WO2012110741A1 - Dispositif de détection, procédé et système sécuritaires de détection présence d'un véhicule par détection d'une étiquette rfid sur une voie notamment ferroviaire - Google Patents

Dispositif de détection, procédé et système sécuritaires de détection présence d'un véhicule par détection d'une étiquette rfid sur une voie notamment ferroviaire Download PDF

Info

Publication number
WO2012110741A1
WO2012110741A1 PCT/FR2012/050321 FR2012050321W WO2012110741A1 WO 2012110741 A1 WO2012110741 A1 WO 2012110741A1 FR 2012050321 W FR2012050321 W FR 2012050321W WO 2012110741 A1 WO2012110741 A1 WO 2012110741A1
Authority
WO
WIPO (PCT)
Prior art keywords
data
reader
module
vehicle
security
Prior art date
Application number
PCT/FR2012/050321
Other languages
English (en)
Inventor
Emmanuel BOISSEAU
Marc BURIER
Original Assignee
Systerel
Regie Autonome Des Transports Parisiens
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Systerel, Regie Autonome Des Transports Parisiens filed Critical Systerel
Publication of WO2012110741A1 publication Critical patent/WO2012110741A1/fr

Links

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L1/00Devices along the route controlled by interaction with the vehicle or train
    • B61L1/02Electric devices associated with track, e.g. rail contacts
    • B61L1/10Electric devices associated with track, e.g. rail contacts actuated by electromagnetic radiation; actuated by particle radiation
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L1/00Devices along the route controlled by interaction with the vehicle or train
    • B61L1/16Devices for counting axles; Devices for counting vehicles
    • B61L1/163Detection devices
    • B61L1/165Electrical
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L23/00Control, warning or like safety means along the route or between vehicles or trains
    • B61L23/22Control, warning or like safety means along the route or between vehicles or trains for controlling traffic in two directions over the same pair of rails
    • B61L23/26Control, warning or like safety means along the route or between vehicles or trains for controlling traffic in two directions over the same pair of rails with means for actuating signals from the vehicle or by passage of the vehicle

