CN108639103B - 轨道交通信号控制系统反应式故障-安全机制的实现方法 - Google Patents

Abstract

本发明实施例提供了一种轨道交通信号控制系统反应式故障‑安全机制的实现方法。该方法包括：将轨道交通信号控制系统分为输入单元、逻辑运算单元、通信单元、输出合成单元、输出驱动单元和安全监视器，在逻辑运算单元和安全监视器之间设置双向实时通信通道，利用安全监视器，在逻辑运算单元的协助下，采用两级动态信号判断输入单元、通信单元、输出合成单元和输出驱动单元工作是否正常，并将判断结果反馈给逻辑运算单元，且设置两级输出反馈协同完成安全关断。本发明提高了抵御安全风险的能力，完善了拒绝的安全特性，解决了目前反应式故障‑安全机制中所存在的、与拒绝相关的安全风险问题。

Description

轨道交通信号控制系统反应式故障-安全机制的实现方法

技术领域

本发明涉及安全系统技术领域，轨道交通信号控制系统反应式故障-安全机制的实现方法。

背景技术

EN 50129标准规定：在发生单个随机失效时必须确保系统、子系统或设备满足规定的安全水平。这种故障-安全机制实现方式有3种：组合式故障-安全、反应式故障-安全和内在式故障-安全。

EN 50129标准还规定：反应式故障-安全允许一个安全相关功能由单个项执行，前提是通过快速的危险失效检测(例如通过编码，多路计算和比较，或通过连续的测试)和拒绝来确保其安全操作。尽管只由一个项实施实际的安全相关功能，但检查、测试或检测功能可视为第二项。检查、测试或检测功能应是独立的，以避免共因失效，如图1所示。

EN 50129标准还规定：反应式故障-安全要求检测和拒绝所需最大时间不应超出规定的有潜在风险的瞬间输出持续时间限制。当检测由设备自身完成时，失效检测时间是测试的间隔时间；当检测由人工完成时，失效检测时间是维护的间隔时间。极端情况是系统安装后的生命周期内，当设备处于储存时，失效检测时间为维护人员定期测试的间隔时间。

EN 50129标准也规定：检测出第一个失效后，系统、子系统或设备应进入或保持在一个安全状态。达到安全状态的时间必须足够短以使检测和拒绝的总时间满足规定的安全指标。拒绝时间一般是自动或人为切断系统相应部分所用的时间。检测出第一个失效并进入安全状态后，后续失效不能使系统退出安全状态，仅在受控方式下并作为纠错过程的一部分，才能退出限制性的安全状态，在第一个失效出现后允许的修复时间内，如果失效进一步发生，系统、子系统或设备应保持在安全状态。另外，为实现规定的安全性指标所允许的修复时间必须足够短。

轨道交通信号控制系统在应用反应式故障-安全机制时，一般与组合式故障-安全、内在式故障-安全机制联合使用。实现反应式故障-安全机制的基础是对快速危险失效的检测，关键点在于拒绝。

现有技术中，已公开的反应式故障-安全的实现方法，拒绝的实现方式不外乎通过开关(最常见的是继电器)切断输出，或是通过开关(最常见的是继电器)切断输出电源，或是联合使用前述的切断输出和切断输出电源两种方法，但这些通过开关切断的方式已被各种事故经验和相关理论分析证明在特定条件下存在一定的安全隐患。

另外，拒绝条件一般由计算机软件通过程序判断检测结果而控制产生，可等效为二进制“与”逻辑：拒绝条件＝检测结果*安全驱动源。对于轨道交通信号控制系统而言，安全驱动源一般选择为动态信号。这种二进制“与”逻辑直观上都可以发现存在安全隐患的。例如在计算机软件中常见以下情况：由于程序跑飞，造成瞬间或一段时间内该拒绝而未拒绝的错误输出，这会直接带来安全风险。

