DB13∕T 5519.1-2022 轨道交通 AFC 系统线网技术要求 第1部分：系统结构及功能

1、ICS45.020CCSS 7113河北省地方标准DB 13/T 5519.12022轨道交通 AFC 系统线网技术要求第 1 部分：系统结构及功能Technical requirements for AFC system network of rail transit Part 1 : System structure and function2022 - 02 - 28 发布2022 - 03 - 31 实施河北省市场监督管理局发 布学兔兔 标准下载DB 13/T 5519.12022目次前言II引言III1 范围12 规范性引用文件13 术语和定义14 缩略语15 AFC 系统总体架构2

2、6 互联互通47 时钟同步58 ACC 功能要求59 LC 功能要求1710 SC 功能要求2311 SLE 功能要求28IDB 13/T 5519.12022前言本文件按照GB/T 1.12020标准化工作导则第1部分：标准化文件的结构和起草规则的规定起草。请注意本文件的的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。DB13/T 5519-2022轨道交通 AFC 系统线网技术要求分为 7 个部分：第 1 部分：系统结构及功能第 2 部分：终端与专用设备第 3 部分：读写器应用第 4 部分：人机界面第 5 部分：票卡应用标准第 6 部分：数据传输第 7 部分：数据接口本文件是

3、DB13/T 5519-2022的第1部分。本文件由石家庄市市场监督管理局提出。本文件起草单位：石家庄市轨道交通集团有限责任公司、南京熊猫信息产业有限公司。本文件主要起草人：付朝立、路江、桑静波、王相辉、陆斌、布永忠、连苏宁、李杨、王龙、李战彬、杨俊义、王智勇、侯璟琨、刘谦、陈园园。IIDB 13/T 5519.12022引言本文件的编写是为了给河北省内轨道交通AFC系统建设提供参考标准及规范。在这方面，我省已经初步完成河北省轨道交通AFC系统线网技术要求标准文件的起草、制定和组织工作，拟由七部分构成。第1部分：系统结构及功能。目的在于进一步规范轨道交通AFC系统架构以及功能统一，确立各层系统

4、互联互通、不同设备接入的相关技术要求。第2部分：终端与专用设备。目的在于进一步规范轨道交通AFC系统各类终端设备的技术要求和功能，方便后期扩展，指导新线有序建设。第3部分：读写器应用。目的在于进一步规范轨道交通AFC系统读写器应用，为系统引入新设备、新票种，实现系统的互联互通提供支持。第4部分：人机界面。目的在于进一步规范轨道交通AFC系统各类终端设备人机交互界面的统一，推动乘客人机交互界面应用的标准化，方便操作员维护，提高乘客使用的体验感。第5部分：票卡应用标准。目的在于进一步规范轨道交通AFC系统中使用的实体票卡技术要求统一，确保满足票卡的兼容性及新设备、新票种（或卡型）引入的要求。第6部

5、分：数据传输。目的在于进一步规范轨道交通AFC系统中各级系统之间、设备与系统之间的数据内容，促进后期建设及扩展的可持续发展。第7部分：数据接口。目的在于进一步规范轨道交通AFC系统各线路终端设备与车站计算机、车站计算机与线路中央计算机、线路中央计算机与中央清分系统，以及城市轨道交通与一卡通之间的接口。结合我省实际轨道交通AFC系统事业建设情况，首要任务就是尽快建立明确的地方标准体系。建设完善的技术规则而起草高质量的标准化文件，有利于保证河北省内轨道交通建设和后续新建线路的顺利接入，有利于促进河北省轨道交通事业的可持续发展。IIIDB 13/T 5519.12022轨道交通AFC 系统线网技术要

6、求 第 1 部分：系统结构及功能1 范围本文件规定了轨道交通AFC系统总体架构、各层系统架构的主要功能和各层系统之间互联互通的应用标准。本文件适用于轨道交通AFC系统设计、建设、验收和改造及系统应用等的实现和系统级、设备级之间的互联互通。2 规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单） 适用于本文件。GB/T 16649识别卡 带触点的集成电路卡GB/T 20907-2007城市轨道交通自动售检票系统技术条件GB 50157-2013地铁设计规范GB 50

7、381-2018城市轨道交通自动售检票系统工程质量验收规范CJJ/T 162-2011城市轨道交通自动售检票系统检测技术规程JR/T 0025中国金融集成电路（IC）卡规范（PBOC 3.0）3 术语和定义本文件没有需要界定的术语和定义。4 缩略语下列缩略语适用于本文件：ACC: 轨道交通清算管理中心（AFC Clearing Center）AFC：自动售检票系统（Automatic Fare Collection System） AGM: 自动检票机（Automatic Gate Machine）BOM: 半自动售票机（Booking Office Machine） E/S: 编码分拣机（E

8、ncode/Sorter）FAS：火灾报警系统（Fire Alarm System）IC卡：集成电路卡（Integrated Circuit Card） ISAM: 增值SAM（Increment SAM）ISCS：综合监控系统（Integrated Supervisory Control System） LAN: 局域网（Local Area Network）LC: 线路中心计算机系统（Line Central Computer System） LED: 发光二极管（Light Emitting Diode）NTP：网络时间协议（Network Time Protocol） POI：兴趣点（

