地铁综合监控系统冗余切换原理专题

《地铁综合监控系统冗余切换原理专题》由会员分享，可在线阅读，更多相关《地铁综合监控系统冗余切换原理专题（13页珍藏版）》请在装配图网上搜索。

1、地铁综合监控系统冗余切换原理专题专题9综合监控系统冗余切换功能、方案、建议专题1概述东莞R2线综合监控系统承担着对BAS、PSCADA、PSD和FAS、FG等多个子系统 设备进行监控的重大任务，是地铁正常运营和救灾指挥的基本保证，涉及到人身和 设备的安全。因此，综合监控系统的保护机制非常重要，可靠性和安全性要求极 高。综合监控系统非常注重保护机制，从系统结构、功能设计、数据流程等多方面 保证系统的安全可靠运行。综合监控系统保护机制实现如下目标：,硬件设备的任何单点故障即系统中只有一处设备发生故障，综合监控系统不 损失任何功能。,硬件设备的任何交叉故障即系统中同时有两处非相同功能设备发生故障，综

2、 合监控系统不损失任何功能。,主干网双网同时故障，车站综合监控系统不损失任何功能，车站综合监控系 统行使中央综合监控系统的关键功能。,综合监控系统严重故障，保证综合监控系统关键功能的运行;综合监控系统 全部瘫痪，不影响各个子系统的运行，IBP保证对关键设备的操作控制和状态监视。,综合监控系统的运行和维护必须进行身份认证和权限分级管理，任何操作均 有记录。,任何时候保证网络安全，防止非法入侵。,服务器禁止病毒，工作站具有严格的防病毒措施。,综合监控系统的系统参数和运行数据不丢失，保证数据的安全性。,综合监控系统具有在线编辑能力，在综合监控系统更换设备、扩展和维护 时，不影响正在运行的系统。为了实

3、现上述目标，综合监控系统在系统保护机制方面主要采取了如下措施：全方位冗余机制。冗余机制涉及中央主备实时服务器之间、中央主备历史服务 器之间、车站主备实时服务器之间、主备工作站之间、主备FEP之间、主干网双网 之间、中央局域网双网之间、车站局域网双网之间的设备冗余;不仅包括硬件设 备，而且包括相应的软件，不仅包括运行的功能，而且包括数据流程，都是冗余 的。多重冗余机制使得在任何单点故障和交叉故障时，都-227 -不影响综合监控系统运行。冗余切换时能保证数据不丢失，保证了数据的一致 性。切换时间满足要求，保证了数据的实时性，性能具体指标如下：,冗余MBN切换时间不大于50毫秒。,冗余服务器的切换时

4、间应不超过3秒。,冗余远程终端单元(FEP)的切换时间应不超过1秒。,冗余环境与设备监控子系统控制的切换时间不超过l00ms。,系统冷、热启的时间均应不大于6分钟。FEP硬件物理隔离。综合监控系统和其他厂家提供的互联及集成子系统之间用FEP构筑物理隔离层，各个子系统的数据不会直接进入综合监控系统，须经过FEP 协议转换;综合监控系统的数据进入各个子系统同样经过FEP的缓冲，FEP相当于 安全网关。FEP选用高性能、高可靠性的处理器，既使得综合监控系统与各个子相 同相互独立互不干扰，又不影响隔离引起的实时性和可靠性。FEP保证了即使综合 监控系统全部故障，各个子系统也能正常运行。当某个子系统数据

5、流量异常时，也 不会影响综合监控系统的运行。强大的权限管理。综合监控系统提供了权限定义工具，根据对各个子系统设备 监视和操作的允许与否进行设置。根据广州市轨道交通五号线要求进行细化分级， 每级使用标识和密码进行控制。权限管理保证了综合监控系统使用和维护的安全 性。操作的互锁功能。在综合监控系统中，中央和车站、车站和IBP盘都有操作互 锁机制，不允许多个操作员同时对某个设备进行操作。分布式结构保证软件对位置的透明。综合监控功能可以在中央服务器上实现， 也可在车站服务器实现。当系统维修和扩展时，可在线编辑系统，将需更换设备上 的软件转移到其它设备上。紧急指挥功能。综合监控系统具有多层的保护机制，当

