EP3448735B1

EP3448735B1 - Dispositif serveur exécutant un logiciel de commande d'une fonction d'un système sur rail de protection du transport

Info

Publication number: EP3448735B1
Application number: EP17720733.9A
Authority: EP
Inventors: Christoph Erdmann
Original assignee: Thales Management and Services Deutschland GmbH
Current assignee: Thales Management and Services Deutschland GmbH
Priority date: 2016-04-25
Filing date: 2017-04-24
Publication date: 2020-04-29
Anticipated expiration: 2037-04-24
Also published as: DE102016206988A1; WO2017186629A1; ES2795015T3; DK3448735T3; PL3448735T3; PT3448735T; EP3448735A1; SA518400293B1

Claims

Dispositif serveur (1 ; 30) exploitant un logiciel pour commander une fonction d'un système de sécurité des transports ferroviaires, dans lequel le logiciel (11, 12, 13 ; 31, 32, 33) exploite au moins deux processus (11a-11b ; 12a-12b ; 13a-13b ; 31a-31c ; 32a-32c ; 33a-33c) physiquement séparés l'un de l'autre, dont les résultats sont comparés entre eux pour effectuer la commande de la fonction,
caractérisé en ce
que le logiciel (11, 12, 13 ; 31, 32, 33) est exploité à un niveau d'exploitation virtuel du dispositif serveur (1 ; 30),
que le dispositif serveur (1 ; 30) comprend au moins deux grappes de serveurs physiquement séparées l'une de l'autre (SC1, SC2, SC3), chacune des grappes de serveurs (SC1, SC2, SC3) du dispositif serveur (1 ; 30) comprenant au moins deux serveurs individuels (SRV-1-1, SRV-1-2, SRV-2-1, SRV-2-2, SRV-3-1, SRV-3-2) qui permettent entre eux une migration de processus (11a-11b ; 12a-12b ; 13a-13b ; 31a-31c ; 32a-32c ; 33a-33c) en cas de défaillance d'un serveur individuel (SRV-1-1, SRV-1-2, SRV-2-1, SRV-2-2, SRV-3-1, SRV-3-2),
lesdits au moins deux processus (11a-11b ; 12a-12b ; 13a-13b ; 31a-31c ; 32a-32c ; 33a-33c) s'exécutant sur des machines virtuelles (VM),
et que le logiciel (11, 12, 13 ; 31, 32, 33) comprend au moins deux parties qui sont installées sur des grappes de serveurs différentes parmi lesdites au moins deux grappes de serveurs (SC1, SC2, SC3), de sorte que lesdits au moins deux processus (11a-11b ; 12a-12b ; 13a-13b ; 31a-31c ; 32a-32c ; 33a-33c) sont exploités sur des grappes de serveurs différentes parmi lesdites au moins deux grappes de serveurs (SC1, SC2, SC3).
Dispositif serveur (1 ; 30) selon la revendication 1, caractérisé en ce que le logiciel (11, 12, 13 ; 31, 32, 33) est une application de poste d'aiguillage.
Dispositif serveur (1 ; 30) selon la revendication 2, caractérisé en ce que le logiciel (11, 12, 13 ; 31, 32, 33) est une application pour l'exploitation de l'interface utilisateur d'un poste d'aiguillage commandé par ordinateur, en particulier avec une fonctionnalité permettant la connexion de terminaux d'exploitation mobiles.
Dispositif serveur (1 ; 30) selon la revendication 1, caractérisé en ce que le logiciel (11, 12, 13 ; 31, 32, 33) est une application de protection des trains.
Dispositif serveur (1 ; 30) selon l'une des revendications précédentes, caractérisé en ce que le logiciel (11, 12, 13 ; 31, 32, 33) est conçu selon le niveau d'intégrité de sécurité 2 (SIL2) ou supérieur.
Dispositif serveur (1 ; 30) selon l'une des revendications précédentes, caractérisé en ce que le logiciel (11, 12, 13 ; 31, 32, 33) est conçu selon le niveau d'intégrité de sécurité 4 (SIL4).
Dispositif serveur (1 ; 30) selon l'une des revendications 1 à 6, caractérisé en ce que le logiciel (11, 12, 13) exploite exactement deux processus (11a-11b ; 12a-12b ; 13a-13b), physiquement séparés l'un de l'autre, sur exactement deux grappes de serveurs différentes (SC1, SC2).
Dispositif serveur (1 ; 30) selon l'une des revendications 1 à 7, caractérisé en ce que le dispositif serveur (30) comprend trois grappes de serveurs (SC1, SC2, SC3) physiquement séparées les unes des autres, que le logiciel (31, 32, 33) comprend au moins trois parties qui sont installées sur des grappes de serveurs différentes parmi les grappes de serveurs (SC1, SC2, SC3), de sorte que le logiciel (31, 32, 33) exploite trois processus (31a-31c ; 32a-32c ; 33a-33c) sur différentes grappes de serveurs parmi les trois grappes de serveurs (SC1, SC2 ; SC3), et que les résultats des processus (31a-31c ; 32a-32c 33a-33c) sont évalués dans le cadre d'une décision 2 sur 3 pour la commande de la fonction du système de sécurité des transports ferroviaires.
Dispositif serveur (1 ; 30) selon l'une des revendications précédentes, caractérisé en ce que le dispositif serveur (1 ; 30) exploite au moins un autre logiciel (14-17 ; 34-39) pour commander une autre fonction d'un système de sécurité des transports ferroviaires, et que ledit au moins un autre logiciel (14-17 ; 34-39) est installé et exploité sur une seule des grappes de serveurs (SC1, SC2, SC3).
Dispositif serveur (1 ; 30) selon la revendication 9, caractérisé en ce que ledit au moins un autre logiciel (14-17 ; 34-39) comprend une ou plusieurs des applications logicielles suivantes :
- système de planification des horaires, en particulier Aramis-D ;

- système de gestion des numéros de train et de commande des trains, en particulier ARAMIS-C ;

- système d'analyse des données et de métriques (Business Intelligence) ;

- système de maintenance des trains (Maintenance Centre) ;

- système d'acquisition et de contrôle des données des trains (Checkpoint Master Node) ;

- système d'acquisition et d'évaluation des composants d'exploitation (Service Management Tool).