北京廣利核系統(tǒng)工程有限公司 孫王強(qiáng)

環(huán)境保護(hù)部核與輻射安全中心 尹寶娟

北京廣利核系統(tǒng)工程有限公司 周小波，龍威，趙云飛

影響安全級網(wǎng)絡(luò)通信協(xié)議確定性的關(guān)鍵要素分析

北京廣利核系統(tǒng)工程有限公司 孫王強(qiáng)

環(huán)境保護(hù)部核與輻射安全中心 尹寶娟

北京廣利核系統(tǒng)工程有限公司 周小波，龍威，趙云飛

在國產(chǎn)化核安全級儀控系統(tǒng)研制中，實現(xiàn)具備確定性特點(diǎn)的網(wǎng)絡(luò)通信協(xié)議是一項核心關(guān)鍵技術(shù)。本文依據(jù)核安全級通信網(wǎng)絡(luò)協(xié)議分析驗證的實踐經(jīng)驗，提出了影響協(xié)議確定性的三項最為關(guān)鍵的因素，包括數(shù)字化系統(tǒng)的累計特性、離散特性和并行特性，文中闡述了這些影響因素的常見形式、作用原理、控制方式。通過在國產(chǎn)化安全網(wǎng)絡(luò)研制項目的應(yīng)用，表明其對協(xié)議確定性分析驗證實踐具有較好的指導(dǎo)性。

確定性；安全協(xié)議

執(zhí)行核安全功能的核安全網(wǎng)絡(luò)在數(shù)字化核安全級儀控系統(tǒng)中占據(jù)重要地位，系統(tǒng)的功能分配及聯(lián)系通常需借助數(shù)字通信實現(xiàn)，通信把各類智能設(shè)備和系統(tǒng)聯(lián)系成一個有機(jī)整體，實現(xiàn)各設(shè)備與系統(tǒng)相互獨(dú)立、并行運(yùn)行、互相配合的設(shè)計目標(biāo)。確定性是安全系統(tǒng)應(yīng)用的要求，是衡量儀控系統(tǒng)安全性的一個重要標(biāo)準(zhǔn)，在系統(tǒng)故障和安全事故的預(yù)防、檢測、處理上具有至關(guān)重要的作用。同時，各大標(biāo)準(zhǔn)體系對通信的確定性都有明確要求，因此，對核安全級通信網(wǎng)絡(luò)開展驗證是V&V過程的一個重要內(nèi)容。

在構(gòu)成網(wǎng)絡(luò)的四要素中，協(xié)議處于分布式系統(tǒng)的中心協(xié)調(diào)者角色，需支持相關(guān)設(shè)備/系統(tǒng)的應(yīng)用功能和設(shè)計要求，同時還受物理介質(zhì)等通信自身特點(diǎn)的限制，需要考慮的狀態(tài)、條件、動作、結(jié)構(gòu)等因素非常多，各因素之間的相互作用關(guān)系也非常復(fù)雜。因此，通信協(xié)議通常條款比較多、不容易清晰表達(dá)，給驗證工作帶來困難。

確定性是核安全級通信網(wǎng)絡(luò)區(qū)別于常規(guī)工業(yè)通信網(wǎng)絡(luò)的重要特征之一，是保證網(wǎng)絡(luò)安全的重要設(shè)計原則，國家標(biāo)準(zhǔn)、歐洲標(biāo)準(zhǔn)和美國NRC機(jī)構(gòu)都對通信確定性有明確要求[1][2][3]；同時，影響網(wǎng)絡(luò)確定的關(guān)鍵要素國內(nèi)少有涉及，本文從數(shù)字化分布式系統(tǒng)的特點(diǎn)出發(fā)，提出影響安全網(wǎng)絡(luò)確定性的關(guān)鍵要素，闡述其作用機(jī)制和常見的表現(xiàn)形式，并結(jié)合具體案例說明消除或緩解這些影響的常見措施。

1 通信協(xié)議及安全級網(wǎng)絡(luò)通信協(xié)議的確定性

1.1 通信協(xié)議的一般性結(jié)構(gòu)

