车载atp系统程序到安全编码的转换方法

文档序号:6283594阅读:223来源:国知局
专利名称:车载atp系统程序到安全编码的转换方法
技术领域
本发明涉及安全苛求的系统所进行的安全设计,该方法适用的范围为模拟量输 入及开关量输入,开关量输出的多输入多输出系统;主要应用领域除了铁路运输系 统外,还适应于航空、核电等其它高安全处理需要的领域,尤其涉及车载ATP系 统程序到安全编码的转换方法。
背景技术
针对铁路行业的特点,对于一个系统安全产品,根据RAMS (可靠性、可用 性、可维护性、安全性)要求,系统的安全完善度等级必须达到SIL4级,如车载 ATP、联锁等安全相关产品的设计;由于普通程序的设计、编译环境并不保证系统 的安全性,在程序执行的过程中,存在发生危险侧故障的可能,因此在安全系统的 程序设计时要对传统的程序设计模式进行改造,使之在出现故障的情况下导向安全 侧,满足系统的安全性要求。

发明内容
本发明的目的就是为了克服上述现有技术存在的缺陷,提供一种安全性更高的 车载ATP系统程序到安全编码的转换方法。
本发明的目的可以通过以下技术方案来实现车载ATP系统程序到安全编码 的转换方法,其特征在于,该转换方法包括
(1) 针对连续速度变量处理步骤;
(2) 程序循环体安全校验步骤;
(3) 程序分支结构体安全校验步骤;
(4) 状态安全跳转的实现步骤。 所述的针对连续速度变量处理的方法包括
a.通过两路独立相异的速度检测装置获取当前时刻的速度值;
b. 根据列车前一时刻的速度值及列车的加、减速特性获取当前速度的最大值 和最小值;
c. 比较当前速度值是否在速度的值域内,并把比较运算转换为确定的比较校 核字;
d. 求速度的均值,在计算过程中获取安全运算校核字;
e. 比较校核字和安全运算校核字送入校验通道,参与系统的安全输出运算。 所述的程序循环体安全校验的方法包括
a. 程序出现的运算通道和保证循环安全执行的校验通道分别负担不同的功
能;
b. 运算通道执行程序的正常运算,校验通道提供运算通道执行结果正确与否 的状态标示;
c. 校验通道根据获取状态标示的校核字,通过多项式除法进行合成,通过调 节预置常数使合成的校核字唯一。
所述的程序循环体安全校验的方法中校核字的生成方法为在循环体的每个执 行周期,提供一个确定的标志数据,该数据作为该循环体校核字的一个输入因子。
所述的系统程序中出现的每个循环体对应唯一的一个安全校核字,校核字间通 过异或运算和多项式除法进行合成,实现对程序中不同循环体的安全监控。
所述的程序分支结构体安全校验的方法包括-
a. 程序出现的运算通道和保证分支实现安全转移的校验通道分别负担不同的 功能;
b. 运算通道执行程序的正常转移,校验通道提供转移通道执行结果正确与否 的状态标示;
c. 校验通道采用均衡算法计算获取的校核字,根据计算的校核字判断程序分 支是否转移的正确。
所述的程序分支结构体安全校验的方法中程序分支安全校核字的生成方法包

a. 对不同类型的分支结构分为三类,对每一类程序的分支结构赋予唯一的分 支结构安全校核字;
b. 汇聚节点的分支结构校核字的生成直接采用均衡算法或两通道相除后再采 用均衡算法计算校核字的方法来实现安全转移;通过调整均衡算法的参数实现校核
字的唯一;
C.发散节点的分支结构直接采用均衡算法来计算校核字,不同分支生成的校 核字不同;
d. 混合节点的分支结构采用汇聚节点和发散节点校核字的生成方法,通过调 整均衡算法的参数或校核字的预置常数以使每条分支结构生成唯一的安全校核字;
e. 不同分支结构的安全校核字通过异或运算与多项式除法进行合成,实现对 程序中不同分支结构转移时的安全监控。
所述的状态安全跳转的实现方法包括
a. 每种状态分配一个状态字,不同状态之间有对应的条件转移校核字;
b. 状态字之间的转移由多项式除法和条件转移校核字来决定;
c. 每个状态字通过与预置常数的运算生成唯一的一个状态跳转安全校核字。 与现有技术相比,本发明实现对车载ATP在运算过程中进行安全防护,从而
使其危险侧故障发生的概率低于系统的设计要求,进而来保证系统的运行安全。


