基于ALS平臺的PMS數(shù)據(jù)通信設(shè)計分析

徐 智，雷 晴

（中廣核工程設(shè)計有限公司，上海 200241）

隨著數(shù)字計算機(jī)技術(shù)的發(fā)展以及在核電廠的大規(guī)模應(yīng)用，儀控系統(tǒng)的高度復(fù)雜性問題愈發(fā)重要。尤其是由于無法完全避免核電廠數(shù)字化儀控系統(tǒng)的軟件共模故障（CCF），使得在PMS系統(tǒng)的開發(fā)時不得不采用如多樣性等方式來應(yīng)對，而這又增加了實施及取證的難度[1]。

先進(jìn)邏輯系統(tǒng)（ALS）是一種可用于安全級系統(tǒng)的控制平臺，由CSI公司于2004年在為Wolf Creek核電廠替換升級老舊保護(hù)系統(tǒng)的工程中開發(fā)完成。它是一種具有高可靠性和完整性的通用平臺，是一種基于“硬”邏輯的平臺。該平臺采用基于FPGA的簡單硬件架構(gòu)來實現(xiàn)主要的控制功能，系統(tǒng)的運(yùn)行不依賴微處理器或軟件[2]。美國西屋公司在收購CSI公司后進(jìn)行了大量的取證申請工作，并于2013年9月獲得NRC的最終安全報告。該平臺被NRC認(rèn)可為可用于解決數(shù)字化安全系統(tǒng)的多樣性和縱深防御的問題，可以定制、裁剪適應(yīng)替換或開發(fā)為全新的安全系統(tǒng)[3]。

本文基于該平臺的特性及保護(hù)與監(jiān)測系統(tǒng)（PMS）的典型功能需求，設(shè)計了一種全新的、基于ALS平臺的保護(hù)與監(jiān)測系統(tǒng)總體架構(gòu)，并基于NRC的數(shù)字儀控中期審查指南DI&C-ISG-04的要求，分析了該設(shè)計對安全系統(tǒng)數(shù)據(jù)通信的獨(dú)立性和隔離要求的一致性。

1 ALS平臺

美國Wolf Creek核電廠由于其主蒸汽及給水控制系統(tǒng)的可靠性及老化過時等原因，在2003年決定更換該部分安全相關(guān)的I&C系統(tǒng)。由于當(dāng)時市場上沒有適合的解決方案，Wolf Creek核電廠與CSI公司合作，開發(fā)了一種可以替換該系統(tǒng)的基于FPGA技術(shù)的新方案，并獲得了NRC的批準(zhǔn)。在此基礎(chǔ)上，CSI公司推出了ALS平臺作為一種通用的安全級平臺，可以通過定制、裁剪進(jìn)行老舊安全系統(tǒng)的替換或開發(fā)為全新的安全系統(tǒng)。

ALS平臺主要由一個或多個ALS機(jī)箱及外圍設(shè)備組成。其中每個機(jī)箱最多可插入10塊卡件，但根據(jù)不同的應(yīng)用要求，通過擴(kuò)展總線，整個平臺最多可連接6個機(jī)箱、60塊卡件[3]。在最大配置下，每個系統(tǒng)幀的最大速度為 10 ms[2]。ALS 機(jī)箱采用工業(yè)標(biāo)準(zhǔn)的19英寸機(jī)箱，可方便地安裝于業(yè)界常用的19英寸機(jī)柜支架上。外圍設(shè)備包括機(jī)柜、電源、控制盤、組件盤、以及維護(hù)站ASU（ALS service unit）等，其中的組件盤用于連接現(xiàn)場信號、保險絲、開關(guān)以及其他專用的硬件等。ALS平臺核心機(jī)箱的典型架構(gòu)如圖 1所示[4]。

圖1 ALS機(jī)箱架構(gòu)圖Fig.1 ALS chassis architecture block diagram

圖1中的主要卡件有核心邏輯卡件ALS-102、輸入卡件 ALS-302、ALS-311、ALS-321、 輸出卡件ALS-402、ALS-421及通信卡件ALS-601。應(yīng)用相關(guān)的邏輯電路存在于ALS-102卡件，它們控制著系統(tǒng)的運(yùn)行，如向輸入卡件發(fā)送指令獲取所需現(xiàn)場信號，在對這些信號進(jìn)行處理后做出邏輯運(yùn)算，并向輸出卡件發(fā)出控制指令，可用于驅(qū)動現(xiàn)場設(shè)備。同時該卡件還可通過ALS-601與機(jī)箱外設(shè)備進(jìn)行數(shù)據(jù)通信，此外該卡件配置有6個繼電器觸點(diǎn)輸入以及4個固態(tài)繼電器輸出的I/O，可用于系統(tǒng)復(fù)位、報警指示輸出及報警清除等。

