安全關鍵實時通信網絡發展現狀分析

天津工業大學計算機科學與軟件學院 張亞成

在后PC時代，實時計算和通信技術已被廣泛應用于航空航天、國防、交通運輸、核電能源和醫療衛生等諸多安全關鍵系統中。隨著安全關鍵系統呈現出分布式和一體化的新特性，通信網絡已成為系統中的核心組件，并且對安全關鍵系統的構建和驗證起著決定性的作用。因為安全關鍵系統關系到人身安全和財產損失，因此不同于通常的實時通信網絡，安全關鍵實時通信網絡不但要求網絡的實時性，更重要的是網絡的安全性和可靠性，包括出錯檢測的能力，容錯能力和故障隔離能力。這些特性對實時通信協議提出了更多新的需求。在分布式實時系統中，構建通信網絡存在兩種范型：事件觸發(event-triggered)和時間觸發(time-triggered)，簡稱ET和TT。被用在安全關鍵系統中的事件觸發協議并不多，如CAN，Btyeflight。雖然靈活性是其優勢，但從安全關鍵系統的角度來看，這也成為其不被使用的主要原因。而時間觸發協議因為良好的可預測性，容錯能力和可組合性而被廣泛用于安全關鍵系統中，如TTP。

1.事件觸發的安全關鍵實時通信網絡

事件觸發范型就是指網絡上的所用活動都是由外部(或內部)事件的出現來觸發的。例如，如果傳感器所讀的值發生變化，則廣播其新值。事件觸發協議具有很好的靈活性，它能夠快速的響應任何時刻發生的通信請求，并不會對通信活動發生的時間做任何限制。但由于外部事件具有很強的異步性，隨機性，導致ET型網絡的可預測性差。ET型網絡最壞情況下的延遲時間發生在所有節點同時準備發送消息的時刻。而平均情況下，可能無需等待就可以被發送出去，因此發送延遲的抖動較大。因為節點只響應外部事件，因此ET型網絡不能很快檢測出表現為故障沉默(fail-silence)的失效節點。而且ET型網絡不能支持時序可組合性，因為節點之間的異步傳輸導致節點之間相互干擾，任何一個節點的加入，都會影響到其他節點的時一序行為。而且由于事件發生的隨機性導致事件觸發協議無法實現冗余復本之間的確定性，因此多采用主從方式實現容錯系統。

ET網絡的這些缺點使其不適用于安全關鍵實時系統，因此近些年，提出了一些新的ET型網絡協議，在保持自身優勢的情況下，從協議設計上吸取時間觸發協議的優勢以克服其存在的缺陷，提高ET型通信協議的可預測性，檢錯能力和可組合性，如Byteflight；被實際用于安全關鍵系統的事件觸發型通信網絡有CAN，Byteflight等。

2.時間觸發的安全關鍵實時網絡

大量研究結果表明，設計實時網絡的關鍵在于使用時間觸發方法替代傳統的事件觸發方法。對于TT型網絡，網絡上所用的活動都隨時間的前進而有計劃的進行。例如，如果現在已啟動了20微妙，則讀取傳感器的值并廣播該值。時間觸發協議通過一個靜態的預先定義的全局調度表控制它的網絡活動，并且該調度表和全局時鐘作為每一個節點的先驗知識，因此每一個節點可以知道什么時候允許發送消息以及什么時候可以接收消息。這使得TT型協議在時序行為上具有更好的可預測性。TT型網絡的核心基礎是建立和維護一個全局時鐘。對傳輸媒體的訪問采用時分多路訪問機制。節點之間必須預留足夠的空隙，以保證節點之間消息傳輸不會相互干擾。這樣不但消除了共享介質的訪問沖突，而且使得TT型網絡具有時域上的可組合性。時間觸發一腳議以節點最壞情況下的響應時間為其預留時間槽，因此，可以說時間觸發協議是面向最壞情況而設計的。由于時序行為作為先驗知識，時間觸發協議的連接故障檢測在接收端更易實現。

盡管時間觸發協議在可預測性，故障檢測能力和可組合性方面受到安全關鍵系統的青睞，但是時間觸發協議最大的問題就是缺少靈活性，通信活動必須在指定的時刻才能發生，這就導致網絡平均利用率低，特別是當一個或多個節點產生偶發性的消息時。因此，在某些對靈活性要求高的應用領域，如汽車電子系統，時間觸發協議并不適用。因此在TT協議的基礎上產生了一些滿足行業需要的時間觸發協議。

3.基于以太網的安全關鍵實時網絡

工業以太網的應用與研究推動了以太網在安全關鍵系統中的應用。維也納理工大學基于TTP在航空航天，汽車電子等領域積累的經驗，提出了時間觸發的以太網(Time-triggered Etllerenet，TTE)架構。TTE是同時支持實時消息與非實時消息的混合型協議。TTE的設計目標是將標準以太網與TTP/C的優點集于一身，在滿足從非實時應用，到多媒體，再到安全關鍵的實時控制系統的各種需求的同時，能夠兼容現有的以太網標準。但TTE需要修改以太網連接硬件設備以滿足實時性需要。Powerlink是在標準以太網的基礎上建立一個現場總線系統，來滿足控制中最苛刻的實時要求。Powerlink已經通過SIL3安全完整性等級的認證。成為真正投入實際使用的基于以太網的安全關鍵通信網絡。

我國在這方面開展了大量的研究工作，提出了實時通信協議E&TTE。E&TTE是一種基于事件觸發型Ethernet的時間觸發網絡，它有效地組合了事件觸發與時間觸發方法，其中事件觸發用于傳輸異步實時與非實時消息，而時間觸發方法則用于傳輸同步實時消息，E&TTE有機組合兩類網絡的優點，使實時網絡不但具有較高的靈活性，而且具有較好的可預測性。雖然以太網在安全關鍵系統中的應用還未像工業以太網一樣取得豐碩的研究成果，但是隨著網絡互聯需求的不斷增加，安全關鍵系統與IT系統的連接是不可避免的趨勢，因此安全關鍵系統與以太網的互聯也應該作為新型安全關鍵網絡設計的目標之一。

4.結束語

盡管目前有多種可用的現場總線，但其并沒有被廣泛的應用于安全關鍵系統中，因其開發過程中并沒有融入安全的設計理念，而是在實現完成后，再去推導其設計的安全性。作為一種涌現特性(emergent property)，安全性不可能在系統部署之后被添加進去，它必須貫穿于系統的整個開發過程中。很多的現場總線提供商都在致力于通過安全完整性等級的驗證，開發過程成為其最大的障礙。因此，將實時通信網絡安全管理概念貫穿于協議設計開發和驗證過程中，從過程中保證與安全標準的兼容性以提高系統的安全置信度是一個值得探究的課題。

[1]馮時雨,王軼辰.實時網絡通信協議的設計與實現[J].計算機工程與設計,2008(17).

[2]孫曉雅.基于Intranet計算機通信網絡的實時通信淺析[J].公路交通科技(應用技術版),2010(04).

[3]夏德海.從現場總線到無線傳感器網絡[J].中國儀器儀表,2009(S1).