(KINS/G-001)7장 (계측제어계통)

• 기술기준 IEEE Standard 603 등 EPRI TR-107330 기준등


주요주요 검토사항검토사항

심사중점검토사항• 플랫폼구성모듈의적합성• 계통설계의적합성• 소프트웨어품질의적합성• 기기검증적합성• 사이버보안의적합성• . . .



플랫폼구성모듈의적합성• 안전계통의감지및명령설비 (Sense & Command Features)

프로세서모듈

통신모듈

입출력모듈

전원모듈

랙및버스모듈

엔지니어링도구

• 안전계통요건을만족하기위한기능확보 자가진단기능

상태기반설계

독립성



계통설계의적합성• 원자로보호계통• 공학적안전설비-기기제어계통• 원자로노심보호계통

• 안전계통으로서요구되는설계기준만족확인 IEEE Std. 603 기준

단일고장

다중성

독립성

제어계통과의분리

우회기능

수동동작기능



소프트웨어품질의적합성• IEEE Std. 7-4.3.2• KINS/G-001, 부록 7-13

ESF-CCS의소프트웨어개발계획및요구사항단계까지개발된소프트웨어원자로보호계통의검증단계까지개발된소프트웨어

계통

RCOPS의소프트웨어개발계획

응용프로그램개발도구

CPLD통신소프트웨어

실시간운영체제

플랫폼



기기검증적합성

“디지털계측제어시스템의기기검증평가경험 (장홍석, KINS)”

노화메커니즘을 갖는 부품과 갖지 않는 부품 분류노화메커니즘을 갖는 부품-검증수명 결정

노화분석

노화메커니즘을 갖는 부품-검증수명 기간만큼 노화노화처리

설계문서와 동일하게 제작되었는지 확인성능에 영향을 미칠 정도의 외부 결함이 없는지 검사

육안검사

성능의 정상 여부 확인초기 성능점검

초기 결함 제거(POSAFE-Q: 360시간, RPS: 100시간)번인 시험

주어진 사용환경 하에서 정상적인 동작을 하는지 입증내환경 시험

주변 기기의 전자파에 영향을 받지 않고, 주변 기기에 전자파 영향을주지 않음을 입증

내전자파 시험

지진발생 시 또는 후 정상적인 동작을 하는지 검증내지진 시험

노화메커니즘을 갖는 부품과 갖지 않는 부품 분류노화메커니즘을 갖는 부품-검증수명 결정

노화분석

노화메커니즘을 갖는 부품-검증수명 기간만큼 노화노화처리

설계문서와 동일하게 제작되었는지 확인성능에 영향을 미칠 정도의 외부 결함이 없는지 검사

육안검사

성능의 정상 여부 확인초기 성능점검

초기 결함 제거(POSAFE-Q: 360시간, RPS: 100시간)번인 시험

주어진 사용환경 하에서 정상적인 동작을 하는지 입증내환경 시험

주변 기기의 전자파에 영향을 받지 않고, 주변 기기에 전자파 영향을주지 않음을 입증

내전자파 시험

지진발생 시 또는 후 정상적인 동작을 하는지 검증내지진 시험



사이버보안의적합성• Reg. Guide 1.152, Rev.02 및 KINS/GT-N27

• 사이버보안정책및계획문서의개발 사이버보안조직의구성

사이버위협의분석계획

사이버보안성평가

• 사이버위험도평가 (보안성평가) 자산의분석

영향성및가능성수준으로분류

• 취약점진단 (Penetration Test)

“디지털원전사이버보안성평가적용사례(이철권, KAERI)”


