一种控制命令执行状态的安全显示方法转让专利
申请号 : CN202110909375.X
文献号 : CN113422672B
文献日 : 2022-07-26
发明人 : 孙博龙 , 刘晓 , 周公建 , 陈景柱 , 任倩 , 王胜 , 陈思宇 , 黄晓帆
申请人 : 卡斯柯信号有限公司
摘要 :
一种控制命令执行状态的安全显示方法,列车自动监控系统利用CRC转VCP的安全解码技术将接收到的安全下位机的状态反馈信息转换为VCP编码,列车自动监控系统利用VCP计算技术将VCP编码转换为显示字符ASCII码并在屏幕上显示。本发明屏蔽了环境干扰和各种软硬件失效,确保了真实显示设备的实际执行状态,极大提高了安全性。
权利要求 :
1.一种控制命令执行状态的安全显示方法,其特征在于,列车自动监控系统利用CRC转VCP的安全解码技术将接收到的安全下位机的状态反馈信息转换为VCP编码,列车自动监控系统利用VCP计算技术将VCP编码转换为显示字符ASCII码并在屏幕上显示;
计算显示字符的方法包含:
通过预先定义的常数Predefined Constant,将VCP编码的状态反馈信息转换成显示字符;所述常数Predefined Constant的预定义过程包含:将32位的VCP编码看成4个8Bit值,每个8Bit值用作一个字符显示,一个VCP编码可以拆分为4个8Bit字符串,字符串范围为0x0~0xFF;选取“执行成功”和“操作失败”这8个字作为执行状态的显示字符,每个字对应一个
8Bit的ASCII码字;预先索引这8个字的ASCII码,将其按字节记录下来并分为两组;离线计算执行成功0x5a的VCP码字与“执行成功”字符串的偏移量,以及计算执行失败0x10作为离线配置的常数Predefined Constant;
Display_Result=!CRC_R+CRC
Display_Result=Display_Result‑Predefined Constant上述计算均有VCP防护,保证计算正确性;
最终结果显示的字符串组合只认为两种有效,“执行成功”与“操作失败”,其余情况均处理为操作执行状态未知,只会显示一串无意义的数据。
2.如权利要求1所述的控制命令执行状态的安全显示方法,其特征在于,列车自动监控系统预设与安全下位机之间的包含CRC校验的传输协议,所述列车自动监控系统和安全下位机之间通过所述传输协议传输控制命令和状态反馈信息。
3.如权利要求1所述的控制命令执行状态的安全显示方法,其特征在于,VCP编码公式为:控制域‑rkx+Bx+DT
其中,x为功能域,‑rk为算数编码,B为静态签名,DT为动态签名。
4.如权利要求1所述的控制命令执行状态的安全显示方法,其特征在于,在进行VCP编码转换之前,预先对状态反馈信息进行CRC校验。
说明书 :
一种控制命令执行状态的安全显示方法
技术领域
[0001] 本发明涉及地铁信号控制系统,尤其涉及一种控制命令执行状态的安全显示方法。
背景技术
[0002] 列车自动监控系统(Automatic Train Supervision,以下简称ATS)作为地铁信号控制系统的重要组成部分,与微机联锁、轨旁ATP(列车自动保护系统,Automatic Train
Protection)设备、车载ATP/ATO设备等信号设备配合,实现对信号设备的集中监控,控制列
车按计划在主线和车辆段/停车场自动运行。ATS向联锁、ATP等设备发送控制命令的过程如
下:操作员输入控制请求,选择操作及相应设备,ATS在执行成功后将设备状态进行反馈,倘
若执行失败则需要提示操作人员重复执行控制命令。安全相关命令均来自于系统功能安全
分析。
Protection)设备、车载ATP/ATO设备等信号设备配合,实现对信号设备的集中监控,控制列
车按计划在主线和车辆段/停车场自动运行。ATS向联锁、ATP等设备发送控制命令的过程如
下:操作员输入控制请求,选择操作及相应设备,ATS在执行成功后将设备状态进行反馈,倘
若执行失败则需要提示操作人员重复执行控制命令。安全相关命令均来自于系统功能安全
分析。
[0003] 以道岔封锁命令为例:值班员在ATS上选定某一待维护道岔下发封锁命令,当收到反馈信息表示道岔已锁闭时,值班员可派维护人员下道进行维护作业。由于工控机的失效
不可控性,无法保证其站场图的表示正确指示了道岔锁闭状态。当道岔实际未锁闭而ATS上
错误的显示了道岔状态已锁闭时,这种情况下若维护人员下道维护道岔,其生命安全将受
到严重的威胁。
不可控性,无法保证其站场图的表示正确指示了道岔锁闭状态。当道岔实际未锁闭而ATS上
错误的显示了道岔状态已锁闭时,这种情况下若维护人员下道维护道岔,其生命安全将受
到严重的威胁。
[0004] 目前行业内的普遍做法是采用二次确认操作,然而二次确认操作防护的是值班员的误操作,以及一定程度上防护ATS错误地下发控制命令,而控制命令的实际执行情况,即
