EP2643198B1 - Méthode de sécurisation d'un système de pilotage d'un véhicule multi-unité reconfigurable et système de pilotage sécurisé - Google Patents

Méthode de sécurisation d'un système de pilotage d'un véhicule multi-unité reconfigurable et système de pilotage sécurisé Download PDF

Info

Publication number
EP2643198B1
EP2643198B1 EP11757325.3A EP11757325A EP2643198B1 EP 2643198 B1 EP2643198 B1 EP 2643198B1 EP 11757325 A EP11757325 A EP 11757325A EP 2643198 B1 EP2643198 B1 EP 2643198B1
Authority
EP
European Patent Office
Prior art keywords
unit
unit vehicle
composition
identity
inputs
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
EP11757325.3A
Other languages
German (de)
English (en)
Other versions
EP2643198A1 (fr
Inventor
Eric Chenu
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens SAS
Original Assignee
Siemens SAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens SAS filed Critical Siemens SAS
Priority to EP11757325.3A priority Critical patent/EP2643198B1/fr
Publication of EP2643198A1 publication Critical patent/EP2643198A1/fr
Application granted granted Critical
Publication of EP2643198B1 publication Critical patent/EP2643198B1/fr
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L15/00Indicators provided on the vehicle or train for signalling purposes
    • B61L15/0072On-board train data handling
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L15/00Indicators provided on the vehicle or train for signalling purposes
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L15/00Indicators provided on the vehicle or train for signalling purposes
    • B61L15/0018Communication with or on the vehicle or train
    • B61L15/0036Conductor-based, e.g. using CAN-Bus, train-line or optical fibres

