説明

列車制御システム用安全確認項目の管理方法

【課題】 近年複雑化した列車制御システムの安全性を確保するとともに、開発過程における手戻りを軽減するため、機能ごとに安全要件(安全確認項目)を出力する列車制御システム用安全確認項目の管理方法を提供する。
【解決手段】 列車制御システム用安全確認項目の管理方法において、列車制御システムの機能に対して「基本仕様」と「安全対策」を定義することにより、機能ごとに関連付けて安全確認項目を蓄積して制御機能単位での安全性確認を可能とした。

【発明の詳細な説明】
【技術分野】
【0001】
本発明は、列車制御システム用安全確認項目の管理方法に関するものである。
【背景技術】
【0002】
従来の列車の間隔制御・進路制御に関わる主な信号保安装置としては、連動装置、信号機、軌道回路、転てつ機などが挙げられる。
列車の間隔制御と進路制御は、いずれも高いレベルの安全性が要求される。そのため、機器が故障した場合には、信号機は停止現示、転てつ機は鎖錠となるように設計されている(下記特許文献1,2参照)。
【0003】
また、システムにおける安全対策の漏れやミスを防ぐため、対策網羅性検査装置が提案されている(下記特許文献3参照)。この対策網羅性検査装置では、イベントに対してハザードを定義し、イベントごとのハザードを蓄積して、デッドロック解析を行うようにしている。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開平8−282493号公報
【特許文献2】特開2000−25616号公報
【特許文献3】特開2010−244139号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
しかしながら、上記した信号保安装置は、特にソフトウェアで実装した場合には安全性の確認に時間がかかるといった問題があった。
また、上記した対策網羅性検査装置の場合、イベントに対してハザードを定義するものであるが、具体的な安全確認項目の管理としては項目数が多くなる上に体系的に安全性確認項目を管理できないといった問題があった。
【0006】
本発明は、上記状況に鑑み、近年複雑化した列車制御システムの安全性を確保するとともに、開発過程における手戻りを軽減するため、機能ごとに安全要件(安全確認項目)を出力する列車制御システム用安全確認項目の管理方法を提供することを目的とする。また、確認対象装置の仕様書の章節番号および内容を上記安全確認項目と関連付けて管理することを目的とする。
【0007】
更に、本発明は、安全要件を、列車制御システムの機能に対して「基本仕様(制御論理による安全確認)」と「安全対策(故障・誤りを考慮した安全対策による安全確保)」に分類して定義することにより、システムの各機能と関連付けた安全確認項目を蓄積して制御機能単位での解析を可能にする。つまり、列車制御システムの機能名称に関連付けて安全確認項目を蓄積する。また、機能ブロック間の入出力をもとに、機能間の仕様の整合性を確認するために並べて表示するとともに、フェールセーフCPUボードとこれに搭載する列車制御アプリケーションの安全確認項目を提示し、両者の整合性確認項目として出力するため、適切な手順で実施する。
【課題を解決するための手段】
【0008】
本発明は、上記目的を達成するために、
〔1〕列車制御システム用安全確認項目の管理方法において、列車制御システムの方式ごとに定めた列車制御システムの機能に対して基本仕様と安全対策を定義することにより、機能ごとに関連付けて安全確認項目を蓄積して制御機能単位での安全性確認を可能にしたことを特徴とする。
【0009】
〔2〕上記〔1〕記載の列車制御システム用安全確認項目の管理方法において、入力した機能ブロックに対して、機能名称をもとに前記基本仕様と安全対策に分けて安全要件を管理するようにしたことを特徴とする。
〔3〕上記〔2〕記載の列車制御システム用安全確認項目の管理方法において、確認対象装置の仕様書の章節番号および内容を関連づけて入力し、管理するようにしたことを特徴とする。
【0010】
〔4〕上記〔1〕記載の列車制御システム用安全確認項目の管理方法において、FTAに示す制約条件と関連づけた安全要件の管理を行うにあたり、機能ごとに定めた安全対策を記号で分類して定義するようにしたことを特徴とする。
