WO2021024469A1

WO2021024469A1 - ブレーキ制御システム、車載機器制御システム、ブレーキ制御方法および車載機器制御方法

Info

Publication number: WO2021024469A1
Application number: PCT/JP2019/031430
Authority: WO
Inventors: 悦司松山; 亮西垣
Original assignee: 三菱電機株式会社
Priority date: 2019-08-08
Filing date: 2019-08-08
Publication date: 2021-02-11
Also published as: JP7142787B2; US20220274580A1; JPWO2021024469A1; DE112019007622T5

Abstract

鉄道車両（１００）に搭載されたブレーキ制御システム（３０）であって、ブレーキ（２０）の制御内容を示す第１のブレーキ指令を第１の通信方式で出力し、ブレーキ（２０）の制御内容を限定する第２のブレーキ指令を第２の通信方式で出力するブレーキ指令部（１）と、第１のブレーキ指令を列車統合管理システム（１４）経由で第１の通信方式で取得し、第２のブレーキ指令を第２の通信方式で取得し、第１のブレーキ指令と第２のブレーキ指令とに基づいて、ブレーキ（２０）を制御するブレーキ制御部（４）と、を備える。

Description

ブレーキ制御システム、車載機器制御システム、ブレーキ制御方法および車載機器制御方法

　本発明は、鉄道車両に搭載されるブレーキ制御システム、車載機器制御システム、ブレーキ制御方法および車載機器制御方法に関する。

　従来、鉄道車両において、列車情報管理装置の演算ユニットは、車両の力行、ブレーキ制御などを一括管理している。特許文献１には、列車情報管理装置の演算ユニットが必要空気ブレーキ力を演算し、ブレーキ制御器が、必要空気ブレーキ力に基づいて、ブレーキ制御弁を制御する技術が開示されている。特許文献１では、列車情報管理装置の演算ユニットとブレーキ制御器との間では、ＲＳ（Recommended　Standard）４８５などの通信インターフェースを介して通信が行われている。

特開２００８－１４３３６５号公報

　近年、鉄道車両に搭載される車載機器間の通信に、イーサネット（登録商標）を導入することが検討されている。鉄道車両にイーサネットを導入することで、鉄道車両の車載機器間の配線を減らしつつ、伝送容量を増やすことができる。しかしながら、イーサネットによる通信方式は、オープンネットワークに接続される可能性があり、この場合、悪意のある第三者による不正アクセスによって車載機器に誤動作が生じる可能性がある。

　本発明は、上記に鑑みてなされたものであって、不正アクセスによる誤動作を回避可能なブレーキ制御システムを得ることを目的とする。

　上述した課題を解決し、目的を達成するために、本発明は、鉄道車両に搭載されたブレーキ制御システムである。ブレーキ制御システムは、ブレーキの制御内容を示す第１のブレーキ指令を第１の通信方式で出力し、ブレーキの制御内容を限定する第２のブレーキ指令を第２の通信方式で出力するブレーキ指令部と、第１のブレーキ指令を列車統合管理システム経由で第１の通信方式で取得し、第２のブレーキ指令を第２の通信方式で取得し、第１のブレーキ指令と第２のブレーキ指令とに基づいて、ブレーキを制御するブレーキ制御部と、を備えることを特徴とする。

　本発明によれば、ブレーキ制御システムは、不正アクセスによる誤動作を回避できる、という効果を奏する。

実施の形態１に係るブレーキ制御システムの構成例を示す図実施の形態１に係るブレーキ制御システムの電源起動時の動作を示すフローチャート実施の形態１に係るブレーキ制御システムの電源起動後の鉄道車両運用時の動作を示すフローチャート実施の形態１に係るブレーキ制御システムが備える処理回路をプロセッサおよびメモリで構成する場合の例を示す図実施の形態１に係るブレーキ制御システムが備える処理回路を専用のハードウェアで構成する場合の例を示す図実施の形態２に係るブレーキ制御部を含む鉄道車両の構成例を示す図実施の形態２に係るブレーキ制御システムの電源起動後の鉄道車両運用時の動作を示すフローチャート実施の形態３に係るブレーキ制御システムの構成例を示す図実施の形態３に係るブレーキ制御システムの電源起動後の動作を示すフローチャート

　以下に、本発明の実施の形態に係るブレーキ制御システム、車載機器制御システム、ブレーキ制御方法および車載機器制御方法を図面に基づいて詳細に説明する。なお、この実施の形態によりこの発明が限定されるものではない。

実施の形態１．
　図１は、本発明の実施の形態１に係るブレーキ制御システム３０の構成例を示す図である。ブレーキ制御システム３０は、鉄道車両１００に搭載され、鉄道車両１００のブレーキ２０を制御するシステムである。ブレーキ制御システム３０は、ブレーキ指令部１と、応荷重装置２と、速度センサ３と、ブレーキ制御部４と、回生ブレーキ制御部５と、電空変換弁６と、元空気タンク７と、中継弁８と、圧力センサ９と、ブレーキシリンダ１０と、圧力センサ１１と、制輪子１２と、車輪１３と、列車統合管理システム１４と、を備える。電空変換弁６、元空気タンク７、中継弁８、圧力センサ９、ブレーキシリンダ１０、圧力センサ１１、および制輪子１２によって、ブレーキ２０が構成される。なお、鉄道車両１００は、実際には、複数の速度センサ３、ブレーキ制御部４、車輪１３、およびブレーキ２０を備えているものとする。また、複数の鉄道車両１００によって列車が編成されている場合、ブレーキ指令部１など一部の構成については、列車の先頭車両および後尾車両など、特定の鉄道車両にのみ搭載されていてもよい。