Definitions

  • the present invention relates to a method of securing a control system of a multi-unit vehicle and a secure control system of said multi-unit vehicle, according to the preambles of claims 1 and 7.
  • the present invention relates to the field of multi-unit reconfigurable vehicles, ie able to be composed of several units and whose configuration or composition of said units of said multi-unit vehicle is variable, or in other words likely to be modified or re-configured.
  • the present invention relates to multi-unit vehicles whose operation of a control system, including automatic, is correlated to the composition of the multi-unit vehicle.
  • Said multi-unit vehicle belongs in particular to the railway domain.
  • This is for example a train that can be formed of several units, for example several cars and / or locomotives coupled or hitched successively to each other and constituting a first train of said train.
  • the composition of said train, and thus of said first train can then vary, for example by splitting or coupling of said first train, in order to form a second train composed of at least a part of the units of said first train, to which hitched to other units.
  • the composition of a multi-unit vehicle can vary according to a change of a disposition or a distribution of said units forming said multi-unit vehicle, as well as by addition, and / or respectively withdrawal, of at least one audit unit, and / or respectively said multi-unit vehicle.
  • composition data of said multi-unit vehicle for example the number of units comprising it, the characteristics said units, the relations between these units, their coupling or coupling to one or two other units, are known to the control system for controlling said multi-unit vehicle.
  • This control system generally comprises a computer connected to input / output modules, in particular for acquiring and transmitting operating data relating to driving the multi-unit vehicle.
  • the computer is thus able to control, via the input / output modules, said multi-unit vehicle, in particular according to an automatic mode, or in a manual mode in which the control system, and therefore the computer, is capable of being controlled by a driver or a command center.
  • the operating data is in particular exchanged, via the input / output modules, between said computer and devices included in at least part of the units comprising said multi-unit vehicle to ensure its operation.
  • Said exchange of operating data may for example be implemented by means of a bidirectional connection between the computer and said devices via said input / output modules.
  • the computer and the input / output modules are thus intended to enable and control the multi-unit vehicle, or in other words its correct operation (movement, stop, opening of doors, ...), based on the composition data of said multi-unit vehicle and control operation data exchangeable with said devices of at least a part of said units.
  • said composition data When changing the configuration of said multi-unit vehicle (splitting, coupling with other units), said composition data must be updated so that the control system, in particular its computer, is informed of said change of configuration and be able to correlate the change of composition of said multi-unit vehicle with a change of operating data relating to the control. Indeed, if the computer is not informed of a change in the composition of the multi-unit vehicle, it may interpret a non-receipt of the operating data of the units that have been uncoupled from the multi-unit vehicle (and which can therefore no longer transmit operating data relating to the driving) as a security risk for said multi-unit vehicle, which can therefore result in an activation of a multi-unit vehicle safety procedure, such as, for example emergency braking.
  • a multi-unit vehicle safety procedure such as, for example emergency braking.
  • the driving system of the multi-unit vehicle must in particular be characterized by a high degree of functional safety in order to prevent any event that may affect said multi-unit vehicle or passengers or goods transported by said multi-unit vehicle.
  • the safety of such control systems can be characterized by means of safety standards.
  • the IEC 61508 standard defines the Security Integrity Level (SIL), which is the level of security integrity that a system must have in order to provide adequate protection against the risks that may arise during operation of said system.
  • SIL value the greater the risk reduction.
  • a SIL4 security system provides a risk reduction of between 10 8 to 10 9 in the continuous mode of operation, whereas for an SIL1 system, this reduction is between 10 5 to 10 6 only.
  • control system computer knows exactly the composition and configuration of said multi-unit vehicle (for example, which units make up a train and according to what order of formation are they ordered, or in other words, in what order are they coupled or coupled), so that it can exchange with the units of the multi-unit vehicle all the operating data necessary for controlling said multi-unit vehicle.
  • a theme is particularly addressed in the document WO 2007/118837 describing an automatic addressing method in a communication system, in particular linked to the railway domain.
  • the control system computer in the case of a change in the composition of a multi-unit vehicle, for example, when a train is divided into several parts, the control system computer must be promptly informed of said composition change by example in order to allow oneself to no longer take into account operating data of units that have been detached from the train during its splitting, and so as not to fall into a state of safety resulting in a warning of a monitoring center of a multi-unit vehicle network or even an activation of a trip process, such as emergency braking of said multi-unit vehicle.
  • control systems whether automatic or manual and security (SIL4) known to those skilled in the art are essentially based on "closed" computers for which the perimeter of inputs / outputs is not reconfigurable, ie the computer is connected to a fixed set of inputs / outputs of input / output modules, these inputs / outputs fixedly connecting the computer to certain functional devices of the units managed by said computer, and thus not reconfigurable during a configuration change of the multi-unit vehicle.
  • functional device reference is made to any device interacting with the control system so as to enable said multi-unit vehicle to be piloted. These include, for example, braking devices, opening doors, devices allowing or monitoring the movement of said multi-unit vehicle, etc.
  • the management a multi-unit vehicle generally uses several computers each managing a part of the multi-unit vehicle, each computer being connected to inputs / outputs connecting them in a fixed way to certain functional devices of the unit or unit that it manages.
  • this design of the control system has the disadvantage of having to manage distributed functions on the different computers, notably requiring synchronization algorithms of said computers, whose complexity increases with the number of units constituting the multi-unit vehicle.
  • composition or constitution of a multi-unit vehicle is thus generally deduced from overlapping of several application information exchanged between the different computers of said vehicle.
  • This application information is information from other devices of the multi-unit vehicle not all having the primary task of determining the composition of said multi-guided vehicle. This is, for example, the location data of the head and the tail of the multi-unit vehicle transmitted to the computer by on-board or ground locating devices, or the state of the equipment of the units, or multi-unit vehicles transmitted to the computer by a ground automatic pilot not loaded in said multi-unit vehicle.
  • the overlapping of this application information has the disadvantage of being complicated and slow, and thus reduces the driving performance of said multi-unit vehicle.
  • An object of the present invention is to provide a method of securing a system for driving a reconfigurable multi-unit vehicle and a secure control system which are simple, safe, reliable and efficient, capable of automatic updating and autonomous of a composition of the multi-unit vehicle, while having a security capacity SIL4.
  • the present invention aims to automatically determine and update the composition of the multi-unit vehicle, independently of application information, to safely ensure the multi-unit vehicle control system.
  • the method according to the invention is a method of security, preferentially automatic and in SIL4 security system, a multi-unit vehicle control system capable of reliably determining the composition of the multi-unit vehicle at all times, and guaranteeing coherence between the components at all times.
  • the multi-unit vehicle and the operating data of the multi-unit vehicle control system by the combination of at least one computer with said set of Inputs / Outputs correlated to said composition of the multi-unit vehicle.
  • the method according to the invention is in particular characterized by a cyclic verification, in particular of random or fixed frequency, but in all cases sufficiently frequent verification (for example, at least one verification per time interval less than or equal to 100 milliseconds), in particular by means of the security module, a coherence between the connection of each element of said set of elements with said set of Inputs / Outputs and said composition datum.
  • the present invention is characterized in that said set of elements comprises or is a group of computers that can be distributed in each unit of said multi-unit vehicle.
  • the control system according to the invention preferably comprises said group of computers that can be composed of several identical computers, each computer can be distributed in particular in a unit of the multi-unit vehicle, so that each unit is susceptible to be equipped by at least one calculator.
  • the security module according to the invention is in particular capable of exclusively assigning the connection to said set of inputs / outputs, in particular to each input / output of said set of inputs / outputs, to a single computer of said group. computers, the other computers of said group of computers being excluded from said connection or in other words, prohibited access to said set of Inputs / Outputs.
  • the method according to the invention is capable of comprising a mechanism for securing and prioritizing the connection of at least one computer of said group of computers with said set of inputs / outputs, capable of exclusively assigning calculating said connection to said set of Inputs / Outputs.
  • the elected computer ie having the exclusive access to the set of inputs / outputs is called the master computer.
  • at least one other computer of said computer group is in particular associable with the master computer as a redundant computer of said master computer.
  • the control system according to the invention is capable not only of choosing a master computer from among the computer group, but also of naming a redundant computer from among said computer group.
  • the redundant computer is able to perform the same operations as the master computer, to acquire the same data composition and operation as the master computer for verification and securing of the control system. In the event of failure of the master computer, the redundant computer is able to replace said master computer and to name a new redundant computer.
  • said security and prioritization mechanism comprises a generation of an encoded association token able to lock said connection of at least one computer of said group of computers with said set of Inputs / Outputs, and a generation of an unlocking key capable of unlocking said connection of at least one computer of said group of computers with said set of Inputs / Outputs.
  • at least one computer of the control system can in particular be equipped with a security module comprising a locking module capable of locking each connection of the computer with each of the Inputs / Outputs of said set of Inputs / Outputs.
  • This locking module comprises in particular an encoded association token generator capable of generating, in particular cyclically, on the one hand said coded association token in order to lock each connection of said computer with each of the inputs / outputs of said set of inputs. / Outputs, and secondly said unlocking key adapted to unlock at least one connection of said computer with at least one of the inputs / outputs of said set of inputs / outputs.
  • the method according to the invention is characterized in that said autonomous determination comprises a successive and ordered addition to a list, according to a composition order of said multi-unit vehicle, of at least one piece of identity data of each unit. of said multi-unit vehicle so that a succession order of the identity data included in said list is correlatable to the composition order of the units of said multi-unit vehicle, each identity data being specific to a single unit of the multi-unit vehicle unit, and said list being able to be encapsulated in said composition datum.
  • the identity data item comprises at least one temporal datum, an identifier of the unit, a coding constant, and at least one identifier of a piece of equipment of said unit.
  • the control system according to the invention is characterized in that its device for determining a composition of the multi-unit vehicle comprises at least one identity generating device, each device for generating the identity of the determining device being adapted to equip a unit of the multi-unit vehicle, so that each unit can be equipped with a single identity generation device, each identity generation device being able to generate the identity data of the device. unit it is intended to equip.
  • the method according to the invention is thus characterized in particular by equipping each unit of said multi-unit vehicle with said identical identity generating device capable of generating said identity data for determining the composition of said multi-unit vehicle.
  • each unit of the multi-unit vehicle is capable of comprising an identical identity generating device, each identity generating device being connectable or connectable to at least one other identity generating device, so as to form a chain of identity generating devices each equipping a unit of said multi-unit vehicle and coupled one after the other.
  • each identity generating device equipping each of the units of the multi-unit vehicle is thus connectable to one or two identical identity generation devices so as to form a chain of identity generation devices capable of successively transmitting said list.
  • each identity generation device comprises at least two connectors, respectively a first and a second connector, each for coupling said identity generating device with another identity generating device, ie one of its neighbors in said chain of identity generation devices.
  • Said list can be created by the list generator of one of the two, see two identity generating devices located at the end of said chain as soon as the multi-unit vehicle comprises more than two units.
  • the device for determining said composition thus comprises as many identity generating devices as the multi-unit vehicle comprises units.
  • Each of these identity generation devices is capable of generating the identity data of the unit it equips and transmitting to one or the other of its neighbors, said list after it has been transmitted to it. by the other, respectively one of his neighbors.
  • identity generation devices located at the end of the chain and having a single neighbor ie the identity generating devices for which the presence of coupling with a single other identity generating device is detected, are allowed to generate the list and / or to encapsulate a list received from their unique neighbor in said identity data, so that said list at the end of the chain, it is transmitted to at least one module for securing at least one control system computer by means of said composition datum.
  • said list generator is in particular able to cyclically create said list.
  • said list generator is capable of creating said list when said connection detector detects said presence of coupling of said identity generating device with a single other identity generating device or with no other identity generating device.
  • the creation of said list by the list generator of at least one of the identity generation devices located at the end of the chain allows a control and a continuous updating of the composition of the multi-unit vehicle when the latter is composed at least two units, since said list can be continuously transmitted to the computer via said composition data as soon as said list has passed through the entire chain of identity generating devices.
  • the creation of said list by the list generator of an identity generation device coupled with no other identity generation device allows said control and the continuous updating of the composition of the multi-unit vehicle when the latter is composed of a single unit.
  • said identity data generator is in particular capable of generating polarization data capable of authorizing the transmission of said list of elements by means of only one of the two connectors of said identity generating device, so that said list traverses said chain of identity generation devices according to a priority sense definable by said polarization.
  • each unit comprising said control system is capable of being autonomous, i.e. it is able to move, to manage its movement and its operation independently of any other control system external to said unit.
  • the control system that can be associated with an autonomous unit is able to control and manage the movement of other units that can be coupled or coupled to it, that these other units comprise at least one other autonomous unit and / or at least one other unit. non autonomous unit.
  • a non-autonomous unit as opposed to said autonomous unit, is a unit which comprises only a part of the control system, in particular at least one identity generating device, each of these devices being connectable to the network of said unit, it being even connectable to the network of other units that are likely to be coupled or hitched to form the network of the multi-unit vehicle.
  • an autonomous unit will be able to embark said control system according to the invention, and a non-autonomous unit will refer to a unit that does not have all of said onboard control system.
  • a multi-unit vehicle is then likely to be formed of at least one autonomous unit that can be coupled, or not, to one or more autonomous or non-autonomous units.
  • a computer of one of the autonomous units will be in particular responsible for the management of the control and operation of the multi-unit vehicle.
  • the master computer of one of the autonomous units is intended to drive the multi-unit vehicle.
  • An automatic designation of the master computer for controlling said multi-unit vehicle is feasible as a function, for example, of the formation order of the multi-unit vehicle deductible from said composition data that can be acquired by each computer of each unit.
  • the security module of the control system is on the one hand able to connect each computer to said set of inputs / outputs to allow an exchange operating data between each computer and the functional devices of the units of the multi-unit vehicle, but also, and secondly, to prioritize the connection of said automatically designated master computer to said set of inputs / outputs and to associate a calculator redundant.
  • it is particularly referred to the exclusive allocation of the connection with said set of inputs / outputs to a computer, preferably to a single computer, for example said master computer, or said master computer with its redundant.
  • the input / output set of the I / O modules of the secure control system makes it possible to connect each computer of the multi-unit vehicle to the functional devices of said multi-unit vehicle via the network of the multi-unit vehicle, said network being common to all the calculators of the multi-unit vehicle.
  • the data of compositions and operations can be easily and quickly centralized to the same computer, ie said master computer, via said network, in order to be processed, which has the advantage of ensuring a speed of processing.
  • the control system is capable of choosing at least one computer from among all the computers distributed on the network of said vehicle so that it acts as a computer master intended to be associated directly, by connection to said set of Inputs / Outputs, the input / output modules of said vehicle to control it, for example automatically.
  • the computer acting as a master computer controls said vehicle
  • the other computers of said vehicle can in particular be in a standby state, so that only the computer chosen as the master computer by the security module controls the steering of said vehicle.
  • the figure 1 shows a secure control system adapted to driving a reconfigurable multi-unit vehicle comprising three units 1, 2, 3.
  • the control system comprises at least one identity generation device 4, each identity generation device 4 being intended to equip a unit 1, 2, 3.
  • each unit 1, 2, 3 is able to include said identity generation device 4.
  • Each identity generation device 4 is connectable to its neighbors in order to form a chain of identity generation devices. Said chain of identity generation devices connectable one after the other forms said device for determining a composition of the multi-unit vehicle according to the invention.
  • Said secure control system further comprises at least one computer 5 intended to equip each autonomous unit 1, 2 of the multi-unit vehicle, at least one input / output module 91, and at least one of said computers 5 of the secure control system comprising at least one security module 6, possibly included in the computer 5.
  • several computers 5 are distributed in several autonomous units 1, 2, and several modules d Inputs / Outputs 91 are distributed in several units, whether autonomous or non-autonomous.
  • a network 8 of the multi-unit vehicle makes it possible to connect the computers 5, the security modules 6, the device for determining the composition of the multi-unit vehicle, the I / O modules 91, and the functional devices 7 of each to each other so that they can communicate and exchange information, such as composition data and operating data, with each other.
  • the I / O modules 91 of the control system allow the connection, via the network 8, of the computers to a set of I / Os, each I / O being able to connect at least one functional device 7 to at least one computer 5.
  • Each computer 5 is in particular dynamically reconfigurable on the basis of the composition data supplied by the device for determining the composition of the multi-unit vehicle, in order to maintain in real time a connection with said inputs / outputs. consistent with the composition of said multi-unit vehicle.
  • the figure 2 presents an exemplary embodiment of an identity generation device 4 according to the invention.
  • Each identity generation device 4 is connectable, in particular by means of a bidirectional series low bit rate differential connection, to at least one other identical identity generation device 4a, 4b, in particular to two other generation devices.
  • identity 4a, 4b identical as presented in Fig. 2 .
  • Each identity generation device 4, 4a, 4b comprises an identity data generator 41, a connection detector 42, a signal generator list 43, a serialization component 44, a list transmitter 45, and at least two connectors, respectively a first connector 46a and a second connector 46b, for the acquisition and transmission of the list.
  • a third connector 47 may in particular connect the identity generating device to the network of the unit or the multi-unit vehicle.
  • connection detector of the identity generation device is particularly characterized in that it is able to guarantee in safety that a list has an input on the first connector 46a or respectively the second connector 46b and intended to to be acquired by said identity generating device, can not be found by crosstalk or any other coupling on the second 46b or respectively the first connector 46a.
  • the connection detector, connectable to said connectors 46b, 46a may in particular comprise at least one electrically isolated differential buffer, in particular a first buffer 422 connectable to the first connector and a second buffer connectable to the second connector, as well as receivers opto-couplers, in particular a first optocoupler receiver connectable to the first connector and a second opto-coupler receiver 421 connectable to the second connector.
  • protection components against disturbances and overvoltages may be added to said detection device, as well as filters to ensure safety isolation between the first and second connector 46a, 46b.
  • said serialization component 44 may comprise two distinct digital components 441, 442, for example FPGAs, capable of performing serialization and deserialization functions of an element of said list, as well as the function of adding another element following the last element of that list, in particular in order to guarantee in safety that a list can not pass through the identity generation device of the connector 46a to the connector 46b, or vice versa, without having been enriched with the identity data of said identity generating device.
  • two distinct digital components 441, 442 for example FPGAs
  • the identity data generator 41 is in particular capable of generating polarization information, said polarization information permitting, possibly propagating the list comprising said identity data only to one and only one of said first or second connectors 46a or 46b.
  • said identity data may advantageously comprise various information allowing identification of the unit it equips, such as for example an equipment number or a unit number of the unit it equips.
  • the list transmitter 45 is able to act as an interface between the network, for example an IP Ethernet network, the multi-unit vehicle and the identity generation device. For this purpose, it may optionally comprise a digital component, such as an FPGA programmable logic circuit.
  • the control system according to the invention is thus able to guarantee that at least one computer, preferably the master computer, is associated in a coherent manner with all the functional devices of the multi-unit vehicle in order to control said vehicle. multi-unit.
  • the device for determining the composition of the multi-unit vehicle makes it possible to discover said composition by propagation of said list from one unit to another unit composing said multi-unit vehicle.
  • the security module associates, preferably exclusively, a connection to a set of I / O distributed on the network of said multi-unit vehicle with a computer, in particular with a master computer, said inputs / outputs being intended to connect said calculator to the functional devices of the units that make up said multi-unit vehicle.
  • each computer is coupled to a security module according to the invention, and each security module according to the invention is able, depending on said composition data to enter an inactive mode or in an active mode, to so that a single security module is active for the multi-unit vehicle.
  • at least one predefinable condition in each of said securing modules allows each of the security modules to determine its own mode of operation, ie either said active mode or said inactive mode. Said predefinable condition can for example be correlated to a position within the multi-unit vehicle of the unit equipped with a computer comprising said security module.
  • the figure 3 shows an example of a mechanism for securing the association of at least one computer of a control system according to the invention with a set of inputs / outputs of input / output modules for equipping the multi-unit vehicle .
  • a security module is chosen, for example according to said composition datum, in order to secure the connection.
  • a calculator or a computer group for example a master computer and its redundant computer, with a set of inputs / outputs of input / output modules.
  • the security module comprises in particular an encoded association token generator capable of generating an encoded association token, in particular comprising a specific identification code of the computer or the group of computers authorized to be connected to the Inputs. / Outputs of said input / output modules.
  • the locking module of the security module is capable of transmitting said token to all I / O modules whose I / O must be connected to the computer or computer group in order to remain coherent with said composition data of the multi-unit vehicle, and to allow control by the computer or the computer. computer group, functional devices of the multi-unit vehicle.
  • composition data in particular makes it possible for the security module to determine which Inputs / Outputs of which input / output modules must be controlled by the computer or computer group in order to ensure the operation of the multi-unit vehicle, and therefore of determine which inputs / outputs must be connected to the calculator or computer group.
  • Each input / output module receiving said coded association token is particularly capable, during a response phase, of transmitting periodically or sufficiently frequently a confirmation message capable of confirming the connection of said computer with the inputs / outputs of said module.
  • I / O and transmit said confirmation message to said computer, in particular to said securing module of said computer secure management system.
  • Said confirmation message may for example be issued periodically to a transmission period whose time value, ie its duration, may be predefined.
  • the response phase may be preceded by an initialization phase 1 for generating and initializing the confirmation message.
  • the duration of this initialization phase is in particular greater than the duration of said transmission period in order to guarantee in safety that the security mechanism has the time to detect that a computer or a group of computers previously connected to an input / Output of an I / O module has or have lost said connection with said I / O before another computer or group of computers has had the time to connect to said Input / Output.
  • This duration of the initialization phase greater than the transmission period may be for example guaranteed by a pseudo-random generator forced to operate continuously during said initialization phase of the confirmation message.
  • an initialized confirmation message 2 is generated by the input / output module.
  • the input / output module is able to associate, during an association phase 4, said coded association token. audit confirmation message initialized.
  • said confirmation message 5 is ready to be transmitted periodically to the security module.
  • this confirmation message comprises on the one hand said identification data of the computer or group of computers, but also on the other hand, an identification of the inputs / outputs of the input module. / Outputs connected to said calculator or group of computers, and a temporal data to verify a freshness of the confirmation message.
  • the confirmation message is then sent, in particular cyclically, during the response phase 6, at least to said security module having issued the coded association token.
  • the locking module of said security module is capable of decoding the confirmation message in order to check that the inputs / outputs of said input / output module are connected to said calculator or to said calculator group, and not to other calculators. .
  • the association token generator of said locking module is capable of generating an unlocking key intended to be transmitted by the locking module to all the I / O modules whose connections to the computer or the computer group must be disconnected.
  • the I / O module is particularly adapted to disassociate the coded association token from the initialized confirmation message in order to restore said initialized confirmation message 2.
  • the I / O module is able to reset by returning to the initialization phase of the confirmation message. to allow, for example, that a coded association token of another computer is likely to be associated with said initialized confirmation message.
  • the response phase 6 makes it possible to send, in particular cyclically, to the security module the confirmation, via said confirmation message, that the inputs / outputs of said input / output module are connected and controlled by the computer, for example the computer master, or by a group of computers, for example the master computer and its redundant.
  • Said security module is thus particularly capable of constantly checking a coherence of the connection of the computer with each input / output module for which it has received said confirmation message and said composition data, thereby guaranteeing the secure connection of a calculator auditing set of Inputs / Outputs.
  • the figure 4 describes an automatic coupling of a first multi-unit vehicle 1 with a second multi-unit vehicle 2 each comprising a secure steering system according to the invention, in order to form a new multi-unit vehicle.
  • the two multi-unit vehicles for example a first train comprising three cars and a second train comprising two cars, each comprise a distributed secure control system of their own, said secure control systems of each of the multi-vehicles. -units being independent of each other.
  • the first multi-unit vehicle 1 comprises in particular three units
  • the second multi-unit vehicle 2 comprises two units.
  • the control system of the first multi-unit vehicle 1 comprises in particular at least three computers 51, 52, 53 and at least three I / O modules 91, 92, 93 connected by a first network 81, for example Ethernet,
  • the second multi-unit vehicle 2 comprises in particular at least two computers 54, 55, and at least two I / O modules 94, 95, connected by a second network 82.
  • two multi-unit vehicles, at least one computer and at least one input / output module of the secure control system are intended to equip a unit, so that each unit comprises at least one computer and at least one input module /Exits. So, in this example, each unit is an autonomous unit.
  • said first and second multi-unit vehicles could equally well include one or more non-autonomous units, each non-autonomous unit comprising for example at least one input / output module and an identity generating device.
  • One of the computers 51, 52, 53 of the first multi-unit vehicle 1 is chosen to be the master computer of the first multi-unit vehicle 1, for example the computer 51 adapted to be positioned at one end of said first multi-unit vehicle 1, and possibly another of the computers 51, 52, 53 of the first multi-unit vehicle 1 is chosen to be its redundant, for example the computer 53 positionable at the other end of the first multi-unit vehicle 1.
  • one of the computers 54 , 55 of the second multi-unit vehicle 2 is chosen to be the master computer of the second multi-unit vehicle 2, for example the computer 54 that can be positioned at one end of the second multi-unit vehicle 2, and possibly another of the computers 54, 55 of the second multi-unit vehicle 2 is chosen to be its redundant, for example the computer 55 positionable at the other end of the second multi-unit vehicle 2.
  • the secure control system includes in particular a master calculator positionable, especially in a standalone unit, at one end of the multi-unit vehicle and a calculator redundant said master computer, ie redundant sound, positionable, in particular in an autonomous unit, at the other end of said multi-unit vehicle, to allow efficient splitting of said multi-unit vehicle.
  • the other computers of the first multi-unit vehicle 1, respectively of the second multi-unit vehicle 2 are in an inactive state, such as, for example, the computer 52 of the first multi-unit vehicle 1.
  • the choice of the computer master and its redundant may be based on an algorithm of choice using a numbering, such as for example an IP address or a computer number, or a determination of a position of the computers in the multi-unit vehicle, said position being by example a position central, a position at the head or tail of multi-unit vehicle, the position of a computer being deductible from said composition data.
  • At least one mechanism for securing and prioritizing a security module of a control system computer is able to choose said master computer and its redundant , and therefore allows a prioritization of the master computer, or in other words, an exclusive connection of the master computer with the Inputs / Outputs of the I / O modules of the multi-unit vehicle, so that only the master computer is able to control the inputs / outputs of the input / output modules for equipping said multi-unit vehicle.
  • the redundant computer is able to take control of said inputs / outputs in the event of failure of the master computer.
  • said security module adapted to perform said securing mechanism and prioritization may optionally be chosen automatically according to said composition data for each of said multi-unit vehicles.
  • the security module is able to choose as master computer via its mechanism of securing and prioritizing the computer that it is intended to equip.
  • the security module is able to preferentially prioritize the computer that it equips.
  • a security module 6 of the first multi-unit vehicle 1 is able to choose said computer 51 as master computer to allow the latter to control the inputs / outputs of the I / O modules 91, 92, 93 of the first multi-unit vehicle 1 via the first network 81.
  • a security module 6 of the second multi-unit vehicle 2 is able to select said computer 54 as master computer to enable it to control the inputs / Outputs of the I / O modules 94, 95 of the second multi-unit vehicle 2 via the second network 82.
  • each computer according to the invention when it is the redundant computer of a master computer, is in particular able to verify a state of synchronization of its context with a context of said master computer.
  • the master computer and its redundant when the context of the latter is verified synchronous with that of the master computer, are able to be connected to the inputs / outputs of the input / output modules which are associable to them.
  • the security module 6 of the master computer is able to lock, by means of a coded association token, the connection of said master computer and its redundant with said inputs / outputs.
  • a master computer and its redundant are connected via a connection locked to a set of inputs / outputs, only the master computer is authorized to control the functional devices of the multi-unit vehicle, while the redundant computer is able to verify operations performed by the master computer and replace said master computer in case of failure of the latter.
  • the control system of the first multi-unit vehicle 1 is further characterized in that it comprises at least one identity generation device, in particular three identity generation devices 41, 42, 43, each intended to equip a unit of the first multi-unit vehicle 1.
  • the control system of the second multi-unit vehicle comprises two identity generation devices intended to equip, each, a unit of said second multi-unit vehicle 2.
  • a first identity generating device 41, a second identity generating device 42 and a third identity generating device 43 each a unit of the first multi-unit vehicle 1, and a first identity generation device 44 and a second identity generating device equip said second multi-unit vehicle.
  • the identity generating devices 41, 42, 43 of the first multi-unit vehicle 1, respectively those of the second multi-unit vehicle 2, are connectable one after the other in order to form a first device chain. generation of identity, respectively a second chain of identity generating devices, each of said chains being in other words a first, respectively second, device for determining the composition of the multi-unit vehicle according to the invention.
  • Each identity generation device is capable of communicating and exchanging data, in particular said list according to the invention, with its neighbor or neighbors.
  • communication can be established from one end of the chain of identity generating devices to another, or in other words end-to-end of the multi-unit vehicle, either in a first direction from the head to the tail of the multi-unit vehicle, for example from the identity generating device 41 located at the head of the multi-unit vehicle at the identity generation device 43 located at the tail of said multi-unit vehicle, or conversely, from the tail to the head of the multi-unit vehicle, for example from the identity generating device 43 at the tail to the device of identity generation 41 at the head, or even in both directions at the same time.
  • the identity generating devices 44, 45 of the second multi-unit vehicle are examples of the second multi-unit vehicle.
  • At least one of the identity generation devices 41, 42, 43 of the first multi-unit vehicle 1, respectively of the second multi-unit vehicle 2, in particular located at the end of the first chain, respectively of the second chain, is able to initialize said list according to the invention, for example a first list for the control system of the first multi-unit vehicle 1, and a second list for the second multi-unit vehicle 2.
  • Each of these lists preferably comprises a time data, for example a date , and allows an encoding of the composition of the multi-unit vehicle for which it was generated.
  • the first list will be able to be initialized for the first multi-unit vehicle 1 by one of its identity generation devices and will allow an encoding of the composition of said first multi-unit vehicle 1, and a second list will be suitable for to be initialized for the second multi-unit vehicle 2 by one of its identity generation devices, and will also allow encoding of its composition.
  • a second list will be suitable for to be initialized for the second multi-unit vehicle 2 by one of its identity generation devices, and will also allow encoding of its composition.
  • Each identity generation device 41, 42, 43 of the first multi-unit vehicle 1, respectively each identity generation device 44, 45 of the second multi-unit vehicle 2, is capable of accumulating or adding a piece of identity data in said first list, respectively second list, following the last element (for example following the last identity data) added in said first, respectively second list by the previous identity generating device.
  • the identity generation device located at the other end of said first chain, or second chain, ie located at the end of the chain, is in particular able to transmit, in particular cyclically, said first list, respectively second a list, encapsulated in a composition datum, to the master computer 51 and its redundant 53 via said first network 81 in the case of the first multi-unit vehicle 1, and to the master computer 54 and its redundant 55, via said second network 82 in the case of the second multi-unit vehicle 2.
  • the identity generating device capable of receiving the first list by one of its connectors and the second list by another of its connectors is in particular able to create a new list comprising the elements of the first list, which is added first of all the identity data created by said generation device likely to receive the first and second list, and then the elements of the second list.
  • the new list thus includes the identity data of all the units comprising the multi-unit vehicle.
  • the identity generation device capable of receiving the first list by one of its connectors and the second list by another of its connectors is able to choose either the first list or the second list, ie only one of the two lists. , in order to transmit it to an identity generation device located at the end of the chain.
  • one and only one of the two lists is able to propagate to one and only one identity generation device located at the end of the chain, intended to support the creation of the complete list of identity data of all the units composing the multi-unit vehicle.
  • the identity generating device having created said new list is further capable of encapsulating said new list in said composition data so that it is transmitted, in particular cyclically, to at least one computer, for example to all the computers equipping each multi-unit vehicles, or preferably to the master computer 51 and its redundant 53.
  • the identity generation devices being all identical and connectable to each other, it follows that the generation devices of 41, 42, 43 of the first multi-unit vehicle 1 are connectable to the identity generation devices 44, 45 of the second multi-unit vehicle 2 to form a new chain of identity generation devices composed of the first channel connected to the second chain, and thus forming a new device for determining the composition of the new multi-unit vehicle 3.
  • This new device for determining the composition of the new multi-unit vehicle 3 is capable of automatically determining the composition of the new vehicle multi-unit 3 and generate a composition data encoding said composition of the new multi-unit vehicle 3.
  • the first network 81 and the second network 82 are connectable to each other to form a new network 83, said new network 83 being a meeting of the first network 81 and the second network 82.
  • the new device for determining the composition of the new multi-unit vehicle 3, formed by the identity generating devices of the first and second multi-unit vehicles, is capable of transmitting via said new network 83, said composition datum of the new multi-unit vehicle 3, to all the computers of the new multi-unit vehicle 3, in particular so that at least one security module receives said composition data.
  • the master computer 51 and its redundant 53 of the first multi-unit vehicle 1, as well as the master computer 54 and its redundant 55 of the second multi-unit vehicle 2 are able, by means of their security module, to disconnect from the inputs / outputs of the input / output modules to which they were connected when the first and the second mutli-unit were unmated, ie independent.
  • each control system according to the invention is capable, by means of said unlocking key transmitted by their respective security modules, to cut off the connection of at least one of its computers, in particular of all its computers, together of I / O as soon as a variation of said composition data is detected.
  • the security module of the control system according to the invention is capable of detecting said variation of the composition datum and of cutting the connection of at least one computer with said set of I / O, in particular the connection the master computer and its redundant, to allow a new master computer and its redundant to take control of said inputs / outputs by connecting.
  • the new master computer is located at one end of the new multi-unit vehicle 3, for example the computer 51, and its redundant at the other end, for example the computer 55.
  • the other computers 52, 53, 54 of the new multi-unit vehicle 3 are preferably in an inactive state.
  • the new security module 6 of the control system of the new multi-unit vehicle 3 is then able, on the basis of said composition data, to connect at least one computer, in particular said new master computer and its redundant, to the set of inputs / outputs of the I / O modules 91 to 95 of the new multi-unit vehicle 3.
  • the control system of the new multi-unit vehicle 3 is able to take control of said Inputs / Outputs in order to control the functional devices of the new multi-unit vehicle for its control.
  • the Figure 4 also makes it possible to explain a splitting of a multi-unit vehicle equipped with a secure steering system according to the invention.
  • a multi-unit vehicle for example of said new multi-unit vehicle 3, into two or more other multi-unit vehicles, for example into a first multi-unit vehicle 1 and a second multi-unit vehicle 2
  • said new chain of identity generating devices of said new multi-unit vehicle formed by identity generation devices 41 to 45 is broken, separated into two parts, for example into said first chain of identity generating devices 41 to 43 of the first multi-unit vehicle 1, and said second chain of identity generating devices 44, 45 of the second multi-unit vehicle 2.
  • the network 83 of the new multi-unit vehicle unit 3 is separated into a first network 81 of the first multi-unit vehicle 1 and into a second network 82 of said second multi-unit vehicle 2.
  • each of the two parts of the identity device chain of the new multi-unit vehicle 3 is capable of independently and automatically generating a new composition datum characterizing the first multi-unit vehicle 1, and the second multi-unit vehicle respectively.
  • unit 2 the new composition data is in particular capable of causing the generation by at least one security module of the unlocking key allowing a disconnection of each of the computers, of with the Inputs / Outputs to which they were previously connected in the configuration of said new multi-unit vehicle 3.
  • said unlocking key is capable of being transmitted to each security module of a secure control system according to the invention, so that each security module is able to disconnect a calculator connection with at least one input / output during said splitting.
  • connection of the master computer 51 and its redundant 55 with the inputs / outputs of their I / O modules 91 to 95 is able to be cut off by means of said unlocking key that can be provided by the module. securing, either during said detection of the variation of the composition data during the splitting, or during a prior process of notifying splitting to said control system of said new multi-unit vehicle.
  • the present invention makes it possible, during a splitting or a coupling, to automatically correlate the new composition of the multi-unit vehicle with all the inputs / outputs to be taken into consideration by the master computer, so that a loss of a connection of the master computer with a part of its inputs / outputs does not result in an activation of an emergency procedure of the control system.
  • At least one computer among all the computers distributed on the network of said vehicle is able to act as a master computer to control said vehicle and to be directly associated, by connection to said set of Inputs / Outputs, to the input / output modules of said vehicle.
  • the computer acting as master computer controls said vehicle
  • the other computers of said vehicle can in particular be in a standby state, so that only the computer identified as master computer by the security module controls the steering of said vehicle, preferably , the security module identifies the computer that it equips as the master computer.
  • the present invention has made it possible to describe a secure control system capable of autonomously discovering the composition of a multi-unit vehicle such as a train, and of checking in a secure manner the correct connection of at least one system computer. control with a set of inputs / outputs of I / O modules distributed on the network of said multi-unit vehicle.
  • composition data of said multi-unit vehicle capable of describing a set of characteristics of the units capable of composing said multi-unit vehicle, and a set of possible configurations of said multi-unit vehicle can serve as a reference for the control, in particular cyclic , consistency between all the inputs / outputs able to be connected and locked with said computer and the composition of the multi-unit vehicle.
  • the present invention makes it possible to validate the integrity of a free multi-unit vehicle by resorting to application-level information, such as localization, for example, and by providing greater genericity of processing thanks to direct access to all the inputs / outputs of the multi-unit vehicle and the possibility of centralizing the software processing related to securing the control system on a single computer.

