基于時間觸發機制的通信總線安全性分析

林捷

（福建師范大學光電與信息工程學院，福州 350100）

0 引言

隨著計算機控制系統飛速發展，對安全關鍵系統的可靠性、安全性等提出了更高的要求，安全關鍵系統是指其在失效情況下會造成重大生命財產損失的系統，如軌道交通、航空航天、核工業等。安全關鍵系統中對通信的實時性和確定性具有非常高的要求。傳統計算機控制系統中采用的通信總線，如CAN總線，是基于事件觸發的機制，使得系統通信存在不確定和不可預知性安全威脅[1]。為防護安全苛求系統通信中的安全風險，歐盟標準委員會在IEC61508標準中引入了時間觸發架構[2]。在文獻[3]指出：在時間觸發架構（TTA）的系統中，系統的所有活動將會從一個全新的初始狀態開始，活動的進展狀況會基于一個同步的時間基。各個應用在時間觸發總線上占有一個固定的時間段，所有的應用任務之間都在進行著消息交換，依據確定的調度表進行交換。時間觸發總線被證實可有效減少系統測試和證明所需要的準備工作，促進分布式實時系統的設計，提高系統的通信安全性。時間觸發總線彌補了既有總線協議在列控系統或者同安全相關的系統時容錯性和傳輸速率低的不足。

時間觸發通信總線的研究已經引起很多研究學者的關注，大部分研究主要集中在協議運行的調度算法優化方面如文獻[4]將裝箱算法與遺傳算法相結合形成混合遺傳算法,從而能更快地找到最優近似解，來提高FlexRay總線的通信效率。文獻[5]基于FMEA（失效模式及影響分析方法）提出通用性框架分析FlexRay總線可能存在的系統故障及其影響。NiuRu等人采用廣義Petri網形式化的驗證了TTP/C總線協議成員服務的一致性[6]。

這些研究往往都是從理論的角度分析時間觸發總線的性能，很少從定量的角度分析時間觸發機制的可靠信。本文采用FMEA方法分析列控安全計算機平臺的通信總線的結構基礎上，評估系統可能存在的風險，在協議的設計中采用與TTP/C總線和FlexRay總線相似的時間觸發機制，并在協議的運行中采用數據重發機制來防護通信中存在的風險，最后從定量的角度分析所設計的時間觸發通信總線可以滿足列控安全計算的安全需求。

1 通信總線結構與需求分析

基于時間觸發方式的通信網絡，由于在整個系統中建立了全局統一的時鐘[7]，因此時間觸發通信總線具有很強的可預測性與周期性。不同的通信設備在通信時能夠實現在規定的時間序列，依據確定的調度表進行數據收發操作，從而實現高可靠的數據傳輸機制,非常適合應用在對系統安全等級要求高的領域如鐵路、航空、汽車等行業，目前應用最廣泛的時間觸發總線有TTP/C總線和FlexRay總線等。如在軌道交通領域，根據EN50159標準對軌道交通控制系統中通信安全威脅做出詳細定義，由于當前通信系統存在的一些尚未解決的缺陷,可能導致信息在傳輸的過程當中會出現一些差錯或者誤碼,諸如此類隱患都有可能對通信系統產生潛在的威脅[8]。

1.1 通信總線結構

相比于OSI和TCP模型，本系統的通信協議層相對簡化，包括物理層、鏈路層和應用層。

圖1 通信總線的系統結構

圖2 時間觸發總線物理層結構圖

通過該時間觸發總線的物理層結構圖中可以看出，物理層位于系統的最底層，并且針對該系統的電氣特性和電路接口進行了一些規定，協議鏈路層的職責是除了對數據包采取組包和解包的措施之外，還承擔著對數據進行校驗、傳送進行差錯處理。應用層的職能為對各類不同的數據進行邏輯分析處理和分析計算，與此同時，在傳輸方面也沒有停滯，直接將各類數據的邏輯分析處理結果下發至通信的協議鏈路層中進行傳輸。該系統的核心所在不是物理層的功能與規定，而是協議鏈路層針對該系統的特殊性而產生的一種全新形式的自定義通信協議。

