魏 民

1 研究背景

鐵路調(diào)度指揮現(xiàn)代化既是鐵路運輸管理現(xiàn)代化的重要標志,也是鐵路運輸信息化建設(shè)和應(yīng)用的重點。列車調(diào)度指揮系統(tǒng)(TDCS)和調(diào)度集中系統(tǒng)(CTC)是實現(xiàn)鐵路各級運輸調(diào)度對列車運行實行統(tǒng)一調(diào)度、實時調(diào)整、集中控制、覆蓋全路的現(xiàn)代化鐵路運輸調(diào)度指揮和控制系統(tǒng)。經(jīng)過十多年的建設(shè),已建成了覆蓋鐵道部、鐵路局和鐵路車站的現(xiàn)代化鐵路調(diào)度指揮網(wǎng),實現(xiàn)了全國鐵路調(diào)度指揮自動化,在提高運輸效率和保證行車安全方面發(fā)揮了重大作用,已經(jīng)成為鐵路運輸調(diào)度指揮的基礎(chǔ)裝備。

隨著 TDCS和 CTC系統(tǒng)投入運用,每個列車調(diào)度員管轄范圍由傳統(tǒng)的 100 km增大到 260 km,最高達到上千公里,已經(jīng)成為中國鐵路運輸不可缺少的調(diào)度指揮工具。隨著開行列車密度的不斷加大,調(diào)度員的管瞎范圍也不斷擴大,列車調(diào)度員對列車調(diào)度指揮系統(tǒng)的依賴程度也就越來越大,如何應(yīng)對各種災(zāi)難對 TDCS/CTC系統(tǒng)的打擊,顯得更加迫切。

災(zāi)難對計算機系統(tǒng)而言,就是導致系統(tǒng)運行嚴重故障、癱瘓、信息系統(tǒng)支持的業(yè)務(wù)功能停頓或服務(wù)水平不可接受的事件。信息系統(tǒng)面臨的威脅可能來自于自然,如地震、洪水、龍卷風和火災(zāi)等;也可能來自于人類自身,如操作失誤、病毒、黑客入侵、恐怖襲擊等。這些威脅一旦使關(guān)鍵信息系統(tǒng)發(fā)生故障或遭受災(zāi)難性打擊,后果將不堪設(shè)想。因此,要使信息化能夠發(fā)揮更加重要的作用,信息系統(tǒng)的災(zāi)備建設(shè)應(yīng)成為當務(wù)之急。

目前列車調(diào)度指揮系統(tǒng)的備份主要是采用雙機熱備、存儲冗余、動態(tài)切換等技術(shù),基本能夠抵御系統(tǒng)一般性故障帶來的影響。但如果發(fā)生自然災(zāi)害,如水災(zāi)、火災(zāi)、雷擊、地震或其他災(zāi)害等突發(fā)事件,導致鐵道部、鐵路局調(diào)度指揮中心不能正常指揮行車時,對鐵路運輸造成的損失和影響將不可估量。因此,研究 TDCS/CTC系統(tǒng)災(zāi)難備份建設(shè)方案非常必要。

2 災(zāi)備系統(tǒng)建設(shè)目標和建設(shè)原則

2.1 建設(shè)目標

在充分借鑒銀行、海關(guān)等災(zāi)備系統(tǒng)建設(shè)理念和成功經(jīng)驗的基礎(chǔ)上,結(jié)合鐵路信息系統(tǒng)災(zāi)難備份建設(shè)方案,建設(shè)符合鐵路調(diào)度指揮業(yè)務(wù)需求的 TDCS/CTC災(zāi)備系統(tǒng)具體目標如下。

1.符合 《信息安全技術(shù)——信息系統(tǒng)災(zāi)難恢復規(guī)范》的要求,滿足恢復時間目標 RTO≤2 h、恢復點目標RPO≤30 min,達到 《信息安全技術(shù)—信息系統(tǒng)災(zāi)難恢復規(guī)范》第 5級—實時數(shù)據(jù)傳輸及完整設(shè)備支持等級。

2.將災(zāi)備中心系統(tǒng)切換至正常運營的時間控制在 2 h內(nèi),為災(zāi)備中心接管生產(chǎn)中心的調(diào)度指揮業(yè)務(wù)提供保障。

