安全监督控制方法、安全监督控制装置、计算机设备及安全监督系统转让专利
申请号 : CN202011109193.6
文献号 : CN112462731B
文献日 : 2022-06-24
发明人 : 史增树 , 张屹 , 姚新文 , 邰献峰 , 林友志
申请人 : 北京西南交大盛阳科技股份有限公司
摘要 :
本申请涉及一种安全监督控制方法、安全监督控制装置、计算机设备及安全监督系统。安全监督控制方法,包括:获取控制指令,并根据控制指令选择监督模型。获取第一信号。第一信号为被监督装置的输入信号。将第一信号输入被选择的监督模型,得到校验信号。获取第二信号。第二信号为被监督装置根据第一信号得到的输出信号。当校验信号与第二信号的差值小于第一设定值时,则输出第二信号。即第二信号在允许偏差范围内时,安全监督控制方法才输出第二信号。安全监督控制方法通过选择监督模型对第二信号进行校验,起到对被监督装置进行监督的作用,提高了被监督装置所在铁路控制系统的安全性。
权利要求 :
1.一种安全监督控制方法,其特征在于,包括:
获取控制指令,并根据所述控制指令选择监督模型;其中,所述监督模型包括规格同源模型、规格异构模型和数据库模型,所述规格同源模型与被监督装置的信号定义和逻辑定义相同,所述规格异构模型与所述被监督装置的信号定义或逻辑定义不同,所述数据库模型包括多组测试案例;
获取第一信号和第二信号,所述第一信号为所述被监督装置的输入信号,所述第二信号为所述被监督装置根据所述第一信号得到的输出信号;
将所述第一信号和所述第二信号输入被选择的监督模型,如果所述第二信号处于有效范围内,且所述第一信号与所述第二信号之间的逻辑关系正确,则判断所述第二信号有效,如果所述第二信号有效,则输出所述第二信号;
当所述第二信号无效,被选择的监督模型处于第一响应等级,且所述第二信号用于输送通讯数据时,停止输出所述第二信号;
当所述第二信号无效,被选择的监督模型处于第一响应等级,且所述第二信号用于控制开关时,输出安全信号,所述安全信号用于使所述开关所在电路处于安全状态;
当所述第二信号无效,被选择的监督模型处于第二响应等级时,报警,并输出所述第二信号。
2.如权利要求1所述的安全监督控制方法,其特征在于,所述获取控制指令,并根据所述控制指令选择监督模型的步骤包括:当所述控制指令为采用规格同源方法时,选择规格同源模型。
3.如权利要求1所述的安全监督控制方法,其特征在于,所述获取控制指令,并根据所述控制指令选择监督模型的步骤包括:当所述控制指令为采用规格异构方法时,选择规格异构模型。
4.如权利要求1所述的安全监督控制方法,其特征在于,所述获取控制指令,并根据所述控制指令选择监督模型的步骤包括:当所述控制指令为采用数据库方法时,则选择数据库模型所述数据库模型中包含的每组测试案例包括一个所述第一信号和一个校验信号;
所述被选择的监督模型根据所述第一信号和所述第二信号判断所述第二信号是否有效的步骤包括:判断所述第二信号是否与所述校验信号匹配,如果匹配,则所述第二信号有效。
5.一种安全监督控制装置,其特征在于,包括:
模型选择模块,用于获取控制指令,并根据所述控制指令选择监督模型;其中,所述监督模型包括规格同源模型、规格异构模型和数据库模型,所述规格同源模型与被监督装置的信号定义和逻辑定义相同,所述规格异构模型与所述被监督装置的信号定义或逻辑定义不同,所述数据库模型包括多组测试案例;
第一获取模块,用于获取第一信号和第二信号,所述第一信号为所述被监督装置的输入信号,所述第二信号为所述被监督装置根据所述第一信号得到的输出信号第一获取模块;
第一计算模块,用于将所述第一信号和所述第二信号输入被选择的监督模型,如果所述第二信号处于有效范围内,且所述第一信号与所述第二信号之间的逻辑关系正确,则判断所述第二信号有效,如果所述第二信号有效,则输出所述第二信号;
所述第一计算模块包括第一计算子模块、第二计算子模块和第三计算子模块;