輸入卡件負(fù)責(zé)現(xiàn)場信號采樣、信號調(diào)理、濾波及A/D轉(zhuǎn)換等功能。每種輸入卡件專用于特定的輸入類型，比如ALS-302用于48 V觸點(diǎn)輸入，ALS-311用于熱電阻模擬量輸入或熱電偶模擬量輸入，ALS-321用于模擬的電流/電壓輸入。這些輸入通道具有自測試功能，可以連續(xù)檢測關(guān)鍵部件的運(yùn)行狀態(tài)。通過隔離器確保通道和ALS邏輯之間的高度隔離?？系乃矐B(tài)抑制二極管，可提高輸入通道對靜電和浪涌的防護(hù)能力。所有輸入卡件面板上均有LED，可以指示輸入信號的狀態(tài)。單個輸入卡件可以提供數(shù)量多達(dá)32個輸入通道。ALS機(jī)箱可根據(jù)特定應(yīng)用的要求配置多塊輸入卡件。

輸出卡件用于控制執(zhí)行機(jī)構(gòu)、指示器、繼電器及現(xiàn)場驅(qū)動設(shè)備。每種輸入卡件專用于特定的輸入類型，比如ALS-402用于48 V數(shù)字量輸出等，而ALS-421用于模擬電壓/電流輸出。ALS輸出卡件的輸出通道均隔離，且包含自測試功能，冗余配置及其他專門的測試功能可確保通道的可運(yùn)行性。輸出通道也具有抗靜電和浪涌防護(hù)能力。所有卡件面板均有LED，可指示每個輸出信號的狀態(tài)。單個輸出卡件可以提供數(shù)量多達(dá)16個輸入通道。ALS機(jī)箱可根據(jù)特定應(yīng)用的要求配置多塊輸出卡件。

ALS-601配有可以配置的、相互獨(dú)立及隔離的串口通信通道，共8路。支持進(jìn)行點(diǎn)對點(diǎn)的差分信號通信，能提供與外部其他機(jī)箱可靠的通信。

ALS平臺的通信總線架構(gòu)具有先進(jìn)的故障檢測及緩解功能，不但可提供可靠的通信，還可以檢測并處理通信鏈接的故障部件，這是基于2種相互隔離和獨(dú)立的串口通信數(shù)據(jù)總線RAB和TAB。RAB用于系統(tǒng)正常運(yùn)行時各功能卡件與邏輯核心卡件ALS-102之間的關(guān)鍵數(shù)據(jù)傳輸；TAB用于獲取完整性及診斷數(shù)據(jù)，并可執(zhí)行測試和校準(zhǔn)。冗余配置的RAB總線保證當(dāng)其中一條總線故障時，系統(tǒng)可以不受影響的繼續(xù)運(yùn)行。RAB總線只用于傳輸卡件間的輸入數(shù)據(jù)和輸出數(shù)據(jù)等重要數(shù)據(jù)。RAB采用主從架構(gòu)，由核心邏輯卡件作為主節(jié)點(diǎn)控制整個通信。TAB總線用于非控制相關(guān)的數(shù)據(jù)，如診斷信息、配置信息、校驗和測試數(shù)據(jù)，TAB也采用主從架構(gòu)，由按需連接的維護(hù)站作為核心節(jié)點(diǎn)，控制TAB通信。由于這2類總線相互獨(dú)立且隔離，TAB并不會干擾RAB的正常運(yùn)行。

文獻(xiàn)[3]就ALS平臺數(shù)據(jù)通信的獨(dú)立性和隔離要求的一致性進(jìn)行了評估，并得出肯定的結(jié)論。但同時也指出，在應(yīng)用ALS平臺開發(fā)安全系統(tǒng)時，必須就系統(tǒng)整體，包括ALS-102、TAB及ALS-601，按照DI&C-ISG-04的要求進(jìn)行評估。本文在保護(hù)與監(jiān)測系統(tǒng)典型功能需求的基礎(chǔ)上，設(shè)計了全新的、基于ALS平臺的安全系統(tǒng)整體架構(gòu)，并對該設(shè)計與DI&C-ISG-04的一致性進(jìn)行研究。

2 保護(hù)與監(jiān)測系統(tǒng)的典型功能需求

核電廠的基本安全功能為反應(yīng)性控制、余熱排出、包容放射性物質(zhì)和控制運(yùn)行排放以及核電廠重要的狀態(tài)監(jiān)測等，即反應(yīng)堆功率必須可控、可靠的將裂變鏈?zhǔn)椒磻?yīng)中止后的余熱排出，包括反應(yīng)堆內(nèi)顯熱和核素的衰變熱，使核燃料能得到有效冷卻以及限制事故釋放，設(shè)置必要的"屏障"包容放射性物質(zhì)，以確保按國家相應(yīng)的標(biāo)準(zhǔn)進(jìn)行放射性物質(zhì)的可控排放[5]。具體來說，就是要保護(hù)燃料包殼、一回路壓力邊界以及安全殼這3大核安全屏障的完整性，當(dāng)核電廠參數(shù)達(dá)到危害這些屏障完整性程度時，應(yīng)緊急停閉反應(yīng)堆，必要時能啟動專設(shè)安全設(shè)施，在事故后能夠提供必要的信息來評估和監(jiān)控核電廠的狀態(tài)[6]。