6、中央综合监控系统不能 运行时或紧急情况下，由应急指挥中心接管综合监控系统功能，。划分不同IP网段和划分虚网，保证网络数据不相互影响。在外部，综合监控 系统主干网与通信网独立，在内部，综合监控系统控制中心和各个车站采用不同的 IP网段，使得各个综合监控系统的各个部分数据也相互独立，需要交换的数据通 过三层交换的线速路由控制。各个IP网段内还可细分VLAN，保证不同性质的数据 不相互影响。身份认证和报文加密。综合监控系统可定义不同级别和操作权限的用户，进入 综合监控系统首先根据用户名和密码检验合法性，并根据定义分配相应的权限。为 确保系统的安全性，对控制命令等高安全性报文进行加密。防火墙技术。为保

7、证网络安全，凡与外部系统有网络互联的地方建议设置硬件 防火墙，防止-228 -网络攻击和非法访问。运行日志管理。综合监控系统的任何操作均进行日志记录，任何操作有据可 查，根据日志进行分析和回退等保护功能。磁盘阵列。为保护当硬盘损坏时，数据丢失和任务异常，中央服务器配置磁盘 阵列做RAID5，任何一块硬盘的损坏都不影响运行。磁带机备份。制定完善的系统备份方案是保证综合监控系统意外损坏时的有效 手段，综合监控系统用大容量磁带定期备份。操作系统的安全性。综合监控系统的服务器采用UNIX操作系统、工作站均采 用Linux操作系统，64位多任务，C2安全等级，从根本上保证了软件系统的安全 性。IBP后备

8、盘保证综合监控系统的最后防线。综合监控系统为保证地铁的正常运 营，设计了多层控制防护措施，从控制中心到车站，到IBP紧急控制盘，到各个子 系统就地级的控制。对综合监控系统而言，IBP盘是计算机系统的保护性后备。IBP盘上有各个子系统紧急控制的按钮和关键设备的状态，通过硬线经过专用独立 通道对设备直接控制。2系统冗余保护机制2.1综合监控冗余设备综合监控系统冗余设备的范围包括：,两台中央实时服务器之间。中央实时服务器热备运行，自动切换。,两台中央历史服务器之间。中央历史服务器热备运行，自动切换。,中央调度工作站之间。所有工作站互为冗余备用。,两台车站服务器之间。车站服务器热备运行，自动切换。,两

9、台前置处理器之间。FEP冗余热备用运行，自动切换。,两台车站ISCS工作站之间。,两台中央节点交换机之间。,两台车站节点交换机之间。2.2冗余切换的实现方案本投标系统的关键设备包括FEP、服务器及交换机等都是冗余的，任何单点故 障均不会影-229 -响到系统的正常运行。冗余设备的运行模式有热备、冷备和集群三种方式。热备方式是指冗余的设备 数据环境和运行的任务相同，正常时只有主机对外提供数据和服务，备机则处于休 眠状态，主机发生故障时，只要任务重新接管即可完成切换。冷备方式是指冗余的 设备数据环境，正常时主机运行任务，备机不运行任务，主机发生故障时，备机启 动任务。集群方式是指冗余的设备数据环境

10、相同，正常时主机和备机都执行任务， 均衡负载运行，主机发生故障时，备机执行所有的任务。在综合监控系统中，服务器之间冗余采用热备方式，骨干网和车站局域网双网 之间采用集群方式。SystematICS通过权限管理功能给每个操作站的角色分配相应的权限。只要角 色相同，任何一个操作站均能执行相同功能的操作，包括OCC、车站、车辆段正常 情况下，ISCS将按照要求配置综合监控系统操作权限。当相同位置任一个操作站 出现故障时，操作员可以登录另外一个操作站，接管其操作任务，完成其功能。例 如，两个电调操作员工作站同时工作，当其中一个操作站失效，另一个电调操作员 工作站依旧可以正常工作。当两个电调操作员工作站

11、同时发生故障时，允许电调操 作员在其它操作站（如环调冗余操作员工作站）以电调身份登录，继续执行电力设备 的监视和控制。系统配置时对每个应用和数据对象设定了一个数据分区，对系统的每个用户指 定了其当前的用户模式，该模式定义了用户对各数据分区所允许的访问。用户模式 定义了对系统中各数据分区的一组访问许可权（读、写、控制和告警访问）。一个数 据分区就是提供用户访问的数据项的集合，在任何情况下可以保证操作的安全性。控制中心冗余的实时服务器与车站的冗余服务器都是热备方式的冗余机制，其 数据流程如下图所示。-230 -值班备用服务器服务器中心实时服务器值班备用服务器服务器车站实时服务器热备方式下中央和车站

12、之间的数据流程控制中心和车站的交换机是集群方式 的冗余机制，其数据流程如下图所示。值班服务器值班值班交换机交换机中央交换机值班值班车站交换机交换机交换机集群方式下的数据流程综合监控系统的数据从各个子系统经主备两路网络通道接入，以双网方式经车 站局域网与车站服务器相连，主备车站服务器同样以双网方式经骨干网与中央实时数据服务 器相连，连接关系如图所示，图中橘黄色箭头线表示正常运行时的数据流程，黑色线代表物理接 线。-231 -中央实时服务器中央实时服务器AB（值班）（备用）骨干网骨干网AB（值班）（值班）车站实时服务器车站实时服务器AB（值班）（备用）车站局域网车站局域网AB（值班）（值班）子系统

13、接口单元子系统连接关系图下面分析在各种典型故障下综合监控系统的运行工况和数据流程，首先以单点 故障为例在故障前后的工况和数据流程如下：,车站FEP单点网络故障正常情况下，两个FEP分别从子系统的两路通道接受数据，FEP互相交换通道 通信质量好坏的信息，选择一路数据好的通道作为值班通道，连接值班通道的FEP 为值班FEP，接受上传的信息和下传的命令。当图中打叉处值班通道故障时，原来 的备用通道开始值班，备用FEP接受上传的信息和下传的命令。故障前后的工况和 数据流程如图所示。此时，FEP的工况不切换，但FEP的端口进行切换，每个子系 统在FEP 上值班的端口可以是不同的，即按口值班，避免FEP的

14、反复切换。-232 -值班备用中央实时服务器A B值班值班骨干网A B值班备用A B值班备用值班值班车站实时服务器 A B A B值班备用A B值班值班车站A B局域网值班值班A B值班备用值班备用FEPA B A B故障值班A B值班备用接口 A B子系统子系统故障前故障后打叉处故障前后的工况和数据流程- 233 -,车站局域网单点网络故障在下图中打叉处发生故障（如连交换机的一个网口故障或FEP连交换机的网络 线不通）：此时，数据由原来的A、B网均衡负载切换到由B网进行数据传输，对交 换机而言，仅是连接该子系统的交换机端口的切换，整个交换机仍然处于双值班状 态。这种情况下，如果B交换机同时发

15、生故障，该子系统将与综合监控失去联系。 因此，为避免类似情况，我们选用高可靠性的工业级交换机。如果整个交换机故障 则对于所有系统而言，所有子系统的数据链路全部倒换到B网。A中央实时服务器中央实时服务器中央实时服务器中央实时服务器ABB（值班）（备 用）（值班）（备用）骨干网骨干网骨干网骨干网ABAB（值班）（值班）（值班）（值班）车站实时服务器车站实时服务器车站实时服务器车站实时服务器ABAB（值班）（备用）（值班）（备用）车站局域网车站局域网车站局域网车站局域网ABAB（值班）（值班）（值班）（值班）子系统接口单元子系统接口单元子系统子系统故障前故障后单点网络故障,车站服务器单点故障在下图中

