空管Eurocat-X自動化系統降級模式詳述

黃思怡

摘要：分析空管Eurocat-X系統降級模式的詳細信息。基于空管Eurocat-X系統架構采用的分部及處理模塊分離的設計，匯總產生降級模式的不同條件，為空管設備維護人員提供一種故障排查的思路參考。通過告警內容和系統提示判定不同功能模塊失效情況下的系統運行狀態、屏幕顯示、功能限制以及恢復方式，提高空中交通管制員應對系統模塊功能故障時的處理效率。

關鍵詞：空管自動化;降級模式;模塊失效;功能限制;恢復方式

中圖分類號：TP311 ? ? ?文獻標識碼：A

文章編號：1009-3044（2020）17-0205-03

Abstract： Analyze the details of the downgrade mode of the ATC EUROCAT-X system. Based on the separate design of the division and processing modules adopted by the ATC EUROCAT-X system architecture， it summarizes the different conditions for the degraded mode， which provides a reference for the troubleshooting of ATC equipment maintenance personnel. Through the alarm content and system prompts to determine the system operating status， screen display， function restrictions and recovery methods of different functional modules in the case of failure， improve the efficiency of air traffic controllers to deal with system module functional failures.

Key words： ATC Automation; DEGD mode; processing failure; function restrictions; recovery methods

1 背景

目前，中南空管廣州區管中心應用的自動化系統為Eurocat-X系統。它整個龐大的系統功能是由不同的功能模塊組合而成，由于每個功能模塊都是相對獨立的，所以系統運行中每一種可能的功能模塊的組合被定義為一種系統運行模式。從一種系統運行模式轉換到另一種系統運行模式的過程被稱為模式轉換（Mode change）。根據功能模塊的失效情況不同，系統存在多種模式轉換的可能，不同的模式轉換造成的工作影響也是不同的。降級模式（Degraded mode）是相對于系統所有處理模塊包括硬件的每個部分都處于正常工作模式而言的，目的是在主要功能模塊發生故障時仍然保持部分基本功能可用，以維持管制員的正常空中交通指揮。

2 降級模式簡介

空管Eurocat-X自動化系統的運行模式由系統各處理模塊的運行狀況決定，用戶不能人工進行模式轉換。系統運行模式有兩種：正常（NORM）模式和降級（DEGD）模式。當系統的某個處理模塊失效時，系統自動進入降級（DEGD）模式，當處理模塊恢復時，系統自動轉入正常（NORM）模式。

席位運行模式是由系統運行狀況和用戶選擇共同決定。當系統處于DEGD模式時，席位自動轉換到DEGD模式。當系統恢復到NORM模式時，席位模式不會自動恢復到NORM模式，而是進入LOW模式，只能由用戶人工將席位恢復到NORM模式。此外，在席位處于NORM模式時，部分處理模塊允許用戶主動選擇進入到某種DEGD運行模式。

當出現下列功能模塊中的一個或多個失效時，系統自動轉換到降級模式：

FDP （Flight Plan Processing） failure

LAN （Operational LAN） failures

SNMAP （Safety Nets and Monitoring Aids Processing） failure

AGDP （Air ground Data Processing） failure

MSTP （Multi-sensor tracking Processing） failure

RTP （Radar tracking Processing） failure

ADSB （Automatic Dependant Surveillance Broadcast Data Function） failure

MTCD （Medium Term Conflict Warning Function） failure

3 飛行計劃處理FDP功能模塊失效

對于FDP而言，共有五種狀態，分別是激活（主用）ACTIVE、備用STANDBY、未知UNKNOWN、激活中ACTIVATING和停用中DEACTIVATING。其中，ACTIVE表示FDP與系統內其他模塊相連，FDP與外部接口相連（如適用），向共享內存發布操作數據和向備用FDP提供同步信息;STANDBY表示從主用FDP接收同步信息并更新內部數據庫，不向共享內存發布數據，不跟其他軟件模塊進行連接;UNKNOWN表示區管與塔臺的連接斷開;ACTIVATING是一種從備用激活成主用的模式轉換;DEACTIVATING狀態是一種其他FDP激活成主用的模式轉換。當FDP狀態變成UNKNOWN時（主備FDP失效或網絡不通），系統認為FDP失效。

