徐 智，雷 晴

（中廣核工程設(shè)計(jì)有限公司，上海 200241）

隨著數(shù)字計(jì)算機(jī)技術(shù)的發(fā)展以及在核電廠的大規(guī)模應(yīng)用，儀控系統(tǒng)的高度復(fù)雜性問(wèn)題愈發(fā)重要。尤其是由于無(wú)法完全避免核電廠數(shù)字化儀控系統(tǒng)的軟件共模故障（CCF），使得在PMS系統(tǒng)的開(kāi)發(fā)時(shí)不得不采用如多樣性等方式來(lái)應(yīng)對(duì)，而這又增加了實(shí)施及取證的難度[1]。

先進(jìn)邏輯系統(tǒng)（ALS）是一種可用于安全級(jí)系統(tǒng)的控制平臺(tái)，由CSI公司于2004年在為Wolf Creek核電廠替換升級(jí)老舊保護(hù)系統(tǒng)的工程中開(kāi)發(fā)完成。它是一種具有高可靠性和完整性的通用平臺(tái)，是一種基于“硬”邏輯的平臺(tái)。該平臺(tái)采用基于FPGA的簡(jiǎn)單硬件架構(gòu)來(lái)實(shí)現(xiàn)主要的控制功能，系統(tǒng)的運(yùn)行不依賴(lài)微處理器或軟件[2]。美國(guó)西屋公司在收購(gòu)CSI公司后進(jìn)行了大量的取證申請(qǐng)工作，并于2013年9月獲得NRC的最終安全報(bào)告。該平臺(tái)被NRC認(rèn)可為可用于解決數(shù)字化安全系統(tǒng)的多樣性和縱深防御的問(wèn)題，可以定制、裁剪適應(yīng)替換或開(kāi)發(fā)為全新的安全系統(tǒng)[3]。

本文基于該平臺(tái)的特性及保護(hù)與監(jiān)測(cè)系統(tǒng)（PMS）的典型功能需求，設(shè)計(jì)了一種全新的、基于ALS平臺(tái)的保護(hù)與監(jiān)測(cè)系統(tǒng)總體架構(gòu)，并基于NRC的數(shù)字儀控中期審查指南DI&C-ISG-04的要求，分析了該設(shè)計(jì)對(duì)安全系統(tǒng)數(shù)據(jù)通信的獨(dú)立性和隔離要求的一致性。

1 ALS平臺(tái)

美國(guó)Wolf Creek核電廠由于其主蒸汽及給水控制系統(tǒng)的可靠性及老化過(guò)時(shí)等原因，在2003年決定更換該部分安全相關(guān)的I&C系統(tǒng)。由于當(dāng)時(shí)市場(chǎng)上沒(méi)有適合的解決方案，Wolf Creek核電廠與CSI公司合作，開(kāi)發(fā)了一種可以替換該系統(tǒng)的基于FPGA技術(shù)的新方案，并獲得了NRC的批準(zhǔn)。在此基礎(chǔ)上，CSI公司推出了ALS平臺(tái)作為一種通用的安全級(jí)平臺(tái)，可以通過(guò)定制、裁剪進(jìn)行老舊安全系統(tǒng)的替換或開(kāi)發(fā)為全新的安全系統(tǒng)。

ALS平臺(tái)主要由一個(gè)或多個(gè)ALS機(jī)箱及外圍設(shè)備組成。其中每個(gè)機(jī)箱最多可插入10塊卡件，但根據(jù)不同的應(yīng)用要求，通過(guò)擴(kuò)展總線(xiàn)，整個(gè)平臺(tái)最多可連接6個(gè)機(jī)箱、60塊卡件[3]。在最大配置下，每個(gè)系統(tǒng)幀的最大速度為 10 ms[2]。ALS 機(jī)箱采用工業(yè)標(biāo)準(zhǔn)的19英寸機(jī)箱，可方便地安裝于業(yè)界常用的19英寸機(jī)柜支架上。外圍設(shè)備包括機(jī)柜、電源、控制盤(pán)、組件盤(pán)、以及維護(hù)站ASU（ALS service unit）等，其中的組件盤(pán)用于連接現(xiàn)場(chǎng)信號(hào)、保險(xiǎn)絲、開(kāi)關(guān)以及其他專(zhuān)用的硬件等。ALS平臺(tái)核心機(jī)箱的典型架構(gòu)如圖 1所示[4]。

圖1 ALS機(jī)箱架構(gòu)圖Fig.1 ALS chassis architecture block diagram

圖1中的主要卡件有核心邏輯卡件ALS-102、輸入卡件 ALS-302、ALS-311、ALS-321、 輸出卡件ALS-402、ALS-421及通信卡件ALS-601。應(yīng)用相關(guān)的邏輯電路存在于ALS-102卡件，它們控制著系統(tǒng)的運(yùn)行，如向輸入卡件發(fā)送指令獲取所需現(xiàn)場(chǎng)信號(hào)，在對(duì)這些信號(hào)進(jìn)行處理后做出邏輯運(yùn)算，并向輸出卡件發(fā)出控制指令，可用于驅(qū)動(dòng)現(xiàn)場(chǎng)設(shè)備。同時(shí)該卡件還可通過(guò)ALS-601與機(jī)箱外設(shè)備進(jìn)行數(shù)據(jù)通信，此外該卡件配置有6個(gè)繼電器觸點(diǎn)輸入以及4個(gè)固態(tài)繼電器輸出的I/O，可用于系統(tǒng)復(fù)位、報(bào)警指示輸出及報(bào)警清除等。