通信協(xié)議通常包括四方面內(nèi)容：詞匯和消息格式、交互規(guī)則、運(yùn)行環(huán)境、服務(wù)接口[4]。

（1）詞匯和消息格式：規(guī)定了報文的內(nèi)容及形式，包括數(shù)據(jù)單元和控制單元。數(shù)據(jù)單元是待傳輸?shù)臄?shù)據(jù)內(nèi)容，控制單元是為準(zhǔn)確有效的傳輸數(shù)據(jù)而輔助的內(nèi)容，如：尋址字段、數(shù)據(jù)校驗字段等。

（2）交互規(guī)則：交互規(guī)則規(guī)定了通信時，協(xié)議主體的行為時序和發(fā)生條件。協(xié)議主體的行為可分為主體內(nèi)部行為和主體間行為。

（3）運(yùn)行環(huán)境：運(yùn)行環(huán)境規(guī)定了對協(xié)議詞匯和消息格式、交互規(guī)則的約束，這些約束將影響著詞匯和消息格式、交互規(guī)則的制定。

（4）服務(wù)接口：即協(xié)議各功能接口，這些功能接口主要是面向應(yīng)用。

其中，詞匯和消息格式以及交互規(guī)則體現(xiàn)了協(xié)議邏輯特性，由此使協(xié)議被視為一種軟件體。交互規(guī)則承載受著通信的多數(shù)應(yīng)用需求，另一方面也同時直接受限于系統(tǒng)設(shè)計方案，其設(shè)計和實現(xiàn)比較復(fù)雜，是協(xié)議驗證的難點(diǎn)。

1.2 安全級網(wǎng)絡(luò)通信協(xié)議的確定性

通信協(xié)議的不確定性有兩層含義，一層含義是協(xié)議規(guī)定中出現(xiàn)灰色規(guī)則，即描述不清晰的規(guī)則、或內(nèi)容上相互不一致甚至相互抵觸的規(guī)則；另一層含義，是指由于數(shù)字化系統(tǒng)及其應(yīng)用存在諸多潛在不確定因素，在協(xié)議中如果對與通信相關(guān)的不確定性影響因素控制不力（規(guī)則不完備），也是通信協(xié)議的不確定。

為保證通信確定性，通常將通信行為、完成時間、消耗資源等設(shè)計為滿足特定規(guī)則，其中主要的常用規(guī)則已明確到核安全法規(guī)標(biāo)準(zhǔn)中了，如：

（1）在IEC 60880-2006（已轉(zhuǎn)換為能源行業(yè)標(biāo)準(zhǔn)NB/T20054-2011“核電廠安全重要儀表和控制系統(tǒng)執(zhí)行A類功能的計算機(jī)軟件”）中規(guī)定，同一冗余列內(nèi)使用的通信鏈路應(yīng)具備確定性要求；

（2）在ISG-04（Highly Integrated Control Rooms & Digital Communication Systems）中規(guī)定，消息的格式和協(xié)議應(yīng)該預(yù)先被確定，每個消息都應(yīng)該有相同的消息域結(jié)構(gòu)和位置順序，每個傳輸周期應(yīng)該包含所有的數(shù)據(jù)而不管數(shù)據(jù)是否發(fā)生變化，這些都是為了保證系統(tǒng)行為的確定性。

在NUREG-CR-6991（Design Practices for Communications and workstations in Highly Integrated Control Rooms）中也明確要求，安全系統(tǒng)之間的通信也應(yīng)具備確定性。

2 影響通信協(xié)議的確定性的關(guān)鍵因素

驗證通信協(xié)議的確定性時，可以采用反證的方法：只要能驗證引起通信協(xié)議不確定的因素已消除或控制并且相關(guān)消除和控制措施沒有引入新的不確定因素，就可判斷該通信協(xié)議就是確定的。

從分布式數(shù)字化系統(tǒng)的固有特征分析，引起通信協(xié)議不確定的主要因素有并行、離散、累計特性：系統(tǒng)分布式引起并發(fā)處理—并行；數(shù)字化引起參變量的不連續(xù)—即離散；系統(tǒng)時間和資源相關(guān)的動態(tài)特征—累計。下文將依次對其進(jìn)行論述。