因此，有必要针对反应式故障-安全机制中所存在的、与拒绝相关的安全风险问题，设计一种新型的轨道交通信号控制系统反应式故障-安全机制的实现方法。

发明内容

本发明的实施例提供了一种轨道交通信号控制系统反应式故障-安全机制的实现方法，以解决上述背景技术中的问题。

为了实现上述目的，本发明采取了如下技术方案：

本发明的实施例提供的一种轨道交通信号控制系统反应式故障-安全机制的实现方法，其特征在于，该方法包括：

根据轨道交通信号控制系统的功能需求，将轨道交通信号控制系统分为：输入单元、逻辑运算单元、通信单元、输出合成单元、输出驱动单元和安全监视器；

所述逻辑运算单元和所述安全监视器分别进行自检，并在所述逻辑运算单元与所述安全监视器之间设置双向实时通信通道，完成基于连锁逻辑的相互校验功能；

利用所述安全监视器，在所述逻辑运算单元的协助下，判断所述输入单元工作是否正常，并将判断结果反馈给所述逻辑运算单元；

利用所述安全监视器对所述通信单元进行通信监听，判断所述通信单元工作是否正常，并将判断结果反馈给所述输出合成单元、所述输出驱动单元和所述逻辑运算单元；

将所述输出合成单元的输出作为所述安全监视器的第1级输出反馈信号，将所述输出驱动单元的输出作为所述安全监视器的第2级输出反馈信号，通过所述安全监视器分别判断所述输出合成单元和所述输出驱动单元工作是否正常，并将判断结果反馈给所述逻辑运算单元。

优选地，所述的根据轨道交通信号控制系统的功能需求，将轨道交通信号控制系统分为：输入单元、逻辑运算单元、通信单元、输出合成单元、输出驱动单元和安全监视器，包括：

所述输入单元、所述逻辑运算单元、所述通信单元、所述输出合成单元和所述输出驱动单元，用于共同完成轨道交通信号的控制功能，所述安全监视器，用于对所述轨道交通信号的控制功能进行故障检测。

优选地，所述的逻辑运算单元和所述安全监视器分别进行自检，并在所述逻辑运算单元与所述安全监视器之间设置双向实时通信通道，完成基于连锁逻辑的相互校验功能，包括：

所述连锁逻辑是指所述安全监视器与所述逻辑运算单元的任一方都可在自检正常后发起相互校验流程，所述相互校验流程为：任何一方在自身和对方工作正常的情况下向对方发出本方正常的信息，对方工作正常包括所述安全监视器与所述逻辑运算单元之间的双向实时通信正常，且收到对方宣称本方正常的信息；

在上电初始状态时，将所述相互校验流程进行简化：任何一方在本方自检正常，且所述安全监视器与所述逻辑运算单元之间的双向实时通信正常的情况下，即向对方发出本方正常的信息，然后进入所述相互校验流程。

优选地，所述的逻辑运算单元和所述安全监视器分别进行自检，并在所述逻辑运算单元与所述安全监视器之间设置双向实时通信通道，完成基于连锁逻辑的相互校验功能，还包括：

当所述逻辑运算单元自检正常，且通过所述相互校验流程判断所述安全监视器也正常的情况下，向所述安全监视器发送动态信号1，否则，输出稳态信号；

当所述安全监视器自检正常，通过所述相互校验流程判断所述逻辑运算单元正常，且收取的所述动态信号1也正常的情况下，向所述输入单元和所述输出合成单元发送动态信号2，否则，输出稳态信号；

同时，所述逻辑运算单元接收来自于所述输入单元所采集的输入信号，作为其逻辑运算的激励源，所述逻辑运算单元将其冗余编码输出送入所述输出合成单元。

优选地，所述的利用安全监视器在所述逻辑运算单元的协助下，判断所述输入单元工作是否正常，并将判断结果反馈给所述逻辑运算单元，包括：

所述安全监视器向所述输入单元发出的所述动态信号2，作为所述输入单元采集输入信号的时序驱动源，当所述安全监视器自检不正常，或通过所述相互校验流程判断所述逻辑运算单元不正常，或所述逻辑运算单元向所述安全监视器发出的所述动态信号1不正常的情况下，停止发出所述动态信号2，所述输入单元将停止采集输入信号，而导向安全；

所述安全监视器在所述逻辑运算单元的协助下，向所述输入单元发出测试信号用于判断所述输入单元工作是否正常，当所述安全监视器判断所述输入单元工作不正常，所述安全监视器停止发出所述动态信号2而导向安全，并通知所述逻辑运算单元将此情况视为故障状态，所述逻辑运算单元停止冗余编码输出和停止所述动态信号1发出，而导向安全。

优选地，所述的利用安全监视器对所述通信单元进行通信监听，判断所述通信单元工作是否正常，并将判断结果反馈给所述输出合成单元、所述输出驱动单元和所述逻辑运算单元，包括：

