自動(dòng)列車監(jiān)控系統(tǒng)中安全控制設(shè)計(jì)探討

陳景柱

（卡斯柯信號有限公司，上海 200071）

列車自動(dòng)監(jiān)控系統(tǒng)作為地鐵信號控制系統(tǒng)的重要組成部分之一，與計(jì)算機(jī)聯(lián)鎖(CBI)、自動(dòng)列車控制(ATC) 系統(tǒng)配合工作，實(shí)現(xiàn)信號設(shè)備的集中監(jiān)控，控制列車按計(jì)劃在正線及車輛段/停車場自動(dòng)運(yùn)行，并向調(diào)度員和外部系統(tǒng)(PIS/FAS/ISCS)提供信息。在基于通信的列車自動(dòng)控制(CBTC)系統(tǒng)中，ATS 系統(tǒng)被定義為SIL2（安全完整性等級）[1]，其可靠性和安全性對整個(gè)CBTC 系統(tǒng)至關(guān)重要。

ATS 的安全控制過程采用HILC(High Integrity Level Control)操作控制流程。調(diào)度員需要執(zhí)行一次請求和二次確認(rèn)兩個(gè)過程操作，執(zhí)行結(jié)果需要調(diào)度員確認(rèn)。安全控制過程的風(fēng)險(xiǎn)是安全操作施加到錯(cuò)誤的設(shè)備對象，但未通知調(diào)度員或者安全操作執(zhí)行失敗，但卻通知調(diào)度員執(zhí)行成功。ATS安全控制過程安全風(fēng)險(xiǎn)存在于通信協(xié)議、共因失效和人機(jī)交互流程3 個(gè)方面。

1 安全通信接口分析與設(shè)計(jì)

ATS 的安全控制交互對象外部是CBI 系統(tǒng)和ATC(ZC/LC/VOBC)系統(tǒng)，內(nèi)部是調(diào)度員與調(diào)度工作站、HILC1（請求準(zhǔn)備）和HILC2(二次確認(rèn))系統(tǒng)之間的人機(jī)接口，如圖1 所示。無論是ATS發(fā)出的控制命令消息，還是從ATC/CBI 接收的反饋消息都需要采用安全通信協(xié)議進(jìn)行防護(hù)。根據(jù)EN50126[2]和EN50159[3]要求，應(yīng)用于SIL2 等級的安全控制接口存在以下風(fēng)險(xiǎn)。

無傳輸數(shù)據(jù):由于系統(tǒng)或硬件連接故障導(dǎo)致接口數(shù)據(jù)丟失；數(shù)據(jù)丟失時(shí)安全控制過程必須結(jié)束。

過期數(shù)據(jù):由于系統(tǒng)或硬件設(shè)備故障導(dǎo)致數(shù)據(jù)未在有效時(shí)間范圍內(nèi)發(fā)送或接收；控制命令交互過程必須考慮實(shí)時(shí)性、有效性要求，不能使用延時(shí)、過期、錯(cuò)序數(shù)據(jù)。

圖1 安全控制接口交互對象Fig.1 Interactive objects of safety control interface

接口數(shù)據(jù)失效：數(shù)據(jù)傳輸過程中由于干擾或串?dāng)_導(dǎo)致部分幀或數(shù)據(jù)內(nèi)容損壞，發(fā)送和接收方需要做編碼保護(hù)和驗(yàn)證。

1.1 外部接口設(shè)計(jì)

基于接口風(fēng)險(xiǎn)分析結(jié)果設(shè)計(jì)ATS 與ATC/CBI的安全控制接口，分為4 個(gè)階段，具體流程如圖2所示。

1) 用戶操作發(fā)送HILC_Request 消息，ΔT1超時(shí)時(shí)間內(nèi)等待ATC/CBI 反饋SRHour 消息，如果超時(shí)沒有收到反饋則結(jié)束此次操作；消息格式包含<消息ID><消息長度><設(shè)備ID><操作命令I(lǐng)D>,其中ATS 時(shí)間戳用于判斷是否過期數(shù)據(jù)以及后續(xù)消息是否為此消息的請求反饋，CRC1 和CRC2 分別采用不同的CRC 多項(xiàng)式計(jì)算。

