杜宏民 唐 汐
(北京市軌道交通建設(shè)管理有限公司, 100037, 北京∥第一作者, 高級工程師)
隨著城市軌道交通(以下簡稱“城軌”)線路的增加,以及新停車場和車輛段(以下簡稱“場段”)的建設(shè)部署,各場段間已經(jīng)出現(xiàn)共用的現(xiàn)象。例如,建設(shè)中的北京地鐵12號線(以下簡稱“12號線”)和北京地鐵3號線(以下簡稱“3號線”)共用1座車輛段(東壩車輛段)和1座停車場(田村停車場)。為適應(yīng)FAO(全自動運行)模式,12號線和3號線分別在東壩車輛段和田村停車場內(nèi)設(shè)置了智能管控平臺,用于對段場內(nèi)行車調(diào)度、檢修作業(yè)、配件庫存、綜合管理等各項工作進(jìn)行信息化管理。由于場段之間的信息交互數(shù)據(jù)量較大且對實時性的要求較高,因此,需要建立一個高效、快速且穩(wěn)定的網(wǎng)絡(luò)傳輸和數(shù)據(jù)存儲平臺,以保證場段間業(yè)務(wù)數(shù)據(jù)的互聯(lián)互通。
為解決此問題,本文提出了一種多場段智能管控系統(tǒng)數(shù)據(jù)云平臺(以下簡稱“云平臺”)的搭建技術(shù)。該技術(shù)采用大數(shù)據(jù)、云計算、移動互聯(lián)等先進(jìn)的科學(xué)技術(shù)手段,實現(xiàn)對城軌場段數(shù)據(jù)資源的采集、分析、整合、挖掘,以及統(tǒng)一管理及應(yīng)用,支撐環(huán)境由分散的服務(wù)器集群提升為集約的云環(huán)境,從而實現(xiàn)數(shù)據(jù)資源到智慧城軌場段的搭建。
本文將詳細(xì)介紹云平臺的設(shè)計與實現(xiàn),包括場段內(nèi)網(wǎng)絡(luò)拓?fù)涞膬?yōu)化設(shè)計,使用云平臺對數(shù)據(jù)資源進(jìn)行優(yōu)化,以及如何提高系統(tǒng)的安全防護(hù)能力。研究成果可為城軌智能化管理提供一種有效的解決方案。
城軌場段的網(wǎng)絡(luò)建設(shè)需求包括:城軌智能管控模塊網(wǎng)絡(luò)部署、軌旁監(jiān)測系統(tǒng)網(wǎng)絡(luò)部署、場段網(wǎng)絡(luò)部署、數(shù)據(jù)中心智能管控系統(tǒng)網(wǎng)絡(luò)部署。場段內(nèi)網(wǎng)絡(luò)建設(shè)需求見圖1。
注:HMI為人機接口界面。
城軌智能管控模塊中,FAO系統(tǒng)將牽引/輔助系統(tǒng)、制動系統(tǒng)、車門系統(tǒng)、空調(diào)系統(tǒng)、蓄電池系統(tǒng)等車載運行系統(tǒng)的實時數(shù)據(jù)或離線數(shù)據(jù)通過場段內(nèi)部署的高速Wi-Fi網(wǎng)絡(luò)傳輸?shù)降孛鏀?shù)據(jù)存儲數(shù)據(jù)庫中,用于城軌車輛運行分析。
軌旁監(jiān)測系統(tǒng)模塊主要通過通信線纜直接連接至各個檢測流程的系統(tǒng)中,獲取包括巡檢、信號、受電弓和輪對檢測產(chǎn)生的分析數(shù)據(jù),并存儲到軌旁機房中;同時通過以太網(wǎng)形式聯(lián)通數(shù)據(jù)中心,將過程數(shù)據(jù)和檢測結(jié)果存儲到服務(wù)器中。
場段的網(wǎng)絡(luò)部署主要分為Wi-Fi覆蓋和有線網(wǎng)絡(luò)覆蓋。
