丁 超

（成都地鐵運(yùn)營有限公司，四川成都 610051）

近年來，實(shí)時(shí)以太網(wǎng)技術(shù)日益成熟。與傳統(tǒng)的城市軌道交通（以下簡(jiǎn)稱“城軌”）列車通信網(wǎng)絡(luò)（如多功能車輛總線（MVB）、絞線式列車總線（WTB）、附加資源計(jì)算機(jī)網(wǎng)絡(luò)（ARCNET）、局部操作網(wǎng)絡(luò)（LonWorks）等）相比，實(shí)時(shí)以太網(wǎng)具有更高的數(shù)據(jù)傳輸速率和帶寬，可克服上述傳統(tǒng)網(wǎng)絡(luò)帶寬低、無法滿足大量數(shù)據(jù)傳輸需求的缺陷，集成列車的控制、診斷、監(jiān)測(cè)、維護(hù)等信息以及乘客信息系統(tǒng)（PIS）、視頻監(jiān)控系統(tǒng)等的數(shù)據(jù)，使信息大容量傳輸、智能診斷、故障精確定位、專家診斷等功能成為可能，因此被越來越多地應(yīng)用到城軌列車通信領(lǐng)域。

1 城軌列車實(shí)時(shí)以太網(wǎng)拓?fù)浣Y(jié)構(gòu)

城軌列車實(shí)時(shí)以太網(wǎng)包括列車級(jí)網(wǎng)絡(luò)、車輛級(jí)網(wǎng)絡(luò)和終端設(shè)備（ED），其拓?fù)浞謱咏Y(jié)構(gòu)如圖1所示。其中，列車級(jí)網(wǎng)絡(luò)，即以太列車骨干網(wǎng)絡(luò)（ETB）為線性網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，ETB交換機(jī)（ETBN）之間為線性連接；車輛級(jí)網(wǎng)絡(luò)，即以太網(wǎng)編組網(wǎng)（ECN）的拓?fù)浞秶c列車牽引單元范圍一致；ED以星形連接的方式下掛在ECN交換機(jī)（ECNN）上，ED之間遵循通信協(xié)議完成通信控制任務(wù)。ECN單元內(nèi)，數(shù)據(jù)通信參數(shù)和協(xié)議保持統(tǒng)一，便于各類控制邏輯的編制，并且通信時(shí)延、通信帶寬等傳輸性能也一致。

圖1 城軌列車實(shí)時(shí)以太網(wǎng)拓?fù)浞謱咏Y(jié)構(gòu)

ECN有多種拓?fù)浣Y(jié)構(gòu)，根據(jù)IEC 61375-3-4-2014 Electronic railway equipment - Train communication network （TCN） - Part 3-4: Ethernet Consist Network（ECN）標(biāo)準(zhǔn)，其典型拓?fù)浣Y(jié)構(gòu)有以下5種。

（1）線性拓?fù)浣Y(jié)構(gòu)，如圖2所示。該拓?fù)浣Y(jié)構(gòu)的優(yōu)點(diǎn)是：布線施工便捷，電氣圖設(shè)計(jì)簡(jiǎn)單，線纜長度短且在不同位置差異小，故障易排查；缺點(diǎn)是：若出現(xiàn)單點(diǎn)故障，會(huì)影響整個(gè)網(wǎng)絡(luò)的數(shù)據(jù)傳輸。

（2）雙歸屬線性拓?fù)浣Y(jié)構(gòu)，如圖3所示。該拓?fù)浣Y(jié)構(gòu)的優(yōu)點(diǎn)是：交換機(jī)之間存在2條獨(dú)立且互為冗余的物理通信鏈路，若一路發(fā)生故障，則另一路仍可傳輸數(shù)據(jù)，不會(huì)造成通信中斷；缺點(diǎn)是：若2條獨(dú)立鏈路同時(shí)發(fā)生故障，則將導(dǎo)致數(shù)據(jù)丟失。

