JP2014139052A - 列車運行制御検査装置、列車運行制御検査方法及びプログラム - Google Patents

列車運行制御検査装置、列車運行制御検査方法及びプログラム Download PDF

Info

Publication number
JP2014139052A
JP2014139052A JP2013008563A JP2013008563A JP2014139052A JP 2014139052 A JP2014139052 A JP 2014139052A JP 2013008563 A JP2013008563 A JP 2013008563A JP 2013008563 A JP2013008563 A JP 2013008563A JP 2014139052 A JP2014139052 A JP 2014139052A
Authority
JP
Japan
Prior art keywords
route
train
state transition
transition model
interlocking device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2013008563A
Other languages
English (en)
Other versions
JP2014139052A5 (ja
JP5931760B2 (ja
Inventor
法貴 ▲柳▼井
Noritaka Yanai
Toshihiko Araya
利彦 新家
健司 ▲高▼尾
Kenji Takao
Yasuyuki Suzuki
康之 鈴木
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Heavy Industries Ltd
Original Assignee
Mitsubishi Heavy Industries Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Heavy Industries Ltd filed Critical Mitsubishi Heavy Industries Ltd
Priority to JP2013008563A priority Critical patent/JP5931760B2/ja
Priority to SG11201505030PA priority patent/SG11201505030PA/en
Priority to PCT/JP2013/076102 priority patent/WO2014112159A1/ja
Priority to US14/655,106 priority patent/US9751544B2/en
Publication of JP2014139052A publication Critical patent/JP2014139052A/ja
Publication of JP2014139052A5 publication Critical patent/JP2014139052A5/ja
Application granted granted Critical
Publication of JP5931760B2 publication Critical patent/JP5931760B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L27/00Central railway traffic control systems; Trackside control; Communication systems specially adapted therefor
    • B61L27/20Trackside control of safe travel of vehicle or train, e.g. braking curve calculation
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L19/00Arrangements for interlocking between points and signals by means of a single interlocking device, e.g. central control
    • B61L19/06Interlocking devices having electrical operation
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L21/00Station blocking between signal boxes in one yard
    • B61L21/04Electrical locking and release of the route; Electrical repeat locks
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L27/00Central railway traffic control systems; Trackside control; Communication systems specially adapted therefor
    • B61L27/60Testing or simulation

Landscapes

  • Engineering & Computer Science (AREA)
  • Mechanical Engineering (AREA)
  • Train Traffic Observation, Control, And Security (AREA)

Abstract

【課題】列車運行制御システムの運用において稀に起こり得る状況を含めて検査を行うことができる列車運行制御検査装置を提供する。
【解決手段】連動装置及び運行管理システムで構成される列車運行制御システムの動作を検証する列車運行制御検査装置1が、複数の閉そくを連接し、少なくとも一以上の分岐路を有して成る路線ネットワークの構成を表した路線情報、当該路線ネットワーク上を走行する列車の経路を、一または複数の進路の組み合わせにより、当該列車ごとに特定する走行経路情報、列車が走行しようとする経路を予約するための進路要求を行う際に満たすべき条件が、前記進路ごとに規定された進路設定情報、及び、前記連動装置の安全動作ロジックが規定された連動装置動作情報を取得する情報取得部10を備える。
【選択図】図1

