基于云計(jì)算的軌道交通業(yè)務(wù)系統(tǒng)RAMS分析

胡小莉

摘 要 云計(jì)算在軌道交通行業(yè)逐步得到了應(yīng)用，作為一種為用戶提供信息服務(wù)的新模式，云計(jì)算與傳統(tǒng)的部署模式有很大的差別。云計(jì)算架構(gòu)在傳統(tǒng)架構(gòu)的計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)硬件層的基礎(chǔ)上，增加了虛擬化。通過兩種模式的對(duì)比，結(jié)合云計(jì)算所涉及的虛擬化技術(shù)特點(diǎn)，對(duì)于基于云計(jì)算的業(yè)務(wù)系統(tǒng)的可靠性、可用性、可維護(hù)性、安全性（RAMS）指標(biāo)，進(jìn)行了系統(tǒng)性的分析。

關(guān)鍵詞 軌道交通;云計(jì)算;RAMS

隨著云計(jì)算、人工智能、物聯(lián)網(wǎng)、大數(shù)據(jù)等信息技術(shù)在城市軌道交通逐步得到應(yīng)用，軌道交通產(chǎn)業(yè)正朝著智能化、輕型化、電氣化方向發(fā)展。2020年政府工作報(bào)告提出的新基建主要包括的七大領(lǐng)域就包含了城際高速鐵路和城市軌道交通，新基建將加速軌道交通產(chǎn)業(yè)升級(jí)，助力軌道交通朝著信息化、智能化方向發(fā)展。

為了規(guī)范城市軌道交通信息技術(shù)系統(tǒng)的建設(shè)，中國城市軌道交通協(xié)會(huì)牽頭編制了《智慧城市軌道交通? 信息技術(shù)架構(gòu)及網(wǎng)絡(luò)安全規(guī)范》，彌補(bǔ)了信息化規(guī)范的缺失。該規(guī)范中指出“智慧城市軌道交通建設(shè)和運(yùn)營中應(yīng)對(duì)業(yè)務(wù)系統(tǒng)實(shí)施系統(tǒng)化的RAMS管理”，并且“對(duì)于安全、可靠性要求高的系統(tǒng)，要進(jìn)行第三方RAMS評(píng)估”?！爸腔鄢鞘熊壍澜煌ㄐ畔⑾到y(tǒng)的RAMS保障處應(yīng)符合本規(guī)范的規(guī)定外，尚應(yīng)符合GB/T21562，GB/T28808，GB/T28809的相關(guān)規(guī)定?！盵1]

1業(yè)務(wù)系統(tǒng)運(yùn)行架構(gòu)分析

眾所周知，運(yùn)行環(huán)境對(duì)業(yè)務(wù)系統(tǒng)的重要性是不言而寓的。采用基于云計(jì)算的平臺(tái)作為各業(yè)務(wù)系統(tǒng)的基礎(chǔ)平臺(tái)，對(duì)當(dāng)前已經(jīng)成熟的、基于傳統(tǒng)運(yùn)行模式的應(yīng)用系統(tǒng)，尤其是涉及到運(yùn)營安全的系統(tǒng)，需要對(duì)其安全性、可靠性、可用性、可維護(hù)性（RAMS）重新進(jìn)行分析。在分析之前，先了解一下業(yè)務(wù)系統(tǒng)基于傳統(tǒng)架構(gòu)與基于云計(jì)算的架構(gòu)的差別。

1.1 傳統(tǒng)業(yè)務(wù)架構(gòu)

傳統(tǒng)的業(yè)務(wù)系統(tǒng)其應(yīng)用軟件運(yùn)行于操作系統(tǒng)之上，操作系統(tǒng)和底層的硬件一起作為支撐軟件運(yùn)行的運(yùn)行環(huán)境。操作系統(tǒng)既有獨(dú)立性，又與硬件和應(yīng)用緊密關(guān)聯(lián)在一起。操作系統(tǒng)起的作用是：對(duì)上承載各種應(yīng)用的功能需求，對(duì)下管理資源、驅(qū)動(dòng)底層硬件。

1.2 基于云計(jì)算的業(yè)務(wù)架構(gòu)

基于云計(jì)算的平臺(tái)離不開底層的虛擬化技術(shù)支持。虛擬化代表著一系列先進(jìn)的技術(shù)和，包括：CPU虛擬化、服務(wù)器虛擬化、存儲(chǔ)虛擬化、網(wǎng)絡(luò)虛擬化和應(yīng)用虛擬化。由于業(yè)務(wù)系統(tǒng)的應(yīng)用軟件運(yùn)行于虛擬機(jī)管理程序（VMM）或者Hypervisor之上，軟件的運(yùn)行對(duì)其運(yùn)行環(huán)境有一定的依賴性，因此，首先需了解一下虛擬機(jī)運(yùn)行架構(gòu)[2]。

