影響安全級網(wǎng)絡通信協(xié)議確定性的關鍵要素分析

北京廣利核系統(tǒng)工程有限公司 孫王強

環(huán)境保護部核與輻射安全中心 尹寶娟

北京廣利核系統(tǒng)工程有限公司 周小波，龍威，趙云飛

影響安全級網(wǎng)絡通信協(xié)議確定性的關鍵要素分析

北京廣利核系統(tǒng)工程有限公司 孫王強

環(huán)境保護部核與輻射安全中心 尹寶娟

北京廣利核系統(tǒng)工程有限公司 周小波，龍威，趙云飛

在國產(chǎn)化核安全級儀控系統(tǒng)研制中，實現(xiàn)具備確定性特點的網(wǎng)絡通信協(xié)議是一項核心關鍵技術。本文依據(jù)核安全級通信網(wǎng)絡協(xié)議分析驗證的實踐經(jīng)驗，提出了影響協(xié)議確定性的三項最為關鍵的因素，包括數(shù)字化系統(tǒng)的累計特性、離散特性和并行特性，文中闡述了這些影響因素的常見形式、作用原理、控制方式。通過在國產(chǎn)化安全網(wǎng)絡研制項目的應用，表明其對協(xié)議確定性分析驗證實踐具有較好的指導性。

確定性；安全協(xié)議

執(zhí)行核安全功能的核安全網(wǎng)絡在數(shù)字化核安全級儀控系統(tǒng)中占據(jù)重要地位，系統(tǒng)的功能分配及聯(lián)系通常需借助數(shù)字通信實現(xiàn)，通信把各類智能設備和系統(tǒng)聯(lián)系成一個有機整體，實現(xiàn)各設備與系統(tǒng)相互獨立、并行運行、互相配合的設計目標。確定性是安全系統(tǒng)應用的要求，是衡量儀控系統(tǒng)安全性的一個重要標準，在系統(tǒng)故障和安全事故的預防、檢測、處理上具有至關重要的作用。同時，各大標準體系對通信的確定性都有明確要求，因此，對核安全級通信網(wǎng)絡開展驗證是V&V過程的一個重要內(nèi)容。

在構成網(wǎng)絡的四要素中，協(xié)議處于分布式系統(tǒng)的中心協(xié)調(diào)者角色，需支持相關設備/系統(tǒng)的應用功能和設計要求，同時還受物理介質(zhì)等通信自身特點的限制，需要考慮的狀態(tài)、條件、動作、結(jié)構等因素非常多，各因素之間的相互作用關系也非常復雜。因此，通信協(xié)議通常條款比較多、不容易清晰表達，給驗證工作帶來困難。

確定性是核安全級通信網(wǎng)絡區(qū)別于常規(guī)工業(yè)通信網(wǎng)絡的重要特征之一，是保證網(wǎng)絡安全的重要設計原則，國家標準、歐洲標準和美國NRC機構都對通信確定性有明確要求[1][2][3]；同時，影響網(wǎng)絡確定的關鍵要素國內(nèi)少有涉及，本文從數(shù)字化分布式系統(tǒng)的特點出發(fā)，提出影響安全網(wǎng)絡確定性的關鍵要素，闡述其作用機制和常見的表現(xiàn)形式，并結(jié)合具體案例說明消除或緩解這些影響的常見措施。

1 通信協(xié)議及安全級網(wǎng)絡通信協(xié)議的確定性

1.1 通信協(xié)議的一般性結(jié)構

通信協(xié)議通常包括四方面內(nèi)容：詞匯和消息格式、交互規(guī)則、運行環(huán)境、服務接口[4]。

（1）詞匯和消息格式：規(guī)定了報文的內(nèi)容及形式，包括數(shù)據(jù)單元和控制單元。數(shù)據(jù)單元是待傳輸?shù)臄?shù)據(jù)內(nèi)容，控制單元是為準確有效的傳輸數(shù)據(jù)而輔助的內(nèi)容，如：尋址字段、數(shù)據(jù)校驗字段等。

（2）交互規(guī)則：交互規(guī)則規(guī)定了通信時，協(xié)議主體的行為時序和發(fā)生條件。協(xié)議主體的行為可分為主體內(nèi)部行為和主體間行為。

（3）運行環(huán)境：運行環(huán)境規(guī)定了對協(xié)議詞匯和消息格式、交互規(guī)則的約束，這些約束將影響著詞匯和消息格式、交互規(guī)則的制定。

（4）服務接口：即協(xié)議各功能接口，這些功能接口主要是面向應用。

其中，詞匯和消息格式以及交互規(guī)則體現(xiàn)了協(xié)議邏輯特性，由此使協(xié)議被視為一種軟件體。交互規(guī)則承載受著通信的多數(shù)應用需求，另一方面也同時直接受限于系統(tǒng)設計方案，其設計和實現(xiàn)比較復雜，是協(xié)議驗證的難點。