9、Point of Interest）PSAM: 消费SAM（Purchase SAM） RF: 射频（Radio Frequency）SAM: 安全存储模块（Secure Access Module） SC: 车站计算机系统（Station Computer System） SLE: 车站终端设备（Station Level Equipment）SNTP：简单网络时间协议（Simple Network Time Protocol） TAC: 交易验证码（Transaction Authorization Cryptogram）1DB 13/T 5519.12022TVM: 自动售票机（Tick

10、et Vending Machine） USB: 通用串行总线（Universal Serial Bus）5 AFC 系统总体架构 AFC 系统五层架构5.1.1 清分管理层负责线网内票务政策的参数化，统一管理票务数据，实现线路的收入统计及线路间收入的清分与对账，及轨道交通运营主体与其他发卡方间的清分结算。5.1.2 线路中央层负责收集线路（区域内）所有车站的各类数据，向所管理车站主动发起或转发系统上层发来的控制命令及控制参数，为线路工作人员提供所管理线路内所有车站、终端设备等的运行状态，对线路内运营情况、收益、票卡等的使用等情况进行统计分析。5.1.3 车站系统层负责收集并处理车站终端设备产

11、生的各种数据，向终端设备层主动发起或转发系统上层发来的控制命令及控制参数，为车站工作人员提供车站终端设备等的运行状态及收益的统计报表。5.1.4 终端设备层用于控制终端设备各部件的协同工作，产生和收集各种交易数据，向车站系统发送数据并接受车站系统相关参数及控制命令。5.1.5 票卡层采用非接触式电子芯片等来记录乘客进站信息（进站车站、进站时间等），出站设备读取票卡中已写入的进站信息，按照票务规则进行费率计算及计扣。轨道交通AFC系统五层架构如图1。2DB 13/T 5519.12022图 1 轨道交通系统架构框图 AFC 系统功能定位5.2.1 ACC 功能定位ACC是轨道交通AFC系统联网收

12、费的核心部分，负责不同运营线路间帐务清算、票务发行等，同时作为轨道交通运营商的代理，与城市一卡通公司进行清分结算和协调等工作。ACC功能应包括：a) 票务数据处理；b) 车票发行、调配及跟踪；c) 与运营线路间清算、对账；d) 与城市一卡通公司进行清分结算；e) 线网票价的制定及发布；f) 网络化运营统一管理；g) 数据备份与恢复。5.2.2 LC 功能定位LC为本线路AFC系统的核心部分，实现对系统运营、票务、收益、维修的集中管理功能。LC主要功能应包括：a) 收集、处理系统内各类数据；b) 制定、维护系统各类参数；c) 接收、下达系统各类指令；d) 为系统提供高度的安全机制和严格的操作规程

13、；e) 完成与一卡通卡公司之间的结算；f) 接受 ACC 系统参数及指令；3DB 13/T 5519.12022g) 根据相关要求向 ACC 上传相关数据并可与 ACC 对帐。5.2.3 SC 功能定位SC为车站AFC系统的核心部分，可对本车站内部的所有设备进行实时监控，实现对车站AFC系统运营、票务、收益及维修的集中管理功能。SC的主要功能应包括：a) 收集、处理车站 AFC 系统内各类数据；b) 上传各类数据到 LC；c) 接收 LC 下传的各类系统参数，并下载到本车站各终端设备；d) 接收 LC 下达的各类系统指令，并下达到本车站各终端设备；e) 应可根据需要自行向车站设备下达控制指令，

14、并将该操作记录上传到 LC。5.2.4 SLE 功能定位车站终端设备主要由自动售票机、半自动售票机、自动检票机、自助查询机、便携式检验票机等设备构成。SLE的主要功能应包括：a) 接收参数及命令，完成规定操作及信息提示；b) 生成并上传全部交易数据、审核数据和事件数据，生成日志数据；c) 按要求存储数据，存储时间一般不少于 7 天；d) 设备故障自诊断和故障提示；e) 在发生通信故障时能独立运行，并能实现数据导出功能，通信故障恢复后数据自动上传。5.2.5 车票功能定位车票的主要功能应包括：a) 记录乘客乘车的信息；b) 记录车票的系统编号、安全信息、车票种类、个人信息、进出站信息、金额、有效

15、期、历史交易记录等信息；c) 与车站终端设备共同完成自动售票、检票功能。6 互联互通 系统级的互联互通系统级的互联互通是指不同线路的AFC系统能实现互联互通，这一层次的互联互通是基本要求， 是实现“一票通”、“一卡通”的基础。应统一轨道交通联网收费系统制定的技术规范，为轨道交通联网收费系统提供基础，包括：a) 统一操作流程，规范轨道交通收费系统操作；b) 统一数据交换接口，为轨道交通系统的互联互通，实现清结算提供技术基础；c) 统一票卡应用要求、密钥管理体系，保证票卡在轨道交通各线路之间具有通用性。 设备级的互联互通在AFC系统中，车站终端设备主要有自动售票机、自助查询机、半自动售票机以及自动

