鄭西客運專線信號安全數據網網絡可用度分析

辛 念 謝靜高

（中鐵第四勘察設計院集團有限公司，武漢 430063）

根據《CTCS-3級列控系統總體技術方案》要求，在采用CTCS-3級列控系統的高速鐵路中需建設信號安全數據網，為無線閉塞中心（RBC）、計算機聯鎖（CBI）、RBC與臨時限速服務器（TSRS）之間的信息傳送提供安全數據通道。由于傳送的是有關列車控制的至關重要的安全信息，信號安全數據網必須保證高可用性，才能極大地提高運輸效率和行車安全。

1 概述

鄭西客運專線東起鄭州站（含），由東往西分別經過鄭州西、滎陽南、鞏義南、洛陽南、澠池南、三門峽南、靈寶西、華山北、渭南北和臨潼東，再通過聯絡線接至既有隴海線的窯村、灞橋和西安東，終止于西安站（含），正線全長458.279 km。同時由臨潼東至西安北站新建西安客北環線，設西安北站和西安北動車所，正線全長30.15 km。全線工程范圍示意如圖1所示。

鄭西客運專線采用工業以太網交換機設備，利用通信專業提供的專用單模光纖，組建冗余雙環安全數據網，用于RBC與CBI設備、RBC與TSRS設備間的安全信息可靠傳輸，并預留與其他相鄰線路安全數據網的信息互通能力。

2 網絡可用度分析

通常對于數據通信網的用戶而言，最直接指標就是網絡的可用性。數據通信網絡總體設計目標就是在滿足合理的工程造價原則上，在貫徹可靠性、安全性和實時性的基礎上，組建一個易于管理維護的高可用性網絡通信系統。

2.1 網絡可靠性

結合鄭西客運專線信號安全數據網的網絡結構，著重分析在不同網絡故障情況下的相關技術指標，以此來判斷網絡的可靠性。

2.1.1 網絡拓撲結構

鄭西客運專線信號安全數據網是利用工業交換機組建千兆以太網，站站連接、中繼站環回構成環網，采用雙環網（以下稱環網A、環網B）冗余網絡結構。網絡拓撲結構如圖2所示。

環網A在鄭州調度所（RBC）設置三層交換機1臺，在沿線車站（CBI）各設置二層交換機1臺，利用客運專線一側光纜（A纜）中的2芯光纖站站連接。在2號中繼站等8個節點各設置光中繼器1臺，利用客運專線另一側光纜（B纜）中的2芯光纖連接，與調度所和車站的光纖交換機一起構成環狀光網絡。

環網B在鄭州調度所（RBC）設置三層交換機1臺，在沿線車站（CBI）各設置二層交換機1臺，利用客運專線一側光纜（B纜）中的2芯光纖站站連接。在3號中繼站等8個節點各設置光中繼器1臺，需要說明的是，因網絡為冗余構成，環網B的環回是在不同的中繼站點（相對環網A）設置光中繼器，利用客運專線另一側光纜（A纜）中的2芯光纖連接，與調度所和車站節點的光纖交換機一起構成環狀光網絡。

2.1.2 網絡故障

對于網絡故障的分析，基于以下前提。

（1）監控系統數據刷新周期一般介于500～1 000 ms之間。

（2）監控系統連續2～3個掃描周期內得不到前端數據，將判定通信故障，進行網絡切換工作。

（3）2個網卡實時工作，當從1個網卡采集不到數據時，自動從另一個環網讀取數據。

下面從幾種典型故障情況下，分析故障的影響范圍和鏈路收斂時間等技術指標。

2.1.2.1 環網鏈路故障

環網單鏈路故障主要發生在連接光纖中斷、機房內光尾纖中斷、應用終端六類線中斷等情況下，在工程實施中是最為常見的故障。

（1） 中繼站側鏈路故障

當鏈路故障出現在中繼站一側，在發生一處或多處鏈路中斷情況下，均不會引起CBI設備終端網卡切換。鏈路中斷后對網絡信息傳輸無任何影響，各站點之間的通信轉發路徑不會改變，既不會引起MAC地址表的刷新，也不會引起終端網卡切換。

