魏 民

1 研究背景

鐵路調(diào)度指揮現(xiàn)代化既是鐵路運(yùn)輸管理現(xiàn)代化的重要標(biāo)志,也是鐵路運(yùn)輸信息化建設(shè)和應(yīng)用的重點(diǎn)。列車調(diào)度指揮系統(tǒng)(TDCS)和調(diào)度集中系統(tǒng)(CTC)是實(shí)現(xiàn)鐵路各級運(yùn)輸調(diào)度對列車運(yùn)行實(shí)行統(tǒng)一調(diào)度、實(shí)時(shí)調(diào)整、集中控制、覆蓋全路的現(xiàn)代化鐵路運(yùn)輸調(diào)度指揮和控制系統(tǒng)。經(jīng)過十多年的建設(shè),已建成了覆蓋鐵道部、鐵路局和鐵路車站的現(xiàn)代化鐵路調(diào)度指揮網(wǎng),實(shí)現(xiàn)了全國鐵路調(diào)度指揮自動(dòng)化,在提高運(yùn)輸效率和保證行車安全方面發(fā)揮了重大作用,已經(jīng)成為鐵路運(yùn)輸調(diào)度指揮的基礎(chǔ)裝備。

隨著 TDCS和 CTC系統(tǒng)投入運(yùn)用,每個(gè)列車調(diào)度員管轄范圍由傳統(tǒng)的 100 km增大到 260 km,最高達(dá)到上千公里,已經(jīng)成為中國鐵路運(yùn)輸不可缺少的調(diào)度指揮工具。隨著開行列車密度的不斷加大,調(diào)度員的管瞎范圍也不斷擴(kuò)大,列車調(diào)度員對列車調(diào)度指揮系統(tǒng)的依賴程度也就越來越大,如何應(yīng)對各種災(zāi)難對 TDCS/CTC系統(tǒng)的打擊,顯得更加迫切。

災(zāi)難對計(jì)算機(jī)系統(tǒng)而言,就是導(dǎo)致系統(tǒng)運(yùn)行嚴(yán)重故障、癱瘓、信息系統(tǒng)支持的業(yè)務(wù)功能停頓或服務(wù)水平不可接受的事件。信息系統(tǒng)面臨的威脅可能來自于自然,如地震、洪水、龍卷風(fēng)和火災(zāi)等;也可能來自于人類自身,如操作失誤、病毒、黑客入侵、恐怖襲擊等。這些威脅一旦使關(guān)鍵信息系統(tǒng)發(fā)生故障或遭受災(zāi)難性打擊,后果將不堪設(shè)想。因此,要使信息化能夠發(fā)揮更加重要的作用,信息系統(tǒng)的災(zāi)備建設(shè)應(yīng)成為當(dāng)務(wù)之急。

目前列車調(diào)度指揮系統(tǒng)的備份主要是采用雙機(jī)熱備、存儲(chǔ)冗余、動(dòng)態(tài)切換等技術(shù),基本能夠抵御系統(tǒng)一般性故障帶來的影響。但如果發(fā)生自然災(zāi)害,如水災(zāi)、火災(zāi)、雷擊、地震或其他災(zāi)害等突發(fā)事件,導(dǎo)致鐵道部、鐵路局調(diào)度指揮中心不能正常指揮行車時(shí),對鐵路運(yùn)輸造成的損失和影響將不可估量。因此,研究 TDCS/CTC系統(tǒng)災(zāi)難備份建設(shè)方案非常必要。

2 災(zāi)備系統(tǒng)建設(shè)目標(biāo)和建設(shè)原則

2.1 建設(shè)目標(biāo)

在充分借鑒銀行、海關(guān)等災(zāi)備系統(tǒng)建設(shè)理念和成功經(jīng)驗(yàn)的基礎(chǔ)上,結(jié)合鐵路信息系統(tǒng)災(zāi)難備份建設(shè)方案,建設(shè)符合鐵路調(diào)度指揮業(yè)務(wù)需求的 TDCS/CTC災(zāi)備系統(tǒng)具體目標(biāo)如下。

1.符合 《信息安全技術(shù)——信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范》的要求,滿足恢復(fù)時(shí)間目標(biāo) RTO≤2 h、恢復(fù)點(diǎn)目標(biāo)RPO≤30 min,達(dá)到 《信息安全技術(shù)—信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范》第 5級—實(shí)時(shí)數(shù)據(jù)傳輸及完整設(shè)備支持等級。

2.將災(zāi)備中心系統(tǒng)切換至正常運(yùn)營的時(shí)間控制在 2 h內(nèi),為災(zāi)備中心接管生產(chǎn)中心的調(diào)度指揮業(yè)務(wù)提供保障。

