中央級綜合監(jiān)控系統(tǒng)故障時的降級運行方案

施 計

(國電南瑞科技股份有限公司 南京 210061)

隨著地鐵現(xiàn)代化進(jìn)程的日益推進(jìn)，對地鐵運營安全的要求也越來越高，地鐵運行中的任何故障都有可能導(dǎo)致一場災(zāi)難的發(fā)生。因此，加強地鐵運營狀況的監(jiān)控，并采取各種預(yù)備方案應(yīng)對突發(fā)故障是刻不容緩的。傳統(tǒng)的分立自動化系統(tǒng)，各系統(tǒng)相互獨立，較難實現(xiàn)信息互通、資源共享。這種孤島式的自動化系統(tǒng)不利于運營協(xié)調(diào)管理，響應(yīng)性差、運營效率低，已落后于日益發(fā)展的科學(xué)技術(shù)和管理水平。為了確保運營和各系統(tǒng)安全可靠的運行、方便操作人員對運營過程實施全面的集中監(jiān)控和管理，需要建立地鐵綜合監(jiān)控系統(tǒng)(integrated supervisory control system，ISCS)。隨著自動化技術(shù)和控制技術(shù)的發(fā)展，ISCS可以實現(xiàn)各系統(tǒng)信息互通、資源共享，實現(xiàn)各系統(tǒng)的統(tǒng)一協(xié)調(diào)管理;完善系統(tǒng)間的聯(lián)動功能，提高事故處理的高效性、快速性，提高地鐵的自動化水平。

1 ISCS運行的2種模式

在地鐵運營中，ISCS的運行包括正常運行和降級運行2種模式。在系統(tǒng)各級設(shè)備正常工作時，系統(tǒng)可正常地對地鐵設(shè)備完成監(jiān)視和控制功能，實現(xiàn)相關(guān)的運營需求操作。降級運行是指當(dāng)發(fā)生設(shè)備故障引起功能的部分喪失時地鐵運營方式的轉(zhuǎn)換。

綜合監(jiān)控降級模式運行保證中央綜合監(jiān)控的關(guān)鍵功能。ISCS具有多層的保護(hù)機(jī)制，當(dāng)中央ISCS不能運行時，由某一車站接管其功能，即綜合監(jiān)控處于降級模式運行。由于運行設(shè)備等條件的限制，往往只保證中央ISCS的關(guān)鍵功能。

ISCS降級模式定義為:當(dāng)中央級ISCS故障時，各車站ISCS能夠完成對本車站集成與互聯(lián)子系統(tǒng)設(shè)備的監(jiān)控，保證數(shù)據(jù)正確采集與命令下發(fā)準(zhǔn)確，本車站歷史數(shù)據(jù)存儲與查詢功能能夠正確地完成。在降級模式下，車站不負(fù)責(zé)對控制中心互聯(lián)子系統(tǒng)的設(shè)備監(jiān)控，車站歷史數(shù)據(jù)不向控制中心復(fù)制，車站實時數(shù)據(jù)不向控制中心同步;當(dāng)控制中心ISCS重新運行后，車站ISCS可以自動將故障期間本車站的歷史數(shù)據(jù)復(fù)制至控制中心，保證控制中心ISCS能夠在很短時間內(nèi)達(dá)到完全恢復(fù)。

如果控制中心的中央綜合監(jiān)控癱瘓，通常有3種處理辦法:一是若有備用控制中心，啟用備用控制中心;二是若所有車站之間均能交換信息，則指定某一車站為后備控制中心，啟用該車站的中央綜合監(jiān)控功能;三是系統(tǒng)按降級模式運行，只進(jìn)行車站一級監(jiān)控。

2 正常情況下ISCS運行保護(hù)機(jī)制

2.1 ISCS保護(hù)機(jī)制的目標(biāo)

ISCS承擔(dān)著對BAS(環(huán)境與設(shè)備監(jiān)控系統(tǒng))、FAS(火災(zāi)報警系統(tǒng))、PSCADA(電力監(jiān)控系統(tǒng))、PSD(屏蔽門)等多個子系統(tǒng)設(shè)備進(jìn)行監(jiān)控的重大任務(wù)，是地鐵正常運營和救災(zāi)指揮的基本保證，涉及到人身和設(shè)備的安全。因此，ISCS的保護(hù)機(jī)制非常重要，對可靠性和安全性的要求極高。