设备的实际状态的错误显示问题并没有得到很好的解决,从而对依赖ATS显示做出决定的
值班员的行为埋下了隐患。
设备的实际状态的错误显示问题并没有得到很好的解决,从而对依赖ATS显示做出决定的
值班员的行为埋下了隐患。
发明内容
[0005] 本发明的目的在于提供一种控制命令执行状态的安全显示方法,屏蔽了环境干扰和各种软硬件失效,确保了真实显示设备的实际执行状态,极大提高了安全性。
[0006] 为了达到上述目的,本发明提供一种控制命令执行状态的安全显示方法,列车自动监控系统利用CRC转VCP的安全解码技术将接收到的安全下位机的状态反馈信息转换为
VCP编码,列车自动监控系统利用VCP计算技术将VCP编码转换为显示字符ASCII码并在屏幕
上显示。
VCP编码,列车自动监控系统利用VCP计算技术将VCP编码转换为显示字符ASCII码并在屏幕
上显示。
[0007] 列车自动监控系统预设与安全下位机之间的包含CRC校验的传输协议,所述列车自动监控系统和安全下位机之间通过所述传输协议传输控制命令和状态反馈信息。
[0008] VCP编码公式为:
[0009] 控制域‑rkx+Bx+DT
[0010] 其中,x为功能域,‑rk为算数编码,B为静态签名,DT为动态签名。
[0011] 在进行VCP编码转换之前,预先对状态反馈信息进行CRC校验。
[0012] 本发明具有以下有益效果:
[0013] 1、可以实现操作命令执行状态的安全显示,操作命令执行失败却错误给出执行成‑9
功显示的失效率低于e 。
功显示的失效率低于e 。
[0014] 2、解决了操作设备需要一定时间改变状态、命令执行成功与设备状态转换成功不匹配的问题,确保真实的显示设备状态执行成功。
[0015] 3、实现安全显示的同时并未改变用户的操作习惯,且无需在硬件设备上增加成本。
附图说明
[0016] 图1是本发明提供的一种控制命令执行状态的安全显示方法的流程图。
[0017] 图2是HILC协议的流程图。
[0018] 图3是用VCP计算CRC的过程示意图。
[0019] 图4是CRC转VCP的过程示意图。
[0020] 图5是VCP转显示字符的过程示意图。
具体实施方式
[0021] 以下根据图1~图5,具体说明本发明的较佳实施例。
[0022] 本发明提供一种控制命令执行状态的安全显示方法,列车自动监控系统预设与安全下位机(轨旁/车载/联锁)之间的包含CRC(循环冗余校验码,Cyclic Redundancy Check)
校验的传输协议,列车自动监控系统通过预设的传输协议下发控制命令给安全下位机,并
通过预设的传输协议接收安全下位机返回的状态反馈信息,列车自动监控系统利用CRC转
VCP的安全解码技术将接收到的安全下位机的状态反馈信息(裸数据)转换为VCP(安全编码
处理器)编码,再利用VCP计算技术将VCP编码转换为显示字符ASCII码(成功或失败(或乱
码)的执行字符)并在屏幕上显示。
校验的传输协议,列车自动监控系统通过预设的传输协议下发控制命令给安全下位机,并
通过预设的传输协议接收安全下位机返回的状态反馈信息,列车自动监控系统利用CRC转
VCP的安全解码技术将接收到的安全下位机的状态反馈信息(裸数据)转换为VCP(安全编码
处理器)编码,再利用VCP计算技术将VCP编码转换为显示字符ASCII码(成功或失败(或乱
码)的执行字符)并在屏幕上显示。
[0023] 该方法采用了安全通信协议技术、编码转换技术(CRC转VCP)、VCP计算技术(VCP转ASCII)、以及故障安全设计,保证了在设备状态未真实处于安全侧状态时不会最终显示出
设备处在安全侧的状态,确保设备的执行状态能够如实的反馈给值班员。
设备处在安全侧的状态,确保设备的执行状态能够如实的反馈给值班员。
[0024] 如图1所示,本发明提供的一种控制命令执行状态的安全显示方法,具体包含以下步骤:
[0025] 步骤S1、列车自动监控系统预设与安全下位机(轨旁/车载/联锁)之间的包含CRC校验的传输协议;
[0026] 当存在需要间接操作的设备时,增加传输协议,包含HILC协议,该HILC的操作流程如图2所示,该协议通过二次确认技术,避免操作员的操作失误,并将最终执行结果通过安
全通信协议发送给上位机。
全通信协议发送给上位机。
[0027] 列车自动监控系统ATS的控制命令下发成功后,等待间接操作完成,返回操作执行结果的状态反馈信息。
[0028] 步骤S2、列车自动监控系统利用CRC转VCP的安全解码技术将接收到的安全下位机的状态反馈信息转换为VCP编码;
[0029] CRC转VCP后,状态反馈信息以VCP编码的4字节形式表示,以确保安全下位机的状态反馈信息不会在处理过程中发生错误;
[0030] VCP编码公式如下:
[0031] 功能域(32bits) 控制域(32bits)X ‑rkx+Bx+DT
[0032] 其中,‑rk为算数编码,可检测运算错误;B为静态签名,用于检测运算符和运算结果;DT为动态签名,用于检测内存未更新的错误。
[0033] 步骤S3、列车自动监控系统利用VCP计算技术将VCP编码转换为显示字符ASCII码并在屏幕上显示;
[0034] 取“执行成功”、“操作失败”八个字的ASCII码,预先计算好显示字符的偏移量,根据状态反馈信息选取偏移量,将VCP编码的状态反馈信息转换成待显示的ASCII码,转换过
程如下:
程如下:
[0035] Value=(H_Display Result*232+L_Display Result)mod A
[0036] H_Display Result=H_Display Result+(Value XOR Predefined Value)
[0037] 其中,H_Display Result指功能域,L_Display Result指控制域,XOR是异或运算符,Predefined Value为预设字符偏移量,mod A是模A,是VCP编码的大素数。
[0038] 其中,H_Display Result用于执行结果字符串的显示。
[0039] 如果执行成功,则显示“执行成功”;如果执行失败,则显示“操作失败”。
[0040] 当且仅当值班员看到“执行成功”,方可认为命令执行成功(如道岔已锁闭,可以派维修人员下道作业),否则值班员应该认为执行失败,应重复执行命令或执行其他辅助手段
来完成功能。
来完成功能。
[0041] 采用CRC转VCP、以及VCP转显示字符的方式,可检测运算错误,检测运算符和运算结果错误,检测内存未更新的错误,防止显示器显示错误,可以确保基于商用工控的ATS系
统,即使存在CPU、内存以及外部干扰等随机失效的情况下,ATS都不会将未成功的执行结果
显示为“执行成功”。
统,即使存在CPU、内存以及外部干扰等随机失效的情况下,ATS都不会将未成功的执行结果
显示为“执行成功”。
[0042] 在本发明的一个实施例中,以道岔封锁命令和状态显示为实例对本发明提供的一种控制命令执行状态的安全显示方法进行详细说明。
[0043] 1、设计列车自动监控系统ATS和联锁系统的传输协议,如表1所示,执行结果的状态反馈信息包含:
[0044] 其中,设备编号、命令编号以及执行结果、返回值、发送时间戳等都是安全关键信息,都受到CRC的保护;
[0045] 表1
[0046]
[0047]
[0048] 2、列车自动监控系统ATS收到执行结果的状态反馈信息后,进行安全解码转换为VCP编码;
[0049] 2.1、预校验CRC检查数据完整性:根据接收到的状态反馈信息的信息位按照CRC算法重新计算校验码CRC’,如果与状态反馈信息中自带的CRC一致,则认为校验通过,可进一
步进行VCP编码转换,否则校验失败则丢弃该消息包,并显示CRC错误;
步进行VCP编码转换,否则校验失败则丢弃该消息包,并显示CRC错误;
[0050] 2.2、将状态反馈信息的信息位填充进VCP的高位,根据VCP变量编码要求计算校验信息填入VCP的低位,构建VCPM编码(高位码和低位码),其中,低位码的编码表达式如下:
[0051] X_Low=(‑rk*X_High+Bx’)modA;
[0052] 其中,rk是VCP算数编码,rk=232MODA_1;B为线下预先分配的一组符合码距要求的32
初始签名值(静态签名);x’是功能域;modA是模A,为大素数,接近2 ;为了防止计算错误,该
公式中仅用到了VCP编码公式中的算数编码和静态签名;
初始签名值(静态签名);x’是功能域;modA是模A,为大素数,接近2 ;为了防止计算错误,该
公式中仅用到了VCP编码公式中的算数编码和静态签名;
[0053] 2.3、如图3所示,用VCP编码根据表1计算CRCrcv,并与状态反馈信息中自带的CRC进行一致性对比,如果不一致,则丢弃该数据;如果一致,则将CRCrcv和CRC共同作用到VCP
编码上,得出最终VCP编码结果,这样可防止转换过程中的各种CPU计算错误、内存错误等;
编码上,得出最终VCP编码结果,这样可防止转换过程中的各种CPU计算错误、内存错误等;
[0054] 如图4所示,最终VCP=(CRCrcv^CRC)^VCPM^DT;
[0055] 其中,DT采用状态反馈信息中的时间戳信息,^是指数运算。
[0056] 3、计算显示字符;
[0057] 3.1、通过预先定义的常数Predefined Constant,将VCP编码的状态反馈信息的转换成显示字符;
[0058] 如图5所示,常数Predefined Constant的预定义过程如下:将32位的VCP编码看成4个8Bit值,每个8Bit值用作一个字符显示(字符串范围为0x0~0xFF),因此一个VCP编码可
