歷時(shí)8年，由國(guó)家電力投資集團(tuán)公司（下稱國(guó)家電投集團(tuán)）和美國(guó)洛克希德·馬丁公司（下稱洛馬公司）聯(lián)合研發(fā)的核電站“中樞神經(jīng)系統(tǒng)”，已獲得中美兩國(guó)政府核安全監(jiān)管機(jī)構(gòu)頒發(fā)的行政許可證，不僅可用于中國(guó)和美國(guó)的核電站，還將走向全球核電市場(chǎng)。這也意味著中國(guó)核電站數(shù)字化儀控系統(tǒng)擁有了完整自主知識(shí)產(chǎn)權(quán)，打破了該領(lǐng)域長(zhǎng)期被國(guó)外幾大儀控供應(yīng)商壟斷的歷史。

中國(guó)五大電力集團(tuán)之一、同時(shí)也是核電三巨頭之一的國(guó)家電投集團(tuán)1月5日在京宣布，由旗下國(guó)核自儀系統(tǒng)工程有限公司（下稱國(guó)核自儀）和美國(guó)洛克希德·馬丁公司聯(lián)合研發(fā)的安全級(jí)數(shù)字化儀控系統(tǒng)平臺(tái)NuPAC，已通過中國(guó)國(guó)家核安全局和美國(guó)核管理委員會(huì)（NRC）認(rèn)證，成為全球首個(gè)通過中美政府核安全監(jiān)管機(jī)構(gòu)行政許可的核電站反應(yīng)堆保護(hù)系統(tǒng)。

如果把核電站比作一個(gè)人，數(shù)字化儀控系統(tǒng)和反應(yīng)堆保護(hù)系統(tǒng)就是核電站的中樞神經(jīng)系統(tǒng)。數(shù)字化儀控系統(tǒng)控制著核電站近300個(gè)系統(tǒng)、近萬個(gè)設(shè)備的運(yùn)行和系統(tǒng)工況，對(duì)核電廠的安全可靠穩(wěn)定運(yùn)行發(fā)揮著重要作用。

洛馬是美國(guó)最大的軍火供應(yīng)商。與美國(guó)有軍工背景的洛馬公司合作開發(fā)如此核心敏感的儀控系統(tǒng)，是否有潛在的安全隱患？在1月5日發(fā)布會(huì)行將結(jié)束之時(shí)，國(guó)家電投集團(tuán)董事長(zhǎng)王炳華提出了這一最尖銳的問題： “平臺(tái)研制過程當(dāng)中是否留有‘后門’？會(huì)不會(huì)設(shè)計(jì)一套可以引爆的系統(tǒng)來癱瘓中國(guó)核電站和其他采用該平臺(tái)的行業(yè)？這方面的質(zhì)疑聲還是有的。”據(jù)洛馬公司執(zhí)行副總裁Rick Edwards和國(guó)核自儀總經(jīng)理邱韶陽(yáng)當(dāng)天介紹，無論從雙方開放透明的研發(fā)過程還是FPGA技術(shù)本身屬性來看，都完全杜絕了“后門”存在的可能性。

數(shù)字化儀控技術(shù)自主化：引進(jìn)美國(guó)三代核電留下的“小尾巴”、長(zhǎng)期受制于人的核心技術(shù)

數(shù)字化儀控系統(tǒng)和保護(hù)系統(tǒng)的自主化、國(guó)產(chǎn)化，是10年前中國(guó)引進(jìn)美國(guó)非能動(dòng)三代核電AP1000過程中留下的一個(gè)“小尾巴”。

2003年，中國(guó)核電政策走向清晰，決策層決定將“適度發(fā)展核電”調(diào)整為“積極發(fā)展核電”，啟動(dòng)一批新的核電項(xiàng)目，并引進(jìn)世界先進(jìn)核電技術(shù)，統(tǒng)一技術(shù)路線。經(jīng)過三年的技術(shù)談判，美國(guó)西屋電氣公司的AP1000技術(shù)在與法國(guó)阿?，m公司EPR技術(shù)的角逐中勝出，成為中國(guó)三代核電的引進(jìn)對(duì)象。

