安全可靠的核安全级DCS软件执行顺序监测方法和系统与流程

本发明涉及核电控制系统的技术领域，尤其涉及一种安全可靠的核安全级dcs软件执行顺序监测方法和系统。

背景技术：

核安全级dcs(digitalcontrolsystem数字化控制系统)中嵌入式软件的确定性要求非常高，主要体现在资源使用确定性，执行时间确定性和行为确定性三个方面。其中行为确定性一个重要方面就是软件任务执行顺序要与设计预期完全一致，否则就可能导致系统产生严重的后果，因此需要对核安全级嵌入式软件的任务执行顺序进行实时的监测。

核安全级dcs实现软件执行顺序监视功能的主要方法是：为软件各子任务分配特定的标识码，在子任务执行时将标识码压入一个队列，在各子任务执行完后，由嵌入式软件专用的模块检查队列中的标识码，如果各标识码压入队列的顺序不符合预期要求，则认为软件执行顺序不正确，需要让软件进入安全模式运行。

例如，图1为现有技术中一种单进程模式核安全级嵌入式软件的监测技术方案，发明人在实现本发明的过程中发现，这种监测技术至少存在以下不足：

1)、软件各子任务的执行顺序是否正确，要在任务实际执行完后才能被检查出来，在软件执行顺序错误的情况下，核安全级dcs很可能已经产生了严重后果；

2)、由于核安全级dcs是基于cpu运行的特点，软件各子任务和自诊断模块是作为一个不可分割的进程在运行，软件执行顺序出现异常时，往往也意味着自诊断模块的失效，因此由一种嵌入式软件监测其他嵌入式软件执行顺序的方法，存在可靠性方面的问题。

技术实现要素：

为了解决现有技术中核安全级dcs软件执行顺序监测技术方案存在的顺序错误监测不及时和可靠性的技术问题，本发明提供一种安全可靠的核安全级dcs软件执行顺序监测方法和系统，通过与cpu相独立、异构的cpld器件，来实现实时的软件执行顺序监测功能，在软件子任务刚开始执行时就能及时发现执行顺序的问题，从而及时终止子任务的执行，以免造成软件执行顺序错误而造成核安全级dcs运行错误的后果。

为了实现上述目的，本发明提供的技术方案包括：

本发明一方面提供一种安全可靠的核安全级dcs软件执行顺序监测方法，其特征在于，包括：

所述核安全级dcs中的嵌入式软件以周期循环的方式运行，并将每个嵌入式软件开始运行的信号发送至第一控制器，并且所述第一控制器独立于所述核安全级dcs中第二控制器而运行；

所述每个嵌入式软件对应的子任务开始执行时，先将各自唯一的标识码发送至所述第一控制器；

所述第一控制器根据接收的所述标识码是否满足预定的要求，来判定每个所述子任务是否按预定义的顺序执行；并且如果所述第一控制器判定有嵌入式软件对应的子任务没有按照预定义的顺序执行时，将所述核安全级dcs中第二控制器置于复位状态。

本发明实施例优选的实施方式中，所述第一控制器异构于所述第二控制器。

本发明实施例进一步优选的实施方式中，所述第一控制器为cpld类型的控制器，所述第二控制器为cpu类型的控制器。

本发明实施例优选的实施方式中，所述方法还包括：如果所述第一控制器判定有嵌入式软件对应的子任务没有按照预定义的顺序执行时，将相应的故障编码，通过显示单元显示出来。

本发明实施例优选的实施方式中，所述方法还包括：如果所述第一控制器判定有嵌入式软件对应的子任务没有按照预定义的顺序执行时，将相应的故障信息记录在非易失性存储器中，进行故障记录。

本发明第二方面还提供一种安全可靠的核安全级dcs软件执行顺序监测系统，其特征在于，包括：

第一控制器，所述第一控制器独立于所述核安全级dcs中第二控制器而运行；其中，所述核安全级dcs中的嵌入式软件以周期循环的方式运行，并将每个嵌入式软件开始运行的信号发送至所述第一控制器；并且

