城轨列车实时以太网拓扑结构分析及应用思考

丁 超

（成都地铁运营有限公司，四川成都 610051）

近年来，实时以太网技术日益成熟。与传统的城市轨道交通（以下简称“城轨”）列车通信网络（如多功能车辆总线（MVB）、绞线式列车总线（WTB）、附加资源计算机网络（ARCNET）、局部操作网络（LonWorks）等）相比，实时以太网具有更高的数据传输速率和带宽，可克服上述传统网络带宽低、无法满足大量数据传输需求的缺陷，集成列车的控制、诊断、监测、维护等信息以及乘客信息系统（PIS）、视频监控系统等的数据，使信息大容量传输、智能诊断、故障精确定位、专家诊断等功能成为可能，因此被越来越多地应用到城轨列车通信领域。

1 城轨列车实时以太网拓扑结构

城轨列车实时以太网包括列车级网络、车辆级网络和终端设备（ED），其拓扑分层结构如图1所示。其中，列车级网络，即以太列车骨干网络（ETB）为线性网络拓扑结构，ETB交换机（ETBN）之间为线性连接；车辆级网络，即以太网编组网（ECN）的拓扑范围与列车牵引单元范围一致；ED以星形连接的方式下挂在ECN交换机（ECNN）上，ED之间遵循通信协议完成通信控制任务。ECN单元内，数据通信参数和协议保持统一，便于各类控制逻辑的编制，并且通信时延、通信带宽等传输性能也一致。

图1 城轨列车实时以太网拓扑分层结构

ECN有多种拓扑结构，根据IEC 61375-3-4-2014 Electronic railway equipment - Train communication network （TCN） - Part 3-4: Ethernet Consist Network（ECN）标准，其典型拓扑结构有以下5种。

（1）线性拓扑结构，如图2所示。该拓扑结构的优点是：布线施工便捷，电气图设计简单，线缆长度短且在不同位置差异小，故障易排查；缺点是：若出现单点故障，会影响整个网络的数据传输。

（2）双归属线性拓扑结构，如图3所示。该拓扑结构的优点是：交换机之间存在2条独立且互为冗余的物理通信链路，若一路发生故障，则另一路仍可传输数据，不会造成通信中断；缺点是：若2条独立链路同时发生故障，则将导致数据丢失。

图3 双归属线性拓扑结构

（3）环形拓扑结构，如图4所示。该拓扑结构的优点是：单物理链路故障时，可自动切换传输路径，从而增强数据传输的可靠性。缺点是：若网络中存在2个及以上的故障节点或线路故障点，环形网络（以下简称“环网”）的自愈性则不复存在；若网络中出现线路虚接，则可能出现环网频繁组网的情况，导致数据丢失。

图4 环形拓扑结构

（4）双归属环形拓扑结构，如图5所示。该拓扑结构的优点是：除具备环网的全部优点外，因ED与交换机间为双归属连接，还提升了ED间通信的可靠性。缺点是：①依赖于环网协议的正常工作；②由于环网节点增多，提高了交换机之间发生故障的概率，增加了出现故障节点或线路故障点的风险；③网络中出现线路虚接的概率增加，可能导致数据丢失。

图5 双归属环形拓扑结构

（5）双归属梯形拓扑结构，如图6所示。该拓扑结构的优点是：形成梯形网络结构，进一步增强了网络整体的连通性，任一通路的故障均不影响ED间的通信；缺点是：若网络中出现线路虚接的情况，可能导致拓扑频繁切换，而且梯形拓扑结构的软件复杂，布线繁多。

图6 双归属梯形拓扑结构

2 2 种拓扑结构分析及对比

根据城轨列车的实际应用场景（既要求列车通信网络有一定冗余性，以保证通信的稳定性和可靠性，又要兼顾车辆实际布线的可行性），综合考虑上述5种拓扑结构的优缺点，目前城轨列车实时以太网普遍采用以下2种典型拓扑结构，即双归属环形拓扑结构，以及由双归属线性拓扑演化而来的、具备链路聚合功能的线性双链路聚合拓扑结构。下面将对这2 种拓扑结构进行分析和比较。

