影響安全級網絡通信協議確定性的關鍵要素分析

北京廣利核系統工程有限公司 孫王強

環境保護部核與輻射安全中心 尹寶娟

北京廣利核系統工程有限公司 周小波，龍威，趙云飛

影響安全級網絡通信協議確定性的關鍵要素分析

北京廣利核系統工程有限公司 孫王強

環境保護部核與輻射安全中心 尹寶娟

北京廣利核系統工程有限公司 周小波，龍威，趙云飛

在國產化核安全級儀控系統研制中，實現具備確定性特點的網絡通信協議是一項核心關鍵技術。本文依據核安全級通信網絡協議分析驗證的實踐經驗，提出了影響協議確定性的三項最為關鍵的因素，包括數字化系統的累計特性、離散特性和并行特性，文中闡述了這些影響因素的常見形式、作用原理、控制方式。通過在國產化安全網絡研制項目的應用，表明其對協議確定性分析驗證實踐具有較好的指導性。

確定性；安全協議

執行核安全功能的核安全網絡在數字化核安全級儀控系統中占據重要地位，系統的功能分配及聯系通常需借助數字通信實現，通信把各類智能設備和系統聯系成一個有機整體，實現各設備與系統相互獨立、并行運行、互相配合的設計目標。確定性是安全系統應用的要求，是衡量儀控系統安全性的一個重要標準，在系統故障和安全事故的預防、檢測、處理上具有至關重要的作用。同時，各大標準體系對通信的確定性都有明確要求，因此，對核安全級通信網絡開展驗證是V&V過程的一個重要內容。

在構成網絡的四要素中，協議處于分布式系統的中心協調者角色，需支持相關設備/系統的應用功能和設計要求，同時還受物理介質等通信自身特點的限制，需要考慮的狀態、條件、動作、結構等因素非常多，各因素之間的相互作用關系也非常復雜。因此，通信協議通常條款比較多、不容易清晰表達，給驗證工作帶來困難。

確定性是核安全級通信網絡區別于常規工業通信網絡的重要特征之一，是保證網絡安全的重要設計原則，國家標準、歐洲標準和美國NRC機構都對通信確定性有明確要求[1][2][3]；同時，影響網絡確定的關鍵要素國內少有涉及，本文從數字化分布式系統的特點出發，提出影響安全網絡確定性的關鍵要素，闡述其作用機制和常見的表現形式，并結合具體案例說明消除或緩解這些影響的常見措施。

1 通信協議及安全級網絡通信協議的確定性

1.1 通信協議的一般性結構

通信協議通常包括四方面內容：詞匯和消息格式、交互規則、運行環境、服務接口[4]。

（1）詞匯和消息格式：規定了報文的內容及形式，包括數據單元和控制單元。數據單元是待傳輸的數據內容，控制單元是為準確有效的傳輸數據而輔助的內容，如：尋址字段、數據校驗字段等。

（2）交互規則：交互規則規定了通信時，協議主體的行為時序和發生條件。協議主體的行為可分為主體內部行為和主體間行為。

（3）運行環境：運行環境規定了對協議詞匯和消息格式、交互規則的約束，這些約束將影響著詞匯和消息格式、交互規則的制定。

（4）服務接口：即協議各功能接口，這些功能接口主要是面向應用。

其中，詞匯和消息格式以及交互規則體現了協議邏輯特性，由此使協議被視為一種軟件體。交互規則承載受著通信的多數應用需求，另一方面也同時直接受限于系統設計方案，其設計和實現比較復雜，是協議驗證的難點。

1.2 安全級網絡通信協議的確定性

通信協議的不確定性有兩層含義，一層含義是協議規定中出現灰色規則，即描述不清晰的規則、或內容上相互不一致甚至相互抵觸的規則；另一層含義，是指由于數字化系統及其應用存在諸多潛在不確定因素，在協議中如果對與通信相關的不確定性影響因素控制不力（規則不完備），也是通信協議的不確定。

為保證通信確定性，通常將通信行為、完成時間、消耗資源等設計為滿足特定規則，其中主要的常用規則已明確到核安全法規標準中了，如：

（1）在IEC 60880-2006（已轉換為能源行業標準NB/T20054-2011“核電廠安全重要儀表和控制系統執行A類功能的計算機軟件”）中規定，同一冗余列內使用的通信鏈路應具備確定性要求；

（2）在ISG-04（Highly Integrated Control Rooms & Digital Communication Systems）中規定，消息的格式和協議應該預先被確定，每個消息都應該有相同的消息域結構和位置順序，每個傳輸周期應該包含所有的數據而不管數據是否發生變化，這些都是為了保證系統行為的確定性。

在NUREG-CR-6991（Design Practices for Communications and workstations in Highly Integrated Control Rooms）中也明確要求，安全系統之間的通信也應具備確定性。

2 影響通信協議的確定性的關鍵因素

驗證通信協議的確定性時，可以采用反證的方法：只要能驗證引起通信協議不確定的因素已消除或控制并且相關消除和控制措施沒有引入新的不確定因素，就可判斷該通信協議就是確定的。

從分布式數字化系統的固有特征分析，引起通信協議不確定的主要因素有并行、離散、累計特性：系統分布式引起并發處理—并行；數字化引起參變量的不連續—即離散；系統時間和資源相關的動態特征—累計。下文將依次對其進行論述。

2.1 累計特性

累計特性指通信主體的行為受其之前通信處理和通信結果的影響。具備累計特性的通信協議，能使系統狀態平穩的變化，增強系統的魯棒性。但是，通信主體的累積特性會使得通信主體自身的動作靈敏度降低，系統慣性較大，通信主體的行為不僅受當前狀態影響，還受限于歷史狀態，靠當前狀態迅速預測通信行為或判斷通信故障較為困難。