所述第一计算子模块用于当所述第二信号无效,被选择的监督模型处于第一响应等级,且所述第二信号用于输送通讯数据时,停止输出所述第二信号;
所述第二计算子模块用于当所述第二信号无效,被选择的监督模型处于第一响应等级,且所述第二信号用于控制开关时,输出安全信号,所述安全信号用于使所述开关所在电路处于安全状态;
所述第三计算子模块用于当所述第二信号无效,被选择的监督模型处于第二响应等级时,报警,并输出所述第二信号。
6.如权利要求5所述的安全监督控制装置,其特征在于,所述模型选择模块还包括第一选择子模块,所述第一选择子模块用于当所述控制指令为采用规格同源方法时,选择规格同源模型。
7.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至4中任一项所述的方法的步骤。
8.一种安全监督系统,其特征在于,包括:
安全监督装置,包括第一控制器,所述第一控制器包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现权利要求1至4中任一项所述方法的步骤;
被监督装置,用于控制铁路系统的运行,所述安全监督装置与所述第一控制器连接。
9.如权利要求8所述的安全监督系统,其特征在于,所述安全监督装置还包括第一电源,所述第一电源与所述第一控制器连接,所述被监督装置包括:第二控制器,用于与铁路系统连接,以控制所述铁路系统的运行,所述第二控制器与所述第一控制器连接,所述第二控制器用于接收所述第一信号,并根据所述第一信号得到所述第二信号;
第二电源,与所述第二控制器连接。
10.如权利要求8所述的安全监督系统,其特征在于,所述安全监督装置与所述被监督装置相互连接的接口之间设置隔离器。
说明书 :
安全监督控制方法、安全监督控制装置、计算机设备及安全监
督系统
技术领域
[0001] 本申请涉及交通技术领域,特别是涉及一种安全监督控制方法、安全监督控制装置、计算机设备及安全监督系统。
背景技术
[0002] 铁路控制系统是控制列车运行和保障铁路行车安全、提高运输效率的主要设备。
[0003] 当前铁路控制系统中在软件/数据安全性方面依然存在薄弱点。软件或数据的安全性主要依赖开发期间的按照安全完整性等级4级(SIL4)安全开发流程、避错技术、持续测试等保证,但无论测试、调试、模块化、验证确认多么严谨,依然存在遗留错误的可能性。系统中即使微小的设计错误也将导致严重的安全问题。怎样才能提高铁路控制系统的安全性
是亟待解决的问题。
是亟待解决的问题。
发明内容
[0004] 基于此,有必要针对怎样才能提高铁路控制系统的安全性的问题,提供一种安全监督控制方法、安全监督控制装置、计算机设备及安全监督系统。
[0005] 一种安全监督控制方法,包括:
[0006] 获取控制指令,并根据所述控制指令选择监督模型。
[0007] 获取第一信号和第二信号,所述第一信号为被监督装置的输入信号,所述第二信号为所述被监督装置根据所述第一信号得到的输出信号。
[0008] 将所述第一信号和所述第二信号输入被选择的监督模型,被选择的监督模型根据所述第一信号和所述第二信号判断所述第二信号是否有效,如果所述第二信号有效,则输
出所述第二信号。
出所述第二信号。
[0009] 在一个实施例中,所述安全监督控制方法还包括:
[0010] 当所述第二信号无效,被选择的监督模型处于第一响应等级,且所述第二信号用于输送通讯数据时,停止输出所述第二信号。
[0011] 在一个实施例中,所述安全监督控制方法还包括:
[0012] 当所述第二信号无效,被选择的监督模型处于第一响应等级,且所述第二信号用于控制开关时,输出安全信号,所述安全信号用于使所述开关所在电路处于安全状态。
[0013] 在一个实施例中,所述安全监督控制方法还包括:
[0014] 当所述第二信号无效,被选择的监督模型处于第二响应等级时,报警。
[0015] 在一个实施例中,所述被选择的监督模型根据所述第一信号和所述第二信号判断所述第二信号是否有效的步骤包括:
[0016] 如果所述第二信号处于有效范围内,且所述第一信号与所述第二信号之间的逻辑关系正确,则判断所述第二信号有效。
[0017] 在一个实施例中,所述获取控制指令,并根据所述控制指令选择监督模型的步骤包括:
[0018] 当所述控制指令为采用规格同源方法时,选择规格同源模型,所述规格同源模型与所述被监督装置的信号定义和逻辑定义相同。
[0019] 在一个实施例中,所述获取控制指令,并根据所述控制指令选择监督模型的步骤包括:
[0020] 当所述控制指令为采用规格异构方法时,选择规格异构模型,所述规格异构模型与所述被监督装置的信号定义或逻辑定义不同。
[0021] 在一个实施例中,所述获取控制指令,并根据所述控制指令选择监督模型的步骤包括:
[0022] 当所述控制指令为采用数据库方法时,则选择数据库模型,所述数据库模型包括多组测试案例,每组测试案例包括一个所述第一信号和一个校验信号。
[0023] 所述被选择的监督模型根据所述第一信号和所述第二信号判断所述第二信号是否有效的步骤包括:
[0024] 判断所述第二信号是否与所述校验信号匹配,如果匹配,则所述第二信号有效。
[0025] 一种安全监督控制装置,包括模型选择模块、第一获取模块和第一计算模块。所述模型选择模块用于获取控制指令,并根据所述控制指令选择监督模型。所述第一获取模块用于获取第一信号和第二信号。所述第一信号为被监督装置的输入信号。所述第二信号为
所述被监督装置根据所述第一信号得到的输出信号第一获取模块。所述第一计算模块用于
将所述第一信号和所述第二信号输入被选择的监督模型。被选择的监督模型用于根据所述
第一信号和所述第二信号判断所述第二信号是否有效,如果所述第二信号有效,则输出所
述第二信号。
所述被监督装置根据所述第一信号得到的输出信号第一获取模块。所述第一计算模块用于
将所述第一信号和所述第二信号输入被选择的监督模型。被选择的监督模型用于根据所述
第一信号和所述第二信号判断所述第二信号是否有效,如果所述第二信号有效,则输出所
述第二信号。
[0026] 一种计算机设备,包括存储器和处理器。所述存储器存储有计算机程序。所述处理器执行所述计算机程序时实现上述实施例中任一项所述的方法的步骤。
[0027] 一种安全监督系统,包括安全监督装置和被监督装置。所述安全监督装置包括第一控制器。所述第一控制器包括存储器和处理器。所述存储器存储有计算机程序。所述处理器执行所述计算机程序时实现上述实施例中任一项所述方法的步骤。所述被监督装置用于
控制铁路系统的运行。所述安全监督装置与所述第一控制器连接。
控制铁路系统的运行。所述安全监督装置与所述第一控制器连接。
[0028] 在一个实施例中,所述安全监督装置还包括第一电源。所述第一电源与所述第一控制器连接。所述被监督装置包括第二控制器和第二电源。
[0029] 所述第二控制器用于与铁路系统连接,以控制所述铁路系统的运行。所述第二控制器与所述第一控制器连接。所述第二控制器用于接收所述第一信号,并根据所述第一信
号得到所述第二信号。
号得到所述第二信号。
[0030] 所述第二电源与所述第二控制器连接。
[0031] 在一个实施例中,所述安全监督装置与所述被监督装置相互连接的接口之间设置隔离器。
[0032] 本申请实施例提供的所述安全监督控制方法,包括:获取控制指令,并根据所述控制指令选择监督模型。获取第一信号和第二信号,所述第一信号为被监督装置的输入信号,所述第二信号为所述被监督装置根据所述第一信号得到的输出信号。将所述第一信号和所述第二信号输入被选择的监督模型,被选择的监督模型根据所述第一信号和所述第二信号
判断所述第二信号是否有效,如果所述第二信号有效,则输出所述第二信号。所述安全监督控制方法通过选择监督模型对所述第二信号的有效性进行校验,起到对所述被监督装置进
行监督的作用,提高了所述被监督装置所在铁路控制系统的安全性。
