夏德春，肖占榮，李?；?，于立軍

（中國鐵道科學研究院 電子計算技術研究所，北京 100081）

城市軌道交通自動售檢票（AFC）系統(tǒng)在地鐵運營中起著至關重要的作用，該系統(tǒng)直接為乘客提供服務，與服務、客流和收益等密切相關。隨著地鐵客流量的迅速增加和城市軌道指揮中心的建設，對軌道交通AFC系統(tǒng)的安全、可靠和保密提出了更高的要求。

1 AFC系統(tǒng)概述

自動售檢票（AFC）系統(tǒng)是基于計算機、通信、網絡、自動控制等技術，以非接觸IC卡為車票信息載體，實現(xiàn)地鐵車票的自動和半自動售票、自動檢票、計費、收費、統(tǒng)計、結算全過程的自動化管理系統(tǒng)。軌道交通AFC系統(tǒng)采用3級組網、4層架構。第1層網絡中央計算機系統(tǒng)是聯(lián)網收費系統(tǒng)的票務管理中心（ACC）。第2層線路中央（LC）系統(tǒng)是所轄線路的控制和管理中心。第3層車站計算機（SC）系統(tǒng)管理和監(jiān)控車站終端設備。第4層車站終端設備是直接服務于乘客的部分，執(zhí)行系統(tǒng)指令，完成各種交易，生成各種交易數(shù)據(jù)。系統(tǒng)架構如圖1。

圖1 AFC系統(tǒng)總體網絡構架圖

AFC系統(tǒng)主要由計算機系統(tǒng)、車站現(xiàn)場終端設備、網絡傳輸設備、配電設備、車票、運營輔助設備等組成。系統(tǒng)經由通信傳輸網連接構成統(tǒng)一的AFC系統(tǒng)網絡。AFC系統(tǒng)每條線都滿足與其它地鐵線路之間的無障礙換乘的要求，并將滿足網絡化運營的要求，實現(xiàn)城市交通一卡通和軌道交通一票通。

2 票務管理中心

北京市軌道交通票務管理實行3級管理組織結構：ACC票務總中心、線路票務中心和車站票務室。票務管理中心的設備配置滿足AFC系統(tǒng)所需要的車票采購、車票初始化、車票個性化處理、車票的清洗和消毒、車票的清點和包裝、車票的流通等功能要求。在每個功能實現(xiàn)過程中，對于可變更的數(shù)據(jù)，均通過參數(shù)的形式對其進行控制。票務中心與編碼分揀機共同組成一個完整的車票發(fā)行控制體系，由票務中心、控制模塊、發(fā)行模塊共同構成3級發(fā)行管理2級審核體系，綜合控制整個系統(tǒng)的發(fā)行，確保車票發(fā)行的安全準確。在車票流通的實現(xiàn)上，在票務總中心、票務中心、中心站（站區(qū)）、票務室通過4級參數(shù)控制，保證車票在全網內、線路內、站（站區(qū)）內順利流通，并可監(jiān)控到操作員手中車票的存量。通過多級管理密鑰保證等安全措施，采用成熟可靠設備，保證系統(tǒng)的高安全性、可靠性和穩(wěn)定性。

2.1 票務總中心

ACC票務總中心負責協(xié)調全部軌道交通各線路的票務規(guī)則制定、車票調配；票務管理系統(tǒng)票制規(guī)定，對車票進行初始化操作，下發(fā)到銷售網點，跟蹤車票狀態(tài)及車票使用情況、密鑰系統(tǒng)驗證、操作權限管理等。

2.2 線路票務中心

線路票務中心接受ACC票務總中心的指令和調配的車票，完成線路間車票的調配；完成本線路車票安全密鑰體系的制定和對車票銷售、充值的授權管理。在線路中心獨立運營的條件下，制定發(fā)行計劃，車票采購管理，車票初始化和本線路車票的2次發(fā)行，本線路車票預賦值及分揀，本線路車票消毒/清洗，車票庫存管理，本線路內各車站之間車票的動態(tài)調配、上繳，車票的回收，車票使用記錄、查詢，提供滿足運營管理需求的各種車票信息統(tǒng)計、報表等。

2.3 車站票務中心

車站票務室的主要功能是根據(jù)ACC票務總中心及線路票務中心的規(guī)定，完成車站車票的接收、發(fā)售、充值、收回、分揀及上繳等各項票務管理工作；監(jiān)控終端設備內車票的存量及AFC設備的車票流通狀況，及時提出車票需求請求，并根據(jù)實際情況，完成車票在本車站內的分配和再利用；提供各種車票（包括一卡通卡）在車站的查詢及其他服務； 完成車票在車站的各班次交接管理，形成統(tǒng)計報告。

3 線路中央計算機系統(tǒng)