ISCS非常注重保護(hù)機(jī)制，從系統(tǒng)結(jié)構(gòu)、功能設(shè)計、數(shù)據(jù)流程等多方面保證系統(tǒng)的安全可靠運行。ISCS保護(hù)機(jī)制實現(xiàn)的目標(biāo)為:1)硬件設(shè)備的任何單點故障，即系統(tǒng)中同時只有1處設(shè)備發(fā)生故障時，ISCS不損失任何功能。2)硬件設(shè)備的任何交叉故障，即系統(tǒng)中同時有2處非相同功能設(shè)備發(fā)生故障時，ISCS不損失任何功能。3)骨干網(wǎng)故障，車站ISCS不損失任何功能，而且行使中央ISCS的關(guān)鍵功能。4)ISCS嚴(yán)重故障，保證其關(guān)鍵功能的運行;ISCS全部癱瘓，不影響各個子系統(tǒng)的運行，IBP(綜合后備盤)保證對關(guān)鍵設(shè)備的操作控制和狀態(tài)監(jiān)視。5)ISCS的運行和維護(hù)必須進(jìn)行身份認(rèn)證和權(quán)限分級管理，任何操作均有記錄。6)任何時候保證網(wǎng)絡(luò)安全，防止非法入侵。7)服務(wù)器禁止病毒，工作站采取嚴(yán)格的防病毒措施。8)ISCS的系統(tǒng)參數(shù)和運行數(shù)據(jù)不丟失，保證數(shù)據(jù)的安全性。9)ISCS具有在線編輯能力，在ISCS更換設(shè)備、擴(kuò)展和維護(hù)時，不影響正在運行的系統(tǒng)。

2.2 ISCS在系統(tǒng)保護(hù)機(jī)制方面采取的方法

為了實現(xiàn)前面所述的目標(biāo)，ISCS在系統(tǒng)保護(hù)機(jī)制方面主要采取了如下措施。

2.2.1 全方位冗余機(jī)制

冗余機(jī)制涉及中央主備實時服務(wù)器之間、中央主備歷史服務(wù)器之間、車站主備實時服務(wù)器之間、主備工作站之間、主備通信控制器(FEP)之間、中央局域網(wǎng)雙網(wǎng)之間、車站局域網(wǎng)雙網(wǎng)之間的冗余，不僅包括硬件設(shè)備，而且包括相應(yīng)的軟件;不僅包括運行的功能，而且包括數(shù)據(jù)流程，都是冗余的。多重冗余機(jī)制使得在任何單點故障和交叉故障時，都不影響ISCS運行。冗余切換時能保證數(shù)據(jù)不丟失，保證了數(shù)據(jù)的一致性。切換時間小于5 s，保證了數(shù)據(jù)的實時性。

2.2.2 通信控制器硬件物理隔離

ISCS和子系統(tǒng)之間用FEP構(gòu)筑物理隔離層，各個子系統(tǒng)的數(shù)據(jù)不會直接進(jìn)入ISCS，須經(jīng)過FEP協(xié)議轉(zhuǎn)換;ISCS的數(shù)據(jù)進(jìn)入各個子系統(tǒng)同樣經(jīng)過FEP的緩沖，F(xiàn)EP相當(dāng)于安全網(wǎng)關(guān)。FEP選用高性能、高可靠性的處理器，既使得ISCS與各個子相同相互獨立、互不干擾，又不影響隔離引起的實時性和可靠性。FEP保證了即使ISCS全部故障，各個子系統(tǒng)也能正常運行;當(dāng)某個子系統(tǒng)數(shù)據(jù)流量異常時，也不會影響ISCS的運行。

2.2.3 強大的權(quán)限管理

ISCS提供了權(quán)限定義工具，根據(jù)對各個子系統(tǒng)設(shè)備監(jiān)視和操作的允許與否進(jìn)行設(shè)置。根據(jù)蘇州2號線要求進(jìn)行細(xì)化分級，每級使用標(biāo)識和密碼進(jìn)行控制。權(quán)限管理保證了ISCS使用和維護(hù)的安全性。

