卡斯柯信號有限公司 黃曉帆 孫博龍 陳景柱

自動列車監(jiān)控系統(tǒng)（ATS，Automatic Train Supervision）是城市軌道交通信號系統(tǒng)五個子系統(tǒng)中重要組成部分，行車調度員通過ATS人機界面實時對列車運行進行監(jiān)控，了解列車運行狀態(tài)，為軌道交通運營維護等提供信息。

ATS中有很多控制和顯示功能會影響列車運行安全和維護人員/乘客生命安全，比如信號機解除封鎖，信號機封鎖功能。對于影響安全的功能，識別其危害，設計合理方案減少系統(tǒng)性失效顯得尤為重要。

1 ATS安全功能的FMEA分析

故障模式影響及危害分析（FMEA，Failure Mode，Effects Analysis）是一種以故障模式為基礎，以故障影響或后果為目標的分析技術廣泛應用于軌道交通領域系統(tǒng)設計過程中。

對信號機解除封鎖功能和信號機封鎖功能的FMEA分析如表1所示。

表1 信號機解除封鎖功能和封鎖功能FMEA分析

由FMEA分析可知，兩個功能雖然都有危害，但產生危害的原因卻不同：

對于信號機解除封鎖功能，產生危害的原因有兩種：一種是操作員操作錯誤，比如操作員輸入錯誤的信號機名稱，導致錯誤的信號機被解除封鎖，封鎖區(qū)域可能有維護人員，造成人身傷害。另一種是人機界面顯示錯誤，比如信號機解除封鎖已經成功，而人機界面顯示此功能未執(zhí)行成功，導致列車駛入信號機后方影響人員安全。

對于信號機封鎖功能，只有人機界面錯誤顯示才會導致維護人員的安全受到影響。而操作員錯誤的操作命令，比如選錯信號機，并不會導致危害。

從產生危害的原因角度將ATS安全功能分為兩類：一類是操作員的操作和人機界面顯示均會影響安全。另一類是僅人機界面顯示錯誤會影響安全。

2 ATS安全功能的設計

2.1 二次確認操作加安全顯示

對于上文提到的第一類操作，如何避免操作員人為操作失誤，減少操作員系統(tǒng)性失效，是安全必須考慮的問題。

二次確認操作加安全顯示的設計方案如圖1（左）所示：

圖1 （左）兩次確認操作加安全顯示的設計 （右）一次確認操作加安全顯示的設計

（1）操作員在ATS上進行第一次操作輸入。

（2）ATS發(fā)送一次請求命令給CBI，等待CBI在規(guī)定時間內一次回復相應的確認信息給ATS，否則認為操作失敗。

（3）ATS請求操作員進行二次操作輸入，發(fā)送二次請求命令給CBI。ATS必須在收到CBI一次回復確認信息后的規(guī)定時間內發(fā)送二次請求命令，否則CBI不接收二次請求。

（4）CBI收到二次請求命令后執(zhí)行相應的操作并在規(guī)定時間內二次回復相應的操作結果給ATS，否則認為操作失敗。

（5）ATS收到CBI回復的執(zhí)行結果進行顯示。為了防止顯示錯誤，ATS的顯示分為兩部分：一是收到CBI返回的執(zhí)行結果進行碼位校驗，若校驗成功，在操作窗口顯示命令執(zhí)行成功的結果確認報告，若校驗失敗，提示命令執(zhí)行失敗的結果確認報告。二是用圖形或者顏色區(qū)別顯示同一設備的不同狀態(tài)。

（6）操作員確認操作命令操作成功的判斷條件為：ATS上操作窗口顯示命令成功執(zhí)行的結果確認報告，且ATS界面正確顯示了預期操作設備的期望狀態(tài)。

2.2 一次操作加安全顯示

對于上文提到的第二類操作，錯誤的輸入并不會導致危害，所以僅需防范顯示錯誤。

一次操作加安全顯示的設計方案如圖1（右）所示：

（1）操作員在ATS上進行操作輸入。

（2）ATS發(fā)送請求命令給CBI。

（3）CBI收到請求命令后執(zhí)行相應的操作并在規(guī)定時間內回復相應的操作結果給ATS，否則認為操作失敗。

（4）ATS收到CBI回復的執(zhí)行結果進行顯示。為了防止顯示操作，ATS的顯示分為兩部分：一是收到CBI返回的執(zhí)行結果進行碼位校驗，若校驗成功，在操作窗口顯示命令執(zhí)行成功的結果確認報告，若校驗失敗，提示命令執(zhí)行失敗的結果確認報告。二是用圖形或者顏色區(qū)別顯示同一設備的不同狀態(tài)。

（5）操作員確認操作命令操作成功的判斷條件為：ATS上操作窗口顯示命令成功執(zhí)行的結果確認報告，且ATS界面正確顯示了預期操作設備的期望狀態(tài)。

總結：本文將影響安全的ATS操作和顯示功能分為一次操作和二次操作兩類，不但滿足了日常運營中操作員對操作的實時性和便利性的要求，還滿足了防范操作員操作錯誤及人機界面顯示錯誤的安全防護的要求，解決了安全性和可用性之間的矛盾，對城市軌道交通信號系統(tǒng)ATS子系統(tǒng)人機交互操作設計有非常積極的作用。