〔5〕上記〔3〕記載の列車制御システム用安全確認項目の管理方法において、列車制御システムの構造間の整合性確認項目を生成、ならびに確認対象装置の仕様書の章節番号および内容を出力することを特徴とする。
【0011】
〔6〕上記〔3〕記載の列車制御システム用安全確認項目の管理方法において、列車制御システムの機能間、およびフェールセーフCPUボードとこれに搭載する列車制御アプリケーション間の整合性確認項目を生成ならびに確認対象装置の仕様書の章節番号および内容を出力することを特徴とする。
〔7〕上記〔1〕記載の列車制御システム用安全確認項目の管理方法において、機能ブロックとフェールセーフCPUボードとを関連づけて安全要件ならびに確認対象装置の仕様書の章節番号および内容を出力することを特徴とする。
【0012】
〔8〕上記〔1〕記載の列車制御システム用安全確認項目の管理方法において、接続する装置間で安全要件を比較するため、接続先の安全要件ならびに確認対象装置の仕様書の章節番号および内容を表示することを特徴とする。
〔9〕上記〔1〕記載の列車制御システム用安全確認項目の管理方法において、列車制御システムの機能名称に関連付けて確認項目を蓄積し、機能ブロック間の入出力をもとに機能間の仕様の整合性を確認するため各確認項目を並べて提示するとともに、フェールセーフCPUボードとこれに搭載する列車制御アプリケーションの確認項目ならびに確認対象装置の仕様書の章節番号および内容を提示し、両者の整合性確認項目として出力するため、以下の制御フローで実施するようにした。
【0013】
ステップS1:列車制御システムの構造(アーキテクチャ)の設定
(a)地上装置/車上装置に対する機能割当を行い、
(b)前記地上装置における中央装置/駅装置の機能割当を行い、
(c)制御装置境界の設定(装置に搭載する機能の割当)を行う。
ステップS2:機能ブロックの安全要件を提示
(a)機能ブロックごとの安全要件を提示するとともに、確認対象装置の仕様書の章節番号および内容を提示
(b)FMEA、FTAに示す安全対策をもとに検索し、安全要件ならびに確認対象装置の仕様書の章節番号および内容を提示
ステップS3:フェールセーフCPUボードと列車制御アプリケーション間の整合性確認項目の提示
(a)システム構成図に示す入出力回路の種別(シリアル、パラレル)の情報をもとに入出力インタフェースの整合性確認項目を提示
(b)フェールセーフCPUボードと列車制御アプリケーション間の処理部の整合性確認項目の提示
ステップS4:ブロック間の整合性確認項目の提示
(a)機能間の入出力の整合性確認項目を提示
(b)制御装置境界に基づく処理部状態の整合性確認項目を提示
全項目が確認済みとなった時点で終了とする。
【発明の効果】
【0014】
本発明によれば、近年複雑化した列車制御システムの安全性確保の向上につながるとともに、開発過程における手戻りを軽減することができる。
また、安全要件を、列車制御システムの機能に対して「基本仕様」と「安全対策」に分類して定義することにより、システムの各機能と関連付けた安全確認項目を蓄積して制御機能単位での安全性の確認を行うことができる。
【図面の簡単な説明】
【0015】
【図1】本発明の実施例を示す列車制御システムの機能ブロック例を示す図である。
【図2】本発明の実施例を示すフェールセーフCPUボードの機能ブロック図である。
【図3】本発明の実施例を示す列車制御システムの制御フローを示す図である。
【図4】本発明の実施例を示す列車制御のための全体システム構成図である。
【図5】本発明の実施例を示す列車制御のための機能ブロックごとの安全要件の管理例を示す説明図である。
【図6】本発明の実施例を示す列車制御のためのFTAと関連付けた安全要件の管理例を示す図である。
【図7】第3の制御方式の例を示す模式図である。
【図8】第4の制御方式の例を示す模式図である。
【発明を実施するための形態】
【0016】
本発明の列車制御システム用安全確認項目の管理方法は、列車制御システムの方式ごとに定めた列車制御システムの機能に対して「基本仕様」と「安全対策」を定義することにより、機能ごとに関連付けて安全確認項目を蓄積して制御機能単位での安全性の確認を行うようにした。