判断所述第二信号是否有效,如果所述第二信号有效,则输出所述第二信号。所述安全监督控制方法通过选择监督模型对所述第二信号的有效性进行校验,起到对所述被监督装置进
行监督的作用,提高了所述被监督装置所在铁路控制系统的安全性。
附图说明
[0033] 为了更清楚地说明本申请实施例或传统技术中的技术方案,下面将对实施例或传统技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本
申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0034] 图1为本申请一个实施例中提供的所述安全监督控制方法的流程示意图;
[0035] 图2为本申请一个实施例中提供的所述监督模型与运算模型的设计原则图;
[0036] 图3为本申请一个实施例中提供的所述安全监督系统的结构示意图。
具体实施方式
[0037] 为使本申请的上述目的、特征和优点能够更加明显易懂,下面结合附图对本申请的具体实施方式做详细的说明。在下面的描述中阐述了很多具体细节以便于充分理解本申
请。但是本申请能够以很多不同于在此描述的其它方式来实施,本领域技术人员可以在不
违背本申请内涵的情况下做类似改进,因此本申请不受下面公开的具体实施的限制。
请。但是本申请能够以很多不同于在此描述的其它方式来实施,本领域技术人员可以在不
违背本申请内涵的情况下做类似改进,因此本申请不受下面公开的具体实施的限制。
[0038] 本文中为部件所编序号本身,例如“第一”、“第二”等,仅用于分所描述的对象,不具有任何顺序或技术含义。而本申请所说“连接”、“联接”,如无特别说明,均包括直接和间接连接(联接)。在本申请的描述中,需要理解的是,术语“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”、“内”、“外”、“顺时针”、“逆时针”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本申请和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本
申请的限制。
申请的限制。
[0039] 在本申请中,除非另有明确的规定和限定,第一特征在第二特征“上”或“下”可以是第一和第二特征直接接触,或第一和第二特征通过中间媒介间接接触。而且,第一特征在第二特征“之上”、“上方”和“上面”可是第一特征在第二特征正上方或斜上方,或仅仅表示第一特征水平高度高于第二特征。第一特征在第二特征“之下”、“下方”和“下面”可以是第一特征在第二特征正下方或斜下方,或仅仅表示第一特征水平高度小于第二特征。
[0040] 请参见图1,本申请实施例提供一种安全监督控制方法,包括:
[0041] 获取控制指令,并根据所述控制指令选择监督模型。
[0042] 获取第一信号和第二信号,所述第一信号为被监督装置的输入信号,所述第二信号为所述被监督装置根据所述第一信号得到的输出信号。
[0043] 将所述第一信号和所述第二信号输入被选择的监督模型,被选择的监督模型根据所述第一信号和所述第二信号判断所述第二信号是否有效,如果所述第二信号有效,则输
出所述第二信号。
出所述第二信号。
[0044] 本申请实施例提供的所述安全监督控制方法通过选择监督模型对所述第二信号的有效性进行校验,起到对所述被监督装置进行监督的作用,提高了所述被监督装置所在
铁路控制系统的安全性。
铁路控制系统的安全性。
[0045] 在一个实施例中,所述被监督装置包括铁路控制系统的主控装置、分控装置或子分控装置等。
[0046] 所述被监督装置中包含控制逻辑方法或控制逻辑模型。所述安全监测控制方法主要用于监督所述被监督装置内部控制逻辑方法或控制逻辑模型计算的准确性。所述被监督
装置的输出信号用于控制被控装置的动作或将数据信息传输给被控装置。
装置的输出信号用于控制被控装置的动作或将数据信息传输给被控装置。