图1是校核字变量的编码格式示意图2是均衡算法原理及与校验通道的关系示意图3是输入数据在进入主CPU内进行的预处理、转换以及与安全通道的关系 示意图4是程序固定循环次数安全校核的算法原理示意图; 图5是程序固定循环次数安全校核字的生成方法示意图6是系统程序中循环次数不确定的结构体示意图及校核字的生成方法示意
图7是程序汇聚节点校核字的生成以及与校验通道的关系示意图8是发散节点的分支结构体安全校核字的生成以及与校验通道的关系示意
图9是混合节点的分支结构体的校核字生成以及与校验通道的关系示意图IO是系统程序中出现的状态转移的安全监控示意图11是状态转换校核字的生成以及其与校验通道的关系示意图12是采用有限状态机的状态转移来实现对程序分支的安全监控示意图。
具体实施例方式
如图1所示为系统程序中出现的校核字的编码格式,所有的校核字在系统设计 的准备阶段生成,并且遵循相同的编码格式;程序运行中的校核字只有通过计算获 取,并且满足码字校验算法。
如图2所示均衡算法原理与校验通道的关系,它描述了从程序分支到校验通道 的系统结构,具体的实施步骤如下
(1) 分支结构转移条件对应一确定的离散值域;
(2) 通过均衡算法获取该分支结构在实现转移时唯一的校核字;
(3) 该校核字通过码字校验算法验证正确;
(4) 获取的校核字作为输入变量纳入校验监控通道;
(5) 校验通道完成对不同分支结构的监控。
如图3所示为连续变量在进入CPU时所采取的处理方法,具体过程为
(1) 两路测速传感器同时获取列车的速度数据;
(2) 测速传感器分别将自己的速度数据分配给CPU1和CPU2;
(3) CPU间通过双口 RAM把各自的数据转发给对方,使得每个CPU内获得 3路输入数据;
(4) 输入数据通过值域检查,检查的方法为根据上一周期的速度值以及列 车的最大加速度和最大减速度来确定本周期内列车的速度范围,若输入数据不满足 本周期速度的取值范围,丢弃,否则认为该速度值有效;
(5) 在比较的过程中获取条件关系校核字;
(6) 对3路的速度值求均值,与此同时根据安全运算计算3路通道间固定的 差异值;
(7) 比较校核字和速度差异值参与校验通道的运算。 如图4所示为程序循环体安全校核字的算法原理,它包括两个部分,其一为运
算通道,主要描述循环体的执行过程,循环体的每个循环周期提供一个标志数据(为 了增大相异性,奇偶周期的标志数据不同);其二为循环体的校验通道,它根据循 环体每个循环周期提供的标志数据进行校核字的运算;每个确定周期内每个循环体 的安全校核字是唯一的,并且只能在执行了正确的循环之后才能获得。 运算通道的具体实现步骤如下
(1) 运算通道的数据在经过函数G (X)后进入循环体;
(2) 该通道执行第一次循环,实现函数功能f (X);
(3) 第一次循环执行后提供标志数据De/o;
(4) 执行第二次循环,实现功能函数f (x);
(5) 第二次循环执行后提供标志数据De/o;
(6) 执行第三次循环,实现功能函数f (X);
(7) 第三次循环执行后提供标志数据De/o;
(8) 该通道执行第N次循环,实现函数功能f (X);
(9) 第N次循环执行后提供标志数据De/o;
(10) 循环体结束后执行其它函数Q (x); 校验通道的执行步骤如下
(1) 根据循环次数获取预置常数;
(2) 根据第一次循环提供的标志数据进行多项式除法运算
(3) 根据第二次循环提供的标志数据进行多项式除法运算
(4) 根据第三次循环提供的标志数据进行多项式除法运算
(5) 根据第N次循环提供的标志数据进行多项式除法运算;
(6) 获取循环体的安全校核字;
(7) 进行码字校验算法,检查校核字是否满足编码规则。
如图5所示为系统程序安全校核字的具体生成方法,假定循环的次数为4次, 具体的实现步骤如下
(1) 根据循环次数获取预置常数;
(2) 进行多项式除法运算;
(3) 运算的商与第一次获得的标志数据进行异或运算;
(4) 异或结果进行多项式除法;
(5) 获取第一次运算的假值;
