秦裕強(qiáng) 曹新民 朱銘煜

摘 要：FPGA在邏輯控制產(chǎn)品中應(yīng)用廣泛，它們滿足嚴(yán)格的質(zhì)保流程，擁有較長(zhǎng)的產(chǎn)品生命周期。介紹一種用于核電儀控系統(tǒng)的基于FPGA的先進(jìn)邏輯系統(tǒng)，描述該系統(tǒng)的架構(gòu)、卡件、內(nèi)部通信和系統(tǒng)模式，并介紹美國(guó)核管會(huì)（NRC）對(duì)其應(yīng)用于核電儀控系統(tǒng)中的評(píng)審。

關(guān)鍵詞：FPGA 核電儀控系統(tǒng) 先進(jìn)邏輯系統(tǒng)（ALS）

中圖分類號(hào)：TL363+.1 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-3973（2013）009-040-02

1 引言

在工業(yè)控制領(lǐng)域，包括核電站儀控系統(tǒng)，普遍采用多層次的冗余來(lái)保證特殊測(cè)量的有效性。研制可靠的核電站保護(hù)系統(tǒng)的潛在風(fēng)險(xiǎn)之一是使用基于軟件的微處理器，軟件具有內(nèi)在的難以解決的運(yùn)行問(wèn)題，即使相對(duì)簡(jiǎn)單的系統(tǒng)也需要龐大數(shù)量的程序代碼，而基于軟件的微處理器系統(tǒng)普遍具有獨(dú)立驗(yàn)證與確認(rèn)（IV&V）的困難，且存在潛在的軟件共模故障風(fēng)險(xiǎn)。

2 先進(jìn)邏輯系統(tǒng)（ALS）介紹

先進(jìn)邏輯系統(tǒng)（ALS）是一種可用于安全級(jí)系統(tǒng)的控制平臺(tái)，它是一種具有高可靠性和完整性的通用平臺(tái)。ALS是一種基于邏輯的平臺(tái)，該平臺(tái)使用FPGA來(lái)實(shí)現(xiàn)主要的控制功能，系統(tǒng)的運(yùn)行不依賴微處理器或軟件，而是采用了簡(jiǎn)單的硬件架構(gòu)。ALS由輸入卡件（IPB）、核心邏輯卡件（CLB）、輸出卡件（OPB）、通信卡件（COM）等卡件組成，通過(guò)簡(jiǎn)單的組合及配置即可實(shí)現(xiàn)特定的應(yīng)用功能。

3 ALS平臺(tái)背景介紹

2003年末，美國(guó)Wolf Creek核電站由于原有系統(tǒng)的可靠性及老化過(guò)時(shí)等原因需要更換部分安全相關(guān)的I&C系統(tǒng)?？紤]到當(dāng)時(shí)市場(chǎng)上沒(méi)有可行的解決方案，在2004年初，Wolf Creek核電站與CS Innovations（CSI）公司合作開(kāi)發(fā)一種可以替換安全相關(guān)I&C系統(tǒng)的新的方案。作為這次合作的成果，CSI公司推出了ALS平臺(tái)，該平臺(tái)作為一種通用的安全級(jí)平臺(tái)，可用于核電站安全相關(guān)I&C系統(tǒng)。

4 ALS平臺(tái)架構(gòu)

ALS平臺(tái)主要由一個(gè)或多個(gè)ALS機(jī)箱及一個(gè)組件盤組成。其中每個(gè)機(jī)箱最多可插入10塊卡件，典型的ALS平臺(tái)通常配置6-14塊卡件，但根據(jù)不同的應(yīng)用要求，通過(guò)擴(kuò)展總線，整個(gè)平臺(tái)最多可配置6個(gè)機(jī)箱、62塊卡件，在最大配置下，每個(gè)系統(tǒng)幀的最大速度為10ms；而組件盤包含終端模塊、保險(xiǎn)絲及其他現(xiàn)場(chǎng)接口硬件等。ALS機(jī)箱為工業(yè)標(biāo)準(zhǔn)的19英寸機(jī)箱，可安裝于廣泛存在的19英寸的機(jī)柜支架上。

