城市軌道交通5G虛擬專網建設方案研究

張 博 ，余曉君 ，衛建芳 ，郭昕蓓

(1.深圳市桑達實業股份有限公司，廣東 深圳 518057；2.中國電子信息產業集團有限公司第六研究所，北京 100083)

0 引言

隨著通信與計算機技術的飛速發展，城市軌道交通的運營方式也從原始的人工駕駛向自動駕駛(Automatic Train Operation，ATO)發展，并進一步邁向全自動運行系統(Fully Automatic Operation System，FAO)模式[1]。

在目前的城市軌道新建線路中，基于第四代移動通信的LTE-M技術已迅速取代WLAN技術成為主流通信技術，較好地滿足了城市軌道交通無線通信的需求。

但是隨著對城市軌道交通便捷化、高效化和智能化的要求越來越高，下一代列車控制、智能視頻監控、智能運維和乘客服務系統等新系統不斷引入，這對構建新一代城市軌道通信系統提出了迫切需求。

與LTE-M相比，5G除提供高速率的數據服務外，還定義了增強移動寬帶(Enhanced Mobile Broadband，eMBB)、超可靠低時延(Ultra-reliable and Low Latency Communications，URLLC)以及海量機器通信(Massive Machine Type Communications，mMTC)三大場景[2]，為城市軌道交通各業務領域提供支持高速移動、高速率、高可靠、高實時的通信手段，能夠滿足新一代城市軌道交通的應用需求。但這三大場景在滿足城市軌道交通業務多樣性需求的基礎上，也為網絡建設帶來了新的挑戰。如果遵循傳統網絡的建設思路，僅通過一張網絡來滿足這些彼此之間差異巨大的業務需求，投資巨大且效率低下。

相對于傳統的4G網絡，國際移動通信標準組織3GPP引入了全新的基于服務的網絡架構(Service-based Architecture，SBA)對5G無線接入網和核心網進行了重構[3]，并以網絡切片、多接入邊緣計算(Multi-access Edge Computing，MEC)等技術為基礎，允許用戶可根據實際業務需求，在一個通用的物理平臺之上建設多個互相隔離的虛擬專網，這樣既滿足業務的差異性和安全性，又保證了網絡建設的靈活性和經濟性，是未來軌道交通通信網絡建設的必由之路。

1 城市軌道交通對通信網絡的需求場景

2019年7月，中國城市軌道交通協會發布了《智慧城市軌道交通信息技術架構及網絡安全規范》，將軌道交通信息化建設中的各業務應用系統進行統籌整合，歸納到安全生產、內部管理和外部服務3個域[4]，如圖1所示。

這3個域的安全等級不同：其中安全生產域需要承載列車的核心控制和調度業務，安全等級最高，內部管理域其次，外部服務域最低。這3個域之間需要進行安全隔離。

除安全等級不同外，這3個域承載的業務對網絡服務質量(Quality of Service，QoS)的要求差異巨大，如表1所示。

2 網絡切片技術

2.1 網絡切片基本概念

網絡切片是5G網絡最重要的技術之一，5G網絡通過網絡切片實現對功能、運行維護和隔離策略進行靈活的定制，從而基于相同的基礎設施提供滿足垂直行業多樣化需求的虛擬專有網絡[5]。網絡切片主要有以下3個特征：

(1)端到端，是指網絡切片涉及核心網、接入網、傳輸網等各個域，需要各個域進行協同配合；

(2)按需定制，是指可按需定制網絡切片的業務、功能、容量、服務質量與連接關系，同時還可以按需進行切片的生命周期管理；

(3)隔離，是指網絡切片的安全隔離、資源隔離與操作維護隔離等內容。

在5G網絡中，通過單網絡切片選擇輔助信息(S-NSSAI)來區分不同的切片，而S-NSSAI的編碼由切片服務類型(SST)和切片微分器(SD)兩部分組合而成[6]，其中：

(1)SST標明切片的業務類型。5G網絡已經定義了eMBB、mMTC和uRLLC等基礎的網絡切片類型，用戶可以根據業務需求對這些網絡切片類型進行擴展。

(2)SD標明各大類業務下具體的切片業務，這個可以基于切片業務的規劃靈活進行編碼管理。

2.2 網絡切片整體架構

5G網絡切片是核心網、無線網和承載網子切片的組合，需要根據各個業務場景對網絡QoS、安全和成本等差異化需求，為核心網、無線網和承載網選擇合適的切片方式，并實現業務流程整體端到端貫通。

如圖2所示，5G網絡切片的架構有多種實現方式。在核心網側主要有3種模式：(1)模式1，核心網控制面網元完全獨立，該模式的安全隔離最徹底，但相對成本也較高；(2)模式2，核心網控制面部分網元獨立、部分網元共享，用戶面網元獨立，終端可以同時接入多個切片；(3)模式3，核心網控制面網元共享，用戶面網元獨立，該模式的安全隔離程度低，成本也相對較低。

