Способ управления многоуровневой системой обеспечения безопасности на железнодорожном транспорте и система для его осуществления

Изобретение относится к области железнодорожного транспорта и может быть использовано для управления системами обеспечения безопасности на железнодорожном транспорте. Способ управления заключается в том, что постоянно осуществляют контроль состояния систем и/или подсистем, отвечающих за безопасность. Для каждого изменения значений переменных реального состояния каждой системы и/или подсистемы, а также значений переменных реального состояния в каждом назначенном текущем интервале времени прогнозируют ожидаемые величины переменных реальных состояний системы и/или подсистемы посредством стимуляции ее работы в почти реальном времени. Сравнивают значения переменных реального состояния каждой подсистемы с ожидаемыми величинами и при выявлении недопустимых по условиям безопасности железнодорожного транспорта различий систему и/или подсистему переводят в безопасное состояние с минимальной производительностью и полнотой выполняемых функций. Затем с заданной периодичностью запрашивают у системы или подсистемы более высокого уровня в своей вертикали управления разрешение на переход в состояние с большей допустимой производительностью и полнотой выполняемых функций, и при получении разрешения изменяют состояние системы и/или подсистемы в направлении достижения максимально возможной производительности и полноты выполняемых функций в сложившихся условиях по отказам и сбоям в работе. Изменения состояния системы и/или подсистемы осуществляют путем перевода ее в новую конфигурацию с помощью устройств внешнего конфигурирования программно-аппаратного обеспечения. Переход системы и/или подсистемы к новой конфигурации осуществляют через заданный промежуток времени после положительных результатов диагностирования устойчивости ее работы в режиме с максимальной разрешенной производительностью и полнотой выполняемых функций в этой новой конфигурации. Технический результат заключается в повышении эффективности управления многоуровневой системой обеспечения безопасности на железнодорожном транспорте за счет оптимизации управления для достижения максимальной производительности системы при сохранении необходимого уровня безопасности. 2 н. и 2 з.п. ф-лы, 1 ил.

Реферат

Изобретение относится к области железнодорожного транспорта и может быть использовано для управления системами обеспечения безопасности на железнодорожном транспорте.

Известны способ управления транспортной системой по критерию минимума задержек в доставке пассажиров и грузов и система для его использования (см. US 7219067 А1, 15.05.2007). Известный способ включает сбор реальных параметров функционирования множества систем железнодорожного транспорта, отвечающих за доставку пассажиров и грузов, сравнение реальных параметров систем с допустимыми границами и выдачи рекомендаций системам по проведению работ, направленных на оптимизацию перевозочного процесса в сложной железнодорожной системе. Система управления транспортной системой, используемая известный способ, включает множество систем железнодорожного транспорта, отвечающих за доставку пассажиров и грузов, каждая из которых включает средства для сбора реальных параметров функционирования, средства для задания стандартных параметров функционирования, блок сравнения реальных и стандартных параметров системы и средство для формирования порядка действий, направленных на оптимизацию процесса перевозок пассажиров и грузов с помощью имеющихся у системы средств. Однако известное изобретение не решает задачу оптимизации работы управления обеспечением безопасности железнодорожного транспорта.

Наиболее близким аналогом является изобретение на способ оптимизации работы железнодорожного транспорта и многоуровневая система для его осуществления (см. RU 2006125429 А, 27.01.2008). Известный способ заключается в том, что во время работы системы осуществляют сбор реальных параметров функционирования систем и подсистем, отвечающих за управление инфраструктурой железных дорог, сравнивают реальные параметры систем и подсистем с допустимыми границами, и при выходе реальных параметров работы системы и/или ее подсистем за допустимые границы производят определенные посредством симуляции работы по восстановлению системы и/или ее подсистем в почти реальном времени, работы осуществляют в ответ на каждый случай изменения состояния системы и/или ее подсистем и в каждом назначенном текущем интервале времени их работы.

Система, использующая известный способ, содержит системы и подсистемы, отвечающие за управление инфраструктурой железных дорог, каждая из которых включает средства для сбора и реальных параметров функционирования, средства для задания стандартных параметров функционирования и блок сравнения реальных и стандартных параметров системы, средства для восстановления системы, при этом каждый из блоков и средств каждой системы и/или подсистемы связаны между собой программно-аппаратным модулем, выполненным с возможностью задания и контроля правил функционирования соответствующей системы и/или подсистемы.