4.1 ALS卡件

ALS平臺(tái)基于通用ALS卡件的組合，通過(guò)預(yù)先的配置，可滿足不用應(yīng)用的要求。每塊卡件都有至少一塊FPGA芯片執(zhí)行主要的控制功能?；镜腁LS卡件包括：核心邏輯卡件、輸入卡件、輸出卡件和通信卡件。

4.1.1 核心邏輯卡件

核心邏輯卡件包含了所有應(yīng)用相關(guān)的邏輯電路，這些電路定義并控制系統(tǒng)的運(yùn)行。核心邏輯卡件向輸入卡件發(fā)送請(qǐng)求以獲得需要的現(xiàn)場(chǎng)輸入信息，對(duì)輸入信息進(jìn)行處理以做出判斷，并向輸出卡件發(fā)出控制指令以驅(qū)動(dòng)現(xiàn)場(chǎng)設(shè)備。

核心邏輯卡件通常會(huì)配置若干本地I/O，這些I/O一般用于系統(tǒng)重置、報(bào)警清除及報(bào)警指示輸出等。

4.1.2 輸入卡件

輸入卡件負(fù)責(zé)現(xiàn)場(chǎng)信號(hào)采樣、信號(hào)調(diào)理、濾波及A/D轉(zhuǎn)換等功能。每種輸入卡件一般專用于某一特定的輸入類型，比如24V或48V觸點(diǎn)輸入、4-20mA模擬量輸入、1-10V模擬量輸入、熱電阻模擬量輸入或熱電偶模擬量輸入等。

ALS卡件上的輸入通道具有自測(cè)試功能，可以連續(xù)檢測(cè)重要部件的運(yùn)行狀態(tài)。通過(guò)隔離器確保通道和ALS邏輯之間的高度隔離。不同類型的輸入卡件，其通道隔離也不相同。通過(guò)使用瞬態(tài)抑制二極管，可提高輸入通道對(duì)靜電和浪涌的防護(hù)能力。

輸入卡件的前面板的LED可以指示每個(gè)輸入信號(hào)的狀態(tài)。ALS機(jī)箱需要多塊輸入卡件以滿足特定應(yīng)用的要求。輸入卡件的數(shù)量取決于輸入通道的數(shù)量以及輸入信號(hào)的類型。特定的輸入卡件可以提供數(shù)量不等的輸入通道，通常為4-32通道之間。

4.1.3 輸出卡件

輸出卡件負(fù)責(zé)控制執(zhí)行機(jī)構(gòu)、指示器、繼電器及現(xiàn)場(chǎng)驅(qū)動(dòng)設(shè)備。每種輸出卡件一般專用于某一特定的輸出類型，比如模擬量輸出、24V或48V數(shù)字量輸出、繼電器輸出等。

ALS輸出卡件的輸出通道與輸入通道類似，都是基于隔離的固態(tài)設(shè)備。使用固態(tài)設(shè)備相對(duì)于電磁式繼電器具有使用壽命長(zhǎng)及可操控感性負(fù)載等優(yōu)勢(shì)。輸出通道包含自測(cè)試功能，部分類型的通道還具有冗余配置及其他專門的測(cè)試功能以確保通道的可運(yùn)行性。輸出通道也具有抗靜電和浪涌防護(hù)能力。

輸出卡件的前面板的LED可以指示每個(gè)輸出信號(hào)的狀態(tài)。ALS機(jī)箱需要多塊輸出卡件以滿足特定應(yīng)用的要求。輸出卡件的數(shù)量取決于輸出通道的數(shù)量以及現(xiàn)場(chǎng)設(shè)備與ALS接口的類型。不同類型的輸出卡件提供數(shù)量不等的輸出通道，通常為1-16通道之間。