[0047] 在一个实施例中,所述的安全监督控制方法还包括:当所述第二信号无效,且被选择的监督模型处于第一响应等级,所述第二信号用于输送通讯数据时,停止输出所述第二信号。
[0048] 所述监督模型为多个,包括规格同源模型、规格异构模型和数据库模型。
[0049] 所述规格同源模型指的是监督装置与所述被监督装置的需求源于相同的规格。所述规格同源模型通常是由两个独立团队,依据相同需求和相同规格独立做出的逻辑模型。
所述规格同源模型的优点是人力资源需求较少,技术简单明确、易于实现。
所述规格同源模型的优点是人力资源需求较少,技术简单明确、易于实现。
[0050] 规格包括信号类别、信号名称、信号类型、信号定义或控制逻辑关系等。
[0051] 相同规格指被监督装置内部的运算模型与被选择的监督模型的信号类别、信号名称、信号类型、信号定义或控制逻辑关系等均相同。所述规格同源模型能够检测出所述被监督装置内部的运算模型的软件编写错误。
[0052] 所述规格异构模型指的是监督装置与被监督装置的需求源于不同的规格。所述规格异构模型通常由两个独立团队,依据不同需求和不同规格独立做出与所述被监督装置内
部控制逻辑方法或控制逻辑模型不同的逻辑模型。所述规格同源模型避免了相同技术规格
产生的共因问题。
部控制逻辑方法或控制逻辑模型不同的逻辑模型。所述规格同源模型避免了相同技术规格
产生的共因问题。
[0053] 不同的规格指被监督装置内部的运算模型与被选择的监督模型的信号类别、信号名称、信号类型、信号定义或控制逻辑关系等不完全相同。所述规格异构模型能够检测出所述被监督装置内部的运算模型的规格的编写错误。
[0054] 所述数据库模型不依赖于技术规格生成。所述数据库模型包括充足的测试案例,并形成测试案例库。所述数据库模型还能实时补充安全运行记录。所述数据库模型避免了
相同技术规格产生的共因问题,并降低了规格设计者的主观影响。
相同技术规格产生的共因问题,并降低了规格设计者的主观影响。
[0055] 共因问题(即共因失效)是指在一个系统中由于某种共同原因而引起两个或两个以上单元的同时失效。例如:被监督装置内部的运算模型和监督模型来自共同的技术规格,如果这个技术规格出现错误,则被监督装置内部的运算模型和监督模型同时出错。在一个
实施例中,所述安全监督控制方法还包括:
实施例中,所述安全监督控制方法还包括:
[0056] 当所述第二信号无效,且被选择的监督模型处于第一响应等级,所述第二信号用于控制开关时,控制所述被监督装置输出安全信号,所述安全信号用于使所述开关所在电
路处于安全状态。
路处于安全状态。
[0057] 响应等级的划分与被选择的监督模型的运行时间或使用状态有关。所述使用状态包括试用期状态或成熟期状态。所述第一响应等级为适用期状态。所述第二响应等级为成
熟期状态。所述第一响应等级也称为强制导向级。所述第二响应等级也称为警示提示级。
熟期状态。所述第一响应等级也称为强制导向级。所述第二响应等级也称为警示提示级。
[0058] 当所述被选择的监督模型发现所述被监督装置发生错误时,若所述被选择的监督模型处于强制导向级,则所述被选择的监督模型控制所述被监督装置的输出导向安全侧。
[0059] 所述第二信号用于控制开关。如果在整个所述铁路控制系统,被控制的开关处于断开状态时,所述铁路控制系统处于安全状态,当所述第二信号无效,且被选择的监督模型处于第一响应等级时,则输出的安全信号为断开信号。
[0060] 如果在整个所述铁路控制系统,被控制的开关处于闭合状态时,所述铁路控制系统处于安全状态,当所述第二信号无效,且被选择的监督模型处于第一响应等级时,则控制所述被监督装置输出的安全信号为闭合信号。
[0061] 在一个实施例中,所述安全监督控制方法还包括:
[0062] 当所述第二信号无效,且被选择的监督模型处于第二响应等级时,报警。当所述被选择的监督模型发现所述被监督装置发生错误时,若所述被选择的监督模型处于报警提示级,则只输出报警信息,并不影响所述第二信号的输出。
