论文部分内容阅读
摘要:大量新技术的应用发展要求综合监控系统具有很高的安全性、可靠性。分析阐述了综合监控系统的保护机制的目标及措施,对综合监控系统设备的冗余切换进行了详细分析。
关键词:轨道交通 综合监控系统 冗余
Abstract: With the more applications of the information technology ,people will pay more attention to the security of the ISCS. This paper introduces the safeguards and the redundancy switch of the ISCS.
Keywords: urban railway system, ISCS system,
中图分类号: U672.7+4文献标识码:A 文章编号:
0、 引言
综合监控系统是一个功能强大、开放、模块化、可扩展的分布式控制系统。随着计算机应用技术的发展,更多的新技术在综合监控系统平台上得到了很好的发展,如先进的设备管理技术、地理信息技术系统、数字视频技术、信息查询技术、计算机语音合成技术。而大量新技术的应用发展对综合监控系统自身应用的安全性、可靠性也提出了更高的要求。
本文就综合监控系统的保护机制的建立及其冗余切换原理进行了讨论。
1、 综合监控系统保护机制的建立
综合监控系统承担着对轨道交通多个大型机电系统设备进行监控的重大任务,是地铁正常运营和救灾指挥的基本保证,涉及到人身和设备的安全。因此,综合监控系统必须从系统结构、功能设计、数据流程等多方面保证系统安全可靠运行。
1.1 综合监控系统保护机制实现的目标:
(1)、硬件设备的任何单点故障或任何交叉故障时,综合监控系统不损失任何功能。(2)、主干网双网同时故障,车站综合监控系统能行使中央综合监控系统的关键功能。
(3)、综合监控系统严重故障,必须保证综合监控系统关键功能的运行;综合监控系统全部瘫痪,不能影响各个子系统的运行,IBP盘保证对关键系统设备的操作控制和状态监视。
(4)、综合监控系统的运行和维护必须进行身份认证和权限分级管理,任何操作均有记录。
(5)、任何时候保证网络安全,防止非法入侵;服务器禁止病毒,工作站具有严格的防病毒措施。
(6)、综合监控系统的系统参数和运行数据不丢失,保证数据的安全性。
1.2 综合监控系统保护机制实现措施:
(1)、全方位冗余机制。冗余机制不仅包括硬件设备,而且包括相应的软件,不仅包括运行的功能,而且包括数据流程,都是冗余的。多重冗余机制使得在任何单点故障和交叉故障时,都不影响综合监控系统运行。冗余切换时能保证数据不丢失,保证了数据的一致性。切换时间满足要求,保证了数据的实时性,
(2)、前置处理器物理隔离。综合监控系统和其他厂家提供的互联及集成子系统之间用前置处理器(FEP)构筑物理隔离层,各个子系统的数据不会直接进入综合监控系统,须经过FEP协议转换;综合监控系统的数据进入各个子系统同样经过FEP的缓冲,FEP相当于安全网关。FEP选用高性能、高可靠性的处理器,既使得综合监控系统与各个子相同相互独立互不干扰,又不影响隔离引起的实时性和可靠性。
(3)、权限管理。系统根据对各个子系统设备监视和操作的允许与否进行设置。每级使用标识和密码进行控制。权限管理保证了综合监控系统使用和维护的安全性。
(4)、操作的互锁功能。在综合监控系统中,中央和车站、车站和IBP盘都有操作互锁机制,不允许多个操作员同时对某个设备进行操作。
(5)、分布式结构保证软件对位置的透明。中央综合监控功能可以在中央服务器上实现,也可在车站服务器实现。当系统维修和扩展时,可在线编辑系统,将需更换设备上的软件转移到其它设备上。
(6)、紧急指挥功能。综合监控系统具有多层的保护机制,当中央综合监控系统不能运行时或紧急情况下,可以由后备指挥中心接管系统监控功能。
(7)、划分不同IP网段和划分虚网,保证网络数据不相互影响。在外部,综合监控系统主干网与通信网独立,在内部,综合监控系统控制中心和各个车站采用不同的IP网段,使得各个综合监控系统的各个部分数据也相互独立,需要交换的数据通过三层交换的线速路由控制。各个IP网段内还可细分VLAN,保证不同性质的数据不相互影响。
(8)、身份认证和报文加密。系统定义不同级别和操作权限的用户,进入综合监控系统首先根据用户名和密码检验合法性,并根据定义分配相应的权限。为确保系统的安全性,对控制命令等高安全性报文进行加密。
