电文修复装置以及信号安全保障系统的制作方法

技术领域涉及信号安全保障系统。

背景技术：

在专利文献1中，关于信号安全保障系统，公开了如下内容，即，以“轨道电路装置是对铁轨进行电绝缘、在一端连接电源并在相反侧的一端连接继电器、感测由列车造成的铁轨间的短路的装置，装置的维护保养费用高”(参照专利文献1的[0006])等为课题，作为其解决方法，“在基于电文确保在预先决定的区间内行驶的列车的安全保障的信号安全保障系统中，电文构成为，在预先决定的区间内存在的列车、沿线设备之间循环，并具有区块占有权信息，该区块占有权信息能够对将区间内分割为多个区块的每一个区块设定列车的占有权”(参照专利文献1的[0010])等。

在先技术文献

专利文献

专利文献1：日本特开2006-232106号公报

技术实现要素：

发明要解决的课题

但是，在专利文献1的信号安全保障系统中，关于在由于装置的故障、无线通信的异常等某种原因而导致电文消失的情况下的处理，仍有改善的余地。

用于解决课题的技术方案

为了解决上述课题，例如采用权利要求书记载的结构。

本申请包括多种解决上述课题的方案，列举其中一例为一种电文修复装置，其在信号安全保障系统中生成安全保障电文，信号安全保障系统通过使包含行驶路线的占有权信息的安全保障电文在存在于由设定占有权信息的一个以上的区块构成的行驶路线的列车之间按顺序依次进行传阅，从而在列车之间共享安全保障电文，并对列车设定行驶路线的各区块的占有权，电文修复装置的特征在于，若在安全保障电文的传阅中感测到异常，则向存在于行驶路线的列车发送对与各区块的占有权相关的信息进行请求的信息，从存在于行驶路线的列车接收与行驶路线的各区块的占有权相关的信息，并基于所接收到的信息来生成新的安全保障电文并发送给存在于行驶路线的列车。

发明效果

根据上述方案，即使在由于装置的故障、无线通信的异常等某种原因而导致电文消失的情况下，也能够安全地修复信号安全保障系统。通过以下的实施例的说明，上述以外的课题、结构以及效果将变得清楚。

附图说明

图1是示出实施例1中的信号安全保障系统的结构的概念图。

图2是示出实施例1中的安全保障电文的格式的图。

图3是示出实施例1中的信号安全保障系统的状态转变的图。

图4是示出实施例1中的信号安全保障系统的行为的图。

图5是示出实施例1中的信号安全保障系统的监视状态下的行为的图。

图6是示出实施例1中的信号安全保障系统的恢复执行状态下的行为的图。

图7是示出实施例1中的列车控制运算部的状态转变的图。

图8是示出实施例1中的列车控制运算部的监视状态的处理的流程图。

图9是示出实施例1中的列车控制运算部的待机状态的处理的流程图。

图10是示出实施例1中的修复装置的中央运算部的状态转变的图。

图11是示出实施例1中的修复装置的中央运算部的修复准备状态的处理的流程图。

图12是示出实施例1中的修复装置的中央运算部的修复执行状态的处理的流程图。

图13是实施例1中的信号安全保障系统重新发行安全保障电文的情况下的时序图。

图14是示出实施例2中的信号安全保障系统的结构的概念图。

图15是示出实施例2中的安全保障电文的格式的图。

图16是示出实施例2中的修复装置的中央运算部的状态转变的图。

图17是示出实施例2中的修复装置的中央运算部的修复准备状态的处理的流程图。

图18是示出实施例2中的修复装置的中央运算部的修复执行状态的处理的流程图。

具体实施方式

在铁路的信号安全保障系统中，考虑了如下情况，即，在存在于某个控制区域的列车、转辙机之间传阅电文，从而对将该控制区域分割为多个区块的每个区块的占有权、转辙机的状态、对转辙机的转换指示等信息进行共享，进行控制区域中的列车的间隔控制、排他控制、行进路线的构成控制。

但是，在由于装置的故障、无线的异常而导致在列车、转辙机之间传阅的电文消失的情况下，不能对在列车、转辙机之间进行共享的区块占有权等信息进行更新，因此系统会停止。此时，可以考虑由指令员、站务员来掌握位于该区间内的全部的列车位置并重新发行反映了现状的电文，由此来修复系统，但是这需要人手、时间，因此运转率下降。

另一方面，若未掌握现状而重新发行电文，则通过一个安全保障电文来实现的列车的间隔控制、排他控制、行进路线的构成控制有可能被破坏。

因此，在本实施例中，若在安全保障电文的传阅中检测到产生了异常，则停止列车、转辙机等成员设备对记载在安全保障电文的安全保障信息进行变更，收集成员设备所存储的安全保障信息来构成新的安全保障信息，新生成记载了该新的安全保障信息的安全保障电文并使其在成员设备之间进行传阅。

以下，基于附图对本发明的实施例进行更详细的说明。

实施例1

图1是示出本实施例的信号安全保障系统的图，是示出作为对象的线区(区域)的线形和包括存在于该线区的设备及其控制部分的系统结构的概念图。在该线区，以包括基于转辙机装置103、105、107的分支线的形式铺设有铁轨。铁轨由以区块118为代表的多个区块构成。每个区块作为只有一列列车能够以排他的方式进入的基本单位(封闭)而发挥功能。

在图1中，列车101存在于该线区。在该线区中，不限于列车101而可以存在多个列车，在此为了简单起见，对只存在列车101的状况进行说明。在其它列车进入的情况下，为了不与其他列车冲突，列车101在本线区上行驶时，为了安全必须保证如下内容：列车101正在进入/想要进入的区块被以排他的方式占有；和对在所行驶的路径上存在的分支线进行控制的转辙机被转换为正确的方向并被固定(锁闭)。

以保证上述内容为目的，本实施例的信号安全保障系统具备：安全保障电文109，记载了涉及安全保障的信息(以下，将它们统称为“安全保障信息”)，该信息包括登记了确定存在于线区的车辆、转辙机的信息的成员列表、区块占有权、转辙机的转换方向、锁闭状态；列车101具备的列车控制运算部102；以及转辙机装置103、105、107各自具备的转辙机控制运算部104、106、108，本实施例的信号安全保障系统在列车控制运算部102与转辙机控制运算部104、106、108之间传阅并共享安全保障电文109。

利用了电文的传阅的信号安全保障系统是如下机制，即，在列车、转辙机之间传阅电文，并由搭载在列车的列车控制运算部对传阅的电文的信息进行更新，从而确保试图行驶的行进路线上的占有权，并向转辙机指示转换方向。

传阅电文的给定的区间被分割为多个区块，在电文中记入有对多个区块分别设定了占有权的列车的识别信息。对于各区块，设定了占有权的列车仅为一列，只有设定了区块的占有权的列车被许可在该区块中行驶。也可以构成为在电文中包含指示转辙机的方向的信息，转辙机基于所接收到的电文的信息来控制方向。此外，还可以构成为在电文中包含表示应传阅该电文的列车、转辙机的成员列表。接收到电文的列车、转辙机基于所接收到的电文的成员列表来确定发送电文的列车、转辙机。

想要在某个区块中行驶的列车若接收到电文，则对电文进行更新使得对本列车设定该区块的占有权，并对下一列车或转辙机发送更新后的电文。但是，在所接收到的电文中该区块的占有权已经设定给其它列车的情况下，不能更新电文使得对本列车设定占有权，因而直到对其它列车设定的该区块的占有权解除为止，都不能在该区块中行驶。