[0063] 在一个实施例中,所述被选择的监督模型根据所述第一信号和所述第二信号判断所述第二信号是否有效的步骤包括:
[0064] 如果所述第二信号处于有效范围内,且所述第一信号与所述第二信号之间的逻辑关系正确,则判断所述第二信号有效。
[0065] 请一并参见图2,在一个实施例中,所述获取控制指令,并根据所述控制指令选择监督模型的步骤包括:
[0066] 当所述控制指令为采用规格同源方法时,选择规格同源模型,所述规格同源模型与所述被监督装置的信号定义和逻辑定义相同。
[0067] 规格同源模型用于检查被监督装置的内部的运算模型的编写错误。
[0068] 在一个具体的实施例中,所述第一信号和所述第二信号均为通讯数据。所述第二信号用于控制继电器。所述第一信号包括两个输入信号:输入1和输入2。
[0069] 规格同源模型采用的规格与被监督装置内部的运算模型采用的规格相同。所述被监督装置内部的运算模型采用的规格为下表:
[0070] 表1
[0071]
[0072] 所述信号定义包括OxAA表示继电器吸起、0x55表示继电器落下。所述逻辑定义包括控制逻辑关系。规格同源模型的控制逻辑包括:
[0073] 第一步骤:判断所述第二信号(输出信号)是否处于有效范围内:
[0074] 如果输出信号不等于继电器吸起(0xAA)或继电器落下(0x55),则根据规格同源模型处于响应等级,控制信号的输出。
[0075] 所述根据规格同源模型处于响应等级,控制信号的输出的步骤包括:如果规格同源模型处于第一响应等级,所述第二信号用于控制开关时,控制所述被监督装置输出安全
信号,所述安全信号用于使所述开关所在电路处于安全状态。
信号,所述安全信号用于使所述开关所在电路处于安全状态。
[0076] 如果规格同源模型处于第二响应等级时,报警。
[0077] 第二步骤:采用同源反向逻辑检查,判断所述第一信号与所述第二信号之间的逻辑关系是否正确:
[0078] 如果输出信号为继电器吸起(0xAA),而且输入1与输入2至少有一个为继电器落下(0x55),则根据监督等级响应(根据规格同源模型处于响应等级,控制信号的输出)。
[0079] 如果输出信号为继电器落下(0x55),而且输入1与输入2都为继电器吸起(0xAA),则根据监督等级响应(根据规格同源模型处于响应等级,控制信号的输出)。
[0080] 在一个实施例中,所述获取控制指令,并根据所述控制指令选择监督模型的步骤包括:当所述控制指令为采用规格异构方法时,选择规格异构模型,所述规格异构模型与所述被监督装置的信号定义和逻辑定义不相同。选择规格异构模型进行校验,避免相同技术
规格产生的共因问题。
规格产生的共因问题。
[0081] 在一个具体的实施例中,规格异构模型采用的规格与被监督装置内部的运算模型采用的规格不相同。所述被监督装置内部的运算模型采用的规格为表1所示。规格异构模型采用的规格为下表:
[0082] 表2
[0083]
[0084] 规格异构模型的控制逻辑包括:
[0085] 第一步骤:判断所述第二信号(输出信号)是否处于有效范围内:
[0086] 如果输出信号不等于继电器吸起(0xAA)或继电器落下(0x55),则根据规格异构模型处于响应等级,控制信号的输出。
[0087] 所述根据规格异构模型处于响应等级,控制信号的输出的步骤包括:
[0088] 如果规格异构模型处于第一响应等级,所述第二信号用于控制开关时,控制所述被监督装置输出安全信号,所述安全信号用于使所述开关所在电路处于安全状态。
[0089] 如果规格异构模型处于第二响应等级时,报警。
[0090] 第一步骤能够检查规格2(表2)对应的规格异构模型的逻辑错误。
[0091] 第二步:采用异构正向逻辑检查,判断所述第一信号与所述第二信号之间的逻辑关系是否正确:
[0092] 如果输入1和输入2至少有一个为继电器落下(0x55),输出继电器吸起(0xAA),则根据监督等级响应。
[0093] 如果输入1和输入2均为继电器吸起(0xAA),输出继电器落下(0x55),则根据监督等级响应。