圖1 城市軌道交通業務系統

表1 城市軌道交通業務系統QoS需求

無線網側切片首先需要針對不同的業務場景，為不同切片進行無線資源的分配和映射，并可根據需求進行幀格式、優先級等參數的靈活配置，從而保證切片空口側的性能和安全隔離需求。另外，還需要根據業務場景對CU、DU和AAU網元功能進行靈活切分和部署[7]：對時延要求不敏感的場景，可以盡量采用集中部署，以盡可能實現資源共享，降低成本，如圖2模式3所示；對于時延要求苛刻的場景，則盡可能下沉到站點合一部署，以降低傳輸時延，如圖2模式1所示。

圖2 5G網絡切片整體架構

傳輸網絡采用以軟件定義網絡(Software Defined Network，SDN)為基礎的網絡虛擬化技術，實現傳輸網絡的控制平面與轉發平面的分離，按需構建邏輯獨立的虛擬網絡vNet[8]，如圖3所示。對于轉發平臺，可以選擇基于靈活以太網(Flexible Ethernet，FlexE)等為代表的硬切片技術[9]，或者選擇以虛擬專用網(Virtual Private Network，VPN) 等為代表的軟切片技術，或者二者相結合。最終基于SDN控制面、基于VPN、FlexE通道等不同資源進行切片，以滿足不同業務場景對傳輸網絡的差異化需求。

圖3 5G承載網切片架構

3 多接入邊緣計算（MEC）技術

3.1 MEC基本概念

MEC技術的基本思想是把云計算平臺能力從中心節點向移動接入網邊緣擴展，通過部署具備計算、存儲、通信等功能的邊緣節點，為用戶提供更高帶寬、更低時延的數據服務，可大幅度減少回傳網絡和核心網的負荷，也降低了數據在傳輸過程中產生信息安全風險的概率。

另外，部署于網絡邊緣的MEC可以實時獲取基站ID、可用帶寬以及用戶位置信息等數據，可以實現基于位置的應用部署，進一步改善了用戶的使用體驗。

3.2 MEC整體架構

如圖4所示，MEC可劃分為虛擬化基礎設施層、平臺層(MEP)和應用層[10]。其中，虛擬化基礎設施可以為MEC部署的應用提供計算、存儲、網絡資源和時間相關信息，為從MEP接收到的數據執行轉發規則，并在各種應用、服務和網絡之間進行流量轉發；MEP從應用接收流量轉發規則，基于轉發規則向轉發平面下發指令，并負責與其他MEP進行互聯與協作；應用層是運行在MEC上的虛擬機實例，用戶可以根據需求場景，在恰當的MEC上靈活部署應用。

圖4 5G MEC整體架構

部署在MEC上的應用實例(APP)可以通過與5G核心網的PCF的交互，完成分流規則的配置。通過SMF對流量的集中調度，實現邊緣UPF的選擇及特定數據業務分流。

4 城市軌道交通5G虛擬專網建設方案

從上文可以看出，5G提供網絡切片和MEC等技術能力，使得基于一張物理網絡建設滿足用戶差異化需求的虛擬專有網絡成為可能，使通信網絡轉變為城市軌道交通各業務系統的多功能服務平臺，使能軌道交通行業發展。

4.1 方案總體設計

針對軌道交通各類業務對通信網絡的差異化需求和不同的安全等級，建議劃分3個不同的網絡切片來構建城市軌道交通5G虛擬專用網絡：

(1)切片1：承載安全生產網中關鍵低帶寬業務，如ATS、CBTC等。這類業務對網絡時延、可靠性和安全性要求最高，但帶寬需求較低，安全等級最高。

(2)切片2：承載內部管理網所有業務和安全生產網中非關鍵低帶寬業務，如PIS、車輛智能運維系統以及其他內部管理應用系統。這類業務對帶寬的要求較高，但對時延沒有過多要求，安全等級較高。

(3)切片3：承載外部管理網各應用系統，如視頻監系統、乘客服務系統等。這類業務對帶寬和時延的要求與切片2類似，安全等級要求最低。

其中，切片1對網絡時延要求較高，目前5G已成熟的eMBB類型切片網絡總時延不超過20 ms，完全滿足業務需求。待后續uRLLC切片技術成熟后，考慮采用uRLLC類型的網絡切片進一步降低網絡時延，提升可靠性。切片2和切片3對網絡時延等無特殊需求，均可采用eMBB類型的網絡切片。將切片2和切片3分開，主要是考慮二者安全等級的差異，需要對承載在兩類切片上的業務系統進行安全隔離。

