何志彬，邢科家，梁志國(guó)，魏東冬，孔嘉鋮，白 帥

（1.中國(guó)鐵道科學(xué)研究院 研究生部，北京 100081；2.中國(guó)鐵道科學(xué)研究院集團(tuán)有限公司通信信號(hào)研究所，北京 100081）

0 引言

在《新時(shí)代交通強(qiáng)國(guó)鐵路先行規(guī)劃綱要》指導(dǎo)下，一批智能高速鐵路項(xiàng)目如京張高速鐵路(北京北—張家口)、京雄高速鐵路(北京西—雄安)等成功實(shí)踐，新型列車(chē)運(yùn)行控制系統(tǒng)和高速列車(chē)自動(dòng)駕駛系統(tǒng)等成功研發(fā)與運(yùn)用，標(biāo)志著我國(guó)高速鐵路已經(jīng)進(jìn)入了智能化發(fā)展的新階段[1-3]。隨著鐵路運(yùn)營(yíng)方式網(wǎng)絡(luò)化、自動(dòng)化和智能化趨勢(shì)日益明顯，將云計(jì)算技術(shù)應(yīng)用到鐵路信號(hào)控制系統(tǒng)中，可以滿(mǎn)足未來(lái)鐵路聯(lián)鎖系統(tǒng)發(fā)展中大規(guī)模的計(jì)算和存儲(chǔ)需求，為乘客提供更好的服務(wù)。

近年來(lái)，云計(jì)算技術(shù)在軌道交通信號(hào)系統(tǒng)的應(yīng)用已成為研究的熱點(diǎn)。云計(jì)算是一種基于服務(wù)的分布式計(jì)算模型，使用戶(hù)能夠按需配置和使用計(jì)算資源，并能夠快速部署和釋放這些資源，從而降低計(jì)算成本并提高計(jì)算效率[4]?；谠朴?jì)算的鐵路聯(lián)鎖系統(tǒng)(云聯(lián)鎖)能夠更好地助力數(shù)字化、網(wǎng)絡(luò)化和智能化鐵路的建設(shè)和發(fā)展，為高速鐵路技術(shù)革新、設(shè)備升級(jí)、提升運(yùn)營(yíng)效率及降低運(yùn)維成本帶來(lái)新的機(jī)遇。

1 基于云計(jì)算的鐵路信號(hào)系統(tǒng)發(fā)展概況

各國(guó)都在積極開(kāi)展將云平臺(tái)引入鐵路信號(hào)系統(tǒng)相關(guān)研究，云平臺(tái)對(duì)鐵路信號(hào)系統(tǒng)及鐵路運(yùn)營(yíng)的助力已滲透于鐵路各個(gè)方面。在效率和靈活性提升方面，云平臺(tái)可以使用最新的通用計(jì)算機(jī)軟硬件資源，極大提高系統(tǒng)的計(jì)算性能，同時(shí)，云平臺(tái)的應(yīng)用可將聯(lián)鎖系統(tǒng)的數(shù)據(jù)和功能集中管理，實(shí)現(xiàn)更高的效率和靈活性。此外，云平臺(tái)可根據(jù)列車(chē)運(yùn)行計(jì)劃和實(shí)時(shí)的運(yùn)營(yíng)狀況進(jìn)行動(dòng)態(tài)調(diào)整，最大程度地優(yōu)化列車(chē)運(yùn)行，提高運(yùn)輸效率。在資源優(yōu)化方面，通過(guò)云平臺(tái)的數(shù)據(jù)分析和優(yōu)化算法，更好地管理鐵路設(shè)備的使用，避免資源浪費(fèi)。設(shè)備集中于云計(jì)算中心，不依賴(lài)于專(zhuān)門(mén)設(shè)計(jì)的高成本聯(lián)鎖安全計(jì)算機(jī)，可簡(jiǎn)化車(chē)站和軌旁設(shè)備，便于維護(hù)，降低運(yùn)營(yíng)成本。在統(tǒng)一管理和協(xié)調(diào)方面，鐵路聯(lián)鎖系統(tǒng)通常涉及車(chē)站和線(xiàn)路間的協(xié)調(diào)管理。云平臺(tái)能提供統(tǒng)一的管理界面，對(duì)鐵路網(wǎng)絡(luò)和列車(chē)運(yùn)行狀態(tài)進(jìn)行實(shí)時(shí)監(jiān)控，使得運(yùn)營(yíng)人員能夠更好地協(xié)調(diào)不同車(chē)站之間的列車(chē)運(yùn)行。在面向未來(lái)的擴(kuò)展性方面，云平臺(tái)資源配置靈活，更易于集成新的技術(shù)和功能(如人工智能、物聯(lián)網(wǎng)等)，進(jìn)一步提升聯(lián)鎖系統(tǒng)的性能和智能化程度。同時(shí)，云平臺(tái)有利于國(guó)際合作，實(shí)現(xiàn)不同國(guó)家之間的鐵路系統(tǒng)互聯(lián)互通，加強(qiáng)國(guó)際鐵路運(yùn)輸?shù)膮f(xié)同效應(yīng)。

