JP6609529B2 - Railway security system - Google Patents

Railway security system Download PDF

Info

Publication number
JP6609529B2
JP6609529B2 JP2016171374A JP2016171374A JP6609529B2 JP 6609529 B2 JP6609529 B2 JP 6609529B2 JP 2016171374 A JP2016171374 A JP 2016171374A JP 2016171374 A JP2016171374 A JP 2016171374A JP 6609529 B2 JP6609529 B2 JP 6609529B2
Authority
JP
Japan
Prior art keywords
loading
consistency
target device
version information
software
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2016171374A
Other languages
Japanese (ja)
Other versions
JP2018036975A (en
Inventor
諒 村上
修 山本
雅史 中須賀
悠子 山崎
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2016171374A priority Critical patent/JP6609529B2/en
Publication of JP2018036975A publication Critical patent/JP2018036975A/en
Application granted granted Critical
Publication of JP6609529B2 publication Critical patent/JP6609529B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Stored Programmes (AREA)
  • Train Traffic Observation, Control, And Security (AREA)
  • Information Transfer Between Computers (AREA)

Description

この発明は、フェールセーフ装置を有する鉄道保安システムにおける、ソフトウェアリモートローディングに関する。   The present invention relates to software remote loading in a railway security system having a fail-safe device.

鉄道保安システムにおいては、フェールセーフ性が最も重要視される。通常の列車制御に関して危険側制御しない様にする事はもちろん、システムや装置に異常や故障が発生した場合にも危険側制御とならない様にしなければならない。   In the railway security system, fail-safety is most important. As a matter of course, it is necessary not to perform dangerous side control for normal train control, but to prevent dangerous side control even when an abnormality or failure occurs in a system or apparatus.

システムの安全性、フェールセーフ性に関わる機能に関しては、試験容易性の観点や、想定外の危険側制御要因を残さないために、システムの構成や動作を極力単純にすることが望ましいが、近年の計算機高性能化、ネットワーク高速化に伴い、鉄道保安システムに実装される機能も増加傾向にある。   Regarding the functions related to system safety and fail-safety, it is desirable to simplify the system configuration and operation as much as possible in order to avoid unintended dangerous control factors from the viewpoint of testability. As computer performance and network speed increase, the functions implemented in railway security systems are also increasing.

鉄道保安システムは複数の装置で構成されており、それぞれの装置に要求される機能も多様化している。例えば、フェールセーフ装置同士が互いの出力を参照し合って動作する、列車制御を直接行わない非フェールセーフ装置からフェールセーフ装置の制御動作モード変更指示を送信するなど、複数装置のソフトウェアバージョンの組合せが最適で無いと所望の動作ができず、システム全体のフェールセーフ性を損なう可能性がある。   The railway security system is composed of a plurality of devices, and the functions required for each device are diversified. For example, a combination of software versions of multiple devices, such as failsafe devices operating with reference to each other's outputs, sending non-failsafe devices that do not directly control trains, and sending instructions for changing the control operation mode of failsafe devices If it is not optimal, a desired operation cannot be performed and the fail-safe property of the entire system may be impaired.

一方で、鉄道保安システムの更新を行う場合、列車運行が終了してから次の日の列車運行が開始するまでの夜間に更新作業を行う必要があり、限られた時間で正確に作業を終えなければならない。もし時間内にシステム更新を行う事ができなかった場合、次の日の列車運行が開始できず、特に首都圏等の列車運行密度が高い箇所においては、列車運行に大きな影響を及ぼす可能性がある。   On the other hand, when updating the railway security system, it is necessary to perform the update work at night from the end of the train operation until the start of the next day's train operation. There must be. If the system cannot be updated in time, the next day's train operation cannot be started, especially in places with high train operation density, such as the Tokyo metropolitan area, which may have a major impact on train operation. is there.

限られた時間でシステム全体の更新を行うため、従来の鉄道保安システムの更新に関しては、そのソフトウェアをリモートでローディングする手法が採られてきた。ソフトウェアリモートローディングでは、保守員がリモートローディング用の保守端末よりローディング対象装置へのリモートローディング指示を行い、ソフトウェアのローディングを行う。   In order to update the entire system in a limited time, a method of loading the software remotely has been adopted for updating the conventional railway security system. In software remote loading, a maintenance staff issues a remote loading instruction to a loading target device from a remote loading maintenance terminal, and loads software.

リモートローディングによるソフトウェア更新では、ローディングの際にソフトウェアの書き換えを行うため、ハードウェア故障等により書き換え不良が発生することで、ローディングしたソフトが起動しなくなる可能性がある。また、ローディング作業自体はシステム化されているが、ローディング指示は保守員が行うため、ヒューマンエラーにより誤ったバージョンのソフトウェアをローディングしてしまう可能性もある。   In software update by remote loading, software is rewritten at the time of loading, and therefore, there is a possibility that the loaded software may not be activated due to a rewrite failure due to a hardware failure or the like. In addition, although the loading operation itself is systemized, since the maintenance instruction is given by the maintenance staff, there is a possibility that an incorrect version of the software is loaded due to a human error.

これに対し、ローディングソフトの保存先を複数設けることで書き換え不良が発生した際に速やかに元のソフトウェアでの起動を可能とする方法や、最適なバージョンのソフトウェアがローディングされるまでの間は機能縮退した状態でソフトウェアを起動する方法が試みられてきた。   On the other hand, by providing multiple loading software storage destinations, it is possible to quickly start the original software when a rewrite failure occurs, or until the optimal version of software is loaded. Attempts have been made to launch software in a degraded state.

