中央级综合监控系统故障时的降级运行方案
2012-03-31施计
施 计
(国电南瑞科技股份有限公司 南京 210061)
随着地铁现代化进程的日益推进,对地铁运营安全的要求也越来越高,地铁运行中的任何故障都有可能导致一场灾难的发生。因此,加强地铁运营状况的监控,并采取各种预备方案应对突发故障是刻不容缓的。传统的分立自动化系统,各系统相互独立,较难实现信息互通、资源共享。这种孤岛式的自动化系统不利于运营协调管理,响应性差、运营效率低,已落后于日益发展的科学技术和管理水平。为了确保运营和各系统安全可靠的运行、方便操作人员对运营过程实施全面的集中监控和管理,需要建立地铁综合监控系统(integrated supervisory control system,ISCS)。随着自动化技术和控制技术的发展,ISCS可以实现各系统信息互通、资源共享,实现各系统的统一协调管理;完善系统间的联动功能,提高事故处理的高效性、快速性,提高地铁的自动化水平。
1 ISCS运行的2种模式
在地铁运营中,ISCS的运行包括正常运行和降级运行2种模式。在系统各级设备正常工作时,系统可正常地对地铁设备完成监视和控制功能,实现相关的运营需求操作。降级运行是指当发生设备故障引起功能的部分丧失时地铁运营方式的转换。
综合监控降级模式运行保证中央综合监控的关键功能。ISCS具有多层的保护机制,当中央ISCS不能运行时,由某一车站接管其功能,即综合监控处于降级模式运行。由于运行设备等条件的限制,往往只保证中央ISCS的关键功能。
ISCS降级模式定义为:当中央级ISCS故障时,各车站ISCS能够完成对本车站集成与互联子系统设备的监控,保证数据正确采集与命令下发准确,本车站历史数据存储与查询功能能够正确地完成。在降级模式下,车站不负责对控制中心互联子系统的设备监控,车站历史数据不向控制中心复制,车站实时数据不向控制中心同步;当控制中心ISCS重新运行后,车站ISCS可以自动将故障期间本车站的历史数据复制至控制中心,保证控制中心ISCS能够在很短时间内达到完全恢复。
如果控制中心的中央综合监控瘫痪,通常有3种处理办法:一是若有备用控制中心,启用备用控制中心;二是若所有车站之间均能交换信息,则指定某一车站为后备控制中心,启用该车站的中央综合监控功能;三是系统按降级模式运行,只进行车站一级监控。
2 正常情况下ISCS运行保护机制
2.1 ISCS保护机制的目标
ISCS承担着对BAS(环境与设备监控系统)、FAS(火灾报警系统)、PSCADA(电力监控系统)、PSD(屏蔽门)等多个子系统设备进行监控的重大任务,是地铁正常运营和救灾指挥的基本保证,涉及到人身和设备的安全。因此,ISCS的保护机制非常重要,对可靠性和安全性的要求极高。
ISCS非常注重保护机制,从系统结构、功能设计、数据流程等多方面保证系统的安全可靠运行。ISCS保护机制实现的目标为:1)硬件设备的任何单点故障,即系统中同时只有1处设备发生故障时,ISCS不损失任何功能。2)硬件设备的任何交叉故障,即系统中同时有2处非相同功能设备发生故障时,ISCS不损失任何功能。3)骨干网故障,车站ISCS不损失任何功能,而且行使中央ISCS的关键功能。4)ISCS严重故障,保证其关键功能的运行;ISCS全部瘫痪,不影响各个子系统的运行,IBP(综合后备盘)保证对关键设备的操作控制和状态监视。5)ISCS的运行和维护必须进行身份认证和权限分级管理,任何操作均有记录。6)任何时候保证网络安全,防止非法入侵。7)服务器禁止病毒,工作站采取严格的防病毒措施。8)ISCS的系统参数和运行数据不丢失,保证数据的安全性。9)ISCS具有在线编辑能力,在ISCS更换设备、扩展和维护时,不影响正在运行的系统。
2.2 ISCS在系统保护机制方面采取的方法
为了实现前面所述的目标,ISCS在系统保护机制方面主要采取了如下措施。
2.2.1 全方位冗余机制
冗余机制涉及中央主备实时服务器之间、中央主备历史服务器之间、车站主备实时服务器之间、主备工作站之间、主备通信控制器(FEP)之间、中央局域网双网之间、车站局域网双网之间的冗余,不仅包括硬件设备,而且包括相应的软件;不仅包括运行的功能,而且包括数据流程,都是冗余的。多重冗余机制使得在任何单点故障和交叉故障时,都不影响ISCS运行。冗余切换时能保证数据不丢失,保证了数据的一致性。切换时间小于5 s,保证了数据的实时性。
2.2.2 通信控制器硬件物理隔离
ISCS和子系统之间用FEP构筑物理隔离层,各个子系统的数据不会直接进入ISCS,须经过FEP协议转换;ISCS的数据进入各个子系统同样经过FEP的缓冲,FEP相当于安全网关。FEP选用高性能、高可靠性的处理器,既使得ISCS与各个子相同相互独立、互不干扰,又不影响隔离引起的实时性和可靠性。FEP保证了即使ISCS全部故障,各个子系统也能正常运行;当某个子系统数据流量异常时,也不会影响ISCS的运行。
2.2.3 强大的权限管理
ISCS提供了权限定义工具,根据对各个子系统设备监视和操作的允许与否进行设置。根据苏州2号线要求进行细化分级,每级使用标识和密码进行控制。权限管理保证了ISCS使用和维护的安全性。
