Numen3000空管自動化系統升降級設計

張朋 張佳靜

摘要：隨著民航空管事業的飛速發展，空管自動化系統已然成為保障飛行安全的重要組成部分。為了能夠給管制提供優質的系統服務，這就要求自動化系統應具備較高的穩定性和可靠性。文章主要介紹了Numen3000空管自動化系統的工作狀態及工作狀態之間的轉換，分析了關于升降級功能所包含的關鍵模塊及各模塊所擔負的職能，列舉了空管系統降級運行的幾種場合及系統能力恢復后該如何升級的方法。

關鍵詞：空管自動化；系統降級；系統升級；運行狀態

中圖分類號：TP311文獻標志碼：A

0 引言

空管自動化系統（以下簡稱“系統”）是一套實時處理系統，每天24小時不間斷運行，確保空中交通管制信息連續、準確、穩定地提供給管制人員進行空中交通管制。該系統設計采用國際上廣泛使用并得到公認的設計理念和設計方法，進行模塊化和多重冗余，具有可擴展性、可開放性，易于與其他相關系統互聯，便于用戶隨著空管業務的發展進行擴充和升級［1-2］。

該系統雷達航跡處理服務器由兩臺監視數據處理機和兩臺旁路監視數據處理機組成。飛行計劃數據處理服務器由2臺飛行數據處理服務器和1臺旁路飛行數據處理服務器組成。網絡組成采用業務網和信號網絡分離的方式，業務網A、B、C三網和信號接入D、E網。A、B網在主用模式下進行數據傳輸，C網在降級模式下進行數據傳輸，雷達信號源數據通過D、E前置網絡接入系統。在這種系統架構下，系統若出現兩臺主用處理服務器都故障、主用業務傳輸網絡A、B網都故障或者主用信號接入網絡D、E網故障的情況下，系統需要切換到降級模式下運行［3］。技術人員排除完故障后，系統需要人工切換到主用模式下工作。本文主要對空管自動化系統關于升降級的設計進行分析和討論。

1 空管自動化系統工作模式

系統按照系統處理能力，分為兩類工作狀態：主用工作狀態和降級工作狀態。在主用工作狀態下，系統提供的服務完備，能夠完成雷達數據處理、ADSB數據處理、多監視源融合處理［4］、飛行數據處理、氣象情報處理、數據及數據庫管理、系統監控和管制席位操作和顯示的全部設計功能；降級分為監視數據SDP降級和飛行數據FDP降級。在降級工作狀態下，系統只實現系統設計的部分主要功能，包括：單路監視數據處理、多路監視數據融合處理、航跡與飛行計劃自動/人工方式的相關/去相關、人工掛標牌即RADTAG功能、目標高度的QNH修正、緊急狀態告警、短期沖突告警、最低安全高度告警、禁區侵入告警、二次代碼重復提示、SPI提示功能。

1.1 監視數據SDP工作狀態

監視數據處理模塊（Surveillance Data Processing，SDP）由熱冗余的主監視數據處理模塊（Main Surveillance Data Processing，MSDP）和旁路監視數據處理模塊（Bypass Surveillance Data Processing，BSDP）組成。MSDP部署在兩臺主用監視數據處理服務器SDP1和SDP2上。BSDP部署在兩臺旁路監視數據處理服務器BSDP上。MSDP和BSDP獨立存在，在物理上和邏輯上相互分離，分別接入自己獨立的監視源。

主用監視數據處理服務器采用了雙機冗余熱備份方式，互為冗余的兩臺服務器分為主機和備機。系統正常運行時，由MSDP服務主機提供航跡處理的服務，當主機因為軟件或者硬件故障而停止服務時，系統會自動切換主備機，原來的備機變為主機來提供服務，系統不會受到影響。當互為熱備份的雙MSDP都不能正常工作時，系統將自動切換到BSDP降級狀態，此時，由旁路監視數據處理服務器BSDP來滿足包括進近和遠地塔臺在內的系統所有席位的航跡監視和管制服務要求，但只提供必要的功能。