圖3 雙歸屬線性拓?fù)浣Y(jié)構(gòu)

（3）環(huán)形拓?fù)浣Y(jié)構(gòu)，如圖4所示。該拓?fù)浣Y(jié)構(gòu)的優(yōu)點(diǎn)是：?jiǎn)挝锢礞溌饭收蠒r(shí)，可自動(dòng)切換傳輸路徑，從而增強(qiáng)數(shù)據(jù)傳輸?shù)目煽啃浴Ｈ秉c(diǎn)是：若網(wǎng)絡(luò)中存在2個(gè)及以上的故障節(jié)點(diǎn)或線路故障點(diǎn)，環(huán)形網(wǎng)絡(luò)（以下簡(jiǎn)稱“環(huán)網(wǎng)”）的自愈性則不復(fù)存在；若網(wǎng)絡(luò)中出現(xiàn)線路虛接，則可能出現(xiàn)環(huán)網(wǎng)頻繁組網(wǎng)的情況，導(dǎo)致數(shù)據(jù)丟失。

圖4 環(huán)形拓?fù)浣Y(jié)構(gòu)

（4）雙歸屬環(huán)形拓?fù)浣Y(jié)構(gòu)，如圖5所示。該拓?fù)浣Y(jié)構(gòu)的優(yōu)點(diǎn)是：除具備環(huán)網(wǎng)的全部?jī)?yōu)點(diǎn)外，因ED與交換機(jī)間為雙歸屬連接，還提升了ED間通信的可靠性。缺點(diǎn)是：①依賴于環(huán)網(wǎng)協(xié)議的正常工作；②由于環(huán)網(wǎng)節(jié)點(diǎn)增多，提高了交換機(jī)之間發(fā)生故障的概率，增加了出現(xiàn)故障節(jié)點(diǎn)或線路故障點(diǎn)的風(fēng)險(xiǎn)；③網(wǎng)絡(luò)中出現(xiàn)線路虛接的概率增加，可能導(dǎo)致數(shù)據(jù)丟失。

圖5 雙歸屬環(huán)形拓?fù)浣Y(jié)構(gòu)

（5）雙歸屬梯形拓?fù)浣Y(jié)構(gòu)，如圖6所示。該拓?fù)浣Y(jié)構(gòu)的優(yōu)點(diǎn)是：形成梯形網(wǎng)絡(luò)結(jié)構(gòu)，進(jìn)一步增強(qiáng)了網(wǎng)絡(luò)整體的連通性，任一通路的故障均不影響ED間的通信；缺點(diǎn)是：若網(wǎng)絡(luò)中出現(xiàn)線路虛接的情況，可能導(dǎo)致拓?fù)漕l繁切換，而且梯形拓?fù)浣Y(jié)構(gòu)的軟件復(fù)雜，布線繁多。

圖6 雙歸屬梯形拓?fù)浣Y(jié)構(gòu)

2 2 種拓?fù)浣Y(jié)構(gòu)分析及對(duì)比

根據(jù)城軌列車的實(shí)際應(yīng)用場(chǎng)景（既要求列車通信網(wǎng)絡(luò)有一定冗余性，以保證通信的穩(wěn)定性和可靠性，又要兼顧車輛實(shí)際布線的可行性），綜合考慮上述5種拓?fù)浣Y(jié)構(gòu)的優(yōu)缺點(diǎn)，目前城軌列車實(shí)時(shí)以太網(wǎng)普遍采用以下2種典型拓?fù)浣Y(jié)構(gòu)，即雙歸屬環(huán)形拓?fù)浣Y(jié)構(gòu)，以及由雙歸屬線性拓?fù)溲莼鴣淼摹⒕邆滏溌肪酆瞎δ艿木€性雙鏈路聚合拓?fù)浣Y(jié)構(gòu)。下面將對(duì)這2 種拓?fù)浣Y(jié)構(gòu)進(jìn)行分析和比較。

