中老铁路磨万段CTC 系统设计方案研究

0 引言

中老昆万铁路(昆明—万象，以下简称“中老铁路”) 于2021 年12 月开通运营。中老铁路磨万段(磨丁—万象南)起点为中老边境口岸磨丁，向南经老挝琅南塔省、乌多姆赛省、琅勃拉邦省、万象省，到达线路终点老挝首都万象市，线路全长422.4 km；全线共分布车站32 个，初期新建20个车站，其中会让站9 个、客运站10 个、货运站7 个、口岸站1 个(磨丁)；最长站间距离33.6 km(慧汉—琅勃拉邦)，最短站间距离8.5 km (琅勃拉邦—香恩)。

铁路调度集中控制(CTC)系统作为影响铁路运输的关键系统，既要满足行车运输功能需求，又要易于操作维护，确保铁路运输系统安全。在中老铁路磨万段开通运营之前，老挝仅有一段3.5 km长的既有非电气化米轨铁路，其交通运维部门没有现代化铁路的运营维护经验，因而不能完全照搬中国国内调度集中系统方案建设中老铁路。因此，从老挝实际国情出发，结合铁路运输规划、运维功能，对中老铁路磨万段CTC 系统需求进行分析，分别从系统组网和安全防护2 个方面进行研究，对中老铁路磨万段CTC 系统方案进行设计。

1 CTC 系统需求分析

1.1 运输组织和调度区划

中老铁路磨万段全线采用旅客列车与货物列车共线运行的运输组织模式。国际联运及城际旅客列车主要在白天运行，中老间直达货物列车和集装箱班列适宜全天候开行。中老铁路磨万段全线按单线设置车站。根据运量需求，磨万段共设置20 个车站，由1 个口岸站、10 个中间站和9 个会让站组成。对于跨国货物大宗车流组织装车地直达或技术直达列车，其余车流组织区段、摘挂、小运转列车，线路两端及枢纽各方向按重、空车出入平衡设计。综上，本线新设行车调度台1 个，货运调度台1 个，在万象新建调度中心1 座。

1.2 运维功能需求分析

从运输需求方面考虑，中老铁路磨万段为速度160 km/h 普速铁路，车站作业较多，尤其是磨丁、琅勃拉邦、万象和万象南等车站调车作业需求量大。普速铁路通常存在货车运用时分不确定、天窗时间不固定等因素[1]，存在计划临时调整较多的情况，在一定程度上影响调度员工作效率和工作质量。因此，中老铁路磨万段CTC 系统(含调度中心)需具备列车运行监视、车次号自动跟踪、到发点自动采集、实际运行图自动生成、阶段计划自动调整、调度命令网络下达、车站行车日志自动生成、车站信号设备集中控制、列车进路按图排路和调车控制等功能。

从工程投资和运营维护成本方面考虑，中老铁路磨万段CTC 系统(含调度中心)应结合老挝基础建设水平、铁路规划、运维技术等多种因素配置系统方案，并为系统用电、系统控制范围升级扩容预留可扩展接口。

从当前情况来看，中老铁路磨万段全线只有20 个车站且只有磨丁、琅勃拉邦、万象等站规模尚可，运输调度作业压力较低，加之老挝电力基础设施建设还需进一步发展，因而CTC 系统配置应根据本线运输能力适当选择，以免造成投资、能源的双重浪费。

2 CTC 系统方案设计

根据老挝铁路运输组织和调度区划、运维功能需求分析，结合工程投资情况，参照中国相关规范和其他项目经验[2-3]，基于CTC 2.0 系统架构配置CTC 系统方案。中老铁路磨万段CTC 系统整体由调度中心子系统、车站子系统、网络子系统和查询子系统共同构成，为车站-中心两层结构。

2.1 系统构成

CTC 调度中心子系统设备组成包括数据库服务器、应用服务器、通信前置服务器、复示查询终端服务器、T/D 接口服务器、GSM-R 接口服务器、对外接口时钟服务器、运维服务器、GPS 授时仪等；调度大厅设备包括行调台设备(调度员工作站、助理调度员工作站、站场显示工作站等)、货调台、电调台、机辆台、值班主任台终端，以及应急指挥终端、网管台终端、维护台终端、打印机、绘图仪和大屏设备等。