1.1 國(guó)外概況

1.1.1 德國(guó)

西門(mén)子交通有限公司于2020 年將研制的分布式智能安全系統(tǒng)(Distributed Smart Safe System，DS3)在奧地利的Achau 投入運(yùn)營(yíng)，DS3主要特點(diǎn)是將控制邏輯和位于軌旁的本地控制單元進(jìn)行分離[5]，DS3系統(tǒng)總體架構(gòu)如圖1 所示。由圖1 可知，DS3的邏輯部分部署在云服務(wù)器上，而控制單元安裝在現(xiàn)場(chǎng)軌旁，可將聯(lián)鎖、無(wú)線(xiàn)閉塞中心、占用控制系統(tǒng)等作為安全服務(wù)應(yīng)用集成到DS3的服務(wù)層。

圖1 DS3系統(tǒng)總體架構(gòu)Fig.1 DS3 system architecture

為保證安全性和可靠性，DS3中安全應(yīng)用實(shí)例可以運(yùn)行在不同的物理CPU內(nèi)核上。由3個(gè)不同物理CPU 內(nèi)核同時(shí)并行運(yùn)行一個(gè)安全相關(guān)應(yīng)用(如聯(lián)鎖邏輯)的3個(gè)實(shí)例示例。每個(gè)實(shí)例作為循環(huán)任務(wù)運(yùn)行(如200 ms/周期)，由安全時(shí)鐘觸發(fā)。各個(gè)實(shí)例的結(jié)果或輸出經(jīng)由安全表決確認(rèn)，表決過(guò)程的結(jié)果通過(guò)安全協(xié)議網(wǎng)關(guān)發(fā)送給連接的系統(tǒng)。安全相關(guān)的應(yīng)用實(shí)例以異構(gòu)的代碼運(yùn)行，具有循環(huán)內(nèi)存測(cè)試、自檢，以及多樣化的內(nèi)存管理和通道管理等安全機(jī)制。該系統(tǒng)可以通過(guò)冗余方式增加實(shí)例數(shù)量，也可通過(guò)冗余設(shè)計(jì)在多服務(wù)器中運(yùn)行。發(fā)生故障的實(shí)例或虛擬機(jī)重新啟動(dòng)時(shí)，會(huì)與正在運(yùn)行的實(shí)例重新同步，可快速加入到任務(wù)處理隊(duì)列中。所有組件(如實(shí)例、時(shí)鐘、表決等)之間的通信都通過(guò)一種新定義的基于IP 的通信協(xié)議XDM 進(jìn)行。DS3安全相關(guān)應(yīng)用實(shí)例運(yùn)行示例如圖2所示。

圖2 DS3安全相關(guān)應(yīng)用實(shí)例運(yùn)行示例Fig.2 Example of running DS3 security-related application instance

1.1.2 法國(guó)

2020年9月，泰雷茲公司在W?llersdorf車(chē)站展示了聯(lián)鎖系統(tǒng)如何在云上工作[6]。在云計(jì)算機(jī)控制下，泰雷茲聯(lián)鎖系統(tǒng)完成了對(duì)W?llersdorf 車(chē)站的信號(hào)和道岔控制。該系統(tǒng)采用基于商用現(xiàn)貨(Commercial-off-the-shelf，COTS)服務(wù)器硬件，服務(wù)器無(wú)需任何專(zhuān)有的監(jiān)督電路、定制或其他額外的要求，通過(guò)最新的虛擬化技術(shù)在多虛擬機(jī)之間運(yùn)行Thales 平臺(tái)(TAS)實(shí)例，共享服務(wù)器的物理資源由虛擬機(jī)監(jiān)視器進(jìn)行管理。

