JP2000137624A - 鉄道信号システムの連動装置検証方法、その装置、および記録媒体 - Google Patents

鉄道信号システムの連動装置検証方法、その装置、および記録媒体

Info

Publication number
JP2000137624A
JP2000137624A JP31134098A JP31134098A JP2000137624A JP 2000137624 A JP2000137624 A JP 2000137624A JP 31134098 A JP31134098 A JP 31134098A JP 31134098 A JP31134098 A JP 31134098A JP 2000137624 A JP2000137624 A JP 2000137624A
Authority
JP
Japan
Prior art keywords
expression
interlocking device
site
description
train
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP31134098A
Other languages
English (en)
Inventor
Tadashi Kawamura
正 川村
Sunao Kanamori
直 金森
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Priority to JP31134098A priority Critical patent/JP2000137624A/ja
Publication of JP2000137624A publication Critical patent/JP2000137624A/ja
Pending legal-status Critical Current

Links

Landscapes

  • Testing And Monitoring For Control Systems (AREA)
  • Test And Diagnosis Of Digital Computers (AREA)
  • Train Traffic Observation, Control, And Security (AREA)

Abstract

(57)【要約】 【課題】 網羅性がなく、十分な試験とはならない。 【解決手段】 連動装置、現場機器、列車、設備配置、
および現場機器に対して連動装置が行う制御の仕様を示
す命題について記述された入力表現1から、任意の一部
の検証対象とする現場機器および列車を選択指定表現2
により指定し、それら指定された検証対象とする現場機
器および列車について記述された部分表現4の表現1a
と共に、その指定された現場機器に応じた現場機器に対
して連動装置が行う制御の仕様を示す命題について記述
された部分表現4の表現2aを選択する選択工程3を備
え、入力表現1のうち、選択された部分表現4について
のみ整合性を検証する。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】この発明は、鉄道信号システ
ムを実現する連動装置の試験および検証に関わり、特に
連動論理の正しさを試験する鉄道信号システムの連動装
置検証方法、その装置、および記録媒体に関するもので
ある。
【0002】
【従来の技術】連動装置には、継電装置を用いた方式と
(以下、「継電連動装置」と呼ぶ)、マイクロコンピュ
ータを利用した方式(以下、「電子連動装置」と呼ぶ)
とがある。連動装置の制御が正しく行われるかどうか
は、列車運行制御において極めて重要であるため、入念
な確認が必要である。このため、従来は、以下の3つの
方法が採用、あるいは、提唱されてきた。
【0003】1番目の方法は、日本工業規格 JIS
E 3004に示されているように、実際に設置した連
動装置と、制御盤、現場機器を用いて現場で試験するも
のである。この方法は、最も直接的であり、確実に実際
の連動装置についての確認を行なうことができる。しか
し、この方法では現実に試験できる場合の数が限られて
おり、装置や機器、列車の動作を網羅できないため、必
ずしも制御の不都合を検出できるとは限らない。検出精
度を上げるには、できるだけ多くの場合について試験す
る必要があり、その場合は多大の労力と時間を必要とす
るが、それでも、全ての場合の数は膨大であり、これら
を枚挙することは不可能、あるいは極めて困難であり、
十分な試験とはならない。
【0004】2番目の方法は、継電連動装置の回路図か
ら生成したシミュレーションプログラム、あるいは、電
子連動装置の制御プログラムと、制御盤、現場機器、列
車のシミュレーションプログラムを用いて計算機上で試
験するものである。これは、実際に連動装置を設置する
前に行なうことができ、また、計算機を利用するため、
労力と時間を節約することができる。しかし、この方法
も、装置や機器、列車の動作を全て網羅するシミュレー
ションプログラムを作成するには、多大の労力と時間を
必要とし、現実的には全て網羅することができず、1番
目の方法と同じ弱点がある。
【0005】3番目の方法は、例えば、特開平10−1
6776号公報に示されているように、連動装置と制御
盤、現場機器、列車の動作を形式的言語を用いて記述
し、この記述に従った動作において、連動装置の行う制
御に不都合が起きないことを示す検証項目を、計算機上
で検証器ソフトウェアを用いて、数学的に証明するもの
である。この方法は近年提唱されているものであり、形
式的言語の記述に従ったあらゆる動作を考慮するので、
網羅性があるため、1番目、および2番目の方法の弱点
を補うことができる。しかし、現在の技術および計算機
資源では、膨大な計算時間を必要とするため、現実に扱
えるのは、小規模な装置の場合に限られる。
【0006】
【発明が解決しようとする課題】従来の鉄道信号システ
ムの連動装置検証方法は以上のように構成されているの
で、連動装置の制御に不都合がないかどうかを試験する
ために、3つの方法が採用、あるいは提唱されてきた
が、これらの方法は網羅性がなく、必ずしも十分な試験
とはならないか、あるいは、膨大な計算時間を必要とす
るため、実際の連動装置を殆ど扱うことができないなど
の課題があった。
【0007】この発明は上記のような課題を解決するた
めになされたもので、連動装置の制御に不都合がないこ
とを、現実的な計算時間および計算機資源の範囲で、よ
り網羅性のある形で試験を行なうことができる鉄道信号
システムの連動装置検証方法、その装置、および記録媒
体を得ることを目的とする。
【0008】
【課題を解決するための手段】この発明に係る鉄道信号
システムの連動装置検証方法は、連動装置、現場機器、
列車、設備配置、および現場機器に対して連動装置が行
う制御の仕様を示す命題について記述された形式的言語
によらない表現から、任意の一部の検証対象とする現場
機器および列車を指定し、指定された検証対象とする現
場機器および列車について記述された表現と共に、指定
された現場機器に応じた現場機器に対して連動装置が行
う制御の仕様を示す命題について記述された表現を選択
する選択工程と、選択された現場機器および列車につい
て記述された表現を、形式的言語による第1の記述に変
換すると共に、選択された現場機器に対して連動装置が
行う制御の仕様を示す命題について記述された表現を、
形式的言語による第2の記述に変換する変換工程と、変
換された形式的言語による第1の記述および第2の記述
の整合性を検証する形式的検証工程とを備えたものであ
る。
【0009】この発明に係る鉄道信号システムの連動装
置検証方法は、指定された特定の進路に対するその進路
内の全ての現場機器について記述された表現と、その進
路を通過する列車について記述された表現と、その進路
内の現場機器に対して連動装置が行う制御の仕様を示す
命題について記述された表現とを選択する選択工程を備
えたものである。
【0010】この発明に係る鉄道信号システムの連動装
置検証方法は、指定された特定の2つの進路に対する各
々の進路内の全ての現場機器について記述された表現
と、それら2つの進路を通過する列車について記述され
た表現と、それら2つの進路内の現場機器に対して連動
装置が行う制御の仕様を示す命題について記述された表
現とを選択する選択工程を備えたものである。
【0011】この発明に係る鉄道信号システムの連動装
置検証方法は、指定された特定の進路に対するその進路
内の全ての現場機器について記述された表現と、その進
路と同じ発点または同じ着点を有し、同一方向に設定さ
れる他の全ての進路内の全ての現場機器について記述さ
れた表現と、それら進路を通過する列車について記述さ
れた表現と、それら現場機器に対して連動装置が行う制
御の仕様を示す命題について記述された表現とを選択す
る選択工程を備えたものである。
【0012】この発明に係る鉄道信号システムの連動装
置検証方法は、指定された特定の進路に対するその進路
内の全ての現場機器について記述された表現と、その進
路の発点を着点とするか、またはその進路の着点を発点
とし、逆方向に設定される他の全ての進路内の全ての現
場機器について記述された表現と、それら進路を通過す
る列車について記述された表現と、それら現場機器に対
して連動装置が行う制御の仕様を示す命題について記述
された表現とを選択する選択工程を備えたものである。
【0013】この発明に係る鉄道信号システムの連動装
置検証方法は、指定された特定の進路およびその進路内
の特定の軌道回路に対して、その進路内の全ての現場機
器について記述された表現と、その軌道回路が設置され
た区間を含む他の全ての進路内の全ての現場機器につい
て記述された表現と、それら進路を通過する列車につい
て記述された表現と、それら現場機器に対して連動装置
が行う制御の仕様を示す命題について記述された表現と
を選択する選択工程を備えたものである。
【0014】この発明に係る鉄道信号システムの連動装
置検証方法は、指定された特定の進路に対するその進路
内の全ての現場機器について記述された表現と、その進
路内に有する軌道回路を一つでも含む他の全ての進路内
の全ての現場機器について記述された表現と、それら進
路を通過する列車について記述された表現と、それら現
場機器に対して連動装置が行う制御の仕様を示す命題に
ついて記述された表現とを選択する選択工程を備えたも
のである。
【0015】この発明に係る鉄道信号システムの連動装
置検証方法は、選択工程によって選択する現場機器、列
車、および現場機器に対して連動装置が行う制御の仕様
を示す命題について記述された表現を段階的に増加さ
せ、各段階毎に順次検証を行わせるものである。
【0016】この発明に係る鉄道信号システムの連動装
置検証方法は、連動装置および設備配置について記述さ
れた表現を、連動図表としたものである。
【0017】この発明に係る鉄道信号システムの連動装
置検証装置は、記憶手段に記憶された連動装置、現場機
器、列車、設備配置、および現場機器に対して連動装置
が行う制御の仕様を示す命題について記述された形式的
言語によらない表現から、指定された任意の一部の検証
対象とする現場機器および列車について記述された表現
と共に、その指定された現場機器に応じた現場機器に対
して連動装置が行う制御の仕様を示す命題について記述
された表現を選択する選択手段と、選択された現場機器
および列車について記述された表現を、形式的言語によ
る第1の記述に変換すると共に、選択された現場機器に
対して連動装置が行う制御の仕様を示す命題について記
述された表現を形式的言語による第2の記述に変換する
変換手段と、変換された形式的言語による第1の記述お
よび第2の記述の整合性を検証する形式的検証手段とを
備えたものである。
【0018】この発明に係る記録媒体は、連動装置、現
場機器、列車、設備配置、および現場機器に対して連動
装置が行う制御の仕様を示す命題について記述された形
式的言語によらない表現から、指定された任意の一部の
検証対象とする現場機器および列車について記述された
表現と共に、その指定された現場機器に応じた現場機器
に対して連動装置が行う制御の仕様を示す命題について
記述された表現を選択する選択工程と、選択された現場
機器および列車について記述された表現を、形式的言語
による第1の記述に変換すると共に、選択された現場機
器に対して連動装置が行う制御の仕様を示す命題につい
て記述された表現を形式的言語による第2の記述に変換
する変換工程と、変換された形式的言語による第1の記
述および第2の記述の整合性を検証する形式的検証工程
とを備えたものである。
【0019】
【発明の実施の形態】以下、この発明の実施の一形態を
説明する。 実施の形態1.図1はこの発明の実施の形態1による鉄
道信号システムの連動装置検証方法および装置を示す構
成図であり、図において、1は連動装置、現場機器(信
号機、信号てこ、転てつ器、転てつてこ、軌道回路、そ
の他駅構内の機器や制御盤上の機器)、列車、設備配
置、および現場機器に対して連動装置が行う制御の仕様
を示す命題について、設計者の使い慣れた言語によって
記述された入力表現(表現)であり、一般的には、図
面、表、文章などの電子データがパーソナルコンピュー
タ(以下、「パソコン」と呼ぶ)のハードディスク、ま
たはフロッピー(登録商標)ディスクに格納され、その
後、ROMに保持されてから用いられるものである。2
は入力表現1の中から任意の検証対象とする現場機器お
よび列車を指定するための選択指定表現であり、一般的
には、パソコンのディスプレイ上に表示された入力表現
1の中からキーボードまたはマウスを用いて選択指定す
るものである。
【0020】3は選択指定表現2によって指定された検
証対象とする一部の現場機器および列車について記述さ
れた表現を、入力表現1から選択して抽出すると共に、
その指定された検証対象とする現場機器に応じた現場機
器に対して連動装置が行う制御の仕様を示す命題につい
て記述された表現を、入力表現1から選択して抽出する
選択工程(選択手段)である。4は選択工程3によって
選択された部分表現(表現)であり、一般的には、パソ
コンのRAMに一旦保持されるものである。5は部分表
現4のうち、現場機器および列車について記述された表
現1aを、連動装置および設備配置について記述された
入力表現1に基づいて、形式的言語による記述(第1の
記述)1aに変換すると共に、部分表現4のうち、現場
機器に対して連動装置が行う制御の仕様を示す命題につ
いて記述された表現2aを、形式的言語による記述(第
2の記述)2aに変換する変換工程(変換手段)であ
る。6は変換工程5によって変換された形式的言語によ
る記述(形式的言語による第1の記述,形式的言語によ
る第2の記述)であり、一般的には、パソコンのRAM
に一旦保持されるものである。7は現場機器および列車
についての形式的言語による記述1aと、現場機器に対
して連動装置が行う制御の仕様を示す命題についての連
動装置の行う制御および設備配置に基づいて記述した形
式的言語による記述2aとの整合性を検証する形式的検
証工程(形式的検証手段)である。8はその検証結果で
あり、一般的には、パソコンのディスプレイ上に表示し
たり、プリンタにプリントしたりするものである。
【0021】また、図2はこの発明の実施の形態1によ
る鉄道信号システムの連動装置検証装置を示す構成図で
あり、図は一般的なパソコンの構成を示すものである。
図において、11はパソコン全体を制御するCPU、1
2は基本ソフトウェアが記憶されたROM、13はこの
鉄道信号システムの連動装置検証データ、鉄道信号シス
テムの連動装置検証ソフトウェア、演算途中のデータお
よび検証結果8が記憶されるRAM(記憶手段)、ここ
で、鉄道信号システムの連動装置検証データとは、図1
において、入力表現1に相当するものであり、鉄道信号
システムの連動装置検証ソフトウェアとは、図1におい
て、選択工程3、変換工程5、および形式的検証工程7
に相当するものである。14はRAM13に記憶される
各種情報を記憶するハードディスク、15は鉄道信号シ
ステムの連動装置検証ソフトウェアを記憶するフロッピ
−ディスク(記録媒体)、16はディスプレイ、17は
キーボードまたはマウス、18はプリンタ、19はそれ
ら構成を接続するバスである。
【0022】次に動作について説明する。まず、図1と
図2を参照しながら、この発明による連動装置検証の大
まかな流れを説明する。設計者は、使い慣れた表現によ
って連動装置の設計、現場機器(信号機、信号てこ、転
てつ器、転てつてこ、軌道回路、その他駅構内の機器や
制御盤上の機器)の設計、列車の動作設計、設備配置図
の設計を記述し、これを入力表現1の表現1とする。ま
た、設計者は、使い慣れた表現によって現場機器に対し
て連動装置が行う制御の仕様を示す命題を記述し、これ
を入力表現1の表現2とする。これらは、図2に示すパ
ソコンのRAM13に保持され、ハードディスク14、
またはフロッピーディスク15に電子データとして格納
されるものである。そして、設計者によるパソコンの操
作により、ディスプレイ16上に入力表現1を表示し、
設計者によるキーボードまたはマウス17の操作によ
り、検証対象とする一部の現場機器および列車を選択指
定する。これを選択指定表現2とする。
【0023】選択工程3では、選択指定表現2によって
指定された検証対象とする現場機器および列車について
記述された表現を、入力表現1から選択して抽出して、
部分表現4の表現1aとすると共に、その指定された検
証対象とする現場機器に応じた現場機器に対して連動装
置が行う制御の仕様を示す命題について記述された表現
を、入力表現1から選択して抽出して、部分表現4の表
現2aとする。これら部分表現4の表現1a,2aは、
パソコンのRAMに一旦保持されるものである。変換工
程5では、部分表現4のうち、現場機器および列車につ
いて記述された表現1aを、連動装置および設備配置に
ついて記述された入力表現1に基づいて、形式的言語に
よる記述6の記述1aに変換すると共に、部分表現4の
うち、現場機器に対して連動装置が行う制御の仕様を示
す命題について記述された表現2aを、形式的言語によ
る記述6の記述2aに変換する。これら形式的言語によ
る記述6の記述1a,2aは、パソコンのRAM13に
一旦保持されるものである。
【0024】形式的検証工程7では、現場機器および列
車についての連動装置が行う制御および設備配置に基づ
いて記述した形式的言語による記述6の記述1aと、現
場機器に対して連動装置が行う制御の仕様を示す命題に
ついての形式的言語による記述6の記述2aとの両者の
内容に関する論理的性質の証明、例えば、両者が等価で
あるか、あるいは前者が後者で表現された性質を満たす
か、などの証明を試みる。そして、その検証結果8をパ
ソコンのディスプレイ16上に表示したり、プリンタ1
8にプリントしたりする。このように、入力表現1の表
現1,2のうち、一部について選択された部分表現4の
表現1a,2aについてのみ論理的性質を検証でき、現
実的な計算時間および計算機資源の範囲で、より網羅性
のある形で試験を行なうことができる。
【0025】次に、入力表現1の表現1の連動装置と設
備配置の表現が連動図表であり、選択工程2の選択方法
が、指定された特定の進路内の全ての機器と、その進路
を通過する列車の組み合わせによるもののみを選択する
ものである場合を例に、この発明をさらに詳しく説明す
る。また、形式的言語は有限状態機械と時相論理である
とする。有限状態機械は状態遷移グラフを形式化したも
のであり、システムの設計仕様の記述にしばしば用いら
れる。時相論理は事象の起きる時間関係や可能性、必然
性を表現できる論理であり、これもシステムの仕様記述
にしばしば用いられる、様々な形式の時相論理が提案さ
れているが、ここでは、Computationa1
Tree Logic[C1arke,E.M.,Em
erson,E.A.and Sistla,A.
P.:“Automatic Verificatio
n of Finite State Concurr
entSystems Using Temporal
Logic Specifications:A P
ractical Approach”,in10th
ACM Symposium on Principl
es on Programming Languag
es,pp.117−126(1983)]と呼ばれる
時相論理による記述を採用する。有限状態機械と時相論
理の等価性を証明する手法は、文献[Mcmilla
n,K:“Symbolic ModelChecki
ng”,Kluwer Academic Publi
shers]のものをはじめ多数研究されている。
【0026】入力表現1の一方(表現1)が検証の対象
として与えられたとする。この表現は図3の連動図と図
4の連動表から成る連動図表で表わされる連動装置およ
び設備配置と、後述する有限状態機械で表現された現場
機器およびこの駅構内を走行する列車から成り、この連
動装置が行う制御の正しさを検証することを目的とす
る。図3の連動図は現場機器の配置を表わしている。太
線は線路を表わす。線路上の縦線で区切られた各々の区
間には軌道回路が設置され、区間内の列車の有無を検知
する。区間内に記された記号XT,AT,21Tなどは
その区間に設置された軌道回路を表わす。1RC,1R
D,2Lは信号機に付けられた番号を、各番号傍の記号
は信号機の設置場所を表わす。11R,12R,13
L,14L,15Lは入換標識に付けられた番号を、各
番号傍の記号は入換標識の設置場所を表わす。(以下で
は、信号機と入換標識に共通する事項を述べる場合は、
両者を併せて信号機等、と略す。)信号機等は、列車の
進入がないときは原則として停止を現示する。列車の進
入がないときに信号機等が現示する信号を、その信号機
等の定位と呼ぶ。
【0027】信号機等は後述するような条件の下で進行
信号を現示するが、進行信号の現示によって列車が進入
できる一定区間の進路が設定される。以下では、混乱の
ない限り、信号機等が設定する進路をその信号機等の番
号で呼び、この信号機等と進路を同一視することがあ
る。また、軌道回路の設置された区間をその軌道回路の
番号で呼ぶ。21イ,21ロ,22,23イ,23ロは
転てつ器に付けられた番号およびその設置場所を表わ
す。転てつ器は列車の進入がないときは番号傍の毛羽三
本の方向に進路を取るよう設定されている。列車の進入
がないときに転てつ器が設定されている方向を転てつ器
の定位と呼ぶ。また、定位と反対の方向を反位と呼ぶ。
図3では、転てつ器21イの定位は2LTと22Tを結
ぶ方向であり、反位は21Tと22Tを結ぶ方向であ
る。転てつ器21イと21ロは連動しており、両方とも
定位か、両方とも反位に設定される。このような転てつ
器を2動の転てつ器と呼び、21イ,21ロのように同
一の番号に添字を付けることでこれを表わす。同様に2
3イと23ロも2動の転てつ器である。2動の転てつ器
の場合、2つの転てつ器とも動作および制御が同じであ
ることから、1つの転てつ器のように扱うことがある。
この場合、21イと21ロを合わせて21というよう
に、共通の番号のみで呼ぶ。
【0028】図中には明示されていないが、信号機等の
現示の変更は、対応する信号てこを操作することによっ
て行われる。信号てこは対応する信号機等と同じ番号で
表現される。信号てこは通常定位に設定されている。信
号機等に進行信号を現示させるときは、信号てこを反位
に設定し、必要であれば進路選択ボタンを押す。このと
き後述するような一定の条件が満たされていれば進行信
号が現示される。進行信号を現示している信号機等に停
止信号を現示させるときは、信号てこを定位に設定すれ
ば良い。同様に転てつ器の方向は転てつてこによって操
作できる。転てつてこは定位、反位、中立の3状態をと
り、転てつてこを定位または反位に設定すると、特定の
場合(後述の鎖錠されている場合)を除いて対応する転
てつ器は定位または反位になる。転てつてこが中立の場
合は、転てつ器は連動装置からの制御に従って動作す
る。通常の運用では、転てつてこは中立で固定されてい
る。
【0029】図4の連動表は連動装置が行う現場機器の
制御を連動条件の形で表わしている。名称欄は対応する
行がどの機器に関しての連動条件を記しているかを表わ
す。図4の例では、1行目は場内信号機に関する連動条
件を表わしており、これはXTから1番線(図3の
(1)と記された線路区間)へ至る進路を設定する場内
信号機の連動条件と、XTから2番線(図3の(2)記
された線路区間)へ至る進路を設定する場内信号機の連
動条件とに分けられる。進路の最初と最後の区間をそれ
ぞれ発点、着点と呼ぶ。例えば、図4の名称欄の1行目
上段の記述はXTを発点、1番線を着点とする進路、下
段はXTを発点、2番線を着点とする進路を意味する。
番号欄は連動表中のその行で扱われている機器に付けら
れた番号を記す。図4の1行目は信号機1Rの連動条件
を記している。欄中のC,Dは進路選択ボタンの番号で
あり、進路の着点に対応する。1Rによって設定される
進路が図3中のC,Dのいずれを着点とするかによって
この欄は2行に分けられ、それぞれ名称欄に記載された
2つの進路に対応する。上の行に対応する進路を設定す
るには、信号てこ1Rを反位にし、進路設定ボタンCを
押す(以後、これらの動作をあわせて信号てこ1RCを
反位にする、などと呼ぶ。また、信号てこと進路設定ボ
タンをあわせて信号てこと略する)。同様に下の行に対
応する進路を設定するには信号てこ1RDを反位にする
(信号てこ1Rを反位にし、進路選択ボタンDを押
す)。1Rに関しては着点に対応して1RC,1RDの
2つの信号機が設置されているが、11R〜15Lのよ
うに着点が異なる進路を1台の信号機等で設定する場合
もある。いずれの場合でも、着点の記号を付加した1R
C,1RD,11RC,11RDなどを信号機等(もし
くは対応する信号てこ、進路)を表わす記号として用い
ることがある。
【0030】鎖錠欄には、名称欄の機器が連動して動作
する機器の番号が記入される。以下、名称欄の機器が信
号機等である場合についてのみ述べる。(名称欄の機器
が転てつ器の場合は通常鎖錠欄は空欄である。)鎖錠欄
に転てつ器の番号が記入されているとき、この番号が丸
囲みでない場合、これらの転てつ器が定位に設定された
ときに限り該当する進路が設定できること、および進路
が設定された場合には転てつ器が定位に固定されること
を表わす。この番号が丸囲みの場合、これらの転てつ器
が反位に設定されたときに限り該当する進路を設定でき
ること、および進路が設定された場合には転てつ器が反
位に固定されることを表わす。ここで、進路が設定され
た場合に転てつ器の方向が固定されることを、転てつ器
が鎖錠されるという。図4の1行目によると、XTから
1番線へ至る進路を設定する(すなわち1RCが進行信
号を現示する)ためには転てつ器21,23が定位であ
ることが必要である。また、この進路が設定されたと
き、転てつ器21,23は定位に鎖錠される。このよう
な制御によって、信号機等の示す進行方向と転てつ器の
方向を一致させ、かつ列車の進入中に転てつ器の転換が
されないことを保証する。同様に2行目によると、XT
から2番線へ至る進路を設定する(すなわち1RDが進
行信号を現示する)ためには転てつ器21が定位、23
が反位であることが必要である。また、この進路が設定
されたとき、転てつ器21は定位に、23は反位に鎖錠
される。転てつ器が鎖錠された状態を解除し、再び転換
できるようにすることを解錠するという。尚、鎖錠欄に
信号てこ名が記入されている場合については、この実施
の形態1では扱われないので説明を割愛する。
【0031】信号制御またはてつ査鎖錠欄には軌道回路
の番号が記入される。この欄の意味する内容は名称欄に
記入されている機器の種類によって異なる。名称欄に信
号機等の名称が記入されている場合、信号制御又はてつ
査鎖錠欄の軌道回路が設置された区間に列車があると
き、信号機等は停止信号を現示する。図4の1行目は、
AT,21T,1RCTのいずれかの区間に列車がある
とき1RCは停止信号を現示することを表わす。これら
の区間に列車があるときに進行信号を現示して次の列車
が進入してきた場合、追突の恐れがあるので、これを防
ぐためこのような制御が行われる。名称欄に転てつ器の
名称が記入されている場合、信号制御またはてつ査鎖錠
欄の軌道回路が設置された区間内に列車があるとき、こ
れらの転てつ器は鎖錠される。これによって列車の通過
中に転てつ器が転換されることを防ぐ。
【0032】進路鎖錠欄は、進路設定完了後、列車が通
過し終わるまで進路上の転てつ器が解錠されないように
制御を行うためのものである。進路1RDが設定された
後、列車が通過し、ATに進入したとき、1RDの信号
てこを定位にして進路設定を解除できる。しかし、この
列車が21Tを通過し終わるまではこの区間内の転てつ
器21ロ,23イが鎖錠されていないと危険である。同
様に列車が23Tを通過し終わるまではこの区間内の転
てつ器23ロは鎖錠されていないと危険である。このよ
うな危険な解錠を防ぐため、21ロ,23イは列車が2
1Tを通過するまでは解錠されない。同様に、23ロは
列車が23Tを通過するまでは解錠されない。一方、列
車が21Tを通過した後は、23Tを通過するのを待た
ずに21ロや23イは即座に解錠し、他の進路を設定で
きるようにするのが望ましい。図4の進路鎖錠欄の2行
目の(AT)(21T)(23T)は、上記のように列
車が通過し終わった順にその区間内の転てつ器が解錠さ
れることを意味する。以下では、混乱のない限り、区間
内の全ての転てつ器が鎖錠または解錠されることを、そ
の区間が鎖錠又は解錠されるという。接近鎖錠または保
留鎖錠欄については、この実施の形態1では扱わないの
で説明を割愛する。上の連動図表の説明で述べたような
連動装置の制御の実現方法については、継電連動装置で
はリレー回路による標準結線方法が定められている。電
子連動装置では細部では違いがあるものの、継電連動装
置の実現方法に準拠している。これより、連動図表から
その制御論理を構成することが可能になる。
【0033】現場機器および列車の入力記述のうち、信
号機の入力表現を状態遷移グラフの形で表わしたものを
図5に示す。信号機の状態は進行信号表示31と停止信
号表示32の2状態であり、進行信号現示条件33が満
たされると進行信号表示31に、停止信号現示条件34
が満たされると停止信号表示32に状態遷移する。それ
ぞれの状態遷移の条件33,34は連動装置の制御に依
存する。その他の機器も同様に与えられる。
【0034】次に、進路1RDに関する検証を行うた
め、図1において、選択指定表現2で1RDが指定され
たとする。このとき、選択工程3は1RD内の機器であ
る信号機1RDとその信号てこ、転てつ器21ロ,23
イ,23ロとこれらの転てつてこ、軌道回路XT,A
T,21T,23T,1RDTおよびこの進路を通過す
る列車を選択する。この選択結果が部分表現4の表現1
aとなる。変換工程5では、選択工程3によって選択さ
れた、部分表現4の表現1aについて状態遷移条件を抽
出し、有限状態機械による記述1aを出力し、これを形
式的言語による記述6の記述1aとする。より具体的に
は、変換工程5は、選択された機器について、機器の動
作状態を有限状態機械の状態とし、連動図表から読み取
った位置関係および連動論理から状態遷移条件を構成す
る。
【0035】有限状態機械の信号機1RDに関する部分
を状態遷移グラフで表わしたものを図6に示す。図6は
図5の入力記述に比べて状態遷移条件37,38が具体
化されている。進行信号現示条件37は、1RDの信号
てこが反位になることに加え、鎖錠欄より転てつ器21
が定位、転てつ器23が反位、信号制御またはてつ査鎖