Landscapes

  • Engineering & Computer Science (AREA)
  • Mechanical Engineering (AREA)
  • Small-Scale Networks (AREA)
  • Lock And Its Accessories (AREA)
  • Traffic Control Systems (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Description

  • La présente invention concerne une méthode de sécurisation d'un système de pilotage d'un véhicule multi-unité et un système de pilotage sécurisé dudit véhicule multi-unité, selon les préambules des revendications 1 et 7.
  • En particulier, la présente invention se rapporte au domaine des véhicules multi-unités reconfigurables, i.e. aptes à être composés de plusieurs unités et dont une configuration ou composition desdites unités dudit véhicule multi-unité est variable, ou autrement dit susceptible d'être modifiée ou re-configurée. De manière préférentielle, la présente invention se rapporte aux véhicules multi-unités dont un fonctionnement d'un système de pilotage, notamment automatique, est corrélable à la composition du véhicule multi-unité.
  • Ledit véhicule multi-unité appartient en particulier au domaine ferroviaire. Il s'agit par exemple d'un train pouvant être formé de plusieurs unités, par exemple plusieurs voitures et/ou locomotives couplées ou attelées successivement les unes aux autres et constituant une première rame dudit train. La composition dudit train, et donc de ladite première rame, peut alors varier, par exemple par scindage ou couplage de ladite première rame, afin de former une seconde rame composée d'au moins une partie des unités de ladite première rame, auxquelles peuvent être attelées d'autres unités. Ainsi, la composition d'un véhicule multi-unité peut varier en fonction d'un changement d'une disposition ou d'une distribution desdites unités formant ledit véhicule multi-unité, ainsi que par ajout, et/ou respectivement retrait, d'au moins une unité audit, et/ou respectivement dudit, véhicule multi-unité. Afin de garantir en sécurité de tels véhicules multi-unités composés de plusieurs unités disposées selon un ordre de formation, il est en particulier nécessaire que des données de composition dudit véhicule multi-unité, par exemple le nombre d'unités le composant, les caractéristiques desdites unités, les relations entre ces unités, leur couplage ou attelage à une ou deux autres unités, soient connues du système de pilotage destiné à piloter ledit véhicule multi-unité. Ce système de pilotage comprend généralement un calculateur connecté à des modules d'Entrées/Sorties permettant notamment une acquisition et une transmission de données de fonctionnement relatives au pilotage du véhicule multi-unité. Le calculateur est ainsi capable piloter, via les modules d'Entrées/Sorties, ledit véhicule multi-unité, notamment selon un mode automatique, ou encore selon un mode manuel dans lequel le système de pilotage, et donc le calculateur, est apte à être commandé par un conducteur ou un centre de commande. En effet, les données de fonctionnement sont en particulier échangées, via les modules d'Entrées/Sorties, entre ledit calculateur et des dispositifs compris dans au moins une partie des unités composant ledit véhicule multi-unité afin d'assurer son fonctionnement. Ledit échange des données de fonctionnement peut par exemple être mis en oeuvre au moyen d'une connexion bidirectionnelle entre le calculateur et lesdits dispositifs via lesdits modules d'Entrées/Sorties. Le calculateur et les modules d'Entrées/Sorties sont ainsi destinés à permettre et assurer le pilotage du véhicule multi-unité, ou autrement dit son fonctionnement correcte (déplacement, arrêt, ouvertures de portes, ...), en se basant sur les données de composition dudit véhicule multi-unité et sur les données de fonctionnement relatives au pilotage échangeables avec lesdits dispositifs d'au moins une partie desdites unités. Lors d'un changement de la configuration dudit véhicule multi-unité (scindage, couplage avec d'autres unités), lesdites données de compositions doivent être mises à jour afin que le système de pilotage, en particulier son calculateur, soit informé dudit changement de configuration et soit apte à corréler le changement de composition dudit véhicule multi-unité avec un changement des données de fonctionnement relatives au pilotage. En effet, si le calculateur n'est pas informé d'un changement de la composition du véhicule multi-unité, il risque d'interpréter une non-réception des données de fonctionnement des unités qui auront été dételées du véhicule multi-unités (et qui ne peuvent donc plus transmettre de données de fonctionnement relatives au pilotage) comme un risque en sécurité pour ledit véhicule multi-unité, pouvant résulter dès lors en une activation d'une procédure de mise en sécurité du véhicule multi-unité, comme par exemple un freinage d'urgence.
  • Le système de pilotage du véhicule multi-unité doit notamment être caractérisé par un haut degré de sécurité fonctionnelle afin d'empêcher tout évènement pouvant porter atteinte audit véhicule multi-unité ou à des passagers ou marchandises transportés par ledit véhicule multi-unité. La sécurité de tels systèmes de pilotage peut être caractérisée au moyen de normes de sécurité. En particulier, la norme IEC 61508 définit le SIL (Security Integrity Level), c'est-à-dire le niveau d'intégrité de la sécurité que doit avoir un système afin d'assurer une protection adéquate contre les risques pouvant survenir lors du fonctionnement dudit système. Plus le SIL a une valeur élevée, plus la réduction du risque est importante. Par exemple, un système de sécurité SIL4 apporte une réduction de risque comprise entre 108 à 109 en mode continu d'opération, alors que pour un système SIL1, cette réduction est comprise entre 105 à 106 seulement.
  • Afin de pouvoir garantir en sécurité le pilotage du véhicule multi-guidé, il faut pouvoir s'assurer que le calculateur du système de pilotage connaît exactement la composition et la configuration dudit véhicule multi-unité (par exemple, quels sont les unités composant un train et selon quel ordre de formation sont-elles ordonnées, ou autrement dit, dans quel ordre sont-elles couplées ou attelées), afin qu'il puisse échanger avec les unités du véhicule multi-unité toutes les données de fonctionnement nécessaires au pilotage dudit véhicule multi-unité. Une telle thématique est notamment abordée dans le document WO 2007/118837 décrivant une méthode d'adressage automatique dans un système de communication, notamment lié au domaine ferroviaire.
  • De plus, dans le cas d'un changement de la composition d'un véhicule multi-unité, par exemple, lorsqu'un train est scindé en plusieurs parties, le calculateur du système de pilotage doit être rapidement informé dudit changement de composition, par exemple afin de s'autoriser à ne plus prendre en compte des données de fonctionnement d'unités ayant été dételées du train lors de son scindage, et afin de ne pas tomber dans un état de sécurité ayant pour conséquence une mise en alerte d'un centre de surveillance d'un réseau de véhicules multi-unité ou même une activation d'un processus de mise en sécurité, comme un freinage d'urgence dudit véhicule multi-unité.
  • Malheureusement, les systèmes de pilotage, qu'ils soient automatiques ou manuels et de sécurité (SIL4), connus de l'homme du métier sont essentiellement basés sur des calculateurs "fermés" pour lesquels le périmètre d'Entrées/Sorties n'est pas reconfigurable, i.e. le calculateur est connecté à un ensemble fixe d'Entrées/Sorties de modules d'Entrées/Sorties, ces Entrées/Sorties connectant fixement le calculateur à certains dispositifs fonctionnels des unités gérées par ledit calculateur, et n'étant ainsi pas reconfigurables lors d'un changement de configuration du véhicule multi-unité. Par dispositif fonctionnel, il est fait référence à tout dispositif interagissant avec le système de pilotage afin de permettre le pilotage dudit véhicule multi-unité. Il s'agit par exemple de dispositifs de freinage, d'ouverture de portes, de dispositifs permettant ou surveillant le déplacement dudit véhicule multi-unité, etc. Dès lors, la gestion d'un véhicule multi-unité met généralement en oeuvre plusieurs calculateurs gérant chacun une partie du véhicule multi-unité, chaque calculateur étant connecté à des Entrées/Sorties les connectant de manière fixe à certains dispositifs fonctionnels des ou de l'unité qu'il gère. Bien que la composition du véhicule multi-unité soit ainsi connue par recoupement des informations provenant de chaque calculateur, cette conception du système de pilotage présente le désavantage de devoir gérer des fonctions réparties sur les différents calculateurs, nécessitant notamment des algorithmes de synchronisation desdits calculateurs, dont la complexité augmente avec le nombre d'unités constituant le véhicule multi-unité.
  • Actuellement, la composition ou la constitution d'un véhicule multi-unité est ainsi généralement déduite de recoupements de plusieurs informations applicatives échangées entre les différents calculateurs dudit véhicule. Ces informations applicatives sont des informations provenant d'autres dispositifs du véhicule multi-unité n'ayant pas toutes pour tâche première la détermination de la composition dudit véhicule multi-guidé. Il s'agit par exemple de données de localisation de la tête et de la queue du véhicule multi-unité transmises au calculateur par des dispositifs de localisations embarqués ou au sol, ou des données d'état des attelages des unités, ou des listes de véhicules multi-unités transmises au calculateur par un pilote automatique au sol non embarqué dans ledit véhicule multi-unité. Le recoupement de ces informations applicatives a le désavantage d'être compliqué et lent, et diminue ainsi les performances de pilotage dudit véhicule multi-unité. En effet, la complexité de l'échange d'informations applicatives entre les calculateurs introduit une perte de performance du système de pilotage, ainsi qu'une plus grande complexité de réalisation dudit système de pilotage, et par conséquence, une plus grande difficulté à démontrer et maintenir la sécurité dudit système de pilotage. De plus, ces informations applicatives peuvent être différentes d'un projet à l'autre ce qui nuit à la généricité des algorithmes.
  • Un but de la présente invention est de proposer une méthode de sécurisation d'un système de pilotage d'un véhicule multi-unité reconfigurable et un système de pilotage sécurisé qui soient simples, sûrs, fiables et efficaces, capables d'une actualisation automatique et autonome d'une composition du véhicule multi-unité, tout en ayant une capacité de sécurisation SIL4. En effet, la présente invention a pour objectif une détermination et une actualisation automatique de la composition du véhicule multi-unité, indépendamment d'informations applicatives, afin de garantir en sécurité le système de pilotage du véhicule multi-unité.
  • Dans ce but, une méthode de sécurisation d'un système de pilotage, un système de pilotage sécurisé et un dispositif d'aide à la détermination de la composition d'un véhicule multi-unité sont proposés par le contenu des revendications 1, 7 et 12. Un ensemble de sous-revendications présente également des avantages de l'invention.
  • La présente invention propose une méthode de sécurisation d'un système de pilotage destiné à équiper et piloter un véhicule multi-unité reconfigurable, comprenant en particulier au moins deux unités attelables l'une à la suite de l'autre, ladite méthode étant caractérisée en ce qu'elle comprend:
    • une détermination autonome, et de préférence cyclique et automatique, d'une composition du véhicule multi-unité par un dispositif de détermination de la composition dudit véhicule multi-unité corrélée à une génération, de préférence par ledit dispositif de détermination, d'une donnée de composition dudit véhicule multi-unité;
    • une transmission, de préférence cyclique et automatique, de ladite donnée de composition à un ensemble d'éléments du système de pilotage, au moins un élément desdits éléments dudit ensemble d'éléments étant un calculateur dudit système de pilotage;
    • une détermination, de préférence cyclique et automatique, par ledit calculateur et au moyen de ladite donnée de composition, d'un ensemble d'Entrées/Sorties d'au moins un module d'Entrée/Sortie destiné à équiper le véhicule multi-unité, ledit module d'Entrées/Sorties équipant par exemple une unité dudit véhicule multi-unité et permettant une communication et un échange de données entre le calculateur et des dispositifs fonctionnels de ladite unité, notamment afin de les contrôler et d'assurer leur fonctionnement correct;
    • une connexion de chaque élément dudit ensemble d'éléments, et donc dudit calculateur, audit ensemble d'Entrées/Sorties, en particulier chaque élément dudit ensemble d'éléments est connectable à chaque Entrée/Sortie dudit ensemble d'Entrées/Sorties.
  • La présente invention propose également un système de pilotage sécurisé, et préférentiellement automatique, d'un véhicule multi-unité reconfigurable, comprenant par exemple au moins deux unités attelables l'une à la suite de l'autre, caractérisé en ce que ledit système comprend:
    • un dispositif de détermination d'une composition du véhicule multi-unité, capable de déterminer de manière autonome ladite composition du véhicule multi-unité et de générer une donnée de composition corrélable à ladite composition dudit véhicule multi-unité, ladite détermination étant notamment autonome en ce qu'elle est indépendante de toute information applicative;
    • au moins un calculateur comprenant au moins un module de sécurisation, ledit calculateur étant destiné à équiper au moins une unité du véhicule multi-unité, chaque calculateur étant connectable au moyen d'au moins une connexion et via un réseau, d'une part à un ensemble d'Entrées/Sorties de modules d'Entrées/Sorties destinés à équiper une ou plusieurs unités, et d'autre part audit dispositif de détermination de la composition du véhicule multi-unité, afin d'échanger via chaque module d'Entrées/Sorties des données de fonctionnement de l'unité et/ou du véhicule multi-unité, et afin d'acquérir dudit dispositif de détermination, une donnée de composition dudit véhicule multi-unité, ledit réseau étant notamment destiné à permettre une communication entre chaque dispositif de génération d'identité et chaque calculateur, entre chaque calculateur et chaque module d'Entrées/Sorties, et entre chaque calculateur entre eux;
    • ledit module de sécurisation dynamique de ladite connexion de chaque calculateur avec ledit ensemble d'Entrées/Sorties, ledit module de sécurisation étant destiné à équiper au moins un calculateur, et étant capable de déterminer, à partir de ladite donnée de composition, ledit ensemble d'Entrées/Sorties susceptibles d'être connectées à chaque calculateur, de connecter chaque calculateur audit ensemble d'Entrées sorties, notamment à chaque Entrée/Sortie dudit ensemble d'Entrées/Sorties, et de contrôler, cycliquement ou suffisamment fréquemment (par exemple, au moins un contrôle par intervalle de temps inférieur ou égal à 100 millisecondes), une cohérence entre chaque connexion de chaque calculateur audit ensemble d'Entrées/Sorties, notamment une cohérence entre chaque connexion de chaque calculateur avec chacune desdites Entrées/Sorties dudit ensemble d'Entrées/Sorties et ladite donnée de composition. En particulier, chaque calculateur est susceptible de comprendre un module de sécurisation selon l'invention.
  • En d'autres termes, la méthode selon l'invention est une méthode de sécurisation, préférentiellement automatique et en particulier de sécurisation SIL4, d'un système de pilotage d'un véhicule multi-unité capable de déterminer à tout instant et de manière fiable, la composition du véhicule multi-unité, et de garantir, à tout instant, une cohérence entre la composition du véhicule multi-unité et les données de fonctionnement du système de pilotage du véhicule multi-unité, par l'association d'au moins un calculateur avec ledit ensemble d'Entrées/Sorties corrélable à ladite composition du véhicule multi-unité. Avantageusement, la méthode selon l'invention est en particulier caractérisée par une vérification cyclique, notamment de fréquence aléatoire ou fixe, mais dans tous les cas une vérification suffisamment fréquente (par exemple, au moins une vérification par intervalle de temps inférieur ou égal à 100 millisecondes), notamment au moyen du module de sécurisation, d'une cohérence entre la connexion de chaque élément dudit ensemble d'éléments avec ledit ensemble d'Entrées/Sorties et ladite donnée de composition.
  • En particulier, la présente invention est caractérisée en ce que ledit ensemble d'éléments comprend ou est un groupe de calculateurs susceptibles d'être distribués dans chaque unité dudit véhicule multi-unité. En d'autres termes, le système de pilotage selon l'invention comprend préférentiellement ledit groupe de calculateurs pouvant être composé de plusieurs calculateurs identiques, chaque calculateur pouvant notamment être distribué dans une unité du véhicule multi-unité, de sorte que chaque unité soit susceptible d'être équipée par au moins un calculateur. Avantageusement, le module de sécurisation selon l'invention est en particulier capable d'attribuer de façon exclusive la connexion audit ensemble d'Entrées/Sorties, notamment à chaque Entrée/Sortie dudit ensemble d'Entrées/Sorties, à un seul calculateur dudit groupe de calculateurs, les autres calculateurs dudit groupe de calculateurs étant exclus de ladite connexion ou autrement dit, interdits d'accès audit ensemble d'Entrées/Sorties. A cette fin, la méthode selon l'invention est susceptible de comprendre un mécanisme de sécurisation et de priorisation de la connexion d'au moins un calculateur dudit groupe de calculateurs avec ledit ensemble d'Entrées/Sorties, capable d'attribuer de façon exclusive audit calculateur ladite connexion audit ensemble d'Entrées/Sorties. Le calculateur élu, i.e. ayant l'exclusivité d'accès à l'ensemble d'Entrées/Sorties est appelé le calculateur maître. De manière avantageuse, au moins un autre calculateur dudit groupe de calculateur est en particulier associable au calculateur maître en tant que calculateur redondant dudit calculateur maître. Le système de pilotage selon l'invention est notamment capable non seulement de choisir un calculateur maître parmi le groupe de calculateur, mais aussi de nommer un calculateur redondant parmi ledit groupe de calculateur. Le calculateur redondant est apte à effectuer les mêmes opérations que le calculateur maître, à acquérir les mêmes données de composition et de fonctionnement que le calculateur maître à des fins de vérification et de sécurisation du système de pilotage. En cas de défaillance du calculateur maître, le calculateur redondant est apte à remplacer ledit calculateur maître et à nommer un nouveau calculateur redondant.
  • De manière préférentielle, ledit mécanisme de sécurisation et de priorisation comprend une génération d'un jeton d'association codé apte à verrouiller ladite connexion d'au moins un calculateur dudit groupe de calculateurs avec ledit ensemble d'Entrées/Sorties, et une génération d'une clé de déverrouillage apte à déverrouiller ladite connexion d'au moins un calculateur dudit groupe de calculateurs avec ledit ensemble d'Entrées/Sorties. A cette fin, au moins un calculateur du système de pilotage peut en particulier être équipé d'un module de sécurisation comprenant un module de verrouillage capable de verrouiller chaque connexion du calculateur avec chacune des Entrées/Sorties dudit ensemble d'Entrées/Sorties. Ce module de verrouillage comprend en particulier un générateur de jeton d'association codé apte à générer, notamment cycliquement, d'une part ledit jeton d'association codé afin de verrouiller chaque connexion dudit calculateur avec chacune des Entrées/Sorties dudit ensemble d'Entrées/Sorties, et d'autre part ladite clé de déverrouillage apte à déverrouiller au moins une connexion dudit calculateur avec au moins une des Entrées/Sorties dudit ensemble d'Entrées/Sorties.
  • De plus, la méthode selon l'invention est en particulier caractérisée en ce que ladite détermination autonome comprend un ajout successif et ordonné à une liste, selon un ordre de composition dudit véhicule multi-unité, d'au moins une donnée identitaire de chaque unité dudit véhicule multi-unité de façon à ce qu'un ordre de succession des données identitaires comprises dans ladite liste soit corrélable à l'ordre de composition des unités dudit véhicule multi-unité, chaque donnée identitaire étant spécifique à une unique unité du véhicule multi-unité, et ladite liste étant apte à être encapsulée dans ladite donnée de composition. En particulier, la donnée identitaire comprend au moins une donnée temporelle, un identifiant de l'unité, une constante de codage, et au moins un identifiant d'un équipement de ladite unité.
  • De manière préférentielle, le système de pilotage selon l'invention est notamment caractérisé en ce que son dispositif de détermination d'une composition du véhicule multi-unité comprend au moins un dispositif de génération d'identité, chaque dispositif de génération d'identité du dispositif de détermination étant destiné à équiper une unité du véhicule multi-unité, de sorte que chaque unité puisse être équipée d'un seul dispositif de génération d'identité, chaque dispositif de génération d'identité étant capable de générer la donnée identitaire de l'unité qu'il est destiné à équiper. Egalement, la méthode selon l'invention est ainsi en particulier caractérisée par un équipement de chaque unité dudit véhicule multi-unité par ledit dispositif de génération d'identité identique capable de générer ladite donnée d'identité destinée à la détermination de la composition dudit véhicule multi-unité, de façon à ce que chaque unité du véhicule multi-unité est susceptible de comprendre un dispositif de génération d'identité identique, chaque dispositif de génération d'identité étant connectable ou couplable à au moins un autre dispositif de génération d'identité, de sorte à former une chaîne de dispositifs de génération d'identité équipant chacun une unité dudit véhicule multi-unité et couplés l'un à la suite de l'autre.
  • En particulier, ledit dispositif de génération d'identité, qui est d'une part destiné à permettre la détermination d'une composition du véhicule multi-unité comprenant au moins une unité, et d'autre part susceptible d'équiper ledit système de pilotage dudit véhicule multi-unité, est caractérisé en ce qu'il comprend:
    • un générateur de données identitaires capable de générer ladite donnée identitaire de l'unité que le dispositif de génération d'identité est destiné à équiper, ladite donnée identitaire étant destinée à permettre une identification de ladite unité;
    • un détecteur de connexion apte à détecter une présence ou une absence de couplage dudit dispositif de génération d'identité avec au moins un autre dispositif de génération d'identité;
    • un générateur de liste capable de créer une liste d'éléments destinée à comprendre des éléments aptes à être ordonnés et ajoutés successivement;
    • un composant de sérialisation capable d'ajouter un autre élément à ladite liste, soit à la suite d'un dernier élément d'une liste d'éléments ordonnables successivement destinée à être réceptionnée par ledit dispositif de génération d'identité, soit comme premier élément de la liste d'éléments susceptible d'être créée par le générateur de liste, ledit autre élément comprenant ladite donnée identitaire;
    • un transmetteur de liste capable de transmettre ladite liste d'éléments comprenant ledit autre élément soit à un autre dispositif de génération d'identité, soit à au moins un calculateur, comprenant notamment ledit module de sécurisation du système de pilotage du véhicule multi-unité, après encapsulation de ladite liste dans une donnée de composition dudit véhicule multi-unité.
  • Préférentiellement, ladite détermination de la composition du véhicule multi-unité est réalisée au moyen dudit dispositif de génération d'identité selon les étapes suivantes:
    • une génération par chaque dispositif de génération d'identité de chaque unité du véhicule multi-unité de ladite donnée identitaire destinée à permettre une identification de l'unité que ledit dispositif de génération équipe, ladite génération étant susceptible d'être réalisée par ledit générateur de donnée identitaire;
    • une détection, par ledit détecteur de connexion, pour chaque dispositif de génération d'identité, d'une présence ou d'une absence de couplage dudit dispositif de génération d'identité avec au moins un autre dispositif de génération d'identité;
    • en cas de détection pour au moins un dispositif de génération d'identité dudit véhicule multi-unité de ladite présence de couplage avec un seul autre dispositif de génération d'identité susceptible de lui être accouplé, ladite méthode selon l'invention comprend les sous-étapes suivantes:
      1. a. une création, par ledit générateur de liste dudit dispositif de génération d'identité caractérisé par ladite présence de couplage avec un seul autre dispositif de génération d'identité, d'une liste d'éléments destinée à comprendre des éléments ordonnables successivement, ladite liste comprenant un premier élément, ledit premier élément comprenant ladite donnée identitaire de l'unité destinée à être équipée par ledit dispositif de génération d'identité caractérisé par ladite présence de couplage avec un seul autre dispositif de génération d'identité, ledit premier élément étant le premier élément de la liste créée par le générateur de liste, ladite création étant suivie d'une transmission de ladite liste par le dispositif de génération d'identité caractérisé par ladite présence de couplage avec un seul autre dispositif de génération d'identité audit autre dispositif de génération d'identité;
      2. b. pour chaque dispositif de génération d'identité pour lequel ladite détection est susceptible de détecter ladite présence de couplage avec deux autres dispositifs de génération d'identité, une réception de ladite liste transmissible par l'un des deux autres dispositifs de génération d'identité, un ajout à ladite liste d'un autre élément à la suite du dernier élément de ladite liste et une transmission de ladite liste à l'autre des deux autres dispositifs de génération d'identité, ledit autre élément comprenant la donnée identitaire de l'unité destinée à être équipée par ledit dispositif de génération d'identité pour lequel ladite détection est susceptible de détecter ladite présence de couplage avec lesdits deux autres dispositifs de génération d'identité;
      3. c. et pour chaque réception de ladite liste par un dispositif de génération d'identité pour lequel ladite détection est susceptible de détecter ladite présence de couplage avec un unique autre dispositif de génération d'identité, ladite réception est suivie dudit ajout à ladite liste d'un élément final à la suite du dernier élément de ladite liste, puis d'une encapsulation de ladite liste dans ladite donnée de composition;
    • en cas de détection, pour un dispositif de génération d'identité, de ladite absence de couplage avec un autre dispositif de génération d'identité, ladite méthode selon l'invention comprend une création, par le générateur de liste dudit dispositif de génération d'identité caractérisé par ladite absence de couplage avec un autre dispositif de génération d'identité, d'une liste d'éléments destinée à comprendre des éléments ordonnables successivement, ladite liste comprenant un premier élément, ledit premier élément comprenant ladite donnée identitaire de l'unité destinée à être équipée par ledit dispositif de génération d'identité caractérisé par ladite absence de couplage avec un autre dispositif de génération d'identité, ledit premier élément étant le premier élément de la liste créée par le générateur de liste, ladite création étant suivie d'une encapsulation de ladite liste dans ladite donnée de composition.
  • Ainsi, la détermination de la composition du véhicule multi-unité est réalisable au moyen d'un dispositif interne au système de pilotage, i.e. au moyen du ou des dispositifs de génération d'identité du dispositif de détermination de la composition du véhicule multi-unité, indépendamment d'autres dispositifs externe au système de pilotage qui seraient destinés à acquérir lesdites informations applicatives. Chaque dispositif de génération d'identité équipant chacune des unités du véhicule multi-unité est ainsi connectable à un ou deux dispositifs de génération d'identité identiques de façon à former une chaîne de dispositifs de génération d'identité capable de se transmettre successivement ladite liste. En particulier, chaque dispositif de génération d'identité comprend au moins deux connecteurs, respectivement un premier et un second connecteur, chacun destiné au couplage dudit dispositif de génération d'identité avec un autre dispositif de génération d'identité, i.e. un de ses voisins dans ladite chaîne de dispositifs de génération d'identité.
  • Ladite liste peut être créée par le générateur de liste d'un des deux, voir des deux, dispositifs de génération d'identité situés en extrémité de ladite chaîne dès que le véhicule multi-unité comprend plus de deux unités. Le dispositif de détermination de ladite composition comprend ainsi autant de dispositif de génération d'identité que le véhicule multi-unité comporte d'unités. Chacun de ces dispositifs de génération d'identité est capable de générer la donnée identitaire de l'unité qu'il équipe et de transmettre à l'un ou respectivement l'autre de ses voisins, ladite liste après que cette dernière lui ait été transmise par l'autre, respectivement l'un de ses voisins. Seuls les dispositifs de génération d'identité situés en bout de chaîne et ayant un unique voisin, i.e. les dispositifs de génération d'identité pour lesquels est détectée la présence de couplage avec un seul autre dispositif de génération d'identité, sont autorisés à générer la liste et/ou à encapsuler une liste reçue de leur unique voisin dans ladite donnée identitaire, afin que ladite liste soit transmise, en fin de chaîne, à au moins un module de sécurisation d'au moins un calculateur du système de pilotage au moyen de ladite donnée de composition.
  • Avantageusement, ledit générateur de liste est en particulier capable de créer cycliquement ladite liste. Préférentiellement, ledit générateur de liste est capable de créer ladite liste lorsque ledit détecteur de connexion détecte ladite présence de couplage dudit dispositif de génération d'identité avec un seul autre dispositif de génération d'identité ou avec aucun autre dispositif de génération d'identité. Ainsi, la création de ladite liste par le générateur de liste d'au moins un des dispositifs de génération d'identité situés en bout de chaîne, permet un contrôle et une continuelle actualisation de la composition du véhicule multi-unité lorsque ce dernier est composé d'au moins deux unités, étant donné que ladite liste peut être continuellement transmise au calculateur via ladite donnée de composition dès que ladite liste a traversé toute la chaîne de dispositifs de génération d'identité. Egalement, la création de ladite liste par le générateur de liste d'un dispositif de génération d'identité couplé avec aucun autre dispositif de génération d'identité permet ledit contrôle et la continuelle actualisation de la composition du véhicule multi-unité lorsque ce dernier est composé d'une seule unité. De plus, ledit générateur de données identitaires est en particulier capable de générer une donnée de polarisation capable d'autoriser la transmission de ladite liste d'éléments au moyen d'un seul des deux connecteurs dudit dispositif de génération d'identité, de sorte que ladite liste parcourt ladite chaîne de dispositifs de génération d'identité selon un sens priorisé définissable par ladite polarisation.
  • Selon la présente invention, chaque unité comprenant ledit système de pilotage est susceptible d'être autonome, i.e. elle est apte à se déplacer, à gérer son déplacement et son fonctionnement indépendamment de tout autre système de pilotage externe à ladite unité. De plus, le système de pilotage associable à une unité autonome est apte à commander et gérer le déplacement d'autres unités qui peuvent lui être attelées ou couplées, que ces autres unités comprennent au moins une autre unité autonome et/ou au moins une autre unité non autonome. Une unité non autonome, par opposition à ladite unité autonome, est une unité qui comprend seulement une partie du système de pilotage, en particulier au moins un dispositif de génération d'identité, chacun de ces dispositifs étant connectables au réseau de ladite unité, lui même connectable au réseau d'autres unités qui sont susceptibles de lui être couplées ou attelées afin de former le réseau du véhicule multi-unité. Ainsi, dans la suite du document, une unité autonome sera apte à embarquer ledit système de pilotage selon l'invention, et une unité non autonome fera référence à une unité n'ayant pas l'intégralité dudit système de pilotage embarqué.
  • Un véhicule multi-unité est alors susceptible d'être formé d'au moins une unité autonome pouvant être couplée, ou non, à une ou plusieurs unités autonomes ou non-autonomes. Dans tous les cas, un calculateur d'une des unités autonomes sera en particulier charger de la gestion du pilotage et du fonctionnement du véhicule multi-unité. Préférentiellement le calculateur maître d'une des unités autonomes est destiné à piloter le véhicule multi-unité. Une désignation automatique du calculateur maître destiné à piloter ledit véhicule multi-unité est réalisable en fonction par exemple de l'ordre de formation du véhicule multi-unité déductible de ladite donnée de composition susceptible d'être acquise par chaque calculateur de chaque unité. Le module de sécurisation du système de pilotage est d'une part apte à connecter chaque calculateur audit ensemble d'Entrées/Sorties afin de permettre un échange de données de fonctionnement entre chaque calculateur et les dispositifs fonctionnels des unités du véhicule multi-unité, mais aussi, et d'autre part, à prioriser la connexion dudit calculateur maître désigné automatiquement audit ensemble d'Entrées/Sorties et à lui associer un calculateur redondant. Par prioriser, il est notamment fait référence à l'attribution exclusive de la connexion avec ledit ensemble d'Entrées/Sorties à un calculateur, de préférence à un seul calculateur, par exemple ledit calculateur maître, ou encore ledit calculateur maître avec son redondant. L'ensemble d'Entrées/Sorties des modules d'Entrées/Sorties du système de pilotage sécurisé permet de connecter chaque calculateur du véhicule multi-unité aux dispositifs fonctionnels dudit véhicule multi-unité via le réseau du véhicule multi-unité, ledit réseau étant commun à tous les calculateurs du véhicule multi-unité. Ainsi, les données de compositions et de fonctionnements peuvent être facilement et rapidement centralisées vers un même calculateur, i.e. ledit calculateur maître, via ledit réseau, afin d'être traitées, ce qui a l'avantage de garantir une rapidité de traitement.
  • Ainsi, pour un véhicule multi-unité comprenant plusieurs unités autonomes, le système de pilotage selon l'invention est capable de choisir au moins un calculateur parmi l'ensemble des calculateurs distribués sur le réseau dudit véhicule afin qu'il agisse en tant que calculateur maître destiné à être associé directement, par connexion audit ensemble d'Entrées/Sorties, aux modules d'Entrées/Sorties dudit véhicule afin de le piloter, par exemple automatiquement. Lorsque le calculateur agissant en tant que calculateur maître pilote ledit véhicule, les autres calculateurs dudit véhicule peuvent en particulier être en état de veille, de sorte que seul le calculateur choisi comme calculateur maître par le module de sécurisation commande le pilotage dudit véhicule.
  • Des exemples de réalisations et d'applications fournis à l'aide des figures suivantes aideront à mieux comprendre la présente invention.
    • Figure 1
    exemple de réalisation selon l'invention d'un système de pilotage sécurisé.
    Figure 2
    exemple de réalisation selon l'invention d'un dispositif de génération d'identité.
    Figure 3
    exemple de mécanisme de sécurisation d'un module de sécurisation et priorisation selon l'invention.
    Figure 4
    exemple de réalisation selon l'invention d'un couplage/scindage automatique d'unités d'un véhicule multi-unité.
  • A titre d'exemple, la figure 1 montre un système de pilotage sécurisé adapté à un pilotage d'un véhicule multi-unité reconfigurable comprenant trois unités 1, 2, 3. Le système de pilotage comprend au moins un dispositif de génération d'identité 4, chaque dispositif de génération d'identité 4 étant destiné à équiper une unité 1, 2, 3. Ainsi, chaque unité 1, 2, 3 est apte à comprendre ledit dispositif de génération d'identité 4. Chaque dispositif de génération d'identité 4 est connectable à ses voisins afin de former une chaîne de dispositifs de génération d'identité. Ladite chaîne de dispositifs de génération d'identité connectables l'un à la suite de l'autre forme ledit dispositif de détermination d'une composition du véhicule multi-unité selon l'invention. Ledit système de pilotage sécurisé comprend de plus au moins un calculateur 5 destiné à équiper chaque unité autonome 1, 2 du véhicule multi-unité, au moins un module d'Entrées/Sorties 91, et au moins un desdits calculateurs 5 du système de pilotage sécurisé comprenant au moins un module de sécurisation 6, éventuellement inclus dans le calculateur 5. En particulier, plusieurs calculateurs 5 sont distribués dans plusieurs unités autonomes 1, 2, et plusieurs modules d'Entrées/Sorties 91 sont distribués dans plusieurs unités, qu'elles soient autonomes ou non autonomes. Un réseau 8 du véhicule multi-unité permet de connecter les calculateurs 5, les modules de sécurisation 6, le dispositif de détermination de la composition du véhicule multi-unité, les modules d'Entrées/Sorties 91, et les dispositifs fonctionnels 7 de chaque unité les uns aux autres afin qu'ils puissent communiquer et échanger des informations, comme par exemple les données de composition et les données de fonctionnement, les uns avec les autres. En particulier, les modules d'Entrées/Sorties 91 du système de pilotage permettent la connexion, via le réseau 8, des calculateurs à un ensemble d'Entrées/Sorties, chaque Entrée/Sortie étant apte à connecter au moins un dispositif fonctionnel 7 à au moins un calculateur 5. Chaque calculateur 5 est en particulier dynamiquement reconfigurable sur la base de la donnée de composition fournie par le dispositif de détermination de la composition du véhicule multi-unité, afin de maintenir en temps réel une connexion avec lesdites Entrées/Sorties cohérente avec la composition dudit véhicule multi-unité.
  • La figure 2 présente un exemple de réalisation d'un dispositif de génération d'identité 4 selon l'invention. Chaque dispositif de génération d'identité 4 est connectable, notamment au moyen d'une connexion différentielle bidirectionnelle en série à bas débit, à au moins un autre dispositif de génération d'identité 4a, 4b identique, en particulier à deux autres dispositifs de génération d'identité 4a, 4b identiques tel que présenté en Fig. 2. Chaque dispositif de génération d'identité 4, 4a, 4b, comprend un générateur de données identitaires 41, un détecteur de connexion 42, un générateur de liste 43, un composant de sérialisation 44, un transmetteur de liste 45, et au moins deux connecteurs, respectivement un premier connecteur 46a et un second connecteur 46b, destiné à l'acquisition et la transmission de la liste. Un troisième connecteur 47 peut en particulier connecter le dispositif de génération d'identité au réseau de l'unité ou du véhicule multi-unité.