虛擬機(jī)運(yùn)行架構(gòu)包括寄居架構(gòu)和原生架構(gòu)兩種方式：

（1）寄居架構(gòu)

寄居架構(gòu)中虛擬機(jī)管理程序是一個(gè)運(yùn)行在宿主操作系統(tǒng)之上的中間層，可以作為應(yīng)用軟件安裝在宿主操作系統(tǒng)之上，虛擬機(jī)管理程序上可以安裝多個(gè)操作系統(tǒng)。業(yè)務(wù)系統(tǒng)的應(yīng)用軟件使用虛擬機(jī)管理程序來隔離它們對(duì)硬件資源的使用。

（2）原生架構(gòu)

原生架構(gòu)中不需要宿主操作系統(tǒng)，虛擬機(jī)管理程序直接安裝在計(jì)算機(jī)硬件資源上，虛擬機(jī)管理程序本身就是一個(gè)操作系統(tǒng)，它為每個(gè)虛擬機(jī)分配硬件資源。虛擬機(jī)中包括了應(yīng)用軟件和它的操作系統(tǒng)，也叫做客戶操作系統(tǒng)，客戶操作系統(tǒng)可以根據(jù)應(yīng)用軟件的需求進(jìn)行選擇，不需要做出任何修改。

2業(yè)務(wù)系統(tǒng)的RAMS分析

對(duì)于業(yè)務(wù)系統(tǒng)的RAMS分析，我們可以分為安全和RAM兩個(gè)方面來考慮。

2.1 業(yè)務(wù)系統(tǒng)的安全性分析

對(duì)于城市軌道交通系統(tǒng)，業(yè)務(wù)系統(tǒng)在開發(fā)前應(yīng)經(jīng)過安全分析以確定相應(yīng)的安全完整性等級(jí)（SIL），進(jìn)而在系統(tǒng)開發(fā)的生命周期過程中采用與該SIL相匹配的安全管理和安全技術(shù)進(jìn)行開發(fā)實(shí)現(xiàn)。為了保障業(yè)務(wù)軟件的安全性，最為緊要的便是解決云計(jì)算環(huán)境下的安全問題。從業(yè)務(wù)系統(tǒng)傳統(tǒng)的運(yùn)行模式可以看出，操作系統(tǒng)是直接驅(qū)動(dòng)硬件的，而基于云計(jì)算平臺(tái)的業(yè)務(wù)系統(tǒng)，其應(yīng)用軟件與操作系統(tǒng)共同組成了一個(gè)虛擬機(jī)，雖然每個(gè)虛擬機(jī)與運(yùn)行在服務(wù)器上的其他虛擬機(jī)都是相互隔離的，但是由于虛擬機(jī)管理程序或者Hypervisor管理著所有或者大部分硬件資源的使用，因此所有的虛擬機(jī)都需要虛擬機(jī)管理程序或者Hypervisor充當(dāng)與硬件的接口，于是虛擬機(jī)管理程序或者Hypervisor以及底層硬件都變成了單點(diǎn)故障。

對(duì)于虛擬機(jī)管理程序，其虛擬化技術(shù)使用軟件的方法重新定義劃分硬件資源，可以實(shí)現(xiàn)對(duì)硬件資源的動(dòng)態(tài)分配、靈活調(diào)度，提高底層硬件資源利用率等。云計(jì)算平臺(tái)實(shí)現(xiàn)了通過動(dòng)態(tài)擴(kuò)展虛擬化的層次達(dá)到對(duì)應(yīng)用進(jìn)行擴(kuò)展的目的。對(duì)于動(dòng)態(tài)再配置這種技術(shù)方法，GB/T28808 附錄B.18的定義是系統(tǒng)的邏輯結(jié)構(gòu)應(yīng)能被映射到系統(tǒng)可用資源的子集上，體系結(jié)構(gòu)應(yīng)能檢測到物理資源的失效，然后重新將邏輯結(jié)構(gòu)映射回還在起作用的受限資源上。但是GB/T28808表A.3中對(duì)于軟件結(jié)構(gòu)認(rèn)可的技術(shù)中，明確指出不論對(duì)于哪種軟件安全完整性等級(jí)SIL，軟件動(dòng)態(tài)再配置是NR的，也就是表示該技術(shù)或措施在當(dāng)前安全完整性等級(jí)下是肯定不推薦的。如果該技術(shù)或方法被使用，那么需要給出的理由。

考慮到虛擬機(jī)管理程序和底層硬件資源的復(fù)雜性，并且在業(yè)務(wù)系統(tǒng)開發(fā)過程中并沒有采用與業(yè)務(wù)系統(tǒng)SIL等級(jí)相匹配的安全技術(shù)與安全管理，因此：（1）從某種意義上說，不可能獲得或不能完全獲得虛擬機(jī)管理程序的完整確定的功能模型，并且（2）尚未按照GB/T 28809或其先前版本進(jìn)行開發(fā)，按照EN50129進(jìn)行分析[3]， 虛擬機(jī)管理程序可能存在以下多個(gè)問題：

1）缺少過程證據(jù)：

在結(jié)構(gòu)化安全論據(jù)中，質(zhì)量管理和安全管理的證據(jù)缺失或至少?zèng)]有提供;

由于開發(fā)過程不以功能安全為導(dǎo)向，因此無法充分確保不受系統(tǒng)性失效的影響;

2）缺少技術(shù)證據(jù)：

在結(jié)構(gòu)化安全論據(jù)中， 功能和技術(shù)安全的證據(jù)缺失或至少?zèng)]有提供;

某些屬性和功能是完全或部分未知的， 或從安全角度來看不能保證;

由于設(shè)計(jì)不以安全為導(dǎo)向， 沒有提供嵌入式的容錯(cuò)措施和故障管理措施， 因此不能保證對(duì)系統(tǒng)性失效和隨機(jī)性失效的控制。

由于這些問題的存在， 在所考慮的業(yè)務(wù)系統(tǒng)內(nèi)使用既有部件實(shí)現(xiàn)安全相關(guān)功能通常是不可行的，因?yàn)榘踩C明可能特別繁重。但是，我們可以將虛擬機(jī)管理程序作為僅執(zhí)行與安全相關(guān)功能的一部分并有效地重用。因此云計(jì)算環(huán)境（虛擬機(jī)管理程序、硬件資源）與業(yè)務(wù)系統(tǒng)深入融合過程中需從各自的角度來考慮不同的方案：

（1） 對(duì)于虛擬機(jī)管理程序和硬件資源，可以通過對(duì)內(nèi)部結(jié)構(gòu)、數(shù)據(jù)結(jié)構(gòu)或固有的物理性質(zhì)進(jìn)行分析， 應(yīng)證明虛擬機(jī)管理程序的危險(xiǎn)功能失效模式不能可信地發(fā)生;或

（2） 對(duì)于虛擬機(jī)管理程序、硬件、操作系統(tǒng)和業(yè)務(wù)軟件組成的業(yè)務(wù)系統(tǒng)，按照所需的 SIL 等級(jí)提供完整的安全證明;

（3） 對(duì)于業(yè)務(wù)軟件，應(yīng)通過外加措施來消除云計(jì)算環(huán)境可能帶來的故障模式影響，并在要求的時(shí)間內(nèi)進(jìn)入安全狀態(tài)，以實(shí)現(xiàn)要求的安全目標(biāo)。

由此可見，因此云計(jì)算環(huán)境（虛擬機(jī)管理程序、硬件資源）如果要承載安全相關(guān)的業(yè)務(wù)系統(tǒng)，不能只是簡單的把運(yùn)行于傳統(tǒng)架構(gòu)的業(yè)務(wù)系統(tǒng)應(yīng)用軟件移植到虛擬機(jī)之上，而是需要業(yè)務(wù)系統(tǒng)和云計(jì)算平臺(tái)互相配合，施加相應(yīng)的措施，共同保障業(yè)務(wù)系統(tǒng)的安全性。

2.2 業(yè)務(wù)系統(tǒng)的RAM分析

用戶對(duì)于業(yè)務(wù)系統(tǒng)的可靠性、可用性、可維修性（RAM）方面的期望很大程度上來自于已經(jīng)獲得的業(yè)務(wù)系統(tǒng)的行為經(jīng)驗(yàn)，因此對(duì)于部署在云計(jì)算平臺(tái)上的業(yè)務(wù)系統(tǒng)的最基本的期望是要求其RAM指標(biāo)不低于部署在傳統(tǒng)架構(gòu)上的業(yè)務(wù)系統(tǒng)[4]。

在可靠性方面，傳統(tǒng)架構(gòu)的優(yōu)勢是，客戶對(duì)于操作系統(tǒng)及其上運(yùn)行的業(yè)務(wù)系統(tǒng)有完全的控制權(quán)?；谠朴?jì)算平臺(tái)的優(yōu)勢是有專業(yè)的團(tuán)隊(duì)來對(duì)系統(tǒng)進(jìn)行維護(hù)，但是缺點(diǎn)是業(yè)務(wù)系統(tǒng)經(jīng)過的中間的鏈路相對(duì)較長，且經(jīng)過的鏈路有實(shí)體機(jī)也有虛擬機(jī)，因此有物理上的不可控因素，而且受鏈路長的影響，性能和延遲也是客戶在選擇云計(jì)算平臺(tái)來承載業(yè)務(wù)系統(tǒng)時(shí)的一個(gè)重要考慮因素。此外，云計(jì)算平臺(tái)自身的邏輯復(fù)雜性也會(huì)對(duì)客戶業(yè)務(wù)的可靠性造成潛在的影響。

在可用性方面，可以從關(guān)鍵故障率、故障覆蓋率、切換成功率等方面對(duì)基于云計(jì)算平臺(tái)的業(yè)務(wù)系統(tǒng)進(jìn)行評(píng)估。與傳統(tǒng)業(yè)務(wù)架構(gòu)相比，基于云計(jì)算平臺(tái)的架構(gòu)的業(yè)務(wù)系統(tǒng)引入了虛擬機(jī)管理程序（以原生架構(gòu)為例），這個(gè)復(fù)雜的軟件不可避免的會(huì)出現(xiàn)一些故障，那么虛擬機(jī)管理程序發(fā)生影響服務(wù)的故障事件的概率是值得關(guān)注的一個(gè)焦點(diǎn)。

另外快速和可靠的故障檢測功能對(duì)故障覆蓋率有很大的影響。業(yè)務(wù)架構(gòu)系統(tǒng)的故障檢測、抑制、隔離以及恢復(fù)都必須是自動(dòng)且高度可靠的。如果故障沒有被自動(dòng)檢測出來，那么將會(huì)導(dǎo)致服務(wù)未完成，恢復(fù)故障的操作也沒有被觸發(fā)，進(jìn)而可能直接影響到最終用戶。基于云計(jì)算平臺(tái)的業(yè)務(wù)系統(tǒng)切換成功率受系統(tǒng)架構(gòu)、冗余策略和恢復(fù)模式所影響，激活掛起或暫停的虛擬機(jī)實(shí)例增加了操作復(fù)雜度，因此也可能增加了切換失敗的風(fēng)險(xiǎn)，另外對(duì)于對(duì)實(shí)時(shí)性要求比較高的系統(tǒng)，在冗余單元上恢復(fù)服務(wù)所需的時(shí)間是否能夠滿足要求，也會(huì)對(duì)業(yè)務(wù)系統(tǒng)的可用性造成影響[5]。

3總結(jié)

城市軌道交通面臨的挑戰(zhàn)主要為運(yùn)營安全、服務(wù)質(zhì)量和成本壓力。云計(jì)算的發(fā)展將云計(jì)算環(huán)境（虛擬機(jī)管理程序、硬件資源）與業(yè)務(wù)系統(tǒng)進(jìn)行深入融合，給兩者帶來了全新的變革，因此對(duì)于云計(jì)算環(huán)境和業(yè)務(wù)系統(tǒng)都提出了更高的要求。在該技術(shù)沒有完全成熟或被廣泛實(shí)踐驗(yàn)證之前，對(duì)于業(yè)務(wù)系統(tǒng)的技術(shù)架構(gòu)的選擇應(yīng)以安全、可靠為前提進(jìn)行部署規(guī)劃和建設(shè)。在這個(gè)前提之下，根據(jù)用戶自己的需求，選擇合適的、適用業(yè)務(wù)系統(tǒng)的架構(gòu)，使之達(dá)到相應(yīng)的RAMS目標(biāo)，確保業(yè)務(wù)系統(tǒng)的正常運(yùn)行。

參考文獻(xiàn)

[1] 中國城市軌道交通協(xié)會(huì). 智慧城市軌道交通 信息技術(shù)架構(gòu)及網(wǎng)絡(luò)安全規(guī)范 第1部分：總體需求：T/CAMET 11001.1-2019[S].北京：中國鐵道出版社有限公司，2019.

[2] Artwalker. 虛擬化架構(gòu)與系統(tǒng)部署[ED/OL].https：//www.cnblogs.com/artwalker/p/12945087.html，2020-5-23.

[4] 潘愛民.云平臺(tái)與操作系統(tǒng)兩種架構(gòu)的分析[ED/OL].https：//zhuanlan.zhihu.com/p/75632993，2019-7-29.

[5] ERIC Bauer，Randee Adams. Reliability and Availability of Cloud Computing[M]. Wiley-IEEE Press，2012：101.