设定了区块的占有权的列车若在通过了该区块之后接收到电文，则对电文进行更新使得解除对本列车设定的该区块的占有权，并对下一列车或转辙机发送更新后的电文。

通过上述的方法，能够利用电文的传阅来实现安全保障。另外，关于通过该方法来实现安全保障的机制的更详细的说明，记载在专利文献1中。

此外，在本实施例中设为成员列表包含于安全保障电文的结构，但也可以通过其它方法对成员列表进行管理。

在以后的说明中，将在本实施例的区域内成为使用了安全保障电文109的信号安全保障控制的对象的装置的控制部，即，列车控制运算部102以及转辙机控制运算部104、106、108统称为“成员设备”。在需要特别区分是其全部还是任意一者时，随时进行指定。

列车控制运算部102执行除了实现电文处理部119的处理以外还实现后面说明的电文监视部113的处理的软件/程序，电文处理部119进行用于实现利用了电文的传阅的安全保障用的基本机制的处理。因此，列车控制运算部102由以cpu和存储器为代表的通常为了执行软件/程序所需的元件、装置构成。

电文监视部113对即使经过规定时间安全保障电文109也未传阅过来的现象、所接收到的安全保障电文109的数据损坏的现象、不能向下一个发送安全保障电文109的现象进行确认，从而确认是否不能继续传阅安全保障电文109，在检测到这样的现象的发生时，将该情况通知给后面说明的修复装置110。如后所述，该通知以“恢复请求”这样的通信信息的形式进行。

转辙机控制运算部104、106、108也具有与列车控制运算部102同样的结构。即，具备与电文监视部113同样的处理。以下，在该处理的说明时，只要无需确定进行电文监视部113的处理的成员设备，就简记为电文监视部113。

本实施例的信号安全保障系统具备修复装置110。修复装置110是与成员设备不同的装置，在无法正常传阅安全保障电文109时，发行新的安全保障电文。修复装置110具备通信控制部112，通信控制部112具备与成员设备的无线通信功能，能够经由该通信控制部112与各成员设备之间收发数据。

另外，在成员设备侧也具备用于与修复装置110进行通信的无线通信单元。该单元并无特别规定，但例如，如果兼用作用于传阅安全保障电文109的无线通信单元，则可减少通信用的设备。用于修复装置110与成员设备之间的通信的协议没有特别限定。例如，如果是在铁路的无线列车控制系统(cbtc)中使用的协议，则具有可靠性比较高的实际运转成绩。或者，若对于应用完全足够的通信品质得到确保，则也可以利用通用无线，此时，可以减少分配通信用的特别资源的需要。

在此，修复装置110的设置位置没有特别限定。如果将通信控制部112设置于能够确保通信品质的环境，或者设置于以后容易改善设置场所的通信环境的场所，则能够期待减少通信错误、重试的次数，并能够期待能够在短时间内高可靠性地实施以后说明的一边利用通信一边重新发行安全保障电文的一系列的处理。

此外，如果将修复装置110设置在指令室，则指令员、技术员比较容易访问，可以期待在装置故障时能够在短时间内实施修复应对。此外，如果使运行管理装置等现有的沿线装置兼任，则无需设置新的装置，物理上容易导入。

修复装置110具备中央运算部111。中央运算部111执行实现包括后面说明的信息收集部115、故障确定部116、电文制作部117的处理在内的本实施例的修复装置110的处理的软件/程序。因此，中央运算部111由以cpu和存储器为代表的通常为了执行软件/程序所需的元件、装置构成。

在此，对中央运算部111的架构进行说明。

一般来说，客运铁路的信号安全保障系统是关乎人命的安全保障关键的系统，因此在该运算部中，使用即使发生元件的偶发性的故障也不会失去用于使系统保持为安全的状态的控制的具备特别架构的安全保障计算机。

具体的方法在后面说明，但因为中央运算部111进行也是修复装置110的目的的安全保障电文的重新发行，所以期望使用与成员设备所使用的同等的安全保障计算机。原因是，如果中央运算部111发行例如已经有列车在线的区块的占有权信息为“空”等记载了不正确的安全保障信息的安全保障电文，则在基于该安全保障电文进行安全保障控制的成员设备侧，不能排除在该区块的列车冲突的危险性。

此外，一般来说，为了确保作为目标的运转率，信号安全保障系统的控制装置有时会采用冗长结构。考虑该必要性时，中央运算部111当然也可以采用冗长结构，但是，与在使用与成员设备的控制装置相同的硬件的情况下，使成员设备的控制装置冗长化相比，运转率提高的效果小。原因是，如后所述，中央运算部111足从在安全保障电文109检测到异常开始到修复为止的期间要进行处理动作的运算部，在安全保障电文109正常(平常动作)的期间，即使发生故障也不会对信号安全保障系统的通常动作造成影响。

因此，例如，中央运算部111设为单一化系统(未冗长化的系统)，能够不损害信号安全保障系统的运转率地实现如下的装置结构和运用：即使其在平常动作过程中发生故障，也可以直接在平常动作过程中完成修理或是更换。其中，如上面例示的那样，在修复装置110位于指令员、技术员容易访问的例如指令室时，而且若其具备故障自我诊断和故障通知的功能，则接收到通知的技术员在平常动作过程中能够完成中央运算部111的修理、换装的可能性变得更高。

返回到中央运算部111的说明。如前所述，中央运算部111在其软件/程序中包括信息收集部115、故障确定部116、电文制作部117。以下，对它们进行说明。

在从成员设备中的任一个接收到恢复请求时，信息收集部115对全部成员设备发送对它们存储的安全保障信息进行发送的请求(待机请求)，从而获取其安全保障信息。在此，所谓恢复请求，是指如前述的电文监视部113的说明那样，电文监视部113检测到与安全保障电文相关的异常现象时将该情况通知给修复装置110的通信信息。此外，各个成员设备将最后处理的安全保障电文中所包含的安全保障信息保存到存储区域。

故障确定部116将成员设备中的得不到对前述的待机请求的响应的成员设备确定为故障。得到该故障的信息的目的在于，在后述的电文制作部117中，利用该信息将发生故障的设备从新的安全保障电文的成员列表中除去。关于故障的确定，例如只要将即使经过了给定时间也得不到对待机请求的响应的成员设备、或者发送给定次数的待机请求也得不到响应的成员设备确定为故障的设备即可。

电文制作部117在信息收集部115和故障确定部116之后进行处理，进行如下处理，即，使用由信息收集部115获取的安全保障信息来构成新的安全保障信息，制作记载了该新的安全保障信息的新安全保障电文，并发行发送给新的安全保障信息所包含的成员列表的设备中的任意一者，使得能够在新的安全保障信息所包含的成员列表的设备之间进行传阅。

在此，新的安全保障信息所包含的成员列表从成员设备中除去由故障确定部116确定为故障的设备而构成。虽然即使包含确定为故障的设备来构成成员列表，也能够重新发行安全保障电文，但是，安全保障电文的传阅在确定为故障的设备处会再次停滞，根据故障的方式，可能发生作为信号安全保障系统的运转率下降的情况。与此相对，通过从成员列表中除去确定为故障的设备，能够期待抑制这样的运转率的下降。