(6) 在第一次循环后预置常数经PD运算所得的余数再进行多项式除法;
(7) 运算的商与第二次获得的标志数据进行异或运算;
(8) 异或结果进行多项式除法;
(9) 获取第二次循环的假值;
(10) 同样的道理,根据标志数据,可以获取第三次循环的假值;
(11) 只有在执行到第四次循环时,才能获得安全校核字的真值。 只有当程序执行了正确的循环之后,系统才能获得该循环体唯一的真值,其它
任何情况获得的要么是假值,要么是非法的值;通过这种模式,保证了循环体结构 的正确执行。
如图6所示为循环次数不确定的循环体的安全校验方法,此类可分为两种情 况, 一种情况是,若满足循环体的执行条件,进入循环体,否则绕过循环向下执行, 此时校核字的获取方式为
(1) 根据循环体执行条件采用均衡算法获取校核字;
(2) 循环体执行后提供标志数据;
(3) 若循环条件满足,继续执行循环体,并提供相应的条件校核字和循环执 行标志数据;
(4) 当循环体退出之后,根据循环体在执行的过程中提供的校核字和标志数 据生成循环体安全校核字。
另一种情况是,循环体执行,若满足循环执行条件,循环体继续执行,否则退 出,向下继续执行,该种情况校核字的生成方法为-
(1) 循环体执行后提供标志数据;
(2) 若循环条件满足,继续执行循环体,并根据相应的条件根据均衡算法生 成相应的校核字;
(3) 若循环条件满足,继续执行循环体,并提供相应的循环执行标志数据和 条件校核字;
(4) 当循环体退出之后,根据循环体在执行的过程中提供的校核字和标志数 据生成循环体安全校核字。
如图7所示为程序分支结构汇聚节点所实现的安全状态转移,具体流程如下
(1) 通道l内的数据经函数f (x)和通道2内的数据经函数g (x)后进入安 全条件转移通道;
(2) 安全条件转移通道根据通道1和通道2内计算出的数据之间的关系进行 值域划分;
(3) 通过均衡算法获取该条件转移分支结构唯一的安全校核字;
(4)该校核字作为通道CHA执行的依据,只有获取正确的条件转移校核字, 通道CHA才能执行。
需要说明的是,系统程序获取的安全校核字是在安全监控板(VPS)中进行判断 的,对于系统程序出现偏离设定的运行状态,VPS可随时切断系统输出板的供电 电源,使系统维持在安全的状态。
如图8所示为程序分支结构发散节点所进行的安全转移,具体步骤如下
(1) 通道1内的数据经函数f (x)后进入安全条件转移通道;
(2) 安全条件转移通道根据通道1的转移条件进行值域划分;
(3) 通过均衡算法获取该条件转移分支结构唯一的安全校核字;
(4) 该校核字作为通道CHA执行的依据,只有获取正确的条件转移校核字, 通道CHA才能执行;
(5) 同样的道理,若获取的是通道CHB、 CHC条件转移的安全校核字,则 执行通道CHB、 CHC内的运算。
如图9所示为程序分支结构混合节点所进行的安全转移,具体步骤如下
(1) 通道1内的数据经函数f (x)和通道2内的数据经函数g (x)后进入安 全条件转移通道;
(2) 安全条件转移通道根据通道1和通道2内计算出的数据之间的关系进行 值域划分;
(3) 通过均衡算法获取该条件转移分支结构唯一的安全校核字;
(4) 该校核字作为通道CHA执行的依据,只有获取正确的条件转移校核字, 通道CHA才能执行;
(5) 同样的道理,若获取的是通道CHB、 CHC条件转移的安全校核字,则 执行通道CHB、 CHC内的运算。
如图IO所示为状态转移的安全监控,系统程序在设计之初为每个状态转移流 程分配唯一的安全校核字,该校核字作为校验通道的输入变量,只要执行了正确的 状态转移才能生成正确的校核字。转移过程可描述为-
(1) 状态S1转移到S5;
(2) 状态S5根据条件生成校核字;
(3) 状态S3转移到S2;
(4) 状态S2根据条件生成校核字
(5) 状态S2转移到Sl;
(6) 状态Sl根据条件生成校核字;
以上状态可以任意的转移,但整个状态转移图只分配唯一的一个安全校核字。 如图11所示为安全校核字的生成方法,具体过程为
(1) 为状态转移图中的每一个状态分配一个状态字S1、 S2........ S5;