【実施例】
【0017】
以下、本発明の実施の形態について詳細に説明する。
図1は本発明の実施例を示す列車制御システムの機能ブロック例を示す図、図2は本発明の実施例を示すフェールセーフCPUボードの機能ブロック図、図3は本発明の実施例を示す列車制御システムの制御フローを示す図である。
図1において、1は地上装置、2は転てつ機、3は地上子、4は地上制御装置、5は停止限界設定(F4)、6は連動機能(F5)、11は車上装置、12は車上子、13は速度発電機、14は車上制御装置、15は車上位置検知(F1)、16は速度検知(F2)、17は速度照査・ブレーキ制御(F3)、18は継電器、19は乗務員である。
【0018】
また、図2のフェールセーフCPUボードの機能ブロック図において、21はフェールセーフCPUボード、22はCPU A系、23はCPU B系、24は照合部、25はFS(Fail Safe)SI/FSSO(シリアル入出力)、26はFSDI(接点入力)、27はFSDO(リレー出力)である。これは、地上制御装置や車上制御装置において用いられる。
【0019】
次に、列車制御システムの制御フローを図3を参照しながら説明する。
ステップS1:列車制御システムの構造(アーキテクチャ)を設定する。
(a)地上装置1/車上装置11の機能割当
(b)前記地上装置における中央装置/駅装置の機能割当
(c)制御装置境界の設定(装置に搭載する機能の割当)
ステップS2:機能ブロックの安全要件を提示する。
【0020】
(a)機能ブロックごとの安全要件を提示
(b)FMEA、FTAに示す制約条件をもとに検索し、安全要件を提示
なお、FMEA(Failure Mode and Effect Analysis:故障モード影響解析)とは、部品の故障に伴う影響を特定する手法である。
また、FTA(Fault Tree Analysis:故障の木解析)とは、事故や障害の原因となる事象を論理記号を用いて解析する手法である。
【0021】
ステップS3:フェールセーフCPUボードと列車制御アプリケーション間の整合性確認項目を提示する。
(a)システム構成図のシリアル25、パラレルの情報をもとに入出力インタフェースの整合性確認項目を提示
(b)フェールセーフCPUボード21と列車制御アプリケーション間の処理部の整合性確認項目の提示
ステップS4:ブロック間の整合性確認項目を提示する。
【0022】
(a)機能間の入出力の整合性確認項目を提示
(b)制御装置境界に伴う処理部の状態の整合性確認項目を提示
ステップS5:全項目が確認済みとなった時点で終了する。
ステップS6:全項目が確認済みとなっていない場合は、適切な段階に戻る。
以下、列車制御の機能ブロックごとの安全要件の管理例について説明する。
【0023】
図4は本発明の実施例を示す列車制御のための全体システム構成図、図5はその機能ブロックごとの安全要件の管理例を示す説明図、図6はFTAと関連付けた安全要件の管理例を示す図、図7は第3の制御方式の例を示す模式図、図8は第4の制御方式の例を示す模式図である。
図4において、31は地上装置、32は指令員、33は運行管理装置、34は防災システム、35は地上制御装置、36は論理部、37は保守員(機器室)、38は保守端末、39〜41は端末部、42,43は無線基地局、44は転てつ機、45は保守員(地上)、46は保守用車、51は車上装置、52は乗務員、53は車内信号機、54は車上制御装置、55は保守員(車上)、56は鉄道車両、57は車上位置・速度検知部である。
【0024】
図5では、列車制御のための停止限界設定例について説明している。すなわち、ここでは、間隔制御例について述べており、機能名称は停止限界設定であり、その機能概要としては、(1)列車位置、進路開通条件、外部条件の取得:軌道回路もしくは車上制御装置から受信して、全列車位置を把握する、(2)停止限界設定:進路の設定状況、全列車位置、外部条件に基づき、全列車の停止限界を設定する、(3)停止限界送信:全列車の車上制御装置に対して停止限界を送信し、もしくは、地上信号機に対して現示を出力する、(4)安全側制御:停止現示を出力する。
【0025】
