中国民用航空华北地区空中交通管理局 葛晓雪
空管自动化系统是管制使用的重要系统,主备同步是实现自动化主备用系统之间数据双向实时交互的重要手段。本文通过THALES系统在主备同步过程中产生两份FDR的案例来对主备同步机制进行研究,通过日志的分析找到系统出现两份FDR的具体原因,并且提出对此类问题的改进建议和解决方案。
空管自动化系统是现阶段空中交通管制指挥的主要手段,随着民航业的高速发展和空中流量不断激增,自动化系统能够高效稳定地运行,在民航安全保障中具有举足轻重的作用[1]。目前在北京地区使用的主用系统为THALES系统,备用系统为28所莱斯系统,民航局要求要加快推进备份自动化系统常态化使用,增加繁忙时段的使用时间。如果无法完成主备系统间报文的同步更新,当管制从备用系统切回主用时,很多信息都要比对修改,增大了管制员的工作量,所以主备自动化系统之间数据的同步是至关重要的。
空管自动化主备系统之前的双向实时数据交互包括基础数据信息、飞行计划信息和航迹信息等,以保持两系统间在飞行态势显示和人机交互信息的统一性。实时数据交互能够实现主备自动化系统之间的无缝切换、平稳过渡和等效互用。民航局颁发了空管自动化系统数据交换标准-MH/T4029.3,该标准定义了自动化系统的数据交互规则、报文类型、数据格式、传输要求等[2]。目前国内大部分空管自动化系统已基本实现数据交换标准I类和B类信息的同步,在管制使用主用自动化系统时,接收飞行数据报文并处理,同时向备份系统发送基础飞行数据(I类报)和自动化系统数据(B类报),备份系统接收这两类数据报,处理报文后更新系统数据,实现与主用系统的同步。反之,在备份系统作为主用时,由备份系统向主用系统同步数据[3]。
中国民航行业标准MH/T4029.3的全称为:民用航空空中交通管制自动化系统—第3部分:飞行数据交换[4]。用于主备同步的报文主要分为三类:基础飞行数据交换、主备自动化系统数据交换、管制单位间飞行数据交换。飞行计划需进行实时同步,数据包括航班动态、日期时间、起飞落地机场、位置和高度、航路数据等。在主备同步中,主系统对外发送基础飞行数据交换报文,报文类型均以字母“I”开始,包括飞行计划数据报 (IFPL),飞行计划删除数据报 (IDEL),飞行计划取消数据报 (ICNL);当主系统在运行时,相应会产生人机交互信息,此类人工干预会影响最终的飞行动态。在主备同步中,主用系统对外发送主备空管自动化系统数据交换报文,报文类型以字母“B”开始,包括席位扇区分配信息(BSEC)、机场跑道状态信息(BRWY)、限制性空域状态信息(BRTA)、席位设置信息(BCWP)、二次代码分配回收信息(BSSR);管制单位间飞行数据交换中报文类型均以字母“C”开始,例如CFPL、CLAM 等[5]。
1.2.1 链路介绍
THALES自动化系统中IFPL报、BRWY报和BESC报由FDP服务器处理,BCWP报由各席位节点中的MMI模块处理,BRTA报由SNMAP节点的SNM模块处理,各分区之间的信息交互通过CDP服务器实现,如图1所示。莱斯系统DCP服务器负责接收和发送同步报文,BCWP报文同样由各席位处理,其他报文由FDP服务器处理。
图1 THALES系统主备同步接口Fig.1 THALES system active and standby synchronization interface
主备同步链路分为两条,如图2所示,第一条链路中同步报文从THALES系统FDP服务器经FDP子网交换机连接至主备同步路由器,再通过防火墙引接至莱斯系统DCP服务器再进入到FDP服务器。第二条链路为THALES席位经OPS网交换机,由主备同步路由器和防火墙后引接至莱斯DCP服务器和莱斯席位。除了BCWP报文通过第二条链路传输,其他报文均通过第一条链路传输。
图2 系统间主备同步链路Fig.2 Active-standby synchronization link between systems
1.2.2 链路配置
主备同步报文采用组播方式发送,通过XML格式进行传输,在传输中约定好发送和接收地址,使得接收方接口能够获取信息,并对有效信息进行提取和组装,更新相关数据,实现主备数据统一。THALES系统定义了各类报文发送的组播地址,如表1所示,包含区管,终端和大兴分区。