1.2 安全級網(wǎng)絡通信協(xié)議的確定性

通信協(xié)議的不確定性有兩層含義，一層含義是協(xié)議規(guī)定中出現(xiàn)灰色規(guī)則，即描述不清晰的規(guī)則、或內(nèi)容上相互不一致甚至相互抵觸的規(guī)則；另一層含義，是指由于數(shù)字化系統(tǒng)及其應用存在諸多潛在不確定因素，在協(xié)議中如果對與通信相關的不確定性影響因素控制不力（規(guī)則不完備），也是通信協(xié)議的不確定。

為保證通信確定性，通常將通信行為、完成時間、消耗資源等設計為滿足特定規(guī)則，其中主要的常用規(guī)則已明確到核安全法規(guī)標準中了，如：

（1）在IEC 60880-2006（已轉(zhuǎn)換為能源行業(yè)標準NB/T20054-2011“核電廠安全重要儀表和控制系統(tǒng)執(zhí)行A類功能的計算機軟件”）中規(guī)定，同一冗余列內(nèi)使用的通信鏈路應具備確定性要求；

（2）在ISG-04（Highly Integrated Control Rooms & Digital Communication Systems）中規(guī)定，消息的格式和協(xié)議應該預先被確定，每個消息都應該有相同的消息域結(jié)構和位置順序，每個傳輸周期應該包含所有的數(shù)據(jù)而不管數(shù)據(jù)是否發(fā)生變化，這些都是為了保證系統(tǒng)行為的確定性。

在NUREG-CR-6991（Design Practices for Communications and workstations in Highly Integrated Control Rooms）中也明確要求，安全系統(tǒng)之間的通信也應具備確定性。

2 影響通信協(xié)議的確定性的關鍵因素

驗證通信協(xié)議的確定性時，可以采用反證的方法：只要能驗證引起通信協(xié)議不確定的因素已消除或控制并且相關消除和控制措施沒有引入新的不確定因素，就可判斷該通信協(xié)議就是確定的。

從分布式數(shù)字化系統(tǒng)的固有特征分析，引起通信協(xié)議不確定的主要因素有并行、離散、累計特性：系統(tǒng)分布式引起并發(fā)處理—并行；數(shù)字化引起參變量的不連續(xù)—即離散；系統(tǒng)時間和資源相關的動態(tài)特征—累計。下文將依次對其進行論述。

2.1 累計特性

累計特性指通信主體的行為受其之前通信處理和通信結(jié)果的影響。具備累計特性的通信協(xié)議，能使系統(tǒng)狀態(tài)平穩(wěn)的變化，增強系統(tǒng)的魯棒性。但是，通信主體的累積特性會使得通信主體自身的動作靈敏度降低，系統(tǒng)慣性較大，通信主體的行為不僅受當前狀態(tài)影響，還受限于歷史狀態(tài)，靠當前狀態(tài)迅速預測通信行為或判斷通信故障較為困難。

常見的累計形式有：協(xié)議中與通信交互次數(shù)（如計數(shù)值）、某些特定事件（如丟包或其它異常動作）出現(xiàn)次數(shù)相關的規(guī)定、與特定公共通信資源（如信道緩存量、動態(tài)ID號）消耗量相關的規(guī)定。

以通道緩存量為例：假設通信主體P1根據(jù)需要申請占用網(wǎng)絡的公共資源-通信信道，信道緩存量為1M/S，當信道上緩沖的數(shù)據(jù)在單位時間（1秒）內(nèi)超過1M后，通信主體將會申請失敗。這時，通信主體要么繼續(xù)申請，要么放棄本次申請，不論哪種方式，都會影響數(shù)據(jù)的正常發(fā)送，會造成通信的延時甚至丟包，導致通信不能提供確定的服務。

2.2 離散特性

離散特性指通信主體的行為時有時無，不連續(xù)的，用某一時刻t的狀態(tài)假定為一段時間T的狀態(tài)，這是數(shù)字化系統(tǒng)的基礎。T選擇過小，會使系統(tǒng)無效負荷加大，系統(tǒng)實現(xiàn)復雜；T選擇過大，會導致信息的淹沒，使得數(shù)字化系統(tǒng)不能有效地預防、檢測和處理故障。從理論上講，采樣頻率應滿足采樣定律，在工程實踐中，采樣頻率一般為信號頻率的6～7倍。

以離散特性造成丟包為例：主體P1以周期Tsend發(fā)送數(shù)據(jù)，主體P2以周期T運行，以Trecv接收數(shù)據(jù)，Tsend

圖 1 離散特性示意圖

從P1發(fā)送的某一包數(shù)據(jù)開始計時，這幀數(shù)據(jù)記為1#幀，此時距接收主體P2的接收時刻還有時間，之后每間隔時間Tsend陸續(xù)發(fā)送2#、3#......報文，那么通信主體P1發(fā)送出的報文能夠被P2接收到應滿足如下關系：

