FR3075424A1 - Systeme instrumente de securite utilisant une base de donnees distribuee de type chaine de blocs - Google Patents
Systeme instrumente de securite utilisant une base de donnees distribuee de type chaine de blocs Download PDFInfo
- Publication number
- FR3075424A1 FR3075424A1 FR1762584A FR1762584A FR3075424A1 FR 3075424 A1 FR3075424 A1 FR 3075424A1 FR 1762584 A FR1762584 A FR 1762584A FR 1762584 A FR1762584 A FR 1762584A FR 3075424 A1 FR3075424 A1 FR 3075424A1
- Authority
- FR
- France
- Prior art keywords
- blk
- information
- blockchain
- command
- processing device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000012545 processing Methods 0.000 claims abstract description 70
- 238000005259 measurement Methods 0.000 claims abstract description 38
- 230000004044 response Effects 0.000 claims abstract description 7
- 238000000034 method Methods 0.000 claims description 6
- 229920000346 polystyrene-polyisoprene block-polystyrene Polymers 0.000 description 32
- 238000010200 validation analysis Methods 0.000 description 23
- 238000012546 transfer Methods 0.000 description 16
- 230000006870 function Effects 0.000 description 13
- 230000015654 memory Effects 0.000 description 6
- 238000004891 communication Methods 0.000 description 4
- 230000008901 benefit Effects 0.000 description 3
- 230000000694 effects Effects 0.000 description 3
- 230000009471 action Effects 0.000 description 2
- 230000006399 behavior Effects 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 238000005065 mining Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 239000003086 colorant Substances 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 230000007423 decrease Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 230000003362 replicative effect Effects 0.000 description 1
- 230000009897 systematic effect Effects 0.000 description 1
- 230000002123 temporal effect Effects 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
- H04L9/3239—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/04—Programme control other than numerical control, i.e. in sequence controllers or logic controllers
- G05B19/042—Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
- G05B19/0423—Input/output
- G05B19/0425—Safety, monitoring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/50—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Automation & Control Theory (AREA)
- Alarm Systems (AREA)
Abstract
L'invention concerne un système instrumenté de sécurité (SIS) comprenant :un dispositif de traitement (A) configuré pour recevoir une donnée de mesure acquise par un capteur (C), un dispositif de commande (B) configuré pour générer ou non une commande de sécurité adaptée pour mettre un actionneur (D) dans un état de sécurité, dans lequel le dispositif de traitement (A) est configuré pour commander une écriture, dans une base de données distribuée de type chaîne de blocs (BLK), d'une information destinée au dispositif de commande (B) indiquant que la donnée de mesure a une valeur ayant franchi un seuil critique, et dans lequel le dispositif de commande (B) est configuré pour lire l'information écrite dans la base de données distribuée de type chaîne de blocs (BLK), et générer la commande de sécurité en réponse à la lecture.
Description
DOMAINE DE L'INVENTION
La présente invention concerne un système instrumenté de sécurité.
ETAT DE LA TECHNIQUE
Un système instrumenté de sécurité (en anglais « safety instrumented System » et habituellement abrégé en « SIS »), tel que défini dans la norme CEI 61508 et ses normes filles, est un système instrumenté utilisé pour mettre en œuvre une ou plusieurs fonctions instrumentées de sécurité.
Un système instrumenté de sécurité comprend conventionnellement un ou plusieurs capteurs, un ou plusieurs dispositifs de traitement, ou plusieurs dispositifs de commande, ayant un rôle de voteurs (en en cas de redondance), et un ou plusieurs actionneurs. Un dispositif de traitement est configuré pour recevoir des données de mesure acquises par un ou plusieurs capteurs. Un dispositif de commande est configuré pour générer ou non une commande de sécurité adaptée pour mettre un actionneur dans un état de sécurité, en fonction des données de mesure acquises par le ou les dispositifs de traitement auxquels il est relié.
L’actionneur est par exemple un interrupteur, qui, dans son état de sécurité, coupe une alimentation en énergie de toute ou partie du système, par exemple le capteur.
Dans un système instrumenté classique, le dispositif de traitement et le dispositif de commande sont intégrés ou communiquent entre eux par réseau ou une liaison « fil à fil ». En variante, le dispositif de traitement et le dispositif de commande ne sont pas directement connectés entre eux : les données émises par le dispositif de traitement sont relayées par au moins un nœud intermédiaire au dispositif de commande.
Dans un réseau arborescent (redondant), un nœud de commande peut recevoir des données émanant de plusieurs dispositifs de traitement, eux-mêmes reliés à différents capteurs. Ce nœud établit un vote entre des données redondantes provenant de différents capteurs et/ou différents dispositifs de traitements afin de détecter de façon plus fiable une défaillance du système.
Toutefois, dans de tels systèmes instrumentés de sécurité, les données qui transitent entre les dispositifs de traitement et les dispositifs de commande peuvent être corrompues ou falsifiées.