  • De plus, le détecteur de connexion du dispositif de génération d'identité est en particulier caractérisé en ce qu'il est capable de garantir en sécurité qu'une liste présente en entrée sur le premier connecteur 46a ou respectivement le second connecteur 46b et destinée à être acquise par ledit dispositif de génération d'identité, ne peut pas se trouver par diaphonie ou tout autre couplage sur le second 46b ou respectivement le premier connecteur 46a. A cette fin, le détecteur de connexion, couplable audits connecteurs 46b, 46a, peut en particulier comprendre au moins un buffer différentiel isolé électriquement, notamment un premier buffer 422 connectable au premier connecteur et un second buffer connectable au second connecteur, ainsi que des récepteurs à opto-coupleurs, notamment un premier récepteur opto-coupleur connectable au premier connecteur et un second récepteur opto-coupleur 421 connectable au second connecteur. Eventuellement, des composants de protection contre des perturbations et des surtensions peuvent être ajoutés audit dispositif de détection, ainsi que des filtres afin d'assurer en sécurité une isolation entre le premier et second connecteur 46a, 46b.
  • Préférentiellement, ledit composant de sérialisation 44 peut comprendre deux composants numériques distincts 441, 442, par exemple des FPGAs, capables de réaliser des fonctions de sérialisation et dé-sérialisation d'un élément de ladite liste, ainsi que la fonction d'ajout d'un autre élément à la suite du dernier élément de ladite liste, notamment afin de garantir en sécurité qu'une liste ne peut pas traverser le dispositif de génération d'identité du connecteur 46a vers le connecteur 46b, ou inversement, sans avoir été enrichie avec la donnée identitaire dudit dispositif de génération d'identité.
  • De plus, le générateur de donnée identitaire 41 est en particulier capable de générer une information de polarisation, ladite information de polarisation permettant, éventuellement de propager la liste comprenant ladite donnée identitaire uniquement vers un et un seul desdits premier ou second connecteurs 46a ou 46b. Finalement, ladite donnée identitaire peut avantageusement comprendre diverses informations permettant une identification de l'unité qu'elle équipe, comme par exemple un numéro d'équipement ou un numéro d'unité de l'unité qu'elle équipe. Le transmetteur de liste 45 est apte à servir d'interface entre le réseau, par exemple un réseau Ethernet IP, du véhicule multi-unité et le dispositif de génération d'identité. A cette fin, il peut éventuellement comprendre un composant numérique, tel un circuit logique programmable FPGA.
  • Dans le cas d'un véhicule multi-unité comportant n unités, numérotées successivement selon l'ordre de formation dudit véhicule multi-unité de 1 à n, l'indice 1 caractérisant l'unité positionnée à une extrémité du véhicule multi-unité et l'indice n l'unité positionnée à l'autre extrémité, un exemple de liste susceptible d'être créée par ajout successif de la donnée identitaire caractérisant chaque unité composant ledit véhicule multi-unité est donné par: Liste = H 1 τ 2 n + 1 + τ 2 n Id 1 + τ 2 n 1 Id 2 + + τ 2 n i + 1 Id i + + τ 2 Id n
    Figure imgb0001
     avec Id i = pol i + Data i / τ pour i = 1 , , n
    Figure imgb0002
     et où
    • H1
    est une donnée temporelle caractérisant la création de la liste;
    τ
    est une constante de codage de valeur suffisamment grande, exprimé sur, par exemple, 48 bits d'information, afin de garantir l'objectif de sécurité SIL4 et telle que la suite des τi présente une distribution pseudo aléatoire;
    Idi
    est la donnée identitaire de l'unité i du véhicule multi-unité;
    poli
    est une donnée caractérisant la polarité de l'unité i, la polarité indiquant simplement si l'unité i est attelée en marche avant ou marche arrière à l'unité i-1;
    Datai
    est une donnée caractérisant au moins un équipement de l'unité i ou un numéro d'identification de l'unité i.
  • Le système de pilotage selon l'invention est ainsi capable de garantir qu'au moins un calculateur, préférentiellement le calculateur maître, est associé de manière cohérente à l'ensemble des dispositifs fonctionnels du véhicule multi-unité afin d'assurer le pilotage dudit véhicule multi-unité. Le dispositif de détermination de la composition du véhicule multi-unité permet de découvrir ladite composition par propagation de ladite liste d'une unité à une autre unité composant ledit véhicule multi-unité. Sur la base de la donnée de composition apte à encapsuler ladite liste, le module de sécurisation associe, préférentiellement de façon exclusive, une connexion à un ensemble d'Entrées/Sorties distribuées sur le réseau dudit véhicule multi-unité avec un calculateur, en particulier avec un calculateur maître, lesdites Entrées/Sorties étant destinées à connecter ledit calculateur aux dispositifs fonctionnels des unités qui composent ledit véhicule multi-unité. De manière préférentielle, chaque calculateur est couplé à un module de sécurisation selon l'invention, et chaque module de sécurisation selon l'invention est apte, en fonction de ladite donnée de composition à entrer dans un mode inactif ou dans un mode actif, de sorte qu'un unique module se sécurisation est actif pour le véhicule multi-unité. En particulier, au moins une condition prédéfinissable dans chacun desdits modules de sécurisation permet à chacun des modules de sécurisation de déterminer son propre mode de fonctionnement, i.e. soit ledit mode actif, soit ledit mode inactif. Ladite condition prédéfinissable pouvant par exemple être corrélée à une position, au sein du véhicule multi-unité, de l'unité équipée d'un calculateur comprenant ledit module de sécurisation.
  • La figure 3 présente un exemple de mécanisme de sécurisation de l'association d'au moins un calculateur d'un système de pilotage selon l'invention avec un ensemble d'Entrées/Sorties de modules d'Entrées/Sorties destinés à équiper le véhicule multi-unité. Une fois que la donnée de composition du véhicule multi-unité a été créée, la méthode selon l'invention est caractérisée en ce qu'un module de sécurisation est choisi, par exemple en fonction de ladite donnée de composition, afin de sécuriser la connexion d'un calculateur ou d'un groupe de calculateur, par exemple un calculateur maître et son calculateur redondant, avec un ensemble d'Entrées/Sorties de modules d'Entrées/Sorties. A cette fin, le module de sécurisation comprend en particulier un générateur de jeton d'association codé capable de générer un jeton d'association codé comprenant en particulier un code d'identification spécifique du calculateur ou du groupe de calculateurs autorisés à être connecté aux Entrées/Sorties desdits modules d'Entrées/Sorties. Le module de verrouillage du module de sécurisation est en particulier capable de transmettre ledit jeton à tous les modules d'Entrées/Sorties dont les Entrées/Sorties doivent être connectées audit calculateur ou groupe de calculateur afin de rester cohérent avec ladite donnée de composition du véhicule multi-unité, et afin de permettre un contrôle, par le calculateur ou le groupe de calculateur, des dispositifs fonctionnels du véhicule multi-unité. Ladite donnée de composition permet en particulier au module de sécurisation de déterminer quelles Entrées/Sorties de quels modules d'Entrées/Sorties doivent être contrôlées par le calculateur ou groupe de calculateur afin d'assurer le fonctionnement du véhicule multi-unité, et donc de déterminer quelles Entrées/Sorties doivent être connectées audit calculateur ou groupe de calculateur.
  • Chaque module d'Entrées/Sorties recevant ledit jeton d'association codé est en particulier capable, durant une phase de réponse, d'émettre périodiquement ou suffisamment fréquemment un message de confirmation capable de confirmer la connexion dudit calculateur avec les Entrées/Sorties dudit module d'Entrées/Sorties, et de transmettre ledit message de confirmation audit calculateur, en particulier audit module de sécurisation dudit calculateur du système de pilotage sécurisé. Ledit message de confirmation peut par exemple être émis périodiquement à une période d'émission dont la valeur temporelle, i.e. sa durée, peut-être prédéfinie. Avantageusement, la phase de réponse peut être précédée par une phase d'initialisation 1 permettant la génération et l'initialisation du message de confirmation. La durée de cette phase d'initialisation est en particulier supérieure à la durée de ladite période d'émission afin de garantir en sécurité que le mécanisme de sécurisation ait le temps de détecter qu'un calculateur ou un groupe de calculateurs préalablement connectés à une Entrée/Sortie d'un module d'Entrées/Sorties a ou ont perdu ladite connexion avec ladite Entrée/Sortie avant qu'un autre calculateur ou un autre groupe de calculateur ait eu le temps de se connecter à ladite Entrée/Sortie. Cette durée de la phase d'initialisation supérieure à la période d'émission peut être par exemple garantie par un générateur pseudo aléatoire obligé à fonctionner en permanence durant ladite phase d'initialisation du message de confirmation.
  • Ainsi, à la fin de la phase d'initialisation 1, un message de confirmation initialisé 2 est généré par le module d'Entrées/Sorties. Lors de la réception 3 d'un jeton d'association codé transmis par le module de sécurisation du système de pilotage, le module d'Entrées/Sorties est apte à associer, durant une phase d'association 4, ledit jeton d'association codé audit message de confirmation initialisé. A la fin de cette phase d'association, ledit message de confirmation 5 est prêt pour être transmis périodiquement au module de sécurisation. Avantageusement, ce message de confirmation, suite à ladite phase d'association, comprend d'une part ladite donnée d'identification du calculateur ou groupe de calculateur, mais aussi d'autre part, une identification des Entrées/Sorties du module d'Entrées/Sorties connectées audit calculateur ou groupe de calculateurs, et une donnée temporelle afin de vérifier une fraîcheur du message de confirmation. Le message de confirmation est ensuite envoyé, notamment cycliquement, durant la phase de réponse 6, au moins audit module de sécurisation ayant émis le jeton d'association codé. Le module de verrouillage dudit module de sécurisation est en particulier capable de décoder le message de confirmation afin de contrôler que les Entrées/Sorties dudit module d'Entrées/Sorties sont connectées audit calculateur ou audit groupe de calculateur, et non à d'autres calculateurs.
  • Avantageusement, tant qu'un module d'Entrées/Sorties est connecté à un calculateur ou groupe de calculateur via ses Entrées/Sorties, ledit module d'Entrées/Sorties génère, notamment cycliquement, à ladite période d'émission ledit message de confirmation et aucun autre calculateur ne peut y être connecté. Afin de libérer le module d'Entrées/Sorties de sa connexion avec un calculateur ou groupe de calculateur, le générateur de jeton d'association dudit module de verrouillage est capable de générer une clé de déverrouillage destinée à être transmise par le module de verrouillage à l'ensemble des modules d'Entrées/Sorties dont les connexions avec le calculateur ou le groupe de calculateur doivent être coupées. A la réception d'une telle clé de déverrouillage 7, le module d'Entrées/Sorties est en particulier apte à désassocier le jeton d'association codé du message de confirmation initialisé afin de restaurer ledit message de confirmation initialisé 2.
  • En cas de défaillance 9, par exemple en cas de perte de connexion ou de communication avec le module de sécurisation ou le calculateur, le module d'Entrées/Sorties est capable de se réinitialiser en retournant à la phase d'initialisation du message de confirmation afin de permettre, par exemple, qu'un jeton d'association codé d'un autre calculateur soit susceptible d'être associé audit message de confirmation initialisé.
  • La phase de réponse 6 permet d'envoyer, notamment cycliquement, au module de sécurisation la confirmation, via ledit message de confirmation, que les Entrées/Sorties dudit module d'Entrées/Sorties sont connectées et contrôlées par le calculateur, par exemple le calculateur maître, ou par un groupe de calculateurs, par exemple le calculateur maître et son redondant. Ledit module de sécurisation est ainsi en particulier capable de vérifier en permanence une cohérence de la connexion du calculateur avec chaque module d'Entrées/Sorties pour lequel il a reçu ledit message de confirmation et ladite donnée de composition, garantissant ainsi en sécurité la connexion d'un calculateur audit ensemble d'Entrées/Sorties.
  • La figure 4 décrit un couplage automatique d'un premier véhicule multi-unité 1 avec un second véhicule multi-unité 2 comprenant chacun un système de pilotage sécurisé selon l'invention, afin de former un nouveau véhicule multi-unité. Avant le couplage, les deux véhicules multi-unités, par exemple un premier train comprenant trois voitures et un second train comprenant deux voitures, comprennent chacun un système de pilotage sécurisé distribué qui leur est propre, lesdits systèmes de pilotage sécurisés de chacun des véhicules multi-unités étant indépendants l'un de l'autre. Le premier véhicule multi-unité 1 comprend en particulier trois unités, et le second véhicule multi-unité 2 comprend quant à lui deux unités.
  • Le système de pilotage du premier véhicule multi-unité 1 comprend en particulier au moins trois calculateurs 51, 52, 53 et au moins trois modules d'Entrées/Sorties 91, 92, 93, reliés par un premier réseau 81, par exemple Ethernet, CPL, Wi-Fi. Similairement, le second véhicule multi-unité 2 comprend en particulier au moins deux calculateurs 54, 55, et au moins deux modules d'Entrées/Sorties 94, 95, reliés par un second réseau 82. Pour chacun des deux véhicules multi-unités, au moins un calculateur et au moins un module d'Entrées/Sorties du système de pilotage sécurisé sont destinés à équiper une unité, de sorte que chaque unité comprenne au moins un calculateur et au moins un module d'Entrées/Sorties. Ainsi, dans cet exemple, chaque unité est une unité autonome. Cependant, lesdits premier et second véhicules multi-unités pourraient tout aussi bien comprendre une ou plusieurs unités non-autonomes, chaque unité non-autonome comprenant par exemple au moins un module d'Entrées/Sorties et un dispositif de génération d'identité.
  • Un des calculateurs 51, 52, 53 du premier véhicule multi-unité 1 est choisi pour être le calculateur maître du premier véhicule multi-unité 1, par exemple le calculateur 51 apte à être positionné à une extrémité dudit premier véhicule multi-unité 1, et éventuellement un autre des calculateurs 51, 52, 53 du premier véhicule multi-unité 1 est choisi pour être son redondant, par exemple le calculateur 53 positionnable à l'autre extrémité du premier véhicule multi-unité 1. Similairement, un des calculateurs 54, 55 du second véhicule multi-unité 2 est choisi pour être le calculateur maître du second véhicule multi-unité 2, par exemple le calculateur 54 positionnable à une extrémité du second véhicule multi-unité 2, et éventuellement un autre des calculateurs 54, 55 du second véhicule multi-unité 2 est choisi pour être son redondant, par exemple le calculateur 55 positionnable à l'autre extrémité du second véhicule multi-unité 2. De manière générale, il est toujours préférable que le système de pilotage sécurisé comprenne en particulier un calculateur maître positionnable, notamment dans une unité autonome, à une extrémité du véhicule multi-unité et un calculateur mis en redondance dudit calculateur maître, i.e. son redondant, positionnable, notamment dans une unité autonome, à l'autre extrémité dudit véhicule multi-unité, afin de permettre un scindage efficace dudit véhicule multi-unité.
  • Les autres calculateurs du premier véhicule multi-unité 1, respectivement du second véhicule multi-unité 2, sont dans un état inactif, tel que par exemple, le calculateur 52 du premier véhicule multi-unité 1. De manière générale, le choix du calculateur maître et de son redondant peut être basé sur un algorithme de choix utilisant une numérotation, comme par exemple une adresse IP ou un numéro de calculateur, ou bien une détermination d'une position des calculateurs dans le véhicule multi-unité, ladite position étant par exemple une position centrale, une position en tête ou en queue de véhicule multi-unité, la position d'un calculateur étant déductible de ladite donnée de composition. Préférentiellement, pour chacun des systèmes de pilotage du premier et second véhicule multi-unité, au moins un mécanisme de sécurisation et de priorisation d'un module de sécurisation d'un calculateur du système de pilotage est apte à choisir ledit calculateur maître et son redondant, et permet dès lors une priorisation du calculateur maître, ou autrement dit, une connexion exclusive du calculateur maître avec les Entrées/Sorties des modules d'Entrées/Sorties du véhicule multi-unité, de sorte que seul le calculateur maître soit apte à contrôler les Entrées/Sorties des modules d'Entrées/Sorties destinés à équiper ledit véhicule multi-unité. Le calculateur redondant est quant à lui apte à prendre le contrôle desdites Entrées/Sorties en cas de défaillance du calculateur maître. Pour chaque véhicule multi-unité, ledit module de sécurisation apte à réaliser ledit mécanisme de sécurisation et priorisation peut éventuellement être choisi automatiquement en fonction de ladite donnée de composition pour chacun desdits véhicules multi-unités. De manière préférentielle, le module de sécurisation est apte à choisir comme calculateur maître via son mécanisme de sécurisation et priorisation le calculateur qu'il est destiné à équiper. Ainsi, le module de sécurisation est apte à prioriser préférentiellement le calculateur qu'il équipe.
  • Ainsi, un module de sécurisation 6 du premier véhicule multi-unité 1 est apte à choisir ledit calculateur 51 en tant que calculateur maître afin de permettre à ce dernier de contrôler les Entrées/sorties des modules d'Entrées/Sorties 91, 92, 93 du premier véhicule multi-unité 1 via le premier réseau 81. De manière similaire, un module de sécurisation 6 du second véhicule multi-unité 2 est apte à choisir ledit calculateur 54 en tant que calculateur maître afin de lui permettre de contrôler les Entrées/Sorties des modules d'Entrées/Sorties 94, 95 du second véhicule multi-unité 2 via le second réseau 82.
  • Avantageusement, chaque calculateur selon l'invention, lorsqu'il est le calculateur redondant d'un calculateur maître, est en particulier capable de vérifier un état de synchronisation de son contexte avec un contexte dudit calculateur maître. Préférentiellement, le calculateur maître et son redondant, lorsque le contexte de ce dernier est vérifié synchrone à celui du calculateur maître, sont aptes à être connectés aux Entrées/Sorties des modules d'Entrées/Sorties qui leurs sont associables. En particulier, le module de sécurisation 6 du calculateur maître est capable de verrouiller, au moyen d'un jeton d'association codé, la connexion dudit calculateur maître et de son redondant avec lesdites Entrées/Sorties. Préférentiellement, lorsqu'un calculateur maître et son redondant sont connectés via une connexion verrouillée à un ensemble d'Entrées/Sorties, seul le calculateur maître est autorisé à commander les dispositifs fonctionnels du véhicule multi-unité, alors que le calculateur redondant est apte à vérifier des opérations effectuées par le calculateur maître et à remplacer ledit calculateur maître en cas de défaillance de ce dernier.
