施 計(jì)

(國(guó)電南瑞科技股份有限公司 南京 210061)

隨著地鐵現(xiàn)代化進(jìn)程的日益推進(jìn)，對(duì)地鐵運(yùn)營(yíng)安全的要求也越來(lái)越高，地鐵運(yùn)行中的任何故障都有可能導(dǎo)致一場(chǎng)災(zāi)難的發(fā)生。因此，加強(qiáng)地鐵運(yùn)營(yíng)狀況的監(jiān)控，并采取各種預(yù)備方案應(yīng)對(duì)突發(fā)故障是刻不容緩的。傳統(tǒng)的分立自動(dòng)化系統(tǒng)，各系統(tǒng)相互獨(dú)立，較難實(shí)現(xiàn)信息互通、資源共享。這種孤島式的自動(dòng)化系統(tǒng)不利于運(yùn)營(yíng)協(xié)調(diào)管理，響應(yīng)性差、運(yùn)營(yíng)效率低，已落后于日益發(fā)展的科學(xué)技術(shù)和管理水平。為了確保運(yùn)營(yíng)和各系統(tǒng)安全可靠的運(yùn)行、方便操作人員對(duì)運(yùn)營(yíng)過(guò)程實(shí)施全面的集中監(jiān)控和管理，需要建立地鐵綜合監(jiān)控系統(tǒng)(integrated supervisory control system，ISCS)。隨著自動(dòng)化技術(shù)和控制技術(shù)的發(fā)展，ISCS可以實(shí)現(xiàn)各系統(tǒng)信息互通、資源共享，實(shí)現(xiàn)各系統(tǒng)的統(tǒng)一協(xié)調(diào)管理;完善系統(tǒng)間的聯(lián)動(dòng)功能，提高事故處理的高效性、快速性，提高地鐵的自動(dòng)化水平。

1 ISCS運(yùn)行的2種模式

在地鐵運(yùn)營(yíng)中，ISCS的運(yùn)行包括正常運(yùn)行和降級(jí)運(yùn)行2種模式。在系統(tǒng)各級(jí)設(shè)備正常工作時(shí)，系統(tǒng)可正常地對(duì)地鐵設(shè)備完成監(jiān)視和控制功能，實(shí)現(xiàn)相關(guān)的運(yùn)營(yíng)需求操作。降級(jí)運(yùn)行是指當(dāng)發(fā)生設(shè)備故障引起功能的部分喪失時(shí)地鐵運(yùn)營(yíng)方式的轉(zhuǎn)換。

綜合監(jiān)控降級(jí)模式運(yùn)行保證中央綜合監(jiān)控的關(guān)鍵功能。ISCS具有多層的保護(hù)機(jī)制，當(dāng)中央ISCS不能運(yùn)行時(shí)，由某一車(chē)站接管其功能，即綜合監(jiān)控處于降級(jí)模式運(yùn)行。由于運(yùn)行設(shè)備等條件的限制，往往只保證中央ISCS的關(guān)鍵功能。

ISCS降級(jí)模式定義為:當(dāng)中央級(jí)ISCS故障時(shí)，各車(chē)站ISCS能夠完成對(duì)本車(chē)站集成與互聯(lián)子系統(tǒng)設(shè)備的監(jiān)控，保證數(shù)據(jù)正確采集與命令下發(fā)準(zhǔn)確，本車(chē)站歷史數(shù)據(jù)存儲(chǔ)與查詢(xún)功能能夠正確地完成。在降級(jí)模式下，車(chē)站不負(fù)責(zé)對(duì)控制中心互聯(lián)子系統(tǒng)的設(shè)備監(jiān)控，車(chē)站歷史數(shù)據(jù)不向控制中心復(fù)制，車(chē)站實(shí)時(shí)數(shù)據(jù)不向控制中心同步;當(dāng)控制中心ISCS重新運(yùn)行后，車(chē)站ISCS可以自動(dòng)將故障期間本車(chē)站的歷史數(shù)據(jù)復(fù)制至控制中心，保證控制中心ISCS能夠在很短時(shí)間內(nèi)達(dá)到完全恢復(fù)。