線路中央計算機（LC）系統(tǒng)為線路AFC系統(tǒng)的核心部分，實現(xiàn)對系統(tǒng)運營、票務、收益、維修的集中監(jiān)控和管理。接受ACC系統(tǒng)參數(shù)及指令，實現(xiàn)所監(jiān)控線路AFC系統(tǒng)的運營管理，并根據(jù)協(xié)議上傳相關數(shù)據(jù)；與ACC對帳，實現(xiàn)所轄線路票務管理及設備管理。當通信故障等必須由線路獨立運行時LC系統(tǒng)獨立管理所轄線路AFC系統(tǒng)運行，LC系統(tǒng)收集、處理系統(tǒng)內各類數(shù)據(jù)，制定、維護系統(tǒng)各類參數(shù)，接收、下達系統(tǒng)各類指令，同時為系統(tǒng)提供高度的安全機制和嚴格的操作規(guī)程，并通過ACC實現(xiàn)本線路與軌道交通網絡其它線路以及市政交通一卡通之間的結算。

3.1 LC系統(tǒng)結構

LC系統(tǒng)由多臺服務器承擔中心計算機工作：主數(shù)據(jù)庫服務器、歷史數(shù)據(jù)庫服務器、前置通信服務器、數(shù)據(jù)交換服務器、運營管理服務器、報表文檔服務器和網管備份服務器。此外，還配備相應設備，包括：磁盤陣列、磁帶庫、核心交換機、存儲交換機、防火墻設備、入侵檢測設備、各部門操作工作站（包括：運營管理、網絡管理、報表管理、票務管理、計劃管理、審核管理等終端工作站）、網絡激光打印機等。其結構見圖2。

圖2 線路中心拓撲圖

LC系統(tǒng)主服務器由兩臺服務器構成，作為數(shù)據(jù)庫服務器和應用服務器，承擔著整個系統(tǒng)主要的數(shù)據(jù)存儲和數(shù)據(jù)處理，再配以歷史數(shù)據(jù)服務器，實現(xiàn)數(shù)據(jù)分析、決策支持、系統(tǒng)管理、數(shù)據(jù)備份等功能。兩臺主服務器將采用集群方式工作，使用負載均衡器，平時分攤處理任務，當一臺需要維修或發(fā)生故障時，另一臺承擔全部的處理任務。為了數(shù)據(jù)存儲和備份的需要，與主服務器一起工作的還有磁盤陣列（RAID）和磁帶庫；磁盤陣列和磁帶庫通過光纖連接到網絡存儲交換機（SAN）上。線路運營管理服務器及工作站，實現(xiàn)日常運營的設備監(jiān)控和運營管理、客流管理等功能。另外，系統(tǒng)還設置報表服務器完成報表服務、報表查詢工作等實現(xiàn)報表管理功能；網管服務器、網管工作站、及其他網絡設備（包括：網絡交換機、路由器、防火墻、入侵檢測系統(tǒng)）等，組成網絡管理系統(tǒng)，實現(xiàn)系統(tǒng)網絡管理、網絡安全等功能。

3.2 LC系統(tǒng)主要功能

LC系統(tǒng)實現(xiàn)的基本功能包括：監(jiān)視系統(tǒng)運行狀態(tài)，收集、統(tǒng)計、分析、查詢運營數(shù)據(jù)；數(shù)據(jù)審核、數(shù)據(jù)備份及恢復；設備入網注冊；接收ACC下載的車票種類、票價表、費率表、運營模式等參數(shù)，并通過SC系統(tǒng)下載到終端設備；接收時鐘信號完成時鐘同步；接收、上傳、下載黑名單等。接受ACC的車票調配指令，完成在本線路流通的車票調配；LC系統(tǒng)內安全訪問控制，系統(tǒng)內權限管理；系統(tǒng)間安全訪問控制。對線路間共享車站AFC設備的SC系統(tǒng)進行管理；與ACC清算對帳。

4 車站計算機系統(tǒng)

車站計算機（SC）系統(tǒng)為車站AFC系統(tǒng)的核心部分，可對本車站內部的所有設備進行實時監(jiān)控，實現(xiàn)對車站AFC系統(tǒng)運營、票務、收益及維修的集中管理。SC系統(tǒng)可收集、處理車站內各類數(shù)據(jù)，并上傳到LC系統(tǒng)；接收LC系統(tǒng)下傳的各類系統(tǒng)參數(shù)，并下載到車站各車站設備；可接收LC系統(tǒng)下達系統(tǒng)各類指令，并下傳到各車站設備，同時可根據(jù)需要自行向車站設備下達控制指令，并將該操作記錄上傳到LC系統(tǒng)。SC系統(tǒng)的設備主要包括： 車站服務器、監(jiān)控工作站、票務工作站、緊急按鈕控制箱、打印機等，見圖3。

圖3 車站計算機系統(tǒng)網絡結構圖

SC系統(tǒng)功能主要包括：車站運營管理、車站票務管理、車站收益管理、車站AFC設備維修管理、安全管理和車站報表。

5 權限管理

權限管理是SC系統(tǒng)中安全管理的重要組成部分。權限管理的意義在于對各種有訪問需求的用戶建立其不同的身份識別標志，使授權用戶能夠進入系統(tǒng)并且完成其工作，而對非授權用戶防止其進入系統(tǒng)或越權使用系統(tǒng)功能，從而保證系統(tǒng)的安全。

