付長寧

（北京全路通信信號研究設計院，北京 100073）

1 概述

1.1 信號安全數(shù)據(jù)網(wǎng)的提出

與傳統(tǒng)的鐵路信號系統(tǒng)設備不同，CTCS-3（以下簡稱C3）級列控系統(tǒng)是一個由無線閉塞中心、臨時限速服務器、列控中心、軌道電路、計算機聯(lián)鎖等基本子系統(tǒng)構(gòu)成的功能聚合體，其功能的實現(xiàn)是建立在海量數(shù)據(jù)跨越空間、實時傳遞的基礎上，其顯著特點為：

（1）跨越空間：通常C3級列控系統(tǒng)控制某一條客運專線或高速鐵路的列車運行，其管轄范圍從幾百公里甚至到上千公里，點多、面廣的特點十分顯著。

（2）實時傳遞：根據(jù)現(xiàn)行的規(guī)范，應用C3級系統(tǒng)的線路運營速度通常在300～350 km/h。列車運行速度提高必然帶來對系統(tǒng)反應時間、數(shù)據(jù)傳遞速度的更高要求，1 s的延遲就可能引起列車大約100 m的制動距離的損失。

為滿足上述要求，必須有一套完善、可靠的網(wǎng)絡系統(tǒng)來支撐整個C3級系統(tǒng)，信號安全數(shù)據(jù)網(wǎng)的概念由此提出。

1.2 業(yè)務承載及數(shù)據(jù)流向

通常，信號安全數(shù)據(jù)網(wǎng)用以實現(xiàn)無線閉塞中心（RBC）與車站聯(lián)鎖設備（CBI）、臨時限速服務器(TSRS)與無線閉塞中心（RBC）、臨時限速服務器與車站列控中心（TCC）間、聯(lián)鎖設備和列控中心間以及聯(lián)鎖設備之間的信息交換。

信號安全數(shù)據(jù)網(wǎng)承載的通信業(yè)務如下。

（1）列控中心和聯(lián)鎖通信

列控中心向聯(lián)鎖傳輸：區(qū)間方向信息、區(qū)間閉塞分區(qū)狀態(tài)信息、信號降級命令信息。

聯(lián)鎖向列控中心傳輸：列車進路狀態(tài)信息、調(diào)車信號狀態(tài)信息、區(qū)間改方命令信息、車站信號機點燈狀態(tài)信息。

（2）列控中心和臨時限速服務器通信

臨時限速服務器向列控中心傳輸臨時限速命令信息和校時時鐘信息。

列控中心向臨時限速服務器傳輸臨時限速命令狀態(tài)信息和閉塞分區(qū)狀態(tài)信息。

（3）RBC和臨時限速服務器通信

臨時限速服務器向RBC傳輸臨時限速命令。

RBC向臨時限速服務器傳輸臨時限速命令狀態(tài)。

（4）RBC和聯(lián)鎖通信

聯(lián)鎖向RBC傳輸SA信息。

RBC向聯(lián)鎖傳輸列車相關信息。

1.3 一般可靠性要求

根據(jù)IEC 62278-2002(EN 50126) “鐵路應用-可靠性、可用性、可維護性和安全性(RAMS)規(guī)范和說明”，對系統(tǒng)可靠性的定義如下。

（1）規(guī)定應用及環(huán)境下所有可能的系統(tǒng)失效模式。

（2）每個失效發(fā)生的概率，或者每個失效出現(xiàn)的幾率。

（3）失效對系統(tǒng)功能的影響。

對于信號安全數(shù)據(jù)網(wǎng)而言，一般有如下幾種失效模式。

（1）光通道性能變差。

（2）應用接入點故障。

（3）交換機硬件故障。

（4）聚合鏈路失效。

（5）VRRP協(xié)議失效。

（6）網(wǎng)管服務失效。

（7）時間同步服務失效。

以下分別就信號安全數(shù)據(jù)網(wǎng)的幾個組成部分(基層環(huán)網(wǎng)、子網(wǎng)間接口、網(wǎng)管系統(tǒng))，對上述失效模式及其影響進行研究。

2 基層環(huán)網(wǎng)可靠性分析

基層環(huán)網(wǎng)是構(gòu)成整個網(wǎng)絡的基礎，其結(jié)構(gòu)如圖1所示。

基層環(huán)網(wǎng)由光通道、交換機及應用系統(tǒng)接入點3類元素構(gòu)成。在每一類元素發(fā)生失效時，對系統(tǒng)的影響是不同的。