3.具備調(diào)度指揮中心關(guān)鍵業(yè)務(wù)功能,實現(xiàn)列車運行監(jiān)視、列車運行計劃調(diào)整、列調(diào)運行控制、調(diào)度命令管理等指揮列車運行的關(guān)鍵業(yè)務(wù);滿足統(tǒng)一規(guī)劃、分步實施及生產(chǎn)力布局調(diào)整的需要,靈活地進行變更和擴展,保持與既有 TDCS/CTC中心一致。

4.采用與既有調(diào)度指揮中心統(tǒng)一技術(shù)平臺,構(gòu)成一個完整的系統(tǒng),在界面、功能、數(shù)據(jù)、系統(tǒng)軟件和系統(tǒng)硬件等各個層次上高度統(tǒng)一與協(xié)調(diào)。

5.災(zāi)備中心系統(tǒng)內(nèi)部各子系統(tǒng)之間必須做到完全匹配、有效集成、嚴密對接,具有極高的穩(wěn)定性和可靠性。災(zāi)備中心的建設(shè)應(yīng)實現(xiàn)技術(shù)先進、結(jié)構(gòu)合理、功能完善、管理科學、經(jīng)濟適用、安全可靠,具有可擴充性和可持續(xù)發(fā)展能力。

2.2 建設(shè)原則

1.業(yè)務(wù)連續(xù)性原則。災(zāi)備中心啟用接管某個調(diào)度指揮中心工作時,應(yīng)充分考慮接管前業(yè)務(wù)運營的實際情況,保持業(yè)務(wù)連續(xù)性。

2.一致性原則。災(zāi)備中心在界面、功能、數(shù)據(jù)、系統(tǒng)軟件和系統(tǒng)硬件等方面,應(yīng)嚴格按照TDCS/CTC相關(guān)規(guī)范標準建設(shè),與既有調(diào)度中心一致,利于調(diào)度員接管調(diào)度指揮工作。

3.先進性原則。利用先進的企業(yè)級集成開發(fā)工具和服務(wù)器構(gòu)建軟件系統(tǒng),使其完全符合調(diào)度指揮工作業(yè)務(wù)規(guī)范;提供高效的、便捷的接管服務(wù),實現(xiàn)與其他系統(tǒng)間的信息共享。以先進的災(zāi)難備份技術(shù)、軟件工程方法和面向?qū)ο蠹夹g(shù),指導災(zāi)備系統(tǒng)的設(shè)計、研發(fā)及部署,確保 TDCS/CTC容災(zāi)系統(tǒng)具備系統(tǒng)級容災(zāi)的能力。

4.實時性原則。采用分布式計算的編程模型,設(shè)計應(yīng)用層通信軟件,通過對等模式進行數(shù)據(jù)通信,使數(shù)據(jù)處理能夠在局域網(wǎng)內(nèi)任何節(jié)點進行均衡負載,進而提高整個系統(tǒng)的實時性。通過設(shè)計高速千兆光纖局域網(wǎng),滿足各調(diào)度臺到服務(wù)器信息快速交換和處理的要求。

災(zāi)備中心系統(tǒng)啟用的時間應(yīng)控制在 2 h,確保某個調(diào)度中心出現(xiàn)異常情況時,滿足災(zāi)備中心RTO和 RPO要求。系統(tǒng)從車站采集信息傳遞到災(zāi)備中心應(yīng)具有實時性。信息從車站至災(zāi)備中心的時間應(yīng)在 20 s內(nèi),保證用戶信息查詢的快速響應(yīng)時間應(yīng)在 10 s以內(nèi)。

5.可用性。系統(tǒng)應(yīng)提供可靠的數(shù)據(jù)后備和恢復手段,提供系統(tǒng)故障恢復功能,保證系統(tǒng) 7×24 h不間斷運行能力。當生產(chǎn)中心失效時,盡快由災(zāi)備中心接管,確保調(diào)度指揮的持續(xù)可靠。

6.可靠性原則。硬件采用高端集群服務(wù)器、存儲服務(wù)器;網(wǎng)絡(luò)采用先進的高速網(wǎng)絡(luò)設(shè)備,保證雙套冗余熱備的千兆網(wǎng)絡(luò)直達每個用戶終端;使用安全穩(wěn)定的 UNIX/LINUX操作系統(tǒng),以 Oracle數(shù)據(jù)庫構(gòu)建信息管理體系,保證整個系統(tǒng)的設(shè)計安全可靠。

