CN111339575B - 适用于安全严苛系统的通用内嵌功能安全保障方法 - Google Patents
适用于安全严苛系统的通用内嵌功能安全保障方法 Download PDFInfo
- Publication number
- CN111339575B CN111339575B CN202010129249.8A CN202010129249A CN111339575B CN 111339575 B CN111339575 B CN 111339575B CN 202010129249 A CN202010129249 A CN 202010129249A CN 111339575 B CN111339575 B CN 111339575B
- Authority
- CN
- China
- Prior art keywords
- module
- function
- bifs
- safety
- output
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/02—Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]
Landscapes
- Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Mathematical Physics (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Safety Devices In Control Systems (AREA)
- Train Traffic Observation, Control, And Security (AREA)
- Electric Propulsion And Braking For Vehicles (AREA)
Abstract
本发明涉及一种适用于安全严苛系统的通用内嵌功能安全保障方法,该方法采用通用应用层和内嵌功能安全保障BiFS完成反应故障安全架构,并增加对输出结果集的管控;将原来系统功能安全保障从设计开发验证阶段,延伸至包括在线运行在内的产品系统的全生命周期阶段,内嵌功能安全保障BiFS在线运行,独立设计实现反应故障安全设计。与现有技术相比,本发明具有从根本上实现安全严苛通用应用的架构安全性等优点。
Description
技术领域
本发明涉及一种安全系统,尤其是涉及一种适用于安全严苛系统的通用内嵌功能安全保障方法。
背景技术
安全严苛系统对于功能输出满足极低的危险输出概率,以铁路信号系统为例,依据标准要求安全完整性等级SIL4下,其PFH失效概率小于10-8。依据标准要求,通常产品需要设计冗余、人员V&V、配合安全限制以及管理手段确保系统安全可靠运行。
现实的情况是,即便如此涉及安全严苛系统依然有风险变为现实的事故,由于实验室以及工厂测试无法覆盖如现场运用的综合外部环境条件,场景和案例的确实比如导致无法覆盖全集,因此可能暴露风险在现场。简单而已,涉及的安全严苛系统无法在实验室覆盖全部前提条件输入集;人因失效及错误也是不可规避的一个现实因素,即便是有完善的管理制度配合,人总是会犯错的;最后现实的原因是系统越来越复杂,涉及多个子系统单个系统的输入输出可能未有失效,但组合可能导致一种系统功能失效,即系统的涌现性。当然通过冗余设计,加强管理手段可以缓解,但作用效果并不明晰。往往在事故分析回溯阶段才能真正找到必要的技术或者管理防护手段,其代价往往难以接受。
发明内容
本发明的目的就是为了克服上述现有技术存在的缺陷而提供一种适用于安全严苛系统的通用内嵌功能安全保障方法。
本发明的目的可以通过以下技术方案来实现:
一种适用于安全严苛系统的通用内嵌功能安全保障方法,该方法采用通用应用层和内嵌功能安全保障BiFS完成反应故障安全架构,并增加对输出结果集的管控;将原来系统功能安全保障从设计开发验证阶段,延伸至包括在线运行在内的产品系统的全生命周期阶段,内嵌功能安全保障BiFS在线运行,独立设计实现反应故障安全设计。
优选的,所述的方法将原有的通用应用实现方案架构,扩展为既有的通用应用实现以及新增的BiFS保障两个部分组成。
优选的,所述的两个部分采用各自独立的原则。
优选的,其中在既有的通用应用部分完成功能处理计算后,在实际物理输出前,所述的新增的BiFS模块负责安全功能保障计算,如果符合设定就控制输出,否则对输出模块进行卡控,避免功能的错误输出。
优选的,所述的BiFS模块与实际真实设备的功能等价,在判断阶段已经在BiFS模块内产生相应后果就通过“反应故障安全”控制线直接卡控真实物理输出。
优选的,所述的在判断阶段已经在BiFS模块内产生相应后果就通过“反应故障安全”控制线直接卡控真实物理输出,具体过程如下:
1)条件输入一进入输入模块,同时复制一份至BiFS模块;
2)输入模块将条件输入一传递至功能模块进行功能运算处理;
3)功能模块处理完成后,输出相应的控制指令输出一、输出二至输出模块,同时复制一份至BiFS模块;
4)与真实车载ATP设备功能等价使用上述接受的数据进行处理判断,并依据判定结果对输出模块进行控制,
如果结果符合,则控制输出;
如果结果产生严苛后果或者不符合要求,则卡控切断输出模块输出;
5)BiFS模块记录相应日志并实现控制,每周期实时运算并卡控。
优选的,由于BiFS模块采用功能等价的方式,列控系统在线运行过程中也会进行判断,避免严酷结果的出现,实现了内嵌安全功能保障。