然而，西屋公司可以轉(zhuǎn)讓AP1000三代整體核電技術(shù)，但作為核電站中核心關(guān)鍵技術(shù)之一的反應(yīng)堆保護(hù)系統(tǒng)，卻因受制于第三方知識(shí)產(chǎn)權(quán)制約等種種因素，不在轉(zhuǎn)讓之列。反應(yīng)堆保護(hù)系統(tǒng)能夠在核電站遇到地震、海嘯、全廠失電等事故工況下保證安全停堆和停堆后的冷卻，可謂核電站的“安全衛(wèi)士”。

據(jù)原核工業(yè)部常務(wù)副部長(zhǎng)陳肇博回憶，啟動(dòng)數(shù)字化儀控技術(shù)的自主化研制，對(duì)于當(dāng)時(shí)即將批量化建設(shè)核電站的中國(guó)而言，不僅迫切而且必須。

“當(dāng)時(shí)，我們?cè)谂c歐美公司接觸時(shí)，他們對(duì)儀控系統(tǒng)要價(jià)已非常高，兩個(gè)機(jī)組儀控系統(tǒng)的價(jià)格高達(dá)兩三億美元。其實(shí)，這套系統(tǒng)的硬件，包括各種測(cè)試儀表、壓力計(jì)、溫度計(jì)、各種控制柜、計(jì)算機(jī)等都很便宜的，總價(jià)值就幾千萬美元，但真正值錢的就是軟件。因?yàn)閿?shù)字化儀控系統(tǒng)的軟件開發(fā)投入較大，擁有很多的專利，所以一旦向中國(guó)轉(zhuǎn)讓了技術(shù)，他們就不再可能靠賣數(shù)字化儀控而獲取高額利潤(rùn)了?！?/p>

為了不受制于人，中國(guó)必須自主開發(fā)這項(xiàng)技術(shù)。從另一個(gè)角度而言，這也是為中國(guó)成套出口自主三代核電技術(shù)掃清障礙。2008年3月，承擔(dān)AP1000核電站數(shù)字化控制系統(tǒng)自主化任務(wù)的國(guó)核自儀正式成立。

為什么選擇洛克希德·馬丁？

“之所以選擇洛馬公司，因?yàn)樗贔PGA技術(shù)應(yīng)用上，有其特點(diǎn)。FPGA技術(shù)并不是洛馬選擇的，而是我們先選擇了FPGA技術(shù)，再選擇對(duì)此比較了解的企業(yè)，這一技術(shù)此前較多應(yīng)用于國(guó)防科工領(lǐng)域，其他商業(yè)領(lǐng)域基本沒有。”國(guó)核自儀總經(jīng)理邱韶陽(yáng)對(duì)澎湃新聞（m.nxos.com.cn）稱，與洛馬公司的合作，有其歷史原因。

2009年，也就是國(guó)核自儀成立一年后，洛馬公司來中國(guó)尋找商業(yè)機(jī)會(huì)?！拔覀?cè)诤穗娍刂圃O(shè)備的設(shè)計(jì)和供貨上經(jīng)驗(yàn)豐富。但在當(dāng)時(shí)，美國(guó)已經(jīng)30年沒有新建核電站了，洛馬迫切需要保有并延續(xù)強(qiáng)大的研發(fā)和工程實(shí)力。我們看到了中國(guó)巨大的核電市場(chǎng)發(fā)展?jié)摿Α！甭羼R公司執(zhí)行副總裁Rick Edwards稱。

另一方面，國(guó)核自儀一直在尋求反應(yīng)堆保護(hù)系統(tǒng)設(shè)備開發(fā)的具體路徑。相比于自己摸索，在國(guó)際上尋找合作伙伴，共享知識(shí)產(chǎn)權(quán)，算是條捷徑。經(jīng)過行業(yè)發(fā)展趨勢(shì)和市場(chǎng)可配置資源調(diào)研，國(guó)核自儀最終選擇了備受國(guó)際原子能機(jī)構(gòu)（IAEA）推崇的基于FPGA技術(shù)的反應(yīng)堆保護(hù)系統(tǒng)技術(shù)方案。相比于微處理器技術(shù)，基于現(xiàn)場(chǎng)可編程門陳列（FPGA）技術(shù)采用的“純硬件”理念更接近于模擬技術(shù)，避免引入操作系統(tǒng)和軟件，信息安全等級(jí)高，可有效抵御黑客攻擊。