EXPOSE DE L'INVENTION
Un but de l’invention est dès lors de protéger les données qui transitent dans un système instrumenté de sécurité contre des corruptions ou falsifications.
Il est dès lors proposé, selon un premier aspect de l’invention, un système instrumenté de sécurité comprenant :
• un dispositif de traitement configuré pour recevoir une donnée de mesure acquise par un capteur, • un dispositif de commande configuré pour générer ou non une commande de sécurité adaptée pour mettre un actionneur dans un état de sécurité, dans lequel • le dispositif de traitement est configuré pour commander une écriture, dans une base de données distribuée de type chaîne de blocs, d’une information destinée au dispositif de commande indiquant que la donnée de mesure a une valeur ayant franchi un seuil critique, • le dispositif de commande est configuré pour lire l’information écrite dans la base de données distribuée de type chaîne de blocs, et générer la commande de sécurité en réponse à la lecture.
Dans le système selon le premier aspect de l’invention, l’information qui est utilisée par le dispositif de commande pour déclencher la génération d’une commande mettant l’actionneur dans un état de sécurité transite par une base de données distribuée de type chaîne de blocs (« blockchain » en anglais).
Une propriété inhérente et très avantageuse d’une chaîne de blocs est son caractère infalsifiable. Le domaine d’utilisation le plus connu d’une blockchain, éloigné du domaine des systèmes instrumentés de sécurité, est celui des systèmes de transaction de cryptomonnaies (telles Bitcoin ou Ethereum).
Dès lors, l’utilisation astucieuse et non conventionnelle d’une telle chaîne de blocs comme support de mémorisation de l’information indiquant que la donnée de mesure a franchi un seuil critique permet de protéger ladite information contre des corruptions ou falsifications.
Un autre avantage de l’utilisation de la blockchain réside dans le fait que cette blockchain peut mémoriser un vaste historique d’informations passées révélateur de l’état général du système et de son évolution dans la durée.
Le système selon le premier aspect de l’invention peut être complété à l’aide des caractéristiques suivantes, prises seules ou en combinaison lorsque cela est techniquement possible.
Le dispositif de commande peut être configuré pour générer la commande de sécurité ou non en fonction d’un nombre prédéterminé d’informations indiquant que la donnée de mesure a une valeur ayant franchi un seuil critique, dans un ensemble de dernières informations écrites dans la base de données distribuée de type chaîne de blocs.
Le dispositif de traitement peut être configuré pour commander une écriture, dans la base de données distribuée de type chaîne de blocs, d’une deuxième information indiquant que la donnée de mesure a une valeur tolérée ayant franchi un seuil toléré mais n’ayant pas franchi le seuil critique.
Le dispositif de commande peut être configuré pour générer la commande de sécurité ou non en fonction d’un nombre prédéterminé de deuxièmes informations dans ledit ensemble.
Le dispositif de traitement peut être configuré pour commander une écriture, dans la base de données distribuée de type chaîne de blocs, d’une troisième information indiquant que la donnée de mesure a une valeur acceptable.
Le dispositif de traitement est configuré pour commander une écriture, dans la base de données distribuée de type chaîne de blocs, d’une quatrième information indiquant que le dispositif de traitement n’a pas reçu de donnée de mesure acquise par le capteur au cours d’une période de durée prédéterminée, et le dispositif de commande peut être configuré pour lire la troisième information écrite dans la base de données distribuée de type chaîne de blocs, et pour générer la commande de sécurité en réponse à la lecture de la troisième information.
Le dispositif de traitement ou le dispositif de commande peut comprendre un chien de garde configuré pour de manière répétée commander l’écriture dans la base de données de type chaîne de blocs d’une cinquième information indiquant si le dispositif de traitement ou de commande est dans un état bloqué ou non, le système comprenant par ailleurs un dispositif d’observation configuré pour lire la cinquième information dans la base de données de type chaîne de blocs.
Le dispositif d’observation peut comprendre un chien de garde configuré pour de manière répétée commander l’écriture dans la base de données de type chaîne de blocs d’une sixième information indiquant si le dispositif d’observation est dans un état bloqué ou non, le système comprenant par ailleurs un deuxième dispositif d’observation configuré pour lire la sixième information dans la base de données de type chaîne de blocs.
Un dispositif du système peut être configuré pour se mettre en arrêt une fois que ledit dispositif a commandé écrit un nombre prédéterminé d’informations dans la base de données de type chaîne de blocs.
Il est également proposé, selon un deuxième aspect de l’invention, un procédé de mise en œuvre d’une fonction instrumentée de sécurité, comprenant des étapes de • réception, par un dispositif de traitement, d’une donnée de mesure acquise par un capteur, • génération, par un dispositif de commande, d’une commande de sécurité adaptée pour mettre un actionneur dans un état de sécurité en fonction de la donnée de mesure, le procédé comprenant par ailleurs des étapes de :
• commande d’écriture, par le dispositif de traitement dans une base de données distribuée de type chaîne de blocs, d’une information indiquant que la donnée de mesure a une valeur ayant franchi un seuil critique, • lecture, par le dispositif de commande, de l’information écrite dans la base de données distribuée de type chaîne de blocs, la commande de sécurité étant générée en réponse à la lecture.