(9)、防火墙技术。为保证网络安全,凡与外部系统有网络互联的地方建议设置硬件防火墙,防止网络攻击和非法访问。
(10)、运行日志管理。综合监控系统的任何操作均进行日志记录,任何操作有据可查,根据日志进行分析和回退等保护功能。
(11)、数据备份管理:制定完善的系统备份方案是保证综合监控系统意外损坏时的有效手段,综合监控系统应对系统及其相关数据定期自动备份。
(13)、操作系统的安全性。综合监控系统的服务器、工作站均采用UNIX操作系统,64位多任务,C2安全等级,从根本上保证了软件系统的安全性。
(14)、IBP后备盘。综合监控系统为保证地铁的正常运营,设计了多层控制防护措施,从控制中心到车站,到IBP紧急控制盘,到各个子系统就地级的控制。对综合监控系统而言,IBP盘是计算机系统的保护性后备。IBP盘上有各个子系统紧急控制的按钮和关键设备的状态,通过硬线经过专用独立通道对设备直接控制。
2、 综合监控系统冗余切换原则和切换原理
冗余机制主要涉及中央主备实时服务器之间、中央主备历史服务器之间、车站主备实时服务器之间、主备工作站之间、主备FEP之间、主干网双网之间、中央局域网双网之间、车站局域网双网之间。
冗余设备的运行模式有热备、冷备和集群三种方式。热备方式是指冗余的设备数据环境和运行的任务相同,正常时只有主机对外提供数据和服务,备机则处于休眠状态,主机发生故障时,只要任务重新接管即可完成切换。冷备方式是指冗余的设备数据环境,正常时主机运行任务,备机不运行任务,主机发生故障时,备机启动任务。集群方式是指冗余的设备数据环境相同,正常时主机和备机都执行任务,均衡负载运行,主机发生故障时,备机执行所有的任务。在综合监控系统中,服务器之间和车站之间的冗余采用热备方式,中央和车站之间的冗余是冷备方式,骨干网和车站局域网双网之间采用集群方式。
2.1服务器冗余切换原理
冗余服务器由两台相同的服务器组成,在同一时刻,它们执行相同的任务,接收相同的数据,产生相同的输出,冗余的服务器具有相同的行为和属性,任何一台服务器的能力均可以满足系统的需求,在客户端看来是一个逻辑上的服务器。如果其中的一个服务器发生故障,系统自动切换到备份服务器中继续运行,故障服务器重启后从主服务器上获得数据库快照,使得自己的数据和主服务器的数据实时保持一致。如下图所示:
图1:中央实时服务器切换原理图
2.2 前置处理器冗余切换原理
每台前置处理器配置冗余双网卡与综合监控系统局域网相连。当关键部件(如网卡)出现故障时,系统会自动通过该FEP冗余的网卡作为通信口和系统连接。若双网卡或电源发生故障,系统会切换到另外一台FEP,其过程全程透明,对系统或工作人员没有影响。如下图所示:
图2:前置处理器切换原理
2.3网络冗余切换原理
综合监控系统的网络由两部分组成:中央计算机系统局域网,车站级系统局域网;中央计算机系统局域网通过光纤与车站级局域网及远程终端连接。采用冗余环网拓扑,环网冗余拓扑具有备份链路功能,当网络出现故障时启动环中的备份链路,使网络的故障对网络整体的通讯无任何影响,提高了网络的可靠性及冗余性。
2.4 工作站冗余切换
工作站的冗余切换主要通过权限管理完成。系统给每个操作站的角色分配相应的权限。系统将按照要求配置综合监控系统操作权限。当相同位置任一个操作站出现故障时,操作员可以登录另外一个操作站,接管其操作任务,完成其功能。
3、 结论
本文详细分析了一个安全可靠的综合监控系统所需要的保护机制及其相关措施。并分析了系统冗余切换的原理。只有建立完善的保护机制,综合监控系统才能成为高效运营、科学管理的系统,才能有更高應用扩展空间。
作者简介:周桔红女1979年生硕士研究生江西上饶人工程师 就职于广州市地下铁道总公司,现从事轨道交通综合监控系统工作。
注:文章内所有公式及图表请用PDF形式查看。
关键词:轨道交通 综合监控系统 冗余
Abstract: With the more applications of the information technology ,people will pay more attention to the security of the ISCS. This paper introduces the safeguards and the redundancy switch of the ISCS.
