基于云計算的軌道交通業(yè)務系統(tǒng)RAMS分析

胡小莉

摘 要 云計算在軌道交通行業(yè)逐步得到了應用，作為一種為用戶提供信息服務的新模式，云計算與傳統(tǒng)的部署模式有很大的差別。云計算架構(gòu)在傳統(tǒng)架構(gòu)的計算、存儲、網(wǎng)絡硬件層的基礎上，增加了虛擬化。通過兩種模式的對比，結(jié)合云計算所涉及的虛擬化技術(shù)特點，對于基于云計算的業(yè)務系統(tǒng)的可靠性、可用性、可維護性、安全性（RAMS）指標，進行了系統(tǒng)性的分析。

關(guān)鍵詞 軌道交通;云計算;RAMS

隨著云計算、人工智能、物聯(lián)網(wǎng)、大數(shù)據(jù)等信息技術(shù)在城市軌道交通逐步得到應用，軌道交通產(chǎn)業(yè)正朝著智能化、輕型化、電氣化方向發(fā)展。2020年政府工作報告提出的新基建主要包括的七大領域就包含了城際高速鐵路和城市軌道交通，新基建將加速軌道交通產(chǎn)業(yè)升級，助力軌道交通朝著信息化、智能化方向發(fā)展。

為了規(guī)范城市軌道交通信息技術(shù)系統(tǒng)的建設，中國城市軌道交通協(xié)會牽頭編制了《智慧城市軌道交通? 信息技術(shù)架構(gòu)及網(wǎng)絡安全規(guī)范》，彌補了信息化規(guī)范的缺失。該規(guī)范中指出“智慧城市軌道交通建設和運營中應對業(yè)務系統(tǒng)實施系統(tǒng)化的RAMS管理”，并且“對于安全、可靠性要求高的系統(tǒng)，要進行第三方RAMS評估”。“智慧城市軌道交通信息系統(tǒng)的RAMS保障處應符合本規(guī)范的規(guī)定外，尚應符合GB/T21562，GB/T28808，GB/T28809的相關(guān)規(guī)定。”[1]

1業(yè)務系統(tǒng)運行架構(gòu)分析

眾所周知，運行環(huán)境對業(yè)務系統(tǒng)的重要性是不言而寓的。采用基于云計算的平臺作為各業(yè)務系統(tǒng)的基礎平臺，對當前已經(jīng)成熟的、基于傳統(tǒng)運行模式的應用系統(tǒng)，尤其是涉及到運營安全的系統(tǒng)，需要對其安全性、可靠性、可用性、可維護性（RAMS）重新進行分析。在分析之前，先了解一下業(yè)務系統(tǒng)基于傳統(tǒng)架構(gòu)與基于云計算的架構(gòu)的差別。

1.1 傳統(tǒng)業(yè)務架構(gòu)

傳統(tǒng)的業(yè)務系統(tǒng)其應用軟件運行于操作系統(tǒng)之上，操作系統(tǒng)和底層的硬件一起作為支撐軟件運行的運行環(huán)境。操作系統(tǒng)既有獨立性，又與硬件和應用緊密關(guān)聯(lián)在一起。操作系統(tǒng)起的作用是：對上承載各種應用的功能需求，對下管理資源、驅(qū)動底層硬件。

1.2 基于云計算的業(yè)務架構(gòu)

基于云計算的平臺離不開底層的虛擬化技術(shù)支持。虛擬化代表著一系列先進的技術(shù)和，包括：CPU虛擬化、服務器虛擬化、存儲虛擬化、網(wǎng)絡虛擬化和應用虛擬化。由于業(yè)務系統(tǒng)的應用軟件運行于虛擬機管理程序（VMM）或者Hypervisor之上，軟件的運行對其運行環(huán)境有一定的依賴性，因此，首先需了解一下虛擬機運行架構(gòu)[2]。

虛擬機運行架構(gòu)包括寄居架構(gòu)和原生架構(gòu)兩種方式：

（1）寄居架構(gòu)

寄居架構(gòu)中虛擬機管理程序是一個運行在宿主操作系統(tǒng)之上的中間層，可以作為應用軟件安裝在宿主操作系統(tǒng)之上，虛擬機管理程序上可以安裝多個操作系統(tǒng)。業(yè)務系統(tǒng)的應用軟件使用虛擬機管理程序來隔離它們對硬件資源的使用。

（2）原生架構(gòu)

原生架構(gòu)中不需要宿主操作系統(tǒng)，虛擬機管理程序直接安裝在計算機硬件資源上，虛擬機管理程序本身就是一個操作系統(tǒng)，它為每個虛擬機分配硬件資源。虛擬機中包括了應用軟件和它的操作系統(tǒng)，也叫做客戶操作系統(tǒng)，客戶操作系統(tǒng)可以根據(jù)應用軟件的需求進行選擇，不需要做出任何修改。