錠欄よりAT,21T,23T,1RDTの区間に列車
がないことが条件となる。(実際にはさらに複雑な条件
が必要となるが、この実施の形態1では説明のため単純
化している。)停止信号現示条件38は、1RDの信号
てこが定位になるか、信号制御またはてつ査鎖錠欄より
AT,21T,23T,1RDTの区間に列車が進入す
ることが条件となる。(上と同じく、説明のため単純化
している。)
【0036】一方、入力表現1のもう一方(表現2)が
「転てつ器21ロが反位で固定されているとき、信号機
1RDは進行信号を現示することができない」という命
題を時相論理で表現したものであったとする。この命題
は連動装置の行う制御の性質の一部を記述したものであ
る。時相論理は通常の論理関係に加え、事象の起きる可
能性の有無を記述できるので、上のような命題は容易に
記述できる。選択工程3はこの時相論理式から選択指定
表現2に従って関係する論理式のみを選択し、これを部
分表現4の表現2aとする。変換工程5は、部分表現4
の表現2aの時相論理式を形式的検証工程7が扱うこと
ができる形式的言語による記述6の記述2aに変換す
る。
【0037】こうして得られた2つの形式的言語による
記述6の記述1aと記述2a(有限状態機械と時相論理
式)を形式的検証工程7に出力し、有限状態機械の記述
に従った動作において時相論理式で記述された性質が満
足されるかを証明する。この証明方法については多数の
方法が提案されているが、ここでは最も簡単なものにつ
いて概略のみ説明する。有限状態機械に従って起こり得
る動作状態の遷移系列は有限個であり、この状態遷移系
列を機械的に列挙することが可能である。列挙された状
態遷移系列の各々が時相論理式による記述を満足するか
どうかを判定することで証明が可能である。
【0038】この実施の形態1では、信号機1RDが進
行信号を現示する状態は図6の進行信号表示35である
が、この状態に至る進行信号表示条件37には転てつ器
21ロが定位であることが含まれている。従って、21
ロが反位に固定されている場合、いかなる状態遷移系列
においても1RDが進行信号を現示する状態には至らな
い。これによって、図3および図4の連動図表で表わさ
れる1RDに関する部分については、上の性質を満たす
ことがわかる。尚、この実施の形態1では、変換工程5
において、部分表現4の表現2aを形式的検証工程7で
扱うことができる形式的言語による記述6の記述2aに
変換したが、予め、部分表現4の表現2aが形式的言語
によって記述されている場合は、形式的言語による記述
に変換する必要はない。
【0039】以上のように、この実施の形態1によれ
ば、入力表現1の表現1,2のうち、選択された部分表
現4の表現1a,2aについてのみ論理的性質を検証で
き、連動装置の行う制御が正しいかどうかを、選択した
機器に関して網羅的に、かつ現実的な計算時間および計
算機資源の範囲で試験を行なうことができる効果があ
る。また、検証する機器の選択の方法として、指定され
た進路上にある全ての機器およびその進路を通過する列
車を選択する方法をとることにより、連動装置の設計お
よび試験で通常行われている進路単位の検証ができる効
果がある。さらに、設計者は鉄道技術者が一般に使用し
ている連動図表を用いて連動装置の設計を記述すれば、
変換工程5により形式的検証工程7で用いる形式的言語
の記述6に変換されるので、既存の設計方法との親和性
を高めることができる効果がある。
【0040】実施の形態2.次に、図1において、選択
工程3が、現場機器、列車、および現場機器に対して連
動装置が行う制御の仕様を示す命題について記述された
入力表現1の表現1、表現2から、指定された特定の2
つの進路に対する各々の進路内の全ての現場機器につい
て記述された部分表現4の表現1aと、それら2つの進
路を通過する列車について記述された部分表現4の表現
1aと、それら2つの進路内の現場機器に対して連動装
置が行う制御の仕様を示す命題について記述された部分
表現4の表現2aとを選択する場合の検証方法について
説明する。実施の形態1と同じく、検証の対象として、
図3および図4の連動図表で表わされる連動装置および
設備配置と、有限状態機械で表わされる現場機器および
列車が与えられたとする。上記実施の形態1では、進路
1RDを単独で検証したが、制御の正しさを保証するた
めには他の進路との制御上の関係についても検証する必
要がある。この実施の形態2では、2進路間の制御関係
を検証する場合を説明する。
【0041】次に動作について説明する。選択指定表現
2で進路1RDおよび2Lが指定されたとする。このと
き、選択工程3では、1RD内の機器である信号機1R
Dとその信号てこ、転てつ器21ロ,23イ,23ロ
と、これらの転てつてこ、軌道回路XT,AT,21
T,23T,1RDT、並びに2L内の機器である信号
機2Lとその信号てこ、転てつ器21イ,22,23ロ
とこれらの転てつてこ、軌道回路1RDT,23T,2
2T,2LTおよびこれらの進路を通過する列車を選択
する。以下、上記実施の形態1と同様に、この選択結果
が部分表現4の表現1aとなる。この表現1aは変換工
程5によって有限状態機械による記述に変換され、これ
を形式的言語による記述6の記述1aとする。一方、入
力表現1のもう一方(表現2)が「区間23Tに2台の
列車が同時に進入することはない」という命題を時相論
理式で表現したものであったとする。これは23Tでは
衝突が起こらないことを意味する。上記実施の形態1と
同様に、これは選択工程3および変換工程5による処理
を経て、形式的言語による記述6の記述2aとなる。形
式的検証工程7は、有限状態機械に従った動作が時相論
理式で記述された性質を満足するかどうかの証明を試
み、証明に成功する。
【0042】証明に成功する理由は以下の通りである。
2台の列車が23Tに同時に進入するには、 (a)1RDと2Lの両方が同時に進行信号を現示す
る。 (b)2Lの側から進入した列車が23Tを通過し終わ
る前に、1RDが進行信号を現示する。 (c)1RDの側から進入した列車が23Tを通過し終
わる前に、2Lが進行信号を現示する。のいずれかの状
態を経由する必要がある。ここで、(a)については信
号機1RDが進行信号を現示するためには、鎖錠欄より
転てつ器23が反位であることが必要である。一方、信
号機2Lが進行信号を現示するためには、鎖錠欄より転
てつ器23が定位であることが必要である。この条件は
両立しないので、1RDと2Lの両方が同時に進行信号
を現示することはない。(b)については、2Lの側か
ら列車が進入した列車が23Tにある場合は、2Lの進
路鎖錠欄の条件より、転てつ器23は定位のまま転換で
きない。従って1RDは進行信号を現示できない。
(c)も同様に、1RDの進路鎖錠欄の条件より、列車
が23Tを通過するまで23は反位のまま転換できず、
従って2Lは進行信号を現示できない。このことから、
列車が信号の表示に従って動く限り、23Tの設置され
た区間には2台の列車は同時に進入できない。形式的検
証工程7は、以上の説明と同等の内容を有限状態機械の
状態遷移系列を検査することで証明する。
【0043】以上のように、この実施の形態2によれ
ば、指定された2つの進路内にある全ての機器およびそ
れらの進路を通過する列車を選択する方法をとることに
より、連動装置の設計および試験で通常行われている2
つの進路間の制御の関係について検証ができる効果があ
る。
【0044】実施の形態3.次に、図1において、選択
工程3が、現場機器、列車、および現場機器に対して連
動装置が行う制御の仕様を示す命題について記述された
入力表現1の表現1、表現2から、指定された特定の進
路に対するその進路内の全ての現場機器について記述さ
れた部分表現4の表現1aと、その進路と同じ発点また
は同じ着点を有し、同一方向に設定される他の全ての進
路内の全ての現場機器について記述された部分表現4の
表現1aと、それら進路を通過する列車について記述さ
れた部分表現4の表現1aと、それら現場機器に対して
連動装置が行う制御の仕様を示す命題について記述され
た部分表現4の表現2aとを選択する場合の検証方法に
ついて説明する。上記実施の形態1と同じく、検証の対
象として、図3および図4の連動図表で表わされる連動
装置および設備配置と、有限状態機械で表わされる現場
機器および列車が与えられたとする。上記実施の形態2
では、2進路間の制御上の関係を検証したが、制御の正
しさをより強く保証するためにはさらに多数の進路間の
制御についても検証する必要がある。しかし、許容でき
る計算時間が短いか計算機資源に限界がある場合、一度
に多数の進路間に関わる性質を検証するのは困難であ
る。このような場合、重要性が高いと思われる進路の組
み合わせのうち、進路数のできるだけ少ないものから検
証するのが現実的である。このような組み合わせの一つ
として、指定された進路と同じ発点もしくは着点を持ち
同一方向に設定される進路を検証の対象と考える。この
ような進路の数は一般にはそれほど多くないが、これら
の進路は同一区間で同一方向に進路設定を行うので、制
御の誤りがあった場合には追突の危険が大きい。このこ
とから、この組み合わせは優先的に検証すべきであると
考えられる。以下では、簡単のため指定された進路と同
じ発点を持つ進路のみを検証の対象とするが、同じ着点
を持つ進路の場合も同様である。
【0045】次に動作について説明する。選択指定表現
2で進路1RDが指定されたとする。このとき、選択工
程3は、1RD内の機器である信号機1RDとその信号
てこ、転てつ器21ロ、23イ、23ロと、これらの転
てつてこ、軌道回路XT,AT,21T,23T,1R
DT、並びに1RDと同じ発点を持つ進路1RC内の機
器である信号機1RCと、その信号てこ、転てつ器21
ロ、23イと、これらの転てつてこ、軌道回路XT,A
T,21T,1RCTおよびこれらの進路を通過する列
車を選択する。以下、上記実施の形態1,2と同様に、
入力表現1の表現1とこの選択結果から変換工程5を経
て有限状態機械で記述された形式的言語による記述6の
記述1aが得られる。一方、入力表現1のもう一方(表
現2)が「区間21Tに2台の列車が同時に進入するこ
とはない」という命題を時相論理式で表現したものであ
ったとする。これは21Tでは追突が起こらないことを
意味する。上記実施の形態1,2と同様に、これは選択
工程3、変換工程5による処理を経て有限状態機械で記
述された形式的言語による記述6の記述2aとなる。形
式的検証工程7は、有限状態機械に従った動作が時相論
理式で記述された性質を満足するかどうかの証明を試