使用图2对安全保障电文109的格式进行说明。图2示出安全保障电文109所记载的信息的构成例。另外，关于以后作为一个例子示出的区域编号、成员的识别信息、区块的识别信息、转辙机方向指示和转辙机状态信息等安全保障电文109记载的信息的具体值，不再明示其与图1的结构中的哪个部分对应。

在区域识别信息201中，记载用于识别通过安全保障电文109来管理的区域的id编号。

在成员列表202中，记载确定参加安全保障电文109的传阅的设备的信息和传阅的顺序。

在区块占有权信息203中，记载构成区域的线区的区块各自的识别信息和各区块的占有权信息。在图2的构成例中，示出在区域2至少存在区块1～6，区块1和区块2未被占有，区块3至区块6被列车a所占有。

在转辙机方向指示204中，记载对区域内的各转辙机指示转换方向的信息。在图2的构成例中，指示为全部转换为定位。除此以外，也能够指示向作为与其成对的位置的反位进行转换。

在转辙机状态信息205中，记载表示区域内的各转辙机固定为哪个方向的信息。在图2的构成例中，可知全部固定(锁闭)为定位方向。除此以外，也能够选取向与其成对的反位方向的锁闭、两者都不是的状态(模糊(ブラ))作为状态。

以上，201～205的信息用于传阅上述的安全保障电文来实现信号安全保障的方法。

在本实施例中，除了这些信息以外，安全保障电文109还具有电文发行编号206和电文更新编号207。

每次从图1中说明的修复装置110重新发行安全保障电文时，电文发行编号206所记载的值会递增。在列车、转辙机的设备接收到安全保障电文时，如果该值与之前传阅的安全保障电文的值相比增加，则能够将那一个识别为新的安全保障电文。此外，在所接收到的安全保障电文的电文发行编号的值小于之前传阅的安全保障电文的电文发行编号的值的情况下，能够识别为已经过时的安全保障电文，能够利用于拒绝该安全保障电文。

电文更新编号207记载的值是每次安全保障电文在设备之间传阅时都会递增的值。根据该值，与电文发行编号206记载的值进行组合，能够得知某安全保障电文被传阅了几次。

使用图3对本实施例所涉及的信号安全保障系统的基本动作进行说明。在图3中，通过监视状态302与恢复执行状态303这两个状态之间的转变来记载了系统的动作。另外，需要注意的是，在图3中，与单独的成员设备、修复装置的状态转变有所区别。关于这些状态在后面叙述。

若在开始点301开始基于安全保障电文的传阅的信号安全保障，则首先转移到监视状态302。

监视状态302是监视安全保障电文109的健全性的状态。在未检测到安全保障电文109的异常的期间(即正常传阅期间)，维持本状态。若检测到安全保障电文109的异常，则转移到后述的恢复执行状态303。

在此，在本实施例中，将安全保障电文的异常规定为安全保障电文的传阅在中途停止那样的状况。像后面说明的那样，这能够基于用于传阅安全保障电文的通信超时的情况来检测。另外，设为安全保障电文异常的状态的种类不限于此，检测该异常的方法也不限于此。例如，在安全保障电文中附有校验码时，能够在检测到校验码与数据不匹配的情况下设为异常。

恢复执行状态303是由修复装置110正在执行直到发行新的安全保障电文为止的一系列的处理的状态。关于该一系列的处理的细节，在后面说明。在完成了安全保障电文的重新发行时，转移到监视状态302。

根据以上，示出了本实施例的信号安全保障系统往返于与安全保障电文109的健全性的状况相关的两个状态302和303的情况。

使用图4对在恢复状态303中实施的一系列的处理的概要进行说明。开始点401指的是处理的开始点。接下来，转到处理403和处理404。这些处理的顺序没有限制，在完成两者之后转到处理405即可。另外，如后面图12所示，在本实施例中示出为了实现的方便而紧跟在处理405的前面执行处理404的例子。

处理404是确定成员设备中的故障的设备的处理。在后面的处理405中生成新的安全保障电文时，为了决定其传阅目标(成员列表)而使用故障设备的信息。在本实施例中，在该处理中将不能进行通信的状态检测为故障。在不能进行通信的状态下，本来就不能传阅安全保障电文，不能参加本实施例的信号安全保障系统的控制。因此，在处理405中，设定为从新的安全保障电文的传阅目标中除去故障设备，这是为了能够在剩余的设备中健全地传阅安全保障电文。

另外，在此检测的故障不限定于不能进行通信。例如，像产生了不能行驶的故障那样的列车，即使能够进行通信且确保了区域内的新的行进路线，也只会妨碍其它成员设备确保新的行进路线。因此，也可以将像不能行驶那样的种类的故障也包括在此处的检测对象中。在这种情况下，作为对待机指令的响应，将故障信息也包括在内来传送即可。

处理403是使对成员设备传阅的安全保障电文无效化并使存储的安全保障信息集中于修复装置的处理。本处理将安全保障信息输入到后面的制作新的安全保障电文的处理405。

此时，并不是仅拿来任一个成员设备所存储的安全保障信息输入到处理405即可，原则上需要从全部的成员设备所持有的安全保障信息之中筛选出能够实现安全保障的信息。这是因为，从一边在成员设备之间传阅安全保障电文一边共享安全保障信息的性质考虑，各成员设备在某个时间点所存储的安全保障信息未必一致。为此，例如，能够利用如下方法，即，参照使用图2说明的安全保障电文的格式中的电文更新编号207，采用编号最大的安全保障电文(即最新的安全保障电文)的安全保障信息。

或者，也可以从全部的成员设备重新收集当前的状态(如果是转辙机，则为锁闭状态的信息，如果是列车，则为所占有的区块的信息)。关于安全保障信息的不足之处，如果能够对该不足的信息定义安全侧，则也可以暂且采用该信息。例如，关于转辙机状态，只要未被锁闭为正位/反位的任一个，则不能确保包括该转辙机的行进路线，列车不能进入到该行进路线，因此“模糊”为安全侧。

处理405是制作记载了经上述获取到的安全保障信息的新的安全保障电文并发送给任意一个成员设备来重新进行传阅的处理。此时，从新的成员列表除去由处理404确定的故障设备。该处理转到处理的结束点406。

以上是在本实施例的信号安全保障系统中用于重新发行安全保障电文的处理的概要。以下，区分用于实现此内容的成员设备、修复装置的中央运算部111(以下简称为“修复装置”)各自的处理来进行说明。首先，使用图5、图6示出各自的处理请求。图5是将使用图3说明的信号安全保障系统的状态中的监视状态302的处理的细节对成员设备和修复装置分别进行区别来记载的图。另外，虽然有多个成员设备，但以下说明的处理501～507在每个成员设备实施。其中，处理507是向修复装置110发送信号(恢复请求)的处理。监视状态302的一系列的处理在修复装置110的处理508中接收到来自成员设备的信号(恢复请求)之后转到结束点509而结束，而该信号(恢复请求)可以是来自任一个成员设备的信号(恢第请求)。

在监视状态302的开始点501，进行处理503。处理503是确认安全保障电文的接收的处理。在“有接收”的情况下，转到处理505。在此，即使存在安全保障电文的接收，像关于图2的电文发行编号206已经说明的那样，如果该安全保障电文被识别为旧的安全保障电文，则拒绝该安全保障电文，不作为此处所说的“有接收”来处理。如果并非“有接收”，则转到处理506。

