城市軌道交通5G虛擬專網(wǎng)建設(shè)方案研究

張 博 ，余曉君 ，衛(wèi)建芳 ，郭昕蓓

(1.深圳市桑達實業(yè)股份有限公司，廣東 深圳 518057；2.中國電子信息產(chǎn)業(yè)集團有限公司第六研究所，北京 100083)

0 引言

隨著通信與計算機技術(shù)的飛速發(fā)展，城市軌道交通的運營方式也從原始的人工駕駛向自動駕駛(Automatic Train Operation，ATO)發(fā)展，并進一步邁向全自動運行系統(tǒng)(Fully Automatic Operation System，F(xiàn)AO)模式[1]。

在目前的城市軌道新建線路中，基于第四代移動通信的LTE-M技術(shù)已迅速取代WLAN技術(shù)成為主流通信技術(shù)，較好地滿足了城市軌道交通無線通信的需求。

但是隨著對城市軌道交通便捷化、高效化和智能化的要求越來越高，下一代列車控制、智能視頻監(jiān)控、智能運維和乘客服務(wù)系統(tǒng)等新系統(tǒng)不斷引入，這對構(gòu)建新一代城市軌道通信系統(tǒng)提出了迫切需求。

與LTE-M相比，5G除提供高速率的數(shù)據(jù)服務(wù)外，還定義了增強移動寬帶(Enhanced Mobile Broadband，eMBB)、超可靠低時延(Ultra-reliable and Low Latency Communications，URLLC)以及海量機器通信(Massive Machine Type Communications，mMTC)三大場景[2]，為城市軌道交通各業(yè)務(wù)領(lǐng)域提供支持高速移動、高速率、高可靠、高實時的通信手段，能夠滿足新一代城市軌道交通的應(yīng)用需求。但這三大場景在滿足城市軌道交通業(yè)務(wù)多樣性需求的基礎(chǔ)上，也為網(wǎng)絡(luò)建設(shè)帶來了新的挑戰(zhàn)。如果遵循傳統(tǒng)網(wǎng)絡(luò)的建設(shè)思路，僅通過一張網(wǎng)絡(luò)來滿足這些彼此之間差異巨大的業(yè)務(wù)需求，投資巨大且效率低下。

相對于傳統(tǒng)的4G網(wǎng)絡(luò)，國際移動通信標(biāo)準(zhǔn)組織3GPP引入了全新的基于服務(wù)的網(wǎng)絡(luò)架構(gòu)(Service-based Architecture，SBA)對5G無線接入網(wǎng)和核心網(wǎng)進行了重構(gòu)[3]，并以網(wǎng)絡(luò)切片、多接入邊緣計算(Multi-access Edge Computing，MEC)等技術(shù)為基礎(chǔ)，允許用戶可根據(jù)實際業(yè)務(wù)需求，在一個通用的物理平臺之上建設(shè)多個互相隔離的虛擬專網(wǎng)，這樣既滿足業(yè)務(wù)的差異性和安全性，又保證了網(wǎng)絡(luò)建設(shè)的靈活性和經(jīng)濟性，是未來軌道交通通信網(wǎng)絡(luò)建設(shè)的必由之路。

1 城市軌道交通對通信網(wǎng)絡(luò)的需求場景

2019年7月，中國城市軌道交通協(xié)會發(fā)布了《智慧城市軌道交通信息技術(shù)架構(gòu)及網(wǎng)絡(luò)安全規(guī)范》，將軌道交通信息化建設(shè)中的各業(yè)務(wù)應(yīng)用系統(tǒng)進行統(tǒng)籌整合，歸納到安全生產(chǎn)、內(nèi)部管理和外部服務(wù)3個域[4]，如圖1所示。

這3個域的安全等級不同：其中安全生產(chǎn)域需要承載列車的核心控制和調(diào)度業(yè)務(wù)，安全等級最高，內(nèi)部管理域其次，外部服務(wù)域最低。這3個域之間需要進行安全隔離。

除安全等級不同外，這3個域承載的業(yè)務(wù)對網(wǎng)絡(luò)服務(wù)質(zhì)量(Quality of Service，QoS)的要求差異巨大，如表1所示。

2 網(wǎng)絡(luò)切片技術(shù)