特許文献1にはソフトウェア書き換えに異常が生じた場合の動作について、「運用面には最新バージョン、待機面には旧バージョンのアプリケーションが存在する。このバックアップ機能によって、改修ファイルに異常があった場合には、待機面ファイルを再び運用面に切り替えて改修前のバージョンに復帰させ、即時再起動することが可能となり、使用停止期間を短縮できる。」と記載されている。   Patent Document 1 describes the operation when an abnormality occurs in software rewriting. “The latest version of the application exists on the operation side, and the old version of the application exists on the standby side. In the above, it is possible to switch the standby side file to the operational side again, return it to the version before the refurbishment, and immediately restart it, thereby shortening the use suspension period.

特許文献2には、ソフトウェアがローディングされている補助記憶装置に故障が発生した場合の動作について、「稼動側の補助記憶装置が故障した場合に、補助記憶装置の稼動面切替を行い、オンライン機能を縮退した運転状態で再起動される機能を実現する。オンライン機能を縮退した運転状態では、補助記憶装置内のソフトウェア更新に関する機能のみを有効とし、システム運転に適したソフトウェアをリモート保守装置から転送することができる。」と記載されている。   Japanese Patent Laid-Open No. 2004-26883 discloses an operation when an auxiliary storage device loaded with software fails. In the operating state where the online function is reduced, only the function related to software update in the auxiliary storage device is enabled, and the software suitable for system operation is transferred from the remote maintenance device. Can be done. "

特開2004−272652JP-A-2004-272652 特開2006−248484JP 2006-248484 A

従来、システム更新時に保守員が各装置のソフトウェアバージョン組合せが最適であることを確認することでソフトウェアバージョンの整合性を確保しているが、ヒューマンエラーにより各装置のソフトウェアバージョンの整合性が確保されない状態でシステムが動作してしまう可能性があった。   Conventionally, maintenance personnel ensure that software version consistency is ensured by confirming that the software version combination of each device is optimal at the time of system update. However, the consistency of the software version of each device is not ensured due to a human error. There was a possibility that the system would work in the state.

そこで、フェールセーフ装置を有する鉄道保安システムのリモートローディングによるソフトウェア更新作業において、ソフトウェア更新時にフェールセーフ装置を含む各装置のソフトウェアバージョン整合性を確保する、という点で課題がある。   Therefore, in software update work by remote loading of a railway security system having a fail-safe device, there is a problem in ensuring the software version consistency of each device including the fail-safe device at the time of software update.

上記課題を解決するために、代表的な本発明の鉄道保安システムの一つは、他の装置へソフトウェアをロードするローディング指示装置と、ローディング指示装置からソフトウェアをロードされるローディング対象装置とを備え、ローディング指示装置は、ローディング対象装置のローディング用データ及びローディング対象装置の更新前のソフトウェアのバージョン情報である更新前ソフトウェアバージョン情報を記憶する指示装置記憶部と、ローディング対象装置より通知されるバージョン情報と指示装置記憶部に記憶されている更新前ソフトウェアバージョン情報の整合性の確認結果である整合性確認結果情報を生成し、整合性確認結果情報により整合性が正常であると確認できた場合に、整合性確認結果情報とローディング用データとをローディング対象装置へ送信する指示装置制御部とを備え、ローディング対象装置は、ローディング指示装置に自装置のソフトウェアのバージョン情報であるバージョン情報を通知するバージョン情報通知部と、ローディング指示装置から整合性確認結果情報とローディング用データを受信する受信部と、ローディング用データを記憶する対象装置記憶部と、整合性確認結果情報により整合性が正常であると確認できた場合、ローディング用データを対象装置記憶部へ記憶させる対象装置制御部とを備えることにより達成される。 In order to solve the above problems, one of the typical railroad security systems of the present invention includes a loading instruction device that loads software to another device, and a loading target device that is loaded with software from the loading instruction device. The loading instructing device includes an instructing device storage unit that stores loading data of the loading target device and pre-update software version information that is software version information before the loading target device is updated, and version information notified from the loading target device. When the consistency check result information that is the check result of the consistency of the pre-update software version information stored in the instruction device storage unit is generated and the consistency check result information confirms that the consistency is normal Consistency check result information and loading data An instruction device control unit that transmits the information to the loading target device, and the loading target device notifies the loading instruction device of version information, which is version information of the software of the own device, and the consistency from the loading instruction device. When it is confirmed that the consistency is normal by the receiving unit that receives the confirmation result information and the loading data, the target device storage unit that stores the loading data, and the consistency confirmation result information, the loading data is transferred to the target device. This is achieved by including a target device control unit to be stored in the storage unit.

本発明に依れば、ローディング指示装置が更新前後システムのソフトウェアバージョン整合性をローディング対象装置からのバージョン情報及び自身の補助記憶装置に保存されているローディング用データのバージョン情報を基に確認する事により、整合性の確認が取れていないソフトウェアバージョンの組合せでシステムが動作する事を確実に防ぐ事が可能となる。このように、本発明によって、整合性を確保した状態での鉄道保安システムにおけるソフトウェアリモートローディングを実現できる。   According to the present invention, the loading instruction device checks the software version consistency of the pre-update and post-update systems based on the version information from the loading target device and the version information of the loading data stored in its auxiliary storage device. Thus, it is possible to reliably prevent the system from operating with a combination of software versions whose consistency has not been confirmed. Thus, according to the present invention, software remote loading in a railway security system in a state where consistency is ensured can be realized.