如果控制中心的中央綜合監(jiān)控癱瘓，通常有3種處理辦法:一是若有備用控制中心，啟用備用控制中心;二是若所有車(chē)站之間均能交換信息，則指定某一車(chē)站為后備控制中心，啟用該車(chē)站的中央綜合監(jiān)控功能;三是系統(tǒng)按降級(jí)模式運(yùn)行，只進(jìn)行車(chē)站一級(jí)監(jiān)控。

2 正常情況下ISCS運(yùn)行保護(hù)機(jī)制

2.1 ISCS保護(hù)機(jī)制的目標(biāo)

ISCS承擔(dān)著對(duì)BAS(環(huán)境與設(shè)備監(jiān)控系統(tǒng))、FAS(火災(zāi)報(bào)警系統(tǒng))、PSCADA(電力監(jiān)控系統(tǒng))、PSD(屏蔽門(mén))等多個(gè)子系統(tǒng)設(shè)備進(jìn)行監(jiān)控的重大任務(wù)，是地鐵正常運(yùn)營(yíng)和救災(zāi)指揮的基本保證，涉及到人身和設(shè)備的安全。因此，ISCS的保護(hù)機(jī)制非常重要，對(duì)可靠性和安全性的要求極高。

ISCS非常注重保護(hù)機(jī)制，從系統(tǒng)結(jié)構(gòu)、功能設(shè)計(jì)、數(shù)據(jù)流程等多方面保證系統(tǒng)的安全可靠運(yùn)行。ISCS保護(hù)機(jī)制實(shí)現(xiàn)的目標(biāo)為:1)硬件設(shè)備的任何單點(diǎn)故障，即系統(tǒng)中同時(shí)只有1處設(shè)備發(fā)生故障時(shí)，ISCS不損失任何功能。2)硬件設(shè)備的任何交叉故障，即系統(tǒng)中同時(shí)有2處非相同功能設(shè)備發(fā)生故障時(shí)，ISCS不損失任何功能。3)骨干網(wǎng)故障，車(chē)站ISCS不損失任何功能，而且行使中央ISCS的關(guān)鍵功能。4)ISCS嚴(yán)重故障，保證其關(guān)鍵功能的運(yùn)行;ISCS全部癱瘓，不影響各個(gè)子系統(tǒng)的運(yùn)行，IBP(綜合后備盤(pán))保證對(duì)關(guān)鍵設(shè)備的操作控制和狀態(tài)監(jiān)視。5)ISCS的運(yùn)行和維護(hù)必須進(jìn)行身份認(rèn)證和權(quán)限分級(jí)管理，任何操作均有記錄。6)任何時(shí)候保證網(wǎng)絡(luò)安全，防止非法入侵。7)服務(wù)器禁止病毒，工作站采取嚴(yán)格的防病毒措施。8)ISCS的系統(tǒng)參數(shù)和運(yùn)行數(shù)據(jù)不丟失，保證數(shù)據(jù)的安全性。9)ISCS具有在線(xiàn)編輯能力，在ISCS更換設(shè)備、擴(kuò)展和維護(hù)時(shí)，不影響正在運(yùn)行的系統(tǒng)。

2.2 ISCS在系統(tǒng)保護(hù)機(jī)制方面采取的方法

為了實(shí)現(xiàn)前面所述的目標(biāo)，ISCS在系統(tǒng)保護(hù)機(jī)制方面主要采取了如下措施。

2.2.1 全方位冗余機(jī)制

冗余機(jī)制涉及中央主備實(shí)時(shí)服務(wù)器之間、中央主備歷史服務(wù)器之間、車(chē)站主備實(shí)時(shí)服務(wù)器之間、主備工作站之間、主備通信控制器(FEP)之間、中央局域網(wǎng)雙網(wǎng)之間、車(chē)站局域網(wǎng)雙網(wǎng)之間的冗余，不僅包括硬件設(shè)備，而且包括相應(yīng)的軟件;不僅包括運(yùn)行的功能，而且包括數(shù)據(jù)流程，都是冗余的。多重冗余機(jī)制使得在任何單點(diǎn)故障和交叉故障時(shí)，都不影響ISCS運(yùn)行。冗余切換時(shí)能保證數(shù)據(jù)不丟失，保證了數(shù)據(jù)的一致性。切換時(shí)間小于5 s，保證了數(shù)據(jù)的實(shí)時(shí)性。

