城市轨道交通多场段智能管控系统数据云平台的设计与应用

杜宏民 唐 汐

(北京市轨道交通建设管理有限公司, 100037, 北京∥第一作者, 高级工程师)

随着城市轨道交通(以下简称“城轨”)线路的增加,以及新停车场和车辆段(以下简称“场段”)的建设部署,各场段间已经出现共用的现象。例如,建设中的北京地铁12号线(以下简称“12号线”)和北京地铁3号线(以下简称“3号线”)共用1座车辆段(东坝车辆段)和1座停车场(田村停车场)。为适应FAO(全自动运行)模式,12号线和3号线分别在东坝车辆段和田村停车场内设置了智能管控平台,用于对段场内行车调度、检修作业、配件库存、综合管理等各项工作进行信息化管理。由于场段之间的信息交互数据量较大且对实时性的要求较高,因此,需要建立一个高效、快速且稳定的网络传输和数据存储平台,以保证场段间业务数据的互联互通。

为解决此问题,本文提出了一种多场段智能管控系统数据云平台(以下简称“云平台”)的搭建技术。该技术采用大数据、云计算、移动互联等先进的科学技术手段,实现对城轨场段数据资源的采集、分析、整合、挖掘,以及统一管理及应用,支撑环境由分散的服务器集群提升为集约的云环境,从而实现数据资源到智慧城轨场段的搭建。

本文将详细介绍云平台的设计与实现,包括场段内网络拓扑的优化设计,使用云平台对数据资源进行优化,以及如何提高系统的安全防护能力。研究成果可为城轨智能化管理提供一种有效的解决方案。

1 云平台网络需求与设计

1.1 网络建设需求分析

城轨场段的网络建设需求包括:城轨智能管控模块网络部署、轨旁监测系统网络部署、场段网络部署、数据中心智能管控系统网络部署。场段内网络建设需求见图1。

注:HMI为人机接口界面。

城轨智能管控模块中,FAO系统将牵引/辅助系统、制动系统、车门系统、空调系统、蓄电池系统等车载运行系统的实时数据或离线数据通过场段内部署的高速Wi-Fi网络传输到地面数据存储数据库中,用于城轨车辆运行分析。

轨旁监测系统模块主要通过通信线缆直接连接至各个检测流程的系统中,获取包括巡检、信号、受电弓和轮对检测产生的分析数据,并存储到轨旁机房中;同时通过以太网形式联通数据中心,将过程数据和检测结果存储到服务器中。

场段的网络部署主要分为Wi-Fi覆盖和有线网络覆盖。

场段内的扫码终端和AGV(自动导引运输车)移动机器人等移动终端在普通方案中容易发生漫游黏滞、掉线等问题,严重影响作业效率及高质量的业务运作,也容易导致企业的运营成本受损。当前场段Wi-Fi覆盖需要解决信号死角覆盖不到、漫游掉线及连接不稳定等问题,因此在整个场段内,Wi-Fi部署运用了同频组网技术。同频组网功能可将网络中多台物理AP(接入点)虚拟形成1台较大的虚拟AP,所有AP使用同一信道组网,且采用相同的配置(包括带宽、天线收发配置、速率及DTIM(数字传输接口模块)间隔等),终端在移动过程中始终认为自身关联在1台AP上,无需进行漫游,从而达到零漫游的效果[1]。使用单一信道部署网络,不仅能实现零漫游,还能实现高密度部署,以及部署和维护的简化;移动零漫游的特性能很好满足仓储物流、工厂车间等终端移动性、实时性要求高的应用需求。

有线网络部署是将整个场段所有库区采用1个较大的有线局域网连接,并汇入单个场段业务核心交换机,通过防火墙接入办公内网实现联通。

数据中心智能管控网络部署采用集群服务器之间的高速网络通信直连,最终汇入业务核心交换机进行数据交换。

1.2 网络拓扑结构优化设计

目前,主流的网络拓扑结构的特点如表1所示[2]。

表1 网络拓扑结构的特点

车辆基地网络的特点如下:

1) 城轨生产业务系统网络通常采用冗余设计,以减小单点故障对整体的影响。车辆基地作为生产业务系统之一,也应遵循其原则。如果网络中的关键节点发生故障,可能会对整个网络造成严重影响,导致部分或全部功能失效。

2) 在车辆基地网络断网的情况下,车辆的监控和控制将无法正常进行,可能导致安全风险。此外,断网还可能影响数据处理和信息交换,导致运行效率下降。

3) 运维方案通常包括定期维护、故障排查和修复,以及备用设备的准备等。为了保证网络的稳定和可靠,还需进行定期的网络性能监控和评估。

云平台的网络架构综合考虑了表1中各种网络结构的优缺点,以及车辆基地的网络特点,结合布设成本,最终采用了星型网络结构。

1) 城轨系统中,车辆基地网络的数据流主要是集中式的,即数据主要是从车辆和其他设备传输到中心控制节点,并由中心控制节点进行处理和分发。这种数据流模式适合使用星型网络,因为星型网络的中心节点可以有效处理和分发数据。