[0094] 采用异构正向逻辑检查的步骤能够检查规格1(表1)的编写错误。
[0095] 在第二步骤中,所述方法还包括:
[0096] 采用异构反向逻辑检查,判断所述第一信号与所述第二信号之间的逻辑关系是否正确:
[0097] 如果输出为落下(0x55),而且输入1与输入2全为吸起(0xAA),则根据监督等级响应。
[0098] 如果输出为吸起(0xAA),而且输入1与输入2至少有一个为落下(0x55),则根据监督等级响应。
[0099] 采用异构反向逻辑检查的步骤能够检查规格2(表2)对应的规格异构模型的逻辑错误。
[0100] 在一个实施例中,所述获取控制指令,并根据所述控制指令选择监督模型的步骤包括:
[0101] 当所述控制指令为采用数据库方法时,则选择数据库模型,所述数据库模型包括多组测试案例,每组测试案例包括一个所述第一信号和一个所述校验信号。
[0102] 所述被选择的监督模型根据所述第一信号和所述第二信号判断所述第二信号是否有效的步骤包括:
[0103] 所述第二信号是否与所述校验信号匹配,如果匹配,则所述第二信号有效。
[0104] 所述第二信号与所述校验信号匹配具体指:所述第二信号与所述校验信号相同。
[0105] 选择数据库模型进行校验相当于查找已有数据,并与被监督装置的逻辑运算结果进行匹配,避免了相同技术规格产生的共因问题,并减少了规格设计者的主观影响。
[0106] 本申请实施例提供一种安全监督控制装置,包括模型选择模块、第一获取模块和第一计算模块。
[0107] 所述模型选择模块用于获取控制指令,并根据所述控制指令选择监督模型。
[0108] 所述第一获取模块用于获取第一信号和第二信号,所述第一信号为被监督装置的输入信号,所述第二信号为所述被监督装置根据所述第一信号得到的输出信号第一获取模
块。
块。
[0109] 所述第一计算模块用于将所述第一信号和所述第二信号输入被选择的监督模型,被选择的监督模型用于根据所述第一信号和所述第二信号判断所述第二信号是否有效,如
果所述第二信号有效,则输出所述第二信号。
果所述第二信号有效,则输出所述第二信号。
[0110] 本申请实施例提供的所述安全监督控制装置通过选择监督模型对所述第二信号进行校验,起到对所述被监督装置进行监督的作用,提高了所述被监督装置所在铁路控制
系统的安全性。
系统的安全性。
[0111] 在一个实施例中,所述第一计算模块包括第一计算子模块。所述第一计算子模块用于当所述第二信号无效,且被选择的监督模型处于第一响应等级,所述第二信号用于输
送通讯数据时,停止输出所述第二信号。
送通讯数据时,停止输出所述第二信号。
[0112] 在一个实施例中,所述第一计算模块还包括第二计算子模块。所述第二计算子模块用于当所述第二信号无效,且被选择的监督模型处于第一响应等级,所述第二信号用于
控制开关时,输出安全信号,所述安全信号用于使所述开关所在电路处于安全状态。
控制开关时,输出安全信号,所述安全信号用于使所述开关所在电路处于安全状态。
[0113] 在一个实施例中,所述第一计算模块还包括第三计算子模块。所述第三计算子模块用于当所述第二信号无效,且被选择的监督模型处于第二响应等级时,报警。
[0114] 在一个实施例中,所述模型选择模块还包括第一选择子模块。所述第一选择子模块用于当所述控制指令为采用规格同源方法时,选择规格同源模型,所述规格同源模型与
所述被监督装置的信号定义和逻辑定义相同。
所述被监督装置的信号定义和逻辑定义相同。
[0115] 在一个实施例中,所述模型选择模块还包括第二选择子模块。所述第二选择子模块用于当所述控制指令为采用规格异构方法时,选择规格异构模型,所述规格异构模型与
所述被监督装置的信号定义和逻辑定义不同。
所述被监督装置的信号定义和逻辑定义不同。
[0116] 在一个实施例中,所述模型选择模块还包括第三选择子模块。所述第三选择子模块用于当所述控制指令为采用数据库方法时,则选择数据库模型,所述数据库模型包括多