1.2 飛行數據FDP工作狀態

飛行數據處理模塊（Flight Data Processing，FDP）由熱冗余的主用飛行數據處理模塊（Main Flight Data Processing，MFDP）和旁路監視數據處理模塊（Bypass Flight Data Processing，BFDP）組成。MFDP部署在兩臺主用飛行數據處理服務器FDP1和FDP2上。BFDP部署在旁路飛行數據處理服務器BFDP上。

主用飛行數據處理服務器采用了雙機冗余熱備份方式，互為冗余的兩臺服務器分為主機和備機。系統正常運行時，由MFDP服務主機提供飛行計劃處理的服務，當主機因為軟件或者硬件故障而停止服務時，系統會自動切換主備機，原來的備機變為主機來提供服務，系統不會受到影響。當互為熱備份的雙MFDP都不能正常工作時，系統將自動切換到BFDP降級狀態，此時，由旁路飛行數據處理服務器BFDP來滿足包括進近和遠地塔臺在內的系統所有席位的飛行計劃數據處理和管制服務功能。

1.3 系統工作狀態轉換

系統運行過程中，內部主要維護的工作狀態包括正常模式、SDP降級模式、SDP可升級模式、FDP降級模式和FDP可升級模式。這幾種工作狀態可由一種工作狀態切換到另一種工作狀態，實現系統的升降級轉換。這幾種工作狀態相關說明如下：（1）正常模式：監視數據處理運行在主用模式MSDP和飛行數據處理運行在主用模式MFDP，管制界面Position位置顯示為NORM。（2）SDP降級模式：兩臺主用MSDP服務器均不能正常工作，系統將從MSDP降級到BSDP工作模式，管制界面Position位置顯示為DEGD。（3）SDP可升級模式：主用MSDP服務器恢復正常工作后，系統變為可升級狀態，主任管制界面Position位置顯示為LOWS。等待MSDP和BSDP主路旁路同步數據完成后，可在主任管制席Info窗口的switch選項窗口中升級到MSDP工作狀態。（4）FDP降級模式：兩臺主用MFDP服務器均不能正常工作，系統將從MFDP降級到BFDP工作模式，管制界面Position位置顯示為DEGD。（5）FDP可升級模式：主用MFDP服務器恢復正常工作后，系統變為可升級狀態，主任管制界面Position位置顯示為LOWF。可在主任管制席Info窗口的switch選項窗口中升級到MFDP工作狀態。這幾種系統工作狀態的轉換如圖1所示。

2 升降級設計與實現

2.1 總體設計

系統正常運行時，工作在正常模式，提供完備的系統服務。當兩臺主用MSDP或者MFDP處理服務器都故障的條件下，系統降級到旁路BSDP或者BFDP工作模式。當主用MSDP或者MFDP處理服務器恢復的條件下，系統變為MSDP或者MFDP可升級模式。處于可升級模式狀態下，需要人工在主任席位進行升級操作，升級操作后，系統切換回工作模式工作。

基于單一職責原則（Single Responsibility Principle，SRP）讓每個對象各司其職，各盡所能，然后再基于“高內聚，低耦合”的設計思想，系統采用分層設計的方式，分為運行平臺層、系統能力計算層、業務處理層和展示層［5］。運行平臺層主要負責采集系統的服務器工作狀態、主備機狀態、軟件運行狀態、網絡狀態等信息，把采集到的信息發送給系統能力計算層，并且負責根據通告的系統能力進行系統升降級的處理，處理后把當前系統能力和目前所處的工作狀態數據進行持久化保存。系統能力計算層負責根據采集的信息計算當前的SDP和FDP系統能力。當系統能力變化或者收到其他模塊的索取消息時，向系統通告當前的系統能力。業務處理層負責處理雷達航跡數據和飛行計劃數據，把處理的結果發送給展示層顯示。展示層負責把業務處理層處理的航跡數據和

