城市軌道交通融合云平臺探析

耿君毅

當前，云計算在各個領域發展迅速，但在城市軌道交通領域起步較晚，各地控制中心仍基于傳統的服務器運營模式，體系架構陳舊、技術落后、各業務系統之間存在信息“孤島”，安全管控薄弱，CPU 利用率低，耗費成本高，占有大量人工及用房面積，造成相當程度的資源浪費，不符合綠色低碳的技術理念。隨著軌道交通技術的不斷發展，伴隨著大量數據的增加，也給設備擴展帶來了一定的壓力。伴隨著云平臺技術的引進，我國較發達的一、二線城市，都在積極地規劃建設新型“智慧”城市。結合國家推進、政府響應以及城軌行業內部推動等方面的影響，軌道交通融合云平臺的建設勢在必行［1］。

根據城市軌道交通各子系統業務特點及運營管理模式，可以建設一套軌道交通專用的融合云平臺，將各子系統更多地部署到云上，實現資源池的統一規劃。城市軌道交通采用云計算及虛擬化技術建設融合云平臺，可以有效提高硬件資源的利用率，節省能耗和機房面積，大大降低建設投資費用。同時，若地鐵各機電系統都按照統一的標準進行開發和實施，可以方便地對各子系統進行統一管理，從便捷運維的角度對系統進行規范管理，在大大降低管理成本的同時，也能夠節約系統的運行成本，從而進一步提高軌道交通工程的建設水平。

1 云計算

云計算基于分布式處理、并行處理和虛擬機等技術，可以通過網絡訪問共享的資源池，所有的資源可以根據需求調配，靈活便利［2］，主要用于消除底層異構硬件間的差異，從而實現資源的池化和平臺化管理。在此基礎上，再通過自動化控制和服務抽象，與上層業務無縫銜接。理解云計算，需要著重關注3 個關鍵點：分布式、軟件定義和按需服務。

2 建設方案

2.1 架構規劃

軌道交通協會對城軌云平臺的建設提出以下建議：城市軌道交通宜通過搭建一個云平臺來承載安全生產網、內部服務網及外部服務網；拓展運營生產、運營管理、企業管理、建設管理、資源管理五大領域；構建生產指揮、企業管理及乘客服務3 個中心；打造城市軌道交通門戶［3］。簡單地說就是，打造1 個門戶，構建3 個中心，擴展5 大領域，依托3 張網絡，搭建1 個平臺。城軌融合云平臺建設架構見圖1。

圖1 城軌融合云平臺建設架構

云計算有3 種服務模式：IaaS（基礎設施即服務）、PaaS（平臺即服務）和SaaS（軟件即服務）。IaaS是云的最基層，主要提供一些基礎資源，適用于企業級私有云；PaaS 主要提供軟件部署平臺，將硬件和操作系統細節抽象化，用戶無需關心基礎資源；SaaS 是將軟件的開發、管理、部署交給第三方，應用作為服務提供給用戶，用戶不需要關心技術問題，缺點是通用性差，行業間場景交互困難［4］。

因此，城市軌道交通運營生產相關的系統，如綜合監控系統（ISCS）、清分中心及自動售檢票系統（ACC/AFC）、通信公專電話、視頻監視系統（CCTV）、乘客信息系統（PIS）、信號ATS 系統等，宜采用IaaS 模式構建私有云，即城軌安全生產云［5］。內部管理云主要整合辦公自動化系統（OA）、ERP 等信息化類服務，與運營安全不直接相關，涉及企業內部辦公自動化、人力及資產管理、運維管理等功能，宜采用PasS 或SasS 架構服務模式，構建私有云或混合云。而城市軌道交通對外門戶網站、APP、智慧出行、云售票等與外部通信的功能，可構建對外服務云。

