刘乐毅 赵圣娜 张宁 张炳森

(1.南京地铁运营有限责任公司，南京 210012；2.中铁上海设计院集团有限公司，上海 200070；3.东南大学智能运输系统研究中心轨道交通研究所，南京 210096）

1 概述

城市轨道交通自动售检票（Automatic Fare Collection, AFC）系统为乘客提供了便捷、高效、人性化的服务，是城市轨道交通的重要组成部分[1]。目前，AFC传统的5层架构模式在互联互通、资源高效利用等方面存在一定的局限性；另外，网络化运营逐渐实现，如何满足AFC系统海量数据的高效率存储、读写和计算的量级需求，以及后期线路接入的扩展性需求，成为运营管理部门关心的重要问题。

云计算作为一种新型的计算模式，应用于轨道交通系统中以降低建设和运营成本已成为趋势[2]。云计算分为公有云、私有云和混合云[3]。私有云是由企业自己构建的，企业拥有基础设备，不仅可提供对数据、安全性和服务质量的有效控制，并可控制在基础设施上部署应用程序的方式。将私有云引入到轨道交通建设中，从长远角度考虑，私有云平台的成本呈现降低的趋势[4]；另一方面，数据存储安全性与可靠性较高，私有云平台架构的部署灵活性较高。所以考虑建立基于私有云平台的AFC系统（Automatic Fare Collection based on Private Cloud Platform,PCAFC），是解决AFC问题的有效途径。

结合上述分析，首先分析了基于私有云平台的AFC系统的需求，接着提出一种私有云平台AFC系统架构，在此基础上，探讨PCAFC实现的方案，对整个AFC系统的运营管理与工程建设具有积极意义。

2 基于私有云平台的AFC系统需求分析

构建PCAFC系统，需要了解系统的需求。从功能和非功能两个方面进行分析，为下文确定系统架构奠定基础。

2.1 功能需求分析

结合运营管理部门的职能定位，PCAFC系统除了应满足既有AFC系统的主要功能之外，还应具备应对网络化运营及大客流带来的大数据挖掘、分析、存储、管理等能力，功能需求可以分为几个方面[5]，如表1所示。

2.2 非功能需求分析

在非功能需求方面应具备安全性、可靠性和可扩展性。

1）安全性

为保障系统的安全性，应在不同域的边界设置防火墙、入侵检测系统、防病毒体系以及访问控制列表等安全保障体系，数据的安全性应采取有效的加密技术来实现。

表1 系统功能需求表Tab.1 System function requirements

2）可靠性

系统各层要符合相关技术规范，满足稳定运行与故障修复的时间要求，全生命周期内都要确保系统的稳定性与可靠性。

3）可扩展性

为满足轨道交通线网规模扩大和客流量日益增长的需要，PCAFC系统应具备可扩展性，预留未来新线接入的接口需求与容量需求。

3 基于私有云平台的AFC系统架构

轨道交通的发展使得AFC5层架构体系存在一定的局限性，出现了多线路中心、区域中心、合并清分（ACC）系统和线路中央计算机（LC）系统的优化形式[6]，然而这些方案一定程度上精简了系统架构，但未将车站级系统的优化考虑在内。针对此问题，考虑引入云计算技术优化AFC系统架构。

3.1 AFC系统私有云平台总体架构

基于私有云平台的AFC系统架构如图1所示。

在PCAFC系统架构中，私有云平台取代了原系统中的ACC层和LC层，是PCAFC系统中的主生产系统，实现轨道交通运营的管理工作。车站计算机（SC）系统直接通过专用通信传输系统提供的以太网通道与私有云平台互连，各车站共享私有云平台计算机服务器资源池，车站只保留操作终端。当车站终端设备与SC或SC与私有云平台之间通信中断或无网络连接时，设备可在离线模式下工作，并在本机上保存相关的参数设置。当恢复通信时，系统自动检测未上传完的数据，并自动上传至私有云平台。

图1 PCAFC 系统结构图Fig.1 PCAFC system structure

图2 私有云平台总体架构示意图Fig.2 Overall architecture of the private cloud platform

3.2 私有云平台架构

私有云平台按架构可以分为基础设施层、平台中间件层和软件层，此外还有贯穿整个私有云平台全局的云安全机制[7]，如图2所示。

基础设施层主要由物理资源池和虚拟资源池两部分组成，物理资源池由各式各样的硬件构成，通过虚拟技术将相同类型的资源构成同构或接近同构的资源池[8]。云平台中间件是平台的核心，为系统提供多元化的应用环境与业务平台，可以划分为：业务中心、用户中心、资源中心、云数据中心、培训测试中心和云灾备中心。软件层是通过将特定的开发环境、应用软件和操作系统封装成标准Web Services服务，为管理者和相关操作人员提供按需服务。云平台安全机制的目的是达到降低风险、保护系统资源与数据库。

4 基于私有云平台的AFC系统实现方案

在PCAFC系统中，车票层和终端设备层继承了传统AFC系统的建设模式，车站层简化为不具备计算与存储资源的瘦客户端，私有云平台为主生产系统。结合系统架构，对私有云平台的实现方案进行详细研究。

4.1 基础设施层的实现

1）基础设施的部署模式

传统AFC系统的数据中心采用“烟囱式”的建设模式，即应用程序与各自的服务器和存储设备自成一体，服务器之间存在隔离、扩展难度大的缺点[9]。PCAFC系统在基础设施部署时，摒弃此建设模式，将所需的服务器、存储、网络等硬件设备加以集中配置，形成一体化的基础设施资源池，如图3所示。资源池中的服务器、存储等设备不再按业务类别作具体划分，规避了“烟囱”模式带来的问题。

图3 PCAFC系统基础设施的部署模式Fig.3 Deployment mode of PCAFC system infrastructure

2）基础设施的选择

基础设施的选择要从云服务器类型、性能和云数据中心存储容量两方面考虑。云服务器类型要保证数据安全可靠，可选择基于x86架构的服务器；服务器性能从CPU处理能力和内存大小两方面分析，在考虑交易数量和30%冗余负荷情况下，处理能力应不小于事物处理性能的基准程序值；服务器内存配置要在确定内存开销的基础上做出预留。云数据中心存储容量需考虑全年交易数据所需容量，并为未来业务增长预留足够存储空间。

3）虚拟化的实现

根据对基础设施的规划，创建物理设施资源池，采用虚拟化软件Xen或KVM将物理设施虚拟化成虚拟资源池。业务服务器中抽象出多个虚拟机，并为每个虚拟机配置相应的操作系统和应用。虚拟化的实现使得同一台业务服务器上同时运行多个不同的操作系统和不同的业务功能成为可能。同时，因使用特定型号的计算机、特殊尺寸的磁盘以及其他类似特殊硬件设备而产生的局限性将尽可能地被减少，甚至被消除。

4.2 云平台中间件的实现

云平台中间件是私有云平台的核心部分，PCAFC系统业务的处理在云平台中间件环境中实现，下面从各个模块来分析如何实现PCAFC的功能需求

1）业务中心

业务中心实现PCAFC系统主要业务处理，通过设置运营管理模块、票务管理模块、清分管理模块、信息管理模块和系统管理模块实现运营管理、票务管理、清分管理、信息管理和系统管理功能需求。

2）用户中心

用户中心实现对用户身份及权限的管理，并为用户提供操作环境配置。根据系统用户职权的不同设置不同组别，赋予有关的功能及权限，同一组别可配置个别的用户权限。所有用户必须经过申请，得到批准后，由系统管理人员通过云平台开设账号，赋予有关功能权限。

3）资源中心

资源中心实现对基础设施资源的管理，采用动态平衡策略，实时地监测基础设施资源的使用情况，作出及时、合理的资源调度。资源调度过程既要考虑请求任务的实际需求，也要考虑计算节点的物理性能，以减少基础设施资源的开销。

4）云数据中心

云数据中心实现PCAFC系统中的海量数据处理、分析与存储功能。Hadoop是对Google云平台的开源实现，提供了二次开发与个性化服务定制的功能，可以满足城市轨道交通AFC系统的需要。因此，云数据中心采用基于Hadoop的方案，选用分布式云存储、HDFS分布式文件系统和融合型数据库以实现系统需求。

5）培训测试中心

培训测试中心提供真实的云平台模拟系统，为参加培训的人员提供真实的学习环境，模拟测试系统实现系统开通前的软硬件功能测试、开通后软硬件修改、配合其他线路作开通测试和软件修改等功能。

6）云灾备中心

私有云平台作为轨道交通的清分中心，发生瘫痪等事故会给整个行业带来严重后果，因此，为不影响整个PCAFC系统的正常工作，需建立异地云灾备中心。云灾备中心的建设模式有主备模式、混合双活和双活模式。

考虑到PCAFC系统对大数据的计算有较高的实时性要求，选择双活模式建立灾备中心，如图4所示活模式指云平台和云灾备中心所有的服务器、存储设备全天候处于生产状态，根据服务需求，将业务分配到不同的中心，跨双中心建立共享的资源访问方式和高可用性集群，通过数据复制技术将数据镜像到对方中心。当出现灾难事件时，根据需要接管的方式，按照当前的业务状态动态调整调度服务和资源。

图4 云灾备中心双活模式Fig.4 Double live mode of Cloud Disaster Center

4.3 云安全机制的实现

由于私有云平台由轨道公司自行部署，位于企业内部，所以不需要考虑公共用户、公共网络等安全问题。经过对云平台基础设施层、云平台中间件和软件层安全问题的分析，从软件安全机制、网络安全机制和数据安全机制3方面解决云安全问题。

1）软件安全机制

软件安全机制体现在软件自身保护、防止恶意破坏数据、防止误操作、跟踪与审计、软件更新安全等5方面。

软件自身保护：通过在PCAFC系统专用网与外部系统之间设置防火墙，避免大部分来自外部网络的病毒等侵害。

防止恶意破坏数据：将所有原始数据在存储时自动进行备份，对于数据量比较大的原始数据，在存储时根据一定的规则划分，分布存放到不同的存储区域。

防止误操作：系统中所有的操作都要检查执行者的口令和权限，避免大多数误操作。

跟踪和审计：系统将登记所有终端设备操作，并记录到各自的日志中，上传至私有云平台做长期保存。利用审计工具以及校验工具进行操作审核等操作。

软件更新安全：系统软件、设备软件均可以实现动态更新，在设备中长期保存一个可靠版本软件，以保证软件更新失败时，可以将其恢复到一个可靠运行的版本。

2）网络安全机制

网络安全是整个PCAFC系统安全的基石。私有云平台与车站系统、城市公共交通卡系统和银行系统之间实现安全的网络通信和数据传递主要依赖于防火墙，但这种防护只能是基于IP层的访问控制，对不同的用户与具体文件无法实现控制，是一种粗粒度的防护，因此，在此基础上，可配置入侵检测系统、漏洞扫描系统、网络防病毒软件，为系统安全提供多方面的安全防范手段。

3）数据安全机制

数据安全机制需从数据传输安全和数据存储安全两方面考虑。

a.数据传输安全

数据传输安全主要是指数据在两边交互时的安全保护，通常利用数据加密技术来保证交易数据的传输安全。整个数据传输过程如图5所示，发送方将交易数据成功发出后，仍需要将这些数据于本地进行有效保存，以便进行数据审计或传输失败时进行重传。传输过程中加密与解密密钥是对称且唯一的，统一由密钥管理中心负责生成与分配。

图5 数据加密传输过程Fig.5 Data encryption transmission process

b.数据存储安全

存储在服务器、工作站和数据库系统等处的数据，除了通过系统软件、设备软件、病毒防范系统和操作规范等外部措施保障外，从数据本身来说，应对数据丢失异常的唯一手段就是对数据进行有效的备份。

5 结语

随着轨道交通网络化运营的逐渐实现，AFC系统的优化越来越受到有关部门的重视，云计算在轨道交通系统中的应用空间巨大，引入AFC系统中具有积极意义。选择私有云平台的部署方案，分析基于云平台的AFC系统功能与非功能的需求，并提出一种系统架构，在此基础上，分别从基础设施层、云平台中间件层以及安全机制层探讨基于私有云平台的AFC系统实现方案。该研究为我国轨道交通AFC系统的架构设计、优和调整提供参考。