CTC 调度中心子系统作为中心层，与20 个车站子系统均进行互联，同时与TD，GSM-R 等其他专业系统进行互联，并通过核心网络设备组成中心局域网，各终端设备接入中心局域网。调度中心各终端、服务器之间互联并与车站子系统进行互联，根据技术规范要求[2]以及系统结构组成中心系统，主要实现运行图铺画、调度命令拟写下达，列车运行报点、站场信息显示及信息查询、报警提示等。

各车站设CTC 车站子系统主要包括分散自律机、车务终端、电务维护终端等，并配套网络设备、信息安全防护设备、通信质量监督设备及电源设备等，系统采用无线方式实现车次号校核和调度命令接收功能。各站通过路由器等网络设备与相邻车站的CTC 车站子系统及调度大楼的调度中心子系统进行互联，并通过串行接口与站内计算机联锁、集中监测系统等构成车站信号系统。车站子系统具备站场信息显示、列车进路排列、车次号追踪、报警信息提示等功能。

CTC 网络子系统组成包括核心交换机、核心路由器、对外接口时钟路由器、网闸、光纤收发器、ODF 架及网络安全设备等，确保调度集中系统各子系统间的数据正常传输、终端正常工作。

CTC 查询子系统由调度中心的5 台其他调度台查询终端(分别对应行调台、货调台、电调台、机辆台、智能台)、总部基地的网络柜和查询终端等设备组成。查询子系统通过一台路由器、一台交换机及网络安全设备与中心子系统互联并在满足业务使用的基础上实现与生产网的有效隔离。

2.2 组网方案

中老铁路磨万段CTC 系统网络由调度中心局域网、车站局域网及广域网组成。其中，广域网由调度中心与车站之间、车站与车站之间的广域网构成。广域网采用双通道结构确保双路同时传输数据，避免一个环网故障影响另一环网的正常工作[4]。中老铁路磨万段调度中心、各车站的路由器、交换机、终端设备的以太网适配器及网络线等关键网络设备或部件均采用双套冗余配置。中老铁路磨万段CTC 系统及网络结构示意图如图1 所示。

图 1 中老铁路磨万段CTC 系统及网络结构示意图Fig.1 CTC system for Boten-Vientiane section of China-Laos Railway and its network structure

中老铁路磨万段车站广域网采用专用双环(主、备)高速光纤数字通道，按照迂回形式并参照“TDCS/CTC 车站广域网采用环形通道时，每8 ～ 15 个车站(不超过100 km)应有一套通道返回铁路局调度所”[2]引入各车站及调度所，配套FE光接口设备接入车站信号机房及调度中心CTC 中心机房机柜的通信设备中，通信接口遵循相应的接口标准，接口速率为2 Mb/s。吸取国内个别既有线车站网络因路由器和防火墙交叉互联[5]、交换机和防火墙采用冗余网线连接[6]造成的网络故障教训，根据运营单位维护需求和现场实际情况将车站广域网划分为4 个环网。车站广域网拓扑图如图2所示。

图 2 车站广域网拓扑图Fig.2 Topology of station’s wide area network

中老铁路磨万段CTC 系统基于CTC2.0 系统架构设计，而CTC2.0 系统的一大特点就是生产终端与查询终端共存于同一网络中。有观点认为，对于一个安全系统，通常通信协议是其中比较薄弱的一环，而安全设备与通信协议相比，面临风险较小，恶意人员对一个安全系统进行破坏，所能达到的最坏结果就是使系统失效，导向了一个安全状态，影响了系统的可用性，而不是安全性[7]。因此，在设计该系统时对中老铁路磨万段CTC 的网络子系统进行了适当优化。在满足相关规范、确保设备使用功能的前提下，将包括行调台、货调台、机辆台、电调台、智能台等查询终端和总部基地查询终端纳入一个小型局域网，并利用网闸等网络隔离设备将该局域网与调度中心系统网络隔离。同时，利用相关局域网优化方式，在安全边界与路由器之间采用网络单通道，避免因设置冗余网线产生的“网络风暴”导致网络故障的安全隐患[8]。查询子系统网络拓扑图如图3 所示。