所述通信单元负责反应式故障-安全机制在轨道交通信号控制系统的对外通信功能，所述通信单元与外部对象的通信过程由所述安全监视器通过通信监听实现对外通信监督功能；

当所述安全监视器判断所述通信单元对外通信工作不正常，输出稳态信号，并使所述输出合成单元和所述输出驱动单元输出导向安全，以及通知所述逻辑运算单元将此情况视为故障状态，所述逻辑运算单元停止冗余编码输出和停止所述动态信号1发出，而导向安全。

优选地，所述的将输出合成单元的输出作为所述安全监视器的第1级输出反馈信号，将所述输出驱动单元的输出作为所述安全监视器的第2级输出反馈信号，通过所述安全监视器分别判断所述输出合成单元和所述输出驱动单元工作是否正常，并将判断结果反馈给所述逻辑运算单元，包括：

所述安全监视器向所述输出合成单元发出的所述动态信号2，作为所述输出合成单元合成逻辑动作的时序驱动源，当所述安全监视器自检不正常，或通过所述相互校验流程判断所述逻辑运算单元不正常，或所述逻辑运算单元向所述安全监视器发出的所述动态信号1不正常的情况下，停止发出所述动态信号2，所述输出合成单元停止合成逻辑动作并停止输出，而导向安全；

所述输出合成单元的输出，引回所述安全监视器作为第1级输出反馈信号，当所述安全监视器判断所述输出合成单元的输出工作不正常，所述安全监视器停止所述动态信号2发出而导向安全，并通知所述逻辑运算单元将此情况视为故障状态，所述逻辑运算单元停止冗余编码输出和停止所述动态信号1发出，所述输出合成单元停止合成逻辑动作并停止输出，而导向安全；

所述输出合成单元还具备自校验和错误锁闭功能，当所述输出合成单元的内部出现错误，停止合成逻辑动作并停止输出，使所述输出合成单元输出导向安全。

优选地，所述的将输出合成单元的输出作为所述安全监视器的第1级输出反馈信号，将所述输出驱动单元的输出作为所述安全监视器的第2级输出反馈信号，通过所述安全监视器分别判断所述输出合成单元和所述输出驱动单元工作是否正常，并将判断结果反馈给所述逻辑运算单元，还包括：

所述输出驱动单元的输出，通过直接或复示方式引回所述安全监视器作为第2级输出反馈信号，当所述安全监视器判断所述输出驱动单元的输出工作不正常，所述安全监视器停止所述动态信号2发出而导向安全，并通知所述逻辑运算单元将此情况视为故障状态，所述逻辑运算单元停止冗余编码输出和停止所述动态信号1发出，所述输出合成单元停止合成逻辑动作并停止输出，使所述输出驱动单元输出导向安全。

优选地，所述的将输出合成单元的输出作为所述安全监视器的第1级输出反馈信号，将所述输出驱动单元的输出作为所述安全监视器的第2级输出反馈信号，通过所述安全监视器分别判断所述输出合成单元和所述输出驱动单元工作是否正常，并将判断结果反馈给所述逻辑运算单元，还包括：

所述输出合成单元的输出送入所述输出驱动单元，当用于轨道交通信号地面控制系统时，所述输出驱动单元基于重力型信号安全继电器实现，当用于轨道交通信号车载控制系统时，所述输出驱动单元基于弹力型安全继电器实现。

由上述本发明的实施例提供的技术方案可以看出，本发明实施例针对轨道交通信号控制系统，提出了一种轨道交通信号控制系统反应式故障-安全机制的实现方法，将轨道交通信号控制系统分为输入单元、逻辑运算单元、通信单元、输出合成单元、输出驱动单元以及安全监视器，，在安全监视器与逻辑运算单元之间设置双向实时通信通道，完成基于连锁逻辑的相互校验功能，提高抵御安全风险的能力；设置两级动态信号和两级输出反馈，实现多级安全关断，完善了拒绝的安全特性。本发明能够解决目前反应式故障-安全机制中所存在的、与拒绝相关的安全风险问题。

本发明附加的方面和优点将在下面的描述中部分给出，这些将从下面的描述中变得明显，或通过本发明的实践了解到。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为EN50126标准给出的反应式故障-安全实现原理图；