2.1 網(wǎng)絡(luò)切片基本概念

網(wǎng)絡(luò)切片是5G網(wǎng)絡(luò)最重要的技術(shù)之一，5G網(wǎng)絡(luò)通過網(wǎng)絡(luò)切片實現(xiàn)對功能、運行維護和隔離策略進行靈活的定制，從而基于相同的基礎(chǔ)設(shè)施提供滿足垂直行業(yè)多樣化需求的虛擬專有網(wǎng)絡(luò)[5]。網(wǎng)絡(luò)切片主要有以下3個特征：

(1)端到端，是指網(wǎng)絡(luò)切片涉及核心網(wǎng)、接入網(wǎng)、傳輸網(wǎng)等各個域，需要各個域進行協(xié)同配合；

(2)按需定制，是指可按需定制網(wǎng)絡(luò)切片的業(yè)務(wù)、功能、容量、服務(wù)質(zhì)量與連接關(guān)系，同時還可以按需進行切片的生命周期管理；

(3)隔離，是指網(wǎng)絡(luò)切片的安全隔離、資源隔離與操作維護隔離等內(nèi)容。

在5G網(wǎng)絡(luò)中，通過單網(wǎng)絡(luò)切片選擇輔助信息(S-NSSAI)來區(qū)分不同的切片，而S-NSSAI的編碼由切片服務(wù)類型(SST)和切片微分器(SD)兩部分組合而成[6]，其中：

(1)SST標(biāo)明切片的業(yè)務(wù)類型。5G網(wǎng)絡(luò)已經(jīng)定義了eMBB、mMTC和uRLLC等基礎(chǔ)的網(wǎng)絡(luò)切片類型，用戶可以根據(jù)業(yè)務(wù)需求對這些網(wǎng)絡(luò)切片類型進行擴展。

(2)SD標(biāo)明各大類業(yè)務(wù)下具體的切片業(yè)務(wù)，這個可以基于切片業(yè)務(wù)的規(guī)劃靈活進行編碼管理。

2.2 網(wǎng)絡(luò)切片整體架構(gòu)

5G網(wǎng)絡(luò)切片是核心網(wǎng)、無線網(wǎng)和承載網(wǎng)子切片的組合，需要根據(jù)各個業(yè)務(wù)場景對網(wǎng)絡(luò)QoS、安全和成本等差異化需求，為核心網(wǎng)、無線網(wǎng)和承載網(wǎng)選擇合適的切片方式，并實現(xiàn)業(yè)務(wù)流程整體端到端貫通。

如圖2所示，5G網(wǎng)絡(luò)切片的架構(gòu)有多種實現(xiàn)方式。在核心網(wǎng)側(cè)主要有3種模式：(1)模式1，核心網(wǎng)控制面網(wǎng)元完全獨立，該模式的安全隔離最徹底，但相對成本也較高；(2)模式2，核心網(wǎng)控制面部分網(wǎng)元獨立、部分網(wǎng)元共享，用戶面網(wǎng)元獨立，終端可以同時接入多個切片；(3)模式3，核心網(wǎng)控制面網(wǎng)元共享，用戶面網(wǎng)元獨立，該模式的安全隔離程度低，成本也相對較低。

圖1 城市軌道交通業(yè)務(wù)系統(tǒng)

表1 城市軌道交通業(yè)務(wù)系統(tǒng)QoS需求

無線網(wǎng)側(cè)切片首先需要針對不同的業(yè)務(wù)場景，為不同切片進行無線資源的分配和映射，并可根據(jù)需求進行幀格式、優(yōu)先級等參數(shù)的靈活配置，從而保證切片空口側(cè)的性能和安全隔離需求。另外，還需要根據(jù)業(yè)務(wù)場景對CU、DU和AAU網(wǎng)元功能進行靈活切分和部署[7]：對時延要求不敏感的場景，可以盡量采用集中部署，以盡可能實現(xiàn)資源共享，降低成本，如圖2模式3所示；對于時延要求苛刻的場景，則盡可能下沉到站點合一部署，以降低傳輸時延，如圖2模式1所示。

圖2 5G網(wǎng)絡(luò)切片整體架構(gòu)