3.1 當系統FDP失效時，通過下列方式通知用戶

1）告警信息窗口自動打開并顯示：“WARNING：FDP processing has failed”;

2）格式區顯示黃色警示：系統模式告知區顯示“DEGD”和席位模式告知區顯示“DEGD”（如圖1所示）;

3）空域顯示區的運行顯示出現短暫的凍結;

4）“系統/席位運行狀態窗口”中顯示：系統的 FDP 處于單機（LOC） 模式，席位的飛行數據處理處于單機（LOC）模式。

3.2 造成系統 FDP 失效的原因主要

FDP 的服務器自身故障（主備同時失效）、工作網絡故障（A/B網同時失效）和路由器故障等。

3.3 FDP失效后，喪失的主要功能

1）在FDR狀態方面：不能接收FPL、DEP、ARR報文，不能自動獲取和生成飛行計劃;沒有NACT和FIN狀態;FDR狀態的進程處理只能通過人工的方式，包括手動刪除結束的飛行計劃。

2）在告警功能方面：不會新生成ETO、MPR、RAM、CLAM、DUPE、APM、FPCP、RVSM、SAP、U警告;FDP失效前相關的航跡，能保持及產生新的MTCD告警，不能產生本地MTCD告警;降級前正在發生的告警，則該告警會持續顯示在標牌上，但不再更新;STCA、DAIW、MSAW只產生于FDP失效前相關的航跡（基于離線參數的設置）。

3）電子進程單各項功能基本失效。

4）在主任管制席位上：不能使用跑道的修改;不能重新分配扇區;不能修改軍方活動區域時間段;失去Command Line 中與FDP有關的功能。

5）不再計算FDR軌跡，沒有航路分析、進離港程序的分配、穿越扇區的判斷和自動的進程單發送和紙制進程單的自動打印。

6）其他方面：系統不分配應答機編碼（轉為本地分配）;不做系統雷達關聯（轉為本地關聯）;不能自動位置報告APR;AIDC不能自動處理;Traffic Management進程單列表不會更新;位置報告窗口（Position Report Window）失效;計劃航跡UPR功能失效;QNH不能更新（可以在領班位輸入更改）;LOST窗口失效等。

3.4 FDP的單機工作模式

當FDP服務器失效時，各席位維持單機飛行計劃處理模塊運行，保留的功能有：系統航跡SURV TAG、單機的應答機編碼管理、單機的雷達自動關聯（Local Coupling）和單機的飛行數據處理（Local Flight Plan facilities）。

3.5 FDP的恢復方式

任意一個FDP從UNKNOWN狀態轉為STANDBY或ACTIVE狀態，系統認為FDP恢復。FDP恢復正常準備升級時，必須先由主任管制席在SPPS窗口中點擊“SYNCH”，各席位才能由LOW模式手動升級至NORMAL模式。

4 雷達數據處理MST功能模塊失效

中南空管廣州區管中心具備三種運行層面的雷達數據處理模式：正常模式（NORM）、旁路融合處理模式（BYPS MULTI）和旁路單路處理模式（BYPS MONO）。在席位處于NORM模式下，可以手動切成BYPASS MULTI或者BYPASS MONO模式（如圖2所示）。如果是BYPASS MULTI模式顯示BYPS，如果是降級到BYPASS MONO顯示MONO。如果監視源OPS SURV與BYPASS SURV均失效，則系統模式與席位模式均顯示為NOPS，此時ASD中沒有任何信號源航跡，系統降級。

4.1 造成多雷達航跡處理模塊（MST）的原因

多雷達航跡處理模塊（MST） 自身故障、工作網故障（A/B網同時失效）、路由器故障等。

4.2 MST失效后，空域顯示區的變化

空域顯示區的運行顯示出現短暫的凍結;雷達航跡消失;顯示單雷達模式或旁路模式提供的雷達航跡;單雷達或旁路雷達不能覆蓋的區域，顯示單機模式提供的計劃航跡;使用雷達標簽的航跡，如果應答機編碼不一致，則標簽丟失。

4.3 MST失效后的影響

單機模式的雷達自動相關;無法顯示危險區和限制區的地圖;席位上雷達覆蓋范圍縮小; 除了特殊編碼告警，系統航跡產生的其他警告功能喪失。

4.4 MST的恢復方式

系統不會自動升級各席位的運行模式，只是通知用戶;用戶在“系統/席位運行狀態窗口”中進行人工升級;因為升級時會導致其他席位工作屏幕的短時凍結，所以升級前一定要考慮全面、謹慎從事。

5 安全網及監控（SNMP）功能模塊失效

當所有的SNMAP節點都不可用，系統判定SNMAP失效（NOPS）。系統模式和席位模式說明如表1和表2。

5.1 SNMP失效時，系統的提示信息

包括GIW顯示DEGD，WARNING MESSAGE提示和SPPS窗口狀態更新，如圖3所示。

5.2 SNMP失效時，造成的影響

1）航跡只進行本地相關;

2）失去大部分告警更新（STCA、DAIW、MSAW、CLAM、APMW、RAM、DUPE、NTZ、RVSM ），已經出現的告警保留狀態;

3）危險區地圖保留狀態（開/關）并不能更改;

4）緊急告警保留（7500/7600/7700）、24位地址碼重復告警保留;

5）APR失效等;

6）SNMAP失效之后，系統不會自動切到BYPASS SNMAP，需要手動切換;

7）管制員需要通過切換到BYPASS MULTI來啟用BYPASS SNMAP（前提是BYPASS SNMAP是處于NORMAL狀態，以及BYPASS MULTI可用）;

8）BYPASS SNMAP提供三項告警：STCA、MSAW、DAIW。

5.3 SNMP的恢復方式

在SPPS窗口中點擊NOPS令其升級成NORMAL，則SNAMP升級成功。原來存在的告警消失，新的告警重新計算并顯示，并且本地相關被丟棄，代替以系統相關。

6 工作網絡（LAN）失效

LAN A和 LAN B同時失效是上述所有模塊降級的總和，是最嚴重的降級情況，此時系統只能使用LAN S。告警提示如圖4所示。

6.1 工作網絡（LAN）失效時的主要原因

工作網自身故障（A 網和 B 網同時失效）、路由器故障。

6.2 工作網絡（LAN）失效后，空域顯示區的主要變化

雷達航跡消失;顯示旁路模式提供的雷達航跡;旁路雷達不能覆蓋的區域，顯示單機模式提供的計劃航跡;使用雷達標簽的航跡，如果應答機編碼不一致，則標簽丟失。

6.3 工作網絡（LAN）失效后的影響

如果BYPASS MULTI可用則顯示旁路融合航跡，如果BYPASS MONO可用則顯示旁路雷達航跡;系統只進行本地雷達關聯，數據也只是本地處理;如果是在BYPASS SNMAP模式下，則有STCA、DAIW、MSAW告警，否則失去所有告警;無電報處理功能，包括與相鄰管制中心的數據交換。

6.4 工作網絡（LAN）的恢復方式

LAN恢復的初始沒有變化，因為每一個節點都需要重新啟動，需要一定時間;恢復時在Warning Message窗口有相應提示，顯示相應功能恢復的通知;逐個按步驟手動升級。

7 結束語

盡管“歐洲貓-X”系統具備充分的冗余備份，但是一套完善的軟件，在應用層面必須具備出現任一處理模塊或硬件部分出現故障的準備及相應處理。系統在架構的建設之初采用分部及處理模塊分離的模式，主要也是為了降低故障率及對工作造成的風險，做到盡量減少中央節點的出現，避免一個處理模塊失效導致整個系統癱瘓的局面發生，為空中交通管制工作提供了更高質量的保障。

參考文獻：

[1] 楊銀霞. 關于Skynet-X空管自動化系統降級的案例分析[J]. 科技創新， 2017（3）： 193-194.

[2] EUROCAT-X System/Segment Specification[Z]. Thales公司， 2015.

【通聯編輯：謝媛媛】