• <tr id="yyy80"></tr>
  • <sup id="yyy80"></sup>
  • <tfoot id="yyy80"><noscript id="yyy80"></noscript></tfoot>
  • 99热精品在线国产_美女午夜性视频免费_国产精品国产高清国产av_av欧美777_自拍偷自拍亚洲精品老妇_亚洲熟女精品中文字幕_www日本黄色视频网_国产精品野战在线观看 ?

    自動(dòng)列車監(jiān)控系統(tǒng)中安全控制設(shè)計(jì)探討

    2020-12-31 03:34:48陳景柱
    鐵路通信信號工程技術(shù) 2020年12期
    關(guān)鍵詞:調(diào)度員安全控制命令

    陳景柱

    (卡斯柯信號有限公司,上海 200071)

    列車自動(dòng)監(jiān)控系統(tǒng)作為地鐵信號控制系統(tǒng)的重要組成部分之一,與計(jì)算機(jī)聯(lián)鎖(CBI)、自動(dòng)列車控制(ATC) 系統(tǒng)配合工作,實(shí)現(xiàn)信號設(shè)備的集中監(jiān)控,控制列車按計(jì)劃在正線及車輛段/停車場自動(dòng)運(yùn)行,并向調(diào)度員和外部系統(tǒng)(PIS/FAS/ISCS)提供信息。在基于通信的列車自動(dòng)控制(CBTC)系統(tǒng)中,ATS 系統(tǒng)被定義為SIL2(安全完整性等級)[1],其可靠性和安全性對整個(gè)CBTC 系統(tǒng)至關(guān)重要。

    ATS 的安全控制過程采用HILC(High Integrity Level Control)操作控制流程。調(diào)度員需要執(zhí)行一次請求和二次確認(rèn)兩個(gè)過程操作,執(zhí)行結(jié)果需要調(diào)度員確認(rèn)。安全控制過程的風(fēng)險(xiǎn)是安全操作施加到錯(cuò)誤的設(shè)備對象,但未通知調(diào)度員或者安全操作執(zhí)行失敗,但卻通知調(diào)度員執(zhí)行成功。ATS安全控制過程安全風(fēng)險(xiǎn)存在于通信協(xié)議、共因失效和人機(jī)交互流程3 個(gè)方面。

    1 安全通信接口分析與設(shè)計(jì)

    ATS 的安全控制交互對象外部是CBI 系統(tǒng)和ATC(ZC/LC/VOBC)系統(tǒng),內(nèi)部是調(diào)度員與調(diào)度工作站、HILC1(請求準(zhǔn)備)和HILC2(二次確認(rèn))系統(tǒng)之間的人機(jī)接口,如圖1 所示。無論是ATS發(fā)出的控制命令消息,還是從ATC/CBI 接收的反饋消息都需要采用安全通信協(xié)議進(jìn)行防護(hù)。根據(jù)EN50126[2]和EN50159[3]要求,應(yīng)用于SIL2 等級的安全控制接口存在以下風(fēng)險(xiǎn)。

    無傳輸數(shù)據(jù):由于系統(tǒng)或硬件連接故障導(dǎo)致接口數(shù)據(jù)丟失;數(shù)據(jù)丟失時(shí)安全控制過程必須結(jié)束。

    過期數(shù)據(jù):由于系統(tǒng)或硬件設(shè)備故障導(dǎo)致數(shù)據(jù)未在有效時(shí)間范圍內(nèi)發(fā)送或接收;控制命令交互過程必須考慮實(shí)時(shí)性、有效性要求,不能使用延時(shí)、過期、錯(cuò)序數(shù)據(jù)。

    圖1 安全控制接口交互對象Fig.1 Interactive objects of safety control interface

    接口數(shù)據(jù)失效:數(shù)據(jù)傳輸過程中由于干擾或串?dāng)_導(dǎo)致部分幀或數(shù)據(jù)內(nèi)容損壞,發(fā)送和接收方需要做編碼保護(hù)和驗(yàn)證。

    1.1 外部接口設(shè)計(jì)

    基于接口風(fēng)險(xiǎn)分析結(jié)果設(shè)計(jì)ATS 與ATC/CBI的安全控制接口,分為4 個(gè)階段,具體流程如圖2所示。

    1) 用戶操作發(fā)送HILC_Request 消息,ΔT1超時(shí)時(shí)間內(nèi)等待ATC/CBI 反饋SRHour 消息,如果超時(shí)沒有收到反饋則結(jié)束此次操作;消息格式包含<消息ID><消息長度><設(shè)備ID><操作命令I(lǐng)D>,其中ATS 時(shí)間戳用于判斷是否過期數(shù)據(jù)以及后續(xù)消息是否為此消息的請求反饋,CRC1 和CRC2 分別采用不同的CRC 多項(xiàng)式計(jì)算。