3個切片共享核心網控制面，獨占核心網用戶面。承載網側采用FlexE與VPN相結合的方式隔離，無線側采用資源塊(Resours Block，RB)預留的方式，總體架構如圖5所示。

圖5 軌道交通5G虛擬專網總體架構

4.2 基于MEC的網絡部署與數據分流方案

軌道交通5G虛擬專網建議直接采用運營商大區核心網，通過切片保證業務需求和安全性。核心網UDM、SMF、PCF、AMF等控制面網元共享，為多個切片提供服務；媒體面UPF網元基于各個切片對時延、帶寬、安全等的不同需求，下沉到地鐵OCC機房的MEC中，每個切片獨立部署，如圖6所示。

圖6 核心網部署與數據分流方案

5G無線網絡通過N3接口將數據流量傳輸到MEC部署的UPF中。PCF與AF協同通過UPF進行流量卸載，實現地鐵內部數據不出地鐵，而將非本地流量通過N9接口上傳到運營商大區核心網[11]。

4.3 無線網子切片方案

5G網絡支持根據不同的業務場景無線網的CU、DU和AAU網元功能進行靈活切分和部署，CU、DU可以合一，也可以分離。采用CU、DU分離模式，有助于利用CU實現無線資源的集中管理，降低回傳和前傳網絡的傳輸帶寬需求。但這種部署模式也增加了網絡層級、提高了網絡復雜度，給網絡維護與運營增加了難度；另外還因為新增了CU與DU之間的中傳鏈路，增加了網絡時延。因此，推薦采取CU與DU合設部署的方案，該方案具有網絡時延低、組網簡單和相對成熟等優勢，可降低網絡部署與運維成本，縮短網絡建設周期[12]。

如圖7所示，無線空口采用資源塊(Resource Block，RB)預留的方案。根據業務需求，對于承載軌道交通安全生產網中關鍵業務的切片1，獨立使用預留的RB資源，提供相對于無線頻譜資源的硬隔離，以保證業務的安全性和可靠性；對于承載非關鍵業務的切片2和切片3，可以根據業務的運行情況對RB資源進行動態調度，在保證業務需求的同時最大程度地利用空口資源。

圖7 無線空口RB預留切片方案

4.4 傳輸子網切片方案

傳輸網絡切片采用FlexE與VPN相結合的技術方案。其中，基于VPN的軟隔離技術需要通過不同QoS來保證服務質量，而QoS模型是建立在統計復用的基礎上，網絡的時延和抖動難以得到完全保證；FlexE技術是基于物理層的切片轉發，可實現數據通道的物理隔離，且相比以VPN+QoS的軟隔離技術，網絡抖動時延大幅降低[13]。當然，FlexE方案與VPN方案相比，帶寬復用度較低，相應的成本也較高。

因此，如圖8所示，根據業務需求，對于承載軌道交通安全生產網中關鍵業務的切片1，采用獨占的FlexE通道承載，以保證業務的安全性和可靠性，降低網絡時延；對于切片2和切片3，推薦基于同一個FlexE通道，通過配置不同的VPN的方式進行隔離，以兼顧服務質量與成本。

圖8 傳輸子系統切片方案架構

4.5 端到端切片安全隔離方案

軌道交通5G虛擬專網是通過對核心網、無線網和承載網子切片的組合，構建的一個面向不同業務場景的邏輯網絡。這就需要提供一套網絡切片之間端到端安全隔離機制，實現網絡切片間的隔離防護，最終滿足不同業務的安全等級需求[14]。

軌道交通5G虛擬專網端到端隔離可分為核心網隔離、無線網隔離和承載隔離，如圖9所示。

圖9 端到端切片安全隔離方案架構

無線網采用資源塊預留的方式進行隔離；承載網隔離采用FlexE和VPN相結合的方式進行隔離；核心網，采用獨立UPF的方式進行隔離。除了對切片的安全隔離外，還需進行采用以下手段保證用戶的數據安全[15]：

(1)接入認證，保證用戶接入的合法性；

(2)訪問權限控制，防止用戶對數據的非授權訪問；

(3)數據傳輸過程的安全性和完整性保護，可以使用IPSec等傳輸加密手段；

(4)邊界安全隔離，可以采用設置防火墻等手段對網絡邊緣進行必要的安全隔離。

5 結論

2020年底，工業和信息化部召開“扎實推進5G發展”座談會，提出“加快行業虛擬專網落地，深化共建共享，推進網絡建設運維降本增效”。本文通過對需求和技術的分析，提出了城市軌道交通5G虛擬專網建設的解決方案。

希望通過5G虛擬專網的建設，使5G技術更加便捷、高效和低成本地賦能軌道交通行業，從而進一步推進城市軌道交通與云計算、大數據和人工智能等最新的信息化技術充分融合，助力軌道交通行業快速發展。