Известные способ и устройство обеспечивают оптимизацию перевозочного процесса в сложной иерархической железнодорожной системе, но не достаточно детализируют принципы управления системой обеспечения безопасности, что ограничивает область его применения.

Предлагаемое техническое решение направлено на получение технического результата, заключающегося в повышении эффективности управления многоуровневой системой обеспечения безопасности на железнодорожном транспорте за счет оптимизации управления для достижения максимальной производительности системы при сохранении необходимого уровня безопасности.

В части способа указанный технический результат достигается тем, что в способе управления многоуровневой системой обеспечения безопасности на железнодорожном транспорте постоянно осуществляют контроль состояния систем и/или подсистем, отвечающих за безопасность железнодорожного транспорта, для каждого изменения значений параметров переменных реального состояния каждой системы и/или подсистемы, а также значений параметров реального состояния в каждом назначенном текущем интервале времени прогнозируют ожидаемые величины переменных состояний системы и/или подсистемы посредством стимуляции ее работы в почти реальном времени, сравнивают значения переменных реального состояния каждой подсистемы с ожидаемыми величинами и при выявлении недопустимых по условиям безопасности железнодорожного транспорта различий систему и/или подсистему переводят в безопасное состояние с минимальной производительностью и полнотой выполняемых функций, затем с заданной периодичностью запрашивают у системы или подсистемы более высокого уровня в своей вертикали управления разрешение на переход в состояние с большей допустимой производительностью и полнотой выполняемых функций, и при получении разрешения изменяют состояние системы и/или подсистемы в направлении достижения максимально возможной производительности и полноты выполняемых функций в сложившихся условиях по отказам и сбоям в работе, при этом изменения состояние системы и/или подсистемы осуществляют путем перевода ее в новую конфигурацию с помощью средств внешней конфигурации программно-аппаратного обеспечения, переход системы и/или подсистемы к новой конфигурации осуществляют через заданный промежуток времени после положительных результатов диагностирования устойчивости ее работы в режиме с максимальной разрешенной производительностью и полнотой выполняемых функций в этой новой конфигурации.

В соответствии с предлагаемым способом разрешения по переходу системы и/или подсистемы из одной конфигурации в другую вырабатывают на основе приоритетов конфигураций, распределенных в обратной зависимости по отношению к среднему риску возможных потерь от работы в разрешенной конфигурации с максимальной разрешенной производительностью и полнотой выполняемых функций как в вертикальной иерархии систем и/или подсистем, относящихся к разным уровням управления многоуровневой системой, так и в горизонтальной иерархии приоритетов подсистем, относящихся к одному уровню управления многоуровневой системы.

При этом в качестве управляющей системы для подсистем одного уровня используют ближайшую общую для них систему и/или подсистему в вертикальной иерархии управления многоуровневой системой обеспечения безопасности.

В части устройства технический результат достигается тем, что многоуровневая система управления обеспечением безопасности на железнодорожном транспорте, включает, по меньшей мере, две системы верхнего уровня иерархии управления безопасностью, из которых в каждый момент времени одна система основная, а другая аналогичная ей система является системой горячего или холодного резерва, подсистемы подчиненного уровня иерархии, и для каждой подсистемы подчиненного уровня иерархии устройство внешнего конфигурирования аппаратно-программного обеспечения, выполненное в виде аппаратно-программного автомата с конечным числом состояний, приоритеты которых распределены в обратной зависимости от вероятных средних потерь от отказов и сбоев при соответствующих этим состояниям автомата конфигурациях подсистемы, при этом каждая система и подсистема содержит модуль самодиагностики и самоконфигурации, соединенный с модулем аппаратно-программного управления и для каждой из своих подсистем ближайшего подчиненного ей уровня иерархии содержит модуль прогнозирования работы подсистемы подчиненного ей уровня иерархии в почти реальном времени и модуль сравнения, выход которого соединен с соответствующим входом модуля аппаратно-программного управления, а первый вход - с выходом модуля прогнозирования работы подсистемы подчиненного уровня иерархии, причем системы и все подсистемы упорядочены в иерархии по вертикали и/или по горизонтали по степени ответственности принимаемых ими решений по управлению безопасностью перевозочного процесса на железнодорожном транспорте, а в каждой из систем или подсистем модуль аппаратно-программного управления через соответствующий интерфейс сопряжения подключен к входу устройства внешнего конфигурирования аппаратно-программного обеспечения подсистемы подчиненного уровня иерархии, вход модуля прогнозирования работы подсистемы подчиненного уровня иерархии и второй вход модуля сравнения через соответствующий интерфейс подключены к выходу модуля аппаратно-программного управления подсистемы, выход каждого из устройств внешнего конфигурирования аппаратно-программного обеспечения подключен через соответствующий интерфейс сопряжения к соответствующему входу управления модуля аппаратно-программного управления подсистемы.