　ブレーキ指令部１は、鉄道車両１００の図示しない運転台などに設置され、ブレーキ２０の制御内容を示すブレーキ指令１Ａを生成して出力する。ブレーキ２０の制御内容とは、ブレーキ２０を作用させる制御、ブレーキ２０を解除する制御などである。ブレーキ２０を作用させる制御は、鉄道車両１００を減速させる制御、いわゆるブレーキをかける制御である。ブレーキ２０を解除する制御は、鉄道車両１００の速度を上げることができるようにする制御、いわゆるブレーキを緩める制御である。ブレーキ指令部１は、運転士などから操作を受け付けて、受け付けた操作内容に応じたブレーキ指令１Ａを生成してもよい。また、ブレーキ指令部１は、ブレーキ制御部４の制御内容を限定するためのセキュリティ信号１Ｂを生成して出力する。ブレーキ指令部１は、ブレーキ指令１Ａを第１の通信方式で列車統合管理システム１４に出力し、セキュリティ信号１Ｂを第２の通信方式でブレーキ制御部４に出力する。第１の通信方式は、第２の通信方式よりも伝送容量の大きい通信方式であって、例えば、イーサネットである。第２の通信方式は、第１の通信方式よりも伝送容量の小さい通信方式であって、例えば、従来から使用されているＲＳ４８５などによる通信である。以降では、第１の通信方式をイーサネットとし、第２の通信方式をＲＳ４８５として説明する。また、以降の説明において、ブレーキ指令１Ａを第１のブレーキ指令と称し、セキュリティ信号１Ｂを第２のブレーキ指令と称することがある。

　ブレーキ指令部１は、図１に示すように、ブレーキ指令１Ａおよびセキュリティ信号１Ｂを生成する生成部２１、およびブレーキ指令１Ａおよびセキュリティ信号１Ｂを出力する出力部２２によって構成される。以降の説明では、説明を簡単にするため、ブレーキ指令部１を主体にして説明する。

　応荷重装置２は、図示しない空気ばね圧センサなどを用いて、乗客などによって鉄道車両１００にかかる圧力を示す応荷重信号２Ａを生成して出力する。

　速度センサ３は、車輪１３の回転速度に基づいて、鉄道車両１００の速度を示す速度信号３Ａを生成して出力するセンサである。なお、図１では省略しているが、速度センサ３は鉄道車両１００の前後の台車に設置されており、鉄道車両１００では、各車輪１３から速度を検出することが可能である。

　ブレーキ制御部４は、鉄道車両１００において、車輪１３に制輪子１２を押し付けて制動力を発生させるブレーキ制御装置である。ブレーキ制御部４は、取得部４１と、制御部４２と、を備える。

　取得部４１は、ブレーキ指令部１から第２の通信方式でセキュリティ信号１Ｂを取得し、応荷重装置２から応荷重信号２Ａを取得し、速度センサ３から速度信号３Ａを取得する。また、取得部４１は、回生ブレーキ制御部５から回生フィードバック信号５Ａを取得し、圧力センサ９から電空変換弁６の空気信号６Ａの指令圧であるＡＣ（Air　Cylinder）圧のフィードバック指令９Ａを取得し、圧力センサ１１から中継弁８のブレーキシリンダ圧８ＡであるＢＣ（Brake　Cylinder）圧のフィードバック指令１１Ａを取得する。また、取得部４１は、列車統合管理システム１４から、ブレーキ指令部１から出力されたブレーキ指令１Ａを、イーサネット伝送１４Ａによって取得する。すなわち、取得部４１は、ブレーキ指令１Ａを列車統合管理システム１４経由で第１の通信方式で取得する。

　制御部４２は、ブレーキ指令１Ａ、セキュリティ信号１Ｂ、応荷重信号２Ａ、および速度信号３Ａに基づいて、鉄道車両１００に対する必要なブレーキ力を算出し、鉄道車両１００に対する必要なブレーキ力を示す回生パターン信号４Ａを出力する。制御部４２は、鉄道車両１００に対する必要なブレーキ力から、回生フィードバック信号５Ａの値を減算したものを空制補足量とする圧力制御信号４Ｂを生成して出力する。また、制御部４２は、ブレーキ指令１Ａとセキュリティ信号１Ｂとに基づいて、ブレーキ２０を制御する。具体的には、制御部４２は、ブレーキ指令１Ａの制御内容がセキュリティ信号１Ｂで限定される制御内容と一致している場合、ブレーキ指令１Ａに基づいて、ブレーキ２０の制御を実施する。制御部４２は、ブレーキ指令１Ａの制御内容がセキュリティ信号１Ｂで限定される制御内容と一致しない場合、ブレーキ２０の現在の状態を継続する。

　回生ブレーキ制御部５は、回生パターン信号４Ａに基づいて、実トルクに応じた実回生ブレーキ力を算出し、実回生ブレーキ力を示す回生フィードバック信号５Ａを生成して出力する。