場段內(nèi)的掃碼終端和AGV(自動導(dǎo)引運輸車)移動機器人等移動終端在普通方案中容易發(fā)生漫游黏滯、掉線等問題,嚴(yán)重影響作業(yè)效率及高質(zhì)量的業(yè)務(wù)運作,也容易導(dǎo)致企業(yè)的運營成本受損。當(dāng)前場段Wi-Fi覆蓋需要解決信號死角覆蓋不到、漫游掉線及連接不穩(wěn)定等問題,因此在整個場段內(nèi),Wi-Fi部署運用了同頻組網(wǎng)技術(shù)。同頻組網(wǎng)功能可將網(wǎng)絡(luò)中多臺物理AP(接入點)虛擬形成1臺較大的虛擬AP,所有AP使用同一信道組網(wǎng),且采用相同的配置(包括帶寬、天線收發(fā)配置、速率及DTIM(數(shù)字傳輸接口模塊)間隔等),終端在移動過程中始終認(rèn)為自身關(guān)聯(lián)在1臺AP上,無需進(jìn)行漫游,從而達(dá)到零漫游的效果[1]。使用單一信道部署網(wǎng)絡(luò),不僅能實現(xiàn)零漫游,還能實現(xiàn)高密度部署,以及部署和維護(hù)的簡化;移動零漫游的特性能很好滿足倉儲物流、工廠車間等終端移動性、實時性要求高的應(yīng)用需求。
有線網(wǎng)絡(luò)部署是將整個場段所有庫區(qū)采用1個較大的有線局域網(wǎng)連接,并匯入單個場段業(yè)務(wù)核心交換機,通過防火墻接入辦公內(nèi)網(wǎng)實現(xiàn)聯(lián)通。
數(shù)據(jù)中心智能管控網(wǎng)絡(luò)部署采用集群服務(wù)器之間的高速網(wǎng)絡(luò)通信直連,最終匯入業(yè)務(wù)核心交換機進(jìn)行數(shù)據(jù)交換。
目前,主流的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的特點如表1所示[2]。
表1 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的特點
車輛基地網(wǎng)絡(luò)的特點如下:
1) 城軌生產(chǎn)業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)通常采用冗余設(shè)計,以減小單點故障對整體的影響。車輛基地作為生產(chǎn)業(yè)務(wù)系統(tǒng)之一,也應(yīng)遵循其原則。如果網(wǎng)絡(luò)中的關(guān)鍵節(jié)點發(fā)生故障,可能會對整個網(wǎng)絡(luò)造成嚴(yán)重影響,導(dǎo)致部分或全部功能失效。
2) 在車輛基地網(wǎng)絡(luò)斷網(wǎng)的情況下,車輛的監(jiān)控和控制將無法正常進(jìn)行,可能導(dǎo)致安全風(fēng)險。此外,斷網(wǎng)還可能影響數(shù)據(jù)處理和信息交換,導(dǎo)致運行效率下降。
3) 運維方案通常包括定期維護(hù)、故障排查和修復(fù),以及備用設(shè)備的準(zhǔn)備等。為了保證網(wǎng)絡(luò)的穩(wěn)定和可靠,還需進(jìn)行定期的網(wǎng)絡(luò)性能監(jiān)控和評估。
云平臺的網(wǎng)絡(luò)架構(gòu)綜合考慮了表1中各種網(wǎng)絡(luò)結(jié)構(gòu)的優(yōu)缺點,以及車輛基地的網(wǎng)絡(luò)特點,結(jié)合布設(shè)成本,最終采用了星型網(wǎng)絡(luò)結(jié)構(gòu)。
1) 城軌系統(tǒng)中,車輛基地網(wǎng)絡(luò)的數(shù)據(jù)流主要是集中式的,即數(shù)據(jù)主要是從車輛和其他設(shè)備傳輸?shù)街行目刂乒?jié)點,并由中心控制節(jié)點進(jìn)行處理和分發(fā)。這種數(shù)據(jù)流模式適合使用星型網(wǎng)絡(luò),因為星型網(wǎng)絡(luò)的中心節(jié)點可以有效處理和分發(fā)數(shù)據(jù)。
2) 星型網(wǎng)絡(luò)的中心節(jié)點可以對所有數(shù)據(jù)進(jìn)行集中管理和控制,這有助于提高數(shù)據(jù)的安全性和可靠性。圖2為云平臺星型網(wǎng)絡(luò)架構(gòu)。如果網(wǎng)絡(luò)中的1個節(jié)點發(fā)生故障,只會影響該節(jié)點,不會影響其他節(jié)點,這也有利于提高網(wǎng)絡(luò)的安全性[3]。
3) 星型網(wǎng)絡(luò)和環(huán)形網(wǎng)絡(luò)的鋪設(shè)成本主要取決于網(wǎng)絡(luò)的規(guī)模和復(fù)雜性。一般而言,星型網(wǎng)絡(luò)的鋪設(shè)成本較低,因為它只需要連接每個節(jié)點到中心節(jié)點。從長期運營和維護(hù)的角度看,星型網(wǎng)絡(luò)可能更具經(jīng)濟(jì)效益,因為它的故障排查和修復(fù)通常更簡單,且在節(jié)點故障時對網(wǎng)絡(luò)的影響更小[4]。
3號線、12號線從資源利用和成本優(yōu)化角度出發(fā),采用云平臺部署方式,獨立構(gòu)建場段自身的云計算平臺(私有云)。本地私有云的云端部署在車輛基地。綜合考慮3號線和12號線場段的現(xiàn)場情況和運營需求,結(jié)合運營管理架構(gòu)模式,將多場段的數(shù)據(jù)中心部署在12號線車輛段內(nèi)。車輛段作為數(shù)據(jù)中心,其網(wǎng)絡(luò)連接采用核心交換機、匯聚交換機、接入交換機等3層網(wǎng)絡(luò)結(jié)構(gòu);其他庫區(qū)通過庫內(nèi)的光纖交換機匯總到核心交換機,整體通過防火墻連接整個辦公內(nèi)網(wǎng),形成內(nèi)部高速、穩(wěn)定的局域網(wǎng)[5]。
從成本優(yōu)化角度考慮,運營公司經(jīng)詳細(xì)研討,確定以12號線車輛段作為運管核心,同時通過云平臺構(gòu)建配套的運管模式,即將主中心設(shè)置于12號線車輛段,其他各場段需結(jié)合業(yè)務(wù)系統(tǒng)配置需求設(shè)置本地級服務(wù)器,以滿足網(wǎng)絡(luò)故障下的本地業(yè)務(wù)需求作業(yè),確保運營的穩(wěn)定性。
同時考慮到非主中心業(yè)務(wù)系統(tǒng)在網(wǎng)絡(luò)故障下的可靠運行,在其他場段設(shè)置有數(shù)據(jù)業(yè)務(wù)災(zāi)備功能。在實際運營中,可能會出現(xiàn)各種意外情況,如硬件故障、軟件故障、人為操作錯誤、網(wǎng)絡(luò)攻擊等,這些情況都可能導(dǎo)致數(shù)據(jù)的丟失或損壞。若無備份,一旦數(shù)據(jù)丟失或損壞,可能會導(dǎo)致重大的業(yè)務(wù)損失;若有備份,可在數(shù)據(jù)丟失或損壞后,快速恢復(fù)數(shù)據(jù),保證業(yè)務(wù)的正常運行。