Description

本発明は、予め設けられた路線を走行する列車の運行計画を検査する列車運行制御検査装置、列車運行制御検査方法及びプログラムに関する。
従来、鉄道車両の運行を制御するシステムは、その運用上の安全を担保する「保安系システム」と、これと独立して、種々の目的を達成するための「非保安系システム」とに分類される。
「保安系システム」とは、列車が衝突・脱線しないように列車の運行を制御するためのシステムである。代表的な例としては、ATC(Automatic Train Control:自動列車制御装置)や「連動装置」などが挙げられる。ここで「連動装置」とは、信号機と転てつ器(分岐における列車の進路を切り替える装置)とを連動して制御する装置のことを言う。
一方「非保安系システム」とは、主に鉄道を交通機関として運営する上で必要なシステムのうち、「保安系システム」に該当しないものをいう。例えば列車を運行ダイヤ通りに進行または停止させる「運行管理システム」が代表的な例である。また、改札設備等もその一種である。
このような、非保安系システムである運行管理システムと、保安系システムである連動装置とを独立して機能させながら、列車の運行を制御する列車運行制御システムにおいては、その運行プロセスにおいて「デッドロック」が発生しないような運行ロジックを形成する必要がある。ここで「デッドロック」とは、運行管理システム及び連動装置間のやり取りにおいて、列車の運行プロセスをそれ以上進められない状態に陥ってしまうことをいう。
したがって、運行ロジックの設計者は、その運行ロジックに従って逐次行われる運行プロセスにおいて、「デッドロック」が発生し得るものか否かを予め検証する必要がある。
なお「保安系システム」のうち「連動装置」に関しては、その動作検証を自動化、省力化する手法が開示されている(特許文献1)。
特開2011−131812号公報
しかしながら、列車はダイヤ通りに走行するとは限らず、ある程度の遅延が発生し得るものである。そして遅延が発生し得る列車の位置及び進路の組み合わせは膨大であり、全ての組み合わせでデッドロックが発生しないように運行ロジックを設計するのは、熟練者であっても困難である。
また、上記「連動装置」及び「運行管理システム」は、路線情報、列車の位置、列車の進路、運行ダイヤ等の様々な情報に基づいて、それぞれが独立して(非同期で)列車等の制御を遂行するものである。特許文献1に記載の手法では、「連動装置」単体についての動作検証を行うことは可能ではあるものの、「連動装置」と「運行管理システム」とを組み合わせた列車運行制御システム全体についての動作検証を行うことはできない。
さらに「連動装置」と「運行管理システム」は、上述したとおり、それぞれが独立して非同期的に列車の運行制御を行うものである。したがって、時々刻々と進められていく運行プロセスについて、それぞれが送信する指示パターンには無数の組み合わせが考えられる。これまでの検査システムでは、このように無数に存在し得る全ての指示パターンについて、「デッドロック」に陥ってしまう可能性がないか否かを検証することはできなかった。例えば、ある列車がある閉そくに進入したタイミングと、実際に連動装置がそのことを認知するタイミングには、実際にはわずかなタイムラグが生じる。このわずかなタイムラグの間に、運行管理システムから別の列車の進路要求があった時に何が起こり得るか、という問題についてまでは、これまでは検証することができなかった。
そこでこの発明は、上述の問題を解決することのできる列車運行制御検査装置、列車運行制御検査方法及びプログラムを提供することを目的としている。
本発明は、上述の課題を解決すべくなされたもので、連動装置及び運行管理システムで構成される列車運行制御システムの動作を検証する列車運行制御検査装置であって、複数の閉そくを連接し、少なくとも一以上の分岐を有して成る路線ネットワークの構成を表した路線情報、当該路線ネットワーク上を走行する列車の経路を、一または複数の進路の組み合わせにより、当該列車ごとに特定する走行経路情報、列車が走行しようとする経路を予約するための進路要求を行う際に満たすべき条件が、前記進路ごとに規定された進路設定情報、及び、前記連動装置の安全動作ロジックが規定された連動装置動作情報を取得する情報取得部と、前記情報取得部が取得した各種情報に基づいて、前記列車、前記分岐、前記連動装置及び前記運行管理システムそれぞれについての状態遷移モデルを生成する状態遷移モデル生成部と、前記状態遷移モデルに基づいて、前記列車、前記分岐、前記連動装置及び前記運行管理システムそれぞれにおいて想定される状態の組み合わせで、予め設定された要件を満たすか否かを判定する状態遷移モデル検査部と、を備える列車運行制御検査装置である。
また本発明は、前記状態遷移モデル生成部が、前記列車において想定される状態として、少なくとも、前記列車が、前記進路を前記閉そく単位で区分した進路要素のそれぞれに属している状態、及び、各進路要素の境界を跨いでいる状態を含む状態遷移モデルを生成することを特徴とする。
また本発明は、前記状態遷移モデル生成部が、前記分岐において想定される状態として、少なくとも、定位、転換中及び反位の状態を含む状態遷移モデルを生成することを特徴とする。
また本発明は、前記状態遷移モデル生成部が、前記連動装置において想定される状態として、少なくとも、各進路についての鎖錠の有無、各閉そくにおける在線の有無を含む状態遷移モデルを生成することを特徴とする。
また本発明は、前記状態遷移モデル生成部が、前記運行管理システムにおいて想定される状態として、少なくとも、各列車についての進路要求ステップの進行状態、及び、各進路における進路要求の有無それぞれを示す状態を含む状態遷移モデルを生成することを特徴とする。
また本発明は、連動装置及び運行管理システムで構成される列車運行制御システムの動作を検証する列車運行制御検査方法であって、複数の閉そくを連接し、少なくとも一以上の分岐を有して成る路線ネットワークの構成を表した路線情報、当該路線ネットワーク上を走行する列車の経路を、一または複数の進路の組み合わせにより、当該列車ごとに特定する走行経路情報、列車が走行しようとする経路を予約するための進路要求を行う際に満たすべき条件が、前記進路ごとに規定された進路設定情報、及び、前記連動装置の安全動作ロジックが規定された連動装置動作情報を取得し、前記情報取得部が取得した各種情報に基づいて、前記列車、前記分岐、前記連動装置及び前記運行管理システムそれぞれについての状態遷移モデルを生成し、前記状態遷移モデルに基づいて、前記列車、前記分岐、前記連動装置及び前記運行管理システムそれぞれにおいて想定される状態の組み合わせで、予め設定された要件を満たすか否かを判定すること特徴とする列車運行制御検査方法である。
また本発明は、連動装置及び運行管理システムで構成される列車運行制御システムの動作を検証する列車運行制御検査装置のコンピュータを、複数の閉そくを連接し、少なくとも一以上の分岐を有して成る路線ネットワークの構成を表した路線情報、当該路線ネットワーク上を走行する列車の経路を、一または複数の進路の組み合わせにより、当該列車ごとに特定する走行経路情報、列車が走行しようとする経路を予約するための進路要求を行う際に満たすべき条件が、前記進路ごとに規定された進路設定情報、及び、前記連動装置の安全動作ロジックが規定された連動装置動作情報を取得する情報取得手段、前記情報取得部が取得した各種情報に基づいて、前記列車、前記分岐、前記連動装置及び前記運行管理システムそれぞれについての状態遷移モデルを生成する状態遷移モデル生成手段、前記状態遷移モデルに基づいて、前記列車、前記分岐、前記連動装置及び前記運行管理システムそれぞれにおいて想定される状態の組み合わせで、予め設定された要件を満たすか否かを判定する状態遷移モデル検査手段として機能させることを特徴とするプログラムである。
本発明によれば、列車運行制御システムの運用において稀に起こり得る状況を含めて、当該列車運行制御システムの検査を行うことができるという効果が得られる。
本発明の一実施形態による列車運行制御検査装置の機能構成を示す図である。 ある路線ネットワーク上における列車の位置、及び、列車ごとの経路を示す図である。 本発明の一実施形態による路線情報を示す第一の図である。 本発明の一実施形態による路線情報を示す第二の図である。 本発明の一実施形態による走行経路情報を示す図である。 本発明の一実施形態による進路設定情報を示す図である。 本発明の一実施形態による連動装置動作情報を示す図である。 本発明の一実施形態による列車の状態遷移モデルを示す図である。 本発明の一実施形態による分岐の状態遷移モデルを示す図である。 本発明の一実施形態による連動装置の状態遷移モデルを示す図である。 本発明の一実施形態による運行管理システムの状態遷移モデルを示す図である。 本発明の一実施形態による列車運行制御検査装置を用いた検証フローを示す図である。 本発明の一実施形態による列車運行制御検査装置の検証プロセスを示す第一の図である。 本発明の一実施形態による列車運行制御検査装置の検証プロセスを示す第二の図である。 本発明の一実施形態による列車運行制御検査装置の検証プロセスを示す第三の図である。 本発明の一実施形態による状態遷移モデルを所定のモデル検査言語で表示した図である。
以下、本発明の一実施形態による列車運行制御検査装置を、図面を参照して説明する。
図1は同実施形態による列車運行制御検査装置の機能構成を示す図である。この図において、符号1は列車運行制御検査装置である。
列車運行制御検査装置1は、「連動装置」及び「運行管理システム」で構成される列車運行制御システムの動作を検証するための検査装置である。列車運行制御検査装置1は当該検査機能を実現するに当たり、情報取得部10、状態遷移モデル生成部11、状態遷移モデル保持部12、状態遷移モデル検査部13、反例解析部14、結果表示部15、及び状態遷移モデル編集部16を備えている。
情報取得部10は、列車運行制御の検査に必要な情報を取得する機能部である。情報取得部10が取得する情報とは、路線情報、走行経路情報、進路設定情報及び連動装置動作情報である。ここで「路線情報」とは、複数の閉そくを連接し、少なくとも一以上の分岐を有して成る路線ネットワークの構成を表したものである。また「走行経路情報」とは、当該路線ネットワーク上を走行する列車の「経路」を、一または複数の「進路」の組み合わせにより、当該列車ごとに特定する情報である。また「進路設定情報」とは、当該列車が走行しようとする経路を連動装置に予約させるための進路要求を行う条件を、進路ごとに設定したものである。そして「連動装置動作情報」とは、上記連動装置の安全動作ロジックを規定したものである。列車運行制御検査装置1は別途記憶部を有しており、上記各種情報を記憶している態様であっても構わない。なお、各種情報の具体的な意味及び内容については後述する。