這正是洛馬公司的技術(shù)強(qiáng)項(xiàng)。洛馬當(dāng)時(shí)已在航空航天等可靠性和安全性要求極高的領(lǐng)域廣泛應(yīng)用了FPGA技術(shù)，也有意利用該技術(shù)進(jìn)入民用核電領(lǐng)域，參與數(shù)字化儀控的國(guó)際競(jìng)爭(zhēng)。雙方一拍即合。這是FPGA技術(shù)第一次用在商用核電站儀控設(shè)備上。

根據(jù)合同，雙方合作研發(fā)，共享知識(shí)產(chǎn)權(quán)。兩家公司共同組建研發(fā)團(tuán)隊(duì)和項(xiàng)目管理團(tuán)隊(duì)，所有人員1：1配比，面對(duì)面開展工作、所有數(shù)據(jù)庫(kù)共享、所有技術(shù)對(duì)雙方開放。雙方約定，國(guó)核自儀擁有完整的NuPAC平臺(tái)知識(shí)產(chǎn)權(quán)，自主開發(fā)源代碼，并可不受限制地持續(xù)改進(jìn)開發(fā)；在滿足中美政府間關(guān)于和平利用核能的框架協(xié)議下，國(guó)核自儀可向全球市場(chǎng)提供平臺(tái)和服務(wù)。聯(lián)合開發(fā)的產(chǎn)品，不僅針對(duì)中國(guó)或美國(guó)市場(chǎng)，而是推向全球。

此后，雙方在美國(guó)建立了三處聯(lián)合研發(fā)基地，分別位于賓夕法尼亞州鄧莫爾、杰瑟普和得克薩斯州達(dá)拉斯。70余名中方工程師長(zhǎng)期駐美，與洛克希德·馬丁公司聯(lián)合開展研發(fā)、設(shè)計(jì)、測(cè)試和驗(yàn)證等工作。在合同執(zhí)行的第二階段，中方團(tuán)隊(duì)承擔(dān)了絕大部分系統(tǒng)設(shè)計(jì)、代碼開發(fā)和集成測(cè)試等工作，逐漸走向研發(fā)一線，洛馬逐步退居幕后，主要負(fù)責(zé)設(shè)計(jì)評(píng)審和技術(shù)指導(dǎo)。

“三個(gè)聯(lián)合實(shí)驗(yàn)室在產(chǎn)品不同研發(fā)階段發(fā)揮了重要作用。NuPAC平臺(tái)研發(fā)過程，是中國(guó)三代核電自主化工作的一個(gè)縮影?！?國(guó)家電投集團(tuán)董事長(zhǎng)王炳華說道。

是否有后門？會(huì)否給中國(guó)核電站帶來癱瘓風(fēng)險(xiǎn)？

據(jù)介紹，NuPAC平臺(tái)可以應(yīng)用于CAP系列核電站、二代加核電站、VVER核電站、海上移動(dòng)核電站、重型燃?xì)廨啓C(jī)、軌道交通信號(hào)處理系統(tǒng)。無一不是關(guān)乎能源甚至國(guó)防安全的重要領(lǐng)域。

中美兩國(guó)既重要又復(fù)雜的關(guān)系、洛馬公司的美國(guó)軍工背景和核電行業(yè)的特殊性，種種因素疊加使得這一聯(lián)合研發(fā)的成果顯得頗為微妙和特殊。王炳華在發(fā)布會(huì)上直接發(fā)問，聯(lián)合研發(fā)過程中，會(huì)不會(huì)有人給NuPAC平臺(tái)設(shè)置后門？設(shè)置炸彈？或者設(shè)計(jì)可以引爆的一套系統(tǒng)來瓦解甚至癱瘓中國(guó)的核電站及其他重要系統(tǒng)？

