综合监控系统主备控制中心切换功能分析

孟娜娜，王志心，严海鑫

(国电南京自动化股份有限公司，江苏 南京 211100)

0 引言

近年来，城市轨道交通行业发展迅猛，国内外各大城市陆续建设城市地铁。地铁已是许多大中型城市不可缺少的交通工具。因此，地铁对轨道的安全、高效提出了更高的要求[1]。城市轨道交通系统专业性强、技术设备复杂、客流量大、时效性强，提高安全管理有效性和事故救援的难度均较大，所以相比于事故发生后的及时处理，更重要的是预防事故的发生[2]。当极端灾害发生时，综合监控系统控制中心有可能陷入瘫痪状态，导致综合监控系统无法正常完成监视控制工作，进而影响地铁的正常运行。为了避免这种灾害情况的发生，在综合监控系统设计时，采用主控制中心系统和备用控制中心系统切换的方法。当主控制中心正常时，由主控制中心负责监视和控制工作，当主控制中心故障时，由备控制中心接管，进而让整个监控系统的监控能力和可靠性得到进一步提升，不仅能保证轨道交通的可靠性和安全性，还能及时发现隐患并发出预警[3]。

1 主备中心切换场景及需求

综合监控中包括主控制中心、备控制中心、车站系统，各部分之间通过环网相连，采用分层、分布式系统结构[4]，网络中任一单一节点故障都不影响其余节点的正常运行[5]，如图1所示。正常情况下，综合监控系统进入正常工作模式，也就是综合监控系统的日常监控管理模式，控制中心监管全线各车站、各专业系统，策划站监管着各车站的子系统[6]。

图1 综合监控系统网络

综合监控系统的主备中心切换需要人工干预，系统本身不会自动切换运营模式。当系统内节点的状态出现异常时，系统通过声音、报警、弹窗等方式提示用户，用户根据具体的情况进行主备中心切换操作。用户对运营模式进行切换操作后，系统内所有机器同时切换运营模式。

主备中心切换需要考虑的因素包括：综合监控系统当前的运营模式、自身关键设备的工作状态、其他节点的工作状态。

若当前工作状态为主控制中心运行模式，当主控制中心核心设备故障、通信中断等情况发生时，系统会提示调度员是否切换运营模式。若此时备控制中心工作正常，则运用模式应切换至备控制中心，且需要备中心调度员进行确认，由备控制中心接管综合监控系统的全部业务。若此时备控制中心工作异常，系统会提示调度员应切换至车站运营模式[7]。

若当前工作状态为备控制中心运行模式，当主控制中心故障恢复时，主控制中心调度员向备中心提出切换请求，由备中心调度员确认后将运营模式切换为主控制中心运行模式。

在对运营模式切换申请、确认和取消操作时，综合监控系统应进行记录并保存，后续可通过日志查询工具进行查询。

2 运营模式切换方案设计

2.1 运营模式无须切换的场景

2.1.1 主中心运营模式场景

(1)主中心主备服务器均断电或故障。对于综合监控后台服务来说，主备中心的所有服务器角色对等，互为冗余且数据同步。若当前为主中心运营模式，主中心服务器均由于断电或故障导致后台服务功能失效，此时综合监控后台服务应由备中心接管，主中心工作站远程连接备中心服务器来实现数据的监视和控制功能[8]。

(2)备中心主备核心交换机均断电或故障。在这种情况下，主中心不受影响，所有的综合监控后台服务均由主中心承担，此时运营模式不需要切换。

(3)备中心故障恢复。备中心故障恢复后，不影响主中心的后台服务功能，此时不需要改变运营模式，只需要进行主备中心数据的同步。

2.1.2 若干车站从主干环网脱离

当综合监控系统主干环网发生故障时，会导致部分车站从主干环网脱离，车站自动变为车站本地监控状态，此时整个系统的运营模式不需要切换。当主干环网故障恢复后，车站应与整个系统的运营模式保持一致。

2.2 运营模式切换机制

综合监控系统会实时对系统内机器节点(服务器、工作站、交换机)的状态、网络通信状态、业务运行状态等进行监视，并在发生异常情况时，通过弹窗、声音、闪烁等方式及时提醒调度员进行处理。

2.2.1 切换原则

本方案采用的运营模式切换机制遵循两个原则：全局一致原则和分散自律原则。

(1)全局一致原则。综合监控系统的运营模式是针对整个系统定义的，系统运行时，整个系统内只有一种运营模式，所有节点(主控制中心、备控制中心、车站)的运营模式应保持一致。主、备控制中心可以申请切换运营模式，但需要当前运营模式下的控制权限管理角色(如调度员)或本站值班长进行确认，确认后整个系统的运营模式同时改变。例如：主控制中心可主动申请由主运营模式切换为备运营模式，待备用控制中心调度员确认后，整个系统的运营模式都切换为备运营模式。

(2)分散自律原则。该原则是针对车站级综合监控系统制定的。系统处于主(备)运营模式时，车站级综合监控系统与中央级综合监控系统共同完成车站运营管理，该状态为正常状态。当任何异常情况导致主(备)运营模式功能失效时，系统将自动引导车站进入车站本地监控状态。该过程中，车站ISCS会自动收回本站所有控制权限，但不改变整个系统的运营模式。待主(备)运营模式功能恢复时，相关车站退出本地监控状态，恢复正常状态，并由主(备)控制中心调度员协调相关车站移交控制权限。