16、检票机等。实现AFC设备级互联互通应包括：a) 设备功能一致明确；b) 运行模式基本相同；c) 接口基本统一。 部分模块的互换部分模块应具备互换性，保证不同轨道交通线路间的互联互通；设备的互换有着极高的经济价值和社会价值，在技术条件成熟后，可考虑实施；某些特殊的模块互换也可在进一步的统一规划下实施。4DB 13/T 5519.12022 关键代码的统一河北省轨道交通采用大读写器，应确保票卡处理程序能在不同品牌的读写器上运行，票卡处理程序在更新时，应能同步进行更新操作。关键代码的统一应包括：a) 读写器的硬件要求统一；b) 系统软件要求统一；c) 底层函数库要求统一。7 时钟同步ACC系统应从外

17、界时钟源（卫星数据或者通信系统）获得准确的当前时间，来设置自己的系统时间，并成为线网标准时间的源头。时钟同步的实现应包括：a) 时间同步采用 SNTP 或 NTP 来实现；b) AFC 系统中只在相邻的两层之间进行时钟同步；c) 时钟同步校准时间间隔、最小阈值、最大阈值可配置。8 ACC 功能要求 ACC 主要功能ACC主要功能应包括：a) ACC 制定 AFC 系统运营的各项规则AFC系统运营的主要规则应包括：1) 车票、票价、清算、对帐业务规则；2) 车票使用管理及调配流程规则；3) 运营模式控制管理流程、运营参数、安全管理的流程与授权规则；4) 终端设备乘客服务界面显示规则；5) 系统接

18、口和编码规则等。b) 车票的发行与管理车票的发行与管理应包括：1) ACC 统一发行轨道交通车票（以下简称“一票通”）；2) ACC 对轨道交通各线路车票进行统一动态调配和跟踪管理。c) ACC 票务规则和清分模型ACC票务规则和清分模型的主要功能应包括：1) 负责支撑各线路 AFC 系统运行，负责收集、统计、分析、查询运营数据；2) 负责一卡通和一票通车票交易收益在轨道交通系统不同线路之间的清分；3) 负责实现轨道交通系统与一卡通系统间的清算、对帐。d) ACC 下发各类参数和命令，确保整个 AFC 系统正常、安全运营；e) ACC 具备时钟同步功能，提供轨道交通 AFC 系统的时钟源；f)

19、 ACC 负责制作、发行系统内使用的 SAM 卡，完成交易数据 TAC 码认证；g) ACC 设有 E/S 设备，E/S 具有对车票的初始化、赋值、分拣、校验、注销等功能；h) ACC 统一管理 AFC 系统密钥；i) ACC 负责 AFC 系统与外部系统接口处理，包括银行、一卡通等。 ACC 通用要求8.2.1 安全性系统应是高度安全的，应体现在设备安全、票卡安全、软件安全、网络安全、数据安全等方面。a) 设备安全设备安全方面应包括：5DB 13/T 5519.120221) 设备表面应平滑，边角应圆滑，不会在人员使用或维护时造成伤害；2) 硬件设备的外壳应有足够的强度，耐受一定程度的碰撞和

20、冲击；3) 所有设备应具备相应的安全保护，设备内各模块应固定防止随意移动，所有接头应具有固定措施；4) 所有设备应有良好的电气接地安全措施，保证设备金属外壳不带电，不会在人员使用或维护时造成伤害；5) 所有设备及通信线路应具备相应的电源保护措施；6) 设备应至少通过防电、防火、防水、防潮、防酸、防碱、防腐蚀、防毒、防划伤等方法，确保设备和人身的安全。b) 票卡安全票卡安全方面应包括：1) 票卡芯片内部数据结构、卡与读写器相互认证、交易数据安全认证等方面应具有较完善的安全功能；2) 票卡及票卡读写器应具备防冲突功能；3) 票卡读写器应具有防止突然拔卡和掉电保护功能；4) 系统应具备完善的车票跟踪

21、功能。c) 软件安全软件安全方面应包括：1) 软件系统应具有操作权限管理功能；2) 利用所有在系统内的操作和交易记录，可进行完整的审计和交易、现金、票卡流程追踪；3) 软件系统自身应具有自监测、自诊断和充分的冗余功能，并自动运行防病毒软件、防火墙等加强软件系统的防护能力；4) 软件系统应可防止对数据的恶意破坏；5) 软件系统应具有防止误操作及恶意操作的功能；6) 软件的更新应保证安全、有序且不影响正常运营。d) 网络安全网络安全方面应包括：1) 应保证各种网络资源的稳定、可靠、授权使用；2) 应保证所有网络信息的机密、完整、可用；3) 应至少采用入侵检测、访问控制、防火墙、病毒防护等安全性措施

22、以防止或阻止非授权的访问或活动。e) 数据安全数据安全方面应包括：1) 系统内所有敏感数据必须采用高安全加密方式，主要包括票卡、读写器、ES 和数据通信网络内的存储、访问、修改和传输；2) 应符合国际、国家和建设部、中国人民银行等行业技术标准及规范中有关的安全要求， 采用的电子安全交易技术手段，包括对称/非对称密钥算法、信息认证码（MAC）、数字签名、数字校验等。8.2.2 可靠性系统应进行可靠性设计，降低软硬件故障，提高系统可靠性和平均无故障维修周期，提高系统软硬件的使用和管理的安全性。系统可靠性的实现应包括：a) 应结合可维修性和安全性进行系统的可靠性设计；b) 应确定最佳费用效能比以及可