2) ATC/CBI 反饋SRHour 消息，消息格式包含<消息ID><消息長度><設(shè)備ID><操作命令I(lǐng)D>；ATS 需要校驗(yàn)各接口參數(shù)的有效性。

3) ATS 發(fā) 送 二 次 確 認(rèn)HILC_Confirm 命令；并在ΔT2 超時(shí)時(shí)間內(nèi)等待ATC/CBI 反饋ReturnCode 消息，如果超時(shí)則結(jié)束此次操作；消息格式包含<消息ID><消息長度><設(shè)備ID><操作命令I(lǐng)D> ,其中 ATC/CBI 隨機(jī)數(shù)為SRHour 消息中的ATC/CBI 隨機(jī)數(shù)。

4) ATC/CBI 反饋ReturnCode 消息，消息格式包含<消息ID><消息長度><設(shè)備ID><操作命令I(lǐng)D><操作結(jié)果><設(shè)備狀態(tài)> ；ATS 需要校驗(yàn)各接口參數(shù)的有效性。

圖2 安全控制接口交互流程Fig.2 Interactive process of safety control interface

1.2 人機(jī)接口設(shè)計(jì)

人機(jī)接口是指界面顯示及操作輸入與安全相關(guān)系統(tǒng)之間的接口。人機(jī)接口主要失效模式包括人機(jī)接口輸入數(shù)據(jù)錯(cuò)誤、顯示錯(cuò)誤；產(chǎn)生原因是人員操作錯(cuò)誤、傳輸錯(cuò)誤、數(shù)據(jù)損壞等[4]。安全控制命令人機(jī)接口采用以下解決方法: 用戶輸入使用選擇方式代替輸入方式，數(shù)據(jù)配置設(shè)置校核字增加安全防護(hù)措施，界面顯示采用冗余顯示和確認(rèn)過程。

2 HILC關(guān)鍵技術(shù)設(shè)計(jì)

HILC 的設(shè)計(jì)通過多樣性、狀態(tài)機(jī)轉(zhuǎn)換和操作結(jié)果顯示校驗(yàn)等設(shè)計(jì)方法能夠有效降低發(fā)送控制命令時(shí)的人因錯(cuò)誤，而且引入了校驗(yàn)和確認(rèn)機(jī)制來提高整個(gè)系統(tǒng)的健壯性。

2.1 多樣性分析與設(shè)計(jì)

共因失效（Common Cause Failure，CCF），是指由一個(gè)單點(diǎn)故障造成整個(gè)單元或與之相關(guān)的系統(tǒng)同時(shí)失效，是影響系統(tǒng)可靠性的關(guān)鍵因素。形成共因失效的原因是由于節(jié)點(diǎn)或系統(tǒng)之間存在互依關(guān)聯(lián)和耦合因素。ATS 安全控制需要解決由于數(shù)據(jù)和運(yùn)行庫兩個(gè)因素引入的共因失效。

安全控制過程采用多樣性設(shè)計(jì)方法以降低共因失效。

1) 請求準(zhǔn)備和二次確認(rèn)采用相互獨(dú)立的進(jìn)程，即HILC1 實(shí)現(xiàn)調(diào)度員第一次請求操作，HILC2 實(shí)現(xiàn)二次確認(rèn)和結(jié)果顯示功能；有效降低隨機(jī)性和系統(tǒng)性故障。

2) HILC1 和HILC2 采用不同的編碼語言、開發(fā)環(huán)境和編譯器；有效減輕COTS 庫和編譯器造成的系統(tǒng)故障。

3) 為保證配置數(shù)據(jù)的正確性，設(shè)計(jì)雙鏈安全數(shù)據(jù)工具。由不同的設(shè)計(jì)師采用不同的編碼語言分別在Windows 和Linux 上獨(dú)立開發(fā)。兩鏈生成的數(shù)據(jù)使用兩個(gè)比較工具進(jìn)行比較，比較結(jié)果一致后才能夠使用。