「基本仕様」としての制御論理での安全確認項目については、(イ)入力項目として、(i)列車位置、進路開通条件、外部条件の取得:全ての列車位置が特定されていること、進行方向が特定されていること、列車長が特定されていること、(ii) 停止限界設定情報:進路が特定されていること、進路の設定状況を確認できること、(ロ)出力項目として、停止限界送信:全出力先が特定されていること、(ハ)処理項目として、停止限界設定:先行列車の特定は、進路に応じてできること、続行列車の停止限界設定にあたっては、先行列車の列車長を考慮できること、緊急停止情報と停止限界との関連性を明確化することが挙げられる。
【0026】
「安全対策」の確認項目については、(イ)入力項目として、列車位置、進路開通条件、外部条件の取得:全ての列車位置を特定できていること、また、健全な位置情報であること、進路の開通条件が適切であること、未定義なものでないこと、(ロ)出力項目として、停止限界送信:列車に対して確実に到着していることの確認、フィードバックチェック、(ハ)処理項目として、停止限界設定:列車位置から停止限界までの区間が他列車と重なっていないことが挙げられる。
【0027】
「異常検知時の安全側固定」項目については、異常検知時には安全側制御(停止現示出力相当)を実施する。外部条件については、緊急停止電文の送信又は管轄内の全列車に対して停止限界の引き戻しを行う。
このように、「基本仕様」と「安全対策」に分けて定義し、安全要件を管理する点に特徴がある。
【0028】
次に、FTAと関連付けた安全要件の管理例を図6を参照しながら説明する。
ここでは、安全対策(制約条件)は、FTAの制約条件に対する新たに定めた記号で分類して定義する。例えば、MHはハードウェア故障対策、MSはソフトウェア論理誤り対策、MFはフェールセーフCPUボード故障対策、MOは誤操作防止対策、IFは装置間状態一致化対策としてそれぞれ図形で表す。
【0029】
例えば、車上位置検知(F1)又は連動機構(F5)に誤りが発生した場合は、停止限界設定(F4)機能の入力誤りや処理誤りや出力誤りとなり、その結果、速度照査・ブレーキ制御(F3)の誤りとなる。
安全対策は、これらの誤りの発生防止のためであり、列車制御の機能ごとに上記安全対策の記号で分類して定義する。
【0030】
以下、本発明の列車制御システム用安全確認項目の管理例について図2および図4〜図6を参照しながら説明する。
<ステップS1> 列車制御システムの構造(アーキテクチャ)設定
〔1〕地上装置31/車上装置51への機能割当
目的:以下の中から制御方式を選択する。
(1)地上位置検知結果に基づく地上装置31での停止限界作成+地上装置31からの直接車上制御方式。
(2)地上位置検知結果に基づく地上装置31での停止限界作成+地上信号機方式。
(3)地上位置検知結果に基づく地上装置31での停止限界作成+車上位置検知結果に基づく速度照査(図7参照)。
(4)車上位置検知結果に基づく地上装置31での停止限界作成+車上位置検知結果に基づく速度照査(図8参照)。
(5)車上位置検知結果に基づく車上装置51での停止限界作成+車上位置検知結果に基づく速度照査(車上自律制御方式)。
【0031】
なお、列車制御システムの制御方式を選択入力し、以下、選択した制御方式の安全要件を対象に出力する。
〔2〕中央装置/駅装置への機能割当
目的:論理部の管理の単位を駅とするか線区全体とするかを明確化するため、集中/分散のシステム構成を選択する。
(1)駅装置主体の構成(分散方式)
(2)中央装置主体の構成(集中方式)
これらを選択できる様にし、例えば、集中方式を選択した場合には、中央制御装置が停止することにより、当該管轄下の制御装置の停止に伴う影響範囲が大きくなる点を追加表示する。
〔3〕制御装置境界の設定
目的:制御装置に搭載する機能を決定する(アーキテクチャの決定)。
【0032】
制御装置境界を、機能ブロックに対して設定する。制御装置境界は、各機能ブロックに対してフェールセーフCPUボードの名称を割り当てることで判断する。
<ステップS2> 機能ブロックの確認項目の提示
目的:機能ごとの確認項目を出力する。
・システム構成図に定める機能ブロック名称をもとに該当する機能を検索する。
【0033】
