JP7708633B2 - Railway security system, security management system, and update control method - Google Patents
Railway security system, security management system, and update control methodInfo
- Publication number
- JP7708633B2 JP7708633B2 JP2021161033A JP2021161033A JP7708633B2 JP 7708633 B2 JP7708633 B2 JP 7708633B2 JP 2021161033 A JP2021161033 A JP 2021161033A JP 2021161033 A JP2021161033 A JP 2021161033A JP 7708633 B2 JP7708633 B2 JP 7708633B2
- Authority
- JP
- Japan
- Prior art keywords
- update
- software
- security
- central control
- check code
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02T—CLIMATE CHANGE MITIGATION TECHNOLOGIES RELATED TO TRANSPORTATION
- Y02T90/00—Enabling technologies or technologies with a potential or indirect contribution to GHG emissions mitigation
- Y02T90/10—Technologies relating to charging of electric vehicles
- Y02T90/16—Information or communication technologies improving the operation of electric vehicles
Landscapes
- Stored Programmes (AREA)
- Train Traffic Observation, Control, And Security (AREA)
Description
本発明は、鉄道用保安システム等に関する。 The present invention relates to railway security systems, etc.
鉄道用保安システムの構成要素である保安装置に記憶されているソフトウェア(プログラムやデータ等)は、更新の必要がある場合があり、その更新には、誤りが許されない。このため、従来の主な更新方法としては、更新用ソフトウェアを記憶したPC(パーソナルコンピュータ)を更新対象の保安装置にケーブルで直接接続する方法や、更新用ソフトウェアを記憶したROM(Read Only Memory)やCF(Compact Flash)カード等の記憶媒体を更新対象の保安装置に装着して更新を行う方法が採用されていた。何れの方法であっても、更新対象の保安装置が在る現場に出向く必要があり、多数の保安装置のソフトウェアの更新作業は手間の要する作業であった。 Software (programs, data, etc.) stored in security devices, which are components of railway security systems, may need to be updated, and errors cannot be tolerated during such updates. For this reason, the main conventional update methods have been to directly connect a PC (personal computer) containing the update software to the security device to be updated via a cable, or to install a storage medium such as a ROM (Read Only Memory) or CF (Compact Flash) card containing the update software in the security device to be updated. Either method requires a visit to the site where the security device to be updated is located, making the task of updating the software for a large number of security devices a time-consuming task.
そこで、近年では、現場に出向くことなく、ネットワークを介した遠隔でのソフトウェアの更新方法が検討されている。例えば、特許文献1には、更新用ソフトウェアを記憶したローディング指示装置と、更新対象の複数のローディング対象装置(保安装置に該当)とを同一通信路上に接続して構成し、ローディング指示装置からローディング対象装置へ更新用ソフトウェアを送信するリモートローディングの技術が開示されている。 In recent years, methods of updating software remotely via a network without having to go to the site have been considered. For example, Patent Document 1 discloses a remote loading technology in which a loading instruction device that stores update software and multiple loading target devices (corresponding to security devices) to be updated are connected on the same communication path, and the update software is transmitted from the loading instruction device to the loading target devices.
専用ネットワークを利用する遠隔でのソフトウェアの更新方法は安全性が高いが、専用ネットワークの構築が必要であり、設備費・維持管理費が高いという問題がある。このため、例えば、汎用無線を用いて特許文献2の技術を実現した場合には、ネットワークの設備費・維持管理費を低くすることが可能である。 Remote software update methods that use a dedicated network are highly secure, but they require the construction of a dedicated network, which has the problem of high equipment and maintenance costs. For this reason, for example, if the technology of Patent Document 2 is realized using general-purpose wireless, it is possible to reduce the equipment and maintenance costs of the network.
しかしながら、汎用無線を介した通信は、有線通信と比較して通信の信頼性や安全性が低いという問題があり、通信の信頼性・安全性の確保が必要である。つまり、通信路でのノイズの重畳によるデータの誤りに対処する必要がある。 However, communication via general-purpose wireless has the problem of being less reliable and secure than wired communication, so it is necessary to ensure the reliability and security of communication. In other words, it is necessary to deal with data errors caused by noise superimposition on the communication path.
本発明は上記事情に鑑みてなされたものであり、その目的とするところは、無線を介して保安装置が更新用ソフトウェアを受信して更新する際の高い信頼性及び安全性を図ること、である。 The present invention was made in consideration of the above circumstances, and its purpose is to provide high reliability and safety when a security device receives and updates update software wirelessly.
上記課題を解決するための第1の発明は、
記憶されているソフトウェアに基づいて所定の制御動作を行う保安装置と、
無線を介して前記保安装置と通信を行うことで列車運行に係る所定の保安制御を行う中央制御装置と、
無線を介して前記保安装置と通信可能であり、且つ、前記中央制御装置と通信接続された管理装置と、
を具備する鉄道用保安システムであって、
前記管理装置は、
更新用ソフトウェアを前記保安装置へ送信する更新用ソフトウェア送信手段(例えば、図7のDB送信部802)と、
所与のデータに対するチェックコードを算出する所定の算出方法に従って算出した前記更新用ソフトウェアに対する送信側チェックコードを、前記中央制御装置へ送信する送信側コード送信手段(例えば、図7の送信側コード送信部804)と、
を備え、
前記保安装置は、
前記更新用ソフトウェアを前記管理装置から受信する更新用ソフトウェア受信手段(例えば、図6のDB受信部502)と、
前記受信した前記更新用ソフトウェアに対する受信側チェックコードを前記算出方法に従って算出し、前記中央制御装置へ送信する受信側コード送信手段(例えば、図6の受信側コード送信部504)と、
前記中央制御装置から更新指示を受信した場合に、前記受信した前記更新用ソフトウェアを用いて、前記ソフトウェアを更新する更新手段(例えば、図6の更新部506)と、
を備え、
前記中央制御装置は、
前記管理装置から受信した前記送信側チェックコードと前記保安装置から受信した前記受信側チェックコードとが一致する場合に、前記保安装置に前記更新指示を送信する更新指示手段(例えば、図4の更新指示部202)、
を備える、
鉄道用保安システムである。
The first invention for solving the above problem is:
A security device that performs a predetermined control operation based on the stored software;
a central control device that performs predetermined safety control related to train operation by communicating with the safety devices via wireless;
a management device capable of wirelessly communicating with the security device and communicatively connected to the central control device;
A railway security system comprising:
The management device includes:
A software update transmission unit (e.g., the DB transmission unit 802 in FIG. 7) for transmitting software updates to the security device;
a sending code sending means (e.g., a sending code sending unit 804 in FIG. 7) for sending a sending check code for the update software calculated according to a predetermined calculation method for calculating a check code for given data to the central control device;
Equipped with
The security device includes:
an update software receiving unit (e.g., the DB receiving unit 502 in FIG. 6) for receiving the update software from the management device;
a receiving side code transmitting means (for example, the receiving side code transmitting unit 504 in FIG. 6) for calculating a receiving side check code for the received update software according to the calculation method and transmitting the calculated code to the central control device;
an update unit (e.g., update unit 506 in FIG. 6 ) that updates the software using the received update software when an update instruction is received from the central control device;
Equipped with
The central control device
an update instruction unit (e.g., the update instruction unit 202 in FIG. 4 ) that transmits the update instruction to the security device when the sending side check code received from the management device matches the receiving side check code received from the security device;
Equipped with
It is a railway security system.
他の発明として、
記憶されているソフトウェアに基づいて所定の制御動作を行う保安装置と、保安管理システムと、を具備する鉄道用保安システムにおける前記保安管理システムであって、
無線を介して前記保安装置と通信を行うことで列車運行に係る所定の保安制御を行う中央制御装置と、
無線を介して前記保安装置と通信可能であり、且つ、前記中央制御装置と通信接続された管理装置と、
を備え、
前記保安装置は、所与の更新用ソフトウェアを受信した場合に、当該更新用ソフトウェアに対する受信側チェックコードを、所与のデータに対するチェックコードを算出する所定の算出方法に従って算出して前記中央制御装置に送信し、前記中央制御装置から更新指示を受信した場合に、受信済みの前記更新用ソフトウェアを用いて前記ソフトウェアを更新する機能を有しており、
前記管理装置は、
前記更新用ソフトウェアを前記保安装置へ送信する更新用ソフトウェア送信手段と、
前記算出方法に従って算出した前記更新用ソフトウェアに対する送信側チェックコードを前記中央制御装置へ送信する送信側コード送信手段と、
を有し、
前記中央制御装置は、
前記管理装置から受信した前記送信側チェックコードと前記保安装置から受信した前記受信側チェックコードとが一致する場合に、前記保安装置に前記更新指示を送信する更新指示手段、
を有する、
保安管理システムを構成してもよい。
Other inventions include:
A railway safety system including a safety device that performs a predetermined control operation based on stored software, and a safety management system, comprising:
a central control device that performs predetermined safety control related to train operation by communicating with the safety devices via wireless;
a management device capable of wirelessly communicating with the security device and communicatively connected to the central control device;
Equipped with
the security device has a function of, when receiving a given update software, calculating a receiver check code for the update software according to a predetermined calculation method for calculating a check code for given data, and transmitting the calculated check code to the central control device, and, when receiving an update instruction from the central control device, updating the software using the received update software;
The management device includes:
an update software transmission means for transmitting the update software to the security device;
a sender code sending means for sending a sender check code for the update software calculated according to the calculation method to the central control device;
having
The central control device
an update instruction means for transmitting the update instruction to the security device when the sending side check code received from the management device matches the receiving side check code received from the security device;
having
A security management system may be configured.