组测试案例,每组测试案例包括一个所述第一信号和一个所述校验信号。判断所述第二信
号是否与所述校验信号匹配,如果匹配,则所述第二信号有效。
组测试案例,每组测试案例包括一个所述第一信号和一个所述校验信号。判断所述第二信
号是否与所述校验信号匹配,如果匹配,则所述第二信号有效。
[0117] 本申请实施例提供一种计算机设备,包括存储器和处理器。所述存储器存储有计算机程序。所述处理器执行所述计算机程序时实现上述实施例中任一项所述的方法的步
骤。
骤。
[0118] 本申请实施例提供的所述计算机设备通过选择监督模型对所述第二信号的有效性进行校验,起到对所述被监督装置进行监督的作用,提高了所述被监督装置所在铁路控
制系统的安全性。
制系统的安全性。
[0119] 请一并参见图3,本申请实施例提供一种安全监督系统,包括安全监督装置和被监督装置。所述安全监督装置包括第一控制器。所述第一控制器包括存储器和处理器。所述存储器存储有计算机程序。所述处理器执行所述计算机程序时实现上述实施例中任一项所述
方法的步骤。所述被监督装置用于控制铁路系统的运行。所述安全监督装置与所述第一控
制器连接。
方法的步骤。所述被监督装置用于控制铁路系统的运行。所述安全监督装置与所述第一控
制器连接。
[0120] 本申请实施例提供的所述安全监督系统通过选择监督模型对所述第二信号进行校验,起到对所述被监督装置进行监督的作用,提高了所述被监督装置所在铁路控制系统
的安全性。
的安全性。
[0121] 在一个实施例中,所述安全监督装置还包括第一电源。所述第一电源与所述第一控制器连接。所述被监督装置包括第二控制器和第二电源。所述第二控制器用于与铁路系
统连接,以控制所述铁路系统的运行。所述第二控制器与所述第一控制器连接。所述第二控制器用于接收所述第一信号,并根据所述第一信号得到所述第二信号。所述第二电源与所
述第二控制器连接。
统连接,以控制所述铁路系统的运行。所述第二控制器与所述第一控制器连接。所述第二控制器用于接收所述第一信号,并根据所述第一信号得到所述第二信号。所述第二电源与所
述第二控制器连接。
[0122] 所述第一电源用于为所述第一控制器供电。所述第二电源用于为所述第二控制器供电。所述被监督装置用于控制所述铁路系统中结构件的运行或用于信息传输。所述第二
信号用于控制开关或输送通讯数据。
信号用于控制开关或输送通讯数据。
[0123] 所述第一电源与所述第二电源为独立的隔离供电电源,以增加所述监督装置与所述被监督装置的独立性。
[0124] 所述安全监督装置与所述被监督装置之间的电气间隙和绝缘材料满足加强绝缘要求,避免所述监督装置与所述被监督装置之间的电磁影响。
[0125] 在一个实施例中,所述安全监督装置与所述被监督装置相互连接的接口之间设置隔离器、增加屏蔽装置或接地装置,以减小电磁辐射影响。
[0126] 在一个实施例中,所述监督装置与所述被监督装置的硬件异构,以提高监督检测的准确性。
[0127] 所述第一控制器和所述第二控制器的软件和硬件均不同。
[0128] 在一个实施例中,所述第一控制器和所述第二控制器的操作系统不同,避免同一操作系统的系统漏洞引起的漏检。
[0129] 在一个实施例中,所述第一控制器或所述第二控制器中的一个采用CPU系统,另一个采用FPGA系统。
[0130] 在一个实施例中,所述安全监督装置与所述被监督装置的存储器和电路板卡均不相同,避免相同构件的运行漏洞引起的漏检。
[0131] 以上所述实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存
在矛盾,都应当认为是本说明书记载的范围。
在矛盾,都应当认为是本说明书记载的范围。
[0132] 以上所述实施例仅表达了本申请的几种实施方式,但并不能因此而理解为对本申请专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。