    2) ATC/CBI 反饋SRHour 消息,消息格式包含<消息ID><消息長度><設(shè)備ID><操作命令I(lǐng)D>;ATS 需要校驗(yàn)各接口參數(shù)的有效性。

    3) ATS 發(fā) 送 二 次 確 認(rèn)HILC_Confirm 命令;并在ΔT2 超時(shí)時(shí)間內(nèi)等待ATC/CBI 反饋ReturnCode 消息,如果超時(shí)則結(jié)束此次操作;消息格式包含<消息ID><消息長度><設(shè)備ID><操作命令I(lǐng)D> ,其中 ATC/CBI 隨機(jī)數(shù)為SRHour 消息中的ATC/CBI 隨機(jī)數(shù)。

    4) ATC/CBI 反饋ReturnCode 消息,消息格式包含<消息ID><消息長度><設(shè)備ID><操作命令I(lǐng)D><操作結(jié)果><設(shè)備狀態(tài)> ;ATS 需要校驗(yàn)各接口參數(shù)的有效性。

    圖2 安全控制接口交互流程Fig.2 Interactive process of safety control interface

    1.2 人機(jī)接口設(shè)計(jì)

    人機(jī)接口是指界面顯示及操作輸入與安全相關(guān)系統(tǒng)之間的接口。人機(jī)接口主要失效模式包括人機(jī)接口輸入數(shù)據(jù)錯(cuò)誤、顯示錯(cuò)誤;產(chǎn)生原因是人員操作錯(cuò)誤、傳輸錯(cuò)誤、數(shù)據(jù)損壞等[4]。安全控制命令人機(jī)接口采用以下解決方法: 用戶輸入使用選擇方式代替輸入方式,數(shù)據(jù)配置設(shè)置校核字增加安全防護(hù)措施,界面顯示采用冗余顯示和確認(rèn)過程。

    2 HILC關(guān)鍵技術(shù)設(shè)計(jì)

    HILC 的設(shè)計(jì)通過多樣性、狀態(tài)機(jī)轉(zhuǎn)換和操作結(jié)果顯示校驗(yàn)等設(shè)計(jì)方法能夠有效降低發(fā)送控制命令時(shí)的人因錯(cuò)誤,而且引入了校驗(yàn)和確認(rèn)機(jī)制來提高整個(gè)系統(tǒng)的健壯性。

    2.1 多樣性分析與設(shè)計(jì)

    共因失效(Common Cause Failure,CCF),是指由一個(gè)單點(diǎn)故障造成整個(gè)單元或與之相關(guān)的系統(tǒng)同時(shí)失效,是影響系統(tǒng)可靠性的關(guān)鍵因素。形成共因失效的原因是由于節(jié)點(diǎn)或系統(tǒng)之間存在互依關(guān)聯(lián)和耦合因素。ATS 安全控制需要解決由于數(shù)據(jù)和運(yùn)行庫兩個(gè)因素引入的共因失效。

    安全控制過程采用多樣性設(shè)計(jì)方法以降低共因失效。

    1) 請求準(zhǔn)備和二次確認(rèn)采用相互獨(dú)立的進(jìn)程,即HILC1 實(shí)現(xiàn)調(diào)度員第一次請求操作,HILC2 實(shí)現(xiàn)二次確認(rèn)和結(jié)果顯示功能;有效降低隨機(jī)性和系統(tǒng)性故障。

    2) HILC1 和HILC2 采用不同的編碼語言、開發(fā)環(huán)境和編譯器;有效減輕COTS 庫和編譯器造成的系統(tǒng)故障。

    3) 為保證配置數(shù)據(jù)的正確性,設(shè)計(jì)雙鏈安全數(shù)據(jù)工具。由不同的設(shè)計(jì)師采用不同的編碼語言分別在Windows 和Linux 上獨(dú)立開發(fā)。兩鏈生成的數(shù)據(jù)使用兩個(gè)比較工具進(jìn)行比較,比較結(jié)果一致后才能夠使用。

    4) HILC1 加載一鏈數(shù)據(jù),HILC2 加載二鏈數(shù)據(jù),一鏈數(shù)據(jù)和二鏈數(shù)據(jù)在數(shù)據(jù)結(jié)構(gòu)、編碼格式、冗余校核等方面均采用差異化設(shè)計(jì)。