Keywords: urban railway system, ISCS system,
中图分类号: U672.7+4文献标识码:A 文章编号:
0、 引言
综合监控系统是一个功能强大、开放、模块化、可扩展的分布式控制系统。随着计算机应用技术的发展,更多的新技术在综合监控系统平台上得到了很好的发展,如先进的设备管理技术、地理信息技术系统、数字视频技术、信息查询技术、计算机语音合成技术。而大量新技术的应用发展对综合监控系统自身应用的安全性、可靠性也提出了更高的要求。
本文就综合监控系统的保护机制的建立及其冗余切换原理进行了讨论。
1、 综合监控系统保护机制的建立
综合监控系统承担着对轨道交通多个大型机电系统设备进行监控的重大任务,是地铁正常运营和救灾指挥的基本保证,涉及到人身和设备的安全。因此,综合监控系统必须从系统结构、功能设计、数据流程等多方面保证系统安全可靠运行。
1.1 综合监控系统保护机制实现的目标:
(1)、硬件设备的任何单点故障或任何交叉故障时,综合监控系统不损失任何功能。(2)、主干网双网同时故障,车站综合监控系统能行使中央综合监控系统的关键功能。
(3)、综合监控系统严重故障,必须保证综合监控系统关键功能的运行;综合监控系统全部瘫痪,不能影响各个子系统的运行,IBP盘保证对关键系统设备的操作控制和状态监视。
(4)、综合监控系统的运行和维护必须进行身份认证和权限分级管理,任何操作均有记录。
(5)、任何时候保证网络安全,防止非法入侵;服务器禁止病毒,工作站具有严格的防病毒措施。
(6)、综合监控系统的系统参数和运行数据不丢失,保证数据的安全性。
1.2 综合监控系统保护机制实现措施:
(1)、全方位冗余机制。冗余机制不仅包括硬件设备,而且包括相应的软件,不仅包括运行的功能,而且包括数据流程,都是冗余的。多重冗余机制使得在任何单点故障和交叉故障时,都不影响综合监控系统运行。冗余切换时能保证数据不丢失,保证了数据的一致性。切换时间满足要求,保证了数据的实时性,
(2)、前置处理器物理隔离。综合监控系统和其他厂家提供的互联及集成子系统之间用前置处理器(FEP)构筑物理隔离层,各个子系统的数据不会直接进入综合监控系统,须经过FEP协议转换;综合监控系统的数据进入各个子系统同样经过FEP的缓冲,FEP相当于安全网关。FEP选用高性能、高可靠性的处理器,既使得综合监控系统与各个子相同相互独立互不干扰,又不影响隔离引起的实时性和可靠性。
(3)、权限管理。系统根据对各个子系统设备监视和操作的允许与否进行设置。每级使用标识和密码进行控制。权限管理保证了综合监控系统使用和维护的安全性。
(4)、操作的互锁功能。在综合监控系统中,中央和车站、车站和IBP盘都有操作互锁机制,不允许多个操作员同时对某个设备进行操作。
(5)、分布式结构保证软件对位置的透明。中央综合监控功能可以在中央服务器上实现,也可在车站服务器实现。当系统维修和扩展时,可在线编辑系统,将需更换设备上的软件转移到其它设备上。
(6)、紧急指挥功能。综合监控系统具有多层的保护机制,当中央综合监控系统不能运行时或紧急情况下,可以由后备指挥中心接管系统监控功能。
(7)、划分不同IP网段和划分虚网,保证网络数据不相互影响。在外部,综合监控系统主干网与通信网独立,在内部,综合监控系统控制中心和各个车站采用不同的IP网段,使得各个综合监控系统的各个部分数据也相互独立,需要交换的数据通过三层交换的线速路由控制。各个IP网段内还可细分VLAN,保证不同性质的数据不相互影响。
(8)、身份认证和报文加密。系统定义不同级别和操作权限的用户,进入综合监控系统首先根据用户名和密码检验合法性,并根据定义分配相应的权限。为确保系统的安全性,对控制命令等高安全性报文进行加密。