実施例1の鉄道保安システムの装置構成の例を示した図である。It is the figure which showed the example of the apparatus structure of the railway security system of Example 1. FIG. 実施例1の各装置の機能ブロックの例を示した図である。FIG. 3 is a diagram illustrating an example of functional blocks of each device according to the first embodiment. 実施例1のローディング指示装置のソフトウェアバージョン整合性確認及びローディングに係る処理の例を示すフローチャートである。6 is a flowchart illustrating an example of processing related to software version consistency confirmation and loading of the loading instruction apparatus according to the first exemplary embodiment. 実施例1のローディング対象装置のソフトウェアバージョン整合性確認及びローディングに係る処理の例を示すフローチャートである。6 is a flowchart illustrating an example of processing related to software version consistency confirmation and loading of the loading target apparatus according to the first exemplary embodiment. 実施例2のローディング指示装置のソフトウェアバージョン整合性確認及びローディングに係る処理の例を示すフローチャートである。12 is a flowchart illustrating an example of processing related to software version consistency confirmation and loading of the loading instruction apparatus according to the second embodiment. 実施例4のローディング指示装置のソフトウェアバージョン整合性確認及びローディングに係る処理を示すフローチャートである。12 is a flowchart illustrating processing related to software version consistency confirmation and loading of the loading instruction apparatus according to the fourth embodiment. 実施例4のローディング対象装置のソフトウェアバージョン整合性確認及びローディングに係る処理の例を示すフローチャートである。15 is a flowchart illustrating an example of processing related to software version consistency confirmation and loading of a loading target apparatus according to a fourth embodiment.

以下、本実施例による鉄道保安システムの実施の形態を、図面を用いて説明する。   Hereinafter, an embodiment of a railway security system according to the present embodiment will be described with reference to the drawings.

図1は、本実施例の鉄道保安システムの装置構成の例を示した図である。ローディング指示装置110とローディング対象装置120、130、140、150は、同一通信路上に接続され、ローディング用データの送受信やバージョン情報の送受信を行う事ができる。   FIG. 1 is a diagram illustrating an example of a device configuration of a railway security system according to the present embodiment. The loading instruction device 110 and the loading target devices 120, 130, 140, and 150 are connected on the same communication path, and can perform transmission / reception of loading data and transmission / reception of version information.

図2は、本実施例の各装置の機能ブロックの例を示した図である。   FIG. 2 is a diagram illustrating an example of functional blocks of each device according to the present embodiment.

指示装置記憶部111には、ローディング対象装置120、130、140、150の更新前後のソフトウェアバージョン情報を事前に登録しておく。更に、ローディング対象装置120、130、140、150の更新前後のソフトウェアについては、事前に指示装置記憶部111へ格納しておく。   In the instruction device storage unit 111, software version information before and after the update of the loading target devices 120, 130, 140, and 150 is registered in advance. Furthermore, the software before and after the update of the loading target devices 120, 130, 140, and 150 is stored in the instruction device storage unit 111 in advance.

指示装置制御部112は、ローディング対象装置120、130、140、150のソフトウェアの整合性を確認し、それぞれ装置へ更新後のソフトウェアを送信する。   The instruction device control unit 112 confirms the software consistency of the loading target devices 120, 130, 140, and 150, and transmits the updated software to each device.

バージョン情報通知部121は、自装置のソフトウェアのバージョン情報をローディング指示装置110へ通知する。   The version information notifying unit 121 notifies the loading instruction device 110 of the software version information of its own device.

受信部122は、ローディング指示装置110からソフトウェアの整合性の情報や更新後のソフトウェアを受信する。   The receiving unit 122 receives software consistency information and updated software from the loading instruction apparatus 110.

対象装置記憶部123は、ソフトウェアを記憶する。   The target device storage unit 123 stores software.

対象装置制御部124は、ソフトウェアの整合性を確認し、ローディング指示装置110から受信したソフトウェアを対象装置記憶部123へ記憶させる。また、対象装置記憶部123に記憶しているソフトウェアにより自装置を起動させ動作させる。   The target device control unit 124 confirms the consistency of the software and stores the software received from the loading instruction device 110 in the target device storage unit 123. In addition, the own apparatus is activated and operated by software stored in the target apparatus storage unit 123.

なお、ローディング対象装置130、140、150の機能ブロックはローディング対象装置120と同様である。   The functional blocks of the loading target devices 130, 140, and 150 are the same as those of the loading target device 120.

図3は、ローディング指示装置110のソフトウェアバージョン整合性確認及びローディングに係る処理を示すフローチャートである。本処理は保守員がローディング指示装置110に明示的に指示したときに実施するが、ローディング指示装置110に実施日時を指定して実施させてもよいし、ローディング指示装置110に一定周期で実施させてもよい。   FIG. 3 is a flowchart showing processing related to software version consistency confirmation and loading of the loading instruction apparatus 110. This process is performed when the maintenance staff explicitly instructs the loading instruction device 110. However, the loading instruction device 110 may be performed by designating the execution date and time, or the loading instruction device 110 may be performed at a constant cycle. May be.

ステップS301にて、指示装置制御部 112は、本処理を開始する。その後、ステップS302へ遷移する。   In step S301, the instruction device control unit 112 starts this processing. Then, the process proceeds to step S302.

ステップS302にて、指示装置制御部 112は、各ローディング対象装置120、130、140、150からソフトウェアバージョン情報を受信する。その後、ステップS303へ遷移する。   In step S302, the instruction device control unit 112 receives software version information from each of the loading target devices 120, 130, 140, and 150. Then, the process proceeds to step S303.