2.2 物理架構

城市軌道交通融合云平臺的數據處理與存儲集中于OCC 數據中心機房，系統容災成為必須考慮的問題。可采用冗余容災解決方案，異地設置災備數據中心。災備中心配置類型及結構與主數據中心保持一致，可根據各系統業務災備需求（功能災備或數據災備）進行適當調整。架設骨干網鏡像數據，保持雙活狀態。主中心故障時，用戶訪問數據切換至災備中心，保證城軌各系統業務在用戶層面無感切換。

1）OCC 主數據中心建設多業務系統融合云平臺。設置ISCS、AFC/ACC、CCTV、PIS和ATS等業務系統的主用中心，在OCC集中收集、處理、存儲相關數據，部署統一的運維管理系統。

2）為保證平臺的高可靠性，在車輛段DCC 參照主數據中心各業務系統融合承載的原則，設置災備數據中心［6］。車輛段 DCC 設置 OA 和桌面云，部署OCC各業務系統的災備業務。

3）搭建全線網的骨干傳輸網絡，為各業務系統提供統一的數據傳輸通道；建設OCC 主數據中心、車輛段備用數據中心，以及停車場/車站的網絡安全系統，為各業務系統提供統一的網絡通道。相比于傳統IT 架構方案來說，融合云平臺方案中全線CCTV 圖像信息存儲在OCC，因此對傳輸系統帶寬以及穩定性要求更高，可采用增強型MSTP 或OTN（光傳輸網）方案，傳輸帶寬建議不少于40 Gb/s。

4）各車站/停車場通過交換機接入傳輸網絡，為OCC 提供業務數據。融合云平臺總體物理架構見圖2。

圖2 城軌融合云平臺總體物理架構

2.3 業務部署

城軌融合云平臺部署業務系統主要包括ISCS、AFC/ACC、CCTV、PIS 和ATS 等信息系統，還包括OA、桌面云、冗余災備、運維管理等系統，各類系統按需分布在控制中心OCC、車輛段DCC、停車場及車站，統一考慮應用云計算技術進行云化部署［7］。

OCC 主數據中心規劃部署ISCS、AFC/ACC、CCTV、PIS、ATS 及運維管理系統。備數據中心車輛段DCC 規劃部署ISCS、OA、桌面云、災備及運維管理系統。車輛段作為OCC 的災備站點，對OCC 中部署的業務系統進行災備。各業務系統具體部署如下。

1）綜合監控系統ISCS。ISCS 由云平臺整合部署數據中心、車輛段災備、傳統架構下的OCC歷史服務器、實時服務器、交換機、磁盤陣列等設備［8］。控制中心、車輛段、停車場和各車站的各類相關工作站采用云桌面終端。車站/停車場取消物理服務器，設置虛擬備用實時服務器，在OCC、車輛段及骨干網絡故障降級時使用，滿足車站本地自動控制要求，本地存儲數據，網絡恢復后數據回傳至數據中心。

2）清分中心及自動售檢票系統。AFC/ACC可利用云計算技術將原5 層架構進行扁平化處理，硬件架構優化調整至3 層架構。原ACC、LCC（線路中心）及SC（車站計算機系統）的計算及存儲資源全部在數據中心融合云平臺中統籌部署，線路中心級軟件功能弱化，管理功能上移至清分中心，車站終端設備和票務由工作站統一管理。考慮到互聯網支付平臺的信息安全防護原則，建議在外部服務網中進行部署。

3）信號ATS 系統。ATS 整體架構不變，將主數據中心、備用數據中心納入云平臺統一建設及管理，主、備數據中心架構保持一致。數據中心調度工作站、運行圖/時刻表編輯工作站和現場ATS工作站采用云桌面的方式進行部署。

4）視頻監視系統。基于頂層設計思想，視頻監視系統可考慮將線路級平臺優化為線網級平臺，減少數據處理層級。業務及數據處理、流程管理和數據接口更簡捷高效，標準程度更高。各車站視頻圖像采用集中存儲原則，在主控制中心和備用控制中心進行云存儲；主、備控制中心采用同步機制，利用云平臺實現多條線路間的視頻資源共享及利用。車輛段設置獨立的視頻云存儲設備存儲車輛段視頻圖像信息，同時在主數據中心視頻云存儲設備故障狀態下，車輛段云存儲設備可提供存儲一天全線視頻圖像信息的空間。