优选的,该方法适用于铁路信号系统以及其他安全严苛系统。
与现有技术相比,本发明具有以下优点:
1、变更既有的安全严苛系统通用应用的实现架构,实现了通用应用-BiFS的反应故障安全的安全架构,从根本上实现安全严苛通用应用的架构安全性;
2、改变既有的功能安全保障方法,扩展至包括在线运营的的全生命周期的防护,规避了和改善以往通过安全严苛后果出现的情况,并能够在前期V&V及测试阶段应用有利于产品安全功能提升;
3、通过BiFS设计手段包括,通过增加不可接受严苛子集控制,在原理上规避或者缓解由于系统涌现性以、实验室及工厂条件输入集合与实际运行差异以及人为错误等因素带来的风险。
附图说明
图1为本发明通用内嵌功能安全保障方法的实现流程图;
图2为本发明BiFS功能方案内部的实现原理图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明的一部分实施例,而不是全部实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都应属于本发明保护的范围。
本发明的思路基本原则如下:
1)变更既有安全严苛系统通用应用的架构方案,由通常面向功能实现为主架构方案,变更为通用应用层-BiFS反应故障安全架构,从根本上实现安全严苛通用应用的架构安全性;
2)改变传统功能安全保障方法对侧重前置条件输入集的需求案例测试的方式,增加对输出结果集的管控,对故障严酷结果不可用接受子集的严格控制,根本上杜绝其输出,相应的控制不可接受子集工作更为高效。
3)将原来安全也可系统功能安全保障从设计开发验证阶段,延伸至包括在线运行在内的产品系统的全生命周期阶段,内嵌功能安全保障BiFS在线运行,独立设计实现反应故障安全设计。
具体实现方案如下描述,以铁路信号系统为例进行说明:
本方案将原有的通用应用实现方案架构,扩展为通用应用实现以及BiFS保障两个部分组成,其关联关系部分如图描述:
其中新增部分实现BiFS功能,对既有部分无改动需求,保证各自的独立性原则,其实现原理,在既有部分完成功能处理计算后,在实际物理输出前,有BiFS模块负责安全功能保障计算,如果符合设定就控制输出,否则对输出模块进行卡控,避免功能的错误输出。
比如,由于人为原因的数据配置错误,导致的轨旁列控设备按照既定设计处理并实际输出(功能上并未失效),按照既有的实现方式,该错误的后果只有真实车载设备接收后,产生实际后果后才会显现(此时故障已产生)。而按照本发明方案中所述,由于BiFS模块与实际真实设备的功能等价,在判断阶段已经在BiFS模块内产生相应后果(软件逻辑层面)就可以通过“反应故障安全”控制线直接卡控真实物理输出避免了真实系统设备层面的后果发生。具体如下:
1.条件输入1进入输入模块,同时复制一份至BiFS模块;
2.输入模块将输入1传递至功能模块进行功能运算处理;
3.功能模块处理完成后,输出相应的控制指令输出1、输出2至输出模块,同时复制一份至BiFS模块;
4.与真实车载ATP设备功能等价使用上述接受的数据进行处理判断,并依据判定结果对输出模块进行控制。
如果结果符合,则控制输出;
如果结果产生严苛后果或者不符合要求,则卡控切断输出模块输出;
5.BiFS模块记录相应日志并实现控制,每周期实时运算并卡控。
相应的,由于系统涌现性,以及条件输入集与真实运行条件的差异,在铁路信号系统运行中,也是直到有后果发生才能直到。对比本发明方案,由于BiFS功能等价等方式,列控系统在线运行过程中也会进行方案,避免严酷结果的出现,实现了内嵌安全功能保障。
本发明方案原理描述以铁路信号系统为例,对于其他安全严苛系统同样适用,原理一致。同时本方案原理适用于更细化的模块内部的处理,不作另外原理阐述。
具体实施例
见图1,描述了本方法的实现处理流程。其中A系列为通用应用部分,B系列为BiFS功能部分。主要包括以下步骤:
步骤1,安全严苛系统通用任务启动,初始化A.0通用应用初始化任务,创建相关用户内存区;
步骤2,时序上,步骤1结束后BiFS功能完成初始化,同步本周期的通用应用来自平台级应用输入模块A1.当前周期功能输入激活使能;
步骤3,进入A2.通用应用逻辑处理,依照设备功能需求差异实现逻辑不同,结合外部输入A1数据以及初始化离线数据,进行相应的功能逻辑处理过程。以安全时间防护功能为例,主要实现代码如下:
步骤4,A2.通用应用逻辑处理模块完成处理后,将安全控制结算结果暂存在A3.当周期处理输出中,并将相应数据memo-copy至B1.BiFS功能处理;
步骤5,初始化完成B0.BiFS功能初始数据及A3.当周期处理输出拷贝过来的数据,作为输入,B1.BiFS功能处理进行执行(见图2)。
i.顺序选择原则(可以设定)进行功能实现验证[原则1,原则2,原则3,原则4];
ii.对适用的原则判断结果进行集合筛选,判定结果行为与预设值或者反应状态差异;
iii.利用上述得到的新的行为结果,对BiFS进行真假值进行设定,并传递安全冗余编码后的“判定输出”;
主要实现伪码详见同族专利描述
步骤6,B1.BiFS功能处理存在真值,假值(是/否)两种判断,当为真值是的时候,A4.通用应用对外输出模块使能,对外输出本周期计算结果,本周期N技术处理结束,进入N+1周期;当为假值否的时候,B1.BiFS功能处理卡断A4.通用应用对外输出模块,并禁止计算周期进入N+1周期,导向功能安全侧。