2.2.2 通信控制器硬件物理隔離

ISCS和子系統(tǒng)之間用FEP構(gòu)筑物理隔離層，各個(gè)子系統(tǒng)的數(shù)據(jù)不會(huì)直接進(jìn)入ISCS，須經(jīng)過(guò)FEP協(xié)議轉(zhuǎn)換;ISCS的數(shù)據(jù)進(jìn)入各個(gè)子系統(tǒng)同樣經(jīng)過(guò)FEP的緩沖，F(xiàn)EP相當(dāng)于安全網(wǎng)關(guān)。FEP選用高性能、高可靠性的處理器，既使得ISCS與各個(gè)子相同相互獨(dú)立、互不干擾，又不影響隔離引起的實(shí)時(shí)性和可靠性。FEP保證了即使ISCS全部故障，各個(gè)子系統(tǒng)也能正常運(yùn)行;當(dāng)某個(gè)子系統(tǒng)數(shù)據(jù)流量異常時(shí)，也不會(huì)影響ISCS的運(yùn)行。

2.2.3 強(qiáng)大的權(quán)限管理

ISCS提供了權(quán)限定義工具，根據(jù)對(duì)各個(gè)子系統(tǒng)設(shè)備監(jiān)視和操作的允許與否進(jìn)行設(shè)置。根據(jù)蘇州2號(hào)線(xiàn)要求進(jìn)行細(xì)化分級(jí)，每級(jí)使用標(biāo)識(shí)和密碼進(jìn)行控制。權(quán)限管理保證了ISCS使用和維護(hù)的安全性。

2.2.4 操作的互鎖功能

在ISCS中，中央和車(chē)站、車(chē)站和IBP都有操作互鎖機(jī)制，不允許多個(gè)操作員同時(shí)對(duì)某個(gè)設(shè)備進(jìn)行操作。

2.2.5 分布式結(jié)構(gòu)保證軟件對(duì)位置的透明

中央綜合監(jiān)控功能可以在中央服務(wù)器上實(shí)現(xiàn)，也可在車(chē)站服務(wù)器上實(shí)現(xiàn)。當(dāng)系統(tǒng)維修和擴(kuò)展時(shí)，可在線(xiàn)編輯系統(tǒng)，將需更換的設(shè)備上的軟件轉(zhuǎn)移到其他設(shè)備上。

2.2.6 綜合監(jiān)控降級(jí)模式運(yùn)行

ISCS具有多層的保護(hù)機(jī)制，當(dāng)中央ISCS不能運(yùn)行時(shí)，由某一車(chē)站接管ISCS功能，即綜合監(jiān)控處于降級(jí)模式運(yùn)行，由于運(yùn)行設(shè)備等條件的限制，此模式往往只保證中央ISCS的關(guān)鍵功能。

2.2.7 身份認(rèn)證和報(bào)文加密

ISCS可定義不同級(jí)別和操作權(quán)限的用戶(hù)，進(jìn)入ISCS首先根據(jù)用戶(hù)名和密碼檢驗(yàn)合法性，并根據(jù)定義分配相應(yīng)的權(quán)限。為確保系統(tǒng)的安全性，對(duì)控制命令等高安全性報(bào)文進(jìn)行加密。

2.2.8 防火墻技術(shù)

為保證網(wǎng)絡(luò)安全，凡與外部系統(tǒng)有網(wǎng)絡(luò)互聯(lián)的地方建議設(shè)置硬件防火墻，防止網(wǎng)絡(luò)攻擊和非法訪(fǎng)問(wèn)。