Изобретение поясняется чертежом, на котором изображена структурная схема одного из вариантов выполнения многоуровневой системы управления обеспечением безопасности на железнодорожном транспорте.

Многоуровневая система управления обеспечением безопасности на железнодорожном транспорте включает, по меньшей мере, две системы 1, 2 верхнего уровня иерархии управления безопасностью, из которых в каждый момент времени одна система 1 основная, а другая 2 аналогичная ей система является системой горячего или холодного резерва первой системы 1, подсистемы 3, 4 подчиненного уровня иерархии, и для каждой подсистемы 3(4) подчиненного уровня иерархии устройство 5(6) внешнего конфигурирования аппаратно-программного обеспечения. Устройства 5 и 6 внешнего конфигурирования аппаратно-программного обеспечения, выполнены в виде аппаратно-программного автомата с конечным числом состояний, приоритеты которых распределены в обратной зависимости от вероятных средних потерь от отказов и сбоев при соответствующих этим состояниям автомата конфигурациях подсистемы.

Каждая система 1(2) и подсистема 3(4) содержит модуль 7(8), (9) самодиагностики и самоконфигурации, соединенный с модулем 10(11), (12) аппаратно-программного управления. Кроме того, для каждой из своих подсистем 3(4) ближайшего подчиненного ей уровня иерархии каждая система 1, 2 и подсистема 3 содержит модуль 13(14) прогнозирования работы подсистемы подчиненного ей уровня иерархии в почти реальном времени и модуль 15(16) сравнения, выход которого соединен с соответствующим входом модуля 10(11) аппаратно-программного управления, а первый вход - с выходом модуля 13(14) прогнозирования работы подсистемы подчиненного ей уровня иерархии.

Системы и все подсистемы 3 (4) упорядочены в иерархии по вертикали и/или по горизонтали по степени ответственности принимаемых ими решений по управлению безопасностью перевозочного процесса на железнодорожном транспорте.

В каждой из систем 1, 2 или подсистем 3 модуль 10(11) аппаратно-программного управления через соответствующий интерфейс 17(18) сопряжения подключен к входу устройства 5(6) внешнего конфигурирования аппаратно-программного обеспечения подсистемы 3(4) подчиненного уровня иерархии.

Вход модуля 13(14) прогнозирования работы подсистемы подчиненного уровня иерархии и второй вход модуля 15(16) сравнения через соответствующий интерфейс 19(20) подключены к выходу модуля 11(12) аппаратно-программного управления подсистемы 3(4), а выход каждого из устройств 5(6) внешнего конфигурирования аппаратно-программного обеспечения подключен через соответствующий интерфейс 17(18) сопряжения к соответствующему входу управления модуля 11(12) аппаратно-программного управления подсистемы 3(4).

Многоуровневая система управления обеспечением безопасности на железнодорожном транспорте работает в соответствии с предлагаемым способом следующим образом.

Как известно, на безопасность функционирования железнодорожного транспорта влияет большое количество факторов. Предлагаемая многоуровневая система обеспечения безопасности на железнодорожном транспорте решает задачу автоматизированного управления обеспечением безопасности и бесперебойного движения поездов путем оптимизации управления работой отдельных подсистем безопасности, объединенных в единую многоуровневую систему.