2.1 双归属环形拓扑结构

图7展示了城轨列车采用的典型实时以太网双归属环形拓扑结构。

图7 列车双归属环形拓扑结构实例

由图可知，该列车ECN网络采用双归属环形拓扑结构，ED与交换机之间采用星形连接方式。环网结构及双归属方式可以有效规避单点故障引起的系统功能失效。

当网络发生单点故障（即单个ECNN或线路故障）时，列车通信转换为线性通信，网络愈合时间通常小于50 ms，因此不影响网络通信功能，如图8、图9所示。此外，ED均采用独立双网口通信，单一接口故障不会影响车辆的正常运行。

图8 双归属环形拓扑结构单个ECNN故障时网络通信示意图

图9 双归属环形拓扑结构单线路故障时网络通信示意图

2.2 线性双链路聚合拓扑结构

图10展示了另一种典型的城轨列车实时以太网拓扑结构——线性双链路聚合拓扑结构。

图10 列车线性双链路聚合拓扑结构实例

该拓扑结构采用双链路聚合方式，当某一条线路故障或数据量较大时，数据自动切换到另一条线路进行传输，因此单线故障不会影响网络通信。此外，ED均采用独立双网口通信，单一接口故障不会影响车辆的正常运行。

链路聚合要求选取交换机的2个端口组成配对的链路聚合组；链路聚合组在正常情况下只通过一个端口进行数据转发，而不会将数据转发至与之配对的另一端口。该功能是通过处理器软件配置交换芯片实现的，因此依赖于处理器软件的正确执行以及交换芯片的正确配置。

ECNN的级联接口设置了故障导通功能（bypass），当检测到单个ECNN失电或故障时，将激活和导通ECNN级联链路的前后向接口，隔离故障设备，保证骨干网通信不中断，如图11所示。

图11 线性双链路聚合拓扑结构单个ECNN故障时网络通信示意图

当单线路故障时，可通过链路聚合功能实现数据在另一条线路的自动传输，从而保证网络的正常通信，如图12所示。

图12 线性双链路聚合拓扑结构单线路故障时网络通信示意图

2.3 对比分析

综上所述，2种实时以太网拓扑结构技术特点如表1所示。

表1 2种实时以太网拓扑结构的技术特点

由表可知，2种实时以太网拓扑结构均能满足单点故障不影响列车运行的顶层设计目标。但线性双链路聚合拓扑结构中采用了大量旁路中继器，由于无法检测这些旁路中继器的运行状态，存在寂静故障（silent fault）风险；此外，组成器件的增多会增加成本，加大发生故障的风险，影响通信网络的可靠性。因此，本文推荐采用双归属环形拓扑结构，并建议取消旁路中继功能在列车通信网络（TCN）中的应用。

3 城轨列车实时以太网应用思考

本章将从多网融合与网络信息安全2方面对实时以太网在城轨列车通信领域的应用进行探讨。

3.1 多网融合

实时以太网由于具有高带宽的特点，因此可以将列车的控制、诊断、监测、维护等信息以及PIS、视频监控系统等的数据集成到一个通信网络中，实现一网到底。

基于实时以太网的列车通信网络可融合列车控制、信号、维护、PIS和走行部监测等系统网络。其中，列车通信网络的控制数据传输可采用符合IEC 61375-2-3-2015 Electronic railway equipment - Train communication network （TCN） - Part 2-3: TCN communication profile，以及IEC 61375-3-4-2014 Electronic railway equipment -Train communication network（TCN） - Part 3-4: Ethernet Consist Network （ECN）标准规定的列车实时数据协议（TRDP），以保障数据传输的安全性；与行车安全相关的牵引、制动、辅助、信号系统之间也采用安全的TRDP协议进行数据交互；PIS视频流、走行部文件等数据的传输仍采用传统的TCP/IP以太网协议。

在网络融合的需求下，为保证列车控制数据传输的可靠性，防止其受到PIS系统的瞬时大流量数据冲击以及网络风暴的影响，可将整车以太网划分为2个虚拟局域网（VLAN），即VLAN1和VLAN2，VLAN1用于传输列车控制数据，VLAN2用于传输服务网数据，以实现列车控制数据和服务网数据的分离。同一VLAN内的设备可正常通信，不同VLAN间的设备隔离广播域；若因特殊情况需要某一设备进行跨VLAN通信，则该设备应同时加入2个VLAN中。