所述每个嵌入式软件对应的子任务开始执行时，先将各自唯一的标识码发送至所述第一控制器；

其中，所述第一控制器根据接收的所述标识码是否满足预定的要求，来判定每个所述子任务是否按预定义的顺序执行；并且如果所述第一控制器判定有嵌入式软件对应的子任务没有按照预定义的顺序执行时，将所述核安全级dcs中第二控制器置于复位状态。

本发明实施例优选的实施方式中，所述第一控制器异构于所述第二控制器。

本发明实施例进一步优选的实施方式中，所述第一控制器为cpld类型的控制器，所述第二控制器为cpu类型的控制器。

本发明实施例优选的实施方式中，所述系统还包括与所述第一控制器连接的显示单元，如果所述第一控制器判定有嵌入式软件对应的子任务没有按照预定义的顺序执行时，将相应的故障编码，通过显示单元显示出来。

本发明实施例优选的实施方式中，所述系统还包括与所述第一控制器连接的非易失性存储器，如果所述第一控制器判定有嵌入式软件对应的子任务没有按照预定义的顺序执行时，将相应的故障信息记录在非易失性存储器中，进行故障记录。

采用本发明提供的上述技术方案，至少可以获得以下有益效果中的一种：

1、第一控制器能够在监测到核安全级dcs中嵌入式软件执行顺序异常后，立即终止该嵌入式软件执行，避免软件输出错误数据或指令，能够提高核安全级dcs系统运行的安全性。

2、使用独立于核安全级dcs中第二控制器的第一控制器，来监测、判定嵌入式软件对应的子任务是否按照预定义的顺序执行；由于第一控制器从硬件架构上独立第二控制器，每个嵌入式软件对应的子任务开始执行时，先将各自唯一的标识码发送至第一控制器，这样第一控制器可以在嵌入式软件对应的子任务正式运行之前，能够判断各个嵌入式软件是否按照预定义的顺序执行。

3、将第一控制器和第二控制器设置成独立、异构的器件，能够避免现有方案中的软件监控中存在的软件自身运行结果可能异常的问题，监测结果的可靠性更高。

4、软件执行异常后，第一控制器仍然可以确保对故障进行报警和记录，能够提高系统的可维护性。

发明的其它特征和优点将在随后的说明书中阐述，并且，部分地从说明书变得显而易见，或者通过实施本发明的技术方案而了解。本发明的目的和其他优点可通过在说明书、权利要求书以及附图中所特别指出的结构和/或流程来实现和获得。

附图说明

图1为现有技术中一种单进程模式核安全级嵌入式软件监测方法的流程图。

图2为本发明实施例提供一种安全可靠的核安全级dcs软件执行顺序监测系统与核安全级dcs的结构框图。

图3为本发明实施例提供另一种安全可靠的核安全级dcs软件执行顺序监测系统与核安全级dcs的架构图。

图4为本发明实施例提供一种安全可靠的核安全级dcs软件执行顺序监测方法的原理图。

图5为本发明实施例提供一种安全可靠的核安全级dcs软件执行顺序监测方法的流程图。

具体实施方式

以下将结合附图及实施例来详细说明本发明的实施方式，借此对本发明如何应用技术手段来解决技术问题，并达成技术效果的实现过程能充分理解并据以实施。需要说明的是，这些具体的说明只是让本领域普通技术人员更加容易、清晰理解本发明，而非对本发明的限定性解释；并且只要不构成冲突，本发明中的各个实施例以及各实施例中的各个特征可以相互结合，所形成的技术方案均在本发明的保护范围之内。

另外，在附图的流程图示出的步骤可以在诸如一组控制器可执行指令的控制系统中执行，并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。

下面通过附图和具体实施例，对本发明的技术方案进行详细描述：

实施例

本实施例提供一种安全可靠的核安全级dcs(英文全称digitalcontrolsystem数字化控制系统)200软件执行顺序监测系统，该核安全级dcs系统可以是例如核安全级数字化控制保护系统firmsys(和睦系统)平台，更具体地，可以使用下文提及的软件执行顺序监测系统/方法对firmsys平台的mpu(英文全称microprocessoruint，微处理器单元)板卡的软件执行顺序进行监测。如图2所示，本实施例提供的安全可靠的核安全级dcs软件执行顺序监测系统包括：

