陈景柱

（卡斯柯信号有限公司，上海 200071）

列车自动监控系统作为地铁信号控制系统的重要组成部分之一，与计算机联锁(CBI)、自动列车控制(ATC) 系统配合工作，实现信号设备的集中监控，控制列车按计划在正线及车辆段/停车场自动运行，并向调度员和外部系统(PIS/FAS/ISCS)提供信息。在基于通信的列车自动控制(CBTC)系统中，ATS 系统被定义为SIL2（安全完整性等级）[1]，其可靠性和安全性对整个CBTC 系统至关重要。

ATS 的安全控制过程采用HILC(High Integrity Level Control)操作控制流程。调度员需要执行一次请求和二次确认两个过程操作，执行结果需要调度员确认。安全控制过程的风险是安全操作施加到错误的设备对象，但未通知调度员或者安全操作执行失败，但却通知调度员执行成功。ATS安全控制过程安全风险存在于通信协议、共因失效和人机交互流程3 个方面。

1 安全通信接口分析与设计

ATS 的安全控制交互对象外部是CBI 系统和ATC(ZC/LC/VOBC)系统，内部是调度员与调度工作站、HILC1（请求准备）和HILC2(二次确认)系统之间的人机接口，如图1 所示。无论是ATS发出的控制命令消息，还是从ATC/CBI 接收的反馈消息都需要采用安全通信协议进行防护。根据EN50126[2]和EN50159[3]要求，应用于SIL2 等级的安全控制接口存在以下风险。

无传输数据:由于系统或硬件连接故障导致接口数据丢失；数据丢失时安全控制过程必须结束。

过期数据:由于系统或硬件设备故障导致数据未在有效时间范围内发送或接收；控制命令交互过程必须考虑实时性、有效性要求，不能使用延时、过期、错序数据。

图1 安全控制接口交互对象Fig.1 Interactive objects of safety control interface

接口数据失效：数据传输过程中由于干扰或串扰导致部分帧或数据内容损坏，发送和接收方需要做编码保护和验证。

1.1 外部接口设计

基于接口风险分析结果设计ATS 与ATC/CBI的安全控制接口，分为4 个阶段，具体流程如图2所示。

1) 用户操作发送HILC_Request 消息，ΔT1超时时间内等待ATC/CBI 反馈SRHour 消息，如果超时没有收到反馈则结束此次操作；消息格式包含<消息ID><消息长度><设备ID><操作命令ID>,其中ATS 时间戳用于判断是否过期数据以及后续消息是否为此消息的请求反馈，CRC1 和CRC2 分别采用不同的CRC 多项式计算。

2) ATC/CBI 反馈SRHour 消息，消息格式包含<消息ID><消息长度><设备ID><操作命令ID>；ATS 需要校验各接口参数的有效性。

3) ATS 发 送 二 次 确 认HILC_Confirm 命令；并在ΔT2 超时时间内等待ATC/CBI 反馈ReturnCode 消息，如果超时则结束此次操作；消息格式包含<消息ID><消息长度><设备ID><操作命令ID> ,其中 ATC/CBI 随机数为SRHour 消息中的ATC/CBI 随机数。

4) ATC/CBI 反馈ReturnCode 消息，消息格式包含<消息ID><消息长度><设备ID><操作命令ID><操作结果><设备状态> ；ATS 需要校验各接口参数的有效性。

图2 安全控制接口交互流程Fig.2 Interactive process of safety control interface

1.2 人机接口设计

人机接口是指界面显示及操作输入与安全相关系统之间的接口。人机接口主要失效模式包括人机接口输入数据错误、显示错误；产生原因是人员操作错误、传输错误、数据损坏等[4]。安全控制命令人机接口采用以下解决方法: 用户输入使用选择方式代替输入方式，数据配置设置校核字增加安全防护措施，界面显示采用冗余显示和确认过程。

2 HILC关键技术设计

HILC 的设计通过多样性、状态机转换和操作结果显示校验等设计方法能够有效降低发送控制命令时的人因错误，而且引入了校验和确认机制来提高整个系统的健壮性。

2.1 多样性分析与设计

共因失效（Common Cause Failure，CCF），是指由一个单点故障造成整个单元或与之相关的系统同时失效，是影响系统可靠性的关键因素。形成共因失效的原因是由于节点或系统之间存在互依关联和耦合因素。ATS 安全控制需要解决由于数据和运行库两个因素引入的共因失效。

安全控制过程采用多样性设计方法以降低共因失效。

1) 请求准备和二次确认采用相互独立的进程，即HILC1 实现调度员第一次请求操作，HILC2 实现二次确认和结果显示功能；有效降低随机性和系统性故障。

2) HILC1 和HILC2 采用不同的编码语言、开发环境和编译器；有效减轻COTS 库和编译器造成的系统故障。

3) 为保证配置数据的正确性，设计双链安全数据工具。由不同的设计师采用不同的编码语言分别在Windows 和Linux 上独立开发。两链生成的数据使用两个比较工具进行比较，比较结果一致后才能够使用。