Definitions

  • the present invention relates to a safe system and method for detecting the presence of a vehicle in a portion of a traffic lane, in particular a railway lane, as well as an RFID barrier detection device used with or within such a process system. or safe system.
  • Traffic management and coordination systems in particular rail traffic, are increasingly computerized or even automated and increasingly use means of detecting the presence of vehicles positioned in different locations of a network.
  • Detection technologies exist operating by mechanical detection, or electrical detection by modulation of electrical signals crossing the rails as described by the document WO 2010 100054, which have a number of disadvantages due in particular to the problems caused by the mechanical contacts.
  • Non-contact light barrier technologies also exist, for example at the Porte de Charenton station in the metropolitan area of Paris since 2006.
  • This system consists of a transmitter and an infrared receiver, which is positioned at a certain distance from one another to the height of the wagons, on poles on each side of the railway.
  • the system thus forms a virtual line induced by the beam coming out of the transmitter and picked up by the receiver.
  • the crossing of this line by an object interrupts the infrared beam, which causes a change of state of the receiver. When this object no longer blocks the beam, the receiver returns to the active initial state.
  • the security standards establish a maximum acceptable probability value for the risk of occurrence of such a catastrophic error.
  • equipment is "SIL 4" safe if it is shown that the probability that the receiver is in an active state when an object cuts the beam is less than 10 "9 / h (EN 50 126 and EN standards).
  • the creation of security level systems is therefore particularly delicate and costly, and entails numerous constraints in the development and programming methods, but also in the choice of the types of technologies that can be used.
  • An object of the invention is to provide a detection device compatible with a safe detection and representing less cost, labor and complexity, in the choice of equipment and for its installation, maintenance and / or operation.
  • Another goal is to propose a method and a security detection system implementing such a device, or to implement technologies offering such benefits, even when the nature of these technologies does not allow to obtain a level directly. quantified security or only at the price of low availability.
  • the invention described here is described in the context of a railway application. However, it may also be applied to other types of vehicles on non-rail traffic lanes, eg wheeled motor vehicles or in specific transport networks within infrastructures such as warehouses or factories.
  • the invention proposes a safe method of detecting the presence of a vehicle in a determined portion of a traffic lane by negative detection.
  • this method uses a detection device comprising at least one electronic reference module and an electronic reader module disposed on either side of this portion of the channel.
  • This arrangement on both sides must here be understood as meaning around the circulation space of a material to be detected on this path, preferably vertically but possibly also in other orientations around the axis of the way and for example horizontally.
  • This electronic reference module and this electronic reader module for example associated together, cooperate with each other to maintain active communication, which is interrupted or disturbed in the presence of a vehicle.
  • This maintenance of an active communication comprises at least one iteration of a so-called interrogation operation comprising the following steps: - constitution by a security computer of one or more data called interrogation;
  • the reference module By interrogating the reference module not only on its presence but also on its specific knowledge or its specific processing of determined interrogation information, it is thus possible to obtain a guarantee of the actual maintenance of this communication of the reader module with the correct reference module. Indeed, the risk of obtaining a correct answer other than from the reference module, for example by a random response or interference, can be measured by evaluating the mathematical probabilities of obtaining correct response data without having the specific programming of the reference module concerned.
  • the computer thus provides a treatment that provides an improved level of security, even for a communication technology that would be in itself insufficiently reliable or insufficiently secure.
  • a communication technology that would be in itself insufficiently reliable or insufficiently secure.
  • RFID radio-type communication technology
  • the computer thus provides a treatment that provides an improved level of security, even for a communication technology that would be in itself insufficiently reliable or insufficiently secure.
  • an optical type communication such as infrared.
  • the method comprises a reading of the response data by the reference module (by wire circuit, and for example internally tag) in a memory of its own.
  • the method then further comprises the following features:
  • the interrogation data are chosen by pseudo-random selection within a list representing a plurality of memory addresses within a response table having a predetermined content which is stored in a non-volatile memory of the module reference ;
  • said reference module obtains the response data corresponding to these interrogation data by reading the data stored in said memory addresses;
  • the step of analysis by the security calculator comprises a comparison between, on the one hand, said received response data and, on the other hand, control data stored in a control table corresponding to the response table of said reference module; .
  • the number and size of the response table data can then be used to calculate the probability that a random read within this response table will match the expected response, thus providing a quantification of the security level of such a response. interrogation operation.
  • the response data can be obtained dynamically by encryption type calculation.
  • the method may then further include the following features:
  • the reference module obtains the response data corresponding to these interrogation data by an encryption type calculation
  • the step of analysis by the security calculator comprises a comparison between, on the one hand, said received response data and on the other hand control data calculated independently of the reader from said interrogation data, or stored in a control table corresponding to the response table of said reference module.
  • this method can comprise, within a detection cycle, a repetition of the interrogation operation in a number of iterations (N) chosen according to the number and the size of the data of the response table so that the probability that a random read within said response table is less for said number of iterations than a predetermined value corresponding to a predetermined security level.
  • the method can be implemented in embodiments in which the reader electronic module comprises at least one reader communicating with at least one RFID-type radio-tag included in the electronic reference module.
  • the invention proposes a safe system for detecting the presence of a vehicle in a given portion of a traffic lane.
  • This system comprises a computer, said security calculator, selected and programmed according to a secure method, including SIL4 level, and arranged to provide a safe detection of the presence of a vehicle by implementing a safe process as described above .
  • Such a system can in particular be programmed to provide information of absence of a vehicle of a security level, including SIL4, strictly higher than the security level, including SILO, the detection device that it controls.
  • SIL4 a security level
  • SILO the security level
  • the detection device of such a system may advantageously comprise one or more detection barriers by reading one or more RFID type RFID tags to provide a vehicle-free information of a safe level, such as as explained below.
  • RFID barrier by reading one or more RFID type RFID tags to provide a vehicle-free information of a safe level, such as as explained below.
  • a detection device comprising at least two electronic modules arranged on either side of said track portion and cooperating with each other. by radio waves to provide a negative detection by maintaining between them an active communication which is interrupted or disturbed in the presence of a vehicle, thereby achieving a so-called elemental barrier.
  • the two electronic modules comprise at least:
  • a so-called reference module including at least one electronic chip tag
  • a reader module including at least one reader capable of communicating remotely with the electronic chip of said radio-tagged radio-tag.
  • RFID of an existing model already on the market including a model intended for unsafe applications such as inventory management or item tracking.
  • radio wave communication makes it possible in particular to limit the cleaning requirements of transmitters or receivers.
  • the reference module comprises one or more passive radio tags including permanent memory means, and preferably only passive radio tags, ie. powered only by the electromagnetic flow of the reader.
  • each barrier requires only one wiring point, unlike infrared barriers that require both the transmitter and the receiver to be connected.
  • the reference module may further comprise a radio-tag with at least two electronic chips, typically an antenna and two chips, which makes it possible to increase the memory available for the response table compared with the standard capacities of the existing chips.
  • at least one of the two electronic modules of at least one elementary barrier is disposed under the position of the vehicle to be detected, the other electronic module being disposed in a position above said vehicle.
  • the reference module is for example installed above the track, without any electrical wiring, for example fixed to the ceiling of a tunnel or on a pole or a gallows.
  • the reader module can be installed on the ground, for example on one side or between the rails, which limits the space requirement and the access requirements around the track.
  • the two modules are located in a substantially vertical plane longitudinally to the taxiway, and form in this plane a non-zero angle with the vertical, for example between 10 ° and 30 °.
  • This inclination makes it possible to prevent the reader from being able to communicate with the radio-tag through the space that can separate two wagons within a train.
  • the detection device may comprise at least two elementary barriers arranged to detect the presence of the same vehicle located on the same track. This provides a dual barrier providing redundancy in the detection for a given location, thus increasing the availability of the channel by reducing the risk of total failure for this detection location.
  • the reference modules of these elementary barriers are arranged on the same side of the vehicle position, for example above the vehicle. Their reading modules are then located on the same other side of said position, for example on the floor between the rails.
  • the two modules on the same side are then typically located within one meter of each other and can thus be connected to the network at a single point of wiring for the entire redundant barrier.
  • the two elementary barriers can use the same frequency or the same channel, which makes it possible to limit the problems of choice of frequencies, and the risks of interference, for example IP3 intermodulation interference with other radio equipment on the network.
  • their reader modules are configured to communicate each with its respective reference module by radio transmission according to a specific polarization, typically linear polarizations. These polarizations are chosen to form cross polarizations, for example forming between them an angle between 85 ° and 90 °.
  • the invention may comprise at least two barriers, for example two double redundant barriers operating in cross polarization, arranged inside the same portion of a path, for example at most 20m or even 3m. It is thus possible to detect the presence of two different vehicles located on two adjacent lanes, for example parallel or forming an acute angle between them.
  • the two elementary barriers use the same frequency or the same channel, which makes it possible to limit the problems of choice of frequencies, and the risks of IP3 interference with other radio equipment on the network.
  • the reference modules of these barriers are located in two different directions, for example opposite, with respect to their respective reader modules. These reader modules are thus oriented in different directions from one another. The reader modules are arranged for example in the right of each other, or can be spaced apart from each other in the direction of its respective reference module.
  • the invention provides a particularly interesting synergy using the security method set forth above to secure a negative detection provided by a radio tag or RFID device and / or a system as set forth above.
  • RFID detection barriers described can also be applied advantageously in unsecured systems, or secured by means of processes or systems different from those described here, bringing similar advantages in terms of, for example, performance and / or simplicity of installation, maintenance and operation.
  • FIGURE 1 is a block diagram, in normal view of the traffic lane, illustrating an example of architecture of a security detection system according to the invention, applied to a metropolitan road;
  • FIG. 2 is a block diagram illustrating a detection device according to the invention, in one embodiment comprising an elementary barrier with a two-chip radio-tag;
  • FIG. 3 is a block diagram illustrating the electronic architecture of an exemplary two-chip reference module
  • FIGURE 4 is a block diagram illustrating a detection device according to the invention, in one embodiment comprising a redundant barrier including two elementary barriers with two-chip radio tags;
  • FIGURE 5 is a diagram illustrating an implementation of the invention in a metropolitan tunnel seen in longitudinal section, in one embodiment of the invention with inclined redundant barrier;
  • FIGURE 6 is a flowchart illustrating an exemplary embodiment of the security method according to the invention
  • FIG. 7, FIGURE 8 and FIGURE 9 are schematic diagrams illustrating different examples of security system architecture according to the invention.
  • FIG. 10 is a simplified diagram in plan view illustrating an embodiment of the invention in an exemplary configuration comprising a plurality of detection barriers distributed over several adjacent parallel paths.
  • the detection device comprises at least one elementary barrier Be including a reading module ML electrically connected to the network and an independent reference module MR, preferably without power supply.
  • the reference module MR comprises a reference antenna AR and a radio tag TR, or "tag”, RFID type.
  • the reader module comprises a reading device L said RFID type reader connected to a reader antenna AL positioned between the rails of a channel VI, where it is desired to detect the possible presence of a car Wl.