第一控制器100，第一控制器100独立于核安全级dcs200中第二控制器210而运行(即第一控制器100相对于第二控制器是独立运行、不依赖于第二控制器运行而启动、运行)；其中，核安全级dcs200中的嵌入式软件以周期循环的方式运行，并将每个嵌入式软件开始运行的信号发送至第一控制器100；并且

(核安全级dcs内第二控制器210中)每个嵌入式软件对应的子任务开始执行时，先将各自唯一的标识码发送至第一控制器100；

其中，第一控制器100根据接收的标识码是否满足预定的要求，来判定每个子任务是否按预定义的顺序执行；并且如果第一控制器100判定有嵌入式软件对应的子任务没有按照预定义的顺序执行时，将核安全级dcs中第二控制器210置于复位状态。

本实施例优选地实施方式中，第一控制器100独立于第二控制器210是指从硬件的设置上，第一控制器100和第二控制器210属于不同的硬件模块，但是对于第一控制器100和第二控制器210的外围供电电路等可以根据实际需求采用相同或者不同的电路；进一步实施例优选的实施方式中，第一控制器100异构于第二控制器210，这样可以让第一控制器100能够减少与第二控制器210由于同类控制器运行错误，而出现同类故障的概率。

本实施例优选地实施方式中，每个嵌入式软件对应的子任务开始执行时，是指核安全级dcs中第二控制器210从与第二控制器210连接的存储器中加载预先设置的嵌入式软件生成相应进程(运行过程中也称子任务)。“每个嵌入式软件对应的子任务开始执行时，先将各自唯一的标识码发送至第一控制器100”，即控制器加载相应软件生成相应进程(或每个嵌入式软件对应的子任务开始执行)之前，先将每个嵌入式软件各自对应的唯一的标识码发送至第一控制器100。其中，唯一的标识码只要能表示出该嵌入式软件即可，对其具体形式本实施例不做具体的限制，例如，可以是软件的名称或者编号等。

本实施例优选地实施方式中，第一控制器100根据接收的标识码是否满足预定的要求，可以是预先设置有一个软件执行顺序的列表，通过判断标识码的先后顺序是否满足列表的顺序，来确认标识码是否满足预定的要求；还可以是将嵌入式软件执行顺序对应的标识码依次累加或累减，这样控制器可以根据接收的标识码是否满足该累加或累减的规则，来确认标识码是否满足预定的要求。当然上述方式也仅仅是本实施例提供的不同具体实施方式，但是本实施例不限于此。

如图3、图4所示，本实施例进一步优选的实施方式中，第一控制器100为cpld110类型的控制器，第二控制器210为cpu类型的控制器。其中，cpld的英文全称complexprogrammablelogicdevice，中文全称为复杂可编程逻辑器件；cpu英文全称centralprocessingunit，中文全称为中央处理器，上文中提及的mpu也可以属于cpu类型的架构。因此，能够通过嵌入式软件与cpld相互配合对核安全级嵌入式软件执行顺序进行监测功能，嵌入式软件的各个子任务在按照预定义的顺序执行时向cpld器件发送其任务标识码，cpld实时监测子任务发送来的标识码是否符合预定义的顺序，如果不符，则立即终止核安全级嵌入式软件的执行，以及时的避免软件失效可能导致的严重后果，以提高dcs系统运行的安全性。

当然本实施例中第一控制器不限于cpld这种类型的控制器，还可以是其他可编程逻辑器件。

本实施例优选的实施方式中，上述软件执行顺序监测系统还包括与cpld110连接的显示单元130，如果cpld110判定有嵌入式软件对应的子任务没有按照预定义的顺序执行时，将相应的故障编码，通过显示单元130进行显示出来。其中，图3中对应cpld110可以用其他控制器代替，显示单元130可以是数据管或显示器等。

本实施例优选的实施方式中，上述软件执行顺序监测系统还包括与cpld110连接的非易失性存储器(例如，eeprom、flash等)，如果cpld110判定有嵌入式软件对应的子任务没有按照预定义的顺序执行时，将相应的故障信息记录在非易失性存储器中，进行故障记录。