处理505是进行使用了安全保障电文的安全保障控制和安全保障电文的传阅的处理。该处理由图1的电文处理部119进行。在处理505之后，为了等待安全保障电文再次传阅过来，返回到处理503。

处理506是判定未接收到安全保障电文的状态是否超过了规定时间(超时)的处理。在尚未超过规定时间的情况(未产生超时的情况)下，返回到处理503。在超过规定时间的情况下，转到处理507。

如前所述，处理507是向修复装置110发送信号(恢复请求)的处理。在本实施例中，此时，以使修复装置知晓全部成员设备为目的，添附成员列表进行发送。

修复装置110的处理508是接收在处理507中发送的恢复请求的处理。接收后，转到结束点509，从图3中的监视状态302转变为恢复执行状态303。

另外，由处理503、506构成的一系列的处理相当于图1的电文监视部113的处理。

接下来，对图6进行说明。图6是将使用图3说明的信号安全保障系统的状态中的恢复执行状态303的处理的细节分别对成员设备和修复装置进行区别来记载的图。恢复执行状态303的开始点601在图5所示的监视状态的结束点509之后开始。

恢复执行状态303的开始点601转到处理604。处理604向全部成员设备发送使其通知安全保障信息的指令(待机指令)。

在成员设备的处理605中，接收待机指令，转到处理606。处理606是使得以后不再受理以前传阅的安全保障电文的处理。具体地，可考虑使所受理的电文发行编号(参照图2的206)的值(最新发行编号)递增的方法。此时，每当接收到安全保障电文时，都将其电文发行编号与最新发行编号进行比较，若电文发行编号小于最新发行编号，则拒绝该安全保障电文，由此，能够使得不再受理以前传阅的安全保障电文。本处理转到处理607。

处理607是作为对待机指令的响应而对修复装置发送所存储的安全保障信息的处理。

修复装置的处理608是从成员设备接收安全保障信息的处理。在此，原则上从多个成员设备的全部成员设备接收安全保障信息，并将这多个安全保障信息传给后续的609。由于在任意一个成员设备发生了故障等情况下，不能期待从全部的成员设备接收安全保障信息，因此实际上会设置结束本处理的条件，例如，设置超时时间，或者在通过各成员设备能够检测故障设备的情况下，获得该信息来将故障设备排除在外等。此后，执行根据多个安全保障信息来构筑一个安全保障信息的处理609和将没有对待机指示的响应的装置登记为故障设备的处理610。关于这些处理609、610的顺序，可以先执行其中任意一者。在两者完成时，转到处理611。

另外，从发送待机指令起直到收集并构成安全保障信息为止的处理604、608、609相当于图1所示的信息收集部115的处理。处理610分别相当于图1所示的信息收集部115、故障确定部116的处理。

处理611是根据在处理609和610中得到的信息来制作新的安全保障电文的处理。其格式在图2中示出。此时，对电文发行编号206设定与在前述的处理606中确定的最新发行编号匹配的值(递增了的值)。此外，电文更新编号设为初始值(例如0)。除去在处理610中确定的故障设备而构成成员列表202。

处理612是将由处理611制作的新的安全保障电文发送给处于该成员列表的成员设备中的任一个的处理。关于此时的发送目标，只要不发送给两个以上的发送目标，则可以是任一个。在此，处理611、612相当于图1所示的电文制作部117。

在处理612之后，转到结束点613，再次转变为监视状态302。即，转到图5的开始点501。

以上，使用图5、图6示出了成员设备和修复装置各自的处理请求。接下来，使用图7～图12示出各自的处理请求如何实现。图7～图9记载了成员设备的处理，图10～图12记载了修复装置的处理。

图7是定义安全保障电文的修复方法所涉及的各成员设备的状态的图。存在两个状态702、703，分别称为监视状态、待机状态。若在开始点701开始基于安全保障电文的传阅的信号安全保障，则首先转移到监视状态702。

在监视状态702下，接收到来自修复装置110的待机指令时，返回待机响应并转到待机状态703。在待机状态703下，接收到由修复装置110重新发行的安全保障电文(新安全保障电文)时，转到监视状态702。即，在成员设备中，反复监视状态702和待机状态703。

图8是示出在监视状态702下执行的处理的流程图。该流程图的处理被反复执行。即，若从开始处理801开始进行而到达结束处理809，则再次从开始处理801开始进行处理。但是，在中途转变为待机状态的条件成立的情况下，在结束处理809之后转移到后面说明的待机状态的处理流程。

在本处理流程中，从开始处理801起重复执行处理的定时是实现方面的事项，可以是周期性的，或者也可以是在到达结束处理809起一定时间之后。在本实施例中，为了方便，以后者为前提。即，可以认为一系列的处理流程不会中断。

继开始点801之后的处理802是判定是否接收到待机指令的处理。像在前面的图6的处理604的说明中记载的那样，待机指令是从修复装置发送过来的、以使成员设备通知所存储的安全保障信息为目的的指令。在接收到该待机指令时，转到处理803，在未接收到该待机指令时，转到处理804。另外，在转到处理803时，将在后面的处理807的部分说明的超时计数器重置。

处理803是在接收到待机指令时执行的处理，使所存储的应接受的安全保障电文的发行编号(最新发行编号)递增，将安全保障信息发送给修复装置，然后转移到待机状态。在本流程图中，虽然在此未明确记载确认所发送的安全保障信息是否到达修复装置的处理，但为了谋求进一步的可靠性，也可以追加等待来自修复装置的确认响应(以下，记为ack)且在得不到确认的情况下继续进行再发送等的处理。在转变为待机模式之后，转到结束处理809。即，转到后面说明的待机状态的流程图。

处理804是判定是否接收到安全保障电文的处理。在接收到安全保障电文的情况下，转到处理805，在未接收到安全保障电文的情况下，转到处理807。在此，虽然在图5的处理503的说明中，在接收到的安全保障电文为旧的安全保障电文的情况下不作为“有接收”，但此处不同，不区分所接收到的安全保障电文是否过时，判定有/无接收。这是因为，关于安全保障电文是否过时的判定重新作为处理805来进行具体记载。

处理805是在处理804中接收到安全保障电文时进行的处理，是判定该接收到的安全保障电文是否过时的处理。具体地，在所接收到的安全保障电文的电文发行编号(参照图2的206)大于或等于当前存储的最新发行编号时，将其判定为“真”。

如果判定结果为“真”，则转到处理806。此时，将在后面的处理807中说明的超时计数器重置。在判定结果不为“真”(假)时，将废弃该安全保障电文，并转到处理807。废弃安全保障电文的理由是，像在图6的处理611中说明的那样，电文发行编号具有每次发行安全保障电文时均递增的性质，因此在“假”的条件成立时，可以认为传阅过来的是传阅停滞在某处的已经丧失有效性的旧的安全保障电文。另外，在电文发行编号大于最新发行编号的情况下，在判定为“真”的同时将存储的最新发行编号更新为该电文发行编号。

处理806是进行安全保障电文的控制、安全保障电文的传阅的处理。这相当于图1的电文处理部119、图5的处理505，是在安全保障电文的传阅实现信号安全保障的处理。在结束该处理之后，转到结束处理809。