7.可擴展性原則。系統(tǒng)在設(shè)計時需充分考慮升級擴容的需要,在硬件結(jié)構(gòu)方面預留擴展接口,在軟件設(shè)計與系統(tǒng)功能方面,均應(yīng)強化可擴展性。

8.互操作性原則。系統(tǒng)設(shè)計要考慮與其他信息系統(tǒng)的信息共享,在不同系統(tǒng)間要提供相互訪問的能力,能方便地進行數(shù)據(jù)傳輸和交換。

調(diào)度指揮容災(zāi)系統(tǒng)的建設(shè)應(yīng)堅持路網(wǎng)完整性和統(tǒng)一指揮,確保鐵道部、各鐵路局調(diào)度指揮的有機協(xié)調(diào)。設(shè)計上堅持統(tǒng)一領(lǐng)導、統(tǒng)一規(guī)劃、統(tǒng)一標準、統(tǒng)一管理,實施上堅持統(tǒng)籌規(guī)劃建設(shè)進程分步建設(shè)。

調(diào)度指揮災(zāi)備系統(tǒng)與既有各調(diào)度指揮中心的技術(shù)體系,應(yīng)以統(tǒng)一的軟件平臺、統(tǒng)一的安全平臺、統(tǒng)一的業(yè)務(wù)平臺、統(tǒng)一的管理平臺和統(tǒng)一的數(shù)據(jù)存儲為特征,對外提供標準的信息接口,構(gòu)建全路一體化的調(diào)度指揮災(zāi)難備份系統(tǒng),實現(xiàn)系統(tǒng)資源的優(yōu)化運用和系統(tǒng)規(guī)模的靈活調(diào)整。

3 災(zāi)備系統(tǒng)建設(shè)方案

3.1 系統(tǒng)現(xiàn)狀

目前,已建成鐵道部TDCS中心、18個鐵路局TDCS/CTC中心和 6039個車站基層網(wǎng),鐵道部TDCS中心已經(jīng)實現(xiàn)實時接入全路 18個鐵路局和6039個車站的 TDCS/CTC信息,實現(xiàn)了鐵路各級運輸調(diào)度對列車運行的透明指揮、實時調(diào)整和集中控制。

3.2 建設(shè)策略

對 TDCS/CTC系統(tǒng)在設(shè)計、建設(shè)之初,考慮到業(yè)務(wù)處理流程受到嚴重破壞而不能支持業(yè)務(wù)連續(xù)運行的問題,采用硬件冗余技術(shù) (單機容錯技術(shù)、雙機熱備技術(shù) 、磁盤冗余、網(wǎng)絡(luò)設(shè)備冗余、電源冗余)和靜態(tài)數(shù)據(jù)備份等方式,確保故障發(fā)生后業(yè)務(wù)立即恢復。目前 TDCS/CTC系統(tǒng)能夠通過有效冗余和故障切換恢復來實現(xiàn)災(zāi)備,具備本地系統(tǒng)災(zāi)備能力。2008年 3月,在國家信息系統(tǒng)安全等級保護定級工作中,TDCS/CTC評定為信息系統(tǒng)安全等級保護 4級,具體要求為 “應(yīng)建立異地災(zāi)難備份中心,配備系統(tǒng)災(zāi)難恢復所需的通信線路、網(wǎng)絡(luò)設(shè)備和數(shù)據(jù)處理設(shè)備”。

3.3 建設(shè)方案

為保證 TDCS/CTC系統(tǒng)日常調(diào)度業(yè)務(wù)的連續(xù)運行,滿足信息系統(tǒng)等級保護 4級要求,保證盡量減少數(shù)據(jù)的丟失,將危險與災(zāi)難的損失降到最低程度,需要建立 TDCS/CTC災(zāi)備系統(tǒng)。

鐵道部和 18個鐵路局災(zāi)備方案采用同城災(zāi)備方式,距離各生產(chǎn)中心 30 km外建設(shè)災(zāi)備中心。一旦某生產(chǎn)中心癱瘓,災(zāi)備中心可接管其調(diào)度指揮職能,繼續(xù)為其所轄路局提供列車調(diào)度指揮服務(wù)。另外,鐵道部中心在具備同城災(zāi)備的同時,建立遠程異地災(zāi)備中心,可將上海鐵路局同城災(zāi)備中心作為鐵道部的遠程異地災(zāi)備中心,當鐵道部生產(chǎn)中心和同城災(zāi)備中心異常時,由該遠程異地災(zāi)備中心接管其調(diào)度指揮的職能。