表1 分区各类报文发送的组播地址Tab.1 Multicast addresses of all kinds of messages sent by partitions
在THALES系统中登录beerdbm0lis节点,进入/opt/ref/sysref/SYS_V9.19.6/Build
_conf/config目录下对各分区的组播地址进行配置,区管分区的配置文件为beer_SJI.conf文件,具体组播地址配置内容如图3所示;终端分区的配置文件为betm_SJI.conf文件,具体组播地址配置内容如图4所示;大兴分区的配置文件为dxrt_SJI.conf文件,具体组播地址配置内容如图5所示。
图3 区管分区组播地址配置文件Fig.3 District management partition multicast address configuration file
图4 终端分区组播地址配置文件Fig.4 Terminal partition multicast address configuration file
图5 大兴分区组播地址配置文件Fig. 5 Daxing partition multicast address configuration file
2021年5月9日07∶25,塔台放行席管制员在检查CNM1237飞行计划时,发现THALES自动化系统Announced窗口中出现两份相同的飞行计划(FDR)。塔台随即通报相关部门,协助进行检查和处置;09∶09,CNM1237在正常起飞。
日志内容如下,5月7日20∶30(UTC时间,以下所有时间均为UTC时间)THALES系统为备用状态,系统收到FPL并生成FDR:
由于航班延误至5月8日2∶53,系统收到DLA报文:
(DLA-CNM1237-ZBAA0230-ZBYC-DOF/210507)
系统正常处理DLA报,根据DLA信息变更FDR的EOBT时间,由23∶30变为02∶30,变更DOF日期(即EOBD),由5月7日变为5月8日。
5月8日04∶30管制员在在莱斯系统上协调CNM1237,THALES系统(备用状态)在接收莱斯系统(主用状态)同步信息时,莱斯系统同步信息的EOBD未更新为2021/5/8,仍然为2021/5/7,致使THALES系统在进行FDR一致性检查时,由于两个系统内的EOBD信息不一致,导致后续针对该FDR的主备同步失效:
计划5月7日起飞的CNM1237实际于5月8日04∶40起飞,由于莱斯的主备同步信息未能成功同步CNM1237的状态,导致延误到5月8日的计划CNM1237一直存在泰雷兹自动化系统中(备用状态)。5月8日20∶35泰雷兹系统收到FPL,并生成FDR,此时系统中存有两个FDR。5月9日(北京时间)切换回泰雷兹自动化系统使用后,管制员在PREACTIVE窗口中发现两个CNM1237的FDR。
THALES系统在CNM1237延误后正常处理DLA报,根据DLA信息变更FDR的EOBD时间,由原来的2021/5/7变为2021/5/8。但莱斯自动化系统未根据DLA报更新跨日航班18编组DOF日期,导致莱斯系统同步信息的EOBD未更新为2021/5/8,致使THALES系统在进行FDR一致性检查时,两个系统内的EOBD信息不一致,导致后续针对该FDR的主备同步失效,从而延误到5月8日的计划CNM1237一直存在泰雷兹自动化系统中,5月8日THALES系统收到新的CNM1237航班的FPL后生成新的FDR,此时在系统中存在两份相同的飞行计划。
经技术人员配合莱斯厂家调查研究,此次事件由于28所莱斯备份自动化系统中软件BUG造成不更新DOF日期,导致主备自动化系统信息同步不成功。后技术人员建立PCR1264,在测试平台验证其稳定性,后续在系统停机时更新P5版本,修复此问题。
本文通过对自动化系统主备同步机制的研究和对日志的分析,找出了THALES系统在主备同步过程中产生两份FDR的原因,避免了此类问题对管制指挥造成影响。主备自动化系统数据同步功能的实现,有效缓解了以往主备切换中关键数据不同步的情况,系统间差异也越来越小,使切换操作可以实现无缝衔接,突破了备份系统常态化运行的障碍,莱斯自动化系统也可以发挥更大的作用和价值。