处理807是使超时计数器递增并判定其值是否大于“规定值”的处理。该判定的目的在于，在从前面为了传阅而发送安全保障电文起到下一次接收为止的期间经过的时间比规定时间长时，认为安全保障电文在传阅的中途丢失，对此进行检测。在对安全保障电文进行接收、处理而发送到下一个成员设备时，或者在一旦检测到超时时，重置超时计数器，如果两种情况都不是，则超时计数器进行加法运算。与其进行比较的“规定值”是决定到超时为止的长度的数值，“规定值”越大，到超时为止的时间越长。该值例如能够在安全保障电文传阅一周平均所需的时间加上一定的余量来决定。在超时计数器大于“规定值”时，即，在检测到在超时时，将超时计数器重置，并转到处理808。除此以外，转到结束处理809。

在此，虽然将“规定值”说明为是基于通常安全保障电文传阅一周所需的时间决定的，但是安全保障电文传阅一周的时间取决于成员设备的数目。在区域中存在更多的成员设备的情况下，安全保障电文传阅一周的平均的时间变长，因此通过同时将“规定值”也设得更大，从而能够防止产生不必要的超时的现象。由于区域中存在的成员设备的数目时刻在变化，因此也可以配合该变化动态地变更“规定值”。

处理808是在检测到超时时进行的处理，向修复装置发送用于开始安全保障电文的重新发行的恢复请求。此时，以告知哪列列车和哪个转辙机作为当前成员设备而参与安全保障电文的传阅为目的，也一同将成员列表发送给修复装置。在该处理之后，转到结束处理809。

以上为监视状态702的处理。接着，使用图9对待机状态703的处理流程进行说明。

图9是示出待机状态703的处理的流程图。只要不发生状态的转变，就反复进行从开始处理901起直到结束处理906为止的处理。

处理902是继开始处理901之后的处理，是判定是否接收到安全保障电文的处理。在接收到安全保障电文的情况下，转到处理903，在未接收到安全保障电文的情况下，转到结束处理906。这是与在图8的处理804中说明的处理相同的处理。

处理903是在接收到的安全保障电文的电文发行编号(参照图2的206)大于或等于所存储的最新的电文发行编号时判定为“真”的处理。如果是“真”，则转到处理904，如果是“假”，则转到结束处理906。该处理是与在图8的处理805中说明的处理相同的处理。在电文发行编号大于最新发行编号的情况下，在判定为“真”的同时将所存储的最新发行编号更新为该电文发行编号。

处理904是进行安全保障电文的控制和传阅的处理，与图8的804相同。

处理905是继处理904之后的处理，是转变为监视状态702的处理。在该处理之后转到结束处理906，即，转到已经说明的监视状态702的流程图的开始处理801。

以上，对成员设备的两个状态和各状态的处理流程进行了说明。以后，对修复装置的处理进行说明。

图10是定义安全保障电文的修复方法所涉及的修复装置的状态的图。存在两个状态1002、1003，分别称为修复准备状态、修复执行状态。若在开始点1001开始基于安全保障电文的传阅的信号安全保障，则首先转移到修复准备状态1002。

修复准备状态1002在接收到来自成员设备的恢复请求时，转到修复执行状态1003。修复执行状态1003在完成了新安全保障电文的发行时，转到修复准备状态1002。即，在修复装置中，反复修复准备状态1002和修复执行状态1003。

图11是示出在修复准备状态1002下执行的处理的流程图。该流程图的处理被重复执行。即，若从开始处理1101开始到达结束处理1105，则再次从开始处理1101开始进行处理。但是，在中途转变为修复执行状态的条件成立的情况下，在结束处理1105之后转移到后面说明的修复执行状态的处理流程。

继开始点1101之后的处理1102是判定是否接收到恢复请求的处理。像在前面的图6的处理602的说明中记载的那样，恢复请求是从成员设备发送过来的、以请求转移到安全保障电文的重新发行过程为目的的请求。在接收到该恢复请求时，转到处理1103，在未接收到该恢复请求时，转到结束处理1105。

处理1103是读出与恢复请求一同接收的成员列表并进行存储的处理。该信息在后面说明的修复执行状态的处理中利用。与恢复请求一同将成员列表发送过来的情况像在图8的处理808的说明中已经记载的那样。

处理1104是继处理1103之后的处理，是转变到修复执行状态的处理。该处理转到结束处理1105，即，转到后面说明的修复执行状态的处理流程。

以上是修复准备状态1002的处理。接下来，使用图12对修复执行状态1003的处理流程进行说明。

图12是示出修复执行状态1003的处理的流程图。只要没有发生状态的转变，就重复进行从开始处理1201到结束处理1207为止的处理。

处理1202是继开始处理1201之后的处理，是向区域内的全部的成员设备广播待机指令的处理。像在图8的处理802、803中说明的那样，接收到待机指令的成员设备发送安全保障信息。在本处理中，还等待并接收该安全保障信息。

在全部的成员设备返回了安全保障信息时，转到接下来的处理1203。关于是否从全部的成员设备接收到了安全保障信息，能够利用在对修复准备状态进行说明的处理1103中获取的成员列表来得知。但是，若考虑在成员设备中的任一个设备通信产生永久性故障的情况，则不一定全部的成员设备均能够响应来返回安全保障信息，因此还同时附加如果经过一定程度的时间则无条件转到下一处理1203那样的条件。在本处理中，为了在后面的处理中利用，还对发送了待机指令的次数进行管理、存储。

处理1203是判定针对在处理1202中发送的待机指令是否从全部的设备得到了对待机指令的响应的处理。如果未从全部的设备得到响应，则转到处理1204，如果从全部的设备得到了响应，则转到处理1206。

处理1204是判定对前述的待机指令发送次数进行管理、存储的值是否超过“规定次数”的处理。如果超过了“规定次数”，则转到处理1205，如果未超过“规定次数”，则转到处理1207。在未超过“规定次数”的情况下转到处理1207之后，会再次转到开始处理1201的执行，所以再次在处理1202中广播待机指令。

在此，“规定次数”是为了向由于噪声等偶发性的因素而未能向修复装置送达对待机指令的响应的成员设备提供再发送的机会而设置的。“规定次数”设得越大，就可以多次尝试再发送，因此到重新发行安全保障电文为止所耗费的时间越长。相反，若“规定次数”过小，则由于偶发性的因素而未能送达对待机指令的响应的成员设备会立即被判定为故障，如后面说明的那样，从重新发行的安全保障电文的成员列表中被除去。在本实施例中，将该值设为1，即，设为只尝试一次再发送，但是也可以使用1以外的值。

处理1205是在待机指令发送次数超过了“规定次数”时执行的处理，是将最终未得到对待机指令的响应的成员设备登记为故障设备的处理。该处理转到处理1206。

处理1206是根据在处理1202中获取的安全保障信息，根据需要还根据在处理1205中确定的故障设备的登记信息，来制作新安全保障电文并进行重新发行的处理。从多个成员设备得到多个安全保障信息，因此像在图4的处理403的说明中记载的一个例子那样，能够选定电文更新编号(参照图2的207)最大的安全保障信息来决定。此外，像后面在图13的说明中记载的那样，在存在不能决定的信息的情况下，也可以临时记载安全侧的信息。

