基于ALS平台的PMS数据通信设计分析

徐 智，雷 晴

（中广核工程设计有限公司，上海 200241）

随着数字计算机技术的发展以及在核电厂的大规模应用，仪控系统的高度复杂性问题愈发重要。尤其是由于无法完全避免核电厂数字化仪控系统的软件共模故障（CCF），使得在PMS系统的开发时不得不采用如多样性等方式来应对，而这又增加了实施及取证的难度[1]。

先进逻辑系统（ALS）是一种可用于安全级系统的控制平台，由CSI公司于2004年在为Wolf Creek核电厂替换升级老旧保护系统的工程中开发完成。它是一种具有高可靠性和完整性的通用平台，是一种基于“硬”逻辑的平台。该平台采用基于FPGA的简单硬件架构来实现主要的控制功能，系统的运行不依赖微处理器或软件[2]。美国西屋公司在收购CSI公司后进行了大量的取证申请工作，并于2013年9月获得NRC的最终安全报告。该平台被NRC认可为可用于解决数字化安全系统的多样性和纵深防御的问题，可以定制、裁剪适应替换或开发为全新的安全系统[3]。

本文基于该平台的特性及保护与监测系统（PMS）的典型功能需求，设计了一种全新的、基于ALS平台的保护与监测系统总体架构，并基于NRC的数字仪控中期审查指南DI&C-ISG-04的要求，分析了该设计对安全系统数据通信的独立性和隔离要求的一致性。

1 ALS平台

美国Wolf Creek核电厂由于其主蒸汽及给水控制系统的可靠性及老化过时等原因，在2003年决定更换该部分安全相关的I&C系统。由于当时市场上没有适合的解决方案，Wolf Creek核电厂与CSI公司合作，开发了一种可以替换该系统的基于FPGA技术的新方案，并获得了NRC的批准。在此基础上，CSI公司推出了ALS平台作为一种通用的安全级平台，可以通过定制、裁剪进行老旧安全系统的替换或开发为全新的安全系统。

ALS平台主要由一个或多个ALS机箱及外围设备组成。其中每个机箱最多可插入10块卡件，但根据不同的应用要求，通过扩展总线，整个平台最多可连接6个机箱、60块卡件[3]。在最大配置下，每个系统帧的最大速度为 10 ms[2]。ALS 机箱采用工业标准的19英寸机箱，可方便地安装于业界常用的19英寸机柜支架上。外围设备包括机柜、电源、控制盘、组件盘、以及维护站ASU（ALS service unit）等，其中的组件盘用于连接现场信号、保险丝、开关以及其他专用的硬件等。ALS平台核心机箱的典型架构如图 1所示[4]。

图1 ALS机箱架构图Fig.1 ALS chassis architecture block diagram

图1中的主要卡件有核心逻辑卡件ALS-102、输入卡件 ALS-302、ALS-311、ALS-321、 输出卡件ALS-402、ALS-421及通信卡件ALS-601。应用相关的逻辑电路存在于ALS-102卡件，它们控制着系统的运行，如向输入卡件发送指令获取所需现场信号，在对这些信号进行处理后做出逻辑运算，并向输出卡件发出控制指令，可用于驱动现场设备。同时该卡件还可通过ALS-601与机箱外设备进行数据通信，此外该卡件配置有6个继电器触点输入以及4个固态继电器输出的I/O，可用于系统复位、报警指示输出及报警清除等。

输入卡件负责现场信号采样、信号调理、滤波及A/D转换等功能。每种输入卡件专用于特定的输入类型，比如ALS-302用于48 V触点输入，ALS-311用于热电阻模拟量输入或热电偶模拟量输入，ALS-321用于模拟的电流/电压输入。这些输入通道具有自测试功能，可以连续检测关键部件的运行状态。通过隔离器确保通道和ALS逻辑之间的高度隔离。卡件上的瞬态抑制二极管，可提高输入通道对静电和浪涌的防护能力。所有输入卡件面板上均有LED，可以指示输入信号的状态。单个输入卡件可以提供数量多达32个输入通道。ALS机箱可根据特定应用的要求配置多块输入卡件。