鐵道部和各鐵路局設(shè)置保護鏈路通道,環(huán)回災(zāi)備中心,保證在 TDCS/CTC生產(chǎn)中心失效的情況下,由災(zāi)備中心接管其調(diào)度指揮業(yè)務(wù)。災(zāi)備中心設(shè)備按滿足接管部及各鐵路局 TDCS/CTC中心業(yè)務(wù)要求配置。

鐵道部和鐵路局 TDCS/CTC中心的災(zāi)備結(jié)構(gòu)如圖 1,如圖 2所示。

3.4 主要技術(shù)

1.網(wǎng)絡(luò)連接。各 TDCS/CTC生產(chǎn)中心與災(zāi)備中心之間采用 2條 2 Mb/s獨立通道連接。

2.數(shù)據(jù)傳輸。TDCS/CTC生產(chǎn)中心與災(zāi)備中心之間通過 2條獨立的 2 Mb/s通道傳輸數(shù)據(jù);當啟用 TDCS/CTC災(zāi)備中心后,TDCS/CTC災(zāi)備中心通過被其接管的運營中心原有通道,與其接管范圍內(nèi)的基層車站或鐵路局傳輸數(shù)據(jù)。

3.數(shù)據(jù)同步。為保證災(zāi)備中心在 TDCS/CTC生產(chǎn)中心意外或災(zāi)難時,能夠接管生產(chǎn)中心的調(diào)度指揮職能,生產(chǎn)中心與災(zāi)備中心將采用異地數(shù)據(jù)備份的方法保護數(shù)據(jù)資產(chǎn)。生產(chǎn)中心通過獨立通道實時將各種計劃數(shù)據(jù)、實際運行數(shù)據(jù)、各種關(guān)鍵操作信息和設(shè)備運行狀態(tài)信息傳輸至災(zāi)備中心,實現(xiàn)中心間數(shù)據(jù)同步,最小的數(shù)據(jù)丟失,以保證接管后能夠迅速接管調(diào)度指揮職能。災(zāi)備中心與生產(chǎn)中心數(shù)據(jù)同步原理圖如圖 3所示。

圖3 災(zāi)備中心與生產(chǎn)中心數(shù)據(jù)同步原理圖

生產(chǎn)中心 TDCS/CTC系統(tǒng)恢復正常后,災(zāi)備中心將數(shù)據(jù)傳輸至生產(chǎn)中心,直至生產(chǎn)中心接管調(diào)度指揮職能。

4.應(yīng)用一致性。災(zāi)備中心各應(yīng)用軟件模塊與生產(chǎn)中心相應(yīng)的應(yīng)用軟件模塊需一致,以確保系統(tǒng)輸入輸出完全一致,為此應(yīng)考慮對應(yīng)用系統(tǒng)模塊進行 “災(zāi)備化”設(shè)計。另外,TDCS/CTC系統(tǒng)必須采用全路統(tǒng)一的標準協(xié)議,確保災(zāi)備中心能夠直接控制和指揮列車運行。

5.系統(tǒng)切換技術(shù),包括通信網(wǎng)絡(luò)集中切換和系統(tǒng)切換技術(shù) 2方面。系統(tǒng)切換應(yīng)充分考慮災(zāi)害發(fā)生時的切換、災(zāi)害結(jié)束后的數(shù)據(jù)反向同步和生產(chǎn)中心系統(tǒng)恢復正常后的切換技術(shù)。

4 建議

建議鐵路有關(guān)部門盡快確定鐵路 TDCS/CTC系統(tǒng)的災(zāi)備方案,并加快建設(shè) TDCS/CTC系統(tǒng)的災(zāi)備系統(tǒng),才能有效預防各種災(zāi)難對 TDCS/CTC系統(tǒng)的打擊。

[1] GB/T20988-2007.信息安全技術(shù)-信息系統(tǒng)災(zāi)難恢復規(guī)范,2007.

(責任編輯:溫志紅)