NRC的GDC給出了核電廠的總體設(shè)計準(zhǔn)則，其中的13、18～29條給出對保護(hù)與監(jiān)測系統(tǒng)密切相關(guān)的上層設(shè)計要求，如GDC 13條給出儀控系統(tǒng)的總體要求、GDC 20條給出安全系統(tǒng)的總體功能要求等[7]。無論是基于模擬技術(shù)、數(shù)字技術(shù)還是混合技術(shù)的保護(hù)與監(jiān)測系統(tǒng)均應(yīng)滿足表1的這些要求。

表1 保護(hù)與監(jiān)測系統(tǒng)的主要要求Tab.1 Key requirements of PMS

3 基于ALS的PMS總體架構(gòu)

核電廠儀表和控制（I&C）系統(tǒng)應(yīng)為核電廠所有正常運(yùn)行以及異常、應(yīng)急和事故工況提供各類控制、保護(hù)手段及監(jiān)測信息，以保證核電廠能安全、可靠和經(jīng)濟(jì)地運(yùn)行。采用集散控制系統(tǒng)和先進(jìn)控制室，圍繞安全性和可用性2個目標(biāo)進(jìn)行設(shè)計和建造已經(jīng)成為趨勢[8]。I&C系統(tǒng)常采用一體化的設(shè)計方法，即核島和常規(guī)島建立統(tǒng)一的DCS平臺，并提供一致和有效的接口。在主控制室內(nèi)，由非安全級DCS平臺驅(qū)動的操縱員工作站實現(xiàn)對全廠設(shè)備的監(jiān)視和控制。安全級平板顯示器對安全級設(shè)備進(jìn)行顯示和控制；如非lE級工作站和lE級平板顯示器全部失效時，則通過專用安全盤上的lE級硬接線的系統(tǒng)級控制開關(guān)進(jìn)行安全停堆或驅(qū)動專設(shè)安全設(shè)施，使電廠維持在安全狀態(tài)。在主控制室總體失效不可居留時，可在遠(yuǎn)距離停堆室通過非安全級平臺驅(qū)動的工作站和硬接線的控制開關(guān)等進(jìn)行緊急停堆并將電廠維持在安全停堆狀態(tài)[9]。在工程上采用成熟的和先進(jìn)的數(shù)字化技術(shù)，以提高可利用率、可維護(hù)性和可操作性，增加設(shè)計的靈活性，盡可能采用同一供應(yīng)商，并減少備品備件的品種和數(shù)量和潛在的接口問題。本文以文獻(xiàn)[5，9]描述的方案為基準(zhǔn)，結(jié)合ALS平臺的功能及其在Wolf Creek、Diablo Canyon等核電廠安全系統(tǒng)部分替換工程中的實踐[10-11]，設(shè)計了一種可替代文獻(xiàn)[5，9]中儀控總體結(jié)構(gòu)的方案，同時不考慮非安全級DCS平臺的變更，而著重考慮安全級平臺Common Q的替代方案。為簡化起見，本文只簡要給出PMS設(shè)計方案與非安全平臺的接口。為滿足表1要求，PMS總體上采用獨(dú)立、隔離、冗余的4序列設(shè)計。單序列的總體架構(gòu)如圖2所示。單序列的冗余方案如圖3所示。

圖2 基于ALS平臺的PMS單序列架構(gòu)圖Fig.2 PMS one-division detail based on ALS platform

圖3 基于ALS平臺的PMS單序列冗余詳圖Fig.3 ALS platform based PMS division redundancy diagram

BPL用來采集來自現(xiàn)場傳感器和NIS的信號用于執(zhí)行保護(hù)功能計算。計算的結(jié)果用于驅(qū)動RT和ESF符合邏輯相應(yīng)的局部觸發(fā)；LCL進(jìn)行符合邏輯表決，觸發(fā)和驅(qū)動局部RT和ESF驅(qū)動；ILP通過ALS-601接收系統(tǒng)級ESF驅(qū)動命令、通過ALS-601接收來自SD的設(shè)備級手動控制命令 （具有嚴(yán)重后果的設(shè)備）、通過SRNC與CIM通信，非安全級的設(shè)備級手動控制 （具有非嚴(yán)重后果的設(shè)備）通過PLS隔離后直接送往CIM；ICP發(fā)送數(shù)據(jù)到其它3個序列，并接收來自其它3個序列的數(shù)據(jù)，也提供與非安全系統(tǒng)的隔離接口；MTP提供安全系統(tǒng)的人機(jī)接口，用于維護(hù)和試驗功能；具有非嚴(yán)重后果的安全系統(tǒng)設(shè)備的手動控制通過非安全系統(tǒng)工作站實現(xiàn)，具有嚴(yán)重后果的安全系統(tǒng)設(shè)備的手動控制通過安全顯示器實現(xiàn)，在每個CIM上具有就地的設(shè)備控制，這些信號的優(yōu)選功能由CIM實現(xiàn)；QDPS主要用于處理RG1.97要求的1E級變量等。