16、打叉处发生故障（如一台车站服务器故障）：备用车站服务器将检测到 值班车站服务器的故障，快速切换为值班。故障前后的工况和数据流程如下图所 示。车站服务器的切换细化到对应每个子系统的模块的切换，这样有些子系统可能 在A机值班，有些可能在B机值班，本图中仅以一个子系统示例说明。-234 -中央实时服务器中央实时服务器中央实时服务器中央实时服务器ABBA（值 班）（备用）（值班）（备用）骨干网骨干网骨干网骨干网ABAB（值班）（值班）（值班）（值班）车站实时服务器车站实时服务器车站实时服务器车站实时服务器ABAB（值班）（备用）（备用）（值班）车站局域网车站局域网车站局域网车站局域网ABAB（值班）（

17、值班）（值班）（值班）子系统接口单元子系统接口单元子系统子系统故障前故障后车站服务器单点故障,通讯骨干网单点故障当车站交换机故障时，会同时影响骨干网和车站局域网，其工况和数据流程如 下图所示。中央实时服务器中央实时服务器中央实时服务器中央实时服务器ABAB（值班）（备用）（值班）（备用）骨干网骨干网骨干网骨干网ABAB（值班）（值班）（值班）（值班）车站实时服务器车站实时服务器车站实时服务器车站实时服务器ABAB（值班）（值班）（备用）（备用）车站局域网车站局域网车站局域网车站局域网ABAB（值班）（值班）（值班）（值班）子系统接口单元子系统接口单元子系统子系统故障前故障后通讯骨干网单点故障,

18、中心服务器单点故障中央服务器故障，备用中央服务器将检测到值班中央服务器的故障，快速切换 为值班。故障前后的工况和数据流程如图所示。中央服务器的切换细化到对应每个子系统的 模块的切换，这样-235 -有些子系统可能在A机值班，有些可能在B机值班，本图中仅以一个子系统示 例说明。中央实时服务器中央实时服务器中央实时服务器中央实时服务器ABAB（值班）（备用）（备用）（值班）骨干网骨干网骨干网骨干网ABAB（值班）（值班）（值班）（值班）车站实时服务器车站实时服务器车站实时服务器车站实时服务器ABAB（值班）（值班）（备用）（备用）车站局域网车站局域网车站局域网车站局域网ABAB（值班）（值班）（值

19、班）（值班）子系统接口单元子系统接口单元子系统子系统故障前故障后中心服务器单点故障,两点交叉故障两点交叉故障是指系统中有两处同时发生故障，但不是互为备用的两台设备故 障，如车站A服务器和车站B交换机同时发生故障等，故障前后系统的工况和数据流程如下 图所示。综合监控系统能做到交叉故障时，综合监控系统不损失监控功能。中央实时服务器中央实时服务器中央实时服务器中央实时服务器ABAB（值班）（备用）（值班）（备用）骨干网骨干网骨干网骨干网ABAB（值班）（值班）（值班）（值班）车站实时服务器车站实时服务器车站实时服务器车站实时服务器ABAB（值班）（值班）（备用）（备用）车站局域网车站局域网车站局域网车站局域网ABAB（值班）（值班）（值班）（值班）子系统接口单元子系统接口单元子系统子系统故障前故障后两点交叉故障-236 -3冗余设备切换时间下表列出了 ISCS系统的主要冗余切换指标。综合监控冗余设备切换时间#项目性能1冗余网络切换时间50ms2热备用服务器切换时间3秒3 FEP切换时间1秒4系统切换时间1秒有关冗余切换指标的详细计算过程请参见专题3中的 描述。-237 -（此页无正文）-238 -