输出卡件用于控制执行机构、指示器、继电器及现场驱动设备。每种输入卡件专用于特定的输入类型，比如ALS-402用于48 V数字量输出等，而ALS-421用于模拟电压/电流输出。ALS输出卡件的输出通道均隔离，且包含自测试功能，冗余配置及其他专门的测试功能可确保通道的可运行性。输出通道也具有抗静电和浪涌防护能力。所有卡件面板均有LED，可指示每个输出信号的状态。单个输出卡件可以提供数量多达16个输入通道。ALS机箱可根据特定应用的要求配置多块输出卡件。

ALS-601配有可以配置的、相互独立及隔离的串口通信通道，共8路。支持进行点对点的差分信号通信，能提供与外部其他机箱可靠的通信。

ALS平台的通信总线架构具有先进的故障检测及缓解功能，不但可提供可靠的通信，还可以检测并处理通信链接的故障部件，这是基于2种相互隔离和独立的串口通信数据总线RAB和TAB。RAB用于系统正常运行时各功能卡件与逻辑核心卡件ALS-102之间的关键数据传输；TAB用于获取完整性及诊断数据，并可执行测试和校准。冗余配置的RAB总线保证当其中一条总线故障时，系统可以不受影响的继续运行。RAB总线只用于传输卡件间的输入数据和输出数据等重要数据。RAB采用主从架构，由核心逻辑卡件作为主节点控制整个通信。TAB总线用于非控制相关的数据，如诊断信息、配置信息、校验和测试数据，TAB也采用主从架构，由按需连接的维护站作为核心节点，控制TAB通信。由于这2类总线相互独立且隔离，TAB并不会干扰RAB的正常运行。

文献[3]就ALS平台数据通信的独立性和隔离要求的一致性进行了评估，并得出肯定的结论。但同时也指出，在应用ALS平台开发安全系统时，必须就系统整体，包括ALS-102、TAB及ALS-601，按照DI&C-ISG-04的要求进行评估。本文在保护与监测系统典型功能需求的基础上，设计了全新的、基于ALS平台的安全系统整体架构，并对该设计与DI&C-ISG-04的一致性进行研究。

2 保护与监测系统的典型功能需求

核电厂的基本安全功能为反应性控制、余热排出、包容放射性物质和控制运行排放以及核电厂重要的状态监测等，即反应堆功率必须可控、可靠的将裂变链式反应中止后的余热排出，包括反应堆内显热和核素的衰变热，使核燃料能得到有效冷却以及限制事故释放，设置必要的"屏障"包容放射性物质，以确保按国家相应的标准进行放射性物质的可控排放[5]。具体来说，就是要保护燃料包壳、一回路压力边界以及安全壳这3大核安全屏障的完整性，当核电厂参数达到危害这些屏障完整性程度时，应紧急停闭反应堆，必要时能启动专设安全设施，在事故后能够提供必要的信息来评估和监控核电厂的状态[6]。

NRC的GDC给出了核电厂的总体设计准则，其中的13、18～29条给出对保护与监测系统密切相关的上层设计要求，如GDC 13条给出仪控系统的总体要求、GDC 20条给出安全系统的总体功能要求等[7]。无论是基于模拟技术、数字技术还是混合技术的保护与监测系统均应满足表1的这些要求。

表1 保护与监测系统的主要要求Tab.1 Key requirements of PMS

3 基于ALS的PMS总体架构

核电厂仪表和控制（I&C）系统应为核电厂所有正常运行以及异常、应急和事故工况提供各类控制、保护手段及监测信息，以保证核电厂能安全、可靠和经济地运行。采用集散控制系统和先进控制室，围绕安全性和可用性2个目标进行设计和建造已经成为趋势[8]。I&C系统常采用一体化的设计方法，即核岛和常规岛建立统一的DCS平台，并提供一致和有效的接口。在主控制室内，由非安全级DCS平台驱动的操纵员工作站实现对全厂设备的监视和控制。安全级平板显示器对安全级设备进行显示和控制；如非lE级工作站和lE级平板显示器全部失效时，则通过专用安全盘上的lE级硬接线的系统级控制开关进行安全停堆或驱动专设安全设施，使电厂维持在安全状态。在主控制室总体失效不可居留时，可在远距离停堆室通过非安全级平台驱动的工作站和硬接线的控制开关等进行紧急停堆并将电厂维持在安全停堆状态[9]。在工程上采用成熟的和先进的数字化技术，以提高可利用率、可维护性和可操作性，增加设计的灵活性，尽可能采用同一供应商，并减少备品备件的品种和数量和潜在的接口问题。本文以文献[5，9]描述的方案为基准，结合ALS平台的功能及其在Wolf Creek、Diablo Canyon等核电厂安全系统部分替换工程中的实践[10-11]，设计了一种可替代文献[5，9]中仪控总体结构的方案，同时不考虑非安全级DCS平台的变更，而着重考虑安全级平台Common Q的替代方案。为简化起见，本文只简要给出PMS设计方案与非安全平台的接口。为满足表1要求，PMS总体上采用独立、隔离、冗余的4序列设计。单序列的总体架构如图2所示。单序列的冗余方案如图3所示。

图2 基于ALS平台的PMS单序列架构图Fig.2 PMS one-division detail based on ALS platform

图3 基于ALS平台的PMS单序列冗余详图Fig.3 ALS platform based PMS division redundancy diagram

BPL用来采集来自现场传感器和NIS的信号用于执行保护功能计算。计算的结果用于驱动RT和ESF符合逻辑相应的局部触发；LCL进行符合逻辑表决，触发和驱动局部RT和ESF驱动；ILP通过ALS-601接收系统级ESF驱动命令、通过ALS-601接收来自SD的设备级手动控制命令 （具有严重后果的设备）、通过SRNC与CIM通信，非安全级的设备级手动控制 （具有非严重后果的设备）通过PLS隔离后直接送往CIM；ICP发送数据到其它3个序列，并接收来自其它3个序列的数据，也提供与非安全系统的隔离接口；MTP提供安全系统的人机接口，用于维护和试验功能；具有非严重后果的安全系统设备的手动控制通过非安全系统工作站实现，具有严重后果的安全系统设备的手动控制通过安全显示器实现，在每个CIM上具有就地的设备控制，这些信号的优选功能由CIM实现；QDPS主要用于处理RG1.97要求的1E级变量等。

本设计已经考虑了表1的要求，且最大程度的利用已经通过认证的设备。如ASU可以和经过认证的PC Node Box及平板显示器合二为一，作为在主控制室内的安全级显示，这样可显著减少认证的难度。但对只用于维护的ASU，设备分级可考虑定为非安全级，该ASU通过TAB总线通信。按需连接的方式可以最大程度减小对安全级系统的影响。

由于ALS平台无优先级卡件，因此采用已经认证的 CIM、SRNC以及 RNC模块来实现优选功能。重要设备的状态反馈信息通过CIM、ALS-601、RAB 等 传输。这些模块原本就是CSI开发的基于FPGA技术的模块，信号的连接比较直接方便，可最大程度减少新设计的任务量。

为了提高应对CCF的能力，基于ALS平台固有的多样性特征，所有机箱的FPGA卡件均采用多样双核（core diversity），对于图3中的机柜/机箱卡件采用额外的内置式多样性设计（embedded design diversity），如 BCC-A1 与 BCC-A2，LCL-A1 与 LCLA2，ILC-A1的 ILP-A1-1与 ILC-A1的 ILP-A1-2以及ILC-A2的ILP-A1-1与ILC-A1的ILP-A1-2均采用了内置式多样性设计。

由于维护用ASU设计为按需连接，而ALS-102设有TXB端口，因此送至非安全级DDS系统网络的信号设计为不通过专用网关，而是隔离后通过每个机箱的ALS-102的端口TXB2单向发送。