2) 星型网络的中心节点可以对所有数据进行集中管理和控制,这有助于提高数据的安全性和可靠性。图2为云平台星型网络架构。如果网络中的1个节点发生故障,只会影响该节点,不会影响其他节点,这也有利于提高网络的安全性[3]。

3) 星型网络和环形网络的铺设成本主要取决于网络的规模和复杂性。一般而言,星型网络的铺设成本较低,因为它只需要连接每个节点到中心节点。从长期运营和维护的角度看,星型网络可能更具经济效益,因为它的故障排查和修复通常更简单,且在节点故障时对网络的影响更小[4]。

2 云平台优化设计与分析

3号线、12号线从资源利用和成本优化角度出发,采用云平台部署方式,独立构建场段自身的云计算平台(私有云)。本地私有云的云端部署在车辆基地。综合考虑3号线和12号线场段的现场情况和运营需求,结合运营管理架构模式,将多场段的数据中心部署在12号线车辆段内。车辆段作为数据中心,其网络连接采用核心交换机、汇聚交换机、接入交换机等3层网络结构;其他库区通过库内的光纤交换机汇总到核心交换机,整体通过防火墙连接整个办公内网,形成内部高速、稳定的局域网[5]。

2.1 云平台优化设计

从成本优化角度考虑,运营公司经详细研讨,确定以12号线车辆段作为运管核心,同时通过云平台构建配套的运管模式,即将主中心设置于12号线车辆段,其他各场段需结合业务系统配置需求设置本地级服务器,以满足网络故障下的本地业务需求作业,确保运营的稳定性。

同时考虑到非主中心业务系统在网络故障下的可靠运行,在其他场段设置有数据业务灾备功能。在实际运营中,可能会出现各种意外情况,如硬件故障、软件故障、人为操作错误、网络攻击等,这些情况都可能导致数据的丢失或损坏。若无备份,一旦数据丢失或损坏,可能会导致重大的业务损失;若有备份,可在数据丢失或损坏后,快速恢复数据,保证业务的正常运行。

同理可见,当网络发生故障时,车载管理系统的数据及应用也需要本地系统支持,故其地面设置有车载数据及业务灾备系统故采用存储与计算分离的形式。智能管控应用:是本地场段运营的核心应用,包括各种管理和控制模块,如总控中心、智能检修管理、辅助系统、走行部数据分析、智能安全管理及检修设备管理等。这些应用宜结合本地运营管理进行配套建设,故宜设就地置在每个场段内。智能管控数据:是智能管控应用产生和处理的数据,本地系统不备份历史数据,只保留生产运营10 d内所必须的数据,例如场段基础信息、班组角色人员信息。

综合考虑实际的业务需求和存储资源,多场段智能管控系统的备份策略为:运营历史数据保存24个月,报表文件数据保存24个月,车辆状态数据实时更新数据和故障数据保存24个月,报表数据保存24个月,车载数据保存12个月。

2.2 云平台的优势分析

云平台的使用在多场段智能管控系统中带来了显著的优化效果。通过对各场段在云平台下的功能与架构可知:云平台确实可以进一步降低原有方案的建筑空间、用电需求及散热需求;通过云平台的集中设置,可较大幅度降低各系统对云平台的资源需求。在上云平台前vCPU(虚拟中央处理器)核心数为406个,内存为3 392 GiB;上云平台后vCPU核心数为344个,内存为2 302 GiB。由此可见,上云平台后相比上云平台前,共节约vCPU核心数62个、内存1 290 GiB,并节省了14台服务器,实现了对服务器数量、系统发热量、成本等资源的有效管理和优化。云平台使用前后其设备资源统计如表2所示。

表2 云平台设备资源统计

1) 云平台的使用大大减少了服务器数量的需求。在传统的部署方案中,每个应用或服务都需要单独的服务器进行运行和管理,这不仅增加了硬件成本、建筑空间,也增加了管理的复杂性。而在云平台中,多个应用或服务可以在同1台服务器上运行,通过虚拟化技术实现资源的共享和隔离,大大减少了服务器数量的需求。

2) 云平台的使用降低了系统的发热量。在传统的部署方案中,由于服务器数量众多,系统的发热量较大,需要额外的冷却设备和能源进行散热。而在云平台中,由于服务器数量减少,系统的发热量也相应降低,减少了冷却设备和能源的需求。

3) 云平台的使用降低了系统的总体成本。通过减少服务器数量和降低系统发热量,节省了硬件成本、能源成本和管理成本,使得系统的总体成本大大降低。

云平台的使用在多场段智能管控系统中实现了资源的有效优化,提高了系统的运行效率和经济效益。

2.3 云服务安全设计

在云平台中,云服务的安全是必须重视的问题。在安全方面,深入研究了包括数据泄露、服务中断、恶意攻击等云平台的安全问题。这些问题一旦出现就可能对城轨运营造成严重的影响,因此云平台需具备强大的安全防护能力。