图2为本发明实施例提供的一种轨道交通信号控制系统反应式故障-安全机制的实现方法的基本原理框图；

图3为本发明实施例提供的一种轨道交通信号控制系统反应式故障-安全机制的实现方法的具体实施的结构示意图；

图4为传统的动态数字量安全输入电路原理框图；

图5为本发明实施例提供的一种轨道交通信号控制系统反应式故障-安全机制的实现方法的改进的动态数字量安全输入电路原理框图；

图6为本发明实施例提供的一种轨道交通信号控制系统反应式故障-安全机制的实现方法的一种输出合成单元实现框图；

图7为本发明实施例提供的一种轨道交通信号控制系统反应式故障-安全机制的实现方法的一种输出驱动单元实现框图；

图8为本发明实施例提供的一种轨道交通信号控制系统反应式故障-安全机制的实现方法的处理流程图。

具体实施方式

下面详细描述本发明的实施方式，所述实施方式的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施方式是示例性的，仅用于解释本发明，而不能解释为对本发明的限制。

本技术领域技术人员可以理解，除非特意声明，这里使用的单数形式“一”、“一个”、“所述”和“该”也可包括复数形式。应该进一步理解的是，本发明的说明书中使用的措辞“包括”是指存在所述特征、整数、步骤、操作、元件和/或组件，但是并不排除存在或添加一个或多个其他特征、整数、步骤、操作、元件、组件和/或它们的组。应该理解，当我们称元件被“连接”或“耦接”到另一元件时，它可以直接连接或耦接到其他元件，或者也可以存在中间元件。此外，这里使用的“连接”或“耦接”可以包括无线连接或耦接。这里使用的措辞“和/或”包括一个或更多个相关联的列出项的任一单元和全部组合。

本技术领域技术人员可以理解，除非另外定义，这里使用的所有术语(包括技术术语和科学术语)具有与本发明所属领域中的普通技术人员的一般理解相同的意义。还应该理解的是，诸如通用字典中定义的那些术语应该被理解为具有与现有技术的上下文中的意义一致的意义，并且除非像这里一样定义，不会用理想化或过于正式的含义来解释。

为便于对本发明实施例的理解，下面将结合附图以几个具体实施例为例做进一步的解释说明，且各个实施例并不构成对本发明实施例的限定。

实施例一

本发明实施例提供了一种轨道交通信号控制系统反应式故障-安全机制的实现方法，解决目前反应式故障-安全机制中所存在的、与拒绝相关的安全风险问题。

本发明实施例提供的一种轨道交通信号控制系统反应式故障-安全机制的实现方法的处理流程图如图8所示，具体包括如下步骤：

S810：根据轨道交通信号控制系统的功能需求，将轨道交通信号控制系统分为：输入单元、逻辑运算单元、通信单元、输出合成单元、输出驱动单元和安全监视器。

本发明实施例提供的一种轨道交通信号控制系统反应式故障-安全机制的实现方法的基本原理框图如图2所示，轨道交通信号控制系统包括：输入单元、逻辑运算单元、通信单元、输出合成单元、输出驱动单元和安全监视器。

其中，所述输入单元、所述逻辑运算单元、所述通信单元、所述输出合成单元和所述输出驱动单元，用于共同完成轨道交通信号的控制功能。所述安全监视器，用于对所述轨道交通信号的控制功能进行故障检测。

S820：所述逻辑运算单元和所述安全监视器分别自检，并在逻辑运算单元与安全监视器之间设置双向实时通信通道，完成基于连锁逻辑的相互校验功能。

连锁逻辑是指：安全监视器与所述逻辑运算单元的任一方都可在自检正常后发起相互校验流程。

相互校验流程为：任何一方在自身和对方工作正常的情况下向对方发出本方正常的信息，对方工作正常包括所述安全监视器与所述逻辑运算单元之间的双向实时通信正常，且收到对方宣称本方正常的信息。

在上电初始状态时，将所述相互校验流程进行简化：任何一方在本方自检正常，且所述安全监视器与所述逻辑运算单元之间的双向实时通信正常的情况下，向对方发出本方正常的信息，然后进入上述正常的相互校验流程。