また状態遷移モデル生成部11は、情報取得部10が取得した各種情報に基づいて、列車、分岐、連動装置及び運行管理システムそれぞれについての状態遷移モデルを生成する機能部である。本実施形態による列車運行制御検査装置1は、状態遷移モデル生成部11が生成した種々の状態遷移モデルに基づいて、「連動装置」と「運行管理システム」とを一体として扱った列車運行制御システム全体の検査を行うことができる。
状態遷移モデル保持部12は、状態遷移モデル生成部11が生成した状態遷移モデルを繰り返し検証する用途として、一時的に状態遷移モデルを保存しておく機能部である。なお本実施形態による列車運行制御検査装置1は、状態遷移モデル保持部12を有さず、状態遷移モデル生成部11が、直接状態遷移モデル検査部13に状態遷移モデルを出力する態様であっても構わない。
また状態遷移モデル検査部13は、状態遷移モデル生成部11が生成した状態遷移モデルに基づいて、列車、分岐、連動装置及び運行管理システムそれぞれにおいて想定される状態の組み合わせで、予め設定された要件を満たすか否かを判定する機能部である。本実施形態による列車運行制御検査装置1のユーザは、状態遷移モデル検査部13が検査した結果を見て、最初に与えた「路線情報」、「走行経路情報」、「進路設定情報」、「連動装置動作情報」の各種情報の内容が、要件を満たす上で適切なものか否かを判断することができる。
反例解析部14は、状態遷移モデル検査部13が行った検査結果において要件を満たさなかった反例が発生した場合、その反例が生じた原因を詳細に追跡することを容易にするための機能部であり、いわゆるデバッグツールに該当する。なお本実施形態による列車運行制御検査装置1は、この反例解析部14を有さず、状態遷移モデル検査部13が実施した検査結果を、単に結果表示部15が表示するのみの態様であっても構わない。
結果表示部15は、反例解析部14が行った反例解析結果、または状態遷移モデル検査部13が検査した結果をユーザに視認できる形で出力する機能部であり、本実施形態においては、例えば汎用のディスプレイモニターである。
状態遷移モデル編集部16は、状態遷移モデル保持部12に一時保存されている状態遷移モデルについて、ユーザが直接手を加えて所望の状態遷移モデルを構築させるものである。状態遷移モデル編集部16は、状態遷移モデル生成部11が構築した状態遷移モデルが、ユーザの意図しないものであった場合等において、ユーザ自身による自由な編集を可能とする。なお本実施形態においては、この編集機能を有していない態様であっても構わない。
以下、列車運行制御検査装置1についての説明を進める前に、その前提として存在する「連動装置」及び「運行管理システム」について改めて詳細に説明する。
「連動装置」とは、「保安系システム」の代表的な例の一つであり、信号機と転てつ器(分岐における列車の進路を切り替える装置)とを連動して制御する装置である。例えば、転てつ器が動いている最中に列車が当該箇所を通過しようとするとその列車は脱線してしまう。したがって連動装置は、転てつ器を動作させている最中は、列車を進入させないように所定の信号機に“赤”を表示させる、という連動制御を行う。また連動装置は、列車がある「閉そく」(後述)に存在している場合には、別の列車をその閉そくに進入させないように信号機の制御を行う。連動装置はこのような制御を行うことで、列車の衝突や脱線を未然に回避し、交通機関としての安全を担保している。
また連動装置は、運行管理システムからの進路要求を受け付ける(「運行管理システム」及び「進路要求」については後述)。連動装置は、受け付けた進路要求に基づいて、その進路を確保する(これを進路予約という)。例えば連動装置が、運行管理システムから、列車Aのある「進路」(後述)についての進路要求を受け付けると、当該進路要求に応じて当該列車Aがその進路を安全に走行できるように(他の列車がその進路に進入しないように)信号機及び転てつ器を制御することで、当該進路における列車Aの進路予約を成立させる。また連動装置は、他の列車についての進路要求が、列車Aのために予約した進路と競合する区間を含む場合には、その進路要求を受け付けないようにする。なお、連動装置は、このような進路予約の成立可否を、予め定められた「安全動作ロジック」(後述)に基づいて実施する。
ここで「閉そく」とは、与えられた路線ネットワークをある一定区間ごとに区切ったその一区間のことをいう。連動装置は、各閉そくに固有の識別子を割り振ってそれぞれを識別し、管理している。また連動装置は、一つの閉そくに二以上の列車を進入させないように制御することで、列車の衝突を回避している。なお、連動装置が当該閉そくに列車が存在しているか否かを判断する手段には、軌道回路を用いるのが一般的である。軌道回路とは、路線を構成する二本のレールが、列車の存在により短絡されているか否かを電気的に検知する装置である。これにより連動装置は、当該閉そくに列車が存在しているか否かを判断することができる。
「運行管理システム」とは、列車を予め定められた運行ダイヤ通りに運行させるための制御を行うシステムである。運行管理システムは、計画で決められた運行ダイヤ(1)と、実際の列車状態・位置(2)とに基づいて、列車が走行すべき経路を列車ごとに識別し、連動装置に対して当該列車ごとに進路の予約を要求する機能(「進路要求」機能という)を有している。ここで、運行管理システムの代表的な機能として、以下に説明する「自動進路設定」がある。なお運行管理システムは、専ら運行ダイヤ通りに列車を運行させようとして列車に指示を送るシステムであり、列車が衝突するか否か等の安全までは考慮していない。列車の衝突・脱線を回避する安全な運行は、「保安系システム」である連動装置が、運行管理システムとは独立して、列車の運行状況を監視することによって担保される。
図2は、ある路線ネットワーク上における列車の位置、及び、列車ごとの経路を示す図である。以下、図2を参照しながら、「自動進路設定」、「経路」、「進路」及び「デッドロック」について詳細に説明する。
「自動進路設定」とは、上記運行管理システムの機能の一つのことである。ここで運行ダイヤにおいて、ある列車Aが時刻Xに閉そくT2(図2)を出発し、時刻Yに閉そくT8に到着する予定であったとする。すると運行管理システムはこの「自動進路設定」機能に基づき、予め設定されている路線ネットワーク上から、上記計画を達成するための列車Aについての「経路」を自動で抽出し、その経路を所定の「進路」ごとに分けながら、連動装置に対して進路要求を行う。
ここで「経路」とは、列車の現在地から目的地までを結ぶ全体の道のりであり、一または複数の「進路」の組み合わせにより特定されるものである。また「進路」とは、一つまたは連接する複数の閉そくによって構成される、列車の所定の走行区間のことを言う。連動装置としての信号機は、通常この進路の入り口に設けられ、連動装置は各進路について列車を走行させてもよいか否かを、この信号機によって逐次指示する。
「デッドロック」とは、上記連動装置及び運行管理システムの間で行う進路要求、進路予約のやり取りにおいて、列車の運行プロセス上、それ以上進められない状態に陥ってしまうことをいう。デッドロックが起こり得る状況について、図2を参照しながら具体的に説明する。
図2は、列車A、列車Bが図に示す経路に従って走行しようとしている状況を示している。ここで、上記列車Aの予定に加え、ある列車Bが時刻Yに閉そくT7(図2)を出発し、時刻Yに閉そくT2に到着する予定であったとする。そして列車Aの経路は未だ連動装置に予約されていない段階で、列車Bの進路予約が先に成立したとする。そうすると、列車Aは閉そくT2から先に進もうとする進路が既に列車Bに予約されているため、当該閉そくT2から動くことはできない(信号機aは“赤”表示を維持する。連動装置は列車Aのための進路要求も受け付けない)。一方、連動装置は列車Bのために信号機b、信号機cを“青”表示する。列車Bは信号機b、信号機cの“青”表示に従って、信号機aの手前まで走行する。しかしその先の閉そくT2には列車Aが存在しているため、連動装置は衝突を避けるため列車Bをそれ以上先に進ませない(信号機aが列車Bに対しても“赤”を表示)。そうすると、列車Aも列車Bもお互いの存在と進路予約の状況により、それ以上先に進めなくなってしまう。このように、列車A、列車Bともに目的地に到達しないまま運行プロセスが進められなくなる状況に陥ることを「デッドロック」と呼ぶ。デッドロック自体は、連動装置の正常な動作に起因するものであるから、安全面においては問題視されない(列車Aと列車Bが衝突するような事態にはならない)。しかし、運行管理システム上では、列車の運行プロセスを計画通りに進められないケースとして、その運行計画が問題視されることとなる。したがって、運行管理システムの実際の運用にあたっては、デッドロックを生じさせないようにするために、進路要求の際に満たすべき条件を記述した「進路設定情報」(後述)に基づいて進路要求を行うこととしている。
以下、図面を参照しながら、列車運行制御検査装置1の情報取得部10が取得する「路線情報」、「走行経路情報」、「進路設定情報」及び「連動装置動作情報」についての具体的な内容について説明する。
図3は、本発明の一実施形態による路線情報を示す第一の図である。
本実施形態において使用する「路線情報」とは、複数の閉そくを連接し、少なくとも一以上の分岐を有して成る路線ネットワークの構成を表したものである。ここで本実施形態による路線情報は、当該路線を構成する閉そく単位で「進路要素」(後述)を抽出し、当該進路要素ごとの相互の接続関係及び進路との対応関係を定義しつつ、路線ネットワーク全体を特定することで構築されるものである。なお以下に示す路線情報は一例であり、本実施形態においてはこの態様に限定されない。
ここで「進路要素」とは、本実施形態において、閉そくの境界から閉そくの境界へ向かうための、一閉そく分の区間を指す。すなわち、その組み合わせで進路を定義するための最小構成単位である。あらゆる進路は、これを閉そく単位で区分した進路要素の組み合わせによって定義される。