DESCRIPTION DES FIGURES
D’autres caractéristiques, buts et avantages de l’invention ressortiront de la description qui suit, qui est purement illustrative et non limitative, et qui doit être lue en regard de la figure en annexe qui illustre de façon schématique un système instrumenté de sécurité selon un mode de réalisation de l’invention.
DESCRIPTION DETAILLEE DE L'INVENTION
A) Système instrumenté de sécurité
En référence à la figure annexée, un système instrumenté de sécurité (ci-après abrégé en « SIS ») comprend au moins un capteur C, au moins un dispositif de traitement A, au moins un dispositif de commande C, et au moins un actionneur D. Bien entendu, chacun des éléments susmentionnés peut être présent en plus d’un exemplaire dans le SIS.
Chaque capteur C est configuré pour acquérir des données de mesure.
Chaque dispositif de traitement A est relié à au moins un capteur C par un lien de communication, par exemple plusieurs capteurs par plusieurs liens de communication. Un lien de communication est par exemple un lien physique ou bien un lien radio ou optique.
Chaque dispositif de traitement A comprend au moins un processeur pour traiter des données de mesure, et une interface d’accès à une base de données de données distribuée
BLK de type chaîne de blocs. Dans la suite, la base de données de données distribuée de type chaîne de blocs est plus simplement appelée « blockchain », ce terme étant communément employé dans la littérature.
Chaque dispositif de traitement A a pour fonction de relayer des données de mesure fournies par au moins un capteur C vers au moins un dispositif de commande B. Toutefois, ce relayage passe par une transaction entre deux dispositifs A et B, gérée par la blockchain.
Un dispositif de traitement A peut comprend un chien de garde (« watchdog » en anglais). Le chien de garde est un programme d’ordinateur ou un circuit configuré pour signaler à un autre dispositif du SIS si ce dispositif de traitement est dans un état bloqué ou non. Par exemple, le chien de garde peut être configuré pour émettre de manière périodique un signal indicatif que le dispositif de traitement A est bloqué ou non.
Chaque dispositif de commande B a pour fonction de commander au moins un actionneur D.
Chaque dispositif de commande B comprend au moins un processeur pour traiter des données, une interface d’accès à la blockchain BLK, et une interface de commande pour commande au moins un actionneur.
Un dispositif de commande B peut comprend un chien de garde du type décrit plus haut.
Chaque actionneur D a pour fonction d’actionner un système actionnable E tel qu’une vanne, une pompe ou un moteur (on considérera dans la suite l’exemple non limitatif d’un moteur).
Chaque actionneur D est configurable dans au moins deux états, dont un état de fonctionnement nominal et un état de sécurité (« failsafe »).
Chaque actionneur D peut être placé dans son état de sécurité au moyen d’une commande émise par un dispositif de commande qui lui est relié.
Un actionneur D donné est par exemple un interrupteur agencé sur une voie d’alimentation électrique d’un moteur E. Cet interrupteur est configurable dans un état ouvert et dans un état fermé. Lorsque l’interrupteur est dans son état ouvert, le moteur correspondant cesse d’être alimenté. Cet état ouvert constitue un exemple d’état de sécurité.
Le SIS comprend par ailleurs une pluralité de dispositifs de validation (ou de « minage ») V1, V2.
Chaque dispositif de validation Vi est agencé pour recevoir des données d’au moins un dispositif de traitement A, par un lien de communication physique ou radio ou optique, et comprend au moins un processeur.
Les dispositifs de validation Vi ont pour fonction de valider l’écriture de données de mesures fournies par un dispositif de traitement dans la blockchain, en mettre en œuvre un consensus de type preuve de temps écoulé, preuve de travail, ou preuve d’autorité par exemple. Ces consensus peuvent être implémentés via des algorithmes connus en eux-mêmes qui sont exécutés par les processeurs des dispositifs de validation.
Lorsque les dispositifs de validation Vi mettent en œuvre un consensus de type preuve de temps écoulé (Proof of Elapsed Time), les dispositifs de validation Vi se mettent en veille pendant un temps aléatoire donné. Un premier dispositif de validation pour lequel le temps de veille s'est écoulé est sélectionné pour valider un bloc. Ainsi, le dispositif de validation ayant le plus court délai d'attente est élu maître, par exemple V1. Le maître exécute un traitement. Les autres dispositifs de validation (le dispositif V2 seulement dans le mode de réalisation de la figure 1) vérifient le travail du maître V1 ainsi désigné après envoi du bloc.
Les dispositifs de validation Vi peuvent être virtualisés, si les composants matériels sont diversifiés, ce qui rend le traitement moins dépendant des différences matérielles.
De préférence, les dispositifs de validation disposent d’une plus grande puissance de calcul que les dispositifs de traitement et les dispositifs de commande.