ステップS303にて、指示装置制御部 112は、各ローディング対象装置120、130、140、150から受信したソフトウェアバージョン情報と、指示装置記憶部111に予め登録された各ローディング対象装置120、130、140、150の更新前ソフトウェアバージョン情報との比較を行い、同じバージョンであれば整合性は正常、同じバージョンでなければ整合性は異常であるとする整合性確認結果情報を生成する。その後、ステップS304へ遷移する。   In step S303, the instruction device control unit 112 receives the software version information received from each loading target device 120, 130, 140, 150 and each loading target device 120, 130, 140 registered in advance in the instruction device storage unit 111. , 150 is compared with the pre-update software version information, and consistency confirmation result information is generated that the consistency is normal if the version is the same, and the consistency is abnormal if the version is not the same. Then, the process proceeds to step S304.

ステップS304にて、指示装置制御部 112は、整合性確認結果情報より整合性を確認する。整合性が正常であれば、ステップS305へ遷移し、整合性が異常であれば、ステップS306へ遷移する。ローディング対象装置120、130、140、150からバージョン情報が受信できない場合も、整合性が異常として扱う。整合性が正常でないとき、バージョン情報が不一致であった旨をメッセージ等で保守員へ通知してもよい。さらに、再ローディングもしくは更新前システムへのロールバックを行うようにメッセージ等で保守員へ通知し指示を促してもよい。   In step S304, the instruction device control unit 112 confirms consistency from the consistency confirmation result information. If the consistency is normal, the process proceeds to step S305. If the consistency is abnormal, the process proceeds to step S306. Even when version information cannot be received from the loading target devices 120, 130, 140, and 150, the consistency is treated as abnormal. When the consistency is not normal, the maintenance staff may be notified by a message or the like that the version information does not match. Furthermore, the maintenance staff may be notified by a message or the like so as to perform reloading or rollback to the pre-update system.

ステップS305にて、指示装置制御部 112は、指示装置記憶部111からローディング対象装置120、130、140、150の更新後のソフトウェアを取得し、それぞれを整合性確認結果情報とともにローディング対象装置120、130、140、150へ送信する。その後ステップS306へ遷移する。   In step S305, the instruction device control unit 112 acquires the updated software of the loading target devices 120, 130, 140, and 150 from the instruction device storage unit 111, and loads them together with the consistency check result information, 130, 140, 150. Then, the process proceeds to step S306.

ステップS306では、指示装置制御部 112は、本処理を終了する。   In step S306, the instruction device control unit 112 ends this process.

図4は、ローディング対象装置120、130、140、150のソフトウェアバージョン整合性確認及びローディングに係る処理を示すフローチャートである。本処理は、ローディング対象装置120、130、140、150のそれぞれで一定周期で実施させる。なお、本処理は、ローディング対象装置120、130、140、150で同じなので、ローディング対象装置120についてのみ説明する。   FIG. 4 is a flowchart showing processing related to software version consistency confirmation and loading of the loading target devices 120, 130, 140, and 150. This processing is performed at a constant cycle in each of the loading target devices 120, 130, 140, and 150. Since this processing is the same for the loading target devices 120, 130, 140, and 150, only the loading target device 120 will be described.

ステップS401にて、対象装置制御部124は、本処理を開始する。その後、ステップS402へ遷移する。   In step S401, the target device control unit 124 starts this processing. Then, the process proceeds to step S402.

ステップS402にて、対象装置制御部124は、対象装置記憶部123に記憶しているソフトウェアのソフトウェアバージョン情報を取得し、それをローディング指示装置110へ送信する。その後、ステップS403へ遷移する。   In step S <b> 402, the target device control unit 124 acquires software version information of the software stored in the target device storage unit 123 and transmits it to the loading instruction device 110. Thereafter, the process proceeds to operation S403.

ステップS403にて、対象装置制御部124は、受信部122に、ローディング指示装置110からローディング用データ等(ローディング用データ(すなわち、更新後のソフトウェア)及び整合性確認結果情報、以下同じ)を受信させる。その後、ステップS404へ遷移する。   In step S403, the target device control unit 124 receives the loading data and the like (loading data (that is, updated software) and consistency check result information, the same applies hereinafter) from the loading instruction device 110 to the receiving unit 122. Let Thereafter, the process proceeds to operation S404.

ステップS404にて、対象装置制御部124は、受信部122が正常にローディング用データ等を受信できたか確認する。正常に受信できたときは、ステップS405へ遷移し、正常に受信できなかったときは、ステップS407へ遷移する。   In step S <b> 404, the target device control unit 124 confirms whether the receiving unit 122 has successfully received the loading data or the like. When the signal has been received normally, the process proceeds to step S405. When the signal has not been received normally, the process proceeds to step S407.

ステップS405にて、対象装置制御部124は、整合性確認結果情報より整合性を確認する。整合性が正常であれば、ステップS406へ遷移し、整合性が正常でなければ、ステップS407へ遷移する。整合性が正常でないとき、バージョン情報が不一致であった旨をメッセージ等で保守員へ通知してもよい。   In step S405, the target device control unit 124 confirms consistency from the consistency confirmation result information. If the consistency is normal, the process proceeds to step S406. If the consistency is not normal, the process proceeds to step S407. When the consistency is not normal, the maintenance staff may be notified by a message or the like that the version information does not match.