(2) 每个状态字之间根据转移条件生成转移字CW;
(3) 状态字之间满足条件转移约束,如S1转移到S2,过程为Sl经多项式 除法后和转移字CW1异或,结果再进行多项式除法,生成的结果为S2,其它状态 转移的实现过程雷同;
(4) 若该状态为本周期的最终状态,则获取该状态对应的修正常数P,经过 多项式除法运算,生成状态转移对应的状态校核字CHW。
如图12所示为采用有限状态机对程序的分支结构进行安全监控,具体过程

(1) 分支结构的安全校核字A与预置常数进行异或运算;
(2) 运算结果进行多项式除法实现状态转移;
(3) 除法余数与分支结构安全校核字B进行异或运算;
(4) 异或结果进行多项式除法实现状态转移;
(5) 计算结果为获取的安全分支监控通道的校核字,通过该值判断程序中分 支结构是否发生了安全转移,该值满足码字校验算法;
(6) 为了保证程序分支校核通道内最后计算出的校核字唯一,通过多项式除 法的逆运算获取预置常数。
本发明根据车载ATP系统程序自身的特点,把程序分解为输入功能、循环功 能、分支功能、状态功能等不同的功能模块,通过程序的冗余执行,把连续的程序 执行转化为离散的变量输入,然后通过多项式除法实现离散变量的状态转移,进而 实现离散变量的安全输出。 (1)校核字的编码格式
在校核字的选取过程中,采用不同的生成多项式可以生成不同的变量编码,对 应于一个字长确定的编码,增大信息位的长度将会增大编码的数量,而降低其校验 检错的能力;减小信息位的长度将减少编码的数量,但将会增大系统的检错能力。
本发明的系统程序中校核字变量采用32位(根据系统的安全需要来确定)码 字表示,如图1所示,其中最低为0表示假值,代表安全侧数值,最低为l表示真 值,代表危险侧数值。每个码字的低14位为信息元(信息位的个数根据系统变量 的多少来确定),高18位为校验元,这里称为(32, 14)码;不同的信息元对应于 不同的校验元,形成一一映射的关系。
(2) 均衡算法
在系统程序的设计过程中,存在输入变量的参数为一指定的取值范围(如定 时器的计数值,比较运算等),为了使该输入变量和确定的码值对应起来,引入了 均衡算法的设计理念,其特点在于,输入是一范围内离散参数,输出为一确定的码 字,该码值满码字校验算法;均衡算法从本质上来讲属于函数曲线拟合的一种,实 现离散多输入到唯一输出的一个映射。
如图2所示,输入变量为X,其特点是值域确定的离散多变量,通过均衡算法, 需要使其输出为一确定的值,并且满足码字校验算法,以验证计算结果的正确;输 出的码字作为安全校验通道的输入变量,实现在对程序中出现的采用均衡算法生成 的码字进行安全监控。
均衡算法可以通过下述函数来实现
y-(g(Z) + M0&M)
式中Ma和Mb为预置常数,当输入变量X为一取值确定的范围时,输出Y 为满足码字校验算法的唯一确定的值,则该过程定义为均衡过程,该算法称之为均 衡算法。
(3) 连续变量的离散处理
车载ATP中的输入变量中涉及测速、轨道电路信息的拾取、信标信息的拾取 以及开关量的输入,输入变量中既有离散变量,又有连续变量,对于离散变量的输 入,直接采用编码的输入模式,而对于连续变量,需要经过特殊的处理,使输入的 连续变量转化为离散变量来处理。
为了增加检测电路的安全性,对列车的速度检测采用了二取二的设计模式,如 图3所示,相异性主要体现在测速传感器的类型不同。
速度检测单元的数据进入计算机后,可能存在一定的差异(数据本身的不一致 性,但数据本身并没有问题),另外还存在出错的可能;为了保证计算的安全性采
用的处理方式如下
首先对采集到的输入数据进行值域判断,超出值域的数据一概丢弃;值域的设 定则根据列车的运行特性来决定,如在T时刻列车的速度为V(T),则根据列车的 加减速特性可以获得列车在T+1时刻速度的最大值和最小值;因此在CPU运行的 每个周期,我们可以根据前一周期计算出该通道内列车速度的最大值和最小值,把 当前速度值和列车的最大最小速度值进行对比,可以判断列车的速度是否在有效的 速度范围之内,进而来决定是否允许其执行后续的处理。