2.1 雙歸屬環(huán)形拓?fù)浣Y(jié)構(gòu)

圖7展示了城軌列車采用的典型實(shí)時(shí)以太網(wǎng)雙歸屬環(huán)形拓?fù)浣Y(jié)構(gòu)。

圖7 列車雙歸屬環(huán)形拓?fù)浣Y(jié)構(gòu)實(shí)例

由圖可知，該列車ECN網(wǎng)絡(luò)采用雙歸屬環(huán)形拓?fù)浣Y(jié)構(gòu)，ED與交換機(jī)之間采用星形連接方式。環(huán)網(wǎng)結(jié)構(gòu)及雙歸屬方式可以有效規(guī)避單點(diǎn)故障引起的系統(tǒng)功能失效。

當(dāng)網(wǎng)絡(luò)發(fā)生單點(diǎn)故障（即單個(gè)ECNN或線路故障）時(shí)，列車通信轉(zhuǎn)換為線性通信，網(wǎng)絡(luò)愈合時(shí)間通常小于50 ms，因此不影響網(wǎng)絡(luò)通信功能，如圖8、圖9所示。此外，ED均采用獨(dú)立雙網(wǎng)口通信，單一接口故障不會(huì)影響車輛的正常運(yùn)行。

圖8 雙歸屬環(huán)形拓?fù)浣Y(jié)構(gòu)單個(gè)ECNN故障時(shí)網(wǎng)絡(luò)通信示意圖

圖9 雙歸屬環(huán)形拓?fù)浣Y(jié)構(gòu)單線路故障時(shí)網(wǎng)絡(luò)通信示意圖

2.2 線性雙鏈路聚合拓?fù)浣Y(jié)構(gòu)

圖10展示了另一種典型的城軌列車實(shí)時(shí)以太網(wǎng)拓?fù)浣Y(jié)構(gòu)——線性雙鏈路聚合拓?fù)浣Y(jié)構(gòu)。

圖10 列車線性雙鏈路聚合拓?fù)浣Y(jié)構(gòu)實(shí)例

該拓?fù)浣Y(jié)構(gòu)采用雙鏈路聚合方式，當(dāng)某一條線路故障或數(shù)據(jù)量較大時(shí)，數(shù)據(jù)自動(dòng)切換到另一條線路進(jìn)行傳輸，因此單線故障不會(huì)影響網(wǎng)絡(luò)通信。此外，ED均采用獨(dú)立雙網(wǎng)口通信，單一接口故障不會(huì)影響車輛的正常運(yùn)行。

鏈路聚合要求選取交換機(jī)的2個(gè)端口組成配對(duì)的鏈路聚合組；鏈路聚合組在正常情況下只通過一個(gè)端口進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)，而不會(huì)將數(shù)據(jù)轉(zhuǎn)發(fā)至與之配對(duì)的另一端口。該功能是通過處理器軟件配置交換芯片實(shí)現(xiàn)的，因此依賴于處理器軟件的正確執(zhí)行以及交換芯片的正確配置。

ECNN的級(jí)聯(lián)接口設(shè)置了故障導(dǎo)通功能（bypass），當(dāng)檢測(cè)到單個(gè)ECNN失電或故障時(shí)，將激活和導(dǎo)通ECNN級(jí)聯(lián)鏈路的前后向接口，隔離故障設(shè)備，保證骨干網(wǎng)通信不中斷，如圖11所示。

圖11 線性雙鏈路聚合拓?fù)浣Y(jié)構(gòu)單個(gè)ECNN故障時(shí)網(wǎng)絡(luò)通信示意圖

當(dāng)單線路故障時(shí)，可通過鏈路聚合功能實(shí)現(xiàn)數(shù)據(jù)在另一條線路的自動(dòng)傳輸，從而保證網(wǎng)絡(luò)的正常通信，如圖12所示。