1.2 失效模式及影響分析方法

所謂的FMEA（失效模式及影響分析方法）是一種歸納分析方法。它通過分析產品或系統可能存在的故障模式而確定對產品或系統性能及功能的發揮、人員安全與維修等的影響。FMEA可以在系統的初期階段,在第一步對各項數據進行邏輯處理以及對系統分析設計,找出潛在的威脅和隱患,從這些威脅和隱患當中繼續根據數據觀察多方面威脅和隱患的產生因素，對其產生的后果和影響進行模擬，最小化影響。從而能夠在通信系統實現前預先采取措施,減少失效模式,從而有效地提高系統的質量和可靠性。它能夠系統地分析潛在的風險因素，在系統級采用FMEA分析可能出現的失效模式,及其導致的后果和發生的原因,并確定和初步評估協議設計中所采取的保護策略。

下面匯總了FMEA分析的結果，FMEA分析的結果都會包含其核心內容,也就是協議失效模式、協議原因、故障影響和防護措施。具體分析結果參照表1通信節點的FMEA分析。

表1 通信節點的FMEA分析

2 時間觸發通信總線

首先，時間觸發通信總線必須符合故障安全原則的總要求。其次，還需保證它與安全關鍵計算機控制系統可穩妥適配，不允許其他特異性問題出現。因此該總線在相關的安全領域的應用中，一方面釆用時間觸發機制保證通信時間的確定性,另一方面設計相應的安全通信協議應對通信失效的風險，如引入總線通信的重傳機制，防止重復、刪除、插入、延遲、亂序等時間相關的傳輸風險

2.1 總線物理層冗余性

在上一節中采用FMEA方法分析總線通信存在的風險，通過借鑒ARINC659高可靠度和安全度的物理層,在物理層總線上采用4條冗余通道[3]，進一步提高總線的可靠性、容錯性以及利用率。物理層總線分為兩組H1和H2，由通信控制器進行主控，每組總線又有x 和 y兩個通道，共有 H1x、H1y、H2x、H2y四條總線，每條總線在每個時鐘的上升沿傳輸4bit數據。在發送和接收上利用半雙工進行通信傳輸，同時采用交叉檢測容錯機制對接收的數據進行校驗,再對比較后的數據進行CRC解碼,最終數據校驗無誤后判斷接收到的數據為有效數據。由于每條線路且相同時間發生傳輸錯誤的概率極小,由于每條線路在同一個時間內發生傳輸錯誤的概率極小，倘若某個時刻單條線路發生傳輸錯誤就變得可被允許，這將極大地提高通信的容錯能力。

圖3 總線物理層冗余結構

2.2 總線鏈路協議層分析

時間觸發架構（以下簡稱TTA）由Kopetz等人提出，目的是為設計可靠性分布式系統提供一個可靠性框架。該架構可用于車載網絡，飛行器控制網絡，過程自動化等領域。TTA將大型應用系統逐步分解成相對獨立的簇和節點。在每個節點中生成一個已知精度的全局時基。時間觸發總線依賴于通信各節點時間調度管理。時間調度管理的基礎是時間無沖突分配和各節點時間同步。因此，時間觸發架構的關鍵之處在于控制不同的設備節點時間相一致，否則會造成總線沖突競爭情況，導致整體通信陷入癱瘓。理想狀況是多設備通信的總線之間保持同步（這需要依賴物理時鐘同步機制），各個節點之間跟隨相同的主控節點的全局時鐘。

（1）通信模型

時間觸發總線通信節點之間的關系模型為主從關系模型，該模型單位周期內有且只有一個主設備來控制協調全局設備通信。該模型的參考原理是幾個待同步的節點的時間段必須同時參考同一個主控節點的時間，從而實現同步。

基于此模型，時間觸發總線可在單位周期內以主控節點的時鐘為同步基準時鐘，將多個從節點的時鐘同步于主控節點，實現在每個周期內對多個從節點進行同步，避免時鐘誤差累積造成的通信失步問題。

（2）時間片劃分策略

由于時間觸發總線是數據線和時鐘線多節點共享，屬于半雙工通信方式。需要采用分時復用技術實現多對多雙向通信。分時復用是指利用不同的時間實現在同一組通信線路上實現接收和發送數據功能，以及多個節點利用不同時間實現兩兩通信，但在同一時間只能有一個節點能發送數據。為此需要合理劃分時間段才能實現多個通信節點無沖突通信。首先根據節點數n,取其中一個為主控節點，其余（n-1）節點為從。每個節點兩兩相互通信，則至少需要劃分為n*（n-1）時間片。