В предлагаемой многоуровневой системе управления обеспечением безопасности при отклонении от нормального функционирования технологических систем 1, 2 и подсистем 3, 4 управления безопасностью принимают решения по переходу этих систем в конфигурации, обеспечивающие снижение рисков потерь от отказов до допустимых величин, и вводят дополнительные ограничения максимальной допустимой производительности и функциональности управляемых технологических процессов.

Система 1 управления безопасностью является рабочей, а система 2, аналогичная системе 1, работает в горячем или в холодном резерве системы 1.

В системе 1 и подсистемах 3, 4 управления безопасностью железнодорожного транспорта соответственно модули 7, 8 и 9 самодиагностики и самоконфигурации постоянно осуществляют контроль состояния своей системы или подсистемы.

При обнаружении отказов и сбоев каждый из модулей 7, 8, 9 самодиагностики и самоконфигурации производит реконфигурацию своей системы или подсистемы для работы с меньшей производительностью и/или полнотой выполняемых функций.

Модули 7, 8, 9 не имеют выраженных приоритетных состояний. Любая неисправность из заданного перечня неисправностей классифицируется им как недопустимо опасная. В этом случае каждый из модулей 10, 11, 12 переводит свою систему или подсистему в конфигурацию с максимальным уровнем безопасности. При отказах и сбоях в нормальной работе системы 1 или подсистем 3(4) соответственно модуль 7 или 8(9) отключает от управления данную систему или подсистему и удерживает свою систему или подсистему в отключенном от управляемого процесса состоянии до принятия решения вышестоящей в иерархии управления безопасностью системой, в том числе с участием операторов по дальнейшему использованию рассматриваемой системы или подсистемы. В предельном случае этим решением может быть изъятие из эксплуатации и капитальный ремонт в условиях ремонтного предприятия.

В случае прекращения сбоев каждый из модулей 7, 8, 9 устанавливает свою систему и подсистему в конфигурацию с минимальной производительностью и полнотой выполняемых функций и периодически выдает сигнал запроса соответственно в модуль 10, 11, 12 аппаратно-программного управления для получения разрешения на работу в конфигурации с большей допустимой производительностью и полнотой выполняемых функций. Модуль 10(11)(12) аппаратно-программного управления обрабатывают эти запросы для принятия решения о состоянии своей системы или подсистемы.

При каждом изменении значений переменных реального состояния подсистем 3(4), а также в каждом назначенном текущем интервале времени модуль 11(12) аппаратно-программного управления направляет через соответствующий интерфейс 19(20) данные о реальном состоянии подсистемы 3(4) в модуль 13(14) прогнозирования состояния подсистемы подчиненного уровня иерархии.

Модули 13 и 14 прогнозирования состояния подсистемы подчиненного уровня иерархии вырабатывают посредством симуляции в почти реальном времени работы подсистемы ожидаемые значения переменных, характеризующие нормальную работу в соответствующей конфигурации подсистем 3 и 4. В процессе симуляции блоки 13 и 14 прогнозирования работы подсистемы подчиненного уровня иерархии выполняют пересчет рисков для определения приоритетов в конфигурации соответственно подсистем 3 и 4.

Ожидаемые значения переменных, характеризующие нормальную работу подсистемы 3, поступают на первый вход модуля 15 сравнения, на второй вход которого поступают с выхода модуля 11 аппаратно-программного управления значения переменных реального состояния подсистемы 3 в данной конфигурации.

Ожидаемые значения переменных, характеризующие нормальную работу подсистемы 4, поступают на первый вход модуля 16 сравнения, на второй вход которого с выхода модуля 12 аппаратно-программного управления подчиненного уровня иерархии поступают значения параметров переменных реального состояния подсистемы 4.

Модули 15 и 16 сравнения осуществляют сравнение ожидаемых значений переменных со значениями переменных реального состояния соответственно подсистемы 3 и 4 и выдают результаты сравнения соответственно модулю 10 аппаратно-программного управления системы 1 и модулю 11 аппаратно-программного управления подсистемы 3. Если сравнение показывает, что в данной конфигурации с минимальной производительностью и полнотой выполняемых функций подсистема 3(4) работает нормально, то соответственно с выхода модуля 15(16) сравнения в модуль 10(11) аппаратно-программного управления поступает соответствующая информация, и он выдает через соответствующий интерфейс 17(18) в устройство 5(6) внешнего конфигурирования аппаратно-программного обеспечения команду для перевода подсистемы 3(4) в следующую конфигурацию с большей допустимой производительностью и полнотой выполняемых функций.