    5) 調(diào)度員請求準(zhǔn)備過程和確認(rèn)過程需要分別輸入或選擇控制命令和設(shè)備,且控制命令和設(shè)備名稱最大化差異性顯示。

    2.2 狀態(tài)機(jī)轉(zhuǎn)換過程

    在接收和處理接口消息時(shí)需要預(yù)防以下情況:

    1) 正在操作過程中收到非預(yù)期消息;

    2) 操作有效時(shí)間內(nèi)未收到預(yù)期有效消息;

    3) 操作結(jié)束、提前或者超時(shí)后收到消息。

    針對以上情況設(shè)計(jì)安全控制消息處理校驗(yàn)流程如圖3 所示:

    1) HILC1 僅在準(zhǔn)備狀態(tài)即沒有其他HILC 操作的過程中接收安全控制命令,否則該消息無效;

    2) HILC1 僅在調(diào)度員點(diǎn)擊確認(rèn)按鈕后發(fā)送HILC_Request 消息,且在發(fā)送該消息后超時(shí)時(shí)間內(nèi)接收SRHour 消息;

    3) HILC1 僅在校驗(yàn)SRHour 有效后發(fā)送HILC1_TO_HILC2 消息;

    4) HILC2 僅在等待狀態(tài)即沒有其他操作過程中接收HILC1_TO_HILC2 消息,否則該消息無效;

    5) HILC2 僅在調(diào)度員點(diǎn)擊確認(rèn)按鈕后發(fā)送HILC_Confirm 消息,且在發(fā)送該消息后超時(shí)時(shí)間內(nèi)接收ReturnCode 消息,否則該消息無效。

    2.3 操作結(jié)果顯示

    安全控制命令的操作結(jié)果顯示直接影響了系統(tǒng)的安全性和調(diào)度員對操作結(jié)果的判斷,顯示操作結(jié)果的正確性是人機(jī)界面接口的關(guān)鍵[5]。

    預(yù)定義一個(gè)256 個(gè)元素的字符串?dāng)?shù)組ResultCode[256], 數(shù)值每個(gè)變量初始化為0xbb,根據(jù)圖4 所示,對列出的索引下標(biāo)重 新 賦 值, 例 如ResultCode[0x59]=“ 執(zhí)”,ResultCode[0x6D]=“操”;預(yù)定義操作結(jié)果成功常量TRetCode=0x1D081FA6,操作結(jié)果失敗常量FRetCode=0x6D7FA3F3; 對接口反饋的操作結(jié)果在本地采用雙模塊進(jìn)行編碼計(jì)算,雙模塊采用不同開發(fā)環(huán)境和編譯器生成。將雙模塊處理的操作結(jié)果合并進(jìn)行CRC 運(yùn)算,操作正確的CRC 計(jì)算結(jié)果為TRetCode,對應(yīng)的操作字符串應(yīng)等于“執(zhí)行成功”;操作失敗的CRC 計(jì)算結(jié)果為FRetCode,對應(yīng)的操作字符串應(yīng)等于“操作失敗”;如果等于其他值,說明邏輯計(jì)算顯示結(jié)果錯(cuò)誤,反應(yīng)到界面上則是帶有bb 的無效字符。

    圖3 HILC控制命令狀態(tài)圖Fig.3 State diagram of HILC control command

    3 HILC設(shè)計(jì)在無人駕駛中的應(yīng)用

    城市軌道交通全自動(dòng)無人駕駛系統(tǒng)是一種代替司機(jī)行使列車控制和駕駛功能的信號系統(tǒng),關(guān)鍵技術(shù)主要包括列車控制技術(shù)、監(jiān)測系統(tǒng)聯(lián)動(dòng)技術(shù)、故障管理技術(shù)及乘客監(jiān)督和管理技術(shù)等。其中乘客監(jiān)督和管理技術(shù)包括乘客緊急手柄、緊急呼叫、逃生門控制等功能[6]。當(dāng)乘客拉下緊急手柄后,由于沒有司機(jī),中心調(diào)度需要與乘客通話確認(rèn)后,是否需要操作緊急停車或在下一站停車后扣車;當(dāng)列車運(yùn)行在隧道區(qū)間時(shí)發(fā)生火災(zāi)或其他故障,需要遠(yuǎn)程開緊急逃生門時(shí),需要中心調(diào)度通過安全控制操作打開逃生門組織乘客緊急疏散。