更なる他の発明として、
記憶されているソフトウェアに基づいて所定の制御動作を行う保安装置と、無線を介して前記保安装置と通信を行うことで列車運行に係る所定の保安制御を行う中央制御装置と、無線を介して前記保安装置と通信可能であり、且つ、前記中央制御装置と通信接続された管理装置と、を具備する鉄道用保安システムにおける前記ソフトウェアの更新制御方法であって、
前記管理装置が、更新用ソフトウェアを前記保安装置へ送信する更新用ソフトウェア送信ステップ(例えば、図3のステップS9)と、
前記管理装置が、所与のデータに対するチェックコードを算出する所定の算出方法に従って算出した前記更新用ソフトウェアに対する送信側チェックコードを、前記中央制御装置へ送信する送信側コード送信ステップ(例えば、図3のステップS5)と、
前記保安装置が、前記更新用ソフトウェアを前記管理装置から受信する更新用ソフトウェア受信ステップ(例えば、図3のステップS11~S17)と、
前記保安装置が、前記受信した前記更新用ソフトウェアに対する受信側チェックコードを前記算出方法に従って算出し、前記中央制御装置へ送信する受信側コード送信ステップ(例えば、図3のステップS19~S21)と、
前記保安装置が、前記中央制御装置から更新指示を受信した場合に、前記受信した前記更新用ソフトウェアを用いて、前記ソフトウェアを更新する更新ステップ(例えば、図3のステップS31)と、
前記中央制御装置が、前記管理装置から受信した前記送信側チェックコードと前記保安装置から受信した前記受信側チェックコードとが一致する場合に、前記保安装置に前記更新指示を送信する更新指示ステップ(例えば、図3のステップS23~S29)と、
を含む更新制御方法を構成してもよい。
As yet another invention,
A method for controlling software update in a railway safety system comprising: a safety device that performs a predetermined control operation based on stored software; a central control device that performs predetermined safety control related to train operation by communicating with the safety device via wireless; and a management device that can communicate with the safety device via wireless and is communicatively connected to the central control device, comprising:
an update software transmission step (e.g., step S9 in FIG. 3 ) in which the management device transmits update software to the security device;
a transmitting side code transmitting step (e.g., step S5 in FIG. 3) in which the management device transmits to the central control device a transmitting side check code for the update software calculated according to a predetermined calculation method for calculating a check code for given data;
an update software receiving step (e.g., steps S11 to S17 in FIG. 3) in which the security device receives the update software from the management device;
A receiving side code transmission step (e.g., steps S19 to S21 in FIG. 3) in which the security device calculates a receiving side check code for the received update software according to the calculation method and transmits the calculated code to the central control device;
an updating step (e.g., step S31 in FIG. 3 ) of updating the software by using the received update software when the security device receives an update instruction from the central control device;
an update instruction step (e.g., steps S23 to S29 in FIG. 3) in which the central control device transmits the update instruction to the security device when the sending side check code received from the management device matches the receiving side check code received from the security device;
An update control method including the above may be configured.
第1の発明等によれば、無線を介して保安装置が更新用ソフトウェアを受信して更新する際の高い信頼性及び安全性を図ることができる。つまり、管理装置が、更新用ソフトウェアを保安装置へ送信するとともに、更新用ソフトウェアに対する送信側チェックコードを中央制御装置へ送信する。保安装置は、受信した更新用ソフトウェアに対する受信側チェックコードを、管理装置における送信側チェックコードと同じ算出方法で算出し、算出した受信側チェックコードを中央制御装置へ送信する。そして、中央制御装置が、送信側チェックコードと受信側チェックコードとを照合し、一致する場合に、保安装置へソフトウェアの更新指示を送信する。 According to the first invention, high reliability and safety can be achieved when the security device receives update software wirelessly and updates it. That is, the management device transmits the update software to the security device and transmits a sender check code for the update software to the central control device. The security device calculates a receiver check code for the received update software using the same calculation method as the sender check code in the management device, and transmits the calculated receiver check code to the central control device. The central control device then compares the sender check code with the receiver check code, and if they match, transmits a software update instruction to the security device.
保安装置において誤りなく更新用ソフトウェアが受信されているならば、送信側チェックコードと受信側チェックコードとは一致する。また、中央制御装置は管理装置と通信接続されていることから、中央制御装置が管理装置から受信した送信側チェックコードの信頼性及び安全性は高いといえる。また、保安制御を行う中央制御装置はフェールセーフ装置であり、フェールセーフ装置である中央制御装置が行うチェックコードの照合は、信頼性及び安全性が高いといえる。そして、照合によりチェックコードが一致しない場合には更新指示が送信されないので、保安装置においてソフトウェアの更新は行われない。これにより、無線を介して保安装置が更新用ソフトウェアを受信して更新する際の高い信頼性及び安全性を確保することができる。 If the security device receives the update software without error, the sending check code and receiving check code will match. Furthermore, since the central control device is connected to the management device for communication, the sending check code received by the central control device from the management device can be said to be highly reliable and safe. Furthermore, the central control device that performs security control is a fail-safe device, and the check code comparison performed by the central control device, which is a fail-safe device, can be said to be highly reliable and safe. Furthermore, if the check codes do not match as a result of the comparison, an update instruction is not sent, and therefore the software is not updated in the security device. This ensures high reliability and safety when the security device receives and updates update software via wireless.
また、処理負荷の重い更新用ソフトウェアの送信は管理装置が行う。中央制御装置は、更新用ソフトウェアの送信に係る処理と比較して処理負荷の軽いチェックコードの照合を行う。これにより、保安制御を行う中央制御装置の処理負荷を軽くすることができる。 In addition, the management device transmits the update software, which has a heavy processing load. The central control device compares the check code, which has a lighter processing load than the processing involved in transmitting the update software. This reduces the processing load on the central control device, which performs security control.
第2の発明は、第1の発明において、
前記保安装置には、当該保安装置に記憶されている前記ソフトウェアを更新する対象である対象保安装置と、対象ではない非対象保安装置とがあり、
前記中央制御装置は、
前記対象保安装置の指定を含む更新開始指示を、前記管理装置及び前記対象保安装置それぞれに通知する通知手段(例えば、図4の通知部204)、
を更に備え、
前記更新用ソフトウェア送信手段は、前記更新開始指示に基づいて前記対象保安装置に前記更新用ソフトウェアを送信し、
前記更新用ソフトウェア受信手段は、前記更新開始指示に基づいて前記管理装置から前記更新用ソフトウェアを受信し、
前記更新指示手段は、前記管理装置から受信した前記送信側チェックコードと前記対象保安装置から受信した前記受信側チェックコードとが一致する場合に、前記対象保安装置に前記更新指示を送信する、
鉄道用保安システムである。
The second invention is the first invention,
The security devices include target security devices that are targets for updating the software stored in the security devices, and non-target security devices that are not targets for updating the software stored in the security devices,
The central control device
A notification means (e.g., the notification unit 204 in FIG. 4 ) that notifies each of the management device and the target security device of an update start instruction including designation of the target security device;
Further comprising:
The update software transmission means transmits the update software to the target security device based on the update start instruction,
the update software receiving means receives the update software from the management device based on the update start instruction;
the update instruction means transmits the update instruction to the target security device when the sending check code received from the management device matches the receiving check code received from the target security device.
It is a railway security system.
第2の発明によれば、更新用ソフトウェアの送信に先立ち、中央制御装置が対象保安装置の指定を含む更新開始指示を管理装置及び対象保安装置それぞれに通知する。これにより、対象保安装置のみソフトウェアを更新することができる。さらに、更新用ソフトウェアが誤って非対象保安装置へ送信された場合であっても、その非対象保安装置においてソフトウェアが更新されることを回避できる。 According to the second invention, prior to sending the update software, the central control device notifies each of the management device and the target safety device of an update start instruction, which includes the designation of the target safety device. This makes it possible to update the software only in the target safety device. Furthermore, even if the update software is sent to a non-target safety device by mistake, it is possible to prevent the software from being updated in the non-target safety device.
第3の発明は、第1又は第2の発明において、
前記保安装置は、列車に搭載された車上装置、又は、踏切制御装置である、
鉄道用保安システムである。
A third invention is the first or second invention,
The safety device is an on-board device mounted on a train or a railroad crossing control device.
It is a railway security system.
第3の発明によれば、列車に搭載された車上装置又は踏切制御装置に対して、無線を介して更新用ソフトウェアを送信して更新する際の高い信頼性及び安全性を確保することができる。 According to the third invention, it is possible to ensure high reliability and safety when updating by wirelessly transmitting update software to on-board equipment or crossing control devices installed on trains.