Par ailleurs, les nœuds de validation peuvent disposer d’une alimentation électrique autonome pour assurer la sécurisation de la blockchain pendant un certain temps en cas de perte d’alimentation de toute ou partie du SIS.
Sur la figure 1, la blockchain est représentée par un cylindre, mais il ne s’agit que d’une représentation symbolique simplifiée. En effet, le SIS comprend par ailleurs une pluralité de mémoires distribuées dans des dispositifs différents pour stocker la blockchain.
Une mémoire contribuant à stocker la blockchain peut être une mémoire d’un dispositif de commande, d’un dispositif de traitement, ou d’un dispositif de validation.
Chaque mémoire est non volatile (par exemple de type HDD, SSD ou autre).
Chaque mémoire peut ainsi stocker la blockchain. Une autre stratégie de mémorisation de la blockchain consiste en une réplication de parties de la blockchain dans les différentes mémoires.
Le SIS comprend par ailleurs au moins un dispositif d’observation (ou « observateur ») Oi.
Un dispositif d’observation Oi a pour fonction de vérifier si d’autres dispositifs du SIS, par exemple un dispositif de traitement ou un dispositif de commande fonctionne correctement. Un dispositif d’observation Oi peut aussi vérifier le fonctionnement d’un autre dispositif d’observation Oj. En effet, les dispositifs d’observation Oi peuvent également comprendre eux-mêmes des chiens de garde. Dès lors, un dispositif d’observation Oi peut également vérifier si un autre dispositif d’observation fonctionne correctement ou non.
Le SIS comprend par ailleurs un dispositif de supervision (non illustré) assurant les fonctions suivantes :
• Il vérifie que l’activité des nœuds de validation ne dévie pas de façon significative de ce qui est attendu.
• Il compare régulièrement son modèle du système, avec le contenu de la blockchain. Il peut envoyer des alertes en cas d’observations d’écarts entre le modèle du système et l’état des dispositifs du SIS.
• Il détecte via des « crédits » des dispositifs d’observation des défaillances anormalement nombreuses ou des comportements systématiques.
• Il observe l’activité de validation et de création de la blockchain par les dispositifs de validation : il inspecte notamment la taille de la blockchain, la présence de fourches (défauts du protocole blockchain), et des statistiques des dispositifs de validation. Comme ces dispositifs de validation ont des performances de calcul comparables et stable, la distribution des performances de minage des dispositifs de validation est stable, à des variations de charge CPU près. Il assurer l’absence de tentatives de prise de contrôle malveillantes ou de dérives des dispositifs de validation.
B/ Transaction de jetons entre dispositifs du SIS via la blockchain
Chaque dispositif A, B, Oi du SIS dispose d’un portefeuille sécurisé (« wallet ») comprenant des jetons transférables dont le nombre, ou « crédit », est déterminé à l’avance.
Un jeton peut être transféré d’un dispositif à un autre via la blockchain. Le transfert d’un jeton par un premier dispositif à un deuxième dispositif du SIS comprend les sous-étapes suivantes.
Le premier dispositif commande l’écriture dans la blockchain d’une donnée représentative du transfert d’un jeton au deuxième dispositif.
L’écriture elle-même peut être mise en œuvre par le premier dispositif, ou être déléguée à l’un des dispositifs de validation Vi.
Les dispositifs de validation mettent en œuvre un consensus d’un des types précités, de sorte à être certain de son authenticité, et au moins un d’entre eux écrit l’information un nouveau bloc de la blockchain.
Une fois cette écriture effectuée, le deuxième dispositif peut accéder en lecture à la blockchain pour détecter qu’il dispose d’un jeton supplémentaire dans son portefeuille suite à l’exécution d’une transaction enregistrée dans le nouveau bloc.
Comme on le verra dans la suite, le deuxième dispositif peut être configuré pour mettre en œuvre un traitement qui dépend du jeton qui lui a été transféré (ce traitement étant généralement appelé dans la littérature « smart contract »).
Ainsi, dans le SIS, des jetons de types différents peuvent être transférés entre dispositifs de sorte à déclencher des traitements différents.
Dans la suite, on différencie des jetons de types différents en les désignant par des couleurs, pour plus de facilité.
B/ Fonctionnement du SIS
Un procédé de mise en œuvre par le SIS d’une fonction instrumentée de sécurité, comprenant les étapes suivantes.
Le capteur C acquiert une donnée de mesure.
Le capteur C transmet la donnée de mesure au dispositif de traitement A.
Sur réception de la donnée de mesure, le dispositif de traitement A compare la valeur de la donnée de mesure à un au moins un seuil prédéterminé, par exemple un seuil critique et un seuil toléré.
Le fait que la donnée de mesure ait franchi le seuil critique révèle une défaillance majeure affectant par exemple le capteur C. Dans ce cas, le dispositif de traitement A commande l’écriture dans la blockchain BLK d’une première information indiquant ce franchissement de seuil critique. La première information est un transfert d’un jeton rouge du dispositif de traitement A au dispositif de commande B.
