曾 海，I. SIEDLARCZYK，毛 歡

(1.國核自儀系統(tǒng)工程有限公司，上海 200233；2.洛克希德馬丁公司，美國 賓夕法尼亞州 18512；

3.環(huán)境保護部 核與輻射安全中心，北京 100082)

現(xiàn)場可編程門陣列(FPGA)技術(shù)作為一種不同于CPU的數(shù)字電子技術(shù)，由于其不同于CPU的特點和優(yōu)勢[1]，正在被越來越廣泛地用于核安全級儀控系統(tǒng)。一方面，F(xiàn)PGA技術(shù)為核安全級儀控系統(tǒng)平臺及其系統(tǒng)帶來了系統(tǒng)結(jié)構(gòu)方面的新的特點，另一方面，F(xiàn)PGA也在一定程度上改進了核安全級儀控系統(tǒng)平臺及其系統(tǒng)的特性。

本工作從簡化系統(tǒng)設計、獨立性和多樣性等方面討論基于FPGA技術(shù)的NuPAC平臺對反應堆保護系統(tǒng)結(jié)構(gòu)帶來的改進。首先，介紹NuPAC平臺和反應堆保護系統(tǒng)的結(jié)構(gòu)；然后，基于對反應堆保護系統(tǒng)結(jié)構(gòu)的分析，介紹NuPAC平臺的應用對反應堆保護系統(tǒng)結(jié)構(gòu)帶來的改進。作為反應堆保護系統(tǒng)設計開發(fā)的重要工作之一，本文介紹反應堆保護系統(tǒng)的需求分析，以及需求分析中的難點和挑戰(zhàn)。

1 NuPAC平臺和反應堆保護系統(tǒng)結(jié)構(gòu)

1.1 NuPAC平臺結(jié)構(gòu)

NuPAC平臺的顯著特點不僅在于采用的FPGA技術(shù)，而且在于其獨特的分散式系統(tǒng)結(jié)構(gòu)。NuPAC平臺將安全保護或控制所需的全部功能，如輸入輸出信號處理、邏輯處理和運算、診斷和數(shù)據(jù)通信等，均集成于1塊通用邏輯模塊(GLM)，1塊GLM卡件可實現(xiàn)完整的控制保護功能。在1塊GLM模塊上設置了2塊FPGA芯片，其中1塊FPGA芯片用于核心可編程邏輯(CPL)，1塊用于應用可編程邏輯(ASPL)。CPL提供了ASPL所需的支持和環(huán)境，如資源調(diào)度、接口管理、診斷、內(nèi)存管理等功能，ASPL用于實現(xiàn)控制保護功能，CPL功能和ASPL功能相互隔離。安裝于1個機箱內(nèi)的GLM卡件可通過機箱背板總線連接，從而實現(xiàn)更為復雜的子系統(tǒng)功能。多個機箱可通過點對點數(shù)據(jù)通信連接形成1個系統(tǒng)。NuPAC平臺及其機箱結(jié)構(gòu)如圖1所示。

1個NuPAC機箱可安裝18塊GLM卡件，前16塊GLM卡件分為4組，每組4塊GLM卡件。組內(nèi)的GLM卡件之間通過星形網(wǎng)格背板總線連接。各組之間也通過背板總線連接，并通過背板總線進行數(shù)據(jù)交互。第17和第18槽位的GLM卡件用于與其他機箱的數(shù)據(jù)通信，之前每組均與第17和第18槽位的GLM卡件分別通過背板總線連接。

圖1 NuPAC平臺及其機箱結(jié)構(gòu)

NuPAC平臺的這種物理結(jié)構(gòu)為安全保護功能或控制功能的實現(xiàn)提供了較好的靈活性。安全保護功能或控制功能可根據(jù)功能的復雜程度或規(guī)模由某一塊GLM卡件、1組或多組GLM卡件、1個或多個機箱實現(xiàn)。某塊GLM卡件的功能可獨立于其他GLM卡件的功能。在某一塊GLM卡件的應用FPGA芯片上實現(xiàn)的應用邏輯和核心FPGA芯片上實現(xiàn)的診斷邏輯之間也是隔離的。

1.2 反應堆保護系統(tǒng)結(jié)構(gòu)