また、補助機能として、FMEA, FTAと関連付けた対策の表示を行う。各機能ブロックに示す安全対策は、FTAの制約条件記号が割り当てられており、FMEAは検知手段、FTAは制約条件として関連づけて示される。
<ステップS3>フェールセーフCPUボードと列車制御アプリケーション間の整合性確認項目の提示
目的:フェールセーフCPUボードと列車制御アプリケーション間の整合性を確認する。
(1)入出力インタフェースの整合性確認項目の提示
・「システム構成図」に示す条件ごとのシリアル入出力(FSSI/FSSO)(25)、リレー接点入力(FSDI)(26)、リレー出力(FSDO)27、「該当なし」の種別を、フェールセーフCPUボード名称とともに、各機能ブロックに入出力して割り当てる。
・当該条件(「リレー入出力(FSDI/FSDO)」、「シリアル入出力(FSSI/FSSO)」、「該当なし」)をもとに、「入出力線リスト」を表示する。
・選択した入出力線に対して、各フェールセーフCPUボード21の入出力条件に関わる確認項目を提示する。また、確認対象装置の仕様書の章節番号および内容を提示する。確認を終了したら、各入出力線にチェック(確認済みの記号)を付ける。
【0034】
なお、一つのボードに複数の機能を搭載する場合は、同一メモリ内での入出力となるので、「該当なし」とする。
(2)フェールセーフCPUボード(処理部)21と列車制御アプリケーション間の処理部の整合性確認項目の提示
搭載した各機能に対して、フェールセーフCPUボード21の安全要件を提示し、確認する。具体的には、処理性能、CPU A系22/B系23照合方式、2値データ(0・1)の割り当てなどについて整合性を確認する。
【0035】
なお、確認対象装置の仕様書の章節番号および内容を提示する。確認を終了したら、チェック(確認済みの記号)を付ける。
<ステップS4> ブロック間の整合性確認項目の提示
目的:機能ブロック間の整合性を確認する。
(1)各機能の入力と出力の整合性確認(機能ブロック単位での確認)項目の提示
・「基本仕様」の入力・出力に関わる機能をもとに関連する機能を検索。
提示された検索結果を見て、人が内容を判断して整合性を確認する。
【0036】
なお、接続先の検索をする際には、入力と出力を逆転(入力→出力、出力→入力)する。また、確認対象装置の仕様書の章節番号および内容を提示する。確認を終了したらチェック(確認済みの記号)を付ける。
(2)制御装置境界に伴う処理部の状態の整合性確認(制御装置単位での確認)項目の提示
(a)「制御装置境界」情報をもとに、接続先の機能ブロックの確認項目を表示する。
(b)「内部状態等の重要情報」については、積極的に機能ブロック間で相互に状態が一致していることを確認するための診断論理を、必要に応じて追加する。
【0037】
なお、確認対象装置の仕様書の章節番号および内容を提示する。確認を終了したら確認済みの記号を付ける。
また、本発明は上記実施例に限定されるものではなく、本発明の趣旨に基づき種々の変形が可能であり、これらを本発明の範囲から排除するものではない。
【産業上の利用可能性】
【0038】
本発明の列車制御システム用安全確認項目の管理方法は、機能ごとに安全要件を出力する列車制御システム用安全確認項目の管理方法として利用可能である。
【符号の説明】
【0039】
1,31 地上装置
2 転てつ機
3 地上子
4,35 地上制御装置
5 停止限界設定(F4)
6 連動機能(F5)
11,51 車上装置
12 車上子
13 速度発電機
14,54 車上制御装置
15 車上位置検知(F1)
16 速度検知(F2)
17 速度照査・ブレーキ制御(F3)
18 継電器
19,52 乗務員
21 フェールセーフCPUボード
22 CPU A系
23 CPU B系
24 照合部
25 FSSI/FSSO(シリアル入出力)
26 FSDI(接点入力)
27 FSDO(リレー出力)
32 指令員
33 運行管理装置
34 防災システム
36 論理部
37 保守員(機器室)
38 保守端末
39,40,41 端末部
42,43 無線基地局
44 転てつ機
45 保守員(地上)
46 保守用車
53 車内信号機
55 保守員(車上)
56 鉄道車両
57 車上位置・速度検知部