23、靠性增长方案；c) 应能实现系统生命周期内的可靠性管理。8.2.3 稳定性应确保所提供的ACC系统的稳定性，使其能够24×7×365小时连续稳定运行。6DB 13/T 5519.120228.2.4 可维护性系统应进行可维护性设计，减少维修次数和维修时间，提高运营服务质量，达到零配件数量低比率。系统可维护性的实现应包括：a) 应做到控制维护保养需求；b) 应做到减少维修作业次数；c) 应做到减少维修时间；d) 应做到简化维修操作；e) 应做到控制零配件需求；f) 应做到控制专用维修设备和工具需求；g) 应做到减少出错可能性等。8.2.5 可测试性系统应有良好的可测试性，应能

24、快速准确判断系统故障的位置和原因，减少维修次数、时间、费用。系统可测试性的实现应包括：a) 应充分考虑系统设备测试点的设置；b) 应对测试点进行详细的特性描述；c) 所采用的测试手段应易于掌握；d) 测试设备和工具应尽量通用。8.2.6 先进性系统的软硬件应遵循国际、国内开放系统标准及协议，属于当前业界的主流产品，并已经得到广泛应用，占有较高的市场份额。系统先进性设计的实现应包括：a) 应采用在同类产品中处于领先地位且已经在全球范围内的各种应用中大量应用的产品；b) 应采用先进技术设计和制造，具有高性能，同时又成熟可靠，经过各方面考验的成熟和先进产品。8.2.7 开放性与可扩展性系统的软、硬件

25、应具有良好的开放性与可扩展性，系统应能提供开放式的标准接口，以支持未来基于轨道交通储值票卡的多应用扩展等。系统的软硬件开放性与可扩展性应包括但不限于：a) 运营线路扩展与运营商的扩展；b) 系统功能扩展；c) 新增模块扩展；d) 新增系统接口的扩展；e) 新增系统应用的扩展（如其它支付方式、身份识别等）；f) 城市一卡通清算中心系统及其它支付系统、支付方式的应用扩展；g) 人机界面；h) 其它应用的扩展。系统的软硬件开放性与可扩展性具体体现在：a) 系统结构1) 系统层次化布局；2) 系统功能模块化组合；3) 同层子系统之间相对独立的运行；4) 参数化设计；5) 系统层与层之间具有互为冗余特性

26、。b) 应用接口1) 数据通讯采用国际标准的开放式协议；7DB 13/T 5519.120222) 硬件接口采用国际上广泛使用的标准接口；3) 软件接口全面开放；4) 系统参数设置方式全面开放。c) 应用功能1) 满足用户需求管理且满足需求变化及扩展需要；2) 满足可适应运营规则变化的功能扩展需要；3) 满足系统各组成软件模块的增加、变更及组合的应用需要；4) 满足低成本且可便捷实现系统功能的变化及扩展需要；5) 满足轨道交通专用票及一卡通票的应用扩展需要；6) 满足其他支付方式的应用扩展需要；7) 满足轨道交通其他关联应用的扩展需要。d) 软件1) 软件应采用集成的模块化设计，系统软件处理结

27、构应满足上述各项要求；2) 软件模块各接口应开放，软件新功能、性能变更应可方便实施，且不会影响整体系统正常运营需求。e) 硬件1) 计算机类设备的配置应充分考虑预留，可通过增加或更新硬件进行系统扩展；2) 设备应采用模块化设计,功能的选择可以通过配置不同的硬件模块来实现，设备操作功能可通过参数及指令形式控制和调整8.2.8 3C 认证按照本标准执行的工程中凡列入国家强制性产品认证（3C认证）的产品，必须经国家指定的认证机构认证合格，取得相关证书并加施认证标志后，方能进行出厂验收和工程使用。8.2.9 接地从提高工作人员操作设备时的安全性和系统设备间数据传输的可靠性等方面综合考虑，系统实施应符合

28、设备保护接地和六类屏蔽线缆接地要求。8.2.10 环保ACC系统设计的环保要求应包括但不限于：a) 所有系统设备的 PCB 板应为无铅化产品；b) 所有系统设备应进行节能型设计，以利于能源节约。 ACC 系统构成ACC系统应包含：清算管理系统、票务管理系统、参数管理系统、安全密钥系统、信息管理系统、系统管理系统、报表系统。8.3.1 清算管理系统ACC的核心功能是为轨道交通运营商提供清算管理服务，并代表轨道交通各运营商与一卡通进行清算。清算管理功能应包括（但不限于）以下重点：a) 应具备处理一票通的交易数据的功能；b) 应具备处理一卡通的交易数据的功能；c) 应具备票款、票卡处理服务费用结算、