使用这样决定的安全保障信息和除去了登记为故障设备的成员设备的新的成员列表，来制作新的安全保障电文。像在图6的处理611中说明的那样，此时，安全保障电文的格式依照在图2中说明的格式，对电文发行编号206设置递增后的值，使得能够用于前述的成员设备侧的处理805、903中的判定处理。此外，电文更新编号207设为初始值(例如0)。将像这样制作的新安全保障电文发送到该成员列表中的任一个设备。在此，关于发送目标，在不发送给两个以上的设备的条件下，可以是成员列表中的任何设备。在完成了以上处理时，转移到修复准备状态，并转到结束处理1207。

以上，对修复装置的两个状态和各状态的处理流程进行了说明。接下来，使用图13对变得不能传阅安全保障电文时的系统的行为的一例进行说明。

图13是示出安全保障电文的修复处理的一例的序列图。在图的最上部，作为与安全保障电文的修复相关的运算部，从左起排列修复装置的中央运算部111、列车控制运算装置102、转辙机控制运算装置104、106、108。各部分的处理序列从上向下进行。为了方便说明，在图的最左部示出了从上向下前进的时间轴，并且示出了t1～t7的具体的时刻。此外，对于中央运算部111和作为成员设备的代表的转辙机控制运算部108，在序列的旁边记载该时间点处的状态名。以下，依次对序列进行说明。

在时刻t1从列车控制运算部102发送的安全保障电文依次传阅到转辙机控制运算部104、106、108，然后再次传阅到102。此时，中央运算部111为修复准备状态，转辙机控制运算部108为监视状态。设想在该传阅的中途，在时刻t2，转辙机控制运算部104的通信功能发生了永久性的故障。

这样一来，安全保障电文暂时传阅不到转辙机控制运算部106的状态持续，不久，在时刻t3首次检测到超时，向中央运算部111发送恢复请求。中央运算部111接收到该恢复请求，转变为修复执行状态。另外，此时中央运算部111还同时接收有成员列表。

在该实施例中，对列车控制运算部102、转辙机控制运算部108也设置有与转辙机控制运算部106同样的超时时间，因此中央运算部111也接连从列车控制运算部102、转辙机控制运算部108接收到恢复请求，但在转变为修复执行状态之后，即使接收到来自列车控制运算部102、转辙机控制运算部108的恢复请求也不进行任何处理。

成为修复执行状态的中央运算部111首先在时刻t4广播待机指令。列车控制运算部102、转辙机控制运算部106、108接收该待机指令，使最新发行编号递增以使得以后不再受理传阅的安全保障电文，并返回存储的安全保障信息，转移到待机状态。但是，转辙机控制运算部104仍为通信功能不能工作的状态，因此不会接收到待机指令而返回安全保障信息。结果，中央运算部111在经过了预先规定时间的时刻t5检测到在接收缓冲器中尚未凑齐全部的成员设备的安全保障信息，再次广播待机指令。

该待机指令再次送达到列车控制运算部102、转辙机控制运算部106、108，但是这些成员设备已经转移到待机状态，因此即使接收到该待机指令也不做任何处理。转辙机控制运算部104仍为通信功能不能工作的状态，因此再次不能接收待机指令。中央运算部111在再次经过了规定时间的时刻t6检测到仍是未从全部的成员设备得到待机指令的状态，因为待机指令的再发送次数已达上限，所以将未返回安全保障信息的转辙机控制运算部104登记为故障设备。

接下来，中央运算部111选择从列车控制运算部102、转辙机控制运算部106、108得到的安全保障信息中的电文更新编号(参照图2的207)最大的安全保障信息，用于制作新的安全保障电文。

接着，由除去了登记为故障设备的转辙机控制运算部104的列车控制运算部102、转辙机控制运算部106、108构成成员列表。将记载了这样制作的安全保障信息、并且使电文发行编号(参照图2的206)进行了递增的安全保障电文作为新的安全保障电文，在时刻t7发送给列车控制运算装置102。

另外，在决定新的安全保障电文的安全保障信息时，关于具备被登记为故障设备的转辙机控制运算装置104的转辙机103的信息，在其锁闭状态不明的情况下，也可以作为安全侧的信息而写入“模糊”，将转辙机方向指示信息设为“故障中”。这样，包括转辙机103所处的区块的行进路线不能新确保，即使该转辙机未被锁闭，也能够期待安全。

或者，在转辙机103确实以安全保障电文丢失时的状态被锁闭的情况下，将转辙机的状态信息设为与实际状态匹配的正位或反位的锁闭，在包括该转辙机的区块未占有的情况下保持原样，由此虽然只是向被锁闭的方向，但仍能够确保包括该转辙机的新的行进路线。在本实施例中考虑了转辙机的控制装置的故障，但假如在列车的控制装置产生故障的情况下，通过将该列车所占有的区块保持为“被占有”的状态，从而即使该列车在不能进行通信的状态下继续行驶，也能够确安全保障全。

通过在时刻t7发送新安全保障电文，从而中央运算部111返回到修复准备状态。列车控制运算部102、转辙机控制运算部106、108分别接收到新安全保障电文的传阅时，重新开始该传阅，并返回到监视状态。这样，可实现安全保障电文的重新发行。

另外，转辙机控制运算部104只是通信功能产生了故障，因此在从时刻t2起经过了超时时间之后，会反复想要发送恢复请求。因此，若不久通信功能恢复，则恢复请求送达到中央运算部111，中央运算部111成为修复执行状态，再次开始进行安全保障电文的重新发行的处理。结果，下次将再次开始全部的成员设备均参加的新的安全保障电文的传阅。

以上，根据本实施例的信号安全保障系统，在区域内的列车、转辙机之间传阅安全保障电文来实现排他控制的信号安全保障系统中，由于成员设备的通信功能的故障等原因而导致安全保障电文的传阅停滞时，能够重新发行安全保障电文。此时，将成为安全保障电文的传阅停滞的原因的设备确定为故障设备，使得只在除该故障设备以外的成员设备之间传阅安全保障电文，由此，若是由不受故障设备的干扰的区块构成的行进路线，则能够新确保，并在该范围内能够继续运转。

虽然在本实施例中使列车和转辙机具有电文监视部113，但是也可以由修复装置110具有电文监视部113。在该情况下，关于安全保障电文109的健全性，还能够像以下那样进行判定，例如能够由中央运算部111对成员设备中的任一个定期地进行询问，如果安全保障电文109记载的电文更新编号207未增加，则判定为异常。该情况下的询问的周期可以与安全保障电文的传阅周期无关而取得比较长。或者，如果设为成员设备在发送安全保障电文时必须通知修复装置那样的机制，则修复装置能够通过监视该通知的中断来感测安全保障电文的传阅的异常。

在本实施例中，只考虑了使用一个安全保障电文109进行控制的单个区域，但是如果还存在与该区域邻接的区域等其他也实施同样的控制的区域，则修复装置110也可以向多个区域提供在本实施例中示出的处理。关于修复装置110的处理，只要安全保障电文健全地被传阅，则仅是以在图11中说明的修复准备状态等待恢复请求，并不需要高的处理负荷，因此能够比较容易地实现对多个区域的管辖。此时，在修复装置110在某个区域实施修复处理的期间从其它区域受理了恢复请求的情况下，也可以推迟对后来发来恢复请求的区域的修复处理。虽然该区域的列车运行的运转率会下降，但是不会损害信号安全保障系统视为第一目的的安全性，并能够降低系统整体的成本。