ステップS406にて、対象装置制御部124は、ローディング用データを対象装置記憶部123へ記憶させる。このとき、ローディングが正常に完了した旨をメッセージ等で保守員へ通知してもよい。また、ローディング指示装置110に登録された更新後バージョン情報を、更新前バージョン情報として再登録する事もできるが、システム更新後に不具合が発覚してシステムを更新前の状態に戻す可能性もあるため、ローディング指示装置110に登録された更新前後のバージョン情報再登録は実施しないとしてもよい。その後、ステップS407へ遷移する。   In step S <b> 406, the target device control unit 124 stores the loading data in the target device storage unit 123. At this time, the maintenance staff may be notified by a message or the like that the loading has been normally completed. Further, the updated version information registered in the loading instruction device 110 can be re-registered as pre-update version information. However, there is a possibility that a problem is detected after the system is updated and the system is returned to the state before the update. The version information re-registration before and after the update registered in the loading instruction apparatus 110 may not be performed. Thereafter, the process proceeds to operation S407.

ステップS407にて、対象装置制御部124は、本処理を終了する。   In step S407, the target device control unit 124 ends this process.

本実施例により、ローディング指示装置110は、各ローディング対象装置120、130、140、150の更新前ソフトウェアのバージョンを確認することができ、更新対象のソフトウェアが正しいものであることを確認することができる。   According to this embodiment, the loading instruction apparatus 110 can confirm the version of the software before update of each of the loading target apparatuses 120, 130, 140, and 150, and can confirm that the software to be updated is correct. it can.

実施例2は、実施例1を基本としているが、ローディング指示装置110が各ローディング対象装置120、130、140、150へローディング用データ等を送信する条件が異なる。すなわち、実施例1とは図3のステップS304が異なる。   The second embodiment is based on the first embodiment, but the conditions under which the loading instruction device 110 transmits loading data to the loading target devices 120, 130, 140, and 150 are different. That is, step S304 in FIG. 3 is different from the first embodiment.

図5は、実施例2のローディング指示装置110のソフトウェアバージョン整合性確認及びローディングに係る処理を示すフローチャートである。図3とはS304が異なり、S501としている。他は同じである。   FIG. 5 is a flowchart illustrating processing related to software version consistency confirmation and loading of the loading instruction apparatus 110 according to the second embodiment. 3 differs from FIG. 3 in that it is S501. Others are the same.

ステップS501にて、指示装置制御部 112は、整合性確認結果情報より整合性を確認する。また、指示装置制御部 112は、各ローディング対象装置120、130、140、150それぞれについて、指示装置記憶部111に記憶している更新後のソフトウェアのバージョン情報と、各ローディング対象装置120、130、140、150それぞれから受信したソフトウェアバージョン情報より、更新前後でバージョン情報が異なるか確認する。整合性が正常かつ、更新前後でバージョン情報が異なれば、ステップS305へ遷移し、そうでなければ、ステップS306へ遷移する。   In step S501, the instruction device control unit 112 confirms consistency from the consistency confirmation result information. In addition, the instruction device control unit 112 includes the updated software version information stored in the instruction device storage unit 111 and the loading target devices 120, 130, 140, and 150. Based on the software version information received from each of 140 and 150, it is confirmed whether the version information is different before and after the update. If the consistency is normal and the version information is different before and after the update, the process proceeds to step S305. Otherwise, the process proceeds to step S306.

本実施例により、ローディング指示装置110は、更新前後のソフトウェアが異なる場合にローディング用データ等を送信することができるので、通信路の通信負荷、及び、ローディング指示装置110と各ローディング対象装置120、130、140、150の処理負荷を抑制することができる。   According to the present embodiment, the loading instruction device 110 can transmit loading data or the like when the software before and after the update is different. Therefore, the communication load of the communication path, the loading instruction device 110 and each loading target device 120, The processing load of 130, 140, 150 can be suppressed.

実施例3は、実施例2を基本としているが、図5のステップS303の処理内容が異なる。   The third embodiment is based on the second embodiment, but the processing content of step S303 in FIG. 5 is different.

本実施例における図5のステップS303にて、指示装置制御部112は、各ローディング対象装置120、130、140、150から受信したソフトウェアバージョン情報と、指示装置記憶部111に予め登録された各ローディング対象装置120、130、140、150の更新前ソフトウェアバージョン情報との比較を行い、同じバージョンであれば整合性は正常、同じバージョンでなければ整合性は異常であるとする更新前整合性確認結果情報を生成する。   In step S <b> 303 of FIG. 5 in this embodiment, the instruction device control unit 112 receives the software version information received from each loading target device 120, 130, 140, and 150 and each loading registered in advance in the instruction device storage unit 111. Comparison with the pre-update software version information of the target devices 120, 130, 140, 150, the consistency check result before update that the consistency is normal if the version is the same, and the consistency is abnormal if the version is not the same Generate information.

また、指示装置制御部112は、各ローディング対象装置120、130、140、150それぞれについて、指示装置記憶部111に記憶している更新後のソフトウェアからバージョン情報を取得し、指示装置記憶部111に登録している更新後のソフトウェアバージョン情報を取得し、これらのバージョン情報の比較を行い、同じバージョンであれば整合性は正常、同じバージョンでなければ整合性は異常であるとする更新後整合性確認結果情報を生成する。   Further, the instruction device control unit 112 acquires version information from the updated software stored in the instruction device storage unit 111 for each of the loading target devices 120, 130, 140, and 150, and stores it in the instruction device storage unit 111. Acquire updated software version information that has been registered, compare these version information, and if the versions are the same, the consistency is normal, and if the versions are not the same, the consistency is abnormal Confirmation result information is generated.