輸入卡件負(fù)責(zé)現(xiàn)場(chǎng)信號(hào)采樣、信號(hào)調(diào)理、濾波及A/D轉(zhuǎn)換等功能。每種輸入卡件專(zhuān)用于特定的輸入類(lèi)型，比如ALS-302用于48 V觸點(diǎn)輸入，ALS-311用于熱電阻模擬量輸入或熱電偶模擬量輸入，ALS-321用于模擬的電流/電壓輸入。這些輸入通道具有自測(cè)試功能，可以連續(xù)檢測(cè)關(guān)鍵部件的運(yùn)行狀態(tài)。通過(guò)隔離器確保通道和ALS邏輯之間的高度隔離。卡件上的瞬態(tài)抑制二極管，可提高輸入通道對(duì)靜電和浪涌的防護(hù)能力。所有輸入卡件面板上均有LED，可以指示輸入信號(hào)的狀態(tài)。單個(gè)輸入卡件可以提供數(shù)量多達(dá)32個(gè)輸入通道。ALS機(jī)箱可根據(jù)特定應(yīng)用的要求配置多塊輸入卡件。

輸出卡件用于控制執(zhí)行機(jī)構(gòu)、指示器、繼電器及現(xiàn)場(chǎng)驅(qū)動(dòng)設(shè)備。每種輸入卡件專(zhuān)用于特定的輸入類(lèi)型，比如ALS-402用于48 V數(shù)字量輸出等，而ALS-421用于模擬電壓/電流輸出。ALS輸出卡件的輸出通道均隔離，且包含自測(cè)試功能，冗余配置及其他專(zhuān)門(mén)的測(cè)試功能可確保通道的可運(yùn)行性。輸出通道也具有抗靜電和浪涌防護(hù)能力。所有卡件面板均有LED，可指示每個(gè)輸出信號(hào)的狀態(tài)。單個(gè)輸出卡件可以提供數(shù)量多達(dá)16個(gè)輸入通道。ALS機(jī)箱可根據(jù)特定應(yīng)用的要求配置多塊輸出卡件。

ALS-601配有可以配置的、相互獨(dú)立及隔離的串口通信通道，共8路。支持進(jìn)行點(diǎn)對(duì)點(diǎn)的差分信號(hào)通信，能提供與外部其他機(jī)箱可靠的通信。

ALS平臺(tái)的通信總線(xiàn)架構(gòu)具有先進(jìn)的故障檢測(cè)及緩解功能，不但可提供可靠的通信，還可以檢測(cè)并處理通信鏈接的故障部件，這是基于2種相互隔離和獨(dú)立的串口通信數(shù)據(jù)總線(xiàn)RAB和TAB。RAB用于系統(tǒng)正常運(yùn)行時(shí)各功能卡件與邏輯核心卡件ALS-102之間的關(guān)鍵數(shù)據(jù)傳輸；TAB用于獲取完整性及診斷數(shù)據(jù)，并可執(zhí)行測(cè)試和校準(zhǔn)。冗余配置的RAB總線(xiàn)保證當(dāng)其中一條總線(xiàn)故障時(shí)，系統(tǒng)可以不受影響的繼續(xù)運(yùn)行。RAB總線(xiàn)只用于傳輸卡件間的輸入數(shù)據(jù)和輸出數(shù)據(jù)等重要數(shù)據(jù)。RAB采用主從架構(gòu)，由核心邏輯卡件作為主節(jié)點(diǎn)控制整個(gè)通信。TAB總線(xiàn)用于非控制相關(guān)的數(shù)據(jù)，如診斷信息、配置信息、校驗(yàn)和測(cè)試數(shù)據(jù)，TAB也采用主從架構(gòu)，由按需連接的維護(hù)站作為核心節(jié)點(diǎn)，控制TAB通信。由于這2類(lèi)總線(xiàn)相互獨(dú)立且隔離，TAB并不會(huì)干擾RAB的正常運(yùn)行。

文獻(xiàn)[3]就ALS平臺(tái)數(shù)據(jù)通信的獨(dú)立性和隔離要求的一致性進(jìn)行了評(píng)估，并得出肯定的結(jié)論。但同時(shí)也指出，在應(yīng)用ALS平臺(tái)開(kāi)發(fā)安全系統(tǒng)時(shí)，必須就系統(tǒng)整體，包括ALS-102、TAB及ALS-601，按照DI&C-ISG-04的要求進(jìn)行評(píng)估。本文在保護(hù)與監(jiān)測(cè)系統(tǒng)典型功能需求的基礎(chǔ)上，設(shè)計(jì)了全新的、基于ALS平臺(tái)的安全系統(tǒng)整體架構(gòu)，并對(duì)該設(shè)計(jì)與DI&C-ISG-04的一致性進(jìn)行研究。

2 保護(hù)與監(jiān)測(cè)系統(tǒng)的典型功能需求

核電廠的基本安全功能為反應(yīng)性控制、余熱排出、包容放射性物質(zhì)和控制運(yùn)行排放以及核電廠重要的狀態(tài)監(jiān)測(cè)等，即反應(yīng)堆功率必須可控、可靠的將裂變鏈?zhǔn)椒磻?yīng)中止后的余熱排出，包括反應(yīng)堆內(nèi)顯熱和核素的衰變熱，使核燃料能得到有效冷卻以及限制事故釋放，設(shè)置必要的"屏障"包容放射性物質(zhì)，以確保按國(guó)家相應(yīng)的標(biāo)準(zhǔn)進(jìn)行放射性物質(zhì)的可控排放[5]。具體來(lái)說(shuō)，就是要保護(hù)燃料包殼、一回路壓力邊界以及安全殼這3大核安全屏障的完整性，當(dāng)核電廠參數(shù)達(dá)到危害這些屏障完整性程度時(shí)，應(yīng)緊急停閉反應(yīng)堆，必要時(shí)能啟動(dòng)專(zhuān)設(shè)安全設(shè)施，在事故后能夠提供必要的信息來(lái)評(píng)估和監(jiān)控核電廠的狀態(tài)[6]。

