EP2849986B1

EP2849986B1 - Procédé et système pour commander une installation technique

Info

Publication number: EP2849986B1
Application number: EP13733994.1A
Authority: EP
Inventors: Thomas METSCHULAT
Original assignee: Siemens AG; Siemens Corp
Current assignee: Siemens AG; Siemens Corp
Priority date: 2012-06-29
Filing date: 2013-06-24
Publication date: 2016-04-27
Anticipated expiration: 2033-06-24
Also published as: CN104411564A; EP2849986A2; WO2014001235A2; CN104411564B; WO2014001235A3; DE102012211273A1; HK1208013A1

Claims

Agencement (10) de commande d'une installation (20) technique, notamment d'une installation de voie de chemin de fer, l'installation (10) comprenant un ordinateur (25) de poste d'aiguillage, qui peut provoquer un renversement de l'installation (20) technique, et au moins deux ordinateurs (30, 40, 50) d'emplacement de service, par lesquels des instructions (BB) de service peuvent être produites et être transmises à l'ordinateur (25) du poste d'aiguillage, dans lequel
- parmi les ordinateurs (30, 40, 50) d'emplacement de service, au moins un ordinateur (30) d'emplacement de service est un ordinateur (30) d'emplacement de service sécurisé, dont le niveau de sécurité atteint une norme minimum donnée à l'avance, et au moins un ordinateur (40, 50) d'emplacement de service est un ordinateur (40, 50) d'emplacement de service, dont le niveau de sécurité est inférieur à la norme minimum donnée à l'avance,

- l'ordinateur (30) d'emplacement de service sécurisé est relié à l'ordinateur (25) du poste d'aiguillage par une liaison (200) de données sécurisée, qui assure une sécurité de transmission donnée à l'avance et

- le au moins un ordinateur (40, 50) d'emplacement de service non sécurisé est relié indirectement à l'ordinateur (25) du poste d'aiguillage, à savoir par l'intermédiaire de l'ordinateur (30) d'emplacement de service sécurisé et les instructions (BB) de service de l'ordinateur (40, 50) d'emplacement de service non sécurisées sont transmises à l'ordinateur (30) d'emplacement de service sécurisé et par celui-ci et par la liaison (200) de données sécurisée à l'ordinateur (25) du poste d'aiguillage.
Agencement (10) suivant la revendication 1,
caractérisé en ce que
- un jeu (DS) de données décrivant l'état de l'installation (10) technique est mémorisé de manière centrale dans l'ordinateur (30) d'emplacement de service sécurisé et

- l'ordinateur (40, 50) d'emplacement de service non sécurisé est programmé de manière à produire, en tirant parti du jeu (DS) de données mémorisé dans l'ordinateur (30) d'emplacement de service sécurisé et d'un mode de représentation donné à l'avance par l'opérateur de l'ordinateur (40, 50) d'emplacement de service non sécurisé, des signaux (AS1 à AS3) de commande d'affichage individuels à l'opérateur, qui donnent un affichage individuel à l'opérateur, de l'état, défini par le jeu (DS) de données, de l'installation (20) technique à un dispositif (70, 80) d'affichage relié à l'ordinateur (40, 50) d'emplacement de service non sécurisé.
Agencement (10) suivant la revendication 2,
caractérisé en ce que l'ordinateur (30) d'emplacement de service sécurisé comprend au moins deux zones (100, 110) de mémoire fonctionnant de manière redondante, dans lesquelles est mémorisé respectivement le jeu (DS) de données décrivant l'état de l'installation (20) technique.
Agencement (10) suivant la revendication 3,
caractérisé en ce que
- un module (90) de comparaison est disposé entre l'ordinateur (30) d'emplacement de service sécurisé et l'ordinateur (40, 50) d'emplacement de service non sécurisé et

- le module (90) de comparaison est conformé de manière à déchiffrer des données du jeu (DS) de données décrivant l'état de l'installation (20) technique en vue de la transmission à l'ordinateur 40, 50) d'emplacement de service non sécurisé respectivement à partir de chacune des au moins deux zones (100, 110) de mémoire fonctionnant de manière redondante et à les comparer entre elles et à acheminer les données (D) déchiffrées à l'ordinateur (40, 50) d'emplacement de service non sécurisé, seulement si elles coïncident, et sinon à empêcher un acheminement.
Agencement (10) suivant l'une des revendications précédentes,
caractérisé en ce que
- l'ordinateur (30) d'emplacement de service sécurisé comprend au moins deux unités (120, 130) d'ordinateur fonctionnant de manière redondante,