4) HILC1 加載一鏈數(shù)據(jù)，HILC2 加載二鏈數(shù)據(jù)，一鏈數(shù)據(jù)和二鏈數(shù)據(jù)在數(shù)據(jù)結(jié)構(gòu)、編碼格式、冗余校核等方面均采用差異化設(shè)計(jì)。

5) 調(diào)度員請求準(zhǔn)備過程和確認(rèn)過程需要分別輸入或選擇控制命令和設(shè)備，且控制命令和設(shè)備名稱最大化差異性顯示。

2.2 狀態(tài)機(jī)轉(zhuǎn)換過程

在接收和處理接口消息時(shí)需要預(yù)防以下情況：

1) 正在操作過程中收到非預(yù)期消息；

2) 操作有效時(shí)間內(nèi)未收到預(yù)期有效消息；

3) 操作結(jié)束、提前或者超時(shí)后收到消息。

針對以上情況設(shè)計(jì)安全控制消息處理校驗(yàn)流程如圖3 所示：

1) HILC1 僅在準(zhǔn)備狀態(tài)即沒有其他HILC 操作的過程中接收安全控制命令，否則該消息無效；

2) HILC1 僅在調(diào)度員點(diǎn)擊確認(rèn)按鈕后發(fā)送HILC_Request 消息，且在發(fā)送該消息后超時(shí)時(shí)間內(nèi)接收SRHour 消息；

3) HILC1 僅在校驗(yàn)SRHour 有效后發(fā)送HILC1_TO_HILC2 消息；

4) HILC2 僅在等待狀態(tài)即沒有其他操作過程中接收HILC1_TO_HILC2 消息，否則該消息無效；

5) HILC2 僅在調(diào)度員點(diǎn)擊確認(rèn)按鈕后發(fā)送HILC_Confirm 消息，且在發(fā)送該消息后超時(shí)時(shí)間內(nèi)接收ReturnCode 消息，否則該消息無效。

2.3 操作結(jié)果顯示

安全控制命令的操作結(jié)果顯示直接影響了系統(tǒng)的安全性和調(diào)度員對操作結(jié)果的判斷，顯示操作結(jié)果的正確性是人機(jī)界面接口的關(guān)鍵[5]。

預(yù)定義一個(gè)256 個(gè)元素的字符串?dāng)?shù)組ResultCode[256]， 數(shù)值每個(gè)變量初始化為0xbb，根據(jù)圖4 所示，對列出的索引下標(biāo)重 新 賦 值， 例 如ResultCode[0x59]=“ 執(zhí)”，ResultCode[0x6D]=“操”；預(yù)定義操作結(jié)果成功常量TRetCode=0x1D081FA6,操作結(jié)果失敗常量FRetCode=0x6D7FA3F3; 對接口反饋的操作結(jié)果在本地采用雙模塊進(jìn)行編碼計(jì)算，雙模塊采用不同開發(fā)環(huán)境和編譯器生成。將雙模塊處理的操作結(jié)果合并進(jìn)行CRC 運(yùn)算，操作正確的CRC 計(jì)算結(jié)果為TRetCode，對應(yīng)的操作字符串應(yīng)等于“執(zhí)行成功”；操作失敗的CRC 計(jì)算結(jié)果為FRetCode，對應(yīng)的操作字符串應(yīng)等于“操作失敗”；如果等于其他值，說明邏輯計(jì)算顯示結(jié)果錯(cuò)誤，反應(yīng)到界面上則是帶有bb 的無效字符。

