LKJ 车载数据无线远程换装系统设计
2018-09-14郑理华李一楠阳亦斌
郑理华,李一楠,阳亦斌
(1.中国铁道科学研究院集团有限公司 通信信号研究所,北京 100081;2.株洲中车时代电气股份公司通信信号事业部,湖南 株洲 412001)
1 概述
列车运行监控装置(LKJ)是铁路机车、动车组的组成部分,是中国列车运行控制系统体系的重要组成部分,是用于防止列车冒进信号、运行超速事故,以及辅助机车和动车组司机提高操纵能力的重要行车设备[1]。目前我国国铁2.1万台机车和1 000多列运营速度为250 km/h的动车组都装备了LKJ。LKJ车载数据是LKJ控制功能实现的基础和运行分析的依据,LKJ数据的准确性是监控列车安全运行的前提和保障[1-3]。在不同运行线路和环境中,随着运输基础设备、设施技术数据变化、行车组织变化或铁路线路施工,引起LKJ车载数据变化,LKJ车载数据需要进行相应变更,同时LKJ车载数据版本也需进行相应升级。与之对应的变更工作和升级工作称为LKJ车载数据换装。因LKJ车载基础数据文件和LKJ车载控制文件直接写入芯片,安装在LKJ设备中,通常铁路局集团公司在组织LKJ车载数据换装过程中,采用人工上车定时、定点、线缆连接方式进行数据换装作业[4-7]。既有数据换装方式在准确性、时效性、安全性要求难以保证,具体表现在以下方面。
(1)导致LKJ车载基础数据换装的情况如下:新建铁路、改建线路多,日常线路施工和维护频繁;运输组织变化、列车运行图调整、行包快运区段为适应市场需求经常变化;保障安全形势要求,增加季节性防洪数据和列车反方向运行数据。每个铁路局集团公司每次数据换装涉及的机车台次多,数据换装过程中换装人员需要携带LKJ车载数据或存储有LKJ车载数据的转存器(USB存储介质),在库内或在途上机车进行LKJ数据换装作业换装,频繁换装导致人员需求大,工作强度和工作量急剧增大。
(2)由于LKJ车载数据换装采用人工作业及盯控方式,每次换装过程中涉及到电务、机务、调度、工务等多个部门间的沟通协调。应急换装时效性不高,快速完成数据换装难度大,存在错换、漏换、提前换等各种情况,数据换装一直是电务部门决策者的难题。
(3)现有人工换装作业方式,在执行数据换装过程中,库内机车由换装人员上机车进行LKJ数据换装作业,在途机车需要换装人员携带芯片数据前往关键站、立折点日夜蹲守,根据机务、调度部门提供的出勤和调度信息,拦截机车进行换装作业。在途进行LKJ车载数据换装过程中,机车需要在车站停车20 min左右,对机车运输效率产生较大影响。
(4)机车、动车组长交路运行,跨局机车换装成难题,需要铁路局集团公司电务部门通过邮件、传真、委托换装通知书的形式通知对方,在库内或关键站对所属机车进行LKJ数据换装作业,或派遣换装人员驻留外局对所属机车进行LKJ数据换装作业。因委托数据换装责任增加,各铁路局集团公司对承接外局委托换装存在为难情绪,外派人员换装存在人身安全隐患,同时增加数据换装成本。
为了进一步适应和满足运输现场频繁换装LKJ车载数据的现实需求,降低LKJ车载基础数据换装的复杂度及工作量、减少各部门现场参与人次和人工参与程度,提高换装的自动化水平,提升现场参与人员的工作效率和人身安全,提升换装及时性、可靠性,消灭错换、漏换、提前换等不安全操作,在完全兼容当前数据换装的管理和工作流程情况下,做到进一步清晰工作流程、提升相关部门之间的协同配合程度。LKJ基于无线进行LKJ车载数据换装的全新换装方式,通过对无线、网络、安全等相关技术进行研究,设计LKJ车载数据无线远程换装系统,在确保安全、可靠的前提下,通过远程无线方式对LKJ进行数据换装,重点解决LKJ车载数据换装工作中所面临的各种困难,同时还能提高运输生产效率,降低运输生产成本。
2 LKJ车载数据无线远程换装系统设计
2.1 系统总体结构
LKJ车载数据无线远程换装系统(以下简称“数据换装系统”)由2个部分构成:地面子系统和车载子系统。地面与车载之间通过无线局域网(WLAN)或远程网络(3G/4G)进行通信。数据换装系统总体结构框图如图1所示。