29、对账的功能；d) 应具备运费收入清分、对账的功能；e) 应具备运营商账务管理功能；f) 应具备统计报表、信息服务等功能。g) 应具备独立于其它系统运作的功能。h) 应具备同时满足有障碍换乘的业务要求。i) 所有关于一卡通的功能设计与实施，必须遵循城市一卡通清算中心系统的有关规定。8DB 13/T 5519.120228.3.2 票务管理系统ACC作为轨道交通专用一票通的发行机构，统一定义、发行、管理一票通票卡。ACC应能要求线路中心向ACC上调票卡，或在ACC授权下，指示线路中心向缺票的线路调配。线路中心应对车票调配进行记录，并定期向ACC上传车站库存、车票流失等有关数据。票务管理功能应包括：

30、a) 中央票卡库存管理；b) 监控线路车票回收、流动；c) 坏票、过期票中央回收；d) 票卡初始化；e) 票卡个性化；f) 票卡遗失、跟踪，黑名单处理；g) 票卡使用记录，分析，查询；h) 票卡可靠性分析，流失分析。8.3.3 参数管理系统ACC应能利用参数对其系统功能进行设置，对AFC系统的有关功能进行统一管理，以满足不同业务要求。系统主要参数应包括：a) ACC 系统参数；b) 在应用一票通时，ACC 与AFC 系统共同采用的参数；c) 在应用一卡通时，由城市一卡通清算中心系统定义，通过 ACC 传输到 AFC 系统的城市一卡通清算中心系统、ACC 及AFC 系统共同采用的参数；d) 轨道

31、交通黑名单；e) 一卡通黑名单。8.3.4 安全密钥系统8.3.4.1 AFC 系统设备安全管理ACC应能完成对轨道交通线网内所有AFC系统设备的注册管理、认证管理及数据审核。8.3.4.2 SAM 卡安全管理所有ACC发行的SAM卡必须在ACC系统内登记。ACC应设有SAM卡与AFC设备的关系表，记录SAM卡所安装的AFC设备编码。8.3.4.2.1 SAM 卡通用技术要求SAM卡目前被广泛的应用在安全认证方面，通用技术要求应包括：a) 应符合识别卡，带触点的集成电路卡标准 ISO/IEC 7816-1/2/3/4；b) 应符合中国人民银行 PSAM 卡规范；c) 应符合中国金融集成电路（I

32、C）卡规范；d) 应支持一卡多应用，各应用之间相互独立（多应用、防火墙功能）；e) 应支持多种文件类型 包括二进制文件，定长记录文件，变长记录文件，循环文件，钱包文件；f) 应在通讯过程中支持多种安全保护机制（信息的机密性和完整性保护）；g) 应支持多种安全访问方式和权限（认证功能和口令保护）；h) 应支持中国人民银行认可的 Single DES、Triple DES 算法；i) 应支持多级密钥分散机制，产生中国金融集成电路（IC）卡规范中定义的 MAC1 和校验MAC2，用分散后的密钥作为临时密钥对数据进行加密、解密、MAC 等运算；j) 以完成终端与卡片之间的合法性认证等功能；k) 应支持

33、多种通讯协议：接触界面支持 T=0（字符传送）和 T=1（块传送）通讯协议；l) 接触界面应符合 PPS 协议，支持多种速率选择：9600/19200/38400/57600bps；9DB 13/T 5519.12022m) 应支持多种容量选择。8.3.4.2.2 SAM 卡文件结构SAM卡应满足以下对文件结构的定义和要求： a ) 应符合 ISO/IEC 7816-4；b) 应用数据文件（ADF）应包括：1) 能够将数据文件与应用联系起来；2) 确保应用之间的独立性；3) 可以通过应用选择实现对其逻辑结构的访问。目录结构采用以其应用标识符（AID）的方式进入一个应用；4) 文件可以通过文件名

34、或 SFI 进行查询；5) 卡中的任何 ADF 或 DDF 可通过其 DF 名查询，ADF 的 DF 名对应其 AID，每个 DF 名在给定的卡中应是唯一的；6) 在一个给定的应用中 SFI 应是唯一的，专用 SFI 的使用由应用决定。8.3.4.3 安全机制安全机制应满足如下要求：a) 秘钥的独立性；b) 安全报文传送的格式和规则等符 GB/T 16649 的规定；c) 消息验证码（MAC）的位置，长度，计算算法，过程秘钥的产生方式和过程符合中国金融集成电路（IC）卡规范中有关规定；d) 对明文数据加密的秘钥产生，算法，加密数据的格式应符合中国金融集成电路（IC）卡规范中有关规定。8.3.5

35、 信息管理系统信息管理系统应包括数据分析、决策支持、报表生成、信息发布等功能。a) 数据分析数据分析主要功能应包括：1) ACC 应能满足不同单位或部门的信息需求；2) ACC 接收、处理各线 LC 上传的客流数据，应能及时显示和定时更新；3) ACC 应提供一系列的报表，分析各线路的票务收益，包括不同时段、不同日期、不同票种等。数据应能从系统内导出，供用户进行数据再处理和分析。b) 决策支持决策支持主要功能应包括：1) 车票需求分析；2) 车票丢失分析；3) 收费决策(通过数据分析，ACC 能得出 ACC 的收益预算，提供票价敏感性分析等)；4) 市场数据分析；5) 为其他主管和相关单位，提

36、供决策支持相关的信息。6) 具备灵活的数据统计及分析功能。c) 报表生成报表生成主要功能应包括：1) 报表必须按用户输入的报表周期生成，可由 ACC 通过设定自动生成，或由用户控制生成报表。所生成的报表应能以图表方式提供。用户应可将报表数据输出到通用文字及电子表格应用软件供分析和操作。2) 报表周期包括日报表、周报表、月报表、季报表、年报表及自选报表。清算报表需要基于清算日期及运作日期。ACC 应允许用户下载其需要的报表，并通过参数管理决定每一种报表的存储期限。3) ACC 须允许用户实时(在线)或批次生成数据分析报表。在线生成的数据分析报表应在5 分钟内完成。离线生成的数据分析报表应在 30

37、 分钟内完成。10DB 13/T 5519.120224) 报表类型至少包括：客流、收益、票卡库存、现金收益、清算、异常、票卡查询、票卡跟踪、审核、数据分析及数据查阅等。5) 系统清分、设备运行、车票交易、客流、现金处理及维修等各种运营报表为基本需求， 根据业务需求设计报表，以满足业务需求为原则。6) ACC 应提供对使用报表的用户及终端权限控制的功能，可以在报表级设置各用户、用户组或终端的权限。其用户权限的设置应与系统权限分别设置。报表用户应能在授权终端上查看、打印相应报表。不同种类的报表经管理员选定后可多张一次同时打印。7) 报表应可以通过网络共享，当同时打开同一报表时，应保证用户访问的报

38、表数据一致。标准报表在规定的时间段内可供在线查询，并支持通过 Web 页面的方式进行浏览。根据操作员权限的不同，允许查询的报表类型范围也应对应不同。报表维护人员可利用ACC 提供的报表生成工具软件，开发新的报表类型。d) 信息发布信息发布主要功能应包括：1) 对于各种统计比较信息（如：客流信息等）、告警信息提示、通知等，ACC 系统必须建立较好的适应运营实际需求的信息发布机制。2) 信息接收对象主要为持卡人、各线路 AFC 系统运营人员、各级领导、以及 ACC 各级管理人员。信息接收对象可以分组定义，并支持分组发布。3) 信息发布前应可根据需求进行适当编辑，系统应提供对发布信息进行适当编辑的工

39、具。4) 信息发布可以采用投影、屏幕、互联网络、电信移动短信等形式发布。8.3.6 系统管理系统系统管理系统应包括权限管理、系统审计、数据备份、维护管理、灾难恢复管理、系统运营日志管理、时钟同步、网络管理、在线帮助、测试培训平台系统等功能。a) 权限管理权限管理主要功能应包括：1) 根据 ACC 不同用户的职权设置不同的组别，赋予有关的功能及权限。同一组别中可配置个别的用户权限；2) 所有用户必须通过申请，得到 ACC 有关人员的批准，由系统管理人员通过 ACC 系统开设用户帐号，并赋予其有关的操作和访问权限。系统须自动生成初始密码给新用户。新用户必须要在首次使用时更改初始密码；3) ACC

40、需要保证用户名在各系统间统一，有唯一用户名及权限；4) ACC 应允许用户修改自己的密码；5) ACC 只允许用户根据系统赋予的权限工作；6) ACC 必须具备准确和完整的审计记录功能，完善地记录用户的帐户开设、更改及使用情况。b) 系统审计系统审计主要功能应包括：1) 当用户试图登录 ACC 系统的任何一个子系统、应用功能、设备，ACC 系统必须对用户名称及密码进行核对；2) 进行系统间的访问，如通信、资讯共享前，ACC 须要核对用户身份；3) ACC 系统需要记录成功及失败的登录次数，根据不同的需要，随时提供查询用户的登录情况；4) ACC 系统需要对所有登录活动、主要存取及注销，作详细的

41、记录并予保留后记入操作日志。c) 数据备份系统应具备完善的数据备份能力，ACC系统管理人员应能根据数据传输及其处理的时间来制定备份时间或备份周期。d) 维护管理系统应具备集中统一对ACC内部及接入系统间设备部件进行维护管理的功能，应具备通过网络对系统设备的软件进行更新的功能，应具备收集设备状态信息，并生成相应的统计报告的功能。11DB 13/T 5519.12022ACC系统维护必须提供以下（但不限于）功能：1) 当不正常的状态出现时，系统应能自动诊断、侦查异常情况，向操作员及时提供通报；2) 操作员应能运行自诊断功能，检查系统状况，应须允许操作员有选择地执行诊断，并保证不影响整个系统的运营；

42、3) 系统应提供数据及文件自动归档功能，功能由参数设定；4) 系统应提供数据及文件的自动清除功能，清除期限由参数设定。e) 灾难恢复管理灾难恢复管理主要功能应包括：1) ACC 系统设计必须实现运营系统与异地备份后备系统的数据切换，包括数据从运营系统切换到异地备份的后备系统，及数据从异地备份后备系统恢复到运营系统。2) 运营系统发生灾害或出现严重故障时，系统应马上监测到异常情况，及时向管理员发送警报，并手动启动异地备份将数据备份至后备系统。3) 灾难恢复应在 24h 以内完成。f) 系统运营日志管理系统运营日志管理主要功能应包括：1) 所有自动或手动的系统操作必须做有效的记录和维护。2) 操作