圖12 線性雙鏈路聚合拓?fù)浣Y(jié)構(gòu)單線路故障時(shí)網(wǎng)絡(luò)通信示意圖

2.3 對(duì)比分析

綜上所述，2種實(shí)時(shí)以太網(wǎng)拓?fù)浣Y(jié)構(gòu)技術(shù)特點(diǎn)如表1所示。

表1 2種實(shí)時(shí)以太網(wǎng)拓?fù)浣Y(jié)構(gòu)的技術(shù)特點(diǎn)

由表可知，2種實(shí)時(shí)以太網(wǎng)拓?fù)浣Y(jié)構(gòu)均能滿足單點(diǎn)故障不影響列車運(yùn)行的頂層設(shè)計(jì)目標(biāo)。但線性雙鏈路聚合拓?fù)浣Y(jié)構(gòu)中采用了大量旁路中繼器，由于無法檢測(cè)這些旁路中繼器的運(yùn)行狀態(tài)，存在寂靜故障（silent fault）風(fēng)險(xiǎn)；此外，組成器件的增多會(huì)增加成本，加大發(fā)生故障的風(fēng)險(xiǎn)，影響通信網(wǎng)絡(luò)的可靠性。因此，本文推薦采用雙歸屬環(huán)形拓?fù)浣Y(jié)構(gòu)，并建議取消旁路中繼功能在列車通信網(wǎng)絡(luò)（TCN）中的應(yīng)用。

3 城軌列車實(shí)時(shí)以太網(wǎng)應(yīng)用思考

本章將從多網(wǎng)融合與網(wǎng)絡(luò)信息安全2方面對(duì)實(shí)時(shí)以太網(wǎng)在城軌列車通信領(lǐng)域的應(yīng)用進(jìn)行探討。

3.1 多網(wǎng)融合

實(shí)時(shí)以太網(wǎng)由于具有高帶寬的特點(diǎn)，因此可以將列車的控制、診斷、監(jiān)測(cè)、維護(hù)等信息以及PIS、視頻監(jiān)控系統(tǒng)等的數(shù)據(jù)集成到一個(gè)通信網(wǎng)絡(luò)中，實(shí)現(xiàn)一網(wǎng)到底。

基于實(shí)時(shí)以太網(wǎng)的列車通信網(wǎng)絡(luò)可融合列車控制、信號(hào)、維護(hù)、PIS和走行部監(jiān)測(cè)等系統(tǒng)網(wǎng)絡(luò)。其中，列車通信網(wǎng)絡(luò)的控制數(shù)據(jù)傳輸可采用符合IEC 61375-2-3-2015 Electronic railway equipment - Train communication network （TCN） - Part 2-3: TCN communication profile，以及IEC 61375-3-4-2014 Electronic railway equipment -Train communication network（TCN） - Part 3-4: Ethernet Consist Network （ECN）標(biāo)準(zhǔn)規(guī)定的列車實(shí)時(shí)數(shù)據(jù)協(xié)議（TRDP），以保障數(shù)據(jù)傳輸?shù)陌踩?；與行車安全相關(guān)的牽引、制動(dòng)、輔助、信號(hào)系統(tǒng)之間也采用安全的TRDP協(xié)議進(jìn)行數(shù)據(jù)交互；PIS視頻流、走行部文件等數(shù)據(jù)的傳輸仍采用傳統(tǒng)的TCP/IP以太網(wǎng)協(xié)議。

在網(wǎng)絡(luò)融合的需求下，為保證列車控制數(shù)據(jù)傳輸?shù)目煽啃?，防止其受到PIS系統(tǒng)的瞬時(shí)大流量數(shù)據(jù)沖擊以及網(wǎng)絡(luò)風(fēng)暴的影響，可將整車以太網(wǎng)劃分為2個(gè)虛擬局域網(wǎng)（VLAN），即VLAN1和VLAN2，VLAN1用于傳輸列車控制數(shù)據(jù)，VLAN2用于傳輸服務(wù)網(wǎng)數(shù)據(jù)，以實(shí)現(xiàn)列車控制數(shù)據(jù)和服務(wù)網(wǎng)數(shù)據(jù)的分離。同一VLAN內(nèi)的設(shè)備可正常通信，不同VLAN間的設(shè)備隔離廣播域；若因特殊情況需要某一設(shè)備進(jìn)行跨VLAN通信，則該設(shè)備應(yīng)同時(shí)加入2個(gè)VLAN中。

