卡斯柯信號(hào)有限公司 黃曉帆 孫博龍 陳景柱

自動(dòng)列車(chē)監(jiān)控系統(tǒng)（ATS，Automatic Train Supervision）是城市軌道交通信號(hào)系統(tǒng)五個(gè)子系統(tǒng)中重要組成部分，行車(chē)調(diào)度員通過(guò)ATS人機(jī)界面實(shí)時(shí)對(duì)列車(chē)運(yùn)行進(jìn)行監(jiān)控，了解列車(chē)運(yùn)行狀態(tài)，為軌道交通運(yùn)營(yíng)維護(hù)等提供信息。

ATS中有很多控制和顯示功能會(huì)影響列車(chē)運(yùn)行安全和維護(hù)人員/乘客生命安全，比如信號(hào)機(jī)解除封鎖，信號(hào)機(jī)封鎖功能。對(duì)于影響安全的功能，識(shí)別其危害，設(shè)計(jì)合理方案減少系統(tǒng)性失效顯得尤為重要。

1 ATS安全功能的FMEA分析

故障模式影響及危害分析（FMEA，F(xiàn)ailure Mode，Effects Analysis）是一種以故障模式為基礎(chǔ)，以故障影響或后果為目標(biāo)的分析技術(shù)廣泛應(yīng)用于軌道交通領(lǐng)域系統(tǒng)設(shè)計(jì)過(guò)程中。

對(duì)信號(hào)機(jī)解除封鎖功能和信號(hào)機(jī)封鎖功能的FMEA分析如表1所示。

表1 信號(hào)機(jī)解除封鎖功能和封鎖功能FMEA分析

由FMEA分析可知，兩個(gè)功能雖然都有危害，但產(chǎn)生危害的原因卻不同：

對(duì)于信號(hào)機(jī)解除封鎖功能，產(chǎn)生危害的原因有兩種：一種是操作員操作錯(cuò)誤，比如操作員輸入錯(cuò)誤的信號(hào)機(jī)名稱(chēng)，導(dǎo)致錯(cuò)誤的信號(hào)機(jī)被解除封鎖，封鎖區(qū)域可能有維護(hù)人員，造成人身傷害。另一種是人機(jī)界面顯示錯(cuò)誤，比如信號(hào)機(jī)解除封鎖已經(jīng)成功，而人機(jī)界面顯示此功能未執(zhí)行成功，導(dǎo)致列車(chē)駛?cè)胄盘?hào)機(jī)后方影響人員安全。

對(duì)于信號(hào)機(jī)封鎖功能，只有人機(jī)界面錯(cuò)誤顯示才會(huì)導(dǎo)致維護(hù)人員的安全受到影響。而操作員錯(cuò)誤的操作命令，比如選錯(cuò)信號(hào)機(jī)，并不會(huì)導(dǎo)致危害。

從產(chǎn)生危害的原因角度將ATS安全功能分為兩類(lèi)：一類(lèi)是操作員的操作和人機(jī)界面顯示均會(huì)影響安全。另一類(lèi)是僅人機(jī)界面顯示錯(cuò)誤會(huì)影響安全。

2 ATS安全功能的設(shè)計(jì)

2.1 二次確認(rèn)操作加安全顯示

對(duì)于上文提到的第一類(lèi)操作，如何避免操作員人為操作失誤，減少操作員系統(tǒng)性失效，是安全必須考慮的問(wèn)題。

二次確認(rèn)操作加安全顯示的設(shè)計(jì)方案如圖1（左）所示：

圖1 （左）兩次確認(rèn)操作加安全顯示的設(shè)計(jì) （右）一次確認(rèn)操作加安全顯示的設(shè)計(jì)

（1）操作員在ATS上進(jìn)行第一次操作輸入。

（2）ATS發(fā)送一次請(qǐng)求命令給CBI，等待CBI在規(guī)定時(shí)間內(nèi)一次回復(fù)相應(yīng)的確認(rèn)信息給ATS，否則認(rèn)為操作失敗。