在此情況下，對于網絡的影響范圍和鏈路收斂時間均無影響。

（2）車站側單鏈路故障

若鏈路故障出現在車站之間，環網自動激活熱備鏈路，網絡自愈時間不大于50 ms，此時引起交換機轉發路徑的改變，不會造成終端網卡切換。

在此情況下，對于網絡的影響范圍無影響，鏈路收斂時間小于50 ms。

（3）車站側單網雙鏈路故障

若在某一環網中車站側出現雙鏈路故障，此時網絡信息傳輸不會中斷，僅引起部分應用數據尋址到另一環網中，同時受影響節點的設備終端網卡會自動切換。

在此情況下，對網絡的影響范圍為網絡切換，鏈路收斂時間取決于網絡監測周期和系統終端網卡的切換。

2.1.2.2 設備故障

設備故障主要發生在光纖交換機或光中繼器硬件設備故障失效的情況下。

（1） 光中繼器故障

當環網A或環網B中光中繼器設備故障時，均對網絡信息傳輸無任何影響。對網絡的影響范圍和鏈路收斂時間無影響。

（2）單臺光纖交換機故障

當環網中某一車站節點光纖交換機設備故障，此時該環中其他節點的網絡信息傳輸不會中斷，僅引起交換機轉發路徑的改變，不會造成終端網卡切換。而該節點的應用數據會尋址到另一環網中，節點內的設備終端網卡也會自動切換。

在此情況下，對于無故障節點的影響范圍無影響，鏈路收斂時間小于50 ms；對于故障節點的影響范圍為網絡切換，鏈路收斂時間取決于網絡監測周期和系統終端網卡的切換。

（3）同一站點2臺光纖交換機故障

當環網A或環網B中，在某一車站節點的2臺光纖交換機設備同時故障，此時故障站點的通信中斷，但其他無故障節點的信息傳輸不會中斷，僅引起交換機轉發路徑的改變，不會造成終端網卡切換。

在此情況下，對于無故障節點的影響范圍無影響，鏈路收斂時間小于50 ms；對于故障節點的影響范圍為通信中斷。

2.1.2.3 站點封鎖

站點封鎖指的是車站、中繼站節點因特殊原因（如停電、臨時檢修等），車站封鎖屏蔽，但不影響列車正常運行的情況。

通常在中繼站節點封鎖或檢修時，對網絡信息傳輸無任何影響。此種情況與上述光中繼器故障類似。

在某一車站節點封鎖時，該站點的通信中斷，但不影響其他站點的信息傳輸。此種情況與上述同站臺2臺光纖交換機的故障類似。

2.1.3 網絡結構與可靠性的關系

從上述分析可得出，鄭西客運專線的信號安全數據網可適應多種故障情況，其中關鍵點是網絡結構采用雙環冗余結構。每個環網內的設備通過組成一個機群，機群內部單點故障后自動熱切換到備用設備，對外實際上表現為一個可靠的機群；機群出現故障時，對外實際上表現為切換到另外一個機群，這樣可以大大提高網絡可靠性，保證了各站點信息安全傳輸的可靠。