TAS平臺(tái)的核心功能是為鐵路安全應(yīng)用的開(kāi)發(fā)和部署提供工具鏈、方法、軟件、硬件運(yùn)行環(huán)境。該平臺(tái)由COTS 硬件層、基于Linux 定制的操作系統(tǒng)層、安全層和應(yīng)用層及非安全相關(guān)服務(wù)組成，TAS 控制平臺(tái)架構(gòu)如圖3 所示。由圖3 可知，頂層即應(yīng)用層，為系統(tǒng)提供功能方面(應(yīng)用程序)的支持；安全層和操作系統(tǒng)層為中間件部分，負(fù)責(zé)提供相關(guān)應(yīng)用程序編程接口，以及編程模型與操作系統(tǒng)之間的連接通道，實(shí)現(xiàn)必要的監(jiān)督、容錯(cuò)和實(shí)時(shí)服務(wù)[7]；底層為硬件層，由COTS 服務(wù)器組成，為系統(tǒng)提供硬件資源。

圖3 TAS控制平臺(tái)架構(gòu)Fig.3 Architecture of TAS control platform

與傳統(tǒng)專(zhuān)用的嵌入式硬件相比，TAS平臺(tái)具有資源使用效率高、可拓展性和可維護(hù)性強(qiáng)，以及平均修復(fù)時(shí)間和運(yùn)營(yíng)成本低等方面的優(yōu)勢(shì)。通過(guò)虛擬化，TAS平臺(tái)可以實(shí)現(xiàn)與特定硬件解耦，消除了由于硬件過(guò)時(shí)及硬件修改需重新認(rèn)證等問(wèn)題。此外，該平臺(tái)支持應(yīng)用程序在2003，2002 等冗余架構(gòu)下運(yùn)行。

1.1.3 其他相關(guān)項(xiàng)目、計(jì)劃

除了西門(mén)子、泰雷茲之外，瑞士SmartRail 項(xiàng)目、歐洲RCA 項(xiàng)目、歐盟LINX4RAIL 項(xiàng)目和Eulynx項(xiàng)目等都針對(duì)地面信號(hào)系統(tǒng)的集中化和小型化開(kāi)展研究，這些研究為將云平臺(tái)引入鐵路信號(hào)系統(tǒng)提供了寶貴經(jīng)驗(yàn)。

在Eulynx項(xiàng)目中，提出了關(guān)于“數(shù)字聯(lián)鎖”的概念，為聯(lián)鎖邏輯和RBC 邏輯等與鐵路安全相關(guān)的應(yīng)用的集中化提供了可能性。數(shù)字化的下一步是采用行業(yè)標(biāo)準(zhǔn)的COTS 多核計(jì)算機(jī)，將現(xiàn)有技術(shù)用于計(jì)算密集型鐵路應(yīng)用，并實(shí)現(xiàn)中央數(shù)據(jù)中心的硬件標(biāo)準(zhǔn)化，這有利于實(shí)現(xiàn)完全集中和地理冗余的高可用性；在SmartRail 項(xiàng)目中，試圖重新設(shè)計(jì)和分配列控系統(tǒng)的架構(gòu)，并通過(guò)引入使能技術(shù)提升信號(hào)系統(tǒng)和安全設(shè)備的可用性、安全性和先進(jìn)性；在SmartRail 項(xiàng)目的影響下，歐洲RCA 項(xiàng)目提出了一種模塊化、標(biāo)準(zhǔn)化的地面列控系統(tǒng)參考架構(gòu)，為現(xiàn)有各子系統(tǒng)之間提供了更高效、自動(dòng)化和標(biāo)準(zhǔn)化的通信方式；LINX4RAIL 項(xiàng)目進(jìn)一步研究和推廣了列控系統(tǒng)架構(gòu)的參考模型，提升了系統(tǒng)的先進(jìn)性，為未來(lái)將地面信號(hào)系統(tǒng)向云平臺(tái)遷移提供了基礎(chǔ)。

1.2 國(guó)內(nèi)概況

在國(guó)家鐵路干線(xiàn)/城際鐵路中，基于云平臺(tái)的信號(hào)系統(tǒng)的應(yīng)用研究尚處于起步階段，還沒(méi)有在實(shí)際的線(xiàn)路中試驗(yàn)或運(yùn)用的案例。而城市軌道交通領(lǐng)域在這方面已經(jīng)開(kāi)展了諸多研究。