3.具備調(diào)度指揮中心關(guān)鍵業(yè)務(wù)功能,實(shí)現(xiàn)列車運(yùn)行監(jiān)視、列車運(yùn)行計(jì)劃調(diào)整、列調(diào)運(yùn)行控制、調(diào)度命令管理等指揮列車運(yùn)行的關(guān)鍵業(yè)務(wù);滿足統(tǒng)一規(guī)劃、分步實(shí)施及生產(chǎn)力布局調(diào)整的需要,靈活地進(jìn)行變更和擴(kuò)展,保持與既有 TDCS/CTC中心一致。

4.采用與既有調(diào)度指揮中心統(tǒng)一技術(shù)平臺(tái),構(gòu)成一個(gè)完整的系統(tǒng),在界面、功能、數(shù)據(jù)、系統(tǒng)軟件和系統(tǒng)硬件等各個(gè)層次上高度統(tǒng)一與協(xié)調(diào)。

5.災(zāi)備中心系統(tǒng)內(nèi)部各子系統(tǒng)之間必須做到完全匹配、有效集成、嚴(yán)密對接,具有極高的穩(wěn)定性和可靠性。災(zāi)備中心的建設(shè)應(yīng)實(shí)現(xiàn)技術(shù)先進(jìn)、結(jié)構(gòu)合理、功能完善、管理科學(xué)、經(jīng)濟(jì)適用、安全可靠,具有可擴(kuò)充性和可持續(xù)發(fā)展能力。

2.2 建設(shè)原則

1.業(yè)務(wù)連續(xù)性原則。災(zāi)備中心啟用接管某個(gè)調(diào)度指揮中心工作時(shí),應(yīng)充分考慮接管前業(yè)務(wù)運(yùn)營的實(shí)際情況,保持業(yè)務(wù)連續(xù)性。

2.一致性原則。災(zāi)備中心在界面、功能、數(shù)據(jù)、系統(tǒng)軟件和系統(tǒng)硬件等方面,應(yīng)嚴(yán)格按照TDCS/CTC相關(guān)規(guī)范標(biāo)準(zhǔn)建設(shè),與既有調(diào)度中心一致,利于調(diào)度員接管調(diào)度指揮工作。

3.先進(jìn)性原則。利用先進(jìn)的企業(yè)級集成開發(fā)工具和服務(wù)器構(gòu)建軟件系統(tǒng),使其完全符合調(diào)度指揮工作業(yè)務(wù)規(guī)范;提供高效的、便捷的接管服務(wù),實(shí)現(xiàn)與其他系統(tǒng)間的信息共享。以先進(jìn)的災(zāi)難備份技術(shù)、軟件工程方法和面向?qū)ο蠹夹g(shù),指導(dǎo)災(zāi)備系統(tǒng)的設(shè)計(jì)、研發(fā)及部署,確保 TDCS/CTC容災(zāi)系統(tǒng)具備系統(tǒng)級容災(zāi)的能力。

4.實(shí)時(shí)性原則。采用分布式計(jì)算的編程模型,設(shè)計(jì)應(yīng)用層通信軟件,通過對等模式進(jìn)行數(shù)據(jù)通信,使數(shù)據(jù)處理能夠在局域網(wǎng)內(nèi)任何節(jié)點(diǎn)進(jìn)行均衡負(fù)載,進(jìn)而提高整個(gè)系統(tǒng)的實(shí)時(shí)性。通過設(shè)計(jì)高速千兆光纖局域網(wǎng),滿足各調(diào)度臺(tái)到服務(wù)器信息快速交換和處理的要求。

災(zāi)備中心系統(tǒng)啟用的時(shí)間應(yīng)控制在 2 h,確保某個(gè)調(diào)度中心出現(xiàn)異常情況時(shí),滿足災(zāi)備中心RTO和 RPO要求。系統(tǒng)從車站采集信息傳遞到災(zāi)備中心應(yīng)具有實(shí)時(shí)性。信息從車站至災(zāi)備中心的時(shí)間應(yīng)在 20 s內(nèi),保證用戶信息查詢的快速響應(yīng)時(shí)間應(yīng)在 10 s以內(nèi)。

5.可用性。系統(tǒng)應(yīng)提供可靠的數(shù)據(jù)后備和恢復(fù)手段,提供系統(tǒng)故障恢復(fù)功能,保證系統(tǒng) 7×24 h不間斷運(yùn)行能力。當(dāng)生產(chǎn)中心失效時(shí),盡快由災(zāi)備中心接管,確保調(diào)度指揮的持續(xù)可靠。

6.可靠性原則。硬件采用高端集群服務(wù)器、存儲(chǔ)服務(wù)器;網(wǎng)絡(luò)采用先進(jìn)的高速網(wǎng)絡(luò)設(shè)備,保證雙套冗余熱備的千兆網(wǎng)絡(luò)直達(dá)每個(gè)用戶終端;使用安全穩(wěn)定的 UNIX/LINUX操作系統(tǒng),以 Oracle數(shù)據(jù)庫構(gòu)建信息管理體系,保證整個(gè)系統(tǒng)的設(shè)計(jì)安全可靠。

7.可擴(kuò)展性原則。系統(tǒng)在設(shè)計(jì)時(shí)需充分考慮升級擴(kuò)容的需要,在硬件結(jié)構(gòu)方面預(yù)留擴(kuò)展接口,在軟件設(shè)計(jì)與系統(tǒng)功能方面,均應(yīng)強(qiáng)化可擴(kuò)展性。

8.互操作性原則。系統(tǒng)設(shè)計(jì)要考慮與其他信息系統(tǒng)的信息共享,在不同系統(tǒng)間要提供相互訪問的能力,能方便地進(jìn)行數(shù)據(jù)傳輸和交換。

調(diào)度指揮容災(zāi)系統(tǒng)的建設(shè)應(yīng)堅(jiān)持路網(wǎng)完整性和統(tǒng)一指揮,確保鐵道部、各鐵路局調(diào)度指揮的有機(jī)協(xié)調(diào)。設(shè)計(jì)上堅(jiān)持統(tǒng)一領(lǐng)導(dǎo)、統(tǒng)一規(guī)劃、統(tǒng)一標(biāo)準(zhǔn)、統(tǒng)一管理,實(shí)施上堅(jiān)持統(tǒng)籌規(guī)劃建設(shè)進(jìn)程分步建設(shè)。

調(diào)度指揮災(zāi)備系統(tǒng)與既有各調(diào)度指揮中心的技術(shù)體系,應(yīng)以統(tǒng)一的軟件平臺(tái)、統(tǒng)一的安全平臺(tái)、統(tǒng)一的業(yè)務(wù)平臺(tái)、統(tǒng)一的管理平臺(tái)和統(tǒng)一的數(shù)據(jù)存儲(chǔ)為特征,對外提供標(biāo)準(zhǔn)的信息接口,構(gòu)建全路一體化的調(diào)度指揮災(zāi)難備份系統(tǒng),實(shí)現(xiàn)系統(tǒng)資源的優(yōu)化運(yùn)用和系統(tǒng)規(guī)模的靈活調(diào)整。

3 災(zāi)備系統(tǒng)建設(shè)方案

3.1 系統(tǒng)現(xiàn)狀

目前,已建成鐵道部TDCS中心、18個(gè)鐵路局TDCS/CTC中心和 6039個(gè)車站基層網(wǎng),鐵道部TDCS中心已經(jīng)實(shí)現(xiàn)實(shí)時(shí)接入全路 18個(gè)鐵路局和6039個(gè)車站的 TDCS/CTC信息,實(shí)現(xiàn)了鐵路各級運(yùn)輸調(diào)度對列車運(yùn)行的透明指揮、實(shí)時(shí)調(diào)整和集中控制。

3.2 建設(shè)策略

對 TDCS/CTC系統(tǒng)在設(shè)計(jì)、建設(shè)之初,考慮到業(yè)務(wù)處理流程受到嚴(yán)重破壞而不能支持業(yè)務(wù)連續(xù)運(yùn)行的問題,采用硬件冗余技術(shù) (單機(jī)容錯(cuò)技術(shù)、雙機(jī)熱備技術(shù) 、磁盤冗余、網(wǎng)絡(luò)設(shè)備冗余、電源冗余)和靜態(tài)數(shù)據(jù)備份等方式,確保故障發(fā)生后業(yè)務(wù)立即恢復(fù)。目前 TDCS/CTC系統(tǒng)能夠通過有效冗余和故障切換恢復(fù)來實(shí)現(xiàn)災(zāi)備,具備本地系統(tǒng)災(zāi)備能力。2008年 3月,在國家信息系統(tǒng)安全等級保護(hù)定級工作中,TDCS/CTC評定為信息系統(tǒng)安全等級保護(hù) 4級,具體要求為 “應(yīng)建立異地災(zāi)難備份中心,配備系統(tǒng)災(zāi)難恢復(fù)所需的通信線路、網(wǎng)絡(luò)設(shè)備和數(shù)據(jù)處理設(shè)備”。

3.3 建設(shè)方案

為保證 TDCS/CTC系統(tǒng)日常調(diào)度業(yè)務(wù)的連續(xù)運(yùn)行,滿足信息系統(tǒng)等級保護(hù) 4級要求,保證盡量減少數(shù)據(jù)的丟失,將危險(xiǎn)與災(zāi)難的損失降到最低程度,需要建立 TDCS/CTC災(zāi)備系統(tǒng)。