反應堆保護系統(tǒng)的總體結(jié)構(gòu)不會隨實際采用技術(shù)的變化而變化，即使目前從模擬技術(shù)發(fā)展到基于CPU的技術(shù)，或發(fā)展到基于FPGA的技術(shù)，反應堆保護系統(tǒng)的總體結(jié)構(gòu)也不會產(chǎn)生較大的變化。反應堆保護系統(tǒng)的總體結(jié)構(gòu)由法規(guī)和標準[2]規(guī)定的安全要求和功能要求決定。圖2為CAP系列核電廠反應堆保護系統(tǒng)的總體結(jié)構(gòu)。反應堆保護系統(tǒng)的功能包括保護參數(shù)信號的處理、定值比較、符合邏輯、設備觸發(fā)等，其功能分配到不同的功能層，由不同的功能層執(zhí)行。

圖2 反應堆保護系統(tǒng)的總體結(jié)構(gòu)

先進的數(shù)字技術(shù)，不管是基于CPU的技術(shù)，還是基于FPGA的技術(shù)，均為反應堆保護系統(tǒng)帶來模擬技術(shù)無法提供的特點，如豐富的圖形化界面、自診斷和定期測試功能。

1.3 基于NuPAC的反應堆保護系統(tǒng)的結(jié)構(gòu)優(yōu)點

FPGA技術(shù)降低了基于CPU技術(shù)的系統(tǒng)所使用的操作系統(tǒng)軟件引起的復雜性。NuPAC平臺無軟件和操作系統(tǒng)，CPL和ASPL均通過“純硬件邏輯”實現(xiàn)所需功能，CPL和ASPL間互相隔離。如圖1所示，NuPAC結(jié)構(gòu)上接近于以前的模擬式系統(tǒng)平臺，單塊GLM卡件具有實現(xiàn)控制保護功能所需的全部功能，單塊卡件可實現(xiàn)一完整的功能。

圖3為1個NuPAC機箱實現(xiàn)的雙穩(wěn)觸發(fā)邏輯單元的詳細結(jié)構(gòu)。全部安全功能所需的所有輸入信號的處理和雙穩(wěn)邏輯功能均分散于該機箱的單個GLM卡件上。該機箱的第1、2、3組用于實現(xiàn)保護參數(shù)的信號處理和雙穩(wěn)邏輯，第4組用于安全顯示參數(shù)的信號處理和邏輯運算功能。因各組間功能獨立，所以第4組的功能不會影響第1、2、3組承擔的雙穩(wěn)邏輯功能。

圖3 雙穩(wěn)邏輯單元結(jié)構(gòu)

該機箱內(nèi)第17塊GLM卡件用于雙穩(wěn)邏輯單元和符合邏輯單元之間的數(shù)據(jù)通信。第17塊GLM卡件通過“Alpha”背板總線接收來自第1、2、3組的局部停堆信號，通過點對點串口通信發(fā)送給符合邏輯單元。第18塊GLM卡件用于雙穩(wěn)邏輯和輔助功能單元(如主控室的安全顯示以及系統(tǒng)診斷邏輯)之間的數(shù)據(jù)通信。第18塊GLM卡件通過“Bravo”背板總線接收來自第1、2、3、4組的信息數(shù)據(jù)，通過點對點串口通信發(fā)送給輔助功能單元。第18塊卡件也接收來自主控室安全顯示的軟操信號(如阻止和復位)和來自維護測試單元的測試注入信號，并通過“Alpha”背板總線發(fā)送到各GLM卡件?！癆lpha”背板總線和“Bravo”背板總線之間互相隔離，因此通過“Bravo”背板總線傳送的信息數(shù)據(jù)不會影響通過“Alpha”背板總線傳送的控制命令數(shù)據(jù)。

對該雙穩(wěn)邏輯單元的功能分配應考慮如下原則：

1) 用于相同安全功能的不同的信號應分配到不同的GLM卡件處理，例如，用于核啟動保護功能的源量程中子通量信號和中間量程中子通量信號應分配到不同的GLM卡件處理；

2) 與雙穩(wěn)邏輯相關(guān)的輸入信號，特別是與計算變量的雙穩(wěn)邏輯相關(guān)的輸入信號應盡量在同一塊GLM卡件處理，例如超溫ΔT的計算需要中子通量信號、穩(wěn)壓器壓力信號、冷端溫度信號和熱端溫度信號等，這些信號應盡量在1塊GLM卡件處理，以減少GLM卡件之間的通信；

