歷時8年，由國家電力投資集團公司（下稱國家電投集團）和美國洛克希德·馬丁公司（下稱洛馬公司）聯(lián)合研發(fā)的核電站“中樞神經(jīng)系統(tǒng)”，已獲得中美兩國政府核安全監(jiān)管機構(gòu)頒發(fā)的行政許可證，不僅可用于中國和美國的核電站，還將走向全球核電市場。這也意味著中國核電站數(shù)字化儀控系統(tǒng)擁有了完整自主知識產(chǎn)權(quán)，打破了該領(lǐng)域長期被國外幾大儀控供應(yīng)商壟斷的歷史。

中國五大電力集團之一、同時也是核電三巨頭之一的國家電投集團1月5日在京宣布，由旗下國核自儀系統(tǒng)工程有限公司（下稱國核自儀）和美國洛克希德·馬丁公司聯(lián)合研發(fā)的安全級數(shù)字化儀控系統(tǒng)平臺NuPAC，已通過中國國家核安全局和美國核管理委員會（NRC）認證，成為全球首個通過中美政府核安全監(jiān)管機構(gòu)行政許可的核電站反應(yīng)堆保護系統(tǒng)。

如果把核電站比作一個人，數(shù)字化儀控系統(tǒng)和反應(yīng)堆保護系統(tǒng)就是核電站的中樞神經(jīng)系統(tǒng)。數(shù)字化儀控系統(tǒng)控制著核電站近300個系統(tǒng)、近萬個設(shè)備的運行和系統(tǒng)工況，對核電廠的安全可靠穩(wěn)定運行發(fā)揮著重要作用。

洛馬是美國最大的軍火供應(yīng)商。與美國有軍工背景的洛馬公司合作開發(fā)如此核心敏感的儀控系統(tǒng)，是否有潛在的安全隱患？在1月5日發(fā)布會行將結(jié)束之時，國家電投集團董事長王炳華提出了這一最尖銳的問題： “平臺研制過程當中是否留有‘后門’？會不會設(shè)計一套可以引爆的系統(tǒng)來癱瘓中國核電站和其他采用該平臺的行業(yè)？這方面的質(zhì)疑聲還是有的。”據(jù)洛馬公司執(zhí)行副總裁Rick Edwards和國核自儀總經(jīng)理邱韶陽當天介紹，無論從雙方開放透明的研發(fā)過程還是FPGA技術(shù)本身屬性來看，都完全杜絕了“后門”存在的可能性。

數(shù)字化儀控技術(shù)自主化：引進美國三代核電留下的“小尾巴”、長期受制于人的核心技術(shù)

數(shù)字化儀控系統(tǒng)和保護系統(tǒng)的自主化、國產(chǎn)化，是10年前中國引進美國非能動三代核電AP1000過程中留下的一個“小尾巴”。

2003年，中國核電政策走向清晰，決策層決定將“適度發(fā)展核電”調(diào)整為“積極發(fā)展核電”，啟動一批新的核電項目，并引進世界先進核電技術(shù)，統(tǒng)一技術(shù)路線。經(jīng)過三年的技術(shù)談判，美國西屋電氣公司的AP1000技術(shù)在與法國阿海琺公司EPR技術(shù)的角逐中勝出，成為中國三代核電的引進對象。

然而，西屋公司可以轉(zhuǎn)讓AP1000三代整體核電技術(shù)，但作為核電站中核心關(guān)鍵技術(shù)之一的反應(yīng)堆保護系統(tǒng)，卻因受制于第三方知識產(chǎn)權(quán)制約等種種因素，不在轉(zhuǎn)讓之列。反應(yīng)堆保護系統(tǒng)能夠在核電站遇到地震、海嘯、全廠失電等事故工況下保證安全停堆和停堆后的冷卻，可謂核電站的“安全衛(wèi)士”。

據(jù)原核工業(yè)部常務(wù)副部長陳肇博回憶，啟動數(shù)字化儀控技術(shù)的自主化研制，對于當時即將批量化建設(shè)核電站的中國而言，不僅迫切而且必須。

“當時，我們在與歐美公司接觸時，他們對儀控系統(tǒng)要價已非常高，兩個機組儀控系統(tǒng)的價格高達兩三億美元。其實，這套系統(tǒng)的硬件，包括各種測試儀表、壓力計、溫度計、各種控制柜、計算機等都很便宜的，總價值就幾千萬美元，但真正值錢的就是軟件。因為數(shù)字化儀控系統(tǒng)的軟件開發(fā)投入較大，擁有很多的專利，所以一旦向中國轉(zhuǎn)讓了技術(shù)，他們就不再可能靠賣數(shù)字化儀控而獲取高額利潤了。”