第4の発明は、第2の発明において、
前記中央制御装置は、前記対象保安装置における前記ソフトウェアの更新中に、前記ソフトウェアの更新対象ではない前記非対象保安装置との通信に基づいて前記所定の保安制御を実行する、
鉄道用保安システムである。
A fourth aspect of the present invention relates to the second aspect of the present invention,
the central control device executes the predetermined security control based on communication with the non-target security devices that are not targets of the software update during the software update in the target security devices.
It is a railway security system.
第4の発明によれば、ソフトウェアの更新対象でない非対象保安装置との通信に基づく保安制御の実行と、対象保安装置に対する更新用ソフトウェアの送信及びソフトウェアの更新とを並行して行うことができる。 According to the fourth invention, it is possible to execute safety control based on communication with non-target safety devices that are not subject to software updates, and to transmit update software to target safety devices and update the software in parallel.
第5の発明は、第1~第4の何れかの発明において、
前記更新用ソフトウェア送信手段は、前記更新用ソフトウェアを所定のデータサイズに分割した複数の分割データそれぞれに、分割の通番を含む付加情報を付加して送信し、
前記更新用ソフトウェア受信手段は、前記分割データ毎に、当該分割データの前記付加情報に基づいて受信成否を判定し、
前記受信側コード送信手段は、前記更新用ソフトウェア受信手段により全ての前記分割データの受信が成功したと判定された場合に、前記受信側チェックコードの算出及び送信を行う、
鉄道用保安システムである。
A fifth aspect of the present invention is the method according to any one of the first to fourth aspects of the present invention,
the update software transmission means transmits the update software by adding additional information including a division serial number to each of a plurality of divided data pieces obtained by dividing the update software into a predetermined data size;
the update software receiving means determines whether or not reception has been successful for each of the divided data based on the additional information of the divided data;
the receiving code transmitting means calculates and transmits the receiving check code when the update software receiving means determines that all of the divided data have been successfully received.
It is a railway security system.
無線通信では、データは、例えばパケットと呼ばれる所定のデータサイズに分割されて伝送されるため、受信側において、分割されたデータを結合して再構築する必要がある。このため、第5の発明のように、管理装置が、更新用ソフトウェアを分割した分割データに分割の通番を含む付加情報を付加して送信する。そして、保安装置は、受信した分割データに付加されている付加情報に基づくことで、分割データの欠落や受信順序の逆転等を判定して、元の更新用ソフトウェアを確実に再構築することができる。これにより、無線を介して保安装置が更新用ソフトウェアを受信して更新する際の高い信頼性及び安全性を確保することができる。 In wireless communication, data is divided into a certain data size called a packet for example before being transmitted, and the divided data must be joined and reconstructed on the receiving side. For this reason, as in the fifth invention, the management device adds additional information including the serial number of the division to the divided data into which the update software is divided, and transmits the divided data. Then, based on the additional information added to the received divided data, the security device can determine whether the divided data is missing or the order of reception is reversed, and reliably reconstruct the original update software. This ensures high reliability and safety when the security device receives and updates update software wirelessly.
以下、図面を参照して本発明の好適な実施形態について説明する。なお、本発明を適用可能な形態が以下の実施形態に限定されるものではない。また、図面の記載において、同一要素には同一符号を付す。 Below, a preferred embodiment of the present invention will be described with reference to the drawings. Note that the forms to which the present invention can be applied are not limited to the following embodiments. In addition, in the description of the drawings, the same elements are given the same reference numerals.
[システム構成]
図1は、本実施形態の鉄道用保安システム1の構成例を示す図である。図1に示すように、本実施形態の鉄道用保安システム1は、中央制御装置3と、複数の保安装置5と、管理装置7とを備える。中央制御装置3及び管理装置7は、指令所や機器室等に設置され、光ケーブル等の専用回線で通信接続され、保安管理システム10を構成する。また、中央制御装置3及び管理装置7は、基地局装置9とも専用回線で接続されており、基地局装置9に接続された携帯無線通信網Nを介して保安装置5との通信が可能である。すなわち、中央制御装置3及び管理装置7と、保安装置5との間は、無線を介して通信可能となっている。携帯無線通信網Nは、通信事業者が運営する汎用無線通信網である。
[System configuration]
FIG. 1 is a diagram showing an example of the configuration of a railway security system 1 according to the present embodiment. As shown in FIG. 1, the railway security system 1 according to the present embodiment includes a central control device 3, a plurality of security devices 5, and a management device 7. The central control device 3 and the management device 7 are installed in a command center, an equipment room, etc., and are connected to each other by a dedicated line such as an optical cable to constitute a security management system 10. The central control device 3 and the management device 7 are also connected to a base station device 9 by a dedicated line, and can communicate with the security devices 5 via a mobile wireless communication network N connected to the base station device 9. That is, the central control device 3 and the management device 7 can communicate with the security devices 5 via wireless communication. The mobile wireless communication network N is a general-purpose wireless communication network operated by a telecommunications carrier.
中央制御装置3は、フェールセーフ性を有する装置であり、携帯無線通信網Nによる無線を介して保安装置5と通信を行うことで、列車運行に係る所定の保安制御を行う。保安制御としては、例えば、保安装置5である車上装置5a及び踏切制御装置5bと無線を介した通信を行うことで、車上装置5aから列車位置を取得し、取得した各列車位置に基づき、各列車の速度制御を行うための列車制御情報を車上装置5aへ送信するといった列車制御や、踏切設備(踏切警報機やしゃ断機など)を制御するための踏切制御情報を踏切制御装置5bへ送信する踏切制御などがある。 The central control device 3 is a fail-safe device that performs predetermined safety control related to train operation by communicating with the safety device 5 wirelessly via the mobile wireless communication network N. Examples of safety control include train control, in which the central control device 3 wirelessly communicates with the on-board device 5a and the crossing control device 5b, which are the safety devices 5, to obtain train positions from the on-board device 5a and transmit train control information to the on-board device 5a for controlling the speed of each train based on the obtained train positions, and crossing control, in which crossing control information for controlling crossing equipment (crossing warning devices, barriers, etc.) is transmitted to the crossing control device 5b.
保安装置5は、保安制御に用いられるフェールセーフ性を有する現場の装置であり、例えば、列車に搭載された車上装置5aや、踏切近傍に設置されて踏切設備を制御する踏切制御装置5bなどである。鉄道用保安システム1内には、それぞれ1台以上の車上装置5a及び踏切制御装置5bが配置される。また、保安装置5は、保安制御に係るデータベース602を記憶している。データベース602は、ソフトウェア(プログラムやデータ)の一例であり、記憶される保安装置5の種類や用途に応じた内容となっている。 The safety device 5 is an on-site device with fail-safe properties used for safety control, such as an on-board device 5a mounted on a train, or a crossing control device 5b installed near a crossing to control the crossing equipment. One or more on-board devices 5a and crossing control devices 5b are arranged within the railway safety system 1. The safety device 5 also stores a database 602 related to safety control. The database 602 is an example of software (programs and data), and contains content according to the type and use of the safety device 5 that is stored therein.
管理装置7は、保安装置5に記憶されているデータベース602を更新するための装置である。管理装置7は、複数の保安装置5それぞれについての更新用データベース912を記憶しており、中央制御装置3の制御に従い、指定された保安装置5に対して当該保安装置5に対応する更新用データベース912を送信する。 The management device 7 is a device for updating the database 602 stored in the security device 5. The management device 7 stores an update database 912 for each of the multiple security devices 5, and transmits the update database 912 corresponding to a specified security device 5 to that security device 5 under the control of the central control device 3.
本実施形態では、中央制御装置3は、データベース602の更新対象となっていない複数の保安装置5(以下、「非対象保安装置」という)それぞれと無線を介した通信を行うことで保安制御を行いつつ、並行して、データベース602の更新対象となっている保安装置5(以下、「対象保安装置」という)に対して、更新用データベース912の送信及びデータベース602の更新を行う制御をする。言い換えれば、データベース602の更新対象である保安装置5(対象保安装置)におけるデータベース602の更新中に、データベース602の更新対象でない他の保安装置5(非対象保安装置)との通信に基づいて保安制御を行うことができる。例えば、対象保安装置が車上装置5aならば、当該車上装置5aが搭載された車両の仕業が終了して車庫等に置かれているときに、更新用データベース912の送信及びデータベース602の更新が行われる。このとき、当該車両以外の車両や踏切制御装置に対する保安制御を継続することができるため、通常通りの列車運行に係る保安制御を行うことができる。また、対象保安装置が踏切制御装置5bならば、運行終了後の夜間に、更新用データベース912の送信及びデータベース602の更新が行われる。 In this embodiment, the central control device 3 performs safety control by wirelessly communicating with each of the multiple safety devices 5 that are not the target of updating the database 602 (hereinafter referred to as "non-target safety devices"), while simultaneously controlling the transmission of the update database 912 and the update of the database 602 to the safety devices 5 that are the target of updating the database 602 (hereinafter referred to as "target safety devices"). In other words, while updating the database 602 in the safety device 5 that is the target of updating the database 602 (target safety device), safety control can be performed based on communication with other safety devices 5 that are not the target of updating the database 602 (non-target safety devices). For example, if the target safety device is an on-board device 5a, the transmission of the update database 912 and the update of the database 602 are performed when the vehicle on which the on-board device 5a is installed has finished its work and is placed in a garage or the like. At this time, safety control can be continued for vehicles other than the vehicle and crossing control devices, so that safety control for normal train operation can be performed. Furthermore, if the target safety device is a railroad crossing control device 5b, the update database 912 is transmitted and the database 602 is updated at night after the operation has ended.