Устройство 5(6) внешнего конфигурирования аппаратно-программного обеспечения 9 формирует команду для перевода подсистемы 3(4) в новую конфигурацию, которую через интерфейс 17(18) передает в модуль 11(12) аппаратно-программного управления уровня подчиненной подсистемы 3(4). Устройства 5 и 6 внешнего конфигурирования имеют выраженные приоритетные состояния с приоритетами, находящимися в обратной зависимости от величины возможных потерь от функционирования соответственно подсистем 3 и 4 в соответствующей конфигурации, т.е. от ранга ответственности выполняемых ею функций.

Модуль 11(12) аппаратно-программного управления подсистемы 3(4) по истечении определенного промежутка времени осуществляет перевод своей подсистемы в новую конфигурацию и в течение заданного времени проводит тестирование для определения способности надежно функционировать в этой конфигурации.

Если результаты тестирования показывают возможность перехода к конфигурации с еще большей производительностью и полнотой функций, то снова модуль 11(12) аппаратно-программного управления через интерфейс 19(20) передает значения параметров реального состояния системы 3(4) в модуль 13(14) прогнозирования состояния подсистем подчиненного уровня иерархии и процесс повторяется вплоть до достижения конфигурации с максимально возможной производительностью и полнотой выполняемых функций.

Таким образом, основным процессом по реконфигурации систем и подсистем управления при отказах является процесс посылки команд на реконфигурацию с помощью устройств 5 и 6 внешнего конфигурирования аппаратно-программного обеспечения подчиненных подсистем 3 и 4 с целью хотя бы частичного восстановления производительности и/или полноты выполняемых функций с достижением максимально возможной производительности в сложившейся ситуации по отказам и сбоям в работе. В процессе реконфигурации подсистем 3 и 4 соответственно осуществляют изменения как программного обеспечения, так аппаратного обеспечения этих подсистем.

Реконфигурация подсистемы 4 может также потом вызвать процесс реконфигурации подсистемы 3 и/или системы 1.

Устройства 5 и 6 внешнего конфигурирования аппаратно-программного обеспечения построены по принципу безопасных аппаратно-программных автоматов с конечным числом состояний (см. Методы построения безопасных микроэлектронных систем железнодорожной автоматики. В.В.Сапожников и др. М.: Транспорт, 1995 г.). Модули 7-14 также могут быть построены по принципу безопасных аппаратно-программных автоматов с конечным числом состояний.

Интерфейсы 17-20 выполняют функции преобразования уровней мощности сигналов, функции надежной взаимной изоляции и защиты цепей от взаимных влияний и надежного физического отключения необходимых цепей при изменении конфигурации. В предлагаемом примере интерфейсы 17-20 образованы CAN интерфейсом для информационного взаимодействия процессорных модулей, релейными контактными переключателями и оптронными и трансформаторными устройствами гальванической развязки.

Представленный пример реализации является одним из возможных вариантов выполнения предлагаемой многоуровневой системы управления обеспечением безопасности железнодорожного транспорта.

Согласно предлагаемому способу каждая система имеет свой уровень ответственности и может содержать более одной подсистемы горизонтального уровня иерархии, разделяющей с другими подсистемами данного уровня область ответственности в относящейся к ним общей технологической системе.

Области ответственности подсистем одного уровня могут пересекаться и здесь подсистемы дублируют друг друга, а в случае конфликтов между ними арбитром для них является общая для них система верхнего уровня, относящаяся к технологической системе с большим уровнем информированности и ответственности.

Примером систем соседних уровней иерархии по вертикали являются система диспетчерского управления (система 1) и система контроля рельсовых цепей (подсистема 3).

Примером подсистем 3 одного уровня иерархии для этого случая являются параллельно используемые подсистемы, соответствующие системам контроля свободности и исправности одних и тех же участков пути на основе рельсовых цепей, на основе счетчиков осей и на основе спутникового видеонаблюдения и спутниковой связи. Здесь подсистемы 3 перечислены в порядке их основных приоритетов по безопасности движения поездов, назначенных вышестоящей в вертикальной иерархии системой диспетчерского управления для исправного режима работы упомянутых систем.