顯然，不能預先設定，受P1和P2初始化時間影響，因此P2接收到P1的報文是不確定的。

2.3 并行特性

并行特性，指協(xié)議允許各通信主體主動發(fā)起交互或作出通信響應。具有并行特性的通信協(xié)議，能提供應用功能的異步配合，降低各通信方之間的相互耦合度，且傳輸效率較高。但是，并行運行的各通信主體間配合精度低、特別是通信主體間會發(fā)生資源征用沖突。支持并行特性的通信協(xié)議關鍵技術是解決鏈路訪問沖突、通信體之間的同步、主節(jié)點選舉等問題。

在并行環(huán)境和通信協(xié)議約束下，各通信體的行為不能完全由自身狀態(tài)和期望決定，還要受限于其它通信主體的狀態(tài)和行為，在未能全面掌握系統(tǒng)所有通信體狀態(tài)的情況下，導致該通信體行為難以預測，給設計和驗證帶來困難。

假設兩個完全相同的通信主體A、B共享同一傳輸通道chanel傳輸消息M，通信通道的排他性使得某一時刻只能由一個通信主體獨占使用，通信主體A通常的做法是：首先查看通道是否被占用，如果未占用，則占用，并設置獨占標志；如果占用，則等待一段時間后再次申請，直至申請成功并傳輸消息，這就是載波監(jiān)聽多路訪問算法。顯然，通信主體A將消息M發(fā)送出去的時間是不確定的。當多個通信主體使用同一傳輸通道時，可能會導致某個通信主體有效的將數(shù)據(jù)發(fā)送出去，甚至一直不能發(fā)送數(shù)據(jù)。這在核安全級通信中是明確禁止的，設計應當予以避免。

通常的辦法有基于分時傳輸?shù)膮f(xié)議、有基于主從結(jié)構的協(xié)議，這些協(xié)議都能夠解決這類資源訪問競爭的問題（但是因為違背單一故障原則，它們不能直接用于安全序列間等重要的通信場合），在核安全協(xié)議中，通常采用有限等待原理，在指定時間段內(nèi)，有限占用和等待被競爭的資源，保證每個節(jié)點在確定的時間內(nèi)獲取資源，以保證整個協(xié)議的確定性。

3 通信協(xié)議確定性案例

網(wǎng)絡結(jié)構：在國產(chǎn)化核安全級DCS系統(tǒng)設計中，部分網(wǎng)絡通信采用了環(huán)網(wǎng)結(jié)構[5]，如圖2所示。

圖 2 安全網(wǎng)絡示意圖

對該環(huán)網(wǎng)通信協(xié)議，采取的一系列確定性設計措施[6]，包括無中斷和無操作系統(tǒng)、節(jié)點信息靜態(tài)配置、數(shù)據(jù)包大小固定、定周期收發(fā)、數(shù)據(jù)生產(chǎn)者-消費者模型等。

在驗證上述協(xié)議的確定性設計措施正確的基礎上，進一步分析可能誘發(fā)不確定性的因素，如表1所示。

4 結(jié)語

本文提出了通信協(xié)議確定性的影響要素，闡述了這些要素常見的設計表現(xiàn)形式。通過在國產(chǎn)化核安全級通信網(wǎng)絡研制實踐，證明這種方法能有效揭示影響協(xié)議確定性的關鍵環(huán)節(jié)，提高分析驗證的質(zhì)量和效率。

[1] NUREG - CR - 6991. Design Practices for Communications and workstations in Highly Integrated Control Rooms [S].

[2] IEC 61500 - 2009. Data communication in systems performing category A functions [S].

[3] IEC 60880. Nuclear power plants Instrumentation and control systems important to safety Software aspects for computer - based systems performing category A functions [S].

[4] Design and validation of computer protocols [M].

[5] IEEE STD 802. 17 TM - 2004. Resilient packet ring(RPR) access method and physical layer specifications [S].

[6] IEC 61784 - 3. Industrial communication networks – Profiles Part 3: Functional safety field buses General rules and profile definitions [S].

The Key Factors Influencing the Safety Network Communication Protocol

In the domestic nuclear safety instrumentation and control systems development, it is a key technology to implement network communication protocol with the deterministic character. Based on the practical experience of nuclear safety level communication network protocol verification , this paper puts forward the three key factors influencing certainty of agreement, including the accumulative characteristics of the digital system, discrete features and parallel features. The common forms, action principle and control mode of these factors are introduced in the paper. Through the application of localization safety network development project, it is confirmed that the theory has superior guidance to protocol deterministic analysis verification of protocol.

Deterministic; Safety protocol

孫王強（1979-），男，山東濰坊人，碩士研究生，現(xiàn)就職于北京廣利核系統(tǒng)工程有限公司，主要研究方向為核安全級工業(yè)通信、核安全級儀控系統(tǒng)。