城軌列車實時以太網拓撲結構分析及應用思考

丁 超

（成都地鐵運營有限公司，四川成都 610051）

近年來，實時以太網技術日益成熟。與傳統的城市軌道交通（以下簡稱“城軌”）列車通信網絡（如多功能車輛總線（MVB）、絞線式列車總線（WTB）、附加資源計算機網絡（ARCNET）、局部操作網絡（LonWorks）等）相比，實時以太網具有更高的數據傳輸速率和帶寬，可克服上述傳統網絡帶寬低、無法滿足大量數據傳輸需求的缺陷，集成列車的控制、診斷、監測、維護等信息以及乘客信息系統（PIS）、視頻監控系統等的數據，使信息大容量傳輸、智能診斷、故障精確定位、專家診斷等功能成為可能，因此被越來越多地應用到城軌列車通信領域。

1 城軌列車實時以太網拓撲結構

城軌列車實時以太網包括列車級網絡、車輛級網絡和終端設備（ED），其拓撲分層結構如圖1所示。其中，列車級網絡，即以太列車骨干網絡（ETB）為線性網絡拓撲結構，ETB交換機（ETBN）之間為線性連接；車輛級網絡，即以太網編組網（ECN）的拓撲范圍與列車牽引單元范圍一致；ED以星形連接的方式下掛在ECN交換機（ECNN）上，ED之間遵循通信協議完成通信控制任務。ECN單元內，數據通信參數和協議保持統一，便于各類控制邏輯的編制，并且通信時延、通信帶寬等傳輸性能也一致。

圖1 城軌列車實時以太網拓撲分層結構

ECN有多種拓撲結構，根據IEC 61375-3-4-2014 Electronic railway equipment - Train communication network （TCN） - Part 3-4: Ethernet Consist Network（ECN）標準，其典型拓撲結構有以下5種。

（1）線性拓撲結構，如圖2所示。該拓撲結構的優點是：布線施工便捷，電氣圖設計簡單，線纜長度短且在不同位置差異小，故障易排查；缺點是：若出現單點故障，會影響整個網絡的數據傳輸。

（2）雙歸屬線性拓撲結構，如圖3所示。該拓撲結構的優點是：交換機之間存在2條獨立且互為冗余的物理通信鏈路，若一路發生故障，則另一路仍可傳輸數據，不會造成通信中斷；缺點是：若2條獨立鏈路同時發生故障，則將導致數據丟失。

圖3 雙歸屬線性拓撲結構

（3）環形拓撲結構，如圖4所示。該拓撲結構的優點是：單物理鏈路故障時，可自動切換傳輸路徑，從而增強數據傳輸的可靠性。缺點是：若網絡中存在2個及以上的故障節點或線路故障點，環形網絡（以下簡稱“環網”）的自愈性則不復存在；若網絡中出現線路虛接，則可能出現環網頻繁組網的情況，導致數據丟失。

圖4 環形拓撲結構

（4）雙歸屬環形拓撲結構，如圖5所示。該拓撲結構的優點是：除具備環網的全部優點外，因ED與交換機間為雙歸屬連接，還提升了ED間通信的可靠性。缺點是：①依賴于環網協議的正常工作；②由于環網節點增多，提高了交換機之間發生故障的概率，增加了出現故障節點或線路故障點的風險；③網絡中出現線路虛接的概率增加，可能導致數據丟失。

圖5 雙歸屬環形拓撲結構

（5）雙歸屬梯形拓撲結構，如圖6所示。該拓撲結構的優點是：形成梯形網絡結構，進一步增強了網絡整體的連通性，任一通路的故障均不影響ED間的通信；缺點是：若網絡中出現線路虛接的情況，可能導致拓撲頻繁切換，而且梯形拓撲結構的軟件復雜，布線繁多。

圖6 雙歸屬梯形拓撲結構

2 2 種拓撲結構分析及對比

根據城軌列車的實際應用場景（既要求列車通信網絡有一定冗余性，以保證通信的穩定性和可靠性，又要兼顧車輛實際布線的可行性），綜合考慮上述5種拓撲結構的優缺點，目前城軌列車實時以太網普遍采用以下2種典型拓撲結構，即雙歸屬環形拓撲結構，以及由雙歸屬線性拓撲演化而來的、具備鏈路聚合功能的線性雙鏈路聚合拓撲結構。下面將對這2 種拓撲結構進行分析和比較。