Le fait que la donnée de mesure n’a pas franchi le seuil toléré révèle un comportement normal du système. Dans ce cas, le dispositif de traitement A commande l’écriture dans la blockchain BLK d’une deuxième information indique que cette donnée est normale. La deuxième information est un transfert d’un jeton vert du dispositif de traitement au dispositif de commande B.
Le fait que la donnée a franchi le seuil toléré, mais n’a pas franchi le seuil critique, révèle une défaillance mineure affectant par exemple le capteur C. Dans ce cas, le dispositif de traitement A commande l’écriture dans la blockchain BLK d’une troisième information indiquant que cette donnée n’est certes pas normale, mais pas non plus critique, donc tolérée. La deuxième information est un transfert d’un jeton orange du dispositif de traitement A au dispositif de commande B.
Le dispositif de traitement A peut également commander l’écriture dans la blockchain BLK d’une quatrième information lorsqu’il détecte qu’il n’a pas reçu de nouvelle mesure du capteur A dans une période de durée prédéterminée, cette quatrième information étant alors révélatrice d’une défaillance de ce capteur A. La quatrième information est un transfert d’un jeton noir du dispositif de traitement au dispositif de commande B.
Le dispositif de commande B accède en lecture à la blockchain BLK de manière répétée dans le temps (par exemple périodiquement), afin de déterminer si une information destinée à ce dispositif de commande y a été écrite.
Le dispositif de commande B peut ainsi prendre la décision de générer ou non une commande de sécurité pour placer l’actionneur D dans un état de sécurité, et ce en fonction du contenu de la blockchain BLK.
Par exemple, il peut être tout simplement envisagé que le dispositif de commande B génère une telle commande de sécurité lorsqu’il détecte, en lisant le contenu de la blockchain, que le dispositif de traitement A lui a transféré un jeton orange, rouge ou noir.
Alternativement, le dispositif de commande B peut fonder sa décision sur la couleur des N derniers jetons qui lui ont été transférés, N étant un entier prédéterminé supérieur ou égal à 2. Le dispositif de commande génère alors une commande de sécurité ou non en fonction du nombre de jetons rouge et/ou du nombre de jetons noirs et/ou du nombre de jetons orange et/ou du nombre de jetons verts dans cet ensemble de N derniers jetons acquis.
Par ailleurs, quand le dispositif de traitement A ou le dispositif de commande B est dans un état normal de fonctionnement (non bloqué), le chien de garde de ce dispositif A ou B commande l’écriture dans la blockchain BLK d’une cinquième information représentative de cet état normal. La cinquième information est un transfert d’un jeton vert du dispositif Aou B non bloqué à un dispositif d’observation Oi.
Le dispositif non bloqué A ou B répète par exemple cette commande d’écriture de la cinquième information de manière périodique.
En revanche, quand le chien de garde du dispositif A ou B détecte un blocage de ce dispositif, alors le chien de garde commande l’écriture d’une sixième représentative de cet état bloqué. La sixième information est un transfert d’un jeton rouge du dispositif bloqué A ou B à un dispositif d’observation Oi.
Le dispositif non bloqué répète par exemple cette commande d’écriture de la sixième information de manière périodique.
Un dispositif d’observation Oi accède en lecture à la blockchain BLK de manière répétée dans le temps (par exemple périodiquement), afin de savoir si une information destinée à ce dispositif d’observation Oi y a été écrite.
Lorsqu’un dispositif d’observation Oi détecte qu’une sixième information a été écrite à son attention dans la blockchain, le dispositif d’observation peut éventuellement relayer cette information à d’autres dispositifs d’observation Oj.
Par ailleurs, il se peut qu’un dispositif d’observation Oi se bloque lui-même. C’est pourquoi le chien de garde d’un dispositif d’observation Oi peut lui-même commander l’écriture dans la blockchain d’une septième information. La septième information est un transfert d’un jeton rouge d’un premier dispositif d’observation Oi à au moins un autre 5 dispositif d’observation Oj.
En outre, un dispositif A, B, Oi, ou Vi du SIS peut commander l’écriture d’une huitième information dans la blockchain indicative du fait que ce dispositif est en maintenance. La huitième information est un transfert d’un jeton bleu aux nœuds observateurs avec lesquels le dispositif est relié.
