蔡一磊，李佑文，褚红健

(南京国电南自轨道交通工程有限公司，江苏 南京 210032)

0 引言

地铁线路综合监控系统集成与互联了线路中多个子系统，在一套统一人机界面(Human Machine Interface，HMI)上共享信息和监控，并实现系统间的联动，在大大提高地铁运营工作效率的同时也带来了巨大的安全隐患。ISCS系统的用户管理与权限分配可以归纳为如何将操作权限合理地分配给不同职责的受安全机制保护的用户，并可动态变更权限范围以适应不同应用场景。安全的核心对象是操作权限与用户，以及为了实现完整的安全管理功能而衍生于核心对象之上的概念与对象，如安全等级、用户组、互斥操作、权限移交等[1-2]。

1 系统安全管理机制

DSC-9000+系统的安全管理机制从过程角度可以分为配置与执行。配置过程即是安全管理策略定义的过程。系统的安全管理策略可通过用户、权限、责任区、安全等级、会话，以及这些对象之间的联系来定义。系统的安全管理模块负责读取这些信息，再按预定的流程执行完成系统的安全管理功能。

1.1 权限控制策略定义

在DSC-9000+系统中，安全相关的多个对象类型相互关联从而形成了完整的安全策略结构链。构成完整权限策略的核心对象类型包括用户、安全等级、权限、责任区，以及操作对象类型。

DSC-9000+系统中权限仅是一个标志。在执行操作前，系统安全模块验证用户当前是否拥有请求执行操作的权限。每种操作均关联一个或多个权限，用户可以在自定义操作的同时，将操作关联到一个或多个权限对象。系统中的权限可由用户定义，但预置了一些系统固有操作关联的权限对象，完整的ISCS功能所需权限包括浏览、遥控、人工置数、数据库配置、确认报警、静音等。

系统中的安全等级可理解为授权体系中的角色。一个安全等级对象通过权限列表属性拥有一个或多个权限，不同安全等级之间以级别属性来区别其等级高低。拥有高级别安全等级的用户自动拥有小于级别的所有安全等级。需要指出的是，系统支持配置任一会话中可使用的最高安全等级，此功能可对用户在特定会话上的权限进行限制，以便设定那些具有专用功能的工作站。系统中以角色方式分配权限，即系统中的权限不是直接分配到操作员，而是先分配到若干个角色，再将角色分配到操作员。系统中的操作角色相对固定，而操作员变化相对频繁，这种方式通过降低权限与操作员之间的耦合度，将操作员变化时需对系统所做的修改降到最少，增强了系统的适应性。

责任区从逻辑区域上对操作权限进行了划分，它实现了权限管理中用户组的功能。与权限一样，责任区对象也仅仅是一个标志。如果执行系统中某项操作需要特定责任区，而系统安全模块在验证后发现当前用户不具备该责任区，则拒绝其请求。用户被赋于安全等级与责任区，系统安全模块通过密码或其他方式对用户进行身份验证，验证通过后，操作员便可通过登录的用户执行操作。

用户等级划分之前需要先依据调度人事状况在系统中创建用户对象，用户对象创建完毕，即可为每一个用户对象分配相应的安全等级。用户可拥有一个或多个安全等级，在登录系统后，可自由选择当前安全等级，此种方式的设定可避免误操作。

操作根据其执行方式的不同可以分为读写操作与会话命令两种。读写操作包括浏览、遥控、人工置数等所有修改对象属性值的操作；会话命令则是指那些运行一段系统命令的操作。

置值操作的操作界面由画面组态产生，在组态时，可对操作需要关联的权限与责任区进行配置；会话命令通过会话命令对象的权限链接属性与责任区链接属性进行安全配置。

1.2 执行流程

系统的安全模块执行一套一致的流程来验证用户以及完成授权，操作员在系统中执行某项操作需经过的验证流程如图1所示。

图1 用户验证执行流程

操作员需登录后才可执行操作，请求操作时需执行密码验证、权限与责任区验证，以及执行条件验证，验证通过方可执行操作。在上图所示的步骤中，除登录时的身份验证是必需的之外，请求操作时的验证均为可配置的，也就是可选的。