同理可見,當(dāng)網(wǎng)絡(luò)發(fā)生故障時,車載管理系統(tǒng)的數(shù)據(jù)及應(yīng)用也需要本地系統(tǒng)支持,故其地面設(shè)置有車載數(shù)據(jù)及業(yè)務(wù)災(zāi)備系統(tǒng)故采用存儲與計算分離的形式。智能管控應(yīng)用:是本地場段運營的核心應(yīng)用,包括各種管理和控制模塊,如總控中心、智能檢修管理、輔助系統(tǒng)、走行部數(shù)據(jù)分析、智能安全管理及檢修設(shè)備管理等。這些應(yīng)用宜結(jié)合本地運營管理進(jìn)行配套建設(shè),故宜設(shè)就地置在每個場段內(nèi)。智能管控數(shù)據(jù):是智能管控應(yīng)用產(chǎn)生和處理的數(shù)據(jù),本地系統(tǒng)不備份歷史數(shù)據(jù),只保留生產(chǎn)運營10 d內(nèi)所必須的數(shù)據(jù),例如場段基礎(chǔ)信息、班組角色人員信息。
綜合考慮實際的業(yè)務(wù)需求和存儲資源,多場段智能管控系統(tǒng)的備份策略為:運營歷史數(shù)據(jù)保存24個月,報表文件數(shù)據(jù)保存24個月,車輛狀態(tài)數(shù)據(jù)實時更新數(shù)據(jù)和故障數(shù)據(jù)保存24個月,報表數(shù)據(jù)保存24個月,車載數(shù)據(jù)保存12個月。
云平臺的使用在多場段智能管控系統(tǒng)中帶來了顯著的優(yōu)化效果。通過對各場段在云平臺下的功能與架構(gòu)可知:云平臺確實可以進(jìn)一步降低原有方案的建筑空間、用電需求及散熱需求;通過云平臺的集中設(shè)置,可較大幅度降低各系統(tǒng)對云平臺的資源需求。在上云平臺前vCPU(虛擬中央處理器)核心數(shù)為406個,內(nèi)存為3 392 GiB;上云平臺后vCPU核心數(shù)為344個,內(nèi)存為2 302 GiB。由此可見,上云平臺后相比上云平臺前,共節(jié)約vCPU核心數(shù)62個、內(nèi)存1 290 GiB,并節(jié)省了14臺服務(wù)器,實現(xiàn)了對服務(wù)器數(shù)量、系統(tǒng)發(fā)熱量、成本等資源的有效管理和優(yōu)化。云平臺使用前后其設(shè)備資源統(tǒng)計如表2所示。
表2 云平臺設(shè)備資源統(tǒng)計
1) 云平臺的使用大大減少了服務(wù)器數(shù)量的需求。在傳統(tǒng)的部署方案中,每個應(yīng)用或服務(wù)都需要單獨的服務(wù)器進(jìn)行運行和管理,這不僅增加了硬件成本、建筑空間,也增加了管理的復(fù)雜性。而在云平臺中,多個應(yīng)用或服務(wù)可以在同1臺服務(wù)器上運行,通過虛擬化技術(shù)實現(xiàn)資源的共享和隔離,大大減少了服務(wù)器數(shù)量的需求。
2) 云平臺的使用降低了系統(tǒng)的發(fā)熱量。在傳統(tǒng)的部署方案中,由于服務(wù)器數(shù)量眾多,系統(tǒng)的發(fā)熱量較大,需要額外的冷卻設(shè)備和能源進(jìn)行散熱。而在云平臺中,由于服務(wù)器數(shù)量減少,系統(tǒng)的發(fā)熱量也相應(yīng)降低,減少了冷卻設(shè)備和能源的需求。
3) 云平臺的使用降低了系統(tǒng)的總體成本。通過減少服務(wù)器數(shù)量和降低系統(tǒng)發(fā)熱量,節(jié)省了硬件成本、能源成本和管理成本,使得系統(tǒng)的總體成本大大降低。