2.1 雙歸屬環形拓撲結構

圖7展示了城軌列車采用的典型實時以太網雙歸屬環形拓撲結構。

圖7 列車雙歸屬環形拓撲結構實例

由圖可知，該列車ECN網絡采用雙歸屬環形拓撲結構，ED與交換機之間采用星形連接方式。環網結構及雙歸屬方式可以有效規避單點故障引起的系統功能失效。

當網絡發生單點故障（即單個ECNN或線路故障）時，列車通信轉換為線性通信，網絡愈合時間通常小于50 ms，因此不影響網絡通信功能，如圖8、圖9所示。此外，ED均采用獨立雙網口通信，單一接口故障不會影響車輛的正常運行。

圖8 雙歸屬環形拓撲結構單個ECNN故障時網絡通信示意圖

圖9 雙歸屬環形拓撲結構單線路故障時網絡通信示意圖

2.2 線性雙鏈路聚合拓撲結構

圖10展示了另一種典型的城軌列車實時以太網拓撲結構——線性雙鏈路聚合拓撲結構。

圖10 列車線性雙鏈路聚合拓撲結構實例

該拓撲結構采用雙鏈路聚合方式，當某一條線路故障或數據量較大時，數據自動切換到另一條線路進行傳輸，因此單線故障不會影響網絡通信。此外，ED均采用獨立雙網口通信，單一接口故障不會影響車輛的正常運行。

鏈路聚合要求選取交換機的2個端口組成配對的鏈路聚合組；鏈路聚合組在正常情況下只通過一個端口進行數據轉發，而不會將數據轉發至與之配對的另一端口。該功能是通過處理器軟件配置交換芯片實現的，因此依賴于處理器軟件的正確執行以及交換芯片的正確配置。

ECNN的級聯接口設置了故障導通功能（bypass），當檢測到單個ECNN失電或故障時，將激活和導通ECNN級聯鏈路的前后向接口，隔離故障設備，保證骨干網通信不中斷，如圖11所示。

圖11 線性雙鏈路聚合拓撲結構單個ECNN故障時網絡通信示意圖

當單線路故障時，可通過鏈路聚合功能實現數據在另一條線路的自動傳輸，從而保證網絡的正常通信，如圖12所示。

圖12 線性雙鏈路聚合拓撲結構單線路故障時網絡通信示意圖

2.3 對比分析

綜上所述，2種實時以太網拓撲結構技術特點如表1所示。

表1 2種實時以太網拓撲結構的技術特點

由表可知，2種實時以太網拓撲結構均能滿足單點故障不影響列車運行的頂層設計目標。但線性雙鏈路聚合拓撲結構中采用了大量旁路中繼器，由于無法檢測這些旁路中繼器的運行狀態，存在寂靜故障（silent fault）風險；此外，組成器件的增多會增加成本，加大發生故障的風險，影響通信網絡的可靠性。因此，本文推薦采用雙歸屬環形拓撲結構，并建議取消旁路中繼功能在列車通信網絡（TCN）中的應用。

3 城軌列車實時以太網應用思考

本章將從多網融合與網絡信息安全2方面對實時以太網在城軌列車通信領域的應用進行探討。

3.1 多網融合

實時以太網由于具有高帶寬的特點，因此可以將列車的控制、診斷、監測、維護等信息以及PIS、視頻監控系統等的數據集成到一個通信網絡中，實現一網到底。

基于實時以太網的列車通信網絡可融合列車控制、信號、維護、PIS和走行部監測等系統網絡。其中，列車通信網絡的控制數據傳輸可采用符合IEC 61375-2-3-2015 Electronic railway equipment - Train communication network （TCN） - Part 2-3: TCN communication profile，以及IEC 61375-3-4-2014 Electronic railway equipment -Train communication network（TCN） - Part 3-4: Ethernet Consist Network （ECN）標準規定的列車實時數據協議（TRDP），以保障數據傳輸的安全性；與行車安全相關的牽引、制動、輔助、信號系統之間也采用安全的TRDP協議進行數據交互；PIS視頻流、走行部文件等數據的傳輸仍采用傳統的TCP/IP以太網協議。

在網絡融合的需求下，為保證列車控制數據傳輸的可靠性，防止其受到PIS系統的瞬時大流量數據沖擊以及網絡風暴的影響，可將整車以太網劃分為2個虛擬局域網（VLAN），即VLAN1和VLAN2，VLAN1用于傳輸列車控制數據，VLAN2用于傳輸服務網數據，以實現列車控制數據和服務網數據的分離。同一VLAN內的設備可正常通信，不同VLAN間的設備隔離廣播域；若因特殊情況需要某一設備進行跨VLAN通信，則該設備應同時加入2個VLAN中。

