一种适用铁路信号系统的通用内嵌功能安全保障方法与流程

本发明涉及一种铁路信号系统，尤其是涉及一种适用铁路信号系统的通用内嵌功能安全保障方法。

背景技术：

以铁路信号系统为代表的安全严苛系统对于功能输出满足极低的危险输出概率，依据标准要求安全完整性等级sil4下，其pfh失效概率小于10^-8h。依据标准要求，通常产品需要设计冗余、人员v&v、配合安全限制以及管理手段确保系统安全可靠运行。

现实的情况是，即便如此涉及有风险触发演变为事故，涉及铁路信号系统会有根据事故损失影响伤亡不同，分类a、b、c、d等几类事故。往往在事故实际发生，造成了设备、人员等实际损失等非常重大影响，这也是安全严苛系统对于区别于一般系统最重要的领域。通过事故后回溯分析，专家参与研判，完成事故原因分析形成相应报告，对应可能更新技术规范，管理规章以及更新培训等，比如“国务院关于7.23动车追尾事故调查报告”。这个情况往往会以一次已发生事故为代价，造成实际损失后才能纠偏，规避。同时存在一些事故情况，即便是相关原因的由于管理手段、培训人员等因素，还是有再次发生。对已经发生过的同类型的，现行的通过管理及人员培训等手段规避还是不能完全避免。

技术实现要素：

本发明的目的就是为了克服上述现有技术存在的缺陷而提供一种适用铁路信号系统的通用内嵌功能安全保障方法。

本发明的目的可以通过以下技术方案来实现：

一种适用铁路信号系统的通用内嵌功能安全保障方法，该方法将内嵌功能安全保障bifs模块集成进信号系统设备中，将面向功能实现为主架构变更为通用应用层和bifs反应故障安全架构，同时将bifs模块独立于信号设备供应商的方案架构设计，安全性从信号设备供应商设备层面扩展至信号系统功能应用，并具有在线实时防护性。

优选的，所述的bifs模块采用系统性思维方案进行设计。

优选的，所述的bifs模块将信号系统的经验积累固化在模块中。

优选的，该方法包括既有的通用应用实现以及新增的bifs保障两个部分组成；

在既有通用应用部分完成功能处理计算后，在实际物理输出前，有新增的bifs模块负责安全功能保障判定，如果符合设定就控制输出，否则对输出模块进行卡控，避免功能的错误输出。

优选的，所述的bifs模块与实际真实设备的功能等价，在判断阶段已经在bifs模块内产生相应后果，就可通过“反应故障安全”控制线直接掐断逻辑输出，避免了系统设备层面的后果发生造成实际损失。

优选的，所述的在判断阶段已经在bifs模块内产生相应后果，就可通过“反应故障安全”控制线直接掐断逻辑输出具体为：

1)输入input1、input2进入输入模块，同时复制一份至bifs模块；

2)输入模块将输入input1、input2传递至功能模块进行功能运算处理；

3)功能模块处理完成后，输出相应的控制指令输出一、输出二至输出模块，同时复制一份至bifs模块；

4)与真实车载信号设备功能等价使用上述接受的数据进行处理判断，并依据判定结果对输出模块进行控制。

如果结果符合，则控制输出；

如果结果产生严苛后果或者不符合要求，则卡控切断输出模块输出；

5)bifs模块每周期实时运算并卡控，记录相应日志并实现控制，并可回溯相应卡断时刻的各种信息。

优选的，该方法由于bifs功能等价等方式，铁路信号系统在线运行过程中也会进行判断，避免严酷结果的出现，实现了内嵌安全功能保障。

优选的，该方法核心架构在于独立于信号设备提供商之外实现bifs的应用避免共模失效，同时提供在线防护系统及安全功能性危险输出，可避免同类型事故的二次发生，将铁路信号系统使用者的经验内嵌固化，在线应用。

与现有技术相比，本发明具有以下优点：

1)通过应用bifs方法，提供全新的铁路信号系统技术监管手段，改变以往造成事故或者伤害损失后才可感知的现状，通过在线实时防控，根本上缓解或者规避了事故的发生，不会造成重大的损失及影响；

2)采用铁路信号使用者主导的bifs方法，在技术积累方面天然存在优势，有利于故障经验的固化。由于区别于以往管理的防护手段，使用在线的技术手段，在线实时防护，根本上杜绝同类型事故的二次发生；

3)由铁路信号系统使用者主导bifs方法应用模块的设计实现，独立于信号设备供应商，在架构上就符合安全管理的要求。采用不可接受集方式，在技术规避了与信号设备商自己的共模失效问题；

4)由于采用bifs在线实时监控技术手段，可以记录相应的日志，便于“事故”(未实际产生后果损失)的分析，提供更好的技术分析。

附图说明

图1为本发明的工作流程图；

图2为本发明bifs功能方案内部实现原理图；

图3为本发明bifs应用方案管控方案流程图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明的一部分实施例，而不是全部实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都应属于本发明保护的范围。

本发明方法基本原则如下：

1)通过铁路信号系统使用者主导，完成bifs方法模块，集成进信号系统设备中。变更既有安全严苛系统通用应用的架构方案，由通常面向功能实现为主架构方案，变更为通用应用层-bifs反应故障安全架构，从根本上实现安全严苛通用应用的架构安全性；

2)独立于信号设备供应商的方案架构设计，规避共模共因失效，采用系统性思维方案进行bifs模块设计，安全性从信号设备供应商设备层面扩展至信号系统功能应用，同时是在线实时防护性；

