Embed Size (px)
Citation preview
제13회 원자력안전기술정보회의
2007.4.10~11
실시간운영체제(RTOS)에 대한규제 방향
실시간운영체제(RTOS)에 대한규제 방향
7-2, 인간공학 및 디지털 I&C에 대한 규제방향 II
김 형 태
1/22
목 차
I. 배경
II. 실시간 운영체제 개요
III. 실시간 운영체제 주요 검토 항목
IV. 실시간 운영제제 평가 항목
V. 평가 방향
VI. 향후 계획
2/22
I. 배경
□ 원전 계측제어 계통에 실시간 운영체제가 적용되고 있으나 상용 및 자체 제작된 실시간 운영체제의 안전성 평가에 대한 지침이 부족
□ 실시간 운영체제에 대한 평가방안이 현안사항으로 부각되어 기술지침 개발이 필요
□ 원전의 계측제어 계통에 사용되는 실시간 운영체제에 관한 규제방향을 수립하고, 관련 지침을 개발할 예정
3/22
I. 배경
□ 관련 기술 기준KINS/G-001.부록 7.17 디지털 컴퓨터 실시간 성능에 관한 평가지침
IEEE 7-4.3.2, “IEEE Standard for Digital Computer in Safety Systems of Nuclear Power Generating Station”
□ 참고 문헌NUREC/CR-6083, “Reviewing Real-Time Performance of Nuclear Reactor Safety Systems”EPRI TR-107330, “Generic Requirements Specification
for Qualifying a Commercially Available PLC for Safety-Related
Applications in Nuclear Power Plants”NUREG/CR-6812, “Emerging Technologies in Instrumentation and Controls”.
4/22
II. 실시간 운영 체제 개요
□ 실시간 운영 체제란?An operating system is said to be "real-time" if it provides some mechanisms to give predictability to task execution times. (NUREG/CR-6812)
주어진 작업을 정해진 시간 안에 수행 할 수 있는 환경을 제공
예측 가능하고 일정한 응답 시간을 요구하는 응용 프로그램의 지원을 위한운영체제
공평하게 자원을 분배하거나 좋은 평균 성능 보다 작업의 마감시간을 맞추는 데 주력
5/22
II. 실시간 운영 체제 개요
□ 경성 실시간(Hard real time)
Hard real-time operating systems provide the facilities necessary to meettiming requirements under worst-case conditions. (NUREG/CR-6812)
어떤 작업을 일정 시간 안에 반드시 처리해야 하며 마감시간(deadline)을 만족하지못하면 실패- 예) 군사장비, 비행기, 원자로 정지 등
□ 연성 실시간(Soft real time)
Soft real-time operating systems meet timing requirements most of thetime but are allowed to occasionally miss deadlines. (NUREG/CR-6812)
시간 제약 조건을 만족시키지 못하더라도 경성의 경우처럼 치명적이지 않음- 예) 실시간 비디오, 핸드폰 등
원자력발전소 보호 및 안전 계통에서 디지털 계측제어계통은경성 실시간 운영체제 특성을 갖추어야 함
6/22
II. 실시간 운영 체제 개요
□ 정적 및 동적 시스템정적 시스템은 모든 태스크가 초기에 생성되고 실행 중에 생성되지 않음
동적 시스템은 실행 중에 동적으로 태스크를 생성 및 삭제하는 시스템
원자력발전소 보호 및 안전 계통에서 디지털 계측제어계통은
정적 시스템이어야 함