2業(yè)務系統(tǒng)的RAMS分析

對于業(yè)務系統(tǒng)的RAMS分析，我們可以分為安全和RAM兩個方面來考慮。

2.1 業(yè)務系統(tǒng)的安全性分析

對于城市軌道交通系統(tǒng)，業(yè)務系統(tǒng)在開發(fā)前應經(jīng)過安全分析以確定相應的安全完整性等級（SIL），進而在系統(tǒng)開發(fā)的生命周期過程中采用與該SIL相匹配的安全管理和安全技術(shù)進行開發(fā)實現(xiàn)。為了保障業(yè)務軟件的安全性，最為緊要的便是解決云計算環(huán)境下的安全問題。從業(yè)務系統(tǒng)傳統(tǒng)的運行模式可以看出，操作系統(tǒng)是直接驅(qū)動硬件的，而基于云計算平臺的業(yè)務系統(tǒng)，其應用軟件與操作系統(tǒng)共同組成了一個虛擬機，雖然每個虛擬機與運行在服務器上的其他虛擬機都是相互隔離的，但是由于虛擬機管理程序或者Hypervisor管理著所有或者大部分硬件資源的使用，因此所有的虛擬機都需要虛擬機管理程序或者Hypervisor充當與硬件的接口，于是虛擬機管理程序或者Hypervisor以及底層硬件都變成了單點故障。

對于虛擬機管理程序，其虛擬化技術(shù)使用軟件的方法重新定義劃分硬件資源，可以實現(xiàn)對硬件資源的動態(tài)分配、靈活調(diào)度，提高底層硬件資源利用率等。云計算平臺實現(xiàn)了通過動態(tài)擴展虛擬化的層次達到對應用進行擴展的目的。對于動態(tài)再配置這種技術(shù)方法，GB/T28808 附錄B.18的定義是系統(tǒng)的邏輯結(jié)構(gòu)應能被映射到系統(tǒng)可用資源的子集上，體系結(jié)構(gòu)應能檢測到物理資源的失效，然后重新將邏輯結(jié)構(gòu)映射回還在起作用的受限資源上。但是GB/T28808表A.3中對于軟件結(jié)構(gòu)認可的技術(shù)中，明確指出不論對于哪種軟件安全完整性等級SIL，軟件動態(tài)再配置是NR的，也就是表示該技術(shù)或措施在當前安全完整性等級下是肯定不推薦的。如果該技術(shù)或方法被使用，那么需要給出的理由。

考慮到虛擬機管理程序和底層硬件資源的復雜性，并且在業(yè)務系統(tǒng)開發(fā)過程中并沒有采用與業(yè)務系統(tǒng)SIL等級相匹配的安全技術(shù)與安全管理，因此：（1）從某種意義上說，不可能獲得或不能完全獲得虛擬機管理程序的完整確定的功能模型，并且（2）尚未按照GB/T 28809或其先前版本進行開發(fā)，按照EN50129進行分析[3]， 虛擬機管理程序可能存在以下多個問題：

1）缺少過程證據(jù)：

在結(jié)構(gòu)化安全論據(jù)中，質(zhì)量管理和安全管理的證據(jù)缺失或至少沒有提供;

由于開發(fā)過程不以功能安全為導向，因此無法充分確保不受系統(tǒng)性失效的影響;

2）缺少技術(shù)證據(jù)：

在結(jié)構(gòu)化安全論據(jù)中， 功能和技術(shù)安全的證據(jù)缺失或至少沒有提供;

某些屬性和功能是完全或部分未知的， 或從安全角度來看不能保證;

由于設計不以安全為導向， 沒有提供嵌入式的容錯措施和故障管理措施， 因此不能保證對系統(tǒng)性失效和隨機性失效的控制。

由于這些問題的存在， 在所考慮的業(yè)務系統(tǒng)內(nèi)使用既有部件實現(xiàn)安全相關(guān)功能通常是不可行的，因為安全證明可能特別繁重。但是，我們可以將虛擬機管理程序作為僅執(zhí)行與安全相關(guān)功能的一部分并有效地重用。因此云計算環(huán)境（虛擬機管理程序、硬件資源）與業(yè)務系統(tǒng)深入融合過程中需從各自的角度來考慮不同的方案：

（1） 對于虛擬機管理程序和硬件資源，可以通過對內(nèi)部結(jié)構(gòu)、數(shù)據(jù)結(jié)構(gòu)或固有的物理性質(zhì)進行分析， 應證明虛擬機管理程序的危險功能失效模式不能可信地發(fā)生;或

（2） 對于虛擬機管理程序、硬件、操作系統(tǒng)和業(yè)務軟件組成的業(yè)務系統(tǒng)，按照所需的 SIL 等級提供完整的安全證明;

（3） 對于業(yè)務軟件，應通過外加措施來消除云計算環(huán)境可能帶來的故障模式影響，并在要求的時間內(nèi)進入安全狀態(tài)，以實現(xiàn)要求的安全目標。