さらに、指示装置制御部112は、更新前整合性確認結果情報より整合性が正常、かつ、更新後整合性確認結果情報より整合性が正常のとき、整合性が正常であるとして整合性確認結果情報を生成する。それ以外のとき、整合性が異常であるとして整合性確認結果情報を生成する。その後、ステップS501へ遷移する。   Further, the instruction device control unit 112 determines that the consistency is normal when the consistency is normal than the pre-update consistency check result information and the consistency is normal than the post-update consistency check result information. Generate information. In other cases, consistency check result information is generated assuming that the consistency is abnormal. Then, the process proceeds to step S501.

本実施例により、更新後のソフトウェアのバージョンを確認することができ、誤ったソフトウェアで各ローディング対象装置120、130、140、150を動作させることを避けることができる。   According to this embodiment, it is possible to check the version of the updated software, and it is possible to avoid operating each loading target device 120, 130, 140, 150 with incorrect software.

実施例4は、実施例3を元にしているが、ローディング指示装置110がローディング用データ等を送信した後にも、ソフトウェアのバージョン情報を確認することが異なる。   The fourth embodiment is based on the third embodiment, except that the software version information is confirmed even after the loading instruction apparatus 110 transmits the loading data or the like.

すなわち、ローディング指示装置110については、図5のステップS305の後の処理が異なる。各ローディング対象装置120、130、140、150については、図4のステップS406の後の処理が異なる。   That is, for the loading instruction device 110, the processing after step S305 in FIG. 5 is different. The processing after step S406 in FIG. 4 is different for each loading target device 120, 130, 140, 150.

図6は、実施例4のローディング指示装置110のソフトウェアバージョン整合性確認及びローディングに係る処理を示すフローチャートである。   FIG. 6 is a flowchart illustrating processing related to the software version consistency check and loading of the loading instruction apparatus 110 according to the fourth embodiment.

ステップS305の処理は実施例3と同じであるが、遷移先がステップS601になることが異なる。   The process in step S305 is the same as that in the third embodiment, except that the transition destination is step S601.

ステップS601にて、指示装置制御部 112は、各ローディング対象装置120、130、140、150からソフトウェアバージョン情報を受信する。その後、ステップS602へ遷移する。   In step S <b> 601, the instruction device control unit 112 receives software version information from each loading target device 120, 130, 140, 150. Then, the process proceeds to step S602.

ステップS602にて、指示装置制御部 112は、各ローディング対象装置120、130、140、150から受信したソフトウェアバージョン情報と、指示装置記憶部111に予め登録された各ローディング対象装置120、130、140、150の更新後ソフトウェアバージョン情報との比較を行い、同じバージョンであれば整合性は正常、同じバージョンでなければ整合性は異常であるとするローディング後整合性確認結果情報を生成する。その後、ステップS603へ遷移する。   In step S <b> 602, the instruction device control unit 112 receives the software version information received from each loading target device 120, 130, 140, 150 and each loading target device 120, 130, 140 registered in advance in the instruction device storage unit 111. 150, the post-loading consistency check result information is generated that the consistency is normal if the version is the same, and the consistency is abnormal if the version is not the same. Then, the process proceeds to step S603.

ステップS603にて、指示装置制御部 112は、ローディング後整合性確認結果情報をローディング対象装置120、130、140、150へ送信する。その後ステップS306へ遷移する。   In step S <b> 603, the instruction device control unit 112 transmits post-loading consistency check result information to the loading target devices 120, 130, 140, and 150. Then, the process proceeds to step S306.

図7は、実施例4の各ローディング対象装置120、130、140、150のソフトウェアバージョン整合性確認及びローディングに係る処理の例を示すフローチャートである。   FIG. 7 is a flowchart illustrating an example of processing related to the software version consistency check and loading of each loading target device 120, 130, 140, 150 according to the fourth embodiment.

ステップS406の処理は実施例3と同じであるが、遷移先がステップS701になることが異なる。   The process in step S406 is the same as that in the third embodiment, except that the transition destination is step S701.

ステップS701にて、対象装置制御部124は、対象装置記憶部123に記憶しているソフトウェアのソフトウェアバージョン情報を取得し、それをローディング指示装置110へ送信する。その後、ステップS702へ遷移する。   In step S <b> 701, the target device control unit 124 acquires the software version information of the software stored in the target device storage unit 123 and transmits it to the loading instruction device 110. Then, the process proceeds to step S702.

ステップS702にて、対象装置制御部124は、受信部122に、ローディング指示装置110からローディング後整合性確認結果情報を受信させる。その後、ステップS703へ遷移する。   In step S <b> 702, the target device control unit 124 causes the receiving unit 122 to receive post-loading consistency check result information from the loading instruction device 110. Then, the process proceeds to step S703.

ステップS703にて、対象装置制御部124は、ローディング後整合性確認結果情報より整合性を確認する。整合性が正常であれば、ステップS407へ遷移し、整合性が正常でなければ、ステップS704へ遷移する。   In step S703, the target device control unit 124 confirms consistency from the post-loading consistency confirmation result information. If the consistency is normal, the process proceeds to step S407. If the consistency is not normal, the process proceeds to step S704.

ステップS704にて、対象装置制御部124は、対象装置記憶部123に記憶したローディング用データ(すなわち、更新後のソフトウェア)を意図的に破損させ、当該ソフトウェアにて起動できないようにする。その後、ステップS407へ遷移する。   In step S704, the target device control unit 124 intentionally damages the loading data (that is, the updated software) stored in the target device storage unit 123 so that it cannot be activated by the software. Thereafter, the process proceeds to operation S407.