3) 如果1個安全功能需采用多塊GLM卡件實現(xiàn)，或在多塊GLM卡件上實現(xiàn)的多個安全功能之間需要共享數(shù)據(jù)，使GLM卡件間的通信無法避免，這些功能應盡量在NuPAC機箱的1個組(包含4塊GLM卡件)內(nèi)實現(xiàn)，這樣可使用組內(nèi)卡件之間直接的數(shù)據(jù)互連，減少組間的通信；

4) 需送到第4組安全顯示邏輯的保護參數(shù)信號應盡量在與第4組之間有數(shù)據(jù)互連的功能組內(nèi)實現(xiàn)，以利用組間的數(shù)據(jù)連接，減少與第17、18塊GLM卡件的通信。

由于安全功能之間的耦合性質(zhì)，不同的安全功能之間需共用某些數(shù)據(jù)，因此將安全功能清晰地分配到獨立的GLM卡件并不容易，功能分配的目標是至少保證1個功能組的獨立，避免或減少組與組間的數(shù)據(jù)交互。

與傳統(tǒng)的將全部功能集中到1塊中央處理模塊的數(shù)字系統(tǒng)不同，基于NuPAC實現(xiàn)的反應堆保護系統(tǒng)將全部功能分配到不同的GLM卡件實現(xiàn)，這種方式簡化了雙穩(wěn)邏輯的實現(xiàn)和驗證。每塊GLM卡件僅承擔全部功能中的幾個功能，不同GLM卡件實現(xiàn)的功能之間也是隔離的，1塊GLM卡件的故障不會影響另一GLM卡件上的功能。單塊GLM卡件的故障也不會導致全部功能的喪失。

功能分配也有利于功能多樣性的實現(xiàn)。根據(jù)功能多樣性原則確定的某個安全功能的不同的保護參數(shù)在不同的GLM卡件處理，某塊GLM卡件故障不會導致該功能的完全喪失。

由1個NuPAC機箱實現(xiàn)的符合邏輯功能單元也將進行功能分配。該機箱的第1、2組用于實現(xiàn)反應堆停堆符合邏輯，第3、4組用于實現(xiàn)專設安全設施觸發(fā)符合邏輯。不同的反應堆停堆功能和專設安全設施功能的符合邏輯由不同的GLM卡件執(zhí)行。第17塊GLM卡件用于接收來自本序列和其他3序列雙穩(wěn)邏輯的部分停堆信號，并將部分停堆信號分配到執(zhí)行相應符合邏輯的GLM卡件中。第18塊GLM卡件用于與輔助功能單元的通信。

設備控制邏輯也將由NuPAC機箱實現(xiàn)。此外，1個單獨的機箱用于實現(xiàn)系統(tǒng)輔助功能，如自診斷、與其他序列的信息通信、與非安全系統(tǒng)的通信等。輔助功能和雙穩(wěn)邏輯及符合邏輯等安全功能之間隔離，以保證輔助功能不會影響安全功能的執(zhí)行。

1.4 FPGA技術(shù)對系統(tǒng)特性的貢獻

無論采用怎樣的技術(shù)手段實現(xiàn)，反應堆保護系統(tǒng)均需滿足某些關(guān)鍵特性。這些關(guān)鍵特性來自法規(guī)和標準的要求或用戶的需要。基于系統(tǒng)關(guān)鍵特性分析，確定了基于NuPAC平臺的14個關(guān)鍵特性[3]。在這些反應堆保護系統(tǒng)需滿足的關(guān)鍵特性中，有些與采用的技術(shù)手段無直接關(guān)聯(lián)，如完整性、質(zhì)量、可操作性和可維護性，但對于有些關(guān)鍵特性，F(xiàn)PGA技術(shù)的采用可進一步提升和改善這些關(guān)鍵特性。

本文第1.3節(jié)論述了基于FPGA技術(shù)的NuPAC平臺可簡化系統(tǒng)設計，并從結(jié)構(gòu)上進一步提升了系統(tǒng)的獨立性、多樣性和靈活性。此外，由于NuPAC平臺和之前模擬式平臺結(jié)構(gòu)上的相似性，NuPAC平臺較傳統(tǒng)的數(shù)字化儀控系統(tǒng)平臺更適于對已建電廠模擬控制系統(tǒng)的升級改造。

1) 確定性

FPGA芯片以純硬件電路的方式實現(xiàn)反應堆保護系統(tǒng)的安全功能，硬件電路的執(zhí)行較軟件和操作系統(tǒng)的執(zhí)行更為確定。