2.2.4 操作的互锁功能
在ISCS中,中央和车站、车站和IBP都有操作互锁机制,不允许多个操作员同时对某个设备进行操作。
2.2.5 分布式结构保证软件对位置的透明
中央综合监控功能可以在中央服务器上实现,也可在车站服务器上实现。当系统维修和扩展时,可在线编辑系统,将需更换的设备上的软件转移到其他设备上。
2.2.6 综合监控降级模式运行
ISCS具有多层的保护机制,当中央ISCS不能运行时,由某一车站接管ISCS功能,即综合监控处于降级模式运行,由于运行设备等条件的限制,此模式往往只保证中央ISCS的关键功能。
2.2.7 身份认证和报文加密
ISCS可定义不同级别和操作权限的用户,进入ISCS首先根据用户名和密码检验合法性,并根据定义分配相应的权限。为确保系统的安全性,对控制命令等高安全性报文进行加密。
2.2.8 防火墙技术
为保证网络安全,凡与外部系统有网络互联的地方建议设置硬件防火墙,防止网络攻击和非法访问。
2.2.9 运行日志管理
ISCS的任何操作均进行日志记录,使其有据可查,可根据日志进行分析和实现回退等保护功能。
2.2.10 磁盘阵列
为避免硬盘损坏时数据丢失和任务异常,中央服务器配置磁盘阵列做RAID5,任何一块硬盘的损坏都不影响运行。车站服务器配置磁盘阵列做RAID1,硬盘镜像备份,车站的实时数据不会丢失,也可保证暂时接管中央历史数据存储时数据不丢失。
2.2.11 磁带机备份
制定完善的系统备份方案是保证ISCS意外损坏时的有效手段,ISCS用大容量磁带定期自动备份。
2.2.12 操作系统的安全性
ISCS的服务器采用Unix操作系统,64位多任务,C2安全等级,从根本上保证了软件系统的安全性。
2.2.13 IBP保证ISCS的最后防线
ISCS为保证地铁的正常运营,设计了多层控制防护措施,从控制中心到车站,到IBP紧急控制盘,到各个子系统就地级的控制。对ISCS而言,IBP是计算机系统的保护性后备。IBP上有各个子系统紧急控制的按钮和关键设备的状态,通过硬线经过专用独立通道对设备直接控制。
3 中央级ISCS故障情况下的降级运行
在灾害情况下(如通信骨干网中断、恐怖袭击、地震、火灾等灾害),控制中心工作站全部不可用、控制中心服务器均故障或者车站和控制中心通讯发生中断。这种情况下,中央级ISCS已经无法正常工作,因此系统的控制权限将下放至各车站,由各车站来完成本站范围内的监控功能。这样保证了在车站内的数据采集、控制命令下发和数据发布不受影响。
3.1 车站内数据采集不受影响
当控制中心ISCS故障时,控制中心和车站之间的通讯中断;车站工作站仍可以正常监控本站集成和互联的系统,但无法监控中心集成和互联的系统(如AFC自动售检票、SIG信号);从车站服务器向控制中心进行的实时数据同步与历史数据复制都停止。当控制中心ISCS重新运行后,车站服务器会自动与控制中心实时服务器进行实时数据同步,同时开始将故障期间产生的历史数据向控制中心历史服务器复制。
3.2 车站内控制下发不受影响
当控制中心ISCS故障时,从控制中心无法向车站设备下发控制命令;系统软件能够自动监测控制中心故障,将控制位置切换至车站ISCS;车站ISCS向车站设备下发控制命令不受影响。
3.3 车站内数据发布不受影响
当控制中心ISCS故障时,车站ISCS服务器与车站工作站间通信正常,车站工作站仍然可以对本站设备进行监视。
4 车站IBP后备工作
当ISCS发生故障不可用时,车站值班员通过车站提供的IBP实现对重要设备的监视和控制功能。IBP通过硬接线直接连接现场运行设备,盘面设置指示灯显示现场设备的实时运行状态,设置按钮或把手实现控制操作。对于SIG系统,可进行扣车、放行等紧急操作,PSD系统可进行屏蔽门的紧急打开,AFC系统可进行闸机的紧急释放、电梯的急停等。
5 运行方式的转换
在运行方式发生转换时,ISCS可采用自动转换加人工确认的方式进行。
对于冗余的服务器及交换机发生的单点故障,系统进行自动切换,不需要操作人员干预;对于中心某操作站故障时,其他工作站可以进行用户类登陆后接管故障工作站的监视和控制;车站与中心通信中断时,车站值班员通过控制权限的强制下放在站级实现车站的控制;在ISCS瘫痪不可用时,由车站值班员通过IBP进行现场设备重要状态的监视和手动紧急控制。
6 结语
地铁安全关系重大,在无法保证整个系统100%无故障的情况下,通过实施降级运行方案,在控制中心瘫痪时由各车站来完成本站范围内的监控功能,保证了车站内数据采集、控制命令下发和数据发布不受影响,保证了各车站间的正常通信,能够有效避免中央级ISCS故障情况下事故的发生。
[1]季令,张国宝.城市轨道交通运营管理[M].北京:中国铁道出版社,1999:15-20.
[2]葛世平.从运营角度谈城市轨道交通的总体设计[J].城市轨道交通研究,2004,7(1):66 -70.
[3]柳彦青,朱志平.城市轨道交通综合监控系统浅述[J].上海电器技术,2006(4):33-36.
[4]吴论麒.城市轨道交通信号与通信系统[M].北京:中国铁道出版社,1998:37-45.
[5]东南大学交通学院.南京地铁1号线运营管理维保模式综合评价报告[R].南京,2003.