NRC的GDC給出了核電廠的總體設(shè)計(jì)準(zhǔn)則，其中的13、18～29條給出對(duì)保護(hù)與監(jiān)測(cè)系統(tǒng)密切相關(guān)的上層設(shè)計(jì)要求，如GDC 13條給出儀控系統(tǒng)的總體要求、GDC 20條給出安全系統(tǒng)的總體功能要求等[7]。無(wú)論是基于模擬技術(shù)、數(shù)字技術(shù)還是混合技術(shù)的保護(hù)與監(jiān)測(cè)系統(tǒng)均應(yīng)滿(mǎn)足表1的這些要求。

表1 保護(hù)與監(jiān)測(cè)系統(tǒng)的主要要求Tab.1 Key requirements of PMS

3 基于ALS的PMS總體架構(gòu)

核電廠儀表和控制（I&C）系統(tǒng)應(yīng)為核電廠所有正常運(yùn)行以及異常、應(yīng)急和事故工況提供各類(lèi)控制、保護(hù)手段及監(jiān)測(cè)信息，以保證核電廠能安全、可靠和經(jīng)濟(jì)地運(yùn)行。采用集散控制系統(tǒng)和先進(jìn)控制室，圍繞安全性和可用性2個(gè)目標(biāo)進(jìn)行設(shè)計(jì)和建造已經(jīng)成為趨勢(shì)[8]。I&C系統(tǒng)常采用一體化的設(shè)計(jì)方法，即核島和常規(guī)島建立統(tǒng)一的DCS平臺(tái)，并提供一致和有效的接口。在主控制室內(nèi)，由非安全級(jí)DCS平臺(tái)驅(qū)動(dòng)的操縱員工作站實(shí)現(xiàn)對(duì)全廠設(shè)備的監(jiān)視和控制。安全級(jí)平板顯示器對(duì)安全級(jí)設(shè)備進(jìn)行顯示和控制；如非lE級(jí)工作站和lE級(jí)平板顯示器全部失效時(shí)，則通過(guò)專(zhuān)用安全盤(pán)上的lE級(jí)硬接線(xiàn)的系統(tǒng)級(jí)控制開(kāi)關(guān)進(jìn)行安全停堆或驅(qū)動(dòng)專(zhuān)設(shè)安全設(shè)施，使電廠維持在安全狀態(tài)。在主控制室總體失效不可居留時(shí)，可在遠(yuǎn)距離停堆室通過(guò)非安全級(jí)平臺(tái)驅(qū)動(dòng)的工作站和硬接線(xiàn)的控制開(kāi)關(guān)等進(jìn)行緊急停堆并將電廠維持在安全停堆狀態(tài)[9]。在工程上采用成熟的和先進(jìn)的數(shù)字化技術(shù)，以提高可利用率、可維護(hù)性和可操作性，增加設(shè)計(jì)的靈活性，盡可能采用同一供應(yīng)商，并減少備品備件的品種和數(shù)量和潛在的接口問(wèn)題。本文以文獻(xiàn)[5，9]描述的方案為基準(zhǔn)，結(jié)合ALS平臺(tái)的功能及其在Wolf Creek、Diablo Canyon等核電廠安全系統(tǒng)部分替換工程中的實(shí)踐[10-11]，設(shè)計(jì)了一種可替代文獻(xiàn)[5，9]中儀控總體結(jié)構(gòu)的方案，同時(shí)不考慮非安全級(jí)DCS平臺(tái)的變更，而著重考慮安全級(jí)平臺(tái)Common Q的替代方案。為簡(jiǎn)化起見(jiàn)，本文只簡(jiǎn)要給出PMS設(shè)計(jì)方案與非安全平臺(tái)的接口。為滿(mǎn)足表1要求，PMS總體上采用獨(dú)立、隔離、冗余的4序列設(shè)計(jì)。單序列的總體架構(gòu)如圖2所示。單序列的冗余方案如圖3所示。

圖2 基于ALS平臺(tái)的PMS單序列架構(gòu)圖Fig.2 PMS one-division detail based on ALS platform

圖3 基于ALS平臺(tái)的PMS單序列冗余詳圖Fig.3 ALS platform based PMS division redundancy diagram

BPL用來(lái)采集來(lái)自現(xiàn)場(chǎng)傳感器和NIS的信號(hào)用于執(zhí)行保護(hù)功能計(jì)算。計(jì)算的結(jié)果用于驅(qū)動(dòng)RT和ESF符合邏輯相應(yīng)的局部觸發(fā)；LCL進(jìn)行符合邏輯表決，觸發(fā)和驅(qū)動(dòng)局部RT和ESF驅(qū)動(dòng)；ILP通過(guò)ALS-601接收系統(tǒng)級(jí)ESF驅(qū)動(dòng)命令、通過(guò)ALS-601接收來(lái)自SD的設(shè)備級(jí)手動(dòng)控制命令 （具有嚴(yán)重后果的設(shè)備）、通過(guò)SRNC與CIM通信，非安全級(jí)的設(shè)備級(jí)手動(dòng)控制 （具有非嚴(yán)重后果的設(shè)備）通過(guò)PLS隔離后直接送往CIM；ICP發(fā)送數(shù)據(jù)到其它3個(gè)序列，并接收來(lái)自其它3個(gè)序列的數(shù)據(jù)，也提供與非安全系統(tǒng)的隔離接口；MTP提供安全系統(tǒng)的人機(jī)接口，用于維護(hù)和試驗(yàn)功能；具有非嚴(yán)重后果的安全系統(tǒng)設(shè)備的手動(dòng)控制通過(guò)非安全系統(tǒng)工作站實(shí)現(xiàn)，具有嚴(yán)重后果的安全系統(tǒng)設(shè)備的手動(dòng)控制通過(guò)安全顯示器實(shí)現(xiàn)，在每個(gè)CIM上具有就地的設(shè)備控制，這些信號(hào)的優(yōu)選功能由CIM實(shí)現(xiàn)；QDPS主要用于處理RG1.97要求的1E級(jí)變量等。