み、証明に成功する。
【0046】証明に成功する理由は以下の通りである。
1RCと1RDの鎖錠欄の条件は転てつ器23の方向が
異なるため、1RCと1RDは同時に進行信号を表示で
きない。また、1RC,1RDとも一旦設定されて列車
が進入した後は、進路鎖錠欄の条件から列車が21Tを
通過するまで転てつ器23が解錠されず、従って他方の
信号機は進行表示を現示できない。これらのことから2
1Tには2台の列車は同時に進入できないことが導かれ
る。以上は1RDと同じ発点を持つ進路を検証の対象と
した場合であったが、同じ着点を持つ進路を対象とする
場合は、選択工程3は上記の進路1RC内の機器に替わ
り進路11RDおよび12RD内の機器を選択し、以下
同様に検証が行われる。機器の配置や軌道区間の構成に
よっては、この実施の形態3のように指定された進路と
同じ発点または着点を持つ進路を検証の対象として選択
する替わりに、指定された進路の着点を発点として同一
方向に設定される進路や、指定された進路の発点を着点
として同一方向に設定される進路を選択することによ
り、この実施の形態3と同様な効果を得ることができ
る。
【0047】以上のように、この実施の形態3によれ
ば、指定された特定の進路と同じ発点または同じ着点を
有し、同一方向に設定される他の全ての進路内の全ての
現場機器と、それら進路を通過する列車を選択する方法
をとることにより、指定された進路と、この進路に関係
する他の進路との制御の関係について、利用できる計算
機資源に応じて検証ができる効果がある。
【0048】実施の形態4.次に、図1において、選択
工程3が、現場機器、列車、および現場機器に対して連
動装置が行う制御の仕様を示す命題について記述された
入力表現1の表現1、表現2から、指定された特定の進
路に対するその進路内の全ての現場機器について記述さ
れた部分表現4の表現1aと、その進路の発点を着点と
するか、またはその進路の着点を発点とし、逆方向に設
定される他の全ての進路内の全ての現場機器について記
述された部分表現4の表現1aと、それら進路を通過す
る列車について記述された部分表現4の表現1aと、そ
れら現場機器に対して連動装置が行う制御の仕様を示す
命題について記述された部分表現4の表現2aとを選択
する場合の検証方法について説明する。上記実施の形態
1と同じく、検証の対象として、図3および図4の連動
図表で表わされる連動装置および設備配置と、有限状態
機械で表わされる現場機器および列車が与えられたとす
る。上記実施の形態3で述べた考え方に基づき、この実
施の形態4では、指定された進路の発点を着点とする
か、もしくは指定された進路の着点を発点とし、これと
逆方向に設定される進路を検証の対象とする。このよう
な進路の数は一般にはそれほど多くなく、上記実施の形
態3の場合と同数程度と予想されるが、これらの進路は
同一区間で逆方向に進路設定を行うので、制御の誤りが
あった場合には衝突の危険が大きい。このことから、こ
の組み合わせは上記実施の形態3と同程度に優先的に検
証すべきであると考えられる。以下では、簡単のため指
定された進路の着点を発点とする進路のみを検証の対象
とするが、指定された進路の発点を着点とする進路の場
合も同様である。
【0049】次に動作について説明する。選択指定表現
2で進路1RDが指定されたとする。このとき、選択工
程3は、1RD内の機器である信号機1RDと、その信
号てこ、転てつ器21ロ、23イ、23ロと、これらの
転てつてこ、軌道回路XT,AT,21T,23T,1
RDT、並びに1RDの着点を発点とする進路14L
A,14LB内の機器である入換標識14LA,14L
Bと、それらの信号てこ、転てつ器21イ,21ロ,2
2,23イ,23ロと、これらの転てつてこ、軌道回路
1RDT,23T,21T,AT,22T,2LTおよ
びこれらの進路を通過する列車を選択する。以下、これ
までの実施の形態と同様に、入力表現1とこの選択結果
から変換工程5を経て有限状態機械で記述された形式的
言語による記述6の記述1aが得られる。一方、入力表
現1のもう一方(表現2)が「区間21Tに2台の列車
が同時に進入することはない」という命題を時相論理式
で表現したものであったとする。これは21Tでは衝突
が起こらないことを意味する。上記実施の形態と同様
に、これは選択工程3、変換工程5による処理を経て形
式的言語による記述6の記述2aとなる。形式的検証工
程7は、有限状態機械に従った動作が時相論理式で記述
された性質を満足するかどうかの証明を試み、証明に成
功する。
【0050】以上は1RDの着点を発点とする進路を検
証の対象とした場合であったが、1RDの発点を着点と
する進路を対象とする場合、1RDの発点XTを着点と
する進路はなく、したがって選択工程3は何も選択しな
い。(しかしながら、同一区間を逆方向に設定する進路
を検証の対象とするという趣旨から、発点より2区間目
のATを着点とする進路14LA,15LAを選択する
ことも考えられる。)機器の配置や軌道区間の構成によ
っては、この実施の形態4のような選択の方法に替わ
り、指定された進路と同じ着点もしくは発点を持ち、逆
方向に設定される進路を選択することにより、この実施
の形態4と同様な効果を得ることができる。
【0051】以上のように、この実施の形態4によれ
ば、指定された特定の進路に対するその進路内の全ての
現場機器と、その進路の発点を着点とするか、またはそ
の進路の着点を発点とし、逆方向に設定される他の全て
の進路内の全ての現場機器と、それら進路を通過する列
車を選択する方法をとることにより、指定された進路
と、この進路に関係する他の進路との制御の関係につい
て、利用できる計算機資源に応じて検証ができる効果が
ある。
【0052】実施の形態5.次に、図1において、選択
工程3が、現場機器、列車、および現場機器に対して連
動装置が行う制御の仕様を示す命題について記述された
入力表現1の表現1、表現2から、指定された特定の進
路およびその進路内の特定の軌道回路に対して、その進
路内の全ての現場機器について記述された部分表現4の
表現1aと、その軌道回路が設置された区間を含む他の
全ての進路内の全ての現場機器について記述された部分
表現4の表現1aと、それら進路を通過する列車につい
て記述された部分表現4の表現1aと、それら現場機器
に対して連動装置が行う制御の仕様を示す命題について
記述された部分表現4の表現2aとを選択する場合の検
証方法について説明する。上記実施の形態1と同じく、
検証の対象として、図3および図4の連動図表で表わさ
れる連動装置および設備配置と、有限状態機械で表わさ
れる現場機器および列車が与えられたとする。上記実施
の形態3で述べた考え方に基づき、この実施の形態5で
は指定された進路および進路内の特定の軌道回路に対し
て、その軌道回路を含む全ての進路を検証の対象とす
る。このような進路の数は一般には上記実施の形態3,
4の場合と比べてやや多いと予想されるが、一つの軌道
回路上に設定される進路が全て対象になるため、上記実
施の形態3,4に比べてより強く制御の正しさを保証で
きるので、許容できる計算時間が長く、利用できる計算
機資源に恵まれている場合は検証すべきであると考えら
れる。
【0053】次に動作について説明する。選択指定表現
2で進路1RDと軌道回路21Tが指定されたとする。
このとき、選択工程3は1RD内の機器全てと、21T
を含む進路1RC,11RC,11RD,12RC,1
4LA,15LA,15LB内の全ての機器およびこれ
らの進路を通過する列車を選択する。上記実施の形態1
〜4と同様に、入力表現1の表現1とこの選択結果から
変換工程5を経て形式的言語による記述6の記述1aが
得られる。一方、入力表現1のもう一方(表現2)が
「区間21Tに2台の列車が同時に進入することはな
い」という命題を時相論理で表現したものであったとす
る。これも上記実施の形態1〜4と同様に、これは選択
工程3、変換工程5による処理を経て形式的言語による
記述6の記述2aとなる。形式的検証工程7はこれら2
つの記述の等価性の証明を試み、上記実施の形態1〜4
と同様、証明に成功する。
【0054】以上のように、この実施の形態5によれ
ば、指定された特定の進路およびその進路内の特定の軌
道回路に対して、その進路内の全ての現場機器と、その
軌道回路が設置された区間を含む他の全ての進路内の全
ての現場機器と、それら進路を通過する列車を選択する
方法をとることにより、指定された進路と、この進路に
関係する他の進路との制御の関係について、利用できる
計算機資源に応じて検証ができる効果がある。
【0055】実施の形態6.次に、図1において、選択
工程3が、現場機器、列車、および現場機器に対して連
動装置が行う制御の仕様を示す命題について記述された
入力表現1の表現1、表現2から、指定された特定の進
路に対するその進路内の全ての現場機器について記述さ
れた部分表現4の表現1aと、その進路内に有する軌道
回路を一つでも含む他の全ての進路内の全ての現場機器
について記述された部分表現4の表現1aと、それら進
路を通過する列車について記述された部分表現4の表現
1aと、それら現場機器に対して連動装置が行う制御の
仕様を示す命題について記述された部分表現4の表現2
aとを選択する場合の検証方法について説明する。上記
実施の形態1と同じく、検証の対象として、図3および
図4の連動図表で表わされる連動装置および設備配置
と、有限状態機械で表わされる現場機器および列車が与
えられたとする。この実施の形態6では、指定された進
路内の全ての区間に対して、その区間を一つでも含む全
ての進路を検証の対象とする。このような進路の数は上
記実施の形態5の場合と比べてさらに多くなるが、より
強く制御の正しさを保証できるので、許容できる計算時
間が長く利用できる計算機資源に恵まれている場合は検
証すべきであると考えられる。
【0056】次に動作について説明する。選択指定記述
2で信号機1RDが指定されたとする。このとき、選択
工程3は1RDの進路内の機器全てと、1RDの進路を
構成する区間XT,AT,21T,23T,1RDTの
うちいずれか一つでも含む進路1RC,2L,11R
C,11RD,12RC,12RD,14LA,14L
B,15LA,15LB内の全ての機器およびこれらの
進路を通過する列車を選択する。上記実施の形態1〜5
と同様に、入力記述1とこの選択結果から変換工程5を
経て形式的言語による記述6の記述1aが得られる。一
方、入力表現1のもう一方(表現2)が「区間21Tに
2台の列車が同時に進入することはない」という命題を
時相論理で表現したものであったとする。これも上記実