5）公務電話及專用電話系統。在VoIP的軟交換方案已得到廣泛推廣的基礎上，控制中心核心軟交換平臺由中心云平臺集中部署。基于云平臺的軟交換系統利用云平臺提供的計算資源，可有效降低建設成本，且擴展性能較好，能夠滿足公務電話用戶對系統的需求。考慮到資源共享的建設理念，可采用公專合一的方案建設專用電話系統，實現公務電話及專用電話設備資源共用。

6）乘客信息系統PIS。按照線網來部署PIS服務器及工作站，PCC（PIS 編播中心）、OCC 及車站控制層由云平臺整合部署，精簡系統架構，在車站部署物理工作站及車站服務器。正常情況下，數據中心工作站登錄中心服務器，向車站下達播放指令，車站服務器收到指令后送到控制器執行；網絡斷開情況下，由車站物理工作站登錄車站服務器，向控制器下達播放指令，滿足系統正常運行的要求。

2.4 安全設計

融合云平臺安全體系建設涉及到運維單位、業務部門、云平臺提供方、應用系統廠商等多個項目參與方，由于各參與方對所管理的資源控制力度和所有權各不相同，因此需要建立安全共建、責任共管的模型來共同保障云平臺系統的整體安全。融合云平臺信息安全總體規劃見圖3［9］。

圖3 融合云平臺信息安全總體規劃

軌道交通融合云平臺系統安全框架可分為終端安全、網絡安全、虛擬化安全、主機安全、應用安全和數據安全等幾個層面，在滿足各層面安全的基礎上做到安全管理、安全服務和等保安全合規［10］。

1）終端安全包括各種辦公終端、監控終端及各類服務器的安全，所采用的安全措施包括部署防病毒軟件、主機防火墻、主機入侵防護系統等一系列主機安全防護系統。

2）網絡安全可以采用防火墻、入侵防御、Anti DDOS和VPN等一系列網絡安全措施。

3）虛擬化安全由虛擬化平臺自身實現各類安全加固措施，包括虛擬資源隔離、云平臺安全加固、VDC、VPC和安全組等。

4）主機安全包括融合云平臺針對各類服務器的安全防護措施，例如部署主機入侵防護、防病毒軟件、軟件白名單和終端管理軟件等各類主機安全措施。

5）應用層安全涉及各類業務應用的安全，主要采用WAF和安全沙箱等技術。

6）數據安全是保障城軌業務安全運營的重點，應從數據隔離、訪問控制等多個方面采取安全管理措施。

對于融合云平臺信息安全的設計，應保證系統安全合規、安全風險可控、安全責任明確。融合云平臺和相關業務自上而下從安全管理、數據層、應用層、虛擬化、主機、網絡、終端等幾個層面考慮，滿足等保3級的安全標準［11］。

2.5 資源池規劃

對于資源池的規劃，需要對ISCS、AFC/ACC、通信CCTV、PIS、信號ATS 等系統的數據流進行分析，定性、定量地計算出云資源池的消耗。

1）計算資源池。融合云平臺采用虛擬化的方式整合物理服務器，采用X86服務器進行虛擬化平臺設計，根據虛擬機規格及各業務系統虛擬機規格類型，計算出如何部署資源池。按虛擬機損耗5%，各服務器CPU 平均利用率限額為60%來考慮，虛擬機計算能力vCPU 總需求為（各類虛擬機vCPU總數量/60%）/（1-5%）。

2）存儲資源池。存儲資源池包含OCC存儲資源池和車輛段存儲資源池，OCC 業務包含ISCS、AFC/ACC、CCTV、PIS 和運維管理系統等部分；車輛段業務包含桌面云、ISCS、OA、運維管理系統及災備等部分。