傳輸網(wǎng)絡(luò)采用以軟件定義網(wǎng)絡(luò)(Software Defined Network，SDN)為基礎(chǔ)的網(wǎng)絡(luò)虛擬化技術(shù)，實現(xiàn)傳輸網(wǎng)絡(luò)的控制平面與轉(zhuǎn)發(fā)平面的分離，按需構(gòu)建邏輯獨立的虛擬網(wǎng)絡(luò)vNet[8]，如圖3所示。對于轉(zhuǎn)發(fā)平臺，可以選擇基于靈活以太網(wǎng)(Flexible Ethernet，F(xiàn)lexE)等為代表的硬切片技術(shù)[9]，或者選擇以虛擬專用網(wǎng)(Virtual Private Network，VPN) 等為代表的軟切片技術(shù)，或者二者相結(jié)合。最終基于SDN控制面、基于VPN、FlexE通道等不同資源進行切片，以滿足不同業(yè)務(wù)場景對傳輸網(wǎng)絡(luò)的差異化需求。

圖3 5G承載網(wǎng)切片架構(gòu)

3 多接入邊緣計算（MEC）技術(shù)

3.1 MEC基本概念

MEC技術(shù)的基本思想是把云計算平臺能力從中心節(jié)點向移動接入網(wǎng)邊緣擴展，通過部署具備計算、存儲、通信等功能的邊緣節(jié)點，為用戶提供更高帶寬、更低時延的數(shù)據(jù)服務(wù)，可大幅度減少回傳網(wǎng)絡(luò)和核心網(wǎng)的負(fù)荷，也降低了數(shù)據(jù)在傳輸過程中產(chǎn)生信息安全風(fēng)險的概率。

另外，部署于網(wǎng)絡(luò)邊緣的MEC可以實時獲取基站ID、可用帶寬以及用戶位置信息等數(shù)據(jù)，可以實現(xiàn)基于位置的應(yīng)用部署，進一步改善了用戶的使用體驗。

3.2 MEC整體架構(gòu)

如圖4所示，MEC可劃分為虛擬化基礎(chǔ)設(shè)施層、平臺層(MEP)和應(yīng)用層[10]。其中，虛擬化基礎(chǔ)設(shè)施可以為MEC部署的應(yīng)用提供計算、存儲、網(wǎng)絡(luò)資源和時間相關(guān)信息，為從MEP接收到的數(shù)據(jù)執(zhí)行轉(zhuǎn)發(fā)規(guī)則，并在各種應(yīng)用、服務(wù)和網(wǎng)絡(luò)之間進行流量轉(zhuǎn)發(fā)；MEP從應(yīng)用接收流量轉(zhuǎn)發(fā)規(guī)則，基于轉(zhuǎn)發(fā)規(guī)則向轉(zhuǎn)發(fā)平面下發(fā)指令，并負(fù)責(zé)與其他MEP進行互聯(lián)與協(xié)作；應(yīng)用層是運行在MEC上的虛擬機實例，用戶可以根據(jù)需求場景，在恰當(dāng)?shù)腗EC上靈活部署應(yīng)用。

圖4 5G MEC整體架構(gòu)

部署在MEC上的應(yīng)用實例(APP)可以通過與5G核心網(wǎng)的PCF的交互，完成分流規(guī)則的配置。通過SMF對流量的集中調(diào)度，實現(xiàn)邊緣UPF的選擇及特定數(shù)據(jù)業(yè)務(wù)分流。

4 城市軌道交通5G虛擬專網(wǎng)建設(shè)方案

從上文可以看出，5G提供網(wǎng)絡(luò)切片和MEC等技術(shù)能力，使得基于一張物理網(wǎng)絡(luò)建設(shè)滿足用戶差異化需求的虛擬專有網(wǎng)絡(luò)成為可能，使通信網(wǎng)絡(luò)轉(zhuǎn)變?yōu)槌鞘熊壍澜煌ǜ鳂I(yè)務(wù)系統(tǒng)的多功能服務(wù)平臺，使能軌道交通行業(yè)發(fā)展。

4.1 方案總體設(shè)計

針對軌道交通各類業(yè)務(wù)對通信網(wǎng)絡(luò)的差異化需求和不同的安全等級，建議劃分3個不同的網(wǎng)絡(luò)切片來構(gòu)建城市軌道交通5G虛擬專用網(wǎng)絡(luò)：

(1)切片1：承載安全生產(chǎn)網(wǎng)中關(guān)鍵低帶寬業(yè)務(wù)，如ATS、CBTC等。這類業(yè)務(wù)對網(wǎng)絡(luò)時延、可靠性和安全性要求最高，但帶寬需求較低，安全等級最高。