[送信手順]
図2,図3は、保安装置5への更新用データベース912の送信手順を説明する図である。図2は、装置間で送受信される指示やデータに着目した図であり、図3は、各装置の処理の流れに着目した図である。
[Transmission procedure]
2 and 3 are diagrams for explaining the procedure for transmitting the update database 912 to the security device 5. Fig. 2 is a diagram focusing on instructions and data transmitted and received between the devices, and Fig. 3 is a diagram focusing on the processing flow of each device.
先ず、管理装置7が、複数の保安装置5のうちからデータベース602の更新対象となる保安装置5(対象保安装置5X)を指定した更新操作を受け付ける(ステップS1)。すると、管理装置7は、中央制御装置3へ、対象保安装置5Xを指定したデータベース602の更新受付を通知する(ステップS3)。また、管理装置7は、対象保安装置5Xに対応する更新用データベース912に対するチェックコード(以下、「送信側チェックコード」という)を送信する(ステップS5)。この更新用データベース912に対する送信側チェックコードは、予め、所定の算出方法により算出されて当該更新用データベース912と対応付けて管理装置7に記憶されている。 First, the management device 7 accepts an update operation that specifies a security device 5 (target security device 5X) to be updated in the database 602 from among a plurality of security devices 5 (step S1). The management device 7 then notifies the central control device 3 of the acceptance of the update of the database 602 that specifies the target security device 5X (step S3). The management device 7 also transmits a check code (hereinafter referred to as the "sender check code") for the update database 912 that corresponds to the target security device 5X (step S5). This sender check code for the update database 912 is calculated in advance using a predetermined calculation method and stored in the management device 7 in association with the update database 912.
すると、中央制御装置3は、管理装置7及び対象保安装置5Xのそれぞれに、対象保安装置5Xの指定を含む更新開始指示を通知する(ステップS7)。この更新開始指示の通知により、対象保安装置5Xは、自装置がデータベース602の更新対象であることを把握し、管理装置7から送信されてくる更新用データベース912を受信する。すなわち、保安装置5は、自装置を対象保安装置5Xとして指定した更新開始指示の通知がなされた場合にのみ、更新用データベース912の受信を行う。非対象保安装置5Yは、自装置を指定する更新開始指示が通知されないため、更新用データベース912の受信を行わない。このため、非対象保安装置5Yによるデータベース602の更新が回避される。 The central control device 3 then notifies each of the management device 7 and the target security device 5X of an update start instruction that includes designation of the target security device 5X (step S7). Upon receiving this update start instruction, the target security device 5X knows that its own device is the update target of the database 602, and receives the update database 912 sent from the management device 7. That is, the security device 5 receives the update database 912 only when it is notified of an update start instruction that designates its own device as the target security device 5X. The non-target security device 5Y does not receive the update database 912 because it is not notified of an update start instruction that designates its own device. This prevents the non-target security device 5Y from updating the database 602.
そして、管理装置7は、対象保安装置5Xへ、更新用データベース912を送信する(ステップS9)。更新用データベース912の送信は、携帯無線通信網Nを介した無線によって行われるから、携帯無線通信網Nを介した通信を制御する通信機器により分割されてパケットで送信される。この通信機器による更新用データベース912の分割を回避するため、管理装置7は、予め、更新用データベース912を、付加情報を付加しても1つのパケットに収まるデータサイズに分割しておき、分割したデータ(以下、「分割データ」という)に付加情報を付加した伝送データを順次送信する。付加情報は、分割の通番及び総数を含む情報である。伝送データは、暗号化やCRC(巡回冗長検査)等の誤り検出符号が付加されて1つのパケットとして対象保安装置5Xへ送信される。 Then, the management device 7 transmits the update database 912 to the target security device 5X (step S9). The update database 912 is transmitted wirelessly via the mobile wireless communication network N, so it is divided and transmitted in packets by a communication device that controls communication via the mobile wireless communication network N. To avoid division of the update database 912 by this communication device, the management device 7 divides the update database 912 in advance into data sizes that fit into one packet even with additional information added, and sequentially transmits transmission data with additional information added to the divided data (hereinafter referred to as "divided data"). The additional information is information that includes the serial number and total number of divisions. The transmission data is encrypted and has error detection codes such as CRC (cyclic redundancy check) added, and is transmitted to the target security device 5X as one packet.
対象保安装置5Xは、管理装置7から順次送信されてくるパケットを順次受信する。受信されたパケットは、先ず、携帯無線通信網Nを介した通信を制御する通信機器により復号やCRC等の誤り検出符号による誤り検出がなされることで、パケットが正常に受信されたか否かが判定される。パケットが正常に受信されたならば、対象保安装置5Xは、更に、受信した分割データに付加されている付加情報に基づき、分割データの受信成否を判定する(ステップS11)。具体的には、直前の分割データの受信から一定時間以内の受信であり、且つ、直前に受信した分割データに続く通番ならば、受信成功と判定し、それ以外ならば、受信失敗と判定する。そして、対象保安装置5Xは、管理装置7へ、分割データの受信成否や受信失敗の場合の該当する分割データの再送信要求等を含む受信応答を送信する(ステップS13)。 The target security device 5X sequentially receives packets transmitted from the management device 7. The received packets are first decoded by a communication device that controls communication via the mobile wireless communication network N and error detection is performed using an error detection code such as CRC to determine whether the packets have been received correctly. If the packets have been received correctly, the target security device 5X further determines whether the divided data has been received successfully based on the additional information added to the received divided data (step S11). Specifically, if the received divided data has been received within a certain time from the previous divided data and has the same serial number as the previous divided data, it is determined that the reception was successful, and otherwise it is determined that the reception was unsuccessful. The target security device 5X then transmits a reception response to the management device 7 that includes information on whether the divided data has been received successfully or not, and a request to resend the corresponding divided data in the case of a reception failure (step S13).
対象保安装置5Xは、全ての分割データの受信に成功すると(ステップS15:YES)、通番に従った順序で分割データを結合して更新用データベース604を再構築する(ステップS17)。続いて、対象保安装置5Xは、受信した更新用データベース604のチェックコード(以下、「受信側チェックコード」という)を算出し(ステップS19)、中央制御装置3へ、算出した受信側チェックコードを送信する(ステップS21)。ここで、対象保安装置5Xが算出する受信側チェックコードは、管理装置7に記憶されている更新用データベース912に対する送信側チェックコードと同じ算出方法で算出する。チェックコードの算出方法としては任意であるが、例えば、チェックサムやCRC等の任意の誤り検出符号を用いることができる。 When the target safety device 5X has successfully received all the split data (step S15: YES), it reconstructs the update database 604 by combining the split data in the order according to the serial numbers (step S17). Next, the target safety device 5X calculates a check code for the received update database 604 (hereinafter referred to as the "receiving side check code") (step S19) and transmits the calculated receiving side check code to the central control device 3 (step S21). Here, the receiving side check code calculated by the target safety device 5X is calculated using the same calculation method as the transmitting side check code for the update database 912 stored in the management device 7. The calculation method for the check code is arbitrary, and any error detection code such as a checksum or CRC can be used, for example.
中央制御装置3は、管理装置7から受信した送信側チェックコードと、対象保安装置5Xから受信した受信側チェックコードとを照合し(ステップS23)、一致したならば(ステップS25:YES)、対象保安装置5Xへ、データベース602の更新指示を送信する(ステップS29)。なお、チェックコードが一致しないならば(ステップS25:NO)、管理装置7へ、更新用データベース912の送信が失敗した旨(送信エラー)を通知する(ステップS27)。 The central control device 3 compares the sending check code received from the management device 7 with the receiving check code received from the target security device 5X (step S23), and if they match (step S25: YES), it transmits an instruction to update the database 602 to the target security device 5X (step S29). If the check codes do not match (step S25: NO), it notifies the management device 7 that the transmission of the update database 912 has failed (transmission error) (step S27).
対象保安装置5Xは、中央制御装置3から更新指示を受信すると、受信した更新用データベース604を用いて、記憶しているデータベース602を更新する(ステップS31)。そして、データベース602の更新が完了すると、中央制御装置3へ、更新完了を通知する(ステップS33)。その後、中央制御装置3は、管理装置7へ、対象保安装置5Xのデータベース602の更新完了を通知する(ステップS35)。保安装置5におけるデータベース602の更新は、以上のように行われる。 When the target safety device 5X receives an update instruction from the central control device 3, it updates the stored database 602 using the received update database 604 (step S31). Then, when the update of the database 602 is complete, it notifies the central control device 3 that the update is complete (step S33). Thereafter, the central control device 3 notifies the management device 7 that the update of the database 602 of the target safety device 5X is complete (step S35). The update of the database 602 in the safety device 5 is performed as described above.
