秦裕强 曹新民 朱铭煜

摘 要：FPGA在逻辑控制产品中应用广泛，它们满足严格的质保流程，拥有较长的产品生命周期。介绍一种用于核电仪控系统的基于FPGA的先进逻辑系统，描述该系统的架构、卡件、内部通信和系统模式，并介绍美国核管会（NRC）对其应用于核电仪控系统中的评审。

关键词：FPGA 核电仪控系统 先进逻辑系统（ALS）

中图分类号：TL363+.1 文献标识码：A 文章编号：1007-3973（2013）009-040-02

1 引言

在工业控制领域，包括核电站仪控系统，普遍采用多层次的冗余来保证特殊测量的有效性。研制可靠的核电站保护系统的潜在风险之一是使用基于软件的微处理器，软件具有内在的难以解决的运行问题，即使相对简单的系统也需要庞大数量的程序代码，而基于软件的微处理器系统普遍具有独立验证与确认（IV&V）的困难，且存在潜在的软件共模故障风险。

2 先进逻辑系统（ALS）介绍

先进逻辑系统（ALS）是一种可用于安全级系统的控制平台，它是一种具有高可靠性和完整性的通用平台。ALS是一种基于逻辑的平台，该平台使用FPGA来实现主要的控制功能，系统的运行不依赖微处理器或软件，而是采用了简单的硬件架构。ALS由输入卡件（IPB）、核心逻辑卡件（CLB）、输出卡件（OPB）、通信卡件（COM）等卡件组成，通过简单的组合及配置即可实现特定的应用功能。

3 ALS平台背景介绍

2003年末，美国Wolf Creek核电站由于原有系统的可靠性及老化过时等原因需要更换部分安全相关的I&C系统。考虑到当时市场上没有可行的解决方案，在2004年初，Wolf Creek核电站与CS Innovations（CSI）公司合作开发一种可以替换安全相关I&C系统的新的方案。作为这次合作的成果，CSI公司推出了ALS平台，该平台作为一种通用的安全级平台，可用于核电站安全相关I&C系统。

4 ALS平台架构

ALS平台主要由一个或多个ALS机箱及一个组件盘组成。其中每个机箱最多可插入10块卡件，典型的ALS平台通常配置6-14块卡件，但根据不同的应用要求，通过扩展总线，整个平台最多可配置6个机箱、62块卡件，在最大配置下，每个系统帧的最大速度为10ms；而组件盘包含终端模块、保险丝及其他现场接口硬件等。ALS机箱为工业标准的19英寸机箱，可安装于广泛存在的19英寸的机柜支架上。

4.1 ALS卡件

ALS平台基于通用ALS卡件的组合，通过预先的配置，可满足不用应用的要求。每块卡件都有至少一块FPGA芯片执行主要的控制功能。基本的ALS卡件包括：核心逻辑卡件、输入卡件、输出卡件和通信卡件。

4.1.1 核心逻辑卡件

核心逻辑卡件包含了所有应用相关的逻辑电路，这些电路定义并控制系统的运行。核心逻辑卡件向输入卡件发送请求以获得需要的现场输入信息，对输入信息进行处理以做出判断，并向输出卡件发出控制指令以驱动现场设备。

核心逻辑卡件通常会配置若干本地I/O，这些I/O一般用于系统重置、报警清除及报警指示输出等。

4.1.2 输入卡件

输入卡件负责现场信号采样、信号调理、滤波及A/D转换等功能。每种输入卡件一般专用于某一特定的输入类型，比如24V或48V触点输入、4-20mA模拟量输入、1-10V模拟量输入、热电阻模拟量输入或热电偶模拟量输入等。

ALS卡件上的输入通道具有自测试功能，可以连续检测重要部件的运行状态。通过隔离器确保通道和ALS逻辑之间的高度隔离。不同类型的输入卡件，其通道隔离也不相同。通过使用瞬态抑制二极管，可提高输入通道对静电和浪涌的防护能力。

输入卡件的前面板的LED可以指示每个输入信号的状态。ALS机箱需要多块输入卡件以满足特定应用的要求。输入卡件的数量取决于输入通道的数量以及输入信号的类型。特定的输入卡件可以提供数量不等的输入通道，通常为4-32通道之间。

4.1.3 输出卡件

输出卡件负责控制执行机构、指示器、继电器及现场驱动设备。每种输出卡件一般专用于某一特定的输出类型，比如模拟量输出、24V或48V数字量输出、继电器输出等。

ALS输出卡件的输出通道与输入通道类似，都是基于隔离的固态设备。使用固态设备相对于电磁式继电器具有使用寿命长及可操控感性负载等优势。输出通道包含自测试功能，部分类型的通道还具有冗余配置及其他专门的测试功能以确保通道的可运行性。输出通道也具有抗静电和浪涌防护能力。

输出卡件的前面板的LED可以指示每个输出信号的状态。ALS机箱需要多块输出卡件以满足特定应用的要求。输出卡件的数量取决于输出通道的数量以及现场设备与ALS接口的类型。不同类型的输出卡件提供数量不等的输出通道，通常为1-16通道之间。