심사심사 과정과정 중중 주요주요 현안사항현안사항

주요심사활동• 실사

안전등급통신모듈의성능확인을위한실사등

• 시험입회 기기검증시험입회등

• 심층분석 700여종설계문서전면검토 플랫폼소프트웨어 (실시간운영체제) 소스코드분석 계통소프트웨어소스코드분석

• KINS 자체시험 계통소프트웨어기능검토

프로그래머블논리소자설계내용분석/검토



주요심사활동

자체시험시나리오를토대로성능검증을수행

일부미흡사례에대한수정을통해적합함을확인

불만족사항에대한재시험/재분석요구

재시험등을통해허용기준을만족함을확인

결과

안전등급통신모듈의성능분석

기기검증시험등입회

현장실사/시험



주요심사활동

KINS 자체시험시나리오를통한기능확인최대부하시험등시험을수행하였으며, 일부미흡사례에대한설계변경을요구

코딩오류등의미흡사례확인

문서의개정등을통해최종적합함을확인

전자회로기판의주요제어기능을수행하는

프로그래머블소자의설계내용분석

전자회로상의설계오류를확인하고, 이에대한수정을요구

확인된오류의수정및설계절차의개선을

통해최종만족함을확인

결과

원자로보호계통소스코드분석

프로그래머블논리소자분석

KINS 자체시험 / 심층분석



주요심사활동

비정상적인상황발생시실시간운영체제의

운전특성을분석

비정상상황에대응할수있는설계를추가

하도록요구

설계변경및성능확인시험의재수행을통해, 최종만족함을확인

설계문서간일치성/추적성등의불만족사례확인설계문서의전면개정을요구

모든설계문서의전면개정을통해일치성, 추적성등이만족함을확인

결과

실시간운영체제소스코드검토

700여종설계문서의적합성

심층분석


심사심사 과정과정 중중 주요주요 현안사항현안사항 –– Interim IssuesInterim Issues

Interim Issue 목록화 / 중요도부여및추적• 소프트웨어설계체계불만족• 실시간운영체제소프트웨어의설계미흡• 안전등급통신기능의설계불만족• 응용프로그램개발도구의설계미흡• . . .

관련 근거 내용 관련 문서 등 신청자의 답변 (입장) KINS 검토의견 담당자적합여부 Class

1 3차질의 5번

오류에 대비한 설계 및 시험 결과

POSAFE-Q의 오류에 대비한 설계 및 시험 결과를 제시할것을 질의를 통해 요청하였음.

PLC 시스템시험보고서

pCOS 통합시험보고서

오류에 대비한 설계 내용을 제시하였으며, 그에대한 시험(pCOS 통합시험) 결과를 제시하였음.

기술적 측면에서는 타당함.

그러나 현재 pCOS에 대한 CT / IT 가 재수행되는 것으로 확인하였으며, 그에 따른 결과 확인이 되어야 적합하다고 판단할 수 있음. (재 수행한 CT/IT에 대한 검증 결과 포함)

강영두Y(확인필요)

A

PLC01PLC07PLC11PLC13PLC15

2 3차질의 6번

확인 및 검증 활동의 적합성

pCOS의 소스코드에 대한 검증활동 중, 신뢰성부분의 '변수 및 포인터 초기화' 와 강인성부분의 '예외의 국부적 처리'에 대한 불만족 사례가 다수 지적되어 있으나 이에 대한처리 결과를 확인할 수 없음.

통신모듈의 설계명세서와 코드간 일치성, 일관성, 추적성등에 대한 검증이 미흡한 것으로 판단

SVR141-05, rev.02

소스코드 (SCL0401-0500, rev.01)

KINS의 질의 내용을 검증보고서에서도 모두지적하였으므로 추적성 검증을 충분히 수행하였다고 답변함.

검증결과를 반영하여 수정한 소스코드 제출과정에서 인적오류로 잘못된 버전이 제출되었고,이로인해 일치성, 일관성, 추적성에 문제가 있는 것처럼 지적되었다고 답변함.

기 제출한 소스코드 주석에서는 매개변수의 입출력만을 표시하고 있어, SDS에서 표현한 의미상의 입출력과 불일치하는 것으로 나타났으나,전역변수에 의한 입출력까지 표현한 최종버젼의 소스코드는 SDS와 일치하고 있다고 답변함.

개발자와 검증자간 회의를 통해 반영하지 않기로 합의하였다고 답변함.

제출된 소스코드가 인적오류로 잘못된 버전이제출되었다는 건, 코드나 문서 등에 대한 형상관리에 문제가 있다는 것으로 판단함.

'인적오류'라고 답변한 사항은, 매우 신뢰할 수없는 답변임.

"잘못된 버전의 소스코드" 의 의미가,. 또다른"Rev01" 이 있다는 것인지, 소스코드가"Rev02" 이상이 있다는 것인지에 대한 설명이필요함. 어떻게 하더라도 형상관리에 문제가 있는 것으로 판단함.