[機能構成]
(A)中央制御装置
図4は、中央制御装置3の機能構成を示す図であり、本実施形態に係る機能部を示している。図4によれば、中央制御装置3は、操作部102と、表示部104と、通信部106と、処理部200と、記憶部300とを備え、フェールセーフ性を有するコンピュータシステムによって構成される。
[Functional configuration]
(A) Central control device Fig. 4 is a diagram showing the functional configuration of the central control device 3, and shows the functional units according to this embodiment. According to Fig. 4, the central control device 3 includes an operation unit 102, a display unit 104, a communication unit 106, a processing unit 200, and a storage unit 300, and is configured as a computer system having fail-safe properties.
操作部102は、例えばボタンスイッチやタッチパネル、キーボード等の入力装置で実現され、なされた操作に応じた操作信号を処理部200に出力する。表示部104は、例えばLCD(Liquid Crystal Display)やタッチパネル等の表示装置で実現され、処理部200からの表示信号に応じた各種表示を行う。通信部106は、有線又は無線の通信装置で実現され、専用回線を介して管理装置7や基地局装置9といった外部装置との通信を行う。 The operation unit 102 is realized by an input device such as a button switch, a touch panel, or a keyboard, and outputs an operation signal corresponding to the operation performed to the processing unit 200. The display unit 104 is realized by a display device such as an LCD (Liquid Crystal Display) or a touch panel, and performs various displays corresponding to display signals from the processing unit 200. The communication unit 106 is realized by a wired or wireless communication device, and communicates with external devices such as the management device 7 and base station device 9 via a dedicated line.
処理部200は、例えばCPU(Central Processing Unit)等の演算装置で実現され、記憶部300に記憶されたプログラムやデータ等に基づいて、中央制御装置3を構成する各部への指示やデータ転送を行い、中央制御装置3の全体制御を行う。また、処理部200は、本実施形態に係る機能部として、更新指示部202と、通知部204とを有する。但し、これらの機能部は、ASIC(Application Specific Integrated Circuit)やFPGA(Field Programmable Gate Array)等によってそれぞれ独立した演算回路として構成することも可能である。 The processing unit 200 is realized by a calculation device such as a CPU (Central Processing Unit), and issues instructions and transfers data to each part constituting the central control device 3 based on the programs and data stored in the memory unit 300, thereby controlling the entire central control device 3. The processing unit 200 also has an update instruction unit 202 and a notification unit 204 as functional units according to this embodiment. However, these functional units can also be configured as independent calculation circuits using an ASIC (Application Specific Integrated Circuit), FPGA (Field Programmable Gate Array), etc.
更新指示部202は、管理装置7から受信した送信側チェックコードと、対象保安装置5Xから受信した受信側チェックコードとが一致する場合に、対象保安装置5Xに更新指示を送信する(図3のステップS23~S29)。 If the sending side check code received from the management device 7 matches the receiving side check code received from the target security device 5X, the update instruction unit 202 sends an update instruction to the target security device 5X (steps S23 to S29 in Figure 3).
通知部204は、対象保安装置5Xの指定を含む更新開始指示を、管理装置7及び対象保安装置5Xそれぞれに通知する(図3のステップS7)。例えば、管理装置7において対象保安装置5Xを指定した更新操作を受け付けることとし、管理装置7からのこの更新操作を受け付けた旨の通知に従って、更新開始通知を通知することができる。 The notification unit 204 notifies each of the management device 7 and the target security device 5X of an update start instruction including the designation of the target security device 5X (step S7 in FIG. 3). For example, the management device 7 can receive an update operation that designates the target security device 5X, and can notify an update start notification in accordance with a notification from the management device 7 that this update operation has been received.
記憶部300は、ハードディスクやROM(Read Only Memory)、RAM(Random Access Memory)等の記憶装置で実現され、処理部200が中央制御装置3を統合的に制御するためのプログラムやデータ等を記憶している。また、記憶部300は処理部200の作業領域として用いられ、処理部200が各種プログラムに従って実行した演算結果や、操作部102や通信部106を介した入力データ等が一時的に格納される。本実施形態では、記憶部300には、DB更新管理情報310が記憶される。 The storage unit 300 is realized by a storage device such as a hard disk, ROM (Read Only Memory), or RAM (Random Access Memory), and stores programs and data for the processing unit 200 to comprehensively control the central control unit 3. The storage unit 300 is also used as a working area for the processing unit 200, and temporarily stores the results of calculations performed by the processing unit 200 according to various programs, and input data via the operation unit 102 and communication unit 106. In this embodiment, the storage unit 300 stores DB update management information 310.
図5は、DB更新管理情報310の一例を示す図である。DB更新管理情報310は、保安装置5におけるデータベース602の更新を管理するための情報であり、1回の更新毎に生成される。1つのDB更新管理情報310は、対象保安装置5Xの保安装置IDに対応付けて、更新日時と、管理装置7から受信した送信側チェックコードと、対象保安装置5Xから受信した受信側チェックコードと、更新指示部202によりなされた送信側チェックコードと受信側チェックコードとの照合結果とを格納している。 Figure 5 is a diagram showing an example of DB update management information 310. DB update management information 310 is information for managing updates to the database 602 in the security device 5, and is generated for each update. One piece of DB update management information 310 stores, in association with the security device ID of the target security device 5X, the update date and time, the sending side check code received from the management device 7, the receiving side check code received from the target security device 5X, and the result of matching the sending side check code and the receiving side check code performed by the update instruction unit 202.
(B)保安装置
図6は、保安装置5の機能構成を示す図であり、本実施形態に係る機能部を示している。図6によれば、保安装置5は、操作部402と、表示部404と、無線通信部406と、処理部500と、記憶部600とを備え、フェールセーフ性を有するコンピュータシステムによって構成される。
(B) Safety Device Fig. 6 is a diagram showing the functional configuration of the safety device 5, and shows the functional units according to this embodiment. According to Fig. 6, the safety device 5 includes an operation unit 402, a display unit 404, a wireless communication unit 406, a processing unit 500, and a storage unit 600, and is configured by a computer system having fail-safe properties.
操作部402は、例えばボタンスイッチやタッチパネル、キーボード等の入力装置で実現され、なされた操作に応じた操作信号を処理部500に出力する。表示部404は、例えばLCD(Liquid Crystal Display)やタッチパネル等の表示装置で実現され、処理部500からの表示信号に応じた各種表示を行う。無線通信部406は、無線通信装置で実現され、携帯無線通信網Nに接続して、中央制御装置3や管理装置7といった外部装置と無線を介した通信を行う。 The operation unit 402 is realized by an input device such as a button switch, a touch panel, or a keyboard, and outputs an operation signal corresponding to the operation performed to the processing unit 500. The display unit 404 is realized by a display device such as an LCD (Liquid Crystal Display) or a touch panel, and performs various displays corresponding to display signals from the processing unit 500. The wireless communication unit 406 is realized by a wireless communication device, connects to the mobile wireless communication network N, and communicates wirelessly with external devices such as the central control unit 3 and the management device 7.
処理部500は、例えばCPU(Central Processing Unit)等の演算装置で実現され、記憶部600に記憶されたプログラムやデータ等に基づいて、保安装置5を構成する各部への指示やデータ転送を行い、保安装置5の全体制御を行う。また、処理部500は、本実施形態に係る機能部として、DB受信部502と、受信側コード送信部504と、更新部506とを有する。但し、これらの機能部は、ASIC(Application Specific Integrated Circuit)やFPGA(Field Programmable Gate Array)等によってそれぞれ独立した演算回路として構成することも可能である。 The processing unit 500 is realized by a calculation device such as a CPU (Central Processing Unit), and issues instructions and transfers data to each component of the security device 5 based on the programs and data stored in the memory unit 600, thereby controlling the security device 5 as a whole. The processing unit 500 also has a DB receiving unit 502, a receiving code transmitting unit 504, and an update unit 506 as functional units according to this embodiment. However, these functional units can also be configured as independent calculation circuits using an ASIC (Application Specific Integrated Circuit), FPGA (Field Programmable Gate Array), etc.
DB受信部502は、中央制御装置3からの更新開始指示に基づいて管理装置7から更新用データベース912を受信する。更新用データベース912は、当該更新用データベース912を分割した分割データ単位で順次送信されてくるから、受信した分割データ毎に、当該分割データの付加情報に基づいて受信成否を判定し、判定結果を受信応答として管理装置7へ送信する。分割データの受信成否は、直前の分割データの受信から一定時間以内の受信であり、且つ、直前に受信した分割データに続く通番ならば、受信成功と判定し、それ以外ならば、受信失敗と判定する。そして、全ての分割データの受信に成功すると、分割データの付加情報に基づいて分割データを結合して、受信した更新用データベース604を再構築する(図3のステップS11~S17)。 The DB receiving unit 502 receives the update database 912 from the management device 7 based on an update start instruction from the central control device 3. The update database 912 is transmitted sequentially in units of split data obtained by dividing the update database 912, so for each received split data, the reception success or failure is determined based on the additional information of the split data, and the determination result is transmitted to the management device 7 as a reception response. The reception success or failure of split data is determined if the split data was received within a certain time from the reception of the previous split data and has the same serial number as the previous split data received, and if not, the reception failure is determined. Then, when all the split data have been successfully received, the split data are combined based on the additional information of the split data to reconstruct the received update database 604 (steps S11 to S17 in FIG. 3).