2) 可靠性

盡管系統(tǒng)可靠性很大程度取決于系統(tǒng)結(jié)構(gòu)以及系統(tǒng)部件的可靠性，而系統(tǒng)結(jié)構(gòu)和系統(tǒng)部件的可靠性不會隨某種技術(shù)發(fā)生太大變化，但FPGA技術(shù)還是會在某種程度上提升系統(tǒng)的可靠性。某些FPGA芯片，如基于FLASH的FPGA芯片和基于反熔絲技術(shù)的FPGA芯片可有效抵御由于隨機輻照引起的單粒子翻轉(zhuǎn)(SEU)，因而較CPU芯片具有更高的可靠性。

3) 安保性

FPGA技術(shù)可對網(wǎng)絡惡意攻擊提供更好的防護。首先，“燒入”FPGA芯片的硬件邏輯在無工程工具時無法隨意修改；其次，對硬件邏輯的修改需通過特殊的CTIC(communications and test interface connector)接口進行，在系統(tǒng)運行時，CTIC接口一般是斷開的；最后，F(xiàn)PGA硬件邏輯采用的加密措施使FPGA邏輯很難通過反向工程重現(xiàn)。

4) 性能

反應堆保護系統(tǒng)的響應時間不僅取決于邏輯處理時間，還取決于信號處理時間(如濾波時間延遲)和通信時間。FPGA芯片內(nèi)部硬件邏輯采用的并行處理方式較CPU芯片內(nèi)軟件代碼的串行處理方式具有更快的處理速度。此外，NuPAC平臺GLM卡件對輸入輸出信號的處理是并行進行的，其執(zhí)行時間不受周期或定期方式數(shù)據(jù)刷新率的限制。大量系統(tǒng)的輸入和輸出信號可同時進行處理，且當系統(tǒng)規(guī)模增加時，這種并行處理方式不會增加輸入輸出信號處理所需的時間。

5) 可持續(xù)性和經(jīng)濟性

CPU芯片更新?lián)Q代的速度快于FPGA芯片，這意味著基于CPU技術(shù)的系統(tǒng)平臺壽命短于基于FPGA技術(shù)的系統(tǒng)平臺。隨著CPU芯片的更新?lián)Q代，原CPU芯片內(nèi)已有的軟件很難移植到新一代的CPU芯片中[1]。相反，F(xiàn)PGA技術(shù)讓今后的系統(tǒng)升級更加容易。使用硬件描述語言(HDL)編制的FPGA邏輯代碼和寄存器級(RTL)設計可移植用于新的FPGA芯片中，新的FPGA芯片僅需對已有的HDL代碼和RTL設計使用新的軟件工具重新進行綜合和布局布線，之前在軟件設計方面的投資可最大程度地被保留。

2 反應堆保護系統(tǒng)需求分析

關(guān)鍵特性分析是基于NuPAC平臺的反應堆保護系統(tǒng)需求分析的第1步。通過分析得到的關(guān)鍵特性將指導系統(tǒng)需求分析，并通過系統(tǒng)設計來實現(xiàn)。需求分析將貫穿于任務分析、需求分析、系統(tǒng)設計和詳細設計，各階段形成的各層級的需求將通過部件測試、集成測試和系統(tǒng)測試進行驗證和確認。對系統(tǒng)可編程邏輯以及軟件的各層級需求的完整性、正確性、可驗證性和準確性，以及各層級需求的可追溯性，將進行獨立的驗證和確認。

2.1 需求規(guī)范層級結(jié)構(gòu)

在系統(tǒng)需求分析的開始需建立系統(tǒng)需求規(guī)范的層級結(jié)構(gòu)。圖4為一從頂至底的反應堆保護系統(tǒng)需求層級結(jié)構(gòu)。需求分析從總體系統(tǒng)需求開始，分解細化到詳細的系統(tǒng)需求，詳細的系統(tǒng)需求包括系統(tǒng)功能需求、人機界面功能需求以及系統(tǒng)設計需求。在系統(tǒng)設計階段，第1層和第2層的系統(tǒng)需求將分配到系統(tǒng)的各配置項(如硬件模塊、可編程邏輯和軟件單元等)，并進行適當?shù)姆纸夂图毣Ｔ谠敿氃O計階段，將對配置項需求進行分解和細化，以指導配置項的詳細設計和實現(xiàn)。

圖4 反應堆保護系統(tǒng)需求層級結(jié)構(gòu)

隨著需求分析的進行，也將建立各級需求之間的連接和追溯關(guān)系。各級需求模塊及之間的聯(lián)系和追溯關(guān)系將通過專門的需求管理工具進行管理。

2.2 系統(tǒng)功能需求分析的困難和挑戰(zhàn)

反應堆保護系統(tǒng)功能需求模塊是最重要的系統(tǒng)級需求模塊之一，功能需求確定了系統(tǒng)要執(zhí)行的安全功能、各安全功能的保護參數(shù)，以及需觸發(fā)的設備控制功能等。

系統(tǒng)功能需求在系統(tǒng)需求分析階段完成，在系統(tǒng)設計階段，系統(tǒng)功能需求需進一步分解和細化。系統(tǒng)功能需求來源于核電廠的事故分析，對安全功能提出了總體需求，但并未用于實現(xiàn)該功能的詳細的需求信息，因而僅通過系統(tǒng)功能需求難以實現(xiàn)所要求的安全功能。對于某些詳細的需求必須提供給可編程邏輯工程師來通過可編程邏輯實現(xiàn)這些安全功能，如某個功能所需的輸入輸出信號或輸入輸出數(shù)據(jù)、輸入信號或數(shù)據(jù)要經(jīng)過哪些邏輯、安全功能邏輯之間有哪些聯(lián)鎖邏輯、有哪些運行旁通和維護旁通功能、定期測試時注入哪些信號、安全和非安全顯示的數(shù)據(jù)等。這些詳細需求需通過對第2層系統(tǒng)需求的仔細分析和檢查才能得到。

如上所述，在系統(tǒng)設計階段需基于第2層的系統(tǒng)需求建立系統(tǒng)詳細的功能需求，詳細的功能需求將提供詳細的需求信息，如輸入信號處理算法、阻止邏輯、復位邏輯、符合邏輯、觸發(fā)邏輯、重要的數(shù)據(jù)和信息等，這些詳細需求可追溯到第2層系統(tǒng)需求。

詳細的系統(tǒng)功能需求分析并不容易，在這項工作中有如下困難和挑戰(zhàn)：

1) 系統(tǒng)功能需求需分解到怎樣的詳細程度，詳細的功能需求應采用哪種表達方式，自然語言的方式還是圖示的方式；

2) 如何保證由第2層系統(tǒng)需求分解細化得到的詳細功能需求的正確性和完整性。

3 結(jié)論

國核自儀系統(tǒng)工程有限公司和洛克希德馬丁公司正在合作開發(fā)基于NuPAC平臺的大型先進壓水堆核電站反應堆保護系統(tǒng)。NuPAC是基于FPGA技術(shù)的新一代安全系統(tǒng)平臺，其呈現(xiàn)了不同于傳統(tǒng)的數(shù)字系統(tǒng)集中式結(jié)構(gòu)的分布式系統(tǒng)結(jié)構(gòu)。

NuPAC平臺的分布式系統(tǒng)結(jié)構(gòu)可簡化系統(tǒng)設計，提升了系統(tǒng)獨立性和多樣性，同時FPGA技術(shù)的應用也提升了系統(tǒng)關(guān)鍵特性。

需求分析是反應堆保護系統(tǒng)設計開發(fā)過程中的重要工作之一。正確、完整的詳細系統(tǒng)功能需求是下一階段可編程邏輯開發(fā)和驗證的必要條件。目前該項工作正在進行中，通過對系統(tǒng)需求的詳細分析，必將形成一套用于可編程邏輯開發(fā)的詳細的系統(tǒng)功能需求。

參考文獻：

[1] FINK B, KILLIAN C, NGUYEN T, et al. Guidelines on the use of field programmable gate arrays (FPGAs) in nuclear power plant I&C system, EPRI TR 1019181[R]. USA: Electric Power Research Institute, 2009.

[2] IEEE. IEEE 603 Safety systems for nuclear power generating stations[S]. USA: IEEE, 1991.

[3] ZENG Hai, SIEDLARCZYK I. The key characteristics and architecture of new generation FPGA based reactor protection system for nuclear power plant[C]∥Proceedings of the 8thInternational Topical Meeting on Nuclear Plant Instrumentation, Control and Human Machine Interface Technologies. USA: [s.n.], 2012.