　電空変換弁６は、ブレーキ制御部４の制御部４２から出力される電気信号である圧力制御信号４Ｂの制御信号を、空気の圧力によって制御内容を示す空気信号６Ａに変換する。

　元空気タンク７は、貯留されている空気であって、圧縮された空気である圧縮空気７Ａを出力する空気タンクである。

　中継弁８は、電空変換弁６から出力された空気信号６Ａの空気圧である指令圧に応じた圧縮空気７Ａを出力することにより、空気信号６Ａの指令圧に応じたブレーキシリンダ圧８Ａの空気をブレーキシリンダ１０に出力する。ブレーキシリンダ圧８Ａは、空気信号６Ａが圧縮空気７Ａによって増幅されたものである。ブレーキシリンダ圧８Ａと空気信号６Ａの指令圧とは、空気信号６Ａの指令圧が増減すればブレーキシリンダ圧８Ａも増減する正比例の関係にあるものとする。

　圧力センサ９は、空気信号６Ａの空気圧である指令圧を検出するセンサである。指令圧は、車輪１３に制輪子１２を押し付ける力を示す物理量である。圧力センサ９は、検出した空気信号６Ａの指令圧をフィードバック指令９Ａとして、ブレーキ制御部４に帰還させる。

　ブレーキシリンダ１０は、ブレーキシリンダ圧８Ａによって、車輪１３に制輪子１２を押し付ける。

　圧力センサ１１は、ブレーキシリンダ１０の空気圧であるブレーキシリンダ圧８Ａを検出するセンサである。ブレーキシリンダ圧８Ａは、車輪１３に制輪子１２を押し付ける力を示す物理量である。圧力センサ１１は、検出したブレーキシリンダ圧８Ａをフィードバック指令１１Ａとして、ブレーキ制御部４に帰還させる。

　制輪子１２は、摩擦係数を有している。制輪子１２は、ブレーキシリンダ１０によって車輪１３に押し付けられることで、ブレーキ力、すなわち制動力を発生させる。ブレーキ制御システム３０におけるブレーキ力は、制輪子１２の摩擦係数と、ブレーキシリンダ圧８Ａの積によって算出することができる。

　車輪１３は、ブレーキシリンダ１０によって制輪子１２を押し付けられることで、ブレーキ力、すなわち制動力を発生させる。

　列車統合管理システム１４は、鉄道車両１００に搭載された車載機器の状態を管理する。列車統合管理システム１４は、ブレーキ指令部１、ブレーキ制御部４などの車載機器との間で、第１の通信方式、すなわちイーサネットによって通信を行う。図１の例では、列車統合管理システム１４は、ブレーキ指令部１から取得したブレーキ指令１Ａを、イーサネット伝送１４Ａによってブレーキ制御部４に出力する。

　つづいて、ブレーキ制御システム３０の動作について説明する。ブレーキ制御システム３０において、列車統合管理システム１４は、前述のように、各車載機器との間でイーサネットによる通信を行う。イーサネットは、ＲＳ４８５などと比較して伝送容量が大きい。一方で、イーサネットは、オープンネットワークに接続される可能性がある。イーサネットは、オープンネットワークに接続されると、悪意のある第三者による不正アクセスを受ける可能性がある。特にブレーキ制御部４が不正アクセスの対象になると、ブレーキ２０が動作しなくなるという問題が生じる。

　そのため、本実施の形態では、ブレーキ指令部１は、ブレーキ制御部４に対して、列車統合管理システム１４経由でブレーキ指令１Ａを出力するとともに、ブレーキ２０の制御内容を限定するセキュリティ信号１Ｂを直接出力する。ブレーキ制御部４は、列車統合管理システム１４経由でブレーキ指令部１から取得するブレーキ指令１Ａの制御内容が、ブレーキ指令部１から直接取得するセキュリティ信号１Ｂで限定される制御内容と一致した場合、ブレーキ指令１Ａに基づいて、ブレーキ２０に対する制御を実施する。ブレーキ制御部４は、列車統合管理システム１４経由でブレーキ指令部１から取得するブレーキ指令１Ａの制御内容が、ブレーキ指令部１から直接取得するセキュリティ信号１Ｂで限定される制御内容と一致しない場合、ブレーキ２０に対する制御を実施しない、すなわち現在の状態を継続する。

　図１に示すブレーキ制御システム３０は、車載機器が列車統合管理システム１４との通信をイーサネットで行うことによって、イーサネットを使用しないＲＳ４８５による通信の場合と比較して配線数を減らすことができる。また、図１に示すブレーキ制御システム３０は、ブレーキ制御部４が列車統合管理システム１４経由のみでブレーキ指令部１と通信を行う場成と比較して、ブレーキ制御部４とブレーキ指令部１とを直接接続する配線が増えただけである。本実施の形態のブレーキ制御システム３０は、配線を１つ増やすことで、イーサネットを使用しつつ、不正アクセスによる誤動作を回避することができる。

　ブレーキ制御システム３０の動作を、フローチャートを用いて説明する。図２は、実施の形態１に係るブレーキ制御システム３０の電源起動時の動作を示すフローチャートである。ブレーキ制御システム３０において、ブレーキ制御部４の制御部４２は、電源起動時、列車統合管理システム１４経由でブレーキ指令部１からブレーキ指令１Ａを取得したか否かにかかわらず、ブレーキ２０を作用させる（ステップＳ１）。制御部４２は、取得部４１を介して、列車統合管理システム１４経由でブレーキ２０を緩めるブレーキ指令１Ａを取得していない場合（ステップＳ２：Ｎｏ）、ブレーキ２０を解除するブレーキ指令１Ａを取得するまで待機する。制御部４２は、取得部４１を介して、列車統合管理システム１４経由でブレーキ２０を緩めるブレーキ指令１Ａを取得した場合（ステップＳ２：Ｙｅｓ）、ブレーキ指令部１からセキュリティ信号１Ｂとしてブレーキ解除指令を直接取得したか否かを判定する（ステップＳ３）。制御部４２は、取得部４１を介して、ブレーキ指令部１からセキュリティ信号１Ｂとしてブレーキ解除指令を取得した場合（ステップＳ３：Ｙｅｓ）、ブレーキ２０を解除する（ステップＳ４）。制御部４２は、取得部４１を介して、ブレーキ指令部１からセキュリティ信号１Ｂとしてブレーキ解除指令を取得していない場合（ステップＳ３：Ｎｏ）、ブレーキ２０を解除しない、すなわちブレーキ２０を作用させたまま、ブレーキ２０の現在の状態を継続する（ステップＳ５）。

　図３は、実施の形態１に係るブレーキ制御システム３０の電源起動後の鉄道車両１００運用時の動作を示すフローチャートである。ブレーキ制御システム３０において、ブレーキ制御部４の制御部４２は、取得部４１を介して、列車統合管理システム１４経由でブレーキ指令部１からブレーキ指令１Ａを取得する（ステップＳ１１）。制御部４２は、取得部４１を介して、ブレーキ指令部１からセキュリティ信号１Ｂを直接取得する（ステップＳ１２）。制御部４２は、ブレーキ指令１Ａの制御内容とセキュリティ信号１Ｂで限定される制御内容とが一致しているか否かを判定する（ステップＳ１３）。制御部４２は、ブレーキ指令１Ａの制御内容とセキュリティ信号１Ｂで限定される制御内容とが一致している場合（ステップＳ１３：Ｙｅｓ）、ブレーキ指令１Ａの制御内容に基づいて、ブレーキ２０に対する制御を実施する（ステップＳ１４）。

　制御部４２は、ブレーキ指令１Ａの制御内容とセキュリティ信号１Ｂで限定される制御内容とが一致していない場合（ステップＳ１３：Ｎｏ）、不正アクセスがあったと判定し（ステップＳ１５）、ブレーキ指令１Ａの制御内容に基づくブレーキ２０に対する制御を実施しない、すなわちブレーキ２０の現在の状態を継続する（ステップＳ１６）。制御部４２は、不正アクセスがあったことを示すアラームを出力する（ステップＳ１７）。制御部４２は、アラームとして、鉄道車両１００において図示しない運転台の表示部に不正アクセスがあったことを示す表示をしてもよいし、鉄道車両１００において図示しない運転台のスピーカーから、不正アクセスがあったことを示す音声を出力してもよい。

　なお、本実施の形態では、鉄道車両１００に搭載された車載機器として、ブレーキ２０を制御するブレーキ指令部１およびブレーキ制御部４によって、不正アクセスの有無を判定していたが、これに限定されない。鉄道車両１００では、他の車載機器が、不正アクセスの有無を判定してもよい。例えば、鉄道車両１００に搭載された車載機器制御システムにおいて、車載機器に対して制御内容を指令する指令部が、鉄道車両１００に搭載された車載機器に対する制御内容を指示する第１の指令を第１の通信方式で出力し、車載機器に対する制御内容を限定する第２の指令を第２の通信方式で出力する。車載機器を制御する制御部は、第１の指令を列車統合管理システム１４経由で第１の通信方式で取得し、第２の指令を第２の通信方式で取得し、第１の指令と第２の指令とに基づいて、車載機器を制御する。上記において、第１の指令は前述のブレーキ指令１Ａに相当し、第２の指令は前述のセキュリティ信号１Ｂに相当する。

　つづいて、ブレーキ制御システム３０のハードウェア構成について説明する。ブレーキ制御システム３０において、ブレーキ指令部１およびブレーキ制御部４以外の構成は、一般的な鉄道車両に搭載される機器により実現される。ブレーキ制御部４は処理回路により実現される。処理回路は、メモリに格納されるプログラムを実行するプロセッサおよびメモリであってもよいし、専用のハードウェアであってもよい。

　図４は、実施の形態１に係るブレーキ制御システム３０が備える処理回路をプロセッサおよびメモリで構成する場合の例を示す図である。処理回路がプロセッサ９１およびメモリ９２で構成される場合、ブレーキ制御システム３０の処理回路の各機能は、ソフトウェア、ファームウェア、またはソフトウェアとファームウェアとの組み合わせにより実現される。ソフトウェアまたはファームウェアはプログラムとして記述され、メモリ９２に格納される。処理回路では、メモリ９２に記憶されたプログラムをプロセッサ９１が読み出して実行することにより、各機能を実現する。すなわち、処理回路は、ブレーキ制御システム３０の処理が結果的に実行されることになるプログラムを格納するためのメモリ９２を備える。また、これらのプログラムは、ブレーキ制御システム３０の手順および方法をコンピュータに実行させるものであるともいえる。