2.1 光通道性能變差

由于光纜的施工工藝、沿線溝槽狀況、室外施工情況等復雜因素，此類失效是最為常見的。一般說來，光纖損耗主要由光纖本身和外部兩類原因引起。對于光纖本身的損耗，主要有3種：光纖和介質(zhì)固有的損耗、光纖制造引起的損耗和菲涅耳反射造成的損耗。對于1 550 nm的單模光纖，一般衰耗值為0.25 dB/km；對于1 310 nm的單模光纖，一般衰耗值為0.4 dB/km。這類損耗是不可避免的，進行網(wǎng)絡設計時必須要考慮這些因素。

外因損耗則主要有彎曲損耗和連接損耗。例如，光纖在穿行機柜的過程中彎曲半徑過小(一般要求最小彎曲半徑為5 cm)，會明顯增大衰耗值；又如，干線光纜進入機械室后，必須在ODF架成端后方可連接交換機設備，這種“成端”的過程(也稱為熔接)本身就會造成一定的衰耗，而且ODF架上的琺蘭端子本身也存在一定的衰耗(通常定義為每個琺蘭連接點增加0.5 dB)。

由于衰耗特性與波長、光纖外涂層、芯線材質(zhì)、傳輸距離、連接點數(shù)量等因素均密切相關，因此在工程實踐中，我們通常將相鄰兩站ODF架對應的端子間(兩臺設備間直連的光通路)的實測衰耗值作為主要參考，并針對該值提出技術要求：對于兩點間距離小于20 km的光通路，要求鏈路衰耗不得大于-10 dB；距離大于20 km小于70 km的光通路，要求鏈路衰耗不得大于-20 dB。兩點間距離不得大于70 km。

對于安全網(wǎng)而言，正常情況下數(shù)據(jù)流是在車站間直連的物理路徑中傳遞；當站間通道衰耗過大或鏈路徹底中斷時，則出現(xiàn)光通道失效。

在圖2中可以看出，站間的任一點斷開后，數(shù)據(jù)流可由環(huán)的另一側(cè)(迂回鏈路側(cè))到達目的地。假定相鄰的節(jié)點A與節(jié)點B物理距離為10 km，而全線共計20個車站、4個中繼器(單側(cè)環(huán)網(wǎng))、且最遠端兩站的距離為300 km，按照最不利情況(A到B的數(shù)據(jù)需遍歷所有的交換機)計算如下。

（1）正常情況下，從節(jié)點A的應用系統(tǒng)到節(jié)點B的應用系統(tǒng)的數(shù)據(jù)傳輸時延的計算方法為：節(jié)點A應用系統(tǒng)輸入交換機的電端口時延＋節(jié)點A交換機存儲轉(zhuǎn)發(fā)的時延＋光速傳遞10 km的時間＋節(jié)點B交換機存儲轉(zhuǎn)發(fā)的時延＋節(jié)點B交換機電端口輸出至應用系統(tǒng)的時延。以目前常用的工業(yè)以太網(wǎng)交換機的性能指標代入，則為：2.7+32+(10/300 000)×106+32+2.7 ≈103（μs），即約為0.1 ms。

（2）出現(xiàn)圖2的單點光通道失效的情況下，節(jié)點A的數(shù)據(jù)需經(jīng)過所有車站及中繼器才可到達節(jié)點B，則時延的計算方法為：節(jié)點A交換機的電端口時延＋交換機存儲轉(zhuǎn)發(fā)的時延×車站和中繼器數(shù)量＋光速傳遞590 km(即遍歷整個環(huán)的距離減去A、B間的距離)的時間＋節(jié)點B交換機電端口的時延。代入數(shù)值，則為：2.7+32×24+(590/300 000)×106+2.7≈2 740 （μs），即約為2.7 ms。

（3）可以看出，迂回的方法雖然傳輸延遲增大了約27倍，但由于TCC和CBI通常的系統(tǒng)周期為400 ms，2～3 ms的傳輸延遲是在容忍范圍內(nèi)的，且滿足部頒技術條件的要求。