本发明已经被应用于铁路通信信号控制系统设计中,该方案系统已通过专利所有权人内部专家评审,证明能够完全能满足功能需求,能够有效的规避并缓解严酷等级高hazard的安全影响。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到各种等效的修改或替换,这些修改或替换都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。
Claims (5)
1.一种适用于安全严苛系统的通用内嵌功能安全保障方法,其特征在于,该方法采用通用应用层和内嵌功能安全保障BiFS完成反应故障安全架构,并增加对输出结果集的管控;将原来系统功能安全保障从设计开发验证阶段,延伸至包括在线运行在内的产品系统的全生命周期阶段,内嵌功能安全保障BiFS在线运行,独立设计实现反应故障安全设计;
所述的方法将原有的通用应用实现方案架构,扩展为既有的通用应用实现以及新增的BiFS保障两个部分组成;
BiFS模块与实际真实设备的功能等价,在判断阶段已经在BiFS模块内产生相应后果就通过“反应故障安全”控制线直接卡控真实物理输出;
所述的在判断阶段已经在BiFS模块内产生相应后果就通过“反应故障安全”控制线直接卡控真实物理输出,具体过程如下:
1)条件输入一进入输入模块,同时复制一份至BiFS模块;
2)输入模块将条件输入一传递至功能模块进行功能运算处理;
3)功能模块处理完成后,输出相应的控制指令输出一、输出二至输出模块,同时复制一份至BiFS模块;
4)与真实车载ATP设备功能等价使用接收的数据进行处理判断,并依据判定结果对输出模块进行控制,
如果结果符合,则控制输出;
如果结果产生严苛后果或者不符合要求,则卡控切断输出模块输出;
5)BiFS模块记录相应日志并实现控制,每周期实时运算并卡控。
2.根据权利要求1所述的一种适用于安全严苛系统的通用内嵌功能安全保障方法,其特征在于,所述的两个部分采用各自独立的原则。
3.根据权利要求1所述的一种适用于安全严苛系统的通用内嵌功能安全保障方法,其特征在于,其中在既有的通用应用部分完成功能处理计算后,在实际物理输出前,所述的新增的BiFS模块负责安全功能保障计算,如果符合设定就控制输出,否则对输出模块进行卡控,避免功能的错误输出。
4.根据权利要求1所述的一种适用于安全严苛系统的通用内嵌功能安全保障方法,其特征在于,由于BiFS模块采用功能等价的方式,列控系统在线运行过程中也会进行判断,避免严酷结果的出现,实现了内嵌安全功能保障。
5.根据权利要求1所述的一种适用于安全严苛系统的通用内嵌功能安全保障方法,其特征在于,该方法适用于铁路信号系统以及其他安全严苛系统。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010129249.8A CN111339575B (zh) | 2020-02-28 | 2020-02-28 | 适用于安全严苛系统的通用内嵌功能安全保障方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010129249.8A CN111339575B (zh) | 2020-02-28 | 2020-02-28 | 适用于安全严苛系统的通用内嵌功能安全保障方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111339575A CN111339575A (zh) | 2020-06-26 |
| CN111339575B true CN111339575B (zh) | 2022-08-30 |
Family
ID=71185702
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010129249.8A Active CN111339575B (zh) | 2020-02-28 | 2020-02-28 | 适用于安全严苛系统的通用内嵌功能安全保障方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111339575B (zh) |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1874508A (zh) * | 1998-03-16 | 2006-12-06 | 联信技术公司 | 用于连续控制和保护媒体内容的方法和装置 |
| CN110361979A (zh) * | 2019-07-19 | 2019-10-22 | 北京交大思诺科技股份有限公司 | 一种铁路信号领域的安全计算机平台 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103955556B (zh) * | 2014-03-27 | 2017-07-28 | 北京交通大学 | 高速铁路列车运行控制车载系统故障逻辑建模方法 |
-
2020
- 2020-02-28 CN CN202010129249.8A patent/CN111339575B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1874508A (zh) * | 1998-03-16 | 2006-12-06 | 联信技术公司 | 用于连续控制和保护媒体内容的方法和装置 |
| CN110361979A (zh) * | 2019-07-19 | 2019-10-22 | 北京交大思诺科技股份有限公司 | 一种铁路信号领域的安全计算机平台 |
