基于NuPAC的核电厂反应堆保护系统

曾 海，I. SIEDLARCZYK，毛 欢

(1.国核自仪系统工程有限公司，上海 200233；2.洛克希德马丁公司，美国 宾夕法尼亚州 18512；

3.环境保护部 核与辐射安全中心，北京 100082)

现场可编程门阵列(FPGA)技术作为一种不同于CPU的数字电子技术，由于其不同于CPU的特点和优势[1]，正在被越来越广泛地用于核安全级仪控系统。一方面，FPGA技术为核安全级仪控系统平台及其系统带来了系统结构方面的新的特点，另一方面，FPGA也在一定程度上改进了核安全级仪控系统平台及其系统的特性。

本工作从简化系统设计、独立性和多样性等方面讨论基于FPGA技术的NuPAC平台对反应堆保护系统结构带来的改进。首先，介绍NuPAC平台和反应堆保护系统的结构；然后，基于对反应堆保护系统结构的分析，介绍NuPAC平台的应用对反应堆保护系统结构带来的改进。作为反应堆保护系统设计开发的重要工作之一，本文介绍反应堆保护系统的需求分析，以及需求分析中的难点和挑战。

1 NuPAC平台和反应堆保护系统结构

1.1 NuPAC平台结构

NuPAC平台的显著特点不仅在于采用的FPGA技术，而且在于其独特的分散式系统结构。NuPAC平台将安全保护或控制所需的全部功能，如输入输出信号处理、逻辑处理和运算、诊断和数据通信等，均集成于1块通用逻辑模块(GLM)，1块GLM卡件可实现完整的控制保护功能。在1块GLM模块上设置了2块FPGA芯片，其中1块FPGA芯片用于核心可编程逻辑(CPL)，1块用于应用可编程逻辑(ASPL)。CPL提供了ASPL所需的支持和环境，如资源调度、接口管理、诊断、内存管理等功能，ASPL用于实现控制保护功能，CPL功能和ASPL功能相互隔离。安装于1个机箱内的GLM卡件可通过机箱背板总线连接，从而实现更为复杂的子系统功能。多个机箱可通过点对点数据通信连接形成1个系统。NuPAC平台及其机箱结构如图1所示。

1个NuPAC机箱可安装18块GLM卡件，前16块GLM卡件分为4组，每组4块GLM卡件。组内的GLM卡件之间通过星形网格背板总线连接。各组之间也通过背板总线连接，并通过背板总线进行数据交互。第17和第18槽位的GLM卡件用于与其他机箱的数据通信，之前每组均与第17和第18槽位的GLM卡件分别通过背板总线连接。

图1 NuPAC平台及其机箱结构

NuPAC平台的这种物理结构为安全保护功能或控制功能的实现提供了较好的灵活性。安全保护功能或控制功能可根据功能的复杂程度或规模由某一块GLM卡件、1组或多组GLM卡件、1个或多个机箱实现。某块GLM卡件的功能可独立于其他GLM卡件的功能。在某一块GLM卡件的应用FPGA芯片上实现的应用逻辑和核心FPGA芯片上实现的诊断逻辑之间也是隔离的。

1.2 反应堆保护系统结构

反应堆保护系统的总体结构不会随实际采用技术的变化而变化，即使目前从模拟技术发展到基于CPU的技术，或发展到基于FPGA的技术，反应堆保护系统的总体结构也不会产生较大的变化。反应堆保护系统的总体结构由法规和标准[2]规定的安全要求和功能要求决定。图2为CAP系列核电厂反应堆保护系统的总体结构。反应堆保护系统的功能包括保护参数信号的处理、定值比较、符合逻辑、设备触发等，其功能分配到不同的功能层，由不同的功能层执行。

图2 反应堆保护系统的总体结构

先进的数字技术，不管是基于CPU的技术，还是基于FPGA的技术，均为反应堆保护系统带来模拟技术无法提供的特点，如丰富的图形化界面、自诊断和定期测试功能。

1.3 基于NuPAC的反应堆保护系统的结构优点

FPGA技术降低了基于CPU技术的系统所使用的操作系统软件引起的复杂性。NuPAC平台无软件和操作系统，CPL和ASPL均通过“纯硬件逻辑”实现所需功能，CPL和ASPL间互相隔离。如图1所示，NuPAC结构上接近于以前的模拟式系统平台，单块GLM卡件具有实现控制保护功能所需的全部功能，单块卡件可实现一完整的功能。

图3为1个NuPAC机箱实现的双稳触发逻辑单元的详细结构。全部安全功能所需的所有输入信号的处理和双稳逻辑功能均分散于该机箱的单个GLM卡件上。该机箱的第1、2、3组用于实现保护参数的信号处理和双稳逻辑，第4组用于安全显示参数的信号处理和逻辑运算功能。因各组间功能独立，所以第4组的功能不会影响第1、2、3组承担的双稳逻辑功能。

图3 双稳逻辑单元结构

该机箱内第17块GLM卡件用于双稳逻辑单元和符合逻辑单元之间的数据通信。第17块GLM卡件通过“Alpha”背板总线接收来自第1、2、3组的局部停堆信号，通过点对点串口通信发送给符合逻辑单元。第18块GLM卡件用于双稳逻辑和辅助功能单元(如主控室的安全显示以及系统诊断逻辑)之间的数据通信。第18块GLM卡件通过“Bravo”背板总线接收来自第1、2、3、4组的信息数据，通过点对点串口通信发送给辅助功能单元。第18块卡件也接收来自主控室安全显示的软操信号(如阻止和复位)和来自维护测试单元的测试注入信号，并通过“Alpha”背板总线发送到各GLM卡件。“Alpha”背板总线和“Bravo”背板总线之间互相隔离，因此通过“Bravo”背板总线传送的信息数据不会影响通过“Alpha”背板总线传送的控制命令数据。

对该双稳逻辑单元的功能分配应考虑如下原则：

1) 用于相同安全功能的不同的信号应分配到不同的GLM卡件处理，例如，用于核启动保护功能的源量程中子通量信号和中间量程中子通量信号应分配到不同的GLM卡件处理；

2) 与双稳逻辑相关的输入信号，特别是与计算变量的双稳逻辑相关的输入信号应尽量在同一块GLM卡件处理，例如超温ΔT的计算需要中子通量信号、稳压器压力信号、冷端温度信号和热端温度信号等，这些信号应尽量在1块GLM卡件处理，以减少GLM卡件之间的通信；

3) 如果1个安全功能需采用多块GLM卡件实现，或在多块GLM卡件上实现的多个安全功能之间需要共享数据，使GLM卡件间的通信无法避免，这些功能应尽量在NuPAC机箱的1个组(包含4块GLM卡件)内实现，这样可使用组内卡件之间直接的数据互连，减少组间的通信；

4) 需送到第4组安全显示逻辑的保护参数信号应尽量在与第4组之间有数据互连的功能组内实现，以利用组间的数据连接，减少与第17、18块GLM卡件的通信。

由于安全功能之间的耦合性质，不同的安全功能之间需共用某些数据，因此将安全功能清晰地分配到独立的GLM卡件并不容易，功能分配的目标是至少保证1个功能组的独立，避免或减少组与组间的数据交互。

与传统的将全部功能集中到1块中央处理模块的数字系统不同，基于NuPAC实现的反应堆保护系统将全部功能分配到不同的GLM卡件实现，这种方式简化了双稳逻辑的实现和验证。每块GLM卡件仅承担全部功能中的几个功能，不同GLM卡件实现的功能之间也是隔离的，1块GLM卡件的故障不会影响另一GLM卡件上的功能。单块GLM卡件的故障也不会导致全部功能的丧失。

功能分配也有利于功能多样性的实现。根据功能多样性原则确定的某个安全功能的不同的保护参数在不同的GLM卡件处理，某块GLM卡件故障不会导致该功能的完全丧失。

由1个NuPAC机箱实现的符合逻辑功能单元也将进行功能分配。该机箱的第1、2组用于实现反应堆停堆符合逻辑，第3、4组用于实现专设安全设施触发符合逻辑。不同的反应堆停堆功能和专设安全设施功能的符合逻辑由不同的GLM卡件执行。第17块GLM卡件用于接收来自本序列和其他3序列双稳逻辑的部分停堆信号，并将部分停堆信号分配到执行相应符合逻辑的GLM卡件中。第18块GLM卡件用于与辅助功能单元的通信。