云平臺的使用在多場段智能管控系統(tǒng)中實現(xiàn)了資源的有效優(yōu)化,提高了系統(tǒng)的運行效率和經(jīng)濟(jì)效益。
在云平臺中,云服務(wù)的安全是必須重視的問題。在安全方面,深入研究了包括數(shù)據(jù)泄露、服務(wù)中斷、惡意攻擊等云平臺的安全問題。這些問題一旦出現(xiàn)就可能對城軌運營造成嚴(yán)重的影響,因此云平臺需具備強大的安全防護(hù)能力。
2.3.1 云服務(wù)安全框架設(shè)計
為了實現(xiàn)該目標(biāo),在設(shè)計云平臺時,采用了一系列先進(jìn)的安全技術(shù)和方法。多場段智能管控系統(tǒng)通過必要的軟硬件設(shè)備和技術(shù)措施,從物理安全、網(wǎng)絡(luò)安全、云平臺安全、系統(tǒng)安全、應(yīng)用安全及數(shù)據(jù)安全等6個方面保障云服務(wù)安全[6]。多場段智能管控系統(tǒng)架構(gòu)如圖3所示。
注:IP為互聯(lián)網(wǎng)協(xié)議。
1) 數(shù)據(jù)安全:①數(shù)據(jù)庫防火墻,可以對數(shù)據(jù)庫的所有訪問請求進(jìn)行監(jiān)控,防止非法訪問和SQL(結(jié)構(gòu)化查詢語言)注入等攻擊;②訪問控制,實現(xiàn)基于角色的訪問控制,確保只有授權(quán)的用戶才能訪問數(shù)據(jù);③加密傳輸,通過SSL/TLS(安全套接層/安全傳輸層)等協(xié)議保證數(shù)據(jù)在傳輸過程中的安全;④碎片存儲,將數(shù)據(jù)分散存儲在不同的物理設(shè)備上,增加非法獲取完整數(shù)據(jù)的難度;⑤分層隔離,將數(shù)據(jù)分層存儲,并在每一層數(shù)據(jù)之間設(shè)置防火墻,減少數(shù)據(jù)泄露的風(fēng)險;⑥清零銷毀,對不再需要的數(shù)據(jù)進(jìn)行徹底銷毀,確保數(shù)據(jù)的安全。
2) 應(yīng)用安全:①Web應(yīng)用防火墻,可以有效防止XSS(跨站腳本攻擊)、SQL注入等Web攻擊;②網(wǎng)站安全漏洞檢測,通過定期的安全掃描,可以及時發(fā)現(xiàn)并修復(fù)網(wǎng)站的安全漏洞。
3) 系統(tǒng)安全:①主機入侵防御系統(tǒng),監(jiān)控主機的行為,及時發(fā)現(xiàn)并防止惡意活動;②主機安全鏡像,通過創(chuàng)建主機的安全鏡像,可以在系統(tǒng)遭受攻擊后快速恢復(fù);③安全漏洞修復(fù),定期檢查系統(tǒng)的安全漏洞,并及時進(jìn)行修復(fù)。
4) 云平臺安全:①安全組防火墻,通過配置安全組規(guī)則,控制流入和流出云平臺的數(shù)據(jù)流量;②防IP/MAC(媒體存取控制位址)/ARP(地址解析協(xié)議)欺騙,通過一些防護(hù)機制,如動態(tài)ARP檢查等,可以防止IP/MAC/ARP欺騙;③惡意主機檢測,對云平臺中的所有主機進(jìn)行定期檢查,發(fā)現(xiàn)并隔離惡意主機。
5) 網(wǎng)絡(luò)安全:①DDoS (分布式拒絕服務(wù)攻擊)攻擊防御,采用防DDoS攻擊設(shè)備或服務(wù),可以有效防止DDoS攻擊;②網(wǎng)絡(luò)訪問控制,通過網(wǎng)絡(luò)訪問控制列表控制可以訪問網(wǎng)絡(luò)的設(shè)備。
2.3.2 安全支撐(軟硬件)系統(tǒng)設(shè)計
