城市轨道交通自动售检票系统设计

夏德春，肖占荣，李海虎，于立军

（中国铁道科学研究院 电子计算技术研究所，北京 100081）

城市轨道交通自动售检票（AFC）系统在地铁运营中起着至关重要的作用，该系统直接为乘客提供服务，与服务、客流和收益等密切相关。随着地铁客流量的迅速增加和城市轨道指挥中心的建设，对轨道交通AFC系统的安全、可靠和保密提出了更高的要求。

1 AFC系统概述

自动售检票（AFC）系统是基于计算机、通信、网络、自动控制等技术，以非接触IC卡为车票信息载体，实现地铁车票的自动和半自动售票、自动检票、计费、收费、统计、结算全过程的自动化管理系统。轨道交通AFC系统采用3级组网、4层架构。第1层网络中央计算机系统是联网收费系统的票务管理中心（ACC）。第2层线路中央（LC）系统是所辖线路的控制和管理中心。第3层车站计算机（SC）系统管理和监控车站终端设备。第4层车站终端设备是直接服务于乘客的部分，执行系统指令，完成各种交易，生成各种交易数据。系统架构如图1。

图1 AFC系统总体网络构架图

AFC系统主要由计算机系统、车站现场终端设备、网络传输设备、配电设备、车票、运营辅助设备等组成。系统经由通信传输网连接构成统一的AFC系统网络。AFC系统每条线都满足与其它地铁线路之间的无障碍换乘的要求，并将满足网络化运营的要求，实现城市交通一卡通和轨道交通一票通。

2 票务管理中心

北京市轨道交通票务管理实行3级管理组织结构：ACC票务总中心、线路票务中心和车站票务室。票务管理中心的设备配置满足AFC系统所需要的车票采购、车票初始化、车票个性化处理、车票的清洗和消毒、车票的清点和包装、车票的流通等功能要求。在每个功能实现过程中，对于可变更的数据，均通过参数的形式对其进行控制。票务中心与编码分拣机共同组成一个完整的车票发行控制体系，由票务中心、控制模块、发行模块共同构成3级发行管理2级审核体系，综合控制整个系统的发行，确保车票发行的安全准确。在车票流通的实现上，在票务总中心、票务中心、中心站（站区）、票务室通过4级参数控制，保证车票在全网内、线路内、站（站区）内顺利流通，并可监控到操作员手中车票的存量。通过多级管理密钥保证等安全措施，采用成熟可靠设备，保证系统的高安全性、可靠性和稳定性。

2.1 票务总中心

ACC票务总中心负责协调全部轨道交通各线路的票务规则制定、车票调配；票务管理系统票制规定，对车票进行初始化操作，下发到销售网点，跟踪车票状态及车票使用情况、密钥系统验证、操作权限管理等。

2.2 线路票务中心

线路票务中心接受ACC票务总中心的指令和调配的车票，完成线路间车票的调配；完成本线路车票安全密钥体系的制定和对车票销售、充值的授权管理。在线路中心独立运营的条件下，制定发行计划，车票采购管理，车票初始化和本线路车票的2次发行，本线路车票预赋值及分拣，本线路车票消毒/清洗，车票库存管理，本线路内各车站之间车票的动态调配、上缴，车票的回收，车票使用记录、查询，提供满足运营管理需求的各种车票信息统计、报表等。

2.3 车站票务中心

车站票务室的主要功能是根据ACC票务总中心及线路票务中心的规定，完成车站车票的接收、发售、充值、收回、分拣及上缴等各项票务管理工作；监控终端设备内车票的存量及AFC设备的车票流通状况，及时提出车票需求请求，并根据实际情况，完成车票在本车站内的分配和再利用；提供各种车票（包括一卡通卡）在车站的查询及其他服务； 完成车票在车站的各班次交接管理，形成统计报告。