2.2.4 操作的互鎖功能

在ISCS中，中央和車站、車站和IBP都有操作互鎖機(jī)制，不允許多個操作員同時對某個設(shè)備進(jìn)行操作。

2.2.5 分布式結(jié)構(gòu)保證軟件對位置的透明

中央綜合監(jiān)控功能可以在中央服務(wù)器上實現(xiàn)，也可在車站服務(wù)器上實現(xiàn)。當(dāng)系統(tǒng)維修和擴(kuò)展時，可在線編輯系統(tǒng)，將需更換的設(shè)備上的軟件轉(zhuǎn)移到其他設(shè)備上。

2.2.6 綜合監(jiān)控降級模式運行

ISCS具有多層的保護(hù)機(jī)制，當(dāng)中央ISCS不能運行時，由某一車站接管ISCS功能，即綜合監(jiān)控處于降級模式運行，由于運行設(shè)備等條件的限制，此模式往往只保證中央ISCS的關(guān)鍵功能。

2.2.7 身份認(rèn)證和報文加密

ISCS可定義不同級別和操作權(quán)限的用戶，進(jìn)入ISCS首先根據(jù)用戶名和密碼檢驗合法性，并根據(jù)定義分配相應(yīng)的權(quán)限。為確保系統(tǒng)的安全性，對控制命令等高安全性報文進(jìn)行加密。

2.2.8 防火墻技術(shù)

為保證網(wǎng)絡(luò)安全，凡與外部系統(tǒng)有網(wǎng)絡(luò)互聯(lián)的地方建議設(shè)置硬件防火墻，防止網(wǎng)絡(luò)攻擊和非法訪問。

2.2.9 運行日志管理

ISCS的任何操作均進(jìn)行日志記錄，使其有據(jù)可查，可根據(jù)日志進(jìn)行分析和實現(xiàn)回退等保護(hù)功能。

2.2.10 磁盤陣列

為避免硬盤損壞時數(shù)據(jù)丟失和任務(wù)異常，中央服務(wù)器配置磁盤陣列做RAID5，任何一塊硬盤的損壞都不影響運行。車站服務(wù)器配置磁盤陣列做RAID1，硬盤鏡像備份，車站的實時數(shù)據(jù)不會丟失，也可保證暫時接管中央歷史數(shù)據(jù)存儲時數(shù)據(jù)不丟失。

2.2.11 磁帶機(jī)備份

制定完善的系統(tǒng)備份方案是保證ISCS意外損壞時的有效手段，ISCS用大容量磁帶定期自動備份。

2.2.12 操作系統(tǒng)的安全性

ISCS的服務(wù)器采用Unix操作系統(tǒng)，64位多任務(wù)，C2安全等級，從根本上保證了軟件系統(tǒng)的安全性。

2.2.13 IBP保證ISCS的最后防線

ISCS為保證地鐵的正常運營，設(shè)計了多層控制防護(hù)措施，從控制中心到車站，到IBP緊急控制盤，到各個子系統(tǒng)就地級的控制。對ISCS而言，IBP是計算機(jī)系統(tǒng)的保護(hù)性后備。IBP上有各個子系統(tǒng)緊急控制的按鈕和關(guān)鍵設(shè)備的狀態(tài)，通過硬線經(jīng)過專用獨立通道對設(shè)備直接控制。

3 中央級ISCS故障情況下的降級運行

在災(zāi)害情況下(如通信骨干網(wǎng)中斷、恐怖襲擊、地震、火災(zāi)等災(zāi)害)，控制中心工作站全部不可用、控制中心服務(wù)器均故障或者車站和控制中心通訊發(fā)生中斷。這種情況下，中央級ISCS已經(jīng)無法正常工作，因此系統(tǒng)的控制權(quán)限將下放至各車站，由各車站來完成本站范圍內(nèi)的監(jiān)控功能。這樣保證了在車站內(nèi)的數(shù)據(jù)采集、控制命令下發(fā)和數(shù)據(jù)發(fā)布不受影響。