（3）節點時鐘同步策略

主從節點的時間同步有全局時鐘和局部時鐘兩個概念。局部時鐘是表示節點時間計時是以自身晶振時鐘為基準，而全局時鐘是指全部節點相同時間源的時鐘為基準。傳統的全局時鐘策略是直接采用統一時鐘源，通過時鐘線與各節點時鐘保持一致。該策略雖然可以達到絕對的時鐘同步，但存在時鐘頻率受限，節點距離受限、高抗干擾環境等缺點。因此我們將采用局部時鐘和全局時鐘相結合方式，通過總線的數據線和時鐘線來進行周期性全部時鐘同步，其他時間段各節點采用局部時鐘計時。主控節點在通信周期T開始前維持一個短時固定的同步時隙，該同步時隙用于全局時鐘同步。在同步時隙內，從節點以主控節點的晶振時鐘為基準。主控節點根據鏈路層規定向總線發送一定固定格式數據信息以及一定頻率的時鐘信號作為全局同步信號，同步信號使得全局節點開始統一計時。

這種同步廣播機制除了可以防止通信中出現數據亂序，延遲等風險，還可以在其中的一個通信對象出現故障停止工作時，保證其他通信對象正常運行。當系統維護人員更換通信對象或者添加新的通信對象時，通信對象只有收到當前主通信對象發送的廣播同步信號才可以按照預定的時間片輪轉表正常運行，大大提高通信總線的容錯能力與擴展性。

3 時間觸發總線的實時性

在第2節中從定性的角度分析時間觸發通信總線在協議層上的同步機制與數據重傳機制如何防范重復、刪除、插入、延遲、亂序等時間相關的傳輸風險。通信總線傳輸數據時，往往會存在傳輸延遲等現象，如果傳輸延遲過長會引發延遲、重復、亂序等風險，本文運用網絡演算對時間觸通信總線進行最壞網絡延遲分析。

3.1 網絡演算基本概念

網絡演算理論用于定量求解通信數據隊列長度、延遲、數據包丟失率等通信總線性能的確定性邊界，其中，到達曲線模型與服務曲線模型是最重要的兩個概念。通過到達曲線模型與服務曲線模型求解總線通信的最大延遲。

定理1最大延遲時間。假定一個系統S數據流的到達曲線為α(t)，為數據流提供的服務曲線為β(t)，其最大延遲D(α,β)滿足：

則系統中數據流的最大延遲為D(α,β)，如圖所示，為到達曲線為α(t)，服務曲線β(t)的最大水平距離。

圖4 到達曲線、服務曲線與最大延遲

3.2 通信時延網絡演算模型

考慮到通信總線數據流的突發性，根據文獻[9]中的漏銅模型，可令其到達曲線模型為：

其中bi為數據突發量，γi為數據傳輸的平均速率。

由數據幀格式可知，數據信息準備發送之前需要對每個數據段進行相應地添加幀頭和幀尾，進行組幀后，在總線上實時傳輸數據。組幀就是對數據段前加入起始位、目標地址、源地址、數據幀長度，在數據段后面添加CRC校驗碼與結束標識符。同理數據在接收時也需要進行解幀處理。數據的傳輸延遲與消息數據幀的長度有關，則計算公式為：

其中：Td為傳輸延遲時間，FHead代表幀頭字節個數為7，FTail代表幀尾字節個數為3，DataSegment表示數據段字節個數為0-256，tbit表示傳輸1比特（bit）數據所需要的時間。通過理論公式的計算，確定將來實現時間觸發總線協議的時間片周期T，確保T＞Td保證在一個時間片在無故障情況下能夠傳輸一幀數據。