При нарушении исправной работы приоритеты упомянутых систем могут изменяться по отношению к ним в целом и/или в отношении входящих в них подсистем, выполняющих некоторые функции. Например, в отношении функции определения точных координат местонахождения поезда при ненадежной работе спутниковой навигации и связи более высокий приоритет устанавливаться для рельсовых цепей. При этом снижается точность, и для сохранения допустимого уровня безопасности движения система диспетчерского управления снижает максимально допустимую производительность - пропускную способность участка за счет увеличения пространственных интервалов попутного следования поездов. По мере улучшения работы спутниковой навигации и связи, например, из-за изменения условий рельефа местности, степень доверия к этой системе будет повышаться вплоть до принятия решения в системе диспетчерского управления на переход к координатному регулированию интервалов попутного следования с постепенным доведением интервалов попутного следования до возможно минимальных величин, увеличивая тем самым пропускную способность участка. Каждый из перечисленных этапов сопровождается соответствующими изменениями в конфигурации программного и аппаратного обеспечения системы диспетчерского управления и входящих в нее подсистем.

При восстановлении производительности система диспетчерского управления может из-за остающихся проблем последовательно запросить только некоторые из возможного набора конфигураций и после их прохождения оставаться в состоянии с не самой большой разрешенной производительностью на длительное время.

Другим примером подсистемы 3 может выступать система автоматического торможения поезда.

Система автоматического торможения поезда имеет модуль программно-аппаратного управления, в котором заложен алгоритм и аппаратное обеспечение для остановки поезда в заданной точке пути. Указанный модуль взаимодействуют через интерфейс с электропневматической системой управления торможением поезда, являющейся подсистемой нижнего уровня иерархии для электронной системы управления движением поезда. Процесс торможения постоянно контролируется. Если происходят какие-то сбои и неисправности в подсистеме, включающей модуль программно-аппаратного управления, то это приводит к изменению разрешенной конфигурации. Эти изменения влияют на выбор ограничений допустимой скорости движения поезда и алгоритмов расчета кривой прицельного торможения с участием модуля прогнозирования состояния подсистем подчиненного уровня иерархии.

Приведенные примеры детально иллюстрируют использование заявляемого способа, но не исчерпывают всех возможных применений способа.

Например, система (система 1) управления поездом может содержать дополняющие и резервирующие друг друга системы КЛУБ-У(первая подсистема 3), систему АЛСН числового кода (вторая подсистема 3) и систему управления по цифровому каналу радиосвязи Купол (третья подсистема 3), которые имеют приоритеты по функции управления торможением поезда в перечисленном порядке и взаимодействуют между собой на уровне логики управления устройствами торможения поезда в целом.

Кроме этого, общее администрирование осуществляет локомотивная бригада, которая на основании данных на локомотивном дисплее от модулей самодиагностики и самоконфигурации, встроенных в упомянутые системы, принимает решения по безопасности эксплуатации и через логику управления принимает решения о степени доверия при использовании КЛУБ-У, АЛСН и КУПОЛ в различных эксплуатационных ситуациях.

В качестве модуля 13 прогнозирования состояния подсистем подчиненного уровня иерархии системы для системы еще более высокого уровня иерархии можно рассматривать систему ГИД-УРАЛ для прогнозирования и контроля исполнения графика движения поездов, связанную через соответствующую подсистему диспетчерского управления (ДЦ) с упомянутым в примере локомотивным устройством поездов, вовлеченных в конкретный исполняемый график движения.

Таким образом, предлагаемая группа изобретений позволяет объединить в вертикальной и горизонтальной иерархиях управления все системы, непосредственно отвечающие за безопасность движения железнодорожного транспорта, и увеличить производительность системы при комплексном учете всех специфических требований по безопасности движения железнодорожного транспорта в каждых конкретных условиях по отказам и сбоям.