ここで、与えられた路線ネットワークが図3(a)に示すような路線であった場合を考える。図3(a)に示す路線は、閉そくT1〜T8の計八個の閉そくで構成される。また当該路線は、閉そくT3と閉そくT4を結ぶ渡り線を有している。図3(a)における“1R”、“4BR”、“4L”等の表記は当該路線上の進路を示している。例えば進路1Rは、閉そくT1を紙面左から右へ進む一閉そく分の進路である。また進路4Lは、閉そくT4及び閉そくT2を紙面右から左へ進む二閉そく分の進路である。なお“1R”、“3R”等の各表記は、各進路の入り口に設けられる信号機と考えてもよい。
そして本実施形態による路線情報は、図3(b)に示すように、各進路を閉そく単位で区分した進路要素を最小構成単位として路線ネットワーク全体を特定したものとなる。図3(b)に示す通り、与えられた路線ネットワークは、進路要素S1〜S20の計二十個の進路要素で構成されるものとして表現することができる。具体的には、当該進路要素ごとの相互の接続関係及び各進路との対応関係を、進路要素ごと、及び、進路ごとに定義する。
図4は、本発明の一実施形態による路線情報を示す第二の図である。
路線情報は、具体的には図4に示すような表によって構成されるものである。図4(a)に示す表は、進路要素ごとの接続関係を示す対応表である。例えば進路要素S1は、閉そくT1に属し、方向は右(→)、継続進路要素はS2、そして、進路要素S1に対応する逆方向進路要素はS11となる。また図4(b)に示す表は、各進路を構成する進路要素の種類を示している。例えば、進路1Rは、進路要素S1のみで構成される。また、進路4BRは、進路要素S7、S3、S4の三つで構成されている(図3を参照)。本実施形態による情報取得部10は、図4(a)及び図4(b)に示すような対応表を路線情報として入力する。
図5は、本発明の一実施形態による走行経路情報を示す図である。
次に、本実施形態において使用する「走行経路情報」について説明する。「走行経路情報」とは、検査を行う上で想定する列車の運行パターンを定義するものである。「走行経路情報」は、例えば上記路線ネットワーク上を走行する列車の経路を、一または複数の進路の組み合わせにより、当該列車ごとに特定する。より具体的には、列車ごとに初期位置(初期進路要素)と、進む進路の順列を与えることで、その列車の経路を特定する。例えば、列車A、列車Bがそれぞれ図5(a)に示すような経路を予定していたとする。そうすると、列車Aの初期位置(初期進路要素)はS6(図3参照)であり、列車Aが進もうとする経路は、進路4BR及び7Rを与えることで特定される。また、列車Bの初期位置(初期進路要素)はS20(図3参照)であり、列車Bが進もうとする経路は、進路6L、4Lを与えることで特定される。このようにして、図5(b)に示すような表が作成される。本実施形態による情報取得部10は、図5(b)に示すような対応表を走行経路情報として入力する。なお以上に示した走行経路情報は一例であり、本実施形態においてはこの態様に限定されない。
図6は、本発明の一実施形態による進路設定情報を示す図である。
次に、本実施形態において使用する「進路設定情報」について説明する。「進路設定情報」とは、列車が走行しようとする経路を予約するための進路要求を行う際に満たすべき条件が、進路ごとに規定されたものである。より具体的に説明すると、「進路設定情報」は、上述した運行管理システムの自動進路設定機能において、当該運行管理システムが連動装置に対して進路要求を行うに際し、当該進路要求を行ってもよい条件を整理してまとめた表により構成される。例えば、図2を用いて説明したデッドロックは、列車Aが閉そくT2に存在していた段階で、列車Bの進路要求を信号機aの手前まで行ってしまったことに起因して発生した。したがって、運行管理システムは、列車Aが閉そくT2に存在しているという条件下においては、列車Bの進路要求は、信号機bの手前(閉そくT5)までに留まらせておく必要があった。そうすれば、列車Bが信号機bの“赤”表示により停止している最中に、列車Aは、自身の進路要求を行う(当該進路要求は連動装置に受け付けられ、進路予約される)ことで、目的地である閉そくT8に到達することができた。そして列車Aが閉そくT2を脱してから、(閉そくT5で停止していた)列車Bが改めて閉そくT2までの区間を進路要求すれば、列車Bも目的地に到達することができた。進路設定表は、上記のようなデッドロックを発生させないように、運行管理システムが連動装置に進路要求を行ってもよいか否かの条件をまとめたものである。
本実施形態による進路設定情報は、図6に示すような条件対応表により構成する。
まず、図6に示す表では、進路要求条件を定義している。これは、例えば運行管理システムが、連動装置に対し進路3Rの進路要求を送信しようとする場合、その進路要求条件として、「閉そくT1に列車が存在し、なおかつ、閉そくT3に列車が存在していない」条件を満たした場合にのみ、当該進路要求を送信することを意味している。ここで、運行管理システムが進路3Rを要求するに当たり「閉そくT1に列車が存在する」ことを条件としているのは、すなわち、これから進路3Rを走行しようとする列車が閉そくT1へ進入したことをもって、次の進路(3R)の要求を行うことを想定している。また「閉そくT3に列車が存在していない」ことを条件とするのは、一つの閉そくに二以上の列車が存在することを防ぐためである。また、閉そくT3に列車が存在した場合に発生し得るデッドロックを未然に回避するためである。
また、図6に示す表では、要求解除条件を定義している。運行管理システムは、連動装置に対し目的の列車が所定の進路に進入するまで進路要求を送信し続ける。したがって運行管理システムは列車が進路に進入後の適当なタイミングで進路要求を解除する必要がある。「進路要求を解除」とは、目的の列車が当該進路に進入した後、この進路要求の送信を停止することをいう。
例えば運行管理システムが、連動装置に対し進路3Rの進路要求を解除しようとする場合、その進路解除条件として、「閉そくT1に列車が存在し、なおかつ、閉そくT3にも列車が存在している」条件を満たした場合にのみ、当該進路要求を解除することを意味している。ここで、運行管理システムが進路3Rの進路要求を解除するに当たり「閉そくT1及び閉そくT3に列車が存在する」ことを条件としているのは、すなわち、進路3Rを走行しようとする列車が閉そくT1から閉そくT3へ進入したことをもって、当該進路の進路要求を解除することを想定している。
図6に示す表において、アンダーバーを記した閉そくは、当該閉そくに列車が存在していることを意味し、アンダーバーを記していない閉そくは、当該閉そくに列車が存在しないことを意味している。
また、進路4Lの進路要求条件(図6)のように、連動装置が、その区間と競合する進路(4AR、4BR)についての進路予約を成立させていないか否かを、進路要求条件に含めることもできる。なおアンダーバーを記した進路は、連動装置が、その進路については未だ進路予約を成立させていない状態にあることを意味している。なお、この進路設定表は通常人の手によって作成するものであり、運行プロセスにおいて、上記のようなデッドロックを発生させないように作成することが求められる。
図7は、本発明の一実施形態による連動装置動作情報を示す図である。
「連動装置動作情報」とは、上記連動装置の安全動作ロジックを規定したものである。連動装置における安全動作ロジックは、主に運行管理システムからの進路要求に対して進路予約を成立させてよいか否かを、種々の条件によって判断するものである。運行管理システムからある進路の予約を要求する進路要求があった場合、連動装置は、これと競合する進路が既に予約済みでないか否かを判定し、既に予約済みの進路があった場合には、その要求が満たされるまでは当該要求についての予約を成立させない。例えば、進路3Rの要求があった時、連動装置は、進路3Rと競合する他の進路3AL、3BL、5L、4BRの進路が全て制御中ではないことを条件として、進路3Rの制御を開始する。この条件を論理式で表してまとめたものが図7に示す連動装置動作情報である。図7において、“!3AL”は進路3ALの制御が行われていないことを表す。“3RX”は進路3Rについての進路予約の要求があることを示している。
なお、連動装置の安全動作ロジックは、上記のような進路予約についての規定以外にも種々の規定が存在する。例えば、連動装置は、上述した軌道回路を用いて所定の閉そくに列車が存在しているか否かを検知し、一閉そくに二以上の列車が進入させないという安全動作ロジックを規定している。なお連動システムの安全設計ロジックは、運行管理システムから受信する進路要求について進路予約をすべきか否かを、安全な走行を保証するために規定された制限であるから、その安全制御の結果デッドロックが発生し得るか否かは考慮されて設定されていない。デッドロックの回避は、上述した通り、運行管理システムが進路設定情報に定めた条件を満たした上で進路要求を行うことにより行われる。
また状態遷移モデル検査部13が入力する「要件」とは、状態遷移モデル検査部13が、与えられた状態遷移モデルについての検査において、その当否を判定する条件となるものである。具体的には、状態遷移モデル検査部13が、情報取得部10に与えられた各種情報に基づいて生成した状態遷移モデルにおいて、いかなる状態遷移パターンにおいても、デッドロックが発生することなく列車が走行できたる否か、が要件となる。
次に、図面を参照しながら、列車運行制御検査装置1の状態遷移モデル生成部11が生成する各種状態遷移モデルについて具体的に説明する。
図8は、本発明の一実施形態による列車の状態遷移モデルを示す図である。
状態遷移モデル生成部11は、情報取得部10が取得した路線情報(図4)に基づいて、列車の状態遷移モデルを構築する。ここで、状態遷移モデル生成部11は、列車において想定される状態として、少なくとも、当該列車が、進路要素のそれぞれに属している状態、及び、各進路要素の境界を跨いでいる状態を含む状態遷移モデルを生成することを特徴としている。具体的には、状態遷移モデル生成部11は、上記路線情報に定義された進路要素のステータス(どの閉そくに属し、どのような接続関係を有しているか)を参照し、列車の状態、すなわち図8に示すような、列車が属する進路要素の遷移図を構築する。ここで定義される各列車の状態は、例えば、後述する運行プロセスの状態遷移条件に反映される。なお、図8の状態遷移図に示す各状態に記す番号は進路要素を示している。また白抜きの状態は、その両側の進路要素の境界を跨いで両方に属している状態であることを示している。このように、現実の列車が連続的に走行する過程を抽象化した状態遷移モデルを構築することで、実運用上想定される列車の状態を全て網羅した形で検査を行うことができる。よって、列車運行制御検査装置1は、列車運行制御システムに対する検査の漏れをより低減させることができる。