鐵道部和 18個(gè)鐵路局災(zāi)備方案采用同城災(zāi)備方式,距離各生產(chǎn)中心 30 km外建設(shè)災(zāi)備中心。一旦某生產(chǎn)中心癱瘓,災(zāi)備中心可接管其調(diào)度指揮職能,繼續(xù)為其所轄路局提供列車調(diào)度指揮服務(wù)。另外,鐵道部中心在具備同城災(zāi)備的同時(shí),建立遠(yuǎn)程異地災(zāi)備中心,可將上海鐵路局同城災(zāi)備中心作為鐵道部的遠(yuǎn)程異地災(zāi)備中心,當(dāng)鐵道部生產(chǎn)中心和同城災(zāi)備中心異常時(shí),由該遠(yuǎn)程異地災(zāi)備中心接管其調(diào)度指揮的職能。

鐵道部和各鐵路局設(shè)置保護(hù)鏈路通道,環(huán)回災(zāi)備中心,保證在 TDCS/CTC生產(chǎn)中心失效的情況下,由災(zāi)備中心接管其調(diào)度指揮業(yè)務(wù)。災(zāi)備中心設(shè)備按滿足接管部及各鐵路局 TDCS/CTC中心業(yè)務(wù)要求配置。

鐵道部和鐵路局 TDCS/CTC中心的災(zāi)備結(jié)構(gòu)如圖 1,如圖 2所示。

3.4 主要技術(shù)

1.網(wǎng)絡(luò)連接。各 TDCS/CTC生產(chǎn)中心與災(zāi)備中心之間采用 2條 2 Mb/s獨(dú)立通道連接。

2.數(shù)據(jù)傳輸。TDCS/CTC生產(chǎn)中心與災(zāi)備中心之間通過 2條獨(dú)立的 2 Mb/s通道傳輸數(shù)據(jù);當(dāng)啟用 TDCS/CTC災(zāi)備中心后,TDCS/CTC災(zāi)備中心通過被其接管的運(yùn)營中心原有通道,與其接管范圍內(nèi)的基層車站或鐵路局傳輸數(shù)據(jù)。

3.數(shù)據(jù)同步。為保證災(zāi)備中心在 TDCS/CTC生產(chǎn)中心意外或?yàn)?zāi)難時(shí),能夠接管生產(chǎn)中心的調(diào)度指揮職能,生產(chǎn)中心與災(zāi)備中心將采用異地?cái)?shù)據(jù)備份的方法保護(hù)數(shù)據(jù)資產(chǎn)。生產(chǎn)中心通過獨(dú)立通道實(shí)時(shí)將各種計(jì)劃數(shù)據(jù)、實(shí)際運(yùn)行數(shù)據(jù)、各種關(guān)鍵操作信息和設(shè)備運(yùn)行狀態(tài)信息傳輸至災(zāi)備中心,實(shí)現(xiàn)中心間數(shù)據(jù)同步,最小的數(shù)據(jù)丟失,以保證接管后能夠迅速接管調(diào)度指揮職能。災(zāi)備中心與生產(chǎn)中心數(shù)據(jù)同步原理圖如圖 3所示。

圖3 災(zāi)備中心與生產(chǎn)中心數(shù)據(jù)同步原理圖

生產(chǎn)中心 TDCS/CTC系統(tǒng)恢復(fù)正常后,災(zāi)備中心將數(shù)據(jù)傳輸至生產(chǎn)中心,直至生產(chǎn)中心接管調(diào)度指揮職能。

4.應(yīng)用一致性。災(zāi)備中心各應(yīng)用軟件模塊與生產(chǎn)中心相應(yīng)的應(yīng)用軟件模塊需一致,以確保系統(tǒng)輸入輸出完全一致,為此應(yīng)考慮對應(yīng)用系統(tǒng)模塊進(jìn)行 “災(zāi)備化”設(shè)計(jì)。另外,TDCS/CTC系統(tǒng)必須采用全路統(tǒng)一的標(biāo)準(zhǔn)協(xié)議,確保災(zāi)備中心能夠直接控制和指揮列車運(yùn)行。

5.系統(tǒng)切換技術(shù),包括通信網(wǎng)絡(luò)集中切換和系統(tǒng)切換技術(shù) 2方面。系統(tǒng)切換應(yīng)充分考慮災(zāi)害發(fā)生時(shí)的切換、災(zāi)害結(jié)束后的數(shù)據(jù)反向同步和生產(chǎn)中心系統(tǒng)恢復(fù)正常后的切換技術(shù)。

4 建議

建議鐵路有關(guān)部門盡快確定鐵路 TDCS/CTC系統(tǒng)的災(zāi)備方案,并加快建設(shè) TDCS/CTC系統(tǒng)的災(zāi)備系統(tǒng),才能有效預(yù)防各種災(zāi)難對 TDCS/CTC系統(tǒng)的打擊。

[1] GB/T20988-2007.信息安全技術(shù)-信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范,2007.

(責(zé)任編輯:溫志紅)