□ 정적 및 동적 우선순위 태스크 모델정적 우선순위 모델은 실행 중에 태스크의 우선순위를 변경하지 않음
동적 우선운위 모델은 실행 중에 태스크의 우선순위를 변경함
원자력발전소 보호 및 안전 계통에서 디지털 계측제어계통은
정적 우선순위 태스크 모델이어야 함
7/22
II. 실시간 운영 체제 개요
□ 주기 및 비주기 태스크주기 태스크(Periodic task)는 주기적으로 실행 되고 주기 내에 태스크의특성이 거의 변하지 않음
비주기 태스크(Aperiodic task)는 비주기적으로 실행
□ 독립 및 종속 태스크독립 태스크(Independent task)는 자원을 공유하지 않는 태스크
종속 태스크(Dependent task)는 자원을 공유하는 태스크
8/22
III. 실시간 운영 체제 주요 검토 항목
결정론적
성능
· 예측성
· 타이밍 분석
· 타이밍 요건
커널 기능
· 스케줄러
· 인터럽트 처리
· 동기화 기법
· 우선 순위 역전 방지
태스크 관리 및 설계
· 태스크 스케줄링
· 태스크 분할
· 태스크 타이밍 검증
· 태스크 생성
· 우선순위 할당
· 태스크 동기화
· 태스크 스택 할당
· 재진입 요건
메모리 및 자원관리 · 접근시간
· 메모리 할당
· 메모리 관리
오류 처리
· 데드락 처리
· 스택 오버플로우 처리
· 데드라인 위반 처리
· 메모리 보호
· 진단 요건
· 자기 회복
통신계통 설계 · 결정론적 통신
9/22
IV. 실시간 운영 체제 평가 항목
□ 결정론적 성능 요건예측성
• 결정론적 실행 시간 제한치 요건 설계
- 컴퓨터 하드웨어, 소프트웨어, 통신 계통을 고려하여 결정론적 실행
시간 제한치를 만족할 수 있도록 설계
• 수행시간의 예측성
- 최악의 수행 시간 제한치 보장
타이밍 분석
• 할당된 타이밍 요건을 만족해야 할 기능들 확인
• 각 모듈에 대해서 타이밍 분석 수행
• 최악의 실행 시간 검증을 통하여 작업 마감시한 만족 증명
10/22
IV. 실시간 운영 체제 평가 항목
□ 결정론적 성능 요건타이밍 요건
• 아래 수행 시간이 예측 가능하여야 함
– 태스크 전환 지연 시간
– 인터럽트 지연 시간
– 인터럽트 디스패치 지연 시간
– 인터럽트 서비스 루틴(ISR) 실행 시간
– 태스크 실행시간
11/22
IV. 실시간 운영 체제 평가 항목
□ 커널 기능 요건스케줄러
• 선점형 멀티 태스킹
• 우선순위 기반의 스케줄링
• 태스크 마감시한 요건을 만족시키는 결정론적 성능
• 정적 스케줄링 방법
– 다른 설계를 제시할 경우, 결정론적 성능에 영향이 없음을 해석 및시험 등의 방법으로 입증해야 함
12/22
IV. 실시간 운영 체제 평가 항목
□ 커널 기능 요건인터럽트 처리
• 예측성 있는 인터럽트 처리 기법 제공• 커널 동작을 위한 인터럽트 외에는 인터럽트 사용 불가• 인터럽트 서비스 루틴 내에서 인터럽트나 실행 시간 제한치가 실패하는 경우가
발생하지 않음을 보장하기 위한 분석 및 검증 필요
동기화 기법• 예측성 있는 태스크간 통신과 동기화 기법 제공• 사용하는 모든 동기화 기법들은 공유된 자원을 접근하기 위한 최악의 실행시간
제한치 보장
우선순위 역전 방지• 우선순위 역전 방지 기능 제공
– 우선순위 역전 현상이 없음을 해석 및 시험 등의 방법으로 입증– 입증할 수 없을 경우 우선순위 역전 방지 기능을 제공해야 함
13/22
IV. 실시간 운영 체제 평가 항목
□ 태스크 관리 및 설계 요건태스크 스케줄링
• 최악의 실행 시나리오를 고려하여 태스크들간의 스케줄 가능성 검증
태스크 분할
• 태스크의 수행 작업 및 분할 근거 제시
태스크 타이밍 검증
• 주기, 비주기 태스크를 고려하여 태스크들의 타이밍 요건 기술
• 각 태스크의 최악의 실행시간을 예측하여 분석하고 타이밍 요건에 반영
• 통신 프로토콜, 하드웨어 고려하여 타이밍 요건을 만족해야 하고 결정론적 실행 보장 검증
14/22
IV. 실시간 운영 체제 평가 항목
□ 태스크 관리 및 설계 요건태스크 생성
• 실행 중에 태스크를 생성하지 않는 정적 태스크 사용