3.1 車站內(nèi)數(shù)據(jù)采集不受影響

當(dāng)控制中心ISCS故障時，控制中心和車站之間的通訊中斷;車站工作站仍可以正常監(jiān)控本站集成和互聯(lián)的系統(tǒng)，但無法監(jiān)控中心集成和互聯(lián)的系統(tǒng)(如AFC自動售檢票、SIG信號);從車站服務(wù)器向控制中心進(jìn)行的實時數(shù)據(jù)同步與歷史數(shù)據(jù)復(fù)制都停止。當(dāng)控制中心ISCS重新運行后，車站服務(wù)器會自動與控制中心實時服務(wù)器進(jìn)行實時數(shù)據(jù)同步，同時開始將故障期間產(chǎn)生的歷史數(shù)據(jù)向控制中心歷史服務(wù)器復(fù)制。

3.2 車站內(nèi)控制下發(fā)不受影響

當(dāng)控制中心ISCS故障時，從控制中心無法向車站設(shè)備下發(fā)控制命令;系統(tǒng)軟件能夠自動監(jiān)測控制中心故障，將控制位置切換至車站ISCS;車站ISCS向車站設(shè)備下發(fā)控制命令不受影響。

3.3 車站內(nèi)數(shù)據(jù)發(fā)布不受影響

當(dāng)控制中心ISCS故障時，車站ISCS服務(wù)器與車站工作站間通信正常，車站工作站仍然可以對本站設(shè)備進(jìn)行監(jiān)視。

4 車站IBP后備工作

當(dāng)ISCS發(fā)生故障不可用時，車站值班員通過車站提供的IBP實現(xiàn)對重要設(shè)備的監(jiān)視和控制功能。IBP通過硬接線直接連接現(xiàn)場運行設(shè)備，盤面設(shè)置指示燈顯示現(xiàn)場設(shè)備的實時運行狀態(tài)，設(shè)置按鈕或把手實現(xiàn)控制操作。對于SIG系統(tǒng)，可進(jìn)行扣車、放行等緊急操作，PSD系統(tǒng)可進(jìn)行屏蔽門的緊急打開，AFC系統(tǒng)可進(jìn)行閘機(jī)的緊急釋放、電梯的急停等。

5 運行方式的轉(zhuǎn)換

在運行方式發(fā)生轉(zhuǎn)換時，ISCS可采用自動轉(zhuǎn)換加人工確認(rèn)的方式進(jìn)行。

對于冗余的服務(wù)器及交換機(jī)發(fā)生的單點故障，系統(tǒng)進(jìn)行自動切換，不需要操作人員干預(yù);對于中心某操作站故障時，其他工作站可以進(jìn)行用戶類登陸后接管故障工作站的監(jiān)視和控制;車站與中心通信中斷時，車站值班員通過控制權(quán)限的強制下放在站級實現(xiàn)車站的控制;在ISCS癱瘓不可用時，由車站值班員通過IBP進(jìn)行現(xiàn)場設(shè)備重要狀態(tài)的監(jiān)視和手動緊急控制。

6 結(jié)語

地鐵安全關(guān)系重大，在無法保證整個系統(tǒng)100%無故障的情況下，通過實施降級運行方案，在控制中心癱瘓時由各車站來完成本站范圍內(nèi)的監(jiān)控功能，保證了車站內(nèi)數(shù)據(jù)采集、控制命令下發(fā)和數(shù)據(jù)發(fā)布不受影響，保證了各車站間的正常通信，能夠有效避免中央級ISCS故障情況下事故的發(fā)生。

［1］季令，張國寶.城市軌道交通運營管理［M］.北京:中國鐵道出版社，1999:15－20.

［2］葛世平.從運營角度談城市軌道交通的總體設(shè)計［J］.城市軌道交通研究，2004，7(1):66 －70.

［3］柳彥青，朱志平.城市軌道交通綜合監(jiān)控系統(tǒng)淺述［J］.上海電器技術(shù)，2006(4):33－36.

［4］吳論麒.城市軌道交通信號與通信系統(tǒng)［M］.北京:中國鐵道出版社，1998:37－45.

［5］東南大學(xué)交通學(xué)院.南京地鐵1號線運營管理維保模式綜合評價報告［R］.南京，2003.