同濟(jì)大學(xué)道路與交通工程教育部重點(diǎn)實(shí)驗(yàn)室設(shè)計(jì)了一種基于云和高速無(wú)線(xiàn)通信技術(shù)的城市交通信號(hào)系統(tǒng)架構(gòu)——軟件定義列車(chē)控制(SDTC)，已經(jīng)通過(guò)實(shí)驗(yàn)室的仿真測(cè)試，SDTC 系統(tǒng)結(jié)構(gòu)如圖4所示。

圖4 SDTC系統(tǒng)結(jié)構(gòu)Fig.4 SDTC system architecture

由圖4 可知，SDTC 系統(tǒng)采用兩層結(jié)構(gòu)，分別為控制中心層和軌道列車(chē)層?？刂浦行膶佑砂踩嚓P(guān)云和非安全相關(guān)云組成，邏輯操作等與安全相關(guān)的云組件位于安全相關(guān)云內(nèi)，包括每列列車(chē)的云控制器(CiC)、線(xiàn)路資源管理器(LRM)、列車(chē)登記和分配控制器(TRAC)等云組件；列車(chē)自動(dòng)監(jiān)控系統(tǒng)(ATS)和維護(hù)支持系統(tǒng)(MSS)等云組件位于非安全相關(guān)云中。軌道列車(chē)層指軌道和列車(chē)層，在這一層僅保留輸入/輸出(IO)和傳感器[8]，IO即安裝在列車(chē)上的多個(gè)IO單元和軌旁IO單元(Wayside-IO)，列車(chē)與控制中心的云組件之間使用低時(shí)延、高可靠、高速無(wú)線(xiàn)通信。為保證系統(tǒng)的可用性，在控制中心層設(shè)置備用控制中心，備用控制中心與控制中心可以同城異址或位于兩個(gè)城市，兩者之間通過(guò)高速網(wǎng)絡(luò)連接進(jìn)行通信。因此，當(dāng)發(fā)生重大災(zāi)難時(shí)，可以在多個(gè)云中心之間進(jìn)行數(shù)據(jù)傳輸，以最大程度地減少對(duì)系統(tǒng)的影響。與傳統(tǒng)的CBTC架構(gòu)相比，云中的資源配置靈活、擴(kuò)展方便，維護(hù)更加靈活和簡(jiǎn)單。經(jīng)實(shí)驗(yàn)室驗(yàn)證，該系統(tǒng)的平均故障間隔時(shí)間提高了39%。

北京交通大學(xué)對(duì)信號(hào)系統(tǒng)的集中化和小型化進(jìn)行了探索，并在哈木鐵路(哈爾蓋—木里)進(jìn)行了系統(tǒng)功能測(cè)試，這也為信號(hào)系統(tǒng)上云打下了基礎(chǔ)。哈木鐵路測(cè)試的新型信號(hào)系統(tǒng)總體架構(gòu)如圖5 所示。該系統(tǒng)主要由軌旁設(shè)備和中心設(shè)備組成。軌旁設(shè)備主要包括對(duì)象控制器(OC)、多模通信網(wǎng)關(guān)和衛(wèi)星差分基站等設(shè)備；中心設(shè)備位于調(diào)度中心，主要包含智能調(diào)度(DCD)、資源管理(RMU)、智能維護(hù)(IMS)和衛(wèi)星導(dǎo)航地基增強(qiáng)系統(tǒng)等設(shè)備。該系統(tǒng)將無(wú)線(xiàn)閉塞中心(RBC)、臨時(shí)限速服務(wù)器(TSRS)和計(jì)算機(jī)聯(lián)鎖等地面設(shè)備的功能集成到控制中心，實(shí)現(xiàn)了對(duì)現(xiàn)場(chǎng)設(shè)備的集中化控制。該系統(tǒng)已經(jīng)在哈木鐵路現(xiàn)場(chǎng)進(jìn)行了測(cè)試，對(duì)系統(tǒng)的架構(gòu)進(jìn)行了驗(yàn)證，對(duì)衛(wèi)星定位、移動(dòng)閉塞、車(chē)車(chē)通信、多模通信等關(guān)鍵技術(shù)也進(jìn)行了驗(yàn)證，實(shí)現(xiàn)了設(shè)計(jì)功能，也為未來(lái)信號(hào)系統(tǒng)上云、建設(shè)數(shù)字鐵路積累經(jīng)驗(yàn)。