網絡可靠性主要體現在網絡結構的設計上，在鄭西客運專線信號安全數據網的總體設計方案制定中，重點研究的也是網絡拓撲結構，經過了反復論證和審核。

2.2 網絡安全性

網絡安全性分為設備安全性、數據安全性和管理安全性。由于傳送的是影響列車控制的至關重要的安全信息，信號安全數據網必須部署嚴密的安全策略，提高網絡安全性。

2.2.1 設備安全性

設備自身安全性指的是選用高可靠性硬件設備，提高物理設備單機的安全性。鄭西客運專線信號安全數據網的設備技術規格書，對光纖交換機、光中繼器設備做出明確要求。

（1）采用目前國際、國內的主流產品，設備無故障工作時間（MTBF）值應在20年以上。

（2）滿足SIL4相關安全設備的應用需求，符合EN 50159-1標準。

（3）采用模塊化設計，配置冗余負載均衡的電源模塊、冗余通信端口等。

（4）設備應遵循相關電磁兼容性標準、工業認證標準等。

2.2.2 數據安全性

數據安全性主要指防止非法用戶接入、非授權用戶訪問。鄭西客運專線信號安全數據網在保障數據安全性方面提出以下措施。

（1）利用設備的端口安全策略，關閉閑置端口，并通過網絡端口與固定IP地址或固定MAC地址綁定的方法，來限制使用交換機端口的終端設備。從根本上切斷非法用戶的訪問渠道。

（2）通過交換機本身的密碼保護機制對交換機進行設置，以保護交換機本身的安全。防止非授權用戶通過網絡、Web、CONCOLE接口等各種方式對設備進行配置修改、安全設定修改。

2.2.3 管理安全性

管理安全性針對設備的管理，防止非授權用戶對設備進行配置修改、安全設定修改，設定授權專用的管理工作站，負責對網絡設備進行設定和管理。

2.3 網絡實時性

網絡實時性主要是分析數據轉發延遲時間，即數據從開始發送至目的端口之間的時間。鄭西客運專線信號安全數據網基于TCP/IP協議進行通信。采用存儲轉發的工作方式，根據光纖交換機的工作原理，從數據源到目的地址的全路徑延遲計算公式為：

LTotal=［LSF+LSW+LWL+LQ］×NSWITCHES

其中，LSF表示存儲轉發延時，LSW表示交換機設備延時，LWL表示傳輸光纖延時，LQ表示隊列延遲（網絡負載）延時，NSWITCHES表示交換機數量。

2.3.1 無鏈路故障情況

當環網中無鏈路故障時，以最長TCP/IP數據包在最遠傳輸距離（鄭州局調度所—西安北動車所）上傳輸為原則，引起的時延計算為LTotal。

2.3.2 網絡鏈路故障

若網絡中存在單鏈路故障，最不利的條件為鄭州局調度所—滎陽南的連接鏈路故障，以最長TCP/IP數據包在最遠傳輸距離（鄭州局調度所-環回-滎陽南）上傳輸為原則，引起的時延計算為LTotal。

根據以上兩種情況得出，安全數據網的單節點信息傳輸時延，在正常工作情況下均不大于10 ms。

2.4 網絡可管理性

在進行網絡設計時，必須考慮網絡的可管理性，全網設備應能進行統一網管，配置的網管軟件應能支持配置管理、性能管理、故障管理和安全管理等基本功能。

鄭西客運專線信號安全數據網設有獨立的網絡管理系統，在鄭州局調度所設1套網管服務器系統，各電務段設網管終端，提供拓撲管理、配置管理、故障管理、性能監測與分析、流量采集與分析等功能，為網絡的維護管理提供良好平臺。

3 總結

通過分析，可以得出鄭西客運專線信號安全數據網具有高可靠性，滿足CTCS-3級列控系統信息傳輸的需求。鄭西客運專線是國內第一批采用CTCS-3級列控系統的高速鐵路之一，在總體設計方案的研究和制定中尚無相關規范和開通實例可參考，同時本文分析的相關結論還有待于在工程實施中驗證，因此不足之處，望廣大同仁提出寶貴意見，以便共同探討。

[1] 科技運[2008]34號 CTCS-3級列控系統總體技術方案[S].

[2] IEC 62280-1-2002 （EN 50159-1）Railway applications.Communication, signalling and processing systems. Safety related communication in closed transmission systems[S].

[3] 運基信號[2009]223號 關于印發《客運專線信號系統安全數據網技術方案V1.0》的通知[S].