  • the reader antenna AL points to the reference antenna AR suspended from the ceiling of the tunnel T, which is connected to the radio tag TR.
  • a SIL4 level CS security calculator controls the game
  • RFID reader L which is of a lower security level (eg SILO) or is unsafe. Based on the results he obtains from his requests from the reader L, this calculator CS establishes a data output representing the presence or absence of any wagon W1, in the form of a STOR output information. in "all or nothing", with SIL4 level security.
  • SILO a lower security level
  • this calculator CS establishes a data output representing the presence or absence of any wagon W1, in the form of a STOR output information. in "all or nothing", with SIL4 level security.
  • the vertical mixed line thus indicates the boundary between, on the one hand, elements and information of a lower security level level (for example SILO) or an unsafe level, and on the other hand those of level SIL4.
  • a lower security level level for example SILO
  • an unsafe level for example SILO
  • the security calculator CS commands the reader L to:
  • the CS obtains the expected answers, it knows that the tags are read and that the entire RFID chain is intact (no detection failure) and functional (no obstacle in the barrier).
  • FIG. 2 illustrates a basic barrier Be in a version in which the reference module MR comprises a radio tag TR with two chips Rx and Ry programmed with different values from each other.
  • FIG. 3 illustrates a possible assembly of the chips within the reference tag TR.
  • the detection device comprises a redundant barrier B including two elementary barriers Bea and Beb, similar to those of FIG. 2.
  • Each of these elementary barriers Bea and Beb comprises a reading module MLa and respectively MLb including a reader La and Lb respectively, and a reader antenna ALa and respectively ALb.
  • Each also comprises a reference module MRa and MRb, respectively, including a reference antenna ARa and ARb respectively and a reference tag TRa and TRb respectively, each with two chips Rxa, Rya and respectively Rxb, Ryb.
  • the two reading antennas ALa, ALb are for example arranged together on the same side of the location of the train Wl to be detected, here fixed on the ground between the rails of the channel VI.
  • the two reference modules MRa, MRb are for example arranged on the same support SR fixed to the roof of the tunnel T, above the gauge of the train Wl to be detected.
  • each elementary barrier Bea, Beb the reading module and the reference module are positioned relative to one another so that the detection line of each barrier (dashed in the figure) is almost vertical, which keeps a communication distance as low as possible.
  • these modules are offset from one another longitudinally to the channel so that the detection line forms a small angle ⁇ with the vertical, in order to prevent the detection line from passing into the EW space between two wagons. the same train Wl, which could give a false indication of absence of train.
  • the antennas are inclined at the same angle with the horizontal to be in front of each other. Preferably this angle ⁇ of inclination is chosen between 10 ° and 30 °.
  • the two elementary barriers can be configured to communicate according to the same frequency, but in two polarizations pH, pV different and substantially perpendicular.
  • the invention particularly through the security method described here, overcomes this problem by associating the RFID reader insufficiently safe L (for example SILO level or unsafe) a security calculator CS (SIL4) using a secure method to secure the information provided by this reader L.
  • L for example SILO level or unsafe
  • SIL4 security calculator
  • FIGURE 6 illustrates an exemplary embodiment of the security method.
  • the tag TR comprises non-volatile memory, preprogrammed with all different data.
  • the security calculator CS knows the table of values that have been preprogrammed in this tag TR.
  • a detection cycle 30 comprises one or more iterations of an interrogation operation 300 of the tag TR by the reader L, for example an "inventory operation” in the sense of the "EPC Gen2" standard.
  • the security calculator CS draws a random or pseudo random list of memory addresses from among a list of memory addresses existing within the memory of the tag TR which corresponds to it.
  • the security calculator CS interrogates the reader L, which sends this list of memory addresses 302 to its tag TR.
  • the tag 303 receives the list of memory addresses.
  • the tag TR reads the contents of its memory to the addresses in question, and uses this content to form the list of the response data, then issues this list to the reader L.
  • the reader L 306 receives the list of contents of memory addresses, and transmits them to the security calculator CS.
  • the security calculator CS analyzes 307 these response data by comparing them with those it knows, stored for example in a table of TVR response values. During this analysis, he checks:
  • the security calculator CS compiles 309 the results obtained during the different steps 307 for analyzing the responses. For this, it checks whether all these responses were well received and compliant for the total number "N" of iterations 308 of the detection cycle.
  • the security calculator CS is in particular equipped with a "watchdog" type device allowing it to put the system in the state of security in case of nonresponse of the reader L associated with it, within a given time .
  • the objective is to guarantee a rate (or risk) of false indication of absence of train (feared element), which must be lower than a determined value, worth 10 "9 / h in the case of the SIL 4 level.
  • such a false absence indication event can occur only if the reader L responds to the security calculator CS by transmitting a list of all compliant response data for the duration of the detection cycle, then that his communication is cut with the tag TR.
  • the RFID reader being insufficiently safe, it is assumed that its response may be random, for example in the case of a failure or lack of communication (presence of train).
  • the probability of randomly obtaining a fully compliant response list can thus be calculated from the number and size of the expected response data.
  • the memory size available in the tag TR for the response values and if this is insufficient to obtain the desired security rate, it is possible to choose an "N" number of iterations sufficient to increase the total volume of the data. interrogation, and thus the resulting safety rate.
  • the security calculator CS calculates the output information in "all or nothing" STOR of presence or absence of train, SIL4 level information referenced "STOR" in the figures.
  • the system operates in negative logic: in the absence of a train W1 on the channel VI, the tag or tags TR are visible by the reader L and the security calculator CS reads them as indicated above, to guarantee the information of absence of train with the probability required by the level of safety sought.
  • the security calculator CS considers that a train W1 could be present, and it returns a security information W indicating a train presence. In the opposite case, it sends a NW information of absence of train.
  • the RFID reader behaves like a random generator
  • the probability of correctly reading a sequence of memory addresses in the tag would depend on the number of existing memory boxes, and the number of memory boxes read successively.
  • tags with a large amount of memory, or several chips for the same tag it limits the number of boxes to be read successively, and thus limits the duration of the detection cycle.
  • the memory space provided for the EPC code since each reader interrogates only one tag.
  • Test tags available on the market have a memory organization in 16-bit words. Their memory has a size of 240 bits for the EPC code and 512 bits of memory, making a total of 32 words of 16 bits in user memory or 47 by counting the EPC memory.
  • the method can comprise the following steps: the reader L reads the two RFID chips Rx and Ry and sends their EPC code to the security calculator CS,
  • the security calculator CS randomly chooses a number between 1 and 32 (or 47): RN1 and another value 0 or 1: RN'1,
  • the security calculator CS compares the result with the values of the memory contents of the RFID chips that it knows.
  • the security calculator CS iterates the reading operation a specified number of times N.
  • the number N of readings and the number of stored data then make it possible to make a probability calculation that will make it possible to evaluate the risk of catastrophic failure of the elementary barrier, for example to obtain a risk of less than 10 "9 per hour for a level SIL4.
  • the memory size and the number N of readings can then be chosen according to the targeted security level.
  • the specificity of the response data can be obtained in a different way, while remaining in the spirit of the invention.
  • the reference tags may comprise a hardware or software program chosen and arranged to calculate a unique and pseudo-random signature from one or more numbers sent by the reader.
  • Such programs can be for example "hash" programs as used to calculate the digital signature of a computer file.
  • Each reference tag then receives a pseudo-random series of numbers generated by the reader and forming the interrogation data. Based on its own specific code, each tag then calculates a response data for each of the query data.
  • the security calculator executes, with the same interrogation data, the same signature program as the interrogated tag, and compares its own results with the data received in response from the interrogated tag.
  • FIGURE 7, FIGURE 8 and FIGURE 9 illustrate different examples of security system architectures according to the invention, for the part forming the security calculator CS.
  • the security calculator CS comprises two security calculators CSa, CSb which each manage one of the two elementary barriers Bea, Beb, and provide each an STORa, STORb all-or-nothing output.
  • Each of these two computers CSa, CSb is a SIL4 security calculator. Their results are collected by SIL4 level HW security logic equipment, which performs a "vote" to provide an overall STOR indication of all or nothing indicating, for example, a train absence if at least one of the two outputs STORa or STORb provides this same indication (and the presence of a train is characterized by STORa and STORb simultaneously indicating the presence of a train).
  • This architecture has the particular advantage of allowing the use of security calculators of the same or similar type for redundant barrier and for elementary barriers installed in isolation.
  • the voting function can be performed within the same security computer CS, but can also be performed by hardware separated equipment, for example by the logical equipment already existing in the network.
  • the portion of the security calculator specific to the barrier can then transmit two output information in parallel corresponding to the two outputs STORa and STORb.
  • the security calculator CS comprises two security calculators CSL and CSV SIL4 level that have roles different from each other:
  • the security calculator CSL manages the reading of the tags of the two elementary barriers Bea, Beb. If it receives responses from both tags, it transmits on the one hand STORL information indicating an active communication. It then transmits the responses received to another CSV security calculator which compares them with the table of expected results TVR. If the comparison of the CSV calculator indicates that the responses received were compliant, it issues STORV output information indicating this compliance.
  • this architecture has the advantage of making it possible to separate the reading and verification functions more clearly, and to more precisely adapt each of the two CSL and CSV computers to the actual functions it has to fulfill.
  • voting function can be performed within the same security computer CS, but can also be performed by hardware separated equipment, for example by the logical equipment already existing in the network.
  • the portion of the security calculator specific to the barrier can then transmit two output information in parallel corresponding to the two outputs STORL and STORV.
  • the security calculator CS comprises the following two computers:
  • An unsecured CL calculator for example a standard hardware, operates in series with the RFID reader (s). It manages the generation of the interrogation data and the reading of the tags, and transmits the data of Received DR responses to a SIL level CPS security comparator 4.
  • a SIL 4 level CSV security calculator outputs output loop to the same CPS comparator DV verification data representing the sequence of expected read results.
  • SIL4 level makes the vote by comparing the expected DV verification data with the DR response data that is actually read by the CL calculator and generates the STOR security all or nothing output of the overall barrier B.
  • this architecture has the advantage of making it possible to separate the reading and verification functions more clearly, and to limit the need for secure hardware to the function of the CSV verification calculator.
  • the SIL 4 level equipment, the verification computer CSV and the comparator CSP can for example be integrated into an integrated circuit designed in SIL4, for example a programmable circuit such as an FPGA.
  • This set can be synchronized and clocked by write requests from the read calculator CL, with reset commands in the event of errors in CL read sequences, and synchronization commands in FPGA registers.
  • FIG. 10 illustrates, in plan view, an exemplary configuration comprising three redundant detection barriers B1, B2, B3 distributed over several adjacent parallel channels V1, V2, V3.
  • the set of detectors can operate on the same frequency to avoid generating by intermodulation of order 3 (IP3) stray lines that may impact other radio systems of the surrounding rail network.
  • IP3 intermodulation of order 3
  • the antennas of the reference modules ARal, ARbl of the barrier B1 are arranged at a distance d2 in a first direction DX with respect to their reader antennas respective ALal, ALbl.
  • the reference module antennas ARa2, ARb2 of the barrier B2 are arranged at a distance d2, with respect to their antennas respective readers ALa2, ALb2, in a second direction DY opposite to the first direction Dl.
  • the reference module antennas ARa3, ARb3 of the barrier B3 are arranged at a distance d2, with respect to their respective reader antennas ALa3, ALb3 in the same first direction DX as the first channel VI and therefore in the direction opposite to the direction DY of the second channel V2.
  • the reading antennas of each channel are furthermore offset by a distance d1 with respect to the reading antennas (ALal, ALbl, and ALa3, ALb3) of the adjacent channels VI and V2, in the same direction (DY for V2) as its reference antennas (ARa2, ARb2 for V2).
  • directional antennas are preferably chosen. However, this characteristic often leads to a larger footprint.
  • An example configuration is given here for antennas with an aperture of about 37 ° to -3 dB and 90 ° to -20 dB, installed on adjacent channels spaced apart by 2.20 m or more, and with a height between readers and tags of the order of 5m and an angle ⁇ of about 15 °.

Landscapes

  • Engineering & Computer Science (AREA)
  • Mechanical Engineering (AREA)
  • Automation & Control Theory (AREA)
  • Physics & Mathematics (AREA)
  • Electromagnetism (AREA)
  • Train Traffic Observation, Control, And Security (AREA)

Abstract

La présente invention concerne un système et procédé sécuritaire de détection de présence d'un véhicule dans une portion de voie de circulation, en particulier ferroviaire, ainsi qu'un dispositif de détection par barrière RFID utilisé avec ou au sein d'un tel système procédé ou système sécuritaire. Le module lecteur sélectionne et émet une série de données d'interrogation vers son module de référence. Celui-ci calcule et renvoie une série de données de réponse en fonction des données d'interrogation reçues. Un calculateur de sécurité vérifie que les données de réponse correspondent bien aux données d'interrogation et au tag du module de référence. Une bonne correspondance, renouvelée sur un nombre de données suffisamment, grand permet de garantir une probabilité d'événement catastrophique inférieure à une valeur choisie. –Les données de réponse sont calculées par exemple par lecture de cases mémoires dans le tag à partir d'une liste d'adresses émises parle lecteur.

Description

DISPOSITIF DE DÉTECTION, PROCÉDÉ ET SYSTÈME SÉCURITAIRES DE DÉTECTION PRÉSENCE D'UN VÉHICULE PAR DÉTECTION D'UNE ÉTIQUETTE RFID SUR UNE VOIE
NOTAMMENT FERROVIAIRE
La présente invention concerne un système et procédé sécuritaire de détection de présence d'un véhicule dans une portion de voie de circulation, en particulier ferroviaire, ainsi qu'un dispositif de détection par barrière RFID utilisé avec ou au sein d'un tel système procédé ou système sécuritaire.
Les systèmes de gestion et de coordination de trafic, en particulier de trafic ferroviaire, sont de plus en plus informatisés voire automatisés et utilisent de plus en plus de moyens de détection de présence de véhicules positionnés dans différents emplacements d'un réseau.
Des technologies de détection existent fonctionnant par détection mécanique, ou par détection électrique par modulation de signaux électriques traversant les rails comme décrit par le document WO 2010 100054, qui présentent un certain nombre d'inconvénients dus en particulier aux problèmes engendrés par les contacts mécaniques.
Des technologies par barrière lumineuse sans contact existent aussi, par exemple à la station Porte de Charenton dans le métropolitain de Paris depuis 2006. Ce système se compose d'un émetteur et d'un récepteur infrarouge, que l'on positionne à une certaine distance l'un de l'autre à la hauteur des wagons, sur des poteaux de chaque côté de la voie ferrée. Le système forme ainsi une ligne virtuelle induite par le faisceau sortant de l'émetteur et captée par le récepteur. Le franchissement de cette ligne par un objet interrompt le faisceau infrarouge, ce qui provoque un changement d'état du récepteur. Lorsque cet objet ne fait plus obstacle au faisceau, le récepteur revient à l'état initial actif.
Cependant, pour maintenir une bonne disponibilité du système et de la voie surveillée, il est important de nettoyer régulièrement les émetteurs et détecteurs, pour éviter qu'un encrassement n'obstrue le faisceau même en l'absence de véhicule. Il est de ce fait pratiquement impossible d'utiliser un tel système optique dans le sens vertical, car l'émetteur ou le récepteur devrait être fixé sur la voie qui est un lieu particulièrement sale. Un tel nettoyage représente un travail important sur l'ensemble du réseau, par exemple une fois tous les deux mois pour chacune des 150 barrières de détection existant sur une ligne de métro parisien.
En outre, l'ensemble de ces composants doit être particulièrement fiable et d'un fonctionnement quantifiable pour pouvoir être classé à un niveau sécuritaire suffisant, SIL4 dans le cas du transport ferroviaire en France. Il s'agit là de contraintes importantes en termes de coût du matériel et d'installation, ainsi que de maintenance et d'exploitation.
En effet, pour assurer la sécurité du trafic et des manœuvres, par exemple dans le cas de vitesses importantes ou de manœuvres automatisées ou commandées à distance, il est nécessaire que le fonctionnement de tels systèmes de détection présente un niveau de sécurité élevé. En particulier, il est important de limiter les risques d'une erreur de fonctionnement de type « catastrophique », c'est à dire risquant d'amener une collision, typiquement par une information indiquant faussement une absence de véhicule à un emplacement donné.
Les normes de sécurité établissent une valeur de probabilité maximale acceptable pour le risque de survenue d'une telle erreur catastrophique. Ainsi, un équipement est sécuritaire de niveau « SIL 4 » si l'on démontre que la probabilité que le récepteur soit dans un état actif lorsqu'un objet coupe le faisceau est inférieure à 10"9/h (normes EN 50 126 et EN 50 129). La réalisation de systèmes de niveau sécuritaire est donc particulièrement délicate et coûteuse, et entraîne de multiples contraintes dans les méthodes de mise au point et de programmation mais aussi dans le choix des types de technologies pouvant être employées.
Il est donc intéressant de pouvoir obtenir une détection sécuritaire, par exemple de niveau SIL4, en utilisant au moins partiellement des composants de détection standard d'un niveau de sécurité inférieur, tel que SILO (norme EN 50 128), voire même d'un niveau de sécurité non quantifié.
II est intéressant aussi de pouvoir mettre en œuvre de nouveaux modes de détection apportant de nouveaux avantages, par exemple en matière de coût ou de simplicité d'installation ou de maintenance ou d'exploitation, même lorsque ces modes de détection fonctionnent de façon trop irrégulière ou aléatoire pour pouvoir fournir une détection directement sécuritaire par lecture directe ou au prix d'une trop faible disponibilité.
Un but de l'invention est de proposer un dispositif de détection compatible avec une détection sécuritaire et représentant moins de coût, de travail et de complexité, dans le choix du matériel et pour son installation, sa maintenance et/ou son exploitation.
Un autre but est de proposer un procédé et un système sécuritaire de détection mettant en œuvre un tel dispositif, ou permettant de mettre en œuvre des technologies offrant de tels avantages, même lorsque la nature de ces technologies ne permet pas d'obtenir directement un niveau de sécurité quantifié ou seulement au prix d'une trop faible disponibilité.
L'invention ici exposée est décrite dans le cadre d'une application ferroviaire. Toutefois, elle peut aussi être appliquée à d'autres types de véhicules sur des voies de circulation non ferroviaires, par exemple des véhicules automobiles sur pneus ou dans des réseaux spécifiques de transport à l'intérieur d'infrastructures telles qu'entrepôts ou usines.
Procédé et système sécuritaires
L'invention propose un procédé sécuritaire de détection de présence de véhicule dans une portion déterminée de voie de circulation par détection négative. Selon l'invention, ce procédé utilise un dispositif de détection comprenant au moins un module électronique de référence et un module électronique lecteur disposés de part et d'autre de cette portion de voie. Cette disposition de part et d'autre doit ici s'entendre comme signifiant autour de l'espace de circulation d'un matériel à détecter sur cette voie, de préférence verticalement mais possiblement aussi selon d'autres orientations autour de l'axe de la voie et par exemple horizontalement. Ce module électronique de référence et ce module électronique lecteur, par exemple associés ensemble, coopèrent entre eux pour maintenir une communication active, qui est interrompue ou perturbée en présence d'un véhicule. Ce maintien d'une communication active comprend au moins une itération d'une opération dite d'interrogation comprenant les étapes suivantes : - constitution par un calculateur de sécurité d'une ou plusieurs données dites d'interrogation ;
- émission de ces données d'interrogation par un module lecteur vers un module de référence qui lui correspond ou lui est associé ;
- en cas de réception de ces données d'interrogation par ce module de référence, élaboration de données de réponse dépendant chacune d'une de ces données d'interrogation et selon une méthode spécifique à ce module de référence ;
- émission de ces données de réponse par ce module de référence vers son module lecteur respectif ;
- en cas de réception desdites données de réponse par le module lecteur, analyse desdites données de réponse par le calculateur de sécurité pour déterminer si les données reçues correspondent bien aux données de réponse attendues de la part dudit module de référence, et donc si elles reflètent bien une communication positive entre ce module lecteur et ce module de référence ;
- en fonction des résultats de cette analyse, émission ou mémorisation d'une information représentant une présence ou absence de véhicule au sein de la barrière formée par ces modules.
En interrogeant le module de référence non seulement sur sa présence mais aussi sur sa connaissance spécifique ou son traitement spécifique d'informations d'interrogation déterminées, il est ainsi possible d'obtenir une garantie du maintien effectif de cette communication du module lecteur avec le bon module de référence. En effet, le risque d'obtenir une réponse correcte autrement qu'en provenance du module de référence, par exemple par une réponse aléatoire ou des interférences, peut être mesuré en évaluant les probabilités mathématiques d'obtenir des données de réponse correctes sans disposer de la programmation spécifique du module de référence visé.
Le calculateur apporte ainsi un traitement qui permet d'obtenir un niveau de sécurité amélioré, même pour une technologie de communication qui serait en elle-même insuffisamment fiable ou insuffisamment sécuritaire. Par exemple pour améliorer les niveaux de fiabilité et sécurité d'une technologie de communication de type radio et en particulier RFID, qui sont en eux mêmes moins élevés que pour une communication de type optique telle qu'infrarouge.
Selon une particularité avantageuse de l'invention, le procédé comprend une lecture des données de réponse par le module de référence (par circuit filaire, et par exemple en interne du tag) dans une mémoire qui lui est propre. Le procédé comprend alors en outre les caractéristiques suivantes :
- les données d'interrogation sont choisies par sélection pseudo aléatoire au sein d'une liste représentant une pluralité d'adresses mémoire au sein d'une table de réponse présentant un contenu prédéterminé qui est mémorisé au sein d'une mémoire non volatile du module de référence ; et
- ledit module de référence obtient les données de réponse correspondantes à ces données d'interrogation par lecture des données mémorisées dans lesdites adresses mémoires ; et
- l'étape d'analyse par le calculateur de sécurité comprend une comparaison entre d'une part lesdites données de réponse reçues et d'autre part des données de contrôle mémorisées dans une table de contrôle correspondant à la table de réponse dudit module de référence.
Le nombre et la taille des données de la table de réponse peuvent alors être utilisés pour calculer la probabilité qu'une lecture aléatoire au sein de cette table de réponse corresponde à la réponse attendue, fournissant ainsi une quantification du niveau de sécurité d'une telle opération d'interrogation.
Selon une autre particularité de l'invention, pouvant être combinée ou non avec la lecture des données de réponse dans la mémoire du module de référence, les données de réponse peuvent être obtenues de façon dynamique par calcul de type cryptage.
Le procédé peut alors comprendre en outre les caractéristiques suivantes :
- le module de référence obtient les données de réponse correspondant à ces données d'interrogation par un calcul de type cryptage ; et
- l'étape d'analyse par le calculateur de sécurité comprend une comparaison entre d'une part lesdites données de réponse reçues et d'autre part des données de contrôle calculées indépendamment du lecteur à partir desdites données d'interrogation, ou mémorisées dans une table de contrôle correspondant à la table de réponse dudit module de référence.
Selon l'invention, ce procédé peut comprendre, au sein d'un cycle de détection, une répétition de l'opération d'interrogation en un nombre d'itérations (N) choisi en fonction du nombre et de la taille des données de la table de réponse de façon à ce que la probabilité qu'une lecture aléatoire au sein de ladite table de réponse soit inférieure pour ledit nombre d'itérations à une valeur prédéterminée correspondant à un niveau de sécurité prédéterminé. En choisissant ce nombre d'itérations pour que cette probabilité soit inférieure à 10"9/h, on peut ainsi obtenir un procédé sécuritaire de niveau SIL4.
Plus particulièrement, le procédé peut être mis en œuvre dans des modes de réalisation dans lesquels le module électronique lecteur comprend au moins un lecteur communiquant avec au moins une radio-étiquette de type RFID comprise dans le module électronique de référence.
Selon un autre aspect, l'invention propose un système sécuritaire de détection de présence de véhicule dans une portion déterminée d'une voie de circulation. Ce système comprend un ordinateur, dit calculateur de sécurité, choisi et programmé selon une méthode sécuritaire, notamment de niveau SIL4, et agencé pour fournir une détection sécuritaire de présence d'un véhicule en mettant en œuvre un procédé sécuritaire tel que décrit ci-dessus.
Un tel système peut en particulier être programmé pour fournir une information d'absence de véhicule d'un niveau sécuritaire, notamment SIL4, strictement supérieur au niveau sécuritaire, notamment SILO, du dispositif de détection qu'il commande.
Plus particulièrement, le dispositif de détection d'un tel système peut avantageusement comprendre une ou plusieurs barrières de détection par lecture d'une ou plusieurs radio-étiquettes de type RFID pour fournir une information d'absence de véhicule d'un niveau sécuritaire, tel qu'exposé ci- après. Barrière RFID
Dans le cadre du procédé et/ou du système selon l'invention, il est proposé ici d'utiliser plus particulièrement un dispositif de détection comprenant au moins deux modules électroniques disposés de part et d'autre de ladite portion de voie et coopérant entre eux par ondes radio pour fournir une détection négative en maintenant entre eux une communication active qui est interrompue ou perturbée en présence d'un véhicule, réalisant ainsi une barrière dite élémentaire. Selon l'invention, les deux modules électroniques comprennent au moins :
- un module dit de référence incluant au moins une radio-étiquette à puce électronique, et
- un module dit lecteur incluant au moins un lecteur apte à communiquer à distance avec la puce électronique de ladite radio-étiquette par ondes radio.
En particulier, il est possible d'utiliser une radio étiquette de type
RFID d'un modèle existant déjà sur le marché, y compris d'un modèle prévu pour des applications non sécuritaires telles que des gestions de stocks ou un suivi d'articles.
L'utilisation de communication par ondes radio permet en particulier de limiter les nécessités de nettoyage des émetteurs ou récepteurs.
Selon une particularité, le module de référence comprend une ou plusieurs radio-étiquettes passives incluant des moyens de mémoire permanente, et de préférence uniquement des radio-étiquettes passives, c- à-d . alimentées uniquement par le flux électromagnétique du lecteur.
Les contraintes d'alimentation électrique sont ainsi diminuées, et il est par exemple possible d'installer le module de référence sans aucun raccordement, c'est à dire en autonomie complète. Ainsi, chaque barrière ne nécessite qu'un seul point de câblage, contrairement aux barrières infrarouges qui nécessitent de raccorder à la fois l'émetteur et le récepteur.
Avantageusement, le module de référence peut en outre comprendre une radio-étiquette à au moins deux puces électroniques, typiquement une antenne et deux puces, ce qui permet d'augmenter la mémoire disponible pour la table de réponse par rapport aux capacités standard des puces existantes. Selon une autre particularité, au moins un des deux modules électroniques d'au moins une barrière élémentaire est disposé sous la position du véhicule à détecter, l'autre module électronique étant disposé dans une position située au dessus dudit véhicule.
Le module de référence est par exemple installé au dessus de la voie, sans aucun câblage électrique, par exemple fixé au plafond d'un tunnel ou sur un poteau ou une potence. Le module lecteur peut être installé au sol, par exemple sur un seul côté ou entre les rails, ce qui limite l'encombrement et les besoins d'accès autour de la voie.
Dans des modes de réalisation préférés, les deux modules sont situés dans un plan sensiblement vertical longitudinalement à la voie de circulation, et forment dans ce plan un angle non nul avec la verticale, valant par exemple entre 10° et 30°.
Cette inclinaison permet d'éviter que le lecteur ne puisse communiquer avec la radio-étiquette à travers l'espace pouvant séparer deux wagons au sein d'une rame.
Barrière redondante
Selon une particularité de l'invention, le dispositif de détection peut comprendre au moins deux barrières élémentaires disposées pour détecter la présence d'un même véhicule situé sur la même voie. On obtient ainsi une barrière double apportant une redondance dans la détection pour un emplacement donné, augmentant ainsi la disponibilité de la voie en diminuant les risques de panne totale pour cet emplacement de détection.
De préférence, les modules de référence de ces barrières élémentaires sont disposés d'un même côté de la position du véhicule, par exemple au dessus du véhicule. Leurs modules de lecture sont alors situés du même autre côté de ladite position, par exemple sur le sol entre les rails.
Les deux modules d'un même côté sont alors disposés typiquement à moins d'un mètre l'un de l'autre et peuvent ainsi être raccordés au réseau en un seul et unique point de câblage pour l'ensemble de la barrière redondante.
Optionnellement, les deux barrières élémentaires peuvent utiliser une même fréquence ou un même canal, ce qui permet de limiter les problèmes de choix de fréquences, et les risques d'interférences comme par exemple des interférences d'intermodulation IP3 avec d'autres équipements radio sur le réseau. Pour éviter les interférences entre les deux barrières élémentaires, leurs modules lecteurs sont configurés pour communiquer chacun avec son module de référence respectif par émission radio selon une polarisation déterminée, typiquement des polarisations linéaires. Ces polarisations sont choisies pour former des polarisations croisées, par exemple formant entre elles un angle entre 85° et 90°.
Barrières sur voies adjacentes
L'invention peut comprendre au moins deux barrières, par exemple deux barrières doubles dites redondantes fonctionnant en polarisations croisées, disposées à l'intérieur d'une même portion de voie, par exemple d'au plus 20m, voire 3m. Il est ainsi possible de détecter la présence de deux véhicules différents situés sur deux voies adjacentes, par exemple parallèles ou formant entre elles un angle aigu.
De préférence, les deux barrières élémentaires utilisent une même fréquence ou un même canal, ce qui permet de limiter les problèmes de choix de fréquences, et les risques d'interférences IP3 avec d'autres équipements radio sur le réseau. Pour éviter les interférences entre deux barrières proches de voies adjacentes, les modules de référence de ces barrières sont situés dans deux directions différentes, par exemple opposées, par rapport à leurs modules lecteurs respectifs. Ces modules lecteurs sont ainsi orientés dans des directions différentes l'un de l'autre. Les modules lecteurs sont disposés par exemple au droit l'un de l'autre, ou peuvent être écartés l'un de l'autre chacun dans la direction de son module de référence respectif.
L'invention apporte une synergie particulièrement intéressante en utilisant le procédé sécuritaire exposé ci-dessus pour sécuriser une détection négative fournie par un dispositif à radio-étiquette ou RFID et/ou un système tel qu'exposé ci-dessus.
Elle permet en effet de réaliser un système sécuritaire de niveau SIL4 à base de composants RFID, alors que les caractéristiques de cette technologie paraissent au premier abord complètement incompatibles avec de telles exigences de sécurité, surtout avec des composants et matériels d'un niveau de sécurité inférieur au niveau requis, par exemple des composants de niveau SILO voire des composants standard non développés dans un but sécuritaire et selon un processus sécuritaire.
Il est à noter cependant que les caractéristiques de barrières de détection par RFID décrites peuvent aussi s'appliquer avantageusement dans des systèmes non sécurisés, ou sécurisés au moyen de procédés ou systèmes différents de ceux ici décrits, apportant des avantages similaires en termes par exemple de performance et/ou de simplicité d'installation, maintenance et exploitation.
Des modes de réalisation variés de l'invention sont prévus, intégrant selon l'ensemble de leurs combinaisons possibles les différentes caractéristiques optionnelles exposées ici.
D'autres particularités et avantages de l'invention ressortiront de la description détaillée d'un mode de mise en œuvre nullement limitatif, et des dessins annexés sur lesquels :
- la FIGURE 1 est un schéma de principe, en vue normale à la voie de circulation, illustrant un exemple d'architecture d'un système sécuritaire de détection selon l'invention, appliquée à une voie de métropolitain ;
- la FIGURE 2 est un schéma de principe illustrant un dispositif de détection selon l'invention, dans un mode de réalisation comprenant une barrière élémentaire avec une radio-étiquette à deux puces ;
- la FIGURE 3 est un schéma de principe illustrant l'architecture électronique d'un exemple de module de référence à deux puces ;
- la FIGURE 4 est un schéma de principe illustrant un dispositif de détection selon l'invention, dans un mode de réalisation comprenant une barrière redondante incluant deux barrières élémentaires avec radio-étiquettes à deux puces ;
- la FIGURE 5 est un schéma illustrant une implantation de l'invention dans un tunnel de métropolitain vu en coupe longitudinale, dans un mode de réalisation de l'invention avec barrière redondante inclinée ;
- la FIGURE 6 est un organigramme illustrant un exemple de mode de réalisation du procédé sécuritaire selon l'invention ; - les FIGURE 7, FIGURE 8 et FIGURE 9 sont des schémas de principe illustrant différents exemples d'architecture de systèmes sécuritaires selon l'invention ;
- la FIGURE 10 est un schéma simplifié en vue de dessus illustrant un mode de réalisation de l'invention dans un exemple de configuration comprenant plusieurs barrières de détection réparties sur plusieurs voies parallèles adjacentes.
Ainsi qu'illustré en FIGURE 1 et FIGURE 2, le dispositif de détection selon l'invention comprend au moins une barrière élémentaire Be incluant un module de lecture ML raccordé électriquement et numériquement au réseau, et un module de référence MR indépendant, de préférence sans alimentation électrique. Le module de référence MR comprend une antenne de référence AR et une radio-étiquette TR, ou « tag », de type RFID.
Le module lecteur comprend un dispositif de lecture L dit lecteur de type RFID relié à une antenne de lecteur AL positionnée entre les rails d'une voie VI, où l'on souhaite détecter la présence éventuelle d'un wagon Wl . L'antenne de lecteur AL pointe vers l'antenne de référence AR suspendue au plafond du tunnel T, laquelle est reliée à la radio-étiquette TR.
Un calculateur de sécurité CS de niveau SIL4 commande la partie
RFID du lecteur L, qui est d'un niveau de sécurité inférieur (par exemple SILO) ou n'est pas sécuritaire. En fonction des résultats qu'il obtient à ses requêtes de la part du lecteur L, ce calculateur CS établit une sortie de données représentant la présence ou l'absence d'un quelconque wagon Wl, sous la forme d'une information de sortie STOR en « tout ou rien », avec une sécurité de niveau SIL4.
Dans la FIGURE 1, le trait mixte vertical indique ainsi la limite entre d'une part les éléments et informations de niveau de niveau de sécurité inférieur (par exemple SILO) ou non sécuritaire, et d'autre part ceux de niveau SIL4.
A chaque cycle de détection, d'une durée par exemple d'environ 250ms, le calculateur de sécurité CS commande au lecteur L de :
• lire l'identifiant du ou des tags TR ; • interroger ce ou ces tags TR, par l'opération d'interrogation détaillée plus loin, pour vérifier l'intégrité des tags, du système de lecture RFID, et de la communication entre eux, par comparaison de la réponse des tags avec la réponse attendue.
Si le CS obtient les réponses attendues, il sait que les tags sont lus et que l'ensemble de la chaîne RFID est intègre (pas de panne de détection) et fonctionnelle (pas d'obstacle dans la barrière).
Le système fonctionne en logique négative. L'absence de lecture passe la Sortie Tout-Ou-Rien (« STOR ») en mode « sécurité », c'est à dire la mettant à la valeur indiquant la présence d'une rame, que ce soit lorsque le métro est effectivement présent dans la zone de détection de la voie VI ou que ce soit lorsqu'un dysfonctionnement apparaît dans la chaîne de détection. La FIGURE 2 illustre une barrière élémentaire Be dans une version où le module de référence MR comprend une radio-étiquette TR à deux puces Rx et Ry programmées avec des valeurs différentes les unes des autres.
Des essais ont montré un fonctionnement satisfaisant avec des lecteurs RFID du commerce utilisant les modulations de la norme EPC GEN 2 dans la bande 865 MHz. Avec une puissance d'émission RF conforme aux normes en vigueur, il est possible d'obtenir une portée de fonctionnement pouvant dépasser 10 mètres.
La FIGURE 3 illustre un montage possible des puces au sein du tag de référence TR.
Dans l'exemple de la FIGURE 4, le dispositif de détection comprend une barrière B redondante incluant deux barrières élémentaires Bea et Beb, similaires à celles de la FIGURE 2. Chacune de ces barrières élémentaires Bea et Beb comprend un module de lecture MLa et respectivement MLb incluant un lecteur La et respectivement Lb, ainsi qu'une antenne de lecteur ALa et respectivement ALb. Chacune comprend aussi un module de référence MRa et respectivement MRb, incluant une antenne de référence ARa et respectivement ARb et un tag de référence TRa et respectivement TRb, chacun à deux puces Rxa, Rya et respectivement Rxb, Ryb. Ainsi qu'illustré en FIGURE 5, les deux antennes de lecture ALa, ALb sont par exemple disposées ensembles du même côté de l'emplacement du train Wl à détecter, ici fixées sur le sol entre les rails de la voie VI . Les deux modules de référence MRa, MRb sont par exemple disposés sur un même support SR fixé à la voûte du tunnel T, au dessus du gabarit du train Wl à détecter.
Ainsi qu'il est visible en FIGURE 5, pour chaque barrière élémentaire Bea, Beb, le module de lecture et le module de référence sont positionnés l'un par rapport à l'autre de façon à ce que la ligne de détection de chaque barrière (en pointillés sur la figure) soit presque verticale, ce qui permet de garder une distance de communication la plus faible possible. De préférence, ces modules sont décalés entre eux longitudinalement à la voie, pour que la ligne de détection forme un petit angle δ avec la verticale, afin d'éviter que la ligne de détection ne puisse passer dans l'espace EW entre deux wagons d'une même rame Wl, ce qui risquerait de donner une fausse indication d'absence de train. Les antennes sont inclinées du même angle avec l'horizontale pour être bien en face l'une de l'autre. De préférence cet angle δ d'inclinaison est choisi entre 10° et 30°. Au sein d'une même barrière redondante, les deux barrières élémentaires peuvent être configurées pour communiquer selon une même fréquence, mais selon deux polarisations pH, pV différentes et sensiblement perpendiculaires.
Procédé de sécurisation
La RFID utilisant une communication radio, il aurait pu paraître illusoire de vouloir imaginer réaliser directement un système sécuritaire à partir d'une barrière RFID, en particulier en raison des nombreux aléas de fonctionnement et de propagation propres à cette technologie.
De plus, les lecteurs RFID existant sur le marché sont des équipements forts complexes dont ni le matériel ni le logiciel ne sont conçus pour permettre de calculer et démontrer une fiabilité de fonctionnement quelconque selon des critères chiffrés de probabilités, ce qui est impératif pour un niveau de sécurité SIL4.
L'invention, à travers en particulier le procédé sécuritaire décrit ici, permet de pallier ce problème en associant au lecteur RFID insuffisamment sécuritaire L (par exemple niveau SILO ou non sécuritaire) un calculateur de sécurité CS (SIL4) utilisant un procédé sécuritaire pour réaliser une sécurisation des informations fournies par ce lecteur L.
La FIGURE 6 illustre un exemple de mode de réalisation du procédé de sécurisation.
Dans ce mode de réalisation, le tag TR comprend de la mémoire non volatile, préprogrammée avec des données toutes différentes.
De son côté, le calculateur de sécurité CS connaît la table des valeurs qui ont été préprogrammées dans ce tag TR.
Un cycle de détection 30 comprend une ou plusieurs itérations d'une opération d'interrogation 300 du tag TR par le lecteur L, par exemple une « opération d'inventaire » au sens de la norme « EPC Gen2 ».
Pour constituer 301 les données d'interrogation, le calculateur de sécurité CS va tirer une liste aléatoire ou pseudo aléatoire d'adresses mémoires, parmi une liste d'adresses mémoire existant au sein de la mémoire du tag TR qui lui correspond .
Le calculateur de sécurité CS interroge le lecteur L, qui émet 302 cette liste d'adresses mémoire vers son tag TR.
Si la communication entre lecteur L et tag TR est fonctionnelle et n'est pas perturbée par une présence véhicule 30W, le tag reçoit 303 la liste d'adresses mémoire.
Le tag TR lit 304 le contenu de sa mémoire aux adresses en question, et utilise ce contenu pour constituer la liste des données de réponse, puis émet 305 cette liste vers le lecteur L.
Si la communication entre lecteur L et tag TR est fonctionnelle et n'est pas perturbée par une présence véhicule 30W, le lecteur L reçoit 306 la liste des contenus d'adresses mémoire, et les transmet au calculateur de sécurité CS.
Le calculateur de sécurité CS analyse 307 ces données de réponse en les comparant avec celles qu'il connaît, mémorisées par exemple dans une table de valeurs de réponse TVR. Au cours de cette analyse, il vérifie :
- que des données de réponse ont bien été reçues, et
- que ces données correspondent avec les données TVR qu'il connaît. Pour un nombre déterminé « N » d'itérations de l'opération d'interrogation 300, le calculateur de sécurité CS compile 309 les résultats obtenus au cours des différentes étapes 307 d'analyse des réponses. Pour cela, il vérifie si toutes ces réponses étaient bien reçues et conformes pour le nombre total « N » d'itérations 308 du cycle de détection.
Le calculateur de sécurité CS est en particulier doté d'un dispositif de type « chien de garde » lui permettant de faire passer le système dans l'état de sécurité en cas de non réponse du lecteur L qui lui est associé, dans un délai donné.
L'objectif est de garantir un taux (ou risque) de fausse indication d'absence de train (élément redouté), qui doit être inférieur à une valeur déterminée, valant 10"9 / h dans le cas du niveau SIL 4.
Dans l'architecture du système, un tel événement de fausse indication d'absence ne peut arriver que si le lecteur L répond au calculateur de sécurité CS en lui transmettant une liste de données de réponse toutes conformes pendant la durée du cycle de détection, alors que sa communication est coupée avec le tag TR.
Le lecteur RFID étant insuffisamment sécuritaire, on fait l'hypothèse que sa réponse peut être aléatoire, par exemple dans le cas d'une panne ou d'une absence de communication (présence de train). La probabilité d'obtenir par hasard une liste de réponses totalement conforme peut ainsi être calculée à partir du nombre et de la taille des données de réponse attendues. En fonction de la taille mémoire disponible dans le tag TR pour les valeurs de réponse, et si celle-ci est insuffisante pour obtenir le taux de sécurité voulu, on peut choisir un nombre « N » d'itérations suffisant pour augmenter le volume total d'interrogation, et donc le taux de sécurité qui en découle.
En vérifiant un volume total de données d'interrogation et de réponse suffisamment élevé, on pourra donc obtenir une probabilité par cycle d'obtenir indûment des réponses conformes qui soit suffisamment faible pour satisfaire aux exigences quantifiées d'un niveau de sécurité déterminé, tel que par exemple le niveau SIL 4.
A l'issue d'un cycle de détection de ce procédé de sécurisation, le calculateur de sécurité CS calcule l'information de sortie en « tout ou rien » STOR de présence ou d'absence de train, information de niveau SIL4 référencée « STOR » sur les figures.
Le système fonctionne en logique négative : en absence de train Wl sur la voie VI, le ou les tags TR sont visibles par le lecteur L et le calculateur de sécurité CS les lit comme indiqué ci-dessus, jusqu'à garantir l'information d'absence de train avec la probabilité exigée par le niveau de sécurité recherché.
Ainsi, dès qu'une valeur mémoire attendue n'est pas correctement lue dans le temps imparti, le calculateur de sécurité CS considère qu'un train Wl pourrait être présent, et il renvoie une information W de sécurité indiquant une présence train. Dans le cas contraire, il renvoie une information NW d'absence de train.
Exemple de mise en œuyre
Dans le cas où le lecteur RFID se comporterait comme un générateur aléatoire, la probabilité de lecture correcte d'une suite d'adresses mémoire dans le tag dépendrait du nombre de cases mémoires existantes, et du nombre de cases mémoires lues successivement. En utilisant des tags avec une grande quantité de mémoire, ou plusieurs puces pour un même tag, on limite le nombre de cases devant être lues successivement, et on limite ainsi la durée du cycle de détection. Pour la constitution des cases mémoires du tag, il est possible d'utiliser aussi l'espace mémoire prévu pour le code EPC, puisque chaque lecteur n'interroge qu'un seul tag.
Des tags testés disponibles sur le marché ont une organisation mémoire en mots de 16 bits. Leur mémoire présente une taille de 240 bits pour le code EPC et 512 bits de mémoire, soit un total de 32 mots de 16 bits en mémoire utilisateur voire 47 en comptant la mémoire EPC.
En utilisant des modules de références comprenant chacun deux puces RFID Rx et Ry pour chaque lecteur RFID, le procédé peut comprendre les étapes suivantes : - le lecteur L lit les 2 puces RFID Rx et Ry et envoie leur code EPC au calculateur de sécurité CS,
- le calculateur de sécurité CS choisit aléatoirement un nombre compris entre 1 et 32 (ou 47) : RN1 et un autre valant 0 ou 1 : RN'l,
- le calculateur de sécurité CS donne l'ordre au lecteur L de lire un mot dans la mémoire (EPC+user memory) des tags, dans Rx si RN'1 = 0 et dans Ry si RN'1 = 1 et à l'adresse RN1,
- le calculateur de sécurité CS compare le résultat avec les valeurs du contenu mémoire des puces RFID qu'il connaît.
Si le résultat est conforme, le calculateur de sécurité CS itère l'opération de lecture un nombre de fois N déterminé.
A chaque interrogation, une valeur est lue parmi les différents emplacements mémoire que contiennent les puces RFID Rx et Ry.
Le nombre N de lectures et le nombre de données stockées permettent alors de faire un calcul de probabilité qui permettra d'évaluer le risque de panne catastrophique de la barrière élémentaire, par exemple pour obtenir un risque inférieur à 10"9 par heure pour un niveau SIL4.
La taille mémoire et le nombre N de lectures peuvent alors être choisis en fonction du niveau sécuritaire visé.
Par cette méthode, il est possible d'utiliser des tags standard sans rechercher des capacités mémoires exceptionnelles coûteuses, tout en permettant au calculateur de sécurité CS de conclure sur la fiabilité de la lecture des tags de référence à l'intérieur même du cycle de détection.
Dans d'autres modes de réalisation, la spécificité des données de réponse peut être obtenue de façon différente, tout en restant dans l'esprit de l'invention.
Par exemple, les tags de référence peuvent comprendre un programme matériel ou logiciel choisi et agencé pour calculer une signature unique et pseudo aléatoire à partir d'un ou plusieurs nombres envoyés par le lecteur. De tels programmes peuvent être par exemple des programmes de « hash » tels qu'utilisés pour calculer la signature numérique d'un fichier informatique. Chaque tag de référence reçoit alors une série pseudo aléatoire de nombres générée par le lecteur et formant les données d'interrogation. En fonction de son propre code spécifique, chaque tag calcule alors une donnée de réponse pour chacune des données d'interrogation.
De son côté, le calculateur de sécurité exécute, avec les mêmes données d'interrogation, le même programme de signature que le tag interrogé, et compare ses propres résultats avec les données reçues en réponse depuis le tag interrogé. Les FIGURE 7, FIGURE 8 et FIGURE 9 illustrent différents exemples d'architectures de systèmes sécuritaires selon l'invention, pour la partie formant le calculateur de sécurité CS.
Dans l'architecture de la FIGURE 7, pour une barrière redondante B à deux barrières élémentaires Bea, Beb, le calculateur de sécurité CS comprend deux calculateurs sécuritaires CSa, CSb qui gèrent chacun l'une des deux barrières élémentaires Bea, Beb, et fournissent chacun une sortie tout-ou-rien STORa, STORb. Chacun de ces deux calculateurs CSa, CSb est un calculateur de sécurité de niveau SIL4. Leurs résultats sont collectés par un équipement logique de sécurité HW de niveau SIL4, qui effectue un « vote » pour fournir une indication STOR de tout ou rien globale indiquant, par exemple, une absence de train si au moins l'une des deux sorties STORa ou STORb fournit cette même indication (et la présence d'un train est caractérisée par STORa et STORb indiquant simultanément la présence d'un train).
Cette architecture présente en particulier l'avantage de permettre d'utiliser des calculateurs sécuritaires d'un type identique ou similaire pour barrière redondante et pour des barrières élémentaires installées de façon isolée.
Il est à noter que la fonction de vote peut être réalisée au sein du même calculateur de sécurité CS, mais peut aussi être réalisée par un équipement séparé du point de vue hardware, par exemple par les équipements logiques existant déjà dans le réseau. La partie du calculateur de sécurité propre à la barrière peut alors émettre deux informations de sortie en parallèle correspondant aux deux sorties STORa et STORb. Dans l'architecture de la FIGURE 8, pour une barrière élémentaire ou une barrière redondante, le calculateur de sécurité CS comprend deux calculateurs sécuritaires CSL et CSV de niveau SIL4 qui ont des rôles différents l'un de l'autre :
Le calculateur sécuritaire CSL gère la lecture des tags des deux barrières élémentaires Bea, Beb. S'il reçoit des réponses des deux tags, il émet d'une part une information STORL indiquant une communication active. Il transmet alors les réponses reçues à un autre calculateur sécuritaire CSV qui les compare avec la table des résultats attendus TVR. Si la comparaison du calculateur CSV indique que les réponses reçues étaient conformes, il émet une information de sortie STORV indiquant cette conformité.
Les résultats de ces deux calculateurs CSL et CSV sont collectés par un équipement logique de sécurité HW de niveau SIL4, qui effectue un « vote » pour fournir une indication STOR de tout ou rien globale indiquant une absence de train si d'une part la sortie STORL indique une communication active, et que d'autre part la sortie STORV indique des réponses conformes.
Cette architecture présente en particulier l'avantage de permettre de séparer plus nettement les fonctions de lecture et de vérification, et d'adapter plus précisément chacun des deux calculateurs CSL et CSV aux fonctions réelles qu'il a à remplir.
Il est à noter que la fonction de vote peut être réalisée au sein du même calculateur de sécurité CS, mais peut aussi être réalisée par un équipement séparé du point de vue hardware, par exemple par les équipements logiques existant déjà dans le réseau. La partie du calculateur de sécurité propre à la barrière peut alors émettre deux informations de sortie en parallèle correspondant aux deux sorties STORL et STORV.
Dans l'architecture de la FIGURE 9, pour une barrière élémentaire ou une barrière redondante, le calculateur de sécurité CS comprend les deux calculateurs suivants :
Un calculateur CL non sécuritaire, par exemple un matériel standard, fonctionne en série avec le ou les lecteurs RFID. Il gère la génération des données d'interrogation et la lecture des tags, et transmet les données de réponses DR reçues à un comparateur sécuritaire CPS de niveau SIL 4. Un calculateur sécuritaire CSV" de niveau SIL 4 génère en boucle en sortie vers le même comparateur CPS des données de vérification DV représentant la séquence des résultats de lecture attendus. Le comparateur CPS de niveau SIL4 fait le vote en comparant les données de vérification DV attendues avec les données de réponses DR qui sont effectivement lues par le calculateur CL et génère la sortie tout ou rien de sécurité STOR de la barrière globale B.
Cette architecture présente en particulier l'avantage de permettre de séparer plus nettement les fonctions de lecture et de vérification, et de limiter le besoin en matériel sécuritaire à la fonction du calculateur de vérification CSV. Les matériels de niveau SIL 4, le calculateur de vérification CSV et le comparateur CSP, peuvent par exemple être intégrés dans un circuit intégré conçu en SIL4, par exemple un circuit programmable tel qu'un FPGA. Cet ensemble peut être synchronisé et cadencé par les requêtes d'écriture issues du calculateur de lecture CL, avec des commandes réinitialisation en cas d'erreurs dans les séquences de lecture de CL, et des commandes de synchronisation dans des registres du FPGA. La FIGURE 10 illustre en vue de dessus un exemple de configuration comprenant trois barrières de détection redondantes Bl, B2, B3 réparties sur plusieurs voies VI, V2, V3 parallèles adjacentes.
L'ensemble des détecteurs peut fonctionner sur la même fréquence pour éviter de générer par intermodulation d'ordre 3 (IP3) des raies parasites pouvant impacter d'autres systèmes radio du réseau ferroviaire environnant.
Sur la première voie VI, du fait de l'inclinaison δ des lignes de détection, les antennes des modules de référence ARal, ARbl de la barrière Bl sont disposées à une certaine distance d2 dans une première direction DX par rapport à leurs antennes de lecteurs respectives ALal, ALbl .
Sur la deuxième voie V2, du fait de l'inclinaison δ des lignes de détection, les antennes de modules de référence ARa2, ARb2 de la barrière B2 sont disposées à une certaine distance d2, par rapport à leurs antennes de lecteurs respectives ALa2, ALb2, dans une deuxième direction DY opposée à la première direction Dl .
Sur la troisième voie V3, du fait de l'inclinaison δ des lignes de détection, les antennes de modules de référence ARa3, ARb3 de la barrière B3 sont disposées à une certaine distance d2, par rapport à leurs antennes de lecteurs respectives ALa3, ALb3, dans la même première direction DX que la première voie VI et donc dans la direction opposée à la direction DY de la deuxième voie V2.
Cette disposition alternativement dans des directions opposées DX, DY permet de diminuer voire supprimer les risques d'interférences de co- perturbations entre les barrières des différentes voies.
De préférence, les antennes de lecture de chaque voie (par exemple ALa2, ALb2 pour V2) sont en outre décalées d'une certaine distance d l par rapport aux antennes de lectures (ALal, ALbl, et ALa3, ALb3) des voies adjacentes VI et V2, dans la même direction (DY pour V2) que ses antennes de référence (ARa2, ARb2 pour V2).
Pour limiter le couplage parasite entre deux barrières on choisira de préférence des antennes directives. Cependant, cette caractéristique conduit souvent à un encombrement plus important.
Pour une directivité donnée, en fonction de la distance d2 (imposée par la hauteur sous plafond et par l'angle δ retenu) et en fonction de l'écart et/ou possiblement de l'angle existant entre des voies adjacentes VI et V2, ou V2 et V3, on pourra alors obtenir par calcul ou essais une valeur de la distance d l qui soit suffisante pour que le couplage parasite entre deux barrières adjacentes Bl et B2, ou B2 et B3, soit inférieur à un seuil de co- perturbation déterminé.
Un exemple de configuration est donné ici pour des antennes d'une ouverture d'environ 37° à -3dB et 90° à -20dB, installées sur des voies adjacentes écartées d'un entraxe de 2,20m ou plus, et avec une hauteur entre lecteurs et tags de l'ordre de 5m et un angle δ d'environ 15°. Dans le cadre de ces contraintes, il est possible d'obtenir un bon fonctionnement du système, sans que le lecteur ALal de la barrière Bl de la voie VI ne puisse lire ou perturber le tag ARa2 de la barrière B2 de la voie adjacente V2, dès lors que ce tag ARa2 forme avec la direction principale Dl cette antenne ALal un angle Θ1 = (ARal, ALal, ARa2) d'au moins 40°, valeur obtenue dès lors que d l est supérieur ou égal à 40cm.
Bien sûr, l'invention n'est pas limitée aux exemples qui viennent d'être décrits et de nombreux aménagements peuvent être apportés à ces exemples sans sortir du cadre de l'invention.

Claims

REVENDICATIONS
1. Procédé sécuritaire de détection de présence de véhicule dans une portion déterminée de voie de circulation (VI, VG) par détection négative, utilisant un dispositif comprenant au moins un module électronique de référence (MR) et un module électronique lecteur (ML) disposés de part et d'autre de ladite portion de voie et coopérant entre eux pour maintenir une communication active qui est interrompue ou perturbée en présence d'un véhicule (Wl), ledit maintien d'une communication active comprenant au moins une itération d'une opération dite d'interrogation (300) comprenant les étapes suivantes :
- constitution (301) par un calculateur de sécurité (CS) d'une ou plusieurs données dites d'interrogation ;
- émission (302) desdites données d'interrogation par un module lecteur (ML) vers ledit module de référence (MR) ;
- en cas de réception (303) desdites données d'interrogation par ledit module de référence (MR), élaboration (304) de données de réponse dépendant desdites données d'interrogation et selon une méthode spécifique audit module de référence ;
- émission (305) desdites données de réponse par ledit module de référence (MR) vers ledit module lecteur (ML) ;
- en cas de réception (305) desdites données de réponse par le module lecteur (ML), analyse (307) desdites données de réponse par le calculateur de sécurité (CS) pour déterminer si les données reçues correspondent bien aux données de réponse attendues de la part dudit module de référence (MR) ;
- en fonction (310) des résultats de ladite analyse (307), émission ou mémorisation d'une information représentant une présence (W) ou absence (NW) de véhicule au sein de la barrière (Be) formée par lesdits modules (MR, ML).
2. Procédé selon la revendication précédente, caractérisé en ce que : - les données d'interrogation sont choisies (301) par sélection pseudo aléatoire au sein d'une liste représentant une pluralité d'adresses mémoire au sein d'une table de réponse comprenant un contenu prédéterminé qui est mémorisé au sein d'une mémoire non volatile du module de référence (MR) ;
- le module de référence (MR) obtient les données de réponse correspondant à ces données d'interrogation par lecture (304) de données mémorisées dans lesdites adresses mémoire ; et
- l'étape d'analyse (307) par le calculateur de sécurité (CS) comprend une comparaison entre d'une part lesdites données de réponse reçues et d'autre part des données de contrôle mémorisées dans une table de contrôle (TVR) correspondant à la table de réponse dudit module de référence (MR).
3. Procédé selon l'une quelconque des revendications précédentes, caractérisé en ce que :
- le module de référence (MR) obtient (304) les données de réponse correspondant à ces données d'interrogation par au moins un calcul pseudo aléatoire utilisant lesdites données d'interrogation comme germe pseudo aléatoire ; et
- l'étape d'analyse (307) par le calculateur de sécurité comprend une comparaison entre d'une part lesdites données de réponse reçues et d'autre part des données de contrôle calculées indépendamment du lecteur par un calcul pseudo aléatoire à partir desdites données d'interrogation, ou mémorisées dans une table de contrôle correspondant à la table de réponse dudit module de référence (MR).
4. Procédé selon l'une quelconque des revendications précédentes, caractérisé en ce qu'il comprend, au sein d'un cycle de détection, une répétition (308) de l'opération d'interrogation (300) en un nombre d'itérations (N) choisi en fonction du nombre et de la taille des données de la table de réponse de façon à ce que la probabilité qu'une lecture (304) au sein de ladite table de réponse, dans l'hypothèse où elle serait aléatoire, soit inférieure pour ledit nombre d'itérations à une valeur prédéterminée correspondant à un niveau de sécurité prédéterminé, et notamment inférieure à 10"9/ h, pour un niveau SIL4.
5. Procédé selon l'une quelconque des revendications précédentes, caractérisé en ce que le module électronique lecteur (ML, MLa et respectivement MLb) comprend au moins un lecteur (M, La et respectivement Lb) communiquant avec au moins une radio-étiquette (TR, TRa et respectivement TRb) comprise dans ledit module électronique de référence.
6. Système sécuritaire de détection de présence de véhicule dans une portion déterminée d'une voie de circulation, caractérisé en ce qu'il comprend un ordinateur dit calculateur de sécurité (CS), choisi et programmé selon une méthode d'un niveau sécuritaire visé, notamment de niveau SIL4, et agencé pour fournir une détection sécuritaire de présence (W, NW) dudit véhicule (Wl) en mettant en œuvre un procédé selon l'une quelconque des revendications 1 à 5.
7. Système selon la revendication précédente, caractérisé en ce que le calculateur de sécurité (CS) est programmé pour fournir une information de d'absence de véhicule (NW) d'un niveau sécuritaire, notamment SIL4, strictement supérieur au niveau sécuritaire, notamment SILO, du dispositif de détection (B) qu'il commande.
8. Système selon l'une quelconque des revendications 6 à 7, caractérisé en ce qu'il comprend un dispositif de détection (B, Bl, B2, B3) communiquant avec le calculateur de sécurité (CS) pour fournir une information d'absence de véhicule (NW) d'un niveau sécuritaire visé, ledit dispositif de détection comprenant au moins deux modules électroniques (ML, MR) disposés de part et d'autre de la portion de voie (VI, VG) et coopérant entre eux pour fournir une détection négative en maintenant entre eux une communication active qui est interrompue ou perturbée en présence d'un véhicule (Wl), réalisant ainsi une barrière dite élémentaire (Be), lesdits deux modules électroniques comprenant au moins :
- un module dit de référence (MR) incluant au moins une radio-étiquette (TR) à puce électronique, et - un module dit lecteur (ML) incluant au moins un lecteur (L) apte à communiquer à distance avec ladite radio-étiquette (TR) par ondes radio.
9. Système selon la revendication précédente, caractérisé en ce que le module de référence (MR, Mra, Mrb) comprend une ou plusieurs radio- étiquettes (TR, TRa, TRb) passives incluant des moyens de mémoire permanente.
10. Système selon l'une quelconque des revendications 8 à 9, caractérisé en ce que le module de référence (MR) comprend une radio-étiquette (TR) à au moins deux puces électroniques (Rx, Ry).
11. Système selon l'une quelconque des revendications 8 à 10, caractérisé en ce qu'au moins l'un (ML) des deux modules électroniques d'au moins une barrière élémentaire (Be) est disposé sous la position du véhicule à détecter (Wl), l'autre (MR) module électronique étant disposé dans une position située au dessus dudit véhicule (Wl).
12. Système selon l'une quelconque des revendications 8 à 11, caractérisé en ce que les deux modules (ML, MR) sont situés dans un plan sensiblement vertical longitudinalement à la voie de circulation (VI, V2, V3, V4), et forment dans ce plan un angle (δ) non nul avec la verticale, valant entre 10° et 30°.
13. Système selon l'une quelconque des revendications 8 à 12, caractérisé en ce qu'il comprend au moins deux barrières élémentaires (Bea et respectivement Beb) utilisant une même fréquence ou un même canal, disposées pour détecter la présence d'un même véhicule (Wl) situé sur la même voie (VI), les modules de référence (MRa et respectivement MRb) desdites barrières élémentaires étant disposés d'un même côté de la position du véhicule (Wl) et leurs modules de lecture (MLa et respectivement MLb) étant situés du même autre côté de ladite position, lesdits modules lecteurs étant chacun configuré pour communiquer avec son module de référence respectif par émission radio selon une polarisation déterminée (pH et respectivement pV), lesdites polarisations étant choisies croisées pour faire entre elles un angle valant entre 85° et 90°.
14. Système selon l'une quelconque des revendications 12 à 13, caractérisé en ce qu'il comprend au moins deux barrières (Bl, B2, B3) disposées à l'intérieur d'une même portion de voie globale (VG) d'au plus 20m ou d'au plus 3m, de façon à détecter la présence de véhicules situés sur deux voies adjacentes (VI et V2, V2 et V3), les antennes (ARal, ARbl, ARa3, ARb3 et respectivement ARa2, ARb2) des modules de référence desdites barrières (Bl, B3 et respectivement B2) étant situées dans deux directions (DX et respectivement DY) opposées par rapport aux antennes (ALal, ALbl, ALa3, ALb3 et respectivement ALa2, ALb2) de leurs modules lecteurs respectifs, lesdites antennes des modules lecteurs étant disposées au droit les unes des autres ou écartées les unes des autres chacune dans la direction (DX, DY) de son module de référence respectif.
15. Système selon l'une quelconque des revendications 8 à 14, caractérisé en ce qu'un ou plusieurs modules de référence (MR, MRa, MRb) sont fixés à la paroi ou au plafond d'un tunnel (T) entourant une ou plusieurs voies de circulation (VI, VG) de transport ferroviaire souterrain .
16. Application à la détection de véhicules sur une voie ferroviaire (VI, VG) d'un procédé selon l'une quelconque des revendications 1 à 5, ou d'un système selon l'une quelconque des revendications 6 à 15.
PCT/FR2012/050321 2011-02-15 2012-02-14 Dispositif de détection, procédé et système sécuritaires de détection présence d'un véhicule par détection d'une étiquette rfid sur une voie notamment ferroviaire WO2012110741A1 (fr)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR1151236 2011-02-15
FR1151236A FR2971473B1 (fr) 2011-02-15 2011-02-15 Dispositif de detection, procede et systeme securitaires de detection de presence par detection rfid sur une voie, notamment ferroviaire.

Publications (1)

Publication Number Publication Date
WO2012110741A1 true WO2012110741A1 (fr) 2012-08-23

Family

ID=45873151

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/FR2012/050321 WO2012110741A1 (fr) 2011-02-15 2012-02-14 Dispositif de détection, procédé et système sécuritaires de détection présence d'un véhicule par détection d'une étiquette rfid sur une voie notamment ferroviaire

Country Status (2)

Country Link
FR (1) FR2971473B1 (fr)
WO (1) WO2012110741A1 (fr)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109441280A (zh) * 2018-09-12 2019-03-08 南京康尼机电股份有限公司 一种sil4安全级轨道车辆门控器的安全电路及其控制方法
CN114506756A (zh) * 2022-01-20 2022-05-17 中国计量大学 一种目标系统功能安全定级方法、装置、设备、存储介质

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE1265772B (de) * 1964-09-08 1968-04-11 Licentia Gmbh Einrichtung zur Fahrortbestimmung von Fahrzeugen, insbesondere Schienenfahrzeugen
FR2204165A5 (fr) * 1972-10-23 1974-05-17 Aerotrain
DE2425642A1 (de) * 1974-05-28 1975-12-11 Philips Patentverwaltung Tragbares, automatisches sicherheitswarnsystem fuer fahrstreckenarbeiten
DE19717662A1 (de) * 1997-04-25 1998-10-29 Krupp Foerdertechnik Gmbh Verfahren und Einrichtung zur kontinuierlichen Ermittlung der Position eines Schienenfahrzeugs
US20070085703A1 (en) * 2005-10-18 2007-04-19 Jeffrey W. Clark Traffic crossing warning device, and method for warning of an oncoming locomotive object
EP2143614A1 (fr) * 2008-07-09 2010-01-13 Siemens Schweiz AG Procédé et dispositif d'alerte de disponibilité sécurisée d'une section de voie ferrée
WO2010100054A1 (fr) 2009-03-02 2010-09-10 Siemens Aktiengesellschaft Dispositif permettant de détecter si un tronçon de voie est libre ou occupé et procédé pour faire fonctionner un tel dispositif
WO2010112477A1 (fr) * 2009-04-01 2010-10-07 Siemens Aktiengesellschaft Procédé et dispositif de contrôle de vitesse

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE1265772B (de) * 1964-09-08 1968-04-11 Licentia Gmbh Einrichtung zur Fahrortbestimmung von Fahrzeugen, insbesondere Schienenfahrzeugen
FR2204165A5 (fr) * 1972-10-23 1974-05-17 Aerotrain
DE2425642A1 (de) * 1974-05-28 1975-12-11 Philips Patentverwaltung Tragbares, automatisches sicherheitswarnsystem fuer fahrstreckenarbeiten
DE19717662A1 (de) * 1997-04-25 1998-10-29 Krupp Foerdertechnik Gmbh Verfahren und Einrichtung zur kontinuierlichen Ermittlung der Position eines Schienenfahrzeugs
US20070085703A1 (en) * 2005-10-18 2007-04-19 Jeffrey W. Clark Traffic crossing warning device, and method for warning of an oncoming locomotive object
EP2143614A1 (fr) * 2008-07-09 2010-01-13 Siemens Schweiz AG Procédé et dispositif d'alerte de disponibilité sécurisée d'une section de voie ferrée
WO2010100054A1 (fr) 2009-03-02 2010-09-10 Siemens Aktiengesellschaft Dispositif permettant de détecter si un tronçon de voie est libre ou occupé et procédé pour faire fonctionner un tel dispositif
WO2010112477A1 (fr) * 2009-04-01 2010-10-07 Siemens Aktiengesellschaft Procédé et dispositif de contrôle de vitesse

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109441280A (zh) * 2018-09-12 2019-03-08 南京康尼机电股份有限公司 一种sil4安全级轨道车辆门控器的安全电路及其控制方法
CN114506756A (zh) * 2022-01-20 2022-05-17 中国计量大学 一种目标系统功能安全定级方法、装置、设备、存储介质
CN114506756B (zh) * 2022-01-20 2024-05-28 中国计量大学 一种目标系统功能安全定级方法、装置、设备、存储介质

Also Published As

Publication number Publication date
FR2971473A1 (fr) 2012-08-17
FR2971473B1 (fr) 2013-03-08

Similar Documents

Publication Publication Date Title
EP0401192B1 (fr) Système de taxation ou péage automatique pour véhicules routiers
EP0586492B1 (fr) Systeme d'identification automatique d'objets ou d'individus par interrogation a distance
EP2727099B1 (fr) Système avertisseur de situations dangereuses en milieu agressif
US20210192441A1 (en) Goods IOT and System Based on Blockchain
CN114119039A (zh) 带有双层防伪码的产品及产品溯源防伪验证方法及装置
CA2815448A1 (fr) Procede et systeme de transmission et de reception de donnees provenant d'une boite noire d'aeronef
FR3028083A1 (fr) Procede de detection, de reconnaissance, et de desarmement automatique d'une centrale d'alarme, et systeme d'alarme convenant a sa mise œuvre
WO2009067552A3 (fr) Traitement amélioré de ligne de balayage virtuelle
US20200334513A1 (en) Crowded rfid reading
FR3089734A1 (fr) Passerelle pour communiquer par réseau radio avec au moins un nœud et par un réseau filaire, par le biais d’une blockchain
EP2936379B1 (fr) Détection d'un dispositif transactionnel
FR2972830A1 (fr) Systeme de controle de validation de titres de transport
FR3089730A1 (fr) dispositif pour communiquer dans un réseau de passerelles heterogenes par réseau radio avec au moins un nœud et par un réseau longue distance, avec au moins un destinataire
WO2020043877A1 (fr) Procede de localisation de donnees, systeme de controle, dispositif emetteur
WO2012110741A1 (fr) Dispositif de détection, procédé et système sécuritaires de détection présence d'un véhicule par détection d'une étiquette rfid sur une voie notamment ferroviaire
WO2015092333A1 (fr) Systeme d'identification d'objets munis de tags rfid
Haring et al. A review of network evolution towards a smart connected world
WO2002054354A1 (fr) Systeme de detection du passage d'individus ou objets par une entree-sortie a un espace delimite
FR3030056A1 (fr) Procede de detection d'elements mobiles dans un batiment et installation pour la mise en œuvre de ce procede.
EP1986174A1 (fr) Installation destinée à l'identification et à la gestion d'éléments mobiles
FR2915599A1 (fr) Systeme de localisation d'un conteneur dans une zone de stockage et procede de localisation associe
WO2019063612A1 (fr) Système d'inventaire d'objets contenus dans un espace limité par une enceinte
EP3038396A1 (fr) Balise a multiples interfaces de communication a desactivation/reactivation securisees
EP3187989B1 (fr) Procédé et dispositif pour l'extension de surfaces de détection interfaçant une pluralité d'éléments mobiles avec un système informatique
US8258927B1 (en) Method and system for inventorying wireless transponders providing anti-eavesdropping anti-collision

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 12709909

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 12709909

Country of ref document: EP

Kind code of ref document: A1