- les au moins deux unités (120, 130) d'ordinateur fonctionnant de manière redondante de l'ordinateur (30) d'emplacement de service sécurisé envoie, après avoir reçu une instruction (BB) de service pertinente du point de vue de la sécurité de l'ordinateur (40, 50) d'emplacement de service non sécurisé, respectivement une demande (BSA) de confirmation à l'ordinateur (40, 50) d'emplacement de service non sécurisé et cela par l'intermédiaire du module (90) de comparaison et

- le module (90) de comparaison est conformé de manière à comparer entre elles les demandes (BSA) de confirmation des au moins deux unités (120, 130) d'ordinateur fonctionnant de manière redondante de l'ordinateur (30) d'emplacement de service sécurisé et à les acheminer à l'ordinateur (40, 50) d'emplacement de service non sécurisé, seulement si elles coïncident, sinon à empêcher un acheminement.
Agencement (10) suivant l'une des revendications précédentes, caractérisé en ce que
le module (90) de comparaison compare entre eux des signaux (STB) de commande, qui auraient provoqué un renversement de l'installation (20) technique, des au moins deux unités (120, 130) d'ordinateur fonctionnant de manière redondante de l'ordinateur (30) d'emplacement de service sécurisé et les achemine ou les laisse s'acheminer à l'ordinateur (25) du poste d'aiguillage, seulement s'ils coïncident, et sinon empêchent un acheminement.
Procédé de commande d'une installation (20) technique, notamment d'une installation de voie de chemin de fer, dans lequel,
par un ordinateur (30, 40, 50) d'emplacement de service, on produit des instructions (BB) de service et on les transmet à un ordinateur (25) de poste d'aiguillage en liaison avec l'installation (20) technique et on provoque un renversement de l'installation (20) technique par l'ordinateur (25) du poste d'aiguillage,
dans lequel
on produit les instructions (BB) de service par un ordinateur (40, 50) d'emplacement de service non sécurisé, dont le niveau de sécurité est inférieur à une norme minimum donnée à l'avance, et on les transmet à l'ordinateur (25) du poste d'aiguillage par l'intermédiaire d'un ordinateur (30) d'emplacement de service sécurisé, dont le niveau de sécurité atteint la norme minimum donnée à l'avance.
Procédé suivant la revendication 7,
caractérisé en ce que
- on mémorise de manière centrale dans l'ordinateur (30) d'emplacement de service sécurisé un jeu (DS) de données décrivant l'état de l'installation (20) technique,

- on produit par l'ordinateur (40, 50) d'emplacement de service non sécurisé, en tirant parti du jeu (DS) de données mémorisées dans l'ordinateur (30) d'emplacement de service sécurisé et d'un mode de représentation donné à l'avance par l'opérateur de l'ordinateur non sécurisé, des signaux (AS1 à AS3) de commande d'affichage individuels à l'opérateur, qui donne un affichage individuel à l'opérateur, de l'état, défini par le jeu (DS) de données, de l'installation (20) technique et

- on affiche les signaux (AS1 à AS3) de commande d'affichage sur un dispositif (70, 80) d'affichage relié à l'ordinateur (40, 50) d'emplacement de service non sécurisé.
Procédé suivant le revendication 8,
caractérisé en ce que
- on mémorise le jeu (DS) de données décrivant l'état de l'installation (20) technique d'une manière redondante dans au moins deux zones (100, 110) de mémoire et

- on déchiffre et on compare entre elles des données (D) du jeu (DS) de données décrivant l'état de l'installation (20) technique en vue de la transmission à l'ordinateur (40, 50) d'emplacement de service non sécurisé respectivement de chacune des au moins deux zones (100, 110) de mémoire et on achemine les données (D) déchiffrées à l'ordinateur (40, 50) d'emplacement de service non sécurisé, seulement si elles coïncident, et sinon on empêche un acheminement.