设备控制逻辑也将由NuPAC机箱实现。此外，1个单独的机箱用于实现系统辅助功能，如自诊断、与其他序列的信息通信、与非安全系统的通信等。辅助功能和双稳逻辑及符合逻辑等安全功能之间隔离，以保证辅助功能不会影响安全功能的执行。

1.4 FPGA技术对系统特性的贡献

无论采用怎样的技术手段实现，反应堆保护系统均需满足某些关键特性。这些关键特性来自法规和标准的要求或用户的需要。基于系统关键特性分析，确定了基于NuPAC平台的14个关键特性[3]。在这些反应堆保护系统需满足的关键特性中，有些与采用的技术手段无直接关联，如完整性、质量、可操作性和可维护性，但对于有些关键特性，FPGA技术的采用可进一步提升和改善这些关键特性。

本文第1.3节论述了基于FPGA技术的NuPAC平台可简化系统设计，并从结构上进一步提升了系统的独立性、多样性和灵活性。此外，由于NuPAC平台和之前模拟式平台结构上的相似性，NuPAC平台较传统的数字化仪控系统平台更适于对已建电厂模拟控制系统的升级改造。

1) 确定性

FPGA芯片以纯硬件电路的方式实现反应堆保护系统的安全功能，硬件电路的执行较软件和操作系统的执行更为确定。

2) 可靠性

尽管系统可靠性很大程度取决于系统结构以及系统部件的可靠性，而系统结构和系统部件的可靠性不会随某种技术发生太大变化，但FPGA技术还是会在某种程度上提升系统的可靠性。某些FPGA芯片，如基于FLASH的FPGA芯片和基于反熔丝技术的FPGA芯片可有效抵御由于随机辐照引起的单粒子翻转(SEU)，因而较CPU芯片具有更高的可靠性。

3) 安保性

FPGA技术可对网络恶意攻击提供更好的防护。首先，“烧入”FPGA芯片的硬件逻辑在无工程工具时无法随意修改；其次，对硬件逻辑的修改需通过特殊的CTIC(communications and test interface connector)接口进行，在系统运行时，CTIC接口一般是断开的；最后，FPGA硬件逻辑采用的加密措施使FPGA逻辑很难通过反向工程重现。

4) 性能

反应堆保护系统的响应时间不仅取决于逻辑处理时间，还取决于信号处理时间(如滤波时间延迟)和通信时间。FPGA芯片内部硬件逻辑采用的并行处理方式较CPU芯片内软件代码的串行处理方式具有更快的处理速度。此外，NuPAC平台GLM卡件对输入输出信号的处理是并行进行的，其执行时间不受周期或定期方式数据刷新率的限制。大量系统的输入和输出信号可同时进行处理，且当系统规模增加时，这种并行处理方式不会增加输入输出信号处理所需的时间。

5) 可持续性和经济性

CPU芯片更新换代的速度快于FPGA芯片，这意味着基于CPU技术的系统平台寿命短于基于FPGA技术的系统平台。随着CPU芯片的更新换代，原CPU芯片内已有的软件很难移植到新一代的CPU芯片中[1]。相反，FPGA技术让今后的系统升级更加容易。使用硬件描述语言(HDL)编制的FPGA逻辑代码和寄存器级(RTL)设计可移植用于新的FPGA芯片中，新的FPGA芯片仅需对已有的HDL代码和RTL设计使用新的软件工具重新进行综合和布局布线，之前在软件设计方面的投资可最大程度地被保留。

2 反应堆保护系统需求分析

关键特性分析是基于NuPAC平台的反应堆保护系统需求分析的第1步。通过分析得到的关键特性将指导系统需求分析，并通过系统设计来实现。需求分析将贯穿于任务分析、需求分析、系统设计和详细设计，各阶段形成的各层级的需求将通过部件测试、集成测试和系统测试进行验证和确认。对系统可编程逻辑以及软件的各层级需求的完整性、正确性、可验证性和准确性，以及各层级需求的可追溯性，将进行独立的验证和确认。