当逻辑运算单元判断其自身工作正常，且通过基于连锁逻辑的相互校验流程判断安全监视器也正常的情况下，向安全监视器发出动态信号1，动态信号1的逻辑电平依次翻转。当逻辑运算单元判断其自身工作不正常，或者通过基于连锁逻辑的相互校验流程判断安全监视器不正常，便停止动态信号1发出，其输出变为稳态信号(任意停在高电平或低电平)。

当安全监视器判断其自身工作正常，且通过基于连锁逻辑的相互校验流程判断逻辑运算单元也正常的情况下，同时逻辑运算单元向安全监视器发出的动态信号1亦正常的情况下，安全监视器向输入单元和输出合成单元发出动态信号2，动态信号2的逻辑电平依次翻转。当安全监视器判断其自身工作不正常，或通过基于连锁逻辑的相互校验流程判断逻辑运算单元不正常，或逻辑运算单元向安全监视器发出的动态信号1不正常，便停止动态信号2发出，其输出变为稳态信号(任意停在高电平或低电平)。

同时，逻辑运算单元接收来自于所述输入单元所采集的输入信号，作为其逻辑运算的激励源，所述逻辑运算单元也要将其冗余编码输出送入所述输出合成单元。

S830：利用安全监视器，在逻辑运算单元的协助下，判断输入单元工作是否正常，并将判断结果反馈给逻辑运算单元。

安全监视器向输入单元发出的动态信号2作为输入单元采集输入信号的时序驱动源，当安全监视器判断其自身工作不正常，或通过基于连锁逻辑的相互校验流程判断逻辑运算单元不正常，或逻辑运算单元向安全监视器发出的动态信号1不正常的情况下，停止动态信号2发出，输入单元将停止采集输入信号，而导向安全。

安全监视器在逻辑运算单元的协助下，向输入单元发出测试信号以判断输入单元工作是否正常，当安全监视器判断输入单元工作不正常的情况下，安全监视器停止动态信号2发出而导向安全，并通知逻辑运算单元应将此情况视为故障状态，逻辑运算单元停止冗余编码输出和停止动态信号1发出，而导向安全。

S840：利用安全监视器对通信单元进行通信监听，判断通信单元工作是否正常，并将判断结果反馈给输出合成单元、所述输出驱动单元和所述逻辑运算单元。

通信单元负责本系统对外通信功能，其与外部对象通信过程由安全监视器通过通信监听实现对外通信监督功能。当安全监视器判断通信单元对外通信工作不正常的情况下，即停止动态信号2发出，其输出变为稳态信号(任意停在高电平或低电平)，并使输出合成单元和输出驱动单元输出导向安全，并通知逻辑运算单应将此情况视为故障状态，逻辑运算单元停止冗余编码输出和停止动态信号1发出而导向安全。

S850：将输出合成单元的输出作为安全监视器的第1级输出反馈信号，将输出驱动单元的输出作为安全监视器的第2级输出反馈信号，通过安全监视器分别判断输出合成单元和输出驱动单元工作是否正常，并将判断结果反馈给逻辑运算单元。

安全监视器向输出合成单元发出的动态信号2作为输出合成单元合成逻辑动作的时序驱动源，当安全监视器判断其自身工作不正常，或通过基于连锁逻辑的相互校验流程判断逻辑运算单元不正常，或逻辑运算单元向安全监视器发出的动态信号1不正常的情况下，停止动态信号2发出，输出合成单元将停止其合成逻辑动作并停止其输出，而导向安全。

输出合成单元的输出引回安全监视器作为第1级输出反馈信号，当安全监视器判断输出合成单元的输出不正常的情况下，安全监视器停止动态信号2发出而导向安全，并通知逻辑运算单元应将此情况视为故障状态，逻辑运算单元停止冗余编码输出和停止动态信号1发出，输出合成单元将停止其合成逻辑动作并停止其输出，而导向安全。

输出合成单元还应具备自校验和错误锁闭功能，当输出合成单元内部出现错误，其合成逻辑动作停止并停止其输出，使输出合成单元输出导向安全。

输出驱动单元的输出，应通过直接或复示方式引回安全监视器作为第2级输出反馈信号，当安全监视器判断输出驱动单元的输出不正常的情况下，安全监视器停止动态信号2发出而导向安全，并通知逻辑运算单元应将此情况视为故障状态，逻辑运算单元停止冗余编码输出和停止动态信号1发出，输出合成单元将停止其合成逻辑动作并停止其输出，使输出驱动单元输出导向安全。