由于ALS认证的平台并不包括脉冲输入模块，以此必须重新设计脉冲输入模块，或者增加将其转换为模拟电压/电流的模块。也可对传感器输出类型作出要求，简化PMS的开发难度。送至系统外的其他信号可以通过ALS-402、ALS-421卡件经隔离后输出。ADS驱动闭锁不考虑改变。

图2的架构设计考虑了文献[5，9]所有的信号接口。但文献[3]4.2节明确要求，对采用ALS平台搭建的系统必须依照DI&C-ISG-04对具体的ALS-102、TAB、ALS-601等数字通信功能进行评估。

4 数据通信的独立性和隔离要求分析

虽然DI&C-ISG-04论述的3部分，序列间通信、命令优先级、多序列控制与显示站，是对基于微处理器安全系统的评估，但NRC认为其也可用于非处理器系统适用部分的评估。本文仅分析SER4.2节要求的[3]、针对具体设计必须进行的评估，而不描述平台本身的、SER中已经完成的评估。

4.1 序列间通信分析

（1）本设计不采用多序列共用的维护站，且各序列内各机箱的TAB与该序列ASU单独的接口连接，因此TAB接口满足独立性的要求。

本设计采用来自其他序列的BPL触发信号作为2oo4逻辑的输入，但2oo4逻辑的功能并不依赖于其他序列的输出信号。只有其他序列的信号判断为有效时才参与表决。如果由于其他序列信号故障或ALS-601等传输故障发生，有效数据少于表决器所需的最少输入时，系统会进入预置的输出状态。这些功能可通过ALS-102逻辑来实现。

（2）本设计不采用多序列共用的控制站，但通过ALS-601配置单向接收通道从其他序列接收安全信号。ALS-601是安全级卡件，通过使用CRC校验、连续监控通信等手段保证不受其他输入的负面影响。安全功能不依赖于PC Node Box及安全级平板显示器。如第（1）所述，ALS-601的通信故障不影响安全功能。ALS-102的单向TXB输出通道与非安全级的SOE及DDS连接。隔离、单向的发送通道保证安全系统不受外部的影响。BPL、LCL、ILP等的多样双核和多样性设计提高了抵御错误、执行安全功能的能力。

本设计1E级PC Node Box及安全级平板显示器获取其他序列信息的通路如图4所示。

图4 序列间信息通路Fig.4 Cross divisional data flow

本设计中除了各信号至本序列的ICP采用电缆连接外，其他信号均采用单向光缆连接。这样的连接保证外部信号的获取，隔离、单向的通道保证BPL、LCL、ILC等安全系统不受外部的影响。

（3）本设计通过ALS-102的TXB1端口单向发送信息至非安全级SOE，采用TXB2端口单向发送信息至非安全级DDS。每个序列内每个机箱，不包括扩展机箱，通过双向TAB与ASU通信。安全级PC Node Box及安全级平板显示器通过本序列各机箱的ALS-601进行通信，不包括扩展机箱。同时ALS-601从其他序列接收局部触发信号进行表决，但由于基于FPGA技术和微处理器技术的不同，存储器及处理器的资源不是共享的，因此这种通信不会显著的增加错误和复杂性。

（4）本设计只采用通过认证的 TXB、TAB、RAB及ALS-601通信。本设计停堆功能最长的时间延迟途径为最大的输入卡件信号处理延迟、最大的输入卡件访问周期延迟、RAB最大读取数据处理延迟、最大的1号ALS-102卡件处理逻辑延迟、最大的1号ALS-601卡件访问周期延迟、RAB最大发送处理延迟、最大的1号ALS-601处理逻辑延迟、1号ALS-601到开始发送相关数据的最大发送延迟、最大的数据传输持续时间、最大的2号ALS-601接收处理延迟、最大的2号ALS-601访问周期延迟、RAB接收最大处理延迟、最大的2号ALS-102卡处理逻辑延迟、最大的输出卡件访问周期延迟、最大RAB传输延迟、最大的输出卡件输出延迟。虽然具体的各卡件的通信延迟时间指标没有公布，但基于类似架构的经验以及FPGA并行处理特性，可以推断时间延迟应小于其他方案。