图3 查询子系统网络拓扑图Fig.3 Topology of querying subsystem network

2.3 安全防护方案

为保证铁路列车调度指挥业务的安全、可靠运行，保证关键调度指挥业务信息的保密性、完整性及可用性，使铁路列车调度指挥系统安全防护能力达到信息系统安全等级保护四级防护要求[9]，保证网络管理系统在运行时不应干扰各个终端的正常操作[10]，中老铁路磨万段在万象中心及各车站部署实施CTC 网络安全2.0 系统。该系统中心主机部署在万象调度中心内，对调度中心的14 台CTC服务器、7 台中心终端和20 个车站的车站终端进行加固，并将6 台中心安全边界、4 台中心网闸和20 个车站的安全边界纳入安全管理中心并对其启用安全策略。中老铁路磨万段CTC 网络安全2.0系统包括安全管理中心、安全加固(安全计算机环境)、安全边界3 个子系统。

安全管理中心部署在万象调度中心，是整个网络安全系统的核心，体现在安全管理中心集中统一策略管理和集中统一监测告警两方面。集中统一策略管理方面，即统一策略标准并按最小化原则制定安全策略，安全计算环境和安全策略能够兼容统一的策略标准格式，接收策略下发和执行，如果策略被破坏或者未启用，安全管理中心则会通过策略完整性扫描及时发现和告警，以确保安全策略确实防护到位。

集中统一监测告警方面，即统一监测告警标准，所有的安全计算环境和安全边界的监测日志的生成和上报按统一格式标准，遇到威胁拦截会实时返回到安全管理中心，安全管理中心进行实时分析，并以图形化、声音化、文字化进行实时提示。集中统一监测告警分析内容重点包括威胁发生点和威胁源。中老铁路磨万段安全管理中心拓扑图如图4所示。

图4 安全管理中心拓扑图Fig.4 Topology of security management center

安全加固属于软件，部署在所有服务器和终端操作系统上。安全加固包括基于标记的强制访问控制、自主访问控制、程序安装控制、外设控制、程序白名单运行控制、主动恶意代码防护、数据完整性保护、双因子身份认证、可信接入等功能，在此基础上实现对软件更新版本控制、U 盘等外设接入控制、蠕虫病毒传播控制、黑客入侵防御控制等防御能力。

安全边界部署在TDCS/CTC 对外接口、中心局域网与广域网接口，其功能主要包括安全区域边界实现身份鉴别、基于标记的强制访问控制、数据完整性保护、接入控制、协议过滤、数据过滤、边界完整性检查等。安全边界实现对出入系统边界的数据进行过滤和控制，确保系统仅允许经过维护部门审批的正常业务程序穿越边界，防止未经授权穿越系统边界登录系统、访问或修改业务数据。车站与安全管理中心间安全边界拓扑图如图5 所示。

图 5 车站与安全管理中心间安全边界拓扑图Fig.5 Topology of security boundary between station and security management center

安全管理中心与TD 接口服务器、GSM-R 接口服务器间安全边界拓扑图如图6 所示。

图 6 安全管理中心与TD 接口服务器、GSM-R 接口服务器间安全边界拓扑图Fig.6 Topology of security boundaries of security management center with TD interface server and GSM-R interface server

3 结束语

中老铁路磨万段CTC 系统是老挝国内的第一套CTC 系统，CTC 系统的架构、组网和防护方案是全面结合老挝国家基础设施建设水平、铁路规划、运维技术水平等多种因素后综合配置的，并为系统用电、系统控制范围升级扩容预留了可扩展接口，同时有效地降低了工程投资和运营维护成本，综合实现和保障中老铁路客货共线运输组织模式的有效运转。