なお、実際の列車運行制御システムは、列車の運行速度に関わらず、列車運行上与えられた要件を満足する必要がある。したがって、列車運行制御検査装置1の状態遷移モデル検査部13は、図8に示す列車の状態遷移モデルについては、あらゆるタイミングの状態遷移パターンで検証を行うものとする。ただし、信号機が設置される位置では、信号機が“青”表示の場合(その先の進路の予約が成立した場合)のみ進入できるという制約を設けるものとする。
図9は、本発明の一実施形態による分岐の状態遷移モデルを示す図である。
状態遷移モデル生成部11は、与えられた路線ネットワークに設置される分岐ごとに、分岐の状態遷移モデルを構築する。現実の分岐は、連動装置からの指示を受け、転てつ器による機械的制御により進路の転換を行うものである。したがって、状態遷移モデル生成部11は、分岐において想定される状態として、少なくとも、定位、転換中及び反位の状態を含む状態遷移モデルを生成する。具体的には、状態遷移モデル生成部11は図9に示すような分岐の状態遷移モデルを構築し、その状態遷移を連動装置とは独立して考慮することとしている。ここで、図9に示す状態遷移モデルは、分岐が「定位」である場合において、当該分岐が連動装置から「反位転換要求」を受け付け、さらに「定位転換要求」を受け付けていない状態にあることを条件として、「定位」→「転換中」→「反位」と状態遷移することを示している。同様に、分岐が「反位」である場合において、当該分岐が連動装置から「定位転換要求」を受け付け、さらに「反位転換要求」を受け付けていない状態にあることを条件として、「反位」→「転換中」→「定位」と状態遷移することを示している。分岐が通常開通している方向を「定位」そうでない方向を「反位」と称する。状態遷移モデル生成部11は、以上のような分岐の状態遷移モデルを、路線ネットワーク上に存在する全ての分岐について構築する。また「定位転換要求」、「反位転換要求」は、以下に説明する連動装置の状態遷移モデルに基づいて入力されるものである。このように、現実の分岐(転てつ器)が動作する過程を、連動装置の状態遷移と独立して構築することで、連動装置の指示発信と、それに伴う具体的な分岐の動作の間に生ずるタイムラグまで考慮して検査を行うことができる。
なお、実際の列車運行制御システムは、分岐の転換速度に関わらず、列車運行上与えられた要件を満足する必要がある。したがって、状態遷移モデル検査部13は、図9に示す分岐の状態遷移モデルについては、あらゆるタイミングの状態遷移パターンで検証を行うものとする。
図10は、本発明の一実施形態による連動装置の状態遷移モデルを示す図である。
状態遷移モデル生成部11は、情報取得部10が取得した連動装置動作情報(安全動作ロジック)(図7)に基づいて、連動装置の状態遷移モデルを構築する。また、状態遷移モデル生成部11は、連動装置において想定される状態として、少なくとも、各進路についての鎖錠の有無、各閉そくにおける在線の有無、及び、各分岐における設定進路のそれぞれを検知した状態を含む状態遷移モデルを生成する。具体的に説明すると、現実に列車運行を制御する連動装置は、信号機及び転てつ器に指示を与えるための電気回路(リレー)の集合により構成される。したがって、状態遷移モデル生成部11は、連動装置を構成するリレーごとに状態遷移モデルを構築する。
まず、状態遷移モデル生成部11は、各進路についての鎖錠の有無(予約の成否)を定める進路てこリレーの状態遷移モデルを構築する。進路てこリレーとは、連動装置を構成するリレーのひとつで、ある進路についての鎖錠の有無を決定するリレーである。進路てこリレーの状態遷移モデルは、路線上の進路ごとに構築される。図10(a)に示すように、進路てこリレーは、当該進路を予約した状態(ON)か、予約していない状態(OFF)の何れか一方の状態を取り得る。そして、その状態遷移の条件は連動装置動作情報(図7)に基づいて規定される。例えば進路3Rを設定する“リレー3R”の場合、3AL、3BL、5L、4BLの全ての進路の予約が成立しておらず、かつ進路3Rの進路要求があった場合(3RX)に、OFF状態からON状態に推移する(図7参照)。一方、上記条件を満たさない場合、リレー3RはOFF状態を維持する。なお、リレー3RがON状態となったことを条件の一つとして、当該リレー3Rに対応する分岐(転てつ器)に、反位(定位)転換要求が出力される。状態遷移モデル生成部11はこのようにして、各進路についての鎖錠の有無の状態を考慮した連動装置の状態遷移モデルを構築する。
また、状態遷移モデル生成部11は、上述した進路てこリレーとは別に、在線検知リレーについての状態遷移モデルを構築する。在線検知リレーとは、各閉そくに個々に設置されるもので、当該閉そくにおける在線の有無(当該閉そくに列車が存在するか否か)を検知するリレー(上述した軌道回路)である。例えば、閉そくT1に対応する在線検知リレーの状態遷移モデルを図10(b)に示す。在線検知リレーは、列車Aまたは列車Bが閉そくT1に存在しているか否かで「在線」、「非在線」の何れか一方の状態を取る。すなわち、列車Aの状態がS1、S11、S1−2、S11−12の何れかの状態にある場合、閉そくT1は「在線」となる。ここで、S1、S11は、列車Aが図3(b)に示す各進路要素にある状態(図8)を示しており、S1−2、S11−12は、列車Aがそれぞれの進路要素の境界を跨いでいる状態を示すものとする。また列車Bについても同様のことが成立する。状態遷移モデル生成部11はこのようにして、各閉そくについての在線の有無の状態を考慮した連動装置の状態遷移モデルを構築する。
また、状態遷移モデル生成部11は、分岐検知リレーについての状態遷移モデルを構築する。分岐検知リレーとは、連動装置が各分岐における設定進路を検知して認識するためのリレーである。ここで、分岐が実際にどの状態にあるか(図9)ということと、その分岐の状態を連動装置が認識しているか否か、は別の問題である。そこで、状態遷移モデル生成部11は、連動装置の状態遷移モデルの一つとして、図10(c1)(c2)に示すような分岐検知リレーの状態遷移モデルを構築する。例えば、ある分岐が「定位」の状態であったとすると、連動装置の分岐検知(定位)リレーは、図10(c1)に示すように“ON”に推移し、これにより連動装置は、当該分岐が「定位」にあることを認識する。なおこの時の分岐検知(反位)リレーは、図10(c2)に示す通り“OFF”となる。一方、当該分岐が「反位」の状態であったとすると、分岐検知(反位)リレーが“ON”に推移し、連動装置は、当該分岐が「反位」にあることを認識する。この時の分岐検知(定位)リレーの状態は“OFF”となる。また、当該分岐が「転換中」である場合は、いずれの分岐検知リレーも“OFF”状態となる。
以上のように、状態遷移モデル生成部11が、現実の連動装置を種々の電気回路(リレー)の集まりとして抽象化することで、列車運行制御検査装置1は、これまでの動作検証としては検証することができなかった動作パターンまで検証することができる。例えば状態遷移モデル検査部13は、列車がある閉そくに進入してから、実際に連動装置がそのことを認識するまでのタイムラグや、連動装置が進路予約を成立させてから実際に転てつ器が作動を開始するまでのタイムラグなどを網羅した検査を実施することができる。
図11は、本発明の一実施形態による運行管理システムの状態遷移モデルを示す図である。
状態遷移モデル生成部11はさらに、情報取得部10が取得した走行経路情報(図5)及び進路設定情報(図6)に基づいて、運行管理システムの状態遷移モデルを構築する。状態遷移モデル生成部11は、運行管理システムにおいて想定される状態として、少なくとも、各列車についての進路要求ステップの進行状態、及び、各進路における進路要求の有無それぞれを示す状態を含む状態遷移モデルを生成する。本実施形態においては、状態遷移モデル生成部11は、運行管理システムの一部の機能である「自動進路設定」についての状態遷移モデルを構築する。ここで実際の運行管理システムは、デッドロックを回避するために進路設定情報に規定された条件を満たす場合に、各列車が走行経路情報によって定められた経路を走行すべく、所定の進路についての進路要求を連動装置に向けて行う。そこで状態遷移モデル生成部11は、運行管理システムの状態遷移モデルとして、走行経路情報に対応した「進路要求ステップ」を列車ごとに持つ。そして、進路設定情報が成立したときにその進路要求ステップが進み、状態が遷移していくこととする。
例えば、状態遷移モデル生成部11は、運行管理システムの状態遷移モデルを図11(a)に示すような進路要求ステップをもって構築する。ここで、図11(a)に示す状態遷移図は、図5に示す走行経路情報の列車Bについての進路要求ステップである。すなわち、列車Bは初期状態としてS20にあるところ、運行管理システムは列車BをS20からS16の状態まで遷移させるべき進路要求ステップを遷移していく。具体的には、運行管理システムは、初期状態P1において、列車B以外の列車について進路6Lを要求していない状態であって、かつ、進路6Lの要求条件(図6)が成立した場合に要求ステップが進み、次の状態P2に遷移する。運行管理システムはさらに、状態P2において、列車B以外の列車について進路4Lを要求していない状態であって、かつ、進路4Lの要求条件が成立した場合に要求ステップが進み、次の状態「end」(列車Bについての進路要求ステップが終了)に遷移する。
また上記進路要求ステップの状態とは別に、実際に運行管理システムが連動装置に対して進路要求を行う状態遷移モデルを構築する。ここで、図11(b)に示す状態遷移図は、進路6Lの進路要求状態である。すなわち、運行管理システムは、初期においては「OFF」(連動装置に対し、進路6Lについて進路要求していない状態)であるが、列車Bの進路要求ステップが状態P1にあり、かつ、進路6Lの要求条件(図6)が成立した場合に「ON」(連動装置に対し、進路6Lについて進路要求している状態)に遷移する。連動装置の状態遷移モデルは、進路6Lについての進路要求が「ON」になったことを受け、進路てこリレーの状態(図10(a))が「ON」に遷移し得ることとなる(ただし、当該進路が実際に連動装置に予約されるためには、連動装置自身が有する安全動作ロジックの条件を満たす必要がある))。