4.1.4 通信卡件

通信卡件具有8路相互獨(dú)立及隔離的串口通信通道。該卡件提供可靠的通信傳輸功能，支持與終端進(jìn)行點(diǎn)對(duì)點(diǎn)的差分信號(hào)通信。

4.2 內(nèi)部通信

ALS架構(gòu)基于卡件間可靠的及高完整性的通信。ALS平臺(tái)特有的通信總線架構(gòu)具有先進(jìn)的故障檢測(cè)及緩解功能，不僅提供了可靠的信息通信，還可以檢測(cè)并處理通信鏈接的故障部件。

系統(tǒng)通信采用兩種相互隔離和獨(dú)立的串口通信數(shù)據(jù)總線：

（1）RAB，用于系統(tǒng)正常運(yùn)行時(shí)ALS卡件之間的所有數(shù)據(jù)傳輸；

（2）TAB，用于獲取完整性及診斷數(shù)據(jù)，并執(zhí)行測(cè)試和校準(zhǔn)。

ALS平臺(tái)具有冗余的RAB總線配置，該配置可以保證當(dāng)其中一條總線故障時(shí)，ALS系統(tǒng)可以不受影響的繼續(xù)運(yùn)行。RAB總線只用于傳輸卡件間的重要數(shù)據(jù)，包括輸入數(shù)據(jù)和輸出數(shù)據(jù)。RAB采用組從架構(gòu)，只在系統(tǒng)正常運(yùn)行時(shí)使用，由核心邏輯卡件作為主節(jié)點(diǎn)。

TAB總線只用于傳輸卡件間的非控制相關(guān)的數(shù)據(jù)，包括診斷信息、配置信息、校驗(yàn)和測(cè)試數(shù)據(jù)，并與上位機(jī)進(jìn)行通信。TAB并不會(huì)干擾RAB的正常運(yùn)行。

4.3 ALS系統(tǒng)模式

ALS平臺(tái)使用系統(tǒng)模式的概念來(lái)控制和指示ALS系統(tǒng)的整體性能。系統(tǒng)模式是系統(tǒng)運(yùn)行狀態(tài)的反映。系統(tǒng)模式由核心邏輯卡件維護(hù)，系統(tǒng)模式作為完整性信息的一部分在系統(tǒng)內(nèi)的卡件間傳輸，它為電廠工作人員獲取診斷信息提供了一種簡(jiǎn)便的方式。系統(tǒng)模式包含“FCO”、“RCO”、“HALT”和“RESET”四種。其中“FCO”、“RCO”和“HALT”是3種主要的運(yùn)行模式。FCO是理想的運(yùn)行狀態(tài)，該狀態(tài)表明系統(tǒng)內(nèi)沒(méi)有故障；RCO指示非嚴(yán)重故障發(fā)生，ALS將忽略掉來(lái)自故障單元的信息并繼續(xù)執(zhí)行其功能；HALT表明系統(tǒng)發(fā)生了嚴(yán)重故障，所有功能都將終止。RESET是臨時(shí)性狀態(tài)，只有電廠工作人員撥動(dòng)核心邏輯卡件前面板上的reset開(kāi)關(guān)時(shí)才會(huì)進(jìn)入該模式。

5 NRC對(duì)ALS的評(píng)審

經(jīng)過(guò)5年的開(kāi)發(fā)及2年的取證過(guò)程，ALS于2009年通過(guò)了NRC的評(píng)審，并在同年美國(guó)Wolf Creek核電站換料期間，首次應(yīng)用于該核電站的主蒸汽和給水隔離系統(tǒng)（MSFIS），并作為1E級(jí)系統(tǒng)可以應(yīng)用于安全相關(guān)的反應(yīng)堆保護(hù)系統(tǒng)。