2.1 累計特性

累計特性指通信主體的行為受其之前通信處理和通信結(jié)果的影響。具備累計特性的通信協(xié)議，能使系統(tǒng)狀態(tài)平穩(wěn)的變化，增強(qiáng)系統(tǒng)的魯棒性。但是，通信主體的累積特性會使得通信主體自身的動作靈敏度降低，系統(tǒng)慣性較大，通信主體的行為不僅受當(dāng)前狀態(tài)影響，還受限于歷史狀態(tài)，靠當(dāng)前狀態(tài)迅速預(yù)測通信行為或判斷通信故障較為困難。

常見的累計形式有：協(xié)議中與通信交互次數(shù)（如計數(shù)值）、某些特定事件（如丟包或其它異常動作）出現(xiàn)次數(shù)相關(guān)的規(guī)定、與特定公共通信資源（如信道緩存量、動態(tài)ID號）消耗量相關(guān)的規(guī)定。

以通道緩存量為例：假設(shè)通信主體P1根據(jù)需要申請占用網(wǎng)絡(luò)的公共資源-通信信道，信道緩存量為1M/S，當(dāng)信道上緩沖的數(shù)據(jù)在單位時間（1秒）內(nèi)超過1M后，通信主體將會申請失敗。這時，通信主體要么繼續(xù)申請，要么放棄本次申請，不論哪種方式，都會影響數(shù)據(jù)的正常發(fā)送，會造成通信的延時甚至丟包，導(dǎo)致通信不能提供確定的服務(wù)。

2.2 離散特性

離散特性指通信主體的行為時有時無，不連續(xù)的，用某一時刻t的狀態(tài)假定為一段時間T的狀態(tài)，這是數(shù)字化系統(tǒng)的基礎(chǔ)。T選擇過小，會使系統(tǒng)無效負(fù)荷加大，系統(tǒng)實現(xiàn)復(fù)雜；T選擇過大，會導(dǎo)致信息的淹沒，使得數(shù)字化系統(tǒng)不能有效地預(yù)防、檢測和處理故障。從理論上講，采樣頻率應(yīng)滿足采樣定律，在工程實踐中，采樣頻率一般為信號頻率的6～7倍。

以離散特性造成丟包為例：主體P1以周期Tsend發(fā)送數(shù)據(jù)，主體P2以周期T運(yùn)行，以Trecv接收數(shù)據(jù)，Tsend

圖 1 離散特性示意圖

從P1發(fā)送的某一包數(shù)據(jù)開始計時，這幀數(shù)據(jù)記為1#幀，此時距接收主體P2的接收時刻還有時間，之后每間隔時間Tsend陸續(xù)發(fā)送2#、3#......報文，那么通信主體P1發(fā)送出的報文能夠被P2接收到應(yīng)滿足如下關(guān)系：

顯然，不能預(yù)先設(shè)定，受P1和P2初始化時間影響，因此P2接收到P1的報文是不確定的。

2.3 并行特性

并行特性，指協(xié)議允許各通信主體主動發(fā)起交互或作出通信響應(yīng)。具有并行特性的通信協(xié)議，能提供應(yīng)用功能的異步配合，降低各通信方之間的相互耦合度，且傳輸效率較高。但是，并行運(yùn)行的各通信主體間配合精度低、特別是通信主體間會發(fā)生資源征用沖突。支持并行特性的通信協(xié)議關(guān)鍵技術(shù)是解決鏈路訪問沖突、通信體之間的同步、主節(jié)點(diǎn)選舉等問題。

在并行環(huán)境和通信協(xié)議約束下，各通信體的行為不能完全由自身狀態(tài)和期望決定，還要受限于其它通信主體的狀態(tài)和行為，在未能全面掌握系統(tǒng)所有通信體狀態(tài)的情況下，導(dǎo)致該通信體行為難以預(yù)測，給設(shè)計和驗證帶來困難。