3 线路中央计算机系统

线路中央计算机（LC）系统为线路AFC系统的核心部分，实现对系统运营、票务、收益、维修的集中监控和管理。接受ACC系统参数及指令，实现所监控线路AFC系统的运营管理，并根据协议上传相关数据；与ACC对帐，实现所辖线路票务管理及设备管理。当通信故障等必须由线路独立运行时LC系统独立管理所辖线路AFC系统运行，LC系统收集、处理系统内各类数据，制定、维护系统各类参数，接收、下达系统各类指令，同时为系统提供高度的安全机制和严格的操作规程，并通过ACC实现本线路与轨道交通网络其它线路以及市政交通一卡通之间的结算。

3.1 LC系统结构

LC系统由多台服务器承担中心计算机工作：主数据库服务器、历史数据库服务器、前置通信服务器、数据交换服务器、运营管理服务器、报表文档服务器和网管备份服务器。此外，还配备相应设备，包括：磁盘阵列、磁带库、核心交换机、存储交换机、防火墙设备、入侵检测设备、各部门操作工作站（包括：运营管理、网络管理、报表管理、票务管理、计划管理、审核管理等终端工作站）、网络激光打印机等。其结构见图2。

图2 线路中心拓扑图

LC系统主服务器由两台服务器构成，作为数据库服务器和应用服务器，承担着整个系统主要的数据存储和数据处理，再配以历史数据服务器，实现数据分析、决策支持、系统管理、数据备份等功能。两台主服务器将采用集群方式工作，使用负载均衡器，平时分摊处理任务，当一台需要维修或发生故障时，另一台承担全部的处理任务。为了数据存储和备份的需要，与主服务器一起工作的还有磁盘阵列（RAID）和磁带库；磁盘阵列和磁带库通过光纤连接到网络存储交换机（SAN）上。线路运营管理服务器及工作站，实现日常运营的设备监控和运营管理、客流管理等功能。另外，系统还设置报表服务器完成报表服务、报表查询工作等实现报表管理功能；网管服务器、网管工作站、及其他网络设备（包括：网络交换机、路由器、防火墙、入侵检测系统）等，组成网络管理系统，实现系统网络管理、网络安全等功能。

3.2 LC系统主要功能

LC系统实现的基本功能包括：监视系统运行状态，收集、统计、分析、查询运营数据；数据审核、数据备份及恢复；设备入网注册；接收ACC下载的车票种类、票价表、费率表、运营模式等参数，并通过SC系统下载到终端设备；接收时钟信号完成时钟同步；接收、上传、下载黑名单等。接受ACC的车票调配指令，完成在本线路流通的车票调配；LC系统内安全访问控制，系统内权限管理；系统间安全访问控制。对线路间共享车站AFC设备的SC系统进行管理；与ACC清算对帐。

4 车站计算机系统

车站计算机（SC）系统为车站AFC系统的核心部分，可对本车站内部的所有设备进行实时监控，实现对车站AFC系统运营、票务、收益及维修的集中管理。SC系统可收集、处理车站内各类数据，并上传到LC系统；接收LC系统下传的各类系统参数，并下载到车站各车站设备；可接收LC系统下达系统各类指令，并下传到各车站设备，同时可根据需要自行向车站设备下达控制指令，并将该操作记录上传到LC系统。SC系统的设备主要包括： 车站服务器、监控工作站、票务工作站、紧急按钮控制箱、打印机等，见图3。

图3 车站计算机系统网络结构图

SC系统功能主要包括：车站运营管理、车站票务管理、车站收益管理、车站AFC设备维修管理、安全管理和车站报表。

5 权限管理

权限管理是SC系统中安全管理的重要组成部分。权限管理的意义在于对各种有访问需求的用户建立其不同的身份识别标志，使授权用户能够进入系统并且完成其工作，而对非授权用户防止其进入系统或越权使用系统功能，从而保证系统的安全。