本設(shè)計(jì)已經(jīng)考慮了表1的要求，且最大程度的利用已經(jīng)通過(guò)認(rèn)證的設(shè)備。如ASU可以和經(jīng)過(guò)認(rèn)證的PC Node Box及平板顯示器合二為一，作為在主控制室內(nèi)的安全級(jí)顯示，這樣可顯著減少認(rèn)證的難度。但對(duì)只用于維護(hù)的ASU，設(shè)備分級(jí)可考慮定為非安全級(jí)，該ASU通過(guò)TAB總線(xiàn)通信。按需連接的方式可以最大程度減小對(duì)安全級(jí)系統(tǒng)的影響。

由于ALS平臺(tái)無(wú)優(yōu)先級(jí)卡件，因此采用已經(jīng)認(rèn)證的 CIM、SRNC以及 RNC模塊來(lái)實(shí)現(xiàn)優(yōu)選功能。重要設(shè)備的狀態(tài)反饋信息通過(guò)CIM、ALS-601、RAB 等 傳輸。這些模塊原本就是CSI開(kāi)發(fā)的基于FPGA技術(shù)的模塊，信號(hào)的連接比較直接方便，可最大程度減少新設(shè)計(jì)的任務(wù)量。

為了提高應(yīng)對(duì)CCF的能力，基于ALS平臺(tái)固有的多樣性特征，所有機(jī)箱的FPGA卡件均采用多樣雙核（core diversity），對(duì)于圖3中的機(jī)柜/機(jī)箱卡件采用額外的內(nèi)置式多樣性設(shè)計(jì)（embedded design diversity），如 BCC-A1 與 BCC-A2，LCL-A1 與 LCLA2，ILC-A1的 ILP-A1-1與 ILC-A1的 ILP-A1-2以及ILC-A2的ILP-A1-1與ILC-A1的ILP-A1-2均采用了內(nèi)置式多樣性設(shè)計(jì)。

由于維護(hù)用ASU設(shè)計(jì)為按需連接，而ALS-102設(shè)有TXB端口，因此送至非安全級(jí)DDS系統(tǒng)網(wǎng)絡(luò)的信號(hào)設(shè)計(jì)為不通過(guò)專(zhuān)用網(wǎng)關(guān)，而是隔離后通過(guò)每個(gè)機(jī)箱的ALS-102的端口TXB2單向發(fā)送。

由于ALS認(rèn)證的平臺(tái)并不包括脈沖輸入模塊，以此必須重新設(shè)計(jì)脈沖輸入模塊，或者增加將其轉(zhuǎn)換為模擬電壓/電流的模塊。也可對(duì)傳感器輸出類(lèi)型作出要求，簡(jiǎn)化PMS的開(kāi)發(fā)難度。送至系統(tǒng)外的其他信號(hào)可以通過(guò)ALS-402、ALS-421卡件經(jīng)隔離后輸出。ADS驅(qū)動(dòng)閉鎖不考慮改變。

圖2的架構(gòu)設(shè)計(jì)考慮了文獻(xiàn)[5，9]所有的信號(hào)接口。但文獻(xiàn)[3]4.2節(jié)明確要求，對(duì)采用ALS平臺(tái)搭建的系統(tǒng)必須依照DI&C-ISG-04對(duì)具體的ALS-102、TAB、ALS-601等數(shù)字通信功能進(jìn)行評(píng)估。

4 數(shù)據(jù)通信的獨(dú)立性和隔離要求分析

雖然DI&C-ISG-04論述的3部分，序列間通信、命令優(yōu)先級(jí)、多序列控制與顯示站，是對(duì)基于微處理器安全系統(tǒng)的評(píng)估，但NRC認(rèn)為其也可用于非處理器系統(tǒng)適用部分的評(píng)估。本文僅分析SER4.2節(jié)要求的[3]、針對(duì)具體設(shè)計(jì)必須進(jìn)行的評(píng)估，而不描述平臺(tái)本身的、SER中已經(jīng)完成的評(píng)估。

4.1 序列間通信分析

（1）本設(shè)計(jì)不采用多序列共用的維護(hù)站，且各序列內(nèi)各機(jī)箱的TAB與該序列ASU單獨(dú)的接口連接，因此TAB接口滿(mǎn)足獨(dú)立性的要求。

本設(shè)計(jì)采用來(lái)自其他序列的BPL觸發(fā)信號(hào)作為2oo4邏輯的輸入，但2oo4邏輯的功能并不依賴(lài)于其他序列的輸出信號(hào)。只有其他序列的信號(hào)判斷為有效時(shí)才參與表決。如果由于其他序列信號(hào)故障或ALS-601等傳輸故障發(fā)生，有效數(shù)據(jù)少于表決器所需的最少輸入時(shí)，系統(tǒng)會(huì)進(jìn)入預(yù)置的輸出狀態(tài)。這些功能可通過(guò)ALS-102邏輯來(lái)實(shí)現(xiàn)。