  • Le système de pilotage du premier véhicule multi-unité 1 est de plus caractérisé en ce qu'il comprend au moins un dispositif de génération d'identité, en particulier trois dispositifs de génération d'identité 41, 42, 43, chacun destiné à équiper une unité du premier véhicule multi-unité 1. Egalement, le système de pilotage du second véhicule multi-unité comprend deux dispositifs de génération d'identité destinés à équiper, chacun, une unité dudit second véhicule multi-unité 2. Ainsi, un premier dispositif de génération d'identité 41, un second dispositif de génération d'identité 42 et un troisième dispositif de génération d'identité 43 équipent chacun une unité du premier véhicule multi-unité 1, et un premier dispositif de génération d'identité 44 et un second dispositif de génération d'identité équipent ledit second véhicule multi-unité. Les dispositifs de génération d'identité 41, 42, 43 du premier véhicule multi-unité 1, respectivement ceux du second véhicule multi-unité 2, sont connectables l'un à la suite de l'autre afin de former une première chaîne de dispositif de génération d'identité, respectivement une seconde chaîne de dispositifs de génération d'identité, chacune desdites chaînes étant en d'autres termes un premier, respectivement second, dispositif de détermination de la composition du véhicule multi-unité selon l'invention. Chaque dispositif de génération d'identité est capable de communiquer et d'échanger des données, notamment ladite liste selon l'invention, avec son ou ses voisins. De manière identique pour le système de pilotage du premier ou du second véhicule multi-unité, une communication peut être établie d'une extrémité à l'autre de sa chaîne de dispositifs de génération d'identité, ou en d'autres termes, d'une extrémité à l'autre du véhicule multi-unité, soit dans un premier sens de la tête à la queue du véhicule multi-unité, par exemple du dispositif de génération d'identité 41 situé à la tête du véhicule multi-unité au dispositif de génération d'identité 43 situé à la queue dudit véhicule multi-unité, soit à l'inverse, de la queue à la tête du véhicule multi-unité, par exemple du dispositif de génération d'identité 43 en queue au dispositif de génération d'identité 41 en tête, ou bien même, dans les deux sens à la fois. Il en va de même pour les dispositifs de génération d'identité 44, 45 du second véhicule multi-unité.
  • Avantageusement, au moins un des dispositifs de génération d'identité 41, 42, 43 du premier véhicule multi-unité 1, respectivement du second véhicule multi-unité 2, en particulier situé en extrémité de la première chaîne, respectivement de la seconde chaîne, est apte à initialiser ladite liste selon l'invention, par exemple une première liste pour le système de pilotage du premier véhicule multi-unité 1, et une seconde liste pour le second véhicule multi-unité 2. Chacune de ces listes comprend de préférence une donnée temporelle, par exemple une date, et permet un encodage de la composition du véhicule multi-unité pour lequel elle a été générée. Ainsi, la première liste sera apte à être initialisée pour le premier véhicule multi-unité 1 par un de ses dispositifs de génération d'identité et permettra un encodage de la composition dudit premier véhicule multi-unité 1, et une seconde liste sera apte à être initialisée pour le second véhicule multi-unité 2 par un de ses dispositifs de génération d'identité, et permettra aussi un encodage de sa composition. Pour chacun des systèmes de pilotage du premier et du second véhicule multi-unité, une fois la première, respectivement seconde, liste initialisée à une extrémité de ladite première chaîne, respectivement seconde chaîne, ladite première liste, respectivement seconde liste, est transmise à un autre dispositif de génération d'identité en direction de l'autre extrémité de ladite première, respectivement seconde, chaîne de façon à ce qu'elle parcourt toute ladite première, respectivement seconde, chaîne de dispositifs de génération d'identité. Chaque dispositif de génération d'identité 41, 42, 43 du premier véhicule multi-unité 1, respectivement chaque dispositif de génération d'identité 44, 45 du second véhicule multi-unité 2, est capable d'accumuler ou ajouter une donnée identitaire dans ladite première liste, respectivement seconde liste, à la suite du dernier élément (par exemple à la suite de la dernière donnée identitaire) ajouté dans ladite première, respectivement seconde, liste par le dispositif de génération d'identité précédent. Le dispositif de génération d'identité situé à l'autre extrémité de ladite première chaîne, respectivement seconde chaîne, i.e. situé en fin de chaîne, est en particulier apte à transmettre, notamment cycliquement, ladite première liste, respectivement seconde liste, encapsulée dans une donnée de composition, au calculateur maître 51 et à son redondant 53 via ledit premier réseau 81 dans le cas du premier véhicule multi-unité 1, et au calculateur maître 54 et à son redondant 55, via ledit second réseau 82 dans le cas du second véhicule multi-unité 2.
  • En particulier, dans le cas d'une initialisation de ladite liste par chacun des dispositifs de génération d'identité situés en extrémité de chaîne, i.e. une première initialisation d'une première liste à une extrémité de la chaîne et une seconde initialisation d'une seconde liste à l'autre extrémité de la chaîne, et une propagation de chacune des deux listes dans un sens opposé dans ladite chaîne de dispositifs de génération d'identité, le dispositif de génération d'identité susceptible de recevoir la première liste par un de ses connecteurs et la seconde liste par un autre de ses connecteurs est en particulier capable de créer une nouvelle liste comprenant les éléments de la première liste, auxquels est ajouté d'abord la donnée identitaire créée par ledit dispositif de génération susceptible de recevoir la première et seconde liste, et ensuite les éléments de la seconde liste. La nouvelle liste comprend ainsi les données identitaires de toutes les unités composant le véhicule multi-unité. Alternativement, le dispositif de génération d'identité susceptible de recevoir la première liste par un de ses connecteurs et la seconde liste par un autre de ses connecteurs est capable de choisir soit la première liste, soit la seconde liste, i.e. une seule des deux listes, afin de la transmettre vers un dispositif de génération d'identité situé en extrémité de la chaîne. Ainsi, malgré une génération de deux listes, une et une seule des deux listes est apte à se propager vers un et un seul dispositif de génération d'identité situé en extrémité de chaîne, destiné à prendre en charge la création de la liste complète des données identitaires de toutes les unités composant le véhicule multi-unité. Préférentiellement, le dispositif de génération d'identité ayant créé ladite nouvelle liste est de plus capable d'encapsuler ladite nouvelle liste dans ladite donnée de composition afin qu'elle soit transmise, notamment cycliquement, à au moins un calculateur, par exemple à tous les calculateurs équipant chacun des véhicules multi-unités, ou de préférence au calculateur maître 51 et à son redondant 53.
  • Lorsque le premier véhicule multi-unité 1 et le second véhicule multi-unité 2 sont couplés l'un à l'autre pour former un nouveau véhicule multi-unité 3 comprenant les unités du second véhicule multi-unité 2 attelées à la suite des unités du premier véhicule multi-unité 1, une procédure de reconfiguration automatique du système de pilotage du nouveau véhicule multi-unité 3 est automatiquement réalisable.
  • En effet, lors d'un couplage de deux véhicules multi-unités l'un avec l'autre, les dispositifs de génération d'identité étant tous identiques et connectables les uns aux autres, il s'ensuit que les dispositifs de génération d'identité 41, 42, 43 du premier véhicule multi-unité 1 sont connectables aux dispositifs de génération d'identité 44, 45 du second véhicule multi-unité 2 afin de former une nouvelle chaîne de dispositifs de génération d'identité composée de la première chaîne connectée à la seconde chaîne, et formant ainsi un nouveau dispositif de détermination de la composition du nouveau véhicule multi-unité 3. Ce nouveau dispositif de détermination de la composition du nouveau véhicule multi-unité 3 est capable de déterminer automatiquement la composition du nouveau véhicule multi-unité 3 et de générer une donnée de composition encodant ladite composition du nouveau véhicule multi-unité 3. De même, lors du couplage d'un premier véhicule multi-unité 1 avec un second véhicule multi-unité 2, le premier réseau 81 et le second réseau 82 sont connectables l'un à l'autre afin de former un nouveau réseau 83, ledit nouveau réseau 83 étant une réunion du premier réseau 81 et du second réseau 82.
  • Le nouveau dispositif de détermination de la composition du nouveau véhicule multi-unité 3, formé des dispositifs de génération d'identité du premier et du second véhicule multi-unité, est capable de transmettre via ledit nouveau réseau 83, ladite donnée de composition du nouveau véhicule multi-unité 3, à l'ensemble des calculateurs du nouveau véhicules multi-unités 3, notamment afin qu'au moins un module de sécurisation reçoive ladite donnée de composition. En particulier, une fois cette donnée de composition acquise par les calculateurs 41 à 45 du nouveau véhicule multi-unité 3 et par les modules d'Entrées/Sorties 91 à 95 via ledit nouveau réseau 83, le calculateur maître 51 et son redondant 53 du premier véhicule multi-unité 1, ainsi que le calculateur maître 54 et son redondant 55 du second véhicule multi-unité 2 sont capables, au moyen de leur module de sécurisation, de se déconnecter des Entrées/Sorties des modules d'Entrées/Sorties auxquelles ils étaient connectés lorsque le premier et le second véhicule mutli-unité étaient non couplés l'un à l'autre, i.e. indépendants. Avantageusement, chaque système de pilotage selon l'invention est capable, au moyen de ladite clé de déverrouillage transmise par leurs modules de sécurisation respectifs, de couper la connexion d'au moins un de ses calculateurs, en particulier de tous ses calculateurs, audit ensemble d'Entrées/Sorties dès détection d'une variation de ladite donnée de composition. En particulier, le module de sécurisation du système de pilotage selon l'invention est capable de détecter ladite variation de la donnée de composition et de couper la connexion d'au moins un calculateur avec ledit ensemble d'Entrées/Sorties, en particulier la connexion du calculateur maître et de son redondant, afin de permettre à un nouveau calculateur maître et à son redondant de prendre le contrôle desdites Entrées/Sorties en s'y connectant. Préférentiellement, un nouveau module de sécurisation 6, choisi par exemple en fonction de la donnée de composition du nouveau véhicule multi-unité 3, détermine ledit nouveau calculateur maître et son redondant. De préférence, le nouveau calculateur maître est situé à une extrémité du nouveau véhicule multi-unité 3, par exemple le calculateur 51, et son redondant à l'autre extrémité, par exemple le calculateur 55. Les autres calculateurs 52, 53, 54 du nouveau véhicule multi-unité 3 sont de préférence dans un état inactif.
  • Le nouveau module de sécurisation 6 du système de pilotage du nouveau véhicule multi-unité 3 est ensuite capable, sur la base de ladite donnée de composition, de connecter au moins un calculateur, en particulier ledit nouveau calculateur maître et son redondant, à l'ensemble des Entrées/Sorties des modules d'Entrées/Sorties 91 à 95 du nouveau véhicule multi-unité 3. Dès que le module de sécurisation 6 est en mesure de valider une cohérence entre les Entrées/Sorties associées aux calculateurs et la donnée de composition, le système de pilotage du nouveau véhicule multi-unité 3 est apte à prendre le contrôle desdites Entrées/Sorties afin de commander les dispositifs fonctionnels du nouveau véhicule multi-unité permettant son pilotage.
  • La Figure 4 permet aussi d'expliquer un scindage d'un véhicule multi-unité équipé d'un système de pilotage sécurisé selon l'invention. Lors du scindage d'un véhicule multi-unité, par exemple dudit nouveau véhicule multi-unité 3, en deux ou plusieurs autres véhicules multi-unités, par exemple en un premier véhicule multi-unité 1 et un second véhicule multi-unité 2, ladite nouvelle chaîne de dispositifs de génération d'identité dudit nouveau véhicule multi-unité formée des dispositifs de génération d'identité 41 à 45 est rompue, séparée en deux parties, par exemple en ladite première chaîne de dispositifs de génération d'identité 41 à 43 du premier véhicule multi-unité 1, et en ladite seconde chaîne de dispositifs de génération d'identité 44, 45 du second véhicule multi-unité 2. Pareillement, le réseau 83 du nouveau véhicule multi-unité 3 est séparé en un premier réseau 81 du premier véhicule multi-unité 1 et en un second réseau 82 dudit second véhicule multi-unité 2.
  • Après scindage, chacune des deux parties de la chaîne de dispositifs d'identité du nouveau véhicule multi-unité 3 est capable de générer indépendamment et automatiquement une nouvelle donnée de composition caractérisant respectivement le premier véhicule multi-unité 1, et le second véhicule multi-unité 2. Comme précédemment avec le couplage de deux véhicules multi-unités, la nouvelle donnée de composition est en particulier capable de provoquer la génération par au moins un module de sécurisation de la clé de déverrouillage permettant une déconnexion de chacun des calculateurs, d'avec les Entrées/Sorties auxquelles ils étaient préalablement connecté dans la configuration dudit nouveau véhicule multi-unité 3. Avantageusement, ladite clé de déverrouillage est susceptible d'être transmise à chaque module de sécurisation d'un système de pilotage sécurisé selon l'invention, afin que chaque module de sécurisation soit capable de déconnecter un calculateur de sa connexion avec au moins une Entrée/Sortie lors dudit scindage. En particulier, la connexion du calculateur maître 51 et de son redondant 55 avec les Entrées/Sorties de leurs modules d'Entrées/Sorties 91 à 95 est apte à être coupée au moyen de ladite clé de déverrouillage apte à être fournie par le module de sécurisation, soit lors de ladite détection de la variation de la donnée de composition lors du scindage, soit lors d'un processus préalable de notification du scindage audit système de pilotage dudit nouveau véhicule multi-unité.
  • Dans un autre cas de figure, notamment lorsque ledit scindage n'est pas notifié audit système de pilotage dudit nouveau véhicule multi-unité 3, et si le module de sécurisation 6 détecte, avant d'avoir détecté ladite variation de ladite donnée de composition, une perte de connexion du calculateur maître avec les Entrées/Sorties du ou des modules d'Entrées/Sorties auxquelles il était préalablement connecté avant scindage, cette perte de connexion peut être interprétée par ledit module de sécurisation et le module d'Entrées/Sorties comme une défaillance pouvant en particulier résulter en une réinitialisation du message de confirmation. Cette réinitialisation du message de confirmation rendra possible la connexion d'un nouveau calculateur maître choisi après scindage pour chacun des premier et second véhicules multi-unités aux Entrées/Sorties des module d'Entrées/Sorties équipant leurs unités.
  • Par rapport à l'art antérieur pour lequel le calculateur maître est susceptible de tomber dans un état puits de sécurité lors de la détection d'une perte de connexion avec une partie des Entrées/Sorties des modules d'Entrées/Sorties des unités ayant été dételées, la présente invention permet, lors d'un scindage ou d'un couplage, de corréler automatiquement la nouvelle composition du véhicule multi-unité avec l'ensemble des Entrées/Sorties devant être prises en considération par le calculateur maître, de sorte qu'une perte d'une connexion du calculateur maître avec une partie de ses Entrées/Sorties ne résulte pas en une activation d'une procédure d'urgence du système de pilotage.
  • Pour un véhicule multi-unité comprenant plusieurs unités autonomes, au moins un calculateur parmi l'ensemble des calculateurs distribués sur le réseau dudit véhicule est apte à agir en tant que calculateur maître afin de piloter ledit véhicule et afin d'être associé directement, par connexion audit ensemble d'Entrées/Sorties, aux modules d'Entrées/Sorties dudit véhicule. Lorsque le calculateur agissant en tant que calculateur maître pilote ledit véhicule, les autres calculateurs dudit véhicule peuvent en particulier être en état de veille, de sorte que seul le calculateur identifié comme calculateur maître par le module de sécurisation commande le pilotage dudit véhicule, de préférence, le module de sécurisation identifie le calculateur qu'il équipe comme calculateur maître.
  • Finalement, la présente invention a permis de décrire un système de pilotage sécurisé capable de découvrir de manière autonome la composition d'un véhicule multi-unité tel un train, et de vérifier en sécurité la connexion correcte d'au moins un calculateur du système de pilotage avec un ensemble d'Entrées/Sorties de modules d'Entrées/Sorties distribués sur le réseau dudit véhicule multi-unité.
  • La mise en sécurité du système de pilotage sécurisé est notamment réalisée en contrôlant, notamment cycliquement, la cohérence entre l'ensemble des Entrées/Sorties aptes à être connectées et verrouillées avec ledit calculateur et la composition du véhicule multi-unité déduite de la donnée de composition fournie par ledit dispositif de détermination de la composition du véhicule multi-unité. En particulier, des données de composition dudit véhicule multi-unité aptes à décrire un ensemble de caractéristiques des unités susceptibles de composer ledit véhicule multi-unité, et un ensemble de configurations possibles dudit véhicule multi-unité peuvent servir de référence au contrôle, notamment cyclique, de la cohérence entre l'ensemble des Entrées/Sorties aptes à être connectées et verrouillées avec ledit calculateur et la composition du véhicule multi-unité.
  • Avantageusement, la présente invention permet une validation de l'intégrité d'un véhicule multi-unité libre d'un recours à des informations de niveau applicatif, tel que la localisation par exemple, et un apport d'une plus grande généricité de traitement grâce à un accès direct à l'ensemble des Entrées/Sorties du véhicule multi-unité et à la possibilité de centraliser les traitements logiciels liés à la sécurisation du système de pilotage sur un seul calculateur.
  • En résumé, la méthode et le système de sécurisation d'un système de pilotage selon l'invention présentent plusieurs avantages par rapport aux méthodes et systèmes de pilotage existant en ce que:
    • ils permettent une indépendance de la sécurisation de la détermination de la composition d'un véhicule multi-unité: la détermination de la composition est indépendante de logiciels applicatifs portés par des calculateurs destinés au pilotage automatique;
    • ils autorisent une modification dynamique de la composition d'un train sans interruption du contrôle en sécurité de la composition dudit véhicule multi-unité;
    • ils permettent une utilisation en sécurité SIL4 du système de pilotage sécurisé, distribué et dynamiquement reconfigurable;
    • le mécanisme de sécurisation et de priorisation permet une attribution exclusive de la connexion d'un ensemble d'Entrées/Sorties avec au moins un calculateur, en particulier un seul calculateur, et permet d'associer en sécurité, directement un calculateur maître avec des sorties sécuritaire. Cela permet la réalisation d'une architecture distribuée dynamiquement reconfigurable, et donc une centralisation des données de fonctionnement et une plus grande souplesse de déploiement;
    • ils permettent de connaître en permanence la composition du véhicule multi-unité et un état de verrouillage des Entrées/Sorties avec le calculateur maître. Notamment, une actualisation de la donnée de composition est compatible avec la période d'émission du message de confirmation destiné à rafraichir les Entrées/Sorties connectées au calculateur maître;
    • la centralisation des informations vers un calculateur permet de simplifier la complexité du système de pilotage automatique et donc réduit la complexité de l'analyse de sécurité. Le pilotage du véhicule multi-unité par un calculateur via les modules d'Entrées/Sorties est ainsi sécurisé;
    • ils permettent l'ajout ou respectivement la suppression automatique d'une unité à ou respectivement d'un véhicule multi-unité.

