軌道交通綜合監控系統用戶與權限管理功能的設計與實現

鄧 敏，劉 濤

（南京軌道交通系統工程有限公司，南京 210019）

0 引言

目前，中國城市軌道交通正進入建設高峰期，作為新技術之一，綜合監控系統（ISCS）所具有的資源共享、各專業協同工作的優勢，使其越來越受重視，已成為新建線路必不可少的自動化系統[1]。各地鐵公司在建設ISCS系統時，通常將環境與設備監控系統（BAS）、電力監控系統（PSCADA）集成到綜合監控系統內[2]，與廣播、乘客信息、視頻監控、信號等專業進行互聯。此外，部分城市還實現了對火災報警系統（FAS）的集成。

作為綜合監控系統的最終用戶，地鐵運營公司通常在中心設置電力調度、環境調度、行車調度等調度員角色，以實現相關調度功能[3]。在車站設置專門的值班員及值班站長角色，實現車站日常管理，同時需要為維修工作人員和系統管理人員提供對應級別的維修或系統管理賬戶。由于一條線路的用戶常常多達幾千個，并且用戶物理位置分散在控制中心、車站和車輛段等地，因此，如何方便管理這些用戶及其對應的操作權限是綜合監控系統設計及實現時需要重點考慮的問題。

1 綜合監控用戶畫像

用戶畫像與用戶角色概念類似，是按照用戶的社會屬性、個人行為、偏好興趣等信息凝練出一個或一類用戶標簽，即用戶信息的標簽化，目的在于從海量的用戶行為數據中提取出最有價值的信息，去其糟粕，存其精華，盡量全面詳細地勾畫出用戶的全貌，并用可視化的方式展示出來[4]。

借鑒用戶畫像的分析思路，對綜合監控系統用戶進行分析，可以得出綜合監控系統用戶主要的靜態屬性和動態屬性分析要點，如圖1所示。

圖1 綜合監控系統用戶畫像分析要素

不同于面向消費者的互聯網領域，在軌道交通ISCS領域內，人們關心的用戶靜態屬性較為固定，無需特殊分析。但按照用戶動態屬性的不同，可以將ISCS用戶進行用戶行為的抽象和分類，如表1所示。

典型位置指根據系統配置，可以管理的位置如某典型車站；典型專業指根據其角色配置的不同專業，如電力調度對應PSCADA專業，環境調度對應BAS專業等[5]。對用戶進行系統畫像分析，從而進行清晰明確的分類，可以為用戶和權限管理打下良好的基礎。

表1 綜合監控系統用戶畫像分析結果

2 綜合監控權限

將綜合監控系統進行用戶畫像分析后，對需要控制的用戶行為進行分門別類地梳理。對用戶畫像分析得出用戶畫像的動態屬性，也就是需要控制的權限要點。

結合綜合監控系統用戶畫像分析及綜合監控系統的典型操作，可以將綜合監控系統的相關權限進行梳理，如表2所示。表中的特殊權限相比一般權限，其控制顆粒需要細化。考慮將特殊權限的控制力度細化到車站和責任區，其中責任區是對專業的細化。在綜合監控進行設備建模時，需要為每一類設備分配責任區屬性，如環控專業通常劃分為BAS大系統、BAS小系統等責任區。

表2 綜合監控系統用戶權限分析

圖2 綜合監控系統用戶-用戶組-權限模型

3 用戶及權限管理設計及實現

3.1 用戶及權限管理模型

為了方便系統管理及操作，本文在設計時引入了用戶組的概念。用戶組可以認為是具有相同權限及相同登錄位置的一組用戶的組合，引入用戶組后可以方便系統管理員對一組用戶進行權限管理。用戶組具有一般權限控制中角色的概念，但對其內容進行了靈活的引申和擴大[6]。用戶、用戶組和用戶權限的關系如圖2所示。

基于“用戶-用戶組-權限”的模型可以清晰地進行功能定義和劃分，模型各部分定義要點如下。

（1）定義用戶。在定義用戶時，需要用戶輸入用戶名及用戶密碼信息，在系統生成用戶時，根據系統統一的安全策略，計算賬戶有效期及用戶ID。

（2）定義用戶組。在定義用戶組時，需要輸入用戶組級別，用戶組名稱及用戶組登錄成功后，默認顯示的各屏幕畫面。通常綜合監控系統在車站車控室內為單機雙屏畫面，在中心調度員席位可設置三屏畫面。

圖3 綜合監控系統權限界面

圖4 綜合監控系統用戶組成員查詢界面

圖5 test1用戶組未配置報警瀏覽權限示意

（3）定義用戶權限。提供專門的用戶權限定義界面，配置需要控制的用戶權限內容。相關綜合監控系統權限配置如圖3所示。圖中配置的一層權限不控制權限的位置及責任區；二層權限則可以細化控制力度到車站和責任區。此處規定責任區是指電力監控、環控等專業均各自劃分為一個邏輯上的責任區，只有當用戶組權限配置了某個責任區時，才能訪問該責任區內的資源和對象[7]。

3.2 用戶組成員管理

在創建用戶后，需要為用戶選擇對應的用戶組，一個用戶可以對應不同的用戶組，用戶組成員列表如圖4所示。

3.3 權限控制實現過程

在為用戶所屬的用戶組配置好對應的權限后，在對應的受控端需要結合用戶組的權限進行控制實現，以報警瀏覽權限為例，敘述如何控制某一用戶組的報警瀏覽權限。

使用admin用戶，以test1登錄用戶界面。test1用戶組未配置報警瀏覽權限時，點擊工具-報警按鈕，查看報警畫面，無法查看報警信息。如圖5所示，查詢的結果顯示test1用戶組無報警瀏覽權限，圖6所示為該用戶登錄成功后無法查看報警界面。

在為用戶組test1增加報警瀏覽權限，并且車站控制為控制中心，責任區設置為PSCADA相關專業后，可以看到鼓山車輛段對應的報警信息，如圖7～8所示。在為用戶組test1責任區中增加BAS相關責任區后，可以看到鼓山車輛段對應的BAS相關責任區的報警信息，如圖9～10所示。

圖6 用戶登錄HMI報警瀏覽結果

圖7 用戶組test報警瀏覽權限配置結果

圖9 test1用戶組報警瀏覽權限增加BAS相關責任區

圖10 用戶對應的用戶組報警瀏覽權限增加BAS相關責任區后HMI報警瀏覽界面

圖8 用戶對應的用戶組配置權限后HMI報警瀏覽結果

4 結束語

目前，國內主流的綜合監控系統為分層分布式工業控制系統架構[8]，作為地鐵核心的生產系統，綜合監控系統用戶與權限管理是綜合監控系統必須考慮的重要功能。本文基于對ISCS系統用戶畫像的分析，提出一種用戶-用戶組-權限（車站+責任區）的管理方法，并且給出了實現的具體路徑，為類似系統的設計和實現提供了一種較好的參考思路。