3.2 网络信息安全

相比于传统的MVB网络，实时以太网由于协议公开，在提高兼容性的同时也增加了网络安全隐患。随着实时以太网列车控制技术的推进，网络安全日益成为关注的焦点。针对列车网络通信可能存在的安全隐患和风险点，应在设计时采取相应的技术措施和手段进行规避和防范，以保证列车通信的安全性。本节将针对车载内网可信域、车地之间隔离域、地面平台安全域3个域中可能存在的风险和问题，提出设计和防范建议。

3.2.1 车载内网可信域

针对车载内网可信域中存在的风险，可采取以下措施。

（1）由于车载内网可信域将所有车辆内部电气设备默认为安全可信，因此在进行相应的设计变更和软件升级时，各供应商应按照正规流程进行管理，以确保网络通信的安全性。

（2）针对车载内网中可能存在的网络风暴问题，应根据车载交换机设备的业务重要程度、优先级、所需带宽等因素对其进行VLAN划分和端口限速（即“划车道、定流速”），旨在隔离不相关业务。对于已发生的网络风暴问题，应进行交换机流量记录和日志分析，以排查和定位问题。

（3）针对车载和车地间设备的通信，应统一利用车载防火墙进行隔离，所有流入和流出数据必须经过防火墙的规则审查。车载防火墙应支持限定协议封包、媒体访问控制（MAC）地址指定、因特网控制报文协议（ICMP）洪峰过滤等功能。

3.2.2 车地之间隔离域

针对车地之间隔离域中存在的风险，可采取以下措施。

（1）为解决网络上信息的监听问题，车地通信协议可采用协议封装和解析点表的方式，使每个项目各自独立。

（2）针对用户身份的仿冒问题，可在车载端和地面端设置身份识别和设备注册机制，只有设备身份合法且成功注册后，其所发的消息才被认为合法且唯一。

（3）针对网络上信息的篡改问题，可对传输的报文采用加密和校验措施，仿造或篡改其中的某些字段。由于攻击者不清楚加密和校验方法，其生成的报文会被地面平台识别为不合规，从而被直接丢弃。

（4）在信息的重复发送和确认方面，地面平台只作为接收方，对符合正确规则的信息进行解析和前端推送等。重复发送和确认信息的前提条件是设备成功注册并建立正常通信。在这种情况下，重复发送的信息由于与数据库中已有的信息重复，因此不会入库，也不会推送到前端。

（5）在4G/5G应用场景中，车载设备在联网时应随机向运营商基站服务池申请IP地址，以确保通信的安全性，因为地面通过IP地址反向找到车载设备的理论概率为0。

3.2.3 地面平台安全域

针对地面平台安全域中存在的风险，可采取以下措施。

（1）地面平台为信息化机房，容易遭受分布式拒绝服务（DDos）攻击、缓冲区溢出攻击、Web应用攻击、结构化查询语言（SQL）注入、跨站脚本攻击（XSS）等。应按照GB/T 22239-2019《信息安全技术网络安全等级保护基本要求》中的相关安全等级要求（不低于二级）采取安全防护手段，如引入入侵防御系统（IPS）、数据库审计设备和日志审计设备等，进行通信网络安全防护。

（2）针对城市轨道交通运营场景，应配合车载、车地通信系统，为地面平台建立设备身份认证、车地通信协议规则等机制，进一步保证通信安全。

4 结语

文章在剖析城轨列车实时以太网5种典型拓扑结构优缺点的基础上，对目前普遍采用的双归属环形拓扑和线性双链路聚合拓扑2种结构进行对比分析，得出结论：虽然这2种拓扑结构均能实现单点故障不影响列车运行，但由于线性双链路聚合拓扑结构中采用大量旁路中继器，会增加故障风险，因此推荐采用双归属环形拓扑结构。然后从多网融合与网络信息安全2方面对实时以太网在城轨列车通信领域的应用提出思考，提出多网融合具体方案以及网络安全防护措施，以期推进城轨列车实时以太网技术的发展。