43、员和维护人员应能跟踪中央计算机的所有操作，审计人员应能审查操作员的所有操作记录。ACC 系统的任何操作必须保留操作记录。3) 日志最短应保存 1 年。g) 时钟同步时钟同步主要功能应包括：1) ACC 系统取通信系统时钟源基准，协议为 NTP。2) ACC 与通信系统保持时钟同步。3) ACC 系统与各线路保持时钟同步，时差不大于参数设定时间。h) 网络管理网络管理主要功能应包括：ACC须完成ACC内部及接入系统间的网络管理；具体管理功能包括但不限于以下功能：1) 设备的自动发现及管理界面定制功能：系统应能自动发现网络环境中的被管理对象， 并将被发现的对象按照它们之间的关系建立系统管理模型。被

44、管理对象的图像显示应提供用户定制功能，使网管系统的视图更能适应管理的实际需要。2) 配置管理：对网络设备端口、参数、IP 地址的设置和管理。3) 故障监控管理：网管系统应通过定期轮询及被管理系统主动上报等方式收集故障信息， 一旦发现被管理设备有故障发生，网管系统应按照预定义的规则进行过滤、分类、转换、通知和自动响应等各种处理。4) 事件分析：系统应根据不同故障和事件之间的实际关系，制定策略，进行过滤和转换， 过滤一些从属的故障和事件，只保留主要的问题根源，有利于发现系统及网络中的主要问题，避免由于过多故障事件发生，淹没了主要的故障根源。5) 性能管理：系统应管理设备性能、网络响应时间、网络带宽

45、使用，从用户的角度监控应用的性能，并且通过报警、图形化分析、自动报告等方法提供端到端的性能管理。性能管理包括网络性能及系统性能管理两部分内容。6) 远程控制管理：系统的远程控制管理应提供对远端的操作系统进行管理的功能，也可以传输文件、交互对话、执行远程的应用，还可以对上述的连接过程进行记录，使系统管理员可以协助操作系统用户解决各种应用问题。通过与操作系统管理域的紧密集成，可以借助"域"的安全机制实现远程控制中的安全控制。7) 网络操作管理：系统应提供以太网交换机的故障、性能管理，包括路径管理，提供选定设备间路径的状态情况。系统应提供交换机状态监视、性能监视及分析、VLAN

46、配置管理和监视、Trunk 管理等功能。i) 在线帮助在线帮助主要功能应包括：1) ACC 系统须提供在线帮助功能。12DB 13/T 5519.120222) 系统应能让操作员在线查询系统功能，并提供操作指南。j) 测试培训平台系统测试培训平台系统主要功能应包括：1) 测试培训平台应能模拟 ACC 的所有功能，并应能利用真实数据或模拟数据运行。2) 测试培训平台必须提供能生成各种模拟数据的功能及测试用的软件。3) 测试培训平台具有与运营系统相同的软件管理功能。4) 测试培训平台所采用的系统软件，应与运营系统一致。5) 测试培训平台必须提供运营系统所需的硬件及测试票卡，所采用的硬件必须与运营系

47、统兼容。6) 测试培训平台必须具备从运营系统/异地备份系统导入数据作为测试用途的能力。7) 测试培训平台必须为系统软件（包括接口等）的开发、维护，以及系统二次开发创造条件。8) 测试培训平台须提供后续接入线路接入时的培训功能。8.3.7 报表系统可以按要求生成不同时段的报表。报表应采用模块化设置，根据不同条件组合灵活生成，以满足运营需要。所生成的报表应能以图表方式提供。用户应可将报表数据输出到通用文字及电子表格应用软件供分析和操作。报表应可以通过网络共享，当同时打开同一报表时，应保证用户所看到的报表一致。系统应提供对使用报表的用户及终端权限控制的功能，可以在报表级设置各用户、用户组或终端的权限

48、。其用户权限的设置应与系统权限分别设置。报表用户应能在授权终端上查看、打印相应报表。 ACC 安全要求8.4.1 SAM 密钥管理系统a) 主要功能要求1) 建立密钥管理中心，统一发放及实现密钥管理全过程的安全，包括密钥的产生、运送、存放、分发、下装、使用、备份、更新、销毁等；2) 密钥系统须具有灵活、易维护及高安全等特性；3) 对于逐步开通的新应用，定义其所需要的密钥种类、用途和数量；4) 对于不同级别或种类的密钥，由不同级别的操作员分别管理；5) 生成并保管卡片根密钥，根密钥的生成应做到多人控制、相互制约；6) 按一票通票卡中所涉及的各种应用生成各种密钥；7) 制作各种应用卡，包括用户卡、

