随着中国铁路事业的飞速发展,列车运行速度不断提高,发车间隔不断缩短,铁路列车运行控制系统在保证列车安全、提高运行效率、满足旅客运输的准点率和舒适度等方面起着至关重要的作用。尤其是其中的列控车载设备,直接保障着列车的运行安全,其安全性和可靠性得到了人们越来越多的关注。然而随着计算机技术应用的不断深入,软件实现的功能不断增加,软件规模不断扩大,使得软件测试和验证越来越困难,软件错误以及缺陷已经成为导致系统失效的主要原因。本文研究的防危技术就是在这样的背景下产生的,它是在承认软件存在错误和缺陷的前提下,通过验证应用软件命令,防止其对安全关键设备下达危险指令来保证系统安全。首先本文分析了防危性和可靠性的区别与联系,并研究了防危技术的理论和方法,分别研究了防危核和防危壳技术,通过比较认为防危核更适合于车载设备的应用,同时引入防危壳实时的理念,以增强防危核对于设备命令的时间约束。然后从防危核的安全性、透明性、隔离性、通用性以及防危核自身安全等方面进行了研究,分别提出了防危核的多层反射机制、防危策略分离等概念。接着本文以VxWorks操作系统为例,深入分析了VxWorks的系统结构及其对I/O的控制与管理,然后在应用软件和系统软件之间加入防危核,根据防危核在车载设备中的应用需求,对防危核的结构进行了详细设计,将其分为防危代理、防危验证、防危监视、防危记录四个主要模块。在防危核的防危验证中,防危策略的生成是重点内容。本文以车载设备的车门防护、模式转换、列车制动防护等几个列车的安全功能为例,说明了防危策略生成的方法及步骤,手动生成了防危策略,并用符号模型检验方法SMV对生成的防危策略进行了安全验证,证明了构造模型的安全性。最后在实验室环境下,构造了模拟测试系统,针对车载设备的上述几项安全功能进行了防危核实现,并对其进行了功能测试,结果表明本文设计的防危核是合理而且可行的,达到了预期的防危效果。