1. Способ управления многоуровневой системой обеспечения безопасности на железнодорожном транспорте, заключающийся в том, что постоянно осуществляют контроль состояния систем и/или подсистем, отвечающих за безопасность железнодорожного транспорта, для каждого изменения значений переменных реального состояния каждой системы и/или подсистемы, а также значений переменных реального состояния в каждом назначенном текущем интервале времени прогнозируют ожидаемые величины переменных реальных состояний системы и/или подсистемы посредством симуляции ее работы в почти реальном времени, сравнивают значения переменных реального состояния каждой подсистемы с ожидаемыми величинами и при выявлении недопустимых по условиям безопасности железнодорожного транспорта различий систему и/или подсистему переводят в безопасное состояние с минимальной производительностью и полнотой выполняемых функций, затем с заданной периодичностью запрашивают у системы или подсистемы более высокого уровня в своей вертикали управления разрешение на переход в состояние с большей допустимой производительностью и полнотой выполняемых функций, и при получении разрешения изменяют состояние системы и/или подсистемы в направлении достижения максимально возможной производительности и полноты выполняемых функций в сложившихся условиях по отказам и сбоям в работе, при этом изменения состояния системы и/или подсистемы осуществляют путем перевода ее в новую конфигурацию с помощью устройств внешнего конфигурирования программно-аппаратного обеспечения, при этом переход системы и/или подсистемы к новой конфигурации осуществляют через заданный промежуток времени после положительных результатов диагностирования устойчивости ее работы в режиме с максимальной разрешенной производительностью и полнотой выполняемых функций в этой новой конфигурации.

2. Способ по п.1, отличающийся тем, что разрешения по переходу системы и/или подсистемы из одной конфигурации в другую вырабатывают на основе приоритетов конфигураций, распределенных в обратной зависимости по отношению к среднему риску возможных потерь от работы в разрешенной конфигурации с максимальной разрешенной производительностью и полнотой выполняемых функций как в вертикальной иерархии систем и/или подсистем, относящихся к разным уровням управления многоуровневой системой, так и в горизонтальной иерархии приоритетов подсистем, относящихся к одному уровню управления многоуровневой системы.

3. Способ по любому из пп.1, 2, отличающийся тем, что в качестве управляющей системы для подсистем одного уровня используют ближайшую общую для них систему и/или подсистему в вертикальной иерархии управления многоуровневой системой обеспечения безопасности.

4. Многоуровневая система управления обеспечением безопасности на железнодорожном транспорте, включающая, по меньшей мере, две системы верхнего уровня иерархии управления безопасностью, из которых в каждый момент времени одна система основная, а другая, аналогичная ей система, является системой горячего или холодного резерва, подсистемы подчиненного уровня иерархии, и для каждой подсистемы подчиненного уровня иерархии устройство внешнего конфигурирования аппаратно-программного обеспечения, выполненное в виде аппаратно-программного автомата с конечным числом состояний, приоритеты которых распределены в обратной зависимости от вероятных средних потерь от отказов и сбоев при соответствующих этим состояниям автомата конфигурациях подсистемы, при этом каждая система и подсистема содержит модуль самодиагностики и самоконфигурации, соединенный с модулем аппаратно-программного управления, и для каждой из своих подсистем ближайшего подчиненного ей уровня иерархии содержит модуль прогнозирования работы подсистемы подчиненного ей уровня иерархии в почти реальном времени и модуль сравнения, выход которого соединен с соответствующим входом модуля аппаратно-программного управления, а первый вход - с выходом модуля прогнозирования работы подсистемы подчиненного уровня иерархии, причем системы и все подсистемы упорядочены в иерархии по вертикали и/или по горизонтали по степени ответственности принимаемых ими решений по управлению безопасностью перевозочного процесса на железнодорожном транспорте, а в каждой из систем или подсистем, модуль аппаратно-программного управления через соответствующий интерфейс сопряжения подключен к входу устройства внешнего конфигурирования аппаратно-программного обеспечения подсистемы подчиненного уровня иерархии, вход модуля прогнозирования работы подсистемы подчиненного уровня иерархии и второй вход модуля сравнения через соответствующий интерфейс подключены к выходу модуля аппаратно-программного управления подсистемы, выход каждого из устройств внешнего конфигурирования аппаратно-программного обеспечения подключен через соответствующий интерфейс сопряжения к соответствующему входу управления модуля аппаратно-программного управления подсистемы.