图1 数据换装系统总体结构框图Fig.1 Framework and structure of data reloading system
地面子系统由数据传输层、数据处理与存储和终端访问组成[4-7]。①数据传输层:铁路安全传输平台外部组建局域网,部署通信服务器、车地防火墙,与车载子系统(安全通信插件)建立IPsec VPN通道进行车地数据传输;对LKJ车载数据文件进行国密加密;对来自于公共网络部分的访问进行网络控制,实现网络隔离。②数据处理与存储:铁路办公网地面中心机房部署数据服务器、应用服务器、通信处理服务器、时钟同步服务器、证书管理服务器、内网防火墙、运维审计平台、安全监管平台、防病毒服务器等关键设备,关键设备功能描述如表1所示。③终端访问:在铁路局集团公司、站段、车间部署PC终端、大屏幕、移动设备,实现数据换装计划管理、CA证书授权管理、数据换装情况查询统计、数据换装版本实时监测预警等。
表1 关键设备功能描述表Tab.1 Key device function descriptions
车载子系统由DMI (人机交互单元)、LKJ主机、扩展通信单元组成。①DMI:实时从LKJ主机获取更新径路数据信息,实现DMI设备径路数据同步更新。②LKJ主机:与扩展通信单元通信,实现LKJ车载数据文件在线更新、调用。扩展通信单元:单元中的安全通信插件与地面子系统建立IPsecVPN通道进行车地通信,实现对LKJ车载数据文件的解密、校验、解压、缓存;与LKJ主机、DMI通信,实现LKJ车载数据文件在线更新,换装成功后删除缓存文件;防护车载子系统受攻击风险。
2.2 系统网络结构设计
为解决用户目前库内人工换装、委托换装、外派换装面临的问题,系统采用无线局域网(WLAN)与远程网络(3G/4G)相结合的实现方案,本局机车在建立有WLAN网络的本局库内进行换装时优先使用WLAN网络,本局机车在关键站、折返点、外局库内时使用3G/4G网络。LKJ车载数据无线换装系统以铁路局集团公司为单位进行实施部署,不同铁路局集团公司系统间可通过铁路办公网进行信息的交互。数据换装系统网络结构组成如图2所示。
(1)无线局域网(WLAN):WLAN通信工作站部署在地面子系统数据传输层,当待换装机车进入无线局域网范围时,优先使用无线局域网,通过车地防火墙经无线局域网络(WLAN)与换装机车进行车地通信,接入铁路内网络与数据换装数据服务器进行交互,实现无线换装,适用于本局机车本局库内换装场景。
(2)远程网络(3G/4G):通信服务器部署在地面子系统数据传输层,当待换装机车远程在线时,通过车地防火墙经远程网络(3G/4G)与换装机车进行车地通信,基于CA证书方式,采用http/https协议穿透铁路安全传输平台接入铁路内网与数据换装数据服务器进行数据交互,实现无线换装[8],适用于本局机车在途、外局库内、关键站、立折点换装场景。
2.3 系统安全性设计
数据换装系统从网络结构划分,可以分为地面子系统、无线传输层、车载子系统3部分。由于地面子系统、车载子系统通过无线传输层交互,主要的数据流是列控车载数据,直接涉及到列车行车安全,因而应从总体上对车载系统、地面系统、通信网络、关键数据进行安全性设计,防止LKJ数据在换装过程中被篡改、仿冒,地面网络内部遭入侵,主机服务器遭恶意代码攻击等安全风险,以满足国家信息安全等级保护基本要求,有效防止信息安全事件发生,避免安全隐患,确保列车运行的绝对安全可靠[9]。系统安全性设计方案严格按照国标GB/T 22239—2008等级保护(三级)基本要求建设。根据数据换装系统安全防护需求,数据换装系统安全性设计具体包含强制身份认证、数据加密、网络控制、主机防护、运维审计等内容。数据换装系统安全设计方案部署如图3所示。
(1)强制身份认证。机车车载安全通信插件通过公共无线网络与地面子系统建立数据传输通道时,地面子系统采用证书服务方式对接入的对象进行合法性身份认证[5],保障数据来源的合法性。
图2 数据换装系统网络结构组成图Fig.2 Network structure and composition of data reloading system