為了不受制于人，中國必須自主開發(fā)這項技術(shù)。從另一個角度而言，這也是為中國成套出口自主三代核電技術(shù)掃清障礙。2008年3月，承擔AP1000核電站數(shù)字化控制系統(tǒng)自主化任務(wù)的國核自儀正式成立。

為什么選擇洛克希德·馬丁？

“之所以選擇洛馬公司，因為它在FPGA技術(shù)應(yīng)用上，有其特點。FPGA技術(shù)并不是洛馬選擇的，而是我們先選擇了FPGA技術(shù)，再選擇對此比較了解的企業(yè)，這一技術(shù)此前較多應(yīng)用于國防科工領(lǐng)域，其他商業(yè)領(lǐng)域基本沒有。”國核自儀總經(jīng)理邱韶陽對澎湃新聞（www.usamodel.cn）稱，與洛馬公司的合作，有其歷史原因。

2009年，也就是國核自儀成立一年后，洛馬公司來中國尋找商業(yè)機會。“我們在核電控制設(shè)備的設(shè)計和供貨上經(jīng)驗豐富。但在當時，美國已經(jīng)30年沒有新建核電站了，洛馬迫切需要保有并延續(xù)強大的研發(fā)和工程實力。我們看到了中國巨大的核電市場發(fā)展?jié)摿Α！甭羼R公司執(zhí)行副總裁Rick Edwards稱。

另一方面，國核自儀一直在尋求反應(yīng)堆保護系統(tǒng)設(shè)備開發(fā)的具體路徑。相比于自己摸索，在國際上尋找合作伙伴，共享知識產(chǎn)權(quán)，算是條捷徑。經(jīng)過行業(yè)發(fā)展趨勢和市場可配置資源調(diào)研，國核自儀最終選擇了備受國際原子能機構(gòu)（IAEA）推崇的基于FPGA技術(shù)的反應(yīng)堆保護系統(tǒng)技術(shù)方案。相比于微處理器技術(shù)，基于現(xiàn)場可編程門陳列（FPGA）技術(shù)采用的“純硬件”理念更接近于模擬技術(shù)，避免引入操作系統(tǒng)和軟件，信息安全等級高，可有效抵御黑客攻擊。

這正是洛馬公司的技術(shù)強項。洛馬當時已在航空航天等可靠性和安全性要求極高的領(lǐng)域廣泛應(yīng)用了FPGA技術(shù)，也有意利用該技術(shù)進入民用核電領(lǐng)域，參與數(shù)字化儀控的國際競爭。雙方一拍即合。這是FPGA技術(shù)第一次用在商用核電站儀控設(shè)備上。

根據(jù)合同，雙方合作研發(fā)，共享知識產(chǎn)權(quán)。兩家公司共同組建研發(fā)團隊和項目管理團隊，所有人員1：1配比，面對面開展工作、所有數(shù)據(jù)庫共享、所有技術(shù)對雙方開放。雙方約定，國核自儀擁有完整的NuPAC平臺知識產(chǎn)權(quán)，自主開發(fā)源代碼，并可不受限制地持續(xù)改進開發(fā)；在滿足中美政府間關(guān)于和平利用核能的框架協(xié)議下，國核自儀可向全球市場提供平臺和服務(wù)。聯(lián)合開發(fā)的產(chǎn)品，不僅針對中國或美國市場，而是推向全球。

此后，雙方在美國建立了三處聯(lián)合研發(fā)基地，分別位于賓夕法尼亞州鄧莫爾、杰瑟普和得克薩斯州達拉斯。70余名中方工程師長期駐美，與洛克希德·馬丁公司聯(lián)合開展研發(fā)、設(shè)計、測試和驗證等工作。在合同執(zhí)行的第二階段，中方團隊承擔了絕大部分系統(tǒng)設(shè)計、代碼開發(fā)和集成測試等工作，逐漸走向研發(fā)一線，洛馬逐步退居幕后，主要負責設(shè)計評審和技術(shù)指導。

“三個聯(lián)合實驗室在產(chǎn)品不同研發(fā)階段發(fā)揮了重要作用。NuPAC平臺研發(fā)過程，是中國三代核電自主化工作的一個縮影。” 國家電投集團董事長王炳華說道。