3.2 網絡信息安全

相比于傳統的MVB網絡，實時以太網由于協議公開，在提高兼容性的同時也增加了網絡安全隱患。隨著實時以太網列車控制技術的推進，網絡安全日益成為關注的焦點。針對列車網絡通信可能存在的安全隱患和風險點，應在設計時采取相應的技術措施和手段進行規避和防范，以保證列車通信的安全性。本節將針對車載內網可信域、車地之間隔離域、地面平臺安全域3個域中可能存在的風險和問題，提出設計和防范建議。

3.2.1 車載內網可信域

針對車載內網可信域中存在的風險，可采取以下措施。

（1）由于車載內網可信域將所有車輛內部電氣設備默認為安全可信，因此在進行相應的設計變更和軟件升級時，各供應商應按照正規流程進行管理，以確保網絡通信的安全性。

（2）針對車載內網中可能存在的網絡風暴問題，應根據車載交換機設備的業務重要程度、優先級、所需帶寬等因素對其進行VLAN劃分和端口限速（即“劃車道、定流速”），旨在隔離不相關業務。對于已發生的網絡風暴問題，應進行交換機流量記錄和日志分析，以排查和定位問題。

（3）針對車載和車地間設備的通信，應統一利用車載防火墻進行隔離，所有流入和流出數據必須經過防火墻的規則審查。車載防火墻應支持限定協議封包、媒體訪問控制（MAC）地址指定、因特網控制報文協議（ICMP）洪峰過濾等功能。

3.2.2 車地之間隔離域

針對車地之間隔離域中存在的風險，可采取以下措施。

（1）為解決網絡上信息的監聽問題，車地通信協議可采用協議封裝和解析點表的方式，使每個項目各自獨立。

（2）針對用戶身份的仿冒問題，可在車載端和地面端設置身份識別和設備注冊機制，只有設備身份合法且成功注冊后，其所發的消息才被認為合法且唯一。

（3）針對網絡上信息的篡改問題，可對傳輸的報文采用加密和校驗措施，仿造或篡改其中的某些字段。由于攻擊者不清楚加密和校驗方法，其生成的報文會被地面平臺識別為不合規，從而被直接丟棄。

（4）在信息的重復發送和確認方面，地面平臺只作為接收方，對符合正確規則的信息進行解析和前端推送等。重復發送和確認信息的前提條件是設備成功注冊并建立正常通信。在這種情況下，重復發送的信息由于與數據庫中已有的信息重復，因此不會入庫，也不會推送到前端。

（5）在4G/5G應用場景中，車載設備在聯網時應隨機向運營商基站服務池申請IP地址，以確保通信的安全性，因為地面通過IP地址反向找到車載設備的理論概率為0。

3.2.3 地面平臺安全域

針對地面平臺安全域中存在的風險，可采取以下措施。

（1）地面平臺為信息化機房，容易遭受分布式拒絕服務（DDos）攻擊、緩沖區溢出攻擊、Web應用攻擊、結構化查詢語言（SQL）注入、跨站腳本攻擊（XSS）等。應按照GB/T 22239-2019《信息安全技術網絡安全等級保護基本要求》中的相關安全等級要求（不低于二級）采取安全防護手段，如引入入侵防御系統（IPS）、數據庫審計設備和日志審計設備等，進行通信網絡安全防護。

（2）針對城市軌道交通運營場景，應配合車載、車地通信系統，為地面平臺建立設備身份認證、車地通信協議規則等機制，進一步保證通信安全。

4 結語

文章在剖析城軌列車實時以太網5種典型拓撲結構優缺點的基礎上，對目前普遍采用的雙歸屬環形拓撲和線性雙鏈路聚合拓撲2種結構進行對比分析，得出結論：雖然這2種拓撲結構均能實現單點故障不影響列車運行，但由于線性雙鏈路聚合拓撲結構中采用大量旁路中繼器，會增加故障風險，因此推薦采用雙歸屬環形拓撲結構。然后從多網融合與網絡信息安全2方面對實時以太網在城軌列車通信領域的應用提出思考，提出多網融合具體方案以及網絡安全防護措施，以期推進城軌列車實時以太網技術的發展。