假設(shè)兩個完全相同的通信主體A、B共享同一傳輸通道chanel傳輸消息M，通信通道的排他性使得某一時刻只能由一個通信主體獨(dú)占使用，通信主體A通常的做法是：首先查看通道是否被占用，如果未占用，則占用，并設(shè)置獨(dú)占標(biāo)志；如果占用，則等待一段時間后再次申請，直至申請成功并傳輸消息，這就是載波監(jiān)聽多路訪問算法。顯然，通信主體A將消息M發(fā)送出去的時間是不確定的。當(dāng)多個通信主體使用同一傳輸通道時，可能會導(dǎo)致某個通信主體有效的將數(shù)據(jù)發(fā)送出去，甚至一直不能發(fā)送數(shù)據(jù)。這在核安全級通信中是明確禁止的，設(shè)計應(yīng)當(dāng)予以避免。

通常的辦法有基于分時傳輸?shù)膮f(xié)議、有基于主從結(jié)構(gòu)的協(xié)議，這些協(xié)議都能夠解決這類資源訪問競爭的問題（但是因為違背單一故障原則，它們不能直接用于安全序列間等重要的通信場合），在核安全協(xié)議中，通常采用有限等待原理，在指定時間段內(nèi)，有限占用和等待被競爭的資源，保證每個節(jié)點(diǎn)在確定的時間內(nèi)獲取資源，以保證整個協(xié)議的確定性。

3 通信協(xié)議確定性案例

網(wǎng)絡(luò)結(jié)構(gòu)：在國產(chǎn)化核安全級DCS系統(tǒng)設(shè)計中，部分網(wǎng)絡(luò)通信采用了環(huán)網(wǎng)結(jié)構(gòu)[5]，如圖2所示。

圖 2 安全網(wǎng)絡(luò)示意圖

對該環(huán)網(wǎng)通信協(xié)議，采取的一系列確定性設(shè)計措施[6]，包括無中斷和無操作系統(tǒng)、節(jié)點(diǎn)信息靜態(tài)配置、數(shù)據(jù)包大小固定、定周期收發(fā)、數(shù)據(jù)生產(chǎn)者-消費(fèi)者模型等。

在驗證上述協(xié)議的確定性設(shè)計措施正確的基礎(chǔ)上，進(jìn)一步分析可能誘發(fā)不確定性的因素，如表1所示。

4 結(jié)語

本文提出了通信協(xié)議確定性的影響要素，闡述了這些要素常見的設(shè)計表現(xiàn)形式。通過在國產(chǎn)化核安全級通信網(wǎng)絡(luò)研制實踐，證明這種方法能有效揭示影響協(xié)議確定性的關(guān)鍵環(huán)節(jié)，提高分析驗證的質(zhì)量和效率。

[1] NUREG - CR - 6991. Design Practices for Communications and workstations in Highly Integrated Control Rooms [S].

[2] IEC 61500 - 2009. Data communication in systems performing category A functions [S].

[3] IEC 60880. Nuclear power plants Instrumentation and control systems important to safety Software aspects for computer - based systems performing category A functions [S].

[4] Design and validation of computer protocols [M].

[5] IEEE STD 802. 17 TM - 2004. Resilient packet ring(RPR) access method and physical layer specifications [S].

[6] IEC 61784 - 3. Industrial communication networks – Profiles Part 3: Functional safety field buses General rules and profile definitions [S].

The Key Factors Influencing the Safety Network Communication Protocol

In the domestic nuclear safety instrumentation and control systems development, it is a key technology to implement network communication protocol with the deterministic character. Based on the practical experience of nuclear safety level communication network protocol verification , this paper puts forward the three key factors influencing certainty of agreement, including the accumulative characteristics of the digital system, discrete features and parallel features. The common forms, action principle and control mode of these factors are introduced in the paper. Through the application of localization safety network development project, it is confirmed that the theory has superior guidance to protocol deterministic analysis verification of protocol.

Deterministic; Safety protocol

孫王強(qiáng)（1979-），男，山東濰坊人，碩士研究生，現(xiàn)就職于北京廣利核系統(tǒng)工程有限公司，主要研究方向為核安全級工業(yè)通信、核安全級儀控系統(tǒng)。