若上述处理过程获得的速度值有效,则进行下一步的处理,处理过程如下
两个CPU分别把自己获取的双通道数据传输给对方,这样每个运算CPU可以 获得三个通道的输入数据,三个通道的数值进行平均化处理,这样可以保证三个相 异的输入通道在进行后续处理时其输出的数据是完全一致的。
上述两个运算过程均在安全通道的监控之下运行,涉及比较与求均值的运算, 两个过程均有对应的校核字,若比较或运算过程出现问题,则不能获取有效的安全 校核字,进而切断后续通道的执行。 (4)循环体校核字的生成
在对系统程序的设计过程中,循环体程序可以抽象为对同一函数的若干次运 算;但执行循环过程中,有可能使循环的次数增加或者减少,这样使得对函数的运 算出现问题。
对于固定循环次数的循环体,其示意图可由图4来表示。在程序的执行过程 中,在某一个确定的通道内,程序执行循环;图中G(x)为进入循环体前执行的一 个函数,Q(x)为执行完循环体后要执行的函数,如果程序在循环时不加监控,循环 体执行的正确性将不能保证;为了增加系统的安全性,保证循环体的操作正确,根 据循环体重复运行的特点,在循环体中嵌入了标志数据,通过每个循环周期提供的 标志数据来计算循环体的安全校核字的方式来保证循环的正确执行。
在循环体开始前,程序根据循环的次数获取循环体校核字的修正值,循环体 每执行一个周期,程序提供一个确定的标志数据De/0 (奇偶周期标志数据不同); 标志数据作为有限状态机转移的充要条件;当程序执行了正确的循环次数时,有限 状态机可获得该循环体唯一正确的校核字;当循环体执行的次数增加或者减少,有 限状态机输出的结果均为假值或非法值;为了增大循环程序执行的安全性,在循环 体执行的不同周期,可使标志数据逐次递增。
对系统程序中出现的每个循环体分配唯一的一个校核字;在循环体的执行过程 中,只有执行了正确的循环才有可能获得校核字的真值,其他任何情况,均为假值 或非法值;通过这种设计,可以充分保障循环体执行的正确性。
为了实现这一目标,设计的循环体安全校核字的生成办法如图5所示。在程 序进入循环体前获取修正值,在循环体的执行过程中,每个循环获取一个标志数据, 标志数据作为安全校核字生成的依据。当循环没有达到设定的循环之前,使得每个 循环结束之后获得的校核字为假值,通过设置修正值和标志数据可以实现这一目 标;当循环体执行到设定的循环周期,这时可以计算出正确的安全校核字,从而来 证明循环体执行了正确的循环;当循环体的周期大于设定值时,获得的校核字则为 非法的值,从而来保证循环的正确执行。
对于循环次数不确定的循环体,程序每执行一次循环,循环体提供标志数据, 而在循环执行的入口或出口,根据循环执行的条件通过均衡算法计算出校核字,系 统程序根据这些离散变量便可以计算出相应的循环体校核字,进而来影响系统的输 出。
(5)程序分支结构的安全校核
分支结构是系统程序设计过程中重要的一环,程序运行过程中实现分支结构 的安全转移对系统的安全至关重要,程序运行若出现转移错误,则会严重危及控制 系统的安全;为了实现程序流程过程中条件分支的安全转移,特为该类型的结构进 行了安全设计;安全设计的主要目标为为系统程序中出现的每一个条件转移分配 唯一的安全校核字,只有当程序实现了正确的转移,该分支机构才能获得唯一的校 核字真值,其他任何情况均不能获取该值。
条件转移的程序流程归纳为3类汇聚节点、发散节点、混合节点。下面对 不同类型的程序分支节点的安全处理进行详述。
汇聚节点如图7所示,在计算通道内有两路运算数据,经过条件转移之后
变为一路的数据;该结构的典型应用是列车的实际速度与当前限制速度的比较。该 类型结构可描述为
//广 , 条件转移的结构类型的本质是对32位宽的值域空间进行了分割,对分割的子 区间进行均衡算法的运算处理,赋予不同子区间唯一的系统校核字,从而来实现程 序流程分支机构的安全转移。
汇聚节点实现安全校核字的方法可描述如下
X、 Y运算通道l、 2内计算的数据,位宽为32位,K是赋予该条件转移的 安全校核字,用32位宽的无符号数来表示;当条件成立时,K获得真值,否则为假。