　ここで、プロセッサ９１は、ＣＰＵ（Central　Processing　Unit）、処理装置、演算装置、マイクロプロセッサ、マイクロコンピュータ、またはＤＳＰ（Digital　Signal　Processor）などであってもよい。また、メモリ９２には、例えば、ＲＡＭ（Random　Access　Memory）、ＲＯＭ（Read　Only　Memory）、フラッシュメモリ、ＥＰＲＯＭ（Erasable　Programmable　ＲＯＭ）、ＥＥＰＲＯＭ（登録商標）（Electrically　ＥＰＲＯＭ）などの、不揮発性または揮発性の半導体メモリ、磁気ディスク、フレキシブルディスク、光ディスク、コンパクトディスク、ミニディスク、またはＤＶＤ（Digital　Versatile　Disc）などが該当する。

　図５は、実施の形態１に係るブレーキ制御システム３０が備える処理回路を専用のハードウェアで構成する場合の例を示す図である。処理回路が専用のハードウェアで構成される場合、図５に示す処理回路９３は、例えば、単一回路、複合回路、プログラム化したプロセッサ、並列プログラム化したプロセッサ、ＡＳＩＣ（Application　Specific　Integrated　Circuit）、ＦＰＧＡ（Field　Programmable　Gate　Array）、またはこれらを組み合わせたものが該当する。ブレーキ制御システム３０の各機能を機能別に処理回路９３で実現してもよいし、各機能をまとめて処理回路９３で実現してもよい。

　なお、ブレーキ制御システム３０の各機能について、一部を専用のハードウェアで実現し、一部をソフトウェアまたはファームウェアで実現するようにしてもよい。このように、処理回路は、専用のハードウェア、ソフトウェア、ファームウェア、またはこれらの組み合わせによって、上述の各機能を実現することができる。

　ブレーキ制御部４のハードウェア構成について詳細に説明したが、ブレーキ指令部１についても同様に、処理回路により実現される。処理回路は、メモリに格納されるプログラムを実行するプロセッサおよびメモリであってもよいし、専用のハードウェアであってもよい。

　以上説明したように、本実施の形態によれば、ブレーキ制御システム３０において、ブレーキ制御部４は、ブレーキ指令１Ａの制御内容がセキュリティ信号１Ｂで限定される制御内容と一致している場合、ブレーキ指令１Ａに基づいて、ブレーキ２０の制御を実施し、ブレーキ指令１Ａの制御内容がセキュリティ信号１Ｂで限定される制御内容と一致しない場合、ブレーキ２０の現在の状態を継続することとした。これにより、ブレーキ制御システム３０は、鉄道車両１００においてイーサネットによる通信が行われ、ブレーキ指令１Ａがイーサネットで伝送される場合においても、イーサネット以外の通信方式のセキュリティ信号１Ｂを用いることで、不正アクセスによる誤動作を回避することができる。

実施の形態２．
　実施の形態２では、ブレーキ制御部４が、ブレーキ指令１Ａの制御内容とセキュリティ信号１Ｂで限定される制御内容とが一致していない場合、不正アクセスがあったと判定して他の車載機器の動作を停止させる場合について説明する。

　実施の形態２において、ブレーキ制御システム３０の構成は、実施の形態１のときの構成と同様である。実施の形態１では、ブレーキ制御部４の制御部４２は、不正アクセスがあったと判定した場合、ブレーキ指令１Ａの制御内容に基づくブレーキ２０に対する制御を実施しなかった。このような場合、ブレーキ制御システム３０では、他の車載機器に対しても不正アクセスがあることが想定される。そのため、ブレーキ制御部４の制御部４２は、不正アクセスがあったと判定した場合、他の車載機器の動作を停止させる。図６は、実施の形態２に係るブレーキ制御部４を含む鉄道車両１００の構成例を示す図である。図６では、ＶＶＶＦ（Variable　Voltage　Variable　Frequency）１５およびＳＩＶ（Static　InVerter）１６が、前述の他の車載機器に相当する。ブレーキ制御部４は、不正アクセスがあったと判定した場合、ＶＶＶＦ１５およびＳＩＶ１６に動作の停止を指示する。このとき、ブレーキ制御部４は、イーサネットによってＶＶＶＦ１５およびＳＩＶ１６に動作の停止を指示してもよいし、専用の通信線を用いてＶＶＶＦ１５およびＳＩＶ１６に動作の停止を指示してもよい。図６では、ブレーキ制御部４、ＶＶＶＦ１５、およびＳＩＶ１６を接続する実線がイーサネットの通信線を示し、ブレーキ制御部４、ＶＶＶＦ１５、およびＳＩＶ１６を接続する点線が専用の通信線を示している。なお、ブレーキ制御部４は、不正アクセスがあったと判定した場合、必ずしもＳＩＶ１６の動作の停止を指示する必要はなく、ＶＶＶＦ１５のみの動作の停止を指示し、ＶＶＶＦ１５以外のＳＩＶ１６を含むその他の車両機器については動作を継続させるようにしてもよい。

　図７は、実施の形態２に係るブレーキ制御システム３０の電源起動後の鉄道車両１００運用時の動作を示すフローチャートである。図７において、ステップＳ１１からステップＳ１６までの動作は、図３に示す実施の形態１のときの動作と同様である。制御部４２は、ステップＳ１６の後、さらに他の車載機器の動作を停止させる（ステップＳ２１）。制御部４２は、不正アクセスがあったことを示すアラームを出力する（ステップＳ１７）。このように、ブレーキ制御部４は、ブレーキ指令１Ａの制御内容とセキュリティ信号１Ｂで限定される制御内容とが一致していない場合、列車統合管理システム１４に接続されている他の車載機器に対して、直接またはイーサネットによる通信によって動作の停止を指示する。

　なお、本実施の形態では、ブレーキ制御部４が、不正アクセスの有無を判定していたが、これに限定されない。ＶＶＶＦ１５を制御する構成およびＳＩＶ１６を制御する構成のうち少なくとも１つが、不正アクセスの有無を判定し、不正アクセスがあったと判定した場合、ブレーキ制御部４を含む他の車載機器の動作を停止させてもよい。

　以上説明したように、本実施の形態によれば、ブレーキ制御システム３０は、不正アクセスがあると判定した場合、鉄道車両１００の他の車載機器の動作を停止させることとした。これにより、ブレーキ制御システム３０は、不正アクセスによる鉄道車両１００の他の車載機器の誤動作を回避することができる。

実施の形態３．
　実施の形態１，２では、ブレーキ制御部４は、回生ブレーキ制御部５と直接通信を行っていた。実施の形態３では、ブレーキ制御部４が、列車統合管理システム１４経由で回生ブレーキ制御部５と通信を行い、さらにブレーキ制御部４と列車統合管理システム１４との間の通信を二重化する場合について説明する。

　図８は、実施の形態３に係るブレーキ制御システム３０ａの構成例を示す図である。ブレーキ制御システム３０ａは、鉄道車両１００ａに搭載され、鉄道車両１００ａのブレーキ２０を制御するシステムである。ブレーキ制御システム３０ａは、実施の形態１のブレーキ制御システム３０に対して、回生ブレーキ制御部５の接続先をブレーキ制御部４から列車統合管理システム１４に変更したものである。ブレーキ制御部４は、図１における回生パターン信号４Ａを、イーサネット伝送１４Ａ，１４Ｂによって列車統合管理システム１４に出力する。列車統合管理システム１４は、図１における回生パターン信号４Ａを、イーサネット伝送１４Ｃによって回生ブレーキ制御部５に出力する。回生ブレーキ制御部５は、回生フィードバック信号５Ａを列車統合管理システム１４に出力する。列車統合管理システム１４は、回生フィードバック信号５Ａを、イーサネット伝送１４Ａ，１４Ｂによってブレーキ制御部４に出力する。

　ここで、図８に示すように、ブレーキ制御部４と列車統合管理システム１４との間の通信は、イーサネット伝送１４Ａ，１４Ｂによる通信、すなわち二重化された通信になっている。この場合、列車統合管理システム１４は、ブレーキ指令部１から取得したブレーキ指令１Ａも、イーサネット伝送１４Ａ，１４Ｂによってブレーキ制御部４に出力する。そのため、ブレーキ制御部４は、イーサネット伝送１４Ａ，１４Ｂによって列車統合管理システム１４経由で取得したブレーキ指令１Ａのうち少なくとも１つの制御内容が、ブレーキ指令部１から直接取得したセキュリティ信号１Ｂで限定される制御内容と一致した場合、一致したブレーキ指令１Ａに基づいて、ブレーキ２０に対する制御を実施する。

　図９は、実施の形態３に係るブレーキ制御システム３０ａの電源起動後の動作を示すフローチャートである。ブレーキ制御システム３０ａにおいて、ブレーキ制御部４の制御部４２は、取得部４１を介して、列車統合管理システム１４経由で二重化された、すなわち２つの伝送線によってブレーキ指令部１からブレーキ指令１Ａを取得する（ステップＳ３１）。制御部４２は、取得部４１を介して、ブレーキ指令部１からセキュリティ信号１Ｂを直接取得する（ステップＳ３２）。制御部４２は、２つのブレーキ指令１Ａのうち少なくとも１つのブレーキ指令１Ａの制御内容とセキュリティ信号１Ｂで限定される制御内容とが一致しているか否かを判定する（ステップＳ３３）。制御部４２は、少なくとも１つのブレーキ指令１Ａの制御内容とセキュリティ信号１Ｂで限定される制御内容とが一致している場合（ステップＳ３３：Ｙｅｓ）、２つのブレーキ指令１Ａの制御内容が一致しているか否かを判定する（ステップＳ３４）。制御部４２は、２つのブレーキ指令１Ａの制御内容が一致している場合（ステップＳ３４：Ｙｅｓ）、ブレーキ指令１Ａの制御内容に基づいて、ブレーキ２０の制御を実施する（ステップＳ３５）。

　制御部４２は、少なくとも１つのブレーキ指令１Ａの制御内容とセキュリティ信号１Ｂで限定される制御内容とが一致していない場合（ステップＳ３３：Ｎｏ）、不正アクセスがあったと判定し（ステップＳ３６）、ブレーキ指令１Ａの制御内容に基づくブレーキ２０に対する制御を実施しない、すなわちブレーキ２０の現在の状態を継続する（ステップＳ３７）。少なくとも１つのブレーキ指令１Ａの制御内容とセキュリティ信号１Ｂで限定される制御内容とが一致していない場合（ステップＳ３３：Ｎｏ）とは、２つのブレーキ指令１Ａの制御内容がともにセキュリティ信号１Ｂで限定される制御内容と一致していない場合である。制御部４２は、不正アクセスがあったことを示すアラームを出力する（ステップＳ３８）。なお、制御部４２は、実施の形態２のときのように、さらに他の車載機器の動作を停止させてもよい。

　制御部４２は、２つのブレーキ指令１Ａの制御内容が一致していない場合（ステップＳ３４：Ｎｏ）、セキュリティ信号１Ｂで限定される制御内容と一致しているブレーキ指令１Ａの制御内容に基づいて、ブレーキ２０に対する制御を実施する（ステップＳ３９）。制御部４２は、制御内容が一致していない方のブレーキ指令１Ａについては、不正アクセスがあったと判定する（ステップＳ４０）。制御部４２は、ステップＳ３８のときと同様、不正アクセスがあったことを示すアラームを出力してもよい。

　なお、本実施の形態では、ブレーキ制御システム３０ａとして、ブレーキ制御部４が列車統合管理システム１４経由で回生ブレーキ制御部５と通信を行う場合において、ブレーキ制御部４と列車統合管理システム１４との間の通信を二重化することについて説明したが、これに限定されない。ブレーキ制御システムは、実施の形態１，２のときのように、ブレーキ制御部４が直接回生ブレーキ制御部５と通信を行う場合において、ブレーキ制御部４と列車統合管理システム１４との間の通信を二重化するような構成であってもよい。

　以上説明したように、本実施の形態によれば、ブレーキ制御システム３０ａは、イーサネット伝送区間が二重化されている場合、少なくとも１つのブレーキ指令１Ａの制御内容とセキュリティ信号１Ｂで限定される制御内容とが一致している場合、セキュリティ信号１Ｂで限定される制御内容と一致しているブレーキ指令１Ａの制御内容に基づいて、ブレーキ２０の制御を実施することとした。これにより、ブレーキ制御システム３０ａは、２つのイーサネット伝送区間のうち、一方が不正アクセスを受けていても、他方が不正アクセスを受けていなければ、不正アクセスによる誤動作を回避しつつ、ブレーキ２０の制御を実施することができる。

　以上の実施の形態に示した構成は、本発明の内容の一例を示すものであり、別の公知の技術と組み合わせることも可能であるし、本発明の要旨を逸脱しない範囲で、構成の一部を省略、変更することも可能である。

　１　ブレーキ指令部、１Ａ　ブレーキ指令、１Ｂ　セキュリティ信号、２　応荷重装置、２Ａ　応荷重信号、３　速度センサ、３Ａ　速度信号、４　ブレーキ制御部、４Ａ　回生パターン信号、４Ｂ　圧力制御信号、５　回生ブレーキ制御部、５Ａ　回生フィードバック信号、６　電空変換弁、６Ａ　空気信号、７　元空気タンク、７Ａ　圧縮空気、８　中継弁、８Ａ　ブレーキシリンダ圧、９，１１　圧力センサ、１０　ブレーキシリンダ、１２　制輪子、１３　車輪、１４　列車統合管理システム、１４Ａ，１４Ｂ，１４Ｃ　イーサネット伝送、１５　ＶＶＶＦ、１６　ＳＩＶ、２０　ブレーキ、２１　生成部、２２　出力部、３０，３０ａ　ブレーキ制御システム、４１　取得部、４２　制御部、１００，１００ａ　鉄道車両。