답변의 근거를 확인할 수 있는 내용이 없으며,그저 "잘했다" 식의 답변은 적절치 못함.

잘못된 버전의 코드가 제출되었다면, 답변에서이전버젼의 코드와 해당 코드에 대한 비교 검토내용도 포함되어 있어야 함.

강영두 No APLC13PLC16

3 3차질의 7번

확인 및 검증 활동의 적합성

HR-SDL 의 SDS rev02, 구현단계 검증보고서, 관련 소스코드를 검토한 결과, SDS rev01에서 대한 검토의견으로지적된 사항이 rev02에 수정 확인되었다고 검증하였지만,소스코드 및 SDS rev02에는 이러한 내용을 확인할 수 없음. 검증 내용이 반영되지 않은 것으로 판단함.즉, 최종 확정하여 제출된 문서간 및 문서와 코드간에 일관성이 부족한 것으로 판단함.

HR-SDL 관련

SDS rev02SVR141-05 rev02SCL0401-0500rev01

통신모듈 구현단계검증보고서에 모두 지적하였으므로 추적성 검증을 충분히 수행하였다고 답변함.

검증결과를 반영하여 수정한 소스코드 제출과정에서 인적오류로 잘못된 버전이 제출되었고,이로인해 문제가 있는 것처럼 KINS가 지적한것으로 답변함.

최종버전 소스코드는 SDS와 일치하고 있는 것으로 확인하였다고 답변함.

상기 2번과 동일함.

질의 중, 2,3번 질의에 대한 답변은 충분하지못함.

추가적으로, 오로지 KINS가 지적한 사례에 대해서만 답변하는 것과, 검증 결과를 전체적으로재확인하라는 질의에 대해서는 답변이 충분하지 못함.

강영두 No APLC13PLC16

관련 I.I문제점 분석

No.

2008.08.20

No. 현안 내용 상태

PLC01오류설계 및 관련 시험미흡

대부분의 오류관리를 응용프로그램에서 처리하는것으로 답변함. 또한, 오류 감지 측면에서의 시험내용 및 결과가 충분히 제시되지 않음.

PLC02 결정론적 특성 불만족

통계 태스크 처리오류로 인한 CPU 부하율 측정 오류의 사례 발생으로 인해, 부하율 측정관련 요구사항을 만족시키지 못함.이러한 내용에 근거하였을 때, 실시간 운영체제가결정론적 특성을 만족하는 설계인지 여부를 확인하여야 함.

PLC03 pSET의 설계등급컴파일러는 안전관련 등급으로 설계되어 있으나,IDE(editor)가 비안전등급으로 설계됨. 비안전등급의 타당성에 대해 확인하여야 함.

PLC04 통신독립성 만족여부

안전필수등급인 pCOS의 태스크 중, FMS Read,Write 태스크는 항상 실행함. 등급이 다른 FMS 통신모듈로부터의 신호 연계 사항이 독립성을 만족하는지 여부를 확인하여야 함.

PLC05기기검증 기준 및결과 미확인

Reg. Guide 1.180, Rev.1으로 시험해야 하며, 그에 대한 결과를 9월 30일까지 제출하기로 함. 그에대한 결과를 확인하여야 함.기기검증의 profile의 기준이 60년인지 아니면 40년인지 확인이 필요함.

PLC06FMEA & 신뢰도분석보고서미제출

늦게 제출된 FMEA 및 신뢰도분석 내용에 대한 검토가필요함.

PLC07 운영체제의 설계 적합성 1

3자검증 결과에 따른 후속조치 - Abnormal Test 결과 Fail 된 항목 중 일부에 대한 보완 - 문서와 코드(함수)간 불일치(52%) - CT 재수행 (v/v, s/a 포함) - IT 재수행 (v/v, s/a 포함) - ST는 재수행하는 것인지 확인이 필요함.

PLC08 운영체제의 설계 적합성 2

사용자 태스크 오류 발생에 대한 감지 및 조치 방안에 대한 검증이 필요함. : 사용자 태스크(응용프로그램)의 무한루프와 같은오류 상황을 감지하고 조치하는 기능에 대한 검증이 필요함. 사용자 태스크가 무한루프가 발생한 경우 사용자 태스크 scan violation이 검출 되지 못함.이 때 pCOS에서 감지하여 일어나는 보호조치와 계통차원에서 취하는 조치에 대한 검증이 부족함.