為了確保多場段智能管控系統(tǒng)的安全性與可靠性,在云平臺的設(shè)計和實施過程中,采用了一系列的安全設(shè)備和防護(hù)軟件。
1) 集群服務(wù)器:使用集群服務(wù)器來提高系統(tǒng)的可靠性和可用性。集群服務(wù)器由多臺服務(wù)器組成,可以實現(xiàn)存儲資源的共享,并可以同時處理任務(wù)。如果其中1臺服務(wù)器出現(xiàn)故障,其他服務(wù)器可以立即接管其任務(wù),從而保證服務(wù)的連續(xù)性。
2) 云平臺管理軟件:使用專業(yè)的云平臺管理軟件來管理和監(jiān)控云平臺的運行狀態(tài)。該軟件可以實時監(jiān)控云平臺的資源使用情況,包括CPU使用率、內(nèi)存使用率、磁盤使用率等,以及網(wǎng)絡(luò)流量、系統(tǒng)性能等信息。通過這些信息,可以及時發(fā)現(xiàn)并處理可能出現(xiàn)的問題,保證云平臺的穩(wěn)定運行。
3) 漏洞掃描工具:定期使用漏洞掃描工具來檢查云平臺的安全漏洞。該工具可以自動發(fā)現(xiàn)和報告各種類型的安全漏洞,包括操作系統(tǒng)漏洞、應(yīng)用程序漏洞、配置錯誤等。通過定期的漏洞掃描,可以及時發(fā)現(xiàn)并修復(fù)安全漏洞,防止被黑客利用。
4) 堡壘機:使用堡壘機來保護(hù)內(nèi)部網(wǎng)絡(luò)。堡壘機是一種特殊的防火墻,它可以控制外部用戶對內(nèi)部網(wǎng)絡(luò)的訪問,只允許經(jīng)過身份驗證和授權(quán)的用戶訪問內(nèi)部網(wǎng)絡(luò)。通過堡壘機,可以有效防止未經(jīng)授權(quán)的訪問和攻擊。
5) 數(shù)據(jù)庫審計工具:使用數(shù)據(jù)庫審計工具來監(jiān)控和記錄數(shù)據(jù)庫的所有操作。這種工具可以記錄操作數(shù)據(jù)庫的賬號和時間,以及相應(yīng)的查詢、修改、刪除內(nèi)容等。通過數(shù)據(jù)庫審計,追蹤所有的數(shù)據(jù)庫操作,發(fā)現(xiàn)并處理不合規(guī)的操作。
城軌云平臺搭建技術(shù)的研究,實現(xiàn)了多個場段的數(shù)據(jù)互聯(lián)互通。該平臺的使用,優(yōu)化了服務(wù)器數(shù)量、系統(tǒng)發(fā)熱量及成本等資源。采用星型網(wǎng)絡(luò)組網(wǎng)方式,降低了組網(wǎng)投資成本,提高了數(shù)據(jù)傳輸速率。云平臺采用超融合技術(shù)處理方式,將業(yè)務(wù)發(fā)展增加的壓力分解,通過分別存儲應(yīng)用程序、文件及數(shù)據(jù)來提升性能,同時充分利用服務(wù)器的資源,提高應(yīng)用層系統(tǒng)的穩(wěn)定性[7-8]。將原來眾多僅能通過通信協(xié)議對接的多種形式的接口數(shù)據(jù)以統(tǒng)一接口發(fā)送至云平臺,從而建立車輛段智能檢修建設(shè)標(biāo)準(zhǔn)、統(tǒng)一的應(yīng)用服務(wù)和數(shù)據(jù)格式,打造運營公司標(biāo)準(zhǔn)化管理。通過增加安全設(shè)備和軟件,從符合網(wǎng)絡(luò)安全等級保護(hù)制度2.0要求的角度出發(fā),對網(wǎng)絡(luò)安全進(jìn)行了深入論述。
綜上,云平臺的搭建,對提高城軌行業(yè)的管理與服務(wù)水平,促進(jìn)城軌行業(yè)的綠色,智慧發(fā)展起到積極的作用。