图3 数据换装系统安全设计方案部署图Fig.3 System security design of data reloading system
(2)数据加密。机车与地面系统完成身份合法性验证后,车载安全通信插件与地面系统建立IPsec VPN数据传输通道,LKJ车载数据文件在传输过程中采用国密算法(SM2/SM3/SM4)进行加密传输[4],防止被篡改,保障数据的完整性。
(3)网络控制。数据换装系统WLAN网络和3G/4G网络与地面子系统的网络边界处部署车地防火墙,抵御来自外部网络通过端口或指令对地面子系统中心服务器的网络攻击;在WLAN网络和3G/4G网络与机车内部网络的边界处部署车载安全通信插件,抵御来自外部网络通过端口或指令对车载设备的网络攻击;在地面子系统局域网与铁路内网间,系统基于铁路安全传输平台,采用证书服务方式,通过http/https协议实现内外网交互,符合铁总相关安全规范要求。
(4)主机防护。在地面子系统旁路部署入侵检测系统、车地防火墙、内网防火墙,为数据换装系统最大限度提供来自外部网络和内部网络对主机服务器进行网络攻击的实时防护,在网络和系统受到危害之前拦截和阻止入侵。
(5)运维审计。在地面子系统旁路部署安全审计与监管平台,对数据无线换装系统网络拓扑及网络设备的运行状况、网络流量、温度、用户行为等进行日志记录并生产审计报表;在地面子系统旁路部署堡垒机,拦截非法访问和恶意攻击行为,过滤所有对目标设备的非法访问行为,并对内部人员误操作和非法操作进行审计监控,以便事后责任追踪。
2.4 系统应用流程设计
运输生产现场环境复杂多样,系统为确保能够全面适应机车各种工作场景,在应用流程设计部分采用多种安全技术和手段,以确保场换装流程的安全、顺畅、可靠,并且具备普适性。系统地面部分、车载部分和传输部分均采取CRC48校验,保证LKJ车载数据文件完整性;车地传输分采用断点续传、丢包重发等通信机制,保证车地传输阶段稳定性;地面部分和车载部分采用一车一码匹配机制、一车一号绑定机制、版本报警处理机制,防止数据换装过程中错换、漏换、提前换,保证数据换装过程中安全可靠。LKJ车载数据换装系统更新流程如下。
(1)车载通过无线网络将LKJ车载数据实时版本等信息发送至地面子系统,地面子系统根据换装计划判断并发起数据换装,车载应答后,开始进行车地数据传输,将LKJ车载数据文件发送至车载缓存。
(2)车载接收LKJ车载数据完毕后,结束车地数据交互,开始对数据进行解压、解密、校验、缓存。
(3)车载数据缓存成功后,LKJ主机定期将是否满足换装条件通知车载安全通信插件,车载安全通信插件发送更新准备就绪至车载显示器和地面子系统,提示允许启动在线更新。
(4)车载启动在线更新时,更新指令通过车载显示器发送给车载安全通信插件,车载安全通信插件通知LKJ主机、DMI,并启动数据换装在线更新过程。
(5)地面启动在线更新时,更新指令通过车地传输发送给车载安全通信插件,车载安全通信插件通知LKJ主机、DMI,并启动数据换装在线更新过程。
(6)LKJ主机接收到换装命令后,进入LKJ主机换装阶段,并将换装过程中的进度等相关信息传送给车载安全通信插件,由车载安全通信插件发送至车载显示器进行显示。
(7)数据换装在线更新完成后,进入正常应用软件工作状态,车载安全通信插件接收换装后的车载数据版本,并将缓存的LKJ车载数据文件删除,发送心跳包给地面子系统,地面子系统根据车载发送最新的数据版本信息,对换装计划机车进行销号闭环,结束本次换装。
3 结束语
LKJ车载数据无线换装系统的设计与实现,结合现有LKJ车载数据换装管理现状及特点,通过采用无线的方式,实现铁路电务部门与机务、工务、调度等铁路部门在LKJ车载数据换装过程中的协同工作、步调一致、过程可控,同时减少人工参与LKJ车载数据换装,提高数据换装工作效率,降低工作强度,真正让LKJ车载数据换装过程由“人控”转变为“机控”[10]。数据换装系统于2016年4月在中国铁路兰州局集团有限公司HXD2-1266等多个机车上完成现场运行试验,并且已在多个铁路局集团公司进行试用,系统能够满足现场的运用需要,提升了LKJ数据换装的自动化、智能化水平。