当Y=0时,则可以直接根据均衡算法获得条件转移的安全校核字。 当Y #0时,校核字的生成步骤如下
第一步乘法运算
乙 一
M为乘积因子,其值在系统设计之初确定,M值时必须保证运算过程中不
会发生溢出,通过这种方式,可以把Z的值域被划分为两个部分
'Z = {0v..,M} ,X^Y
Z = {M-1,...232} ,X>Y 第二步均衡算法,实现的方法为
式中Ma和Mb是32位的预置常数,通过过程g(Z)后,均衡算法的结果为
'咒=真值 ,Z = {M-1,...,232}
《=假值 ,其他
通过调整均衡算法的参数,使得在Y-0和^0两种情况,均能获得条件转移 的唯一校核字。
发散节点其结构如图8所示,对应于计算通道出现不同的运算值,在遇到 发散节点时可以使原计算通道发生不同方向的条件转移;若出现了错误的转移,将 会危及系统的安全。
该类型的分支结构可以描述为
f胸>。 CiW ^胸-O C朋 ^胸<0 O/C
该类型的条件转移同汇聚节点的条件转移所要实现的目标相同,即为每一个 条件分支赋予唯一的安全校核字,该校核字在系统设计之初生成,当系统程序在发 生条件转移时获得了正确的校核字,则认为程序在分支结构的转移之中是正确的, 否则认为程序的转移发生了错误。
对于通道值和确定常数的比较,直接使用均衡算法即可获得条件转移的安全 校核字。
混合节点该类型的分支结构应理解为汇聚节点和发散节点的组合,其要实 现的目标与前面的一致,即不同的分支要获取该分支结构上唯一的一个安全校核 字;如图9所示,混合节点分支结构可描述为
<formula>formula see original document page 16</formula>
对于混合节点中出现的第一种类型的转移,该分支结构的校核字的获取方法 同汇聚节点结构校核字的获取方法;第二种类型的条件转移可分解为两部分,即与 运算(&&)前一部分,与运算后一部分,每一部分均有各自的校核字,最后通过 预置常数使产生的校核字唯一;第三类型的条件转移也可以理解为两部分,或(! !) 运算前一部分,或运算后一部分,由于实现的是或运算,为了保证生成的校核字唯 一,对于前后两部分分别设置不同的预置初值,无论哪种情况下,均可获取正确的 条件转移校核字。
(6)状态转移的安全监控 在车载ATP的系统程序设计过程中,会出现系统程序的状态转换,不同的状 态之间通过特定的条件进行转换,如系统程序中对打滑的处理;由于不同的状态转 移关系到系统运行的安全,错误的状态转移将危及系统运行的安全,因此需要对系 统程序中出现的状态转换进行特定的安全设计,以确定系统程序运行的安全。
为了便于系统程序的设计,针对程序中出现的不同状态转移流程图,分配其唯 一的安全校核字,状态转移的正确与否,由相应的状态转移安全校核字来保证。
图10中不同的状态之间可以相互跳转,可以是单向的,也可以是多向的,如 在状态S1—">S5,或者从状态S1——>S4 (图中未画出,车载ATP中某一状态 只能通过其他有限的状态进行跳转,采用该原理对其无影响),不同的状态只能生 成唯一的状态安全校核字。
状态安全校核字的获取过程,如图11所示。校核字的获取过程如下首先设 定程序不同状态的校核字S,根据状态校核字再来确定不同状态转移的条件校核字 CW,条件转移校核字可根据状态转移条件通过均衡算法获取;为了使程序在执行 的每个周期所获取的校核字唯一,对应每个程序状态校核字分配一个修正常数P, 通过多项式除法,可以把不同的32位校核字合并成唯一的一个系统程序状态校核 字CHW,该校核字作为校验通道的一个输入从而来决定系统的输出。 (7)系统程序流的安全监控
系统程序通过赋予每个输入功能模块、循环体、程序分支、状态转移唯一正 确的校核字来保证系统程序的安全执行;为了便于对程序中出现的体校核字统一进 行管理,采用有限状态机状态转移的方式对不同功能体所形成的安全校核字进行合 成,合成方法为通过多项式除法实现不同离散变量的状态转移,从而来保证系统程 序的安全执行。
权利要求