Le tableau ci-dessous consignes différents transferts de jetons susceptibles d’être mis en œuvre dans un SIS.
| Couleur de jeton | Transféré par | Transféré à | Evènement déclencheur du transfert | Action déclenchée |
| Vert | Dispositif de traitement A | Dispositif de commande B | Réception donnée de mesure normale | Rien |
| Orange | Dispositif de traitement A | Dispositif de commande B | Réception donnée de mesure toléré | Placement potentiel de l’actionneur dans un état de sécurité |
| Rouge | Dispositif de traitement A | Dispositif de commande B | Réception donnée de mesure critique | Placement potentiel de l’actionneur dans un état de sécurité |
| Noir | Dispositif de traitement A | Dispositif de commande B | Détection d’une défaillance d’un capteur | Placement potentiel de l’actionneur dans un état de sécurité |
| Vert | Dispositif de traitement A, de commande B ou d’observation Oi | Dispositif d’observation Oi | Le dispositif qui transfère le jeton est dans un état non bloqué | Rien |
| Rouge | Dispositif de traitement A, | Dispositif d’observation | Le dispositif qui transfère le jeton | Selon supervision |
| de commande B ou d’observation Oi | est dans un état bloqué | |||
| Bleu | Dispositif de traitement A, de commande B ou d’observation Oi | Dispositif d’observation Oi | Le dispositif qui transfère le jeton est en maintenance | Selon supervision |
Il a été vu précédemment qu’une commande d’écriture dans la blockchain BLK, par un premier dispositif du SIS, d’une information destinée à être utilisée par un deuxième dispositif du SIS se traduit par le transfert d’un jeton du premier dispositif au deuxième dispositif.
Lorsque le nombre de jetons d’un dispositif atteint zéro, ce dispositif de traitement se met en arrêt.
En particulier, le nombre de jetons appartenant au dispositif de traitement A diminue dans le temps (notamment chaque fois qu’il reçoit une nouvelle donnée de mesure émanant d’un capteur). Autrement dit, le dispositif de traitement A se met en arrêt une fois qu’il a commandé l’écriture d’un nombre prédéterminé d’informations dans la blockchain BLK.
Un dispositif d’observation Oi peut en outre vider son crédit en jetons selon l’état du système SIS ou selon des informations temporelles (telle qu’une date prédéterminée).
Le crédit en jetons d’un dispositif d’observation Oi peut donc être modifié suite à la défaillance ou l’absence d’activité ou l’émission de jetons colorés particuliers des dispositifs qu’il observe. En fonction de son crédit, il peut exécuter des contrats particuliers avec les nœuds de commande ou de traitement qu’il observe ou d’autres dispositifs d’observation pour modifier leur crédit. Cela modifie leurs logiques de vote, ou isole une partie du réseau du SIS. L’intégrité et la traçabilité de cette action de reconfiguration est garantie par la blockchain.
Le SIS décrit précédemment et le procédé qu’il met en œuvre peuvent faire l’objet de nombreuses variantes.
Bien entendu, SIS peut comprendre une pluralité de capteurs, une pluralité de dispositifs de traitements, une pluralité de dispositifs de commande, une pluralité d’actionneurs actionnant divers systèmes.
Les différents dispositifs du SIS peuvent être organisés en réseau selon n’importe quelle architecture, par exemple une architecture arborescente, ou une architecture maillée.
Deux SIS à base de blockchain peuvent être employés en parallèle. Ces deux SIS peuvent être supportés par deux réseaux privés et deux technologies de blockchain distinctes. Les supports matériels et les OS des nœuds peuvent être différents (diversité matérielle et logicielle totale). Cette variante réduit le risque de défaillance de cause commune et une défaillance d’ensemble d’un réseau pair à pair.
Les règles de connexion des dispositifs du SIS peuvent être aléatoires pour produire une structure de réseau à invariance d’échelle, très robuste face aux défaillances aléatoires de dispositifs.
Dans l’exemple de SIS décrit plus haut, les processeurs des dispositifs de traitement A sont toutes identiques pour un système donné. Des sous réseaux à base de processeurs diversifiés peuvent être employés en parallèle.
Il est en outre entendu qu’un dispositif du SIS peut assurer plusieurs fonctions. Par exemple, un dispositif de traitement peut également être un dispositif de validation ou d’observation. Ceci a pour avantage de réduire le nombre de dispositifs du SIS.
La blockchain peut être aussi bien publique que privée.
Claims (10)
- REVENDICATIONS1. Système instrumenté de sécurité (SIS) comprenant :• un dispositif de traitement (A) configuré pour recevoir une donnée de mesure acquise par un capteur (C), • un dispositif de commande (B) configuré pour générer ou non une commande de sécurité adaptée pour mettre un actionneur (D) dans un état de sécurité, le système instrumenté de sécurité étant caractérisé en ce que :• le dispositif de traitement (A) est configuré pour commander une écriture, dans une base de données distribuée de type chaîne de blocs (BLK), d’une information destinée au dispositif de commande (B) indiquant que la donnée de mesure a une valeur ayant franchi un seuil critique, • le dispositif de commande (B) est configuré pour lire l’information écrite dans la base de données distribuée de type chaîne de blocs (BLK), et générer la commande de sécurité en réponse à la lecture.
- 2. Système selon la revendication 1, dans lequel le dispositif de commande (B) est configuré pour générer la commande de sécurité ou non en fonction d’un nombre prédéterminé d’informations indiquant que la donnée de mesure a une valeur ayant franchi un seuil critique, dans un ensemble de dernières informations écrites dans la base de données distribuée de type chaîne de blocs (BLK).
