安全关键实时通信网络发展现状分析

天津工业大学计算机科学与软件学院 张亚成

在后PC时代，实时计算和通信技术已被广泛应用于航空航天、国防、交通运输、核电能源和医疗卫生等诸多安全关键系统中。随着安全关键系统呈现出分布式和一体化的新特性，通信网络已成为系统中的核心组件，并且对安全关键系统的构建和验证起着决定性的作用。因为安全关键系统关系到人身安全和财产损失，因此不同于通常的实时通信网络，安全关键实时通信网络不但要求网络的实时性，更重要的是网络的安全性和可靠性，包括出错检测的能力，容错能力和故障隔离能力。这些特性对实时通信协议提出了更多新的需求。在分布式实时系统中，构建通信网络存在两种范型：事件触发(event-triggered)和时间触发(time-triggered)，简称ET和TT。被用在安全关键系统中的事件触发协议并不多，如CAN，Btyeflight。虽然灵活性是其优势，但从安全关键系统的角度来看，这也成为其不被使用的主要原因。而时间触发协议因为良好的可预测性，容错能力和可组合性而被广泛用于安全关键系统中，如TTP。

1.事件触发的安全关键实时通信网络

事件触发范型就是指网络上的所用活动都是由外部(或内部)事件的出现来触发的。例如，如果传感器所读的值发生变化，则广播其新值。事件触发协议具有很好的灵活性，它能够快速的响应任何时刻发生的通信请求，并不会对通信活动发生的时间做任何限制。但由于外部事件具有很强的异步性，随机性，导致ET型网络的可预测性差。ET型网络最坏情况下的延迟时间发生在所有节点同时准备发送消息的时刻。而平均情况下，可能无需等待就可以被发送出去，因此发送延迟的抖动较大。因为节点只响应外部事件，因此ET型网络不能很快检测出表现为故障沉默(fail-silence)的失效节点。而且ET型网络不能支持时序可组合性，因为节点之间的异步传输导致节点之间相互干扰，任何一个节点的加入，都会影响到其他节点的时一序行为。而且由于事件发生的随机性导致事件触发协议无法实现冗余复本之间的确定性，因此多采用主从方式实现容错系统。

ET网络的这些缺点使其不适用于安全关键实时系统，因此近些年，提出了一些新的ET型网络协议，在保持自身优势的情况下，从协议设计上吸取时间触发协议的优势以克服其存在的缺陷，提高ET型通信协议的可预测性，检错能力和可组合性，如Byteflight；被实际用于安全关键系统的事件触发型通信网络有CAN，Byteflight等。

2.时间触发的安全关键实时网络

大量研究结果表明，设计实时网络的关键在于使用时间触发方法替代传统的事件触发方法。对于TT型网络，网络上所用的活动都随时间的前进而有计划的进行。例如，如果现在已启动了20微妙，则读取传感器的值并广播该值。时间触发协议通过一个静态的预先定义的全局调度表控制它的网络活动，并且该调度表和全局时钟作为每一个节点的先验知识，因此每一个节点可以知道什么时候允许发送消息以及什么时候可以接收消息。这使得TT型协议在时序行为上具有更好的可预测性。TT型网络的核心基础是建立和维护一个全局时钟。对传输媒体的访问采用时分多路访问机制。节点之间必须预留足够的空隙，以保证节点之间消息传输不会相互干扰。这样不但消除了共享介质的访问冲突，而且使得TT型网络具有时域上的可组合性。时间触发一脚议以节点最坏情况下的响应时间为其预留时间槽，因此，可以说时间触发协议是面向最坏情况而设计的。由于时序行为作为先验知识，时间触发协议的连接故障检测在接收端更易实现。

尽管时间触发协议在可预测性，故障检测能力和可组合性方面受到安全关键系统的青睐，但是时间触发协议最大的问题就是缺少灵活性，通信活动必须在指定的时刻才能发生，这就导致网络平均利用率低，特别是当一个或多个节点产生偶发性的消息时。因此，在某些对灵活性要求高的应用领域，如汽车电子系统，时间触发协议并不适用。因此在TT协议的基础上产生了一些满足行业需要的时间触发协议。

3.基于以太网的安全关键实时网络

工业以太网的应用与研究推动了以太网在安全关键系统中的应用。维也纳理工大学基于TTP在航空航天，汽车电子等领域积累的经验，提出了时间触发的以太网(Time-triggered Etllerenet，TTE)架构。TTE是同时支持实时消息与非实时消息的混合型协议。TTE的设计目标是将标准以太网与TTP/C的优点集于一身，在满足从非实时应用，到多媒体，再到安全关键的实时控制系统的各种需求的同时，能够兼容现有的以太网标准。但TTE需要修改以太网连接硬件设备以满足实时性需要。Powerlink是在标准以太网的基础上建立一个现场总线系统，来满足控制中最苛刻的实时要求。Powerlink已经通过SIL3安全完整性等级的认证。成为真正投入实际使用的基于以太网的安全关键通信网络。

我国在这方面开展了大量的研究工作，提出了实时通信协议E&TTE。E&TTE是一种基于事件触发型Ethernet的时间触发网络，它有效地组合了事件触发与时间触发方法，其中事件触发用于传输异步实时与非实时消息，而时间触发方法则用于传输同步实时消息，E&TTE有机组合两类网络的优点，使实时网络不但具有较高的灵活性，而且具有较好的可预测性。虽然以太网在安全关键系统中的应用还未像工业以太网一样取得丰硕的研究成果，但是随着网络互联需求的不断增加，安全关键系统与IT系统的连接是不可避免的趋势，因此安全关键系统与以太网的互联也应该作为新型安全关键网络设计的目标之一。

4.结束语

尽管目前有多种可用的现场总线，但其并没有被广泛的应用于安全关键系统中，因其开发过程中并没有融入安全的设计理念，而是在实现完成后，再去推导其设计的安全性。作为一种涌现特性(emergent property)，安全性不可能在系统部署之后被添加进去，它必须贯穿于系统的整个开发过程中。很多的现场总线提供商都在致力于通过安全完整性等级的验证，开发过程成为其最大的障碍。因此，将实时通信网络安全管理概念贯穿于协议设计开发和验证过程中，从过程中保证与安全标准的兼容性以提高系统的安全置信度是一个值得探究的课题。

[1]冯时雨,王轶辰.实时网络通信协议的设计与实现[J].计算机工程与设计,2008(17).

[2]孙晓雅.基于Intranet计算机通信网络的实时通信浅析[J].公路交通科技(应用技术版),2010(04).

[3]夏德海.从现场总线到无线传感器网络[J].中国仪器仪表,2009(S1).