（3）ATS請(qǐng)求操作員進(jìn)行二次操作輸入，發(fā)送二次請(qǐng)求命令給CBI。ATS必須在收到CBI一次回復(fù)確認(rèn)信息后的規(guī)定時(shí)間內(nèi)發(fā)送二次請(qǐng)求命令，否則CBI不接收二次請(qǐng)求。

（4）CBI收到二次請(qǐng)求命令后執(zhí)行相應(yīng)的操作并在規(guī)定時(shí)間內(nèi)二次回復(fù)相應(yīng)的操作結(jié)果給ATS，否則認(rèn)為操作失敗。

（5）ATS收到CBI回復(fù)的執(zhí)行結(jié)果進(jìn)行顯示。為了防止顯示錯(cuò)誤，ATS的顯示分為兩部分：一是收到CBI返回的執(zhí)行結(jié)果進(jìn)行碼位校驗(yàn)，若校驗(yàn)成功，在操作窗口顯示命令執(zhí)行成功的結(jié)果確認(rèn)報(bào)告，若校驗(yàn)失敗，提示命令執(zhí)行失敗的結(jié)果確認(rèn)報(bào)告。二是用圖形或者顏色區(qū)別顯示同一設(shè)備的不同狀態(tài)。

（6）操作員確認(rèn)操作命令操作成功的判斷條件為：ATS上操作窗口顯示命令成功執(zhí)行的結(jié)果確認(rèn)報(bào)告，且ATS界面正確顯示了預(yù)期操作設(shè)備的期望狀態(tài)。

2.2 一次操作加安全顯示

對(duì)于上文提到的第二類(lèi)操作，錯(cuò)誤的輸入并不會(huì)導(dǎo)致危害，所以?xún)H需防范顯示錯(cuò)誤。

一次操作加安全顯示的設(shè)計(jì)方案如圖1（右）所示：

（1）操作員在ATS上進(jìn)行操作輸入。

（2）ATS發(fā)送請(qǐng)求命令給CBI。

（3）CBI收到請(qǐng)求命令后執(zhí)行相應(yīng)的操作并在規(guī)定時(shí)間內(nèi)回復(fù)相應(yīng)的操作結(jié)果給ATS，否則認(rèn)為操作失敗。

（4）ATS收到CBI回復(fù)的執(zhí)行結(jié)果進(jìn)行顯示。為了防止顯示操作，ATS的顯示分為兩部分：一是收到CBI返回的執(zhí)行結(jié)果進(jìn)行碼位校驗(yàn)，若校驗(yàn)成功，在操作窗口顯示命令執(zhí)行成功的結(jié)果確認(rèn)報(bào)告，若校驗(yàn)失敗，提示命令執(zhí)行失敗的結(jié)果確認(rèn)報(bào)告。二是用圖形或者顏色區(qū)別顯示同一設(shè)備的不同狀態(tài)。

（5）操作員確認(rèn)操作命令操作成功的判斷條件為：ATS上操作窗口顯示命令成功執(zhí)行的結(jié)果確認(rèn)報(bào)告，且ATS界面正確顯示了預(yù)期操作設(shè)備的期望狀態(tài)。

總結(jié)：本文將影響安全的ATS操作和顯示功能分為一次操作和二次操作兩類(lèi)，不但滿(mǎn)足了日常運(yùn)營(yíng)中操作員對(duì)操作的實(shí)時(shí)性和便利性的要求，還滿(mǎn)足了防范操作員操作錯(cuò)誤及人機(jī)界面顯示錯(cuò)誤的安全防護(hù)的要求，解決了安全性和可用性之間的矛盾，對(duì)城市軌道交通信號(hào)系統(tǒng)ATS子系統(tǒng)人機(jī)交互操作設(shè)計(jì)有非常積極的作用。