2.2.9 運(yùn)行日志管理

ISCS的任何操作均進(jìn)行日志記錄，使其有據(jù)可查，可根據(jù)日志進(jìn)行分析和實(shí)現(xiàn)回退等保護(hù)功能。

2.2.10 磁盤(pán)陣列

為避免硬盤(pán)損壞時(shí)數(shù)據(jù)丟失和任務(wù)異常，中央服務(wù)器配置磁盤(pán)陣列做RAID5，任何一塊硬盤(pán)的損壞都不影響運(yùn)行。車(chē)站服務(wù)器配置磁盤(pán)陣列做RAID1，硬盤(pán)鏡像備份，車(chē)站的實(shí)時(shí)數(shù)據(jù)不會(huì)丟失，也可保證暫時(shí)接管中央歷史數(shù)據(jù)存儲(chǔ)時(shí)數(shù)據(jù)不丟失。

2.2.11 磁帶機(jī)備份

制定完善的系統(tǒng)備份方案是保證ISCS意外損壞時(shí)的有效手段，ISCS用大容量磁帶定期自動(dòng)備份。

2.2.12 操作系統(tǒng)的安全性

ISCS的服務(wù)器采用Unix操作系統(tǒng)，64位多任務(wù)，C2安全等級(jí)，從根本上保證了軟件系統(tǒng)的安全性。

2.2.13 IBP保證ISCS的最后防線(xiàn)

ISCS為保證地鐵的正常運(yùn)營(yíng)，設(shè)計(jì)了多層控制防護(hù)措施，從控制中心到車(chē)站，到IBP緊急控制盤(pán)，到各個(gè)子系統(tǒng)就地級(jí)的控制。對(duì)ISCS而言，IBP是計(jì)算機(jī)系統(tǒng)的保護(hù)性后備。IBP上有各個(gè)子系統(tǒng)緊急控制的按鈕和關(guān)鍵設(shè)備的狀態(tài)，通過(guò)硬線(xiàn)經(jīng)過(guò)專(zhuān)用獨(dú)立通道對(duì)設(shè)備直接控制。

3 中央級(jí)ISCS故障情況下的降級(jí)運(yùn)行

在災(zāi)害情況下(如通信骨干網(wǎng)中斷、恐怖襲擊、地震、火災(zāi)等災(zāi)害)，控制中心工作站全部不可用、控制中心服務(wù)器均故障或者車(chē)站和控制中心通訊發(fā)生中斷。這種情況下，中央級(jí)ISCS已經(jīng)無(wú)法正常工作，因此系統(tǒng)的控制權(quán)限將下放至各車(chē)站，由各車(chē)站來(lái)完成本站范圍內(nèi)的監(jiān)控功能。這樣保證了在車(chē)站內(nèi)的數(shù)據(jù)采集、控制命令下發(fā)和數(shù)據(jù)發(fā)布不受影響。

3.1 車(chē)站內(nèi)數(shù)據(jù)采集不受影響

當(dāng)控制中心ISCS故障時(shí)，控制中心和車(chē)站之間的通訊中斷;車(chē)站工作站仍可以正常監(jiān)控本站集成和互聯(lián)的系統(tǒng)，但無(wú)法監(jiān)控中心集成和互聯(lián)的系統(tǒng)(如AFC自動(dòng)售檢票、SIG信號(hào));從車(chē)站服務(wù)器向控制中心進(jìn)行的實(shí)時(shí)數(shù)據(jù)同步與歷史數(shù)據(jù)復(fù)制都停止。當(dāng)控制中心ISCS重新運(yùn)行后，車(chē)站服務(wù)器會(huì)自動(dòng)與控制中心實(shí)時(shí)服務(wù)器進(jìn)行實(shí)時(shí)數(shù)據(jù)同步，同時(shí)開(kāi)始將故障期間產(chǎn)生的歷史數(shù)據(jù)向控制中心歷史服務(wù)器復(fù)制。

3.2 車(chē)站內(nèi)控制下發(fā)不受影響

當(dāng)控制中心ISCS故障時(shí)，從控制中心無(wú)法向車(chē)站設(shè)備下發(fā)控制命令;系統(tǒng)軟件能夠自動(dòng)監(jiān)測(cè)控制中心故障，將控制位置切換至車(chē)站ISCS;車(chē)站ISCS向車(chē)站設(shè)備下發(fā)控制命令不受影響。

3.3 車(chē)站內(nèi)數(shù)據(jù)發(fā)布不受影響

當(dāng)控制中心ISCS故障時(shí)，車(chē)站ISCS服務(wù)器與車(chē)站工作站間通信正常，車(chē)站工作站仍然可以對(duì)本站設(shè)備進(jìn)行監(jiān)視。

4 車(chē)站IBP后備工作

當(dāng)ISCS發(fā)生故障不可用時(shí)，車(chē)站值班員通過(guò)車(chē)站提供的IBP實(shí)現(xiàn)對(duì)重要設(shè)備的監(jiān)視和控制功能。IBP通過(guò)硬接線(xiàn)直接連接現(xiàn)場(chǎng)運(yùn)行設(shè)備，盤(pán)面設(shè)置指示燈顯示現(xiàn)場(chǎng)設(shè)備的實(shí)時(shí)運(yùn)行狀態(tài)，設(shè)置按鈕或把手實(shí)現(xiàn)控制操作。對(duì)于SIG系統(tǒng)，可進(jìn)行扣車(chē)、放行等緊急操作，PSD系統(tǒng)可進(jìn)行屏蔽門(mén)的緊急打開(kāi)，AFC系統(tǒng)可進(jìn)行閘機(jī)的緊急釋放、電梯的急停等。

5 運(yùn)行方式的轉(zhuǎn)換

在運(yùn)行方式發(fā)生轉(zhuǎn)換時(shí)，ISCS可采用自動(dòng)轉(zhuǎn)換加人工確認(rèn)的方式進(jìn)行。

對(duì)于冗余的服務(wù)器及交換機(jī)發(fā)生的單點(diǎn)故障，系統(tǒng)進(jìn)行自動(dòng)切換，不需要操作人員干預(yù);對(duì)于中心某操作站故障時(shí)，其他工作站可以進(jìn)行用戶(hù)類(lèi)登陸后接管故障工作站的監(jiān)視和控制;車(chē)站與中心通信中斷時(shí)，車(chē)站值班員通過(guò)控制權(quán)限的強(qiáng)制下放在站級(jí)實(shí)現(xiàn)車(chē)站的控制;在ISCS癱瘓不可用時(shí)，由車(chē)站值班員通過(guò)IBP進(jìn)行現(xiàn)場(chǎng)設(shè)備重要狀態(tài)的監(jiān)視和手動(dòng)緊急控制。

6 結(jié)語(yǔ)

地鐵安全關(guān)系重大，在無(wú)法保證整個(gè)系統(tǒng)100%無(wú)故障的情況下，通過(guò)實(shí)施降級(jí)運(yùn)行方案，在控制中心癱瘓時(shí)由各車(chē)站來(lái)完成本站范圍內(nèi)的監(jiān)控功能，保證了車(chē)站內(nèi)數(shù)據(jù)采集、控制命令下發(fā)和數(shù)據(jù)發(fā)布不受影響，保證了各車(chē)站間的正常通信，能夠有效避免中央級(jí)ISCS故障情況下事故的發(fā)生。

［1］季令，張國(guó)寶.城市軌道交通運(yùn)營(yíng)管理［M］.北京:中國(guó)鐵道出版社，1999:15－20.

［2］葛世平.從運(yùn)營(yíng)角度談城市軌道交通的總體設(shè)計(jì)［J］.城市軌道交通研究，2004，7(1):66 －70.

［3］柳彥青，朱志平.城市軌道交通綜合監(jiān)控系統(tǒng)淺述［J］.上海電器技術(shù)，2006(4):33－36.

［4］吳論麒.城市軌道交通信號(hào)與通信系統(tǒng)［M］.北京:中國(guó)鐵道出版社，1998:37－45.

［5］東南大學(xué)交通學(xué)院.南京地鐵1號(hào)線(xiàn)運(yùn)營(yíng)管理維保模式綜合評(píng)價(jià)報(bào)告［R］.南京，2003.