本設(shè)計已經(jīng)考慮了表1的要求，且最大程度的利用已經(jīng)通過認(rèn)證的設(shè)備。如ASU可以和經(jīng)過認(rèn)證的PC Node Box及平板顯示器合二為一，作為在主控制室內(nèi)的安全級顯示，這樣可顯著減少認(rèn)證的難度。但對只用于維護(hù)的ASU，設(shè)備分級可考慮定為非安全級，該ASU通過TAB總線通信。按需連接的方式可以最大程度減小對安全級系統(tǒng)的影響。

由于ALS平臺無優(yōu)先級卡件，因此采用已經(jīng)認(rèn)證的 CIM、SRNC以及 RNC模塊來實現(xiàn)優(yōu)選功能。重要設(shè)備的狀態(tài)反饋信息通過CIM、ALS-601、RAB 等 傳輸。這些模塊原本就是CSI開發(fā)的基于FPGA技術(shù)的模塊，信號的連接比較直接方便，可最大程度減少新設(shè)計的任務(wù)量。

為了提高應(yīng)對CCF的能力，基于ALS平臺固有的多樣性特征，所有機(jī)箱的FPGA卡件均采用多樣雙核（core diversity），對于圖3中的機(jī)柜/機(jī)箱卡件采用額外的內(nèi)置式多樣性設(shè)計（embedded design diversity），如 BCC-A1 與 BCC-A2，LCL-A1 與 LCLA2，ILC-A1的 ILP-A1-1與 ILC-A1的 ILP-A1-2以及ILC-A2的ILP-A1-1與ILC-A1的ILP-A1-2均采用了內(nèi)置式多樣性設(shè)計。

由于維護(hù)用ASU設(shè)計為按需連接，而ALS-102設(shè)有TXB端口，因此送至非安全級DDS系統(tǒng)網(wǎng)絡(luò)的信號設(shè)計為不通過專用網(wǎng)關(guān)，而是隔離后通過每個機(jī)箱的ALS-102的端口TXB2單向發(fā)送。

由于ALS認(rèn)證的平臺并不包括脈沖輸入模塊，以此必須重新設(shè)計脈沖輸入模塊，或者增加將其轉(zhuǎn)換為模擬電壓/電流的模塊。也可對傳感器輸出類型作出要求，簡化PMS的開發(fā)難度。送至系統(tǒng)外的其他信號可以通過ALS-402、ALS-421卡件經(jīng)隔離后輸出。ADS驅(qū)動閉鎖不考慮改變。

圖2的架構(gòu)設(shè)計考慮了文獻(xiàn)[5，9]所有的信號接口。但文獻(xiàn)[3]4.2節(jié)明確要求，對采用ALS平臺搭建的系統(tǒng)必須依照DI&C-ISG-04對具體的ALS-102、TAB、ALS-601等數(shù)字通信功能進(jìn)行評估。

4 數(shù)據(jù)通信的獨(dú)立性和隔離要求分析

雖然DI&C-ISG-04論述的3部分，序列間通信、命令優(yōu)先級、多序列控制與顯示站，是對基于微處理器安全系統(tǒng)的評估，但NRC認(rèn)為其也可用于非處理器系統(tǒng)適用部分的評估。本文僅分析SER4.2節(jié)要求的[3]、針對具體設(shè)計必須進(jìn)行的評估，而不描述平臺本身的、SER中已經(jīng)完成的評估。

4.1 序列間通信分析

（1）本設(shè)計不采用多序列共用的維護(hù)站，且各序列內(nèi)各機(jī)箱的TAB與該序列ASU單獨(dú)的接口連接，因此TAB接口滿足獨(dú)立性的要求。

本設(shè)計采用來自其他序列的BPL觸發(fā)信號作為2oo4邏輯的輸入，但2oo4邏輯的功能并不依賴于其他序列的輸出信號。只有其他序列的信號判斷為有效時才參與表決。如果由于其他序列信號故障或ALS-601等傳輸故障發(fā)生，有效數(shù)據(jù)少于表決器所需的最少輸入時，系統(tǒng)會進(jìn)入預(yù)置的輸出狀態(tài)。這些功能可通過ALS-102邏輯來實現(xiàn)。