4.1.4 通信卡件

通信卡件具有8路相互独立及隔离的串口通信通道。该卡件提供可靠的通信传输功能，支持与终端进行点对点的差分信号通信。

4.2 内部通信

ALS架构基于卡件间可靠的及高完整性的通信。ALS平台特有的通信总线架构具有先进的故障检测及缓解功能，不仅提供了可靠的信息通信，还可以检测并处理通信链接的故障部件。

系统通信采用两种相互隔离和独立的串口通信数据总线：

（1）RAB，用于系统正常运行时ALS卡件之间的所有数据传输；

（2）TAB，用于获取完整性及诊断数据，并执行测试和校准。

ALS平台具有冗余的RAB总线配置，该配置可以保证当其中一条总线故障时，ALS系统可以不受影响的继续运行。RAB总线只用于传输卡件间的重要数据，包括输入数据和输出数据。RAB采用组从架构，只在系统正常运行时使用，由核心逻辑卡件作为主节点。

TAB总线只用于传输卡件间的非控制相关的数据，包括诊断信息、配置信息、校验和测试数据，并与上位机进行通信。TAB并不会干扰RAB的正常运行。

4.3 ALS系统模式

ALS平台使用系统模式的概念来控制和指示ALS系统的整体性能。系统模式是系统运行状态的反映。系统模式由核心逻辑卡件维护，系统模式作为完整性信息的一部分在系统内的卡件间传输，它为电厂工作人员获取诊断信息提供了一种简便的方式。系统模式包含“FCO”、“RCO”、“HALT”和“RESET”四种。其中“FCO”、“RCO”和“HALT”是3种主要的运行模式。FCO是理想的运行状态，该状态表明系统内没有故障；RCO指示非严重故障发生，ALS将忽略掉来自故障单元的信息并继续执行其功能；HALT表明系统发生了严重故障，所有功能都将终止。RESET是临时性状态，只有电厂工作人员拨动核心逻辑卡件前面板上的reset开关时才会进入该模式。

5 NRC对ALS的评审

经过5年的开发及2年的取证过程，ALS于2009年通过了NRC的评审，并在同年美国Wolf Creek核电站换料期间，首次应用于该核电站的主蒸汽和给水隔离系统（MSFIS），并作为1E级系统可以应用于安全相关的反应堆保护系统。

在评审过程中，ALS供货商CS Innovation（CSI）公司认为，ALS没有使用微处理器，也没有软件部分用于系统的运行，因此可以消除对于软件共模故障的顾虑。作为业主的Wolf Creek核电运营公司（WCNOC）也认为采用ALS进行系统升级改造的MSFIS系统并不是基于软件的系统。

而NRC引用IEEE Std100-2000，“The Authoritative Dictionary of IEEE Standards Terms”中对软件（software）的定义，指出FPGA的实质是一种通过编程来实现其功能的设备，其程序的编制是通过使用各种软件工具实现的。尽管这些软件工具的输出将使FPGA实现其想要的配置，而不是作为程序代码告诉微处理器如何做，不管是哪种方式，该设备都服从于程序设计并使用软件工具来实现其设计目标。因此，执照持有人可以像更改任何基于软件的信息处理系统的软件一样改变FPGA（通过写入FPGA新的指令）。

尽管ALS在系统运行时是没有可执行的软件程序参与运行的，但是其设计开发却依赖复杂的软件工具，这些软件工具会产生FLASH程序，这些程序的正确性将决定系统的可靠运行。

基于IEEE标准中的定义以及评审人员对FPGA设备的理解，NRC认为FPGA系统是数字系统，并需要依赖高可靠性的软件工具来实现其设计目标。

6 结束语

ALS是一个基于硬件平台的完整的控制系统架构，它通过FPGA实现中央控制单元，与其他PLC控制系统架构有很大不同。该系统使用标准的FPGA逻辑电路替代基于软件的微处理器，从而具有高可靠性。该系统适用于安全相关控制系统，包括核电站保护系统。该架构包含了诊断、可测试性和多层次的冗余等多种先进特性，并在故障检测、隔离和缓解等方面具有显著特性，从而具有高层次的完整性和可靠性。ALS平台的这些特点，将使其在核电乃至工业控制领域获得更加广泛的应用。

参考文献：

[1] Senechal R R，Althenhein G D，Zaccara D，et al.Digital plant protection system[P].US，A，6049578.2000-4-11.

[2] 徐良军，张坚，吕爱国，等.核电站非安全级平台仪控的系统及方法[P].CN，A，102097145A.2011-6-15.

[3] Crew A W， Neuner J A， Remley G W， et al. Distributed microprocessor based sensor signal processing system for a complex process[P].US，A，4804515.1989-2-14.

[4] Senechal R R， Wilkosz S J. Automatic self-test system utilizing multi-sensor multi-channel redundant monitoring and control circuits[P].US，A，6167547.2000-12-26.

[5] Sorensen S D， Sogaard S. Advanced logic system[P].US，A，7870299B1.2011-1-11.

[6] IEEE Std100-2000.The Authoritative Dictionary of IEEE Standards Terms，2012.12.