ISCS、AFC/ACC、PIS 等系統宜采用FC SAN 存儲模式，帶寬高，延時低；CCTV 宜采用NAS 存儲模式；而運維管理、OA、桌面云等業務可采用Server SAN 模式，再根據不同系統業務虛擬機需要的容量及虛擬機數量計算出總存儲容量。

3 應用情況及發展趨勢

3.1 各城市融合云平臺應用情況

1）呼和浩特。呼和浩特地鐵1、2 號線已采用云平臺設計方案進行多業務系統的承載，同時預留3、4、5 號線業務的接入資源。呼和浩特1 號線和2號線已開通運營［12］。云平臺建設方案主要由生產中心云平臺、災備中心云平臺以及站段云節點構成。

生產中心云平臺主要為運營生產系統、企業管理信息系統、乘客服務管理系統提供IaaS 服務，統一部署各業務系統傳統模式下中心級硬件所需的計算和存儲資源。

災備中心云平臺主要為災備模式下運營生產系統所需的計算、存儲、網絡資源，以及企業管理信息系統和乘客服務管理系統的業務災備網元部署所需的存儲資源，并將車站、場段傳統災備應用服務功能上移至災備中心虛擬資源中。

站段云節點是線網云平臺的站段服務節點，通過站段網絡與線網云平臺進行數據信息交互。當網絡出現故障時，可以為運營生產系統提供降級模式下所需的計算和存儲資源。

2）武漢。武漢城市軌道交通線網信息化業務包括運營生產區域、信息管理區域和乘客服務區域三大業務系統。武漢擬構建線網融合云平臺，建設三陽路企業管理中心及數據中心、國博生產指揮中心及數據中心，國博控制中心和三陽路控制中心物理上為雙活中心，實現“雙活”線網中心、生產指揮中心及線網數據中心的一體化。

武漢擬按32 條線規模建設線網融合云平臺，目前尚處于需求書編制階段，預計2022 年首期示范工程建設完畢。

3）溫州。溫州市域鐵路S1 線一期工程建設ACC 清分、綜合監控系統的單專業云平臺。ACC將原5 層架構進行扁平化處理，硬件架構優化調整至3 層架構。綜合監控系統將傳統IT 架構下的OCC 歷史服務器、實時服務器、交換機、磁盤陣列等設備由云平臺整合部署到控制中心。項目于2020年6月10日全線貫通運營。

4）其他城市。太原地鐵2 號線采用了云平臺方案進行綜合業務承載，目前已經完成設備招標；洛陽城軌云建設滿足當前1 號線、2 號線開通運營要求，同時為未來3、4 號線業務的接入預留資源；金義東市域軌道交通也明確了將采用融合云平臺方案承載系統業務，北京、濟南、杭州等城市也正在進行方案研究［13］。

3.2 發展趨勢

云平臺的建設是從基礎設施層的云化（即IaaS）到進一步整合上層的應用系統，是行業應用的大勢所趨。但目前行業內已落地的云平臺項目均為IaaS 層，正在做方案設計的云平臺項目也以IaaS 層為主（可能淺層次討論到PaaS/SaaS，如數據庫服務、大數據應用等），在以后的方案中需進一步完善PaaS/SaaS 層模式，為用戶提供更好的服務體驗。

目前我國一、二線城市的軌道交通建設規劃都是在20 條線路以上，在江浙等較發達地區，各城市之間的市域軌道交通也在興起。軌道交通云平臺的建設不能僅考慮單專業、單線路或者共用一個控制中心的幾條線路，而是要以城市軌道交通線網甚至城市群之間的融合云平臺來規劃設計，這樣才能最大化地利用云平臺的優勢。

4 結語

在城市軌道交通領域，云平臺的建設是行業應用的大勢所趨，具有重要的現實意義。云計算強大的數據中心信息處理能力和資源存儲能力，可以為城市軌道交通的信息化發展提供強有力的支持，為加強我國城軌行業的建設注入新鮮血液。