施の形態1〜5と同様に、これは選択工程3、変換工程
5による処理を経て形式的言語による記述6の記述2a
となる。一形式的検証工程7は上記実施の形態1〜5と
同様に証明を試み、証明に成功する。
【0057】以上のように、この実施の形態6によれ
ば、指定された特定の進路に対するその進路内の全ての
現場機器と、その進路内に有する軌道回路を一つでも含
む他の全ての進路内の全ての現場機器と、それら進路を
通過する列車を選択する方法をとることにより、指定さ
れた進路と、この進路に関係する他の進路との制御の関
係について、利用できる計算機資源に応じて検証ができ
る効果がある。
【0058】実施の形態7.次に、図1において、選択
工程3が、選択する現場機器、列車、および現場機器に
対して連動装置が行う制御の仕様を示す命題について記
述された入力表現1の選択を段階的に増加させ、各段階
毎に順次検証を行わせる場合の検証方法について説明す
る。上記実施の形態1と同じく、検証の対象として、図
3および図4の連動図表で表わされる連動装置および設
備配置と、有限状態機械で表わされる現場機器および列
車が与えられたとする。一般にはより多くの機器を検証
の対象としてより大域的な検証を行うのが望ましいが、
検証の対象機器が多くなると必要な計算時間や計算機資
源が急速に大きくなる。また検証に要する計算時間や計
算機資源を事前に予測するのは困難である。そこで、選
択する機器を徐々に増加させていき、許容できる計算時
間および利用できる計算機資源の許す限りより多くの機
器を含んだ検証を行うという方法をとる。
【0059】次に動作について説明する。例えば、指定
された進路1RDについて、まず、上記実施の形態1に
相当する検証から始め、上記実施の形態6に相当する検
証まで順に実施し、最後に全機器を含んだ検証を実施す
る。検証に必要な計算機資源は、概ねこの順に増大して
いくので、途中の段階で計算機資源の限界から検証でき
なくなることがあるが、そのときはその段階で検証を中
止する。このような方法によって許容できる計算時間お
よび利用できる計算機資源に応じた検証が可能になる。
以上の実施の形態1〜7では、連動装置の設計の正しさ
を検証する方法について説明したが、この発明は、この
他に連動装置の設計とその設計に従って制作された制御
プログラムの動作が一致していることの検証にも用いる
ことができる。また、同様に、連度装置の制御プログラ
ムの一部を変更したときに、プログラムの変更した部分
以外がこの変更の影響なく動作することを確認するた
め、変更前のプログラムと変更後のプログラムの動作が
一致することを検証する場合にも用いることができる。
【0060】以上のように、この実施の形態7によれ
ば、選択する現場機器、列車、および現場機器に対して
連動装置が行う制御の仕様を示す命題について記述され
た入力表現1の選択を段階的に増加させ、各段階毎に順
次検証を行わせる方法をとることにより、連動装置の行
う制御の局所的な検証から計算時間および計算機資源の
許す限り多くの機器を含んだ大域的な検証を行うことが
できる効果がある。
【0061】
【発明の効果】以上のように、この発明によれば、連動
装置、現場機器、列車、設備配置、および現場機器に対
して連動装置が行う制御の仕様を示す命題について記述
された形式的言語によらない表現から、任意の一部の検
証対象とする現場機器および列車を指定し、それら指定
された検証対象とする現場機器および列車について記述
された表現と共に、その指定された現場機器に応じた現
場機器に対して連動装置が行う制御の仕様を示す命題に
ついて記述された表現を選択する選択工程を備えるよう
に構成したので、入力表現のうち、選択された部分表現
についてのみ整合性を検証することができ、連動装置の
行う制御が正しいかどうかを、選択した現場機器および
列車に関して網羅的に、かつ現実的な計算時間および計
算機資源の範囲で試験を行なうことができる効果があ
る。
【0062】また、この発明によれば、選択工程は、指
定された特定の進路に対するその進路内の全ての現場機
器について記述された表現と、その進路を通過する列車
について記述された表現と、その進路内の現場機器に対
して連動装置が行う制御の仕様を示す命題について記述
された表現とを選択するように構成したので、連動装置
の設計および試験で通常行われている進路単位の検証が
できる効果がある。
【0063】また、この発明によれば、選択工程は、指
定された特定の2つの進路に対する各々の進路内の全て
の現場機器について記述された表現と、それら2つの進
路を通過する列車について記述された表現と、それら2
つの進路内の現場機器に対して連動装置が行う制御の仕
様を示す命題について記述された表現とを選択するよう
に構成したので、連動装置の設計および試験で通常行わ
れている2つの進路間の制御の関係について検証ができ
る効果がある。
【0064】また、この発明によれば、選択工程は、指
定された特定の進路に対するその進路内の全ての現場機
器について記述された表現と、その進路と同じ発点また
は同じ着点を有し、同一方向に設定される他の全ての進
路内の全ての現場機器について記述された表現と、それ
ら進路を通過する列車について記述された表現と、それ
ら現場機器に対して連動装置が行う制御の仕様を示す命
題について記述された表現とを選択するように構成した
ので、指定された進路と、この進路に関係する他の進路
との制御の関係について、利用できる計算機資源に応じ
て検証ができる効果がある。
【0065】また、この発明によれば、選択工程は、指
定された特定の進路に対するその進路内の全ての現場機
器について記述された表現と、その進路の発点を着点と
するか、またはその進路の着点を発点とし、逆方向に設
定される他の全ての進路内の全ての現場機器について記
述された表現と、それら進路を通過する列車について記
述された表現と、それら現場機器に対して連動装置が行
う制御の仕様を示す命題について記述された表現とを選
択するように構成したので、指定された進路と、この進
路に関係する他の進路との制御の関係について、利用で
きる計算機資源に応じて検証ができる効果がある。
【0066】また、この発明によれば、選択工程は、指
定された特定の進路およびその進路内の特定の軌道回路
に対して、その進路内の全ての現場機器について記述さ
れた表現と、その軌道回路が設置された区間を含む他の
全ての進路内の全ての現場機器について記述された表現
と、それら進路を通過する列車について記述された表現
と、それら現場機器に対して連動装置が行う制御の仕様
を示す命題について記述された表現とを選択するように
構成したので、指定された進路と、この進路に関係する
他の進路との制御の関係について、利用できる計算機資
源に応じて検証ができる効果がある。
【0067】また、この発明によれば、選択工程は、指
定された特定の進路に対するその進路内の全ての現場機
器について記述された表現と、その進路内に有する軌道
回路を一つでも含む他の全ての進路内の全ての現場機器
について記述された表現と、それら進路を通過する列車
について記述された表現と、それら現場機器に対して連
動装置が行う制御の仕様を示す命題について記述された
表現とを選択するように構成したので、指定された進路
と、この進路に関係する他の進路との制御の関係につい
て、利用できる計算機資源に応じて検証ができる効果が
ある。
【0068】また、この発明によれば、選択工程は、選
択する現場機器、列車、および現場機器に対して連動装
置が行う制御の仕様を示す命題について記述された表現
を段階的に増加させ、各段階毎に順次検証を行わせるよ
うに構成したので、連動装置の行う制御の局所的な検証
から計算時間および計算機資源の許す限り多くの機器を
含んだ大域的な検証を行うことができる効果がある。
【0069】また、この発明によれば、連動装置および
設備配置について記述された表現を、連動図表とするよ
うに構成したので、設計者は鉄道技術者が一般に使用し
ている連動図表を用いて連動装置の設計を記述すること
ができ、既存の設計方法との親和性を高めることができ
る効果がある。
【0070】また、この発明によれば、記憶手段に記憶
された連動装置、現場機器、列車、設備配置、および現
場機器に対して連動装置が行う制御の仕様を示す命題に
ついて記述された形式的言語によらない表現から、指定
された任意の一部の検証対象とする現場機器および列車
について記述された表現と共に、その指定された現場機
器に応じた現場機器に対して連動装置が行う制御の仕様
を示す命題について記述された表現を選択する選択手段
を備えるように構成したので、入力表現のうち、選択さ
れた部分表現についてのみ整合性を検証することがで
き、連動装置の行う制御が正しいかどうかを、選択した
現場機器および列車に関して網羅的に、かつ現実的な計
算時間および計算機資源の範囲で試験を行なうことがで
きる効果がある。
【0071】また、この発明によれば、連動装置、現場
機器、列車、設備配置、および現場機器に対して連動装
置が行う制御の仕様を示す命題について記述された形式
的言語によらない表現から、指定された任意の一部の検
証対象とする現場機器および列車について記述された表
現と共に、その指定された現場機器に応じた現場機器に
対して連動装置が行う制御の仕様を示す命題について記
述された表現を選択する選択工程を備えるように構成し
たので、入力表現のうち、選択された部分表現について
のみ整合性を検証することができ、連動装置の行う制御
が正しいかどうかを、選択した現場機器および列車に関
して網羅的に、かつ現実的な計算時間および計算機資源
の範囲で試験を行なうことができる効果がある。また、
記録媒体であるので、他のコンピュータへの利用も容易
となる効果がある。
【図面の簡単な説明】
【図1】 この発明の実施の形態1による鉄道信号シス
テムの連動装置検証方法および装置を示す構成図であ
る。
【図2】 この発明の実施の形態1による鉄道信号シス
テムの連動装置検証装置を示す構成図である。
【図3】 連動図表のうちの連動図を示す図である。
【図4】 連動図表のうちの連動表を示す図である。
【図5】 信号機に関する入力表現を示す概念図であ
る。
【図6】 有限状態機械のうち信号機1RDに関するも
のを示す概念図である。
【符号の説明】
1 入力表現(表現)、3 選択工程(選択手段)、4
部分表現(表現)、5 変換工程(変換手段)、6
形式的言語による記述(形式的言語による第1の記述,
形式的言語による第2の記述)、7 形式的検証工程
(形式的検証手段)、13 RAM(記憶手段)、15
フロッピーディスク(記録媒体)。

Claims (11)

    【特許請求の範囲】
  1. 【請求項1】 連動装置、現場機器、列車、設備配置、
    および現場機器に対して連動装置が行う制御の仕様を示
    す命題について記述された形式的言語によらない表現か
    ら、任意の一部の検証対象とする現場機器および列車を
    指定し、それら指定された検証対象とする現場機器およ
    び列車について記述された表現と共に、その指定された
    現場機器に応じた現場機器に対して連動装置が行う制御
    の仕様を示す命題について記述された表現を選択する選
    択工程と、上記選択工程によって選択された現場機器お
    よび列車について記述された表現を、上記連動装置およ
    び上記設備配置について記述された表現に基づいて、形
    式的言語による第1の記述に変換すると共に、その選択
    工程によって選択された現場機器に対して連動装置が行
    う制御の仕様を示す命題について記述された表現を形式
    的言語による第2の記述に変換する変換工程と、上記変
    換工程によって変換された形式的言語による第1の記述
    および第2の記述の整合性を検証する形式的検証工程7
    とを備えた鉄道信号システムの連動装置検証方法。
  2. 【請求項2】 選択工程は、現場機器、列車、および現
    場機器に対して連動装置が行う制御の仕様を示す命題に
    ついて記述された表現から、指定された特定の進路に対
    するその進路内の全ての現場機器について記述された表
    現と、その進路を通過する列車について記述された表現
    と、その進路内の現場機器に対して連動装置が行う制御
    の仕様を示す命題について記述された表現とを選択する
    ことを特徴とする請求項1記載の鉄道信号システムの連
    動装置検証方法。
  3. 【請求項3】 選択工程は、現場機器、列車、および現
    場機器に対して連動装置が行う制御の仕様を示す命題に
    ついて記述された表現から、指定された特定の2つの進
    路に対する各々の進路内の全ての現場機器について記述
    された表現と、それら2つの進路を通過する列車につい
    て記述された表現と、それら2つの進路内の現場機器に
    対して連動装置が行う制御の仕様を示す命題について記
    述された表現とを選択することを特徴とする請求項1記
    載の鉄道信号システムの連動装置検証方法。
  4. 【請求項4】 選択工程は、現場機器、列車、および現
    場機器に対して連動装置が行う制御の仕様を示す命題に
    ついて記述された表現から、指定された特定の進路に対
    するその進路内の全ての現場機器について記述された表
    現と、その進路と同じ発点または同じ着点を有し、同一
    方向に設定される他の全ての進路内の全ての現場機器に
    ついて記述された表現と、それら進路を通過する列車に
    ついて記述された表現と、それら現場機器に対して連動
    装置が行う制御の仕様を示す命題について記述された表
    現とを選択することを特徴とする請求項1記載の鉄道信
    号システムの連動装置検証方法。
  5. 【請求項5】 選択工程は、現場機器、列車、および現
    場機器に対して連動装置が行う制御の仕様を示す命題に
    ついて記述された表現から、指定された特定の進路に対
    するその進路内の全ての現場機器について記述された表
    現と、その進路の発点を着点とするか、またはその進路
    の着点を発点とし、逆方向に設定される他の全ての進路
    内の全ての現場機器について記述された表現と、それら
    進路を通過する列車について記述された表現と、それら
    現場機器に対して連動装置が行う制御の仕様を示す命題
    について記述された表現とを選択することを特徴とする
    請求項1記載の鉄道信号システムの連動装置検証方法。
  6. 【請求項6】 選択工程は、現場機器、列車、および現
    場機器に対して連動装置が行う制御の仕様を示す命題に
    ついて記述された表現から、指定された特定の進路およ
    びその進路内の特定の軌道回路に対して、その進路内の
    全ての現場機器について記述された表現と、その軌道回
    路が設置された区間を含む他の全ての進路内の全ての現
    場機器について記述された表現と、それら進路を通過す
    る列車について記述された表現と、それら現場機器に対
    して連動装置が行う制御の仕様を示す命題について記述
    された表現とを選択することを特徴とする請求項1記載
    の鉄道信号システムの連動装置検証方法。
  7. 【請求項7】 選択工程は、現場機器、列車、および現
    場機器に対して連動装置が行う制御の仕様を示す命題に
    ついて記述された表現から、指定された特定の進路に対
    するその進路内の全ての現場機器について記述された表
    現と、その進路内に有する軌道回路を一つでも含む他の
    全ての進路内の全ての現場機器について記述された表現
    と、それら進路を通過する列車について記述された表現
    と、それら現場機器に対して連動装置が行う制御の仕様
    を示す命題について記述された表現とを選択することを
    特徴とする請求項1記載の鉄道信号システムの連動装置
    検証方法。
  8. 【請求項8】 選択工程は、選択する現場機器、列車、
    および現場機器に対して連動装置が行う制御の仕様を示
    す命題について記述された表現を段階的に増加させ、各
    段階毎に順次検証を行わせることを特徴とする請求項1
    記載の鉄道信号システムの連動装置検証方法。
  9. 【請求項9】 連動装置および設備配置について記述さ
    れた表現は、連動図表であることを特徴とする請求項1
    から請求項8のうちのいずれか1項記載の鉄道信号シス
    テムの連動装置検証方法。
  10. 【請求項10】 記憶手段に記憶された連動装置、現場
    機器、列車、設備配置、および現場機器に対して連動装
    置が行う制御の仕様を示す命題について記述された形式
    的言語によらない表現から、指定された任意の一部の検
    証対象とする現場機器および列車について記述された表
    現と共に、その指定された現場機器に応じた現場機器に
    対して連動装置が行う制御の仕様を示す命題について記
    述された表現を選択する選択手段と、上記選択手段によ
    って選択された現場機器および列車について記述された
    表現を、上記記憶手段に記憶された上記連動装置および
    上記設備配置について記述された表現に基づいて、形式
    的言語による第1の記述に変換すると共に、その選択手
    段によって選択された現場機器に対して連動装置が行う
    制御の仕様を示す命題について記述された表現を形式的
    言語による第2の記述に変換する変換手段と、上記変換
    手段によって変換された形式的言語による第1の記述お
    よび第2の記述の整合性を検証する形式的検証手段とを
    備えた鉄道信号システムの連動装置検証装置。
  11. 【請求項11】 連動装置、現場機器、列車、設備配
    置、および現場機器に対して連動装置が行う制御の仕様
    を示す命題について記述された形式的言語によらない表
    現から、指定された任意の一部の検証対象とする現場機
    器および列車について記述された表現と共に、その指定
    された現場機器に応じた現場機器に対して連動装置が行
    う制御の仕様を示す命題について記述された表現を選択
    する選択工程と、上記選択工程によって選択された現場
    機器および列車について記述された表現を、上記連動装
    置および上記設備配置について記述された表現に基づい
    て、形式的言語による第1の記述に変換すると共に、そ
    の選択工程によって選択された現場機器に対して連動装
    置が行う制御の仕様を示す命題について記述された表現
    を形式的言語による第2の記述に変換する変換工程と、
    上記変換工程によって変換された形式的言語による第1
    の記述および第2の記述の整合性を検証する形式的検証
    工程とを、コンピュータによって実行させるためのプロ
    グラムを記録したコンピュータ読み取り可能な記録媒
    体。
JP31134098A 1998-10-30 1998-10-30 鉄道信号システムの連動装置検証方法、その装置、および記録媒体 Pending JP2000137624A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP31134098A JP2000137624A (ja) 1998-10-30 1998-10-30 鉄道信号システムの連動装置検証方法、その装置、および記録媒体

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP31134098A JP2000137624A (ja) 1998-10-30 1998-10-30 鉄道信号システムの連動装置検証方法、その装置、および記録媒体

Publications (1)

Publication Number Publication Date
JP2000137624A true JP2000137624A (ja) 2000-05-16

Family

ID=18015978

Family Applications (1)

Application Number Title Priority Date Filing Date
JP31134098A Pending JP2000137624A (ja) 1998-10-30 1998-10-30 鉄道信号システムの連動装置検証方法、その装置、および記録媒体

Country Status (1)

Country Link
JP (1) JP2000137624A (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102004489A (zh) * 2010-10-15 2011-04-06 北京交通大学 基于数据驱动的车载运行控制系统的测试系统及方法
JP2011131812A (ja) * 2009-12-25 2011-07-07 Hitachi Ltd 連動図表検証装置、及び連動図表検証方法
KR101852466B1 (ko) 2016-11-09 2018-04-26 한국항공우주연구원 인공 위성 통합 신호 검증 장치 및 이를 이용한 위성 통합 신호 검증 방법

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011131812A (ja) * 2009-12-25 2011-07-07 Hitachi Ltd 連動図表検証装置、及び連動図表検証方法
CN102004489A (zh) * 2010-10-15 2011-04-06 北京交通大学 基于数据驱动的车载运行控制系统的测试系统及方法
KR101852466B1 (ko) 2016-11-09 2018-04-26 한국항공우주연구원 인공 위성 통합 신호 검증 장치 및 이를 이용한 위성 통합 신호 검증 방법

Similar Documents

Publication Publication Date Title
US7725303B2 (en) Device and method for checking railway logical software engines for commanding plants, particularly station plants
EP2738061B1 (en) Route control program generation method and route control device
Bernardeschi et al. A formal verification environment for railway signaling system design
CN113031934B (zh) 一种用于形式化验证的联锁数据安全转换方法及翻译器
CN112198815A (zh) 一种联锁功能仿真自动测试方法及系统
CN113268415B (zh) 一种基于测试用例的联锁规则自动测试系统及方法
Vu Formal development and verification of railway control systems-in the context of ERTMS/ETCS level 2
CN105678022B (zh) 面向方面的联锁系统安全需求形式化建模及验证方法
Arcaini et al. Validation of the hybrid ERTMS/ETCS level 3 using SPIN
Mader et al. A computer-aided approach to preliminary hazard analysis for automotive embedded systems
Chouchani et al. Model-based safety engineering for autonomous train map
JP2000137624A (ja) 鉄道信号システムの連動装置検証方法、その装置、および記録媒体
Iliasov et al. Practical verification of railway signalling programs
Janota Using Z specification for railway interlocking safety
Morley Safety assurance in interlocking design
CN115892146A (zh) 一种联锁系统与外部系统接口交互码位的自动测试方法
JP2003081090A (ja) 連動情報抽出方法
JP2011138247A (ja) プログラム影響範囲検証方法及び装置
Einer et al. Modeling train control systems with Petrinets-an operational specification
Xiangxian et al. Automatic generation of relay logic for interlocking system based on statecharts
Ferlin et al. Implementation of ERTMS: a methodology based on formal methods and simulation with respect to French national rules
JP2000127971A (ja) 鉄道信号システムの連動装置検証方法、その装置、および記録媒体
JP3301503B2 (ja) 電子連動装置
JP3246337B2 (ja) 連動装置の検証装置および連動装置の検証方法
Wang et al. Study on modeling and verification of CBTC interlocking system