4) HILC1 加载一链数据，HILC2 加载二链数据，一链数据和二链数据在数据结构、编码格式、冗余校核等方面均采用差异化设计。

5) 调度员请求准备过程和确认过程需要分别输入或选择控制命令和设备，且控制命令和设备名称最大化差异性显示。

2.2 状态机转换过程

在接收和处理接口消息时需要预防以下情况：

1) 正在操作过程中收到非预期消息；

2) 操作有效时间内未收到预期有效消息；

3) 操作结束、提前或者超时后收到消息。

针对以上情况设计安全控制消息处理校验流程如图3 所示：

1) HILC1 仅在准备状态即没有其他HILC 操作的过程中接收安全控制命令，否则该消息无效；

2) HILC1 仅在调度员点击确认按钮后发送HILC_Request 消息，且在发送该消息后超时时间内接收SRHour 消息；

3) HILC1 仅在校验SRHour 有效后发送HILC1_TO_HILC2 消息；

4) HILC2 仅在等待状态即没有其他操作过程中接收HILC1_TO_HILC2 消息，否则该消息无效；

5) HILC2 仅在调度员点击确认按钮后发送HILC_Confirm 消息，且在发送该消息后超时时间内接收ReturnCode 消息，否则该消息无效。

2.3 操作结果显示

安全控制命令的操作结果显示直接影响了系统的安全性和调度员对操作结果的判断，显示操作结果的正确性是人机界面接口的关键[5]。

预定义一个256 个元素的字符串数组ResultCode[256]， 数值每个变量初始化为0xbb，根据图4 所示，对列出的索引下标重 新 赋 值， 例 如ResultCode[0x59]=“ 执”，ResultCode[0x6D]=“操”；预定义操作结果成功常量TRetCode=0x1D081FA6,操作结果失败常量FRetCode=0x6D7FA3F3; 对接口反馈的操作结果在本地采用双模块进行编码计算，双模块采用不同开发环境和编译器生成。将双模块处理的操作结果合并进行CRC 运算，操作正确的CRC 计算结果为TRetCode，对应的操作字符串应等于“执行成功”；操作失败的CRC 计算结果为FRetCode，对应的操作字符串应等于“操作失败”；如果等于其他值，说明逻辑计算显示结果错误，反应到界面上则是带有bb 的无效字符。

图3 HILC控制命令状态图Fig.3 State diagram of HILC control command

3 HILC设计在无人驾驶中的应用

城市轨道交通全自动无人驾驶系统是一种代替司机行使列车控制和驾驶功能的信号系统，关键技术主要包括列车控制技术、监测系统联动技术、故障管理技术及乘客监督和管理技术等。其中乘客监督和管理技术包括乘客紧急手柄、紧急呼叫、逃生门控制等功能[6]。当乘客拉下紧急手柄后，由于没有司机，中心调度需要与乘客通话确认后，是否需要操作紧急停车或在下一站停车后扣车；当列车运行在隧道区间时发生火灾或其他故障，需要远程开紧急逃生门时，需要中心调度通过安全控制操作打开逃生门组织乘客紧急疏散。

图4 操作结果校核字Fig.4 Checking words of operating results

为确保中心调度员准确下达控制命令到指定的列车，预防发送错误指令到其他列车，采用HILC的方式下达安全控制指令。以打开紧急逃生门为例进行说明操作过程。

1) 调度员在工作站站场图选择指定列车,右键弹出操作菜单，选择“远程开紧急逃生门”功能，如图5 所示。

图5 工作站菜单操作Fig.5 Menu operation of the workstation

2）弹出HILC1 请求准备对话框, 自动填充控制命令远程开紧急逃生门和操作设备列车1，如图6 所示，调度员确认对话框标题是否为控制命令，操作设备是否为预期操作设备名称；确认无误后，点击确认按钮发送请求打开紧急逃生门命令。

3）收到车载VOBC 反馈后自动关闭HILC1 对话框，弹出确认对话框，如图7 所示,调度员在超时时间内从5 个干扰项中选择控制命令和操作设备，所选的控制命令和设备在状态栏中以二链名称显示，调度员确认回显是否正确；如果正确，点击确认按钮，发送二次确认命令。反之，点击取消按钮结束操作。

图6 HILC1操作Fig.6 HILC1 operation

图7 HILC2操作Fig.7 HILC2 operation

4) 当VOBC 反馈消息后，弹出操作结果对话框，提示执行成功或操作失败，确认和取消按钮变为关闭按钮，调度员需要确认显示结果正确，如图8 所示。

图8 HILC操作结果Fig.8 HILC operating results

5) 关闭确认和结果对话框。

当中心调度员操作结束确认逃生门打开成功后，通知相关维保人员组织乘客在逃生区疏散，完成乘客救援任务。

4 结束语

随着城市地铁建设中无人驾驶和互联互通项目的增多，用户对ATS 系统的安全性提出了更高要求，本文对ATS 系统中安全控制的技术和方法进行分析和设计，不仅满足ATS 的SIL2 安全等级的要求，也提高了ATS 系统的安全性和可靠性。以上探讨的自动列车监控系统中安全控制关键技术和原理通过欧标第三方安全认证机构的安全评估，并在多个城市的地铁信号控制系统中得到了应用。