以拆分为4个8Bit字符串;选取“执行成功”和“操作失败”这8个字作为执行状态的显示字
符,每个字对应一个8Bit的ASCII码字;预先索引这8个字的ASCII码(即,数组索引),将其按
字节记录下来并分为两组;离线计算执行成功(0x5a)的VCP码字与“执行成功”字符串的偏
移量,以及计算执行失败(0x10)作为离线配置的Predefined Constant。
以拆分为4个8Bit字符串;选取“执行成功”和“操作失败”这8个字作为执行状态的显示字
符,每个字对应一个8Bit的ASCII码字;预先索引这8个字的ASCII码(即,数组索引),将其按
字节记录下来并分为两组;离线计算执行成功(0x5a)的VCP码字与“执行成功”字符串的偏
移量,以及计算执行失败(0x10)作为离线配置的Predefined Constant。
[0059] 下述计算均有VCP防护,保证计算正确性。
[0060] Display_Result=!CRC_R+CRC
[0061] Display_Result=Display_Result‑Predefined Constant
[0062] 3.2、最终结果显示的字符串组合只认为两种有效,“执行成功”与“操作失败”,其余情况均处理为操作执行状态未知,只会显示一串无意义的数据。
[0063] 本发明提供的一种控制命令执行状态的安全显示方法,整个过程都由VCP编码进行保护,保证了即使在消息传输过程中、或消息解码过程中、或结果显示过程中,由于环境
干扰、硬件失效或CPU失效等导致了运算错误,ATS可能会显示乱码或者显示“操作失败”,引
导值班员进行下一步安全操作,但绝不会将执行失败错误显示成“执行成功”(“执行成功”
是危险侧状态,会导致值班员做出危险的运营维护指挥)。
干扰、硬件失效或CPU失效等导致了运算错误,ATS可能会显示乱码或者显示“操作失败”,引
导值班员进行下一步安全操作,但绝不会将执行失败错误显示成“执行成功”(“执行成功”
是危险侧状态,会导致值班员做出危险的运营维护指挥)。
[0064] 本发明具有以下有益效果:
[0065] 1、可以实现操作命令执行状态的安全显示,操作命令执行失败却错误给出执行成‑9
功显示的失效率低于e 。
功显示的失效率低于e 。
[0066] 2、解决了操作设备需要一定时间改变状态、命令执行成功与设备状态转换成功不匹配的问题,确保真实的显示设备状态执行成功。
[0067] 3、实现安全显示的同时并未改变用户的操作习惯,且无需在硬件设备上增加成本。
[0068] 需要说明的是,在本发明的实施例中,术语“中心”、“纵向”、“横向”、“长度”、“宽度”、“厚度”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”“内”、“外”、“顺时针”、“逆时针”、“轴向”、“径向”、“周向”等指示的方位或位置关系为基于附图所示的方位
或位置关系,仅是为了便于描述实施例,而不是指示或暗示所指的装置或元件必须具有特
定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一”、
“第二”、“第三”仅用于描述目的,而不能理解为指示或暗示相对重要性。
或位置关系,仅是为了便于描述实施例,而不是指示或暗示所指的装置或元件必须具有特
定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一”、
“第二”、“第三”仅用于描述目的,而不能理解为指示或暗示相对重要性。
[0069] 在本发明中,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”、“固定”等术语应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或成一体;可以是机械连
接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内
部的连通或两个元件的相互作用关系。对于本领域的普通技术人员而言,可以根据具体情
况理解上述术语在本发明中的具体含义。
接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内
部的连通或两个元件的相互作用关系。对于本领域的普通技术人员而言,可以根据具体情
况理解上述术语在本发明中的具体含义。
[0070] 尽管本发明的内容已经通过上述优选实施例作了详细介绍,但应当认识到上述的描述不应被认为是对本发明的限制。在本领域技术人员阅读了上述内容后,对于本发明的
多种修改和替代都将是显而易见的。因此,本发明的保护范围应由所附的权利要求来限定。
多种修改和替代都将是显而易见的。因此,本发明的保护范围应由所附的权利要求来限定。