（2）本設(shè)計(jì)不采用多序列共用的控制站，但通過(guò)ALS-601配置單向接收通道從其他序列接收安全信號(hào)。ALS-601是安全級(jí)卡件，通過(guò)使用CRC校驗(yàn)、連續(xù)監(jiān)控通信等手段保證不受其他輸入的負(fù)面影響。安全功能不依賴(lài)于PC Node Box及安全級(jí)平板顯示器。如第（1）所述，ALS-601的通信故障不影響安全功能。ALS-102的單向TXB輸出通道與非安全級(jí)的SOE及DDS連接。隔離、單向的發(fā)送通道保證安全系統(tǒng)不受外部的影響。BPL、LCL、ILP等的多樣雙核和多樣性設(shè)計(jì)提高了抵御錯(cuò)誤、執(zhí)行安全功能的能力。

本設(shè)計(jì)1E級(jí)PC Node Box及安全級(jí)平板顯示器獲取其他序列信息的通路如圖4所示。

圖4 序列間信息通路Fig.4 Cross divisional data flow

本設(shè)計(jì)中除了各信號(hào)至本序列的ICP采用電纜連接外，其他信號(hào)均采用單向光纜連接。這樣的連接保證外部信號(hào)的獲取，隔離、單向的通道保證BPL、LCL、ILC等安全系統(tǒng)不受外部的影響。

（3）本設(shè)計(jì)通過(guò)ALS-102的TXB1端口單向發(fā)送信息至非安全級(jí)SOE，采用TXB2端口單向發(fā)送信息至非安全級(jí)DDS。每個(gè)序列內(nèi)每個(gè)機(jī)箱，不包括擴(kuò)展機(jī)箱，通過(guò)雙向TAB與ASU通信。安全級(jí)PC Node Box及安全級(jí)平板顯示器通過(guò)本序列各機(jī)箱的ALS-601進(jìn)行通信，不包括擴(kuò)展機(jī)箱。同時(shí)ALS-601從其他序列接收局部觸發(fā)信號(hào)進(jìn)行表決，但由于基于FPGA技術(shù)和微處理器技術(shù)的不同，存儲(chǔ)器及處理器的資源不是共享的，因此這種通信不會(huì)顯著的增加錯(cuò)誤和復(fù)雜性。

（4）本設(shè)計(jì)只采用通過(guò)認(rèn)證的 TXB、TAB、RAB及ALS-601通信。本設(shè)計(jì)停堆功能最長(zhǎng)的時(shí)間延遲途徑為最大的輸入卡件信號(hào)處理延遲、最大的輸入卡件訪(fǎng)問(wèn)周期延遲、RAB最大讀取數(shù)據(jù)處理延遲、最大的1號(hào)ALS-102卡件處理邏輯延遲、最大的1號(hào)ALS-601卡件訪(fǎng)問(wèn)周期延遲、RAB最大發(fā)送處理延遲、最大的1號(hào)ALS-601處理邏輯延遲、1號(hào)ALS-601到開(kāi)始發(fā)送相關(guān)數(shù)據(jù)的最大發(fā)送延遲、最大的數(shù)據(jù)傳輸持續(xù)時(shí)間、最大的2號(hào)ALS-601接收處理延遲、最大的2號(hào)ALS-601訪(fǎng)問(wèn)周期延遲、RAB接收最大處理延遲、最大的2號(hào)ALS-102卡處理邏輯延遲、最大的輸出卡件訪(fǎng)問(wèn)周期延遲、最大RAB傳輸延遲、最大的輸出卡件輸出延遲。雖然具體的各卡件的通信延遲時(shí)間指標(biāo)沒(méi)有公布，但基于類(lèi)似架構(gòu)的經(jīng)驗(yàn)以及FPGA并行處理特性，可以推斷時(shí)間延遲應(yīng)小于其他方案。

（5）通過(guò)ALS-102的邏輯定義最大可接受的時(shí)間延遲，當(dāng)延遲過(guò)大時(shí)產(chǎn)生報(bào)警，并通過(guò)ALS-601送至安全級(jí)顯示器，同時(shí)通過(guò)TXB2送至DDS，提醒操縱員采取必要的措施。

（6）通過(guò)ALS-102的邏輯定義由字節(jié)模式（Byte Mode）或分組模式（Packet Mode）周期性傳輸?shù)念A(yù)先定義的信息，同時(shí)在使用數(shù)據(jù)之前會(huì)驗(yàn)證數(shù)據(jù)的有效性。ALS-601也根據(jù)ALS-102所設(shè)定的格式進(jìn)行數(shù)據(jù)的發(fā)或收。本設(shè)計(jì)不采用TXB向其他冗余安全序列傳輸信號(hào)，且其只能單向發(fā)送，因此不需要滿(mǎn)足第（6）的要求。

（7）本設(shè)計(jì)序列間通信均通過(guò)ALS-601，這些隔離的1E信號(hào)加上第（1）、第（6）點(diǎn)的特性保證序列間的負(fù)面影響最小。設(shè)計(jì)不采用TXB向其他冗余安全序列傳輸信號(hào)，且其只能單向發(fā)送，可不滿(mǎn)足第（7）的要求。且其隔離的、單向發(fā)送的與非安全系統(tǒng)的通信對(duì)安全系統(tǒng)無(wú)影響。設(shè)備的手動(dòng)軟控制在PLS中產(chǎn)生。非安全系統(tǒng)到安全系統(tǒng)的數(shù)據(jù)流不采用通信鏈路實(shí)現(xiàn)，而是使用開(kāi)關(guān)信號(hào)來(lái)實(shí)現(xiàn)。本設(shè)計(jì)采用非安全系統(tǒng)的遠(yuǎn)距離I/O發(fā)送信號(hào)到安全系統(tǒng)。遠(yuǎn)距離I/O節(jié)點(diǎn)與一個(gè)或多個(gè)1E級(jí)設(shè)備接口模件（CIM）相連接。非安全系統(tǒng)的命令也可經(jīng)CIM中基于FPGA的優(yōu)選邏輯處理后輸出相應(yīng)的數(shù)字量信號(hào)。如果來(lái)自非安全級(jí)信號(hào)和來(lái)自PMS子系統(tǒng)的1E級(jí)自動(dòng)、手動(dòng)驅(qū)動(dòng)信號(hào)的控制命令發(fā)生矛盾，系統(tǒng)預(yù)定的安全狀態(tài)優(yōu)先。CIM模件內(nèi)部還包含了等效于數(shù)字量輸入模件的部分，用來(lái)讀取設(shè)備狀態(tài)和CIM的內(nèi)部狀態(tài)。CIM上的從非安全系統(tǒng)到安全系統(tǒng)的控制命令，以及從安全系統(tǒng)到非安全系統(tǒng)的狀態(tài)信號(hào)，這兩種數(shù)據(jù)流不通過(guò)通信鏈路實(shí)現(xiàn)，而是采用簡(jiǎn)單的數(shù)字量信號(hào)來(lái)實(shí)現(xiàn)。通信功能和1E級(jí)優(yōu)選邏輯之間簡(jiǎn)單離散信號(hào)接口能保證只有滿(mǎn)足邏輯的數(shù)據(jù)，才是真正需要的控制命令。CIM中的優(yōu)選邏輯，是通過(guò)實(shí)施基于安全狀態(tài)優(yōu)先和僅實(shí)施在PMS功能設(shè)計(jì)中已規(guī)定的功能實(shí)現(xiàn)功能隔離。

（8）本設(shè)計(jì)采用ALS平臺(tái)對(duì)通過(guò)TAB總線(xiàn)連接ALS維護(hù)站的要求，如通過(guò)MCR的開(kāi)關(guān)按需連接、提供接入報(bào)警，且僅能對(duì)預(yù)先設(shè)定的某些參數(shù)按規(guī)定要求進(jìn)行維護(hù)、不能修改FPGA本身、不進(jìn)行序列間交叉操作等，保證維護(hù)站不會(huì)影響正在運(yùn)行的安全序列的功能。

MCR的安全顯示站不提供ALS維護(hù)站的相應(yīng)操作，該站與其他站的數(shù)據(jù)交換通過(guò)ALS-601實(shí)現(xiàn)，但其與ALS維護(hù)站的通信是通過(guò)TAB的“從”站進(jìn)行。

（9）本設(shè)計(jì)的ALS維護(hù)站是通過(guò)MCR的開(kāi)關(guān)按需連接的，并提供接入報(bào)警，除了規(guī)定的某些參數(shù)可以按規(guī)定要求進(jìn)行維護(hù)外，不能在線(xiàn)修改FPGA內(nèi)容。

（10）本設(shè)計(jì)的ALS維護(hù)站是通過(guò)MCR的開(kāi)關(guān)按需連接的，并提供接入報(bào)警。在MCR中的這些開(kāi)關(guān)、顯示等采用1E級(jí)部件，且所有機(jī)箱的TAB總線(xiàn)和ALS維護(hù)站之間的信號(hào)經(jīng)過(guò)隔離后連接。

序列內(nèi)的ALS-601之間的配對(duì)連接不進(jìn)行隔離，送至本序列的輸出采用1-N的扇出，序列間的輸出采用1-6的隔離扇出。序列內(nèi)的接收采用N個(gè)配置成為單向接收的端口，采用6個(gè)配置成為單向接收端口接收外序列隔離信號(hào)。各機(jī)箱按需采用多個(gè)ALS-601卡件來(lái)獲取足夠的端口。由于各機(jī)箱內(nèi)ALS-601并行處理結(jié)構(gòu)，多卡不明顯影響系統(tǒng)的時(shí)間響應(yīng)。

本設(shè)計(jì)不采用序列間共用的顯示與控制站。以此序列間的通信不會(huì)影響所需的安全功能。

（11）本設(shè)計(jì)采用ALS-601來(lái)傳輸序列內(nèi)、序列間的觸發(fā)信號(hào)。點(diǎn)對(duì)點(diǎn)的UART通信協(xié)議、校驗(yàn)位以及CRC校驗(yàn)保證了數(shù)據(jù)的正確性及有效性。這些傳輸是按固定的間隔進(jìn)行，因此可以監(jiān)測(cè)出信號(hào)的時(shí)間提早、延遲特性，必要時(shí)可以進(jìn)入預(yù)定的故障狀態(tài)。系列間的信號(hào)采用隔離的輸出/輸入，進(jìn)一步保證了序列間通信的有效性。

（12）本設(shè)計(jì)采用ALS-601來(lái)傳輸序列間的觸發(fā)信號(hào)。傳輸線(xiàn)路采用點(diǎn)對(duì)點(diǎn)的配對(duì)傳輸，即一端為單向發(fā)送，另一端為單向接收，中間無(wú)其他節(jié)點(diǎn)，保證了關(guān)鍵數(shù)據(jù)序列間的傳輸。

（13）本設(shè)計(jì)采用ALS-601按固定的周期來(lái)傳輸序列間的觸發(fā)信號(hào)，無(wú)論數(shù)據(jù)是否發(fā)生變化均按照預(yù)定的格式及頻度周期傳輸。

（14）本設(shè)計(jì)采用ALS-601按固定的周期以點(diǎn)對(duì)點(diǎn)方式來(lái)傳輸序列間的觸發(fā)信號(hào)，且只有重要的信號(hào)才通過(guò)ALS-601傳輸。這樣的架構(gòu)使得能夠保證關(guān)鍵數(shù)據(jù)的實(shí)時(shí)、有效和連通性。