(9)、防火墙技术。为保证网络安全,凡与外部系统有网络互联的地方建议设置硬件防火墙,防止网络攻击和非法访问。
(10)、运行日志管理。综合监控系统的任何操作均进行日志记录,任何操作有据可查,根据日志进行分析和回退等保护功能。
(11)、数据备份管理:制定完善的系统备份方案是保证综合监控系统意外损坏时的有效手段,综合监控系统应对系统及其相关数据定期自动备份。
(13)、操作系统的安全性。综合监控系统的服务器、工作站均采用UNIX操作系统,64位多任务,C2安全等级,从根本上保证了软件系统的安全性。
(14)、IBP后备盘。综合监控系统为保证地铁的正常运营,设计了多层控制防护措施,从控制中心到车站,到IBP紧急控制盘,到各个子系统就地级的控制。对综合监控系统而言,IBP盘是计算机系统的保护性后备。IBP盘上有各个子系统紧急控制的按钮和关键设备的状态,通过硬线经过专用独立通道对设备直接控制。
2、 综合监控系统冗余切换原则和切换原理
冗余机制主要涉及中央主备实时服务器之间、中央主备历史服务器之间、车站主备实时服务器之间、主备工作站之间、主备FEP之间、主干网双网之间、中央局域网双网之间、车站局域网双网之间。
冗余设备的运行模式有热备、冷备和集群三种方式。热备方式是指冗余的设备数据环境和运行的任务相同,正常时只有主机对外提供数据和服务,备机则处于休眠状态,主机发生故障时,只要任务重新接管即可完成切换。冷备方式是指冗余的设备数据环境,正常时主机运行任务,备机不运行任务,主机发生故障时,备机启动任务。集群方式是指冗余的设备数据环境相同,正常时主机和备机都执行任务,均衡负载运行,主机发生故障时,备机执行所有的任务。在综合监控系统中,服务器之间和车站之间的冗余采用热备方式,中央和车站之间的冗余是冷备方式,骨干网和车站局域网双网之间采用集群方式。
2.1服务器冗余切换原理
冗余服务器由两台相同的服务器组成,在同一时刻,它们执行相同的任务,接收相同的数据,产生相同的输出,冗余的服务器具有相同的行为和属性,任何一台服务器的能力均可以满足系统的需求,在客户端看来是一个逻辑上的服务器。如果其中的一个服务器发生故障,系统自动切换到备份服务器中继续运行,故障服务器重启后从主服务器上获得数据库快照,使得自己的数据和主服务器的数据实时保持一致。如下图所示:
图1:中央实时服务器切换原理图
2.2 前置处理器冗余切换原理
每台前置处理器配置冗余双网卡与综合监控系统局域网相连。当关键部件(如网卡)出现故障时,系统会自动通过该FEP冗余的网卡作为通信口和系统连接。若双网卡或电源发生故障,系统会切换到另外一台FEP,其过程全程透明,对系统或工作人员没有影响。如下图所示:
图2:前置处理器切换原理
2.3网络冗余切换原理
综合监控系统的网络由两部分组成:中央计算机系统局域网,车站级系统局域网;中央计算机系统局域网通过光纤与车站级局域网及远程终端连接。采用冗余环网拓扑,环网冗余拓扑具有备份链路功能,当网络出现故障时启动环中的备份链路,使网络的故障对网络整体的通讯无任何影响,提高了网络的可靠性及冗余性。
2.4 工作站冗余切换
工作站的冗余切换主要通过权限管理完成。系统给每个操作站的角色分配相应的权限。系统将按照要求配置综合监控系统操作权限。当相同位置任一个操作站出现故障时,操作员可以登录另外一个操作站,接管其操作任务,完成其功能。
3、 结论
本文详细分析了一个安全可靠的综合监控系统所需要的保护机制及其相关措施。并分析了系统冗余切换的原理。只有建立完善的保护机制,综合监控系统才能成为高效运营、科学管理的系统,才能有更高應用扩展空间。
作者简介:周桔红女1979年生硕士研究生江西上饶人工程师 就职于广州市地下铁道总公司,现从事轨道交通综合监控系统工作。
注:文章内所有公式及图表请用PDF形式查看。