由此可見，因此云計算環(huán)境（虛擬機管理程序、硬件資源）如果要承載安全相關(guān)的業(yè)務系統(tǒng)，不能只是簡單的把運行于傳統(tǒng)架構(gòu)的業(yè)務系統(tǒng)應用軟件移植到虛擬機之上，而是需要業(yè)務系統(tǒng)和云計算平臺互相配合，施加相應的措施，共同保障業(yè)務系統(tǒng)的安全性。

2.2 業(yè)務系統(tǒng)的RAM分析

用戶對于業(yè)務系統(tǒng)的可靠性、可用性、可維修性（RAM）方面的期望很大程度上來自于已經(jīng)獲得的業(yè)務系統(tǒng)的行為經(jīng)驗，因此對于部署在云計算平臺上的業(yè)務系統(tǒng)的最基本的期望是要求其RAM指標不低于部署在傳統(tǒng)架構(gòu)上的業(yè)務系統(tǒng)[4]。

在可靠性方面，傳統(tǒng)架構(gòu)的優(yōu)勢是，客戶對于操作系統(tǒng)及其上運行的業(yè)務系統(tǒng)有完全的控制權(quán)。基于云計算平臺的優(yōu)勢是有專業(yè)的團隊來對系統(tǒng)進行維護，但是缺點是業(yè)務系統(tǒng)經(jīng)過的中間的鏈路相對較長，且經(jīng)過的鏈路有實體機也有虛擬機，因此有物理上的不可控因素，而且受鏈路長的影響，性能和延遲也是客戶在選擇云計算平臺來承載業(yè)務系統(tǒng)時的一個重要考慮因素。此外，云計算平臺自身的邏輯復雜性也會對客戶業(yè)務的可靠性造成潛在的影響。

在可用性方面，可以從關(guān)鍵故障率、故障覆蓋率、切換成功率等方面對基于云計算平臺的業(yè)務系統(tǒng)進行評估。與傳統(tǒng)業(yè)務架構(gòu)相比，基于云計算平臺的架構(gòu)的業(yè)務系統(tǒng)引入了虛擬機管理程序（以原生架構(gòu)為例），這個復雜的軟件不可避免的會出現(xiàn)一些故障，那么虛擬機管理程序發(fā)生影響服務的故障事件的概率是值得關(guān)注的一個焦點。

另外快速和可靠的故障檢測功能對故障覆蓋率有很大的影響。業(yè)務架構(gòu)系統(tǒng)的故障檢測、抑制、隔離以及恢復都必須是自動且高度可靠的。如果故障沒有被自動檢測出來，那么將會導致服務未完成，恢復故障的操作也沒有被觸發(fā)，進而可能直接影響到最終用戶。基于云計算平臺的業(yè)務系統(tǒng)切換成功率受系統(tǒng)架構(gòu)、冗余策略和恢復模式所影響，激活掛起或暫停的虛擬機實例增加了操作復雜度，因此也可能增加了切換失敗的風險，另外對于對實時性要求比較高的系統(tǒng)，在冗余單元上恢復服務所需的時間是否能夠滿足要求，也會對業(yè)務系統(tǒng)的可用性造成影響[5]。

3總結(jié)

城市軌道交通面臨的挑戰(zhàn)主要為運營安全、服務質(zhì)量和成本壓力。云計算的發(fā)展將云計算環(huán)境（虛擬機管理程序、硬件資源）與業(yè)務系統(tǒng)進行深入融合，給兩者帶來了全新的變革，因此對于云計算環(huán)境和業(yè)務系統(tǒng)都提出了更高的要求。在該技術(shù)沒有完全成熟或被廣泛實踐驗證之前，對于業(yè)務系統(tǒng)的技術(shù)架構(gòu)的選擇應以安全、可靠為前提進行部署規(guī)劃和建設。在這個前提之下，根據(jù)用戶自己的需求，選擇合適的、適用業(yè)務系統(tǒng)的架構(gòu)，使之達到相應的RAMS目標，確保業(yè)務系統(tǒng)的正常運行。

參考文獻

[1] 中國城市軌道交通協(xié)會. 智慧城市軌道交通 信息技術(shù)架構(gòu)及網(wǎng)絡安全規(guī)范 第1部分：總體需求：T/CAMET 11001.1-2019[S].北京：中國鐵道出版社有限公司，2019.

[2] Artwalker. 虛擬化架構(gòu)與系統(tǒng)部署[ED/OL].https：//www.cnblogs.com/artwalker/p/12945087.html，2020-5-23.

[4] 潘愛民.云平臺與操作系統(tǒng)兩種架構(gòu)的分析[ED/OL].https：//zhuanlan.zhihu.com/p/75632993，2019-7-29.

[5] ERIC Bauer，Randee Adams. Reliability and Availability of Cloud Computing[M]. Wiley-IEEE Press，2012：101.