权限管理包含3方面的内容：（1）权限管理的主体，即人员或用户；（2）权限管理的客体，即设备或资源；（3）主体对客体访问能力的限制，即所谓授权。

AFC系统的权限管理达到的目的如下：防止不具备特定权限的用户非法使用计算机系统及其自动售检票设备、使用机密性服务、进行LC系统和SC系统的操作、接触重要的数据、现金、票卡等、盗用认证数据和非法操作数据。上述威胁发生时，为保护AFC系统，对各用户的可操作机器及功能进行限制，以提高系统整体的安全性。AFC系统的权限管理统一由LC系统进行管理：建立、分配、审核、维护和终止等。

5.1 权限管理设计

针对ACF系统提出权限、用户、角色和组4种类型的对象。

（1）权限即系统的所有权限信息。权限是一个树状的结构，具有上下级关系。主要包括系统管理、用户管理、新增用户、删除用户、修改用户、查看用户等。对于每个权限，又存在只可访问和可授权两种情况。

（2）用户为ACF 系统的具体操作者，用户可属于0～n个组，可以归属于0～n个角色，也可拥有自己的权限信息。

（3）角色是为了对许多拥有相似权限的用户进行分类管理，例如系统管理员、管理员、用户、访客等角色。角色是一个树状的结构，具有上下级关系。父级角色的权限是自身及它的所有子角色的权限的综合。

（4）组是为了更好地管理用户，对用户进行分组归类。组也具有上下级关系，可以形成树状视图，见图4。

图4 4种类型对象的关系图

由关系图可以看出，4者的关系很复杂；而实际的情况更复杂，因为权限、角色和组都具有上下级关系。在AFC 系统建模时，加入一个关联表来表示两者的关系。本系统关联表主要包括：组表、角色表、用户表、权限表、组角色关联表、组权限关联表、用户属组关联表、用户角色关联表、用户权限关联表以及角色权限关联表等。

5.2 主体用户管理

AFC系统为所有的合法人员建立一个唯一ID用户编号，以区别其唯一身份。用户编号由LC系统根据轨道交通统一编码规则设置。将系统中需要完成的某种功能操作，或有同样任务的人员，根据目的、级别进行组合，形成用户组。例如：LC系统高级管理员、管理员、运营人员、维修人员、票务中心管理员、车站运营人员、车站票务员、BOM操作员、设备维修员等。

5.3 客体对象管理

由于客体对象的机密、重要程度不等，受到的保护程度亦有差别。ACF系统权限管理对客体对象以其子系统、功能、或设备进行定义划分。LC系统中各子系统划分如：网络管理、运营管理、财务管理等。各种软件功能划分模块、数据、界面菜单，如收益数据、备份操作等。设备划分如：各专用工作站、终端等，各车站SC系统，车站各类、各台设备，自动售检票设备的日常操作，自动售检票设备的维护，自动售检票设备的维修等。

5.4 权限分配

ACF系统的权限分配是将主体用户赋予其对客体对象的访问权限，由指定的超级系统管理员在LC系统进行统一管理。访问权限又区别为可读、可执行和可修改等不同的级别。分配权限时可以对人员ID进行分配，也可以对管理员组进行分配，并将人员ID纳入到管理员组中，从而使其具有该管理员组的权限； 同时一个人员ID可以出现在多个组中，他就具有多个管理员组的权限；而一个管理员组有多个人员ID，具有同样的权限。

6 结束语

本文介绍了城市轨道交通自动售检票（AFC）系统的设计，通过室内仿真环境的测试验证，本设计能够满足地铁对AFC系统的高性能、可靠性、伸缩性、安全性、易维护和开放性的要求，能精确记录乘客乘车的起点、终点，准确掌握客流的时间分布规律和空间分布规律，实时统计各条线路及各车站的客流量，为运营部门提供基础数据，有利于及时调整运力配备，应对客流变化，缓解拥堵。

[1]刘京西，高洪波. 北京轨道交通自动售检票系统的设计及实现[J]. 铁路计算机应用，2011，20（11）：56-58，61.