3)应用bifs方案，本身是一个动态的过程，其中的信号系统的经验积累均可以固化在模块之中，可以根本性杜绝同类型事故的二次发生。

具体实现方案如下描述，本方案通过铁路信号系统使用者主导bifs模块，将原有的通用应用实现方案架构，扩展为通用应用实现以及bifs保障两个部分组成，形成故障导向安全的架构方案，其以对轨旁信号设备防护为例，图示关联关系部分如图1描述：

其中由信号系统使用者主导实现bifs功能，对既有部分无改动需求，保证各自的独立性原则，其实现原理，在既有部分完成功能处理计算后，在实际物理输出前，有bifs模块负责安全功能保障判定计算，如果符合设定就控制输出，否则对输出模块进行卡控，避免功能的错误输出。

比如，由于人为原因的数据配置错误，导致的轨旁列控设备按照既定设计处理并实际输出(功能上并未失效)，按照既有的实现方式，该错误的后果只有真实车载设备接收后，产生实际后果后才会显现(此时故障已产生)。而按照本发明方案中所述，由于bifs模块与实际真实设备的功能等价，在判断阶段已经在bifs模块内产生相应后果(软件逻辑层面)就可以通过“反应故障安全”控制线直接掐断逻辑输出避免了系统设备层面的后果发生造成实际损失。具体如下：

1.输入input1、input2进入输入模块，同时复制一份至bifs模块；

2.输入模块将输入input1、input2传递至功能模块进行功能运算处理；

3.功能模块处理完成后，输出相应的控制指令输出1、输出2至输出模块，同时复制一份至bifs模块；

4.与真实车载信号设备功能等价使用上述接受的数据进行处理判断，并依据判定结果对输出模块进行控制。

如果结果符合，则控制输出；

如果结果产生严苛后果或者不符合要求，则卡控切断输出模块输出；

5.bifs模块每周期实时运算并卡控，记录相应日志并实现控制，并可以回溯相应卡断时刻的各种信息。

相应的，由于系统涌现性，以及条件输入集与真实运行条件的差异，在铁路信号系统运行中，也是直到有后果发生才能直到。对比本发明应用方案，由于bifs功能等价等方式，铁路信号系统在线运行过程中也会进行判断，避免严酷结果的出现，实现了内嵌安全功能保障。

本发明的核心架构在于独立于信号设备提供商之外实现bifs的应用避免共模失效；提供技术手段，在线防护系统及安全功能性危险输出，可以避免同类型事故的二次发生，将铁路信号系统使用者的经验内嵌固化，在线应用。

具体实施案例：

技术实现如下：

见图2，描述了本方法的实现处理流程。其中a系列为通用应用部分，b系列为bifs功能部分。主要包括以下步骤：

步骤1，安全严苛系统通用任务启动，初始化a.0通用应用初始化任务，创建相关用户内存区；

步骤2，时序上，步骤1结束后bifs功能完成初始化，同步本周期的通用应用来自平台级应用输入模块a1.当前周期功能输入激活使能；

步骤3，进入a2.通用应用逻辑处理，依照设备功能需求差异实现逻辑不同，结合外部输入a1数据以及初始化离线数据，进行相应的功能逻辑处理过程。以安全时间防护功能为例，主要实现伪如下：

步骤4，a2.通用应用逻辑处理模块完成处理后，将安全控制结算结果暂存在a3.当周期处理输出中，并将相应数据memo-copy至b1.bifs功能处理；

步骤5，初始化完成b0.bifs功能初始数据及a3.当周期处理输出拷贝过来的数据，作为输入，b1.bifs功能处理进行执行(见图3):

i.顺序选择原则(可以设定)进行功能实现验证[原则1，原则2，原则3，原则4]；

ii.对适用的原则判断结果进行集合筛选，判定结果行为与预设值或者反应状态差异；

iii.利用上述得到的新的行为结果，对bifs进行真假值进行设定，并传递安全冗余编码后的“判定输出”；

步骤6，b1.bifs功能处理存在真值，假值(是/否)两种判断，当为真值是的时候，a4.通用应用对外输出模块使能，对外输出本周期计算结果，本周期n技术处理结束，进入n+1周期；当为假值否的时候，b1.bifs功能处理卡断a4.通用应用对外输出模块，并禁止计算周期进入n+1周期，导向功能安全侧。

相应管控方案下：

见图3流程图所示，相应步骤描述如下：

步骤a，信号系统使用者(监管方)主导完成bifs功能模块，并持续更新进化a1；

步骤b，信号设备提供商在产品开发中，集成bifs模块功能并完成相应测试，由信号系统使用者完成接口支持b1；

步骤c，经过功能验证测试后的信号设备，投入运营，在线完成信号的正常功能服务，bifs功能持续监控；

步骤d，当bifs生效拦截完成某“事故”(未产生安全后果及影响)，提供相应的日志记录；

步骤e，经过信号系统监管方组织分析该“事故”致因分析，并设计完成规避规则，对应的更新bifs模块；

步骤f，致因分析后，相应的分析信号设备固有服务功能设计、工程实施数据等缺陷，形成相应的管理手段，技术规则培训等管理输出；

步骤g，经过信号系统监管方的确认，相应的对信号设备提供商进行管理职能输出，包括相应考核手段等；

步骤h，确认信号设备本身缺陷时候，相应的更新信号设备以及维护管理等技术要求；

步骤j，经有效缓解确实的安全保护下，产品继续服务现场，确保整个铁路运输生产的连续性；

本发明已经被应用于铁路通信信号控制系统设计中，该应用方案系统已通过专利所有权人内部专家评审，能够有效的规避并缓解严酷等级高hazard的安全影响，提升整个信号系统的安全运行保障能力。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到各种等效的修改或替换，这些修改或替换都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以权利要求的保护范围为准。