输出合成单元的输出送入输出驱动单元。当用于轨道交通信号地面控制系统时，输出驱动单元基于重力型信号安全继电器实现，当用于轨道交通信号车载控制系统时，输出驱动单元基于弹力型安全继电器实现。

实施例二

该实施例提供了一种轨道交通信号控制系统反应式故障-安全机制的实现方法，针对轨道交通信号控制系统最为常见也是最为基础的数字量输入和输出的信号控制系统，其具体实施方式如下：

如图3所示，逻辑运算单元基于微控制器(MCU)实现，安全监视器基于现场可编程门阵列(FPGA)实现。这种分别基于MCU和PGA的异构设计可进一步降低共因失效而提高系统安全特性。

输入单元基于传统的动态数字量安全输入电路改进而实现，传统的动态数字量安全输入电路如图4所示。其工作原理为：若动态信号2按1010…方式输出动态翻转信号，当数字开关量为逻辑“1”(即数字开关量+和数字开关量-之间的电位差大于零伏，例如5V、12V或24V)时，则图4中安全型动态数字开关量输入处可获得一个与动态信号2反相的动态翻转信号0101…。当数字开关量为逻辑“0”(即数字开关量+和数字开关量-之间的电位差小于或等于零伏)，或电路发生故障时，图4中安全型动态数字开关量输入处只能获得稳态信号(高电平或低电平)，因此是故障安全的。

传统的动态数字量安全输入电路无法区分逻辑“0”输入(即非逻辑“1”输入)还是电路故障。针对此缺点，改进的动态数字量安全输入电路如图5所示，此电路增加了数字开关量动态采集电路测试控制接口，通过二极管与数字开关量输入隔离。当图5中安全型动态数字开关量输入处获得稳态信号(高电平或低电平)时，即通过数字开关量动态采集电路测试控制接口提供一个比数字开关量逻辑“1”时低的电压信号，即数字开关量动态采集电路测试控制+和数字开关量动态采集电路测试控制-之间的电位差小于数字开关量+和数字开关量-之间的电位差，优选差值5V以上。此时若图5中安全型动态数字开关量输入处获得一个与动态信号2反相的动态翻转信号0101…，数字开关量为逻辑“0”；若安全型动态数字开关量输入处只能收到稳态信号(高电平或低电平)，则判断动态数字量安全输入电路出现故障。此时逻辑处理单元进行前述的输入单元故障导向安全处理流程。

输出合成单元基于满足自校验和错误锁存功能的数字逻辑电路实现，如图6所示。其中输入合成、关断电路、错误锁存均基于自校验设计，错误锁存功能确保该数字逻辑电路出现错误时，能将电路输出锁闭在安全态而关断动态输出。

输出驱动单元基于传统的动态安全数字量输出信号驱动安全继电器实现，如图7所示。其中图7(a)基于变压器实现，图7(b)基于电容充放电实现，其输出驱动后级的安全型继电器。

用本发明实施例中的各单元在轨道交通信号控制系统中实现反应式故障-安全机制与前述方法实施例类似，此处不再赘述。

与现有技术相比，本发明的优点如下：

(1)将轨道交通信号控制系统分为：输入单元、逻辑运算单元、通信单元、输出合成单元、输出驱动单元以及安全监视器，并在安全监视器与逻辑运算单元之间设置双向实时通信通道，完成基于连锁逻辑的相互校验功能，提高了系统抵御安全风险的能力。

(2)在轨道交通信号控制系统内设置两级动态信号：动态信号1和动态信号2，以及两级输出反馈：第1级输出反馈信号和第2级输出反馈信号，并采用多级安全关断设计：输入单元、逻辑处理单元可控制动态信号1安全关断动态信号2，动态信号2可安全关断输出合成单元和输出驱动单元，完善了拒绝的安全特性。

(3)输出合成单元基于两级动态信号和冗余编码输出数字逻辑运算实现，且满足自校验和错误锁存特性，实现了安全关断彻底。

综上所述，本发明实施例通过设计了一种轨道交通信号控制系统反应式故障-安全机制的实现方法，将轨道交通信号控制系统分为输入单元、逻辑运算单元、通信单元、输出合成单元、输出驱动单元以及安全监视器，在安全监视器与逻辑运算单元之间设置双向实时通信通道，完成基于连锁逻辑的相互校验功能，提高抵御安全风险的能力；设置两级动态信号和两级输出反馈，实现多级安全关断，完善了拒绝的安全特性。本发明针对轨道交通信号控制系统，解决了目前反应式故障-安全机制中所存在的、与拒绝相关的安全风险问题。