1. 车载ATP系统程序到安全编码的转换方法,其特征在于,该转换方法包括(1)针对连续速度变量处理步骤;(2)程序循环体安全校验步骤;(3)程序分支结构体安全校验步骤;(4)状态安全跳转的实现步骤。
2. 根据权利要求1所述的车载ATP系统程序到安全编码的转换方法,其特征 在于,所述的针对连续速度变量处理的方法包括a. 通过两路独立相异的速度检测装置获取当前时刻的速度值;b. 根据列车前一时刻的速度值及列车的加、减速特性获取当前速度的最大值 和最小值;c. 比较当前速度值是否在速度的值域内,并把比较运算转换为确定的比较校 核字;d. 求速度的均值,在计算过程中获取安全运算校核字;e. 比较校核字和安全运算校核字送入校验通道,参与系统的安全输出运算。
3. 根据权利要求1所述的车载ATP系统程序到安全编码的转换方法,其特征 在于,所述的程序循环体安全校验的方法包括a. 程序出现的运算通道和保证循环安全执行的校验通道分别负担不同的功能;b. 运算通道执行程序的正常运算,校验通道提供运算通道执行结果正确与否 的状态标示;c. 校验通道根据获取状态标示的校核字,通过多项式除法进行合成,通过调 节预置常数使合成的校核字唯一。
4. 根据权利要求3所述的车载ATP系统程序到安全编码的转换方法,其特征 在于,所述的程序循环体安全校验的方法中校核字的生成方法为在循环体的每个 执行周期,提供一个确定的标志数据,该数据作为该循环体校核字的一个输入因子。
5. 根据权利要求3所述的车载ATP系统程序到安全编码的转换方法,其特征 在于,所述的系统程序中出现的每个循环体对应唯一的一个安全校核字,校核字间 通过异或运算和多项式除法进行合成,实现对程序中不同循环体的安全监控。
6. 根据权利要求1所述的车载ATP系统程序到安全编码的转换方法,其特征 在于,所述的程序分支结构体安全校验的方法包括a. 程序出现的运算通道和保证分支实现安全转移的校验通道分别负担不同的 功能;b. 运算通道执行程序的正常转移,校验通道提供转移通道执行结果正确与否 的状态标示;c. 校验通道采用均衡算法计算获取的校核字,根据计算的校核字判断程序分 支是否转移的正确。
7. 根据权利要求6所述的车载ATP系统程序到安全编码的转换方法,其特征 在于,所述的程序分支结构体安全校验的方法中程序分支安全校核字的生成方法包 括a. 对不同类型的分支结构分为三类,对每一类程序的分支结构赋予唯一的分 支结构安全校核字;b. 汇聚节点的分支结构校核字的生成直接采用均衡算法或两通道相除后再采 用均衡算法计算校核字的方法来实现安全转移;通过调整均衡算法的参数实现校核 字的唯一;c. 发散节点的分支结构直接采用均衡算法来计算校核字,不同分支生成的校 核字不同;d. 混合节点的分支结构采用汇聚节点和发散节点校核字的生成方法,通过调 整均衡算法的参数或校核字的预置常数以使每条分支结构生成唯一的安全校核字;e. 不同分支结构的安全校核字通过异或运算与多项式除法进行合成,实现对 程序中不同分支结构转移时的安全监控。
8. 根据权利要求1所述的车载ATP系统程序到安全编码的转换方法,其特征 在于,所述的状态安全跳转的实现方法包括a. 每种状态分配一个状态字,不同状态之间有对应的条件转移校核字;b. 状态字之间的转移由多项式除法和条件转移校核字来决定;c. 每个状态字通过与预置常数的运算生成唯一的一个状态跳转安全校核字。
全文摘要
本发明涉及车载ATP系统程序到安全编码的转换方法,该转换方法包括针对连续速度变量处理步骤;程序循环体安全校验步骤;程序分支结构体安全校验步骤;状态安全跳转的实现步骤。与现有技术相比,本发明实现对车载ATP在运算过程中进行安全防护,从而使其危险侧故障发生的概率低于系统的设计要求,进而来保证系统的运行安全。
文档编号G05B19/048GK101377665SQ200810200488
公开日2009年3月4日 申请日期2008年9月25日 优先权日2008年9月25日
发明者左德参 申请人:卡斯柯信号有限公司
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1