【特許請求の範囲】
【請求項1】
列車制御システムの方式ごとに定めた列車制御システムの機能に対して基本仕様と安全対策を定義することにより、機能ごとに関連付けて安全確認項目を蓄積して制御機能単位での安全性確認を可能としたことを特徴とする列車制御システム用安全確認項目の管理方法。
【請求項2】
請求項1記載の列車制御システム用安全確認項目の管理方法において、入力した機能ブロックに対して、機能名称をもとに前記基本仕様と安全対策に分けて安全要件を管理するようにしたことを特徴とする列車制御システム用安全確認項目の管理方法。
【請求項3】
請求項2記載の列車制御システム用安全確認項目の管理方法において、確認対象装置の仕様書の章節番号および内容を関連づけて入力し、管理するようにしたことを特徴とする列車制御システム用安全確認項目の管理方法。
【請求項4】
請求項1記載の列車制御システム用安全確認項目の管理方法において、FTAに示す制約条件と関連づけた安全要件の管理を行うにあたり、機能ごとに定めた安全対策を記号で分類して定義するようにしたことを特徴とする列車制御システム用安全確認項目の管理方法。
【請求項5】
請求項3記載の列車制御システム用安全確認項目の管理方法において、列車制御システムの構造間の整合性確認項目を生成、ならびに確認対象装置の仕様書の章節番号および内容を出力することを特徴とする列車制御システム用安全確認項目の管理方法。
【請求項6】
請求項3記載の列車制御システム用安全確認項目の管理方法において、列車制御システムの機能間、およびフェールセーフCPUボードとこれに搭載する列車制御アプリケーション間の整合性確認項目を生成ならびに確認対象装置の仕様書の章節番号および内容を出力することを特徴とする列車制御システム用安全確認項目の管理方法。
【請求項7】
請求項1記載の列車制御システム用安全確認項目の管理方法において、機能ブロックとフェールセーフCPUボードとを関連づけて安全要件ならびに確認対象装置の仕様書の章節番号および内容を出力することを特徴とする列車制御システム用安全確認項目の管理方法。
【請求項8】
請求項1記載の列車制御システム用安全確認項目の管理方法において、接続する装置間で安全要件を比較するため、接続先の安全要件ならびに確認対象装置の仕様書の章節番号および内容を表示することを特徴とする列車制御システム用安全確認項目の管理方法。
【請求項9】
請求項1記載の列車制御システム用安全確認項目の管理方法において、列車制御システムの機能名称に関連付けて確認項目を蓄積し、機能ブロック間の入出力をもとに機能間の仕様の整合性を確認するため各確認項目を並べて提示するとともに、フェールセーフCPUボードとこれに搭載する列車制御アプリケーションの確認項目ならびに確認対象装置の仕様書の章節番号および内容を提示し、両者の整合性確認項目として出力するため、以下の制御フローで実施するようにした。
ステップS1:列車制御システムの構造(アーキテクチャ)の設定
(a)地上装置/車上装置に対する機能割当を行い、
(b)前記地上装置における中央装置/駅装置の機能割当を行い、
(c)制御装置境界の設定(装置に搭載する機能の割当)を行う。
ステップS2:機能ブロックの安全要件を提示
(a)機能ブロックごとの安全要件を提示するとともに、確認対象装置の仕様書の章節番号および内容を提示
(b)FMEA、FTAに示す安全対策をもとに検索し、安全要件ならびに確認対象装置の仕様書の章節番号および内容を提示
ステップS3:フェールセーフCPUボードと列車制御アプリケーション間の整合性確認項目の提示
(a)システム構成図に示す入出力回路の種別(シリアル、パラレル)の情報をもとに入出力インタフェースの整合性確認項目を提示
(b)フェールセーフCPUボードと列車制御アプリケーション間の処理部の整合性確認項目を提示
ステップS4:ブロック間の整合性確認項目の提示
(a)機能間の入出力の整合性確認項目を提示
(b)制御装置境界に基づく処理部状態の整合性確認項目を提示
全項目が確認済みとなった時点で終了とする。

【図1】
image rotate

【図2】
image rotate

【図3】
image rotate

【図4】
image rotate

【図5】
image rotate

【図6】
image rotate

【図7】
image rotate

【図8】
image rotate


【公開番号】特開2013−114436(P2013−114436A)
【公開日】平成25年6月10日(2013.6.10)
【国際特許分類】
【出願番号】特願2011−259673(P2011−259673)
【出願日】平成23年11月29日(2011.11.29)
【出願人】(000173784)公益財団法人鉄道総合技術研究所 (1,666)