- 3. Système selon l’une des revendications 1 et 2, dans lequel dispositif de traitement (A) est configuré pour commander une écriture, dans la base de données distribuée de type chaîne de blocs (BLK), d’une deuxième information indiquant que la donnée de mesure a une valeur tolérée ayant franchi un seuil toléré mais n’ayant pas franchi le seuil critique.
- 4. Système selon la revendication 3, dans lequel le dispositif de commande (B) est configuré pour générer la commande de sécurité ou non en fonction d’un nombre prédéterminé de deuxièmes informations dans ledit ensemble.
- 5. Système selon l’une des revendications précédentes, dans lequel dispositif de traitement (A) est configuré pour commander une écriture, dans la base de données distribuée de type chaîne de blocs (BLK), d’une troisième information indiquant que la donnée de mesure a une valeur acceptable.
- 6. Système selon l’une des revendications précédentes, dans lequel • le dispositif de traitement (A) est configuré pour commander une écriture, dans la base de données distribuée de type chaîne de blocs (BLK), d’une quatrième information indiquant que le dispositif de traitement (A) n’a pas reçu de donnée de mesure acquise par le capteur (C) au cours d’une période de durée prédéterminée, et • le dispositif de commande (B) est configuré pour lire la troisième information écrite dans la base de données distribuée de type chaîne de blocs (BLK), et pour générer la commande de sécurité en réponse à la lecture de la troisième information.
- 7. Système selon l’une des revendications précédentes, dans lequel le dispositif de traitement (A) ou le dispositif de commande (B) comprend un chien de garde configuré pour de manière répétée commander l’écriture dans la base de données de type chaîne de blocs (BLK) d’une cinquième information indiquant si le dispositif de traitement (A) ou de commande est dans un état bloqué ou non, le système comprenant par ailleurs un dispositif d’observation (01) configuré pour lire la cinquième information dans la base de données de type chaîne de blocs (BLK).
- 8. Système selon la revendication précédente, dans lequel le dispositif d’observation (01 ) comprend un chien de garde configuré pour de manière répétée commander l’écriture dans la base de données de type chaîne de blocs (BLK) d’une sixième information indiquant si le dispositif d’observation (01) est dans un état bloqué ou non, le système comprenant par ailleurs un deuxième dispositif d’observation (02) configuré pour lire la sixième information dans la base de données de type chaîne de blocs (BLK).
- 9. Système selon l’une des revendications précédentes, dans lequel un dispositif (A, B, 01) du système est configuré pour se mettre en arrêt une fois que ledit dispositif a commandé écrit un nombre prédéterminé d’informations dans la base de données de type chaîne de blocs (BLK).
- 10. Procédé de mise en œuvre d’une fonction instrumentée de sécurité, comprenant des étapes de • réception, par un dispositif de traitement (A), d’une donnée de mesure acquise par un capteur (C), • génération, par un dispositif de commande (B), d’une commande de sécurité adaptée pour mettre un actionneur (D) dans un état de sécurité en fonction de la donnée de mesure, le procédé étant caractérisé en ce qu’il comprend par ailleurs des étapes de :5 · commande d’écriture, par le dispositif de traitement (A) dans une base de données distribuée de type chaîne de blocs (BLK), d’une information indiquant que la donnée de mesure a une valeur ayant franchi un seuil critique, • lecture, par le dispositif de commande (B), de l’information écrite dans la base de données distribuée de type chaîne de blocs (BLK), la commande de sécurité étant10 générée en réponse à la lecture.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FR1762584A FR3075424B1 (fr) | 2017-12-20 | 2017-12-20 | Systeme instrumente de securite utilisant une base de donnees distribuee de type chaine de blocs |
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FR1762584A FR3075424B1 (fr) | 2017-12-20 | 2017-12-20 | Systeme instrumente de securite utilisant une base de donnees distribuee de type chaine de blocs |
| FR1762584 | 2017-12-20 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| FR3075424A1 true FR3075424A1 (fr) | 2019-06-21 |
| FR3075424B1 FR3075424B1 (fr) | 2019-12-27 |
Family
ID=61873457
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| FR1762584A Active FR3075424B1 (fr) | 2017-12-20 | 2017-12-20 | Systeme instrumente de securite utilisant une base de donnees distribuee de type chaine de blocs |
Country Status (1)
| Country | Link |
|---|---|
| FR (1) | FR3075424B1 (fr) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2021052709A1 (fr) * | 2019-09-18 | 2021-03-25 | Endress+Hauser Process Solutions Ag | Système d'automatisation d'autotest |
