按计划,NuPAC平台将首先应用于国家重大专项、中国自主三代核电CAP1400示范工程1、2号机组。
历时8年,由国家电力投资集团公司(下称国家电投集团)和美国洛克希德-马丁公司(下称洛马公司)联合研发的核电站“中枢神经系统”,已获得中美两国政府核安全监管机构颁发的行政许可证,不仅可用于中国和美国的核电站,还将走向全球核电市场。这也意味着中国核电站数字化仪控系统拥有了完整自主知识产权,打破了该领域长期被国外几大仪控供应商垄断的历史。
中国五大电力集团之一、同时也是核电三巨头之一的国家电投集团1月5日在京宣布,由旗下国核自仪系统工程有限公司(下称国核自仪)和美国洛克希德-马丁公司联合研发的安全级数字化仪控系统平台NuPAC,已通过中国国家核安全局和美国核管理委员会(NRC)认证,成为全球首个通过中美政府核安全监管机构行政许可的核电站反应堆保护系统。
如果把核电站比作一个人,数字化仪控系统和反应堆保护系统就是核电站的中枢神经系统。数字化仪控系统控制着核电站近300个系统、近万个设备的运行和系统工况,对核电厂的安全可靠稳定运行发挥着重要作用。
洛马是美国最大的军火供应商。与美国有军工背景的洛马公司合作开发如此核心敏感的仪控系统,是否有潜在的安全隐患?在1月5日发布会行将结束之时,国家电投集团董事长王炳华提出了这一最尖锐的问题: “平台研制过程当中是否留有‘后门’?会不会设计一套可以引爆的系统来瘫痪中国核电站和其他采用该平台的行业?这方面的质疑声还是有的。”据洛马公司执行副总裁Rick Edwards和国核自仪总经理邱韶阳当天介绍,无论从双方开放透明的研发过程还是FPGA技术本身属性来看,都完全杜绝了“后门”存在的可能性。
数字化仪控技术自主化:引进美国三代核电留下的“小尾巴”、长期受制于人的核心技术
数字化仪控系统和保护系统的自主化、国产化,是10年前中国引进美国非能动三代核电AP1000过程中留下的一个“小尾巴”。
2003年,中国核电政策走向清晰,决策层决定将“适度发展核电”调整为“积极发展核电”,启动一批新的核电项目,并引进世界先进核电技术,统一技术路线。经过三年的技术谈判,美国西屋电气公司的AP1000技术在与法国阿海珐公司EPR技术的角逐中胜出,成为中国三代核电的引进对象。
然而,西屋公司可以转让AP1000三代整体核电技术,但作为核电站中核心关键技术之一的反应堆保护系统,却因受制于第三方知识产权制约等种种因素,不在转让之列。反应堆保护系统能够在核电站遇到地震、海啸、全厂失电等事故工况下保证安全停堆和停堆后的冷却,可谓核电站的“安全卫士”。
据原核工业部常务副部长陈肇博回忆,启动数字化仪控技术的自主化研制,对于当时即将批量化建设核电站的中国而言,不仅迫切而且必须。
“当时,我们在与欧美公司接触时,他们对仪控系统要价已非常高,两个机组仪控系统的价格高达两三亿美元。其实,这套系统的硬件,包括各种测试仪表、压力计、温度计、各种控制柜、计算机等都很便宜的,总价值就几千万美元,但真正值钱的就是软件。因为数字化仪控系统的软件开发投入较大,拥有很多的专利,所以一旦向中国转让了技术,他们就不再可能靠卖数字化仪控而获取高额利润了。”
为了不受制于人,中国必须自主开发这项技术。从另一个角度而言,这也是为中国成套出口自主三代核电技术扫清障碍。2008年3月,承担AP1000核电站数字化控制系统自主化任务的国核自仪正式成立。
为什么选择洛克希德-马丁?
“之所以选择洛马公司,因为它在FPGA技术应用上,有其特点。FPGA技术并不是洛马选择的,而是我们先选择了FPGA技术,再选择对此比较了解的企业,这一技术此前较多应用于国防科工领域,其他商业领域基本没有。”国核自仪总经理邱韶阳对澎湃新闻称,与洛马公司的合作,有其历史原因。
2009年,也就是国核自仪成立一年后,洛马公司来中国寻找商业机会。“我们在核电控制设备的设计和供货上经验丰富。但在当时,美国已经30年没有新建核电站了,洛马迫切需要保有并延续强大的研发和工程实力。我们看到了中国巨大的核电市场发展潜力。”洛马公司执行副总裁Rick Edwards称。
另一方面,国核自仪一直在寻求反应堆保护系统设备开发的具体路径。相比于自己摸索,在国际上寻找合作伙伴,共享知识产权,算是条捷径。经过行业发展趋势和市场可配置资源调研,国核自仪最终选择了备受国际原子能机构(IAEA)推崇的基于FPGA技术的反应堆保护系统技术方案。相比于微处理器技术,基于现场可编程门陈列(FPGA)技术采用的“纯硬件”理念更接近于模拟技术,避免引入操作系统和软件,信息安全等级高,可有效抵御黑客攻击。
这正是洛马公司的技术强项。洛马当时已在航空航天等可靠性和安全性要求极高的领域广泛应用了FPGA技术,也有意利用该技术进入民用核电领域,参与数字化仪控的国际竞争。双方一拍即合。这是FPGA技术第一次用在商用核电站仪控设备上。
根据合同,双方合作研发,共享知识产权。两家公司共同组建研发团队和项目管理团队,所有人员1:1配比,面对面开展工作、所有数据库共享、所有技术对双方开放。双方约定,国核自仪拥有完整的NuPAC平台知识产权,自主开发源代码,并可不受限制地持续改进开发;在满足中美政府间关于和平利用核能的框架协议下,国核自仪可向全球市场提供平台和服务。联合开发的产品,不仅针对中国或美国市场,而是推向全球。
此后,双方在美国建立了三处联合研发基地,分别位于宾夕法尼亚州邓莫尔、杰瑟普和得克萨斯州达拉斯。70余名中方工程师长期驻美,与洛克希德-马丁公司联合开展研发、设计、测试和验证等工作。在合同执行的第二阶段,中方团队承担了绝大部分系统设计、代码开发和集成测试等工作,逐渐走向研发一线,洛马逐步退居幕后,主要负责设计评审和技术指导。
“三个联合实验室在产品不同研发阶段发挥了重要作用。NuPAC平台研发过程,是中国三代核电自主化工作的一个缩影。” 国家电投集团董事长王炳华说道。
是否有后门?会否给中国核电站带来瘫痪风险?
据介绍,NuPAC平台可以应用于CAP系列核电站、二代加核电站、VVER核电站、海上移动核电站、重型燃气轮机、轨道交通信号处理系统。无一不是关乎能源甚至国防安全的重要领域。
中美两国既重要又复杂的关系、洛马公司的美国军工背景和核电行业的特殊性,种种因素叠加使得这一联合研发的成果显得颇为微妙和特殊。王炳华在发布会上直接发问,联合研发过程中,会不会有人给NuPAC平台设置后门?设置炸弹?或者设计可以引爆的一套系统来瓦解甚至瘫痪中国的核电站及其他重要系统?
“整个开发环节,所有软件代码都是双方共同编制的,每行代码至少3个以上人读写,所有研发人员必须透明地解释每一个字符。最终产品做出来之后,所有功能都会被测试。国核自仪有自主开发的24小时自诊断系统,但凡有什么被隐藏的非预期功能,完全可以检测到。目前双方的合作模式,已经发生反转,所有的源代码基本是国核自仪的研发人员在编制。”邱韶阳表示,国核自仪自主开发的FPGA源代码,未采用任何商业第三方代码或内核。从双方面对面的开发环节来看,也不存在安置后门的可能性。从技术本身来说,FPGA技术的安全性高于传统基于CPU的系统平台,因为并非用软件运行,产品一旦交付给用户,无论是用户自身还是恶意攻击者,均没办法改变硬件电路。
“我们最早共同确立的合作研发原则,可以说就是为了反驳这样的质疑。”洛马公司执行副总裁Rick Edwards称,研发全程所有专家的行为都是高度透明开放的,在同一工作场所用同样设备研发,不存在任何暗藏的设施和设计。“在这样的环境下,假如有一个人要做什么小动作,会被立刻发现,所以没有这样的可能性来设计后门。”
2016年12月,NuPAC平台取得美国核管会(NRC)发布的安全评估报告(SER)。同月,获得中国国家核安全局颁发的设计与制造许可证(HAF601许可证)。按计划,NuPAC平台将首先应用于国家重大专项、中国自主三代核电CAP1400示范工程1、2号机组。
NRC是美国负责核安全监管的政府机构,对核技术、核设备和核设施在美国的使用负有最终安全监督责任,NRC对安全级设备开发流程和平台技术均按照美国强制性的核安全法律、法规、导则和背书的工业标准进行严格认证。
NRC对NuPAC平台评审结果为,平台硬件、架构和质量体系等满足美国政府针对核电厂安全系统的核安全导则要求,可用于美国核电厂安全系统。在此之前,NRC总共给核电站数字化仪控系统颁发过三张证,分别给了西门子、西屋和英维斯,这三家的仪控系统均基于CPU技术。国家核安全局颁发的设计与制造许可证,则相当于卫生部颁发给医生的行医执照。
邱韶阳称,美国是核电发源地,鉴于NRC在全球核能监管领域的公认权威性,其安全评审被绝大多数核电建设国家所认可。“根据中美两国政府和平利用核能的框架协议,如果双方共同开发一个市场,这个市场必须是中美双方政府认可的、在国际原子能机构监管下的。”目前,国核自仪目前具备每年6台套核电数字化控制和保护系统的供应能力。