圖5 哈木鐵路測(cè)試的新型信號(hào)系統(tǒng)總體架構(gòu)Fig.5 Overall architecture of new signaling system tested on the Haergai-Muli Railway

2 云聯(lián)鎖發(fā)展探討

隨著鐵路數(shù)字化、智能化不斷向前發(fā)展，云計(jì)算技術(shù)與聯(lián)鎖技術(shù)深度融合已經(jīng)成為一種發(fā)展趨勢(shì)，未來(lái)云聯(lián)鎖應(yīng)用于國(guó)家鐵路干線(xiàn)/城際鐵路是可以預(yù)期的。云聯(lián)鎖具有諸多優(yōu)勢(shì)，也具有鮮明的特點(diǎn)，但要將云聯(lián)鎖應(yīng)用于國(guó)家鐵路干線(xiàn)/城際鐵路，還有一些關(guān)鍵技術(shù)需要去研究：①除具有傳統(tǒng)聯(lián)鎖系統(tǒng)功能外，還需要具有適用云計(jì)算特點(diǎn)的專(zhuān)有功能；②高安全平臺(tái)架構(gòu)設(shè)計(jì)技術(shù)；③軟件監(jiān)視技術(shù)，時(shí)刻監(jiān)視聯(lián)鎖邏輯處理的安全性；④時(shí)鐘同步技術(shù)；⑤同步表決技術(shù)；⑥系統(tǒng)防御技術(shù)。

2.1 云聯(lián)鎖的專(zhuān)有功能

云聯(lián)鎖系統(tǒng)除了具備車(chē)站既有的聯(lián)鎖功能以外，還應(yīng)具備以下專(zhuān)有功能。

（1）車(chē)站聯(lián)鎖節(jié)點(diǎn)管理功能。在云聯(lián)鎖場(chǎng)景下，由于車(chē)站新設(shè)或撤銷(xiāo)，會(huì)導(dǎo)致云平臺(tái)中車(chē)站節(jié)點(diǎn)的擴(kuò)展或某些節(jié)點(diǎn)的退出，這就需要云平臺(tái)支持節(jié)點(diǎn)的動(dòng)態(tài)遷入/遷出服務(wù)，且不影響其他節(jié)點(diǎn)的正常運(yùn)行。

（2）車(chē)站聯(lián)鎖數(shù)據(jù)恢復(fù)功能。云聯(lián)鎖在運(yùn)行過(guò)程中由于網(wǎng)絡(luò)抖動(dòng)、突然斷電、磁盤(pán)故障等原因，可能會(huì)導(dǎo)致部分節(jié)點(diǎn)的執(zhí)行速度落后于大多數(shù)節(jié)點(diǎn)或者直接宕機(jī)。在這種場(chǎng)景下，節(jié)點(diǎn)需要能夠做到自動(dòng)恢復(fù)，使自身節(jié)點(diǎn)的存儲(chǔ)狀態(tài)盡快和整個(gè)系統(tǒng)最新的存儲(chǔ)狀態(tài)一致，參與后續(xù)的邏輯處理。

（3）資源調(diào)度功能。在云聯(lián)鎖環(huán)境下，各類(lèi)異構(gòu)資源需要進(jìn)行協(xié)同工作以滿(mǎn)足對(duì)外提供服務(wù)的要求，云平臺(tái)資源池中的資源是動(dòng)態(tài)變化的，其資源組織管理及優(yōu)化調(diào)度是云聯(lián)鎖面臨的一個(gè)重要問(wèn)題，云聯(lián)鎖需要具有很強(qiáng)的資源調(diào)度功能，以適應(yīng)其分布式、擴(kuò)展性強(qiáng)、資源動(dòng)態(tài)分配的特點(diǎn)。

（4）災(zāi)難檢測(cè)功能。云聯(lián)鎖的首要目標(biāo)就是保證系統(tǒng)的安全性、可靠性與可用性，盡量避免因?yàn)?zāi)難造成服務(wù)中斷或系統(tǒng)不安全。當(dāng)遭遇地震、火災(zāi)等自然因素或戰(zhàn)爭(zhēng)等人為因素造成的災(zāi)難時(shí)，云聯(lián)鎖要具有災(zāi)難檢測(cè)功能，盡早發(fā)現(xiàn)系統(tǒng)所面臨的重大災(zāi)難，將應(yīng)用業(yè)務(wù)盡快遷移到備用云平臺(tái)或采取保護(hù)措施，盡量避免災(zāi)難對(duì)服務(wù)及系統(tǒng)安全造成影響，將災(zāi)難導(dǎo)致的損失降到最低。