2.2 應用接入點故障

圖3描述了一個標準站的應用接入。左右側(cè)各1臺交換機，每臺分別接入TCC兩系和CBI兩系共4根RJ45網(wǎng)線。應用接入點故障是指這些網(wǎng)線與交換機端口可能出現(xiàn)的故障(此處不討論應用系統(tǒng)板卡引起的故障)。

如圖3所示，TCC/CBI每系的以太網(wǎng)板有兩個端口(分別配置了左網(wǎng)和右網(wǎng)不同網(wǎng)段的IP地址)，每個端口都能夠分別到達CBI/TCC的一系和二系(反之亦然，但要嚴格保證雙方是在同一網(wǎng)段內(nèi))。因此，我們在應用系統(tǒng)的邏輯定義中規(guī)定如下：當且僅當主系的以太網(wǎng)板兩個端口均離線時，系統(tǒng)開始判斷備系的健康狀態(tài)，若備系完好則觸發(fā)倒機，若備系也處于異常狀態(tài)則雙系離線。

在現(xiàn)場實際應用中，由于網(wǎng)線接入點故障引起的通信中斷比較罕見，此類故障發(fā)生的概率很低；但由于網(wǎng)線接入錯誤(例如圖3中TCC一系的B口接入了交換機L)，配置了不同網(wǎng)段，該端口無法與CBI的1A和2A口通信。

2.3 交換機硬件故障

盡管安全網(wǎng)采用了工業(yè)級交換機，設備運行是比較穩(wěn)定的，但由于整個C3級系統(tǒng)的SIL-4級高可靠性要求，交換機硬件故障是需要考慮的。

2.3.1 交換機宕機

工業(yè)以太網(wǎng)交換機本身具有多重自保護功能，例如抗電磁干擾、抗雷電及浪涌等。在環(huán)境條件滿足外部環(huán)境要求的指標情況下，交換機可穩(wěn)定運行。

除此以外，在實際應用過程中還存在一種交換機部分失效的情況：當光通道質(zhì)量不佳，特別是接收端的光功率達到接收靈敏度的低限時，會出現(xiàn)光端口頻繁報告通道中斷(頻率可達每秒3～5次之多)。這種情況下該鏈路實際是不通的，卻無謂的消耗了交換機CPU的處理能力和帶寬，也對網(wǎng)管系統(tǒng)產(chǎn)生了不良影響，嚴重時可導致網(wǎng)管軟件的崩潰。因此，除了保證光通道的穩(wěn)定可靠以外，在交換機上和網(wǎng)管系統(tǒng)中配置適當?shù)膱缶呗?、避免同類報警過于頻繁導致系統(tǒng)資源過度消耗的情況，也非常必要。

2.3.2 交換機過載

與Internet不同，安全網(wǎng)是一個在封閉環(huán)境下的、流量可預見的網(wǎng)絡系統(tǒng)。根據(jù)在RBC/TSR與相鄰車站間的交換機(是全網(wǎng)負載最大的節(jié)點)所觀察到的流量數(shù)據(jù)顯示，應用系統(tǒng)產(chǎn)生的穩(wěn)定流量大約在700 kB/s左右(包括應用程序、操作系統(tǒng)、TCP機制等產(chǎn)生的流量)，峰值可達2 MB/s；網(wǎng)管流量大約穩(wěn)定在50 kB/s左右，網(wǎng)管系統(tǒng)發(fā)起輪詢或網(wǎng)內(nèi)有大范圍報警時可達200 kB/s。安全網(wǎng)的千兆速率完全可以滿足需求。

但是，仍然要考慮網(wǎng)絡過載的情況。例如，當網(wǎng)絡中出現(xiàn)“環(huán)”而冗余管理器失效時，會產(chǎn)生類似廣播風暴的效應，造成主干網(wǎng)擁塞，進而導致交換機過載；再如，某個應用系統(tǒng)設備可能會不斷產(chǎn)生廣播包，占用主干網(wǎng)的帶寬。

從流量控制的角度來看，安全網(wǎng)交換機一般采用光口是千兆、電口是百兆的設計結(jié)構(gòu)，這樣即使某個電口涌入的非正常數(shù)據(jù)達到極端的每秒百兆，仍然不至于使主干網(wǎng)過載。另外，通過強制配置環(huán)網(wǎng)冗余管理器、并針對所有“分岔”站點使用的所有冗余通道強制配置聚合，能夠避免意外出現(xiàn)環(huán)。在極端情況下，還可配置交換機崩潰后自動重啟的機制。通過以上技術手段，能夠保證主干網(wǎng)運行的可靠、穩(wěn)定。