    圖4 操作結(jié)果校核字Fig.4 Checking words of operating results

    為確保中心調(diào)度員準(zhǔn)確下達(dá)控制命令到指定的列車,預(yù)防發(fā)送錯(cuò)誤指令到其他列車,采用HILC的方式下達(dá)安全控制指令。以打開緊急逃生門為例進(jìn)行說明操作過程。

    1) 調(diào)度員在工作站站場圖選擇指定列車,右鍵彈出操作菜單,選擇“遠(yuǎn)程開緊急逃生門”功能,如圖5 所示。

    圖5 工作站菜單操作Fig.5 Menu operation of the workstation

    2)彈出HILC1 請求準(zhǔn)備對話框, 自動(dòng)填充控制命令遠(yuǎn)程開緊急逃生門和操作設(shè)備列車1,如圖6 所示,調(diào)度員確認(rèn)對話框標(biāo)題是否為控制命令,操作設(shè)備是否為預(yù)期操作設(shè)備名稱;確認(rèn)無誤后,點(diǎn)擊確認(rèn)按鈕發(fā)送請求打開緊急逃生門命令。

    3)收到車載VOBC 反饋后自動(dòng)關(guān)閉HILC1 對話框,彈出確認(rèn)對話框,如圖7 所示,調(diào)度員在超時(shí)時(shí)間內(nèi)從5 個(gè)干擾項(xiàng)中選擇控制命令和操作設(shè)備,所選的控制命令和設(shè)備在狀態(tài)欄中以二鏈名稱顯示,調(diào)度員確認(rèn)回顯是否正確;如果正確,點(diǎn)擊確認(rèn)按鈕,發(fā)送二次確認(rèn)命令。反之,點(diǎn)擊取消按鈕結(jié)束操作。

    圖6 HILC1操作Fig.6 HILC1 operation

    圖7 HILC2操作Fig.7 HILC2 operation

    4) 當(dāng)VOBC 反饋消息后,彈出操作結(jié)果對話框,提示執(zhí)行成功或操作失敗,確認(rèn)和取消按鈕變?yōu)殛P(guān)閉按鈕,調(diào)度員需要確認(rèn)顯示結(jié)果正確,如圖8 所示。

    圖8 HILC操作結(jié)果Fig.8 HILC operating results

    5) 關(guān)閉確認(rèn)和結(jié)果對話框。

    當(dāng)中心調(diào)度員操作結(jié)束確認(rèn)逃生門打開成功后,通知相關(guān)維保人員組織乘客在逃生區(qū)疏散,完成乘客救援任務(wù)。

    4 結(jié)束語

    隨著城市地鐵建設(shè)中無人駕駛和互聯(lián)互通項(xiàng)目的增多,用戶對ATS 系統(tǒng)的安全性提出了更高要求,本文對ATS 系統(tǒng)中安全控制的技術(shù)和方法進(jìn)行分析和設(shè)計(jì),不僅滿足ATS 的SIL2 安全等級的要求,也提高了ATS 系統(tǒng)的安全性和可靠性。以上探討的自動(dòng)列車監(jiān)控系統(tǒng)中安全控制關(guān)鍵技術(shù)和原理通過歐標(biāo)第三方安全認(rèn)證機(jī)構(gòu)的安全評估,并在多個(gè)城市的地鐵信號控制系統(tǒng)中得到了應(yīng)用。

    猜你喜歡
    調(diào)度員安全控制命令
    MPDS系統(tǒng)應(yīng)用下急救調(diào)度員應(yīng)具備的素質(zhì)和能力分析
    機(jī)械設(shè)計(jì)自動(dòng)化設(shè)備安全控制研究
    只聽主人的命令
    撥打120急救電話要注意什么?
    建筑施工現(xiàn)場的安全控制
    城市軌道交通行車調(diào)度員職業(yè)適應(yīng)性研究*
    移防命令下達(dá)后
    這是人民的命令
    藍(lán)色命令
    熱成像技術(shù)在食品質(zhì)量安全控制中的應(yīng)用
    定州市| 芦山县| 惠州市| 颍上县| 郓城县| 武鸣县| 彝良县| 盐津县| 自贡市| 泰兴市| 获嘉县| 莱芜市| 宣恩县| 峨眉山市| 青阳县| 武胜县| 平乡县| 双流县| 腾冲县| 武川县| 江油市| 二连浩特市| 宜兰市| 杭州市| 广汉市| 烟台市| 麻江县| 新巴尔虎右旗| 滦平县| 万安县| 惠东县| 岚皋县| 巩义市| 缙云县| 内江市| 和林格尔县| 家居| 娄底市| 兴和县| 南木林县| 新巴尔虎右旗|