2.2 高安全云平臺(tái)架構(gòu)設(shè)計(jì)

目前，基于通用計(jì)算機(jī)硬件和軟件資源的云平臺(tái)主要用于非安全相關(guān)系統(tǒng)方面的商業(yè)用途，還無(wú)法提供滿(mǎn)足聯(lián)鎖系統(tǒng)要求的安全性和可靠性要求。對(duì)于聯(lián)鎖系統(tǒng)這類(lèi)典型的安全苛求關(guān)鍵系統(tǒng)，將其功能在云平臺(tái)上實(shí)現(xiàn)面臨著技術(shù)上的諸多變化，需要考慮更多的因素，例如適用于聯(lián)鎖系統(tǒng)的云平臺(tái)的物理和邏輯結(jié)構(gòu)，以及云平臺(tái)中控制節(jié)點(diǎn)、計(jì)算節(jié)點(diǎn)和網(wǎng)絡(luò)節(jié)點(diǎn)的配置方案設(shè)計(jì)等。

高安全云平臺(tái)架構(gòu)設(shè)計(jì)是云聯(lián)鎖安全穩(wěn)定運(yùn)行的基礎(chǔ)，其核心包括時(shí)鐘同步、安全表決和系統(tǒng)防御技術(shù)等。通過(guò)獨(dú)立的全局同步時(shí)鐘可以保障云平臺(tái)中運(yùn)行的聯(lián)鎖應(yīng)用的時(shí)序性，確保云平臺(tái)中多個(gè)聯(lián)鎖應(yīng)用保持一致的時(shí)間基準(zhǔn)，同時(shí)為采用多重表決提供時(shí)間基礎(chǔ)[9]。多重表決可在硬件存在一個(gè)或多個(gè)危險(xiǎn)故障的情況下，保證聯(lián)鎖應(yīng)用能夠繼續(xù)承擔(dān)所需的安全功能。其次，采用獨(dú)立的安全監(jiān)控設(shè)備或設(shè)計(jì)容錯(cuò)算法，對(duì)聯(lián)鎖應(yīng)用的輸出進(jìn)行防護(hù)，以阻止輸出危險(xiǎn)命令[10]。同時(shí)在面對(duì)網(wǎng)絡(luò)攻擊、安全漏洞等威脅時(shí)，應(yīng)具備有效的防御能力。云聯(lián)鎖平臺(tái)架構(gòu)如圖6所示。

圖6 云聯(lián)鎖平臺(tái)架構(gòu)Fig.6 Platform architecture of Cloud-based railway interlocking system

由圖6 可以看出，在車(chē)站僅保留執(zhí)行單元設(shè)備，大幅減少了現(xiàn)場(chǎng)設(shè)備。聯(lián)鎖邏輯等部分設(shè)置在云平臺(tái)中，云平臺(tái)采用主備物理冗余設(shè)置，以增強(qiáng)云聯(lián)鎖的可用性。在云平臺(tái)中運(yùn)行多個(gè)聯(lián)鎖應(yīng)用實(shí)例，云平臺(tái)采用了時(shí)鐘同步、安全監(jiān)視和表決等技術(shù)，在網(wǎng)絡(luò)層采用安全防御技術(shù)。

2.3 軟件監(jiān)視技術(shù)

云平臺(tái)具有計(jì)算節(jié)點(diǎn)物理地址不確定、資源虛擬化、多核計(jì)算、動(dòng)態(tài)調(diào)度等特征，而這些也是運(yùn)行在云平臺(tái)中的聯(lián)鎖應(yīng)用所要考慮的因素。在云平臺(tái)中，聯(lián)鎖應(yīng)用運(yùn)行過(guò)程中要涉及資源使用方式、數(shù)據(jù)交互方式以及相關(guān)控制節(jié)點(diǎn)和計(jì)算節(jié)點(diǎn)之間關(guān)聯(lián)關(guān)系，此外還要考慮云平臺(tái)通信延遲的不確定性，這些都增加了對(duì)云平臺(tái)中聯(lián)鎖應(yīng)用運(yùn)行特征的關(guān)注難度。然而，聯(lián)鎖系統(tǒng)的安全相關(guān)軟件具有周期性運(yùn)行和強(qiáng)實(shí)時(shí)性等特點(diǎn)，因而有必要研究適用于云平臺(tái)的軟件監(jiān)控方法，以提高系統(tǒng)的可靠性和安全性，防止錯(cuò)誤或沖突的指令對(duì)列車(chē)行車(chē)造成危險(xiǎn)。