Claims (15)

  1. Méthode de sécurisation d'un système de pilotage destiné à équiper et piloter un véhicule multi-unité, ladite méthode comprend:
    - une détermination autonome d'une composition d'un véhicule multi-unité par un dispositif de détermination de la composition dudit véhicule multi-unité corrélée à une génération d'une donnée de composition dudit véhicule multi-unité;
    - une transmission de ladite donnée de composition à un ensemble d'éléments du système de pilotage, au moins un élément dudit ensemble d'éléments étant un calculateur (5) dudit système de pilotage; et caractérisée en ce que ladite méthode comprend:
    - une détermination, par ledit calculateur (5) et au moyen de ladite donnée de composition, d'un ensemble d'Entrées/Sorties d'au moins un module d'Entrée/Sortie (91) destiné à équiper le véhicule multi-unité;
    - une connexion de chaque élément dudit ensemble d'éléments audit ensemble d'Entrées/Sorties.
  2. Méthode selon revendication 1, caractérisée en ce que ledit ensemble d'éléments comprend un groupe de calculateurs.
  3. Méthode selon revendication 2, caractérisée par un mécanisme de sécurisation et de priorisation de la connexion d'au moins un calculateur (5) dudit groupe de calculateurs avec ledit ensemble d'Entrées/Sorties.
  4. Méthode selon revendication 3, caractérisée en ce que ledit mécanisme de sécurisation et priorisation comprend une génération d'un jeton d'association codé apte à verrouiller ladite connexion d'au moins un calculateur (5) dudit groupe de calculateurs avec ledit ensemble d'Entrées/Sorties, et une génération d'une clé de déverrouillage apte à déverrouiller ladite connexion d'au moins un calculateur (5) dudit groupe de calculateurs avec ledit ensemble d'Entrées/Sorties.
  5. Méthode selon une des revendications 1 à 4, caractérisée par une vérification cyclique ou suffisamment fréquente d'une cohérence entre la connexion de chaque élément dudit ensemble d'éléments avec ledit ensemble d'Entrées/Sorties et ladite donnée de composition.
  6. Méthode selon une des revendications 1 à 5, caractérisée en ce que ladite détermination autonome comprend un ajout successif et ordonné à une liste, selon un ordre de composition dudit véhicule multi-unité, d'au moins une donnée identitaire de chaque unité (1, 2, 3) dudit véhicule multi-unité de façon à ce qu'un ordre de succession des données identitaires comprises dans ladite liste soit corrélable à l'ordre de composition des unités (1, 2, 3) dudit véhicule multi-unité, chaque donnée identitaire étant spécifique à une unique unité (1, 2, 3) du véhicule multi-unité, et ladite liste étant apte à être encapsulée dans ladite donnée de composition.
  7. Système de pilotage sécurisé d'un véhicule multi-unité, ledit système comprend:
    - un dispositif de détermination d'une composition du véhicule multi-unité, capable de déterminer de manière autonome ladite composition du véhicule multi-unité et de générer une donnée de composition corrélable à ladite composition dudit véhicule multi-unité;
    - au moins un calculateur (5) comprenant au moins un module de sécurisation (6), ledit calculateur (5) étant destiné à équiper au moins une unité (1, 2, 3) du véhicule multi-unité, chaque calculateur étant connectable au moyen d'au moins une connexion et via un réseau (8), d'une part à un ensemble d'Entrées/Sorties de modules d'Entrées/Sorties (91) destinés à équiper une ou plusieurs unités (1, 2, 3), et d'autre part audit dispositif de détermination de la composition du véhicule multi-unité, afin d'échanger via chaque module d'Entrées/Sorties (91) des données de fonctionnement de l'unité (1, 2, 3) et/ou du véhicule multi-unité, et afin d'acquérir dudit dispositif de détermination, une donnée de composition dudit véhicule multi-unité; et caractérisé en ce que ledit système comprend:
    - ledit module de sécurisation (6) dynamique de ladite connexion de chaque calculateur (5) avec ledit ensemble d'Entrées/Sorties, ledit module de sécurisation (6) étant capable de déterminer, à partir de ladite donnée de composition, ledit ensemble d'Entrées/Sorties susceptibles d'être connectées à chaque calculateur (5), de connecter chaque calculateur (5) audit ensemble d'Entrées sorties, et de contrôler une cohérence entre chaque connexion de chaque calculateur (5) audit ensemble d'Entrées/Sorties.
  8. Système de pilotage selon revendication 7, caractérisé en ce qu'il comprend un groupe de calculateurs, et en ce que le module de sécurisation (6) est capable de prioriser la connexion d'un seul calculateur (5) dudit groupe de calculateurs audit ensemble d'Entrées/Sorties.
  9. Système de pilotage selon une des revendications 7 ou 8, caractérisé en ce que le module de sécurisation (6) comprend un module de verrouillage capable de verrouiller chaque connexion du calculateur (5) avec chacune des Entrées/Sorties dudit ensemble d'Entrées/Sorties.
  10. Système de pilotage selon la revendication 8, caractérisé en ce que ledit module de verrouillage comprend un générateur de jeton d'association codé apte à générer un jeton d'association codé afin de verrouiller chaque connexion dudit calculateur (5) avec chacune des Entrées/Sorties dudit ensemble d'Entrées/Sorties et une clé de déverrouillage apte à déverrouiller au moins une connexion dudit calculateur (5) avec au moins une des Entrées/Sorties dudit ensemble d'Entrées/Sorties.
  11. Système de pilotage selon une des revendications 7 à 10, caractérisé en ce que le dispositif de détermination d'une composition du véhicule multi-unité comprend au moins un dispositif de génération d'identité (4), chaque dispositif de génération d'identité (4) du dispositif de détermination étant destiné à équiper une unité du véhicule multi-unité, chaque dispositif de génération d'identité (4) étant capable de générer une donnée identitaire de l'unité (1, 2, 3) qu'il est destiné à équiper.
  12. Dispositif de génération d'identité (4) destiné à permettre une détermination d'une composition d'un véhicule multi-unité comprenant au moins une unité (1, 2, 3), le dispositif de génération d'identité (4) destiné à équiper une unité (1, 2, 3) du véhicule multi-unité comprend:
    - un générateur de données identitaires capable de générer une donnée identitaire de l'unité (1, 2, 3) que le dispositif de génération d'identité est destiné à équiper, ladite donnée identitaire étant destinée à permettre une identification de ladite unité (1, 2, 3);
    - un détecteur de connexion apte à détecter une présence ou une absence de couplage dudit dispositif de génération d'identité (4) avec au moins un autre dispositif de génération d'identité (4);
    - un générateur de liste capable de créer une liste d'éléments destinée à comprendre des éléments aptes à être ordonnés et ajoutés successivement; caractérisé en ce que ledit dispositif comprend:
    - un composant de sérialisation capable d'ajouter un autre élément à ladite liste, soit à la suite d'un dernier élément d'une liste d'éléments ordonnables successivement destinée à être réceptionnée par ledit dispositif de génération d'identité, soit comme premier élément de la liste d'éléments susceptible d'être créée par le générateur de liste, ledit autre élément comprenant ladite donnée identitaire;
    - un transmetteur de liste capable de transmettre ladite liste d'éléments comprenant ledit autre élément soit à un autre dispositif de génération d'identité (4), soit à au moins un calculateur (5) du véhicule multi-unité après encapsulation de ladite liste dans une donnée de composition dudit véhicule multi-unité.
  13. Dispositif selon revendication 12, caractérisé en ce que ledit générateur de liste est capable de créer cycliquement ou suffisamment fréquemment ladite liste.
  14. Dispositif selon une des revendication 12 à 13, caractérisé en ce que le dispositif de génération d'identité (4) comprend au moins deux connecteurs, respectivement un premier et un second connecteur, chacun destiné au couplage dudit dispositif de génération d'identité (4) avec un autre dispositif de génération d'identité (4).
  15. Dispositif selon la revendication 14, caractérisé en ce que ledit générateur de données identitaires est capable de générer une donnée de polarisation capable d'autoriser la transmission de ladite liste d'éléments au moyen d'un seul des deux connecteurs.
EP11757325.3A 2010-11-23 2011-09-15 Méthode de sécurisation d'un système de pilotage d'un véhicule multi-unité reconfigurable et système de pilotage sécurisé Active EP2643198B1 (fr)