（15）作為文獻(xiàn)[5，9]的替代方案，本設(shè)計(jì)只要求系統(tǒng)能滿(mǎn)足在相應(yīng)的和緩環(huán)境下[12]工作即可。序列間的連接均采用光纜，序列內(nèi)近距離的安全級(jí)信號(hào)的連接采用電纜，和MCR中的PC Node Box的連接均采用光纜，無(wú)論傳輸介質(zhì)是電纜還是光纜，均通過(guò)鑒定。

（16）本設(shè)計(jì)的數(shù)字通信主要通過(guò)冗余的雙向的 RAB、雙向的 TAB、單向的TXB、可配置的單向ALS-601進(jìn)行。每個(gè)機(jī)箱只有1個(gè)ALS-102作為“主”站控制所有的RAB通信。RAB采用通用異步收發(fā)器（UART）的EIA-485協(xié)議，以固定的周期及格式收發(fā)數(shù)據(jù)。在傳輸失敗后，會(huì)自動(dòng)應(yīng)答并重新傳輸一次。每次傳輸都由ALS-102發(fā)起，到相應(yīng)卡件的響應(yīng)而結(jié)束。因此該通信在任何時(shí)刻，實(shí)質(zhì)上是單向的，數(shù)據(jù)傳輸無(wú)沖突。冗余的RAB提供了額外的查錯(cuò)功能。

TAB除了不是一直處在“激活”的“主”站控制狀態(tài)、不是以固定周期傳輸、不自動(dòng)重新傳輸、不冗余外，與RAB的通信方式基本一致。

本設(shè)計(jì)的2個(gè)單向的TXB分別提供獨(dú)立的、串行、無(wú)握手信號(hào)的、基于EIA-422的URAT通道，來(lái)連續(xù)的向非安全級(jí)系統(tǒng)傳送數(shù)據(jù)。

ALS-601有和上述的TAB、RAB通信的能力，同時(shí)還有8個(gè)可配置成單向“收”或“發(fā)”的端口。當(dāng)某端口配置為“收”時(shí)，從該端口讀取數(shù)據(jù)并進(jìn)行數(shù)據(jù)緩存，通過(guò)奇偶位、校驗(yàn)和等數(shù)據(jù)完整性檢查后，這些有效數(shù)據(jù)可從RAB讀出，反之亦然。

這些措施能有效地進(jìn)行數(shù)據(jù)傳輸。當(dāng)安全重要數(shù)據(jù)傳輸萬(wàn)一失敗后，系統(tǒng)會(huì)進(jìn)入預(yù)定狀態(tài)并報(bào)警。

本設(shè)計(jì)執(zhí)行停堆、專(zhuān)設(shè)的BPL、LCL以及ILP機(jī)箱采用簡(jiǎn)潔架構(gòu)、只配置所需的最少卡件。每個(gè)BPL機(jī)箱配置單個(gè)ALS-601卡件，可以輸出安全功能所需的觸發(fā)/驅(qū)動(dòng)信號(hào)，發(fā)送至序列內(nèi)MCR中PC Node Box、ICP等卡件信息則是通過(guò)該卡件上一個(gè)配置為“發(fā)”的單向端口發(fā)送，并配置一個(gè)單向“收”端口接收來(lái)自MCR的信息，單個(gè)TAB和按需連接的ASU的專(zhuān)門(mén)接口連接。LCL則必須配置2塊ALS-601的卡件，用于接收來(lái)自本序列2個(gè)BPL機(jī)箱的2個(gè)ALS-601的輸出信號(hào)以及其他序列6個(gè)BPL機(jī)箱的6個(gè)ALS-601的輸出信號(hào)。ILP機(jī)箱除了多2個(gè)接收來(lái)自安全信息流程上游的信號(hào) （2個(gè)LCL機(jī)箱的2個(gè)ALS-601的輸出信號(hào)）而配置為單向“收”端口外，和BPL機(jī)箱類(lèi)似。由于MTP/ASU是按需連接的，為了保證定值設(shè)定等的正確，本設(shè)計(jì)要求在技術(shù)規(guī)范書(shū)中規(guī)定其與系統(tǒng)連接的最大斷開(kāi)時(shí)間和頻度，此外MCR的PC Node Box在接收通過(guò)ITP、ICP等來(lái)自其他序列的信息后，應(yīng)根據(jù)需要通過(guò)ALS-601的“發(fā)”端口廣播其中必要的部分信息，如將其他序列的設(shè)備狀態(tài)信息廣播至ILP。這樣的簡(jiǎn)單設(shè)置、連接和管理，使得系統(tǒng)正確執(zhí)行安全功能的能力增加。

（17）本設(shè)計(jì)的TXB端口不用來(lái)傳輸安全重要數(shù)據(jù)，因此可不滿(mǎn)足本要求。

本設(shè)計(jì)的ALS-601用來(lái)傳輸序列間的安全重要數(shù)據(jù)。由于采用的是點(diǎn)對(duì)點(diǎn)方單向傳輸方式，最大的波特率為921600 b/s，但由于最大的幀時(shí)間為10 ms[2]，因此總的數(shù)據(jù)吞吐能力不低于文獻(xiàn)[5，9]的要求。