システム更新の作業時間が限られている事から、ローディング対象装置120、130、140、150の対象装置記憶部123には、ソフトウェアをローディングするための領域を複数領域確保する事が望ましいが、ソフトウェアローディング領域が複数領域存在するか否かは、本発明の効果に影響を及ぼすものではない。   Since the system update work time is limited, it is desirable to secure a plurality of areas for loading software in the target device storage unit 123 of the target devices 120, 130, 140, and 150. Whether there are a plurality of loading areas does not affect the effect of the present invention.

本実施例により、対象装置記憶部123に記憶したローディング用データ(すなわち、更新後のソフトウェア)のバージョンが異常であると認められるとき、それを意図的に破損させ、ローディング対象装置120が当該ソフトウェアにて起動できないようにできるので、想定外のソフトウェアで動作することにより危険事象が発生することを抑制することができる。   According to the present embodiment, when the version of the loading data (that is, the updated software) stored in the target device storage unit 123 is recognized as abnormal, it is intentionally damaged, and the loading target device 120 causes the software to be loaded. Therefore, it is possible to prevent a dangerous event from occurring by operating with an unexpected software.

本発明では、ローディングの際に使用する通信路や、ローディング指示装置及びローディング対象装置の補助記憶装置における信頼性確保のための方法については触れていないが、データ再送機能を持つ通信プロトコルの採用や、CRCやECCメモリの使用により、信頼性を確保するための手段を別途講ずる事ができる。   In the present invention, the communication path used at the time of loading and the method for ensuring the reliability in the auxiliary storage device of the loading instruction device and the loading target device are not mentioned. By using a CRC or ECC memory, it is possible to separately take measures for ensuring reliability.

なお、本発明は上記した実施例に限定されるものではなく、様々な変形例が含まれる。例えば、上記した実施例は本発明を分かりやすく説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。また、ある実施例の構成の一部を他の実施例の構成に置き換えることが可能であり、また、ある実施例の構成に他の実施例の構成を加えることも可能である。また、各実施例の構成の一部について、他の構成の追加・削除・置換をすることが可能である。   In addition, this invention is not limited to an above-described Example, Various modifications are included. For example, the above-described embodiments have been described in detail for easy understanding of the present invention, and are not necessarily limited to those having all the configurations described. Further, a part of the configuration of one embodiment can be replaced with the configuration of another embodiment, and the configuration of another embodiment can be added to the configuration of one embodiment. Further, it is possible to add, delete, and replace other configurations for a part of the configuration of each embodiment.

110…ローディング指示装置
111…指示装置記憶部
112…指示装置制御部
120、130、140、150…ローディング対象装置
121…バージョン情報通知部
122…受信部
123…対象装置記憶部
124…対象装置制御部 110: Loading instruction device 111 ... Instruction device storage unit
112 ... Indicator control unit
120, 130, 140, 150 ... loading target device 121 ... version information notification unit
122: Receiver
123 ... Target device storage unit 124 ... Target device control unit

Claims (3)