聯(lián)鎖系統(tǒng)作為一個(gè)安全苛求系統(tǒng)，通過(guò)防止車(chē)站范圍內(nèi)的進(jìn)路沖突來(lái)確保列車(chē)運(yùn)行安全[11]。云平臺(tái)上運(yùn)行聯(lián)鎖軟件的最大挑戰(zhàn)在于確保其安全性，為解決云平臺(tái)承載的聯(lián)鎖邏輯軟件的安全性問(wèn)題，需要對(duì)云聯(lián)鎖運(yùn)行行為進(jìn)行監(jiān)測(cè)，防止危險(xiǎn)指令的輸出。例如，可以構(gòu)建適用于聯(lián)鎖運(yùn)行的云環(huán)境的聯(lián)鎖監(jiān)控模型，并設(shè)計(jì)容錯(cuò)安全方法對(duì)云聯(lián)鎖中的各個(gè)軟件程序進(jìn)行監(jiān)控，以檢測(cè)系統(tǒng)設(shè)計(jì)缺陷和計(jì)算錯(cuò)誤，及時(shí)發(fā)現(xiàn)異常情況并采取相應(yīng)措施，以防護(hù)聯(lián)鎖系統(tǒng)的輸出，確保系統(tǒng)正常運(yùn)行。云平臺(tái)監(jiān)控模型宜采用雙重冗余架構(gòu)設(shè)計(jì)，以保證監(jiān)控自身的可靠性和安全性。

2.4 時(shí)鐘同步技術(shù)

對(duì)于運(yùn)行在分布式計(jì)算節(jié)點(diǎn)中的應(yīng)用程序，需要一個(gè)全局的同步時(shí)鐘，以滿(mǎn)足各個(gè)子模塊的穩(wěn)定運(yùn)行和實(shí)時(shí)交互的時(shí)序要求[12-14]。此外，云平臺(tái)中的表決過(guò)程、故障診斷和恢復(fù)、分析審計(jì)日志、備份和恢復(fù)功能等都需要基于同步時(shí)鐘的支持。顯然，時(shí)鐘同步技術(shù)在云聯(lián)鎖的研究領(lǐng)域發(fā)揮著重要作用。安全可靠的全局同步時(shí)鐘是實(shí)現(xiàn)云聯(lián)鎖的基礎(chǔ)和前提，因此有必要研究適用于云聯(lián)鎖的全局時(shí)鐘，以及針對(duì)云聯(lián)鎖的分布式時(shí)鐘同步算法，從而保證系統(tǒng)級(jí)的時(shí)鐘同步，滿(mǎn)足計(jì)算節(jié)點(diǎn)、應(yīng)用程序和表決等對(duì)時(shí)鐘的要求，為實(shí)現(xiàn)云聯(lián)鎖提供依據(jù)。

2.5 同步表決技術(shù)

云聯(lián)鎖可以通過(guò)增加計(jì)算節(jié)點(diǎn)數(shù)量，提高聯(lián)鎖邏輯的運(yùn)算處理效率，同時(shí)避免單點(diǎn)故障等問(wèn)題。然而，在這種設(shè)計(jì)中，節(jié)點(diǎn)之間可能面臨通信不可靠、延遲和阻塞的問(wèn)題，節(jié)點(diǎn)的處理也可能出現(xiàn)錯(cuò)誤，甚至節(jié)點(diǎn)本身可能隨時(shí)宕機(jī)。此外，與傳統(tǒng)計(jì)算機(jī)相比，云平臺(tái)存在更嚴(yán)重的信息安全問(wèn)題，如入侵、劫持和修改等，導(dǎo)致每個(gè)云上的聯(lián)鎖軟件容易發(fā)生拜占庭失效的風(fēng)險(xiǎn)。同步表決算法是解決拜占庭失效和一般獨(dú)立失效的有效手段，合適的共識(shí)算法是同步表決的基礎(chǔ)[15]。傳統(tǒng)的實(shí)用拜占庭容錯(cuò)算法(Practical Byzantine Fault Tolerance)等共識(shí)算法假設(shè)系統(tǒng)可以在一致的有限時(shí)間內(nèi)完成計(jì)算和網(wǎng)絡(luò)傳輸任務(wù)，導(dǎo)致同步表決算法對(duì)系統(tǒng)處理和通信時(shí)延非常敏感。然而，云平臺(tái)的特點(diǎn)導(dǎo)致通信延遲存在較大的不確定性，因此開(kāi)發(fā)適用于高安全云平臺(tái)的同步表決算法成為當(dāng)前云聯(lián)鎖中一個(gè)重要的課題。