POSAFE-Q Interim Issues



소프트웨어설계체계불만족• 약 700여종의설계문서검토및 KINS 자체기능시험• 설계결과물의요건불만족 일관성, 추적성, 완전성, 정확성등의불만족사례

• 확인된불만족사항에대해조치할것을요구

• 문서개정/설계변경등을통해최종적합함을확인

pSET모니터링오류

소스코드와개발문서간내용불일치

메모리변수사용의일관성부족

소스코드구현에대한설계문서기술내용부족

부적합한소스코드설계

CPU 부하초과KINS 자체기능시험

개발문서간내용불일치

소스코드 &설계문서검토

소스코드검토

검토결과검토방법검토내용



실시간운영체제소프트웨어의설계미흡• 비정상적상황발생시, 운영체제로서의대응설계가미흡함을확인

다수의미흡사례확인기타

잘못된메모리공간을 Access함배열접근시

바운드검사가능여부

Stack Overflow 검출못함소프트웨어의이상행위

검출가능여부

변경을검출하지못함

pCOS소스코드분석 &KINS 자체기능시험

메모리의의도되지않은

변경검출가능여부


• 확인된미흡사항에대해조치할것을요구 안전기능수행에영향이없도록설계를변경

pCOS태스크구조를단순화(기존12개 6개)변경사항에대한기능시험결과확인포함

변경전 변경후



안전등급통신기능의설계불만족• HR-SDL 통신모듈이설계요건을만족하지못함을확인 조치를요구

• 확인된미흡사례에대해조치할것을요구 4개포트의 HR-SDL 통신모듈하나만을사용하도록제한 하나의포트에하나의사용자태스크만사용하도록제한 (멀티태스크제한)

• 신청자의설계변경내용을확인 실시간운영체제내의통신태스크를삭제

통신의단계를단순화 (기존 11단계 8단계)최종적합함을확인함

상태기반통신불만족상태기반및

결정론적특성만족여부

통신의건전성불만족KINS 자체기능시험 & 심층검토

통신기능의건전성여부




응용프로그램개발도구의설계미흡• pSET소스코드분석및기능시험결과, 잠재적오류가포함되어있음을확인

• IDiPS-RPS의구현에미치는영향을분석 pSET의잠재오류가 IDiPS-RPS에는영향이없음을확인

응용프로그램개발도구는생명주기단계중설계단계이후에사용됨

IDiPS ESF-CCS / RCOPS TR은 pSET사용이적용되지않음.

• pSET은 IDiPS-RPS에한정하여적용가능함.

소스코드의설계적합성오류발생가능한함수포함

KINS 자체기능시험 & 소스코드분석

고유기능의확인



심사경험심사경험 요약요약 및및 향후향후 방향방향

관련 TR의심사결과

•원자로시설등의기술기준에관한규칙

•경수로형원자력발전소안전심사지침서

• IEEE 국제표준등

심사기준

•안전계통설계요건의적합성•소프트웨어품질•시험및검증•하드웨어기기검증•신뢰도분석•사이버보안•인간공학설계등

심사주안점

디지털계측제어시스템의안전성평가

관련요건및기술기준을만족

심층분석,자체시험,실사, . . . .

다만, 원전비안전계통또는산업체에서의운전이력또는통합검증설비를이용한운전이력을제시하고이에대한평가가이루어져야함.


심사경험심사경험 요약요약 및및 향후향후 방향방향

국산화시스템에대한심층검토를수행• 소스코드분석• 설계결과물에대한전면검토등

디지털시스템에대한 Role Model 가능 설계자의경우, 사이버보안성평가경험 규제자의경우, 소스코드분석등심층검토경험

향후, • 신규원전 / 가동원전설비개선인허가에 KNICS 심사경험을반영• 신울진 1,2호기


한국원자력안전기술원

Documents

디지털계측제어시스템의안전성평가경험 · 디지털계측제어시스템의안전성평가경험 강영두 한국원자력안전기술원 2009. 4.6 ~ 4.7 제14회원자력안전기술정보회의