“整個(gè)開發(fā)環(huán)節(jié)，所有軟件代碼都是雙方共同編制的，每行代碼至少3個(gè)以上人讀寫，所有研發(fā)人員必須透明地解釋每一個(gè)字符。最終產(chǎn)品做出來之后，所有功能都會(huì)被測(cè)試。國(guó)核自儀有自主開發(fā)的24小時(shí)自診斷系統(tǒng)，但凡有什么被隱藏的非預(yù)期功能，完全可以檢測(cè)到。目前雙方的合作模式，已經(jīng)發(fā)生反轉(zhuǎn)，所有的源代碼基本是國(guó)核自儀的研發(fā)人員在編制?！鼻裆仃?yáng)表示，國(guó)核自儀自主開發(fā)的FPGA源代碼，未采用任何商業(yè)第三方代碼或內(nèi)核。從雙方面對(duì)面的開發(fā)環(huán)節(jié)來看，也不存在安置后門的可能性。從技術(shù)本身來說，F(xiàn)PGA技術(shù)的安全性高于傳統(tǒng)基于CPU的系統(tǒng)平臺(tái)，因?yàn)椴⒎怯密浖\(yùn)行，產(chǎn)品一旦交付給用戶，無論是用戶自身還是惡意攻擊者，均沒辦法改變硬件電路。

“我們最早共同確立的合作研發(fā)原則，可以說就是為了反駁這樣的質(zhì)疑?！甭羼R公司執(zhí)行副總裁Rick Edwards稱，研發(fā)全程所有專家的行為都是高度透明開放的，在同一工作場(chǎng)所用同樣設(shè)備研發(fā)，不存在任何暗藏的設(shè)施和設(shè)計(jì)?！霸谶@樣的環(huán)境下，假如有一個(gè)人要做什么小動(dòng)作，會(huì)被立刻發(fā)現(xiàn)，所以沒有這樣的可能性來設(shè)計(jì)后門。”

2016年12月，NuPAC平臺(tái)取得美國(guó)核管會(huì)（NRC）發(fā)布的安全評(píng)估報(bào)告（SER）。同月，獲得中國(guó)國(guó)家核安全局頒發(fā)的設(shè)計(jì)與制造許可證（HAF601許可證）。按計(jì)劃，NuPAC平臺(tái)將首先應(yīng)用于國(guó)家重大專項(xiàng)、中國(guó)自主三代核電CAP1400示范工程1、2號(hào)機(jī)組。

NRC是美國(guó)負(fù)責(zé)核安全監(jiān)管的政府機(jī)構(gòu)，對(duì)核技術(shù)、核設(shè)備和核設(shè)施在美國(guó)的使用負(fù)有最終安全監(jiān)督責(zé)任，NRC對(duì)安全級(jí)設(shè)備開發(fā)流程和平臺(tái)技術(shù)均按照美國(guó)強(qiáng)制性的核安全法律、法規(guī)、導(dǎo)則和背書的工業(yè)標(biāo)準(zhǔn)進(jìn)行嚴(yán)格認(rèn)證。

NRC對(duì)NuPAC平臺(tái)評(píng)審結(jié)果為，平臺(tái)硬件、架構(gòu)和質(zhì)量體系等滿足美國(guó)政府針對(duì)核電廠安全系統(tǒng)的核安全導(dǎo)則要求，可用于美國(guó)核電廠安全系統(tǒng)。在此之前，NRC總共給核電站數(shù)字化儀控系統(tǒng)頒發(fā)過三張證，分別給了西門子、西屋和英維斯，這三家的儀控系統(tǒng)均基于CPU技術(shù)。國(guó)家核安全局頒發(fā)的設(shè)計(jì)與制造許可證，則相當(dāng)于衛(wèi)生部頒發(fā)給醫(yī)生的行醫(yī)執(zhí)照。

邱韶陽(yáng)稱，美國(guó)是核電發(fā)源地，鑒于NRC在全球核能監(jiān)管領(lǐng)域的公認(rèn)權(quán)威性，其安全評(píng)審被絕大多數(shù)核電建設(shè)國(guó)家所認(rèn)可?！案鶕?jù)中美兩國(guó)政府和平利用核能的框架協(xié)議，如果雙方共同開發(fā)一個(gè)市場(chǎng)，這個(gè)市場(chǎng)必須是中美雙方政府認(rèn)可的、在國(guó)際原子能機(jī)構(gòu)監(jiān)管下的?！蹦壳?，國(guó)核自儀目前具備每年6臺(tái)套核電數(shù)字化控制和保護(hù)系統(tǒng)的供應(yīng)能力。