3 子網(wǎng)間通信可靠性分析

考慮到客運專線/高速鐵路所覆蓋的地域廣泛性，不可能將所有站點都囊括在二層網(wǎng)絡中。適當劃分不同的子網(wǎng)、配置合理的網(wǎng)間路由并配置充足的冗余量，是切實可行的方法。而這種網(wǎng)間通信的可靠度評價也不同于一般二層網(wǎng)絡，除了交換機的硬件故障以外，轉(zhuǎn)發(fā)過程中的聚合鏈路失效及虛擬路由冗斜協(xié)議（VRRP）協(xié)議失效是最為關鍵的。

3.1 聚合鏈路失效

從圖4中可以看出，1對三層交換機通過2條光通道連接，我們在交換機中將這兩條通道以聚合(Aggregation)的方式配置，使之對交換機而言邏輯上是1條通道。正常工作時，交換機按照流量平均的原則在2條通道上傳輸；當任意一條通道中斷時，交換機將所有數(shù)據(jù)通過剩余的健康通道傳輸。從圖4中還可以看出，用于聚合的2條鏈路采用不同物理路徑的光纜，因此大大降低了2條鏈路同時失效的可能，提高了可靠性。

但是，鏈路聚合的采用也有其風險。若某種情況下聚合協(xié)議失效，但2條通道仍然健康，此時一種危險的情況會出現(xiàn)——成環(huán)。

圖5是聚合協(xié)議失效時形成的環(huán)。這種情況發(fā)生時，數(shù)據(jù)包(包括應用數(shù)據(jù)、網(wǎng)絡狀態(tài)信息等)會在這個環(huán)中循環(huán)往復地流動，這種類似廣播風暴的效應將會迅速消耗掉交換機的帶寬和處理器能力，最終導致交換機過載。不但這一側(cè)的上、下行子網(wǎng)通信中斷，本地接入的應用也會中斷，并且無法從遠程訪問到交換機。

為避免這種情況的出現(xiàn)，除了在工程實施中加強配置的質(zhì)量控制以外，在交換機中對聚合端口做適當?shù)牧髁靠刂?、并配置極端情況下的交換機自恢復/重啟動等功能，非常必要。

3.2 VRRP協(xié)議失效

由于在樞紐等網(wǎng)絡結(jié)構(gòu)復雜的地方，RBC/TSRS等核心設備不一定能夠被包含到本地二層網(wǎng)中，大量關鍵應用會通過網(wǎng)關完成，因此提高網(wǎng)關的可靠性就顯得非常重要。為此，我們在子網(wǎng)間使用了VRRP協(xié)議。

如圖6所示，子網(wǎng)A使用VRRP將2臺三層交換機虛擬為一個路由地址，作為子網(wǎng)A內(nèi)所有設備去往子網(wǎng)B的網(wǎng)關。正常情況下，交換機A作為MASTER承擔子網(wǎng)A←→子網(wǎng)B的數(shù)據(jù)流；當A不可用時，原本作為BACKUP的交換機B升級為MASTER，承擔轉(zhuǎn)發(fā)的任務，而這個切換的過程對應用系統(tǒng)來說是完全透明的。

VRRP協(xié)議失效通常出現(xiàn)的情況是MASTER正常情況下BACKUP異常搶權。在保證光通道正常的前提下，通過配置不同且有大小順序的優(yōu)先級，確保MASTER的優(yōu)先級始終高于BACKUP，可以避免異常搶權的發(fā)生。不過，即使VRRP出現(xiàn)異常，只要交換機本身仍然工作，就不會影響應用系統(tǒng)的數(shù)據(jù)轉(zhuǎn)發(fā)。

對于復雜樞紐環(huán)境，一般采用圖7所示的方案，通過不同路由徑路實現(xiàn)虛擬網(wǎng)關的冗余。顯然，應用數(shù)據(jù)包從BACKUP需要至少兩跳才能經(jīng)過子網(wǎng)C到達子網(wǎng)B，效率上不如圖6所示的方案高，但仍然能夠達到網(wǎng)管冗余的目的，提高了系統(tǒng)的可靠性。