| GB2586292B (en) * | 2019-01-15 | 2023-01-11 | Fisher Rosemount Systems Inc | Machine-to-machine transactions using distributed ledgers in process control systems |
| US11960473B2 (en) | 2019-01-15 | 2024-04-16 | Fisher-Rosemount Systems, Inc. | Distributed ledgers in process control systems |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040230323A1 (en) * | 1997-08-21 | 2004-11-18 | Glanzer David A. | System and method for implementing safety instrumented systems in a fieldbus architecture |
| US20170103468A1 (en) * | 2015-10-13 | 2017-04-13 | TransActive Grid Inc. | Use of Blockchain Based Distributed Consensus Control |
-
2017
- 2017-12-20 FR FR1762584A patent/FR3075424B1/fr active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040230323A1 (en) * | 1997-08-21 | 2004-11-18 | Glanzer David A. | System and method for implementing safety instrumented systems in a fieldbus architecture |
| US20170103468A1 (en) * | 2015-10-13 | 2017-04-13 | TransActive Grid Inc. | Use of Blockchain Based Distributed Consensus Control |
Non-Patent Citations (1)
| Title |
|---|
| ARSHDEEP BAHGA ET AL: "Blockchain Platform for Industrial Internet of Things", JOURNAL OF SOFTWARE ENGINEERING AND APPLICATIONS, vol. 09, no. 10, 28 October 2016 (2016-10-28), pages 533 - 546, XP055403465, ISSN: 1945-3116, DOI: 10.4236/jsea.2016.910036 * |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB2586292B (en) * | 2019-01-15 | 2023-01-11 | Fisher Rosemount Systems Inc | Machine-to-machine transactions using distributed ledgers in process control systems |
| US11960473B2 (en) | 2019-01-15 | 2024-04-16 | Fisher-Rosemount Systems, Inc. | Distributed ledgers in process control systems |
| WO2021052709A1 (fr) * | 2019-09-18 | 2021-03-25 | Endress+Hauser Process Solutions Ag | Système d'automatisation d'autotest |
Also Published As
| Publication number | Publication date |
|---|---|
| FR3075424B1 (fr) | 2019-12-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106796524B (zh) | 记录应用程序配置信息的方法、装置和电子设备 | |
| JP6773912B2 (ja) | サービス処理およびコンセンサスの方法およびデバイス | |
| FR3075424A1 (fr) | Systeme instrumente de securite utilisant une base de donnees distribuee de type chaine de blocs | |
| EP0535761B1 (fr) | Procédé de détection et de passivation de pannes dans un système de traitement de données et système de traitement de données adapté à sa mise en oeuvre | |
| US7814396B2 (en) | Apparatus and method for checking an error recognition functionality of a memory circuit | |
| ES2866885T3 (es) | Sistema y procedimiento para la vigilancia protegida criptográficamente de al menos un componente de un aparato o de una instalación | |
| EP3123387B1 (fr) | Sécurisation du chargement de données dans une mémoire non-volatile d'un élément sécurisé | |
| WO2016034824A1 (fr) | Architecture bi-voies avec liaisons ccdl redondantes | |
| WO2015036791A1 (fr) | Gestion de dispositifs machine-machine | |
| FR2946769A1 (fr) | Procede et dispositif de reconfiguration d'avionique. | |
| Dias et al. | A pattern-language for self-healing internet-of-things systems | |
| FR3072191A1 (fr) | Procede et dispositif de surveillance d'une application logicielle avionique via sa duree d'execution, programme d'ordinateur et systeme avionique associes | |
| FR3025617A1 (fr) | Architecture bi-voies | |
| US20220317649A1 (en) | Control system, control device, and management method | |
| US20210216627A1 (en) | Mitigation of Malicious Operations with Respect to Storage Structures | |
| FR3026869A1 (fr) | Systeme embarque sur puce a haute surete de fonctionnement | |
| EP3506566B1 (fr) | Procédé et dispositif pour la surveillance à distance d'objets connectés multiples | |
| WO2023126512A1 (fr) | Procédé de détection d'une anomalie dans un système électronique en fonctionnement | |
| FR3103039A1 (fr) | Détection d’attaques à l'aide de compteurs de performances matériels | |
| US11531785B2 (en) | PUF-based data integrity | |
| CN115604088A (zh) | 组件集群系统的主备切换方法、装置、设备及存储介质 | |
| KR102542063B1 (ko) | 뉴럴 블록 클러스터 기반의 안전한 블록 체인을 구축하는 장치 및 그 동작 방법 | |
| FR3098972A1 (fr) | Procédé de validation atomique de chaines de messages à travers un réseau décentralisé | |
| EP2916220A1 (fr) | Système électronique comprenant des dispositifs électroniques, disjoncteur comportant un tel système, procédé de génération d'un indicateur d'écart en cas d'incompatibilité entre dispositifs et produit programme d'ordinateur associé | |
| KR102545159B1 (ko) | 검사 기반 네트워크 접속 제어 시스템 및 그에 관한 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PLFP | Fee payment |
Year of fee payment: 2 |
|
| PLSC | Publication of the preliminary search report |
Effective date: 20190621 |
|
| PLFP | Fee payment |
Year of fee payment: 3 |
|
| PLFP | Fee payment |
Year of fee payment: 4 |
|
| PLFP | Fee payment |
Year of fee payment: 5 |
|
| PLFP | Fee payment |
Year of fee payment: 6 |
|
| PLFP | Fee payment |
Year of fee payment: 7 |