飛行計劃數據結果展示到管制界面上，當系統需要升級到主用狀態時，需要在主任席管制界面上人工切換到主用工作狀態。

2.2 系統升降級相關模塊

空管自動化系統關于升降級功能主要涉及的軟件模塊為：SMPS系統監控服務進程、ZLS總聯雙機服務進程、SDD態勢顯示進程、SDP綜合航跡處理進程、TPP航跡相關處理進程、AGN網絡狀態采集模塊。各模塊的相關說明如下：（1）SMPS系統監控服務進程：主要負責當前系統SDP、FDP處理能力的通告。系統主用MSDP和MFDP服務正常，系統能力分別為2，旁路BSDP和BFDP服務正常，系統能力分別為1。故SMPS向系統中通告的SDP和FDP的可能的系統能力分別0，1，2，3這幾種值。（2）ZLS總聯雙機服務進程：主要負責根據接收SMPS進程通告的當前系統能力，進行降級的處理。當收到主任席的升級操作后，進行系統升級。（3）SDD態勢顯示進程：主要負責根據接收的SMPS進程通告的當前系統能力，進行系統狀態的顯示。當主用MSDP和MFDP服務恢復后，主任席進行升級的操作。（4）SDP綜合航跡處理進程：主要負責根據接收SMPS進程通告的當前系統能力，進行升降級功能相關的處理。（5）TPP航跡相關處理進程：主要負責根據接收SMPS進程通告的當前系統能力，進行升降級功能相關的處理。當MSDP系統能力恢復后，等待SDP航跡處理數據同步完成后，通知主任席SDD可以進行系統升級。（6）AGN網絡狀態采集進程：主要負責采集系統中各主機、網絡設備的網絡狀態，把采集的結果發送給SMPS進程。SMPS進程根據網絡狀態作相應的處理。相關進程間關系如圖 2所示。

2.3 系統降級的場景

系統會根據SDP、FDP軟件狀態，雙機服務器狀態，業務網絡狀態，信號接入前置網絡狀態等信息來判斷當前的系統能力，根據當前的系統能力進行升降級的處理。下面介紹幾種降級運行的場景：（1）當雙機服務器主備機狀態發送變化時，SMPS進程會根據當前的主機來重新計算SDP和FDP的系統能力，若發生變化，則向系統通告當前的系統能力。當MSDP或者MFDP工作不正常時，系統降級運行。（2）當SDP和FDP軟件狀態發生變化時，重新計算系統能力。若發生變化，則向系統通告當前的系統能力。當MSDP或者MFDP工作不正常時，系統降級運行。（3）主用SDP或者FDP服務器的A、B網絡斷開，此時主用業務數據無法傳輸，系統將降級到旁路運行。（4）主用SDP服務器的信號接入D、E網絡斷開，此時主用信號數據無法接入，系統將降級到旁路運行。（5）終端區和區管的網絡斷開，此時終端區將FDP降級到本地FDP處理。

2.4 系統升級操作

系統在降級模式下運行，技術人員通過查看系統主機狀態、軟件狀態、網絡狀態等信息，對系統進行降級問題的排查分析。等待排除完相關故障，主用MSDP或者MFDP模式處理能力恢復后，可以在主任管制席上Info窗口的switch選項窗口中升級到主用工作狀態。

3 結語

空管自動化系統有主備機的冗余機制和旁路處理能力，保證了該系統的高可靠性，是一套優秀的空管自動化系統。本文主要對空管自動化系統的關于升降級功能設計方面展開討論。對于系統的工作狀態、降級運行的場景、故障排除后如何升級做了簡單的介紹。本研究可以幫助相關人員對這一方面有一個大概的了解，對于今后的升降級故障排查提供一些思路，以便盡快地解決故障恢復系統正常運行。

參考文獻

［1］喬亮，王興隆，張鵬.空管自動化系統Eurocat-X軟件可靠性建模分析［J］.科技信息，2010（25）：49-50.

［2］任升，高原，顧文杰.集群系統分布式任務故障冗余管理機制的設計與實現［J］.江蘇科技信息，2015（21）：63-64.

［3］楊銀霞.關于Skynet-X空管自動化系統降級的案例分析［J］.科技創新，2017（3）：193-194.

［4］杜實，任景瑞.基于時間的交叉航路沖突解脫研究［J］.江蘇科技信息，2016（23）：46-48.

［5］師鵬.分層技術在計算機軟件開發中的應用［J］.無線互聯科技，2020（4）：44-45.

（編輯 王永超）