嵌入式系统在电力领域有着广泛的应用基础。随着电力系统规模的扩大和自动化水平的提高,电力系统对底层设备的可靠性、安全性要求越来越高。但是由于嵌入式系统本身条件的限制,嵌入式操作系统的安全防护能力有限,系统的信息安全面临极大的挑战。在嵌入式操作系统领域,安全开发正处于一个起步阶段,国内外目前的嵌入式操作系统主要考虑的是它的实时性和稳定性,没有对安全性做出太多的考虑,这显然不能满足电力领域越来越紧迫的安全性需求。论文以电力系统中的子站系统为设计对象,设计一个适用于电力领域的安全嵌入式操作系统,以保证系统的信息安全。设计采用微内核模型和分层模型相结合的体系结构,使目标系统同时具有了模块化和可靠的特点,尽量做到对原内核改动的最小化,以满足电力控制领域对实时性和稳定性的要求。在对系统访问控制的形式化设计中,研究分析了各类安全策略模型,着重考虑了安全模型在嵌入式应用的特殊性,最终基于BLP(Bell-La-Padula),全新设计了应用于嵌入式领域的安全访问控制模型μBLP,并采用了Z语言对新模型进行了规范化的描述,旨在今后的工作中能对模型的正确性作进一步的证明,以符合高安全级别的标准。论文采用μC/OS-Ⅱ作为内核开发原型。在提出了系统框架的基础上,完成了整体设计。作为操作系统的核心,内核成为设计的重点,在其实现方案中,考虑到应用安全访问控制对稳定性以及实时性的影响,论文结合电力系统的需求引入了决策缓冲机制。具体设计将安全内核划分为访问监视器,策略缓存,仲裁服务器,以及审计系统各个子模块,并对它们予以详细地实现。在实现了安全内核的基础上,本文在最后对系统的各个子系统进行了分析与设计,特别地给出了内核扩展层与内存管理模块的关系。在测试环节,根据预先设计的安全策略,搭建测试平台,制定测试方案进行了具体测试,根据测试结果,对内核系统的性能指标做出量化分析。测试结果表明,在所设计的系统中,对内核客体的访问控制符合所制定的安全策略,并且整个内核运行稳定,实时性的负面影响不超过原有系统性能指标的10%。