Priority Applications (1)

Application Number Priority Date Filing Date Title
EP11757325.3A EP2643198B1 (fr) 2010-11-23 2011-09-15 Méthode de sécurisation d'un système de pilotage d'un véhicule multi-unité reconfigurable et système de pilotage sécurisé

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
EP10290624 2010-11-23
EP11757325.3A EP2643198B1 (fr) 2010-11-23 2011-09-15 Méthode de sécurisation d'un système de pilotage d'un véhicule multi-unité reconfigurable et système de pilotage sécurisé
PCT/EP2011/066032 WO2012069223A1 (fr) 2010-11-23 2011-09-15 Méthode de sécurisation d'un système de pilotage d'un véhicule multi-unité reconfigurable et système de pilotage sécurisé

Publications (2)

Publication Number Publication Date
EP2643198A1 EP2643198A1 (fr) 2013-10-02
EP2643198B1 true EP2643198B1 (fr) 2017-11-01

Family

ID=44651808

Family Applications (1)

Application Number Title Priority Date Filing Date
EP11757325.3A Active EP2643198B1 (fr) 2010-11-23 2011-09-15 Méthode de sécurisation d'un système de pilotage d'un véhicule multi-unité reconfigurable et système de pilotage sécurisé

Country Status (9)

Country Link
US (1) US8755957B2 (fr)
EP (1) EP2643198B1 (fr)
KR (1) KR20130140743A (fr)
CN (1) CN103313902A (fr)
BR (1) BR112013012848B1 (fr)
CA (1) CA2818605A1 (fr)
ES (1) ES2658184T3 (fr)
HU (1) HUE037885T2 (fr)
WO (1) WO2012069223A1 (fr)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2992620B1 (fr) * 2012-06-27 2014-08-15 Alstom Transport Sa Train et procede de determination de la composition d'un tel train en securite
AT515454A3 (de) * 2013-03-14 2018-07-15 Fts Computertechnik Gmbh Verfahren zur Behandlung von Fehlern in einem zentralen Steuergerät sowie Steuergerät
CN108163012B (zh) * 2017-12-27 2019-12-03 卡斯柯信号有限公司 一种支持列车动态连挂和解编的控制方法
CN109441280B (zh) * 2018-09-12 2020-07-14 南京康尼机电股份有限公司 一种sil4安全级轨道车辆门控器的安全电路及其控制方法
CN113194472B (zh) * 2021-03-31 2023-03-31 新华三技术有限公司成都分公司 Agv无线接入方法及车载设备、网络设备、存储介质

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6144900A (en) * 1998-04-17 2000-11-07 General Electric Company Automatic serialization of an array of wireless nodes based on coupled oscillator model
DE19929644C2 (de) 1999-06-28 2002-02-21 Deutsche Bahn Ag System zur Initialisierung von Zügen auf Basis eines Datenkommunikationssystems, bei dem allen Kommunikationsteilnehmern die Informationen in der Initialisierungsphase zugänglich sind
US8037204B2 (en) * 2005-02-11 2011-10-11 Cisco Technology, Inc. Method and system for IP train inauguration
DE102006018163B4 (de) * 2006-04-19 2008-12-24 Siemens Ag Verfahren zur automatischen Adressvergabe
CA2706087C (fr) * 2007-11-30 2013-11-26 Mitsubishi Electric Corporation Systeme de reconnaissance de formation de train et appareil de reconnaissance de formation de train
GB2461386B (en) * 2007-12-21 2010-06-09 Nomad Spectrum Ltd Establishing a wireless connection between component vehicles where order/orientation information is used to issue instructions to components

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
None *

Also Published As

Publication number Publication date
BR112013012848A2 (pt) 2016-08-23
CA2818605A1 (fr) 2012-05-31
US20130245865A1 (en) 2013-09-19
HUE037885T2 (hu) 2018-09-28
US8755957B2 (en) 2014-06-17
KR20130140743A (ko) 2013-12-24
CN103313902A (zh) 2013-09-18
BR112013012848B1 (pt) 2020-10-20
ES2658184T3 (es) 2018-03-08
EP2643198A1 (fr) 2013-10-02
WO2012069223A1 (fr) 2012-05-31

Similar Documents

Publication Publication Date Title
EP2643198B1 (fr) Méthode de sécurisation d'un système de pilotage d'un véhicule multi-unité reconfigurable et système de pilotage sécurisé
EP2008376B1 (fr) Procédé et dispositif de communication sur une liaison de communication entre un aéronef et une station sol
EP2679466B2 (fr) Procédé de détermination de la composition d'un train en sécurité
EP2638528A1 (fr) Procédé et système de transmission et de réception de données provenant d'une boite noire d'aéronef
FR3020910A1 (fr) Systeme de connexion d'un dispositif mobile a un reseau sans fil d'un aeronef
EP2296405A1 (fr) Dispositif et procédé de communication sans fil, et système comportant un tel dispositif
FR2999152A1 (fr) Systeme de commande d'aeronef a voies fusionnees
FR2649574A1 (fr) Reseau de communication entre equipements utilisateurs
FR2934693A1 (fr) Systeme aeronautique embarque a reconfiguration dynamique, procede associe et aeronef embarquant un tel systeme.
CA1209712A (fr) Procede et installation de transmission de donnees numeriques
EP3487126B1 (fr) Procédé d'émission d'un message de données à destination d'un dispositif électronique récepteur, dispositif électronique émetteur et programme d'ordinateur associés
EP1304836B1 (fr) Bus de terrain déterministe et procédé de gestion d'un tel bus
EP3408990B1 (fr) Dispositif de passerelle pour un système de communication embarqué d'un véhicule automobile
EP1647112B1 (fr) Procede et dispositif de transmission de donnees
FR3030162A1 (fr) Procede d'echange de trames de donnees numeriques et systeme de communication associe
FR3067192B1 (fr) Appareil electronique comportant deux memoires et procede d'appairage associe
FR3082960A1 (fr) Architecture electronique de vehicule automobile avec redondance des reseaux d’alimentation electrique et de communication inter-calculateurs.
FR2831355A1 (fr) Coupleur logique dans un reseau de communication
WO2010102677A1 (fr) Contrôle en sécurité de l'exclusivité d'un état actif/passif d'unités de traitements
EP4057190A1 (fr) Client simplifié et architectures associées pour la délégation de calculs quantiques à un serveur quantique
EP0471633A1 (fr) Réseau de communication à anneau d'écriture et anneau de lecture et procédé d'accès et de reconfiguration d'un tel réseau
WO2023118035A1 (fr) Système pour la transmission de données entre dispositifs clients, procédé de mise en oeuvre d'un tel système
EP4026292A1 (fr) Systeme de transfert unidirectionnel de donnees et procede correspondant
FR3107634A1 (fr) Procédé de surveillance d’un système, dispositifs, système et programme correspondant
FR2969443A1 (fr) Procede de gestion de services sur un reseau

Legal Events

Date Code Title Description
PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

17P Request for examination filed

Effective date: 20130408

AK Designated contracting states

Kind code of ref document: A1

Designated state(s): AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MK MT NL NO PL PT RO RS SE SI SK SM TR

DAX Request for extension of the european patent (deleted)
RAP1 Party data changed (applicant data changed or rights of an application transferred)

Owner name: SIEMENS S.A.S.

RAP1 Party data changed (applicant data changed or rights of an application transferred)

Owner name: SIEMENS S.A.S.

GRAP Despatch of communication of intention to grant a patent

Free format text: ORIGINAL CODE: EPIDOSNIGR1

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: GRANT OF PATENT IS INTENDED

INTG Intention to grant announced

Effective date: 20170502

RIN1 Information on inventor provided before grant (corrected)

Inventor name: CHENU, ERIC

GRAS Grant fee paid

Free format text: ORIGINAL CODE: EPIDOSNIGR3

GRAA (expected) grant

Free format text: ORIGINAL CODE: 0009210

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE PATENT HAS BEEN GRANTED

AK Designated contracting states

Kind code of ref document: B1

Designated state(s): AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MK MT NL NO PL PT RO RS SE SI SK SM TR

REG Reference to a national code

Ref country code: GB

Ref legal event code: FG4D

Free format text: NOT ENGLISH

REG Reference to a national code

Ref country code: CH

Ref legal event code: EP

Ref country code: AT

Ref legal event code: REF

Ref document number: 941725

Country of ref document: AT

Kind code of ref document: T

Effective date: 20171115

REG Reference to a national code

Ref country code: IE

Ref legal event code: FG4D

Free format text: LANGUAGE OF EP DOCUMENT: FRENCH

REG Reference to a national code

Ref country code: DE

Ref legal event code: R096

Ref document number: 602011042929

Country of ref document: DE

REG Reference to a national code

Ref country code: NL

Ref legal event code: MP

Effective date: 20171101

REG Reference to a national code

Ref country code: ES

Ref legal event code: FG2A

Ref document number: 2658184

Country of ref document: ES

Kind code of ref document: T3

Effective date: 20180308

REG Reference to a national code

Ref country code: LT

Ref legal event code: MG4D

REG Reference to a national code

Ref country code: AT

Ref legal event code: MK05

Ref document number: 941725

Country of ref document: AT

Kind code of ref document: T

Effective date: 20171101

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: SE

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20171101

Ref country code: LT

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20171101

Ref country code: NO

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20180201

Ref country code: NL

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20171101

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: AT

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20171101

Ref country code: LV

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20171101

Ref country code: RS

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20171101

Ref country code: BG

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20180201

Ref country code: GR

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20180202

Ref country code: IS

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20180301

Ref country code: HR

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20171101

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: EE

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20171101

Ref country code: DK

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20171101

Ref country code: CY

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20171101

Ref country code: CZ

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20171101

Ref country code: SK

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20171101

REG Reference to a national code

Ref country code: DE

Ref legal event code: R097

Ref document number: 602011042929

Country of ref document: DE

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: PL

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20171101

Ref country code: SM

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20171101

Ref country code: IT

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20171101

Ref country code: RO

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20171101

PLBE No opposition filed within time limit

Free format text: ORIGINAL CODE: 0009261

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: NO OPPOSITION FILED WITHIN TIME LIMIT

REG Reference to a national code

Ref country code: FR

Ref legal event code: PLFP

Year of fee payment: 8

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: MT

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20171101

REG Reference to a national code

Ref country code: HU

Ref legal event code: AG4A

Ref document number: E037885

Country of ref document: HU

26N No opposition filed

Effective date: 20180802

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: SI

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20171101

REG Reference to a national code

Ref country code: DE

Ref legal event code: R119

Ref document number: 602011042929

Country of ref document: DE

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: MC

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20171101

REG Reference to a national code

Ref country code: CH

Ref legal event code: PL

GBPC Gb: european patent ceased through non-payment of renewal fee

Effective date: 20180915

REG Reference to a national code

Ref country code: BE

Ref legal event code: MM

Effective date: 20180930

REG Reference to a national code

Ref country code: IE

Ref legal event code: MM4A

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: LU

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20180915

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: IE

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20180915

Ref country code: DE

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20190402

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: CH

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20180930

Ref country code: LI

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20180930

Ref country code: BE

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20180930

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: GB

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20180915

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: TR

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20171101

REG Reference to a national code

Ref country code: ES

Ref legal event code: PC2A

Owner name: SIEMENS MOBILITY SAS

Effective date: 20200507

REG Reference to a national code

Ref country code: HU

Ref legal event code: FH1C

Free format text: FORMER REPRESENTATIVE(S): SBGK SZABADALMI UEGYVIVOEI IRODA, HU

Representative=s name: SBGK SZABADALMI UEGYVIVOEI IRODA, HU

Ref country code: HU

Ref legal event code: GB9C

Owner name: SIEMENS MOBILITY SAS, FR

Free format text: FORMER OWNER(S): SIEMENS S.A.S., FR

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: PT

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20171101

REG Reference to a national code

Ref country code: FI

Ref legal event code: PCE

Owner name: SIEMENS MOBILITY SAS

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: MK

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20171101

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: AL

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20171101

PGFP Annual fee paid to national office [announced via postgrant information from national office to epo]

Ref country code: FI

Payment date: 20230920

Year of fee payment: 13

PGFP Annual fee paid to national office [announced via postgrant information from national office to epo]

Ref country code: FR

Payment date: 20230918

Year of fee payment: 13

PGFP Annual fee paid to national office [announced via postgrant information from national office to epo]

Ref country code: ES

Payment date: 20231218

Year of fee payment: 13

PGFP Annual fee paid to national office [announced via postgrant information from national office to epo]

Ref country code: HU

Payment date: 20231122

Year of fee payment: 13