（5）通过ALS-102的逻辑定义最大可接受的时间延迟，当延迟过大时产生报警，并通过ALS-601送至安全级显示器，同时通过TXB2送至DDS，提醒操纵员采取必要的措施。

（6）通过ALS-102的逻辑定义由字节模式（Byte Mode）或分组模式（Packet Mode）周期性传输的预先定义的信息，同时在使用数据之前会验证数据的有效性。ALS-601也根据ALS-102所设定的格式进行数据的发或收。本设计不采用TXB向其他冗余安全序列传输信号，且其只能单向发送，因此不需要满足第（6）的要求。

（7）本设计序列间通信均通过ALS-601，这些隔离的1E信号加上第（1）、第（6）点的特性保证序列间的负面影响最小。设计不采用TXB向其他冗余安全序列传输信号，且其只能单向发送，可不满足第（7）的要求。且其隔离的、单向发送的与非安全系统的通信对安全系统无影响。设备的手动软控制在PLS中产生。非安全系统到安全系统的数据流不采用通信链路实现，而是使用开关信号来实现。本设计采用非安全系统的远距离I/O发送信号到安全系统。远距离I/O节点与一个或多个1E级设备接口模件（CIM）相连接。非安全系统的命令也可经CIM中基于FPGA的优选逻辑处理后输出相应的数字量信号。如果来自非安全级信号和来自PMS子系统的1E级自动、手动驱动信号的控制命令发生矛盾，系统预定的安全状态优先。CIM模件内部还包含了等效于数字量输入模件的部分，用来读取设备状态和CIM的内部状态。CIM上的从非安全系统到安全系统的控制命令，以及从安全系统到非安全系统的状态信号，这两种数据流不通过通信链路实现，而是采用简单的数字量信号来实现。通信功能和1E级优选逻辑之间简单离散信号接口能保证只有满足逻辑的数据，才是真正需要的控制命令。CIM中的优选逻辑，是通过实施基于安全状态优先和仅实施在PMS功能设计中已规定的功能实现功能隔离。

（8）本设计采用ALS平台对通过TAB总线连接ALS维护站的要求，如通过MCR的开关按需连接、提供接入报警，且仅能对预先设定的某些参数按规定要求进行维护、不能修改FPGA本身、不进行序列间交叉操作等，保证维护站不会影响正在运行的安全序列的功能。

MCR的安全显示站不提供ALS维护站的相应操作，该站与其他站的数据交换通过ALS-601实现，但其与ALS维护站的通信是通过TAB的“从”站进行。

（9）本设计的ALS维护站是通过MCR的开关按需连接的，并提供接入报警，除了规定的某些参数可以按规定要求进行维护外，不能在线修改FPGA内容。

（10）本设计的ALS维护站是通过MCR的开关按需连接的，并提供接入报警。在MCR中的这些开关、显示等采用1E级部件，且所有机箱的TAB总线和ALS维护站之间的信号经过隔离后连接。

序列内的ALS-601之间的配对连接不进行隔离，送至本序列的输出采用1-N的扇出，序列间的输出采用1-6的隔离扇出。序列内的接收采用N个配置成为单向接收的端口，采用6个配置成为单向接收端口接收外序列隔离信号。各机箱按需采用多个ALS-601卡件来获取足够的端口。由于各机箱内ALS-601并行处理结构，多卡不明显影响系统的时间响应。

本设计不采用序列间共用的显示与控制站。以此序列间的通信不会影响所需的安全功能。

（11）本设计采用ALS-601来传输序列内、序列间的触发信号。点对点的UART通信协议、校验位以及CRC校验保证了数据的正确性及有效性。这些传输是按固定的间隔进行，因此可以监测出信号的时间提早、延迟特性，必要时可以进入预定的故障状态。系列间的信号采用隔离的输出/输入，进一步保证了序列间通信的有效性。

（12）本设计采用ALS-601来传输序列间的触发信号。传输线路采用点对点的配对传输，即一端为单向发送，另一端为单向接收，中间无其他节点，保证了关键数据序列间的传输。

（13）本设计采用ALS-601按固定的周期来传输序列间的触发信号，无论数据是否发生变化均按照预定的格式及频度周期传输。

（14）本设计采用ALS-601按固定的周期以点对点方式来传输序列间的触发信号，且只有重要的信号才通过ALS-601传输。这样的架构使得能够保证关键数据的实时、有效和连通性。

（15）作为文献[5，9]的替代方案，本设计只要求系统能满足在相应的和缓环境下[12]工作即可。序列间的连接均采用光缆，序列内近距离的安全级信号的连接采用电缆，和MCR中的PC Node Box的连接均采用光缆，无论传输介质是电缆还是光缆，均通过鉴定。

（16）本设计的数字通信主要通过冗余的双向的 RAB、双向的 TAB、单向的TXB、可配置的单向ALS-601进行。每个机箱只有1个ALS-102作为“主”站控制所有的RAB通信。RAB采用通用异步收发器（UART）的EIA-485协议，以固定的周期及格式收发数据。在传输失败后，会自动应答并重新传输一次。每次传输都由ALS-102发起，到相应卡件的响应而结束。因此该通信在任何时刻，实质上是单向的，数据传输无冲突。冗余的RAB提供了额外的查错功能。

TAB除了不是一直处在“激活”的“主”站控制状态、不是以固定周期传输、不自动重新传输、不冗余外，与RAB的通信方式基本一致。

本设计的2个单向的TXB分别提供独立的、串行、无握手信号的、基于EIA-422的URAT通道，来连续的向非安全级系统传送数据。

ALS-601有和上述的TAB、RAB通信的能力，同时还有8个可配置成单向“收”或“发”的端口。当某端口配置为“收”时，从该端口读取数据并进行数据缓存，通过奇偶位、校验和等数据完整性检查后，这些有效数据可从RAB读出，反之亦然。

这些措施能有效地进行数据传输。当安全重要数据传输万一失败后，系统会进入预定状态并报警。

本设计执行停堆、专设的BPL、LCL以及ILP机箱采用简洁架构、只配置所需的最少卡件。每个BPL机箱配置单个ALS-601卡件，可以输出安全功能所需的触发/驱动信号，发送至序列内MCR中PC Node Box、ICP等卡件信息则是通过该卡件上一个配置为“发”的单向端口发送，并配置一个单向“收”端口接收来自MCR的信息，单个TAB和按需连接的ASU的专门接口连接。LCL则必须配置2块ALS-601的卡件，用于接收来自本序列2个BPL机箱的2个ALS-601的输出信号以及其他序列6个BPL机箱的6个ALS-601的输出信号。ILP机箱除了多2个接收来自安全信息流程上游的信号 （2个LCL机箱的2个ALS-601的输出信号）而配置为单向“收”端口外，和BPL机箱类似。由于MTP/ASU是按需连接的，为了保证定值设定等的正确，本设计要求在技术规范书中规定其与系统连接的最大断开时间和频度，此外MCR的PC Node Box在接收通过ITP、ICP等来自其他序列的信息后，应根据需要通过ALS-601的“发”端口广播其中必要的部分信息，如将其他序列的设备状态信息广播至ILP。这样的简单设置、连接和管理，使得系统正确执行安全功能的能力增加。

（17）本设计的TXB端口不用来传输安全重要数据，因此可不满足本要求。

本设计的ALS-601用来传输序列间的安全重要数据。由于采用的是点对点方单向传输方式，最大的波特率为921600 b/s，但由于最大的帧时间为10 ms[2]，因此总的数据吞吐能力不低于文献[5，9]的要求。

（18）本设计的TXB端口不用来传输安全重要数据，因此可不满足本要求。

本设计的ALS-601用来传输安全重要数据。卡件的FPGA仅采用组合逻辑及有限状态机（FSM）。而可预测的、确定性的FSM，具有所需的一系列特性，如各个FSM专用资源、所有状态可知、每个周期只有单一新状态、对应给定状态的输入，只存在唯一的转换到新状态，加上周期性的传输特性使得通信的确定性得到保证。一般说来，并行的FPGA的响应时间要优于基于微处理器的串行系统，详细的时间响应将另文阐述。

4.2 命令优选

核电厂某些安全设备的驱动/控制命令来自于不同的系统，而这些命令存在不一致或矛盾的可能。为了确保设备能正确地执行安全功能，不同安全等级之间控制命令优先权判断一般由优先逻辑模块执行。无论是西门子TXS系统的AV42模块，还是Common Q平台设计中的底层逻辑判断设备性能都直接影响核电厂的安全性。

由于ALS平台没有优选模块，以此本设计采用CSI公司已经通过安全级认证的CIM模块来实现命令优选功能。基于FPGA技术的CIM模块已经应用于文献[5，9]的系统。其详细的功能见第（8）。安全设备的状态信息通过ILP机箱的ALS-601模块向上传输。

4.3 多序列的控制与显示站

本设计不采用序列共用的控制与显示站，而采用单序列独立的控制与显示站，因此可不满足该要求。序列间数据的显示见图4所示。

5 结语

本文以3代加非能动核电厂的仪控方案为参考，基于已经通过NRC认证的ALS平台，结合ALS平台在一些核电厂安全系统部分替代工程的实践，设计了一种基于ALS平台的全新的PMS仪控总体结构方案。根据ALS平台的SER要求，对该方案数据通信的独立性和隔离要求的一致性进行论证，得出该方案满足DI&C-ISG-04要求的结论。

由于目前世界上没有将ALS平台开发作为PMS的工程实践，因此本设计是一创新方案，论证方案的可行性需进行大量的研究工作。对其他要求的符合性将另文阐述。应该指出的是，由于ALS平台具有6机箱扩展能力，因此理论上存在TAB的扩展连接功能。如果采用扩展连接TAB总线可行，将显著简化设计的架构。

[1]徐智，雷晴，陈冬雷.CIM和DAS多样性的定量分析[J].自动化仪表，2014，35（S1）：73-76.

[2]秦裕强，曹新民，朱铭煜.基于FPGA的先进逻辑系统在核电仪控系统中的应用[J].科协论坛，2013（9）：40-41.

[3]NRC U S.Nuclear Regulatory Commission Safety Evaluation for Topical Report 6002-00301“Advanced Logic System Topical Report”[R].Rock ville：NRC，2013.

[4]Warren Odess-Gillett.Advanced Logic System Topical Report-Nuclear Safety Related[R].CSI，Cranberry Township，PA，2013.

[5]林诚格，郁祖盛.非能动安全先进压水堆核电技术[M].北京：原子能出版社，2008：26-29.

[6]广东核电培训中心.900 MW压水堆核电站系统与设备[M].2版.北京：原子能出版社，2007：254-317．

[7]NRC.10CFR50 Appendix A to Part 50—General Design Criteria for Nuclear Power Plants[S].Rockville：NRC，2007.

[8]郑伟智.集散控制系统在核电站保护系统中的应用[J].核电子学与探测技术，2012，32（4）：438-452.

[9]孙汉虹，程平东，缪鸿兴，等.第三代核电技术AP1000[M].北京：中国电力出版社，2010：322-412.

[10]NRC.Wolf Creek Nuclear Operating Corporation-amendment to Renewed Facility Operating License[R].NRC，Washington DC，2009.

[11]Diablo Canyon Power Plant.Supplement to License Amendment Request 11-07.Process Protection System Replacement[R].Avila Beach，CA，2013.

[12]Westinghouse LLC.Westinghouse AP1000 Design Control Document[R].Pittsburgh：Westinghouse Electric Company LLC，2012．