（2）本設(shè)計不采用多序列共用的控制站，但通過ALS-601配置單向接收通道從其他序列接收安全信號。ALS-601是安全級卡件，通過使用CRC校驗、連續(xù)監(jiān)控通信等手段保證不受其他輸入的負(fù)面影響。安全功能不依賴于PC Node Box及安全級平板顯示器。如第（1）所述，ALS-601的通信故障不影響安全功能。ALS-102的單向TXB輸出通道與非安全級的SOE及DDS連接。隔離、單向的發(fā)送通道保證安全系統(tǒng)不受外部的影響。BPL、LCL、ILP等的多樣雙核和多樣性設(shè)計提高了抵御錯誤、執(zhí)行安全功能的能力。

本設(shè)計1E級PC Node Box及安全級平板顯示器獲取其他序列信息的通路如圖4所示。

圖4 序列間信息通路Fig.4 Cross divisional data flow

本設(shè)計中除了各信號至本序列的ICP采用電纜連接外，其他信號均采用單向光纜連接。這樣的連接保證外部信號的獲取，隔離、單向的通道保證BPL、LCL、ILC等安全系統(tǒng)不受外部的影響。

（3）本設(shè)計通過ALS-102的TXB1端口單向發(fā)送信息至非安全級SOE，采用TXB2端口單向發(fā)送信息至非安全級DDS。每個序列內(nèi)每個機(jī)箱，不包括擴(kuò)展機(jī)箱，通過雙向TAB與ASU通信。安全級PC Node Box及安全級平板顯示器通過本序列各機(jī)箱的ALS-601進(jìn)行通信，不包括擴(kuò)展機(jī)箱。同時ALS-601從其他序列接收局部觸發(fā)信號進(jìn)行表決，但由于基于FPGA技術(shù)和微處理器技術(shù)的不同，存儲器及處理器的資源不是共享的，因此這種通信不會顯著的增加錯誤和復(fù)雜性。

（4）本設(shè)計只采用通過認(rèn)證的 TXB、TAB、RAB及ALS-601通信。本設(shè)計停堆功能最長的時間延遲途徑為最大的輸入卡件信號處理延遲、最大的輸入卡件訪問周期延遲、RAB最大讀取數(shù)據(jù)處理延遲、最大的1號ALS-102卡件處理邏輯延遲、最大的1號ALS-601卡件訪問周期延遲、RAB最大發(fā)送處理延遲、最大的1號ALS-601處理邏輯延遲、1號ALS-601到開始發(fā)送相關(guān)數(shù)據(jù)的最大發(fā)送延遲、最大的數(shù)據(jù)傳輸持續(xù)時間、最大的2號ALS-601接收處理延遲、最大的2號ALS-601訪問周期延遲、RAB接收最大處理延遲、最大的2號ALS-102卡處理邏輯延遲、最大的輸出卡件訪問周期延遲、最大RAB傳輸延遲、最大的輸出卡件輸出延遲。雖然具體的各卡件的通信延遲時間指標(biāo)沒有公布，但基于類似架構(gòu)的經(jīng)驗以及FPGA并行處理特性，可以推斷時間延遲應(yīng)小于其他方案。

（5）通過ALS-102的邏輯定義最大可接受的時間延遲，當(dāng)延遲過大時產(chǎn)生報警，并通過ALS-601送至安全級顯示器，同時通過TXB2送至DDS，提醒操縱員采取必要的措施。

（6）通過ALS-102的邏輯定義由字節(jié)模式（Byte Mode）或分組模式（Packet Mode）周期性傳輸?shù)念A(yù)先定義的信息，同時在使用數(shù)據(jù)之前會驗證數(shù)據(jù)的有效性。ALS-601也根據(jù)ALS-102所設(shè)定的格式進(jìn)行數(shù)據(jù)的發(fā)或收。本設(shè)計不采用TXB向其他冗余安全序列傳輸信號，且其只能單向發(fā)送，因此不需要滿足第（6）的要求。