本领域普通技术人员可以理解：附图只是一个实施例的示意图，附图中的模块或流程并不一定是实施本发明所必须的。

本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于装置或系统实施例而言，由于其基本相似于方法实施例，所以描述得比较简单，相关之处参见方法实施例的部分说明即可。以上所描述的装置及系统实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。

以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应该以权利要求的保护范围为准。

Claims (7)

1.一种轨道交通信号控制系统反应式故障-安全机制的实现方法，其特征在于，该方法包括：

根据轨道交通信号控制系统的功能需求，将轨道交通信号控制系统分为：输入单元、逻辑运算单元、通信单元、输出合成单元、输出驱动单元和安全监视器；

所述逻辑运算单元和所述安全监视器分别进行自检，并在所述逻辑运算单元与所述安全监视器之间设置双向实时通信通道，完成基于连锁逻辑的相互校验功能：包括：

所述连锁逻辑是指所述安全监视器与所述逻辑运算单元的任一方都可在自检正常后发起相互校验流程，所述相互校验流程为：任何一方在自身和对方工作正常的情况下向对方发出本方正常的信息，对方工作正常包括所述安全监视器与所述逻辑运算单元之间的双向实时通信正常，且收到对方宣称本方正常的信息；

在上电初始状态时，将所述相互校验流程进行简化：任何一方在本方自检正常，且所述安全监视器与所述逻辑运算单元之间的双向实时通信正常的情况下，即向对方发出本方正常的信息，然后进入所述相互校验流程；

还包括：

当所述逻辑运算单元自检正常，且通过所述相互校验流程判断所述安全监视器也正常的情况下，向所述安全监视器发送动态信号1，否则，输出稳态信号；

当所述安全监视器自检正常，通过所述相互校验流程判断所述逻辑运算单元正常，且收取的所述动态信号1也正常的情况下，向所述输入单元和所述输出合成单元发送动态信号2，否则，输出稳态信号；

同时，所述逻辑运算单元接收来自于所述输入单元所采集的输入信号，作为其逻辑运算的激励源，所述逻辑运算单元将其冗余编码输出送入所述输出合成单元；

利用所述安全监视器，在所述逻辑运算单元的协助下，判断所述输入单元工作是否正常，并将判断结果反馈给所述逻辑运算单元；

利用所述安全监视器对所述通信单元进行通信监听，判断所述通信单元工作是否正常，并将判断结果反馈给所述输出合成单元、所述输出驱动单元和所述逻辑运算单元；

将所述输出合成单元的输出作为所述安全监视器的第1级输出反馈信号，将所述输出驱动单元的输出作为所述安全监视器的第2级输出反馈信号，通过所述安全监视器分别判断所述输出合成单元和所述输出驱动单元工作是否正常，并将判断结果反馈给所述逻辑运算单元。

2.根据权利要求1所述的轨道交通信号控制系统反应式故障-安全机制的实现方法，其特征在于，所述的根据轨道交通信号控制系统的功能需求，将轨道交通信号控制系统分为：输入单元、逻辑运算单元、通信单元、输出合成单元、输出驱动单元和安全监视器，包括：

所述输入单元、所述逻辑运算单元、所述通信单元、所述输出合成单元和所述输出驱动单元，用于共同完成轨道交通信号的控制功能，所述安全监视器，用于对所述轨道交通信号的控制功能进行故障检测。

3.根据权利要求1所述的轨道交通信号控制系统反应式故障-安全机制的实现方法，其特征在于，所述的利用安全监视器在所述逻辑运算单元的协助下，判断所述输入单元工作是否正常，并将判断结果反馈给所述逻辑运算单元，包括：

所述安全监视器向所述输入单元发出的所述动态信号2，作为所述输入单元采集输入信号的时序驱动源，当所述安全监视器自检不正常，或通过所述相互校验流程判断所述逻辑运算单元不正常，或所述逻辑运算单元向所述安全监视器发出的所述动态信号1不正常的情况下，停止发出所述动态信号2，所述输入单元将停止采集输入信号，而导向安全；