なお、運行管理システムは、所定の要求解除条件(図6)を満たす場合には、自己の進路要求が「OFF」に遷移する。図11(b)の場合、進路6Lの要求解除条件を満たした場合には、運行管理システムは、その目的が達成されたものと見なし、進路6Lについての進路要求を解除する。連動装置の状態遷移モデルは、進路6Lについての進路要求が「OFF」になったことを受け、当該進路についての進路てこリレーの状態が「OFF」に遷移することとなる(図10(a))。
以上のように、状態遷移モデル生成部11が、現実の運行管理システムを、連動装置とは独立して抽象化することで、運行管理システムの処理と連動装置との処理が非同期的に進行する上でこれまで検証できなかった動作パターンまでを検証することができるようになる。例えば状態遷移モデル検査部13は、運行管理システムが連動装置に進路要求を送信してから、連動装置が実際にそのことを認識するまでのタイムラグ間中に、新たな進路要求を発生させた場合に何が起こるか、という問題まで検証することができる。すなわち、ある瞬間には、列車、連動装置、運行管理システムのいずれか一つのみが遷移を起こすように全体状態遷移モデルを構築することで、タイムラグなどを網羅した検査を実施することができる。
図12は、本発明の一実施形態による列車運行制御検査装置を用いた検証フローを示す図である。
次に、本実施形態による列車運行制御検査装置1を用いた具体的な検証フローについて、図12を参照しながら説明する。まず情報取得部10は、種々の情報を入力する(ステップST1)。ここで取得する情報は、上述した「路線情報」、「走行経路情報」、「進路設定情報」、「連動装置動作情報」である。そして状態遷移モデル生成部11は、情報取得部10が取得した情報に基づいて、種々の状態遷移モデルを構築する(ステップST2)。ここで構築する状態遷移モデルは、例えば上述した「列車」の状態遷移モデル、「分岐」の状態遷移モデル、「連動装置」の状態遷移モデル及び「運行管理システム」の状態遷移モデルである。また、例えば「連動装置」の状態遷移モデルは、各種リレー(進路ごとの「進路てこリレー」、閉そくごとの「在線検知リレー」及び分岐ごとの「分岐検知リレー」(図10))の状態遷移モデル図の集合により構成される。また、「運行管理システム」の状態遷移モデルは、特に、列車ごとの「進路要求ステップ」及び進路ごとの「進路要求」(図11)により構成される。次に、ユーザは、必要であれば、状態遷移モデル編集部16を用いて、上記のとおり生成された状態遷移モデルを所望の状態遷移モデルに編集する(ステップST3)。次に状態遷移モデル検査部13は、ユーザから設定された「要件」を受け付ける(ステップST4)。ここで与えられる要件とは例えば、「列車運行制御システムがいかなる状態遷移の経緯を辿ろうとも、予定する運行計画に従って滞りなく(デッドロックを発生させることなく)当該運行計画を遂行できること」であり、CTL(Computational Tree Logic)など計算機が解釈可能な形式で与えられる。具体的には、状態遷移モデル検査部13は、例えば列車Aがその目的地である閉そくT8にたどり着けたか否か、列車Bがその目的地である閉そくT2にたどり着けたか否か、という条件を列車ごとに定めたものを要件として受け付ける。
そして状態遷移モデル検査部13は、所定のモデル検査手法により、与えられた状態遷移モデルとその「要件」に基づいて実世界において想定し得る状態遷移パターンを検証し、列車運行制御システムがとり得る全ての状態遷移パターンにおいて与えられた「要件」を満足するか否かを判定する(ステップST5)。各状態遷移モデルにおける状態の組合せ数が膨大のためシミュレーションによる検査は不可能だが、モデル検査手法を用いることで不適合の有無を論理的に判定することができる。
本実施形態においては上記のとおり、状態遷移モデル生成部11が連動装置(の各種リレー)の取り得る状態と、運行管理システムの取り得る状態とを独立して定義している。このようにすれば、状態遷移モデル検査部13は、例えば、運行管理システムから進路要求が送信された後、当該進路要求を連動装置が認識するまでのわずかなタイムラグの間に、運行管理システムから別の列車の進路要求があった時に何が起こり得るか、という問題についてまで網羅的に検査できる。
以上のような網羅的な検査により、連動装置及び運行管理システムにおける個々のテストパターンに限られず、両者の非同期的な状態遷移について起こり得るあらゆる組み合わせを検証することができる。
そして、要件を満足する場合、列車運行制御検査装置1は、与えられた各種情報に落ち度はないものとして処理を終える。一方、要件を満足しない状態遷移が存在する場合、最初に作成した各種情報(特に、進路設定情報)には、デッドロックを引き起こし得る不備があったと考えられる。したがって、ユーザは反例解析部14を用いて当該不備の追跡を行い、当該情報の修正を行う(ステップST7)。そして、当該修正後の情報が再度情報取得部10に入力され、以降の検査処理が繰り返されることとなる。
以下、列車運行制御検査装置1によって行われる検証例について具体的に説明する。
図13は、本発明の一実施形態による列車運行制御検査装置の検証プロセスを示す第一の図である。
図13において課せられた要件は、列車Aが進路4BR、7Rを介して閉そくT7まで走行すること、及び、列車Bが進路4Lを介して閉そくT2まで走行すること、であったとする。また図13は、運行管理システムが連動装置に対し、列車Aのための進路4BRの進路要求条件を満たし、当該進路要求を行ったものの、連動装置自身はまだそのことを認識できていない状態を示している(このような状態が継続する時間は、現実には0.3秒ほど)。なお、図13において太線で示した閉そくは、連動装置が「在線」状態と検知している閉そくであることを示している。この状態において、列車Bが閉そくT6に踏み込んでいるため、運行管理システムは連動装置に対し、進路4Lの進路要求を行う(連動装置が4AR及び4BRの進路予約を成立させていない状態、かつ、閉そくT6に列車が存在し、閉そくT4に列車が存在していない条件を満たす(図6)。ただし既に4BRについての進路要求は送信されている)。一方、連動装置は、別途、在線検知リレーによって閉そくT2に列車が存在していることを検知しているため、進路4Lについての当該進路要求に対し、進路4Lの予約を成立させないで留保する。
図14は、本発明の一実施形態による列車運行制御検査装置の検証プロセスを示す第二の図である。
図13に示した状態の次の瞬間、連動装置は運行管理システムからの進路4BRの進路要求に応答し、当該進路についての進路予約を成立させる。そして列車Aは進路4BRに対応する信号機の“青”表示に基づいて走行し、閉そくT4に踏み込む(図14)。するとその瞬間、運行管理システムは、進路4Lについての進路要求解除条件を満たす(閉そくT6に列車が存在し、かつ、閉そくT4にも列車が存在する(図6))ため、列車Bのために送信していた進路4Lの進路要求を終了する。
図15は、本発明の一実施形態による列車運行制御検査装置の検証プロセスを示す第三の図である。
列車Aは、図14に示した状態から予定通り進路4BRを走行し、閉そくT5に到達する。すると、列車Aのための進路4BRの進路予約は要求解除条件を満たすこととなるので、運行管理システムは進路4BRについての進路要求を解除し、当該進路予約は解除される。しかし、進路4BRの予約は解除され、進路4Lの進路予約自体は可能となったものの、運行管理システムは、進路4Lの進路要求中であった状態を経て、さらに当該進路要求を解除してしまった状態にあるため、運行管理システムは(列車Bのためには)、二度と進路4Lの進路要求を送信しない。したがって、列車Bは閉そくT6まで走行した後、その後の進路が確保されないために停止したままとなる(デッドロックが発生)。
図13〜図15を用いて説明したデッドロックは、本来、進路設定情報の作成時においては、列車Bが閉そくT6及び閉そくT4を跨ぐことによって要求解除条件を満たすことを想定していたにもかかわらず、列車Aが閉そくT4に進入、かつ、列車Bが閉そくT6に進入という想定外の形で、要求解除条件を満たしたことが直接的な原因である。しかしこれは、運行管理システムが列車Aのための進路4BRの進路要求直後、当該進路要求を連動装置が認識していないというごく稀な状態(短い期間中)において、列車Bが閉そくT8から閉そくT6に進入するというイベントが発生したことに起因している。従来の検査手法では、このような稀なケースについてまで検証することはできなかった。
以上のように、列車運行制御検査装置1によれば、連動装置の状態遷移モデルと、運行管理システムの状態遷移モデルとを独立に構築し、それぞれの因果関係を各状態遷移条件にのみ持たせることによって、従来検証できなかったケースについてまで検証することができるようになった。例えば上述したような事例(運行管理システムが進路要求を送信したが、当該進路要求を連動装置が認識していない時間帯において、新たなイベントが発生した場合)まで含めて検証することができる。
以上、本発明によれば、列車運行制御システムの運用において稀に起こり得る状況を含めて検査を行うことができるという効果が得られる。
図16は、本発明の一実施形態による状態遷移モデルを所定のモデル検査言語で表示した図である。
ここで、本実施形態による列車運行制御検査装置1は、上述した各種状態遷移モデルを所定のモデル検査言語で記述するような態様であっても構わない。この場合、例えば連動装置の状態遷移モデルは、図16に示すようなソースコードをもって記述される。
なお、上述の列車運行制御検査装置1は、内部に、コンピュータシステムを有している。そして、上述した列車運行制御検査装置1の各処理の過程は、プログラムの形式でコンピュータ読み取り可能な記録媒体に記憶されており、このプログラムをコンピュータが読み出して実行することによって、上記処理が行われる。ここで、コンピュータ読み取り可能な記録媒体とは、磁気ディスク、光磁気ディスク、CD−ROM、DVD−ROM、半導体メモリ等をいう。また、このコンピュータプログラムを通信回線によってコンピュータに配信し、この配信を受けたコンピュータが当該プログラムを実行するようにしても良い。
1・・・列車運行制御検査装置
10・・・情報取得部
11・・・状態遷移モデル生成部
12・・・状態遷移モデル保持部
13・・・状態遷移モデル検査部
14・・・反例解析部
15・・・結果表示部
16・・・状態遷移モデル編集部