3.2 網(wǎng)絡(luò)信息安全

相比于傳統(tǒng)的MVB網(wǎng)絡(luò)，實(shí)時(shí)以太網(wǎng)由于協(xié)議公開，在提高兼容性的同時(shí)也增加了網(wǎng)絡(luò)安全隱患。隨著實(shí)時(shí)以太網(wǎng)列車控制技術(shù)的推進(jìn)，網(wǎng)絡(luò)安全日益成為關(guān)注的焦點(diǎn)。針對(duì)列車網(wǎng)絡(luò)通信可能存在的安全隱患和風(fēng)險(xiǎn)點(diǎn)，應(yīng)在設(shè)計(jì)時(shí)采取相應(yīng)的技術(shù)措施和手段進(jìn)行規(guī)避和防范，以保證列車通信的安全性。本節(jié)將針對(duì)車載內(nèi)網(wǎng)可信域、車地之間隔離域、地面平臺(tái)安全域3個(gè)域中可能存在的風(fēng)險(xiǎn)和問題，提出設(shè)計(jì)和防范建議。

3.2.1 車載內(nèi)網(wǎng)可信域

針對(duì)車載內(nèi)網(wǎng)可信域中存在的風(fēng)險(xiǎn)，可采取以下措施。

（1）由于車載內(nèi)網(wǎng)可信域?qū)⑺熊囕v內(nèi)部電氣設(shè)備默認(rèn)為安全可信，因此在進(jìn)行相應(yīng)的設(shè)計(jì)變更和軟件升級(jí)時(shí)，各供應(yīng)商應(yīng)按照正規(guī)流程進(jìn)行管理，以確保網(wǎng)絡(luò)通信的安全性。

（2）針對(duì)車載內(nèi)網(wǎng)中可能存在的網(wǎng)絡(luò)風(fēng)暴問題，應(yīng)根據(jù)車載交換機(jī)設(shè)備的業(yè)務(wù)重要程度、優(yōu)先級(jí)、所需帶寬等因素對(duì)其進(jìn)行VLAN劃分和端口限速（即“劃車道、定流速”），旨在隔離不相關(guān)業(yè)務(wù)。對(duì)于已發(fā)生的網(wǎng)絡(luò)風(fēng)暴問題，應(yīng)進(jìn)行交換機(jī)流量記錄和日志分析，以排查和定位問題。

（3）針對(duì)車載和車地間設(shè)備的通信，應(yīng)統(tǒng)一利用車載防火墻進(jìn)行隔離，所有流入和流出數(shù)據(jù)必須經(jīng)過防火墻的規(guī)則審查。車載防火墻應(yīng)支持限定協(xié)議封包、媒體訪問控制（MAC）地址指定、因特網(wǎng)控制報(bào)文協(xié)議（ICMP）洪峰過濾等功能。

3.2.2 車地之間隔離域

針對(duì)車地之間隔離域中存在的風(fēng)險(xiǎn)，可采取以下措施。

（1）為解決網(wǎng)絡(luò)上信息的監(jiān)聽問題，車地通信協(xié)議可采用協(xié)議封裝和解析點(diǎn)表的方式，使每個(gè)項(xiàng)目各自獨(dú)立。

（2）針對(duì)用戶身份的仿冒問題，可在車載端和地面端設(shè)置身份識(shí)別和設(shè)備注冊(cè)機(jī)制，只有設(shè)備身份合法且成功注冊(cè)后，其所發(fā)的消息才被認(rèn)為合法且唯一。