49、母卡、PSAM 卡和ISAM 卡；8) 对系统中密钥的生成、分散、使用、更新和销毁进行安全审计。b) 密钥管理系统组成1) 密钥管理工作站：负责生成各种专用密钥，完成对密钥的分发和管理，制作各类母卡；2) 密钥管理软件须记录各种制卡设备所输入的 SAM 卡发行信息。；3) SAM 卡制卡设备：负责制作所需的 SAM 卡；4) 加密机：加密机接入到中央交换机，根据密钥系统导入的 TAC 计算密钥，负责对交易数据进行 TAC 码计算。c) 密钥生成1) 密钥管理系统接收根密钥后，再分发其它应用主密钥；2) 不需要重复生成的密钥，要采用随机产生的办法，由系统随机产生这些密钥；3) 需要重复生成的密钥

50、，要采用密钥变换或密钥衍生的办法生成，并确保密钥变换或密钥衍生的过程绝对安全，并且在需要的时候，能够重新得到与原来相同的密钥；4) 密钥系统要采用分级管理方式，由上一级生成下一级所需的所有子密钥，并以卡片的形式传递给下一级。d) SAM 卡片制作13DB 13/T 5519.12022要使用传输密钥控制密钥的加密装载、直接加密导出、分散加密导出。e) 加密机管理密钥管理系统实现对加密机设备的维护和管理，及对加密机密钥的维护和管理。f) SAM 密匙系统技术要求1) 系统性能应满足系统进行大批量 SAM 卡及用户卡发卡的要求；2) 加密机应能满足系统交易记录 TAC 码等的计算要求；3) 系统可

51、靠性、可用性要求系统要满足 ACC 的运行需要，发生局部硬件故障和软件故障时有相应的容错技术，单点故障应不影响整个系统的运行；4) 系统应保证本地密钥备份数据和实际密钥数据的一致性，发生局部故障时，密钥数据不丢失；5) 系统扩展性要求系统软件框架设计要具有可扩展性，新功能模块的增加不影响原有系统软件设计；6) 系统必须预留接口以支持未来多种新应用的扩展，而不能对密钥系统产生影响；7) 对密钥系统管理的要求系统应具备对加密机、本身数据库、密钥管理系统等进行监控、管理能力；对系统的信息、参数、文件进行统一的管理和控制。g) 系统软件要求1) 应实现对系统管理员、系统一般管理员的管理；根据系统用户角

52、色定义实现角色权限管理；实现系统数据备份和恢复操作；2) 应对所有操作进行日志记录，并进行分类查询和审计。日志记录只允许有权限的管理员查看。h) 系统安全性要求1) 应使用经权威机构鉴定许可的硬件密码设备和密码算法；2) 应提供安全的密钥生成和分散机制，采用安全报文方式实现密钥的安全传输；3) 应提供用户身份认证、访问授权、日志记录等安全控制功能。8.4.2 票卡安全a) 一票通票卡（储值类）安全1) 票卡设计必须采用一卡一密钥，一扇区一密钥；2) 票卡的密钥要利用票卡的序列号及其它相关信息，通过算法，由票卡的发行机构在对票卡进行初始化时，记录在票卡中；3) 票卡在每次操作时，须经过密钥验证；

53、4) 票卡的验证要通过 SAM 完成；5) 票卡在交易过程中，为了防止信号被意外截取，其通信（读写器与票卡之间）须进行加密。b) 票卡黑名单在对交易数据进行处理时，要能够对数据进行分析，并对可疑的票卡使用产生黑名单，通过黑名单功能，实现对黑名单票卡的管理。8.4.3 设备安全a) 设备安全1) 一票通 SAM 与一卡通 SAM 应能够同时在 AFC 设备中独立运行；2) ACC 应具有设备管理功能，要能够详细记录 AFC 系统 SAM 的登记、其所安装的 AFC 设备等信息，同时提供密钥版本号更换、黑名单更新、配置数据更新等记录的维护功能；3) AFC 设备须符合 ACC 对一票通票卡的读写流

54、程；4) 一票通票卡须与 AFC 设备内的 SAM 进行验证才可进行读写；5) 线网中的设备须具有唯一的设备编码。b) 设备黑名单1) 运营系统应能够实现对设备黑名单的生成、维护和管理；2) 交易发生于列入设备黑名单的日期以后，交易数据不做清算。14DB 13/T 5519.120228.4.4 网络安全a) 防病毒体系1) 整个 ACC 中必须建立全面的网络防病毒体系；2) 在构建网络防病毒系统时，应利用企业级防毒产品；3) 须针对网络中所有可能的病毒攻击设置对应的防毒软件，通过全方位、多层次的防毒系统配置，使网络没有病毒入侵的薄弱环节；4) 防病毒软件应能够在局域网内指定的服务器进行更新。b) 防火墙1) 应在网络出口处安装防火墙，来进行有效的隔离，所有来自外部网络的访问请求须通过防火墙的检查，保证内部网络的安全性；2) 通过源地址过滤，拒绝外部非法 IP 地址，须有效避免外部网络上与业务无关的主机的越权访问；3) 防火墙应可设置保留有用服务，将其它不必要服务关闭，以缩小攻击面；4) 防火墙应制定访问策略，保证只有被授权的外部主机可以访问内部网络的有限 IP 地址，保证外部网络只能访问内部网络中的必要资源，缩小可能攻击来源；5) 防火墙应全面监视外