受信側コード送信部504は、DB受信部502により全ての分割データの受信が成功したと判定された場合に受信した更新用データベース604に対する受信側チェックコードを所定の算出方法に従って算出し、中央制御装置3へ送信する(図3のステップS19~S21)。受信側チェックコードの算出方法は、管理装置7に記憶されている更新用データベース912に対する送信側チェックコードと同じ算出方法である。 When the DB receiving unit 502 determines that all divided data has been successfully received, the receiving code transmitting unit 504 calculates the receiving check code for the received update database 604 according to a predetermined calculation method, and transmits it to the central control device 3 (steps S19 to S21 in FIG. 3). The calculation method for the receiving check code is the same as the calculation method for the sending check code for the update database 912 stored in the management device 7.
更新部506は、中央制御装置3から更新指示を受信した場合に、受信した更新用データベース604を用いて、記憶しているデータベース602を更新する(図3のステップS31)。 When the update unit 506 receives an update instruction from the central control unit 3, it updates the stored database 602 using the received update database 604 (step S31 in Figure 3).
記憶部600は、ハードディスクやROM(Read Only Memory)、RAM(Random Access Memory)等の記憶装置で実現され、処理部500が保安装置5を統合的に制御するためのプログラムやデータ等を記憶している。また、記憶部600は処理部500の作業領域として用いられ、処理部500が各種プログラムに従って実行した演算結果や、操作部402や無線通信部406を介した入力データ等が一時的に格納される。本実施形態では、記憶部600には、データベース602と、管理装置7から受信した更新用データベース604と、受信側コード送信部504により算出された更新用データベース604に対する受信側チェックコード606とが記憶される。 The storage unit 600 is realized by a storage device such as a hard disk, a ROM (Read Only Memory), or a RAM (Random Access Memory), and stores programs and data for the processing unit 500 to comprehensively control the security device 5. The storage unit 600 is also used as a working area for the processing unit 500, and temporarily stores the results of calculations performed by the processing unit 500 according to various programs, and input data via the operation unit 402 and the wireless communication unit 406. In this embodiment, the storage unit 600 stores a database 602, an update database 604 received from the management device 7, and a receiving check code 606 for the update database 604 calculated by the receiving code transmission unit 504.
(C)管理装置
図7は、管理装置7の機能構成を示す図であり、本実施形態に係る機能部を示している。図7によれば、管理装置7は、操作部702と、表示部704と、通信部706と、処理部800と、記憶部900とを備え、一種のコンピュータシステムとして構成することができる。
(C) Management Device Fig. 7 is a diagram showing the functional configuration of the management device 7, and shows the functional units according to this embodiment. According to Fig. 7, the management device 7 includes an operation unit 702, a display unit 704, a communication unit 706, a processing unit 800, and a storage unit 900, and can be configured as a type of computer system.
操作部702は、例えばボタンスイッチやタッチパネル、キーボード等の入力装置で実現され、なされた操作に応じた操作信号を処理部800に出力する。表示部704は、例えばLCD(Liquid Crystal Display)やタッチパネル等の表示装置で実現され、処理部800からの表示信号に応じた各種表示を行う。通信部706は、例えば有線又は無線の通信装置で実現され、専用回線を介して中央制御装置3や基地局装置9といった外部装置との通信を行う。 The operation unit 702 is realized by an input device such as a button switch, a touch panel, or a keyboard, and outputs an operation signal corresponding to the operation performed to the processing unit 800. The display unit 704 is realized by a display device such as an LCD (Liquid Crystal Display) or a touch panel, and performs various displays corresponding to display signals from the processing unit 800. The communication unit 706 is realized by a wired or wireless communication device, and communicates with external devices such as the central control unit 3 and base station device 9 via a dedicated line.
処理部800は、例えばCPU(Central Processing Unit)等の演算装置で実現され、記憶部900に記憶されたプログラムやデータ等に基づいて、管理装置7を構成する各部への指示やデータ転送を行い、管理装置7の全体制御を行う。また、処理部800は、本実施形態に係る機能部として、DB送信部802と、送信側コード送信部804とを有する。但し、これらの機能部は、ASIC(Application Specific Integrated Circuit)やFPGA(Field Programmable Gate Array)等によってそれぞれ独立した演算回路として構成することも可能である。 The processing unit 800 is realized by a calculation device such as a CPU (Central Processing Unit), and issues instructions and transfers data to each part constituting the management device 7 based on the programs and data stored in the memory unit 900, thereby controlling the management device 7 as a whole. The processing unit 800 also has a DB transmission unit 802 and a transmission side code transmission unit 804 as functional units according to this embodiment. However, these functional units can also be configured as independent calculation circuits using an ASIC (Application Specific Integrated Circuit) or an FPGA (Field Programmable Gate Array), etc.
DB送信部802は、中央制御装置3からの更新開始指示に基づいて対象保安装置5Xに更新用データベース912を送信する。更新用データベース912の送信は、当該更新用データベース912を所定のデータサイズに分割した複数の分割データそれぞれに、分割の通番を含む付加情報を付加して送信することで行う。具体的には、該当する更新用DB管理情報910において予め生成・用意されている送信用データ913を順次送信する(図3のステップS9)。 The DB transmission unit 802 transmits the update database 912 to the target safety device 5X based on an update start instruction from the central control device 3. The update database 912 is transmitted by dividing the update database 912 into a plurality of divided data of a predetermined data size, and transmitting the divided data with additional information including the division serial number. Specifically, the transmission data 913 that has been generated and prepared in advance in the corresponding update DB management information 910 is transmitted in sequence (step S9 in FIG. 3).
送信側コード送信部804は、所与のデータに対するチェックコードを算出する所定の算出方法に従って算出した更新用データベース912に対する送信側チェックコードを、中央制御装置3へ送信する。具体的には、該当する更新用DB管理情報910において予め算出・用意されている送信側チェックコード914を送信する(図3のステップS5)。 The sending code sending unit 804 sends to the central control device 3 a sending check code for the update database 912 calculated according to a predetermined calculation method for calculating a check code for given data. Specifically, it sends a sending check code 914 that has been calculated and prepared in advance in the corresponding update DB management information 910 (step S5 in FIG. 3).
記憶部900は、ハードディスクやROM(Read Only Memory)、RAM(Random Access Memory)等の記憶装置で実現され、処理部800が管理装置7を統合的に制御するためのプログラムやデータ等を記憶している。また、記憶部900は処理部800の作業領域として用いられ、処理部800が各種プログラムに従って実行した演算結果や、操作部702や通信部706を介した入力データ等が一時的に格納される。本実施形態では、記憶部900には、更新用DB管理情報910が記憶される。 The memory unit 900 is realized by a storage device such as a hard disk, ROM (Read Only Memory), or RAM (Random Access Memory), and stores programs and data for the processing unit 800 to comprehensively control the management device 7. The memory unit 900 is also used as a working area for the processing unit 800, and temporarily stores the results of calculations performed by the processing unit 800 according to various programs, and input data via the operation unit 702 and communication unit 706. In this embodiment, the memory unit 900 stores update DB management information 910.
図8は、更新用DB管理情報910の一例を示す図である。更新用DB管理情報910は、保安装置5に送信する更新用データベース912を管理するための情報であり、保安装置5毎に用意される。1つの更新用DB管理情報910は、該当する保安装置5の保安装置ID911に対応付けて、更新用データベース912と、送信用データ913と、送信側チェックコード914とを格納する。送信用データ913は、更新用データベース912を分割して送信するためのデータであり、当該更新用データベース912を所定のデータサイズに分割した複数の分割データ毎に用意される。1つの送信用データ913は、該当する分割データと、付加情報である当該分割データの分割番号及び分割総数とを含む。送信側チェックコード914は、更新用データベース912に対して所定の算出方法で算出したチェックコードである。 Figure 8 is a diagram showing an example of update DB management information 910. Update DB management information 910 is information for managing update database 912 to be transmitted to security device 5, and is prepared for each security device 5. One update DB management information 910 stores update database 912, transmission data 913, and transmission side check code 914 in association with security device ID 911 of the corresponding security device 5. Transmission data 913 is data for dividing and transmitting update database 912, and is prepared for each of a plurality of divided data obtained by dividing update database 912 into a predetermined data size. One transmission data 913 includes the corresponding divided data, and the division number and total number of divisions of the divided data, which are additional information. Transmission side check code 914 is a check code calculated for update database 912 using a predetermined calculation method.