（7）本設(shè)計序列間通信均通過ALS-601，這些隔離的1E信號加上第（1）、第（6）點(diǎn)的特性保證序列間的負(fù)面影響最小。設(shè)計不采用TXB向其他冗余安全序列傳輸信號，且其只能單向發(fā)送，可不滿足第（7）的要求。且其隔離的、單向發(fā)送的與非安全系統(tǒng)的通信對安全系統(tǒng)無影響。設(shè)備的手動軟控制在PLS中產(chǎn)生。非安全系統(tǒng)到安全系統(tǒng)的數(shù)據(jù)流不采用通信鏈路實現(xiàn)，而是使用開關(guān)信號來實現(xiàn)。本設(shè)計采用非安全系統(tǒng)的遠(yuǎn)距離I/O發(fā)送信號到安全系統(tǒng)。遠(yuǎn)距離I/O節(jié)點(diǎn)與一個或多個1E級設(shè)備接口模件（CIM）相連接。非安全系統(tǒng)的命令也可經(jīng)CIM中基于FPGA的優(yōu)選邏輯處理后輸出相應(yīng)的數(shù)字量信號。如果來自非安全級信號和來自PMS子系統(tǒng)的1E級自動、手動驅(qū)動信號的控制命令發(fā)生矛盾，系統(tǒng)預(yù)定的安全狀態(tài)優(yōu)先。CIM模件內(nèi)部還包含了等效于數(shù)字量輸入模件的部分，用來讀取設(shè)備狀態(tài)和CIM的內(nèi)部狀態(tài)。CIM上的從非安全系統(tǒng)到安全系統(tǒng)的控制命令，以及從安全系統(tǒng)到非安全系統(tǒng)的狀態(tài)信號，這兩種數(shù)據(jù)流不通過通信鏈路實現(xiàn)，而是采用簡單的數(shù)字量信號來實現(xiàn)。通信功能和1E級優(yōu)選邏輯之間簡單離散信號接口能保證只有滿足邏輯的數(shù)據(jù)，才是真正需要的控制命令。CIM中的優(yōu)選邏輯，是通過實施基于安全狀態(tài)優(yōu)先和僅實施在PMS功能設(shè)計中已規(guī)定的功能實現(xiàn)功能隔離。

（8）本設(shè)計采用ALS平臺對通過TAB總線連接ALS維護(hù)站的要求，如通過MCR的開關(guān)按需連接、提供接入報警，且僅能對預(yù)先設(shè)定的某些參數(shù)按規(guī)定要求進(jìn)行維護(hù)、不能修改FPGA本身、不進(jìn)行序列間交叉操作等，保證維護(hù)站不會影響正在運(yùn)行的安全序列的功能。

MCR的安全顯示站不提供ALS維護(hù)站的相應(yīng)操作，該站與其他站的數(shù)據(jù)交換通過ALS-601實現(xiàn)，但其與ALS維護(hù)站的通信是通過TAB的“從”站進(jìn)行。

（9）本設(shè)計的ALS維護(hù)站是通過MCR的開關(guān)按需連接的，并提供接入報警，除了規(guī)定的某些參數(shù)可以按規(guī)定要求進(jìn)行維護(hù)外，不能在線修改FPGA內(nèi)容。

（10）本設(shè)計的ALS維護(hù)站是通過MCR的開關(guān)按需連接的，并提供接入報警。在MCR中的這些開關(guān)、顯示等采用1E級部件，且所有機(jī)箱的TAB總線和ALS維護(hù)站之間的信號經(jīng)過隔離后連接。

序列內(nèi)的ALS-601之間的配對連接不進(jìn)行隔離，送至本序列的輸出采用1-N的扇出，序列間的輸出采用1-6的隔離扇出。序列內(nèi)的接收采用N個配置成為單向接收的端口，采用6個配置成為單向接收端口接收外序列隔離信號。各機(jī)箱按需采用多個ALS-601卡件來獲取足夠的端口。由于各機(jī)箱內(nèi)ALS-601并行處理結(jié)構(gòu)，多卡不明顯影響系統(tǒng)的時間響應(yīng)。

本設(shè)計不采用序列間共用的顯示與控制站。以此序列間的通信不會影響所需的安全功能。

（11）本設(shè)計采用ALS-601來傳輸序列內(nèi)、序列間的觸發(fā)信號。點(diǎn)對點(diǎn)的UART通信協(xié)議、校驗位以及CRC校驗保證了數(shù)據(jù)的正確性及有效性。這些傳輸是按固定的間隔進(jìn)行，因此可以監(jiān)測出信號的時間提早、延遲特性，必要時可以進(jìn)入預(yù)定的故障狀態(tài)。系列間的信號采用隔離的輸出/輸入，進(jìn)一步保證了序列間通信的有效性。

（12）本設(shè)計采用ALS-601來傳輸序列間的觸發(fā)信號。傳輸線路采用點(diǎn)對點(diǎn)的配對傳輸，即一端為單向發(fā)送，另一端為單向接收，中間無其他節(jié)點(diǎn)，保證了關(guān)鍵數(shù)據(jù)序列間的傳輸。

（13）本設(shè)計采用ALS-601按固定的周期來傳輸序列間的觸發(fā)信號，無論數(shù)據(jù)是否發(fā)生變化均按照預(yù)定的格式及頻度周期傳輸。

（14）本設(shè)計采用ALS-601按固定的周期以點(diǎn)對點(diǎn)方式來傳輸序列間的觸發(fā)信號，且只有重要的信號才通過ALS-601傳輸。這樣的架構(gòu)使得能夠保證關(guān)鍵數(shù)據(jù)的實時、有效和連通性。