2.2.2 处理过程

整个系统中主控制中心、备用控制中心、车站都可以获得整个系统当前的运营模式，并获得其他节点的通信状态、硬件工作状态等。

切换机制依赖的输入条件包括：整个系统当前的运营模式；其他节点(主、备控制中心、各车站)的工作状态；自身关键设备(主要是主备核心交换机、调度大厅主备交换机、调度员工作站，不包括实时服务器)的工作状态。

(1)主控制中心。当前为主运营模式时，若满足以下任一条件，主控制中心将提示调度员当前系统主运营模式功能已失效，并确认是否切换运营模式：

①自身与车站(或大多数车站，数目可配置)网络通信中断；②自身主备核心交换机同时故障；③自身工作站故障数目大于N(N可配置)。

当前，为非主运营模式时，若满足以下全部条件，系统将提示调度员可升级至主运营模式，调度员确认后，主控制中心将系统运营模式修改为主运营模式，并将同步至其他节点。

①自身与车站(或大多数车站，数目可配置)网络通信正常；②自身任一主备核心交换机正常；③自身工作站可用数目大于N(N可配置)。

(2)备用控制中心。当前为主运营模式时，若满足以下全部条件，系统将提示调度员切换至备运营模式，调度员确认后，备控制中心将系统切换为备运营模式，并同步至其他节点。

①无法检测到主控制中心服务器及工作站状态；②自身与车站(或大多数车站，数目可配置)网络通信正常；③自身任一主备核心交换机正常；④自身工作站可用数目大于N(N可配置)。

当前为备运营模式时，若满足以下任一条件，备控制中心将提示调度员当前系统备运营模式功能已失效，并确认是否切换运营模式。

①与车站(或大多数车站，数目可配置)网络通信中断；②自身主备核心交换机同时故障；③自身工作站故障数目大于N(N可配置)。

当前为车站运营模式时，若满足以下全部条件，系统将提示调度员可升级至备运营模式，调度员确认后，备用控制中心将运营模式修改为备运营模式，并同步至其他节点。

①与车站(或大多数车站，数目可配置)网络通信正常；②自身任一主备核心交换机正常；③自身工作站可用数目大于N(N可配置)。

(3)车站级。①当前为主运营模式：当无法检测到与主控制中心服务器及工作站状态时，车站综合监控系统将依据分散自律原则，自动进入车站本地监控状态，收回本站所有控制权限，但不改变整个系统的运营模式。②当前为备运营模式：当无法检测到与备用控制中心服务器及工作站状态时，车站综合监控系统将依据分散自律原则，自动进入车站本地监控状态，收回本站所有控制权限，但不改变整个系统的运营模式。

当前为车站运营模式：不做改变。

2.3 控制权限说明

综合监控系统的调度员具有监视权限和控制权限，监视和控制的对象包括中央级监控对象和车站级监控对象[9]。其中，中央级监控对象包括PSCADA、ATS等专业，这些专业在控制中心接入，车站级监控对象包括车站BAS、车站FAS、车站ACS等专业，这些专业在车站接入。在运营模式不同的情况下，需要依赖权限移交功能来确定设备的监视和控制权限如何分配[10]。

2.3.1 主中心运营模式

在主中心运营模式下，主中心调度员具有中央级和车站级对象的监视和控制权限，备中心调度员具有中央级和车站级对象的监视权限，但没有控制权限，车站调度员具有车站级对象的监视和控制权限，但没有中心级对象的监视和控制权限。主控制中心、车站不能同时具有车站级监控对象的控制权限[11]。

2.3.2 备中心运营模式

在备中心运营模式下，备中心调度员具有中央级和车站级对象的监视和控制权限，主中心调度员具有中央级和车站级对象的监视权限，但没有控制权限，车站调度员具有车站级对象的监视和控制权限，但没有中心级对象的监视和控制权限[12]。备控制中心、车站不能同时具有车站级监控对象的控制权限。

2.3.3 车站运营模式

在车站运营模式下，主中心和备中心调度员只具有对中央级对象的监视权限，但没有控制权限，对车站级对象既没有监视权限也没有控制权限，车站调度员具有车站级对象的监视和控制权限，但没有中心级对象的监视和控制权限。

3 结语

随着综合监控系统的发展，系统越来越庞大，功能也越来越强大，深度集成基本上是全集成BAS、FAS、PSCADA系统，互联AFC、PSD、CCTV、PIS等[13]。因此，城市轨道交通综合监控系统是地铁安全运营的重要保障。若综合监控的安全性、可靠性无法保证，则有可能出现地铁运营瘫痪、乘客生命财产安全受到威胁等重大问题[14]。现代的无人驾驶轨道交通对综合监控系统提出了更高的要求，主备中心的冗余机制能够更好地保证整个系统的稳定性和可靠性，从而更好地实现综合监控系统的监视和控制功能，满足不断快速调优需求，提升可控和在控、安全靠运行、容灾和恢复的能力[15]。