(2)切片2：承載內(nèi)部管理網(wǎng)所有業(yè)務(wù)和安全生產(chǎn)網(wǎng)中非關(guān)鍵低帶寬業(yè)務(wù)，如PIS、車輛智能運維系統(tǒng)以及其他內(nèi)部管理應(yīng)用系統(tǒng)。這類業(yè)務(wù)對帶寬的要求較高，但對時延沒有過多要求，安全等級較高。

(3)切片3：承載外部管理網(wǎng)各應(yīng)用系統(tǒng)，如視頻監(jiān)系統(tǒng)、乘客服務(wù)系統(tǒng)等。這類業(yè)務(wù)對帶寬和時延的要求與切片2類似，安全等級要求最低。

其中，切片1對網(wǎng)絡(luò)時延要求較高，目前5G已成熟的eMBB類型切片網(wǎng)絡(luò)總時延不超過20 ms，完全滿足業(yè)務(wù)需求。待后續(xù)uRLLC切片技術(shù)成熟后，考慮采用uRLLC類型的網(wǎng)絡(luò)切片進一步降低網(wǎng)絡(luò)時延，提升可靠性。切片2和切片3對網(wǎng)絡(luò)時延等無特殊需求，均可采用eMBB類型的網(wǎng)絡(luò)切片。將切片2和切片3分開，主要是考慮二者安全等級的差異，需要對承載在兩類切片上的業(yè)務(wù)系統(tǒng)進行安全隔離。

3個切片共享核心網(wǎng)控制面，獨占核心網(wǎng)用戶面。承載網(wǎng)側(cè)采用FlexE與VPN相結(jié)合的方式隔離，無線側(cè)采用資源塊(Resours Block，RB)預(yù)留的方式，總體架構(gòu)如圖5所示。

圖5 軌道交通5G虛擬專網(wǎng)總體架構(gòu)

4.2 基于MEC的網(wǎng)絡(luò)部署與數(shù)據(jù)分流方案

軌道交通5G虛擬專網(wǎng)建議直接采用運營商大區(qū)核心網(wǎng)，通過切片保證業(yè)務(wù)需求和安全性。核心網(wǎng)UDM、SMF、PCF、AMF等控制面網(wǎng)元共享，為多個切片提供服務(wù)；媒體面UPF網(wǎng)元基于各個切片對時延、帶寬、安全等的不同需求，下沉到地鐵OCC機房的MEC中，每個切片獨立部署，如圖6所示。

圖6 核心網(wǎng)部署與數(shù)據(jù)分流方案

5G無線網(wǎng)絡(luò)通過N3接口將數(shù)據(jù)流量傳輸?shù)組EC部署的UPF中。PCF與AF協(xié)同通過UPF進行流量卸載，實現(xiàn)地鐵內(nèi)部數(shù)據(jù)不出地鐵，而將非本地流量通過N9接口上傳到運營商大區(qū)核心網(wǎng)[11]。

4.3 無線網(wǎng)子切片方案

5G網(wǎng)絡(luò)支持根據(jù)不同的業(yè)務(wù)場景無線網(wǎng)的CU、DU和AAU網(wǎng)元功能進行靈活切分和部署，CU、DU可以合一，也可以分離。采用CU、DU分離模式，有助于利用CU實現(xiàn)無線資源的集中管理，降低回傳和前傳網(wǎng)絡(luò)的傳輸帶寬需求。但這種部署模式也增加了網(wǎng)絡(luò)層級、提高了網(wǎng)絡(luò)復(fù)雜度，給網(wǎng)絡(luò)維護與運營增加了難度；另外還因為新增了CU與DU之間的中傳鏈路，增加了網(wǎng)絡(luò)時延。因此，推薦采取CU與DU合設(shè)部署的方案，該方案具有網(wǎng)絡(luò)時延低、組網(wǎng)簡單和相對成熟等優(yōu)勢，可降低網(wǎng)絡(luò)部署與運維成本，縮短網(wǎng)絡(luò)建設(shè)周期[12]。

如圖7所示，無線空口采用資源塊(Resource Block，RB)預(yù)留的方案。根據(jù)業(yè)務(wù)需求，對于承載軌道交通安全生產(chǎn)網(wǎng)中關(guān)鍵業(yè)務(wù)的切片1，獨立使用預(yù)留的RB資源，提供相對于無線頻譜資源的硬隔離，以保證業(yè)務(wù)的安全性和可靠性；對于承載非關(guān)鍵業(yè)務(wù)的切片2和切片3，可以根據(jù)業(yè)務(wù)的運行情況對RB資源進行動態(tài)調(diào)度，在保證業(yè)務(wù)需求的同時最大程度地利用空口資源。

圖7 無線空口RB預(yù)留切片方案

4.4 傳輸子網(wǎng)切片方案

傳輸網(wǎng)絡(luò)切片采用FlexE與VPN相結(jié)合的技術(shù)方案。其中，基于VPN的軟隔離技術(shù)需要通過不同QoS來保證服務(wù)質(zhì)量，而QoS模型是建立在統(tǒng)計復(fù)用的基礎(chǔ)上，網(wǎng)絡(luò)的時延和抖動難以得到完全保證；FlexE技術(shù)是基于物理層的切片轉(zhuǎn)發(fā)，可實現(xiàn)數(shù)據(jù)通道的物理隔離，且相比以VPN+QoS的軟隔離技術(shù)，網(wǎng)絡(luò)抖動時延大幅降低[13]。當(dāng)然，F(xiàn)lexE方案與VPN方案相比，帶寬復(fù)用度較低，相應(yīng)的成本也較高。

因此，如圖8所示，根據(jù)業(yè)務(wù)需求，對于承載軌道交通安全生產(chǎn)網(wǎng)中關(guān)鍵業(yè)務(wù)的切片1，采用獨占的FlexE通道承載，以保證業(yè)務(wù)的安全性和可靠性，降低網(wǎng)絡(luò)時延；對于切片2和切片3，推薦基于同一個FlexE通道，通過配置不同的VPN的方式進行隔離，以兼顧服務(wù)質(zhì)量與成本。

圖8 傳輸子系統(tǒng)切片方案架構(gòu)

4.5 端到端切片安全隔離方案

軌道交通5G虛擬專網(wǎng)是通過對核心網(wǎng)、無線網(wǎng)和承載網(wǎng)子切片的組合，構(gòu)建的一個面向不同業(yè)務(wù)場景的邏輯網(wǎng)絡(luò)。這就需要提供一套網(wǎng)絡(luò)切片之間端到端安全隔離機制，實現(xiàn)網(wǎng)絡(luò)切片間的隔離防護，最終滿足不同業(yè)務(wù)的安全等級需求[14]。

軌道交通5G虛擬專網(wǎng)端到端隔離可分為核心網(wǎng)隔離、無線網(wǎng)隔離和承載隔離，如圖9所示。

圖9 端到端切片安全隔離方案架構(gòu)

無線網(wǎng)采用資源塊預(yù)留的方式進行隔離；承載網(wǎng)隔離采用FlexE和VPN相結(jié)合的方式進行隔離；核心網(wǎng)，采用獨立UPF的方式進行隔離。除了對切片的安全隔離外，還需進行采用以下手段保證用戶的數(shù)據(jù)安全[15]：

(1)接入認(rèn)證，保證用戶接入的合法性；

(2)訪問權(quán)限控制，防止用戶對數(shù)據(jù)的非授權(quán)訪問；

(3)數(shù)據(jù)傳輸過程的安全性和完整性保護，可以使用IPSec等傳輸加密手段；

(4)邊界安全隔離，可以采用設(shè)置防火墻等手段對網(wǎng)絡(luò)邊緣進行必要的安全隔離。

5 結(jié)論

2020年底，工業(yè)和信息化部召開“扎實推進5G發(fā)展”座談會，提出“加快行業(yè)虛擬專網(wǎng)落地，深化共建共享，推進網(wǎng)絡(luò)建設(shè)運維降本增效”。本文通過對需求和技術(shù)的分析，提出了城市軌道交通5G虛擬專網(wǎng)建設(shè)的解決方案。

希望通過5G虛擬專網(wǎng)的建設(shè)，使5G技術(shù)更加便捷、高效和低成本地賦能軌道交通行業(yè)，從而進一步推進城市軌道交通與云計算、大數(shù)據(jù)和人工智能等最新的信息化技術(shù)充分融合，助力軌道交通行業(yè)快速發(fā)展。