常見的累計形式有：協議中與通信交互次數（如計數值）、某些特定事件（如丟包或其它異常動作）出現次數相關的規定、與特定公共通信資源（如信道緩存量、動態ID號）消耗量相關的規定。

以通道緩存量為例：假設通信主體P1根據需要申請占用網絡的公共資源-通信信道，信道緩存量為1M/S，當信道上緩沖的數據在單位時間（1秒）內超過1M后，通信主體將會申請失敗。這時，通信主體要么繼續申請，要么放棄本次申請，不論哪種方式，都會影響數據的正常發送，會造成通信的延時甚至丟包，導致通信不能提供確定的服務。

2.2 離散特性

離散特性指通信主體的行為時有時無，不連續的，用某一時刻t的狀態假定為一段時間T的狀態，這是數字化系統的基礎。T選擇過小，會使系統無效負荷加大，系統實現復雜；T選擇過大，會導致信息的淹沒，使得數字化系統不能有效地預防、檢測和處理故障。從理論上講，采樣頻率應滿足采樣定律，在工程實踐中，采樣頻率一般為信號頻率的6～7倍。

以離散特性造成丟包為例：主體P1以周期Tsend發送數據，主體P2以周期T運行，以Trecv接收數據，Tsend

圖 1 離散特性示意圖

從P1發送的某一包數據開始計時，這幀數據記為1#幀，此時距接收主體P2的接收時刻還有時間，之后每間隔時間Tsend陸續發送2#、3#......報文，那么通信主體P1發送出的報文能夠被P2接收到應滿足如下關系：

顯然，不能預先設定，受P1和P2初始化時間影響，因此P2接收到P1的報文是不確定的。

2.3 并行特性

并行特性，指協議允許各通信主體主動發起交互或作出通信響應。具有并行特性的通信協議，能提供應用功能的異步配合，降低各通信方之間的相互耦合度，且傳輸效率較高。但是，并行運行的各通信主體間配合精度低、特別是通信主體間會發生資源征用沖突。支持并行特性的通信協議關鍵技術是解決鏈路訪問沖突、通信體之間的同步、主節點選舉等問題。

在并行環境和通信協議約束下，各通信體的行為不能完全由自身狀態和期望決定，還要受限于其它通信主體的狀態和行為，在未能全面掌握系統所有通信體狀態的情況下，導致該通信體行為難以預測，給設計和驗證帶來困難。

假設兩個完全相同的通信主體A、B共享同一傳輸通道chanel傳輸消息M，通信通道的排他性使得某一時刻只能由一個通信主體獨占使用，通信主體A通常的做法是：首先查看通道是否被占用，如果未占用，則占用，并設置獨占標志；如果占用，則等待一段時間后再次申請，直至申請成功并傳輸消息，這就是載波監聽多路訪問算法。顯然，通信主體A將消息M發送出去的時間是不確定的。當多個通信主體使用同一傳輸通道時，可能會導致某個通信主體有效的將數據發送出去，甚至一直不能發送數據。這在核安全級通信中是明確禁止的，設計應當予以避免。

通常的辦法有基于分時傳輸的協議、有基于主從結構的協議，這些協議都能夠解決這類資源訪問競爭的問題（但是因為違背單一故障原則，它們不能直接用于安全序列間等重要的通信場合），在核安全協議中，通常采用有限等待原理，在指定時間段內，有限占用和等待被競爭的資源，保證每個節點在確定的時間內獲取資源，以保證整個協議的確定性。

3 通信協議確定性案例

網絡結構：在國產化核安全級DCS系統設計中，部分網絡通信采用了環網結構[5]，如圖2所示。

圖 2 安全網絡示意圖

對該環網通信協議，采取的一系列確定性設計措施[6]，包括無中斷和無操作系統、節點信息靜態配置、數據包大小固定、定周期收發、數據生產者-消費者模型等。

在驗證上述協議的確定性設計措施正確的基礎上，進一步分析可能誘發不確定性的因素，如表1所示。

4 結語

本文提出了通信協議確定性的影響要素，闡述了這些要素常見的設計表現形式。通過在國產化核安全級通信網絡研制實踐，證明這種方法能有效揭示影響協議確定性的關鍵環節，提高分析驗證的質量和效率。

[1] NUREG - CR - 6991. Design Practices for Communications and workstations in Highly Integrated Control Rooms [S].

[2] IEC 61500 - 2009. Data communication in systems performing category A functions [S].

[3] IEC 60880. Nuclear power plants Instrumentation and control systems important to safety Software aspects for computer - based systems performing category A functions [S].

[4] Design and validation of computer protocols [M].

[5] IEEE STD 802. 17 TM - 2004. Resilient packet ring(RPR) access method and physical layer specifications [S].

[6] IEC 61784 - 3. Industrial communication networks – Profiles Part 3: Functional safety field buses General rules and profile definitions [S].

The Key Factors Influencing the Safety Network Communication Protocol

In the domestic nuclear safety instrumentation and control systems development, it is a key technology to implement network communication protocol with the deterministic character. Based on the practical experience of nuclear safety level communication network protocol verification , this paper puts forward the three key factors influencing certainty of agreement, including the accumulative characteristics of the digital system, discrete features and parallel features. The common forms, action principle and control mode of these factors are introduced in the paper. Through the application of localization safety network development project, it is confirmed that the theory has superior guidance to protocol deterministic analysis verification of protocol.

Deterministic; Safety protocol

孫王強（1979-），男，山東濰坊人，碩士研究生，現就職于北京廣利核系統工程有限公司，主要研究方向為核安全級工業通信、核安全級儀控系統。