Claims (7)

  1. 連動装置及び運行管理システムで構成される列車運行制御システムの動作を検証する列車運行制御検査装置であって、
    複数の閉そくを連接し、少なくとも一以上の分岐を有して成る路線ネットワークの構成を表した路線情報、
    当該路線ネットワーク上を走行する列車の経路を、一または複数の進路の組み合わせにより、当該列車ごとに特定する走行経路情報、
    列車が走行しようとする経路を予約するための進路要求を行う際に満たすべき条件が、前記進路ごとに規定された進路設定情報、及び、
    前記連動装置の安全動作ロジックが規定された連動装置動作情報
    を取得する情報取得部と、
    前記情報取得部が取得した各種情報に基づいて、前記列車、前記分岐、前記連動装置及び前記運行管理システムそれぞれについての状態遷移モデルを生成する状態遷移モデル生成部と、
    前記状態遷移モデルに基づいて、前記列車、前記分岐路、前記連動装置及び前記運行管理システムそれぞれにおいて想定される状態の組み合わせで、予め設定された要件を満たすか否かを判定する状態遷移モデル検査部と、
    を備える列車運行制御検査装置。
  2. 前記状態遷移モデル生成部は、
    前記列車において想定される状態として、少なくとも、前記列車が、前記進路を前記閉そく単位で区分した進路要素のそれぞれに属している状態、及び、各進路要素の境界を跨いでいる状態を含む状態遷移モデルを生成する
    ことを特徴とする請求項1に記載の列車運行制御検査装置。
  3. 前記状態遷移モデル生成部は、
    前記分岐において想定される状態として、少なくとも、定位、転換中及び反位の状態を含む状態遷移モデルを生成する
    ことを特徴とする請求項1または請求項2に記載の列車運行制御検査装置。
  4. 前記状態遷移モデル生成部は、
    前記連動装置において想定される状態として、少なくとも、各進路についての鎖錠の有無、各閉そくにおける在線の有無を含む状態遷移モデルを生成する
    ことを特徴とする請求項1から請求項3の何れか一項に記載の列車運行制御検査装置。
  5. 前記状態遷移モデル生成部は、
    前記運行管理システムにおいて想定される状態として、少なくとも、各列車についての進路要求ステップの進行状態、及び、各進路における進路要求の有無それぞれを示す状態を含む状態遷移モデルを生成する
    ことを特徴とする請求項1から請求項4の何れか一項に記載の列車運行制御検査装置。
  6. 連動装置及び運行管理システムで構成される列車運行制御システムの動作を検証する列車運行制御検査方法であって、
    複数の閉そくを連接し、少なくとも一以上の分岐を有して成る路線ネットワークの構成を表した路線情報、
    当該路線ネットワーク上を走行する列車の経路を、一または複数の進路の組み合わせにより、当該列車ごとに特定する走行経路情報、
    列車が走行しようとする経路を予約するための進路要求を行う際に満たすべき条件が、前記進路ごとに規定された進路設定情報、及び、
    前記連動装置の安全動作ロジックが規定された連動装置動作情報
    を取得し、
    当該取得した各種情報に基づいて、前記列車、前記分岐、前記連動装置及び前記運行管理システムそれぞれについての状態遷移モデルを生成し、
    前記状態遷移モデルに基づいて、前記列車、前記分岐、前記連動装置及び前記運行管理システムそれぞれにおいて想定される状態の組み合わせで、予め設定された要件を満たすか否かを判定する
    こと特徴とする列車運行制御検査方法。
  7. 連動装置及び運行管理システムで構成される列車運行制御システムの動作を検証する列車運行制御検査装置のコンピュータを、
    複数の閉そくを連接し、少なくとも一以上の分岐を有して成る路線ネットワークの構成を表した路線情報、
    当該路線ネットワーク上を走行する列車の経路を、一または複数の進路の組み合わせにより、当該列車ごとに特定する走行経路情報、
    列車が走行しようとする経路を予約するための進路要求を行う際に満たすべき条件が、前記進路ごとに規定された進路設定情報、及び、
    前記連動装置の安全動作ロジックが規定された連動装置動作情報
    を取得する情報取得手段、
    前記情報取得手段が取得した各種情報に基づいて、前記列車、前記分岐、前記連動装置及び前記運行管理システムそれぞれについての状態遷移モデルを生成する状態遷移モデル生成手段、
    前記状態遷移モデルに基づいて、前記列車、前記分岐、前記連動装置及び前記運行管理システムそれぞれにおいて想定される状態の組み合わせで、予め設定された要件を満たすか否かを判定する状態遷移モデル検査手段として機能させる
    ことを特徴とするプログラム。
JP2013008563A 2013-01-21 2013-01-21 列車運行制御検査装置、列車運行制御検査方法及びプログラム Active JP5931760B2 (ja)