2 用户管理与授权方案

2.1 用户管理

DSC-9000+系统使用操作系统的用户与密码功能来管理用户。系统对用户密码进行加密处理，在服务器上的用户管理文件中。当用户登录、注销、解除画面锁定、高级别用户接替工作时，系统均需要对用户类型、用户名、密码进行选择、输入和校验。操作权限级别可分为三大类：系统管理级、运营操作级和浏览级。系统分配给每个级别，每个用户类一定的权限，这些权限包括操作模式、控制权力、控制范围等。系统管理员有权进行权限的定义，来管理用户对象的工作。

2.2 操作互斥

DSC-9000+综合监控系统采用两级管理机制，操作互斥包括不同管理级别之间的互斥与同管理级不同用户之间的互斥。对某一类操作的权限在同一时刻不可被中心级与车站级同时拥有。用户请求操作后，系统会判断该用户所处管理级当前是否拥有该类操作的权限。管理级操作权限可以在管理级之间转移。如用户处于不同管理级，其互斥机制参照管理层级操作互斥。对于同管理级的情况，系统提供了会话级的操作互斥，也就是说在同一个管理层级中，同一个操作面板只允许在一个会话中打开。系统允许同一用户在多个会话中登录，这种方式虽然极大地方便了管理，但是也破坏了用户操作互斥，会话级互斥完美地解决了这一问题。

2.3 操作权转移

综合监控系统采用两级调度三级控制机制，根据操作互斥原则，任一类操作权同一时刻不能为多层同时拥有，但是考虑到一些特殊情况，操作权须能够在各层之间转移。从管理级别上看，远方操作又可分为中心级与车站级；从操作方式上看，操作权可分为远方与就地。

2.3.1 中心级与车站级

在中心级控制方式下，车站级不能对设备进行控制。若车站级需对设备进行控制，须等待中心级将控制权下放到车站级；此时，中心级失去控制权。中心级将控制权下放到车站级后，中心级不能主动收回控制权，须等待车站级将控制权交回后，中心级才能重新获得控制权。中心和车站之间的权限移交，必须由双方确认。中心级与车站级权限转移有两种方式。

(1)手动请求转移：在综合监控系统正常运行的时候，由权限原所在地向目标所在地发起权限移交命令，由目标所在地确认。正常情况下的转移采用手动请求转移的方式，当车站操作员转移控制权限到控制中心时，系统可以根据“指挥权”所在地自动决定转移可以到哪个地点。操作员触发“转移权限”按钮时，系统自动向操作权目的地转移权限。当在具有权限的地点发出转移的请求时，接受地点的HMI上会产生提示性的报警信息。此报警经操作员确认后自动从报警列表中消失，然后点击“权限转移”按钮打开相应的画面，接受权限。如果操作员没有先确认报警，但是在超时时间内接受了权限，转移过程结束后，此提示性报警也会自动消失。

(2)强制转移：在综合监控系统运行正常和异常的时候使用，不需要对方确定，但在管理上需要电话人工确认。强制转移在源所在地和目标所在地都可以发起。原则上，车站不可以强取权限，如果在通讯中断时，IBP可以完成主要的通风设备控制，则可以取消车站的强制收回功能。ISCS的权限在控制中心与后备控制室之间可以互相“强制收回”权限，以便在紧急情况下(如控制中心的工作站全部断电等)调度员可以临时从后备控制室进行权限管理。在车站与控制中心的通讯中断等情况时，如果权限在控制中心，车站的ISCS操作员需强制收回权限以便临时管理本站的BAS设备，所以在这种情况下，系统为操作员特别配置了一个特殊的用户类，当上述事故发生时，操作员可以切换至此特殊的用户类，且可将权限“强制收回”到车站。

2.3.2 就地控制和远方控制

现场设备就地控制与远方控制通过硬件设备设置控制标志，实现控制权互斥。如电力监控系统在牵引降压混合变电所的控制信号盘面板上设两个(上、下行接触轨电动隔离开关各设一个)带锁的当地/远方转换开关，当开关处于“就地”位置时，由变电所本地控制；当开关处于“远方”位置时，由ISCS的控制中心电调调度员或车站变电所值班员控制。装置屏柜上具有远方/就地控制把手，实现装置的控制闭锁。该信号可采集到ISCS系统作为控制闭锁的条件使用，从而达到安全控制的目的[3]。

3 结语

本文详细介绍了综合监控系统的基于权限控制策略的用户管理方案，用户管理和权限管理在地铁各大控制系统中扮演着极其重要的角色，是设备控制和故障查询定位的重要依据。