Claims

　鉄道車両に搭載されたブレーキ制御システムであって、
　ブレーキの制御内容を示す第１のブレーキ指令を第１の通信方式で出力し、前記ブレーキの制御内容を限定する第２のブレーキ指令を第２の通信方式で出力するブレーキ指令部と、
　前記第１のブレーキ指令を列車統合管理システム経由で前記第１の通信方式で取得し、前記第２のブレーキ指令を前記第２の通信方式で取得し、前記第１のブレーキ指令と前記第２のブレーキ指令とに基づいて、前記ブレーキを制御するブレーキ制御部と、
　を備えることを特徴とするブレーキ制御システム。
　前記ブレーキ制御部は、前記第１のブレーキ指令の制御内容が前記第２のブレーキ指令で限定される制御内容と一致している場合、前記第１のブレーキ指令に基づいて、前記ブレーキの制御を実施し、前記第１のブレーキ指令の制御内容が前記第２のブレーキ指令で限定される制御内容と一致しない場合、前記ブレーキの現在の状態を継続する、
　ことを特徴とする請求項１に記載のブレーキ制御システム。
　前記ブレーキ制御部は、電源起動時に前記ブレーキを作用させ、前記第１の通信方式で前記列車統合管理システムから前記第１のブレーキ指令として前記ブレーキを解除する指令を取得した場合、前記第２の通信方式で前記ブレーキ指令部から前記第２のブレーキ指令としてブレーキ解除指令を取得していないときは前記ブレーキの現在の状態を継続し、前記第２の通信方式で前記ブレーキ指令部から前記第２のブレーキ指令としてブレーキ解除指令を取得したときは前記ブレーキを解除する、
　ことを特徴とする請求項１または２に記載のブレーキ制御システム。
　前記ブレーキ制御部は、前記第１のブレーキ指令の制御内容と前記第２のブレーキ指令で限定される制御内容とが一致していない場合、前記列車統合管理システムに接続されている他の車載機器に対して、直接または前記第２の通信方式によって動作の停止を指示する、
　ことを特徴とする請求項１から３のいずれか１つに記載のブレーキ制御システム。
　前記ブレーキ制御部と前記列車統合管理システムとの間の通信が二重化されている場合、
　前記ブレーキ制御部は、前記列車統合管理システムから取得した２つの第１のブレーキ指令のうち少なくとも１つの第１のブレーキ指令の制御内容が前記第２のブレーキ指令で限定される制御内容と一致している場合、前記第２のブレーキ指令で限定される制御内容と一致している第１のブレーキ指令に基づいて、前記ブレーキの制御を実施し、前記列車統合管理システムから取得した２つの第１のブレーキ指令の制御内容が前記第２のブレーキ指令で限定される制御内容と一致しない場合、前記ブレーキの現在の状態を継続する、
　ことを特徴とする請求項１に記載のブレーキ制御システム。
　鉄道車両に搭載された車載機器制御システムであって、
　前記鉄道車両に搭載された車載機器に対する制御内容を指示する第１の指令を第１の通信方式で出力し、前記車載機器に対する制御内容を限定する第２の指令を第２の通信方式で出力する指令部と、
　前記第１の指令を列車統合管理システム経由で前記第１の通信方式で取得し、前記第２の指令を前記第２の通信方式で取得し、前記第１の指令と前記第２の指令とに基づいて、前記車載機器を制御する制御部と、
　を備えることを特徴とする車載機器制御システム。
　鉄道車両に搭載されたブレーキ制御システムのブレーキ制御方法であって、
　ブレーキ指令部が、ブレーキの制御内容を示す第１のブレーキ指令を第１の通信方式で出力し、前記ブレーキの制御内容を限定する第２のブレーキ指令を第２の通信方式で出力する第１のステップと、
　ブレーキ制御部が、前記第１のブレーキ指令を列車統合管理システム経由で前記第１の通信方式で取得し、前記第２のブレーキ指令を前記第２の通信方式で取得し、前記第１のブレーキ指令と前記第２のブレーキ指令とに基づいて、前記ブレーキを制御する第２のステップと、
　を含むことを特徴とするブレーキ制御方法。
　前記第２のステップにおいて、前記ブレーキ制御部は、前記第１のブレーキ指令の制御内容が前記第２のブレーキ指令で限定される制御内容と一致している場合、前記第１のブレーキ指令に基づいて、前記ブレーキの制御を実施し、前記第１のブレーキ指令の制御内容が前記第２のブレーキ指令で限定される制御内容と一致しない場合、前記ブレーキの現在の状態を継続する、
　ことを特徴とする請求項７に記載のブレーキ制御方法。
　前記第２のステップにおいて、前記ブレーキ制御部は、電源起動時に前記ブレーキを作用させ、前記第１の通信方式で前記列車統合管理システムから前記第１のブレーキ指令として前記ブレーキを解除する指令を取得した場合、前記第２の通信方式で前記ブレーキ指令部から前記第２のブレーキ指令としてブレーキ解除指令を取得していないときは前記ブレーキの現在の状態を継続し、前記第２の通信方式で前記ブレーキ指令部から前記第２のブレーキ指令としてブレーキ解除指令を取得したときは前記ブレーキを解除する、
　ことを特徴とする請求項７または８に記載のブレーキ制御方法。
　前記第２のステップにおいて、前記ブレーキ制御部は、前記第１のブレーキ指令の制御内容と前記第２のブレーキ指令で限定される制御内容とが一致していない場合、前記列車統合管理システムに接続されている他の車載機器に対して、直接または前記第２の通信方式によって動作の停止を指示する、
　ことを特徴とする請求項７から９のいずれか１つに記載のブレーキ制御方法。
　前記ブレーキ制御部と前記列車統合管理システムとの間の通信が二重化されている場合、
　前記第２のステップにおいて、前記ブレーキ制御部は、前記列車統合管理システムから取得した２つの第１のブレーキ指令のうち少なくとも１つの第１のブレーキ指令の制御内容が前記第２のブレーキ指令で限定される制御内容と一致している場合、前記第２のブレーキ指令で限定される制御内容と一致している第１のブレーキ指令に基づいて、前記ブレーキの制御を実施し、前記列車統合管理システムから取得した２つの第１のブレーキ指令の制御内容が前記第２のブレーキ指令で限定される制御内容と一致しない場合、前記ブレーキの現在の状態を継続する、
　ことを特徴とする請求項７に記載のブレーキ制御方法。
　鉄道車両に搭載された車載機器制御システムの車載機器制御方法であって、
　指令部が、前記鉄道車両に搭載された車載機器に対する制御内容を指示する第１の指令を第１の通信方式で出力し、前記車載機器に対する制御内容を限定する第２の指令を第２の通信方式で出力する第１のステップと、
　制御部が、前記第１の指令を列車統合管理システム経由で前記第１の通信方式で取得し、前記第２の指令を前記第２の通信方式で取得し、前記第１の指令と前記第２の指令とに基づいて、前記車載機器を制御する第２のステップと、
　を含むことを特徴とする車載機器制御方法。