2.1 需求规范层级结构

在系统需求分析的开始需建立系统需求规范的层级结构。图4为一从顶至底的反应堆保护系统需求层级结构。需求分析从总体系统需求开始，分解细化到详细的系统需求，详细的系统需求包括系统功能需求、人机界面功能需求以及系统设计需求。在系统设计阶段，第1层和第2层的系统需求将分配到系统的各配置项(如硬件模块、可编程逻辑和软件单元等)，并进行适当的分解和细化。在详细设计阶段，将对配置项需求进行分解和细化，以指导配置项的详细设计和实现。

图4 反应堆保护系统需求层级结构

随着需求分析的进行，也将建立各级需求之间的连接和追溯关系。各级需求模块及之间的联系和追溯关系将通过专门的需求管理工具进行管理。

2.2 系统功能需求分析的困难和挑战

反应堆保护系统功能需求模块是最重要的系统级需求模块之一，功能需求确定了系统要执行的安全功能、各安全功能的保护参数，以及需触发的设备控制功能等。

系统功能需求在系统需求分析阶段完成，在系统设计阶段，系统功能需求需进一步分解和细化。系统功能需求来源于核电厂的事故分析，对安全功能提出了总体需求，但并未用于实现该功能的详细的需求信息，因而仅通过系统功能需求难以实现所要求的安全功能。对于某些详细的需求必须提供给可编程逻辑工程师来通过可编程逻辑实现这些安全功能，如某个功能所需的输入输出信号或输入输出数据、输入信号或数据要经过哪些逻辑、安全功能逻辑之间有哪些联锁逻辑、有哪些运行旁通和维护旁通功能、定期测试时注入哪些信号、安全和非安全显示的数据等。这些详细需求需通过对第2层系统需求的仔细分析和检查才能得到。

如上所述，在系统设计阶段需基于第2层的系统需求建立系统详细的功能需求，详细的功能需求将提供详细的需求信息，如输入信号处理算法、阻止逻辑、复位逻辑、符合逻辑、触发逻辑、重要的数据和信息等，这些详细需求可追溯到第2层系统需求。

详细的系统功能需求分析并不容易，在这项工作中有如下困难和挑战：

1) 系统功能需求需分解到怎样的详细程度，详细的功能需求应采用哪种表达方式，自然语言的方式还是图示的方式；

2) 如何保证由第2层系统需求分解细化得到的详细功能需求的正确性和完整性。

3 结论

国核自仪系统工程有限公司和洛克希德马丁公司正在合作开发基于NuPAC平台的大型先进压水堆核电站反应堆保护系统。NuPAC是基于FPGA技术的新一代安全系统平台，其呈现了不同于传统的数字系统集中式结构的分布式系统结构。

NuPAC平台的分布式系统结构可简化系统设计，提升了系统独立性和多样性，同时FPGA技术的应用也提升了系统关键特性。

需求分析是反应堆保护系统设计开发过程中的重要工作之一。正确、完整的详细系统功能需求是下一阶段可编程逻辑开发和验证的必要条件。目前该项工作正在进行中，通过对系统需求的详细分析，必将形成一套用于可编程逻辑开发的详细的系统功能需求。

参考文献：

[1] FINK B, KILLIAN C, NGUYEN T, et al. Guidelines on the use of field programmable gate arrays (FPGAs) in nuclear power plant I&C system, EPRI TR 1019181[R]. USA: Electric Power Research Institute, 2009.

[2] IEEE. IEEE 603 Safety systems for nuclear power generating stations[S]. USA: IEEE, 1991.

[3] ZENG Hai, SIEDLARCZYK I. The key characteristics and architecture of new generation FPGA based reactor protection system for nuclear power plant[C]∥Proceedings of the 8thInternational Topical Meeting on Nuclear Plant Instrumentation, Control and Human Machine Interface Technologies. USA: [s.n.], 2012.