（18）本設(shè)計(jì)的TXB端口不用來(lái)傳輸安全重要數(shù)據(jù)，因此可不滿(mǎn)足本要求。

本設(shè)計(jì)的ALS-601用來(lái)傳輸安全重要數(shù)據(jù)?？腇PGA僅采用組合邏輯及有限狀態(tài)機(jī)（FSM）。而可預(yù)測(cè)的、確定性的FSM，具有所需的一系列特性，如各個(gè)FSM專(zhuān)用資源、所有狀態(tài)可知、每個(gè)周期只有單一新?tīng)顟B(tài)、對(duì)應(yīng)給定狀態(tài)的輸入，只存在唯一的轉(zhuǎn)換到新?tīng)顟B(tài)，加上周期性的傳輸特性使得通信的確定性得到保證。一般說(shuō)來(lái)，并行的FPGA的響應(yīng)時(shí)間要優(yōu)于基于微處理器的串行系統(tǒng)，詳細(xì)的時(shí)間響應(yīng)將另文闡述。

4.2 命令優(yōu)選

核電廠某些安全設(shè)備的驅(qū)動(dòng)/控制命令來(lái)自于不同的系統(tǒng)，而這些命令存在不一致或矛盾的可能。為了確保設(shè)備能正確地執(zhí)行安全功能，不同安全等級(jí)之間控制命令優(yōu)先權(quán)判斷一般由優(yōu)先邏輯模塊執(zhí)行。無(wú)論是西門(mén)子TXS系統(tǒng)的AV42模塊，還是Common Q平臺(tái)設(shè)計(jì)中的底層邏輯判斷設(shè)備性能都直接影響核電廠的安全性。

由于ALS平臺(tái)沒(méi)有優(yōu)選模塊，以此本設(shè)計(jì)采用CSI公司已經(jīng)通過(guò)安全級(jí)認(rèn)證的CIM模塊來(lái)實(shí)現(xiàn)命令優(yōu)選功能?；贔PGA技術(shù)的CIM模塊已經(jīng)應(yīng)用于文獻(xiàn)[5，9]的系統(tǒng)。其詳細(xì)的功能見(jiàn)第（8）。安全設(shè)備的狀態(tài)信息通過(guò)ILP機(jī)箱的ALS-601模塊向上傳輸。

4.3 多序列的控制與顯示站

本設(shè)計(jì)不采用序列共用的控制與顯示站，而采用單序列獨(dú)立的控制與顯示站，因此可不滿(mǎn)足該要求。序列間數(shù)據(jù)的顯示見(jiàn)圖4所示。

5 結(jié)語(yǔ)

本文以3代加非能動(dòng)核電廠的儀控方案為參考，基于已經(jīng)通過(guò)NRC認(rèn)證的ALS平臺(tái)，結(jié)合ALS平臺(tái)在一些核電廠安全系統(tǒng)部分替代工程的實(shí)踐，設(shè)計(jì)了一種基于ALS平臺(tái)的全新的PMS儀控總體結(jié)構(gòu)方案。根據(jù)ALS平臺(tái)的SER要求，對(duì)該方案數(shù)據(jù)通信的獨(dú)立性和隔離要求的一致性進(jìn)行論證，得出該方案滿(mǎn)足DI&C-ISG-04要求的結(jié)論。

由于目前世界上沒(méi)有將ALS平臺(tái)開(kāi)發(fā)作為PMS的工程實(shí)踐，因此本設(shè)計(jì)是一創(chuàng)新方案，論證方案的可行性需進(jìn)行大量的研究工作。對(duì)其他要求的符合性將另文闡述。應(yīng)該指出的是，由于ALS平臺(tái)具有6機(jī)箱擴(kuò)展能力，因此理論上存在TAB的擴(kuò)展連接功能。如果采用擴(kuò)展連接TAB總線(xiàn)可行，將顯著簡(jiǎn)化設(shè)計(jì)的架構(gòu)。

[1]徐智，雷晴，陳冬雷.CIM和DAS多樣性的定量分析[J].自動(dòng)化儀表，2014，35（S1）：73-76.

[2]秦裕強(qiáng)，曹新民，朱銘煜.基于FPGA的先進(jìn)邏輯系統(tǒng)在核電儀控系統(tǒng)中的應(yīng)用[J].科協(xié)論壇，2013（9）：40-41.

[3]NRC U S.Nuclear Regulatory Commission Safety Evaluation for Topical Report 6002-00301“Advanced Logic System Topical Report”[R].Rock ville：NRC，2013.

[4]Warren Odess-Gillett.Advanced Logic System Topical Report-Nuclear Safety Related[R].CSI，Cranberry Township，PA，2013.

[5]林誠(chéng)格，郁祖盛.非能動(dòng)安全先進(jìn)壓水堆核電技術(shù)[M].北京：原子能出版社，2008：26-29.

[6]廣東核電培訓(xùn)中心.900 MW壓水堆核電站系統(tǒng)與設(shè)備[M].2版.北京：原子能出版社，2007：254-317．

[7]NRC.10CFR50 Appendix A to Part 50—General Design Criteria for Nuclear Power Plants[S].Rockville：NRC，2007.

[8]鄭偉智.集散控制系統(tǒng)在核電站保護(hù)系統(tǒng)中的應(yīng)用[J].核電子學(xué)與探測(cè)技術(shù)，2012，32（4）：438-452.

[9]孫漢虹，程平東，繆鴻興，等.第三代核電技術(shù)AP1000[M].北京：中國(guó)電力出版社，2010：322-412.

[10]NRC.Wolf Creek Nuclear Operating Corporation-amendment to Renewed Facility Operating License[R].NRC，Washington DC，2009.

[11]Diablo Canyon Power Plant.Supplement to License Amendment Request 11-07.Process Protection System Replacement[R].Avila Beach，CA，2013.

[12]Westinghouse LLC.Westinghouse AP1000 Design Control Document[R].Pittsburgh：Westinghouse Electric Company LLC，2012．