（15）作為文獻(xiàn)[5，9]的替代方案，本設(shè)計只要求系統(tǒng)能滿足在相應(yīng)的和緩環(huán)境下[12]工作即可。序列間的連接均采用光纜，序列內(nèi)近距離的安全級信號的連接采用電纜，和MCR中的PC Node Box的連接均采用光纜，無論傳輸介質(zhì)是電纜還是光纜，均通過鑒定。

（16）本設(shè)計的數(shù)字通信主要通過冗余的雙向的 RAB、雙向的 TAB、單向的TXB、可配置的單向ALS-601進(jìn)行。每個機(jī)箱只有1個ALS-102作為“主”站控制所有的RAB通信。RAB采用通用異步收發(fā)器（UART）的EIA-485協(xié)議，以固定的周期及格式收發(fā)數(shù)據(jù)。在傳輸失敗后，會自動應(yīng)答并重新傳輸一次。每次傳輸都由ALS-102發(fā)起，到相應(yīng)卡件的響應(yīng)而結(jié)束。因此該通信在任何時刻，實質(zhì)上是單向的，數(shù)據(jù)傳輸無沖突。冗余的RAB提供了額外的查錯功能。

TAB除了不是一直處在“激活”的“主”站控制狀態(tài)、不是以固定周期傳輸、不自動重新傳輸、不冗余外，與RAB的通信方式基本一致。

本設(shè)計的2個單向的TXB分別提供獨(dú)立的、串行、無握手信號的、基于EIA-422的URAT通道，來連續(xù)的向非安全級系統(tǒng)傳送數(shù)據(jù)。

ALS-601有和上述的TAB、RAB通信的能力，同時還有8個可配置成單向“收”或“發(fā)”的端口。當(dāng)某端口配置為“收”時，從該端口讀取數(shù)據(jù)并進(jìn)行數(shù)據(jù)緩存，通過奇偶位、校驗和等數(shù)據(jù)完整性檢查后，這些有效數(shù)據(jù)可從RAB讀出，反之亦然。

這些措施能有效地進(jìn)行數(shù)據(jù)傳輸。當(dāng)安全重要數(shù)據(jù)傳輸萬一失敗后，系統(tǒng)會進(jìn)入預(yù)定狀態(tài)并報警。

本設(shè)計執(zhí)行停堆、專設(shè)的BPL、LCL以及ILP機(jī)箱采用簡潔架構(gòu)、只配置所需的最少卡件。每個BPL機(jī)箱配置單個ALS-601卡件，可以輸出安全功能所需的觸發(fā)/驅(qū)動信號，發(fā)送至序列內(nèi)MCR中PC Node Box、ICP等卡件信息則是通過該卡件上一個配置為“發(fā)”的單向端口發(fā)送，并配置一個單向“收”端口接收來自MCR的信息，單個TAB和按需連接的ASU的專門接口連接。LCL則必須配置2塊ALS-601的卡件，用于接收來自本序列2個BPL機(jī)箱的2個ALS-601的輸出信號以及其他序列6個BPL機(jī)箱的6個ALS-601的輸出信號。ILP機(jī)箱除了多2個接收來自安全信息流程上游的信號 （2個LCL機(jī)箱的2個ALS-601的輸出信號）而配置為單向“收”端口外，和BPL機(jī)箱類似。由于MTP/ASU是按需連接的，為了保證定值設(shè)定等的正確，本設(shè)計要求在技術(shù)規(guī)范書中規(guī)定其與系統(tǒng)連接的最大斷開時間和頻度，此外MCR的PC Node Box在接收通過ITP、ICP等來自其他序列的信息后，應(yīng)根據(jù)需要通過ALS-601的“發(fā)”端口廣播其中必要的部分信息，如將其他序列的設(shè)備狀態(tài)信息廣播至ILP。這樣的簡單設(shè)置、連接和管理，使得系統(tǒng)正確執(zhí)行安全功能的能力增加。

（17）本設(shè)計的TXB端口不用來傳輸安全重要數(shù)據(jù)，因此可不滿足本要求。

本設(shè)計的ALS-601用來傳輸序列間的安全重要數(shù)據(jù)。由于采用的是點(diǎn)對點(diǎn)方單向傳輸方式，最大的波特率為921600 b/s，但由于最大的幀時間為10 ms[2]，因此總的數(shù)據(jù)吞吐能力不低于文獻(xiàn)[5，9]的要求。

（18）本設(shè)計的TXB端口不用來傳輸安全重要數(shù)據(jù)，因此可不滿足本要求。

本設(shè)計的ALS-601用來傳輸安全重要數(shù)據(jù)。卡件的FPGA僅采用組合邏輯及有限狀態(tài)機(jī)（FSM）。而可預(yù)測的、確定性的FSM，具有所需的一系列特性，如各個FSM專用資源、所有狀態(tài)可知、每個周期只有單一新狀態(tài)、對應(yīng)給定狀態(tài)的輸入，只存在唯一的轉(zhuǎn)換到新狀態(tài)，加上周期性的傳輸特性使得通信的確定性得到保證。一般說來，并行的FPGA的響應(yīng)時間要優(yōu)于基于微處理器的串行系統(tǒng)，詳細(xì)的時間響應(yīng)將另文闡述。