在評(píng)審過(guò)程中，ALS供貨商CS Innovation（CSI）公司認(rèn)為，ALS沒(méi)有使用微處理器，也沒(méi)有軟件部分用于系統(tǒng)的運(yùn)行，因此可以消除對(duì)于軟件共模故障的顧慮。作為業(yè)主的Wolf Creek核電運(yùn)營(yíng)公司（WCNOC）也認(rèn)為采用ALS進(jìn)行系統(tǒng)升級(jí)改造的MSFIS系統(tǒng)并不是基于軟件的系統(tǒng)。

而NRC引用IEEE Std100-2000，“The Authoritative Dictionary of IEEE Standards Terms”中對(duì)軟件（software）的定義，指出FPGA的實(shí)質(zhì)是一種通過(guò)編程來(lái)實(shí)現(xiàn)其功能的設(shè)備，其程序的編制是通過(guò)使用各種軟件工具實(shí)現(xiàn)的。盡管這些軟件工具的輸出將使FPGA實(shí)現(xiàn)其想要的配置，而不是作為程序代碼告訴微處理器如何做，不管是哪種方式，該設(shè)備都服從于程序設(shè)計(jì)并使用軟件工具來(lái)實(shí)現(xiàn)其設(shè)計(jì)目標(biāo)。因此，執(zhí)照持有人可以像更改任何基于軟件的信息處理系統(tǒng)的軟件一樣改變FPGA（通過(guò)寫入FPGA新的指令）。

盡管ALS在系統(tǒng)運(yùn)行時(shí)是沒(méi)有可執(zhí)行的軟件程序參與運(yùn)行的，但是其設(shè)計(jì)開(kāi)發(fā)卻依賴復(fù)雜的軟件工具，這些軟件工具會(huì)產(chǎn)生FLASH程序，這些程序的正確性將決定系統(tǒng)的可靠運(yùn)行。

基于IEEE標(biāo)準(zhǔn)中的定義以及評(píng)審人員對(duì)FPGA設(shè)備的理解，NRC認(rèn)為FPGA系統(tǒng)是數(shù)字系統(tǒng)，并需要依賴高可靠性的軟件工具來(lái)實(shí)現(xiàn)其設(shè)計(jì)目標(biāo)。

6 結(jié)束語(yǔ)

ALS是一個(gè)基于硬件平臺(tái)的完整的控制系統(tǒng)架構(gòu)，它通過(guò)FPGA實(shí)現(xiàn)中央控制單元，與其他PLC控制系統(tǒng)架構(gòu)有很大不同。該系統(tǒng)使用標(biāo)準(zhǔn)的FPGA邏輯電路替代基于軟件的微處理器，從而具有高可靠性。該系統(tǒng)適用于安全相關(guān)控制系統(tǒng)，包括核電站保護(hù)系統(tǒng)。該架構(gòu)包含了診斷、可測(cè)試性和多層次的冗余等多種先進(jìn)特性，并在故障檢測(cè)、隔離和緩解等方面具有顯著特性，從而具有高層次的完整性和可靠性。ALS平臺(tái)的這些特點(diǎn)，將使其在核電乃至工業(yè)控制領(lǐng)域獲得更加廣泛的應(yīng)用。

參考文獻(xiàn)：

[1] Senechal R R，Althenhein G D，Zaccara D，et al.Digital plant protection system[P].US，A，6049578.2000-4-11.

[2] 徐良軍，張堅(jiān)，呂愛(ài)國(guó)，等.核電站非安全級(jí)平臺(tái)儀控的系統(tǒng)及方法[P].CN，A，102097145A.2011-6-15.

[3] Crew A W， Neuner J A， Remley G W， et al. Distributed microprocessor based sensor signal processing system for a complex process[P].US，A，4804515.1989-2-14.

[4] Senechal R R， Wilkosz S J. Automatic self-test system utilizing multi-sensor multi-channel redundant monitoring and control circuits[P].US，A，6167547.2000-12-26.

[5] Sorensen S D， Sogaard S. Advanced logic system[P].US，A，7870299B1.2011-1-11.

[6] IEEE Std100-2000.The Authoritative Dictionary of IEEE Standards Terms，2012.12.