卡斯柯信号有限公司 黄晓帆 孙博龙 陈景柱

自动列车监控系统（ATS，Automatic Train Supervision）是城市轨道交通信号系统五个子系统中重要组成部分，行车调度员通过ATS人机界面实时对列车运行进行监控，了解列车运行状态，为轨道交通运营维护等提供信息。

ATS中有很多控制和显示功能会影响列车运行安全和维护人员/乘客生命安全，比如信号机解除封锁，信号机封锁功能。对于影响安全的功能，识别其危害，设计合理方案减少系统性失效显得尤为重要。

1 ATS安全功能的FMEA分析

故障模式影响及危害分析（FMEA，Failure Mode，Effects Analysis）是一种以故障模式为基础，以故障影响或后果为目标的分析技术广泛应用于轨道交通领域系统设计过程中。

对信号机解除封锁功能和信号机封锁功能的FMEA分析如表1所示。

表1 信号机解除封锁功能和封锁功能FMEA分析

由FMEA分析可知，两个功能虽然都有危害，但产生危害的原因却不同：

对于信号机解除封锁功能，产生危害的原因有两种：一种是操作员操作错误，比如操作员输入错误的信号机名称，导致错误的信号机被解除封锁，封锁区域可能有维护人员，造成人身伤害。另一种是人机界面显示错误，比如信号机解除封锁已经成功，而人机界面显示此功能未执行成功，导致列车驶入信号机后方影响人员安全。

对于信号机封锁功能，只有人机界面错误显示才会导致维护人员的安全受到影响。而操作员错误的操作命令，比如选错信号机，并不会导致危害。

从产生危害的原因角度将ATS安全功能分为两类：一类是操作员的操作和人机界面显示均会影响安全。另一类是仅人机界面显示错误会影响安全。

2 ATS安全功能的设计

2.1 二次确认操作加安全显示

对于上文提到的第一类操作，如何避免操作员人为操作失误，减少操作员系统性失效，是安全必须考虑的问题。

二次确认操作加安全显示的设计方案如图1（左）所示：

图1 （左）两次确认操作加安全显示的设计 （右）一次确认操作加安全显示的设计

（1）操作员在ATS上进行第一次操作输入。

（2）ATS发送一次请求命令给CBI，等待CBI在规定时间内一次回复相应的确认信息给ATS，否则认为操作失败。

（3）ATS请求操作员进行二次操作输入，发送二次请求命令给CBI。ATS必须在收到CBI一次回复确认信息后的规定时间内发送二次请求命令，否则CBI不接收二次请求。

（4）CBI收到二次请求命令后执行相应的操作并在规定时间内二次回复相应的操作结果给ATS，否则认为操作失败。

（5）ATS收到CBI回复的执行结果进行显示。为了防止显示错误，ATS的显示分为两部分：一是收到CBI返回的执行结果进行码位校验，若校验成功，在操作窗口显示命令执行成功的结果确认报告，若校验失败，提示命令执行失败的结果确认报告。二是用图形或者颜色区别显示同一设备的不同状态。

（6）操作员确认操作命令操作成功的判断条件为：ATS上操作窗口显示命令成功执行的结果确认报告，且ATS界面正确显示了预期操作设备的期望状态。

2.2 一次操作加安全显示

对于上文提到的第二类操作，错误的输入并不会导致危害，所以仅需防范显示错误。

一次操作加安全显示的设计方案如图1（右）所示：

（1）操作员在ATS上进行操作输入。

（2）ATS发送请求命令给CBI。

（3）CBI收到请求命令后执行相应的操作并在规定时间内回复相应的操作结果给ATS，否则认为操作失败。

（4）ATS收到CBI回复的执行结果进行显示。为了防止显示操作，ATS的显示分为两部分：一是收到CBI返回的执行结果进行码位校验，若校验成功，在操作窗口显示命令执行成功的结果确认报告，若校验失败，提示命令执行失败的结果确认报告。二是用图形或者颜色区别显示同一设备的不同状态。

（5）操作员确认操作命令操作成功的判断条件为：ATS上操作窗口显示命令成功执行的结果确认报告，且ATS界面正确显示了预期操作设备的期望状态。

总结：本文将影响安全的ATS操作和显示功能分为一次操作和二次操作两类，不但满足了日常运营中操作员对操作的实时性和便利性的要求，还满足了防范操作员操作错误及人机界面显示错误的安全防护的要求，解决了安全性和可用性之间的矛盾，对城市轨道交通信号系统ATS子系统人机交互操作设计有非常积极的作用。