Priority Applications (4)

Application Number Priority Date Filing Date Title
JP2013008563A JP5931760B2 (ja) 2013-01-21 2013-01-21 列車運行制御検査装置、列車運行制御検査方法及びプログラム
SG11201505030PA SG11201505030PA (en) 2013-01-21 2013-09-26 Train traffic control inspection device, train traffic control inspection method and program
PCT/JP2013/076102 WO2014112159A1 (ja) 2013-01-21 2013-09-26 列車運行制御検査装置、列車運行制御検査方法及びプログラム
US14/655,106 US9751544B2 (en) 2013-01-21 2013-09-26 Train traffic control inspection device, train traffic control inspection method and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2013008563A JP5931760B2 (ja) 2013-01-21 2013-01-21 列車運行制御検査装置、列車運行制御検査方法及びプログラム

Publications (3)

Publication Number Publication Date
JP2014139052A true JP2014139052A (ja) 2014-07-31
JP2014139052A5 JP2014139052A5 (ja) 2014-12-11
JP5931760B2 JP5931760B2 (ja) 2016-06-08

Family

ID=51209273

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013008563A Active JP5931760B2 (ja) 2013-01-21 2013-01-21 列車運行制御検査装置、列車運行制御検査方法及びプログラム

Country Status (4)

Country Link
US (1) US9751544B2 (ja)
JP (1) JP5931760B2 (ja)
SG (1) SG11201505030PA (ja)
WO (1) WO2014112159A1 (ja)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2016055690A (ja) * 2014-09-08 2016-04-21 株式会社日立製作所 電子連動装置及び情報伝送方法
US9744981B2 (en) 2013-05-30 2017-08-29 Mitsubishi Heavy Industries, Ltd. Operation management device, operation management method, vehicle, vehicular traffic system, and program
US9783214B2 (en) 2013-05-30 2017-10-10 Mitsubishi Heavy Industries, Ltd. Operation management device, operation management method, vehicle, vehicular traffic system, and program
JPWO2020255492A1 (ja) * 2019-06-18 2020-12-24
WO2020261637A1 (ja) * 2019-06-26 2020-12-30 三菱重工業株式会社 列車制御装置、方法及びプログラム
US10990729B2 (en) 2018-01-17 2021-04-27 Mitsubishi Heavy Industries Engineering, Ltd. Verification-processing device, logic-generating device, and verification-processing method
US11347918B2 (en) 2018-11-01 2022-05-31 Mitsubishi Heavy Industries Engineering, Ltd. Validation processing device, validation processing method, and program

Families Citing this family (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102012108171A1 (de) * 2012-09-03 2014-03-06 Knorr-Bremse Systeme für Schienenfahrzeuge GmbH Stillstandsermittlung bei einem Schienenfahrzeug
JP6572214B2 (ja) * 2014-07-31 2019-09-04 東日本旅客鉄道株式会社 連動装置
EP3176050B1 (en) * 2014-07-31 2019-10-02 East Japan Railway Company Interlocking device
FR3049556B1 (fr) * 2016-04-01 2019-07-05 Alstom Transport Technologies Procede de gestion de circulation d'un vehicule ferroviaire avec protection anticollision laterale
US10137912B2 (en) * 2016-10-31 2018-11-27 General Electric Company System for controlling or monitoring a vehicle system along a route
CN107301080A (zh) * 2017-06-30 2017-10-27 上海自仪泰雷兹交通自动化系统有限公司 轨旁控制单元中基于数据配置的c语言代码自动生成系统
CN107563004B (zh) * 2017-08-04 2020-06-12 西南交通大学 基于车站进路冲突的列车间隔数据设计方法
US11349589B2 (en) * 2017-08-04 2022-05-31 Metrom Rail, Llc Methods and systems for decentralized rail signaling and positive train control
JP6983574B2 (ja) * 2017-08-10 2021-12-17 三菱重工エンジニアリング株式会社 車両制御システム、リソース管理装置、車両制御方法、プログラム
CN109664923B (zh) * 2017-10-17 2021-03-12 交控科技股份有限公司 基于车车通信的城市轨道交通列控系统
CN108082213A (zh) * 2017-11-10 2018-05-29 北京全路通信信号研究设计院集团有限公司 基于静态联锁表的进路控制方法及装置、计算机存储介质
CN108255071B (zh) * 2017-12-28 2021-07-09 交控科技股份有限公司 一种基于io双采集的仿真测试系统及方法
CN109436035B (zh) * 2018-09-18 2020-10-16 交控科技股份有限公司 联锁数据生成方法
CN114312914B (zh) * 2022-01-17 2024-03-26 湖南中车时代通信信号有限公司 一种通用联锁接口工具配置方法及装置

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003063398A (ja) * 2001-08-28 2003-03-05 Kyosan Electric Mfg Co Ltd 列車検知装置、及び列車検知方法
JP2010215158A (ja) * 2009-03-18 2010-09-30 Toshiba Corp 自動列車制御の事前検証装置
WO2012176348A1 (ja) * 2011-06-23 2012-12-27 三菱電機株式会社 列車運行制御システム

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3572479B2 (ja) 1998-12-01 2004-10-06 東日本旅客鉄道株式会社 駅自動進路制御装置
JP5302874B2 (ja) 2009-12-25 2013-10-02 株式会社日立製作所 連動図表検証装置、及び連動図表検証方法
JP5484283B2 (ja) * 2010-09-28 2014-05-07 株式会社日立製作所 列車進路制御方法、列車進路制御装置、及び列車進路制御プログラム
US9403545B2 (en) * 2013-10-21 2016-08-02 Railware, Inc. Tools for railway traffic control

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003063398A (ja) * 2001-08-28 2003-03-05 Kyosan Electric Mfg Co Ltd 列車検知装置、及び列車検知方法
JP2010215158A (ja) * 2009-03-18 2010-09-30 Toshiba Corp 自動列車制御の事前検証装置
WO2012176348A1 (ja) * 2011-06-23 2012-12-27 三菱電機株式会社 列車運行制御システム

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9744981B2 (en) 2013-05-30 2017-08-29 Mitsubishi Heavy Industries, Ltd. Operation management device, operation management method, vehicle, vehicular traffic system, and program
US9783214B2 (en) 2013-05-30 2017-10-10 Mitsubishi Heavy Industries, Ltd. Operation management device, operation management method, vehicle, vehicular traffic system, and program
JP2016055690A (ja) * 2014-09-08 2016-04-21 株式会社日立製作所 電子連動装置及び情報伝送方法
US10990729B2 (en) 2018-01-17 2021-04-27 Mitsubishi Heavy Industries Engineering, Ltd. Verification-processing device, logic-generating device, and verification-processing method
US11347918B2 (en) 2018-11-01 2022-05-31 Mitsubishi Heavy Industries Engineering, Ltd. Validation processing device, validation processing method, and program
JPWO2020255492A1 (ja) * 2019-06-18 2020-12-24
WO2020255492A1 (ja) * 2019-06-18 2020-12-24 三菱重工業株式会社 進路制御プログラム生成装置、進路制御プログラム生成方法及びプログラム
JP7321416B2 (ja) 2019-06-18 2023-08-07 三菱重工業株式会社 進路制御プログラム生成装置、進路制御プログラム生成方法及びプログラム
WO2020261637A1 (ja) * 2019-06-26 2020-12-30 三菱重工業株式会社 列車制御装置、方法及びプログラム
JP2021003983A (ja) * 2019-06-26 2021-01-14 三菱重工業株式会社 列車制御装置、方法及びプログラム
JP7190975B2 (ja) 2019-06-26 2022-12-16 三菱重工エンジニアリング株式会社 列車制御装置、方法及びプログラム
US11964683B2 (en) 2019-06-26 2024-04-23 Mitsubishi Heavy Industries, Ltd. Train control device, method, and program

Also Published As

Publication number Publication date
US20150344050A1 (en) 2015-12-03
US9751544B2 (en) 2017-09-05
SG11201505030PA (en) 2015-08-28
WO2014112159A1 (ja) 2014-07-24
JP5931760B2 (ja) 2016-06-08

Similar Documents

Publication Publication Date Title
JP5931760B2 (ja) 列車運行制御検査装置、列車運行制御検査方法及びプログラム
US8295999B2 (en) System and method for the automatic generation of movement authority solutions in a rail system
Restel The Markov reliability and safety model of the railway transportation system
JP5881078B2 (ja) 列車運行制御装置及び列車運行制御方法
CN108189866A (zh) 办理进路的冲突处理方法及装置
Sun Model based system engineering for safety of railway critical systems
Mazzanti et al. Deadlock avoidance in train scheduling: a model checking approach
Sun et al. A formal modeling methodology of the French railway interlocking system via HCPN
Dincel et al. Automata-based railway signaling and interlocking system design [testing ourselves]
Khan et al. On the real time modeling of interlocking system of passenger lines of Rawalpindi Cantt train station
ŞENER et al. Specification and formal verification of safety properties in a point automation system
US9475511B2 (en) Parallel tracks design description
Antoni Formal validation method for computerized railway interlocking systems
Albrecht et al. ON‐TIME: A Framework for Integrated Railway Network Operation Management
Hill Electric railway traction. IV. Signalling and interlockings
Wang et al. Modeling communications-based train control system: A case study
JP2016097936A (ja) 統合連動装置および統合連動システム
Wang et al. Study on modeling and verification of CBTC interlocking system
Antoni et al. Formal validation method and tools for French computerized railway interlocking systems
Bellek Design and RAMS analysis of railway interlocking systems using formal methods
JP2013193604A (ja) プログラム生成方法、および、進路制御システム
Buchheit et al. Dependability assessment of large railway systems
CN117670630B (zh) 一种高速铁路联锁系统安全分析方法、系统、设备及介质
Arefin Application of formal verification and validation on modern multi-functional signalling system
Khan et al. Real time modeling of interlocking control system of rawalpindi cantt train yard

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20141016

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20141016

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20141017

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20151117

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20160115

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20160118

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20160329

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20160427

R151 Written notification of patent or utility model registration

Ref document number: 5931760

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313111

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313111

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350