Non-Patent Citations (2)
| Title |
|---|
| Study of the high-speed trains positioning system: European signaling system ERTMS/ETCS;S.Dhahbi等;《IEEE Xplore》;20110705;全文 * |
| 基于安全协同控制的城轨ATP系统研究;孔涛等;《铁道建筑技术》;20160220(第02期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111339575A (zh) | 2020-06-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109923518B (zh) | 用于安全关键系统的软件更新机制 | |
| US5577199A (en) | Majority circuit, a controller and a majority LSI | |
| NO309344B1 (no) | Mikroprosessorbasert sikkerhetssystem, særlig for skinnegående transport | |
| US11899611B2 (en) | Methods for managing communications involving a lockstep processing system | |
| CN111339575B (zh) | 适用于安全严苛系统的通用内嵌功能安全保障方法 | |
| CN110531608B (zh) | 基于冗余设计的高可靠电子设备定量fmeca分析方法和系统 | |
| KR101295770B1 (ko) | 안전 무결성 확보를 위한 열차제어 시스템 | |
| JP2013175118A (ja) | 制御装置、及びそのメモリ故障検出方法、その自己診断方法 | |
| US20190080117A1 (en) | Method for transmitting and checking the validity of configuration data in an electronic system, and associated electronic system and computer program product | |
| JP5537140B2 (ja) | 安全制御装置、及びその安全制御プログラム | |
| US3814920A (en) | Employing variable clock rate | |
| CN113778891B (zh) | 嵌入式软件接口失效模式自动识别与分析方法 | |
| JPS5843055A (ja) | 多数の並列反復サブシステムを備えた装置 | |
| Durmuş et al. | A new voting strategy in Diverse programming for railway interlocking systems | |
| CN111124418B (zh) | 一种基于vcp冗余代码的通信数据超时判断方法 | |
| CN111399807B (zh) | 一种适用铁路信号系统的通用内嵌功能安全保障方法 | |
| US11909821B2 (en) | Method for processing application programs in a distributed automation system | |
| US20090198390A1 (en) | Secure command method and device for remote maintenance terminal | |
| JP2003167755A (ja) | 信号処理系の故障診断方法および装置 | |
| JPS5833579B2 (ja) | 情報処理装置 | |
| Yang et al. | An effective model-based development process using simulink/stateflow for automotive body control electronics | |
| RU2459224C1 (ru) | Устройство ввода дискретных сигналов в резервированную систему управления для стендовых испытаний ракетно-космической техники | |
| JPH09286332A (ja) | 鉄道用二重系電子装置 | |
| Cai et al. | Modelling High Integrity Transport Systems by Formal Methods | |
| Mueller et al. | „Methodological Approach to the Sensitivity Analysis of Failure Effects in Modern Digital I&C Systems “ |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |