關于THALES系統在主備同步中產生兩份FDR事件的分析與改進

中國民用航空華北地區空中交通管理局 葛曉雪

空管自動化系統是管制使用的重要系統，主備同步是實現自動化主備用系統之間數據雙向實時交互的重要手段。本文通過THALES系統在主備同步過程中產生兩份FDR的案例來對主備同步機制進行研究，通過日志的分析找到系統出現兩份FDR的具體原因，并且提出對此類問題的改進建議和解決方案。

空管自動化系統是現階段空中交通管制指揮的主要手段，隨著民航業的高速發展和空中流量不斷激增，自動化系統能夠高效穩定地運行，在民航安全保障中具有舉足輕重的作用[1]。目前在北京地區使用的主用系統為THALES系統，備用系統為28所萊斯系統，民航局要求要加快推進備份自動化系統常態化使用，增加繁忙時段的使用時間。如果無法完成主備系統間報文的同步更新，當管制從備用系統切回主用時，很多信息都要比對修改，增大了管制員的工作量，所以主備自動化系統之間數據的同步是至關重要的。

空管自動化主備系統之前的雙向實時數據交互包括基礎數據信息、飛行計劃信息和航跡信息等，以保持兩系統間在飛行態勢顯示和人機交互信息的統一性。實時數據交互能夠實現主備自動化系統之間的無縫切換、平穩過渡和等效互用。民航局頒發了空管自動化系統數據交換標準-MH/T4029.3，該標準定義了自動化系統的數據交互規則、報文類型、數據格式、傳輸要求等[2]。目前國內大部分空管自動化系統已基本實現數據交換標準I類和B類信息的同步，在管制使用主用自動化系統時，接收飛行數據報文并處理，同時向備份系統發送基礎飛行數據（I類報）和自動化系統數據（B類報），備份系統接收這兩類數據報，處理報文后更新系統數據，實現與主用系統的同步。反之，在備份系統作為主用時，由備份系統向主用系統同步數據[3]。

1 主備同步機制

1.1 數據交換標準-MH/T4029.3

中國民航行業標準MH/T4029.3的全稱為：民用航空空中交通管制自動化系統—第3部分：飛行數據交換[4]。用于主備同步的報文主要分為三類：基礎飛行數據交換、主備自動化系統數據交換、管制單位間飛行數據交換。飛行計劃需進行實時同步，數據包括航班動態、日期時間、起飛落地機場、位置和高度、航路數據等。在主備同步中，主系統對外發送基礎飛行數據交換報文，報文類型均以字母“I”開始，包括飛行計劃數據報 (IFPL)，飛行計劃刪除數據報 (IDEL)，飛行計劃取消數據報 (ICNL)；當主系統在運行時，相應會產生人機交互信息，此類人工干預會影響最終的飛行動態。在主備同步中，主用系統對外發送主備空管自動化系統數據交換報文，報文類型以字母“B”開始，包括席位扇區分配信息(BSEC)、機場跑道狀態信息(BRWY)、限制性空域狀態信息(BRTA)、席位設置信息(BCWP)、二次代碼分配回收信息(BSSR)；管制單位間飛行數據交換中報文類型均以字母“C”開始，例如CFPL、CLAM 等[5]。

1.2 主備同步鏈路

1.2.1 鏈路介紹

THALES自動化系統中IFPL報、BRWY報和BESC報由FDP服務器處理，BCWP報由各席位節點中的MMI模塊處理，BRTA報由SNMAP節點的SNM模塊處理，各分區之間的信息交互通過CDP服務器實現，如圖1所示。萊斯系統DCP服務器負責接收和發送同步報文，BCWP報文同樣由各席位處理，其他報文由FDP服務器處理。

圖1 THALES系統主備同步接口Fig.1 THALES system active and standby synchronization interface

主備同步鏈路分為兩條，如圖2所示，第一條鏈路中同步報文從THALES系統FDP服務器經FDP子網交換機連接至主備同步路由器，再通過防火墻引接至萊斯系統DCP服務器再進入到FDP服務器。第二條鏈路為THALES席位經OPS網交換機，由主備同步路由器和防火墻后引接至萊斯DCP服務器和萊斯席位。除了BCWP報文通過第二條鏈路傳輸，其他報文均通過第一條鏈路傳輸。

圖2 系統間主備同步鏈路Fig.2 Active-standby synchronization link between systems

1.2.2 鏈路配置

主備同步報文采用組播方式發送，通過XML格式進行傳輸，在傳輸中約定好發送和接收地址，使得接收方接口能夠獲取信息，并對有效信息進行提取和組裝，更新相關數據，實現主備數據統一。THALES系統定義了各類報文發送的組播地址，如表1所示，包含區管，終端和大興分區。

表1 分區各類報文發送的組播地址Tab.1 Multicast addresses of all kinds of messages sent by partitions

在THALES系統中登錄beerdbm0lis節點，進入/opt/ref/sysref/SYS_V9.19.6/Build

_conf/config目錄下對各分區的組播地址進行配置，區管分區的配置文件為beer_SJI.conf文件，具體組播地址配置內容如圖3所示；終端分區的配置文件為betm_SJI.conf文件，具體組播地址配置內容如圖4所示；大興分區的配置文件為dxrt_SJI.conf文件，具體組播地址配置內容如圖5所示。

圖3 區管分區組播地址配置文件Fig.3 District management partition multicast address configuration file

圖4 終端分區組播地址配置文件Fig.4 Terminal partition multicast address configuration file

圖5 大興分區組播地址配置文件Fig. 5 Daxing partition multicast address configuration file

2 事件分析

2.1 事件描述

2021年5月9日07∶25，塔臺放行席管制員在檢查CNM1237飛行計劃時，發現THALES自動化系統Announced窗口中出現兩份相同的飛行計劃（FDR）。塔臺隨即通報相關部門，協助進行檢查和處置；09∶09，CNM1237在正常起飛。

2.2 日志分析

日志內容如下，5月7日20∶30（UTC時間，以下所有時間均為UTC時間）THALES系統為備用狀態，系統收到FPL并生成FDR：

由于航班延誤至5月8日2∶53，系統收到DLA報文：

(DLA-CNM1237-ZBAA0230-ZBYC-DOF/210507)

系統正常處理DLA報，根據DLA信息變更FDR的EOBT時間，由23∶30變為02∶30，變更DOF日期（即EOBD），由5月7日變為5月8日。

5月8日04∶30管制員在在萊斯系統上協調CNM1237，THALES系統（備用狀態）在接收萊斯系統（主用狀態）同步信息時，萊斯系統同步信息的EOBD未更新為2021/5/8，仍然為2021/5/7，致使THALES系統在進行FDR一致性檢查時，由于兩個系統內的EOBD信息不一致，導致后續針對該FDR的主備同步失效：

計劃5月7日起飛的CNM1237實際于5月8日04∶40起飛，由于萊斯的主備同步信息未能成功同步CNM1237的狀態，導致延誤到5月8日的計劃CNM1237一直存在泰雷茲自動化系統中（備用狀態）。5月8日20∶35泰雷茲系統收到FPL，并生成FDR，此時系統中存有兩個FDR。5月9日（北京時間）切換回泰雷茲自動化系統使用后，管制員在PREACTIVE窗口中發現兩個CNM1237的FDR。

2.3 事件原因

THALES系統在CNM1237延誤后正常處理DLA報，根據DLA信息變更FDR的EOBD時間，由原來的2021/5/7變為2021/5/8。但萊斯自動化系統未根據DLA報更新跨日航班18編組DOF日期，導致萊斯系統同步信息的EOBD未更新為2021/5/8，致使THALES系統在進行FDR一致性檢查時，兩個系統內的EOBD信息不一致，導致后續針對該FDR的主備同步失效，從而延誤到5月8日的計劃CNM1237一直存在泰雷茲自動化系統中，5月8日THALES系統收到新的CNM1237航班的FPL后生成新的FDR，此時在系統中存在兩份相同的飛行計劃。

經技術人員配合萊斯廠家調查研究，此次事件由于28所萊斯備份自動化系統中軟件BUG造成不更新DOF日期，導致主備自動化系統信息同步不成功。后技術人員建立PCR1264，在測試平臺驗證其穩定性，后續在系統停機時更新P5版本，修復此問題。

3 結語

本文通過對自動化系統主備同步機制的研究和對日志的分析，找出了THALES系統在主備同步過程中產生兩份FDR的原因，避免了此類問題對管制指揮造成影響。主備自動化系統數據同步功能的實現，有效緩解了以往主備切換中關鍵數據不同步的情況，系統間差異也越來越小，使切換操作可以實現無縫銜接，突破了備份系統常態化運行的障礙，萊斯自動化系統也可以發揮更大的作用和價值。