另外，在本实施例中，将修复装置110说明为设置场所与成员设备不同而设置在沿线的设备，但例如也可以由成员设备具有与其相同的功能。在该情况下，虽然该成员设备的控制运算部的处理会变得更复杂、大规模，但是无需在沿线设置修复用的新的设备，相应部分的硬件廉价。如本实施例那样，将修复装置110与成员设备分开设置在沿线的情况下，如已经说明的那样，具有如下优点：即使在列车运行正在运转中也能够比较容易地对修复装置进行维护、更换；通过构成为能够与位于多个区域的列车、转辙机进行通信，从而能够同时对多个区域进行管辖。

实施例2

以下，对第二实施例进行说明。在第二实施例中，设置有用于对在区域内确定安全保障电文的传阅目标及传阅顺序的成员列表进行管理的专用的单元，这一点与第一实施例较大相同。

使用图14对第二实施例的信号安全保障系统的结构进行说明。关于列车1401、列车控制运算部1402、转辙机1403、1405、1407、转辙机控制运算部1404、1406、1408、电文监视部1413、电文处理部1419、修复装置1410、中央运算装置1411、信息收集部1415、电文制作部1417，它们的结构、处理内容与第一实施例(图1)中的列车101、列车控制运算部102、转辙机103、105、107、转辙机控制运算部104、106、108、电文监视部113、电文处理部119、修复装置110、中央运算装置111、信息收集部115、电文制作部117的结构、处理内容相同。

但是，其中，关于列车控制运算部1402、转辙机控制运算部1404、1406、1408、中央运算部1411进行的用于确定成员列表的处理，在第一实施例中是通过对安全保障电文109所记载的信息进行读出或写入来实现的，但在本实施例中，通过如下方式来实现，即，各运算部具备存储成员列表的存储器区域，从后面说明的运行管理装置1420接收成员列表，将该信息写入到该存储器区域，读出该信息。列车控制运算部1402、转辙机控制运算部1404、1406、1408各自具备的成员列表存储部1423相当于进行该处理的部分。

成员列表存储部1423通过通信从后面说明的运行管理装置1420接收成员列表，并保持该信息。电文处理部1419是进行使用了安全保障电文1409的控制和安全保障电文1409的传阅的处理部，此时，使用从成员列表存储部1423读出的信息来确定传阅安全保障电文1409的接收目标和顺序。另外，转辙机控制运算部1404、1406、1408也是与列车控制运算部1402同样的结构。

在本实施例中，成员设备与修复装置1410之间的通信涉及的路径与第一实施例不同。在本实施例中，运行管理装置1420具备用于与成员设备进行无线通信的通信控制部1412，还具备用于与修复装置1410进行通信的通信单元1422。因此，成员设备与修复装置1410之间能够经由运行管理装置1420进行通信。在此，关于通信单元1422，只要是能够传送安全保障电文1409程度的信息量的单元，既可以是无线，也可以是有线。

运行管理装置1420是构成运行管理系统的装置，该运行管理系统掌握着在铁路系统中通常已知的区域的线形信息、存在于区域内的列车、转辙机的位置，具有运转计划，并具有按照该运转计划对列车指示行进路线的功能。

本实施例的运行管理装置1420具备由能够执行用于实现运行管理的用途的软件/程序的cpu和存储器构成的中央运算部1426，并且作为在该中央运算部1426上实现的一个功能而具备成员列表管理部1421。成员列表管理部1421是对前述的成员列表存储部1423提供存在于区域内的成员设备的信息和安全保障电文的传阅顺序的信息的处理部。成员列表管理部1421预先具有区域的线形信息和确定区域内的转辙机的信息。此外，通过与运行过程中的列车定期地进行通信，从而追踪并掌握哪列列车位于哪里。

因此，对于在本实施例中考虑的图14的区域，成员列表管理部1421知道存在列车1401、转辙机1403、1405、1407，此外，能够确定一个在这些设备之间传阅安全保障电文1409的顺序。此时，传阅安全保障电文1409的顺序可以任意决定。

作为在中央运算部1426上实现的另一个功能，运行管理装置1420还具备故障确定部1416。与第一实施例中的故障确定部116同样地，故障确定部1416将对基于通信的指令没有响应的成员设备登记为故障设备，但是不限于此，如果存在运行管理装置1420以运行管理为目的而获取的设备的信息，则也可以使用该信息确定故障设备。

成员列表管理部1421在制作提供给成员列表存储部1423的成员列表时，构成成员列表使得除去由故障确定部1416登记为故障设备的设备。

基于如上所述的通信结构，对中央运算部1411的处理进行说明。在第一实施例中的中央运算部111中，其待机指示部114、信息收集部115、电文制作部117通过最初从成员设备与恢复请求一同接收的成员列表来确定成为通信的接收目标的成员设备。相对于此，本实施例中的待机指示部1414、信息收集部1415、电文制作部1417并不是由它们各自对成为通信的接收目标的成员设备进行管理，而是在位于与成员设备的通信路径上的运行管理装置1420中由成员列表管理部1421基于其保有的成员列表对中央运算部1411与成员设备之间的通信的接收目标适当地进行控制。

此外，在本实施例中，考虑在第一实施结构中加以考虑的由以区块118为代表的多个区块构成的区域(以下，特别将其称为基准区域)和与其邻接的区域1424的关系。存在于邻接区域1424的列车1425欲进入到基准区域。列车1425具备与运行管理装置1420的无线通信单元，成员列表管理部1421能够在利用该通信单元从列车1425接收到进入请求时将列车1425新添加到基准区域的成员设备。或者，与是否接收到进入请求无关，运行管理装置1420也可以根据以运行管理为目的而获取的设备的信息预测列车的进入，并将该列车添加到成员列表。

另外，虽然在图14中对运行管理装置1420和修复装置1410为不同的装置的情况进行了说明，但是也可以由一个装置构成。例如，通过具备能够执行成员列表管理部1421、故障确定部1416、信息收集部1415、电文制作部1417的处理的中央运算部和通信控制部1412的修复装置也能够实现本实施例的处理。

以上，关于图14的结构，对除安全保障电文1409以外的设备、处理进行了说明。以下，使用图15对安全保障电文1409的结构进行说明。

在图15示出安全保障电文1409的格式。安全保障电文1409的格式从对第一实施例的安全保障电文109进行记载的图2的格式除去了成员列表202。取而代之，相当于成员列表202的信息可由已经使用图1进行说明的成员列表管理部1421和成员列表存储部1423实现。以下，对中央运算部1411的状态和处理进行说明。

在图16示出中央运算部1411的状态的定义和转变条件。其与示出第一实施例中的中央运算部111的状态的定义和转变条件的图10相同。即，若在修复准备状态1602时接收到恢复请求，则转到修复执行状态1603。若在修复执行状态1603时完成了新安全保障电文的发行，则转到修复准备状态1602。

使用图17对修复准备状态1602的处理进行说明。修复准备状态周期性地执行从成为起点的开始处理1701起直到成为终点的结束处理1705为止的一系列的处理。

在继开始处理1701之后执行的处理1702中，查看通信单元1422的接收缓冲器，从而确认是否从运行管理装置1420接收到了恢复请求，如果接收到恢复请求，则转到处理1704，如果未接收到恢复请求，则转到结束处理1705。在此，恢复请求原来是从成员设备发送的。运行管理装置1420若接收到恢复请求，则使用通信单元1422将恢复请求转播给修复装置1410。