他の装置へソフトウェアをロードするローディング指示装置と、前記ローディング指示装置からソフトウェアをロードされるローディング対象装置とを備え、
前記ローディング指示装置は、前記ローディング対象装置の更新後のソフトウェアであるローディング用データ及び前記ローディング対象装置の更新前のソフトウェアのバージョン情報である更新前ソフトウェアバージョン情報を記憶する指示装置記憶部と、
前記ローディング対象装置より通知されるバージョン情報と前記指示装置記憶部に記憶されている前記更新前ソフトウェアバージョン情報の整合性の確認結果である整合性確認結果情報を生成し、前記整合性確認結果情報により整合性が正常であると確認できた場合に、前記整合性確認結果情報と前記ローディング用データとを前記ローディング対象装置へ送信する指示装置制御部とを備え、
前記ローディング対象装置は、前記ローディング指示装置に自装置のソフトウェアのバージョン情報である前記バージョン情報を通知するバージョン情報通知部と、
前記ローディング指示装置から前記整合性確認結果情報と前記ローディング用データを受信する受信部と、
前記ローディング用データを記憶する対象装置記憶部と、
前記整合性確認結果情報により整合性が正常であると確認できた場合、前記ローディング用データを前記対象装置記憶部へ記憶させてソフトウェアを更新させる対象装置制御部とを備え
前記指示装置記憶部は、前記ローディング対象装置の更新後のソフトウェアのバージョン情報である更新後ソフトウェアバージョン情報を記憶し、
前記指示装置制御部は、前記整合性確認結果情報を、前記ローディング対象装置より通知されるバージョン情報と前記指示装置記憶部に記憶されている前記更新前ソフトウェアバージョン情報の整合性の確認結果に、前記ローディング用データのバージョン情報と前記更新後ソフトウェアバージョン情報の整合性の確認結果を加えて生成することを特徴とする鉄道保安システム。 A loading instruction device for loading software into another device, and a loading target device loaded with software from the loading instruction device,
The loading instructing device, an instructing device storage unit that stores loading data that is software after updating the loading target device and pre-update software version information that is software version information before updating the loading target device;
Generating consistency check result information that is a check result of consistency between the version information notified from the loading target device and the pre-update software version information stored in the instruction device storage unit; and the consistency check result information An instruction device controller that transmits the consistency confirmation result information and the loading data to the loading target device when it is confirmed that the consistency is normal.
The loading target device includes a version information notification unit that notifies the loading instruction device of the version information that is version information of software of the device itself;
A receiving unit for receiving the consistency check result information and the loading data from the loading instruction device;
A target device storage unit for storing the loading data;
A target device control unit that stores the loading data in the target device storage unit and updates the software when the consistency check result information confirms that the consistency is normal ;
The indicating device storage unit stores updated software version information that is updated software version information of the loading target device,
The instruction device control unit includes the consistency confirmation result information in the confirmation result of the consistency between the version information notified from the loading target device and the pre-update software version information stored in the instruction device storage unit, A railway security system, which is generated by adding a result of confirming consistency between the version information of the loading data and the updated software version information . 請求項1に記載の鉄道保安システムにおいて、
前記指示装置制御部は、前記ローディング対象装置よりローディング後に通知されるバージョン情報と前記更新後ソフトウェアバージョン情報の整合性の確認結果であるローディング後整合性確認結果情報を生成し前記ローディング対象装置へ送信し、
前記バージョン情報通知部は、前記ローディング用データが前記対象装置記憶部に記憶された後に、前記ローディング指示装置へ前記対象装置記憶部に記憶された前記ローディング用データの前記バージョン情報を送信し、
前記受信部は、前記ローディング指示装置から前記ローディング後整合性確認結果情報を受信し、
前記対象装置制御部は、前記ローディング後整合性確認結果情報により整合性が正常であると確認できなかった場合、前記対象装置記憶部へ記憶された前記ローディング用データを破損させることを特徴とする鉄道保安システム。 In the railway security system according to claim 1,
The instruction device control unit generates post-loading consistency check result information, which is a check result of consistency between version information notified from the loading target device after loading and the updated software version information, and transmits the generated information to the loading target device. And
The version information notification unit transmits the version information of the loading data stored in the target device storage unit to the loading instruction device after the loading data is stored in the target device storage unit,
The receiving unit receives the post-loading consistency check result information from the loading instruction device;
The target device control unit may damage the loading data stored in the target device storage unit when it cannot be confirmed that the consistency is normal based on the post-loading consistency check result information. Railway security system. 請求項1乃至請求項2のいずれか一つに記載の鉄道保安システムにおいて、
前記指示装置制御部は、前記整合性確認結果情報により整合性が正常であると確認できた場合、かつ、前記ローディング用データのバージョン情報と前記ローディング対象装置より通知されるバージョン情報が異なる場合に、前記整合性確認結果情報と前記ローディング用データとを前記ローディング対象装置へ送信することを特徴とする鉄道保安システム。 In the railway security system according to any one of claims 1 to 2,
When the consistency check result information confirms that the consistency is normal, and when the version information of the loading data is different from the version information notified from the loading target device, the instruction device control unit The railway security system , wherein the consistency check result information and the loading data are transmitted to the loading target device .
JP2016171374A 2016-09-02 2016-09-02 Railway security system Active JP6609529B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2016171374A JP6609529B2 (en) 2016-09-02 2016-09-02 Railway security system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016171374A JP6609529B2 (en) 2016-09-02 2016-09-02 Railway security system

Publications (2)

Publication Number Publication Date
JP2018036975A JP2018036975A (en) 2018-03-08
JP6609529B2 true JP6609529B2 (en) 2019-11-20

Family

ID=61566241

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016171374A Active JP6609529B2 (en) 2016-09-02 2016-09-02 Railway security system

Country Status (1)

Country Link
JP (1) JP6609529B2 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7257428B2 (en) * 2021-01-14 2023-04-13 本田技研工業株式会社 Information processing device, control system, system, information processing method, control method, and program

Also Published As

Publication number Publication date
JP2018036975A (en) 2018-03-08

Similar Documents

Publication Publication Date Title
JP4963292B2 (en) Remote update system for elevator control program
US5901320A (en) Communication system configured to enhance system reliability using special program version management
JP2008273730A (en) Program renewing method for elevator
CN111769903A (en) Network security defense method applied to network security defense system and related device
JP6609529B2 (en) Railway security system
CN113830134B (en) Vehicle-mounted ATP double-system switching method and logic unit of vehicle-mounted ATP
JP2009286600A (en) Control program rewriting method of remote monitoring system
US20170279886A1 (en) Method of Synchronizing User Setting Data Among Multiple Centers
KR101581309B1 (en) Airplane Electronic Device for Interlocking Failure Detection and Elimination of Each Board Unit
JP4845918B2 (en) Interlocking device
KR101641799B1 (en) Failover system and method for restoring a TCP session
CN111726270B (en) Memory system and control system
KR101436135B1 (en) software update apparatus for slave device
JP2012212415A (en) Wireless base station device
CN112558990A (en) Maintenance and upgrading method and system for vehicle-mounted safety computer
JP5670935B2 (en) Distributed data management system and operation method thereof
CN105827435A (en) System for maintaining continuous business operation based on double center systems and method thereof
JPH1127266A (en) Structural information management method for network management device and management object device
JP2016200942A (en) Installation device and installation method
JP6554801B2 (en) Redundant communication device and control method thereof
JP6516719B2 (en) Elevator program rewriting system and program rewriting method
JP2005004608A (en) Firmware update method and firmware-loaded device
US20200287845A1 (en) Method and system for a geographical hot redundancy
KR101567401B1 (en) Hierarchically remote restoring method of multi robot system
JP2004038491A (en) Program loading system for communication network system

Legal Events

Date Code Title Description
RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20170111

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20170113

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20180926

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20190626

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20190801

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190917

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20191003

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20191028

R150 Certificate of patent or registration of utility model

Ref document number: 6609529

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150