權限管理包含3方面的內容：（1）權限管理的主體，即人員或用戶；（2）權限管理的客體，即設備或資源；（3）主體對客體訪問能力的限制，即所謂授權。

AFC系統(tǒng)的權限管理達到的目的如下：防止不具備特定權限的用戶非法使用計算機系統(tǒng)及其自動售檢票設備、使用機密性服務、進行LC系統(tǒng)和SC系統(tǒng)的操作、接觸重要的數(shù)據(jù)、現(xiàn)金、票卡等、盜用認證數(shù)據(jù)和非法操作數(shù)據(jù)。上述威脅發(fā)生時，為保護AFC系統(tǒng)，對各用戶的可操作機器及功能進行限制，以提高系統(tǒng)整體的安全性。AFC系統(tǒng)的權限管理統(tǒng)一由LC系統(tǒng)進行管理：建立、分配、審核、維護和終止等。

5.1 權限管理設計

針對ACF系統(tǒng)提出權限、用戶、角色和組4種類型的對象。

（1）權限即系統(tǒng)的所有權限信息。權限是一個樹狀的結構，具有上下級關系。主要包括系統(tǒng)管理、用戶管理、新增用戶、刪除用戶、修改用戶、查看用戶等。對于每個權限，又存在只可訪問和可授權兩種情況。

（2）用戶為ACF 系統(tǒng)的具體操作者，用戶可屬于0～n個組，可以歸屬于0～n個角色，也可擁有自己的權限信息。

（3）角色是為了對許多擁有相似權限的用戶進行分類管理，例如系統(tǒng)管理員、管理員、用戶、訪客等角色。角色是一個樹狀的結構，具有上下級關系。父級角色的權限是自身及它的所有子角色的權限的綜合。

（4）組是為了更好地管理用戶，對用戶進行分組歸類。組也具有上下級關系，可以形成樹狀視圖，見圖4。

圖4 4種類型對象的關系圖

由關系圖可以看出，4者的關系很復雜；而實際的情況更復雜，因為權限、角色和組都具有上下級關系。在AFC 系統(tǒng)建模時，加入一個關聯(lián)表來表示兩者的關系。本系統(tǒng)關聯(lián)表主要包括：組表、角色表、用戶表、權限表、組角色關聯(lián)表、組權限關聯(lián)表、用戶屬組關聯(lián)表、用戶角色關聯(lián)表、用戶權限關聯(lián)表以及角色權限關聯(lián)表等。

5.2 主體用戶管理

AFC系統(tǒng)為所有的合法人員建立一個唯一ID用戶編號，以區(qū)別其唯一身份。用戶編號由LC系統(tǒng)根據(jù)軌道交通統(tǒng)一編碼規(guī)則設置。將系統(tǒng)中需要完成的某種功能操作，或有同樣任務的人員，根據(jù)目的、級別進行組合，形成用戶組。例如：LC系統(tǒng)高級管理員、管理員、運營人員、維修人員、票務中心管理員、車站運營人員、車站票務員、BOM操作員、設備維修員等。

5.3 客體對象管理

由于客體對象的機密、重要程度不等，受到的保護程度亦有差別。ACF系統(tǒng)權限管理對客體對象以其子系統(tǒng)、功能、或設備進行定義劃分。LC系統(tǒng)中各子系統(tǒng)劃分如：網絡管理、運營管理、財務管理等。各種軟件功能劃分模塊、數(shù)據(jù)、界面菜單，如收益數(shù)據(jù)、備份操作等。設備劃分如：各專用工作站、終端等，各車站SC系統(tǒng)，車站各類、各臺設備，自動售檢票設備的日常操作，自動售檢票設備的維護，自動售檢票設備的維修等。

5.4 權限分配

ACF系統(tǒng)的權限分配是將主體用戶賦予其對客體對象的訪問權限，由指定的超級系統(tǒng)管理員在LC系統(tǒng)進行統(tǒng)一管理。訪問權限又區(qū)別為可讀、可執(zhí)行和可修改等不同的級別。分配權限時可以對人員ID進行分配，也可以對管理員組進行分配，并將人員ID納入到管理員組中，從而使其具有該管理員組的權限； 同時一個人員ID可以出現(xiàn)在多個組中，他就具有多個管理員組的權限；而一個管理員組有多個人員ID，具有同樣的權限。

6 結束語

本文介紹了城市軌道交通自動售檢票（AFC）系統(tǒng)的設計，通過室內仿真環(huán)境的測試驗證，本設計能夠滿足地鐵對AFC系統(tǒng)的高性能、可靠性、伸縮性、安全性、易維護和開放性的要求，能精確記錄乘客乘車的起點、終點，準確掌握客流的時間分布規(guī)律和空間分布規(guī)律，實時統(tǒng)計各條線路及各車站的客流量，為運營部門提供基礎數(shù)據(jù)，有利于及時調整運力配備，應對客流變化，緩解擁堵。

[1]劉京西，高洪波. 北京軌道交通自動售檢票系統(tǒng)的設計及實現(xiàn)[J]. 鐵路計算機應用，2011，20（11）：56-58，61.