卡斯柯信號有限公司 黃曉帆 孫博龍 陳景柱

自動列車監(jiān)控系統(tǒng)（ATS，Automatic Train Supervision）是城市軌道交通信號系統(tǒng)五個子系統(tǒng)中重要組成部分，行車調(diào)度員通過ATS人機(jī)界面實(shí)時對列車運(yùn)行進(jìn)行監(jiān)控，了解列車運(yùn)行狀態(tài)，為軌道交通運(yùn)營維護(hù)等提供信息。

ATS中有很多控制和顯示功能會影響列車運(yùn)行安全和維護(hù)人員/乘客生命安全，比如信號機(jī)解除封鎖，信號機(jī)封鎖功能。對于影響安全的功能，識別其危害，設(shè)計合理方案減少系統(tǒng)性失效顯得尤為重要。

1 ATS安全功能的FMEA分析

故障模式影響及危害分析（FMEA，F(xiàn)ailure Mode，Effects Analysis）是一種以故障模式為基礎(chǔ)，以故障影響或后果為目標(biāo)的分析技術(shù)廣泛應(yīng)用于軌道交通領(lǐng)域系統(tǒng)設(shè)計過程中。

對信號機(jī)解除封鎖功能和信號機(jī)封鎖功能的FMEA分析如表1所示。

表1 信號機(jī)解除封鎖功能和封鎖功能FMEA分析

由FMEA分析可知，兩個功能雖然都有危害，但產(chǎn)生危害的原因卻不同：

對于信號機(jī)解除封鎖功能，產(chǎn)生危害的原因有兩種：一種是操作員操作錯誤，比如操作員輸入錯誤的信號機(jī)名稱，導(dǎo)致錯誤的信號機(jī)被解除封鎖，封鎖區(qū)域可能有維護(hù)人員，造成人身傷害。另一種是人機(jī)界面顯示錯誤，比如信號機(jī)解除封鎖已經(jīng)成功，而人機(jī)界面顯示此功能未執(zhí)行成功，導(dǎo)致列車駛?cè)胄盘枡C(jī)后方影響人員安全。

對于信號機(jī)封鎖功能，只有人機(jī)界面錯誤顯示才會導(dǎo)致維護(hù)人員的安全受到影響。而操作員錯誤的操作命令，比如選錯信號機(jī)，并不會導(dǎo)致危害。

從產(chǎn)生危害的原因角度將ATS安全功能分為兩類：一類是操作員的操作和人機(jī)界面顯示均會影響安全。另一類是僅人機(jī)界面顯示錯誤會影響安全。

2 ATS安全功能的設(shè)計

2.1 二次確認(rèn)操作加安全顯示

對于上文提到的第一類操作，如何避免操作員人為操作失誤，減少操作員系統(tǒng)性失效，是安全必須考慮的問題。

二次確認(rèn)操作加安全顯示的設(shè)計方案如圖1（左）所示：

圖1 （左）兩次確認(rèn)操作加安全顯示的設(shè)計 （右）一次確認(rèn)操作加安全顯示的設(shè)計

（1）操作員在ATS上進(jìn)行第一次操作輸入。

（2）ATS發(fā)送一次請求命令給CBI，等待CBI在規(guī)定時間內(nèi)一次回復(fù)相應(yīng)的確認(rèn)信息給ATS，否則認(rèn)為操作失敗。

（3）ATS請求操作員進(jìn)行二次操作輸入，發(fā)送二次請求命令給CBI。ATS必須在收到CBI一次回復(fù)確認(rèn)信息后的規(guī)定時間內(nèi)發(fā)送二次請求命令，否則CBI不接收二次請求。

（4）CBI收到二次請求命令后執(zhí)行相應(yīng)的操作并在規(guī)定時間內(nèi)二次回復(fù)相應(yīng)的操作結(jié)果給ATS，否則認(rèn)為操作失敗。

（5）ATS收到CBI回復(fù)的執(zhí)行結(jié)果進(jìn)行顯示。為了防止顯示錯誤，ATS的顯示分為兩部分：一是收到CBI返回的執(zhí)行結(jié)果進(jìn)行碼位校驗(yàn)，若校驗(yàn)成功，在操作窗口顯示命令執(zhí)行成功的結(jié)果確認(rèn)報告，若校驗(yàn)失敗，提示命令執(zhí)行失敗的結(jié)果確認(rèn)報告。二是用圖形或者顏色區(qū)別顯示同一設(shè)備的不同狀態(tài)。

（6）操作員確認(rèn)操作命令操作成功的判斷條件為：ATS上操作窗口顯示命令成功執(zhí)行的結(jié)果確認(rèn)報告，且ATS界面正確顯示了預(yù)期操作設(shè)備的期望狀態(tài)。

2.2 一次操作加安全顯示

對于上文提到的第二類操作，錯誤的輸入并不會導(dǎo)致危害，所以僅需防范顯示錯誤。

一次操作加安全顯示的設(shè)計方案如圖1（右）所示：

（1）操作員在ATS上進(jìn)行操作輸入。

（2）ATS發(fā)送請求命令給CBI。

（3）CBI收到請求命令后執(zhí)行相應(yīng)的操作并在規(guī)定時間內(nèi)回復(fù)相應(yīng)的操作結(jié)果給ATS，否則認(rèn)為操作失敗。

（4）ATS收到CBI回復(fù)的執(zhí)行結(jié)果進(jìn)行顯示。為了防止顯示操作，ATS的顯示分為兩部分：一是收到CBI返回的執(zhí)行結(jié)果進(jìn)行碼位校驗(yàn)，若校驗(yàn)成功，在操作窗口顯示命令執(zhí)行成功的結(jié)果確認(rèn)報告，若校驗(yàn)失敗，提示命令執(zhí)行失敗的結(jié)果確認(rèn)報告。二是用圖形或者顏色區(qū)別顯示同一設(shè)備的不同狀態(tài)。

（5）操作員確認(rèn)操作命令操作成功的判斷條件為：ATS上操作窗口顯示命令成功執(zhí)行的結(jié)果確認(rèn)報告，且ATS界面正確顯示了預(yù)期操作設(shè)備的期望狀態(tài)。

總結(jié)：本文將影響安全的ATS操作和顯示功能分為一次操作和二次操作兩類，不但滿足了日常運(yùn)營中操作員對操作的實(shí)時性和便利性的要求，還滿足了防范操作員操作錯誤及人機(jī)界面顯示錯誤的安全防護(hù)的要求，解決了安全性和可用性之間的矛盾，對城市軌道交通信號系統(tǒng)ATS子系統(tǒng)人機(jī)交互操作設(shè)計有非常積極的作用。