陳景柱
(卡斯柯信號有限公司,上海 200071)
列車自動(dòng)監(jiān)控系統(tǒng)作為地鐵信號控制系統(tǒng)的重要組成部分之一,與計(jì)算機(jī)聯(lián)鎖(CBI)、自動(dòng)列車控制(ATC) 系統(tǒng)配合工作,實(shí)現(xiàn)信號設(shè)備的集中監(jiān)控,控制列車按計(jì)劃在正線及車輛段/停車場自動(dòng)運(yùn)行,并向調(diào)度員和外部系統(tǒng)(PIS/FAS/ISCS)提供信息。在基于通信的列車自動(dòng)控制(CBTC)系統(tǒng)中,ATS 系統(tǒng)被定義為SIL2(安全完整性等級)[1],其可靠性和安全性對整個(gè)CBTC 系統(tǒng)至關(guān)重要。
ATS 的安全控制過程采用HILC(High Integrity Level Control)操作控制流程。調(diào)度員需要執(zhí)行一次請求和二次確認(rèn)兩個(gè)過程操作,執(zhí)行結(jié)果需要調(diào)度員確認(rèn)。安全控制過程的風(fēng)險(xiǎn)是安全操作施加到錯(cuò)誤的設(shè)備對象,但未通知調(diào)度員或者安全操作執(zhí)行失敗,但卻通知調(diào)度員執(zhí)行成功。ATS安全控制過程安全風(fēng)險(xiǎn)存在于通信協(xié)議、共因失效和人機(jī)交互流程3 個(gè)方面。
ATS 的安全控制交互對象外部是CBI 系統(tǒng)和ATC(ZC/LC/VOBC)系統(tǒng),內(nèi)部是調(diào)度員與調(diào)度工作站、HILC1(請求準(zhǔn)備)和HILC2(二次確認(rèn))系統(tǒng)之間的人機(jī)接口,如圖1 所示。無論是ATS發(fā)出的控制命令消息,還是從ATC/CBI 接收的反饋消息都需要采用安全通信協(xié)議進(jìn)行防護(hù)。根據(jù)EN50126[2]和EN50159[3]要求,應(yīng)用于SIL2 等級的安全控制接口存在以下風(fēng)險(xiǎn)。
無傳輸數(shù)據(jù):由于系統(tǒng)或硬件連接故障導(dǎo)致接口數(shù)據(jù)丟失;數(shù)據(jù)丟失時(shí)安全控制過程必須結(jié)束。
過期數(shù)據(jù):由于系統(tǒng)或硬件設(shè)備故障導(dǎo)致數(shù)據(jù)未在有效時(shí)間范圍內(nèi)發(fā)送或接收;控制命令交互過程必須考慮實(shí)時(shí)性、有效性要求,不能使用延時(shí)、過期、錯(cuò)序數(shù)據(jù)。
圖1 安全控制接口交互對象Fig.1 Interactive objects of safety control interface
接口數(shù)據(jù)失效:數(shù)據(jù)傳輸過程中由于干擾或串?dāng)_導(dǎo)致部分幀或數(shù)據(jù)內(nèi)容損壞,發(fā)送和接收方需要做編碼保護(hù)和驗(yàn)證。
基于接口風(fēng)險(xiǎn)分析結(jié)果設(shè)計(jì)ATS 與ATC/CBI的安全控制接口,分為4 個(gè)階段,具體流程如圖2所示。
1) 用戶操作發(fā)送HILC_Request 消息,ΔT1超時(shí)時(shí)間內(nèi)等待ATC/CBI 反饋SRHour 消息,如果超時(shí)沒有收到反饋則結(jié)束此次操作;消息格式包含<消息ID><消息長度><設(shè)備ID><操作命令I(lǐng)D>
2) ATC/CBI 反饋SRHour 消息,消息格式包含<消息ID><消息長度><設(shè)備ID><操作命令I(lǐng)D>
3) ATS 發(fā) 送 二 次 確 認(rèn)HILC_Confirm 命令;并在ΔT2 超時(shí)時(shí)間內(nèi)等待ATC/CBI 反饋ReturnCode 消息,如果超時(shí)則結(jié)束此次操作;消息格式包含<消息ID><消息長度><設(shè)備ID><操作命令I(lǐng)D>
4) ATC/CBI 反饋ReturnCode 消息,消息格式包含<消息ID><消息長度><設(shè)備ID><操作命令I(lǐng)D>
圖2 安全控制接口交互流程Fig.2 Interactive process of safety control interface
人機(jī)接口是指界面顯示及操作輸入與安全相關(guān)系統(tǒng)之間的接口。人機(jī)接口主要失效模式包括人機(jī)接口輸入數(shù)據(jù)錯(cuò)誤、顯示錯(cuò)誤;產(chǎn)生原因是人員操作錯(cuò)誤、傳輸錯(cuò)誤、數(shù)據(jù)損壞等[4]。安全控制命令人機(jī)接口采用以下解決方法: 用戶輸入使用選擇方式代替輸入方式,數(shù)據(jù)配置設(shè)置校核字增加安全防護(hù)措施,界面顯示采用冗余顯示和確認(rèn)過程。
HILC 的設(shè)計(jì)通過多樣性、狀態(tài)機(jī)轉(zhuǎn)換和操作結(jié)果顯示校驗(yàn)等設(shè)計(jì)方法能夠有效降低發(fā)送控制命令時(shí)的人因錯(cuò)誤,而且引入了校驗(yàn)和確認(rèn)機(jī)制來提高整個(gè)系統(tǒng)的健壯性。
共因失效(Common Cause Failure,CCF),是指由一個(gè)單點(diǎn)故障造成整個(gè)單元或與之相關(guān)的系統(tǒng)同時(shí)失效,是影響系統(tǒng)可靠性的關(guān)鍵因素。形成共因失效的原因是由于節(jié)點(diǎn)或系統(tǒng)之間存在互依關(guān)聯(lián)和耦合因素。ATS 安全控制需要解決由于數(shù)據(jù)和運(yùn)行庫兩個(gè)因素引入的共因失效。
安全控制過程采用多樣性設(shè)計(jì)方法以降低共因失效。
1) 請求準(zhǔn)備和二次確認(rèn)采用相互獨(dú)立的進(jìn)程,即HILC1 實(shí)現(xiàn)調(diào)度員第一次請求操作,HILC2 實(shí)現(xiàn)二次確認(rèn)和結(jié)果顯示功能;有效降低隨機(jī)性和系統(tǒng)性故障。
2) HILC1 和HILC2 采用不同的編碼語言、開發(fā)環(huán)境和編譯器;有效減輕COTS 庫和編譯器造成的系統(tǒng)故障。
3) 為保證配置數(shù)據(jù)的正確性,設(shè)計(jì)雙鏈安全數(shù)據(jù)工具。由不同的設(shè)計(jì)師采用不同的編碼語言分別在Windows 和Linux 上獨(dú)立開發(fā)。兩鏈生成的數(shù)據(jù)使用兩個(gè)比較工具進(jìn)行比較,比較結(jié)果一致后才能夠使用。
4) HILC1 加載一鏈數(shù)據(jù),HILC2 加載二鏈數(shù)據(jù),一鏈數(shù)據(jù)和二鏈數(shù)據(jù)在數(shù)據(jù)結(jié)構(gòu)、編碼格式、冗余校核等方面均采用差異化設(shè)計(jì)。
5) 調(diào)度員請求準(zhǔn)備過程和確認(rèn)過程需要分別輸入或選擇控制命令和設(shè)備,且控制命令和設(shè)備名稱最大化差異性顯示。
在接收和處理接口消息時(shí)需要預(yù)防以下情況:
1) 正在操作過程中收到非預(yù)期消息;
2) 操作有效時(shí)間內(nèi)未收到預(yù)期有效消息;
3) 操作結(jié)束、提前或者超時(shí)后收到消息。
針對以上情況設(shè)計(jì)安全控制消息處理校驗(yàn)流程如圖3 所示:
1) HILC1 僅在準(zhǔn)備狀態(tài)即沒有其他HILC 操作的過程中接收安全控制命令,否則該消息無效;
2) HILC1 僅在調(diào)度員點(diǎn)擊確認(rèn)按鈕后發(fā)送HILC_Request 消息,且在發(fā)送該消息后超時(shí)時(shí)間內(nèi)接收SRHour 消息;
3) HILC1 僅在校驗(yàn)SRHour 有效后發(fā)送HILC1_TO_HILC2 消息;
4) HILC2 僅在等待狀態(tài)即沒有其他操作過程中接收HILC1_TO_HILC2 消息,否則該消息無效;
5) HILC2 僅在調(diào)度員點(diǎn)擊確認(rèn)按鈕后發(fā)送HILC_Confirm 消息,且在發(fā)送該消息后超時(shí)時(shí)間內(nèi)接收ReturnCode 消息,否則該消息無效。
安全控制命令的操作結(jié)果顯示直接影響了系統(tǒng)的安全性和調(diào)度員對操作結(jié)果的判斷,顯示操作結(jié)果的正確性是人機(jī)界面接口的關(guān)鍵[5]。
預(yù)定義一個(gè)256 個(gè)元素的字符串?dāng)?shù)組ResultCode[256], 數(shù)值每個(gè)變量初始化為0xbb,根據(jù)圖4 所示,對列出的索引下標(biāo)重 新 賦 值, 例 如ResultCode[0x59]=“ 執(zhí)”,ResultCode[0x6D]=“操”;預(yù)定義操作結(jié)果成功常量TRetCode=0x1D081FA6,操作結(jié)果失敗常量FRetCode=0x6D7FA3F3; 對接口反饋的操作結(jié)果在本地采用雙模塊進(jìn)行編碼計(jì)算,雙模塊采用不同開發(fā)環(huán)境和編譯器生成。將雙模塊處理的操作結(jié)果合并進(jìn)行CRC 運(yùn)算,操作正確的CRC 計(jì)算結(jié)果為TRetCode,對應(yīng)的操作字符串應(yīng)等于“執(zhí)行成功”;操作失敗的CRC 計(jì)算結(jié)果為FRetCode,對應(yīng)的操作字符串應(yīng)等于“操作失敗”;如果等于其他值,說明邏輯計(jì)算顯示結(jié)果錯(cuò)誤,反應(yīng)到界面上則是帶有bb 的無效字符。
圖3 HILC控制命令狀態(tài)圖Fig.3 State diagram of HILC control command
城市軌道交通全自動(dòng)無人駕駛系統(tǒng)是一種代替司機(jī)行使列車控制和駕駛功能的信號系統(tǒng),關(guān)鍵技術(shù)主要包括列車控制技術(shù)、監(jiān)測系統(tǒng)聯(lián)動(dòng)技術(shù)、故障管理技術(shù)及乘客監(jiān)督和管理技術(shù)等。其中乘客監(jiān)督和管理技術(shù)包括乘客緊急手柄、緊急呼叫、逃生門控制等功能[6]。當(dāng)乘客拉下緊急手柄后,由于沒有司機(jī),中心調(diào)度需要與乘客通話確認(rèn)后,是否需要操作緊急停車或在下一站停車后扣車;當(dāng)列車運(yùn)行在隧道區(qū)間時(shí)發(fā)生火災(zāi)或其他故障,需要遠(yuǎn)程開緊急逃生門時(shí),需要中心調(diào)度通過安全控制操作打開逃生門組織乘客緊急疏散。
圖4 操作結(jié)果校核字Fig.4 Checking words of operating results
為確保中心調(diào)度員準(zhǔn)確下達(dá)控制命令到指定的列車,預(yù)防發(fā)送錯(cuò)誤指令到其他列車,采用HILC的方式下達(dá)安全控制指令。以打開緊急逃生門為例進(jìn)行說明操作過程。
1) 調(diào)度員在工作站站場圖選擇指定列車,右鍵彈出操作菜單,選擇“遠(yuǎn)程開緊急逃生門”功能,如圖5 所示。
圖5 工作站菜單操作Fig.5 Menu operation of the workstation
2)彈出HILC1 請求準(zhǔn)備對話框, 自動(dòng)填充控制命令遠(yuǎn)程開緊急逃生門和操作設(shè)備列車1,如圖6 所示,調(diào)度員確認(rèn)對話框標(biāo)題是否為控制命令,操作設(shè)備是否為預(yù)期操作設(shè)備名稱;確認(rèn)無誤后,點(diǎn)擊確認(rèn)按鈕發(fā)送請求打開緊急逃生門命令。
3)收到車載VOBC 反饋后自動(dòng)關(guān)閉HILC1 對話框,彈出確認(rèn)對話框,如圖7 所示,調(diào)度員在超時(shí)時(shí)間內(nèi)從5 個(gè)干擾項(xiàng)中選擇控制命令和操作設(shè)備,所選的控制命令和設(shè)備在狀態(tài)欄中以二鏈名稱顯示,調(diào)度員確認(rèn)回顯是否正確;如果正確,點(diǎn)擊確認(rèn)按鈕,發(fā)送二次確認(rèn)命令。反之,點(diǎn)擊取消按鈕結(jié)束操作。
圖6 HILC1操作Fig.6 HILC1 operation
圖7 HILC2操作Fig.7 HILC2 operation
4) 當(dāng)VOBC 反饋消息后,彈出操作結(jié)果對話框,提示執(zhí)行成功或操作失敗,確認(rèn)和取消按鈕變?yōu)殛P(guān)閉按鈕,調(diào)度員需要確認(rèn)顯示結(jié)果正確,如圖8 所示。
圖8 HILC操作結(jié)果Fig.8 HILC operating results
5) 關(guān)閉確認(rèn)和結(jié)果對話框。
當(dāng)中心調(diào)度員操作結(jié)束確認(rèn)逃生門打開成功后,通知相關(guān)維保人員組織乘客在逃生區(qū)疏散,完成乘客救援任務(wù)。
隨著城市地鐵建設(shè)中無人駕駛和互聯(lián)互通項(xiàng)目的增多,用戶對ATS 系統(tǒng)的安全性提出了更高要求,本文對ATS 系統(tǒng)中安全控制的技術(shù)和方法進(jìn)行分析和設(shè)計(jì),不僅滿足ATS 的SIL2 安全等級的要求,也提高了ATS 系統(tǒng)的安全性和可靠性。以上探討的自動(dòng)列車監(jiān)控系統(tǒng)中安全控制關(guān)鍵技術(shù)和原理通過歐標(biāo)第三方安全認(rèn)證機(jī)構(gòu)的安全評估,并在多個(gè)城市的地鐵信號控制系統(tǒng)中得到了應(yīng)用。