具体地，如图3、图4，本实施例提供的嵌入式软件以周期循环的方式运行，每个周期开始时通知cpld，子任务开始执行时首先把各自唯一的标识码发送给cpld，cpld逻辑根据标识码检查子任务是否按预定义的顺序执行；一旦发现子任务执行顺序不正确，立即把cpu置于持续复位状态，避免嵌入式软件对外输出错误或非法的数据、指令；同时，cpld通过数码管显示相应的故障编码进行报警，并把故障信息记录在非易失性存储器中。

如图5所示，本提供一种安全可靠的核安全级dcs软件执行顺序监测方法，该方法包括：

s110、核安全级dcs中的嵌入式软件以周期循环的方式运行，并将每个嵌入式软件开始运行的信号发送至第一控制器，并且第一控制器独立于核安全级dcs中第二控制器而运行；

s120、每个嵌入式软件对应的子任务开始执行时，先将各自唯一的标识码发送至第一控制器；

s130、第一控制器根据接收的标识码是否满足预定的要求，来判定每个子任务是否按预定义的顺序执行；并且如果第一控制器判定有嵌入式软件对应的子任务没有按照预定义的顺序执行时，将核安全级dcs中第二控制器置于复位状态。

本实施例优选地实施方式中，每个嵌入式软件对应的子任务开始执行时，是指核安全级dcs中第二控制器，从与第二控制器连接的存储器中加载预先设置的软件生成相应进程(运行过程中也称子任务)。“每个嵌入式软件对应的子任务开始执行时，先将各自唯一的标识码发送至第一控制器”，即控制器加载相应软件生成相应进程(或每个嵌入式软件对应的子任务开始执行)之前，先将每个嵌入式软件各自对应的唯一的标识码发送至第一控制器。其中，唯一的标识码只要能表示出该嵌入式软件即可，对其具体形式本实施例不做具体的限制，例如，可以是软件的名称或者编号等。

本实施例优选地实施方式中，第一控制器根据接收的标识码是否满足预定的要求，可以是预先设置有一个软件执行顺序的列表，通过判断标识码的先后顺序是否满足列表的顺序，来确认标识码是否满足预定的要求；还可以是将嵌入式软件执行顺序对应的标识码依次累加或累减，这样控制器可以根据接收的标识码是否满足该累加或累减的规则，来确认标识码是否满足预定的要求。当然上述方式也仅仅是本实施例提供的不同具体实施方式，但是本实施例不限于此。

本实施例优选的实施方式中，上述方法中，第一控制器异构于第二控制器。本实施例进一步优选的实施方式中，第一控制器为cpld类型的控制器，第二控制器为cpu类型的控制器。

本实施例优选的实施方式中，上述还包括：如果第一控制器判定有嵌入式软件对应的子任务没有按照预定义的顺序执行时，将相应的故障编码，通过显示单元显示出来。

本实施例优选的实施方式中，上述方法还包括：如果第一控制器判定有嵌入式软件对应的子任务没有按照预定义的顺序执行时，将相应的故障信息记录在非易失性存储器中，进行故障记录。

采用本申请提供的上述技术方案，至少可以获得以下有益效果中的一种：

1、第一控制器能够在监测到核安全级dcs中嵌入式软件执行顺序异常后，立即终止该嵌入式软件执行，避免软件输出错误数据或指令，能够提高核安全级dcs系统运行的安全性。

2、使用独立于核安全级dcs中第二控制器的第一控制器，来监测、判定嵌入式软件对应的子任务是否按照预定义的顺序执行；由于第一控制器从硬件架构上独立第二控制器，每个嵌入式软件对应的子任务开始执行时，先将各自唯一的标识码发送至第一控制器，这样第一控制器可以在嵌入式软件对应的子任务正式运行之前，能够判断各个嵌入式软件是否按照预定义的顺序执行。

3、将第一控制器和第二控制器设置成独立、异构的器件，能够避免现有方案中的软件监控中存在的软件自身运行结果可能异常的问题，监测结果的可靠性更高。

4、软件执行异常后，第一控制器仍然可以确保对故障进行报警和记录，能够提高系统的可维护性。

最后需要说明的是，上述说明仅是本发明的最佳实施例而已，并非对本发明做任何形式上的限制。任何熟悉本领域的技术人员，在不脱离本发明技术方案范围内，都可利用上述揭示的做法和技术内容对本发明技术方案做出许多可能的变动和简单的替换等，这些都属于本发明技术方案保护的范围。