3.3 差錯策略下通信時延分析

由于外界的電磁干擾、線路短路等故障導致傳輸線路上的數據丟失或者錯誤，因此總線通信中引入數據重傳機制保證數據傳輸的可靠性。在時間觸發通信總線的鏈路層協議中，消息的調度是預先定義在時間片輪換表中,發送方在發送時間片結束后就放棄了總線的使用權,交給了下一個時間片。為提高總線利用率，在數據重傳機制中采用“雙消息ID”方式，也就是每個節點在發送消息時包含自身消息ID同時附帶接收數據的應答消息ID，這樣保證數據在同一周期得到應答，無需等到下一個周期。如果發送節點沒有收到上一個時間片的應答幀ID，此時發送節點重新發送數據，同時記錄重發的次數。考慮到時間觸發通信協議工作在具有電磁屏蔽的插箱中，收到外界干擾的可能性較低，為保證時效性，可定義通信數據重發有限次數，若超過規定數據重傳的次數，系統將導向故障安全處理。

在現代的通信系統之中，針對各類通信對象相互之間進行各類通信之時，由于外界的無關電磁波產生的多種干擾而引發瞬態故障，從而致使數據信息的丟包，損壞，丟失，對端根據所接收的數據進行分析核驗發現問題之后，無法進行下一步操作，因此時間觸發通信總線的數據重傳機智的可靠性目標可以定義為：

其中P表示由于干擾而導致數據丟失以及損壞的概率。根據文獻可知，在時間Ti內單條總線通信數據發生的隨機錯誤服從泊松分布[10]：

由泊松分布可以看出：時間觸發通信總線數據傳輸中，在整個通信周期中不存在冗余。不存在出現一個或者多個錯誤，消息處理過程能夠被正確發送的，故其消息傳送出錯概率為：

圖5 不同重傳次數的可靠性對比

圖6 不同重傳次數的延遲時間

由于通信數據重傳的次數越多，導致通信帶寬的利用率越低，綜合考慮，在實現時間觸發通信總線的流程中我們選定數據重傳的次數為3次。

4 結語

本文根據國際安全相關標準，采用FMEA方法辨識評估時間觸發通信總線在安全關鍵系統中應用中可能存在的安全風險，分析表明在通信總線設計中引入時間觸發機制能有效地保障安全關鍵系統的通信確定性與可預測性。同時也表明時間觸發通信總線通過在不同通信對象間主動應答方式和數據重傳等策略來防護系統由于瞬態故障導致數據的損壞。最后對時間觸發總線在通信傳輸時的延遲特性進行分析，根據實際的仿真驗證和理論計算來驗證時間觸發總線整體時延特性，定量地分析時間觸發總線的可靠性與安全性，進一步說明時間觸發架構下通信總線可滿足安全關鍵系統通信的安全性需求。

參考文獻：

[1]Maier R,Bauer G,St?ger G,et al.Time-Triggered Architecture：a Consistent Computing Platform[J].IEEE Micro,2010,22(4)：36-45.

[2]Hérard J,Hedberg J,Kivipuro M,et al.Validation of Communication in Safety-Critical Control Systems[J].Nordtest report.104 p

[3]李佳,田光宇,鈕翔,等.FlexRay網絡通信延遲時間分析[J].清華大學學報(自然科學版),2007,47(08)：1343-1346.

[4]Muller C,Valle M,Armengaud E,et al.A Generic Framework for Failure Modes and Effects Analysis of Automotive Networks[C].IEEE International Conference on Industrial Informatics.IEEE,2011：293-298.

[5]Lboudec B J,Patrick.T.：Network Calculus,A Theory of Deterministic Queuing Systems for the Internet[J]，2010.

[6]Niu R,Cao Y,Tang T.Formal Safety Verification for TTP/C Network in Drive-by-Wire System[C].IEEE International Conference on Vehicular Electronics and Safety.IEEE,2007：1-6.

[7]楊佳谞,吳成富,段曉軍.時間觸發架構總線分析[J].航空計算技術,2013,43(04)：125-128.

[8]Functional Safety of Electrical/Electronic/Programmable Electronic Safety-Related Systems German Version EN 61508：2010[S],2010，4.

[9]張連明,陳志剛,黃國盛.網絡演算理論及應用研究[J].計算機工程與應用,2006,42(27)：8-11.

[10]Maier R,Bauer G,St?ger G,et al.Time-Triggered Architecture：a Consistent Computing Platform[J].IEEE Micro,2010,22(4)：36-45.