2.3.1 云服务安全框架设计

为了实现该目标,在设计云平台时,采用了一系列先进的安全技术和方法。多场段智能管控系统通过必要的软硬件设备和技术措施,从物理安全、网络安全、云平台安全、系统安全、应用安全及数据安全等6个方面保障云服务安全[6]。多场段智能管控系统架构如图3所示。

注:IP为互联网协议。

1) 数据安全:①数据库防火墙,可以对数据库的所有访问请求进行监控,防止非法访问和SQL(结构化查询语言)注入等攻击;②访问控制,实现基于角色的访问控制,确保只有授权的用户才能访问数据;③加密传输,通过SSL/TLS(安全套接层/安全传输层)等协议保证数据在传输过程中的安全;④碎片存储,将数据分散存储在不同的物理设备上,增加非法获取完整数据的难度;⑤分层隔离,将数据分层存储,并在每一层数据之间设置防火墙,减少数据泄露的风险;⑥清零销毁,对不再需要的数据进行彻底销毁,确保数据的安全。

2) 应用安全:①Web应用防火墙,可以有效防止XSS(跨站脚本攻击)、SQL注入等Web攻击;②网站安全漏洞检测,通过定期的安全扫描,可以及时发现并修复网站的安全漏洞。

3) 系统安全:①主机入侵防御系统,监控主机的行为,及时发现并防止恶意活动;②主机安全镜像,通过创建主机的安全镜像,可以在系统遭受攻击后快速恢复;③安全漏洞修复,定期检查系统的安全漏洞,并及时进行修复。

4) 云平台安全:①安全组防火墙,通过配置安全组规则,控制流入和流出云平台的数据流量;②防IP/MAC(媒体存取控制位址)/ARP(地址解析协议)欺骗,通过一些防护机制,如动态ARP检查等,可以防止IP/MAC/ARP欺骗;③恶意主机检测,对云平台中的所有主机进行定期检查,发现并隔离恶意主机。

5) 网络安全:①DDoS (分布式拒绝服务攻击)攻击防御,采用防DDoS攻击设备或服务,可以有效防止DDoS攻击;②网络访问控制,通过网络访问控制列表控制可以访问网络的设备。

2.3.2 安全支撑(软硬件)系统设计

为了确保多场段智能管控系统的安全性与可靠性,在云平台的设计和实施过程中,采用了一系列的安全设备和防护软件。

1) 集群服务器:使用集群服务器来提高系统的可靠性和可用性。集群服务器由多台服务器组成,可以实现存储资源的共享,并可以同时处理任务。如果其中1台服务器出现故障,其他服务器可以立即接管其任务,从而保证服务的连续性。

2) 云平台管理软件:使用专业的云平台管理软件来管理和监控云平台的运行状态。该软件可以实时监控云平台的资源使用情况,包括CPU使用率、内存使用率、磁盘使用率等,以及网络流量、系统性能等信息。通过这些信息,可以及时发现并处理可能出现的问题,保证云平台的稳定运行。

3) 漏洞扫描工具:定期使用漏洞扫描工具来检查云平台的安全漏洞。该工具可以自动发现和报告各种类型的安全漏洞,包括操作系统漏洞、应用程序漏洞、配置错误等。通过定期的漏洞扫描,可以及时发现并修复安全漏洞,防止被黑客利用。

4) 堡垒机:使用堡垒机来保护内部网络。堡垒机是一种特殊的防火墙,它可以控制外部用户对内部网络的访问,只允许经过身份验证和授权的用户访问内部网络。通过堡垒机,可以有效防止未经授权的访问和攻击。

5) 数据库审计工具:使用数据库审计工具来监控和记录数据库的所有操作。这种工具可以记录操作数据库的账号和时间,以及相应的查询、修改、删除内容等。通过数据库审计,追踪所有的数据库操作,发现并处理不合规的操作。

3 结语

城轨云平台搭建技术的研究,实现了多个场段的数据互联互通。该平台的使用,优化了服务器数量、系统发热量及成本等资源。采用星型网络组网方式,降低了组网投资成本,提高了数据传输速率。云平台采用超融合技术处理方式,将业务发展增加的压力分解,通过分别存储应用程序、文件及数据来提升性能,同时充分利用服务器的资源,提高应用层系统的稳定性[7-8]。将原来众多仅能通过通信协议对接的多种形式的接口数据以统一接口发送至云平台,从而建立车辆段智能检修建设标准、统一的应用服务和数据格式,打造运营公司标准化管理。通过增加安全设备和软件,从符合网络安全等级保护制度2.0要求的角度出发,对网络安全进行了深入论述。

综上,云平台的搭建,对提高城轨行业的管理与服务水平,促进城轨行业的绿色,智慧发展起到积极的作用。