[发明专利]轨道交通信号控制系统反应式故障-安全机制的实现方法

说明书

本发明实施例提供了一种轨道交通信号控制系统反应式故障‑安全机制的实现方法。该方法包括：将轨道交通信号控制系统分为输入单元、逻辑运算单元、通信单元、输出合成单元、输出驱动单元和安全监视器，在逻辑运算单元和安全监视器之间设置双向实时通信通道，利用安全监视器，在逻辑运算单元的协助下，采用两级动态信号判断输入单元、通信单元、输出合成单元和输出驱动单元工作是否正常，并将判断结果反馈给逻辑运算单元，且设置两级输出反馈协同完成安全关断。本发明提高了抵御安全风险的能力，完善了拒绝的安全特性，解决了目前反应式故障‑安全机制中所存在的、与拒绝相关的安全风险问题。

技术领域

本发明涉及安全系统技术领域，轨道交通信号控制系统反应式故障-安全机制的实现方法。

背景技术

EN 50129标准规定：在发生单个随机失效时必须确保系统、子系统或设备满足规定的安全水平。这种故障-安全机制实现方式有3种：组合式故障-安全、反应式故障-安全和内在式故障-安全。

EN 50129标准还规定：反应式故障-安全允许一个安全相关功能由单个项执行，前提是通过快速的危险失效检测(例如通过编码，多路计算和比较，或通过连续的测试)和拒绝来确保其安全操作。尽管只由一个项实施实际的安全相关功能，但检查、测试或检测功能可视为第二项。检查、测试或检测功能应是独立的，以避免共因失效，如图1所示。

EN 50129标准还规定：反应式故障-安全要求检测和拒绝所需最大时间不应超出规定的有潜在风险的瞬间输出持续时间限制。当检测由设备自身完成时，失效检测时间是测试的间隔时间；当检测由人工完成时，失效检测时间是维护的间隔时间。极端情况是系统安装后的生命周期内，当设备处于储存时，失效检测时间为维护人员定期测试的间隔时间。

EN 50129标准也规定：检测出第一个失效后，系统、子系统或设备应进入或保持在一个安全状态。达到安全状态的时间必须足够短以使检测和拒绝的总时间满足规定的安全指标。拒绝时间一般是自动或人为切断系统相应部分所用的时间。检测出第一个失效并进入安全状态后，后续失效不能使系统退出安全状态，仅在受控方式下并作为纠错过程的一部分，才能退出限制性的安全状态，在第一个失效出现后允许的修复时间内，如果失效进一步发生，系统、子系统或设备应保持在安全状态。另外，为实现规定的安全性指标所允许的修复时间必须足够短。

轨道交通信号控制系统在应用反应式故障-安全机制时，一般与组合式故障-安全、内在式故障-安全机制联合使用。实现反应式故障-安全机制的基础是对快速危险失效的检测，关键点在于拒绝。

现有技术中，已公开的反应式故障-安全的实现方法，拒绝的实现方式不外乎通过开关(最常见的是继电器)切断输出，或是通过开关(最常见的是继电器)切断输出电源，或是联合使用前述的切断输出和切断输出电源两种方法，但这些通过开关切断的方式已被各种事故经验和相关理论分析证明在特定条件下存在一定的安全隐患。

另外，拒绝条件一般由计算机软件通过程序判断检测结果而控制产生，可等效为二进制“与”逻辑：拒绝条件＝检测结果*安全驱动源。对于轨道交通信号控制系统而言，安全驱动源一般选择为动态信号。这种二进制“与”逻辑直观上都可以发现存在安全隐患的。例如在计算机软件中常见以下情况：由于程序跑飞，造成瞬间或一段时间内该拒绝而未拒绝的错误输出，这会直接带来安全风险。

因此，有必要针对反应式故障-安全机制中所存在的、与拒绝相关的安全风险问题，设计一种新型的轨道交通信号控制系统反应式故障-安全机制的实现方法。

发明内容

本发明的实施例提供了一种轨道交通信号控制系统反应式故障-安全机制的实现方法，以解决上述背景技术中的问题。

为了实现上述目的，本发明采取了如下技术方案：

本发明的实施例提供的一种轨道交通信号控制系统反应式故障-安全机制的实现方法，其特征在于，该方法包括：