[作用効果]
本実施形態によれば、無線を介して保安装置5が更新用データベース912を受信してデータベース602を更新する際の高い信頼性及び安全性を図ることができる。つまり、管理装置7が、データベース602の更新対象の保安装置5である対象保安装置5Xへ更新用データベース912を送信するとともに、更新用データベース912に対する送信側チェックコードを中央制御装置3へ送信する。対象保安装置5Xは、受信した更新用データベース912に対する受信側チェックコードを、管理装置7における送信側チェックコードと同じ算出方法で算出し、算出した受信側チェックコードを中央制御装置3へ送信する。そして、中央制御装置3が、送信側チェックコードと受信側チェックコードとを照合し、一致する場合に、対象保安装置5Xへデータベース602の更新指示を送信する。
[Action and Effect]
According to this embodiment, high reliability and safety can be achieved when the security device 5 wirelessly receives the update database 912 and updates the database 602. That is, the management device 7 transmits the update database 912 to the target security device 5X, which is the security device 5 that is the target for updating the database 602, and transmits a transmitting side check code for the update database 912 to the central control device 3. The target security device 5X calculates a receiving side check code for the received update database 912 using the same calculation method as the transmitting side check code in the management device 7, and transmits the calculated receiving side check code to the central control device 3. The central control device 3 then compares the transmitting side check code with the receiving side check code, and if they match, transmits an instruction to update the database 602 to the target security device 5X.
対象保安装置5Xにおいて誤りなく更新用データベース912が受信されているならば、送信側チェックコードと受信側チェックコードとは一致する。また、中央制御装置3は管理装置7と専用回線で通信接続されていることから、中央制御装置3が管理装置7から受信した送信側チェックコードの信頼性及び安全性は高いといえる。また、保安制御を行う中央制御装置3はフェールセーフ装置であり、フェールセーフ装置である中央制御装置3が行うチェックコードの照合は、信頼性及び安全性が高いといえる。そして、照合によりチェックコードが一致しない場合には更新指示が送信されないので、対象保安装置5Xにおいてソフトウェアの更新は行われない。これにより、無線を介して対象保安装置5Xが更新用データベース912を受信して更新する際の高い信頼性及び安全性を確保することができる。 If the target safety device 5X receives the update database 912 without error, the sending check code and the receiving check code will match. In addition, since the central control device 3 is connected to the management device 7 via a dedicated line, the sending check code received by the central control device 3 from the management device 7 can be said to be highly reliable and safe. In addition, the central control device 3 that performs safety control is a fail-safe device, and the check code matching performed by the central control device 3, which is a fail-safe device, can be said to be highly reliable and safe. If the check codes do not match as a result of the matching, an update instruction is not sent, and therefore software is not updated in the target safety device 5X. This ensures high reliability and safety when the target safety device 5X receives and updates the update database 912 wirelessly.
また、処理負荷の重い更新用データベース912の送信は管理装置7が行い、中央制御装置3は、更新用データベース912の送信に係る処理と比較して処理負荷の軽いチェックコードの照合を行う。これにより、保安制御を行う中央制御装置3の処理負荷を軽くすることができる。そして、中央制御装置3の処理負荷が軽いことから、中央制御装置3は、データベース602の更新対象でない非対象保安装置5Yとの通信に基づく保安制御の実行と、対象保安装置5Xに対する更新用データベース912の送信及びデータベース602の更新とを並行して行うことができる。 In addition, the management device 7 transmits the update database 912, which has a heavy processing load, and the central control device 3 compares the check code, which has a lighter processing load than the processing involved in transmitting the update database 912. This reduces the processing load of the central control device 3, which performs safety control. And because the processing load of the central control device 3 is light, the central control device 3 can simultaneously perform safety control based on communication with the non-target safety device 5Y, which is not the target for updating the database 602, and transmit the update database 912 to the target safety device 5X and update the database 602.
なお、本発明の適用可能な実施形態は上述の実施形態に限定されることなく、本発明の趣旨を逸脱しない範囲で適宜変更可能なのは勿論である。 The applicable embodiments of the present invention are not limited to the above-mentioned embodiments, and can of course be modified as appropriate without departing from the spirit of the present invention.
例えば、上述の実施形態では、ソフトウェアをデータベースとした例を説明したが、データベースではなくプログラム(例えば、保安装置5の所定のプログラム)といった他のソフトウェアとしてもよい。 For example, in the above embodiment, an example was described in which the software was a database, but the software may be other software such as a program (e.g., a specific program of the security device 5) rather than a database.
1…鉄道用保安システム
3…中央制御装置
200…処理部
202…更新指示部
204…通知部
300…記憶部
310…DB更新管理情報
5…保安装置
500…処理部
502…DB受信部
504…受信側コード送信部
506…更新部
600…記憶部
602…データベース
604…更新用データベース
606…受信側チェックコード
7…管理装置
800…処理部
802…DB送信部
804…送信側コード送信部
900…記憶部
910…更新用DB管理情報
912…更新用データベース
9…基地局装置
N…携帯無線通信網
1 ... Railway safety system 3 ... Central control device 200 ... Processing unit 202 ... Update instruction unit 204 ... Notification unit 300 ... Storage unit 310 ... DB update management information 5 ... Safety device 500 ... Processing unit 502 ... DB receiving unit 504 ... Receiving side code transmitting unit 506 ... Update unit 600 ... Storage unit 602 ... Database 604 ... Update database 606 ... Receiving side check code 7 ... Management device 800 ... Processing unit 802 ... DB transmitting unit 804 ... Transmitting side code transmitting unit 900 ... Storage unit 910 ... Update DB management information 912 ... Update database 9 ... Base station device N ... Mobile wireless communication network
Claims (7)
無線を介して前記保安装置と通信を行うことで列車運行に係る所定の保安制御を行う中央制御装置と、
無線を介して前記保安装置と通信可能であり、且つ、前記中央制御装置と通信接続された管理装置と、
を具備する鉄道用保安システムであって、
前記管理装置は、
更新用ソフトウェアを前記保安装置へ送信する更新用ソフトウェア送信手段と、
所与のデータに対するチェックコードを算出する所定の算出方法に従って算出した前記更新用ソフトウェアに対する送信側チェックコードを、前記中央制御装置へ送信する送信側コード送信手段と、
を備え、
前記保安装置は、
前記更新用ソフトウェアを前記管理装置から受信する更新用ソフトウェア受信手段と、
前記受信した前記更新用ソフトウェアに対する受信側チェックコードを前記算出方法に従って算出し、前記中央制御装置へ送信する受信側コード送信手段と、
前記中央制御装置から更新指示を受信した場合に、前記受信した前記更新用ソフトウェアを用いて、前記ソフトウェアを更新する更新手段と、
を備え、
前記中央制御装置は、
前記管理装置から受信した前記送信側チェックコードと前記保安装置から受信した前記受信側チェックコードとが一致する場合に、前記保安装置に前記更新指示を送信する更新指示手段、
を備える、
鉄道用保安システム。 A security device that performs a predetermined control operation based on the stored software;
a central control device that performs predetermined safety control related to train operation by communicating with the safety devices via wireless;
a management device capable of wirelessly communicating with the security device and communicatively connected to the central control device;
A railway security system comprising:
The management device includes:
an update software transmission means for transmitting update software to the security device;
a sender code sending means for sending a sender check code for the update software, the sender check code being calculated according to a predetermined calculation method for calculating a check code for given data, to the central control device;
Equipped with
The security device includes:
an update software receiving means for receiving the update software from the management device;
a receiver code transmitting means for calculating a receiver check code for the received update software according to the calculation method and transmitting the calculated code to the central control device;
an update means for updating the software using the received update software when an update instruction is received from the central control device;
Equipped with
The central control device
an update instruction means for transmitting the update instruction to the security device when the sending side check code received from the management device matches the receiving side check code received from the security device;
Equipped with
Railway security system.
前記中央制御装置は、
前記対象保安装置の指定を含む更新開始指示を、前記管理装置及び前記対象保安装置それぞれに通知する通知手段、
を更に備え、
前記更新用ソフトウェア送信手段は、前記更新開始指示に基づいて前記対象保安装置に前記更新用ソフトウェアを送信し、
前記更新用ソフトウェア受信手段は、前記更新開始指示に基づいて前記管理装置から前記更新用ソフトウェアを受信し、
前記更新指示手段は、前記管理装置から受信した前記送信側チェックコードと前記対象保安装置から受信した前記受信側チェックコードとが一致する場合に、前記対象保安装置に前記更新指示を送信する、
請求項1に記載の鉄道用保安システム。 The security devices include target security devices that are targets for updating the software stored in the security devices, and non-target security devices that are not targets for updating the software stored in the security devices,
The central control device
a notification means for notifying each of the management device and the target security device of an update start instruction including designation of the target security device;
Further comprising:
The update software transmission means transmits the update software to the target security device based on the update start instruction,
the update software receiving means receives the update software from the management device based on the update start instruction;
the update instruction means transmits the update instruction to the target security device when the sending check code received from the management device matches the receiving check code received from the target security device.
2. A railway security system according to claim 1.
請求項1又は2に記載の鉄道用保安システム。 The safety device is an on-board device mounted on a train or a railroad crossing control device.