2.6 系統(tǒng)防御技術(shù)

由于云平臺(tái)的網(wǎng)絡(luò)化特點(diǎn)，可能面臨多種安全漏洞和惡意網(wǎng)絡(luò)攻擊，因而云平臺(tái)的網(wǎng)絡(luò)安全也是要考慮的一個(gè)重要問(wèn)題[16]。云平臺(tái)要采用主動(dòng)的系統(tǒng)防御技術(shù)來(lái)防范網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，如可以通過(guò)監(jiān)測(cè)設(shè)備或節(jié)點(diǎn)來(lái)監(jiān)視計(jì)算機(jī)程序的運(yùn)行，監(jiān)測(cè)節(jié)點(diǎn)通過(guò)加密驗(yàn)證程序?qū)用艿慕Y(jié)果進(jìn)行驗(yàn)證，能夠檢測(cè)到云節(jié)點(diǎn)潛在的安全漏洞[17]。

基于Paillier 加密機(jī)制監(jiān)測(cè)軟件程序如圖7 所示，圖中展示了監(jiān)控的實(shí)現(xiàn)的一個(gè)流程，其中使用了Paillier 加密算法。監(jiān)測(cè)節(jié)點(diǎn)執(zhí)行加密和解密操作，云節(jié)點(diǎn)只執(zhí)行事先約定的特定加密操作。在監(jiān)控方法中，可設(shè)置動(dòng)態(tài)加密運(yùn)行簽名，通過(guò)這種加密方法可以解決隱私泄露的問(wèn)題。根據(jù)EN50129標(biāo)準(zhǔn)，邏輯監(jiān)控是通過(guò)軟件計(jì)數(shù)流程或軟件密鑰流程來(lái)監(jiān)控程序執(zhí)行順序的。在程序設(shè)計(jì)的前期階段，通過(guò)在與云節(jié)點(diǎn)相關(guān)程序的關(guān)鍵分支上手動(dòng)標(biāo)記加密簽名來(lái)實(shí)現(xiàn)。在程序運(yùn)行過(guò)程中，加密簽名將被發(fā)送到監(jiān)測(cè)節(jié)點(diǎn)。監(jiān)測(cè)節(jié)點(diǎn)解密簽名后，檢查其是否正確，并啟動(dòng)相應(yīng)的安全響應(yīng)。

圖7 基于Paillier加密機(jī)制監(jiān)測(cè)軟件程序Fig.7 Example of logical monitoring based on Paillier encryption mechanism

3 結(jié)束語(yǔ)

云聯(lián)鎖順應(yīng)了鐵路信號(hào)系統(tǒng)數(shù)字化、智能化的發(fā)展方向，具有廣闊的發(fā)展前景。通過(guò)對(duì)國(guó)內(nèi)外云計(jì)算在信號(hào)領(lǐng)域的應(yīng)用情況進(jìn)行研究，分析了各個(gè)方案的技術(shù)特點(diǎn)和云聯(lián)鎖系統(tǒng)的優(yōu)勢(shì)，對(duì)云聯(lián)鎖的發(fā)展進(jìn)行了探討。通過(guò)對(duì)云聯(lián)鎖應(yīng)具備的專(zhuān)用功能進(jìn)行說(shuō)明，分析云聯(lián)鎖發(fā)展中需解決的關(guān)鍵技術(shù)，對(duì)高安全云平臺(tái)架構(gòu)設(shè)計(jì)、軟件監(jiān)視、時(shí)鐘同步、同步表決和系統(tǒng)安全防御等關(guān)鍵技術(shù)方面做了一些有益思考。云聯(lián)鎖的應(yīng)用，將極大地改變既有的信號(hào)控制模式，衍生出效率更高、成本更低、可靠性更有保障的全新信號(hào)控制模式，對(duì)我國(guó)鐵路現(xiàn)代化發(fā)展具有重要而深遠(yuǎn)的意義。