圖3 HILC控制命令狀態(tài)圖Fig.3 State diagram of HILC control command

3 HILC設(shè)計(jì)在無人駕駛中的應(yīng)用

城市軌道交通全自動(dòng)無人駕駛系統(tǒng)是一種代替司機(jī)行使列車控制和駕駛功能的信號系統(tǒng)，關(guān)鍵技術(shù)主要包括列車控制技術(shù)、監(jiān)測系統(tǒng)聯(lián)動(dòng)技術(shù)、故障管理技術(shù)及乘客監(jiān)督和管理技術(shù)等。其中乘客監(jiān)督和管理技術(shù)包括乘客緊急手柄、緊急呼叫、逃生門控制等功能[6]。當(dāng)乘客拉下緊急手柄后，由于沒有司機(jī)，中心調(diào)度需要與乘客通話確認(rèn)后，是否需要操作緊急停車或在下一站停車后扣車；當(dāng)列車運(yùn)行在隧道區(qū)間時(shí)發(fā)生火災(zāi)或其他故障，需要遠(yuǎn)程開緊急逃生門時(shí)，需要中心調(diào)度通過安全控制操作打開逃生門組織乘客緊急疏散。

圖4 操作結(jié)果校核字Fig.4 Checking words of operating results

為確保中心調(diào)度員準(zhǔn)確下達(dá)控制命令到指定的列車，預(yù)防發(fā)送錯(cuò)誤指令到其他列車，采用HILC的方式下達(dá)安全控制指令。以打開緊急逃生門為例進(jìn)行說明操作過程。

1) 調(diào)度員在工作站站場圖選擇指定列車,右鍵彈出操作菜單，選擇“遠(yuǎn)程開緊急逃生門”功能，如圖5 所示。

圖5 工作站菜單操作Fig.5 Menu operation of the workstation

2）彈出HILC1 請求準(zhǔn)備對話框, 自動(dòng)填充控制命令遠(yuǎn)程開緊急逃生門和操作設(shè)備列車1，如圖6 所示，調(diào)度員確認(rèn)對話框標(biāo)題是否為控制命令，操作設(shè)備是否為預(yù)期操作設(shè)備名稱；確認(rèn)無誤后，點(diǎn)擊確認(rèn)按鈕發(fā)送請求打開緊急逃生門命令。

3）收到車載VOBC 反饋后自動(dòng)關(guān)閉HILC1 對話框，彈出確認(rèn)對話框，如圖7 所示,調(diào)度員在超時(shí)時(shí)間內(nèi)從5 個(gè)干擾項(xiàng)中選擇控制命令和操作設(shè)備，所選的控制命令和設(shè)備在狀態(tài)欄中以二鏈名稱顯示，調(diào)度員確認(rèn)回顯是否正確；如果正確，點(diǎn)擊確認(rèn)按鈕，發(fā)送二次確認(rèn)命令。反之，點(diǎn)擊取消按鈕結(jié)束操作。

圖6 HILC1操作Fig.6 HILC1 operation

圖7 HILC2操作Fig.7 HILC2 operation

4) 當(dāng)VOBC 反饋消息后，彈出操作結(jié)果對話框，提示執(zhí)行成功或操作失敗，確認(rèn)和取消按鈕變?yōu)殛P(guān)閉按鈕，調(diào)度員需要確認(rèn)顯示結(jié)果正確，如圖8 所示。

圖8 HILC操作結(jié)果Fig.8 HILC operating results

5) 關(guān)閉確認(rèn)和結(jié)果對話框。

當(dāng)中心調(diào)度員操作結(jié)束確認(rèn)逃生門打開成功后，通知相關(guān)維保人員組織乘客在逃生區(qū)疏散，完成乘客救援任務(wù)。

4 結(jié)束語

隨著城市地鐵建設(shè)中無人駕駛和互聯(lián)互通項(xiàng)目的增多，用戶對ATS 系統(tǒng)的安全性提出了更高要求，本文對ATS 系統(tǒng)中安全控制的技術(shù)和方法進(jìn)行分析和設(shè)計(jì)，不僅滿足ATS 的SIL2 安全等級的要求，也提高了ATS 系統(tǒng)的安全性和可靠性。以上探討的自動(dòng)列車監(jiān)控系統(tǒng)中安全控制關(guān)鍵技術(shù)和原理通過歐標(biāo)第三方安全認(rèn)證機(jī)構(gòu)的安全評估，并在多個(gè)城市的地鐵信號控制系統(tǒng)中得到了應(yīng)用。