4.2 命令優(yōu)選

核電廠某些安全設(shè)備的驅(qū)動/控制命令來自于不同的系統(tǒng)，而這些命令存在不一致或矛盾的可能。為了確保設(shè)備能正確地執(zhí)行安全功能，不同安全等級之間控制命令優(yōu)先權(quán)判斷一般由優(yōu)先邏輯模塊執(zhí)行。無論是西門子TXS系統(tǒng)的AV42模塊，還是Common Q平臺設(shè)計中的底層邏輯判斷設(shè)備性能都直接影響核電廠的安全性。

由于ALS平臺沒有優(yōu)選模塊，以此本設(shè)計采用CSI公司已經(jīng)通過安全級認(rèn)證的CIM模塊來實現(xiàn)命令優(yōu)選功能?；贔PGA技術(shù)的CIM模塊已經(jīng)應(yīng)用于文獻(xiàn)[5，9]的系統(tǒng)。其詳細(xì)的功能見第（8）。安全設(shè)備的狀態(tài)信息通過ILP機(jī)箱的ALS-601模塊向上傳輸。

4.3 多序列的控制與顯示站

本設(shè)計不采用序列共用的控制與顯示站，而采用單序列獨(dú)立的控制與顯示站，因此可不滿足該要求。序列間數(shù)據(jù)的顯示見圖4所示。

5 結(jié)語

本文以3代加非能動核電廠的儀控方案為參考，基于已經(jīng)通過NRC認(rèn)證的ALS平臺，結(jié)合ALS平臺在一些核電廠安全系統(tǒng)部分替代工程的實踐，設(shè)計了一種基于ALS平臺的全新的PMS儀控總體結(jié)構(gòu)方案。根據(jù)ALS平臺的SER要求，對該方案數(shù)據(jù)通信的獨(dú)立性和隔離要求的一致性進(jìn)行論證，得出該方案滿足DI&C-ISG-04要求的結(jié)論。

由于目前世界上沒有將ALS平臺開發(fā)作為PMS的工程實踐，因此本設(shè)計是一創(chuàng)新方案，論證方案的可行性需進(jìn)行大量的研究工作。對其他要求的符合性將另文闡述。應(yīng)該指出的是，由于ALS平臺具有6機(jī)箱擴(kuò)展能力，因此理論上存在TAB的擴(kuò)展連接功能。如果采用擴(kuò)展連接TAB總線可行，將顯著簡化設(shè)計的架構(gòu)。

[1]徐智，雷晴，陳冬雷.CIM和DAS多樣性的定量分析[J].自動化儀表，2014，35（S1）：73-76.

[2]秦裕強(qiáng)，曹新民，朱銘煜.基于FPGA的先進(jìn)邏輯系統(tǒng)在核電儀控系統(tǒng)中的應(yīng)用[J].科協(xié)論壇，2013（9）：40-41.

[3]NRC U S.Nuclear Regulatory Commission Safety Evaluation for Topical Report 6002-00301“Advanced Logic System Topical Report”[R].Rock ville：NRC，2013.

[4]Warren Odess-Gillett.Advanced Logic System Topical Report-Nuclear Safety Related[R].CSI，Cranberry Township，PA，2013.

[5]林誠格，郁祖盛.非能動安全先進(jìn)壓水堆核電技術(shù)[M].北京：原子能出版社，2008：26-29.

[6]廣東核電培訓(xùn)中心.900 MW壓水堆核電站系統(tǒng)與設(shè)備[M].2版.北京：原子能出版社，2007：254-317．

[7]NRC.10CFR50 Appendix A to Part 50—General Design Criteria for Nuclear Power Plants[S].Rockville：NRC，2007.

[8]鄭偉智.集散控制系統(tǒng)在核電站保護(hù)系統(tǒng)中的應(yīng)用[J].核電子學(xué)與探測技術(shù)，2012，32（4）：438-452.

[9]孫漢虹，程平東，繆鴻興，等.第三代核電技術(shù)AP1000[M].北京：中國電力出版社，2010：322-412.

[10]NRC.Wolf Creek Nuclear Operating Corporation-amendment to Renewed Facility Operating License[R].NRC，Washington DC，2009.

[11]Diablo Canyon Power Plant.Supplement to License Amendment Request 11-07.Process Protection System Replacement[R].Avila Beach，CA，2013.

[12]Westinghouse LLC.Westinghouse AP1000 Design Control Document[R].Pittsburgh：Westinghouse Electric Company LLC，2012．