우선순위 할당
• 정적 우선순위 태스크 사용
• 타이밍 요건을 고려하여 태스크에 우선순위를 할당하여야 하고 근거를제시하여 함
15/22
IV. 실시간 운영 체제 평가 항목
□ 태스크 관리 및 설계 요건태스크 동기화
• 독립 태스크와 종속 태스크를 분류하고 종속 태스크들이 자원을 공유하기 위해 사용된 동기화 방법들을 기술
• 태스크 동기화 방법이 사용된 곳에서 데드록,우선순위 역전 등의 위험도를 분석하고 결정론적 성능에 대한 검증 필요
태스크 스택 할당• 태스크의 최대 사용 메모리를 예측하고 여유(margin)를 고려하여 할당
재진입 요건• 여러 개의 태스크가 사용하는 함수는 데이터가 손상되지 않도록 데이터를 보호하여 재진입 가능한 함수로 사용
• 태스크에서 공용으로 사용하는 함수에 대하여 재진입 함수임을 분석하고 재진입 함수로 사용하기 위한 가이드라인을 제시
16/22
IV. 실시간 운영 체제 평가 항목
□ 메모리 및 자원관리접근 시간
• 메모리와 사용하는 모든 자원들에 대한 접근 시간의 예측성 검증
메모리 할당
• 정적 메모리 할당 사용
메모리 관리
• 예측성 있는 메모리 관리 방법 사용
- 가상 메모리,메모리 페이징과 같은 방법은 사용 불가
17/22
IV. 실시간 운영 체제 평가 항목
□ 오류처리데드락 처리
• 데드락 탐지,회피,방지,복구의 데드락 처리 방법 명시
• 최소한 데드락 탐지와 오류 처리 기능 제공
스택 오버플로우 처리
• 스택 오버플로우 탐지와 오류 처리 기능 제공
데드라인 위반 처리
• 데드라인 위반 탐지와 오류 처리 기능 제공
18/22
IV. 실시간 운영 체제 평가 항목
□ 오류처리메모리 보호
• 커널 메모리나 태스크 스택 등의 중요한 메모리 영역은 메모리 보호기능 제공
• 결정론적 성능을 보장 할 수 있는 방법 사용
진단 요건
• 프로세서 정지,운영체제 및 응용프로그램 등의 고장 검출
• 외부 인터페이스,자원을 고려하여 각 태스크는 자기 시험 및 진단 기능제공
• EPRI TR-107330,4.4.6 진단요건 만족
- 4.4.6.1 일반적인 진단
- 4.4.6.2 온라인 자가 시험
- 4.4.6.3 전원 투입 후 진단
19/22
IV. 실시간 운영 체제 평가 항목
□ 오류처리진단 요건
• 고장 검출 방법 예시
- 프로세서 정지(heartbeat 방법 등)
- 스캔 위반 및 응용프로그램 비실행(watch dog 방법 등)
- 응용프로그램의 건전성(checksum 방법 등)
고장 회복
• EPRI TR-107330,4.2.3.7 회복 능력 요건 만족
- 고장이 검출 되면 일시 정지
- 전원 투입 후 사용자 값으로 초기화
• 회복할 수 없는 오류의 경우에는 재기동을 지원하여야 하며 재기동 시간이 명시 되고 검증
20/22
IV. 실시간 운영 체제 평가 항목
□ 통신 계통 설계 요건결정론적 통신
• 통신계통은 상태-기반 구조로 설계
• 결정론적 특성을 갖도록 설계
• 오류복구조건의 정의와 비결정론적 거동이 있는지를 분석하고 필요하다면 심층방어 또는 다양성 설계로 보상되어야 함
21/22
V. 평가 방향
□ 결정론적 성능 검증커널과 태스크의 결정론적 성능 검증
예측성 있는 설계 방법들 적용
• 정적 태스크, 정적 우선순위, 정적 스케줄링, 정적 메모리 사용 등
□ 실시간 타이밍 요건 만족 검증타이밍 특성의 예측성
최악의 실행 시간 검증을 통하여 작업 마감시한 만족 증명
경성 실시간 운영체제 특성 만족
□ 오류처리데드락 처리, 스택 오버플로우 처리
고장 검출 및 고장 회복 등
22/22
VI. 향후 계획
□ 산업계 및 원전에 적용된 실시간 운영체제의 성능 평가기준과 국내외 평가 사례 분석
□ 원전의 계측제어 계통에 사용되는 실시간 운영체제의 평가 요소와 평가기준 제시
□ 2009년 中 의견수렴 등을 거쳐 최종 기술지침화 예정
23/22
Q&AQ&AQ&A한국원자력안전기술원
원자력시설안전본부 안전기술부
계측제어실 연구원 김형태
042-868-0804