4 網(wǎng)管系統(tǒng)可靠性分析

為便于對網(wǎng)絡進行實時、準確的監(jiān)視，安全網(wǎng)一般配置有網(wǎng)管系統(tǒng)。網(wǎng)管系統(tǒng)由網(wǎng)管服務器、路由器、防火墻及一定數(shù)量的網(wǎng)管終端構(gòu)成。盡管網(wǎng)管系統(tǒng)的健康狀態(tài)并不影響全網(wǎng)的正常運行，不過作為安全網(wǎng)的輔助系統(tǒng)，其可靠性仍很重要。

4.1 網(wǎng)管服務失效

結(jié)合圖8，從數(shù)據(jù)流向來看，基層設備將向服務器發(fā)送報警信息、服務器定時輪詢指定地址段內(nèi)的網(wǎng)絡設備，將所有相關信息在服務器匯總；然后通過與集中監(jiān)測網(wǎng)絡的接口，向接入集中監(jiān)測網(wǎng)絡的網(wǎng)管終端發(fā)送網(wǎng)管信息。

為避免單一網(wǎng)管服務器失效造成全網(wǎng)無法監(jiān)視，體系結(jié)構(gòu)上設計了兩套網(wǎng)管服務器，如圖8所示，并在所有網(wǎng)內(nèi)設備的報警配置中指定向這兩套服務器同時發(fā)送報警信息。這樣，即便一套網(wǎng)管服務器宕機，仍然可以通過另一套網(wǎng)管服務器監(jiān)視網(wǎng)絡狀態(tài)，極大提高了網(wǎng)管系統(tǒng)的可靠性。

4.2 時間同步服務失效

為保證安全網(wǎng)內(nèi)的所有網(wǎng)絡設備(不包括應用系統(tǒng))時鐘一致，便于故障分析，在網(wǎng)管服務器上配置了時間同步服務。一般來說，基于簡單網(wǎng)絡時間協(xié)議(SNTP)的時間同步采用兩種方式：由服務器端主動發(fā)起的廣播機制和由客戶端主動發(fā)起的查詢機制。本著盡量減輕時間同步服務對網(wǎng)絡帶寬的占用、避免產(chǎn)生瞬間峰值流量的原則，我們將二者結(jié)合使用：客戶端(交換機)每1 h發(fā)起一次查詢(由于各個節(jié)點的交換機重啟或掉電總是在不同時間點，會使網(wǎng)內(nèi)的交換機發(fā)起查詢的時間點趨向一個平均的分布，可以避免集中查詢帶來的峰值流量)；另外，網(wǎng)管服務器每12 h向全網(wǎng)發(fā)送一個用于校時的廣播包。

由于交換機的時間同步僅用于故障分析、且對精度的要求不高，因此時間同步服務失效對系統(tǒng)的影響很小。

5 結(jié)束語

信號安全數(shù)據(jù)網(wǎng)是C3級系統(tǒng)的重要組成部分，是C3地面系統(tǒng)的神經(jīng)中樞。通過以上分析，可以看出，信號安全數(shù)據(jù)網(wǎng)能夠保證長期、不間斷的穩(wěn)定運行，并在局部發(fā)生故障時依靠冗余配置和自愈機制完成系統(tǒng)功能，全網(wǎng)是可靠、穩(wěn)定的。

[1]科技運[2008]34號CTCS-3級列控系統(tǒng)總體技術方案[S]．

[2]運基信號[2009]223號 客運專線信號系統(tǒng)安全數(shù)據(jù)網(wǎng)技術方案V1.0 [S]．

[3]運基信號[2010]267號 鐵路信號安全通信協(xié)議技術規(guī)范V1.0 [S]．

[4] IEC 62278-2002（EN 50126） Railway application Specification and demonstration of reliability, availability, maintainability and safety（RAMS）[S]．

[5] IEC 62280-1-2002 （EN 50159-1） Railway applications.Communication,signalling and processing systems. Safety related communication in closed transmission systems[S]．

[6] IEC 62280-2-2002 （EN 50159-2） Railway applications．Communication,signalling and processing systems. Safety related communication in open transmission systems[S]．

[7] TB/T 2073-2003 鐵路信號電器設備電磁兼容試驗及其限制[S]．

[8] TB/T 3074-2003 鐵路信號設備雷電電脈沖防護技術條件[S]．

[9] RFC0793 傳輸層(TCP)協(xié)議[S]．

[10] RFC0791網(wǎng)絡層(IP)協(xié)議[S]．