所述安全监视器在所述逻辑运算单元的协助下，向所述输入单元发出测试信号用于判断所述输入单元工作是否正常，当所述安全监视器判断所述输入单元工作不正常，所述安全监视器停止发出所述动态信号2而导向安全，并通知所述逻辑运算单元将此情况视为故障状态，所述逻辑运算单元停止冗余编码输出和停止所述动态信号1发出，而导向安全。

4.根据权利要求3所述的轨道交通信号控制系统反应式故障-安全机制的实现方法，其特征在于，所述的利用安全监视器对所述通信单元进行通信监听，判断所述通信单元工作是否正常，并将判断结果反馈给所述输出合成单元、所述输出驱动单元和所述逻辑运算单元，包括：

所述通信单元负责反应式故障-安全机制在轨道交通信号控制系统的对外通信功能，所述通信单元与外部对象的通信过程由所述安全监视器通过通信监听实现对外通信监督功能；

当所述安全监视器判断所述通信单元对外通信工作不正常，输出稳态信号，并使所述输出合成单元和所述输出驱动单元输出导向安全，以及通知所述逻辑运算单元将此情况视为故障状态，所述逻辑运算单元停止冗余编码输出和停止所述动态信号1发出，而导向安全。

5.根据权利要求3所述的轨道交通信号控制系统反应式故障-安全机制的实现方法，其特征在于，所述的将所述输出合成单元的输出作为所述安全监视器的第1级输出反馈信号，将所述输出驱动单元的输出作为所述安全监视器的第2级输出反馈信号，通过所述安全监视器分别判断所述输出合成单元和所述输出驱动单元工作是否正常，并将判断结果反馈给所述逻辑运算单元，包括：

所述安全监视器向所述输出合成单元发出的所述动态信号2，作为所述输出合成单元合成逻辑动作的时序驱动源，当所述安全监视器自检不正常，或通过所述相互校验流程判断所述逻辑运算单元不正常，或所述逻辑运算单元向所述安全监视器发出的所述动态信号1不正常的情况下，停止发出所述动态信号2，所述输出合成单元停止合成逻辑动作并停止输出，而导向安全；

所述输出合成单元的输出，引回所述安全监视器作为第1级输出反馈信号，当所述安全监视器判断所述输出合成单元的输出工作不正常，所述安全监视器停止所述动态信号2发出而导向安全，并通知所述逻辑运算单元将此情况视为故障状态，所述逻辑运算单元停止冗余编码输出和停止所述动态信号1发出，所述输出合成单元停止合成逻辑动作并停止输出，而导向安全；

所述输出合成单元还具备自校验和错误锁闭功能，当所述输出合成单元的内部出现错误，停止合成逻辑动作并停止输出，使所述输出合成单元输出导向安全。

6.根据权利要求5所述的轨道交通信号控制系统反应式故障-安全机制的实现方法，其特征在于，所述的将所述输出合成单元的输出作为所述安全监视器的第1级输出反馈信号，将所述输出驱动单元的输出作为所述安全监视器的第2级输出反馈信号，通过所述安全监视器分别判断所述输出合成单元和所述输出驱动单元工作是否正常，并将判断结果反馈给所述逻辑运算单元，还包括：

所述输出驱动单元的输出，通过直接或复示方式引回所述安全监视器作为第2级输出反馈信号，当所述安全监视器判断所述输出驱动单元的输出工作不正常，所述安全监视器停止所述动态信号2发出而导向安全，并通知所述逻辑运算单元将此情况视为故障状态，所述逻辑运算单元停止冗余编码输出和停止所述动态信号1发出，所述输出合成单元停止合成逻辑动作并停止输出，使所述输出驱动单元输出导向安全。

7.根据权利要求5所述的轨道交通信号控制系统反应式故障-安全机制的实现方法，其特征在于，所述的将所述输出合成单元的输出作为所述安全监视器的第1级输出反馈信号，将所述输出驱动单元的输出作为所述安全监视器的第2级输出反馈信号，通过所述安全监视器分别判断所述输出合成单元和所述输出驱动单元工作是否正常，并将判断结果反馈给所述逻辑运算单元，还包括：

所述输出合成单元的输出送入所述输出驱动单元，当用于轨道交通信号地面控制系统时，所述输出驱动单元基于重力型信号安全继电器实现，当用于轨道交通信号车载控制系统时，所述输出驱动单元基于弹力型安全继电器实现。