（3）針對(duì)網(wǎng)絡(luò)上信息的篡改問題，可對(duì)傳輸?shù)膱?bào)文采用加密和校驗(yàn)措施，仿造或篡改其中的某些字段。由于攻擊者不清楚加密和校驗(yàn)方法，其生成的報(bào)文會(huì)被地面平臺(tái)識(shí)別為不合規(guī)，從而被直接丟棄。

（4）在信息的重復(fù)發(fā)送和確認(rèn)方面，地面平臺(tái)只作為接收方，對(duì)符合正確規(guī)則的信息進(jìn)行解析和前端推送等。重復(fù)發(fā)送和確認(rèn)信息的前提條件是設(shè)備成功注冊(cè)并建立正常通信。在這種情況下，重復(fù)發(fā)送的信息由于與數(shù)據(jù)庫中已有的信息重復(fù)，因此不會(huì)入庫，也不會(huì)推送到前端。

（5）在4G/5G應(yīng)用場(chǎng)景中，車載設(shè)備在聯(lián)網(wǎng)時(shí)應(yīng)隨機(jī)向運(yùn)營商基站服務(wù)池申請(qǐng)IP地址，以確保通信的安全性，因?yàn)榈孛嫱ㄟ^IP地址反向找到車載設(shè)備的理論概率為0。

3.2.3 地面平臺(tái)安全域

針對(duì)地面平臺(tái)安全域中存在的風(fēng)險(xiǎn)，可采取以下措施。

（1）地面平臺(tái)為信息化機(jī)房，容易遭受分布式拒絕服務(wù)（DDos）攻擊、緩沖區(qū)溢出攻擊、Web應(yīng)用攻擊、結(jié)構(gòu)化查詢語言（SQL）注入、跨站腳本攻擊（XSS）等。應(yīng)按照GB/T 22239-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》中的相關(guān)安全等級(jí)要求（不低于二級(jí)）采取安全防護(hù)手段，如引入入侵防御系統(tǒng)（IPS）、數(shù)據(jù)庫審計(jì)設(shè)備和日志審計(jì)設(shè)備等，進(jìn)行通信網(wǎng)絡(luò)安全防護(hù)。

（2）針對(duì)城市軌道交通運(yùn)營場(chǎng)景，應(yīng)配合車載、車地通信系統(tǒng)，為地面平臺(tái)建立設(shè)備身份認(rèn)證、車地通信協(xié)議規(guī)則等機(jī)制，進(jìn)一步保證通信安全。

4 結(jié)語

文章在剖析城軌列車實(shí)時(shí)以太網(wǎng)5種典型拓?fù)浣Y(jié)構(gòu)優(yōu)缺點(diǎn)的基礎(chǔ)上，對(duì)目前普遍采用的雙歸屬環(huán)形拓?fù)浜途€性雙鏈路聚合拓?fù)?種結(jié)構(gòu)進(jìn)行對(duì)比分析，得出結(jié)論：雖然這2種拓?fù)浣Y(jié)構(gòu)均能實(shí)現(xiàn)單點(diǎn)故障不影響列車運(yùn)行，但由于線性雙鏈路聚合拓?fù)浣Y(jié)構(gòu)中采用大量旁路中繼器，會(huì)增加故障風(fēng)險(xiǎn)，因此推薦采用雙歸屬環(huán)形拓?fù)浣Y(jié)構(gòu)。然后從多網(wǎng)融合與網(wǎng)絡(luò)信息安全2方面對(duì)實(shí)時(shí)以太網(wǎng)在城軌列車通信領(lǐng)域的應(yīng)用提出思考，提出多網(wǎng)融合具體方案以及網(wǎng)絡(luò)安全防護(hù)措施，以期推進(jìn)城軌列車實(shí)時(shí)以太網(wǎng)技術(shù)的發(fā)展。