处理1704是转移到修复执行状态的处理。在该处理之后转到结束处理1705，以后转到在图18中说明的修复执行状态的处理流程。

使用图18对修复执行状态1603的处理流程进行说明。在图18中，处理1801～1805是修复执行状态1603的处理内容，还同时记载了与处理1801～1805相关的运行管理装置1420中的处理。分割线1806的右侧示出中央运算部1426的处理。在图18之中，点线的箭头表示数据的流向，每次都会与相关的处理的说明一起对此进行解说。

在图18之中，特别是，为了在中央运算部1426的处理中明确与成员设备的掌握和管理相关部分的数据的流向，在成员列表管理部中清楚地记载了存储有成员列表的存储器区域1813。存储器区域1813提供如下单元，即，除了成员列表的信息以外，还至少记录有表示该成员列表特定的设备有无故障的信息，并进行这些信息的读出和写入。而且，在试图通过该单元来读出成员列表时，如果成员列表包含存在故障的设备，则将除去该设备而构成的新的成员列表交给读出侧的设备。在图18中，从存储器区域1813输出的箭头表示成员列表的读出，向存储器区域1813输入的箭头表示对成员列表写入确定的设备的故障信息。

重新返回到修复执行状态1603的处理的说明，并从开始处理1801依次进行说明。继开始处理1801之后的处理1802是向运行管理装置1420发送待机指令的处理。此时，无需确定接收目标的成员设备。在处理1802之后，转到处理1803，等待从运行管理装置1420接收到安全保障信息。

另一方面，在运行管理装置1420的中央运算部1426中，在接收到该待机指令时，在处理1807中，向作为恢复请求的发送源的设备在线的区域的全部成员设备广播待机指令。此后，中央运算部1426在处理1808中调查是否从全部的成员设备接收到安全保障信息，如果未接收到，则在处理1809中调查待机指令的发送次数是否超过规定次数，如果尚未超过，则返回到处理1807重发待机指令，不久，如果判断在处理1808中从全部的成员设备接收到了待机响应，则转到处理1811。

或者，如果在处理1809中待机指令发送次数超过规定的次数，则在处理1810中将未返回待机响应的设备登记为故障设备，并转到处理1811。在此，处理1808利用从存储器区域1813读出的成员列表。此外，处理1810向存储器区域1813写入判定为故障的设备的信息。处理1811将与确认响应一同从成员设备接收的安全保障信息发送到修复装置1410。

另外，以上说明的中央运算部1426的处理1807～1811与在第一实施例中使用图12说明的处理1202～1205对应。处理1206实现的内容相当于由本实施例的处理1811、1803、1804、1812实现的内容。

在修复装置1410的中央运算部1411的处理1803中，从运行管理装置1420像这样接收安全保障信息，在处理1804中制作基于该安全保障信息的新安全保障电文，并发送到运行管理装置1420，然后转到结束处理1805。

在像这样接收到新安全保障电文时，运行管理装置1420的中央运算部1411从存储器区域1813读出成员列表，并向由其确定的成员设备分发该成员列表。此时，如果从邻接区域1424的列车1425接收到进入请求(例如只要设置进入请求专用的接收缓冲器并对其进行读取即可知道)，则对成员列表进行更新，使得新添加列车1425，并向由该更新后的成员列表确定的成员设备分发更新后的成员列表。因此，如果此后向成员列表的前头的设备发送新安全保障电文，则新安全保障电文也会将欲从邻接区域1424进入的列车1425包含在内而进行传阅。

在此，在添加列车1425而对成员列表进行重构时，列车1425可以添加在成员列表的任何顺序，例如只要添加在末尾即可。此外，虽然在本实施例中将新安全保障电文的发送目标设为成员列表的前头的设备，但是不限于此，可以提供给成员列表中的任何顺序的设备。

根据本实施例，即使在安全保障电文在传阅中消失时，也能够重新发行安全保障电文，继续进行信号安全保障的控制，使列车继续运行。此外，在重新发行安全保障电文的处理的中途存在来自邻接区域的列车的进入请求时，在重新发行的安全保障电文的成员中包括该设备，由此能够更快地许可来自邻接区域的列车的进入。

符号说明

101：列车

102：列车安全保障装置

201、211、221：转辙机

202、212、222：转辙机安全保障装置

301：安全保障电文

401～404：修复用电文。

权利要求书(按照条约第19条的修改)

1.(删除)

2.(修改后)一种电文修复装置，在信号安全保障系统中生成安全保障电文，所述信号安全保障系统通过使包含行驶路线的占有权信息的安全保障电文在存在于由设定所述占有权信息的一个以上的区块构成的行驶路线的列车之间按顺序依次进行传阅，从而在所述列车之间共享所述安全保障电文，并对列车设定所述行驶路线的各区块的占有权，所述电文修复装置的特征在于，

所述安全保障电文包含表示电文被更新的次数的电文更新编号，

所述电文修复装置，若在所述安全保障电文的传阅中感测到异常，则向存在于所述行驶路线的列车发送对与各区块的占有权相关的信息进行请求的信息，

从存在于所述行驶路线的列车接收该列车最后接收或发送的安全保障电文的信息，作为与所述行驶路线的各区块的占有权相关的信息，

并基于所接收到的该安全保障电文的信息当中的电文更新编号最大的安全保障电文的信息来生成新的安全保障电文并发送给存在于所述行驶路线的列车。

3.(修改后)根据权利要求2所述的电文修复装置，其特征在于，

所述安全保障电文包含表示生成了新的安全保障电文的次数的电文发行编号，

所述电文修复装置若发行新的安全保障电文，则对安全保障电文所包含的电文发行编号进行更新。

4.(修改后)根据权利要求2～3中任一项所述的电文修复装置，其特征在于，

所述安全保障电文包括表示传阅该安全保障电文的列车的成员列表，

所述电文修复装置在发行新的安全保障电文时，从该新的安全保障电文所包含的成员列表中除去感测到异常的列车。

5.(修改后)根据权利要求2～3中任一项所述的电文修复装置，其特征在于，

所述电文修复装置包括：成员列表管理部，对表示传阅安全保障电文的列车的成员列表进行管理，

所述电文修复装置在发行新的安全保障电文时，从由所述成员列表管理部管理的成员列表中除去感测到异常的列车。

6.根据权利要求4或5所述的电文修复装置，其特征在于，

所述电文修复装置将在给定时间针对请求与所述各区块的占有权相关的信息的信息没有响应的列车、或者即使发送给定次数的请求与所述各区块的占有权相关的信息的信息也没有响应的列车，设为感测到异常的列车。

7.根据权利要求5所述的电文修复装置，其特征在于，

在从存在于与通过所述安全保障电文来设定占有权的行驶路线邻接的其它行驶路线的列车接收到要进入到通过所述安全保障电文来设定占有权的行驶路线的请求的情况下，或者，在预测到存在于与通过所述安全保障电文来设定占有权的行驶路线邻接的其它行驶路线的列车要进入到通过所述安全保障电文来设定占有权的行驶路线的情况下，所述电文修复装置将该列车追加到所述成员列表。

8.(修改后)一种信号安全保障系统，使包含行驶路线的占有权信息的安全保障电文在存在于由设定所述占有权信息的一个以上的区块构成的行驶路线的列车之间按顺序依次进行传阅，从而在所述列车之间共享所述安全保障电文，并对列车设定所述行驶路线的各区块的占有权，所述信号安全保障系统的特征在于，

具备权利要求2～7中任一项所述的电文修复装置。