是否有后門？會否給中國核電站帶來癱瘓風險？

據(jù)介紹，NuPAC平臺可以應(yīng)用于CAP系列核電站、二代加核電站、VVER核電站、海上移動核電站、重型燃氣輪機、軌道交通信號處理系統(tǒng)。無一不是關(guān)乎能源甚至國防安全的重要領(lǐng)域。

中美兩國既重要又復(fù)雜的關(guān)系、洛馬公司的美國軍工背景和核電行業(yè)的特殊性，種種因素疊加使得這一聯(lián)合研發(fā)的成果顯得頗為微妙和特殊。王炳華在發(fā)布會上直接發(fā)問，聯(lián)合研發(fā)過程中，會不會有人給NuPAC平臺設(shè)置后門？設(shè)置炸彈？或者設(shè)計可以引爆的一套系統(tǒng)來瓦解甚至癱瘓中國的核電站及其他重要系統(tǒng)？

“整個開發(fā)環(huán)節(jié)，所有軟件代碼都是雙方共同編制的，每行代碼至少3個以上人讀寫，所有研發(fā)人員必須透明地解釋每一個字符。最終產(chǎn)品做出來之后，所有功能都會被測試。國核自儀有自主開發(fā)的24小時自診斷系統(tǒng)，但凡有什么被隱藏的非預(yù)期功能，完全可以檢測到。目前雙方的合作模式，已經(jīng)發(fā)生反轉(zhuǎn)，所有的源代碼基本是國核自儀的研發(fā)人員在編制。”邱韶陽表示，國核自儀自主開發(fā)的FPGA源代碼，未采用任何商業(yè)第三方代碼或內(nèi)核。從雙方面對面的開發(fā)環(huán)節(jié)來看，也不存在安置后門的可能性。從技術(shù)本身來說，F(xiàn)PGA技術(shù)的安全性高于傳統(tǒng)基于CPU的系統(tǒng)平臺，因為并非用軟件運行，產(chǎn)品一旦交付給用戶，無論是用戶自身還是惡意攻擊者，均沒辦法改變硬件電路。

“我們最早共同確立的合作研發(fā)原則，可以說就是為了反駁這樣的質(zhì)疑。”洛馬公司執(zhí)行副總裁Rick Edwards稱，研發(fā)全程所有專家的行為都是高度透明開放的，在同一工作場所用同樣設(shè)備研發(fā)，不存在任何暗藏的設(shè)施和設(shè)計。“在這樣的環(huán)境下，假如有一個人要做什么小動作，會被立刻發(fā)現(xiàn)，所以沒有這樣的可能性來設(shè)計后門。”

2016年12月，NuPAC平臺取得美國核管會（NRC）發(fā)布的安全評估報告（SER）。同月，獲得中國國家核安全局頒發(fā)的設(shè)計與制造許可證（HAF601許可證）。按計劃，NuPAC平臺將首先應(yīng)用于國家重大專項、中國自主三代核電CAP1400示范工程1、2號機組。

NRC是美國負責核安全監(jiān)管的政府機構(gòu)，對核技術(shù)、核設(shè)備和核設(shè)施在美國的使用負有最終安全監(jiān)督責任，NRC對安全級設(shè)備開發(fā)流程和平臺技術(shù)均按照美國強制性的核安全法律、法規(guī)、導則和背書的工業(yè)標準進行嚴格認證。

NRC對NuPAC平臺評審結(jié)果為，平臺硬件、架構(gòu)和質(zhì)量體系等滿足美國政府針對核電廠安全系統(tǒng)的核安全導則要求，可用于美國核電廠安全系統(tǒng)。在此之前，NRC總共給核電站數(shù)字化儀控系統(tǒng)頒發(fā)過三張證，分別給了西門子、西屋和英維斯，這三家的儀控系統(tǒng)均基于CPU技術(shù)。國家核安全局頒發(fā)的設(shè)計與制造許可證，則相當于衛(wèi)生部頒發(fā)給醫(yī)生的行醫(yī)執(zhí)照。

邱韶陽稱，美國是核電發(fā)源地，鑒于NRC在全球核能監(jiān)管領(lǐng)域的公認權(quán)威性，其安全評審被絕大多數(shù)核電建設(shè)國家所認可。“根據(jù)中美兩國政府和平利用核能的框架協(xié)議，如果雙方共同開發(fā)一個市場，這個市場必須是中美雙方政府認可的、在國際原子能機構(gòu)監(jiān)管下的。”目前，國核自儀目前具備每年6臺套核電數(shù)字化控制和保護系統(tǒng)的供應(yīng)能力。