3. A railway security system according to claim 1 or 2.
請求項2に記載の鉄道用保安システム。 the central control device executes the predetermined security control based on communication with the non-target security devices that are not targets of the software update during the software update in the target security devices.
3. A railway security system according to claim 2.
前記更新用ソフトウェア受信手段は、前記分割データ毎に、当該分割データの前記付加情報に基づいて受信成否を判定し、
前記受信側コード送信手段は、前記更新用ソフトウェア受信手段により全ての前記分割データの受信が成功したと判定された場合に、前記受信側チェックコードの算出及び送信を行う、
請求項1~4の何れか一項に記載の鉄道用保安システム。 the update software transmission means transmits the update software by adding additional information including a division serial number to each of a plurality of divided data pieces obtained by dividing the update software into a predetermined data size;
the update software receiving means determines whether or not reception has been successful for each of the divided data based on the additional information of the divided data;
the receiving code transmitting means calculates and transmits the receiving check code when the update software receiving means determines that all of the divided data have been successfully received.
A railway security system according to any one of claims 1 to 4.
無線を介して前記保安装置と通信を行うことで列車運行に係る所定の保安制御を行う中央制御装置と、
無線を介して前記保安装置と通信可能であり、且つ、前記中央制御装置と通信接続された管理装置と、
を備え、
前記保安装置は、所与の更新用ソフトウェアを受信した場合に、当該更新用ソフトウェアに対する受信側チェックコードを、所与のデータに対するチェックコードを算出する所定の算出方法に従って算出して前記中央制御装置に送信し、前記中央制御装置から更新指示を受信した場合に、受信済みの前記更新用ソフトウェアを用いて前記ソフトウェアを更新する機能を有しており、
前記管理装置は、
前記更新用ソフトウェアを前記保安装置へ送信する更新用ソフトウェア送信手段と、
前記算出方法に従って算出した前記更新用ソフトウェアに対する送信側チェックコードを前記中央制御装置へ送信する送信側コード送信手段と、
を有し、
前記中央制御装置は、
前記管理装置から受信した前記送信側チェックコードと前記保安装置から受信した前記受信側チェックコードとが一致する場合に、前記保安装置に前記更新指示を送信する更新指示手段、
を有する、
保安管理システム。 A railway safety system including a safety device that performs a predetermined control operation based on stored software, and a safety management system, comprising:
a central control device that performs predetermined safety control related to train operation by communicating with the safety devices via wireless;
a management device capable of wirelessly communicating with the security device and communicatively connected to the central control device;
Equipped with
the security device has a function of, when receiving a given update software, calculating a receiver check code for the update software according to a predetermined calculation method for calculating a check code for given data, and transmitting the calculated check code to the central control device, and, when receiving an update instruction from the central control device, updating the software using the received update software;
The management device includes:
an update software transmission means for transmitting the update software to the security device;
a sender code sending means for sending a sender check code for the update software calculated according to the calculation method to the central control device;
having
The central control device
an update instruction means for transmitting the update instruction to the security device when the sending side check code received from the management device matches the receiving side check code received from the security device;
having
Security management system.
前記管理装置が、更新用ソフトウェアを前記保安装置へ送信する更新用ソフトウェア送信ステップと、
前記管理装置が、所与のデータに対するチェックコードを算出する所定の算出方法に従って算出した前記更新用ソフトウェアに対する送信側チェックコードを、前記中央制御装置へ送信する送信側コード送信ステップと、
前記保安装置が、前記更新用ソフトウェアを前記管理装置から受信する更新用ソフトウェア受信ステップと、
前記保安装置が、前記受信した前記更新用ソフトウェアに対する受信側チェックコードを前記算出方法に従って算出し、前記中央制御装置へ送信する受信側コード送信ステップと、
前記保安装置が、前記中央制御装置から更新指示を受信した場合に、前記受信した前記更新用ソフトウェアを用いて、前記ソフトウェアを更新する更新ステップと、
前記中央制御装置が、前記管理装置から受信した前記送信側チェックコードと前記保安装置から受信した前記受信側チェックコードとが一致する場合に、前記保安装置に前記更新指示を送信する更新指示ステップと、
を含む更新制御方法。 A method for controlling software update in a railway safety system comprising: a safety device that performs a predetermined control operation based on stored software; a central control device that performs predetermined safety control related to train operation by communicating with the safety device via wireless; and a management device that can communicate with the safety device via wireless and is communicatively connected to the central control device, comprising:
an update software transmission step in which the management device transmits update software to the security device;
a transmitting side code transmitting step in which the management device transmits to the central control device a transmitting side check code for the update software calculated according to a predetermined calculation method for calculating a check code for given data;
an update software receiving step in which the security device receives the update software from the management device;
a receiver code transmission step in which the security device calculates a receiver check code for the received update software according to the calculation method and transmits the calculated code to the central control device;
an updating step of updating the software by using the received update software when the security device receives an update instruction from the central control device;
an update instruction step of transmitting the update instruction to the security device by the central control device when the sending side check code received from the management device and the receiving side check code received from the security device match;
An update control method comprising:
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2021161033A JP7708633B2 (en) | 2021-09-30 | 2021-09-30 | Railway security system, security management system, and update control method |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2021161033A JP7708633B2 (en) | 2021-09-30 | 2021-09-30 | Railway security system, security management system, and update control method |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2023050761A JP2023050761A (en) | 2023-04-11 |
| JP7708633B2 true JP7708633B2 (en) | 2025-07-15 |
Family
ID=85805629
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2021161033A Active JP7708633B2 (en) | 2021-09-30 | 2021-09-30 | Railway security system, security management system, and update control method |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP7708633B2 (en) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007272750A (en) | 2006-03-31 | 2007-10-18 | Fujitsu Ltd | Update information management system, program, and method |
| JP2009234527A (en) | 2008-03-28 | 2009-10-15 | Nippon Signal Co Ltd:The | Train control system |
| JP2015196422A (en) | 2014-03-31 | 2015-11-09 | 公益財団法人鉄道総合技術研究所 | Method of updating data in onboard device database wirelessly |
| JP2021142797A (en) | 2020-03-10 | 2021-09-24 | 大同信号株式会社 | Remote monitoring device for railroad crossing gate |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH09187072A (en) * | 1995-12-28 | 1997-07-15 | Hitachi Ltd | Mobile information management method |
-
2021
- 2021-09-30 JP JP2021161033A patent/JP7708633B2/en active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007272750A (en) | 2006-03-31 | 2007-10-18 | Fujitsu Ltd | Update information management system, program, and method |
| JP2009234527A (en) | 2008-03-28 | 2009-10-15 | Nippon Signal Co Ltd:The | Train control system |
| JP2015196422A (en) | 2014-03-31 | 2015-11-09 | 公益財団法人鉄道総合技術研究所 | Method of updating data in onboard device database wirelessly |
| JP2021142797A (en) | 2020-03-10 | 2021-09-24 | 大同信号株式会社 | Remote monitoring device for railroad crossing gate |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2023050761A (en) | 2023-04-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20230208927A1 (en) | Systems and methods for vehicle configuration verification with failsafe code | |
| US9602509B2 (en) | Methods and systems for securely uploading files onto aircraft | |
| RU2410264C2 (en) | Method and system for wireless remote control of locomotive using implicit consecutive indexing of messages | |
| US20230319006A1 (en) | System and methods for message redundancy | |
| CN112744267A (en) | Temporary train speed limiting method and device, readable storage medium and electronic equipment | |
| US10013365B2 (en) | Method for programming a control unit of a motor vehicle | |
| CN111209017B (en) | GMS-based CIR file remote upgrade method | |
| CN111290769B (en) | A method for online update of configuration data | |
| JP7708633B2 (en) | Railway security system, security management system, and update control method | |
| CN113169954B (en) | Method and system for remote machine control | |
| EA031120B1 (en) | Selective control of groups of detonators | |
| CN105472005B (en) | A kind of ground ATP equipment method for remote updating and system | |
| US8090486B2 (en) | Message protocol for efficient transmission of vital directives on a guideway | |
| KR102498003B1 (en) | Traffic control system for traffic safety and accident prevention at the smart intersection | |
| CN115366951A (en) | Temporary speed limit management method, device, electronic equipment and storage medium | |
| CN102014146A (en) | Network monitoring and remote upgrading method of super base station | |
| KR20130022688A (en) | Device for updating software of electronic control units in vehicle | |
| CN116039707B (en) | A train controller resource inheritance method and device based on vehicle-to-vehicle communication | |
| JP2001071908A (en) | Train security system | |
| CN112256304B (en) | DSP chip software online updating method and system | |
| JP2006321264A (en) | Vehicle data management system | |
| CN117002569B (en) | Security testing methods, electronic devices and storage media | |
| KR20170123877A (en) | System for updating firmware of sensor equipment using wireless communication network, and method thereof | |
| CN117908913A (en) | Method and device for updating vehicle-mounted safety platform software | |
| CN113050967B (en) | Remote updating method for train-mounted software |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20240722 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20250514 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20250701 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20250703 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7708633 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |